摘要:
第一百一十一条 【个人信息保护】自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息... 
第一百一十一条 【个人信息保护】
自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
一、历史由来
本条属于新增规定。对个人信息的保护,传统民法主要通过保护个人隐私、设置隐私权的方式进行。2002年12月《民法(草案)》第一编(总则)第90条规定中明确了自然人享有隐私权。“社科院稿”坚持传统民法的通过隐私权保护个人信息的做法,并未对个人信息保护作出单独的规定。其第24条规定:“自然人享有隐私权。禁止窃取、窃听、偷录、偷拍他人隐私。未经本人同意,不得披露或者利用他人私生活秘密,或者实施其他损害他人隐私的行为。但在为保护他人权利或者公共利益所必要的限度内,由法律规定可以披露或者利用他人隐私的,依照其规定。”
但是,从严格意义上讲,“个人信息”是一个较为宽泛的概念,其中包括了涉及隐私或者涉及私生活的信息。而受到计算机和网络技术的影响,资讯发达、信息共享及虚拟网络空间生活等,使包括隐私在内的个人信息安全成为高度敏感的议题;与此伴生的,是与个人信息相关的人格利益受损现象日益严重,为此,在法学理论界和司法实务界,除了用“隐私”之外,与人格利益相关的自由、自决和自治等内容模糊、外延宽泛的概念,也被用来描述个人数据、数据处理或者个人信息数字化问题,并成为一种不确定性的法律救济途径。事实上,虽然涉及私生活的信息也是一种隐私,但个人信息的范围要大得多,通隐私权的保护,并不能完成对个人信息的完整保护。
为此,《民法总则》起草之初,人们想到了通过新增设知识产权的客体类型,相应地增加一类知识产权权利类型即“数据信息权”,加强对数据信息的保护。在《民法总则(草案)》(一审稿)中,第108条是关于知识产权的条款,其第2款第8项增设了“数据信息”这一客体,与著作权、专利权、商标权等权利所对应的客体(如作品、专利、商标等),并行列举。这种设计,旨在透过人格属
性明确的隐私权和具有知识产权属性的“数据信息权”,达到保护个人信息的
目的。
然而,“数据信息”能够成为一类知识产权的客体吗?相应地,“数据信息权”是一种独立的知识产权类型吗?数据库的保护、信息网络传播权等是基于传统著作权的延伸,注重的是数字化及其传播行为的保护与限制,虽有人格利益存在,但更侧重保护其财产性权利。这一点,与个人信息保护侧重于人格性质的权利有所不同。因此,《民法总则(草案)》二审稿、三审稿单设一条,规定了个人信息保护:“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。”同时,对于知识产权属性尚不确定的“数据信息”也设专门条文,进行了授权立法规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”自此,《民法总则》开启了对个人信息专门保护模式的设计。事实上,这一模式,也是诸多学者建议所采取的一种模式。
“人民大学稿”设立了“私人信息”“个人资料收集”和“个人资料保护”三个条款,对个人信息加以保护。该建议稿第二编“人格权”设第五章第二节“隐私权”,其中第363条规定关于“私人信息”的,有四款规定。
第363条(私人信息)规定:
“自然人的私人信息受法律保护。
未经本人同意,禁止非法窥视、窃听、刺探、窃取、偷录、偷拍、披露他人的私人信息。但法律另有规定的除外。
私人信息可以向特定的人披露,并准许特定人利用,或向社会公众公开,视为放弃私人信息。
私人信息的公开和利用不得违反公序良俗。”
关于“个人资料收集”,设专门条文(第369条),分三款规定。
第369条(个人资料收集)规定:
“禁止非法收集、储存、转让、传播和公开他人的个人资料。
收集、储存、披露、或超出收集目的而使用涉及自然人隐私的个人资料,须征得其本人的同意,若本人死亡或丧失民事行为能力,则必须得到其亲属同意,但法律另有规定的除外。
个人资料指自然人的姓名、性别、年龄、民族、婚姻、家庭、教育、职业、住址、健康、病历、个人经历、社会活动等足以识别该人的资料。”
