摘要:个人信息保护的本质究竟是权利还是权益,民事立法中产生了很多争论。争议的根源在于将人格权(隐私权)与个人信息保护这两项根本不同的制度强行并列,并试图以传统民事权利话语体系来界定个人信息保护,最终难免出现各种矛盾。个人信息保护是信息时代的一项全新挑战,个人信息控制权是需要通过个人信息保护法确立的一项新型公法权利。
关键词:个人信息保护;人格权;隐私权;新型权利;个人信息控制权
随着信息化发展与个人信息价值的凸显,个人信息保护近年来成为不同法律部门与理论研究的热点,也产生很多争议,包括个人信息保护的本质究竟是权利还是权益,个人信息权究竟是人格权还是财产权,民法典人格权编与个人信息保护法的关系,民法保护、行政法保护与刑法保护的关系等。一场场争议的背后,都关涉个人信息保护的法律定位,既与立法科学性息息相关,也关系到未来的法律适用。本文从个人信息保护的权利争议切入,探讨个人信息保护的独立法律定位,尝试回答立法中需要明确的几个相关重大问题。
一、民事立法的矛盾与纠结
尽管民法学界一直有学者主张民事立法宜加强对个人信息的保护,但2016年6月公布的《中华人民共和国民法总则(草案)》初次审议稿并没有个人信息保护的内容,采用的是传统民事权利划分。2016年8月出现的“徐玉玉案”,促使2016年11月公布的二次审议稿增加了个人信息保护的条款。这既体现了民法的人文关怀,也打上了仓促上阵的烙印,在包括个人信息保护的定性等重大问题上未能给出明确的答案。
最终通过的《中华人民共和国民法总则》(以下简称《民法总则》)第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”在整个条文中,对个人信息保护的规定并无“权”字。相反,《民法总则》第110条规定,自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利;第112条规定,自然人因婚姻、家庭关系等产生的人身权利受法律保护。在人格权与身份权两个条文中间加入一个个人信息受法律保护的条文,使个人信息保护是否属于权利以及个人信息保护是否属于具体人格权等问题,都不甚明确。从权利法定原则出发,从文本解释看,个人信息保护显然不能说是一项权利,只能归入《民法总则》第3条所规定的“其他合法权益”;但是,从第111条被放在《民法总则》第5章“民事权利”的整体结构看,它好像又可以被视为一项权利,并且是具体人格权,由此导致对文本的多种不同解读。
个人信息保护的属性问题在全国人大法工委民法室民法典室内稿各分编草案征求意见稿中仍然不明确,甚至更模糊。在该稿中,人格权编第6章名为“隐私权和个人信息权”,但第45条却基本照录了《民法总则》的表述(“自然人的个人信息受法律保护。任何组织和个人不得侵害他人的个人信息”)。这样一来,究竟是个人信息还是个人信息权,不但室内稿与《民法总则》规定不一致,室内稿本身前后也不一致。如此前后反复,难以定性,直接冲击了将个人信息纳入民法保护的基础。
与权利相关的另一个问题是个人信息权究竟是不是人格权。对此,民法学界大多数学者均认为个人信息权属于人格权,分歧在于究竟是属于一般人格权还是具体人格权。《民法总则》第109条规定了一般人格权,第110条集中规定了具体人格权,如果个人信息属于人格权,理应作为其中之一加以规定。然而,个人信息保护放在《民法总则》第111条,显然又不属于人格权两种情形之一,由此再次导致解释上的困难。
个人信息保护的属性问题在2019年12月公布的《中华人民共和国民法典(草案)》(以下简称《民法典(草案)》)中仍然无法明确,存在多重难以协调的内在矛盾。
首先,《民法典(草案)》人格权编共6章,第3章为姓名权和名称权,第4章为肖像权,第6章为隐私权和个人信息保护。这里最大的问题在于,姓名、肖像都是最为典型的个人信息,把它们与个人信息这个上位概念并列,逻辑上存在种属关系混乱。例如,《民法典(草案)》第999条规定,“实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等”,就是将种概念与属概念并列,不符合形式逻辑的基本要求,合理的汉语表述应该是“姓名、名称、肖像等个人信息”。
其次,《民法典(草案)》一方面界定个人信息只是权益,不是权利,但是,另一方面,又突出强调姓名权、肖像权的权利性质。姓名只是一个符号,一般不能单独识别个人,肖像则是能够单独识别个人的信息。如果这两项个人信息是权利,那么为何其他更重要、更能识别特定个人的个人信息(如生物特征信息等)不是权利?《民法典(草案)》中这样规定,在逻辑上很难自洽。
