李永军:论《民法总则》中个人隐私与信息的“二元制”保护及请求权基础 | 法宝推荐
【作者】李永军,中国政法大学民商经济法学院
【来源】北大法宝法学期刊库《浙江工商大学学报》2017年第3期
【声明】本文仅限学习交流使用,如遇侵权,我们会及时删除
内容提要:我国《民法总则》(第110条及第111条)明显地是将隐私与信息分别加以保护的,但理论和实践中的问题是:在这种二元保护模式中,隐私与信息能否明确地加以区分?从国外的立法例看,多釆取信息与隐私的“一元制”保护模式,即不区分信息与隐私,原因就是信息与隐私难以区分。文章赞成我国民法总则的“二元制”保护模式,并且认为,隐私与信息是可以区分的,应用“三分法”来区分隐私与信息,即分为纯粹的个人隐私、隐私性信息、纯粹的个人信息。从对隐私和信息保护的请求权基础上看,受到损害的主体之请求权基础在于《民法总则》的第八章“民事责任”、《侵权责任法》及《网络安全法》等特别法。《民法总则》第109-111条虽然规定了对隐私权和信息权的保护,但却没有独立规范的作用,因为这三条规定中,没有任何保护的措施——隐私或者信息受到侵犯后的民事法律后果。
关键词:隐私;隐私权;个人信息;民事责任
一、问题的提出及意义
从比较法上看,无论是理论还是判例,对于隐私与个人信息的保护,多采取“一元制”保护模式,即不区分隐私与信息,将信息纳入到隐私的范畴而采取统一保护,如美国、日本、我国台湾地区等。而我国《民法总则》第110条、第111条对隐私与个人信息采取的是“二元制”保护模式。显然,在这种模式下,需要区分隐私与个人信息。另外,如同日本、美国及我国台湾地区一样,隐私权属于私法和宪法同时保护的权利,个人隐私权和信息权同时属于我国《宪法》第37、38条规定的“个人自由与尊严”的当然部分。在这种情况下,有下列问题需要认真讨论和分析:(1)隐私与信息在“二元制”保护模式下,人格隐私与个人信息是否能够从理论及实务清楚地区分开来?(2)隐私权与信息权的宪法保护与民法保护有何不同?能否用宪法保护替代民法保护?(3)大多数情况下,对于个人隐私或者信息的侵犯往往也涉及到名誉权的侵犯(降低个人的社会评价),那么,在这种情况下,隐私权和信息权与名誉权如何区分?(4)中国《民法总则》及《侵权责任法》通过不同方式规定了隐私权是否必要?本文将详细讨论这些问题。
二、隐私权与信息权的概念及立法模式
(一)概述
关于隐私权的概念,有两个因素极大地影响了对它的定义:一是它与信息的关系,信息是否包含在隐私之中?对这一问题的不同回答,直接导致了立法的“一元论”和“二元论”模式,而在这两种不同的立法模式下,隐私权的概念也就截然不同。例如,美国、日本、我国台湾地区等采取的是“一元论”的立法模式,而我国立法和学理采取的是“二元论”保护模式,则我国隐私权的概念与上述国家或者地区就迥然不同。二是无论立法采取“一元论”模式还是“二元论”模式,由于隐私权的开放性和不确定性,往往采取“框架性权利”定义的方式居多。
(二)隐私权与信息权的概念与立法模式
当将信息作为隐私的一部分而对隐私进行“一元化”立法模式的情况下,隐私权的外延就很大。中外学者几乎一致认为,“隐私权”这一概念源于美国,具体地说,是源于两位美国学者于1890年发表于《哈佛法学评论》上的一篇题为“对隐私的权利”(The right to privacy)的文章,这两位学者就是萨缪尔 • 沃伦(Samuel warren)和罗伊斯 • 布兰迪斯(Louis brandeis)。美国判例与学理对于隐私与个人信息,采取的是“一元论”的保护模式,甚至连姓名、名誉、肖像等都纳入到隐私权的保护范畴之下。可以说,美国是隐私权“大杂烩”,是“一元论”最具有代表性的立法模式。即便如此,仍有英美法系的学者认为,尽管隐私权在美国法中是一个重要的法律范畴,但被定义得很糟糕——这是一个过于宽泛、模糊而没有确定边界的、让人绝望的概念。毫无疑问,隐私概念有一种“多变的能力”,能够在不同的律师面前变为不同的事物,它那模糊的性质使得自己很容易被别人操纵。在美国,关于隐私权的最经典的定义是由托马斯 • 库雷法官给定的:隐私权为“不被打扰的权利”。这一概念屡被援引反映了为绝大多数民众所拥护的关于隐私的一般观念:隐私权的核心利益在于“不受打扰的权利”,具体而言,包括为自己划定一个私密的空间、保护自己的私密事务及个人活动不受公众注意,以及能够暂时地避开世人的批评与意见以获得片刻的安宁或者实现自己的打算,这对于生活乐趣来说是不可或缺的。关于隐私权的具体类型和范围,是美国卓有声望的法官迪安 • 威廉姆 • 普罗瑟(Dean William Prosser)在总结了截至1960年的300个判例后,将发展中的普通法隐私权提炼为四个相关诉因,反映这四种诉因的四种类型为:(1)侵入原告独居或者独处的状态;(2)公开披露原告的令人难堪的私人信息;(3)通过公开行为,使公众对于原告产生错误的认识。