• <output id="qgjlo"><strong id="qgjlo"><xmp id="qgjlo"></xmp></strong></output>

      1. <p id="qgjlo"></p>

        <object id="qgjlo"></object>
        <table id="qgjlo"><strike id="qgjlo"><b id="qgjlo"></b></strike></table>
      2. 個人信息保護法與民法典如何銜接協調
        2021/3/15 13:38:38  點擊率[149]  評論[0]
        【法寶引證碼】
          【學科類別】人身權;民法典
          【出處】《人民論壇》2021年第1月中期
          【寫作時間】2021年
          【中文摘要】個人信息保護具有民事權利屬性,《個人信息保護法》屬于《民法典》的特別法,可以對《民法典》作出補充和例外規定,對其一般性規定進行變通和突破,但是不能違背其所確立的合法正當必要等基本原則。正確理解《民法典》與《個人信息保護法》的關系,在立法技術層面,應做好二者的協調和優化,尤其關于個人在信息處理活動中的有關權利制度。從《民法典》的立法精神出發,基于實踐意識和問題導向,《個人信息保護法(草案)》可進行進一步完善和提升。
          【中文關鍵字】《個人信息保護法(草案)》;《民法典》;信息處理
          【全文】

            近期,立法機關公布了《個人信息保護法(草案)》,引起了廣泛的關注。草案具有諸多亮點,呈現出較為鮮明的時代特色和問題意識,在《網絡安全法》《民法典》等現行法的基礎上,增設了知情同意制度、敏感信息、自動化處理、刪除權、公共場所的監控設施等具有重要意義的新制度。
           
            正確理解《民法典》與《個人信息保護法》的關系眾所周知,《民法典》在總則編(第111條)和人格權編(第1034—1039條)以多個條文對個人信息保護作出了重要規定,奠定了個人信息保護制度的規則框架;而《個人信息保護法》則是一部全面、系統規定個人信息保護的單行法。二者的關系是什么?有論者認為,二者之間不是普通法與特別法的關系。原因在于,《民法典》僅能調整平等主體之間的個人信息處理活動;而《個人信息保護法》同時涉及私法關系(私法主體之間)與公法關系(國家機關處理個人信息);而另外,《個人信息保護法》還規范不平等的私法主體(如用戶與互聯網平臺)之間的關系。因此,《個人信息保護法》是所謂的“領域法”,或者是調整事實上地位不平等的主體之間的“社會法”,而非《民法典》的下位法,亦非其特別法;否則,可能陷入所謂“民法霸權主義”的誤區。
           
            就個人信息保護這一問題而言,《民法典》作為基本法,無疑具有普通法的地位,其約束的義務主體“信息處理者”涵蓋了所有的信息處理機構和個人,突破了《網絡安全法》中所規制的義務主體(“網絡運營者”)的限制,具有一般性。而《個人信息保護法》作為全面規制個人信息處理的單行法,則具有特別法的屬性,對民法典作出了大量的補充和例外性規定。二者之間的關系類似于《民法典》與《消費者權益保護法》的關系。在比較法上,民法典與單行法的關系通常被形象地描繪為太陽系的格局:民法典是“太陽”,而單行法則構成圍繞“太陽”公轉的“行星”;“行星”根據“太陽”所投射的“光芒”來進行解釋。典型的例子如《魁北克民法典》“序言”第2款規定:“民法典由調整相關事項的規則的整體所組成,這些條文的文字、精神或對象在其所調整事項的領域內,以明示或默式的方式確立了其‘共同法’。在這些領域中,法典是其他單行法的基礎,盡管單行法可以補充或者作出例外規定。”這就是說,民法典與單行法之間是普通法與特別法的關系,單行法可以對民法典作出補充或例外規定。在單行法有規定的情況下,單行法應得到優先適用;在單行法沒有規定的時候,則應適用作為普通法的民法典。從這個意義上說,《個人信息保護法》屬于《民法典》的特別法,這并不意味著對《個人信息保護法》地位的貶低或者對其功效的抑制。作為全面系統規定個人信息處理制度的單行法,《個人信息保護法》可以對《民法典》作出補充和例外規定,對《民法典》的一般性規定進行變通和突破,尤其對行政監管、信息跨境流動等民法典沒有規定或不適合規定的內容增設規定。但是,《個人信息保護法》不能違背《民法典》所確立的基本原則,例如,《民法典》中關于個人信息(第1034條)及個人信息處理的定義(第1035條第2款)、合法正當必要等處理原則(第1035條第2款)、免責事由(第1036條)、侵權責任等。
           
