查看原文
其他

王 苑:私法视域下的个人信息权益论

王  苑 法治研究杂志社 2024-01-11






























王苑,清华大学法学院助理研究员


文章导读

·摘要

“个人信息权益”作为《个人信息保护法》的核心概念之一,公法学者往往从公法权益角度出发探讨其内涵,但这并不意味着取代了私法对于个人信息权益的保护功能与形成空间。私法视域下的个人信息权益为人格权益,包含了三重人格法益——隐私利益、呈现利益以及信息处理中的自主利益。其中,信息处理中的自主利益为前置利益,如“伞”般保护隐私利益及呈现利益,信息处理关系中,侵害信息处理中的自主利益并不必然侵害隐私利益及呈现利益,但侵害隐私利益及呈现利益必然是侵害了自主利益的行为所导致。此外,造成损害与否,是区分以《个人信息保护法》第50条第2款还是第69条作为请求权基础的重要标准。·目录
一、问题的提出二、民法上信息主体的三重个人信息权益(一)隐私利益与呈现利益之区分(二)第三重民事利益——信息处理中的自主利益三、信息处理中的自主利益之内涵和性质(一)信息处理中的自主利益之内涵(二)信息处理中的自主利益之性质民法上信息主体个人信息权益之侵害与损害(一)作为前置保护利益的信息处理中的自主利益(二)侵害个人信息权益 vs 侵害个人信息权益造成损害结语

文章来源:《法治研究》2022年第5期


一、问题的提出


《个人信息保护法》第1条明确该法立法目的之一是“为了保护个人信息权益”,何为“个人信息权益”?对于该项权益到底是公法(宪法)权益还是私法权益的争论,笔者以为,即便承认《个人信息保护法》增加“根据宪法,制定本法”的本旨是表明个人信息权益的基本权利属性,但也并不意味着宪法取代了民法对于个人信息权益的保护功能与形成空间。宪法上的权益还是需要通过统一的法秩序进行综合保护,我国并无类似于比较法上的宪法诉讼制度,法院也不得进行违宪审查。目前法院受理的个人信息权益保护的案件主要就是民事侵权案件,因此,对于目前学界压倒性的公法规制思路,也应当保持一定的“冷”思考,私法在个人信息权益救济上是否已经纯无用武之地?如果公力救济不力,个体如何通过司法途径维护自身合法权益?也是讨论私法视域下个人信息权益的重要前提。《民法典》已明确将个人信息保护规定在人格权编中,认可个人信息权益作为一项人格利益来进行保护。民法学界过去对个人信息主体利益的研究,主要集中在讨论个人信息保护的权益层级问题,也就是个人信息究竟是一项独立的“个人信息权”还是仅仅为一项受法律所保护的利益。随着《个人信息保护法》明确将“个人信息权益”规定为保护对象,问题的焦点逐渐转变为个人信息权益的核心内容究竟如何认定或表达,它与民法上隐私性人格权或其他人格权的区别如何,以及这种权益具有何种独立的人格意义。因此,在私法视域下,个人信息权益的类型、内涵以及如何救济值得进一步探讨。


二、民法上信息主体的三重个人信息权益


个人信息受保护,并非个人信息本身应受到保护,而是其所负载的正当利益应当受到保护。探讨个人信息上的主体的具体利益形态的前提是理解个人利益,而对利益的正当性评价形成法益。《民法典》人格权编确立了从私法上对个人信息上的利益保护。很多学者认为,根据现行法,个人信息上的正当利益仅包括了隐私权(私密信息)和个人信息保护利益。其实不然,个人信息上的利益应当是所有依托于个人信息的权利和利益,除隐私权外,还应当包括以姓名这项个人信息为客体的姓名权、以可以识别到特定人并影响某人社会评价的个人信息为载体的名誉权等。所以,即便是在民法上,个人信息上的权益也是丰富多元的。

(一)隐私利益与呈现利益之区分

个人信息的特别性和复杂性在于,一方面,某些个人信息可能是主体极力试图让人知晓的,比如获得的荣誉;或是社会交往中对于正确识别个体所必需的,比如姓名和肖像。但另一方面,人们又有极力试图隐藏起某些信息以维护自己形象的欲望。二战以后,德国联邦判例发展了两类最为重要的人格利益:在社会中一个人的形象的正确呈现,以及他人私密空间的维护。因此,对主体来说,两种相辅相成的个人利益构成了人格利益的核心,即隐私利益与呈现利益(也有学者称之为表现利益)。