再次,《民法典(草案)》一方面将个人信息定位为权益而非权利,另一方面,又确立了个人对自己信息的同意权(第1035条),知情权、更正权与删除权等(第1036条),横贯个人信息处理的事前、事中与事后全部生命周期,等于是确立了个人对自己信息的完全控制权。如果个人对自己的信息不享有权利,何来这些具体权项?在《民法典(草案)》中,个人对自己信息的控制能力远远大于隐私权仅仅限于被侵犯后的事后救济,将隐私权界定为权利而将个人信息界定为权益,法理依据显然不足。
最后,《民法典(草案)》一方面坚持民事立法的基本范式,如坚持义务主体为“任何组织或者个人”(第111条),另一方面,《民法典(草案)》又大量吸收、借鉴了尤其是《中华人民共和国网络安全法》(以下简称《网络安全法》)等专门个人信息保护相关立法的规定,使得《民法典(草案)》中民法与专门法特征相互重叠,这不仅给未来的法律适用造成困难,也会使一些制度出现不周延、错配等现象。例如,《民法典(草案)》三次审议稿最终采纳了各国个人信息保护法律普遍采用的“处理”概念,《民法典(草案)》第1035条将《网络安全法》所规定的“收集、使用”改成“收集、处理”,并规定 “个人信息的处理包括个人信息的使用、加工、传输、提供、公开等”,将“收集”行为明确排除在处理之外。如此规定存在几个明显的问题:(1)《民法典(草案)》虽然采用“控制者”概念,体现了个人信息保护法的基本规律,但很多规定的义务主体又是“任何组织或者个人”或者根本不明确,控制者的行为规范也未得到明确的界定,这必然导致如何确定义务主体与行为规范出现大量争议。(2)《民法典(草案)》将“收集”单独作为一个行为,与“处理”并列。然而,国际上个人信息保护立法均是以处理为核心概念,收集既是处理的开端,更是处理的核心内容,收集与处理是不可分割的同一个过程。收集就是处理,收集的过程同时也是处理的过程。很难设想实践中有收集与处理分离,只收集不处理,或者只处理不收集的活动。《网络安全法》第41条规定的“收集、使用”是一个行为的不同阶段,均属于处理活动;相反,借鉴《网络安全法》规定的《民法典(草案)》却将收集与处理作为两个不同的行为加以规定,在逻辑上存在漏洞。例如,知情同意规则主要适用于收集活动,对于不涉及收集活动的存量信息的处理(如使用、加工等),以及收集后在原收集目的范围内的处理活动,往往并不需要反复的知情和同意。将收集与处理并列,会使大量的处理活动均需要按照收集环节的要求,履行告知同意程序,从而增加合规成本。因此,《民法典(草案)》对收集与处理的二元设计,至少是对整个个人信息保护制度的一种无效设计。(3)国际上个人信息保护法律的通行核心概念是“信息控制者”,另一个是受控制者委托进行处理活动的“处理者”,两者之间的委托代理法律关系非常明确,责任义务边界也十分清晰。《民法典(草案)》第1038条确立了信息收集者与控制者两个独立、并列的概念,但对其定义以及权利义务关系均缺乏任何界定,可以说与国际立法惯例格格不入,在实践中必然引发大量适用难题。(4)《民法典(草案)》将民法制度与个人信息保护法相关制度熔于一炉的做法,既使人格权编第6章相关规定不像一般的人格权法,很多地方具有专门立法的色彩,也因为规定过于简略而不可能完全像一部个人信息保护法,必然导致不同法律未来适用的冲突,从而产生大量的不确定性。
二、个人信息保护是一项独立的法律制度
民事立法出现种种矛盾与纠结,不但关涉立法,也会对未来的法律适用产生重大影响,必须妥善解决。之所以会出现各种矛盾和纠结,是因为人格权(隐私权)保护与个人信息保护是根本不同的两项制度。人格权是一项传统的民事权利,个人信息权则是完全独立的一项新型公法权利,是随着计算机大规模采用才出现的新事物。以传统民事权利话语体系界定个人信息权利,将个人信息保护纳入私法人格权范畴,与隐私权并列在一节中,必然会出现逻辑矛盾与实践冲突。
20世纪60年代末70年代初,由于计算机和信息系统的采用,欧洲与美国最早关注到个人信息使用与滥用问题,认识到需要确保某些记录的保密性和安全性,限制对某些记录的访问或被用于初始用途之外的用途,以保护个人信息不被滥用。在此基础上,各国逐步形成“公平信息实践”,并出台了针对个人信息自动处理的第一批法律,用以落实公平信息实践原则。1970年,德国黑森州制定全世界首部《数据保护法》。1973年,瑞典制定首部全国性《数据保护法》。美国于1970年制定《公平信用报告法》《银行保密法》,1974年制定适用于联邦政府机构的《隐私权法》。由于不同国家法律文化的差别,个人数据保护制度产生之初,往往与传统的隐私保护制度相互交织,两个概念也相互混用,容易产生不同的认识。
