变化纵横出新意——民法典中个人信息的定位及影响
《中华人民共和国民法典》(下称“《民法典》”)将于2021年1月1日正式生效。作为中国第一部以“法典”命名的法律,《民法典》集我国民事领域立法之大成,是我国民事立法领域具有划时代意义的重大立法成果。相较于此前的分散立法,本次《民法典》的一大亮点是将有关人格权的规定独立成编。这一编排体例的创新体现了当下民事法律体系对人身自由、人格尊严的重视与保障。
一方面,《民法典》在人格权编下对自然人“隐私权”和“个人信息”的新增规定和具体要求,反映了我国民事立法对互联网、信息数字化时代下个人隐私、个人信息等权益保障迫切需求的法律回应,为民事主体寻求个人隐私、个人信息方面的法律救济提供上位法依据。另一方面,个人信息等数据作为数字经济时代产业发展的关键要素之一,在我国产业发展促进的政策中同样有着举足轻重的地位。[1]在《民法典》施行之际,对个人信息及其有关权益的准确定位,将有助于企业正确认识个人信息商业化应用背后的权益逻辑,为日后的个人信息合规以及企业数据资产化工作提供理论支持。
一、
个人信息性质的确立
1. “民事权利”章节下的个人信息
相较于欧洲、美国等国家地区将个人数据保护作为基本人权的内容,或通过隐私体制对个人信息主体的权益予以保障,中国将如何定位个人信息保护一直是国际社会关注的焦点。
实际上,早在2017年颁布施行的《民法总则》中,就已明确将个人信息保护纳入民法视野。此次《民法典》吸纳了总则部分的全编规定,重申了个人信息保护的定位,强调获取个人信息应“依法取得”并“确保信息安全”,不得“非法收集、使用、加工、传输他人个人信息”,不得“非法买卖、提供或者公开他人个人信息”。[2]
虽然个人信息保护条款本身并未对“个人信息”是否构成法律意义下的民事权利进行明确,但从条款编排来看,无论是此前的《民法总则》还是当下的《民法典》,均将其置于“民事权利”章节之下,这一编排一定程度上反映了立法者从民事权利视角对个人信息保护进行法律定位的意图。
2. 个人信息的“人格权”的属性
此次《民法典》对于个人信息保护新增条款的编排进一步确认了个人信息的人格权属性。如前所述,人格权的独立成编构成了本次《民法典》在体例编排上的创新亮点,而将个人信息保护纳入《民法典》人格权编,则是对产业释放了又一大信号,即个人信息的人格权属性得到立法肯定。《民法典》第九百九十条对人格权的定义和范畴进行了明确,包括民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。虽然其并未对个人信息的权利定位予以明确,但该条第二款强调了自然人同时享有“基于人身自由、人格尊严产生的其他人格权益”。个人信息作为识别、表明个人身份的标记信息,其存在本身就天然与个人在信息社会环境中的人格尊严存在密切联系。据此,个人信息将可能作为一种尚未具化为独立权利的“人格权益”受到保护。
诚然,当下有关个人信息乃至数据的法律属性仍旧存在较大争议。产业领域的个人信息处理涉及多方主体,各方对于个人信息是否应当享有某种权益、权益边界为何仍亟待讨论。但本次《民法典》对个人信息的人格权定位,至少确认了个人信息主体一侧对个人信息享有的权益属性,有助于未来进一步厘清个人信息相关的权益边界。
二、
个人信息保护具体规则的创新与突破
如前所述,《民法典》中对个人信息保护的相关规定,意味着“自然人对个人信息享有受保护的民事权益”[3]的认可,而将其放置于“人格权编”的编纂体例,则强调了这种受保护的民事权益与“人作为目的性的存在”[4]、“人格尊严和人格自由”[5]之间的紧密联系。以下,我们尝试结合个人信息保护的相关条款及民法典的编撰体例,探讨个人信息保护具体规则的内涵。
