法学∣郑晓剑:个人信息的民法定位及保护模式
Apr.
07作者:郑晓剑
作者单位:厦门大学法学院
责任编辑:洪 玉
全文已略去注释,如需查看,请订阅《法学》
【内容摘要】 个人信息的民法保护在个人信息法律保护体系中具有基础性地位。在民法上如何选择个人信息的保护模式,取决于人们如何认识、评价个人信息的本质属性及其在民法上的定位。个人信息同时具有个人属性和公共属性,单纯地强调某一属性均无法凸显个人信息的本质特征,故而在立法上应适当舒缓个人信息保护及利用之间的张力。不仅如此,个人信息的内涵模糊、外延宽泛,难以达到权利客体所应具有的具体特定且界限分明的品质要求,故而不宜在模糊、笼统的个人信息之上设定一项具有绝对性和排他性的“个人信息权”。否则,不仅无法为行为人划定清晰的行为禁区,而且在适用上难免与已有的人格权体系发生冲突、抵牾,可谓得不偿失。衡诸民法原理和社会现实,应当采用行为规制模式为个人信息主体提供必要的、适度的民法保护。
【关键词】 个人信息 个人信息权 法益 权利化模式 行为规制模式
◐
现代以来,随着信息技术的不断发展,个人信息被他人非法收集、利用的现象愈演愈烈,个人信息的法律保护之网亟待建立。除了刑法、行政法等公法层面的保护,民法上的保护同样必不可少。这一方面是因为“民法为众法之基,私法固不待论,欲治公法者,亦应对于民法有相当了解,而后可得其真谛”,另一方面也是因为个人信息与每个自然人的主体性地位均有着密切关联,而民法是维护个人主体性地位的最重要手段。
我国2017年施行的《民法总则》(已废止)首开先河,对个人信息的民法保护作出了原则性规定。《民法典》第111条完全沿袭了原《民法总则》的相关规范内容,同时在人格权编对个人信息保护作出了更为具体的细化规定,从而系统地构建了个人信息民法保护的规范体系。不过,围绕个人信息的本质属性及其在我国民法上的定位,我国民法学界长期以来聚讼纷纭、莫衷一是,亟待澄清。
有部分学者认为,关于个人信息的权属争议只是一种理论层面的学术争鸣,其对于个人信息的具体保护而言影响并不大。这种观点在我国民法学界非常具有代表性,很多学者往往有意无意地将“个人信息”“个人信息权”和“个人信息权益”等概念混同使用,这也使得个人信息在我国民法上究竟应被定位为“权利”抑或“法益”,迄今仍未有深入的检讨和澄清。事实上,在民法上选择何种模式保护个人信息,取决于人们如何认识和评价个人信息的本质属性及其在民法上的定位。
由是观之,关于个人信息的权属争议,绝非单纯的理论争鸣,而是直接关乎《民法典》个人信息保护条款能否得到妥当解释及适用,直接关乎个人信息能否得到妥善保护及合理利用,其影响可谓大矣!有鉴于此,本文拟对个人信息的民法定位及保护模式进行专门探讨,论证个人信息应受民法保护的适当方式及路径,以期为《民法典》个人信息保护条款提供恰当的解释论基础和教义学分析框架。
一、个人信息的民法定位
(一)个人信息权益属性之争
关于个人信息的权益属性及其在我国民法上的定位,我国民法学界存在不同的主张。大体而言,可以将这些主张区分为“权利说”和“法益说”两种。
主张“权利说”的学者认为,个人信息具有权利地位,应在民法上明确肯认“个人信息权”。为此,有学者通过理论分析和参考比较法经验,认为我国民法已经实质性地确立了个人信息权;有学者从“权益区分三标准”、个人信息作为权利客体的可行性、保护信息自由等十三个方面,对个人信息权作为一项具体人格权的论断展开了深入论证;还有学者以知识产权为参照,从加强个人信息保护、提高行为预期等六个方面论证了有必要将个人信息权确定为一项民事权利。
赞同“法益说”的学者则指出,我国《民法典》并没有将个人信息明确设定为一项民事权利,个人信息宜被定位为应受民法保护之法益。赞成“法益说”的学者所持的理由是,个人信息利益尚未达到权利的分配密度,故而不宜采用权利化模式而应采用行为规制模式对个人信息主体提供一定程度的保护。也有学者主张,个人信息是一种新型的法益,对这种新型法益进行保护的理论基础及具体方式并不能从私权角度得到有效解释。
由是观之,关于个人信息的权益属性,我国民法学者存在认识上的显著分歧。这种分歧并非单纯的理论争鸣,其对个人信息的民法保护实践将产生重大而直接的影响:若采纳“权利说”,那么个人信息将完全归诸个人信息主体控制和支配,其他人均负有一般性的不作为义务;若采纳“法益说”,则个人信息并非完全归诸个人信息主体控制和支配,其他人在符合法律规定的原则和条件的前提下,可以对自然人的个人信息进行必要的收集和处理。由此可见,“权利说”侧重于为个人信息主体提供全面的法律保护,而“法益说”则力图权衡个人信息保护及利用之间的紧张关系。
赞成“权利说”的学者言之凿凿,而主张“法益说”的学者亦持之有故,一时间,似难有定论。不过,若无法对个人信息的权益属性及其在民法上的定位作出科学、精准的定性,那么个人信息的民法保护势必成为无源之水、无本之木,而《民法典》中的个人信息保护条款亦无法得到准确的解释和适用。
(二)民法保护利益的两种模式
1.权利化模式
将特定的利益确认为民法上的权利,乃传统民法对利益进行保护的主要方式。这是由民法的权利本位和权利的本质属性所决定的。众所周知,民法以权利为本位,民法的真谛就在于对权利的认可和保护。冯•图尔(von Tuhr)指出,权利乃私法的核心概念(zentrale Begriff)。当然,关于权利的本质属性,历来有不同的学说主张。不过,无论从哪个角度对权利进行定义和观察,利益乃权利的内核及目的,当无疑问。
