个人信息私法规制路径的反思与转进
目次
一、问题的提出:定位模糊的个人信息
二、个人信息的私法属性辨析
三、个人信息作为具体人格权的理论质疑
四、个人信息法益行为规制路径的展开
五、结论
摘要 我国个人信息法律规范存在“先刑后民”的特征,模糊的民法定位导致当前个人信息司法救济存在诸多不确定性,也不利于正在展开的个人信息专门立法。学界对于个人信息的私法属性仍存在较大的分歧,隐私权、知情权、人格权的争议尤为突出。个人信息的多重利益决定了其并不适合套用传统隐私权模式,新的知情权模式并不符合我国现行人格权编的定位。基于个人信息利益的多重性与场景性特征决定了个人信息并不适宜定位为具有支配和排他效力的具体人格权,而应作为一般人格权框架下的法益侵权救济。个人信息专门立法宜采用行为规制路径,围绕着实现个人信息多重利益进行平衡机制的创新。
关键词 个人信息 隐私权 具体人格权 行为规制 场景性
一、问题的提出:定位模糊的个人信息
以个人信息为基础的数据产业正蓬勃发展,信息的利用与个人信息保护之间的平衡,已成为当前数据经济的核心议题。
〔1〕但在新经济下,个人信息的泄露、非法买卖等案件频发,导致现行法律规范存在着“先刑后民”的特征,即
刑法首先介入规范侵害个人信息权益的行为,
〔2〕而私法领域的个人信息法律规范却呈现出分散状态,尚未形成体系化的法律规范,
〔3〕导致了相关的个人信息案件审理的模糊性与不确定性。
〔4〕为此,《
民法总则》第
111条首次将个人信息纳入民法领域,
〔5〕《
民法典人格权编》也新设“隐私权与个人信息”一章,专门立法《个人信息保护法》当前也正在紧锣密鼓地展开。
遗憾的是,上述立法均未明确个人信息的私法定位,其权利性质与保护路径在理论上的讨论并未随着相关条款的颁布戛然而止,却陷入了更为混乱的局面。例如,有学者主张通过扩张我国隐私权来实现个人信息的民法规范,
〔6〕也有学者通过追溯欧盟“个人数据权”的演进过程,提出我国个人数据权应塑造为综合性的知情权,并以访问权为核心,而非绝对权。
〔7〕民法学者主要围绕着《
民法总则》第
111条是否创设了“个人信息权”进行了讨论:该条款表明“个人信息权”在民法层面得以确立,
〔8〕个人信息权的构建目标亦是人格权体系下的具体人格权。
〔9〕个人信息权的各项权能包括访问权、被遗忘权、删除权、可携带权等。
〔10〕也有学者持不同意见,《
民法总则》第
111条将个人信息利益确定为受法律保护的法益,适用的是行为规制规范,而非权利化模式。
〔11〕个人信息虽受法律保护,但并不是享受绝对权的保护强度,
〔12〕个人信息权利无法成为一项独立性的基本权利。
〔13〕
将个人信息界定为隐私权、知情权、具体人格权、法益保护等不同的私法定位,在理论上似乎均具有一定的合理性。但定位模糊的个人信息导致其民法保护路径难以统一,相关的法律制度构建并不能令人信服,基于个人信息应用的数据产业存在诸多的不确定性。更为重要的是,当前个人信息的民法定位的研究并未充分考虑个人信息法益的特殊性。如何结合这一特殊性,将个人信息融入民法体系,实现多重主体之间的平衡,将是个人信息保护立法的核心议题。
围绕这一议题,本文拟重点回应以下三个问题:第一,个人信息是否是一项独立的权利,即“个人信息权”,其与隐私权、知情权、访问权等权利是什么关系?第二,民法人格权体系下,个人信息能否构成一项新型的具体人格权,个人信息私法保护的特殊性为何?第三,个人信息法益行为规制路径的理论基础为何,如何协调与厘清民法与个人信息保护法之间的关系?上述理论问题的反思与厘清可为正在进行的个人信息保护专门立法提供必要的理论积累。
二、个人信息的私法属性辨析
理论界对于个人信息的私法属性已有较多讨论,
〔14〕总体上看,隐私权、知情权、具体人格权最受学界青睐。个人信息私法规范路径以及相关的制度构建,应当以明晰个人信息的私法属性为前提。
(一)隐私权:旧瓶不宜装新酒
长期以来,我国司法实践中主要是通过隐私权来间接地保护个人信息,
〔15〕早期的个人信息相关案例也大多采用隐私权侵权救济。
〔16〕一方面,个人信息与隐私权的区分一直是理论上的难题,有学者认为个人信息人格利益的本质是隐私权;
〔17〕另一方面,国内学者也深受美国“信息隐私权”(Information Privacy)理论的影响,往往将个人信息置于广义隐私权框架进行分析。
