财新传媒
位置:博客 > 李汶龙 > 民法典中的数据保护问题——评议隐私权和个人信息保护章节及修改意见

民法典中的数据保护问题——评议隐私权和个人信息保护章节及修改意见

文/李汶龙

受政治体制影响,民法在中国的法律秩序中举足轻重。新制度的建立多仰仗民法框架才有进展。虽未奉为根本法,民法作为其他特别规则之根本已成事实。

在民法典中设立数据保护的规则,国际视野下前所未有。即便是国内民法学者推崇的德国法、法国法,近年来也在欧盟一体化的进程中就数据保护设立特别法。美国联邦层面尚无建树,州法选择先行。如加州[1]、内达华州[2]等率先效仿欧洲制定了保护规则。在法律性质上美国州法有别于欧盟法。前者依照传统建于消费者保护框架之上,后者有《欧盟基本权利宪章》作为法律基础。

在中国的法律语境当中,民法典是否是数据保护规则的合适载体这一问题值得深究。草案引入数据保护规则,对这一价值及相关权利予以肯认,这一点是值得肯定的。与此同时,民法典体例之庞大,关系之复杂,也让数据保护规则的法律属性扑朔迷离。此外,《民法典》如何能够承前(网络安全法、侵权责任法、网信办规定等)启后(个人信息保护法),确保整个法律体系的自洽和协调,也是立法者所面临的问题。

鉴于民法在中国法律秩序中的重要性,个人信息保护的程度应当会在《民法典》落实后有所提升。制定如此庞大的一部法典,最大的难点在于法律体系的自洽和有序,这一点上尚有诸多难题亟待解决。首先,草案条文表述有诸多模糊之处,会给司法实践增加不确定性。纵观东西,数据保护的原则的设立和实施已有数十年,立法者应充分考虑并采纳既有成果,而非依仗宽泛、基础的民法规则。笔者认为这一问题是数据保护规则入典的一大负面影响。究竟民法典应以何种形式对数据保护予以认定和保护,与即将出台的《个人信息保护法》又有怎样的分工、协调,这些是立法者应当考虑的主要议题。其次,《民法典》草案对传统隐私理论,例如同意制度、第三人制度的过度依赖有将整套制度架空之虞。草案虽然尝试分立隐私权和个人信息保护规则,但后者的铺陈很大程度上还是基于前者的理论、思维和传统。欧盟法院已经开始对同意制度适用范围进行限缩,美国最高法院也对第三人理论展开批判和反思,我国立法者亦应对传统(甚至过时)理论采取审慎批判态度,并放眼于符合时代发展的新原则(例如GDPR中设立的Data Protection by Design, Accountability, Proportionality, Technology Neutrality等),如此才能真正实现对个人信息的保护。第三,草案中存在选择性定义的问题。核心概念不全,会导致适用范围不确定。当然,是否在民法典中予以定义是一个前提问题。本质上这也是《民法典》与《个人信息保护法》关系的问题。后者出台之前,前者率先亮相。二者的关系符合协调应成为下一轮《民法典》修改的重点。下文笔者将对《民法典》第四遍第六章“隐私权与个人信息保护”展开论述并提出修改建议。全文将分为理念辨析、条文评述和法域勾连三个部分。

一、理念辨析

(一)人格、隐私和数据保护

对草案条文展开论述之前,有必要对一些基本概念概括诠释。数据保护是欧盟提出的概念,与美国的隐私概念有所不同。在欧盟,数据保护作为一项基本权利有自己的发展里路,与传统的“隐私权”分立。[3] 实践中如何区分二者,如何证成新权利的附加价值,这些问题见诸于学术讨论。[4] 这些讨论可以给中国的立法提供参考,尤其是在处理隐私权和个人信息保护(权)之间的关系上。

中国采用个人信息保护的概念,似从2003年起草首部立法议案开始就一直沿用。但在定义上,《民法典》草案却效仿欧盟数据保护法中对个人数据 (personal data) 的定义。关于数据和信息的关系,有观点认为信息是数据处理的成果。数据可以是繁杂的、无序的、原始的,一般个人无法准确解读。相较而言,信息是个人可以理解的,有用的,通过对数据的处理和提炼而成。当然这只是一种理论解读,不具有规范意义。欧盟法在定义个人数据时也将其本质归纳为“信息”,因此二者在这一语境中近乎可以通用。

(二)财产与数据权属

庞大的民法体系下财产权与人格权分立,而数据保护归于人格权下。《民法典》形成之际,人格权独立成编成为了国内学界的主要议题。笔者认为,这一体例对于个人信息保护的法律属性认定也会带来深远影响。

