我国法律关于个人信息定义的规定主要有民法典第1034条、网络安全法第76条和个人信息保护法第4条。为区分个人信息与隐私、数据等相关概念,立法以“识别性”作为个人信息的判定标准,通过“静态列举+动态判断”的双重方式予以界定。“静态列举”主要包含姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息。但单纯的“静态列举”仅是对个人信息概括式定义的解释说明,难以适应新技术革命时代复杂的产业实践,故还需引入信息识别能力的“动态判断”,即在具体情境中结合某类信息对个人的敏感程度、收集使用可带来的财产价值高低及被泄露后可造成的损害大小等,综合判断个人信息的范围。
个人信息的客体属性是天然内置财产价值的人格利益,个人信息的权利属性应是具体人格权益,其人格权益属性的立法支撑主要为民法典第111条规定,即“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”个人信息保护法第1条明确了“个人信息权益”的立法表述,并新增“根据宪法,制定本法”,实现个人信息保护法与更高位阶的宪法的对接,进一步表明个人信息保护的客体是公民的人格尊严。
把个人信息定义为人格利益并不意味着其不能为他人利用,隐私与个人信息区别的主要目的就是使个人信息能被积极利用,其缘由在于个人信息的客体不同于隐私,具有天然内置的财产属性,这种财产属性来源于数字社会中人的生存样态的变化,即互联网空间中个人信息经收集、存储、加工等处理方式后,可以满足特定商业利用的现实需求,从而具有了财产价值。但是个人信息中内含的财产价值必须要经过特定的法律程序性制度设计(如告知、同意等)方能转化为被他人共享与利用的财产利益,因为能被他人共享与利用的只能是财产权益,人格权益永远是保护个人信息(含隐私权)不被数据处理者与使用者侵犯的利器。换言之,个人信息中的人格权益主要体现在对个人信息的消极保护。
关于个人信息的具体权益内容,我国民法典和个人信息保护法规定了知情同意权、信息查阅与复制权、信息更正权、信息删除权。但“删除”概念仍需进一步明晰,例如是否指完全不留痕迹?若持肯定答案,在技术上能否完全实现?这些问题都值得进一步深入讨论。另外,个人信息保护法第45条中新增“个人信息可携带权”,信息主体可以请求将个人信息转移至其指定的个人信息处理者,在符合国家网信部门规定条件时,个人信息处理者应当提供转移的途径。
围绕个人信息处理者的义务,民法典较为宽泛地规定了个人信息处理者需要采取必要的技术安全措施,个人信息保护法在此基础上予以进一步细化和完善,其着眼点在于对个人信息处理行为的规范。首先,从事前救济的角度规定了个人信息处理者需要采取的必要安全措施、风险评估要求及指定专门的个人信息保护负责人。其次,特别将信息处理者区分为一般的个人信息处理者和提供基础性互联网平台服务、用户数量巨大、业务类型复杂的大型个人信息处理者,并赋予大型个人信息处理者对平台内产品或服务提供者特殊的监督和管理义务。与此同时,个人信息保护法回应了小型个人信息处理者问题,规定由国家网信部门针对小型个人信息处理者制定专门的个人信息保护规则、标准。这一规定留出了针对小型个人信息处理者的立法空间,但对于小型个人信息处理者是否应豁免部分义务仍需要作出专门的规则设计。
针对侵犯个人信息权益的救济,主要包括民事、行政和刑事责任等救济手段。在民事责任层面,需要协调民法典与个人信息保护法的规范适用关系。虽然对于两部法律是平行关系,还是普通法与特别法的关系仍有争论,但是关于个人信息保护法对于个人信息民事保护的内容相较于民法典中的相关内容处于特别法地位,具有优先适用的效力,不应存在过多争议。由此,当个人信息保护法有关个人信息的民事保护规则缺失或相关规定不完善时,便可适用民法典中的相应规则。在行政责任层面,责任主体包括个人信息处理者及其内部负责人员、履行个人信息保护职责的部门工作人员。个人信息保护法第66条规定了对个人信息处理者及直接负责的主管人员和其他直接责任人员相关违法行为的具体行政处罚方式,并区分了一般情形和情节严重情形;第68条第2款规定了履行个人信息保护职责的部门工作人员的行政责任。在刑事责任层面,个人信息保护法第71条规定了构成犯罪的依法追究刑事责任。值得一提的是,个人信息保护法第70条规定了个人信息保护公益诉讼。当个人信息处理者违反规定处理个人信息,侵害众多个人的权益时,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
个人信息权益保护与个人信息合理利用在实践中冲突明显,其深层矛盾在于如何协调信息主体的人格利益与信息处理者的经济利益、国家的公共利益之间的关系。如何有效配置个人信息之上的多元权益,以实现各方主体的利益平衡?可供参考的观点为:对于个人信息上的人格利益,信息主体永恒享有控制权;对于个人信息上的财产权益,信息主体基于与信息处理者之间的合同等法律关系享有财产权益;信息处理者基于信息主体的同意或其他合法性条件享有对信息合理使用的权利。当然,无论如何强调个人信息的利用,在法律上都不能突破隐私、个人信息等人格利益保护的底线。
民法典、个人信息保护法等法律的颁布构建了与我国国情相匹配的个人信息保护制度,对数字经济的发展与信息主体的保护皆具有重要意义。个人信息保护法尤其对数据跨境传输涉及的个人信息保护问题作出了较为明确而详细的规定,其与国际通用规则衔接,展现了全球数据利用与治理的中国话语,将会产生深远的国际影响。
(作者为上海交通大学凯原法学院副院长、教授)