虽然民法典人格权编草案二审稿、三审稿、《民法典(草案)》都对个人信息保护条款进行了修改完善,但从利益平衡和相关法律衔接来看,《民法典(草案)》第六章“隐私权和个人信息保护”中的个人信息保护条款仍有完善空间,对此有以下建议:
(一)坚持多元利益平衡而摒弃个人绝对控制权模式
《民法典(草案)》(以下简称草案)第六章虽然尝试分立隐私权和个人信息保护规则,但基本贯彻了 20 世纪 80 年代德国信息自决权理论而对个人信息构建了类似隐私权的个人绝对控制权,强调收集处理的唯一合法基础是当事人同意。但该模式随着网络信息时代的到来已经日益捉襟见肘,原因在于很多个人信息不仅只体现个人利益,还同时负载了重大社会公共利益和经济价值,前者比如为了新冠肺炎疫情防控收集利用病患相关个人信息,后者比如个人信息是征信业和数字经济发展的重要资源,信息科技的运用使得个人信息上的多元利益日益凸显。一味强调个人绝对控制,会阻碍个人信息的正常利用和共享,不仅社会价值易被忽视,大数据等信息产业也难以发展。
因此,建议摒弃个人绝对控制权而构建个人信息多元利益平衡保护模式。具体而言:一是借鉴欧盟《一般数据保护条例》等域外立法,修改草案 1035条以规定收集处理个人信息的多元合法基础,除了保留当事人同意之外,增加“为维护公共利益所必需”以及下文所论及的其他合法基础,即以明确的规则取代该条第(一)项“征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外”中的“法律、行政法规另有规定的除外”,在民法典中为“合法”收集处理个人信息设定充分的民法基础规范。二是将草案第 1033 条“除权利人明确同意外,任何组织或者个人不得实施下列行为”修改为“除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为”,明确即使是涉及个人私密信息等隐私,也可能根据其他法律的规定比如为了国家安全、追查刑事犯罪、防控疫情等公共利益需要予以合法限制,“权利人同意”并不是唯一的合法基础。
(二)将免责条款纳入收集处理个人信息的合法性条款
草案第 1037 条规定:“收集、处理自然人个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内实施的行为;(二)处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。”这种免责事由的立法模式看似留出了收集处理个人信息的合法空间,但并未充分承认为维护国家安全、防控疫情等公共利益或者当事人合法权益等收集使用行为本身的合法性,这可能使得有关主体在行为时惧于担责有所顾虑而无法及时使用和共享个人信息。
建议将草案第 1037 条的免责事由修改纳入草案第 1035 条,直接作为收集处理个人信息的合法基础,将草案第 1035 条修改如下:“合法收集处理自然人个人信息应当符合下列条件之一:(一)征得该自然人或者其监护人同意;(二)处理该自然人已经合法公开的个人信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三)为维护公共利益或者该自然人合法权益所必需。”
(三)明确为履行合同所必需处理个人信息不必再征得同意
在信息社会中,个人为了获取产品或服务必然会提交留痕个人信息,比如电子购物提供收货地址,网上约车提供地理位置信息等。虽然个人对这些信息的后续利用实际上已经难以查知控制,这些信息确有可能会被他人泄露或滥用,但这就是个人为享受信息科技便利而在数字化生存中需要容忍的风险。在互联网 环境下,个人在充分权衡利弊之后与在线服务商签订合同,就意味着已经同意对方为了合同目的处理其个人信息,法律应充分尊重和保障双方达成的合意。不能因为个人信息有可能被在线服务商之外的第三人窃取或滥用,就否认个人和服务商达成的合同效力。当然如果服务商违反法定或者约定义务,故意泄露或者未经当事人允许向他人提供个人信息,应当承担相应的法律责任。