最著名的判例是美国邓肯VS. WJLA电视台案。在该案中,被告在华盛顿特区市区的街道上现场直播关于疱疹新疗法的晚间6点的新闻时,原告刚好从旁边走过而被摄入镜头。在画面中原告可以很清楚地被认出来。在11点的新闻中,被告再次使用了这些录像,但加入了对原告的一个特写镜头。原告为之提出了诽谤和予以错误印象之诉。法院认为,因缺乏特定的语境,6点钟的新闻不带有负面的含义。但11点的新闻就不同了:原告是唯一停下来并在无意间望向镜头的人,而当原告转身从镜头消失的时候,报道的画面也就结束了:这一画面加上播音员的旁白,足以使人得出原告也是患者的推论,从而给人以错误的印象;(4)为了被告的利益,盗用原告的姓名或者肖像。
有学者将美国法院保护的隐私权概括为5种类型:(1)独处不被打扰的权利;(2)对于人类尊严或不可侵犯的人格的保护;(3)个人控制获取与本人有关的信息的权利;(4)一个人对他人的有限可得性;(5)个人身份私密性的控制或者自治。
也有的美国学者将隐私分为三类:(1)纯粹的隐私权。这一类隐私权主要是指披露令人难堪的私人信息,这一种隐私权也是萨缪尔 • 沃伦(Samuel warren)和罗伊斯 • 布兰迪斯(Louis brandeis)考虑最多的一种。比较经典的案例是:一位整形医生在公开演示及电视访谈中使用了病人(原告)术前和术后的对照照片。当拍摄这些照片时,原告被告知这仅仅是“医生操作规程的一部分”。一年后,这位医生在首都华盛顿的电视节目和在百货商场的演讲中使用了四张照片,并指明了原告的姓名。与原告熟悉的人在看到节目后即开始传播与其手术有关的消息。这一位病人(原告)自己则完全被“击垮”而陷入“可怕的忧郁之中”。法院认为,原告的隐私确实受到了侵犯,因为,即使照片本身并不带有贬损色彩或者令人生厌,但问题在于将其曝光对于一个正常的理性人来说,也是极为令人不快的。(2)特殊的隐私权。这一类隐私权涉及侵扰行为,主要是指对于个人空间的侵扰。设定这一诉因的目的在于当人们处于他认为不应受到别人窥探的地方时,保护其不受打扰的权利。一个著名的案例是:善待动物协会VS贝鲁斯尼案。该案的基本案情是:驯兽师贝鲁斯尼在所住的酒店后台殴打驯化的猩猩时,被酒店的舞蹈演员奥塔维奥 • 格斯蒙多偷拍下来。录像被基金的动物权利保护组织广为公开。一审法院认定奥塔维奥 • 格斯蒙多侵犯隐私权成立。案件上诉到内华达州最高法院,斯普林格法官认为要从侵扰之诉中获得赔偿,原告必须证明下列要素:(A)存在故意的侵扰行为;(B)针对的是他人的独处状态或者个人空间;(C)对心智正常的人会构成严重的冒犯。原告必须证明他实际上期望享有独处的权利或者被侵扰的空间为自己的个人空间的权利,而且这种期望是客观的、合理的,只有这样,才能构成受法律保护的隐私利益。本案录像中所显示的贝鲁斯尼训练动物的方式即使在他自己看来也没有什么不妥或者不正常,而他对于单纯的被其他人看到或者听到这些训练情况并不在意,而且他认为,他所有的训练活动都是正当的。这对于明确贝鲁斯尼所期待的隐私权的范围是重要的因素,他没有什么可以隐藏的,也就是说,没有私密性可言。格斯蒙多的拍摄行为并没有违反这一期望,格斯蒙多并没有侵扰贝鲁斯尼所期望的“独处的权利”,出于这一原因,侵扰之诉不能成立。(3)“暗示”的隐私。这种隐私是指通过某种行为给人带来错误的印象,让人对受害人产生似乎有某种“隐私”,其实这些隐私并不是被害人的。上述“邓肯VS WJLA电视台案”就是典型的代表。
在日本,隐私权最初是通过引入美国的学说而发展起来的。在学理上,个人信息与隐私的关系存在各种各样的见解和观点。五十岚清就主张区分隐私与个人信息,更有学者提出“二分法”与“三分法”。所谓“二分法”,是将个人信息分为与个人道德性自律的存在相关的信息(隐私固有情报),以及与个人道德性自律的存在直接相关以外的个别信息(隐私外延情报)。所谓“三分法”,是将个人信息分为无论谁都会认为是隐私的信息、一般人认为是隐私的信息以及一般人认为不属于隐私的信息。对于后面两种情况,违宪审查的严格程度和保护程度都会有所降低。但日本法院的判例都将个人信息纳入到隐私保护的范畴。尤其是2003年5月日本制定了《个人信息保护法》,更引起了人们对隐私与信息之关系的讨论。为了能够使隐私包含个人信息,有学者认为,有必要将隐私权理解为个人信息的自我控制权。按照日本判例及传统理论,侵害隐私权的情形包括:(1)对私生活的侵入,包括窥视居住、侵入住宅、私生活安宁受到侵害(如骚扰电话、传单等);(2)窃听、秘密录音;(3)公开私事,如公开日记与信件、犯罪前科公开、夫妻生活或者异性关系或者性隐私、医疗信息、其他私事的公开(如大学学习成绩、出身、经历、纠纷等);(4)个人信息。
