民法典為個人信息保護提供強有力的法治保障

民法典主題園亮相合肥 新華社發（解琛 攝）

  作者：張凱 中南財經政法大學法治發展與司法改革研究中心副研究員

  個人信息安全是網絡安全的重要組成部分，個人信息保護已成為廣大人民群眾最關心最直接最現實的問題之一。網絡信息世界的高速發展正深刻地影響和改變著人類社會，以大數據、云計算為代表的網絡信息技術日新月異、突飛猛進，給人類工作生活帶來了前所未有的變化，一方面為經濟社會的快速發展注入了強大的動力，極大地便利了人民的工作生活，另一方面也給個人隱私安全、信息保護帶來了前所未有的挑戰。根據去年中國互聯網信息中心相關統計報告，全國網民總體規模超過10億，網站數量超過422萬個，APP數量超過302萬款。從騰訊前些年發布的微信數據報告、中國消費者協會發布的APP個人信息泄露情況調查等報告表明，我國公民個人信息遭泄露的情況比較嚴重，曾經僅膠州中心醫院就造成6000余進出人員個人信息泄露，全國共1522名人員因違法網上傳播疫情信息而受到處罰，公民個人隱私和信息遭泄露的情況十分嚴峻，主要原因為：收集、儲存、使用個人信息缺乏規范管理，隨意性很大，泄露的風險大；收集信息明顯超過正當和必要范圍，極易造成侵權；隨意將個人信息用于其他用途，導致信息被濫用；隨意公開其個人信息，尤其是敏感信息；個人信息安全保護主體責任缺失等。事實證明，民法典實施一年多進一步織密了個人信息保護的法網，將人格權獨立成篇具有重要的現實意義，充分體現了憲法“尊重和保障人權”的精神，有利于充分保護民事主體的人格權，特別是第六章關于隱私權和個人信息保護的規定，進一步加強了個人信息的法律保護：

  一、為個人信息提供了更廣泛的法律保護。民法典第1034條規定：“自然人的個人信息受法律保護”，這一規定的保護主體是自然人，保護對象是個人信息；個人信息是一個內容相當廣泛的概念，事實上，其立法意圖表明：只要是與人有關的各種信息都是民法典保護的對象，相對隱私權而言，個人信息保護范圍更加廣泛，個人信息保護具有全方位性?！皞€人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”，這一規定明確界定了個人信息的存在形式（以電子或其它方式記錄），表現形式（單獨或者以其他方式相結合），特質、功能（識別特定自然人）和范疇（各種信息）：包括自然人的姓名、出生日期、身份證號碼、生物識別信息、住址、電話號碼、電子信息、健康信息、行蹤信息等，這些信息既有與生俱來的，還有后天形成的，既包括人生方面的，又包括財產方面的，既有涉及隱私方面的，還涉及有公開的信息等，這充分證明了加強個人信息保護范圍的廣泛性?！皞€人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定?！边@意味著，即使是不屬于隱私權中“私密信息”的個人信息，也依然能得到相應的法律保護，這更充分地證明了民法典全方位擴大個人信息的法律保護。

  二、嚴格規定個人信息處理的基本原則。個人信息處理的原則就是對個人信息進行處理時應遵循的基本規則，從實質上講，是對個人信息處理權力的一種規范和限制，也就是處理個人信息時應遵從的要求和標準，目的就是嚴禁對個人信息的過度使用或者濫用，以確保個人信息的安全。民法典第1035條規定；“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；（二）公開處理信息的規則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規的規定和雙方的約定?！逼渲泻戏ㄔ瓌t是前提，正當原則是根本，必要原則是標準，不得過度使用是根本目的，法條中列舉的四個條件是大前提，只有自然人或監護人同意才合法，按規則處理信息才正當，明示處理信息的目的、方式和范圍是必要程序，只要不違反法律、行政法規的規定，就是合法使用處理個人信息，只有依法遵守雙方的約定才不會過度處理。法條還明確了個人信息處理的方式方法包括收集、儲存、使用、加工、傳輸、提供、公開等。民法典第1036條明確規定了處理個人信息的免責事由，包括三個方面，并明確規定行為人不承擔民事責任，進一步證明了正當性、合法性、必要性原則不僅是處理個人信息時應遵循的基本原則，而且是加強個人信息保護的基本原則。

