民法典编纂视野下的个人信息保护
程 啸
(清华大学法学院教授,博士生导师)
内容提要
个人信息的民法保护具有重要的作用与意义,对个人信息应采取公法与私法并重的综合性保护方法。我国民法典规定个人信息保护,不仅奠定了个人信息保护的正当性基础,也为个人信息保护立法提供了基本法律依据。自然人对个人信息并不享有绝对权和支配权,而只享有应受法律保护的利益。该利益是指自然人享有的防止因个人信息被非法收集、泄露、买卖或利用进而导致人身财产权益遭受侵害或人格尊严、个人自由受到损害的利益。只有行为人违反保护性法律侵害个人信息时,才产生侵害个人信息的侵权责任。民法典人格权编草案应区分隐私权与个人信息,并进一步完善侵害个人信息的民事责任规定,如归责原则、因果关系、损害的认定、减免责事由、责任承担方式等。
关键词
民法典编纂 个人信息保护 人格权编 隐私权
引 言
随着网络信息技术的高速发展,现代社会已进入信息社会、网络时代,个人信息的保护及其与信息自由、公共利益的关系成为现代各国法律中备受关注的问题。我国个人信息的法律保护经历了从以公法保护为主到日益重视私法保护的发展历程。2005年十届全国人大常委会第十四次会议通过的《刑法修正案(五)》中增设的“窃取、收买、非法提供信用卡信息罪”(第177条之一第2款),是我国法律上第一个关于侵害公民个人信息犯罪的法律规定。2009年十一届全国人大常委会第七次会议审议通过的《刑法修正案(七)》在《刑法》中新增第253条之一,首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的行为情节严重的规定为犯罪行为,从而纳入刑事打击的范围。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》对网络服务提供者和其他企业事业单位、国家机关及其工作人员在收集、使用、保管公民个人电子信息中应当遵循的原则、承担的义务及法律责任作出了具体的规定。在此基础上,2017年6月1日起施行的《网络安全法》于第四章“网络信息安全”中对个人信息的收集、存储、保管和使用进行了更全面的规范。虽然该法主要还是规定了网络运营者违反各种保护个人信息的法定义务的行政法律责任(如罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等),但其也从私法的角度对个人信息保护作了一些规定,如该法第74条第1款规定:“违反本法规定,给他人造成损害的,依法承担民事责任。”
2013年十二届全国人大常委会第二次会议修订《消费者权益保护法》时,在原第14条中新增了消费者“享有个人信息依法得到保护的权利”,并在第50条就侵害该权利的民事责任作出了规定,这是我国法律首次从民事权利的角度对个人信息作出的规定。2017年10月1日起施行的《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”此外,该法第127条还规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”尽管就《民法总则》第111条是否规定了自然人个人信息权仍存在争议,但该条毕竟“从民事基本法的高度赋予了自然人个人信息保护的权利(权益),为个人信息保护在民法分则进一步细化规定提供了基础”,因此具有十分重要的意义。
当前,我国最高立法机关正在加紧编纂民法典各分编。作为民法典分编之一的“人格权编”草案,不仅在第一章“一般规定”和第五章“名誉权”中分别就个人信息的合理使用(第781条之一)以及信用信息的收集(第809条)等作出了规定,还专门在第六章“隐私权与个人信息保护”中,使用六个条文(第813条至第817条之一),对个人信息的收集、使用、删除、更正和保护等问题作出了较为详细的规定。民法典人格权编草案对个人信息保护的规定,充分说明了最高立法机关对个人信息民法保护的高度重视。
然而,由于理论界对于个人信息有无必要通过私法加以保护以及在民法典中如何规定个人信息保护等问题,仍然存在不同的认识,因此,在我国民法典编纂时,首先需要解决的一个问题就是,个人信息的私法保护究竟有何作用?如果完全可以通过公法保护,则民法典就没有必要对个人信息保护作出规定。即便现行的公法规范不完善,也可通过《个人信息保护法》《数据安全法》等单行立法加以完善。倘若个人信息的民法保护很重要,值得进一步讨论的是,民法典应当怎样对个人信息作出规定,如民法典是否应当确立作为一种新型人格权的个人信息权,个人信息被侵害时民法典能够提供何种救济等。本文将对上述问题进行一些粗浅的探讨,以供最高立法机关编纂民法典时参考,从而有助于更好地协调个人信息保护与信息自由、公共利益的关系,既更好地保护自然人合法权益,又促进数字经济的发展。
一、个人信息私法保护的功能与意义
(一)个人信息的私法保护面临的挑战与公法保护的作用
在进入信息社会之前,个人信息如自然人的姓名、身份证号码、电话号码、家庭住址、肖像、财产信息、病历资料等就已经存在,并被政府、企业等主体收集、保管、分析和使用。但是,在进入信息社会前,不仅个人信息的类型相对简单,产生的渠道非常有限,而且收集、存储和利用个人信息的手段和方法也较为单一。此时,通过姓名权、名誉权、隐私权、肖像权等具体人格权的规定以及侵权法规范,就足以满足个人信息保护的需要。例如,未经同意公开或披露自然人的隐私信息(如家庭住址、电话号码等)的,构成对隐私权或名誉权的侵害;擅自使用他人姓名的,是侵害姓名权的行为。但是,随着信息网络科技尤其是大数据与人工智能的发展,个人信息的产生、收集、存储和利用等方面发生了巨大的变化。
