?

?

自1890年"隱私權(quán)"被首次提出以來(lái)[1]，隱私權(quán)保護(hù)逐步為全球性及區(qū)域性條約、部分國(guó)家立法所重視[2]，明確覆蓋對(duì)自然人私生活、家庭、住宅、通信、個(gè)人榮譽(yù)和名譽(yù)的保護(hù)，納入到基本人權(quán)保護(hù)的范疇中。我國(guó)雖于《中華人民共和國(guó)民法總則》創(chuàng)設(shè)性推行隱私權(quán)和個(gè)人信息保護(hù)的"二元制"界分，但尚未對(duì)"隱私"定義及外延作出界定，使得隱私權(quán)保護(hù)實(shí)踐仍存多項(xiàng)"未解之謎"。

?

《民法典》第1032條第2款首次于國(guó)內(nèi)法環(huán)境下明確"隱私"定義——"隱私是自然人的私人生活安寧和不愿他人知曉的私密空間、私密活動(dòng)、私密信息"，其定義核心基本承接了目前國(guó)際上對(duì)于隱私的認(rèn)定關(guān)鍵，即"私密性"，并將保護(hù)客體概述為"私密空間、私密活動(dòng)、私密信息"。

?

針對(duì)隱私權(quán)與個(gè)人信息保護(hù)之間的范圍交叉情形，《民法典》第1034條第2款對(duì)法律適用路徑作出規(guī)定："個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒(méi)有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定"。

?

?

本次《民法典》第1034條對(duì)于個(gè)人信息的定義，沿襲了《網(wǎng)絡(luò)安全法》對(duì)于"個(gè)人信息"定義的"識(shí)別"標(biāo)準(zhǔn)，對(duì)于單獨(dú)或者結(jié)合其他信息可識(shí)別特定自然人的信息，都將納入"個(gè)人信息"的范圍。

?

在外延列舉上，相較于《網(wǎng)絡(luò)安全法》的規(guī)定，《民法典》中對(duì)個(gè)人信息內(nèi)容的列舉增加了"電子郵箱、健康信息、行蹤信息"；而相較于《民法典人格權(quán)編（草案三次審議稿）》，最終發(fā)行版本增加了"電子郵箱、健康信息"。鑒于新增的三項(xiàng)信息符合業(yè)已建立的個(gè)人信息"識(shí)別"標(biāo)準(zhǔn)，同時(shí)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱"《個(gè)人信息安全規(guī)范》"）也已將上述三項(xiàng)信息納入個(gè)人信息的范圍，我們理解上述調(diào)整并非個(gè)人信息范圍的擴(kuò)張，而是對(duì)數(shù)字時(shí)代實(shí)踐的立法確認(rèn)。

?

?

《民法典》第1035條第2款明確"個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等"，將數(shù)據(jù)全生命周期管理的核心行為納入到"個(gè)人信息處理"定義范疇，取消以往立法中將"收集"行為獨(dú)立于"處理"行為的規(guī)定。這一規(guī)定，與歐盟《一般數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱"GDPR"）的立法處理方式[3]一致，更加符合行業(yè)實(shí)踐，事實(shí)上，數(shù)據(jù)收集與后續(xù)處理行為往往難以切割。

?

與此對(duì)應(yīng)，《民法典》不再單獨(dú)強(qiáng)調(diào)"信息收集者"，而是將相關(guān)責(zé)任統(tǒng)合至"信息處理者"。此處調(diào)整，并不代表國(guó)家立法對(duì)于"個(gè)人信息收集"的規(guī)制要求下降，也不代表對(duì)于目前實(shí)踐中常見(jiàn)的"個(gè)人信息控制者"及"個(gè)人信息處理者"的劃分方式的否定。相反，由于數(shù)據(jù)收集行為與后續(xù)處理行為的緊密關(guān)聯(lián)性，信息處理者需保持?jǐn)?shù)據(jù)全生命周期管理過(guò)程中責(zé)任貫徹的一致性；如涉及多方共同參與數(shù)據(jù)處理活動(dòng)的，各方均需承擔(dān)《民法典》對(duì)于個(gè)人信息保護(hù)的責(zé)任，各方具體責(zé)任承擔(dān)，可由各方通過(guò)協(xié)議等方式進(jìn)行約定。

?

《民法典》通過(guò)第111條及第1035條規(guī)定了個(gè)人信息處理及保護(hù)的基本原則，整體而言，其完整承接了《網(wǎng)絡(luò)安全法》關(guān)于個(gè)人信息收集、處理原則的基本要求，重申"合法、正當(dāng)、必要"的原則，規(guī)定個(gè)人信息處理應(yīng)符合的具體條件，即"征得該自然人或者其監(jiān)護(hù)人同意+公開(kāi)處理信息的規(guī)則+明確處理信息的目的、方式和范圍+不違反法律、行政法規(guī)的規(guī)定和雙方的約定"。

?

