第一章 绪论
一、研究背景
众所周知,当今世界是经济全球化、信息技术高速发展的时代,公民的个人信息愈来愈成为一种重要的社会资源,其经济价值和社会价值正不断被深入挖掘和利用,全球范围内的海量的个人信息能满足巨量的商业利用需求,另一方面,大数据的急速发展为个人信息数据的开发利用奠定了良好的技术基础,各类社会组织可以通过大数据的信息化工具获得海量的数据,通过专业化的数据统计、分析、研究以满足商业开发的需求,从而获得巨大的商业利益。国内互联网巨头“抖音”在 2020 年 6 月当月实现营收逾 907万美元,是去年同期的 8.3 倍,其中约 89%来自于国内市场,约 6%来自美国市场,其在苹果和安卓市场的下载量稳居第一。然而,商业公司在通过收集消费者的个人信息给社会大众提供产品和服务,不断丰富社会生活、促进互联网经济大发展的同时,在另一层面也使得个人信息受到巨大的侵害危险,因为个人信息泄露所引发的各种侵权纠纷、欺诈案件时常发生,对社会经济生活造成严重影响,因此,个人信息保护的重要性越来越得以凸显。
与欧美发达国家相比,我国在规制个人信息保护方面起步较晚,迄今为止,尚未制定一部相对完善的个人信息保护法律规范,仅在立法层面对个人信息保护进行了初步的尝试,例如,2010 年颁布的《侵权责任法》第一次将“隐私权”概念提出,并明确了网络侵权责任,2012 年《全国人大常委会关于加强网络信息保护的决定》在网络服务提供者收集、使用公民个人电子信息的规则及保护义务方面进行了立法规制,此外,在地方层面,部分地方政府出台了地方性法规,如贵州省颁布了我国第一部关于大数据的地方性法规——《贵州省大数据发展应用促进条例》。
.......................
二、研究内容
本文除摘要和结论部分外,其他章节内容大概如下:
第一章,首先介绍个人信息保护研究背景、研究内容、研究方法等,为后面的研究做铺垫。
第二章,个人信息保护概述,首先对个人信息进行理论研究,通过对个人信息的基本概念、分类论述,然后从个人信息的私法保护角度对个人信息保护领域的前辈所作的研究进行总结;此外,从个人信息保护与《通用数据保护条例》(GDPR)的相关研究总结出前人的研究成果,从而为本文的研究奠定基础。
第三章,我国个人信息保护立法现状及其缺失,主要从个人信息法益的中国法渊源、个人信息权利属性的法理辨析、刚刚颁布的《民法典》与个人信息保护的相关规定,从而研究分析出我国现行立法对个人信息保护的立法缺失,为后文的研究提供理论基础。
第四章,个人信息保护的域外考察——以欧盟为例,主要是以欧盟 2018 年正式实施的《通用数据保护条例》为研究对象,首先介绍《通用数据保护条例》的立法背景,即欧洲个人数据的法律渊源,其次是详细介绍了《通用数据保护条例》的内容及其特点,再者是通过分析《通用数据保护条例》的实施情况,对其作出全方位的评析。
第五章,GDPR 法案背景下个人信息保护制度的完善建议。通过前文对我国个人信息保护的立法缺失、GDPR 法案的研究分析,第五章首先对 GDPR 模式立法进行可借鉴性分析。从立法法理相通、立法背景比较两个角度进行论证。进而从立法目标、区别保护、制度协调、域外管辖、举证责任等五个方面提供 GDPR 法案背景下我国个人信息保护立法的完善建议。
...................
