本文摘编自于柏华:《处理个人信息行为的合法性判准——从〈民法典〉第111条的规范目的出发》,载《华东政法大学学报》2020年第3期,本文未经原文作者审核。【作者简介】于柏华,浙江工商大学法学院讲师,法学博士。《中华人民共和国民法典》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”就“依法”与“非法”处理个人信息的实质性判断标准,学界众说纷纭、难以统一。对此,浙江工商大学法学院于柏华讲师在《处理个人信息行为的合法性判准——从〈民法典〉第111条的规范目的出发》一文中,以探究《民法典》第111条的规范目的为研究起点和重心,分析保护个人信息的内在价值,进而以此为基础确立处理个人信息行为的合法性判断标准。
对个人信息权的权利属性加以考察的要点,不应该放在个人信息的性质上,而应该立基于法律保护个人信息的目的。依照利益论,权利意味着个体的利益构成了他人义务的证立理由。权利的区分要点在于它们的目的,即它们所意图保障的不同利益。因此,对《民法典》第111条的权利属性的考察要点也就在于它保障的个人利益的性质。(二)《民法典》第111条保障“控制个人信息传播利益”当个人信息被他人擅自处理时,被侵害的利益是众多的。例如,使个人失去对其个人信息的控制;造成信息主体精神不安;个人隐私被曝光等。但只有控制个人信息才属于《民法典》第111条的直接保障目的,除此以外的其他利益都是因控制信息的利益受损而间接、偶然受损。自己决定个人信息如何传播本身就是一种可欲的利益,其不受“自己决定个人信息如何传播”带来的后果和相关个人信息内容的影响。个体控制个人信息传播的意义在于,通过塑造“他人眼中的自己”来建构自己的人格,成为自己所欲的那种人。个人信息权保障的是控制个人信息传播利益,该利益是以个人信息传播为选择范围的自由利益。由于人的社会关联性,他人通过个体的个人信息而看到的“自己”,也属于个体人格的组成部分。个人信息权属于人格权,具有不可转让性,这与信息主体在社会交往中许可他人处理自己的个人信息不矛盾。此外,许可他人处理自己的个人信息而为其带来财产利益的现象,则属于人格权的“商业化”。民法学传统观点认为,人格权经由商业化而产生的经济利益,不能从人格权中分离出去单独成立财产权。对个人信息进行确权应该根据个人信息体现的价值而定。只有当个人信息维护主体财产利益,个人信息权主体许可他人将其个人信息用于商业目的,并向对方转移了财产利益时才应给予个人信息以财产权保护。将一种利益转让给他人意味着被转让的利益具有同一性,即该利益对于转让者和接受者是同一种利益。商务处理者基于处理他人信息所享有的经济利益,不是来自信息主体的让与,而是来自自己的创造,信息主体自身并不拥有这种利益。处理者在了解个人信息的基础上,运用自己的知识、经验所做的进一步判断及基于此判断开展的营销行动,才具有提高营业效率的经济价值。不论在学理上,还是在实在法中,“姓名权”名下的利益都不止一个。“使用自己的姓名、姓名不被冒用和盗用”体现的是身份同一性利益,这被公认为是姓名权保障的核心利益,其实质是通过区分“你我”而实现个体独立人格的建构。而“决定子女的姓名”则体现基于亲属关系的身份利益。依姓名使用的历史文化传统,姓名不仅被用来区别个体,确定个体的同一性,还有标示主体相互关系的功能。“隐匿或公开自己的姓名”则体现的是控制个人信息传播的利益,其意义在于通过自由选择个人姓名信息的传播来“塑造他人眼中的自己”,是个人信息权的保障对象。学界普遍认为,肖像权系个人就自己的肖像是否制作、公开及使用的权利。制作、使用和公开肖像的行为均涉及自我决定个人形象表现的利益。该利益对于个体人格建构的意义在于,通过拍照、绘画等肖像展示来建立自我认同。而个人信息权保护的是个体对个人信息传播的控制利益,通过塑造“他人眼中的自己”来实现人格的建构。这意味着,只有当他人通过某种信息能够识别“自己”的时候,才牵涉到此种利益。因此,肖像权与个人信息权在保障利益上虽然同源,均属个人自我表现的范畴,但泾渭分明,分别针对自我表现的不同事项。在我国,隐私权保护的隐私利益是一种不被侵扰的状态,即私生活安宁与私密信息免为人知的利益。尽管个人信息在概念上包含了私密信息,且通过对非私密信息的分析、比对,也可能从中挖掘出个人的隐秘信息。但控制个人信息传播与私密信息不被公开的利益并不相重叠,两者是不同的利益。控制个人信息传播利益的要点在于“个人信息传播”上的自由选择,其与个人信息的内容是否隐秘无关。而隐私权保障的私密信息不被公开利益的要点则在于不为人知这种状态。虽然个人信息中包含了私密信息,未经许可处理他人信息可能同时侵犯个人信息权与隐私权。但一个行为同时损害多种利益的权利竞合现象不会消除这些利益之间的界限,不会影响相关权利的独立性。
一方面,知情同意是合法处理个人信息的充分条件,这是由《民法典》第111条所保护的控制个人信息传播利益的性质所决定的。尽管由于存在信息主体自身欠缺“知情同意”的能力等情形,使得“知情同意”在保护效果上存在缺憾,但并不能因此否定“知情同意”作为个人信息合法性判断标准的地位。而应通过其他法律规制措施营造“知情同意”得以有效运转的外部社会环境,以确保信息主体做出真正的“同意”。另一方面,知情同意非合法处理个人信息的必要条件,个人信息具有社会属性,个人信息的利用是公共利益的重要组成部分。已有讨论中普遍认为,处理他人的个人信息对于个人和社会生活的正当开展具有重要意义,个人信息权有其限度,应当兼顾个人信息的保护与使用。基于权利的利益论,界定权利范围的关键在于,识别出在何种情况下相关个人利益能够证立他人的义务。由于课与义务总会损害义务人的利益,潜在权利人的利益只有比义务人被损害的利益更为重要,即具有“相对重要性”时,才能证立义务人负担义务。利益的重要性主要由两个因素决定:利益自身的重要性和利益受干涉(侵害)的程度。而判断利益自身重要性的标准有二:该利益构成了人的理想目标(理想利益),以及该利益构成了实现理想目标不可或缺的必要条件(基础利益)。判断行为对利益的干涉程度,则需将被主张的行为与其他可能适用于此语境的行为相比较,比较点主要有力度、速度、效率、几率与持续性。确定个人信息权的边界,需考察不同类型的处理行为分别对信息主体的利益和处理者的利益的干涉程度,以此确定何种情况下信息主体的利益胜过了处理者的利益。个人信息的处理行为多种多样,依照处理主体不同,可将处理行为分为公共管理机关的处理行为与私主体的处理行为;依照处理对象不同,可分为对个人一般信息的处理与对个人敏感信息的处理;依照处理方式不同,可分为传统的非自动化处理与现代的自动化处理;依照处理目的不同,可分为为了公共利益的处理与为了个人利益的处理。欧盟《一般数据保护条例》在相当程度上就运用了上述界定个人信息权范围的方法。
《民法典》第111条保护个人信息的规范目的在于,保护个人控制其个人信息的传播。控制个人信息传播的意义在于塑造“他人眼中的自己”,是个体自由发展人格的组成部分。尽管保护个人信息与个人的财产、隐私等权利有着密切关联,但其并不从属于这些权利。由“控制个人信息传播”的性质所决定,在信息主体“知情同意”的前提下,他人处理其个人信息的行为具有合法性。但基于公共利益考量,未得到信息主体“知情同意”的处理行为也并非都是非法的。此时,处理个人信息的合法性判断,依赖于信息主体的“控制个人信息传播”利益与处理者的处理行为所追求的利益之间的衡量结果。