关于《民法典 (草案) 》个人信息保护条款的完善建议

文│中国法学会法治研究所副研究员 刘金瑞

民法被称为社会生活的百科全书，民法典编纂是民族精神、时代精神的集中立法表达。随着信息通信技术的革命性进展并席卷全球，人类社会已经进入了网络信息时代。此时代下的中国民法典编纂，需要回应信息社会带来的新问题新挑战，而隐私和个人信息保护就是其中最具时代特色的新问题之一。从《民法总则》到《民法典人格权编（草案）》，再到《民法典（草案）》，都高度重视并积极提出应对方案，《民法典人格权编（草案）》和《民法典（草案）》在历次审议中均对相关条文进行了修改完善。

但考虑到个人信息在信息社会中不仅只体现个人利益，还同时负载了重大社会公共利益和经济价值，我国《个人信息保护法》的制定也已经提上议程，目前《民法典（草案）》关于个人信息保护的部分条款在利益平衡和相关法律衔接方面仍有完善的空间。在民法典编纂进入最后冲刺阶段的重大历史时刻，这些方面更加需要高度重视和认真研究。笔者结合国内外相关立法和理论，对相关条款提出完善建议，以期能对我国个人信息保护制度的构建完善有所裨益。

一、民法典编纂历次审议对个人信息保护条款的修改完善

2017 年 3 月 8 日，全国人大常委会《关于 < 中华人民共和国民法总则（草案）> 的说明》指出，“在信息化社会，自然人的个人信息保护尤其重要，草案对此作了有针对性的规定”。2017 年 3 月 15 日，十二届全国人大五次会议审议通过了《民法总则》，在第 111 条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

2018 年 8 月，十三届全国人大常委会第五次会议初次审议《民法典各分编草案》，单独设立了人格权编，人格权编草案（以下简称一审稿）设专章第六章规定了“隐私权和个人信息”，该章设置在后续历次审议中都予以延续。全国人大常委会在《关于 < 民法典各分编（草案）> 的说明》中指出，“针对隐私权和个人信息保护领域存在的突出问题，在现行法律规定基础上，草案进一步强化对隐私权和个人信息的保护，并为即将制定的个人信息保护法留下衔接空间”。

2019 年 4 月，十三届全国人大常委会第十次会议对民法典人格权编草案进行了第二次审议（以下简称二审稿），二审稿将一审稿的章名改为“隐私权和个人信息保护”。根据全国人大宪法和法律委员会关于《民法典人格权编（草案）》修改情况的汇报，二审稿的对此部分的主要修改包括：一是对收集使用未成年人等无民事行为能力人或者限制民事行为能力人的个人信息的 , 增加规定应当征得其监护人同意，但是法律、行政法规另有规定的除外。二是增加规定，国家机关及其工作人员对于履行职责过程中知悉的自然人隐私、个人信息，应当予以保密，不得泄露或者非法向他人提供。

2019 年 8 月，十三届全国人大常委会第十二次会议对民法典人格权编草案进行了第三次审议（以下简称三审稿）。根据全国人大宪法和法律委员会关于《民法典人格权编（草案）》修改情况的汇报，三审稿对此部分的主要修改包括：一是将隐私的定义修改为“自然人不愿为他人知晓的私密空间、私密活动和私密信息等”，突出隐私“不愿意为他人知晓”的特点。二是增加规定，任何组织或者个人不得搜查、进入、窥视、拍摄他人的宾馆房间等私密空间。三是将自然人的“电子邮箱地址”和“行踪信息”纳入个人信息的范围。四是将第六章相关条文中的“使用”个人信息修改为“处理”个人信息，并增加规定“个人信息的处理包括个人信息的使用、加工、传输、提供、公开等”。

2019 年 12 月，由民法典各分编草案与民法总则“合体”而成的完整版《民法典（草案）》，提交十三届全国人大常委会第十五次会议审议。根据全国人大宪法和法律委员会关于《民法典各分编（草案）》修改情况和《中华人民共和国民法典（草案）》编纂情况的汇报，《民法典（草案）》对此部分的主要修改是采纳将“维护私人生活安宁、排除他人非法侵扰”作为隐私权的内容，将隐私的定义修改为：隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。此外，还明确规定，个人信息中的私密信息，同时适用隐私权保护的有关规定。

