长尾效应:原来不受到重视的销量小但种类多的产品或服务由于总量巨大,累积起来的总收益超过主流产品的现象。

——维基百科

随着《民法典(草案)》在二零一零年代的最后几天公布,《民法典》距离2020年3月表决已经指日可待。刨去民法学科大佬们对立法体例、条文的争议,《民法典》的影响当然是天翻地覆,涉及生活中民事法律关系的方方面面,从要取而代之的法律就能窥见一斑。我不关注那么高、那么广的民法议题,只关心隐私保护这么“一亩三分地”。

从《民法总则》内,个人信息保护只有一条原则性的规定,没有实质内容:

自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

《民法总则》 第一百一十一条

但在《民法典(草案)》中,对个人信息的保护并不至于这样原则性的规定。《民法典(草案)》个人信息保护条款在《网络安全法》《消费者权益保护法》《电子商务法》关于个人信息保护的内容的基础上,增加一些新的内容,比如:隐私与个人信息的分别保护,以及在同意之外增加了个人信息收集、处理的其他合法性基础。这些变化固然重要,但更重要的,是《民法典》的立法层级与适用范围给个人信息保护所带来的变革

关于个人信息保护,除了《网络安全法》,现在提的最多的是《信息安全技术 个人信息安全规范》(GB/T 35273-2017),这是目前国内关于个人信息保护最为详尽的指引,为大量检查、执法活动所参照,但问题在于这份文件的层级过低,只是一份推荐性的国家标准,几乎不具有强制效力。而各部委关于个人信息保护的部门规章,虽然具有强制效力,但只能用于行政执法与行政诉讼,在民事诉讼中也无法援引。在《个人信息保护法》这样全面保护个人信息法律出台前,不得不将“鸡毛当令箭”保护个人信息。我们甚至见到了在支付宝年度账单事件中援引当时尚未生效的《个人信息安全规范》例子

网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,……

国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业负责人

而在适用范围上,《民法典》的个人信息条款会带来更深远的影响。此前无论是《消费者权益保护法》《网络安全法》《电子商务法》虽然关于个人信息保护有一些规定,但这些法律的适用范围着实有限。比如《消费者权益保护法》仅能关注消费者个人信息保护,对非消费者的个人信息无能为力;《网络安全法》只能关注网络空间内个人信息保护,对线下个人信息无能为力;《电子商务法》则只关注电子商务行为,更加聚焦。但《民法典》不一样,境内所有民事关系都需要遵守《民法典》中个人信息保护的规定。这意味着在《消费者权益保护法》《网络安全法》《电子商务法》无法覆盖到的领域也要开展个人信息保护工作。

首当其冲的就是劳动者个人信息保护。目前,劳动者个人信息保护缺少直接法律的规定,《消费者权益保护法》《网络安全法》《电子商务法》都难以直接适用,基本处于无法可依的状态,但用户单位又都难免掌握劳动者大量的个人信息,之前或许不是一个令人头秃的问题,但《民法典》生效之后就不一样了。

《民法典》生效后,无论单位是否通过网络收集个人信息,都需要合法合规。所有用人单位收集、使用劳动者个人信息的行为,都需要:

  1. 征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
  2. 公开收集、处理信息的规则;
  3. 明示收集、处理信息的目的、方式和范围;
  4. 不违反法律、行政法规的规定和双方的约定。

看上去并不难,但需要公司开展相应的合规工作,增加个人信息处理的透明度,要求劳动者签署相应的个人信息处理同意函,诸如此类的合规措施。问题在于,保障用户个人信息权利并不是一件容易的工作,劳动者会有权要求查阅、抄录、复制个人信息,而个人信息的范围又极为宽泛,甚至考勤记录都可以被认为是个人信息。这样一来,会给用人单位与劳动者的劳动争议带来新的元素。

假设一下,只要用人单位收集个人信息未经同意或没有其他合法性基础,那么劳动者可以用人单位“违反法律、行政法规的规定或双方的约定收集、处理其个人信息”为由,要求用人单位删除包含个人信息的考勤记录(假设不利于劳动者),用人单位就会面临考勤记录举证上的困难,进而影响劳动纠纷,让原本已经浑浊的劳动纠纷更扑朔迷离。劳动仲裁庭与法庭就不得不协调个人信息保护与劳动纠纷的复杂关系,结果也更加不可预测。

这只是《民法典》长尾效应的一个简单示例,除了劳动关系,学生在校学习会是一个更加复杂、敏感的问题,因为会涉及未成年人、甚至是儿童个人信息保护的问题。这些都是个人信息保护会带来的变革,需要所有领域严肃对待个人信息保护工作,这恐怕才是《民法典》个人信息保护条款的真正影响力。

2019年12月20日,新闻发言人、全国人大常委会法制工作委员会立法规划室主任岳仲明介绍,2020年的立法工作计划已经全国人大常委会第四十四次委员长会议原则通过,个人信息保护法、数据安全法将于明年制定。个人信息保护就像一头灰犀牛,正在向所有领域冲来,请大家关注灰犀牛的长尾。

最后修改日期:2019年12月21日

作者

留言

撰写回覆或留言

发布留言必须填写的电子邮件地址不会公开。