2020年5月28日,《中华人民共和国民法典》问世,本次《民法典》的创新和亮点之一,便是将人格权独立成编,并在其中增加了隐私权和个人信息保护的章节,而在此之前,《民法通则》中并未对隐私权和个人信息的保护进行明文规定。经过《侵权责任法》《网络安全法》等法律法规的出台,在相关规定的基础上,《民法典》为个人信息和隐私权的保护提供了更为明确的指引。
一
《民法典》颁布前侵犯隐私权及个人信息审理中的“无法可依”
先从两个案例说起:
(一) 庞某与某航空股份有限公司、北京某信息技术有限公司隐私权纠纷
2014年10月11日,庞某委托鲁某通过北京某信息技术有限公司(以下简称A公司)下辖网站平台订购了国内某航空股份有限公司(以下简称航空公司)机票1张,网站平台订单详情页面显示该订单登记的乘机人信息为庞某,联系人信息为鲁某及其手机号。2014年10月13日,庞某机号收到来源不明号码发来短信称其所预订航班已经取消。该号码来源不明,且未向鲁某发送类似短信。鲁某拨打航空公司客服电话进行核实,客服人员确认该次航班正常,并提示庞某收到的短信应属诈骗短信。2014年10月14日,航空公司客服电话向庞某手机号码发送通知短信,告知该航班时刻调整。当晚鲁某再次拨打航空公司客服电话确认航班时刻,被告知该航班已取消。庞某诉至法院,主张A公司和航空公司泄露的隐私信息包括其姓名、手机号及行程安排(包括起落时间、地点、航班信息),要求A公司和航空公司承担连带责任。
北京市海淀区人民法院于2016年1月20日作出一审民事判决:驳回庞某的全部诉讼请求。庞某向北京市第一中级人民法院提出上诉。北京市第一中级人民法院审理该案时认为:航空公司和A公司存在泄露庞某隐私信息的高度可能,并且存在过错,应当承担侵犯隐私权的相应侵权责任。
(二) 向某与邹某、广州市某信息科技有限公司一般人格权纠纷
向某与邹某因业务结算发生纠纷,2019年4月7日,邹某委托贾某在“微人力圈”发表攻击向某的文章,文章内容含侮辱性、诽谤性语言,同时邹某在文章中公开发布向某身份证照片、个人照片、电话号码、微信号、车牌号和公司营业执照等。2019年4月16日,由于文章侵犯个人隐私,被网络平台删除。2019年4月17日,邹某修改文章标题后,再次公开发布。后向某多次要求邹某与微人力圈公众号服务商删除侵权文章,但均无果,故向某将邹某等被告诉至法院,要求其停止侵权行为,立即删除微信文章和微信朋友圈;在全国公开发行的报纸并在包括但不限于微博、微信等对原告实施侵权行为的网络平台置顶刊登向原告赔礼道歉的声明;连带赔偿共计64040元。
湖南省长沙市岳麓区人民法院审理该案时认为:邹某在微信朋友圈散布侮辱向某的人格尊严的文字,同时还将向某的个人身份信息通过微信公之于众,造成了不良影响,因此侵犯到了向某的名誉权、隐私权,应当承担相应的法律责任。贾某作为“微人力圈”的注册者,负有对文章内容是否侵犯他人名誉、隐私等权益监督、管理的责任,但贾某接受邹某的委托后,没有严格审查文章内容,在“微人力圈”公众号不断推送对向某人格进行贬低的文章并将向某个人信息向公众公布,造成了不良影响,同样侵犯到了向某的名誉权、隐私权。
从上述两个判例来看,在此前的民事法律规范中,《民法通则》并没有规定隐私权及个人信息保护的条文,而《侵权责任法》也仅在第二条中笼统地将隐私权纳入了“民事权益”当中进行立法保护。所以此前在涉及侵犯隐私权或个人信息的民事纠纷案件的实践操作中,有时会出现有法难依的情况,比如上述两个案例均存在侵犯隐私权和泄露个人信息的情形,第一个案例法院审理时依照《侵权责任法》关于隐私权以及《消费者权益保护法》关于经营者对消费者个人信息的保护规定将该行为认定为侵犯隐私权,该案还曾被最高人民法院作为涉互联网典型案例发布;第二个案例法院依照《民法通则》等将该行为认定为侵犯名誉权、隐私权。由此可见,在《民法典》颁布前,法院在面对此类案件时通常仅能依靠《民法通则》《侵权责任法》等对于隐私权的零散规定进行审理,而通过不同法律法规的零散规定审理该类案件势必会存在被不同法规适用范围所限制,在遇到适用范围之外的情形时有法难依甚至无法可依的情况。因此该类案件一直缺少一部在基础层面和适用范围上能够明确界定侵犯隐私权和个人信息行为的法律法规在审理时用以援引参照。
二
《民法典》个人信息保护及隐私权部分的立法亮点
(一) 对隐私权及个人信息的界定区分
从上述案例可以看出,《民法典》颁布之前,我国对隐私权的保护相对滞后且零散,缺少比较系统的全面立法。此前颁布的法律法规,如我国《宪法》第38条、39条、40条分别规定公民的人格尊严、住宅、通信秘密不受侵犯,这是公民隐私权的部分组成,虽然条文中没有出现“隐私权”的字样,但仍可以视为宪法对公民个人隐私权保护的原则性规定;《民法通则》在第139条、第140条规定了侵犯公民的肖像权、“以书面、口头等形式宣扬他人隐私的行为”这两种与公民的隐私权有关的侵权形式;最高人民法院《关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》第140条规定:以书面、口头等形式宣扬他人隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。《侵权责任法》第二条第2款规定:本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。本次《民法典》在此基础之上对隐私权有了更明确的定义,同时也对隐私权保护提供了更加明确完善的参照。
