个人信息的侵权法保护
2019-09-10刘曦
摘 要:随着信息时代的推进,作为重要社会资源的个人信息推动了社会的发展。但同时,对于他人个人信息的泄露、滥用等侵犯个人信息的行为也日益显现,这对个人信息的保护是巨大的障碍。因此,确有必要建立个人信息的侵权法保护体系。个人信息是具有人格属性与财产属性的综合体。通过对个人信息权和隐私权在权利属性、客体、内容等方面的比较,可以看出个人信息必须是可以识别特定信息主体的信息,其根本用途在于“识别”。 侵权行为人存在违法行为、违法行为与损害事实间存在因果关系这两个要素是个人信息侵权的必要构成要件,而是否要求行为人存在的主观过错则需要区分对象为公务机关或者非公务机关。对于个人信息侵权的归责原则,公务机关采无过错责任原则,非公务机关采过错推定责任原则。《侵权责任法》第三章中的相关规定对于个人信息侵权的免责当然适用,但是还须考虑信息主体自身许可、公共安全与公共利益、新闻自由等特殊情形。个人信息权的侵权责任具体承担形式不能完全适用于《侵权责任法》第15条的所有情形,但应当包含停止侵害、赔偿损失、消除影响、恢复名誉、赔礼道歉。
关键词:个人信息;侵权法保护;责任承担
2010年正式施行的《侵权责任法》第2条中规定了要对隐私权进行保护。虽然其中并未将个人信息权作为侵权法上保护的权益,但由于对隐私权的保护和个人信息权有重叠的区域,因此可通过对隐私权的保护实现对个人信息权的间接保护。依照识别性定义模式:能够识别出特定信息主体的信息为个人信息。我国《个人信息保护法(专家建议稿)》第9条中明确了个人信息的概念。
一、个人信息的法律属性
(一)人格属性
个人信息贯穿于人类社会之中,并且与信息主体的人格尊严紧密相连。从个人信息的内涵与所代表着的自然人的人格利益可以看出,个人信息具有人格属性,受到相关人格权法律的保护。伴随信息时代的高速发展,具有“识别”性质的个人信息被广泛利用。但是若不能很好的保护个人信息,自然人的人格尊严必将受损,这也使得人们处于不安全的环境中。基于此,为了更好的保护自然人的人格尊严,为了维系安全的信息环境,对个人信息进行立法保护很有必要。为了保护自然人人格尊严,全球各个国家与地区对个人信息进行了立法保护,抑或者通过对现行法律法规作扩张解释来对个人信息进行保护。个人信息权具有人格属性,保护信息主体的人格利益是个人信息发展的大趋势。
个人信息具有人格属性,其可直接或间接地识别关于信息主体的一系列信息,和特定自然人存在紧密联系。个人信息具有客观性,不以人的意志为转移,这也表现了人格属性。而且,当对信息主体的个人信息进行收集、利用时也与其人格尊严紧密相连。信息主体可对其个人信息进行自由支配。所以,当侵害了个人信息时将对其人格利益进行损害。
(二)财产属性
众所周知,人格权与财产权有着明确的界分。但是伴随社会主义市场经济的发展,某些人格利益经同意许可可被商业利用,因此就具备了经济利益。所以当侵害某些人格利益时可能导致主体的财产损失。人格权与财产权是交互发展的①。因此,人格权和财产权具有相互交融的部分也是无法规避的,二者必然存在着紧密的联系。
伴随信息时代的飞速发展,个人信息已经是商品化的存在,其是人格利益与经济利益的统一体。所以在当今这个信息时代中“人格商品化”已经是不可避免的了。而个人信息的财产化顺应这个大背景,个人信息权也因此具有了财产属性。个人信息权具有财产属性是由于在市场上人们对于个人信息时商业化使用。“个人信息商品化”也是社会主义市场经济发展到一定时期的产物。因为必须为其提供一个客观存在的交易平台,并且个人信息具有商品的各种价值。依据世界各个国家或地区对于个人信息的立法目的可以看出,最初目的是保证个人信息的人格利益,为了信息的自由流通。而伴随着“个人信息商品化”则是更多的保护其财产利益,促使经济效率的提高,也是对商品价值的追求。伴随社会主义市场经济的发展,个人信息的经济价值日益凸显。
由于当今基本没有对个人信息的经济价值进行保护的立法,存在一些不良商家肆意利用信息主体的个人信息,以便获得财产利益。没有相关法律法规进行保护,在司法实践中就存在着大量侵犯信息主体的个人信息的现象。经济市场和社会现实的需求体现了“个人信息財产化”的必要性。承认个人信息具有财产属性的最终也是为了对信息主体进行保护。