在权利化模式中,最为核心和关键的问题是,立法者依据何种标准对相关利益作出筛选并将其设定为民法上的权利。对此,比较法上并不存在所谓的“唯一正解”。参酌德国法上的权益区分理论,一项利益能否被确定为民法上的权利,立法者需要斟酌以下要素:该利益能否被划归特定的主体享有;该利益有无具体特定的客体和清晰明了的表征方式;该利益可否被既有的权利体系或权利类型所涵盖。
在前述诸项考量要素中,利益能否被划归特定的主体享有决定了将利益设定为权利是否合理;利益有无特定的客体和清晰的表征方式决定了将利益设定为权利是否可行;利益是否被既有的权利所涵盖决定了将利益设定为权利是否必要。
因为在民法上设定一项权利之目的,就是为了将特定的利益划归特定的权利人享有和支配。若相关利益具有公共属性,那么将其设定为一项民法上的权利,显然并不合理。不过,即便某项利益能够被分配给特定的主体享有,但是如果其并不具有明确、特定之客体,使得利益的内容及范围难以被清晰界定,那么同样不应将其设定为一项民事权利。此外,如果一项利益能够被既有的权利体系所涵盖,自然没有创设一种新的民事权利之必要。
2.行为规制模式
民法所保护的对象不止权利,还包括特定的利益。在传统民法理论上,学者将能够获得民法保护但又没有上升为权利的利益称为“法益”。法益具有合法性和正当性,但是其通常并无明确、特定之客体,利益边界亦不清晰,故而难以透过权利化模式对其提供全面的法律保护。此时,立法者可从规制他人行为的角度,为相关法益提供适度且必要的保护,此种模式即行为规制模式。
与权利化模式从正面设权保护权利人的方式不同,行为规制模式“从他人行为控制的角度来构建利益空间,通过他人特定行为的控制来维护利益享有者的利益”。由是观之,行为规制模式并不旨在为特定法益提供全方位的法律保护,而是通过对他人行为予以必要的法律规制确保相关法益免受特定之侵害。当然,如何对他人的行为及其边界加以合理规制,是行为规制模式的重点和难点。
因为法益通常并不具有清晰的权利外观,其界限亦难以被明确划定,故而其不可避免地与其他的权利或法益存在牵连。此时,立法者“必须考虑各种冲突价值之间的协调问题,尤其是要权衡权益的保护与合理行为自由的维护之间的冲突”。于此情形下,若径行采用权利化模式,将相关法益直接划归特定主体享有和支配,势必难以兼顾法益之上存在的其他主体的不同利益需求,难谓合理。与此不同,行为规制模式可以在法益保护与行为自由之间确定一个妥当的平衡点,既可确保法益免受特定行为之侵害,亦可为行为人提供明确的行为指引,避免过度钳制其行为自由空间。
3.两种模式区分之实质
权利化模式和行为规制模式乃民法保护利益的两种基本模式。在这两种模式下,利益受民法保护的方式、范围及程度均有明显差异,立法者应选择妥当的模式对特定的利益给予恰当的保护。
具体言之,权利化模式通过将特定类型的利益确认为法律上的权利,使利益的归属及其界限得以明确,从而对利益进行全面的法律保护。行为规制模式则是通过对他人行为予以妥善规范和控制,以保护法益不受特定行为之侵害,而并不试图为法益构筑一张全面的法律保护之网,行为人仍可享有相当程度的行为自由空间。
权利化模式和行为规制模式之所以存在上述差别,究其根本在于:权利只能设定于特定的客体之上,而利益一般没有客体或者客体并不确定。拉伦茨和沃尔夫指出,一项主观权利的归属内容必须客体特定且界限分明;法无禁止皆可为,这种表述虽然符合实际,但是由于欠缺客体的特定性,从这种表述中并不能得出(一项)主观权利;只有当权利人能够支配一个特定之物且可排除他人对该物的使用时,或者在能够向一个特定的债务人提出一项特定的给付请求时,一项特定的主观权利才会被分配给一个特定的主体。
由是观之,客体是否明确、特定,是区分权利和利益(或法益)的基本依据,也是立法者进一步选择权利化模式抑或行为规制模式的基本准绳。只有在客体能够被特定化的时候,权利的界限及范围才能得到明确界定而不至于漫无边际,由此亦可为他人划定清晰的行为禁区。此时,采用权利化模式将相关利益分配给特定的权利主体,并要求他人承担一般性的不作为义务,便具有了合理性和可操作性。若客体难以被特定化,那么利益的内容及范围势必暧昧不明,此时选择行为规制模式当更为可取。
(三)“个人信息权”概念之否定
1.“个人信息”的内涵及外延并不明确
前已述及,有无具体、特定之客体,乃权利与法益的一项重要区别。只有客体能够具体化、特定化,才能于其上设定一项权利。因此,判断个人信息的权益属性,首先应当确定其有无具体、特定之客体。
主张“个人信息权”的学者认为,这项权利的客体是特定的,其客体就是个人信息。如同物权的客体是物、隐私权的客体为隐私,认为“个人信息权”的客体乃个人信息,在逻辑和法理上似乎顺理成章,无可辩驳,但这实质上是倒果为因的论证方法,经不起推敲。
何谓“个人信息”?《民法典》第1034条第2款对此作了明确界定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”这条规定参考了《网络安全法》第76条对“个人信息”的定义,同时新增了“电子邮箱”“健康信息”“行踪信息”等三类具体的个人信息。
