曹博:个人信息权绝对权属性的规范依据与法理证成——从微信读书案切入
The following article is from 暨南学报哲学社会科学版 Author 曹博
作者 | 曹博(上海交通大学凯原法学院)
首发于《暨南学报(哲学社会科学版)》2022年第7期,转载对注释与参考文献进行了省略。
我国《民法典》人格权编规定了有关个人信息保护的内容,但并未使用“个人信息权”的措辞,个人信息保护应为法益保护还是权利保护依然存疑,导致法律解释的不确定性。在微信读书案中,法院采纳了法益保护的观点,在对个人信息的理解中呈现出不少逻辑漏洞与法理缺陷,说明对个人信息保护应为法益保护还是权利保护的澄清实有必要。结合《个人信息保护法》相关内容及《民法典》人格权编的体系结构,权利保护说在法律规范层面具有明确依据,而法理层面的论证也将进一步确认个人信息权的绝对权属性:通过可识别性能够划定个人信息的基本范畴,使得权利客体相对确定、权利边界相对清晰;在私密信息归入隐私权范畴享有绝对权保护的前提下,非私密信息无法获得绝对权保护在法律依据和体系协调两方面都不能成立,个人信息的权利内容也体现为对个人信息有限的自主自决;个人信息权的支配控制权能指向的并非对个人信息的圆满支配与全面控制,而是对特定类型个人信息使用行为的控制。
【关键词】个人信息;个人信息权;绝对权;《民法典》;《个人信息保护法》
【目 次】一、引言:微信读书案的论证困境及探究个人信息权利属性的必要性二、作为权利客体的个人信息范畴能够通过可识别性确定三、对个人信息有限度的自主自决符合绝对权的要求四、个人信息权的支配控制权能指向个人信息处理行为五、结 语一、
引言:微信读书案的论证困境及探究个人信息权利属性的必要性
二、
作为权利客体的个人信息范畴能够通过可识别性确定
经由学者对《民法典》立法说明与背景资料的解读,个人信息保护未作权利化处理的理由主要有:个人信息权的争论较大,不宜在《民法典》中过早框定; 个人信息权利化处理容易影响数据流通;减轻科技企业在个人信息处理方面的压力。排除立法驱动数据经济发展等政策考量,个人信息的边界无法确定,是理论层面否定个人信息权的主要依据。考察《民法典》以及《个人信息保护法》等法律规范,对个人信息的界定均围绕“可识别性”展开,固然在个人信息的范畴上仍存在一定的开放性和解释空间,但结合民法理论中绝对权对权利客体确定性要求的发展演进,个人信息范畴的相对确定,足以在权利客体层面满足绝对权的要求。
《民法典》将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,并进一步以非穷尽列举的方式将自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息囊括其中。该定义传承了个人信息的存在形式包括电子或其他方式的立法传统,实际上区分了个人信息的本体与载体,电子方式是最常见的载体,通常表现为数据。个人信息与数据分属不同层次,较之于个人数据以及个人信息数据,个人信息的表述在规范依据、理论常识和感官直觉层面都更为可取,民法中的相关探讨应统一使用“个人信息”的概念术语。此外,这一定义延续了《网络安全法》与《信息安全技术个人信息安全规范》等既有法律规范中通过“单独识别”与“结合识别”界定个人信息的“可识别性”标准。值得注意的是,原有法律规范将识别的对象指向“自然人个人身份”或“特定自然人活动情况”,《民法典》则将识别对象界定为“特定自然人”,字面意思的指向更加宽泛。在自然人个人身份与活动情况之外,是否还存在其他能够指向特定自然人的“单独识别”或“结合识别”的具体情形,在个案中具有进一步解释的空间。
