华政学报 | 金耀 个人信息私法规制路径的反思与转进
个人信息私法规制路径的反思与转进
作者简介
金耀 宁波大学法学院讲师,法学博士
目 次
一、问题的提出:定位模糊的个人信息
二、个人信息的私法属性辨析
三、个人信息作为具体人格权的理论质疑
四、个人信息法益行为规制路径的展开
五、结论
摘 要
我国个人信息法律规范存在“先刑后民”的特征,模糊的民法定位导致当前个人信息司法救济存在诸多不确定性,也不利于正在展开的个人信息专门立法。学界对于个人信息的私法属性仍存在较大的分歧,隐私权、知情权、人格权的争议尤为突出。个人信息的多重利益决定了其并不适合套用传统隐私权模式,新的知情权模式并不符合我国现行人格权编的定位。基于个人信息利益的多重性与场景性特征决定了个人信息并不适宜定位为具有支配和排他效力的具体人格权,而应作为一般人格权框架下的法益侵权救济。个人信息专门立法宜采用行为规制路径,围绕着实现个人信息多重利益进行平衡机制的创新。
关键词
个人信息 隐私权 具体人格权 行为规制 场景性
一、问题的提出:定位模糊的个人信息
以个人信息为基础的数据产业正蓬勃发展,信息的利用与个人信息保护之间的平衡,已成为当前数据经济的核心议题。但在新经济下,个人信息的泄露、非法买卖等案件频发,导致现行法律规范存在着“先刑后民”的特征,即刑法首先介入规范侵害个人信息权益的行为,而私法领域的个人信息法律规范却呈现出分散状态,尚未形成体系化的法律规范,导致了相关的个人信息案件审理的模糊性与不确定性。为此,《民法总则》第111条首次将个人信息纳入民法领域,《民法典人格权编》也新设“隐私权与个人信息”一章,专门立法《个人信息保护法》当前也正在紧锣密鼓地展开。
遗憾的是,上述立法均未明确个人信息的私法定位,其权利性质与保护路径在理论上的讨论并未随着相关条款的颁布戛然而止,却陷入了更为混乱的局面。例如,有学者主张通过扩张我国隐私权来实现个人信息的民法规范,也有学者通过追溯欧盟“个人数据权”的演进过程,提出我国个人数据权应塑造为综合性的知情权,并以访问权为核心,而非绝对权。民法学者主要围绕着《民法总则》第111条是否创设了“个人信息权”进行了讨论:该条款表明“个人信息权”在民法层面得以确立,个人信息权的构建目标亦是人格权体系下的具体人格权。 个人信息权的各项权能包括访问权、被遗忘权、删除权、可携带权等。也有学者持不同意见,《民法总则》第111条将个人信息利益确定为受法律保护的法益,适用的是行为规制规范,而非权利化模式。个人信息虽受法律保护,但并不是享受绝对权的保护强度,个人信息权利无法成为一项独立性的基本权利。
将个人信息界定为隐私权、知情权、具体人格权、法益保护等不同的私法定位,在理论上似乎均具有一定的合理性。但定位模糊的个人信息导致其民法保护路径难以统一,相关的法律制度构建并不能令人信服,基于个人信息应用的数据产业存在诸多的不确定性。更为重要的是,当前个人信息的民法定位的研究并未充分考虑个人信息法益的特殊性。如何结合这一特殊性,将个人信息融入民法体系,实现多重主体之间的平衡,将是个人信息保护立法的核心议题。
围绕这一议题,本文拟重点回应以下三个问题:第一,个人信息是否是一项独立的权利,即“个人信息权”,其与隐私权、知情权、访问权等权利是什么关系?第二,民法人格权体系下,个人信息能否构成一项新型的具体人格权,个人信息私法保护的特殊性为何?第三,个人信息法益行为规制路径的理论基础为何,如何协调与厘清民法与个人信息保护法之间的关系?上述理论问题的反思与厘清可为正在进行的个人信息保护专门立法提供必要的理论积累。
二、个人信息的私法属性辨析
理论界对于个人信息的私法属性已有较多讨论,总体上看,隐私权、知情权、具体人格权最受学界青睐。个人信息私法规范路径以及相关的制度构建,应当以明晰个人信息的私法属性为前提。
(一)隐私权:旧瓶不宜装新酒
长期以来,我国司法实践中主要是通过隐私权来间接地保护个人信息,早期的个人信息相关案例也大多采用隐私权侵权救济。一方面,个人信息与隐私权的区分一直是理论上的难题,有学者认为个人信息人格利益的本质是隐私权;另一方面,国内学者也深受美国“信息隐私权”(Information Privacy)理论的影响,往往将个人信息置于广义隐私权框架进行分析。基于上述影响,有学者认为我国现阶段立法不应试图以个人信息保护来代替隐私权的保护,而应当先完善隐私权的侵权规则,“若构筑新型权利缺乏有效的救济手段,尚需借助于其他权利进行保护,最佳选择肯定不是另起炉灶”。我国个人信息私法保护能否依托于传统隐私权的侵权救济?本文持否定观点。
