民法典私密信息与非私密信息及隐私权和个人信息保护的适用关系
候陶;姜园
2020/11/4 8:44:21  点击率[67]  评论[0]
【法宝引证码】
    【学科类别】理论法学
    【出处】本网首发
    【写作时间】2020年
    【中文关键字】民法典;信息
    【全文】

      现代社会是信息社会,要维护自然人的私生活安宁和私生活秘密不受侵害,就必须保护自然人的私密信息不被随意收集、公开或者被滥用。现代隐私权的一项重要功能就是保护自然人的私密信息。《民法典》第1032条第2款规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”自然人的私密信息的范围十分广泛,凡是自然人不愿意为他人知晓的信息,无论是婚姻信息、财产信息、健康信息、家庭住址、病历资料、犯罪记录、个人人生经历、嗜好、性取向、日记、私人信件以及其他个人不愿公开的信息等,都可以纳入私密信息的范围。例如,《民法典》第1226条规定的患者隐私和个人信息,《传染病防治法》第12条第1款第2句规定涉及个人隐私的有关信息、资料,《精神卫生法》第4条第3款规定的精神障碍患者的姓名、肖像、住址、工作单位、病历资料以及其他可能推断出其身份的信息,《艾滋病防治条例》第39条第2款规定的艾滋病病毒感染者、艾滋病病人及其家属的姓名、住址、工作单位、肖像、病史资料以及其他可能推断出其具体身份的信息等,都属于这里的私密信息范围。
     
      在《民法典》颁布之前,我国法律实际上已经注意到了隐私信息与非隐私信息的区分。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条第1款规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”《公共图书馆法》第43条规定:“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息,不得出售或者以其他方式非法向他人提供。”《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1句规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”然而,这些法律和司法解释并未在区分隐私信息和其他个人信息的基础上确立不同的规则,而是适用统一的规则。《民法典》不仅明确区分了个人信息中的私密信息和非私密信息,而且在此基础上明确了隐私权保护与个人信息保护的规则适用。
     
      个人信息中私密信息与非私密信息的根本区别在于:前者是自然人不愿意为他人知晓的信息,且该信息也与公共利益等无关。至于信息的内容并非一定都是高尚的、道德所允许的,也包括那些为道德所谴责的、为人所不齿的内容。毕竟,法律上没有规定人们负有“不得自甘堕落”的义务。因此,只要不涉及公序良俗、不违反法律的强制性规定,即便是不道德的、为人不齿的信息,也属于私密信息,例如,丈夫违背夫妻忠诚义务而与他人有不正当性关系的信息属于私密信息,受到隐私权的保护,他人也不得随意公开,否则构成侵害隐私权。但是,虽然非私密的个人信息也属于个人信息,可并非是自然人不愿意为他人知晓的信息,这些信息有些已经处于公开状态,有些是自然人愿意且往往必须为他人所知才能使得自然人更好地参与社会交往活动。例如,姓名属于个人信息,但姓名是自然人的标识,是区别不同自然人的一种语言标识。通过姓名,自然人得以在与其周围的人的关系中维护其人格,并将自己与他人在社会交往中加以区分,从而作为一个独特的个体存在,获得自我认同,实现人格尊严。如果姓名不为他人所知,如何能够进行社会交往?另外,在很多时候,自然人将其个人信息加以主动公开,如将自己的联系电话、电子邮箱放在个人主页上或作为微信的名称等,这种情形下原本属于私密信息的个人信息也就成为了公开的个人信息。在区分私密信息和非私密信息的基础上,《民法典》第1034条第3款对隐私权和个人信息保护的关系作出了以下规定:
     
      1.私密信息既受到隐私权保护,也受到个人信息保护规则的保护。如前所述,私密信息是自然人不愿意为他人知晓的私人生活的各种相关信息,包括家庭住址、病历资料、健康资料、犯罪记录等。这些私密信息是隐私,属于隐私权的客体,同时也属于个人信息,受个人信息保护规则的保护。
     
      2.个人信息中的私密信息和非私密的信息处理规则存在区别。在处理私密信息时,首先要适用的是《民法典》关于隐私权的规定,然后才能适用《民法典》关于个人信息保护的规定。依据《民法典》第1033条第5项,处理他人的私密信息要么是取得隐私权人的“明确同意”,要么是依据法律的规定,否则,任何组织或者个人实施的处理他人私密信息的行为都构成侵害隐私权的行为。但是,对于处理非私密信息的个人信息,依据第1035条,要么是依据法律、行政法规的规定,要么是得到该自然人或者其监护的“同意”。这里就看出《民法典》对私密信息和非私密的个人信息处理规则上的三点区别:其一,在未经权利人同意的情形下,处理私密信息只能依据法律的规定,而处理非私密的个人信息可以依据法律和行政法规的规定。显然,对于私密信息的保护更为严密。其二,处理私密信息必须取得权利人的同意,而处理非私密的个人信息可以取得自然人或者其监护人的同意。也就是说,监护人也不能擅自同意他人处理被监护人的私密信息。其三,处理私密信息必须取得的是权利人的“明确同意”,而处理非私密的个人信息是取得自然人或者其监护人的同意。“明确同意”与“同意”的涵义是不同的。一方面,明确同意意味着自然人在被告知私密信息将被处理的前提下而作出清晰、明确的允许处理的意思表示。另一方面,明确的同意应当是针对该私密信息被处理而单独作出的同意的意思表示。但是,所谓同意既不要求必须是单独的同意,也不要求仅针对被处理的特定个人信息作出的同意,而可以是概括性的同意(如通过APP的隐私政策可以取得对所有非私密的个人信息的同意)。
     