《个人信息保护法》同样是在“可识别性”的基础上对个人信息进行界定: “个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”较之于《民法典》的规定,《个人信息保护法》明确将匿名化信息排除在个人信息的范畴之外,体现出该法保护个人信息权益、规范个人信息处理活动以及促进个人信息合理利用的多重立法宗旨。此外,较之于《民法典》归纳的单独识别与结合识别,《个人信息保护法》概括的已识别与可识别的判定方式同样具有一定的解释空间,特别是“与已识别的自然人有关的各种信息”明确提出了从个人到信息的识别方向,而传统上对个人信息的识别均强调从信息到个人。事实上,这一规定在很大程度上借鉴了欧盟《通用数据保护条例》(GDPR) ,该条例将“一个可识别的自然人”描述为“通过姓名、身份证号码、位置数据、在线身份识别码这类标识,或通过针对该自然人的一个或多个身体、生理、遗传、心理、经济、文化或社会身份等要素,能够直接或间接地被识别”。
由此,在有关“可识别性”的法律规定中,无论是直接识别与间接识别,还是单独识别与结合识别,抑或是可识别与已识别,在通常列举的个人信息样态之外,个人信息的范畴存在一定的不确定性和解释与扩展空间。
(二)绝对权对权利客体确定性的要求及其发展调适
德国法上关于权利和利益的区分标准认为,“同时具备归属效能、排除效能和社会典型公开性的,为一种侵权法上的权利,反之则只能归于一种利益”。社会典型公开性强调使社会一般主体有识别利益客体的可能性,从而兼顾潜在加害人的行为自由,要求权利客体的确定性和权利外观的清晰性。显然,德国法上的前述理论以所有权为原型构建,以所有权为核心的物权进而从权利效力所及范围上和债权相区分,并构成了绝对权与相对权这一重要的民事权利分类结构,绝对权的效力所及范围在于一切人,而相对权的效力所及范围在于特定人。从债的发生理由考察,个人信息显然不具备债权属性,如果构成权利,则只能是绝对权,因而对其权利属性的确认同时意味着其绝对权属性的证成,阐明权利客体的确定性也就成为论证个人信息绝对权属性的前提。
较之于所有权客体具备明确物理外观且权利本体与权利客体相一致的现实,个人信息的范畴与边界确实存在较大的不确定性,例如《个人信息保护法》规定的有关个人信息的查询、更改、删除等权利究竟指向机器可读的数据,还是人可读的信息就引发了学者的争议与讨论。但是,需要注意的是,民法相关理论随着经济发展与社会进步也进行了相应的改进与调适。因应人权理念更新与技术进步的各项具体人格权、知识产权等权利先后获得绝对权地位,相对确定的权利客体与存在一定解释空间的权利外观即已满足绝对权的要求。以隐私权为例,虽然《民法典》明确界定隐私为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”,但隐私权的客体也只能达到相对确定的程度,隐私权的边界在个案中存在进一步解释的空间。再以著作权为例,立法上虽然对作为著作权客体的作品概念进行了明确界定且罗列了不少具体的作品类型,但一则作品概念中的核心要素独创性具有极大的解释空间,二则作品类型法定化的困境已显露无疑。《著作权法》修改时增设作品类型的开放条款,一方面是为了回应司法实践中的争议问题,一方面仍是由著作权客体相对确定的特点决定的。
从民事权利不断扩充调整的历程来看,绝对权对权利客体与权利外观的要求已大为松动,不再追求权利客体与权利外观在确定性方面的绝对化,而是接受了对无形物的拟制,对权利的认识也抛弃了主体与客体的僵化认知,回归到人与人的关系,绝对权客体达到相对确定的程度并具备一定的解释空间即为已足。
(三)个人信息权利客体与权利外观的相对确定已满足绝对权的要求
