大数据时代下个人信息权的私法属性
2016-08-03张里安韩旭至
张里安 韩旭至
(武汉大学 法学院,湖北武汉 430072)
【百家争鸣】
大数据时代下个人信息权的私法属性
张里安韩旭至
(武汉大学 法学院,湖北武汉 430072)
摘要:个人信息权的法律属性是个人信息保护亟需回答的首要问题。当前我国不乏个人信息保护的相关规范,但仍缺少对个人信息权的明确规定。司法实践上,亦对个人信息的法律属性认识不一。纵观世界各国,有以欧陆“逐步发展个人信息权”与美国“隐私权保护”为代表的两种模式。在法理学说上,个人信息权主要有六大学说:宪法人权说、一般人格权说、隐私权说、财产权说、新型权利说、独立人格权说。其中,唯有独立人格权说恰当阐释了个人信息权的私法属性。个人信息权具有与大数据时代特征相适应的独特内涵,其范围、内容均无法为其他权利所替代,社会情况的深刻变化呼唤个人信息权的诞生。在法律属性上个人信息权是一项独立的人格权。
关键词:个人信息权;隐私权;人格权;大数据
一、大数据与个人信息权益保护
在计算机互联网技术普及的短短20余年时间里,信息处理技术得到迅猛的发展。近年来,从web2.0到新媒体再到大数据,对信息收集、储存、处理、传播的越来越便捷、高效、迅速。当前,大数据已经从一种数据处理模式变成了当下具有时代特征的代名词。
(一)大数据下的数字人格
所谓大数据是指伴随着可作为处理对象的数据外延不断扩大,依靠物联网、云计算等新的数据收集、传输和处理模式的一种新型数据挖掘和应用模式。*参见王忠:《大数据时代个人数据隐私规制》,社会科学文献出版社2014年版,第6页。大数据的特点可被概括为4V,即大数量( volume) 、多类型( variety) 、高处理速度( velocity) 、价值 ( value) 密度低。*参见刘铭:《大数据反恐应用中的法律问题分析 》,载《河北法学》2015年第2期。在大数据面前,个人信息安全面临着前所未有的冲击和威胁。个人在网络空间上零星的各种细琐信息通过技术手段,能轻易被整合拼凑出完整的足以反映其人格的关键信息。如购物消费记录、送货地址、通信信息,微博、微信图片、文字、位置、留言评论,网络通信所储存的邮件、账单、记录,通信设备GPS系统所留下的位置地址信息、日常运动轨迹等。这些信息的整合,便能形成一个人的数字身份或数字人格(digital identity/ computer persona)。大数据的应用在一定程度上使得个人信息泄露更为严峻。近年来,居民开房信息泄露、婚外交友网站会员信息泄露、房地产中介信息共享等事件层出不穷。当下,公民个人的数字人格受到源源不断的侵扰已经严重影响到个人的现实生活,对个人信息的保护同时也是对人性尊严、生活安宁的保障。
(二)大数据下的个人信息商业利用
个人信息不仅仅与一个人的人格息息相关,也与财产、商业价值密不可分。在大数据背景下,个人信息被称为“新石油”,个人信息交易已形成一定规模。根据欧洲司法专员Viviane Reding的预计,到2020年个人数据交易将占欧洲GDP总量的8%,成为名副其实的数字经济的货币。*参见Rebecca Lowe, Digital Identity—Me, Myself and I,67 No. 5 IBA Global Insight 14,October/November, 2013.大数据时代中个人信息的商业运用,为个人信息保护提出了许多新问题。个人信息不再被视为一种单纯的人格权,其看似具有了某些财产属性。甚至有学者称,“法律应该做的是对一切个人信息都予以财产权保护”*参见刘德良:《网络时代的民商法理论与实践》,人民法院出版社2008年版,第184页。。
(三)大数据下的个人信息权问题
在大数据时代下,亟需了解我们的个人信息到底是被谁收集及存储、信息将会被存储多久、在什么时候什么人可以访问这些信息、在什么情况下他人可以依法强制获取这些信息等等。这些问题都回归到个人信息权的本源问题:个人对其个人信息是否享有权利?如果享有,这种权利性质如何?齐爱民教授认为,个人信息权是指本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利。*参见齐爱民:《拯救信息社会中的人格——个人信息保护法总论》,北京大学出版社2009年版,第137页。该定义以支配、控制、排除侵害在定义中概括个人信息权的权能,既反映了个人信息权的积极权能也体现了消极权能。事实上,关于该权利的称谓,仍有许多不同的观点,有个人信息权、个人数据权、资料隐私权等。*据笔者不完全统计,采用个人信息称谓的学者有:王利明、张新宝、齐爱民、刘德良;采用个人数据的学者有:郭瑜、谢永志;采用资料隐私的学者有:孔令杰。参见王利明: 《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期;张新宝:《从隐私到个人信息: 利益再衡量的理论与制度安排》,载《中国法学》2015年第3期;齐爱民:《个人信息保护法研究》,载《河北法学》2008年第4期;刘德良:《个人信息的财产权保护 》,载《法学研究》2007年第3期;郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第225页;谢永志:《个人数据保护法立法研究》,人民法院出版社2013年版,第1页;孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第62页。这些分歧大多基于学者们对我国当下个人信息权利的认识与其所参照国外立法与理论的差别。
二、中国法视野下的个人信息权益定性
我国立法不乏个人信息保护的相关规范,但缺少对个人信息权的明确规定。司法实践上,亦对个人信息的法律属性认识不一,未能明确区分个人隐私、个人名誉、个人信息等概念。
(一)个人信息法益的中国法渊源
虽然我国没有在法律规范中直接规定个人信息权,但对个人信息权益保护还是有法可依的。我国《宪法》即规定了通信自由权利;2009年《刑法》修正案(七)增加了出售、非法提供公民个人信息罪、非法获取公民个人信息罪;2015年《刑法》修正案(九)更是拓宽了该罪的适用范围。侵害个人信息民事权益的案件,可援引《民法通则》《侵权责任法》中关于人格尊严权、肖像权、名誉权、隐私权的相关规定。另外,在《刑事诉讼法》《民事诉讼法》《护照法》《身份证法》《未成年人保护法》《妇女权益保护法》《母婴保护法》《消费者权益保护法》《执业医师法》《律师法》《档案法》《保险法》等法律中均有保护公民个人信息的规范。
