其他
王成:个人信息民法保护的模式选择
摘要: 现代科技带给人们安全和便利的同时,已经成为一种独立于人类的异化力量。现代科技与人类发展之间的关系是个人信息保护问题讨论的宏观背景。我国个人信息保护立法重公法、轻私法,缺乏民事基本法的规则支撑。在法律体系中,民法是保护人之主体地位的重要手段和基础规范,能够为个人信息保护提供体系支持。相应的立法设计应当区分个人信息与数据的保护,确立信息主体对个人信息的自主控制,补强利益关系中最弱的一方。在个人信息民法保护的模式选择中,间接保护模式和法益保护模式都存在缺陷。权利保护模式更适合中国的立法及司法现实。个人信息权可以嵌入到既有人格权规范体系中,实现法律体系的内在和谐。民法典人格权编应当采取权利保护模式。
关键词: 个人信息权;科技异化;保护模式;民法典
目次:
一、民法在个人信息保护中的地位和作用
二、个人信息民法保护的核心问题
三、个人信息的间接保护模式
四、个人信息的法益保护模式
五、权利保护模式在我国民法上的意义与实现方式
结语
个人信息是大数据和人工智能的原材料,如同黄金一样珍贵。个人信息技术和商业的发展与每个人的生存和发展息息相关,对人类社会的影响广泛而深远。讨论个人信息问题,需要置于人与科技关系的大背景下展开。保护个人信息,归根到底就是在应对大数据和人工智能等最新科技发展带来的挑战,驯化科技这种异化的力量,保护人的自由、尊严、安全和财产,保护人的主体性、社会秩序和国家安全。
对于个人信息的民法保护问题,学者已经进行了大量讨论。既有文献主要着眼于微观制度和具体规则的设计,尚未对个人信息民法保护的深层次机理进行剖析。本文试图通过追问人与科技关系问题的本质,寻找保护人之主体性的可能途径。信息主体与其个人信息之间究竟存在什么关系?这种关系如何用民法的话语体系加以描述和规范?这种描述和规范可能给技术和商业的发展及公权力的行使带来何种及多大范围的影响?本文主要内容为:讨论法律对于个人信息保护的重要意义,重申民法作为保护人之主体性的重要手段和基本规范,进而探究立法设计中的核心问题,反思司法解释中的间接保护模式和《民法总则》中的法益保护模式,探求权利保护模式的解释空间、体系效应和实现方式,并对立法草案提出改进建议。
一、民法在个人信息保护中的地位和作用
(一)法律对于个人信息保护的重要意义
个人信息直接或间接地指向信息主体,信息主体在个人信息被侵害时受到的损害最大。但是,个人信息侵害行为事前不易防范、事中无法制止、事后难以查找,信息主体与技术、商业主体以及公权力之间的力量严重失衡,没有天然地对抗后者的手段,几乎不存在任何私力救济的途径。
有学者主张参考美国的做法,建立以行业标准为代表的自律机制。但是,我国企业对这种自律机制的参与程度并不高。按照亚当·斯密的理解,市场机制的前提是社会分工,而这又源自人们互通有无和互相交易的倾向。此种倾向以人们的自爱心而非爱他心为基础,从来不会顾念到广泛的好处。市场参与者以自身利益为中心,如果没有外部规则激励,难以将他人利益作为其决策的出发点。
人类社会的重大决策“之所以不应当完全交由市场的力量来决定,是因为这些力量造成的结果可能只利于市场,而不见得有利于人类或全世界。市场那只手不仅人类看不见,而且它本身也是盲目的。如果完全不加约束,面对类似全球变暖的威胁或人工智能的潜在危险时,市场就有可能毫无作为。”技术和商业的结合具备天然的逐利性,缺乏足够的动力来制定相应的保护政策。只有以明确权利保护和行为自由的边界、增加侵害个人信息的成本为重点来完善规则设计,才能够促使信息从业者认识到个人信息保护的重要性,逐步实现行业自律和自我管理。
法律是人类社会应对现代科技挑战最重要的方式。通过制定过程中不同观点和利益的反复博弈,法律能够最大限度地实现目的和手段的理性。与市场机制相比,法律还是风险治理的重要手段,可以发挥对科技无序发展和滥用的管控功能。
(二)个人信息保护中民法的基础性地位
目前,我国个人信息保护的具体规则散落于不同层级和部门制定的法律规范中,涵盖了电信、网络、旅游、邮政快递、电子商务、征信、金融和消费者保护等多个领域。这些规定集中于公法领域,在保障网络安全、打击犯罪和维护社会公共利益等方面具有重要意义。然而,个人信息保护“先刑后民”的立法现状,使“公民个人信息”的内涵外延及法律属性未能得到清晰的界定,已经对侵犯公民个人信息罪的适用造成了不利影响。刑法个人信息保护的门槛相对较高,侵犯个人信息的行为只有在满足有限的法定行为方式(“违反国家有关规定向他人出售或提供”)和较高入刑标准(“情节严重”)时才构成犯罪。就行政法而言,个人信息纠纷主要集中在政府信息公开的范围,个人信息与隐私界定不清,个人信息行政诉讼复审率较高,难以实现争议的实质性化解。
总体来看,既有个人信息公法保护存在以下局限:其一,规范质量有待提高。个人信息保护公法规范仅是附带性规定,受限于制定部门的职责范围,内容零散重复,构成要件或法律效果残缺。其二,规范体系性缺乏。个人信息公法规范的制定主体和规制领域呈现出多元、随机的特征,缺乏具有普遍效力的基础性规范。规范彼此之间互不统摄,个人信息的界定和列举都无法统一。其三,监管效果有限。尽管公法的监管和处罚机制具备效率上的优势,但难以调动信息主体参与的积极性,无法保证良好的监管效果。其四,无法满足司法裁判规则需求。根据学者研究,既有的个人信息争议主要集中于民事案件,刑事和行政案件的绝对数量和总体比重都明显少于民事案件,仅仅有公法规范无法满足司法裁判的规则需求。
