民法典人格权编法律适用与案例指引
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

第六章 隐私权和个人信息保护

【要义精解】

本条是关于隐私权保护的一般规定。

本条第1款未明确对“隐私权”作出定义,而仅规定“自然人享有隐私权”。这是因为,隐私权的范围是动态平衡的,学理上对隐私权概念的界定仍莫衷一是  徐明:《大数据时代的隐私危机及其侵权法应对》,载《中国法学》2017年第1期,第139—140页。 ,这种规定方式为隐私权理论和实践的发展留有空间。然而,本条第2款对隐私的定义为隐私权的界定提供了可能,即隐私权是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息依法受到保护并排除他人非法侵犯的权利。简言之,隐私权就是指自然人对私生活安宁、私生活秘密等享有的权利。  王利明:《隐私权的新发展》,载《人大法律评论》2009年第1期,第3页。 隐私权的本质是自然人对自己的私生活依照自己的意志支配。

根据本条的规定,隐私权具有如下特征:第一,隐私权的主体是自然人,法人不享有隐私权;第二,隐私权是绝对权,任何人对于他人的隐私都负有不得侵害的消极义务;第三,隐私权的客体范围包括自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

【对照适用】

一、相关立法例

在法律上,隐私权概念始于美国。沃伦(Warren)和布兰代斯(Brandeis)在1890年发表于《哈佛法律评论》上的《隐私权》一文中提出,隐私是一种独处的权利,以及保持自己个性的权利。1960年,普罗瑟教授(Prosser)在总结大量判例的基础上将侵犯隐私权归纳为四种类型:一是侵入原告独居或者独处的状态;二是公开披露原告的令人难堪的私人信息;三是通过公开行为,使公众对于原告产生错误的认识;四是为了被告的利益,盗用原告的姓名或者肖像。  李永军:《论〈民法总则〉中个人隐私与信息的“二元制”保护及请求权基础》,载《浙江工商大学学报》2017年第3期,第12页。 之后,这种总结被普罗瑟教授沿用于其所撰写的《美国侵权法重述》(第二版)中,并成为美国学界通说。但彼时隐私权仍是一种普通法上的权利,直到20世纪60年代,隐私才成为宪法上的权利。  王利明:《隐私权的新发展》,载《人大法律评论》2009年第1期,第4页。 随着现代文明的发展,隐私权保护在全世界范围得到承认。德国等大陆法系国家民法传统上虽无隐私权的概念,但亦通过宪法确立的一般人格权,将隐私纳入法律保护范围。国际人权公约如1950年《欧洲人权公约》、1966年《公民权利与政治权利公约》等都肯定了隐私权。

在我国,隐私权最初经由名誉权进行保护。1986年原《民法通则》没有明确规定隐私权;1988年《最高人民法院关于贯彻执行〈民法通则〉若干问题的意见(试行)》第140条以间接保护的方法,规定侵害他人隐私,造成名誉权损害的,侵害名誉权论;1993年《最高人民法院关于审理名誉权案件若干问题的解答》规定,对未经他人同意,擅自公布他人的隐私材料或以书面、口头形式宣扬他人隐私,致他人名誉受到损害的,按照侵害他人名誉权处理。但在宣扬他人隐私而不损害他人名誉的情形下,受害人却无法受到保护。对于日益高涨的个人隐私的法律保护需求,2001年最高人民法院公布《关于确定民事侵权精神损害赔偿责任若干问题的解释》第1条将隐私作为独立的人格利益予以保护。直至2009年原《侵权责任法》第2条第2款,隐私权才被以一种独立的人格权被明确规定。原《民法总则》第110条再次将隐私权作为与名誉权并列的人格权予以确认。本条对此加以扩展。

二、 公众人物隐私权的限制问题

并非所有的隐私都受法律保护,凡与社会或者公众利益直接相关的重要事项,不属于隐私权的范围。因此,本法所保护的隐私权的客体范围应窄于本条第2款所规定的隐私的范围。有学者曾建议在隐私权一般规定中增加对公众人物隐私权的限制,即在为保护他人权利或者公共利益所必要的限度内,由法律规定可以披露或者利用他人隐私的,依照其规定。  梁慧星主编:《中国民法典草案建议稿附理由·总则编》,法律出版社2004年版,第62页。 也有学者认为,出于维护公共利益和满足公众兴趣的需要,公众人物的隐私权应当受到一定程度的限制,而作为平等民事主体的自然人,公众人物纯粹的私人领域和空间隐私应当受到保护,为了商业目的而利用公众人物的隐私、恶意侵害他人隐私权,严重贬损他人人格尊严的行为构成侵权。  王利明:《公众人物人格权的限制和保护》,载《中州学刊》2005年第2期,第92—98页。 本条虽对此未作明文规定,但涉及公众人物的隐私权保护问题时,应作此处理。