其一,权利客体上二者范畴不同。隐私权从来不是逻辑的产物,欧洲担忧大众传媒技术对于个人尊严的威胁,而美国主要是基于政府机关对于个人自由的威胁。而我国理论上的隐私权仅是狭义上的生活安宁权,并不包含积极的信息控制。值得注意是,《民法典人格权编》开始界定“隐私”内涵,草案二审稿第811条规定隐私是“具有私密性的私人空间、私人活动和私人信息等”,草案三审稿与正式版本则在此基础上增加了“不愿为他人知晓”这一要件,突显了隐私内涵的主观性。而关于个人信息的范畴,草案二审稿是将可以识别自然人的各种信息均认定为个人信息,三审稿在二审稿列举的“姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码”基础上新增了“个人邮箱地址和行踪轨迹”,即个人信息范畴呈现扩张态势。应指出,个人信息与隐私的范畴并不完全相同,但如果是自然人“不愿意为他人知晓的私密信息”很大程度上具有“识别个人的可能性”,因而也有可能被纳入个人信息的范畴。总体上来看,二者在客体范畴上存在交叉。
其二,二者保护法益存在不同。隐私权旨在实现个人人格尊严与自由的保护,以个人利益的保护作为根本目的。但个人信息的法益却更为复杂,据学者对欧洲大陆个人数据保护源流的考察,个人数据最早是基本权利或人权意义上的权利。因而,个人的尊严与自由构成了个人信息的重要法益。值得注意的是,相较于隐私权,个人信息法益还包含了财产利益、公共利益等内容。个人信息具有财产价值,并且构成了当前数据经济的重要生产要素已为学界所认识,而在最近的研究中,亦有学者指出个人信息还具有社会公共价值,个人信息的使用应当由社会控制。综上,二者法益的差异决定了不能套用同一套法律机制。
其三,现行立法规范已采二分模式。我国《民法典》第110条将隐私权明确作为一项具体人格权进行保护,并在第111条规定个人信息受保护条款,显然立法者有意对于二者进行区分。而《民法典人格权编》依然遵循了二分的路径,规定了“隐私权和个人信息保护”一章,其中第1034条第3款,明确个人信息中的私密信息可以适用隐私权规定,表明了二者是有实质性区别的交叉关系。早期学者提出通过扩展隐私权侵权规则,将个人信息纳入隐私权,不失为在个人信息规范缺失下的权宜之计。但在我国现行立法进行明确二分模式下,我们更应该在实践中根据具体个案来区分它们,然后确定请求权基础及救济措施。由于个人信息与隐私在概念上不可避免地存在交叉之处,其法律规范的适用问题将是二分模式下的重要内容。
综上所述,我国个人信息的私法属性不应定位为隐私权,我国隐私权的内涵也不同于美国“信息隐私权”的内容。通过解释扩张我国隐私权的范畴以涵盖个人信息的法律规范,并不具有理论和立法上的支撑。
(二)知情权:过犹不及的尝试
有学者通过回顾“欧盟个人数据权的演进”,认为我国要构建的个人数据权并非是以信息自决权为基础的人权,而是应当以构建公平竞争秩序为目的的综合性的知情权,其内部构造上以访问权为核心。这一观点值得肯定,私法领域个人信息的定位并非是人权意义上的权益,基本权利意义上的个人信息权益需要遁入私法权利体系,而以数据主体的知情权或访问权为内核构建个人信息规范不失为新的路径。其以欧盟个人数据保护的法律规范的演进为依据,并对个人信息自决权进行了批判,并建议我国《民法典(人格权编)》构建“个人数据权”,强调其知情权性质,而非绝对权。问题是综合性的知情权能否融入当前我国《民法典》规范体系以实现个人信息的规范价值?笔者对此持否定观点。
首先,知情权的定位忽视了个人信息多重利益的实现。知情权或访问权的定位,是从个人主体利益角度进行的权利构建,信息控制者(企业)更多的是安全保障的义务。这一路径是从信息主体相关利益出发,通过赋予信息控制者义务以实现主体的知情权与访问权。但这一路径忽略了对于信息控制者合法利益的考量,其数据利益也应当是个人信息规范中不可或缺的内容。换言之,将信息主体、信息控制者之间的权利义务关系简化为知情权与安全保障义务是不完整的。
其次,知情权或访问权的定位不足以实现人格利益保护。个人信息立法基于人格权体系旨在实现个人主体的尊严与自由,以知情权或访问权作为权利内核就可以实现主体的人格利益?不可否认,信息主体的知情或者访问是实现主体人格尊严的重要手段,但仍然是不充分的。典型的如,企业隐私政策中也存在着相关的知情或者访问条款,但在概括同意或强制同意下,主体的知情权仍形同虚设。因而,知情权的定位并未实质性地解决主体人格利益的保护问题。
最后,知情权也难以融入人格权体系。论者一方面强调知情权应当是人格权,但又说明其并非是绝对权,与我们传统理论对于人格权定性为绝对权认识不符,难以实现体系的自洽。再者,如果将知情权纳入人格权,也并未说明其他领域的知情权如何进行区分,比如消费者权益保护法中的知情权。当前《民法典》已明确将个人信息纳入人格权体系,如何在人格权体系下构建以知情权为内核的个人信息权,仍有待进一步论证。
