2017年3月15日,全国人大通过了《中华人民共和国民法总则》(“《民法总则》”)。该总则为计划于2020年颁布的民法典的首章。在第十二届全国人大第五次会议闭幕会上,出席代表2838人,以2782票赞成的高票通过《民法总则》。《民法总则》将于2017年10月1日起施行。

《民法总则》第111条[1]对个人信息保护作出了规定,是《民法总则》的亮点之一。个人信息保护于2016年10月31日公布的《中华人民共和国民法总则(草案二次审议稿)》(“《二次审议稿》”)[2]中首次提出,意在遏制互联网时代猖獗的个人信息非法收集、加工和交易。《二次审议稿》第109条规定:“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。”

相较于《二次审议稿》,2017年3月15日最终通过的《民法总则》第111条则进一步规定,“任何组织和个人应当确保依法取得的个人信息安全”,强调了信息获得者保护信息的法律责任。

《民法总则》中与个人信息保护相关的亮点

个人信息保护纳入《民法总则》为中国未来制订专门的个人信息保护单行法或细则确立了法律基础,被认为是一项突破性的创举。

虽然中国此前在多部法律法规中规定了个人信息保护的相关内容,但均未对个人信息的所有权归属作出明确规定。传统民法仅保护个人的隐私权。然而,个人信息的范围要比个人隐私宽泛得多,也与隐私不同,个人信息同时具有人格和财产属性。

此外,有专家认为《民法总则》第111条关于个人信息保护的规定首次确立了个人对个人信息享有民事权利,进而确定了个人信息的所有权归属。对于个人信息泄露的情况,第111条也为受害人提供了通过侵权主张向违法者寻求赔偿的法律依据。

当前中国在个人信息保护领域的主要立法

在《民法总则》通过之前,中国近年来一直努力构建个人信息保护的法律体系。以下为中国在信息保护领域的法规一览表。

年份 法规 内容
2012 全国人民代表大会常务委员会发布《关于加强网络信息保护的决定》 将“能够识别公民个人身份和涉及公民个人隐私的电子信息”纳入保护范围
2013 工业和信息化部发布《电信和互联网用户个人信息保护规定》 对电信业务经营者、互联网信息服务提供者收集和使用个人信息作出规定
2013 中华人民共和国国务院于2013年1月21日发布《征信业管理条例》 对征信业务相关的个人信息的收集、使用、存储、加工作出规定
2015 全国人大常委会颁布《中华人民共和国刑法修正案(九)》 将“违反规定,向他人出售或者提供公民个人信息”的行为定性为犯罪行为
2016 2016年11月7日颁布的《中华人民共和国网络安全法》(《网络安全法》) 首次从立法层面定义“个人信息”,对“个人信息”进行了不完全列举
2016 全国人大常委会颁布《中华人民共和国电子商务法(草案)》 明确对网络交易中涉及的个人信息保护作出规定
2017 2017年2月4日国家互联网信息办公室发布《网络产品和服务安全审查办法(征求意见稿)》 明确了在审查网络产品和服务的安全性和可控性时,应考虑“产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险”这一重要因素

如上所列,近年来中国在涉及银行金融、通信和电子商务等各领域的民事、刑事和行政立法方面做出了不懈努力,为信息安全和个人信息保护构建了法律框架。可以预期今后中国将制定更多的法规,全面落实个人信息保护工作。

在指导下收集和处理个人信息

对于在经营过程中收集、处理和使用个人信息的公司而言,信息/数据合规至关重要。为了向顾客提供更好的产品和服务,公司在开发个人信息或数据的商业价值的同时应当审慎收集和使用个人信息,并确保所收集信息的安全性。应制定符合法律法规的服务条款和隐私政策;应在专业指导下极为谨慎地处理数据交易、数据画像、数据跨境传输等问题。

保护作为重要竞争优势和商业资源的个人信息

值得注意的是,最近社交网络平台新浪微博诉脉脉的不正当竞争诉讼中[3],法院在判决中指出“数据的获取和使用,不仅能成为企业竞争优势的来源,更能为企业创造更多的经济效益,是经营者重要的竞争优势与商业资源”。尽管法院并没有进一步讨论个人信息的所有权属性,亦未明确社交网络平台对经营中合法取得的个人信息所享有的权利,判决仍然确立了一项原则,即信息可被视为经营活动中的一种重要竞争优势,这与近年来全球各司法辖区对数据或“大数据”将如何影响竞争政策的讨论是一致的[4]。经营者应将按照合法隐私及数据处理政策收集并控制的个人信息,作为其重要商业资源予以保护。

因此,经营者在确保正当使用个人信息的同时,还应当防止其他竞争者不当“窃取”其所掌握的个人信息。建议公司建立内部数据保护机制,避免竞争者未经授权获取任何数据。此外,与第三方进行数据交易时,应确保拟定的合同明确约定拟交易数据的范围和数据保护义务。事前对第三方的网络环境安全进行尽职调查也十分重要。

大数据的收集、处理和使用在公司的业务运营中发挥越来越重要的作用,全球化也进一步促进了数据在全世界范围内的传输和使用,跨国企业应时刻关注中国及其他司法辖区在个人信息保护方面的立法和监管进程。我们将继续向企业提供中国及其他司法辖区的个人信息保护方面的新进展,确保企业能够正当、合法地使用个人信息。