个人信息上承载着个人发展、个人人格形成的利益。社会学家戈夫曼认为“个人信息对于个人人格的发展具有重大意义,是个人自我表现和与社会环境交流的媒介。”呈现利益与隐私利益可以类比为舞台的前台和后台,被强调和呈现的人格往往出现在前台区域,而那些被掩盖的事实则出现在后台区域,后台须受到严格的限制进入。而前台的呈现需要防止“表演崩溃”,无论这种呈现是真实或虚假的,都是个体极力维持的自主的体现。这种对个人信息的维持与个人社会形象塑造相关,对于形象的塑造缺一不可。一方面个人在社会交往中通过对自己个人信息的使用和公开,形成自己的社会形象,另一方面也不断将自己不欲为人知的一面隐藏起来,完善自己的社会形象,并最终实现人格发展的目的。

隐私是一种人最舒展的状态,无论是与亲密的人在一起,还是自己一个人独处,赋予人隐私利益就是使人得以保持这种舒展状态,因此有学者提出隐私即自由。从自由主义经典学者约翰·密尔到美国隐私学者阿兰·威斯丁,都将隐私与自由联系在一起,因为隐私作为自由的一种,是人们独立于政府及其他外界影响的重要工具。美国隐私学者弗兰德也认为,隐私作为一种控制信息的方式,是个人自由的一方面。德国学者虽然对隐私即自由存有疑虑,但是同样认为作为一般人格权一部分的隐私,旨在确保人能够在某种程度的独处时,远离国家和他人的评判,发挥其人格。

呈现利益,是一种营造的、表演的状态,是个人希望公众对其进行符合其自身形象的描述的利益,人们对环境的认识和反馈,会体现在其行为之中,作为一个社会角色,在观众面前表演,必须保持相对稳定的状态。广义的呈现行为本身也是一种自由的体现,但呈现利益则是希望他人对这种呈现给予尊重的利益。换言之,呈现利益即是自然人被正确、完整识别的利益。也就是说,一种稳定的“呈现”,应当受到社会和他人最起码的尊重,这种利益是作为一个“人”所应有的最起码的社会地位。

实际上,隐私利益和呈现利益是人格的一体两面,都是为了维护人的完整,是个人自由和人格尊严的体现。法学家Whitman在很著名的论文中,认为对自由和尊严价值推崇之侧重,正是美国与欧洲大陆隐私保护有所区别之根源。但也正如他在文中强调的,倾向于自由价值的美国人并非就不再重视尊严,而偏重尊严价值的欧洲大陆公民就不重视自由,这两种价值无论对美国人还是欧洲人都很重要。在我国语境下,区分自由和尊严似乎更无必要,因为人格权作为民法的一部分,本来就是为了维护“自然人的人身自由和人格尊严”的(《民法典》第109条)。至于隐私利益与呈现利益,我国《民法典》人格权编已经将该法益上升为几项相应的权利,隐私利益对应隐私权,呈现利益对应肖像权、姓名权、名誉权、荣誉权等,并对上述权利之行使及合理使用进行了合理界定。

(二)第三重民事利益——信息处理中的自主利益

隐私利益与呈现利益,是个人信息上所承载的人格利益的应然产物,盖二者系人格发展所必需,但主体需要保护的利益是否限于二者,应进一步探究。个人信息制度性保护,系因上世纪60年代计算机科学和自动化信息处理技术的发展对人格的威胁而生。侵害手段的变化,使得重新审视个人信息保护更具有紧迫性。对于个人信息上的利益的多样性与多重性,目前学界已有共识,个人信息保护的并非单一的利益,而是一系列不同的利益(或利益束abundleofinterests),个人信息上负载着利益的集合体,不能简单归类为某种财产权或人格权。正是基于此认识,《个人信息保护法》审慎采纳了“个人信息权益”的概念。笔者以为,从私权角度出发,信息时代的个人信息保护,除了隐私利益与呈现利益需保护外,还存在着第三重利益——信息处理中的自主利益。这种利益独立于隐私利益与呈现利益,其本质上是一种允许主体通过必要手段保护其他利益的利益。因此,理解技术对社会关系的深刻改变,对于认清保护信息处理中的自主利益的正当性和该利益的性质都尤为关键。