国内近年来对数据权属的讨论此起彼伏,然而财产法的认知框架存在出多缺陷,也不符合数据保护的大势所趋。认可数据保护的人格权基础是一项立法进步,也应在未来形塑数据权属的讨论。人格的归人格,财产的归财产,《民法典》草案的相关条文可以视为对数据权属的一种背离。数据保护作为人格权的一部分意味着数据不应再被视为一种财产,保护的进路也应有别于财产权原则。这是《民法典》中增设个人信息保护条文的积极意义。

不可否认的是,数据权属的纷争对个人信息保护规则的形成所带来的影响已彰显于草案之中。个人信息保护是否属于一种权利?是否受到隐私权同等程度的保护?保护规则在多大程度上能够奏效?这些问题都未在民法典中得到澄清。鉴于人格权的独立以及隐私权和个人信息保护(权)的依附,笔者认为应该摈除数据权属带来的影响,按照人格权的发展里路重新构建第四编第六章。无论是在《民法典》还是在未来出台的《个人信息保护法》,个人信息保护应该根植于人格权,保护为先,经济和数据创新兼顾。

(二)合同与契约自由

合同与个人信息保护虽然分置两编,但二者也不无关联。第四编第六章若干条文提及了对数据处理的约定。例如,第1035条提到了数据的收集和处理“不违反双方约定”(原本应受合同编内容的调整)。第1036条规定了个人信息删除权,提及“信息控制者违反双方约定”的情形。此外,多大程度上《民法典》草案述及的同意制度可以视为一种合同形式也值得讨论。

数据保护法本质上是对契约自由的限缩。通过增设法律要求,个人信息保护规则限制企业或个人基于合同对数据进行滥用,侵犯隐私和其他人格利益。既然同一部法典中有一整编对合同行为作出统一规定,个人信息保护规则又分置于人格权编内,后者理应聚焦在合同自由之上的法律强制要求。

二、条文

(一)第1032条(之一) 隐私的概念

第1032条对隐私的概念进行界定,明显沿袭上世纪对隐私的传统认知,未能涵盖数字时代隐私理念的变迁和演进。

第1032条 隐私权、隐私的概念
自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

这一概念描述了隐私权的三个面向——空间、活动和信息——而忽略了其他面向,诸如身体[5]、通讯[6](在1034条提及“私人安宁”的概念,并未明显体现在这一概念中)、决意[7]、名誉[8],以及近年来在社会、社群层面上发展出的隐私概念[9]。对隐私不同面向的讨论和系统化,可以参见荷兰Tilburg大学教授Bert-Jaap Koops团队开展的研究。[10] 此外,通过私密性或者私有空间来定义隐私的做法已经与数字时代脱节。随着个人生活不同面向都被数据化,所谓私有空间已经不断在瓦解,隐私的保护不应再建立公私二分法之上。[11] 近年来,西方学界对于公共空间的隐私保护已有诸多论述,值得参考。[12]

考虑到科技激速更迭,隐私侵扰的方式也变幻莫测,法律对于隐私的认知应与时俱进。理论上,法典无需对这些流变的概念进行定义,可让其在司法实践中逐渐演进。然而我国不是案例法系,成文判决推理甚少,规则的延伸和诠释多依赖于司法解释。鉴于此,笔者认为可考虑设立开放的、包容的、面向未来的隐私概念。

(二)第1033条(之一)同意制度(相关条款:1033, 1035, 1037, 1038)

同意不应当成为隐私侵扰或数据滥用行为的通行证。将公开私人生活与参与公共活动之间的平衡交由个人,首先要考虑的是国民在既定环境中——例如网络空间——是否有自由作出取舍,有理性作出判断。[13] 根据草案文本似乎可得出结论:无论是隐私权还是个人信息保护(权),凡用户同意所有争议行为都可被正当化。草案对于什么是同意,如何能够获取到有效的同意,都没有作出规定。目前商业实践中又有很多同意都不是明确、自愿和有效作出的。全然依赖同意制度很容易招致滥用。因此,近年来为民众所诟病的乱象(如1033条规定的行为)都可能不受新规则的束缚。

第1033条 除权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以短信、电话、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、窥视、拍摄他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视他人身体的私密部位;
(四)收集、处理他人的私密信息;
(五)以其他方式侵害他人的隐私权

第1035条 处理个人信息的原则、信息处理的概念
收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,不得过度收集、处理,并符合下列条件:
(一)  征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;

英美法系的学界和司法界基本已达成共识,数字社会中同意制度很多情形下是失效的,因为双方存在信息不对称,力量不对等。同意制度因此不应当被过度依赖,所适用的情形应该严格限缩。

