APP下载

权利属性视角下个人信息的法律保护

2021-08-09叶俊涵

西部学刊 2021年11期
关键词:个人信息

摘要:我国《民法典》的人格权编对个人信息保护作出了相关规定,但仅表述为“个人信息保护”而未明确“个人信息权”,使个人信息的权利属性较为模糊,不利于司法实践的认定。个人信息既具有人格权属性,同时还表现出数据经济价值的财产属性。传统的知情同意原则在实践中对个人信息的保护存在一定的困境,如对于信息主体已公开的个人信息的收集使用是否侵犯公民个人信息权益;在信息企业间进行的信息数据库转移时,知情同意原则往往被架空。情境脉络完整性理论是对传统知情同意原則进行补充的方式,可以通过情境化场景化判断原始收集信息时与后续信息的转移利用是否在信息主体合理预期范围内,从而优化个人信息保护的路径。

关键词:个人信息;知情同意原则;情境脉络理论

中图分类号:D913文献标识码:A文章编号:2095-6916(2021)11-0056-03

在信息时代,个人信息往往以数据形式为载体,在数据等相关产业中被广泛收集、存储、转移和利用。个人信息的本质是数据,因此数据产业的发展和个人信息保护之间的关系错综复杂,实践中产生的矛盾也日益突出,表现在个人信息的人格权属性强调信息主体对个人信息的支配、利用与数据产业对数据集合进行加工利用之间的矛盾。这是因为,个人信息既具有人格权属性还具有财产权属性[1]。在司法实践中,对于个人信息保护路径的核心是采用知情同意原则,将信息主体的知情同意视为个人信息被收集和使用的必要条件,但在任何情况下都遵循知情同意原则可能会阻碍数据产业的发展[2],因此需要重新构建个人信息保护的路径,以达到数据等产业的发展和个人信息保护的平衡。

一、个人信息的权利属性

个人信息既具有人格权属性,同时还表现出数据经济价值的财产属性,同时具有信息自决权和数据财产权两个方面。理解个人信息权利属性有助于构建完整合理的个人信息保护规则。

信息自决权的概念起源于德国《联邦个人信息保护法》,其含义是指个人依照法律控制自己的个人信息并决定是否被收集和利用的权利[3]。我国法律规定了信息自决权,即个人信息权人得以直接控制与支配其个人信息,并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用。个人信息保护被纳入《民法典·人格权编》,人格权保护的核心是人格尊严,信息自决权完全体现了个人信息的人格权属性。

个人信息的本质是数据,数据所产生的经济利益便体现其财产属性。美国学者雷席格主张应当赋予数据财产权,以解决信息过度保护和限制数据收集、流通和利用的难题。然而,虽然个人信息具备一定的财产属性,但是单独的个人信息是不体现经济价值的,只有对数据进行批量化的收集、整合和加工后形成的数据产品,才具有值得保护的财产价值。因此,个人信息所体现的数据财产权的主体不应当是信息主体本身,而应属于数据企业即生成出数据产品的主体。

对个人信息的权利属性进行区分,有助于解决实践中知情同意原则适用的困境。信息自决权属于人格权属性,其主体应当归属于自然人信息主体,而数据财产权的主体只能是数据企业,知情同意原则应当只适用于信息自决权,采取此种权利属性区分方式,既可以达到保护自然人个人信息的目的,也能够破除现实中个人信息与数据流通的障碍,从而促进信息产业的发展。

二、典型案例中个人信息的法律保护

(一)关于信息自决权的典型案例

“新浪微博诉脉脉抓取微博用户数据案”,大致案情为,新浪微博起诉脉脉非法抓取、使用新浪微博用户信息。双方合作结束后,脉脉不仅未及时删除双方合作期间获取的新浪微博用户信息,还非法抓取并使用新浪微博用户的头像、名称、受教育情况等个人信息。新浪微博起诉脉脉构成对新浪微博用户信息数据的侵犯,构成行业不当竞争行为。脉脉提出抗辩道:脉脉软件中的用户信息来源合法,未非法抓取新浪微博用户信息,新浪微博用户对将其个人信息选择对外公开,是属于自愿公开的信息,因为展现了其他有关头像、名称、教育信息等,才使得第三方可以将其新浪微博账号准确定位。

法院判决脉脉构成非法获取新浪微博用户已公开的相应个人信息。其判决理由为:开发者应用或服务需要收集用户个人信息数据的,应当事先获得用户的同意,并告知用户相关个人信息数据收集的目的、方式和范围,且新浪微博用户自愿公开的个人信息也不能成为脉脉获取相应信息并展示在软件应用中的正当理由。最终法院认为脉脉获取数据的行为侵害了新浪微博相关用户的个人信息权益。

