《民法典》:网络安全制度创新的新里程碑

2020-12-11 10:46:29 中国信息安全 34

  立足于完善网络治理体系、促进民事主体网络权利保护的角度,《民法典》在个人信息保护、网络安全义务、人格权制度安全义务、网络侵权规则等网络安全相关问题的规定上,实现了十分重要的制度创新。

  文│中国人民大学法学院教授、博士生导师、民商事法律科学研究中心执行主任 石佳友

  立足于完善网络治理体系、促进民事主体网络权利保护的角度,《民法典》在个人信息保护、网络安全义务、人格权制度安全义务、网络侵权规则等网络安全相关问题的规定上,实现了十分重要的制度创新。

  一、完善个人信息保护规则

  2016年颁布的《网络安全法》是我国首部较为系统地规定个人信息保护的法律。该法第四章“网络信息安全”规定了个人信息的收集原则、网络运营者的相关义务。2017年颁布的《民法总则》进一步以基本法律的形式规定个人信息保护。以这些法律规定为基础,《民法典》的“人格权编”在其第六章设定了多个条文,进一步细化个人信息保护内容,并对《网络安全法》《民法总则》有重要发展与创新。

  首先,就个人信息而言,《网络安全法》主要适用于以电子形式存储、处理的个人信息;而《民法典》则适用于以所有形式(包括书面形式)存储、处理的个人信息。从这个意义上说,《民法典》是普通法,针对所有的“信息处理者”;而《网络安全法》是特别法,约束的义务主体主要是“网络运营者”。值得注意的是,《民法典》对个人信息的“处理”,采纳了一个包含范围十分广泛的广义范畴。根据第1035条第2款,个人信息的处理包括“个人信息的收集、存储、使用、加工、传输、提供、公开等”,这与欧盟《一般数据保护条例》(GDPR)中“处理”的内涵比较接近。GDPR第4条第2款规定:“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。这就最大限度地将个人信息的各类处理操作都纳入《民法典》规制范围。

  其次,《民法典》完善了个人信息的概念。以《网络安全法》第76条为基础,《民法典》第1034条第1款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。其中,“生物识别信息”包括指纹、声音、虹膜、脸相、静脉等生物信息。从国外立法经验看,生物识别信息属于敏感信息,原则上禁止一般机构或个人进行处理,而仅能由为履行法定职责的法定机构进行处理。生物识别信息包含人脸识别信息,因而这一条款在未来有可能用于应对目前亟待规范的人脸识别技术滥用问题。将“健康信息”纳入个人信息的范畴,是总结抗击新冠肺炎疫情经验的结果。健康信息同样属于敏感信息,因为事关信息主体的重大人身利益,如人格尊严。另外,将“行踪信息”纳入个人信息范围也十分重要。如今,大量应用程序(App)都有定位功能,往往在信息主体不知情的情况下默认其同意使用定位信息,从而记录其行踪轨迹,此种情况显然应该加以规范。至于电子邮箱是否属于个人信息,则值得研究。一般的电子邮箱并不具有身份识别功能,在实践中,往往只有在使用特定的工作邮箱等极少数情况下,才可以单独或结合其他信息识别出特定的主体。

  再次,《民法典》对私密信息采取了“隐私权+个人信息保护”的双重保护模式,这被认为是“权利+利益”的二元保护模式。《民法典》第1034条第2款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。按照这一规定,私密信息首先适用隐私权保护的规定。这些规定包括:第1032条第2款“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”;第1033条第5款“除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为⋯⋯ (五)处理他人的私密信息”。根据《民法典》第1034条第2款,仅在隐私权的这些规定无法适用的时候,方可适用个人信息保护的有关规定。因此,对于私密信息,隐私权的规定应优先适用,类似于特别法,因为隐私权是《民法典》明确承认的“民事权利”类型;而个人信息保护由于未明确使用“权利”措辞,因此,属于法律所保护的“利益”范畴,其规则属于普通法,处于辅助性的“补遗”地位。这一做法正好与比较法上以隐私权涵盖个人信息的通例相反,具有独特性。因此,在未来司法适用中,法院需要明确在哪些情况下对于私密信息而言隐私权的制度无法涵盖和适用,此时方可适用个人信息保护的有关规则。

