欢迎进菲力克(北京)国际文化官方网站
2019年12月28日 10:38:23
当前位置:首页 >> >
宋才发发表:《<民法典>保护个人信息安全的法治保障》论文
发布时间:2021-11-29 15:40:38
来源:中法新闻法制网
       本网北京讯(祖国荣) 个人信息权属于人格权,自然人的人身自由、人格尊严受法律保护。个人信息保护是一项独特的民事法律制度,个人信息保护在《民法总则》等法律中都进行了规制,《民法典》是保护公民隐私权、个人信息权最权威的法律,个人信息保护系统化是维护人格权的需要。《民法典》与《个人信息保护法》这两部法律,都是保护公民个人信息安全的重要法律,但是二者在法律规制上既有联系又有区别。《民法典》既对个人信息利用做出了民事法律规制,也对个人信息保护做出了民事法律规制。《民法典》保护个人信息安全的基本路径是:从人格权保护角度完善对人脸识别的法律规制,从维护个人信息请求权出发完善司法救济制度,为维护个人信息安全完善个人信息保护法律制度。由中共河北省委政法委员会主管、河北省政法职业学院、河北省法学会主办的中国中文核心期刊、中国人文社会科学核心期刊、CSSCI扩展版来源期刊《河北法学》杂志,在2021年第12期首篇“专论”栏目,隆重推出宋才发《<民法典>保护个人信息安全的法治保障》论文。《河北法学》杂志主编冯兆蕙,副主编苏丽。
 
 宋才发教授系中央民族大学法学院首任院长、二级教授,湖北省有突出贡献专家、国务院政府特殊津贴专家、国家民委首届有突出贡献专家,广西民族大学特聘“相思湖讲席教授”,贵州民族大学特聘教授、民族法学学科团队领衔人,博士生导师。
 
《民法典》保护个人信息安全的法治保障
宋才发
(广西民族大学,广西 南宁 530006)
 
有关“个人信息权属于人格权”的争论没有消停。笔者认为争论这个问题的焦点抑或纠结点,不在于个人信息究竟是不是“人格权”?而在于它到底是属于“一般人格权”?还是属于“具体人格权”?《中华人民共和国民法典》(以下简称《民法典》)第一百〇九条规定:“自然人的人身自由、人格尊严受法律保护。” 第一百一十条规定:“自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。”很显然,《民法典》第一百〇九条规定的是“一般人格权”,而第一百一十条规定的则是“具体人格权”。这样一来,《民法典》实质上就对“自然人”赋予了两种“人格权”。如果认定“个人信息”属于“人格权”,则必然属于上述两种“人格权”当中的一种,二者必居其一。然而《民法典》第一百一十一条接着又规定:“自然人的个人信息受法律保护。”这就表明受法律保护的“自然人”的个人信息,实质上并不属于上述两种“人格权”中的任何一种。《民法典》是以人格自由为最高原则形成的私法制度,作为私法基础法律的《民法典》,在国家治理体系和治理能力现代化建设中发挥着无与伦比的作用。因此,对《民法典》有关个人信息保护规定的准确把握,不仅涉及到立法自身的科学性、系统性和严密性,而且事关《民法典》和《个人信息保护法》在未来的普遍适用。
一、保护个人信息安全的基本理论及规范诠释
个人信息保护是一项独特的民事法律制度。“人格权”历来是民事权利体系中当仁不让的一项权利,“人格权”是“个人信息保护”极为重要的一项权利。其实在我国最早出现的与“个人信息保护”相关的概念中,既不是“个人信息”,也不是“隐私”,而是“阴私”。譬如,1956年颁行的《全国人大常委会关于不公开进行审理的案件的决定》指出:“人民法院审理有关国家机密的案件,有关当事人阴私的案件和未满18周岁少年人犯罪的案件,可以不公开进行。”一直到改革开放初期1979年制定的《刑事诉讼法》第一百一十一条和《人民法院组织法》第七条的时候,都仍然在继续使用“阴私”的既定提法。其实,最高人民法院对“阴私”受案范围的确认,无异于间接地界定“阴私”含义。到20世纪90年代初期,国家一切立法文件和政府相关文件,普遍采用“隐私”概念代替原来的“阴私”概念。如1982年《民事诉讼法(试行)》、1996年《刑事诉讼法》,都明确地把“阴私”改称为“隐私”。《民法典》第一千零三十二条规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。”自此“隐私权”被定义为一种与世隔绝和对抗的个人权利。与此密切相关的“信息隐私权”,法律规范的基础以个人为本位,特定个人依法拥有特定隐私权。