首先,个人信息的范围越来越广,种类也越来越多。一方面,除了传统的那些能够直接识别特定自然人的信息,如姓名、身份证号码、家庭地址、电话号码等,还有一些虽然本身不足以识别特定自然人但与其他信息结合后就能识别出特定自然人的信息,如爱好、习惯、兴趣、性别、年龄、职业等,也成为个人信息;另一方面,现代科技的发展也促使了各种新型个人信息的产生,如通信记录和内容、个人生物基因信息、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹等。在进入网络信息社会前,这些信息要么根本不存在,要么无法被收集和存储,现在,则可以很容易地被网站通过Cookie技术或智能设备加以收集和保存。由此也导致了需要保护的个人信息的范围越来越广,甚至在许多情况下,连界定哪些信息属于个人信息都存在困难。
其次,进入信息社会之前,对个人信息的收集方式大多是由自然人主动提交,政府、企业等主体收集后手工记载在纸质文档或录入电子档案中加以存储,不仅信息收集的效率、数量和范围有限,且因缺乏算法技术和足够的算力,也难以对其进行分析利用。然而,现代网络信息技术已将现代社会生活高度数字化(或数据化),Cookie技术和各种传感器可以自动地收集与存储个人信息。这种个人信息被大规模、自动化地收集和存储的情形变得越来越普遍,几乎无处不在、无时不在。由此产生了个人信息保护上的各种新情况和新问题,如海量的个人信息因保管不善被泄露甚至被非法出售或利用,进而出现犯罪分子利用非法取得的个人信息对受害人进行精准诈骗或者实施其他违法犯罪行为的问题。大数据与人工智能技术的发展使得对海量数据的分析与使用变得非常简单,个人信息被滥用的可能性被极大地增加。例如,各种网络平台通过分析和利用海量的个人信息,对目标群体做人格画像,实施精准营销,甚至行为操纵,严重危害自然人的人格尊严,妨害人格的自由发展。
在这种情形下,传统民法的人格权与侵权责任制度已难以满足有效保护个人信息、维护自然人人身财产安全的需要。例如,现代社会中收集、存储和利用个人信息的主体数量众多且数据规模巨大,一旦个人信息数据被泄露,不仅涉及的受害人数量极为庞大,且受害人往往无法证明泄露者是谁。此外,除非个人信息的泄露给自然人既有的民事权益造成损害,如因个人信息泄露被诈骗而遭受金钱损失,否则在仅仅泄露信息或非法利用个人信息的场合下,依据传统民法中损害的差额说理论,受害人甚至连所遭受的损害究竟是什么都无法证明。显然,受害人很难指望通过提起民事侵权之诉来维护自身权益。况且,从经济效率上说,让势单力薄的个人对大量收集、存储和利用个人信息的公司或政府以提起民事诉讼的方式来实现保护个人信息的目的,也很不现实。正因如此,个人信息保护的立法才从公法开始,即:一方面,对收集、存储、分析、使用个人信息的行为予以详细严格地管理,通过管制性规范确定各种法定的个人信息保护义务,甚至使之以技术手段内嵌入各种收集个人信息的软件程序中,以有效地预防个人信息被侵害,从源头上遏制违法收集、使用个人信息的行为,消除自然人因个人信息被侵害而遭受各种现实或潜在的危险。倘若收集和利用个人信息的主体不遵循法律规定,行政主管机关也有人力和物力的支撑来予以查处,通过对违法者施加相应的法律责任惩治侵害个人信息的违法行为,并由此形成巨大的威慑作用。另一方面,随着信息社会中的个人信息数据日益成为定向广告、营销策略甚至是创造巨额个人财富的工具,互联网上各种行为定向广告和价格歧视遍地开花。这些在互联网上被广泛应用的各种定价算法,不仅没有改善竞争,反而形成了各种新型垄断以及歧视行为,既扭曲了正常的市场秩序,也损害了消费者的合法权益,使他们为商品和服务付出了比以往更多的金钱。此时,行政机关可以借助《反垄断法》《个人信息保护法》《消费者权益保护法》等法律对各种算法垄断、侵害消费者权益的定价算法予以规制,维护公平、公正、公开的市场秩序,这在客观上也起到了保护自然人不因个人信息被滥用而遭受损害的作用。
(二)个人信息的私法保护的作用
尽管传统民法在个人信息保护上遭遇了新的挑战,且公法对于保护个人信息具有很重要的作用,但因此就忽视甚至否定个人信息私法保护的作用和意义,显然是不妥的。
首先,个人信息保护的最终目的不是维护公共利益和公共秩序,而是维护自然人的合法权益。通过赋予自然人对个人信息享有相应的民事权益,不仅能够为保护自然人既有的人身、财产等民事权益建立起有效的防御屏障,还可以避免其他可能出现的新型侵害行为。尽管刑事制裁与行政处罚具有重要的预防和威慑作用,但无论是公安机关、网络安全主管部门还是市场监管部门,都不可能发现并查处每一个侵害个人信息的违法行为。况且,即便是对被发现的违法行为人进行了惩处,也不等于就填补了受害人的损害,并不能真正完全实现对受害人的个体保护。通过对个人信息的民法保护,赋予自然人对个人信息相应的民事权益,能够使广大自然人更加重视该权益,让他们真正认识到“线上平台的免费午餐券需要用我们的个人信息来换取”,而这种免费的成本已经变得越来越高了。这样就能促使人们在日常生活中“认真对待个人信息”,积极保护个人信息。在个人信息被非法收集、利用等侵害行为发生时,也可以更充分地调动自然人保护个人信息的积极性,使之“为权利而斗争”。不仅可促使其在发现侵害个人信息的违法行为后及时向执法机关举报,也可以让其通过对侵权人提起民事诉讼获得补偿,进而对现实的和潜在的侵权人产生巨大的威慑作用。
