針對(duì)隱私權(quán)和個(gè)人信息保護(hù)領(lǐng)域存在的突出問題，在現(xiàn)行法律規(guī)定基礎(chǔ)上，我國(guó)民法典各分編草案在“人格權(quán)編”中進(jìn)一步強(qiáng)化對(duì)隱私權(quán)的保護(hù)。2019年8月22日，第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)召開第十二次會(huì)議，《民法典人格權(quán)編(草案)》(三次審議稿)(下稱草案三審稿)提請(qǐng)審議。草案三審稿中對(duì)“隱私權(quán)和個(gè)人信息保護(hù)”章節(jié)進(jìn)行了部分改動(dòng)，進(jìn)一步升級(jí)了對(duì)隱私權(quán)和個(gè)人信息保護(hù)，比如:將自然人的“電子郵箱地址”和“行蹤信息”納入個(gè)人信息的范圍等。筆者認(rèn)為，對(duì)于“個(gè)人信息保護(hù)”中的相關(guān)內(nèi)容仍有待進(jìn)一步完善，囿于篇幅本文僅談三點(diǎn)問題。

　　完善個(gè)人信息的定義

　　“個(gè)人信息”在我國(guó)若干立法中均有定義，草案三審稿第813條將“個(gè)人信息”定義為:“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱地址、行蹤信息等。”與第二次審議稿不同，此次將自然人的“電子郵箱地址”和“行蹤信息”納入了個(gè)人信息的范疇。

　　筆者以為，草案三審稿有關(guān)“個(gè)人信息”的定義應(yīng)當(dāng)進(jìn)一步加大對(duì)個(gè)人隱私信息的描述，尤其應(yīng)當(dāng)增加自然人的“賬號(hào)和密碼以及財(cái)產(chǎn)狀況”。賬號(hào)是數(shù)字時(shí)代的代表，公民發(fā)送郵件、網(wǎng)上購(gòu)物、網(wǎng)絡(luò)游戲、電子支付等都要注冊(cè)賬號(hào)，賬號(hào)是網(wǎng)絡(luò)時(shí)代公民重要的隱私空間和信息，密碼則是自然人為了維護(hù)自己的賬戶安全，將可識(shí)別的信息轉(zhuǎn)變?yōu)闊o法識(shí)別的信息，是公民開啟其個(gè)人隱私空間的一把鑰匙。

　　網(wǎng)絡(luò)時(shí)代，大多數(shù)人的消費(fèi)選擇了電子支付的方式，據(jù)中國(guó)人民銀行的數(shù)據(jù)顯示，2018年，僅銀行業(yè)金融機(jī)構(gòu)處理的電子支付業(yè)務(wù)就達(dá)到了1751.92億筆，總金額達(dá)到了2539.70萬億元。網(wǎng)絡(luò)時(shí)代的電子賬號(hào)密碼就像一把金鎖，封住了公民的私密空間，幾乎成為保障公民各類賬戶安全的唯一手段，是公民最重要的隱私信息之一�？梢姡�“賬號(hào)和密碼”，尤其是涉及到金錢(財(cái)產(chǎn))的賬戶和密碼，已經(jīng)不僅僅是自然人“不愿為他人知曉”的信息，而是絕對(duì)拒絕和排斥他人知曉的私人空間和信息，這是網(wǎng)絡(luò)時(shí)代的一項(xiàng)絕對(duì)隱私權(quán)，應(yīng)當(dāng)納入“個(gè)人信息”的定義。

　　明確個(gè)人信息處理的內(nèi)涵

　　草案三審稿第814條規(guī)定:收集、處理自然人個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，并應(yīng)當(dāng)符合下列條件:(一)征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外;(二)公開收集、處理信息的規(guī)則;(三)明示收集、處理信息的目的、方式和范圍;(四)不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

　　筆者注意到，草案三審稿中的“收集、處理自然人個(gè)人信息”的表述主要參照了網(wǎng)絡(luò)安全法第41條的規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息。”筆者以為，上述規(guī)定中的“收集”具有兩層含義，首先側(cè)重于“收”，其次才是“集”，“收”的含義是收攏，是一種主動(dòng)的行為，對(duì)象是個(gè)人信息。

