杨显滨
上海大学法学院副教授,法学博士
麻晋源
上海大学法学院研究实习员
要目
一、个人信息的法律属性定位:信息主体对个人信息享有民事权利
二、权利属性定位:个人信息权是人格权
三、个人信息保护的路径选择:一元保护模式的证立
四、个人信息的合理使用:利益衡平机制建构
《民法典》实施背景下,个人信息侵权案件依然呈现高发态势。关键在于个人信息的法律属性定位,即使认可信息主体对个人信息享有的是一种民事权利,依然存在人格权与财产权之争,时至今日,仍无定论。信息主体对个人信息享有的是一种人格权,权利内容包括人格利益和财产利益。二元保护模式将财产利益与人格利益进行分别保护,与我国现有民事权利保护模式不符,个人信息的人格属性亦难以契合二元保护模式,故可采用一元保护模式,兼顾个人信息承载的财产利益和人格利益。同时,应用“比例原则”约束个人信息的合理使用,构建敏感个人信息合理使用的特别机制,建构以“理性人标准”主导“场景理论”适用规则,力求摆脱个人信息保护的现实困境,快速定纷止争,最大限度地实现信息主体与信息处理者之间的利益衡平。
图片来源于江海学刊原文
《民法典》实施以来,个人信息保护尚未取得预期效果,侵权事件屡见不鲜。年5月13日,工信部在其发布的《关于下架侵害用户权益APP名单的通报》中指出,市面上仍有93款APP过度索取用户权限,违规收集用户信息。个人信息保护的法律预期与现实存在明显落差的背后,反映的是《民法典》对个人信息的法律定位仍需商榷,保护路径选择有待考察,个人信息的合理使用亦有待明确。具体而言,一是信息主体对个人信息享有的究竟是民事权利,还是民事利益,《民法典》未置可否,未来《个人信息保护法》的出台,会不会解决这个问题值得期待;二是《民法典》将个人信息保护置于人格权编,是否排斥个人信息的财产属性,亟待明确;三是个人信息承载的财产利益的保护路径选择上战火仍酣,有采用二元保护模式,区分隐私权(精神利益)与公开权(财产利益)进行分别保护,一元保护模式支持者则主张由一个统一的人格权对精神利益、财产利益进行保护,如何抉择值得考量;四是在个人信息人格利益保护的主旋律下保护信息主体利益,何以衡平信息处理者利益及社会公共利益。另外,信息处理者对个人信息的使用权限有多大,边界在于何处,不甚明确,故研究个人信息法律保护与限度问题具有重要的理论与实践意义。
一、个人信息的法律属性定位:信息主体对个人信息享有民事权利
鉴于法律对权利与利益保护的差异性,个人信息保护的前提是对个人信息的法律属性进行定位。信息主体对个人信息享有的权利具有排他性,与一般民事权利的属性相吻合,为个人信息的属性定位奠定了理论基础。从《民法典》人格权编的制度设计看,人格权编的一般规定仅对死者的人格利益进行保护,其他皆为人格权利保护条款。若信息主体对个人信息享有的是人格利益,人格权编应当明示,否则可以人格权视之,《民法典》第条到条置于具体人格权章节而非一般人格权章节便是例证。另,信息主体对个人信息享有权利的观念已然深入人心,并得到社会公众和司法裁判的认可。
信息主体对个人信息享有的权利具有排他性
有学者认为,个人信息的价值借由信息交流而实现,其所蕴含的社会性与公共性得以彰显,故信息主体对个人信息不享有支配权和绝对权。然而,以信息主体支配个人信息的困难程度否认信息主体对个人信息享有支配权,看似合理,实则不然。《欧盟基本权利宪章》在第8(1)条指出,自然人对个人信息享有的是一项基本权利。无独有偶,我国《民法典》第条、《个人信息保护法(草案二次审议稿)》第14条及第15条指出,除信息主体外,任何人处理个人信息需征得信息主体或其监护人的知情同意,信息主体有权限制或者拒绝他人处理个人信息。在此基础上,《个人信息保护法(草案二次审议稿)》第44条到第50条规定,信息主体在个人信息处理活动中享有知情、决定、查阅、更正、删除等权利。故,信息主体对个人信息享有排除他人干涉的支配力,体现在对个人信息的自主控制上,它是个人信息保护的核心和其他权能的基础。信息主体对个人信息的自主控制以知情同意规则为基础,辅以查阅权、更正权等一系列权利,以确保信息主体对个人信息享有支配权。对此,欧盟《通用数据保护条例》(GDPR)就“超越了传统的使用权,赋予信息主体监控他人如何使用信息的不可剥夺的权利”。GDPR第6条指出,“处理的合法性”是以“数据主体同意”为要件的;第17条规定,“数据主体有权要求控制者无不当延误删除与其有关的个人数据”。综上,GDPR通过“数据主体同意”与“删除权”为数据主体构建起排他性的数据权利。在凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案中,北京互联网法院将北京微播视界科技有限公司在处理凌某某个人信息前是否取得凌某某同意作为认定是否构成侵权的重要条件,认可信息处理者处理个人信息的合法性基础是信息主体的授权同意。信息处理者对于个人信息的处理,受限于信息主体对个人信息的控制。信息主体没有授权或者撤回同意的,信息处理者无权处理个人信息,信息主体对个人信息具有支配力,进而享有排他性权利,可见一斑。因此,个人信息处理的“知情—同意”规则以及其延伸出的其他权能,佐证了信息主体对个人信息的绝对支配权。信息主体对个人信息享有的权利具有排他性,意味着该权利是绝对权,故信息主体对个人信息享有的是民事权利,而不是民事利益。