综上所述,以知情权内核构建个人信息权利不失为一条新的路径,但该路径可能缺乏充分考量个人主体与信息控制者的利益平衡。个人信息私法属性定位与其规制路径的构建休戚相关,单一地寻求知情权或访问权难以实现个人信息上的多重利益。
(三)人格权:回归体系的论证
隐私权和知情权均不宜作为个人信息的私法定位,早期我国理论界对于个人信息的法律属性,还存在着“人格权”与“财产权”的争论。但随着个人信息规范进入《民法典人格权编》,人格利益保护的私法定位成为主流认识,目前学界的讨论也主要集中在人格权体系。当然在人格权体系下,个人信息的财产利益也具有实现的路径,二者并不冲突。
从实证法上看,个人信息已被纳入《民法典(人格权编)》,但仍需要在理论上论证个人信息定位为人格权的正当性。从比较法上看,个人信息法律规范最初呈现出两个特点。
第一,个人信息的保护源于宪法层面或基本权利层面的保护。典型的如1981年《个人数据自动处理过程中的个人保护公约》确保缔约国保障个人数据被自动处理时得到尊重,美国对于个人信息的保护最初也是基于宪法隐私权,如1974年《隐私法》主要规范政府机关管理的识别个人记录的收集、保存、使用和传播。
第二,个人信息法律规范的重点在于预防政府机关对于个人信息的不合理收集与使用。预防公权力机关对于个人信息的过度收集与不合理使用,构成了个人信息法律保护的最初动因。
个人信息的权利定位不应当脱离其诞生的目的,即主要是规范公权力对于个人信息在基本权利层面的侵犯。随着互联网与技术的发展,不仅是政府机关,一些社会主体如互联网企业也开始收集和使用大量的个人信息,个人信息的法律规范也不再限于基本权利,需从宪法层面落地转化为私法层面的法律规范。
针对这一变化,欧盟采用专门立法方式制定《统一数据保护条例》(The General Data Protection Regulation,以下简称GDPR),而美国则是将个人信息纳入隐私权范畴,通过信息隐私权的侵权救济实现个人信息的保护与利用。尽管个人信息还蕴含了社会利益、国家利益,但不能否认主体的人格尊严与自由仍然是个人信息私法规范的根本目的,因而将其纳入人格权体系具有正当性与合理性。
但在人格权体系下,个人信息的法律属性仍存在着巨大的分歧,即所谓的权利说(具体人格权)与法益说。从个人信息侵权救济的角度看,上述理论的争鸣并不会实质性地影响侵权法救济,但上述不同定位与认识不仅会对数据产业产生不同的影响,而且将会成为个人信息法律制度构建的基础。
三、个人信息作为具体人格权的理论质疑
在人格权体系下,具体人格权成为当前国内学界权利构建的主要目标。如有学者认为传统的间接保护模式和法益保护模式都存在缺陷,基于个人信息自主控制的个人信息的权利保护模式更适合中国的立法和司法实践,主张采用具体人格权模式规范个人信息。亦有学者认为《民法典人格权编》未明确“个人信息权”是当前立法的缺憾。上述论证很大程度上认为个人可以自主控制与支配个人信息,问题是绝对化的具体人格权在多大程度上适用于个人信息规范?上述权利构建是否充分考虑个人信息规范的特殊性?构建具体人格权是否是国外个人信息法律规范的通行做法?
(一)信息自决权无法佐证具体人格权
学者支持个人信息权为一项新型人格权的理由,主要在于对于国外个人信息自决权理论的吸收与借鉴。据王泽鉴先生介绍,个人信息自主权(自决)首先由德国联邦宪法法院于1983年人口普查案创设,人格的自由发展取决于个人有权对抗个人资料被无限制地收集与使用,其内容包括了自行决定何时、何种范围公开个人的生活事实。国内也有学者对信息自决权进行了系统的介绍,是一项原则上由个人自我决定公开和使用个人信息的权利。可以认为,个人信息自决权理论的核心就在于认为个人信息是个人可控的,个人可以决定何时、何地、如何使用个人信息。
依据个人信息自决权理论很容易推导出个人可以自主控制与支配个人信息的结论。作为绝对权性质的具体人格权具有支配性和排他性,似乎非常契合于个人信息的民法定位。但容易为人忽视的是个人信息自决权产生的背景与适用领域,它并不能直接套用到个人信息的私法规范中。
首先,个人信息自决权理论仅适用于宪法层面。欧洲在“二战”后强调人权尊严与保护背景有关,在基本权利层面,德国联邦宪法法院虽然提出了个人信息自决权这一概念,但其无意设定绝对不受限制的个人信息自决权,个人对个人信息并没有绝对的支配权。可以明确,所谓的个人信息自决权诞生于宪法法院,是人权背景下对于个人基本权利的保护,旨在防止政府机关不合理地收集和使用个人信息。因此,个人信息自决权从未成为私法领域论证“个人信息权”的理论基石,个人能否对个人信息进行完全地自主控制与支配本身仍存在很大的争议。