      3.许可他人使用上的不同。隐私权人可以自行处分权利,如自行在网络上或向媒体公开其私密信息。但是,隐私本身原则上是不能许可他人使用或商业化利用的。《民法典》第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”该条之所以没有列出“隐私”,是因为:隐私权侧重于消极防御的功能,即防止他人对包括私生活安宁、私密信息在内的隐私的侵害,其保护的是自然人对隐私不受他人侵害的利益。因此,隐私权的主要权能就是排除他人侵害的权能,即消极权能。对于隐私,原则上是不能许可他人使用的。允许隐私的许可使用很可能违反公序良俗原则这一民法的基本原则。然而,对于个人信息尤其是非私密的个人信息,自然人完全可以许可他人使用,从而促进网络信息产业和数字经济的发展。故此,《民法典》第1035条规定,只要遵循合法、正当、必要原则,不得过度收集、处理且符合相应的条件,是可以对个人信息加以使用或许可他人使用的。当然,对于私密信息许可他人使用是否可以,仍然需要考虑是否违背公序良俗。
     
      正是考虑到隐私权与个人信息权益的上述差别,《民法典》第1034条第3款才明确规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”该条中隐私权没有规定的个人信息显然是指非私密信息的个人信息。这样一来,我国《民法典》就非常清晰的划分了隐私权与个人信息权益对私密信息和非私密信息这两类个人信息的保护规则。
     
      (二)公开的个人信息与非公开的个人信息
     
      公开的个人信息是指已经合法公开的个人信息,至于那些因他人泄露或非法公开的个人信息,虽然客观上确实处于公开的状态,但不属于法律上的公开的个人信息。依据《民法典》第1036条第2项,合法公开的个人信息包括“该自然人自行公开的”和“其他已经合法公开的”两大类型。其一,自然人自行公开的个人信息,如某教授将自己的办公室电话、手机号、电子邮箱、通信地址等在自己的个人网页上加以公开,从而使得这些个人信息进入了公共领域,任何人都可以获得。其二,其他已经合法公开的个人信息,主要包括两种情形:一是,依据行政行为而公开的个人信息,即因政府机关履行职责而依法加以公开的个人信息,例如,《政府信息公开条例》第15条规定:“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。”再如,依据国务院颁布的《企业信息公示暂行条例》的规定,企业通过企业信用信息公示系统向工商行政管理部门报送上一年度的年度报告,并向社会公示。企业的年度报告中涉及个人信息的内容如“企业为有限责任公司或者股份有限公司的,其股东或者发起人认缴和实缴的出资额、出资时间、出资方式等信息”“有限责任公司股东股权转让等股权变更信息”等。二是,依据司法行为而公开的个人信息,即因为法院的司法行为而公开的法律文书,其中涉及的应当公开的个人信息。例如,依据《最高人民法院关于人民法院在互联网公布裁判文书的规定》,人民法院作出的裁判文书除涉及国家秘密、未成年人犯罪等不应公开的情形外,都应当在互联网上公开。人民法院在互联网公布裁判文书时,虽然应当删除“自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息”“家事、人格权益等纠纷中涉及个人隐私的信息”等信息,但是有些个人信息仍然应当在裁判文书中保留。依据该司法解释第11条第1项,人民法院在互联网公布裁判文书,“除根据本规定第八条进行隐名处理的以外,当事人及其法定代理人是自然人的,保留姓名、出生日期、性别、住所地所属县、区”。区分公开的和非公开的个人信息的最主要的意义在于:处理这些个人信息是否需要得到自然人的同意方面的不同。除非法律、行政法规另有规定,对于非公开的个人信息,必须告知自然人且得到该自然人或者其监护人的同意。对此,《民法典》第1035条第1款有明确的规定。然而,依据《民法典》第1036条第2项,合理处理已经合法公开的个人信息,原则上是无需告知自然人并得到其同意的,除非“该自然人明确拒绝或者处理该信息侵害其重大利益”,否则该处理行为不构成侵害个人信息的侵权行为。由此可见,即便是已经公开的个人信息也是受到法律保护的,只是在保护的强度和密度上要明显弱于非公开的个人信息。
     