《民法典》采用权利模式保护个人信息
民法对权利与利益的保护采取不同的救济方式,人格权利与人格利益的保护也不例外。对个人信息采取较高层级的保护,抑或较低层级的保护,是判断信息主体对个人信息享有权利或利益的依据。年6月22日,《欧洲共同体法院(包括初审法院)判决:LatvijasRepublikasSaeima(刑事要点)(保护自然人处理个人数据——“与刑事定罪和犯罪有关的个人数据的概念”)》指出,从“GDPR的第10条中可以明显看出,该法规旨在通过确保在处理个人信息时对自然人提供一致和高水平的保护,从而促进自由、安全和正义的实现”。我国《民法典》侵权责任编调整因侵害民事权益产生的民事关系,未区分民事权利和民事利益。杨立新认为,基于民事权利与民事利益边界的模糊性以及二者之间的可转换性,侵权责任编未对民事权利与民事利益作出区分。受此种观点的影响,利益权利化现象在司法裁判中屡见不鲜,是对权利与利益区分理论的破坏。在我国侵权责任编体系下,“权利的保护就直接以权利受到侵害进行保护,利益的损害需要保护时,须法律有明文规定,或者以违背善良风俗故意加害”。《民法典》个人信息侵权保护路径有如下两条:一是以《民法典》第条到第条与第条为基础的一般保护;二是以《民法典》第条至第条为基础的特殊保护,限于网络环境下的个人信息侵权。此为法律对个人信息保护所作的明文规定。放眼个人信息侵害的现有救济路径,不能直观地看出个人信息之上的民事权利属性,但《民法典》也没有排斥个人信息之上的民事权利属性。《民法典》人格权编第六章“隐私权和个人信息保护”将个人信息与隐私并列,若肯定个人信息的人格利益属性,认可其民事利益地位,则出现民事权利与民事利益杂糅的局面。同时,审视《民法典》第条到第条,涉及隐私权保护的只有第条与第条,第条至第条均为个人信息保护的相关规定。个人信息保护条文数量更多、内容更为丰富,凸显出“权利规定单薄、法益规定丰满”的失衡现象。故而,民事权利与民事利益并列方能消除上述疑惑与混乱,即个人信息具有民事权利属性,达致立法体系的科学性与统一性。巡视《民法典》人格权编第一章一般规定(第条到第条),对民事权利与民事利益保护分别作出规定,第条到第条、第条到第条皆是对人格权保护的一般规定,第条是唯一的民事利益(死者人格利益)保护条款,没有提及他种人格利益客体,更未提及个人信息。从体系解释看,《民法典》人格权编一般规定肯定了个人信息的民事权利属性,即信息主体对个人信息享有民事权利(人格权)。否认个人信息的民事权利属性,《民法典》第条至第条以及第条作为一般规定所提及的救济措施、民事责任、民事责任范围、民事责任承担方式等将无法适用于个人信息保护,人格权编的一般规定也就失去了规范作用,必将撼动其作为一般规定的统领地位。肯定个人信息的人格权属性,则一般规定的功能得以实现。此外,信息主体就个人信息享有民事利益的法律定位打破了人格权益保护理论的内在逻辑。我国人格权益体系中,人格权益分为人格权利与人格利益,人格权利则划分出具体人格权与一般人格权。其中,具体人格权的内涵最为明确,外延最为清晰,而人格利益的内涵与外延最为模糊。人格利益说导致处于中间地带的一般人格权尚未明确,却对人格利益的外延与内涵进行明晰化处理,不符常理。综上所述,《民法典》人格权编的现有保护模式已对个人信息的人格权属性进行了确认。唯此,我国人格权保护体系的逻辑才得以自洽。
图片来源于江海学刊原文
司法裁判和社会公众认可信息主体对个人信息享有民事权利
在法社会学视角下,法定权利的生成并非国家立法的空穴来风。权利作为社会交往中利益结构关系的体现,在国家以法律规定予以固定之前,就已经形成广泛的社会基础。谢晖认为,“在国家实在法上没有规定但在司法实践中因当事人向法院提起诉讼而经司法裁判认可或者尽管未经其认可却被社会普遍默认和接受的权利”可以视为新型权利。“法律往往起源于风俗,有风俗进而为法俗,由法俗又进而为所谓之法律”,在法定权利与习俗之间存在着没有权利之名而具备权利之实的新型权利。纵然新型权利的推定过程有待商榷,但司法裁判的认可和社会普遍的默认和接受,可作为判断个人信息权利属性的重要依据,从法律层面促使个人信息权益升华为法定权利。早在年冒凤军诉中国电信集团黄页信息有限公司南通分公司等隐私权纠纷案中,原告冒凤军以被告单位向其乡镇所属村居的电信用户发放大量刊登了包括原告在内的该镇所属村居电信用户详实的姓名、住址和电信号码信息的电信乡情网号簿为由,向法院提起诉讼。法院认为,冒凤军的姓名、家庭固定电话及住址属于个人信息而非隐私。纵然法院未支持原告冒凤军的诉求,却足以证明个人信息保护的意识已在社会公众的心中萌生。在温国强与莫丕向不当得利纠纷案中,上诉人提出被上诉人非法获取其个人的隐私信息,侵犯其隐私权及个人信息权。