《民法典》“总则”部分沿袭了2017年《民法总则》中对个人信息保护的原则性规定,重点强调并规制了第三人对公民个人信息的收集、使用、加工、传输、提供、公开等行为。同时,《民法典》“人格权编”第六章对个人信息的定义、[6]处理个人信息的原则和条件、[7]自然人针对个人信息的查阅、复制、请求更正、请求删除的权利、[8]信息处理者不得泄露、篡改、向他人非法提供个人信息及保障信息安全义务、[9]法定机构及其工作人员对个人信息的保密义务[10]等内容作出了特别规定。
1. 个人信息处理的合法基础:“个人信息主体的同意为原则”及有限例外
与2017年生效的《中华人民共和国网络安全法》(下称“《网安法》”)体系[11]相协调,《民法典》在第一千零三十五条第一款中重申了“个人信息主体或其监护人的同意”作为全生命周期的个人信息处理(包括收集、存储、使用、加工、传输、提供、公开等环节)的合法性基础,体现了对个人信息主体在个人信息处理全流程中主体性的认可与尊重,充分保障了个人信息主体的同意权。第一千零三十五条的规定同时与第一千零三十七条、第一千零三十八条共同构成了对个人信息处理事前同意、事中知情、[12]事后救济[13]框架,为个人信息主体提供了周延的保护。
第一千零三十五条同时首次从法律层面肯定了除“征得该自然人或者其监护人同意”外,“法律、行政法规另有规定”也可以作为处理个人信息的合法基础,既有助于明确《民法典》、《网安法》下关于授权同意与其他法律法规衔接的处理方式;同时也能够帮助信息处理者更加准确地理解个人信息处理行为的合规边界,选择合适的信息处理方式和商业模式,对个人信息处理的实践将产生巨大的影响。如果企业或其他信息处理者能够确认相关的信息处理行为是根据法律、行政法规的规定而开展,则可能无需另行征得自然人或者其监护人的同意。
我们期待着以《民法典》为开端的对个人信息处理合法性基础体系的进一步明确与构筑,能够更好地为平衡个人信息保护与利用、充分保障个人信息的“人格尊严和自由价值”同时发挥其“商业机制”和“公共管理价值”[14]提供指引。
2. 个人信息处理主体的概念创新:“信息处理者”
欧盟《通用数据保护条例》(General Data Protection Regulation, 下称“GDPR”)对于个人数据的处理主体基于责任和义务区分“个人数据的控制者”、“个人数据的处理者”以及“个人数据的共同控制者”等不同主体,其目的之一是明确个人数据处理中不同主体的责任边界。我国推荐性国家标准GB/T 35273《信息安全技术 个人信息安全规范》也曾参考其他司法辖区的做法将“个人信息控制者”[15]作为主要的规制对象和义务主体。
《网络安全法》考虑到适用的范围,以个人信息常见载体“网络”为切入点,通过定义“网络运营者”(即网络的所有者、管理者和网络服务提供者),来对个人信息的“收集、使用”“存储”等个人信息全生命周期处理环节进行规制,并强调网络运营者对于个人信息主体权利的响应要求。
区别于《网安法》以及其他司法辖区的做法,《民法典》第一千零三十五条中将“个人信息的处理”界定为“包括个人信息的收集、存储、使用、加工、传输、提供、公开等”各个环节,并肯定了自然人向“信息处理者”请求行使针对个人信息的权利、以及“信息处理者”需承担的信息安全义务等内容。[16]结合相关条款,我们理解民法典中“信息处理者”应当包括参与个人信息全流程处理的各方主体,而不仅局限于“有能力决定个人信息处理目的、方式”的“控制者”。
