最新消息
首頁 最新消息
《民法典》數據問題評析 | 2021-05-19 |
文章来源:由「百度新聞」平台非商業用途取用"http://www.acla.org.cn/article/page/detailById/29543?from=singlemessage&isappinstalled=0" 2020年5月28日,十三屆全國人大三次會議表決通過了《中華人民共和國民法典》(“《民法典》”)。《民法典》將于2021年1月1日起正式施行。作為我國首部以法典命名的法律,《民法典》包括總則編、物權編、合同編、人格權編、婚姻家庭編、繼承編、侵權責任編及附則,共計1260條,內容覆蓋了民事主體社會生活領域的方方面面,被譽為“社會生活百科全書”。數據已經成為重要的生產要素之一,個人信息更是與每個人息息相關。數據的有效利用和合理保護關乎個人及所有民事主體的權利保障,關乎生活質量和社會福祉的提高,關乎經濟產業的創新發展。以個人信息為核心內容的數據問題當然也是《民法典》立法過程中備受關注的內容之一。《民法典》中直接提及數據或個人信息的條款共11條,另有其他一些條款,在條文表述中雖未直接使用“數據”或“個人信息”,但也與此相關。相關條款的內容主要涉及個人信息的定義和權利屬性、個人信息處理、個人信息主體的權利內容和個人信息處理者的相應義務、個人信息侵權的救濟、特定行業數據的專門規定等多個方面的基礎性規定。本文試圖通過對上述重點方面的解讀和評析,幫助企業了解和梳理合規要點。01個人信息的定義和權利屬性1.1個人信息的定義《民法典》第1034條明確規定了個人信息的定義,“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”。《民法典》作為確定民事權利義務根本內容的基礎性法典,明確了個人信息的定義和范圍,對于加強個人信息保護,包括在司法實踐中減輕司法機關裁判壓力等有突出的意義。《民法典》關于個人信息的定義基本沿用了此前《網絡安全法》中的定義,強調了“可識別性”這一個人信息判定的根本特征,這也與包括歐盟在內的世界主要國家和地區對于個人信息定義的基礎保持了一致。值得注意的是,在截至目前關于個人信息的主要法律性規范中,2017年6月生效的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋〔2017〕10號)(“兩高司法解釋”)對于個人信息的定義,除了“識別身份信息”以外,還增加了“反映特定個人活動情況的信息”,與今年3月最新發布的《信息安全技術個人信息安全規范》(GBT35273-2020)(“《個人信息安全規范》”)保持了同樣的表述。對此,一種觀點認為此種表述屬于對個人信息的擴展解釋;也有觀點認為“反映特定自然人活動情況的各種信息”并不是對“能夠單獨或者與其他信息結合識別特定自然人身份”的補充而是突出強調,兩者也并非并列關系而是包含關系。我們傾向于后一種觀點,即“反映特定自然人活動情況的各種信息”的基礎仍是自然人的特定和可識別性,應當屬于公民個人信息的一種類型。《民法典》相較《網絡安全法》,在個人信息類型列舉中追加了“電子郵箱”“健康信息”和“行蹤信息”,其中的“行蹤信息”恰恰符合“反映特定自然人活動情況”的判定范疇。因此,我們認為,《民法典》的定義并不意味著與兩高司法解釋和《個人信息安全規范》的規定沖突,反映特定自然人活動情況的信息仍然應當包括在個人信息范圍之內,《個人信息安全規范》附錄A中關于個人信息從信息到個人和從個人到信息的判定途徑,仍然具有實務指導意義。1.2個人信息與隱私權的區別及其權利屬性《民法典》經過長時間的研究討論、摸索和反復修改,最終落實將人格權編獨立成篇,其目的在于明確人格權的權利內容,加強對民事主體人格權的保護。其中,隱私權被明確作為人格權的權利內容之一,且除了一般規定之外,還在人格權編中與個人信息作為單獨章節進行了具體規定,凸顯了立法者對于當今時代保護隱私權和個人信息的重視和強化的意圖。隱私權與個人信息既有聯系又有區別。《民法典》強調了隱私的“私人生活安寧”“不愿為他人知曉”“私密空間、私密活動、私密信息”的特征。