张杰与封跃强、邢台碧宇城中村改造有限公司民间借贷纠纷一案中,被告辩称原告以不正当途径获取其个人信息,构成对其个人信息权的侵犯。李菊花与中国联合网络通信有限公司郑州市分公司电信服务合同纠纷案中,原告诉称被告常年侵害其个人信息权。诸如此类的案件不胜枚举。故,自然人享有个人信息权已成为社会习惯、社会共识。社会对个人信息的保护并非传统习惯,是由全新的时代背景、科学发展、技术进步所催生出的新习惯。中国裁判文书网显示,从年《关于加强网络信息保护的决定》颁布至年《民法典》实施以前,涉及个人信息的人格权纠纷案件已高达件。另外,社会各界开始强调个人信息的重要性,公众对自然人享有个人信息权的认知已具有较为深厚的社会基础。在丁芝玲与汪锡奎隐私权纠纷案中,法院认为,为了维护社会主义法制的公平与正义,树立诚实信用之理念,弘扬社会主义核心价值观,强化对公民个人信息权的保护,被告汪锡奎就无意泄露原告丁芝玲个人信息之行为,应承担相应民事法律责任。认可个人信息权,已然成为法院裁判的一种趋势。此种境遇下,自然人享有个人信息权已具备一种权利诞生的基础和前提——司法裁判的认可和社会的普遍接受,信息主体应享有个人信息权。
二、权利属性定位:个人信息权是人格权
个人信息权以保护人格利益为主要内容,突显了法律对人格尊严、人格自由、人格平等的重视与关怀,故个人信息权应是人格权。同时法律亦保护由人格利益所衍生出的财产利益,以强化人格利益保护。新型权利说基于个人信息权具有人格利益与财产利益的双重特性,主张个人信息权不是财产权、人格权,抑或知识产权,而是一种新型的民事权利,此种观点是否可行,有待进一步考证。
图片来源于江海学刊原文
个人信息权不具有直接的财产内容
近年来,个人信息商业化利用愈发频繁,其财产属性被学界反复讨论。20世纪中期以前,因信息与其载体的不可分离性,有学者提出,信息的保护即是信息载体的保护。随着科技的进步与社会的发展,信息不再依赖信息载体而存在,通过财产权保护个人信息的声浪此起彼伏,我国亦是如此,即个人信息财产权说。个人信息财产权说的支持者认为,部分个人信息本身即具有财产利益,如个人存款、工资、信用状况等信息直接涉及个人的财产状况,对个人财产有着重要影响。事实上,个人信息财产权在具体人格权中已有体现——肖像使用人向自然人支付使用费,保护的就是自然人的财产利益。同理,个人信息处理者使用个人信息应当支付使用费,以强化个人信息保护。据此,个人信息财产权说拥护者认为,信息主体对个人信息享有财产权。其着眼点在于财产利益,忽视了人格利益,有以偏概全之嫌。个人信息财产权说是否合理,可以从个人信息与财产、个人信息权与财产权的关系的入手。一是个人信息与财产的关系。佟柔曾指出:“财产权是指具有一定物质内容或者直接体现某种经济利益的权利。”即财产应具有以下任一一种特质,即具有物质性或体现经济利益。毋庸置疑,个人信息天然地排斥物质性。原因在于,个人信息虽被记录于其他具有物质性的载体之上,但是个人信息所体现的价值在于内容而不在于表现形式。大数据时代,单个信息主体的个人信息通常不具备经济利益内容,“个人信息通常只有在结合后才具有经济价值”,此时的个人信息不再是一般意义上的个人信息。二是财产利益和财产权的关系。个人信息财产权说的支持者认为肖像权、姓名权等具有财产利益,自然人即享有财产权的观点是错误的。财产权和财产利益不是同一概念的不同表达,肖像权、姓名权等具有财产属性改变不了其为人格权的本质。视个人信息权为财产权非但无法实现财产利益,反而可能导致个人信息上人格利益受到损害。因而,个人信息不具有直接的财产内容,信息主体对个人信息享有的是人格权,不是财产权。
个人信息权具有人格权属性
新型权利说作为个人信息权利属性定位的学说之一,得到部分学者的支持。李伟民认为,个人信息权不同于人格权、财产权和知识产权,兼顾人格利益与财产利益保护,“是继股权、知识产权之后的又一新型民事权利”。新型权利说支持者否认个人信息权为知识产权的观点,笔者表示赞同,个人信息权与著作权、商标权和专利权差异巨大,归入知识产权缺乏法律依据。对个人信息权不属于一般意义上的财产权的说法,也持肯定态度,具体理由本章第一节已有论述,不再赘述。下面仅以人格权为重点,展开论述。新型权利说拥护者称,个人信息权不属于人格权的首要原因在于,一是作为商业利用的对象所表现出的财产利益与人格权承载的人格利益不符。二是人格权具有专属性,不能自由流转。个人信息作为权利客体,可以自由流转。三是人格权通常采取消极的防御方式进行保护,事后救济居多,而个人信息权则以积极方式行使,事前与事后救济相结合。因此,个人信息权具有特殊的权利内容,是一种新型权利。事实上,现行法下,无须通过创设新型权利即可兼顾人格利益和财产利益保护,个人信息权并未跳出现有法律体系。个人信息新型权利学说忽视了人格权法的发展,对人格权的理解过于狭隘。一是新型权利说曲解了人格权与财产利益的关系。人格权的属性定位并不阻碍人格权上财产利益的实现。自年德国因俾斯麦遗体偷拍案制定《艺术著作权法》至年的马琳迪特里希案,人格权上财产利益保护已近百年,我国《民法典》第条亦是如此。可见,人格权的属性定位与人格权上财产利益的实现并非截然对立。二是人格权的属性定位与事前防范的救济手段也并非不可兼容。《民法典》第条规定的排除妨碍、消除危险作为事前防范的手段同样适用于人格权救济,人格权亦存在事前与事后两种救济方式,新型权利说以此否定个人信息权为人格权缺乏说服力。所以,个人信息权本质上是人格权,非财产权、知识产权,亦非所谓的新型权利。个人信息的独有特性不是创设新型权利对其进行保护的充分理由,现有法律规定可以兼顾个人信息上人格利益与财产利益保护。创设新型权利保护信息主体权益,打破现有法律体系,与“能解释则不立新法”规则相悖,故新型权利说是否可行值得商榷。