二、个人信息与个人隐私的区分
个人信息权与隐私权联系紧密,但二者在权利属性、客体、内容等方面存在着明显的区别。明确两者的区别有利于划分出个人信息的范围,从而保护信息主体的合法权益。
(一)个人信息权与个人隐私权的区分标准
1. 权利属性的区别
个人信息权与隐私权均属人格权范畴,但在权利属性上仍存在一些差异。如前文所指,个人信息权是一种综合了人格利益和经济利益于一体的权利,并非完全的精神性人格权。在当今的社会主义市场经济中,当信息主体为名人时,个人信息的权利属性更多的表现为财产利益。而隐私权的财产利益并不明显,多为人格利益。有学者认为“普通的隐私权主要是一种消极的、排他的权利,但是资讯自决权则赋予了权利人一种排他的、积极的、能动的控制权和利用权”。②基于此可以看出,普通的隐私权是一种消极、排他的权利。而相反的,个人信息权是一种积极、主动的权利。
2. 权利客体的区别
个人信息注重身份识别。这种信息与个人的身份、人格具有关联性,信息直接指向或通过组合指向个人都可认定其具有身份识别性。隐私是指私密信息或私人活动。只要是个人不愿意被公众所知晓的部分即可成为个人隐私。因此,只要是应当在一定范畴内为社会特定或者不特定的人所知晓的个人信息都无法纳入隐私权的范围里③。个人信息侧重“识别”,大多为固定的信息模式,且其可被反复使用,一般被侵害后可以恢复原状。而隐私多以私密信息或私人活动展现,一经披露无法恢复。
3. 权利内容的区别
个人信息权主要表现为信息主体基于自身的意志对个人信息进行决定与支配。其权利内容包含个人信息知情权、更正权、删除权等。而隐私权侧重于“隐”,其权利内容包含私人秘密、个人生活安宁等。
(二)个人信息的范围
基于前文对个人信息与隐私进行的对比,我们可以划定个人信息的范围。
个人信息必须是可以识别特定信息主体的信息,其根本用途在于“识别”。此处的识别可分为直接识别和间接识别。直接识别即单独的个人信息就能确定个人的身份;间接识别即单独的个人信息无法确定个人的身份,需多个信息组合共同进行关联识别。个人信息的主体仅为自然人,不包含法人、非法人组织等。这是由于法人、非法人组织等的一些信息本身就应当被公众所知晓,而其不具有公示性的信息已被相关法律法规所保护,因此并无必要将其化入个人信息的主体范围。
三、个人信息侵权的构成要件
侵权行为人存在违法行为、违法行为与损害事实间存在因果关系这两个要素是个人信息侵权的必要构成要件,而是否要求行为人存在的主观过错则需要区分主体。且本文认为损害事实与结果并非判定个人信息侵权的必然要件,只要存在个人信息被泄露、使用的行为,而非事实与结果。
(一)行为人的过错
一般来说,侵权行为人的主观态度对于判定是否构成侵权起到关键作用。但是侵权行为人的主观过错是否作为判定个人信息侵权的要素,应当按主体来进行区分:若公务机关对个人信息存在损害行为,此时并不需要考虑公务机关是否存在过错,主观过错并不是判定其是构成个人信息侵权的要素;若侵权行为人为非公务机关时,要对其侵权行为进行判定就必须要求其存在故意或者过失等过错。但是需要注意的是,只要导致了公益性群体事件时,不论主体是公务机关还是非公务机关,都不需要考虑其是否具有主观过错。
(二)存在违法行为
存在违法行为是个人信息侵权的构成要件,此时违法行为可分为不作为违法与作为违法。不作为违法是由于信息持有者的消极态度导致的,在主观上无故意。例如:信息持有者在对个人信息进行保管、利用时,未对其进行加密保护,从而使得信息主体的个人信息被肆意散布,侵犯了其个人信息权;信息持有者并未对信息主体作出相关的提示说明,导致了信息主体的信息变更权等受到了侵害。作为违法是指侵权主体积极主动地侵害信息主体的个人信息,导致了信息主体的现实损害。例如:在没有经过信息主体的许可同意时对其个人信息进行利用、散布;利用不合法的手段对信息主体的个人信息进行利用、传播等从事营利活动,损害信息主体的合法权益。
