查看原文
其他

程啸:论我国民法典中个人信息权益的性质 | 政治与法律202008

程啸 北大法律信息网 2021-07-26

【作者】程啸(清华大学法学院教授、博士研究生导师,教育部“青年长江学者”)

【来源】北大法宝法学期刊库《政治与法律》2020年第8期(文末附本期期刊目录)。因篇幅较长,已略去原文注释。



内容提要:由于对个人信息权益的性质存在争议,我国《民法典》没有使用“个人信息权”的表述。从我国《民法典》对个人信息保护的规定来看,可以明确的是,自然人对其个人信息享有的是作为民事权益的人格权益,而非公法上的权利。自然人就其个人信息享有的人格利益和经济利益都可以通过作为人格权益的个人信息权益予以涵盖并保护,无需再确认作为财产权的个人信息权益。在我国法上,自然人就其个人信息所享有的民事权益是一项新型人格权益,其与隐私权在权利性质、许可使用、侵害行为以及处理规则等方面存在差异。对于作为隐私的私密信息首先适用隐私权的保护规则,法律对隐私权没有规定的,应适用个人信息保护的规定。

关键词:民法典;自然人;个人信息;人格权益;隐私权


问题的提出

  个人信息保护是世界各国高度关注的问题,我国也不例外。从2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》到2013年修订的我国《消费者权益保护法》,再到2017年施行的我国《网络安全法》与我国《民法总则》,其均明确规定自然人的个人信息受法律保护。然而,自然人对其个人信息享有的究竟是何种权益?是民事权益还是公法上的权利?如果是民事权益,究竟是人格权益还是财产权益?如果是人格权益,是否应当作为一种新型人格权利即个人信息权加以规定?对于这些问题,我国法学界的争论一直没有停止。


  2020年5月28日,十三届全国人民代表大会第三次会议审议通过的《中华人民共和国民法典》(以下简称:《民法典》)对个人信息保护作出了详细的规定。首先,在《民法典》第一编“总则”第五章“民事权利”中,立法者对个人信息保护作出了概括性规定,即第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”其次,《民法典》第四编“人格权”第六章“隐私权和个人信息保护”中,立法者使用了六个条文(第1034条至第1039条)分别对个人信息和处理的含义,处理个人信息应遵循的原则与合法性要件,自然人对其个人信息享有的查询权、更正权和删除权等具体权利,侵害个人信息的免责事由以及保护个人信息安全义务等作出了规定。此外,《民法典》人格权编第一章“一般规定”和第五章“名誉权和荣誉权”中,立法者还规定了个人信息的合理使用(第999条)以及处理信用信息时的法律适用(第1030条)。


  由于对个人信息权益的性质还存在很大争议,《民法典》关于个人信息保护的全部法律条文中没有使用“个人信息权”或“个人信息权利”的表述,但无论是《民法典》的总则编还是人格权编,对个人信息保护的规定都是始终围绕着自然人对其个人信息享有的权益而展开的。笔者认为,《民法典》对个人信息保护的规定已经非常清晰地表明:首先,自然人对个人信息享有的是民事权益,而非公法上的权利;其次,自然人对个人信息享有的是人格权益,而非财产权益;最后,自然人对个人信息享有独立的人格权益,该人格权益是不同于隐私权、姓名权、肖像权等具体人格权的新型的人格权益。


  以下笔者将依据《民法典》的规定,就上述三点逐一加以讨论,尤其是对于那些认为个人信息权益属于公法权利,不属于民事权益的观点进行反驳,即论证为什么自然人对于个人信息享有的应当是作为民事权益的人格权益,而非公法权利或者同时享有人格权和财产权。笔者于本文中还将着重对个人信息权益与隐私权的联系、差异及适用关系等问题进行深入讨论,以供理论界与实务界参考。


自然人对其个人信息享有的是民事权益

  《民法典》总则编第五章对民事权益作出了全面详尽的列举,该章虽名为“民事权利”,但实际上既规定了民事权利也规定了民事利益,是对民事主体享有的民事权益的规定。该章以第109条对一般人格权即“人身自由、人格尊严”的规定开始,逐一列举了自然人、法人和非法人组织享有的人格权益、身份权利、物权、债权、知识产权、继承权、股权和其他投资性权利,其他民事权利和利益,直至数据、网络虚拟财产等新型的财产。《民法典》总则编第五章关于个人信息保护的规定是第111条。该条被放在第110条“生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权”等具体人格权的规定之后,第112条“自然人因婚姻家庭关系等产生的人身权利”之前。笔者认为,这种位置的安排已充分说明,自然人对个人信息享有的权益属于民事权益。否则,立法者不可能在作为民商事领域基本法的《民法典》中做出规定,更不会在其总则编的“民事权利”章中加以规定。自然人的个人信息权益之所以是民事权益是由于个人信息的特性与保护个人信息的根本目的所决定的。


