论隐私权与个人信息权益的关系与保护模式
——《民法典》第四编第六章的法理解释
2021-12-03李芊
李 芊
(中国人民大学 法学院,北京 100089)
一、问题的提出
隐私与个人信息的相关问题一直以来都是理论界与实践中争论的重点问题,专家学者莫衷一是。《民法典》第四编《人格权》第六章专门对隐私权与个人信息保护做出了规定。对于隐私权与个人信息保护关系的相关阐述包括两部分:第一,在条文中规定了隐私权与个人信息保护的概念及其内容。在权利设置上,《民法典》并未对个人信息采取权利式的保护,没有形成相应的“个人信息权”(1)详情可参见《民法典》第一千零三十二~一千零三十五条。。第二,第一千零三十四条规定“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。由此可以得出以下两个基本解释:第一,我国对个人信息保护并非权利式的保护,没有明确“个人信息权”,《民法典》采用隐私与个人信息交叉说(2)有关隐私权与个人信息保护的关系有三种观点:隐私与个人信息独立说、隐私与个人信息重合说、隐私与个人信息交叉说。;第二,当私密信息同时适用于隐私权保护与个人信息保护时,隐私权保护具有优先适用性。
《民法典》的出台把个人信息推向了在基本法层面予以保护的高度。但是,《民法典》对隐私权与个人信息权益关系与保护模式的相关规定仅做了简单的表述,在实施中还需要进一步解释与调和。一方面,隐私权与个人信息保护之间的关系影响两者的制度安排,需要进行有效的界分与衔接,在这个过程中主要存在以下问题:第一,《民法典》规定的是平等主体之间的民事法律关系,而《个人信息保护法》有一定的倾斜性,给予信息处理者更多义务。在这种情况下,隐私权与个人信息保护如何有效地进行界分与衔接?第二,《个人信息保护法》兼顾公法与私法的内容,是否应该作为《民法典》的特别法存在?第三,隐私权包含更多的消极性权利,权利请求需要满足侵权法要件,而《个人信息保护法》包含更多积极性的权益内容,那么《民法典》隐私权章节规定的个人信息保护的内容属于何种性质,应该被如何看待?另一方面,由于《民法典》对于整个个人信息保护制度是至关重要的,特别是其中的个人信息保护条款在整个个人信息保护制度中起到了关键作用,因此需要明晰以下内容:一则,《民法典》中的个人信息保护条款是作为宣誓性法条存在还是作为实质的法(为个人信息保护提供行为依据)存在?二则,在构建个人信息保护制度过程中,隐私权保护与个人信息权保护的内容如何安排才符合逻辑?
本文尝试从原理层面与制度层面对两者关系进行解释与研究,寻求研究隐私权与个人信息保护的新视角。在原理层面,分别从权利的内容、法律的性质与法律主体的组成三方面展开论述,对隐私权与个人信息保护的发展与关系进行梳理与研究;在制度层面,运用比较法,通过对比欧洲“防守型”与美国“矫正型”的个人信息保护制度的异同,理解权利设置的功用,为解决我国制度设计问题提供素材与借鉴。
二、隐私权与个人信息权益的界分
探究隐私权与个人信息权益的关系与界分,需要溯及隐私权的发展环境与发展特点。隐私权内容的不确定性导致法律具有开放性特点,并随着社会经济与科技发展不断变化与完善[1]。
(一)法律权利:从消极性权利到积极性权利
传统的工业社会对于隐私权的定义限于个人独处、不被打扰的权利。此规定具有消极意义。随着信息时代的发展,隐私权发展出了个人享有对自己信息控制的权利,这种发展使得个人信息受保护权开始转向积极意义。
第一,隐私权作为人格权的组成部分,具有时代性的积极延伸。人格权的消极属性来源于大陆法系的理论实践,深受天赋人权影响。然而,天赋人权理论的目的是防御国家政府干预,并非刻意使人格权消极化。在欧美实践中,伴随着隐私权在民主社会中重要性的提升,一方面,隐私权内容不断丰富,开始融入自主权与控制权等积极性的利益,例如:选择权、访问权、纠正权以及被遗忘权等;另一方面,特别是对于信息隐私而言,公众不断变化的需求使得隐私逐渐成为个人积极选择问题,而非仅仅消极防御。《民法典》把人格权独立成编的一个重要意义在于承认独立的人格权请求权独立于侵权损害赔偿权,这种“分离模式”为人格权的积极发展注入了活力[2]。换句话说,自然人可以基于人格权请求权对抗任何人,这赋予人格权绝对性与对世性,基于这种属性,权利人对其人格利益享有自由支配的权利。至此,我国的人格权设置不再单纯是一种防止受到侵害的消极防御性权利,而逐渐向积极权利开放。
