《民法总则》“个人信息”之权利确定

2020-02-26郝源

陕西青年职业学院学报 2020年2期

郝源

(西北政法大学陕西西安 710063)

一、问题的提出

个人信息安全近年来一直在风口浪尖上，是人们热议的话题之一。2016年，山东高考考生徐某某在等待升学的时候遭受了电信诈骗，徐某某最终因该诈骗而突发死亡。该案犯罪嫌疑人杜某通过技术手段获得了2016年山东省高考报名的考生信息，其中包括徐某某的信息。然后其向他人非法出售个人信息，犯罪嫌疑人陈某购得该信息后实施了诈骗活动，导致了悲剧的发生；2017年，支付宝“个人账单”事件。当人们在查阅支付宝年度账单的时候，在账单首页偏下有一行小字“芝麻服务协议”，并且已经默认同意该协议。该协议内容包括允许支付宝将其已经收集的信息授权给其他合作伙伴，可是查看支付宝年度账单却与该服务协议没有必然关联。可见其目的就是秘密地收集、利用用户的相关信息。愈来愈多的个人信息安全事件揭示着个人信息的保护亟待提升。现代互联网高速发展的背景下，信息的交流传播日趋频繁，个人信息的保护也受到了巨大挑战。手机上所使用的各种APP都会在一定程度上收集用户的个人信息，例如手机号、微信号、地理位置信息、通讯录信息、运动数据、浏览记录等。同时数据企业在获取这些数据后往往会对数据进行整理，分类，储存，传播，从而实现自身的经济利益。这一运行模式使得公民的个人信息遭受侵犯的可能性大幅提升。如何在民法的框架下切实保护公民的个人信息是我们当前亟待解决的。

二、个人信息之权利确定

《民法总则》中第111条“个人信息条款”的权利探析，首先要解决的问题是什么是权利。王胜明曾说：“我一直在努力学习如何将权利与利益划分清楚，但我还没有看到一本教课书清楚的划分什么是权利、什么是利益”。可见权利和利益是紧密联系的，难以区分。而且随着社会的发展、时间的演变人们关于权利与利益的认识也在逐渐发生改变。例如隐私权，在我国1982年施行的《民法通则》当中并没有对其规定，在当时隐私权也不是我国公民享有的法定权利。然而在之后的立法实践当中，法律体系中逐渐引入了隐私权概念，最终在2009年施行的《侵权责任法》中确定了隐私权，成为一种具体的人格权。的确在理论上权利与利益的界限很难区分，但是我们仍旧可以找到一些划分的依据与准则。在当前我国的学术界通说认为权利的概念主要包含两个要素，第一为“特定的利益”是指与特定主体具有的特定利害关系，且此种利益达到了法律所保护的程度。第二“法律上之力”，即在法律层面认可保护该种利益。权利的内容是特定的利益，权利的外壳是法律所赋予的力。所以在符合上述特征时个人信息就可以称之为一种权利。

(一)个人信息之内涵分析

1.个人信息之特定利益分析

确认一种权利首先要考究其是否为一种利益，该利益是否特定，是否能够单独的受法律保护。对个人信息的保护最早源起于美国，美国的个人信息保护模式是将个人信息涵盖与隐私权之下。1974年的《隐私权法案》是美国法律首度对个人信息隐私权予以明确确认。主要为了确保联邦政府对个人信息收集、利用的公平性和正当性，侧重的是公法领域。私法领域采取各行各业制定各自的个人信息保护法律，分别立法的模式。隐私权在美国不仅是宪法所保护的基本权利，同时也是一项重要的民事权利。美国隐私权有点类似于一般人格权，他的目的是为了保护人格完整，人格独立不受侵犯。所以涵盖范围比较大，包括姓名权、肖像权、声音权、形象权等内容。而我国立法则将姓名权、肖像权、名誉权、隐私权等分别具体化，当作一种具体的权利来保护，与美国的隐私权抽象保护模式并不相同。在我国，个人隐私又称私人生活秘密或私生活秘密，强调隐秘性。主要包括私人生活安宁不受他人的非法侵犯干扰，私人信息的保密不受他人非法搜集、刺探以及公开。可以发现我国隐私权的重要内涵在于其私密性，不受外界干扰。而个人信息的内涵在于与特定主体相关联，能够直接或间接识别自然人本人。例如姓名、肖像，手机号码，地理位置信息，在正常交往中是公开的，不属于我国隐私的范畴，不能用隐私权理论来进行保护。但是这些个人信息在现代社会对公民十分重要，所以应当探索其他模式保护个人信息。