个人信息权以保护人格利益为主要内容
互联网技术不断发展,个人信息作为管理的必备工具、推广业务的手段和资本,被互联网公司、信息企业等信息处理者大量收集和使用,信息主体的人格自由与人格尊严保护面临巨大挑战。个人信息保护始于西方,多认为信息主体对个人信息享有的是信息自决权。信息自决权最开始由德国学者WilhelmSteinmller和BerndLutterbeck提出,主要包括个人对信息的支配权、授权他人收集和利用的权利等。我国部分学者认为,保护个人信息的主要目的在于,保护信息主体的人格利益免受他人侵害。《民法典》第条第2款赋予自然人享有一般人格权,个人信息权设立的初衷就在于对人格自由、人格尊严、人格平等的保护和尊重,个人信息权纳入人格权具有正当性。具体诠释如下:一是个人信息权保护信息主体的人格自由不受干扰。在凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案中,被告在原告没有授权的情况下,非法窥探和使用原告的个人信息,导致原告对社交关系的控制受到干扰和破坏,法院判定被告承担侵权责任。控制社交关系是人格自由的体现,信息主体有权决定社交对象及社交范围。没有信息主体的授权,信息处理者擅自获取信息主体姓名、手机号码等信息,为信息主体推荐可能认识的人是对信息主体人格自由的侵犯,侧面佐证了个人信息权是人格权。二是个人信息权保护信息主体的人格尊严不受侵犯。在周达华诉郭宝金冒用其个人信息资料在网上进行内容低下的聊天侵犯名誉权案中,被告冒用原告的姓名、工作单位及住宅电话号码,以原告的名义与他人在网上聊天、谈情的行为侵犯了原告的名誉权,应当承担侵权责任。名誉权本质上发挥着保护自然人、法人或其他组织人格尊严的功能,在其独立成为具体人格权之前,通常是通过一般人格权中的人格尊严进行保护的。上述案件通过保护名誉权达到了保护人格尊严的目的,也保护了自然人的个人信息权。此外,《民法典》第条第3款规定,隐私权章节对私密信息保护没有规定的,纳入个人信息保护范围。私密信息源于人格尊严,保护私密信息就是保护人格尊严。可见,保护个人信息就是保护自然人的人格尊严等其他人格利益,故个人信息权是人格权。如果赋予信息主体以个人信息财产权,势必导致个人信息交易愈发频繁,“促使个人信息的流通,从而对信息主体造成新的伤害”。因为“信息在机构之间传输得越多,伤害的风险就越大”。
三、个人信息保护的路径选择:一元保护模式的证立
个人信息保护的现有路径主要包括一元保护模式和二元保护模式。从法解释学角度看,我国《民法典》采取的是一元保护模式,经由人格权实现对个人信息上人格利益和财产利益的保护。二元保护模式对人格利益与财产利益进行分离处理,与我国现有民事权利保护模式相背离,也与个人信息权的人格权属性相矛盾,选择一元保护模式对个人信息权进行保护,更具合理性。
人格利益与财产利益分离的二元保护模式VS我国现有民事权利保护模式
继受19世纪德国民法的基本思想,构建于康德哲学与萨维尼权利论之上的现行民法,强调人格权的专属性,不得让与或继承,人格权商业化利用所带来的兼顾人格利益与财产利益的保护问题难以消解。对如何保护个人信息,英美法系与大陆法系采取截然不同的态度。以美国法为代表的英美法系,设立个人公开权,在将个人信息上所负载的财产利益予以分立的基础上,保护个人信息上的财产利益;以德国法为代表的大陆法系,通过发展人格权,兼顾人格利益与财产利益,实现对个人信息上财产利益的保护。我国《民法典》未明确对个人信息上财产利益进行保护,有学者认为,设立个人信息财产权对财产利益进行专门保护更为适宜;另有学者认为,设立个人信息财产权不符合我国现有法律体系的内在逻辑。一石激起千层浪,或采美国法经验,以二元保护模式予以保护;或采德国法经验,遵循一元保护模式进行保护,有待进一步考察。我国个人信息保护模式选择的关键在于,对现有保护模式进行解读,探寻适合我国国情的个人信息保护模式。本文主要采用否定二元保护模式,证成一元保护模式的路径进行论证。