            《個人信息保護法》與《民法典》的立法技術協調和優化個人信息的權利主體。關于個人信息的權利主體,《民法典》中的措辭是“自然人”;而《個人信息保護法(草案)》采取的措辭則是“個人”,譬如該草案第四章標題為“個人在個人信息處理活動中的權利”。從所指對象來說,二者并無差別,在措辭上似宜保持一致。
           
            個人信息的類型。《民法典》第1034條區分了一般個人信息與私密信息。但《個人信息保護法(草案)》并未采納這一區分,草案第29—32條則采納了“敏感信息”這一比較法上通行的概念;二者有明顯差異。相比較而言,“敏感信息”的概念內涵比較明確具體(如種族、政治與宗教信仰、生物識別信息、健康信息、性取向等);而“私密信息”在邊界上則較為模糊,可涵蓋所有未公開的個人信息,包括在特定范圍內(如家庭成員、朋友間)分享的所有信息。從客體范圍的確定性角度來看,《個人信息保護法(草案)》的做法似更可取。
           
            個人信息的處理原則。《民法典》第1035條規定了合法、正當、必要原則。而《個人信息保護法(草案)》第5條的措辭則是“處理個人信息應當采用合法、正當的方式”,將合法正當上升為原則;草案第6條規定了處理應限于實現處理目的的最小范圍,這正是必要性原則的邏輯后果,但未明確規定此原則,因此建議明文規定“必要性”原則。
           
            關于公開信息的處理。《民法典》第1036條第2款規定,合理處理該自然人自行公開的或者其他已經合法公開的信息,不承擔民事責任,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。這里,“處理該信息侵害其重大利益的除外”,是指如果處理該信息可能侵害權利人的重大利益;對于這樣的例外情形,即便權利人同意,處理者也不得進行處理。《個人信息保護法(草案)》第28條規定了處理公開信息的告知同意制度,包括利用已公開的個人信息從事對個人有重大影響的活動。根據該條,如果權利人同意,即便對其有重大影響處理者亦可處理。此點需與《民法典》的前述規定保持一致。
           
            信息安全義務。《民法典》第1038條規定信息處理者應當采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失。《個人信息保護法(草案)》第50條規定了處理者負有防止未經授權的訪問以及個人信息泄漏或者被竊取、篡改、刪除等義務。建議明確設定信息處理者的安全保障義務,這對于要求互聯網平臺采取必要的安全措施尤為重要;這也是當前個人信息被侵害的“重災區”。
           
            獲利返還規則。如前所述,《個人信息保護法(草案)》第65條借鑒《民法典》第1182條引入了獲利返還規則,但在最后增加了一句:“個人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責任。”這句規定過錯要件,似采取過錯推定責任。但是,學界對侵害個人信息責任的歸責原則存有爭議,如采取過錯推定責任,可能會與《民法典》第995條人格權請求權條款發生沖突(不以過錯為要件)。例如,在信息處理者違反安全義務導致信息泄露的情況下,無論其是否有過錯,均應采取相應的補救措施。因此,建議刪除本句,或者將其“責任”限定為“損害賠償責任”,而不包含人格權請求權(如消除危險)。
           
            《個人信息保護法》與《民法典》的立法精神協調《個人信息保護法(草案)》的重大亮點之一,是詳細規定了信息主體的各項權利。從《民法典》強調個人信息權益保護的立法精神出發,針對實踐中一些較為突出的問題,草案在以下方面仍可繼續完善和改進。
           
            知情同意權。《個人信息保護法(草案)》第17條規定,個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。就此而言,可參考中國人民銀行2020年9月發布的《金融消費者權益保護實施辦法》第29條,其中明確規定金融機構“不得變相強制收集消費者金融信息”。因此,針對大量的APP存在變相強制消費者被迫同意處理其個人信息的情況,草案可增加規定“信息處理者不得變相強制個人作出同意”,確保個人知情同意權的真正落實。
           
