设为首页 加入收藏
您当前所在的位:法律法规->法律研究->法规解读

解读《民法典》隐私权和个人信息保护(二)

访问量:[]
发布时间:2020-08-13 09:35 来源:
分享:
0


  

关于个人信息的定义
  《民法典》第一千零三十四条
  【个人信息的定义】自然人的个人信息受法律保护。
  个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
  个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
  解读:《民法典》关于个人信息的定义与《网络安全法》确立的个人信息的定义基本相同,其基本要义是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。我国《网络安全法》第七十六条对“个人信息”的解释是:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
  从以上对个人信息的定义可以看出,《民法典》与《网络安全法》对“识别自然人信息”的表述有所不同。《民法典》特别强调“识别特定自然人的各种信息”,《网络安全法》则突出“识别自然人个人身份的各种信息”。事实上,自然人的个人信息不完全是与自然人个人身份有关的各种信息,还包括与自然人身份无关的信息。《民法典》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,其保护的内容和范围比《网络安全法》更宽泛。
  《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条指出,《刑法》第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等。
  《民法典》第一千零三十四条中的个人信息定义在《网络安全法》列举的基础上,增加“电子邮箱、健康信息、行踪信息”。电子邮箱,英语表述为“E-mail”,实质上就是电子邮件的地址(Email address),E-mail与普通邮件的区别在于其“地址”是以电子方式存在的虚拟地址;健康信息涉及个人的健康状况、人体特征、遗传基因等;行踪信息反映特定自然人的行踪,比如个人交通出行、住宿信息、位置信息等,这些大多属于具有隐私性质的信息。
  现行的对于个人信息保护的法律保护范围比较狭窄,没有突出有关个人隐私的内容。事实上,个人信息权具有人格权和财产权的双重属性,但个人隐私的信息权益只有人格权属性,因此我国个人信息保护的核心应当定位于对自然人隐私信息的保护。《民法典》突出对个人信息中“私密信息”的保护,并适用有关隐私权的规定。
  然而,《民法典》毕竟不属于个人信息保护的专门法律,涉及个人非隐私和非私密信息的请求权,救济和保护机制以及流通交易,应当由个人信息保护的特别法作出规定。对此,《民法典》规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”这样就为突出对自然人个人隐私信息保护的个人信息保护专门立法留出空间。

处理个人信息的原则和条件
  《民法典》第一千零三十五条【个人信息处理的原则和条件】处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
  (一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
  (二)公开处理信息的规则;
  (三)明示处理信息的目的、方式和范围;
  (四)不违反法律、行政法规的规定和双方的约定。
  个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
  解读:目前,我国有关个人信息保护的原则,主要遵循“合法、正当、必要”原则。该原则最早以法律形式出现在2013年修订的《消费者权益保护法》第二十九条:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。”之后,2017年6月1日起施行的《网络安全法》第四十一条采纳这一原则:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
  《民法典》第一千零三十五条有关个人信息保护的原则与《网络安全法》和《消费者权益保护法》基本一致,明确“应当遵循合法、正当、必要原则”。《网络安全法》和《消费者权益保护法》在“个人信息”之前使用两个动词“收集、使用”,即“收集、使用个人信息”,而《民法典》第一千零三十五条在“个人信息”之前只使用了一个动词“处理”,即“处理个人信息”。
  其实,在《民法典(草案)》第三次审议稿中,仍然采用“收集、处理自然人个人信息”的表述。对此,有专家指出,“处理”是一个过程,本身包括“收集”,即收拢和聚合个人在电子信息系统载体上已经留下的个人信息(数据),同时涵盖“加工、传输、提供、公开”等内容。因此,《民法典》第一千零三十五条采纳此意见,删去“收集”,只保留“处理”。
  《民法典》第一千零三十五条除规定“处理个人信息的,应当遵循合法、正当、必要原则”外,还在强调“不得过度处理”的基础上,附带四个法定条件:一是征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;二是公开处理信息的规则;三是明示处理信息的目的、方式和范围;四是不违反法律、行政法规的规定和双方的约定。

处理个人信息免责事由
  《民法典》第一千零三十六条【处理个人信息免责事由】处理个人信息,有下列情形之一的,行为人不承担民事责任:
  (一)在该自然人或者其监护人同意的范围内合理实施的行为;
  (二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
  (三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
  解读:《民法典》第一千零三十六条设定三种处理个人信息可以不承担民事责任的情形,其中第三种情形是“为维护公共利益或者该自然人合法权益,合理实施的其他行为”。整体上看,《民法典》设定的处理个人信息的免责事由是附条件的,且受到一定程度的限制。
  1.在该自然人或者其监护人同意的范围内合理实施的行为。该法条“同意”的主体,既包括成年的自然人,又包括自然人中未成年人的监护人或患有精神病成年人的监护人。处理的个人信息仅限于自然人或其监护人同意的范围,不得过度处理。
  2.合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。该法条有两层含义:一方面,行为人可以处理自然人自行公开的或者其他已经合法公开的信息,比如自然人向他人公开自己的姓名、电话号码、电子邮箱,但是处理这些信息时应当符合“合法、正当、必要”的原则;另一方面,即使是自然人自行公开的或者其他已经合法公开的信息,但是自然人明确拒绝或者处理该信息侵害其重大利益的,行为人也不得处理。
  3.为维护公共利益或者该自然人合法权益,合理实施的其他行为。“公共利益”是与“私人利益”相对的一种利益,《民法典》统一采用“公共利益”的表述较为妥当。网络时代,应当最大限度地防止利用“公共利益”免责事由对自然人“隐私信息”的侵害。《民法典》关于“为了公共利益”的目的处理个人信息免责的问题,与“维护该自然人合法权益”之间设定了一个选择适用的情形,同时设定即使“为维护公共利益或者该自然人合法权益”,也必须以合理的方式实施对个人信息处理才可以免责。
  在今年新冠肺炎疫情期间,我国为了疫情防控的需要,允许医疗防控机构进行范围最广和人数最多的个人信息处理。在人群的选择上,严格地限定为确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群。这也是防止形成对特定地域人群的事实上的歧视。

□南京邮电大学信息产业发展战略研究院院长 王春晖
□浙江大学外国语言文化与国际交流学院教授、法律话语与翻译中心主任 程 乐

(责任编辑:)

Copyright 1984-2016 CHINA INDUSTRY & COMMERCE NEWS AGENCY All Rights Reserved

中国市场监管报 版权所有