【数字法治·研究精粹】周汉华:平行还是交叉——个人信息保护与隐私权的关系
The following article is from 中外法学编辑部 Author 周汉华
《民法总则》制定之前,我国法律对于个人信息保护与隐私权关系的处理有两个基本特点,一是平行适用、互不交叉,二是梯度递进,给予个人信息更高程度的保护。人格权编将隐私权与个人信息保护并列到一起,引入交叉适用的模式,引发不少问题,包括重置个人信息保护与隐私权的关系,将隐私权保护逻辑套用到个人信息保护等。坚持平行适用,立足于整体制度设计,处理好《个人信息保护法》与《民法典》的关系,使不同机制分别发挥各自作用,有利于形成公私法合力的多元治理结构。
关键词 个人信息保护 隐私权 平行适用 个人信息保护法 人格权编
个人信息保护与隐私权是两个既有联系又不完全相同的范畴,相互关系本就复杂。加上《个人信息保护法》与《民法典》的规定不完全一致,《个人信息保护法》实施之后,如何认识两者的关系,究竟是平行适用还是交叉适用,是适用《个人信息保护法》还是适用《民法典》,都会是实践中无法回避的疑难问题。有必要从理论与实践结合的视角进行梳理,为法律实践提供指引。
随着信息化的迅猛推进,个人信息保护成为各国普遍面临的问题。目前,国际上已经有100多个国家或者国际组织制定个人信息保护法律,突出体现个人信息权的基本权利属性和信息主体控制自己信息的积极权利面向,权项由法律明确列举,由统一的公法执法机制予以保护,立足于系统性风险预防等特点,[1]并建立相应的执法与国际合作机制。[2]与之相反,隐私权是非常开放、抽象、不确定的法律概念,[3]横跨公法、私法不同法律部门,依不同场景有不同的理解。[4]就像一个万花筒,转动到不同的国家、不同的法律部门,会看到不同的图案,由此导致各国隐私权法律大不相同。[5]即使在一个国家内也可能经历很大变化,[6]很难进行一一对应或比较。比如,有的国家将个人信息保护作为隐私权的一部分,有的将两者分离,有的甚至至今仍然不承认隐私权。[7]因此,讨论个人信息保护与隐私权的关系,不能脱离具体国家的场景,更不可能有“一刀切”式的结论。
不过,作为参照对象,在对我国的情况进行分析之前,可以指出的是,经过二十多年的探索,欧盟2016年通过的《一般数据保护条例》一改1995年《个人数据保护指令》将隐私权与个人信息保护相互交织在一起的做法,建立起两者之间的平行适用关系,代表着国际社会对这个问题的最新认识。[8]平行适用的基本特征是个人信息保护与隐私权两项制度各自独立运行,相互不交织,依据各自内在逻辑独立进行判断。这样处理的好处是法律关系清晰,分别适用各自的法律,避免了将两个制度交织在一起导致的区分困难。如果某一行为既侵犯隐私又侵犯个人信息,不会影响分别追究相应的法律责任。
因为罪刑法定原则的要求,我国刑法中两者的关系一直非常清晰。2009年《刑法修正案(七)》增设侵犯公民个人信息罪,其客体非常明确,是个人信息,而不是隐私,不存在两者的交叉或交织。另外,诸如窃取、收买、非法提供信用卡信息罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,拒不履行信息网络安全管理义务罪,泄露不应公开的案件信息罪,披露、报道不应公开的案件信息罪等,也都是指向信息系统或者(个人)信息,均与隐私无关。我国《刑法》至今仍然没有规定“隐私”概念,侵犯隐私在我国并不单独构成犯罪。如果犯罪行为牵连侵犯公民隐私的,可适用相应的罪名,如侮辱罪,诽谤罪,侵害英雄烈士名誉、荣誉罪等。