笔者建议,在隐私权与个人信息保护(权)二分的情况下,立法者应明确表述同意在什么情况下(不)可以成为隐私权保护的有效抗辩。同理,在关于个人信息保护规则上,《民法典》应该弱化同意制度的地位。基于《民法典》草案目前的条款,笔者建议将同意纳入合法原则的范畴,同时明确数据处理的其他合法基础。此外,正当原则可以用于限缩同意使用的范围,排除一些明显不正当的同意获取方式和情形。

(三)第1033条(之二) 骚扰电话、短信和垃圾邮件

骚扰电话、短信和垃圾邮件的治理本质上是否是一个隐私问题?这取决于法律对于隐私理解的宽窄。现实中这些乱象之所以存在多是因为个人信息的泄露,法律的保护可以沿着私人信息的进路展开。然而信息泄露之外,企业或者个人可否在未经同意的情况下向我们发送信息?《民法典》草案处理这一问题的方式是依赖隐私权,认为骚扰电话、短信和垃圾邮件“侵犯个人生活安宁”(第1033条)。究竟“安宁”这一概念属于隐私的哪个面向——空间、活动还是信息——有赖于立法者或者司法者予以解释。笔者看来,目前明确的三个面向都不足以涵盖“安宁”这个抽象的概念,由此凸显出第1032条对隐私定义范围过窄。比较而言,欧洲治理unsolicited communications的法律基础是ePrivacy Directive(正在进行修改)。[14] 这部法律建筑在《欧洲基本权利宪章》第7条之上,所赋予的“尊重私生活权”要比隐私宽泛许多,值得国内立法借鉴。[15]

(四)第1034条(之一)个人信息保护的法律属性以及与隐私权的关系

第1034条明确了个人信息的法律保护,与隐私权分立于《民法典》草案中。从表述的不同可以看出,立法者似乎没有意向将个人信息保护视为一种权利。但是,草案本身也存在分歧: 一方面个人信息保护没有被赋权,而另一方面第1036条第2段却又使用了“有权……请求删除”的表述。

第1034条 自然人的个人信息受法律保护。
个人信息是以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。
个人信息中的私密信息,同时适用隐私权保护的有关规定。

究竟个人信息保护多大程度上被认定为一种民法权利尚不清楚。在出现竞合时,隐私权和个人信息保护在保护程度上是否存在差异也无从得知。这些问题的解决对于信息保护落实,及与其他权利、利益的平衡至关重要。对个人信息进行法律保护与对个人权利进行保障是不同性质的立法设计。考虑到个人信息保护(权)位于人格权编内,与隐私权毗邻,其法律性质的认定有以下两种思路:其一,隐私权和个人信息保护的关系是前者包含后者还是相互独立?理论上,个人信息保护可以基于隐私权的延伸。但《民法典》草案将私密信息与(一般)个人信息进行区分,似乎暗示(一般)个人信息保护的法律基础不是隐私权。其二,如果个人信息保护不依赖于隐私权,又没有被认定为一项权利,那么保护的法律基础又是什么?实践中,个人信息保护可以多大程度上依赖于更加宽泛的人格权概念?

笔者认为,解决这一范式问题的出路有两个:要么立法者在修改稿中明确认定个人信息保护是一项权利,要么可将个人信息保护解读成隐私权的一个面向,并对隐私的概念做宽泛、包容、科技中立的定义。

(五)第1034条(之二)“私密信息”

《民法典》草案对隐私权和个人信息保护分别作出规定:前者保障“私密信息”,个人信息保护(权)保障一般个人信息。但是二者明显存在重合,规范层面上很难看出有何异同。此外,“私密信息”也是弹性很大的概念。考虑到隐私与个人信息的紧密联系,理论上“私密信息”可囊括所有个人及非个人信息。如果对私密信息作狭义解释,隐私权将对肆意收集、处理他人的“非私密信息”的行为置之不理,这些行为本身又可能构成对私密空间或私密活动的侵犯。隐私权的三个面向互相交叉与重合,在信息层面又与个人信息保护(权)相互渗透。单拎出私密信息无法消弭隐私权与个人信息保护的牵连,反而会给保护逻辑平添矛盾。关于私密信息的保护的表述——“私密信息……同时适用隐私权保护”——也令人困惑:为何重复保护?基于隐私权和基于个人信息保护(权)的保护形式和程度有所不同?是否可以说私密信息的保护程度比个人信息保护更高?这些问题若不解决,会给司法带来诸多难题。

笔者认为,所有这些问题源于隐私和个人信息保护之间的关系没有明确。解决这一问题的方式也有两种:或参照欧盟对于“敏感数据”(data of special categories) 的加强保护[16],或基于 “核心隐私”(substantive privacy)  应予以特殊保护的理论发展开来。[17]

