摘要:随着信息技术的发展,个人信息的保护越来越受到学界和实务界的关注。通过对我国现行法律制度的研究,不难发现我国民法侧重于对个人信息人身属性的保护,而财产属性保护不足,并存在着法律供给不足,保护措施不具体,管理责任不明确,实际操作困难等情况。通过对近年来我国现行法律制度和域外法律制度研究,分析得出我国在此方面的立法应与国际一般规则相衔接,完善立法体系,探索建立个人信息保护领域的公益诉讼制度等措施,推动个人信息保护方面法律制度的完善。
关键词:个人信息;法律机制;人格权益
根据相关机构的统计截至2020年9月,我国的网民规模已达到9.4×108人,互联网普及率达67%。信息流的交互越发频繁,对信息处理的深度和广度也达到了前所未有的程度。这些新技术不断刷新和重塑人们的生活习惯和行为方式,对数据的保护也由传统的个人隐私或商业秘密上升到国家战略的高度。在这样的时代背景下,如何更加有效的保护个人信息,以及更加合理使用个人信息成为了当前无法回避又必须解答的问题。《中华人民共和国民法典》将个人信息的保护纳入人格权编中,将进一步优化个人信息的保护机制。
1我国个人信息的概念及特征
1.1个人信息的概念
目前,我国一直没有关于个人信息方面的专门立法,分散在诸多部门法之中,直到《民法典》出台,对个人信息的内涵做了创新性的扩展,对什么是个人信息的范围进行了一定程度的扩大解释,甚至破除了过去将个人信息和个人身份识别联系在一起的定式思维。其中就将《网络安全法》中关于个人信息的定义删去了“身份”两个字,改为特定自然人,这一细小变化反映的是立法者对于个人信息含义的进一步认识,个人信息不再像过去仅是身份信息的代名词,而是扩大到了人的健康信息和行踪信息等。
1.2个人信息的特征
(1)个人信息范围的广泛性。个人信息的范围不再是限定于直接的身份信息,包括他的生物信息、电子信息和行踪信息。个人信息虽然和隐私权放在了一章,但是笔者认为个人信息的范围要大于隐私权的范围,有许多的个人信息并不能归属于隐私权的范畴。(2)个人信息具有人身和财产的双重属性。个人信息存在的基础在于能够识别或者锁定特定的自然人。信息社会,个人信息数据就是重要的资源,大数据、云计算、人工智能等技术都依赖于海量的数据资源,能够为社会、企业和个人创造巨大的经济价值。(3)个人信息具有明确的指向性。个人信息是以自然人为基础而客观存在的,无明确指向的信息就不属于个人信息。碎片化的信息通过加工后所形成的具有明确指向特定自然人的信息,这个新形成的信息是个人信息。
2当前个人信息保护的现状及困境
随着移动互联网经济的飞速发展,收集、获取个人信息变得更加便利,但为个人信息的泄露埋下了重大隐患。2018年中国消费者协会针对近年来社会大众所反映的不少互联网公司存在泄露个人信息的情况进行社会调查,形成了《App个人信息泄露情况调查报告》(以下简称《报告》)。在《报告》中披露,遭到个人信息泄露的人数占受调查人数的85.2%。由于个人信息的大量泄露继而引发了大量的电信诈骗、推销电话、垃圾邮件、骚扰信息等,甚至还出现了大量个人账号和密码被盗的问题。据该《报告》统计,在个人信息被泄露后,约86.5%的受访者曾收到推销电话或短信的骚扰,约75.0%的受访者接到诈骗电话,约63.4%的受访者收到垃圾邮件。侵害个人信息的主要类型有这4类:一是未经个人信息主体或其监护人同意对其个人信息进行收集、处理。二是信息处理者收集用户个人信息超过业务的正常需求范围,或者违规扩大信息的收集范围,从而增加用户信息泄露的风险。三是存在霸王条款,主要体现在不少商家虽以格式条款的方式告知用户信息收集的范围和使用范围。四是对用户的信息数据疏于管理,致使用户个人信息遭受侵害,尤其是私密信息造成泄漏,使用户的人格利益遭到侵害。由此,我国在这一领域保护形势不容乐观,造成这一问题的原因笔者认为主要有以下几点:
2.1法律供给不足,立法体系不完善