我国台湾地区也采取对隐私和个人信息的“一元化”保护模式,台湾学者陈聪富教授指出,关于隐私权,过去在于保护个人私生活不受干扰,现在则扩大到保护个人咨询的自主决定权。按照《个人资料保护法》第2条的规定:个人资料是指自然人的姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务状况、社会活动及其他得以直接或者以间接方式识别该个人的资料。台湾地区司法院在关于隐私权的解释中指出:维护人性尊严与尊重人格自由发展,乃自由民主宪政秩序之核心价值。隐私权虽非宪法明文列举之权利,惟基于人性尊严与个人主义主体性之维护及人格发展之完整,并为保护个人生活私密领域免于他人侵扰及个人资料之自助控制,隐私权乃为不可或缺之基本权利。由此可见,隐私权由二核心部分构成:一为私密领域,一为资讯自主。
在我国大陆,主流学者认为,应将个人信息与个人隐私区分,分别规范和保护。例如,张新宝教授认为,个人隐私又称私人生活秘密或私生活秘密,是指私人生活安宁不受他人非法干扰,个人信息保密不受他人非法搜集、刺探和公开。隐私包括私生活安宁和私生活秘密两个方面。个人信息是指与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息,包括个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等。单独或与其他信息对照可以识别特定的个人信息。个人隐私与个人信息呈交叉关系,即有的个人隐私属于个人信息,而有的个人隐私则不属于个人信息;有的个人信息特别是涉及个人私生活的敏感信息属于个人隐私,但也有一些个人信息因高度公开而不属于隐私。王利明教授对于隐私与信息做了最为详细的分析,他认为,二者的联系是:(A)权利主体都限于自然人;(B)都体现了个人对其私生活的自主决定;(C)客体上具有交错。二者的主要区分在于:(A)权利属性方面的界分:隐私权主要是一种精神人格权,而信息权则属于集人格属性和财产属性于一体的综合性权利;隐私权基本上属于一种消极的防御型的权利,在该权利被侵害前,权利人无法积极主动地行使;而信息权是一种主动性权利;(B)权利客体方面有区别:首先,隐私主要是私密性的信息和个人活动,而信息注重的是身份识别性;其次,隐私不限于信息形态,它还可以是个人活动、个人私生活方式等,不需要记载下来,而信息必须以具体化的形态固定下来,通常需要记载下来;再次,相对于隐私,个人信息与国家安全的联系更为密切;(C)权利内容方面有区别:隐私权的内容主要是防止被不正当地公开,而信息权则是个人对信息的支配和自主决定。在法律保护模式方面提出,个人信息权与隐私权的界分,表明在法律上对它们进行分开保护,在理论上是有充分依据的。
从我国截止到2016年的法院判例来看,司法实践中却采取“一元化”的保护模式。例如,福建省厦门市思明区人民法院(2000)思民初字第281号判决认定了其构成对隐私权的侵犯。判决原文写到:“公民的隐私权是公民所享有的个人的、与公共利益、群体利益无关的个人信息、私人活动和私有领域进行支配的具体人格权。侵害隐私权的行为的具体形式一般是干涉、监视私人活动;侵入、窥视私人领域等。显然,在这里,法官是将公民的隐私权与个人信息不作区分而加以保护的。另外一个更明确、更清晰的表明隐私与信息保护一体的判例是上海市浦东新区法院(2009)浦民一(民)初字第9737号判决。该判决涉及的是某网络通信公司上海分公司将客户信息告知与其有业务关联的某保险公司,该保险公司向客户销售保险产品,并为该客户免费上了保险。但是,该客户认为个人隐私被侵犯而起诉该网络通信公司。法院认定客户隐私权被侵犯。判决认为法律、法规保护隐私权的目的是赋予权利主体对他人在何种程度上可以介入自己私生活的控制权,以及对自己是否向他人公开隐私以及公开范围的决定权。因此,个人信息的私密性是其重要内容,只要有未经许可向第三人披露他人个人信息的事实存在即可构成侵害,就侵害的成立而言无须考虑第三人究竟给原告带来的是利益还是损害,私人信息为第三人所知本身即为损害。因此,本案中被告将原告的个人信息提供给(网络公司)上海分公司,使得原告的信息被第三人所知悉,损害即成立。”
从我国《民法总则》第110、第111条来看,已经明确将隐私权与个人信息采取区分保护的“二元论”模式,而且,在2016年11月7日由全国人大常委会通过并颁布的《网络安全法》(2017年6月1号起施行),第76条明确规定了个人信息的基本概念:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法总则》草案第二次审议稿就有这一概念:自然人的姓名、出生日期、身份证件号码、个人生物识别信息(如基因、指纹等)、住址、电话号码等个人信息受法律保护。也就是上述学者所说的“身份识别性”资料。但到了第三次审议稿就不再重述这一概念,改成了现在的第111条“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
