石佳友:个人信息保护法与民法典如何衔接协调

来源:中国民商法律网 编辑:李翻 审核人:刘园园 发布时间:2021-02-23

个人信息保护具有民事权利属性,《个人信息保护法》属于《民法典》的特别法,可以对《民法典》作出补充和例外规定,对其一般性规定进行变通和突破,但是不能违背其所确立的合法正当必要等基本原则。正确理解《民法典》与《个人信息保护法》的关系,在立法技术层面,应做好二者的协调和优化,尤其关于个人在信息处理活动中的有关权利制度。从《民法典》的立法精神出发,基于实践意识和问题导向,《个人信息保护法(草案)》可进行进一步完善和提升。

近期,立法机关公布了《个人信息保护法(草案)》,引起了广泛的关注。草案具有诸多亮点,呈现出较为鲜明的时代特色和问题意识,在《网络安全法》《民法典》等现行法的基础上,增设了知情同意制度、敏感信息、自动化处理、删除权、公共场所的监控设施等具有重要意义的新制度。

一、正确理解《民法典》与《个人信息保护法》的关系

众所周知,《民法典》在总则编(第111条)和人格权编(第1034—1039条)以多个条文对个人信息保护作出了重要规定,奠定了个人信息保护制度的规则框架;而《个人信息保护法》则是一部全面、系统规定个人信息保护的单行法。二者的关系是什么?有论者认为,二者之间不是普通法与特别法的关系。原因在于,《民法典》仅能调整平等主体之间的个人信息处理活动;而《个人信息保护法》同时涉及私法关系(私法主体之间)与公法关系(国家机关处理个人信息);而另外,《个人信息保护法》还规范不平等的私法主体(如用户与互联网平台)之间的关系。因此,《个人信息保护法》是所谓的“领域法”,或者是调整事实上地位不平等的主体之间的“社会法”,而非《民法典》的下位法,亦非其特别法;否则,可能陷入所谓“民法霸权主义”的误区。

就个人信息保护这一问题而言,《民法典》作为基本法,无疑具有普通法的地位,其约束的义务主体“信息处理者”涵盖了所有的信息处理机构和个人,突破了《网络安全法》中所规制的义务主体(“网络运营者”)的限制,具有一般性。而《个人信息保护法》作为全面规制个人信息处理的单行法,则具有特别法的属性,对民法典作出了大量的补充和例外性规定。二者之间的关系类似于《民法典》与《消费者权益保护法》的关系。在比较法上,民法典与单行法的关系通常被形象地描绘为太阳系的格局:民法典是“太阳”,而单行法则构成围绕“太阳”公转的“行星”;“行星”根据“太阳”所投射的“光芒”来进行解释。典型的例子如《魁北克民法典》“序言”第2款规定:“民法典由调整相关事项的规则的整体所组成,这些条文的文字、精神或对象在其所调整事项的领域内,以明示或默式的方式确立了其‘共同法’。在这些领域中,法典是其他单行法的基础,尽管单行法可以补充或者作出例外规定。”这就是说,民法典与单行法之间是普通法与特别法的关系,单行法可以对民法典作出补充或例外规定。在单行法有规定的情况下,单行法应得到优先适用;在单行法没有规定的时候,则应适用作为普通法的民法典。从这个意义上说,《个人信息保护法》属于《民法典》的特别法,这并不意味着对《个人信息保护法》地位的贬低或者对其功效的抑制。作为全面系统规定个人信息处理制度的单行法,《个人信息保护法》可以对《民法典》作出补充和例外规定,对《民法典》的一般性规定进行变通和突破,尤其对行政监管、信息跨境流动等民法典没有规定或不适合规定的内容增设规定。但是,《个人信息保护法》不能违背《民法典》所确立的基本原则,例如,《民法典》中关于个人信息(第1034条)及个人信息处理的定义(第1035条第2款)、合法正当必要等处理原则(第1035条第2款)、免责事由(第1036条)、侵权责任等。

二、《个人信息保护法》与《民法典》的立法技术协调和优化

个人信息的权利主体。关于个人信息的权利主体,《民法典》中的措辞是“自然人”;而《个人信息保护法(草案)》采取的措辞则是“个人”,譬如该草案第四章标题为“个人在个人信息处理活动中的权利”。从所指对象来说,二者并无差别,在措辞上似宜保持一致。

个人信息的类型。《民法典》第1034条区分了一般个人信息与私密信息。但《个人信息保护法(草案)》并未采纳这一区分,草案第29—32条则采纳了“敏感信息”这一比较法上通行的概念;二者有明显差异。相比较而言,“敏感信息”的概念内涵比较明确具体(如种族、政治与宗教信仰、生物识别信息、健康信息、性取向等);而“私密信息”在边界上则较为模糊,可涵盖所有未公开的个人信息,包括在特定范围内(如家庭成员、朋友间)分享的所有信息。从客体范围的确定性角度来看,《个人信息保护法(草案)》的做法似更可取。

