论个人信息财产权的独立性
2018-10-31项定宜
项定宜
(1.东北林业大学 文法学院,黑龙江 哈尔滨 150040;2.黑龙江大学 法学院,黑龙江 哈尔滨 150080)
21世纪,伴随着信息技术的发展,人类进入信息时代。美国学者梅森(R.Mason)提出信息时代存在四个伦理问题:隐私、准确性、产权、存取[1]84-85。其中,隐私、准确性关涉个人信息上的人格利益问题,产权则涉及个人信息商业利用过程中的财产利益问题。大数据时代个人信息商业利用现象极其普遍,个人信息财产权益是人格权的一项权能还是一项独立的权利?这项权能或权利如何行使?法律如何保护财产权益,是人格权受侵害后的精神损害赔偿,还是独立的财产损害赔偿?如何设置适合中国当前背景的个人信息财产利益保护模式?这些问题皆是法学界不可回避的热点问题。
研究个人信息保护的学者,都认可个人信息的财产属性,但是财产权是否独立于人格权却没有系统的研究。部分学者主张个人信息权包含财产权能,如学者齐爱民主张信息主体基于个人信息商业利用行为享有报酬请求权[2],学者洪海林认为个人信息权利不是纯粹的人格权,个人信息财产化发展具有正当性[3],学者刁胜先认为个人信息与信息主体的“分离”并不彻底,个人信息权是一种包含财产权能的框架性人格权[4],但他们均未对个人信息财产权独立性问题做进一步研究。部分学者主张个人信息财产权应当独立保护,如学者刘德良主张对个人信息人格权和财产权分别予以保护[5],学者郭明龙主张根据直接个人信息和间接个人信息给予人格权和财产权保护[6]。但现有的学术成果并未对个人信息财产权独立性进行系统研究,包括独立确认、独立行使、独立保护等方面。对财产权是否独立问题的探寻,关系到商业利用中个人信息侵害行为的请求权基础是人格权抑或财产权。对上述问题的研究,我们需要在传统理论中搜寻突破点。
一、一元模式与二元模式之比较
对个人信息的人格权属性毋庸置疑,关于人格权能否分离出独立的财产权问题,大陆法系和英美法系国家采取不同的模式。通过追溯两大法系人格权商品化的立法模式,从中汲取有益经验,并甄别个人信息与传统人格要素的差异,探寻个人信息财产权与人格权的关系。
(一)德国一元模式和美国二元模式
德国判例主张人格权包含财产性权能,即一元模式[7]。德国人格权理论的早期创始人基尔克曾言:“人格权可能由自身发展出或在自身中包含财产权的内容。”[注]Von Gierke,Deutsches Privatrecht,1,Band,1895,S.706.在1956年的“BGHZ 20,345-Paul Dahlke案”中,联邦法院首先论证传统人格权财产部分在技术、经济和社会发展的推动下人格利益被商业利用成为现实和可能,承认人格利益财产部分有利于加强人格权保护,将财产利益视为人格权的部分,人格利益与财产利益可以统一协调于人格权之下。1968年“Mephisto案”判决区分了不可转让和不可继承的“高度人身性的人格权”和人格权可转让和可继承的“具有财产价值”的成分。此案之后,理论学说肯定姓名、肖像、声音等个人信息的人格权具有财产价值[8]281。1999年“Marlene Dietrich案”判决进一步推进一元模式,该判决明确承认人格权财产成分可以被继承,但是没有回答人格权财产成分是否可以被转让[10]。该案判决主张精神利益和财产利益统一于人格权保护,具有划时代意义。
与德国将财产权与人格权统一的做法完全不同,美国在立法和司法实践中对人格权商品化采二元模式,即隐私权与公开权各司其职,隐私权保护精神利益,公开权保护财产利益。姓名、肖像等个人信息被商业利用时,以保护静态防御利益的传统隐私权无法对主动授权商业利用而谋取的经济利益进行保护,美国法院在1953年“Haelan Laboratories,Inc. v. Topps Chewing Gum,Inc.案”中承认个人在姓名、肖像等个人信息上的财产价值应该得到法律的保护[8]259。在此案中,Frank法官赞同被告的见解,即依纽约州权利法案的规定,人格权上的商业利益不受保护,认为在姓名、肖像等个人信息之上存在一种个人对自己的个人信息经济利益享有公开权,并进一步指出这种权利具有可转让性,为保护个人信息财产价值找到一个恰当的权利基础,宣告公开权理论的诞生[9]122。1954年,美国学者尼莫(Nimmer)发表了名为《公开权》的论文,对公开权制度进行理论建构。1977年美国联邦最高法院在“Zacchini案”中明确解释该案是公开权诉讼,原告起诉不是由于被告未经同意转播自己的表演,而是由于被告没有支付报酬而侵害了原告的财产利益。该案进一步澄清了隐私权和公开权在保护利益、救济方式上的区别,肯定了公开权具有财产价值的权利[9]127-129。目前,美国已经有多个州通过立法认可公开权,因公开权的让与性与继承性,被美国法律体系归入财产权[10]。公开权的客体也从仅仅保护姓名、肖像等人格紧密型个人信息的商业利用,到保护包括姓名、肖像在内的具有识别性的一切个人信息。
