论《民法总则》第111条个人信息保护的法益立场

2019-01-24李倩

重庆邮电大学学报（社会科学版） 2019年1期

李倩

(西南政法大学民商法学院，重庆 401120)

一、《民法总则》中个人信息权利外观缺失引发定性争议

自个人信息保护问题进入民法学者的视野以来，关于个人信息权或个人信息权益的学术研究主要集中于本体论、救济论和立法论三个方面。迄今为止，其争议仍远远大于共识。面对社会需求以及学界呼吁，《民法总则》第111条(以下简称111条)开创先例，明确在民事权利一章中写入“自然人的个人信息受法律保护”，结束了个人信息保护规定散落于公法或司法解释中零碎条文的现状，成为个人信息民事保护领域的基本规范依据。但由于现阶段相关理论研究中争议仍然较大，且社会生活中的个人信息保护问题尚难以被精确地归纳提取，加之“宜粗不宜细”的立法理念，该法条内容较为笼统且未建立实质性规则。这种立法方式虽留下足够的解释空间以契合未来社会生活的发展，但目前确实容易引发理解上的分歧。其中一个基本分歧在于，111条究竟是将个人信息作为法益抑或是权利进行保护。这表面上是对个人信息保护形式的争议，但实际上，对这一问题的学理解释关乎个人信息所负载的权益在权利谱系中的定位以及个人信息保护的立法价值，因此颇值深入探讨。

对此，学界主要有两种意见：以王利明教授、龙卫球教授等为代表的学者认为该条“没有将个人信息作为一项具体人格权利”[1]、“没有简单以单纯民事权利特别是一种人格权的形式加以规定”[2]；以杨立新教授为代表的学者认为“《民法总则》第 111条规定的个人信息，就是规定的自然人享有的具体人格权之一”[3]。该分歧产生的直接原因在于，虽然111条的字里行间都指向了对某一权益的保护，但立法者在该条款中始终没有提及“权”这一字眼，没有明确确立“个人信息权”的概念。在《民法总则》第五章对其他既有法定民事权利的表述中，如“生命权”“名誉权”“婚姻自主权”“物权”“债权”以及“知识产权”等，无一例外地赋予它们以权利的外观。而在111条，其“明文化不彻底”[4]，“个人信息权”的概念却没有出现。这样的差别给了学者们解释的契机，而解释方向的不同主要源于学者们对该条的立法目的、个人信息保护的价值追求理解不一。笔者认为，对于111条没有赋予个人信息保护以权利外观的事实，与其说是立法者无意间的遗漏，毋宁说是特意的“留白”，以明确区分合法权益与法定权利的法律表达。下文将结合111条在司法实践中的援引状况及其立法过程、社会基础，剖析111条的“法益立场”及其意义。

二、司法实践中个人信息侵权难以独立发生

截至2018年3月底，111条的实施恰好历时半年。对于这一概括性较强的新法条，“司法上类型化积累”[5]尤为重要。笔者在中国裁判文书网以“《民法总则》第111条”为关键词进行全文搜索，共得到裁判文书25份[注]在其中有些案件审结时，《民法总则》已颁布，但尚未生效，因此在判决书中仅仅为说理依据，而非最终裁判依据。表1中的案例1即属于这种情况，但因其具有较强的典型性和代表性，本文也将其列为分析样本之一。。经过对文书内容的筛查，其中19份裁判文书中的案情与个人信息保护无关，不排除是法官在援引时的笔误[注]参见辽宁省本溪市中级人民法院(2018)辽05民终429号、方正县人民法院(2018)黑0124民初170号、定南县人民法院(2018)赣0728民初65号、岫岩满族自治县人民法院(2017)辽0323民初3035号、北海市银海区人民法院(2017)桂0503民初1470号、巴中市巴州区人民法院(2017)川1902民初3734号、武汉东湖新技术开发区人民法院(2017)鄂0192民初4164号、来安县人民法院(2017)皖1122民初731号、清徐县人民法院(2017)晋0121民初598号、常宁市人民法院(2017)湘0482民初1481号、武汉东湖新技术开发区人民法院(2016)鄂0192民初3457号、开封市中级人民法院(2017)豫02民终2828号、荥阳市人民法院(2017)豫0182民初6050号、南阳市宛城区人民法院(2017)豫1302民初866号、永兴县人民法院(2017)湘1023民初2317号、武汉东湖新技术开发区人民法院(2017)鄂0192民初2482号、武汉东湖新技术开发区人民法院(2017)鄂0192民初2480号、武汉东湖新技术开发区人民法院(2017)鄂0192民初2476号、南阳市宛城区人民法院(2017)豫1302民初788号民事判决书。，在本文中不作为分析对象。其余6份裁判文书均以个人信息保护相关问题为主要争议点，其中涉及的5个案例为民事审判案件，另外1例为行政审判案件。具体样态如表1所示。