隱私信息中能夠“單獨或者與其他信息結合識別特定自然人”的信息屬于個人信息,個人信息中符合“私密“特征的信息屬于隱私信息。根據《民法典》第1034條的規定,個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。即,屬于隱私信息的,應當首先按照人格權的一般規定以及《民法典》第1032條、第1033條關于隱私權的保護和禁止性行為的規定進行保護。此外,個人信息雖然與隱私權一起作為人格權編中的獨立內容進行了規定,但是與隱私權被明確為人格權的權利內容之一不同,個人信息最終仍然沒有被明確為“權利”,而與在《民法總則》中一樣,被規定為應當依法受到保護的“權益”。其根本原因在于與隱私權等純粹的私人權利不同,個人信息作為數據的一類,是當代生產要素之一,個人信息的立法需要兼顧對其合理保護和有效利用雙重的法律價值;其立法結果也是與包括互聯網企業在內相關行業的博弈結果。雖然,在《民法典》中個人信息沒有明確為民事權利,但是并不妨礙其作為法定的權益內容,依法受到保護。而且《民法典》再次強調和進一步明確了個人信息權益的具體內容,個人依法追究侵犯個人信息責任的法律依據將更加明確。企業應當更加注意相關領域的合規操作。02個人信息的處理原則2.1處理的合法基礎和例外我國關于個人信息處理的合法基礎采取選擇同意原則(“opt-in”),《民法典》對這一原則再次予以明確。根據《民法典》第1035條,處理自然人個人信息的,應征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外。該條款重申了《網絡安全法》《消費者權益保護法》和《個人信息安全規范》等相關法律法規、國家標準所確立的選擇同意原則,同時針對處理個人信息的合法基礎作出修正:在符合法律、行政法規規定的前提下,可以不經個人信息主體同意而處理其個人信息,從而使《民法典》與其他有關法律法規更好地銜接,并為《個人信息保護法》等專門法律、法規的制定留下空間。同時,《民法典》還進一步規定了處理個人信息的責任豁免情形。第1036規定了三種豁免情形,包括在自然人或其監護人同意范圍內合理處理、個人信息系自然人自行公開或已合法公開(但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外)、為維護公共利益或該自然人合法權益而進行合理處理。此外,《民法典》第999條還規定了為公共利益而進行新聞報道、輿論監督的特別例外情形。根據《民法典》上述條款,我國法律目前認可的處理個人信息的合法基礎包括:(1)個人信息主體或其監護人同意;(2)個人信息系自然人自行公開或已合法公開(但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外);(3)為維護公共利益或該自然人合法權益,包括基于公共利益目的而進行新聞報道或輿論監督;(4)法律、行政法規規定的其他合法基礎(如,根據《電子商務法》規定,電子商務經營者應主管部門要求,依法向主管部門提供有關電子商務數據信息的,無需征得個人信息主體的同意)。可以看出,《民法典》在一定程度上突破了原有法律對個人信息處理合法基礎的限制。但需要注意的是,上述豁免條款中的第一項和第三項都強調處理個人信息應限于“合理”范圍內。至于如何界定“合理”范圍、如何判斷是否符合公共利益,《民法典》留有空白,企業目前仍可參照包括《個人信息安全規范》在內的現行規范性文件的有關規定處理,更進一步的規定還有待正在制定中的《個人信息保護法》等配套法律法規予以細化。此外,相較于《民法典》,2014年發布的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》(“最高院司法解釋”)和《個人信息安全規范》對處理個人信息的選擇同意原則提供了更多例外情形,但多數并未被《民法典》采納(考慮到《民法典》側重于確立原則性的規范,因此上述具體的例外情形未在《民法典》中明示不表示其被立法機構否定,未來在《個人信息保護法》等專項法律、法規中可能會對此做出進一步明確規定)。