《民法典》語(yǔ)境下煙草行業(yè)對(duì)零售客戶個(gè)人信息的保護(hù)

王雨珊

天津市煙草專賣局，天津 300000

網(wǎng)絡(luò)信息技術(shù)的發(fā)展、應(yīng)用與成熟已經(jīng)成為社會(huì)現(xiàn)代化的標(biāo)志之一，因此，現(xiàn)今社會(huì)更加注重公共利益、信息自由、信息數(shù)據(jù)安全、個(gè)人信息使用與存儲(chǔ)的保護(hù)。2021年施行的《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱《民法典》）對(duì)個(gè)人信息保護(hù)的一系列規(guī)定充分說(shuō)明了最高立法機(jī)關(guān)對(duì)個(gè)人信息民法保護(hù)的高度重視。

在煙草行業(yè)在大力進(jìn)行現(xiàn)代化煙草經(jīng)濟(jì)體系建設(shè)的同時(shí)，密切關(guān)注并著力進(jìn)行電子商務(wù)終端運(yùn)行的新模式的建設(shè)，隨之而來(lái)的就是對(duì)信息化要求的逐步提高。行業(yè)也已經(jīng)充分注意到加強(qiáng)零售終端系統(tǒng)數(shù)據(jù)尤其涉及零售客戶個(gè)人信息數(shù)據(jù)安全性的工作的重要性，主動(dòng)作為，積極開展對(duì)零售終端系統(tǒng)數(shù)據(jù)中涉及相關(guān)個(gè)人信息數(shù)據(jù)的保護(hù)工作。因此，本文以《民法典》頒布為契機(jī)，嘗試探討在《民法典》語(yǔ)境下煙草行業(yè)對(duì)零售客戶個(gè)人信息保護(hù)工作的相關(guān)問題和完善方向，并以A省煙草行業(yè)零售終端的個(gè)人信息保護(hù)為例進(jìn)行具體分析。

一、個(gè)人信息的基本理論

（一）個(gè)人信息的概念

2021年1月1日施行的《民法典》第一編總則第五章民事權(quán)利第一百一十一條中已經(jīng)對(duì)“個(gè)人信息”的保護(hù)進(jìn)行了明確規(guī)定。《民法典》對(duì)自然人的個(gè)人信息進(jìn)行保護(hù)具有與時(shí)俱進(jìn)的法律意義和社會(huì)意義，這表明民法已經(jīng)認(rèn)可了個(gè)人信息成為需要保護(hù)的自然人法益，體現(xiàn)出人格的尊嚴(yán)和自由受到法律的尊重。

在《民法典》第四編人格權(quán)編第六章中設(shè)置“隱私權(quán)和個(gè)人信息保護(hù)”一節(jié)，其中第一千零三十四條定義了個(gè)人信息，其內(nèi)容基本沿襲的是《網(wǎng)絡(luò)安全法》第七十六條中定義的個(gè)人信息的概念，但該條對(duì)個(gè)人信息的內(nèi)涵和外延設(shè)定更加廣泛，即不再限于網(wǎng)絡(luò)語(yǔ)境下的個(gè)人信息保護(hù)。

同時(shí)，《民法典》第四編人格權(quán)編第六章“隱私權(quán)與個(gè)人信息保護(hù)”第一千零三十五條對(duì)于第一百一十一條中的“不得非法”做出了細(xì)化規(guī)定，第一千零三十六條還從抗辯事由的角度規(guī)定了不承擔(dān)民事責(zé)任的情形，通過條文的規(guī)定與內(nèi)部邏輯，我們不難得出一個(gè)結(jié)論：收集個(gè)人信息的行為只能在法律軌道上進(jìn)行，而不能進(jìn)行隨意的收集。因此，這就為企業(yè)，尤其是具有專營(yíng)專賣性質(zhì)的煙草行業(yè)在收集、使用和處理零售客戶個(gè)人信息的時(shí)候劃出一道“底線”，這不僅是對(duì)經(jīng)營(yíng)對(duì)象的法定保護(hù)，更是對(duì)行業(yè)規(guī)范經(jīng)營(yíng)管理的一次法治自檢。

