平行还是交叉
个人信息保护与隐私权的关系
《民法总则》制定之前,我国法律对于个人信息保护与隐私权关系的处理有两个基本特点,一是平行适用、互不交叉,二是梯度递进,给予个人信息更高程度的保护。人格权编将隐私权与个人信息保护并列到一起,引入交叉适用的模式,引发不少问题,包括重置个人信息保护与隐私权的关系,将隐私权保护逻辑套用到个人信息保护等。坚持平行适用,立足于整体制度设计,处理好《个人信息保护法》与《民法典》的关系,使不同机制分别发挥各自作用,有利于形成公私法合力的多元治理结构。
关键词 个人信息保护 隐私权 平行适用 个人信息保护法 人格权编
一、平行适用的实践
二、交叉适用的背景与引发的问题
三、坚持平行适用,构筑有效治理结构
个人信息保护与隐私权是两个既有联系又不完全相同的范畴,相互关系本就复杂。加上《个人信息保护法》与《民法典》的规定不完全一致,《个人信息保护法》实施之后,如何认识两者的关系,究竟是平行适用还是交叉适用,是适用《个人信息保护法》还是适用《民法典》,都会是实践中无法回避的疑难问题。有必要从理论与实践结合的视角进行梳理,为法律实践提供指引。随着信息化的迅猛推进,个人信息保护成为各国普遍面临的问题。目前,国际上已经有100多个国家或者国际组织制定个人信息保护法律,突出体现个人信息权的基本权利属性和信息主体控制自己信息的积极权利面向,权项由法律明确列举,由统一的公法执法机制予以保护,立足于系统性风险预防等特点,[1]并建立相应的执法与国际合作机制。[2]与之相反,隐私权是非常开放、抽象、不确定的法律概念,[3]横跨公法、私法不同法律部门,依不同场景有不同的理解。[4]就像一个万花筒,转动到不同的国家、不同的法律部门,会看到不同的图案,由此导致各国隐私权法律大不相同。[5]即使在一个国家内也可能经历很大变化,[6]很难进行一一对应或比较。比如,有的国家将个人信息保护作为隐私权的一部分,有的将两者分离,有的甚至至今仍然不承认隐私权。[7]因此,讨论个人信息保护与隐私权的关系,不能脱离具体国家的场景,更不可能有“一刀切”式的结论。不过,作为参照对象,在对我国的情况进行分析之前,可以指出的是,经过二十多年的探索,欧盟2016年通过的《一般数据保护条例》一改1995年《个人数据保护指令》将隐私权与个人信息保护相互交织在一起的做法,建立起两者之间的平行适用关系,代表着国际社会对这个问题的最新认识。[8]平行适用的基本特征是个人信息保护与隐私权两项制度各自独立运行,相互不交织,依据各自内在逻辑独立进行判断。这样处理的好处是法律关系清晰,分别适用各自的法律,避免了将两个制度交织在一起导致的区分困难。如果某一行为既侵犯隐私又侵犯个人信息,不会影响分别追究相应的法律责任。因为罪刑法定原则的要求,我国刑法中两者的关系一直非常清晰。2009年《刑法修正案(七)》增设侵犯公民个人信息罪,其客体非常明确,是个人信息,而不是隐私,不存在两者的交叉或交织。另外,诸如窃取、收买、非法提供信用卡信息罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,拒不履行信息网络安全管理义务罪,泄露不应公开的案件信息罪,披露、报道不应公开的案件信息罪等,也都是指向信息系统或者(个人)信息,均与隐私无关。我国《刑法》至今仍然没有规定“隐私”概念,侵犯隐私在我国并不单独构成犯罪。如果犯罪行为牵连侵犯公民隐私的,可适用相应的罪名,如侮辱罪,诽谤罪,侵害英雄烈士名誉、荣誉罪等。与《刑法》相反,我国《治安管理处罚法》明确规定对于“偷窥、偷拍、窃听、散布他人隐私的”,可以进行治安管理处罚,而没有将侵犯个人信息行为纳入法律规定中。[9]由此形成刑法制裁侵犯公民个人信息行为,治安管理处罚措施制裁侵犯隐私行为的平行适用体系,法律适用原则非常清晰。并且,对侵犯个人信息的行为以刑法制裁,对侵犯隐私的行为最高只以治安管理处罚,体现梯度保护的立法精神,对个人信息明显给予更高程度的保护。从我国长期将隐私权作为名誉权加以保护的司法实践,以及从刑法修正案近几年来几次将侵犯个人信息相关行为纳入刑罚制裁可以推论,立法机关认为,侵犯隐私权只是普通的民事法律争议,刑法可不予介入;而侵犯个人信息的危害性更大,远远超出民事法律关系,涉及公共安全与公共秩序,必须通过刑法加以制裁。在行政法与行政管理领域,不少立法一直不是非常严格界定隐私与个人信息两个概念的使用场景,有时候单用,有时候并用,有时候互换使用。比如,《行政处罚法》《政府信息公开条例》等属于第一类,将个人隐私、商业秘密并列,不专门列举个人信息。相反,《国家情报法》《消费者权益保护法》等属于第二类,将个人信息、商业秘密并列,不专门列举个人隐私。《数据安全法》《电子商务法》等属于第三类,将个人信息、个人隐私、商业秘密一并予以列举。实际上,这三类不同的列举方式要实现的立法目的是一样的,以不同的方式列举表明立法者对于隐私与个人信息两个概念的内涵以及使用场景缺乏统一的标准。由于行政管理行为均属于管理机关的要式行为,建立在对可识别特定个人信息“处理”的基础之上,即使涉及个人隐私也是以“处理”个人信息的方式进行(隐私被个人信息包含),并且,行政执法机关既无法也没有必要在每个行政决定中去判断是否构成对特定个人隐私权的侵犯,因此,单独列举个人信息就完全可以实现立法与行政管理的目的,实现对个人权利的保护。这一点上,不同于民事生活中个人偷窥、披露、散布、宣扬他人隐私等不需要处理个人信息的非要式行为。