  (一)个人信息的特性决定了自然人对其个人信息享有的是民事权益而非公权利


  个人信息是自然人的个人信息,而不包括法人、非法人组织等其他民事主体的信息,也排除了已经去世的自然人的个人信息,仅指生存的自然人的个人信息。依据《民法典》第1034条第2款,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。以包括直接识别和间接识别在内的可识别性来认定个人信息,是世界各国个人信息保护立法的通行标准。如果某些信息不能识别特定的自然人或者与自然人完全无关(如气象信息、地理信息等),就不属于个人信息。这些信息的处理既不适用《民法典》个人信息保护的规定,也不适用我国《网络安全法》等其他法律关于个人信息保护的规定。例如,根据《民法典》第1038条第1款第2句和我国《网络安全法》第42条第1款第2句,收集这些信息,无需告知并取得特定自然人的同意;处理者向他人提供匿名化信息即“经过加工无法识别特定个人且不能复原的”信息,无需经过被收集者的同意。之所以只有能够识别特定自然人的信息才属于个人信息,才需要通过个人信息保护制度加以规范,根本原因就在于这些信息的收集、存储、加工、使用、传输、提供、公开等处理行为直接关涉自然人的人格尊严和人身财产权益。


  在大数据时代,个人信息的处理方式发生了革命性的变化。信息处理能力的突飞猛进,使得海量的个人信息不但可以被包括政府机关、企事业单位等在内的各种主体无时无刻、无所不在地加以收集、存储、加工,而且会以人们想不到的各种方法予以使用、传输、提供或公开。这些围绕着个人信息进行的处理行为由此也产生了侵害自然人人格尊严、妨害人格自由以及损害人身财产权益的各种风险,并时常造成现实的损害后果。这些风险至少包括以下几类:其一,因个人信息被非法收集、买卖或使用而使加害人有机会对自然人既有的生命权、健康权、名誉权、隐私权等人格权以及债权、物权等财产权利实施侵害;其二,基于被合法收集的个人信息形成的大数据,通过算法等技术进行社会分选、歧视性对待,进而产生损害人格尊严的危险;其三,通过大数据和人工智能技术进行人格画像,将原本属于主体的自然人降格为客体并加以操控,损害人格自由等。因此,围绕着个人信息所展开的是一个自然人需要通过对其个人信息的控制来防止遭受人身财产权益的危险或避免损害的利益需求,与其他主体希望获取和利用个人信息达致各种目的(提高行政效率,追求商业利润等)的利益需求之间的斗争关系。从作为个人信息主体的自然人这一方来说,其主要的利益是一种防御性利益,即自然人针对个人信息享有的防止因个人信息被非法处理而致人身财产权益遭受侵害,甚至人格尊严与人格自由受到侵害或损害的利益。这种利益属于法律上有保护之必要的合法利益,且属于私人利益而非国家利益和社会公共利益,因此,立法上应当将之确认为民事权益。


  有观点认为,由于个人信息保护具有多元化的法益基础,既包括了对自然人利益的保护,也包括企业的正当权益、市场机制与数字经济的发展以及公共利益,因此,应当在具体场景与信息关系中思考个人信息权利,不能将个人信息权利看作是传统的民法上的权利。笔者认为,该观点注意到了个人信息保护中复杂的利益格局,并希望能够合理平衡各方的利益需求,值得肯定。然而,不能因此就将对自然人个人信息权益的确认与个人信息上各种利益的协调这两个问题对立起来,它们属于同一问题的两个不同方面。法律上对自然人个人信息权益的确认和保护,本身就是对围绕着个人信息而产生的其他主体自由或利益边界的界定。“如果法律规定某人的利益需要给予保护,那么法律同时也是在规定其他人都需要尊重该利益而不得侵犯它。因此,承认对某一领域的保护必然导致对他人行为自由的限制。确定保护范围需要权衡双方的利益:一方面是对利益的全面保护,另一方面是不受限制的自由。”不能因为个人信息保护涉及多重利益的协调,就认为对于自然人的个人信息权益无法确认和保护,而只能将其置于含糊不清、无法琢磨的具体情境和场景中逐一认定。这种做法毫无可预期性,对于个人信息上各利益相关方都是非常不利的。正确的做法是,先确认自然人对其个人信息享有受到法律保护的民事权益,同时规定个人信息的合理使用制度,从而有效协调自然人权益保护与信息自由、言论自由、商业活动自由和公共利益之间的关系,对此,《民法典》已有详细的规定,如第999条关于个人信息的合理使用的规定、第1036条关于侵害个人信息的免责事由的规定,等等。


  (二)个人信息保护与利用关系属于平等主体之间的民事关系


  在个人信息的保护与利用关系中,存在两方当事人。一方是作为个人信息主体的自然人,另一方是个人信息的处理者。总体上而言,处理者可以被分为两类。一类是行政机关、司法机关等国家机关,其依据法律的规定为履行职责的需要而收集、存储、加工、使用、传输、提供或公开个人信息,最终目的是服务于国家利益、社会公共利益等。例如,公安机关进行户籍管理而收集处理自然人的姓名、身份证号码、家庭住址、联系方式等个人信息。又如,国家安全机关为了维护国家安全,在侦查和制止敌对势力的间谍活动时,依据我国《国家安全法》和《反间谍法》等法律的规定,采取技术侦查手段,进行监听或监控,收集相关的个人信息。另一类是非国家机关的其他民事主体,如各种网络企业、事业单位、社会团体等。以网络企业而言,它们处理个人信息的根本目的就在于营利、追求经济利益,如通过收集用户的个人信息进行精准的广告投送,赚取广告费或者更多更好地销售产品、提供服务,从而实现企业的利润最大化。这两类不同的主体处理个人信息的活动确实存在不少差别。例如,两者的处理目的不同,前者是为了履行法定职责,维护公共利益,而后者是为了私人利益,尤其是经济利益;又如,两者的合法性基础不同,国家机关处理个人信息活动的基础主要就是法律的规定以及当事人的同意,非国家机关处理个人信息合法性的基础则比较多元化,既包括当事人同意也包括法律的规定,也包括为了维护公共利益、维护民事主体的合法权益、对于已经合法公开的个人信息进行利用,等等。因此,在有些国家或地区的个人信息保护立法中,要么排除对公务机关处理个人信息的适用,要么区分公务机关和非公务机关分别规定其处理个人信息的活动。