1.该利益的存在具有正当性

《个人信息保护法》的立法原理,是建立在个人信息控制理论基础上的,如果将个人信息保护权理解为控制权或决定访问关于自身信息的权利,这种自主的控制和决定,是信息主体自主的体现。从美国1973年的“公平信息实践准则”(FairInformationPracticePrinciples)所倡导的五项程序和实体原则来看,其要求自动化个人信息系统不可以违反原则收集处理其个人信息,本质均是围绕着保证个人在与比自己“强大”的处理者之间获得一定程度的自主和影响力。因此,在法律上确认这项利益的正当性,反映的是我们对人及社会关系深刻变化的本质性认知。该项利益是因技术变革对人格的威胁而产生的,并非是自然法上的天赋权利,而是法律上对权力关系失衡的调整。换言之,如果没有法律对这项利益的内容——处理活动中的各项权利——的确认,这项利益则无从获得承认与保护。

有学者完全否定信息处理关系中的自主利益,认为应将个人信息作为一项公共物品来对待,个人信息的收集、分析和使用不应当依靠个人自己的判断和允许,不适用私权利社会中的个人自愿原则。因为赋予信息主体私益会导致社会运行的低效率,公权力机关应当成为保护个人信息的责任主体。这种功利主义的角度存在绝对化的倾向,忽视了即便个体无法成为最佳决策者,但总应当对处理与自己相关的事务有权关注和参与,并享有一定利益的现实。从应然层面,信息能力越不平等,越需要从法律上承认和确认个人在信息处理活动中有一定的私益,因为这种信息能力的不平等如果不通过法律倾斜规制,会导致不平衡的竞争加剧,信息主体之个人信息会沦为各方掠夺利益的工具。因此,赋予信息主体在处理中的自主利益实则与公权力机关作为责任主体保护个人信息并不必然矛盾,法律应当在其中做一个精细的平衡。

2.在民法上该利益为一项人格利益

对人格利益的认定,随着时代的发展逐步深入,所以人格利益的范围日益扩大,人格权的内容也日益丰富。一项人格利益纳入民法保护范围必须首先检验:是否法律对该利益的保护,对于保障权利人人格的完整性及其发展来说是合适和必要的,且对于法律义务人来说亦可以合理想象。当个人可以控制个人信息越来越被认为是一种理想主义,对个人信息的控制取决于个人所不具备的权力,且随着科学技术的发展,权力之间的倾斜愈发严重之下,法律作为权利救济的底线,必须通过强制力的保证实施给予个人一定的自主,这种自主的存在有其现实意义。在民法上,信息处理中的自主利益应当被视为一项人格利益,一方面,因为自主与人格之间存在概念逻辑上的关联。首先,自主的理念根植于“理性人”理论,理性人的行为由其本人内心原则所约束,同时也需要审视地从他的社会环境中接受一些原则。其次,自主是自我的体现,哲学家范·登·霍文(vandenHoven)认为自主是“塑造我们的心灵档案,反思我们内心,评估和确定自己的内心选择的能力,在此期间,应当没有批判审视的目光、他人的干扰或施加压力以符合正常或社会期待”。最后,自我的存在是人格的前提,如果主体被剥夺了自主和充分的自我意识,则意味着人格的不自由(内在不自由)。因此,主体意志表现为自主,自主和人格相生相依,人格的完整依托于自主的实现。最终,自主能保障具有理性和意志的伦理人自己决定和实现自身的人格利益,拒绝成为他人工具或沦为客体。

另一方面,从《民法典》和《个人信息保护法》对个人信息的定义出发,个人信息最重要的特征为“识别性”,也即个人信息的符号与个人或其个人所有物之间有密切关联性,基于此,这些符号可以直接达至本人。正因为与主体之间的关联,个人信息(或符号、标签)成为了实现主体价值重要的一部分。如果个人信息上的权益是保障主体的自然存在和社会存在的,那么让这些权利脱离主体,无异于让他不能成为一个自然的或社会的个体存在。信息处理关系中的自主直接体现着作为个体存在的主体的利益追求,保障着主体的行为自由,彰显着主体作为人的核心价值。该利益是为实现信息主体基本权利而存在的特殊利益,是宪法规定的古典基本权利在民法中确立之后,为适应现代社会发展所增设的人格利益延伸的基本条款,是个人信息保护法基于弱者倾斜救济原则而设计的利益优先权制度安排。