二、关于《民法典（草案）》个人信息保护条款的完善建议

虽然民法典人格权编草案二审稿、三审稿、《民法典（草案）》都对个人信息保护条款进行了修改完善，但从利益平衡和相关法律衔接来看，《民法典（草案）》第六章“隐私权和个人信息保护”中的个人信息保护条款仍有完善空间，对此笔者提出以下建议：

（一）坚持多元利益平衡而摒弃个人绝对控制权模式

《民法典（草案）》（以下简称草案）第六章虽然尝试分立隐私权和个人信息保护规则，但基本贯彻了 20 世纪 80 年代德国信息自决权理论而对个人信息构建了类似隐私权的个人绝对控制权，强调收集处理的唯一合法基础是当事人同意。但该模式随着网络信息时代的到来已经日益捉襟见肘，原因在于很多个人信息不仅只体现个人利益，还同时负载了重大社会公共利益和经济价值，前者比如为了新冠肺炎疫情防控收集利用病患相关个人信息，后者比如个人信息是征信业和数字经济发展的重要资源，信息科技的运用使得个人信息上的多元利益日益凸显。一味强调个人绝对控制，会阻碍个人信息的正常利用和共享，不仅社会价值易被忽视，大数据等信息产业也难以发展。

因此，建议摒弃个人绝对控制权而构建个人信息多元利益平衡保护模式。具体而言：一是借鉴欧盟《一般数据保护条例》等域外立法，修改草案 1035条以规定收集处理个人信息的多元合法基础，除了保留当事人同意之外，增加“为维护公共利益所必需”以及下文所论及的其他合法基础，即以明确的规则取代该条第（一）项“征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外”中的“法律、行政法规另有规定的除外”，在民法典中为“合法”收集处理个人信息设定充分的民法基础规范。二是将草案第 1033 条“除权利人明确同意外，任何组织或者个人不得实施下列行为”修改为“除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为”，明确即使是涉及个人私密信息等隐私，也可能根据其他法律的规定比如为了国家安全、追查刑事犯罪、防控疫情等公共利益需要予以合法限制，“权利人同意”并不是唯一的合法基础。

（二）将免责条款纳入收集处理个人信息的合法性条款

草案第 1037 条规定：“收集、处理自然人个人信息，有下列情形之一的，行为人不承担民事责任：（一）在该自然人或者其监护人同意的范围内实施的行为；（二）处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。”这种免责事由的立法模式看似留出了收集处理个人信息的合法空间，但并未充分承认为维护国家安全、防控疫情等公共利益或者当事人合法权益等收集使用行为本身的合法性，这可能使得有关主体在行为时惧于担责有所顾虑而无法及时使用和共享个人信息。

建议将草案第 1037 条的免责事由修改纳入草案第 1035 条，直接作为收集处理个人信息的合法基础，将草案第 1035 条修改如下：“合法收集处理自然人个人信息应当符合下列条件之一：（一）征得该自然人或者其监护人同意；（二）处理该自然人已经合法公开的个人信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；（三）为维护公共利益或者该自然人合法权益所必需。”

（三）明确为履行合同所必需处理个人信息不必再征得同意

在信息社会中，个人为了获取产品或服务必然会提交留痕个人信息，比如电子购物提供收货地址，网上约车提供地理位置信息等。虽然个人对这些信息的后续利用实际上已经难以查知控制，这些信息确有可能会被他人泄露或滥用，但这就是个人为享受信息科技便利而在数字化生存中需要容忍的风险。在互联网 环境下，个人在充分权衡利弊之后与在线服务商签订合同，就意味着已经同意对方为了合同目的处理其个人信息，法律应充分尊重和保障双方达成的合意。不能因为个人信息有可能被在线服务商之外的第三人窃取或滥用，就否认个人和服务商达成的合同效力。当然如果服务商违反法定或者约定义务，故意泄露或者未经当事人允许向他人提供个人信息，应当承担相应的法律责任。