(二)中国学者观点分野
自20世纪以来,中国学者针对人格要素商业利用产生的财产权益与人格权益关系,也有“一元论”与“二元论”的观点分野。持“一元论”观点的典型代表学者王利明认为,人格权商业利用并没有改变人格权的本质属性,不能创设财产权来保护人格权商品化中产生的经济利益。通过扩充人格权权能保护经济利益即可,没有必要创设独立的财产权[11]。持类似观点的学者还有杨立新、姚辉、程合红等[12-14]。学者沈建峰支持“一元论”,他认为人格符号与人格本身不可分离,如果财产利益可以自由转让,可能脱离人格权主体的控制,有可能损害人格权。财产利益应当受到人格利益的限制,因此二者应当统一于人格权[15]。 “一元论”支持者主张,财产利益无法脱离人格权的限制,通过扩充人格权权能实现对财产利益的保护。
持“二元论”观点的学者较多,如徐国栋先生认为财产可转让的属性与人格权不可转让的属性不兼容,可以转让的财产利益当然就不是人格权[16]。学者温世扬直接指出,人格权的人身专属性决定其不具有处分的属性,因此人格要素商业利用行为是权利人对财产的处分,而不是对人格的处分,最终得出人格权财产利益是财产权的结论[17]。学者吴汉东认为,人格要素商业利用以财产利益为内容,这种财产利益是新型财产权益,不能由人格权法调整[18]。 “二元论”支持者均是就人格权的固有性、人身专属性、不可转让性,认为人格权商业利用行为的客体是财产,权利人处分的是财产权,不能与人格权相混淆。
(三)一元模式与二元模式的比较
一元模式和二元模式的共同特点是都缘起于司法实践,并被理论学说得以发展,都承认人格权财产利益的保护。不同之处表现在:第一,财产权益是否具有独立性。在德国一元模式下,承认人格权包含精神利益,还包含商业利用中产生的财产利益。人格权的财产部分只是人格权的权能之一,无法完全脱离人格权而单独存在[11]。美国二元模式下,财产权益有不同于人格权之处,财产权可以独立确认。人格权只包括精神利益,不包括财产利益,因此通过独立的财产权保护人格权商业利用产生的财产利益。第二,财产权是否独立行使。在德国一元理论下,财产权不能独立行使,财产利益可以被继承,但是不可被单独转让。人格权主体有权将财产使用权能让渡给他人,使用权人不得对抗人格权。美国二元模式下,财产权可以独立行使,财产权可以被继承,可以被独立转让。财产权主体有权将财产权的使用权能让渡给他人,使用权人不得对抗财产权,亦不得对抗人格权。第三,财产权是否独立保护。在德国一元模式下,擅自对人格权进行商业利用,被认为人格权主体精神受到损害,即使侵权人获利,也只是被作为确定精神损害赔偿数额的参考,财产权不能独立获得保护。美国二元模式下,擅自利用隐私、肖像等权利中的财产价值,认为受害人损失或侵权人获利通常是财产损害赔偿数额的确立标准之一。为便于对照,笔者将德国一元模式和美国二元模式进行比较(见表1)。
表1 德国一元模式与美国二元模式的比较
二、个人信息财产权的独立确认:新型财产权
(一)中国应确认独立的个人信息财产权
一元模式与二元模式追求的价值理念不同,一元模式侧重全面保护人格权,二元模式侧重突出财产权的独立保护以达致间接保护人格权的目的。就个人信息商业利用而言,个人信息首先承载人格利益,个人信息之上成立人格权毋庸置疑。个人信息之上的财产利益应当被视为人格权的一项权能还是成立一项单独的财产权,到底采一元模式还是二元模式,根本而言是法价值理念问题。个人信息商业利用需要兼顾人格尊严和信息流通的平衡,人格权一元模式有利于保障人格尊严,不利于信息流通中财产权的单独保护;二元模式将人格权与财产权单独规定,对商业利用中的人格利益予以人格权保护,财产利益予以财产权保护,更有利于人格尊严和信息流通价值的平衡。信息时代赋予法学理论研究新的使命,立法应当因应时代发展的需求。一元模式不利于个人信息商业利用中财产权益的全面保护,不符合信息时代个人信息普遍商业利用的趋势。因此,笔者主张单独确认个人信息财产权。