(六)第1035条(之一)数据处理的法律基础

如上所言,所有的数据处理都可以基于同意开展是非常危险的做法。一方面,同意会在大多情形下失效。如果个人无法通过同意与否有效调节私人生活和数字生活,所谓“个人信息保护”也就成为纸上空谈。另一方面,不明确设立数据处理的其他法律基础,对于数据创新以及数字经济发展而言也有负面影响。

第1035条 收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,不得过度收集、处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开收集、处理信息的规则;
(三)明示收集、处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的使用、加工、传输、提供、公开等。

笔者建议将1035条与1037条合并,明确指出数据处理(包括收集)的若干法律基础,无基础的数据处理违反合法原则。如此,下文提到的“合法原则”也能有效落实。第1037条中的“公共利益”以及“自然人合法权益”等正当理由都效仿了GDPR第6条的规定,然而它们与第1035条的关系如何不得而知。建议避免“法律、行政法规另有规定的除外”的措辞(第1035条,第1036条),用明确的规则取而代之,减少法律的不确定性。创设例外时应尽量减小赋权的范围,确定法律的稳定性和持久性。

其次,同意制度极为复杂,理应在1035条之外设立单独条文澄清若干问题:何谓同意(构成要件),如何获得有效的同意,在什么情形下同意无效?

(七)第1035条(之二)数据处理原则:合法、正当、必要、有度

第1035条规定的“合法原则”非常模糊,建议细化。[18]数据的处理应有合法基础;同意是其中之一,但不应是全部。同意制度的设立,意味着数据控制者不能仅基于双方约定(通常是标准合同不可修改)进行数据处理。在这一点上同意的存在非常重要,是对契约自由的必要限制。除此之外,是否存在特例情形,合同可以成为一种正当的法律基础?[19] 此数据控制者是否存在“正当利益”处理数据而并不会对个人的隐私及其他人格利益造成损害?[20] 合同(“双方约定”)在数据处理实践中扮演着一定的角色,多大程度上履行合同可以作为数据处理的合法基础亟需界定。最后,第1037条提到 “公共利益”、“维护自然人合法权益”等理由也可成为合法基础,但适用情形需明确。笔者建议参考GDPR第6条,将1035条和1037条合二为一,由此对“合法原则”进行明确表述,尤其是同意之外的法律基础。

第1035条中提到的其他基本原则——例如正当、必要、适度——也过于宽泛,不具备法律的确定性。这些宏大概念多是对民法基本原则的重述,数据保护入典后引述此等原则是民法思维的一大缺点。

立法者应充分考虑并采纳数据保护已经形成的共识,不必处处追本溯源。相较于必要、适度等宽泛概念,数据收集最小化原则、目的限制原则可以提供更清晰的指引。当然,究竟在哪里设定个人信息保护原则属于立法者的选择。将1035条全部搬入《个人信息保护法》中做更细致的描述也是可选方案。

(八)第1035条(之三)数据处理公开原则

同意制度的有效性应建立在个人能够获取充分、有用的信息,能够不受干扰地作出理性决策的基础上。因此,数据处理公开原则的细化至关重要。第1035条的表述过于抽象,不同条款间似乎还存在重叠。何谓处理信息的“规则”?与第(三)款提到明示“目的、方式和范围”又有何区别?笔者建议参照GDPR第13-4条详细建构数据处理公开原则,消弭条文中的不确定性,确保个人能获取充分信息,作出有效同意。或许在《个人信息保护法》中展开这一原则更为合适,《民法典》可在原则层面上肯认数据处理的信息公开。

(九)第1035条(之四)数据处理与未成年人保护(相关条款:1035, 1037)

《民法典》草案还涉及儿童数据保护问题。第1035条使用的措辞是个人信息处理需“征得自然人或者其监护人同意”;对于未成年人何时能作出有效同意,该条文没有解答。根据《民法典》草案第18-19条的规定,原则上成年人(十八周岁以上)有完全民事行为能力,八周岁以上的未成年人为限制行为能力人。究竟行为能力如何被限制,第19条无法提供足够的确定性。结合第20条可以得出结论,8周岁以上的未成年人可以在某些情形下独立作出有效同意,不满8周岁的未成年人需要法定代理人同意。但是,何谓“与其年龄、智力相适应”,法典未予以明确,需个案判断。

第十八条 成年人为完全民事行为能力人,可以独立实施民事法律行为。
十六周岁以上的未成年人,以自己的劳动收入为主要生活来源的,视为完全民事行为能力人。
第十九条 八周岁以上的未成年人为限制民事行为能力人,实施民事法律行为由其法定代理人代理或者经其法定代理人同意、追认;但是,可以独立实施纯获利益的民事法律行为或者与其年龄、智力相适应的民事法律行为。
第二十条 不满八周岁的未成年人为无民事行为能力人,由其法定代理人代理实施民事法律行为。