  尽管国家机关和非国家机关对个人信息的处理存在上述区别,但是,并不因此就导致在个人信息权益的保护问题上,自然人与处理者之间的关系有所不同。无论是作为机关法人的国家机关,还是作为营利法人、非营利法人或者非法人组织的企业、事业单位、社会团体等非国家机关,均负有不得侵害自然人民事权益的义务。它们与自然人之间的法律地位是平等的。《民法典》第3条明确规定:“民事主体的人身权利、财产权利以及其他合法权益受法律保护,任何组织或者个人不得侵犯。”任何类型的个人信息处理者只要实施了侵害自然人个人信息权益的行为,都要依法承担停止侵害、排除妨碍、赔偿损失等法律责任。作为民事权益的自然人个人信息权益,可以对抗来自权利主体之外的任何组织或个人的侵害和损害。依据《民法典》的规定,当自然人的个人信息权益遭受侵害时,自然人可以依法采取正当防卫、紧急避险和自助行为等自力救济措施,也有权通过投诉、起诉获得国家机关的公力救济。有学者以民事权利只能对抗平等的民事主体而无法对抗公权力机关,公权力机关一般对于民事权利不会提供预先的保护措施为由,来论证自然人的个人信息权益不是民事权益而是公法上的权利。对此,笔者难以苟同。在私权利保护的问题上,不存在公权力机关比非公权力机关处于更优越地位的情况,否则就完全违背了法治国家的原则。公权力机关侵害私权利,私权利主体同样可以要求其承担法律责任。我国《行政诉讼法》第12条明确规定,公民、法人、非法人组织认为行政机关侵犯其人身权、财产权等合法权益时可以提起行政诉讼。我国《国家赔偿法》规定,国家机关和国家机关工作人员行使职权,有该法规定的侵犯公民、法人和其他组织合法权益的情形,造成损害的,受害人有依照该法取得国家赔偿的权利。如果国家机关及其工作人员实施的是我国《国家赔偿法》之外的侵害公民、法人和其他组织合法权益的侵权行为或违约行为,则受害人有权依据《民法典》的规定要求其承担侵权责任等民事责任。国家机关存在的根本目的就是要通过依法履行职责,预防和制止各种侵权和违法犯罪行为,保护广大民事主体的人身财产权益。就个人信息保护而言,无论是国家机关制定相关法律法规和规章,还是实施相关的行政行为,很重要的目的就是要保护自然人的合法权益,防止个人信息泄露、非法买卖等违法行为的发生。因此,公权力机关一般对民事权利不会提供预先的保护的观点,难以成立。


  (三)个人信息保护单独立法不改变自然人对个人信息享有民事权益的事实


  因为个人信息保护问题备受关注,所以域外相关国家和地区对于个人信息保护都是采取单独立法的方式,如欧盟的《一般数据保护条例》、德国的《联邦数据保护法》、美国的《隐私法》《公平信用报告法》《电子通信隐私法》《儿童在线隐私保护法》、日本的《个人信息保护法》、韩国的《个人信息保护法》《信息通信网利用促进及信息保护法》《信用信息的利用及保护法》等。到目前为止,世界上大约有120多个国家都制定了单独的个人信息保护法,我国也正在抓紧起草《个人信息保护法》。然而,通过专门的个人信息保护法来规范个人信息保护,是因为个人信息保护本身就广泛地涉及民法、行政法、刑法以及国际法等不同法律部门。在个人信息保护的专门立法中既要有法律的强制性调整规范(如对告知同意规则、保护个人信息安全义务的规定等)以及相应主管机关的行政管理措施,也要有尊重当事人的意思自治,允许自然人与信息处理者之间进行相应的约定的规范;既要规定行政责任和刑事责任,也要规定民事责任。正如因为消费者权益保护受到高度重视,包括我国在内的许多国家单独制定《消费者权益保护法》用以保护消费者权益,这一立法模式并不否认消费者享有的生命权、健康权、身体权和财产权仍然是民事权益那样,不能因为个人信息保护采取了单独立法模式,就认为自然人的个人信息权益不是民事权益,而是单独的一种权益或者公法上的权益。专门立法还是分散立法只是立法方式的选择,不会影响所保护的权益本身的性质。在《民法典》确认了自然人的个人信息权益属于民事权益之后,未来的我国《个人信息保护法》等单行法律应当依据《民法典》的规定,对个人信息权益的保护以及个人信息合理使用等各种问题作出更具体详细的规定。


自然人对个人信息享有的是人格权益


  我国民事权益分类为两大类,即人身权益与财产权益。其中人身权益又可分为人格权益和身份权益。人格权益包括人格权利与人格利益,身份权益包括身份权利与身份利益。财产权益分为财产权利和财产利益。当然,有些权益兼具人身性质和财产性质,如著作权、专利权及股权等。《民法典》总则编第五章“民事权利”遵循从人身权益到财产权的排列顺序,对所有的民事权益进行了列举,并预留了未来新型民事权益产生的空间。《民法典》虽然没有规定个人信息权,但明确了自然人对其个人信息享有的是人格权益,而非财产权益。


