学术 | 探讨民法典个人信息保护的新亮点- 大数跨境

首页

学术 | 探讨民法典个人信息保护的新亮点

广信君达律师事务所

2020-05-27

导读：编纂一部真正属于中国人民的民法典，是新中国几代人的夙愿。我国曾于1954年、1962年、1979年和2001年先后四次启动民法制定工作，直至党的十八届四中全会提出“编纂民法典”，经过几年艰苦细致的立法

目　录

一、明确了个人信息属于人格权

二、明确区分隐私权保护与个人信息保护

三、调整了个人信息“处理”的概念

四、增加个人信息合理“处理”的免责情形

五、为制定个人信息保护法留下空间

六、结　语

编纂一部真正属于中国人民的民法典，是新中国几代人的夙愿。我国曾于1954年、1962年、1979年和2001年先后四次启动民法制定工作，直至党的十八届四中全会提出“编纂民法典”，经过几年艰苦细致的立法工作，即将迎来瓜熟蒂落的一刻。与诞生于启蒙时代的《法国民法典》和工业时代的《德国民法典》相区别的是，我国民法典制定于日新月异的移动互联网时代。新时代下个人信息保护的重要性日益紧迫，被称为“社会生活的百科全书”的民法典也明确规定了个人信息权益保护的基本规则，可谓我国民法典的一大亮点。

本文将结合全国人大常委会副委员长王晨在2020年5月22日第十三届全国人民代表大会第三次会议上作《中华人民共和国民法典（草案）》（简称“《民法典（草案）》”）说明和《民法典（草案）》具体条文及草案的前后变化作有关探讨。

一、

明确了个人信息属于人格权

《民法典（草案）》涉及人民生活的衣食住行、生老病死、生产经营等方方面面，与百姓生活息息相关，而这其中又何尝离得开个人信息呢？

然而，有不少观点认为：个人信息是一种新型公法权利，不应在调整平等主体之间法律关系的民法典中规定，更不应在人格权编中与隐私权一起规定。其他国家的民法典尚未有如此规定，而是通过特别单行法单独规定的。

或者又认为：个人信息不属于民事基本权利的范畴，因为个人信息是人社会交往必须“让渡”的，无法从传统民法权利的角度界定个人信息权利属性，非财产权，也无法从具体人格权角度解释。

而上述观点没有被《民法典（草案）》直接采纳。

第一，《民法典（草案）》第5章“民事权利”第111条规定：

自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

从体系上看，《民法典（草案）》第111条规定在第109条“自然人的人身自由、人格尊严受法律保护”和第110条“自然人生命权等具体人格权”之后，但放在财产权、继承权、数据权益和网络虚拟财产权益等规定之前，表明成为民事主体所享有的基本权利之一，立法意图已把个人信息保护法律定位表露无遗。

第二，《民法典（草案）》第四编人格权编第1章一般规定第989条明确：

本编调整因人格权的享有和保护产生的民事关系。

接着第999条规定：

为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等；使用不合理侵害民事主体人格权的，应当依法承担民事责任。

可见，《民法典（草案）》明确了从人格权角度对个人信息进行保护。而在人格权编第6章隐私权和个人信息保护中，则在此基础上，进一步区分了个人信息与隐私权的保护，比如第1034条明确规定了:

个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

因此，以上《民法典（草案）》关于个人信息保护的规定充分证明个人信息虽然没有明确为具体人格权，但是具备人格权的基本属性。《民法典（草案）》明确将个人信息作为民事主体的基本权利，从人格权角度进行了保护，并与隐私权作了相应区分。

笔者认为，《民法典（草案）》上述规定背后的出发点和本质是为了更好维护民事主体的人格尊严和人格自由。因为自然人不仅以物理“肉体”形式存在，经历了移动互联网高速发展后，在互联网上可找到每个人留下的痕迹，通过各种个人信息来勾勒和区分每一独立的个体，个人信息的内涵和外延由此得到极大扩张。之前单独保护姓名权、名称权和肖像权等也属于个人信息的具体人格权，但已跟不上信息时代发展的脚步，如今侵害个人信息比以往更“便捷”。而滥用个人信息的背后是无视人格尊严和自由。

确认个人信息属于民事主体享有的人格权益，确认民事主体对个人信息享有控制权与个人信息合理使用和自由流动并不冲突。

“天赋人权”的《法国民法典》中没有人格权保护的规定，20世纪初的《德国民法典》仅规定部分人格权。但不代表德法两国个人信息权不属于人格权范畴，只是因为历史因素的限制，当时没有加以规定，后来通过判例修补漏洞，个人信息权利早已是欧洲的基本人权。我国民法典人格权编是直面移动互联网时代个人信息保护严峻问题的直接体现。

