在前几篇文章中,我们只集中讨论了《个人信息保护法(草案)》(“草案”),分析了其中的一些关键条款,并讨论了它们的潜在影响。在本文中,我们将探讨草案将如何与即将生效的《民法典》的联动。
个人信息入典
虽然立法者早已认识到个人信息应该得到一定的保护,但《民法典》通过将对个人信息的控制认定为独立于隐私权的独立权利,并规定了适用于个人信息侵权的具体补救措施,将对个人信息保护作为一种可依法执行的权利进行了严格的编纂。
这样的规定可能还是过于笼统,以至于在实践中,个人依然无法对侵犯其个人信息的人提出民事索赔。的确,这种广泛性在区分个人信息保护和隐私的概念时,会不可避免地造成一定的混乱。尽管如此,这并不代表着终点,反而标志着私法领域个人信息保护的良好开端。
综合保护
根据《民法典》的规定,个人信息保护有几个主要要素,包括查询、更改或更正的权利。草案还建立了较为完整和具体的保护机制。以删除权为例:根据《民法典》第1037条,如果个人发现信息处理者违反规定或双方间的约定处理其个人信息的,有权要求信息处理者删除其个人信息。草案还规定了个人可以行使这些权利的进一步情况,相关情况将在下文中进一步讨论。
潜在影响
草案的第五章进一步详细规定了信息处理者的义务。在实践中,信息处理者通常使用《用户协议》或《条款和条件》等标准文件来规定他们如何处理个人信息,但通常对其义务保持沉默。草案填补了其中的许多空白。例如,如果处理者没有根据《草案》第55条的规定在个人信息泄露时采取适当的措施,个人很可能会向处理者索赔。此外,如果上述标准文件中包含了不同意或以某种方式不适当地限制用户的权利,或试图规避法律义务的内容,则很可能无法通过法律审查。
民事索赔与监管
虽然民事责任和行政处罚有时会并行不悖,但我们认为,对于信息处理者来说,情况并非总是如此。例如,如果有比较多的个人对个人信息处理者提出民事索赔,监管机构很可能会采取额外的措施来审查处理者的整体做法是否合规。在最坏的情况下,这可能会导致刑事责任。
另一方面,也是每个人应该都会想到的一点,就是监管机构公开提到的处罚也有可能引发一些有相关利益个人提出民事索赔。其实,从举证责任的角度来看,个人可能更容易说服法院相信信息处理者有过错。
总结
尽管《民法典》和草案以不同的方式对违法的信息处理者进行“攻击”,但一旦《民法典》生效,信息处理者对这些相互影响、相互叠加所引发的法律效果和法律责任应谨慎注意。
本文为我们计划推出的关于网络安全、数据保护和合规系列的第三篇文章。我们现在通过达沃学院提供数据合规服务和相关培训。如果您有任何问题,欢迎随时联系我们。