试论个人信息自决权
2011-08-15张琬
张琬
(镇江市高等专科学校,江苏镇江212003)
在信息社会,个人信息作为一种重要的社会资源,其市场价值和社会价值是客观存在的。由于信息技术的不断进步,批量处理和传递个人信息越来越容易,在个人信息的市场价值和价值利益驱动下,个人信息遭不当、不法收集或篡改及恶意使用的情况也随之出现。美国一位参议员曾说过,在这个信息社会,私人生活正在成为市场上待价而沽的商品。在信息技术、网络技术高速发展和个人信息日益商业化的今天,如何合理收集和利用个人信息是一个全球性的法律问题。约翰·亨利·梅利曼提出:“尽管存在诸多的不同,宪法化的进程均表现出若干共同的特征:新的宪政主义均旨在确保或扩大个人权利,如民事诉讼和刑事诉讼的正当法律程序权;平等权;结社自由……宪法渐渐成为个人新权利的发端,这些新权利通常通过宪法诉讼得以界定和强化,在某种程度上,宪政主义的兴起意味着非法典化的开始:民法典不能继续实现宪法的功能。”[1]笔者认为,个人信息被非法侵害的严重程度反映出对个人权利的漠视,个人信息能否得到充分的保护,有赖于个人权利制度的建立和健全。
1 个人信息自决权的性质
1.1 个人信息的概念
从世界各国立法来看,个人信息的概念称谓并不统一,最直接的表现是各国立法对“个人信息”的称谓不同,主要采用的是“个人隐私”、“个人资料或个人数据”、“个人信息”。由于称谓的不统一,到底应该采用何种称谓,在国内争议也不少。笔者认为采用“个人隐私”这一概念过窄,也不适合我国国情。一般来讲,信息是资料的内容,资料是信息的物化形式。在个人信息保护立法的最初,使用最多的是“资料”、“资料处理”等技术性概念,而随着个人信息保护法的发展,立法越来越多地使用了“个人信息”的概念。若从确定性上讲,“个人资料”这一概念的确定性比“个人信息”要强。如果从个人权利(人权、一般人格权)上看,“个人信息”比起“个人资料”更具有人文关怀。我国《个人信息保护法》的专家建议稿第9条规定,个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别的个人的信息。
笔者认为,个人信息是指一切可以识别本人的信息的总和,这些信息包括了一个人的生理、心理、智力、个体、社会、经济、文化、家庭等等方面。所谓识别是指信息与信息主体之间存在某一客观的确定的联系,就是说通过这些信息能够确认信息主体。实践中,只有当被收集、保存、处理、传递和利用的个人信息能够反映出特定的个人时才有可能对个人的工作生活产生实际的影响,只有在此情形下才会产生个人信息权利的保护问题。
1.2 个人信息自决权是个人信息保护的宪法基础
1983年德国联邦宪法法院通过《人口普查案》,确立了信息自决权。该判决书主文第一段提及:“在现代资料处理之条件下,应保护每个人之个人资料免遭无限制之收集、储存、运用、传递,此系基本法第二条第一项一般人格权及基本法第一条第八项人性尊严保护范围。该基本人权保障每个人原则上有权自行决定其个人资料之交付与使用。”[2]
按照德国宪法法院判决的定义,信息自决权是指:个人能够自我决定何时和在多大范围内披露自己的个人信息的权利。这个定义比较简约地概括了信息自决权的涵义。其核心内容有三:第一,法律保护建立于个人资料上的一般人格权;第二,法律保留,对个人信息权利的限制只能由法律做出;第三,个人信息的收集应受严格的、具体的、明确的目的限制。
笔者认为,在当代社会,信息自决权是赋予作为信息主体的公民所具有的一种自我控制和决定其个人信息的披露、使用、安全储存、流通等环节的基本权利,是人权中的自决权在个人信息中的反映,它作为一种新型的人格权利,充分反映了个体在控制自我与外部世界的认识和实践关系中的能动性和主体性。因为人本身是目的,人应该自治、自决,凡是与人格形成、发展有关的事情,本人有权决定,并在此范围内,排除他决、他律或他治。因而,无论在人自身的发展上还是法律的发展上都具有极其重要的意义。可以说,信息自决权是普遍人权中不可剥夺、不可分割的组成部分,这已经成为国际社会的共识。信息自决权之所以能成为一项宪法权利,这与权利保护的大趋势是一致的。从一开始,个人信息自决权就是作为一种宪法权利而存在的,虽然最初只是作为宪法判例的形态存在,但随着国际社会对个人信息保护问题的日渐重视和立法进程的逐步推进,个人信息自决权已成为发达国家宪法的基本权利类型。所以,信息自决权在宪法意义上为个人信息的保护提供了宪法基础,但德国是严格划分公权与私权、公法与私法的国家,需要将其转化为私法权利。为此,德国制定了专门的《个人资料保护法》对个人信息进行专门保护,个人信息自决权被《联邦个人资料保护法》具体化为了“个人信息权”。
1.3 个人信息自决权的性质
关于个人信息自决权或个人信息权的性质,学界众说纷纭,主要有“所有权说”、“隐私权说”、“基本人权说”和“人格权说”四种。
1.3.1 所有权说
所有权说观点的代表人是波斯纳隐私经济学理论,其代表作是《法律的经济分析》[3]。其观点认为:信息主体对他们的信息拥有产权,并应该允许他们就这些拥有产权的信息进行交易。即该说认为个人信息是一种财产利益,个人信息权的保护应当采取所有权的保护模式。
我国学者汤擎认为:个人数据的所有者是该数据的生成体个人,无论他人对主体个人数据的获取方式与知悉程度如何,都不能改变个人数据的所有权归属[4]。在民法中,利益大致分为人身利益和财产利益,两种利益有时会相互转化。在确定权利性质时,应该以直接保护的常态利益为标准。虽然个人信息具有财产利益的因素,但是个人信息权直接保护的常态利益是人格利益,不能因此直接认定个人信息就是财产。而从各国立法来看,目前并无这种所有权保护模式。
1.3.2 隐私权说
隐私权作为公民的一项具体的人格权,其本质就是对其隐私的控制。隐私权说认为个人信息是一种隐私利益,个人信息权的保护应当采取隐私权的保护模式。这种学说起源于美国,1974年美国《隐私权法》是该学说的代表。
由于隐私权说缩小了个人信息权的保护范围,且该学说是与特定的法律文化背景相连的,我国也不具备隐私的法律传统,这种模式与我国现有法律制度不符。
1.3.3 基本人权说
基本人权说认为个人信息保护法保障的是一种基本人权。该说多见于国际组织的立法、条约。如欧洲理事会1981年《有关个人数据自动化处理的个人保护协定》导言:“欧洲理事会成员国据此签约,鉴于欧洲理事会的目标是以尊重法治、人权和基本自由为基础,达到成员国间更紧密的联合。”[5]1欧盟95指令绪言:“关于对个人数据处理中的个体予以保护以及这些数据的自由流动。”“数据的处理系统的设计目的就是为人服务。无论自然人的国籍及居住地,它们必须尊重自然人的基本权利及自由,特别是隐私权,并对经济和社会发展以及贸易扩大和个体的幸福生活作出贡献。”[5]35该学说是从宪法的角度看待个人信息权的性质,可该权利的实现最终还是要落实到具体的部门法,主要是民法、还有行政法。
1.3.4 人格权说
人格权说认为个人信息所体现的是自然人的人格利益,个人信息的收集、处理或利用直接关系到信息主体的人格尊严。根据大陆法系人格权理论,凡是与人格的形成与发展有关的事情都属于人格权客体。
该学说以德国为代表。德国个人资料保护明确规定,一般人格权是个人信息保护的理论基础(民法基础)。德国1990年《个人资料保护法》第1章《一般条款》第1条规定:“本法旨在保护个人的人格权,使其不因个人资料处置时遭受侵害。该法的目的是为了保护个人人格权在个人资料处理时免受侵害。”台湾《计算机处理个人数据保护法》第1条规定:为规范计算机处理个人数据,以避免人格权受侵害,并促进个人资料之合理利用,特制定“本法”[5]398。