大陆法系国家在司法实践当中通过判例确立了“信息自决权”，即个人依照法律控制自己的个人信息，并决定是否被利用的权利。欧盟的法律更是已经确立了“被遗忘权”，对于公民已经公开于网络的个人有关信息，公民有权要求相关运营商删除。该立法模式突出了个人信息权与隐私权的不同，被遗忘权保护的是已经公开的信息，而公开的信息显然不属于隐私的范畴，是对个人信息保护的另一种探索。由于我国的隐私权概念与美国的隐私权概念截然不同，所以对个人信息的保护不能采取美国模式。可以借鉴大陆法系及欧盟法律的保护模式，创设认可个人信息权。

要确认一种权利其次要看该特定利益是否达到了法律所必须保护的程度，法律是否应当介入到相关领域。根据中国青年政治学院互联网法治研究中心与封面智库联合发布的《2016年中国个人信息安全和隐私保护报告》显示：有20%的人在最近一个月收到过2个以上骚扰电话；有81%的人曾经收到过对方知道自己姓名或单位等个人信息的陌生来电；有53%的人曾因网页搜索、浏览后泄露个人信息，被某类广告持续骚扰；有36%的人因租房、购房、购车等信息泄露后被营销骚扰和诈骗。从调查结果来看我国的个人信息泄露、侵犯问题十分严重。已然达到法律保护的必要程度，作为调整最广大民事主体的民事法律规范应当对个人信息作出权利保护。

(二)个人信息之“法律之力”分析

当前我国法律体系中典型的权利都在法律条文当中直接使用了“权”字，如《民法总则》第110条当中的生命权、身体权、隐私权等。故一部分学者单纯以在法律条文中是否出现“某某权”为依据来确定是否具有“法律上之力”，由于《民法总则》第111条没有使用“权”，因此一部分学者对个人信息之“法律上之力”持否定态度。笔者认为这样区分权利与利益的好处在于简单明了，易于操作区分。但是也会对实质上已经符合权利标准的利益保护不够，同时这样区分过于死板，不能良好的适应社会发展的需求，造成法律规定的滞后与不合理。相反如果不加区分都按照权利来对待就会使权利范围扩大，法律过多的介入到民众的普通生活。让每个主体的自由受到限制。

其实对权利的确认可以适当地引入价值判断，因为法律本身就涉及到价值判断，可以对于新出现的利益进行分析论证，价值衡量。当然在这一过程也要遵循一定的准则。在《民法总则》110条具体人格权条款最后出现“等权利”，证明我国并没有采用穷尽式列举的立法模式，而是采用了不完全列举的模式。也意味着可以将一些利益随着社会发展、变化，根据一些规则适当的演变为权利。然后通过一些具体的判例以及后续立法将新的权利具体确定下来。从而保证一些新出现的利益可以转化为权利，实现对公民权利的完整保护。所以现在要考虑的是能否将个人信息纳入到《民法总则》110条的“等权利”之中。这个判断准则就是我们法律解释中的同类解释方法，即“个人信息”是否能与“生命”、“身体”、“健康”、“姓名” 、“肖像”等具有同等性的要件，是否属于同一种类型的权利。

个人信息权的权利客体为能够直接或间接识别自然人个人身份的各类信息。这些信息具有可识别性，与具体的自然人有着一对一的联系。和姓名、肖像等一样都是人格的一种标志。在网络社会的交往当中，人们不再是以一个真实的个体交往，而是通过一个个虚拟化的可识别的“信息体”来交往，而这些信息最终仍然代表着信息享有者，与每个自然人一一对应。人格利益不仅存在于每个自然人实体中，同时也存在于这些可识别的信息里。因此个人信息体现了作为主体的人格尊严，人格独立，人格自由。与《民法总则》110条所列举的其他权利有同样的性质。完全可以认为《民法总则》第111条是立法者对这种随着时代发展的新型权利(个人信息权)的重点强调，提示法律适用者加以注意。

从立法体例来看，《民法总则》中关于个人信息的条款规定在第五章民事权利之下，如果将其仍然理解为权益那么就会导致民法总则的篇章结构不合理。在规定权利的一章之下却出现利益这一矛盾现象。其次就是个人信息的规定是《民法总则》的第111条。其中第110规定的是民事主体的人格权，第112条规定的是婚姻、家庭关系等产生的人身权利。他的前一条与后一条都是规定的民事权利。所以对其作权利理解理所应当。

