闵 婉
湖北警官学院,湖北 武汉 430000
一、“个人信息”的概念界定
对“个人信息”的概念和范畴的界定,理论界一直众说纷纭。“隐私说”认为,“个人信息”具有隐私性,是权利主体不愿意为他人知晓的私密性、非公开性的信息;“识别说”认为,“个人信息”具有可识别性,是与特定权利主体具有特定关联性的信息,通过这些信息能够直接或间接识别出权利主体的具体身份;“广义说”认为,“个人信息”是以任何形式存在的与权利主体存在关联的各类信息[1]。
从各国立法实践来看,对“个人信息”范畴的界定也各不相同。欧盟《个人数据保护指令》认为,“个人数据”是指可据以识别特定自然人的与数据主体相关的任何信息,包括姓名、性别、身份证号码、照片、定位数据、基因数据、健康数据等;美国《隐私法案》认为,“个人信息”是指一个机构所持有的与一个人相关的各类单项信息或信息组合,包括但不限于:教育、金融交易、医疗病史、工作履历、识别号码、指纹、照片等。[2]
对“个人信息”的概念和范畴的不同界定,直接关系到个人信息保护制度所保护的法益范畴的大小。从我国的立法实践来看,关于这一问题的解读也呈现出不断发展的态势。2012 年12月28日,第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》,将“个人信息”界定为“能够识别公民个人身份和涉及公民个人隐私的电子信息。”这一概括性的界定综合了“隐私说”和“识别说”的观点,保护范畴足够宽泛,但是因规定不够具体,不利于执法和司法实践中准确把握。2017 年6月1日施行的《中华人民共和国网络安全法》(以下简称《网络安全法》)采纳的是概括加列举的定义方式,该法对“个人信息”范畴的界定采纳的是“识别说”。①《网络安全法》第七十六条:“个人信息,是指以电子或其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”但是,在大数据背景下,严格以“识别说”为标准,会导致用户网页浏览记录、购物记录、行踪轨迹等不必然具有识别性却能反映出权利主体的活动情况的个人信息得不到法律的保护。
2021 年1月1日施行的《民法典》仍然沿袭了“识别说”,但对个人信息范畴的界定则在《网络安全法》列举项目的基础上,增加了“电子邮箱、健康信息、行踪信息”。①《民法典》第一千零三十四条:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”电子邮箱不同于普通邮箱,其邮件地址并非现实生活中的居所地,而是以互联网为依托的虚拟地址;健康信息包括自然人的身体健康信息、就医信息、身体特定信息以及遗传基因信息等内容;行踪信息包括自然人的实时定位信息、住所地信息、日常出行信息、途经地点信息等内容。不难看出,《民法典》新增加列举的“健康信息”和“行踪信息”明显属于具有隐私性质的信息,尤其是对“行踪信息”的明确列举在一定程度上拓展了《网络安全法》对个人信息范畴的界定。此外,为了解决司法实践中一直饱受困扰的个人隐私保护和个人信息保护混同的问题,《民法典》明确规定了隐私的定义,突出了隐私类信息的“私密性”和“不愿为他人知晓性”的核心特征,从而明确将个人信息与个人隐私区别开来。②《民法典》第一千零三十二条:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”同时,《民法典》还首次明确规定了个人隐私和个人信息的区分保护规则,将个人信息的保护范畴界定为隐私权无法涵盖的领域,从而有效解决了个人信息与隐私权保护范畴的重叠与冲突问题。③《民法典》第一千零三十四条:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
二、个人信息利用的《民法典》规制
由于个人信息是具有识别性的特定自然人的姓名、身份、行踪等各种信息,这些信息均与自然人的人格利益密不可分,因此,从性质来看,个人信息具有明显的个人属性,对每个自然人个体而言,信息主体都享有个人信息不受非法侵害的私权利,赋予自然人对其个人信息的控制和支配权既是对其人格自由和人格尊严的维护与尊重,也是保障其个人信息安全的必要举措。但另一方面,个人信息也具有公共属性,对整个社会而言,社会成员个人信息的自由利用与流动既有助于实现社会公共事务的公开、公正和透明,更好地满足社会公众对公共事务的知情权和参与权,也有助于政府更加便捷有效地行使对公共事务的管理职责,从而最大限度地促进社会公共福祉。[3]因此,如何促进个人信息的合法有效利用也是信息时代的《民法典》重点关注和回应的问题。
