ENGLISH 现在是:

image.png

学界动态

张新宝:《民法总则》个人信息保护条文研究学界动态

时间:2019-09-18   出处:  作者:  点击:


摘要:在《民法总则》制定前和起草过程中法学界对个人信息保护进行了必要的研究和理论储备,该法草案第二次审议稿增加了个人信息保护条文以回应迫切的社会需求。个人信息的本质在于其能够单独或者结合其他信息识别特定个人身份的属性。无论将个人信息理解为权利还是利益,都不妨碍法律将其确定为自然人的人身非财产性质的人格权(权益)且具有支配性特征;其义务主体负有相应的作为和不作为义务。目前以刑法手段保护个人信息走在了前面,而用民事手段保护个人信息的效果尚未彰显。需要探讨民事司法保护个人信息的积极作用,同时从民法分则和制定《个人信息保护法》两方面强化个人信息的立法保护。


关键词:个人信息;个人信息权(权益);《民法总则》第111条;《个人信息保护法》


中国人民大学法学院 张新宝


人类进入信息社会之后,如何在利用信息(数据)和保护自然人的个人信息权益之间取得平衡?这一问题在世界范围内引起了广泛的关注。《民法总则》第111条规定了对于个人信息的保护,使得这一议题正式进入民法主流关注视域。如何理解该条的规定,该条的规定对于后续的立法又会产生何种影响,成为后民法总则时代民法学者研究个人信息保护问题时必须回答的两个问题。


《民法总则》颁布以来,第111条引起了学界的广泛关注,几部有影响力的民法总则释义书籍都对第111条进行了较详细的解读,一些学术论文也专门针对第111条的规定进行了研讨。从目前学界对于第111条的研究来看,问题主要集中于以下几方面:


一是讨论个人信息保护的权益层级问题,即个人信息究竟是一项独立的“个人信息权”还是仅仅为一项受法律保护的民事利益。对于这一问题,学者间意见并不统一,不过这更多的是一种理论层面的争鸣,对于个人信息权(权益)的具体保护而言影响并不大。


二是讨论个人信息权(权益)的权益属性问题,即个人信息权(权益)究竟是一项人格权,还是一项财产权,还是说二者兼而有之。这一问题的讨论,对于个人信息保护立法具有较为重大的影响。总体来说,民法学者较为强调个人信息权(权益)的人格利益属性;而知识产权法、信息法等其他部门法的学者则更为强调个人信息权(权益)的财产利益属性,或者说,至少强调个人信息保护立法中不应忽视其中的财产利益。对这一问题的不同认识,会直接影响对于整个个人信息保护法律架构之建立的认识。强调人格利益,则势必强调信息主体对于其个人信息的“支配性”,留给信息业者“利用”个人信息的空间就较小;反之,如果较为强调财产利益,则势必要在一定程度上限制信息主体对其个人信息的“支配程度”。支配程度与利用空间之间如何平衡,会直接决定个人信息收集、处理和使用者的义务内容。


三是探讨个人信息的概念内涵以及其与隐私权之间的关系。目前,越来越多的学者认识到个人信息与隐私之间所存在区别,对于个人信息与隐私分别予以法律保护也日益成为学界的主流观点。将个人信息划分为个人敏感信息与一般个人信息似乎已经成为未来立法与研究的方向。但是,对于“个人信息”这一概念本身的研究却还未能迈向深入。虽然学者间使用的都是“个人信息”这一表述,也都认同其“可识别性”这一核心内涵,但是对于其具体的类型、范围等却未能予以相当的厘清,也未形成广泛的共识。


四是梳理信息义务者的义务类型。对此,学者们已经粗线条地取得了广泛共识,即都认可第111条规定的依法取得、确保信息安全、不得非法利用这三大块内容。但是在一些细节问题上还有待进一步的研究。


本文将对以上四个方面的问题给出自己的观点。不过,本文探讨的议题范围相对要更为广泛一些:除了对条文本身进行解读研讨之外,还将回溯我国学界对于个人信息保护进行研究的历程,并细致梳理第111条出台的详细细节,以期厘清该条条文产生的“前因”;并且在分析第111条文意的基础上,讨论如何更好地以民事途径保护自然人的个人信息以及在未来的立法中如何贯彻第111条的规定,以期展望该条规定的“后果”。