【要义精解】

本条规定了构成侵害隐私权的行为。

隐私权人对私人生活安宁和私生活秘密享有支配权。未经隐私权人同意,任何组织或者个人不得实施侵害隐私权的行为。根据本条的规定,未经权利人明确同意的,下列行为构成对他人隐私权的侵害:(1)以短信、电话、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁。自然人享有私人生活安宁权,有权排除他人对其正常生活的骚扰。对于未经权利人明确同意的侵扰行为,如往他人的信箱发送大量的垃圾邮件,构成对自然人私人生活安宁权的侵犯。(2)进入、窥视、拍摄他人的住宅、宾馆房间等私密空间。本条所谓私密空间,是指传统意义上和物理上的特定空间,如个人住宅、宾馆房间、房车等。(3)拍摄、录制、公开、窥视、窃听他人的私密活动。自然人享有依照自己的意志为或者不为与公共利益无关的活动的权利,该活动不受他人的干涉、追查或者支配。私密活动是一切个人的、与公共利益无关的活动,如日常生活、社会交往、私人生活、日记、通信等。  王利明主编:《中国民法典学者建议稿及立法理由·人格权编、婚姻家庭编、继承编》,法律出版社2005年版,第152页。 (4)拍摄、窥视他人身体的私密部位。(5)收集、处理他人的私密信息。(6)以其他方式侵害他人的隐私权。本项是兜底条款,以应对变动不居的社会生活和科技进步所带来的新的侵害他人隐私权的行为。

【对照适用】

本条的相似立法例如我国澳门特别行政区“民法”第78条;《埃塞俄比亚民法典》第13条、第16条;《越南民法典》第42条。

【要义精解】

本条是关于自然人的个人信息保护的一般规定。

自然人的个人信息受法律保护。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。个人信息是一项民事权利,还是只是一项民事权益,存在争议,有待学界厘清。  张新宝:《〈民法总则〉个人信息保护条文研究》,载《中外法学》2019年第1期,第66页。

个人信息权(权益)具有如下特征:(1)个人信息权(权益)的主体是自然人。自然人、法人和非法人组织享有受法律保护的数据及网络虚拟财产权益,但法人和非法人组织不是个人信息的主体,不享有个人信息权(权益)。个人信息通过去可识别化成为数据或者大数据后,可以成为财产权益客体,受《民法典》第127条和其他相关法律规定的保护。(2)个人信息权(权益)所保护的法益是自然人的人格利益。法律对自然人个人信息的保护,本质上是保护其人格利益,包括人的尊严和自由。(3)个人信息权(权益)是支配性的民事权利(权益),但只是具有弱支配性。如《民法典》第1035条的规定,一般而言,收集个人信息必须经过自然人同意,但个人信息也可能不需要经过个人同意而被强制收集。  张新宝:《〈民法总则〉个人信息保护条文研究》,载《中外法学》2019年第1期,第67—68页。 (4)个人信息的本质在于其可识别性。个人信息能够单独或者与其他信息结合识别特定自然人。

个人信息不同于隐私。有学者认为,二者的区别主要在于:(1)权利属性方面。隐私权主要是一种精神人格权,而信息权则属于集人格属性和财产属性于一体的综合性权利;隐私权基本上属于消极的防御型权利,在该权利被侵害前,权利人无法积极主动地行使,而信息是一种主动性权利。(2)权利客体方面。首先,隐私主要是私密性的信息和个人活动;而信息注重的是身份识别性。其次,隐私不限于信息形态,它也可以是个人活动、个人私生活方式等,无须被记载;而信息必须以具体化的形态固定下来,通常需要被记载。最后,相较于隐私而言,个人信息与国家安全的联系更密切。(3)权利内容方面。隐私权的内容主要是防止秘密性的信息和个人活动被不正当地公开,而信息权则是个人对信息的支配和自主决定。基于这些区别,在法律保护模式方面对个人信息和隐私进行区别保护,具有充分依据。  王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期,第62—72页。 每个国家的法律对隐私的保护程度与信息的保护因此也不尽相同。  李永军:《论〈民法总则〉中个人隐私与信息的“二元制”保护及请求权基础》,载《浙江工商大学学报》2017年第3期,第15页。

