个人信息权的界定与保护概述
2020-11-29
河北大学法学院,河北 保定 071002
数据经济的发展,个人信息的利用手段越来越丰富,个人信息的财产利益属性也不断显现。大数据最初是在体育领域广泛应用,在数据技术和数据经济不断发展的背景下,大数据逐渐应用在日常生活中。大数据背景下个人信息的商业利用已经成为一种常态,数据经济的发展为我们带来便利的同时,也对个人信息安全产生了威胁。近年来,个人信息保护问题成为行业间和学界讨论的热点。我们应当如何去定义个人信息,采用何种模式对个人信息进行保护,以及如何平衡个人信息保护与数据经济发展之间的矛盾成为我们所迫切需要解决的问题。
一、个人信息的范围界定
解决个人信息问题的前提是,明确哪些信息属于个人信息。从比较法的角度来看,各国的立法中关于个人信息的范围界定主要有两种理论。一种是美国的“可识别标准”。以限缩解释的方法将个人信息的保护范围限定在确定能识别个人身份的信息上。另一种是德国的“确切和可能识别标准”。《德国联邦数据保护法》将个人信息分为“确切可识别个人身份的信息”和“可能识别个人身份的信息”,以求在最大限度范围内对个人信息提供保护。欧盟的《一般数据保护条例》在对个人数据的概念界定上,选择了与德国相同的界定方式,将个人数据界定为“已识别(identified)”或“可识别(identifiabl)”数据主体的信息。相较于限缩界定模式,德国的模式则是开放了个人信息界定的边界,能够在最大限度内对个人信息进行保护。但在该种模式下随之而来的问题是,大数据时代几乎所有的信息都存在成为“可能识别个人身份的信息”的可能性,极易出现个人信息的过度保护。
(一)我国个人信息界定模式
我国在个人信息范围的界定上,倾向于德国和欧盟的模式。《网络安全法》、国家标准《信息安全技术:个人信息安全规范》(GB/T 35273-2020)等将个人信息划分为两类:一类是单独可识别主体的信息;一类是与其他信息相结合后可识别主体的信息。我国坚持以人为本的理念,以开放式的个人信息保护边界来确定个人信息的保护范围。我国香港、澳门对于个人信息的界定也采取了相同的模式。①
在个人信息开放式的界定模式下,判断某一信息是否为个人信息将不再完全取决于信息本身所包含的内容,而是取决于所收集数据的完整性和技术的先进性。在该种模式下,如果对个人信息不加区别地进行保护,极易导致个人信息的过度保护,阻碍数据的流通,压缩数据开发利用的空间,限制数据经济的发展。因此,为兼顾信息开发利用和信息保护,对“结合可识别”个人信息的认定应做合目的性限缩和情境化界定。[1]合目的性限缩是指,从个人信息设定的目的出发,将受保护的个人信息限定在对人格利益造成影响的信息上。如果该条信息未对人格利益产生影响,即使与其他数据结合能识别信息主体也不应当认定其为个人信息。场景化判断则是因为数据具有场景依赖性,应当结合应用场景对信息的属性做个案判断。[2]即使同一信息在某些场景可能是作为个人信息出现,在某些场景可能只是一组普通数据。
(二)个人信息与数据
在对个人信息问题进行讨论时,我们首先要在法律层面理清数据和个人信息的关系。在个人信息和数据的关系上存在多种学说,包括“等同说”、“区分说”“包含说”等多种理论学说,[3]其中“区分说”与我国当前的法律环境和国际形势最为相符。个人信息和数据“区分说”的观点认为,保护个人数据安全和促进数据流动是数据经济发展的两个不同方面,应当严格进行区分。纪海龙利用符号语言学对数据和个人信息进行区分,认为个人信息和数据文件分别位于内容层和符号层。也有学者从法律层面论证,龙卫球认为法律意义上的数据不同于个人信息(数据),二者在法律上应当进行分别保护。龙卫球认为数据仅包括企业数据和非企业数据等公共数据。个人信息保护与非个人数据保护是两个不同的层面,分别为民法111条和127条所规定,各属人格权和财产权保护内容。
个人信息和数据“区分说”的观点同我国当前的法律背景和立法趋势相一致,我国今后在立法时采取该种观点最为适宜。个人信息和数据的区分保护已成为当前立法的发展方向。《民法总则》111条和136条对个人信息和数据的分别规定,也为两者的区分保护奠定法律基础。在法律层面上数据和个人信息势必要进行区分,按各自的法律性质进行保护。欧盟在个人信息保护方面依据主体是否具有识别性区分了“个人数据”和“非个人数据”,以不同的保护标准进行规定。因此当我们在法律层面讨论个人信息时应当将其与数据相区分,经过处理不具有主体识别性的数据不属于个人信息的讨论范畴。