笔者赞同这种“二元论”模式,总的说来,隐私与信息总体上应该是有区别的。单一的个人信息在正常使用时不会对个人构成侵犯,甚至在一个正常的社会中,正常的交往必须需要个人的姓名、性别、甚至爱好等,如果每一个人都把自己变成一个“装在套子里的人”,每个人就是孤零零的人,而不能成为一个社会人。只有当非正常搜集、使用时才会对人造成危害。但隐私不同,即使是正常的社会交往,人也应该有尊严,也有不愿意透露的秘密和内心的自由空间。因此,每个国家的法律对隐私的保护程度与信息的保护是不同的。所以,将二者区分保护是必要的。
但是,我们也必须承认的是,个人隐私与个人信息在有些方面的确是交叉的,因为,有一些个人隐私是通过“信息”这种外在形式表现出来的。因此,在具体生活及个案中肯定存在具体认定的情形。也许正是基于这种原因,许多国家的立法和判例干脆不作任何区分,而是在具体认定时,由法官来判定保护的程度,在我国这种对隐私和信息采取“二元制”保护的立法模式下,如何区分个人隐私与个人信息呢?
虽然看起来我国《网络安全法》第76条规定了个人信息的基本概念,但也不能完全解决实践中个人信息与个人隐私的明确区分。我认为,应用“三分法”来区分隐私与信息,即分为纯粹的个人隐私、隐私性信息、纯粹的个人信息。
纯粹的个人隐私,是隐私权保护的主要部分,是指个人生活最私密、直接涉及到个人人格尊严与自由的部分,一旦侵入,直接会造成受害人的损害,特别是精神损害。它主要包括:(1)空间隐私权,主要是指个人的私密空间,例如,住宅、租赁的房屋、暂时居住的旅馆等。甚至有的学者主张,还应包括个人处在办公室、电话亭这样的可以“合理期待有隐私权的地方”。但在我国,要将办公室也作为可以“合理期待有隐私权的地方”,恐怕难以接受,我们习惯认为,办公室属于公共场所,尤其是在工作上班期间,闯入办公室难以认定为侵入个人的私密空间;(2)私生活秘密,包括身体隐私、生活隐私(如恋爱史、情人关系、夫妻生活、日记等)。这些私生活秘密是每一个人一般不愿意让他人知道的,属于“个人心中的秘密王国”,属于个人最期望“不被打扰的领地”。
隐私性信息,实际上就是隐私与纯粹的个人信息交叉的部分。但其与纯粹的个人信息不同的是,它们对于个人的人格尊严“离得较近”,每个个人对于这一部分信息的敏感程度,更接近于个人隐私。隐私性信息主要包括:医疗信息(例如,艾滋病病史资料、许多重大疾病的病历信息等。由于人们想有尊严地生活,故这一部分信息属于隐私性信息)、银行存款信息及其他财产性信息(如理财信息、投资信息等)。这些信息因与个人尊严离得较近,与隐私的关联度较高,对其保护更接近于隐私权保护。
纯粹的个人信息就是《网络安全法》第76条所列举的个人信息,包括姓名、性别、住址、出生日期、电话、身份证号码、婚姻状况、家庭成员、职务或者职称、工作单位、教育背景等等。这些信息虽涉及个人,但它们与个人的人格尊严“离得较远”,人们对它们的敏感程度远远不及隐私和隐私性信息。例如,日本关于早稻田大学侵权案的判例就是很具有争议和说明性的例子。1998年11月,时任中国国家主席江泽民计划在早稻田大学演讲,于是,早稻田大学制作了记载有报名参加者的姓名、学号、住所和电话号码的名单。大学方面应警备当局的要求,向其提交了这一份名单。之后,6名学生以侵害隐私为由,起诉校方请求赔偿。一审的东京地方法院认为,虽然个人的姓名在传统意义上属于隐私的范围,但是,由于出示行为具有正当理由,属于社会观念上允许的范围之内,因此,足以阻却违法性(东京地判平13-4-11,《判时》1752号第3页)。二审的东京高裁认可了本案的个人信息隐私权,认为由于校规禁止对于个人信息进行目的外的使用,而校方违反了规定,因此否定了违法性阻却事由的成立。但是,在精神损失的数额上,认为作为名义上的赔偿,每人1万日元的赔偿额就足够(东京高判平14·1·16,《判时》1772号第17页)对于该案的判决,在日本也有不同的意见,日本最高法院的多数意见认为,对于这样的个人信息,本人不想被他人随意知晓也是理所当然的事情。这种期待应该受到法律的保护。所以,上诉人的个人信息应该作为隐私权受到保护。但也有反对意见,认为,这样的信息从性质上看,属于不愿意被他人知晓程度较低的信息。另外,还有人认为,提交名单只要具有正当理由,侵权行为就不成立。