当前,我国在个人信息保护领域还未颁布系统性法律规范,对其保护仍分散在诸多部门法或者行政规章之中,保护的侧重点又各有不同,没有对个人信息形成体系化的保护合力。在《民法典》中虽然对个人信息保护出台了相应的法律条款,但总的来看有这么几点问题:一是总体而言还是一种原则性规定,需要以此为方向制定具体的司法解释或者下位法作为实际操作层面的法律规范。二是将个人信息保护与隐私权放在了一章,从这一点来看保护的重点落在了个人信息安全和个人隐私信息两个方面,同时更多的个人信息是在当事人意愿范围内的对信息的积极利用和交换的权能。四是没有将个人信息的保护或者个人敏感信息的保护上升为权利,而是将其设定为一种权益。相较于权利来说,法律对于权益的保护程度是要加以限制。
2.2公民法律保护意识淡薄
在2017年,中国青年政治学院互联网法治研究中心针对我国个人信息安全以及个人隐私的保护做了专项调研报告,在其发布的《中国个人信息安全和隐私保护报告》中就提到,有高达1/3的用户同意放弃部分信息安全限制而换取网络中的便捷服务。在面对个人信息存在泄漏风险或是已经泄漏缺乏相应的保护意识或保护手段。在2018年《App个人信息泄露情况调查报告》中,就有近三分之一的信息遭泄漏的当事人选择了“自认倒霉”的处理方式。究其原因,一方面在于不少当事人缺乏相应的法律意识和手段,另一方面也反映出寻求法律维权路径的困难。
2.3监管困难,企业违法成本低
当前,我国的《个人信息保护法》还处于起草阶段,缺乏对信息保护主体责任的划分,在监管上仍处于“九龙治水”,如市场监督管理部门和工信部门负责对个人信息实施相应的管理,但是缺乏统一的上位法和管理协调机制,使得管理缺位。其次,个人信息的保护涉及到的涉事主体庞杂,如果将管理的责任全推给政府会极大挤压宝贵的行政资源,尤其是与当前政府机构进行简政放权的改革方针背道而驰。再次,涉事企业由于受到网络侵权责任避风港规则的保护,使得先关企业发生网络侵权问题时有较大的规避责任的操作空间。
3我国现行法律对个人信息的保护机制
当前我国将个人信息在民事法律关系中的保护置于人格权的保护之下,其考虑笔者认为有这么几点:一是个人信息的内容往往与各种人格权相互重叠交叉,个人信息本身也是基于人格权利继而派生出的人身权益,在保护层面可以参照人格权保护的相关办法,易于操作。二是个人信息这种权益虽具有人身和财产双重属性,但是立法者更加偏向于对人身属性的保护,将人身权益或人格权益置于财产权益之上。三是如果对个人信息权益做出过多的保护,将有可能限制其他社会主体的相关权益,在立法上就必须在保护个体和促进发展中找寻一个平衡点。
3.1保护的优先性问题
根据《民法典》第1034条之规定,当个人信息属于私密信息时首先适用于隐私权的保护范畴,然后在适用有关个人信息的保护。个人信息包括的范围很广,当受到侵害时,同其他人格权相竞合时,在法律适用上首先适用对权利的保障制度,这样可以更大程度上保护当事人合法利益。如果是被认定为个人的私密信息,在处理个人信息的免责事由中,当事人或其法定代理人的明示“同意”就为不可或缺的条件。
3.2诉前救济方式
个人信息尤其是私密信息一旦泄露,将会给权利人带来不可估量的损害,如果只能通过诉讼的方式进行,可能损害的后果已经造成并难以挽回,所以《民法典》第997条规定了保护人格权的禁令制度。权利人使用禁令的条件就是其有证据证明行为人将要或正在进行侵犯其人格权的违法行为,就可以向法院申请禁令,要求停止其侵害行为。在适用禁令的证明标准方面,王泽鉴教授认为对侵害名誉、隐私的权利而言,需要与言论自由等法益的保护相互平衡,因此认定时应该更加审慎。王利明教授则认为如果是侵害行为正在进行,权利人还有可能证明侵害行为,但是如果还未实施,则难以要求权利人提出侵权证明,此时就不宜要求权利人证明行为人侵权。笔者认为对于采取禁令的救济方式是一种对可能造成权利损害的预防制度,在证明中不应对权利人太过苛责,证明应该是一种初步的证明,是能够被一般社会认知水平的人所认为具有一定证明力的材料。
3.3事中救济方式
如果侵权发生在互联网上,当互联用户进行侵权时,权利人有权通知互联网服务提供者采取必要的方式阻止侵权行为,如果没有积极采取必要措施导致损失扩大,互联网服务提供者将对扩大的部分承担连带责任。互联网侵权通知规则帮助权利人中止侵权行为的继续,减少侵权带来的损失有着极其重要的现实意义。
3.4明确了公权力机关及其工作人员需要承担对个人信息的保密义务