第二,个人信息兼容人格属性和财产属性。随着市场经济的发展与观念的进步,越来越多的人格权具有了一定的财产属性,被称为“物质性人格权”[3]。一方面,大数据时代,算法的日益精细化可以快速捕捉大量信息并分析利用,建立信息库,进行个性化推送,发掘信息经济价值,使得个人信息逐渐被最大化流通与利用,具有了财产属性。另一方面,由于政府与企业对信息的收集与分析,个人信息主体开始主张自己享有控制自己信息流向的权利,例如:个人可以享有对信息的支配权、访问权和分享权等。在这种发展态势下,人格权必然会产生类似于物权中的利用与支配权能。
第三,对信息的利用程度发生变化,信息的公共属性日益显现。隐私权产生伊始即深深植根于西方自由主义与民主实践,自由主义信奉者极力主张脱离政府的控制与媒体的窥探。在这种背景下,隐私权更多地体现为自然人不受侵害的权利[4]。在工业时代,信息主要是有限传播与人工传播,利用范围比较狭窄。到了信息社会,社会环境开始从物理时空进阶到物理与数字相融,人们的生活交往方式发生了翻天覆地的变化[5]。一方面,信息社会丰富了人们利用信息的途径与方式,除了私密信息被公开之外,个人的公开信息也可能被反复分析组合,进而侵扰到人格尊严与生活安定。另一方面,互联网的发展使得信息交互与自由流通不可避免,导致个人信息的利用率明显增高[6]。个人信息一旦出现在网络空间,便从私人领域进入公共领域,面临无限制复制、利用、重组的风险,信息相应地开始具有一定的社会属性,流通于公共领域。
综上,社会因素与法律因素让人格权逐渐从消极性权利演变成积极性权利,隐私权作为人格权之一同样如此,并且在大数据时代逐渐发展出了更具体的保护——对于个人信息的保护。《民法典》通过列举侵害隐私权行为表达了隐私权的对世性与自主决定性(3)《民法典》第一千零三十二条规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”[7]。
(二)法律主体:从面向所有人到针对信息处理者
卢梭认为,人类一切不平等起源于文明,文明带来最直接的变化是强者与弱者的划分,在经济上体现为生产资料占有者与非占有者之分。历史上,富人通过推动和主张“形式平等”,利用优势地位获取更多的财富。但是,随着社会问题的突显,贫富主体之间巨大的悬殊使得人们关注平等的真正含义,开始追求实质平等,认真对待每一项权利。政府开始尝试制定一系列经济法与社会法来实现倾斜保护,维护实质平等,提升社会整体的幸福感。
工业时代,隐私被侵犯的方式主要是被窥探与非法公开,侵犯隐私的群体包括自然人与组织在内的所有人,所以其作为隐私权的主要内容可以通过平等主体之间的侵权法得到保护[4]。信息时代,一方面,信息的收集与利用变得无差别,包括对象的无差别、信息种类的无差别、信息交互的无差别;另一方面,信息收集逐渐成为专业性或商业性主体的职业活动,信息收集者与处理者(包括企业与公共部门)作为掌握技术服务、掌握资本的资料信息占有者,在收集、使用、出售信息时享有得天独厚的优势,例如,知情同意原则之下,企业为了获取用户的信息会使用调整产品、服务或者访问权限等各种方式取得用户的同意[8]。区别于偶然的、个别的信息收集活动,他们更依赖储存与利用实现对信息持续持有。随着信息隐私与个人信息保护的发展,私法无法完全解决个人信息主体与信息处理者之间持续不平等关系所产生的新问题,法律开始通过设置一些新型权利来实现保护的目的,并对信息处理者做出新的制度安排,要求其承担更多的义务。
不同国家立法也进行了相关的实践。例如,欧盟的《通用数据保护条例》(GDPR)在适用范围上首先排除了自然人之间的信息收集与处理,其次排除了“有权机构为了预防、调查、侦查或起诉犯罪,进行的个人数据处理”(4)GDPR第2(2)条(c)规定:“自然人在纯粹个人家庭活动中所进行的个人数据处理不属于GDPR的调整范围。”第2(2)条(d):“有权机构为了预防、调查、侦查或起诉犯罪,为了进行犯罪惩罚,包括为了保证公共安全和预防对公共安全的威胁而进行的个人数据处理。”。这就使得GDPR的适用范围仅限于信息收集者与处理者。美国的个人信息立法也有相同的处理:国家层面上,1974年《隐私权法案》的规制对象是美国联邦机构,《家庭教育权利与隐私法案》规制对象是公共机构等;州层面上,2020年1月1日生效的《加州消费者隐私法案》(CCPA)规制对象是商业主体与企业(5)加州消费者隐私法案[EB/OL].(2019-12-30)[2021-05-15].https:∥mp.weixin.qq.com/s/DzoLEdigySrVwiIiaUn8cQ.。虽然规制对象有差别,但是两部具有代表性的个人信息立法针对的都是具有专业性与商业性的组织。
综上所述,鉴于个人信息保护主要针对的是持续的不平等的权利与义务,只诉诸民法的人格权保护是有一定局限的,因此,个人信息相关权益基于自身特有的属性需要寻求新的保护模式。