邢会强指出,从个人信息内部来说,个人信息作为精神性人格权客体,应与主体相分离;因个人信息的稀缺性,应视个人信息权为财产权进行保护。从个人信息外部来看,因有肖像利用权的先例,可知在一定程度上认可肖像具有财产属性,类推适用于个人信息处理,其也应具有财产属性。此外,人格利益与财产利益在民事权利中的统一将会对民事权利体系造成冲突,因而须将人格利益与财产利益分别予以规制。二元保护模式的支持者,从两方面对创设个人信息财产权的必要性及合理性进行论证,分别是个人信息在商业化利用中本身所具有的财产属性与个人信息财产权的创设有助于实现法律体系的逻辑自洽。二元保护模式下,个人信息财产权与我国现有的民事权利体系之间存在冲突,因为《民法典》人格权编对人格权之上的人格利益和财产利益进行整体保护。个人信息财产权将个人信息之上的人格利益与财产利益全然割裂,忽视了个人信息上人格利益与财产利益的统一性。殊不知,个人信息的财产价值源于个人信息的人格属性。信息处理者的目的“并不在于仅具有符号意义的个人信息,而是符号背后的人”。正是个人信息之上的人格属性为信息产业中个性化服务、人格画像等创造了可能性,脱离人格属性的个人信息不再是个人信息,丧失人格属性的个人信息也就失去了财产价值。因此,人格利益与财产利益分离的二元保护模式对我国现有民事权利保护模式构成巨大挑战,不具可行性。
个人信息权的人格权属性排斥二元保护模式的适用
个人信息权作为精神性人格权,主要体现的是人们精神上和道德上的利益,以人格利益为保护对象。二元保护模式将财产利益剥离出来,单独设置个人信息财产权对其进行保护。个人信息之上存在人格权与财产权两项权利,二者能否协调,人格利益与财产利益能否兼顾是适用二元保护模式面临的首要问题。邢会强指出:“对于其人格权部分,可采取人格权的保护方法;对于其财产权部分,可采取财产权的保护方法。”刘德良指出,个人信息财产权保护的重要性在于贯彻公平正义与保护弱者的理念,以及实现法律体系逻辑统一的要求,也可以预防乃至于减少人格权侵权行为,实现社会利益的最大化。然而,个人信息权与二元保护模式是矛盾的,个人信息权的人格权属性否定了个人信息的财产权属性,即使信息主体享有财产利益。人格权不得转让和继承,财产权则具有可转让性与可继承性。人格权设立的目的在于,保护人格自由、人格尊严不受侵犯。人本身就是目的,不是工具或手段,应有自决权。一旦物化,人格尊严、人格自由必将荡然无存。个人信息财产权的创设,意味着承载信息主体人格的个人信息沦为手段,信息主体开始物化。这与人格权保护人格自由与人格尊严的立法初衷不符。此外,认可个人信息财产权,则表明信息主体失去对个人信息流转的控制,不利于个人信息上的人格利益保护。《民法典》第条与《个人信息保护法(草案二次审议稿)》第13条到第16条为保护信息主体的人格利益,构建起个人信息处理的知情同意规则及撤回同意规则。知情同意规则与撤回同意规则凸显了个人信息人格权的排他性与绝对性。没有信息主体的知情同意,信息处理者无权处理个人信息;信息主体撤回同意后,信息处理者处理个人信息的合法性基础随即丧失。创设个人信息财产权意味着,信息处理者所取得的个人信息财产权势必与个人信息人格权的排他性相冲突,信息主体的撤回权与信息处理者财产权之间存在着不可弥合的鸿沟。我国学者多以著作权证成个人信息权二元保护模式的合理性,无视著作权与个人信息权中财产利益实现的差异。与著作权、专利权等“一体两权”不同的是,个人信息人格利益的实现在于信息主体对个人信息的绝对控制,个人信息财产权是信息主体控制个人信息的绊脚石。沈剑峰指出,人格符号与人格本身不可分离,如果财产利益可以自由转让,可能脱离人格权主体的控制,损害人格权。反观著作权、专利权等知识产权,其财产利益无须借由人格利益实现。以著作权为例,复制权、发行权等财产权的实现,不依托于作品所保护的人格。即使是发表权这一决定作品能否进行后续利用的著作人身权,在著作权人行权后,著作财产权的行使不再受人格保护的限制。综上,个人信息权因其人格权属性否认了个人信息财产权设立的合理性,驳斥了个人信息二元保护模式。
一元保护模式可以兼顾人格利益与财产利益保护
我国支持个人信息二元保护模式的学者以美国的个人公开权为理论基础,指出个人信息上的财产利益应通过财产权予以保护。以刘德良为代表的学者认为,个人信息的人格利益与财产利益的保护在二元保护模式下并行不悖,人格自由、人格尊严与个人行为自由之间关系得以协调。美国法创设个人公开权,对人格权上的财产利益进行分离,进而经由财产权实施保护的颠覆性做法,获得部分学者的支持,也不乏反对之声。以王利明为代表的学者认为,人格权商品化过程中所产生的经济利益,不是设立独立财产权的充分理由,人格权的人格属性没有发生变化。建议对人格权的权能进行扩充,以保护财产利益。故,个人信息的一元保护模式足以保护个人信息上的人格利益与财产利益,创设个人信息财产权有画蛇添足之嫌。我国《民法典》第条规定,民事主体可以将自己的姓名、名称、肖像等许可他人使用,第条中要求信息处理者处理个人信息应征得自然人或者其监护人的同意,并未禁止信息主体将个人信息授权他人处理。信息处理者处理个人信息的合法性基础在于,信息主体或者其监护人的授权同意,个人信息上的财产利益得以实现;《民法典》第与第条规定,人身权益、人身意义的特定物遭受侵害的,受害人可以主张财产损害赔偿、精神损害赔偿。《民法典》并非单纯保护人格权之上的人格利益,也保护源于人格利益的财产利益。放眼我国立法和司法实践,“坚持的是人格权一元保护模式,即通过人格权制度同时实现对精神利益和经济利益的保护”。与德国个人信息保护模式相似,以一般人格权制度为保护个人信息的理论依据,对人格权的保护对象进行扩充,从人格利益延伸至财产利益,最终实现人格利益和财产利益的双重保护。事实上,我国个人信息财产利益保护也是经由人格权得以实现,未诉诸财产权。故此,在我国现有的民法体系下,个人信息上的人格利益与财产利益保护通过一元保护模式足以实现,无须通过个人信息财产权对个人信息上的财产利益进行救济。
