耀时观察

耀时资讯丨​个人信息保护面临深刻变革

2020年5月31日江苏耀时律师事务所

个人信息保护面临深刻变革

法律顾问部


随着《民法典》的正式通过,其所带来的影响涉及到民事法律关系的方方面面,多个法律被《民法典》取而代之。本文主要从立法的变化,讨论《民法典》关于“隐私权和个人信息保护”对民事法律关系的深刻影响。

2020年5月22日由两会授权发布的关于《中华人民共和国民法典(草案)》的说明中,全国人大常委会副委员长王晨在关于《民法典》“隐私权和个人信息”保护角度,进行了如下说明:


“关于隐私权和个人信息保护。第四编第六章在现行有关法律规定的基础上,进一步强化对隐私权和个人信息的保护,并为下一步制定个人信息保护法留下空间:一是规定了隐私的定义,列明禁止侵害他人隐私权的具体行为(草案第一千零三十二条、第一千零三十三条)。

第一千零三十二条 【隐私权】自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。

隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

第一千零三十三条 【隐私权侵害行为】除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:

(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;

(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;

(三)拍摄、窥视、窃听、公开他人的私密活动;

(四)拍摄、窥视他人身体的私密部位;

(五)处理他人的私密信息;

(六)以其他方式侵害他人的隐私权。

二是界定了个人信息的定义,明确了处理个人信息应遵循的原则和条件(草案第一千零三十四条、第一千零三十五条)。

第一千零三十四条 【个人信息的定义】自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。

第一千零三十五条 【个人信息处理的原则和条件】处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:

(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;

(二)公开处理信息的规则;

(三)明示处理信息的目的、方式和范围;

(四)不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

三是构建自然人与信息处理者之间的基本权利义务框架,明确处理个人信息不承担责任的特定情形,合理平衡保护个人信息与维护公共利益之间的关系(草案第一千零三十六条至第一千零三十八条)。

第一千零三十六条 【处理个人信息免责事由】处理个人信息,有下列情形之一的,行为人不承担民事责任:

(一)在该自然人或者其监护人同意的范围内合理实施的行为;

(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;

(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。

第一千零三十七条 【个人信息主体的权利】自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。

自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。

第一千零三十八条 【信息处理者的信息安全保障义务】信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。

四是规定国家机关及其工作人员负有保护自然人的隐私和个人信息的义务(草案第一千零三十九条)。”

第一千零三十九条 【国家机关、承担行政职能的法定机构及其工作人员的保密义务】国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。


在《民法总则》《网络安全法》《消费者权益保护法》《电子商务法》等关于个人信息保护内容的基础上,《民法典》中的隐私权及个人信息保护条款明确增加了新的原则,主要包括:区分隐私权保护与个人信息保护,以及在“同意”之外增加了处理个人信息的其他合法性基础。这些变化固然重要,但更重要的是《民法典》的立法层级与适用范围给个人信息保护所带来的变革。

在2017年生效的《民法总则》中,涉及个人信息保护只有一条原则性的规定,即《民法总则》第一百一十一条,“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”

《网络安全法》作为近年来主要被援引的个人信息保护相关的法律,其立法本意旨在“保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”,而非针对个人信息保护,且缺少个人信息保护的具体细则。而且,《网络安全法》只关注网络空间内个人信息的保护,对线下个人信息的处理并不必然完全适用。此外,虽然《消费者权益保护法》与《电子商务法》中关于个人信息保护均有一些规定,但这些法律的适用范围着实有限。比如《消费者权益保护法》仅能关注消费者个人信息保护,对非消费者的个人信息无法适用;《电子商务法》则只关注电子商务行为,更加聚焦。

针对个人信息保护的具体问题,在实践中更为普遍参考适用的是《信息安全技术 个人信息安全规范》(GB/T 35273-2017),这是目前国内关于个人信息保护最为详尽的指引,为大量检查、执法活动所参照。然而,这份规范的层级显然过低,作为一份推荐性的国家标准,其并不具有强制效力。除此之外,各部委关于个人信息保护的部门规章,虽然具有强制效力,但只是运用于行政执法与行政诉讼,在民事诉讼中难以援引。

因此,在《个人信息保护法》作为全面保护个人信息的法律出台前,《民法典》中涉及隐私权与个人信息保护的条款必然具有深远影响。中华人民共和国境内所有民事关系都需要遵守《民法典》的规定,其中涉及的隐私权和个人信息保护亦需要遵守相应的规定。这意味着各方主体需要在全领域开展个人信息保护工作。例如就劳动者个人信息的保护,《民法典》生效后,无论单位是否通过网络收集个人信息,都需要遵守《民法典》关于个人信息保护的规定,即所有用人单位收集、使用劳动者个人信息的行为,都需要同时满足:

(1)征得同意;

(2)公开规则;

(3)明示收集、处理的目的、方式、和范围;以及

(4)收集、处理个人信息不违反法律法规和双方约定。

以上原则看似简单易懂,但实践中,则需要公司开展完善的合规工作,增加个人信息处理的透明度,更为重要的是,持续保障劳动者个人信息并不是一件容易的工作。劳动者将有权向公司要求查阅、抄录、复制个人信息,而个人信息的范围又极为宽泛,包括考勤记录都可以被认为是个人信息。这样一来,会给用人单位与劳动者的劳动争议带来新的元素。假设这样一个场景,如用人单位收集、处理个人信息未经劳动者个人同意(“同意”需要具体、明确)或没有其他合法性基础,那么劳动者可以用人单位“违反法律、行政法规的规定或双方的约定收集、处理其个人信息”为由,要求用人单位删除包含其个人信息的考勤记录,用人单位就会面临考勤记录举证上的困难,进而影响劳动纠纷的处理。劳动仲裁庭与法庭也需要考虑个人信息保护与劳动纠纷的复杂关系,裁判结果将可能并不仅受劳动法律关系影响。

以上只是《民法典》对个人信息保护影响的一个简单示例,除了劳动关系,学生在校学习会是一个更加复杂、敏感的问题,因为可能涉及未成年人、甚至是儿童个人信息保护的问题。这些常见的场景都有可能因《民法典》中个人信息保护的规定带来影响,并需要所有领域严肃对待个人信息保护工作–这恐怕才是《民法典》个人信息保护条款的真正影响力。


本文仅为一般性信息分享,不构成任何法律意见或建议。如您需要针对具体事项的法律意见,请与耀时律师联系。

就本文议题需要专业意见?

耀时律师提供定制化、私密性、可落地的法律服务。

预约咨询