(三)法律性质:从侵权法到混合法保护
追溯美国的历史发现,对于隐私权与个人信息的保护是沿着私法到公私混合方向演化的。隐私权的概念自布兰代斯与沃伦提出便被《侵权法案》保护,被侵权者可以基于侵权构成要件寻求救济。在之后的案例判决中,隐私权的概念被广泛运用。直到19世纪六七十年代,联邦法院及各州法院形成了三百个有关隐私权的判决,在注重自由主义与市场经济的氛围下,Alan Westin具体化了隐私权并提出了“信息隐私”的概念,主张个体对于信息的控制[4]。至此,美国开始尝试通过各种方式保护隐私与个人信息。20世纪末21世纪初,以“告知—同意”为核心的公平信息实践原则开始成为个人信息保护的核心制度,隐私政策以新型合同的方式开始发挥隐私保护的重要作用[9](6)企业是主要的推动者,对他们来说,合同保护模式有诸多益处。比如,隐私条款可以保证企业以安全的方式免于责任,企业与平台总有办法能够让隐私条款的利益更偏向自己。而且,企业通过合同方式向用户承诺隐私保护责任可以吸引用户。在我国的实践中,企业会在合规的过程中罗列许多信息用以告知对用户的承诺。总之,对于企业、平台来说,合同是性价比最高的选择。。但是,也有学者认为单纯合同法的保护范围非常狭窄。自从美国联邦贸易委员会(FTC)介入消费者保护之后,就开始承担实际的监管与保护职能[10]。自此,美国关于隐私的立法与执行开始丰富起来,设置了私法保护与联邦监管法规,实践公平信息的内容(7)《美国宪法第四修正案》:“人民的人身、住宅、文件和财产不受无理搜查和扣押的权利,不得侵犯。除依照合理根据,以宣誓或代誓宣言保证,并具体说明搜查地点和扣押的人或物,不得发出搜查和扣押状。”。科学技术的发展与收集信息方式的变化使得美国越来越重视个人信息保护。美国国会与政府开始制定一系列针对特定主体的法律。最重要的是2020年美国州一级立法CCPA,使得个人信息保护立法带有明显的民法与社会法倾向的消费者保护特色。
欧洲各国隐私权与个人信息保护的发展也是沿着私法到混合法的路径展开的,最为典型的是德国个人信息保护的演进。经历过第二次世界大战洗礼的德国深知建立人格权的重要性,提倡尊重人格尊严,并通过联邦法院创设了一般人格权。之后,联邦法院判决1983年人口普查法违宪,继而创设了信息自决权。20世纪70年代,以德国为代表的大陆法系国家迎来了制定数据保护法的高潮,先后制定了州层面的《德国联邦数据保护法》、国家层面的《防止数据处理过程中滥用数据法》等。这些法律通过规制信息收集者与处理者起到保护个人信息的作用,具有公法与社会法规制的特色。同时期,瑞典、奥地利、丹麦等国先后在公法层面与消费者保护层面加强了个人信息保护。总之,从私法保护转变到混合法保护最直接的原因在于个人信息保护从隐私权保护之中逐渐分离。
综上分析,各个国家与地区对于传统的隐私权一般是在私法层面保护,但是由此发展出来的个人信息通常会选择公法与私法混合保护的模式。我国《民法典》规定了个人信息保护的基本概念与内容,这是对个人信息保护的现实问题的一种回应与重视。由于个人信息相关问题具有复杂性,既涉及人格权的问题,又涉及个人信息处理规范的问题,还涉及数据流通的问题,这就需要《民法典》与个人信息保护制度实践保持一定程度的开放性,能够兼容并包地不断迎合新的发展。
三、域外经验:个人信息保护的法律框架
隐私权的流变与演化逐渐发展出了个人信息权益保护的内容,并且在保护方式上呈现出混合法保护的模式。本部分主要通过域外经验对逐渐发展出来的个人信息保护制度进行梳理与分析,为我国《民法典》《个人信息保护法》及相关法的实施与衔接提供借鉴。
(一)欧洲经验——以二元治理展开的个人信息保护实践(8)在讨论数据治理问题时,美国律师与欧洲律师运用的是不同的话语系统。欧洲将有关个人信息的法规称之为“数据保护”法律,美国称之为“隐私信息保护”法律。为了讨论方便,本文将他们约等于我国的“个人信息保护”概念。
欧盟鲜有直接通过私法设置隐私权保护的法律。即使冠有隐私权保护之名,欧盟司法实践也基本立足于规制个人数据与个人信息。虽然《欧盟基本权利宪章》明确了个人信息权与个人数据权,但是这种权利的设立实际上是为保护个人数据提供正当程序,最终依托联盟的监督实现,而并非传统意义上的私法保护。