1980年,由发达国家组成的经合组织通过《隐私保护和个人数据跨境流动指南》,确定了8项原则:(1)收集限制原则。个人数据的收集应该受到限制,任何此类数据的获得都应该通过合法和公正的方法,在适当的情况下,要经过数据主体的默示或同意。(2)数据质量原则。个人数据应该与它们将要被使用的目的和该目的所必要的程度相关,个人数据应该精确、完整和被保持为最新状态。(3)列明目的原则。收集个人数据的目的应该在数据收集之前列明,之后的使用应限于实现这些目的或者那些与之并非不相容的目的,这些情况应当在其目的变更时列明。(4)使用限制原则。除非经过数据主体的同意或者经过法律授权,不应该在列明的目的之外披露或公开使用个人数据。(5)安全保护原则。个人数据应该受到合理的安全保护,以免发生诸如丢失或未经授权的获取、破坏、使用、修改或披露等问题。(6)公开原则。应该制定关于个人数据发展和实践的一般公开政策,确立便利的措施,以确定个人数据的存在和性质、它们使用的主要目的,以及数据控制者的身份和通常住所。(7)个人参与原则。个人应当有权利从数据控制者那里获得或者确认数据控制者是否拥有有关他的数据;如果其要求被拒绝,他有权获知理由并可以提出挑战;如果挑战成功,他可以要求删除、纠正、补充完整或修改这些数据。(8)责任原则。数据控制者有责任遵守赋予上述原则以效力的措施。该隐私指南于2013年经过修改,仍然维持同时使用隐私与个人数据两个概念的习惯做法。
1981年,欧洲理事会制定《有关个人数据自动化处理的个人保护协定》,推动了发达国家的立法进程。1990年12月14日,联合国大会以45/95号联大决议的形式通过《计算机处理个人数据系统规制指南》,建议成员国在立法中采纳指南提出的10项隐私保护原则。在这两个国际法律文件中,隐私与个人数据保护两个概念依然同时并用。
欧盟一直是个人数据保护的领先者。欧盟1995年制定《保护个人有关个人数据处理及该种数据自由流动的指令》时,仍然同时使用数据与隐私保护两个概念,两者的关系尚不十分明确。但是,欧盟2000年制定《欧盟基本权利宪章》时,就已经在第7条和第8条分别规定尊重私人和家庭生活(传统意义上的隐私权)以及保护个人数据,个人数据保护开始被作为一项独立的权利对待。2007年欧盟各国首脑签署《里斯本条约》,要求尽快制定欧盟个人数据保护规则,就完全采用了个人数据概念,不再提及隐私概念。经过20多年的探索,到2016年制定《保护自然人有关个人数据处理及该种数据自由流动的条例》(以下简称《一般数据保护条例》)时,通篇只有数据保护的概念,不再使用隐私保护的概念,数据保护完全成为一个独立的领域,不同于传统的隐私权保护。可见,从其最初产生开始,个人信息保护就与传统的隐私保护面临截然不同的任务。随着信息化的普及,个人信息保护已经迅速成为一项独立的法律制度,全世界已有100多个国家制定专门的个人信息保护法律,确立了独立运行的制度。个人信息保护作为一项独立的法律制度,主要体现在如下几个方面:
1.保护客体的特殊性
隐私与个人信息保护的保护客体在我国法律中经历了一个非常明显的3阶段发展过程。我国立法中最早出现的概念既不是隐私,也不是个人信息,而是民间与历史传统中使用得更多的“阴私”概念。这方面的第一个法律规定是1956年全国人民代表大会常务委员会就最高人民法院提出的什么案件可以不公开进行审理的问题所作出的《全国人大常委会关于不公开进行审理的案件的决定》。该《决定》规定:“人民法院审理有关国家机密的案件,有关当事人阴私的案件和未满18周岁少年人犯罪的案件,可以不公开进行。”这一规定确立了不公开审理的基本划分原则,其内容与规定方式基本为后来的诉讼法继续沿用。到20世纪70年代末,1979年制定的《中华人民共和国刑事诉讼法》第111条和《中华人民共和国人民法院组织法》第7条都继续沿用“阴私”的提法。最高人民法院曾经明确界定过阴私案件的范围,由此也就间接界定了阴私的含义。根据1981年《最高人民法院关于依法公开审判的初步意见》的规定,“有关个人阴私的案件,一般是指涉及性行为和有关侮辱妇女的犯罪案件”。可以看出,这一时期法律的保护客体主要是当事人在诉讼程序上不公开审理的权利。