可见,上述第一类列举范围不够宽,只用隐私概念不能涵盖全部个人信息;第三类列举有重复和交叉,人为增加法律适用中辨析两个概念的难度;只有第二类列举方式比较合适,既避免两个不同概念的交叉,也有效地界定概念的适用范围。2013年4月,全国人大常委会向社会公布的《消费者权益保护法修正案(草案)》,曾多处同时使用隐私权与个人信息两个概念。消费者的个人信息受保护权是当时修法的重点问题之一,引发各方广泛关注与讨论。[10]最终通过的《消费者权益保护法》只使用个人信息概念,通篇没有使用隐私概念,可以说对隐私权与个人信息保护的关系进行了一次有益的梳理,是值得借鉴的立法范例。尽管行政管理领域的法律文本存在上述问题,但是,如果从行政执法实践来看,不论是四部委对于app的集中整治,[11]还是公安部近几年来的个人信息保护执法专项行动等,[12]整治的均是侵犯个人信息的各种违法行为,最严厉的制裁均是追究与侵犯个人信息相关的各种刑事责任,直接与刑法对接。也就是说,尽管法律文本存在一定的模糊与交叉,但行政执法实践的指向是明确、一致的,聚焦于个人信息保护。《民法总则》制定之前,民法中一直没有规定个人信息保护的内容,《民法总则(草案初次审议稿)》也没有任何个人信息保护的规定,因此不存在隐私权与个人信息交叉的问题。隐私权保护作为民事法律问题主要由民法调整,也可以追究治安管理法律责任;个人信息保护作为公法问题由相关行政管理法律调整,构成犯罪的,追究刑事责任。当然,侵犯个人信息给权利人造成损害的,可以根据侵权责任法追究侵权责任,不会因为民法没有规定个人信息保护无法追究侵权赔偿责任,实践中这样的案例并不少。可见,《民法总则》制定之前,刑法、行政法、民法等不同法律部门,对于个人信息保护与隐私权的关系,体现较为明晰的两个特点。一是平行适用,互不交叉;二是梯度递进,给予个人信息更高程度的保护。这种格局是众多主体在实践中反复互动形成的,体现实践的创造力,实践明显走在理论的前面。[13]这种格局之下,隐私权作为一项具体人格权,是消极防御权利,权项不用列明,通过侵权机制进行保护,致力于个案损害填平等特点。[14]隐私权与国际社会个人信息保护立法的特点正好区隔,平行适用,相互补充。《民法总则》对于个人信息保护只有第111条的规定,属于宣示性条款,与隐私权规定并未形成实质交叉。《民法典》中人格权独立成编,不但沿袭《民法总则》的规定,还将《网络安全法》的内容基本上复制到人格权编中,[15]隐私权与个人信息保护作为其中的一章并列在一起,出现结构交叉。第1032条对于私密信息的规定使私密信息既是隐私又是个人信息,第1033条将处理他人的私密信息作为侵犯隐私权的一种形式明确予以列举,多处出现内容交叉。第1034条关于“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”,确立优先适用隐私权法律的原则,出现适用规则交叉。[16]与《民法典》制定相适应,2020年最高人民法院印发修改后的《民事案件案由规定》,将原先的第三级案由“隐私权纠纷”改为“隐私权、个人信息保护纠纷”,实现案由的交叉。《民法典》实施后,对于原告而言,由于不好判断隐私权与个人信息权益的关系,合理的诉讼策略肯定是同时提起侵犯隐私权与个人信息保护之诉(实践也确实如此),由人民法院进行判断。即使原告不同时提起两个请求,在所有因侵害个人信息引发的侵权纠纷中,也都会涉及判断相关个人信息是否属于私密信息的前置问题。如果属于私密信息,则属于隐私权保护的对象,适用有关隐私权的规定;不构成侵害隐私权的,才考虑是否侵害个人信息权益。简言之,《民法典》适用必须首先区分隐私权与个人信息保护的关系,从交织的链条中辨析究竟侵犯隐私权还是个人信息权益,可称之为交叉适用。交叉适用的基本特征是将个人信息保护与隐私权两个概念以及两项制度交织在一起,在两者的互动中通过辨析相互关系进行选择与判断。从时间维度上看,我国公法对于个人信息保护的立法回应远远早于民法。在2017年《民法总则》纳入个人信息保护以前,从2009年《刑法修正案(七)》开始,包括《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》《网络安全法》等在内,几乎所有与信息化相关的重要文件、标准、立法、机构设置等都会涉及个人信息保护相关内容,各种专项行动一个接一个,投入的政策与法律资源之多其他领域难以企及。然而,一方面,我国公法执法面临的共性问题在个人信息保护领域同样存在,如主要依靠自上而下的政治推动,法治化程度低,政策缺乏连贯性,重建设轻应用等,影响投入的实际效果,甚至投入与产出成反比,投入资源越多效果越差。[17]另一方面,个人信息保护还存在几个特有的问题。一是职能划分不明确,市场监管、网信、工信、公安等各部门的“三定方案”均没有明确涉及个人信息保护的职责。机构改革之后,原工商总局消保局被撤销,市场监管部门没有专门维护消费者权益的内设机构。公安机关面临维护社会治安与公共安全的大量职责,不可能履行一般市场秩序维护职责。网信部门承担互联网信息内容管理、信息化推进与网络安全维护三大职能,个人信息保护只是网络安全维护中的一个部分,既不是核心职能,也远远不到“三分天下有其一”的地步。工信部门传统上只监管电信企业等特定主体,通信管理局(电信监管局)垂直设立到省级,不具备对一般市场主体的监管能力与手段。在这种格局下,各部门推诿扯皮现象难以避免,个人遇到违法行为投诉无门,违法行为蔓延现象难以得到扭转。