第二章 个人信息保护概述
第一节 个人信息的基本内涵
一、个人信息基本概念
信息大爆炸的时代使得各种个人信息高速流通、交换并产生价值。互联网特别是移动互联网能准确搜集用户在任何使用场景的个人信息、消费信息和浏览记录,通过消费信息、用户浏览信息,可以迅速给互联网用户画像,使用大数据工具准确描绘出用户的公民身份。为了更好地防范大数据时代的个人信息保护所面临的风险,在保护个人信息方面,2017 年 10 月 1 日开始实施的《民法总则》第一百一十一条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”但现行法律规范中并没有对“个人信息”的定义进行精准地内涵划分。
笔者认为,当下主流学界中立识别说关于个人信息的概念更为准确,本文关于个人信息、个人数据的概念将基于此而展开。从本质上来看,个人信息与个人隐私并没有明确的界限划分,个人隐私与个人信息是你中有我,我中有你的关系,其中有部分的个人信息由于涉及到个人隐私而被归属于个人隐私信息,而有的个人信息可以向社会公开而不归属于个人隐私。在此过程中,中立的识别型学说直接或间接识别信息主体的信息归为个人信息的范围,从而避免了关联说过于宽泛和隐私说过于狭小的情形。
尽管我国现行法律法规并没有对“个人信息”进行非常明确的定义,但综合我国现行的下位法律法规可以看出主要还是采用的中立识别说的观点。2016 年 11 月 7 日发布并于 2017 年 6 月 1 日实施的《中华人民共和国网络安全法》第七十六条明确了个人信息的定义,即将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。此外,于 2013 年 9 月 1 日起开始施行的《电信和互联网用户个人信息保护规定》(工业和信息化部令第 24 号)也将个人信息定义为“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”,综上可知,我国立法机关、司法机关和执法机关,都倾向于将个人信息的范围限定在“可以识别个人身份的信息”,刚刚颁布的《中华人民共和国民法典》也将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”,从民法典对个人信息的定义可以看出,我国立法机关最新的观点强调了个人信息的“可识别性”。
............................
第二节 个人信息保护研究文献综述
一、个人信息的私法保护文献综述
1、王利明教授在《隐私权概念的再界定》[1]一文中认为在我国,虽然自然人的隐私权已经得到了理论界和实务界的大范围认同,但是个人的隐私权的边界到底应该扩展到何处的话题仍然有很大的分歧,需要法律从业人员的进一步深入研究探索。王教授认为隐私权虽然是具有宪法意义上的理论基础,但是隐私权仍然属于自然人的一项民事权利。隐私权在法律意义上的具体属性属于具体的人格权,而不是一般意义上的人格权。王教授认为,隐私权主要应当包含两个方面的内容,第一是生活安宁的权利,第二则是私人秘密的权利。因此,自然人的个人信息资料不应计入隐私权的范围,个人信息权和隐私权应当是两个相对独立的两项民事权利。前述王利明教授将隐私权与个人信息权进行分离为我国个人信息保护立法提供了研究基础,开辟了个人信息保护立法的新领域。
2、王利明教授另一篇论文中再次深入论述了个人信息权和隐私权的划分问题,其在《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》[2]一文中认为公民的个人信息权的范畴应当远大于个人隐私权的范畴,由于自然人的个人意思表示与个人信息之间存在着巨大的差别,所以他建议在未来的民法典立法中应当将个人信息保护方面的立法予以单独立法,而不是其他学者主张的将个人信息保护纳入到隐私权保护的范畴。从另一个角度讲,王利明教授认为我国未来的个人信息保护立法应当围绕公民的私权保护为中心,单独地将个人信息保护当作是一种具体的民事权利予以保护,最终对个人信息保护单独规范。
民法典》对个人信息保护立法的开拓
.........................