（二）個(gè)人信息的特征

1.個(gè)人信息的主體是自然人

對(duì)個(gè)人信息主體的定義，僅限于自然人，法人、非法人組織不包含在內(nèi)。根據(jù)相關(guān)法律規(guī)定，雖自然人、法人和非法人組織的數(shù)據(jù)權(quán)和網(wǎng)絡(luò)虛擬財(cái)產(chǎn)權(quán)受到法律保護(hù)，但由于上文所述，法人和非法人組織并非個(gè)人信息保護(hù)主體，因此不享有個(gè)人信息的權(quán)利。進(jìn)一步分析，當(dāng)個(gè)人信息剝離了個(gè)人化或去掉可識(shí)別化后，即可被處理為數(shù)據(jù)或大數(shù)據(jù)，以這樣的形態(tài)是可以成為財(cái)產(chǎn)權(quán)益客體的。我們知道，法人和非法人組織參加民事活動(dòng)的“準(zhǔn)入資格”與自然人不同，即需要以登記、公示等形式來(lái)進(jìn)行。在社會(huì)運(yùn)行過程中考慮到公共利益及交易安全，要求法人和非法人組織原則上要向社會(huì)公開自身相關(guān)信息。因此，無(wú)論從主體的受保護(hù)價(jià)值層面，還是從法律對(duì)所保護(hù)主體的要求層面，在保護(hù)的主體上區(qū)分自然人和法人、非法人組織是有一定意義的。誠(chéng)然，法人和非法人組織在一些特定情形和環(huán)境中也享有人格權(quán)，例如，商譽(yù)、名譽(yù)等。但是應(yīng)當(dāng)認(rèn)識(shí)到，個(gè)人信息是一項(xiàng)由自然人獨(dú)特享有的人格權(quán)。［1］

2.個(gè)人信息所保護(hù)的法益是自然人的人格權(quán)利和財(cái)產(chǎn)利益的結(jié)合

《民法典》對(duì)個(gè)人信息保護(hù)體現(xiàn)在個(gè)人信息的收集、存儲(chǔ)、利用，為了防止個(gè)人信息被非法收集、利用所產(chǎn)生的侵害自然人人格權(quán)益、自然人人身自由的風(fēng)險(xiǎn)，以及對(duì)自然人人格權(quán)和財(cái)產(chǎn)權(quán)進(jìn)行侵害的危險(xiǎn)而通過法律加以確定和保護(hù)。就自然人而言，其所在意并應(yīng)當(dāng)?shù)玫奖Ｗo(hù)的是人格利益，尤其是當(dāng)原始個(gè)人信息處于未被加工、分析時(shí)或利用的“靜態(tài)”時(shí)，這樣的數(shù)據(jù)被泄露、竊取等行為確實(shí)屬于侵犯自然人的人格權(quán)。因此，個(gè)人信息的人格權(quán)益屬性體現(xiàn)的是信息主體對(duì)于其個(gè)人信息的“支配性”。反之，通過大量的個(gè)人信息（數(shù)據(jù)）收集加工后可以形成大量的商業(yè)化利益，其商業(yè)化價(jià)值的實(shí)現(xiàn)是在個(gè)人信息產(chǎn)生的基礎(chǔ)上實(shí)現(xiàn)的，而這樣的財(cái)產(chǎn)利益，某種程度上是信息主體對(duì)個(gè)人信息的一種“限制”。