?

在個(gè)人信息處理的法律基礎(chǔ)上，《網(wǎng)絡(luò)安全法》規(guī)定了嚴(yán)格的"個(gè)人信息主體的授權(quán)同意"原則。這一原則在實(shí)際適用中也遇到了一些困境，比如，新冠疫情中，為抗疫防疫目的的個(gè)人信息的收集不可避免，而很多情況下，此類信息的收集很難滿足授權(quán)同意的形式和實(shí)體要求?！秱€(gè)人信息安全規(guī)范》就此問(wèn)題，也進(jìn)行了有益的嘗試，規(guī)定了"征得授權(quán)同意的例外"條款，包括了"與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)"或 "法律法規(guī)規(guī)定的其他情形"?？紤]《個(gè)人信息安全規(guī)范》國(guó)家推薦性標(biāo)準(zhǔn)的性質(zhì)，其效力存疑。而GDPR則規(guī)定了包括個(gè)人同意、合同、法定義務(wù)、切身利益、公共利益及合法利益等六種處理數(shù)據(jù)的法律基礎(chǔ)。

?

在承接《網(wǎng)絡(luò)安全法》基本要求的前提下，《民法典》在個(gè)人信息處理的法律基礎(chǔ)上，增加了"同意"之外的"法律、行政法規(guī)另有規(guī)定"的例外情形。我們理解，這一例外情形的規(guī)定，并沒(méi)有放棄《網(wǎng)絡(luò)安全法》所確立的授權(quán)同意原則，而是在此基礎(chǔ)上，考慮了法律沖突情形，并為順應(yīng)技術(shù)發(fā)展的未來(lái)立法留出空間。需注意的是，此處合法基礎(chǔ)僅限于源自"法律"及"行政法規(guī)"位階的法規(guī)要求，不包括"通知"、"辦法"等部門(mén)規(guī)章、規(guī)范性文件。

?

?

此外，相較于《網(wǎng)絡(luò)安全法》及《民法典人格權(quán)編（草案三次審議稿）》，《民法典》第1035條規(guī)定的個(gè)人信息處理原則中增加"不得過(guò)度處理"的表述，對(duì)個(gè)人信息的處理提出了更進(jìn)一步的要求。針對(duì)信息處理行為中"度"的要求，適用于個(gè)人信息全生命周期，包括收集范圍、存儲(chǔ)周期和使用方式等的"度"。信息處理者要遵循法律法規(guī)要求、行業(yè)實(shí)踐的必要（包括個(gè)人信息收集處理的最小必要范圍）以及信息處理者與用戶的約定（例如公示的個(gè)人信息處理規(guī)則）等。

《民法典》第1037條賦予個(gè)人信息主體對(duì)于其個(gè)人信息的相關(guān)民事權(quán)利，包括如下三類：查閱或復(fù)制權(quán)、更正權(quán)以及刪除權(quán)。

?

從權(quán)利內(nèi)容方面考慮，《民法典》相較于《網(wǎng)絡(luò)安全法》及現(xiàn)行《個(gè)人信息安全規(guī)范》并未作進(jìn)一步的擴(kuò)張，觸發(fā)條件未作實(shí)質(zhì)變動(dòng)，對(duì)應(yīng)的合規(guī)要求仍應(yīng)延續(xù)。

?

從義務(wù)承擔(dān)主體方面考慮，《民法典》規(guī)定的責(zé)任承擔(dān)主體為"信息處理者"，并不限于目前實(shí)踐中的"個(gè)人信息控制者"。該規(guī)定一方面加強(qiáng)了對(duì)個(gè)人信息主體行權(quán)的保障，權(quán)利行使主張對(duì)象擴(kuò)展至涉及數(shù)據(jù)處理的任一環(huán)節(jié)的信息處理者；另一方面也加重了多方信息處理環(huán)境下的各方責(zé)任要求，各方均應(yīng)積極承擔(dān)個(gè)人信息主體行權(quán)要求的責(zé)任，健全內(nèi)部行權(quán)響應(yīng)機(jī)制及相互間的行權(quán)協(xié)作模式等。

?