三、信息处理中的自主利益之内涵和性质


民法学界长期以来存在着对个人信息权益应否上升为一项权利的争议,这项争论的本质是权利利益区分保护论,但是正如上文所论述的,个人信息上负载的利益包含了隐私利益、呈现利益、信息处理中的自主利益,对这三重权益应当区分评价是否应上升为权利,不宜混为一谈。前两者内涵和外延的相对明确,尤其是隐私利益,在我国已经形成了清晰的规范群,《民法典》界定的隐私范围包括了私生活安宁、私密空间、私密活动以及私密信息这四类,直接和个人信息有关的隐私利益限于私密信息范畴。而呈现利益,在《民法典》中确定的就包括了姓名权、荣誉权、名誉权等。问题在于,信息处理中的自主利益的内涵是什么?其是否可以同隐私利益或呈现利益一样上升为一项具体的权利呢?

(一)信息处理中的自主利益之内涵

信息处理中的自主利益,可以解释为当大公司或政府在收集处理个人信息时,个人对信息收集处理的全过程必须享有一定的自主利益——体现为对信息处理过程的介入和干预。为此,《民法典》确立的信息处理中的自主利益包含了知情同意(第1035条),查阅、复制、异议更正、删除权(第1037条);而《个人信息保护法》对《民法典》所确立的上述权利进一步丰富与发展,确立了八项个人在个人信息处理活动中的权利,包括:知情权、决定权、限制权、拒绝权(第44条),查阅复制和可携权(第45条),更正补充权(第46条),删除权(第47条),解释说明权(第48条)。笔者以为,对《民法典》和《个人信息保护法》所确认的这些信息处理中的个人权利,与其对单个权利逐一进行评价,纠结于其是否足以构成一项独立的新兴权利,毋宁将其视为实现信息处理中的自主利益的手段和方式——即权能性质的权利。

有不少学者认为,民法从“权利(或利益)——权能”角度解释个体在处理活动中的权利非常牵强,并根据自然人在处理活动中的“意思自治”的不自由和“同意”的不效率来反对民法中个体的权益。但是,如果完全否定个人信息权益的私权属性,则无法从体系上解释《个人信息保护法》第69条的“侵权责任”的意涵,如果不是私权,侵害的“个人信息权益”的内涵是什么?其中的“损害”又如何理解?个人信息权益具有宪法上基本权利的属性,这已经在很多经典文献中有所论证,但是宪法上的基本权利,也有必要在民法的框架和体系中得到保护,这是宪法所确立的基本权利保护的法秩序的一部分,两者绝非非此即彼的关系。

此外,《个人信息保护法》将同意作为合法处理个人信息的基础之一,并不是确立了民法上的“意思自治”,这和传统合同法中的“合意”无法等同,同意的本质是对信息处理过程的介入和干预——个人信息控制论的附属产物,也是《个人信息保护法》第44条决定权的体现,决定权应当包含对信息处理的处理范围(规模)、处理目的、处理手段、处理保障措施等的干预。

(二)信息处理中的自主利益之性质

个人对其个人信息的控制并不是无条件的支配,有学者认为《民法典》将个人信息作为民事权利客体进行了规定。实际上,个人对其个人信息并无自主权。毋宁,个人只是享有附着于其个人信息上的正当利益,其自主也仅限于对其享有的利益的自主。民法不是为了保护个人信息而保护个人信息,个人信息本身也不是需要得到法律保护的利益,相反,是信息所处的场景,而不是信息本身的内在性质决定了该信息是否受法律的保护。

