宋亚辉:个人信息的私法保护模式研究 | 法宝推荐
【副标题】《民法总则》第111条的解释论
【作者】宋亚辉(南京大学法学院副教授,法学博士)
【来源】北大法宝法学期刊库《比较法研究》2019年第2期。因篇幅较长,已略去原文注释。
【声明】本文仅限学习交流使用,如遇侵权,我们会及时删除。
内容提要:随着大数据技术的开发应用,个人信息主体与信息收集利用者分别从不同角度对个人信息主张权利。但何为个人信息?如何配置权利?答案应建立在法益保护与数据开发利用的二元价值平衡基础上。美国和欧盟代表两种不同的取舍模式。介于二者之间,中国早期采纳“美国式实践”,近来又转向“欧盟式立法”,后者彻底开放了个人信息的边界。为兼顾信息开发利用价值,个人信息的认定标准宜作合目的性限缩和情境化改造。在保护模式的选择上,美欧正趋同于“积极确权+行为规范”模式,中国属于单一的“行为规范模式”,这为信息收集利用提供了相对明确的合规指引,但个人信息主体的法益保护范围只能根据相对人的行为界限作反推,解释论上因此丧失了法益保护的裁量空间,进而难以对承载不同法益内容的身份和行为信息提供差别化保护。解释论之矫正需引入人格权概念作为裁量平台,以此构建法益保护与行为自由的比较权衡框架。
关键词:个人信息;价值权衡;积极确权模式;行为规范模式
一、大数据时代的个人信息权属争议
随着大数据技术的开发应用,个人信息迅速成为多方争夺的稀缺资源。卷入资源争夺的主体有二:一是个人信息主体,即“个人信息指向的自然人”,他们以其作为信息之“源”的地位主张享有一定的人身权益(偶尔也涉及财产利益,下同);二是信息收集利用者,他们期待信息资源的自由开发利用,并就其智力劳动主张相应的财产权益。前者事关自然人的人格完整性,后者事关经济社会利益和信息产业发展。双方的主张似乎各有理据,但权益内容存在交叉重叠,而且指向同一个客体,由此引发一系列权属争议。
私法上的争议主要围绕以下论点展开:大数据开发利用的个人信息究竟应通过防御性的隐私权、支配性的人格权还是财产权加以保护?抑或将其视为可自由开发利用的公共资源?欧美国家立法对此态度不一。国内学界对个人信息的权利性质甚至存在8种不同立场。《中华人民共和国民法总则》(以下简称《民法总则》)回避了权利性质争议,仅在第111条中宣示“自然人的个人信息受法律保护”,并列举了信息开发利用之行为规范。学界对此存在两种不同的解释。一种观点认为,“虽然民法总则没有明确使用‘个人信息权’的概念,但在解释上也可以认为,其承认了独立的个人信息权”,其性质为人格权。另一种观点认为,“因对个人信息的本质及权利属性的研究不足,还难以明确界定自然人个人信息的性质及属于何种权利。设立本条的立法目的,主要是宣示对个人信息予以法律保护的原则”。作为基本共识,《民法总则》第111条的宣示性规定客观上蕴含着一定的产权配置效果,它间接承认个人信息主体对其个人信息享有权利。但在解释适用中,何为个人信息?个人信息主体享有哪些权益内容?如何兼顾个人信息保护与信息开发利用之二元价值?这正是本文研究的问题。
表1 大数据环境下个人信息主体与信息收集利用者之间的争议概览
(一)何为“个人信息”?
个人信息认定是个人信息保护的前提,法院之所以讨论何为个人信息,一个隐含的逻辑前提是将个人信息归入私有领域,未经许可收集使用个人信息的行为可能构成侵权,因此才有如下争点:(1)购物软件收集的用户交易记录是否属于个人信息?在淘宝大数据案中,法院认可被告的抗辩理由,认定除“姓名、身份证号、手机号、IP地址、UDID等信息”以外的“使用许可软件的状态以及使用习惯等一些反映在阿里巴巴服务器端的信息不属于个人隐私信息”。(2)网络搜索记录是否属于个人信息?百度大数据案一审判决认为:“原告利用减肥、丰胸、人工流产这三个特定词汇进行网络搜索的行为,将在互联网空间留下私人的活动轨迹,这一活动轨迹展示了个人上网的偏好,反映个人的兴趣、需求等私人信息,在一定程度上标识个人基本情况和个人私有生活情况,属于个人隐私的范围。”但二审判决持相反立场,认为这些信息“是未能与网络用户个人身份对应识别的数据信息,该数据信息的匿名化特征不符合‘个人信息’的可识别性要求……不再属于个人信息”。(3)网页浏览器收集的用户软件安装目录是否属于个人信息?在360大数据案中,法院认为仅知晓用户软件安装目录,“360安全浏览器无从判断用户的真实身份及其人格特性”,这间接否认了软件安装目录属于个人信息。(4)匿名的房产交易记录是否属于个人信息?房产大数据案判决认为,涉案信息“不含有购房者个人的姓名、身份证号码等个人信息”,其言外之意是说,隐去购房者姓名、身份证号的交易记录不属于个人信息。
(二)个人信息主体可主张哪些权益?
