个人信息保护是近年来备受关注的话题,也是本次《民法典》编纂过程中的重要问题之一。《民法典》对个人信息基本上建立了“全周期”的保护模块与链条,包括第一百一十一条、第一千零三十二条、第一千零三十三条、第一千一百三十四条至一千一百三十九条,共同构成了更全面的保护体系。
(一)明确个人信息与隐私权定义范畴。《民法典》首次明确了隐私的定义,提出“私密信息”也是“隐私”的组成部分规制了侵犯自然人隐私权的具体行为,包括以“短信、即时通讯工具、电子邮箱等方式侵扰他人私人生活安宁”“处理他人的私密信息”等不得实施的行为界定了个人信息的定义和范围,较《网络安全法》的规定,增加了“电子邮箱”“健康信息”“行踪信息”的个人信息范畴。有学者认为,“《民法典》第四编专设第六章对隐私权和个人信息保护作出专门规定,对个人信息的定义、个人信息处理的原则和条件、处理个人信息免责事由、个人信息主体的权利等重要问题做出了明确规定,明确了自然人对其个人信息享有的权益,区分了隐私权与个人信息之间的差异,对‘隐私权’的界定更为科学合理”。
(二)规定处理个人信息应遵循的原则和条件。《民法典》规定了个人信息主体的查阅权、复制权、更正权、删除权以及信息处理者的信息安全保障义务等等,同时也强化了未成年人个人信息的保护,明确了公权力机关(如网信办)及其工作人员的保密义务,构筑了个人信息保障体系,强化对个人信息处理环节的规制,为自然人、信息处理者、公权力机关在网络空间规范使用管理个人信息提供了法律遵循。
(三)明确了合理使用个人信息的原则。如何合理使用个人信息在近年来实践中存在较多争议。《民法典》对个人信息的收集与处理重申了合法、正当、必要原则以及告知同意原则,同时明确了公开处理以及明示处理信息的目的、方式和范围等内容。有学者认为,“对于个人信息合理使用的规范层次,是通过总则编的抽象规范、人格权编的共通性规范以及针对个人信息权益限制的专门规范等三个层次的规范共同构成”。也就是说合理使用个人信息不光要遵循针对个人信息保护具体的法条,还需要遵循《民法典》中“总则篇”“人格权编”中相关抽象规范和共同性规范。
(四)与《网络安全法》等涉网法律法规形成有效衔接。《网络安全法》第四章网络信息安全对个人信息保护进行了一系列的规定,初步形成了我国网络用户个人信息的保护链条,而《民法典》进一步明确了个人信息保护的范畴和原则,与《网络安全法》相得益彰。有学者认为,“《民法典》结合网络安全法等相关法律,规定了处理个人信息民事责任免责事由,促使民事与行政法律规范之间形成了有效衔接”。
(五)保护个人信息需把握“两个平衡”。一是把握信息化发展和个人信息保护的平衡。《民法典》相关法条体现了个人信息兼具保护与利用的双重属性,特别是其规定处理个人信息免责事由,一方面保护自然人对其个人信息所享有的民事权益,另一方面也能与数字经济和信息化发展中大数据、人工智能开发利用对个人信息合理使用的需求相契合。但是由于法条仅为原则性规定,诸如告知同意的具体方式内容,网络运营者隐私保护政策等并未明确,如何对个人信息使用进行合理限制就需要通过实践进一步细化。作为网络空间的管理部门,繁荣网络文化和维护网络传播秩序均需兼顾,这就要求行政管理执法者在充分理解法律法规、国家政策的基础上把握好信息化发展和个人信息保护的平衡。二是把握公共网络安全和个人信息保护的平衡。习近平总书记指出,把《民法典》作为行政决策、行政管理、行政监督的重要标尺,不得违背法律法规随意作出减损公民、法人和其他组织合法权益或增加其义务的决定。近年来世界各国先后出台了相关法令,旨在加强网络服务提供商与政府间在网络安全方面的信息共享,这就涉及个人信息泄露风险,因此当以美国《网络安全信息共享法案》为代表的相关法案出台时,曾引起大型互联网企业和用户的强烈反对。《民法典》没有涉及对公共网络安全的具体内容,而《网络安全法》中规定了网络运营者和有关部门之间的网络安全信息共享及合作,但没有明确细节而缺乏可操作性。作为秩序和自由这对矛盾的延伸,公共网络安全监管与个人信息保护之间,在某种程度上存在着天然的博弈关系,兼顾双方利益,把握平衡至关重要。