依循上述立法界定,只要能够单独识别或者与其他信息结合识别特定自然人的各种信息,都可以被归入到个人信息的范畴。因此,个人信息的本质特征在于“可识别性”。这样一来,个人信息的特定化似乎不成问题。不过,个人信息的内涵及外延并非如其概念表述那样简洁明了。
就个人信息的内涵而言,“可识别性”标准并不能精准地阐释个人信息的本质,也无法合理说明为何相关信息因具有“可识别性”而被纳入“个人信息”概念下统一加以保护。因为“在大数据时代,通过对数据进行融合与交叉验证,可以通过多重不能识别信息主体的信息识别信息主体”。随着大数据分析技术深度嵌入社会生活以及信息共享技术的广泛运用,大量不具有可识别性的信息能够按照特定的算法被关联、融合,进而能够将相关信息与特定的个人相联系。对此,如果按照“可识别性”标准,势必无法予以准确应对和规制。
就个人信息的外延而言,鉴于新型的个人信息将随着大数据技术的不断发展而层出不穷,立法者只能对个人信息的类型作出不完全列举,而无法对个人信息的范围和边界作出周延之限定。如此一来,个人信息的类型和范围难免宽泛无际,难以完全将其特定化。
由于个人信息的内涵既不明确,外延亦不清晰,使得个人信息难以达到权利客体所应具有的具体特定且界限分明的品质要求。在这样一个不确定的法律概念之上,设定一个权利内容明确、界限清晰的“个人信息权”,其难度不亚于登天。
2.个人信息与其他人格权客体存在广泛交叉、重合
个人信息并非单一、特定的存在,而是包括了姓名、身份证件号码、生物识别信息、住址、电话号码等诸多具有可识别性的信息类型。在这些信息类型中,有很多是既有的人格权之客体。例如,姓名是姓名权的客体,肖像是肖像权的客体,身份证件号码、生物识别信息、住址等私密信息是隐私权的客体。因此,个人信息与既有的人格权客体之间存在广泛的交叉、重合。
此时,若在包含其他人格权客体的个人信息之上再设定一项具有绝对性和支配性的“个人信息权”,无疑会冲淡甚至瓦解既有的人格权体系。“个人信息非常普遍地包括了姓名、肖像、隐私以及其他与人格相关的信息,因而个人信息权在外部性人格载体上与姓名权、肖像权以及隐私权等存在广泛重合,如果将其认定为独立的人格权必然造成与这些人格权的重合与冲突。”不仅如此,这种做法还将引起复杂的法律解释及适用问题,影响法律适用的安定、统一。
我国立法者显然注意到了将个人信息权利化可能产生的上述风险,因而在立法术语的选择上非常慎重,并没有使用“个人信息权”之表述,从而有助于避免其与既有人格权之间发生进一步的混淆和冲突。对于我国立法者的这种谨慎之举,自应予以充分肯定。当然,强调个人信息与既有的人格权客体存在广泛的交叉、重合,其目的旨在证明试图将个人信息权利化的主张和做法实在是得不偿失,而并不是反对民法应当为个人信息主体提供必要的保护。事实上,个人信息之上负载了众多主体的利益需求,如信息主体对个人信息的保护需求、信息业者对个人信息的利用需求以及政府对个人信息的利用需求等。
就信息主体对个人信息的保护需求而言,现行法上的各种人格权制度虽然能够为信息主体提供一定的法律保护,但是无法完全满足个人信息主体对其个人信息所享有的防御性利益或保护性利益,即“自然人针对个人信息还享有防止因个人信息被非法收集、泄露、买卖或利用而导致其既有人身、财产权益遭受侵害甚至人格尊严、个人自由受到损害的利益”。这种利益合法、正当,同时无法为既有的民事权利类型及权利内容所完全涵盖,故而有对其加以保护之必要。考虑到这种利益没有确切的客体和边界,同时为了尽可能地协调众多利益主体的多元利益需求,我国立法者并未采纳权利化模式构建个人信息的民法保护体系。
3.权利化模式难以舒缓多元利益需求之间的张力
前已述及,个人信息之上负载了众多利益主体的多元利益需求,对这些不同的利益需求立法者应加以妥善之权衡,在不同的行为场合应给予不同程度的协调。之所以如此,是由个人信息的本质属性所决定的,即个人信息不仅具有个人属性,而且蕴含了一定的共享属性或者公共属性。因为在大数据时代,“个人信息不仅仅与个人利益有关,同时还是大数据时代的重要社会资源,它对企业的技术创新、商业模式创新及政府的治理方式创新均是至关重要的”。
基于个人信息的双重属性,立法者在构建个人信息的民法保护框架时,既要为个人信息主体提供适度的、必要的保护,也要确保个人信息能够得到合理的、有序的流通,而不能对某一种属性有所偏废。“简单地强调个人信息的某一种属性均不足以阐述个人信息的本质特征,也不足以为个人信息保护搭建合理的法律框架。”权利化模式过于强调个人信息的个人属性,漠视了个人信息同时所蕴含的公共属性,在价值取向上过于偏颇,难以妥善协调不同利益主体的利益需求。
首先,对个人信息主体而言,将个人信息权利化将同时产生“保护过度”和“保护不足”的双重问题。所谓“保护过度”,是指个人信息主体对其个人信息拥有绝对控制和支配的权利,其他人未经权利人同意,不得对其个人信息进行任何形式的开发利用。如此一来,个人信息的利用成本势必急剧增加,同时也将对正常的社会交往和信息流通制造障碍,从而产生所谓的“信息孤岛”现象。