关于“个人资料保护”,设专门条文(第370条),分三款规定:
“个人资料的收集必须基于与收集者本身职能有关的合法目的,以合法、公平的方法实施,并保证所收集资料的真实性。
收集者应当采取合理的措施告知当事人:其是否有义务提供资料;收集该资料的目的;该资料可能转移和披露的范围;其查阅、修改资料的权利。
被收集人享有查阅、修改、更新其个人资料的权利,法律另有规定或者当事人特别约定的除外。”
“人民大学稿”更加注重人格权,设立了人格权专编。不过,这三个条文都纳入了“隐私权”的范畴。拟定者认为,在范围上,隐私包括私人信息、私人活动和私人空间。其中,私人信息,也称为个人情报资料、个人资讯,包括所有的个人情况、资料。但事实上,对“私人活动”或者“私人空间”的刺探、了解和掌握等行为,也属于第369条“个人资料收集”的范围(特别是该条第四款所定义的“社会活动”部分),应该作为“私人信息”予以保护。不过,结合这一建议稿的立法理由,我们发现,拟定者在相同意义上使用了“私人信息”和“个人信息”的概念,并认为隐私权人对于个人信息享有支配权。而且,这种隐私权人的支配权被定义为:自然人对于自己的隐私有权按照自己的意愿进行支配,主要内容包括:一是公开部分隐私;二是准许对个人活动和个人领域进行察知;三是准许人利用自己的隐私。从传统意义上讲,这种支配权的核心在于自然人对个人信息的不公开、不愿意为他人所知悉。但王利明主持这一建议稿,转而开始强调了对个人信息可利用性之掌控。
事实上,对于网络环境下个人信息的保护,我国已经有了相关立法。《关于加强网络信息保护的决定》(2012年12月28日)对于能够识别公民个人身份和涉及公民个人隐私的电子信息如何收集、使用、传输和提供等,进行了专门规定。在司法实践中,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2014年)第12条第1款规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”不过,因为对权利主体享有个人信息的权利属性认识不一,司法实践中法院的做法也各不相同。有的法院认为个人信息权益属于隐私权,有的法院认为属于名誉权.有的法院则直接表述为个人信息权。
《网络安全法》(2017年6月1日起施行)将《关于加强网络信息保护的决定》中涉及个人网络信息保护的内容,基本上纳入了该法的规范体系。《网络安全法》是《关于加强网络信息保护的决定》的具体化和规范化。《关于加强网络信息保护的决定》第4条规定了网络服务提供者及其他掌握个人信息主体的“确保信息安全”的责任,条文内容为:“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。”《网络安全法》第42条第2款规定承袭此条规定:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”2017年2月16日,全国人大常委会法律委员会在《民法总则(草案)》提交给全国人民代表大会第五次全体会议最后审议前时,在原来三审稿基础上,增加了“任何组织和个人应当确保依法取得的个人信息安全”的规定,更加强调了在依法获取个人信息之后的民事主体所具有的积极义务,即确保个人信息的安全。此间尚作如此修改,可谓用心良苦也。由此形成的《民法总则(草案)》第110条规定:“自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全,不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。”
在第十二届全国人民代表大会第五次全体会议审议中,本条顺序号被调整为第111条,基本内容没有什么实质性变化,但具体文字进行了调整,使表述更为精确。本条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
二、规范目的与含义
(一)规范目的
