抗疫背景下,《民法典》如何保障个人信息不再透明?
2020/8/7 13:54:55  点击率[14]  评论[0]
【法宝引证码】
    【学科类别】民法典
    【出处】“金诚同达”微信公众号
    【写作时间】2020年
    【中文关键字】民法典;新冠疫情;个人信息
    【全文】

      互联网时代,个人信息泄露已经成为了广受关注却又难以解决的问题。而自从疫情爆发以来,个人信息的登记和个人行程的追踪更是成为“新常态”,线上线下的各种场景都要求我们双手奉上自己的姓名、电话号码和身份证号码等敏感信息。
     
      在理解疫情防控需求的同时,我们也不免对此产生担忧:在居委会、物业、线下商店等场所登记的个人信息是否会被泄露或滥用?有关部门对我们活动轨迹的监控是否在必要的限度内?疫情之后,这种个人信息“透明”的情况会成为惯例吗?
     
      本文将结合疫情防控需求的大背景,与您一同探讨《民法典》的又一个亮点——对个人信息保护问题的回应。
     
      《民法典》如何定义个人信息?
     
      2017年起实施的《民法总则》仅在第111条中对自然人的个人信息受法律保护作出了原则性的规定,即“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
     
      而《民法典》除了在总则第五章“民事权利”的第111条延用该条款之外,还在人格权编的第六章中设立了“隐私权和个人信息保护”专章,强化了对公民隐私和个人信息的保护。
     
      对于个人信息的定义和区分,第1034条第2、第3款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
     
      值得一提的是,《网络安全法》此前也对个人信息进行了界定,2018年公布的第一版《民法典》草案中,个人信息的定义与其完全相同,第三次审议稿中增设了“电子邮箱、行踪信息”。正式发布的版本中又新增了“健康信息”。这很难让人不联想到此次疫情的影响,充分体现了《民法典》对社会新情况的及时回应。
     
      虽然《民法典》就隐私权及个人信息设立了专章,但仍未对个人信息的法律属性作出清晰的规定,自然人对个人信息享有的究竟是一项民事权利,抑或仅仅是受保护的民事利益?笔者认为,《民法典》并未将个人信息确立为独立的民事权利,而仅仅是将其作为一种人格权益加以保护。
     
      一方面,《民法典》总则第五章的标题为“民事权利”,但并不意味着其中规定的所有内容都是独立的权利。我国人格权法的主流观点认为,人格权应当采取人格权法定主义的立场。《民法总则》第111条未使用“个人信息权”的表述,足以表明,立法者只是认为自然人的个人信息应受到法律的保护,而不是一种具体人格权。[1]
     
      另一方面,《民法典》的亮点之一是正式确立了隐私权,而从第1034条第3款可以看出,立法者对隐私和个人信息作出了区分,个人信息中的私密信息适用有关隐私权的规定,一般的个人信息则既未被归入隐私的范围,也并未对其设置独立的民事权利。
     
      疫情期间收集个人信息的法律基础和条件
     
      疫情防控的大背景之下,无论是居委会、街道办事处、小区物业、单位,还是我们出入的每一个超市、餐厅、机场和高铁站等场所,都以纸质登记或线上填报的方式,要求我们提供个人信息,而且提供的信息范围广、性质敏感。这不由得让人心生疑虑:这些机构/场所真的有权利这样做吗?他们收集的信息范围又是否真的在疫情防控需要的限度内、是否能够对该等信息进行足够的保护?
     
      首先,疫情期间收集个人信息可在《民法典》中找到法律基础,不同部门法律法规之间的衔接也得以体现。
     
      《民法典》对个人信息的保护并不是绝对的,第1035条肯定了现实中存在需要处理个人信息的情况,可以作为疫情期间收集个人信息的法律基础:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外……个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”
     
      在不登记信息就无法进入自家小区、办公楼等场所的背景下,将大家登记信息的行为认定为已经征得了默认同意,自然是站不住脚的。但是第1035条第(一)项还明确了例外情形:“法律、行政法规另有规定的除外”。第1036条则进一步规定,为维护公共利益或者该自然人合法权益,合理实施的个人信息处理行为不承担民事责任。
     
      其次,疫情防控实践中出现了不少信息收集不规范、保护不到位的情况。此时,《民法典》对个人信息处理行为规定的限制条件将发挥作用。
     
      《民法典》第1035条第(二)项和第(三)项规定,处理个人信息的,应当公开处理信息的规则,明示处理信息的目的、方式和范围,不违反法律、行政法规的规定和双方的约定。我们在许多场合都可以看到,信息收集的主体都会声明收集该等信息只用于疫情防控备查,不会用于其他用途。虽然过于概括,但也在一定程度上吻合了上述条件。其实际行为如有违反,将构成对自然人民事权益的侵害。
     
