2021年1月1日,秘密基地新中国第一部以法典命名的法律——《中华人民共和国民法典》(以下简称《民法典》)正式实施,开了我国法典编纂立法的先河。在《民法典》的七编中,唯独有一编名称中有一个格外醒目的字——人,即第四编“人格权”,人格权独立成编恪守“以人民为中心”的理念,以人格尊严的至高无上为其根本出发点,这是我国《民法典》编纂最大的创新和亮点。《民法典》第四编在对传统人格权保护的基础上,有针对性地对网络时代公民隐私权做出了新规定,尤其是加大了对个人信息保护的力度。
人格权是民事主体所固有、由《民法典》直接赋予民事主体所享有的各种人身权利。《民法典》第九百九十条将“人格权定义”表述为“人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利”。
除上述规定外,自然人享有的基于人身自由、人格尊严而产生的其他人格权益都属于人格权的范畴。可见,人格权属于人身权利,而非财产权利。人格权是一种支配权,具有排他的效力;是一种绝对权,任何人都不得妨碍其行使;是一种专属权,即他人不得代为行使。
笔者就《民法典》第四编第六章“隐私权和个人信息保护”各条款,做如下分析和解读。
自然人的“隐私权”
《民法典》第一千零三十二条【隐私权】自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
解读:“隐私权”属于《民法典》人格权中的一项重要权利,任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权,包括不得偷窥、偷拍、窃听他人的隐私,不得侵犯骚扰他人的私人安宁,不得泄露他人的隐私信息,不得公开他人的隐私空间和活动等。
本条中,自然人隐私的定义主要有两层含义:一是自然人的私人生活安宁,二是不愿为他人知晓的私密空间、私密活动、私密信息。
1.关于私人生活的安宁权
自然人的私人生活安宁权,一直作为一个法学概念存在于民法理论的研究和讨论中。私人生活的安宁是自然人的一项特殊隐私权,《民法典》正式将自然人的“私人生活安宁权”纳入隐私权的范畴。按照此法条,如果遇到对你的私人生活安宁权构成侵害情形的,你可以视情节依法要求相应的损失赔偿。
2.自然人的“私事”严禁他人干扰
“不愿意他人知道或他人不便知道的私密空间、私密活动和私密信息”,是《民法典》自然人隐私权的核心内容,其中,私密空间、私密活动和私密信息的核心是“不公开性”和“私密性”。也就是说,自然人的隐私是与公共利益相对的一种私权,与公共利益和他人利益无关,也是自然人不愿意他人知道或他人不便知道的。
该法条中的“私密空间”除了物理空间,如个人的住所、宾馆临时居住的房间等,还包括个人的日记及虚拟空间。公民通信自由和通信秘密是《宪法》赋予公民的一项基本权利,对该权利的限制仅限于《宪法》明文规定的特殊情形,即因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关、检察机关依照法律规定的程序对通信进行检查。个人点对点的微信聊天记录清楚地反映了一个人的交流对象和内容,涉及大量个人隐私和秘密,是《宪法》确立的通信内容的重要组成部分,应属于《宪法》保护的通信秘密范畴。尽管依照《民事诉讼法》的规定,人民法院有权调查取证,但其前提条件是必须符合《宪法》的上述规定,不得侵犯公民的基本权利,不得与《宪法》的精神相悖。
对侵害自然人隐私权行为的规制
《民法典》第一千零三十三条【隐私权侵害行为】除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以电话、短信、即时通信工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视、窃听、公开他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)处理他人的私密信息;(六)以其他方式侵害他人的隐私权。
解读:《民法典》第一千零三十三条,以列举与兜底相结合的立法技术,列出任何组织或者个人不得实施六类侵害自然人隐私权的行为。前五项是列举条款,最后一项是兜底条款。
1.不得以电话、短信、即时通信工具、电子邮件、传单等方式侵扰他人的私人生活安宁。早在2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》就明确规定,任何组织或个人未经电子信息接收者同意或者请求,秘密mmjidi.com或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。这应该是我国首次以法律的形式禁止第三方侵扰他人。我国《消费者权益保护法》也有类似规定,即经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
2018年,工业和信息化部、最高人民法院、最高人民检察院、国家市场监管总局等13个部门联合发布《综合整治骚扰电话专项行动方案的通知》,要求严控骚扰电话传播渠道,全面提升技术防范能力,规范重点行业商业营销行为,依法惩处违法犯罪,健全法规制度保障。
目前,自然人的通信工具主要有两类:一是电子类的通信,如移动或固定电话的语音通信、手机短信(Short Message Service,SMS)、即时通信工具(Instant Messaging,IM)、电子邮件等;二是传统类的通信,如通过邮政或快递公司传送给具体自然人的私人信件等。《民法典》将“私人生活安宁”纳入自然人隐私权的范畴,并严禁以电话、短信、即时通信工具、电子邮件、传单等方式侵扰他人,对维护自然人的私人生活安宁具有重要意义。