二是消法、网络安全法等对于执法责任的规定都比较原则与模糊,个别机关长期不执法,直接影响法律的实施。比如,《消费者权益保护法》虽然明确规定个人信息保护的内容,但并未明确履行保护职责的行政主体,并且,第56条实际上进一步固化分散的执法体制,使个人信息保护职责陷入不明确状态,大家都不执法,影响法律有效实施。[18]三是职能划分不明确情况下采取的多部门联合整治方式,临时性特点突出,规范性不足,也难以形成长效机制。四是在互联网快速发展的大背景下,行政管理部门与管理对象之间出现明显的信息不对称现象,监管能力滞后,获取证据难、固定证据难、处罚难、胜诉难,影响执法效果。正是因为上述种种原因,个人信息保护公法执法成效不彰,一些行政执法部门在不作为与运动式执法两个极端之间来回摇摆,缺乏确定性与可预期性,各界都不满意。在全国人大常委会分别进行的《消费者权益保护法》执法检查、[19]《网络安全法》执法检查中,[20]个人信息保护均是重点,从中能清楚地看到问题的症结所在。在公法执法久攻不下、侵犯个人信息成为顽疾的大背景下,《民法典》的介入,既有现实性,也有正当性,是立法者与决策者的必然选择。《民法典》将个人信息保护纳入人格权编,与隐私权一并加以保护,既是人格权独立成编的重要体现,显然也是对个人信息保护执法不力的积极回应,其初衷与价值应该得到充分肯定。并且,民法的介入,依靠的是自下而上的法治推动机制,充分体现私法领域法治化程度高的优势,针对的都是公法执法的软肋。公法执法的短板,几乎都是私法执法的长项。如果两者结合成功,既可以发挥私法机制的优势,又可以激活并推动公法法治化进程迈上新台阶,开创个人信息保护的新天地。当然,机制越多,就越需要相互协调与整体制度设计,处理不好,可能导致不同机制之间的冲突或相互抵消。正是在这个意义上,人格权编引入交叉适用,提供了一个很好的个案,对其他领域的法治建设也有很强的借鉴意义。交叉适用引发的问题主要表现在三个方面:一是隐私权与个人信息保护的关系被重新界定,二是隐私权保护逻辑被适用于个人信息保护,三是人格权编的影响外溢至《个人信息保护法》。交叉适用就需要辨析关系,分清主次。为此,《民法典》从位阶上将隐私权放到主要位置,个人信息保护相对降格,翻转我国法律之前对于隐私权与个人信息保护的梯度递进原则,给予隐私权更高程度的保护,[21]等于完全重构隐私权与个人信息保护的关系。[22]具体表现在以下几个方面:首先,《民法典》第990条明确将隐私权作为人格权予以列举,将个人信息作为其他人格权益加以规定,权利高于权益,从性质上对两者进行区分,奠定给予隐私权更高程度保护的基础,整个规范与制度设计也建立在这一区分之上。其次,作为人格权独立成编的重要理由,《民法典》人格权编第一章规定人格权独立请求权制度,包括第997条规定的人格权禁令制度,以及第995条规定的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权不适用诉讼时效的规定等。作为具体人格权,隐私权受到侵害的,当然可以行使这些权利。至于个人信息权益,从字面含义解释,既然不在规定的范围内,应该不能适用这些规定。[23]再次,深度参与《民法典》制定的学者明确指出,我国《民法典》和其他法律在权益的保护上没有明确的限制,但是在涉及隐私和个人信息保护时,《民法典》是有区别的,将隐私权放到更高的受保护位置。如第1033条在规定侵害隐私权的免责事由时,要求必须经过“权利人明确同意”;但第1038条关于个人信息的处理免责事由里,须经自然人或者其监护人“同意”,没有“明确”两个字。这不是立法疏漏,而是经过反复讨论的结果。说明对个人信息的收集,不一定必须取得权利人同意,也不一定必须是明示的同意,默示的也可以。但是对隐私信息的收集必须是明示的,不能采用默示同意的方法。[24]最后,《民法典》第1034条“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”,等于将隐私权法律规定整体构架于个人信息保护法律规定之上并优先适用,集中体现对个人信息保护弱于对隐私权保护的立法目的。[25]《民法典》对于隐私权与个人信息保护关系的重构,基础在于我国民法理论,即根据个人信息权益的属性,确立位阶等级以及构筑相关的规范。在我国民法理论范畴内,这种权利位阶构造也许有一定的道理。但是,这种理论判断既没有放在我国法律体系的整体结构中进行分析,因而与刑法、行政法等其他法律部门构筑的体系出现明显偏离,影响法律体系的一致性,也不符合国际社会的普遍认知与制度演进趋势。信息时代,个人信息既关涉个人人身权、财产权、人格权的方方面面,也间接关系国家安全、经济安全,成为国家竞争力的重要组成部分。作为具体人格权的隐私权受到侵害,主要是精神损害,根本无法与侵害个人信息可能造成的综合损害相提并论。从更宏观的层面看,给予隐私权更高程度的保护,显然缺乏充分的理论与实践支持。如前所述,由于个人信息保护法律制度的基本特点与人格权保护法律制度的特点正好相反,国际上通行以及我国网络安全法构筑的个人信息保护法律制度的核心是公法与政府监管制度。《民法典》人格权编尽管可以糅合网络安全法的相关规定,但无法整体移植公法运行制度。这样,移植到《民法总则》《民法典》中的相关公法规定最终只能依靠民法制度运行。加之从事民事审判人员知识结构、思维方式的传统路径依赖,徒法不足以自行,必然使得个人信息保护规定被嵌入到民事(隐私权保护)制度运行轨道中,实际上会降低对个人信息的保护,出现与立法初衷相悖的结果。