            委托處理。《個人信息保護法(草案)》第22條規定:“個人信息處理者委托處理個人信息的,應當與受托方約定委托處理的目的、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托方的個人信息處理活動進行監督”。但本條僅規定了委托方與受托方之間的外包處理約定問題,而未規定信息主體對委托處理活動的同意和控制權。就此而言,值得參考的是,《信息安全技術 個人信息安全規范》(2020年版)第9.1條a項規定:“個人信息控制者作出委托行為,不應超出已征得個人信息主體授權同意的范圍。”因此,建議《個人信息保護法(草案)》在本條增加規定:“委托處理個人信息的,不應超出個人授權同意的范圍。”
           
            自動化處理。《個人信息保護法(草案)》第25條針對實踐中大量應用的自動化處理作出了規定,具有重大意義。根據該條第1款,利用個人信息進行自動化決策應當保證決策的透明度和處理結果的公平合理。個人認為自動化決策對其權益造成重大影響的,有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。這是對第7條“公開透明原則”的具體應用。第25條第2款對網絡畫像作出了規定:通過自動化決策方式進行商業營銷、信息推送;應當同時提供不針對其個人特征的選項;這里顯然是賦予消費者以同意權和選擇權。從這一精神出發,第一,參考歐盟《一般數據保護條例》(簡稱“GDPR”)第22條“數據控制者應當采取適當措施保障數據主體的權利、自由、正當利益,以及數據主體對控制者進行人工干預,以便表達其觀點和對決策進行異議的基本權利”,建議草案在第25條第1款增加個人有權要求處理者進行人工處理(人工干預和復核)的權利。因為如今大量的售后客服都是采用人工智能和機器人自動應答模式,消費者無法獲得人工復審的權利,這在本質上是經營者逃避責任的方式,立法應當進行規制。
           
            敏感信息。《個人信息保護法(草案)》規定敏感信息是其重大創新,這也是立法文件中第一次引入了敏感信息這一重要范疇。草案第29條第2款規定:“敏感個人信息是一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。”本款規定特別指明了敏感信息的特殊重要性:一旦泄露或者非法使用,可能導致個人受到歧視或者人身財產安全受到嚴重危害,即嚴重影響個人的基本權利。因此,法律對敏感信息的處理必須設定特殊的要求。
           
            從這個角度來看,草案第29條第1款規定仍有值得完善的地方。該款規定:“個人信息處理者具有特定的目的和充分的必要性,方可處理敏感個人信息。”此處“具有特定的目的和充分的必要性”,措辭過于寬泛,建議在“具有”之前增加“基于維護公共利益或個人的重大利益”。以GDPR第 9條為參考,盡管該條第1款亦使用了“特定目的(specific purposes)”的措辭,但該語詞是指基于個人的重大利益或者在健康、勞動、社會保險等領域的公共利益等。這從隨后其他幾項條款的措辭也可以看出:對信息數據主體的基本權利和利益是必要的;非營利機構的正當性活動中所進行的處理;處理是為了實現公共利益所必要的;科學或歷史研究目的或統計目的是必要的并采取了合理的保護措施等。
           
            此外,GDPR第35條第1款規定,當某種類型的處理——特別是適用新技術進行的處理——很可能會對自然人的權利與自由帶來高風險時,在考慮了處理的性質、范圍、語境與目的后,控制者應當在處理之前評估處理行為對個人數據保護的影響。而《個人信息保護法(草案)》第54條第1款也規定了處理敏感信息必須進行事前的風險評估制度;第2款規定了風險評估的內容。預計風險評估的具體機制將交由有關主管部門以規章形式加以規定,但從增加法律的可預期性和透明度角度出發,本款宜增加規定風險評估的原則、評估效力等基本問題。
           
            刪除權。《民法典》第1035條規定,處理個人信息的,應當遵循合法、正當、必要原則。而《個人信息保護法(草案)》第47條規定:“有下列情形之一的,個人信息處理者應當主動或者根據個人的請求,刪除個人信息:約定的保存期限已屆滿或者處理目的已實現。”歐盟GDPR第17條刪除權的規定中,(a)項是個人信息對于實現其被收集或處理的相關目的不再“必要(necessary)”。因此,從與《民法典》協調一致的角度、強調必要性原則出發,建議將“處理目的已實現”改為“個人信息對其處理目的而言已無必要”。
           
