论技术鸿沟与个人信息保护
2021-03-15
编者按:互联网时代,网络空间的数据源不断丰富,越来越多的个人信息被记录、挖掘和使用,这对社会治理提供诸多便利的同时,也给个人信息保护带来了很多新问题、新要求和新挑战。民法典的颁布,为个人信息保护和信息合理应用之间的适度平衡提供了法律依据。在民法典正式实施前夕,《中国检察官》杂志社和浙江省人民检察院联合主办了“民法典与互联网时代个人信息保护”论坛。来自系统内外的专家学者共计 120 余人围绕论坛主题,立足民法典贯彻实施,探讨个人信息保护的价值与路径,为检察工作提供理论基础和实践支撑。本刊特选取论坛部分获奖文章组织本期“聚焦”栏目,从“四大检察”角度,对民法典实施和个人信息保护展开探讨,以飨读者。
摘 要:互联网技术迅猛发展,引导技术理性创新的法律却发展缓慢,民法的保守性与滞后性,决定其对个人信息的保护落后于社会发展和实际需要。司法裁判显示,个人信息保护民事案件与刑事案件大多在两个不同的“场域”展开,技术鸿沟造成了民事意义上的个人信息维权困境。个人信息应当以保护为主,寻求保护与利用的最大平衡;以民法典为基础,密织个人信息保护综合网;以《个人信息保护法》为重点,完善个人信息保护规则;探索和发展个人信息保护支持起诉与公益诉讼。
关键词:民法典 个人信息保护 技术鸿沟 互联网时代
一、繁荣的网络、激进的技术与保守的民法
互联网进入中国社会不过是新近二三十年才发生的事情,但也正是在这短短的二三十年之间,互联网技术以磅礴之势不断推陈出新。高歌猛进的技术完全颠覆了人们对传统世界与社会的认知,也深刻地改变了人们传统的社会交往与行为方式。互联网技术的革新,带给人们无数便捷的红利,越来越多的人已经或者正在加入网民的队伍。截至2020年3月,我国网民规模达9.04亿,互联网普及率达64.5%。在技术的世界里,作为主体的人,只是网络上的一个节点,是组成数据的一部分,是点击率、流量、互联网发展的“载体”。
相较于技术的狂飙突进,引导技术理性创新的法律的发展步伐却是缓慢的。法律天然落后于社会生活发展,民法的保守也是与生俱来的,这是由民法的基本性质与民法的基本内容所决定的。在法典化时代,民事法律的稳定性与保守性就表现得更加突出,《法国民法典》于1804年生效,两个多世纪以来,一直保持其稳定性,即便是整个社会历经工业化、信息化的重大变革,《法国民法典》也并未被推倒重来,而是一如既往地保持其整体的稳定,其与社会变化的调适,则主要靠“法院制法”——由法院通过具体案例来解决这种利益冲突,使旧时代的法律符合新社会的要求。[1]个人信息保护的重要性是随着互联网的普及和网络技术的迅猛发展而凸显出来的,具有明显的时代特征,这也导致民事法律这种基础性法律很难及时对其作出全面、准确的规定,民法的保守性与滞后性,决定其对个人信息的保护落后于社会发展和实际需要。
通过对个人信息保护案件的民事裁判文书和刑事裁判文书进行分析、对比后可见,个人信息民事纠纷主要发生在传统的与自然人有直接关联的实体化场景中,侵权者与被侵权者之间存在特定关系,比如熟人之间、雇员与雇主之间、业主与物业服务企业之间等。而侵犯公民个人信息的刑事案件则主要发生于网络环节,被告人一般是组织化、公司化运作的团体,遭受信息侵犯的个人通常是众多的,被告人往往是通过网络,利用专业技术等手段非法获取大量公民个人信息并出售获利。
由此可见,民事裁判与刑事裁判对个人信息的保护大多在两个不同的“场域”展开,从法律逻辑上来说,这种异质化特征原本是不应该存在的,至少不应该这么明显。具体而言,侵犯公民个人信息犯罪行为未被刑事查处之前,对于被侵犯对象而言,其个人信息无疑是遭受了民事侵权,但以此为民事纠纷进入法院裁判的却微乎其微,这就导致对个人信息民事保护真空的存在。
这种真空状态的出现,主要是由于技术鸿沟带来的民事意义上的个体维权困境。对于侵权方而言,专业技术已经成为其获取个人信息的必备工具,掌握爬虫技术已经成为各大网站以及专业人士的必备技能。[2]而遭受侵权的个体显然没有对侵权行为和方式进行调查的技术能力。囿于技术鸿沟带来的这种限制,对于那种大规模的网络型、技术性侵权行为,在未被刑事立案之前,个人信息已经遭受侵犯的自然人实际上是无法保护自己的合法权益的,由此也导致民法意义上的个人信息保护立法目的较难实现。
二、民法典个人信息保护模式:立法价值及其局限
民法典对个人信息保护的法律规定有其创新与发展,但也还存在诸如性质模糊、保护方式有限、与技术发展不相适应等诸多局限。
(一)民法典中个人信息的性质
1.民法典没有明确个人信息在性质上到底是属于民事权利还是民事利益。民法典第111条基本沿袭了民法总则第111条的规定,作为编纂民法典的第一步[3],民法总则于2017年通过后,关于第111条个人信息的性质就有大量讨论,很多学者发表了大量论著认为该条个人信息的性质实际上就是一种民事权利,比如陈甦教授认为该条在一定程度上明确了个人信息权[4],杨立新教授认为该条是对自然人享有的个人信息权的规定[5]。但不可否认的是,在“民事权利”一章中,民法总则在规定一项具体权利时,无不例外地都使用了“……权”的表述方式,唯独对于个人信息,并没有使用“个人信息权”的表述,这绝不是立法者的疏忽或遗漏,显然是刻意为之。民法总则实施后的两年多时间里,虽然诸多学者将“个人信息”解读为“个人信息权”,但民法典对此并没有作出回应,仍然继承了民法总则中的差异化表达。对于立法机关这种刻意为之的差异化表达,研究者不应该有意或无意地忽视。
2.民法典中的个人信息属于人格权益范畴。从民法典總则编来看,第111条承继第109条、第110条,这意味着个人信息与人格权紧密相连,总则编中的这种体系性安排为自然人个人信息在民法典分编的具体规定中奠定了基础。具体来说,自然人个人信息被放在民法典第四编(人格权)第六章(隐私权与个人信息保护)部分,明确个人信息属于人格权益的范畴。
3.个人信息与隐私权既有联系又有所区别。在民法典之前,有关个人信息保护,主要适用有关隐私权的法律规定,这也是上文涉个人信息保护民事纠纷司法裁判的案由主要为隐私权纠纷、名誉权纠纷的主要原因。随着侵犯个人信息行为的日益增多、方式的日益多样化以及个人信息保护重要性的日益凸显,司法实践越来越认识到个人信息与隐私权之间的差异性。正因为如此,民法典将个人信息保护从隐私权保护中分离出来,除第1034条第3款中的“私密信息”适用隐私权的规定外,其他则适用个人信息的保护。
(二)民法典个人信息保护的立法价值
1.个人信息被作为一种具有独立价值的民事权益予以规定,体现了时代特征。民法典既原则性地指出“自然人的个人信息受法律保护”,又对个人信息的处理等提出了明确、具体的条件,个人信息第一次以一种独立议题的身份进入民法典,这在我国以往的民事基础法律规范中是没有的,这是个人信息保护重要性的体现,是我国民法典在个人信息保护方面的一个飞跃式发展。而无论是《法国民法典》还是《德国民法典》《日本民法典》等早期具有代表性的民法典,受制于当时的社会发展,对个人信息保护都没有作出具体规定,因此,个人信息保护进入民法典也是时代特征的体现。
2.将个人信息与隐私权相区分,具有积极意义。将个人信息与隐私权相区分,是民法典关于个人信息保护规定的另一个重大贡献。在以往的司法实践中,个人信息往往是作为隐私权的一部分,即便是民法总则正式实施后,在涉及个人信息保护的民事纠纷中,具体的民事案由仍然主要集中在隐私权纠纷、名誉权纠纷等。民法典明确将个人信息与隐私权相区分,指出“个人信息中的私密信息”才适用隐私权的规定,这无疑是科学的。
3.为其他法律进一步完善个人信息保护奠定基础。实际上,在民法典对个人信息保护作出规定之前,《全国人大常委会关于加强网络信息保护的决定》《中华人民共和国网络安全法》《刑法修正案(七)》《刑法修正案(九)》等都已经对个人信息保护作出规定,民法典中有关个人信息保护的相关规定主要也是来源于《中华人民共和国网络安全法》等法律规范。但民法典作为民事基本法,其地位之重要、影响范围之广泛,是其他法律规定所不可比拟的,民法典对个人信息保护作出明确规定,将极大提升对个人信息保护法律规范的发展和相关部门法律规范的完善。民法典将反过来影响有关个人信息保护专门立法和相关行政法规、行业标准的发展。
(三)民法典个人信息保护的局限性
1.个人信息的定义与技术发展不相适应。民法典继受网络安全法关于个人信息的定义,可识别性是其关键要素。但在当前技术迅猛发展的情势下,可识别性是否构成个人信息的核心要素,已经出现了不同的看法,特别是当去识别化技术大行其道的时候[6],可识别性是否具有其天然的合理性?这是值得怀疑的。除此之外,个人信息与个人数据有何差异?如何区分个人信息与网络数据?脸部数据是否属于个人信息?网络账号信息是否属于个人信息?互联网平台交易信息是否属于个人信息?这些无疑都是亟需明确的。
2.人格权保护模式的局限性。有学者认为,民法典为保护个人信息提供了三种请求权进路,包括侵权责任请求权、合同法上的请求权、人格权请求权等。[7]對侵权人加以金钱制裁最为有效,行使侵权请求权对于侵权人的制裁最为有力。[8]但也有研究者指出,传统的侵权法手段难以提供对用户信息利益的全面保护,适用侵权以及公法手段解决网络信息纠纷是无效率的。[9]在人格权保护模式下,个人信息遭受损害的自然人所能主张的民事责任主要包括停止侵害、消除影响、恢复名誉等,赔偿损失往往以精神损害赔偿为主。对于因个人信息被泄露等对被侵权人造成的直接或间接的经济损失,被侵权人主张赔偿其难度是可想而知的。如果侵权行为人仅在人格权益方面承担责任,不对侵权行为施加更为严厉的制裁,侵权行为不可能得到根本性的规制,个人信息遭受侵犯的严峻形势也无法得到有效改观。
3.自然人个体保护个人信息的能力不足。在大数据背景下,当个人信息被多环节转售,自然人个人无法确定侵权源头;当侵权者通过网络爬虫等技术、通过“黑灰产”等地下链条获取个人信息时,个人信息遭受侵害的自然人很难对相关侵权行为进行取证。因此,面对这种公司化、团体化、产业化、信息化、技术化的侵权行为,自然人个人往往不具备保护其个人信息的能力。维权成本高、因果关系证明困难、赔偿数额低可能是民事诉讼途径保护个人信息不力的主要原因。[10]
4.“知情-同意”保护模式的缺陷。民法典第1036条规定,在自然人或者其监护人同意范围内处理个人信息的,行为人不承担民事责任。这是典型的“知情-同意”式保护模式,这种保护模式能否真正实现对个人信息的有效保护是值得质疑的。以APP信息收集为例,绝大多数APP在用户下载安装时都会提示是否允许读取手机通讯录、存储卡、相册等信息,如果用户选择不允许,要么不能使用该APP ,要么无法使用该APP的完整功能,最后导致用户“被迫”或“不情愿”地点击同意,这种绑架式的同意无疑会带来严重的后果。在技术、平台提供方主导的情形下,用户的同意很多是虚假同意,这种“知情-同意”模式是无法对个人信息作出真正有效保护的。传统的“知情-同意”框架在大数据时代面临穷途末路:一方面隐私保护效率低下,用户权利几近架空;另一方面给企业造成沉重负担,严重阻碍数据流通及创新应用。[11]
三、互联网时代个人信息保护之展望
(一)以保护为主,寻求个人信息保护与利用的最大平衡
在数字经济时代,数据已经成为最重要的生产资料,数据之于数字经济,犹如土地之于农业、石油之于工业,是不可或缺的。而作为主体的人的信息必然包括在数据中,成为数据必不可少的组成部分。在社会治理领域,大数据早已成为政府提升社会治理效能的重要手段。中央社会治安防控体系建设也要求充分运用新一代互联网、物联网、大数据、云计算和职能传感、遥感、卫星定位、地理信息系统等技术[12],提升数字化、网络化、智能化水平。行政管理的有效实施必然要求政府详细、准确地掌握其管理对象与其职权范围相关的个人信息。[13]因此,对个人信息的利用是必不可少的,禁止对个人信息的利用既不现实也不符合时代发展需要。当然,不管利用如何重要,保护永远是第一位的,如果不强化数据共享中的个人信息保护,数据产业也难以健康发展。[14]在保护的同时,如何通过技术手段促进信息更合理地利用,在保护与利用之间实现最大平衡,是今后技术革新与立法着重需要解决的难题。
(二)以民法典为基础,密织个人信息保护综合网
对个人信息的保护,应当以民事法律规范为基础、行政监管为重点、刑事法律为后盾,构建综合保护格局。民法典于2021年1月1日正式实施,当前重点是要解释好民法典,发挥民法典的基础性作用,引导全社会、各行业重视个人信息保护。刑事法律领域应当着重关注技术的革新和侵犯个人信息犯罪行为的最新态势,适时将新技术下新的犯罪方式和行为列入打击范围,防止侵犯个人信息犯罪打击的真空存在。就全社会而言,最为重要的应当是行政监管的发展和企业个人信息保护合规的建立。行政监管要提高技术能力和水平,抓平台、抓主体,对平台违规收集、使用、出售、提供个人信息的行为加大处罚力度,提高打击的有效性和高效性。
(三)以《个人信息保护法》为重点,完善个人信息保护规则
诚如上文所述,民法典对个人信息保护的作用是有限的,在网络时代技术鸿沟背景下,自然人个体依靠民法典的规定保护个人信息权益难度极大。对个人信息的保护更需要专门性、综合性法律规范的出台。值得庆幸的是,《个人信息保护法》草案已于2020年10月13日提交十三届全国人大常委会初次审议。作为专门性的个人信息保护法律,《个人信息保护法》应当重点在以下几个方面取得突破:
1.对个人信息概念的优化完善。当前,个人信息的范围越来越广,种类越来越多[15],但学界对于个人信息之概念的研究还是处于一个较为表面的阶段[16],在坚持可识别性核心要素的同时,注意去识别化技术发展背景下的个人信息保护。要注意个人信息与数据的同质性与区分,注重对民法典列举情形之外的个人信息的保护,要深入研究优化个人信息概念的内涵与外延。
2.注重对个人信息权益的综合保护。现代法律对个人信息的保护应当采取公法与私法并重的综合性保护方法,二者不可偏废。[17]民法典之所以不直接使用“个人信息权”,正是因为个人信息权益具有综合属性,单纯的人格权保护模式不足以对个人信息提供充分、有效的保护,在突出个人信息的人格权属性的同时,也要注重对个人信息财产权利益的保护。
3.区分公益目的型和商业目的型的个人信息利用,并设置不同规则。公、私部门处理个人信息的目的不同,前者通常是为了国家治理、社会管理和公共服务,后者是出于获取经济利益。[18]二者无论从信息获取与利用的方式和手段、责任能力、后果承担等方面都有较大区分,对两种不同目的的利用,应当对获取手段、知情同意、后果消除、惩罚赔偿、责任承担等方面分别设置不同法律规则。
4.对“知情-同意”模式的改造升级。“知情-同意”模式虽然从伦理上来说具有其正义性,但在平台作主、技术为王的时代,“知情-同意”模式已经从侵犯个人信息的遮羞布沦为挡箭牌,很大程度上已经演变为对个人信息技术利用合理性的道具。一方面要加强对“知情-同意”模式的规则更新,突出“知情-同意”模式的实效性;另一方面要在“知情-同意”模式之外,探索既突出个人信息保护又强化对个人利用的有效规则。