然而,二者亦存在共同之处:(1)权利主体都限于自然人;(2)都体现了个人对其私生活的自主决定;(3)客体上具有交错。  王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期,第62—72页。 有一些个人隐私是通过“信息”这种外在形式表现出来的。自然人不愿为人知晓的私密信息即属于隐私的范畴。因此,本条第3款规定,个人信息中的私密信息同时适用隐私权保护的有关规定。

【对照适用】

本条第2款源自《网络安全法》第76条。

在适用本条时,难点在于如何区分个人信息与隐私。本章对自然人的隐私与个人信息的保护同《民法典》第110条、第111条对自然人隐私与个人信息所采取的“二元制”保护模式相一致。比较法上,理论和判例对隐私与个人信息的保护多采取“一元制”保护模式,即不区分隐私与信息,将信息纳入隐私的范畴而采取统一保护,如美国、日本以及我国台湾地区等。这种做法通常需要法官在具体认定时判定保护的程度。于我国法律而言,有学者认为应采用“三分法”来区分隐私与信息,即分为纯粹的个人隐私、隐私性信息和纯粹的个人信息。纯粹的个人隐私,是隐私权保护的主要部分,是指个人生活最私密、直接涉及个人人格尊严与自由的部分,一旦侵入就造成受害人的损害,特别是精神损害。其主要包括空间隐私权和私生活秘密。隐私性信息,是指隐私与纯粹的个人信息交叉的部分,但相较于纯粹的个人信息而言,又更靠近人格尊严,因此更接近隐私,如健康信息、银行存款信息及其他财产性信息。纯粹的个人信息就是本条所列举的自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。  李永军:《论〈民法总则〉中个人隐私与信息的“二元制”保护及请求权基础》,载《浙江工商大学学报》2017年第3期,第15页。

【要义精解】

本条规定了处理个人信息的原则和条件。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。根据本条第1款前段的规定,处理个人信息的,应当符合合法、正当、必要以及适度的原则。该条可以视为对比例原则的运用,也即,立法者以比例原则作为判断处理自然人个人信息是否合理的标准。比例原则包括四个子原则,分别是目的正当性原则、适当性原则、必要性原则以及均衡性原则。目的正当性原则,是指某一侵害行为必须以一个合法目的为基础。现德国通说以合法与否作为目的正当性的判断标准。适当性原则,是指所采取的手段必须有助于目的之实现。必要性原则,是指当存在多个有助于目标达成的手段时,应在同等有效实现目标的情况下选择对被侵害一方损害最小的手段。均衡性原则,是指手段所导致的损害必须与其所欲实现的结果或者目标成比例。在处理自然人个人信息的场合,比例原则的适用要求:第一,合法原则(目的正当性原则),即处理自然人个人信息必须符合法律、行政法规的规定;第二,正当原则(可解释为适当性原则),即处理自然人个人信息所采取的手段必须有助于目的之实现;第三,必要原则(必要性原则),即当存在多个有助于目标达成的手段时,处理自然人个人信息应在同等有效实现目标的情况下选择对权利人损害最小的手段;第四,适度原则(均衡性原则),即处理自然人个人信息所采取的手段必须与行为人所欲实现的目标成比例。此条的规定是本法明确承认比例原则于私法上之适用的典型体现。

此外,根据第1款的规定,处理个人信息仍须符合四个条件:(1)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(2)公开处理信息的规则;(3)明示处理信息的目的、方式和范围;(4)不违反法律、行政法规的规定和双方的约定。

【对照适用】

本条源自《网络安全法》第41条的规定。处理自然人个人信息的具体规则,可以参考我国《信息安全技术 公共及商用服务信息系统个人信息保护指南》5.1—5.5的规定。

【要义精解】

本条规定了处理自然人个人信息的免责情形。

原则上,处理自然人个人信息不符合合法、正当、必要、适度原则的要求,或者违反《民法典》第1035条所规定的条件的,须对权利人承担损害赔偿责任。本条规定了三种免责事由,如果存在下列情形之一的,行为人对自然人个人信息的处理就不应承担民事责任:

第一,在该自然人或者其监护人同意的范围内实施的行为。自然人享有个人信息的使用决定权,包括是否允许他人使用、如何使用。有学者将自然人享有的这种权利称为“个人信息保护控制论”,认为该权利的两个理论源头——欧洲基于人的尊严保护的个人数据保护理论和美国基于个人自由保护的隐私理论。虽然个人信息的理论基础不同,但都认同个人应当有权控制其个人信息的使用,以实现对个人自治等基本权利的保护。  高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期,第86页。 因此,自然人或者其监护人同意处理其个人信息,且提供了处理的范围,该处理行为就获得了正当性,从而排除其责任承担。