本文在研究方法上一方面采用近乎考据的方式对于第111条的出台作细致的考察,另一方面采用法解释学的方法对于第111条的法律文本进行严谨的解析。同时也结合对于法律的实际运行情况(司法实务)的大数据考察,思考未来立法应当注意的问题。希望本文的研究能够为目前正在进行的民法典分编以及《个人信息保护法》的起草工作提供有益的参考建议。




(一)民法典草案建议稿


2002年12月23日,九届全国人大常委会第三十一次会议讨论了《中华人民共和国民法(草案)》。这一立法活动极大地推进了我国法学界尤其是民法学界对于民法典立法的理论研究工作,为党的十八届四中全会以后展开的第五次民法法典化运动储备了相应的知识。相关研究的标志性成果,首推两部具有重要影响的“中国民法典草案建议稿”:一是中国社会科学院法学研究所梁慧星主持的《中国民法典草案建议稿附理由》(以下简称“社科院稿”);二是中国人民大学法学院王利明主持的《中国民法典草案建议稿及说明》(以下简称“人大法学院稿”)。此外,徐国栋出版了其主持的“绿色民法典”草案建议稿。这些民法典草案建议稿或直接或间接、或多或少地涉及到了个人信息(隐私)保护的问题,为后来《民法总则》规定个人信息保护储备了一定的知识。


1. 社科院稿


社科院稿反对在民法典中设独立的“人格权”编,因此其所设计的民法典分则并没有人格权编,有关人格权保护的条文规定在总则编第二章“自然人”第二节“人格权”中。该节从第16条到第26条分别对一般人格权、人格权的保护、生命权、身体权、健康权、姓名权、肖像权、名誉权、隐私权等作出了规定,也规定了对死者遗体以及死者姓名、肖像和名誉的保护。该稿中没有专门条文涉及对个人信息的保护,与个人信息保护有一定关联的是第24条。该条规定:“自然人享有隐私权,禁止窃取、窃听、偷录、偷拍他人隐私。未经本人同意,不得披露或者利用他人私生活秘密,或者实施其他损害他人隐私的行为。但在为保护他人权利或者公共利益所必要的限度内,由法律规定可以披露或者利用他人隐私的,依照其规定。”


该条文的作者在相关说明和理由阐述上,没有直接将本条规定的“隐私”与个人信息挂钩,但是从个人信息保护法理论的角度看,部分个人信息尤其是所谓敏感个人信息也是属于个人隐私的,因此该条对自然人隐私的保护也必然涵盖对部分个人信息的保护。《民法总则》第111条在语言措辞和层次结构等表述方式上与该条也颇为相似。二者之间似存在某种知识上的联系。


2. 人大法学院稿


与社科院稿不同,人大法学院稿主张“人格权”应当在民法典中独立成编。该稿中设第二编“人格权”,共计6章98个条文。该稿并没有使用“个人信息”的概念,而是使用“个人资料”的表述,并认为二者具有一定的不同。该稿对于个人资料保护的规定具有以下几个特点:


第一,将“个人资料”纳入“隐私”的范畴。与社科院稿相同,该稿没有将个人资料作为一种独立的权利或者利益加以单独保护,而是将“个人资料”纳入“隐私”项下进行保护,有关个人资料保护的条文均列于“隐私权”一节项下。


第二,对于个人资料保护进行了较为全面的规定。该稿第369-371条分别规定了个人资料的收集、保护以及资料收集者的保密义务。具体条文如下:


第369条禁止非法收集、储存、转让、传播和公开他人的个人资料。


收集、储存、披露、或超出收集目的而使用涉及自然人隐私的个人资料,须征得其本人的同意,若本人死亡或丧失民事行为能力,则必须得到其亲属同意,但法律另有规定的除外。


个人资料指自然人的姓名、性别、年龄、民族、婚姻、家庭、教育、职业、住址、健康、病历、个人经历、社会活动等足以识别该人的资料。


第370条个人资料的收集必须基于与收集者本身职能有关的合法目的,以合法、公平的方法实施,并保证所收集资料的真实性。


被收集人享有知情权,收集者应当采取合理的措施告知当事人:其是否有义务提供资料;收集该资料的目的;该资料可能移转和披露的范围;其查阅、修改资料的权利。


被收集人享有查阅、修改、更新其个人资料的权利,法律另有规定或当事人特别约定的除外。


第371条依法可以收集自然人个人资料的机构或者个人,对其所收集的个人资料负有保密的义务,未经本人同意,不得公开披露或者提供给他人使用。但法律另有规定的除外。


从上述第369条第1款和第2款的规定来看,该稿起草者似乎已经注意区分“涉及自然人隐私的个人资料”与其他个人资料,并且采用了不同的法律保护措施。


第三,同时规定“个人资料”和“私人信息”,并对二者予以分别保护。在上述个人资料的规定之外,该稿第363条还规定了对于自然人私人信息的法律保护。该条规定:“(第1款)自然人的私人信息受法律保护。(第2款)未经本人同意,禁止以非法窃视、窃听、刺探、窃取、偷录、偷拍、披露他人的私人信息。但法律另有规定的除外。(第3款)私人信息可以向特定的人披露,并准许特定人利用,或向社会公众公开,视为放弃私人信息。(第4款)私人信息的公开和利用不得违反公序良俗。”


对于二者之间的关系,该稿在条文中并未予以明确。但是,该稿起草者在相关立法理由的阐述中,对于隐私、私人信息、个人资料之间的关系作了如下认定:隐私,就其范围而言,包括私人信息、私人活动和私人空间;私人信息,包括所有的个人情况、资料。个人资料则指自然人的足以识别该人的资料。信息是资料的内容,资料是信息的存在形式。个人资料,是以资料形式存在的个人信息。该稿第363条规定的是对私人信息的保护,第369-371条规定的是对个人资料的保护。


第四,规定了对于“生命信息”的特别保护。该稿第373条规定:“自然人的生命信息和遗传基因密码受法律保护,未经本人同意,禁止任何人以非法手段获取、公开自然人的生命信息和遗传基因密码。”生命信息和遗传基因密码同样可以识别不同的自然人,应当也属于个人信息(资料)的范畴,该条对此进行特别规定,强调对于此类个人信息(资料)只有信息主体本人才享有决定权利。


3. 其他建议稿


徐国栋主持的绿色民法典建议稿没有明确规定对于个人信息的保护。考察该稿相关条文,可以认为该稿同样依循将个人信息纳入隐私(该稿称“私生活权”)的范畴之内予以保护的路径。具体来说,体现在以下两个方面:第一,将个人信息纳入“私生活”的范畴。该稿第一编第一分编第385条规定:“私生活权是自然人控制关于自己的资料之流转的权利。”第386条规定,“未经同意,擅自披露他人私生活资料的行为”构成对他人私生活的侵犯。第二,从规制“档案”的角度规定了对于个人信息的部分保护。该分编第394-396条分别规定了档案的设立(设立理由、目的范围内收集、不得泄露)、档案属主的知情权、档案属主的更正权。


(二)个人信息保护法立法研究


在民法典立法研究之外,我国学者针对个人信息保护的专门立法问题也展开了一定的研究。目前,有两部较有影响的“个人信息保护法专家建议稿”,由周汉华和齐爱民分别提出(以下简称“周汉华稿”“齐爱民稿”)。周汉华稿计6章72条,齐爱民稿计4节32条。与前述各民法典建议稿相比,这两部“个人信息保护法专家建议稿”体现出以下特点。


第一,在强调保护个人信息的同时,也强调要促进个人信息的合法有效利用。周汉华稿在第1条规定:“为规范政府机关或其他个人信息处理者对个人信息的处理,保护个人权利,促进个人信息的有序流动,根据宪法制定本法。”齐爱民稿在第1条规定:“为规范个人信息的处理,保护自然人的人格权,保障个人信息的合法利用,特制定本法。”