综合《民法典》与《个人信息保护法》的规定,个人信息范畴的确定采纳“可识别性”标准,个人信息的识别路径包括“从信息到个人”与“从个人到信息”,识别方式包括单独识别与结合识别,识别对象为“特定自然人”。在个案中如何理解从个人到信息、结合识别以及特定自然人,均会对个人信息范畴的扩张及个人信息权的保护产生影响。
以对特定自然人的界定为例,在自然人个人身份之外,自然人个体特征也具备划入“特定自然人”涵盖范围的可能性。由于在后续的个人信息使用中,这种识别已经足以形成对相应自然人的锁定和了解,从而推进用户画像与个性化推荐的实施,将其纳入个人信息的范畴对于实现个人利益保护意义重大。《电子商务法》第十八条规定:“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。”虽然对该条的解读存在不少争议,但此处使用“个人特征”的表述,并且明确提出消费者享有对是否使用其个人特征的选择权。《个人信息保护法》也明确要求通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。从体系解释的角度,能够识别到自然人个体特征的信息具备成为个人信息的可能性,将之解释到《民法典》第一千三百零四条的“特定自然人”范畴之内也并未超出文义解释的基本规则。
此外,司法实践中不同法院对结合识别的理解以及同种个人信息在何种情形下具备可识别性的把握均存在不小争议,进一步体现了个人信息范畴及可识别性标准的不确定性。但这一方面说明有关个人信息的立法规范及司法适用可能存在进一步改进与明确的空间,另一方面表明,个人信息的范畴在实践中具备扩张解释与保留一定弹性空间的必要性。从民法上权利分类的基本要求来看,个人信息的范畴相对确定,完全满足具有绝对权属性的具体人格权对权利客体相对确定和权利外观相对清晰的要求。
三、
对个人信息有限度的自主自决符合绝对权的要求
(一)隐私权与个人信息保护在《民法典》中并置的规范意旨
《民法典》在第四编第六章规定了隐私权与个人信息保护,个人信息中的私密信息适用有关隐私权的规定,非私密信息则适用有关个人信息保护的规定。据此,有学者认为《民法典》确认了个人信息权益,它并非具体人格权,更非绝对权和支配权,只是一种受到法律保护的人格利益;隐私权作为一项具体的人格权,性质上属于绝对权和支配权,具有对世效力。这意味着私密信息与非私密信息在保护强度及权利( 权益) 层级上存在明显差异。诚然,《民法典》并未使用“个人信息权”的概念,但这是否意味着个人信息( 特别是非私密信息) 之上只能存在权益而非权利,则需要通过体系解释与历史解释,探求隐私权与个人信息保护并置的规范意旨。将隐私权与个人信息并置的立法体例至少意味着二者应具有一定的关联性。考察人格权编的内部体系,第二章“生命权、身体权和健康权”、第三章“姓名权和名称权”、第五章“名誉权和荣誉权”均采取这种多个权利并置的方式。具体而言,生命权、身体权和健康权传承于《民法通则》规定的生命健康权,随着学者对保护身体权的观点逐渐统一,司法解释创设了身体权,最终在《民法典》中形成三权并立的立法模式。从人格权的历史演进考察,生命权、身体权及健康权属于保障自然人自然存在的权利,在权利客体和规范目的上具有内在的统一性;姓名权和名称权则分别从自然人和法人、非法人组织入手,对客体层面具有相似性的权利进行规定,二者并置具备一定的合理性;名誉权和荣誉权的并置则是对理论争议的一种妥协,自《民法通则》规定荣誉权以来,赞成荣誉权独立性的论著颇多,但质疑其独立性的观点亦非常普遍,其中较为有力的理据是荣誉只是名誉的一种特殊形式,对荣誉的保护问题通过名誉权即可实现。《民法典》保留荣誉权且与名誉权并置为一章,在体现慎重对待权利取舍的同时,认可了荣誉权与名誉权存在的内在联系。