      《民法典》正式颁布之前,疫情期间收集公民个人信息的主要法律依据是《传染病防治法》《突发公共卫生事件应急条例》等社会法体系内的法律法规。将《民法典》的上述规定放在疫情的大背景之下进行考量,可以看到立法者考虑到了民事权益的保护与公共利益之间的平衡,民事法律与其他部门法之间的衔接;另一方面也表明,其他法律规定或公共利益并不是“免死金牌”,根据其他法律规定或公共利益实施的个人信息处理行为仍应符合《民法典》规定的条件。
     
      不同主体对于个人信息的权利和义务
     
      对不同主体关于个人信息的权利与义务的规定,是《民法典》对个人信息保护的一大创新与突破:
     
      个人信息主体
     
      个人信息主体享有对自己个人信息的处理知情权、查阅权、复制权、更正权、以及删除权。
     
      其中,查阅权、复制权、更正权、以及删除权规定在第1037条。具体而言,自然人可以向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施;发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
     
      “处理知情权”则是笔者基于第1035条关于信息处理者“应当公开处理信息的规则,明示处理信息的目的、方式和范围”的规定,暂时采取的表述。笔者认为,第1035条实质上表明自然人有权知悉自己的个人信息在何时、何地及以何种方式被收集、存储、使用、加工、传输、提供和公开。
     
      在疫情防控的背景下,我们可能会思考:删除权的规定是否可以更进一步?比如说,我们的个人信息系基于疫情防控的需求而被收集、储存和使用,那么在疫情过去之后,我们是否可以请求信息处理者予以删除,以保护自己的个人信息?正如GDPR规定的“被遗忘权”,出现“个人数据于实现其被收集或处理的相关目的不再必要”等六种情形之一时,数据主体有权且数据控制者有责任及时擦除相关个人数据。当然,社会成本也是值得考虑的问题。
     
      信息处理者
     
      第1038条规定了信息处理者的义务,包括以下四项:
     
      不得泄露或者篡改其收集、存储的个人信息;
     
      未经同意,不得向他人非法提供个人信息;
     
      确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;
     
      发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告等。
     
      虽然已有关于个人信息保护的其他法律规定,网信办也在今年2月份及时出台了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,但疫情防控中的个人信息保护仍存在“重采集、轻保管”,“重溯源、轻保密”,“重实效、轻管理”等问题[2]。《民法典》提出了“信息处理者”的新概念,覆盖了对疫情期间个人信息的收集、存储、使用、加工、传输、提供和公开等每一个环节涉及的主体,涉及的所有主体都应根据该条履行其义务。
     
      国家工作人员
     
      此外,第1039条还对国家工作人员提出了特别的要求:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”
     
      也就是说,即使国家工作人员不是对个人信息进行收集、存储、使用、加工、传输、提供、公开的主体,仅是因为履行职责而知悉了自然人的隐私和个人信息,也应当履行保密义务。
     
      音符动态简约分割线
     
      疫情防控的需求使得政府和各种组织机构对我们个人信息的掌握都达到了前所未有的程度。在此期间,保护个人信息的声音似乎在一定程度上被疫情带来的焦虑所淹没。
     
      但一方面,疫情防控需求对我们个人领地的侵入,必须在合理的范围之内并且根据疫情防控的需求进行调整。只要仍有改进的余地,人类的人格利益和生命健康就不应该是二选一的关系。另一方面,疫情防控的需求只是暂时的,待疫情彻底过去,各类主体甚至我们自己保护个人信息的意识是否会被侵蚀?我们能否从疫情期间侵害个人信息的现象中吸取经验教训?这些都是我们必须考虑的问题。
     
      在这种情形下,民法典的相关规定可以说是恰逢其会,回应了关于个人信息保护的痛点。而全国人大常委会也在2020年5月25日的工作报告中指出,要制定个人信息保护法、数据安全法等专门法,完善个人信息被侵犯后的事后救济机制、待建立个人信息事前保护机制等。期待随着人格权益意识的加强法治的进步,我们的个人信息将不再透明。

    【作者简介】
    陈冠琪,北京金诚同达律师事务所律师。
    【注释】
    [1]参见程啸:民法典编纂视野下的个人信息保护,社会科学文摘,2019(11),p72.
    [2]吴姝静:全国政协委员谷振春:警惕疫情期间个人信息泄露,搜狐网(原载于《团结报》,https://www.sohu.com/a/397639381_120025204.

    本网站文章仅代表作者个人观点,不代表本网站的观点与看法。
    转载请注明出自北大法律信息网
0
北大法律信息网
www.chinalawinfo.com
法律动态
网站简介
合作意向
网站地图
资源导航
版权声明
北大法宝
www.pkulaw.cn
法宝动态
法宝优势
经典客户
免费试用
产品服务
专业定制
购买指南
邮件订阅
法律会刊
北大英华
www.pkulaw.com
英华简介
主要业务
产品列表
英华网站
联系我们
用户反馈
返回顶部
二维码