第二,都将个人信息处理者划分为“政府(国家)机关”和“其他个人信息处理者”两类,并分别规定不同的规制方式。总体来讲,两稿对于政府机关的规制程度要弱于对其他个人信息处理者的规制程度。“这主要是因为,政府机关处理个人信息是履行法定职责、实施行政管理的必然要求,从法律性质上看属于行政法律关系。相反,其他个人信息处理者处理个人信息是一种民事主体的自主活动,从法律性质上看属于民事法律关系。”


第三,所规制的“处理”之行为类型较为广泛,既包括增量行为,也包括减量行为。不同于民事立法及相关建议稿中主要关注于对个人信息的收集、储存、使用、加工、传输、买卖、提供、公开等“增量”行为,两部“个人信息保护法专家建议稿”的规制范围还拓展到了诸如修改、删除、销毁等“减量”行为。周汉华稿第9条规定:“‘处理’指政府机关或其他个人信息处理者根据一定的编排标准或检索方式,以自动或非自动方法对个人信息的收集、存储、使用、交换、公开、修改、删除、销毁等行为。”齐爱民稿第3条规定:“‘处理’指以自动化方式或以人工方式对个人信息进行的操作,包括储存、编辑、变更、检索、删除、传输、封锁以及其他操作。”


第四,扬弃传统的隐私权模式,明确信息主体享有“个人信息权利”。周汉华在其立法研究报告中提出,个人信息权利是指个人对于与自己有关的各种信息进行收集、储存、传播、修改等所享有的决定权和控制权。个人信息权利是一项宪法上的基本权利。齐爱民稿则将信息主体的这一权利界定为一种具体的人格权(见该稿第1条)。


(三)涉及个人信息保护的其他研究成果


在前述各立法建议稿之外,随着我国学者对于个人信息保护研究的不断展开,一些重要研究成果也不断涌现,主要体现在以下方面:


第一,对隐私与个人信息予以区别日益成为学界主流观点。王利明对于隐私权与个人信息权(权益)之间关系的观点发生了较大变化。在其较近发表的文章中,王利明主张个人信息的概念已经超越传统隐私权的范畴,二者之间也存在诸多不同,因此在未来民法典中应当单独规定个人信息权,将其作为一种具体人格权加以保护。作者也曾撰文阐述了二者之间的不同,并系统提出个人信息保护应当构建“三方平衡、两头强化”的理论体系。


第二,个人信息保护的部门法维度日益广泛。在民法之外,刑法等领域的学者也日益关注个人信息保护问题。2009年,《刑法修正案(七)》确立了全面保护公民个人信息的刑法规范。2015年,《刑法修正案(九)》进一步扩大了对于侵害公民个人信息犯罪的打击范围与程度,将侵害个人信息犯罪的主体从特定单位的工作人员扩大到所有主体。刑法学者们针对侵害个人信息犯罪也展开了广泛的研究。通过刑事手段保护公民个人信息的具体思路也不断厘清。


第三,个人信息的权利内涵不断丰富。在人格权商业利用这一研究背景之下,个人信息的商业化利用问题日益获得关注。已经有学者针对个人信息的财产权保护问题展开了一定的研究。


(四)小结


在我国法学界中对个人信息保护研究进行的主要有三支力量:一支以民法学者为主,其基本主张和成果是将个人信息视作民事权利(权益),特别是人格权的重要组成部分。因此,有些民法学者主张在民法典中规定对个人信息的保护,甚至在民法分则中设立人格权编,对隐私权和个人信息保护作出更为具体的规定。第二支力量主要以部分行政法、知识产权法和少量民法学者为主,他们的研究进路是制定类似于欧盟法制的独立的个人信息(数据)保护法,其所设计的个人信息保护法草案建议稿具有综合性、跨法律部门与跨法学学科的特征。第三支力量主要是刑事法律方面的学者,他们对于包含有个人信息保护的《刑法修正案(七)》和《刑法修正案(九)》的形成和理解适用作出了相应的理论贡献。