  (一)个人信息权益保护的是自然人的人格利益
  我国民法学界主流观点认为,个人信息涉及自然人的人格尊严和人格自由,因此,无论将自然人对其个人信息界定为权利还是利益,都不影响法律将其确定为自然人的人格权益。其主要理由在于,个人信息是能够识别特定自然人的信息,这种可识别性就体现了人格特征。因此,个人信息与自然人的人格利益息息相关。无论是基因数据等隐私信息,还是姓名、cookies等一般信息,均与人格形成和发展有关,皆为人格要素,均构成个人整体人格之一部。个人信息“既是自然人参与社会交往的载体,也是个人人格表现和人格发展的工具”,因此,“信息主体对个人信息流转范围和流转方式的掌握,和个人人格的发展密切联系,这也是在现实社会中保护个人信息相关权益的价值基础”。法律对自然人个人信息予以保护,本质上是保护其人格利益,包括人的尊严和自由。

  笔者赞同上述理由。《民法典》明确规定了作为一般人格权的人格尊严和人身自由,在《民法典》第110条和第990条第1款列举的人格权中虽然没有个人信息权,但是,《民法典》第990第2款明确规定:“除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。”因此,可以将自然人的个人信息权益归入自然人基于人身自由、人格尊严而产生的其他人格权益。《民法典》规定的具体人格权益可以分为两大类:一类是物质性人格权益,即自然人对于对具有人的身体属性的生命、身体、健康等拥有的人格权益,如生命权、身体权、健康权等;另一类是民事主体针对精神性人格要素如姓名、肖像、名誉、荣誉、隐私等享有的人格权益,如姓名权、名称权、肖像权、名誉权、隐私权等。自然人对其个人信息享有的民事权益属于上述人格权益中的精神性人格权益。


  在将个人信息权益确定为人格权益这一点上,我国与德国等欧洲的大陆法系国家既有相同之处,也有明显的区别。其相同之处在于,都认为保护自然人个人信息的根本目的在于维护人的尊严和自由。其区别在于,欧洲的大陆法系国家倾向于从人权或基本权利的角度来看待个人信息权利,我国则是为了贯彻我国《宪法》关于保护公民的人格尊严的精神,从民法的角度赋予了自然人对其个人信息享有的具体人格权益。哈佛大学法学院教授艾伦·德肖维茨指出:“权利来自于人类经验,特别是不正义的经验。我们从历史的错误中学到,为了避免重蹈过去的不正义,以权利为基础的体系以及某些基本权利(例如表达自由、宗教自由、法律平等保护、正当法律程序与参与民主)至关重要。”欧洲经历了两次世界大战,尤其是第二次世界大战中法西斯大规模屠杀犹太人的惨痛教训使得欧洲国家始终高度重视人格尊严与人格自由等基本人权的保护。在他们看来,法律上保护自然人的个人数据,目的就是为了保护基本人权和自由,关系到人性的尊严与人格的自由发展。倘若自然人不能自主地决定个人数据能否被他人收集、储存并利用,并无权禁止他人在违背自己意志的情形下获得并利用个人数据,则个人之人格自由发展与人格尊严将无从谈起。因此,自然人的个人数据权利属于基本人权,个人数据保护被视为具有宪法意义,相对于经济利益要优先保护。1995年10月24日欧洲议会和欧盟理事会在向各成员国发出的《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》开篇就指出,“鉴于数据处理制度是服务于人类的;无论自然人的国籍和住所,必须尊重他们的基本权利和自由,特别是隐私权”, “不仅要求个人数据能在成员国之间自由流动,而且应当保护个人的基本权利”。2000年《欧盟基本权利宪章》第8条“个人数据保护条款”更是明确规定,人人均有权享有个人数据的保护,个人数据只能基于特定目的,基于当事人同意或者其他法律依据而被公正地处理,个人有权了解和修正其被收集的个人数据。2018年5月25日起施行的欧盟《一般数据保护条例》在导言性质的“鉴于条款”第1条再次指出:“自然人在个人数据处理方面获得保护是一项基本权利。”


  (二)我国人格权保护一元化模式涵盖了精神利益与财产利益

  我国有些学者认为,个人信息上承载的自然人的利益是多元的,既包括自然人的人格利益,也包括经济利益或财产利益,因此,对于自然人个人信息的人格利益,应当通过人格权给予保护,对于自然人个人信息的财产利益,则通过财产权保护。若同时体现人格利益和财产利益,就给予人格权和财产权的双重保护。笔者不赞同该观点。因为我国法上的人格权历来就不是单纯保护自然人对人格权客体的精神利益,而是同时保护自然人就人格权客体享有的经济利益的。域外法上关于人格权主体的经济利益如何保护,有两种模式。一是德国的一元模式,即通过扩张人格权的保护对象,逐步肯定人格权的经济价值,从而通过人格权同时实现对权利人的精神利益和经济利益的保护。二是美国的二元模式,即采取隐私权与公开权两种方式分别保护人格权中的精神利益与经济利益。隐私权作为一种精神性权利,主要保护的是自然人的精神利益,即个人的独处和私生活安宁,该权利不得转让、继承,且主要具有消极防御功能。公开权主要包括肖像、命名、声音等人要素上的经济利益,该权利可以转让、继承。