二、

明确区分隐私权保护与个人信息保护

与《民法总则》仅规定隐私权受保护不同，《民法典（草案）》直接明确了隐私权的定义：

隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

并且，界定个人信息中的私密信息首先适用隐私权保护规定，没有规定的，适用有关个人信息保护规定，将两者区分开。

在我国司法审判中，对于个人信息侵权的案件，法院一般通过归结为侵犯具体人格权，如姓名权、肖像权、名誉权或隐私权来进行保护，并可以适用精神损害赔偿。

但违反约定处理不涉及上述具体人格权的个人信息行为屡见不鲜，如单纯倒卖个人信息，法院目前一般不会直接认定侵犯个人信息的侵权责任。

但既然民法典明确个人信息属于人格权益，也明确个人信息与隐私权的区分，意味着侵犯个人信息将直接承担侵权责任。民法典上述规定为后续构建个人信息侵权制度，包括归责原则、举证规则和损害赔偿等奠定了基础。

三、

调整了个人信息“处理”的概念

在基本概念使用上，《网络安全法》第41条规定“收集、使用”两个主要行为概念：

网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则收集、使用个人信息，应当遵循合法、正当、必要的原则。

《民法总则》第111条，仅规定“收集、使用、加工、传输个人信息”的行为：

任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息。

2019年的《民法典（草案）》审议稿第10035条使用“收集和处理”的表述：

收集、处理自然人个人信息的，应当遵循合法、正当、必要原则，不得过度收集、处理。

今年的《民法典（草案）》审议稿进一步借鉴欧盟《通用数据保护条例》（GDPR）处理（Processing）的概念，在第10035条中把“收集行为”纳入“处理行为”之内，调整为：

处理自然人个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定。

最新审议稿扩大了“处理行为”的内涵范围，包括收集、存储、使用、加工、传输、提供、公开等全生命周期。

不仅如此，GDPR规定了“数据（信息）控制者”和“数据（信息）处理者”的不同，我国《民法典（草案）》仅规定了“信息处理者”，该“信息处理者”概念包括了GDPR“数据控制者”。

从各国立法规定来看，信息控制者是指单独或联合决定个人信息的处理目的和方式的主体；而信息处理者是为信息控制者处理个人信息的主体，如受控制者委托进行处理活动。两者从事的行为不同，权利义务也不同，分别承担不同的合规义务。

相比较而言，我国《民法典（草案）》规定下的信息处理者可能承担较重的合规义务。不过还要看后续个人信息保护法如何具体规定。

四、

增加个人信息合理“处理”的免责情形

不少学者认为，部分个人信息本身是公开的，比如姓名、生物识别等信息，若民法典将个人信息纳入人格权益之中，难免要求处理个人信息的行为需征得信息主体的同意，这反而会影响社会交往的正常运行，大大降低工作效率。

但这种担心是多虑的。《民法典（草案）》第10036条规定下列处理个人信息情形可免责：

处理自然人个人信息，有下列情形之一的，行为人不承担民事责任：

（一）在该自然人或者其监护人同意的范围内合理实施的行为；

（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；

（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

上述规定了三种免责情形，包括知情同意、自行或已公开信息和为维护公共利益或该人的合法权益。群众无需担心正常社会交往所进行的处理个人信息行为，民法典也兼顾了个人信息的合理自由流动。

需要注意的是：因国家安全、公共安全、刑事犯罪侦查和其他重大合法事由的情况下处理自然人的个人信息均属于同意的例外。如因新冠疫情防控所需，根据《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》处理个人信息也属于免责情形。

《民法典（草案）》的上述规定亮点在于：即便同意或具备其他合法处理个人信息的事由，也要“合理”处理个人信息。实质上，“合理”相当于目的限制原则，超出原始处理个人信息的目的就是不合理，属于非法处理个人信息。

五、

为制定个人信息保护法留下空间

在日新月异的移动互联网时代，作为民事基本法的民法典无法规定的太过细致，否则将很快落后时代。所以，我国在民法典制定后还会单独制定个人信息保护法。2020年5月22日全国人大常委会副委员长王晨在《民法典（草案）》说明中明确：

第四编第六章在现行有关法律规定的基础上，进一步强化对隐私权和个人信息的保护，并为下一步制定个人信息保护法留下空间。

2020年5月25日，全国人大常委会工作报告“下一步主要工作安排”中指出，要制定个人信息保护法、数据安全法等专门法。届时，我国可能参照其他国家设立专门、独立的个人信息保护机构，该机构有独立的监管、执法权力，那么我国目前个人信息被侵犯后的事后救济机制将得到完善，个人信息事前保护机制有待建立，意味着我国将进入个人信息保护新时代。

六、