5.突出对个人信息利用的行业监管与惩处。面对网络时代的技术鸿沟,自然人个人依托民法典在民事法律范围内保护个人信息的能力是有限的,民事法律对个人信息的保护规则也是有限的。必须依托“技术VS技术”式的行业监管,突出行业主管部门作用的发挥,提高对侵犯个人信息行为的行政处罚力度,只有让侵权行为付出的代价比其获得的利益更巨大,才能从源头上遏制个人信息侵权行为的泛滥。
(四)探索开展个人信息保护支持起诉和公益诉讼
现代社会民事主体之间不对等、不平衡的诉讼能力,已经使民事法律关系越来越失衡。国家和社会有权对具有一定社会影响,特别是社会不良影响的民事纠纷给予一定干预,重新平衡诉讼主体之间的力量。[19]这种诉讼力量失衡在个人信息保护民事诉讼中尤为突出,由于技术鸿沟的存在,自然人个人没有能力提出有效的个人信息保护民事诉讼,此时,应当由有关的国家机关介入干预。检察机关作为国家的法律监督机关,有丰富的开展支持起诉的工作经验,应当积极探索开展个人信息保护领域的民事支持起诉。
针对大规模的侵犯个人信息行为,在尚不构成刑事犯罪时,由单个的民事主体提起民事诉讼,效率是极为低下的。这种大规模侵犯个人信息的行为,实质上就是对不特定多数人利益的侵犯,是损害社会公共利益的行为。我国公益诉讼制度近年发展十分迅速,检察机关开展民事、行政公益诉讼有明确的法律依据,也已经有全套制度规范和操作指南,顺应社会发展变化,适时拓展办案领域,将个人信息保护纳入检察公益诉讼范围,将会是保护个人信息的有力手段。
注释:
[1] 参见张千帆:《〈法国民法典〉的历史演变》,《比较法研究》1999年第2期。
[2] 参见刘艳红:《网络爬虫行为的刑事规制研究——以侵犯公民个人信息犯罪为视角》,《政治与法律》2019年第11期。
[3] 民法典编纂工作分两步走,第一步编纂民法典总则编,即《中华人民共和国民法总则》;第二步编纂民法典各分编。
[4] 参见陈甦主编:《民法总则评注(下册)》,法律出版社2017年版,第785页。
[5] 参见杨立新主编:《中华人民共和国民法总则要义与案例解读》,中国法制出版社2017年版,第413页。
[6] 参见张勇:《个人信息去识别化的刑法应对》,《国家检察官学院学报》2018年第4期。
[7] 参见丁宇翔:《民法典保护个人信息的三种请求权进路》,《人民法院报》2020年9月25日。
[8] 参见杨立新:《个人信息:法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》,《法学论坛》2018年第1期。
[9] 参见孙南翔:《论网络个人信息的商业化利用及其治理机制》,《河北法学》2020年第7期。
[10] 参见张新宝:《〈民法总则〉个人信息保护条文研究》,《中外法学》2019年第1期。
[11] 參见范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期。
[12] 参见中共中央办公厅、国务院办公厅《关于加强社会治安防控体系建设的意见》,中华人民共和国中央人民政府网http://www.gov.cn,最后访问日期:2020年11月16日。
[13] 参见林鸿潮:《个人信息在社会风险治理中的利用及其限制》,《政治与法律》2018年第4期。
[14] 参见王利明:《数据共享与个人信息保护》,《现代法学》2019年第1期。
[15] 参见程啸:《民法典编纂视野下的个人信息保护》,《中国法学》2019年第4期。
[16] 同前注[10]。
[17] 同前注[15]。
[18] 同前注[13]。
[19] 参见江必新主编:《新民事诉讼法理解适用与实务指南》,法律出版社2012年版,第60页。