表1 《民法总则》第111条的司法适用列表

续表

由于111条实施的时间尚不够长，得到的案例样本不够丰富，远未穷尽所有的相关社会现状，但其作为民法典时代开端的个人信息保护缩影，从中也能够窥见一些初步结论。

第一，在概念的使用方面有所不同。与案例5不同，案例2和案例3的法院在解读111条时，捕捉到的是“个人信息权”的概念，并明确写入裁判文书。笔者认为，对这一争议问题，裁判文书仅代表法官的个人观点，而且对此理解的不同也确实没有影响到该案件裁判的公正性，本文不赘。但学术探讨不应满足于个案的公平，应着眼于科学解释条文，使其更为契合社会的整体发展。故此，下文将继续探究111条的真实意图。

第二，侵权行为形式单一。虽然111条罗列的侵权行为方式包括“收集”“使用”“加工”“传输”“买卖”“提供”“公开”七种，且其后没有“等”字，为完全列举，但从目前的民事裁判文书内容来看，现有个人信息纠纷主要是由因个人信息的“公开”行为而引发，在方式上远远少于111条列举中的七种侵权形式。究其原因，社会实际生活中个人信息的非法“加工”“买卖”等行为都是由一定的组织操控且秘密进行，并且是以牟利为目的、大批量处理个人信息的行为，往往难以被个人信息的产生主体所知晓；且这类行为游走于刑事犯罪的边缘[注]《刑法》第253条之一规定了侵犯公民个人信息罪：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第1款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。，侵权主体一般很难被受害人找到并提起诉讼。而能被信息主体所发现的主要是个人信息的“公开”行为，但这类行为又难以与侵犯隐私权的行为划清界限。这一现象在反映出111条当前实用性不足的同时，也勾勒出法律规制个人信息侵权的目的可能是指向一个放射状的“利益束”，但却没有一个明确集中的利益指向，与传统的人身权、财产权、甚至知识产权都有显著差异。

第三，个人信息权独立性存疑。如前文所述，援引111条的侵权纠纷中涉及的主要是“公开”个人信息的行为，且根据法院的裁判，侵犯个人信息或个人信息权都没有独立发生，而是往往伴随着对侵犯隐私权的认定。虽然案例5是一个例外，但该判决本身实际上有一定问题，“冒用原告个人信息为他人提供担保”实际上是侵犯姓名权的行为，但法院将其认定为“侵犯个人信息”，实际上不符合111条的规定，但这可能是因当事人在起诉时的错误请求所致，此处不再赘述。较为典型的是案例2和案例3，案件事实中的“在微信平台推送”“在小区围墙粘贴”和“在微信转发”都属于公开个人信息的行为，法院也都认定行为人同时侵犯受害人的个人信息权和隐私权。此处涉及个人信息和隐私信息的界分问题，虽然学界对两者准确的价值指向都有较大争议，但基本认为隐私权和个人信息保护的价值截然不同，前者主要指向“排除干预”“隐瞒私人秘密”或“生活安宁”[6]，后者被认为旨在保护“个人自决”或“人格尊严”[7]。然而在事实判断上，却往往难以划清两者的范围界限。个人信息虽以“可识别性”[8]为特征，但隐私的概念越来越依照美国“合理隐私期待”[注]该标准是在美国联邦最高法院1967年Katz v.United States案确立的，即在衡量是否属于隐私范围时，判断个人是否对该事项享有主观的隐私期待，以及社会是否认可他的隐私期待是合理的。(参见389 U.S.347 (1967))标准进行判断，这使得隐私概念不断扩张，个人信息权益的独立性大大克减。以致几乎所有涉诉的个人信息都可以被解释为隐私信息，这也造成了长期以来司法实践中个人信息相对于隐私保护的“附属”[9]地位，111条的实施也未能改变这样的现状。即使在理论上确实存在不属于隐私信息的个人信息范畴，但要么因其过于一般化、知悉人数太多而无法认定侵权主体，要么因涉及个人信息批量买卖的犯罪行为而难以觉察侵权行为的发生，因此111条在出台后鲜有用武之地。这在根本上还是因为个人信息所指向的权益非常不明晰，如无根之木，难以独立于民事权利群。