其次,个人信息自决权理论还受制于技术背景的局限性。诞生于20世纪七八十年代的个人信息自决权理论,在当时的技术背景下,不论是政府还是大型企业都无法实现对个人信息的价值挖掘,即个人信息在当时技术下可以被认为是可控的。但在进入互联网与大数据时代,信息的流通与利用技术得到迅速发展,个人信息价值得到不断地挖掘。在这一背景下,若仍然坚持个人对于个人信息的完全支配与控制,既不符合当前的产业实际,也无益于个人主体利益的实现。
最后,即使是在基本权利层面,个人信息自决权仍是受到限制的。据学者研究,他人对信息主体的个人信息享有一定程度的利益,理应具有知悉的权利,这种权利应当受到法律的保护。相应地,信息主体的决定自由就应受到限制。换言之,在宪法层面个人信息自决权也要受到知情权、言论自由等权利的限制,也并非是绝对的。因而,不加转化直接套用宪法领域的个人信息自决权理论用于私法体系中权利论证具有很大的缺陷,甚至有学者认为,“在私法领域个人信息自决权这一观念不仅毫无用武之地,而且如果整个法秩序以其为核心,则很有可能导向信息禁止这一可怕的境地”。
综上,个人信息自决权最早是由德国联邦宪法法院确立,围绕着该权利的讨论其实是一项宪法上的基本权利,主要是基于个人尊严自由的保护,不能直接成为论证个人信息权为具体人格权的理由。个人信息自决权理论并非私法意义上的信息自决权,欧盟GDPR的个人数据权利也从未建立在个人信息自决权的基础之上。至于该权利应当如何落地成为一项私法上的权利法院并没有给出明确的解释。因而,我们不能将宪法意义上的个人信息自决权理论作为论证个人信息为具体人格权的理由。
(二)个人信息权权利客体的理论困境
具体人格权是一项绝对权性质的权利,意味着为不特定他人设定了一项消极义务,这就要求具体人格权的权利客体是相对清晰的。但从权利客体上看,个人信息权利客体的界定与分类仍存在很大的问题。
1. 客体界定:“可识别性”的不确定性
理论上,个人信息一般指的是与个人有关,可直接或间接识别特定个人的信息。这一看似清晰的概念,却在各国法律规范中呈现出不同的内容。个人信息在美国被称为“个人可识别信息”(Personal Identifiable Information),欧盟一般将个人信息称为个人数据,GDPR第4条第1款对此进行了界定。
我国现行法对个人信息的界定也并未统一。《网络安全法》第76条第5款对于个人信息进行了界定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”但全国信息安全标准技术委员会《个人信息安全规范》第3.1条一定程度上扩张了个人信息的定义。第3.1条规定个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。除了能够识别个人身份的信息之外,反映个人活动情况的各种信息也被纳入个人信息的范畴。而我国《民法典》第1034条,把能够识别自然人的各种信息均认定为个人信息,而不限于识别个人身份的信息。
个人信息的内涵在当前立法并不明晰,采用宽泛的个人信息还是狭义的身份信息一直是界定个人信息的难题。个人信息内涵的界定目前采用“识别性”已经基本成为通说,但以“可识别性”作为个人信息的内核,事实上并未明晰个人信息的范畴与边界。
第一,可识别的理解不同。个人信息概念的核心就是可识别性,如美国“个人可识别信息”界定主要依据的是“可识别”与“已识别”的概念。欧盟GDPR序言第26条也将个人数据界定为数据控制者或第三人合理可能性的识别性。因而,可识别性构成了当前学界与立法界定个人信息内涵的核心。但就可识别的标准学界并未达成一致,即可识别性是对于数据控制者而言,抑或是包含了数据控制者在内的任何的第三人?前者是狭义上的理解,而后者是广义上的理解。再者,个人信息的可识别性是指识别自然人的身份,还是包括识别自然人的个性特征?当前立法中对概念的使用也颇为混乱,如《网络安全法》第76条规定显然仅指前者,即狭义上的身份识别,而《民法典》第1034条的界定显然更为宽泛,包含了识别个人的各类信息。因而,立法上对于可识别性标准应当采广义抑或是狭义理解存在分歧。
第二,结合识别的可能性。理论上认为结合识别属于间接识别,通过信息之间的结合间接地识别出个人身份,此类信息也可被纳入个人信息范畴。这种间接结合识别的可能性在互联网环境下尚且容易判断,但在大数据时代,识别的可能性是非常难以量化判断的,任何信息均具有结合识别的可能性。典型的如去识别的个人信息,其重新识别(Re-identification)能力随着技术发展不断增长,不少法律学者与技术专家认为在这一意义上看,可识别信息与不可识别信息不再是一项有实质意义的区分。换言之,随着数据处理技术的发展,以及大量的数据被用于分析,绝对化与不可逆转的匿名信息不再可能。事实上,个人信息的重新识别依据的也是结合识别,通过大量信息的比对与结合还原个人的信息。因而,由于结合识别性的广泛存在,将识别性作为个人信息权利核心会导致权利客体的扩大。