(三)违法行为与损害间存在因果关系
一般来说,责任承担的程度由因果关系来决定。对于侵犯个人信息的违法行为与造成的损害之间存在因果关系是个人信息侵权的必然构成要件。侵犯个人信息的责任承担范围由因果关系的联系程度来决定。当发生的条件与造成的结果相当的情况下必然存在相应的因果关系,因此侵权人无需承担超过相当原因而导致的损害结果。并且,在司法实践中,违法行为与损害间是否存在着因果关系由法官的主观判断来决定。因此利用公序良俗等原则可以客观把握是否存在因果关系。
四、个人信息侵权的责任承担
对于个人信息的侵犯我国有一些侵权责任的规定,但是并未明确规定责任承担、主体界定等问题,所以也造成了司法实践的困惑。因此,应当明确个人信息侵权的归责原则、免责事由、责任承担形式等问题。
(一)归责原则
一些国家或地区的相关法律法规对于个人信息侵权的归责原则作出了规定。从中国台湾地区的《电脑处理个人资料保护法》第27、28条的规定可以看出:公务机关对个人信息进行侵犯时承担过错责任;非公务机关对个人信息进行侵犯时承担过错推定责任。由此可见,对于个人信息侵权的归责原则要区分公务机关与非公务机关。在我国的司法实践中关于个人信息侵权的归责原则也须在对象上进行区分。当公务机关侵犯了个人信息权时采无过错责任原则,这是基于维护公务机关的公信力所决定的,而且当对象为公务机关时信息主体的举证难度较大。为了维护信息主体的合法权益,进行风险分配,此种情形采无过错责任原则。当非公务机关对信息主体的个人信息造成损害时,采过错责任原则,但举证责任倒置。即适用过错推定责任原则。只要信息主体能够证明所受损害是侵权人的行为所导致的,就推定侵权人存在主观过错从而承担相应的民事責任④。这也是为了解决信息主体与信息持有者之间的利益矛盾。
(二)免责事由
《侵权责任法》第三章中的相关规定对于个人信息侵权的免责当然适用,但是还须考虑以下一些特殊情况:
1. 信息主体自身许可
欧盟的专门立法《数据保护指令》中就有关于“数据主体的同意”的免责事由。在不违背公共秩序、善良风俗与不违反相关法律法规时,信息主体对于其个人信息具有自由决定的权利。在采集信息时,采集者对于信息主体的信息关于收集、利用等问题作出了详细的说明,且信息主体就此表示许可同意,此时采集者不应当承担个人信息的侵权责任。
2. 公共安全与公共利益
由法律规定的相关国家机关在严重损害公共安全、利益的情况下对个人信息的收集、利用等批准,此时事前不需要信息主体的许可。这也是基于个人信息利用的特别的目的。此时虽然损害了信息主体的个人信息自由决定权,但是为了维护公共安全与公共利益,一些针对个人信息数据的行为应该从个人信息保护法中得以免责⑤。当个人利益与公共利益发生矛盾,应当把公共利益放在首位的同时也尽力对于个人信息进行合法保护、利用。
3. 新闻自由
“新闻自由是公民的基本自由之一”。⑥《民法典侵权行为法(专家建议稿)》第113条中规定了不够成新闻侵权的若干情形。新闻的价值在于保证社会群众对于公共事务所享有的知情权,所以极有可能在新闻中侵犯了信息主体的个人信息权。因此,应当规定当新闻工作者非故意或重大过失对社会事件进行报道时,可合理利用信息主体的个人信息。为了保证新闻的真实性,保障社会群众的知情权,此时可免除新闻工作者的侵权责任。
(三)侵权责任具体承担形式
当发生了个人信息被侵害的情形时,信息主体可到法院提起民事诉讼或者直接向侵权行为人请求救济。对于个人信息权的侵权责任具体承担形式肯定在《侵权责任法》第15条规定的责任承担方式之中,但并不能完全适用,应具体包含以下几种:
1. 停止侵害
当行为人正在对信息主体的个人信息进行侵害时,此时信息主体可依法请求侵权人停止侵害。对于其适用的情形是:侵权行为已发生,信息主体受到了一定的侵害,并且此行为仍然在继续实施,或权利人有理由可以推定此行为还会被重复的实施。此时法院应当支持信息主体对于侵权人停止侵害的请求。但不适用于已经实施完成或者尚未开始实施的对于个人信息的侵权行为。
2. 赔偿损失