三、一般理论遁入111条使其沦为“空心”转介条款

作为对一项新权利或利益保护的条款，111条没有真正阐明个人信息权的独特内涵与外延，这远远不能算是确立了一个法定民事权利。在1986年的《民法通则》中，对于新中国成立后首次入法的民事权利，如其第100条的肖像权、第101条的名誉权，几乎都是通过直接阐明侵权内容，并以此划定权利范围的正面释义方式进行规范。但111条与此明显不同，该条实际上没有直接载明侵犯个人信息行为的具体表现，虽然罗列了七种行为方式，但是前面却加上了“非法”这样的间接限定词。111条由此成为转介条款，其意义几乎变成了对已经违反其他法律中个人信息保护规定的行为加之民事责任的法律依据。

目前看来，该条中“非法”的“法”主要包括《刑法》《消费者权益保护法》《网络安全法》《公共图书馆法》《测绘法》《旅游法》《社会保险法》《统计法》《护照法》以及《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等，其中既有关于一般公民或组织处理其他人个人信息时的禁止性规定，也有特殊机关或团体及其工作人员，如公共图书馆、地理信息生产及利用单位、互联网地图服务提供者、旅游经营者、社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构、统计机构、护照签发单位等对个人信息处理的行为限制规定。然而，即使没有111条，根据违反保护他人法律的过错认定理论，依据《侵权责任法》第6条第1款，依然可以对前述其他法律规定的违法行为追究民事责任。只是111条的转介作用更为直接，且因为其他法律法规中的个人信息保护条款非常易于识别，111条几乎起着接近于引致条款的作用，更大程度上减轻了当事人对过错的举证难度，甚至“在特定情况下转变为过错推定责任”[10]。

但无论如何，学界一般认为违反保护他人法律的侵权责任在理论上应是一种一般意义上的独立侵权责任类型，其保护的客体不应具有特定性。换言之，应该在民法典侵权责任编中设置违反保护他人法律的侵权责任的一般条款，涵盖所有的合法民事权益，一方面，更好地实现公法与私法的内部衔接；另一方面，作为保护非法定民事权益的经典依据。从这一角度来看，111条规定的“非法”要件实际上是违反保护他人法律的侵权责任的一般理论遁入个别条款的结果，而且该一般理论几乎成为该个别条款的全部内涵，这无异于抹杀了111条的独立价值，使其成为“空心条款”，除非其中的“非法”指向将来专门的个人信息保护相关立法，且该法中能够厘清“个人信息权”的独特内涵。

但与学界所称“祭奠利益”[11]保护等有所不同的是，111条把之前没有法律规定的、需要法官做个案衡量的个人信息利益，通过对侵权认定时“抽象而模糊”的过错加以“扩张或细化”[12]，从而上升为有法律明文规定的合法利益，类似于对法律保护的胎儿利益、死者人格利益的保护方式，这样也不失为一种对个人信息保护的强调方式。同时，“非法”的内涵具有开放性，作为民法典总则的条文，在当前信息社会中尚未充分暴露个人信息保护的问题，但又需要有为今后这方面的立法做一定准备的阶段，运用法益的保护模式而不去过早地对所谓的“个人信息权”盖棺定论，更是一种睿智的缓冲。

四、负载“工具性法益”的个人信息保护旨在实现“安全”价值

(一)德国个人自决权不宜作为我国个人信息保护价值

如前文所述，从我国学者开始研究个人信息保护至今，有较多学者认同个人信息保护价值是“滥觞于德国的个人信息自决权”[13]，并认为“对个人信息进行保护是个人信息自决权的必然要求”[14]。个人信息自决权强调自然人对其个人信息收集、使用、加工等处理过程的决定和控制，其来源于德国1969年和1983年的人口普查案判决。然而，在今天看来，个人自决权的正当性有待考证，有学者已对其成为民事权利的理论基础提出明确质疑，认为其将保护对象确定为社会公众无法识别的“保密意志”，并把人格权完全“去客体化”[15]，而几乎全凭信息主体的主观意愿作为个人信息值得保护与否的标准，这必然存在权利边界不清、保护范围过大的问题，不适合作为一个规范权利或法益的保护基础。