三、个人信息权确定之影响

法律创设或者认可一种权利必然会产生相应的影响，因为新形成的的权利改变了原来既有的法律秩序，会改变法律的调整范围。但是这样产生的影响到底是积极的还是消极的还需分析论证以及实践检验。接下来本文将分析如果创设认可了个人信息权之后可能产生的影响，并以此来判断将其确认为权利的必要性。

1.主体范围之界定

个人信息权的主体为自然人，至于其他民事主体如法人、社会组织、合伙等不享有个人信息权。一方面原因是在我国《民法总则》中已经明确了“自然人个人信息受法律保护”，并没有提及其他主体享有个人信息权，同时也无法将法人、社会组织、合伙等其他民事主体解释到该条之中。另一方面从个人信息的可识别性角度来看，是指其能够识别出特定自然人，影响到自然人的人格利益。而其他主体并不具备这样的特性。对个人信息的侵害追本溯源还是对个人的人格尊严、人格自由的侵害。其他民事主体并不享有这一特质，故其不应享有个人信息权。创设、认可个人信息权，其权利主体为自然人，仍然是传统的权利主体中的一种，没有造成权利主体的扩张，与现存的法律体系是融合的。

2.权利义务分担之衡量

个人信息权之确定会对权利享有者的保护大幅度加强，但是与此同时必然意味着权利相对人的义务增大。尤其是现在日益兴盛的数据企业将要承担更大的责任与义务。那么让数据企业承担较大的义务与责任是否合理呢？以我国现状为例，我国当前主要数据企业有互联网购物平台如天猫、京东、苏宁易购等，互联网通讯设备如微信、QQ聊天、新浪微博等，还有不计期数的各类客户端。这些数据企业都会对用户的个人信息进行收集提取，然后又会对这些信息进行技术处理，分析用户的兴趣爱好。以此实现对市场行情的判断，有针对性的调整自己的市场政策，实现更大的经济效应。这一过程必然涉及用户的个人信息利益。在实际的生活中因为每个主体的不同，有些用户会对自己的个人信息比较看重不愿意被数据企业收集，而另外一些用户对个人信息没有那么重视，对数据企业收集的信息不予关注。虽然在个人信息的认识程度上部分民众并不是那么看重，但是这并不意味着数据企业就不需承担任何义务与责任。因为这些信息在事实上是与每个用户相关的，企业可以通过对数据进行分析精准的定位到相关用户。而且企业收集信息的行为会导致用户的信息从之前自己可控的状态变为不可控的状态，在现实上增加个人信息被侵害的风险。典型的风险有企业利用收集的个人信息进行骚扰、推销；将个人信息出售给其他主体；企业保存的个人信息存在错误致使个人信息享有者遭受财产损失等。所以企业的信息收集行为一方面可以实现自己的盈利，在另一方面却可能对个人信息享有者造成不确定的损失或损失风险。基于此要求企业在收集信息时履行一定的义务是合理的，与其收集信息所产生的结果是相匹配的。故对相对人进行合理的限制是合理的，认可个人信息权的存在不会出现过度限制公众自由的情况。

3.现实保护之考量

个人信息权的认可与创设对侵犯个人信息的行为有更高强度的保护，因为在确定为权利之后其保护范围更加明确，权利主体、权利客体、权利内容都将明确。作为“权利救济法”的侵权责任法可以对个人信息权进行补充的规定。当发生侵犯个人信息权的案件的时候，权利人可以通过诉讼来保护自己的利益。如果不确定个人信息权，我国现存的民事法律规范很难对侵犯个人信息的行为保护。对于发生此类侵权案件一种处理方式是将其认定为侵犯隐私权，然而个人信息与隐私权并不等同，这样强行比照会损害既有的隐私权理论。另一种则将其单纯的作为一种民事利益来保护，如此法官将没有相应的法律准则得以适用，侵犯此种利益到何种程度应为保护，保护的程度应当为何都没有法律依据可寻，在实践中难以得到有效适用。因此确认个人信息权可以在实践层面减少法官的裁判压力，更好的保护个人信息遭受侵犯的个体，同时也有利于全国法官统一裁量标准，实现法律正义。

此外各国对个人信息保护的立法都在加强，2018年正式实施的《欧盟数据保护条例》其被称为“史上最严格的数据保护法”，该法案极大的扩展了其适用范围、创设一站式监管、明确了数据主体的具体权利、构建了对数据控制者的严格问责、严苛处罚制度。这种具体权利的报护方式及严厉惩处的制度大大加强了个人相关数据的保护。尽管我国已经在《刑法》、行政立法中规定了关于个人信息的条款。但是在民事立法中对个人信息的保护还不是十分明确，所以对《民法总则》第111条个人信息权的确定有利于实现个人信息法律保护的健全。