纵览这三章多项权利并置的规定,可以发现不同的权利在性质和层级上没有差异,均属于具体人格权,具有支配权和绝对权属性,这些权利在《民法典》制定之前即已获得权利名分,并置规定的做法一定程度上体现了《民法典》在人格权编内部进行归纳分类的体系性要求。具体到个人信息,与隐私权并置的规定实际上是对理论争议的反馈和回应。长期以来,学界对个人信息保护存在欧盟范式与美国范式的优劣之争,但对于隐私与个人信息存在交叉、涉及个人私生活的敏感信息属于隐私已大体形成共识,有学者明确提出《民法典》规定的个人信息应该是去除隐私之外独立保护作为客体的个人信息。《民法典》最终采纳隐私权与个人信息保护并置的体例,并将个人信息区分为私密信息与非私密信息,前者进入隐私权范畴,后者归属个人信息调整,一方面体现了对隐私权保护司法实践的回应,一方面接受了学界在区分隐私与个人信息方面的理论成果。事实上,私密信息获得隐私权保护,即便在《民法典》未作规定的情况下亦无障碍,《民法典》关于个人信息保护的规范意旨重在非私密信息,如果仍将非私密信息视为权益客体而非权利客体,不但与人格权编整体的立法体例不符,而且不符合权益保护的基本范式。申言之,《民法典》对民事权益的保护具有极强的原则性,主要通过侵权责任的适用在个案中实现,完全没有在《民法典》中大费周章规定某一具体民事权益保护的必要性,除非《民法典》对个人信息的保护仅具有宣示价值,否则个人信息权应与隐私权在权利位阶上相一致。
(二)法律规范中个人信息权的权利内容解读
探求个人信息保护与隐私权保护并置的规范意旨,从体系协调的角度明确了个人信息权与隐私权在权利位阶上应该一致的前提后,需要进一步澄清个人信息的权利内容,以便说明在隐私权之外另设个人信息权的必要性与正当性。《民法典》在确立私密信息适用有关隐私权规定的同时,对个人信息的权益内容主要通过向信息处理者设定义务的方式界定,第一千零三十五条规定了处理个人信息应遵循的原则和条件,当信息处理者未履行义务时即构成对个人信息权益的侵害。与此同时,规定了“查阅复制权”、“更正权”、“删除权”等。《个人信息保护法》与《民法典》类似,一方面规定了个人信息处理者在个人信息处理活动中应履行的义务,另一方面明确了个人在个人信息处理活动中的权利。个人信息处理者的义务以取得个人信息主体的同意为核心,个人信息主体的权利则体现为其对具体化的个人信息处理行为享有的自主自决的权利。学者将《民法典》中个人信息保护的同意规则归纳为具有封闭和固定特征的义务性规则,将个人信息主体对加工处理中的个人信息访问、更正、删除等请求概括为授权性规则,并且认为这种立法模式依然满足绝对权的要求。这三项权利除查阅复制权之外,事实上仍是从法律救济的角度规定的有关实施或停止特定行为的请求权,并未从正面对权利内容作明确界定,从侵权行为的角度来看,权利内容的缺失使得侵害行为以及损害赔偿层面对损害的认定存在障碍。这就导致在论证个人信息权益是否受到侵害时只能嫁接其他民事权益,例如有学者在探讨更正权时就提出: “个人信息在收集后要进行处理,如存储、使用、加工、传输、共享等,因此一旦个人信息错误而不能及时更正,就会对自然人产生不利的影响,如基于此种错误的个人信息进行信用评价包括自动化决策,会对自然人的民事权益造成损害。”显然,对侵害个人信息行为是否成立的判定以及损害结果的确认只能作模糊化处理,强调对自然人产生的不利影响以及后续行为可能造成的民事权益损害。如果按照这种逻辑理解和适用关于个人信息保护的相关规定,将会使《民法典》关于个人信息保护的规定仅具有象征性意义,因为在未作此种规定之前,相关处理个人信息的行为如果在事实上造成了对既有民事权益的侵害,同样能够得到救济,个人信息保护独立规定的意义并不显著。
