虽然新法规引入了个人信息权和数据保护的概念,但非法使用的定义和范围尚未明晰。

重点

• 个人信息权纳入民事法律权利体系,个人可就侵权行为提出侵权之诉。

• 数据被视为一种“无形”资产,但不同于商业秘密、版权和专利权等类型的知识产权。

• 了解新《总则》覆盖范围的最佳方法莫过于与《网络安全法》等其他最近的立法进行比对。

背景资料

2017年3月15日,中华人民共和国(“中国”)全国人民代表大会(“全国人大”,中国立法机关)通过了《民 法总则》(“《总则》”),该法是仍然处于起草阶段、计划在2020年实施的民法典的序章。《总则》以 1986年版民法通则为基础。1986年版虽然具有重大历史意义,但由于中国“改革开放”以来经历了三十多年 的高速经济发展和急剧的社会变迁,该版本变得不合时宜。为了迎接中国的未来社会与经济发展、加强对 权益的保护以及建立个人和实体责任制,《总则》对1986年民法通则旧有的155项规定做出删改,并在其基 础上新增50项新规定。尤其值得关注的是新加入的“个人信息”权与确立“数据”保护的条款。

“个人信息”权

《总则》第111条规定自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法 取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他 人个人信息。

个人信息潜在定义范围广

《总则》虽然引入个人信息的概念但并没有给予定义或明晰的范围。最近对个人信息最全面的定义是《网 络安全法》第76条所述的:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识 别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信 息、住址、电话号码等。”

最高人民法院预计将会(但不会马上)就《总则》发布司法诠释,希望到时候能明确定义个人信息。目前 要了解个人信息的覆盖范围暂时还是需要依赖其他法规。

一般适用性 在

《总则》颁布前,“个人信息”一词已经在管理或影响某些行业的法律、法规和规章制度中得到采用,例 如:金融服务、电信、生命科学、物流和互联网。随着《总则》的通过,对个人信息的保护已强制适用于 所有个人和组织。

侵权行为 在

《总则》正式引入个人信息权的概念前,个人信息被侵犯的受害者需要依赖行政机关或检察机关向侵权 人追究行政及/或刑事责任。除非受害人能够证明其名誉因个人信息被侵犯而受损,否则法院通常不会支持 以个人信息被侵犯为由提出的诉讼。而现在随着个人信息权被纳入《总则》,任何自然人或组织均可以个 人信息被侵犯为由提起诉讼。

“非法”活动

《总则》规定任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、 使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。然而,《总则》并未明确 地说明哪些活动将被视为“非法”。

在《总则》的任何司法解释或实施规则公布前,其他法律可以作为参考。例如全国人大常委最近实施的 《网络安全法》,全面规定了关于如何处理个人信息。个人信息的处理必须遵守以下规则::

• 收集和使用个人信息时应遵守“合法性”、“合理性”和“必要性”三个原则。

• 组织应获得个人明确的知情同意。

• 个人信息的收集范围应该是相关而不至于过多。

• 信息应该是准确和最新的。

• 如果信息经过加工已经无法用来识别特定个人,则有关个人信息可与第三方共享。

• 信息管理者必须采取充分的保护措施,确保个人信息安全。

• 对于某些被视为关键信息基础设施的行业,个人信息应保存在中国境内,其跨境转移需要具备业务必要 性并获得政府批准。(这一限制范围在最新公布《个人信息和重要数据出境安全评估办法(征求意见 稿)》有进一步扩张)

数据保护

《总则》第127条 规定应依法对数据和网络虚拟财产提供保护,这也同样重要。

数据性质

律师事务所

回顾法律起草程序,数据在的《总则》草案征求意见稿中被归类为知识产权,与版权、商标或专利并列, 但最后,数据从第123条知识产权规定中被移除并自立为一条款(第127条)。这项变更表明了立法者可能 的观点,即尽管数据不可被视为知识产权,它应被视为一种财产,需要加以保护。

某些数据可能涉及个人信息,所以数据安全和个人信息保护虽然是独立名词但又息息相关。数据通常以物 理形式存储,是无形的个人信息的载体和传输媒介。现实中,数据安全漏洞可能会导致个人信息被侵犯。

现行法规下的数据保护

《总则》将数据和互联网虚拟资产与其他类型的财产分开,立法者很可能是打算以其他法律(现在和将来 的)规范和保护数据和虚拟资产。某些现行法律已经提供了各种不同形式的数据保护模式。例如,构成版 权、专利权、商业秘密和其他知识产权形式的数据可能受到相关知识产权法律法规的保护。此外,中国 《反不正当竞争法》禁止非法侵犯他人以数据形式保存的商业秘密。

分析

《总则》是中国法律史上的一个里程碑。这些规定进一步加强了多项零碎的数据和个人信息监管规定之间 的连系,在民法领域树立一个总体原则。《总则》没有为个人信息的保护明确定义“非法”活动,也没有 提出具体的数据保护措施,但从最近通过的《网络安全法》和未正式签发的侵犯个人信息刑法司法解释中 可见中国立法者的决心。这种趋势表明立法者对个人信息和数据安全的意识提高,并从三方面的法律(即 民事、行政和刑事)加强有关保护。因此,为应对这一趋势,企业应提前准备好建立更加审慎、能够符合 更高合规标准的个人信息和数据管理体系。