一般来说,个人信息侵权行为可能造成信息主体的财产、精神损害。当侵权人对于信息主体的个人信息造成了财产性利益的损失,侵权人就应当承担财产损害赔偿的责任。因为个人信息权属于人身权,所以对于损害结果的赔偿大多为精神损害,因此信息主体在主张损害赔偿问题上,填补损害是关键,为了让权利状态回赴到与损害发生前一致⑦。因此当信息主体的个人信息发生损害,如果其感到精神的痛苦,且已经符合精神损害赔偿标准,那么对于他的精神损害赔偿请求法院应该支持。另外,对于赔偿数额的判断应当考虑到侵权人的获利情况、受害人的实际损失和法院依据具体情形酌定。
3. 消除影响、恢复名誉
当信息主体的个人信息被侵权人用不合法的手段进行泄露、使用时,可能侵害到其人格利益,将会对信息主体的名誉造成不良后果。因此,信息主体可以要求侵权人承担消除影响、恢复名誉的责任。一般来说,由人民法院对消除影响、恢复名誉的内容进行事前审查,且其范围须和由侵害行为所导致的后果保持一致,最后进行公开。
4. 赔礼道歉
当侵权人对信息主体造成了精神损害,此时信息主体可以要求侵权行为人对此赔礼道歉。一般来说赔礼道歉是减轻甚至消除对于信息主体的精神损害的一种手段。信息主体在大范围的的社会评价中受到相对较大的精神损害时,侵权行为人需进行书面道歉;若在小范围的社会评价中受到相对较小的精神损害,进行口头道歉即可。在司法实践中,为了更好地保护信息主体,赔礼道歉的场合视情况而定。若关乎敏感信息可依照信息主体的要求或在非公众场合进行。若侵权行为对个人信息权与个人隐私权都造成了侵害,侵权竞合时,信息主体可以选择对自身更为有利的方式进行主张。
注 释:
① 洪海林:《个人信息的民法保护研究》,西南政法大学博士学位论文,2007年3月,第41页。
② 杨立新:《侵权法热点问题法律应用》,人民法院出版社2000年,第419页。
③ 齐爱民:《拯救信息社会中的人格:个人信息保护法总论》,北京大学出版社2009年,第79页。
④ 王利民:《民法》,中国人民大学出版社2000年,第124页。
⑤ 周漢华:《中华人民共和国个人信息保护法(专家建议稿)及立法报告》,法律出版社2006年,第92-93页。
⑥ 甄树青:《论表达自由》,社会科学文献出版社2000年,第56页。
⑦ 曾世雄:《损害赔偿法原理》,中国政法大学出版社2001年,第15页。
参考文献:
[1] 杨立新.侵权法热点问题法律应用[M].北京:人民法院出版社,2000:419.
[2] 齐爱民.拯救信息社会中的人格.个人信息保护法总论[M].北京:北京大学出版社,2009:79.
[3] 王利明,杨利新.侵权行为法[M].北京:法律出版社,1996:27.
[4] 王利民.民法[M].北京:中国人民大学出版社,2000:124.
[5] 萨莉·斯皮尔伯利.媒体法[M].周文译.武汉:武汉大学出版社,2002:317.
[6] 周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法报告[M].北京:法律出版社,2006:92-93.
[7] 甄树青.论表达自由[M].北京:社会科学文献出版社,2000:56.
[8] 王利明.人格权法的发展与完善[J].法律科学,2012,(4):166.
[9] 洪海林.个人信息的民法保护研究.西南政法大学博士学位论,2007,(3):41.
[10] 齐爱民.中华人民共和国个人信息保护法示范法草案掌者建议稿[J].河北法学,2005,(6):2.
[11] 齐爱民.美国信息隐私立法透析[J].时代法学.2005,(2):109.
[12] 谢青.日本的个人信息保护法制及启示[J].政治与法律.2006,(6):152-156.
[13] 王泽鉴.人格权的具体化及具保护范国·私权篇(下)[J].比较法研究,2009,(2):9.
[14] 姚辉.论人格权法与侵权责任法的关系[J].华东政法大学学报.2011,(1):107.
[15] 余筱兰.信息权在我国民法典编纂中的立法遵从[J].法学杂志.2017,(4):22.
作者简介:刘曦(1995- ),女,江西赣州人,江西理工大学17级民商法学研究生。