第一百一十一条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。 【条文主旨】 本条是关于个人信息权及义务人对自然人个人信息权所负有义务的规定。 【条文理解】 一、关于民法规定个人信息权的必要性 个人信息权是《民法总则》中新增加的规定,在《民法通则》中并无规定,此次《民法典》编纂将之完全吸收了进来。个人信息权与自然人的日常生活、工作密切相关,在过去信息传播并不是特别发达的时代,自然人的个人信息权并未受到足够的注意,也一直没有成为法律学科包括民法重点研究的对象。随着现代信息技术的发展,信息交流空前简单化和便捷化,不仅带来了社会生活的巨变,还给个人信息安全带来了威胁。自然人个人从事社会交往、工作、生活、出行、娱乐等各项活动均涉及个人信息的收集问题,有关个人和组织根据自然人个人的意愿依法采集和使用个人信息是正常的,但现代社会是信息社会,信息的收集、使用和传播都极为迅速也极为简单,由于个人信息的泄露、使用、公开等问题缺乏必要的限制,很大程度上损害了自然人的合法权益。 个人信息泄露和不当使用,从最初的技术问题,到现在的社会问题、法律问题,逐渐成为全社会关注的焦点问题。个人信息资料被非法利用,不仅给人民群众造成了巨大的财产损失,还带来了严重的人身安全隐患。互联网和大数据对自然人个人信息的收集,有时是合法的合同行为,是征得个人同意的,但也有很多是在个人不知晓的情况下的盗用、滥用。主要体现在过度收集个人信息,擅自披露个人信息和擅自提供个人信息,也包括擅自加工、使用个人信息,如有关单位和个人根据相关交易行为或者授权获取了自然人的通讯号码、电子邮箱等联系信息,在未取得自然人同意的情况下,擅自向自然人的手机、邮箱发送广告或者其他无关信息,这就构成了对个人信息权的侵害。 2011年,国内一大批网站的用户名、密码信息遭黑客泄露,对互联网行业造成了不小的冲击,许多网民的网络数据信息丢失或遭到曝光,网络个人信息安全的重要性日益凸显。这也促使全国人民代表大会常务委员会出台了《关于加强网络信息保护的决定》,这项法律性文件主要针对电子信息的收集、使用以及泄露等相关问题进行规定,在我国起到了电子信息保护法的作用。2016年,我国又出台了《网络安全法》,其中涉及的个人信息保护的内容大体与前述决定相同。但前述立法在施行多年以来并未完全发挥预期作用,重要原因在于,前述立法更多是行政管理性法规,更侧重于由公权力机关通过发挥其管理职能来规制个人信息保护,而给予个人的保护手段则并不充分,未能充分发挥个人在保护其信息利益上的主动性和积极性。 一段时间以来,理论界很多学者都强烈呼吁我国在人格权立法中将个人信息权单独作为一项具体人格权或作为一项人格权益加以规定,明确个人信息权的人格权属性以及民法上的可诉性。但是由于个人信息权还是一项比较新的民事权利,其他国家的理论及立法都不尽相同,国内对于个人信息权是否能够明确作为一项具体人格权还存在一定的争议,《民法典》最终采取折中的办法,未明确规定个人信息权这个概念,而是明确规定自然人的个人信息权受法律保护,义务人不得实施违反法律规定和侵害个人信息的行为。 二、其他国家和地区有关个人信息权的立法例 其他国家和地区开展个人信息保护方面的立法和研究相对较早,这与其工业化比较发达以及较早进入现代信息社会不无关联。个人信息保护最早的是瑞典政府在1973年制定的《资料法》,随后在全球范围内开始个人资料保护的专门立法。德国联邦议会自1970年起开始着手制定《联邦个人资料保护法草案》,最后于1976年通过并于1977年生效。法国1978年颁布了《信息技术与自由法案》,其中规定收集和处理、使用个人数据,不得损害数据主体的人格和身份以及私生活等。英国1984年颁布了《数据保护法》,规定获取个人信息必须取得有关个人的同意,必须采取安全措施,防止个人数据未经允许而被公开。亚洲范围内,《日本个人信息保护法》于2005年颁布施行,此外还制定了《行政机关持有的个人信息保护法》《独立行政法人等持有的个人信息保护法》《信息公开、个人信息保护审查会设置法》等相关法律。韩国1994年制定了《公开机关个人信息保护法》,我国台湾地区于2010年修订“个人资料保护法”,新加坡2012年制定《个人数据保护法》,对个人信息的使用与保护进行了全面规范和保护。国际组织关于这方面的法律主要有,经济合作发展组织(OECD)于1980年制定了《个人数据的隐私保护和跨国界流动的指导原则》。欧洲委员会于1981年签署和发布了《个人自动文档保护公约》。欧盟1995年制定《关于涉及个人数据处理的个人保护以及此类数据自由流动的95/46/EC指令》,并于2002年颁布了《关于电子通信领域个人数据处理和隐私保护的2002/58/EC指令》。1990年联合国签署了《个人数据自动化档案指导原则》。