(三)个人信息权的权利内容应为个人信息的有限自主自决如果仅将个人信息保护视为一种防御性的权益保护,则通过个人信息处理者应履行的各项具体义务即足以从反面划定个人信息的权益内容,当义务主体未履行义务时,即构成了对个人信息权益的侵害。然而,一方面《民法典》规定的“查阅复制权”“更正权”及“删除权”等确立了个人信息主体请求信息处理者为或不为相应行为的请求权,一定程度上扩展了个人信息的权益内容,使之不再是纯粹的防御性权益; 另一方面以微信读书案为代表的具体案例,在认定侵害个人信息权益时采用的隐私化论证路径,在规范依据和法理逻辑层面均存在不小的瑕疵,不得不令人反思,通过嫁接其他民事权利( 特别是具体人格权) 来论证个人信息权益侵害的方式是否妥当。从《民法典》的规范体系考察,个人信息被纳入人格权编,意味着其应该具有人格权的一般属性。按照民法理论的认知,人格权系以人格为内容的权利,人格权的内容随着社会变迁、个人人格觉醒及不法侵害样态,具体化于不同的保护范围,形成个别人格权益,保持一种持续开展及实践的动态发展过程。对人格权的理解至少形成以下共识:人格权的主体为“人”、人格权系以人的存在为基础、人格权体现人的自主性及个别性、人格权在于维护人性尊严及促进人格自由发展。从普遍被确认的具体人格权来看,均是从不同人格权益的角度,确认个人对其人身或行为(作为或不作为)所享有的自我决定的权利,一方面使人格权人得直接享受其人格利益(支配性),另一方面禁止他人的侵害(排他性),彰显人格权的绝对权属性。从《民法典》的具体规定来看,明确将私密信息纳入隐私权范畴进行保护,并规定任何组织和个人除非获得权利人明确同意或符合法律另有规定的情形,否则不得处理私密私信。就非私密信息而言,虽然从立法用语来看,仅规定了个人信息处理的原则,但其内容实际上围绕着个人信息的自主自决而展开,除开合法、正当、必要原则和不得过度处理这种较为抽象的一般性要求外,从个人信息处理应符合的具体条件来看,同意仍居于首位,公开处理信息的规则和明示处理信息的目的、方式和范围,均是为了进一步确保同意的实现能够充分彰显个人信息主体的自主自决,是在完全掌握个人信息处理可能产生影响的基础上作出的,亦即确保其意思表示的真实。当然,值得注意的是,个人信息的自主自决必然是一种有限范围内的自主自决,《民法典》及《个人信息保护法》在同意规则之外,同样规定了无需个人信息主体同意即可处理个人信息的例外情形,相当于从反面对个人信息自主自决施加的限制。同样作为绝对权的知识产权在这方面更为明显,权利内容的法定主义在规范层面已成共识,学者认为这说明了财产权的权利内容“有宽有窄”,并不都似物权一般宽泛。这种认识对明确个人信息权的权利内容同样具有启发意义,说明民法理论与实践,在绝对权的支配范围或自主自决的限度上,业已脱离了以物权为模型的窠臼,有限度的自主自决同样符合绝对权的要求。因此,虽然《民法典》并未明确使用自然人对其个人信息享有自主自决的权利这种表述,但综合考察人格权的理论共识、规范内容和个人信息处理的原则与条件,实际上能够确认个人信息权的权利内容就是: 对能够识别到相应自然人的个人信息享有的有限度的自主自决权。
四、
个人信息权的支配控制权能指向个人信息处理行为
个人信息权利客体相对确定与权利外观相对清晰的现实,以及权利内容有限度的自主自决都表明,个人信息权作为绝对权具有一定的特殊性,这种特殊性一方面源于个人信息的本质属性,一方面与民事权利理论实践的更新相契合。对个人信息有限度的自主自决,似乎暗示了民事主体对个人信息的全面控制,知情同意规则在法律规范层面的确认进一步强化了这种认识。然而,个人信息的无形性、可共享性等特性决定了,知情同意规则的内在缺陷无法通过形式要件的具体化和实质评价而克服。从绝对权自身对权利客体的支配扩张到对使用行为的控制,彰显了民法理论对无形化权利客体的回应,个人信息权的支配控制权能亦应指向对特定类型个人信息处理行为的控制。