  最后,《民法典》增加了个人信息合理使用的相关规定,在保护个人的人格权与社会公共利益之间维持平衡。根据《民法典》第1036条,处理个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内合理实施的行为⋯⋯(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。本条第1款中的同意例外是比较法上的通例,但是,从保护信息主体的人格利益的角度出发,要防止信息处理者滥用信息主体的概括同意,或者防止监护人滥用对处理未成年人信息的同意权。

  二、规定网络安全相关义务

  近年来,我国发生了多起个人信息数据库被黑客攻破后数据被非法获取的恶性事件,例如2016年的“徐玉玉案”。在这类案件中,由于信息的处理者未能履行信息安全义务,导致所存储的个人信息被他人非法获取,最终给信息主体造成巨大的财产和人身损失,教训极为惨痛。

  有鉴于此,《民法典》强化了信息收集者、控制者确保其收集个人信息的安全义务。其第1038条第2款规定:“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告”。至于何谓“必要措施”,参照欧盟GDPR第32条的规定,应该在充分考虑最新技术水平、实施成本、处理性质、处理范围、处理背景与目的以及给信息主体权利所带来的损害可能性与严重性后,信息处理者所采取的适当技术措施,这些措施需保障其安全处于与风险相称的水平。

  鉴于《民法典》第1038条第2款明确规定了信息处理者的信息安全义务,因此,如果信息处理者违反此种义务,应承担相应的民事责任。就此而言,可以参考《电子商务法》的有关规定。该法第30条规定:“电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。电子商务平台经营者应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告”。该法第38条第2款进一步规定:“对关系消费者生命健康的商品或者服务,电子商务平台经营者对平台内经营者的资质资格未尽到审核义务,或者对消费者未尽到安全保障义务,造成消费者损害的,依法承担相应的责任”。此条直接规定了电子商务平台经营者对消费者所负有的安全保障义务。由于个人信息(特别是敏感信息)直接与信息主体的人身和财产安全密切相关,因此,参照《电子商务法》的有关规定,从《民法典》第1038条出发,应认为个人信息处理者对所处理的个人信息负有安全保障义务。违反此种义务,应承担安全保障责任。

  另外,《民法典》第1038条第1款规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外”。本条前半句规定了信息处理者禁止泄露或篡改个人信息的义务;后半句规定了禁止与第三方分享的义务,但是,经过个人信息的匿名化或者加密处理、使其无法再用来识别特定信息主体的除外。还值得注意的是,第1039条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供”。在“两会”审议期间,本条在义务主体中增加了“承担行政职能的法定机构”,措辞更为周延。此条文在未来的适用中将产生重要的实践意义,因为在现实中,一些人往往通过其在某些国家机关工作的违规行为获取他人的通信、住址、行踪等个人信息及隐私。未来,此种做法将引发行为人的民事责任及行政责任。

  三、网络环境下人格权保护的新问题

  《民法典》的“人格权编”对其他具体人格权的相关规定,对于维护网络安全也将具有重要意义。

  首先,在肖像权部分,《民法典》第1019条规定:“任何组织或者个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权”。其中,“利用信息技术手段伪造”就是针对目前在实践中出现的“AI换脸”技术应用所带来的人格权侵害风险。这一风险主要表现在,在肖像权人不知情的情况下,通过“深度换脸”技术,某些应用程序(App)可将其肖像通过移花接木的伪造手段,将其移植、拼接到某些特定场景中,可能严重侵害其人格利益(例如将其肖像植入色情视频中)。另外,考虑到人脸支付科技应用日益广泛,“换脸”技术将直接事关民事主体的财产安全,因此,这一条文显然具有保护公民财产权的重要价值。

  其次,由于语音识别技术的日趋成熟,其应用范围也日益扩展,对声音的保护具有越来越重要的意义。声音具有独特性和可识别性,因此,与特定主体相联系,声音的性质同样是人格要素,声音权应当成为人格权的组成内容之一。在国外法律中,声音权被普遍确立为一项人格权。因此,我国《民法典》的“人格权编”第1023条第2款也承认了声音权。该条规定:“对自然人声音的保护,参照适用肖像权保护的有关规定”。这就是说,未经自然人同意,不得在导航软件、游戏、视听产品中擅自使用,擅自使用或仿冒他人的声音;禁止未经权利人同意使用、模拟他人的声音,防止通过侵害声音权冒用他人名义或造成不必要的身份混淆。