所谓“保护不足”,是指囿于有限理性、认知局限、专业知识欠缺等方面的原因,个人信息主体往往难以充分而有效地控制、利用其个人信息。一方面,个人信息主体可能没有足够的耐心和知识阅读冗长、繁复的隐私政策,从而有可能作出错误的授权决定;另一方面,在很多时候,为了能够接受或者利用相关服务,人们往往被迫同意服务提供者使用自己的个人信息,从而可能导致其个人信息被他人不当地收集、利用。此外,大量的个人信息侵权行为出现在个人信息的二次利用环节,由于这种行为已经超出了个人信息主体对其个人信息能够自主控制的范畴,使其难以对这种行为进行有效防范和控制。由是观之,认可“个人信息权”,除了可能造成“信息孤岛”的困局,在实践中也难以为个人信息主体提供周全之保护。
其次,对个人信息的利用者而言,将个人信息权利化既增加了其收集、利用个人信息的成本,也无法为其提供清晰的合规指引和明确的行为预期。具体言之,若按照权利化模式保护个人信息,意味着个人信息之上的利益内容完全归诸个人信息主体,并由其自主控制和支配,其他任何人均无权干涉。由于个人信息由信息主体完全控制,意味着“基于每一个目的开展的每一次信息收集或使用行为均需征得信息主体的同意”。如此一来,势必增加信息利用者收集、处理个人信息的成本,并且在实践中可能诱发如下问题。其一,信息利用者为了避免承担高昂的成本,被迫放弃对个人信息的收集、利用,但这种做法有可能对公共利益造成损害,因为“公法上公民的知情权、私法上民事主体的自主决定,均有赖于信息的自由流通和获取”。其二,信息利用者为了降低成本和风险,往往预先拟定了复杂、冗长的隐私政策或隐私保护条款,并将其与服务的提供或利用相挂钩,用户只有作出同意才能获取或者利用相关服务,这样一来,个人信息的法律保护最终可能流于形式。
最后,对于国家的数据产业发展而言,将个人信息权利化绝非可取之道。数据是信息的表现形式,信息是数据中蕴含的内容。在信息时代,数据已经成为重要的战略性资源,成为推动企业竞争和国家发展的关键要素。党的十八届五中全会公报明确提出:“实施国家大数据战略,推进数据资源开放共享。”2015年8月31日国务院印发的《促进大数据发展行动纲要》对我国大数据产业的发展和应用进行了全面布局。
大数据分析处理技术的推广应用离不开大量数据的采集、聚合。“单纯的个人信息不足以称为资源(名人的信息除外),只有大数据才有可挖掘的价值和不断衍生出新的商业服务模式的可能。”若在民法上设定一项个人信息权,赋予信息主体对其个人信息的独占性控制权,无疑会增加数据采集的成本,阻碍大数据产业的发展。因此,将个人信息权利化,“既无法为公民隐私提供实质性保障,又成为制约数据价值开发的重要掣肘”。
事实上,这也是我国《民法典》为何没有明确设立“个人信息权”的一项重要的考量因素。在民法典编纂过程中,有很多学者从不同角度对“个人信息权”之概念及价值进行了阐述和论证。不过,我国《民法典》并没有采纳这种观点,而是采用了“个人信息保护”的表述。对此,我国立法机关在其民法典人格权编条文释义书中作了明确说明:“个人信息的保护要适当平衡信息主体的利益与数据共享利用之间的关系。用‘个人信息保护’的表述既强调了对信息主体利益的保护,又可以避免不必要的误解,避免妨碍数据的共享、利用以及大数据产业在我国的发展。”这也说明将个人信息权利化的主张和做法无论在民法理论层面抑或在实践操作层面均难称妥适。
二、个人信息民法保护模式之构建
(一)行为规制模式之提倡
由于个人信息的内涵模糊、外延宽泛,并不符合权利客体所应具有的具体特定且界限分明的品质要求,同时个人信息之上又负载了众多利益主体的多元利益需求,因此,通过权利化模式保护个人信息,无论在理论层面抑或在实践层面均有诸多不足。衡诸民法原理和社会现实,应当采用行为规制模式为个人信息主体提供必要的、适度的民法保护。
1.行为规制模式能够妥善协调不同利益主体的利益需求
首先,行为规制模式能够为个人信息主体提供更具针对性的保护措施。行为规制模式通过对他人收集、利用个人信息的行为予以合规控制,能够有效地防止自然人的个人信息被他人非法收集或不当利用,确保自然人在个人信息之上所享有的、难以被现有权利所涵盖的相关法益不被侵害。前已述及,自然人在其个人信息之上享有一种防御性利益或保护性利益而非支配性利益,这种法益产生于防止因个人信息被他人非法收集、利用,进而导致其权益受损的正当需求。因此,通过对他人收集、利用个人信息的行为作出明确而具体的法律规制,能够确保上述法益得到妥善之维护。
其次,行为规制模式有助于促进个人信息的合理流通与开发利用。“个人信息是个人在社会中标识自己、建立联系的工具,也是社会了解和识别每一个体并开展活动的依据。”只有在自然人参与社会交往时,个人信息才有其存在的意义和价值,才有受法律保护之必要。离开社会交往和公共交流,讨论个人信息的法律保护毫无意义。因此,个人信息天然地具有流通和共享的属性,确保个人信息的合理流通,对于企业、政府和社会而言均有着十分重要的意义。“个人信息共享是发挥个人信息经济效用的主要方式,个人信息共享有利于消除‘信息孤岛’现象,从而更好地发挥个人信息的使用价值。”行为规制模式明确规定了他人收集、利用个人信息所必须遵循的法律原则和行为规则,有助于促进个人信息的有序流通及合规利用。
