个人信息保护在民法中的表达
——兼论民法与个人信息保护法之关系
2021-12-08王苑
王 苑
自然人作为个人信息的主体,自然人的姓名、肖像等个人信息与其人格须臾不可分离。因此,有学者认为,个人信息作为人的延伸,应当由主体所掌控,体现个人意志。〔1〕参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018 年第3 期,第88 页。自罗马法以降,民法就保护个人信息上的人格利益(如罗马私法上侵辱之债,〔2〕参见[德]马克斯·卡泽尔、罗尔夫·克努特尔:《罗马私法》,田士永译,法律出版社2018 年版,第549 页。对自然人的名誉的保护)。传统民法“从法律技术上将人格分割成一个个要素,择其主要者予以维护”,〔3〕参见黄立:《民法总则》,1994 年10 月台湾初版,自行发行,第94 页;转引自龙卫球:《论自然人人格权及其当代进路——兼论宪法秩序与民法实证主义》,载《清华法学》2002 年第2 辑,清华大学出版社2003 年版,第131 页。其保护路径层次非常清晰:首先,对肖像、姓名等边界清晰的人格利益,通过肖像权、姓名权等具体人格权予以保护;其次,对在历史沉淀中已经类型化形成了规范群的隐私利益,提炼出隐私权作为一项具体人格权保护;〔4〕参见方新军:《一项权利如何成为可能?——以隐私权的演进为中心》,载《法学评论》2017 年第6 期,第118 页。最后,边界不明的其他人格利益,则置于一般人格权这项框架权利下。以上为个人信息在民法中表达的第一个层面。本文主要关切的为第二个层面,即信息时代个人信息如何保护?
一、作为一项基本权利的个人信息保护权
个人信息成为基本权利的客体,主要源于信息技术应用对个人权益保护的挑战。20 世纪60 年代以后,随着计算机技术的不断发展,信息的大量收集、存储和利用成为可能,使个人权益受到侵害的可能性增大,传统意义上具有消极、被动特点的人格权很难适应社会发展的需要。〔5〕参见周汉华主编:《个人信息保护法专家建议稿及立法研究报告》,法律出版社2006 年版,第48 页。个人信息侵权逐渐表现为三个方面的新特征。首先,侵权人主要为组织体,自然人作为侵权人的案件甚至可以忽略不计。〔6〕参见张新宝:《〈民法总则〉个人信息保护条文研究》,载《中外法学》2019 年第1 期,第72 页。其次,侵害手段多样化,且侵害结果具有隐蔽性和持续性。长期、自动、大规模收集、处理个人信息的手段被组织体使用,其收集和处理行为不易察觉,比如“智能音箱记录家庭对话”“大数据杀熟”等。最后,侵害事件具有高发性和高风险性。比如传播他人隐私的行为,在普通个人信息使用关系中,其传播范围窄,且具有偶发性,发生侵权的风险远低于信息处理关系。而在信息时代,个人信息被泄露甚至买卖,大范围低成本传播,风险极大。
美国学者们认识到普通法侵权救济已经不足以应对日新月异的技术发展,为了平衡个人及信息控制组织之间的关系,以威斯丁(Westin)、米勒(Miller)等为代表的学者提出了信息隐私概念,将个人信息的保护纳入了美国隐私权之下,认为个人“有能力控制信息的流通”〔7〕Arthur R. Miller, The Assault on Privacy, University of Michigan Press, 1971, p.248.或是“个人、群体或组织决定自身信息何时、如何及何种程度与他人进行交流。”〔8〕Alan F. Westin, Privacy and Freedom, Atheneum, 1967, p.7.主流观点认为1977 年华伦诉罗伊案确认了信息隐私在美国是一项宪法权利。〔9〕Whalen v. Roe, 429 U.S. 589 (1977).同时,政策制定者开始通过部门立法寻求新的个人信息保护路径,迎来了20 世纪70 年代的联邦立法潮。〔10〕See Colin J. Bennett, Regulating Privacy: Data Protection and Public Policy in Europe and the United States, Cornell University Press, 1992, pp.68-74.欧洲为应对技术发展的挑战采取了更为强力的举措,欧洲人权法院解释《欧洲人权公约》(ECHR)第8 条第1 款时认为该条包含了“使用个人数据对个人进行不可预测的分析可能对言论自由、隐私权和身份权(the right to privacy and identity),以及个人自决造成的影响”。〔11〕Nora Ni Loideain, “Surveillance of Communications Data and Article 8 of the European Convention on Human Rights”, in Serge Gutwirth, Ronald Leenes & Paul De Hert eds., Reloading Data Protection, Springer, 2014, p.183.