閔 婉

湖北警官學(xué)院，湖北 武漢 430000

一、“個人信息”的概念界定

對“個人信息”的概念和范疇的界定，理論界一直眾說紛紜?！半[私說”認(rèn)為，“個人信息”具有隱私性，是權(quán)利主體不愿意為他人知曉的私密性、非公開性的信息；“識別說”認(rèn)為，“個人信息”具有可識別性，是與特定權(quán)利主體具有特定關(guān)聯(lián)性的信息，通過這些信息能夠直接或間接識別出權(quán)利主體的具體身份；“廣義說”認(rèn)為，“個人信息”是以任何形式存在的與權(quán)利主體存在關(guān)聯(lián)的各類信息[1]。

從各國立法實(shí)踐來看，對“個人信息”范疇的界定也各不相同。歐盟《個人數(shù)據(jù)保護(hù)指令》認(rèn)為，“個人數(shù)據(jù)”是指可據(jù)以識別特定自然人的與數(shù)據(jù)主體相關(guān)的任何信息，包括姓名、性別、身份證號碼、照片、定位數(shù)據(jù)、基因數(shù)據(jù)、健康數(shù)據(jù)等；美國《隱私法案》認(rèn)為，“個人信息”是指一個機(jī)構(gòu)所持有的與一個人相關(guān)的各類單項(xiàng)信息或信息組合，包括但不限于：教育、金融交易、醫(yī)療病史、工作履歷、識別號碼、指紋、照片等。[2]

對“個人信息”的概念和范疇的不同界定，直接關(guān)系到個人信息保護(hù)制度所保護(hù)的法益范疇的大小。從我國的立法實(shí)踐來看，關(guān)于這一問題的解讀也呈現(xiàn)出不斷發(fā)展的態(tài)勢。2012 年12月28日，第十一屆全國人民代表大會常務(wù)委員會第三十次會議通過了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，將“個人信息”界定為“能夠識別公民個人身份和涉及公民個人隱私的電子信息。”這一概括性的界定綜合了“隱私說”和“識別說”的觀點(diǎn)，保護(hù)范疇足夠?qū)挿?，但是因?guī)定不夠具體，不利于執(zhí)法和司法實(shí)踐中準(zhǔn)確把握。2017 年6月1日施行的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）采納的是概括加列舉的定義方式，該法對“個人信息”范疇的界定采納的是“識別說”。①《網(wǎng)絡(luò)安全法》第七十六條：“個人信息，是指以電子或其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！钡?，在大數(shù)據(jù)背景下，嚴(yán)格以“識別說”為標(biāo)準(zhǔn)，會導(dǎo)致用戶網(wǎng)頁瀏覽記錄、購物記錄、行蹤軌跡等不必然具有識別性卻能反映出權(quán)利主體的活動情況的個人信息得不到法律的保護(hù)。

2021 年1月1日施行的《民法典》仍然沿襲了“識別說”，但對個人信息范疇的界定則在《網(wǎng)絡(luò)安全法》列舉項(xiàng)目的基礎(chǔ)上，增加了“電子郵箱、健康信息、行蹤信息”。①《民法典》第一千零三十四條：“個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！彪娮余]箱不同于普通郵箱，其郵件地址并非現(xiàn)實(shí)生活中的居所地，而是以互聯(lián)網(wǎng)為依托的虛擬地址；健康信息包括自然人的身體健康信息、就醫(yī)信息、身體特定信息以及遺傳基因信息等內(nèi)容；行蹤信息包括自然人的實(shí)時定位信息、住所地信息、日常出行信息、途經(jīng)地點(diǎn)信息等內(nèi)容。不難看出，《民法典》新增加列舉的“健康信息”和“行蹤信息”明顯屬于具有隱私性質(zhì)的信息，尤其是對“行蹤信息”的明確列舉在一定程度上拓展了《網(wǎng)絡(luò)安全法》對個人信息范疇的界定。此外，為了解決司法實(shí)踐中一直飽受困擾的個人隱私保護(hù)和個人信息保護(hù)混同的問題，《民法典》明確規(guī)定了隱私的定義，突出了隱私類信息的“私密性”和“不愿為他人知曉性”的核心特征，從而明確將個人信息與個人隱私區(qū)別開來。②《民法典》第一千零三十二條：“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息?！蓖瑫r，《民法典》還首次明確規(guī)定了個人隱私和個人信息的區(qū)分保護(hù)規(guī)則，將個人信息的保護(hù)范疇界定為隱私權(quán)無法涵蓋的領(lǐng)域，從而有效解決了個人信息與隱私權(quán)保護(hù)范疇的重疊與沖突問題。③《民法典》第一千零三十四條：“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定?！?/p>