本条规定个人信息的保护。一方面,在隐私权之外,确立自然人对其个人信息享有的民事权利,一定程度上明确了“个人信息权”,透过权利设计保护个人信息的安全及其不可侵犯的特征;另一方面,因应信息社会之需求,定分止争,促进数据的自由流通和利用,即可以依法取得他人个人信息,但同时负有确保他人个人信息安全的义务。本条文虽然没有直接规定自然人享有“个人信息权”,但对自然人而言,本条既是其具有民事权利的宣示性规定,也是确权性规定。同时,本条规定实则赋予了相关机关或者组织进行特别立法或者规定的权力,又是一种授权性的规范。法律如何保护个人信息、如何确保依法取得的个人信息之安全以及如何“依法取得”而不是“非法”之收集、使用、加工、传输、买卖、提供或者公开等,都有待下一步的立法配套与司法适用。
随着互联网、智能手机、传感器等新科技的不断普及与发展,越来越多的个人数据被采集和存储下来,个人信息日渐数字化、网络化和透明化。在大数 据时代,数据的价值更多的源自其二次利用。当这些数据被技术整合后,大数据能够把人的行为进行放大分析,并逐渐还原个人生活全貌,使个人隐私无所遁形。大数据的应用,在一定程度上使个人信息泄露现象更加严重。例如,2013年2月中国人寿保险股份有限公司80万名客户信息泄露事件,引起轩然大波。经调查,由于该公司合作网站存在漏洞,导致保险客户信息泄露,泄露的信息包括险种、手机号、身份证号、密码等,造成了严重的后果和不良影响。
另外,由于大数据技术突飞猛进及其广泛应用,个人信息也逐渐与公共利益或者国家利益关联起来,保护个人信息已成为一种广泛的社会需要,并面临更为严峻的形势。
(二)规范含义
《民法总则》第111条并未直截了当地提出“个人信息权”,也没有界定“个人信息”的范围。《网络安全法》第七章(附则)界定了该法背景下的“个人信息”的含义。《网络安全法》第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,
包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
此前,国务院有关行政机关对个人信息也进行了定义。国家质量监督检验检疫总局、国家标准化管理委员会2012年发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》第3.2条规定,个人信息指“可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息”。国家工业与信息化部2013年发布的《电信和互联网用户个人信息保护规定》第4条指出,“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务人的姓名、性别、出生时间、民族、婚姻状况、家庭状况、教育背景、工作履历、健
康信息、财务状况等信息,也包括需要借助一定技术手段才能识别的基因信
息、电子指纹等信息。只要是任何单独或者与其他信息比对即可识别特定自然人个人的客观信息,都是受到法律保护的个人信息。
本条文规定的个人信息之权利主体,是指自然人,并不包括法人或者非法人组织。本条是宪法规定的古典基本权利在民法中确立之后,为适应现代社会发展所增设的人格利益延伸的基本条款。本条文也是旨在拓展作为自然人一般人格的人格尊严与自由,实现并维护作为自然人的“个人”所具有的独立人格和自由精神。与自然人不同,法人或者非法人组织是一种社会的组织形式,除自身商业秘密或者机密之外,还在于以登记、公示等公开形式参与商业活动或者社会活动。因此,在现代社会,法人或者非法人组织公开相关信息,才符合交易安全和公众利益。诚然,法人或者非法人组织也存在一定的人格利益如名誉、商誉等,但与此相关的客观信息只要存在,毁誉自存,实乃有利于大众识别与社会整体利益之提升。至于涉及法人或者非法人组织的名称、名誉、荣誉等受到损害的情形,则适用保护法人或者非法人组织的名称权、名誉权、荣誉权等相关规定。
本条文规定个人信息受法律保护,但没有从正面确立个人信息的民事权利内容,而是从权利相对方即任何组织和个人所负有的义务进行规定的。在面对他人的个人信息时,任何组织或者个人都负有三项主要的义务:第一,应当确保依法取得的个人信息安全;第二,不得非法收集、使用、加工、传输个人信息;第三,不得非法买卖、提供或者公开个人信息。这三项义务中,前者是积极义务,要求依法获取他人个人信息的特定义务主体积极作为,确保他人个人信息的安全;后两者是消极义务,是一种禁止性规定,即对他人的个人信息,任何组织或者其他任何人,只要不去收集、使用、加工、传输、买卖、提供或者公开,就可以了。
