大数据背景下个人信息保护的公私法衔接
2021-05-21张力黄鑫
张力 黄鑫
摘要:当前立法规范所呈现的个人信息权利化路径面临着过度保护与保护不足的双重困境,同时也难以回应大数据时代系统性的信息安全风险。个人信息本质上是由一些具体人格权权利内容和其他人格性利益糅杂而成的综合体。内容上的复杂性要求私法采取“权利”与“法益”相区分的保护路径。属于“法益”部分的个人信息,承载了更多的社会公共利益,无法由具体人格权所覆盖,但可通过“违反保护他人的法律的侵权责任”进行保护,从解释论的角度以《侵权责任法》第6条第1款作为转介条款,将公法域的个人信息保护性规定引入私法体系,增强法律适用的确定性,实现公私法保护的有效衔接。
关键词:个人信息保护;数据保护;公私衔接
中图分类号:D923
文献标识码:A
文章编号:1673-8268(2021)01-0047-09
大数据时代,个人信息的海量收集与大规模处理引发的社会问题比比皆是,加强个人信息保护已成为社会共识。但法律究竟该以何种路径进行保护,目前仍存在争议。主流观点认为,应采取个体主义的立场,将个人信息作为私权客体通过私法路径加以全面保护,其内部包括具体人格权说[1]、一般人格权说[2]、人格权兼财产权说[3]等。新晋观点主张,个人信息天然具有易于流通和分享的特性,难以成为私权客体,我国未来的个人信息保护立法应当侧重消费者法保护和公法保护的路径[4]。
笔者认为,这两种观点都偏向于某种极端。鉴于个人信息天然的公共价值属性,传统私权化保护模式的确存在明显的局限性。而且,面对大数据时代系统化的信息安全风险,出于管控国家网络信息安全、维护承载于个人信息上的公共利益的需要,公法介入个人信息保护势在必行。但这种介入不能矫枉过正,不能完全采取以公法為主导的保护模式,私法并非毫无用武之地。在公、私领域相互交错的背景下,单一私法保护和完全公法规制之间仍存在折衷地带——建构公私法整合保护模式。为此,应当跳脱权利思维定式,重新厘定个人信息的私法属性,采取“权利”和“法益”相区分的保护模式。宜将具体人格权射程范围之外的个人信息定性为“法益”,通过“违反保护他人的法律的侵权责任”进行保护,进而以《侵权责任法》第6条第1款作为转介工具,将公法上的个人信息保护性规定源源不断地转介入私法,以它们所确立的行为标准作为个人信息侵权判断的依据,实现公私法规范的接轨汇流,达致个人信息保护整体法秩序的和谐。
一、个人信息私权化保护的困境
(一)当前立法规范所呈现的个人信息权利化倾向
近年来,我国对公民的个人信息保护日益重视,自2012年全国人大常委会通过《关于加强网络信息保护的决定》以来,颁布了大量有关个人信息保护的法律规范,例如,《中华人民共和国网络安全法》(以下简称《网络安全法》)《信息安全技术个人信息安全规范》《电信和互联网用户个人信息保护规定》等,初步构建了个人信息保护体系。2020年5月28日,《中华人民共和国民法典》(以下简称《民法典》)正式颁行。这部“社会生活的百科全书”也在人格权编中专章规定了“隐私权和个人信息保护”,并依据总则第111条的精神进行了具体的制度安排,构成了个人信息保护的制度基础。
通过梳理上述法律规范的体系和内容可以看出,目前关于个人信息保护的法律规范呈现出以下两个特点。其一,将所有个人信息统一保护,适用同样的保护规则。以《民法典》人格权编为例,第1034条第2款采用了比较法上通行的“可识别性”规则,总结了《网络安全法》第76条的立法经验,明确了个人信息的内涵和外延。关于个人信息的抽象定义和具体列举,《民法典》和《网络安全法》都未区分不同属性、不同类型的个人信息,所有个人信息在逻辑体系上都适用一致的保护规则。其二,把个人“选择”或“同意”作为收集个人信息的合法性要件,并确立信息更正权等一系列信息权利。《民法典》第1035条确立了个人信息处理的合法性、正当性、必要性原则,将当事人“同意”视为收集、处理自然人个人信息的唯一的合法性前提,仅在第1036条规定了有限的作为例外情况的免责条件。第1037条规定了信息主体的查阅、复制、更正、删除等系列权能,与第1035条相结合,赋予了信息主体在个人信息公开前后对信息收集和信息处理活动的“决定权”。
纵观其规范架构不难发现,当前的立法规范是以“信息自决”这一基本理念作为基础并构建起相关权能体系,将所有的个人信息无差别地视为私权的客体,并且沿袭了以“用户同意”为主要授权手段的传统路径,试图赋予信息主体对与之相关的个人信息以“控制权”。然而,“一刀切”地将所有个人信息作为私权客体给予统一保护是否符合个人信息的复杂属性?能否应对多样化的社会现实?上述制度构建所呈现的“信息自决”这一制度目标以及所确立的“控制权”是否现实可行?