信息处理中的自主利益作为一项人格利益,是否可以上升为具体人格权?通说认为人格权与人格利益的区别在于人格权之排他性、支配性、绝对性、专属性。德国民法关于人格权的通说准用物权请求权(《德国民法典》第1004条排除妨害请求权),亦肯定其排他性。因此,如果将信息处理中的自主利益认为是人格权,则必须证明其具有排他性、支配性,为一项绝对权。有学者指出个人信息权是指自然人对其本人的个人身份信息所享有的支配并排除他人侵害的人格权。但需要注意的是,个人信息的收集、处理、利用确实与信息主体的人格利益息息相关,关系到信息主体的人格尊严,个人信息通过显现个人的生活轨迹,勾勒出个人人格形象,是自然人人格的一部分。问题在于个人信息欠缺充当绝对权客体的条件(绝对权是范围更大的概念,支配权仅为绝对权之一种,支配权必定是绝对权,绝对权却不一定是支配权),在技术上,信息无法归属于某一个人;此外,因为信息和思想是“人类行动的产物和前提”,是“现实世界的精神模式”,如果在个人信息上承认一种近物权的支配权,其结果只能是“这不再仅仅是对自己个人信息的支配,而是对他人行为的支配。”此外,如果将该自主利益认定为支配权,因自然人人格神圣不可侵犯,且自然人对其人格权是排他的,任何阻碍自然人实现其人格权的行为都必须停止。这显然与个人信息上的多元价值相悖。如果个人信息权作为具体人格权成立的话,是否意味着可以支配或控制整个处理过程?对于个人信息这种具有极大财产和公益价值,同时流动性极强的无形介质,这种支配是否可行?

许多学者意识到自然人对其个人信息具有绝对的支配力的观点有许多问题,比如会阻碍信息的流通与利用等等,因而试图通过重新解释人格权基础理论以使得“个人信息权”能符合作为一项具体人格权的要件,比如否定支配性作为人格权的必要属性,认为人格权体现的是一种消极的防御权,权利人对人格要素的支配权能极其有限。但突破人格权的固有属性(排他、支配、绝对、专属)来重新阐释人格权的观点,否定了人格权从物权请求权发展而来的历史,同时也否定了人格权作为权利的独立性,因此,将个人信息权益视为该种语境下的具体人格权,存在理论逻辑上的不周延。

还有一种观点试图将人格权解释为受尊重权,以此回避关于支配性的讨论,因此,通过将信息处理中的自主利益解释为受尊重权,以此来证明应当通过权利保护,但问题是,这一观点忽略了即便将人格权解释为受尊重权,受他人尊重本身即是绝对权的题中之义,因为绝对权的性质就是相对于每个人产生效力,即任何人都必须尊重此项权利。因此,解释为受他人尊重的人格权也依然是一项绝对权,而绝对权就可能导致对个人信息的支配或控制,这种排他性最终可能阻碍信息的流通。也有学者以德国法上的个人信息自决权(自主权)来主张个人信息权益是一项权利,但必须说明的是,德国的个人信息自决权并非一项绝对权、支配权,其行使受到诸多限制,需要与各种利益进行平衡,而且其仅在德民框架权利条款的解释中被发展,并非是一项确定的具体人格权。

综上,将自主利益上升为一项人格权利,又解释其不具有支配性、绝对性、排他性,试图用控制属性代替支配属性,挑战人格权本质通说的做法无法周延其论点。毋宁,将个人信息上的利益不上升为一项权利,通过利益保护的路径来克服个人信息无法作为支配权客体的逻辑弊病,比如德国司法实践中对“提取、储存、处理和使用个人数据信息”作为一项人格利益的保护。同时,与特定个人有联系不足以导致个人对该信息的垄断,法律没有理由赋予个人对个人信息的排他支配权。个人信息的识别功能决定了个人信息本身还具有社会属性而非单纯的个人属性,个人对其个人信息不当然享有支配性权利。因此,信息处理关系中的自主利益,是一种防御性利益,自然人对其个人信息并不享有如同物权等绝对权那样一般性的排他支配权,也无权要求其他人如尊重物权等绝对权那样来尊重其个人信息上的自主利益。