由此可見，在現(xiàn)代信息社會(huì)，個(gè)人信息不僅強(qiáng)調(diào)保護(hù)，更加強(qiáng)調(diào)利用；侵害這些人格權(quán)，不僅造成受害人精神損害，還可能造成受害人財(cái)產(chǎn)損害。個(gè)人信息既然用于識(shí)別信息主體，宜將其作為人格權(quán)保護(hù)，同時(shí)要充分認(rèn)識(shí)其具備精神利益與物質(zhì)利益雙重屬性，［2］因此，個(gè)人信息所保護(hù)的法益是自然人的人格權(quán)利和財(cái)產(chǎn)利益的結(jié)合，正是這樣的結(jié)合才能構(gòu)成支配程度與利用空間之間的平衡。

3.個(gè)人信息具有可支配性

保護(hù)自然人的個(gè)人信息，主要是保護(hù)其自身對(duì)個(gè)人信息的支配權(quán)。據(jù)此，自然人具有允許或不允許個(gè)人信息被他人收集的自由，也有請(qǐng)求他人對(duì)本人信息數(shù)據(jù)進(jìn)行刪除、斷開鏈接或屏蔽的權(quán)利，從而保護(hù)自身信息的真實(shí)、完整和安全。

二、煙草行業(yè)對(duì)零售客戶個(gè)人信息的保護(hù)

（一）煙草行業(yè)保護(hù)零售客戶個(gè)人信息的必要性

隨著網(wǎng)絡(luò)信息技術(shù)時(shí)代的到來(lái)，信息及大數(shù)據(jù)賦予的價(jià)值也呈幾何量級(jí)增長(zhǎng)。面對(duì)井噴式的個(gè)人信息數(shù)據(jù)增長(zhǎng)，某些不法分子非法攫取公民的個(gè)人信息的違法成本沒有相應(yīng)提升，這致使公民不僅遭受了侵害還要為上述的違法行為“埋單”。

因此，近幾年我國(guó)愈發(fā)重視對(duì)公民個(gè)人信息的保護(hù)，分別頒布了《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等多部法律法規(guī)，從公法及私法層面對(duì)個(gè)人信息的保護(hù)、信息管理者義務(wù)、信息處理的相關(guān)要求進(jìn)行規(guī)制。我國(guó)煙草行業(yè)作為具有專營(yíng)專賣特殊性質(zhì)的企業(yè)，深入貫徹全面依法治國(guó)要求，以強(qiáng)烈的法律意識(shí)和社會(huì)責(zé)任感，不斷加強(qiáng)數(shù)據(jù)安全和個(gè)人信息安全工作。本文在《民法典》語(yǔ)境下，分析A省煙草行業(yè)在零售終端加強(qiáng)個(gè)人信息安全工作的具體措施并提出相關(guān)完善建議。

（二）煙草行業(yè)保護(hù)零售客戶個(gè)人信息的具體措施——以A省煙草行業(yè)零售終端的個(gè)人信息保護(hù)為例

A省煙草營(yíng)銷中心（以下簡(jiǎn)稱“營(yíng)銷中心”）依據(jù)中國(guó)卷煙銷售公司相關(guān)通知要求，升級(jí)改造其零售終端新商盟網(wǎng)站，自2020年5月27日起，通過零售終端“新商盟”向客戶推送《A省新商盟關(guān)于推送〈新商盟網(wǎng)站信息保護(hù)說(shuō)明〉的通知》。要求零售客戶使用個(gè)人賬號(hào)登錄一次新商盟網(wǎng)站，閱讀《新商盟網(wǎng)站信息保護(hù)說(shuō)明》（以下簡(jiǎn)稱《說(shuō)明》）。在零售客戶同意此政策，并點(diǎn)擊同意后即可正常開始使用網(wǎng)站和服務(wù)。

營(yíng)銷中心按照《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》第一條的相關(guān)規(guī)定，在首次運(yùn)行時(shí)通過彈窗等明顯方式提示用戶閱讀信息收集、使用和保護(hù)協(xié)議，并保證協(xié)議易于訪問，在進(jìn)入APP主界面后，不多于4次點(diǎn)擊等操作即能夠進(jìn)行訪問，在零售客戶登錄時(shí)即將在零售客戶使用網(wǎng)站前收集、使用其個(gè)人信息事項(xiàng)以協(xié)議形式進(jìn)行明示，并以說(shuō)明形式加以具體介紹和解釋。