以上三支力量对于个人信息保护的研究成果为《民法总则》第111条的立法形成以及目前正在审议的民法分则第三编第六章“隐私权与个人信息”的立法奠定了必要的理论基础。同时也应当认识到:①现有理论研究成果与立法形成的直接对应性并不十分显著;②部分观点仍然存在较大争议,如有些学者主张法人和非法人组织也应该享有信息保护权,有些学者过分强调个人信息权(权益)的财产性质。这些观点,或者是将个人信息保护与企业的信息类财产保护相混淆,或者是将作为人格权(权益)客体的个人信息与作为经营者数据权(权益)客体的数据或大数据相混淆。这样的观点并不利于作为人格权编重要组成部分的个人信息保护制度在民法领域的建立和完善。


(一)从一审稿到二审稿(第109条):个人信息保护从无到有


2015年9月中旬法工委第一次组织民法学及相关学科的学者讨论民法总则草案室内稿,正文文本里没有“民事权利”和“民事责任”两章,但是在附件里附加了这两章的草拟条文。这表明立法工作部门最初对于是否在民法总则中规定“民事权利”和“民事责任”并没有拿定主意。而作为附件的“民事权利”草案条文也没有对个人信息保护加以规定。但是,这一状况到立法部门正式审议民法总则草案一审稿时发生了变化。2016年6月下旬,十二届全国人大常委会第22次会议审议的民法总则草案第一次审议稿(以下简称“一审稿”)增加了“民事权利”和“民事责任”两章。


一审稿并没有规定对个人信息的保护。但是,立法部门、学界和社会舆论中都存在着较高的呼声,要求增加个人信息保护的规定。2016年10月10日,全国人大常委会委员长张德江在京主持“民法总则(草案)座谈会”,多位与会人员对增加个人信息保护提出了建议。杜万华(代表最高人民法院,审判委员会专职委员)建议增加“民事主体依法享有信息资源权”的规定。李培林(代表中国社会科学院,副院长)提出“要特别强化对个人信息的保护,对于非法获取、非法利用他人的个人信息的,法律要予以禁止,并给予制裁”。张鸣起(代表中国法学会,副会长;全国人大常委会委员、法律委员会副主任委员)提出在民法总则草案中增加一条专门规定个人信息受法律保护:“自然人的个人信息受法律保护,任何组织和个人不得非法收集、处理、利用、出售和传输个人信息。”李大进(北京市全国人大代表)建议增加“信息资源权”。贾春梅(河北省全国人大代表)建议增加个人信息的“被遗忘权”。马翠兰(河北省人大常委会副主任)建议增加“安宁生活权”:“自然人依法享有的安宁生活权受法律保护。”伍枝勤(江西省景德镇市人大常委会副主任)“建议在草案第一百条第一款增加个人信息权”。


2016年10月11日,全国人大法律委员会召开会议,讨论前一日座谈会的各种意见和建议,落实张德江委员长关于民法总则(草案)修改的重要讲话精神。这次会议以及此后的几次会议,对于在民法总则中增加个人信息保护条文形成了一致意见。


有的常委、委员、部门、法学教学研究机构和社会公众提出,一段时间以来,非法获取、非法出售或者非法向他人提供公民个人信息的违法行为泛滥,社会危害严重,建议进一步强化对个人信息的保护。法律委员会经研究认为,个人信息权利是公民在现代社会享有的重要权利,明确对个人信息的保护对于保护公民人格尊严,使公民免受非法侵扰,维护正常的社会秩序具有现实意义。法律委员会经研究,建议增加规定:“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。(草案二次审议稿第109条)”至此,个人信息保护在民法总则草案中有了正式的地位。


(二)从二审稿(第109条)到三审稿(第110条):个别文字修改


2016年10月31日第十二届全国人大常委会第24次会议审议了《民法总则(草案)》第二次审议稿(以下简称“二审稿”),其中第109条关于个人信息保护的条文获得通过。此后,法律委员会及法工委在参考第二次审议意见和社会各方建议的基础上,提出了民法总则草案关于个人信息保护条文的修改意见。其中,2016年12月1日法律委员会审议稿第109条规定了两款:“自然人的个人信息受法律保护。任何组织和个人不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。”“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物信息、住址、电话号码等。”


