《民法典》规定了隐私权和个人信息,并把一部分个人信息通过隐私权的方式进行保护。但是《民法典》没有关于个人敏感信息的规定,这与行业内将个人信息区分为个人普通信息和个人敏感信息的做法差别较大,不知道是立法者有意为之,还是行业内的做法并不与《民法典》冲突。本文并没有能力给出答案,但是可以把隐私权和个人敏感信息做一点简单的介绍,以作为继续研究该题目的基础。
隐私权的基础是隐私,但是二者并不等同。并不是所有的隐私都可以给予法律保护,给予法律保护的隐私部分就是隐私权。i隐私应当受到法律保护的概念出现的很早,根据隐私权的鼻祖美国的路易斯布兰代斯和塞缪尔沃伦在其划时代的文章《隐私权》中考证,在1868年法国就有关于报纸的法律:“II.所有在期刊上刊登有关私人生活的行为都是违法行为,将被处以五百法郎的罚金。”ii但是世界范围内公认的第一次将隐私权作为独立的权利提出,仍然是路易斯布兰代斯和塞缪尔沃伦的《隐私权》一文,该文写就的背景是沃伦对记者大肆报道其女儿的婚礼感到不满,但是又找不到既有的法律进行对抗,愤而创设了隐私权。隐私权此后在美国不断发展其内涵,到今天已经内容极大丰富,远远超过了任何其他国家。本文首先从美国开始介绍隐私权,进而介绍德国的隐私权,最后介绍我国的隐私权。
根据美国著名的法学家ErwinChemerinsky在其著名的《重新发现布兰代斯的隐私权》一文中介绍iii,隐私权至少包括了三种不同的权利:第一,防止政府侵入个人家庭或个人人格(作者注:即个人生活安宁和私密空间)。第二,一个人作出某些特定个人决定的权利(作者注:即个人自决权或个人自主权)。第三,个人控制与自身信息有关的传播的能力(作者注:即个人信息的保护)。
德国法上没有独立的隐私权的概念,隐私权保护制度建立在一般人格权的基础上,具有宪法上的尊严价值,因此得到了有利的保护。iv
在民法典出台之前,我国关于隐私权的说法很多,特别是隐私权究竟是一般人格权还是特殊人格权(具体人格权)存在争论,主流观点认为是具体人格权,而这个主流观点显然得到了民法典的认可。民法典将隐私权与其他具体人格权例如姓名权、肖像权置于第四编人格权之下,显然是作为具体人格权处理。
《民法典》第一千零三十二条第一款规定,自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。第二款规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
《民法典》关于隐私的定义显见是区分为私人生活安宁和私密情形两种,对于后一种即私密空间、私密活动、私密信息的界定尽管会存在模棱两可之处,但是基本是清晰的,私密空间除了物理空间,如个人的住所、宾馆的临时居住的房间等,还包括个人的日记及虚拟空间。v私密活动比如情侣之间悄悄说的甜言蜜语。私密信息例如个人信息中秘密的内容。对于私人生活安宁,直接起草《民法典》人格权编的学者王利明撰文指出,私人生活安宁包括个人住宅安宁、个人住宅以外其他私人空间安宁(例如办公室、汽车、酒店房间、学生的书包和口袋、日记甚至网络虚拟空间)、日常生活安宁和通讯安宁。vi
但是,隐私权还有一个非常重要的问题没有在立法中解决,即美国隐私权领域中的个人自决权是否被包括在隐私权内。例如,篡改他人的考试志愿,干涉别人的职业选择都是侵犯了个人自决权的典型情形。由于隐私权的第二种情形即私密空间、私密活动、私密信息往往无法对个人自决权提供保护,隐私权中的第一种情形私人生活安宁就成为了必然的选择,而且从字面含义而言,干涉别人的事务自然会破坏别人的生活安宁,这种日常经验逻辑上的通顺是通过私人生活安宁保护个人自决权的起步。但是这还不够,还要看法律自身的逻辑是否讲得通。笔者认为,这完全是讲得通的。理由在于,按照《民法典》,个人信息的权利内涵包括了个人信息自决权,那么作为个人信息下位概念的私密信息自然也享有个人信息自决权。进一步的,由于《民法典》把私密信息作为隐私权进行保护,那么在私密信息方面,隐私权的保护就含有了个人自决权。