从司法解释上看,2001年《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》、1998年《最高人民法院关于审理名誉权案件若干问题的解释》、1993年《最高人民法院关于审理名誉权案件若干问题的解答》均是我国当下个人信息权益的重要法源之一。2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》首次在司法解释中明确了个人信息权益的侵权法保护。根据该规定第12条,法院应将“基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等”视为个人隐私保护,同时也保护“其他个人信息”。截至2015年10月15日,通过“裁判文书大数据平台”*地址:http://caseshare.cn,该平台由北京北大英华科技有限公司运营。直接援引该规定第20条的民事判决共计6起案例(详见表一)。
除此之外,保护个人信息的规范更多地散见于各层级较低、具有较浓厚行政管理色彩的行政法规、部门规章、规范性文件、事务性文件、地方性法规、地方政府规章、地方政府规范性文件之中。这些规范一般涉及互联网管理、电信业务管理、医疗管理、包括征信及银行卡管控的金融管理、统计税收和档案信息管理、消费者管理、计算机管理、信息化管理、电子商务管理、邮政及通信管理等领域。*参见郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第39-43页。
总的来说,目前我国现行个人信息相关立法现状表现出以下几个问题:大多规范只是零散地针对特定行业的特定个人信息,没有专门的个人信息保护法,缺乏对个人信息权利的直接保护;偏重刑事处罚与行政管理,民事立法上欠缺相应的确权;拘束力有限,大多规范偏重宣示性地规定义务,但缺乏法律后果;个人信息权益仍与个人隐私纠缠不清。*参见郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第43-44页;洪海林:《个人信息的民法保护研究》,西南政法大学2007年博士论文,第162页;杨咏婕:《个人信息的私法保护研究》,吉林大学2013年博士论文,第415-422页。
表一
(二)侵害个人信息权益民事案件定性
从当前我国各法院的裁判文书看来,我国法院对个人信息民事权益的法律属性认定不一,有的法院认为个人信息权益属于隐私权,有的法院认为属于名誉权,有的则直接表述为个人信息权。
2014年《最高人民法院公布8起利用信息网络侵害人身权益典型案例》之案例6——“王某与张某、北京凌云互动信息技术有限公司、海南天涯在线网络科技有限公司侵犯名誉权纠纷系列案”即为一起侵害个人信息民事权益案件。北京市朝阳区人民法院认为,公民的个人感情生活包括婚外男女关系均属个人隐私,披露该类个人信息的行为侵犯的是隐私权。最高人民法院指出,该案的典型意义之一即该案反映了,“哪些信息是个人信息?哪些个人信息是个人隐私?那些有违公序良俗的个人信息是否应当受到保护?随着互联网时代的到来发生着深刻的变化。”*参见《最高人民法院公布8起利用信息网络侵害人身权益典型案例》(2014年10月10日)。
面对互联网时代个人信息保护的深刻变化,近年来有些法院倾向于认为个人信息权益是与隐私、名誉并列的一种权利或法益。2014年9月16日,广州市中级人民法院在“温国强与莫丕向不当得利纠纷案”二审中,以被上诉人获取的证据“侵犯上诉人的隐私、个人信息权”为由,排除一项证据的适用。*参见(2014)穗中法立民终字第2604号《民事裁定书》。这是我国法院裁判文书中首次出现的个人信息权概念。2015年,浙江省乐清市人民法院在“赵信强与温州市仙人球文化传媒有限公司网络侵权责任纠纷案”中指出,网络用户或者网络服务提供者利用网络公开自然人基本信息等个人隐私和其他个人信息的行为已然涉嫌侵权。*该案经过浙江省温州市中级人民法院二审判决,驳回上诉,维持原判。参见(2015)温乐民初字第159号《民事判决书》;(2015)浙温民终字第1712号《民事判决书》。该判决并没有把个人信息归入名誉权或个人隐私范畴,而是采取了并列的表述方式。
尤其需要注意的是,“表一”中的6起案件,法院将绝大多数个人信息以隐私权进行保护,对侮辱性地发布个人信息或发布其他能造成他人社会评价降低的判定为侵犯名誉权。可见,该司法解释在实施效果上虽然对个人信息权益保护起到一定的积极作用,但仍远远未能确立独立的个人信息权。其以不完全列举的形式将大多数个人信息纳入隐私范畴,又以除隐私以外“其他”的方式表述“其他个人信息”,实质上完全没有明确“其他个人信息”的范畴与内涵。因此,在司法实务上还是指导着各级法院将个人信息权益视为隐私,在涉及他人社会评价时视为名誉权。
三、欧美个人信息权发展的比较分析
(一)欧陆个人信息权的发展
个人信息权与隐私权即具有无法割舍的历史联系。1970年德国黑森州颁布了世界上第一部信息保护法《黑森州资料保护法》,1973年瑞典颁布了世界上第一部全国性的信息保护法《瑞典资料法》,然而两部法律中均没有确立独立的个人信息权。由此,欧洲范围内的许多立法,尤其是国际法层面上的规范,均将个人信息权纳入隐私权框架之中,如1973年欧洲理事会《私人行业中的电子资料库与个人隐私保护》、1974年欧洲理事会《公共领域中的电子资料库与个人隐私保护》、*参见孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第61、62、112页。1980年经济合作与发展组织《资料保护指导原则》、1981年欧洲理事会《有关个人数据自动化处理的个人保护协定》、1990年联合国《数据保护指导原则》、1995年欧盟《数据保护指令》、2002年欧盟《隐私和电子通讯指令》、2005年亚太经合组织《隐私框架》。*参见孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第5、7页;王忠:《大数据时代个人数据隐私规制》,社会科学文献出版社2014年版,第7页;郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第85页;周汉华:《域外个人数据保护法汇编》,法律出版社2006年版,第1-77页。虽然个人信息保护起源于隐私权的保护,但绝不限于隐私权的范畴。1977年德国《联邦资料保护法》正式赋予个人一般性的个人信息权利,该法第1条明确指出“本法的目的在于保护个人一般人格权不受个人数据的操作的损害”。*参见孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第93页;郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第88页。1998年瑞典《个人数据法》指出,个人信息保护的是人格完整。2000年《欧洲基本权利宪章》也对隐私权与个人信息权作出区分,分别规定在第7条、第8条之中。*参见郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第85页。除此之外,荷兰、葡萄牙、西班牙、希腊、波兰、奥地利、匈牙利等国均承认个人信息权利的宪法地位。*参见孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第178页;周汉华:《域外个人数据保护法汇编》,法律出版社2006年版,第78-294页。