1980年欧洲理事会制定了供成员国参照和选择适用的《个人数据自动化处理保护公约》,1995年制定了《欧盟数据保护指令》,2016年欧盟又通过了GDPR并于2018年开始实施。这种覆盖整个欧洲(包括政府与私营部门)的数据立法模式在世界个人信息保护范围内产生了广泛的影响。一方面,欧盟的政策鼓励成员国之间的商业与数据流动,制定了《欧盟数据保护指令》,到20世纪80年代后期许多成员国,例如德国、瑞典、法国和英国,颁布并根据此类数据保护法展开运作。另一方面,这种措施对隐私全球化的影响是巨大的。在欧盟运营的跨国公司,如要跨境传输欧盟境内的数据必须符合欧盟制定的数据保护制度或特殊程序,否则不能将个人信息转移出境。因此,国际上一些国家(例如加拿大)为了更好地传输数据,建立了欧盟标准的数据保护规则。
欧盟采取的是非常严格的个人数据监管措施。欧盟GDPR要求企业获得的同意必须是“有效的同意”,是“特定、真实的同意”,并向用户提供其个人数据的副本,在72小时内报告情况,要让用户真正明白企业收集用户信息的意图。实践中,GDPR的要求受到了诟病,这种严格的数据保护措施被认为不利于数据流通与保护,但是在事实层面,全球已经有约120个国家实践了欧洲数据保护模式。尽管它有一定的漏洞与弊端,但是GDPR的存在具有较强的合理性并通过制度自洽的方式对数据展开管理。欧盟GDPR针对个人信息保护形成的二元治理模式的基本框架为“个人权利+严格问责制”(以下简称“欧洲模式”)[11]。
1.个人权利的程序性再生
GDPR对于个人数据收集处理遵循着公平信息实践的框架,例如透明性原则、目的限制原则、数据最小化原则、限期储存原则等。除此之外,GDPR主张赋权于个人,包括知情选择权、访问权、删除权、携带权等,这体现了对人格的尊重与保护。2014年,欧盟法院在西班牙谷歌案中确立了被遗忘权,确认了公民在特定条件下有权要求网站删除其网上的个人信息[12]。除此之外,这种类型化的权利设置在程序上有自己独特的价值:一方面,这种模式方便个人通过类型化权利直接向信息收集者主张权利,一定程度上减轻国家的司法负担[9];另一方面,GDPR赋权于个人的最终目的并非通过私法上的权利控制来保护个人信息,而是依靠个人权利来为算法决策过程提供标准与界限,并为当局监管提供程序正当性基础。换句话说,当算法决策对个人产生巨大影响时(无论是否进入司法程序),GDPR可以基于个人权利的设置以符合形式的方式或过程对不合法行为进行监管。所以,虽然赋权个人在私法领域举步维艰,但是却能以“程序性再生”的方式在规制领域对数据保护起到关键作用。
2.严格问责的工具性效用
欧洲的二元治理模式主要体现在公私之间、各个组织之间的协作上,其中严格的问责制在整个制度中起到工具性的作用。它侧重于评估算法决策事前、事中与事后的风险,并监督信息处理者的行为。这对监管机构提出两个要求:一是权威性强,二是能够与企业保持持续的对话。例如,欧盟在数据治理过程中有一个很重要的任务是防止算法偏见与歧视,但是GDPR中并没有详细规定如何防止。相反,欧盟数据保护委员会(EDPB)在《自动化个人决策和分析指南》(ADM指南)中规定,企业应该定期检查数据歧视设置、定期审查准确性等决策,并进行周期性的部署。欧盟问责的方式并非通过GDPR明确地告诉信息收集者具体如何实现监管,而是通过数据监督与执行机构、信息处理者共同合作就问题找出适当可行的方案并加以解决[11]。
综上,欧洲倡导的是数据综合治理的模式,提倡私法与公法混合治理。这种合作治理的模式被描述为一个更好的治理快速变化的、具有高度技术复杂性风险系统的形式。有效的合作治理需要个人权利设置与问责制双管齐下,在这种模式下,监管与管理体系才能兼得合法与高效。
(二)美国经验——以消费者保护展开的个人信息保护实践
美国个人信息保护大致可以划分为两个时期:1961—1990年的信息隐私初步发展期与1990年至今的信息隐私高速发展期。1960年之前,美国隐私权的内容是非常宽泛与模糊的,基本任由市场主导发展。1890年布兰代斯与沃伦提出的隐私权概念并没有在实践中得到广泛应用,隐私权也并不能作为一项独立的诉因而存在。直到20世纪60年代,隐私权的概念才得到具体化适用。Alan Westin于1967年具体化了隐私权的概念,指出隐私权是人们可以自由进入或者退出社会的权利,并且强调个人对于自己个人信息的控制[4](9)同时代的研究还有:William L.Prosser在司法案例中归结出了隐私权在侵权法领域的四种分类具体化了隐私权的司法适用。Edward T.Hall于1966年发表的《隐藏的维度》(The Hidden Dimension)通过实证研究的方式,深入了解了这个时代美国的隐私态度和政策偏好,为隐私相关研究奠定了实证基础。。至此,伴随着科学技术与信息收集技术的进步,美国的个人信息保护步入发展的黄金期。