第三,识别抑或关联。个人信息的可识别性构成了个人信息核心概念,但细究欧盟GDPR第4条对于个人数据的界定,其使用的是“关联”(Relating to)这一术语。我国《个人信息安全规范》在附录中明确判断信息是否为个人信息主要有两条路径:一是识别;二是关联,即从个人到信息,个人在其活动中产生的信息也属于个人信息。那么我国个人信息范畴是否也应当采纳“关联”?欧盟第29条工作组认为准确地找到信息与个人之间的联系是非常重要,其界定的关联非常广泛,信息只要在内容、目的或结果上可以联系到个人即可。显然,关联到个人信息从范畴上大于“关于”(About)个人的信息,也突破了以可识别性为内核的个人信息的逻辑体系。
从权利客体上看,所谓的“个人信息权”其权利客体范畴存在极大的不确定性,其主要来源于内核“可识别性”的模糊性。正如论者所言,在所有数据都是个人数据并适用数据保护的情况下,GDPR高度集约且不可扩展的权利和义务制度将无法以有意义的方式维持下去。
2. 客体分类:敏感信息区分的相对性
理论界较为推崇个人一般信息与个人敏感信息的二元区分,对于个人敏感信息给予更强的法律保护。当然,这一理论也体现在相关的立法规范中,如欧盟GDPR第9条列举了敏感特殊种类的信息,我国《个人信息安全规范》附录也不完全列举了个人敏感信息。当前学界对于个人信息的分类也为很多学者所采纳。值得考究的是,上述个人信息的分类可否具有规范意义上的价值?敏感信息的特殊保护能否佐证个人信息作为具体人格权?
本文认为,一般信息与敏感信息的区分具有相对性,不宜成为个人信息法律规范的具体标准,理由如下。
其一,一般信息与敏感信息的区分没有统一标准。各国立法试图为一般信息与敏感信息进行分类,对于敏感信息采取特别的保护,但就敏感信息的内容各国却存在较大的分歧。例如,欧盟GDPR认为种族、政治观点、宗教、工会成员、基因信息等定义为敏感信息,而我国《个人信息安全规范》认为敏感信息是身份信息、生物识别信息、健康生理信息、个人财产信息等。很明显,如种族、宗教这些信息在我国难以认为是敏感信息,而个人财产信息也未被欧盟认为是敏感信息。有学者认为我国个人敏感信息确定应当结合泄露信息是否导致重大伤害、大多数对某类信息的敏感度等因素考量。综上,敏感信息的认定与区分具有地域性,并无统一的标准。
其二,一般信息与敏感信息存在转化的可能性。理论上,区分个人一般信息与敏感信息实属不易,更为棘手的是二者在一定场景下还可能转化。具体而言,当前关于个人一般信息与敏感信息的区分大体都是基于静态的划分,缺少对于个人信息场景、使用目的、使用方法等因素的考量。不同场景下,个人信息的敏感性就完全不同。例如,脸书(Facebook)数据泄露一案中,关于用户个性偏好的信息,如果只是用于精准广告等商业用途对于主体而言也并非是敏感信息,但这类信息用于政治分析并影响选举,上述信息就可能从一般信息转化为敏感信息。因而,当前对于一般信息与敏感信息的区分一般采取静态的列举方式,但某一信息是否具有敏感性的判断必须结合具体的场景,即敏感信息的判断具有一定的主观性。比如说个人通讯录信息是否具有敏感性往往因人而异。
其三,个人一般信息与敏感信息的区分规范价值有限。为个人敏感信息提供更为严格的保护旨在应对损害个人基本权利与自由的巨大风险。但如前所述,由于敏感信息的界定与分类缺乏统一的标准,而且存在主观性而可能相互转化,因而相关立法能否完全据此展开仍存在疑问。有学者认为敏感信息与非敏感信息的划分,并非严格规范意义上的法律术语,并且敏感信息与隐私的关系仍模糊不清。事实上,当前我国立法规范并未采纳此类区分,只是在《个人信息安全规范》中借鉴了欧盟关于“特殊种类信息”的内容。在法律规范上,敏感信息的收集与使用不同于一般信息,往往需要采取严格的主体同意规范,但不能由此推导出需要创设一项新型人格权的结论。理由在于,其仅仅是代表了一类特殊的个人信息,其法律规范无法推演适用于其他个人信息。
将个人信息纳入人格权体系,意味着其法律规范应当区别于隐私权,并非绝对化的保护。个人信息权利客体的界定与分类具有不确定性与相对性,绝对化的具体人格权与个人信息内在的特质相悖。
(三)具体人格权定位不符合立法趋势
