解读《民法典》隐私权和个人信息保护(上)
文章来源 | 春晖大地
本文长约6900字,阅读需时23分钟
《解读民法典“隐私权和个人信息保护”》是南京邮电大学王春晖教授和浙江大学程乐教授就我国首部以法典命名的《中华人民共和国民法典》的人格权编第六章“隐私权和人信息保护”各条款的立法目的和意义进行的深度解读。该文发表在《南京邮电大学学报》(社会科学版)2020年03期。
本文将分两部分刊发,第一部分(上)重点解析:自然人的隐私权、对侵害自然人隐私权行为的规制、个人信息定义的释义、处理个人信息的原则和条件;第二部分(下)重点解析:处理个人信息免责事由、个人信息主体的更正权与删除权、信息处理者的信息安全保障义务、国家机关以及承担行政职能的法定机构及其工作人员的保密义务。
该文基金项目:国家社科基金重大专项“建立健全我国网络综合治理体系研究”(20ZDA062)
人格权是民事主体所固有而由《中华人民共和国民法典》(以下简称《民法典》) 直接赋予民事主体所享有的各种人身权利,根据《民法典》第九百九十条“人格权定义”表述:“人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。”
除上述规定外,自然人享有的基于人身自由、人格尊严而产生的其他人格权益都属于人格权的范畴。可见,人格权属于人身权利,而非财产权利。首先,人格权是一种支配权,具有排他的效力;其次,人格权是一种绝对权,任何人都不得妨碍其行使;再次,人格权是一种专属权,即他人不得代为行使。
《民法典》强化了对公民人格权的保护,使“人格权”独立成编,恪守了“以民为本、立法为民”的理念,以人格尊严的至高无上为其根本出发点[1],加大了对公民隐私权的保护力度,特别是构筑了个人信息保护的防火墙。以下就作者参与《民法典·人格权编(草案)》第六章立法专家咨询活动的实践与体会,特别就《民法典》第四编第六章“隐私权和个人信息保护”各条款,做如下分析和解读。
《民法典》第一千零三十二条【隐私权】自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
解读:“隐私权”属于《民法典》人格权中的一项重要权利,任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。首先,不得暗中侦察和探听他人的隐私;其次,不得侵犯骚扰他人的私人安宁;第三,不得泄露他人的隐私信息;第四,不得公开他人的隐私空间和活动等。
本条中,自然人隐私的定义主要有两层含义,一是自然人的私人生活安宁;二是不愿为他人知晓的私密空间、私密活动、私密信息。
1.关于私人生活的安宁权
自然人的私人生活安宁权,一直作为一个法学概念存在于民法理论的研究和讨论中。由于长期处在“无法可依”的状态,该权利长期得不到法律的有效保护。私人生活的安宁是自然人的一项特殊隐私权,比如你中午午休,突然楼上发出了震耳欲聋的装修噪音,以前遇到上述情形,你只能寻求物业服务机构帮助解决,或登门制止,没有更好的办法。
《民法典》正式将自然人的“私人生活安宁权”纳入隐私权的范畴,如果再遇到上文所述的被侵扰的情况,对方就对你的私人生活安宁权构成了侵害。如果邻居不接受你的要求且继续侵扰,你就可以选择报警,并视情节依法要求相应的损失赔偿。
2.自然人的“私事”严禁他人干扰
“不愿意他人知道或他人不便知道的私人空间、私密活动和私密信息”,这是《民法典》自然人隐私权的核心内容,其中私人空间、私密活动和私密信息(“三私”)的核心是“不公开性”和“私密性”。首先,自然人的隐私是与公共利益相对的一种私权,与公共利益和他人利益无关;其次,自然人的隐私是自然人不愿意他人知道或他人不便知道的。
该款中的“私人空间”除了物理空间,如个人的住所、宾馆临时居住的房间等,还包括个人的日记及虚拟空间。笔者曾就腾讯公司拒绝法院调取个人微信聊天记录一事,在接受媒体采访时表示:公民通信自由和通信秘密是宪法赋予公民的一项基本权利,对该权利的限制仅限于宪法明文规定的特殊情形,即因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关、检察机关依照法律规定的程序对通信进行检查;个人点对点的微信聊天记录清楚地反映了一个人的交流对象和内容,涉及大量个人隐私和秘密,是宪法确立的通信内容的重要组成部分,应属于宪法保护的通信秘密范畴;尽管依照《中华人民共和国民事诉讼法》的规定,人民法院有权调查取证,但其前提条件是必须符合宪法的上述规定,不得侵犯公民的基本权利,不得与宪法的精神相悖[2]。
《民法典》第一千零三十三条【隐私权侵害行为】除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视、窃听、公开他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)处理他人的私密信息;
(六)以其他方式侵害他人的隐私权。
解读:《民法典》第一千零三十三条,以列举加兜底相结合的立法技术,列出了任何组织或者个人不得实施六类侵害自然人隐私权的行为:
1.不得以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁
当前,营销电话、恶意电话和短信骚扰,特别是网络上的弹窗广告等已经成为公害,严重地影响了人民群众的正常生活安宁。早在2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》就明确规定,任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。这应该是我国首次以法律的形式,禁止第三方侵扰他人。我国《消费者权益保护法》也有类似的规定,即经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
针对日益严重的扰民电话,2018年工业和信息化部、最高人民法院、最高人民检察院、教育部、公安部、司法部、人力资源和社会保障部、住房和城乡建设部、文化和旅游部、国家卫生健康委员会、国家市场监督管理总局、中国银行保险监督管理委员会、中国证券监督管理委员会等十三部门联合发布了《综合整治骚扰电话专项行动方案》的通知(以下称“《通知》”),从五个方面提出了治理骚扰电话的综合方案:一是严控骚扰电话传播渠道;二是全面提升技术防范能力;三是规范重点行业商业营销行为;四是依法惩处违法犯罪;五是健全法规制度保障。
目前,自然人的通讯工具主要有两类:一是电子类的通讯,如移动或固定电话的语音通讯、手机短信(Short MessageService,SMS)、即时通信工具(Instantmessaging,IM)、电子邮件等;二是传统类的通讯,如通过邮政或快递公司传送给具体自然人的私人信件等。《民法典》将“私人生活安宁”纳入自然人隐私权的范畴,并严禁以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人,这对维护自然人的私人生活安宁具有重要的意义。
2.不得进入、拍摄、窥视他人的住宅、宾馆房间等私密空间
公民的住宅不受侵犯是宪法赋予的权利,我国《宪法》第三十九条规定,中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。我国刑法专门规定了“非法侵入住宅罪”。《刑法》第二百四十五条规定,非法搜查他人身体、住宅,或者非法侵入他人住宅的,处三年以下有期徒刑或者拘役。司法工作人员滥用职权构成此罪的从重处罚。我国《治安管理处罚法》第四十条对“非法侵入他人住宅”的行为将处十日以上十五日以下拘留,并处五百元以上一千元以下罚款;情节较轻的,处五日以上十日以下拘留,并处二百元以上五百元以下罚款。
公民的住宅属于私人空间,这在法律上已有明确规定,但是把宾馆房间也纳入个人的私人空间加以保护,这是《民法典》对个人隐私权的升级保护。宾馆房间在承租期内属于客人的私人空间,未经允许任何组织或个人,包括公安机关及其工作人员及宾馆的服务人员,均不得进入,否则将构成侵犯公民隐私权。《民法典》不仅严禁任何组织或者个人进入他人的住宅和宾馆房间,而且还规定不得拍摄和窥视他人的住宅和宾馆房间等私密空间。
3.不得拍摄、窥视、窃听、公开他人的私密活动
“私密活动”是指自然人不愿为他人知晓,他人也不便知晓的个人隐秘活动。自然人的“私密活动”不仅存在于个人的私人空间,还存在于其他空间,包括公共场所都可能存在个人的私密活动。比如一对情侣在小区楼下的一个角落亲吻,这是当事人不愿为他人知晓的私密行为,却被楼上的住户拍摄、窥视,或被小区保安人员通过监控探头拍摄并将内容向不特定的人公开,这些行为将涉嫌构成侵犯他人的隐私权。
辽宁葫芦岛市警方曾侦破一起通过非法控制计算机信息系统,拍摄和窥视酒店客人私密活动的案件。该案的嫌疑人是涉案酒店的电脑维护人员,其利用技术和职务之便,在酒店电脑内非法安装软件,被一位客人发现[3],这是一起典型的拍摄、窥视、窃听和公开他人私密活动的案件。
4.不得拍摄、窥视他人身体的私密部位
私密部位属于个人不愿他人知道的且比较隐秘的部位。对自然人而言,脖子以下大腿以上的这个区间,也就是我们背心和内裤盖住的地方,都属于人身体的私密部位。侵害他人身体私密部位的事件比较常见的领域是医疗机构。在对患者进行身体检查时,医护人员不可避免地会接触患者的隐私部位,建议制定相应的制度规制对患者私密部位的拍摄和窥视。
当前,一些不法分子经常在不同的场合,采取不同的手段拍摄和偷窥妇女的私密部位。我国《治安管理处罚法》对偷窥、偷拍、窃听、散布他人隐私的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款。《民法典》将拍摄、窥视他人身体的私密部位定性为侵犯个人隐私的行为,积极回应了公民,特别是妇女,对身体私密部位保护的迫切需求。
5.不得处理他人的私密信息
私密信息往往涉及自然人的尊严、名誉等基本人格利益,甚至涉及到生命权。在网络信息技术飞速发展的时代,利用网络侵害人身权益造成损害的深度、广度和速度,与传统的侵权手段不可同日而语。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第一条明确规定,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,对利用网络侵害他人隐私权的行为做出了更为具体的规定。
个人信息的处理,包括个人信息的收集、存储、使用、加工、传输、提供、公开等,我国《网络安全法》《消费者权益保护法》等法律法规,对处理个人信息的原则是“遵循合法、正当、必要原则”。然而,个人信息中的私密信息,属于隐私权的范畴,是自然人的绝对权,各类组织或个人均负有消极地不刺探、不收集、不使用和不传播的义务。民法典人格权编突破了以往立法对个人信息保护的规定,首次对处理他人的私密信息做出了禁止性规定,即“任何组织或者个人不得处理他人的私密信息”。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