  我国有些学者主张对于人格权中的精神利益与经济利益采取二元保护模式。他们认为,一元模式难以解决人格权中的精神利益与经济利益保护方式的差异,也不符合人格权的内在逻辑体系(如精神利益存在于所有的人格权,而经济利益只有少数人格权涉及),因此采取二元模式分别加以保护,更有针对性,也能更好地协调人格尊严与个人行为自由的关系。持二元模式的学者中,有的主张在人格权、财产权之外设立商事人格权来涵盖姓名权、肖像权、商誉权、信用权、商号权等具有经济利益的人格权;有的主张借鉴美国法的经验创设一种新型的无形财产权即商品化权或形象权,从而实现对人格权中各种经济利益的保护;还有的认为,姓名、名称等人格要素的商品化权益属于一种独立的民事利益而非人格权,我国通过民法保护姓名权,通过《商标法》和《反不正当竞争法》等特别法保护姓名(包括笔名、艺名、译名等)的商品化权益,已形成二元保护的立法格局。


  大多数学者认为,所谓人格权的商品化利用并非创设一种新的权利(如公开权、形象权或商品化权),人格权的商品化利用只能理解为某些人格权的权能,特别是利用的权能发生了扩张,而不是生成了其他独立的权利,否则就会产生这些新的权利与原有的人格权无法区分的问题。因此,我国仍然应坚持一元保护模式,即通过人格权来实现对自然人等民事主体的精神利益与经济利益的保护。


  我国民事立法和司法实践始终坚持的是人格权一元保护模式,即通过人格权制度同时实现对精神利益和经济利益的保护。对此,《民法典》有非常明确的规定。其一,《民法典》不仅允许人格权主体自己行使人格权而实现人格要素的商业化利用,如以自己的姓名作为公司名称或者注册为商标,而且明确允许权利人通过许可他人使用的方式对人格要素进行利用。《民法典》第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”虽然该条仅列了“姓名、名称、肖像”三项,但因其规定于《民法典》人格权编第一章“一般规定”中,属于在法律没有相反规定的情况下普遍适用于所有人格权益的共通性规定。该条列举之后还使用了“等”字兜底。因此,从解释论上讲,只要不属于“依照法律规定或者根据其性质不得许可的除外”情形,自然人当然可以将其个人信息许可他人使用。不仅如此,《民法典》第1035条和第1036条还从正反两方面明确肯定了自然人有权同意(或许可)处理者处理自己的个人信息。依据《民法典》第1035条第1款第1项,处理自然人的个人信息,必须“征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外”。这就说明,自然人或者其监护人的同意是个人信息处理行为合法性的基础。与此同时,依据《民法典》第1036条第1项,如果行为人处理个人信息的行为属于“在该自然人或者其监护人同意的范围内合理实施的行为”,那么行为人不承担民事责任,这就意味着自然人或者其监护人的同意阻却了处理者处理个人信息行为的非法性。其二,《民法典》第1183条第1款明确规定,侵害自然人的人格权造成严重精神损害的,被侵权人有权请求精神损害赔偿。这是对人格权中自然人的精神利益的保护。而且,《民法典》第1182条规定,侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿;被侵权人因此受到的损失及侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向法院提起诉讼的,由法院根据实际情况确定赔偿数额。显然,这一规定要保护的就是人格权中的经济利益。因此,在我国,只要明确自然人针对其个人信息享有的是人格权益,即可同时保护自然人针对个人信息享有的精神利益和经济利益,无需叠床架屋地针对个人信息的人格利益和经济利益分别设立单独的人格权和财产权。


自然人个人信息权益是独立的人格权益


  自然人个人信息保护中非常重要也是争议很大的一个问题就是个人信息保护与隐私权的关系,这也是我国民法典编纂过程中反复讨论的问题。一种观点认为,应当通过隐私权来保护个人信息,如借鉴美国法上信息隐私的概念来实现对个人信息的保护。另一种观点认为,个人信息不同于隐私,传统的隐私权已不足以保护公民的合法权益,法律需要从隐私权保护转向个人信息权益的保护。笔者认为,隐私权与个人信息保护具有很密切的联系,但两者存在明显的区别,不能相互取代。
  (一)我国法与美国法上隐私权的差异