在企業的經營活動中,如確有理由處理個人信息而無法獲得個人信息主體同意的,建議可以參照最高院司法解釋、《個人信息安全規范》等列示的情形,在企業制定和公布的個人信息保護政策中進行詳細的約定,以避免、減少違反《民法典》上述規定而引發的法律責任。2.2處理的基本原則《民法典》第1035條規定了處理自然人個人信息的基本原則。首先,在條款的適用范圍方面,《民法典》第1035條明確將處理個人信息的基本原則適用于所有民事主體的個人信息處理活動且涵蓋個人信息全生命周期;在規制的主體和場景方面,不再僅限于《網絡安全法》所適用的網絡運營者對個人信息的處理或《消費者權益保護法》所規定的經營者對消費者個人信息的處理活動。盡管《個人信息安全規范》對于上述原則也作出相同或類似規定且其適用范圍并不局限于特定主體或場景,但《個人信息安全規范》是不具有強制執行力的推薦性國家標準,因此其法律效力和執行力度有限。由于此前立法上的空白,現實中造成對個人信息保護往往重線上、輕線下或偏重于特定場景的問題,在監管和執法領域易形成盲點。《民法典》首次以法律的形式確定了個人信息處理的基本原則全主體、全場景、數據全生命周期的適用范圍,完善了個人信息保護的頂層立法。其次,在該條款所確立原則的具體內容方面,該條款重申了《網絡安全法》《消費者權益保護法》和《個人信息安全規范》等相關法律法規、國家標準所確立的個人信息處理原則,除上文已討論的選擇同意原則外,還包括合法、正當、必要原則,明示、披露原則等。第三,由于《民法典》第1035條規定的是個人信息處理的基本原則,如何理解和具體適用上述原則還需要結合配套規定落實。包括《個人信息安全規范》和其他國家標準、規范性文件在內的相關配套文件,對于企業合規而言仍有重要參考價值。以最小必要原則為例,該條特別強調了個人信息處理的最小必要原則,不僅規定處理個人信息“應當遵循合法、正當、必要原則”,還就必要原則從反面重申了“不得過度處理”(此內容在2019年12月28日發布的《民法典(草案征求意見稿)》中被專門補充到本條款中),與《網絡安全法》《消費者權益保護法》及《個人信息安全規范》一脈相承,體現了立法者對于過度采集和濫用個人信息問題的關注。今年新冠肺炎疫情期間,武漢某小區曾發生的在核酸檢測中要求居民必須提交手持身份證照片的情況,明顯違反了個人信息處理的最小必要原則。今后,公民遇到此類情形,可依據《民法典》向信息處理者提出維權主張。對于企業而言,我們建議,無論涉及線上還是線下個人信息處理,都可以參考《網絡安全實踐指南移動互聯網應用業務功能個人信息收集必要性規范》對自身的個人信息收集和使用情況進行自查和改進,同時關注相關立法和國家標準(如《信息安全技術移動互聯網應用程序(App)收集個人信息基本規范(征求意見稿)》)的制定情況并適時完善內部的數據合規機制。第四,明示、披露原則的落實仍是合規監管重點。明示、披露是授權同意原則得以保障的必要前提,否則個人信息主體在未充分理解信息處理規則的情況下作出的授權同意將存在瑕疵。對于企業合規而言,存在線下處理個人信息場景的企業,如果此前尚未關注個人信息保護問題的話,現在也應考慮公開處理個人信息的規則和明示處理信息的目的、方式和范圍的實現方式。例如,在商業樓宇設置攝像頭收集來訪者面部信息或要求留存訪客身份證復印件的,應在進入大廈的顯著位置或采取其他有效方式披露上述信息或提供獲取上述信息的方式。我們還注意到,在公安部公布的今年一季度App違法收集公民個人信息十大案例中,超過一半的違法App都存在未明示處理個人信息的目的、方式或范圍的問題,說明遵守明示、披露原則無論是從民事角度或是行政監管角度,仍是企業合規的重點。03個人信息主體的權益和信息處理者的義務3.1個人信息主體的權益首先,根據前述個人信息的處理原則,個人信息主體的信息被處理的,享有被告知相應信息的權益,包括被告知處理信息的目的、方式、范圍,有權知曉處理信息的規則。盡管《民法典》第1035條并未直接規定個人信息主體享受什麼權益,我們理解,本條規定雖不同于歐盟《通用數據保護條例》(“GDPR”)直接將獲取處理個人信息相關的信息,如目的、方式、范圍、收集個人信息的主體名稱及聯系人、個人信息的接收者(或接收者種類)等明確地規定為一條權利,但是其施加給個人信息處理者的義務實際上可推導出個人信息主體享有獲知《民法典》第1035條個人信息處理原則條款中所提及的信息的權益。