“有了《民法典》以后,应当说个人信息保护的顶层立法设计就基本完成了。”参与了《民法典》编纂的专家程啸如是说。
2000年左右,程啸就参与到民法典草案学者建议稿的起草工作中。近年来,他也全程参与了全国人大常委会法工委组织的民法典草案人格权编和侵权责任编草案的相关讨论。
在他看来,保护个人信息的根本出发点在于落实《宪法》的规定,维护自然人的人格尊严和自由。
近日,全国人大常委会法工委相关负责人介绍,个人信息保护法草案稿已形成。那么,即将提请十三届全国人大三次会议审议的《民法典》草案,将如何在更基础的权利层面对个人信息保护进行规制?《民法典》和个人信息保护法的内容将如何协调?对此,南都记者专访了清华大学法学院教授、副院长程啸。
清华大学法学院教授、副院长程啸。受访者供图。
隐私权和个人信息保护联系密切,但不可互相替代
南都:在“隐私权和个人信息保护”章节,专家学者对哪些问题争论比较多?
程啸:一个是个人信息的范围问题。《民法典》人格权编草案一直在根据各方面的意见不断做出完善。现行法中,《网络安全法》对个人信息的概念做了界定,人格权编在此基础上进行了完善,基本的标准还是采取识别标准,即凡是可以直接或间接识别出特定自然人的信息作为个人信息,同时对于个人信息的范围做了更多的列举,包括自然人的姓名、出生日期、身份证号、住址、电话号码等。因为无法穷尽,所以最后定义中用了一个“等”字来兜底。
在讨论过程中,不少代表、专家提出来行踪轨迹、电子邮箱地址、生物识别信息也应纳入保护范围,比如GPS定位可以对他人进行跟踪,邮箱泄露可能会导致人身财产受损的风险,这些都是对近年实践出现的各种问题和人民群众关切的立法回应。
《民法典》人格权编草案三审稿在个人信息的范围举例中,新增了行踪信息和电子邮箱地址。
另一个争论点是关于隐私权和个人信息保护的关系。根据目前人格权编草案中对“隐私”的定义,它包括两方面,一是私人生活安宁,二是私生活秘密。私生活秘密还包括了私密空间,私密活动和私密信息。这里面争议最大的就是私密信息,因为它既是个人信息,又属于隐私范围,所以就涉及到隐私权和个人信息保护两个制度相协调的问题。
南都:《民法典》人格权编草案具体是如何处理隐私权和个人信息保护之间的关系的?
程啸:隐私权和个人信息保护的关系,在比较法上有不同的规定。在有的国家如美国,隐私权的范围非常广,大体相当于我国法律中的人格权,比如肖像权、姓名权等都被放在隐私权中进行保护,因此,在美国是扩张隐私权的范围,通过确立所谓信息隐私的概念来实现对个人信息的保护。
但是,在我国的法律体系中,隐私的概念没有美国那么大,肖像权、姓名权、名誉权和隐私权等也都属于具体的人格权。因此,在人格权编草案中,隐私权与个人信息保护是两个不同的人格权益,它们既存在密切的联系,又是分别独立的,不能相互替代。
民法典人格权编关于隐私权的规定很清楚,即未经隐私权人的明确同意,收集、处理他人私密信息的行为属于侵害他人隐私权;同时,在个人信息保护部分,人格权编又规定个人信息中的私密信息也适用隐私权保护的有关规定。这样就很好地协调了隐私权与个人信息保护之间的关系。
此外,隐私权侧重的是保护自然人的隐私不受他人侵害,而个人信息保护不仅要保护自然人的个人信息不受侵害,还要实现对个人信息的合理使用。正因如此,人格权编草案虽然将隐私权和个人信息保护规定在同一章,但也通过对隐私和个人信息的界定明确了二者的区别。
对个人信息确权不必纠结也不必恐惧
南都:有专家认为,应将个人的健康信息也纳入法律保护范围。《民法典》草案是否还会对个人信息保护的范围做调整?