(二)个人信息私权化保护路径的困境
上述以“信息自决”为基础的立法规范,本质上是在权利思维的框架下进行的制度构建,试图在个人信息之上构建一种“控制性信息权利”。然而,绝大部分个人信息不具备“归属效能”“排他效能”以及“社会典型公开性”[5],无法满足作为权利加以保护的基本特征。建构以支配和控制为目的的个人信息自决权(information self-determination),以“知情同意”机制作为实现路径,不仅在基础法理层面存在无法自洽的逻辑硬伤,在具体实施过程中也面临着巨大挑战。
1.过度保护阻碍行为自由
无论人身权抑或是财产权,其核心功能都在于将特定利益归属于特定主体,从而排除其他主体的不法干涉。然而,个人信息是一个极具开放性和包容性的概念,能够涵盖一切具有“识别性”的数据信息,不仅外延宽泛、边界模糊,在技术上也无法为任何主体所支配。若建构起导向支配、控制性的个人信息权,苛求行为人对个人信息的关注,也要承担和对权利的关注同等的注意义务[6],必将对信息收集和处理的行为自由造成不合理的过度限制,阻碍信息的自由流通和合理利用。
首先,个人信息不具备“归属效能”和“排他效能”。个人信息虽可识别特定自然人,但此种联系并不足以使个人信息完全归属于特定个人,或者使个人就具有识别性的个人信息享有排他性的支配利益。作为人类社会属性的载体,个人信息让个人能够标识自己,也使社会公众能够辨识该特定个人,让其获得人格并融入社会,最终达成卡尔·马克思所说的“人是社会关系的总和”。此种沟通媒介功能使个人信息天然具有公共价值属性和易于流通性。因此,个人信息不能比照“物”的原始取得方式与信息主体形成归属关系。相反,每一条信息(即便是个人信息)都是多归属的,不能只为受影响的各方所垄断,更无法归属于特定个人,不具备“归属效能”。“排他效能”以“归属效能”的存在为前提,既然个人信息不能完整地归属于信息主体,信息主体则无法完全支配和控制与之相关的个人信息。在个人信息被处理时,信息主体虽享有一定的发言权,但并不总是拥有最终决定权,难以绝对排除他人的干涉,因此,也不具备“排他效能”。
其次,个人信息不具备“社会典型公开性”。主观权利的客体能够通过一定的公示手段清晰明了地昭然于世,使得社会一般人尽到合理注意义务之后能够避免或减少侵害的可能性。然而,姓名、肖像、隐私信息之外的绝大部分个人信息,如Cookie信息、交易记录等人格疏远型个人信息,这些在网络空间活动中遗留的琐细、零散的数字足迹根本不具备清晰可见的客体外观,无法通过公示为他人划定行为禁区。私人之间的追责须以“期待可能性”为前提,个人信息不具备“社会典型公开性”,个人信息的“假定权利人”与潜在侵权行为人之间没有一条清晰的界限,行为人固然无法判断何时发生了“越界”。若承认信息主体对一切个人信息的收集、处理、利用拥有绝对的控制权,必将导致个人信息收集者、利用者处于动辄得咎的窘境,自由意志难以挥洒,无法充分发挥上述人格疏远型个人信息之上所附着的巨大经济价值,甚至还会导致“隐形交易更加猖獗”[7]。
综上所述,个人信息不能通过“归属效能”“排他效能”以及“社会典型公开性”三大标准的检验,并非典型、规律、公开的权利客体,难以为其他民事主体的行为提供合理的预期,不具有使他人避免侵害的期待可能性。若执意在个人信息之上建立具有绝对性和排他性的控制权,不仅会让自然人陷入信息孤岛,个人信息侵权现象也会在日常生活中“逐渐泛化”[8],而且整个社会终将因无穷的相互诉追而秩序大乱。
2.保护不足形成控制幻觉
在个人信息“权利化”的思维定式下,“知情同意”机制被视为“个人信息保护的基石”和“信息自决权的真实表达”。该机制的基本运行逻辑是,只有经过信息主体的同意,个人信息的收集和利用方可取得合法性,主要目的在于保障信息主体对与之相关的个人信息的“控制权”。