然而,客观上,尽管自然人对其个人信息所享有的权利是人格性质的,但也存在商业利用的现象。但是,个人信息商业利用的前提就是界定权利的边界,由此可以厘清具体的权利形态及其交易方式。因此,如何因应技术进步与时代发展去采集与利用他人的个人信息,《民法总则》在这方面并未关上禁止的时间、地点等信息”。
综合来看,个人信息就是指那些能够识别自然人个人身份的信息。某些信息是否纳入个人信息法律保护框架,重点在于信息所具有的识别性及其与特定自然人的关联性。这些个人信息,既包括我们能够简单识别的有关自然人的姓名、性别、出生时间、民族、婚姻状况、家庭状况、教育背景、工作履历、健康信息、财务状况等信息,也包括需要借助一定技术手段才能识别的基因信息、电子指纹等信息。只要是任何单独或者与其他信息比对即可识别特定自然人个人的客观信息,都是受到法律保护的个人信息。
本条文规定的个人信息之权利主体,是指自然人,并不包括法人或者非法人组织。本条是宪法规定的古典基本权利在民法中确立之后,为适应现代社会发展所增设的人格利益延伸的基本条款。本条文也是旨在拓展作为自然人一般人格的人格尊严与自由,实现并维护作为自然人的“个人”所具有的独立人格和自由精神。与自然人不同,法人或者非法人组织是一种社会的组织形式,除自身商业秘密或者机密之外,还在于以登记、公示等公开形式参与商业活动或者社会活动。因此,在现代社会,法人或者非法人组织公开相关信息,才符合交易安全和公众利益。诚然,法人或者非法人组织也存在一定的人格利益如名誉、商誉等,但与此相关的客观信息只要存在,毁誉自存,实乃有利于大众识别与社会整体利益之提升。至于涉及法人或者非法人组织的名称、名
誉、荣誉等受到损害的情形,则适用保护法人或者非法人组织的名称权、名誉权、荣誉权等相关规定。
本条文规定个人信息受法律保护,但没有从正面确立个人信息的民事权利内容,而是从权利相对方即任何组织和个人所负有的义务进行规定的。在面对他人的个人信息时,任何组织或者个人都负有三项主要的义务:第一,应当确保依法取得的个人信息安全;第二,不得非法收集、使用、加工、传输个人信息;第三,不得非法买卖、提供或者公开个人信息。这三项义务中,前者是积极义务,要求依法获取他人个人信息的特定义务主体积极作为,确保他人个人信息的安全;后两者是消极义务,是一种禁止性规定,即对他人的个人信息,任何组织或者其他任何人,只要不去收集、使用、加工、传输、买卖、提供或者公开,就可以了。
然而,客观上,尽管自然人对其个人信息所享有的权利是人格性质的,但也存在商业利用的现象。但是,个人信息商业利用的前提就是界定权利的边界,由此可以厘清具体的权利形态及其交易方式。因此,如何因应技术进步与时代发展去采集与利用他人的个人信息,《民法总则》在这方面并未关上禁止的大门,而是留给市场和司法去进一步探索。
三、举证责任分配
本条确立了自然人对其个人信息的民事权利,也确立了两种责任类型:侵害他人个人信息的侵权责任和违反合同义务的违约责任。对个人信息的侵害,主要有三种情形:一是侵权人利用技术手段,在他人不知情的情形下非法收集或者滥用他人个人信息的;二是侵权人采取欺骗或者引诱方式致使他人产生重大误解,让他人在重大误解的情形下向其提供个人信息的;三是个人信息的控制者违反法律、法规的规定或者合同的约定,在收集、使用、加工、传输他人个人信息过程中导致他人个人信息泄露,给他人造成损害的。这三种情形,前两种情形,都是针对不特定主体的侵权责任;第三种情形,则是特定主体违反合同义务的违约责任。
本条并未明确规定个人信息侵权纠纷中举证责任的分配。考察域外立法此类侵权纠纷多采取过错推定、甚至无过错责任的归责原则。以德国法为例,德国《联邦资料保护法》第7条规定:“当公务机关在本法或其他资料保护规定下,由于未经许可或不正确的个人资料自动化处理对资料本人造成损害的,公务机关有责任赔偿本人的损失,而不论其是否有过错。”该法第8条又明确规定:“非公务机关违反本法或其他资料保护规定,进行不合法或不正确的自动化资料处理,资料本人对其主张损害赔偿请求权,而其损害的发生是否出自资料档案控制者的存在状况,发生争执的,个人资料档案控制举证责任。”由此可见,在德国法中,个人资料侵权纠纷的举证责任分配因资料控制者的不同,而有所差异:对个人资料处理不当造成的损害,公务机关应承担无过错责任;非公务机关对其民事侵权行为,造成损害的,应承担过错责任,并实行举证责任倒置。建议我国《侵权责任法》和司法实践中进一步明确个人信息侵权纠纷案件中举证责任的分配问题。笔者认为,应该采用过错推定原则,并适用举证责任倒置的规则,从而降低权利人的证明责任和维权成本,切实加 强对个人信息的法律保护。