其次,民法上对自然人个人信息的保护作出规定,不仅意味着民法认可了自然人对个人信息享有受保护的民事权益,彰显了法律对人格尊严和人格自由的尊重,也充分表明了在任何个人信息保护与数据权属的立法中都应始终关注自然人的民事权益保护与信息自由(信息的流动、共享与利用)这两个法律价值的权衡与协调。如果完全排除民法对个人信息的保护,一味基于所谓公共秩序或公共利益而仅由公法保护个人信息,必然导致价值权衡上的重大缺失,使得个人信息的法律保护缺乏充分的正当性基础,由此也会使得个人信息保护问题被简单化为数据收集者、数据控制者的利益与公共秩序、公共利益的矛盾冲突。在忽视甚至否定自然人对个人信息的民事权益的前提下,空谈公共利益或公共秩序,很可能会造成个人信息保护和数据权属立法最终沦落为利益相关方(各类不同的数据企业之间)围绕着个人信息(数据)这一稀缺资源展开的争夺战,甚至使得法律规定成为一方打击另一方,进而限制竞争、维护信息垄断地位的手段,最终损害整体的社会福利。反之,通过对个人信息进行民法保护,科学合理地承认自然人对个人信息应有的民事权益,不仅不会损害公共利益和公共秩序,反而可以在更坚实的正当性基础上建立相应的规则和制度,更好地实现维护公共利益和公共秩序的目标。现代法律中几乎没有完全不受公共利益和公共秩序限制的民事权益,我国民法也不例外。我国《民法总则》已明确将公序良俗作为民法的基本原则之一,依据该法第8条,民事主体从事民事活动,不得违反法律,不得违背公序良俗原则。个人信息保护亦不例外。例如,为了新闻报道、舆论监督,以及为维护公共利益而合理收集、使用或者公开自然人个人信息时,无须承担侵害个人信息的民事责任。因此,通过民法对自然人就其个人信息的赋权性规范,可以为法律上细化有权机关针对大规模侵害个人信息的行为提起公益诉讼奠定基础,从而更好地维护公共秩序和公共利益。
再次,从比较法上来看,尽管各国对是否承认个人信息权有不同的看法,但没有哪个国家完全将个人信息的保护作为单纯的公法任务。各国都是综合利用公法与私法来实现对个人信息的有效保护。例如,欧盟《一般数据保护条例》除了对数据控制人侵害个人信息的违法行为规定了巨额罚款等行政责任外,还专门在第82条就损害赔偿请求权和民事责任作出了规定。《德国联邦数据保护法》第83条规定:如果数据控制人处理他人数据的行为违反本法或其他法律,并导致他人损害的,控制人或者其法人负有损害赔偿义务。但是在非自动化数据处理的情形下,如果损害并非是由于控制人的过错所致,则其不负有赔偿义务。我国台湾地区“个人资料保护法”更是专章规定了侵害个人资料(即个人信息)的“损害赔偿与团体诉讼”。该法区分了公务机关与非公务机关的侵权行为,分别在第28条和第29条确立了侵害个人资料的侵权责任适用无过错责任与过错推定责任,同时还对损害赔偿的数额作出了具体的规定。依据第28条第25项的规定,被害人不仅可以要求非财产上之损害赔偿,而且在被害人不易或不能证明其实际损害额时,还有权请求法院依侵害情节,以每人每一事件新台币五百元以上二万元以下计算,判令侵权人赔偿损害。
最后,我国的一些学者之所以反对个人信息的私法保护,主要是因为他们认为,承认个人信息的民法保护就等于在民法上将自然人对个人信息的权利界定为绝对权和支配权,而这会产生很大的弊端,会造成信息无法自由地流动,将每个人变成一座孤岛而无法进行正常的社会交往,因而无法实现个人信息上承载的不同价值和利益的平衡。但笔者认为,这种观点是对个人信息民法保护的一种误读误解。因为承认个人信息的民法保护,并不当然意味着民法上就要承认自然人对个人信息的权利,更不等于必须将自然人对个人信息的权利界定为如同所有权那样的绝对权与支配权。
综上所述,传统民法在个人信息保护中虽然受到了挑战,存在需要完善改进之处,但不能因此就否定个人信息私法保护的重要意义与功能。现代法律对个人信息的保护应当采取公法与私法并重的综合性保护方法,二者不可偏废:既要从公法的角度明确各类主体从事收集、存储、分析、使用个人信息等行为应当遵守法定义务,也要从民法的角度认可自然人就个人信息享有相应的权利,如是否同意个人信息被收集的权利、在个人信息发生错误时要求删除和更正的权利等;既应当对违反公法上个人信息保护义务的违法犯罪行为给予行政处罚甚或施加刑罚,也应当允许自然人基于其个人信息上的民事权益,请求侵害个人信息的侵权人承担赔偿损失、赔礼道歉等相应的民事责任。
(三)民法典规定个人信息保护的重要意义
当前,我国正在进行民法典分编的编纂工作,2018年8月27日至31日召开的第十三届全国人大常委会第五次会议第一次审议的民法典各分编草案中的“人格权编”(以下简称“人格权编草案一审稿”)将个人信息与隐私权合并规定在第六章“隐私权和个人信息”中。立法机关在“人格权编草案一审稿”中之所以规定“隐私权和个人信息”,是因为隐私权和个人信息保护领域存在突出的问题,故而,需要在现行法律规定基础上,“进一步强化对隐私权和个人信息的保护,并为即将制定的个人信息保护法留下衔接空间。”
2019年4月第十三届全国人大常委会第十次会议第二次审议的民法典人格权编草案(以下简称“人格权编草案二审稿”),将一审稿第六章的章名从“隐私权和个人信息”修改为“隐私权和个人信息保护”。这一变化更清晰地表明了立法者强化个人信息保护的立场。不仅如此,“人格权编草案二审稿”还增加了对未成年人个人信息的保护规定。该草案第814条第1项明确规定,收集使用未成年人等无民事行为能力人或者限制民事行为能力人的个人信息的,应当征得其监护人的同意。此外,对于国家机关及其工作人员在履行职责过程中知悉的自然人的隐私和个人信息,草案第817条之一要求,国家机关及其工作人员负有保密的义务,不得泄露或者非法向他人提供。