2.不得进入、拍摄、窥视他人的住宅、宾馆房间等私密空间。公民的住宅不受侵犯是《宪法》赋予的权利,我国《宪法》第三十九条规定:“中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。”我国《刑法》专门规定了“非法侵入住宅罪”。《刑法》第二百四十五条规定:“非法搜查他人身体、住宅,或者非法侵入他人住宅的,处三年以下有期徒刑或者拘役。司法工作人员滥用职权,构成此罪的,从重处罚。”我国《治安管理处罚法》第四十条对“非法侵入他人住宅”的行为规定“处十日以上十五日以下拘留,并处五百元以上一千元以下罚款;情节较轻的,处五日以上十日以下拘留,并处二百元以上五百元以下罚款”。
公民住宅属于私密空间,在法律上有明确规定,但是把宾馆房间也纳入个人的私密空间加以保护,这是《民法典》对个人隐私权的升级保护。宾馆房间在承租期内属于客人的私密空间,未经允许,任何组织或个人,包括公安机关及其工作人员及宾馆的服务人员,均不得进入,否则将构成侵犯公民隐私权。《民法典》不仅严禁任何组织或者个人进入他人的住宅和宾馆房间,而且规定不得拍摄和窥视他人的住宅和宾馆房间等私密空间。
3.不得拍摄、窥视、窃听、公开他人的私密活动。“私密活动”是指自然人不愿为他人知晓,他人也不便知晓的个人隐秘活动。自然人的“私密活动”不仅存在于个人的私密空间,还存在于其他空间,包括公共场所都可能存在个人的私密活动。如辽宁省葫芦岛市警方曾侦破一起通过非法控制计算机信息系统,拍摄和窥视酒店客人私密活动的案件。该案嫌疑人是涉案酒店的电脑维护人员,利用技术和职务之便在酒店电脑内非法安装软件,而后被一名客人发现并报警。这是一起典型的拍摄、窥视、窃听和公开他人私密活动的案件。
4.不得拍摄、窥视他人身体的私密部位。私密部位属于个人不愿他人知道的且比较隐秘的部位。对自然人而言,脖子以下大腿以上的区间属于人身体的私密部位。侵害他人身体私密部位的事件比较常见的领域是医疗机构。在对患者进行身体检查时,医护人员不可避免地会接触患者的隐私部位,建议进一步制定相应的制度,规制对患者私密部位的拍摄和窥视。
我国《治安管理处罚法》规定:“偷窥、偷拍、窃听、散布他人隐私的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款。”《民法典》将拍摄、窥视他人身体的私密部位定性为侵犯个人隐私的行为,积极回应了公民特别是妇女和儿童对身体私密部位保护的迫切需求。
5.不得处理他人的私密信息。私密信息往往涉及自然人的尊严、名誉等基本人格利益,甚至涉及生命权。在网络信息技术飞速发展的时代,利用网络侵害人身权益造成损害的深度、广度和速度,与传统的侵权手段不可同日而语。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第一条明确规定,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,对利用网络侵害他人隐私权的行为作出更为具体的规定。
我国《网络安全法》《消费者权益保护法》等法律法规对处理个人信息的原则是“遵循合法、正当、必要原则”。个人信息中的私密信息属于隐私权的范畴,是自然人的绝对权,各类组织或个人均负有不刺探、不收集、不使用和不传播的义务。《民法典》人格权编突破以往立法对个人信息保护的规定,首次对处理他人的私密信息作出禁止性规定,即“任何组织或者个人不得处理他人的私密信息”。
关于个人信息的定义
《民法典》第一千零三十四条【个人信息的定义】自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
解读:《民法典》关于个人信息的定义与《网络安全法》确立的个人信息的定义基本相同,其基本要义是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。我国《网络安全法》第七十六条对“个人信息”的解释是:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
从以上对个人信息的定义可以看出,《民法典》与《网络安全法》对“识别自然人信息”的表述有所不同。《民法典》特别强调“识别特定自然人的各种信息”,《网络安全法》则突出“识别自然人个人身份的各种信息”。事实上,自然人的个人信息不完全是与自然人个人身份有关的各种信息,还包括与自然人身份无关的信息。《民法典》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,其保护的内容和范围比《网络安全法》更宽泛。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条指出,《刑法》第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等。
《民法典》第一千零三十四条中的个人信息定义在《网络安全法》列举的基础上,增加“电子邮箱、健康信息、行踪信息”。电子邮箱,英语表述为“Email”,实质上就是电子邮件的地址(E-mail address),E-mail与普通邮件的区别在于其“地址”是以电子方式存在的虚拟地址;健康信息涉及个人的健康状况、人体特征、遗传基因等;行踪信息反映特定自然人的行踪,比如个人交通出行、住宿信息、位置信息等,这些大多属于具有隐私性质的信息。
