当前信息技术处于蓬勃发展中,信息也成为生产力要素,变为资源,推动着社会的发展。社会发展中也更加依赖了信息要素。而个人在社会生活中也信息融入其中,个人从原有的封闭式变为开放式。从法律层面上,个人信息保护面临着新的形势。而《民法典》的出台为个人信息保护从行政立法层面给予了支持。
1.个人信息在《民发典》中行政法保护的必要性
1.1适应社会发展的需要
当前,各类信息技术处于加速发展中,并推动了数字经济的发展,数据信息体现出更大的价值。在社会生活中,包含个人信息在内的数据处理发挥着多方面的作用。数据是数字经济的资源要素之一,个人信息也是如此,其价值体现在可以定位个人的属性,为精准营销、个性化信息推送创造了条件,带动网络经济的不断壮大。但是个人信息体现出“双面性”,不仅可以促进产业发展,但是也会对个人信息安全带来不利影响,导致个人隐私会受到侵害,影响到个人的信誉、自由、尊严等,过多商业性信息的发送会对个人的日常生活造成干扰。在当前信息社会,如何保护有效个人信息成为法律界要解决的突出难题,实施行政法保护可以为保证个人信息安全设定界限,也体现出对于个人权利、尊严加以维护的初衷。
1.2完善法制体系的需要
当前,如何对个人信息进行保护已成为社会各领域关注的热点问题。针对“网络条件下的信息安全”,我国全国人大常务委员会在2012年特别下发了《关于保护网络信息的决定》,在此之后又出台了《网络安全法》。国内针对保护个人信息的立法采用了部门出台规章的形式。当前相应的法律规范针对电商、保险、金融、医疗、交通、邮政、电信等领域已有了特别的规定。但是个人信息保护涉及到多方面的内容,《网络信息决定》与《网络安全法》针对保护个人信息仅提出了一般原则性要求,缺少明确的操作办法,不同领域的规定存在不统一问题。面对互联网行业共性的个人信息保护存在的问题,我国仍然缺乏行政保护。
1.3完善信息制度的需要
当前针对个人信息保护已具有了民事救济与刑事救济制度。《民法》中针对个人信息的不合理利用与自然人人格权受到侵害、利用个人信息从事不法行为等规定要承担相应的民事责任。《刑法修正案》针对非法获取信息、出售个人信息的不法行为有了具体要求。但是民事救济制度在执行中存在多方面的问题,如发现难、举证难、维权难等。刑事法的制裁对于不同种类的个人信息受到侵害事件难以适用。针对没有涉及到刑事法的侵害个人信息行为,个体难以借助民事法规获得支持,个人信息保护可以通行政法来加以实现,起到约束不法行为、保障受害人合法权益的作用。个人毕竟是弱势群体,建立完善的行政保护制度,借助行政机关更有利于打击不法行为,确保在信息社会中个人信息可以受到尊重与保护。
2.个人信息保护在《民法典》中的体现
2.1个人信息保护的全面和完善
针对个人信息如何实施民法保护并非首次体现于《民法典》。在此之前,《民法总则》已针对保护个人信息加以了回应。但是《民法典》与《民法总则》相比,有了更加全面与完善的规定。《民法总则》发布前,个人信息保护是结合侵犯公民信息入罪,行业主管部门针对特定领域的个人信息保护实施监管。随着信息社会的发展,个人信息在网络社会的价值更加凸显,迫切需要个人信息受到更加全面的法律保护。《民法典》针对个人信息的保护在总则与分则中全有明确的规定。在总则中,依据“民事权利”对个人信息加以保护,规定了“任何组织或个人不能采用非法手段收集、使用、加工个人信息,并且不能非法交易个人信息。”分则中针对“人格权编”基于人格权的保护角度提出了个人权益维护的要求:一是表明不合规个人信息使用引发的违法行为需要承担相应的民事责任;二是针对个人信息的界定依据了“概括+列举”的模式,自然人的各类信息与隐私权发生重合的信息仍然可以适用于保护隐私权;三是指出了个人信息处理要依据的原则;四是对于个人信息处理不需要承担相应民事责任的例外情形加以了明确;五是说明了自然人的多项权利,如查阅权、复制权、删除权等;六是表明了机关工作人员对于个人信息要承担的责任与义务。
2.2对于重点问题的回应
2.2.1对个人信息权益的定位
个人信息定性为是权利还是归为利益,学术界对此存在较大的争议。有学者提出个人信息仅为法律保护层面的利益,不能定义为权利;有学者提出个人信息体现为民事权利,个人信息权作为人格权或者隐私权的表达,应当受到法律的保护。《民法典》对于此问题虽没有确切回答,但将个人信息与隐私权同等,并列于“人格权编”,从条文中可以看出,《民法典》对于个人信息的保护更加倾向于法律利益。一是对于个人信息与姓名、肖像等并列,对合理使用加以界定,明确提出个人信息是权利约束,是自然人享有的人格权益。二是《民法典》认为保护个人信息附属于人格权项下,提出不合理、违规使用个人信息引发民事主体权益受到侵害要依法承担相应的民事责任。《民法典》将个人信息视为民事权益规定了要“受到法律的保护”。