在获取他人个人信息之后,个人信息的控制者对他人个人信息安全是一种严格的合同责任。这种严格责任的具体表述,就是“确保信息安全”之“确保”二字。因此,凡未尽到“确保”他人个人信息安全的合同义务,就要承担相应的合同责任。为确保他人个人信息的安全,个人信息的控制者应尽勤勉义务,任何未采取必要安全措施的行为,都将导致其承担合同责任。
四、其他问题
关于个人信息权的法律属性,主要有以下六种学说:(1)宪法人权说,即个人信息权是一种基本人权;(2)-般人格权说,即个人信息权属于一般人格权的范畴;(3)隐私权说,即通过隐私权囊括对个人信息的保护;(4)财产说,即将个人信息权归入无形财产权的范畴;(5)新型权利说,即主张个人信息权是一种新型的复合性权利,具有人格和财产的双重属性;(6)独立人格权说,即认为个人信息权应成为一项独立的具体人格权。各种学说中,核心问题就是个人信息权与隐私权的纠葛问题。在美国,隐私是一个相对宽泛的概念,个人信息权益已被纳入隐私权的范畴之中。但是,在我国,隐私权是一个相对狭窄的概念,《民法总则》更是将两者并行规定在前后两个不同的条款之中,表明了二者之间的区别。
从客观上讲,隐私权与个人信息权具有一定的相似性。这种相似性,主要体现在以下三个方面:第一,二者的权利主体都仅限于自然人,而不包括法人;第二,二者都体现了个人对其私人生活的自主决定;第三,二者在客体上具有交错性。具体而言,一方面,许多未公开的个人信息本身就属于隐私的范畴;另一方面,部分隐私权保护客体也属于个人信息的范畴。但是,个人信息权与隐私权之间,也存在较大的差异。具体而言,表现在以下几个方面:
第一,在保护客体的范围上,隐私权与个人信息权有交叉但并不重合。“个人隐私与个人信息呈交叉关系,即有的个人隐私属于个人信息,而有的个人隐私则不属于个人信息;有的个人信息特别是涉及个人私生活的敏感信息属于个人隐私,但也有一些个人信息因高度公开而不属于隐私。”例如,电话号码、工作单位、家庭住址等信息,出于交流的需要,人们常常在一定范围内予以公开。这些信息,难以纳入隐私权的范畴。
第二,隐私权一般被认为是一项精神性人格权,隐私权虽可被利用,但其财产价值并非十分突显,而个人信息权则兼具人格利益与财产利益。因此,隐私权无法适应人格权商品化的相关理论,而个人信息权则并不排除对个人信息的商业利用。
第三,隐私权难以涵盖个人信息权的全部权能。隐私权的设计,重点在于保密;而个人信息权的设计,重点则在于信息的控制与利用。隐私权是一种消极的防御性权利,在该权利遭受侵害之前,个人无法积极主动地行使权利,而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等。而个人信息权既有消极权能,也有积极权能,权利人除了被动防御第三人的侵害之外,还可以对其进行积极利用。又如,个人信息权通常包括对个人信息记载有误时个人所享有的修改权,而这无法被隐私权理论所囊括。
因此,遵循《民法总则》的思路,建议将个人信息的保护具体化,更加明确地界定为一项独立的人格权即“个人信息权”。至于个人信息权的权利边界、权利行使及法律责任,需要在制定民法典分编或者在制定相应的配套立法(如《个人信息保护法》)时,再加以配套和完善。这既是完善个人信息保护法律规范体系的需要,也是适应网络信息社会发展的时代需求。
摘自:民法总则评注(上下册),法律出版社2017年5月出版,内容简介:深度解读《民法总则》,由梁慧星、孙宪忠担当学术顾问。据中国社会科学院法学所、国际法所联合党委书记陈甦介绍,新书由中国社科院牵头,集合来自社科院法学所及全国10余家知名高校的高水平民法学者,共同编著了这本《民法总则评注》。
微店链接:
