【数据法学】李汶龙:民法典中的数据保护问题——评议隐私权和个人信息保护章节及修改意见(二)
B D A I L C
欢 迎 关 注
Monet
民法典中的数据保护问题——
评议隐私权和个人信息保护章节及修改意见
文 / 爱丁堡大学法学院讲师 信息科技法博士 李汶龙
二、条文
(一)第1032条(之一) 隐私的概念
第1032条对隐私的概念进行界定,明显沿袭上世纪对隐私的传统认知,未能涵盖数字时代隐私理念的变迁和演进。
第1032条 隐私权、隐私的概念
自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
这一概念描述了隐私权的三个面向——空间、活动和信息——而忽略了其他面向,诸如身体、通讯(在1034条提及“私人安宁”的概念,并未明显体现在这一概念中)、决意、名誉,以及近年来在社会、社群层面上发展出的隐私概念。对隐私不同面向的讨论和系统化,可以参见荷兰Tilburg大学教授Bert-Jaap Koops团队开展的研究。此外,通过私密性或者私有空间来定义隐私的做法已经与数字时代脱节。随着个人生活不同面向都被数据化,所谓私有空间已经不断在瓦解,隐私的保护不应再建立公私二分法之上。近年来,西方学界对于公共空间的隐私保护已有诸多论述,值得参考。
考虑到科技激速更迭,隐私侵扰的方式也变幻莫测,法律对于隐私的认知应与时俱进。理论上,法典无需对这些流变的概念进行定义,可让其在司法实践中逐渐演进。然而我国不是案例法系,成文判决推理甚少,规则的延伸和诠释多依赖于司法解释。鉴于此,笔者认为可考虑设立开放的、包容的、面向未来的隐私概念。
(二)第1033条(之一)同意制度(相关条款:1033, 1035, 1037, 1038)
同意不应当成为隐私侵扰或数据滥用行为的通行证。将公开私人生活与参与公共活动之间的平衡交由个人,首先要考虑的是国民在既定环境中——例如网络空间——是否有自由作出取舍,有理性作出判断。根据草案文本似乎可得出结论:无论是隐私权还是个人信息保护(权),凡用户同意所有争议行为都可被正当化。草案对于什么是同意,如何能够获取到有效的同意,都没有作出规定。目前商业实践中又有很多同意都不是明确、自愿和有效作出的。全然依赖同意制度很容易招致滥用。因此,近年来为民众所诟病的乱象(如1033条规定的行为)都可能不受新规则的束缚。
第1033条 除权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以短信、电话、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、窥视、拍摄他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视他人身体的私密部位;
(四)收集、处理他人的私密信息;
(五)以其他方式侵害他人的隐私权
第1035条 处理个人信息的原则、信息处理的概念
收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,不得过度收集、处理,并符合下列条件:
(一) 征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。
英美法系的学界和司法界基本已达成共识,数字社会中同意制度很多情形下是失效的,因为双方存在信息不对称,力量不对等。同意制度因此不应当被过度依赖,所适用的情形应该严格限缩。
笔者建议,在隐私权与个人信息保护(权)二分的情况下,立法者应明确表述同意在什么情况下(不)可以成为隐私权保护的有效抗辩。同理,在关于个人信息保护规则上,《民法典》应该弱化同意制度的地位。基于《民法典》草案目前的条款,笔者建议将同意纳入合法原则的范畴,同时明确数据处理的其他合法基础。此外,正当原则可以用于限缩同意使用的范围,排除一些明显不正当的同意获取方式和情形。
(三)第1033条(之二) 骚扰电话、短信和垃圾邮件
骚扰电话、短信和垃圾邮件的治理本质上是否是一个隐私问题?这取决于法律对于隐私理解的宽窄。现实中这些乱象之所以存在多是因为个人信息的泄露,法律的保护可以沿着私人信息的进路展开。然而信息泄露之外,企业或者个人可否在未经同意的情况下向我们发送信息?《民法典》草案处理这一问题的方式是依赖隐私权,认为骚扰电话、短信和垃圾邮件“侵犯个人生活安宁”(第1033条)。究竟“安宁”这一概念属于隐私的哪个面向——空间、活动还是信息——有赖于立法者或者司法者予以解释。笔者看来,目前明确的三个面向都不足以涵盖“安宁”这个抽象的概念,由此凸显出第1032条对隐私定义范围过窄。比较而言,欧洲治理unsolicited communications的法律基础是ePrivacy Directive(正在进行修改)。这部法律建筑在《欧洲基本权利宪章》第7条之上,所赋予的“尊重私生活权”要比隐私宽泛许多,值得国内立法借鉴。
(四)第1034条(之一)个人信息保护的法律属性以及与隐私权的关系
第1034条明确了个人信息的法律保护,与隐私权分立于《民法典》草案中。从表述的不同可以看出,立法者似乎没有意向将个人信息保护视为一种权利。但是,草案本身也存在分歧:一方面个人信息保护没有被赋权,而另一方面第1036条第2段却又使用了“有权……请求删除”的表述。
第1034条 自然人的个人信息受法律保护。
个人信息是以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。
个人信息中的私密信息,同时适用隐私权保护的有关规定。
究竟个人信息保护多大程度上被认定为一种民法权利尚不清楚。在出现竞合时,隐私权和个人信息保护在保护程度上是否存在差异也无从得知。这些问题的解决对于信息保护落实,及与其他权利、利益的平衡至关重要。对个人信息进行法律保护与对个人权利进行保障是不同性质的立法设计。考虑到个人信息保护(权)位于人格权编内,与隐私权毗邻,其法律性质的认定有以下两种思路:其一,隐私权和个人信息保护的关系是前者包含后者还是相互独立?理论上,个人信息保护可以基于隐私权的延伸。但《民法典》草案将私密信息与(一般)个人信息进行区分,似乎暗示(一般)个人信息保护的法律基础不是隐私权。其二,如果个人信息保护不依赖于隐私权,又没有被认定为一项权利,那么保护的法律基础又是什么?实践中,个人信息保护可以多大程度上依赖于更加宽泛的人格权概念?
笔者认为,解决这一范式问题的出路有两个:要么立法者在修改稿中明确认定个人信息保护是一项权利,要么可将个人信息保护解读成隐私权的一个面向,并对隐私的概念做宽泛、包容、科技中立的定义。
(五)第1034条(之二)“私密信息”
《民法典》草案对隐私权和个人信息保护分别作出规定:前者保障“私密信息”,个人信息保护(权)保障一般个人信息。但是二者明显存在重合,规范层面上很难看出有何异同。此外,“私密信息”也是弹性很大的概念。考虑到隐私与个人信息的紧密联系,理论上“私密信息”可囊括所有个人及非个人信息。如果对私密信息作狭义解释,隐私权将对肆意收集、处理他人的“非私密信息”的行为置之不理,这些行为本身又可能构成对私密空间或私密活动的侵犯。隐私权的三个面向互相交叉与重合,在信息层面又与个人信息保护(权)相互渗透。单拎出私密信息无法消弭隐私权与个人信息保护的牵连,反而会给保护逻辑平添矛盾。关于私密信息的保护的表述——“私密信息……同时适用隐私权保护”——也令人困惑:为何重复保护?基于隐私权和基于个人信息保护(权)的保护形式和程度有所不同?是否可以说私密信息的保护程度比个人信息保护更高?这些问题若不解决,会给司法带来诸多难题。
笔者认为,所有这些问题源于隐私和个人信息保护之间的关系没有明确。解决这一问题的方式也有两种:或参照欧盟对于“敏感数据”(data of special categories) 的加强保护,或基于 “核心隐私”(substantive privacy) 应予以特殊保护的理论发展开来。
(六)第1035条(之一)数据处理的法律基础
如上所言,所有的数据处理都可以基于同意开展是非常危险的做法。一方面,同意会在大多情形下失效。如果个人无法通过同意与否有效调节私人生活和数字生活,所谓“个人信息保护”也就成为纸上空谈。另一方面,不明确设立数据处理的其他法律基础,对于数据创新以及数字经济发展而言也有负面影响。
第1035条 收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,不得过度收集、处理,并符合下列条件:
(一) 征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二) 公开收集、处理信息的规则;
(三) 明示收集、处理信息的目的、方式和范围;
(四) 不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的使用、加工、传输、提供、公开等。
笔者建议将1035条与1037条合并,明确指出数据处理(包括收集)的若干法律基础,无基础的数据处理违反合法原则。如此,下文提到的“合法原则”也能有效落实。第1037条中的“公共利益”以及“自然人合法权益”等正当理由都效仿了GDPR第6条的规定,然而它们与第1035条的关系如何不得而知。建议避免“法律、行政法规另有规定的除外”的措辞(第1035条,第1036条),用明确的规则取而代之,减少法律的不确定性。创设例外时应尽量减小赋权的范围,确定法律的稳定性和持久性。
其次,同意制度极为复杂,理应在1035条之外设立单独条文澄清若干问题:何谓同意(构成要件),如何获得有效的同意,在什么情形下同意无效?
