《民法典》如何为数据安全保驾护航
郑志峰
郑志峰,男,法学博士、博士后,西南政法大学民商法学院副教授、硕士生导师,西南政法大学人工智能法律研究院自动驾驶法律研究中心主任,兼任重庆市自动驾驶道路测试管理专家委员会执行委员、百度公共政策研究专家顾问、腾讯研究院兼职研究员、贵州省大数据政策法律创新研究中心客座研究员、华东政法大学数字法治研究院特聘研究员,发表《人工智能时代的隐私保护》、《自动驾驶汽车交通事故侵权责任》、《机器人也是人》、《机器人权利》(合译)等成果若干。
2020数据安全高峰论坛”在重庆荣昌安陶小镇举办
该论坛由由中国国际智能产业博览会组委会、中国网络空间安全协会主办,邀请国内政产学研专家学者代表出席,采取线上线下相结合的形式进行深入探讨,旨在推动数据安全保护能力建设及网络安全产业发展,为数字经济发展保驾护航。
以下是郑志峰副教授在该论坛上的发言
《民法典》如何为数据安全保驾护航
尊敬的各位领导、各位专家、亲爱的各位朋友们:
下午好!
非常荣幸能够以一个法律人的身份,特别是以一个民法学者的身份来做这样一个分享。我分享的题目是: 《民法典》如何为数据安全保驾护航。这里面有两个关键词,一个是民法典,一个是数据安全,这两者之间会产生什么样的奇妙联系呢?我想从三个方面予以说明。
《民法典》开启数据安全的全新时代
今年的夏天,对于很多人来说都是非常难忘的夏天。如果一定要用一个词来为今年的夏天做一个注解的话,我会选择“民法典”。因为2020年5月28日,全国人大代表大会通过了新中国成立以来第一部以法典命名法律,也就是《民法典》。随后,整个夏天,全国人民掀起了学习民法典的热潮。那么民法典到底是什么,对于很多人来说,民法典是社会生活的百科全书,是人们权利的宣言书,是市场经济的基本法,人们的衣食住行、婚丧嫁娶都离不开民法典。如果从更加宏观的视野来看,我想说, 民法典是一个时代的留声机,它记录了一个时代人们最原始的呐喊、最基本的需求。
当时间的指针拨回到18世纪末、19世纪初,人类社会步入工业文明时代。在那个时代,人们最基本的需求是如何确保自己的人身安全、财产安全、交易安全。于是以法国民法典,德国民法典为代表的一批优秀的法典站了出来。当文明的列车缓缓驶入21世纪之后,我们悄然进入到了一个全新的时代,也就是信息文明时代。在这个时代,数字生产、数字生活、甚至数字化生存成了时代的关键词,自然而然, 数据安全成了我们这个时代人们最基本的需求。于是,当中华民族站在21世纪第一个十年和第二个十年的交汇处,要制定一部属于这个时代的民法典,一部引领时代潮流的民法典,我们就必须解决数据安全的问题, 数据安全是中国民法典必须肩负的使命。
而对于这个使命,《民法典》完成得还不错,开启了数据安全的全新的时代。举例来说,什么叫数据安全?对老百姓来说最大的数据安全,就是自己个人信息的安全。据不完全统计,全世界120多个国家和地区都通过了专门保护个人信息的法律,中国政府同样重视个人信息的保护,但是有关个人信息的法治建设起步相对来说比较晚。在《民法典》通过之前,我们对个人信息的保护是不系统的,散见于各个部门法当中。例如,《电子商务法》、《网络安全法》、《消费者权益保护法》等等,真正使得个人信息得以集中的、系统的法律保护是2020年的民法典。故此, 说一句民法典是个人信息保护法治建设成果的集大成者是不为过的。与此同时,民法典还对随后要制定的《个人信息保护法》、《数据安全法》都有直接的指导作用。
《民法典》铸就数据安全的强力盾牌
数据安全绝对不是一句空的口号,《民法典》必须要拿出实实在在的具体规则,为数据安全构筑一道攻防兼备的万里长城。 首先,《民法典》明确民事主体对于数据享有合法权益。2017年,《民法典》的第一部分《民法总则》通过了,在总则的第五章“民事权利”当中,第111条明确规定:“自然人的个人信息受法律保护,任何组织个人不得非法买卖、提供或者公开他人信息”。尽管只有短短的一个条文,但却是那么的铿锵有力,因为她旗帜鲜明地向全社会进行了一场普法教育、权利启蒙。自此之后,老百姓就明白了对于个人信息是享有合法权利的,对于那些不请自来的诈骗短信、骚扰电话,老百姓可以傲娇地说一句不要,因为民法典会为老百姓撑腰。2020年民法典公布之后,有关个人信息的保护更上一层楼。我们在《民法典》的“人格权编”当中,用了整整一章对个人信息保护进行规定,明确个人信息是每个自然人都享有的人格权益,是人格尊严的组成部分,是人之所以为人所必须享有的一项权益。同时,《民法典》还规定个人信息是不同于隐私权的一项单独的、专门的人格权益,每个人对自己的个人信息都享有查阅复制、删除、更正等权利。