并在1981 年通过了国际上第一个数据保护公约——欧洲委员会《个人数据自动处理中的个人保护公约》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)。2007 年《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union,以下简称“欧盟宪章”)更是宣布数据保护为一项独立于隐私权的基本权利。〔12〕See Woodrow Hartzog & Neil Richards, “Privacy’s Constitutional Moment and the Limits of Data Protection”, 61 Boston College Law Review 46 (2020).美国法语境下对隐私权限缩(剔除堕胎等对个人身体的自决等)的信息隐私概念,与欧盟的个人数据保护概念殊途同归。虽然欧美对隐私或个人数据保护路径不同〔13〕关于欧美从隐私到个人信息的历史沿革,有学者指出欧美最初隐私都是私法上的概念,通过侵权法予以保护,但是随着隐私(个人信息)的重要性加强,殊途同归,无论是美国还是欧洲,“隐私”(或个人信息)概念都已经突破了私人救济的范畴,由公、私法合力规范,但欧美均未抛弃私法层面对隐私(个人信息)的保护。参见丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018 年第6 期,第200-203 页。,但是个人信息保护作为人权或基本权利保护几乎已成为一项共识。〔14〕“国际组织和各个国家均是在人权或基本权利保护的角度来规范个人数据处理行为以保护个人权益的。”参见高富平主编:《个人数据保护和利用国际规则:源流与趋势》,法律出版社2016 年版,第3 页。See also Edward J. Bloustein, “Privacy as an Aspect of Human Dignity: An Answer to Dean Prosser”, 39 N.Y.U. L. Rev. 962 (1964). 参见丁晓东:《个人信息的双重属性与行为主义规制》,载《法学家》2020 年第1 期,第65 页;孙平:《系统构筑个人信息保护立法的基本权利模式》,载《法学》2016 年第4 期,第67 页。
个人信息保护是一个地道的舶来品,是欧美社会人权制度发展的产物,也是技术发展的附加品。〔15〕参见高富平、王苑:《论个人数据保护制度的源流——域外立法的历史分析和启示》,载《河南社会科学》2019 年第11 期,第38 页。我国宪法虽然没有如欧盟宪章规定数据保护权,但是个人信息受保护的基本理念实际上也可以从我国《宪法》中找到依据〔16〕参见姚岳绒:《宪法视野中的个人信息保护问题》,法律出版社2012 年版,第117 页。。1982 年宪法修订时增加了“公民的人格尊严和荣誉不受侵犯,禁止用任何方法手段对公民进行侮辱、诽谤或者诬陷”的条款,2004 年“国家尊重和保护人权”更是被写入宪法。我国《宪法》第38 条、39 条、第40 条、第41 条、第47 条、第51 条和2004 年《宪法修正案》第24 条,均可以作为宪法保护的间接依据。〔17〕参见周汉华主编:《个人信息保护法专家建议稿及立法研究报告》,法律出版社2006 年版,第51 页。正如周汉华教授所言,“个人资料的收集、处理或利用直接关系到个人资料本人的人格尊严,个人资料所体现的利益是公民的人格尊严的一部分,因此是一种人格权利”。〔18〕周汉华:《行政法学的新发展》,中国社会科学出版社2013 年版,第258、259 页;齐爱民:《论个人资料》,载《法学》2003 年第8 期,第80 页。根据尹田教授的观点,人格权一开始并非是民法权利意义上的,而是宪法权利意义上的,是宪法赋予一切人的基本权利。参见尹田:《论人格权的本质——兼评我国民法草案关于人格权的规定》,载《法学研究》2003 年第4 期,第10 页。在其拟定的专家建议稿中,第1 条即开章明义,“为规范政府机关或其他个人信息处理者对个人信息的处理,保护个人权利,促进个人信息的有序流动,根据宪法制定本法”。〔19〕周汉华主编:《个人信息保护法专家建议稿及立法研究报告》,法律出版社2006 年版,第1 页。
有学者分析基本权利模式保障个人信息应当作为我国的借鉴对象,原因在于:从现实角度考虑,数据化时代的个人信息保护有急迫性,因为技术的发展正在加大对自由、尊严等价值侵害的风险。〔20〕参见涂子沛:《大数据:正在到来的数据革命,以及它如何改变政府、商业与我们的生活》,广西师范大学出版社2015 年版,第5 页。从理论角度出发,只有在基本权利层面确立了个人信息受保护的价值,其他部门法对个人信息保护的规范才有根本性的法律依据和上位法的支撑〔21〕参见周汉华主编:《个人信息保护法专家建议稿及立法研究报告》,法律出版社2006 年版,第48-51 页;孙平:《系统构筑个人信息保护立法的基本权利模式》,载《法学》2016 年第4 期,第67-70 页。。同时,确立个人信息保护权的基本权利属性,厘清其与其他基本权利的关系,也更有利于实现其他基本权利(如言论自由、知情权等)。〔22〕参见孙平:《系统构筑个人信息保护立法的基本权利模式》,载《法学》2016 年第4 期,第70 页。