当前国际社会个人信息的保护框架,大多数是基于1980年的OECD《隐私保护与个人数据跨境流通指南》、欧盟1995年的《个人数据保护指令》及美国特定领域的立法,有学者将其称为第一代隐私保护框架。可以说该框架奠定了当今世界主要国家个人信息保护的规则,其理论基础在于OECD在《指南》中提出的八项个人信息保护的基本原则。上述基本原则最早又可以追溯至1973年美国提出的“公平信息实践”(Fair Information Practice)原则。可以说,欧美国家个人信息法律规范同源于上述基本原则,但在具体保护个人信息的路径与力度上存在一定的差别,但并未呈现出具体人格权立法的趋势。
欧盟自1995年《个人数据保护指令》颁布以来,成员国大多都建立了各自的个人信息保护法。学者在论及“个人信息权”时,一般以比较法上各国的“个人信息权”作为依据,但深究欧盟新颁布的GDPR,其并未确立一项个人可以绝对控制的“个人数据权”,而只是从保护个人在数据时代的尊严与自由为目的,规定了“个人数据保护权” (The Right to Protection of Personal Data)。正如有学者指出的,欧盟没有私法意义上的个人信息权,而只有个人信息保护权,相关的国际公约均采纳后者的表述。在GDPR实施届满一年之际,欧盟委员会在其报告中认为,强有力的数据保护规则对于保护基本权利“个人数据保护权”至关重要,是数据经济的重要组成部分。从根本上来看,欧盟个人数据保护的根源在于基本人权的保护,即个人的尊严和自由价值,并对其他国家的数据立法产生了重要影响。因而欧盟所谓的“个人数据保护权”是一项基本权利,区别于民法中的具体人格权。
由于其不存在人格权体系,美国立法将个人信息的保护问题纳入隐私权框架体系。在隐私立法层面,美国也缺乏统一的信息隐私立法,其更依赖于特定领域的专门立法(健康、金融、信用、儿童、通信等),借助于较为完备的隐私侵权救济,配合美国联邦贸易委员会强大的行政执法权,隐私保护与个人信息利用这对矛盾体却得到了较好的平衡。事实上,美国的隐私权从其诞生之初就是为了防止政府对于个人生活的侵扰,其根本目的在于保护个人尊严与自由,而无意于赋予个人对个人信息的绝对控制。随着信息技术的发展,美国法上的隐私权衍生出了信息隐私权的概念,还包含了个人信息的保护与利用规则。但不能据此认为,美国也存在类似于隐私权一样的“个人信息权”,美国个人信息立法规范依托于隐私侵权救济体系。而在州层面,美国《加利福尼亚州消费者隐私法》(The California Consumer Privacy Act)于2020年正式生效,旨在通过赋予消费者更多的权利以实现消费者的隐私利益。
因而,纵观当前国外个人信息立法,欧洲国家大多在基本权利层面明确个人数据受法律保护的原则,而美国则依托于广义的隐私权救济体系,并开始在消费者层面尝试专门立法。基本权利层面明确保护原则,在专门立法尤其是消费者隐私立法中进一步细化权利内容、强化控制者义务,形成一套兼顾信息保护与利用的机制构成了当前个人信息立法的趋势。可以说,一些学者倡导具体人格权路径一定程度上并不符合当前个人信息立法趋势。
(四)个人信息法益保护的场景性
民法典不宜设置绝对权性质的“个人信息权”,也不能把个人信息保护条款解释为赋权内容。其根本上在于个人信息法益保护的多元性与场景性。个人信息法益保护的多元性目前学界已经对此有了丰富的论述,国内一些学者已经开始介绍国外个人信息“场景性”理论,但对于该理论如何融入私法规范体系并无统一的认识。
所谓的“场景性”理论,是美国教授海伦•尼森鲍姆提出的,其主张把隐私问题纳入信息流通场景中理解与保护。这一理念深刻地影响了欧美国家个人信息相关立法,并呈现出不同的规范内容。如美国《消费者隐私权利法案》明确采纳该理论,第103节规定企业在收集和处理个人信息过程中,如果场景的使用符合消费者预期的,就无需征得个人同意。在企业隐私自治中,美国隐私风险管理与评估一定程度上体现了场景理论。而在欧盟GDPR中也体现了场景性理论的运用,如该法第6条规定了数据处理的合法性原则并未将主体同意作为唯一合法要件,而是将履行合同、履行法定义务、公共利益也作为合法性基础,亦有学者将其称为“合法利益的豁免”。欧盟GDPR也将场景理论转化为具体的规范,如第25条规定了“通过设计的隐私保护”(Privacy by Design),在数据处理中应采取合适的技术与组织措施。因而,个人信息权益的保护要充分考虑数据处理的性质、处理的范围、处理的场景与目的等,根据个人信息流通与利用的具体场景与情形,结合个案进行判断,即该权益是否应归属于数据主体,以及如何与其他主体进行平衡。法律不宜采用绝对化人格权赋权模式,只需要对此理论或者路径进行原则性的规定。