然而,随着互联网的高速发展和智能设备的深度开发与多样化应用,数据企业通过日臻完善的大数据挖掘技术对所收集的用户个人信息进行智能整合、重组、建模以及再利用。在信息流动的周期过程中,信息用户对与之相关的个人信息的控制权逐渐式微,继而成为信息网络中信息生成、变化和流转过程中的一个节点。信息时代,任何主体都无法真正占有和完全控制个人信息。由此看来,赋予用户对与之相关的个人信息以“控制权”不过是立法者的一厢情愿。
况且,想要通过“知情同意”机制保障所谓的“控制权”也并不具有可操作性。现实生活中,由于缺乏个人信息保护意识或相关专业知识与技能等原由,人们不阅读或几乎不阅读冗长艰涩的隐私声明。即便对某些条款有异议,用户也只能被迫接受,否则就无法使用软件或接受服务,这实质上架空了用户的选择权。
彰显私法自治的“知情同意”机制在实践中流于形式,成了空中楼阁,隐私声明简而无用、多而无功,变成“僵尸条款”[9]。这种建立在法律虚构基础上的机制在加强个人隐私权益保护方面几乎形同虚设,反而会造成一种无法实现的控制幻觉,让用户自以为能够控制与之相关的个人信息或是对信息收集和处理能够起到决定性作用。
3.难以应对系统化信息安全风险
大数据时代,数据的产业化应用已然成为数字经济的重要标志之一。大规模的个人信息收集和利用数见不鲜,信息资源也成为不可或缺的无形资产和社会财富。为充分发挥数据的商业价值,许多企业选择将收集到的用户信息外包给独立的专业化信息处理企业进行整合分析。“第三方信息处理者”应运而生并且已成为个人信息商业价值挖掘的重要一环。
无可否认,“第三方信息处理者”的加入虽然便捷了企业经营,增强了信息处理的专业性和有效性,但也进一步加剧了大规模的个人信息泄露和非法买卖频发的风险。此种信息处理模式增强了“个人信息收集的隐蔽性及流转的复杂性”[10],用户面临的不再仅仅是与服务提供商直接、单一的联系,还要同时面对与数据中间商和数据后续利用者等多重主体的关联。这个过程不仅涉及多方主体,且侵害过程更加复杂,损害结果也更具潜伏性、持续性和放大性。愈发复杂的信息收集方式和信息不规范流转,使得单个的信息用户很难客观、有效地判断和防范此种复杂性和系统化信息安全风险,即便受到侵害也无力举证证明实际侵权人及自己所受的具体损害,难以通过提起侵权诉讼获得救济。
私法(侵权法)主要功能是救济独立的、一次性的侵权损害,只能在微观私域对个人信息权益作有限保护。面对极具系统性、复杂性的信息安全风险,传统私法(侵权法)已捉襟见肘,既无法为单个受害人提供救济,也无法凭借一己之力对抗个人信息权益在大数据时代所面临的种种威胁。
概言之,近年来,立法逐渐形成的统一化保护规则和知情同意框架,過于严苛地束缚了数据的流通和利用,不仅严重阻碍了社会正常交往,也抑制了“信息石油”的价值挖掘,对数据经济发展和技术创新构成了制度性约束,在具体实施过程中既面临着“过度保护”和“保护不足”的双重困境,同时也难以回应复杂性、系统化的信息安全风险。
二、个人信息私法属性的重新厘定
权利思维定式无法将以民事公共秩序为表征的民事法益纳入其分析和调整范围,并导致权利的非理性扩张。在个人信息保护方面,表现为上述立法规范所呈现的个人信息权利化倾向,主张设立支配性、控制性的个人信息权,构建被遗忘权(right to be forgotten)、更正权、访问权、数据可携权(right to data portability)等系列权能,以保障个人信息不受非法侵害。然而如前所述,无论采取何种权利定性,试图通过个人信息的权利构建来规制和保护个人信息都存在诸多理论上的龃龉。此种保护路径既不符合个人信息的非客体性,也无法为个人信息权益提供实质保护,反而成为信息时代释放数据红利的严重掣肘。
传统的个人信息私权化的制度构架之所以面临上述困境,究其根本,在于没有真正厘清个人信息的复杂属性,采取“一刀切”的方式将全部个人信息作为私权客体予以排他性保护,从而忽略了绝大部分个人信息的公共价值属性和承载的社会公共利益。因此,个人信息已经难以为传统的民事权利谱系所包容,亟需破旧立新,因势利导,跳脱民法权利思维的束缚,重新厘清个人信息的复杂属性和所承载的多重权益,梳理保护路径。