若属个人信息,则个人信息主体可主张哪些权益?当前互联网产业对个人信息的利用主要涉及信息收集、占有、处理、识别、转让、收益等,其中任何一个环节都可能遭遇个人信息主体的维权诉求,以表1所列典型案件为例,司法实践中常见的争议包括:(1)收集个人信息应以何种方式征得个人信息主体同意?百度大数据案一审判决认为,默示同意方式和以较小字体呈现的格式条款未达到知情同意标准;但二审判决认为这符合行业惯例,且在简约型网页上小字体也足以引起用户注意。(2)个人信息主体是否有权查询、删除个人信息?在淘宝大数据案中,用户终止使用淘宝软件后要求查询、删除其个人交易记录,但法院认为原告已通过《软件许可使用协议》作出概括授权,“阿里巴巴在该协议终止后保留原告的信息并未违反法律、法规的规定和双方收集、使用信息的约定”。本案虽名为格式条款效力之争,但问题的根源是个人信息的权利内容界定。(3)个人信息主体是否有权分享信息开发利用所获之财产收益?这是个人信息主体的重要关注点。对此,有些企业通过默示同意条款要求用户不可撤销地授予其“独家的、全球通用的、永久的、免费的许可使用权利”。此种收益分配虽有契约之名,但合意度极低,其约束力存疑。结合域外法来看,凡是颁行独立的个人信息保护法的国家,大都规定了多元化的权益内容,主要包括但不限于知情权、同意权、查询权、修改权、删除权、限制使用权、可携带权、反对权等。
二、界定个人信息的两种基础性价值取向
(一)“透明人”时代界定个人信息的价值取舍难题
从上述案件的判决结果来看,对于网络搜索关键词、淘宝交易记录、计算机软件安装目录、房产交易记录等,法院均认定其不属于“个人信息”,进而驳回个人信息主体的权利诉求。之所以会出现这样的结果,一个重要原因在于,涉案信息均具有一个共同特征——不可单独或直接识别用户个人身份,而在受案法院看来,只有那些能直接并已确切识别个人身份的信息才属于“个人信息”,法院的裁判逻辑可简单概括为:“个人信息=可直接识别个人身份的信息”。
但法院的立场显然并未兼顾大数据时代的如下特征:“互联网上几乎所有活动都会留下详细记录或元数据,通过用户计算机或智能手机的IP地址、网页浏览器采集的cookie数据以及其他各种识别符均可关联到特定个人。”尤其是智能手机不仅可以感知用户声音、动作、血压、心跳,而且可借助手机地图、购物软件、检索工具获知用户住址、单位、购物习惯和收入状况,这些形式上的非个人信息只要被特定算法关联起来,便可迅速画出“数据人像”。据此,“原本不属于个人信息的数据可通过大数据分析得出有关私人事务的信息”。尽管各国大数据采集规则普遍要求对数据作匿名化处理,但这仅具有形式意义,恰似精心伪装的犯罪嫌疑人留在现场的指纹一样,大数据技术完全可通过寻找匿名行为信息的关联性实现再识别,数据科学因此提出“数据指纹”概念。例如,通过人口统计数据中的“邮政编码+出生日期+性别”可识别出87%的美国公民。若独立来看,这些均不属于个人信息。再如,被中国法院排除在个人信息之外的cookie信息,一旦被第三人截获,便可迅速锁定信息主体并完成诈骗活动;同类信息若汇总到公安机关,又可用于识别并追捕犯罪嫌疑人。此时,若仍坚持认为不含有姓名、身份证号的cookie信息不属于个人信息的观点无异于掩耳盗铃。大数据技术已将人类置入“透明人”的时代,个人信息的范围需重新界定。
既如此,中国法院为何固守成规?这背后蕴含着重要的经济驱动因素和社会利益考量。随着现代社会信息化程度的提高,信息不再只是人际沟通的符号,它被视为与能源并驾齐驱的新型生产资料,人类生活对信息的依赖程度也急剧攀升,由此推动了大数据技术在各领域的普遍应用。然而,具有数据开发价值的信息大多与个人身份或行为相关,此类信息无处不在且种类繁多,法律上的定性也较为模糊。从一定程度上讲,用户留在网络空间的一切痕迹都有间接识别个人身份的可能性,这是致力于“从混沌中提取价值”的大数据技术的核心使命。但若将所有与个人有关的信息均纳入个人信息的范畴,则绝大多数具有数据开发价值的信息都将囊括其中,个人信息的边界将彻底开放,这对于信息资源的开发利用将带来沉重负担和法律风险,与国家鼓励大数据产业发展的政策导向存在分歧,这可能是中国法院固守成规的部分原因。考虑到大数据在当今世界已成为国家竞争力、创新力和生产力之基础,法律上对个人信息的界定与保护也要兼顾信息资源的商业和社会价值。这已成为大数据时代的全球性趋势。
(二)美国鼓励数据开发利用的价值取向及其意义
美国网络法的一个根深蒂固的观念是“让互联网自然演化”。这种充分尊重市场和网络自治的观念深刻影响了美国的个人信息保护法——通过扩张适用普通法的隐私权概念,以“旧瓶装新酒”的方式保护个人信息。近年来,美国也致力于探索从普通法事后救济走向制定法的事前保护方案,但目前仅在金融、健康、儿童隐私等敏感领域存在相应的制定法。奥巴马政府曾致力于推动个人信息保护的统一立法,但终因各方压力而未能成功。美国这种分行业逐步推进的思路可兼顾产业发展需求。这反映出美国在个人信息保护领域的价值取向。
首先,美国当前的个人信息保护制度仍高度依赖普通法上的“四类隐私权”体系,而隐私权是一种消极防御性权利,防御机制的启动以损害为前提,是否有损害因此成为信息开发利用之边界,而大数据技术对个人信息的利用往往只意味着潜在致害风险,少有即刻发生的有形损害,这给数据开发利用提供了广阔空间。普通法的事后归责与司法实施机制的滞后性,进一步延缓了防御性保护机制的启动时机,进而拓展了数据开发利用空间。20世纪末期以来不断有学者建议授予一项法定的支配性权利来加强个人信息保护,但均以失败告终。
其次,美国针对个别行业领域构建的制定法的事前保护机制,以“可识别个人身份的信息”(personally identifiable information,简称PII)作为其保护界限,但在解释适用中,“制定法、法官和政策制定者均采纳限缩解释倾向,仅将当下确定能识别个人身份(identified)的信息视为PII”。这限缩了个人信息的类型与保护范围。美国制定法还通过“匿名化”手段来拓展信息开发利用空间,互联网公司可在删除用户姓名、社保账号、手机号等可直接识别个人身份的信息后自由开发利用信息。这为企业提供了清晰的合规指引和广阔的发展空间。
作为代价,美国以私权自治为基础的个人信息保护体制积弊重重,现代技术条件使个人信息主体在信息开发利用中缺乏平等的谈判地位,用于保护个人信息的普通法诉讼手段、互联网技术手段和市场淘汰机制均存在重大缺陷。由此导致信息泄露事件此起彼伏,美国甚至已成为国际黑市售卖个人信息的主要来源国且售卖价格低廉。调研结果表明,81%的网民被迫提交了他们认为并不必要的信息。加强个人信息保护的呼声虽日益高涨,但至今难有结构性改变。因为通过限缩产业集团利益来加强个人信息保护的立法尝试在美国注定举步维艰,这背后除了利益集团的游说压力外,更重要的原因是,美国在历史上始终是个信赖法院并对政府干预保持警惕的国家。在个人信息保护问题上,美国人更信赖法院的中立性以及普通法在事后进行利益平衡的灵活性。正是在这样的法律文化和制度结构中,美国互联网产业始终领跑全球,但个人信息保护却备受诟病。