相较而言,欧盟法对于年龄作出范围性规定:在13-16岁的区间内,各成员国可以根据本国的情形制定国内法进行确认。[21] 类似地,在我国《个人信息保护法》或《未成年人保护法》中应对同意在什么情形与未成年人的“年龄、智力相适应”作出规定。考虑到我国青少年的成长环境,对电子产品的使用和依赖,有必要对未成年人予以特殊保护。但是,设定年龄限制本质上馆舍青少年的行为自由以及儿童的权利,立法者应当根据实证数据科学地设定界限。

(十)第1036条 个人信息保护权利

第1036条对个人数据保护(权)进行了细化。看似立法者刻意避免了赋权,与隐私权的保护有别。这导致条文使用的概念和描述相对保守——例如“依法查阅、抄录或者复制”(第1036条)。这类表述像政府信息公开规则的翻版,与数字时代的实践脱节。对“被遗忘权”的规定更是令人费解:删除权是出于违法违规违约,而不是前述已经成立的数据处理规则。笔者建议立法者可参照GDPR第17条,在明确数据处理合法基础前提下重述删除权的使用情形。

第1036条 数据“权利”、删除权
自然人可以向信息控制者依法查阅、抄录或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息的,有权请求信息控制者及时删除。

若在此处规定删除权,理应基于个人信息保护的规则。目前的条文在术语上使用过于模糊,可删除情形捉摸不定。草案对于违反了什么法,哪条规则没有明确;违约的概念也很模糊,合同究竟扮演了什么样的角色并不明晰。个人信息保护规则也没有对契约的内容和形成方式作出规定。完全付诸契约自由,删除权将名不副实。

除了删除权、修改权和信息获取权之外,草案并没有认可其他的权利,诸如限制处理权(当个人不想删除数据,但希冀处理中止时使用)、数据移植权,以及针对人工智能/机器学习自动处理数据的拒绝权。若《民法典》不是详述个人信息保护规则的合适载体,笔者建议参考欧盟1995年《数据保护条令》(Data Protection Directive)第12条,对数据权利进行概括认可。立法者此后可以通过《个人信息保护法》对权利进行细化。

(十一)第1037条(之一) 个人信息保护原则的“例外”情形

落实“个人信息受到法律保护”的方式大体有两种:或强化自力救济,或弱化契约自由。前者是指为个人提供充分的信息,以及自由作出决策的环境。后者通过法律强制规则限制数据滥用的情形,从而达到保护的效果。《民法典》草案严重依赖同意制度,同时又开设了诸多例外,所谓“个人信息保护”如何落实令人堪忧。

第1037条 数据保护的例外情形
收集、处理自然人个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内实施的行为
(二)处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。

需再次强调的是,同意在很多情形下已经被证明失效,实践中获取同意的方式也很难被成为自愿、明示。《民法典》草案没有明确同意如何有效达成,又将其视为民事责任豁免的情形,个人信息保护如何落实令人堪忧。

(十二)第1037条(之二) 第三人理论

第1037条第二款为一大败笔。第三人理论创设于前数字时代,来源于规则落后的美国。近年来,美国最高法院在Carpenter等案件中对这个理论进行了诸多批判性反思。[22] 使用第三人理论对数据处理开设例外将推翻上述全部保护规则。所谓“自行公开”或者“合法公开”的表述在数字时代可能囊括所有个人信息,因为大多数收集的数据对于个人而言都是公开的——脱离了个人能够控制的私有领域。传统语境中,第三人理论只适用在“私有空间”仍然存在的前提下,但这样一种想象的空间在数字时代几近不复存在。《民法典》草案主张对隐私权与个人信息保护分别规定,却又在数据保护问题上依赖隐私理论。

虽然个人看似有“明确拒绝”的权利,但这是否意味着每一次的数据处理都需要个人进行自力救济,才能避免隐私权和个人信息(权)的侵犯?自立救济存在诸多局限,这将导致大多数人的个人信息无法受到保护。考虑到数据处理的量级、频繁程度以及复杂性,平常人都没有渠道、能力、知识和时间去管理自己的个人信息。

归根揭底,个人信息保护规则应当在契约自由之上,制定强制规则保护自然人,而不是原则上不去保护,一定要个人“明确拒绝”才能得到保护资格。个人无力决绝,无从拒绝,也不知如何拒绝。

