法信干货·国庆特辑 | 民法典重点条文②:个人信息被航空公司泄露,怎么处理?
6天前
《民法典》条文
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
条文主旨
本条是关于信息处理者的信息安全保障义务的规定。
法条变迁指引
本条是对原有规定的整理和修改。
《民法典》第111条规定,任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全。
2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条规定了网络服务提供者和其他企业事业单位的信息安全保障义务。
2016年《网络安全法》第42条规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”本条基本延续了《网络安全法》的规定,仅将“网络运营者”修改为“信息处理者”,将“被收集者”修改为“自然人”。
通过上述修改,本条不仅仅在网络信息收集领域发挥作用,而是扩大到了所有可能涉及收集、处理个人信息的领域,从而使得公民的个人信息安全受到更加全面的保护。
适用精解
适用本条应注意以下几点:
1.应准确理解个人信息的安全保障义务的内涵。
信息收集、控制者通过利用个人信息取得一定利益,那么根据权利义务对等原则,其也应当尽到相应的义务,防止信心泄露、非法传播对信息主体造成的损害。故本条规定,个人信息的处理者负有信息安全保障义务。这是因为个人信息电子化后,个人信息能被轻易地复制、更改或删除,如果不采取措施妥善管理,对个人信息安全会造成很大的风险。在网络化的情形下,由于大量个人信息通过公共网络进行传输,很容易在中途被截取,而数据库及内部网络也可能遭受黑客侵入,威胁个人信息安全。
(杨合庆主编:《中华人民共和国网络安全法释义》,中国民主法制出版社2017年版,第103页。)
因此,如何保护个人信息是立法者必须着重考虑的问题。本条规定了信息处理者的安全保障义务,具体包括:一是要求信息收集、控制者自身不得泄露、篡改、损毁其收集的个人信息。二是要求信息处理者采取必要措施,无论是物理控制还是制度管理,确保个人信息安全,防止个人信息的泄露、篡改、损毁。三是要求信息处理者不得随意传播个人信息。《民法典》第1035条规定了处理个人信息的基本原则。但信息主体同意处理个人信息只能说明个人信息处理者可以将个人信息用于信息主体同意的范围内,且必须用于必要的正当目的,不意味着信息控制者可以随意传播、泄露、篡改个人信息。除经过匿名处理且不可恢复外,未经信息主体同意擅自传播个人信息的,应当对信息主体承担相应民事责任。
2.应正确理解个人信息处理、利用的原则。
随着互联网的普及,个人信息使用价值越来越重要。个人信息不仅可以通过识别化的方式发挥作用,还可以通过信息群(大数据)的方式加以利用。这种方式并不关注某一具体信息,而是着眼于分析运用大量个人信息产生的信息群发挥信息价值。
比如通过收集、分析车流量信息设计的智能红绿灯,可以根据路口车流量的变化,智能安排红绿灯的时间,有效节约等车时间,提高交通效率。这种信息处理方式并不关心是哪一辆车通过路口,而是关注特定时间段内车流量,因此收集、利用匿名信息即可达到目的。
所谓匿名信息,不仅要求他人无法识别信息个人主体,而且要求这种性质不可以被恢复。由于不具有可识别化的个人信息不会让信息接收者将信息与特定信息主体联系起来,因此也不会对信息主体的人格造成影响,可以在保护信息主体权益的前提下尽可能发挥信息的价值。
所以为促进大数据的应用和发展,本条借鉴一些国家的立法,对匿名化个人信息的收集和处理作出特别规定,即如果个人信息的处理者采用匿名化技术对个人信息作出处理,使其无法识别出特定个人且不可复原,则这些信息可以作为其资产向他人提供而不需要信息主体的同意。但转让过程中发生的知识产权、违约责任等其他问题仍应当通过相应的法律调整。
3.应正确理解信息安全保障义务与补救、报告义务的关系。
本条在规定信息处理者的信息安全保障义务的同时,还规定了补救和报告义务。关于补救和报告义务,立法上不乏其例。
比如《消费者权益保护法》第19条规定:“经营者发现其提供的商品或者服务存在缺陷,有危及人身、财产安全危险的,应当立即向有关行政部门报告和告知消费者,并采取停止销售、警示、召回、无害化处理、销毁、停止生产或者服务等措施。采取召回措施的,经营者应当承担消费者因商品被召回支出的必要费用。”
对补救义务,《侵权责任法》第46条也作了类似规定。法律规定补救和报告义务,主要是为了督促义务人采取各种措施减轻已经发生的损害或避免即将发生的危险。信息安全保障义务与补救、报告义务既相互关联,也存在区别。
首先,一般来说,未尽到信息安全保障义务发生信息泄露事故是补救和报告义务产生的前提条件。
其次,信息处理者未尽到安全保障义务,即使经过尽力补救仍然造成他人损失的,仍应当承担相应的侵权责任。
最后,即使信息处理者尽到了安全保障义务,因为不可抗力或者意外事件等原因导致信息泄露的,也不能免除其补救、报告义务。信息收集者、控制者怠于履行补救和报告义务,导致信息主体进一步受到损害的,应当就扩大的损失承担侵权责任。
案例新解
【案情】
庞某委托鲁某通过去哪儿网(趣拿公司经营的网络平台)订购了10月14日MU5492泸州至北京的东航机票。去哪儿网订单详情页面显示该订单登记的乘机人信息包括庞某姓名及身份证号,联系人信息、报销信息均为鲁某及其尾号1858的手机号。10月13日,庞某尾号9949手机号收到尾号为0529的发件人发来短信:“……您预订的MU5492次航班由于机械故障已取消,请收到短信后及时联系客服办理改签业务……”鲁某拨打东航客服予以核实,客服人员确认该次航班正常,并提示庞某收到的短信应属诈骗短信。鲁某在通话中向客服人员确认了尾号9949系庞某本人号码。庞某认为东航公司和趣拿公司泄露他的个人隐私信息,侵犯了其隐私权,故诉至法院,请求判令东航公司和趣拿公司赔礼道歉并赔偿精神损害抚慰金。
(庞某诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案,北京市第一中级人民法院(2017)京01民终509号民事判决书。)
法院认为:
本案中东航公司和趣拿公司作为经营者,在安全管理方面存在漏洞,且未举证证明其迅速采取了专门的、有针对性的有效措施以加强信息安全保护,综合审查判断双方证据情况,结合案件背景等辅助性因素,可认定其对消费者个人信息的泄露具有过错,理应承担侵权责任。故判令东航公司和趣拿公司就泄露个人信息的行为向庞某赔礼道歉。
【评析】
当今社会,公民取得各种服务往往都需要输入个人信息。因此,经营者能否做到妥善保管个人信息直接影响到公民个人信息权益。在《民法典》施行之前,尽管有《网络安全法》等特别法在网络信息安全等领域作出过专门规定,但尚未有一部法律就信息收集者和控制者的信息安全保障和管理义务作出统一的规定。本案中,法院仍是按照一般侵权的思路处理该类型纠纷。《民法典》施行后,为该类型纠纷提供了明确的法律依据。本条第2款将个人信息安全保障义务确定为信息收集者、控制者的法定义务,可以作为确定民事主体责任的法律依据。