按照国际上通行之“识别”标准,一切可以“识别”(直接识别或间接识别)特定自然人的数据信息都可以纳入个人信息的范畴。可见,个人信息的外延非常宽泛,不同属性的个人信息之上所附着的人格性权益、财产性权益和社会公共利益的程度均不相同,若将所有个人信息视为样态统一、性质不变的权利客体而适用相同或类似的保护规则,不仅在技术上缺乏现实可能性,而且会导致法律适用上的利益失衡。只有对受保护的个人信息进行类型化处理,才能“避免个人信息概念的模糊性缺陷,防止规范适用的空洞化”[11]。本文根据个人信息的性质和承载权益的不同,将个人信息内容类型化,区分隐私权、姓名权、肖像权等具体人格权所调整的范围,以及归属于法益的部分,分别适用不同的侵权责任。
(一)“具体人格权”范畴所涵盖的个人信息
个人信息与既定的具体人格权的权利内容有着千丝万缕的联系。具体而言,姓名权、肖像权、名誉权、隐私权等具体人格权囿于社会伦理道德观念的束缚,未能经受充分的市场经济洗炼,形塑出稳定、清晰的内涵、范围以及权能构造,其中标表自然人人格和身份特质的内容逸散而出,与信息时代个人信息不受非法收集利用的法益相结合,形成“个人信息权益”。
姓名信息、肖像信息、隐私信息等直接表征和彰显自然人身份特质的个人信息,特别是其中具有高度敏感性和私密性的个人生物识别信息、医疗健康信息、金融信息等,呈现出极强的人格利益,其泄露和非法使用将会严重影响个人的基本生活、侵犯人格尊严和人格自由发展,需将其作为“权利”客体,适用“一旦侵害,直接征引违法性”的侵权规则以提供绝对保护。与此同时,这些指涉核心人格领域、紧密关联个人私生活的个人信息,与姓名权、肖像权、隐私权等具体人格权的保护对象高度重合。因此,当加害人的行为既侵害了个人信息权益,也侵害了隐私权、肖像权、姓名权等具体人格权时,应当直接适用具体人格权的救济进路,通过业已成熟的人格权救济机制为其提供周全保护。这也可以解释长期以来司法实践中个人信息保护相对于名誉权、隐私权保护的“附属”地位[12]。
(二)“法益”范畴所涵盖的个人信息
具体人格权射程范围之外的其他个人信息,例如,Cookie信息、网络交易记录等,这些零散、破碎又微小的信息与特定的IP地址相连,通过大数据的发掘、整合技术进行分析、重组,已然具备了“可识别性”或“关联性”,扩大了个人信息的范围。然而,此种人格疏远型个人信息与上述关涉人格尊严核心领域的个人信息有着实质差别。
一方面,此类信息外延漫无边际且处于动态变化之中,不具备清晰可见的权利外观,无法归属于特定的主体,难以通过前文所论及的“归属效能”“排他效能”和“社会典型公开性”三大标准的检验,不宜将其作为具有固定边界的私权客体进行保护。
另一方面,这些人格疏远型个人信息与特定自然人的联系十分疏远,需结合其他信息通过整合分析才具备可识别性或关联性,承载的人格利益较弱。作为大数据开发利用的核心资源,其承载了更多的财产性利益和社会公共利益,逐渐演变成一种“公共产品”。首先,从企业的角度来看,在数据经济产业中,企业对个人信息进行规模化的整合、加工使之成为具有预测性的“信息产品”,进而通过精准营销等手段以实现经济效益,此种集体化处理模式旨在发挥信息的集合效应而非针对单个信息进行牟利,因此,“缩减了获取信息之后的下游产业环节中信息主体可能行使权利的空间”[13]。此外,在此过程中,企业需投入大量的资本和技术,依据投入成本获得相应权益的原则,企业对于自己投入成本获得衍生数据应拥有相应的财产性权益。其次,从社会角度而言,社会也需要收集和整合信息,进行社会治理与公共决策。在重大突发公共事件情形下,个人信息所承载的公共利益会更加凸显。例如,在当前新型冠状病毒肺炎疫情期间,各级政府、医疗卫生机构及互联网企业充分利用人工智能、云计算等大数据技术,对确诊者、疑似者、密切接触者等重点人群的个人信息进行收集、分析、处理和有限公开,建构一体化、系统性的联防联控机制,为疫情分析、病毒溯源、资源调配等工作提供了强有力的信息技术支撑。