上述三个国际性公约的基本目的和基本内容大致相同,旨在保护个人隐私权和人权自由。2007年颁布的《欧洲联盟基本权利宪章》第8条规定:“ 1.人人均有权享有个人信息之保护。2.此等信息应仅得于特定明确目的,且于信息所有人同意或其他法律规定之正当依据下,公平地被处理。人人均有权了解其个人信息,并有权要求销毁其个人信息。3.应由独立之主管机关监督这些原则之确实遵守。” 纵观世界范围内有关个人信息的立法,对于个人信息的概念的称谓不尽相同,包括资料、数据、资讯、档案、文档等,但其本质上均是关于附着于自然人个人主体上的关于身份、家庭、行为、健康、职业、喜好、交际等方方面面的信息,虽然相关立法对于信息的规范化称谓不同,但其目的均是对个人信息权进行规制。各国对于信息权的保护体现在,合法手段取得的个人信息要在合法范围内依据取得的目的使用,不得非法买卖、提供或者公开。同时,还要制裁非法手段收集、使用、加工、传输个人信息的行为。 三、自然人的个人信息的概念 个人信息是一个比较宽泛的概念,从语义上理解是有关个人的信息,但在法律上如何准确界定其概念是一个值得重视的问题。 从个人信息的内容来划分,有关个人信息定义有三种观点:第一种观点认为所谓个人信息就是与个人生产生活相关的描述其客观事实及评价等情况的所有信息。根据这种观点,个人信息是以个人为中心所延伸的庞大信息网,只要与个人相关就属于个人信息。这种观点的缺点在于个人信息的外延过于宽泛,基本没有边界,缺乏实用指导意义;第二种观点认为,所谓个人信息就是个人隐私,就是那些对于个人具有人格价值的信息,除此之外的信息不能作为个人信息。这种观点将个人信息与个人隐私等同,一定程度上缩小了个人信息的范围,极易导致诸多个人信息无法得到相应的保护;第三种观点认为个人信息是能够通过文字、图片、语音、视频等载体直接识别或与其他信息结合识别特定主体身份的信息。这种观点是当前学术界的通说,但也有批评认为即使有些信息不能识别,但其对于个人也具有利益,不能因此而否认其也是个人信息。 从各国家和地区立法例上来看,对个人信息概念界定存在两种类型:一种是概括式,另一种是列举加概括式。概括式定义,如《德国联邦个人资料保护法》第2条规定,个人资料是指“凡涉及特定或可得特定的自然人的所有属人或属事的个人资料”。列举加概括式如我国台湾地区“个人资料保护法”第3条第1款规定“个人资料指自然人之姓名、出生年月、身份证编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等足资识别该个人之资料”。 我国《民法典》在总则编中并未对个人信息的概念进行阐释,但在人格权编的隐私权和个人信息保护一章中则明确规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。由此可以认为,我国《民法典》采用的是概括加列举式的立法例。根据我国《民法典》的规定,自然人个人信息应当据以识别特定自然人身份的任何生物性、物理性的数据、文件、档案等资料,范围不仅包括自然人的身份证信息、户籍信息、家庭构成、职业情况、社会交往、网络交易数据等物理性数据,还包括自然人机体基因组成、生物学、遗传学密码等信息,任何与特定自然人相关的,可以据此将该自然人特定化的信息均属于个人信息。任何对该类信息的侵害,均侵害自然人的信息权。可见,我国《民法典》对于个人信息从内容上强调信息与个人之间的联系及可识别性。事实上,如果相关的信息与信息主体之间缺乏必要的关联及识别性,信息主体就难以主张其对于该信息享有相关权益,也就难以主张该信息为个人信息。当然,无法识别身份的信息遭到不当使用,公民可以向有关机关反映,由有关机关根据自身职权采取相应的管理措施以保护信息使用的合法性。 四、 个人信息权的性质及内容 个人信息权是一项新兴的民事权利或者说民事权益,与隐私权密切相关。我国《民法典》将个人信息与隐私权保护规定于同一章节,可见两者之间的密切关系。一般认为个人信息权与隐私权尽管关紧密,但两者在内容、客体、性质以及保护方式方面都存在区别。(1)从性质方面看,自然人信息权涉及的都是自然人的身份、地位等信息,具有人身属性,属于人格权范畴。隐私权也是人身性人格权的一种。两者之间具有一定的联系和交叉。表现在:两者都是自然人独有的权利,法人和非法人组织并不具有。两者都是包含着一定个人独有的,不愿意公开的资料。但两者也有显著的不同:隐私权包含的信息类型较窄,只有那些自然人不愿意公之于众的自然人信息才受隐私权的保护,而一般性的个人信息则不属于隐私权的保护范围,比如手机号码,工作单位、家庭地址等,除非有特殊规定,一般的情况下,不属于个人隐私。(2)从两者的救济手段看也不尽相同,隐私权的救济往往是通过侵权法,而对于侵害自然人信息的行为,在本法规定之前,往往是通过行政法或者刑法予以规制,救济手段上也多为惩罚性或者管理性手段,而非民事法律归责救济。 