《民法总则》第111条对个人信息权利作出规定,确立了个人信息基本民事权益的法律地位,结束了个人信息保护“部门化”“碎片化”的保护状态。
《中华人民共和国民法总则》(以下简称《民法总则》)颁行前,我国民事立法并没有专门规定个人信息保护规则,个人信息主要受《刑法》《居民身份证法》《网络安全法》以及相关的司法解释保护,个人信息保护法律规则具有明显的“碎片化”特点,并没有形成体系化的个人信息保护规则。《民法总则》顺应互联网、大数据时代个人信息保护的现实需要,于第111条对个人信息保护规则作出了规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”《民法总则》从民事基本法的层面对个人信息规则作出规定,对于强化个人信息保护具有重要意义。
《民法总则》确立了个人信息权利的基本民事权利地位。现代社会,网络诈骗、电信诈骗、人肉搜索等事件频频见诸报端,每一起事件背后都有个人信息泄露的因素,个人信息保护对维护个人私人生活安宁以及保护人格尊严的重要性不言而喻。《民法总则》第111条对个人信息权利作出规定,确立了个人信息基本民事权益的法律地位,结束了个人信息保护“部门化”“碎片化”的保护状态,有利于提高个人信息的保护水平,也可以为将来的个人信息立法确定基本的框架。从实践来看,个人信息除遭受个人侵害外,还受到来自公权力机关的威胁,公权力机关非法监视、监听以及非法收集个人信息的现象大量存在。与个人相比,公权力机关在个人信息收集与利用方面具有明显的技术优势,而且在户籍管理、治安维护、社会保障、打击犯罪、人口普查等方面掌握着数以万计的各类信息系统,掌握着海量的个人信息。《民法总则》第111条对个人信息保护规则作出规定,可以为个人对抗包括来自公权力的侵害行为提供民事基本法律依据。
《民法总则》规定了信息应当依法收集与利用。《民法总则》第111条要求相关主体不得非法收集和利用他人的个人信息,对于解决实践中大量存在的个人信息非法收集、利用、泄露问题具有重要意义。尤其需要指出的是,该条虽然规定的是相关主体依法收集、利用个人信息的义务,但从权利人的角度而言,在相关主体非法收集、利用个人信息时,该条也可以为个人主张权利提供法律依据。例如,在行为人非法收集个人信用信息并在此基础上对权利人的信用状况作出了错误评价时,权利人应当有权依据《民法总则》第111条向行为人提出请求。
《民法总则》规定了相关主体保障信息安全的义务。从《民法总则》第111条的规定来看,相关主体在依法取得个人信息后,负有“确保信息安全”的义务。也就是说,相关主体在获取个人信息后,应当采取必要的措施,防止个人信息的不法泄露。从权利人的角度而言,其也有权请求相关主体采取必要的措施,保障个人信息的安全,在相关主体未采取相关措施导致权利人损害时,权利人有权请求行为人承担相应的侵权责任。
《民法总则》对个人信息保护规则作出规定,具有重要的意义。但该法仅使用一个法条对个人信息作出规定,又略显简略,无法满足个人信息保护的现实需要。这就需要民法典分则对个人信息保护规则作出细化规定,以下具体言之。
承认个人信息权的具体人格权地位。《民法总则》并没有使用“个人信息权”这一表述,只是将个人信息规定为人格利益,而没有将个人信息规定为一项具体人格权。也正是因为这一原因,《民法总则》第111条在规定个人信息的收集、利用规则时,主要是从消极保护的角度对其作出规定。民法典分则应当将个人信息规定为一项具体人格权,并在此基础上规定个人信息权的内涵、效力以及权利行使规则等,这就可以使个人信息真正成为一项主观权利。
明确个人信息的内涵。《民法总则》第111条虽然规定了个人信息的保护规则,但何为个人信息,该条并没有作出规定,这可能影响个人信息保护规则的准确适用。因此,民法典分则应当对个人信息的内涵加以明确。个人信息不同于数据,从比较法上看,各国一般认为,个人信息是可以识别出个人身份的信息。此种做法值得我们借鉴,我国民法典分则在界定个人信息的内涵时,可以将个人信息界定为可以直接或者间接识别出个人身份的信息,如个人的姓名、住址、活动轨迹等。
明确信息利用行为合法性的判断标准。《民法总则》虽然规定了个人信息应当依法收集、利用,不得非法收集、利用,但何为合法、何为非法,该条并没有作出规定,这就难以为个人信息的收集、利用行为提供明确的指引,可能影响相关产业的发展。因此,我国民法典分则应当对此作出规定。从比较法上看,欧洲2016年颁行的《一般数据保护条例》(GDPR)第6条对合法处理个人信息的行为作出了规定,从该条规定来看,基于公共利益、他人的合法权益甚至经济利益方面因素的考虑,个人信息的收集、利用并不需要个人的同意。此种立法经验值得我们借鉴。此外,个人信息的匿名化处理可以尽可能消除相关信息与个人身份的关联性,有效降低相关的隐私风险,从而在很大程度上保持个人信息利用行为的合法性。
有学者主张,我们应当制定专门的个人信息保护法,而不需要在民法典中规定个人信息权。笔者认为,此种观点值得商榷,专门的个人信息保护法与民法典个人信息保护规则之间并不必然存在矛盾和冲突,个人信息权在性质上属于基本民事权利的范畴,民法典应当对其作出规定,而且民法典对个人信息作出规定,也可以为专门的个人信息保护法提供立法依据,民法典所确立的个人信息保护标准也可以为专门的个人信息保护法确定基本的立法框架,这有利于提高个人信息的保护水平。当然,有关个人信息保护的具体规则,尤其是个人信息的收集、储存、流转以及跨境流动等技术性规范,则应当规定在专门的个人信息保护法之中。
(作者单位:中央财经大学法学院)