1960—1990年是美国隐私权初步发展时期,公众开始在生活各个方面警惕自己的信息隐私是否受到侵犯。政府和私营企业逐渐建立数据库等项目,数据收集成本的降低与科技的进步使得其在组织决策与管理方面得到了较大的改进。政府与组织在系统中设立了许多种族、宗教、政治和性别歧视的模式,使得个人开始动摇对于政府部门的信任(10)另外,政治上最直接的表现为联邦调查局、中央情报局和尼克松政府的滥用职权行为降低了公众对机构的普遍信任,民权斗争、反战、窃听、水门事件等使得大众对信息隐私的担忧以一种社会问题发展。。在这种紧张的环境下,美国的卫生、教育和福利部门合力制定了公平信息实践(FIP)框架,成为美国接下来三十年的保护个人信息的主要方法。这一时期通过了大量联邦立法与州立法,包括通过公平信息实践框架规范新技术应用、政府活动与各种不平等行为(11)例如1980年的《隐私保护法》与一些系列规制法;1986年的《电子通信隐私法》,将1968年的窃听法院命令和控制程序扩展到数字语音数据和视频通信;1984年的《有线通信政策法案》,要求有线电视公司将信息收集做法告知订户并提供订户访问权限;1988年的《视频隐私保护法》,禁止视频商店披露其客户的姓名和地址以及他们租用或购买的视频。此外,在雇主与雇员关系上,基于平等革命、对新型社会的宽容和争取人才引进,政府和企业开始取消对雇员的监督。美国国会在1988年通过了《雇员测谎保护法案》(Employee Polygraph Protection Act),禁止雇主通过测谎仪对雇员进行撒谎测试。。这些部门立法大部分指向政府不合理的窃听行为、雇主侵害雇员隐私行为与侵害消费者知情权与隐私权的行为。
自1990年至今,随着互联网兴起、无线通信技术发展与大数据的应用,“信息隐私”问题逐渐成为美国政治与社会最重要的问题之一。最突出的方面是美国的消费行业从工业时代的大众营销转变为信息时代的个性化营销,企业需要不断获取个人的消费记录与消费偏好。从1990年开始,政府开始重点关注公司隐私政策中的不公平与欺骗性交易行为,但是由于缺乏判例与依据,多数以和解结束。随着FTC的发展,美国的隐私判例得到极大丰富,并出现了一些具体的执行标准,这使得美国隐私保护的实践逐渐完善起来。可以说,美国个人信息保护制度完善的过程就是具有民法与社会法性质的法律不断矫正和具体化监督的过程,在这个过程中,当局通过消费者保护法与判例来具体化公平信息实践中宽泛的原则与准则,同时为市场活动设立底线(以下简称“美国模式”)。最具有代表性的是2020年加州实施的CCPA,把美国个人信息保护推向全新的平台与高度。
(三)欧美模式之间的“信息争夺战”以及形成的制度差异
有观点认为,欧盟开创了国际隐私法,美国加州立法CCPA是欧盟立法GDPR的延续以及精简[13]。也有观点认为,虽然CCPA借鉴了欧洲立法技术,但它是在美国领土上重新建立的个人信息保护框架[14]。以GDPR为代表的欧洲模式与以CCPA为代表的美国模式在全球范围内形成了个人信息保护的“割据之势”。两种制度主要在以下三个方面存在差异:
第一,两种模式的立法背景不同。欧洲采取二元治理模式归根于欧洲数据发展背景:一方面,欧盟的人权保护传统使得欧洲分外注重人的尊严和权利保护,加大个人控制与赋权立法的传统可以为欧洲数据立法提供正当性并助力欧洲数据保护;另一方面,欧洲没有大型的互联网企业,在世界范围“数据争夺战”中处于弱势地位,因此,他们在数据战争中会选择加大“防守”,采取贸易保护主义的态度,这也是防止数据流失的一个关键举措。在这种模式的影响下,世界范围内形成了著名的布鲁塞尔效应:欧洲通过单边或者谈判的方式,向世界输出欧洲标准,继而欧洲的信息收集市场准入标准成为全球标准[15]。反观美国是全球互联网“大厂”聚集地,例如脸书、亚马逊、推特、苹果、微软等,他们的立法模式大多积极促进数据市场流通,目的是使数据能够没有阻碍地进入美国。在此实践下,FTC作为消费者保护的主要监管机构逐渐发展成为美国数据保护的执行机构[1]。美国立法更多关注消费者领域的维权,选择在必要的领域对信息进行严格管制。
第二,两种模式的立法主体不同。欧盟采取的是统一综合立法习惯,而美国采用的是具体部门立法习惯。作为世界两大经济实体,欧盟是作为一个组织对数据进行立法,而美国是作为一个国家对信息隐私进行立法。两个经济实体立法的手段与目的不同,最终导致立法产生的结果不同。欧盟作为管理者与监督者,一般会通过公法与国际法对成员国的不合法行为进行规制与管理。对于美国而言,一方面,其作为一个国家进行立法的目的是解决本国民生切要的问题,所以通常会聚焦社会最突出的问题,例如前文提到的“企业与消费者”之间的冲突;另一方面,判例法传统使得美国更加注重积累实践经验,归纳总结出本国最突出的问题,从而进行立法保护,例如,FTC通过丰富隐私判例与制定细化的隐私保护实践标准,矫正美国原先对于消费者保护宽泛的立法与标准。如此来看,美国通过民法与社会法实现对自由市场中消费隐私领域立法与标准的矫正。