  三、強化個人信息決定權確保信息安全。民法典第1037條規定：“自然人可以依法向信息處理者查閱或者復制其個人信息；發現信息有誤的，有權提出異議并請求及時采取更正等必要措施?！蓖瑫r還規定，處理中若違反相關規定，自然人有權請求信息處理者及時刪除。個人信息決定權充分體現了民法典加強對個人信息保護的立法精神，充分體現我國法律對人格的尊重，對人權的保護。查詢、復制并行使刪除權是確保個人信息主體控制權的具體措施。根據民法典的這些具體規定，公民可以依法查詢其個人信息的狀況，掌控其個人信息的使用狀態，并且根據需要，隨時對相關狀態進行調整，若出現違規違法，可以提出刪除的要求，個人信息的處理者必須對這些權利主張予以滿足。公民個人信息決定權對公民個人信息安全的保護具有重要意義，信息決定權直接關系到信息的處置權，直接影響信息安全，為了確保公民個人信息的安全，民法典第1038條規定“信息處理者不得泄露或者篡改其收集、存儲的個人信息；未經自然人同意，不得向他人非法提供其個人信息，但是經過加工無法識別特定個人且不能復原的除外?！泵穹ǖ鋸娀瘜€人信息的保護，還體現在控制個人信息流出、更正或撤回，維護個人信息的安全環境，知情同意正是控制個人信息流出的關鍵措施。根據民法典規定，處理自然人個人信息的，一般都必須征得該自然人或者其監護人同意，即便是獲得了個人同意，還需要明示處理信息的目的、方式和范圍，不得違反法律、行政法規的規定和雙方的約定，并按照合理的方式處理信息。

  四、強調國家機關及其公職人員信息保密義務。國家機關、承擔行政職能的法定機構及其工人員，因工作原因可能大量采用收集、存儲、加工、傳輸、公開等方式使用公民個人信息，如身份證號碼、手機號碼、郵箱、銀行賬戶、家庭住址等個人信息，在履職的過程中還可能知悉和了解到更多自然人的隱私和公民個人信息，如私密空間、私密活動、私密信息、家庭狀況、財產收入等，這些信息一旦遭泄露或者非法提供給他人，就會給公民的人生或財產造成不可估量的損失。強調國家機關及其公職人員信息保密義務是一種特殊從嚴規定，就是要求國家機關及其公職人員，在處理個人信息時，特別是在匯總存儲環節，應嚴格按照相關保密規定，盡可能相對集中管理和處理個人信息，采用嚴密的訪問控制、審計、加密等安全措施；特別是在工作對接的過程中，在與工作相關方共享、傳輸相關數據時，應嚴格按程序辦事，必須事先確認對方是有權獲取數據的機構或個人，一般情況下，應采取加密傳輸的措施。雖然2010年修訂的《中華人民共和國保守國家秘密法》對國家機關及其工作人員的保密義務進行了明確的規定，但民法典第1039條進行了更具體的規定，“國家機關、承擔行政職能的法定機構及其工作人員對于履行職責過程中知悉的自然人的隱私和個人信息，應當予以保密，不得泄露或者向他人非法提供?！睆娬{國家機關及其工作人員對個人信息的保密義務具有重要的意義，這有利于平衡公共利益與公民個人信息保護，兼顧社會治理安全與效率，確保公民個人信息安全。

  五、特別注重加強個人重要信息的保護。民法總則雖然明確自然人享有隱私權，但對隱私權的概念并未界定，更沒有對個人信息和隱私權進行區分，新通過的民法典，在人格權編第1032條給出隱私權的定義，既包括“私人生活安寧”，也包含“不愿意讓他人知曉的私密空間、私密活動、私密信息”。雖然民法典第六章將隱私權和個人信息進行了并列規定，筆者認為兩者是既有聯系又有區別的，聯系是隱私權與個人信息密不可分，隱私權涉及個人信息的內容，個人信息包含隱私的成分，隱私權屬于個人信息中的重要信息，是個人信息保護重點。區別是隱私權側重于精神層面，更多屬于精神利益，個人信息側重物質層面，兼具人格和財產利益；隱私偏重于消極防御權，個人信息則強調積極保護；隱私權更關注主觀意愿，個人信息更多關注的是客觀風險，民法典事實上提供了比隱私權更廣泛的個人信息保護。民法典第1032條規定“自然人享有隱私權。任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的隱私權?！钡?033條明確規定了侵害隱私權的六種方式，進一步明確不得實施可能破壞他人隱私和隱私權的行為，強化對公民個人信息的保護，體現了新時代民法典加強人權保護特別注重公民人格權保護的立法價值取向。