个人信息多元保护模式探究
2018-02-20方明
方 明
内容提要 随着新经济的发展,个人信息保护已不仅仅关乎民事权益,还涉及宪法、行政法、刑法等在内的综合法律体系。我国现有的个人信息保护立法相互之间缺少衔接,尚未形成体系化的个人信息保护模式。个人信息保护的宪法基础应当是人格尊严和自由;《民法总则》第111条首次以民事权利的形式确认个人信息;个人信息公法保护的理论基础是信息自决权;行业标准构成个人信息保护的自我规制模式。为了实现个人信息的依法保护与合理利用、个人信息主体与其他产业主体、个人信息保护与社会公共利益之间的协调和平衡,有必要加强对个人信息多种保护模式的研究。
随着数字技术的发展,特别是在网络环境下,个人信息的重要性日益凸显,加强对个人信息的立法保护已成为社会共识。2017年3月15日,十二届全国人大第五次会议通过的《中华人民共和国民法总则》(以下简称《民法总则》)第111条新增并明确了个人信息权:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这一条款有意将“个人信息”以民事权利的形式予以确认,但这一宣示性表述只是基于损害禁止的反向论证,尚缺乏基于权利结构的正向界定。我国应就个人信息权的构成要件、个人信息权利客体的保护范围、个人信息权能的具体内涵及个人信息权的法律效果等方面加快立法,同时,学界还应进一步探讨如何构建和完善个人信息的多元保护体系,以使个人信息权利的保护达到更佳的社会效果。
个人信息是指与特定自然人相关联,反映个体特征,具有个人身份可识别性,以电子或者其他方式记录的,能够单独或者与其他信息结合识别的自然人个人身份的各种符号系统。个人信息的范围广泛,包括姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码、工作、家庭、财产、健康、民族等等,凡是符合个人信息概念定义要求的,都是个人信息。①为了实现个人信息的依法保护与合理利用、个人信息主体与其他产业主体、个人信息保护与社会公共利益之间的协调和平衡,有必要对个人信息采取多元保护模式。保护个人信息的最终目标不在于个人信息本身,而在于信息所蕴含的内在意义和价值,这些价值包括信息主体人格的独立、精神的自由以及财产权的保护等。我国现有的个人信息保护立法相互之间缺少衔接,呈现“碎片化”的特点,②没有形成体系化的个人信息保护模式。事实上,个人信息保护不仅关乎民事权益,还涉及宪法、行政法、刑法等,是一个综合的法律体系。因此,探究个人信息多元保护模式,可以有效化解个人信息保护和信息合理利用之间的冲突,实现信息产业发展和个人信息保护二者之间的平衡。
当前我国个人信息保护模式现状
近十多年来,我国立法日趋关注和强化对个人信息的保护,刚刚颁布实施的《民法总则》第111条首次明确了个人信息权。除此之外,还有一些不同内容的个人信息保护规定分散在多部法律、行政法规、部门规章、地方性法规和规章及各类规范性文件中。
2016年11月,全国人大常委会通过的《网络安全法》首次在法律层面确定了“个人信息”的概念和原则,成为个人信息保护法律体系建设的起点,其中网络信息安全专章系统规定了公民个人信息保护的基本法律制度,《网络安全法》具有明显的公法属性,其保护范围是在建设、运营、维护和使用网络,以及网络安全监督管理过程中所涉及的个人信息保护,其对个人信息的界定明确是在网络环境中。有学者认为,“个人信息保护法的价值取向是维护公民的个人信息权等基本权利,规范个人信息的合理流动和秩序;网络安全法本质是为了维护国家安全社会安定和不特定公民权益,而对包括个人信息权在内的公民私权予以必要限制,某种程度上构成对个人信息安全的威胁。”③