(七)第1035条(之二)数据处理原则:合法、正当、必要、有度
第1035条规定的“合法原则”非常模糊,建议细化。数据的处理应有合法基础;同意是其中之一,但不应是全部。同意制度的设立,意味着数据控制者不能仅基于双方约定(通常是标准合同不可修改)进行数据处理。在这一点上同意的存在非常重要,是对契约自由的必要限制。除此之外,是否存在特例情形,合同可以成为一种正当的法律基础?此数据控制者是否存在“正当利益”处理数据而并不会对个人的隐私及其他人格利益造成损害?合同(“双方约定”)在数据处理实践中扮演着一定的角色,多大程度上履行合同可以作为数据处理的合法基础亟需界定。最后,第1037条提到 “公共利益”、“维护自然人合法权益”等理由也可成为合法基础,但适用情形需明确。笔者建议参考GDPR第6条,将1035条和1037条合二为一,由此对“合法原则”进行明确表述,尤其是同意之外的法律基础。
第1035条中提到的其他基本原则——例如正当、必要、适度——也过于宽泛,不具备法律的确定性。这些宏大概念多是对民法基本原则的重述,数据保护入典后引述此等原则是民法思维的一大缺点。
立法者应充分考虑并采纳数据保护已经形成的共识,不必处处追本溯源。相较于必要、适度等宽泛概念,数据收集最小化原则、目的限制原则可以提供更清晰的指引。当然,究竟在哪里设定个人信息保护原则属于立法者的选择。将1035条全部搬入《个人信息保护法》中做更细致的描述也是可选方案。
(八)第1035条(之三)数据处理公开原则
同意制度的有效性应建立在个人能够获取充分、有用的信息,能够不受干扰地作出理性决策的基础上。因此,数据处理公开原则的细化至关重要。第1035条的表述过于抽象,不同条款间似乎还存在重叠。何谓处理信息的“规则”?与第(三)款提到明示“目的、方式和范围”又有何区别?笔者建议参照GDPR第13-4条详细建构数据处理公开原则,消弭条文中的不确定性,确保个人能获取充分信息,作出有效同意。或许在《个人信息保护法》中展开这一原则更为合适,《民法典》可在原则层面上肯认数据处理的信息公开。
(九)第1035条(之四)数据处理与未成年人保护(相关条款:1035, 1037)
《民法典》草案还涉及儿童数据保护问题。第1035条使用的措辞是个人信息处理需“征得自然人或者其监护人同意”;对于未成年人何时能作出有效同意,该条文没有解答。根据《民法典》草案第18-19条的规定,原则上成年人(十八周岁以上)有完全民事行为能力,八周岁以上的未成年人为限制行为能力人。究竟行为能力如何被限制,第19条无法提供足够的确定性。结合第20条可以得出结论,8周岁以上的未成年人可以在某些情形下独立作出有效同意,不满8周岁的未成年人需要法定代理人同意。但是,何谓“与其年龄、智力相适应”,法典未予以明确,需个案判断。
第十八条 成年人为完全民事行为能力人,可以独立实施民事法律行为。
十六周岁以上的未成年人,以自己的劳动收入为主要生活来源的,视为完全民事行为能力人。
第十九条 八周岁以上的未成年人为限制民事行为能力人,实施民事法律行为由其法定代理人代理或者经其法定代理人同意、追认;但是,可以独立实施纯获利益的民事法律行为或者与其年龄、智力相适应的民事法律行为。
第二十条 不满八周岁的未成年人为无民事行为能力人,由其法定代理人代理实施民事法律行为。
相较而言,欧盟法对于年龄作出范围性规定:在13-16岁的区间内,各成员国可以根据本国的情形制定国内法进行确认。类似地,在我国《个人信息保护法》或《未成年人保护法》中应对同意在什么情形与未成年人的“年龄、智力相适应”作出规定。考虑到我国青少年的成长环境,对电子产品的使用和依赖,有必要对未成年人予以特殊保护。但是,设定年龄限制本质上馆舍青少年的行为自由以及儿童的权利,立法者应当根据实证数据科学地设定界限。
参考文献(二)
[1] Roger Clarke, ‘What's 'Privacy'?’ (Roger Clarke’s personal website, 28 July 2006) < http://www.rogerclarke.com/DV/Privacy.html>accessed 18 January 2020. Jonathan Herring and Jesse Wall, ‘The Nature and Significance of the Right to Bodily Integrity’ (2017) 76(3) The Cambridge Law Journal 566-588
[2] Judee K. Burgoon, ‘Privacy and Communication’ (2016) 6 Annals of the International Communication Association 206-249.