由于改革开放所带来的观念上的冲击与进步,从20世纪80年代尤其是90年代初以后,不论是政府文件、立法还是民间,普遍以“隐私”概念代替代“阴私”概念。1982年《中华人民共和国民事诉讼法(试行)》是第一部使用“隐私”概念的法律,1989年《人民调解委员会组织条例》是第一部使用“隐私”概念的行政法规,1996年《中华人民共和国刑事诉讼法》修改时也明确将“阴私”改为“隐私”。这个时期,就法律保护的客体而言,已经从过去的诉讼程序权利进入民事实体权利的领域,诸如《中华人民共和国未成年人保护法》《中华人民共和国妇女权益保障法》等法律都明确将隐私权作为一项实体权利加以规定,最高人民法院的司法解释也确认了隐私权的民事权利地位。然而,由于所有使用隐私概念的法律都没有给该概念下一个定义,也没有界定或者描述这种权利的范围,因此,多年来,其实体权利的边界不论在立法还是实践中实际上一直处于某种模糊状态,一直到司法实践中逐步明确侵犯隐私权案件的核心判断标准在于披露以后是否会导致权利人的“社会评价降低”。这在江苏省南京市江宁区人民法院审理的“施某某、张传霞、桂德聪诉徐锦尧肖像权、名誉权、隐私权纠纷案”中得到了典型的反映。人民法院认定,被告的行为“客观上不会造成施某某社会声望和评价的降低”,因而不构成对原告名誉权、隐私权的侵犯。在上海市第二中级人民法院审理的“上海美尔雅医疗美容门诊部有限公司与张燕肖像权纠纷案”等案件中,均以社会评价的降低作为判断名誉权、隐私权侵权的主要标准。在“洪波与张大化名誉权纠纷、隐私权纠纷案”中,尽管一审人民法院、二审人民法院的结论不同,但两级人民法院的法律推理均认定“公民的名誉权是指公民依法享有的保持并维护自己社会综合评价的权利”。
自20世纪90年代末开始,尤其是进入21世纪以来,由于信息化的迅猛发展与权利观念的进一步提升,首先从信息化有关ic卡管理、征信体系建设、互联网使用与管理以及政府办公自动化等方面的地方信息化立法均有个人信息保护方面的规定。和消费者权利保护两个领域的地方立法开始,逐步出现了中性的个人信息概念,并逐步进入到国家立法中。
个人信息保护的客体是个人信息,而个人信息的范围非常广,通常包括任何已识别或者可识别特定个人的信息,范围远远大于个人不愿为人所知、披露后会导致社会评价降低的私密信息(隐私)。如果仅仅依据个人信息的定义这一个维度来界定保护客体,要求所有采集或者处理个人信息的行为均必须知情同意,并满足个人信息保护法的其他要求,整个正常的社会交往几乎完全无法进行。因此,各国个人信息保护法普遍都通过另外两个条件来界定保护客体的范围。也就是说,个人信息保护法保护的客体并不是所有的个人信息,而是数据控制者以自动方式处理的个人信息。界定保护客体有两个重要条件,一是数据控制者,二是处理活动,保护的是数据控制者在数据处理活动中涉及的个人信息。不属于数据控制者的数据处理活动中的个人信息,不属于保护客体。为此,欧盟《一般数据保护条例》与很多国家的个人信息保护法均明确将纯粹个人或者家庭生活中处理的个人信息,排除在法律保护范围之外。
国际上讲个人信息保护法只是一般的简化提法,严格的表述其实是“个人信息处理保护法”,必须要有“处理”才涉及保护;同时,个人信息保护法的规范对象是处理个人信息的“个人信息控制者”,而不是一般的组织或者个人。一个人在公共场所出现,其他个人完全可以自由地获取他的信息,只有诸如闭路电视系统的运行者(控制者)采集他的信息才需要遵守个人信息保护法的规定。脱离个人信息保护法的制度运行背景,脱离特定主体“个人信息控制者”,脱离特定行为“个人信息处理”,对作为一般主体的“任何组织或者个人”谈个人信息依法获取或者知情同意等,均没有任何意义,也与生活常识严重背离。这样做导致的结果要么是规定虚化,没有任何法律意义;要么是在特殊情境中,产生不必要的法律争议。我国民事立法设计个人信息保护规定,很长时期脱离了制度运行的背景要求,在《民法总则》与民法典人格权编起草的过程中,类似处理与控制者等概念都很晚才出现,即使出现也并未影响整个立法架构与基本走向。既无“控制者”概念,也无“处理”界定,以隐私权保护同样的思路设计个人信息保护条款,将全部个人信息都作为保护客体,当然无法回答诸如个人信息保护是权利还是权益等重大问题。
2.义务主体的特殊性