按照中国大陆的学理及判例规则,这种名单的提交具有正当理由,具有阻却违法性,不会成立侵权行为。如果这种情况也成立侵权行为,则个人利益与国家利益、公共安全将成为问题。即使通过法益衡量的评判,也不成立侵权行为。其实,日本的判例规则也认为,对信息的侵犯构成侵权行为,必须具备三个要件:(1)该信息必须是与个人私生活上的事实相关的信息;(2)以一般人的感受为基准,站在当事人的立场上,如果将信息公开,会给当事人带来心理负担与不安,那么由此可以认定是当事人不愿意被公开的内容;(3)必须是还没有被一般的人所知晓的事情。日本的判例及学理均主张在隐私权的问题上,采取利益衡量的原则,但不知为何,在早稻田大学案中,却没有采取这一原则。
必须特别指出的是,由我国中华人民共和国国家质量监督检验检疫总局&中国国家标准化管理委员会颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》(下称《指南》)第3条(3.7与3.8)将个人信息区分为个人敏感信息(personal sensitive information)和个人一般信息(personal general information)。对个人敏感信息的定义是:“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。”而个人一般信息的定义是指除个人敏感信息以外的个人信息。“这种区分与我们在这里讨论的问题应该是不同的,《指南》没有将隐私考虑进去,而且也很不全面,也许像手机号码这种信息比起财产性信息、健康信息(病历信息等)更不敏感。这大概与《指南》的规范对象有关,它最主要的不是法律规范,而是行业自律规约,而且《指南》说的也很清楚各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。”因此,尽管在《指南》中被列为“敏感信息”的信息,在民法上不一定就等于“隐私性信息”。
三、我国隐私权与信息权保护的请求权基础
(一)侵犯隐私及隐私性信息的样态和请求权基础
1.侵犯隐私及隐私性信息的样态。(1)非法披露或者公开个人的隐私或者隐私性信息,包括公开他人的私密照片、病历信息、日记内容、通信信息等;(2)侵入他人的私密空间,也就是学者所说的空间隐私权的侵害,包括非法侵入他人的住宅、公共场所专供个人使用的更衣室以及其他可以期待有隐私空间的地方;(3)非法侵扰他人的生活安宁,例如,对于他人的住所进行监听、窥探,跟踪他人的行踪、窃听他人的私人电话,非法刺探他人的隐私或者隐私性信息等。
2.被侵害人的请求权基础。如果仅仅从“被害人”的视角看,主要是指“被动”性防御的请求权基础。这一类请求权基础主要有两个:一是我国《侵权责任法》上关于侵权责任的请求权基础,即《侵权责任法》第6条、第15条及第22条的规定,承担侵权责任;二是《侵权责任法》第36条规定的“网络侵权责任”,即网络用户、网络服务提供者利用网络侵害隐私权及隐私性信息的,应当承担侵权责任;网络服务提供者接到被侵权人通知要求其删除、屏蔽、断开链接等必要措施,而其未及时采取必要措施的侵权责任;网络服务提供者知道网络用户利用其网络服务侵害他人隐私或者隐私性信息的,未采取必要措施的侵权责任。
至于《民法总则》第110条是否能够以及如何作为请求权基础的问题,实值得讨论。该条仅仅规定了自然人享有隐私权(当然包括隐私性信息),但仅仅从该条,难以得出救济性权利——请求权。只有结合第109条及第八章“民事责任”,才能分析请求权及其基础问题。第108条规定“人格尊严受法律保护”,自然就是说,侵犯后要承担侵权责任。但该侵权责任如何承担呢?还是要回到第八章“民事责任”第179条的责任方式,而这些责任方式与《侵权责任法》第15条完全一样,因此说到底,还是“侵权责任”。
但问题是:如果仅仅按照《民法总则》第八章“民事责任”的规定及第109条、第110条的规定,是否就足以成为对隐私权救济的请求权规范基础了呢?显然不能!因为这里没有规定责任构成的最核心的要件——归责原则。因此,如果要追究责任,还必须要借助《侵权责任法》。如果是按照这种理解的话,侵犯隐私权和信息权在我国《民法总则》中根本就没有救济措施,即没有请求救济的权利基础。第109条规定的“人格尊严受法律保护”也就只能借助于《侵权责任法》来作为请求权基础了。从大陆法系国家民法典的基本逻辑和思路看,这无疑是正确的:侵犯“人格权”只能在侵权法中得到救济,以侵权法规范为请求权基础。但这样一来,就更证实了一个结论:“民事责任”专门规定在《民法总则》部分是多余的,因为侵权责任、违约责任、物上返还请求权分别在侵权部分(我国未来民法典可能称为侵权编)、合同部分(我国未来民法典可能称为合同编)和物权编(我国未来民法典可能称为物权编)都已经做出了明确的规定,包括具体的构成要件和责任形式,为什么还要在《民法总则》部分规定一个“民事责任”呢?是给谁准备的呢?假如说,在1986年《民法通则》制定时,由于我国尚未制定物权法、合同法、侵权责任法等,人们不知道这些责任形式,所以,在《民法通则》中规定这些责任形式很有必要的话,那么在今天,尤其是制定民法典的时代,在法典的《民法总则》再规定“民事责任”就显得很多余了。