            信息泄漏時的通知義務。《個人信息保護法(草案)》第55條第2款規定:“個人信息處理者采取措施能夠有效避免信息泄漏造成損害,個人信息處理者可以不通知個人。”此處是對信息處理者通知義務的豁免,但是,為防止信息處理者自己作出安全判斷以規避通知個人的義務,建議增加規定“經履行個人信息保護職責的部門評估”,而非任由處理者自行作出判斷。
           
            增加攜帶權。以GDPR第20條為例,所謂攜帶權是指信息主體有權無障礙地將信息從其提供給的控制者那里傳輸給另一個控制者。就此而言,值得注意的是,中國人民銀行2019年《金融消費者權益保護實施辦法(征求意見稿)》第36條曾規定:“鼓勵金融機構在技術可行的前提下,基于金融消費者的請求,將其金融信息轉移至金融消費者指定的其他金融機構。”這是關于信息攜帶權的倡導性規定,攜帶權有助于打破信息的壟斷,促進信息的自由流通,同時將強化信息主體對信息的控制與利用;當然,攜帶權會給信息處理者帶來相應的義務和成本,因此現階段仍然存在爭議。從長遠來看,為鼓勵信息的流通,《個人信息保護法》可仿效前述倡導性規定,以倡導性規范的軟性方式,對攜帶權作出前瞻性的指引式規定。而此類軟法性和指引式規范的設置,也是治理現代化的重要表征。
           
            人臉識別問題。《個人信息保護法(草案)》體現出充分的問題意識和實踐特色,其第27條對公共場所的視頻監控作出了規定,對于保護公民的隱私和個人信息具有重要意義。根據該條,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供。鑒于人臉識別在當前成為社會關注的焦點,本條可參照比較法經驗進行進一步完善。出于對隱私的保護,國外的立法對于公共場所的攝像頭安裝都有嚴格限制,譬如,比利時2007年通過的全球第一部“攝像頭法”——《關于安裝和使用監控攝像設備的法律》)規定,安裝公共場所的固定或者移動攝像頭,都必須基于“預防、確定和調查違法行為”;另外,該法第8條第1款規定:“具有存儲和自動識別功能的監控設備,只能用于車牌的自動識別,此類設備的使用必須尊重保護隱私的有關規定。”在我國,已出現人臉識別技術濫用問題,一些商業機構甚至小區物業在并無必要性的情況下,強制用戶進行人臉識別,對其生物識別信息和隱私構成嚴重的威脅,也構成對業主財產所有權行使的不當限制。從這個角度出發,草案前引第27條中“公共安全”的措辭過于原則和寬泛,不足以應對人臉識別的濫用,建議在“為維護公共安全所必需”之前增加規定:“基于預防、調查違法、犯罪行為等目的”,防止物業管理企業對業主任意設置人臉識別要求;另外,除強調信息只能用于維護公共安全的目的之外,建議還增加規定:“應當依法保護個人的隱私權等合法權益。”
           
            

          【作者簡介】
          石佳友,中國人民大學法學院教授、博導,民商事法律科學研究中心執行主任。
          【參考文獻】
          {1}.IT Governance Privacy Team, EU General Data Protection Regulation (GDPR): An Implementation and Compliance Guide, 2nd Edition, IT Governance Publishing, 2017.

          本網站文章僅代表作者個人觀點,不代表本網站的觀點與看法。
          轉載請注明出自北大法律信息網
        0
        北大法律信息網
        www.chinalawinfo.com
        法律動態
        網站簡介
        合作意向
        網站地圖
        隱私政策
        版權聲明
        北大法寶
        www.pkulaw.cn
        法寶動態
        法寶優勢
        經典客戶
        免費試用
        產品服務
        專業定制
        購買指南
        郵件訂閱
        法律會刊
        北大英華
        www.pkulaw.com
        英華簡介
        主要業務
        產品列表
        英華網站
        聯系我們
        用戶反饋
        返回頂部
        二維碼
        不要添了,我高潮了视频