其后公布的《民法总则(草案)》第三次审议稿(以下简称“三审稿”)删除了关于个人信息定义的规定,该稿第110条仅保留了一款:“自然人的个人信息受法律保护。任何组织和个人不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。”相比较二次审议稿,有三处改动:一是条文序号从第109条变化为第110条;二是将非法“利用”修改为非法“使用”;三是将非法“出售”修改为非法“买卖”。后两处改动使得条文更趋于完善。但是,直到三审稿,民法总则草案尚未对依法取得和确保个人信息安全作出规定。


(三)从三审稿(第110条)到大会审议稿(第114条):确立依法取得和确保安全的规则


在法律草案的讨论过程中,增加“应当确保依法取得的个人信息安全”逐渐形成共识。在2016年11月的一个“过路稿”上就曾出现过以下表述:“任何组织都应该采取技术措施和其他必要措施,确保依法取得的个人信息安全,防止信息泄露。在发生信息泄露时,应当立即采取补救措施。”第十二届全国人大常委会第25次会议对《中华人民共和国民法总则(草案三次审议稿)》提出的修改意见,可能对最终增加“应当确保依法取得的个人信息安全”具有重要关联性。比如列席常委会的杨震(黑龙江省全国人大代表)提出:“我国现在还没有个人信息保护法,有些规定散落在各种法律法规里。有的组织并不是有意地非法干这些事,而是没有保护好个人信息,泄露了,如山东教育机构被非法植入了木马。建议参考工信部《电信和互联网用户个人信息保护规定》的规定,在本条后增加规定‘业务经营者、服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责’,经营者和服务提供者有责任保护用户的个人信息。”《电信和互联网用户个人信息保护规定》第6条规定:“电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。”其第三章对“安全保障措施”作出了具体规定。


(四)从大会审议稿(第114条)到《民法总则》第111条:个人信息民法保护的精准表达


全国人大常委会2016年12月25日以《关于提请审议〈中华人民共和国民法总则(草案)的议案〉》提请全国人民代表大会审议《中华人民共和国民法总则(草案)》,李建国副委员长在2017年3月8日《关于〈中华人民共和国民法总则(草案)〉的说明》中指出:“在信息化社会,自然人的个人信息保护尤其重要,草案对此作了有针对性的规定(草案第一百一十四条)。”提交给第十二届全国人民代表大会第五次会议审议的民法总则草案第114条规定如下:“自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这是在三审稿的基础上修改整理出来的条文。与三审稿比较,最突出的变化是吸收了常委会审议期间提出的意见,增加了“应当确保依法取得的个人信息安全”的内容。


由于其他条文的增减,在大会最终通过的民法总则文本中,保护个人信息的条文是第111条:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”与提交审议的条文文本比较,最终通过的法律条文没有实质性改动,仅增加“任何组织和个人需要获取他人个人信息的”,作为“应当依法取得并确保信息安全”的前提条件。这样的调整使得法律条文的文字表达更为精准。


(五)小结


《民法总则》第111条作为保护个人信息的条文,在立法中经历了一个从无到有、从粗放表达到精准表达的过程。在此过程中,对个人信息概念进行界定的考虑被排除出去,关于依法取得和确保信息安全的理念被吸收进来,并在大会审议期间增加了其适用的前提条件。社会公众和学界的“院外”讨论与呼吁,以及地方人大代表和全国人大常务委员会组成人员、参与民法典起草工作的五个单位等公共机关机构的建议和具体意见,对于这一规定的形成都起到了积极作用。在2016年10月10日张德江委员长主持的座谈会上,多位与会者关于增加个人信息保护条文的意见,无疑在立法政策的决策层面上对于在二次审议稿中增加第109条(二审稿中的条文编号)保护个人信息起到了重要的推进作用。从这个条文形成的微观角度研究我国立法过程,观察政治决策、常委会组成人员以及人大代表的意见、社会公众的民意期待等对法律条文形成的影响,也是一个颇有价值的实例。


作为保护个人信息的条文,第111条最终没有对个人信息的概念加以规定,也没有对个人信息是民事权利还是“受法律保护的合法权益”作出明确的界定。对于前者,大概可以认为,其他法律已经作出规定,可以参照;对于后者,本文将在第三部分进行更深入的讨论。


