《民法典》中的個人信息利用和保護制度研究

閔 婉

湖北警官學院，湖北 武漢 430000

一、“個人信息”的概念界定

對“個人信息”的概念和范疇的界定，理論界一直眾說紛紜。“隱私說”認為，“個人信息”具有隱私性，是權利主體不愿意為他人知曉的私密性、非公開性的信息；“識別說”認為，“個人信息”具有可識別性，是與特定權利主體具有特定關聯(lián)性的信息，通過這些信息能夠直接或間接識別出權利主體的具體身份；“廣義說”認為，“個人信息”是以任何形式存在的與權利主體存在關聯(lián)的各類信息[1]。

從各國立法實踐來看，對“個人信息”范疇的界定也各不相同。歐盟《個人數據保護指令》認為，“個人數據”是指可據以識別特定自然人的與數據主體相關的任何信息，包括姓名、性別、身份證號碼、照片、定位數據、基因數據、健康數據等；美國《隱私法案》認為，“個人信息”是指一個機構所持有的與一個人相關的各類單項信息或信息組合，包括但不限于：教育、金融交易、醫(yī)療病史、工作履歷、識別號碼、指紋、照片等。[2]

對“個人信息”的概念和范疇的不同界定，直接關系到個人信息保護制度所保護的法益范疇的大小。從我國的立法實踐來看，關于這一問題的解讀也呈現出不斷發(fā)展的態(tài)勢。2012 年12月28日，第十一屆全國人民代表大會常務委員會第三十次會議通過了《關于加強網絡信息保護的決定》，將“個人信息”界定為“能夠識別公民個人身份和涉及公民個人隱私的電子信息。”這一概括性的界定綜合了“隱私說”和“識別說”的觀點，保護范疇足夠寬泛，但是因規(guī)定不夠具體，不利于執(zhí)法和司法實踐中準確把握。2017 年6月1日施行的《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）采納的是概括加列舉的定義方式，該法對“個人信息”范疇的界定采納的是“識別說”。①《網絡安全法》第七十六條：“個人信息，是指以電子或其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”但是，在大數據背景下，嚴格以“識別說”為標準，會導致用戶網頁瀏覽記錄、購物記錄、行蹤軌跡等不必然具有識別性卻能反映出權利主體的活動情況的個人信息得不到法律的保護。

2021 年1月1日施行的《民法典》仍然沿襲了“識別說”，但對個人信息范疇的界定則在《網絡安全法》列舉項目的基礎上，增加了“電子郵箱、健康信息、行蹤信息”。①《民法典》第一千零三十四條：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”電子郵箱不同于普通郵箱，其郵件地址并非現實生活中的居所地，而是以互聯(lián)網為依托的虛擬地址；健康信息包括自然人的身體健康信息、就醫(yī)信息、身體特定信息以及遺傳基因信息等內容；行蹤信息包括自然人的實時定位信息、住所地信息、日常出行信息、途經地點信息等內容。不難看出，《民法典》新增加列舉的“健康信息”和“行蹤信息”明顯屬于具有隱私性質的信息，尤其是對“行蹤信息”的明確列舉在一定程度上拓展了《網絡安全法》對個人信息范疇的界定。此外，為了解決司法實踐中一直飽受困擾的個人隱私保護和個人信息保護混同的問題，《民法典》明確規(guī)定了隱私的定義，突出了隱私類信息的“私密性”和“不愿為他人知曉性”的核心特征，從而明確將個人信息與個人隱私區(qū)別開來。②《民法典》第一千零三十二條：“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。”同時，《民法典》還首次明確規(guī)定了個人隱私和個人信息的區(qū)分保護規(guī)則，將個人信息的保護范疇界定為隱私權無法涵蓋的領域，從而有效解決了個人信息與隱私權保護范疇的重疊與沖突問題。③《民法典》第一千零三十四條：“個人信息中的私密信息，適用有關隱私權的規(guī)定；沒有規(guī)定的，適用有關個人信息保護的規(guī)定。”