我们理解,《民法典》中“信息处理者”概念的引入和基于“信息处理者”的义务责任构筑方式,在一定程度上反映了从“个人信息主体权益”出发的立法思路。从比较法来看,尽管“个人信息控制者”与“个人信息处理者”[17]两者之间的相对权利义务关系上可能存在差异,但“个人信息控制者”相对于“个人信息主体”而需承担的责任和义务水平应当并已经实质性地通过法律法规、协议(如实践中通常采用的数据保护协议)约定施加于“个人信息处理者”,因此就“个人信息控制者”“个人信息处理者”分别相对于“个人信息主体”应当承担的责任和义务可能并不存在实质且显著的差异,将相关的责任义务概括性地及于参与个人处理的各方主体,可能有助于个人信息主体依据实际情况选择主张权益的具体对象和方式,实践中可能有利于个人信息主体主张权益。
3. 隐私权与个人信息保护的关系
除了前述的一般性规则外,本次《民法典》个人信息保护规则中另一项值得关注的内容则是“关于隐私权和个人信息保护的关系”[18]。有关隐私权和个人信息保护的关系是《民法典》编撰过程中的争论焦点问题之一,比较法上广泛采取的隐私与个人信息“一元制”保护模式[19]曾一度影响我国在个人信息保护与隐私权的立法模式探讨以及司法实践,即认为无须单独规范个人信息条款,而是可以通过隐私权等既存具体人格权实现对个人信息的保护。在这种情况下,司法实践中对于某些不当利用个人信息并因此造成人格权益损害的行为,往往需要通过具体的人格权利,如隐私权、名誉权等方式进行规制和救济。
例如,在此前引发广泛关注的某知名旅游中介网站及航空公司泄露客户隐私信息案[20]中,二审法院认为“单独的……姓名和手机号不构成隐私信息,但当姓名、手机号和……行程信息(隐私信息)结合在一起时,……整体上成为隐私信息”,在另一案件中,被公开披露“姓名、照片、住址、工作单位等身份信息”的原告以侵犯名誉权和隐私权为由起诉被告并得到法院支持。[21]但是,由于中国法律体系下“隐私”概念的内涵相对较为固定,在运用隐私权乃至于肖像权、姓名权、名誉权等具体人格权保护“个人信息”权益时仍然可能存在力有不逮的情形。例如,有学者[22]在分析隐私与个人信息时认为,“隐私权制度设计”所保护的隐私利益属于“人格自由与人格尊严方面的人格利益”;但个人信息除了“人格尊严和自由价值”,还具备“商业价值”[23]和“公共管理价值”[24],而后两者也是个人信息被“不当收集、处理、利用和传输”的重要诱因,但却较难通过隐私权体系进行保护。举例而言,如果自然人已经主动披露“隐私信息”,由于信息私密性已经被自然人的行为主动放弃,则很难在之后再主张隐私权遭到侵犯;但此时对于已经公开的个人信息的不当利用,仍然可能损害相应自然人的权益。
因此,随着司法实践经验的不断累积和学术讨论的不断深入,区分个人信息与隐私权的边界逐渐成为中国学术界和立法者们的共识。[25]2017年颁布生效的《民法总则》在第一百一十条“隐私”等人格权之外明确提出了“个人信息”保护,[26]从立法层面确定了个人信息保护与隐私权的二分体制。而从本次《民法典》的体系结构中不难看出,关于隐私权和个人信息保护的具体内容虽然共同规定在“人格权编”的第六章,两者在条款文本上仍然相对独立,[27]例如第一千零三十三条中规定“除法律另有规定或者权利人明确同意外”,任何组织或个人不得以列明的或其他方式侵害他人的隐私权;而第一千零三十五条中处理个人信息的条件之一则为“征得该自然人或者其监护人同意”。尽管“明确同意”的内涵与外延尚未完全明确,但从文义表述来看其与“同意”应有不同,该“明确同意”是否更接近于个人信息的“明示同意”[28]的标准则可能还有待进一步探讨。