2.2.2对个人信息权益保护的定义
在实践中,会存在不归为个人所有的信息。《民法典》针对个人信息的概念界定近似于《网络安全法》中的定义,依据了“概括+列举”并采用了“单独或结合”的方式加以识别。这个标准在实践中可以对信息是否归为个人加以规定,针对“结合识别”有了依据。此外,对于侵害个人权益要承担的民事责任加以了明确。针对民事救济,《民法典》规定了可以采用适用举证以及责任倒置的原则。而原有的民事诉讼依据了“谁主张谁举证”的原则。针对民事主体人格权受到侵害的违法行为与不合理行为,受害人要证明有这样的行为存在,要结合侵权行为存在的条件,认定该行为实际产生的损害。针对个人信息被不法使用的处理,体现出隐蔽性和技术性的特点。这是因此个人信息的收集、使用、转移等都是发生于互联网条件下,受害人难以有时发现个人信息存在不合规使用问题,即使当时发现了违规问题,仅恁个人的一己之力难以证明确实有违法行为。针对个人信息存在的不法行为很难评估财产损害,通常是由于其他后续非法使用个人信息造成的。因此《民法典》对个人信息权益保护加以定义有利于保护自然人原本的合法权益。
3.个人信息在《民法典》中行政法保护的建议
针对个人信息保护,要依托《民法典》发挥行政保护法的作用。由于《民法典》针对个人信息保护有了明确的规定,行政法保护有了明确的思路,自然人发生在民事领域发生的个人信息保护有了依据,自然人可结合《民法典》的有关内容基于民事救济层面维护个人的合法权益。保护个人信息要从行政规制以及行政救济出发,从保护权利的角度出发,要综合行业发展与保护数据的共同需要。
3.1对于个人信息的界定加以限缩
针对个人信息的界定标准可以继续保留原有的“识别说”,但是并不是全部可以识别,或与信息结合能识别出个体信息都定义为个人信息。这种定义方式显得有些模糊,部分信息如生成的设备信息、日志信息等难以结合特定自然人,不应不加以区分全部定义为“个人信息”,否则会导致一种信息借助与其他几种信息加以结合都定义为自然人的信息。针对个人信息保护,针对“间接识别”是否属于个人信息要加以限缩,明确借助“简单识别即可以确定自然人”信息数据才可以认定为个人信息。针对个人信息还要规定只有信息与其它要素加以结合形成“混合数据集”,能用于识别自然人的身份,才能被认定为个人信息。如果脱离使用目的,“混合数据集”存在的个人信息应依据保护个人权益的原则加以保护。
3.2采用弱化知情同意的原则
针对个人信息保护,仅借助“知情同意”并不能合理解决信息保护。从实际来看,“知情同意”流于形式,设定的隐私政策,个人要保证仔细阅读不切实际,个人也难以全面具体内容,表示不同意也难以享有继续获得权利。此外,“知情同意”权利难以适用于网络时代的需要。对数据加以收集、利用是推动数字经济发展的基本需求。个人数据全部依据“知情同意”会提高商业成本,也难以突出对于重点、敏感数据的保护。针对个人信息的保护法要弱化对个人数据原有的“知情同意”,应该重点强调对于敏感数据“知情同意”,明确知情同意的表达形式、内容、方式等相关要求。
3.3成立专门的机构
针对个人信息保护建议成立专门的机构,以保证个人信息更好地得以保护。个人信息保护法要发挥《民法典》的作用,并以此作为行政法的依托。由于保护个人信息的执法是重点。在执法中,在实践中要结合具体问题考虑到如何更好地适用于《民法典》。借助个人信息保护专业机构可以解读行政法的执行。借助 专业机构还有助于个人信息保护的专业化。
4.结束语
个人信息作为社会资源,体现出商业价值。伴随着信息技术融于社会生活的各个方面,个人信息的收集易于实现。如何从行政法层面保护好信息主体的权利成为一个亟待解决的问题。针对个人信息保护,要注重发挥《民法典》的作用,为保护个人信息创造有利条件。
参考文献:
[1]杨芳.个人信息自决权理论及其检讨[J].比较法研究,2015(6):22—33
[2]叶名怡.个人信息的侵权法保护[J].法学研究,2018(4):83—102.
[3]赵宏.从信息公开到信息保护[J].比较法研究,2017(2):31.
[4]李宇.民法总则要义[M].北京:法律出版社,2017.