同时,要求交叉适用之后,会改变过去的判断标准,增加法律的不确定性。有法官对北京地区1383份裁判文书进行分析后发现,“北京地区个人信息司法救济主要以隐私权为主。该救济模式将‘个人信息’限缩至隐私权范畴进行保护,排除未明显侵害隐私权但侵害个人信息自决权的侵权行为。单纯依靠隐私权进行个人信息的司法救济在侵权行为及侵权责任认定等方面存在实务困境,无法实现对个人信息的充分救济”。[26]理论与实务部门较为普遍地承认,“《民法典》没有明确区分个人信息保护与隐私权、名誉权等具体人格权项下适用的细微关系,出现个人信息保护相关司法实践较多援引肖像权、名誉权和隐私权等相关规定进行裁决的窘境”。[27]有作者抽取2017至2019年全国适用二审程序裁判的公民隐私权(个人信息)侵权案件数量共计243件进行分析,在抽取的判决中有187份对隐私权概念进行定义,约占76.95%。主要观点体现在两个方面:一是认为隐私权是自然人私生活安宁和私人信息受保护,不被他人侵扰、知悉、收集、利用、公开的权利;二是认为隐私权属于自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配、不受他人非法干预的权利。[28]非常明显,上述两种定义都体现很强的以隐私来界定个人信息保护的倾向。不论是三要件说还是四要件说,在民法制度之下,构成侵权责任,都需要满足法定的要件。[29]首先,需要有损害事实要件。“不愿为他人知晓”的特点决定了侵犯隐私权导致的损害相对容易判断,偷窥、公开、披露他人的隐私往往会带来受害人社会评价降低、名誉受到影响等具体损害后果,可以特定到具体受害人个人,甚至会导致严重的精神损害。相反,海量处理“可识别”特定个人的个人信息,带来的未必都是损害,有可能没有具体的损害,也有可能是正面利益(如捐助、见义勇为行为带来的社会正面评价)。即使带来损害,通常情况下一般认为也只是个人信息被处理后带来的某种焦虑与不安,既不是特定的损害,也不是只针对特定的个人,更难以达到严重精神损害的程度。这样,用民事隐私权逻辑来套用个人信息保护,在大量的案件中往往很难认定具体的损害存在,因此也就难以追究侵权责任,遑论精神损害赔偿。[30]在个别案件中,受害人即使最终能够胜诉,往往因为缺乏损害事实而使得胜诉判决没有实际意义。[31]其次,需要有过错与因果关系要件。隐私权侵权通常是个人行为,受害人特定,责任主体相对明确,整个侵权链条相对清晰,因此,过错与因果关系两个要件都较容易证明。相反,海量处理个人信息的行为涉及对象广泛,信息处理者内部结构复杂,还可能涉及多个信息处理者,依靠单个受害人力量很难获取与固定证据,无法辨析具体侵害主体与侵权环节,无法证明信息处理者存在过错,也无法证明信息处理者行为与损害之间的因果关系。这也就是大量的侵犯个人信息民事案件,原告胜诉非常罕见的原因。再次,由于隐私权侵权相对容易证明过错与因果关系,违法性要件可以被过错吸收,可以不将违法性单独作为侵权责任构成要件。相反,由于侵犯个人信息案件中原告难以证明信息处理者存在过错,公法上的个人信息保护义务与违法性要件就具有特别重要的意义,实际上需要通过查证信息处理者的违法性(违反公法义务)来证明其过错的存在以及因果关系(可参见下文对我国台湾地区相关法律的分析)。如果说一般情况下因为定义违法性比较困难可以不考虑违法性要件,[32]个人信息保护法则需要通过设定信息处理者的公法义务为判断合法性提供明确的标准。套用民事隐私权法律推理逻辑,尤其是简单适用三要件说进行推理,不考虑违法性要件,等于放弃个人信息保护最为重要的法律武器,会极大增加个人信息保护的难度。最后,可识别特定个人信息的范围远远大于“不愿为他人知晓”的信息范围,将隐私权套用到个人信息保护,必然会限缩保护的范围。正是这些原因,导致实践中民法对于个人信息的私法保护规定一直难以落地。[33]民法纳入个人信息保护内容,本意是要加强对个人信息的保护,肯定没有想到会降低对个人信息的保护水平,出现与立法意图相悖的结果。另外,判断隐私权是否受到侵犯,在以往的民事司法实践中,核心的判断标准是看会否导致受害人的社会评价降低,其标准是明确的,也是一致的。至于是否违法处理个人信息,也逐步聚焦到可识别特定个人的信息上。因此,两个判断标准都是明确的,也都是单维标准,彼此边界清晰,便于掌握。人格权编确立交叉适用之后,出现两个变量,法官有可能必须从隐私视角判断个人信息的性质或者分类,以厘清两者的关系,等于是引入另一个全新的二维标准对个人信息进行定性,与以往的实践发生较大的偏离。[34]以“微信读书案”为例,[35]法官最后将个人信息划分为符合社会一般合理认知下的私密隐私、不具备私密性的一般信息和兼具防御性期待和积极利用期待的个人信息三类。对于第三类信息,需要结合信息内容、是否涉及人格尊严等因素判断是否侵害隐私权。如果尚未达到对用户人格刻画的程度,不涉及人格尊严的维护问题,则尚未构成私密隐私,不能成为隐私权的保护对象。不论本案法律推理是否成立,这种以隐私来界定个人信息性质的推理方法明显与以往的标准不同,并导致前后两个标准并存的局面。法官在不同案件中究竟会采用单维标准还是二维标准,以及法官如何阐释新标准,都会面临很大的不确定性。可见,网络时代个人信息面临重大挑战,根源在于公法制度缺位。因应之道,应该是补齐短板,健全相应的公法制度,形成公法私法互补的执法结构。