民法典人格权编的第六章名为“隐私权和个人信息保护”,本章总结我国既有立法经验(如《网络安全法》)和学界通说确立了隐私权和个人信息保护的基本规则。我国立法机关也正在起草个人信息保护法,未来的个人信息保护法将与民法典之中的规则配合起来,全面保护个人信息。
具体来说,第六章的主要内容包括:
宣示了自然人享有隐私权明确了隐私权的内涵
民法典第1032条第1款明确宣示“自然人享有隐私权”。同时,该条第2款对“隐私”的内涵进行了界定,即“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”
隐私权的存在是为了合理划分公共领域与私人生活,该制度的产生与发展反映了“从熟人社会到陌生人社会”的变迁。所以,在现代社会,隐私权日益重要,成为两大法系都十分重视的权利类型。例如,法国于1970年修改民法典增加第9条规定,“每个人都享有其隐私获得尊重的权利。”美国联邦议会则于1974年制定了《隐私权法》。不过,在理论上,就如何界定“隐私”,存在不同的看法,包括:“独处说”、“私密关系自治说”、“人性尊严说”、“资料保留权说”等不同的观点。民法典第1032条第2款借鉴国际经验,并总结我国理论研究成果,明确了隐私的内涵,即私生活安宁、私密空间、私密活动和私密信息。这里突出强调了私生活安宁。因为私生活安宁是无法为私密空间、私密活动和私密信息所涵盖的。我国甚至有学者提出,“生活安宁权”应当作为一种独立的人格权。笔者认为,在“隐私”的概念中明确地指明“私生活安宁”,有助于解决实践中出现的侵害私生活安宁的案件,如以电话、广告、短信、垃圾邮件等干扰他人私生活的案件。
需要注意的是,在美国,其隐私权的重点逐渐向自我决定权转移,大陆法系也出现了这样的趋势。从我国司法实践来看,因妻子擅自堕胎而引发的“生育权”纠纷,实际上属于私生活自主所要解决的问题。因此,笔者认为,随着社会的发展,将来也可以考虑将私生活自主纳入“隐私”的概念之中,从而有助于解决类似案件,也契合了隐私权制度发展的趋势。
明确了侵害隐私权的具体表现
民法典第1032条第1款一般性地规定了侵害隐私权的方式,包括“刺探、侵扰、泄露、公开等”。同时,第1033条具体列举了实践中典型的侵害隐私权的行为,依据该条规定,包括如下类型:
一是以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁。例如,行为人常常在夜间给他人打骚扰电话,就属于典型的侵害私人生活安宁。
二是进入、拍摄、窥视他人的住宅、宾馆房间等私密空间。例如,有个别违法分子在邻居的窗户上安装摄像头,偷窥邻居夫妻在房间内的活动,就属于此种类型。再如,擅闯他人住宅,也可以构成对他人隐私权的侵害。
三是拍摄、窥视、窃听、公开他人的私密活动。例如,实践中的“盯梢”就属于此种类型。
四是拍摄、窥视他人身体的私密部位。例如,行为人在他人浴室内违法安装摄像头,偷窥他人身体私密部位,就属于此种类型。
五是处理他人的私密信息。例如,公司未经职工允许,通过一种APP收集职工的行踪信息,就属于此种类型。再如,在网络上公布他人患有艾滋病的信息,也属于此种类型。
本条规定既有利于法院裁判案件,又有利于为社会公众提供行为指引,使人们知悉自己的行为边界。
随着社会的发展,个人信息保护日益受到重视,民法典第1034条第1款明确地宣示了“自然人的个人信息受法律保护。”这里明确了,个人信息的权利主体限于自然人,而不包括法人和非法人组织。同时,本条没有明确地使用“个人信息权”的表述,应当理解为立法机关将其界定为受法律保护的利益。从人格权的体系来观察,可以认为,个人信息属于一般人格权的范畴,这与声音是类似的。
为了明确个人信息的保护范围,第1034条第2款总结《网络安全法》第76条的立法经验,明确了个人信息的内涵和外延,该条规定“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”本条规定借鉴了国际上的立法经验,也总结了我国实践经验。就个人信息的内涵界定,采用了比较法上通行的“可识别性”规则,即凡是能够直接或间接地识别特定自然人的信息都属于个人信息。此外,考虑到个人信息中的私密信息,同时也属于隐私的范畴,民法典第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
民法典第1035条第2款明确了,“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”我国《网络安全法》第41条就个人信息的处理确立了基本原则。民法典总结了这一立法经验,在其第1035条第1款明确了处理自然人个人信息应遵循的基本原则,即合法原则、正当原则和必要原则。例如,在2019年发生的郭某起诉杭州野生动物世界案件中,被告告知原告“原指纹识别已取消,未注册人脸识别的用户将无法正常入园”。笔者认为,这可能违反了必要原则,因为野生动物世界并不必要求用户“注册人脸识别”。
