民法典草案分编强化个人信息保护

    8月27日，民法典各分编草案首次提请十三届全国人大常委会第五次会议审议。在格外引人关注的“人格权编”一编，个人信息和隐私保护写入其中，引发关注。

    草案提出，自然人的个人信息受法律保护。收集使用自然人个人信息的，应当遵循合法、正当、必要原则，并应当征得被收集者同意等。

  8月27日，民法典迈出新一步，民法典各分编草案首次提请十三届全国人大常委会第五次会议审议。在格外引人关注的“人格权编”一编，个人信息和隐私保护写入其中，引发关注。

  全国人大常委会法制工作委员会主任沈春耀在作草案说明时表示，针对隐私权和个人信息保护领域存在的突出问题，在现行法律规定基础上，草案进一步强化对隐私权和个人信息的保护，并为即将制定的个人信息保护法留下衔接空间。

  草案提出，自然人的个人信息受法律保护。收集使用自然人个人信息的，应当遵循合法、正当、必要原则，并应当征得被收集者同意等内容。

  对外经贸大学数字经济与法律创新研究中心执行主任许可在接受民主与法制社记者采访时表示，近年来，不少专家学者一直在呼吁制定个人信息保护的单行法，现在看来，专门的个人信息保护法有望在未来几年出台。

  就企业如何合法地处理个人信息的问题，目前规定最细致、最严格的，要属今年5月欧盟出台的《一般数据保护条例》（GDPR）。在GDPR施行前后，很多企业就开始了为“合规”改变产品和服务设计的工作，这给欧盟企业乃至全球企业带来前所未有的影响，也似乎给个人信息和隐私保护带来了些许希望。

严格的用户“同意”

  不久前，上海消保委授权相关单位对五款主流地图类APP进行测评，结果发现，除腾讯地图外，包括百度地图、高德地图在内的地图类APP均有不同程度的过度索取用户个人信息权限的行为，出现申请的敏感权限与实际功能不符的现象。

  近日，谷歌也被曝出在用户已经关闭授权的情况下，仍在获取用户的位置等隐私信息。数据时代的一个现实问题是，类似于此类手机APP越权或者过度获取用户信息的现象，基本上每天都在上演。

  关于用户“同意”，去年6月1日开始施行的《网络安全法》中，第41条、42条明确规定了网络运营者收集、使用或者向他人提供个人信息等应当经被收集者同意。

  也因此，今年初的支付宝年度账单事件，支付宝因以“一行不起眼的小字提醒用户并默认勾选同意”的方式引发舆论谴责。而在去年《网络安全法》实施后不久，蚂蚁花呗的用户协议也曾因过度收集用户个人信息，且用户只有点击“同意”的权利，而引起轩然大波。

  曾有专家分析这是企业在履行网络安全法等法律法规规定的合规要求。但显然，这样的“合规”处理方式不能为公众接受。

  关于用户同意，GDPR的规定相较网络安全法的规定来说，更加明确、具体，具有可操作性，“用户同意”是作为企业合法处理数据的前提之一。

  许可表示，GDPR前言部分第32项规定，同意应当通过明确的、肯定的行为来体现数据主体对于处理与其相关的个人数据的行为，并且应当是用户自愿表达作出的特定的、具体的、知情的以及清晰明确的同意。

  “根据GDPR的规定，沉默、默认勾选对话框或者不作为都不能构成用户同意。而且用户在选择同意的时候，必须要有一个主动的、自主的选择动作，比如通过点击或者滑动屏幕等操作，就是所谓的选进机制。”许可说。

  而点击“同意”也并不意味着一揽子授权。GDPR中还规定，同意应当涵盖的是为相同目的开展的一切处理活动，如果处理数据的行为有多个目的，所有的目的均应获得用户的同意。

  这其中就包括隐私政策中常见的与第三方共享数据信息的情形。“与第三方公司共享，实际上已经改变了信息收集的目的，那么就仍需要再获得用户的同意。”许可说。

用户“同意”并非唯一合法事由

  而很多国内网友困惑的另一个问题是，很多手机APP“不点同意就无法正常使用”。

  许可介绍，国内的个人信息安全规范区分两种情况，一种是基础服务，是为提供最核心的服务而必须要获得的用户权限，比如地图类APP要获得用户位置权限，相机APP要获得手机摄像头及相册的权限等。另外一种为附加服务，比如音乐APP要获取用户手机通讯录，如此便可向好友推荐该用户听过的歌曲。

  “对于基础服务，用户不点击同意授权，确实就不能使用服务。但对于附加服务，用户当然也有权选择不同意，同时，这种情况下，企业还应当提供基础服务，不能因不同意附加服务就不提供基础服务。”许可说。

  值得注意的是，根据我国《网络安全法》的规定，目前只规定了“收集者同意”作为企业合法使用数据的标准。

  但许可强调，GDPR虽然作为所谓的最严格的保护个人信息和个人数据的法律，但它仍然赋予了企业除了“用户同意”以外的其他共6项合法事由，来作为处理数据的依据，以此避免过于严苛的使用个人同意的条款，限制数据流通。

  根据GDPR第6条第一款规定，除了数据主体同意条款以外，包括为履行数据主体参与的合同之必要、履行法律义务之必要、为了保护数据主体或另一个自然人的切身利益之必要、为执行公共利益领域的任务或行使数据控制者既定的公务职权之必要，以及为了追求合法利益之必要。

  “也就是说，很多信息的收集和使用未必一定要经过用户同意。比如为了履行合同所必须要收集的信息，不需要用户同意也可以进行处理。”许可说，同时，GDPR还赋予了数据主体随时撤回同意的权利、选择不同意的权利以及删除个人数据的权利。

  必须一提的是，GDPR之所以被称为“最严数据法”的原因，除将个人信息保护上升到前所未有的高度之外，还在于其明确了相当严格的处罚措施，违反该法律的公司将面临最高2000万欧元或全球年度营业额4%的罚款。

  许可强调，要明确的前提是，个人信息是指向特定个人的可识别的信息，要与大数据区分开。

  这也在日前民法典草案中人格权一编中得到体现，自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。