〔18〕基于上述影响,有学者认为我国现阶段立法不应试图以个人信息保护来代替隐私权的保护,而应当先完善隐私权的侵权规则,“若构筑新型权利缺乏有效的救济手段,尚需借助于其他权利进行保护,最佳选择肯定不是另起炉灶”。
〔19〕我国个人信息私法保护能否依托于传统隐私权的侵权救济?本文持否定观点。
其一,权利客体上二者范畴不同。隐私权从来不是逻辑的产物,欧洲担忧大众传媒技术对于个人尊严的威胁,而美国主要是基于政府机关对于个人自由的威胁。
〔20〕而我国理论上的隐私权仅是狭义上的生活安宁权,并不包含积极的信息控制。值得注意是,《
民法典人格权编》开始界定“隐私”内涵,草案二审稿第
811条规定隐私是“具有私密性的私人空间、私人活动和私人信息等”,草案三审稿与正式版本则在此基础上增加了“不愿为他人知晓”这一要件,突显了隐私内涵的主观性。而关于个人信息的范畴,草案二审稿是将可以识别自然人的各种信息均认定为个人信息,三审稿在二审稿列举的“姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码”基础上新增了“个人邮箱地址和行踪轨迹”,即个人信息范畴呈现扩张态势。应指出,个人信息与隐私的范畴并不完全相同,但如果是自然人“不愿意为他人知晓的私密信息”很大程度上具有“识别个人的可能性”,因而也有可能被纳入个人信息的范畴。
〔21〕总体上来看,二者在客体范畴上存在交叉。
〔22〕
其二,二者保护法益存在不同。隐私权旨在实现个人人格尊严与自由的保护,以个人利益的保护作为根本目的。但个人信息的法益却更为复杂,据学者对欧洲大陆个人数据保护源流的考察,个人数据最早是基本权利或人权意义上的权利。
〔23〕因而,个人的尊严与自由构成了个人信息的重要法益。值得注意的是,相较于隐私权,个人信息法益还包含了财产利益、公共利益等内容。个人信息具有财产价值,并且构成了当前数据经济的重要生产要素已为学界所认识,而在最近的研究中,亦有学者指出个人信息还具有社会公共价值,个人信息的使用应当由社会控制。
〔24〕综上,二者法益的差异决定了不能套用同一套法律机制。
其三,现行立法规范已采二分模式。我国《
民法典》第
110条将隐私权明确作为一项具体人格权进行保护,并在第
111条规定个人信息受保护条款,显然立法者有意对于二者进行区分。而《
民法典人格权编》依然遵循了二分的路径,规定了“隐私权和个人信息保护”一章,其中第
1034条第3款,明确个人信息中的私密信息可以适用隐私权规定,表明了二者是有实质性区别的交叉关系。早期学者提出通过扩展隐私权侵权规则,将个人信息纳入隐私权,
〔25〕不失为在个人信息规范缺失下的权宜之计。但在我国现行立法进行明确二分模式下,我们更应该在实践中根据具体个案来区分它们,然后确定请求权基础及救济措施。
〔26〕由于个人信息与隐私在概念上不可避免地存在交叉之处,其法律规范的适用问题将是二分模式下的重要内容。
综上所述,我国个人信息的私法属性不应定位为隐私权,我国隐私权的内涵也不同于美国“信息隐私权”的内容。通过解释扩张我国隐私权的范畴以涵盖个人信息的法律规范,并不具有理论和立法上的支撑。
(二)知情权:过犹不及的尝试
有学者通过回顾“欧盟个人数据权的演进”,认为我国要构建的个人数据权并非是以信息自决权为基础的人权,而是应当以构建公平竞争秩序为目的的综合性的知情权,其内部构造上以访问权为核心。
〔27〕这一观点值得肯定,私法领域个人信息的定位并非是人权意义上的权益,基本权利意义上的个人信息权益需要遁入私法权利体系,而以数据主体的知情权或访问权为内核构建个人信息规范不失为新的路径。其以欧盟个人数据保护的法律规范的演进为依据,并对个人信息自决权进行了批判,并建议我国《
民法典(人格权编)》构建“个人数据权”,强调其知情权性质,而非绝对权。
〔28〕问题是综合性的知情权能否融入当前我国《
民法典》规范体系以实现个人信息的规范价值?笔者对此持否定观点。
首先,知情权的定位忽视了个人信息多重利益的实现。知情权或访问权的定位,是从个人主体利益角度进行的权利构建,信息控制者(企业)更多的是安全保障的义务。这一路径是从信息主体相关利益出发,通过赋予信息控制者义务以实现主体的知情权与访问权。但这一路径忽略了对于信息控制者合法利益的考量,其数据利益也应当是个人信息规范中不可或缺的内容。换言之,将信息主体、信息控制者之间的权利义务关系简化为知情权与安全保障义务是不完整的。