從安全協(xié)議的性質(zhì)來(lái)看，零售客戶并沒有支付金錢對(duì)價(jià)，在主觀上也沒有支付對(duì)價(jià)的意識(shí)，只是存在告知并征求零售客戶收集其相關(guān)個(gè)人信息，因而用戶和網(wǎng)絡(luò)運(yùn)營(yíng)者，即營(yíng)銷中心之間形成的是一種合同。從利益的角度出發(fā)，由于雙方并未支付對(duì)價(jià)，即此合同可理解為無(wú)償合同。而《新商盟網(wǎng)站信息保護(hù)說(shuō)明》可認(rèn)為是對(duì)安全協(xié)議具體內(nèi)容加以說(shuō)明和明確雙方權(quán)利與義務(wù)，并作為附件存在于合同中，屬于合同的一部分。

（三）對(duì)應(yīng)《民法典》中關(guān)于個(gè)人信息的規(guī)定對(duì)《說(shuō)明》進(jìn)行分析

《新商盟網(wǎng)站信息保護(hù)說(shuō)明》共七條內(nèi)容，其中第一至第五條分別為：1.用戶信息收集方式；2.用戶信息的使用；3.用戶信息的存儲(chǔ)；4.用戶信息的共享、轉(zhuǎn)讓和披露；5.用戶信息的管理。下面，筆者試對(duì)應(yīng)《民法典》中關(guān)于個(gè)人信息的規(guī)定對(duì)《說(shuō)明》進(jìn)行分析：

對(duì)應(yīng)《民法典》第一千零三十五條的相關(guān)規(guī)定，在《說(shuō)明》的第一條所規(guī)定的用戶信息的收集方式是對(duì)《民法典》第一千零三十五條第三款的呼應(yīng)，與其說(shuō)是“用戶收集方式”的規(guī)定，其內(nèi)容更主要的是明示了處理信息的范圍。同時(shí)，《說(shuō)明》第一條中也在明確營(yíng)銷中心收集范圍同時(shí)列舉了收集個(gè)人信息的方式。例如，第一條第一款：“當(dāng)您在A省煙草專賣局辦理煙草專賣零售許可證手續(xù)時(shí)，依據(jù)法律法規(guī)及監(jiān)管規(guī)定，我們會(huì)收集您的姓名、身份證號(hào)、銀行卡號(hào)、營(yíng)業(yè)執(zhí)照、經(jīng)營(yíng)地址、負(fù)責(zé)人電話等個(gè)人信息?！?/p>

《說(shuō)明》第二條做出了“用戶信息的使用”的相關(guān)規(guī)定，其實(shí)質(zhì)是明示獲取用戶信息的用途，也就是對(duì)應(yīng)了《民法典》第一千零三十五條第三款“明示處理信息的目的”的要求。

《說(shuō)明》第三條“用戶信息的存儲(chǔ)”對(duì)應(yīng)了《民法典》第一千零三十五條第三款“明示處理信息的方式”，其中的第三款“我們將遵守相關(guān)法律規(guī)定，采取合理措施保障用戶信息的安全，以防止用戶信息在意外的、未經(jīng)授權(quán)的情況下被非法訪問、復(fù)制、修改、傳送、遺失、破壞、處理或使用。例如，使用加密技術(shù)進(jìn)行信息傳輸、數(shù)據(jù)庫(kù)加鎖等手段來(lái)保護(hù)您的用戶信息”。對(duì)應(yīng)的是《民法典》第一千零三十八條“信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集、存儲(chǔ)的個(gè)人信息安全，防止信息泄露、篡改、丟失；發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施，按照規(guī)定告知自然人并向有關(guān)主管部門報(bào)告”的相關(guān)規(guī)定。在體例上，筆者認(rèn)為第三款更多的說(shuō)明了信息使用者妥善保存、管理的義務(wù)，因此，將其納入“用戶的信息管理”中更為完整和全面。

