金新强+卢瑾
摘 要:2017年3月15日,《民法总则(草案)》经表决通过,其中第111条规定了个人信息权,对个人信息予以明确的保护,这在大数据的时代背景下意义重大。个人信息权是一种基于一般人格权而发展出来的权利,并且随着时代的发展其所蕴含的财产利益也越来越受到人们的重视。虽然草案规定了个人信息权,有利于维护公民的个人信息,但在具体条文之中对个人信息权的客体并未有明确规定,对侵权行为采取的列举方式可能会使法律调整的范围僵化,更为重要的是法条并未规定相应的法律后果,使得该条在司法实践层面效果尚待观察。
关键词:个人信息权;大数据;民法总则
中图分类号:F830.572 文献标识码:B 文章编号:1674-0017-2017(4)-0032-04
一、引言
随着互联网技术的的迅速发展,人们已经进入到了一个前所未有的信息时代——大数据时代。在这个时代,信息的交流、存储、获取的成本极低,这固然促进了社会的进步,更是便利了人们的生活,但随之而来的也是对个人信息的更加肆意和普遍的侵害。因为在现代社会,个人信息代表着一种资源,获取到足够的个人信息能够满足资本社会的商业需求。针对我国目前已经出现的大量侵害公民个人信息的事实和案件,设计一套适时的法律制度保护个人信息权已经迫在眉睫。本文之前,已有众多国内外学者对个人信息保护的问题进行了诸多深入研究。此外,在这一领域,已有诸如《中华人民共和国护照法》、《中华人民共和国身份证法》等全国性法律,以及《2006-2020年国家信息化发展战略》、《互联网电子公告服务管理规定》等行政法规对个人信息进行一定的保护。但是,总的来说这些规定较为零散,保护的力度难以满足如今的需求。新通过的《民法总则》延续了二审稿、三审稿和四审稿的做法,将个人信息保护纳入了第五章民事权利中,也就是说把对个人信息的保护提升到了保护民事权利的层次上。本文将结合时代背景探索个人信息及其保护的相关问题,并在此基础上对《民法总则》第111条进行必要的分析,以期能够为我国的法治事业做出些许贡献。
二、大数据与个人信息
(一)个人信息的概念界定
个人信息指自然人的姓名、性别、年龄、民族、婚姻、家庭、教育、职业、住址、健康、病历、个人经历、社会活动、个人信用等足以识别该人的信息。个人信息涉及的范围非常广泛,它既包括个人的直接识别和间接识别的任何信息,也包括其家庭的相关信息,如配偶子女的出生年月日、身高、体重、出生地、种族等。2012年11月,工信部颁布我国首个个人信息保护国家标准的指导性文件《信息安全技术公共及商用服务信息系统个人信息保护指南》,将个人信息定义为“为信息系统所处理、与特点自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据”,该标准将个人信息分为个人一般信息和个人敏感信息。个人一般信息是指可以通过网络媒体等途径根据个人基本情况而获取的信息,这类信息可以合法获取。个人敏感信息是指该信息泄露可能会对个人产生不利影响和后果的信息,如手机号码、银行卡账号及密码、支付宝账号及密码以及一些涉及到隐私的有关信息。这类信息需要得到法律法规的明确授权或经个人信息主体的同意,或基于某种特别的情况,并采用适当的手段方可获取,否则将构成对个人信息主体权益的侵犯。《个人信息保护法(草案)》中规定:“所谓个人信息,是指现实生活中能够识别特定个人的一切信息,包括但不限于姓名、年龄、身高、体重、档案、医疗记录、收入及消费和购买习惯、婚姻状况、教育背景、家庭住址、手机号码等。”从以上规定可以看出,我国目前对个人信息的定义采取了概括列举的方式,其中“可识别性”是个人信息的重要特征。
(二)大数据的概念、特征
有人类的历史就有个人信息的存在,但是在过去的几千年中,个人信息的价值及其保护并不为人们所重视。随着互联网技术兴起、大数据时代的来临,对个人信息进行保护已经成为人们的共识。大数据的概念比较抽象,目前并无统一的定义。维基百科对大数据的定义是:“大数据是指所涉及的数据量规模巨大到无法通过目前主流软件工具,在合理时间内达到截取、管理、处理并整理成为帮助企业经营决策更积极目的的信息。”研究機构Cartner对大数据的定义是:“大数据是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。”涂子沛在《大数据》一书中对大数据的定义是:“那些大小已经超出了传统意义上的尺度,一般的软件工具难以捕捉、存储、管理和分析的数据。”
大数据具有四个基本特征为学界所普遍认同。一是数据规模大(Volume),大数据规模从TB级别跃升至PB甚至ZB级别,其远远超过传统数据的存储、计算和分析技术与工具的发展,最大可能的保持了数据的完整性;二是数据种类多(Variety),大数据包括不同来源、不同结构、不同形态的各种数据,相对于传统的以文本为主的结构化数据,非结构化的数据越来越多,数据类型越来越多样;三是处理速度快(Velocity),数据生成速度呈指数级增长,并且需要快速、持续的实时分析与处理,以满足实时性需求;四是价值密度低(Value),大数据的价值密度相对较低,其中包含了大量错误和虚假的信息,需要在海量的信息中提纯有用的信息,并进一步进行挖掘和分析。
(三)大数据对个人信息保护的影响
大数据整合优化了其共享的信息,它的发展与完善极大便利了包括政府、企业、用户的管理工作和个人生活。政府可以通过大数据的应用提高行政管理效率,企业可以借助数据的存储、开发、利用获取更多利润,个人也会凭借大数据的运用享受到更加个性化的服务。但是大数据更是一柄双刃剑,它能优化我们的生活,也会带来更多的信息安全问题,大数据时代个人信息的保护问题显得越发突出。随着互联网技术尤其是大数据技术的兴起与迅速发展,个人信息更为轻易的被获取和侵犯。各类电商巨头无所不在地监视着我们的各种网络行为,收集了大量的用户个人信息,在获取我们行为信息的同时,也严重侵犯了我们的隐私。
