记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

原创 | 从文本到现实:《民法典》视角下个人信息保护机制的解读与完善

2020-09-08 16:02
作者 | 苗运卫,董宏伟
网络技术的高速发展和普及,在推动经济建设和社会进步的同时,也给个人信息的保护带来了严峻挑战。为此,国家陆续颁布与实施了一系列政策法律,作为体现时代性和现实性的创新,2020年5月颁布的《民法典》中的人格权编突出展示现代科技发展下的以人为本的价值理念,尤其是在人格权编中加入了个人信息保护内容,架构起个人信息保护的新机制,可以说是《民法典》的亮点之一。在《民法典》颁布前,个人信息保护中出现的理论争辩包括个人信息属于权利还是民事权益的归属问题、个人信息具有人格性还是财产性抑或二者兼具的属性问题、个人信息保护和隐私权保护的关系问题等。在《民法典》制定完成的后法典时代,通过对个人信息保护机制的文本解读,回应《民法典》颁布前的理论之争,并为个人信息的保护提供具体规则指引。

一、《民法典》中个人信息保护机制的文本解读

个人信息的法律释义

对个人信息的界定是保护个人信息的逻辑起点。包括《刑法》《消费者权益保护法》等在内的我国法律体系中多处涉及个人信息保护的内容,但对个人信息的界定近年来才在立法中完整体现,2012年12月发布的《关于加强网络信息保护的决定》和2013年4月发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》中将以能够识别公民个人身份和涉及公民个人隐私来界定个人信息,而2016年11月出台的《网络安全法》中对个人信息的界定则删除隐私性而单纯采取识别性标准,并扩大到间接性可识别信息,表述为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,《民法典》中对个人信息的定义延续了《网络安全法》的界定标准,表述为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,但相较《网络安全法》的定义同样存在变化,《民法典》中将“识别自然人个人身份”的各类信息拓展到“识别特定自然人”,并在列举中加入电子邮箱、健康信息、行踪信息,使得保护范围更为宽泛与完善。从民事基本法立法的纵向变化比较角度而言,对比《民法总则》与《民法通则》内容,《民法典》不仅对个人信息作出释义,更是将个人信息从隐私保护的范畴中独立出来,即区分了个人信息和隐私的内容并分别保护,以此应对隐私权保护无法涵盖个人信息保护的现实困境,且明确作为二者交集部分的私密信息,适用有关隐私保护的规定。


个人信息的处理原则

为确保个人信息处理的安全和规范,《民法典》第1035条规定了处理个人信息需要遵循合法、正当和必要的基本原则,这些原则在《民法总则》《民法通则》中并未规定,但在具体类型的个人信息规范中已有体现,如《消费者权益保护法》第29条以及《网络安全法》第44条中。此次《民法典》将个人信息处理的原则性要求加以明确,为个人信息保护确立了方向。合法性原则要求个人信息的处理不得违反我国的法律、行政法规的规定,不仅指《民法典》中的个人信息保护相关内容,还包含《网络安全法》等其他法律规范对个人信息保护的内容。正当性原则要求处理个人信息的目的正当与程序规范,尤其是个人信息处理的规则和过程应当明示通知等程序性规定,以便相关主体能够充分了解信息处理的情况,有效参与并行使权利。必要性原则要求对个人信息的收集和使用应当在必要限度范围内,与此无关的个人信息不得收集,或在获取后及时删除或销毁并不得使用。除此之外,《民法典》第1035条第1项规定了处理个人信息需要征得同意,这是个人信息处理的知情同意原则的体现。知情同意原则表明个人对其个人信息的决定权,若无个人的知情同意,且在没有法律强制规定的情况下,对个人信息的处理将缺乏基础,也绝无合法性、正当性和必要性可言。


个人信息的侵权行为

《民法典》在第1035条中将涉及个人信息的相关行为统一概括为“处理”行为,这是对《网络安全法》《电子商务法》中“收集、使用”行为的统一表述的发展,也对应个人信息行为主体的“个人信息处理者”的统一称谓。基于此,可以将针对个人信息的侵权行为表述为非法处理行为,具体又可分为不当获取、不当管理和不当利用三种行为类型。不当获取行为是对本应以法律要求的方式获取的个人信息而进行非法收集的行为,在网络技术高速发展的背景下,中立技术如网络爬虫技术等使个人信息的获取较之以往更加广泛和便捷,但收集行为的合法与违法边界变得模糊。不当管理行为是个人信息处理者在获取个人信息后负有相应的管理职责而未能履行,导致个人信息泄露、篡改或丢失的行为,管理职责包括不向特定主体的披露和不特定主体的公开,以及采取技术措施和其他必要措施保护个人信息的安全。不当利用行为是持有个人信息后的非法使用、买卖等行为,其本质上是对个人信息人格属性之外的存在的财产属性与价值的非法处分。但并非对个人信息的所有处理行为都属于侵权行为,《民法典》在第1036条规定了处理个人信息的免责事由,这是在传统免责事由上基于个人信息处理特点作出的特别规定,包括自然人同意、自然人公开以及公共利益基础上的合理处理行为。