解读:《民法典》关于个人信息的定义与《网络安全法》确立的“个人信息的定义”基本相同,其基本要义是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,我国《网络安全法》第七十六条对“个人信息”的解释是:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
从以上对个人信息的定义可以看出,《民法典》与《网络安全法》对“识别自然人信息”的表述有所不同,《民法典》特别强调“识别特定自然人的各种信息”,《网络安全法》则突出“识别自然人个人身份的各种信息”。事实上,自然人的个人信息不完全是与自然人个人身份有关的各种信息,还包括与自然人身份无关的信息。《民法典》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,其保护的内容和范围比《网络安全法》的更宽泛。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条指出,刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
《民法典》第一千零三十四条中的“个人信息定义”在《网络安全法》例举的基础上,增加了“电子邮箱、健康信息、行踪信息”,电子邮箱,英语表述为“E-mail”,实质上就是电子邮件的地址(Email address),E-mail与普通邮件的区别在于其“地址”是以电子方式存在的虚拟地址;健康信息涉及个人的健康状况、人体特征、遗传基因等;行踪信息反映了特定自然人的行踪,比如个人交通出行、住宿信息、位置信息等,这些大多属于具有隐私性质的信息。
目前,已有的对于个人信息保护的立法比较狭窄,而且没有突出有关个人隐私的内容。事实上,个人信息权具有人格权和财产权的双重属性,但个人隐私信息权益只有人格权属性,因此我国个人信息保护的核心应当定位于对自然人隐私信息的保护,《民法典》突出了对个人信息中“私密信息”的保护,并适用有关隐私权的规定。
然而,《民法典》毕竟不属于个人信息保护的专门法律,因此涉及个人非隐私和非私密信息的请求权,救济和保护机制以及流通交易,应当由个人信息保护的特别法《个人信息保护法》做出规定。对此,《民法典》规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”这样就为《个人信息保护法》进一步突出对自然人个人隐私信息的保护提供了立法空间。
《民法典》第一千零三十五条【个人信息处理的原则和条件】处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
解读:目前,我国有关个人信息保护的原则,主要采用“遵循合法、正当、必要原则”。该原则最早以法律形式出现在2013年修订的《消费者权益保护法》第二十九条:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。”之后,2017年6月1日起施行的《网络安全法》第四十一条采纳了这一原则,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”。
《民法典》第一千零三十五条有关个人信息保护的原则与《网络安全法》和《消费者权益保护法》基本一致,采用了“应当遵循合法、正当、必要的原则”,但是《网络安全法》和《消费者权益保护法》在“个人信息”之前使用了两个动词“收集、使用”,即“收集、使用个人信息”,而《民法典》第一千零三十五条在“个人信息”之前只使用了一个动词“处理”,即“处理个人信息”。
其实,在《民法典(草案)》第三次审议稿中,仍然采用了“收集、处理自然人个人信息”的表述。对此,笔者曾于2019年9月向全国人大常委会法工委提交了修改意见,并发文提出,建议删除“收集”,只保留“处理”,即“处理自然人个人信息”。因为“处理”是一个过程,本身包括“收集”,即收拢和聚合个人在电子信息系统载体上已经留下的个人信息(数据),同时还涵盖了“加工、传输、提供、公开”等内容。[4]
事实上,我国法律确定的“合法、正当、必要”这一个人信息保护原则并未得到很好的执行。实践中,只要信息主体接受了信息控制者或处理者的 “隐私条款”,就算完成了所谓的“合法、正当、必要”。在《民法典(草案)》征求意见期间,笔者曾向全国人大法工委建议,《民法典》人格权编中,有关个人信息保护的原则,除了应当“遵循合法、正当、必要原则”,还应当附加条件,强调不得过度处理个人信息,并彰显私法中的“契约精神”和“知情同意”在个人信息(数据)保护中的法律地位,增加“遵照双方的约定”和“知情同意”等必要的要件,这也是广大网民的强烈要求。
《民法典》第一千零三十五条,除规定“处理个人信息的,应当遵循合法、正当、必要原则”外,还在强调“不得过度处理”的基础上,附带了四个法定条件:一是征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;二是公开处理信息的规则;三是明示处理信息的目的、方式和范围;四是不违反法律、行政法规的规定和双方的约定。