第二,处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。首先,自然人自行公开其相关个人信息,是该自然人行使个人信息决定权的体现,表明其同意公开该信息。于此情形,处理该自然人的个人信息,视为已经获得了该自然人的同意。其次,对于其他已经合法公开的信息而言,由于该自然人的个人信息已经合法公开,是经过对该自然人的个人信息决定权与其他合法权益进行权衡之后的结果,对其使用应推定为具有正当性。这是因为,对政府来说,个人信息的合理收集与使用有助于制定有效的公共政策,是良好治理的关键;对社会而言,个人信息的合理流通有助于社会进行有效交流,形成合理有效的社会规范,是一个社会正常运转的关键。  丁晓东:《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》,载《现代法学》2019年第3期,第105页。 但是,对于这两种推定该自然人同意的情形,如果该自然人作出明确拒绝,或者处理该信息侵害了该自然人的重大利益,行为人就应当承担民事责任。

第三,为维护公共利益或者该自然人合法权益,合理实施的行为。据此,如果存在须维护的公共利益,或者为了该自然人的合法权益,有必要处理该自然人的个人信息的,并且行为人以合理的方式处理该自然人的个人信息的,也不应承担责任。在前者,因为对自然人个人信息的保护必须就其在社会中的作用来考虑,尤其应该考虑个人信息决定权的行使与公共利益之间的冲突问题。如果个人信息决定权的行使与公共利益相冲突,则需要根据比例原则,对个人信息决定权进行一定的限制。在后者,如果处理自然人的个人信息是为了维护该自然人的合法权益,并以合理的方式进行处理,那么应当赋予其正当性。《民法典》关于个人信息的保护的规定旨在维护自然人的合法权益,限制行为人在处理自然人的个人信息时损害自然人的合法权益;如果处理自然人的个人信息是为了维护自然人的合法权益,且以合理的方式实施,就不应承担民事责任,自不待言。

【对照适用】

在适用本条时,应以比例原则为标准,既要限制自然人的个人信息决定权的行使,又要限制对自然人个人信息进行处理的行为。

一方面,应以比例原则限制自然人的个人信息决定权的行使。自然人个人信息自我决定权是人格权之一种,对该权利的行使是该自然人意思自治的体现。然而,意思自治并非没有边界。德国宪法法院尽管提出“信息自决权”的概念,承认个人在其个人数据享有个人自治和自决的法益,但同时也认为个人对其个人数据并不享有绝对的排他性支配权,个人数据保护仍要受比例原则等的限制。  王泽鉴:《人格权法:法释义学、比较法、案例研究》,北京大学出版社2013年版,第200页。 根据本条的规定,自然人个人信息自我决定权之行使,应以公共利益为限。在为了维护公共利益而须处理自然人个人信息的,该自然人的个人信息决定权应该作出让步。

另一方面,应以比例原则限制对自然人个人信息进行处理的行为。未经自然人同意,对自然人个人信息的处理是对自然人个人信息自我决定权的限制。如果存在正当目的,不得不作此限制,那么就应当以比例原则为标准,对这种限制进行限制。

【要义精解】

本条规定了自然人的更正请求权和删除请求权。

由于侵犯信息权与侵犯隐私权不同,侵犯信息权对权利人损害的程度一般来说比侵犯隐私权要小一些,因此救济性措施也就比较广泛,有时仅要求更正或者删除就可以达到救济目的。  李永军:《论〈民法总则〉中个人隐私与信息的“二元制”保护及请求权基础》,载《浙江工商大学学报》2017年第3期,第20页。 本条第1款规定了权利人的更正请求权,第2款规定了权利人的删除请求权。

【对照适用】

《网络安全法》第43条规定了更正请求权。《网络安全法》第42条、第43条和第47条,我国原《侵权责任法》第36条都规定了请求删除的权利。

【要义精解】

本条是关于信息收集者、控制者的安全管理义务与安全保护义务。

为了合理使用个人信息,发挥大数据的价值,保护个人信息在大数据时代不被滥用,舍恩伯格提出“从个人许可到让数据使用者承担责任”  [英]维克托·迈尔⁃舍恩伯格、肯尼斯·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013年版,第220—221页。 。也即在个人信息保护中,既要有权利人同意作为信息流通发端的限制,又要有在个人信息流通过程中信息收集者、控制者的安全管理义务作为保障。因为个体难以预判个人信息流通的风险,仅仅以自然人同意为框架的个人信息保护难以奏效。因此,从信息收集者、控制者责任的角度看,有必要强化信息收集者、控制者责任的风险防范规则,确立基于风险防范规则的个人信息使用规则。  丁晓东:《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》,载《现代法学》2019年第3期,第107页。 本条的规范目的即在于此。