我国《消费者权益保护法》对经营者收集、使用消费者个人信息必须遵循的原则和承担的义务进行了规定;《旅游法》明确要求旅游经营者通过经营活动知悉旅游者个人信息的应当保密;《征信业管理条例》全面系统地规定了征信机构对个人信息进行采集、整理、加工、保存的相应规范;《地图管理条例》明确了互联网地图服务单位在收集、保存、使用用户个人信息时应当承担的义务;全国人大常委会于2012年通过《关于加强网络信息保护的决定》,其中针对个人电子信息保护做了明确系统的规定;工信部2013年颁布的《电信和互联网用户个人信息保护规定》对用户个人信息做了具体界定;《人民银行关于银行业金融机构做好个人信息保护工作的通知》对金融机构在个人信息保护方面提出了明确具体的要求。
我国对个人信息的刑法保护关注较早,也更加系统规范。2009年《刑法修正案(七)》首次增加了侵犯公民个人信息罪罪名,2015年《刑法修正案(九)》对刑法第253条进行修改,针对向他人出售或者提供公民个人信息的犯罪行为设定了刑事责任。2017年5月,最高人民法院、最高人民检察院印发的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)进一步细化了《刑法修正案(九)》中关于个人信息的相关规定,明确界定了公民个人信息的范围、非法提供或获取公民个人信息的认定标准、侵犯公民个人信息罪的定罪量刑标准等内容。《解释》第1条首先明确了公民个人信息的范围和内容,即“公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”这一界定明确了个人信息已不再局限于网络或电子形式,对信息的身份指向不仅包括能够单独识别和结合识别,还包括能够反映特定自然人活动情况的行踪轨迹等信息。在刑事司法实践中,对个人信息保护范围的理解也是比较宽泛的,如旅行信息、酒店入住登记、网站浏览纪录等内容均给予刑事法律保护。④
人格尊严和自由构成个人信息保护的宪法基础
在信息时代,人格尊严和人格独立是个人信息的主要价值体现。作为大陆法系的典型代表,德国较早以“信息自决权”为名确立了个人信息权利。1983年12月,德国联邦宪法法院通过著名的“人口普查案”,判决认为德国宪法第1条第1项规定的“人性尊严”和第2条第1项规定的“人格自由发展”构成了“信息自决权”的法律基础,这一判决主旨被随后的德国《人口普查法》和《联邦资料保护法》充分吸收,由此,“信息自决权”成为德国乃至整个大陆法系国家个人信息保护的重要法律渊源。其宗旨在于强调信息主体有权对个人信息进行控制和处理,自行决定是否将个人资料交付第三方使用。“信息自决权”在德国联邦宪法法院的推动下,对德国民法、民事诉讼法及刑事诉讼法等其他法律领域产生了深远影响。⑤
我国现行宪法第33条第2款规定“国家尊重和保障人权”、第38条规定“中华人民共和国公民的人格尊严不受侵犯”都属于保护人格尊严、促进人格发展的概括性条款,是我国公民个人信息权得以确立和保护的宪法依据。除此之外,我国宪法第37条“人身自由不受侵犯”、第39条“住宅不受侵犯”、第40条“通信自由与通信秘密受法律保护”等条款都与个人信息权存在一定的关系,这些宪法基本权利的规定为个人信息权利的确认和保护提供了实现的依据和可能。信息自决权的本质是信息主体对自身信息所具有的控制、选择与决定权,其核心是人的价值与人的尊严。⑥因此,实现公民的个人信息权不仅是文明社会所必须,也是法治社会中民主自由和公民自治的保障。从宪法层面考察,在我国确立个人信息权具备宪法依据,与国家尊重和保障人权的价值目标也是一致的。
1958年德国著名的“吕特案”所确立的宪法基本权利在民事法律中的效力问题,对于现代宪法秩序与私法规范的整合具有重要的借鉴意义。德国联邦宪法法院认为,宪法基本权利所确立的具有保障人格和人性尊严功能的客观价值秩序,对全法域均可有效适用,民事法律亦不例外,任何民事法律均不能与之相抵触。民事法律只有在基本权利的校验下予以解释才是符合宪法的。⑦我国新颁布的《民法总则》第一章“基本规定”部分明确了宪法对民法的指导意义,确立了宪法在规范层面上对民法的立法依据和辐射效力。在民事立法过程中,应当尽可能地将基本权利规范予以落实,从而促使公民的基本权利得以转化为司法权利进而防御侵害。⑧可见,个人信息权作为一项民事权利,在宪法中有其存在的价值基础和立法依据,但其权利的最终实现,还需要在民法的框架内予以规范。因此,《民法总则》第111条的确立,是我国民法将宪法中公民的基本权利私法化为民事权利的具体表现,是公民宪法上“人格尊严和自由”权利的民法保障。⑨