笔者认为,我国民法典人格权编草案对个人信息保护的问题作出相应的规定,极为必要,具有以下重要意义:
一方面,在民法典中规定个人信息保护,明确自然人对个人信息享受保护的权利,可以为公法对任何组织和个人收集、存储、保管、分析和使用个人信息的行为加以规制,确定相应的义务,并对违反规定的行为进行处罚奠定坚实的基础。我国民法典人格权编对个人信息保护的规定,并非简单的一部法律对个人信息保护的规定,而是具有如同《欧盟基本权利宪章》第8条关于个人信息保护规定相同法律地位的规定。如果民法典不对个人信息的保护作出规定,那么无论是行政法对个人信息的规制,还是刑法对侵害个人信息行为的处罚,都将因此缺乏民事权益上的正当性基础与民事基本法的依据。我国《宪法》第37、38条规定,公民的人身自由和人格尊严不受侵犯。《宪法》上确立的保障公民人身权利和财产权利的精神与原则,必须通过民事法律予以体现和落实。民法典作为市民社会的基本法,是民事领域的基础性、综合性的法律,规范了人身关系和财产关系,涉及社会和经济生活的方方面面。将人身自由与人格尊严体现和落实在民法典中,可使其成为真正可以切实行使的权利,真正受到法律保护,并随着社会生活的变迁发挥产生、发展新型人格权益的功能。所以,民法典人格权编对个人信息保护的规定,既是对《宪法》保护公民人身自由和人格尊严的基本权利规定的贯彻落实,也是“自然人享有基于人身自由和人格尊严产生的其他人格权益”的体现。
另一方面,民法典中规定个人信息保护,有利于构建一个科学合理的个人信息保护的法律体系。民法典对个人信息保护的基本原则与规则(如自然人就个人信息享有的各项权利,收集和使用个人信息应遵循的基本原则,侵害个人信息的侵权责任构成要件、归责原则、免责事由及侵权责任的承担方式等)作出相应的规定,既可以为《个人信息保护法》《数据安全法》等法律的制定提供基本的依据,也可以为《电子商务法》《消费者权益保护法》等法律以及《征信条例》等行政法规和部门规章随着网络信息科技的发展而修订完善提供规范基础。
从目前我国民法典人格权编草案的两次审议稿来看,其对个人信息保护的规定有以下两个特点:其一,明确承认个人信息属于受保护的人格权益,并在人格权编中对个人信息保护作出规定。这样的规定与将《民法总则》第111条放到人格权后身份权之前加以规定的立法定位保持了一致;其二,人格权编草案主要是对个人信息保护的基本原则,相关主体(个人信息被收集的自然人、信息收集者、信息持有者),自然人基于对个人信息受保护而享有的权能,以及信息收集者、保管者的基本义务等作出了规定。如前所述,作为市民社会基本法的民法典规定这些内容,既彰显了我国对个人信息保护的高度重视,也为后续的《个人信息保护法》《数据安全法》的制定提供了基本的根据。例如,《个人信息保护法》可以依据民法典的规定,针对不同类型的个人信息(如生物基因信息、未成年人信息、金融信息、信用信息)、不同的场景(物联网进行的自动化收集、自然人上传等非自动化收集),以及不同的信息收集者和持有者(政府、网络平台等民事主体)的行为义务作出更为具体的规范。
二、个人信息上的民事权益之界定
(一)对《民法总则》第111条的理解
在许多学者看来,个人信息的民法保护涉及的核心问题就是:自然人对个人信息享有的究竟是民事权利抑或仅仅是受保护的民事利益。而围绕该问题的争议集中体现在对《民法总则》第111条的解释之上。持民事权利说的学者认为,《民法总则》第111条第1句确立了自然人对个人信息享有的是民事权利,即个人信息权。关于个人信息权的性质,多数人认为是一种新型的人格权,即个人信息权或个人信息自决权,它是指自然人对其个人信息享有支配和自主决定的权利,其内容包括个人对信息被收集、利用等的知情权,以及自己使用或授权他人使用等。该权利是不同于隐私权、名誉权等的一种新型人格权。持民事利益说的学者认为,自然人对个人信息享有的只是受法律保护的利益,而非民事权利。一则我国《民法总则》第111条并没有使用“个人信息权”的表述,这意味着立法机关没有将个人信息作为一项具体的人格权利,这也“为未来个人信息如何在利益上兼顾财产化以及与数据经济的发展的关系配合预留了一定的解释空间。”二则《民法总则》第111条采取了行为规制模式而非权利化模式来保护个人信息,即通过对他人行为加以控制的角度来构建利益空间,维护利益享有者的利益。
笔者认为,从法解释的角度来看,难以得出《民法总则》第111条确立了自然人对个人信息享有民事权利即个人信息权的结论:
首先,该条虽规定在第五章“民事权利”中,可是立法者并未将个人信息明确规定为“个人信息权”。我国人格权法的主流观点认为,人格权应当如同物权法承认物权法定主义那样,采取人格权法定主义的立场。从《民法通则》到《侵权责任法》的立法实践表明,凡是立法者认可为某类具体人格权的,必定会使用“某某权”的表述。《民法总则》第五章“民事权利”在列举了自然人的生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等具体人格权和身份权后,才在第111条对个人信息的保护作出规定,且未使用“个人信息权”的表述。这就足以表明,立法者只是认为自然人的个人信息应受到法律的保护,但并没有将其确立为可称之“个人信息权”的一种具体人格权。