对于个人信息权的性质,学界有不同的看法:(1)所有权客体说,即个人信息能作为商品被利用、出让,为信息主体带来经济利益,这种利益是一种财产利益,所以应采取所有权保护模式。(2)隐私权客体说,即认为个人信息属于个人隐私范畴,个人隐私包括个人信息,侵害个人信息就是侵害了信息主体个人隐私中的私人信息部分。(3)人格权客体说,即个人信息不属于个人隐私的范围,个人信息的收集、处理、利用,关系公民个人人格尊严,体现的利益是人格利益,是人格尊严的一部分,因而应该采取一般人格权保护模式。 我们赞同第三种观点。所有权属于财产权,所有权的标的是物,可以是有形物也可以是无形物,是特定的且具有一定的财产价值,而个人信息权的标的是个人信息,其与传统物权法上的物存在较大不同,且个人信息在经加工处理或商业化开发之前并不天然具有财产价值,这也与物的天然的财产属性存在差别。将个人信息权作为人格权予以保护,明确个人信息权的民事权利性质,有助于明晰个人信息权的权利保护方式、唤醒公民的个人信息权保护意识,也能在更大程度上促进人格尊严的保护和实现人格平等。我国《民法典》将个人信息权与隐私权共同纳入人格权范畴内予以保护,说明我国立法上明确认为个人信息权属于人格权,但由于个人信息权在学理及实践中还需要进一步研究和发展,因此,本法并没有明确规定个人信息权这种权利类型,但自然人个人享有个人信息权益是毫无疑问的。 个人信息权作为一项具体人格权,具有不同于其他人格权的丰富内涵,主要包括:(1)控制权或占有权,个人信息应当由信息主体即个人享有,其他民事主体不能非法取得,即使经个人同意其他组织或者个人获得了相关个人信息并事实上管理使用,也不能因此而影响信息主体对个人信息的控制权;(2)自决权,即信息权人对于义务主体能否获取、使用个人信息享有按照自己意愿的决定权,同时对于个人信息的加工、传输、公开、授权、买卖等都享有决定权,其他人未经许可不得擅自获取、使用、加工、传输、公开等;(3)保护权,保护权是自决权的延伸,权利人对于在自身控制下的信息享有保护其不被非法获取、使用的权利,同时对于已经合法使用的个人信息,也有权进行保护和要求义务人依法进行保护;(4)查询权,对于不在权利人直接控制范围内的个人信息,权利人有权要求管理控制信息的义务主体告知个人信息的基本情况,包括信息的详细情况、是否完整、使用状况等,有关义务主体应当予以答复;(5)更正权,信息权利人发现信息管理控制人管理的相关个人信息不及时、不完整的,有权要求义务人进行更正;(6)冻结权,当出现信息权利人担心个人信息的使用、公开或者相关情况会影响其的生活安宁时,权利人有权要求相关义务主体采取必要的措施对其个人信息予以冻结处理;(7)删除权,也有学者称之为被遗忘权,即权利人有权要求相关义务主体对其掌握的个人信息进行删除或销毁。 【审判实践中应注意的问题】 一、如何判断哪些个人信息属于个人隐私信息 信息是否属于隐私权,在司法实践中是以其是否超出了“社会的容忍度”为标准进行侵权判定,以一个“一般人”的标准进行衡量的,不会根据个案去判断。因此,对于那些不涉及敏感信息以及已经公开的个人信息,因其不再具有隐秘的特点,只能寻求个人信息的保护,而非隐私权的保护。但与隐私权救济有所区别的是,个人信息权不仅可以主张精神损害赔偿,还可以主张财产性的赔偿,关于赔偿的标准可以根据行为人所获得的利益来进行主张。 二、个人信息权益可以采取民法上的哪些保护手段 首先,《民法典》将个人信息保护作为人格权范围内的一项重要民事权益予以规定,这说明个人信息权的保护可以采取人格权的保护方法,具体来说就是权利主体享有人格权请求权。 首先,采用人格权请求权保护的方法不限于个人信息权益受到侵害或有妨害的可能,权利人可以根据个人信息的实际状况有权要求义务人为一定行为或者不为一定行为,或者要求侵害人采取一定的措施恢复个人信息的圆满状态,比如在个人信息被篡改或损坏时,有权要求义务人恢复个人信息的完整性。其次,个人信息权利人可以按照侵权责任的规定享有损害赔偿请求权。个人信息权益受到民法的保护,是一项独立的民事权利,当权益受到损害时,权利人可以根据侵权责任规定向加害人主张损害赔偿要求加害人承担所造成损失的赔偿责任,同时因个人信息权益是一项具体的人格权益,权利人也可以主张精神损害赔偿。再次,考虑到在某些情况下个人信息的收集使用是基于权利人的授权或者根据合同约定由义务人使用,因此,当出现个人信息遭遇泄露或者被损害时,权利人依据合同约定主张违约责任请求权也是其当然的权利。 在具体的民事审判实践中,个人信息权益受到侵害时可能会出现多种请求权竞合的状态,权利人应当根据权利受到侵害的状况以及最有利于保护个人信息的目的主张相应的请求权。而且由于个人信息中还包括了由法律明文规定的隐私信息,因此在两者出现竞合时,权利人亦应明确主张是个人信息权益请求权还是隐私请求权。
|