其次,《民法典》第1037條明確規定個人信息主體享有以下權益:(1)獲取個人信息的權益:個人信息主體可依法向信息處理者查閱或者復制其個人信息。《民法典》在《網絡安全法》規定的個人信息主體所享有的更正權和刪除權之外,新增個人信息主體獲取個人信息的權益,在邏輯上完善了《網絡安全法》第43條規定的更正權和刪除權。邏輯上,個人信息主體通過查閱或復制信息處理者保存或處理其個人信息的具體信息,才有可能判斷信息處理者處理的個人信息是否正確或完整,或者初步判斷信息處理者是否有權、越權處理其個人信息。對于個人信息主體可以獲得的個人信息的范圍、如何行使該等權益,《民法典》沒有規定。個人信息主體除獲得其被收集的個人信息外,是否可以請求信息處理者提供更多的信息(比如,個人信息是否提供給第三方,或者信息處理者是否從第三方處獲得該等個人信息以及具體的信息來源),《個人信息安全規范》對此有所規定,但鑒于其并非強制性國家標準,《民法典》規定的查閱和復制權的內涵和外延應當如何確定,尚有待觀察后續專門立法或司法實踐。在該權益的行使方面,我們理解,無論信息處理者基于何種依據處理個人信息主體的個人信息,其履行向個人信息主體提供個人信息的義務之前提是個人信息主體提供最小、必要的信息證明其身份,以便信息處理者核實其身份后向對應的個人信息主體提供查閱或復制。此外,正如權利不可能是絕對且沒有邊界的,該等查閱、復制個人信息的權益不應當是不加限制的。比如,某些特定場景下,個人信息主體擬查詢、復制的個人信息牽扯他人的個人信息,該等查詢或復制可能侵害他人合法利益的,我們認為就該等查詢、復制應予以限制或采取保護他人信息的措施。(2)更正權:個人信息主體發現信息處理者處理的其個人信息有錯誤的,有權提出異議并請求及時采取更正等必要措施。與《網絡安全法》的規定相比,《民法典》就個人信息主體發現信息有錯誤的情形如何處理,并未僅僅限定于“更正”,而是“提出異議并請求及時采取更正等必要措施”,因此,理論上,個人信息主體可要求信息處理者采取其他必要措施,至于具體可采取哪些其他必要措施,我們理解,應結合具體的場景具體情況具體分析。(3)刪除權:個人信息主體發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,有權請求信息處理者及時刪除。《民法典》僅就刪除權做出了原則性規定,至于“刪除”的具體內涵(請見下文第3.2節第(3)部分的討論),刪除權的行使有無限制性條件,哪些情形下信息處理者有權拒絕刪除(如為準備或應對訴訟可能需要保存、處理個人信息除外),有待后續立法進一步明確。3.2信息處理者的義務與《個人信息安全規范》采用的“個人信息控制者”的概念不同,《民法典》對于對個人信息進行處理的主體并未使用“信息控制者”概念,而是提及“信息處理者”的概念,但并未進行定義。《民法典》中的“個人信息的處理”是指個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。因此,《民法典》下的信息處理者指的是進行前述活動的主體。以下簡要介紹信息處理者的義務:(1)一般性義務根據《民法典》第111條,任何組織或者個人,包括信息處理者,除不得非法收集個人信息外,還不得非法使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。該條整體上確定了信息處理者的依法收集、使用、提供、公開個人信息的原則,也是信息處理者應堅守的一般性義務。(2)披露及依法處理義務與《民法典》第1035條規定的信息處理原則相適應,信息處理者處理個人信息的,應履行公開處理信息的規則,明示處理信息的目的、方式和范圍的義務,以取得同意為前提或依照法律法規規定可不取得個人信息主體同意的,依法處理個人信息。(3)對個人信息主體權益的配合義務與《民法典》第1037條賦予個人信息主體的權益相對應,信息處理者對于個人信息主體行使其獲取個人信息的權益、更正權和刪除權時,負有配合義務。