二、個人信息利用的《民法典》規(guī)制

由于個人信息是具有識別性的特定自然人的姓名、身份、行蹤等各種信息，這些信息均與自然人的人格利益密不可分，因此，從性質來看，個人信息具有明顯的個人屬性，對每個自然人個體而言，信息主體都享有個人信息不受非法侵害的私權利，賦予自然人對其個人信息的控制和支配權既是對其人格自由和人格尊嚴的維護與尊重，也是保障其個人信息安全的必要舉措。但另一方面，個人信息也具有公共屬性，對整個社會而言，社會成員個人信息的自由利用與流動既有助于實現社會公共事務的公開、公正和透明，更好地滿足社會公眾對公共事務的知情權和參與權，也有助于政府更加便捷有效地行使對公共事務的管理職責，從而最大限度地促進社會公共福祉。[3]因此，如何促進個人信息的合法有效利用也是信息時代的《民法典》重點關注和回應的問題。

為確保個人信息利用的安全和規(guī)范，《民法典》確立了一系列個人信息利用的原則和規(guī)則。首先，《民法典》明確規(guī)定了個人信息處理的三項基本原則。④《民法典》第一千零三十五條：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理。”一是合法性原則，即信息利用主體對自然人個人信息以收集、使用等各種方式進行處理時不得違反我國現行法律、行政法規(guī)的相關規(guī)定，這里的法律和行政法規(guī)不僅指《民法典》中的個人信息保護規(guī)定，還包含《網絡安全法》《中華人民共和國個人信息保護法》等其他法律規(guī)范對個人信息保護的規(guī)定，既包括實體性的規(guī)定，也包括程序性的規(guī)定；二是正當性原則，是指信息利用主體在收集個人信息時應當明確告知信息主體收集和使用該信息的事實及使用方式，任何單位和個人只有在信息主體知情且同意的前提下才享有對個人信息的正當利用權，任何情況下對個人信息的處理都應當以目的正當、程序規(guī)范為前提；三是必要性原則，是指信息利用主體對個人信息的收集和使用應當僅以其收集該信息的合法正當的目的得以實現為必要限度，在個人信息的收集范圍、保存期限和使用方式上都應當以對信息主體利益影響最小化為標準，超過此標準的個人信息不得收集，已經收集的，應當及時刪除或銷毀并不得使用，貫徹這一原則有助于避免個人信息的過度收集和使用。其次，《民法典》通過賦予信息主體異議權、更正權及刪除權，使得自然人可以及時采取措施防范個人信息利用中的侵權風險。⑤《民法典》第一千零三十七條：“自然人可以依法向信息處理者查閱或者復制其個人信息；發(fā)現信息有錯誤的，有權提出異議并請求及時采取更正等必要措施。自然人發(fā)現信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權請求信息處理者及時刪除。”最后，《民法典》還通過明確規(guī)定信息處理者應當承擔的保密義務、安全保障義務、告知義務以及報告義務等，加強了個人信息收集和利用等各個環(huán)節(jié)中信息處理者的責任，為有效降低個人信息利用中的安全風險提供了制度保障。①《民法典》第一千零三十八條：“信息處理者不得泄露或者篡改其收集、存儲的個人信息；未經自然人同意，不得向他人非法提供其個人信息，但是經過加工無法識別特定個人且不能復原的除外。信息處理者應當采取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失；發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，應當及時采取補救措施，按照規(guī)定告知自然人并向有關主管部門報告。”

三、《民法典》時代加強個人信息保護的措施

（一）深入貫徹《民法典》保護私權的理念，促進國家機關規(guī)范合法利用個人信息

各級各類國家機關在執(zhí)法履職活動中，應當時刻秉承以人為本的理念，充分尊重和保障《民法典》賦予民事主體的各項私權利，而個人信息正是《民法典》中自然人民事權益的重要內容，是個人人格獨立和人格尊嚴的重要組成部分[4]。任何情形下，對個人信息的利用都必須遵循合法、正當和必要的基本原則。即使是在涉及公共安全或其他公共利益的事件中，職能部門對自然人個人信息的利用也不能突破法定的職權范疇。國家機關及其工作人員出于公共安全或其他公共利益目的收集和使用個人信息，應當嚴格遵循比例原則，采取符合公共利益目的要求并且對信息主體利益損害最小的方式進行，一旦發(fā)生個人信息泄露的安全事故，相關職能部門及其工作人員應當承擔相應的法律責任。此外，在各級各類國家機關依照《政府信息公開條例》的規(guī)定履行信息公開職責時，尤其應當嚴格依照法定內容和程序開展信息公開工作，充分把握好個人信息保護和信息公開之間的平衡與協(xié)調。