第一,财产权具有可继承性,而人格权不具有这种属性。中国对人格权财产价值的继承并无法律规定。中国台湾地区著名学者王泽鉴认为,肯定财产利益的继承性,有利于强化人格权保护,并避免他人随时将死者的个人信息作商业使用。笔者认为,王泽鉴先生的观点实质是从人格权扩张的角度解释财产利益的可继承性,并不能真正解释财产可继承性与人格不可继承性的本质区别。而且王泽鉴先生也预见到,“在肯定姓名、肖像、个人信息等人格法益具有财产价值之后,此项财产价值的保护,虽不能脱离人格权而成为一个独立的权利,但实已逐渐接近于无体财产权(智能财产权)”[8]301-302,个人信息财产权的发展趋势是无形财产权。
第二,财产权具有可处分性、可转让性,而人格权具有人身专属性,不可转让。德国学说认为,被视为“具有财产价值的排他性权利”的人格权的财产成分的可转让性是逻辑上的必然结论[9]79。笔者认为,财产权可以被转让、人格权不可以被转让才是逻辑上的必然结论,如果承认人格权上财产利益可以被转让,就必须承认财产权的独立性。信息时代客观上使得个人信息成为商业交换的对象,交换的前提就是信息主体对用来交易的个人信息享有所有权或处分权。信息主体通过许可使用合同处分信息财产利益,许可使用合同的前提是信息主体享有独立处分权,如果没有财产权,又何来财产处分权?信息主体将个人信息处分给他人,行使的不是人格权,而是针对财产利益的处分权。因此,个人信息商业利用情形下,财产权必须独立于人格权。
第三,人格权与财产权作为民事权利的基本分类,有明确的区分标准。人格权以人格利益为内容,具有人身专属性。财产权以财产利益为内容,具有可转让性。民法理论随着社会发展进行了修正,允许一种民事权利同时包含人格权和财产权内容,最典型的是著作权。著作权中的发表权、署名权、修改权、保护作品完整权属于人格权,不可转让、放弃;而复制权、发行权等其他权利为财产权[9]79。著作权恰恰反映了人格权与财产权二元模式,对于复制权、发行权等财产权采取可继承、可转让、有期限限制的特殊保护方式,而署名权、保护作品完整权等人格权则采取不可继承、不可转让的保护方式。因此,个人信息商业利用中财产利益的继承性、可处分性,不同于人格权本质属性,应当被确认为独立的财产权。
(二)独立的新型财产权
正如学者所言,只有经过正当性考察的利益主张才有作为法律权利的现实基础,个人信息上的财产利益经过正当性评价后才能够成为个人信息财产权的现实基础[1]110-111。信息主体享有个人信息被商业利用时的财产利益正在被理论证成,被公民实践,如中国中关村、贵阳等多地的大数据交易中心中逐年增加的数据交易,信息主体享有的这种财产利益具备正当性,正在成为一种新型财产权。王泽鉴先生认为,个人信息上的财产权益正在向无形财产权方向发展[8]302。美国劳伦斯·莱斯格教授认为用户可以利用财产权方式保护个人信息许可使用中的财产利益[19]。有学者曾经列举四种“正在出现的财产权”(emerging property right)时,其中就包括个人信息财产权[20]。正如沃伦和布兰代斯所言,“个人的人身和财产应当受到充分保护,而这一保护的确切性质和范围需要不时地重新予以界定,政治、社会和经济的变化不断要求承认新的权利”[21]。个人信息财产权正是被电脑、互联网和信息技术所改变了的社会现实所催生的一种新型财产权利。
个人信息财产权是指自然人对其个人信息商业利用中享有的财产利益的支配权。但是,个人信息财产权不像一般财产所有权那么绝对。第一,该财产权受到信息处理者权利的限制。波斯纳在《隐私权》中提到经济分析方法,简要分析在何种情况中这种行为将增加社会财富而不是相反。以订户名单为例,主张杂志社从另一杂志社购买订户名单的交易成本低于从订户那里取得同意,认为从交易成本角度将订户名单产权归属于杂志社更能降低交易成本。美国司法实践有不少法院认为个人信息财产权归个人信息处理者,理由是增加社会财富、降低交易成本[22]。这种观点至少表明,信息主体财产权虽然保障信息主体有请求报酬、共享收益的权利,但并不是绝对排他的。此外,信息处理者对个人信息进行处理、分析形成的数据库享有排他性知识产权,信息主体财产权受到知识产权的限制。例如,腾讯和华为的数据权纠纷就是典型案例。华为未经知识产权方腾讯微信许可,以“用户授权”方式获取他人数据的行为,属于侵害知识产权行为。腾讯抗辩称华为获取的“用户授权”,仅能约束信息主体与华为,对于知识产权方腾讯微信而言,没有合同效力。因此,华为要对个人信息进行商业使用必须获得知识产权方腾讯微信的同意[23]。此外,该财产权受公共利益限制,因公共利益需要,他人无须征得信息主体同意就可以进行合理收集、处理与利用。第二,这种财产权属于学者提及的人格型财产权,不同于知识型财产权[24],应当兼顾主体人格利益,中国台湾地区“个人资料保护规定”第4条规定不能通过约定排除信息主体的查询权、更正权、删除权[注]中国台湾地区“个人资料保护规定”第4条:“当事人就其个人资料依本规定行使之左列权利,不得预先抛弃或以特约限制之:一、查询及请求阅览。二、请求制给复制本。三、请求补充或更正。四、请求停止搜集、处理或利用。五、请求删除。”。
