华政学报 | 王苑 个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系
个人信息保护在民法中的表达
——兼论民法与个人信息保护法之关系
作者简介
王苑 清华大学法学院助理研究员,法学博士
目 次
一、作为一项基本权利的个人信息保护权
二、独立于普通个人信息使用关系的信息处理关系
三、信息处理关系中的自主利益之民法保护
四、民法与个人信息保护法的适用关系
摘 要
自罗马法始,传统民法就对个人信息上的人格利益予以保护。信息时代的个人信息保护因规范自动化个人信息处理技术对人格的威胁而生,其规制对象为信息处理行为。区别于普通的个人信息使用关系,信息处理关系是信息能力不平等主体间的法律关系,民法所保护的信息处理关系中的法益应被表达为信息处理中的自主利益(或自决利益)。该利益的保护有两个重要前提:一是民事主体之间存在明显的信息能力不平等;二是存在信息处理行为。对个人权益低风险的行为,系普通的个人信息使用,比如个人生活中的信息交往,非为信息处理关系的调整目标,仅民法调整,《个人信息保护法》完全不适用;但是对信息处理关系中的信息处理行为的规制,《个人信息保护法》中的民事条款应当作为民事特别条款,予以优先适用。
关键词
基本权利 第三人效力 信息处理行为 信息处理中的自主利益
自然人作为个人信息的主体,自然人的姓名、肖像等个人信息与其人格须臾不可分离。因此,有学者认为,个人信息作为人的延伸,应当由主体所掌控,体现个人意志。 自罗马法以降,民法就保护个人信息上的人格利益(如罗马私法上侵辱之债, 对自然人的名誉的保护)。传统民法“从法律技术上将人格分割成一个个要素,择其主要者予以维护”, 其保护路径层次非常清晰:首先,对肖像、姓名等边界清晰的人格利益,通过肖像权、姓名权等具体人格权予以保护;其次,对在历史沉淀中已经类型化形成了规范群的隐私利益,提炼出隐私权作为一项具体人格权保护; 最后,边界不明的其他人格利益,则置于一般人格权这项框架权利下。以上为个人信息在民法中表达的第一个层面。本文主要关切的为第二个层面,即信息时代个人信息如何保护?
一、作为一项基本权利的个人信息保护权
个人信息成为基本权利的客体,主要源于信息技术应用对个人权益保护的挑战。20世纪60年代以后,随着计算机技术的不断发展,信息的大量收集、存储和利用成为可能,使个人权益受到侵害的可能性增大,传统意义上具有消极、被动特点的人格权很难适应社会发展的需要。 个人信息侵权逐渐表现为三个方面的新特征。首先,侵权人主要为组织体,自然人作为侵权人的案件甚至可以忽略不计。 其次,侵害手段多样化,且侵害结果具有隐蔽性和持续性。长期、自动、大规模收集、处理个人信息的手段被组织体使用,其收集和处理行为不易察觉,比如“智能音箱记录家庭对话”“大数据杀熟”等。最后,侵害事件具有高发性和高风险性。比如传播他人隐私的行为,在普通个人信息使用关系中,其传播范围窄,且具有偶发性,发生侵权的风险远低于信息处理关系。而在信息时代,个人信息被泄露甚至买卖,大范围低成本传播,风险极大。
美国学者们认识到普通法侵权救济已经不足以应对日新月异的技术发展,为了平衡个人及信息控制组织之间的关系,以威斯丁(Westin)、米勒(Miller)等为代表的学者提出了信息隐私概念,将个人信息的保护纳入了美国隐私权之下,认为个人“有能力控制信息的流通” 或是“个人、群体或组织决定自身信息何时、如何及何种程度与他人进行交流。” 主流观点认为1977年华伦诉罗伊案确认了信息隐私在美国是一项宪法权利。 同时,政策制定者开始通过部门立法寻求新的个人信息保护路径,迎来了20世纪70年代的联邦立法潮。 