简单将公法规范与制度纳入传统民事救济机制,必然进一步加剧一条腿长、一条腿短的失衡格局,出现与立法目的相悖的结果。《个人信息保护法》在基本框架、立法目的、适用范围、核心概念、基本原则、监管制度、法律责任等方面,充分借鉴国际经验,构造以“告知—同意”为核心的个人信息处理一系列规则,首次在我国确立一整套系统的个人信息保护法律制度,弥补以前立法的缺陷。《个人信息保护法》既没有出现民法中的“隐私”,也没有使用“私密信息”等,平行适用特点鲜明,较为充分地勾勒出个人信息保护法律制度的基本制度禀赋。但是,另一方面,在《民法典》制定强势话语权背景之下,[36]人格权编对《个人信息保护法》起草的影响也显而易见,使《个人信息保护法》多处呈现较明显的两面性特点,可以做不同的理解与解释,既对制度设计带来各种直接影响,也不能完全排除交叉适用的可能性。
人格权编对于《个人信息保护法》的影响,集中体现在如下几个方面:一是在《个人信息保护法(草案)》起草说明中,两次明确强调《个人信息保护法》需要与《民法典》衔接,[37]既未完全明确两部法律一般法与特别法的关系,又某种程度上呼应《个人信息保护法》作为民法特别法的观点,为两部法律的交叉适用留出可能性。二是在个人信息保护的定性上,《个人信息保护法》“个人信息权益”的定位,与人格权编将个人信息保护定位为“其他人格权益”几乎一脉相承,“自然人的个人信息受法律保护”则一字不差照录人格权编的表述,使两部法律的基本定位既似曾相识,又不完全相同,为交叉适用留出余地。三是在义务主体的界定上,《个人信息保护法》第2条对于义务主体“组织、个人”概念的强调,没有从一开始就突出个人信息处理者的地位,体现抓大放小、源头治理的原则,与人格权编对于“组织、个人”与“个人信息处理者”两个概念的使用保持高度的一致,容易引发两部法律之间相关性的联想。[38]四是《个人信息保护法》第13条第(五)项对于新闻报道、舆论监督等行为在合理的范围内可作为处理个人信息依据的规定,与人格权编第999条的规定几乎完全一致,明显都同样体现赋予舆论监督更高价值的共同考虑,为解释两部法律的内在关系留出接口。《个人信息保护法》与《民法典》关系的两面性,在《个人信息保护法(草案)(二次审议稿)》(以下简称为“二审稿”)中得到明显的体现。二审稿主要增加四项《个人信息保护法(草案)》没有规定的内容,引发不少争论。除守门人条款(第57条)外,其他三项内容有意无意都是在与人格权编衔接。一是死者的个人信息权,二审稿第49条,明显受到《民法典》第994条的影响。二是已公开个人信息的处理规则,新增的二审稿第13条第(五)项,明显受到《民法典》第1036条第2项的影响。三是过错推定原则的引入,二审稿第68条新确立的过错推定原则,典型地沿用民法用调整民事责任归责原则达到治理目标的思维方式。[39]
如前所述,由于个人信息权益不同于隐私权,在《个人信息保护法》中直接搬用民法规范与制度必然会导致制度错配的结果。
比如,对于死者的个人信息权问题,必须认识到的是,人格权是消极权,人死亡之后人格权仍然受到保护。死者人格权受到侵犯的,其近亲属有权请求侵权人承担民事责任,以维护死者的人格尊严与利益,也间接保护近亲属的人格权益。[40]相反,个人信息权益本质上是对个人信息的积极控制权,知情同意是其基本特点,人死亡之后无法再行使这种积极权利,也不可能由近亲属代为行使这种权利,否则有可能在网络世界产生死者复活的假象。尤其个人信息往往涉及第三方关系与他人权益,如果由近亲属行使,还可能会对他人权益产生不可预期的影响,对社会关系的稳定性带来破坏。两种权利属性的差别,表明个人信息保护法不能简单搬用民法死者权利保护制度。对于数字化生活方式带来的诸如死者财产查询、虚拟财产转移、社交信息分享等问题,通过现行的死者财产继承、名誉权保护等法律制度基本都可以解决,不需要引入会引发各种连锁问题的死者个人信息权制度。
同样,对于已公开个人信息的处理,需要看到隐私权与个人信息权益的根本差别。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。“隐私权旨在保护非公知的私事。”[41]在人格权法中,已经公开的事项,就不再是隐私,至少可以成为免责的事由。相反,个人信息以“可识别性”为核心考量,凡能够识别特定个人的信息处理活动原则上均需要受到法律保护,不以公开与否作为是否受保护的标准,更不是所有公开的个人信息都不受保护。隐私权要解决的核心问题是私密性与公开性的关系,而个人信息权益要解决的核心问题是个人信息的保护与社会利用,不是一个问题。网络自媒体时代,互联网上的绝大部分信息均是公开信息,多由个人自行公开。并且,网络信息公开通常是一种事实行为,并无特定用途可言。如果以公开作为判断标准,二审稿第28条所规定的“合理范围”“被公开时的用途”等限制条件实际上都会因为无法确定而被虚置,[42]势必使绝大部分个人信息处理活动都游离于法律之外,无法实现保护个人信息的目的。对比一下可以发现,《征信业管理条例》第13条第1款规定:“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。”这里的除外条款隐含有一个国外法律常用的“公共档案”(public records)制度,以合理地界定个人信息保护与社会利用的关系,不是所有已经被合法公开的信息都不需要同意。“新浪微博诉脉脉不正当竞争纠纷案”(也被称为大数据不正当竞争第一案)、“美国脸书公司剑桥分析案”等争议的均是对已公开的社交媒体信息的爬取或分析活动,背后涉及的都是已公开个人信息处理的合法性问题。[43]二审稿对于已公开个人信息不做边界限定,将民法隐私权保护逻辑直接套用到个人信息保护,并从民法免责事由上升为个人信息处理的法定依据,实施中必然引发各种争议。应参照《征信业管理条例》的规定,将“已公开个人信息”的边界界定为“法律、行政法规规定公开的信息”,并以“公共信息”(法律、行政法规规定公开的个人信息)概念代替“已公开个人信息”概念,避免误解。
另外,隐私权作为绝对性和对世性的抵御权利,法律提供保护也就意味着对他人知情权、表达自由的限制,而一个社会的正常运转必须为舆论监督、新闻报道提供保障。因此,隐私权与知情权和言论自由的利益冲突,是隐私权保护必须处理的最核心问题。[44]人格权法对于为公共利益实施新闻报道、舆论监督的行为必须留出空间,以实现不同价值之间的平衡。相较于传统隐私权保护,个人信息权益所涉及的主要问题是个人信息保护与利用之间的关系,所涉利益主体和利益内容更加多元化,[45]不仅仅只是隐私权与知情权之间的关系。个人信息保护不应该成为大数据发展的障碍,不应该妨碍正常的学术研究或者艺术表达,应该为国家数据治理能力的提高赋能增效。《个人信息保护法》参照人格权编规定,仅仅明确列举新闻报道、舆论监督行为的合理使用制度,明显范围过窄,没有充分考虑个人信息保护与社会利用制度的特点,无法充分实现促进信息流动与利用的目的。[46]应该将新闻报道、学术研究、档案管理、统计分析、艺术表达或者文学创作等目的一并加以列举,才能充分体现个人信息保护与利用不同价值之间的平衡。
由于个人信息权益不同于隐私权,沿用民法思路来保护个人信息,也必然会产生各种水土不服现象,最为典型的当属《个人信息保护法》引入的过错推定原则。
《个人信息保护法》对于过错推定原则的规定,存在几个明显的问题:①《民法典》适用过错推定责任的领域,如建筑物、构筑物或者其他设施及其搁置物、悬挂物发生脱落、坠落造成他人损害,堆放物倒塌、滚落或者滑落造成他人损害,因林木折断、倾倒或者果实坠落等造成他人损害等,其范围都是有限、特定的。即使在争议最大的医疗领域,《民法典》第1218条规定,“患者在诊疗活动中受到损害,医疗机构或者其医务人员有过错的,由医疗机构承担赔偿责任”,坚持过错责任原则。第1222条规定,患者在诊疗活动中受到损害,有下列三种情形之一的,才推定医疗机构有过错:“(一)违反法律、行政法规、规章以及其他有关诊疗规范的规定;(二)隐匿或者拒绝提供与纠纷有关的病历资料;(三)遗失、伪造、篡改或者违法销毁病历资料。”可见,《民法典》对于包括医疗损害在内,并未一般性规定过错推定原则,而是严格限定过错推定原则的适用范围。[47]在网络时代,不论是数字产业化还是产业数字化,个人信息处理无处不在,深度融入个人信息处理者生产、交易、流通全流程、全环节、全周期,与每个网络用户的生活息息相关。个人受到的任何损害,几乎都可能与个人信息处理活动相关。因此,对个人信息处理活动严格适用过错推定原则,其范围有可能无限大,几乎可以颠覆以过错责任为基础的归责原则体系,这是其他领域从未有过的场景。②网络时代,数据成为基本的生产要素,而核心是个人信息。正是因为掌握海量的个人信息,平台企业可以实现供需的最佳匹配,为每一位互联网用户提供体验良好的个性化服务。平台企业的价值,就在于其掌握的个人信息以及对个人信息的分析与处理能力。每个互联网用户在享受互联网带来的便利的同时(通常是免费服务),通过将自己的信息提供给平台,等于在不断创造平台的价值,但并没有参与到最终的剩余价值分配中。过错推定原则将个人信息处理者通过信息处理活动所获得的利益也作为个人的损失,势必引发对平台价值分享公平性的终极追问,处理不当会引发无穷无尽的深层次争议。③由于个人信息处理泛在性的特征,牵涉不同平台、不同信息处理者、不同业务流程,平台即使可以证明自己合规也无法证明自己没有过错,就如同个人很难证明自己无罪一样。面对各种争议,平台最终可能只能花钱了事或者采取其他变通措施,并进而刺激更多纠纷产生(包括职业维权活动),制约平台经济的发展。与此同时,过错推定原则不断自我强化之下的民事诉讼机制,必然进一步抑制有效公法执法机制的生成,放大政府监管缺位以及监管能力不足的现实困境,不断加剧一条腿短、一条腿长的失衡格局,与形成有效的数据治理格局越来越远,不符合世界各国制度设计与发展的大趋势。④即使就民事诉讼而言,由于隐私权侵权采取过错责任原则,一旦个人信息保护采用过错推定原则,就要在“隐私权纠纷、个人信息保护纠纷”同一个案件、同一个案由之下,分别适用两个不同的归责原则,导致司法裁判内在逻辑的混乱,极大地增加司法过程的难度和不确定性。
个人信息保护案件中,原告举证难、胜诉难是客观事实。要从制度上解决这个问题,不能就民事诉讼论民事诉讼,更不能只盯着归责原则调整。放眼全球,普遍经验都是基于系统治理原则,更多发挥政府执法与监管的作用,通过公法执法机制弥补私法执法的不足,并从合规与风险预防角度设计制度,从根源上预防风险发生。当然,具体个案中,也可以根据具体案情,通过举证责任的分配,让被告承担更多的举证责任,降低原告的胜诉成本。[48]民事损害赔偿机制只有放在整体结构中设计,才能有效发挥其作用,并形成制度合力。如果只是在民事救济机制尤其是归责原则上找出路,无非是从一个极端走入另一个极端,本质上是一种零和博弈,不可能实现双赢。并且,简单在侵权责任法框架内找答案,可能还会存在基础不牢、理解不准确等方面的问题。[49]