第三,两种模式的法律框架不同。有学者总结欧洲为“权利话语体系”,而美国为“市场话语体系”[16],不同原则引导建立的个人信息保护框架最终产生不同的结果。欧盟沿袭欧洲立法的“权利体系”传统,认为信息处理行为是否合法必须有相应的法律规定[15],也就是说除非有法律明确规定,否则不能处理个人信息。此外,欧洲还为收集信息设置了很多限制,比如用户在一定情况下可以选择撤销同意,用户有被遗忘权等。相比之下,美国属于“市场体系”,其对于数据信息的收集是自由开放的,市场上允许信息自由流通,除了涉及医疗、金融、教育、儿童等特殊领域需要单独立法规制。消费者与企业可以进行信息交易,法律的作用是监管不公平的交易行为。美国的个人信息保护制度主要集中于对消费者的保护,尤其注重保护不同信息市场中的消费者。
综上所述,由于立法背景、立法主体与立法框架不同,欧洲与美国形成了两种不同的个人信息保护制度,最终在国际上形成了“防守型”的欧洲数据保护阵营与“矫正型”的美国信息隐私保护阵营。欧洲的数据收集与使用的原则为“法无授权即禁止”,个人有权利控制自己的信息,非法律允许与个人同意,数据不可被收集或者使用。美国模式为“法无禁止即可为”,法律默认企业可以收集信息并可以在交易中与消费者讨价还价,除非有法律明令禁止[17]117。
虽然欧洲和美国对于个人信息保护的法律框架不完全相同,但是最终均采用了公法与私法混合的保护模式,其中对我国最具有借鉴意义的是如何实现法律之间的衔接。欧洲通过设置个人权利为整个数据收集与保护过程提供程序性依据,并依赖严格问责制为其保驾护航。美国在自由的市场中不断发掘值得保护的信息隐私利益,以判例的方式矫正宽泛的监管标准。对于个人信息保护制度来讲,欧洲是“权利前置型”的,而美国是“保护后置型”的。所以,每个国家或地区对于个人信息保护立法是有选择倾向的。虽然这两个法域的经验具有借鉴意义,但是我国立法与实施的背景与欧美完全不同,既不同于欧洲的权利体系,也不同于美国的市场体系,需要从我国立场与实践上进行解释与选择。
四、进一步解释与制度设计
如前所述,隐私权与个人信息权益存在交叉关系,个人信息保护的内容在隐私权保护模式基础上逐渐发展。这不仅是历史的趋势,也是我国隐私权发展的必然结果。本文对《民法典》进行重新解释的目的在于更好地调和隐私权与个人信息保护之间的关系。这种调和并非否定《民法典》的规定,而是在理论层面论证两者之间衔接的必要性与正当性,丰富实践的应用。
(一)《民法典》在个人信息保护制度中的地位
首先,《民法典》对于个人信息保护的意义重大。第一,《民法典》在民事基本法的高度上给予个人信息保护高度重视,为其进一步细化提供了基础。相比之前的民事立法,《民法典》对个人信息保护做出了一些基本的规定,例如,规定了个人信息的概念与类型、原则、与隐私权之间的关系、信息处理者的义务、个人信息合理使用等。第二,《民法典》区分隐私权与个人信息保护,在基本法的高度上确认两者关系,有利于司法实践。同时,民法的规定能够为个人信息保护提供正当性基础,为数据流通与利用划出法律底线。第三,《民法典》在民法上承认对个人信息相关权益的保护,体现了我国对人格尊严与自由的关怀,目的是维护人民的权利与利益。所以,《民法典》中有关个人信息保护的条款并非仅仅具有宣誓性意义,更具有与隐私权区分并进行实质性保护的意义。
其次,分析《民法典》条文可知,个人信息保护的内容既没有通过权利设置式的保护路径,也没有完全使用隐私权的保护路径,而是以特殊的方式存在。除此之外,我国《个人信息保护法》对信息处理的过程进行了较为完整的规定,既与民事法律存在关联,又具有一定的规制法特色。《个人信息保护法》中多处存在公私合作的影子(12)《个人信息保护法》第六十二条规定:“国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作……”第六十四条规定:“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。”这些规定体现了一定程度的合作精神。,而《民法典》与《个人信息保护法》的衔接对于个人信息保护治理体系的建设起着至关重要的作用。
(二)相关规定的进一步解释