同时,该条还明确,收集和处理自然人的个人信息,应当符合如下四项条件:一是征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。二是公开处理信息的规则。例如,在很多购物网站上,都公示其收集消费者信息的规则。《欧盟数据保护通用条例》(GDPR)第8条强调,数据控制者必须能够证明其从监护人那里获得了同意,我国民法典虽然没有明确,但也可以如此解释。三是明示处理信息的目的、方式和范围。例如,学校因招生考试而要求学生提供身份证复印件,就要明示,收集到的身份信息仅用于此次招生考试活动。四是不违反法律、行政法规的规定和双方的约定。
需要注意的是,就个人的敏感信息,其处理应当有更严格的法律规制。所谓敏感信息包括能够揭示个人的种族、政治倾向、宗教和哲学信仰、个人健康、基因信息和生物信息等。《欧盟数据保护通用条例》强调了其处理要适用特殊的规则,要进行非常严格的限制。这一做法值得借鉴。
依据民法典的规定,个人信息权利人享有的权利(确切地说是权能)包括:
一是查询权。民法典第1037条第1款规定,“自然人可以依法向信息处理者查阅或者复制其个人信息”。据此,自然人作为个人信息权利的主体,享有查询个人信息的权利。
二是更正权。民法典第1037条第1款规定,个人信息权利人“发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。”更正权可以理解为是人格权请求权中的排除妨害或停止侵碍。
三是删除权。民法典第1037条第2款规定,“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”删除权也可以理解为是人格权请求权中的排除妨害或停止侵碍。
依据《欧盟数据保护通用条例》(GDPR)第17条和第20条的规定,个人信息权利人享有的权利还包括被遗忘权、信息可携权(即将个人信息从一个信息服务提供者转移到另一个信息服务提供者处的权利)等。我国民法典对此并没有规定,我国未来的个人信息保护法可以考虑是否予以规定。
为了避免因个人信息保护而损害社会公共利益,民法典确立了处理个人信息时的免责规则。依据第1036条的规定,处理自然人个人信息,有下列情形之一的,行为人不承担民事责任:
一是在该自然人或者其监护人同意的范围内合理实施的行为。这可以理解为是受害人同意规则的具体运用。
二是合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。这一规定对于数据产业和数字经济的发展具有重要意义,有助于平衡个人信息保护和数据共享之间的关系。
三是为维护公共利益或者该自然人合法权益,合理实施的其他行为。例如,为了通缉罪犯而公开其身份证号码,就属于为了维护公共利益而侵害个人信息。
信息处理者的义务
在个人信息保护中,信息处理者的义务非常重要。民法典第1038条明确了信息处理者的主要义务,包括:
一是“不得泄露、篡改其收集、存储的个人信息”的义务。从实践来看,泄露个人信息的事件时有发生,对个人信息造成严重威胁。电信诈骗往往都是因为个人信息被泄露引发的。
二是“不得向他人非法提供其个人信息”的义务。这就意味着,除非经过信息权利人同意,否则,不得向他人提供个人信息。不过,本条同时明确了,“经过加工无法识别特定个人且不能复原的”个人信息,可以向他人提供。这一规定对于信息的共享和信息产业的发展,具有重要意义。
三是确保其收集、存储的个人信息安全的义务。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。
四是个人信息泄露、篡改、丢失后的报告义务。这就是说,在发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,依照规定告知信息权利人并向有关主管部门报告。
从实践来看,国家机关、承担行政职能的法定机构及其工作人员在履行职责过程中知悉了较多的自然人隐私和个人信息,在法律上确立其保密义务具有重要的现实意义。例如,教育行政部门掌握了考生的个人信息,如果泄露就可能为犯罪分子进行电信诈骗提供便利。因此,民法典第1039条特别强调,“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”国家机关和法定机构合成为机关法人。
法定机构指“根据特定的法律、法规或者规章设立,依法承担公共事务管理职能或者公共服务职能,不列入行政机构序列,具有独立法人地位的公共机构”。法定机构是在我国行政体制改革和事业单位改革大背景下引入并设立的公共组织。例如,深圳市城市规划发展研究中心、南方科技大学等都属于法定机构。本条适用于“承担行政职能的法定机构”。虽然本条没有明确机关法人及其工作人员违反保密义务的法律后果,但是,结合《国家赔偿法》等法律的规定,其自然要承担法律责任。