程啸:一方面,处理个人信息的主要是医疗机构,《民法典》侵权责任编中已经对对医疗信息的保护作出了规定。《民法典》草案第一千二百二十六条规定,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。
另一方面,我们现在也正在制定个人信息保护法,这届全国人大常委会也把个人信息保护法纳入了立法规划。在正在制定的个人信息保护法中,可以进一步列举出这类敏感的个人信息并对其处理作出特别规范。
近日,法工委相关负责人介绍,个人信息保护法草案稿已形成,将及早提请审议。
南都:很多专家学者建议,应该为“个人信息”加一个“权”字,为个人信息保护法提供上位法依据。你怎么看?
程啸:我觉得写不写“权”字并不是特别重要。所谓权利,就是由所保护的利益和提供的救济措施构成的。因此,重要的是怎么规定个人信息的民事权益内容,以及侵害个人信息的救济措施。明确这一点之后,加不加“权”字只是一个学术上的分歧而已。
比如,我们现在说《民法典》草案规定了个人信息权也没问题,因为它规定了个人信息的删除权、更正权等内容,这些都是对于个人信息权利内容或权能的规定。我们把个人信息保护的问题放在《民法典》中规定,很重要。因为这意味着:一方面,自然人对个人信息享有的是民事权益,具体来说就是人格权益,而非什么公法上的权利。另一方面,人格权编规定的人格权请求权和侵权责任编中的侵权赔偿责任等救济方式,都可以用于个人信息的保护。
所以,我觉得不必纠结于这一点,也不必恐惧。在民法学界,学者们可能普遍希望规定个人信息权,但也有一些研究法理或者行政法的学者是比较恐惧把个人信息规定为权利的。他们会担心会造成信息孤岛的问题,认为确权可能会导致信息主体对个人信息的绝对支配,以至于信息无法自由流动等弊端。
其实,就算称个人信息为“个人信息权”,它也绝不可能所有权一样,是对个人信息的绝对的、排他的支配。事实上也做不到,因为信息本身就具有无形性和共享性的特点,可以在不同的地点、由不同的人同时加以利用,根本没办法像作为有体物的动产或不动产那样进行绝对的和排他的支配控制。因此,这些担忧是完全没有必要的。
所以,关键的问题是在于怎么协调自然人权利的保护和信息的自由流动、合理使用。其实,这种协调的方式有很多,比如区分私密信息、非私密信息等不同类型的个人信息,区分不同的个人信息处理行为,如收集、提供、公开等而分别加以规范。
在民法典中规定过于琐碎会很快落伍于时代
南都:《民法典》草案对于个人信息的规定有哪些突破和创新?
程啸:第一个创新点,也是最重要的一点,就是把自然人的个人信息作为一项民事权益,而且明确规定成“人格权益”。
我们以前保护个人信息,有一些人老是忘了一个基本的出发点,就是保护个人信息的根本目的是什么。我认为,个人信息与自然人切身权益息息相关,保护个人信息的目的绝非单纯的管理,而是在于贯彻落实《宪法》的规定,维护自然人的人格尊严和自由。
《民法典》之前,《网络安全法》中有个人信息保护的规定,但主要是从网络安全管理的角度来规定的;《消费者权益保护法》中也提及了消费者“享有个人信息依法得到保护的权利”,但其性质是什么并不明确。《民法典》草案解决了这个问题。
第二点是明确了隐私权和个人信息保护之间的关系,这点之前已经讲过。
最后一点是,明确了对个人信息的合理使用规则,有利于自然人合法权益的保护与公共利益的协调。比如民法典对侵害个人信息免责事由的规定就很重要。依据这一规定,为了维护公共利益或自然人的合法权益等情形下,可以不经过自然人的同意,就处理自然人的个人信息,行为人不需要为此承担民事责任。
南都:《民法典》将如何与即将出台的个人信息保护法相协调?