其次,知情权或访问权的定位不足以实现人格利益保护。个人信息立法基于人格权体系旨在实现个人主体的尊严与自由,以知情权或访问权作为权利内核就可以实现主体的人格利益?不可否认,信息主体的知情或者访问是实现主体人格尊严的重要手段,但仍然是不充分的。典型的如,企业隐私政策中也存在着相关的知情或者访问条款,但在概括同意或强制同意下,主体的知情权仍形同虚设。因而,知情权的定位并未实质性地解决主体人格利益的保护问题。
最后,知情权也难以融入人格权体系。论者一方面强调知情权应当是人格权,但又说明其并非是绝对权,与我们传统理论对于人格权定性为绝对权认识不符,难以实现体系的自洽。再者,如果将知情权纳入人格权,也并未说明其他领域的知情权如何进行区分,比如
消费者权益保护法中的知情权。当前《
民法典》已明确将个人信息纳入人格权体系,如何在人格权体系下构建以知情权为内核的个人信息权,仍有待进一步论证。
综上所述,以知情权内核构建个人信息权利不失为一条新的路径,但该路径可能缺乏充分考量个人主体与信息控制者的利益平衡。个人信息私法属性定位与其规制路径的构建休戚相关,单一地寻求知情权或访问权难以实现个人信息上的多重利益。
(三)人格权:回归体系的论证
隐私权和知情权均不宜作为个人信息的私法定位,早期我国理论界对于个人信息的法律属性,还存在着“人格权”与“财产权”的争论。
〔29〕但随着个人信息规范进入《
民法典人格权编》,人格利益保护的私法定位成为主流认识,目前学界的讨论也主要集中在人格权体系。当然在人格权体系下,个人信息的财产利益也具有实现的路径,二者并不冲突。
〔30〕
从实证法上看,个人信息已被纳入《
民法典(人格权编)》,但仍需要在理论上论证个人信息定位为人格权的正当性。从比较法上看,个人信息法律规范最初呈现出两个特点。
第一,个人信息的保护源于
宪法层面或基本权利层面的保护。典型的如1981年《个人数据自动处理过程中的个人保护公约》确保缔约国保障个人数据被自动处理时得到尊重,
〔31〕美国对于个人信息的保护最初也是基于
宪法隐私权,如1974年《隐私法》主要规范政府机关管理的识别个人记录的收集、保存、使用和传播。
〔32〕
第二,个人信息法律规范的重点在于预防政府机关对于个人信息的不合理收集与使用。预防公权力机关对于个人信息的过度收集与不合理使用,构成了个人信息法律保护的最初动因。
个人信息的权利定位不应当脱离其诞生的目的,即主要是规范公权力对于个人信息在基本权利层面的侵犯。随着互联网与技术的发展,不仅是政府机关,一些社会主体如互联网企业也开始收集和使用大量的个人信息,个人信息的法律规范也不再限于基本权利,需从
宪法层面落地转化为私法层面的法律规范。
针对这一变化,欧盟采用专门立法方式制定《统一数据保护条例》(The General Data Protection Regulation,以下简称GDPR),而美国则是将个人信息纳入隐私权范畴,通过信息隐私权的侵权救济实现个人信息的保护与利用。尽管个人信息还蕴含了社会利益、国家利益,但不能否认主体的人格尊严与自由仍然是个人信息私法规范的根本目的,因而将其纳入人格权体系具有正当性与合理性。
但在人格权体系下,个人信息的法律属性仍存在着巨大的分歧,即所谓的权利说(具体人格权)与法益说。从个人信息侵权救济的角度看,上述理论的争鸣并不会实质性地影响侵权法救济,但上述不同定位与认识不仅会对数据产业产生不同的影响,而且将会成为个人信息法律制度构建的基础。
三、个人信息作为具体人格权的理论质疑
在人格权体系下,具体人格权成为当前国内学界权利构建的主要目标。如有学者认为传统的间接保护模式和法益保护模式都存在缺陷,基于个人信息自主控制的个人信息的权利保护模式更适合中国的立法和司法实践,主张采用具体人格权模式规范个人信息。
〔33〕亦有学者认为《
民法典人格权编》未明确“个人信息权”是当前立法的缺憾。
〔34〕上述论证很大程度上认为个人可以自主控制与支配个人信息,问题是绝对化的具体人格权在多大程度上适用于个人信息规范?上述权利构建是否充分考虑个人信息规范的特殊性?构建具体人格权是否是国外个人信息法律规范的通行做法?