总之,人格疏远型个人信息的本质和所承载的财产性权益与社会公共利益要求信息主体的权益在一定程度上减让。因此,不能再将其作为权利客体,而应将其定性为“法益”。对于“法益”部分个人信息的保护,不应赋予信息主体“控制权”隔断其自由流通,而是要在防范和规制信息安全风险的基础上,维持信息保护和数据利用的平衡。
(三)“场景理论”的运用
近年来,主张个人信息保护可以借鉴隐私制度中的“场景理论”的观点日益受到广泛认同和提倡。此种以场景为导向的个人信息保護路径强调跳脱传统架构中二元化的“全有或全无”式的评判,要求在相应环境中具体审视个人信息收集和利用的多元因素,避免脱离场景做抽象式的预判。本文所主张的“权利+法益”的区分保护模式与“场景理论”虽然关注的重点不同,但二者并非毫无关联或者非此即彼的关系。相反,该区分保护模式的实行在以下两个方面需要“场景理论”的运用。
其一,上述个人信息的“权利”与“法益”的区分不能作绝对化理解。随着个人信息进入公共领域的程度、信息主体的身份、信息收集与利用的目的等因素的变化,某一个人信息可能在“权利”和“法益”之间来回变化。此时,需要法官运用“场景理论”,在具体环境中,综合考虑信息处理的风险、当事人容忍义务及其对信息的控制力等因素,判断所涉个人信息到底属于“权利”抑或是“法益”进而适用不同保护路径和裁判规则。
其二,对于属于“法益”部分的个人信息,一方面,由于其与“权利”的性质不同,无法适用“一旦侵害,直接征引违法性”的侵权规则,需要法官在個案中寻找更高的保护门槛;另一方面,这部分个人信息本身承载了多元化的人格性权益、财产性权益以及风险预防等社会公共利益,为平衡各方利益,法官必须在具体场景中进行利益衡量。因为在特定场景下,个人信息的保护可能会促进某种权益,场景一旦变化,个人信息保护不仅无法促进某种权益,反而可能阻碍他种权益的实现。场景导向的理念秉持的个案分析精神符合“法益”部分个人信息的保护原则。然而场景由多元因素构成且各因素影响力不同,完全由法官在个案中综合考量和评估会造成法律适用方面极大的不确定性,如何消除此种不确定性,可行的办法就是引入公法所规定的“行为标准”进行辅助判断,这正是本文第三部分所涉及的问题。
综上所述,个人信息实质上是由一些具体人格权权利内容和其他人格性法益相互糅杂而成的复杂混合体[14]。个人信息内容上的复杂性要求侵权法在设置保护规则时不能一概而论,需依据类型化的思路展开,采取“权利”与“法益”区分的保护路径。以具体人格权覆盖关涉核心人格领域、承载重要人格利益的敏感信息,为其提供绝对保护。人格疏远型个人信息背后承载了多元化权益,宜将其作为“法益”在个案中进行利益衡量,提供更高门槛的保护,以实现区分不同敏感程度的个人信息的差异化保护,调和个人信息保护和开发利用的冲突。
三、个人信息保护的公私法衔接
属于“法益”部分的个人信息无法为民事主体所排他性地占有和控制,天然具有易于流通和分享的特性,彰显私法自治的“知情同意”机制在实践中流于形式,大规模的个人信息泄露、遭到非法买卖的事件频繁发生,单个消费者维权困难。以上均说明私法在个人信息保护上具有局限性。由于管控国家网络信息安全,维护承载于个人信息上的公共利益的需要,公法的介入势在必行。“现代化带动公领域和私领域的扩张,两者间呈现的不只是反应左右意识的波段式拉锯,而且是越来越多的交错。”[15]在此背景下,个人信息已经“溢出”传统“私域”向“公域”延伸[16],必须综合利用公法和私法为个人信息的长足发展保驾护航。公法和私法都不是一个自洽的封闭系统,二者可以且需要互相支援和相互“工具化”[17]。
(一)个人信息语境下公私法衔接之可能性
综合运用公法和私法已经成为大数据时代个人信息保护的必然选择,接下来需探求的是二者衔接的“可能性”,也即公法和私法能否在个人信息保护的语境之下实现有效整合和接轨?如果可以,能够借助哪些“工具”或通过何种途径?