综合以上分析,笔者主张我国个人信息保护的立法应采用“人格权说”。
2 个人信息自决权的内容
2.1 个人信息决定权
个人信息决定权是指信息主体得以直接支配和控制其个人信息,并决定个人信息是否被处理以及以何种方式、目的、范围被处理的权利。决定权在个人信息权利中处于核心地位,是基础性权利,它集中反映了信息权利的人格属性即绝对性和支配性。他人收集、传播、使用个人信息之前必须经过本人同意,否则构成侵权。信息主体在个人信息被收集之前享有获得通知、并就有关事宜表示同意与否的权利。
2.2 个人信息的查询权
个人信息的查询权是个人信息主体的一项重要权利,除非是基于公共利益或保密的需要,任何个人信息的处理主体都不得剥夺当事人的该项权利,这是公民知情权的重要体现。即个人信息主体有权了解、查询自己的个人信息被收集、处理和利用的情况,并有要求答复的权利。基于信赖保护原则,人们普遍认为个人有被征询意见的合法预期,并应该得到尊重和遵守。信息处理主体不遵守这一合法的预期,可能导致与任何变更有关的任何个人数据的持有和处理成为非法[6]。特别是在此过程中有权了解自己的个人信息是否被保持完整、正确。信息处理主体有义务告知信息主体其个人信息被收集、处理及信息控制者身份等有关信息。
2.3 个人信息更正权
个人信息更正权是指个人信息主体在发现其个人信息错误、不完整或不时新时,可以请求信息处理主体更正和补充的权利。一般行使更正权的事由有三类,即信息不准确、不完整、不时新。台湾《计算机处理个人数据保护法》第13条第1项规定:“公务机关应维护个人资料之正确,并应职权或当事人请求适时更正补充之。”[5]401个人信息更正权中最有争议的就是个人信息中有关本人价值判断的内容,本人能否请求更正或者补充。有学者认为“价值判断因言人而殊,无正确或错误的问题,因此不包括在其中”[7]。笔者认为,虽然价值判断很具主观性,但是从个人信息的客观性来看,若有关个人价值判断的内容其本人能够举出充分的证据,可以予以更正或者补充,但在没有充分证据的情况下,是不能够变更或者补充的。
2.4 个人信息删除权
个人信息删除权指在法定或者约定的事由出现时,个人信息主体得以请求信息处理主体删除其个人信息的权利。删除权的行使以知悉权为前提,个人信息主体只有在知悉个人信息的情况下,才能对不符法律条件的个人信息予以删除。
信息主体可在下列情形出现时行使个人信息删除权:(1)已储存的个人信息不再服务于任何目的。这与“目的明确原则”有关,处理与利用个人信息的目的一旦消失,对个人信息的处理及利用即失去合法性依据,信息主体此时通常有权要求停止对其个人信息的处理,并删除其所持有的个人信息。(2)持有、处理、利用个人信息的期限届满。终期为何时,一般遵从信息主体与信息处理主体的约定,无约定的依照法律规定,无法定的依照行业习惯。(3)处理与利用行为不具备合法性。不具备合法性的情形有:控制、处理与利用未得到信息主体的同意且无法律依据;信息主体的同意为无效或己撤销;处理与利用己超出约定或法定的范围[8]。
2.5 个人信息请求权
个人信息的请求权包括报酬请求权和赔偿请求权。台湾《计算机处理个人数据保护法》第27条第1款规定:“公务机关违反本法规定,致当事人权利受损者,应负损害赔偿责任。但是因天灾、事变或其他不可抗力所致者,不在此限。”第2款规定:“被害人虽非财产上之损害,亦得请求赔偿相当之金额;其名誉被侵害者,并得请求为恢复名誉之适当处分。”第28条规定:“非公务机关违反本法规定,致当事人权益受损害者,应负损害赔偿责任。但能证明其无故意或过失者,不再此限。”[5]403-404
3 个人信息自决权与社会公共利益之间的平衡
法的普遍性决定了只有普遍性个体利益才能获得法律形式,个别化的个体利益因其不具有普遍意义而不为法律所认可。法律一般对个体追求个别化利益的行为并不干涉,只有在损害到其他人的正当需求或利益时,法律才会对之加以限制。从实践看,各国普遍赋予立法、司法、行政组织基于社会公共利益的裁量权,并使社会公共利益成为国家权力限制个人权利的合法性基础,个人信息自决权也不例外。个人权利离不开公共利益,公共利益无法脱离个人利益而存在,公共利益的实现依赖于个人权利的追求和实现。基于国家安全或社会公共利益或公众知情权利益,需要对个人信息自决权进行一定的限制,寻求两者之间的平衡,且遵循以下原则:
3.1 优先性原则
社会公共利益是一个来源于社会既抽象又具体的概念,而当代法治的目标就是维护公共权益,调整私权与公共权益的关系。一般而言,公共利益优先于私人利益,这符合两权相较取其重的法理,而且公共利益是维系社会发展所必需的。因为在法律价值的逻辑体系中,社会公共利益可被看作是比个体权利和国家权力更上位的概念。在社会主义国家,应将以社会公共利益作为出发点的价值归宿和价值倾向当作应有的法治理念,这也是社会主义国家政治实践的目标。当然,“社会公共利益”必须有合理、科学的判断标准,不能随意地扩大范围,损害市民社会的正当私人利益,这是社会契约论或者市民社会优先于政治国家的法治社会的理念要求。
3.2 必要性原则
必要性原则又称侵害最小原则、不可替代原则,即在能达成法律目的的诸方式中,应选择对权利人最小侵害的方式。具体是指在保护公共利益的各种方式中,已经没有任何其他能给个人造成更小侵害而又能达成目的的措施来取代限制个人信息自决权这项措施了。即在能够实现社会公共利益这一法律目的的诸方式中,选择了对个人信息自决权侵害最小的一种。当限制个人信息权成为唯一保护国家利益、社会利益或他人利益的选择时,才能被限制。从“价值取向”上来说还有一个规范权力与其所采取的措施之间、目的与手段之间的比例关系问题,但需要根据具体个案来决定。因为比例并非一种精确无误的法则,但也不是毫无标准,至少需要考虑:人性尊严不可侵犯,手段的适合性程度等。
3.3 利益衡量原则
所谓利益衡量,是指在相互冲突的权利和利益之间调和,以达到利益的平衡,实现公平正义。在该原则中考虑整体利益是其重要的方面,从立法层面上说,需要在宪法文本的范围内,合理地寻找各种利益相互协调的机制,既要强化公共利益的正当性,又要强化对个人利益的保护力度,使两者在协调中发展。如按照庞德的观点,被法律所保护利益可以进行层次划分与位阶排序,具有可共享性与受益主体广泛性等特征的社会公共利益较之于私益应适当受到偏重保护,当主体出于公益目的(如为使公众知情而收集与披露个人信息)时,可对个人信息权利进行限制甚至排除其行使[9]。从司法层面上说,在公益诉讼中利益衡量应反映社会的一般价值观念,作为利益衡量运用者的法官,对于公正、法律价值以及社会现象的理解和判断不应以个人主观倾向为标准,以避免不公正和错误的司法决定。所以在衡量各方面的利益后,当国家、社会与他人的利益大于个人信息主体的利益时,个人信息自决权利才能被限制。
[1]约翰·亨利·梅利曼.大陆法系[M].北京:法律出版社,2004.
[2]齐爱民.德国个人资料保护法简论[J].武汉大学学报,2004(4):465-470.
[3]林立.波斯纳与法律经济分析[M].上海:上海三联书店,2005.
[4]汤擎.试论个人数据与相关的法律关系[J].华东政法学院学报,2000(5):40-44,69.
[5]周汉华.域外个人数据汇编[M].北京:法律出版社,2006.
[6]戴恩·罗兰德,伊丽莎白·麦克唐纳.信息技术法[M].武汉:武汉大学出版社,2004.
[7]许文义.个人资料保护法论[M].台北:台湾三民书局股份有限公司,2001.
[8]齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉:武汉大学出版社,2004.
[9]庞德.通过法律的社会控制[M].北京:商务出版社,1984.