在传统民事话语体系中,界定个人信息权利,通常是把个人信息保护纳入私法人格权范畴。进入21世纪后,从与信息化有关的IC卡管理开始,逐渐把个人信息保护纳入法治化轨道。2012年全国人大常委会制定《关于加强网络信息保护的决定》,自此个人信息保护进入国家立法视野,个人信息权的保护进入法治化道路。个人信息保护的客体是个人信息,其范围囊括已经识别的、可识别的特定个人信息。个人信息保护与社会正常采集个人信息之间往往是矛盾的,如果要求所有采集和处理个人信息都“必须告知”“知情同意”,则诸如社会治安管理、道路交通领域便无法正常运行。因此,“界定保护客体有两个重要条件,一是数据控制者,二是数据处理活动,保护的是数据控制者在数据处理活动中涉及的个人信息。不属于数据控制者的数据处理活动中的个人信息,不属于保护客体。”在对待个人信息保护的问题上,任何组织或者个人都是义务主体,即都不得侵害他人的“人格权”,不得传播他人的“隐私”,法律从来就没有规定“排除”或“克减适用”的例外情形。然而“个人信息权作为信息主体对抗信息控制者处理行为的新型公法权利,必须持有法律依据,并由法律对具体权项进行列明。这样一来,信息主体的权利就转变为信息控制者的相应法律义务,违犯法律义务就等于是对信息主体权利的侵犯,由此实现信息主体控制自己信息不被非法处理的权利保护目标。违反公法义务会导致公法上的法律责任,同时导致权利人损害的,当然也要承担民事侵权责任。”信息主体不仅可以对抗平等民事主体,而且还可以对抗公权力部门,即使国家机关同样需要尊重和保护个人的信息控制权。《刑法修正案(九)》规定了“侵害公民信息罪”,凡属于构成人格侵权民事责任的,侵害人必须承担侵权责任赔偿。当社会进入大数据时代后,必须依法确立信息主体的个人信息控制权,严明信息主体控制自己信息不被信息控制者违法处理或滥用的权利,应当成为个人信息保护制度运行的基石。
个人信息保护在《民法总则》等法律中的规制。尽管《民法总则》的命运与《民法通则》的命运一样,在2021年1月1日《民法典》实施后完成了历史使命。但是《民法总则》在一个时期内,对于个人信息保护的作用和价值是不可低估的。即使它已经不再作为一部单独的法律而存在,然而它却成为《民法典》的“总则编”。1987年1月1日实施的《民法通则》,之所以称之为“通则”,就因为它在规定“一般性民事规则”的同时,还规定了一些属于“特殊范畴民事规则”。譬如,合同法、物权法等民法分则的条款。2017年10月1日开始实施《民法总则》,但并没有因之而废止《民法通则》,在我国法律史上出现了一个《民法总则》与《民法通则》并行不悖的短暂时期。《民法总则》具有极为重要的法律地位,它既是民法的基本原则,又是《民法典》的“总纲”,《民法总则》规定了民法的基本制度和基本方法。《民法典》的实施,使得《民法总则》成为《民法典》的“总则编”,成为规定民事活动“基本原则”和“一般规定”的统领者,《民法通则》以及《合同法》《物权法》等法律即行废止。《民法总则》第一百一十一条(《民法典》第五章“民事权利”,同样是第一百一十一条)规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”2021年11月1日起实施的《个人信息保护法》,也对个人信息的保护与处理,做出了如下八项规制:(1)合理正当诚信原则;(2)处理必要原则;(3)目的特定原则;(4)知情同意原则;(5)个体参与原则;(6)保证质量原则;(7)公开透明原则;(8)安全保障原则。
个人信息保护系统化是维护人格权的需要。从权利分类上看,人格权是一种支配权和绝对权,即是说它具有专属性和排他性的效力。从权利属性上看,人格权不是财产权利,而是特定的人身权利。当然人身权利本身就涵盖有人格权益,也必然带来抑或衍生一系列相关的财产权利。《民法典》第九百九十条对“人格权”做出定义:“人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。”除了上述规定外,自然人还享有基于人身自由、人格尊严产生的其他人格权益。从严格的意义上讲,“个人信息利益”是一种独立人格利益,是不能被其他人格利益所吸收和涵盖的。如个人信息与姓名、肖像、名誉、信用、荣誉和隐私等具体人格利益息息相关,但彼此之间并不雷同。就目前法律规制看,主要是依据《民法典》和《个人信息保护法》两部法律,将个人信息保护的相关事项,予以系统化、规范化和法治化的。把个人信息保护系统化、规范化和法治化的根本目的,是为了维护个人隐私权、信息主体人格权。《民法总则》第一百一十条,就赋予个人信息的人格利益。《民法典》从维护人格权需要出发,延续了《民法总则》的立法思路,在其“人格权编”,进一步丰富和完善了它的内涵。《民法典》规定自然人对自己的个人信息,依法享有三项重要权益:一是除了自然人抑或其监护人同意、合理处置公开信息抑或维护公共利益和自然人合法利益的免责事由外,不得以任何手段和方式处理个人信息。二是自然人有权依法要求信息处理者,提供个人信息的查阅、复制、更正、删除的功能抑或相关服务。三是规定信息处理者不得非法抑或违规泄露、篡改自然人的信息,未经个人信息主体抑或当事人同意不得向他人提供信息服务;为确保个人信息安全,在个人信息发生泄露后,应当在第一时间告知当事人和主管部门。一旦出现个人信息泄露事件后“不告知”等情况,其当事人和用户可以依据“侵权责任编”的规定,要求网站承担侵权责任并赔偿损失。《个人信息保护法》是继《民法典》之后,我国保护公民个人信息的第一部专门法。《个人信息保护法》对个人信息的处理活动和处理方式等,进行了全方位的法律规制和规范。譬如,《个人信息保护法》在《民法典》列举“个人信息处理活动类型”的基础上,增设了“删除”个人信息处理类型。同时遵循以“告知同意”为核心的个人信息处理原则,用多个法律条文对“告知同意”原则做出了较为详细的规定。这也就是说,只要是属于实施个人信息处理活动的,都必须遵照执行《个人信息保护法》的规定,除非法律另有规定。凡属于没有合法根据的个人信息处理活动,都属于侵害个人信息权益的不法行为。譬如,《个人信息保护法》第五十八条就明确规定,凡提供重要互联网平台服务、用户量巨大、业务类型复杂的个人信息处理者,依法负有特殊的义务。
 
二、《民法典》保护个人信息安全的法律规定
《民法典》与《个人信息保护法》的联系与区别。“个人信息处理”是个外来词汇,又称之为“个人数据处理”,源于欧盟指令和相关立法。在《民法典》实施前没有使用这个概念。《民法典》第一千零三十五条规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”《民法典》使用这个概念,是为了体现在立法上与国际通行的做法保持一致。作为后法的《个人信息保护法》,是公民个人信息保护领域的基本法和专门法,它以规范个人信息处理活动为宗旨,突出体现个人信息权益保护与个人信息合理利用之间的关系协调。但是该法事实上解决不了层出不穷的信息纠纷问题,更无法取代《民法典》有关个人信息保护的法律规定。从《个人信息保护法》与《民法典》联系视角看,《个人信息保护法》与《民法典》规定的定义基本相同,其核心要义是以电子抑或其他方式记录的、能够单独抑或与其他信息结合识别特定自然人的各种信息。再从《个人信息保护法》与《民法典》区别视角看,这两部法律对“识别自然人信息”的表述各有侧重和不同。譬如,《民法典》强调“识别特定自然人的各种信息”;而《个人信息保护法》强调“识别自然人个人身份的各种信息”。也就是说,自然人的个人信息并不一定等同于自然人个人身份有关的各种信息,事实上它还包括“与自然人身份无关的信息”。《民法典》把个人信息主体划分为“个人信息主体”和“信息处理主体”两大类,它们是共享数据利益的不同主体。《民法典》第一千零三十七条规定了个人信息主体的权利,第一千零三十八条则相应的规定了信息处理主体所应承担的法律义务。
民法典对个人信息利用的民事法律规制。在当下的大数据时代,一方面,个人信息采集与利用已成为非常重要的、须臾不可缺少的社会资源。另一方面,大数据环境带来的不再只是个人信息数量上的增加,而是维度上的增加。与此紧密相关的是个人信息利用与保护的矛盾也与日俱增,个人信息利用中的风险也越来越大。这里所论及的“个人信息利用”,既包括按照个人信息收集目的和需要使用,还包括对信息资料的二次利用乃至多次运用。这里所论及的“个人信息利用风险”,主要反应为信息泄露风险、误用和滥用风险,以及入侵和篡改等风险。个人的重要信息数据一旦发生泄露事故,就有可能造成信息主体人身财产安全威胁。在大数据时代,个人信息被合理利用是一件非常正常的事情,但需要兼顾到信息主体的切身利益,找到信息利用与保护两者之间的平衡点。譬如,应当允许和支持政府机关合理利用个人信息,政府及其工作人员在执行公务和履行公共事务的时候,合理地掌握与利用个人信息,有益于做出科学合理的行政决策乃至实施方案,最终有利于实现国家治理能力现代化。