与《刑法》相反,我国《治安管理处罚法》明确规定对于“偷窥、偷拍、窃听、散布他人隐私的”,可以进行治安管理处罚,而没有将侵犯个人信息行为纳入法律规定中。[9]由此形成刑法制裁侵犯公民个人信息行为,治安管理处罚措施制裁侵犯隐私行为的平行适用体系,法律适用原则非常清晰。并且,对侵犯个人信息的行为以刑法制裁,对侵犯隐私的行为最高只以治安管理处罚,体现梯度保护的立法精神,对个人信息明显给予更高程度的保护。从我国长期将隐私权作为名誉权加以保护的司法实践,以及从刑法修正案近几年来几次将侵犯个人信息相关行为纳入刑罚制裁可以推论,立法机关认为,侵犯隐私权只是普通的民事法律争议,刑法可不予介入;而侵犯个人信息的危害性更大,远远超出民事法律关系,涉及公共安全与公共秩序,必须通过刑法加以制裁。
在行政法与行政管理领域,不少立法一直不是非常严格界定隐私与个人信息两个概念的使用场景,有时候单用,有时候并用,有时候互换使用。比如,《行政处罚法》《政府信息公开条例》等属于第一类,将个人隐私、商业秘密并列,不专门列举个人信息。相反,《国家情报法》《消费者权益保护法》等属于第二类,将个人信息、商业秘密并列,不专门列举个人隐私。《数据安全法》《电子商务法》等属于第三类,将个人信息、个人隐私、商业秘密一并予以列举。实际上,这三类不同的列举方式要实现的立法目的是一样的,以不同的方式列举表明立法者对于隐私与个人信息两个概念的内涵以及使用场景缺乏统一的标准。
由于行政管理行为均属于管理机关的要式行为,建立在对可识别特定个人信息“处理”的基础之上,即使涉及个人隐私也是以“处理”个人信息的方式进行(隐私被个人信息包含),并且,行政执法机关既无法也没有必要在每个行政决定中去判断是否构成对特定个人隐私权的侵犯,因此,单独列举个人信息就完全可以实现立法与行政管理的目的,实现对个人权利的保护。这一点上,不同于民事生活中个人偷窥、披露、散布、宣扬他人隐私等不需要处理个人信息的非要式行为。可见,上述第一类列举范围不够宽,只用隐私概念不能涵盖全部个人信息;第三类列举有重复和交叉,人为增加法律适用中辨析两个概念的难度;只有第二类列举方式比较合适,既避免两个不同概念的交叉,也有效地界定概念的适用范围。
2013年4月,全国人大常委会向社会公布的《消费者权益保护法修正案(草案)》,曾多处同时使用隐私权与个人信息两个概念。消费者的个人信息受保护权是当时修法的重点问题之一,引发各方广泛关注与讨论。[10]最终通过的《消费者权益保护法》只使用个人信息概念,通篇没有使用隐私概念,可以说对隐私权与个人信息保护的关系进行了一次有益的梳理,是值得借鉴的立法范例。
尽管行政管理领域的法律文本存在上述问题,但是,如果从行政执法实践来看,不论是四部委对于app的集中整治,[11]还是公安部近几年来的个人信息保护执法专项行动等,[12]整治的均是侵犯个人信息的各种违法行为,最严厉的制裁均是追究与侵犯个人信息相关的各种刑事责任,直接与刑法对接。也就是说,尽管法律文本存在一定的模糊与交叉,但行政执法实践的指向是明确、一致的,聚焦于个人信息保护。
《民法总则》制定之前,民法中一直没有规定个人信息保护的内容,《民法总则(草案初次审议稿)》也没有任何个人信息保护的规定,因此不存在隐私权与个人信息交叉的问题。隐私权保护作为民事法律问题主要由民法调整,也可以追究治安管理法律责任;个人信息保护作为公法问题由相关行政管理法律调整,构成犯罪的,追究刑事责任。当然,侵犯个人信息给权利人造成损害的,可以根据侵权责任法追究侵权责任,不会因为民法没有规定个人信息保护无法追究侵权赔偿责任,实践中这样的案例并不少。
可见,《民法总则》制定之前,刑法、行政法、民法等不同法律部门,对于个人信息保护与隐私权的关系,体现较为明晰的两个特点。一是平行适用,互不交叉;二是梯度递进,给予个人信息更高程度的保护。这种格局是众多主体在实践中反复互动形成的,体现实践的创造力,实践明显走在理论的前面。[13]这种格局之下,隐私权作为一项具体人格权,是消极防御权利,权项不用列明,通过侵权机制进行保护,致力于个案损害填平等特点。[14]隐私权与国际社会个人信息保护立法的特点正好区隔,平行适用,相互补充。