数据控制者概念表明,个人信息保护法的义务主体具有特殊性,不是“任何组织或者个人”这样的一般主体。美国《加州消费者隐私权法》规定的义务主体(经营者)必须具备以下条件之一,否则不属于法律规定的义务主体:(1)年营业额超过2500万美金;(2)每年为商业经营目的购买、接收、出售或者共享个人信息超过5万份;(3)年营业额中超过50%的收入来自出售消费者个人信息。同样,欧盟《一般数据保护条例》对义务主体进行了多重区分处理,以体现义务主体的特殊性,包括:(1)为学术、艺术与表达目的而处理个人信息的,可以克减或者排除适用条例的规定;(2)对于数据控制者、处理者的数据处理活动记录义务,一般不适用于雇员数少于250人的企业或者组织,除非另有法定情形要求;(3)数据控制者或者处理者有下述3种情形之一的,才应指定专门的数据保护官,即除法院以外的公权力机构处理数据,控制者或者处理者的核心业务要求经常性、大规模监控数据主体,控制者或者处理者的核心业务要求大规模处理条例第9条规定的特定种类个人数据或者第10条规定的刑事犯罪个人数据。
人格权在性质上属于对世权,对应的义务主体是普遍的,任何组织或者个人都是义务主体,都不得侵犯他人的人格权。由于隐私具有不愿为人知晓的特点,任何组织或个人都不得传播他人的隐私,都是义务主体,没有排除或者克减适用之说。相反,个人信息保护法的义务主体往往是特定的、分层的,是个人信息控制者,不是一般的义务主体,通常不可能是个人,在性质上类似于对人权。
如果按照人格权套用并泛化界定个人信息保护法的义务主体,就会出现比较荒谬的结果。这是因为,只要有社会交往,就会彼此产生个人印象,这个过程是自然发生的过程,是信息主体给交往对方留下的印象。每个人在交换过程中,随时都在获取交往对象的个人信息,或者主动或者被动。因此,一般社会交往中的个人信息与其说是“获取”,不如说是“印象”的自然生成。对于印象的产生、转达、传播,一般都属于个人生活与社会自治范畴,法律不需要介入,更谈不上所谓“同意”“依法取得”“非法收集、使用”等法律界定。一个人在大脑中形成的印象,是自己的事,不能说其形成一个对方“夸夸其谈”“猥琐”“虚伪”等负面评价,或者“英勇无畏”“真诚耿直”“美丽大方”的正面评价,以及将这种评价分享给朋友或者社会,就是在非法使用、加工、传输他人的个人信息。社会交往中的印象形成,并不是获取的过程,既与同意无关,也与法律无关。《民法典(草案)》第1035条移植了《网络安全法》第41的规定,要求收集、处理个人信息的,应当遵循合法、正当、必要原则,并明确了相应的条件。问题在于,《网络安全法》的义务主体是网络运营者(相当于个人信息保护法中的个人信息控制者),是特定义务主体,而该条的义务主体并不明确,按照通常理解应该是总则规定的一般义务主体(任何组织或者个人)。将适用于特定义务主体的要求推广到一般义务主体,结果就会非常荒谬,与生活常识不符,导致的问题是义务主体错位以及连锁的各种错位,其适用会遇到难以克服的障碍。
民事立法一直用传统隐私权观念来构筑个人信息保护法律制度,一是直接将个人信息作为保护客体,二是将义务主体界定为“任何组织或者个人”,存在明显的保护客体泛化与义务主体泛化双重弊端。这样一来,既使个人信息究竟是权利还是权益陷入无休止的争论之中,不可能有确定的答案,也使诸如“收集者”“控制者”等概念与传统的“任何组织或者个人”概念并列,相互关系无法理顺,并产生与常识相悖的推理结果。
3.权利性质的特殊性
人格权属于消极权利,权项并不需要列明,“法律上并不详细规定各种类型的人格权,而是在人格权遭受侵害之后,由法官援引侵权法的规则对权利人提供救济”,以不受非法侵犯造成损害后果为权利边界,遭受损害后通过侵权赔偿加以救济。梁慧星教授明确指出:“各国民法对人格权保护的共同经验可以概括为‘类型确认 侵权责任’,即通过法律规定或者判例确认人格权的类型,称为特别人格权,将侵害各种人格权的加害行为纳入侵权法的适用范围,对加害人追究侵权责任。”他还指出,人格权的第一个特殊性是“防御性”,即法律将侵害人格权的加害行为纳入侵权责任法的适用范围,以便对加害人追究侵权责任。人格权的第二个特性是它的“先在性”。所谓人格权的先在性,是指人格权的存在先于法律规定,不因法律规定或者不规定、承认或者不承认而受影响。