从侵权的责任承担角度来看,《民法典》第一千零三十三条中规定的“处理他人的私密信息”构成侵犯他人隐私权和第一千零三十四条第三款中的规定“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”一方面是立法者面对隐私权与个人信息保护之间体系衔接的处理方式之一,体现了对隐私权与个人信息“客体交错性”和“侵害后果竞合性”的肯定和立法回应。即从客体而言,“自然人……不愿为他人知晓的私密信息”既应当属于隐私,[29]也可能属于个人信息。[30]而从侵害后果而言,“行为人实施某一行为可能同时造成对多种权利的侵害,从而形成多种权利受侵害、产生责任竞合的现象”[31]。从这个角度来看,“个人信息中的私密信息,适用有关隐私权的规定”所规范的含义可以理解为行为人实施以私密信息为客体的行为造成侵权时,如出现竞合应当以隐私侵权责任为先。另一方面也可以被视为从个人信息权益角度对于不适用于隐私权的个人信息侵害行为提供补充的救济措施,为个人信息主体提供了更为全面的保护和救济。
4. 侵犯个人信息的民事救济
4.1 侵权责任
通常如果未能为保护的权益提供充分的救济措施,“权利”容易变成“一纸空文”。《民法典》中关于个人信息保护的另一个重点即是个人信息权益侵害的救济措施和责任承担问题。《民法典》中“人格权编规定的人格权请求权和侵权责任编中的侵权赔偿责任等救济方式” [32]均能够适用于个人信息保护。《民法典》“总则”第一百二十条中规定,“民事权益受到侵害的,被侵权人有权请求侵权人承担侵权责任”。
同时“人格权编”第九百九十五条中进一步规定了,“人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定”,个人信息保护是否适用于人格权完整的救济措施还有待确认。但《民法典》中对于涉及个人信息权益保护方面,则体现为:
(1) 请求信息处理者采取更正等必要措施或及时删除个人信息(比如备受争议的信用评价);[33]
(2) 信息处理者发生个人信息安全事件时应及时采取补救措施;[34]
(3) 医疗机构泄露患者隐私、个人信息或未经同意公开病历资料的侵权责任[35]等内容。
这些将在实质上为个人信息主体提供充分的保障,让权益得到真正的落实与践行。
4.2 免责事由
在请求权基础和侵权责任之外,对“免责事由”的探讨则有助于我们更全面地理解个人信息的责任体系。其中,《民法典》“人格权编”第九百九十九条中规定,“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等”;而第一千零三十六条中规定了处理个人信息的行为人无需承担民事责任的三种情形,即“(一)在该自然人或者其监护人同意的范围内合理实施的行为;(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为”。从文义表述来看,不难发现二者可能稍有不同,其中第九百九十九条所规定的为“可以合理使用……个人信息”;而第一千零三十六条的表述则是“无需承担民事责任”。
鉴于《民法典》中所规定的一般原则为民事权益受到侵害,被侵权人有权请求侵权人承担侵权责任,我们理解行为人无需承担侵权责任的可能性有两种:
(1)其一是行为人的行为并未侵害权利人的民事权益,因此自然没有请求承担侵权责任的基础;
(2)其二则是行为人的行为可能导致权利人的民事权益受损,但出于利益平衡以及其他考虑构成了免责事由,即行为人无需承担民事责任。
对于第九百九十九条中和第一千零三十六条中所规定的“可以合理使用……个人信息”和“无需承担民事责任”具体应当属于何种情形,可能会影响未来司法实践中的举证责任分配和实践中判定标准的高低,因此可能有待于进一步明确。
4.3 其他责任