(十三)第1038条(之一)数据控制者的责任

第1038条将若干原则交织在一起,有必要分别论述。第一段关乎数据控制者的责任;责任主体应确保数据安全(不限于不被泄露),并不得对数据进行滥用。第二段与第一段在内容上重合,立法者似乎是在区分数据控制者和第三人分别实施的数据滥用行为,是否必要值得讨论。第二段还提及了数据泄露通报制度,所谓“依照规定”含糊不清。如果草案无意设立具体时限,建议将该表述改为“依照《个人信息保护法》”。针对数据斜路通报的时限、内容和责任,立法者可在部门法中作具体规定。

第1038条 信息收集者、控制者不得泄露、篡改其收集、存储的个人信息;未经被收集者同意,不得向他人非法提供个人信息,但是经过加工无法识别特定个人且不能复原的除外。

信息收集者、控制者应该采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,依照规定告知被收集者并向有关主管部门报告。

(十四)第1038条(之二) “不得向他人非法提供个人信息”(语义不清)

第1038条第一款使用“不得向他人非法提供个人信息”的表述,似乎暗指即便未经个人同意(甚至明示拒绝的情况下),也可以向他人合法提供个人信息?如若属实,这里的法律基础又是什么?合法和同意的关系上文已经述及,建议立法者一并修改,确保逻辑自洽。

(十五)第1038条(之三)匿名化处理

匿名化处理是对数据保护规则的一般性技术抗辩。凡是数据经过加工无法识别且不能复原,此后的处理行为无需遵循数据保护规则。因此,关于匿名化处理的表述不应限于第1038条提到的数据流动的情形。适用情形过窄甚至会阻碍基于数据的科技创新。当然,经过加工之后的信息是否能复原目前在技术层面存在争议。2019年在Nature上发表的一篇文章中就对这一技术假设提出了质疑。[23]

(十六)第1039条 公权力机关及其工作人员

最后,隐私权和个人信息保护条款是否适用于公权力机关?《民法典》草案对于这一问题没有明言。第1035条中使用的“法律、行政法规另有规定的除外”似乎将国家机关及其工作人员排除在外。第1039条又专门提到上述人员在履行职责过程中的“知悉”行为和保密义务。

第1039条 国家机关及其工作人员
国家机关及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。

 “知悉”在什么情形下构成个人信息处理存在不确定性。第1039条仅规定了国家机关及其工作人员的保密义务,与第1038条的民事责任存在差别。倘若所有民事规则同等适用于公权力机关,那么第1039条提到的保密义务同等适用于其他私有主体,无需另述。如果立法者旨在将公权力机关排除在适用范围之外,完全可将第1039条去除并明示民事规范的适用范围。这一条款与第1038条在内容上存在重合,且已超出民事关系的范畴,置于《民法典》中逻辑不通。

(十七)定义

统观第四编第六章,立法者对于个人信息保护的核心概念进行了选择性定义。有些概念过于狭窄,未吸纳近年来的理论发展(例如“隐私”);有些概念借鉴了英美的做法但却没有提供定义(例如“数据控制者”);有些概念为《民法典》草案所创,但却没有阐述跟既有概念之间的联系(例如“数据收集者”与“数据控制者”;“权利人”与“自然人”)。;还有一些概念有待商榷,例如第1032条中的“刺探”(颇有武侠小说或影视剧的色彩),第1036条的“查阅、抄录”(行政法概念)。

一个值得讨论的问题是哪些定义要在《民法典》中作出,哪些可以留给未来颁布的《个人信息保护法》?如果《民法典》中不宜作出全部定义,可仅对隐私、个人信息保护等核心概念做宽泛、包容性、中立性的定义。此后《个人信息保护法》增设概念节,对若干核心概念做澄清。

针对已经提出的概念,笔者认为“个人信息处理”可以被广义理解,一方面囊括“收集”从而省却冗杂表述,另一方面可延伸到诸多行为,不限于使用、加工、传输、提供、公开。考虑到数据科学进步飞速,这一概念本身应当尽量中立,避免因科技的更迭而失效。另外,第1034条中的“行踪信息”概念不明确,建议修改为“地理位置信息”。

三、法域勾连

最后,本文讨论一下《民法典》草案第四编第六节与宪法及其他部门法之间的关系,确保法律秩序的自洽。草案出台之前已有若干法律规则,新《个人信息保护法》也紧随其后,《民法典》如何能够承前启后至关重要。

《民法典》中的隐私权和个人信息保护在多大程度上可以得到《宪法》的支持?《民法典》第1条开宗明义,称“根据宪法,制定本法”。《宪法》第38-40条虽未提及“权利”,但都在“基本权利”章节。《民法典》草案第四编可在不同情形、不同程度与隐私权和个人信息保护(权)建立联系。

《民法典》之前,治理个人信息保护的规则位于多门性质不同的部门法中,例如《刑法》、《网络安全法》、《反恐怖主义法》、《侵权责任法》、《电子商务法》,还有网信办的若干规定。新规则和既有规则之间如果存在冲突或者竞合,哪些规则应该优先适用,以及是否存在规则更替等问题,《民法典》草案并没有提及。