三、个人信息财产权的独立行使
个人信息财产权是信息主体对个人信息商业价值的支配权,且只能存在于商业利用过程中[5]。大数据时代个人信息的商业价值具有聚合性,单个个人信息的商业价值并不明显,实践中较为普遍的商业利用模式通常体现为银行、保险公司、电信公司、互联网公司等企业对个人信息进行精准营销、数据分析、商品宣传等目的的商业利用,信息主体对个人信息财产权的行使则表现为个人信息财产权的转让或许可使用。无论是转让合同还是许可使用合同,都是平等主体之间的民事行为,奉行契约自由精神。信息主体是对自身人格利益的最佳判断者,立法者应当摒弃“法律父爱主义”,由信息主体自主决定个人信息的利用方式。商业利用行为的内容由信息主体与信息利用者协商确定,充分尊重信息主体的意思自治。
(一)个人信息财产权转让
典型意义上的个人信息财产权转让合同,是指信息主体将个人信息财产权转让给信息收集者或信息利用者。财产权转让合同的重要内容是个人信息财产权转让,但不发生个人信息人格权的转让。一方面,信息主体仅保留人格权,如查询权、修改权、删除权;另一方面,将财产权永久转让给信息利用者,如许可权、个人信息报酬请求权等,信息主体不再享有财产权。理论上,个人信息财产权单独转让符合财产权属性。但是,个人信息财产权彻底转让,容易导致信息主体丧失对个人信息的控制权,例如发生财产权的再次转让时,信息主体可能丧失知情同意权,这显然不利于信息主体人格权的保护。实践中,为保护信息主体人格权,个人信息财产权转让行为较为少见。但是,大数据交易中只涉及匿名、非敏感个人信息的财产权转让对信息主体人格利益影响较小,这种情形的财产权转让还是可行的。
此外,还有广义上的转让合同,实质是个人信息使用权转让合同,包括:(1)信息收集者、加工者、传输者、使用者之间对已获得许可的使用权进行买卖,均不得违反之前的许可使用合同,不得侵害信息主体的人格权,保证信息流通过程中的信息安全,不得非法买卖、提供、公开个人信息。(2)信息共享合同,信息收集者、加工者、传输者、使用者之间对已获得许可的使用权相互交换,扩大信息量和适用范围,是一种广义上的个人信息使用权转让合同。只有经过信息主体的同意,两种基于使用许可设立的使用权才可以转让。
(二)个人信息许可使用
个人信息许可使用是行使个人信息财产权的主要方式。根据个人信息与人格尊严的紧密程度不同,个人信息可以被分为人格紧密型个人信息与人格疏远型个人信息。符合直接识别性、个体性强、敏感性任何一个特征的个人信息,与人格尊严联系较为紧密,是人格紧密型个人信息。同时满足间接识别性、社会性强、非敏感性三个特征的个人信息,与信息主体的人格尊严联系较为疏远,是人格疏远型个人信息[25-26]。基于个人信息的不同类型,个人信息许可使用采取不同的许可模式:约定许可使用和法定许可使用。无论哪种类型的个人信息,只要信息主体与信息利用者协商达成合意,都可以成立许可使用合同授权他人商业利用,即任何类型的个人信息都可以采取约定许可使用模式。其中,人格紧密型个人信息只能采取约定许可使用模式,只能由信息主体主动许可,非经信息主体同意不能商业利用。人格疏远型个人信息对信息主体的身份识别性较弱,与人格尊严关联较远,进行商业利用对信息主体人格尊严影响不大,既可以采取约定许可使用模式,亦可借鉴知识产权法的法定许可使用制度对这种类型的个人信息采取法定许可使用模式。
约定许可使用是指信息主体与信息利用者(包括收集者、加工者、传输者、使用者)之间,信息主体授权信息利用者在一定期限内利用信息,信息利用者付费的一种许可使用模式。参照著作权法的规定,个人信息许可使用权可分为非专有使用权和专有使用权。前者是指使用权人就姓名、肖像或其他个人信息取得一定的使用权,但许可人自己仍可以进行同样的使用或将同样的使用权再许可给第三人;后者是指使用权人就姓名、肖像或其他个人信息取得一定的使用权,许可人无权进行同样的使用或将同样的使用权再许可给第三人。将个人信息财产权许可给他人使用,只能是个人信息财产权中使用权能的转移,财产权的处分权能仍然归属于信息主体,如同所有权人将用益权能让渡给用益物权人,而保留处分权能。许可使用关系建立以后,个人信息人格权并不丧失,一旦信息利用者有侵害信息主体人格权的行为,信息主体有权提前收回信息使用权。为保护个人信息人格权承载的精神利益,信息主体享有对许可的使用权进行影响或干涉的权利——撤回权。这种模式,一方面,使得被许可人获得商业利用上的合理的确定性;另一方面,在特定情况下允许许可人撤回许可,保障了许可人的人格利益不受影响[9]83。
