《民法典》語境下煙草行業對零售客戶個人信息的保護

王雨珊

天津市煙草專賣局，天津 300000

網絡信息技術的發展、應用與成熟已經成為社會現代化的標志之一，因此，現今社會更加注重公共利益、信息自由、信息數據安全、個人信息使用與存儲的保護。2021年施行的《中華人民共和國民法典》（以下簡稱《民法典》）對個人信息保護的一系列規定充分說明了最高立法機關對個人信息民法保護的高度重視。

在煙草行業在大力進行現代化煙草經濟體系建設的同時，密切關注并著力進行電子商務終端運行的新模式的建設，隨之而來的就是對信息化要求的逐步提高。行業也已經充分注意到加強零售終端系統數據尤其涉及零售客戶個人信息數據安全性的工作的重要性，主動作為，積極開展對零售終端系統數據中涉及相關個人信息數據的保護工作。因此，本文以《民法典》頒布為契機，嘗試探討在《民法典》語境下煙草行業對零售客戶個人信息保護工作的相關問題和完善方向，并以A省煙草行業零售終端的個人信息保護為例進行具體分析。

一、個人信息的基本理論

（一）個人信息的概念

2021年1月1日施行的《民法典》第一編總則第五章民事權利第一百一十一條中已經對“個人信息”的保護進行了明確規定?！睹穹ǖ洹穼ψ匀蝗说膫€人信息進行保護具有與時俱進的法律意義和社會意義，這表明民法已經認可了個人信息成為需要保護的自然人法益，體現出人格的尊嚴和自由受到法律的尊重。

在《民法典》第四編人格權編第六章中設置“隱私權和個人信息保護”一節，其中第一千零三十四條定義了個人信息，其內容基本沿襲的是《網絡安全法》第七十六條中定義的個人信息的概念，但該條對個人信息的內涵和外延設定更加廣泛，即不再限于網絡語境下的個人信息保護。

同時，《民法典》第四編人格權編第六章“隱私權與個人信息保護”第一千零三十五條對于第一百一十一條中的“不得非法”做出了細化規定，第一千零三十六條還從抗辯事由的角度規定了不承擔民事責任的情形，通過條文的規定與內部邏輯，我們不難得出一個結論：收集個人信息的行為只能在法律軌道上進行，而不能進行隨意的收集。因此，這就為企業，尤其是具有專營專賣性質的煙草行業在收集、使用和處理零售客戶個人信息的時候劃出一道“底線”，這不僅是對經營對象的法定保護，更是對行業規范經營管理的一次法治自檢。

（二）個人信息的特征

1.個人信息的主體是自然人

對個人信息主體的定義，僅限于自然人，法人、非法人組織不包含在內。根據相關法律規定，雖自然人、法人和非法人組織的數據權和網絡虛擬財產權受到法律保護，但由于上文所述，法人和非法人組織并非個人信息保護主體，因此不享有個人信息的權利。進一步分析，當個人信息剝離了個人化或去掉可識別化后，即可被處理為數據或大數據，以這樣的形態是可以成為財產權益客體的。我們知道，法人和非法人組織參加民事活動的“準入資格”與自然人不同，即需要以登記、公示等形式來進行。在社會運行過程中考慮到公共利益及交易安全，要求法人和非法人組織原則上要向社會公開自身相關信息。因此，無論從主體的受保護價值層面，還是從法律對所保護主體的要求層面，在保護的主體上區分自然人和法人、非法人組織是有一定意義的。誠然，法人和非法人組織在一些特定情形和環境中也享有人格權，例如，商譽、名譽等。但是應當認識到，個人信息是一項由自然人獨特享有的人格權。［1］

2.個人信息所保護的法益是自然人的人格權利和財產利益的結合

《民法典》對個人信息保護體現在個人信息的收集、存儲、利用，為了防止個人信息被非法收集、利用所產生的侵害自然人人格權益、自然人人身自由的風險，以及對自然人人格權和財產權進行侵害的危險而通過法律加以確定和保護。就自然人而言，其所在意并應當得到保護的是人格利益，尤其是當原始個人信息處于未被加工、分析時或利用的“靜態”時，這樣的數據被泄露、竊取等行為確實屬于侵犯自然人的人格權。因此，個人信息的人格權益屬性體現的是信息主體對于其個人信息的“支配性”。反之，通過大量的個人信息（數據）收集加工后可以形成大量的商業化利益，其商業化價值的實現是在個人信息產生的基礎上實現的，而這樣的財產利益，某種程度上是信息主體對個人信息的一種“限制”。