(三)德国/欧盟优先保护人格法益的价值取向及其意义
如果说美国是个崇尚行为自由的国家,那么,德国则更强调人格尊严的至高无上。由此导致两国个人信息保护法的价值分歧。德国联邦宪法法院在1983年的“人口普查案”中通过解释适用基本法(宪法)第1条第8项的人格尊严和第2条第1项的一般人格权概念,发展出一项独立的“信息自决权”,“其内容包括个人得本诸自主决定的价值与尊严,自行决定何时及于何种范围内公开其个人的生活事实”。作为一项由联邦宪法法院创设并在《德国联邦数据保护法》中得到发展的绝对权,个人信息自决权将个人信息视为自然人身体的一部分予以优先保护,权利内容涵盖知情、同意、更正、删除、封存、限制、拒绝等。受德国影响,《欧盟基本权利宪章》第8(1)条将个人信息视为宪法性基本权利。此种价值取舍模式塑造了德国和欧盟较高的个人信息保护水平。
首先,相较于美国隐私权概念所蕴含的多元利益平衡机制(与言论自由、公众知情权、大数据产业发展之平衡),德国的信息自决权致力于为核心人格领域提供绝对保护。“由于德国的信息自决权具有宪法背景……一旦涉及核心人格领域,法院需判断被诉行为是否对核心人格领域构成重大影响,若是,则法院无须作利益平衡,径行对承载核心人格利益的个人信息提供绝对保护。”这样的个人信息保护机制相当于给信息开发利用设置了“一票否决制”。
其次,相较于美国法上狭窄的个人信息概念及其限缩解释政策,德国法上的个人信息概念更为抽象且宽泛。《德国联邦数据保护法》自颁布以来始终将个人信息界定为“确切可识别个人身份的信息”(identified)和“可能识别个人身份的信息”(identifiable)两种,并为两类个人信息提供均等保护。由于大数据时代几乎所有与个人有关的信息都可视为“可能识别个人身份的信息”,个人信息的边界由此彻底开放。欧盟1995年《数据保护指令》和2018年生效的《一般数据保护条例》(以下简称GDPR)采纳了与德国相似的立场。德国宽泛的个人信息概念在实践中又倾向于采用扩张解释,这显著扩大了受保护的个人信息范围。
最后,相较于防御性的隐私权,德国的信息自决权致力于实现个人信息主体对其个人信息的积极控制,其控制方式随着信息技术、新型判例和立法的发展而不断增多,如《德国联邦数据保护法》第20、35条的删除权和封存权,欧盟GDPR第17条的被遗忘权和第20条的数据携带权等。此类衍生性权利与个人信息自决权的“源权利”特征一脉相承。而且,个人信息自决权的宽泛解释空间和衍生功能为个人信息保护提供了弹性空间,可防范有意为之的法律规避行为。
德国/欧盟致力于实现对个人信息自我控制所进行的绝对权立法,造就了个人信息优先保护的典范。在法律适用中一个显而易见的差异是,“欧盟的法律禁止无法律授权的信息处理行为;但在美国,总体的理念是允许自由开发利用个人信息,除非该行为给他人造成法律上的损害或遭到法律的明文禁止”。欧盟在提高个人信息保护水平的同时,却给信息开发利用设置了较高的门槛,未来可能将承受经济发展方面的代价。这也许正是德国互联网产业不及美国的重要原因。欧盟对此并非无所顾虑,但GDPR的目标除了应对境外情报监控外,还致力于为欧盟的信息技术和网络产业提供清晰、连贯的规则,这将对数字经济的市场预期和消费信心产生积极影响。更重要的是,GDPR致力于打造欧盟统一的数字经济市场,成员国间的数字贸易有望畅通无阻。至于该目标能否实现,以及能否抵消其负面影响,学界观点不一。但毋庸置疑的是,上述两种价值取舍模式都是其“地域文化、社会规范、政治和经济哲学以及历史经验综合权衡的结果”。
三、个人信息的中国界定及其解释论
(一)体系转轨:从“美国式实践”到“欧盟式立法”
个人信息概念在美国的限缩和在欧盟的扩张,深刻反映出大西洋两岸根深蒂固的法律文化差异。美国对行为自由的崇尚和对政府管制的高度警惕,造就了狭窄的个人信息概念;德国和欧盟对人格尊严的优先乃至绝对保护,造就了抽象且宽泛的个人信息概念。作为价值取舍的结果,双方均为此获得了相应的收益并承受了一定的经济或社会代价。对此不宜作简单的优劣评价,毕竟,个人信息保护和数据开发利用之间的价值张力始终存在,任何选择都伴随着相应的收益和代价。美国因此获得了全球领先的互联网产业,德国和欧盟为此赢得了“人”作为一切价值本源的主体性回归和相伴而来的社会信任。从这个意义上看,个人信息的界定并无固定范式,适合当地文化并自成体系的制度设计便是最优选择。但中国的情况更为复杂,中国在个人信息保护领域的价值取向正在发生转轨,如何化解由此引发的前后矛盾与体系冲突由此成为当下的重点问题。
首先,在法益保护与数据开发利用的二元价值之间,中国司法实践倾向于鼓励数据开发利用,并将个人信息限定为可直接识别个人身份的信息。这一价值取向与美国相近,故称之为“美国式实践”。例如表1中的涉案信息都与个人身份或行为相关,它们虽不可单独识别个人身份,但与其他信息结合(如IP地址和手机定位)便可能实现再识别。然而,中国法院大都回避该问题或直接判定其不属于个人信息。如果说《中华人民共和国网络安全法》(以下简称《网络安全法》)第76条在当时因尚未生效而无法适用的话,与本法持相同立场并于2013年生效的部门规章和推荐性国家标准为何也未被参照适用?这反映出中国法院总体上的价值判断,他们习惯于将个人信息限定为可直接识别个人身份的信息,并将大数据开发利用的核心资源(与个人身份相关并具有间接识别可能性的信息)排除在外,进而有意或无意地助力大数据产业发展。正如江苏省高级人民法院的判决所言:“在大数据时代,引导和鼓励企业合作创建数据平台,有利于信息资源的开发和利用,从而推进经济社会发展。开发服务部关于涉案《合作协议》无效的主张没有法律依据。”这里清晰地反映出法院的价值判断:相较于一方当事人提出的“数据涉及他人利益、个人隐私及社会公共利益”而构成非法使用之主张,另一方当事人主张的数据开发利用是法院眼中更值得保护的社会价值。本案蕴含的价值取向极具代表性,这是中国司法“服务大局”的一贯表现。
其次,界定个人信息的“美国式实践”虽已成总体趋势,但新近立法又另起炉灶转向“欧盟式立法”。我国2016年《网络安全法》第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”2017年颁布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条对个人信息的界定与之大同小异。二者均将个人信息分为两类:一是能单独识别个人身份的信息,此类个人信息相对有限,以法律列举的内容为主;二是与其他信息结合能够识别个人身份的信息,此类信息种类繁多,几乎所有与个人身份或行为相关的信息均具有身份识别的可能性,因而其性质争议较大。美国倾向于将这种仅具有间接识别可能性的信息视为非个人信息,除非个案中已确定识别出特定的自然人。欧盟采纳更为开放的态度,将后者也视为个人信息,GDPR第4(1)条规定:“个人信息是指,任何已经识别或可能识别某个自然人的信息;所谓可能识别某个自然人是指通过直接或间接方式可识别出某个自然人,尤其是通过引用自然人姓名、身份证号、位置信息、线上标识符等身份符号,或通过引用自然人的一个或多个物理、生理、精神、遗传、经济、文化或社会身份等因素。”欧盟立法中的“直接或间接识别”对应于我国《网络安全法》中的“单独或者与其他信息结合识别”两种类型。法律一旦将“可间接识别个人身份的信息”也视为个人信息,则个人信息的边界将彻底开放,几乎所有与个人身份或行为相关的信息均可纳入保护范围,这彻底颠覆了我国此前的经验主义做法。