四、个人信息的合理使用:利益衡平机制建构
《个人信息保护法(草案二次审议稿)》第二章第一节与第二节对一般个人信息和敏感个人信息的合理使用进行了具体规定,以期在保护信息主体个人信息权的同时,兼顾信息处理者利益、第三人利益及公共利益。但个人信息的合理使用,尤其是敏感个人信息的合理使用范围过于宽泛,应当进行适当限制,切实维护信息主体的个人信息权。此等情景下,有必要对个人信息的合理使用进行探讨,构建衡平信息主体、信息处理者、第三人利益及公共利益的有效机制,实现个人信息保护与信息自由流动的良性互动。
适当限制机制:以“比例原则”为中心约束个人信息合理使用
我国《个人信息保护法(草案二次审议稿)》第5条至第9条对个人信息保护的基本原则进行了规定,包括诚信原则、目的限制原则、公开透明原则、信息品质原则、安全原则等,对信息处理者与信息主体、个人利益与公共利益之间的利益衡平机制鲜见涉及。《个人信息保护法(草案二次审议稿)》的立法目的之一应为,力争实现个人信息保护与信息自由流转之间的平衡,即实现信息处理者与信息主体之间的利益衡平,同时协调个人利益与公共利益的关系,而非只着眼于个人信息保护本身。此时,亟待引入“比例原则”。“比例原则”作为德国行政法的基本原则之一,旨在权衡个人利益(个人自由)与公共利益(个人自由的限制),在我国宪法和行政法上也有体现。“比例原则”涵射“适当性、必要性和均衡性三个子原则”。适当性原则下,基于某种目的可以对基本权利进行限制,但所采取的手段必须与所追求的目的相适应,不能超过必要限度。必要性原则要求,在系列干预手段中,应当选取对基本权利干涉最轻的手段,尽量减少对基本权利的干涉。均衡性原则要求“采取的必要措施与其追求的结果之间并非不成比例”,不能过度干涉基本权利的行使。在萨雷托尔产品责任案中,法院判定消费者有权获取制药公司员工人事档案时,称比例原则可以证成这种获取与保护消费者的人身权益之间具有适当性、必要性和均衡性。
审视我国个人信息合理使用制度,权利义务处于失衡状态。可以应用“比例原则”对我国个人信息合理使用的具体情形进行限制,可行且必要。《个人信息保护法(草案二次审议稿)》第13条第2项将“为订立或者履行个人作为一方当事人的合同所必需”作为个人信息合理使用的情形之一。按文义解释,“一方当事人”可能是信息处理者,也可能是信息主体。据此可分为两种情况:一是信息处理者订立或者履行合同所必需;二是信息主体订立或履行合同所必需。《个人信息保护法(草案二次审议稿)》第13条不加区分地将两种情形皆纳入个人信息合理使用范畴,过于武断。信息主体与信息处理者对个人信息的认知水平存在差异,信息处理者往往是专业机构或专业人员,对个人信息的收集、存储、使用、加工、传输、提供、公开等更为了解,信息主体通常对个人信息知之甚少,同等对待显然不妥。结果是,信息处理者利用专业优势规避知情同意规则,侵害信息主体的个人信息权,恣意妄为,譬如采用“烟幕战术”,通过隐私政策隐藏个人信息处理实质的行为屡见不鲜。比例原则的目的之一就是要求所采取的手段是为实现特定目的所必需,若信息处理者处理个人信息非订立或履行合同所必需,则应当视为对个人信息的滥用,构成对信息主体个人信息权的侵犯。通常情形下,信息处理者可以通过其他途径实现特定目的者,则不可以订立或履行合同所必需为由,任意处理个人信息。反观《通用数据保护条例》(GDPR)第6条,在为订立或者履行合同所必需这一情形下增加“依据数据主体的要求采取特定行为”这一限制条件,指出仅在为满足信息主体提出的特定要求须处理个人信息时,个人信息处理者方可处理个人信息。《民法典》第条第3项规定,为维护“自然人合法权益”处理个人信息,构成合理使用。《个人信息保护法(草案二次审议稿)》第13条第4项规定,“紧急情况下为保护自然人的生命健康和财产安全所必需”而处理个人信息,构成合理使用。生命健康保护具有优先性,是各国的通例,毋庸置疑。为保护某一自然人的“财产安全”而牺牲信息主体的财产利益是可以的,但至少应遵照“比例原则”,对信息主体财产利益和他人遭受的财产损害进行考量,选择保护利益较大者,不能一味保护他人财产安全,漠视信息主体的个人信息权。《个人信息保护法(草案二次审议稿)》第13条第4项主要源于紧急避险制度,其要求紧急避险人采取的相关措施要适当,避免给他人造成不必要的损害,否则要承担民事责任,与“比例原则”的基本要求相吻合。可见,以法为名,对保护信息处理者或第三人的利益而肆意处理个人信息的乱象应予制止,对合理使用的情形应进行合理限制。可以对“比例原则”在个人信息合理使用中的应用制定如下规则:一是《民法典》第条第3项下,在为保护信息主体其他利益而合理使用个人信息时,应对二者利益进行衡量。只有在保护的信息主体利益为重大利益时,信息处理者处理个人信息方为合理使用。二是《个人信息保护法(草案二次审议稿)》第13条第4项下,信息主体所享有的个人信息权益相较于信息处理者、第三人所追求的合法利益,后者更优位时,信息处理者方可基于合理使用处理个人信息。