从典型司法判例来看,1983年德国联邦宪法法院在“人口普查案”的经典判决中指出:“在现代资料处理之条件下,应保护每个人之个人资料免遭无限制之收集、储存、运用、传递,此系基本法第2条第1项(一般人格权)及基本法第1条第8项(人性尊严)保护范围。该基本人权保障每个人原则上有权自行决定其个人资料之交付与使用。”*参见李震山:《“电脑处理个人资料保护法”之回顾与前瞻》,载《国立中正大学法学刊集》2000年第14期。虽然,该案中对个人信息权的属性沿袭1977年德国《联邦资料保护法》,将其认为属于一般人格权保护的范畴,但德国宪法法院在该案中正式提出了“个人信息自决权”的概念,认为个人原则上有能力决定其个人信息的披露或使用。*参见郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第87页。2014年,欧洲法院更是在“谷歌诉西班牙数据保护局”案件中确立了个人对其数字个人信息享有的“被遗忘权”。*参见Karen Eltis,Breaking Through the “Tower of Babel”: A “Right to be Forgotten” and How Trans-systemic Thinking Can Help Re-conceptualize Privacy Harm in Age of Analytics, Fordham Intellectual Property, Media and Entertainment Law Journal 69,Autumn 2011.欧洲法院通过对欧洲《数据保护指令》的相关条文作宽泛解释,创设了“数字遗忘权”,即“数据主体有权利要求互联网搜索引擎服务商将与其姓名链接的陈旧的、不完整、 不恰当或不相关的信息从搜索结果中删除”。*参见郑文明:《新媒体时代个人信息保护的里程碑——“谷歌诉西班牙数据保护局”案解读》,载《新闻界》2014年第23期;Rebecca Lowe, Digital Identity—Me, Myself and I,67 No. 5 IBA Global Insight 14,October/November, 2013.
纵观欧陆,个人信息权是一个逐步发展的过程。这个发展过程,实质上也是立法、司法为适用日新月异的数据处理技术而不断调适的过程。正如有德国学者所指出,欧陆个人信息保护呈代际性特点。第一代个人信息保护法是为了适应政府及大公司内部的电子数据处理的出现而制定的;第二代是以公民的个人隐私权为中心展开的;第三代的特点是个人信息自我决定权和信仰公民应享有该项权利;当前正在进行的第四代发展,则表现为针对个人在实施其权利时普遍弱势的谈判地位作出一定调整。*参见Viktor Mayer-Sch?nberger:《欧洲数据保护的代系发展》, Chapter 8 in op cit, Agre and Rotenberg, fn 23.转引自:[英]戴恩.罗兰德、伊拉莎白·麦克唐纳:《信息技术法(第二版)》,宋连斌、林一飞、吕国民译,武汉大学出版社2004年版,第315-317页。
(二)美国从信息权的发展
1888年,美国法官托马斯·库利(Thomas Cooley)首次将隐私权(Privacy)定义为“单独而不受干扰的权利”(to be let alone)。*参见Thomas Cooley, Laws of Torts, 2nd,1888, p29.1890年,沃伦(Samuel D. Warren and )和布兰代斯(Louis D. Brandeis)发表了著名的《隐私权》一文,指出人们有权远离他们所讨厌的东西,并提出确立一种个人决定其在何种程度上向他者表达自己的想法、感受和情感的隐私权。*参见Samuel D. Warren and Louis D. Brandeis, The Right to Privacy, Harvard Law Review, December 15,19801960年普洛塞(William Prosser)指出,隐私权具有四项内容:(1)禁止侵扰他人私生活的安宁;(2)禁止宣扬他人私生活的秘密;(3)禁止置人于遭公众误解的境地;(4)禁止利用他人特点作商业广告。另外,根据风险自担理论及社会公众有权对能够看得见的事情进行记录的理论,还提出了“公众场合无隐私”。*参见William Prosser, Privacy, California Law Review 48, 1960.其经典论述为《美国侵权法复述(第二版)》所采纳。*参见张民安:《侵扰他人安宁的隐私侵权责任构成要件》,载张民安主编:《侵扰他人安宁的隐私侵权——家庭成员间、工作场所、公共场所、新闻媒体及监所狱警的侵扰侵权》,中山大学出版社2012年版,第28页。1980年,加维森(Ruth Gavison)进一步提出,隐私是“对别人接近他人的限制”,保护的是个人的“安静或者安宁”,隐私权包括:(1)秘密权;(2)匿名权;(3)独处权。*参见Ruth Gavison, Privacy and the Limits of Law, 89 Yale Law Journal, 428, 1980.随着计算机网络技术的普及,“公共场所有隐私”的理论逐渐得到认可。安德鲁·杰·麦克拉格明确指出,“即使在深处公众可以进入或观察的区域内,仍然享有合法的、有限度的隐私利益”。*参见[美]安德鲁·杰·麦克拉格:《打开隐私侵权的封闭空间:公共场所隐私侵权理论》,骆俊菲译,载张民安主编:《侵扰他人安宁的隐私侵权——家庭成员间、工作场所、公共场所、新闻媒体及监所狱警的侵扰侵权》,中山大学出版社2012年版,第297页。信息的公开与否,已不再是美国隐私权关注的重点。诚如沃尔德曼(Ari Ezra Waldman)所指,在当下个人信息保护的背景之下,美国隐私法关注及保护的重点应是人与人之间的信任关系。*参见Ari Ezra Waldman, Privacy as Trust: Sharing Personal Information in a Networked World,University of Miami Law Review 559,Spring 2015.