(一)知情同意规则对个人信息支配控制的规范预设及实践困境
《民法典》规定的个人信息处理条件以同意为核心,在必须征得自然人或其监护人同意外,还要求公开处理信息的规则,明示处理的目的、方式和范围,这些要求可以视为对获取同意的形式要件作出的进一步明确。《个人信息保护法》同样要求基于同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出,同时规定了个人撤回同意的权利。实践中最常见的获取同意的方式即用户协议(或服务条款、隐私声明),在网络环境下点击同意用户协议被长期视为网络服务提供者处理个人信息的合法依据,尽管因冗长复杂以及用户为了获取服务只能点击同意等原因,用户对协议内容的知悉度与同意的真实性广受诟病。但无论从个人信息权利内容的核心应为自然人的自主自决这一法理基础出发,还是考察比较法上的通行做法或正视多年来的商业实践,用户协议仍是获取同意的最重要途径,《民法典》及《个人信息保护法》没有理由调整知情同意规则的地位,有关知情同意规则的具体规定实际上也主要针对用户协议。
较之于传统的仅以点击同意就确认带有格式合同性质的用户协议成为个人信息处理的合法依据而言,对处理信息规则的公开要求,处理目的、方式和范围的明示显然对同意提出了更为丰富的要求,向个人信息处理者施加了更为严苛的义务。但是,将这些要求进一步融入用户协议之中并非难事,不少网络服务商的用户协议中已经包含了相关内容。这种形式化的要求并不能改变绝大多数用户不会仔细阅读用户协议、用户为了接受相应的网络服务必须点击同意的现实情形,对用户强化个人信息的支配控制能力并无助益。即便《个人信息保护法》对知情同意规则的具体实施进一步细化,但在具体的个人信息使用场景中,知情同意规则被虚置的现实依然难以发生根本性改变。较之于对同意是个人信息处理正当性基础的根本性颠覆以及个人信息的使用应由社会控制的主张,探讨个人信息处理中“儿童同意”年龄标准有助于对知情同意实现方式的具体化,澄清个人信息自决权并非绝对控制权并提出“弱同意”的理念基础和规范结构的尝试对知情同意的实质评价具有积极意义,但仍然无力改变有不少个人信息处理情形依然在“强同意”的范畴之内,其在实践层面经由用户协议的点击确认而被架空的缺陷仍然存在。
事实上,知情同意规则预设了民事主体对个人信息的全面控制,而以用户协议为表征的个人信息处理实践却全面架空了同意规则的规范目的。知情同意规则承载的是个人信息权支配控制权能的实现,在肯定个人信息权绝对权属性及知情同意规则基础性地位前提下,有必要反思绝对权下支配控制的对象是否应为个人信息本体的基本预设。
(二)绝对权指向的支配控制已从控制权利客体扩展到控制使用行为
人格权体系中的具体人格权大体可区分为人身的人格权和精神的人格权,前者保护存在于人身并时常与之无法分离的人格法益,包括生命、身体、健康等,后者则指向姓名、肖像、名誉、隐私等可以与人身相分离的人格法益。从这些人格法益指向的客体来看,通常都具有唯一性或明确的物理外观,自然人能够直接或间接对其进行支配控制,因而支配控制的对象通常就是权利的客体。但个人信息却体现出显著差别,不少能够识别到自然人的个人信息时常是在使用网络服务的过程中产生的,甚至直接由网络服务商持有这些个人信息。此外,个人信息是一种非物质化的客体,具有无形性和可复制性的特点,使得自然人对其进行支配与控制的能力明显不足,如何实现个人信息的支配控制便成为阻碍其绝对权属性确立的又一障碍。