法定许可使用是指信息主体被充分告知后,未经信息主体明确拒绝之前,信息利用者直接对人格疏远型个人信息进行商业利用的许可使用模式。人格疏远型个人信息与人格尊严联系较为疏远,应当借鉴知识产权制度构建个人信息法定许可使用制度,即信息主体与信息利用者双方协商无法达成一致,交易成本过高无效率时,允许利用者先利用,事后应当给予信息主体以补偿。个人信息法定许可使用只是借鉴著作权法定许可利用制度,但二者有所区别。著作权法定许可制度中,著作权人不享有个人参与权,表现为著作权人无拒绝权。而个人信息法定许可利用制度,仍然保留信息主体的个人信息控制权,信息主体有权拒绝他人商业利用。一旦信息主体行使拒绝权,信息利用者应当立即停止利用。中国台湾地区2010年“个人资料保护规定”第20条和中国《消费者权益保护法》第29条有相关规定[注]中国台湾地区 2010 年“个人资料保护规定”第 20 条规定“非公务机关依前项规定利用个人资料行销者,当事人表示拒绝接受行销时,应即停止利用其个人资料行销。非公务机关于首次行销时,应提供当事人表示拒绝接受行销之方式,并支付所需费用”。中国《消费者权益保护法》第29条规定“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息”。。法定许可使用模式,顺应信息时代个人信息商业利用之普遍趋势,能够较好兼顾信息主体人格尊严与信息流通的价值平衡。
(三)个人信息财产权行使形成的权利层次
个人信息财产权人将使用、收益权能分离出去,创设一个物权性质的使用权,服务于商业利用的目的,类似于所有权人将占有、使用、收益权能分离出去创设用益物权服务于物尽其用的过程和著作权人将作品的使用、收益权能分离出去创设著作财产权服务于知识共享的过程。此时,个人信息之上的权利层次应当是“个人信息人格权—个人信息财产权—个人信息使用权”这样的层次结构。这三项权利的关系:第一,渊源关系。三者的渊源关系是信息主体首先对个人信息享有静态、防御性的人格权,信息主体在商业利用动态过程中享有个人信息财产权,信息主体将个人信息财产权中的使用权能许可给他人形成个人信息使用权。第二,效力关系。三者的效力关系包含三个方面:(1)个人信息财产权行使时要尊重人格权,如查询权、修改权、删除权不因财产权行使而受到影响;(2)使用权行使时,使用权人不得侵害信息主体的人格权,表现为一旦人格权益受到侵害,信息主体有权撤回对使用权人的授权;(3)使用权行使时,使用权人也不得侵害个人信息财产权的处分权能,表现为即使将使用、收益权能分离出去,个人信息财产权人仍然保留对个人信息的处分权,个人信息财产权人对使用权人再度转让使用权的行为有反对权,未经信息主体同意,使用权人不得将使用权再转让给第三人。个人信息财产权受到个人信息人格权的限制,使用权同时受到个人信息人格权和个人信息财产权的限制。这种权利层次结构的目的是,不发生个人信息人格权和财产处分权的转让,也不影响个人信息的商业利用,能最大限度地实现个人信息商业利用中双方主体的利益。
在数据经济背景下,全国人大常委会2012年《关于加强网络信息保护的决定》确立的个人信息保护的单边结构不利于驱动信息利用,2017年《民法总则》则没有明确个人信息保护与信息利用的关系。为了促进信息利用,立法应当改变信息主体享有个人信息财产权的单边结构,确立信息主体享有个人信息财产权与信息利用者享有个人信息使用权之间双向动态的结构[27]。个人信息使用权基于合同授权产生,本质是一种相对权。但是,如果能够借鉴所有权人创设用益物权的理论(例如发包人和承包人签订土地承包经营合同,承包人从享有合同债权的相对权,发展为享有土地承包经营权的绝对权,可以对抗第三人),个人信息使用权从相对权发展到绝对权,有利于发挥绝对权对抗第三人的效力。因为个人信息在同一时间可以由多个主体进行使用,如果许可使用权具有绝对权性质,就可以对抗所有未经信息主体授权的信息利用行为。在使用权被侵害时,使用权人无需依赖于信息主体,享有直接地对侵权人的停止侵害请求权,更有利于维护使用权人的利益。如新浪微博诉“脉脉”不正当竞争案中[28],“脉脉”公司未经信息主体授权而收集、利用个人信息,新浪微博认为此行为侵害了自己的信息使用权,以自己的名义起诉“脉脉”公司,主张对方构成不正当竞争。如果不赋予信息使用权为物权性质,新浪微博不能以使用权受侵害主张赔偿,而只能以不正当竞争为由诉请赔偿。如果新浪微博享有绝对权性质的使用权,在“脉脉”公司未经信息主体授权侵害新浪微博使用权时,新浪微博可以自己名义主张使用权受到侵害,减轻举证责任,有利于促进个人信息商业利用的有序进行。因此,确立个人信息使用权的绝对权性质,保障信息利用者的合法利益,有利于促进数据经济的发展。