从司法实践上看,1965年美国最高法院通过“格里斯沃尔德诉康涅狄格州案”(Griswold v. Connecticut)建立了宪法上的隐私权。*参见Griswold v. Connecticut, 381 U.S. 479 (1965).此后,美国法院亦通过一系列案例从美国宪法第4、14、9修正案中不断发展美国法上的隐私权。*参见Thomas Garry, Frank Douma and Stephen Simon, Intelligent Transportation Systems: Personal Data Needs and Privacy Law, 39 Transportation Law Journal 97, Winter, 2012.隐私权成为美国法上的一种宽泛的宪法权利。1977年,美国最高法院更是通过“沃伦诉罗伊案”(Whalen v. Roe)确立了个人信息隐私权。该案中,美国最高法院判决表明,政府所进行的个人信息处理工作关涉宪法上的隐私权。*参见Whalen v. Roe, 433 U.S. 599-60 (1977).1966年《信息自由法》以及1970年《公平信用报告法》开启了美国个人信息隐私保护立法的历程。统一的个人信息保护立法主要有:1974年《隐私法》、1980年《隐私保护法》、1988年《电脑对比和隐私保护法》。*参见孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第106-107页;齐爱民:《拯救信息社会中的人格—个人信息保护法总论》,北京大学出版社2009年版,第45页;郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第50-51页。另外,对于金融、通信和医疗等行业以及教育、家庭娱乐和车辆管理等特定领域中的个人信息隐私保护,美国均制定了相应的联邦法。*参见孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第108页。
总的来说,美国法上的隐私权内容相对开放且不断发展。隐私一词带有信息、身体、财产和决定等方面的含义。在美国法意义上,隐私就是我们对自己所有的信息的控制,由沃伦与布兰代斯的理论发展而来的隐私权并不应该理解为私生活秘密权,而是一种更为一般更为广泛的权利,可以理解为“个人豁免权利”、“独处的权利”、“保持自己个性的权利”。*参见[美]阿丽塔.L.艾伦、查理德.C.托克音顿:《美国隐私法:学说、判例与立法》,冯建妹等编译,中国民主法制出版社2004年版,第8、12、25、26页。而唯一的隐私利益就是人格尊严。*参见郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第29页。
(三)欧美个人信息权比较分析
美国与欧洲个人信息保护立法之区别主要表现为以下两点:(1)在个人信息权益属性上,在美国个人信息权益显然已被纳入隐私权的内涵之中。 而欧洲多将个人信息权益定性为一种宪法权利、一种一般人格权保护的法益,或者可以说是一种逐渐形成中得个人信息权。即便如此,许多欧洲的立法仍未厘清隐私与个人信息两者的关系。*参见王利明: 《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期。(2)在立法模式上,欧洲倾向于对个人信息采取综合统一的立法,而美国则采取分散的立法且多依赖行业自治。有学者认为,美欧的区别的原因在于美国的个人信息保护模式偏重于个人的自由,欧洲的保护则注重个人的尊严。*参见洪海林:《个人信息保护立法理念探究——在信息保护与信息流通之间》,载《河北法学》2007第1期。美国将个人信息视为个人问题,注重个人价值与行业自律;欧洲将个人信息视为社会问题,注重社会价值与社会立法。*参见孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第96页。
美国法上的隐私权其实类似于大陆法系的一般人格权,其保护的利益也是人格尊严、人格独立及人格自由。*参见洪海林:《个人信息的民法保护研究》,法律出版社2010年版,第32页;谢永志:《个人数据保护法立法研究》,人民法院出版社2013年版,第39页。美国法上的隐私是包括姓名、肖像、声音等其他人格利益在内的广义的隐私概念。*参见张民安:《侵扰他人安宁的隐私侵权责任构成要件》,载张民安主编,《侵扰他人安宁的隐私侵权——家庭成员间、工作场所、公共场所、新闻媒体及监所狱警的侵扰侵权》,中山大学出版社2012年版,第1页。大陆法系国家的从属于人格权的隐私权概念与美国法上的隐私概念完全不能等同。*参见洪海林:《个人信息的民法保护研究》,法律出版社2010年版,第33页;Paul M. Schwartz, Daniel J. Solove: Reconciling Personal Information In the United States and European Union, 102 California Law Review 877, August, 2014.