综上所述,我国个人信息合理使用范围过于宽泛,不利于平衡信息主体利益与信息处理者、第三人利益以及社会公共利益之间的关系,可根据比例原则限定个人信息合理使用情形,最大限度达致各方利益的平衡。可以参照GDPR第6条的规定,在“为订立或履行合同所必需”处理个人信息时,增加“依据信息主体要求采取特定行为”这一限制条件,遏制个人信息合理使用制度的滥用。在为保护信息主体、信息处理者以及第三人权益(尤其是财产利益)而必需处理个人信息时,应用“比例原则”对各方利益进行权衡。同时,强调人格权保护的优先顺位,消除个人信息合理使用制度的流弊。
特别规制体系:构建敏感个人信息合理使用的特别机制
《个人信息保护法(草案二次审议稿)》第29条第2款对敏感个人信息进行了界定。相较于一般个人信息,敏感个人信息的“泄露和非法使用”可能使信息主体“受到歧视”或“人身、财产受到严重危害”,其人格属性更强,与信息主体的联系更加密切,故敏感个人信息与一般个人信息在保护的力度和方式上应区别对待。《个人信息保护法(草案二次审议稿)》第30条指出,处理敏感个人信息,须“取得信息主体的单独同意”。“对非敏感个人信息则可以采取默示同意的方式”,而针对敏感个人信息应采取更严格的保护力度和保护方式。《民法典》对处理敏感个人信息则未作出特别规定。《个人信息保护法(草案二次审议稿)》第13条到28条规定了个人信息处理的一般规则,第29条到37条规定了敏感个人信息的处理规则。《个人信息保护法(草案二次审议稿)》第13条对个人信息合理使用的规定与第29条处理敏感个人信息的规定如何协调适用,需要进行探究。《个人信息保护法(草案二次审议稿)》将个人信息合理使用规定于第二章“个人信息处理规则”的第一节“一般规定”(第13条)下,敏感个人信息的处理规则置于第二节下。根据体系解释,第13条作为个人信息处理的一般规定适用于所有个人信息的处理,包括敏感个人信息,没有对敏感个人信息的合理使用做出特别规定。“个人敏感信息与个人一般信息处于相同的保护顺位……会导致对个人敏感信息的保护力度不足,保护效果不理想”。事实上,敏感个人信息一旦泄露或者非法使用,“可能导致个人受到歧视或者人身、财产安全受到严重危害”,相较于一般个人信息的合理使用,应当采取更大保护力度和更严格的保护方式,不加区别地适用统一的合理使用标准欠妥。《个人信息保护法(草案二次审议稿)》第29条第1款规定,个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。“特定的目的”和“充分的必要性”可作为限缩个人信息合理使用的特别规定,可通过文义解释,构建“特定的目的”和“充分的必要性”的解释规则,区分于一般个人信息的合理使用规则,突出敏感个人信息使用的特殊性,强化敏感个人信息保护。基于个人信息的人格权属性,“特定的目的”首先要维护信息主体的利益,其次是公共利益和第三人利益。“充分的必要”表明,如果可以通过其他路径实现公共利益及信息主体和第三人利益保护,信息处理者处理个人信息不属合理使用之列。此外,公共利益需要进行必要限制,具体可以参照GDPR第9条:信息主体与第三人利益应限于重大合法权益,尤其是人格权。在萨雷托尔产品责任案中,法院认为取得个人信息的替代手段必须与所要求的(同意)基本相当。其中国家因素最为重要,但其仍是有限的。限制个人信息,尤其是敏感个人信息的合理使用是应有之义。在邱兴富与浙江省宁波市公安局鄞州分局个人信息查询纠纷上诉案中,争议的焦点在于个人能否申请获得他人的公民信息。根据《政府信息公开条例》第15条规定,“第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的”,行政机关可以公开个人信息。政府信息公开中的价值衡量法则,也可适用于公民对特定个人信息的获取场合,仅在保护的公共利益为重大利益时,方可处理个人信息,尤其是个人敏感信息。
