第十三届全国人大三次会议于2020年5月28日表决通过了备受期待的《中华人民共和国民法典》(“《民法典》”)。《民法典》是一部具有里程碑意义的立法,是通过对我国现行的私法规范进行系统整合、编订纂修形成的中国历史上第一部民法典。《民法典》将于2021年1月1日起实施。

《民法典》首次规定了隐私权和个人信息的保护原则,界定了个人信息的概念,列明了处理个人信息的合法基础,规范了个人信息处理者的义务、自然人对其个人信息的权利以及行政机关的职责。尽管存在诸多问题有待在未来的《个人信息保护法》中予以解决,但《民法典》为该领域的未来立法奠定了基础。

本文重点介绍了《民法典》中有关隐私权和个人信息保护的关键条款,并阐述了我们的观点。

背景

根据《民法典》的规定,人格权是指个人基于其人身自由和尊严而享有的权利。从历史上看,中国民法此前并未明确将隐私权确认为人格权。无论是《宪法》还是《民法通则》都没有涉及隐私权的规定,虽然《侵权法》明确将隐私权作为一项民事权利予以保护,但并没有对隐私权进行界定,也没有将隐私权确立为人格权。

在个人信息方面,2016年出台的《网络安全法》是第一部保护网络个人信息的国家层级的立法,但其针对相关主体义务的规定只涉及网络运营者和通过网络收集的信息。而《个人信息安全规范》中的推荐性国家标准缺乏强制性法律效力。未来关于个人信息保护的立法将取决于中国法律中能否确立有关于个人信息保护的基本原则。

《民法典》将隐私权进行定义并确立为与生命权、健康权、名誉权等其他基本权力相平行的人格权,并规定了中国个人信息保护的基本原则。

《民法典》中的关键条款

I. 隐私权和个人信息的定义

根据《民法典》,自然人享有隐私权且不受任何侵犯。隐私被定义为自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

个人信息的定义是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人的各种信息,具体包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。这一定义与《网络安全法》中采用的定义一致。

II. 隐私与个人信息的边界

《民法典》对隐私和个人信息的保护适用不同的规则。《民法典》承认隐私权是一种人格权,但没有规定自然人对个人信息享有人格权,仅规定自然人的个人信息受法律保护。另外,《民法典》所定义的隐私和个人信息的范围存在重叠:根据《民法典》,个人信息中的私密信息适用有关隐私权的规定,而不是适用有关个人信息保护的规定,《民法典》尚未明确界定私密信息的具体范围。

III. 个人信息的处理

处理和处理者的定义

《民法典》引入了个人信息处理的概念,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等,这与欧盟《一般数据保护条例》(“GDPR”)中 “处理”的定义相似。《民法典》还引入了个人信息处理者的概念,虽然没有进行明确定义,但可以根据法规理解为任何处理个人信息的人,进而可以理解为这一定义包含了GDPR所定义的个人数据控制者和处理者。

《民法典》还重申了处理个人信息时应遵循的原则,即合法性、正当性和必要性原则。这一原则已经在《网络安全法》、《个人信息安全规范》等现行法律法规或国家标准中有所体现。

个人信息处理者的义务

《民法典》规定了个人信息处理者在处理个人信息时必须遵守的以下要求:

  • 征得该自然人或者(若该自然人是儿童)其监护人同意;

  • 公开个人信息处理规则;

  • 明示处理个人信息的目的、方法和范围;以及

  • 遵守所适用法律法规的规定以及与自然人订立的协议。

此外,个人信息处理者必须做到以下几点:

  • 对所收集和储存的个人信息进行保密,不做任何篡改;

  • 不得将个人信息非法提供给第三方,但是经过加工无法识别特定个人且不能复原的信息除外;

  • 采取技术措施或其他必要措施确保个人信息的安全;以及

  • 如果发生或可能发生数据泄露,应采取补救措施,通知自然人并向监管机构报告。

国家机关和行政部门及其雇员也有义务保护在履行职责时获取到的个人信息,并尊重自然人的隐私权。

个人信息处理的法律依据

《民法典》为个人信息处理者提供了一个避风港,规定有下列情形时,处理者不承担民事责任:

  • 在该自然人或其监护人同意的范围内合理实施的行为;

  • 合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;或

  • 为保护公共利益或该自然人合法利益而采取的合理行为。

《民法典》的这些规定实际上明确了在中国合法处理个人信息的三项法律基础。此外,《民法典》还规定,如果以不可逆的方式处理了个人信息使之无法识别特定个人且不能复原,则对于此类信息处理行为也将被允许进行。

IV. 自然人对于个人信息权利

对于个人信息处理者收集的个人信息,《民法典》赋予自然人以下权利:

  • 访问和复制个人信息的权利;

  • 提出异议并请求更正个人信息的权利;和

  • 在发现个人信息处理者违反了任何法律法规或双方之间的协议时,要求删除个人信息的权利。

V. 侵犯隐私权的行为

除非法法规律另行规定或征得自然人的同意,《民法典》禁止下列行为():

  • 以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活;

  • 进入私人空间(例如家庭住宅或旅馆房间)或在其中进行拍摄或窥视;

  • 拍摄、窥视或窃听并公开他人的私密活动;

  • 拍摄他人身体的私密部位;

  • 处理他人的私密信息;或

  • 其他侵犯自然人隐私权的行为。

我们的观察

I. 为个人信息保护奠定基础

《民法典》首次在民法中为个人信息提供了广泛的保护,将对个人信息的保护从《网络安全法》的狭窄范围扩展到了个人生活的方方面面,为个人提起针对侵犯其个人信息的民事诉讼铺平了道路。

《民法典》还为未来有关个人信息保护的立法奠定了基础。事实上,全国人民代表大会法工委已经发布消息称其已经完成了新的《个人信息保护法》的初稿,预计将很快提交人大常委会进行审议。

II. 个人信息权还是个人信息保护?

值得一提的是,尽管《民法典》保护个人信息且其中关于保护个人信息的规定被包含在人格权编中,但《民法典》并未明确自然人对非私密个人信息所享有的权利属于人格权范畴,这可能意味着自然人对其个人信息只享有经济利益而非人格权利。也就是说,在能够证明存在实际的损失的情形下,该自然人只能提出侵犯非私密个人信息的民事诉讼,并要求损害赔偿。如果个人对于非私密个人信息享有人格权利,则该自然人将能够请求获得非金钱的救济,例如恢复名誉或赔礼道歉。

《民法典》人格权编赋予了自然人控制其个人信息处理的一些权利,例如访问权和要求对个人信息删除或更正的权利。但是,目前尚未明确此类权利的法律性质。如果自然人被剥夺了上述个人信息权,尚不明确该自然人可以采取哪些补救措施,是否可以提出侵权之诉请求索赔,还是应向相关数据保护机构进行投诉?

III. 尚待解答的疑问

《民法典》中的“个人信息处理者”指的是处理个人信息的人,但《民法典》未像GDPR那样区分决定个人信息处理目的和方法的控制者和代表控制者处理个人信息的处理者。《个人信息安全规范》也采用了“个人信息控制者”的定义。《民法典》与其他法规之间的不一致可能会导致对处理个人信息的各方的角色和义务产生混淆。在《民法典》中已经使用“处理者”这一定义的情形下,可能会使未来的《个人信息保护法》面临两难选择,即是沿用《民法典》对“处理者”的规定,还是在控制者和处理者之间进行区分。

另一个值得关注的问题是《民法典》中个人信息保护规定的适用范围。《民法典》的规定似乎适用于所有的数据处理活动。但是,在家庭或私密环境等纯私人情形下要求个人履行个人信息处理者所承担的义务是不切实际和不必要的。

此外,还需进一步明确《民法典》中规定的受隐私权保护而不受关于个人信息规定保护的私密信息的范围。

另一个需要澄清的问题是儿童能够有权同意处理个人信息的年龄标准年。我们理解《民法典》要求处理儿童个人信息时应获得监护人的同意,但未规定需要获得监护人同意的儿童的年龄。

《民法典》规定,隐私和非私密个人信息受不同规定的约束,但目前仍不明确这两种规定在索赔和救济方面的不同,以及各自适用哪些规定和法规。

我们期待尚在立法进程中的《个人信息保护法》对上述问题予以回应。