(一)信息自决权无法佐证具体人格权
学者支持个人信息权为一项新型人格权的理由,主要在于对于国外个人信息自决权理论的吸收与借鉴。据王泽鉴先生介绍,个人信息自主权(自决)首先由德国联邦
宪法法院于1983年人口普查案创设,人格的自由发展取决于个人有权对抗个人资料被无限制地收集与使用,其内容包括了自行决定何时、何种范围公开个人的生活事实。
〔35〕国内也有学者对信息自决权进行了系统的介绍,是一项原则上由个人自我决定公开和使用个人信息的权利。
〔36〕可以认为,个人信息自决权理论的核心就在于认为个人信息是个人可控的,个人可以决定何时、何地、如何使用个人信息。
依据个人信息自决权理论很容易推导出个人可以自主控制与支配个人信息的结论。
〔37〕作为绝对权性质的具体人格权具有支配性和排他性,似乎非常契合于个人信息的民法定位。但容易为人忽视的是个人信息自决权产生的背景与适用领域,它并不能直接套用到个人信息的私法规范中。
首先,个人信息自决权理论仅适用于
宪法层面。欧洲在“二战”后强调人权尊严与保护背景有关,在基本权利层面,德国联邦
宪法法院虽然提出了个人信息自决权这一概念,但其无意设定绝对不受限制的个人信息自决权,个人对个人信息并没有绝对的支配权。
〔38〕可以明确,所谓的个人信息自决权诞生于
宪法法院,是人权背景下对于个人基本权利的保护,旨在防止政府机关不合理地收集和使用个人信息。因此,个人信息自决权从未成为私法领域论证“个人信息权”的理论基石,个人能否对个人信息进行完全地自主控制与支配本身仍存在很大的争议。
〔39〕
其次,个人信息自决权理论还受制于技术背景的局限性。诞生于20世纪七八十年代的个人信息自决权理论,在当时的技术背景下,不论是政府还是大型企业都无法实现对个人信息的价值挖掘,即个人信息在当时技术下可以被认为是可控的。但在进入互联网与大数据时代,信息的流通与利用技术得到迅速发展,个人信息价值得到不断地挖掘。在这一背景下,若仍然坚持个人对于个人信息的完全支配与控制,既不符合当前的产业实际,也无益于个人主体利益的实现。
最后,即使是在基本权利层面,个人信息自决权仍是受到限制的。据学者研究,他人对信息主体的个人信息享有一定程度的利益,理应具有知悉的权利,这种权利应当受到法律的保护。相应地,信息主体的决定自由就应受到限制。
〔40〕换言之,在
宪法层面个人信息自决权也要受到知情权、言论自由等权利的限制,也并非是绝对的。
〔41〕因而,不加转化直接套用
宪法领域的个人信息自决权理论用于私法体系中权利论证具有很大的缺陷,甚至有学者认为,“在私法领域个人信息自决权这一观念不仅毫无用武之地,而且如果整个法秩序以其为核心,则很有可能导向信息禁止这一可怕的境地”。
〔42〕
综上,个人信息自决权最早是由德国联邦
宪法法院确立,围绕着该权利的讨论其实是一项
宪法上的基本权利,主要是基于个人尊严自由的保护,不能直接成为论证个人信息权为具体人格权的理由。个人信息自决权理论并非私法意义上的信息自决权,欧盟GDPR的个人数据权利也从未建立在个人信息自决权的基础之上。至于该权利应当如何落地成为一项私法上的权利法院并没有给出明确的解释。因而,我们不能将
宪法意义上的个人信息自决权理论作为论证个人信息为具体人格权的理由。
(二)个人信息权权利客体的理论困境
具体人格权是一项绝对权性质的权利,意味着为不特定他人设定了一项消极义务,这就要求具体人格权的权利客体是相对清晰的。但从权利客体上看,个人信息权利客体的界定与分类仍存在很大的问题。
1.客体界定:“可识别性”的不确定性