个人信息的救济机制

如果法律救济措施不能得到规范落实,那么规定的权利或权益也将只是一纸空文,《民法典》中对侵害个人信息的救济是另一个重点问题。《民法典》将个人信息放置在“民事权利”章节中,沿袭了《民法总则》的规定,但个人信息条款并未明确个人信息属于法律意义下的民事权利,在人格权编中也未将个人信息归类于人格权,而是在人格权外规定了“自然人享有基于人身自由、人格尊严产生的其他人格权益”的内容。这实则是回应了个人信息保护的归属问题,即个人信息属于“个人信息权”还是仅为受法律保护的民事利益,定位的差异将导致侵害个人信息时的救济的不同。根据现有规定,《民法典》对个人信息采取权益保护模式,当民事权益受到侵害的,被侵权人有权请求侵权人承担侵权责任,承担侵权责任编中停止侵害、排除妨碍、消除危险等侵权责任,此外,针对个人信息的特殊性,还可根据《民法典》第1037条要求信息处理者采取更正等必要措施及时删除个人信息、根据《民法典》第1038条要求及时采取补救措施及根据《民法典》1026条要求医疗机构泄露或公开个人信息时承担侵权责任。而对于纳入隐私权保护的私密个人信息,将适用隐私权侵权的规定,得到更为全面的保护和救济,保护适用人格权编规定的人格权请求权内容。

二、基于《民法典》保障个人信息的现实意义


防范和规制侵犯个人信息行为

保护个人信息的首要目的和意义在于对个人权益的保障,其本质是对人的尊严和自由的尊重,人的尊严与自由是法律价值的精神内涵,是法律以人为本最核心的内容。在信息时代,互联网络以及不断发展的移动终端让个人信息的收集与利用成为常态,个人信息的快速剥离与聚集,让自然人的个人信息主体地位日益式微和对个人信息的控制力逐渐减弱,侵犯个人信息的事件频频发生并演化为常态,且经由大数据技术的催化产生新的特征:一方面是侵犯个人信息的方式更为多样,让对个人信息的不当处理蒙上网络化的面纱,通过网络爬虫软件、网络监控软件等技术手段非法获取个人信息,储存个人信息的网络系统存在漏洞和在网络上的不当公开以及第三方的恶意攻击导致个人信息的泄露和非法利用等手段让侵犯行为的识别和个人信息的保护面临新困难;另一方面是侵犯个人信息的后果更加严重,在网络传播的迅速与便捷性等特征的加持下,个人信息一旦泄露将极其难以控制,给现实端的个人信息主体造成远超传统侵害的人格利益损失。同时,个人信息经由网络收集后积累形成庞大规模,一旦造成泄露将会造成侵害到众多主体,近年来引起轰动的个人信息泄露事件多以此类为主。基于此,《民法典》在此前立法的基础上通过扩张个人信息内涵、规定侵权行为,明确权利义务等内容进一步加强个人信息的保护,防范和规制侵犯个人信息的行为。


平衡个人信息保护和商业利用

信息(数据)在数字经济高速发展的当下显得越发重要,逐渐成为数字及相关产业的基础。在数字经济时代,对个人信息的获取、储存和利用等处理行为比比皆是,如此才能推动数字经济的发展,例如在具体的商业活动中,企业收集和使用用户的个人信息和浏览痕迹,通过大数据预测和比对形成网络引导,从而推动商业的产生和繁荣。但在个人信息商业利用的另一层面上存在着潜在的负面作用,在自然人对其个人信息的控制削弱趋势下,不当获取、利用、公开或信息泄露等给个人信息的保护带来威胁与风险。个人信息的保护和商业利用仿佛有不可磨合的矛盾,实则是未能在二者间做好平衡。实现个人信息保护和商业利用的平衡至关重要,一味追求对个人信息的利用将会诱发对其的不当甚至违法使用,损害个人信息主体的权益,而以绝对权和支配权来保护个人信息将阻碍个人信息的合理利用,降低个人信息的商业价值与功能的发挥。《民法典》回应了新技术和商业模式带来的法律问题,尤其体现在人格权编中的隐私、肖像、声音保护等方面,也协调个人信息保护与数据利用的冲突,选择对个人信息的权益保护模式而非权利保护模式,并在第1035条、1036条等条款中细化个人信息处理的具体条件和情形,平衡了个人信息保护与合理使用之间的关系,既在最大程度保护个人信息主体的权益,也在间接保护个人信息形成的合法商业价值。