立法者固然有权否定并改造司法实践中的惯常做法,但这种价值判断上的急剧转向将对微观制度改革、裁判方法、产业政策和大数据产业发展带来系统性影响。我国司法要及时回应这个突如其来的变化,否则将引发一系列体系冲突和矛盾,将无法给卷入权属争议的双方提供清晰稳定的行为预期,这对于个人信息保护和大数据产业发展可能是个双输的结果。实际上,我国在界定个人信息时所面临的问题与美欧大同小异,一切都围绕二元价值的取舍展开,唯一的不同在于我国的制度环境和文化背景差异。作为发展中国家,改革开放后的我国将发展经济作为第一要务。互联网是我国进入21世纪以来抓住的难得机遇,作为互联网产业的重要一环,大数据被视为“国家重要的基础性战略资源”,政府致力于通过一系列产业政策打造数据强国。正是在此种宽松乃至积极鼓励的政策环境中,我国互联网产业在立法尚未跟进的情况下,以类似于丛林法则的生存逻辑实现了“非法兴起”。我国当今的大数据产业在收集端和应用端已跃居全球领先地位,法院所践行的“美国式实践”无疑对此做出了重要贡献。作为产业发展的代价,当前大量涌现的个人信息泄露、垃圾邮件和网络诈骗与此种价值取舍不无关联。这种经济中心主义格局,近来却又陡然转向“欧盟式立法”,欧盟GDPR被指与大数据产业不兼容的问题,也因此呈现在中国。如何弥合司法经验与新近立法的价值冲突并实现平稳转轨成为当下的紧迫问题。
(二) PII2.0版:个人信息边界开放后的解释论
我国早期认定个人信息的“美国式实践”虽有法益保护不足之弊,但总体符合目标与手段相匹配的制度设计原理,这与我国鼓励互联网和大数据产业发展的政策导向相吻合。近来虽又转向“欧盟式立法”,但解释适用中仍需兼顾当前的产业政策及其追求的大数据利用价值。正如学者对欧盟GDPR的评价,“数据的价值及其对于经济发展的潜在重要性,尤其是它对社会生活方方面面的影响,将推动决策者寻找更好的解决方案”。这同样适用于中国。如何在开放个人信息边界的同时兼顾数据开发利用之价值,将是解释论之灵魂。
作为国际发展趋势,个人信息的认定正从单一的可识别标准走向多元化、情境化和弹性化的可识别标准,有学者称之为“PII2.0版”。PII2.0理论致力于以利益平衡理念和被识别的风险高低,将可识别个人身份的信息作精细化区分,并提供差别化保护。常见的分类方法有二:一是根据被识别风险的高低将PII分为确定可识别和潜在可识别两种;二是根据识别方式不同将PII分为直接(单独)识别和间接(与其他信息结合)识别两种。分类的目的旨在为不同类型的个人信息提供差别保护,以此平衡法益保护与数据开发利用之价值。PII2.0理论也为《网络安全法》第76条的“个人信息”概念提供了二元分析框架。
1.能够单独识别个人身份的信息之认定
所谓“单独”识别,是指无须借助其他信息即可直接实现识别效果,此类信息相对确定且数量有限,各国立法大多是以列举方式呈现其类型;所谓“能够”识别,既包括已经确认某个具象化的自然人,也包括尚未具象化但客观上能指向唯一自然人的信息,例如仅以数字方式呈现的身份证号码,其所指向的自然人虽尚未从人群中被区分出来,但已被特定化。我国《网络安全法》第76条列举的个人生物识别信息、电话号码、住址以及各类账号、密码均属此类。将“能够单独识别”个人身份的信息纳入保护范围是国际共识,欧盟和我国台湾地区将其表述为“直接识别”。德国在保护那些承载核心人格利益的个人信息时甚至拒绝利益衡量。我国也应为这些最具人格价值的个人信息提供高标准保护,但现行法的保护方案尚难以作区别对待。
2.与其他信息结合能够识别个人身份的信息之认定
引入这一概念后,个人信息的边界将彻底开放,并随着大数据分析和数据画像技术的进步而不断拓展,未来几乎所有与个人有关的信息都可能识别出背后的自然人,这是大数据技术的重要特征。法律上若将这些信息一概视为“个人信息”,则绝大多数具有数据开发价值的信息都将囊括其中,数据开发利用空间将被严重压缩;但若否认其“个人信息”属性,又将为法益保护留下了巨大漏洞,因为大数据技术可轻而易举地透过非个人信息绘制数据人像。摇摆于二元价值之间,此类个人信息的认定争议不断,如IP地址、 cookie、定位、人群标签、计算机硬件或软件识别符等,它们虽不可单独识别个人身份,但距身份识别仅一步之遥。法律上能否视之为“个人信息”,关键取决于是否有其他信息来辅助完成识别过程。
(1)“待决信息+其他信息”的方法论构造。《网络安全法》第76条中的“与其他信息结合”之表述,表明此类个人信息的认定不再只是对单一信息的独立判断,而是要将其置于大数据环境下,与其他相关信息结合起来判断可识别性之有无。所谓“待决信息”是指有待进行性质界定的涉案信息,“其他信息”是指信息收集利用者已掌握或将掌握的其他相关信息。以百度大数据案为例,原告搜索的“丰胸、减肥、人流等”关键词属于“待决信息”,其性质判断需借助的其他信息包括但不限于百度依其隐私政策所收集的“IP地址、所访问服务的URL、浏览器的类型……以及访问服务的日期、时间、时长等”。若以“搜索关键词+ IP地址+访问时间”的信息组合来看,除非涉案搜索行为发生在多人共用的公共电脑上,否则,身份识别的可能性极高,谁会在特定位置、特定时间、使用特定设备发起搜索行为,通常是个公开的秘密。因此,搜索记录是否属于个人信息,不仅取决于该信息本身的人身指向性强弱,更取决于信息收集利用者还掌握哪些相关联的信息。大数据时代的信息源越多、寻找数据指纹的技术越强,被判定为个人信息的类型也越多。这意味着,同一“待决信息”在不同案件中完全可能作出不同的界定,这取决于信息收集利用者的信息持有量和识别技术的高低。
(2)可识别标准的合目的性限缩与情境化判断。《网络安全法》第76条所言之“能够识别”,除已识别之情形外,还包括未来可能识别之情形,后者是对未来可能性之判断,标准不易把握。尤其是随着信息源的拓展和信息技术进步,未来几乎所有与个人有关的信息都具有身份识别的可能性,法律上若一概视之为个人信息,势必给信息资源的开发利用带来极大障碍,甚至可能阻碍信息技术的进步。为兼顾信息开发利用价值,此类个人信息的认定标准宜作适度限缩。从学理上讲,既然个人信息概念的提出旨在保护与个人有关的信息所承载的人格利益,那么,只要涉案信息未承载或不影响其人格利益,无论是否与个人有关,均不宜认定为个人信息,从而避免过于宽泛的个人信息概念限制信息开发利用之空间,这属于“合目的性限缩”。至于涉案信息是否承载或影响人格利益,需结合信息类型及其应用场景作个案判断,正如美国学者提出的“基于场景”的隐私保护理念。纳入考量的因素包括但不限于信息收集目的、商业利用模式、信息保有量、信息存储时间和环境、识别动机和潜在激励、技术条件和企业信誉等。通过对这些要素的综合考量来判断涉案信息是否承载并在多大程度上影响人格利益,进而判定其是否属于个人信息。这是一种结果导向的利益权衡。因此,法院面临的问题与其说是判断待决信息是否属于个人信息,不如说是判断将待决信息视为个人信息是否有助于保护更重要的人格利益(相较于信息开发利用价值而言)。