理论上,个人信息一般指的是与个人有关,可直接或间接识别特定个人的信息。这一看似清晰的概念,却在各国法律规范中呈现出不同的内容。个人信息在美国被称为“个人可识别信息”(Personal Identifiable Information),欧盟一般将个人信息称为个人数据,GDPR第4条第1款对此进行了界定。
〔43〕
我国现行法对个人信息的界定也并未统一。《
网络安全法》第
76条第5款对于个人信息进行了界定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
〔44〕但全国信息安全标准技术委员会《个人信息安全规范》第3.1条一定程度上扩张了个人信息的定义。第3.1条规定个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。除了能够识别个人身份的信息之外,反映个人活动情况的各种信息也被纳入个人信息的范畴。而我国《
民法典》第
1034条,把能够识别自然人的各种信息均认定为个人信息,而不限于识别个人身份的信息。
〔45〕
个人信息的内涵在当前立法并不明晰,采用宽泛的个人信息还是狭义的身份信息一直是界定个人信息的难题。个人信息内涵的界定目前采用“识别性”已经基本成为通说,
〔46〕但以“可识别性”作为个人信息的内核,事实上并未明晰个人信息的范畴与边界。
第一,可识别的理解不同。个人信息概念的核心就是可识别性,如美国“个人可识别信息”界定主要依据的是“可识别”与“已识别”的概念。
〔47〕欧盟GDPR序言第26条也将个人数据界定为数据控制者或第三人合理可能性的识别性。
〔48〕因而,可识别性构成了当前学界与立法界定个人信息内涵的核心。但就可识别的标准学界并未达成一致,即可识别性是对于数据控制者而言,抑或是包含了数据控制者在内的任何的第三人?前者是狭义上的理解,而后者是广义上的理解。
〔49〕再者,个人信息的可识别性是指识别自然人的身份,还是包括识别自然人的个性特征?当前立法中对概念的使用也颇为混乱,如《
网络安全法》第
76条规定显然仅指前者,即狭义上的身份识别,而《
民法典》第
1034条的界定显然更为宽泛,包含了识别个人的各类信息。因而,立法上对于可识别性标准应当采广义抑或是狭义理解存在分歧。
第二,结合识别的可能性。理论上认为结合识别属于间接识别,通过信息之间的结合间接地识别出个人身份,此类信息也可被纳入个人信息范畴。
〔50〕这种间接结合识别的可能性在互联网环境下尚且容易判断,但在大数据时代,识别的可能性是非常难以量化判断的,任何信息均具有结合识别的可能性。典型的如去识别的个人信息,其重新识别(Re-identification)能力随着技术发展不断增长,不少法律学者与技术专家认为在这一意义上看,可识别信息与不可识别信息不再是一项有实质意义的区分。
〔51〕换言之,随着数据处理技术的发展,以及大量的数据被用于分析,绝对化与不可逆转的匿名信息不再可能。
〔52〕事实上,个人信息的重新识别依据的也是结合识别,通过大量信息的比对与结合还原个人的信息。因而,由于结合识别性的广泛存在,将识别性作为个人信息权利核心会导致权利客体的扩大。
第三,识别抑或关联。个人信息的可识别性构成了个人信息核心概念,但细究欧盟GDPR第4条对于个人数据的界定,其使用的是“关联”(Relating to)这一术语。我国《个人信息安全规范》在附录中明确判断信息是否为个人信息主要有两条路径:一是识别;二是关联,即从个人到信息,个人在其活动中产生的信息也属于个人信息。那么我国个人信息范畴是否也应当采纳“关联”?欧盟第29条工作组认为准确地找到信息与个人之间的联系是非常重要,其界定的关联非常广泛,信息只要在内容、目的或结果上可以联系到个人即可。
〔53〕显然,关联到个人信息从范畴上大于“关于”(About)个人的信息,也突破了以可识别性为内核的个人信息的逻辑体系。