《民法典》第1038條從正反兩個(gè)方面明確"信息處理者"對(duì)個(gè)人信息的保護(hù)責(zé)任要求。一方面，明確"信息處理者"之"不可為"，包括不得泄露或篡改其收集、存儲(chǔ)的個(gè)人信息，未經(jīng)自然人同意不得向他人非法提供其未經(jīng)脫敏處理的個(gè)人信息；另一方面，明確"信息處理者"之"應(yīng)為"，包括采取防止信息泄露、篡改、丟失的必要技術(shù)措施等，以及在發(fā)生信息安全事件時(shí)應(yīng)及時(shí)采取補(bǔ)救措施、用戶告知及主管部門(mén)報(bào)告等。

?

從整體來(lái)看，該部分個(gè)人信息保護(hù)責(zé)任要求，可視為將目前《網(wǎng)絡(luò)安全法》對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)者個(gè)人信息保護(hù)責(zé)任的要求擴(kuò)展至一般信息處理者，具體責(zé)任內(nèi)容未作實(shí)質(zhì)變動(dòng)。

?

?

在上述針對(duì)一般信息處理者的責(zé)任要求的基礎(chǔ)上，對(duì)于國(guó)家行政機(jī)關(guān)及其工作人員此類特殊信息處理者，《民法典》第1039條對(duì)其履行職務(wù)過(guò)程中獲悉的隱私和個(gè)人信息的保密要求進(jìn)行規(guī)定。該規(guī)定思路基本沿襲《網(wǎng)絡(luò)安全法》及《網(wǎng)絡(luò)安全審查辦法》等關(guān)于特殊職責(zé)公務(wù)機(jī)關(guān)及其人員的個(gè)人信息保密責(zé)任規(guī)定，同時(shí)也部分參考了目前部分國(guó)家或地區(qū)針對(duì)公務(wù)及非公務(wù)機(jī)關(guān)個(gè)人信息處理行為的區(qū)分規(guī)定的立法設(shè)計(jì)思路。

?

?

《民法典》明確兩類個(gè)人信息處理行為的例外規(guī)定：其一為合理使用，其二為民事責(zé)任免責(zé)情形。

?

其一，《民法典》第999條規(guī)定，為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為的，可以合理使用民事主體的個(gè)人信息。此常見(jiàn)于公務(wù)部門(mén)主導(dǎo)的犯罪嫌疑人通緝、失信執(zhí)行人披露、涉及公共利益的新聞報(bào)道等場(chǎng)景。

?

其二，《民法典》第1036條規(guī)定了三種處理個(gè)人信息的民事責(zé)任免責(zé)情形：1）在該自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理實(shí)施的行為；2）合理處理該自然人自行公開(kāi)的或者其他已經(jīng)合法公開(kāi)的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；3）為維護(hù)公共利益或者該自然人合法權(quán)益，合理實(shí)施的其他行為。該規(guī)定系將現(xiàn)行《個(gè)人信息安全規(guī)范》中關(guān)于"征得授權(quán)同意的例外"的情形進(jìn)行部分抽取及整合的結(jié)果，聚焦于"同意"、"已公開(kāi)"及"合法維權(quán)"等三類情形，將不具備約束效力的國(guó)家標(biāo)準(zhǔn)的要求上升為法律規(guī)定。

?

以上例外規(guī)定，均強(qiáng)調(diào)了"合理"處理的必要性。針對(duì)"合理"的把控，我們理解其與前述"不得過(guò)度處理"相近，參考標(biāo)準(zhǔn)仍舊落在法律法規(guī)明確要求、行業(yè)實(shí)踐必要及同個(gè)人信息主體的約定等，同時(shí)綜合考慮相應(yīng)處理行為并未造成對(duì)個(gè)人信息主體權(quán)益的重大侵害，或者超出其合理可預(yù)見(jiàn)的期待范圍。

在《民法典》立法過(guò)程中，存在針對(duì)《民法典》應(yīng)為"數(shù)字時(shí)代的《民法典》"的相關(guān)呼吁。這不僅是對(duì)《民法典》作為我國(guó)第一部法典應(yīng)體現(xiàn)時(shí)代要求的期望，更是對(duì)《民法典》應(yīng)具有前瞻性的期許?！睹穹ǖ洹吩跀?shù)據(jù)及個(gè)人信息保護(hù)等方面，體現(xiàn)了《民法典》對(duì)數(shù)字技術(shù)發(fā)展的部分回應(yīng)。

?

?

人工智能是國(guó)際競(jìng)爭(zhēng)的焦點(diǎn)技術(shù)，逐步廣泛應(yīng)用于自動(dòng)駕駛、智能家居、醫(yī)療診斷、圖像分析等，但技術(shù)進(jìn)步也同步放大了隱私、濫用和倫理風(fēng)險(xiǎn)，數(shù)據(jù)應(yīng)用場(chǎng)景增加將使數(shù)據(jù)保護(hù)面臨嚴(yán)峻挑戰(zhàn)。

?