本次《民法典》中增加了如“私人生活安宁”、“不愿为他人知晓”这样的特征表述,对“隐私权”作出了清晰的定义:隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。此外,《民法典》还列举了明确禁止实施的一些侵权行为,比如骚扰电话、骚扰短信、骚扰邮件、传单;进入他人的房间窥视、偷拍;跟踪、偷听等都是侵犯隐私权的形式。为实践中处理隐私权的法律适用提供了更为明确的指引。在现实生活中,跟踪、偷拍、监听、私闯民宅、拦截他人邮件、发送垃圾广告等现象屡见不鲜,此前这些行为难以直接援引具体的法律法规来对其侵犯隐私权的情形进行界定,《民法典》明确规定之后,这类行为将得到更有效的处理。
与更多涉及私密空间及活动,偏向消极保护的隐私权不同,“个人信息”兼具保护和利用两种属性,需要对个人利益和公共利益加以调和,因此不应简单的将其归类进隐私权。此前案件审理中大多把个人信息纳入到隐私权或名誉权保护的范围内,而本次《民法典》将隐私权与个人信息保护并列,也是立法思想进步的体现。
(二) 对个人信息保护相关内容的完善
《民法典》颁布之前,相关法律中,《侵权责任法》中并无涉及个人信息认定及保护的条款,《网络安全法》中对个人信息的认定范围包括“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”,对个人信息的界定主要为直接识别个人身份的信息。本次《民法典》明确规定了自然人的个人信息受法律保护,且与此前法律法规中对个人信息的定义相比,更加详细列举了个人信息的范围,并将健康信息、行踪信息等也列入个人信息范围加以保护。
此外,《民法典》保留了《网络安全法》以来我国关于个人信息保护的基本原则,如合理、正当、必要原则;公示信息处理规则;个人可提出查阅、复制、提出异议、请求删除;保证数据安全义务,防止信息泄露等规定。
同时,《民法典》填补了《网络安全法》中关于数据处理中除了“被收集者同意”之外的其他合法性基础的空白,用“法律、行政法规另有规定的除外”作为兜底,为数据处理的多种可能场景以及与其他正当利益的平衡提供空间。
(三) 对个人信息民事责任免责事由的明确
2014年通过生效的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中第十二条对于公开个人信息不构成侵权的情形作出了如下规定:
网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。但下列情形除外:
(一)经自然人书面同意且在约定范围内公开;
(二)为促进社会公共利益且在必要范围内;
(三)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;
(四)自然人自行在网络上公开的信息或者其他已合法公开的个人信息;
(五)以合法渠道获取的个人信息;
(六)法律或者行政法规另有规定。
网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息,或者公开该信息侵害权利人值得保护的重大利益,权利人请求网络用户或者网络服务提供者承担侵权责任的,人民法院应予以支持。
国家机关行使职权公开个人信息的,不适用本条规定。
本次《民法典》在上述规定的基础上,结合《网络安全法》及相关司法实践,明确了个人信息处理民事责任免责事由,包括:1. 在该自然人或者其监护人同意的范围内合理实施的行为;2. 为维护公共利益或者该自然人合法权益,合理实施的其他行为;3. 合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。这些规定有效的整合了相关法律、法规及规范性文件的相关内容。
上述免责事由一方面保护了个人利益,另一方面兼顾了对于个人数据的合理使用需求,数据处理者在获取用户同意后,在与其约定的范围内处理个人信息,将享有民事责任豁免;而对于已经公开的个人信息,在用户并不明确反对的情形下,数据处理者可以用于合法正当目的,这将积极鼓励大数据、人工智能的开发利用,释放以数据为核心生产资料的数字经济发展潜力。
(四) 对公权机构获取个人信息的保护
随着大数据及数字城市的构建和发展,国家机关、政府部门对于个人信息的采集变得非常普遍。如在疫情期间,各地政府通过对相关个人信息的获取和传播,如个人的出行路线、旅行轨迹、健康码等,可以对个人的风险进行评价,对防疫工作进行更有效的布置。但同时,政府部门同样存在对个人信息和隐私处理不当从而导致个人信息泄露的风险。
为防止发生国家公权机构泄露公民个人信息的风险,本次《民法典》亦就国家机关、政府部门获取的个人信息的保护做出明确规定:国家机关、政府机构及其工作人员对在履行职责过程中获得的隐私和个人信息应当予以保密,不得泄露或者向他人非法提供。该规定从民事角度强调了国家机关及其工作人员对个人信息的保密义务,这意味着公权机构对个人信息的侵害也可被纳入民事责任追究的范围。
三
结 语
《民法典》的相关规定为大数据时代下隐私和个人信息保护提供了法律依据和理论基础,对此前的法律、法规的相关规定进行了补强,回应了隐私权和个人信息保护的现实需求。《民法典》的颁布,不仅让执法部门与司法机关在面对侵犯隐私权和个人信息保护方面有法可依,也使得相关企业在获取和使用个人信息时能够更加规范。在遇到本文所列举案例中类似的情形,如个人信息被泄露时,法院和受害人可以直接参照其关于隐私权及个人信息的明确规定,而不用在《侵权责任法》的笼统范围和其他法规的相关规定之中寻找可以适用的条款。
相关阅读
【 本文为作者原创,如需转载请通过留言方式联系本公众号运营者,谢谢!】