传统的个人信息的收集方式是对个人信息的精确收集,数据收集者必须告知信息主体他们收集的数据作何用途,也必须在征得个人同意之后方能收集,即“告知与许可”规则。在大数据时代,信息收集的方式则是一种对分散的相关的个人信息的二次开发和利用,是从大数据样本中挖掘相关个人信息并形成關联集成。有的数据从表面上看并不属于个人信息,但是经由大数据处理之后就可以追溯到个人了。个人信息蕴含的巨大的商业价值促使信息收集主体借助大数据的手段收集数量庞大的数据并进行分析、整合和利用。甚至一些国家机关还经常会以“国家安全”为由,对个人信息进行随时监控和检视。个人信息一旦以数据化形式被储存,便掌握在政府、非政府机构和商业组织的数据库中,个人很难对其进行保护。
因此,在大数据时代,个人信息权的维护受到极大挑战。有学者指出大数据在成为竞争焦点的同时也会带来更多的安全风险,大数据成为了网络攻击的显著目标,加大了隐私泄露的风险,威胁到现有的存储和安防措施,且大数据技术成为了黑客的攻击手段,成为了高级可持续攻击的载体。近年来,非法收集、利用、加工、传输和出售个人信息的现象层出不穷,网络诈骗、网络谣言、垃圾信息已然极大降低了当代人的生活质量。譬如“徐玉玉案”、“清华教授被骗1760万卖房款”等网络诈骗案的接连发生都反映了在大数据时代个人信息保护的难题,更是体现了对个人信息进行法律保护的迫在眉睫之势。
三、《民法总则(草案)》对个人信息权的确定
对个人信息应当进行保护,但是如何对其保护是一个值得我们思考的问题。我认为应当采取综合性的手段对个人信息进行全方位的保护,如此方能有效应对在大数据时代个人信息被严重侵犯的巨大挑战。综合性的手段和全方位的保护,要求我们完善相关立法,健全行政监管,加强行业自律,提高技术手段并增强公民对个人信息保护的意识。
法律手段作为调整社会关系的重要手段之一,理所应当积极发挥其保护个人信息的作用。民法作为“万法之源”,民法是权利法,民法典的体系构建应当以民事权利为中心展开。民法总则在民法体系中占据重要地位,其统领整部民法典,基本确立了整个民法典的体系安排,协调民法典各分则的关系,并普遍适用于民商法各个部分。“民法总则”应当全面确认和保护各项民事权利,构建合理的民事权利体系。个人信息权萌发于一般人格权,其注重对人格尊严的维护,对人格自由的保障。不仅如此,它还对蕴含其中的财产利益予以保护,尤其在大数据的时代背景之下,个人信息权的财产权性质更是不容忽视。兼具人格权与财产权性质的个人信息权理所应当作为一项独立的民事权利被纳入民法总则。
《民法总则(草案)》第二次审议稿增加了对个人信息保护的规定,即第109条“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开和出售个人信息。”同时,在草案的三审稿中也保留了这一条文。四审稿延续了保护个人信息的传统,规定于第114条“自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全,不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。”在2017年3月15日公布的《民法总则》中将其列于第111条。
在《民法总则(草案)》第二次、第三次以及第四次审议稿中,第五章专门规定了民事权利。在最后表决通过的法案中第109条规定的是一般人格权,第110条规定了一些重要的具体人格权,第111条规定了对个人信息的保护,第112条规定了身份权,第113条规定了财产权,第114条规定的是物权,第115-132条分别规定了其他民事权利以及与民事权利有关的事项。在该章体系中,对个人信息保护的条款是规定在人格权之下,在身份权与财产权之上。并且在二审稿、三审稿以及审稿中,该条排布也是如此。虽然总则并未明确提出个人信息权的概念,其主要是规定自然人的个人信息受法律保护,同时列举了一些针对个人信息的禁止性行为。笔者认为,基于个人信息权的权利属性,即它是一种兼具一般人格权与财产权的权利,以及根据该章的体系结构,应当可以认定第111条的规定明确了个人信息权,将个人信息规定为民事权利的客体。同时,在民法总则中明确个人信息权也是顺应时代的发展,能够更好地满足信息主体的权利诉求。
四、《民法总则》第111条立法背景、条文评析
(一)《民法总则》第111条的立法背景
尽管个人信息权有如此重大的意义,但是其并未从一开始就被纳入民总草案之中,《民法总则(草案)》第一次审议稿并未对个人信息的保护作出规定。然而这一年个人信息权被侵犯的案件屡屡发生,个人信息保护的问题再度被推上风口浪尖。
2016年10月,在民法总则草案的座谈会上,伍枝勤建议增加“个人信息权”。中国法学会副会长张鸣起、中国社会科学院副院长李培林建议强化对个人信息的保护,规定自然人的个人信息受法律保护,任何组织和个人不得非法收集、处理、利用、出售和传输个人信息。对于非法获取、利用他人的个人信息的,法律要予以禁止,并予以制裁。《民法总则(草案)》第二次审议稿因此将原草案第108条规定的知识产权客体中的第8项“数据信息”分离出来,单独设立条文对个人信息予以保护,该条文即二审稿的第109条“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。”三审稿的第110条“自然人的个人信息受法律保护。任何组织和个人不得非法收集、使用。加工、传输个人信息,不得非法买卖、提供或者公开个人信息。”四审稿的第114条与表决通过的《民法总则》第111条内容大致相同,其规定“自然人的个人信息受法律保护。任何组织和个人应当依法取得并确保信息安全,不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。”这些条款都是对个人信息权的规定。