再比如,《民法典》在人格权编当中,明确数据活动必须遵守合法、正当、必要原则,不能过度处理。时间中,有很多的APP都试图获取我们的一切信息,明明是地图导航软件,但却要收集我们的通讯录信息,给出的解释是用户出了交通事故可以联系家属。我想说的是,出了事故联系120比较好,或者事先设置一个紧急联络人即可,没有必要收集整个的通讯录信息。此外,民法典还规定个人数据的处理,必须在用户同意的基础上,同意不是一句口号。例如,未成年必须取得监护人的同意才能点击同意。当然,对于很多的成年人来说,即使他有权利点击APP注册页面上的同意按钮,但是大多数人都是机械的同意,没有多少人会认真阅读注册协议,可能看也看不懂。但是,当我们在注册时点了一个同意就意味着签订了一份协议,这个协议上面可能暗藏着很多的免除或减轻平台责任、加重用户责任或者影响用户重大利益的条款。由于用户没有事先注意查看就点击了同意,于是在个人权益遭受损害的时候,用户似乎将没有更过的办法向平台追责。对此,我们的《民法典》也充分注意到了这个问题,在合同编中明确规定,格式条款的制定者要以合理方式提请用户注意那些可能会影响其权利义务的条款,如果不尽到此义务的话,这些条款是不生效力的,对于用户没有约束力。
最后,我们也构建系统的数据保护体系。《民法典》对于个人信息的保护,涵盖了事前、事中、事后三个阶段。当用户察觉到个人信息会遭受损害,尽管损害还没有发生,但只要他有证据证明一旦损害发生可能会造成难以弥补的损失,那么他就可以向人民法院提请申请发布诉前禁令,来提前制止这种损害行为;而当用户的个人信息遭受损害后,《民法典》又提供了违约责任、侵权责任等多种救济方案。与此同时,对于个人信息保护的责任主体,《民法典》也做了非常广泛的设定。任何人都不得侵害他人的个人信息;而对于信息的处理者,我们施加了更重的保护职责,他们必须要采取技术措施或者其他合理的措施,保障我们的数据安全,这意味着所有的数据企业不应当消极的、被动的、事后的保护个人信息的安全,而应该是主动的、积极的、事先的保护我们的数据安全,要把数据安全的需求,通过设计融入到产品当中来,使其成为产品运行的组成部分。例如,昨天晚上我们入住酒店拿到了一张房卡,每个人通往房间的电梯只有刷卡之后才能达到,这就是典型的通过设计来保护我们的人身安全、隐私安全的做法,数据企业也应当如此。当然,除了一般的企业之外,我们还规定国家机关、承担行政职责的法定机构以及工作人员也有数据保密的义务。
《民法典》为数据安全注入持续动力
数据安全固然非常神圣,但它绝非《民法典》唯一的目标。相反,《民法典》向来都是两手都要抓,两手都要硬, 把数据安全与数据利用发展看的同等重要。
例如,相较于隐私权、名誉权、肖像权等具体人格权,我们《民法典》1260个条文中从来没有使用“个人信息权”的概念。这意味着个人信息并非不是一项绝对的权利,因为在今天这个时代,我们每个人都在生产数据,同时又是数据的获益者,我们靠数据生产、生活甚至是生存,所以数据已经成为了一项公共资源,一种生产资料。既然数据是数字时代的“石油”,是重要的生产资料,那么其就不应该被每一个个体所独占。基于此,《民法典》没有使用“个人信息权”的概念。与此同时,《民法典》还明确规定了个人信息的利用,包括同意、国家利益、公共利益、本人利益、技术豁免等等。在今年新冠疫情爆发期间,每个人出差都会扫一个健康码,就意味着他人会知道你的行踪信息,但是这并不构成对个人信息的侵犯,因为这是在保护社会公共利益。
另一方面,我们的《民法典》也没有忘记那些为了数据收集、加工、生产投入了巨大人力智力成本的数据企业。《民法典》第127条明确规定,数据也是一项受法律明确保护的权益。这意味着每一个平台、每一个企业,对于自己收集的用户的数据以及基于这些原始数据进行加工所获得的大数据产品,是享有合法权益的。如此, 《民法典》尽量实现个人信息的保护与数据利用发展的平衡。