  在诞生隐私权概念的美国,自1890年沃伦(Samuel D. Warren)与布兰代斯(Louis D. Brandeis)在《哈佛法律评论》上发表的《隐私权》》一文,首次提出隐私权(the right to privacy)概念以来,其经历一百多年的发展,形成包括侵权法上的隐私权与宪法上的隐私权在内的庞大体系。美国著名侵权法学家William Prosser教授在1960年发表于《加利福尼亚法律评论》的《隐私(Privacy)》一文中,将侵害隐私权的行为分为四类:(1)侵入原告隐居或独处之处或侵入其私人事务;(2)公开披露原告的令人难堪的私密信息;(3)进行使原告被公众误解的宣传;(4)为被告之利益而盗用原告的姓名或肖像。Prosser教授的这一观点确立了美国侵权法上隐私权的基本体系框架。美国侵权法上侵犯隐私权的行为包括:“为达成商业目的窃用他人姓名和肖像,毁损他人名誉,跟踪监视,给他人造成精神损害以及诸多的政府行为。”美国宪法上没有规定隐私权,但是自1965年的Griswold v. Connecticut案首次确立宪法上的隐私权以来,美国联邦最高法院通过一系列判决不断扩大宪法隐私权的保护范围,婚姻隐私、堕胎隐私、子女教育权、同性恋与性行为自由、安乐死等都被纳入其中。尤其是在1977年的Whalen v. Roe案中,美国联邦最高法院认可了宪法上的信息隐私权(Informational Privacy)。该判决是美国第一个承认了宪法上的隐私权包括信息隐私和自决隐私两个部分的联邦最高法院判决。此后,美国联邦和各州通过了一系列成文法对信息隐私加以保护,联邦层面重要的立法如1968年《综合犯罪控制与街道安全法》对使用电子设备窃听行为作出了规范,1971年《公平信用报告法》规定了信用报告中的隐私保护,1973年《犯罪控制法》对刑事审判记录中的隐私信息加以规范,1974年《隐私法》和1980年《财务隐私权法》规范了联邦政府的电子记录与财政机构中的银行记录,1980年《隐私权保护法》确立了执法机构使用报纸和其他媒体的记录和信息的标准,1994年《驾驶员隐私保护法》对州交通部门使用和披露个人车辆记录作出了限制,1999年《儿童在线隐私保护法》则是第一部对利用网络处理儿童(13岁以下者)个人信息的行为加以规范的联邦法律。正如王泽鉴教授所言,“隐私权发源于美国,经过一百余年的变迁,建构了以侵权行为法上隐私权、宪法上隐私权及特别法律的保障机制,并为因应社会经济的需要,尤其是资讯隐私权的保护而不断地发展演变”。