由此可见,两大法系保护个人信息权益均以一般人格权或类似于一般人格权的隐私权出发。与美国不同的是,欧陆国家将个人信息权的内容在一般人格权中逐渐具体化了。当前,对个人信息权的法律属性进行界定,厘清个人信息权、一般人格权、隐私权及其他权利的关系,是两大法系面临的共同挑战。
四、个人信息权属性的法理辨析
关于个人信息权的法律属性有多种学说,概括而言,主要有以下6种:
第一,宪法人权说。国际组织的立法中,常主张个人信息权是一种基本人权。如前所述,2000年《欧洲人权宪章》即规定了个人信息权。另外,许多欧洲国际的个人信息保护也源于宪法上的人权保护要求,美国的个人信息保护也是基于宪法上的隐私权。同时,我国也有学者认为,个人信息权利应视为“一种宪法基本权”。*参见郭明龙:《个人信息权利的侵权法保护》,中国法制出版社2012年版,第44页。
笔者认为,我国《宪法》中的通信自由权并不可能衍生出个人信息权利保护的内涵。作为一种基本人权的个人信息权,要求的是相应的宪法法院或宪法裁判空间,并不符合我国当前国情与司法体系。
第二,一般人格权说。不少学者认为,个人信息权应属于一般人格权的范畴。马俊驹教授曾经指出,“个人资料体现的人格利益远远超出了具体人格利益的范围,这也是现有法律框架无法对个人资料提供切实、充分保护的根本原因。……个人资料所体现的利益是人格尊严、人性自由、人身完整等基本利益,属于一般人格权范畴。”*参见马俊驹:《个人资料保护与一般人格权(代序)》,载齐爱民主编,《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第1页。另外,亦有不少学者指出对个人信息权的认识不应止步于一般人格权,理由有二:(1)一般人格权的适用依赖于法院对其内涵的阐释,以一般人格权保护个人信息会造成法律适用上的模糊和混乱。(2)在侵权责任的判断中,个人信息权应采用过错推定原则,适用举证责任倒置的相关规定。而一般人格权只能采取过错原则,实行“谁主张,谁举证”。个人信息持有人、使用人对个人信息有合理的注意义务。根据“危险管理理论”,个人信息持有人、使用人应证明自身合法地使用相关信息且没有过错。鉴于双方的不平等地位,让权利人证明持有人、使用人的过错是不合理也是不科学的,会不恰当地加重了权利人证明责任与维权的成本。*参见谢远扬:《信息论视角下个人信息的价值——兼对隐私权保护模式的探讨》,载《清华法学》2015年第3期。
笔者认为,个人信息利益作为一种随着现代信息处理技术的发展而产生的新型人格利益,已经逐渐成熟。个人信息权应从一般人格权中具体化。德国著名法学家拉伦茨曾经指出,德国在《联邦档案保护法》等立法中所赋予个人的同意权、知悉权、消除权等个人信息权利,就是一般人格权在法律中的具体化的表现。*参见[德]卡尔·拉伦茨:《德国民法通论》,王晓哗等译,法律出版社2003年版,第171页。
第三,隐私权说。隐私权理论经历了从“独处权说”到“有限地接近自我说”再到“个人信息控制权理论”的发展过程。在这个过程中,个人信息逐步成为隐私权的保护的内容之一。*参见杨咏婕:《个人信息的私法保护研究》,吉林大学2013年博士论文,第81页。当今,美国法上隐私权的保护范围就包括生育自主、家庭自主、个人自主、信息隐私四大方面。*参见王泽鉴:《人格权法:法释义学、比较法、案例研究》,北京大学出版社2013年版,第187、209页。我国台湾地区亦认为个人信息属于隐私权的保护客体之一,其“司法院”释字第063号解释即指出,“隐私权在于保障个人资料之自主控制”。王泽鉴教授即认为,“ 隐私权包括保护私生活不受干扰及信息自主两个生活领域”。*参见王泽鉴:《人格权的具体化及其保护范围·隐私权篇(中)》,载 《比较法研究》2009年第1期 ;王泽鉴:《人格权法:法释义学、比较法、案例研究》,北京大学出版社2013年版,第209页。
以王利明教授为代表的许多学者认为,个人信息与隐私应属于两个不同范畴,二者至少有以下区别:(1)在内涵上,隐私权说主要由美国法上的隐私权(Privacy)发展而来的。*参见齐爱民:《个人信息保护法研究》,载《河北法学》2008年第4期。美国法上的隐私权具有相当于大陆法上一般人格权的特性。而我国隐私的语境与内涵并没有美国法上的“独处权”、“安宁权”等含义,隐私往往仅被理解为隐和私的集合,隐即不为他人所知悉,私即私密信息。尹田教授指出,“个人隐私为个人私生活中不愿公开的私密空间”。*参见尹田:《民法典总则之理论与立法研究》,法律出版社2010年版,第330页。(2)在范围上,隐私与个人信息有交叉但不重合。*参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。有些涉及个人私生活的个人信息诚然属于隐私,但生活中还存在许多公开的个人信息。如电话号码、工作单位、家庭住址等信息,为了便于交流,人们常常在一定范围内予以公开。这些信息难以归入隐私权的范畴,但对于这些信息,诚如王利明教授所指,“ 个人也应当有一定的控制权 , 如知晓在多大程度上公开, 向什么样的人公开, 别人会出于怎样的目的利用这些信息等等”。*王利明:《隐私权概念的再界定》,载《法学家》2012年第1期。另外,隐私权也难以涵盖个人信息权的全部权能,如对个人信息的记载有误时个人所享有的修改权,无法通过大陆法系国家的隐私权理论进行描述。 (3)在内容上,隐私权制度的重点在于保密,而个人信息权的重点则在于信息的控制与利用。在隐私权视角下,因重在保密,擅自公布他人隐私的行为构成侵权。而在个人信息权视角下,虽为公布,但收集、利用个人信息也应受到限制。因此,隐私权常表现为消极的防御性权能,而个人信息权则具有积极权能,如欧盟《数据保护指令》中所规定的知情权、进入权、修改权等。*参见王利明:《隐私权概念的再界定》,载《法学家》2012年第1期。(4)在价值上,隐私权一般被认为主要具精神价值,是一项精神性人格权,而个人信息权则兼具精神价值与财产价值。因此,隐私权无法适应人格权商品化的相关理论,而个人信息权则并不排除对个人信息的商业利用。(5)在保护方式上,由于隐私权与个人信息权上述价值属性的不同,侵害隐私权采用精神损害赔偿的方式救济,而对个人信息权则既可采取精神损害赔偿,也可采取财产救济的方式。*参见王利明: 《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期。
笔者赞同上述个人信息与隐私不能等同的观点。个人信息权随着信息社会的发展而发展,可被认为是隐私权的大数据时代升级版。诚然,隐私权在特定的历史条件下发挥了保护个人信息,尤其是敏感个人信息的重要作用。然而,在今天个人信息权在内涵、范围、内容、价值、保护形式上均发展出独特内涵,再将其回归隐私权在理论上已经无法自洽。
