第一百一十一条
自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
【条文主旨】
本条是关于个人信息权的规定。
【立法要点及理由】
个人信息或者称为个人资料、个人数据,一般是指与自然人相关的能够单独识别或者辅以其他信息能够识别出特定主体的所有信息,可以表现为文字、图表、图像等任何形式。[24]由于计算机、网络、媒体传播等科技手段的快速发展,使国家、企业或个人能够迅速地搜集、储存、传送有关个人的各种信息资料,将个人信息以不同的方式加以呈现和组合,可用来预测个人的行为模式、政治态度、消费习惯等作为一种资源或商品加以运用。[25]个人信息安全不仅关系到每个人的日常工作和生活,还关系到国家安全、社会安全、市场安全,因此,保护个人信息的安全至关重要。民法总则确认个人信息权,有利于统筹各具体部门法对个人信息的保护,加强民事主体的个人信息安全意识,维护社会和经济秩序。
一、保护个人信息的制度沿革
(一)国外有关个人信息保护的立法
最早关于个人信息保护的法律是1950年欧盟的《保护人权与基本自由的欧洲公约》的第8条,该条规定:“每个人都有权要求尊重他的私人和家庭生活、住宅和通信。”1973年瑞典颁布《数据法》;1978年法国颁布《数据处理、档案及自由法》;1981年欧盟又颁布《与个人数据自动化处理有关的个人保护公约》,提出了个人信息保护的八项原则:限制收集原则、资料内容正确原则、目的明确化原则、限制利用原则、安全保护原则、公开原则、个人参加原则、责任原则。此八项原则大部分为现今的个人信息保护法律所借鉴。1992年欧洲议会通过《关于个人数据保护指令的草案》以及一系列的修正案;1995年欧盟制定《关于设计个人数据处理的个人保护以及此类数据自由流动的指令》;2000年欧洲议会和欧盟理事会通过《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》;2002年欧洲议会和欧盟理事会通过《关于电子通信领域个人数据处理和隐私保护的指令》等法律法规。欧盟通过制定统一的法律规范来协调各成员国对个人信息的保护,以促进互联网事业和电子商务的发展。
美国作为互联网的起源地,同时也是网络科技水平最发达的国家,其对个人信息的保护水平一直走在世界前列。美国在1967年通过了《信息自由法》;1974年正式制定出《隐私权法》;1986年颁布了《联邦电子通讯隐私法案》;1994年颁布《金融隐私立法》;1997年颁布了《全球电子商务全球框架》;2000年4月21日,美国联邦贸易委员会制定了《儿童在线隐私保护法》。美国对于个人信息的保护倾向于将个人信息权置于隐私权范畴之下,根据不同事项进行有针对性的立法,也可以看出,美国保护个人信息的模式是以行业自律为主,立法为辅。
亚太经济合作论坛《隐私保护纲领》明确了个人资料隐私保护的九项原则:预防损害、告知、收集限制、个人资料的利用、当事人自主、个人资料的完整性、安全管理、查阅与更正、责任,其对部分国家或地区的个人信息保护立法也产生了重大影响。
日本在1988年制定了《关于对行政机关所持有之由计算机处理的个人信息加以保护的法律》,规范了公权力利用计算机处理个人信息的行为。2003年日本通过《个人信息保护法》,规定了私人机构对个人信息的保护。此后日本各政府部门还出台了一系列关于个人信息的保护法案。
(二)国内有关个人信息保护的立法
虽然我国对个人信息的保护发展比较缓慢,但是从宪法、民法、刑法以及各部门规章中还是可以看出我国一直在加强对个人隐私的保护。
个人信息包括隐私信息和非隐私信息,宪法从根本法的角度对隐私权作了原则性的保护,能够为个人信息受其他部门法律的保护提供了根本依据。宪法规定了公民的人格尊严、住宅权不受侵犯,通信自由和秘密权受法律的保护。具体部门法如1997年的《计算机信息网络国际联网安全保护管理办法》(已于2011年修订)第七条规定:“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。”2000年的《全国人大常委关于维护互联网安全的决定》(已于2009年修正)第四条第(二)项规定,非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密的,构成犯罪的,依照刑法有关规定追究刑事责任。同年《互联网电子公告服务管理规定》第十二条(已失效)规定:“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄露,但法律另有规定的除外。”2003年居民身份证法(2011年修正)第六条第三款规定:“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。”2007年护照法第十二条、第二十条也规定了护照签发机关保护个人信息的职责。对个人信息的保护应该是全方位的,不仅在民事行政法律方面予以规定,2009年《刑法修正案(七)》增加了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。同年统计法第九条、第三十九条,2011年社会保险法第九十二条,2013年旅游法(已于2016年修改)第五十二条、第八十六条等均规定了行政部门或者经营者负有对悉知的个人信息进行保密的义务。2012年全国人大常委会颁布了《全国人大常委会关于加强网络信息保护的决定》,这是我国第一部关于个人网络信息保护的专门立法,全面地规定了个人信息保护的原则、个人信息保护的主体及责任等。2013年修正的消费者权益保护法增加了个人信息保护方面的规定,于第十四条、第二十九条、第五十条作出了比较全面的规定。2013年征信业管理条例,对征信机构采集个人信息所应遵守的原则、采集个人信息的范围、保密义务及法律责任作出了规定。2014年最高人民法院发布《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,其第十二条规定了侵害个人隐私和个人信息的责任。2017年民法总则确认个人信息权作为自然人享有的民事权利之一。
