摘要:为应对和防范个人信息利用中的风险,《民法典》从私法角度对个人信息的利用和保护作出了全面的规范。《民法典》对个人信息作出释义,区分了个人信息和隐私的内容并分别保护,明确规定了处理个人信息的基本原则及基本规范。对个人信息利用风险进行防范,一是要对侵犯个人信息的违法和犯罪行为进行打击和规制;二是要以《民法典》的施行为契机,弘扬保障私权的理念,加强国家机关合法利用个人信息的规范引导;三是要充分调动多元化的社会力量,形成全社会共同参与的共治体系,防范个人信息利用中的各类风险。
关键词:《民法典》;个人信息;风险防控
作者简介:闵婉;湖北警官学院
在信息化的时代背景下,个人信息成为了一种重要的社会资源,可以创造巨大的商业价值,因而也成为一些不法分子手中可以交易的“商品”,个人信息安全面临着严峻的挑战。为应对和防范个人信息利用中的风险,我国个人信息保护立法工作近年来取得了显著的成效,《刑法修正案(九)》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法律和司法解释都为个人信息的利用和保护提供了相应的法律指引。2021年1月正式施行的《民法典》则从私法角度对个人信息的利用和保护作出了全面的规范。
一、个人信息概念及范畴的《民法典》界定
在信息社会的时代背景下,我们从事各类社会活动时,不可避免地要提供个人姓名、出生日期、身份证号码、住址、电话号码等信息。而在现实生活中,充斥着各种泄露或滥用个人信息的情形。对“个人信息”的概念和范畴的界定,理论界一直众说纷纭。“隐私说”认为,“个人信息”具有隐私性,是权利主体不愿意为他人知晓的私密性、非公开性的信息;“识别说”认为,“个人信息”具有可识别性,是与特定权利主体具有特定关联性的信息,通过这些信息能够直接或间接识别出权利主体的具体身份;“广义说”认为,“个人信息”是以任何形式存在的与权利主体存在关联的各类信息。
《民法典》第1034条规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《民法典》的个人信息定义在《网络安全法》列举的基础上,增加“电子邮箱、健康信息、行踪信息”。电子邮箱与普通邮件的区别在于其“地址”是以电子方式存在的虚拟地址;健康信息涉及个人的健康状况、人体特征、遗传基因等;行踪信息反映特定自然人的行踪,比如个人交通出行、住宿信息、位置信息等,这些大多属于具有隐私性质的信息。
为了将个人信息与隐私区别开来,《民法典》第1032条明确规定了隐私的定义,即“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”,突出了“私密”和“不愿为他人知晓”的核心特征。同时,《民法典》第1034条首次明确规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。由此,《民法典》不仅对个人信息作出释义,更是区分了个人信息和隐私的内容并分别保护,明确将个人信息的保护范畴界定为隐私权无法涵盖的领域,从而有效解决了个人信息与隐私权保护范畴的重叠与冲突问题。
由于个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。诸如自然人的姓名、身份信息、行踪信息等各类个人信息均与自然人的人格利益密不可分,赋予自然人对其个人信息的控制和支配权是对其人格自由和人格尊严的维护与尊重,也是保障其个人信息安全的必要举措。因此,从个人信息的性质来看,个人信息具有个人属性,对每个自然人个体而言,信息主体都享有个人信息不受非法侵害的私权利,这是对自然人人格尊严和人格利益的维护。另一方面,个人信息也具有公共属性,对整个社会而言,社会成员个人信息的自由利用与流动既有助于实现社会公共事务的公开、公正和透明,更好地满足社会公众对公共事务的知情权和参与权,也有助于政府更加便捷有效地行使对公共事务的管理职责,从而最大限度地促进社会公共福祉。
二、个人信息利用的《民法典》规制
为确保个人信息利用的安全和规范,《民法典》第1035条明确规定处理个人信息需要遵循合法、正当和必要的基本原则。合法性原则是指个人信息的处理不得违反我国法律、行政法规的规定,这里的法律和行政法规不仅指《民法典》中的个人信息保护规定,还包含《网络安全法》等其他法律规范对个人信息保护的规定。正当性原则是指信息利用主体在处理个人信息时应当符合目的正当、程序规范的要求。有关单位和个人在收集个人信息时应明确告知信息主体收集和使用该信息的事实及使用方式,任何单位和个人只有在信息主体同意的前提下才享有对个人信息的合法收集和使用权。必要性原则是指对个人信息的收集和使用应当在必要限度范围内,超过必要限定的个人信息不得收集,已经收集的,应当及时删除或销毁并不得使用。《民法典》第1037条明确规定,自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。《民法典》通过赋予信息主体异议权、更正权及删除权,使得自然人可以及时采取措施防范个人信息利用中的侵权风险。同时,《民法典》还规定,信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
三、个人信息利用风险防范的措施
(一)对侵犯个人信息的违法和犯罪行为进行打击和规制
我国《网络安全法》明确规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。如违反该规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。该规定为公安机关保护个人信息权的网络行政执法行为规定了明确的执法权限和处罚标准。此外,根据我国《刑法》规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定,窃取或者以其他方法非法获取公民个人信息的,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。这些相关规定为打击和规制非法利用公民个人信息的违法犯罪行为提供了明确的法律依据。
(二)以《民法典》的施行为契机,弘扬保障私权的理念,加强国家机关合法利用个人信息的规范引导
保障私权是现代法治社会的基本理念,即国家公权力的行使和运作应当以保障公民私权利为基本出发点。在各级各类国家机关的执法活动中,应当时刻秉承对公民私权的充分尊重和保障,而个人信息是公民私权中的重要内容,国家机关工作人员应当严格依法履行职务,避免违法违规收集和使用公民个人信息。除法定特殊情况外,国家机关对公民个人信息的获取和使用应以权利人知情并认可为前提,且应对其在执行职务中获取和知悉的公民个人信息妥善储存,避免泄露。
(三)充分调动多元化的社会力量,形成全社会共同参与的共治体系,防范个人信息利用中的各类风险
针对当前网络个人信息违法犯罪高发的现状,互联网企业作为网络社区的创建者或管理者,对其创建和管理的网络社区理应承担起维护其安全与秩序的社会责任,除应当加强网络安全技术的研发和应用,保障网络安全稳定运行之外,还应承担起应对网络安全事件的责任,采取有效措施保护网民个人信息的安全。对于营利性的各类专业企业和社会组织,政府可通过购买服务的方式,将其纳入多元化治理主体之内,充分发挥其专业技能优势,不断推进个人信息保护技术的进步。对于非营利性的专业化社会组织,如各类行业协会、志愿者组织等,政府也应当予以充分的重视,通过给予政策引导、经济支持等方式,鼓励其为个人信息利用风险的防控共治工程贡献力量。此外,每个社会成员自身要强化个人信息保护意识,注重养成良好的上网习惯,在办理一些必须提供个人信息的社会事务时,应当尤其注意明确对方的信息保护责任,防止自身信息泄露,一旦发现自己的个人信息被非法获取或非法利用,应及时采取维权措施。
参考文献:
[1]陈璐.论《网络安全法》对个人信息刑法保护的新启示[J].法治研究.2017(4)
[2]林鸿潮.个人信息在社会风险治理中的利用及其限制[J].政治与法律.2018(4)
[3]张新宝.个人信息收集:告知同意原则适用的限制[J].比较法研究.2019(6)