二元模式下,个人信息财产权可以独立转让,个人信息财产权中的收益权能还可以与财产权相分离,形成“个人信息人格权—个人信息财产权—个人信息使用权”的权利层次,有利于保障个人信息商业利用各权利人合法利益的实现。反之,一元模式下,财产权不能独立行使,不利于财产权的法律保障,也终将不利于推进个人信息商业利用的展开。
四、个人信息财产权的独立保护
(一)独立保护的意义:适应个人信息类型化区分保护的需求
第一,不同类型个人信息对人格的“外在性”意义不同。人格标识逐渐与人格相分离,具有一定程度的“外在性”。学者黄芬主张,“所谓的‘外在性’只是技术发展带来的手段及工具意义上的,它决定了以人格要素为客体的权利只能属于人格权,人格要素所带来的财产价值是人格权权能的体现[29]。笔者认为,个人信息确实是伴随计算机技术、互联网技术的发展而产生了“外在性”,这种“外在性”主要表现为被记录在电子或其他载体上的数据。人格紧密型个人信息,具有较强的身份识别性,此时的个人信息仍然具有较强的伦理性。此时的“外在性”确实具有工具意义,与传统人格要素没有太大差异。但是,人格疏远型个人信息一般很难识别信息主体,例如大数据交易中心交易的数据都是匿名数据,不具有身份识别性,而且可以通过法律与技术控制这种身份识别。这时“外在性”就不是工具意义上的,而是目的意义上的,这正是个人信息这一人格要素与传统人格要素的区别。此时的个人信息所带来的财产价值不是人格权权能的本能体现,而是商业利用需求体现的财产价值。如果没有商业利用的需求,个人信息人格权本身不包含财产权权能。正是由于个人信息对人格的“外在性”意义不同,个人信息之上财产权与人格权的关系不能一刀切,因此有必要对个人信息财产权进行独立的保护。
第二,对个人信息财产权进行独立保护,有利于真正实现人格尊严保护与信息自由的价值平衡[30]。就人格紧密型个人信息而言,未经信息主体同意擅自对个人信息进行商业利用,同时侵害信息主体的人格利益和财产利益,信息主体如果依据一元模式主张人格权受到损害,请求精神损害赔偿,信息主体的财产权益得不到周全保护。就人格疏远型个人信息而言,未经信息主体明确同意擅自利用对人格尊严的损害极小,信息主体甚至会自愿提供个人信息获取对价,如果信息主体没有获得对价,其损害不是侵扰了生活安宁,而是经济损失。如果按照一元模式,只要未经信息主体明确同意擅自利用人格疏远型个人信息都侵害信息主体的人格权,将会导致信息流通不畅,信息自由价值无法实现。只有采取个人信息人格权与财产权并存的二元模式,才能真正保护信息主体权益,促进信息流通。财产权独立保护的最大意义在于赋予个人信息财产利益保护的权利基础,约束或对抗未经许可的个人信息商业利用行为,间接达到保护个人信息人格权的目的,实现人格尊严保护与信息自由的价值平衡。
(二)个人信息财产权独立保护:基于个人信息类型化
第一,人格紧密型个人信息。利用者以商业目的,未经同意擅自利用他人的个人信息,或者权利人撤回授权后继续利用,属于侵害个人信息财产权的违法行为。人格紧密型个人信息擅自被商业利用时,同时造成人格权损害和财产权损害。人格权受到损害,信息主体可以请求行使停止侵害、赔礼道歉、恢复名誉、精神损害赔偿等人格权请求权。财产权受到损害,信息主体可以依据侵权、不当得利、不法管理请求财产损害赔偿。理论上,《侵权责任法》第20条财产损害赔偿条款和第22条精神损害赔偿条款可以并列适用。但是,《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第10条第(四)项将侵权人获利情况作为精神损害赔偿参考因素。信息主体如果依据《侵权责任法》第22条和《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第10条第(四)项,主张参考侵权人获利的精神损害赔偿,同时又依据《侵权责任法》第20条主张以受害人损失或者侵权人获利为标准的财产损害赔偿,如此将导致受害人因一个侵害行为获得两次以侵权人获利为标准的赔偿,违反公平原则。因此,信息主体不能同时选择适用精神损害赔偿和财产损害赔偿。此时,究竟应当适用精神损害赔偿条款还是财产损害赔偿条款呢?