现行的对于个人信息保护的法律保护范围比较狭窄,没有突出有关个人隐私的内容。事实上,个人信息权具有人格权和财产权的双重属性,但个人隐私的信息权益只有人格权属性,因此我国个人信息保护的核心应当定位于对自然人隐私信息的保护。《民法典》突出对个人信息中“私密信息”的保护,并适用有关隐私权的规定。
然而,《民法典》毕竟不属于个人信息保护的专门法律,涉及个人非隐私和非私密信息的请求权、救济和保护机制以及流通交易,应当由个人信息保护的特别法作出规定。对此,《民法典》规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”这样就为以突出对自然人个人隐私信息保护的《个人信息保护法》留出立法空间。
处理个人信息的原则和条件
《民法典》第一千零三十五条【个人信息处理的原则和条件】处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
解读:目前,我国有关个人信息的保护,主要遵循“合法、正当、必要”原则。该原则最早以法律形式出现在2013年修订的《消费者权益保护法》第二十九条:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。”之后,2017年6月1日起施行的《网络安全法》第四十一条采纳这一原则:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
《民法典》第一千零三十五条有关个人信息保护的原则与《网络安全法》和《消费者权益保护法》基本一致,明确“应当遵循合法、正当、必要原则”。《网络安全法》和《消费者权益保护法》在“个人信息”之前使用两个动词“收集、使用”,即“收集、使用个人信息”,而《民法典》第一千零三十五条在“个人信息”之前只使用了一个动词“处理”,即“处理个人信息”。
其实,在《民法典(草案)》第三次审议稿中,仍然采用“收集、处理自然人个人信息”的表述。对此,笔者提出,“处理”是一个过程,本身包括“收集”,即收拢和聚合个人在电子信息系统载体上已经留下的个人信息(数据),同时涵盖“加工、传输、提供、公开”等内容。因此,《民法典》第一千零三十五条采纳此意见,删去“收集”,只保留“处理”。
《民法典》第一千零三十五条除规定“处理个人信息的,应当遵循合法、正当、必要原则”外,还在强调“不得过度处理”的基础上,附带四个法定条件:一是征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;二是公开处理信息的规则;三是明示处理信息的目的、方式和范围;四是不违反法律、行政法规的规定和双方的约定。
处理个人信息的免责事由
《民法典》第一千零三十六条【处理个人信息免责事由】处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
解读:《民法典》第一千零三十六条设定三种处理个人信息可以不承担民事责任的情形,其中第三种情形是“为维护公共利益或者该自然人合法权益,合理实施的其他行为”。整体上看,《民法典》设定的处理个人信息的免责事由是附条件的,且受到一定程度的限制。
1.在该自然人或者其监护人同意的范围内合理实施的行为。该法条“同意”的主体,既包括成年的自然人,又包括自然人中未成年人的监护人或患有精神病成年人的监护人。处理的个人信息仅限于自然人或其监护人同意的范围,不得过度处理。
2.合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。该法条有两层含义:一方面,行为人可以处理自然人自行公开的或者其他已经合法公开的信息,比如自然人向他人公开自己的姓名、电话号码、电子邮箱,但是处理这些信息时应当符合“合法、正当、必要”的原则;另一方面,即使是自然人自行公开的或者其他已经合法公开的信息,但是自然人明确拒绝或者处理该信息侵害其重大利益的,行为人也不得处理。
3.为维护公共利益或者该自然人合法权益,合理实施的其他行为。“公共利益”是与“私人利益”相对的一种利益,《民法典》统一采用“公共利益”的表述较为妥当。网络时代,应当最大限度地防止利用“公共利益”免责事由对自然人“隐私信息”的侵害。《民法典》关于“为了公共利益”的目的处理个人信息免责的问题,与“维护该自然人合法权益”之间设定了一个选择适用的情形,同时设定即使“为维护公共利益或者该自然人合法权益”,也必须以合理方式实施对个人信息的处理才可以免责。
在去年新冠肺炎疫情期间,我国为了疫情防控的需要,允许医疗防控机构进行范围最广和人数最多的个人信息处理。在人群的选择上,严格地限定为确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,这也是防止形成对特定地域人群的事实上的歧视。
作者简介:
王春晖 浙江大学教授、博导,南京邮电大学数字经济战略与法治研究中心主任、工业和信息化部信息通信经济专家委员会委员、中国贸促会联合国国际贸易法律委员会观察员专家团成员、中国通信学会网络空间战略与法律委员会副主任委员、中国法学会网络与信息法学研究会常务理事、上海法学会互联网司法研究会副会长、江苏省法学会大数据与人工智能法学研究会副会长、中国互联网协会应用创新工作委员会副主任委员。