首頁 / 文章發布 / 君合法評 / 君合法評詳情

《民法典》強化隱私權和個人信息的民法保護

2020.06.03 董瀟 朱彤 董俊杰

2018年8月,《中華人民共和國民法典(草案)》首次對外公布,并經過第十三屆全國人大常委會多次審議,不斷的修改、完善。2019年12月,經第十三屆全國人大常委會第十五次會議審議,全國人大常委會決定將《中華人民共和國民法典(草案)》提交第十三屆全國人民代表大會第三次會議審議。2020年5月28日,第十三屆全國人大三次會議表決通過《中華人民共和國民法典》(簡稱“《民法典》”),其中人格權獨立成編,成為亮點之一 (簡稱“《民法典人格權編》”)?!睹穹ǖ淙烁駲嗑帯芬詫U掳藗€條款,對隱私權和個人信息保護的定義范圍、個人信息保護要求、責任主體和相對自然人的權利義務進行規定,將于2021年1月1日起實施。


一、 區分、明確個人信息與隱私權的邊界


在《民法典人格權編》生效之前,《民法總則》第110條明確自然人享有隱私權,第111條明確規定個人信息受法律保護,但《民法總則》并未對“個人信息”、“隱私”作出定義?!睹穹ǖ淙烁駲嗑帯吩诂F行法律規定的基礎上,首次對“隱私”的定義作出了規定,進一步明確了個人信息與隱私權的邊界和范圍。


《民法典人格權編》第1032條基本采納了目前關于隱私權界定的通說,規定“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”,第1034條明確:“個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定”。


二、 明確個人信息的范圍


在《民法典人格權編》生效之前,個人信息的定義分別在《電信和互聯網用戶個人信息保護規定》、《侵害消費者權益行為處罰辦法》、《中華人民共和國網絡安全法》(簡稱“《網絡安全法》”)等法律法規之中均有規定。相較于《網絡安全法》第76條的規定,《民法典人格權編》第1034條在個人信息定義的列舉部分增加了“電子郵箱、健康信息、行蹤信息”,其規定,“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?!痹凇睹穹ǖ淙烁駲嗑帯凡莅溉龑徃鍖徸h的過程中,部分委員建議應當區分一般信息和敏感信息、對可能影響人身財產安全的個人隱私敏感信息的內涵和范圍適度擴大 ,但《民法典人格權編》最終并沒有在草案三審稿的基礎上進一步區分一般信息和個人敏感信息。這也可能留待《民法典》生效后在民事司法實踐之中的進一步解釋和應用。


三、 引入個人信息保護要求


《民法典人格權編》第1035條重申了合法、正當、必要的原則并規定了處理個人信息的具體要求:(1)征得自然人或監護人同意,但是法律、行政法規另有規定的除外;(2)公開處理信息的規則;(3)明示處理目的、方式和范圍;(4)不違反法律、行政法規的規定和雙方的約定。


相較于《網絡安全法》等以往的法律法規,《民法典人格權編》在獲取信息主體同意時,強調了對于未成年人等無民事行為能力人或者限制民事行為能力人的個人信息收集需要征得監護人同意。關于未成年人個人信息保護,《民法典》規定不滿18周歲的自然人為未成年人,屬于無民事行為能力人或限制行為能力人1。處理未成年人個人信息的,應獲得監護人同意。而《兒童個人信息網絡保護規定》規定收集、使用不滿14周歲的未成年人個人信息的,應當征得兒童監護人的同意。關于處理已滿14周歲但未滿18周歲未成年人的個人信息是否需要取得監護人同意,需要在實踐中進一步明確。并且,該條還適用于其他無民事行為能力或限制行為能力人的情形,如處理辨別能力不足的老年人的個人信息等,具體如何實施也需要明確。


此外,《民法典人格權編》刪除了個人信息收集的概念,而將收集視為個人信息處理的一部分,規定“個人信息處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等”。相較于《民法典人格權編》草案三審稿,該條額外強調了“不得過度處理”個人信息。


《民法典人格權編》第1037條明確了自然人對其個人信息所享有的權利。除《網絡安全法》明確的更正權、刪除權之外,《民法典人格權編》進一步規定了自然人可以依法查閱或者復制其個人信息的權利。根據《信息安全技術 個人信息安全規范》規定,個人信息主體可向個人信息控制者請求實現個人信息主體的權利,委托處理者、相關個人信息接收方協助個人信息控制者響應個人信息權利的請求2。而《民法典人格權編》第1037條則規定自然人有權向信息處理者依法行使其個人信息主體權利,則似乎是意味著自然人有權向收集、存儲、使用、加工其個人信息的各方主體請求行使個人信息主體權利。這一點還待在實踐之中明確。


四、 規定個人信息保護的責任義務及例外情形


《民法典人格權編》第1036條首次明確規定了行為人處理個人信息不承擔民事責任的三種情形:(1)在自然人或者其監護人同意的合理范圍內;(2)合理處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;(3)為了維護公共利益或者該自然人合法權益,合理實施的其他行為。


《民法典人格權編》第1038條規定,信息處理者不得泄露或者篡改其收集、存儲的個人信息;未經自然人同意,不得向他人非法提供個人信息,但是經過加工無法識別特定個人且不能復原的除外。


另外,《民法典》第999條也規定,為公共利益實施新聞報道、輿論監督等行為的,可以合理使用民事主體的姓名、名稱、肖像、個人信息等;使用不合理侵害民事主體人格權的,應當依法承擔民事責任。


五、 增加了國家機關及其工作人員保護個人信息的義務


《民法典人格權編》第1039條明確規定國家機關、承擔行政職能的法定機構及其工作人員對于履行職責過程中知悉的自然人的隱私和個人信息,應當予以保密, 不得泄露或者向他人非法提供自然人隱私和個人信息。


在《民法典人格權編》草案三審稿審議過程中,部分委員指出,建議增加關于泄露、篡改、非法提供個人信息以及國家機關及其工作人員泄露或者向他人非法提供自然人隱私和個人信息的責任條款 ,但《民法典人格權編》最終并未明確非法提供個人信息的相關責任。


六、 其他個人信息和隱私保護條款


《民法典》之中也對兩類特殊情形下的個人信息保護要求作出了特別規定。


第一,特別規定了患者隱私和個人信息保護,1226條規定,醫療機構及其醫務人員應當對患者的隱私和個人信息保密。泄露患者的隱私和個人信息,或者未經患者同意公開其病歷資料的,應當承擔侵權責任。


第二,1030條規定,民事主體與征信機構等信用信息處理者之間的關系,適用《民法典人格權編》有關個人信息保護的規定和其他法律、行政法規的有關規定。


七、 我們的觀察


《民法典》經過多次審議、修改最終定稿,在民法體系下區分、確定了個人信息與隱私權的邊界、明確了個人信息的范圍,引入了個人信息保護的要求,規定了個人信息保護的責任與義務,并為下一步制定個人信息保護法留下了空間。該等條款在未來的司法實踐之中將如何具體運用,在隱私權之外,“個人信息”保護之訴如何成為個人的救濟途徑,都非常值得關注。


1.《民法典》第17、18、19、20條

2.GB/T 35273—2020 《信息安全技術 個人信息安全規范》第8、9.1、9.2條

君合是兩大國際律師協作組織Lex MundiMultilaw中唯一的中國律師事務所成員,同時還與亞歐主要國家最優秀的一些律師事務所建立Best Friends協作伙伴關系。通過這些協作組織和伙伴,我們的優質服務得以延伸至幾乎世界每一個角落。
云南快乐十分彩票