欧洲经典民法典,无论是《法国民法典》《德国民法典》《瑞士民法典》还是《荷兰民法典》都受制于当时的社会需求,没有也不可能对个人信息保护作出规定。在欧盟国家,个人信息保护形成了专门的法律体系,基本上游离在民法体系之外。从比较法的角度来看,我国《民法总则》第111条从民事权利(权益)的角度保护自然人的个人信息,还规定了其他人的相关作为和不作为义务,不失为民事立法反映社会需求的一个创新之举。


三、条文理解:个人信息概念与个人信息权(权益)解读


(一)个人信息的概念


虽然《民法总则(草案)》曾试图对个人信息的概念进行规定,但是《民法总则》第111条还是删除了草案的相关内容,不对“个人信息”进行界定。这大致可以从两个方面找到相关理由:其一,比《民法总则》稍早颁布的《网络安全法》第七章“附则”第76条第5项对个人信息的概念作出了明确规定,在理解和适用上参照即可,民法无需再作出规定;其二,将个人信息的概念留给后来将要制定的民法分则进行规定——2018年8月底讨论的《民法典各分编(草案)》(第一次审议稿)第三编“人格权”第六章第813条果然对个人信息的概念进行了规定。


尽管《民法总则》第111条没有对个人信息的概念进行界定,但是它在民事立法中第一次使用了“个人信息”的概念,而且是该条最核心最基础的概念,因此有必要对个人信息的概念进行揭示。


从更广的部门法视域考察,可以发现在我国个人信息保护立法的早期阶段,对于“个人信息”的概念界定经历了一个变化的过程。《全国人大常委会关于加强网络信息保护的决定》以及最高人民法院的相关司法解释,对于“个人信息”的概念作出了略为不同的规定。不过,《网络安全法》对于“个人信息”的概念界定,似乎具有更高的权威性与更大的影响力,目前《民法典各分编(草案)》(第一次审议稿)关于“个人信息”概念界定的表述,深受该法的影响。


《网络安全法》第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法典各分编(草案)》(第一次审议稿)第三编第六章第813条第2款规定:“本法所称个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”二者除了在句首的语法措辞上稍有不同外,内容几乎完全一致。


另外,我国还有涉及个人信息的各类法律法规、规章文件100余件。在制定主体上除全国人大常委会外还包括国务院各部委、地方政府、行业协会、科研机构等,涵盖的行业范围遍布互联网、电信、征信、证券、银行、保险、医疗等各领域。


从比较法上看,2018年5月25日正式实施的《欧盟通用数据保护条例》第4条也对于“个人数据”作出了定义,该条规定:“‘个人数据’是指与任何已识别的或可识别的自然人(‘信息主体’)有关的信息;一个可识别的自然人是指一个或直接、或间接地可被识别的人,尤其是指参照例如姓名、身份证号码、定位信息、网络身份标识或者一项或多项该自然人所特有的物理性、生理性、遗传性、心理性、经济性、文化性或社会性的身份标识。”


对以上立法进行考察可以明确,个人信息是指能够单独或者与其他信息结合识别自然人个人身份的各种信息,既包括法律明确列举的自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码,也包括法律没有列举但具有此种识别功能的其他信息。“个人信息”这一法律概念的核心内涵在于“能够单独或者与其他信息结合识别自然人个人身份”。有学者将需要与其他信息结合方可识别自然人个人身份的个人信息称为“间接个人信息”。不过应当注意到,“个人信息”概念的内涵和外延并非如其表述那样简洁


中国知识产权司法保护网(知产法网)主编


蒋志培 中国人民大学法学博士,曾在英国伯明翰大学法学院、美国约翰马歇尔法学院任高级访问学者,中国人民大学法学院、北京外国语大学法学院兼职教授,中国知识产权司法保护网主编、国家社科基金评审委员会专家,最高人民检察院民行诉讼监督案件专家委员会委员,2014年、2015年受美国约翰马歇尔法学院、中国驻加拿大使馆和加方科技部邀请参加知识产权法律和创新论坛并演讲,2013年12月获得中国版权事业卓越成就奖。