2021年1月1日实施的《民法典》第四编人格权之第六章隐私权和个人信息保护,关于个人信息保护的法规从第1034条至第1039条共六条,较之2017年6月1日起实施的《网络安全法》第40条至第45条共六条关于个人信息保护的规定,基本内容体现了传承与统一,但此六条非彼六条,区别在于《民法典》第1034条罗列了个人信息的范围、第1036条规定了个人信息处理的免责条款,而这些在《网络安全法》中未规定;但《网络安全法》第44条却规定“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”笔者认为,这一条相比《民法典》六条个人信息保护规定更强悍、更兜底,很遗憾《民法典》未规定类似条款。
下表为个人信息保护六条规定之比较:
《网络安全法》中责任主体采用了“网络运营者”这个概念,即该法第76条第三款规定的“网络的所有者、管理者和网络服务提供者。”《民法典》中责任主体采用了“个人信息处理(者)”的概念,并在第1035条列举了处理的方式包括:“个人信息的收集、存储、使用、加工、传输、提供、公开等。但无论是网络运营者,还是个人信息处理者,法律加诸这此责任主体保护个人信息义务的前提均是这些主体收集了个人信息。两部法律都规定了收集的原则是“合法、正当、必要”,经得信息主体的同意、公开收集使用信息的规则、公开收集信息的目的、方式和范围。我们熟悉的各种应用软件APP的安装过程中,都有一个用户协议,用户被强制同意获取手机位置、同意读取相册、通讯录等,如果勾选不同意,则不能使用这些APP。《网络安全法》早已实施,作为用户的我们仍然常常被过度同意;作为用户的我们,人人都常常接到营销贷款之类的电话,个人信息被精准泄露。也许法律的贯彻实施还需要网络运营者、个人信息处理者提升守法意识,还需要向用户普及法律知识、加强维权意识。但无论如何这些收集用户信息的网络运营者、个人信息处理者的行为已有法可依。
笔者本文重点想说明的是与云有关的个人信息保护责任问题。云存储、云计算、云服务已经是我们常接触到的应用。百度云盘、区块链分布式计算、阿里云服务都基于可配置的共享资源池(包括网络,服务器,存储,应用软件,服务等)。例如某个企业开发了某个APP,然后把这个APP放在阿里云的服务器上面向公众提供服务。企业开发的APP当然需要依法采集并存储用户的个人信息,但当用户个人信息存储在阿里云的服务器上面,APP的开发者和阿里云的管理员对这些信息完全是共享的。但阿里云并没有直接收集用户信息,无需征得个人信息所有者同意、无需公开收集信息的规则、收集信息的目的、方式、范围,无收集前提,是否还受信息保护义务的约束?
云服务商是否是《民法典》规定的“信息处理者”?是否是《网络安全法》规定的“网络运营者”?至少在概念上让人疑惑,容易出现争议。因此,笔者认为,《网络安全法》第四十四条规定的“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”,对责任主体规定为“任何人和组织”,更能够无争议地涵盖云服务商。
笔者建议全国人大常委会在即将进行的《个人信息保护法》立法过程中,对网络运营者、云服务者、信息处理者等责任主体予以统一并明确,同时对直接收集用户个人信息的网络运营者接受云服务商的服务时,要求其通过协议限定云服务商对因提供云存储、云计算、云服务或其他服务而获取的用户个人信息采取不低于个人信息收集时对用户承诺的标准进行保护,否则,云服务商侵害个人信息权利的,个人信息收集者应与云服务商承担共同侵权责任。