除侵权责任外,《民法典》第一百七十六条中还规定了“民事主体依照法律规定或者按照当事人约定,履行民事义务,承担民事责任”。第五百七十七条中进一步规定,“当事人一方不履行合同义务或者履行合同义务不符合约定的,应当承担继续履行、采取补救措施或者赔偿损失等违约责任”。就个人信息的保护而言,行为人的行为除了因侵害合法人格权益而可能需要承担侵权责任外,是否可能因违反了《隐私政策》或其他告知文本中的个人信息处理方式而构成未履行与个人信息主体的约定,并相应需要承担违约责任,可能也是未来值得关注的议题。
三、
《民法典》的深远影响:个人信息保护的新时代
1. 数据的“蛮荒时代”成为历史
《民法典》的颁布,对个人信息的人格属性及其保护规则进行了私法层面的确认和重申。虽然在具体规则上,《民法典》基本上沿袭和承继了现行规范下对信息处理者的行为规制,但无论是个人信息的民事权益和人格属性定位,还是将其与隐私权的内容进行界分,均很大程度上表明立法者从私法视角为个人信息的保护再次“正名”的意图。自此,对于个人信息的保护,将不再仅局限于《网安法》以及《刑法》等公法层面的处罚和制裁,个人信息主体为保障自身个人信息权益而直接向违约或侵权行为人主张私法上的救济已不存在法律依据上的障碍。这进一步向产业发出了信号:数据“原始积累”的“蛮荒时代”将成为历史,个人信息的全方位法律保护时代已经来临。对于企业而言,以合法、合规的姿态迎接个人信息保护的新时代,才能够为自身业务的拓展、促进产业可持续发展构建坚固的堡垒。
2. 个人信息保护民事诉讼将成趋势
随着人们的个人信息保护意识不断增强,在可预见的未来,个人通过提起侵犯个人信息的民事诉讼实现个人信息权益救济将成为一大趋势。同时,侵犯公民个人信息的行为往往涉及较大规模的自然人群体,个人信息保护的公益诉讼将可能成为未来我国民事公益诉讼领域的又一大亮点。事实上,司法实践已开始个人信息保护公益诉讼的尝试。例如2019年底山东菏泽市牡丹区检察院针对侵犯公民个人信息的行为提起了全省首例刑事附带民事公益诉讼,在公民个人信息保护领域对公益诉讼的适用情形进行了有益探索;[36]今年3月,安徽利辛县检察院提起的刑事附带民事公益诉讼也进入了实体审理的阶段。[37]在美国、欧洲等地,提起或参与个人信息和隐私保护的集体诉讼已成为公民实现权利救济的常规途径。随着我国公益诉讼制度的不断健全,公民个人通过公益诉讼方式参与到个人信息权益保障的救济程序中将不再是难题。这也进一步预示着未来侵犯个人信息的行为将面临越来越高的违法成本,事前的合规调查工作对于企业有效控制业务风险而言显得愈发重要。
3. 数据精细化、资产化管理的时代已经到来
如前所述,《民法典》从私法角度进一步提升了个人信息保护的高度,对于企业而言,对个人信息主体权益的尊重与保障不仅是个人信息收集利用阶段必须履行的法定义务,也将成为未来内部数据管理和商业模式创新的必要前提。一方面,企业收集或处理的数据往往种类繁多,来源不一,不同类型和来源的数据必然存在安全保障上的不同层次的需求。为此,从数据自身属性出发,探求不同性质数据在法律上的不同保护定位,以数据分类、分级等方式对不同类型的数据风险级别进行识别,实现数据的精细化管理,将成为企业有效控制合规风险、构建整体数据资产管理框架的前提基础和必备工作,另一方面,这也能够为通过数据打通融合等模式挖掘企业内部数据价值的工作提供必要的合规前提,进一步帮助企业实现数据作为生产要素的最大价值,构建有效的数据资产化管理体系。
四、
未来已来:个人信息保护的思考与展望
从《民法典》对于个人信息的性质和定位来看,其尝试建立的个人信息保护制度以个人主体权益保障为导向和基本逻辑。随着数据产业的发展,企业的数据资产化战略日益深入,我们不得不进一步思考:除了个人信息主体的人格利益应当受到保护以外,个人信息之上是否还存在其他值得保护的利益?对于这些利益的保护应当如何兼顾?