为确保个人信息利用的安全和规范,《民法典》确立了一系列个人信息利用的原则和规则。首先,《民法典》明确规定了个人信息处理的三项基本原则。④《民法典》第一千零三十五条:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。”一是合法性原则,即信息利用主体对自然人个人信息以收集、使用等各种方式进行处理时不得违反我国现行法律、行政法规的相关规定,这里的法律和行政法规不仅指《民法典》中的个人信息保护规定,还包含《网络安全法》《中华人民共和国个人信息保护法》等其他法律规范对个人信息保护的规定,既包括实体性的规定,也包括程序性的规定;二是正当性原则,是指信息利用主体在收集个人信息时应当明确告知信息主体收集和使用该信息的事实及使用方式,任何单位和个人只有在信息主体知情且同意的前提下才享有对个人信息的正当利用权,任何情况下对个人信息的处理都应当以目的正当、程序规范为前提;三是必要性原则,是指信息利用主体对个人信息的收集和使用应当仅以其收集该信息的合法正当的目的得以实现为必要限度,在个人信息的收集范围、保存期限和使用方式上都应当以对信息主体利益影响最小化为标准,超过此标准的个人信息不得收集,已经收集的,应当及时删除或销毁并不得使用,贯彻这一原则有助于避免个人信息的过度收集和使用。其次,《民法典》通过赋予信息主体异议权、更正权及删除权,使得自然人可以及时采取措施防范个人信息利用中的侵权风险。⑤《民法典》第一千零三十七条:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”最后,《民法典》还通过明确规定信息处理者应当承担的保密义务、安全保障义务、告知义务以及报告义务等,加强了个人信息收集和利用等各个环节中信息处理者的责任,为有效降低个人信息利用中的安全风险提供了制度保障。①《民法典》第一千零三十八条:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”
三、《民法典》时代加强个人信息保护的措施
(一)深入贯彻《民法典》保护私权的理念,促进国家机关规范合法利用个人信息
各级各类国家机关在执法履职活动中,应当时刻秉承以人为本的理念,充分尊重和保障《民法典》赋予民事主体的各项私权利,而个人信息正是《民法典》中自然人民事权益的重要内容,是个人人格独立和人格尊严的重要组成部分[4]。任何情形下,对个人信息的利用都必须遵循合法、正当和必要的基本原则。即使是在涉及公共安全或其他公共利益的事件中,职能部门对自然人个人信息的利用也不能突破法定的职权范畴。国家机关及其工作人员出于公共安全或其他公共利益目的收集和使用个人信息,应当严格遵循比例原则,采取符合公共利益目的要求并且对信息主体利益损害最小的方式进行,一旦发生个人信息泄露的安全事故,相关职能部门及其工作人员应当承担相应的法律责任。此外,在各级各类国家机关依照《政府信息公开条例》的规定履行信息公开职责时,尤其应当严格依照法定内容和程序开展信息公开工作,充分把握好个人信息保护和信息公开之间的平衡与协调。
(二)加大《民法典》中个人信息利用和保护规则的普法宣传,引导社会各界树立良好的个人信息保护意识
互联网企业作为网络社区的创建者或管理者,对其创建和管理的网络社区理应承担起维护其安全与秩序的社会责任,除应当加强网络安全技术的研发和应用,保障网络安全稳定运行之外,还应采取有效措施保护网民个人信息的安全。对于营利性的各类互联网行业具有专业化能力的企业和社会组织,可以通过政府购买服务的方式,将其纳入个人信息保护的多元化治理主体之内,充分发挥其专业技能优势,不断推进个人信息保护技术的进步。对于各类行业协会、志愿者组织等非营利性的互联网行业专业化社会组织,则可以通过政府给予政策扶持、宣传引导、经济支持等多种方式,鼓励其为个人信息利用风险的防控共治工程贡献力量。此外,广大社会公众作为信息主体,应当不断增强自身的个人信息保护意识。一方面,公众应当提高个人信息的自我保护能力,使用各种线上服务时应当选择正规、可靠的渠道,下载各类手机应用软件时应谨慎提交个人信息,在应用软件注册环节应避免使用个人信息作为用户名,提交身份证照片、银行卡号、个人脸部照片等个人敏感信息时更要仔细甄别是否符合个人信息收集的必要性和最小化原则;线下提供个人信息时,也应当充分了解信息收集方是否具有合法个人信息收集权限,发现违法违规收集和使用个人信息的情形,应当及时向职能部门提出举报和申诉。另一方面,公众也应当提高自觉尊重和保护他人个人信息的素养,在传播公共信息时,一定要避免泄露他人可识别性个人信息。
(三)通过制度建设不断推动个人信息的利用和保护之间的平衡与协调
首先,在对个人信息的利用制度中,应当不断优化信息分级规则,针对不同类型的个人信息设定不同的利用权限、程序及责任,相较于一般信息而言,对敏感信息的收集和使用应当设立更严格的标准,对敏感信息的泄露应当设立更重的法律责任;其次,要进一步强化知情同意规则的执行力度,即任何信息利用主体只有在自然人本人真实且自愿同意的前提下才享有对其个人信息进行合法收集和使用的权利。这一规则是个人信息收集和使用过程中平衡信息主体和信息利用主体双方权益的一项基本制度,对个人信息的保护至关重要,如果信息利用主体是用排除信息主体自主选择权的格式条款的形式获取同意的,应当视为该同意无效。此外,还应不断完善个人信息的合理使用规则。《民法典》将“为维护公共利益”合理实施的处理个人信息的行为纳入个人信息侵权的免责范畴。这类个人信息合理使用规则为公共利益目的下的个人信息利用行为提供了必要的法律指引。但该规定过于原则化,缺乏实际应用层面的具体性和可操作性,只有对行使合理使用权的主体、标准和程序均作出具体明确的制度安排,才能真正实现个人信息利用和个人信息保护之间的动态平衡。