相反,信息控制者以不同方式处理海量的个人信息,难以衡量具体处理行为是否对信息主体造成侵害。因此,个人信息权作为信息主体对抗信息控制者信息处理行为的新型公法权利,必须有法律依据,并由法律对具体权项进行列明。这样一来,信息主体的权利就转变为信息控制者的相应法律义务,违反法律义务就等于是对信息主体权利的侵犯,由此实现信息主体控制自己信息不被非法处理的权利保护目标。违反公法义务会导致公法上的法律责任,同时导致权利人损害的,当然也要承担民事侵权责任。但是,并不是所有违反公法义务的行为都会产生民事损害后果,这就涉及如何科学设计救济机制的问题,以避免制度被滥用或空转。我们看到,不仅欧盟与受欧盟影响国家的立法广泛规定了信息主体的各项具体权项,即使与欧盟模式差别非常大的美国,也体现了消费者控制自己信息不被非法处理的相同立法思路。2012 年2 月23 日,时任美国总统的奥巴马颁布《消费者隐私权法案》,对消费者的权利进行了具体规定,对于企业可收集哪些个人数据以及如何使用这些数据,消费者都拥有控制权。美国《加州消费者隐私权法》则赋予消费者对于自己信息的5项具体控制权。
从救济效果看,构成人格权民事侵权必须满足侵权赔偿的法定构成要件,尤其是必须以造成实际损害为前提条件,被侵权人还需要承担举证责任。但是,在网络环境下,不同于对于人格权的侵犯,侵犯个人信息权往往很难证明对信息主体实际造成了什么损害,信息主体要承担举证责任也同样困难。因此,如果仅仅依靠民事侵权赔偿机制保护个人信息,会遇到很大的困难,存在激励不足问题。相反,作为公法权利,并不以信息主体的实际损害作为认定违法与否的必要条件,也不需要信息主体承担举证责任。只要数据控制者违反法定义务,不论是否造成信息主体实际损害,都可以认定为违法,个人信息保护执法机构就可以通过公法执法发现并制裁违法,维护法律秩序。个人信息被违法处理并不必然导致信息主体遭受损害,甚至可能会带来利益,但信息控制者仍然要承担公法责任。正因如此,当代各国普遍将个人信息权界定为新型公法权利,为数据控制者规定广泛的法律义务,并通过设立专门、独立、权威的个人信息保护执法机构来提供有效的保护。公法权利更多属于积极权利,权项因此更为丰富,不只事后才能寻求损害赔偿救济。不论在欧盟模式还是美国模式下,个人信息权均是一个权利簇,范围究竟多大由立法加以界定,各国未必完全一样,但核心在于信息主体对于自己信息的控制权,包括知情权、修改权、删除权、可携带权、被遗忘权等。只要个人信息保护法加以明确规定,权利主体就享有这些具体的控制权利。
就权利保护机制而言,作为民事权利,一般不会动用公权力进行事先保护,主要的保护手段是事后救济以及相应的侵权赔偿,责任形式只能是诸如停止侵害、排除妨碍、消除危险、赔偿损失、消除影响、恢复名誉、赔礼道歉等民事责任,对抗的主体是平等的民事主体。在网络时代,这种事后救济机制既无法预防泄露、滥用个人信息行为的发生,也无法有效惩罚、威慑违法者。如果侵权方是公权力机关,民事责任机制更是无能为力。作为公法权利重要的意义还在于,信息主体不但可以对抗平等的民事主体,也可以对抗公权力部门,国家机关同样要尊重和保护个人的信息控制权。同时,对于公法权利,国家有义务建立有效的事前事中政府监管与行政执法制度,有效预防损害的发生,保护公民所享有的权利。至于民事救济机制,在公法权利框架之下同样也可以发挥应有的作用。同时还要看到的差别是,对于纯粹的民事侵权行为,如网络上披露他人隐私、侵犯名誉权等,如果没有达到一定的程度,公权力并不需要介入,依靠民事侵权赔偿机制就可以达到保护私权利的目的。相反,对于公法权利的侵犯,不论程度如何,均需要由公权力执法机关提供保护。
随着社会的发展,个人权利的种类不断丰富,权利的边界越来越广,既超出传统的民事权利范畴,更横跨公私法边界,演化出许多新型公法权利,诸如环境权、受教育权、社会保障权、消费者权利、可交易许可权等,均是典型的新类型权利。这些新型权利是去法典化时代的产物,具有跨法律部门、多元特征混合、公法私法融合等特点,不宜简单“一刀切”定性。必须根据每项权利本身的运行规律,由环境法、消费者权益保护法、社会保障法、行政许可法等单行法界定其权利边界,设计权利保障机制,再由民法、行政法、刑法进行相应的衔接,对侵害权利的行为进行制裁,构成完整的权利保障体系。可以看到,我国的环境权、受教育权、消费者权利等均未在《民法典(草案)》中加以规定,而是先由相关单行法分别予以确认,再通过包括民法典在内的法律,共同制裁侵犯这些权利的行为。个人信息权也是这种新型权利,同样应该首先由个人信息保护法界定其权利基础,再由包括民法典在内的相关法律追究侵权行为应该承担的法律责任。正如王泽鉴教授指出的,不同国家与地区隐私权首先都是作为基本权利加以确认,然后再从民事侵权法上加以衔接,而不是像我国一些民法学者所主张的民法上先确认个人信息权,再制定个人信息保护法。例如,在美国,隐私权被作为一项最为重要的宪法权利而不是普通的民事权利,以宪法惯例的形式得到学术与实务部门(包括美国联邦最高法院)的确认。在法国,1958年宪法虽未明确规定隐私权,但法国宪法委员会通过1994年的一项裁决,确认宪法隐含隐私权。在印度,1950年宪法没有明确承认隐私权,但在1964年,印度最高法院就首次依宪法第21条作出裁决,认定宪法已隐含隐私权。在爱尔兰,宪法未明确提及隐私权,但爱尔兰最高法院裁决,公民有权援引宪法第40.3.1条的个人权利条款证明隐私权的存在。即使在人格权制度非常发达的德国,一般人格权也是作为基本权利加以保护的。