事实上,在民事权利的谱系中,同样存在着对具有类似特点的客体赋予绝对权地位的权利,知识产权就是典型代表。按照学者的归纳,个人信息与知识产权客体存在诸多共性,例如边界相对确定、都具有信息本质、均具有“公共产品”属性且通常无法被人独占。王泽鉴甚至认为对人格权财产价值的保护“虽不能脱离人格权而成为一个独立的权利,但实已逐渐接近于无体财产权(智慧财产权)”。这从侧面说明,在人格权保护的理念塑造与规则建构中,具备参照知识产权的可能性与现实性。面对无法从物理意义上对权利客体进行占有的现实,知识产权注定不能像所有权那样,达到对物的绝对控制和维持圆满状态的程度,更无从构建以占有为核心的权能体系,对支配控制的实现,只能针对客体的特定使用行为创设利益空间,日本学者田村善之即将知识产权界定为“规制人们行为模式的一种权利”。考察具体的知识产权形态,这种特点更为清晰:著作权以设定具体权利项的行为,明确了著作权人得以支配和控制的作品使用行为。这些具体权利项在著作权法的发展历程中,随着利益博弈与技术革新适时调整,著作权法从未尝试对作为权利客体的作品赋予著作权人以绝对的支配控制权,现实中大量的个人使用行为难以进入著作权的控制范围,而合理使用与法定许可的存在,进一步压缩了支配控制的权能范围;专利法则围绕着专利权的权利客体技术方案(或设计方案) ,对相应的制造、使用、销售、许诺销售专利产品的行为进行控制,单纯对技术方案的阅读与复制等行为,非但不在专利权支配控制的范畴之内,反而是专利法价值取向中受到鼓励的行为;商标法同样控制对商标的使用行为,且以构成相关公众的混淆为前提,同时对商标权控制的使用行为施加商品相同或类似以及商标相同或近似的限制。不难发现,已获绝对权地位的知识产权在支配控制层面体现为对使用权利客体的相关行为进行控制,而非对权利客体本身的控制。
这充分彰显了民法理论在面对新兴权利时具备的解释空间与包容性,绝对权并不意味着必须要达到对权利客体圆满状态的占有和实际控制的程度,而是接受不同权利客体的特殊性。至少就具备无形性、可复制性等特点的权利客体而言,基于利益衡量确定对使用相应客体的行为进行控制同样可以满足绝对权的内在要求。
(三)个人信息权的支配控制指向个人信息处理行为而非个人信息
民法理论对绝对权指向的支配控制从控制权利客体到控制使用权利客体的行为,意味着对个人信息权的支配控制同样存在着重新认识与调整的可能。事实上,已有学者在基于权利理论证成个人信息权的过程中提出,个人信息权作为一种数据控制权,并非同传统物权一样,意味着对物圆满状态的占有和实际控制,而是一种建立在数据处理实践中的有限的数据控制权。这与本文在前述论证中提出的个人信息权的权利内容,为民事主体对个人信息享有的有限度的自主自决权的结论相契合,而这种有限的支配控制进一步指向对特定类型的个人信息使用行为进行控制,由于《民法典》与《个人信息保护法》均使用了“个人信息处理”的措辞,使用个人信息处理行为的表述更为妥当。
但个人信息权指向的支配控制,并非涵盖所有的个人信息处理行为,更无从实现对个人信息的全面控制。具体而言,《民法典》与《个人信息保护法》均规定了查阅权、复制权、异议权、更正权及删除权,后者的规定较之前者更为具体,但都指向对相应个人信息处理行为的控制。其中,查阅权和复制权并非严格意义上对个人信息使用行为进行的控制,其实现条件也并未与具体化的个人信息处理者的实际行为产生对应,更多是对个人信息处理实践中大量个人信息产生并留存于个人信息处理者并由其现实控制进行的回应,属于个人信息权作为具体人格权在权利客体层面保障个人信息主体知晓与获取的基本要求。而异议权、更正权以及删除权的实现都对应着相应的个人信息处理行为,其中尤以删除权的规定最为细致,《个人信息保护法》第四十七条具体列举了删除权对应的四种具体情形,并规定了“法律、行政法规规定的其他情形”这一兜底条款,同时对保存期限未届满或删除个人信息在技术上难以实现的特殊情形,规定了相应的处置规则。