二审稿突然引入过错推定原则,很大程度上应该与对域外立法经验的误读与误解有关,尤其是对我国台湾地区立法的不正确借鉴有关,[50]因此有必要进行专门的辨析。
我国台湾地区1995年制定“电脑处理个人资料保护法”, 2010年修改为“个人资料保护法”。[51]“电脑处理个人资料保护法”第27条规定,“公务机关违反本法规定,致当事人权益受损害者,应负损害赔偿责任”;第28条规定,“非公务机关违反本法规定,致当事人权益受损害者,应负损害赔偿责任。但能证明其无故意或过失者,不在此限”。上述两个条文,经“个人资料保护法”修订后,第28条规定,“公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任”;第29条规定,“非公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。但能证明其无故意或过失者,不在此限”。我国台湾地区“法务部”正式公布的“个人资料保护法”第28条的条目为“公务机关违法之损害赔偿”,第29条的条目为“非公务机关违法之损害赔偿”,官方立场确立的都是违法归责原则,既不是无过错责任,也不是过错推定责任。
我国台湾地区“法务部”整理的立法说明专门解释,将现行条文“致当事人权益受损害者”等文字修正为“致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者”,是为了使其与“国家赔偿法”第2条第2项及“民法”第184条第1项规定用语一致。[52]我国台湾地区“国家赔偿法”第2条第2项明确规定“公务员于执行职务行使公权力时,因故意或过失不法侵害人民自由或权利者,国家应负损害赔偿责任”,显然是过错责任。我国台湾地区“民法”第184条第1项规定,“因故意或过失,不法侵害他人之权利者,负损害赔偿责任”,确立的也是过错责任。
由于我国台湾地区侵权赔偿责任采取“四要件”说,[53]个人资料保护上述两条规定均有“违法性”要求,因此,违法情况下的过错(推定)实际上是“从违法行为推定存在过错”, [54]认为违法通常就意味着有过错。[55]我国民法学通说认为我国侵权责任法采用“三要件”说,《个人信息保护法》第69条也没有规定“违法性”要件,因此,“三要件”框架中的过错推定实际上是“从损害结果推定存在过错”,两者大不相同,我国大陆的过错推定要远远严于我国台湾地区的过错推定。[56]类似的,欧盟《一般数据保护条例》第82条同样规定的是违法(吸收过错)责任,[57]既没有直接出现过错概念,更没有类似我国《民法典》规定的过错推定原则。可见,我们在对域外立法例的理解与借鉴方面,还有不准确的地方。本来应该在《个人信息保护法》第69条中增加“违反本法规定”或者“没有履行本法规定的义务”之类的表述,以突出违法性要件的地位。[58]既然无法修改,那就只能在法律适用中通过对“处理者证明自己没有过错”的解释,突出合规与违法性要件的意义,只要处理者符合《个人信息保护法》的规定,满足合规要求,就能证明没有过错,由此弥补立法漏洞。
可以看到,只有坚持平行适用,才可以避免交叉适用带来的法律关系交织与冲突,降低执法与守法成本,增强法律实施的可预期性。同样重要的是,坚持平行适用,确立《个人信息保护法》的独立法律地位,使不同法律分别发挥各自作用,有利于形成公法私法合力,事前、事中机制与事后机制结合,以预防为主,辅之以有效的执法威慑,法律手段与其他手段互补,多主体参与的多元治理结构。个人信息保护与隐私权的关系以及《个人信息保护法》与民法的关系,只有在这个大视野下,才能明确定位,找准方向。
面对网络时代的新问题、新挑战,往往很难在传统的工具箱中直接找到答案,必须在实践的基础上推动理论创新、知识更新,并探索形成综合解决方案。然而,可以观察到的现象是,不论是路径依赖还是思维惯性,学术界与实务部门很容易依靠过去的经验,旧瓶装新酒,希望以老办法解决新问题。尤其在部门法思维的长期影响下,自觉或不自觉地相信可以依靠自己的部门法包打天下、一揽子解决,不去关注不同法律部门之间如何形成合力,不同机制如何相互协调。在个人信息保护领域,这种现象同样明显。主张《个人信息保护法》是民法的特别法,实质上是民法大一统观念的典型体现,将公私法合作治理关系变成为主从关系,将公法变成为私法的一部分,并期望由民法来一揽子解决个人信息保护问题。稍作比较可以发现,这种毕其功于一役的思路并不是民法的首创,刑法也自觉不自觉采用同样的立场。按照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》确立的标准,大部分侵犯个人信息的行为,都符合侵犯公民个人信息罪的入罪标准,可以直接入刑,根本不需要行政法、民法介入,[59]典型的刑法先行,以刑代民、以刑代行。[60]类似设想如果严格执行,并层层类推,公法私法合作治理格局不可能形成,整个法治手段都可能因为程序与效能方面的考虑而被废弃。[61]其实,这种制度之间缺乏配合与协调,各种制度叠床架屋但效果甚微的现象在我们的制度设计中并不罕见,并因此成为改革必须着力解决的顶层制度设计问题。[62]在各主体都认为可以包打天下的背景下,坚持平行适用,立足于整体制度设计与多元治理,打破部门法壁垒,推动学科融合,就尤其具有重要的现实意义。