是否可以因此推论,中国的隐私权也包括了美国隐私权上的个人自决权,这是一个非常值得研究的课题。但是无论如何,个人自决权在隐私权的保护中,只有私人生活安宁才有可能将其包括其中,隐私权的其他方面私密空间、私密活动、私密信息无论是从语义还是体系上,都很难解释出个人自决权。
我国《民法典》将个人信息区分为个人普通信息和个人私密信息,后者通过隐私权保护。对个人信息,还有另外一种分类方法,即个人普通信息和个人敏感信息。但是,这并不意味着个人私密信息和个人敏感信息是同义词,二者存在较大差别。关于个人私密信息,由于是作为隐私权保护的,可以对照隐私的定义理解其内涵。个人敏感信息在我国是出现在国家标准中,并被行业广泛采用。另外,个人敏感信息在国外则呈现出与我国差异巨大的内涵界定。国外对于个人敏感信息界定要严格于国内,这样则意味着同一家企业在中国和国外就同样的事项,需要满足差异巨大的合规要求,这对中国相关行业特别是互联网行业的发展影响重大。
1、个人敏感信息的判断标准
个人敏感信息字眼本身有一定的迷惑性,容易被理解为是个人感觉为敏感的信息,这是主观标准,并不正确。个人敏感信息虽然在具体判断标准上中外有别,学说多样,但是都是客观标准,也就是与其他信息相比,某些信息的泄露或不当处理可能造成更严重的后果,因谓之“敏感”,而不管数据主体(即自然人)主观感受如何。例如,很多人对于自己的民族出身和党派并不敏感,在填写各种表格的时候写上民族和党派,但是民族和党派可能会导致歧视性的后果,例如在单位内部的升职加薪因此受到影响。因此,民族和党派无疑是个人敏感信息,不经过个人的明确同意,不得收集和处理。
基本权利是指,“那些对于任何公民不可或缺的、不可取代的、不可转让的、稳定的、具有母体性的共同权利。”vii一般而言,基本权利就是宪法中规定的各种权利,也就是人权。各个国家宪法对基本权利的规定并不完全相同。《欧洲联盟基本权利宪章》确定了六大类五十种基本权利,这六大类是尊严、自由、平等、团结、公民权和司法。其中,人格尊严是尊严类基本权利,个人数据保护是自由类基本权利。viii我国宪法赋予公民的基本权利包括,平等权,政治权利即选举权和被选举权、言论、出版、集会、结社、游行、示威自由,精神和文化活动的自由即宗教信仰自由、文化活动自由、通信自由和秘密,人身自由和人格尊严,社会经济权利即财产权、劳动权、休息权和生存权,获得权利救济的权利即提出申诉和控告的权利、获得国家赔偿及赔偿请求权。自由是每个人都具有的一种自然的和基本的权利。ix因此,自由的范围要小于基本权利,会作为基本权利进行保护。既然自由作为基本权利进行保护,那么为何不直接用基本权利作为标准,而是要使用基本权利和自由的表述方式,原因在于,由于基本权利是要通过宪法或者宪法性质的联盟条约予以明确规定,为了避免遗漏没有写入宪法的自由,才使用基本权利和自由的方式。自由不只是排除外部约束和免受专制垄断,而且还包括了在服务于被称之为人类文明的伟大事业中发挥个人的天赋和习得的技术的机会。前者就是不受干预的否定性自由,后者是实现个人能力和社会能力的肯定性自由。x二者之间有时候可能会存在冲突。
著名法理学学者博登海默给出了一个例子,一个强迫父母让孩子上学念书并让他们一直学习到一定年龄的法律,无论是对父母来讲还是对孩子来讲,都没有增进他们免受限制的自由;但是毋庸置疑,这种法律有助于自我实现的自由,而且还扩大了孩子在日后生活中的各种机会,特别是他们自由选择执业的机会。这是对自由进行限制的一个方面。另外,每个人都不能完全实施自己想要的自由,否则整体社会就会陷入混乱,因此每个人都要牺牲自己的部分自由,以塑造一个安宁有序的社会环境,并最终从中受益。这是常识,也是对自由进行限制的第二个方面。从法理学的角度,这实际上奠定了个人信息,不仅仅是个人敏感信息,保护的最基本理念,即个人信息是自由的一种,受到保护,但是也受到限制。