“知情-同意”机制是实现个人信息自决的重要方式[16]，它以授权自然人控制个人信息为目标，在1980年经合组织《隐私保护和个人数据跨境流通指南》和1995年欧盟《关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/EC/号指令》中予以确立。但近年来，诞生于20世纪的“知情-同意”规则在信息技术呈指数提高的21世纪开始暴露其局限性。一方面，目前很多情境下自然人对个人信息收集和处理要么无能为力，要么漠不关心，“知情-同意”机制往往被束之高阁。由于信息收集、处理的成本降低，自然人常常在无意中成为公共机关和私人机构大批量采集信息的对象，公私视频监控几乎无处不在，快递实名制、电话号码实名制等个人信息收集政策不断出台，同时社交网站收集了大量用户信息，个人也乐于将信息通过自媒体与外界分享，所以很多情形下让自然人意识到自己的个人信息正在被收集，并且特意表示同意实际上没有必要。另一方面，对于违法的信息收集，尤其是流水线化的违法信息加工和交易行为，自然人根本无从知晓，更毋庸说“同意”。而这样一来，“知情-同意”机制应用最多的情形便是在需要收集消费者个人信息的商业场景。然而，在这种场景，“同意”常常是取得网站访问、App下载和使用等权限的前置条件。换言之，“同意”成为享受日常信息服务的必要前提，实际上消费者除了交出个人信息别无选择，“知情-同意”机制在其主要阵地却几乎形同虚设，冗长的隐私保护协定变成“僵尸条款”[17]，且无谓增加企业设置用户协议中隐私条款的运营成本。因此总体来看，个人信息处理之前知情与同意的高成本正在成为制约数据价值开发的重要掣肘，也正因其不现实性而导致难以落实，所以它实际上无法为自然人个人信息保护提供实质性保障，目前这一机制的实施变得“捉襟见肘”[18]。对此，美国采取了更为务实的态度。在其2015年发布的《消费者隐私权利法案(草案)》[19]中，“知情-同意”规则不再被作为信息处理的必须规则，取而代之的是以具体场景(context)中的隐私风险(privacy risk)评估作为判断隐私信息是否被正当处理的标准。尽管“隐私风险场景评估”理论的弹性也增加了隐私信息保护的不确定性，但相比于几乎“已然失效”[20]的“知情-同意”机制，前者从保护个人信息主体“想象中”的绝对控制权，转而重视控制个人信息的合理利用，更符合信息社会的发展趋势。

我国此前相关法律法规也对“知情-同意”机制有类似规定，在多部规范性文件中提及个人信息处理前的“同意”规则，不过由于“知情”是“同意”的前提，也可将其视为对“知情-同意”机制的规定。在公私法交叉的领域，我国2016年《网络安全法》第22条第3款、第41条第1款、第42条规定了网络运营者对其收集、使用、向他人提供用户信息之前的同意规则；同时，我国多个部门规章写入了同意规则，国家质量监督检验检疫总局2012年发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》多款条文提到个人信息主体的同意，并明确规定“个人同意原则”，即“处理个人信息前要征得个人信息主体的同意”，作为“个人信息管理者在使用信息系统对个人信息进行处理”时的基本原则之一。另外，工业和信息化部2013年发布的《电信和互联网用户个人信息保护规定》第9条第1款，国务院2017年发布的《互联网跟帖评论服务管理规定》第5条第2项也规定了类似的个人信息处理条件。但在民事领域，仅有2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1款提到了“同意”，但此处的“同意”并不是作为个人信息处理者在处理信息之前的必要条件，而是网络用户或者网络服务提供者利用网络公开自然人个人信息造成损害并承担侵权责任的免责事由之一。从文意解释来看，可以认为即使个人信息处理者在之前没有征得自然人同意，但公开该个人信息的行为没有造成损害，即可被认为没有违反个人信息处理的行为标准；而公开个人信息的行为尚且可以如此，那么较之对信息主体影响更小的使用、加工等行为更无须全部征得自然人同意，这样的规定不啻于放宽了个人信息处理的授权标准。

对个人信息自决权的强调实际上是片面关注个人信息之上的人格利益和财产利益的结果，而忽视了其固有的“社会价值”和“公共利益”[21]。如今，网络在吸收海量个人信息的同时也为不特定公众提供了巨大的资料库以供搜索，个人在让渡一部分对其个人信息的控制权时，也同样地作为信息产品的享受者，从这个意义上说，信息正在变成“公共产品”。而在这一过程中，对个人信息自决权的支持实际上是在逆势地孤立地看待个人在整个网络社会中的定位。换言之，个人信息控制权的旁落已经成为必然。也正因个人信息的社会性，“对个人信息处理行为的规制应是防止滥用，而非严格保护”[22]。若依照个人信息自决权理论过于强调对个人信息的控制，实则更容易“使信息利用之路闭塞，羁绊互联网的发展，且容易使隐形交易猖獗”[23]。即使是在个人信息保护上素来持严格态度的欧盟，也在其2018年5月25日实施的《数据保护通用条例》(General Data Protection Regulation)第1条第3款中载明，个人数据在欧盟内的自由流通，不应因与个人数据处理有关的自然人保护被限制或禁止[24]，这已经在“不经意间”作出了选择——在必要时候自然人保护须让位于数据自由流通。