以IP地址为例,谷歌公司在美国和欧盟均以IP地址的技术原理来否定其个人信息属性,但在大数据时代,单独讨论IP地址的性质意义不大,关键在于其在何种场景下被收集、存储和利用?一旦进入具体场景可以发现,“谷歌从不独立存储IP地址,而是将其与用户识别符和行为信息联合存储。通过用户日志文件,谷歌可获知哪个IP地址访问了某个电子邮件、日程表、编辑了某个文字处理软件、发起了某个搜索词等。通过分析这些彼此关联的信息完全可得出与IP地址关联的自然人的精确信息”。在这样的信息存储场景下,IP地址承载了大量私密性人格利益,甚至可能构成德国法上的“核心人格利益”,在人格利益保护与信息开发利用的天平两端,无理由不优先保护核心人格利益,故将其界定为个人信息应无疑问;反之,若单独收集IP地址且无法与其他信息组合匹配,将不会对人格利益构成影响,可不认定为个人信息。正是基于被识别的风险及其对人格利益的潜在影响,欧盟和美国均倾向于将IP地址和cookie识别符视为个人信息。与之类似,我国2018年5月实施的国家推荐性标准也明确将“个人上网记录、个人常用设备信息、个人位置信息”列为个人信息。
四、个人信息的私法保护模式选择
(一)美欧经验:积极确权模式与行为规范模式的互动
若属个人信息,则个人信息主体可主张哪些权益/权能?相应地,信息开发利用者享有多大范围的行为自由?这是更具实质意义的法律问题,也是表1案例的核心争点。比较法上存在两种截然不同的立法模式:一是积极确权模式;二是行为规范模式。前者通过正面界定权利来划定个人信息主体的权益范围,作为反推效果,在权益保护范围之外的领域均属他人的行为自由;后者直接规定信息开发利用之行为规范,以此来反推并间接保护个人信息主体的权益。面对两种截然不同的立法模式,制度上该如何选择?
1.早期的积极确权模式及其背后的“丛林逻辑”
美、德两国早期均采用积极确权模式来保护个人信息,只是德国确立了一项具有排他性效力的完整的个人信息自决权,而美国则是借用防御性的隐私权来保护互联网时代的个人信息。两国的价值取向虽然迥异,但立法技术上却走向趋同化——均属积极确权模式。作为权利立法的反推效果,德国的个人信息自决权和美国的隐私权在划定权益保护范围的基础上,间接设置了信息收集利用之行为界限,其基本逻辑为:通过确认(或解释)权利来反推他人的行为自由。这不仅解决了个人信息的权利性质及其排他性范围问题,而且为法益保护提供了弹性化的裁量平台,法院可通过法益保护范围的限缩或扩张解释,相对灵活地调整信息开发利用者的自由空间。德国和美国的分野由此产生,正是由于支配性的个人信息自决权和防御性的隐私权在排他性效力上的不同,造就了两国截然不同的个人信息保护水平和互联网产业。
积极确权立法的上述正、反面功能,使之成为西方国家早期普遍采纳的简约型立法模式,立法者可借助权利排他性范围的灵活设置来扩大或限缩信息开发利用的自由空间。但实践情况表明,积极确权模式存在结构性缺陷:(1)法律上的确权和支配不等于事实上的确权和支配。由于个人信息的收集、处理和交易是以不可视的方式在虚拟空间瞬时完成,互联网公司可通过技术手段轻而易举地单方操纵整个信息处理过程,正所谓“代码权力”。作为权利人,个人信息主体在信息开发利用过程中缺乏平等的谈判地位。信息的无限复制与快速传播使得个人信息在脱离人身之后几乎不具有事实上的可支配性,个人不仅无力阻止未经授权的信息传播,而且被排除在个人信息的商业交易之外,因此,个人信息虽被界定为私有,但权利人却无法实际拥有它,法律保护效果因此大打折扣。(2)积极确权模式无法给相对人提供清晰的合规指引和行为预期。权利立法通常是以抽象概念界定权利,或通过“事后诸葛亮”式的判例于事后定分止争,这两种确权方式都会导致权利边界模糊,若权利边界无法在事前准确界定,则无法通过反推技术来廓清信息开发利用之界限,进而无法给相对人提供清晰稳定的合规指引。由此导致的结果是,个人信息保护在实践中仍停留于“丛林地带”。
2.行为规范模式的引入及其与确权立法的协调配合
积极确权模式的内在丛林逻辑迫使人们不得不寻找更好的立法模式,行为规范模式正是在此背景下应运而生,其总体思路是从权利界定转向行为规制,通过评估信息开发利用对个人信息主体的潜在影响来设定行为规范,以此为信息开发利用提供合规指引并间接保护个人信息。《德国联邦数据保护法》、《美国儿童在线隐私保护法》、《欧盟个人信息保护指令》以及欧盟GDPR均以大量篇幅构建行为规范体系。信息收集利用的透明度规则、目的拘束规则都是其重要成果。相较于抽象的确权立法,行为规范的设计直接以信息收集利用行为作为规制对象,这为行为人提供了相对清晰的合规指引,有助于弥补权利立法的模糊性弊端。但行为规范的设定不能“因案设法”,故难以精确对待样态各异的市场行为,为平衡行为自由与权益保护的二元价值,行为规范立法不得不设置大量一般规则与例外条款,例如GDPR有大量篇幅都在列举各种适用除外和豁免事由。但即便如此,行为规范立法仍无法摆脱弹性不足的问题。在行为规范无法穷尽列举或难以通过“原则+例外”条款进行精确的价值平衡和区别对待的领域,积极确权立法将隆重登场,弹性化的权利立法可作为兜底机制,由法院在事后针对个案情形,通过灵活解读法益保护范围来调整行为自由之界限,以此缓解行为规范的列举负担与僵化难题。
在法律效力上,行为规范立法不只是行政执法的依据,同时也为民事司法提供了裁量基准。个人信息的私法保护主要借助侵权法来实施,侵权责任的认定离不开过错、违法性等要件的判断,在缺乏行为规范立法时,行为违法性的判断完全由法官自由裁量,这难以为行为人提供准确的法律预期。一旦有了行为规范立法,相对清晰的行为规范体系同时也为侵权责任的认定提供了裁量基准,违反成文法明示的行为规范,通常可直接判定侵权法上的过错或违法性要件的成就。行为规范立法由此产生公、私法上的双重效力,这有助于加强公、私法两种保护机制的协调配合,例如《德国联邦数据保护法》中的某些行为规范在性质上已被视为《德国民法典》第823条第2款中的保护性规范,违反者通常意味着侵权责任构成要件的成就。美国的情况也类似,联邦法优先原则使得普通法的隐私侵权之诉往往要优先考虑联邦制定法的个人信息保护规范及其被遵守情况。与此同时,清晰确定的行为规范立法在实践中可能会因对策行为而被规避,此时侵权法又可发挥兜底性的保护作用,这正是学界主张否认合规抗辩的理由,即不违反行为规范的致害行为仍可能构成侵权,目的旨在发挥侵权法的查漏补缺作用。
(二)中国选择:单一的行为规范模式
若以美欧的“积极确权+行为规范”模式作为参照系,中国的个人信息保护属于单一的“行为规范”模式。这源于《民法总则》第111条及其转致的《网络安全法》第4章的内容。《民法总则》第111条并未从法益保护角度确认个人信息的权利性质和法益内容,而是在宣示“个人信息受法律保护”的基本立场基础上,从信息收集利用者一方切入,以行为约束的方式划定了信息收集利用之行为界限。在行为规范的构造上,现行法区分信息获取、利用、持有三个阶段分别设定了相应的行为规范体系,任何信息获取、利用、持有行为都必须遵守这些行为规范要求,否则将构成《民法总则》第111条意义上的“非法”,进而构成侵权法上的违法性,行为规范立法正是借由侵权法的实施框架顺利走向实践。
