个人信息保护法:个人信息与隐私权竞合的区分及企业合规

发表时间:2022-02-17 所属分类:诺臣原创

引言

《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)是我国首部针对个人信息保护的专门性立法,于2021年8月20日经十三届全国人大常委会第三十次会议正式表决通过,自2021年11月1日起施行。在《个人信息保护法》出台之前,我国已有多部现行法律法规及行业标准对个人信息保护作出了规定,如《民法典》《消费者权益保护法》《网络安全法》《电信和互联网用户个人信息保护规定》等。随着我国数字产业快速发展与个人信息保护法律法规越趋完善,越来越多人意识到个人信息保护的重要性,数据安全和个人信息保护亟待成为企业合规的一大重点领域。

(图片源于网络,如有侵权请联系删除)

案例展示

林某在使用某公司运营的某APP时发现,该APP存在未经用户同意监测、收集手机剪贴板信息的情形,并提供了自行编写的《某APP读取剪贴板信息技术分析报告》和某司法鉴定所出具的鉴定意见,上述报告结果和鉴定意见均为某APP具有监控手机剪贴板功能,当该APP监测到剪贴板有数据时,就会自动获取剪贴板上的所有数据。剪贴板可以存储个人身份证号、手机号、照片等涉及隐私的个人信息,但某APP的《隐私政策》并无收集手机用户剪贴板信息的相关说明,也未履行告知提醒义务征得用户同意,林某认为某公司的行为侵害其个人信息权益及隐私权,遂其将某公司诉至某互联网法院。

法院经审理,认为根据《中华人民共和国民法总则》第一百一十条第一款的规定,自然人享有隐私权。私密空间是自然人隐私的重要组成部分,任何组织或者个人不得进入、窥视他人的私密空间。私密空间不限于传统的物理空间。本案某公司违反诚信原则,实际收集的个人信息的范围与隐私政策声明不一致,并且在未经用户同意的情况下擅自收集手机剪贴板信息。剪贴板的信息属于私人支配的网络虚拟空间,也应纳入私密空间的范畴。故该公司的行为系以技术手段侵入林某虚拟私密空间的行为,且该行为造成林某私密信息处于不安全状态,私人生活安宁受到侵犯。私人生活安宁属于个人隐私的重要内容,某APP未经许可监测、读取林某手机剪贴板信息的行为侵害林某的隐私权。

案例思考

个人信息与隐私权的交叉

从上则案例可见,实务中常常能见到隐私权与个人信息保护一起出现。有学者认为在《个人信息保护法》出台前,《民法典》中关于隐私权与个人信息相关的法条是竞合的,并未能厘清个人信息与隐私权二者的本质及功能差异(引自[1])。在没有明确将个人信息定性为独立权利的前提下,为维护个人信息权利,相关案由只能确定为隐私权侵权纠纷或名誉权侵权纠纷。

但实际上,个人隐私与个人信息仍是存在明显差别的。纳入隐私权保护范围的个人信息应为不为人知的且个人“不愿为他人知晓”(《民法典》第一千零三十二条)也不涉及公共利益的私密信息。而个人信息导致的纠纷多为信息处理方未告知个人信息流向及信息处理过程。涉及的与个人身份直接或间接联系的信息,具有一定的公共性,甚至是商业性。法院在确定隐私权与个人信息权案由的时候,会依据案件的实际情况,不囿于信息的形式,从权利的具体内涵、权利保护的客体来判断,结合隐私的内涵和私人空间的定义来确定涉诉信息是否落入隐私权保护的范围。由于个人私密空间具有私人支配性,如果相关信息能够排斥他人的不合理关注,且可能含有个人“不愿被他人知晓”的私密信息,则此类信息应纳入私密空间的范畴。而个人信息保护的客体则在于确保个人对其信息的控制权,旨在确保信息处理过程的透明度和个人的知情权,与上述隐私权保护的客体不尽相同。

个人信息的保护原则:“告知-同意”

(图片源于网络,如有侵权请联系删除)

《个人信息保护法》第四条将“个人信息”界定为“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。也就是说,与自然人有关的各种信息都纳入保护范围包括但不限于一般个人信息、个人数据、敏感信息甚至隐私。

现行的个人信息保护模式为“个人控制模式”,个人控制模式,以“告知-同意”为核心,强调个人对信息的控制,即通过赋予用户相关控制权,使其能够知晓与支配自己信息的收集、使用与流通(引自[2])。现实生活中,各大APP或网站作为信息处理者,在收集用户个人信息前通常会有“隐私条款”或“隐私政策”等向用户告知可能会在使用过程中收集的信息,并获得收集、使用用户个人信息的授权。用户通过阅读、勾选同意APP隐私条款的格式合同,从合同内容中知晓自己被收集和使用的信息,并授权自己的信息被收集和使用,实现对自己个人信息的控制权。

然而,实际上个人难以实现对自己信息的控制。多数人会选择跳过阅读冗长的隐私条款,即便进行了勾选,也不会仔细阅读其隐私政策中个人信息保护的相关内容。而且,每个人对“同意”的理解大相径庭,由于企业“二次利用”个人信息导致的诉讼不在少数。

所以,企业作为信息处理者,应当将用户全部信息都纳入个人信息保护范畴,将不同的个人信息实行分级分类管理。对信息不同等级和分类,即敏感信息、重要信息和一般信息建立不同梯度的监控机制与告知机制。及时监控敏感信息,针对敏感信息使用场景,可以进行“二次告知”,改变“一次同意,终身同意”的选择机制,从源头上降低因个人信息保护引起的诉讼风险;对于一般信息,可以使用企业的标准化操作,获取用户合理适当的授权,以减少成本。

同时,要满足个人信息保护与数据流通并举的要求,减少因信息保护导致的不必要诉累,在产品设计上就符合规章制度的要求,做好制度合规。

结语

随着互联网经济和数字化建设的高速发展,相关的法制建设和法制保障也在稳步深化,缺乏完善个人信息保护规制的企业,将面对极高的违法风险和诉讼成本。个人信息及隐私保护已为业内共识,企业要走得更远需要将高新的信息技术与完善的制度合规相结合,才能面向未来、适应未来。

参考文献:

[1]石佳友:《隐私权与个人信息关系的再思考——兼论私密信息的法律适用》载上海政法学院学报,2021年

[2]李芊:《从个人控制到产品规制论个人信息保护模式的转变》载中国应用法学,2021年第1期

 

 

 

 

供   稿 | 曾祥敏律师团队

排   版 | 董丽娜

核   稿 | 苏慧英

审   定 | 刘雅滢