針對隱私權(quán)和個人信息保護領(lǐng)域存在的突出問題,在現(xiàn)行法律規(guī)定基礎(chǔ)上,我國民法典各分編草案在“人格權(quán)編”中進一步強化對隱私權(quán)的保護。2019年8月22日,第十三屆全國人民代表大會常務(wù)委員會召開第十二次會議,《民法典人格權(quán)編(草案)》(三次審議稿)(下稱草案三審稿)提請審議。草案三審稿中對“隱私權(quán)和個人信息保護”章節(jié)進行了部分改動,進一步升級了對隱私權(quán)和個人信息保護,比如:將自然人的“電子郵箱地址”和“行蹤信息”納入個人信息的范圍等。筆者認為,對于“個人信息保護”中的相關(guān)內(nèi)容仍有待進一步完善,囿于篇幅本文僅談三點問題。 完善個人信息的定義 “個人信息”在我國若干立法中均有定義,草案三審稿第813條將“個人信息”定義為:“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱地址、行蹤信息等。”與第二次審議稿不同,此次將自然人的“電子郵箱地址”和“行蹤信息”納入了個人信息的范疇。 筆者以為,草案三審稿有關(guān)“個人信息”的定義應(yīng)當(dāng)進一步加大對個人隱私信息的描述,尤其應(yīng)當(dāng)增加自然人的“賬號和密碼以及財產(chǎn)狀況”。賬號是數(shù)字時代的代表,公民發(fā)送郵件、網(wǎng)上購物、網(wǎng)絡(luò)游戲、電子支付等都要注冊賬號,賬號是網(wǎng)絡(luò)時代公民重要的隱私空間和信息,密碼則是自然人為了維護自己的賬戶安全,將可識別的信息轉(zhuǎn)變?yōu)闊o法識別的信息,是公民開啟其個人隱私空間的一把鑰匙。 網(wǎng)絡(luò)時代,大多數(shù)人的消費選擇了電子支付的方式,據(jù)中國人民銀行的數(shù)據(jù)顯示,2018年,僅銀行業(yè)金融機構(gòu)處理的電子支付業(yè)務(wù)就達到了1751.92億筆,總金額達到了2539.70萬億元。網(wǎng)絡(luò)時代的電子賬號密碼就像一把金鎖,封住了公民的私密空間,幾乎成為保障公民各類賬戶安全的唯一手段,是公民最重要的隱私信息之一?梢,“賬號和密碼”,尤其是涉及到金錢(財產(chǎn))的賬戶和密碼,已經(jīng)不僅僅是自然人“不愿為他人知曉”的信息,而是絕對拒絕和排斥他人知曉的私人空間和信息,這是網(wǎng)絡(luò)時代的一項絕對隱私權(quán),應(yīng)當(dāng)納入“個人信息”的定義。 明確個人信息處理的內(nèi)涵 草案三審稿第814條規(guī)定:收集、處理自然人個人信息的,應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,并應(yīng)當(dāng)符合下列條件:(一)征得該自然人或者其監(jiān)護人同意,但是法律、行政法規(guī)另有規(guī)定的除外;(二)公開收集、處理信息的規(guī)則;(三)明示收集、處理信息的目的、方式和范圍;(四)不違反法律、行政法規(guī)的規(guī)定和雙方的約定。 筆者注意到,草案三審稿中的“收集、處理自然人個人信息”的表述主要參照了網(wǎng)絡(luò)安全法第41條的規(guī)定:“網(wǎng)絡(luò)運營者收集、使用個人信息。”筆者以為,上述規(guī)定中的“收集”具有兩層含義,首先側(cè)重于“收”,其次才是“集”,“收”的含義是收攏,是一種主動的行為,對象是個人信息。 事實上,多數(shù)個人信息是由于個人使用數(shù)據(jù)信息平臺而在電子信息系統(tǒng)載體上留下的客觀事物的記錄,這些記錄有些是具有語意特征的“信息”,有些是沒有語意特征的“數(shù)據(jù)”。因此,建議刪除“收集”,只保留“處理”,即“處理自然人個人信息”。