在如今的大数据时代,个人信息保护早已不再是一个新鲜的话题,并随着信息化时代的发展而愈加受到重视和关注。在《民法典》出台以前,我国针对个人信息保护的法律规定就已散见于《刑法》《消费者权益保护法》《网络安全法》《民法总则》之中。最高检2020年9月出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》,明确将个人信息保护作为网络侵害领域的办案重点,随后在2021年4月22日即发布11件检察机关个人信息保护公益诉讼典型案例。
《民法典》将个人信息保护纳入了第四编“人格权”中,在第五章“民事权利”中首先强调了自然人的个人信息受法律保护(第111条),并在其后的第六章“隐私权和个人信息保护”中对个人信息保护进行了详细规定。
一、《民法典》对个人信息的定义及分类
(一)个人信息的定义
《民法典》第1034条将“个人信息”定义为:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
从上述表述中总结来看,民法典意义上的个人信息其主要特征即为可识别性,这也与《个人信息保护法》《网络安全法》对个人信息所描述的特征保持一致。
(二)个人信息的分类
《民法典》第1034条除对个人信息进行定义外,还有如下表述:个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
笔者认为,实际上《民法典》系根据个人信息的敏感程度将个人信息分为了私密信息和非私密信息。但难点在于,《民法典》未进一步对私密信息进行定义和列举。从《民法典》第1032条第2款来看,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”,即私密信息至少可以理解为是具有隐秘性(强调非公开的)和违愿性(强调主观意愿)的信息,与人格尊严、人格自由关联紧密。
二、《民法典》关于个人信息处理的原则
(一)个人信息处理的基本原则
《民法典》第1035条对处理个人信息应当遵循的原则进行了规定,其首要原则即合法、正当、必要原则。在此基础上亦不得过度处理,并符合下列条件:
1.征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
2.公开处理信息的规则;
3.明示处理信息的目的、方式和范围;
4.不违反法律、行政法规的规定和双方的约定。
(二)个人信息处理的免责行为
《民法典》第1036条规定,在如下情形中,处理个人信息的行为人不承担民事责任:
1.在该自然人或者其监护人同意的范围内合理实施的行为;
2.合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
3.为维护公共利益或者该自然人合法权益,合理实施的其他行为。
三、《民法典》中侵害个人信息的行为类型
(一)非法收集
随着网络信息技术的发展,个人信息的传递愈加便捷、快速、多样,但也因此个人信息的收集也愈加便利。一些网站、手机软件运营商等在用户创建账号的过程中能够获得海量的个人信息,而用户大多数情况下出于只有填写信息才能完整使用网站、软件的限制,或以看似合理的理由实则已超出必要限度地索取用户的私密信息。其后,或据以收集的信息分析用户偏好定向营销,更有甚者将用户个人信息打包售卖牟取非法利益。
(二)非法披露
现实生活中非法披露个人信息的例子比比皆是,大多数人们都曾切身感受到过,诸如在注册某些网站、软件提交过个人信息后即莫名收到未知骚扰、推销信息,或是近年来频频发生的人肉搜索事件,无一不是在未经授权非法披露个人信息之行径。
(三)非法利用
“大数据杀熟”近年来引起广泛热议,这也是典型的滥用个人信息的情形。商家通过信息技术分析所收集的个人信息、在平台内的购买偏好等数据,精准投放广告推送、推荐商品、诱导甚至欺骗用户购买的行为亦不少见。
(四)非法泄露
个人信息在遭受非法泄露时,因具体在哪一环节被泄露存在事实上的不确定性,导致受侵害人很难事后获得司法救济。实践中常见的情形如电信业务员、金融机构等工作人员利用职务之便将所知悉客户个人信息未经授权即泄露给他人以牟利,使得客户可能遭受无法预料的风险。
四、《民法典》颁布后的个人信息保护典型案例——(2021)湘1021刑初55号
(一)案件基本情况
2019年9月至2020年10月,邓某迪利用其担任某网络通信公司上门交付专员的岗位便利,将其在为客户提供上门交付手机卡的服务过程中获得公民个人信息,以每条6. 5元至20余元的价格,通过微信群出售给他人。另邓某迪出售周某的个人信息被他人用于注册微信公众号,因微信公众号侵害他人的商标权,导致周某被提起民事诉讼。
(二)公诉机关提起刑附民公益诉讼
公诉机关认为,根据《民法典》规定,自然人的个人信息权和隐私权受法律保护。本案中邓某迪出售公民个人信息1000余条,非法获利19522.2元,其行为侵犯了不特定对象的公民个人信息,出售的个人信息没有被追回,出售的个人信息包括他人的身份证号码、姓名、电话号码,可能对他人的人身、财产等合法权益造成危害和严重威胁,损害了社会公共利益。根据《民法典》的规定,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。邓某迪非法出售他人的个人信息应当依法承担相应的民事侵权责任。
(三)法院审理结果
法院经审理后认为,被告人邓某迪的行为不仅构成侵犯公民个人信息罪,而且其出售的个人信息没有被追回,可能致使他人的人身、财产等合法权益遭受侵害,对不特定对象的人身、财产等合法权益造成严重威胁,损害了社会公共利益,应当向社会公众赔礼道歉。遂支持了公益诉讼机关提起的刑附民公益诉讼。
(四)案件评析
本案中,法院依据《民法典》第1166条“行为人造成他人民事权益损害,不论行为人有无过错,法律规定应当承担侵权责任的,依照其规定”之规定,追究侵犯公民个人信息的行为人的民事责任,是民法典时代下对公民个人信息予以保护的应然之举。本案虽为公诉机关提起的公益诉讼案件,但是在个人信息侵权案件中,信息主体因个人信息被侵害而遭受财产或非财产损失的都可向侵权人主张侵权损害赔偿请求权。
五、结语
在大数据时代,侵害公民个人信息安全的行为屡见不鲜,不特定多数人的合法权益面临巨大威胁,个人信息事关人民群众人身、财产安全,涉及社会公共利益,加大保护是大势所趋。人们在个人信息遭受非法侵害时,亦应当拿起法律之武器,积极维护自身合法权益。