最后,行为规制模式能够舒缓个人信息保护与利用之间的张力,有助于促进大数据产业的有序发展。大数据产业的发展、壮大离不开个人信息的收集和利用,若对个人信息施加过度的法律保护,难免会增加个人信息的收集、利用成本,抑制大数据产业的发展。因此,立法者需要在个人信息保护与利用之间进行调适,“既要注重发挥个人信息的经济效用,也要注重保护信息主体的个人信息权利,不能因为过度保护个人信息等权利而限制了数据产业发展,也不能为发展数据产业而不考虑个人信息等权利的保护”。行为规制模式通过控制他人行为建构法益保护空间,使个人信息的收集、利用始终处于法律的规制之下,各方主体的权限和责任亦能得到明确界定。这样就可以破解权利化模式下对个人信息开发、利用所面临的诸多困局,为大数据产业的良性发展奠定坚实的法律基础。
2.行为规制模式有助于为行为人提供清晰的合规指引
权利化模式直接在模糊、笼统的个人信息之上设权,使得此项权利的内容及界限难以在立法上被明确界定,既阻碍了个人信息的合理流动,也无法为行为人提供明晰的行为指引,在实践中难以操作和适用。与之不同,行为规制模式直接以个人信息的收集、利用等行为作为规制对象,从而为行为人提供了较为清晰的合规指引以及较为确定的行为预期。因为只有在知道“什么可以做”以及“如何做”的时候,人们才能对相关行为的法律后果有所预期,进而才能对自己的行为方式作出恰当的选择。若相关行为缺乏明确的合规指引,人们将难以预知自己所为行为的法律后果,也无法对相关行为予以妥当的法律评价。
在绝对权模式下,因权利客体十分具体、特定,权利本身具有较为清晰的外观和较为明确的界限,可以为他人设定清晰的行为禁区。在行为禁区之内,其他人均负有一般性的不作为义务。不过,就个人信息的民法保护而言,将个人信息权利化并不能为行为人设定清晰的行为禁区,也无法为行为人提供清晰的合规指引。于此情形下,他人的行为自由空间难免被极度压缩,而个人信息主体亦难以获得稳妥的法律保护。
行为规制模式主张,“应当对个人信息收集、储存、处理的各个环节进行行为主义的规制,确保个人信息流通的各个环节都能得到法律的合理介入”。这样一来,无论处于哪一个环节,行为人都能够获得清晰的合规指引,从而能够获得确定的行为预期。不仅如此,“不同于权利化模式之下的一般性不作为义务,(行为规制模式之下)行为人的行为约束也相应有所限定,限定于立法列举的方式”。因此,行为规制模式可为个人信息的保护与利用建立一个稳定的、具有可操作性的法律框架。
3.行为规制模式具有兼容性
前已述及,个人信息的内涵模糊、外延宽泛,而且与姓名、名誉、隐私等既有的人格权客体之间存在广泛的交叉、重合。若在民法上设定一项个人信息权,在适用中有可能与已有的人格权体系产生混淆、冲突,“既不利于现有规则的稳定,也不利于对未来相应立法规则的回应”。
行为规制模式从他人行为的合法性控制角度构建个人信息的法律保护框架。与权利化模式相比,这种做法并不会对现有的人格权体系形成冲击,同时能够最大限度地与现有的人格权体系相兼容。具体言之,行为规制模式从控制他人行为的角度,为个人信息主体提供适度的民法保护。与此同时,姓名权、肖像权、隐私权等现有人格权制度可为姓名、肖像、隐私等特定类型的个人信息提供更高程度的、专门性的法律保护。这两种保护模式并行不悖、相得益彰,有助于形成完整的、严密的个人信息民法保护体系。
在实践中,行为规制模式为行为人提供了基本的法律遵循,即无论收集、利用何种类型的个人信息,均须严格地遵守相应的法律原则及合规条件,确保个人信息流通的任何一个环节都能处于法律的合理控制之下。不过,个人信息的范围非常宽泛,种类十分繁多,有些特定类型的个人信息由于和自然人的人格之间关联十分密切,已经作为具体的人格要素而获得了相关人格权的专门保护。此时,若对这些具有人格要素性质的个人信息进行收集、利用,行为人必须遵循相关人格权的规定及要求,取得权利主体的明确许可。
至于其他尚不具有人格要素性质的个人信息,因其并未被赋予更高强度的民法保护,故而立法者需要在个人信息保护与利用之间作出适当权衡。此时,透过行为规制模式,既可为个人信息主体提供必要的保护,也可确保个人信息具有一定程度的流动性。这样,行为规制模式便可与现有的人格权体系有机兼容,二者分工协力,共同完成个人信息的民法保护任务。
(二)行为规制模式之展开
依据行为规制模式,立法者应明确设定收集、利用个人信息必须遵循的法律原则及行为规则,以实现个人信息保护和利用之间的协调与衡平。在比较法上,舍弃传统的权利化模式而采用行为规制模式构建个人信息的法律保护机制,已然成为一种新的潮流和趋向。
鉴于个人信息被他人不当利用的情形日益严重,2017年6月,日本内阁会议通过《2017年未来投资战略》,决定修订其《反不正当竞争法》,从立法上对不当利用个人信息的行为加以及时应对。在保护模式的立法选择上,法案修订机构对不同保护模式的特性及其优劣进行了深入剖析,认为权利化模式对信息主体施加了过度保护,有碍于数据的合理流动,不能实现多种利益之间的恰当衡平,最终在增设的“限定提供数据”条款及相关条款中选择了行为规制模式。
就我国而言,原《民法总则》同样采用了行为规制模式为个人信息主体提供民法层面的保护,《民法典》人格权编进一步延续并充实了行为规制模式的制度内容,使其更具有针对性和可操作性。