草案出台之后,《个人信息保护法》呼之欲出。根据《草案》的体例,二者的关系看似是民法为基础规范,个人信息法为特殊规范——类似于民法与商法、消费者保护法之间的关系。然而,《民法典》草案已经在多处充当《个人信息保护法》的角色,一方面对制度细节展开规定,一方面受限于体例、篇幅无法展开。未来若干年《个人信息保护法》或许有入典的可能,但基于目前的分立体例,立法者应当确保个人信息保护规则不因《民法典》的体例而过度模糊化,《民法典》不因个人信息保护的需求而改变其基础规范的性质。若为基础性法典,民法或许不是承载隐私权和数据保护权具体保护规则的合适载体,但这不妨碍法典对基本权利、概念和原则作笼统规定,与《个人信息保护法》建立联结。

个人信息保护(权)被《民法典》草案认定为民事问题,意味着与数据处理的刑事责任作出区分。到近年来基于科技和数据处理对个人隐私和信息的侵扰行为频出,诸如窥视、拍摄私密空间(第1032条)的行为,数据滥用和泄露的行为(第1038条)等。笔者认为相关条款可以和刑事犯罪建立直接明确的引述,明确民刑责任的重叠,强调法律的完整保护。
 


* 李汶龙,爱丁堡大学法学院讲师,信息科技法博士,大数据与数据保护方向。

[1] Comparing Privacy Laws: GDPR v. CCPA (FPF, November 2018) <https://fpf.org/wp-content/uploads/2018/11/GDPR_CCPA_Comparison-Guide.pdf>accessed 17 January 2020.

[2] Alexandra Scott and Lindsey Tonsager, ‘Nevada’s New Consumer Privacy Law Departs Significantly From The California CCPA’ (Covington Inside Privacy, 10 June 2019) <https://www.insideprivacy.com/united-states/state-legislatures/nevadas-new-consumer-privacy-law-departs-significantly-from-the-california-ccpa/ >accessed 18 January 2020.

[3] 《欧盟基本权利宪章》第7条准确的翻译应该是尊重私生活的权利,全称为Right to Respect for Private Life;这一权利保护的范围也要比隐私宽泛许多。

[4] Lee A. Bygrave, 'The Place of Privacy in Data Protection Law' (2001) 24 UNSW Law Journal 277-283. Maria Tzanou, ‘Data Protection as A Fundamental Right Next to Privacy? “Reconstructing” A Not So New Right’ (2013) 3(2) International Data Privacy Law 88-99. Orla Lynskey, ‘Deconstructing Data Protection: the ‘Added-Value’ of a Right to Data Protection in The EU Legal Order’ (2014) 63 International and Comparative Law Quarterly 569-597. Gloria González Fuster, The Emergence of Personal Data Protection as a Fundamental Right of the EU (Springer International Publishing,  Law, Governance and Technology Series Vol.16, 2014). Maja Brkan, ‘The Essence of the Fundamental Rights to Privacy and Data Protection: Finding the Way Through the Maze of the CJEU’s Constitutional Reasoning’ (2019) 20 German Law Journal 864-883.

[5] Roger Clarke, ‘What's 'Privacy'?’ (Roger Clarke’s personal website, 28 July 2006) < http://www.rogerclarke.com/DV/Privacy.html>accessed 18 January 2020. Jonathan Herring and Jesse Wall, ‘The Nature and Significance of the Right to Bodily Integrity’ (2017) 76(3) The Cambridge Law Journal 566-588

[6] Judee K. Burgoon, ‘Privacy and Communication’ (2016) 6 Annals of the International Communication Association 206-249.

[7] Roe v. Wade, 410 U.S. 113 (1973). Alexandra Samuel, ‘What Roe v. Wade Means for Internet Privacy’ (Daily Jstor, 17 July 2018) <https://daily.jstor.org/what-roe-v-wade-means-for-internet-privacy>accessed 18 January 2020. 关于决意隐私在欧洲的发展,详见 Bart van der Sloot, ‘Decisional Privacy 2.0: the Procedural Requirements Implicit in Article 8 ECHR and its Potential Impact on Profiling’(2017) 7(3) International Data Privacy Law 190–201

[8] Anita L. Allen, Unpopular Privacy: What Must We Hide (OUP 2011).