个人信息的民法保护及理论困境
有学者归纳,个人信息保护的民法理论当前主要有四种学说:一是源自德国民法的人格权说,即德国联邦最高法院援引德国基本法,通过判例的形式形成的框架性权利;二是源自美国的隐私权说,即将隐私权作为个人信息保护的权利基础;三是将个人信息作为民法上的“物”,对之采取物权保护方式的所有权说;四是对个人信息中所具有的人格利益和商业利益分别予以保护的人格权和财产权说。尽管前文已论及个人信息具有宪法依据,但由于我国宪法没有可诉性,因此只有通过在民法中明确个人信息的相关权利,才能实现其在私法关系中的保护。⑩我国《民法总则》第111条的规定正是宪法中对公民“人格尊严和自由”基本权利私法化为民事权利的具体表现和民法保障。但个人信息保护在民法理论中尚存在以下冲突和困境:
(一)人格尊严与信息自由的价值冲突
进入大数据时代,个人信息的合理配置和有序流动,极大地推动了经济社会发展。个人信息关乎个人尊严,并具备识别自然人身份的要素,应当受到法律保护。而信息自由的理论基础是信息契约理论,依据该理论,国家和社会赖以维系的纽带在于它对各个领域的信息(包括个人信息)的收集和传输。社会成员应当将专属于其自身信息的部分权利让渡给国家,从而促进公共福祉的实现。过于维护个人的人格尊严必然会阻碍信息自由的实现,过于保护信息自由又会有损信息主体的人格尊严,二者价值理念的冲突导致民法理论的困境。有学者提出个人信息分类规制的观点,即重视个人信息利用中的各方利益,区分个人敏感隐私信息与个人一般信息,协调个人信息保护与信息合理利用的冲突,实现以下三方利益的平衡:个人对个人信息保护的利益(核心是人格自由和人格尊严利益)、信息从业者对个人信息利用的利益(核心是通过经营活动获取经济利益)和国家管理社会的公共利益之间的平衡。
(二)人格权与财产权二元权利体系的困境
在大数据时代,个人信息的有效利用已经成为重要的战略资源,其所具有的财产价值日益凸显,个人信息同时具有人格价值和经济价值的客观事实,使得民法学者对个人信息的法律属性产生了人格和财产二元体系的困惑。传统民法对其采取的人格权保护模式必然产生理论争议和实践冲突。在个人信息权中,如果其权利客体是姓名、肖像、隐私等具有较强专属性的人格要素,完全可以通过保护人格权的方式来维护自然人的人格尊严和人格自由。在“信息自决”理论下,个人信息的财产价值体现在对个人信息的使用上,所谓的使用既可以是信息主体的直接利用,也可以是他人在获得信息主体同意的情况下对信息进行利用和交易,只要不侵害公共利益、不违反强制性法律规定即可。传统人格权理论所强调的人格权客体是不具有可交易性的,个人信息中的财产价值已成为个人信息保护未来发展的重要内容,通过人格权显然无法全面保护个人信息中存在广泛社会诉求的财产利益。正因面临如此困境,有学者认为个人信息具有人格、财产双重属性,试图绕开二元权利体系,为个人信息保护提供新的理论基础。
(三)个人信息权利化的理论困境
由于可识别性是个人信息概念的核心,个人信息的不确定性导致其外延特别宽泛,内容极其丰富。因此,将个人信息作为一般人格权客体对之进行保护的观点得到我国多数学者的认可。“个人信息权应作为独立的民事权利,而且应该作为一种具体人格权予以保护”。因很多个人信息具有一定程度的私密性,与隐私权的权利内容、侵权方式及救济路径非常相似,甚至出现信息隐私权的概念。“隐私权就是个人信息、个人私事和个人领域不受他人侵犯的权利。”在现有的司法实践中,个人信息大多也都是通过隐私权的途径得到保护的。有学者认为“个人信息与隐私存在密切关联,在客体上存在交错性,但在权利属性、权利客体、权利内容和保护方式上,个人信息权都与隐私权存在区别,应当成为独立的具体人格权,并建构以司法保护为中心的个人信息保护法。”也有学者提出“个人信息权”是一新型的民事权利,认为“个人信息所体现的是公民的人格利益,个人信息的收集、处理或利用直接关系到信息主体的人格尊严。”如果明确个人信息权是一项独立的权利,其与隐私权、姓名权、肖像权等既有权利之间的冲突必然会产生理论上的困境。
