王利明:民法典应强化对数据共享中个人信息的保护
王利明随着互联网和大数据技术的发展,数据共享现象日益普遍。数据共享是一种重要的数据利用方式,也是数据流通和数据产业发展的重要基础。法律应当与时俱进,永葆时代性。我们要制定的民法典则应当成为21世纪互联网、高科技时代民法典的代表,我国民法典应当充分反映时代精神和时代特征,真正体现法典与时俱进的品格。就个人信息保护而言,民法典应当强化对数据共享中个人信息的保护,同时积极回应数据共享中个人信息保护的问题。
平衡好数据流通与个人信息、数据权利之间的关系
从数据共享这一现象也可以看出,人格权已经不再是单纯消极防御性的权利,而是包含了积极利用的权能。数据共享与个人信息权利保护之间存在一定的冲突与矛盾,主要表现在数据分享的效率和个人信息保护之间存在此消彼长的关系:如果从制度安排上,过度鼓励共享,可能对个人隐私、个人信息等人格权保护带来冲击;而如果过度保护个人信息、数据权利,严格限制共享,也会对共享形成障碍,不利于发挥个人信息、数据的经济效用。从世界范围来看,如何妥当协调和处理二者之间的关系,是各国法律制度所面临的共同难题。
我国正在编纂的民法典应当妥善平衡二者的关系,既要注重发挥个人信息的经济效用,也要注重保护信息主体的个人信息权利,不能因为过度保护个人信息等权利而限制了数据产业发展,也不能为发展数据产业而不考虑个人信息等权利的保护,民法典的相关规则设计应当妥善平衡二者之间的关系。最大限度使法律保障的利益得以实现,最大限度地减少利益的损失,是我们在处理利益冲突时应遵循的基本原则。鉴于这一问题比较复杂,民法典作为民事基本法,可以只规定平衡人格权保护和数据流通之间关系的基础性规则,或者作原则性规定,为有关单行法细化规定个人信息的保护提供依据。
在区分个人信息类型的基础上设计数据共享规则
信息蕴含的价值是多方面的,对信息的使用方式是多样化的,并非所有的利用方式都涉及人格利益,企业在进行数据共享时,应当对其是否涉及人格利益进行必要的审查,对于不涉及人格利益保护的情形,不应当严格限制数据的流通和共享。法律也应当建立明确的数据保密等级与公开等级,并保护公民、商业组织的数据隐私权或商业秘密,同时,也应当积极推动各类数据资源的社会共享。不同类型的个人信息,社会公开性程度不同,与信息权利人私人生活和人格尊严的关联程度也有所差异,有些数据属于个人敏感数据,有些则属于一般数据,在保护方面应当有所区别,例如,对敏感信息要进行特殊保护。因此,应当区分个人信息的不同类型,设计相应的数据共享规则,对不同类型的个人信息而言,对信息主体同意的要求和形式也是不同的,不同类型的数据应当有不同的同意规则,具体而言:
一是共享敏感个人信息应当征得信息主体的明示同意。敏感个人信息是指与个人私人生活安宁等密切相关的信息,如个人的家庭住址、身份证号码、银行账号、财产状况、基因信息等。敏感个人信息的保护程度应当高于一般信息,敏感个人信息的共享应当征得个人的明示同意。
二是共享敏感个人信息之外的个人信息,应当相对弱化信息主体的同意要求。敏感个人信息之外的个人信息与个人私人生活的关联程度较低,尤其是就个人教育信息、社会交往等一些已经公开的个人信息而言,其数据共享的条件则应当相对宽松,应当尽量弱化个人同意的条件。在某些情形下,仅要求信息权利人默示同意即可。
三是严格限制共享未成年人个人信息的行为。由于未成年人对其个人信息收集、利用后果的判断能力较弱,需要强化对未成年人个人信息的保护,未成年人个人信息的共享应当取得其监护人的明示同意。
进一步完善数据共享中的授权规则
虽然《民法典各分编(草案)》第817条规定了个人信息共享的规则,但该条规定过于简略,难以有效规范数据共享行为,有待于进一步地细化。民法典编纂应当对数据共享的形式、数据共享的范围等具体的数据共享规则作出规定;同时,为强化对信息权利人的保护,民法典分则应当明确规定,被共享者在获得相关的个人信息后,再次共享仍应当经过信息权利人的授权。另外,有必要确立个人信息匿名化处理的规则,因为如果信息控制者对个人信息进行匿名化处理,按照通常的技术手段已经识别不出信息主体,可以在很大程度上阻断相关信息与个人身份的关联性,在此情形下,数据共享的阻碍将大大降低。此时,数据共享原则上即不需要取得信息主体的同意。可见,匿名化可以在很大程度上将个人信息转化为数据,降低个人信息共享中的隐私风险,是促进数据流通和共享的重要途径。
明确信息共享中信息收集人和持有人对个人信息的安全保障义务
《民法典各分编(草案)》第817条虽然规定了信息收集人、持有人保障个人信息安全的义务,但从该条规定来看,信息收集人、持有人保障个人信息安全的义务限于信息的收集和存储阶段,并不包含信息共享阶段。而且与信息的收集和存储相比,信息共享涉及个人信息的流动,更容易发生个人信息的泄露、毁损和丢失,民法典有必要对信息共享中信息收集人和持有人保障个人信息安全的义务作出规定。
“法与时转则治”,在互联网、大数据时代,数据共享对数据产业的发展具有基础性的意义,数据共享需要妥当平衡数据产业发展与个人信息、数据权利保护之间的关系。从促进我国数据产业发展的现实需要出发,应当鼓励数据共享行为,但数据共享又不能完全离开个人信息保护,否则,数据产业可能进入野蛮生长状态。为保障数据产业健康有序发展,应当在保护个人信息权利的前提下规范数据共享行为,这也是我国民法典编纂应当秉持的立法原则。
对信息共享中格式条款予以规范
在实践中,用户在安装使用一些软件和程序时,必须接受互联网企业的格式条款,否则将无法安装使用。互联网企业可能会利用其经营、技术上的优势地位,通过格式条款的形式设定不利于保护用户隐私、个人信息等的数据共享条款。这就需要有效规制此类格式条款,具体而言有如下几点。第一,互联网企业应当在协议中显著标识个人信息共享的条款,以提示用户注意该条款的内容。第二,对互联网企业所拟定的数据共享的格式条款,可以由相关主管部门对该条款的合法性进行事先审查,相关的行业协会也可以拟定数据共享的示范条款。第三,如果数据共享的格式条款明显不利于保护用户的隐私、个人信息等权利,则信息权利人应当有权否定该条款的效力,该条款也不能成为互联网企业共享用户个人信息的正当性基础和侵权的免责事由。
(作者为中国人民大学教授、中国人民大学民商事法律科学研究中心研究人员)