4.简单的结论
正是因为个人信息保护的上述各种特殊性,使个人信息保护已经迅速成为一项独立的法律制度,有独立的法律渊源、程序设计、制度配置、执法机制、交流平台等,甚至已经形成一个专门的复合型知识结构的职业共同体和不同于传统的隐私权保护的话语体系。与国际趋势相反,我国民法界一直推动将个人信息保护纳入人格权编,与隐私权并列在一起,并主张将个人信息保护法作为民法的特别法,由此强行将两项根本不同的制度熔于一炉。可见,个人信息保护在民事立法中出现定位困难和逻辑混乱,深层次根源在于权利定性错位,将一项新型公法权利简单归入传统民事权利范畴,忽略了个人信息保护与人格权两项权利的本质差别。这种错配不但会导致立法中的各种反复与纠结,未来适用更会面临巨大的不确定性。另外,这种观念和认识一旦外溢至个人信息保护法立法,还会导致个人信息保护权属基础不明,法律关系模糊等连锁反应。
三、立法中需要明确的几个问题
当前,民法典起草已近尾声,即将出台,个人信息保护法已经列入本届全国人大一类立法计划,正在加紧起草过程中。民法典是基本法,将由全国人大通过,而个人信息保护法属于一般法律,将由全国人大常委会通过。由于两部法律都会涉及个人信息保护内容,因此,立法中必须处理好相互关系,核心是明确以下几个重大问题:
1.民法典与个人信息保护法的关系
民法学界有很多专家认为,民法典对个人信息权在人格权编中首先加以规定,明确个人信息权的法律地位,然后再制定个人信息保护法,是比较合理的选择。也就是说,个人信息保护法是民法的特别法。
笔者认为,这种观点值得商榷。
首先,将个人信息保护法视为民法的特别法,明显会使编纂民法典这一体系化立法的意义受到直接冲击。依此类推,还可能会使民事立法再次进入到分散化状态,影响民法典的统一和权威。
其次,如前所述,个人信息保护与人格权保护是两个完全不同的领域,不宜强行混合在一起。个人信息保护是一个崭新的法律部门,是正在兴起的网络信息法的核心组成部分。将传统的人格权理论和制度套用到个人信息保护领域,必然出现各种不适配问题,既有损立法的科学性,也会导致法律适用中的各种冲突。
最后,从其他新型权利立法与民法的关系看,都是先由单行法明确新型权利及其运行的基本制度,然后再由民事立法等相关立法与之衔接,通过民事责任追究促进新型权利的实现,而不是先由民事立法确立每一项新型权利,然后再由单行法进行衔接。
因此,在认识上必须明确,个人信息保护法是保护个人信息的基本立法,任务是明确个人信息保护的基本原则和制度,明确实体规范与程序规范,然后再由相关单行立法根据不同行业领域的特点制定相应的规定,构成个人信息保护的完备法律体系。个人信息保护法的义务主体、调整范围、执行机制等均明显不同于民法典,不能将个人信息保护法视为民法特别法。只有违反个人信息保护法的行为造成权利人民事权益损害的,民法典才从民事责任追究方面进行衔接。尽管个人信息保护法与民法典存在一定的交叉,但两者的性质和任务存在根本不同,前者旨在保护新型权利的公法,后者旨在确立民事基本制度的私法,在法律体系中分别发挥不同的作用。只有科学认识这两部法律的关系,才能使个人信息保护法针对信息时代个人信息保护所面临的现实问题,设计相应有针对性的制度,而不是被传统民事法律制度所束缚。
2.个人信息保护法宜确立信息主体权利及信息控制者激励相容机制
进入大数据时代,信息主体控制自己信息不被信息控制者违法处理或滥用的权利,是整个个人信息保护制度运行的基石。因此,个人信息保护法首先必须明确确立信息主体的个人信息控制权。只有确立了这种权利,才能要求信息控制者履行相应的法律义务,以及确立有效的执法监督机制,预防和制止违反法律义务行为的发生。《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国消费者权益保护法》《网络安全法》《征信业管理条例》等法律、行政法规虽然都对个人信息保护做了较为系统的规定,但回避了这种保护的基础究竟是什么,未回答个人是否对个人信息处理活动享有控制权利。从某种程度上讲,这些立法只是为义务主体设定了义务,并未规定权利主体的权利,存在较为明显的基础缺失问题。制定个人信息保护法,应该顺应国际发展趋势,明确确立个人信息控制权,作为整个制度的基础。这是个人信息保护法作为独立立法的意义与价值所在。