欧洲为应对技术发展的挑战采取了更为强力的举措,欧洲人权法院解释《欧洲人权公约》(ECHR)第8条第1款时认为该条包含了“使用个人数据对个人进行不可预测的分析可能对言论自由、隐私权和身份权(the right to privacy and identity),以及个人自决造成的影响”。 并在1981年通过了国际上第一个数据保护公约——欧洲委员会《个人数据自动处理中的个人保护公约》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)。2007年《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union,以下简称“欧盟宪章”)更是宣布数据保护为一项独立于隐私权的基本权利。 美国法语境下对隐私权限缩(剔除堕胎等对个人身体的自决等)的信息隐私概念,与欧盟的个人数据保护概念殊途同归。虽然欧美对隐私或个人数据保护路径不同 ,但是个人信息保护作为人权或基本权利保护几乎已成为一项共识。
个人信息保护是一个地道的舶来品,是欧美社会人权制度发展的产物,也是技术发展的附加品。 我国宪法虽然没有如欧盟宪章规定数据保护权,但是个人信息受保护的基本理念实际上也可以从我国《宪法》中找到依据 。1982年宪法修订时增加了“公民的人格尊严和荣誉不受侵犯,禁止用任何方法手段对公民进行侮辱、诽谤或者诬陷”的条款,2004年“国家尊重和保护人权”更是被写入宪法。我国《宪法》第38条、39条、第40条、第41条、第47条、第51条和2004年《宪法修正案》第24条,均可以作为宪法保护的间接依据。 正如周汉华教授所言,“个人资料的收集、处理或利用直接关系到个人资料本人的人格尊严,个人资料所体现的利益是公民的人格尊严的一部分,因此是一种人格权利”。 在其拟定的专家建议稿中,第1条即开章明义,“为规范政府机关或其他个人信息处理者对个人信息的处理,保护个人权利,促进个人信息的有序流动,根据宪法制定本法”。
有学者分析基本权利模式保障个人信息应当作为我国的借鉴对象,原因在于:从现实角度考虑,数据化时代的个人信息保护有急迫性,因为技术的发展正在加大对自由、尊严等价值侵害的风险。 从理论角度出发,只有在基本权利层面确立了个人信息受保护的价值,其他部门法对个人信息保护的规范才有根本性的法律依据和上位法的支撑 。同时,确立个人信息保护权的基本权利属性,厘清其与其他基本权利的关系,也更有利于实现其他基本权利(如言论自由、知情权等)。
二、独立于普通个人信息使用关系的信息处理关系
依据《里斯本条约》(TFEU) 中规范基本权利的要求, 欧盟议会制定了《统一数据保护条例》(以下简称“GDPR”),该法已经成了国际上数据保护领域立法的标杆。有学者指出,个人信息立法规制的重点与其说是个人信息,倒不如说是“个人信息处理活动”。 笔者深以为然。个人信息保护法主要规范的是个人信息处理行为,其中核心是对个性识别分析和分析结果的应用。所以,“个人信息保护法”还可以有一个更为恰当的名字——“个人信息处理行为规制法”。
(一)信息处理行为作为个人信息保护法的核心
从个人信息保护法的发展源流来看,个人信息保护法制定之初,其主要立法宗旨就是要解决计算机处理个人信息所带来的巨大风险问题,处理好技术进步与个人权利保护之间的关系。 早期的很多立法文件和法律,都带上了“计算机处理”和“自动处理”的界定。 比如,1973年美国“正当信息通则”,仅适用于自动化个人信息系统。 该报告的意见成了1974年《隐私法》的基础。而欧洲委员会《个人数据自动化处理中的个人保护公约》最初仅限于自动化处理,随后才逐渐拓展到一般化的个人数据处理。有学者将20世纪70年代时期形成的立法称为“第一代数据保护规范”,该时期的立法以一种功能主义的眼光看待数据处理问题,如果处理问题本身便是问题所在,那么立法就应当瞄准计算机的运作。 可见,个人信息保护是因规范自动化个人信息处理技术对个人人格的威胁而生,个人信息保护法规制的核心是信息处理行为。