第四,财产权说。萨缪尔森(Pamela Samuelson)指出,20世纪中叶以前信息与其载体密不可分,所以法律只需要以财产权的形式保护有形载体即可。而随着社会的发展,信息不再依赖于有形载体,此时便需要赋予个人以信息财产权。*参见Pamela Samuelson, Privacy as intellectual property, Stanford law review, 52, 2000.20世纪60年代起,就有不少欧美学者主张以财产权保护个人信息。*参见孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第75页。米勒(Athur R. Miller)认为,“保护隐私最容易的途径是将个人信息的控制作为数据主体拥有的财产权”。*参见Athur R. Miller, Personal Privacy in the Computer Age: The Challenge of New Technology in an Information-Oriented Society, Michgan Law Review, Vol. 67, 1969. 转引自郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第214页。威斯丁(Alan F. Westin)指出,可将个人对信息的权利视为人格决定权,应将其界定为财产权,在处置个人信息时可适用限制危险商品的方式予以限制。*参见Alan F. Westin, Privacy and Freedom, 1967, pp.324-25.转引自孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第75-76页。波斯纳(Richard Allen Posner)亦认为,隐私权应被视为财产权法的分支。
当然,也有不少学者反对将个人信息财产权化,理由如下:(1)人是目的不是手段,个人信息权属于人格权,若人格权被物化,人将毫无尊严可言。(2)“财产权说”混淆了人格利益和财产利益。个人信息可被利用具有财产利益,但财产利益不等于财产权。如姓名、肖像等许多人格权客体同样具有财产利益。(3)由于信息交易市场不完善,个人信息财产权并不能解决当前大数据时代下信息交易中的个人信息保护问题。个人信息交易实质上会加速个人信息财产权由信息主体向信息使用者转移,导致交易双方经济地位差距根据不平等。(4)交易双方的信息、地位的不对等,个人信息交易对价难以公允。另外,单项个人信息或许影响不大价值不高,但若将若干个人信息予以整合,将产生汇聚效应,产生无法估量的影响,这也将严重影响个人对信息价值的估计。(5)个人信息财产权将导致信息主体难以限制信息市场的参与者自由处分其个人信息,个人信息的任意流动可能变得难以控制。*参见洪海林:《个人信息的民法保护研究》,法律出版社2010年版,第70-73页;齐爱民:《个人信息保护法研究》,载《河北法学》2008年第4期;孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第77-86页;李震山:《人性尊严与人权保障》,元照出版公司2001年版,第284-285页。
笔者认为,个人信息权不是财产权。个人信息固然具有财产利益,可被商品化,但这并非财产权所专属的特性。1953年弗兰克法官(Jerome Frank)在“哈兰实验室公司诉托普斯口香糖公司案”(Haelan Laboratories, Inc. v. Topps Chewing Gum, Inc.)的判决中即指出了肖像所具有公开价值,从而创设了公开权。1956年德国联邦法院在“BGHZ 20, 345—Paul Dahlke”案中判决,肖像权的商业使用,具有财产利益。其后,学界通说并进一步肯定姓名、声音等人格特征亦具有财产利益,构成人格权的财产部分。人格权财产利益的保护范围随着时代的发展逐渐扩大。*参见王泽鉴:《人格权法:法释义学、比较法、案例研究》,北京大学出版社2013年版,第159、181、196页。如今,个人信息权的财产利益逐渐凸显,但这并非将其归入财产权的理由。另外,与知识产权中蕴含的人身权与财产权不同,个人信息权并非基于智力成果而产生的,自然人的个人信息是其与生俱来并在其发展过程中不断形成的,个人信息权与自然人的人格密不可分。因此,个人信息权应属于人格权,无法归入无形财产权的类型。
第五,新型权利说。人格权在权利内容上并不直接表现为财产利益,在表现方式上一般表现为消极的不受侵害的权利,在行使方式上与人身密不可分且不能成为交易客体,在救济方式上主要采取事后救济的方式实现。而个人信息权可直接表现为财产利益,以积极方式行使,个人信息可用以交易,救济方式结合事前与事后救济。因此,有学者认为个人信息权既不是人格权也不是财产权,是一种新型的复合性权利, 具有人格和财产的双重属性。*参见张素华:《个人信息商业运用的法律保护》,载《苏州大学学报》2005年第2期。
笔者认为,该说片面理解人格权的属性。首先,人格权与人身利益密切相关,然而并非不能表现为财产利益。如前文所述,现代社会,部分人格权的财产属性越来越显著,在大陆国家表现为人格权商品化的发展,在英美法系,则表现为公开权。如肖像权的使用,权利人即签订许可合同,许可他人对其肖像进行商业使用,并收取费用。难道说,因为权利人对肖像权进行许可使用了肖像权就不是人格权了吗?这显然是荒谬的。其次,在行使方式和救济方式上,人格权并不排斥积极的行使与事前的救济。人格权请求权作为一种绝对权请求权当然不限于消极行使与事后救济,我国法律规定的“排除妨害”、“消除危险”即是典型的在人格权有受妨害之虞事时所实施的事前救济。因此,个人信息权的特性并不排斥其成为一种具体人格权。
第六,独立人格权说。以王利明教授为代表的民法学家认为,个人信息权是一种独立人格权。*参见王利明: 《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心 》,载《现代法学》2013年第4期。笔者亦深为赞同。人格权是一个不断发展的权利范畴。诚如庞德(Roscoe Pound)所指,“人格权这一类别正在形成之中,它至今也没有超越这一阶段”*参见[美]罗斯科·庞德:《通过法律的社会控制:法律的任务》,沈宗灵、董世忠译,商务印书馆1984年版,第171页。。随着数字时代的发展,个人信息权的人格利益与财产利益均日益凸显。在社会生活中,对个人信息保护的挑战与要求亦越来越高。将个人信息权视为一种独立的人格权就是要正面回答大数据时代下个人信息保护的问题。