对此,司法实践中有两种判决:(1)判决同时侵害人格权和财产权,但只判决支付精神损害抚慰金和赔礼道歉。法院在“邱xx诉上海xx展览有限公司肖像权纠纷案”[注]浦民一(民)初字〔2010〕5911号民事判决书。中,法院认为“肖像经物质载体客观再现后,具有一定的财产价值”,但法院认为原告没有举证证明实际财产损失,只判决被告支付精神损害抚慰金和赔礼道歉,没有支持原告的财产损害赔偿诉讼请求。在“刘翔诉《精品购物指南》杂志社等肖像权纠纷案”[注]北京市第一中级人民法院一中民终字〔2005〕8144号民事判决书。中,法院认为原告没有举证证明财产损失,因此判决被告承担精神损害抚慰金2万元和赔礼道歉[注]同类案例还有“王雅捷与八福贸易公司肖像权纠纷案”,深圳市中级人民法院深中法民终字〔2014〕135号民事判决书。。(2)判决同时侵害人格权和财产权,但只判决财产损害赔偿和赔礼道歉,不包括精神损害抚慰金。在“张柏芝起诉广西梧州远东美容保健用品有限公司肖像权侵权案”[注]江苏省高级人民法院苏民终字〔2006〕109号民事判决书。中,法院认为原告的姓名、肖像等个人信息直接用于商品宣传,并参照原告举证的同类许可使用费判决被告赔偿财产损害,最终判决被告赔偿100万元并公开赔礼道歉。两种判决的共同点是都承认擅自对他人的肖像信息进行商业利用同时侵害了信息主体的人格权和财产权,分歧在于原告能否举证证明财产损失,如能举证证明实际财产损失,法院支持财产损害赔偿诉讼请求;如果不能举证证明实际财产损失,则不支持财产损害赔偿诉讼请求,转而支持精神损害赔偿。第一种判决的精神损害赔偿数额2万元与第二种判决的财产损害赔偿数额100万元相比较,同类案件的损害赔偿数额实在是相差甚巨。由此观之,司法实践中依据《侵权责任法》第22条和《精神损害赔偿司法解释》第10条确定精神损害赔偿数额时参考侵权人获利的做法只是因举证不能而为的无奈之举。因此,个人信息商业利用财产损害赔偿的法律依据应当是《侵权责任法》第20条,侵害人身权益造成财产损失的赔偿数额,优先考虑受害人实际受到的损失;如果损失难以确定,考虑侵权人获利数额;获利数额不能确定的,最后由法院酌定。《精神损害赔偿司法解释》第10条第(四)项将侵权人获利作为确定精神损害赔偿的参考依据实属对精神损害赔偿与财产损害赔偿的混淆,而且容易导致出现与《侵权责任法》第20条“侵权人获利”的双重适用。因此,建议修改《精神损害赔偿司法解释》第10条第(四)项,删除对“侵权人获利”的参考。此时,个人信息人格权和财产权分别依据《侵权责任法》第22条和第20条获得各自独立的保护。
第二,人格疏远型个人信息。商业利用中,由于人格疏远型个人信息的身份识别性、私密性、敏感性都不强,利用者被信息主体拒绝后继续利用,或者超出法定目的利用个人信息,或者没有对信息主体履行法定补偿义务,将造成财产权损害。司法实践出现对人格疏远型个人信息擅自商业利用不构成侵权、驳回诉讼请求的判决。在“北京百度网讯科技公司与朱烨隐私权纠纷案”[注]宁民终字〔2014〕5028号民事判决书。中,法院认为基于cookies技术产生的个性化推荐服务仅涉及网上活动信息的收集、利用,且使用方式仅为将该匿名信息作为触发相关个性化推荐信息的算法之一,网络服务提供者对个性化推荐服务依法明示告知即可,不构成侵权[注]类似判决有庞某某与趣拿信息技术有限公司等隐私权纠纷一审判决,海民初字〔2015〕10634号。。该判决将个人信息商业利用中产生的财产利益视为人格权的权能,既然信息主体身份识别的精神利益没有被侵害,当然信息主体财产权益也不认为被侵害。显而易见,该判决建立在个人信息人格权一元模式之上,如果不构成人格权侵害将导致信息主体的财产权根本得不到保护。只有采取个人信息人格权和财产权的二元模式,人格疏远型个人信息的财产权才能获得独立的保护。二元模式下,信息主体依据《侵权责任法》第20条主张独立的财产权损害赔偿,即按照“实际财产损失—侵权人获利—法院酌定赔偿数额”的顺序确定财产损害赔偿数额。