當然,這些配合義務的具體履行方式和詳細要求,《民法典》未做出具體的規定。就個人信息主體行使獲取其個人信息的權益而言,《民法典》規定信息處理者有義務提供個人信息,但對于個人信息來源等信息是否予以提供,個人信息主體一定期限內多次要求提供是否收費等,目前我國法律法規層面尚無具體的細化規定。相較而言,歐盟GDPR的規定較為具體,包括個人信息主體獲取個人信息的權利不能對他人的權利和自由帶來不利影響;在符合規定的情況下,控制者應個人信息主體的請求提供一份復制件,如果個人信息主體索取更多的復制件,則可以向個人信息主體收費。不過,《個人信息安全規范》第8.1條就個人信息主體獲取信息的權利對應的義務作出了寬泛的規定——個人信息控制者應向個人信息主體提供查詢下列信息的方法:a)其所持有的關于該主體的個人信息或個人信息的類型;b)上述個人信息的來源、所用于的目的;c)已經獲得上述個人信息的第三方身份或類型。該規范第8.7條也對響應個人信息主體的要求做出了細致的規定。目前,企業在實務中可借鑒該推薦性國家標準處理個人信息主體的請求。就個人信息主體的更正權而言,信息處理者根據具體情況有必要核實信息的,在個人信息主體提出異議后需要盡快核實信息,采取更正等必要措施。我們理解“等必要措施”的規定,賦予了信息處理者一定的裁量權,例如,在更正信息前可能有必要臨時性地限制處理有關個人信息(如適用)。因此,個人信息主體提出對信息處理者處理的個人信息進行更正或限制使用、暫時斷開鏈接等措施的,作為信息處理者的企業有必要根據具體情況,判定限制個人信息的使用或暫時斷開鏈接等措施是否為必要措施,并采取相應行動。就個人信息主體依法行使刪除權,信息處理者有配合義務。至于刪除權的具體行使邊界,或者說信息處理者的義務范圍,《民法典》沒有具體的規定。該等刪除是否指參照《個人信息安全規范》第3.10條的規定在信息處理者實現日常業務功能所涉及的業務系統中刪除并使其保持不可被檢索、訪問的狀態即可,還是從信息處理者的系統或文件檔案中完全移除、銷毀,抑或是采取措施達到“刪除”的同等效果(如歐盟GDPR下的可遺忘權),以及信息主體要求或通知其共享、提供信息的第三方刪除,也無具體的規定。實踐中,在缺乏具體的法律法規規范的情況下,《個人信息安全規范》仍具有實操上的借鑒意義。(4)安全保障義務信息處理者負有確保個人信息安全的義務,具體體現在《民法典》第1038條,這些規定與《網絡安全法》的規定是一致的,但如前所述,作為統領民事領域的法律,《民法典》對于個人信息的保護不局限于通過網絡、互聯網信息技術手段處理個人信息的情形,還包括非網絡環境下的個人信息處理。因此,不論是否將個人信息儲存在網絡設備或網絡環境中,信息處理者都應當采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失。04個人信息侵權責任4.1《民法典》侵權責任編的適用個人信息侵權責任未在《民法典》侵權責任編中獨立成章規定,因此,個人信息侵權責任適用《民法典》侵權責任編第一章“一般規定”、第二章“損害賠償”、第三章“責任主體的特殊規定”。4.2侵權責任承擔方式《民法典》第179條規定了承擔民事責任的主要方式,其中包括停止侵害、排除妨礙、消除危險、恢復原狀、賠償損失等。個人信息受到侵害時,侵權人依照《民法典》第179條的規定承擔相應的責任,我們理解,根據個人信息的特點及具體應用場景,通常而言停止侵害、排除妨礙、恢復原狀、賠償損失為侵權人承擔責任的主要方式。關于損害賠償,《民法典》侵權責任編第二章集中就損害賠償進行了規定,其中第1182條規定了侵害他人人身權益造成財產損失時賠償數額的確定方式,即按照被侵權人因此受到的損失或者侵權人因此獲得的利益進行賠償;損失以及因此獲得的利益難以確定的,無法就賠償數額協商一致的,由法院根據實際情況確定賠償數額。個人信息權益因侵權受到損害應獲得多少損害賠償,我們理解,需要法院在個案中確定。如果涉及精神損害方面的賠償,通常該等被侵害的權益應納入隱私權或名譽權范疇。