[9] Linnet Taylor, Luciano Floridi, and Bart van der Sloot (eds), Group Privacy: New Challenges of Data Technologies (Springer 2017). Wenlong Li, ‘Book Review - Group Privacy: New Challenges of Data Technologies’ (2017) 14(1) SCRIPTed 131 https://script-ed.org/article/group-privacy-new-challenges-of-data-technologies/. Beate Rössler, Social Dimensions of Privacy: Interdisciplinary Perspectives (Cambridge University Press 2015)

[10] Bert-Jaap Koops and colleagues, ‘A Typology of Privacy’ (2017) 38(2) University of Pennsylvania Journal of International Law 483, 484.

[11] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life (Stanford University Press 2009)

[12]Tjerk Timan, Bryce Clayton Newell and Bert-Jaap Koops, Privacy in Public Space: Conceptual and Regulatory Challenges (Edward Elgar 2017). Lilian Edwards and Lachlan Urquhart, ‘Privacy in Public Spaces: What Expectations of Privacy Do We Have in Social Media Intelligence?’(2016) 24(3) International Journal of Law and Information Technology 279-310. Richard T. De George, ‘Privacy, Public Space, and Personal Information’, in Ann E. Cudd and Mark C. Navin, Core Concepts and Contemporary Issues in Privacy (Springer 2018) 107-120.

[13] Daniel J. Solove, ‘Privacy Self-Management and the Consent Dilemma Symposium: Privacy and Technology’ (2012-2013) 126 Harvard Law Review 1880-1903.

[14] Archive: Measures to counter unsolicited commercial communications ("spam") https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM%3Al24190a

[15] European Court of Human Rights, ‘Guide on Art 8 of the European Convention on Human Rights’ (Council of Europe, 31 August 2019) <https://www.echr.coe.int/Documents/Guide_Art_8_ENG.pdf>accessed 18 January 2020. Ursula Kilkelly, ‘The right to respect for private and family life:A guide to the implementation of Article 8 of the European Convention on Human Rights‘ (Council of Europe Human Rights Handbooks No.1, 2001) <https://rm.coe.int/168007ff47>accessed 18 January 2020.

根据《宪章》第52(3)条的规定,凡是该宪章规定了与《欧洲人权公约》相同的权利——例如尊重私生活权——权利的概念、范围与《公约》的规定保持一致。这一条款意味着欧盟法在尊重私生活权等问题上与《公约》进行对接,并且不会提供更高程度的保护。

[16] GDPR, Art 9.

[17] Charles Fried, ‘Privacy’ (1967-1968) 77 Yale Law Journal 475, 488.

[18] 如果不对“合什么法”的问题进行详述,是否可以将《民法典》草案解读为个人信息的保护规则也应当合隐私法,个人信息保护因此属于隐私权的一部分?

[19] European Data Protection Board, ‘Guidelines 2/2019 on the Processing of Personal Data under Article 6(1)(b) GDPR in the Context of the Provision of Online Services to Data Subjects’ (EDPB Guidelines, 12 April 2019) <https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-22019-processing-personal-data-under-article-61b_en >accessed 18 January 2020.

[20] Article 29 Working Party, ‘Opinion 06/2014 on the Notion of Legitimate Interests of the Data Controller under Article 7 of Directive 95/46/EC’ (WP217, 9 April 2014) < https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf >accessed 18 January 2020.

[21] GDPR, Art 8. Ingrida Milkaite and Eva Lievens, ‘Status quo regarding the child's article 8 GDPR age of consent for data processing across the EU’ (Better Internet for Kids, 20 December 2019) https://www.betterinternetforkids.eu/web/portal/practice/awareness/detail?articleId=3017751 Ingrida Milkaite and Eva Lievens, ‘Status quo regarding the child's article 8 GDPR age of consent for data processing across the EU’ (Better Internet for Kids, 20 December 2019) https://www.betterinternetforkids.eu/web/portal/practice/awareness/detail?articleId=3017751 Ingrida Milkaite and Eva Lievens, ‘Children's Rights to Privacy and Data Protection Around the World: Challenges in the Digital Realm’ (2019) 10(1) European Journal of Law and Technology http://ejlt.org/article/view/674/912

[22] Carpenter v. United States  389 U. S. 347 https://www.supremecourt.gov/opinions/17pdf/16-402_h315.pdf See also Jonathan B. New and Brian P. Bartish, 'Privacy and the Third-Party Doctrine in the Digital Age' (Baker Law, 2018) <https://www.bakerlaw.com/webfiles/Privacy/2018/Articles/Privacy-and-the-third-party-doctrine-in-the-digital-age.pdf>accessed 19 January 2020.

[23] Luc Rocher, Julien M. Hendrickx and Yves-Alexandre de Montjoye, ‘Estimating the success of re-identifications in incomplete datasets using generative models’ (Nature Communications, 23 July 2019) < https://www.nature.com/articles/s41467-019-10933-3>accessed 19 January 2020.



推荐 1