对《民法典》进一步解释之前,需要明晰民法与《个人信息保护法》之间的关系。对于民法与《个人信息保护法》的关系有以下两种观点:一种观点认为民法中规定了个人信息保护的内容,所以个人信息保护具有民事属性,应作为民事特别法[18];另一种观点认为《个人信息保护法》兼具公法与私法属性,应该是一部综合性的规范,而非民事特别法[6,19]。本文认为我国的《个人信息保护法》并非《民法典》的民事特别法,属于综合法范畴,但是《个人信息保护法》中的民事规范部分具有特别法的特征。虽然学界对于《个人信息保护法》的性质众说纷纭,但可以确定的是,《个人信息保护法》中的民事规范与《民法典》隐私权部分存在多处衔接。例如《民法典》中对个人信息的定义与《个人信息保护法》中对个人信息的界定基本相同,这象征着一种衔接的关系。在此基础上,本文对《民法典》第四编第六章做进一步的解释。
1.法律主体之间的衔接
《民法典》拟制民事法律关系是平等主体之间的发生的,而《个人信息保护法》大部分内容针对的是信息处理者,并对弱势群体予以倾斜性保护。虽然两者针对的主体有差别,但是《民法典》与《个人信息保护法》中均规定了个人信息保护的内容。《民法典》第四编第六章规定的是与隐私性权益相关的个人信息保护内容,而《个人信息保护法》是对信息处理过程的规定,这看似存在矛盾,但是实际上体现了我国个人信息保护制度的特色。这种制度安排一方面说明《民法典》在《个人信息保护法》中起提纲挈领的作用,在私法层面强调了其重要性,另一方面为个人信息流通划定了“权利”的底线——个人的人格尊严不容侵犯。当信息处理过程中触及隐私权等人格性利益,无论双方主体是什么身份,两者均处于隐私关系当中,应该依据隐私权优先给予保护,其中主要涉及与人格相关的救济。所以说,相比于《个人信息保护法》,《民法典》虽然涉及的主体范围更广,但是保护的内容更精准、对人格的保护更严格。
2.私密信息与敏感信息的处理
《民法典》第一千零三十四条规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”这说明两者之间的重合点限定于私密信息,即自然人不愿为他人知晓的信息(例如婚姻信息、财产信息、健康信息、家庭信息、医疗信息等)。是否私密是划分信息的一个标准,私密信息属于《民法典》保护的范围,非私密信息属于个人信息保护的范畴。由此来看,私密性标准与隐私挂钩,所以信息的私密性程度越高,越关涉隐私保护程度与力度。另一个划分信息的标准为敏感信息与非敏感信息,这是处理个人信息时的分级标准。《民法典》更关注的是与人格尊严相关的隐私信息,而非个人信息的敏感程度。换句话说,《民法典》在乎隐私性权利与利益,而《个人信息保护法》在乎的是具体操作与信息处理的过程是否合法,这个过程会涉及信息的分级处理问题。因此,自然人之间有关私密信息的纠纷适用于隐私权保护,自然人与信息处理者之间的纠纷,更注重个人信息本身的性质以及处理个人信息过程是否合法。
3.当事人主张单个相关权利时的处理
民法规定平等主体之间的法律关系,权利与义务基本呈现对等的关系。而《个人信息保护法》的适用是具有一定前提的,一般针对的是商业化、专业化的大型企业或者公共机构,他们之间所形成的法律关系更呈现为持续的不平等的权利义务关系,体现在信息收集与利用的过程中。在这种法律关系中,信息主体享有更多的积极性权利,而信息收集者要承担更多的义务。例如:当事人基于访问权、被遗忘权、删除权、查询权提出请求,这时需要《个人信息保护法》保护。所以,涉及自然人与信息处理者之间有关私密信息的纠纷,个人可以基于隐私权提起诉讼,也可以就个人信息保护提起诉讼,这取决于所主张权利的性质。如果所主张的权利是人格性、消极的隐私权利的保护,那么需要民法的保护;如果主张的是积极性的权利,那么可以通过《个人信息保护法》保护。一方面,虽然隐私权开始向积极性权利开放,但是经前文分析,《个人信息保护法》具有民事规范特色的部分属于特别法。基于特别法优于一般法的原则,在实际操作时还应当援用特别法加以保护。另一方面,积极性权利涉及信息处理的过程,需要更加严格的监管,受《个人信息保护法》的特殊保护。
4.当事人主张多个相关权利时的处理
如果个人信息保护纠纷涉及多种权利,势必存在哪种权利优先保护的问题。《民法典》第一千零三十四条规定私密信息优先适用隐私法,实际上暗含个人信息保护中的一条原则:如果两者相冲突,由于隐私性权益具有更重要的意义,所以依靠基本法优先保护。所以,当事人主张多种权利时,无论依赖哪部法律,隐私性权利或者利益总是能够得到优先关注与保护。
(二)我国个人信息保护路径的设计与展望
我国有着独特的法律与市场环境:第一,信息技术革命的兴起使得人们的思想方式、交往方式、商业环境产生了翻天覆地的变化,个人信息收集与利用方式也逐渐翻新,传统的私法保护方式无法应对现实。第二,我国有着大陆法系的成文法习惯,在立法与实践上习惯于综合性立法。第三,我国政府在提倡营造良好营商环境的同时,也十分警惕数据泄露与非法跨境传输。我国拥有众多大型互联网企业,例如阿里巴巴、腾讯、字节跳动、京东等,这就决定了我国在数据治理的过程中要权衡好数据保护与数据流通之间的关系。