(二)《民法总则》111保护个人信息的目的在于安全

从111条的立法过程来看，“徐玉玉案”的发生起到了不可否认的推动作用。该条在民法总则最初的草案中并没有出现，即使是2016年6月的《民法总则(草案)》“第一次审议稿”文本中也没有载入个人信息保护的相关条文[25]。2016年8月，作为2016年中国“十大法治影响力事件”之首的“电信诈骗致徐玉玉死亡案”发生，并在社会上引起极大震动，个人信息安全问题已经到了不容忽视的地步，民众和立法者都开始重新反思个人信息保护的意义。在此背景之下，民法总则其后的修改稿、审议稿中即出现了个人信息保护的相关条文，并在立法过程中作出数次修改完善，最终产生作为定稿的《民法总则》第111条。在该条的具体内容中，“确保信息安全”的呼声没有被隐藏于文本表述背后，而是被直接写入条文作为信息获取者的民事义务。虽然这是一项比较笼统的义务，但切中肯綮，对个人信息控制或个人信息自决权只字不提，而是明确提出我国保护个人信息的目的在于维护信息的安全，进而通过信息安全的屏障保护自然人的人身、财产利益不受侵害。

在《民法总则》中，“安全”一词共出现两次，一是第86条营利法人社会责任条款中的维护“交易安全”，二是第111条中的“信息安全”。这两个条款都带有介于公私法之间的社会法意味，不再仅着眼于平等个人之间的民事法律关系，而是着重对影响范围广的行为予以规制。虽然“安全”未被写入民法基本原则，但其向来是民法所追求的目的性价值之一。与直接保护人的羞耻之心的隐私权不同，信息安全像是一个阀门——一般的个人信息本身并不带有值得关注的人身或财产利益，但一旦该信息被非法处理，将对信息主体产生一系列负面影响，而且这种非法处理行为的对象往往是不特定的，具有广泛的负面效果。因此，个人信息作为一种类似于绝对权、对世权的法益，111条不仅从本体论的角度对不特定的信息获取者规定了“依法取得并确保信息安全”的义务，也从救济论的角度完全列举了七种“非法”处理个人信息的侵权行为，都是将个人信息作为一种“媒介”或“工具”予以保护，并最终指向具有社会利益的“信息安全”。同时，这样的规定不仅立足于当下社会环境，而且因“非法”具有较大的解释空间，且将来的立法必然会对“非法”的内涵不断地加以丰富，111条便成为一项开放式法条，在个人信息保护领域将具备独特的时代性与包容性。

五、结论

当前学界围绕个人信息保护的探讨尚未完全走出将其作为一个“目的性权益”的误区，这也是有些学者仍将111条解释为个人信息权利化依据的重要原因。实际上，基于信息的社会价值和信息作为交流方式的全局性变革，个人对其信息的控制权日渐旁落，且这种控制权的移转不一定是被动化、强制化而趋向主动化、契约化，个人信息自决权变得不必要也不可行。除了价值追求上的偏差，“个人信息权”难以划定其客体范围，现有对隐私信息、肖像信息、商业秘密等对象的保护已基本占领了个人信息的范畴，且前述111条的司法适用样态也已证明这一点。因此，即使新设“个人信息权”，其“势力范围”[26]也异常狭小，不啻于是画蛇添足，引起没有必要的权利泛化。

鉴于以上，对111条较为妥当的解读为：第一，回归文意，个人信息采法益保护路径；第二，个人信息保护的目的价值在于安全，不在于个人信息自决；第三，个人信息之上负载“工具性法益”，而无“目的性法益”；第四，111条为开放型法条，以“非法”一词总括侵犯个人信息的过错认定，以便适应迅速发展变化的信息利用与保护具体场景。另外，在落实作为民法典“公因式”的总则内容时，学界和立法者目前对111条的处理还存在争议。但将来无论是在侵权责任编或人格权编，抑或是专门的《个人信息保护法》中再规定个人信息民法保护的细节内容时，都不应背离111条的立法目的和我国的个人信息保护与利用现状，以维护信息安全为目标，合理制定个人信息保护标准。