有观点认为,个人信息应当被视为公共物品而无需设立私权,应当采取风险规制等公法治理手段。对个人信息采用公法手段加以规制毫无疑问是非常重要的,但理想的方案是通过公法和私法的协力来构建严谨、系统的个人信息保护法律体系。我国个人信息保护的立法现状是公法规范有余、私法规范不足,主张个人信息是公共物品而仅需公法保护的观点,其本质是以牺牲信息主体的权利为代价来确保绝对的信息自由流通。不顾及个人信息对信息主体的意义,重在确保个人信息安全的风险规制本身也无法为个人信息处理行为提供最重要的合法性基础。
更为关键的是,上述观点忽视了私法在个人信息保护法律体系的基础性作用。按照《立法法》第8条的规定,事关民事基本制度的事项应当由全国人大制定法律加以规定。对正处于民事权利生成阶段的个人信息权而言,需要在民事基本法的框架内进行设权性界定。无论刑法还是行政法,没有民事基本法对个人信息权利的设权性界定,其规则合法性基础都是不稳固的。在个人信息民法定位模糊的情况下,刑法、行政法等公法规范对个人信息的保护势必成为无源之水、无本之木。此其一。围绕个人信息形成的基本法律关系,主要是平等主体之间的关系,即信息主体与信息处理者之间围绕个人信息产生的民事权利义务关系。虽然个人信息处理者也包含公权力机关,但后者应准用与民事主体同样的规则。此其二。个人信息的救济应主要依靠民事机制来实现。个人信息遭受侵害后,第一要务是通过侵权责任等私法规定对受害人的损害进行填补,行政手段和刑事处罚只具备补充性。此其三。
(三)民法是维护人之主体地位的最重要手段
在民法中,主客体关系表现为支配与被支配的关系。“人”是民法明确的权利主体,具备“身份”、“人格”或“权利能力”,而物只能作为被支配的客体。有学者敏锐地指出:“所有法律规范,皆以人作为法律效果之承受者。就此而言,一切法律皆为人法。不同的是,民法规范不仅将其法律效果指向人,更是直接对人的主体地位作出规定。公法上的人,无论宪法、行政法,抑或刑法,乃至于诉讼法,虽未必与私法上人的概念重合,但均以后者为基础。”在我国, “自然人”一词源于清末民初西学东渐。关于自然人的讨论源于公私法的分野:私法只调整私人生活的关系,而私人生活关系中的人叫做自然人。可见,私法与自然人的密切关系,自中文世界中“私法”和“自然人”概念出现之初,就作为一种知识前见被固定下来。私法天然就承担着保护人的自由、尊严、安全和财产的使命。
“传统民法是一种主体化非常鲜明的秩序”,《法国民法典》、《德国民法典》等各国民法典莫不以“人”为开端。虽然“法人”也取得了民事主体资格,但最古老和最自然的法人类型是“社团”(人的集合体),而非后来形成的“基金会”或“财团”。也就是说,民法中的主体是以“自然人”为中心的。与此同时,民法中的人文主义价值也正在不断彰显。从近代民法到现代民法,人的自由和尊严获得了更加充分的保障,弱势群体也得到了更多的关注。具体到我国,人文主义作为民法典编纂的立法指导思想,还体现在“人格权独立成编”的分则构造上。
可见,通过直接规定人的主体地位并确立“以人为本”的基本价值,民法已经形成了稳定的主体结构和思想基础,在面对新兴科技发展带来的挑战时,能够及时和有效地回应:一方面,即使受到科技和商业发展的冲击,民法中人的主体地位也不能动摇;另一方面,通过将新兴科技及其产物纳入其规制范围,民法可以不断完善和扩展以人为核心的法律秩序。
(四)个人信息民法保护的重要意义
历史已经并将继续证明,单纯依靠自上而下的管理命令和禁止规定,难免会导致对信息主体合法权益的忽视,排斥私权主体对信息社会治理的参与,使个人信息保护的“权利法”沦为行政色彩浓重的“管理法”,无法从根本上保障人的合法权利。只有“管理法”和“权利法”并重,正视个人信息的私法属性,通过界定民事权益的方式赋予自然人对其个人信息的前提性权利,才能使信息主体充分参与信息社会治理,增加技术和商业主体发展的规则确定性,逐渐形成个人信息保护与利用的制度性激励,实现多方合作治理的新格局。
当前,信息跨境流动成为常态,个人信息保护法普遍具备域外效力。从世界范围来看,主要国家和地区都已经制定了专门保护个人信息的民事法律。与我国庞大的个人信息规模、先进的相关技术和发达的相关商业活动相比,个人信息民法保护太过于薄弱。若不抓紧个人信息民事立法,我国将在这一领域处于落后的地位:因保护水平低而成为世界范围内的“规则洼地”,因缺乏体系性规范而成为“规则荒漠”,无法与欧盟、美、日等国进行平等的规则对话。缺少个人信息民事基本规范的保护,将进一步导致国内外有别的个人信息保护“双重标准”,我国信息企业难以进入世界其他市场,境外的信息处理者却可以轻易获得我国公民个人信息,给国家安全与经济社会发展带来严重威胁。
二、个人信息民法保护的核心问题
(一)确立个人信息的自主控制
个人信息自主控制是指信息主体对其个人信息拥有支配和决定的权利。它既是信息主体拥有个人信息权利的标志和宣示,也是个人信息权的核心和其他权能的基础。近年来,个人信息自主控制模式受到了质疑。质疑说认为,人们存在着强烈的人际交往需求,愿意在生活中或网络上分享本人的个人信息。信息储存技术的普及以及政府公共记录的大量存在,也使得个人信息具备了公共性和社会性的特点。相应地,个人信息的控制模式也应当由个人控制逐渐转向社会控制。为了获得商家提供的商品和服务,消费者除了同意之外别无选择。“通知—同意”模式将大大增加商家和消费者的成本,也难以实现个人利益与商业利益、社会公共利益之间的平衡。所以,这种信息控制模式在实践中陷入了困境。
质疑说的理由存在进一步商榷的余地:人们热衷于社会交往,将个人信息作为社交手段和工具,这本身就是信息主体自我决定的结果。从这一现象无法推断出,人们愿意容忍本人的个人信息在自己毫不知情的前提下被他人获取甚至用于营利活动。同时,个人信息“难以”甚至“没有”被信息主体控制,并不意味着个人信息“不应当”由信息主体进行控制。事实性陈述(实然状态)与规范性效力(应然状态)并非同一层次的问题。至于成本问题,技术进步已经使这种成本大大降低。况且,与其他所有权利安排一样,个人信息权利也是有成本的,但只要对权利进行保护的收益大于牺牲部分行为自由的代价,这种权利配置就是值得追求的。
首先,信息自主控制的核心和基础是信息主体的知情同意。没有知情同意,就没有自主控制,也就无法衍生出撤回权、修改权、携带权、删除权等具体权能。知情同意迄今为止仍是各国普遍遵循的规范,其地位非但没有削弱,反而有加强之势。在更一般的层面上,信息主体的同意是最重要的正当性基础。同意体现的是人意识到各种可能性并从中做出选择的自由意志,也体现着对他人主体性的尊重,具有道德转化与合法性功能。例如,医生把患者的身体切开进行治疗,由于获得了患者的同意,医生的行为就从道德和法律上不可接受转变为可以接受,从侵犯转变为手术。又如,在第三人看来不公平、不合理的交易,在外人看来不可理解的婚姻,因为当事人的同意而变得合法、合理。另一方面,同意也存在不同的认知标准。由于医患之间力量对比悬殊、医生对患者负有某种受托义务,医疗行为的认知标准相对要更高。同意的道德和法律功能具有普遍意义,在个人信息保护领域也同样适用。收集、使用和公开他人的个人信息,因为信息主体同意与否而获得不同的道德和法律评价。信息控制者和信息主体之间存在着力量的不平等、信息收集者和处理者对信息主体负有受托义务,信息主体的同意更类似于医患关系中的知情同意,可以参照医患关系中同意的认知标准进行规则设计。
其次,强调信息主体的同意也具备重大的实践价值。与对传统有形物的实际占有不同,信息主体对个人信息的控制存在于观念之中,必须依赖抽象的法律规则。在个人信息受到侵害时,信息主体没有正当防卫、紧急避险等私力救济的可能。通过法律规则的控制是信息主体对抗技术和商业主体以及公权力的唯一手段。正如学者指出的,同意权是个人信息自主控制的手段,是对市场地位不平等的最有效回应,能够平衡信息利用者和信息主体之间的权利分配,使得信息主体获得更多的谈判筹码。相反地,如果轻视同意则可能成为信息从业者滥用个人信息的免死金牌。
退一步讲,在被赋予权利后,人们完全有放弃权利的自由。但是,如果没有被赋予权利,人们就没有任何选择的自由。有观点认为,通过赋予信息主体删除权并采取“宽进严出”的策略,即可实现个人信息保护和利用之间的平衡,无须将信息主体的同意作为信息处理的正当性基础。但是,个人信息侵害后果一旦形成,无论采取何种事后救济方式,客观上往往很难回复到侵权行为未发生时的状态。因此,确立以同意为核心的自主控制模式,可以最大限度地发挥事前预防功能。
再次,强调信息主体的同意在我国具有强烈的现实意义。尽管个人信息保护需要考虑与技术和商业主体以及公权力之间的利益平衡,但是,我国对信息主体权利的保护非常不充分,远远落后于有关国家和地区。事实上,我国与大数据有关的技术和商业的发展可能也正得益于对个人信息保护的低水平所创造的宽松环境。然而,这种以牺牲信息主体基本权利为代价的发展模式,类似于以牺牲生态环境换取经济发展,是一种低水平的发展模式,不仅是对人格尊严的漠视,也会形成“弱肉强食”、“劣币驱逐良币”的制度环境,不利于稳定预期的形成,不利于建立在尊重个人信息权利基础上谋求发展的技术和商业公司的出现、生存和壮大。
最后,确立信息主体的同意控制规则,能够产生体系建构上的意义。信息主体的同意在法律性质上是一种法律行为,适用民法关于意思表示和法律行为的规则,其目的在于体现个人信息上的当事人自主决定,构建私法上的规范机制。通过将信息主体的同意“嵌入”到既有的法律行为规则体系中,可以最大限度地实现与其他既有民事制度的有效衔接,进而借助成熟的规则资源来确保个人信息保护法律制度的实施,无需再重复关于同意的整套规则。仅在需要顾及当事人利益的少数场合(比如同意成立和生效的特殊要件、未成年人的同意能力等),立法才需要进行必要的调整和解释。如此一来,通过法律行为将信息主体的同意融入民法体系,不仅可以节约立法资源,也有助于法律规则和体系的成熟。
(二)区分个人信息和数据的保护
近年来,个人信息与数据之间的关系引发了热烈讨论:一种观点认为,个人数据之所以具有经济价值或涉及人格尊严的原因就在于包含着个人信息。在此意义上,个人数据和个人信息实际上是同一事物。另一种观点主张,个人信息和数据在范围、属性和存在状态等方面存在着区别。个人信息是内容层面的信息,数据文件则处于符号层面,两者应当进行分别讨论。
笔者认为,后一种观点更为可取。信息除了以数据为载体和表现形式外,也能够以非数据的其他形式出现。这些不以数据为表现形式的信息,仍然存在法律保护的价值。比较来看,个人信息是指能够识别特定自然人身份或特定活动的信息,它更多地涉及人格权和宪法中的自由、尊严和安全。数据则不然,既可以是包括具备个人信息的数据,也可以是与自然人毫无关系的数据。其中,对于与个人无关的或经过匿名化处理而不再具备可识别性特征的信息,立法应当允许自由流动并鼓励数据化与共享在内的信息利用行为。对于以数据形式呈现的个人信息或者未经匿名化处理的数据,由于涉及信息主体的自由、尊严和安全,仍须受到个人信息保护法律的规制。
在制定法上,我国从未采用“个人数据”的概念,而是对“个人信息”和“数据”进行了区分,主要体现在以下三个方面:一是立法界定不同。在既有法律中,“个人信息”指的是能够识别特定自然人的各种信息,而“数据”则没有法律上的准确定义,也没有将“个人”作为前缀修饰和指向。二是体系地位不同。《民法总则》第111条规定了“个人信息”,而且位于“民事权利”章的人身权部分,而“数据”与“虚拟财产”共同作为《民法总则》第127条的规范对象,其保护依赖于其他法律的规定。三是立法规划不同。2018年9月10日,“个人信息保护法”和“数据安全法”作为相互独立的法律草案,同时列入了十三届全国人大常委会公布的第一类立法规划项目。
上述分析表明,个人信息和数据不能做简单的等同:前者更加关注内容,具备可识别性和主体意义;后者更加关注形式,不具备可识别性和主体意义。二者隶属于不同的权利束,应当分别以人格权和财产权为重点进行保护。
三、个人信息的间接保护模式
通过其他人身和财产权益来保护个人信息的做法,即为个人信息的间接保护模式。在这种模式中,“个人信息”并未成为独立的受保护对象,不能被解释为民事权利或法益,只有在侵害个人信息造成其他权益的不利后果时,行为人才会承担责任。
根据个人信息所依托民事权利的不同,间接保护模式还可以分为:一是通过“一般人格权”来对个人信息进行保护的德国模式;二是通过“隐私权”来统合个人信息保护的美国模式;三是个人信息保护没有特定具体权利基础的中国模式。
(一)经由一般人格权实现的间接保护模式
早期的德国民法仅规定了姓名权、著作人格权和肖像权等三种具体人格权。在1983年的“人口普查案”中,德国法院确立了“信息自决权”或“个人信息自主权”,用以对抗来自国家的不当干预,保护个人领域内自主决定和自我表现的权利。但这种“信息自决权”并非绝对的具体人格权,而是被纳入“一般人格权”这一上位概念的框架内进行考察,需要在个案中进行具体的利益衡量。经过近40年的发展,“信息自决权”的适用范围已经延伸至对信息的调查、收集、使用以及非自动化处理等各个阶段。
有学者认为,我国应当借鉴德国模式,采取“一般人格权”来保护个人信息。但是,德国一般人格权的生成和发展,既是具体人格权不发达的结果,也存在着宪法上的机理。反观我国,在具体人格权较为发达的背景下,“人身自由”或“人格尊严”能否作为“一般人格权”的同义词,不无疑问。在《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》(法释[2001]7号)第1条第1款第3项中,“人身自由”仅指自然人的行动自由或身体自由,不包括言论自由和宗教信仰自由等,因而不具备德国法上人格保护一般条款的功能。对于“人格尊严”来说,最高人民法院希望这一概念的创设能够实现对具体人格权的补充和涵摄功能,但由于司法解释本身在体系逻辑、基本价值及具体适用规则等方面的不足,它也难以如同德国法中“一般人格权”那样发挥作用。或许正因如此,“人格自由”和“人格尊严”在《侵权责任法》中也没有能够继续保留。
《民法总则》第109条中再次出现了“人身自由”和“人格尊严”,它能否被视为我国“一般人格权”的规定,仍然存在着很大的疑问。不过,由于《民法总则》第111条和第109条在体系上是相互独立的,“个人信息”无论如何也无法被解释为“人身自由”或“人格尊严”的内容。退一步讲,即使我国在将来承认或设立“一般人格权”,它更多地也是对人格法益的抽象保护,本身难以摆脱保护范围高度不确定的特点。而个人信息具备人格区分和识别功能,信息主体既可以进行支配和利用,也可以许可他人进行使用。同时,个人信息也已经从人格整体中实现了彻底分离,从而具备成为具体权利客体的基础。因此,将个人信息归属于一般人格权,哪怕只是在具体立法缺失情况下的暂时安排或过渡做法,恐怕也无法实现。
(二)经由隐私权实现的间接保护模式
在美国,侵犯隐私权的行为主要包括侵扰个人私生活、公布他人秘密、捏造事实歪曲他人形象、盗用他人的姓名或肖像用于营利目的等。但是,从隐私权概念诞生之日起,关于隐私侵权行为类型划分的讨论似乎就没有停止过。或许正是得益于这种逐渐展现的开放性和包容性,隐私权才能够灵活地处理不断出现的各种社会问题。网络技术兴起后,美国法院确立了“信息隐私权”,对不正当获取的个人信息及限制获得的公开信息加以干涉,并将隐私权作为个人信息保护的权利基础。这意味着美国采取了以隐私权统合个人信息的保护模式。近年来,美国立法和司法不断扩展隐私权的外延,相继创设了“数据隐私权”、“网络隐私权”等概念,使得以隐私权为基础的法律框架能够全方位地覆盖对个人信息的保护。
有学者主张,个人信息保护规则无法提供比隐私权更高明的救济,反而徒增制度成本,不如借鉴美国的做法,采用隐私权制度来保护个人信息。在司法实务中,也有通过隐私权保护个人信息的判决。笔者认为,主张将个人信息交由隐私权保护的观点,既不符合个人信息和隐私之间的界分关系,也未能深入分析中美隐私权制度的深层次差异。
在我国,隐私和个人信息并非包含和被包含的关系,而是一种相互交错的关系。一方面,除了隐私信息,个人信息还包括与隐私无关的一般个人信息,比如本人自行公开或通过其他途径合法公开的工作单位、联系方式、教育背景等个人信息,不具备秘密性的特征,因而被排除在隐私范围之外。另一方面,个人信息无法包括私人住所、私人活动以及个人生活安宁等隐私利益,隐私权制度难以被个人信息制度所取代。可见,个人信息和隐私在内容上既有重合也有区隔,两者之间的重叠部分可以称为“个人隐私信息”。在我国相关法律文件中,“个人隐私”和“个人信息”并列出现。可见,按照立法者和司法解释制定者的理解,某些个人信息已经超出隐私权的保护范围。
再者,个人信息需要平衡的利益关系远较隐私复杂。个人信息涉及自然人的基本人格利益和财产利益,还牵涉技术和商业利益、社会公共利益、国家利益甚至民族种族利益。而隐私一般只涉及自然人人格及财产利益,与技术和商业之间的关系较为间接,更不会涉及国家安全利益或种族生存利益,可能的冲突最多也就发生在隐私与公众知情权之间。
此外,对个人信息的侵害不同于对隐私的侵害。对于隐私来说,主要的侵害是侵扰、泄露和公开等方式,侵权主体多以个人或传统媒体以及传播性质的网站为主。对于个人信息而言,尽管自然人或小公司也会成为侵害个人信息权的主体,但主要的侵权人是具有相当实力的技术和商业公司,其加害行为更为复杂隐蔽,损害后果也更为严重。
最后,我国隐私权制度与美国存在着显著差异。在美国,隐私权的存在已逾百年,司法实践的发展非常成熟,不仅能够最大限度地涵盖包括姓名、肖像等在内的其他人格利益,还包含对人格尊严和自由等自主决定进行保护的“宪法隐私权”。美国的隐私权更类似于作为集合概念的“一般人格权”。隐私权人能够进行积极的控制和利用,决定向外披露的隐私范围,从而充分发挥个人信息的使用价值。对照来看,我国隐私权的形成和发展立足于司法实践,经历了从“依托名誉权的保护”到“隐私利益”再到“隐私权”的演变过程。我国的隐私权正式成为民事权利(2009年《侵权责任法》)的时间不过十年,其保护范围以权利人的私人空间、私生活秘密为主,只具备防御他人侵害隐私的消极功能,难以扩展到对一般个人信息的自主决定和控制,无法满足信息主体积极控制和使用其个人信息的需求,更无法妥当平衡与个人信息有关的复杂利益关系。由此可见,与美国的隐私权制度相比,我国的隐私权制度无法担负起个人信息保护的重任。
(三)我国个人信息间接保护模式的反思
根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释[2014]11号)第1条的规定,行为人利用信息网络侵害他人的个人信息,只有在侵害他人姓名权、名誉权、荣誉权、肖像权、隐私权等人身权益并造成损害时,才需要承担民事责任。也就是说,我国的个人信息间接保护模式不存在特定的具体权利依托,个人信息保护的权利基础既可能是姓名权,也可能是名誉权、荣誉权、肖像权或隐私权。
这种间接保护模式具有灵活性的特点,但是,其弊端也比较突出。“法释[2014]11号”生效以来,即使从人们的直观感受出发,个人信息被侵害的情况也愈发严重。问题的关键在于,个人信息已经超出了既有具体人格权的保护范围。尤其是个人信息利用的特点在于互相搭配组合后的利用,组合后的个人信息不等于各种既有人格权的组合。如果继续借助既有人格权保护个人信息,信息主体寻求救济时无从依托具体而明确的权利基础,法院裁判也面临着巨大困扰。比如,在“任某某诉北京市百度网讯科技公司案”中,法院认为,个人信息“被遗忘”属于一种利益。在法律没有规定“被遗忘权”这一权利类型的前提下,原告依据一般人格权要求本人的某种个人信息“被遗忘”只能属于一种“人格利益”。至于能否获得法律上的保护,需要综合考察利益正当性、法律保护必要性以及与其他利益之间的权衡。鉴于任某某主张百度公司侵害其名誉权、姓名权及一般人格权中所谓“被遗忘权”缺乏相应的事实与法律依据,故百度公司未履行“通知—删除”义务亦无需承担侵权责任。又如,在“庞某某与北京趣拿信息技术有限公司等隐私权纠纷上诉案”中,法院认为,东方航空公司和趣拿公司因其经营性质掌握了大量的个人信息,在被媒体多次报道涉嫌泄露乘客隐私后,却并未迅速采取有效措施加强信息安全的保护。可见,为判断个人信息是否被侵害,前述裁判需要借助“一般人格权”、“人格利益”、“名誉权”、“姓名权”、“隐私权”等进行迂回说理,无疑增加了法院的论证负担和裁判的不确定性。法院裁判尚且如此,当事人更加无所适从。
四、个人信息的法益保护模式
与需要借助其他民事权益的间接保护模式不同,直接保护模式将个人信息作为独立的受保护对象。根据法律对个人信息定位的不同,直接保护模式又有法益保护模式和权利保护模式之分。在法益保护模式中,个人信息作为法律上受保护的法益,具备法律明文规定或通过法律解释得出的独立地位。
(一)《民法总则》采取了法益保护模式
《民法总则》第111条前段规定:“自然人的个人信息受法律保护”。这里采用的措辞是“个人信息”而非“个人信息权”,由此为个人信息的法益解释留下了空间。
首先,根据法律的文义和体系解释,个人信息应当属于法益。《民法总则》第110条规定的各种民事权利,不仅在表述上都冠有“权”字,在条文结尾处还写明“等权利”作为后缀,而《民法总则》第111条对“个人信息”单独加以规定,其后也没有“权”字。可见,第111条的规定是对个人信息利益作出的保护性规定,宣示了个人信息法律保护的基本立场,而不属于确权规范,没有确立具备绝对权特征的“个人信息权”。
其次,个人信息与其他权利客体难以区分,不足以独立为具体的人格权。有学者认为,在具体人格权的生成中,应当避免与其他权利重合或交叉。个人信息非常普遍地包括姓名、肖像、隐私以及其他与人格相关的信息,势必与既有的姓名权、肖像权、隐私权等存在广泛的重合。而个人信息的范围无法准确划定,其功能又与一般人格权发生部分重合。因此,个人信息权利最多算是在信息自动化处理环境中对姓名、肖像、隐私等人格利益的特别保护,不能构成一种新的具体人格权。
最后,为个人信息提供过高的保护,会影响行为自由。在法益保护模式中,除了法律所列举的禁止行为类型外,相对人可以享有较大的行为自由。在隐私信息已经通过权利路径进行保护的情况下,对于非隐私的个人信息,可以通过侵权法在个案中来确定行为人的责任,立法无需给予个人信息与隐私同等的保护强度。
(二)个人信息法益保护模式存在缺陷
将“个人信息”作为法益进行保护,不仅无法回答我国法中“合法利益”所指为何的问题,也难以满足我国个人信息保护的实际需求。根据《民法总则》第3条的规定,合法利益与人身权利、财产权利一样,受法律保护。在我国,唯一被清楚表述的合法利益是“法释[2001]7号”第1条第2款中的“隐私”。但是,在《侵权责任法》第2条第2款和《民法总则》第110条的规定中“隐私”已经上升为“隐私权”。除此之外,我国立法并未明文规定其他类型的合法利益。可见,“合法利益”的范围和内容本身非常模糊,个人信息是否属于“合法利益”也就成了一个含义不明的问题。
在我国,很多学者认为不应当采取德国法上权利和利益区分的保护模式。因此,在立法上也就无需设计利益的专门保护机制。这种观点对《侵权责任法》以及制定中的侵权责任编产生了巨大影响。我国既有法律体系没有为“合法利益”提供配套的独立保护规范,尤其是“法释[2001]7号”区分权利和利益、设置不同保护门槛的模式未被《侵权责任法》所采纳,导致对利益保护的构成要件仅停留在学说讨论的层面。《民法总则》第120条对民事权益保护的规定也没有任何构成要件的意义。在此背景下,如果仍将个人信息界定为“合法利益”,就意味着民法对个人信息的保护将沦为一张无法兑现的空头支票。
《民法总则》第111条弥补了民法在个人信息保护领域中空白的缺憾,但是,其所采取的法益保护模式存在着巨大的先天不足,单个条文本身也不足以形成独立的规范体系。从司法实务来看,依据《民法总则》第111条进行裁判的民事案件非常少。这固然与《民法总则》生效时间较短有关,但也从侧面说明了《民法总则》法益保护模式难以实现对个人信息的充分保护。由此可见,民事基本法需要探寻更具理论基础和在我国行之有效的个人信息保护模式。
五、权利保护模式在我国民法上的意义与实现方式
另一种重要的个人信息直接保护模式是权利保护模式。在比较法上,GDPR、日本、韩国和我国台湾地区采取了权利保护模式。在这种保护模式中,个人信息无需依托其他民事权利,也不以法益的形式存在,而是直接作为具体民事权利的客体。我国民法应当采取权利保护模式。
(一)个人信息权的解释证成
按照严格的文义和体系解释,《民法总则》采取了法益保护模式。但是,仍然存在对《民法总则》个人信息规定进行权利解释的空间。在法律语言中,不是所有以“权”或“权利”进行表述的保护对象都是“民事权利”,某些没有“权”或“权利”表述的内容也可能属于“民事权利”的范围。在《侵权责任法》第2条已经将“隐私”定位为民事权利的情况下, “法释[2014]11号”第12条不仅将隐私与个人信息并列,在侵权责任的构成要件上也没有任何特殊要求,这似乎表明最高人民法院已经将个人信息上升到与隐私相同的保护高度。
在《民法总则》中,第111条既属于第五章“民事权利”的内容,又位于人格权(第110条)和身份权(第112条)之间。对照来看, 《民法总则》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”这一规定不仅是缺乏具体规制内容的引致性条款,而且还位于民事权益兜底性规定(第126条)之后。立法若仅是为了宣示对个人信息进行保护的基本态度,应当采取与第127条相同或类似的指引性表达。但是,第111条却舍弃了这种表述方式。因此,根据体系解释,个人信息权应当是具备人身属性的民事权利。
在比较法上, 《欧盟基本权利宪章》、《欧盟运作条约》和GDPR都明确规定,自然人有保护其个人数据的基本权利和自由。台湾地区“个人资料保护法”第1条也表明“避免人格权受侵害”的立法目的。“个人资料保护法”立法本意究竟是采取间接保护模式还是直接保护模式,应当结合其损害赔偿的规定进行考察:对个人资料的侵害仅造成“个人资料遭不法搜集、处理、利用或其他侵害当事人权利”的后果即可(第28条和第29条),无须以故意悖俗或违反保护性法律为前提。可见,“个人资料保护法”没有采取间接保护模式,而是直接将个人资料视为一种绝对权利。
根据立法资料,《民法总则》第111条的立法理由已经明确“个人信息权利”是自然人对其个人信息享有的“重要权利”。在更宏观的视野中,由技术进步带来的社会基础变迁导致社会治理日渐复杂,更是成为第三次私法改革的重大契机。因此,将本条解释为“个人信息权”的确权规范,不仅符合立法者的“主观目的”,亦契合社会环境和时代背景的“客观要求”。
(二)权利保护模式在我国民法上的意义
从立法论的角度,我国民法应当确立独立的个人信息权。
首先,权利保护模式设置了一道“防火墙”,有利于防止科技和商业的非理性发展。在比较法上,GDPR确立了一整套信息权利和严格保护标准,是权利保护模式的典型立法。有观点认为,GDPR与大数据时代的整体环境不协调,会增加信息企业的合规成本,对数字产业的创新和发展造成负面影响。个人信息保护立法的确需要考虑信息主体与技术、商业主体之间的利益平衡。但是,技术和商业的发展并非是立法唯一的考量,不能因为技术和商业的发展而放弃对个人信息的保护。GDPR严格保护个人信息,同时并未忽视对技术和商业主体的保护,在其名称中就强调了信息流动的重要性。尽管个人信息保护需要兼顾技术和商业的发展,但是,从根本上来说,经济发展要服务于人的发展,不能以牺牲人的自由、尊严、安全和财产为代价,重走环境问题“先污染后治理”的老路。只有充分重视对基本权利和社会秩序等基础价值的坚守,才能够协调好个人信息权利保护和信息流通之间的关系,避免对人类社会造成无法挽回的伤害。在我国,在信息主体、技术商业主体、公权力和公共利益的关系中,信息主体处于最弱势的地位,只有增强信息主体的权重,才能实现各方利益的平衡。
其次,权利保护模式能够为个人信息提供确定的权利基础,提升预期的稳定性。在我国的间接保护模式中,个人信息保护所依托的人身权益既可能是姓名权,也可能是名誉权、荣誉权、肖像权或隐私权。个人信息保护的权利基础处于变动和游移的状态,在具体个案中势必陷入纠结境地。而在权利保护模式中,个人信息权是个人信息保护明确的权利基础。凭借这种确定和具体的民事权利,信息主体能够支配和决定其个人信息的利用和呈现方式,有效地防止他人的非法侵害。
再次,从民事权利与利益的关系来看,权利化更有利于对个人信息的保护。不同于纯粹的法益,民事权利具备明确的正当化基础和清晰的外延,在法律上也可以获得更加切实的保障。对照来看,在法益保护模式中,法律仅对他人的特定行为进行控制,无法适应侵害行为在类型和方式上的扩展;在权利保护模式中,个人信息是具体民事权利的客体,属于通过法律确认并加以特别保护的“具备相对重要性”的对象,获得保护的力度最强。基于此种地位,个人信息权可以纳入到成熟的民事权利体系,适用既有的法律救济规范。
最后,权利保护模式有利于人格权编的体系和谐。2018年8月27日《民法典各分编(草案)》人格权编(一次审议稿) (以下简称“一审稿”)第六章规定了“隐私权和个人信息”,2019年4月19日《民法典人格权编(草案)》(二次审议稿)(以下简称“二审稿”)将第六章章名改为“隐私权和个人信息保护”。人格权编是人格权这类民事权利的系统规定,“个人信息”作为其中唯一的人格法益,不符合人格权编的体系定位。在二审稿第六章中,相较于隐私权的规定(2个条文259字),个人信息部分的条文数量更多、内容也更丰富(6个条文788字),而立法仅将个人信息作为法益规定,会导致“权利规定单薄、法益规定丰满”的失衡现象。因此,人格权编只有采取权利保护模式,才能够满足体系和谐这一科学立法的要求。
(三)个人信息权的体系效应
在立法上承认个人信息权,势必会产生一系列后果。有观点主张,个人信息流通具有公共性价值,认可个人信息之上存在独立的民事权利会妨害信息自由,进而对公众知情权和公共事务造成负面影响。
首先,个人信息流通具有公共性价值并不等于个人信息具有公共性价值。退一步来说,即便个人信息具有公共性价值,也不能推导出个人信息属于公共物品。将个人信息作为公共物品的观点,实际上是在个人信息领域确立“丛林规则”,弱肉强食在所难免。
其次,个人信息确权不等于妨碍信息自由。确权行为本身是在确定个人信息权利保护和行为自由(信息自由)之间的边界,试图兼顾个人信息权利保护和信息自由的双重目标。正如每个实体财产上都有权利存在,但这并不妨碍人们使用或转让财产的自由,相反是正常市场交易的前提和基础。
最后,担心确权会妨碍信息自由的观点,是认为信息自由具有优先正当性。信息自由的背后是技术和商业主体的利益,也有公众知情的权利。技术和商业的发达以及公众的知情权,无疑具有重要的意义。但是,技术和商业的发达、公众知情的根本目的还是为了人,而确权背后实际上就是信息主体。信息主体的信息利益是人的自由、尊严、安全和财产,是人的主体性。与人的主体地位相比较,信息自由不具有当然优先的正当性。在信息主体和技术、商业主体以及公众知情权之间寻求平衡,不能牺牲信息主体来成就信息自由。
(四)个人信息权的性质
在《民法总则》的立法过程中,个人信息与知识产权的关系曾引发关注。在2016年2月3日《民法总则》(征求意见稿)中,并没有“个人信息”或“数据”的规定。2016年6月27日《民法总则》(一审稿)第108条第4项将“信息数据”增加为知识产权的保护客体,没有对“个人信息”和“数据”加以区分。2016年11月2日《民法总则》(二审稿)将“个人信息”和“数据”移出知识产权的保护范围,并分别加以规定。《民法总则》保持了这种区分。
在目前的技术条件下,个人信息背后的经济价值已经能够被深度挖掘,个人信息牵涉的利益关系显然要比传统的人格利益更为复杂。有学者主张,法律规则设计需要充分考虑个人信息的资源性和财产性特征,应当在个人信息上设立财产权。也有学者主张,之所以不能赋予个人信息权类似于所有权的权能,是因为现实中相当一部分个人信息允许企业采集、使用和分析。关于个人信息权的性质,还有多种主张。可见,个人信息权的体系定位还有深入讨论的必要。
在法律发展的早期,人们用所有权来描述典型的利益控制状态。但是,随着法律文化的发达,逐步形成不同权利对应不同利益控制的格局。在康德看来,人自身是目的而非手段,天生只具备自由的权利,人无法强制自身而为限制,所以对自身不能享有任何权利。萨维尼也认为,若肯定“对自我之人的支配”将使主体和客体混在一起,不仅产生矛盾,也忽视了人的伦理价值。德国民法受此影响,最初没有规定人格权。后来为因应人格保护的需要,新的权利观念逐渐产生。与所有权不同,人格权是法律所赋予之力,以满足其人之为人的利益。个人信息权就是这个意义上的权利。
尽管以所有权为代表的物权和人格权共用一个“权”字,同属于民事权利,但是,二者的内涵存在重大差异。物权客体必须存在于人身之外。而个人信息与信息主体存在着天然的联系,与生命、身体、健康、姓名、名誉、肖像等具有共同的人格属性。人们无法用所有权中的占用、使用、收益、处分权能来描述权利主体对个人信息的控制方式。因此,尽管个人信息具备经济价值,但不能成为物权的客体,难以置身于财产权利体系。
个人信息应当作为人格权的客体,但无论被定位为既有具体人格权的客体还是一般人格权的客体,其本质还是属于间接的保护,既无法调整个人信息保护中复杂的利益关系,也不能给人们的行为提供确定性指引。同时,即使在人格权法定主义看来,人格权类型也并非绝对封闭,具备一定程度的开放性。既然已有的人格权类型难以实现对个人信息的充分保护,立法就应当将个人信息权作为一种新类型的具体人格权。
(五)对《人格权编(草案)》相关部分的修改建议
首先,明确承认“个人信息权”的权利属性。二审稿延续了《民法总则》的法益保护模式。相关章节的名称在立法过程中曾出现反复,最终定为“隐私权和个人信息保护”,二审稿第813条第1款也是对《民法总则》第111条第1款的简单重复。笔者认为,我国应当正面规定作为独立民事权利的个人信息权,并使用与其他具体人格权条款类似的权利表述。可以借2020年民法典整合通过之际,将《民法总则》第111条的表述修改为“个人信息权”,以保持总则和人格权编的一致。
其次,应当明确信息主体同意的基础地位,妥善设计和详细规定同意权的内容。一方面,信息主体的同意是个人信息处理最重要的合法性基础。除法律另有规定外,未经本人同意的信息处理行为都是违法的。这意味着,无论收集和使用还是向第三方提供或分享他人的个人信息,都需要以信息主体的同意为基础。另一方面,立法应当详细设计同意权的行使规则。比如,信息主体的同意应当是具体和明确的同意,而非概括的授权。对个人信息处理的同意需要积极的意思表示,使用清晰易懂的语言,并与其他内容严格区分。此项同意应当采取书面的形式。
再次,应当借鉴部门法和域外法的相关规定,对个人信息的类型和权利内容进行更典型和充分的列举。二审稿列举的个人信息仅为“自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码”,而规范层级较低的法律文件对个人信息的列举反而更为全面,比如基因信息、病历资料、健康检查资料、网络账号和密码、犯罪记录、信用(征信)信息、财产状况、通信记录和内容、行踪轨迹等典型的个人信息应当纳入立法的列举规定。同时,立法应当对个人信息权利的内容或权能进行更加充分的列举。二审稿的规定主要限于个人信息的收集和使用,信息主体也仅能享有查阅、复制、更正和删除等权利。但是,个人信息的处理还包括公开、加工、转让和处分等行为,既有的权能列举规定需要进一步扩展,使之涵盖个人信息处理行为的全部类型。相应地,信息主体应当享有包括移转权、反对权和限制处理权等在内的更加完整的个人信息权利。
最后,个人信息权应当与隐私权分离,专章加以规定。对比来看,第六章中个人信息部分在条文数量上远超过隐私权。同时,不同于以消极防御为主要功能的隐私权,个人信息权更加注重积极利用的面向。这种功能上的差异体现在规范内容上,使得个人信息权具有丰富和具体的权利内容或权能,对特殊的义务主体也存在着更高的要求(比如信息收集人、持有人需要负担确保信息安全、采取补救措施和及时告知等积极义务)。由此可见,个人信息权与隐私权存在着根本的差异,传统隐私权能够调整的内容归隐私权部分规范,个人信息权则应当新设专章进行规定。
结语 大数据时代,技术和商业的发展极大地促进了个人信息的开发和利用,但也对人的主体地位、社会秩序和国家安全构成了严重威胁。目前,我国个人信息保护立法重公法规范、轻私法规范,民事基本法规范支撑缺失。民法作为保护人之主体性的重要手段,能够为个人信息保护提供坚实的基础。立法设计应当确立两大基本理念:一是个人信息的自主控制;二是个人信息和数据的区分保护。间接保护模式和法益保护模式都存在缺陷,权利保护模式更适合我国的具体情况,能够更加有效应对个人信息侵害行为,兼顾科技和商业的理性发展。
确定个人信息民法保护的基本理念和主要途径,远不是个人信息保护法律制度的终点。在权利保护模式的框架内,理论界和实务界应当继续共同努力,深入讨论个人信息权的制度和规则,处理好个人信息权利保护、促进信息自由流通和维护公共利益三者之间的关系,探究个人信息权的特征(绝对性抑或支配性)、内容(具体的权能或子权利)、行使(权利界限以及需要平衡的不同利益)、救济(责任方式、归责原则和损害赔偿)以及相关配套措施(诉讼方式、程序衔接)等一系列微观层面的问题,从而推动个人信息民法保护“中国模式”的形成。
责任编辑 | 陈楠
审核人员 | 张文硕 杨岩本文声明 | 本文章仅限学习交流使用,如遇侵权,我们会及时删除。本文章不代表北大法律信息网(北大法宝)和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。
▼往期精彩回顾▼
王锡锌 彭錞:个人信息保护法律体系的宪法基础 | 清华法学202103
薛军 | 民法典网络侵权条款研究:以法解释论框架的重构为中心
关注下方公众号,获取更多法律信息