1.信息获取阶段的行为规范:“应当依法取得”
《民法总则》第111条规定“任何组织和个人需要获取他人个人信息的,应当依法取得”,这里的“依法”属于典型的转致条款,它能将《网络安全法》第4章中列举的行为规范嫁接进入《民法总则》第111条。
根据《网络安全法》第41条的行为规范,收集个人信息须同时满足法定要件和约定要件。其中法定要件被《网络安全法》第41条细化为合法、正当、必要、透明和关联性规则,本文将其整合为“正当且必要性规则”和“透明度规则”两个法定要件;而约定要件要求所有收集个人信息的行为都必须符合双方约定。另外,作为约定要件的知情同意规则在效果上可吸收法定要件中的透明度规则,故本文将其合并处理。
(1)法定要件:正当且必要性规则。这一规则要求信息收集利用者只能收集与其提供的产品或服务相关且必要之信息,至于何为相关且必要?现行法尚无详细规定。作为借鉴,国际通行的“目的约束原则”要求信息收集者只能出于特定、明确、合法目的才能收集个人信息,其目的必须在信息收集时已经确定,且后续不能进行与事先确定的目的不兼容的使用。这是欧美立法保护个人信息的核心制度安排。但在《民法总则》生效前,国内网络公司大多以“为您提供更准确、更个性化的服务”这一开放性理由收集多种个人信息(目前有所改观),甚至涉及用户身份证号、头像、定位、种族和健康信息,且往往在列举之后以“等”字收尾。这是否符合“正当且必要性规则”应成为司法裁判的焦点。但在表1所列案例中,受案法院均未就涉案信息是否与互联网公司提供的服务相关且必要作出判断,而是径行以事前征得用户同意为由否认被告行为的违法性。
(2)约定要件:知情同意规则。这要求信息收集目的、方式、范围必须公开透明并征得用户同意。公开透明是实现信息自决权的前提,因为不透明便无自由意志可言。但如何确定公开透明和知情同意的标准?依《民法总则》第111条及其转致的《网络安全法》第41条之文义,似应以信息收集者是否履行了披露义务为标准,但一方披露不等于对方知情,且同意的质量还受到同意方式的影响,例如国际上常见的“选择进入”(opt - in)和“选择退出”(opt - out)方式将带来截然不同的同意质量。国内互联网公司倾向于选择后者,这能否达到知情同意标准争议较大。百度大数据案一审判决认为,默示同意和以较小字体呈现的格式条款未达到知情同意标准;但二审判决认为其符合行业惯例,且在简约型界面上小字体也足以引起用户注意。行业惯例能否证成行为的合法性?这颇值得研究,尤其是在双方谈判地位极不对等条件下所形成的惯例。若在欧盟,这将违反GDPR导言第32项和第7(2)条中的明示同意和选择进入标准。我国2018年生效的推荐性国家标准也确立了“收集个人敏感信息时的明示同意”规则。
2.信息开发利用阶段的行为规范:“不得非法……”
《民法总则》第111条规定:“任何组织和个人……不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这里列举了信息开发利用阶段的行为规范,结构上虽属封闭式列举,但内容涵盖了信息开发利用的主要方式。而且,解释论上可借助该条款中“不得非法”一词所具有的转致功能,将民法之外的个人信息保护规范导入该条款的适用过程,以此缓解封闭式列举存在的包容性不足。此处的“不得非法”包括“不得违反法律法规的规定”和“不得违反双方的约定”两部分,前者需借助专门立法加以确定,后者取决于当事人的约定,这里不再逐一介绍。
有待澄清的问题是,《民法总则》第111条负面列举之外的领域,究竟属于信息开发利用者的行为自由?还是个人信息主体的权益范围?本文称之为“剩余权利配置问题”。例如个人信息主体是否有权查询、修改、删除个人信息并分享信息开发利用所获之财产收益?例如在阿里大数据案中,原告终止使用淘宝软件后,要求阿里巴巴停止使用并删除该软件搜集的其个人信息。这与欧盟法院的“被遗忘权案”异曲同工,但判决结果迥异,中国法院以双方有约定为由,认定“阿里巴巴在该协议终止后保留原告的信息并未违反法律、法规的规定和双方收集、使用信息的约定”。这看似格式条款效力之争,但根源是个人信息的权利内容之争。本案发生后颁布的《网络安全法》第43条确立了个人信息删除权和更正权,其中删除权的行使条件是非法收集使用个人信息;更正权的行使条件是“收集存储的个人信息有错误”。至于查询权,现行法尚无规定,互联网公司往往以协议之名排除个人信息主体的查询权。但在欧盟,信息查询与获取权是一项不可任意剥夺的法定权利(GDPR第20条第1款)。关于财产收益之分配,我国现行法也无明确规定,互联网公司往往以默示同意规则宣示永久免费使用个人信息的权利,甚至采用“要么同意,要么离开”的同意模式。这虽以契约之名,但实质上的合意度极低。诸如此类的剩余权利纠纷将随着数据利用模式的创新而不断增多。
3.信息持有阶段的行为规范:“确保信息安全”
《民法总则》第111条规定“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全”。“确保信息安全”之表述确立了一项法定的安全保障义务,适用于所有持有他人个人信息之人及整个持有过程。根据安全保障义务的生成原理,开启或维持特定危险之人须根据情况采取必要的、具有期待可能性的风险防范措施,以保护他人免受损害。开启或维持特定危险之人通常也具有较强之能力来管控风险,这是安全保障义务的内在经济理性,也是其归责基础所在。就个人信息而言,正是信息收集利用行为开启并维持了信息泄露风险,个人信息所承载的各项权益内容也因此处于危险境地,安全保障义务由此产生。但安全是个相对概念,民法总则仅确立了抽象意义上的安全保障义务,实践中如何判断义务是否履行?需根据个案情境在法益保护和行为自由之间进行权衡。作为参照系,《网络安全法》第40、42条中的公法义务(建立信息保密制度、采取技术保护措施、信息泄漏的补救措施和告知规则)为私法上的安全保障义务判断提供了参考。根据公、私法规范之间的转介原理,违反上述公法义务的行为通常可直接判定安全保障义务的不履行,但遵守上述公法义务的行为不能直接等同于私法上安全保障义务的完整履行,民事法官将保留最终的裁量权。
五、中国行为规范模式的解释论重构
(一)行为规范模式解释适用中的僵化问题