我国正在制定个人信息保护法,通过检索个人信息保护国际立法不难发现,即便发展至今,个人信息保护法所调整的,也依然是信息处理行为。 GDPR第2条明确指出,其调整的是“全部或部分通过自动化手段进行的个人数据处理行为,以及通过自动化手段以外的其他方式进行的、构成或旨在构成存档系统一部分的数据处理行为”。同样,德国2017年《联邦数据保护法》第1条第2款第3节中也明确了法律适用范围,“私营机构通过数据处理系统处理、使用或为了此类系统收集个人数据,或者在非自动存档系统中处理、使用或为了此类系统收集个人数据的,适用该法”。
信息处理行为是指“全部或部分通过自动化手段进行的,以及通过自动化手段以外的其他方式进行的、构成或旨在构成存档系统一部分”的行为。 而“构成存档系统”,则仅指“可按照特定标准访问的结构化的个人数据集合”。 这种处理行为,相比普通个人信息使用行为,是高风险的。 甚至有学者犀利地指出,信息处理会导致一种无力和无助的状态,人们缺乏必要的权利和方式有效地参与到个人信息收集、使用和传播过程中。 而个人同机构之间在信息流通过程中的力量不均是其在信息处理上的具体表现。
自2017年《民法总则》生效以来,个人信息民事侵权案件的数量与刑事案件相比极其有限, 这与个人信息保护有关的民事侵权存在维权成本高、因果关系证明困难、赔偿数额低等原因有关。当然,《民法典》生效时间较短,个人信息保护法还在立法进程中,权利主体的权益不清晰,义务主体的义务规范不明确也是原因。但究其本质,恐怕还是因为个人与信息处理者控制和参与个人信息流转的力量悬殊。 原、被告之间的“能力天平”过于倾斜,侵权行为极其隐蔽,当事人对侵权并不知情。以微信为例,2019年其活跃用户已经达到11.12亿户 ,信息主体对腾讯的运营算法及收集方式都知之甚少,更谈不上有效监督,相反,作为信息控制者和处理者的腾讯有技术上和数据体量上无可比拟的优势,完全有能力实时监控。 可见,只有涉及利用信息能力的不平等收集、处理个人信息的行为,才是信息时代保护个人信息的法律真正要调整的。自然人在纯粹私人之间或家庭活动过程中涉及个人信息的行为, 不存在信息能力的显著不平等,显然只是普通个人信息使用行为。
(二)信息能力不平等是信息处理法律关系的本质属性
为了和普通个人信息使用关系作出区分,建立在信息处理行为基础上的个人信息保护法所调整的法律关系,笔者称为“信息处理法律关系”(需要说明的是,此处的处理是抽象处理概念,包括处理的整个生命周期,以下简称“信息处理关系”)。普通个人信息使用关系和信息处理关系的最大区别,在于前者调整信息能力平等的主体之间的关系,而后者调整的是信息能力不平等(也有学者认为是信息不对称 、或持续性的信息不平等 )的主体之间的关系。
个人信息上的利益依赖特定的社会关系而产生,不同的社会关系中会有不同的个人信息利益,即使相同的信息在不同的社会关系中的利益也会有巨大差别。个人信息利益并非一个稳定和静态的法益,而是随着社会关系而动态变化的法益。在普通个人信息使用关系中,平等有序的社会关系决定了个人对其个人信息并没有控制权,只有侵权人利用个人信息侵害法益的时候才可以诉诸于救济,通过人格权和侵权责任制度来保障隐私利益和个人信息上其他人格利益,也即赋予主体一种消极的防御性权利来维护自主; 而在信息时代的信息处理关系中,信息处理行为本身就可能导致人格遭受不必要的侵害,无论信息处理者是否主观上有侵害人格的故意,其处理信息的行为就可能给信息主体带来担忧,因此需要赋予信息主体额外的利益。基于此,个人信息保护法的本质彰明较著——非为保障个人信息作为一种个人自主决定的处分对象,而是在于对收集使用个人信息进行分析以形成与个人有关的各种画像的权力的活动,进行必要的制衡,以尽可能避免权力通过对个人画像,对个人的人格形塑造成负面的影响。