程啸:中国的个人信息保护问题一开始出现很突然,也很必然,它是我国网络信息产业和数字经济发展的必然产物。在初期网络经济“野蛮生长”的过程中,出现了很多的问题,大家意识到问题的严重性。因此,整体的趋势是从实践产生问题,到理论上研究,最后进行立法规范的过程。而且立法也是一个从低阶位的立法慢慢往高位阶立法发展的进程,实际上,这也是一个摸着石头过河的过程。
《民法典》作为民商事领域的基本法,其对个人信息保护的规定,应当说只能是确立大的原则方向和规定最基本的问题。实践中要具体适用的话,肯定还是要有更多具体细致的规定的。但是,有了《民法典》,既可以对其他立法提供基本依据,同时又为将来的发展留有空间。
个人信息保护的具体规则随着网络信息科技和数字经济的发展,会有不断的发展和变化。如果《民法典》规定的过于详细甚至琐碎,就会导致《民法典》的相关规定很快落伍于这个时代,而《民法典》又不可能经常去修订。
个人信息保护法应当是公法和私法的混合体,其中既有个人信息保护机构如何通过行政手段加强个人信息保护、信息处理者如何在个人信息保护上进行自律规范等问题,也要遵循《民法典》的规定详细规定处理个人信息的告知同意规则、自然人的个人信息权益内容以及侵害个人信息的民事责任(如归责原则、赔偿范围、惩罚性赔偿)等。
民法典是市民社会的基本法。有了《民法典》后,个人信息保护的顶层立法设计基本完成了,之后就可以依据《民法典》来制定个人信息保护法、数据安全法,未来也许还会出台数据资产法、政府政务数据公开法等各种相关立法。从《宪法》保护人格尊严,到《民法典》《刑法》《网络安全法》、个人信息保护法以及相关的行政法规、司法解释以及部门规章,我国已经逐渐构建出了一个科学完善的个人信息保护法律体系。
建议设立独立的个人信息保护机构
南都:个人信息保护法的草案稿已经形成,你认为这部法律是否能解决执法依据、力度不一的问题?
程啸:在我国,目前一个很大的问题是在于没有专门、独立的个人信息保护机构。对个人信息保护的监管,基本上是按照个人信息所涉及的领域来划分的,比如网络运营中的个人信息保护归网信办监管,而金融信息、医疗信息、市场交易信息等由分别其他不同的主管部门来监管。
我认为,将来我国建立专门的个人信息保护机构是很有必要的。有了这个机构之后,它的立法权、执法权、具体的处罚等就能规定地比较详细。这样的话,执法依据不统一、法律责任适用不清晰等问题就能得到解决。
南都:有法官指出,在打击侵犯个人信息犯罪的法律适用上,我国存在着刑法在先、民法及行政法在后的问题,你认为这个问题应该如何解决?
程啸:不管是刑法还是民法,刑事责任还是民事责任,实际上都属于事后的,即产生了违法犯罪或侵权行为之后,再追究行为人的责任。但是,目前更需要建立起一种事前、事中和事后的全方位的、动态的个人信息保护制度。
所以,建立个人信息保护机构之后,可以针对个人信息的收集、加工、使用、传输、提供等行为事先就加强监管,比如对App违法违规收集个人信息问题的日常监管,这样很大程度上就可以未雨绸缪,起到防患于未然的作用。
另外,可以进一步明确个人信息保护的相关法律规范和执法尺度,这样的话,也为追究刑事责任和民事责任提供了很大的便利。
南都:总体来说,你对中国个人信息保护现状有何看法和期待?
程啸:我觉得我国个人信息保护的现状整体上是向更规范、更好的方向发展的。
一是党和国家高度重视个人信息保护的问题,刚颁布的《中共中央国务院关于新时代加快完善社会主义市场经济体制的意见》再次明确要求“依法保护个人信息。”网信办等相关主管部门也不断加大个人信息保护的执法力度;二是随着《民法典》的颁布,我国的个人信息保护的法律体系正在不断健全和完善;三是广大人民群众对个人信息保护的意识也在增强。
当然,在个人信息保护中也会不断产生各种新问题,出现各种新情况,需要及时应对,同时,也要注意过犹不及的问题,目前我国的网络经济也在蓬勃发展,在保护个人信息的同时也要高度注意信息的合理使用和产业经济的发展。
另外,我始终想强调的一点是,保护个人信息的基本出发点就是落实我国《宪法》的规定,充分保障自然人的人格尊严和自由。
采写:南都记者 李慧琪
编辑:程姝雯