当下理论及实务界已有不少针对个人信息特点和属性的深入讨论。除了强调以私权为核心实现和保障自然人对于个人信息的自我管理和自由支配外,[38]也有不少论者注意到了个人信息具备的经济价值,从而产生了诸多对于个人信息“财产性利益”及其归属的讨论。有观点认为,如从个人信息主体角度探讨其对于个人信息享有的权利,保护的并非是自然人对于其个人信息享有某种经济利益,而是自然人对其个人信息被他人收集、存储、转让和使用的过程中的自主决定的利益。[39]这一观点与现行法律法规下个人信息保护制度相衔接,包括《民法典》、《网安法》在内的个人信息保护规范均从个人信息主体知情、同意的角度建立他人收集、使用、处理个人信息的合法性基础。然而,站在产业发展的视角反观现有规则,我们发现,仅仅通过行为规制的手段对个人信息的收集、处理行为进行合规性限制似乎并不足够——对于个人信息保护的合规要求似乎无法完全解决产业实践在个人信息乃至数据利用的现实需求。
在大数据产业蓬勃发展的今天,我们无法忽视个人信息所蕴含的巨大经济价值。当个人的上网行为被完整地留存和记录,这些在虚拟空间留下的个人痕迹蕴含了大量丰富的信息内容。运用数据分析技术,这些网上的记录将很容易地展现个人的兴趣爱好、浏览习惯、消费偏好,甚至能够反映个人的性别、年龄、职业、身份等。这种具有丰富信息含量和指示意义的数据信息,大大便利了企业的商业变现能力。例如,企业可以通过对个人信息进行统计分析,实现不同人群的消费偏好和习惯的标签化,从而进行精准营销、产品设计或提升服务,为企业创造实际的收益。数据规模的不断积累和数据类型的不断丰富,还进一步促进了数据产业的兴起和发展。在基于数据分析的各类服务场景中,例如程序化广告、舆情分析等等,数据正在进一步发挥其现实的经济价值。从这一角度看,企业在提供产品、服务的过程中收集、处理个人信息,其动机很难摆脱对个人信息所蕴含经济价值的重视。
而另一方面,当数据发展成为推动经济发展的生产要素,法律如果仅从个人信息的人格权属性角度展开个人信息收集、使用的行为规制,似乎略显单薄。因为在该阶段,谁掌握了数据要素,谁就可能在产业发展中占据优势。当市场主体前赴后继地涌向数据高地,争相占有数据资源,彼此之间难免会产生诸多数据资源归属的纠纷争议。而如果数据要素的权属规则仍旧缺位的话,将可能导致企业之间有关数据获取与使用权益的边界划定缺乏明确的规则指引,企业付出大量人力、物力、财力形成的数据资产也难以得到有效保障。
实际上,这些纠纷争议在过往的司法案例中屡见不鲜。无论是此前的“新浪v脉脉”案,[40]“谷米科技vs元光科技”纠纷案,[41]还是近期因“微信数据”引发的数据权益纠纷[42]等,均或多或少地涉及包括个人信息在内各类数据的权益归属问题,而法院从反不正当竞争角度出发,对企业就数据资源享有的竞争性利益做出明确表态,甚至认为数据资源构成一种无形财产权益受到保护。囿于对数据权属无明确法律规定,这一保护目前尚停留在司法这一最后防线,也仅局限于反不正当竞争法层面的兜底性保护,这一定程度上反映了现有的个人信息及数据保护规则在解决数据权益纠纷方面发挥作用的有限性。未来随着大数据产业的发展,有关数据权益的争议与纠纷必将愈演愈烈,如何通过法律规则的设计对数据的权益归属进行合理的分配,实现民法“定分止争”的具体要义,同时又能在数字经济产业政策背景下促进大数据行业的有序、健康发展,将成为未来数据领域立法不得不考虑的重要议题。
总之,《民法典》强调个人信息包含的人格利益,有助于大数据时代个人信息主体的权益保障,但我们希望指出的是,人格利益保障不应是个人信息保护的全部。未来的个人信息保护立法应考虑为个人信息经济利益和价值实现留出空间。一方面,这至少与其他人格权,如姓名权、肖像权的保护逻辑相一致,也与《民法典》人格权的一般规定相协调。虽然《民法典》九百九十二条明确规定人格权不得放弃、转让或继承,但恰如《民法典》第九百九十三条规定所规定的,民事主体可以将自己的姓名、名称、肖像等许可他人使用。这恰恰是出于对个人姓名、肖像所包含的经济利益和其商业变现能力的肯定。
而另一方面,《民法典》对于个人信息保护在人格权视角上的侧重,也并不意味着对于企业数据权益的否定。既往的司法实践已经对企业就数据享有财产性权益进行了积极的回应,未来随着数据产业发展日趋成熟,企业对于个人信息及数据资源的权属要求也将越来越强烈。我们同样也看到,《民法典》第一百二十七条也为数据、网络虚拟财产的保护留出了空间。立足于产业政策视角,我们期待着未来立法从个人信息和数据的经济价值出发,对这些“无形资产”的定位和权属进行一定的界分,从而更好地促进数据产业的良性、健康发展。
[1] 2020年4月9日颁布的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》明确提及要加快培育数据要素市场,提升社会数据资源价值,同时须加强数据资源整合和安全保护。
[2] 见《民法典》第一百一十一条。
[3] 程啸.民法典编纂视野下的个人信息保护[J].社会科学文摘,2019(11):71-73.