人格疏远型个人信息商业利用采取“消极同意”的模式,即信息主体未拒绝利用者,视为同意[27]。此时,假定信息主体同意利用并期待报酬,信息利用者应当支付许可使用费,因此许可使用费当然属于受害人损失。如果信息主体无法举证实际损失,就需要举证证明侵权人获利。利用者在利用个人信息的过程中,需要付出劳动,利用者所得并非都是利用个人信息所产生的获利,因此信息主体很难客观估计信息利用者因个人信息的获利数额。为了避免举证困难导致由法院酌定财产损害赔偿数额的后果,可以采纳学者的建议,实行举证责任倒置,由信息利用者举证证明侵权人获利,有利于充分保护信息主体财产权[31]。总之,人格疏远型个人信息财产权受到损害时,不应当因为不构成侵害人格权而得不到法律保护,应当依据《侵权责任法》第20条获得独立的保护。
基于上述分析可知,二元模式可以凸显财产权的独立保护,实现人格尊严保护与信息自由的价值平衡。反之,如果采纳人格权一元模式,两种类型的个人信息财产权都可能得不到充分保护,最终导致个人信息商业利用不能有序推进,这将与中国当前积极鼓励大数据应用的政策背道相驰。
五、结论:独立个人信息财产权的实现
美国的二元模式适用于传统人格要素商业利用的情形,不能完全适用于个人信息商业利用情形。个人信息不同于传统人格要素,不同类型的个人信息对人格的“外在性”意义不同,我们应当基于个人信息的不同类型,采取个人信息财产权独立于个人信息人格权的二元模式,才能实现个人信息财产权的全面保护。独立个人信息财产权的实现包括如下三个方面。
第一,个人信息财产权的独立确认。个人信息不是有体物,个人信息财产权不是物权;个人信息具有伦理性,不是智力创造的成果,个人信息财产权亦不是知识产权;个人信息财产权具有支配权和绝对权的属性,个人信息财产权不属于债权。这项财产权不属于现行财产权体系中的任何一种财产权,而是一种新型财产权,应当单独予以立法确认。2017年颁布并实施的《民法总则》第127条首次承认对数据财产的民法保护,遗憾的是没有规定个人信息财产权。个人信息财产权与数据财产是双向动态的结构关系[28],数据财产的保护不能脱离个人信息财产权的确认与保护。未来《民法典》应当回应大数据时代对个人信息商业利用的普遍需求,在未来《民法典》的总则部分确认个人信息财产权。
第二,个人信息财产权的独立行使。《互联网企业个人信息保护抽样测评报告(2017)》反映互联网企业存在用户只能“同意”其个人信息保护条款,否则将无法使用服务的普遍现象[32]。当前信息主体在与银行、保险公司、电信企业等各行业信息利用者之间的利益博弈中处于弱势地位,信息主体对个人信息处分权、报酬请求权等个人信息财产权的独立行使存在障碍,仅仅依据遵循意思自治原则的合同很难实现个人信息财产权的独立行使。我们既需要刑法、行政法、民法等现行法律制度的保障,而且需要加快制定专门的个人信息保护法。同时,中国还应当借鉴美国网络隐私认证计划(Online Privacy Seal Program)、欧盟“EuroPriSe隐私标识计划”等行业自律制度,督促信息利用者保护个人信息人格权和财产权[33]。只有通过法律规范、行业自律,以及技术措施等全方位的改进与完善,才能保障个人信息财产权的独立行使,促进信息时代个人信息商业利用的顺利推进。
第三,个人信息财产权的独立保护。司法实践中,司法者应当根据个人信息的不同类型,对个人信息财产权进行独立的保护。对人格紧密型个人信息,通过适用《侵权责任法》第22条保护人格权和《侵权责任法》第20条保护财产权,实现人格权和财产权的二元保护。此时,个人信息财产权不应当寄希望于通过《精神损害赔偿司法解释》第10条第(四)项参考“侵权人获利”获得些许补偿,而是名正言顺地依据《侵权责任法》第20条获得独立的保护。对人格疏远型个人信息,通过适用《侵权责任法》第20条保护个人信息财产权,个人信息财产权不再因不构成人格权侵害而得不到独立保护。
总之,个人信息财产权只有被独立确认、独立行使、独立保护,该新型财产权才可以保障个人信息通过市场进行最有效率地配置,实现人格尊严保护与信息自由价值的平衡。