其次,《侵权责任法》第2条、《民法总则》第120条将侵权法保护的范围界定为民事权益,即“人身、财产权益”。《民法总则》第五章正是对我国侵权法保护的民事权益按照权益的位阶加以排序后的最详尽描述。该章首先规定的是最重要的民事权益即人格权益(第109111条);其次是身份权(第112条);最后是财产权益,包括物权(第114117条)、债权(第118122条)、知识产权(第123条)、继承权(第124条)、股权和其他投资性权利(第125条)、法律规定的其他民事权利和利益(第126条)以及数据与虚拟财产(第127条)。因此,不能仅从《民法总则》第五章的章名为“民事权利”就得出凡是规定在这一章的都是民事权利的结论。
最后,由于《民法总则》是紧接在具体人格权的规定(第110条)之后,身份权、财产权(第112条以下)之前,对个人信息保护作出规定的(第111条)。故此,从体系解释的角度上说,可以认为,立法者更倾向于将个人信息作为一种需要保护的人格利益。这也可以从《民法总则》第111条第2句的规定得到验证,因为该句是从其他民事主体对自然人的个人信息负有保护的义务的角度作出的规定。换言之,任何组织或者个人只有在违反个人信息保护义务的情况下,才构成对个人信息的侵害,并应当依法承担民事责任。至于这些个人信息保护义务的具体类型和内容,则应交由《网络安全法》及将要制订的《个人信息保护法》《数据安全法》等法律加以明确。这就从另一个侧面说明了立法者就没有在民法典中确立个人信息权。
(二)研究自然人对个人信息的民事权益的两个视角
事实上,研究自然人对个人信息究竟享有何种民事权益的问题,有以下两个视角:一是,自然人对个人信息究竟享有何种值得法律予以保护的独立的利益,即利益的视角。从这个角度出发,可以明确个人信息的民法保护的根本目的,同时有效区分既有的民事权益与自然人对个人信息所享有的独立的民事权益之间的关系。二是,民法在自然人的个人信息被侵害时为其提供何种救济手段,即救济的视角。从这个角度思考,有助于在协调权益保护与自由维护的基础上更好地回答究竟应将自然人的个人信息规定为权利还是受法律保护的利益。
1.利益的视角
民法学通说将权利界定为:法律规范授予人的,旨在满足其个人利益的意思力(Willensmacht),即享受特定利益的法律之力。法律上之所以确立某一民事权利,根本目的在于保护民事主体的某种利益,以满足其需求。社会在发展,民事主体的利益需求也在发生变化,但并非民事主体的所有利益需求都能得到法律之力的保护,或者虽然得到保护也未必是同等强度的保护。在民法上,无论是通过成文法创设权利来保护某种利益,还是通过为受侵害的利益提供救济而实现对利益的保护,都需要考虑以下因素:首先,该利益是否为一种合法的且有必要从法律上加以保护的利益。如果是非法的或者无须法律加以调整的利益,则不能给与保护。其次,即便该利益是合法的且法律有保护的必要性,也必须考虑其是否能够为现有的民事权益体系所涵盖。如果能够通过既有的某种民事权利保护该利益,则无须叠床架屋,创设一种新的民事权利。最后,即便是合法的、有保护的必要且现有民事权益体系无法涵盖的利益,立法者在决定对其加以保护时,也必须考虑各种冲突价值之间的协调问题,尤其是要权衡权益的保护与合理行为自由的维护之间的冲突。因为,“对一个人的保护,往往是以牺牲另一个人的权利或利益为代价的”,而“拥有权利就必然包含拥有对限制他人自由以及决定他人应该如何做的道德证明”。
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等(《网络安全法》第76条第5项)。一方面,人是社会性动物,每个人都是社会的人。在社会中生活,任何人都必须与他人交往,从而形成各种人身关系与财产关系。在交往的过程中,必须通过个人信息来互相识别,否则人和人就无法正常交往。“没有对社会环境的知识和理解,一个人就无法成为社会的一员。因此,人们必须要有收集和处理其所在群体的相关信息的可能性。”另一方面,个人信息本身具有全时性、无形性的特点,且信息仅在交流时才具有意义,单纯的、不用于交流的任何内容不能被称为信息。个人信息本身也是在人与人的交流中产生,在这种交流中才有意义和价值。任何自然人都不可能对个人信息进行排他的与独占的支配。因此,民法对个人信息的保护不能也不应使自然人个体对个人信息享有绝对的排他的支配。这样做不仅无法使每个自然人更好更快地了解自己和他人,也难以实现使人们在社会生活中以更多样化的方式实现彼此的交流沟通的目的。
民法不是为了保护个人信息而保护个人信息,个人信息本身也不是需要得到法律保护的利益。但是,个人信息上附着着其他需要法律保护的利益。其中,有相当一部分的利益已得到了现行法上各种人格权的保护,如个人信息上的隐私、生活安宁等利益为隐私权所保护,自然人对作为个人信息的姓名所享有的决定、变更和使用的利益被姓名权加以保护,肖像权保护的是自然人对其肖像的支配利益。如果非法泄露或使用个人信息的行为侵害了上述人格利益,则该行为就是侵害隐私权、姓名权或肖像权的侵权行为。排除这些在个人信息之上已为其他民事权利所保护的附着利益后,自然人对个人信息是否还享有某种独立的、应受保护的利益呢?对此,笔者认为,由于大数据时代个人信息被收集、存储和利用的方式发生了根本的改变,为了防止因个人信息被非法收集或利用而产生的各种侵害自然人的人格尊严、妨害人格自由,以及损害自然人既有的人格权与财产权的特殊危险,现代社会的个人信息上还附着着一种应当受到保护的防御性或保护性利益,即自然人针对个人信息还享有防止因个人信息被非法收集、泄露、买卖或利用而导致其既有人身、财产权益遭受侵害甚至人格尊严、个人自由受到损害的利益。该利益既无法为现有的人格权等民事权利所涵盖,又属于法律上有保护之必要的合法利益。