个人信息利用与个人信息处理两者之间是紧密相联的,就如同一枚硬币的正反两个方面。因而《民法典》和《个人信息保护法》,对个人信息利用做出民事法律规制是十分必要的。必须把个人信息处理全方位纳入法律规制,从内外两个方面,以强制性规范来构建个人信息处理规则。从内部来看,法律要求信息处理者建立健全相应的管理制度和操作规程,制定个人信息安全事件的应急预案,强化网络平台对于利用其提供的网络服务,处理个人信息的处理者进行必要的监管义务。从外部来看,法律在区分不同的个人信息处理行为、不同种类的个人信息、以及不同的个人信息处理者的基础上,规定了信息处理者在各类个人信息处理行为中所应担负的义务,并且以法律责任保障其履行。调整平等主体之间人身财产关系的民法,实质上无法对国家机关处理个人信息活动进行全方位的法制规范,需要借助于个人信息保护的法律规定予以调整。《民法典》第一千零三十九条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”需要指出的是自然人之间因个人、家庭事务对个人信息的处理,不属于《个人信息保护法》调整的范围。这是因为个人抑或家庭处理个人信息的行为,通常是为了维持彼此之间正常的交往关系所必需的,并不涉及侵害个人信息权益的问题。《民法典》第一千零三十五条第二款规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”即是说,无论什么人抑或什么组织、无论采取什么方式和方法,也无论是通过自动方式还是非自动方式处理个人信息,作为“个人信息处理”的一种手段,属于纯粹的“个人信息处理”行为。
民法典对个人信息保护的民事法律规制。个人数据信息的社会价值在于,通过必要而合理的数据采集,形成供国家机关和社会公益性使用的“数据库”,从而具备了单个数据所不具备分析的价值。《民法典》对大数据时代个人信息的运用和保护,从个人信息定义、个人信息处理原则诸多方面做出积极而客观的回应,用了六个法条对个人信息概念、法律保护以及处理者的安全保障义务等分别做出了规定。《民法典》认为个人的隐私是伴随个人私生活体现出来的,个人信息必须依附而存在。《民法典》还明确规定把电子邮件中涉及个人的健康信息、个人的行踪信息等视为“个人信息”;把个人对自身信息的管理能力,也称之为“个人信息”等。即使这些信息是由当事人自己公布之后的“公开信息”,法律同样规定属于个人信息保护范围,凡未获得当事人的同意抑或许可,不得违法收集、储存乃至使用这些信息。《民法典》在原来《民法通则》的基础上,继续沿用了对自然人个人信息予以保护的原则性规定,有利于自然人依法保护“个人隐私”和“个人信息”。尤其是在《民法典》“第四编:人格权”编的第六章“隐私权和个人信息保护”中,独立设置了对个人隐私权的保护和对个人信息的保护。其中,第一千零三十二条规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”在第一千零三十四条规定:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”《民法典》第一千零三十九条对国家机关和执行公务工作人员做出了强制性的规制。规定“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”这条规定实质上是对信息处理者处理个人信息,从立法上提出了更加明确的、具有强制性的法律约束,扩展了对个人信息保护的广度、力度和深度。应当指出,包括《民法典》在内的有关自然人的隐私和个人信息保护的立法,法律条款的设立仍然很不完善、很不具体、很不系统,有些“原则性规定”相当宽泛、太过原则,真正实施和执行起来难度非常大。同时也意味着《民法典》预留了一定空间,为其后续立法抑或制定相关配套法规确立了立法方向。
 
三、民法典保护个人信息安全的基本路径