我国个人信息的民法保护模式主要通过权利主体提起侵权责任请求权获得救济,请求侵权人承担损害赔偿责任包括精神损害赔偿责任。私权的确立是建立其他多元保护机制的前提,为行政法、刑法乃至行业自律对个人信息提供保护建立了私法上的基础。正是由于个人信息确权性规则不足,尤其是以上民法对个人信息保护的三大冲突和困境,直接影响了个人信息私权保护的社会效果。近年来,理论界对于个人信息私法保护模式的合理性和有效性也有不同观点,甚至有学者认为,政府专门机构应该是对个人数据信息使用进行治理的主体,治理的法律性质应该是公法而不是私法,治理的目的是为了公共利益和公共安全而促进个人数据信息的自由共享。
信息自决权成为个人信息公法保护的理论基础
近年来,伴随着信息技术和城市化的高速发展,个人信息不仅面临着被平等主体的自然人侵犯,国家为了社会稳定、打击犯罪、治安管理等目的,通过大量采集公民个人信息,运用身份登记、录入指纹、实名注册、视频监控等手段加强对社会治安的全面管控。政府拥有各类信息资源和信息处理技术,所有这些信息可以构成解析个体的数据基础,公民个人图像和个人行踪因此可能一览无余地暴露在国家的窥探监视之下。相较于个体对个人信息的非法侵扰,来自国家的不当干预更难觉察和抵御。因此,在对自然人侵犯公民个人信息权的行为进行私法保护的同时,也应对国家不当搜集和滥用公民个人信息的行为引起警惕,关注并重视公民个人信息的公法保护。
公法领域中作为集合性权利的公民信息权是由公民知情权和信息自决权两部分组成,知情权是为了强化公众对政府政务的参与和监督,信息自决权的本质是信息主体对其自身信息的选择和控制,即信息主体有权自我决定其个人信息何时、何地、以何种方式被他人或者国家收集、储存、处理和利用。“信息自决权”由德国联邦宪法法院1983年“人口普查案”的判决所创设,其产生之初就被明确定性为宪法基本权利。作为主观权利,信息自决权首先具有抵御国家不当搜集、储存、传播和使用公民个人信息的防御功能,确保个人对于自身信息的自我决定和自我控制,防止国家借助数据处理技术无限度地干预私人生活;而作为客观价值的信息自决权,又赋予公民要求国家积极作为,通过提供机构和程序支持,有效促进和实现其信息自决权的权能;此外,基于基本权利客观价值属性的认知,人们同样可以合乎逻辑地推导出在公民信息自决权受到第三方侵犯时国家的保护义务。
“起步于隐私,但又不止于隐私”是诸多国家和地区信息保护立法的思路和范本。德国法中的信息自决权所保护的对象“信息”并不仅仅局限于隐私信息,还包括已经公开的信息,或不是特别私密。但可以直接或间接识别自然人的任何资料。这些“信息”,公民都可以以信息自决权诉诸法律以获得保护。1990年的《德国联邦个人数据保护法》中保护个人信息的法律要件已由“隐私利益”调整为“可识别性”,以适应信息时代对个人信息保护的需求。德国法中的信息自决权是将社会秩序、公共利益等均纳入宪法保护框架内。迄今为止,德国联邦宪法法院对信息自决权限制的重大公益事由,除了人口普查,还包括为了实现国家防卫、经济、社会、交通警察任务的数据收集;为了判断和解决法律争议而进行的事实调查;对于公民健康危险的防卫、对抗暴动或是暴力行为、预防犯罪目的而收集的数据,在刑事诉讼程序中的事实调查、国家基于平等捐税目的而收集的数据等。同时,很多国家对于“个人同意”作为个人信息保护的制度条件也都有所变化。无论是以基本权利为核心确立统一立法模式的欧盟,或以分散立法与行业自律相结合的美国,对于个人信息权中的“同意”制度都创设了例外规定。如2016年4月,欧盟委员会通过的《数据保护通用条例》就对个人信息进行了分类处理,对于一般数据,在五种法定情形下可以免于个人同意依然合法有效。五种法定情形包括:订立或履行同意所必要、履行法定义务所必需、保护数据主体重大利益所必要、履行涉及公共利益的任务、数据控制者或第三方合法利益。德国的“信息自决权”和美国的“宪法隐私权”理论对我国关注并构建个人信息公法保护提供了有益的借鉴和参考。