三、信息处理关系中的自主利益之民法保护
个人信息保护法是对主体权益的积极保护,是对处于弱势的信息主体给予一定的倾斜,赋予主体防御性的隐私利益等以外的新的利益来平衡、纠正或反对这种信息能力的偏差。 因此,识别出在信息处理关系中究竟还存在何种利益,而这种利益民法又应当如何予以救济是本文研究的焦点。
在信息处理关系中,因信息能力的不平等,许多学者认为必须赋予个体一种个人信息自决权(或个人信息权)来保护其利益,并且这种权利具有支配性特征,其义务主体负有相应的作为和不作为。 信息自决权来源于德国联邦宪法法院在“人口普查案” 中的解释,是“自我决定权”的一种特殊形态,自我决定的对象是与个人相关的信息。 有学者认为个人信息权是指自然人依法对其本人的个人身份信息所享有的支配并排除他人侵害的人格权,除了被动防御之外,还是一种积极的控制权。 甚至有学者提出,“现在的隐私权法律体系已经变动为以个人信息自决权为中心的法律关系。” 但是将个人信息自决权认定为是一种支配性的人格权,是对这一理论的误读。
(一)个人信息自决权:宪法权利还是民法权利
个人享有信息自决权,即自己决定自己的个人信息及其存储、转让和使用, 须追溯至1983年德国联邦宪法法院“人口普查案”。对信息自决的考虑允许自己决定什么时候、在什么限度内公开自己的生活状态。 其目的是为了确保“国家为个人保留内在空间。在这个空间之内,个人是自身的主宰。因此,个人可以完全排斥外在世界,独自退回内在主体,并享受在其中隐居的权利”。 “人口普查案”的案件背景是联邦政府制定人口普查法,试图对全国进行人口普查,引发担忧和不满。该案通过联邦宪法法院进行诉讼,法院基于德国《基本法》第1条第1款和第2条第1款的一般人格权出发,提出了个人信息自决权(informationelle Selbstbestimmung), 在判决中明确其为一项宪法权利,但是对该权利有具体的适用环境的限制:一方面,该案是针对国家强制的信息收集行为,并未说明对私法领域可以一般适用,任意的扩张没有合理的理论基础, 因为宪法上的基本权利与民事权利在义务人、权利广度、权利保护强度和对义务人的道德要求方面有本质区别; 另一方面,该案将个人信息自决权限制在信息处理关系中,“就此而言,在自动化信息处理技术面前,不再有‘不重要’的信息。” 概言之,在“人口普查案”的背景下,信息自决权的确立主要是防范公权力机关利用信息技术无限度攫取个人信息,或利用获取的个人信息监控、画像个人的可能。 在“人口普查案”中,德国联邦宪法法院强调,个人对数据没有绝对不受限的支配权利。 “个人对自己的信息所具有的权利不是绝对的、无限制的,他只是在社会中发展的独立人格。”
个人与国家的关系与个人相互间的关系有着本质差别,一个受到保障的主观公权力并不能必然推导出一个主观的私权利,这是对宪法上的人格保护和私法上的人格保护混淆的结果。在个人信息保护领域亦是如此。宪法上的个人信息保护必须与民法上的个人信息保护相互区分,因为两者的行为边界很不相同,宪法上的个人信息保护直接对抗国家为方向与目标,而民法上的个人信息保护则需要考虑其他义务人的基本权所保护的自由利益,必须通过构造成套保护设备并结合比例原则确定合理的界线。 因此,我们需要考虑的是,德国联邦宪法法院从《基本法》第2条第1款结合第1条第1款推导出的信息自决权,在多大程度上可以存在于民法中?而该信息自决权对于民法上的“个人信息自决权”保护范围的确定又有何种意义?为了揭示宪法中的个人信息自决权在民法中一直以来的错误表达,有必要就另一德国法上的典型案例进行剖析。