在前文所论及“权利”与“法益”区分保护的框架下,不同类型的个人信息应当适用不同的保护规则。属于“法益”的绝大部分个人信息由于其背后的多元权益,无法适用“一旦侵害,直接征引违法性”的规则,需要法官在个案中遵循“场景化”的判断规则进行利益衡量,因此,法官在侵权责任认定中扮演了唯一的重要角色。如前所述,大数据时代愈发复杂的信息收集方式和信息不规范流转,使得个人信息侵权认定面临着巨大的挑战,判断侵权主体的过错、损害后果以及因果关系殊为不易。虽然利益总是千变万化难以由立法控制,但法官拥有完全的自由裁量权必然会导致判决的随意性与非统一性。如何有效合理地消除一般侵权领域法律适用的“不确定性”,一直是摆在学者和法官面前的真问题而非假议题。若能够找到可以辅助民事法官认定个人信息侵权责任的“工具”,帮助法官在纷繁复杂的具体案件中准确又便捷地认定侵权的构成要件,则事半功倍。
此时,事无巨细、多如牛毛的公法规范便进入我们的视野。风险社会的到来,使现代国家从中立的“守夜人”向规制国转变。自动化信息处理技术所带来的个人信息可能遭到非法泄露、滥用的风险,促使国家制定大量的管制型规范加以规制。自2012年全国人大常委会通过《关于加强网络信息保护的决定》以来,我国颁布了大量有关个人信息保护的法律规范。截止到2020年1月1日,共有《刑法》《网络安全法》《传染病防治法》等35件法律、13件行政法规、1件监察法规、9件司法解释、78件部门规章涉及到“个人信息保护”。通过筛选甄别,有相当数量的规范可以成为识别个人信息法益的保护性规定。这些保护性规定构建了个人信息收集、处理的行为规范体系,针对个人信息的收集和利用树立了纷繁复杂的行为标准,提供了相对清晰的合规指引。
一方面,若将这些细致的、操作性强的公法规范引入私法,将这些具体行为标准的违反作为个案中界定“过错”或“因果关系”等构成要件的出发点[18],以此来辅助判断个人信息的收集或利用行为是否满足侵权行为的构成要件,既能提高“法益”部分个人信息的保护门槛,也能极大增强责任认定的可预见性和稳定性,避免司法判决矛盾丛生,对于民事法官而言实属一大幸事。例如,《网络安全法》第21条明确要求网络运营者履行“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”等安全保护义务。若网络运营者违反了上述规定,且对信息用户造成了实质损害,则完全可以此种安全保护义务的违反来辅助认定相关运营者是否有“过错”,以及推定损害与违法行为之间具有因果关系,或至少存在表面证据,如此便可在很大程度上提高侵权责任认定的确定性和可操作性。
另一方面,将个人信息法益的保护性规范引入私法体系,以公法的价值判断和具体标准作为私法上主体活动的“行为标准”,也会使得这些公法规范“因为侵权法的参引而富有实效,更具有可执行性,更具有尊严与活力”[19]。私法上可能的赔偿后果使得违法的成本增加,进而增强个人信息收集者和利用者遵循公法规范的自觉,从某种程度来说也就增强了对违反上述规范的遏制作用,减少个人信息侵权行为。
如此一来,不仅私法会因为这些公法规范的内容而极大丰富和完整,增强法律适用的确定性,而且也能更好地维护主体对公法规范的遵循,辅助公法强制目的的实现,使得涉及个人信息保护的公法和私法相互支援,实现相互“工具化”。
(二)个人信息保护公私法衔接的具体路径
按照上述思路,将个人信息法益的“保护性规定”引入私法,法官能够运用已有的保护个人信息的法律规范辅助认定加害行为和过错要件,进而实现公法与私法在个人信息保护上的有效衔接和互相支援。继而亟需解决的问题,就是如何将个人信息的“保护性規定”引入或是转介至私法体系,也即行为人违反了涉及个人信息的保护性规范之后的私法责任是如何导致的。
