天元律师事务所 刘瑛 李晓华
2020年5月28日通过的《中华人民共和国民法典》(《民法典》)总则第一百一十一条明确规定,自然人的个人信息受法律保护,第四编第六章对个人信息保护做了专门规定。《民法典》在《网络安全法》等现行有关法律规定的基础上,从私权利保护角度进一步强化对个人信息的保护。通过比较《民法典》与《网络安全法》关于个人信息保护的相关规定,我们可以注意到其关于个人信息保护的要求是一脉相承的,但相关规定仍是较为原则性的,尚有若干问题需由个人信息保护专门性立法和相关配套制度来完善。
个人信息的定义
对个人信息的定义,《网络安全法》和《民法典》的规定如下:
《网络安全法》明确了个人信息的定义,将可识别性作为受法律保护的个人信息的判断标准。但是,《网络安全法》并未明确区分隐私与个人信息的关系。《民法典》与《网络安全法》对个人信息定义的规定无实质差异,同样是将可识别性作为判断受法律保护的个人信息的标准。《民法典》第一百一十条和第一百一十一条将隐私权和自然人个人信息受保护的权利进行了区分,并在人格权编第六章中分别设置了不同的保护规则。从《民法典》可以看出,隐私与个人信息既有重叠,也有差异。个人信息可能涉及自然人的隐私,也可能不涉及自然人的隐私。其中,根据《民法典》第一千零三十二条第二款,个人信息中的私密信息属于隐私,按照隐私权的相关规定进行保护,没有规定的,则适用个人信息保护的规定。
但是,《民法典》并未明确私密信息的具体类型。信息处理者对私密信息的具体保护规则和要求,例如是否可以参照《信息安全技术 个人信息安全规范》(GB/T 35273—2020)关于敏感信息的保护规范进行保护,目前缺乏具体的规定。
个人信息保护的责任主体和基本要求
《网络安全法》和《民法典》对个人信息保护的责任主体和基本要求包括:
《网络安全法》从网络安全监管角度,侧重于规范网络运营者、网络产品和网络服务提供者的保护责任,原则性地规定了该等主体收集、使用个人信息的基本要求,包括对个人信息保护的作为义务(第四十二条第二款)和不作为义务(第四十二条第一款),以及收集、使用个人信息应当遵循的基本规则。与《网络安全法》相配套,《儿童个人信息网络保护规定》《App违法违规收集使用个人信息行为认定方法》以及《信息安全技术 个人信息安全规范》(GB/T 35273—2020)、《互联网个人信息安全保护指南》《网络安全实践指南——移动互联网应用业务功能个人信息收集必要性规范》等规范性文件和行业规范的相继发布和实施,为网络和电子场景下信息处理者对于个人信息的保护要求提供了具体的规范和指引。
《民法典》从私权利保护角度原则性规定了信息主体处理个人信息的基本要求,与《网络安全法》规定的基本相同。但是,《民法典》并不区分信息处理主体是否属于网络运营者、网络产品或网络服务提供者,也不区分信息处理行为是否通过网络或以电子方式进行。
对信息处理者在非网络和电子场景下处理信息的行为,例如,线下经营的教育机构、医疗机构、健身房、餐饮企业等收集个人信息时,是否也需要通过与信息主体签订相应的《个人信息保护政策》等文件公开信息处理规则,明示处理信息的目的、方式和范围,目前尚缺具体的规范和指引。
查阅权、删除权和更正权
《网络安全法》规定了自然人对个人信息的删除权和更正权。同样地,《民法典》也规定了自然人对个人信息的删除权和更正权。
《民法典》规定的删除权和更正权与《网络安全法》中的规定并无实质性差异——在《网络安全法》中,应自然人要求删除和更正个人信息的责任主体为网络运营者,在《民法典》中,该等责任主体包括但不限于网络运营者,还包括网络运营者之外的通过非网络和电子手段处理个人信息的信息处理者。
更进一步,《民法典》规定了信息主体依法向信息处理者查阅或复制其个人信息的权利。信息主体能够无障碍地查询其个人信息,是其能知悉、发现信息处理者处理的个人信息是否有错误、信息处理者是否违法或违约处理个人信息的事实前提。《民法典》对此进行了完善,明确规定信息主体依法向信息处理者查阅或复制其个人信息的权利,对个人信息的删除权和更正权进行了强化。
根据《民法典》第一千零三十七条,自然人查阅和复制个人信息时应当“依法”进行。但对信息主体行使该权利所应当依据的规则,包括但不限于查阅和复制个人信息的具体方式、范围,以及信息处理者响应自然人查询和复制请求的期限和应当采取的具体措施等,《民法典》并未明确。
法律责任