對于獲取個人信息的權益以及更正權、刪除權的履行,如果信息處理者拒絕作為的,個人信息主體可請求法院判令信息處理者采取實現個人信息主體權益的相應行動,采取予以提供、予以更正、刪除等行為。4.3侵權責任主體第三章“責任主體的特殊規定”中,第1194條至第1197條對于利用網絡服務實施侵害他人民事權益的責任主體予以規制。其中,根據第1194條,網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的,應承擔侵權責任,法律另有規定的從其規定。第1195條規定了就網絡用戶利用網絡實施的侵權行為,權利人可通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等措施,網絡服務提供者應將該等通知轉送網絡用戶,并根據構成侵權的初步證據和服務類型采取必要措施;未及時采取必要措施的,對損害的擴大部分與該網絡用戶承擔連帶責任。第1197條規定,網絡服務提供者知道或者應當知道網絡用戶利用其網絡服務侵害他人民事權益,未采取必要措施的,與該網絡用戶承擔連帶責任。因此,企業作為網絡服務提供者,對于網絡用戶侵犯個人信息的行為,在符合《民法典》規定的情形下可能構成侵權責任主體。對于可發布信息的網絡平臺來說,網絡平臺宜篩查平臺上用戶發布個人信息的行為(比如,有無大量個人姓名、身份證、手機號或銀行卡號發布),或者通過技術上的設置預先阻止發布個人信息,尤其是敏感個人信息,以避免侵權風險,當然這可能增加網絡平臺的管理或技術成本。05關于特定行業的規定隨著我國健康醫療大數據的應用發展以及社會信用體系的建設,特別是在此過程中暴露出來的個人信息侵權案件的激增,包含大量個人敏感信息的個人健康信息和信用信息成為個人信息保護領域的重點。《民法典》也特別提及了醫療機構和信用機構的個人信息保護問題。5.1健康醫療個人健康信息是醫療大數據分析的基礎,也是涉及國家戰略安全、群眾生命安全的重要戰略性資源。除關于隱私權和個人信息保護的一般性規定外,《民法典》還在侵權責任編第六章“醫療損害責任”中從兩個方面對個人信息保護作出額外規定:第1225條規定了醫療機構對病歷資料的管理義務以及患者對其病歷資料的查詢和復制權;第1226條則對患者的隱私權加以保護。從個人信息保護角度來看,上述條款可視為《民法典》第1037條、1038條關于個人信息主體的權益和信息處理者義務的規定在特定場景下的具化。與《侵權責任法》相比,《民法典》第1225條基本上延續了《侵權責任法》第61條的規定,而《民法典》第1226條較之《侵權責任法》第62條則發生一些實質性變化,主要包括:首先,將保護的對象從患者的隱私擴大到患者的隱私和個人信息,從而與《民法典》人格權編“隱私權和個人信息保護”一章保持一致;其次,不再以“造成患者損害”作為醫療機構及其醫務人員違反該條款而承擔侵權責任的前提條件,在客觀上將起到減輕患者舉證責任、加強患者權益保護的正向效果。繼《民法典》于5月28日正式通過后,我國《基本醫療衛生與健康促進法》(“《衛健法》”)也于6月1日正式生效。《衛健法》規定,“國家推進全民健康信息化,推動健康醫療大數據、人工智能等的應用發展,加快醫療衛生信息基礎設施建設,制定健康醫療數據采集、存儲、分析和應用的技術標準,運用信息技術促進優質醫療衛生資源的普及與共享”“國家保護公民個人健康信息,確保公民個人健康信息安全。任何組織或者個人不得非法收集、使用、加工、傳輸公民個人健康信息,不得非法買賣、提供或者公開公民個人健康信息”。此外,醫療衛生人員違反該法,泄露公民個人健康信息的,將由縣級以上人民政府衛生健康主管部門依照有關執業醫師、護士管理和醫療糾紛預防處理等法律、行政法規的規定給予行政處罰,屬于公立醫院的,依法給予處分。上述規定反映了我國在大力發展新基建和健康醫療大數據的背景下,依舊強調對公民個人信息的保護,其內容與《民法典》《網絡安全法》和《個人信息安全規范》等相關法律法規、國家標準一脈相承,體現了我國個人信息保護的立法原則。實踐中,健康醫療機構及其工作人員利用職務之便泄露患者個人健康信息的案件以及行業內相關機構遭受黑客攻擊導致公民個人信息被盜取的案件與日俱增。