《民法总则》对于个人信息保护只有第111条的规定,属于宣示性条款,与隐私权规定并未形成实质交叉。《民法典》中人格权独立成编,不但沿袭《民法总则》的规定,还将《网络安全法》的内容基本上复制到人格权编中,[15]隐私权与个人信息保护作为其中的一章并列在一起,出现结构交叉。第1032条对于私密信息的规定使私密信息既是隐私又是个人信息,第1033条将处理他人的私密信息作为侵犯隐私权的一种形式明确予以列举,多处出现内容交叉。第1034条关于“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”,确立优先适用隐私权法律的原则,出现适用规则交叉。[16]与《民法典》制定相适应,2020年最高人民法院印发修改后的《民事案件案由规定》,将原先的第三级案由“隐私权纠纷”改为“隐私权、个人信息保护纠纷”,实现案由的交叉。《民法典》实施后,对于原告而言,由于不好判断隐私权与个人信息权益的关系,合理的诉讼策略肯定是同时提起侵犯隐私权与个人信息保护之诉(实践也确实如此),由人民法院进行判断。即使原告不同时提起两个请求,在所有因侵害个人信息引发的侵权纠纷中,也都会涉及判断相关个人信息是否属于私密信息的前置问题。如果属于私密信息,则属于隐私权保护的对象,适用有关隐私权的规定;不构成侵害隐私权的,才考虑是否侵害个人信息权益。简言之,《民法典》适用必须首先区分隐私权与个人信息保护的关系,从交织的链条中辨析究竟侵犯隐私权还是个人信息权益,可称之为交叉适用。交叉适用的基本特征是将个人信息保护与隐私权两个概念以及两项制度交织在一起,在两者的互动中通过辨析相互关系进行选择与判断。
从时间维度上看,我国公法对于个人信息保护的立法回应远远早于民法。在2017年《民法总则》纳入个人信息保护以前,从2009年《刑法修正案(七)》开始,包括《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》《网络安全法》等在内,几乎所有与信息化相关的重要文件、标准、立法、机构设置等都会涉及个人信息保护相关内容,各种专项行动一个接一个,投入的政策与法律资源之多其他领域难以企及。
然而,一方面,我国公法执法面临的共性问题在个人信息保护领域同样存在,如主要依靠自上而下的政治推动,法治化程度低,政策缺乏连贯性,重建设轻应用等,影响投入的实际效果,甚至投入与产出成反比,投入资源越多效果越差。[17]另一方面,个人信息保护还存在几个特有的问题。一是职能划分不明确,市场监管、网信、工信、公安等各部门的“三定方案”均没有明确涉及个人信息保护的职责。机构改革之后,原工商总局消保局被撤销,市场监管部门没有专门维护消费者权益的内设机构。公安机关面临维护社会治安与公共安全的大量职责,不可能履行一般市场秩序维护职责。网信部门承担互联网信息内容管理、信息化推进与网络安全维护三大职能,个人信息保护只是网络安全维护中的一个部分,既不是核心职能,也远远不到“三分天下有其一”的地步。工信部门传统上只监管电信企业等特定主体,通信管理局(电信监管局)垂直设立到省级,不具备对一般市场主体的监管能力与手段。在这种格局下,各部门推诿扯皮现象难以避免,个人遇到违法行为投诉无门,违法行为蔓延现象难以得到扭转。二是消法、网络安全法等对于执法责任的规定都比较原则与模糊,个别机关长期不执法,直接影响法律的实施。比如,《消费者权益保护法》虽然明确规定个人信息保护的内容,但并未明确履行保护职责的行政主体,并且,第56条实际上进一步固化分散的执法体制,使个人信息保护职责陷入不明确状态,大家都不执法,影响法律有效实施。[18]三是职能划分不明确情况下采取的多部门联合整治方式,临时性特点突出,规范性不足,也难以形成长效机制。四是在互联网快速发展的大背景下,行政管理部门与管理对象之间出现明显的信息不对称现象,监管能力滞后,获取证据难、固定证据难、处罚难、胜诉难,影响执法效果。