《网络安全法》主要从网络信息安全保护角度规定个人信息保护的相关要求,并规定侵害个人信息权利行为的公法责任,其中以行政责任为主(第六十四条)。对侵害个人信息行为的私法责任,《网络安全法》仅在第七十四条第一款指引性地规定“依法承担民事责任”。
《民法典》从私权利保护角度,构建自然人与信息处理者之间的基本权利义务框架[①]。《民法典》将自然人个人信息受法律保护的权利明确为人格权(权益)。个人信息依法保护的权利受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担停止侵害、赔偿损失、消除影响、恢复名誉等民事责任。《民法典》还提出了合理处理合法公开个人信息和为维护公共利益或者该自然人合法权益而合理使用个人信息情形下,行为人不承担民事责任的规则(第一千零三十六条)。
目前《民法典》未专门针对侵害个人信息权利行为规定赔偿责任规则。自然人个人信息权利受到侵害时,可以适用《民法典》第一千一百八二十条的一般规定,即由侵权人按照被侵权人由此造成的财产损失或侵权人因此获得的利益进行赔偿,如被侵权人因此受到的损失以及侵权人因此获得的利益难以确定,且被侵权人和侵权人不能协商一致的,由人民法院根据实际情况确定赔偿数额(第一千一百八十二条)。且根据《民法典》第一千一百八十三条,被侵权人因此受到的谨慎损害达到严重程度时,被侵权人才有权请求精神损害赔偿。
在《民法典》框架下,侵害个人信息权利的损害赔偿责任以补偿性赔偿为主,未规定侵害个人信息权利行为的法定赔偿额制度或惩罚性赔偿制度。实践中,当自然人的个人信息权利受侵害时,更普遍的情况是,被侵权人的生活安宁、精神等非物质层面受到侵扰,但没有或仅导致极少的财产损失;而侵权人也往往未因此获利或获利甚微。对于此类情况,补偿性赔偿制度对侵害个人信息权利行为的威慑力和对被侵权人的救济,恐怕是不足够的。
因此,个人信息权利受侵害时,特别是侵害行为涉及自然人的私密信息导致自然人的隐私权受到侵害时,是否借鉴《消费者权益保护法》《食品安全法》中的“假一赔三”[②]“假一赔十”[③]等法定赔偿额制度,或者甚至可以适用惩罚性赔偿制度,是个人信息保护立法过程中被广泛关注的问题。
公共机构及其工作人员的保密义务
《网络安全法》规定了依法负有网络安全监督管理职责的部门及其工作人员对履职过程中获得的个人信息进行保密的责任。类似地,《民法典》规定了国家机关、承担行政职能的法定机构及其工作人员对履职过程中获得的个人信息进行保密的责任。
与企业等经营者不同,政府部门等公共机构对个人信息的处理,主要是为履行其公共职责、维护国家安全和社会公共利益。政府部门等公共机构所处理的个人信息量大且广泛,一旦该等个人信息被非法泄露,将可能严重危害国家安全、国计民生和公共利益。因此,法律有必要规定公共机构及其工作人员对个人信息的保密责任。
但是《网络安全法》和《民法典》均未明确,如该等公共机构及其工作人员违反了上述规定,其应当承担的具体法律责任。例如,当该等公共机构及其工作人员违反上述规定,损害权利人的利益时,相关责任主体承担何种程度的民事责任和行政责任;又如,权利人是否有权要求相关责任主体承担国家赔偿责任等。
结 语
《民法典》明确规定了个人信息受法律保护的民事权利,进一步强化了个人信息保护的正当性基础,为下一步个人信息保护专门立法提供了基本法律依据。目前,《个人信息保护法》已纳入立法规划,专门立法和相关配套规定将会进一步细化个人信息保护相关要求。
尽管《民法典》对于个人信息保护仍留下了一定细化和完善空间,但个人信息保护已成为全社会共识、且受到关注。因此,企业无论是否通过网络或电子方式活动,均应当关注经营过程中的个人信息处理合法性和合规性,并根据外部环境的变化适时调整。
注释:
[①]全国人大常委会副委员长王晨在第十三届全国人民代表大会第三次会议上关于《民法典(草案)》的说明。
[②]《消费者权益保护法》规定:“经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或者接受服务的费用的三倍;增加赔偿的金额不足五百元的,为五百元。法律另有规定的,依照其规定。”
[③] 根据《食品安全法》第一百八十四条,生产不符合食品安全标准的食品或者经营明知是不符合食品安全标准的食品,消费者除要求赔偿损失外,还可以向生产者或者经营者要求支付价款十倍或者损失三倍的赔偿金;增加赔偿的金额不足一千元的,为一千元。
声明
-本文仅为交流目的,不代表天元律师事务所的法律意见或对法律的解读,如您需要具体的法律意见,请向相关专业人士寻求法律帮助;
-本文系天元律师事务所原创,如需转载,请注明来源。