德国学者引述德国联邦法院2009年作出判决的“评师案”, 认为该案认可了民法中的“个人信息自决权”,并同时主张,个案中的利益衡量对于判定是否构成信息自决权侵害,依然必要。其中著名的论断为:被告在公开的网站上评价被告并公开其个人信息的行为,侵犯了原告的个人信息自决(德国《联邦数据保护法》的规定,同时也是人格利益),但是该利益并非不受限制,应当与被告的言论自由利益进行平衡。 该案的判决结果没有太大的问题,对于原告的权益是否应受保护之论述也殊为合理,关键在于诉请中的个人信息自决权是否是该案的保护对象?笔者以为,该案中的原、被告双方实际是普通个人信息使用关系,双方都是自然人,不存在信息能力之不平等,被告也并未从事信息处理行为,因此该案与经“人口普查案”确认的信息自决权之间有巨大的背景鸿沟,德国学界错误地将宪法上的“人格权”和民法上的“一般人格权”混同,得出信息自决权亦是民事权利的一种,其论证并不严谨。私以为,民法中个人信息自决权的适用条件颇为严苛,对于信息能力相当的平等主体之间未利用信息技术进行信息处理的侵权案件,信息自决权不应当适用,比如在“评师案”中,通过传统民法中的名誉之诉或隐私之诉就可以解决纠纷。换言之,信息能力平等的主体之间,未从事信息处理行为,无涉信息自决权。
有学者指出,虽然宪法人格权上的人格利益对司法产生“预示”效力,但这并不意味着宪法人格权能直接传递至民法人格权中。 宪法规范是完全针对国家权力的滥用风险而设计的特殊防御机制,这种机制并非基于对不存在权力差距和不可逃避性的私人关系的担心而设计。 有学者主张在私人领域只要双方权利不平等,就有必要直接适用基本权保障(直接第三人效力说), 然而,直接“第三人效力说”有破坏私法自治精神的嫌疑,正如谢鸿飞教授所言:在基本权利上,私主体之间的关系完全不同于私人和国家之间的关系,前者不可能在根本上侵害自由,而后者则可能。 通过对“人口普查案”和“评师案”的检视,对宪法上的信息自决是否可以不受限制的直接转介成为民法的一项权利,应当有很清晰的结论:宪法无法成为民法的直接渊源,宪法上的信息自决针对的是公权力机关实施的信息处理行为,其中隐含了两个重要的因素:一是公权力机关的强者地位; 二是信息处理行为的高度危险性。因此,如果民法要“借用”宪法上的个人信息自决权(间接第三人效力说或客观价值说), 必须要经过必要性和恰当性的检验,需要论证侵权人是类似于公权力机关一样的“强者”, 此外,还必须证明该“强者”从事信息处理行为。
换言之,“信息自决权”是否可以成为民法保护的民事利益,是有前提条件的,最重要的一点即是必须满足对“强者”制约的要求,即对具有强大支配力的信息控制者/处理者的制约。 对于私主体作为信息控制者/处理者是否是“强者”,相关法律文件比如OECD《隐私保护和个人数据跨境流通指南》认为数据控制者是指“根据各国法律能够决定个人数据内容和使用的主体”;而GDPR中对数据控制者的定义是“单独或与他人共同确定个人数据处理的目的和方式的自然人、法人、公共权力机关、代理机构或其他机构”。可见,“决定”“确定”“支配”等是成为“强者”的必备要件。
而将私主体是否从事信息处理行为作为信息自决权的必要条件之一,学界论述不多。 周汉华教授版的立法建议稿中有很清晰的表达,“处理是指政府机关或其他个人信息处理者根据一定的编排标准或检索方式,以自动或非自动方法对个人信息的收集、存储、使用、交换、公开、修改、删除、销毁等行为”。 “评师案”中的评论者在网络上评论原告的行为,并不构成信息处理行为。个人信息自决权适用范围的盲目扩大,实际上反而有损于宪法所欲维护的保护弱者的价值。 判断信息处理行为,应当有一套合理的判断标准,而非朴素的法感或直觉。
(二)个人信息自决权在民法中的恰当表达
