設為首頁 加入收藏
您當前所在的位:法律法規->法律研究->法規解讀

解讀《民法典》隱私權和個人信息保護(三)

訪問量:[]
發布時間:2020-08-19 09:41 來源:
分享:
0


  

個人信息主體的更正權與刪除權
  《民法典》第一千零三十七條【個人信息主體的權利】自然人可以依法向信息處理者查閱或者復制其個人信息;發現信息有錯誤的,有權提出異議并請求及時采取更正等必要措施。自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,有權請求信息處理者及時刪除。
  解讀:我國《網絡安全法》最早以法律形式確認了自然人對其個人信息的“刪除權”與“更正權”。《網絡安全法》規定的公民對其信息的刪除權主要有兩種情形:一是當事人發現網絡運營商違反法律、行政法規或違反雙方的約定收集和使用其信息,二是網絡運營商所收集的個人信息的特定目的已經完成或雙方約定的期限已經屆滿。在這兩種情形下,當事人均有權要求運營商刪除和停止使用其個人信息。公民對其錯誤信息的更正權是指,當事人發現網絡運營商收集、存儲的其個人信息有錯誤或者有缺失的,有權要求其補充或更正。
  《民法典》為個人信息主體設置了三項權利:一是可以依法向信息處理者查閱或者復制其個人信息。這里的“信息處理者”是指“收集、存儲、使用、加工、傳輸、提供、公開”個人信息的網絡服務提供者,個人信息主體依法享有對其個人信息的查閱權和復制權。
  二是發現其個人信息有錯誤的,有權提出異議并請求及時更正。一般情況下,個人信息主體很難發現網絡運營者控制和處理其個人信息存在錯誤,只有依法查詢或復制其個人信息,方能發現是否存在錯誤。《民法典》的這一規定彌補了《網絡安全法》個人信息主體權利行使不充分的缺陷。
  三是發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,有權請求及時刪除。《民法典》為個人信息主體設置的“刪除權”基于兩種法定情形:一種是信息處理者違反法律、行政法規的規定處理其個人信息,另一種是信息處理者違反與個人信息主體的約定。只要出現以上兩種情形之一,個人信息主體便有權要求信息處理者及時刪除。
  考慮到網絡服務提供者很難發現其控制和處理的個人信息有誤,以及“刪除”其違反法律、行政法規的規定或者雙方約定處理的個人信息也有一定的難度,《民法典》與《網絡安全法》中個人信息主體的更正權與刪除權制度基本上采用了“避風港”規則,即在網絡服務提供者被通知前提下的“更正”或“刪除”。這是《網絡安全法》和《民法典》對網絡運營者或信息(數據)服務提供者的一種寬容性規定。

信息處理者的信息安全保障義務
  《民法典》第一千零三十八條【信息處理者的信息安全保障義務】信息處理者不得泄露或者篡改其收集、存儲的個人信息;未經自然人同意,不得向他人非法提供其個人信息,但是經過加工無法識別特定個人且不能復原的除外。
  信息處理者應當采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失;發生或者可能發生個人信息泄露、篡改、丟失的,應當及時采取補救措施,按照規定告知自然人并向有關主管部門報告。
  解讀:《網絡安全法》第四十二條規定,網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但經過處理無法識別特定個人且不能復原的除外。
  網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。《民法典》第一千零三十八條基本上沿用了《網絡安全法》第四十二條的規定,但是《民法典》在信息“收集”的基礎上,更強調對“儲存”信息的處理。信息和數據存儲服務是網絡運營者的一項重要業務,但對其進行處理必須是基于對新信息和數據實際控制下的處理。
  數字經濟時代,個人信息(數據)已經成為最寶貴的個人數據資產,不僅是各網絡運營者和商業競爭者爭奪的數據“黃金”,也成為眾多違法犯罪活動侵犯的主要目標。僅2019年,公安機關就偵破侵犯公民個人信息類案件2868起,抓獲犯罪嫌疑人7647名。
  當前,網絡運營者泄露或者篡改其收集、存儲的個人信息的事件觸目驚心,特別是內部人員泄露個人信息的事件極為嚴重。泄露源頭從傳統的銀行、電信、醫療等部門向教育、快遞、電商等各行各業迅速蔓延,已然形成一條包括需求、盜取、交易等眾多環節的完整黑色鏈條,社會危害極其嚴重。為此,《民法典》和《網絡安全法》對網絡運營者或信息處理者的信息安全保障義務提出四項要求:一是信息處理者不得泄露或者篡改其收集、存儲的個人信息。信息處理者依法、依約收集和存儲的個人信息,應當屬于信息處理者與個人信息主體之間的托管法律關系,因此未經個人信息主體或數據受托方的同意和許可,嚴禁信息處理者擅自泄露或者篡改其收集和存儲的個人信息。
  二是未經自然人同意不得向他人非法提供其個人信息,但經過加工無法識別特定個人且不能復原的除外。信息處理者對于其依法、依約收集和存儲的個人信息,在未經個人信息主體同意的情況下,嚴禁向任何第三人提供,這是一條不可觸碰的紅線。當然,通過個人信息脫敏等技術手段對個人信息進行去標識化處理的無法識別特定個人且不能復原的信息,不在限制的范圍內。
  三是信息處理者應當采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失。這里的“采取技術措施和其他必要措施”主要包括兩個方面:一種是采取個人信息防泄漏技術,主要是以加密技術為核心,如數據庫加密、數據庫防火墻、數據脫敏等;另一種是“其他必要措施”,主要指防止信息泄露、篡改、丟失的各項制度和機制,如個人信息與數據的合規管理制度、個人信息與數據的安全審計機制、個人信息與數據的分類及個人重要信息與數據的備份等。
  四是發生或者可能發生個人信息泄露、篡改、丟失的,應當及時采取補救措施,按照規定告知自然人并向有關主管部門報告。信息泄露、篡改、丟失事件,有些是網絡運營者主觀上的因素,也有一些是黑客利用網絡技術,非法入侵網絡運營者的數據系統竊取信息、篡改數據,造成數據毀損和丟失。
  如果發生個人信息泄露、篡改、丟失的情形,網絡運營者應當立即采取補救措施,特別是對造成或者可能造成嚴重后果的“泄露、篡改、丟失”個人信息的事件,應當及時向許可或者備案的主管機構報告,配合相關部門調查處理。
  當前,我國正在加大對公民個人信息保護的力度,對泄露用戶個人信息的行為重拳打擊。2016年出臺的《刑法修正案(九)》專門設定了一個新的罪名“拒不履行信息網絡安全管理義務罪”,規定網絡服務提供者不履行網絡安全管理義務,經監管部門通知采取改正措施而拒絕執行,致使違法信息大量傳播的,致使用戶信息泄露造成嚴重后果的,或者致使刑事犯罪證據滅失的,嚴重妨害司法機關追究犯罪的,追究刑事責任。

□南京郵電大學信息產業發展戰略研究院院長 王春暉
□浙江大學外國語言文化與國際交流學院教授、法律話語與翻譯中心主任 程 樂

(責任編輯:)

Copyright 1984-2016 CHINA INDUSTRY & COMMERCE NEWS AGENCY All Rights Reserved

中國市場監管報 版權所有