二、个人信息权的内涵
个人信息权是指自然人依法享有的对其个人信息的使用、支配、控制并排除他人干涉的权利,包括个人信息查阅权、个人信息更正权、个人信息封存权、个人信息删除权、个人信息受益权等。
个人信息权的核心是对个人信息范围的界定。个人信息或称个人数据或个人资料。1995年10月24日欧洲议会和欧盟理事会《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》对个人数据的定义是:指与一个身份已被识别或者身份可识别的自然人(数据主体)相关的任何信息;身份可识别的人是指其身份可以直接或者间接,特别是通过身份证号码或者一个、多个与其身体、生理、精神、经济、文化或社会身份有关的特殊隐私来确定的人。我国台湾地区“个人资料保护法”对个人资料的定义是:指自然人之姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病例、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之资料。香港特别行政区《个人资料(私隐)条例》规定,个人资料是指:(一)直接或间接与在世的个人有关的;(二)从该等资料直接或间接确定有关的个人的身份是切实可行的;(三)该等资料的存在形式使查阅及处理均成为切实可行的。《全国人大常委会关于加强网络信息保护的决定》第一条第一款规定,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。从该条规定的内容来看,这里的个人信息包括两种:一种是能够识别公民个人身份的电子信息;一种是涉及个人隐私的电子信息。换言之,个人信息包括隐私信息和非隐私的个人信息。个人信息具有如下特征:
(一)个人相关性
所谓相关性,是指特定数据与特定个人之间具有的联系因素。因为某个信息是否是个人信息往往取决于该信息与特定人之间的接近程度,所以个人信息应当与信息主体的私人生活相关,或者以信息主体作为其核心。
(二)可识别性
所谓可识别性,是指他人对该数据与特定个人之间的联系因素的辨认。这里的可识别,既可能是直观、直接的,例如个人的姓名、肖像、指纹、身份证号码等可以直接指向具体个人,也可能是间接的,需要根据具体情境下的数据才能判断。[26]
(三)兼具人身性与财产性
个人信息是能够直接或间接识别特定自然人的相关信息,个人信息以特定的自然人为主体,具有专属性,与人身不可分离,能够体现自然人的人身利益,因此具有人身性;同时,个人信息随着市场经济的发展,成为一种重要的商业资源,通过利用个人信息可直接获取财产利益,因此个人信息具有财产性。个人信息兼具人身性和财产性,但是,如自然人的肖像、名誉,人身性是个人信息的第一属性,财产性是其次要属性。
【适用指南】
一、注意个人信息权与隐私权的关系
依据《全国人大常委会关于加强网络信息保护的决定》,个人信息包括隐私信息和非隐私信息,个人信息是隐私的上位概念,因此个人信息权与隐私权存在很多共性。首先,两者的主体都只能是自然人,法人、非法组织等均不享有;其次,两者的客体存在重合,个人隐私包含于个人信息的范畴;再者,两者都具有自主决定性、排他性。然而个人信息权与隐私权仍存在以下区别:一是权利属性不同,隐私权不以财产利益为直接内容,其主要体现为精神性的人格利益;而个人信息权则兼具财产性与人身性,同时涉及自然人的人格尊严与信息流通价值。二是权利保护侧重方式不同,对隐私权的保护,采取的是消极的事后救济模式,往往强调侵害行为的成立要件以及与之有关的权利救济;对个人信息权的保护则采取积极的预防和管理模式,强调对个人信息在收集、使用、加工、传输、买卖、提供过程中的规范。隐私权侧重于保密,个人信息权侧重于防止被识别,因此,都在审判实践中,应当厘清两者的关系,正确定位案件的性质。
二、侵犯个人信息的免责事由
侵犯个人信息权的免责事由包括一般的侵权免责事由,即权利人同意、被侵权人故意、因第三人的原因、不可抗力、正当防卫、紧急避险、法律法规的规定等。在此要强调的是国家机关因行使职权收集使用个人信息是否构成免责。最高人民法院发布的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条第三款规定:“国家机关行使职权公开个人信息的,不适用本条规定。”为了公共利益,即社会管理、社会服务或者管理技术的需要,公权力机关需要收集使用个人信息的,此行为不仅涉及私法对民事权利的保护,还涉及公法对公权力的限制。国家机关因行使职权收集使用个人信息的行为若违反相关保密义务也要承担相应的责任,但是应当属于行政法与行政诉讼的受理范围。
三、对于已公开的个人信息再次公开是否构成侵权的问题
自然人自行公开个人信息也是免责事由之一。网络、网络服务提供者或者新闻媒体对于已公开的个人信息再次公开是否构成侵权要视具体情况而定。若网络、网络服务提供者或者新闻媒体只是对已公开的个人信息进行纯粹的转发、再次公布则不构成侵权;若网络、网络服务提供者或者新闻媒体对已公开的多项个人信息进行收集、整理、加工、重新组合等使得该信息具有识别性、指向特定的人,则构成侵权。
【相关规定】
《中华人民共和国消费者权益保护法》第十四条、第二十九条、第五十条,《中华人民共和国网络安全法》第四十二条、第七十六条,《中华人民共和国商业银行法》第二十九条,《中华人民共和国执业医师法》第二十二条,《中华人民共和国居民身份证法》第十九条,《中华人民共和国刑法》第二百五十三条之一。