从人格权保护角度完善对人脸识别的法律规制。在我国“人脸识别”,俗称“刷脸”。以《居民身份证法》为代表的国家认证制度,规定居民身份证的“号码是每个公民唯一的、终身不变的身份代码,由公安机关按照公民身份号码国家标准编制。”在现代科学技术迅猛发展的今天,人脸成了社会生活中须臾不可离开的通用身份标识符。也正是从这个意义上,“刷脸”获得了新的价值。“刷脸是一种身份法律制度,起到身份认证功能,能够开启一个通向赛博空间的账户,从而延续了人脸作为通用标识符号的社会功能。”通过“刷脸技术”的大规模使用所获得的“人脸信息”,不仅涉及有关自然人肖像、隐私、监视的传统观念与制度,而且涉及国家认证能力、安全预防问题,还涉及刷脸背后相关场景下法益的保护和平衡。因而《民法典》第一千零三十四条明确规定,“人脸信息”属于“生物识别信息”。这条规定实质上揭示了“人脸信息”的性质,属于个人“敏感信息”中的“生物识别信息”,并且确立了对于“人脸信息”的保护路径。《民法典》认定的自然人的“身体权”,包含身体完整、身体自由、身体信息和身体尊严四个部分。认为人脸是人的身体的一部分,“人脸识别权”是《民法典》“身体权”的自然外延,“身体权”是公民的人格权。《民法典》还从“人格权”保护的视角,完善了对人脸识别的法律规制。譬如,《民法典》第九百九十条规定:“人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。”第一千零三条规定:“自然人享有身体权。自然人的身体完整和行动自由受法律保护。任何组织或者个人不得侵害他人的身体权。”在现代科学技术快速发展的现时代,通过在公共场所安装图像采集系统和个人身份识别设备系统,便可以随时随地对自然人的脸部特征、指纹信息等生物识别信息,以及对自然人行踪轨迹等其他个人信息进行有目的的处理。近年来各地不断发生人脸识别、身体生物组织被滥用乃至贩卖的恶劣情形,因之而导致社会公众的高度关注甚至不满情绪。为回应社会公众的利益诉求,《民法典》第一千零六条、第一千零七条规定:“完全民事行为能力人有权依法自主决定无偿捐献其人体细胞、人体组织、人体器官、遗体。任何组织或者个人不得强迫、欺骗、利诱其捐献。”“禁止以任何形式买卖人体细胞、人体组织、人体器官、遗体。”《个人信息保护法》第二十六条对个人图像采集和个人身份识别也做出了明确的规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”这即是说,只有在纯粹目的是为了“维护公共安全”“符合国家有关规定”“设置了显著提示”三个条件的情形下,才允许抑或可以在公共场所安装图像采集、以人脸识别为标志的个人身份识别设备系统。《个人信息保护法》第六十二条规定由国家网信部门依法制定人脸识别等技术应用的规则和标准。2021年7月28日最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,这既是当下维护自然人“人格权益”,保护人民群众“人脸”安全的极为重要的规范性文件,也是当下最高人民法院指导基层法院正确审理相关案件的统一裁判标准,为维护法律统一和正确实施提供了依据。
从维护个人信息请求权出发完善司法救济制度。保护个人信息的目的在于实现信息的合理实践,实现信息的合理流通。如果把新时代的个人信息权利保护制度,无限制地适用于“侵权隐私”抑或“执法隐私”,势必造成法律适用上的混淆。即是说,个人信息权利救济只能是用于特定的信息关系,它不能像隐私权保护那样,可以针对“不待定”的第三人。个人信息权利保护中的相关权利,既不是传统民法权利,也不是传统宪法权利,它们属于特定信息关系中的新型权利。法律之所以对个人信息权利予以限定性的保护,就因为进入信息化时代之后,个人信息具有很强的流通性。如果对个人信息权利不给予限定性的规定,必将导致人们日常交往活动失效、社会运转失灵。尤其是“对于政府在执法或搜查过程中所合法获得的个人信息,个人一般不具有知情选择权、访问权、纠正权、删除权等权利。”“如果个人对于自身信息具有访问权、纠正权、删除权等权利,那么个人就能利用这些权利破坏执法所需要的信息与证据。无论是何种权利,都将从根本上破坏国家的执法能力。”由于信息主体与信息控制者之间的诸多不对称,个人信息被收集起来之后,信息主体既很难知晓自己的个人信息将被如何处理?也无法证明泄露自己个人信息的控制着是谁?以至于受害者事实上无法获得司法救济。为了有效地保护自然人的个人信息权益,《民法典》第一千零五条规定了特定范围的身体救助请求权,这既是对负有法定救助义务的特定主体主张的身体救助请求权,也是公民身体权的一项派生权利。《民法典》第一百一十一条、第一千〇三十四条至一千〇三十九条,特别规定了个人信息保护的基本制度;《个人信息保护法》设立专章对个人权利救济做出详细规定。