(二)《民法总则》第111条条文评析
《民法总则》第111条规定“自然人的个人信息受法律保护。任何组织和个人应当依法取得并确保信息安全,不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。”与三审稿关于个人信息权法条内容的主要区别在于增加了“任何组织和个人应当确保依法取得的个人信息安全”的规定,加强了个人信息使用主体的注意义务,较于之前的条文有进步之处。总则第111条明确了个人信息权的主体是自然人,这就把法人排除在了该权利主体之外。因为个人信息权虽然兼具了财产权的性质,但是设立其最主要的目的是为了维护个人的人格尊严和人身自由不受侵犯。虽然随着法学理念的不断进步和发展,法律赋予了法人独立的人格,但是法律更侧重于对法人的财产利益予以保护。我国现行法律对法人信息权的保护一般也是从商业秘密的角度出发。相反,法人的一些信息还要依法进行披露,与自然人信息的保护在程度上不可同日而语。因此,只有自然人享有个人信息权应当是合理的。
此条文也存在一些不足之处。首先,该条并未规定个人信息权的权利客体即个人信息的具体内涵和外延,我们难以根据此条文判断哪些信息属于个人信息。个人信息可以区分为一般个人信息和敏感个人信息,二者受到法律保护的程度应当不同。不能笼统的将个人信息这个模糊的概念不加界定的予以表述在条文之中,否则将难以起到对个人信息的保护作用。其次,法条规定了对“任何組织和个人”的一些禁止性行为。需要指出的是,“任何组织”中是否应当涵盖“国家”或者“国家机关”、“行政机关”这样的主体,毕竟这些主体也是很有可能侵犯到我们的个人信息权的。其次,条文中所列举的这些禁止性行为是否限制了法律调整的范围,因为随着时代的发展,极有可能出现其他的对个人信息的侵犯的方式,采用概括列举的方式或许能够更好的适应时代需求。最后,该条文并未规定相应的法律后果,这使得其在今后的司法实践中难以起到约束行为人的作用。我认为如果不能在民法总则中解决以上的问题,也应当在今后制定的民法分则中或者具体的《个人信息保护法》中弥补这些缺漏,否则这一条文也难免沦为“僵尸条款”。总的来说,《民法总则》第111条的主要功效是在于权利的宣示,但是我们也不能不考虑其适用于具体案件的价值。
参考文献
[1]房绍坤.关于民法典总则立法的几点思考[J].法学论坛,2015,(2):5-12。
[2]冯伟.大数据时代信息安全面临的挑战与机遇[N].科技日报,2013-6-24(1)。
[3]刘新年,王晓民,任博.大数据时代下如何保护隐私权[N].检察日报,2013-8-23(5)。
[4]齐爱民.拯救信息社会中的人格:个人信息保护法总论[M].北京:北京大学出版社,2009。
[5]涂子沛,大数据[M],桂林:广西师范大学出版社,2012。
[6][英]维克托·迈尔·舍恩伯格,肯尼斯·库克耶.大数据时代[M].盛杨燕,周涛译,杭州:浙江人民出版社,2013:195-200。
Abstract: The draft general rules of the civil law was approved by voting on March 15, 2017. Article 111 stipulates the personal information right which protects the personal information from infringement. The legislation is meaningful under the background of the era of the big data. The personal information right developed from the general personality right, and with the development of the era, the property interests right contained in the right is being paid more and more attention to. Although the draft specifies the personal information right, which is good to protect the personal information of civics, there is no specific provision on the object of the personal information right. The way to list torts may lead to the rigid limitation of the scope of the legal adjustment. The more important is that the law has not stipulated corresponding legal consequences so that the practical effectiveness of application of the article is still unclear.
Keywords: personal information right; big data; general rules of the civil law
责任编辑、校对:谢华军