除此之外,个人信息和个人数据两者之间的关系也存在不同看法。对于两者的关系目前存“个人信息和个人数据区分说”、“个人信息和个人数据等同说”两种观点。刘德良教授持“个人信息和个人数据区分说”观点,认为个人信息强调可直接识别性,而个人数据不强调可直接识别性。大部分学者认同“个人信息和个人数据等同说”,在立法层面上“个人数据”和“个人信息”实质上可理解为一回事。在我国“个人数据”一词虽没有出现在法律层面,但散见于《国家“十三五”规划纲要》等各种工作文件行政法规、部门规章之中,究其内涵仍为个人信息。欧盟的《一般数据保护条例》即采用“个人数据”(personal data)一词对可识别主体的信息进行保护。该词的含义与我国“个人信息”一词的概念在本质上是相同的,均是对单独或结合可识别主体的信息进行保护。
二、个人信息的法律属性
个人信息的法律保护将不断完善是当前的立法趋势,在对个人信息进行法律规制时,我们首先要明确个人信息究竟是权利还是利益。一项利益能否成为权利,取决于其自身的重要性与成熟度。如果一项利益“同时具备归属效能、排除效能和社会典型公开性的,为一种侵权法上的权利,反之则只能归于一种利益”[4]而个人信息所包含的利益内容确定、主体确定同时可以排除他人非法干涉可以认定为一项权利。个人信息规定在《民法总则》第111条,位于民事权利一章,虽然基于当前个人信息保护方面矛盾重重,未直接明确个人信息为权利,但是将个人信息作为一项权利进行规定和保护是我国立法的发展趋势,也是数据经济发展下个人信息保护的必然要求。
(一)个人信息的财产利益属性
持个人信息“权利说”观点的学者虽对个人信息的权利属性进行了肯定,但对于个人信息究竟是何种性质的权利仍存在着许多不同观点。基于对个人信息法律属性的不同认识,存在“个人信息权否定说”、“基本权利和自由说”、“物权说或所有权说”、“隐私权说”、“一般人格权说”、“人格权兼财产权说”、“框架说”、“具体人格权说”等多种学说。[5]其中以“个人信息人格权说”、“个人信息财产权说”和“人格权兼财产权说”最具有代表性。在判断个人信息究竟为何种属性的权利时,我们首先要判断个人信息是否具有人格利益和财产利益。个人信息的人格权属性已经被我国立法所确认,在学界也达成共识。个人信息与人格利益密切相关,对于保护公民人格尊严,维护社会秩序有着重要作用。但是对于个人信息是否具有财产利益,当前还未达成统一看法。刘德良教授在国内首次提出个人信息财产权保护理论,认为个人信息是一种支配权,是对个人信息商业价值享有的新型财产权。[6]
(二)个人信息财产利益来源
个人信息财产利益的理论基础是莱斯格“个人信息财产化”理论。信息财产化理论最早是由莱斯格在《代码和网络中的其他法律》一书提出的。莱斯格认为应将数据财产权赋予用户,这更符合市场效率和提升数据产业的交易秩序。经济学理论中,财产应当具有使用价值和交换价值,个人信息要成为财产首先需要具有价值和使用价值。在实践中,个人信息已经作为商品进行交易,由于涉及人格利益,故当前的大量个人信息交易为非法交易行为。而个人信息的使用价值更是体现在我们生活的方方面面,从网页的个性化推荐、企业营销策略的制定到对体育比赛发展趋势的预测都是对个人信息进行的挖掘利用,个人信息的使用价值体现在各行各业,正是由于个人信息具有巨大的使用价值,数据经济才得以繁荣发展,数据交易、保护、利用问题才不断发生。
(三)个人信息财产利益分配
个人信息的财产利益属性是在数据经济发展中逐渐显现出来的,对个人信息财产利益保护的前提是明确财产利益的归属,即个人信息财产利益应当由谁享有。当前存在着个人信息“个人所有”、“企业所有”、“个人和企业共有”、“公共所有”几种观点。
第一,个人信息财产利益应当归个人所有。个人信息是数据的基础,因此数据归个人所有。例如有学者认为,权利的出发点是人而非物,数据主体应拥有优先的权利,法律有必要承认用户个人对数据的财产权利。[7]在数据产业生态系统中,能够为企业带来巨大价值的数据基本属于用户数据,而用户便是这些数据的生产者。《GDPR》中规定的“个人信息携带权”可为这一观点的佐证。企业虽然对数据的收集处理付出了一定成本,但企业不能对个人数据进行限制,还需要对个人数据的自由流动提供帮助。
第二,个人信息归企业所有和由个人和企业共有的观点。两种观点均是基于洛克的“劳动赋权”理论,只理解方向不同。劳动赋权源于由洛克在《政府论(下)》中提出劳动财产学说,该学说阐明了劳动在社会财富增加中的作用,被认为是取得物之所有权的法理基础。个人信息由企业所有的观点,注重企业在个人信息收集过程中所付出的劳动,企业基于其在数据收集、处理过程中所付出的成本而享有数据的财产权益。个人信息“从人身属性汇集而变为财产属性的关键正在于收集整理者在此过程中所付出的特定劳动、投资和成本”[8],个人信息的财产权应当由企业所有。同样是基于“劳动赋权”理论,个人信息共有观点认为,个人信息是有主物,个人信息的收集者不能优于个人获得个人信息的财产权。除基本个人信息外的其它个人信息由企业和个人共有。[9]