由此可見，在現代信息社會，個人信息不僅強調保護，更加強調利用；侵害這些人格權，不僅造成受害人精神損害，還可能造成受害人財產損害。個人信息既然用于識別信息主體，宜將其作為人格權保護，同時要充分認識其具備精神利益與物質利益雙重屬性，［2］因此，個人信息所保護的法益是自然人的人格權利和財產利益的結合，正是這樣的結合才能構成支配程度與利用空間之間的平衡。

3.個人信息具有可支配性

保護自然人的個人信息，主要是保護其自身對個人信息的支配權。據此，自然人具有允許或不允許個人信息被他人收集的自由，也有請求他人對本人信息數據進行刪除、斷開鏈接或屏蔽的權利，從而保護自身信息的真實、完整和安全。

二、煙草行業對零售客戶個人信息的保護

（一）煙草行業保護零售客戶個人信息的必要性

隨著網絡信息技術時代的到來，信息及大數據賦予的價值也呈幾何量級增長。面對井噴式的個人信息數據增長，某些不法分子非法攫取公民的個人信息的違法成本沒有相應提升，這致使公民不僅遭受了侵害還要為上述的違法行為“埋單”。

因此，近幾年我國愈發重視對公民個人信息的保護，分別頒布了《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》等多部法律法規，從公法及私法層面對個人信息的保護、信息管理者義務、信息處理的相關要求進行規制。我國煙草行業作為具有專營專賣特殊性質的企業，深入貫徹全面依法治國要求，以強烈的法律意識和社會責任感，不斷加強數據安全和個人信息安全工作。本文在《民法典》語境下，分析A省煙草行業在零售終端加強個人信息安全工作的具體措施并提出相關完善建議。

（二）煙草行業保護零售客戶個人信息的具體措施——以A省煙草行業零售終端的個人信息保護為例

A省煙草營銷中心（以下簡稱“營銷中心”）依據中國卷煙銷售公司相關通知要求，升級改造其零售終端新商盟網站，自2020年5月27日起，通過零售終端“新商盟”向客戶推送《A省新商盟關于推送〈新商盟網站信息保護說明〉的通知》。要求零售客戶使用個人賬號登錄一次新商盟網站，閱讀《新商盟網站信息保護說明》（以下簡稱《說明》）。在零售客戶同意此政策，并點擊同意后即可正常開始使用網站和服務。

營銷中心按照《APP違法違規收集使用個人信息行為認定方法》第一條的相關規定，在首次運行時通過彈窗等明顯方式提示用戶閱讀信息收集、使用和保護協議，并保證協議易于訪問，在進入APP主界面后，不多于4次點擊等操作即能夠進行訪問，在零售客戶登錄時即將在零售客戶使用網站前收集、使用其個人信息事項以協議形式進行明示，并以說明形式加以具體介紹和解釋。

從安全協議的性質來看，零售客戶并沒有支付金錢對價，在主觀上也沒有支付對價的意識，只是存在告知并征求零售客戶收集其相關個人信息，因而用戶和網絡運營者，即營銷中心之間形成的是一種合同。從利益的角度出發，由于雙方并未支付對價，即此合同可理解為無償合同。而《新商盟網站信息保護說明》可認為是對安全協議具體內容加以說明和明確雙方權利與義務，并作為附件存在于合同中，屬于合同的一部分。

（三）對應《民法典》中關于個人信息的規定對《說明》進行分析

《新商盟網站信息保護說明》共七條內容，其中第一至第五條分別為：1.用戶信息收集方式；2.用戶信息的使用；3.用戶信息的存儲；4.用戶信息的共享、轉讓和披露；5.用戶信息的管理。下面，筆者試對應《民法典》中關于個人信息的規定對《說明》進行分析：