本文之所以强调立法模式的不同,是因为积极确权模式与行为规范模式的结构性差异,决定了两种截然不同的法律适用逻辑。其中,积极确权模式是对个人信息主体的法益保护范围作正面界定,而行为规范模式是直接针对相对人的行为自由作出限定。前者便于合理划分法益保护范围,后者可为信息开发利用提供相对明确的合规指引。根据这一逻辑,美欧的“积极确权+行为规范”模式有助于以彼此互动的方式为法益保护与信息开发利用之二元价值提供双边裁量平台,法院可根据个案情境比较权衡涉案信息所承载的人格法益的重要性和数据开发利用之价值,进而作出更加灵活的判断。相较之下,中国单一的行为规范模式虽有助于为信息开发利用行为提供相对明确的合规指引,但个人信息主体的法益保护范围只能根据相对人的行为界限作反面推定,其法律适用逻辑为:凡不构成法律禁止的“非法”情形即属信息开发利用者的行为自由。这不仅导致法益保护范围被压缩,而且法益保护的裁量空间也近乎丧失。正如学者的总结,行为规范模式“不同于权利化模式之下的一般性不作为义务,行为人的行为约束也相应有所限定,限于立法列举的方式。权利化模式保护力度更大,行为规制模式通常是在全面保护之网中截取一小部分加以规定,保护的范围与力度均相对弱一些”。中国选取单一的行为规范模式,不仅导致个人信息的保护范围有限,而且在保护水平上缺乏必要的弹性,难以为敏感程度不同的个人信息提供差别化保护,具体表现如下:
第一,不同类型个人信息的区别对待难题。PII2.0版本的个人信息包括可直接识别个人身份的信息和可间接识别个人身份的信息,前者主要包括姓名、身份证号、指纹等敏感性身份信息,后者既包括一般性身份信息,如邮政编码,也包括个人行为信息,如交易记录。不同类型的个人信息所承载的人格法益和数据开发价值不同,相应的保护水平理应有所区别。从个人信息所承载的法益重要性程度来看,敏感性身份信息因其直接表征和彰显个人身份的特质,使之蕴含重要的人格利益,现行法已通过具体人格权对部分身份信息提供特别保护;而行为信息只有与其他信息结合方可识别个人身份,其所承载的人格法益相对较弱,但它却是大数据开发利用的核心资源,只有区别对待这两类信息才能在法益保护与信息开发利用的二元价值之间维持平衡。从学理上讲,对于极为敏感的身份信息,任何未经同意的信息收集行为均构成违法;但对于一般性的行为信息,单纯的信息收集行为尚难以作违法性评价,还要看信息开发利用的目的和样态。因此才有学者提出“两头强化,三方平衡”的个人信息保护原理,对敏感信息提供强保护,对一般信息提供弱保护,以此维持多方利益平衡。但问题是,单一的行为规范立法难以区别对待不同类型的个人信息,差别化保护的期待因此落空。
第二,透明度的判断标准与知情同意的质量问题。设置透明度规则的目的旨在保护个人信息主体的自由意志和自我决定,因而透明度的判断标准理应从个人信息主体的权益保护角度出发,以一般理性受众在具体场景下能否知情作为判断标准,正所谓“理性人标准”。但在行为规范模式中,依《民法总则》第111条及其所引致的《网络安全法》第41条之文义,透明度的判断应以信息收集利用者是否履行了披露义务作为判断标准,但一方的披露不等于对方知情,网络公司有时确实披露了信息收集使用规则,但因冗繁的表述和专业的内容,“几乎无人有时间、能力和决心浏览复杂的条款和同意的条件”。而且不同技术条件下的同意方式也影响知情同意的质量,如默示同意和明示同意。由此导致的问题是,法律虽以保障个人信息主体知情权为目的设定透明度和知情同意规则,但立法技术上却以信息收集利用者角度看其是否公开披露了信息收集使用规则,这实际上是以相对人的行为违法性评价取代了个人信息主体的法益保护评价,法律适用上已偏离立法初衷。若辅之以积极确权立法,解释论上可顺理成章地从法益保护角度出发,以个人信息主体是否知情、是否达成合意作为判定标准。
第三,行为规范的适用范围问题。《民法总则》第111条中的行为规范适用于直接向个人信息主体收集信息之人(以下简称“前手”)自无疑问,但从前手处获取信息之“后手”是否也需遵循同一规则?从实践情况来看,个人信息的交易与二次开发利用极为普遍,侵犯个人信息的行为也越来越多地从信息收集者转向开发利用者,行为规范的适用对象自然也应向信息开发利用者扩张。在此背景下,后手如何“依法”从前手获取个人信息就变得意义重大。作为一个硬币的两面,行为规范的适用主体问题同时也是个人信息的权利排他性范围问题。若采用积极确权立法,该问题将迎刃而解。个人信息主体对个人信息所享有的权利至少在人格法益方面是一种绝对权,绝对权对一切人产生对抗效力之性质,可彻底解决权利的排他性范围问题,不管是前手还是后手,获取个人信息均须征得个人信息主体同意。但我国的行为规范立法回避了个人信息的权利性质界定,由此导致权利排他性范围的不确定。对此,一些互联网公司通过格式条款的方式自行作出界定,如淘宝大数据案中阿里巴巴提供的《软件许可使用协议》第七条第1项约定:“对于使用许可软件时提供的资料及数据信息,您授予阿里巴巴及其关联公司独家的、全球通用的、永久的、免费的许可使用权利,并有权在多个层面对该权利进行再授权。”作为该条款的反对解释,若前手未获得个人信息主体的概括授权,后手须另行征得个人信息主体同意方可继受个人信息。这一做法具有逻辑正当性,与个人信息所承载的人格权之对抗效力一脉相承。
第四,剩余权利的归属难题。实践中更为棘手的问题是,行为规范立法负面列举之外的领域,究竟属于信息收集利用者的行为自由,还是个人信息主体的权益范围?从《民法总则》第111条的文义来看,似应理解为“不得非法……”之外的领域皆属行为自由。毕竟,法条文义清晰地显示,法律禁止的只是封闭式列举所明示的行为,这恰似负面清单的管理模式,非属列举之事项,自然不在禁止之列。这样一来,剩余权利被一刀切地配置给了信息收集利用者。这为信息开发利用预留了巨大空间,但个人信息主体的法益保护水平却显著降低。然而,随着信息开发利用模式的创新,有些看似无价值的信息资源也可能产生新的商业利用价值,各类剩余权利纠纷也将随之产生,如前文提到的信息查询、修改、删除和收益归属等权利。法律上该如何配置这些剩余权利?这显然需要结合特定时空背景进行利益权衡与价值判断,而非一刀切地将未来许诺给互联网公司。因此,在剩余权利配置问题上,立法要给司法预留必要的裁量空间,授权法官基于个案进行自由裁量。这正是“积极确权+行为规范”模式的灵活性优势所在。但《民法总则》第111条以负面列举方式呈现的行为规范立法显然不具有此功能,刚性有余而弹性不足是我国当前的行为规范立法存在的主要问题。
(二)解释论重构:法益保护与行为自由的比较权衡框架
上述解释论难题最终都归因于一点:中国单一的行为规范立法对个人信息所承载的人格法益的保护缺乏必要的弹性空间和解释依据。《民法总则》第111条所列举的行为规范及其所引致的《网络安全法》中的行为规范体系,只能为信息收集利用行为的“违法性”判断提供基准,但无法为个人信息所承载的人格法益保护提供裁量平台。这不仅导致个人信息保护水平的弹性不足,而且难以在法益保护与数据开发利用的二元价值之间进行利益权衡。相较之下,美欧的“积极确权+行为规范”模式具有相应的灵活性优势,权利立法通常是以抽象概念对权利内容和法益保护范围作概括描述,或者仅列举权利清单,这相当于法益保护的一般条款,法官可据此获得法益保护的解释依据和裁量平台。面对纷繁复杂的个人信息类型和样态各异的信息收集利用行为,受案法院可通过“积极确权+行为规范”的比较权衡框架,在法益保护和信息开发利用的“天平”两端作比较权衡和相对灵活的价值判断,从而避免在个人信息保护问题上出现法益保护不足或者过度限制信息开发利用空间之双重风险。从这个意义上看,中国现行法的核心缺陷是缺乏法益保护的裁量平台。此乃问题之所在,同时也是答案之所藏。由此也决定了解释论的矫正方向,即如何引入“法益保护”的裁量平台?