第三章 我国个人信息保护立法现状及其缺失....................................10
第一节 个人信息法益的中国法渊源.............................10
第二节 个人信息权利属性的法理辨析........................11
第四章 欧盟个人信息保护立法实践...............................22
第一节 GDPR 法案的立法背景.................................22
第二节 GDPR 法案的立法文本分析.........................23
第五章 我国个人信息保护制度的完善建议................................28
第一节 可借鉴性:GDPR 模式立法可借鉴性分析.........................28
一、立法法理相通............................28
二、立法背景比较.............................28
第五章 我国个人信息保护制度的完善建议
第一节 可借鉴性:GDPR 模式立法可借鉴性分析
一、立法法理相通
前述已经写到,在个人信息权益属性上,欧洲多将其认为是一种人格权保护的法益,是从隐私权中不断剥离并发展起来的一项个人信息权。这一点与中国对于个人信息的法律属性的定义是相一致的。以王利明教授为代表的学者认为个人信息是区别于隐私权的一种具体化的新型人格权。不论是在内涵、范围还是在内容上都与隐私权有很大的不同。[33]我国在新的《民法总则》制定过程中,对于个人信息的保护也经历了一个从无到有的过程,从 2016 年第一稿未对个人信息做出任何规定,到 2017 年个人信息修改稿中对个人信息规定了两个条文,最后在定稿中形成了第 111 条,对个人信息的保护。在这个条文中明确了个人信息是一种权利,并且将其作为一种以个人身份信息作为独立的人格要素而设立的民事权利,这表明其既不是隐私权所保护的隐私内容也不是一个个人信息法益。[34]因此,基于欧盟与中国在对个人信息权属上的基本一致性,为我国借鉴 GDPR 的先进立法经验提供了可能。[35]
二、立法背景比较
信息化是当代社会的主要特征,其表现在自动化机器下大数据的处理更加迅速和便捷,但在给人们带来好处的同时,信息化主体的权利也受到不必要的侵犯。对于以欧盟为代表的数据保护的发展,主要分为两个阶段。第一个阶段是互联网刚刚兴起阶段,信息的传输还未在互联网上得到普及,但当时欧盟的许多国家已经认识到了个人信息的重要作用,例如德国于 1970 年制定的《黑森林州数据保护法》,以及瑞典制定数据保护法,这些都是欧盟个人数据保护法令的法律渊源,成为个人信息立法保护上的先驱。第二个阶段是对个人信息保护法立法,最具代表性的就是欧盟于 1995 年通过的《个人数据保护指令》。而 GDPR 的制定就是在这样的背景下,同时又因为近几年数据的跨境流通日益普遍,原有的 95《指令》已经无法满足需要,在此背景下 GDPR 应运而生。
..........................
结论
目前全球经济已经逐渐步入“大数据时代”,每一个个体都是“信息人”,每一个个体既是信息的生产者,同时也是信息的消费者,没有人可以从信息社会中抽离出来,回到最初的混沌时代,另一方面,我们人类社会的任何一种交易行为,抑或是任何一种社会关系都在一定程度上与“互联网化”、“信息化”相关,同样地,立法机关制定调整与“信息化”相关立法尝试也理所当然地应具有“信息化”的基因,吸收全球领域内先进的立法理念,也是势在必行。欧盟制定的《通用数据保护条例》是个人信息保护领域内迄今为止最具创新性的立法文本文件,它的起草者提出了诸多前所未有的创举,有效地平衡了商业利用与法益保护之间的博弈关系,所以对其保护与利用的利益再衡量必然成为个人信息保护法在理论上的起点和基础。
商业上的利益博弈从来都是零和游戏,结果多为“你死我活”,而关于立法上的利益平衡力求达到的目标则应该是“多方共赢”和“各方共和”。因此,需要识别个人信息保护和利用中多方主体的利益需求,承认与确保其核心利益的实现,让渡自身非核心利益而使他方的核心利益得以实现。
本文通过借鉴欧盟 GDPR 的立法实践经验,同时加强对个人敏感隐私信息强化保护,以及强化个人一般信息的商业利用和国家基于公共管理目的的利用,实现个人、信息业者和国家三方利益平衡。本文从对我国个人信息保护的立法缺失、GDPR 法案的研究分析,最终对 GDPR 模式立法进行可借鉴性分析。从立法法理相通、立法背景比较两个角度进行论证。进而从立法目标、区别保护、制度协调、域外管辖、举证责任等五个方面提供 GDPR 法案背景下个人信息保护立法的完善建议,期望能为我国个人信息保护立法提供可资借鉴之处。
参考文献(略)