為引導(dǎo)人工智能合規(guī)發(fā)展，實(shí)現(xiàn)"技術(shù)向善"，《民法典》通過(guò)第1033條對(duì)于隱私權(quán)保護(hù)的禁止性行為的列舉規(guī)定，明確了隱私權(quán)保護(hù)的典型場(chǎng)景，為人工智能涉足人類生活場(chǎng)景劃定合規(guī)紅線；為限制、避免人工智能技術(shù)對(duì)自然人的聲音或肖像的侵權(quán)或不當(dāng)利用，《民法典》第1019條及第1023條明確禁止利用信息技術(shù)手段偽造方式侵害他人肖像及聲音的行為，維護(hù)自然人的尊嚴(yán)；為引導(dǎo)人工智能產(chǎn)品開(kāi)發(fā)對(duì)隱私保護(hù)的重視，《民法典》以第111條、第1035條及第1038條明確對(duì)個(gè)人信息保護(hù)原則及責(zé)任的規(guī)定，促使人工智能產(chǎn)品開(kāi)發(fā)中關(guān)注個(gè)人信息保護(hù)的交互設(shè)計(jì)，例如前端個(gè)人信息處理規(guī)則的展示、用戶行權(quán)的界面實(shí)現(xiàn)等，以"主動(dòng)而非被動(dòng)"、"預(yù)防而非補(bǔ)救"的理念，推進(jìn)人工智能技術(shù)的合規(guī)有序發(fā)展。

?

?

數(shù)據(jù)是數(shù)字經(jīng)濟(jì)時(shí)代企業(yè)發(fā)展的核心資源，數(shù)據(jù)匯聚及數(shù)據(jù)流動(dòng)有助于進(jìn)一步挖掘數(shù)據(jù)資產(chǎn)的價(jià)值。日前正式公布的《中共中央、國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》強(qiáng)調(diào)數(shù)據(jù)作為一種新型生產(chǎn)要素，對(duì)于數(shù)字經(jīng)濟(jì)發(fā)展具有重要意義。就數(shù)據(jù)生產(chǎn)要素，在注重?cái)?shù)據(jù)資源的安全保護(hù)的基礎(chǔ)上，要關(guān)注數(shù)據(jù)資源的價(jià)值，促進(jìn)數(shù)據(jù)開(kāi)放共享和資源整合。

?

《民法典》第127條以開(kāi)放的立法方式，為數(shù)據(jù)、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)納入法律保護(hù)留下了空間。此外，《民法典》注重平衡個(gè)人信息保護(hù)與信息利用之間的關(guān)系，在加強(qiáng)對(duì)數(shù)據(jù)及個(gè)人信息保護(hù)的基礎(chǔ)上，通過(guò)第999條、第1036條規(guī)定合理使用及免責(zé)處理場(chǎng)景等，支持各主體合法、合理、有序推進(jìn)數(shù)據(jù)流動(dòng)及處理，助推大數(shù)據(jù)建設(shè)。

?

?

隨著電子商務(wù)的發(fā)展，平臺(tái)逐步演化為數(shù)據(jù)經(jīng)濟(jì)時(shí)代最重要的組織形式，代表新技術(shù)條件下的協(xié)作生態(tài)模式。針對(duì)平臺(tái)環(huán)境下電子合同的訂立和履行，《民法典》第491條、第512條等均進(jìn)行了專項(xiàng)規(guī)定，旨在解決目前盛行的"網(wǎng)購(gòu)"等引發(fā)的爭(zhēng)端；針對(duì)電商平臺(tái)經(jīng)營(yíng)者及平臺(tái)內(nèi)經(jīng)營(yíng)者，其作為《民法典》下個(gè)人信息處理者，應(yīng)當(dāng)遵守《民法典》第111條、第1035條及第1038條等關(guān)于個(gè)人信息保護(hù)原則及責(zé)任的規(guī)定，公示個(gè)人信息處理規(guī)則，采取必要的組織管理及技術(shù)保障措施，保護(hù)個(gè)人信息安全；針對(duì)平臺(tái)侵權(quán)責(zé)任處理，《民法典》第1194條至第1197條明確網(wǎng)絡(luò)服務(wù)提供者的責(zé)任以及權(quán)利人的救濟(jì)途徑等，為明晰網(wǎng)絡(luò)環(huán)境下的侵權(quán)責(zé)任關(guān)系與責(zé)任追究提供法律基礎(chǔ)。

?