四、民法上信息主体


个人信息权益之侵害与损害个人信息上负载的利益,指的是以个人信息作为载体的利益。民法上权利利益之厘定,主要在于侵权行为的认定上。三重权益之定性是判断权益是否被侵害之前提,在信息处理法律关系中,民法层面的个人信息主体权益包含了三重权益,分别是隐私权、呈现利益及信息处理中的自主利益。在厘清了个人信息权益在民法上的内涵后,需进一步思考的是,这三者之间是何关系?《个人信息保护法》第50条第2款和第69条第1款的适用空间是什么?第69条中的“侵害”和“损害”应当如何理解?
(一)作为前置保护利益的信息处理中的自主利益
为保护信息主体人格的完整性,隐私利益的保护是为了自我人格的完整,而呈现利益的保障是社会人格的不可或缺,这两种利益是传统民法人格权和个人信息保护法所共同保护的;但是信息处理关系不同于普通的个人信息使用关系,信息处理中的自主利益是仅在信息处理活动中存在的。在信息处理关系中,隐私利益和呈现利益躲在自主利益之后,只有在“刺破”自主利益的情形下,才有可能侵害到隐私利益与呈现利益。换言之,信息处理关系中,存在只侵害自主利益的情形,但不存在只侵害隐私利益或呈现利益的情形。因此,信息处理中的自主利益是前置保护利益,可以将其形象地比喻为“伞状”利益。
一方面,区分个人信息上的三重权益是为了区分信息处理关系与普通个人信息使用关系(信息处理中的自主利益普通个人信息使用关系中没有),以特别保护信息处理关系中的信息主体;另一方面,也有利于促进数据的利用和流通。将非经同意收集信息和直接侵犯隐私权、肖像权、名誉权等脱钩,非经同意获取个人信息并不必然侵害隐私权等具体人格权,因为侵害该自主利益并不必然侵害隐私利益和呈现利益。
对信息处理中的自主利益的保护采用的是法定主义,不能通过意定免责。人格权必须在法律许可的范围内行使和主张,法律许可的范围是立法既考量人的个体价值又考量人的群体价值的结果,其合理性取决于个体利益和群体利益的平衡。作为一项人格利益(绝对利益)排斥当事人自由决定,需要法律之明文规定,以降低信息成本、保障行为自由。即侵害该利益的手段是法定的、公示的,只有违反个人信息保护规范明确规定的处理者义务才构成,排除了其他类型的侵权。申言之,该利益为信息处理者划定了明确的行为边界,只要履行个人信息保护规范明确规定的义务,就不构成侵害该自主利益。而是否侵犯隐私或呈现利益,则根据其他法律要件再进行认定。对侵害该利益之行为的识别并非是主体主观意志的结果,而是法律所明定,法律可以根据现实的需求来扩大该利益的保护内容。例如对“被遗忘权”的规定,就是基于网络不会遗忘的现实,对“过时的、过分的、不充分”的信息永久记录、随时调阅,极有可能侵害到信息主体的社会人格的完整所规定。
(二)侵害个人信息权益vs侵害个人信息权益造成损害
从民法层面探讨个人信息权益,主要是基于民事司法救济和民事责任承担的考虑。对三重个人信息权益关系的厘清——信息处理中的自主利益作为前置保护利益,隐私利益和呈现利益作为被保护的利益,可以将侵害个人信息权益的行为分为以下四种情形,情形一:一个违反处理者义务的行为,仅侵害自主利益,比如未经同意且无其他合法事由收集自然人的个人信息(该信息不涉及私密信息),构成侵害自主利益;情形二:一个违反处理者义务的行为,侵害了自主利益及隐私利益和(或)呈现利益,比如信息主体对有错误的信息提出更正,但信息处理者不予配合,该错误信息的处理同时会侵害信息主体的名誉权,此处不予更正的行为既侵害了自主利益,又侵害了呈现利益;情形三:多个违反处理者义务的行为,仅侵害自主利益,比如信息处理者既不予提供查询个人信息的途径,又不删除个人信息,侵害了信息主体的自主利益;情形四:多个违反处理者义务的行为,侵害了自主利益及隐私利益和(或)呈现利益,比如信息处理者未经同意且无其他合法事由收集了个人信息,又未经同意分析后公开了该信息(涉及私密信息),同时侵害了信息主体的隐私权和名誉权,上述行为既侵害了自主利益,也侵害了隐私利益和呈现利益。参见下图:

侵害自主利益,以违反个人信息保护法上的处理者私法义务为过错要件,义务之违反,只要没有免责事由,即构成侵害个人信息上的自主利益;而对于是否侵害隐私利益或呈现利益,则需要结合《民法典》中隐私权、肖像权、姓名权等权利构成要件来综合判定。比如自然人A要求信息处理者B协助其查阅个人信息,但B拒绝。B违反了个人信息保护法上的信息处理者义务(《个人信息保护法》第45条),则侵害信息处理中的自主利益,对A是否造成了实际的财产或精神上的损失,在所不问。
1.侵害个人信息权益不造成损害
《个人信息保护法》第69条第1款“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”根据侵权法原理,侵害与损害有所不同,侵害是指未经权益人的同意且以法律所禁止的方式使用、处分他人的权益客体或者进入他人的权益所控制的领域,强调的是违法性要件。侵害可能造成损害也可能不造成。因此,结合三重权益论,侵害个人信息权益而不造成损害的情形可以归纳为以下两种类型。
类型一,仅侵害信息处理中的自主利益。
区分侵害与损害的重要意义在于,有些侵权责任必须要有损害,有些则不以损害为要件属于自身可诉之列,在这些情形下,即便原告没有因被告的行为遭受任何损失、伤害或损害,原告也是侵权行为的受害人。如果没有损失,法律就没有需要填补的对象。法律所能做的命令被告不要再侵害原告的利益。其实是一种面向未来的预防措施,而非对过往的矫正。
在侵害个人信息权益的案件中,侵害信息处理中的自主利益的行为(如不配合查询删除等),有可能会同时侵害隐私利益和呈现利益,也可能不会。当仅侵害信息处理中的自主利益时(情形一、情形三),不造成损害,因为损害包括了财产性的损害和非财产性的损害,侵害自主利益并不会造成财产损害,对于非财产损害而言,《民法典》第1183条规定只有造成“严重精神损害”,才能给予精神损害赔偿。对于拒绝个人行使权利请求的行为,比如拒绝查询复制、拒绝删除,很难讲会造成严重的精神损害,故而笔者以为该种行为并不构成损害。
因此,仅侵害信息处理中的自主利益,应当以《个人信息保护法》第50条第2款为请求权基础,该条规定“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼”。该条将侵害信息处理中的自主利益的情形限于“个人信息处理者拒绝个人行使权利的请求”的情形,换言之,如果个人信息处理者违反了个人信息处理者的公法义务(《个人信息保护法》第五章),直接触发的是行政责任而非民事责任,只有该义务的违反同时也涉及拒绝了个人权利的行使,个人才能向人民法院起诉。
综上,如果仅侵害信息处理中的自主利益不构成损害,那么仅可请求信息处理者履行个人信息保护法或民法典中规定的在个人信息处理活动中的私法义务,如果该请求被拒绝,信息主体有诉权。换言之,比如信息处理者定期履行合规审计义务的违反,个人无权以侵害个人信息权益提起诉讼。
类型二,侵害自主利益、隐私利益(和/或)呈现利益。
侵害自主利益且隐私利益(和/或呈现利益),无损害。该类情形与类型一均为侵害而不构成损害的情形,在此不再赘述。其请求权基础为《个人信息保护法》第50条第2款结合《民法典》第1033条(和/或其他的具体人格权条款)。
2.侵害个人信息权益造成损害
《个人信息保护法》第69条第1款规定“处理个人信息侵害个人信息权益造成损害”,损害是指具有法律上的可补偿性的受害人遭受的任何物质的或精神的利益的非自愿的丧失。权益侵害是民事权益受侵害的客观事实,而损害则是因权益受侵害而进一步产生的法律后果。权益侵害是损害赔偿的前提,但是权益侵害却未必导致损害,必须满足严重性的要件方可。
类型一,侵害个人信息权益造成隐私利益(和/或)呈现利益受损。
侵害作为一种事实结果,描述的是人身财产权益所遭受的不利变化,主要作为一个事实问题而出现;而损害则是侵害事实所造成的后果在法律上所面临的评价。笔者以为,只有同时侵害了隐私利益和呈现利益,且造成了严重的后果,才构成损害,此时应当承担侵权损害赔偿责任。如果仅仅是个人信息权益被侵害,可能要承担停止侵害、排除妨碍、消除危险等侵权责任;没有造成损害的话,则不发生损害赔偿责任,包括恢复原状、赔偿损失。
综上,仅侵害信息处理中的自主利益,没有损害即没有赔偿,依据《个人信息保护法》第50条第2款提起诉讼。但是侵害自主利益同时侵害了隐私利益或者呈现利益,且造成了严重后果,应当根据《个人信息保护法》第69条起诉。
类型二,侵害个人信息权益造成其他人身、财产权受损。
侵害个人信息权益,并造成其他人身、财产权受损的情形,也可以分为几种不同的情形:情形一,侵害自主利益,未侵害隐私利益和呈现利益,但是造成了隐私利益和呈现利益外的人身、财产权损失。例如犯罪分子盗取个人信息并进行财产诈骗。情形二,同时侵害了自主利益及隐私利益和/或呈现利益,也造成了其他的人身、财产权损失。比如信息主体请求更正错误信息却未及时予以更正,导致了信息主体因此无法获得相应贷款。在实践中这两种情形均不鲜见。
在这类型的侵权行为中,必然存在两个行为需要评价,一个是侵害个人信息权益的行为,另一个是侵害其他人身财产权的行为,两个行为间有相关性,甚至后一个行为是前一个行为直接导致的。例如通过违法收集用户的手机号码,并不断推送垃圾短信或者营销短信的行为,侵害了用户生活安宁的隐私权。违法收集用户手机号码的行为侵害了个人信息权益,请求权基础是《个人信息保护法》第50条第2款或第69条(取决于隐私利益或呈现利益是否受损);推送行为侵害了生活安宁的隐私权,请求权基础为《民法典》第1032条、1033条、1165条。