另外,一个值得探讨的问题是:既然《民法总则》第109条规定了“人格尊严受法律保护”,第110条为什么还要正面去列举这些权利呢?这里显然就涉及到一个颇具争议的问题:隐私权和隐私性信息具有财产性和支配性吗?如果对这一问题的答案是肯定的,那么,第110条的规定之意义就是非凡的,否则,该条就仅仅是第109条规定的“自然人的人身自由和人格尊严”的一个简单的注脚而已。
对此问题,王利明教授认为,隐私权是一种精神性人格权,虽然其可以被利用,但其财产价值并非十分突出,侵害隐私权主要导致的也是精神损害。隐私权是一种消极的、防御性的权利,在该权利遭受侵害之前,个人无法积极主动地行使权利,而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等。也就是说:(1)隐私权无财产价值;(2)无积极支配性,仅仅能够在被侵害时防御。
王泽鉴教授则认为:传统见解认为,人格权系以人的尊严价值及精神利益为其保护内容,此项人格上的精神利益不能以金钱加以计算,不具有财产的性质。其被侵害时,被害人虽得请求此等人格法益受侵害所生财产损害,但不能因此而认为此等人格法益本身具有财产价值。但是,20世纪以来,举世各国的社会经济发生重大变化,人格权的商业化和财产价值受到重视,美国法上的隐私权的公开权和德国判例都承认其有财产价值,台湾地区判例也承认之。
以上两种观点看起来不同,甚至是对立,但仔细分析,实际上涉及到两个问题:一是隐私权的范围问题,即美国、德国等国家是将信息纳入到隐私中加以一体保护的,王泽鉴教授所说的有财产性的部分是否是指我们国家学理和立法上所说的“信息部分”?如果是这样的话,分歧就很小了,因为王利明教授也认为,信息具有财产性。二是对如下现象如何解读——“某些人格权(包括隐私权和隐私性信息)的商业化利用”?例如,美国的隐私权公开权是否属于对隐私的支配?美国当年的白宫实习生莱文斯基将与时任美国总统的克林顿秘密交往的日记“出卖”给一家出版公司,这是否属于隐私权的财产性或者支配性?如果仅仅从表面上看,这确实属于财产性或者支配性,但从本质或者逻辑上看,如果我们还认为隐私权或者隐私性信息属于“人格尊严”的话,人格尊严是否具有财产性和可支配性?因此,不仅是从传统见解来看,隐私权或者隐私性信息不具有财产性或者可支配性,更重要的是,如果从逻辑上看,其也不具有财产性和可支配性。因此,以上两种观点实际上就涉及到从现象还是本质(逻辑)上解读的问题,如果仅仅从现象上看,身体的器官可以转换金钱,是否可以认为,健康权或者身体权也有财产性和可支配性?许多国家法律承认卖淫属于合法,是否据此就可以认为“贞操权”(性行为自主决定权)这种“人格尊严”也具有财产性或者可支配性?如果我们按照现象去解读人格权,其实往往会曲解人格权的本来面目。因此,笔者还是支持传统的见解,赞同王利明教授的观点:隐私权和隐私性信息不应该具有财产性和可支配性。至少我们还要清楚,在我们国家像器官买卖、卖淫、出卖个人隐私等属于违反善良风俗的行为,因此,不能将这种行为作为论证隐私权这种人格尊严具有财产性和可支配性的论据来适用。
因此,笔者认为,我国《民法总则》第110条仅仅是第109条的一个注脚:告诉人们人身自由和人格尊严包括自然人的生命权、健康权、身体权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利,但不限于这些,还有其他的自由和尊严。当然,或许有一天,我国《民法总则》这种正面规定人格权的模式,会给人格权的财产性、可支配性和可处分性提供合理的基础。
(二)侵犯信息权的样态和请求权基础
1.侵犯信息权的样态。我国《民法总则》第111条规定“任何组织和个人不得非法收集、使用、加工、传输个人信息,不得出售、或者非法提供、公开个人信息。”这些行为应该看作是侵害信息权的样态。
(1)非法收集和使用个人信息。按照我国《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.1 a)的规定,“收集是指对个人信息进行获取并记录”,而“利用是指按照特定目的对个人信息加以利用”。按照我国《网络安全法》第41条的规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
