第一千零三十八條
資訊處理者不得洩露或者篡改其收集、存儲的個人資訊;未經自然人同意,不得向他人非法提供其個人資訊,但是經過加工無法識别特定個人且不能複原的除外。
資訊處理者應當采取技術措施和其他必要措施,確定其收集、存儲的個人資訊安全,防止資訊洩露、篡改、丢失;發生或者可能發生個人資訊洩露、篡改、丢失的,應當及時采取補救措施,按照規定告知自然人并向有關主管部門報告。
一 條文主旨
本條是關于資訊處理者承擔義務的規定。
二、條文演變
新增條文。本條相比于《民法典》人格權編一、二、三審稿,将第2款中的“防止資訊洩露、毀損、丢失”改為“防止資訊洩露、篡改、丢失”,表述更加嚴謹。
三、條文解讀
本條是關于資訊處理者對個人資訊負有保密義務的規定。
個人資訊的處理者,是指合法處理自然人個人資訊的主體。個人資訊處理者對自然人的個人資訊負有的保密義務包括兩個方面的内容。
(1)資訊處理者負有的守約義務。1)保持個人資訊的自己占有及資訊的真實性的義務,不得洩露、篡改、丢失其收集、存儲的個人資訊;2)不得向他人提供的義務,未經自然人同意,不得向他人非法提供個人資訊。例外的是,經過加工無法識别特定個人且不能複原的資訊屬于衍生資訊,俗稱“已經過脫敏處理”的資訊,不再具有個人身份資訊的屬性,已經進入可以公開使用的領域。對衍生資訊的使用不構成侵害個人資訊權。
(2)資訊處理者負有的保密義務。1)資訊處理者對已經收集、存儲的個人資訊,應當采取技術措施和其他必要措施,確定其收集、存儲的個人資訊安全,防止資訊洩露、篡改、丢失。2)如果發生或者可能發生個人資訊洩露、篡改、丢失的,應當及時采取補救措施,依照規定告知自然人并向有關主管部門報告,防止損失的擴大,并挽回已經造成的損失。
資訊處理者違反上述對自然人個人資訊負有的義務,構成侵害個人資訊權的,應當承擔民事責任。
四 案例
龐某某訴中國某航空股份有限公司、北京某資訊技術有限公司隐私權糾紛案
案情:2014年10月11日,龐某某通過北京某資訊技術公司(以下簡稱某公司)下轄網站“去哪兒網”平台訂購了中國某航空股份有限公司(以下簡稱某航)機票1張。2014年10月13日,龐某某尾号為××49的手機号收到來源不明号碼發來的短信,稱由于機械故障,其所預訂航班已經取消。确認後發現是詐騙短信。龐某某訴至法院,認為某公司和某航洩露的隐私資訊包括其姓名、尾号為××49的手機号及行程安排。法院認為:龐某某被洩露的資訊包括姓名、尾号為××49的手機号、行程安排等,其行程安排無疑屬于私人活動資訊,應該屬于隐私資訊,可以通過隐私權保護主張救濟。作為普通人的龐某某不具備對某航、某公司内部資料資訊管理是否存在漏洞等情況進行舉證證明的能力。法院在排除其他洩露隐私資訊可能性的前提下,結合本案證據認定上述兩公司存在過錯。某航和某公司因其經營性質掌握了大量的個人資訊,應有相應的能力保護好消費者的個人資訊,防止洩露,這既是其社會責任,也是其應盡的法律義務。本案資訊洩露是某航空公司、網絡購票平台疏于防範導緻的結果,二者應承擔侵權責任。
五 解 析
本案是由網絡購票引發的涉及航空公司、網絡購票平台侵犯公民隐私權的糾紛,各方當事人立場鮮明,涉及的焦點問題具有代表性和典型性。公民的姓名、電話号碼及行程安排等事項屬于民法典第1034條規定的個人資訊。本案中,法院認為,基于合理事由掌握上述整體資訊的組織或個人應積極地、謹慎地采取有效措施防止資訊洩露。本案的裁判對個人資訊保護以及隐私權侵權的認定進行了充分論證,兼顧了隐私權保護及資訊傳播的平衡,即任何人未經權利人的允許,都不得擴散和不當利用能夠指向特定個人的整體資訊,整體資訊也因包含隐私而整體上成為隐私資訊,可以通過隐私權尋求救濟。民法典第1038條規定的特殊義務主體,即這些資訊的處理者,負有對個人資訊進行保護的義務。