在大数据时代,个人信息被收集、储存、转让和使用已经成为每个自然人被嵌入其中的社会生活常态,无法改变。然而,无论是数据企业、政府部门还是其他主体,在收集、保管、分析和使用个人信息的过程中,极有可能会给自然人带来各种前所未有的侵害自然人既有人身、财产权益以及损害人格尊严和人格自由的危险。这些危险至少包括:其一,因个人信息被非法收集、非法买卖或使用而使犯罪分子有机会对自然人既有的生命权、健康权、名誉权、隐私权等人格权以及债权、物权等民事权利实施侵害;其二,基于被合法收集的个人信息而形成的大数据,通过算法等技术进行社会分选、歧视性对待,进而损害人格尊严的危险;其三,通过大数据和人工智能技术进行人格画像,将作为民事主体的自然人降格为客体并加以操控,进而损害人格自由等。为了消除上述各种新的危险,法律上必须承认自然人对个人信息具有一种防御性的利益,并给予保护。如此才可能为信息社会的每个自然人筑起一道坚实的法律保护屏障,使之免于遭受上述危险现实化后所带来的损害。故此,从利益的角度进行观察后可以发现,自然人对个人信息拥有独立的、无法为既有民事权益涵盖的、应受到法律保护的利益。
2.救济的视角
民事权益分为民事权利与民事利益,民事权利又可分为绝对权与相对权,或者支配权与请求权。作此区分是因为民法对不同的民事权益给予的是不同的保护,提供的是不同的救济方法。所以,在肯定了自然人对其个人信息存在有保护之必要的独立利益之后,需要讨论的是对该利益究竟应给予何种救济方法,因为,救济的方法从反面论证了自然人对个人信息之独立的应受到保护的利益究竟是一种权利抑或只是应受保护的利益。
在所有的民事权益中,受保护程度最高、力度最大的就是绝对权与支配权。所谓绝对权就是可以对每一个人发生效力,任何人都必须尊重的权利。支配权是指权利人可以支配某种客体并具有排除他人干涉功能的权利。如果一项民事权利既是绝对权又是支配权,则其获得的是民法的最高程度保护。最典型的绝对权与支配权就是物权。物权是权利人依法对特定的物享有直接支配和排他的权利,包括所有权、用益物权和担保物权。以作为完全物权的所有权为例,所有权意味着“所有人有权向任何一个无权占有其所有物的人要求返还,所有权人还有权排除第三人对其所有物的任何干扰。”我国《物权法》第三章、《侵权责任法》第2条第2款为包括所有权在内的物权提供了绝对的保护。据此,所有人不仅在他人因过错侵害其所有权并造成损害时,有权要求侵权人承担损害赔偿等侵权责任;而且在他人只是侵占所有物、妨碍所有权的圆满状态甚至有妨碍之虞时,也可以行使物权请求权,要求其返还原物、排除妨碍、消除危险以及停止侵害。
与绝对权不同的是,相对权只是相对于特定人产生效力的权利,即权利人只能请求某个特定的主体为或不为一定的行为,故此相对权也是请求权。债权属于最典型的相对权,债权人仅有权要求特定的债务人为或不为一定的行为,由于债权是存在于特定人之间的权利,没有社会典型公开性,不易为外界所知,故此,债权人无权要求债务人之外的人对其权利也给予同等程度的尊重。如果“要求外部的行为人对债权保护负有注意义务,则行为人难免遭受不测之损害,社会公众亦将因对其自身行为所可能产生的后果无法预见而致其行为自由受到过度约束,在被害人保护与社会一般行为自由的法益衡量上有失均衡。”故此,在债权人与债务人之外的第三人,只是在故意侵害债权时,才须承担侵权责任。
除民事权利受到保护外,还有一些民事利益,如商业秘密、死者的人格利益、具有人格意义的特定物品上的人格利益等,也受到保护。但是,法律上并不给予这些民事利益以全面的保护,而仅使之免受某种特定类型的侵害。这样做的理由是为了避免因过度的保护而妨害他人的自由。例如,对于商业秘密,依据《反不正当竞争法》第9条,只有在行为人以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密,或者披露、使用或者允许他人使用以上述手段非法获取的权利人的商业秘密,以及违反保密义务或者违反权利人有关保守商业秘密的要求,获取、披露、使用或者允许他人使用权利人的商业秘密时,才构成侵害商业秘密,须承担侵权责任。
如前所述,自然人对个人信息的自主利益只是一种防御性利益,这种利益并非是对个人信息予以直接支配的利益。为了有效地避免对信息自由(尤其是他人获取信息的合理自由)、言论自由和其他自由的不合理限制,协调个人信息权益保护、信息自由以及公共利益的关系,对于自然人对个人信息的利益应当采取最低程度的保护,即将其仅仅作为一种民事利益给予保护。自然人对其个人信息并不享有如同物权等绝对权那样一般性的排他支配权,也无权要求其他人如同尊重物权等绝对权那样来尊重其对个人信息的利益。自然人只有在其个人信息遭受违反法律规定的行为的侵害时,才有权获得救济。申言之,民法上不应当简单地通过将自然人的个人信息固定为个人信息权并确定各项权能的模式来保护个人信息,而是应当采取以下两方面的保护:一方面,赋予自然人对个人信息的某些控制性的权能(如对未经同意而收集其个人信息的信息收集者、占有者,要求其删除的权利;在信息出现错误时要求予以更正的权利),来实现自然人对个人信息在特定场合的控制与支配,进而防止个人信息被侵害;另一方面,通过引入公法上的个人信息保护性法律规范确定侵害个人信息行为的违法性,并要求那些违反个人信息保护性规范的信息收集者、利用者就其非法收集、使用、加工、传输他人个人信息,或者非法买卖、提供或公开他人个人信息的行为,承担相应的民事责任。