我国信息数据资源80%以上掌握在各级政府部门手里,公权力机关及其工作人员如不承担相应管理责任,将加大信息泄露的风险。在《民法典》第1039条,不仅规定了国家机关还规定了法定具有行政管理职能的机构,将其纳入到法律规制当中。同时也明确了不只是个人隐私需要保密,一般的个人信息同样需要保密,未履行或是未适当履行将要承担法律责任。目前,如果行政部门及其工作人员违法泄露了个人信息,应承担什么样的责任并没有明确规定,而且学界也有不同的看法,第一种观点是这种侵权行为是在履行国家职责时发生的,可以适用国家赔偿的有关规定。第二种观点认为此保密义务规定在《民法典》中,违背此种法定义务应当承担侵权责任。第三种观点是应当对国家机关和非国家机关在注意义务上是有所区别的,国家机关应承担更重的注意义务。
4信息时代对个人信息保护的启示
当前,我国将个人信息纳入人格权益进行保护,体系化保护的法律制度并未建立起来。加强相关法律制度的研究和完善是十分必要的,要结合我国发展实际,加强在这一领域内的法律供给。通过对国内现行法律保护制度,结合世界发达经济体的相关法规及其经验,笔者关于个人信息保护有以下几点启发与大家分享。
4.1加强个人信息保护的立法体系
当今,各国都在加快本国信息化发展步伐,个人信息的法律保护应该抓紧立法步伐,对规范信息产业的健康发展、构建网络伦理、保障人民群众的合法权益具有重大意义。同时,要建立个人信息的统一的归口管理机构,负责对个人信息领域的执法监管,不能放任企业混乱的信息管理方式,对违规的企业要进行必要的行政处罚,涉及到犯罪的要严格追究其刑事责任,做到“事有人管,错有人纠”。
4.2构建个人信息分级保护体系
在个人信息分级保护方面,欧盟建立了较为完善的制度,《通用数据保护条例》(GDPR)就将个人信息分为一般个人数据和个人敏感数据,并且进行了详细深入的规定,在采取数据授权主体同意制度下,对个人敏感数据的授权必须要经过权利人明示的同意。我国应当尽快建立自己的个人信息分级保护制度,实现更为精准的法律保障。
4.3在政府机构和企业建立数据保护官制度
数据保护官或数据保护专员制度最早出现在欧洲,早在2001年,欧共体就提出设置数据保护官。欧盟的《通用数据保护条例》(GDPR)进一步对数据保护官制度加以完善。数据保护官制度是指在政府或者企业内部设置或由第三方派驻从事对信息数据保护的专业人士。数据保护官或数据保护专员因其具备个人数据保护方面的相关专业知识,且相对独立于企业或行政机构的业务部门,对用户的数据进行日常监控,定期或不定期对数据安全状况进行评估调查,对存在的数据安全问题向管理层报告并提出相关整改建议。设置专门的数据保护官有助于政府机构或者企业快速建立健全的数据保护制度,对完善企业在个人信息数据的安全处理方面有着积极的作用,也是我国相关企业进入欧盟市场所必需的制度设定。
4.4建立隐私影响评估制度
美国、英国、加拿大和欧盟等发达国或组织都相继建立起本国的隐私影响评估制度。这一制度设计目的是为防范信息处理主体在处理个人信息时,使数据主体的权利或自由处于高风险之中。加拿大政府认为隐私风险评估是一种识别、评估和降低隐私风险的过程。有些个人信息一旦发生泄漏,将会给信息主体发生不可估量的损失,为了降低数据安全隐患,有必要在处理前进行预先评估。
4.5建立被遗忘权制度
被遗忘权制度旨在信息权利人具有要求信息控制者或者处理者删除权利人相关信息的权利,主要基于个人信息自绝的理论基础之上,有权做出改变个人信息授权的决定,从而达到维护个人权利不受侵犯的目的。被遗忘权相当于“可撤回”的权利,是一种事后补救的权利,尤其对未成年人权利的保障上是必要的。但是对被遗忘权也要进行一定限制,避免造成权利人对权力的滥用。
参考文献:
[1]王泽鉴.人格权的具体化及其保护范围·隐私权篇(中)[J].比较法研究,2009(01):23.
[2]赵春兰.民法典背景下网络侵害人格权的救济机制[J].浙江万里学院学报,2021(01):26.
[3]王利明.论人格请求权与侵权损害赔偿请求权的分离[J].中国法学,2019(01):65.
[4]于浩.我国个人数据的法律规制—域外经验及其借鉴[J].法商研究,2020(06):89.
作者:赵琰 单位:天津大学