事实上,即便在倾向于采用权利化模式保护个人信息的欧美国家,相关立法也在很大程度上采用了行为规制模式的做法,对个人信息的收集、利用行为给予不同程度的法律规制。例如,1998年颁布的美国《儿童在线隐私保护法》(COPPA)、2018年生效的德国《联邦数据保护法》(BDSG)、2018年生效的欧盟《一般数据保护条例》(GDPR)等法律文件,既规定了信息主体对其个人信息(或数据)享有一定的权利,同时也以较大的篇幅对信息收集者、处理者的行为予以合法性规制,从而构建了“权利化+行为规制”相结合的模式。
行为规制模式之所以在比较法上被广泛采用,除了这种模式具有前述之优点,还在于这种模式下法律可合理地介入个人信息流通的各个环节,并且针对不同类型的信息处理行为采取不同程度的规制策略,从而能够更有针对性地对相关行为予以合规控制。
其一,针对个人信息的收集行为,应当在类型区分的基础上予以合理规制:对于具有人格要素性质的个人信息,因其已经落入相关人格权的保护范畴,故而收集此类信息必须取得信息主体明确同意;对于其他不具有人格要素性质的个人信息,则应采取较为宽松的规制策略,否则会阻碍个人信息的合理流通与利用,不利于充分发挥个人信息所蕴含的公共属性价值。
其二,针对个人信息的使用、加工等行为,因其对个人信息主体的人身权、财产权乃至人格自由、人格尊严等有着直接影响,故而应采取更为具体、明确的行为规制策略,对行为人提出更为严格、清晰的合规要求。
其三,针对个人信息的储存和披露行为,则应采取最为严格的规制手段。因为一旦发生信息泄露,不仅会损及个人信息主体的个人利益,还将造成公共安全风险,必须加以最高程度的防范。
当然,对个人信息作出必要的类型区分,进而采取宽严程度不同的规制策略,并非仅限于个人信息收集行为,其也同样适用于其他类型的个人信息处理行为。唯有如此,才能适当舒缓个人信息保护与利用之间的张力,妥善协调个人信息之上所负载的多元利益需求,避免形成严格、僵化之结果。事实上,将个人信息区分为隐私信息和一般信息,并分别提供不同程度的法律保护,乃比较法上的通行做法。我国民法学界的主流观点也认为,应将个人信息区分为个人敏感信息和个人一般信息两类,并据此构建个人信息的法律保护机制。
笔者赞成在立法上对个人信息作出必要的类型区分,但是对于上述类型化方案持保留意见。因为“个人敏感信息”的判断具有较强的主观性,不同的人对于相同种类个人信息的敏感度可能并不相同,故而个人敏感信息在具体认定上较为困难,难以为行为人提供明确的行为预期,也无法对相关行为作出恰当的法律规制。
在比较法上,关于个人敏感信息的立法界定,主要有法律列举模式和综合考量模式两种代表性模式。前者是根据个人信息的内容,在立法上对敏感信息的种类进行明确列举;后者则主张应综合考量信息处理的情境、目的等因素判定某一信息是否为敏感信息。不过,法律列举模式难以在立法上对个人敏感信息的种类作出全面规定,难免挂一漏万;综合考量模式虽更具有弹性和包容性,不过在具体认定时亦难免发生争议。因此,这两种模式均存在某种不足。
就我国而言,《民法典》人格权编将个人信息区分为私密信息和非私密信息两类,并规定私密信息适用有关隐私权的规定,只有在欠缺隐私权规定的情况下,才适用有关个人信息保护的规定(《民法典》第1034条第3款)。我国《民法典》的上述规定试图在个人信息与隐私权之间建立一个制度桥梁,同时又尽量避免二者在法律适用上发生冲突、抵牾,有助于加强个人信息保护规则与隐私权制度在价值及适用上的沟通与协调,自应予以充分肯定。
不过,个人信息不仅包含私密信息,而且包括姓名、肖像等不具有私密性但受到姓名权、肖像权等人格权保护的个人信息,此时如何妥善协调个人信息保护规则与相关人格权制度之间的适用关系,势成漏洞。笔者主张,此时可类推适用《民法典》第1034条第3款之规定,即优先适用姓名权、肖像权等相关人格权之规定,只有在欠缺相关人格权规定的情况下,方可适用个人信息保护的相关规定。
当然,在立法论层面,更为简洁、妥适的分类是,将个人信息区分为具有人格要素性质的个人信息和不具有人格要素性质的个人信息两类,进而分别提供宽严程度不同的民法保护,以利于法律适用的明确、安定。囿于主题和篇幅,本文不再详细展开。
三、可能招致的质疑及回应
前文已指出,“个人信息权”之概念及主张在理论上难以被证成,在实践层面亦将窒碍难行。无可讳言,本文的上述论断将会遭遇诸多质疑和挑战。因此,下文对此等质疑进行必要的梳理和评析,以期更为深入地揭示个人信息在我国民法上的定位及保护模式。
(一)质疑理由之一:规定“个人信息权”乃顺应比较法的发展趋势
在我国民法学界,一种颇有影响的观点认为,欧美都从权利化的角度对个人信息主体给予保护,我国也要顺应比较法发展趋势,在民法上确立个人信息权。应当说这种观点具有一定的道理。放眼世界,欧美纷纷通过立法或判例等方式赋予个人信息主体相应的权利,以对抗特定主体的信息收集、利用等行为,但是若认为个人信息权利化乃比较法的发展趋势,则未免言过其实。
在比较法上,关于个人信息的法律保护存在两种典型模式,即欧洲模式和美国模式。欧洲模式以制定统一的个人信息保护法为特征,而美国模式则是以分散立法为特点。虽然这两种模式在个人信息法律保护的立法形式上有所不同,但是均认可个人信息主体享有一定的权利。美国法通过扩大隐私权的保护领域,将个人信息纳入隐私权的保护范畴,提出了“个人信息隐私权”的概念。作为欧洲模式的典范,德国通过判例和立法创设了“个人信息自决权”这一新型权利,并由一项民法上的人格权发展成为一项受宪法保护的基本权利。