欧盟的《通用数据保护条例》在前言(51)指出,“性质上与基本权利和自由相关的极其敏感的个人数据,由于对其的处理可能对数据主体基本权利和自由产生重大风险,因此需要受到特别保护。”第九条则具体明确了这种极其敏感的个人数据的具体内涵,“显示种族或民族出身、政治观点、宗教或哲学信仰、工会会员资格的个人数据;为识别特定自然人为目的对基因数据、生物学数据;健康有关数据或者特定自然人的性生活或性取向的数据。”我国台湾地区和澳门似乎也是采取了基本权利与自由标准。我国台湾地区《个人资料保护法》将下列信息规定为个人敏感信息,“医疗、基因、性生活、健康检查、犯罪前科、病例信息。”我国澳门《个人资料保护法》将下列信息规定为个人敏感信息,“世界观、政治或宗教信仰、政治社团或工会关系、种族或民族起源、遗传信息、私人生活、健康和性生活。”xi美国在个人信息保护方面立法分散,以州法为主。美国和欧盟签署的《隐私盾框架原则》,个人敏感信息包括“医疗与健康状况、种族与民族血统、政治观点、宗教或哲学信仰、工会会员资格的个人信息或性生活相关信息。”xii这可以视为代表美国国家层面对于个人敏感信息的意见,明显也带有基本权利与自由的意思。
所谓歧视性标准,即以个人信息泄露和不当使用是否会导致特定主体遭受不平等或不公平的待遇为标尺认定个人信息的敏感性。xiii例如,日本在2015年通过的《个人信息保护法》将个人敏感信息定义为,“有关种族、信仰、社会地位、病史、犯罪记录、受害历史以及内阁令中提供的可能引起社会歧视的其他信息。”xiv澳大利亚的《隐私法》及澳大利亚信息专员办公室对个人敏感信息的界定为,“关于个人意见或观点的信息,包括种族或民族血统,政治观点,政治性社团的成员资格,宗教信仰,哲学信仰,专业性或行业协会成员资格,工会会员资格,性取向或性行为,犯罪记录,关于个人健康的信息,遗传信息,生物辨识信息等”。澳大利亚信息专员办公室认为,对于个人敏感信息处理不当可能会对个体或是与之相关的个人产生不利后果,例如歧视、羞辱或是个人尊严受损。xv韩国《个人信息保护法》第二十三条规定,个人敏感信息包括“总统令中列举的意识形态、信仰、出入境、所属工会或政党、政治心态、健康、性生活等其他可能危害数据主体隐私的个人信息”。xvi
基本权利与自由标准与歧视标准并不是排斥的关系,能够引起歧视后果很多原因就是基本权利与自由的内涵,例如民族,种族,基因,病史等。换一种说法,歧视标准可以视为基本权利与自由遭到侵犯而出现的一种后果。
我国对个人敏感信息采取的标准既不是基本权利与自由标准,也不是歧视性标准,而是独树一帜的“高风险”标准。该标准虽然并不是孤例,但是鲜见其他国家或地区采用该标准。美国信息技术与创新基金会对个人敏感信息提议了类似的标准,“个人可识别信息,其公开可能会给个人带来高风险,例如与健康相关的信息,遗传和生物识别信息,关于13岁以下儿童的信息以及个人精确的地理位置信息。”xvii
根据《信息安全技术公共及商用服务信息系统个人信息保护指南》GB/Z28828-2012(简称2012保护指南),个人敏感信息是指,一旦遭到泄露或被修改,会对标识的个人信息主体造成不良影响的个人信息。《2012保护指南》同时备注,各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各行业业务特点确定,个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因指纹等。