若立法者已经意识到民事赔偿问题且作出了明确规定,使这些公法规范本身就附带了私法赔偿效果,法官则可直接对违反该公法规范的行为加之以民事责任。例如,《中华人民共和国社会保险法》第92条、《中华人民共和国居民身份证法》第19条等,除了规定相关机构或工作人员泄露个人信息时应当承担的罚款、拘留等公法责任外,还明确规定“对他人造成损害的,依法承担民事责任(赔偿责任)”。但必须承认的是,此种情况在浩如烟海的公法规范中只是“凤毛麟角”,更多的情况是立法者只会考虑该规范在公法上的效果,毕竟“苛求他们须对私法的相对正义也同样做充分的考量,则不仅高估了立法者的能力,同时也会导致立法成本过高”[20]。此时,就需要“转介条款”来发挥将未直接规定私法赔偿后果的个人信息公法规范评价地引入或转介至私法体系的作用。
从比较法的经验来看,“违反保护他人的法律的侵权责任”起到的就是这样的“转介条款”的工具作用。法官在判断侵害利益的行为是否构成此种侵权责任时,必定要考虑相关“保护他人的法律”,借助该法律对行为人所设立的种种行为义务来认定“过错”等构成要件,进而将这些公法性质的保护性规定引入私法体系。然而,我国侵权法上并不存在直接规定“违反保护他人的法律的侵权责任”的一般条款。在转介条款阙如之际,司法实践该如何寻求法律依据?
笔者认为,可行的办法是结合我国学说中的既有讨论,从解释论的角度,利用违法性要件将《侵权责任法》第6条第1款(《民法典》第1165条第1款)在司法适用中具体化为导向或接近德国式的“侵害绝对权的侵权责任”“违反保护他人的法律的侵权责任”和“违背善良风俗故意致损的侵权责任”三种侵权类型,以此作为“违反保护他人的法律的侵权责任”的一般条款,涵盖所有受法律保护的民事利益,当然也就能够涵盖本文所讨论的个人信息法益。
通说认为,《侵权责任法》第6条第1款是侵权法最核心的请求权基础规范。从文义解释来看,该款采取法国式的大一般条款模式,将绝对权和绝对权之外的利益无差别地纳入保护范围,合称“民事权益”,无论过错侵害他人的“权利(绝对权)”还是“利益”,均应该承担侵权责任[21]。
然而,“权利”和“利益”在保护程度和保护要件上差异迥然,将二者同等保护的做法必定会引发过度限制行为自由、法律适用的确定性不足等负面影响。国内许多学者早已意识到上述诸多弊端,并就侵权法上的权益区分保护达成一定共识,主张通过解释的路径,将权益区分保护的思想和规则嵌入现行法框架内。目前,主要有葛云松教授的“目的性限缩”[22]和于飞教授的“限缩解释+目的性扩张”[23]两种解释路径,二者虽各有利弊,但都能使侵权责任一般条款类型化,将《侵权责任法》第6条第1款具体化为德国三个小概括条款的模式。立基于此,《侵权责任法》第6条第1款通过解释,可作为“违反保护他人的法律的侵权责任”的一般条款,一方面,作为保护绝对权之外的法益的经典依据;另一方面,更好地实现公法与私法的内部衔接。
属于“法益”部分的个人信息,本质上就是一种需要法律保护的人格利益,无法作为权利进行保护,但可以纳入“违反保护性规定的侵权责任”的调整范围。进而根据其运作原理,凭借上述个人信息“保护性规定”针对个人信息的收集、利用所树立的具体行为标准,辅助认定侵害个人信息法益的构成要件,将公法规范的内容引入私法体系,实现个人信息保护语境之下公私法的有效衔接。
四、结论
当前,民法学界与民事立法所呈现出的个人信息“私权化”倾向[24],很大程度上可以归因于未能深刻认识个人信息的复杂属性。属于“法益”部分的个人信息天然具有易于流通和分享的特性,无法为民事主体所排他性地占有和控制。法律上的确权不仅无法收到事实上的效果,而且反而会导致诸多弊端。随着信息社会的不断发展,个人信息之上不仅承载着“人格尊严”和“人格自由”,也附着了越来越多的财产性权益和公共利益。面对现代社会大规模、系统性的信息安全风险,我们必须承认传统私法保护路径的局限性,须向公法借力以补其不足。无论法律适用还是理论研究,公法与私法都不能“各自为政”,应注重二者的配合与衔接。《刑法》《网络安全法》《传染病防治法》等公法均有个人信息的保护性规定,通过“违反保护他人的法律的侵权责任”,以《侵权责任法》第6条第1款作为转介条款,将这些保护性规范引入私法体系,不仅能够增强民事法律适用的确定性,而且还能使公法和私法相互支援,实现二者在个人信息保护上的接轨汇流。
参考文献:
[1]杨立新.个人信息:法益抑或民事权利——对《民法总则》第111条规定的“个人信息”之解读[J].法学论坛,2018(1):34-45.