第三,个人信息公有观点。互联网是一个公共领域,一旦用户或平台将其自身置于公开的互联网环境下,此时的个人信息就为公众所有,不再为任何私人或企业所有。[2]在“HIQ诉领英案”中,法院回应了爬取公开信息的法律问题。不同以往对未经授权的数据爬取行为的否定,在该案中法院认定了第三方爬取用户向公众公开的个人信息的合法性。承认了向公众公开个人信息的公共属性。
(四)个人信息财产权观点的质疑
数据经济下,个人信息的经济价值逐渐显现,但个人信息权不是财产权。权利人可以通个人信息使用权的让渡获取经济利益,但个人信息不是财产权客体,无须赋予其财产权。
首先,单个个人信息价值低。除公众人物外,个人信息对于信息主体的价值极小,通常为获得免费的软件和服务而放弃,普通个体信息保护的首要关切还是隐私利益和人格尊严。单个信息不具有价值,经收集、加工处理后的信息才具有价值。如果赋予个人信息以财产权,那么其他主体在使用个人信息的过程中就需要付费,在实行“个人信息付费”下还需要考虑如何实现付费的技术问题,从而使得企业对数据利用成本过高,技术过于复杂,不利于数据经济的发展。
其次,可以通过个人信息使用权的让渡来对个人信息进行保护,无须设定财产权。姓名、肖像等人格权也可以通过许可使用制度进行商业化利用,传统民法理论也不认为这是财产权。不能因为个人信息的商业化利用而推论出其是财产权。[10]
三、个人信息保护模式选择
我国目前对个人信息的保护,主要是依据《刑法》、《行政法》等公法。个人信息公法领域的保护体系逐渐建立,但始终缺乏私法领域的保护,形成了“先刑后民”的立法现状。在私法缺位的条件下,公民个人信息的内涵、外延及法律属性均未能得到清晰地界定,由此又导致公民个人信息罪的适用存在困难。[11]所以,我国迫切地需要加强个人信息在私法领域的保护,建立以民法为基础的个人信息保护法律体系。民法在个人信息保护方面具有基础作用,个人信息纠纷多是发生在平等主体之间,公法保护模式无法对个人信息实现全方位的保护。
在私法保护上,我国当前的司法实践倾向于对个人信息采取间接保护模式。由于我国未直接对个人信息进行规定,只能借助其他受法律保护的权利来对个人信息进行保护。司法实践中多是依据人格利益和财产利益来进行间接保护,在该种模式下“个人信息不能为独立的受保护对象,不能被解释为民事权利或法益,只有侵害个人信息的行为造成侵害其他权益的损害后果时,行为人才承担责任”[12]。我国的司法实践中多为该种模式,借助隐私权、名誉权等对个人信息进行间接保护。
个人信息作为一项人格权利,我国在构建个人信息保护体系时,应当采取权利保护模式和行为规制模式共同保护的模式。在对个人信息进行保护时,应当区分个人信息的人格权利和财产利益,分别采取不同的保护规范。对于个人信息的人格权利,应当采取“权利保护模式”。从民事权利与利益的关系来看,权利化更有利于对个人信息的保护。权利保护模式具有确定性和稳定性,同时具有排他性,能够为人格利益提供最完善的保护。该种保护模式也被许多学者所认可。
对个人信息财产利益的保护应当采取行为规制的模式,以行为规范达到对个人信息财产利益保护的目的。通过评估信息开发利用对个人信息主体的潜在影响来设定行为规范,以此为信息开发利用提供合规指引并间接保护个人信息。《德国联邦数据保护法》、《美国儿童在线隐私保护法》、《欧盟个人信息保护指令》、《一般数据保护条例》都以大量篇幅构建行为规范体系。由于个人信息不具有财产权特征,以财产利益进行保护相较于抽象的确权立法,行为规范的设计直接以信息收集利用行为作为规制对象,这为行为人提供了相对清晰的合规指引,有助于弥补权利立法的模糊性弊端。但同时行为规范模式对具体行为进行规制,存在弹性不足的问题。[1]
四、结语
我们在对个人信息进行法律体系构建时,要将个人信息和数据进行区分,二者代表的利益不同,所采取的规制方式也不相同。个人信息代表得是人格利益,其财产利益不外是对人格利益使用权的让渡,其本身并不是财产权的主体。个人信息保护法律体系的构建,要坚持公法与私法相结合的共同保护模式。法律体系的建设要与实际情况相关联,我国当前数据经济中存在着诸多问题,例如作为个人信息收集利用依据的“知情同意原则”面临着巨大考验。“同意”是处理个人数据正当性的基础,但现实情况是信息从业者通过各种方式对“知情同意原则”进行规避,导致该原则不断通过默示等实践机制而流于形式。[13]此外,企业对个人信息收集后,个人则失去了对个人信息的控制权,后续利用途径难以得到保障。这些问题地解决都依赖于一个完善的个人信息和数据保护体系的建立,我国应当加快立法进程尽快完善相关体系建设。
注释:
①香港《個人資料(私隱)條例》、澳门《个人资料保护法》.