通过对上述两个案例的解析,笔者以为,信息自决权的本质已经昭然若揭。在宪法层面,国家(公权力机关)对个人信息上的基本权利侵害时,应当赋予个体信息自决权;而在民法层面,个人信息自决权的存在空间极其狭窄,仅存在于信息处理关系中。普通个人信息使用关系中不能适用信息自决权的主要原因有三。一是普通个人信息使用关系中,个人信息的获取、交流和利用是信息交往的必要,强化信息自决会阻碍正常交流。换言之,在普通个人信息使用关系中,当法律致力于保护个人的信息自决时,与该自决权相对立的不特定的义务人的自由将受到侵犯。立法者如果将所有各方当事人的利益诉求均纳入考虑范围,则会意识到,普通个人信息使用关系中的信息自决必要性不大,因而在GDPR中才会将“自然人实施的纯粹个人或家庭活动”排除在其适用范围之外。二是普通个人信息使用关系中对人格利益的保护,是为实现人格尊严、个人自由和独立自主,均为人基于内在规定性而在共同体中对自己人格利益所享有的不受非法侵害的利益,实质上依然是一种防御性的权利。 普通个人信息使用关系中,造成人格利益受损,通过救济隐私权、肖像权及其他人格利益已足以对侵害个人信息的行为予以保护。三是普通个人信息使用关系通常不具有高度风险性,正常社交中涉及的个人信息侵权,虽然也可能对个人造成损害,比如通过贬损方式,造成名誉权受损,但是多数情况下传播范围窄、危害性低。而在信息处理关系中因互联网传播的特点,其传播范围广、影响更坏。
在普通个人信息使用关系中确立个人信息自决权最大的恶果,是将宪法人格保护框架内希冀实现对抗国家的措施,直接应用于对抗不特定的私主体,也就是不特定的第三人必须为自己的每个涉及使用自然人个人信息的行为接受法院的合法化审查,显然是不切实际且不合理的,这种对他人自由的干涉,远远超出了对个人信息保护的必要。德国教授Ehemann也指出,若此,公民相互之间自然的交往遭到强烈的限制,对个体人格广泛的法律保护会牺牲过多自由权。 宪法基本权的客观价值辐射于私主体之间,但是,这并不意味着所有的价值都要以相同的范围和相同的类型和方法来加以保护。 亦即,对个人信息自决权这项基本权利在民法中的规范构造,应考虑到私法交往的独特属性。对于宪法上的个人信息应受保护的价值在私法领域的作用,并不能一般化作用于所有的私主体,而是应当区分普通个人信息使用关系与信息处理关系。
在信息处理关系中,出于对“弱者”的信息主体的保护,笔者以为应有自决利益存在。为平衡信息主体和信息控制者的信息能力,应当给予信息主体额外的自主利益,这种利益是信息处理关系中独有的,不是隐私利益,而是一种为了保护其他利益而单独赋予信息主体的特殊利益,笔者称为“信息处理中的自主利益”。该利益具有独立性,单独侵害该利益并不必然侵犯其他人格利益,其存在的目的是为了让信息主体有能力干预信息处理过程,以防范信息主体的其他利益受侵害的风险。
信息处理关系中的自主利益,并非与隐私利益平行并列的利益,而是隐私利益和其他人格利益的前置利益(前置保护规范)。讨论信息处理关系中的自主利益的前提是,必须将该利益从其所保护的隐私利益与其他人格利益中剥离出来,否则就会导致利益保护的混淆。为实现“信息处理关系中的自主利益”,个人信息保护法通常也赋予信息主体干涉个人信息处理过程的机会,这些机会表现为针对信息控制者和处理者的一系列积极请求权。 申言之,该利益是个人信息保护法中信息主体利益上的抽象,也只有在个人信息保护法、《网络安全法》等法律法规涉及的信息处理行为中才存在该利益。该利益在民法中的表达,可作为一般人格权中的一类人格利益予以保护,但该利益的存在应当符合上文所说的“强者”及“信息处理行为”两个限定条件。
四、民法与个人信息保护法的适用关系