结合相关背景与立法,我国对个人信息的保护有望采取国家主导、公法私法结合、社会力量多方参与的合作治理的方式。国家通过立法、执法统一治理,发挥政府灵活能动的职能,对信息与数据的收集使用进行监管与保护。行业通过自律性制度形成行业共识与标准。公民通过参与共治了解企业运作模式,减少信息不对称问题等。这种方式表现为一种不同于欧美的制度设置,本文称之为“统筹兼顾型”设计。在这种治理模式当中,一方面,应当对隐私权与个人信息保护进行双重关注,兼顾人格权与日常信息处理的程序性监管;另一方面,在具体的监管过程中采取更加灵活的方式来应对复杂的数据风险问题。
1.基本法层面的权利与权益设置
《民法典》中有关个人信息的规定在一定程度上是在基本法的层面确定了个人信息相关权益的重要意义。2021年8月20日通过的《个人信息保护法》在宪法层面对个人信息予以高度重视(13)2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过了《个人信息保护法》,该法于2021年11月1日起实施。第一条:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”。这不仅为个人信息保护设置了底线——人的人格尊严不容侵犯,也为《个人信息保护法》的实施设置了衔接点。在这一点上,我国吸取欧盟立法的优势,注重权利的设置,其不仅以实体法的方式存在,而且以程序启动的正当性基础获得了新的生命力,为后续的信息处理过程提供了更多的原则性指导。除此之外,不同于欧洲的是,我国重视隐私权与个人信息保护之间更紧密的衔接,为具体适用提供了可供参考的依据。协调好隐私权与个人信息保护两者之间的关系是建立我国自洽制度的前提与基础。
2.信息处理过程中的信息分类与场景保护
信息分级管理是个人信息保护制度中的重要环节。根据主体的不同,信息可以分为个人信息、商业信息与公共信息等;根据敏感程度不同,信息可以分为敏感信息与非敏感信息;根据重要程度不同,信息可以分为普通信息、重要信息与核心信息;等等。信息分级与分类的目的是根据信息关系的不同进行场景化保护。Nissenbaum[20]140提出的场景理论对此进行了较为详实的研究。个人信息要在不同场景与关系中予以保护。例如,法律对敏感信息做了更为严格的规定,我国《个人信息保护法》第二十九条规定:处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。我国《数据安全法》确定了数据分类保护制度,区分了重要数据与核心数据的概念,等等。对于信息和数据的分级和分类也需要行业与专业层面的参与和协助,这将会促进合作治理的进程。
3.风险治理
个人信息保护的一个重要方面就是预防风险、管控风险。目前,我国关于风险防控的法律包括《个人信息保护法》《数据安全法》《网络安全法》《国家安全法》等。2021年7月10日,国家互联网信息办公室发布了《网络安全审查办法(修订草案征求意见稿)》,向社会公开征求意见(14)国家互联网信息办公室.国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知[EB/OL].(2021-07-10)[2021-07-15].https:∥mp.weixin.qq.com/s/U17ju wADOhA5yZNle-bsSA.。这是具体落实风险防控的关键举措,也是个人信息保护制度的重要环节。个人信息风险防控包含在信息收集、储存、利用与共享的每个步骤中,由于技术性较强,需要进行综合治理,需要主管单位事前、事中与事后的多方位监管,需要监管与技术并行,行业与企业共同参与。
五、结语
世界范围内国家与地区乃至企业对个人信息与公共信息的保护都深受国家安全与政治安全所影响。从《个人信息保护法》的颁布可以看出,我国对于个人信息保护的态度十分坚定与明确,同时兼顾了个人信息流通的良性发展,这种统筹兼顾型的制度设计带有鲜明共治共享的中国特色。
从国家层面来看,解决好隐私权保护与个人信息保护的协调问题有助于平衡个人信息保护与数据流通。我国的个人信息保护应该从制度建设出发,以合作治理作为抓手。治理并非简单的部门法相加,而是要更注重公众参与风险防控。我国亟待建立完善个人信息保护与数据合作的治理体系,在制度与适用上做好安排,通过法律法规具体实施,进一步细化,在《民法典》塑造的“共商共治共赢”环境中最终实现国家治理体系和治理能力现代化。