这种结合相应行为对特定权利项能够在积极实现和消极防御两方面控制的行为边界进行划定,从而给出权利控制范畴的界定方式,与著作权法等知识产权部门法非常接近。一方面彰显了立法者对个人信息特性及其反馈于个人信息权之后对权利结构产生影响的肯认,另一方面也充分回应了实践中已受到普遍认可,并在域外立法中获得支持的特定类型的个人信息使用行为,应当归入个人信息主体控制范畴的现实需求。值得一提的是,《民法典》及《个人信息保护法》笼统规定一切个人信息处理行为均应以同意规则为合法要件,而个人信息处理行为又囊括了收集、存储、使用、加工、传输、提供、公开、删除等几乎所有可能处理个人信息的方式,似乎暗示了个人信息主体对个人信息全面的支配控制。但《民法典》与《个人信息保护法》均规定了同意之外合法处理个人信息的依据,例如订立、履行个人作为一方当事人的合同所必需、履行法定指责或者法定义务所必需、为应对突发公共卫生事件所必需等情形。这与著作权法中规定的作品合理使用非常类似,实际上发挥了限制个人信息权对个人信息处理行为进行全面控制的作用,说明个人信息权的支配控制指向特定行为。《民法典》与《个人信息保护法》在对个人信息合法处理的具体情形进行封闭式列举的同时,实践中确定某一个人信息处理行为能否免于知情同意规则的限制,是否还需要满足特定条件或确定相应的考量要素,应是进一步的司法实践和立法完善的重要议题。
个人信息权作为绝对权的支配控制,体现为对特定个人信息处理行为的控制,而非对个人信息的圆满支配与全面控制,这一结论既有民法理论对绝对权支配控制内涵进行延伸扩展的支撑,又能在《民法典》与《个人信息保护法》的具体规定中找到依据。个人信息合法处理情形的归纳,有助于限制个人信息权支配控制的行为范畴,并缓解知情同意规则一体适用带来的实践困惑。
五、
结语
《民法典》对个人信息保护的规定以及《个人信息保护法》的颁布,均未明确个人信息保护应为权利保护还是法益保护这一基础问题,存在进一步解释的空间和余地。微信读书案参照了《民法典》的相关规定,采纳了个人信息仅具有权益属性的观点,全面回应了确定个人信息范畴的可识别性标准的把握、非私密信息与私密信息的区分及保护路径、非私密信息保护是否独立于隐私权以及知情同意的有效性判定等问题,在关于个人信息法律适用方面做出了有益的探索,但该案对个人信息之上应成立具有防御性质的权益的界定,导致了法理依据的不足和论证逻辑的悖论。事实上,个人信息权的绝对权属性从规范体系和理论支撑层面都更为充分,通过可识别性标准足以确定权利边界与权利外观、非私密信息应与私密信息获得同等程度的保护、有限度的自主自决作为个人信息权利内容,更能实现个人信息保护与隐私权的相互区分、对个人信息合法处理情形的归纳与概括,有助于缓解同意规则的僵化适用,并澄清个人信息权的支配控制体现为对特定化的个人信息处理行为进行的支配控制。以这种基本认识回应微信读书案及类似案件中的相关争议问题,对于评判“好友数据关系”等新生事物是否能够划入个人信息的保护范畴、互联网平台型企业在商业实践中处理“好友关系数据”等个人信息时对知情同意规则的具体应用是否适当、迁移好友数据关系等个人信息处理情形是否侵害隐私权或个人信息权等问题,都提供了不同的理论视角与规范路径。这对于厘清隐私权与个人信息权的权利内容和权利边界、实现个人信息法律保护的制度协调和逻辑自洽、完善个人信息保护的实践规则和体系整合都具有积极意义。
相关阅读
商品书目
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
战略合作伙伴:上海中联律师事务所