不过,无论是美国,还是德国,相关的立法及判例均没有创设出一项具有绝对性和排他性的“个人信息权”。有学者指出,美国法上的个人信息保护路径有其产生的特定技术背景和时代背景,上世纪六七十年代,随着计算机技术的兴起,相关公共机构和公司收集、利用个人信息的速度及方式相较以往有了质的提升,由此产生了对个人信息加强立法保护的必要,故而相关立法所规制的对象主要是政府、学校、企业等组织大规模收集个人信息的行为,相关信息主体对其个人信息并不享有一种可以对抗不特定第三人的权利。
不仅如此,我国学者对源于德国法的“个人信息自决权”同样存在一定程度的误读。根据杨芳博士的研究,“个人信息自决权”概念的提出同样有其特定的德国法上的背景:这项权利针对的是德国联邦政府,对抗的是国家在人口普查工作中采取的强制性的信息收集行为;据此,个人既不享有广泛的、一般性的个人自决权,对其个人信息也不享有绝对的排他性支配权。因此,如果忽视“个人信息自决权”赖以产生的特定历史背景和文化背景,主张在我国民法上确立一项具有支配性和对世性的“个人信息自决权”乃至“个人信息权”,势必会产生谬误。
由此可见,在比较法上,“个人对个人信息的控制只是实现保护的手段,根本没有上升为一种排他性的个人权利”。诚然,就个人信息的法律保护而言,欧美历经了几十年的发展,累积了丰富的经验,个人信息不仅受到了私法上的严格保护,而且获得了宪法层面的保障。不过,我们也应清醒地看到欧美的相关立法既有上述优点,同时也存在一定的时代局限,主要表现在欧美的相关立法受到路径依赖的严重制约,很多内容实际上是早期互联网思维和背景下的产物,并没有全面反映现今大数据背景下关于个人信息之保护和利用的时代特点。有学者甚至断言:“面对信息技术的迅猛发展,欧美‘前信息时代’的制度、理论和经验都变得过时,传统个人信息保护制度架构已经落后于时代发展需求。”当然,这种说法未免有些绝对,不过道出了问题的实质。
毕竟,比较法上的相关主张和做法都有其特定的社会背景和独特的问题意识,由此也不可避免地带有一定的局限。目前,我国正处于信息科技一日千里的大数据时代,在个人信息保护的规范设计和制度架构上理应发挥后发优势,而非墨守比较法上之成规。况且,权利化模式在比较法上绝非一统天下,行为规制模式已成鼎立之势。有鉴于此,我们应当立足自身国情和时代背景,舍弃过时且低效的权利化模式,从行为规制的角度,为个人信息的收集、利用行为设定明确的法律原则及合规条件,构建能够妥善协调不同主体利益的个人信息民法保护框架。
(二)质疑理由之二:规定“个人信息权”有助于强化个人信息保护
在主张设立“个人信息权”的众多理由中,有一种理由颇为流行:在个人信息的多方利益主体中,唯有个人信息主体处于最弱势的地位,最容易受到他人的侵害;为此,只有在民法上设定“个人信息权”,增强个人信息主体的权重,才能实现各方利益的妥当平衡。事实上,这种观点似是而非,承认和加强个人信息的民法保护,并不等于需要在民法上设定一项“个人信息权”,权利化模式绝非民法保护个人信息的最优方案。
诚然,在消费者权益保护法、劳动法等社会法领域,因消费者、劳动者处于结构性弱势地位,需要在立法上对其作出相应的倾斜性保护,增强消费者、劳动者的权重。但是,这并不意味着个人信息的民法保护亦应如此。一方面,消费者权益保护法、劳动法已经脱离传统民法体系,消费者、劳动者所享有的相关权利已然自成一体,以此为由主张民法上应设定“个人信息权”,理由并不充分;另一方面,个人信息并非内涵十分明确、外延十分清晰的法律概念,若在民法上将其权利化,势必难以确定此项权利的存在及其界限,从而给行为人带来不可预料之损害,显非合理。
不仅如此,将个人信息权利化并不能为个人信息主体提供切实有效的法律保护。由于“理性人”只是一种假设,生活于现实中的人因知识、信息、经验等方面的局限,往往难以作出客观、理性的决策,这就决定了即便在民法上设定一项个人信息权,在实践中仍然难免会出现“保护不足”的情形。况且,个人信息不仅具有个人属性,其同时蕴含了一定的公共属性,这就决定了个人信息不宜被划归特定主体控制与支配而应得到适当的流通与利用。
“个人信息权”之主张实质上是权利泛化的一种具体表现。目前,权利泛化已然成为一种社会现象,仿佛只要一“祭出”权利,相关问题即可迎刃而解。不仅“悼念权”“亲吻权”“安宁权”等新名词频繁见诸报端,而且学者也极力提出并证成所谓的“环境权”“被遗忘权”“个人信息权”等新型权利。这些主张有的难以从理论层面予以证成,有的难以融入现有的权利体系,有的则可为相关权利所涵括,故而并不符合权利生成的内在逻辑要求。
关于民法领域的权利泛化问题,有学者指出“:权利的泛化与民法权利思维中的‘唯名化’表征直接相关,它更多地体现为个人主义权利观与现实利益诉求之间的简单结合,它以某种权利名义将个人的诉求人为纳入合法的法律救济轨道,而忽视了权利的内在伦理性基础和社会资源的支持。”权利的生成及设定固然需要考量现实利益诉求,但同时也应顾及权利的内在伦理属性和权利体系的融贯协调,自然须审慎而为。由是观之,在民法上,“个人信息权”之创设是否可行,有无必要,殊值反思。
(三)质疑理由之三:规定“个人信息权”能够统合相关权能