事实上,从我国现行个人信息保护立法来看,采取的正是这一思路。首先,《网络安全法》第22条第3款、第41条、第42条第1款、第43条,《征信业条例》第17条,以及《电信和互联网用户个人信息保护规定》第5条、第810条等赋予了自然人对个人信息的一定的支配权能,如知悉个人信息被收集、被基于何种目的而收集,以及使用的目的、方式和范围,并基于此加以同意的权能;知悉个人信息被转让,并在未经同意时拒绝转让的权能;查询个人信息,并在个人信息出现错误或遗漏、缺失时要求删除、更正或补充的权能。其次,《民法总则》第111条、《网络安全法》第74条第1款将违反保护个人信息的法律规范的收集、存储、分析、使用个人信息的行为统一称为“非法收集、使用、加工、传输他人个人信息”的行为或“非法买卖、提供或者公开他人个人信息”的行为,这就使得在判断侵害个人信息的侵权责任成立与否之时,无论是从加害行为的认定还是从过错的认定上,都必须要考虑已有的保护个人信息的法律规范,这样就可以有效地实现公法与私法在个人信息保护上的衔接,也可以很好地防止对个人信息的过高或过低的保护,从而有效协调信息自由与权益保护的关系。
三、人格权编草案中个人信息保护规定的完善
(一)个人信息保护的单独成章
无论是民法典人格权编草案的一审稿还是二审稿,都将个人信息保护与隐私权规定在一起,组成了该编的第六章。其中,“人格权编草案一审稿”第六章共有七条,两条规定隐私权(第811条与第812条),五条规定个人信息保护(第813条至第817条);“人格权编草案二审稿”第六章共有八条,也只有两条规定的是隐私权(第811条与第812条),剩下的六条规定个人信息保护(第813条至第817条之一)。这种立法上的体例安排显示了立法者认为隐私权与个人信息保护具有极为密切的联系,以至于无法分割。
个人信息与隐私确实存在一定的交叉与重叠关系。个人信息既有隐私性信息,如个人的财务信息、遗传基因信息、性取向等,也有非隐私性信息,如网络社交信息等。因此,隐私权与个人信息保护具有密切的联系。但是,作为具体人格权的隐私权不等同于个人信息保护。隐私权的保护对象既包括作为个人信息的隐私性信息,也包括“具有私密性的私人空间、私人活动”。也就是说,隐私权侧重保护的是人们对其身体和家庭等私密空间或私生活安宁的决定自由,而个人信息保护关注的是人们就那些将对其个人自治产生扩张或者限制作用的信息(数据)应当如何使用的决定自由。侵害个人信息有可能会同时构成对隐私权的侵害,也可能并不侵害隐私权;同样,侵害隐私权可能是因为非法收集并泄露个人信息所致,也可能与此无关。例如,通过cookie技术收集上网者网页浏览信息并加以分析后进行个性化推荐,涉及的只是是否经过被收集者的同意而收集并分析利用个人信息的问题,未必侵害原告隐私权。再如,在他人家门口安装摄像头或安装窃听器偷拍、偷录他人言行,或者发送短信、打电话骚扰他人,只是侵害他人私生活的安宁即隐私权,而没有侵害个人信息。如前所述,法律上之所以保护个人信息绝非仅仅是为了防卫自然人的个人信息遭受侵害,更旨在为自然人既存的包括人格权、财产权等在内的各种民事权益建立一道权利保护屏障。自《民法通则》始,我国法上确立的人格权主要是具体的人格权,包括生命权、健康权、身体权、肖像权、名誉权、荣誉权、隐私权等。在我国法上,隐私权并非美国法上隐私权那样包罗万象。依照此种人格权的立法传统,在我国民法典中也应区分隐私权与个人信息保护,不应将二者合并规定。
目前,人格权编草案合并规定隐私权与个人信息保护将产生两个弊端:
其一,不符合《民法总则》确立的民事权益的体系以及民法上将个人信息作为手段性权利或工具性权利给与保护的立法初衷。《民法总则》第五章“民事权利”就人格权益的规定采取的模式是,先规定一般人格权即人格尊严和人身自由(第109条),再规定具体人格权如生命权、健康权、姓名权、肖像权、隐私权等(第110条),最后才是规定个人信息。因此,人格权编将隐私权与个人信息合并规定,显然与《民法总则》确立的人格权益体系不相符合。如前所述,民法对个人信息的保护主要是保护自然人对个人信息的自主利益,这是一种防御性利益,主要的功能在于为具体的人格权、财产权建立法律的保护屏障。故此,将个人信息与隐私权区分,作为最后一章,能够更好地针对隐私权与个人信息的不同特点,分别规定相应的内容,使其共同发挥保护自然人的人格尊严和自由的作用。