[4] 张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(03):38-59.
[5] 程啸.民法典编纂视野下的个人信息保护[J].社会科学文摘,2019(11):71-73.
[6] 《民法典》第一千零三十四条。
[7] 《民法典》第一千零三十五条。
[8] 《民法典》第一千零三十七条。
[9] 《民法典》第一千零三十八条。
[10] 《民法典》第一千零三十九条。
[11] 《网安法》第四十一条第一款“网络运营者收集、使用个人信息,应当……经被收集者同意”。
[12] 《民法典》第一千零三十七条第一款,“自然人可以依法向信息处理者查阅或者复制其个人信息”。
[13] 《民法典》第一千零三十七条第一款,“发现信息有错误的,有权提出异议并请求及时采取更正等必要措施”;第二款,“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除”。《民法典》第一千零三十八条第二款“发生或者可能发生个人信息泄露、篡改、丢失的,应及时采取补救措施,按照规定告知自然人并向有关主管部门报告”。
[14] 张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(03):38-59.
[15] 如GB/T 35273-2020《信息安全技术 个人信息安全规范》第3.4条将“个人信息控制者”界定为“有能力决定个人信息处理目的、方式等的组织或个人”。
[16] 《民法典》第一千零三十七条、第一千零三十八条。
[17] 与“个人信息控制者”的概念相对,此处“个人信息处理者”是指开展个人信息处理行为,但可能无权决定个人信息处理的目的和方式的组织或个人。
[18] 李慧琪. 民法典编纂专家:建议设立独立的个人信息保护机构[EB/OL]. https://mp.weixin.qq.com/s/1Z3R91ZWlPuniMbJ3qBg0Q. 转引自:微信公众号“网络法实物圈”.发布日期:2020年5月19日,最后访问日期:2020年6月4日.
[19] 李永军.论《民法总则》中个人隐私与信息的“二元制”保护及请求权基础[J].浙江工商大学学报,2017(03):10-21.
[20] 庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案,[2017]京01民终字509号。
[21] 王某与张某、北京凌云互动信息技术有限公司、海南天涯在线网络科技有限公司侵犯名誉权纠纷系列案,[2008]朝民初字第29276号。
[22] 张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(03):38-59.
[23] 即个人信息在定向营销、数据库营销、信用经济等商业模式中有着重要意义,已经成为“重要生产要素、无形资产和社会财富”。引自:张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(03):38-59.
[24] 即收集和利用个人信息同时也是“实施社会管理和提供公共服务”的普遍做法。引自:张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(03):38-59.
[25] 参见王利明. 论个人信息权的法律保护:以个人信息权与隐私权的界分为中心[J]. 现代法学, 2013(04):62-72. 张新宝. 从隐私到个人信息:利益再衡量的理论与制度安排[J]. 中国法学, 2015(3): 38-59.