个人信息权益保护的场景性理论也决定了个人信息权益与隐私权为代表的具体人格权存在很大的不同。隐私利益来源于个人的尊严与自由价值的保护,而且这种保护是绝对的,尤其要预防公权力对于隐私利益的侵害;但个人信息权益虽也来源于人权或基本法意义上的人格尊严与自由,但值得法律所保护的个人信息权益并不是绝对的,其还应当受到社会利益、公共利益的限制,个人信息权益规范应当视具体的场景与情形而定。因而,隐私利益与人格权体系更为契合,这也是隐私利益逐步为司法实践所承认,并从一项法益上升为具体人格权的原因;而个人信息法益判断由于存在场景性特征,其个人信息具体内涵很难通过“可识别性”进行清晰界定,一旦权利的客体无法清晰界定,绝对权的设置毋宁是对他人自由的侵害。
综上,个人信息权益保护的场景性表明,理论上无法运用“可识别性”来准确划定个人信息的范畴,也无法依靠一般与敏感信息标准作为个人信息具体规范依据。基于此,本文认为,民法典个人信息规范并未创设类似于隐私权的具体人格权,其私法规制路径有待进一步构建。
四、个人信息法益行为规制路径的展开
《民法典》将个人信息保护规范纳入其中,体现了民法典的时代性与创新性,但这并不意味着在人格权体系中创立了一项新兴的具体人格权。《民法典》第111条明确了个人信息法益是一种受法律保护的人格利益,适用于一般人格权下的法益侵权救济,而在正在开展的个人信息专门立法应当在此基础上开展行为规范平衡机制的构建。
(一)民法定位:一般人格权下法益侵权救济
理论上,一般人格权是德国法院通过大量侵权判例发展出来的制度,创造了一种框架性权利,在体系上被认为属于《德国民法典》第 823条第1款所规定的“其他权利”一种。一般人格权是一种框架性权益,旨在实现对具体人格权无法规制的法益进行补充的规范。相较于具体人格权具有的支配与排他效力,一般人格权存在“虽有权利之名,但无权利之实”的特征,即一般人格权堪称一个虽有权利之名,却无法说清其归属的利益内容的典型。一般人格权并没有课以他人确定的法律义务,并没有对抗一切他人的功能,一般人格权依然没有归属效能、排除效能和社会典型公开性,“权利的宽大外衣之下包裹的仍然是利益瘦小的身躯”。我国《民法总则》第109条构成了我国民法意义上的“一般人格权”。我国构建了特有的人格利益开放保护模式,即由人格权法中的人格利益保护一般条款,确立一般人格利益的应受保护性,进而通过侵权法实现一般人格利益的开放性保护。换言之,一般人格权本质上仍然是一种利益的保护,而名义上赋予其“权利”称谓只是法政策学上的考量,无法确立一种确定的、排他的绝对权。因而,如果将个人信息定位为一般人格权,并不会导致个人对个人信息的绝对控制支配,而且主要可以通过侵权法救济实现主体利益的保护,从法效果上构建了类似于美国模式的个人信息立法。
如果将个人信息定性为一般人格权,其是否还享有积极的请求权?有学者认为,信息主体依据个人信息立法规范享有积极的请求权即查询权、更正权和删除权等。个人信息权的权能,不仅包括了访问权、可携带权和收益权等积极权能,同时具有更正权、限制或反对处理权以及删除权(被遗忘权)等消极权能。本文认为,根据一般人格权的基本原理,作为一般人格权主体只有消极的防御性请求权,而不具有积极的请求权。如此定位还需要从理论上追问,如何理解欧盟GDPR中规定的“删除权”“数据可携权”与个人信息权益的关系?如前所述,欧盟个人数据保护权下的各项权利是在基础权利层面,需要考虑与其他权利、自由的冲突与平衡,如删除权或被遗忘权的行使是具有条件的,而非主体可以直接支配的。事实上,欧盟上述权利在实践中也遇到了很大挑战,基础权利层面的定位对于数据者控制者限制过大,不利于数据资产价值的实现。因而,在民法典规范中不宜创设具有绝对权性质的个人信息权,抑或是相关的积极权能。
在一般人格权框架下,如何实现个人信息财产要素需进一步明确。个人信息具有财产属性并成为数据产业主要利用对象,一般人格权的定位是否会影响个人信息财产价值的实现?事实上,人格要素的商品化或财产化可为主体带来一定的财产利益,有学者称为是人格要素的释放。人格要素的利用可以间接产生经济价值,从而衍生出人格权的财产属性。 《民法典》第993条明确除了法律规定或根据其性质不能许可的,个人可以将自己的姓名、名称、肖像等人格要素许可他人使用。而个人信息是一种典型的可以许可他人使用的人格要素,个人信息被纳入人格权编,可以通过体系解释将其纳入第993条的适用范围。因而,将个人信息定位为一般人格权,并不影响个人信息财产属性的实现。但应指出,不同于个人信息人格利益,财产利益实现路径主要是通过许可使用的方式,主要是商品化中的违约责任救济。