  然而,我国的隐私权不同于美国法上的隐私权。首先,我国的隐私权并不是宪法上的权利,不存在美国那样宪法上的隐私权。我国的隐私权始终被看作是一种民事权利。从立法到司法实践,我国对于隐私权的保护经历了一个从最初置于名誉权中加以保护,到作为人格利益进行有限制的保护,再到民事立法上明确规定为具体人格权的发展历程。无论如何,我国法都没有将隐私权作为宪法权利。其次,由于自我国《民法通则》开始,对于人格权采取的就是具体列举的立法体例,无论是我国《民法通则》中规定的生命健康权、姓名权、名称权、名誉权、荣誉权、肖像权,还是《民法典》规定的包括隐私权在内的类型更多的具体人格权,隐私权都只是和其他具体人格权并列的一类民事权利,其保护的只是隐私这种自然人的具体人格利益,即《民法典》第1032条第2款所称的“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。至于生命、身体、健康、姓名、名称、肖像、声音、名誉、商业信用等人格利益,分别由生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权等具体人格权加以保护。然而,美国法上的隐私权所保护的范围极为广泛,几乎可以将所有的人格利益纳入其中,相当于我国法上的人格权。在这种模式下,“个人信息被置于隐私的范畴而加以保护。这种立法与美国法上隐私权概念的开放性有关,即美国法采纳的是大隐私权的概念,其包括大陆法中的名誉权、肖像权、姓名权等具体人格权的内容,承担了一般人格权的功能,因此,在隐私中包含个人信息也是逻辑上的必然”。由此可见,主张借鉴美国法上的信息隐私权理论,通过信息隐私来保护个人信息的观点,忽视了我国法与美国法关于隐私权的根本差异,不符合我国既有的人格权体系。
  (二)我国法上隐私权与个人信息权益的联系与区别
  正是因为我国法上隐私权的内涵与外延的限定性,所以,在我国法上,隐私权和个人信息权益保护的客体虽然存在重叠却并不重合。客体的重叠使得隐私权与个人信息权益的确存在密切的联系,两者在适用规则上有共同之处。依据《民法典》第1032条第2款,隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。依据《民法典》第1034条第2款,自然人的个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。私人生活安宁以及住宅、宾馆等私密空间等隐私,与个人信息存在明显的区别。私密活动如果没有被信息化,如通过录制、拍摄而加以固定,与个人信息也完全不同。在隐私中与个人信息联系最密切的就是私密信息,其既涉及隐私权保护,也涉及个人信息保护。
  我国现行法一般将个人信息分为两类:其一,隐私信息,即涉及个人隐私的信息(或电子信息),即私密信息;其二,其他个人信息,即不涉及隐私的个人信息。例如,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条第1款规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”我国《公共图书馆法》第43条规定:“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息,不得出售或者以其他方式非法向他人提供。”《最高人民法院利用信息网络侵害人身权司法解释》第12条第1句规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”所谓隐私信息即私密信息,凡是自然人不愿意为他人知晓的信息,无论是婚姻信息、财产信息、健康信息、家庭住址、病历资料、犯罪记录、个人人生经历、嗜好、性取向、日记、私人信件,还是其他个人不愿公开的信息等,都可以归为私密信息。例如,《民法典》第1226条规定:“医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。”我国《传染病防治法》第12条第1款第2句规定:“疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”
  私密信息与非私密信息的根本差异在于,它是自然人不愿意为他人知晓且与公共利益无关的信息。之所以自然人不愿意为他人知晓这些信息,就是因为如果这些信息被他人知晓了,就会使得其私生活安宁受到侵害或者私生活受到干扰,而此种利益就是隐私权保护的自然人的人格利益。私密信息的具体内容如何,在所不问。其并非一定都是高尚的、道德所允许的,而是也包括那些受道德谴责的、为人所不齿的内容。毕竟,法律上没有规定人们负有“不得自甘堕落”的义务。因此,即便是不道德的、为人不齿的信息,也可以属于私密信息,例如,丈夫违背夫妻忠诚义务而有婚外情的信息,属于私密信息,受到隐私权的保护,他人不得窃取或公开,否则,构成侵害隐私权。虽然非私密的个人信息也属于个人信息,但并不是自然人不愿意为他人知晓的信息,甚至这些个人信息必须为他人所知,才能使得自然人更好地参与社会交往活动。例如,姓名属于个人信息,但姓名是自然人的标识,是区别不同自然人的一种语言标识。通过姓名,自然人得以在与其周围的人的关系中维护其人格,并将自己与他人在社会交往中加以区分,从而作为一个独特的个体存在,获得自我认同,实现人格尊严。没有正当理由,不使用他人姓名而用数字、编号来代替,是对人格尊严的侵害。如果姓名不为他人所知,自然人就无法正当地进行社会交往。另外,在很多时候,自然人将其个人信息加以主动公开,如将自己的联系电话、电子邮箱放在个人主页上或作为微信的名称等。在这种情形下,原本属于私密信息的个人信息也就成了公开的个人信息。由此可见,私密信息既可以受到隐私权的保护,也可以适用个人信息保护的规则。所以,《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”之所以《民法典》规定私密信息要先适用隐私权的规定,只有隐私权没有规定时,才适用个人信息保护的规定,是因为隐私权和个人信息权益是民法典》所确认的不同的人格权益,它们之间存在以下差异。
  第一,权利性质不同。隐私权作为一项人格权,性质上属于绝对权和支配权,具有对世效力,因此任何组织或个人都必须尊重隐私权,不得加以侵害或妨碍。然而,《民法典》并未将个人信息权益确认为绝对权和支配权,因为对个人信息的保护必须协调自然人权益的保护与信息自由、合理使用之间的关系。故法律对于隐私权,没有如同个人信息那样规定合理使用的规则。《民法典》第999条规定,“为公共利益实施新闻报道、舆论监督等行为”可以合理使用个人信息,同时,第1037条也专门规定了侵害个人信息的免责事由。这些规定在隐私权部分都不存在。当然,这并不是说隐私权就不能因为维护公共利益而依据法律的规定受到限制,但可以肯定的是,不存在对隐私的合理使用的问题。
  第二,侵害隐私权行为的类型很多,《民法典》第1033条以“列举加概括”的方式规定了六种类型,未经权利人明确同意而处理私密信息的行为只是侵害隐私权的行为中的一类。并且,未经同意而处理他人的私密信息这一侵害隐私权行为的主体可以是自然人,也可以是法人或非法人组织,无论侵害隐私权的行为是自动化处理还是非自动化处理,无论是发生在企业的商业活动场合或政府机关履行职责的公务活动场合,还是在家庭社交活动中,都可以适用。然而,个人信息权益的保护主要适用于个人信息处理活动,规范的是处理者从事个人信息的收集、存储、使用、加工、传输、提供、公开等活动。至于纯粹的私人或家庭活动中对个人信息的处理活动,如家人朋友之间进行的通信联络、保存联系方式或者社交活动的个人信息的提供等,不适用个人信息保护的规定。欧盟《一般数据保护条例》“鉴于条款”第18段规定:“本条例不适用于自然人在不涉及任何职业或商业的纯个人或家庭活动中对个人数据的处理活动。个人或家庭活动可以包括通信、保存地址,或者社交活动以及在类似活动背景下进行的线上活动。但本条例适用于为上述个人日常活动提供个人数据处理方法的控制者或处理者。”据此规定,欧盟《一般数据保护条例》明确排除了个人信息处理活动的适用。从立法目的上来说,个人信息或个人数据保护立法就是回应现代网络信息科技发展而给个人信息或个人数据保护带来的挑战,因为在现代信息社会背景下,收集、使用、分享等处理个人信息或个人数据的能力与规模显著提高,从而给自然人的人格自由与人格尊严乃至各种人身财产安全带来了巨大的风险,因此才需要专门的立法加以规制。至于那些纯粹私人活动或家庭社交活动中个人信息的收集、使用、分享等行为,并不需要通过个人信息保护立法加以调整,如果涉及侵害隐私权、姓名权、肖像权等人格权的行为,完全可以交由《民法典》的人格权编和侵权责任编规范即可。故此,在个人信息保护法或个人数据保护法中排除对私人或家庭社交活动中个人信息的处理,当然是正确的。因为《民法典》是民商事领域的基本法,所以其对个人信息保护的规定侧重于基本规则与制度层面,不可能规定得非常细致。正在起草的我国《个人信息保护法》和《数据安全法》等单行法律对此问题作出规定即可。
  第三,许可他人使用上的不同。隐私权人可以自行处分权利,如自行在网络上或向媒体公开其私密信息,但隐私本身原则上是不能许可他人使用或商业化利用的。《民法典》第993条规定,民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。该条之所以未列出隐私是因为隐私权侧重于消极防御的功能,即防止他人对包括私生活安宁、私密信息在内的隐私的侵害,其保护的是自然人对隐私不受他人侵害的利益。因此,隐私权的主要权能就是排除他人侵害,即消极权能。对于隐私,原则上不允许许可他人使用,并且,允许隐私的商业化利用也可能违反公序良俗原则这一民法的基本原则。然而,对于个人信息尤其是非私密的个人信息,自然人完全可以许可他人使用,从而促进网络信息产业和数字经济的发展。故此,《民法典》第1035条规定,只要遵循合法、正当、必要原则以及不过度收集、处理且符合相应的条件,就可以对个人信息加以使用或许可他人使用的。
  第四,私密信息和非私密信息的处理规则不同。在处理私密信息时,首先要适用的是《民法典》关于隐私权的规定,然后才能适用《民法典》关于个人信息保护的规定。依据《民法典》第1033条第5项,处理他人的私密信息要么是取得隐私权人的“明确同意”,要么是依据法律的规定,否则,任何组织或者个人实施的处理他人私密信息的行为都构成侵害隐私权的行为。然而,对于处理非私密信息的个人信息,依据《民法典》第1035条,要么是依据法律、行政法规的规定,要么是得到该自然人或者其监护的“同意”。由此可见,《民法典》对私密信息和非私密的个人信息处理规则上有三点区别。其一,在未经权利人同意的情形下,处理私密信息只能依据法律的规定,而处理非私密的个人信息可以依据法律和行政法规的规定。显然,这样对于隐私权的保护更为严密。其二,处理私密信息必须取得权利人的同意,而处理非私密的个人信息可以取得自然人或者其监护人的同意。也就是说,监护人也不能擅自同意他人处理被监护人的私密信息。其三,处理私密信息必须取得的是权利人的“明确同意”,而处理非私密的个人信息是取得自然人或者其监护人的同意。“明确同意”与“同意”的含义是不同的。所谓明确同意,一方面,其意味着自然人在被告知私密信息将被处理的前提下而作出的清晰、明确的允许处理的意思表示,另一方面,明确同意应当是针对该私密信息被处理而单独作出的同意的意思表示。所谓同意既不要求必须是单独的同意,也不要求仅针对被处理的特定个人信息作出的同意,而可以是概括性的同意(如通过APP的隐私政策取得对自然人对某些非私密的个人信息处理的同意)。