  此外,酒店偷拍视频通过网络等途径泄露后,消费者非常难以举证酒店是否对此存有过错。现有的行政法规仅能在查获直接行为人后对其处以行政拘留等法律责任,而无法对受害者提供民事赔偿。有鉴于此,《民法典》第1033条规定:“除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为⋯⋯(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;(三)拍摄、窥视、窃听、公开他人的私密活动”。这些条文对于保障公民的隐私安全具有重要意义。从强化人格权预防功能的角度出发,根据比较法上通行的“自设计隐私保护”(privacy by design)原则,从本条出发,可以认为,酒店宾馆等住宿服务经营者负有保护消费者隐私的安全保障义务。这一隐私安全保障义务要求经营者从设计阶段就开始考虑应对各种可能侵犯隐私的行为,并设置合理的预防和处置措施。如果消费者在酒店住宿期间发生被偷拍事件,酒店应就其未尽到隐私安全保障义务承担赔偿责任。

  四、优化网络侵权规则

  网络侵权规则是保障网络安全的重要制度。相对于2009年《侵权责任法》和2018年《电子商务法》相关条文,《民法典》在此基础上作出了重要改进。

  《民法典》第1095条规定:“网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。⋯⋯法律另有规定的,依照其规定”。在本条中,“根据构成侵权的初步证据和服务类型”的措辞,明显区别于《电子商务法》第42条,因为后者仅针对知识产权的侵权行为,而前者则应涵盖所有的民事侵权行为,不能将后者中“通知—删除”规则简单扩展到前者的适用领域。其原因在于:首先,知识产权的侵权之所以采取“通知—删除”规则,是因为知识产权的侵权判断一般要求具有相当的专业知识与技能,而此为一般人所不具备。因此,法律授权平台在第一时间可以先从网上删除有争议的涉嫌侵权产品。一般民事侵权领域显然情况有所不同,例如,在网络发帖侵害名誉权、隐私权的情形中,根据双方所提供的初步证据,平台即可以作出是否存在侵权的初步判断。对于普通民事侵权照搬知识产权侵权的“通知—删除”规则的恶果还在于,授权网络平台在出现投诉后,在不征求网络用户本人意见的情况下就直接删除其作品,这样极其不利于网络言论自由的保护和舆论监督作用的发挥,违反了法律的正当程序原则与对席原则。另外,权利人凭简单一纸主张即可要求平台删除网络用户的作品而无须提供任何担保,也不符合法律的比例性原则,不利于对表达自由等基本权利的保护。向平台提交一纸投诉通知,就可以要求网络平台立即将竞争对手的商品下架,这一简单粗暴的规则极其容易被滥用,用以打击对手,助长恶意投诉及不正当竞争行为,而先删除后恢复的机制,也导致资源的无端浪费与损失。

  正是基于上述原因,《民法典》大幅完善了《侵权责任法》《电子商务法》的相关规则,强调必须根据网络服务的不同类型决定所应采取的“必要措施”。《民法典》的相关条文要求法院在审理网络侵权争议时,根据网络服务的具体类型(网络接入服务、网络内容服务、网络存储服务、网络技术服务等),详细审查网络平台所采取的处理措施是否“必要”,而非一律采取简单粗暴的删帖措施。另外,从该条文的措辞看,受害人所提交的通知中应当包括构成侵权的初步证据,网络用户提交的声明中也应包括不存在侵权行为的初步证据。这也意味着,网络服务提供者负有义务对这些“初步证据”进行初步审查。当然,这种初步审查可以是形式审查,从形式上得出网络用户是否侵害了权利人民事权利的初步判断。只要其尽到了形式审查义务,尽到了合理的注意义务,即可免于承担责任。实质审查的义务应由法院或行政监管机构承担。对网络服务提供商者设定初步审查义务,对于加强其社会责任、实现对网络用户的表达自由和民事主体的人格权之间的平衡保护、维护网络安全和完善网络治理,都具有积极意义。

  (本文刊登于《中国信息安全》杂志2020年第10期)

  声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。