作为一种独立人格权的个人信息权既保护个人信息的人格利益,也保护财产利益。一方面,个人信息权具有传统人格权的消极防御的一面,当个人信息被不当利用时可主张排除妨害、消除危险、赔偿损失。另一方面,基于个人信息的财产价值,该权利也有积极的面向,行使该权利可直接地支配、控制个人信息,在一定条件的限制下也可将个人信息用于交易。其积极的面向与其人格权的属性并不相悖。个人信息无可争议地具有一定的经济价值,也应属于能商品化的人格特征。随着人格权商品化理论的认识与发展,个人信息权具有如肖像权一样的积极权能并不过分。
纵观个人信息权属性的六大学说,宪法人权说并不符合我国国情,一般人格权说忽视个人信息权的特性及发展需求,隐私权说实质上是美国法语境下的一般人格权说,财产权说与新型权利说均混淆了财产利益与财产权的区别并忽视人格权商品化的新发展。唯有独立人格权符合个人信息权的内在属性。因此,个人信息权在法律属性上应视为一项独立的人格权。
五、大数据时代中个人信息权的独特内涵
个人信息权成为一种独立的人格权有其必要性、可行性。个人信息权独特的范围、内容无法为其他权利所替代。其独特的内涵是由大数据的时代特征所决定的,现代社会情况的深刻变化呼唤个人信息权的诞生。
(一)个人信息的范围
国家质量监督检验检疫总局、国家标准化管理委员会2012年发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》第3.2条规定,个人信息指“可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。”我国工信部2013年发布的《电信和互联网用户个人信息保护规定》第4条指出,“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”
从以上规范性文件中可见,个人信息的定义重在识别。学界通说亦认为,个人信息的首要特征即识别性,即“把当事人直接或间接地认出来”。*参见齐爱民主编:《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第4页。笔者认为,参照《德国联邦资料保护法》第2条的规定,个人信息权下的个人信息应定义为,凡能识别特定自然人的所有属人或属事的信息。*《德国联邦资料保护法》第2条规定,个人资料是指“凡涉及特定或可得特定的自然人的所有属人或属事的个人资料”。参见齐爱民主编:《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第5页。因此,包括但不限于自然人的姓名、性别、种族、年龄、出生年月日、身份证号码、护照号码、驾驶证号码、工作证号码、身高、体重、指纹、血型、基因信息、遗传特征、健康情况、病历资料、户籍、家庭住址、电子邮件地址、家庭成员、婚育情况、教育经历、工作经历、财务状况、社会活动、头衔、犯罪记录、联系方式等,一切能识别特定自然人的信息均属于个人信息。这些个人信息又可分为敏感的个人信息与非敏感的个人信息。敏感的个人信息即与隐私相关的信息。*参见齐爱民主编:《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第6、34、102页;张新宝:《从隐私到个人信息: 利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。诚然,敏感的个人信息在内容上能为隐私所覆盖,但是还有一些非敏感的个人信息,尤其是在一定范围内公开的个人信息,人们常常主动告诉他人这些信息,如电话号码、通讯地址等。对于这些个人信息,虽然人们主动在一定范围内公开,但往往并不愿意被全世界所了解、利用。
近年来,无论是不当运用大数据进行的“人肉搜索”,还是前文谈到过的“精准营销”,无一不涉及非敏感个人信息不当利用对个人人格利益的损害。目前来看,单纯通过隐私权、姓名权、名誉权等具体人格权难以保护这些非敏感个人信息客体。唯有通过个人信息权,对敏感个人信息与非敏感个人信息均予以保护,方能适应时代发展的需要。
(二)个人信息权的内容
与传统意义上的人格权不同,个人信息权既有消极的权能,亦有积极的权能。参照欧盟《数据保护指令》的相关规定,信息主体应具有知情权、进入权、修改权、反对权、删除权、不受完全自动化决定约束权等权利。*参见刘德良:《论个人信息的财产权保护》,人民法院出版社2008年版,第55页。关于个人信息权的具体内容,王利明教授认为,至少包括处分权、要求更正权、更新权、了解信息用途的权利。*参见王利明:《人格权法制定中的几个问题》,载《暨南学报(哲学社会科学版)》2012年第3期。齐爱民教授认为,应包括决定权、保密权、查询权、更正权、封锁权、删除权、报酬请求权。*参见齐爱民主编:《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第122页。个人信息权的这些权能具有特殊性,无法用其他权利进行解读。
首先,个人信息权的知情权、决定权、处分权,是个人信息权所具有的最显著的积极权能。在前个人信息权时代,知情权一般体现为“知政权”,是一种公民对国家机关的,宪法行政法上的权利。而个人信息权所强调的知情权是信息主体(自然人)对信息持有、使用人的权利,是调整平等主体之间法律关系的民事权利。个人信息权的知情权是自然人行使个人信息的决定权、处分权的前提,自然人的处分权、决定权是当代人格权商品化发展的必然结果。如前所述,大数据时代下个人信息财产价值利益凸显,个人信息显然也是一种具有显著财产价值的人格要素。自然人对其个人信息财产价值的支配可体现为个人信息权的决定权、处分权。2013年我国《消费者权益保护法》修订后第19条第1款,即体现了个人信息权的知情权、决定权、处分权。该款规定,经营者收集、使用消费者个人信息的,应明示其收集、使用信息的目的、方式和范围,并经消费者同意。
其次,个人信息权的修改权、更正权表现为,一个人发现其个人信息被错误记载时,有权要求修正。错误的信息有时会对个人生活造成重大影响,如征信信息的错误记录。2012年以前,关于信用记录错误的问题,不少法院仍支持以名誉权侵权进行保护。如在2010年的“中国银行股份有限公司广州白云支行与卢润娟名誉权纠纷案”中,广州市中级人民法院判决认为,银行报送不真实的个人信用记录的行为侵犯了客户的名誉权。*参见广东省广州市中级人民法院( 2010) 穗中法民一终字第 1946 号《民事判决书》。然而,根据《最高人民法院公报》2012年第9期“周雅芳诉中国银行股份有限公司上海市分行名誉权纠纷案”的相关指引,关于信用记录错误的问题应根据名誉权侵权要件进行审查,没有造成社会评价降低的后果的,不能判决构成名誉侵权。*参见《周雅芳诉中国银行股份有限公司上海市分行名誉权纠纷案》,载《最高人民法院公报》2012年第9期。至此,个人信息权里的修改权、更正权在实务上处于无法可依、无处安放的状态。