个人信息的处理原则。《民法典》第1035条规定了合法、正当、必要原则。而《个人信息保护法(草案)》第5条的措辞则是“处理个人信息应当采用合法、正当的方式”,将合法正当上升为原则;草案第6条规定了处理应限于实现处理目的的最小范围,这正是必要性原则的逻辑后果,但未明确规定此原则,因此建议明文规定“必要性”原则。

关于公开信息的处理。《民法典》第1036条第2款规定,合理处理该自然人自行公开的或者其他已经合法公开的信息,不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。这里,“处理该信息侵害其重大利益的除外”,是指如果处理该信息可能侵害权利人的重大利益;对于这样的例外情形,即便权利人同意,处理者也不得进行处理。《个人信息保护法(草案)》第28条规定了处理公开信息的告知同意制度,包括利用已公开的个人信息从事对个人有重大影响的活动。根据该条,如果权利人同意,即便对其有重大影响处理者亦可处理。此点需与《民法典》的前述规定保持一致。

信息安全义务。《民法典》第1038条规定信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。《个人信息保护法(草案)》第50条规定了处理者负有防止未经授权的访问以及个人信息泄漏或者被窃取、篡改、删除等义务。建议明确设定信息处理者的安全保障义务,这对于要求互联网平台采取必要的安全措施尤为重要;这也是当前个人信息被侵害的“重灾区”。

获利返还规则。如前所述,《个人信息保护法(草案)》第65条借鉴《民法典》第1182条引入了获利返还规则,但在最后增加了一句:“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”这句规定过错要件,似采取过错推定责任。但是,学界对侵害个人信息责任的归责原则存有争议,如采取过错推定责任,可能会与《民法典》第995条人格权请求权条款发生冲突(不以过错为要件)。例如,在信息处理者违反安全义务导致信息泄露的情况下,无论其是否有过错,均应采取相应的补救措施。因此,建议删除本句,或者将其“责任”限定为“损害赔偿责任”,而不包含人格权请求权(如消除危险)。

三、《个人信息保护法》与《民法典》的立法精神协调

《个人信息保护法(草案)》的重大亮点之一,是详细规定了信息主体的各项权利。从《民法典》强调个人信息权益保护的立法精神出发,针对实践中一些较为突出的问题,草案在以下方面仍可继续完善和改进。

知情同意权。《个人信息保护法(草案)》第17条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。就此而言,可参考中国人民银行2020年9月发布的《金融消费者权益保护实施办法》第29条,其中明确规定金融机构“不得变相强制收集消费者金融信息”。因此,针对大量的APP存在变相强制消费者被迫同意处理其个人信息的情况,草案可增加规定“信息处理者不得变相强制个人作出同意”,确保个人知情同意权的真正落实。

委托处理。《个人信息保护法(草案)》第22条规定:“个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督”。但本条仅规定了委托方与受托方之间的外包处理约定问题,而未规定信息主体对委托处理活动的同意和控制权。就此而言,值得参考的是,《信息安全技术 个人信息安全规范》(2020年版)第9.1条a项规定:“个人信息控制者作出委托行为,不应超出已征得个人信息主体授权同意的范围。”因此,建议《个人信息保护法(草案)》在本条增加规定:“委托处理个人信息的,不应超出个人授权同意的范围。”

自动化处理。《个人信息保护法(草案)》第25条针对实践中大量应用的自动化处理作出了规定,具有重大意义。根据该条第1款,利用个人信息进行自动化决策应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。这是对第7条“公开透明原则”的具体应用。第25条第2款对网络画像作出了规定:通过自动化决策方式进行商业营销、信息推送;应当同时提供不针对其个人特征的选项;这里显然是赋予消费者以同意权和选择权。从这一精神出发,第一,参考欧盟《一般数据保护条例》(简称“GDPR”)第22条“数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益,以及数据主体对控制者进行人工干预,以便表达其观点和对决策进行异议的基本权利”,建议草案在第25条第1款增加个人有权要求处理者进行人工处理(人工干预和复核)的权利。因为如今大量的售后客服都是采用人工智能和机器人自动应答模式,消费者无法获得人工复审的权利,这在本质上是经营者逃避责任的方式,立法应当进行规制。

敏感信息。《个人信息保护法(草案)》规定敏感信息是其重大创新,这也是立法文件中第一次引入了敏感信息这一重要范畴。草案第29条第2款规定:“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”本款规定特别指明了敏感信息的特殊重要性:一旦泄露或者非法使用,可能导致个人受到歧视或者人身财产安全受到严重危害,即严重影响个人的基本权利。因此,法律对敏感信息的处理必须设定特殊的要求。