正是因为上述种种原因,个人信息保护公法执法成效不彰,一些行政执法部门在不作为与运动式执法两个极端之间来回摇摆,缺乏确定性与可预期性,各界都不满意。在全国人大常委会分别进行的《消费者权益保护法》执法检查、[19]《网络安全法》执法检查中,[20]个人信息保护均是重点,从中能清楚地看到问题的症结所在。
在公法执法久攻不下、侵犯个人信息成为顽疾的大背景下,《民法典》的介入,既有现实性,也有正当性,是立法者与决策者的必然选择。《民法典》将个人信息保护纳入人格权编,与隐私权一并加以保护,既是人格权独立成编的重要体现,显然也是对个人信息保护执法不力的积极回应,其初衷与价值应该得到充分肯定。并且,民法的介入,依靠的是自下而上的法治推动机制,充分体现私法领域法治化程度高的优势,针对的都是公法执法的软肋。公法执法的短板,几乎都是私法执法的长项。如果两者结合成功,既可以发挥私法机制的优势,又可以激活并推动公法法治化进程迈上新台阶,开创个人信息保护的新天地。当然,机制越多,就越需要相互协调与整体制度设计,处理不好,可能导致不同机制之间的冲突或相互抵消。正是在这个意义上,人格权编引入交叉适用,提供了一个很好的个案,对其他领域的法治建设也有很强的借鉴意义。
交叉适用引发的问题主要表现在三个方面:一是隐私权与个人信息保护的关系被重新界定,二是隐私权保护逻辑被适用于个人信息保护,三是人格权编的影响外溢至《个人信息保护法》。
(一)隐私权与个人信息保护的关系被重新界定
交叉适用就需要辨析关系,分清主次。为此,《民法典》从位阶上将隐私权放到主要位置,个人信息保护相对降格,翻转我国法律之前对于隐私权与个人信息保护的梯度递进原则,给予隐私权更高程度的保护,[21]等于完全重构隐私权与个人信息保护的关系。[22]具体表现在以下几个方面:
首先,《民法典》第990条明确将隐私权作为人格权予以列举,将个人信息作为其他人格权益加以规定,权利高于权益,从性质上对两者进行区分,奠定给予隐私权更高程度保护的基础,整个规范与制度设计也建立在这一区分之上。
其次,作为人格权独立成编的重要理由,《民法典》人格权编第一章规定人格权独立请求权制度,包括第997条规定的人格权禁令制度,以及第995条规定的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权不适用诉讼时效的规定等。作为具体人格权,隐私权受到侵害的,当然可以行使这些权利。至于个人信息权益,从字面含义解释,既然不在规定的范围内,应该不能适用这些规定。[23]
再次,深度参与《民法典》制定的学者明确指出,我国《民法典》和其他法律在权益的保护上没有明确的限制,但是在涉及隐私和个人信息保护时,《民法典》是有区别的,将隐私权放到更高的受保护位置。如第1033条在规定侵害隐私权的免责事由时,要求必须经过“权利人明确同意”;但第1038条关于个人信息的处理免责事由里,须经自然人或者其监护人“同意”,没有“明确”两个字。这不是立法疏漏,而是经过反复讨论的结果。说明对个人信息的收集,不一定必须取得权利人同意,也不一定必须是明示的同意,默示的也可以。但是对隐私信息的收集必须是明示的,不能采用默示同意的方法。[24]
最后,《民法典》第1034条“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”,等于将隐私权法律规定整体构架于个人信息保护法律规定之上并优先适用,集中体现对个人信息保护弱于对隐私权保护的立法目的。[25]