二、独立于普通个人信息使用关系的信息处理关系
依据《里斯本条约》(TFEU)〔23〕《里斯本条约》又称《欧盟运行条约》(Treaty on the Functioning of the European Union (TFEU)),条约于2009 年12 月生效。第16 条第1 款明确“每个人有关于他们的个人数据受保护权”;第2 款明确:“欧盟议会和理事会应依据普通立法程序制定有关个人数据处理中个人保护的规则,调整欧盟机关、团体、办公室和机构,以及成员国在从事欧盟法律范围内的活动时的数据处理行为,调整关于个人数据自由流动的规则。这些规则的执行将由独立的机构负责。”中规范基本权利的要求,〔24〕See Stig Strömholm, “Right of Privacy and Rights of the Personality: A Comparative Survey”, https://www.icj.org/wp-content/uploads/1967/06/right-to-privacy-working-paper-publication-1967-eng.pdf, accessed February 16, 2020.欧盟议会制定了《统一数据保护条例》(以下简称“GDPR”),该法已经成了国际上数据保护领域立法的标杆。有学者指出,个人信息立法规制的重点与其说是个人信息,倒不如说是“个人信息处理活动”。〔25〕参见周汉华主编:《个人信息保护法专家建议稿及立法研究报告》,法律出版社2006 年版,第29 页。笔者深以为然。个人信息保护法主要规范的是个人信息处理行为,其中核心是对个性识别分析和分析结果的应用。所以,“个人信息保护法”还可以有一个更为恰当的名字——“个人信息处理行为规制法”。
(一)信息处理行为作为个人信息保护法的核心
从个人信息保护法的发展源流来看,个人信息保护法制定之初,其主要立法宗旨就是要解决计算机处理个人信息所带来的巨大风险问题,处理好技术进步与个人权利保护之间的关系。〔26〕See Otto Mallmann,“ Computer and Civil Liberties: The Situation in the Federal Republic of Germany”, in United States Senate Committee on Government Operations, Privacy and Protection of Personal Information in Europe, United States Government Printing Office, 1975, pp. 90-91.早期的很多立法文件和法律,都带上了“计算机处理”和“自动处理”的界定。〔27〕参见周汉华主编:《个人信息保护法专家建议稿及立法研究报告》,法律出版社2006 年版,第56 页。比如,1973 年美国“正当信息通则”,仅适用于自动化个人信息系统。〔28〕参见高富平主编:《个人数据保护和利用国际规则:源流与趋势》,法律出版社2016 年版,第306 页。该报告的意见成了1974 年《隐私法》的基础。而欧洲委员会《个人数据自动化处理中的个人保护公约》最初仅限于自动化处理,随后才逐渐拓展到一般化的个人数据处理。有学者将20 世纪70 年代时期形成的立法称为“第一代数据保护规范”,该时期的立法以一种功能主义的眼光看待数据处理问题,如果处理问题本身便是问题所在,那么立法就应当瞄准计算机的运作。〔29〕See Viktor Mayer-Schönberger, “Generational development of data protection in Europe”, in Philip E. Agre & Marc Rotenberg, eds., Technology and Privacy: the New Landscape, The MIT Press, 1997.可见,个人信息保护是因规范自动化个人信息处理技术对个人人格的威胁而生,个人信息保护法规制的核心是信息处理行为。〔30〕参见周汉华主编:《个人信息保护法专家建议稿及立法研究报告》,法律出版社2006 年版,第30 页。
