刘德良:个人信息法律制度构建的基本观念 | 实录
中国民商法律网
2017年11月23日晚,第38期中国民法成长论坛在西南政法大学渝北校区图书馆学术报告厅举行。北京师范大学法学院教授、亚太网络法律研究中心主任、亚太人工智能政策与法律研究院院长刘德良教授莅临论坛现场,发表题为“个人信息法律制度构建的基本观念”的主题报告。西南政法大学民商法学院孙建文教授、洪海林副教授、李俊副教授、李媛博士出席论坛并参加与谈,论坛由西南政法大学民商法学院侯国跃教授主持。
本期实录中,刘德良教授发言内容、各与谈嘉宾发言内容均由论坛秘书处整理,并经发言人审定。
全文共11682字,阅读时间约60分钟
第一部分 主讲环节
刘德良老师主讲的题目是“个人信息法律制度构建的基本观念”,主要从以下几个方面展开:第一,什么叫个人信息?个人信息和个人数据的关系?第二,什么叫隐私,隐私与个人信息的关系?第三,如何处理大数据产业和个人信息保护之间的关系?
什么叫个人信息?个人信息和个人数据之间是什么关系?我以前认为,个人信息是能够据此直接或者间接识别出某一自然人身份的信息或信息组合,也不区分个人信息和个人数据。最近这两年,根据大数据产业,我进行了重新思考。今天我讲的个人信息,就是直接识别出某一特定自然人的信息或者信息组合,不包括“间接”识别。例如,我是教师,这是我的身份,但是不够特定化,所以必须要识别出我是北京师范大学法学院的刘德良。所以,个人信息一定要有一个可识别性,是直接可识别性。我今天讲的个人信息,是指能够直接识别出某一特定自然人的特定化,比如我的声音、肖像,就能够直接识别出来,这就是个人信息。
个人数据是什么概念呢?我早期认为它和个人信息只是翻译上的区别,没有实质性区别。现在看来,个人数据是与个人有关的数据,数据是一种载体,大多数是与计算机技术相联系,识别的主体属于计算机,我们人一般不作为识别的主体。“有关”到底宽泛到什么程度?比如,在网络环境下,个人信息呈碎片化,由N个碎片组成,这N个片断任何一个都可以叫我们的个人数据,它与我们个人有关。但是任何一个片断,都不能够直接识别出我们特定的个人,只有这N个片断的总和,才能识别出我们这个人,才算是我们的个人信息。N-1个或者N-M个,M小于N,都不能算是我们的个人信息,只能说是个人数据。当然,你说我的声音、肖像如果放在网络环境下,从计算机识别的角度来讲,也可能体现为数据,也可以直接识别出某一特定的人。
我们对个人信息价值的认识还有时代性,与特定时期的信息技术密切相关。早期,我们受信息技术限制,对个人信息价值的认识,只认识到他具有人格利益,并没有发现商业价值。因此,早期姓名权、肖像权作为人格权是纯粹保护人格利益的。后来随着录音录像、摄影技术等信息技术的发展,个人信息的商业价值越来越凸显。法律和理论总是保守的,所以直到今天我们还用人格权来保护其商业价值,主流学者在理论上把这种现象说成是“人格要素的商业化利用”或“人格权的商业化利用”。这种观念不仅在伦理上与我们对人格权的认识相悖,而且也与作为大陆法系民法学根基的人格权与财产权区分理论相冲突。站在信息时代的今天来看,我们对个人信息的认识在价值上是不中立和不客观的:一方面,像肖像、姓名、隐私等传统人格权保护对象的个人信息上既承载着人格利益,也承载有商业价值,可我们却说它是人格要素而不说它也是财产要素?或者为何不说它是兼有人格利益和财产利益的对象或载体?另一方面,像我们的通信号码之类的个人信息,它们实际上与人格利益根本没有直接关系,可我们仍然固执地称它们属于人格要素?传统的人格权保护肖像等个人信息的商业利益,会遇到两个问题:第一个问题,怎么解释人格权和财产权的区分?第二个问题,自然人死亡之后,商业利益怎么保护?
我对个人信息的认识有几个命题:
第一个命题:在信息时代的今天,一切个人信息都有潜在的商业价值。潜在是指有机会,有可能性,具体到何时何地才能变现商业价值,要有各种条件才能成就。
第二个命题:并非所有的个人信息都与人格利益有直接关系,所以并不是所有个人信息都要纳入人格权来保护。我是基于社会生活的现实,提出这一命题的。实际上,像电话号码、电子邮箱地址、工作单位等基于社会经济活动产生和存在的一些个人信息,它们本身与人格利益并没有什么关系,我们可以随意变换或抛弃。因此,如果你一定要说它与人格利益、人格要素有关,这与社会现实是不符的。当然,如果对这些信息滥用,可能会侵犯主体的其他人格利益,那是另外一回事,比如,虽然电话号码本身并不承载任何人格利益,但是,如果滥用它打骚扰电话、发送垃圾短信,就会侵害我们自主获取信息的自由的人格利益。显然,这种自主获取信息的人格利益并不是电话号码本身所承载的利益。因此,我们不要把这两个问题混淆。
第三个命题:法学上的隐私是隐私权保护的对象,它是指与公共利益、社会利益没有直接关系,同时又攸关主体人格尊严或名誉的个人信息。简言之,法律上的隐私只是个人信息中的一少部分。
当我们说女性的三围、身高、体重是隐私的时候,公开女性的三围、身高、体重就是侵犯隐私。但是,如果公开不可以,那目测可不可以?我们总不能不让别人看自己吧?同时,也有些女性并不排斥别人公开或知悉其三围、身高和体重。另外,我想一般都不会认为男性的三围、身高、体重是隐私吧。由此看来,大家对于三围、身高、体重等个人信息是否属于隐私的问题就存在很大的分歧。那些持个人隐私观的人可能会面临难以自圆其说的尴尬困境。当我们说家庭住址、工作单位、收入等个人信息属于隐私的时候,我们在很多时候都会向不同的主体提供这些信息,而且,我们在日常生活中熟人之间也会经常彼此问及这些问题的。西方人把政治信仰、宗教信仰、种族等视为隐私时,在我们中国人看来,这些根本就不是什么隐私!
从主流教科书上或者权威文献看到,大家都把什么个人领域、个人空间和私生活秘密视为隐私的三种形态;隐私就是个人不愿意让他人知道、他人不便知道的个人秘密或个人信息。但具体到每个人而言,如果你要问他何为隐私的话,十个人可能就会有九个半存在不同的看法。为什么我们对隐私的认识存在如此大的分歧?实际上,隐私这个概念对于我们中国人来说,它是一个舶来品。现在中国人的隐私概念是用美国人隐私的瓶装欧洲人隐私的酒。而在欧美,他们自己对于隐私的认识也同样是分歧严重。
大家知道,法律上我们的隐私是受隐私权保护的。从法理上讲,设定权利的目的就是定纷止争,即通过设定权利的边界,保障权利人在权利范围内有行为自由,同时也对社会公众的行为设定了边界,即不得踏入权利人的权利范围;在权利人的权利边界之外,社会公众也有行为自由的权利。为此,法律在设定权利的时候,一定要把权利的边界界定清楚,不允许它是一个因人而异的概念,否则社会公众的行为自由将会受到不当的限制。如果大家对隐私理解的是因人而异,法律对隐私保护的边界也是因人而异,那么社会公众随时随地可能都会被诉隐私侵权。
可见,我们现在隐私观是错误的,它混淆了不同学科、不同语境下的隐私概念。当我们讲女性三围、身高、体重是隐私的时候,我认为它是在心理学意义上的隐私,因为心理学上的心理是因人而异的,个性化的感受。当我们说我的家庭住址、工作单位、收入等,我认为它是在社会学上讲隐私。社会学研究社会分层,而社会分层与你的家庭、教育、收入等东西有关。西方人认为政治观点、宗教信仰是隐私,可能分别是指政治学、宗教学上的隐私。实际上,从我国1956年人民法院组织法一直到1986年的民法通则上都没有隐私这个概念,相反我们却有一个阴私概念。当时的阴私是指披露出去就会导致我们的名誉受损的个人信息,一般都是与性有关的个人信息。后来,一些学者把欧美的隐私概念移植过来时,认为中国的法律不够尊重人权,我们的民法通则没有规定隐私权是有问题的。这种崇洋媚外、妄自菲薄的心态导致了我们使用了近三十年的阴私概念被无视,以至于现在的年轻学者几乎不知道我们中国的法律上曾经有个阴私概念!
所以,后来我提出,隐私有心理学、社会学、政治学、宗教学等不同学科之分,不同学科隐私的内涵和外延是不一样的,不同地域文化和不同的时代背景下隐私都有不同的外延。法学中的隐私是有隐私权保护的,隐私权的边界必须要清晰可见,而不应该是仁者见仁、智者见智的。据此,我提出,法学的隐私是与人的名誉或尊严有直接关系,又与公众利益、社会利益没有直接关系的个人信息,隐私的对象只能是个人信息。所以,我认为法律上的隐私只有一种形态,就是个人信息,它是个人信息中的一部分,是那些与公众利益、社会利益没有直接关系,同时又直接攸关人的名誉和尊严的这部分个人信息,它包括但不限于裸照、与性有关的信息、情感经历、不为人知的重大疾病和生理缺陷等。这些信息对于我们一个正常理性的人,一般情况下都不愿意让别人知道,因为即使不考虑到后续滥用行为,一旦让别人知道,我们都会感觉到很没有面子,很没有尊严。
第一个观念,树立正确的隐私观。重新审视我们现行的隐私观,正确区分法律上的隐私与其他学科上的隐私,回归到我们传统上的阴私观。我们现在对隐私概念逐渐的泛化,很多讲个人信息保护的时候,把它等同于隐私,这与我们法学教育有关。树立正确的隐私观,就包含我前面讲的隐私在不同学科、不同语境有不同内涵。东西方讲的不一样,时代不同,隐私的范围还不一样。
第二个观念,区分两类不同性质的个人信息,并分别给予不同的权利保护。
个人信息可分两类:一类与人格利益有直接关系的个人信息,一类是与人格利益没有直接关系的个人信息。对于与人格利益有直接关系的个人信息,由于它同时又有财产价值,因此,法律不仅要保护人格利益,也要保护商业价值。其中,人格权保护其人格利益,财产权保护其商业价值;而不能将财产利益视为人格权的内容,二者彼此独立,彼此可以存在于同一个人信息上。比如,肖像人格权,是以肖像之上的人格利益为客体的权利,肖像财产权就是以肖像的商业价值为客体的权利,这种权利存在于同一个对象---肖像上。与人格利益没有直接关系的个人信息,大多数是碎片化的,因此,法律只保护其商业价值,而不将其纳入到人格权保护之中。该类个人信息的商业价值归个人,而不是归商家。
第三个观念,要区分隐私和隐私之外的个人信息,并分别采取保护的立法思路。
实际上,个人信息从其公开是否会对我们的名誉或尊严造成伤害可以分为两类,一类就是你可以知道,可以正常利用的。正常的社会交往活动不会对我们造成伤害,伤害的往往是后续的滥用行为。因此,这种信息不用保密,也没法保密。立法上强调对个人信息保密,是不可能做到的,因此立法应该重点放在如何有效防止对该类信息的滥用行为。另一类信息才是法律意义上的隐私,该类个人信息不仅需要保密,还需要防止非法传播和滥用。
目前,我们主流观点把信息的公开和信息的滥用混在一起了。比如说诈骗,主流观点把它归咎于个人信息泄露上。实际上,电信诈骗能否成功,主要取决于三个因素:一是受害人的安全意识;二是电信手段是否被滥用;三是银行账户是否真正实名。其中,后两个都是与个人信息滥用密切相关的。作为电信诈骗手段的垃圾短信、骚扰电话都是对个人信息---电话号码的滥用;作为转移诈骗资金的虚假账号实际上是假冒他人名义开设的银行账号,即是对他人身份证信息的滥用。我们国家身份证法把身份证信息当做隐私看待,强调保密,却忽略了对身份证号使用环节的比对,所以才会有人制作、买卖、利用他人身份证开通电话号码和银行账户,用来实施电信诈骗。目前我们国家没有有效垃圾信息和骚扰电话防治法,没有有效的身份信息滥用防治法。而我们当下正是在错误的观念指导下沿着错误的方向努力,因此,我们越是努力,就越不能真正解决问题。
总之,对于隐私之外的个人信息,如果没有了滥用,就没有了买卖和所谓的“泄露”。法律要做的不是保密和防止泄露而是如何有效防治对这类信息的滥用问题。这才是个人信息法律制度保护的正确观念。
第四个观念,区分个人信息和个人数据:个人信息的商业利益属于个人,不能识别出特定自然人的个人数据,其商业价值属于商家。在信息时代的今天,在移动互联网无处不在的今天,只要上网,收集数据在所难免。通常来讲,商家不会把你的N个片断全部收集完,因为N个片断的总和就是我们的个人信息,其商业价值属于我们个人所有,上面承载的人格利益也应该得到保护。如果商家只收到了N-1或者N-M个,顶多是与你有关的数据,因此商业利益是属于收集它的商家所有。据此,如果商家把你所有数据收集全了,按照我的理论,那属于个人所有,如果进行买卖、转让和商业利用,就可能涉及侵权。在任何情况下,只要不匹配出你,商家所收集的即使是与我们有关的数据,也不属于你的个人信息,其商业价值也不属于我们个人。我想一般情况下,只要我们立法这样规定,那么,精明的商家都不会把你的所有数据都收集起来,或者利用大数据技术把你识别出来,否则,对其有害无益,毕竟商家收集我们的数据主要是出于商业营销,而不是我们叫张三,还是李四。如此,商家在收集与我们有关的数据时,就不应该征得我的同意,我们现在照抄欧盟立法的那些做法都应该被废止。如此一来,个人信息保护和数据的自由流通二者界限清晰,束缚大数据产业发展的法律障碍将不复存在了。
第二部分 与谈环节
张建文:
今天刘老师的讲座涉及到的问题域是非常广泛的,从最古典的隐私权到现在大数据产业发展的障碍,给我们有很多新的冲击和启发,中间还提到一些问题,比如对个人信息的看法等等,我逐个来说一下,我大约会涉及到七个方面。
1.个人信息、个人数据包括被遗忘权的关系
根据可视化数据分析,西南政法大学在全国关于被遗忘权的研究,在全国至少排前五名。刘老师提出正确的隐私观,排斥了我们和西方隐私观念的交流。他提出隐私权就是个人信息,实际上严格缩小了隐私权保护对象的范围。大多数人不甚了解隐私和个人信息、大数据包括以被遗忘权为代表的隐私保护到底是什么关系。而刘老师提出三个关联的命题则有很大的价值:一切个人信息都有潜在商业价值,并非所有个人信息都与人格相关,有些个人信息不需要人格权的保护。但是我不同意将隐私权保护的内容限缩到个人信息。
2.死者死后的人格利益保护
目前在很多民法典已经解决了这个问题,比如在北滨路有一个邓丽君音乐主题餐厅,邓丽君肖像、作品都是通过邓丽君基金会授权的,管理人是邓丽君的哥哥。另外谈到隐私的界定,无论是西方人、东方人,哪个种族和民族,我们作为人的本性,对尊严的渴望、对自由的渴望、对安全的需求,才构成了对隐私的最根本需求和最本质来源。尽管每个人的需求并不完全相同,但是我们对隐私的保护本身并不是以个人的标准为标准,而是以社会中我们通常认为可能的隐私为基准,这就是我们通常说的合理隐私期待要解决的问题。所以我不同意“西方讲隐私,东方讲阴私”这一说法。刘老师说要提倡一个正确的隐私观念,是否意味着我们必须和只能立足于本土的阴私观念才是正确的?本土的阴私观念是否又等同于传统文化,更甚之,本土的概念是否可能比西方的更优良,隐私保护的问题来源于人对本性的需求和追求,而并非照搬西方,我们之所以研究欧盟,是想探索其是否有可以借鉴的内容。
3.隐私权保护的对象
1990年天津市一个案件中,法官引用了我国宪法关于住宅权保护的条款,本来宪法规范是将住宅权作为财产权来保护。当时法院通过对住宅权的解释,发展出作为隐私权的住宅权的概念。所以,仅把隐私理解为个人信息并不合理。就因为那个时候我们不但没有隐私权立法上的概念,也没有司法上的隐私利益的概念,所以我们将隐私放在名誉概念中设法来保护。隐私权保护的对象,决不可能仅仅是个人信息。
4.犯罪记录的处理
我国在实践中也并非照搬欧盟,而是因地制宜发展自己的隐私保护文化。在美国,有个梅根法案,所有性侵未成年人的犯罪者将被列入黑名单,即使出狱以后,他们的信息也会被发送到社区中,警示年轻的父母们不要让这些人靠近孩子。而在我国曾经有过案例,如有人起诉法律图书馆网站收录其合同诈骗的裁判文书,还有在社区中,有人将刑事判决书张贴在小区内公示,法院认为刑事判决是国家公文书,不是隐私保护的内容,对要求删除或者承担侵犯隐私权责任的诉讼请求予以驳回。所以我认为在所谓的犯罪前科或者犯罪记录的隐私保护的问题上,我们并没有完全追寻西方国家的脚步。
5.个人信息保护机构的问题
刚才刘老师提到,在英国,60%公民信息被侵犯情形,权利主体是不知道的,这正凸显了靠个人提起诉讼保护权利的方式在个人信息保护的问题上并不起作用,需要设立独立的监管机构,并为个人信息处理人提供一个正当行为的规范。
6.关于大数据产业的发展
刘老师认为,我国个人信息保护照搬欧盟立法,已经成为大数据产业发展的障碍,我坚决不赞成这个观点。高富平老师认为:“促进数据自由流通,才是个人资料法立法的基本目的。”我认为这句话并不恰当,促进数据自由流通,仅仅只是个人资料立法的基本目的之一。所有的个人数据保护,一是保护人的基本权利和自由,二才是促进信息的自由流通。如果我们一味强调大数据产业的发展,而忽略了我们对基本权利和自由的保护,那么我们的生活恐怕没有任何平安和自由可言。在保护个人信息的问题上,人的生存问题更重要,人在信息化背景下的生存问题更重要。
7.隐私和被遗忘权与大数据之间的关系
人的生存与技术发展有非常大的关联,正因为技术的发展,亦将人类生存推向危险的境地。照相机技术和出版业、报纸的普及导致纸浆成本下降,才使得以让人独处为主要内容的古典隐私权问题成为时代必须考虑的难题。个人信息保护的产生来源于上个世纪40年代计算机的诞生,而最初的个人信息保护都是使用自动化设备来处理,随着技术的发展,我们应当不断完善对个人信息的保护手段。当前的大数据时代,其特征是数据处理的智能化、数据规模的海量化。智能技术的发展给我们带来了更大的麻烦,所有网站都在搜集公民的信息,给我们带来的潜在危害是非常大的。欧盟一般数据保护条例第17条规定了删除权,即被遗忘权,它和我们之前研究的欧盟法院设立的针对搜索引擎服务商的被遗忘权并不相同,要求数据控制者,在五种情况下要立即删除信息,而且条文里面用了两个“立即删除”,实现了对被遗忘权更精确的保护。俄罗斯联邦的个人资料立法法也直接规定了搜索引擎服务商的义务。所以,我认为古典隐私权是个人信息权以及被遗忘权发展的基础。古典隐私权是地基,个人信息权和被遗忘权是向上发展的不同阶段,本质上都是对广义隐私权的保护,而且以被遗忘权为代表的隐私权的新发展同时向下兼容个人信息权和古典隐私权。
最后,我要重申和呼吁:在这个时代,让我们更安全、更自由的生活,可能比大数据产业的发展更重要。
谢谢大家。
李媛:
刘教授是中国最早开始研究个人信息的为数不多的学者之一,他对主题内容做了相当精彩的阐释。我主要从三方面进行评议:第一,选题的意义;第二,对被遗忘权应持有的基本态度;第三,给予个人信息财产权保护面临的制度障碍。
首先,我们正在步入的世界,信息的价值受到人们的广泛重视,个人信息中潜藏的价值,已使得机构、企业、公权力部门走在了对个人信息如饥似渴的追逐道路上。信息的交流、传递和获取,在解放我们的同时也在束缚着我们。这不仅源于机构、企业、公权力部门对信息无限度的挖掘、滥用、不当泄露,也源于信息主体对个人信息的主动披露。我们向互联网企业提交个人信息换取便利,我们向国家敞开胸怀以获得保护,我们把数据信息储存在云端,我们将个人的点滴生活在社交网络上分享。而个人信息的收集方式、使用目的及影响后果日趋失控,无论是个人信息保护的理念还是相应的法律制度,都缺乏体系建构。个人信息保护面临严峻威胁,这是一个亟待解决的问题,刘教授的选题非常有意义。
第二,对被遗忘权应持有的基本态度方面,我认为被遗忘权是人们美好的希望,应将其归属于道德范畴中,视为一种美德。在当下,如果将其作为权利来对待,其法权构造并不清晰,它是适时删除个人信息的权利?是特定领域对信息主体负面信息披露与使用的限制?还是不受束缚的自我表达自由呢?与此同时,现阶段,其在技术上也无法得到有效的保障。信息上传到网络上后,由于互联网的特性,即使信息已被移除,该信息的副本仍旧可以从网页快照等高速缓存中或镜像站点中获取。即便用户有权向这些二次站点主张移除与自己相关的信息,但让用户识别出控制、管理这些副本的网络服务提供商也相当困难。被遗忘权主要是网络用户针对搜索引擎公司的权利,但这个权利还和公众知情之间存在冲突,搜索引擎公司接到信息主体被遗忘请求时,为了避免自己被牵入到诉讼中,往往会立即删除相关信息,由搜索引擎公司判断是否应当删除存在正当性与合理性疑问。另外,现阶段。被遗忘权所想达到的法律效果,通过已有的“通知——删除”规则即可实现。
第三,刘老师讲解的过程中多次提到个人信息的财产权保护,提到的信息公开、利用,都是在为个人信息财产权的理念做铺垫。布莱克斯曾经在《英国法释义》中谈到:“没有什么能像财产所有权那样引发人类的想象和情感”。当个人信息成为社会发展所必需且为各路竞争者竞相争夺的资源时,我们发现信息产业几乎攫取了个人信息中的所有财产性利益,而个人才应成为信息财产权之初始性权利的主体。从财产法及财产理论中探索个人信息的保护方案,将会是非常有益的探索。但如何进行合理架构?首先,需要去确立信息财产权的归属。其次,财产权的真正实现还需要能够全面贯彻信息使用的“告知——同意”的规则,但现实情境是,它在实际生活中发挥的效用非常有限,大量情形下,我们的信息未经我们的同意就被他人使用,我们往往对自身信息的储存、处理、披露与商业化利用一无所知。另外,这一规则的弱点体现在,通知个体以征求个体同意的成本有时会超过个人信息所蕴含的潜在价值。另外,在自主退出机制方面,如何保证个体有效地享有退出权,使得信息主体能在遭遇到低劣的信息控制者与信息处理者时选择退出,以防止初始协商不利对个人产生的长期不利影响呢?如何监督信息控制者是否对信息留有副本,有无不当存储,有无非法转让进行商业牟利的行为呢?最后,在损害赔偿制度安排方面,在很多侵害个人信息的行为发生以后,受害者往往并没有意识到自己的信息已被他人非法利用,实际的损失往往难以准确进行估算;单个的个人信息数据的市场价值并不高,在面对诉讼时,每个个体所能得到的损害赔偿金往往还不够支持一场诉讼;侵害信息的行为常常难以被发现,取证也异常困难,如何有效地确立财产权制度,避免其仅仅成为一项我们希望但又只存在于纸面的权利呢?
这是探索个人信息财产权保护制度带给我的疑惑,还请刘教授指点迷津。当我们给予个人信息以财产权保护时,我们应如何跨越财产权制度中存在的障碍,如何在对个人权利给予尊重的同时又能实现信息时代信息经济的持续繁荣?
李俊:
今天刘教授给我们分享了他长期以来逐步形成的关于个人信息保护的学术观点,我也几乎拜读了刘老师所有的作品,今天刘老师分享了个人的核心主张,一是所有个人信息都有潜在的商业利益,二是并非所有的个人信息都与人格利益有关,三是有些个人信息可以不采用人格权的保护方法。很遗憾,我对刘老师的这三个观点都有不同的意见。
1.观点一:所有个人信息都有潜在的商业利益。
首先,“潜在”一词,是指直接的商业利益,还是间接的商业利益?如果是间接的商业利益,那么这个问题就没有提出的必要性。因为很多人格利益包括身份利益,都隐含着财产性的属性,包括肖像权,正因为隐含了财产性的利益,所以在侵权中也必然要加入财产利益的考量。如果说所有个人信息都有潜在的财产利益,我对此存在疑问。商业利益中有一项很重要的内容,就是客户名单。我们从商业秘密的保护角度出发,泄露客户名单会导致侵权甚至触犯刑法,但是不会有任何一家公司会单独要求购买客户名单中某一位具体的客户的信息。在大数据时代,很多APP要求可以享有客户通讯录和地理位置,客户拒绝的后果可能导致享受的服务的不完全性。其实百度、新浪等网站,都设有隐私条款或者保密条款,涉及本网站如何获取客户的个人信息,获取哪些个人信息,这些个人信息网站会如何使用,哪些个人信息的使用需要本人授权,但所有的条款都是格式条款,相信很多人都根本从来不看。如果每个个人信息都有潜在的商业价值,潜在的商业价值怎么实现?在信息化的今天,真正有大数据的都是技术有垄断的大公司、大企业包括政府,个人根本享受不到所谓独立收集大数据的可能。这是第一个问题,刘老师强调的任何个人信息都潜在地和财产利益有关,这个观点我认为是有疑问的,它是否存在直接和间接之别,如果是直接商业利益的话,它的实现如何可能?
2.观点二:有些个人信息可以不通过人格权的方法保护。
这是自从刘老师07年发表文章以后一以贯之的观点,个人信息财产性观点在国内也受到了不少批判。刘老师把个人信息分为个人信息的财产权以及个人信息的人格权,对个人信息的财产权采取财产权的保护方法,对个人信息的人格权采取人格权的保护方法。我认为,这是一种解决问题的途径,但是,如果从解决问题的途径角度来说,为什么不可以通过对人格权保护方法自身的扩张来实现呢?人格权是不直接涉及财产利益的这部分内容,并非不涉及,而是不直接涉及。肖像被人擅自使用,给权利人带来的不仅是困扰,还有对财产利益受到损害的反感和认知。在我看来,有些个人信息可以不采取人格权方法保护这一命题的背后,是否可以推导出这一结论,所有的个人信息都可以采取人格权的保护方法,只不过当前我们的人格权保护的方式手段有欠缺而已。
3.观点三:并非所有个人信息都和人格利益相联系。
我个人完全反对这一观点。个人信息受到侵害,真正侵害的是什么?并非仅仅是电信诈骗的潜在危险,个人信息的泄露只不过为电信诈骗提供了更便捷的通道。让人们担心电话号码泄露的源头在于个人生活安宁权被侵犯,它就是非常典型的抽象的纯粹的人格利益。个人信息泄露导致人格利益受损,民法总则还建立了抽象的一般人格权,还可以把各种基于人格尊严所谓不安的感受拓展化。在人格权的概念外延不断扩展的今天,所有的个人信息都必然和人格利益有关。
其次,刘老师反复强调,必须是N的指向性可识别的链条才叫个人信息,N-1就不能称之为个人信息。但我认为真正的互联网技术,最大的成就和最恐怖的一大特点,就是增加了所有人所有群体的连接点。在人工技术、智能技术蓬勃发展的今天,怎么从法律上保证个人那片天空的纯净?怎么防止个人信息被不当利用?在这种情况下,N-1的领域又应当如何保护?
最后,刘老师认为隐私涉及到法律学、社会学、心理学、经济学诸多领域,我十分认同这一观点。因为作为一个基本概念,大众一定会对它有多角度的解读。隐私不仅是个人的认知,也应当是社会的普遍认知,但隐私不等于隐私权,一个行为是否侵犯了隐私权首先取决于当事人的自我认知,但最终决定于法院的案件审理之中。司法实务中,法官审理案件的时候,判断当事人行为是否侵犯了隐私权的时候,该权利是否是民事法律保护的隐私权呢?法官要根据常识、常情、常理进行基本价值判断。所以,隐私和隐私权的区分并非难题,针对隐私,可以进行多元化解读,而隐私权则仅限法律范围的解读,这种解读不仅仅是学者的权利,还应该听到司法实务界的声音。
洪海
刘老师给我们带来了个人信息法律制度领域的基于大数据背景下的新的基本观念。坦率而言,的确算是关注个人信息保护有这么几年,原来有很多问题没有想清楚的,今天晚上非常有收获,我想可能更多的是涉及到一些问题的请教。有以下几个问题:
第一,是法律对社会关系的调整,经常表现为两种方式:一是随着社会经济的发展,出现一些新问题,我们对现有法律进行解释,以解决现有的纠纷。二是社会经济发展到一定程度,出现了一些既有法律制度无法解决的问题的时候,可能应该有制度的创新。今天所探讨的个人信息保护更多地是涉及制度创新的问题,而非对既有制度的解释。我的疑惑是:“个人信息保护中遭遇的问题,能不能通过传统民法中的姓名权、肖像权、隐私权一些制度去加以解决,而不一定需要消耗高昂的成本去创设一个新的制度。”
第二,《民法总则》第110条列举了一系列的具体人格权,并没有个人信息权。偏偏在111条开篇明确“自然人的个人信息受法律保护”。我们能否将111条解释为个人信息权,或者个人信息能否为一种具体人格权,如果可以为什么不放在110条规定,而要单独列一条呢?
第三,个人信息是否应当有财产化的倾向,曾经我对此持肯定态度。但是结合刘老师所谈,个人信息不同于个人数据,应该是有可识别性的信息,直接识别还是间接识别另当别论。一旦相关的信息失去对特定的主体的可识别性,就不能称之为个人信息。事实上,大数据产业发展的过程中,当前企业利用的所谓的数据,本身很难对特定主体形成可识别性。既然没有可识别性,那根本不值得纳入个人信息的领域中探讨。
例如,现在很多人出行都使用滴滴,滴滴公司拥有客户的出行轨迹,通过用户注册电话号码的来源地,分析城市的游客量,与携程等旅游公司合作创造利润,但利润否认获取和客户的出行轨迹是否有必然的联系?客户从未拥有所谓的数据财产。一旦所谓的数据有可识别性,更多的涉及的是人格尊严、生活安宁的问题。所谓特定的个别主体的信息的财产属性,我认为其财产价值很难衡量。如果个人信息具有财产属性,现行法律背景下,例如侵权法19、20条,亦或是合同法能否保护个人的财产权?所以关于个人信息财产化,这一问题值得探讨,但是实践中我认为很难成立。
最后,我这里想请教一个今天讲座没有涉及到的问题,个人信息保护和国际贸易的发展有重要关系,也就是说,个人信息保护相对健全的国家在设置一种新的贸易壁垒。我想知道此种贸易壁垒在国际贸易实务中是如何操作的,刘老师能否简单介绍一下。
谢谢大家。
推荐阅读
近期好文
实习编辑:李冰阳
责任编辑:戎慧琳
图片编辑:师文、李欣南、刘小铃、金今