二、個人信息利用的《民法典》規(guī)制

由于個人信息是具有識別性的特定自然人的姓名、身份、行蹤等各種信息，這些信息均與自然人的人格利益密不可分，因此，從性質(zhì)來看，個人信息具有明顯的個人屬性，對每個自然人個體而言，信息主體都享有個人信息不受非法侵害的私權(quán)利，賦予自然人對其個人信息的控制和支配權(quán)既是對其人格自由和人格尊嚴(yán)的維護(hù)與尊重，也是保障其個人信息安全的必要舉措。但另一方面，個人信息也具有公共屬性，對整個社會而言，社會成員個人信息的自由利用與流動既有助于實(shí)現(xiàn)社會公共事務(wù)的公開、公正和透明，更好地滿足社會公眾對公共事務(wù)的知情權(quán)和參與權(quán)，也有助于政府更加便捷有效地行使對公共事務(wù)的管理職責(zé)，從而最大限度地促進(jìn)社會公共福祉。[3]因此，如何促進(jìn)個人信息的合法有效利用也是信息時代的《民法典》重點(diǎn)關(guān)注和回應(yīng)的問題。

為確保個人信息利用的安全和規(guī)范，《民法典》確立了一系列個人信息利用的原則和規(guī)則。首先，《民法典》明確規(guī)定了個人信息處理的三項(xiàng)基本原則。④《民法典》第一千零三十五條：“處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理?！币皇呛戏ㄐ栽瓌t，即信息利用主體對自然人個人信息以收集、使用等各種方式進(jìn)行處理時不得違反我國現(xiàn)行法律、行政法規(guī)的相關(guān)規(guī)定，這里的法律和行政法規(guī)不僅指《民法典》中的個人信息保護(hù)規(guī)定，還包含《網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護(hù)法》等其他法律規(guī)范對個人信息保護(hù)的規(guī)定，既包括實(shí)體性的規(guī)定，也包括程序性的規(guī)定；二是正當(dāng)性原則，是指信息利用主體在收集個人信息時應(yīng)當(dāng)明確告知信息主體收集和使用該信息的事實(shí)及使用方式，任何單位和個人只有在信息主體知情且同意的前提下才享有對個人信息的正當(dāng)利用權(quán)，任何情況下對個人信息的處理都應(yīng)當(dāng)以目的正當(dāng)、程序規(guī)范為前提；三是必要性原則，是指信息利用主體對個人信息的收集和使用應(yīng)當(dāng)僅以其收集該信息的合法正當(dāng)?shù)哪康牡靡詫?shí)現(xiàn)為必要限度，在個人信息的收集范圍、保存期限和使用方式上都應(yīng)當(dāng)以對信息主體利益影響最小化為標(biāo)準(zhǔn)，超過此標(biāo)準(zhǔn)的個人信息不得收集，已經(jīng)收集的，應(yīng)當(dāng)及時刪除或銷毀并不得使用，貫徹這一原則有助于避免個人信息的過度收集和使用。其次，《民法典》通過賦予信息主體異議權(quán)、更正權(quán)及刪除權(quán)，使得自然人可以及時采取措施防范個人信息利用中的侵權(quán)風(fēng)險。⑤《民法典》第一千零三十七條：“自然人可以依法向信息處理者查閱或者復(fù)制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權(quán)提出異議并請求及時采取更正等必要措施。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權(quán)請求信息處理者及時刪除?！弊詈?，《民法典》還通過明確規(guī)定信息處理者應(yīng)當(dāng)承擔(dān)的保密義務(wù)、安全保障義務(wù)、告知義務(wù)以及報告義務(wù)等，加強(qiáng)了個人信息收集和利用等各個環(huán)節(jié)中信息處理者的責(zé)任，為有效降低個人信息利用中的安全風(fēng)險提供了制度保障。①《民法典》第一千零三十八條：“信息處理者不得泄露或者篡改其收集、存儲的個人信息；未經(jīng)自然人同意，不得向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復(fù)原的除外。信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失；發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，應(yīng)當(dāng)及時采取補(bǔ)救措施，按照規(guī)定告知自然人并向有關(guān)主管部門報告。”

三、《民法典》時代加強(qiáng)個人信息保護(hù)的措施

（一）深入貫徹《民法典》保護(hù)私權(quán)的理念，促進(jìn)國家機(jī)關(guān)規(guī)范合法利用個人信息

各級各類國家機(jī)關(guān)在執(zhí)法履職活動中，應(yīng)當(dāng)時刻秉承以人為本的理念，充分尊重和保障《民法典》賦予民事主體的各項(xiàng)私權(quán)利，而個人信息正是《民法典》中自然人民事權(quán)益的重要內(nèi)容，是個人人格獨(dú)立和人格尊嚴(yán)的重要組成部分[4]。任何情形下，對個人信息的利用都必須遵循合法、正當(dāng)和必要的基本原則。即使是在涉及公共安全或其他公共利益的事件中，職能部門對自然人個人信息的利用也不能突破法定的職權(quán)范疇。國家機(jī)關(guān)及其工作人員出于公共安全或其他公共利益目的收集和使用個人信息，應(yīng)當(dāng)嚴(yán)格遵循比例原則，采取符合公共利益目的要求并且對信息主體利益損害最小的方式進(jìn)行，一旦發(fā)生個人信息泄露的安全事故，相關(guān)職能部門及其工作人員應(yīng)當(dāng)承擔(dān)相應(yīng)的法律責(zé)任。此外，在各級各類國家機(jī)關(guān)依照《政府信息公開條例》的規(guī)定履行信息公開職責(zé)時，尤其應(yīng)當(dāng)嚴(yán)格依照法定內(nèi)容和程序開展信息公開工作，充分把握好個人信息保護(hù)和信息公開之間的平衡與協(xié)調(diào)。