《民法典》对于隐私权与个人信息保护关系的重构,基础在于我国民法理论,即根据个人信息权益的属性,确立位阶等级以及构筑相关的规范。在我国民法理论范畴内,这种权利位阶构造也许有一定的道理。但是,这种理论判断既没有放在我国法律体系的整体结构中进行分析,因而与刑法、行政法等其他法律部门构筑的体系出现明显偏离,影响法律体系的一致性,也不符合国际社会的普遍认知与制度演进趋势。信息时代,个人信息既关涉个人人身权、财产权、人格权的方方面面,也间接关系国家安全、经济安全,成为国家竞争力的重要组成部分。作为具体人格权的隐私权受到侵害,主要是精神损害,根本无法与侵害个人信息可能造成的综合损害相提并论。从更宏观的层面看,给予隐私权更高程度的保护,显然缺乏充分的理论与实践支持。
(二)隐私权保护逻辑被适用于个人信息保护
如前所述,由于个人信息保护法律制度的基本特点与人格权保护法律制度的特点正好相反,国际上通行以及我国网络安全法构筑的个人信息保护法律制度的核心是公法与政府监管制度。《民法典》人格权编尽管可以糅合网络安全法的相关规定,但无法整体移植公法运行制度。这样,移植到《民法总则》《民法典》中的相关公法规定最终只能依靠民法制度运行。加之从事民事审判人员知识结构、思维方式的传统路径依赖,徒法不足以自行,必然使得个人信息保护规定被嵌入到民事(隐私权保护)制度运行轨道中,实际上会降低对个人信息的保护,出现与立法初衷相悖的结果。同时,要求交叉适用之后,会改变过去的判断标准,增加法律的不确定性。
有法官对北京地区1383份裁判文书进行分析后发现,“北京地区个人信息司法救济主要以隐私权为主。该救济模式将‘个人信息’限缩至隐私权范畴进行保护,排除未明显侵害隐私权但侵害个人信息自决权的侵权行为。单纯依靠隐私权进行个人信息的司法救济在侵权行为及侵权责任认定等方面存在实务困境,无法实现对个人信息的充分救济”。[26]理论与实务部门较为普遍地承认,“《民法典》没有明确区分个人信息保护与隐私权、名誉权等具体人格权项下适用的细微关系,出现个人信息保护相关司法实践较多援引肖像权、名誉权和隐私权等相关规定进行裁决的窘境”。[27]
有作者抽取2017至2019年全国适用二审程序裁判的公民隐私权(个人信息)侵权案件数量共计243件进行分析,在抽取的判决中有187份对隐私权概念进行定义,约占76.95%。主要观点体现在两个方面:一是认为隐私权是自然人私生活安宁和私人信息受保护,不被他人侵扰、知悉、收集、利用、公开的权利;二是认为隐私权属于自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配、不受他人非法干预的权利。[28]非常明显,上述两种定义都体现很强的以隐私来界定个人信息保护的倾向。
不论是三要件说还是四要件说,在民法制度之下,构成侵权责任,都需要满足法定的要件。[29]首先,需要有损害事实要件。“不愿为他人知晓”的特点决定了侵犯隐私权导致的损害相对容易判断,偷窥、公开、披露他人的隐私往往会带来受害人社会评价降低、名誉受到影响等具体损害后果,可以特定到具体受害人个人,甚至会导致严重的精神损害。相反,海量处理“可识别”特定个人的个人信息,带来的未必都是损害,有可能没有具体的损害,也有可能是正面利益(如捐助、见义勇为行为带来的社会正面评价)。即使带来损害,通常情况下一般认为也只是个人信息被处理后带来的某种焦虑与不安,既不是特定的损害,也不是只针对特定的个人,更难以达到严重精神损害的程度。这样,用民事隐私权逻辑来套用个人信息保护,在大量的案件中往往很难认定具体的损害存在,因此也就难以追究侵权责任,遑论精神损害赔偿。[30]在个别案件中,受害人即使最终能够胜诉,往往因为缺乏损害事实而使得胜诉判决没有实际意义。