我国《信息安全技术公共及商用服务信息系统个人信息保护指南》5.2.1-5.2.7对个人信息的收集和使用作了规定,具体规则是:(A)收集阶段要具有特定、明确、合法的目的;(B)收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:a)处理个人信息的目的;b)个人信息的收集方式和手段、收集的具体内容和留存时限;c)个人信息的使用范围,包括披露或向其他组织和机构提供其个人信息的范围;d)个人信息的保护措施;e)个人信息管理者的名称、地址、联系方式等相关信息;f)个人信息主体提供个人信息后可能存在的风险;g)个人信息主体不提供个人信息可能出现的后果;h)个人信息主体的投诉渠道;i)如需将个人信息转移或委托于其他组织和机构,要向个人信息主体明确告知包括但不限于以下信息,转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等;(C)收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意;(D)只收集能够达到已告知目的的最少信息;(E)要采用已告知的手段和方式直接向个人信息主体收集,不采取隐蔽手段或以间接方式收集个人信息;(F)持续收集个人信息时提供相关功能,允许个人信息主体配置、调整、关闭个人信息收集功能;(G)不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息,确需收集其个人敏感信息的,要征得其法定监护人的明示同意。
在使用阶段,要遵循《网络安全法》第41条的规定,即遵循下列原则:(A)合法、正当、必要的原则;(B)使用的目的和规则、范围、方法公开原则;(C)同意原则,即上述各项要经过信息主体的同意。
违反上述原则收集和使用个人信息者,即为非法收集和使用。
(2)非法加工。按照我国《信息安全技术公共及商用服务信息系统个人信息保护指南》下称《指南》第5.1 b)的规定,加工指对个人信息进行的操作,如录入、存储、修改、标注、比对、挖掘、屏蔽等。按照该《指南》5.3.1-5.3.7条的规定,对个人信息的加工应遵循下列规则:(A)不违背收集阶段已告知的使用目的,或超出告知范围对个人信息进行加工;(B)采用已告知的方法和手段;(C)保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知;(D)未经个人信息主体明示同意,不向其他个人、组织和机构披露其处理的个人信息;(E)保证加工过程中信息系统持续稳定运行,个人信息处于完整、可用状态,且保持最新;(F)个人信息主体发现其个人信息存在缺陷并要求修改时,个人信息管理者要根据个人信息主体的要求进行查验核对,在保证个人信息完整性的前提下,修改或补充相关信息;(G)详细记录对个人信息的状态,个人信息主体要求对其个人信息进行查询时,个人信息管理者要如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工状态等内容,除非告知成本或者请求频率超出合理的范围。
以“非法目的”或者“非法手段”加工个人信息,都构成非法加工。
(3)非法传输、提供或者公开。按照我国《信息安全技术公共及商用服务信息系统个人信息保护指南》下称《指南》第5.1 c)的规定,转移是指将个人信息提供给个人信息获得者的行为,如向公众公开、向特定群体披露、由于委托他人加工而将个人信息复制到其他信息系统等。这里所说的“转移”,实际上就是指“传输、提供或者公开”。该《指南》5.4.1-5.4.5条的规定,传统的基本规则是:(A)不违背收集阶段告知的转移目的,或超出告知的转移范围转移个人信息;(B)向其他组织和机构转移个人信息前,评估其是否能够按照本《指南》的要求处理个人信息,并通过合同明确该组织和机构的个人信息保护责任;(C)保证转移过程中,个人信息不被个人信息获得者之外的任何个人、组织和机构所获知;(D)保证转移前后,个人信息的完整性和可用性,且保持最新;(E)未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构。
我国《网络安全法》第42条规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”第44条规定“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
违反上述规则,以违法目的或者手段传输、提供、公开个人信息的,即构成非法传输、提供和公开个人信息。
(4)出售个人信息。出售个人信息与一般的非法提供或者披露或者传输、公开不同的是,出售是以获取“对价”或者说营利为目的。目前,这种情况在我国各地非常普遍:将个人买卖房屋的电话号码、理财信息、婴儿出生信息、拥有某某品牌汽车的信息、家里有适龄儿童信息等出售给某些房屋中介、推销产品的企业或者个人,意图谋利。生活在今天的我们,经常收到一些垃圾短信或者骚扰电话,其实与这种情况有关。按照上述《网络安全法》第44条之规定,任何个人和组织不得非法出售或者非法向他人提供个人信息。
