大数据时代公民个人信息民法保护的制度构建——兼评《民法总则》第111条
摘要
大数据电子信息时代,公民个人信息被应用于社会生活的各个领域,在促进商业效率提高的同时,也反衬出国家对个人信息立法保护的不足。《民法总则》第111条首次明确规定了对个人信息的保护,但立法语言过于概括、笼统,没有清晰界定个人信息的范围和法律性质,一些法律术语也语焉不详,例如何为"非法收集"、何为"非法使用"等,缺乏相应的规范内容。立法的缺陷导致我国民事法律对个人信息保护的薄弱。必须全面搭建个人信息保护的伦理秩序与行业秩序,同时加强民事法律对个人信息保护的规则体系建设,使个人信息权的法律救济在民法上得到实现。
引文
(1)王秀哲:《大数据时代个人信息法律保护制度之重构》,《法学论坛》,2018年第11期,第115页。
(2)《网络安全法》第76条规定:“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定:“刑法第253条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”《网络安全法》将个人信息分为两种,一种是能单独识别自然人个人身份的信息,另一种是能与其他信息结合识别自然人个人身份的信息,前者意指署名信息,后者意指匿名信息。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对个人信息的界定范围比前者更大,不仅包括特定自然人的身份信息,又包括反映特定自然人活动情况的信息。因此这两个法律文件对个人信息含义的界定并不一致。
(3)余筱兰:《信息权在我国民法典编纂中的立法遵从》,《法学杂志》,2017年第4期,第28页。
(4)方乐坤:《安宁利益的类型和权利化》,《法学评论》2018年第6期,第67页。
(5)叶铭怡:《论个人信息权的基本范畴》,《清华法学》,2018年第5期,第143页。
(6)李伟民:《“个人信息权”性质之辨与立法模式研究》,《上海师范大学学报》(哲学社会科学版),2018年第5期,第71页。
(7)《关于加强网络信息保护的决定》第1条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息”。
(8)郝思洋:《个人信息权确立的双重价值——兼评〈民法总则〉第111 条》,《河北法学》,2017年第10期,第131页。
(9)曹博:《论个人信息保护中责任规则与财产规则的竞争及协调》,《环球法律评论》,2018年第5期,第90页。
(10)陈璐:《个人信息刑法保护之界限研究》,《河南大学学报》(社会科学版),2018年第3期,第72页。
(11)欧盟《一般数据保护条例》(2016)从正面规定了何种行为是合法的,“至少满足以下中的一项,处理数据才是合法的:(1)数据主体同意为特定目的处理其数据;(2)处理数据是为签订或履行合同所需的;(3)处理数据是为遵守法定义务所需的;(4)处理数据是为了保护数据主体或其他自然人的至关重要的利益;(5)处理数据是为了公共利益或行使政府授予的权力;(6)处理数据是为追求数据控制者的合理利益,但不得损害数据主体的利益。”欧盟法律竭力为“合法处理数据”赋予规范内容,并试图在数据开放和数据保护之间寻求最大限度的平衡,但何为“签订履行合同所需”、何为“遵守法定义务所需”、何为“合理利益”以及“至关重要的利益”,对于数据主体和数据处理者双方来讲,显然会有不同意见,矛盾双方站在各自立场会给出截然不同的答案。因此,合法与非法处理处理数据信息的界限问题至今仍然是困扰西方国家数据立法的难题。
(12)陈璐:《个人信息刑法保护之界限研究》,《河南大学学报》(社会科学版),2018年第3期,第74页。
(13)杜换涛:《论个人信息的合法收集——〈民法总则〉第111条的规则展开》,《河北法学》,2018年第10期,第35页。
(14)需要指出的是,在刑法上,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对“非法收集”和“非法获取”这两个概念进行了混同,其第4条规定,“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第253之一第3款规定的‘以其他方法非法获取公民个人信息’”。对于该条,2017年5月9日两高新闻发布会上相关人员介绍说,“根据《网络安全法》规定的收集、使用个人信息的规则,明确违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息的,属于‘非法获取公民个人信息’”。由此可见,新《解释》将非法收集行为解释为非法获取,进而将非法收集信息行为进行了入罪化处理。
(15)任丹丽;《从“丰菜之争”看个人信息上的权利构造》,《政治与法律》,2018年第6期,第138页。
(16)2014年最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。但下列情形除外:(一)经自然人书面同意且在约定范围内公开;(二)为促进社会公共利益且在必要范围内;(三)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;(四)自然人自行在网络上公开的信息或者其他已合法公开的个人信息;(五)以合法渠道获取的个人信息;(六)法律或者行政法规另有规定。”网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息,或者公开该信息侵害权利人值得保护的重大利益,权利人请求网络用户或者网络服务提供者承担侵权责任的,人民法院应予支持。