但是,必须看到的是,在大数据时代,权利控制机制存在至少两个缺陷,单独依靠权利控制机制难以实现个人信息保护与信息自由流动的平衡。一是由于信息不对称,信息处理活动越来越复杂,由信息主体控制极有可能流于形式,信息主体每次只能选择“同意”,导致实质上无法达到设立控制权的立法初衷,个人无法真正保护自己的个人信息不被违法处理。二是权利控制机制可能导致程序的过度复杂化,不合理地增加信息控制者的成本,影响数据自由流动,最终损害社会的公共利益。
解决上述两个问题,一是要对个人信息控制权的每个具体权项进行分解、分析、分类,在充分讨论的基础上明确哪些权项需要予以明确规定(如知情权、查询权、更正权、删除权、限制处理权等),哪些权项可以作为倡导性规定(如可携带权),哪些权项暂时还不宜规定(如被遗忘权)。通过权项的类型化处理,使个人信息控制权既能发挥作用,又不至于脱离国情,影响数据的自由流动。权项分类处理,最大的难题是如何确定个人同意权的地位与范围,包括哪些事项需要明示同意,哪些事项可以默示同意,哪些事项需要专门同意,哪些事项采用同意例外机制等。二是需要调动信息控制者的积极性,设计激励相容的机制,促使信息控制者主动承担保护个人信息的义务,设计有效的个人信息安全管理制度,实现从单向的权利控制向权利控制与激励机制并行的多元治理机制转变。这也是个人信息保护法作为独立立法的意义与价值所在,民事立法不可能胜任这种多元治理机制。
3.民法典与个人信息保护法宜尽量减少不一致的规定
比较《民法典(草案)》与全国人大法工委已经在一定范围征求意见的《中华人民共和国个人信息保护法(草案征求意见稿)》(以下简称“征求意见稿”)可以发现,两者存在比较明显的不一致,主要表现在两个方面:一是基本概念与范畴不对应。《民法典(草案)》目前采用的是信息收集者、控制者概念,而征求意见稿采用的是个人信息处理者概念,彼此不对应,缺乏衔接。另外,对于“处理”概念,《民法典(草案)》将收集与处理并列,而征求意见稿将收集界定为处理的组成部分,两者明显不一致。二是规定重复且不完全一致。《民法典(草案)》对于个人信息保护的几条实质性规定,如第1034条、第1035条、第1036条、第1038条等,在征求意见稿中均有类似的规定,不仅重复,更重要的在于两者具体内容不完全一致,极易导致不同的解释,影响法律适用。
对于上述问题,如果能够按照先制定个人信息保护法,民法典随后衔接的方式,当然是最理想的米6米乐体育app官网的解决方案。这样可以通过立法范围划分,由个人信息保护法确定实体规范和程序规范,由民法典确定民事责任,实现两部法律的衔接。为此,可尽量删除《民法典(草案)》中的实体与程序规定,重点在责任机制、责任构成要件、责任标准以及不同救济机制的相互关系上实现两部法律的衔接,对侵犯个人信息权的行为设计量身定做的民事责任追究机制。然而,鉴于两部法律目前处于不同的立法进度,尤其是民法典出台已经箭在弦上,这种米6米乐体育app官网的解决方案的现实可能性应该不会太大。但是,即使到目前这个阶段,类似基本概念与范畴的统一与科学性等问题(如对“处理”的定义),《民法典(草案)》还是应该尽量作出调整,以提高立法质量。
在《民法典(草案)》难以作出大的调整的情况下,次优的米6米乐体育app官网的解决方案只能是在给定的条件下,通过个人信息保护法立法,确立法律适用规则,明确民法典是私法、一般法、旧法,个人信息保护法是公法、特别法、新法。对于个人信息保护,宜优先适用个人信息保护法,个人信息保护法没有规定的,再适用民法典。通过明确适用规则,在一定意义上使民法典的某些规定成为原则性或宣示性条款,在法律适用中更多直接依据个人信息保护法,以变通解决《民法典(草案)》中存在的各种问题。
当然,对于《民法典(草案)》本身正确的内容,个人信息保护法也应该根据民法典的规定作出相应的修改,典型的如《民法典(草案)》规定的个人信息控制者概念,明显要比征求意见稿规定的个人信息处理者概念更为科学。
作者:周汉华,中国社会科学院法学研究所副所长、研究员。
来源:《法商研究》2020年第3期。为阅读便利,注释从略。