建议个人信息保护法 确立个人信息权

日期:01-06
个人信息信息权

作者:刘春泉

《中华人民共和国个人信息保护法(草案)》征求意见稿第一条第一句话是“为了保护个人信息权益”,这里的“权益”包括“权利”和“利益”。民法典第四编人格权并没明确规定个人信息权,民法典总则第111条规定自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。第1034条规定:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”

但是,所有条款均没有明确提个人信息权这个概念。笔者查了连王利明教授这样的权威民法学者曾撰文认为应当明确规定个人信息权,因而也斗胆专文呼吁个人信息保护法明确规定个人信息权。

个人信息主要体现自然人个体的各种区别于其他个体的特征,属于人天然就存在的特征,故这些区别于自然人彼此个体的特征都属于人格特征。既然人格权是为民事主体所固有、由法律直接赋予民事主体所享有的各种人身权利,那么基于个人信息天然属于人存在的特征,符合人格权定义,应当确定属于人格权。而且姓名、性别、婚姻、基因、生物识别等个人信息自古就有,身份证号码、银行财务信息等传统上也有,但随着信息网络技术带来的个人信息易于复制传播和滥用,产生了保护的法律需求,因而,个人信息权是一种新型的具体人格权。个人信息与个人隐私在内容上的确存在交集,但整体而言,个人信息远大于隐私范畴,应当单独确立个人信息权,并研究界定个人信息权的保护范围和方法。

虽然笔者同意个人信息权是人格权,但传统民法认为人格权是绝对权,是否完全沿用传统民法的理论可能还有待讨论。虽然笔者不清楚民法典没写个人信息权的具体原因,但自忖应该与传统民法理论与目前科技发展带来的新情况不能完全吻合有关。

民法上所谓绝对权也叫对世权,是指除权利人之外的一切人均为义务人的民事权利,如财产所有权、人格权等。绝对权的义务人是不特定的,义务人的义务是不作为的义务,即只要不去侵犯权利人的权利即可,因而绝对权一般是支配权。这些传统民法理论在个人信息保护适用上可能有一些问题,个人信息还需要进一步区分一般个人信息和敏感个人信息,对于一般个人信息,例如姓名、工作单位、工作电话,如果正当目的收集使用也要征得同意,否则就不能收集使用。再比如为防控疫情需要收集个人信息,这既不能说因为个别人反对就不做了,也不能免除收集信息单位的信息安全保密义务。

目前来看,个人信息明确确立权利的主要目的在于防止不当收集、流转和滥用,个人信息有财产价值,但个人信息与民法上的物不同,一物不能二主,但信息可以几乎零成本复制,同一个自然人的个人信息可能被无数个主体收集、流转和使用,可以分别成为别人的信息财产组成部分。比如新浪诉脉脉数据不正当竞争案,可能就包含了笔者的个人信息,但新浪并没有分给我一分钱。笔者认为个人信息权主要价值在于必须明确个人信息权与企业信息财产权冲突时,个人信息权优先受法律保护。为公共事务管理职能目的收集使用个人信息应遵循最小必要原则,个人信息权与公权力冲突时,公权力超越最小必要原则收集使用个人信息仍不能免责。

个人信息虽然具有财产价值,应当承认具有财产属性,但其作为人身权与财产权不同,这一点在民法典第1036条第二款已经有所体现,即“处理个人信息,有下列情形之一的,行为人不承担民事责任……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息可以免责,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”。这个例外规定其实就体现了对人格尊严的保护,是正确的。假如没有这样的规定,若不幸遭遇人肉搜索,被人肉搜索传播的往往都是当事人自己公开的个人信息,则根据1036条免责规定,当事人因自行公开了相关信息而无法申请行为禁令与追究责任,那么制止人肉搜索的法律依据就缺失了。

个人信息权保护的关键在于反对滥用个人信息。但是滥用可能的主体众多,无法防止,唯有从源头治理个人信息收集,采取少收、慎用、保密、反滥用的手段,通过立法规定软硬件产品设计必须保护个人信息,体现设计保护隐私和个人信息(privacy by design),再综合刑法、行政法、民事赔偿等规制手段,也许未来个人信息保护状况可迎来较大改观。

(作者系上海段和段律师事务所合伙人、律师)

数字人民币硬钱包上海首亮相 抄底入局新能源车富士康投资2亿美元救拜腾
相关阅读: