民法典为个人信息保护确立方向
【核心提示】民法典第1034条规定个人信息受法律保护,将个人信息视为应予保护的民事利益,未将其明确界定为“个人信息权”。这呈现出对个人信息的保护未进行正面确权,将其视为一种防御性利益予以保护的立法态度。
//////////
民法典是对现行民事单行法的一个系统化的编撰,所追求的是法典的形式理性与体系化效应,回应了人民对美好生活的需要。民法典在分则各编的设置与体系安排上,涉及人格权编的讨论最多,人格权编的单独成编成为法典中的最大亮点。面对信息时代频繁发生的“人肉搜索”、非法窃取他人信息等污染网络空间、侵害他人人格权益的现象,这一编的第六章专设了“隐私权和个人信息保护”,用8个条文的篇幅回应了数字化时代人们对隐私与个人信息保护的关切,并对隐私、个人信息的内涵以及个人信息利用的基本规则作出重要规定,也为纳入今年立法议程的《个人信息保护法》留下空间并确立方向。
民法典第1032条对隐私进行了明确界定,列明了禁止侵害他人隐私权的具体行为。隐私权是一项典型的防御性权利,对隐私权的设计,法典重点集中在对私生活安宁、私密空间、私密活动及私密信息的保护上。而个人信息条款的设计,则将重点放在对信息的保护与合理利用方面。个人信息不仅具有人格属性,也存在广泛的商业化利用的现象。民法典考虑到隐私与个人信息的差异,将隐私权与个人信息的保护并行规定在人格权编的不同条文中,这一立法选择,表明我国立法明确区分隐私与个人信息的立场,也创造性地明确了个人信息中私密信息优先适用隐私权予以保护的规则,协调了隐私权与个人信息保护间的关系。
大数据时代,无限度的信息挖掘、信息滥用、信息侵权行为频频发生,人格权编中有关个人信息的规定有6条,涉及对个人信息的界定、收集处理个人信息原则及要求、信息主体与信息处理者各自的权利与义务以及国家机关和工作人员的保密义务四个方面。民法典在这一部分确立了平衡个人信息保护与信息合理使用间的基本准则。在个人信息保护指向的具体内容方面,民法典第1037条规定了个人信息保护中自然人享有的查阅、复制、提出异议、要求更正、请求删除的权益。对近几年国内外讨论较多的“被遗忘权”,没有予以确认。这一立法选择,考虑到当下技术发展无法为这一权利的实现提供配套支持的局限,没有贸然对欧盟所确认的“被遗忘权”进行移植,体现了审慎的立法态度。
民法典第1034条规定个人信息受法律保护,将个人信息视为应予保护的民事利益,未将其明确界定为“个人信息权”。这呈现出对个人信息的保护未进行正面确权,将其视为一种防御性利益予以保护的立法态度。从比较法上观察,全球范围内,对自然人个人信息给予最为严格保护的地区是欧盟,欧盟确认了自然人所享有的个人信息权,明确了个人信息权中的各项权能,其严格保护的法律框架使得欧盟的信息产业发展受到一定程度的影响,落后于美国与中国。民法典对于个人信息的保护立场,有利于推进个人信息无害化利用,促进信息产业发展,也有效回避了将个人信息权确权给自然人后,自然人可能对个人信息中财产性利益提出诉求的主张。这一立法的选择,呈现出对个人信息给予必要保护的基础上,促进信息产业发展的立场。
民法典中关于隐私权与个人信息保护的规定,体现了立法者们的共识。但这些规定体现的是私法领域个人信息保护的基本规则,依照民法典为个人信息保护确立的方向,还有一些涉及自然人信息保护的重要内容需要在《个人信息保护法》中予以规定。
首先,《个人信息保护法》需要在协调民法典第1034条规定的基础上,对个人信息的保护范围进一步明确。民法典第1034条规定,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、行踪信息等”。民法典采用了可识别的标准+列举式规定的方式,界定个人信息的保护范围。对于没有明确列举的类别,是否属于可识别信息,能否纳入个人信息的保护,可能产生争议。比如电子网络信息,这一类信息包括浏览历史、搜索历史以及消费者与互联网站、应用程序商或广告商之间互动的信息。在美国《2018年加州消费者隐私法案》中明确将这类信息列为应受保护的个人信息。而民法典对这类信息是否属于应受保护的信息未予表态。国内Cookie隐私第一案——朱烨诉百度隐私权侵权案(2015)中,法院认为采集用户网上搜索记录进行广告精准推送的行为,不属于对用户隐私、信息权益的侵害。国内判例认定与国际立法的趋势间存在冲突。当立法者采用可识别的标准+列举式方式界定个人信息时,应对现实中普遍存在且与个体紧密相关的这一类电子网络信息,还有与家庭直接或间接相关的信息,如与家庭购物、消费的历史及倾向相关的信息有一个明确、清晰的态度。这对规范市场主体的信息处理活动,保护信息主体的权益,推动数字经济发展等都有重要的意义。
其次,个人信息的有效保护应考虑与侵权责任的协调。当涉及个人信息侵权时,受害方往往难以证明信息处理者主观上存在过错。如果适用过错责任,会导致侵权人以已尽合规义务,不存在主观可归责性为由,逃避应承担的责任。因此,应考虑将个人信息侵权的归责原则确立为无过错责任。另外,因与信息技术密切相关,信息主体往往很难证明自己的信息到底是在采集、处理、传输、储存中的哪个环节、通过哪种方式泄露的。因此,个人信息侵权中,举证责任缓和的制度设计是应予以考虑的方面。与此同时,对信息的采集、处理以及广泛存在的对信息的二次使用,可能对信息主体造成损害。对多个信息处理者之间,对外如何承担责任,是否承担连带责任也应当予以回应与明确。
最后,侵害个人信息的惩罚性赔偿制度也应予以考虑。当信息聚合在一起时,可以产生巨大的经济价值,但是单个个人信息的价值都较小,侵害个人信息造成的损害常常也难以量化。单个的受害人能够证明的损害数额与加害人因侵害行为所可能获得的利益相比,往往不成比例;提起诉讼的成本与受害人可能获得的诉讼收益相比,也不成比例。我们看到,Facebook就剑桥丑闻涉及的泄露用户数据的违规行为,被处以50亿美元的罚款。欧盟《通用数据保护条例》对违规企业的罚款最高可达2000万欧元或全年全球营业额的4%,以较高者为准。而当下,我国民事领域,个人信息侵权中惩罚性赔偿制度缺位,在《网络安全法》中规定的最高行政处罚金额也仅为100万元。这一立法现状不足以产生足够的威慑力,个人信息保护有待加强。因此,相关领域的民事救济措施应考虑规定惩罚性赔偿制度,行政处罚措施应考虑能产生威慑力的罚款金额。
(作者单位:西南政法大学民商法学院)
相关阅读
来源:中国社会科学网-中国社会科学报责任编辑:刘岩 排版编辑:刘岩