《民法典》人格权编第六章“隐私权和个人信息保护”中第1034条至第1039条是对《民法总则》第111条的具体规定,建立在私法上的“信息处理关系中的自主利益”之上而构建。其中第1034条对个人信息的概念进行了定义及一般列举,明确了个人信息“识别性”的核心特征,并规定了和隐私权的适用关系;第1035条是处理个人信息的原则性条款,另外该条还对处理的条件做出了规定,包括了“知情同意”“透明公开”“目的限定”及合法性等。第1036条为行为人(信息处理者)的抗辩事由,列举了多种不承担民事责任的情形。第1037条明确了自然人(信息主体)的权利,包括“查阅、复制、异议更正、删除”等。第1038条从信息处理者的义务角度明确了信息处理的规则,包括不得泄露、篡改,未经同意不得非法提供、安全保障义务和报告义务等。第1039条是国家机关及其工作人员(公职人员)收集处理个人信息的特殊规定。从《民法典》关于个人信息的条款可以看出,立法者已经对个人信息的内涵、个人信息的解释、个人信息的收集使用边界等问题形成了相对完善的规范。
问题在于,《民法典》中的个人信息保护条款与即将出台的《个人信息保护法》中的相应条款是何关系?人格权编对于建构个人信息保护规范体系的意义何在,民法是否可以作为个人信息保护法的立法依据或者上位法?正在制定的《个人信息保护法》是否要与《民法典》保持高度一致呢?如果不一致,应当优先适用哪部法律?《个人信息保护法》出台在即,这些问题的解决迫在眉睫。
有学者认为,《个人信息保护法》并非《民法典》之特别法,而是一部对个人信息保护进行全面规范的兼具公法与私法属性的综合性法律。 也有学者则认为,因为个人信息保护具有民事权利属性,个人信息保护法属于民法特别法。 笔者以为,个人信息主体利益应当视作基本权利来对待,而民法仅作为保护民事权利的法律,恐怕难当保护基本权利之重任。不可忽略的是,民法作为一种组织社会的工具,是通过对冲突的利益关系设置相应的协调规则来实现自身调控社会关系的功能。 王轶教授将现代意义上的民法分为强式意义上的平等对待及在特定领域中的弱式意义上的平等对待, 后者比如《消费者权益保护法》(以下简称《消保法》和《劳动法》)。笔者以为,在个人信息保护和利用领域理由亦同,实际上信息能力不平等的主体之间的利益关系——信息处理关系也属于弱式意义上的平等对待,从目的论,个人信息保护法是为了平衡主体之间的强弱地位(这里的强弱不仅仅是经济上的,主要是信息不对称),是类似于《消保法》和《劳动法》的政策型特别民法,追求“作为公平的平等”,法律赋予弱势的信息主体以特权,实质是为了保护理想的自由状态。
民法的现代转向,是近代民法的意思自治原则被意思自治与国家的保护性干预相结合原则所取代。 《个人信息保护法》是现代民法除《消保法》和《劳动法》之外的新的典范:具有平等地位的群体之间,为了协调不同的利益团体、平衡不同的社会力量,立法者代替当事人决策做出一定的制度安排, 作为一部管制色彩与自治色彩交相辉映的法律,《个人信息保护法》的立法应当兼顾自治和管制的平衡,既不给予个人绝对的私人自治权(个人信息自决权),也并非完全采取行政法的路径成为一部行政管理法。于此,《个人信息保护法》中的民事规范应当作为民法的特别法来看待。但是,需要注意的是,《个人信息保护法(草案)》并未区分公、私主体的信息处理者,公权力机关处理个人信息的规范,明显不属于平等主体之间的规范。《个人信息保护法》是一部综合性的法律,信息处理关系包含了公法调整和私法调整两个部分,但毫无疑问信息主体与私主体的信息处理者在法律地位上依然是平等的,信息处理者在收集处理使用个人信息的过程中必须尊重信息主体的人格完整。