根据《信息安全技术个人信息安全规范》GB/T35273-2017(简称2017安全规范),个人敏感信息是指,一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康、受到损害或者歧视性待遇等的个人信息。《2017安全规范》同时备注,个人敏感信息保护个人身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁(含)以下儿童的个人信息等。并且通过是提供了详细的目录,说明个人信息的内涵,因为其重要性,全文摘录如下:
附录B(资料性附录)个人敏感信息判定
△点击可查看大图
通过比较可知,《2017安全规范》与《2012保护指南》对于个人敏感信息的界定差异巨大,基本上不存在可比性。《2012保护指南》采取了“不良影响”的标准,由于几乎任何负面的情况都可以归类为不良影响,因为《2012保护指南》实际上并没有将个人敏感信息与个人普通信息准确区分开,也就几乎没有实际操作的意义。《2017安全规范》则不同,一是实质性的区分了个人敏感信息和个人普通信息,二是提供了清晰的操作指引。
《2017安全规范》在2020年被《信息安全技术个人信息安全规范》GB/T35273-2020(简称2020安全规范)所替代,但是并没有实质性变化,主文关于个人敏感信息的定义与《2017安全规范》完全相同。但是在附录举例个人敏感信息时,发生了一些变化:
附录B(资料性附录)个人敏感信息判定
△点击可查看大图
国家标准根据类型不同,效力也不同。GB是强制性标准,GB/T是推荐性标准,GB/Z是指导性标准。因此,对于后两者,从理论上不能强制执行,除非某规章明确要求执行该标准,才可以具有强制力。但是实践则是完全相反的情况,由于法律对于个人信息的规定不可能太具体而具有直接可执行性,行业主管部门和行业只能使用国家标准,因此《2020安全规范》目前具有极强执行力。
由于《民法典》并没有采纳个人敏感信息的说法。这是否意味着《民法典》否定了个人敏感信息?笔者认为并不能得出这种结论。
我国目前对于个人信息保护采取的仍然是源自欧盟的“知情同意”模式,而非逐渐盛行于美国的“场景”模式。知情同意又分为默示同意和明示同意,个人普通信息通过默示同意即可处理,而个人敏感信息则需要明示同意。在我国基础模式不变的情况下,取消个人敏感信息的界定则会使得知情同意无法落地执行。
个人敏感信息和个人私密信息存在重合但并不相同,无法互相替代。私密信息是敏感信息,但是不能说敏感信息一定是私密信息。原因在于,敏感的原因有很多种,私密只是其中的一种。从个人敏感信息的定义来看,其着眼点在于信息泄露可能导致的客观后果。例如个人的面部特征实时暴露在各种监控之下,而刷脸支付等技术的盛行意味着技术上可以利用获得的面部特征对个人财产盗刷,显然面部特征属于个人敏感信息,但是这并不是私密信息,每个人的面容随时随地的都在暴露给社会和公众。再比如,《2020安全规范》将14岁以下儿童的个人信息一律界定为个人敏感信息,显然这些信息很多并不具有私密的性质。
从合规的角度,行业最关心的还是哪些信息属于个人敏感信息,因为这直接关系到采取默示同意还是明示同意,以及向第三方转移个人信息时的注意义务。而从《2020安全规范》的变化来看,有一些此前举例被删除了,特别是手机号码和个人电子邮箱。那么这是否意味着手机号码和电子邮箱不再是个人敏感信息。笔者认为从一开始,手机号码和电子邮箱就不应该作为个人敏感信息保护。理由是:
第一,从《2017安全规范》和《2020安全规范》本身对于个人敏感信息的定义看,应该内含了对于后果严重性和较大可能性的要求。如果不做该要求,由于任何个人信息都具有导致人身、财产、身心健康等受到损害的可能性,任何个人信息都会是个人敏感信息。