从这个角度来看,草案第29条第1款规定仍有值得完善的地方。该款规定:“个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。”此处“具有特定的目的和充分的必要性”,措辞过于宽泛,建议在“具有”之前增加“基于维护公共利益或个人的重大利益”。以GDPR第 9条为参考,尽管该条第1款亦使用了“特定目的(specific purposes)”的措辞,但该语词是指基于个人的重大利益或者在健康、劳动、社会保险等领域的公共利益等。这从随后其他几项条款的措辞也可以看出:对信息数据主体的基本权利和利益是必要的;非营利机构的正当性活动中所进行的处理;处理是为了实现公共利益所必要的;科学或历史研究目的或统计目的是必要的并采取了合理的保护措施等。

此外,GDPR第35条第1款规定,当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时,在考虑了处理的性质、范围、语境与目的后,控制者应当在处理之前评估处理行为对个人数据保护的影响。而《个人信息保护法(草案)》第54条第1款也规定了处理敏感信息必须进行事前的风险评估制度;第2款规定了风险评估的内容。预计风险评估的具体机制将交由有关主管部门以规章形式加以规定,但从增加法律的可预期性和透明度角度出发,本款宜增加规定风险评估的原则、评估效力等基本问题。

删除权。《民法典》第1035条规定,处理个人信息的,应当遵循合法、正当、必要原则。而《个人信息保护法(草案)》第47条规定:“有下列情形之一的,个人信息处理者应当主动或者根据个人的请求,删除个人信息:约定的保存期限已届满或者处理目的已实现。”欧盟GDPR第17条删除权的规定中,(a)项是个人信息对于实现其被收集或处理的相关目的不再“必要(necessary)”。因此,从与《民法典》协调一致的角度、强调必要性原则出发,建议将“处理目的已实现”改为“个人信息对其处理目的而言已无必要”。

信息泄漏时的通知义务。《个人信息保护法(草案)》第55条第2款规定:“个人信息处理者采取措施能够有效避免信息泄漏造成损害,个人信息处理者可以不通知个人。”此处是对信息处理者通知义务的豁免,但是,为防止信息处理者自己作出安全判断以规避通知个人的义务,建议增加规定“经履行个人信息保护职责的部门评估”,而非任由处理者自行作出判断。

增加携带权。以GDPR第20条为例,所谓携带权是指信息主体有权无障碍地将信息从其提供给的控制者那里传输给另一个控制者。就此而言,值得注意的是,中国人民银行2019年《金融消费者权益保护实施办法(征求意见稿)》第36条曾规定:“鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。”这是关于信息携带权的倡导性规定,携带权有助于打破信息的垄断,促进信息的自由流通,同时将强化信息主体对信息的控制与利用;当然,携带权会给信息处理者带来相应的义务和成本,因此现阶段仍然存在争议。从长远来看,为鼓励信息的流通,《个人信息保护法》可仿效前述倡导性规定,以倡导性规范的软性方式,对携带权作出前瞻性的指引式规定。而此类软法性和指引式规范的设置,也是治理现代化的重要表征。

人脸识别问题。《个人信息保护法(草案)》体现出充分的问题意识和实践特色,其第27条对公共场所的视频监控作出了规定,对于保护公民的隐私和个人信息具有重要意义。根据该条,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。鉴于人脸识别在当前成为社会关注的焦点,本条可参照比较法经验进行进一步完善。出于对隐私的保护,国外的立法对于公共场所的摄像头安装都有严格限制,譬如,比利时2007年通过的全球第一部“摄像头法”——《关于安装和使用监控摄像设备的法律》)规定,安装公共场所的固定或者移动摄像头,都必须基于“预防、确定和调查违法行为”;另外,该法第8条第1款规定:“具有存储和自动识别功能的监控设备,只能用于车牌的自动识别,此类设备的使用必须尊重保护隐私的有关规定。”在我国,已出现人脸识别技术滥用问题,一些商业机构甚至小区物业在并无必要性的情况下,强制用户进行人脸识别,对其生物识别信息和隐私构成严重的威胁,也构成对业主财产所有权行使的不当限制。从这个角度出发,草案前引第27条中“公共安全”的措辞过于原则和宽泛,不足以应对人脸识别的滥用,建议在“为维护公共安全所必需”之前增加规定:“基于预防、调查违法、犯罪行为等目的”,防止物业管理企业对业主任意设置人脸识别要求;另外,除强调信息只能用于维护公共安全的目的之外,建议还增加规定:“应当依法保护个人的隐私权等合法权益。”