（二）加大《民法典》中個人信息利用和保護規(guī)則的普法宣傳，引導社會各界樹立良好的個人信息保護意識

互聯(lián)網企業(yè)作為網絡社區(qū)的創(chuàng)建者或管理者，對其創(chuàng)建和管理的網絡社區(qū)理應承擔起維護其安全與秩序的社會責任，除應當加強網絡安全技術的研發(fā)和應用，保障網絡安全穩(wěn)定運行之外，還應采取有效措施保護網民個人信息的安全。對于營利性的各類互聯(lián)網行業(yè)具有專業(yè)化能力的企業(yè)和社會組織，可以通過政府購買服務的方式，將其納入個人信息保護的多元化治理主體之內，充分發(fā)揮其專業(yè)技能優(yōu)勢，不斷推進個人信息保護技術的進步。對于各類行業(yè)協(xié)會、志愿者組織等非營利性的互聯(lián)網行業(yè)專業(yè)化社會組織，則可以通過政府給予政策扶持、宣傳引導、經濟支持等多種方式，鼓勵其為個人信息利用風險的防控共治工程貢獻力量。此外，廣大社會公眾作為信息主體，應當不斷增強自身的個人信息保護意識。一方面，公眾應當提高個人信息的自我保護能力，使用各種線上服務時應當選擇正規(guī)、可靠的渠道，下載各類手機應用軟件時應謹慎提交個人信息，在應用軟件注冊環(huán)節(jié)應避免使用個人信息作為用戶名，提交身份證照片、銀行卡號、個人臉部照片等個人敏感信息時更要仔細甄別是否符合個人信息收集的必要性和最小化原則；線下提供個人信息時，也應當充分了解信息收集方是否具有合法個人信息收集權限，發(fā)現違法違規(guī)收集和使用個人信息的情形，應當及時向職能部門提出舉報和申訴。另一方面，公眾也應當提高自覺尊重和保護他人個人信息的素養(yǎng)，在傳播公共信息時，一定要避免泄露他人可識別性個人信息。

（三）通過制度建設不斷推動個人信息的利用和保護之間的平衡與協(xié)調

首先，在對個人信息的利用制度中，應當不斷優(yōu)化信息分級規(guī)則，針對不同類型的個人信息設定不同的利用權限、程序及責任，相較于一般信息而言，對敏感信息的收集和使用應當設立更嚴格的標準，對敏感信息的泄露應當設立更重的法律責任；其次，要進一步強化知情同意規(guī)則的執(zhí)行力度，即任何信息利用主體只有在自然人本人真實且自愿同意的前提下才享有對其個人信息進行合法收集和使用的權利。這一規(guī)則是個人信息收集和使用過程中平衡信息主體和信息利用主體雙方權益的一項基本制度，對個人信息的保護至關重要，如果信息利用主體是用排除信息主體自主選擇權的格式條款的形式獲取同意的，應當視為該同意無效。此外，還應不斷完善個人信息的合理使用規(guī)則。《民法典》將“為維護公共利益”合理實施的處理個人信息的行為納入個人信息侵權的免責范疇。這類個人信息合理使用規(guī)則為公共利益目的下的個人信息利用行為提供了必要的法律指引。但該規(guī)定過于原則化，缺乏實際應用層面的具體性和可操作性，只有對行使合理使用權的主體、標準和程序均作出具體明確的制度安排，才能真正實現個人信息利用和個人信息保護之間的動態(tài)平衡。