民法典一般人格权下,个人信息法益保护路径主要依靠的是侵权法救济,这一路径既契合于当前的规范体系,也为个人信息专门立法中制度创新保留了空间。从规范体系上看,个人信息的侵权法保护宜作为个人信息事后救济的最后手段,个人主体可以依据《民法典》第111条、第1167条作为请求权基础。当然,个人信息侵权法救济面临着诸多的挑战,学者从侵权构成要件、因果关系等方面对于个人信息侵权保护规范进行了完善。更为重要的是,法益行为规制路径可以最大限度释放信息红利,促进信息的流通与利用。理由在于这一路径也蕴含着这一结论:除非有法律明确规定,不能直接推定其他主体对于个人信息的利用行为具有不法性。换言之,只要个人信息的利用行为不侵害主体的合法利益,信息控制者的利用行为就具有了合法性。因而,个人信息利用合法性的边界不应当完全交由主体决定,应当根据信息利用的类型、目的、风险等场景因素区别规范,而这一任务应当交由专门立法集中解决。
(二)专门立法:主体权利与平衡机制构建
当前民法典规范体系下,学界的任务并非是对个人信息条款再进行扩张性解释为“个人信息权”,也并非要借鉴隐私权、知识产权、知情权等外部权利进行具体权利构造,而是应当在人格权体系下坚持法益行为规制的路径,寻求在专门立法中完善对于个人信息保护与利用平衡机制的创新。个人信息的私法规范路径应当遵循民法典“法益侵权法救济”+专门立法“平衡机制的创新”的路径。专门立法应当重点考虑以下问题。
其一,完善个人信息财产利益的实现。个人信息主体的人格尊严与自由是私法保护的逻辑起点,主体人格利益保护应成为个人信息法律制度的前提与基础,但不能忽视对于个人信息财产价值的实现。具体而言,个人信息规范应当完善个人信息主体参与数据经济红利的分享机制,如建议将个人信息“普遍免费”模式向“普遍免费+个别付费”模式的转变,个人信息资产化或信托化研究的兴起也旨在实现个人信息的财产价值。再如,欧盟GDPR第20条创设的数据可携权规范,数据主体有权访问自己的数据,并有权要求数据控制者向其他主体传输数据。通过上述利用规则的构建,个人参与数据经济就成为一种可能,并可以据此参与数据红利的分享,获取更好的产品或服务。因而,个人信息商业化利用要在保护个人主体人格利益的前提下进行,通过规范设计充分释放个人信息的财产价值。
其二,探索不同领域的个人信息权利。如前所述,基本权利或者绝对权性质的定位并不符合个人信息法益的特殊性,而是应当结合具体信息的类型、使用目的、场景风险在不同行业领域创设强度适中的主体权利。比如,信息权利可以首先从具体行业领域入手,如澳大利亚《消费者数据权利法案》旨在金融领域构建对于消费者的特殊保护,通过构建消费者访问权以实现消费者对于个人信息的控制,并逐步将此推广至能源、通信、互联网交易等领域。不同行业领域赋予主体多大程度的信息控制权应当是不同的,根本是个人信息法益的多元性与场景性决定的。因而,专门立法不宜规定一揽子普遍适应的主体权利,而是主要采用行为规制的路径,主要对相关的个人信息收集、处理和使用行为进行规范。值得注意的是,新加坡立法即将新增的数据可携权规定并未遵循权利路径,而是采取了数据控制者携转义务(Obligation)的立法表达,体现了行为规制的思路。
其三,平衡多重主体的不同利益。个人信息法益保护与利用之平衡,从根本上来看是个人信息相关多重主体的利益平衡问题,如何实现信息主体、信息控制者、社会机构之间的平衡机制构成了个人信息专门立法的重点。针对这一议题,学界已经意识到个人信息主体利益与信息控制者财产利益平衡,相关的制度构建也均围绕着个人与企业之间的利益平衡而展开。个人信息的公共利益属性也决定了个人信息的制度设计应当将公共机关作为平衡的重要主体之一。此外,利益主体的平衡机制创新还可以积极吸收其他领域的最新成果,如数据伦理理论(Data Ethics),即个人数据的保护与利用除了符合合法性与技术性要求外,还应当符合数据伦理框架。
综上,个人信息主体人格利益的保护是民法保护的逻辑起点,在此基础上还需要进行制度创新,重点在于实现个人参与数据红利的分享,即不仅要实现数据利用过程中对于人格利益的保护,还要设计主体参与数据红利的产生与分享机制。
五、结论
隐私权从来不是逻辑推演的产物,其离不开司法与立法对于该权利的确认,但并非所有的法益都可以上升为一项具体的权利。个人信息法律规范并不是要寻求赋予绝对支配的“个人信息权”,其真正要解决的是个人对于个人信息利用行为的控制问题,即信息控制者对于个人信息的利用不得侵害个人的主体合法利益。个人信息法益的多重性与场景性的特征,决定了其无法套用隐私权而设置一项类似的新型人格权。本文认为,构建绝对权性质的具体人格权并不符合个人信息相关理论与立法的实践,具体人格权的定位将会是个人信息专门立法与制度创新的掣肘。理论界应当采取更为务实的态度,将当前相关的个人信息条款解释为法益规范,而个人信息专门立法宜采用法益行为规制路径,围绕着个人信息多重利益的实现,进行平衡机制的创新。
(责任编辑:吴一鸣)
(推送编辑:冯 丹)
本文原载于《华东政法大学学报》2020年第5期。编辑部在线投稿系统已更新,欢迎学界同仁登录journal.ecupl.edu.cn惠赐大作!