因為“處理”是一個過程,本身包括“收集”,即收攏和聚合個人在電子信息系統(tǒng)載體上已經(jīng)留下的個人信息(數(shù)據(jù)),同時還涵蓋了“加工、傳輸、提供、公開”等內(nèi)容。 筆者注意到,草案三審稿第六章專門增加了“個人信息處理”的內(nèi)容,并對具體外延進行了例舉,即“個人信息的處理包括個人信息的使用、加工、傳輸、提供、公開等”。為此,建議將第814條中的“收集”一詞并入“處理”的范疇,即“個人信息的處理包括個人信息的收集、使用、加工、傳輸、提供、公開等”。 完善個人信息保護的原則 目前,關(guān)于個人信息保護的原則基本都采用“合法、正當(dāng)、必要”原則,這個原則最早以法律形式出現(xiàn)在工信部于2013年7月出臺的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第5條:“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集、使用用戶個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。”之后,2017年6月1日起施行的網(wǎng)絡(luò)安全法第42條采納了這一原則:“網(wǎng)絡(luò)運營者收集、使用個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。”草案三審稿第814條也使用了“合法、正當(dāng)、必要原則”的表述。 當(dāng)前,移動互聯(lián)網(wǎng)應(yīng)用程序(App)已經(jīng)成為移動互聯(lián)網(wǎng)信息服務(wù)的主要載體。令人遺憾的是,絕大多數(shù)App控制和處理的個人信息明顯違反“合法、正當(dāng)、必要”原則,特別是觸碰了公民隱私的紅線,比如有些App在條款中稱,需要的個人信息包括用戶姓名、性別、電話號碼、郵箱、出生日期、地理位置、身份證號碼、可識別生物信息和財務(wù)信息(如信用卡卡號或銀行賬號、微信支付或支付寶賬號信息等)。 實踐中,我國法律確定的“合法、正當(dāng)、必要”這項個人信息保護的原則,只要信息(數(shù)據(jù))主體接受了信息(數(shù)據(jù))控制者或處理者的“隱私條款”就完成了所謂的“合法”環(huán)節(jié)。事實上,多數(shù)App設(shè)置的所謂“隱私條款”完全超出“正當(dāng)、必要”的范圍,尤其令人不能接受的是,如果用戶不接受其隱私條款,App的發(fā)布者則拒絕用戶安裝或使用其App。此種“只能被迫接受,否則沒法使用”的行為嚴重侵犯用戶的選擇權(quán)。 筆者呼吁,個人隱私和信息保護的民法原則,應(yīng)當(dāng)彰顯私法中的契約精神在個人信息(數(shù)據(jù))保護中的法律地位,且信息(數(shù)據(jù))控制者或處理者提供的隱私格式條款應(yīng)當(dāng)進行合法性審查。為此,建議草案三審稿第814條在“遵循合法、正當(dāng)、必要的原則”之前增加“遵照雙方的約定”的規(guī)定,表述為:“處理自然人個人信息的,應(yīng)當(dāng)遵照雙方的約定,并遵循合法、正當(dāng)、必要原則。草案三審稿第814條第(四)規(guī)定,“不違反法律、行政法規(guī)的規(guī)定和雙方的約定”中已經(jīng)明確了不得違反“雙方的約定”。同時,鑒于多數(shù)信息控制者“隱私條款”具有免除其責(zé)任和排除信息(數(shù)據(jù))主體主要權(quán)利的情形,建議在814條中增加一款:“信息(數(shù)據(jù))控制者或處理者提供的隱私格式條款應(yīng)當(dāng)進行合法性審查。” (作者為南京郵電大學(xué)信息產(chǎn)業(yè)發(fā)展戰(zhàn)略研究院首席專家) |
|
|