结论

  在作为民商事领域基本法的《民法典》中规定个人信息保护,既充分体现了立法者对于个人信息保护的高度重视,贯彻了以人民为中心的立法理念,也从实定法层面解决了长期以来对于自然人的个人信息权益性质的争议,明确了该权益属于民事权益,是一种独立的人格权益。《民法典》对个人信息权益性质的明确界定,既有利于更好地保护个人信息和隐私,也为将来我国个人信息保护法律体系的不断完善奠定了基础、提供了基本架构。



推荐阅读- 向上滑动,查看完整目录 -

《政治与法律》2020年第8期目录


【主题研讨——个人信息向数据互联发展中的法律问题研究】

1.论我国民法典中个人信息权益的性质

程啸(2)

2.国家所有:数据资源权属的中国方案与制度展开

张玉洁(15)

3.算法歧视的宪法价值调适:基于人的尊严

洪丹娜(27)

【经济刑法】

4.论网络犯罪治理的公私合作模式

江溯(38)

5.抽象危险犯的本质及限制解释

——以生产、销售假药为例

喻浩东(53)

【专论】

6.从“纪检立规”到“监察立法”:深化国家监察体制改革法治路径的优化

叶海波(69)

7.论黑社会性质组织的行为特征

陈兴良(83)

8.论算法排他权:破除算法偏见的路径选择

梁志文(94)

【争鸣园地】

9.调取查阅通话(讯)记录中的基本权利保护

王锴(107)

10.形式入罪实质出罪:无罪判决样本的刑事出罪机制研究

刘艳红(120)

【实务研究】

11.民事裁判援引宪法的条件任意主义批判

——以援引言论自由条款的案件为例

李海平;石晶(136)

12.被告人刑事速裁缺席审判选择权的构建与运行机制研究

吴进娥(149)





《政治与法律》是上海社会科学院主管、上海社会科学院法学研究所主办的,把政治学和法学融于一炉、以法学为主的理论刊物。是我国改革开放之后最早公开发行的政法类期刊。

1994年,《政治与法律》被评为首届“中国中文法律核心期刊”;还被收入《中国人文社会科学核心期刊要览》;2004年再次被北京大学图书馆评定为“中国中文法律类核心期刊”,载入《中文核心期刊要目总览》;1998年国学术期刊综合评价数据库》来源期刊(CSSCI)。

《政治与法律》恪守“研究政法理论,推动法制建设”的编辑方针,设有“热点问题”、“法学专论”、“经济刑法”、“立法研究”、“学术争鸣”、“案例研究”等栏目;积极推出国内外法学研究的最新成果。

刊物的特点是:面向实际,不发空论;注重理论、不就事论事;力求观点新颜,言之成理,为学科建设和法制建设服务。她是政法界的学术论坛,政治理论研究的向导,政法实务工作的助手。创刊25年来,《政治与法律》以内容丰富、观点鲜明、文字精炼的办刊特色,受到中外广大读者的欢迎。


-END-


责任编辑 | 李妍靓
审核人员 | 张文硕

往期精彩回顾

百万法律人都在用的北大法宝详细介绍!

《政治与法律》2020年第8期要目

程啸:我国《民法典》个人信息保护制度的创新与发展

程啸:论侵害个人信息的民事责任

沈岿:怎样实现抗疫与保护个人信息的平衡

钱继磊:个人信息权作为新兴权利之法理反思与证成



点击相应图片识别二维码

获取更多信息

北大法宝

北大法律信息网

法宝学堂

法宝智能

点击「在看」,就是鼓励

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存