建议将“为订立或者履行合同所必需”也规定为收集处理个人信息的合法基础，在上述第（二）点关于草案第 1035 条的修改建议条文中再增加一项，即“（四）为订立或者履行该自然人作为一方当事人的合同所必需”。强调“合同所必需”是为了忠于当事人之间的合同目的，可以避免合同宽泛条款对主体权益的不当限制。如此规定，在合同目的范围之内处理个人信息不必再征得个人同意，可以提高信息利用效率、降低信息授权成本。此外，还可以为信息控制者某些符合合同目的的正当处理行为即欧盟《一般数据保护条例》所言的数据控制者“正当利益”提供合法基础，比如为了履行合同需要确保信息安全而处理个人信息。

（四）对发送未经请求的信息侵害私生活安宁作出单独规定

根据草案第 1033 条第（一）项规定，除权利人明确同意外，任何组织或者个人不得以短信、电话、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁。从文义看，一旦发送未经请求的信息就有可能构成“侵扰”，而当事人明确同意成为唯一合法基础；当事人一旦同意似乎只能忍受侵扰，是否可以再拒绝以及如何拒绝并没有规定。可在实际生活中，为了联络沟通等目的，未经对方请求而发送信息是生活常态，而为联络对方却先要发信息征求对方同意实属罕见，且征求同意信息本身也是未经对方同意的。应该平衡正常联络沟通和保护私生活安宁的关系。

建议将草案第 1033 条第（一）项单独予以规定，并修改为：“自然人明确表示拒绝的，不得以短信、电话、即时通讯工具、电子邮件、传单等方式向其发送未经请求的信息。以电子方式发送信息的，应当明示发送人的真实身份和联系方式，并向接收人提供拒绝继续接收的方式。不得以频繁拨打电话或者发送信息等方式侵害他人的私人生活安宁。”如此规定可以区分发送未经请求信息的行为与以此侵害私人生活安宁的行为。对于发送未经请求信息的行为，吸纳我国《广告法》等相关规定，并借鉴欧盟、日本等立法经验，规定了当事人选择退出模式。对于发送未经请求信息害私人生活安宁的行为，明确只有达到“频繁”、超出当事人正常容忍程度才构成侵害，而且建议将“侵扰”改为“侵害”，也有利于从文义上将轻微干扰排除在外。

（五）应与《个人信息保护法》相关规定做好衔接协调

在大数据时代，个人信息利用涉及个人、企业、国家等多层次主体的多元权益，需要民法、行政法、刑法等综合施策。目前，《个人信息保护法》（以下简称个保法）已经提上立法议程，民法典应该与其相关规定做好衔接协调。对此建议如下：

一是统一价值理念构建协调配合的规范体系。二者都应该秉持多元利益平衡、促进个人信息合理利用的基本理念，做到既各自分工、又相互配合，民法典应该为相关主体享有权益提供合法性基础规范，而个保法侧重在此基础上为权益实现提供可操作的具体规则和行政管理规范。由此，草案第 1035 条应如前所述主要规定当事人同意等信息收集处理的合法基础，至于同意等满足合法性的具体要件如“公开收集、处理信息的规则”等应该由个保法规定。

二是立法思路框架和基本概念应该保持一致。比如根据草案第 1035 条，草案将个人信息利用分为“收集”“处理”两个环节，“个人信息的处理包括个人信息的使用、加工、传输、提供、公开等”，按照这种划分，个人信息利用主体应该为“信息收集者”“信息处理者”，可是草案第 1036 条、第1038条采用的概念却是“信息收集者”“信息控制者”，对这两种主体的界定有待进一步明确。个保法是否应该采纳这两个环节和这两种主体的划分值得进一步研究，欧盟《一般数据保护条例》就认为“信息处理”行为实际包括“信息收集”行为。再比如根据草案第 1033 条、第 1034 条，草案将个人信息分为一般个人信息和“个人私密信息”，这与我国个人信息保护国家标准和个保法立法讨论中的“个人敏感信息”是何种关系并不明确，个保法是否采纳一般个人信息和“个人私密信息”的分类也应统筹考虑。

三是具体制度设计上应该相互衔接协调。比如草案第 1038 条第 2 款规定：“信息收集者、控制者应当采取技术措施和其他必要措施 , 确保其收集、存储的个人信息安全 , 防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，依照规定告知被收集者并向有关主管部门报告。”这里的“依照规定告知被收集者并向有关主管部门报告”应该在个保法中予以细化明确，从而建立完整的个人信息泄露通知报告制度。

（本文刊登于《中国信息安全》杂志2020年第4期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。