(17)王秀哲:《大数据时代个人信息法律保护制度之重构》,《法学论坛》,2018年第6期,第121页。
(18)王镭:《电子数据财产利益的侵权法保护》,《法律科学》,2019年第1期,第40页。
(2)《网络安全法》第76条规定:“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定:“刑法第253条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”《网络安全法》将个人信息分为两种,一种是能单独识别自然人个人身份的信息,另一种是能与其他信息结合识别自然人个人身份的信息,前者意指署名信息,后者意指匿名信息。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对个人信息的界定范围比前者更大,不仅包括特定自然人的身份信息,又包括反映特定自然人活动情况的信息。因此这两个法律文件对个人信息含义的界定并不一致。
(3)余筱兰:《信息权在我国民法典编纂中的立法遵从》,《法学杂志》,2017年第4期,第28页。
(4)方乐坤:《安宁利益的类型和权利化》,《法学评论》2018年第6期,第67页。
(5)叶铭怡:《论个人信息权的基本范畴》,《清华法学》,2018年第5期,第143页。
(6)李伟民:《“个人信息权”性质之辨与立法模式研究》,《上海师范大学学报》(哲学社会科学版),2018年第5期,第71页。
(7)《关于加强网络信息保护的决定》第1条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息”。
(8)郝思洋:《个人信息权确立的双重价值——兼评〈民法总则〉第111 条》,《河北法学》,2017年第10期,第131页。
(9)曹博:《论个人信息保护中责任规则与财产规则的竞争及协调》,《环球法律评论》,2018年第5期,第90页。
(10)陈璐:《个人信息刑法保护之界限研究》,《河南大学学报》(社会科学版),2018年第3期,第72页。
(11)欧盟《一般数据保护条例》(2016)从正面规定了何种行为是合法的,“至少满足以下中的一项,处理数据才是合法的:(1)数据主体同意为特定目的处理其数据;(2)处理数据是为签订或履行合同所需的;(3)处理数据是为遵守法定义务所需的;(4)处理数据是为了保护数据主体或其他自然人的至关重要的利益;(5)处理数据是为了公共利益或行使政府授予的权力;(6)处理数据是为追求数据控制者的合理利益,但不得损害数据主体的利益。”欧盟法律竭力为“合法处理数据”赋予规范内容,并试图在数据开放和数据保护之间寻求最大限度的平衡,但何为“签订履行合同所需”、何为“遵守法定义务所需”、何为“合理利益”以及“至关重要的利益”,对于数据主体和数据处理者双方来讲,显然会有不同意见,矛盾双方站在各自立场会给出截然不同的答案。因此,合法与非法处理处理数据信息的界限问题至今仍然是困扰西方国家数据立法的难题。
(12)陈璐:《个人信息刑法保护之界限研究》,《河南大学学报》(社会科学版),2018年第3期,第74页。
(13)杜换涛:《论个人信息的合法收集——〈民法总则〉第111条的规则展开》,《河北法学》,2018年第10期,第35页。
(14)需要指出的是,在刑法上,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对“非法收集”和“非法获取”这两个概念进行了混同,其第4条规定,“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第253之一第3款规定的‘以其他方法非法获取公民个人信息’”。对于该条,2017年5月9日两高新闻发布会上相关人员介绍说,“根据《网络安全法》规定的收集、使用个人信息的规则,明确违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息的,属于‘非法获取公民个人信息’”。由此可见,新《解释》将非法收集行为解释为非法获取,进而将非法收集信息行为进行了入罪化处理。
(15)任丹丽;《从“丰菜之争”看个人信息上的权利构造》,《政治与法律》,2018年第6期,第138页。
(16)2014年最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。但下列情形除外:(一)经自然人书面同意且在约定范围内公开;(二)为促进社会公共利益且在必要范围内;(三)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;(四)自然人自行在网络上公开的信息或者其他已合法公开的个人信息;(五)以合法渠道获取的个人信息;(六)法律或者行政法规另有规定。”网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息,或者公开该信息侵害权利人值得保护的重大利益,权利人请求网络用户或者网络服务提供者承担侵权责任的,人民法院应予支持。
(17)王秀哲:《大数据时代个人信息法律保护制度之重构》,《法学论坛》,2018年第6期,第121页。
(18)王镭:《电子数据财产利益的侵权法保护》,《法律科学》,2019年第1期,第40页。