[2]谢远扬.信息论视角下个人信息的价值——兼对隐私权保护模式的检讨[J].清华法学,2015(3):94-110.
[3]李伟民.“个人信息权”性质之辩与立法模式研究——以互联网新型权利为视角[J].上海师范大学学报(哲学社会科学版),2018(3):66-74.
[4]丁晓东.个人信息私法保护的困境与出路[J].法学研究,2018(3):194-206.
[5]于飞.侵权法中权利与利益区分方法[J].法学研究,2011(4):104-119.
[6]阳庚德.侵权法对权利和利益区别保护论[J].政法论坛,2013(1):102.
[7]汤敏.个人敏感信息保护的欧美经验及其启示[J].图书馆建设,2018(2):46.
[8]杨芳.个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体[J].比较法研究,2015(6):33.
[9]姬蕾蕾.个人信息保护立法路径比较研究[J].图书馆建设,2017(9):22.
[10]朱宣烨.新时代个人信息民事保护路径研究——以存在第三方信息处理者情况下的民事责任分配为视角[J].法学杂志,2018(11):134.
[11]谢远扬.《民法总则人格权编(草案)》中“个人信息自决”的规范建构及其反思[J].现代法学,2019(6):146.
[12]张建文,高完成.司法实践中个人信息的保护模式及其反思——以隐私权的转型为视角[J].重庆邮电大学学报(社会科学版),2016(3):27.
[13]商希雪.个人信息隐私利益与自决利益的权利实现路径[J].法律科学(西北政法大学学报),2020(3):81.
[14]张力,莫杨燊.法益论视角下个人信息侵权法保护之类型化[J].重庆邮电大学学报(社会科学版),2020(3):42-53.
[15]苏永钦.民事立法与公私法的接轨[M].北京:北京大学出版社,2005:74.
[16]王学辉,赵昕.隐私权之公私法整合保护探索——以“大数据时代”个人信息隐私为分析视点[J].河北法学,2015(5):63-71.
[17]解亘.论管制规范在侵权行为法上的意义[J].中国法学,2009(2):62.
[18]朱岩.违反保护他人法律的过错责任[J].法学研究,2011(2):86-99.
[19]叶名怡.论违法与过错认定——以德美两国法的比较为基础[J].环球法律评论,2009(5):100.
[20]苏永钦.走入新世纪的私法自治[M].北京:中国政法大学出版社,2002:329.
[21]王胜明.中华人民共和国侵权责任法解读[M].北京:中国法制出版社,2010:10.
[22]葛云松.《侵权责任法》保护的民事权益[J].中国法学,2010(3):37-51.
[23]于飞.权利与利益区分保护的侵权法体系之研究[M].北京:法律出版社,2012:231-257.
[24]李倩.论《民法总则》第111条个人信息保护的法益立场[J].重庆邮电大学学报(社会科学版),2019(1):39.
Abstract:The way which views personal information as the object of civil right faces the dual dilemma of over-protection and under-protection. It is also difficult to respond to the systematic risks caused by large-scale information collection and processing. Personal information is essentially a composite of some concrete personal rights and other personality interests. The private law needs to distinguish between the protection of “rights” and the protection of “legal interests”. As a common good, personal information belonging to the “legal interests” cannot be covered by concrete personal rights, but can be protected by “the tortuous liability of breach of statutory duty”. By legal interpretation, Clause 1 of Article 6 in The Law of Tortious Liability can be a referral clause. Through this clause, the provisions of protective law about personal information can be introduced into the private law system to achieve the integration of private law and public law.
Keywords:personal information protection; date protection; private and public law integration
(編辑:刘仲秋)