[3] Roe v. Wade, 410 U.S. 113 (1973). Alexandra Samuel, ‘What Roe v. Wade Means for Internet Privacy’ (Daily Jstor, 17 July 2018) <https://daily.jstor.org/what-roe-v-wade-means-for-internet-privacy>accessed 18 January 2020. 关于决意隐私在欧洲的发展,详见 Bart van der Sloot, ‘Decisional Privacy 2.0: the Procedural Requirements Implicit in Article 8 ECHR and its Potential Impact on Profiling’(2017) 7(3) International Data Privacy Law 190–201
[4] Anita L. Allen, Unpopular Privacy: What Must We Hide (OUP 2011).
[5] Linnet Taylor, Luciano Floridi, and Bart van der Sloot (eds), Group Privacy: New Challenges of Data Technologies (Springer 2017). Wenlong Li, ‘Book Review - Group Privacy: New Challenges of Data Technologies’ (2017) 14(1) SCRIPTed 131 https://script-ed.org/article/group-privacy-new-challenges-of-data-technologies/. Beate Rössler, Social Dimensions of Privacy: Interdisciplinary Perspectives (Cambridge University Press 2015)
[6] Bert-Jaap Koops and colleagues, ‘A Typology of Privacy’ (2017) 38(2) University of Pennsylvania Journal of International Law 483, 484.
[7] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life (Stanford University Press 2009)
[8] Tjerk Timan, Bryce Clayton Newell and Bert-Jaap Koops, Privacy in Public Space: Conceptual and Regulatory Challenges (Edward Elgar 2017). Lilian Edwards and Lachlan Urquhart, ‘Privacy in Public Spaces: What Expectations of Privacy Do We Have in Social Media Intelligence?’(2016) 24(3) International Journal of Law and Information Technology 279-310. Richard T. De George, ‘Privacy, Public Space, and Personal Information’, in Ann E. Cudd and Mark C. Navin, Core Concepts and Contemporary Issues in Privacy (Springer 2018) 107-120.
[9] Daniel J. Solove, ‘Privacy Self-Management and the Consent Dilemma Symposium: Privacy and Technology’ (2012-2013) 126 Harvard Law Review 1880-1903.
[10] Archive: Measures to counter unsolicited commercial communications ("spam") https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM%3Al24190a
[11] European Court of Human Rights, ‘Guide on Art 8 of the European Convention on Human Rights’ (Council of Europe, 31 August 2019) <https://www.echr.coe.int/Documents/Guide_Art_8_ENG.pdf>accessed 18 January 2020. Ursula Kilkelly, ‘The right to respect for private and family life:A guide to the implementation of Article 8 of the European Convention on Human Rights‘ (Council of Europe Human Rights Handbooks No.1, 2001) <https://rm.coe.int/168007ff47>accessed 18 January 2020.
[12] 根据《宪章》第52(3)条的规定,凡是该宪章规定了与《欧洲人权公约》相同的权利——例如尊重私生活权——权利的概念、范围与《公约》的规定保持一致。这一条款意味着欧盟法在尊重私生活权等问题上与《公约》进行对接,并且不会提供更高程度的保护。
[13] GDPR, Art 9.
[14] Charles Fried, ‘Privacy’ (1967-1968) 77 Yale Law Journal 475, 488.
[15] 如果不对“合什么法”的问题进行详述,是否可以将《民法典》草案解读为个人信息的保护规则也应当合隐私法,个人信息保护因此属于隐私权的一部分?
[16] European Data Protection Board, ‘Guidelines 2/2019 on the Processing of Personal Data under Article 6(1)(b) GDPR in the Context of the Provision of Online Services to Data Subjects’ (EDPB Guidelines, 12 April 2019) <https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-22019-processing-personal-data-under-article-61b_en >accessed 18 January 2020.
[17] Article 29 Working Party, ‘Opinion 06/2014 on the Notion of Legitimate Interests of the Data Controller under Article 7 of Directive 95/46/EC’ (WP217, 9 April 2014) < https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf >accessed 18 January 2020.
[18] GDPR, Art 8. Ingrida Milkaite and Eva Lievens, ‘Status quo regarding the child's article 8 GDPR age of consent for data processing across the EU’ (Better Internet for Kids, 20 December 2019) https://www.betterinternetforkids.eu/web/portal/practice/awareness/detail?articleId=3017751 Ingrida Milkaite and Eva Lievens, ‘Status quo regarding the child's article 8 GDPR age of consent for data processing across the EU’ (Better Internet for Kids, 20 December 2019) https://www.betterinternetforkids.eu/web/portal/practice/awareness/detail?articleId=3017751 Ingrida Milkaite and Eva Lievens, ‘Children's Rights to Privacy and Data Protection Around the World: Challenges in the Digital Realm’ (2019) 10(1) European Journal of Law and Technology http://ejlt.org/article/view/674/912
仅作学习交流之用
Monet
往期荐读
编辑:韩雨硕