行业标准成为个人信息保护的自我规制模式
美国的个人信息保护是以隐私权为权利基础,通过制订法律和司法案例进行保护。实践中,行业自律成为其最有代表性的保护模式。行业自律模式是指由行业内部制定统一的行业标准与行为规则,通过自我约束和统一规范实现行业内部的个人信息安全。在政府引导下,规范行业内个人信息处理行为,协助实施行业自律,探索并实现既能促进信息产业发展又能有效保护个人隐私二者之间的平衡。
在规制对象具有高度复杂性、技术性、隐蔽性和多变性的个人信息保护领域,除了侵权行为发生后,对侵权人采取事后的民事诉讼、行政处罚、刑事追究等措施,政府很难对与个人信息保护相关的主体和行为进行系统性的评估、监控和处罚。社会自我规制理论的应运而生,正是为了弥补政府规制的不足。自我规制是指国家以外的主体为履行职责给自己设定的行为标准,以实现个体利益和公共利益的共赢。实践中往往是政府规制与自我规制相结合,旨在发挥两种规制手段的优势,通行的做法是国家预设目标与框架,诱导私人主体以专业知识填补框架内涵,进而实现合作治理的目标。
当前,个人信息保护中的行业标准主要包括:一是建立个人信息的分类保护制度。因为个人信息涉及与识别个人身份相关内容,采集、储存、利用个人信息必须符合目的明确及合法必要原则。二是明确信息主体的授权使用制度。当前的法律法规对个人信息的采集和利用都明确要求必须得到信息主体的授权,为确保授权的合法有效,应当建立并完善企业的自律机制,包括对上游信息提供者的资质进行审核,对其数据安全保护能力进行评估,对下游信息使用者的信息安全保障能力和机制进行评估和调查等。三是严格规范企业内部的信息管控制度。企业在存储、加工和使用个人信息过程中,必须建立严格的信息采集、加工、存储和使用等数据内部流程管控制度,以履行保障信息安全的法定义务。四是完善个人信息被泄露后的危机处理制度。企业通过不断识别信息安全保障方面的潜在风险点,提高自身防御信息泄露风险的能力和水平。
结 语
随着互联网和大数据产业的发展,个人信息的内涵和利用在实践中不断创新,个人信息保护和治理的制度模式也面临新的挑战,传统私权治理模式从基础理论到国际实践都出现了转型和反思。个人信息保护已不仅仅局限于私法保护,还涉及宪法、行政法、刑法等综合法律体系和自我规制模式。我国未来的《个人信息保护法》在对所有可以识别个人身份的数据和信息提供保护的同时,针对不同的个人信息还应有区别地提供不同强度和不同方式的保护。因为在信息化时代里,如果对个人信息实施过度控制,必然会限制个人数据的合理利用,影响信息技术为社会和个人带来的积极效应。为有效化解个人信息保护和信息合理利用之间的冲突,我国未来的《个人信息保护法》在保护对象上应尽可能覆盖所有个人信息,而并不局限于隐私信息;同时根据所涉信息与个人人格尊严的关联度、信息采集的方法以及信息所处的保护状态不同等条件,对隐私信息和一般信息提供强度不同、方式不同、可限性不同的立法保护,以避免无差别的个人信息保护所产生的高昂成本和技术阻碍。
①杨立新:《个人信息:法益仰或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》,《法学论坛》2018年第1期。
③张素伦:《网络安全法及其与相关立法的衔接:我国〈网络安全法〉介评》,《财经法学》2016年第3期。
④参见《最高人民法院、最高人民检察院发布7起侵犯公民个人信息犯罪典型案例》,北大法宝数据库。
⑤张娟:《德国信息自决权与宪法人性尊严的关系述评——德国个人信息保护的法律基础解读》,《安徽农业大学学报》2013年第6期。
⑥姚岳绒:《论信息自决权作为一项基本权利在我国的证成》,《政治与法律》2012年第4期。
⑦张红:《吕特案》,张翔:《德国宪法案例选释·第一辑·基本权利总论》,北京法律出版社,2012年。
⑧张翔:《基本权利在私法上效力的展开——以当代中国为背景》,《中外法学》2003年第5期。
⑨郝思洋:《个人信息权确立的双重价值——兼评〈民法总则〉第111条》,《河北法学》2017年第10期。