坚持平行适用,需要澄清个人信息保护法是民法特别法的模糊认识,更明确体现《个人信息保护法》作为个人信息保护基本法律的宪法地位。[63]笔者在立法机关召开的几次专家座谈会上均建议在《个人信息保护法》第1条中增加规定“根据宪法,制定本法”。这样,既体现个人信息权益源自于宪法对于人格尊严与自由的规定,而不是民法上的其他人格权益,又权威、鲜明地表明个人信息保护法的立法依据。个人信息保护法与民法典是公法与私法的关系,一个规定公法权利与制度,一个规定民事权利与制度,共同构筑个人信息保护的规则体系。宪法依据的确立,也为民法典与个人信息保护法的平行适用奠定基础,在处理疑难问题时,提供终极的适用指南。
与此同时,为厘清个人信息保护法与民法典的关系,还需要对《个人信息保护法》第1条的核心概念“个人信息权益”进行必要的处理。最好的处理方案当然是择一明确宣示公法上的“个人信息权”“个人信息控制权”或者“个人信息受保护权”等概念,以鲜明地区别于人格权编的“其他人格权益”概念。当然,考虑到《个人信息保护法》的立法进程与相关条件,退而求其次,至少需要对“个人信息权益”作统一权威的公法解释,即公法上的权利加利益,而不是《民法典》框架下低于权利的“其他人格权益”。
坚持平行适用,需要“两条腿走路”,使公法、私法有机协调,形成合力。当务之急,是要提升公法法治化水平,解决规定无法落地的现象。如何规定履行个人信息保护职责的部门,并配置以相关的手段,一直是《个人信息保护法》起草过程中的重要问题,也是难点问题,事实上存在主体缺位现象,并对制度与规范设计产生影响。《个人信息保护法》通过后,如何划分履行个人信息保护职责不同部门的职能,如何使其真正聚焦于个人信息保护,如何丰富其履职手段,提高其履职能力,防止懒政、怠政或者武断作为,如何协调行政权与司法权的关系等,都将会是长期挑战,不可能一蹴而就。相比之下,私法制度与机制更为成熟,能力更强,队伍更大。在这种格局之下,各方都应保持谦抑,保持耐心,兼顾短期目标与长远目标的关系,既解决眼前问题,又致力于多元治理结构的培育。缺位不能成为错位与越位的理由,错位与越位也无法从根本上解决缺位带来的问题。
坚持平行适用,必须处理好《个人信息保护法》与《民法典》尤其是人格权编的关系,将事前事中的行政执法优势与事后的司法救济优势充分发挥,既立足于风险预防,又有效制裁违法行为。为此,应坚持司法是社会公正的最后一道防线的基本原则,使司法权与民事诉讼机制既不越位、错位,也不缺位。鉴于人格权编对于个人信息保护的内容大多源自网络安全法,而《个人信息保护法》既是个人信息保护的基本法,毫无疑问也是网络安全法个人信息保护相关规定的升级版(新法)。因此,如果人格权编(交叉适用)规定与《个人信息保护法》(平行适用)规定不一致,实体规定应以《个人信息保护法》为准,然后衔接侵权责任编,并在《个人信息保护法》中为个人信息保护量身定做专门的赔偿标准,解决侵权责任适用于个人信息保护威慑力度不足问题,[64]构筑有效的法律闭环(可称之为“淡化人格权编、强化侵权责任编”)。这样,既能明确法律适用基本原则,也间接解决人格权编对于个人信息保护定位所存在的各种问题。为此,要准确理解并适用《民法典》在人格权编与侵权责任编中对于个人信息权益的不同定位,尽量弥补立法漏洞。
人格权编第990条分两款分别规人格权与其他人格权益,严格区分权利与权益,并明确人格权请求权只适用于人格权。[65]与之相反,从《侵权责任法》开始到《民法典》侵权责任编,一直不区分权利与权益,将两者融合在一起。《侵权责任法》第2条规定,侵害民事权益,应当依照本法承担侵权责任。《民法典》第120条规定:“民事权益受到侵害的,被侵权人有权请求侵权人承担侵权责任。”第1164条规定:“本编调整因侵害民事权益产生的民事关系。”可见,人格权编与侵权责任编在权利与权益的关系上是有明确区分的,是有法律意义的。然而,不少权威观点认为,人格权编第1章关于人格权的一般规定既适用于人格权,也适用于其他人格权益,[66]等于不区分权利与权益。最高人民法院最新发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第9条规定,“自然人有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为,不及时制止将使其合法权益受到难以弥补的损害,向人民法院申请采取责令信息处理者停止有关行为的措施的,人民法院可以根据案件具体情况依法作出人格权侵害禁令”,等于将人格权与其他人格权益给予同等的保护。
由于人格权请求权门槛相对较低,[67]将人格权请求权直接适用于个人信息保护,不但不符合《民法典》的规定,还会使司法权前移、司法行政化,与《个人信息保护法》及其行政执法机制重叠甚至冲突,人为造成各种矛盾。同时,对于信息处理者而言,必然会面临大量的权利请求以及分散的行政与司法管辖机关,陷入难以应付的境地。已经有学者从民法理论角度对给予隐私权与个人信息同等程度的保护所存在的问题进行分析,提出自然人并不能基于个人信息而一般性地享有全部的人格权请求权。[68]有必要从构筑有效的多元治理结构出发,严格按照《民法典》规定界定各种机制的作用范围。
个人信息保护与隐私权的关系看起来是一个立法技术与法律操作问题,背后折射的是我国法治现代化面临的种种深层次挑战。只有从战略层面把握,充分发挥公法、私法等不同治理机制的作用,标本兼治,才能形成合力,提升法治的可执行性与可预期性,实现法治中国的目标,切实维护人民权益。
(责任编辑:贺剑)