對此,我們建議醫療機構、醫藥機構以及投資、布局健康醫療產業的相關機構加強自身數據安全能力,落實必要的管理和技術措施,防止個人信息泄露。此外,隨著健康醫療大數據產業鏈體系的發展,我們建議健康醫療產業機構還應注重收集、存儲、共享、轉讓等各環節中對個人健康信息的保護,并對上下游企業履行必要的審慎和監督義務,控制個人信息在產業鏈流轉帶來的合規風險。5.2征信和公共信用管理《民法典》通過兩個條款對征信和公共信用管理領域的個人信息保護作出特別規定:第1029條賦予民事主體對其信用評價的查詢權和異議權;信用評價人有義務及時響應民事主體的請求并采取必要措施。第1030條則明確民事主體與征信機構等信用信息處理者之間的關系適用《民法典》人格權編有關個人信息保護的規定和其他法律、行政法規的有關規定。在《民法典》正式頒布之前,我國就征信機構對個人信息的處理和保護主要在《征信業管理條例》中加以規制。總體而言,《征信業管理條例》與《民法典》有關個人信息的規定原則上一致且互為補充。一方面,《征信業管理條例》同樣規定了信息主體對其信息的查詢權和異議權,且二者在處理個人信息的合法基礎和基本原則、信息安全保障等方面具有一致性。另一方面,《征信業管理條例》根據征信行業特點,對信息采集渠道、禁止采集的信息、不良信息的保存期限、信息的保存和跨境傳輸等方面提出了更加具體明確的要求。此外,在處理的合法性方面,《征信業管理條例》第13條規定了選擇同意原則的兩種例外情形:依照法律、行政法規規定公開的信息和企業的董事、監事、高級管理人員與其履行職務相關的信息。《民法典》生效后,根據其第1030條,征信機構除依據《征信業管理條例》上述條款外,還可為維護公共利益或者信息主體合法權益的目的或在法律法規另有規定的情況下,不經信息主體同意而處理其個人信息。與對征信機構的影響相比,《民法典》第1029條和第1030條對于推動我國公共信用體系建設具有更加重要的意義。2019年,國務院發布《國務院辦公廳關于加快推進社會信用體系建設構建以信用為基礎的新型監管機制的指導意見》,要求發展改革委牽頭,各部門按職責分別負責,深入開展公共信用綜合評價,全國信用信息共享平臺依照有關規定將評價結果向社會公開。國家發改委隨后發布《國家發展改革委辦公廳關于推送并應用市場主體公共信用綜合評價結果的通知》,要求將公共信用綜合評價結果納入地方信用信息平臺作為共享信息管理;鼓勵地方政府探索開展地方公共信用綜合評價和行業信用評價,并通過政府采購等方式引入第三方信用服務機構參與公共信用綜合評價。由于我國公共信用管理領域尚未制定頂層立法,而公共信用管理機構在履行其職能過程中不可避免地涉及對大量個人信息的處理活動,如何在加快社會信用體系建設和保護個人信息安全之間達到平衡,成為公共信用領域亟待解決的問題。《民法典》第1029條和第1030條通過“信用評價人”“信用信息處理者”的概念,將公共信用管理機構納入其適用對象范圍內。盡管《民法典》關于個人信息的規定仍需通過配套法律法規進一步完善,但其對于解決上述問題仍提供了原則性的法律依據,對于各地政府建立健全公共信用管理機制具有重要指導意義。06結語和展望《民法典》是中國法治建設的里程碑。《民法典》的發布和實施將對社會生活的各個領域產生深遠影響。另一方面,《民法典》是關于民事權利義務的基礎性法律,除了前述內容之外,對于數據、網絡虛擬財產的保護,《民法典》沿襲《民法總則》,僅做了原則性的規定,為其他專項法律規定留下了充分的空間。隨著科技的發展,數據和個人信息的應用也會不斷加強,明確數據權屬、權利范圍和實施方式、方法等具有重要的實踐意義和法律價值,相關具體內容仍然有待于專門法律以及法規、規章等法律規范的制定加以落實和實施。2020年5月25日,全國人大常委會工作報告在下一步主要工作安排中指出,圍繞國家安全和社會治理,將在2020年陸續制定個人信息保護法、數據安全法等法律法規。此外,隨著法律規定的明確,相關監管和執法也會在現有基礎上進一步強化,并成為常態化。依法合規合理利用和保護數據以及個人信息是企業經營的必由之路。責任編輯:LItag關鍵字:天達共和 關鍵字標籤:抓姦還是外遇蒐證-立達徵信社 |
|