譬如,第四章规定凡属下列权益受到制约和侵害的,可以向人民法院提起诉讼并请求提供司法救济:信息主体对信息处理的知情权与决定权、查阅复制个人信息权、对个人信息的解释权、删除个人信息权、符合条件的个人信息携带权,以及对不完整信息的补充权、对不正确信息的纠正权等,用以防范个人信息的收集与处理给受害人带来的现代风险。对于去世者近亲属自身正当合法的权益,除了死者生前另有安排之外,法律赋予其近亲属明确的处理权和利益保护权。《个人信息保护法》第六十四条和第六十六条,对违反法律规定的个人信息处理行为,也做出了严格的法律责任和惩处罚款规定,涉嫌犯罪的必须及时移送公安机关依法处理。《个人信息保护法》第六十九条规定了侵害个人信息权益的“过错推定责任”。从维护个人信息请求权的视角看,尽管法官可以通过类推适用《民法典》第一千一百七十条的法律规定,但是这样的类推适用论证思路较为复杂,法官一旦采用类推适用的法律解释方式判案,极有可能带来额外的“错案”风险。因而“有必要在数个信息控制者之间创设一个连带责任,在信息主体无法证明究竟是谁造成了个人信息的泄露而引发损害时,由数个信息控制者共同对信息主体承担连带责任。通过这样的责任,也有助于信息控制者维持较高的信息安全技术措施,记录个人信息的处理过程。”必须明确这样一个问题,《民法典》只是对个人信息保护的原则性规定。从法的性质上看,《民法典》是一部权利法,并不是一部救济法。
为维护个人信息安全完善个人信息保护法律制度。《民法典》一千〇三十四条把个人信息视为应予保护的“民事权利”,没有把个人信息界定为“个人信息权”。明确规定:“自然人的个人信息受法律保护。……个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”这就意味着任何组织、任何人不得随意侵犯它,否则就应当认定为侵害个人信息权益的不法行为。《个人信息保护法》对国家机关处理个人信息做出具体规定,强化了国家机关对于个人信息的保护,表明即使国家机关履行法定职责,也必须遵守个人信息处理规则。《个人信息保护法》第三十四条规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”为了维护个人信息安全,未来需要进一步细化个人信息保护法律制度。譬如,公民住宅属于公民个人和家庭的私密空间,任何组织和人在没有获得同意的情况下,不得窥测、进入公民住宅,更不得随意搜查和拍摄,尤其是不得拍摄、窥视他人身体的私密部位。这里所说的“私密部位”,是指不愿让他人看到和知道的比较隐秘的部位。通常来说,脖子以下到大腿以上的区间,就属于人身体的私密部位。《民法典》把窥视、拍摄他人身体私密部位,定性为“侵犯个人隐私行为”。从完善法律法规体系的视角看,建议制定有关保护妇女和儿童患者隐私部位的制度,规制医护人员对患者私密部位的窥视和拍摄行为。《民法典》还把公民在宾馆临时开的房间,也纳入个人的私密空间予以保护。认为宾馆开房间在承租期内属于客人的私密空间,未经允许任何人不得入内,否则就是侵犯公民的隐私权。自然人的隐私活动不仅存在于个人的“私密空间”,而且存在于“无形空间”,如电子邮箱、“微信群”等等,甚至在公共场所都有可能存在个人的“私密活动”,如饭店、公园、银行、电影院、车站等公共场所,随时都有可能发生不能被他人知晓的私密活动,任何人不得非法侵入、窥视、窃听、偷拍和公开个人的“私密活动”。这里的“私密活动”,是指自然人不愿意让他人知晓的个人隐私活动。个人的“隐私信息”又称“私密信息”,它与“私密活动”密切相关。《民法典》没有使用国外“敏感信息”与“非敏感信息”的划分方式予以划分,而是把个人信息称之为“私密信息”与“非私密信息”。确认当事人某项行为信息是否属于私密信息,不应当从权利人主观认识出发去界定,而应当依据法律法规的规定加以判断。在法律法规没有规定的时候,应当综合考虑如下两个因素,以权衡认定“某一信息是否属于私密信息:(1)该信息对于维护自然人的人身财产权益、人格尊严和人格自由的重要程度,越重要的,越可能属于私密信息;(2)该信息对于维护社会正常交往、信息自由的重要程度如何,越重要的,越不属于私密信息。”我国《刑法》规定了“非法侵入罪”,第二百四十五条规定:“非法搜查他人身体、住宅,或者非法侵入他人住宅的,处三年以下有期徒刑或者拘役。司法工作人员滥用职权,犯前款罪的,从重处罚。”                        载《河北法学》2021年第12期