在二法的适用上,与其徒增法律适用的烦恼,不如在《民法典》人格权编只对个人信息保护作出原则性和转介性规定,将具体的保护规范交给个人信息保护法。这才是理想的路径。申言之,就信息处理关系中自主利益受损害的认定,通过引介至侵权编援用保护性法律的规则,行为不法性则根据是否违反《个人信息保护法》《网络安全法》等规定来判断。该路径理论上有两点优势。首先,可以保持民法典的稳定性和纯粹性,信息主体权利和处理者义务必然随着技术的发展经历快速的变革,例如,因自动化决策技术的发展,欧盟立法中新增了信息主体反对自动化决策的权利;因搜索引擎可以搜索过时、无关且不必要的信息,增加了对“被遗忘权”的规定。而民法典不宜频繁修改,很可能对信息时代技术和人格保护之间的张力和冲突无计可施,反而削弱了法典的权威性。其次,《民法典》对个人信息保护条款规定得过细,徒增与即将出台的个人信息保护法之间适用上的困难,比如个人信息的范围规定得不一致、私密信息和敏感信息的关系难以厘清等问题,反而不利于主体权益的保护。当然,目前《民法典》作为一部根本大法已经生效,动辄大动干戈进行修法显然不符合实际,因此虽然笔者更倾向于该条路径,但仅从学理层面进行探讨。
第二条路径是既有规范体系下的权宜之计,需要更全面和更精细的设计。首先,《民法典》中区分不同的法律关系保护个人信息。普通个人信息使用关系中,受到侵害的利益仅限于隐私利益、肖像利益、姓名利益或其他的一般人格利益,并不存在信息处理中的自主利益。而在信息处理关系中,信息处理中的自主利益应当受到保护,也即信息主体应可施加积极的干预或控制,来及时参与、反对、修正信息处理行为可能对人格形塑的负面影响。因此,普通个人信息使用行为侵犯权益,应当寻求具体人格权或一般人格权作为请求权基础;信息处理行为侵犯权益,应适用个人信息条款,对信息主体的权利之被侵犯和信息处理者的义务之不履行进行判断,同时侵犯如隐私权、肖像权、姓名权、名誉权等其他权益的,共同适用(私密信息则优先适用隐私权规定)。其次,个人信息保护是规范的体系建构,仅仅通过《民法典》的6个条文规定是不充分、不完全的,因此需要通过《个人信息保护法》对《民法典》中的缺漏进行补足,例如,对于主体权利,《民法典》目前仅规定了信息主体有“查阅、复制、异议更正、删除”的权利,但是否有被遗忘权、是否有拒绝自动化决策的权利,留待个人信息保护法进行论证补充;此外,《民法典》对于信息处理应遵循“合法、正当、必要”原则,对原则的解释在《个人信息保护法》中可以有所具体化等。最后,当《个人信息保护法》中的民事行为规范与《民法典》的行为规范发生冲突的时候,《个人信息保护法》的民事行为规范应被视为《民法典》的特别条款,根据特别法优于一般法的原则,应当根据《个人信息保护法》来判断行为不法性,只有在《个人信息保护法》中没有明文规定时,才适用民法一般条款。
因此,普通个人信息使用行为对个人权利相对风险较低,比如个人生活中的信息交往等,非为信息处理关系的调整目标,仅民法调整,《个人信息保护法》完全不适用;但是对信息处理关系中的信息处理行为的规制,《个人信息保护法》适用优先,此外适用《民法典》一般规则调整。
(责任编辑:陈越峰)
(推送编辑:曹艳琴)
本文载于《华东政法大学学报》2021年第2期。阅读和下载全文pdf请点击下方“阅读原文”或登陆本刊官网xuebao.ecupl.edu.cn;编辑部在线投稿系统已更新,欢迎学界同仁登录journal.ecupl.edu.cn惠赐大作!
推荐阅读
于柏华 | 处理个人信息行为的合法性判准——从《民法典》第111条的规范目的出发
韩旭至 | 信息权利范畴的模糊性使用及其后果——基于对信息、数据混用的分析
订阅方式
【向编辑部订阅】
1. 银行汇款
户名:华东政法大学
帐号:1001223609026407097
开户支行:中国工商银行愚园路支行
2. 邮局汇款
地址:上海市长宁区万航渡路1575号《华东政法大学学报》编辑部
邮编:200042
订阅电话: 021-62071670
【邮局订阅】
国内读者可到全国各地邮政公司办理
邮局发行代号:4-618