针对隐私权和个人信息保护领域存在的突出问题,在现行法律规定基础上,我国民法典各分编草案在“人格权编”中进一步强化对隐私权的保护。2019年8月22日,第十三届全国人民代表大会常务委员会召开第十二次会议,《民法典人格权编(草案)》(三次审议稿)(下称草案三审稿)提请审议。草案三审稿中对“隐私权和个人信息保护”章节进行了部分改动,进一步升级了对隐私权和个人信息保护,比如:将自然人的“电子邮箱地址”和“行踪信息”纳入个人信息的范围等。笔者认为,对于“个人信息保护”中的相关内容仍有待进一步完善,囿于篇幅本文仅谈三点问题。
完善个人信息的定义
“个人信息”在我国若干立法中均有定义,草案三审稿第813条将“个人信息”定义为:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。”与第二次审议稿不同,此次将自然人的“电子邮箱地址”和“行踪信息”纳入了个人信息的范畴。
笔者以为,草案三审稿有关“个人信息”的定义应当进一步加大对个人隐私信息的描述,尤其应当增加自然人的“账号和密码以及财产状况”。账号是数字时代的代表,公民发送邮件、网上购物、网络游戏、电子支付等都要注册账号,账号是网络时代公民重要的隐私空间和信息,密码则是自然人为了维护自己的账户安全,将可识别的信息转变为无法识别的信息,是公民开启其个人隐私空间的一把钥匙。
网络时代,大多数人的消费选择了电子支付的方式,据中国人民银行的数据显示,2018年,仅银行业金融机构处理的电子支付业务就达到了1751.92亿笔,总金额达到了2539.70万亿元。网络时代的电子账号密码就像一把金锁,封住了公民的私密空间,几乎成为保障公民各类账户安全的唯一手段,是公民最重要的隐私信息之一。可见,“账号和密码”,尤其是涉及到金钱(财产)的账户和密码,已经不仅仅是自然人“不愿为他人知晓”的信息,而是绝对拒绝和排斥他人知晓的私人空间和信息,这是网络时代的一项绝对隐私权,应当纳入“个人信息”的定义。
明确个人信息处理的内涵
草案三审稿第814条规定:收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,并应当符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开收集、处理信息的规则;(三)明示收集、处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。
笔者注意到,草案三审稿中的“收集、处理自然人个人信息”的表述主要参照了网络安全法第41条的规定:“网络运营者收集、使用个人信息。”笔者以为,上述规定中的“收集”具有两层含义,首先侧重于“收”,其次才是“集”,“收”的含义是收拢,是一种主动的行为,对象是个人信息。
事实上,多数个人信息是由于个人使用数据信息平台而在电子信息系统载体上留下的客观事物的记录,这些记录有些是具有语意特征的“信息”,有些是没有语意特征的“数据”。因此,建议删除“收集”,只保留“处理”,即“处理自然人个人信息”。因为“处理”是一个过程,本身包括“收集”,即收拢和聚合个人在电子信息系统载体上已经留下的个人信息(数据),同时还涵盖了“加工、传输、提供、公开”等内容。
笔者注意到,草案三审稿第六章专门增加了“个人信息处理”的内容,并对具体外延进行了例举,即“个人信息的处理包括个人信息的使用、加工、传输、提供、公开等”。为此,建议将第814条中的“收集”一词并入“处理”的范畴,即“个人信息的处理包括个人信息的收集、使用、加工、传输、提供、公开等”。
完善个人信息保护的原则
目前,关于个人信息保护的原则基本都采用“合法、正当、必要”原则,这个原则最早以法律形式出现在工信部于2013年7月出台的《电信和互联网用户个人信息保护规定》第5条:“电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。”之后,2017年6月1日起施行的网络安全法第42条采纳了这一原则:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。”草案三审稿第814条也使用了“合法、正当、必要原则”的表述。
当前,移动互联网应用程序(App)已经成为移动互联网信息服务的主要载体。令人遗憾的是,绝大多数App控制和处理的个人信息明显违反“合法、正当、必要”原则,特别是触碰了公民隐私的红线,比如有些App在条款中称,需要的个人信息包括用户姓名、性别、电话号码、邮箱、出生日期、地理位置、身份证号码、可识别生物信息和财务信息(如信用卡卡号或银行账号、微信支付或支付宝账号信息等)。
实践中,我国法律确定的“合法、正当、必要”这项个人信息保护的原则,只要信息(数据)主体接受了信息(数据)控制者或处理者的“隐私条款”就完成了所谓的“合法”环节。事实上,多数App设置的所谓“隐私条款”完全超出“正当、必要”的范围,尤其令人不能接受的是,如果用户不接受其隐私条款,App的发布者则拒绝用户安装或使用其App。此种“只能被迫接受,否则没法使用”的行为严重侵犯用户的选择权。
笔者呼吁,个人隐私和信息保护的民法原则,应当彰显私法中的契约精神在个人信息(数据)保护中的法律地位,且信息(数据)控制者或处理者提供的隐私格式条款应当进行合法性审查。为此,建议草案三审稿第814条在“遵循合法、正当、必要的原则”之前增加“遵照双方的约定”的规定,表述为:“处理自然人个人信息的,应当遵照双方的约定,并遵循合法、正当、必要原则。草案三审稿第814条第(四)规定,“不违反法律、行政法规的规定和双方的约定”中已经明确了不得违反“双方的约定”。同时,鉴于多数信息控制者“隐私条款”具有免除其责任和排除信息(数据)主体主要权利的情形,建议在814条中增加一款:“信息(数据)控制者或处理者提供的隐私格式条款应当进行合法性审查。”
(作者为南京邮电大学信息产业发展战略研究院首席专家)