（二）加大《民法典》中個人信息利用和保護(hù)規(guī)則的普法宣傳，引導(dǎo)社會各界樹立良好的個人信息保護(hù)意識

互聯(lián)網(wǎng)企業(yè)作為網(wǎng)絡(luò)社區(qū)的創(chuàng)建者或管理者，對其創(chuàng)建和管理的網(wǎng)絡(luò)社區(qū)理應(yīng)承擔(dān)起維護(hù)其安全與秩序的社會責(zé)任，除應(yīng)當(dāng)加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的研發(fā)和應(yīng)用，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行之外，還應(yīng)采取有效措施保護(hù)網(wǎng)民個人信息的安全。對于營利性的各類互聯(lián)網(wǎng)行業(yè)具有專業(yè)化能力的企業(yè)和社會組織，可以通過政府購買服務(wù)的方式，將其納入個人信息保護(hù)的多元化治理主體之內(nèi)，充分發(fā)揮其專業(yè)技能優(yōu)勢，不斷推進(jìn)個人信息保護(hù)技術(shù)的進(jìn)步。對于各類行業(yè)協(xié)會、志愿者組織等非營利性的互聯(lián)網(wǎng)行業(yè)專業(yè)化社會組織，則可以通過政府給予政策扶持、宣傳引導(dǎo)、經(jīng)濟(jì)支持等多種方式，鼓勵其為個人信息利用風(fēng)險的防控共治工程貢獻(xiàn)力量。此外，廣大社會公眾作為信息主體，應(yīng)當(dāng)不斷增強(qiáng)自身的個人信息保護(hù)意識。一方面，公眾應(yīng)當(dāng)提高個人信息的自我保護(hù)能力，使用各種線上服務(wù)時應(yīng)當(dāng)選擇正規(guī)、可靠的渠道，下載各類手機(jī)應(yīng)用軟件時應(yīng)謹(jǐn)慎提交個人信息，在應(yīng)用軟件注冊環(huán)節(jié)應(yīng)避免使用個人信息作為用戶名，提交身份證照片、銀行卡號、個人臉部照片等個人敏感信息時更要仔細(xì)甄別是否符合個人信息收集的必要性和最小化原則；線下提供個人信息時，也應(yīng)當(dāng)充分了解信息收集方是否具有合法個人信息收集權(quán)限，發(fā)現(xiàn)違法違規(guī)收集和使用個人信息的情形，應(yīng)當(dāng)及時向職能部門提出舉報和申訴。另一方面，公眾也應(yīng)當(dāng)提高自覺尊重和保護(hù)他人個人信息的素養(yǎng)，在傳播公共信息時，一定要避免泄露他人可識別性個人信息。

（三）通過制度建設(shè)不斷推動個人信息的利用和保護(hù)之間的平衡與協(xié)調(diào)

首先，在對個人信息的利用制度中，應(yīng)當(dāng)不斷優(yōu)化信息分級規(guī)則，針對不同類型的個人信息設(shè)定不同的利用權(quán)限、程序及責(zé)任，相較于一般信息而言，對敏感信息的收集和使用應(yīng)當(dāng)設(shè)立更嚴(yán)格的標(biāo)準(zhǔn)，對敏感信息的泄露應(yīng)當(dāng)設(shè)立更重的法律責(zé)任；其次，要進(jìn)一步強(qiáng)化知情同意規(guī)則的執(zhí)行力度，即任何信息利用主體只有在自然人本人真實(shí)且自愿同意的前提下才享有對其個人信息進(jìn)行合法收集和使用的權(quán)利。這一規(guī)則是個人信息收集和使用過程中平衡信息主體和信息利用主體雙方權(quán)益的一項(xiàng)基本制度，對個人信息的保護(hù)至關(guān)重要，如果信息利用主體是用排除信息主體自主選擇權(quán)的格式條款的形式獲取同意的，應(yīng)當(dāng)視為該同意無效。此外，還應(yīng)不斷完善個人信息的合理使用規(guī)則?！睹穹ǖ洹穼ⅰ盀榫S護(hù)公共利益”合理實(shí)施的處理個人信息的行為納入個人信息侵權(quán)的免責(zé)范疇。這類個人信息合理使用規(guī)則為公共利益目的下的個人信息利用行為提供了必要的法律指引。但該規(guī)定過于原則化，缺乏實(shí)際應(yīng)用層面的具體性和可操作性，只有對行使合理使用權(quán)的主體、標(biāo)準(zhǔn)和程序均作出具體明確的制度安排，才能真正實(shí)現(xiàn)個人信息利用和個人信息保護(hù)之間的動態(tài)平衡。