　　事實(shí)上，多數(shù)個(gè)人信息是由于個(gè)人使用數(shù)據(jù)信息平臺(tái)而在電子信息系統(tǒng)載體上留下的客觀事物的記錄，這些記錄有些是具有語意特征的“信息”，有些是沒有語意特征的“數(shù)據(jù)”。因此，建議刪除“收集”，只保留“處理”，即“處理自然人個(gè)人信息”。因?yàn)?ldquo;處理”是一個(gè)過程，本身包括“收集”，即收攏和聚合個(gè)人在電子信息系統(tǒng)載體上已經(jīng)留下的個(gè)人信息(數(shù)據(jù))，同時(shí)還涵蓋了“加工、傳輸、提供、公開”等內(nèi)容。

　　筆者注意到，草案三審稿第六章專門增加了“個(gè)人信息處理”的內(nèi)容，并對(duì)具體外延進(jìn)行了例舉，即“個(gè)人信息的處理包括個(gè)人信息的使用、加工、傳輸、提供、公開等”。為此，建議將第814條中的“收集”一詞并入“處理”的范疇，即“個(gè)人信息的處理包括個(gè)人信息的收集、使用、加工、傳輸、提供、公開等”。

　　完善個(gè)人信息保護(hù)的原則

　　目前，關(guān)于個(gè)人信息保護(hù)的原則基本都采用“合法、正當(dāng)、必要”原則，這個(gè)原則最早以法律形式出現(xiàn)在工信部于2013年7月出臺(tái)的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第5條:“電信業(yè)務(wù)經(jīng)營(yíng)者、互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集、使用用戶個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。”之后，2017年6月1日起施行的網(wǎng)絡(luò)安全法第42條采納了這一原則:“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。”草案三審稿第814條也使用了“合法、正當(dāng)、必要原則”的表述。

　　當(dāng)前，移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)已經(jīng)成為移動(dòng)互聯(lián)網(wǎng)信息服務(wù)的主要載體。令人遺憾的是，絕大多數(shù)App控制和處理的個(gè)人信息明顯違反“合法、正當(dāng)、必要”原則，特別是觸碰了公民隱私的紅線，比如有些App在條款中稱，需要的個(gè)人信息包括用戶姓名、性別、電話號(hào)碼、郵箱、出生日期、地理位置、身份證號(hào)碼、可識(shí)別生物信息和財(cái)務(wù)信息(如信用卡卡號(hào)或銀行賬號(hào)、微信支付或支付寶賬號(hào)信息等)。

　　實(shí)踐中，我國(guó)法律確定的“合法、正當(dāng)、必要”這項(xiàng)個(gè)人信息保護(hù)的原則，只要信息(數(shù)據(jù))主體接受了信息(數(shù)據(jù))控制者或處理者的“隱私條款”就完成了所謂的“合法”環(huán)節(jié)。事實(shí)上，多數(shù)App設(shè)置的所謂“隱私條款”完全超出“正當(dāng)、必要”的范圍，尤其令人不能接受的是，如果用戶不接受其隱私條款，App的發(fā)布者則拒絕用戶安裝或使用其App。此種“只能被迫接受，否則沒法使用”的行為嚴(yán)重侵犯用戶的選擇權(quán)。

　　筆者呼吁，個(gè)人隱私和信息保護(hù)的民法原則，應(yīng)當(dāng)彰顯私法中的契約精神在個(gè)人信息(數(shù)據(jù))保護(hù)中的法律地位，且信息(數(shù)據(jù))控制者或處理者提供的隱私格式條款應(yīng)當(dāng)進(jìn)行合法性審查。為此，建議草案三審稿第814條在“遵循合法、正當(dāng)、必要的原則”之前增加“遵照雙方的約定”的規(guī)定，表述為:“處理自然人個(gè)人信息的，應(yīng)當(dāng)遵照雙方的約定，并遵循合法、正當(dāng)、必要原則。草案三審稿第814條第(四)規(guī)定，“不違反法律、行政法規(guī)的規(guī)定和雙方的約定”中已經(jīng)明確了不得違反“雙方的約定”。同時(shí)，鑒于多數(shù)信息控制者“隱私條款”具有免除其責(zé)任和排除信息(數(shù)據(jù))主體主要權(quán)利的情形，建議在814條中增加一款:“信息(數(shù)據(jù))控制者或處理者提供的隱私格式條款應(yīng)當(dāng)進(jìn)行合法性審查。”

　　(作者為南京郵電大學(xué)信息產(chǎn)業(yè)發(fā)展戰(zhàn)略研究院首席專家)