GDPR第9条规定对特殊种类的个人数据的处理,应严格遵循价值衡量法则。除征得信息主体同意外,信息处理的合法性还包括信息处理者或信息主体“在工作、社会保障以及社会保障法的范畴内履行其义务或者行使权利的目的”所必需,抑或信息主体物理上或法律上无法给予相关同意时,为保护信息主体或另一自然人的重大利益所必需,或非营利性组织在其有适当安全保障的合法活动中处理该组织成员、前成员或依其组织宗旨与该组织产生联系的经常联系人的信息,或处理信息主体明显公开的个人信息等。GDPR第9条规定的敏感个人信息的合理使用包括以下几类:一是为实现公共利益而处理敏感个人信息;二是处理信息主体明显公开的个人信息;三是无法取得信息主体同意时,为保护信息主体和第三人的重大利益而处理敏感个人信息。其中,即使为实现公共利益而处理敏感个人信息,也受到诸多限制。按照上述对《民法典》第29条第1款中“特定的目的”和“充分的必要性”的解释,其与GDPR第9条具有相通性,但有进一步细化的必要性。可以参照GDPR第9条,对敏感个人信息的合理使用限于以下情形:一是为实现公共利益所必需的;二是处理信息主体公开的个人信息的;三是为保护信息主体和第三人的重大合法权益的。其中,基于公共利益使用敏感个人信息的,限于国家、国防、公共安全,公共卫生事件、刑事案件的侦查及相关案件的起诉、审判和执行等。为保护信息主体和第三人的重大合法利益的,只有在无法取得信息主体单独同意时方可使用。所保护的重大合法利益应仅限于人格权益,排除对财产权益的适用,实现对信息主体人格权益的优先保护。因此,基于《个人信息保护法(草案二次审议稿)》第13条第2项、第4项后半句中的“财产安全”不能处理敏感个人信息,除非经过信息主体的同意。
“场景理论”的适用:以“理性人标准”主导规则建构
“场景理论”最早由HelenNissenbaum提出,旨在强调个人信息保护边界的动态性与个人信息先后处理场景的一致性,意在通过回归个人信息处理的最初场景来判断个人信息保护的边界。在个人信息处理场景纷繁复杂的当下,“场景理论”的适用摒弃了传统理论上固定、僵化的判断标准,为顺应个人信息保护边界的主观性与动态性提供了新路径。“场景理论”将现行规则、具体政策、行为人、时间、地点等要素作为判断具体场景下信息主体合理预期、信息处理限度的重要依据。尊重信息主体与信息处理者在不同场景下所扮演的不同角色,具体问题具体分析,得到国内外诸多学者的肯定。英国数据保护原则包括8项内容,其中,第2项指出:“个人数据只能用于一个或多个指定的合法目的,不得以任何不符合该目的或这些目的的方式进一步处理。”“场景理论”正诞生于对不同场景中个人信息处理的不同目的的尊重。有学者则持不同意见,“现有研究更多只是强调具体问题需要考虑不同的场景以及相关目标,但对如何实现以及如何判断场景的不同,在国内外场景理论的讨论中都鲜有涉及”,对不同场景下判断信息处理者是否构成个人信息合理使用的标准不够具体。为解决上述问题,引入“理性人标准”判断场景的变化及不同场景下信息主体的合理期待具有重要意义。“作为正当、诚信之化身的理性人,肩负的是合理解决主体间利益冲突的任务。”“理性人标准”要求结合个案因素,以确定理性人具有什么样的能力与知识以及构建理性人所置身的场景,与个人信息保护的“场景理论”不谋而合。“理性人标准”对个人信息合理使用场景的构建,在一定程度上弥补了“场景理论”判断场景不同以及信息主体“合理期待标准”缺失的短板。
GDPR第6条第4款规定,“控制者应当考虑为其他目的进行的处理是否与个人数据最初被收集时的目的一致”,是对“场景理论”的具体应用。审视我国司法实践,亦存在结合“场景理论”与“理性人标准”确定个人信息合理使用边界的先例。在卞某与福州广播电视台名誉权纠纷案中,卞某称福建广播电视集团与江某在《法眼》栏目播放涉及其与江某之子江某标用益物权确认纠纷一案的《死亡的合同》节目,对其人身权益构成了严重侵害。法院认为,“综合节目最后《法眼》栏目服务团律师对节目所涉法律问题的评析意见及主持人的总结内容,观看该节目的社会公众应当知晓节目所涉个人信息皆为已生效案件相关信息”,因此,“卞某的主张不能成立”。本案中,生效的法律文书中的个人信息是合法公开披露的信息,对个人信息处理构成合理使用。在“场景理论”下,福建广播电视集团与江某基于此对案件进行新闻报道,并未歪曲案件事实,对个人信息的使用未超过信息主体的合理预期。同时,在“理性人标准”下,对生效判决进行新闻报道,报道涉及判决中已经公之于世的个人信息的,符合理性人的合理期待。无独有偶,在樊某与金某隐私权纠纷案一案中,法院指出,被上诉人金某为实现法律诉讼目的,在诉讼前收集并在诉讼中提供录音资料、拍摄上诉人银行卡等行为不构成侵权。本案中,信息处理者对信息主体个人信息的使用并未超出原初收集个人信息的情境,不构成侵权,在一定程度上佐证了“场景理论”。同时,在“理性人标准”下,信息处理者基于实现法律诉讼目的,将收集的个人信息予以公开,符合正当、诚信之化身的“理性人”的合理预期。故而,通过结合“场景理论”与“理性人标准”确定个人信息合理使用的边界,已经得到司法实践的认可。
原文链接
杨显滨麻晋源
个人信息的民事法律保护与限度《江海学刊》简介
《江海学刊》自年创刊以来,始终以“办传世名刊、载精品力作”为宗旨,执著追求“新颖、深邃、凝重、厚实”的办刊风格,组织学术讨论、引领学术争鸣,现已成长为展示江苏省哲学社会科学整体形象的重要窗口、国内人文社会科学对话与交流的高端平台。
原标题:《杨显滨麻晋源|个人信息的民事法律保护与限度》