數(shù)據(jù)分類分級(jí)管理和保護(hù)，在兼顧數(shù)據(jù)安全和個(gè)人隱私保護(hù)的同時(shí)，可以最大限度釋放數(shù)據(jù)價(jià)值。目前針對(duì)個(gè)人信息的最為常見(jiàn)、基礎(chǔ)的分類方式，系個(gè)人一般信息與個(gè)人敏感信息的劃分。相較于一般信息保護(hù)，個(gè)人敏感信息因其數(shù)據(jù)敏感性及應(yīng)用場(chǎng)景的特殊性，通常會(huì)施以更嚴(yán)格的監(jiān)管要求。對(duì)此，《民法典》通過(guò)對(duì)征信信息及醫(yī)療數(shù)據(jù)的特殊規(guī)定，表明對(duì)個(gè)人敏感信息領(lǐng)域的增強(qiáng)保護(hù)態(tài)度。

?

針對(duì)征信信息，《民法典》第1030條規(guī)定，民事主體與征信機(jī)構(gòu)等信用信息處理者之間的關(guān)系，適用本編有關(guān)個(gè)人信息保護(hù)的規(guī)定和其他法律、行政法規(guī)的有關(guān)規(guī)定。該規(guī)定一方面強(qiáng)調(diào)了對(duì)信用信息的保護(hù)，加強(qiáng)《民法典》與現(xiàn)有征信領(lǐng)域相關(guān)立法在征信信息保護(hù)及合規(guī)使用方面的關(guān)系串聯(lián)，另一方面也有助于明晰民事主體與信用信息處理者之間的法律關(guān)系。針對(duì)醫(yī)療數(shù)據(jù)，《民法典》第1226條規(guī)定，醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員應(yīng)當(dāng)對(duì)患者的隱私和個(gè)人信息保密。泄露患者的隱私和個(gè)人信息，或者未經(jīng)患者同意公開(kāi)其病歷資料的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。該條款明確了醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員對(duì)患者病歷資料等個(gè)人敏感信息的保密義務(wù)，及對(duì)此可能承擔(dān)的侵權(quán)責(zé)任，這為民事主體維護(hù)合法權(quán)益提供了較為明確的路徑。

?

在《民法典》立法過(guò)程中，許多學(xué)者建議將個(gè)人敏感信息的定義和保護(hù)引入法典，并施以增強(qiáng)的保護(hù)。遺憾的是，此建議在《民法典》中并沒(méi)有被采納。但是，《民法典》以征信信息及醫(yī)療數(shù)據(jù)為典型，見(jiàn)微知著，反映了對(duì)其他個(gè)人敏感信息的強(qiáng)化保護(hù)要求。

?

?

在《民法典》審議及發(fā)布的同時(shí)，全國(guó)人大常委會(huì)宣布個(gè)人信息保護(hù)法、數(shù)據(jù)安全法已列入立法計(jì)劃。從體系構(gòu)建層面考慮，《民法典》為我國(guó)未來(lái)個(gè)人信息保護(hù)法及數(shù)據(jù)保護(hù)的法律體系構(gòu)建，奠定如下層面的制度基礎(chǔ)：

?

• 價(jià)值取向：數(shù)據(jù)及個(gè)人信息保護(hù)需兼顧數(shù)據(jù)流動(dòng)及隱私保護(hù)的平衡，合規(guī)為本；

  ?

• 保護(hù)原則："合法、正當(dāng)、必要"為基石，"法律法規(guī)規(guī)定"或"同意"為來(lái)源，"適度"為量尺；

  ?

• 核心定義：處理隱私權(quán)與個(gè)人信息保護(hù)之間的界分與交叉關(guān)系；

  ?

• 責(zé)任分配：個(gè)人信息保護(hù)責(zé)任貫穿信息處理全程，規(guī)定信息處理者責(zé)任承擔(dān)及特定場(chǎng)景下的民事責(zé)任免責(zé)。

?

可以預(yù)見(jiàn)，待制定的個(gè)人信息保護(hù)法、數(shù)據(jù)安全法等，將在此基礎(chǔ)上豐富對(duì)數(shù)據(jù)要素的管理要求，細(xì)化信息處理者在個(gè)人信息保護(hù)方面的合規(guī)紅線。以《民法典》為基礎(chǔ)的數(shù)據(jù)及個(gè)人信息保護(hù)體系將逐步建立，對(duì)接現(xiàn)有的以《網(wǎng)絡(luò)安全法》及其配套法規(guī)為核心的法規(guī)體系。

?

?

點(diǎn)擊圖片查看大圖

?

?