對應《民法典》第一千零三十五條的相關規定，在《說明》的第一條所規定的用戶信息的收集方式是對《民法典》第一千零三十五條第三款的呼應，與其說是“用戶收集方式”的規定，其內容更主要的是明示了處理信息的范圍。同時，《說明》第一條中也在明確營銷中心收集范圍同時列舉了收集個人信息的方式。例如，第一條第一款：“當您在A省煙草專賣局辦理煙草專賣零售許可證手續時，依據法律法規及監管規定，我們會收集您的姓名、身份證號、銀行卡號、營業執照、經營地址、負責人電話等個人信息?！?/p>

《說明》第二條做出了“用戶信息的使用”的相關規定，其實質是明示獲取用戶信息的用途，也就是對應了《民法典》第一千零三十五條第三款“明示處理信息的目的”的要求。

《說明》第三條“用戶信息的存儲”對應了《民法典》第一千零三十五條第三款“明示處理信息的方式”，其中的第三款“我們將遵守相關法律規定，采取合理措施保障用戶信息的安全，以防止用戶信息在意外的、未經授權的情況下被非法訪問、復制、修改、傳送、遺失、破壞、處理或使用。例如，使用加密技術進行信息傳輸、數據庫加鎖等手段來保護您的用戶信息”。對應的是《民法典》第一千零三十八條“信息處理者應當采取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失；發生或者可能發生個人信息泄露、篡改、丟失的，應當及時采取補救措施，按照規定告知自然人并向有關主管部門報告”的相關規定。在體例上，筆者認為第三款更多的說明了信息使用者妥善保存、管理的義務，因此，將其納入“用戶的信息管理”中更為完整和全面。

《說明》第四條“用戶信息的共享、轉讓和披露”可以對應上文所提《民法典》第一千零三十八條“未經自然人同意，不得向他人非法提供其個人信息”的內容，把用戶信息的共享、轉讓和披露的情況向零售客戶進行了列舉說明。

三、對A省煙草行業保護零售客戶個人信息的措施的評價

通過以上的對照分析，A省煙草行業在保護零售客戶個人信息的措施上是有很多值得肯定之處的，具體表現為以下三個方面：

（一）與《民法典》對個人信息的規定具有高度契合。從上文的條文分析中可看出，A省煙草行業零售終端推出的安全協議和《說明》基本符合了《民法典》對個人信息保護相關條文要求。并在要求的框架下擴展并嚴于《民法典》條文要求程度，同時參考了《中華人民共和國網絡安全法》《中華人民共和國政府信息公開條例》《APP違法違規收集使用個人信息行為認定方法》《個人信息安全規范》等多部法律法規，盡可能列舉信息收集的范圍、方式及存在的風險等。

（二）體現了個人信息所保護法益的內在價值。A省煙草行業零售終端對零售客戶個人信息的保護中，不僅體現了對零售客戶個人信息的保護，還體現了對信息處理方的規制，一方面是維護了零售客戶個人信息的安全，另一方面也是保護了由此信息產生的商業利益的安全，從而把導致的人格權利的侵害或商業利益的侵害風險降到較低的程度。這正好契合了上文所提及的個人信息所保護的法益是自然人的人格權利和財產利益的結合的理論。

（三）貫徹了民法的基本原則。貫徹了民法的平等原則。A省煙草行業零售終端向零售客戶推送的《說明》中，在明示零售客戶其個人信息收集、使用及使用目的外，還明確表示了作為信息管理方的義務，例如，《說明》第三條第三、四款對管理個人信息時的法律依據，采取措施以及嚴格限制信息訪問權限、要求相關工作人員簽署保密協議等。從這個角度來看，約束自身管理行為，承擔管理義務也是對零售客戶個人信息堅實的保護。

（四）貫徹了自愿原則。A省煙草行業零售終端在首頁彈窗中明確表示在零售客戶同意并授權的基礎上，信息管理方可能會收集相關信息?！叭敉獯恕墩f明》內容，請點擊同意的形式進行明示，即可開始使用網站和服務”，這樣把零售客戶個人信息的處分權利交到零售客戶自己手上，充分體現了自愿的原則。