五、结语


个人信息权益负载于个人信息,与主体人格须臾不可分离。有学者从宪法层面研究了个人信息权益,指出其包含了人格尊严、人身财产安全、通信自由、通信秘密等等。但是对于上述利益从私法角度如何予以救济,应当有相应的评价。个人信息上的民事权益与主体人格密切相关,具有主体性,已经由我国《民法典》确认为人格利益。笔者以为,有三重权益不可或缺,一是以私密信息隐私权为代表的隐私利益;二是以姓名权、肖像权、名誉权为代表的呈现利益;三是在信息处理关系中的自主利益。隐私利益、呈现利益以及信息处理中的自主利益,前两者的内涵外延边界相对清晰,已经形成了相对应的具体人格权,未确定为具体人格权的呈现利益,也可以通过《民法典》第990条第2款规定的其他人格利益解释。而信息处理中的自主利益则需要进一步辨析,笔者以为其规范意旨是为了平衡信息能力不平等的法律关系,是一项绝对利益,也有明确的利益内涵,但因为不具有支配性、排他性,无法上升为一项权利,其权能通过《个人信息保护法》对《民法典》的进一步发展,目前包含了八项具体权利。

侵害个人信息权益是以侵害上述三重权益为目的的。但是个人信息上并不存在生命健康身体利益或财产利益,这些利益与个人信息可能有关联,但具有“远距性”。利用个人信息侵害人身、财产权的行为,最终目的是侵害人身、财产权,个人信息实际上只是实施侵权之手段或媒介。比如信息处理者拒绝了信息主体查阅、更正的请求,如果该信息本身有严重错误,那么一个行为可能同时侵犯了信息处理中的自主利益及呈现利益。但是,拒绝查阅、更正的行为,无法侵害信息主体的生命、健康、身体权,也无法侵害信息主体的财产权。














《法治研究》热忱欢迎学界朋友的赐稿!

稿件无论采用与否,我们都会在一个月内回复,如未能在限定时间内收到通知,烦请及时联系我们。







·官方网址:

fzyt.cbpt.cnki.net

·投稿邮箱:

fazhiyanjiu @vip.163.com

·联系电话:

0571-87059288


好看点一下 大家都知道

相关文章·丁晓东:个人信息公私法融合保护的多维解读
·冯健鹏:个人信息保护制度中告知同意原则的法理阐释与规范建构·高富平:GDPR 的制度缺陷及其对我国《个人信息保护法》实施的警示·吴文芳:个人信息保护法的社会法属性及其法律意义
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存