建议将“为订立或者履行合同所必需”也规定为收集处理个人信息的合法基础,在上述第(二)点关于草案第 1035 条的修改建议条文中再增加一项,即“(四)为订立或者履行该自然人作为一方当事人的合同所必需”。强调“合同所必需”是为了忠于当事人之间的合同目的,可以避免合同宽泛条款对主体权益的不当限制。如此规定,在合同目的范围之内处理个人信息不必再征得个人同意,可以提高信息利用效率、降低信息授权成本。此外,还可以为信息控制者某些符合合同目的的正当处理行为即欧盟《一般数据保护条例》所言的数据控制者“正当利益”提供合法基础,比如为了履行合同需要确保信息安全而处理个人信息。
(四)对发送未经请求的信息侵害私生活安宁作出单独规定
根据草案第 1033 条第(一)项规定,除权利人明确同意外,任何组织或者个人不得以短信、电话、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁。从文义看,一旦发送未经请求的信息就有可能构成“侵扰”,而当事人明确同意成为唯一合法基础;当事人一旦同意似乎只能忍受侵扰,是否可以再拒绝以及如何拒绝并没有规定。可在实际生活中,为了联络沟通等目的,未经对方请求而发送信息是生活常态,而为联络对方却先要发信息征求对方同意实属罕见,且征求同意信息本身也是未经对方同意的。应该平衡正常联络沟通和保护私生活安宁的关系。
建议将草案第 1033 条第(一)项单独予以规定,并修改为:“自然人明确表示拒绝的,不得以短信、电话、即时通讯工具、电子邮件、传单等方式向其发送未经请求的信息。以电子方式发送信息的,应当明示发送人的真实身份和联系方式,并向接收人提供拒绝继续接收的方式。不得以频繁拨打电话或者发送信息等方式侵害他人的私人生活安宁。”如此规定可以区分发送未经请求信息的行为与以此侵害私人生活安宁的行为。对于发送未经请求信息的行为,吸纳我国《广告法》等相关规定,并借鉴欧盟、日本等立法经验,规定了当事人选择退出模式。对于发送未经请求信息害私人生活安宁的行为,明确只有达到“频繁”、超出当事人正常容忍程度才构成侵害,而且建议将“侵扰”改为“侵害”,也有利于从文义上将轻微干扰排除在外。
在大数据时代,个人信息利用涉及个人、企业、国家等多层次主体的多元权益,需要民法、行政法、刑法等综合施策。目前,《个人信息保护法》(以下简称个保法)已经提上立法议程,民法典应该与其相关规定做好衔接协调。对此建议如下:
一是统一价值理念构建协调配合的规范体系。二者都应该秉持多元利益平衡、促进个人信息合理利用的基本理念,做到既各自分工、又相互配合,民法典应该为相关主体享有权益提供合法性基础规范,而个保法侧重在此基础上为权益实现提供可操作的具体规则和行政管理规范。由此,草案第 1035 条应如前所述主要规定当事人同意等信息收集处理的合法基础,至于同意等满足合法性的具体要件如“公开收集、处理信息的规则”等应该由个保法规定。
二是立法思路框架和基本概念应该保持一致。比如根据草案第 1035 条,草案将个人信息利用分为“收集”“处理”两个环节,“个人信息的处理包括个人信息的使用、加工、传输、提供、公开等”,按照这种划分,个人信息利用主体应该为“信息收集者”“信息处理者”,可是草案第 1036 条、第1038条采用的概念却是“信息收集者”“信息控制者”,对这两种主体的界定有待进一步明确。个保法是否应该采纳这两个环节和这两种主体的划分值得进一步研究,欧盟《一般数据保护条例》就认为“信息处理”行为实际包括“信息收集”行为。再比如根据草案第 1033 条、第 1034 条,草案将个人信息分为一般个人信息和“个人私密信息”,这与我国个人信息保护国家标准和个保法立法讨论中的“个人敏感信息”是何种关系并不明确,个保法是否采纳一般个人信息和“个人私密信息”的分类也应统筹考虑。
三是具体制度设计上应该相互衔接协调。比如草案第 1038 条第 2 款规定:“信息收集者、控制者应当采取技术措施和其他必要措施 , 确保其收集、存储的个人信息安全 , 防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,依照规定告知被收集者并向有关主管部门报告。”这里的“依照规定告知被收集者并向有关主管部门报告”应该在个保法中予以细化明确,从而建立完整的个人信息泄露通知报告制度。