《說(shuō)明》第四條“用戶信息的共享、轉(zhuǎn)讓和披露”可以對(duì)應(yīng)上文所提《民法典》第一千零三十八條“未經(jīng)自然人同意，不得向他人非法提供其個(gè)人信息”的內(nèi)容，把用戶信息的共享、轉(zhuǎn)讓和披露的情況向零售客戶進(jìn)行了列舉說(shuō)明。

三、對(duì)A省煙草行業(yè)保護(hù)零售客戶個(gè)人信息的措施的評(píng)價(jià)

通過以上的對(duì)照分析，A省煙草行業(yè)在保護(hù)零售客戶個(gè)人信息的措施上是有很多值得肯定之處的，具體表現(xiàn)為以下三個(gè)方面：

（一）與《民法典》對(duì)個(gè)人信息的規(guī)定具有高度契合。從上文的條文分析中可看出，A省煙草行業(yè)零售終端推出的安全協(xié)議和《說(shuō)明》基本符合了《民法典》對(duì)個(gè)人信息保護(hù)相關(guān)條文要求。并在要求的框架下擴(kuò)展并嚴(yán)于《民法典》條文要求程度，同時(shí)參考了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)政府信息公開條例》《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《個(gè)人信息安全規(guī)范》等多部法律法規(guī)，盡可能列舉信息收集的范圍、方式及存在的風(fēng)險(xiǎn)等。

（二）體現(xiàn)了個(gè)人信息所保護(hù)法益的內(nèi)在價(jià)值。A省煙草行業(yè)零售終端對(duì)零售客戶個(gè)人信息的保護(hù)中，不僅體現(xiàn)了對(duì)零售客戶個(gè)人信息的保護(hù)，還體現(xiàn)了對(duì)信息處理方的規(guī)制，一方面是維護(hù)了零售客戶個(gè)人信息的安全，另一方面也是保護(hù)了由此信息產(chǎn)生的商業(yè)利益的安全，從而把導(dǎo)致的人格權(quán)利的侵害或商業(yè)利益的侵害風(fēng)險(xiǎn)降到較低的程度。這正好契合了上文所提及的個(gè)人信息所保護(hù)的法益是自然人的人格權(quán)利和財(cái)產(chǎn)利益的結(jié)合的理論。

（三）貫徹了民法的基本原則。貫徹了民法的平等原則。A省煙草行業(yè)零售終端向零售客戶推送的《說(shuō)明》中，在明示零售客戶其個(gè)人信息收集、使用及使用目的外，還明確表示了作為信息管理方的義務(wù)，例如，《說(shuō)明》第三條第三、四款對(duì)管理個(gè)人信息時(shí)的法律依據(jù)，采取措施以及嚴(yán)格限制信息訪問權(quán)限、要求相關(guān)工作人員簽署保密協(xié)議等。從這個(gè)角度來(lái)看，約束自身管理行為，承擔(dān)管理義務(wù)也是對(duì)零售客戶個(gè)人信息堅(jiān)實(shí)的保護(hù)。

（四）貫徹了自愿原則。A省煙草行業(yè)零售終端在首頁(yè)彈窗中明確表示在零售客戶同意并授權(quán)的基礎(chǔ)上，信息管理方可能會(huì)收集相關(guān)信息?！叭敉獯恕墩f(shuō)明》內(nèi)容，請(qǐng)點(diǎn)擊同意的形式進(jìn)行明示，即可開始使用網(wǎng)站和服務(wù)”，這樣把零售客戶個(gè)人信息的處分權(quán)利交到零售客戶自己手上，充分體現(xiàn)了自愿的原則。