      (三)关于敏感的与非敏感的个人信息的区分问题
     
      个人信息中还有另外一个重要的分类,就是依据个人信息对自然人人身财产安全的敏感度,将之分为敏感的个人信息与非敏感的个人息。敏感的个人信息(personalsensitive  information),也被称为“特殊的个人信息”。何为敏感的个人信息,各国法上有不同的界定。欧盟的《一般数据保护条例》第9条第1款将之界定为“揭示种族或者民族出身,政治观点、宗教或者哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康数据,自然人的性生活或者性取向的数据”。德国《联邦数据保护法》则将其界定为“有关个人种族血统、政治观点、宗教或哲学信仰、工会成员资格、健康状况或者性生活的信息”。按照巴西《通用数据保护法》第5条的规定,“关于种族或族裔、宗教信仰、政治观点、工会或宗教、哲学或政治组织成员身份的个人数据,与自然人有关的健康或性生活数据、基因或生物数据”,属于个人敏感数据。我国台湾地区“个人资料保护法”将“有关病历、医疗、基因、性生活、健康检查及犯罪前科”的个人资料规定为特殊的个人资料。
     
      我国《民法典》以及《网络安全法》等法律都没有对敏感的个人信息作出界定,只有一些标准中有相应的规定。笔者认为,虽然《民法典》没有规定敏感的和非敏感的个人信息,但这并不意味着该分类就不重要。《民法典》主要规定的是个人信息保护中的重大的基本的问题,且区分敏感的和非敏感的个人信息主要是体现在对个人信息的处理规则上,故此,可以交由未来的《个人信息保护法》对此作出规定。
     
      所谓敏感的个人信息主要是指,那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息,这些个人信息倘若被非法处理,将会对所涉自然人的人格尊严、人格自由或者其他重大的人身权益、财产权益造成严重的威胁或损害。例如,自然人的生物识别信息具有唯一性和不可更改性,且由于人工智能技术的发展这些生物识别信息往往与自然人的财产、隐私等密切关联,一旦被他人非法获取,就有可能给自然人造成重大的财产损失或者隐私权等被侵害的严重后果。再如,个人的政治观点或者宗教信仰信息,涉及宪法上的言论自由、宗教信仰自由等基本权利,这些个人信息被非法收集、处理,很有可能会侵害自然人的上述基本权利以及其他相关的基本权利,如政府针对特定宗教信仰的人进行迫害,或者在选举时通过各种方式对其进行人格操控等。依据这一界定,以下个人信息应当归入敏感的个人信息:(1)种族或民族信息;(2)宗教信仰信息;(3)政治主张信息;(4)生物识别信息;(5)基因信息;(6)医疗健康信息;(7)性生活与性取向信息;(8)储蓄、证券等金融账户信息。
     
      正是因为敏感的个人信息对于自然人是非常重要的个人信息,所以,在个人信息保护法中对于敏感个人信息的处理规则应有别于非敏感个人信息的处理规则。一方面,为了更好地保护敏感的个人信息,对于这些个人信息原则上禁止处理,除非存在法定的例外情形,例如经过自然人的单独同意、为了维护公共利益等。至于非敏感的个人信息,只要履行告知义务并取得同意即可进行收集和处理。例如,欧盟《一般数据保护条例》第9条就明确规定,对于特殊类型的个人数据原则上禁止处理,除非符合该条第2款规定的特殊情形,如为了维护数据主体的切身利益、维护重大公共利益等。再如,我国台湾地区“个人资料保护法”第6条规定,对于有关病历、医疗、基因、性生活、健康检查及犯罪前科之个人资料,不得搜集、处理或利用。但有下列情形之一者,不在此限:(1)法律明文规定;(2)公务机关执行法定职务或非公务机关履行法定义务必要范围内,且事前或事后有适当安全维护措施;(3)当事人自行公开或其他已合法公开之个人资料;(4)公务机关或学术研究机构基于医疗、卫生或犯罪预防之目的,为统计或学术研究而有必要,且资料经过提供者处理后或经搜集者依其揭露方式无从识别特定之当事人。(5)为协助公务机关执行法定职务或非公务机关履行法定义务必要范围内,且事前或事后有适当安全维护措施。(6)经当事人书面同意。但逾越特定目的之必要范围或其他法律另有限制不得仅依当事人书面同意搜集、处理或利用,或其同意违反其意愿者,不在此限。
     
      另一方面,即便是个人信息的处理者在符合法律规定的前提下,可以处理敏感的个人信息,其在处理中负有的注意义务和法律上的要求也更高,否则,如果因为处理者的安全防护措施不足而造成敏感的个人信息泄露,则对自然人会造成很大的损害或风险。例如,对于依法收集的敏感的个人信息,在保管上,处理者负有更高度的注意义务,而法律法规也对其有更严格的要求,如必须进行风险评估等。

    【作者简介】

    候陶、姜园,扬州市邗江区人法院。


    本网站文章仅代表作者个人观点,不代表本网站的观点与看法。
    转载请注明出自北大法律信息网
0
北大法律信息网
www.chinalawinfo.com
法律动态
网站简介
合作意向
网站地图
资源导航
版权声明
北大法宝
www.pkulaw.cn
法宝动态
法宝优势
经典客户
免费试用
产品服务
专业定制
购买指南
邮件订阅
法律会刊
北大英华
www.pkulaw.com
英华简介
主要业务
产品列表
英华网站
联系我们
用户反馈
返回顶部
二维码