本案的争议焦点在于脉脉获取新浪微博用户自愿公开的个人信息是否属于非法获取。首先,法院的判决理由是依据传统的知情同意原则,脉脉是在未经信息主体明确同意的基础上,获取信息主体已经公开的个人信息并将其体现在脉脉软件的应用中,该行为侵犯了个人信息主体的信息自决权。然而,有学者认为,信息主体自愿公开的信息表明的是当事人授权公开的信息,对于授权公开的信息的收集和利用不应当认定为是侵犯了公民的信息自决权,其已行使信息自决权中的支配行为。亦有学者指出,信息主体选择公开的个人信息仅仅是在新浪微博范围内基于社交目的而自愿公开的相关个人信息,并未明确授权第三方主体可以进行收集并利用。综上所述,本案争议焦点在于知情同意原则的适用,自愿公开的个人信息在任意情况下是否都能被认定为当事人已经行使了信息自决权,并默许他人或第三方收集利用。

(二)关于数据财产权的典型案例

数据财产权体现在数据企业双方的数据财产转让中,最典型的案例就是“淘宝商铺转让案”。大致案情为,宋某和黄某将自己的淘宝商铺出售给邓某,该商铺包含淘宝用户的个人信息,如身份信息、支付宝账号和银行卡卡号等。转让商铺之前,宋某和黄某已经要求信息注册人签署同意转让商铺的协议。审理该案的法院认为宋某和黄某违反国家规定,以营利为目的,将涉及公民个人信息的淘宝商铺出售给他人,构成侵犯公民个人信息罪。

该案的争论焦点在于,在明确经过信息主体同意的情况下,进行包含公民个人信息的数据财产权转让,是否侵犯了公民的信息自决权。从刑法层面看,该案违反国家规定,将履行职责或提供服务过程中获得的公民个人信息,出售或者提供给他人的,构成侵犯公民个人信息罪。本案判决中不合理之处在于,从民法层面看,明确经过信息主体同意,便视为信息主体对个人信息行使了信息自决权,即商铺转让过程中不存在侵害个人信息权益的情形,但是却在刑法层面被认定为侵犯公民个人信息罪。网络商铺的转让虽然涉及公民个人信息,但是本质上是属于数据财产权的转让,尚未侵犯信息自决权。实践中,倘若过分强调个人信息的保护,无疑会对数据财产的利用增添不必要的阻碍。因此,当前民法个人信息理论发展需要分清个人信息权益的基本属性,将信息自决权和数据财产权进行分离,只有在侵犯信息自决权的情况下,才可以得到个人信息保护的相关救济。

三、个人信息保护知情同意原则的局限性

(一)知情同意原则

知情同意原则作为个人信息保护法的基本原则对个人信息保护起着重要的作用。知情同意原则是指信息控制者在向信息主体收集个人信息时,应当将个人信息所被收集、处理和利用的具体情况充分详细的告知信息主体,并征得信息主体明示确认[4]。知情同意原则充分契合了个人信息权益中信息自决权的内涵。对于信息自决权方面,适用知情同意原则可以最大化地保护个人信息权益不受侵犯。

(二)知情同意原則的局限性

1.对信息自决权保护的局限性

实践中,数据企业直接收集信息主体“已公开”的信息时,知情同意原则的适用表现出一定的局限性。在信息主体自愿公开相关个人信息的情况下,第三方对个人信息的收集和使用是否侵犯信息自决权引起争议。如上文案例,脉脉基于新浪微博用户公开的个人信息,帮助其在社交媒体上自动匹配信息主体所倾向的交友对象,以满足用户的社交目的。从法益方面来讲,无论是在新浪微博上自愿公开的个人信息,还是脉脉收集到的个人信息,都是源于信息主体出于社交目的而自愿公开的信息,应当没有侵犯到信息主体的信息自决权,倘若实践中硬性要求第三方收集利用信息时获得信息主体的同意,不仅在操作上难度极大,而且会加剧协调信息保护和数据开发利用之间的矛盾。

2.对于数据财产权保护的局限性

在信息时代背景下,适用知情同意原则不仅难以达到个人信息保护的效果,反而会阻碍数据的流通和经济价值的利用。由于我国法律未明确将个人信息权利属性二分为信息自决权和数据财产权,数据转让过程并非一定涉及侵犯信息自决权的法益,对权利属性的混淆导致实践中对个人信息的保护存在缺陷。例如上文中的案例二,淘宝商铺的转让是在通过信息主体同意的情况下签订协议后进行的数据财产转让,依照知情同意原则,并未侵犯到公民的信息自决权,但是却被认定为侵犯公民个人信息罪。

四、引入情境脉络完整性理论完善个人信息的法律保护

(一)情境脉络完整性理论

情境脉络完整性理论最早由美国学者鲍姆提出,起初用于规定隐私权保护。情境脉络完整性理论也叫场景导向理论、场景风险控制理论,其含义是个人信息的收集、使用和转移要根据不同的情境脉络适用相应的保护规范,即根据具体的情境、语境认定信息的流通是否适合。将该理论引入到个人信息保护中,要求涉及个人信息的转移应当考察收集个人信息时的具体情境,信息后续的利用和转移不能超出原始的情境脉络。是否侵犯到个人信息权取决于对该信息的性质和用途是否超出了信息主体的合理预期及是否在风险的可接受范围[5]。