三、《民法典》视角下个人信息保护机制的反思与完善


协调《民法典》与《个人信息保护法》

为回应新时代下对个人信息保护专门立法的呼声,十三届全国人大常委会已将制定《个人信息保护法》列入了立法规划,2020年6月20 日,全国人大常委会2020年度立法工作计划进行调整,《个人信息保护法》的法律草案将提请审议。与之在保护信息(数据)方面发挥基础性作用的《数据安全法(草案)》已在2020年7月发布。种种迹象表明《个人信息保护法》出台在即。在后《民法典》时代,随着《个人信息保护法》的出台,如何协调好二者的相互关系,成为个人信息保护的重要问题。虽然《民法典》是全国人大通过的基本法,《个人信息保护法》是全国人大常委会通过的一般法,但基于《民法典》体系化的立法创新与价值,二者并非解释与被解释的特别法与一般法关系,而是在不同领域下发挥不同作用的配合衔接关系。围绕个人信息保护的这一命题,《个人信息保护法》作为保护个人信息的专门立法,内容上与宪法、刑法、民法等多个部门法相关联,其任务在于确定个人信息的具体保护制度和程序规范,并结合金融、医疗等具体行业中的个人信息保护,从而形成完备的法律保护体系,当违反个人信息保护法的行为造成相关主体民事权益损害的,根据《民法典》即可追究侵权人的民事责任。当然即便《个人信息保护法》与《民法典》中性质和任务存在差异,但二者在基本内容上的重合部分应当保持一致。


健全个人信息保护的司法救济

《民法典》为个人信息保护制定了较为传统的救济措施,即规范了侵犯个人信息的承担侵权责任编中的侵权责任以及要求个人信息处理者更正、删除、补救等。但现实中侵犯个人信息的事件具有隐匿性和群体性等特征,导致个人信息侵权救济下存在主体举证困难、维权成本高昂等困境,鉴于此,自然人在个人信息受到侵犯后无奈选择放弃司法救济,而这又导致侵权不止和维权困难的恶性循环。因此需要健全个人信息保护的民事司法途径,一方面应对个人信息遭到侵犯时举证责任困难而采取举证责任倒置,让个人信息的举证责任由被主张者承担。具体而言,受侵害者在证明其个人信息权益受到侵害和存在信息处理行为后,个人信息处理者对其主观无过错和收集、利用等处理行为与个人信息主体的损害间无因果关系承担举证责任,以此平衡双方主体在个人信息保护中不平等的地位。另一方面就侵犯个人信息事件的群体性特征引入公益诉讼制度,在大数据环境下,个人信息侵权的对象不再是单一个体,规模化的个人信息助力社会公共治理和企业经营管理因而也具备公共属性。因此通过公益诉讼的形式转变聚集诉讼力量,既有助于通过司法途径解决个体的个人信息侵权问题,也能够更好地维护个人信息中的公共利益,还能节约司法资源和诉讼成本。


加强外部监管和行业自律

《民法典》中个人信息保护的内容相对有限,仅以此保障个人信息必然存在不足,需要在个人信息保护机制中引入对个人信息处理者的外部监管,并要求个人信息行业的自律管理。比较法视角下,加强外部监管是保障个人信息是域外国家及地区的通行做法,美欧主要国家都建立了个人信息的统一监管机构,而专门的个人信息保护监管机构在我国尚未建立,分行业领域的进行监管的模式存在监管成本高和效率低下的弊端,因而需要专业与独立的个人信息保护监管机构,一个具有外部威胁力的监管机构,能够促使个人信息处理者积极承担其应当的法律义务,并对违法行为加以制裁。《数据安全法(草案)》中在数据安全保障上设置牵头机构总体协调和分行业、分职能具体监管值得个人信息保护领域的借鉴。同时,外部监管下推动个人信息处理者加强行业自律,通过行业自律性组织的成立,结合行业特征有针对性地制定包括个人信息保护和利用标准等内容的行业自律准则,鼓励行业成员承担法律义务之外的社会责任,并以具有针对性和操作性行业标准为个人信息保护的相关立法提供专业性的参考,形成个人信息保护的外部监管和内部自律的良性互动,充实与完善个人信息的保护机制。


转载请注明来源:关键基础设施安全应急响应中心


知识来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247499771&idx=1&sn=5c24941ee0a63e1de8356d24a1644c94

阅读:147323 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“原创 | 从文本到现实:《民法典》视角下个人信息保护机制的解读与完善”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