本条第1款规定了信息收集者、控制者安全管理个人信息的义务,包括不得泄露、篡改其收集、存储的个人信息以及不得向他人非法提供个人信息。该款后段以是否具有可识别性且可否复原为标准,判断信息收集者、控制者向他人提供个人信息的行为是否构成违法。个人信息的本质在于其可识别性,也即可以单独或者与其他信息结合识别特定自然人。这种可识别性使个人信息区别于数据,后者是作为内容的个人信息的载体,本身不具有可识别性。将不具有可识别性且不可复原的数据提供给他人,并不损害该个人信息的主体的合法权益。在大数据时代,数据的价值恰恰在于其二次甚至多次使用,商业机构通过相关数据分析可以为消费者提供更好的服务,政府或者公共机构亦可以通过此类数据制定更好的公共政策。  丁晓东:《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》,载《现代法学》2019年第3期,第107页。 2020年新冠肺炎疫情期间,各国政府基于对患者相关数据的分析,制定出抗击疫情的有效政策,即为力证。

本条第2款规定了信息收集者、控制者的安全防范义务。为了防范风险,信息收集者、控制者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,依照规定告知被收集者并向有关主管部门报告。

【对照适用】

本条源自《网络安全法》第42条、《信息安全技术 公共及商用服务信息系统个人信息保护指南》第4.1.3、4.1.4条的规定。

为了保护个人信息安全,各国立法例都对信息收集者、控制者施加了安全管理义务。如欧盟于2016年制定并于2018年生效的《一般数据保护条例》第5条规定,在处理个人数据时,应当遵循如下六项原则,并承担遵守责任和证明责任:(1)合法性、合理性和透明性:对涉及数据主体的个人数据,应当以合法的、合理的和透明的方式进行处理。(2)目的限制:个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的。(3)数据最小化:个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的。(4)准确性:个人数据应当是准确的,如有必要,必须及时更新;必须采取合理的措施确保个人数据的准确性,即违反初始目的的个人数据,及时得到擦除或更正。(5)限期储存:对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间。(6)数据的完整性与保密性:处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或者遭到非法处理,避免数据发生意外毁损或灭失。

【要义精解】

本条是关于国家机关、承担行政职能的法定机构及其工作人员对自然人的隐私和个人信息的保密义务。

国家机关、承担行政职能的法定机构及其工作人员在履行职责过程中所知悉的自然人隐私和个人信息,应当善尽保密义务和谨慎注意义务,没有尽到这种义务,泄露、篡改、毁损以及出售或者非法向他人提供的,构成侵权。依照《民法典》第1191条第1款规定,符合用人单位损害责任的,应当由国家机关、承担行政职能的法定机构承担替代责任。如果工作人员实施的侵权行为与行使职权无关,不构成用人单位责任的,应当由侵权人承担责任。但也有学者认为,目前公民个人信息受侵害程度十分严重,凡是国家机关、承担行政职能的法定机构工作人员侵害自然人隐私和个人信息与职务有关的,尽量确定用人单位的替代责任,在用人单位承担责任之后,再由用人单位向该工作人员行使追偿权。这样既能够制裁违法行为人,又能够更有力地保护自然人的隐私和个人信息。  杨立新:《侵害公民个人电子信息的侵权行为及其责任》,载《法律科学》2013年第3期,第151页。

【对照适用】

我国其他法律也对国家机关及其工作人员的保密义务作出规定。《网络安全法》第72条规定,国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。《刑法》第253条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。《刑事诉讼法》第64条第1款第1项规定,对于危害国家安全犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、毒品犯罪等案件,证人、鉴定人、被害人因在诉讼中做证,本人或者其近亲属的人身安全面临危险的,人民法院、人民检察院和公安机关应当不公开真实姓名、住址和工作单位等个人信息。《国家情报法》第31条规定,国家情报工作机构及其工作人员有超越职权、滥用职权,侵犯公民和组织的合法权益,利用职务便利为自己或者他人谋取私利,泄露国家秘密、商业秘密和个人信息等违法违纪行为的,依法给予处分;构成犯罪的,依法追究刑事责任。根据《民法典》第187条的规定,国家机关及其工作人员因违反保密义务而应当承担行政责任或者刑事责任的,不影响依法承担侵权责任。如果因为承担侵权责任和行政责任、刑事责任,侵权人的财产不足以支付的,优先用于承担侵权责任。

上一章目录下一章