这种观点认为,个人信息权包含诸如知情同意权、更正权、删除权等多种权能,若不规定“个人信息权”,将导致上述权能无法被恰当地统摄及解释。应当承认,这种质疑的确很有“杀伤力”。因为如果我们一方面认为个人信息主体对其个人信息享有一系列权利或权能,另一方面又否认个人信息主体享有个人信息权,难免自相矛盾。事实上,这种质疑看似很有道理,实则难有充分的说服力。
依据我国《民法典》第1035条和第1037条之规定,处理个人信息需要征得该自然人或者其监护人的同意;若发现信息有错误,该自然人有权提出异议并请求更正;若信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息,该自然人有权请求删除该信息。那么,能否据此断言个人信息主体对其个人信息当然享有知情同意权、更正权、删除权等权利或权能呢?对此,下文尝试以所谓的“知情同意权”为例进行说明。
诚然,知情同意是确保个人信息处理行为具有合法性的一项重要基础,不过,其并非唯一之基础。依据《民法典》第1036条之规定,若个人信息处理者所处理的信息是已经公开的信息或者是为了维护公共利益之目的,即便没有经过该自然人或其监护人的同意,行为人同样不承担民事责任。事实上,《民法典》第1035条第1项在规定知情同意规则的同时又增加了一项但书要求,即“但是法律、行政法规另有规定的除外”,以此避免该规则在实践中被滥用。
因为一概以知情同意作为收集、利用个人信息的合法性条件,将会对个人信息的合理利用、社会公共治理等构成严重掣肘。不仅如此,知情同意规则在具体适用中也要受到一系列限制,如“受到通信自由和通信秘密宪法权利的限制,要受隐私权的限制,还要受目的原则与必要原则的限制”。因此,个人信息并非信息主体所能完全控制和支配,其他主体在个人信息保护法律框架下可对个人信息进行必要的收集、处理。既然如此,那种认为个人信息主体当然享有“知情同意权”的主张实有可商榷之余地。
退而言之,即便认为个人信息主体享有知情同意权、更正权、删除权等权利或权能,那么是不是就必须要在民法上规定或认可“个人信息权”呢?事实上,这种见解同样难以成立。在民法上,主体并不享有权利但是享有权能的现象所在多有。例如,我国民法学者普遍认为,占有在本质上并非权利,而是占有人对于物具有管领力的事实。为了保护此等事实状态,使其免受他人不法侵害,法律赋予占有人一定的权能。例如,《民法典》第462条规定,在占有物被他人侵占、占有受到妨害等情形下,占有人享有返还原物请求权、排除妨害请求权、消除危险请求权以及侵权损害赔偿请求权。这样,即便占有人并不享有占有之本权,其依然能够享有一系列权能,以确保其占有不被他人侵害。由此可见,以权利与权能不可分离为由尝试证成“个人信息权”的做法,在理论和逻辑上并非无懈可击。
那么,我国《民法典》究竟有没有规定个人信息主体对其个人信息享有一系列权利或权能呢?笔者以为,部分学者所主张的知情同意权、更正权、删除权等权利或权能,实则是立法者针对行为人的信息处理行为所作的具体法律规制,其目的是明确行为人在处理他人信息时必须遵循的行为边界和行为要求,从而确保个人信息主体对其个人信息所享有的防御性利益或保护性利益不受他人非法行为的侵害。一言以蔽之,个人信息主体并不享有所谓的知情同意权、更正权、删除权等权利或权能,我国《民法典》亦没有规定个人信息主体对其个人信息享有支配性和排他性的权利或权能。
四、结语
个人信息是自然人参与社会交往、标识自身价值的工具,也是大数据时代的重要社会资源,其负载了众多利益主体的不同利益需求。由于个人信息同时蕴含了个人属性和公共属性,故而立法者在构建个人信息的民法保护框架时,既要为个人信息主体提供必要的保护,也要确保个人信息得到合理的流通与利用。这也说明“承认个人信息的民法保护,并不当然意味着民法上就要承认自然人对个人信息的权利,更不等于必须将自然人对个人信息的权利界定为如同所有权那样的绝对权与支配权”。
承认个人信息的民法保护与承认“个人信息权”之间之所以不能画等号,是因为个人信息的内涵模糊、外延宽泛,难以达到权利客体所应具有的具体特定且界限分明的品质要求。若在模糊、笼统的个人信息之上设定一项具有绝对性和排他性的“个人信息权”,势必难以确定此项权利的内容及界限,一方面无法为行为人划定清晰的行为禁区,另一方面在具体适用中难免与已有的人格权体系发生混淆、冲突。因此,不宜将个人信息定性为民法上的“权利”,而应将其界定为须受民法保护之“法益”。
在对个人信息的民法定位作出界定之后,衡诸民法原理和社会现实,应当采用行为规制模式为个人信息主体提供必要的、适度的民法保护。行为规制模式强调个人信息流通的各个环节都应得到法律的合理介入和规制,确保个人信息不被他人非法收集或不当利用。不仅如此,行为规制模式能够针对不同类型的个人信息收集、利用行为采取不同程度的规制策略。这样,既可为个人信息主体提供适度的保护,也可为行为人提供明确的合规指引和行为预期,从而能够较好地实现个人信息保护和利用之间的协调与衡平。此外,行为规制模式并不会对现有的人格权体系形成冲击,二者并行不悖,共同构成完整的、严密的个人信息民法保护体系。
往期文章:
法学∣杨绪峰:安全生产犯罪立法的体系性反思——以《刑法修正案(十一)》的相关修改为契机