再次,个人信息权的保密权也无法完全为隐私权或其他人格权利所涵盖。2011年,武汉农业银行某支行直接将200多份客户资料丢弃在闹市垃圾堆里,造成客户个人信息泄露的重大风险。*《武汉农行200位客户资料现垃圾堆 表态称正调查》,http://news.sohu.com/20110225/n279519948.shtml,2015年10月27日最后访问。由于缺乏个人信息权的相关规定,且丢弃客户资料难被认为是“公开他人隐私”,实际上又难以证明客户隐私受到侵犯的后果,因此造成了客户维权难的状况。
(三)社会情况的变化呼唤个人信息权的诞生
大数据时代下,社会情况已经发生了深刻变化。当下信息的传播方式已经脱离了传统媒体中线性传播方式,裂变传播方式已经成为信息传播的主流方式。*参见常文英、刘冰: 《基于可信度分析的微博用户个人信息泄露实证研究》,载《情报杂志》2015年第8期。在当今这个去中心化、开元、共享的大数据时代,每个人只要拿起手机,都成为类似报纸、电台的传播媒介,信息的流动呈几何增长的趋势。生活中无处不在的摄像头,内嵌于每个人智能电子设备上的定位系统,运用物联网射频识别( RFID)技术的电子标签,云(could)存储上海量的数据信息等等,这些大数据技术手段与工具时时刻刻了解着一个人的一举一动。可以说,一个全景敞视式的利维坦已经开始形成。
人格权是一个随着时代发展的范畴。隐私权、姓名权、名誉权等人格权立法是在前数据时代设立的保护自然人人格利益的具体规则。但是,这些规则在大数据时代中已远远无法达到保护个人信息的需要。在这个人信息乃至个人自由均受到前所未有的威胁的时代中,对个人信息的保护已无法停留在保护个人秘密或者事后寻求救济的层面。
个人信息权以其独特的范围、内容,以其支配、控制、排除他人侵害的各项权能对各类个人信息在收集、处理、加工、存储、流转、交易的全方面予以保障,适应了社会情况的变化与时代发展的需要。尽快确立作为独立人格权的个人信息权,是大数据时代下保护个人人格的必然要求。
结论
个人信息权,是本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利,是一项独立的人格权,具有独立的价值与内涵。 在当下,明确个人信息权独立人格权的法律属性,既适应了人格权法不断发展的实际需要,又能对司法实践上正确区分个人信息、隐私、名誉、财产的关系起到指引作用。
[责任编辑:吴岩]
收稿日期:2016-02-23
作者简介:张里安(1957- ),男,湖南长沙人,法学博士,武汉大学法学院教授、博士生导师,研究方向:外国与比较民商法。
中图分类号:D913
文献标志码:A
文章编号:1009-8003(2016)03-0119-11
Subject:The Private Law Nature of Personal Information Right in the Big Data Era
Author & unit:ZHANG Lian,HAN Xuzhi
(School of Law, Wuhan University, Wuhan Hubei 430072, China)
Abstract:The primary problem should be answered while protecting personal information is: what’s the legal nature of personal information right? At present, there is no lack of personal information protecting measure in China, but the clear rules for the right of personal information is still unseen. In the judicial practice, the legal nature of personal information is also not clear. Throughout the world, two modes are representative, which are “progressive development of the personal information right” from the continental and the “privacy modle” form the U.S.A.. In the legal theory, the right of personal information mainly has six theories: the constitutional rights theory, the general personality right theory, the right of privacy theory, the property right theory, the new property right theory, the independent personality right theory. Among them, only the independent personality right theory can fully explain the private law nature of personal information rights. Personal information right has its unique connotation, which can accommodate the big data era. Its scope and contents can not replace by other rights. In legal attribute, personal information right is an independent personality right.
Key words:personal information right; right of privacy; personality right; big data
韩旭至(1987- ),男,广东广州人,武汉大学法学院民商法学博士研究生,研究方向:人格权法。