(二)适用情境脉络完整性理论对个人信息的保护路径

1.对信息自决权保护的完善

对信息自决权的保护应当适用知情同意原则,而知情同意原则在适用过程中存在一定的缺陷,引入情境脉络完整性理论,即可对知情同意原则进行补充和完善。已公开的个人信息本质上是信息主体人已经行使信息自决权的结果,但是在该信息后续的收集和利用环节,数据企业难以再次征得信息主体的明确同意,在此情形下,可以考虑弱化知情同意而采用情境脉络模式进行判断。例如在上文案例一中,用户已经自愿公开的相关个人信息被脉脉进行收集和利用,尽管尚未取得信息主体的同意,但是其收集和利用的方式符合其在新浪微博社交语境下自愿公开的基于社交的目的和范围,在该情景下,脉脉未曾将用户信息披露给第三方,或者用于社交以外的其他目的,因此并未侵害新浪微博用户的信息自决权。倘若数据分析公司在未获得信息主体明确同意的情况下将信息适用在不同的场境情景下,或者用于其他目的,就可能构成对用户个人信息的侵犯。即只要信息的处理和利用符合最初“情境”,则无需信息主体明示同意也可构成与知情同意相同的合法结果。

2.数据财产权流转中对信息自决权的例外保护

单纯的数据财产转让并不一定涉及对公民个人信息的侵犯,只有当数据财产转让过程中,涉及侵犯信息自决权时,才需对其进行法律保护。判断数据财产流转过程中个人信息是否值得保护,可以引入情境脉络完整性理论。以实质的情境、场景为核心,判断是否存在侵犯信息自决权的情形。例如上文案例二中关于数据财产权的转让,被告人自愿出售淘宝商铺的行为,其转让的对象范围仍是淘宝平台的商家,并且也未将用户信息用于其他用途,即并没有超过最初个人信息的使用情境,不存在侵犯个人信息的情形,不构成侵犯公民个人信息罪。综上,可以基于情景脉络完整性理论来确定一系列的规范条件,在不超出收集利用信息的原始情境范围下,对数据财产权进行转让便无需征得信息主体的同意。

五、结语

本文从个人信息权利属性角度切入,将个人信息权二分为信息自决权和数据财产权。个人信息仅适用人格权保护已经不适应当前数据经济时代的发展,应当考量数据财产权的属性。数据财产权的交易和转移并不一定涉及对个人信息的侵犯。传统的知情同意原则在该问题的解决上存在一定的缺陷,在实现对个人信息保护的路径建构中,可以引用情景脉络完整性理论对个人信息自决权进行保护,从而对知情同意原则进行补充和修正。在涉及数据财产权的情形下,亦可以使用情境脉络完整性理论对数据财产情境进行分析,倘若没有改变最初信息收集和使用的目的和范围,就没有增设对个人信息侵犯的风险,就不涉及侵犯公民个人信息,仅仅视为财产的交易和转移;当个人信息收集和使用的情境发生改变时,就应当进一步审视是否需要对个人信息提供有价值的保护,从而平衡数据经济发展与个人信息权益保护的矛盾和冲突。

参考文献:

[1] 程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(3).

[2] 谢远扬.《民法典人格权编(草案)》中“个人信息自决”的规范建构及其反思[J].现代法学,2019(6).

[3] 王利明.数据共享与个人信息保护[J].现代法学,2019(1).

[4] 陆青.个人信息保护中“同意”规则的规范构造[J].武汉大学学报(哲学社会科学版),2019(5).

[5] 范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016(5).

[6] 方禹.数据价值演变下的个人信息保护:反思与重构[J].经贸法律评论,2020(6).

[7] 彭雨婷.大数据时代个人信息保护制度完善研究[J].武汉冶金管理干部学院学报,2020(4).

[8] 杜碧莲.论大数据背景下个人信息保护法律框架的完善[J].法制与经济,2020(11).

[9] 王明睿.大数据时代中个人信息保护的《民法典》研究[J].法制与社会,2020(32).

[10] 郑维炜.个人信息权的权利属性、法理基础与保护路径[J].法制与社会发展,2020(6).

作者简介:叶俊涵(1997—),男,汉族,湖北十堰人,单位为吉首大学法学与公共管理学院,研究方向为刑法学。

(责任编辑:朱希良)

猜你喜欢

个人信息
重拳打击泄露公民个人信息的“内鬼”
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
主题语境九:个人信息(1)
警惕个人信息泄露
“区块链+个人征信”业务的个人信息权保护
为“合法经营”而侵犯公民个人信息的司法适用
侵犯公民个人信息罪的司法适用问题研究——围绕“两高”个人信息刑事司法解释的展开
论侵犯公民个人信息罪的法益
免费WiFi易致个人信息泄露