出售个人信息,无论什么理由都属于“非法”。当然,上述“非法收集和使用”“非法加工”“非法传输、提供或者公开”个人信息中的“非法”,如果称为“不当”,可能更加合适。因为,这里的所谓“非法”,很多都属于违反社会一般观念或者说“善良风俗”等,不见得一定是明确的法律的禁止性规范,就好比侵权行为构成中的“违法性”一样,很多实际上属于“不当行为”。
2.救济与请求权基础。(1)预防性救济措施及请求权基础。我国《网络安全法》第42条及《民法总则》第111条为预防性救济措施提供了请求权基础。《网络安全法》第42条规定:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”《民法总则》第111条规定“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全。”
但问题是,如果说《网络安全法》属于行政管理型法规可以规定预防性措施的话,那么,《民法总则》中能否找到这种预防性规范及请求权基础呢?正常情况下,在一个国家的民法典的总则部分找到这种规范是很困难的,但是,由于我国《民法总则》与其他“德法法系”的国家之民法典模式不同,在第八章规定了“民事责任”,在该部分的第179条规定了“消除危险”的责任方式。那么,能否从“消除危险”中解释出对信息保护的“预防性救济措施”呢?因为,这种“消除危险”的救济措施,大概相当于大陆法系国家物权法上的“妨害预防请求权”,主要是针对物权有被妨害之虞时,可以请求除去。因此,《民法总则》中第179条的规定,就难以用作保护信息的此种预防性措施了。只能看作是当发生这种结果时,如果能够判定这些组织没有采取安全措施,视为“过错”而承担责任。
(2)责任性救济措施及请求权基础。由于侵犯信息权与侵犯隐私权或者隐私性信息不同,侵犯信息权对人损害的程度一般来说比侵犯隐私权或者隐私性信息“要弱”,因此,救济性措施也就比较广泛,有时候仅仅要求删除或者更正就可以达到救济目的。
从请求权基础来看,我国《网络安全法》《民法总则》及《侵权责任法》都给其救济提供了请求权基础及救济措施,具体来说,有以下几种:
(A)删除请求权。对此,《网络安全法》第42条、第43条及第47条、《侵权责任法》第36条都规定了要求删除的权利。
(B)承担侵权责任的请求权。如果采取删除、屏蔽、断开链接等方式,并不必然排除其他责任方式。如果采取上述措施不能或者不能完全对受害人提供充分的救济,受害人可以请求承担其他的侵权责任。对此,我国《民法总则》第八章的“民事责任”及《侵权责任法》可以为此提供有效的请求权基础和救济措施。
(C)更正请求权。按照我国《网络安全法》第43条的规定,个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予更正。
四、结论
在我国《民法总则》将隐私与信息区分而作二元保护的立法模式下,正确区分信息及隐私有重大意义,因为二者的救济措施还是不同的,例如,对信息的保护有“请求更正”的权利,但对于隐私就不可能采取这种方式,如果“隐私”有错误,就属于“不真实”,则可能构成侵害名誉权。另外,即使是“删除”这种的保护措施,对于隐私和信息也有不同的救济效果。
当然,必须承认的是,隐私与信息有时是可以清晰地区分开来的,有时则难以区分。因为,隐私由两部分构成:一部分属于“空间隐私权”,如住宅,公共场所(如商场)中的更衣室、浴室等,该部分隐私与信息的区分是泾渭分明的。但还有一部分隐私是通过一定的载体体现或者表达出来的,其表现形式就是“信息”,尤其是在今天这样一个越来越“无纸化”的生活时代,例如,个人的数码私密照片等。还有一些信息,虽然看起来确实是信息,但这一部分信息离个人的“人格尊严或者自由”距离很近,对信息主体来说,就属于“不想让他人知道的秘密”,例如,艾滋病患者的病历信息、理财信息等。这一部分隐私可能与信息交织在一起,有时难以区分。因此,许多国家或者地区干脆不作区分,在个案中具体认定。在我国区分的立法保护模式下,我们更应该在实践中根据具体个案来区分它们,然后确定请求权基础及救济措施。
至于请求权基础,我国既有一般法,也有特别法。就一般法来说,我们有作为民法典一部分的《民法总则》《侵权责任法》。目前,这两部法律可以作为对隐私与信息救济的最直接的请求权规范基础。特别法如《网络安全法》。就隐私权来说,由于隐私权没有支配性,故其最一般的救济方式就是停止侵害、赔偿损害(主要是精神损害)、消除影响(包括删除)、赔礼道歉。就信息权来说,还有请求更正的救济措施。