[26] 《民法总则》第一百一十一条。
[27] 即第一千零三十二条和第一千零三十三条规定了隐私权的范围及隐私权侵权行为;第一千零三十四条至第一千零三十九条则包含了个人信息的定义、个人信息主体的受保护权益及信息处理者的义务与责任等内容。
[28] 即“个人信息主体通过书面、口头等方式主动做出纸质或电子形式的声明,或者自主做出肯定性动作,对其个人信息进行特定处理作出明确授权的行为”。
[29] 《民法典》第一千零三十二条第二款:隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
[30] 《民法典》第一千零三十四条:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等(第一款)。个人信息中的私密信息……(第二款)。
[31] 王利明. 论个人信息权的法律保护:以个人信息权与隐私权的界分为中心[J]. 现代法学, 2013(04):62-72.
[32] 李慧琪. 民法典编纂专家:建议设立独立的个人信息保护机构[EB/OL]. https://mp.weixin.qq.com/s/1Z3R91ZWlPuniMbJ3qBg0Q. 转引自:微信公众号“网络法实物圈”.发布日期:2020年5月19日,最后访问日期:2020年6月4日.
[33] 《民法典》第一千零三十七条;《民法典》第一千零二十九条。
[34] 《民法典》第一千零三十八条。
[35] 《民法典》第一千二百二十六条。
[36] 全省首例!侵犯公民个人信息,牡丹区检察院提起刑事附带民事公益诉讼,https://k.sina.com.cn/article_2620088113_9c2b5f3102000qpbx.html?from=news&subch=onews
[37] 亳州首例!侵犯公民个人信息,利辛县检察院提起刑事附带民事公益诉讼,http://www.ahlixin.jcy.gov.cn/jcyw/202003/t20200313_2791495.shtml
[38] 参见王利明. 论个人信息权的法律保护:以个人信息权与隐私权的界分为中心[J]. 现代法学,2013(04):62-72.
[39] 见程啸:论大数据时代的个人数据权利[J],中国社会科学,2018(3):102-122。
[40] 见北京知识产权法院(2016)京73民终588号民事判决书。
[41] 见广东省深圳市中级人民法院(2017)粤03民初822号民事判决书。
[42] “微信数据”引发数据权益之争 群控软件被判赔260万元,杭州互联网法院宣判首例涉微信数据权益认定不正当竞争案,见浙江法院网:http://ssfw.zjsfgkw.cn/art/2020/6/4/art_56_20847.html
—— 往期链接 ——
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师的主要执业领域为反垄断与反不正当竞争,以及网络安全与数据合规。在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师协助客户制定修改隐私政策,制定跨境数据传输计划,制定数据商业化合规方案,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系,进行内部网络安全和数据合规培训等。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。项目覆盖金融、保险、数据风控、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
蒋科
合伙人
合规业务部
jiangke@cn.kwm.com
蒋科律师的主要执业领域为科技和电信领域合规、网络安全和数据合规。在科技和电信领域合规方面,蒋科律师在过去十余年的执业经历中为各类科技和互联网公司提供了广泛领域内的合规咨询意见,并曾以法务身份为亚马逊云服务在中国市场的运营和产品合规提供法律支持。蒋科律师在此领域处理过的合规问题涵盖数字媒体内容、云服务和其他增值电信服务的市场准入、落地运营和销售,也涵盖硬件产品从生产、进出口、销售、售后到召回和销毁的全生命周期,以及相关的广告营销和消费者保护。相关产品和服务涉及手机和其他智能设备、个人可穿戴设备、商用密码和两用产品以及移动应用、在线图书、音乐、电影和游戏等数字化服务。
陈胜男
主办律师
合规业务部
张乐健
律师助理
合规业务部
金杜网络安全与数据合规团队文章
人工智能:
AI与大数据的“理想城”:智慧城市合规的基础要点 2020-02
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
问答精选-解读《个人金融信息技术保护规范》2020-02
解读《信息安全技术 个人信息告知同意指南(征求意见稿)》2020-02
疫情防控 | 数据资源流转与公开 2020-02
疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
Innovations & New Developments of Cybersecurity Review Measures
“柳暗花明又一村”——金融产业链的困局及破局思路 2020-03
“云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
“管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05
感谢关注金杜研究院