其二,容易模糊隐私权与个人信息的性质和法律保护方法。在我国法上,无论是《民法总则》第110条、《侵权责任法》第2条第2款抑或《妇女权益保障法》第42条第1款,都已经明确地将隐私权规定为一项独立的人格权,与姓名权、名誉权、肖像权等并列为最重要的人格权。对于作为具体人格权的隐私权,法律上给予的保护密度或强度明显不同于其对个人信息的保护:在隐私权遭受侵害进而给权利人造成损害时,被侵权人当然有权要求侵权人承担侵权损害赔偿责任。即便在侵权人的侵权行为没有给隐私权人造成损害但存在妨碍或侵害的危险时,隐私权人也有权依据《侵权责任法》第21条,行使人格权保护请求权,请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。对此,“人格权编草案二审稿”第778条亦有明确规定:“人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。依照前款规定提出停止侵害、排除妨碍、消除危险、消除影响、恢复名誉请求权的,不适用诉讼时效的规定。”但是,就个人信息而言,其受法律保护的强度弱于隐私权。尽管自然人因个人信息被非法侵害而遭受损害时,同样有权要求侵权人承担赔偿责任,但是,自然人并不能基于个人信息而一般性地享有全部的人格权请求权,如排除妨碍、消除危险或停止侵害等。我国《网络安全法》第42条第2款规定,在发生或者可能发生个人信息泄露、毁损、丢失的情况时,网络运营者应当立即采取补救措施,按照规定及时告知用户,并向有关主管部门报告。但这只是对网络运营者法定义务的规定,而非赋予自然人针对网络运营者的消除危险或排除妨碍请求权。故此,将隐私权与个人信息合并规定在一章,容易导致在司法实践中抹杀二者的不同,而给与两者同等程度的保护。
(二)侵害个人信息民事责任的具体完善
目前的民法典人格权编草案涉及个人信息保护的条文虽然有八条之多,却缺乏对侵害个人信息民事责任的具体规定。现有的八个条文中,涉及侵害个人信息民事责任的只有两条(“人格权编草案二审稿”第781条之一、第816条),且均是关于侵害个人信息的免责事由的规定。因此,民法典人格权编还应当对侵害个人信息的民事责任的归责原则、构成要件、侵权责任的承担方式等作出更加具体的规定。这是因为,没有救济,就没有权利。民法对个人信息的保护不同于公法保护的关键不在于民法对自然人对个人信息的赋权性规范,而在于个人信息被侵害时提供相应的救济,即:使得信息收集者、持有者在违反个人信息保护的义务而侵害个人信息时,须承担相应的民事责任。从比较法来看,尤其是在成文法系国家和地区(如德国、日本、我国台湾地区等),其民法典均编纂于20世纪的工业文明而非如今的信息时代,故此民法典中对于侵害个人信息的民事责任未作出规定(对此容易理解),只能在此后的数据保护法或个人信息保护法中加以规定(甚至由此还产生了个人信息保护法中的侵害个人信息的侵权责任与民法典侵权法相关规定的适用关系争论)。我国当前正在编纂民法典,此时完全可以发挥后发优势,在民法典中就侵害个人信息的侵权责任作出具体的规定,而将个人信息保护的行为义务的具体规范交由个人信息保护法明确,从而使二者相互配合,协力实现保护个人信息的立法目的。
不过,由于我国民法典中侵权责任与人格权均独立成编,如此一来,就会产生侵害个人信息的民事责任究竟应规定在人格权编还是侵权责任编的问题。对此,有的学者认为,人格权编与侵权责任编侧重点不同,二者各司其职:人格权编是权利法,主要是通过正面列举的方式对各项人格权作出规定,包括规定人格权益的类型、内容,相对人负有的义务,人格权的行使和限制以及人格权请求权;侵权责任编是救济法,主要是对侵权责任的成立和承担等作出规定。 “为进一步有效衔接侵权责任编与人格权编的规则,侵权责任编中应当设置相关的引致性规范,规定在人格权编对侵害人格权的侵权责任有特别规定的,应当适用人格权编的规则,这有利于实现侵权责任编与人格权编的衔接。”按照这种观点,如果人格权编中没有对侵害个人信息的民事责任作出特别规定的,就可以适用侵权责任编关于侵权责任的一般规则。然而,有的学者则认为,大数据背景下的个人信息侵权,无论是在归责原则、损害的认定还是在因果关系的判断等各方面,都具有特殊性,我国对个人信息的侵权法保护过于宽松,故此,应当在民法典侵权责任编中建构明晰的个人信息侵权规则,这对于保护民众权益具有重要的意义。
笔者认为,将人格权编定位为权利法、侵权责任编定位为救济法的观点,值得赞同。但这种对人格权编与侵权责任编总体定位上的区隔,并不妨碍在人格权编就侵害个人信息的侵权责任作出规定。一方面,由于《侵权责任法》和民法典侵权责任编始终没有建构起在区分民事权利与民事利益基础上的侵权责任规则,而个人信息本身又只能作为民事利益给予保护,故此,侵害个人信息的侵权责任不同于一般的侵害人格权的侵权责任,无法通过侵权责任编的引致性规范对其给予相应的保护。可是,如果在民法典侵权责任编中单独对侵害个人信息的民事责任作出规定,又会破坏侵权责任编的体系。因侵害个人信息的侵权责任是建立在个人信息保护的基本原则和相对人义务的基础之上的,而鉴于人格权编已经对个人信息保护的基本原则、主体和相对人的义务作出了规定,故此,由其紧接着对侵害个人信息的民事责任作出规定,从体系上来说也更为协调。尤其是在人格权编草案已经对侵害个人信息的侵权责任的特殊免责事由作出了规定的情况下,继续作出更完善的规定,更有必要。另一方面,侵害个人信息的民事责任有其特殊之处,无法适用侵权责任编的一般规定。例如,侵害个人信息的侵权责任的归责原则比较特殊,尤其是要考虑区分收集和使用个人信息的方法之不同以及侵害行为人的类型不同而分别规定相应的归责原则;再如,侵害个人信息的侵权责任中损害很特殊,因果关系的证明比较复杂,这些均需要法律作出特别规定;对于侵害个人信息的损害赔偿的范围(尤其是财产损害)难以认定,是否需要对法定数额赔偿(获益返还可以适用侵权责任编的规定,无须重复规定)、精神损害赔偿以及惩罚性赔偿进行规定,也值得考虑。此外,侵害个人信息时的消除危险、排除妨害等请求权如何适用,同样需要在民法典中作出相应的规定。
注:本文发表于《中国法学》2019年第4期,因篇幅限制,注释省略。作者身份信息为发文时信息。
|