这首先要解读《民法总则》第111条,该条款在结构上可分为两部分,前段宣示“自然人的个人信息受法律保护”之立场,后段列举了信息收集利用之行为规范。在解释论上,后段列举的行为规范可为信息收集利用行为的“违法性”判断提供依据,但前段之内容能否为个人信息主体的法益保护提供裁量平台?这取决于“自然人的个人信息受法律保护”这一表述的解释空间有多大。若从中能够解释出个人信息的权利性质、法益保护内容及其范围,则问题可迎刃而解。但正如前文所述,学界对《民法总则》第111条前段内容的解读存在两种截然不同的立场。从法解释学的基本原理来看,对任何条款的解释都不能超出法条字面含义可能的范围,这是法解释论的首要原则。若以此为基准,“自然人的个人信息受法律保护”之表述只是宣示了个人信息受保护的基本立场,并未澄清受保护的法益内容和范围。而且,这里所称的受法律保护的“个人信息”也只是个载体,法律真正要保护的对象是个人信息承载的人格利益或财产利益,对于这一实质性的保护对象,《民法总则》第111条只字未提,更不要谈具体保护范围了。因此,笔者认为,仅从“自然人的个人信息受法律保护”这一宣示性条款尚难以证成学界所期待的“个人信息权”的存在,更无法解释出受保护的法益(或权利)内容及其范围。因此,在解释论上,当前的《民法总则》第111条只能为信息收集利用行为的违法性判断提供依据,尚难以提供法益保护之裁量平台。
作为权宜之计,期待中的法益保护之裁量平台只能从《民法总则》第111条之外的民事权利体系中寻找。从体系解释角度来看,《民法总则》第110条的姓名权、肖像权、名誉权和隐私权等具体人格权均与个人信息密切相关,有些严重侵犯个人信息的行为可能是以公布自然人姓名或肖像的方式实施,或以损害他人名誉、隐私乃至生命作为最终结果,例如因“人肉搜索”导致的姓名权、肖像权和隐私权受损的案例。在此情况下,法院可借助具体人格权概念引入法益保护要素,并通过具体人格权的排他性范围和权益内容为个人信息保护提供解释基础和裁量平台。但在法益保护范围上,不管是姓名权、肖像权、名誉权、隐私权还是生命权,均无法完全覆盖个人信息所承载的各项法益内容。例如表1中的涉案行为均不涉及他人姓名、肖像,也未损害其社会评价,更未“公开”其私生活秘密和私人空间,因而难以从具体人格权中获得裁量平台。这也是为何有学者建议“将个人信息权单独规定,而非附属于隐私权之下”的理由。在法律采纳该建议之前,法院只能以《民法总则》第109条的“人身自由、人格尊严”条款为个人信息保护提供裁量平台和解释依据,抽象的一般人格权足以覆盖个人信息所承载的各项人格法益。德国早期正是通过解释宪法上的人格尊严和一般人格权条款为个人信息保护奠基,0我国《民法总则》中的“人格尊严”条款也可发挥类似作用,以此弥补具体人格权概念在个人信息保护领域包容性不足之缺陷。
综上,由于《民法总则》第111条未提及个人信息的权利性质与受保护的法益内容,解释论上只能依次借助该法第110条和109条中的具体人格权和一般人格权概念为个人信息保护提供裁量平台。借由人格权的排他性效力和法益保护范围的弹性化解释,前述不同类型个人信息的区别对待难题、透明度规则的判断标准难题、知情同意的质量判断难题、行为规范的适用范围难题、剩余权利的归属难题均可获得解释基础和裁量平台。当法院遇到相关案件时,可根据涉案个人信息的敏感程度及其所承载的人格(或财产)法益的重要程度,借助具体人格权或一般人格权所提供的法益裁量平台,在个人信息主体的法益保护与信息开发利用者的行为自由之间进行比较权衡,在平衡兼顾二元价值的基础上,合理划分个人信息的法益保护范围和信息开发利用之合法性边界。譬如,当涉案个人信息属于身份证号、指纹、婚恋、健康等承载核心人格利益的敏感身份信息时,未经同意的信息收集行为即可径行判定侵权法上的“过错”或“违法性”要件之成就;但若涉案信息属于表1案例中的网络搜索痕迹、匿名交易记录、软件安装目录等行为信息时,仅有信息收集行为尚难以对其直接作违法性评价,具体还要看互联网公司还掌握哪些信息以及如何处理这些行为信息,若在具体应用场景下能够识别个人身份并影响其人格利益时,法官可在比较权衡法益保护需要与信息开发利用价值的基础上作“违法性”判定,避免一刀切地对承载不同法益内容的身份信息和行为信息作同等对待。以360大数据案中的软件安装目录为例,法院不仅要看网络公司采集的软件安全目录是常规的文字处理软件还是私密性的婚恋交友软件,而且还要看信息收集利用者拟将其用于何处,是用于查杀病毒还是分析用户的婚恋需求?前后两种软件安装目录所承载的法益内容,以及信息应用场景对人格法益的潜在影响截然不同,只有区别对待才能维持个人信息保护与数据开发利用价值之平衡。同样的逻辑也可用于知情同意质量的判断、透明度的判断和剩余权利归属的判断,这正是本文构建法益保护与行为自由之比较权衡框架的意义所在。
欢迎扫码获取法宝介绍和试用
—更多内容—