[31]其次,需要有过错与因果关系要件。隐私权侵权通常是个人行为,受害人特定,责任主体相对明确,整个侵权链条相对清晰,因此,过错与因果关系两个要件都较容易证明。相反,海量处理个人信息的行为涉及对象广泛,信息处理者内部结构复杂,还可能涉及多个信息处理者,依靠单个受害人力量很难获取与固定证据,无法辨析具体侵害主体与侵权环节,无法证明信息处理者存在过错,也无法证明信息处理者行为与损害之间的因果关系。这也就是大量的侵犯个人信息民事案件,原告胜诉非常罕见的原因。再次,由于隐私权侵权相对容易证明过错与因果关系,违法性要件可以被过错吸收,可以不将违法性单独作为侵权责任构成要件。相反,由于侵犯个人信息案件中原告难以证明信息处理者存在过错,公法上的个人信息保护义务与违法性要件就具有特别重要的意义,实际上需要通过查证信息处理者的违法性(违反公法义务)来证明其过错的存在以及因果关系(可参见下文对我国台湾地区相关法律的分析)。如果说一般情况下因为定义违法性比较困难可以不考虑违法性要件,[32]个人信息保护法则需要通过设定信息处理者的公法义务为判断合法性提供明确的标准。套用民事隐私权法律推理逻辑,尤其是简单适用三要件说进行推理,不考虑违法性要件,等于放弃个人信息保护最为重要的法律武器,会极大增加个人信息保护的难度。最后,可识别特定个人信息的范围远远大于“不愿为他人知晓”的信息范围,将隐私权套用到个人信息保护,必然会限缩保护的范围。正是这些原因,导致实践中民法对于个人信息的私法保护规定一直难以落地。[33]民法纳入个人信息保护内容,本意是要加强对个人信息的保护,肯定没有想到会降低对个人信息的保护水平,出现与立法意图相悖的结果。
另外,判断隐私权是否受到侵犯,在以往的民事司法实践中,核心的判断标准是看会否导致受害人的社会评价降低,其标准是明确的,也是一致的。至于是否违法处理个人信息,也逐步聚焦到可识别特定个人的信息上。因此,两个判断标准都是明确的,也都是单维标准,彼此边界清晰,便于掌握。人格权编确立交叉适用之后,出现两个变量,法官有可能必须从隐私视角判断个人信息的性质或者分类,以厘清两者的关系,等于是引入另一个全新的二维标准对个人信息进行定性,与以往的实践发生较大的偏离。[34]以“微信读书案”为例,[35]法官最后将个人信息划分为符合社会一般合理认知下的私密隐私、不具备私密性的一般信息和兼具防御性期待和积极利用期待的个人信息三类。对于第三类信息,需要结合信息内容、是否涉及人格尊严等因素判断是否侵害隐私权。如果尚未达到对用户人格刻画的程度,不涉及人格尊严的维护问题,则尚未构成私密隐私,不能成为隐私权的保护对象。不论本案法律推理是否成立,这种以隐私来界定个人信息性质的推理方法明显与以往的标准不同,并导致前后两个标准并存的局面。法官在不同案件中究竟会采用单维标准还是二维标准,以及法官如何阐释新标准,都会面临很大的不确定性。
可见,网络时代个人信息面临重大挑战,根源在于公法制度缺位。因应之道,应该是补齐短板,健全相应的公法制度,形成公法私法互补的执法结构。简单将公法规范与制度纳入传统民事救济机制,必然进一步加剧一条腿长、一条腿短的失衡格局,出现与立法目的相悖的结果。
(三)人格权编的影响外溢至个人信息保护法
【数字社会·研究精粹】陈川、刘渊:数字乡村建设展现广阔前景
【数字社会·最新资讯】2021世界智慧城市大奖中国区大奖获奖名单揭晓!
【数字政府·最新资讯】数字化让你的生活更美好了吗?欢迎来吐槽
内容来源 / 中外法学编辑部,2021年9月29日
今日编辑 / 陈恬乐
责任编辑 / 戴晟昱
城市大脑研究院提供开放研讨平台,所有文章仅代表作者个人观点,欢迎共同探讨。原创文章,转载请注明来源:城市大脑研究院。部分图片来源于网络,如涉及版权问题,敬请及时联系我们。