第二,安全规范在附录B中指出,“通常情况下,14岁(含)以下儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息”,即排除掉14岁以下儿童的情况,个人敏感信息等同于自然人的隐私信息,这一点在《民法典》中可以找到呼应,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。那么对于手机号和个人邮箱而言,本身并不是私密信息或者涉及自然人的隐私,反而是需要主动分享才具有实质性意义的属性。对比之下,个人敏感信息举例中的其他示例,都是自然人希望保密,不愿意分享的属性。
第三,我国关于个人敏感信息的界定,本身已经过于严格,这与欧洲强调个人敏感信息是与个人基本权利和自由相关的做法不同,可能会阻碍我们数字经济的发展。
【参考资料】
i Thomas J. Smedinghoff在其《Online Law: The SPA's Legal Guide to Doing Business on the Internet》一书中认为, “隐私是一种社会观念,其范围可能包括各式各样的状况,某些情况下隐私被法律保障,某些却没有,被保障的部分成为隐私权”,张台先,陈月菁译,中国台湾省美商艾迪生维斯理和儒林图书公司合作出版1999年版, 第16页,转引自《隐私权刑法保护》,王立志著,中国检察出版社,2009年10月出版
ii 《隐私权》,路易斯D布兰代斯和塞缪尔D沃伦著,发表于1890年12月15日出版的《哈佛商业评论》,转引自宦盛奎译本,北京大学出版社,2014年7月出版,第60页
iii 《重新发现布兰代斯的隐私权》,Erwin Chemerinsky著,是作者在纪念布兰代斯诞辰150周年论坛的演讲稿,转引自《隐私权》,宦盛奎译,北京大学出版社,2014年7月出版,第104页,106页,111页
iv 《政府信息公开中的个人隐私保护问题研究》,徐丽枝著,法律出版社,2019年3月出版,第35页
v 《解读民法典“隐私权与个人信息保护”》,王春晖,程乐著,南京邮电大学学报(社会科学版)第3期,2020年6月
vi 参见《生活安宁权:一种特殊的隐私权》, 王利明著,中州学刊,2019年第7期
vii 《法理学教程》,徐显明主编,中国政法大学出版社,1994年出版,第397页
viii 《欧洲联盟基本权利宪章》第1-50条,参见《欧盟数据保护法规汇编》,中国信息通信研究院互联网法律研究中心和京东法律研究院编,中国法制出版社,2019年11月第1版,第2-9页
ix 《法理学:法律哲学与法律方法》,[美国]E. 博登海默著,邓正来译,中国政法大学出版社,2004年1月修订版,第299页
x 《法理学:法律哲学与法律方法》,[美国]E. 博登海默著,邓正来译,中国政法大学出版社,2004年1月修订版,第305-306页
xi 我国台湾和澳门的个人敏感信息参见《个人敏感信息的法律保护规范》,张志峰,重庆行政,2020年第1期
xii 参见《欧盟-美国隐私盾框架原则》二-2-C,引自《欧盟数据保护法规汇编》,中国信息通信研究院互联网法律研究中心京东法律研究院编,中国法制出版社,2019年11月第1版,第185页
xiii 《论敏感个人信息的法律保护》,田野,张晨辉,河南社会科学,2019年第7期
xiv 参见《论敏感个人信息的法律保护》对此的介绍,田野,张晨辉,河南社会科学,2019年第7期
xv 参见《我国个人敏感信息的界分基础及其立法表达-兼评<民法典(草案)第一千零三十四条>》介绍,潘林青,北京邮电大学学报(社会科学版),2020年4月第22卷第2期
xvi 韩国《个人信息保护法》,2011年9月30日生效,参见《国际数据保护规则要览》,李爱君 苏桂梅主编,中国政法大学互联网金融法律研究院和中国政法大学大数据与法制研究中心翻译,法律出版社,2018年4月第1版
xvii 参见《我国个人敏感信息的界分基础及其立法表达-兼评<民法典(草案)第一千零三十四条>》介绍,潘林青,北京邮电大学学报(社会科学版),2020年4月第22卷第2期
△可向上滑动查看