我国正在制定个人信息保护法,通过检索个人信息保护国际立法不难发现,即便发展至今,个人信息保护法所调整的,也依然是信息处理行为。〔31〕比如以欧盟GDPR 为代表的数据保护法主要关注数据处理行为机制。See Sandra Wachter, Brent Mittelstadt, “A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Date and AI”, 2019 (2) Columbia Business Law Review 515 (2019).GDPR 第2 条明确指出,其调整的是“全部或部分通过自动化手段进行的个人数据处理行为,以及通过自动化手段以外的其他方式进行的、构成或旨在构成存档系统一部分的数据处理行为”。同样,德国2017 年《联邦数据保护法》第1 条第2 款第3 节中也明确了法律适用范围,“私营机构通过数据处理系统处理、使用或为了此类系统收集个人数据,或者在非自动存档系统中处理、使用或为了此类系统收集个人数据的,适用该法”。
信息处理行为是指“全部或部分通过自动化手段进行的,以及通过自动化手段以外的其他方式进行的、构成或旨在构成存档系统一部分”的行为。〔32〕欧盟《统一数据保护条例》第4 条第2 款。而“构成存档系统”,则仅指“可按照特定标准访问的结构化的个人数据集合”。〔33〕高富平主编:《个人数据保护和利用国际规则:源流与趋势》,法律出版社2016 年版,第145 页。这种处理行为,相比普通个人信息使用行为,是高风险的。〔34〕2013 年OECD 修订1980 指南的时候明确提出“实施风险进路”(risk-based approach)。在进行GDPR 的立法讨论过程中,第29 条工作组也坚持要以风险进路指导立法。See Article 29 Data Protection Working Party, Statement on the role of a risk-based approach in data protection legal frameworks, 14/EN, WP218 (2014), p.2.甚至有学者犀利地指出,信息处理会导致一种无力和无助的状态,人们缺乏必要的权利和方式有效地参与到个人信息收集、使用和传播过程中。〔35〕参见孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009 年版,第44 页。而个人同机构之间在信息流通过程中的力量不均是其在信息处理上的具体表现。
自2017 年《民法总则》生效以来,个人信息民事侵权案件的数量与刑事案件相比极其有限,〔36〕参见张新宝:《〈民法总则〉个人信息保护条文研究》,载《中外法学》2019 年第1 期,第72 页。这与个人信息保护有关的民事侵权存在维权成本高、因果关系证明困难、赔偿数额低等原因有关。当然,《民法典》生效时间较短,个人信息保护法还在立法进程中,权利主体的权益不清晰,义务主体的义务规范不明确也是原因。但究其本质,恐怕还是因为个人与信息处理者控制和参与个人信息流转的力量悬殊。〔37〕参见孔令杰:《个人资料保护的力量和利益平衡论》,载《理论月刊》2010 年第2 期,第124 页。原、被告之间的“能力天平”过于倾斜,侵权行为极其隐蔽,当事人对侵权并不知情。以微信为例,2019 年其活跃用户已经达到11.12 亿户〔38〕《微信月活跃账户数达11.12 亿,同比增长6.9%》,来源:https://tech.qq.com/a/20190515/007600.htm,2019 年11 月7 日访问。,信息主体对腾讯的运营算法及收集方式都知之甚少,更谈不上有效监督,相反,作为信息控制者和处理者的腾讯有技术上和数据体量上无可比拟的优势,完全有能力实时监控。〔39〕参见吴泓:《信赖理念下的个人信息使用与保护》,载《华东政法大学学报》2018 年第1 期,第34 页。可见,只有涉及利用信息能力的不平等收集、处理个人信息的行为,才是信息时代保护个人信息的法律真正要调整的。自然人在纯粹私人之间或家庭活动过程中涉及个人信息的行为,〔40〕参见高富平主编:《个人数据保护和利用国际规则:源流与趋势》,法律出版社2016 年版,第219 页。德国《联邦数据保护法》也明确了“但仅为了个人或家庭活动而收集、处理或使用个人数据的除外。”此外,在个人信息保护法专家建议稿(周汉华版)中,总则部分排除了对公民在纯粹的个人或家庭活动中所进行的个人信息处理,以及法人或其他组织数量较少、且不太可能对个人权利造成侵害的个人信息处理活动。参见周汉华主编:《个人信息保护法专家建议稿及立法研究报告》,法律出版社2006 年版,第59 页。不存在信息能力的显著不平等,显然只是普通个人信息使用行为。
(二)信息能力不平等是信息处理法律关系的本质属性
为了和普通个人信息使用关系作出区分,建立在信息处理行为基础上的个人信息保护法所调整的法律关系,笔者称为“信息处理法律关系”(需要说明的是,此处的处理是抽象处理概念,包括处理的整个生命周期,以下简称“信息处理关系”)。普通个人信息使用关系和信息处理关系的最大区别,在于前者调整信息能力平等的主体之间的关系,而后者调整的是信息能力不平等(也有学者认为是信息不对称〔41〕参见吴泓:《信赖理念下的个人信息使用与保护》,载《华东政法大学学报》2018 年第1 期,第29 页。、或持续性的信息不平等〔42〕参见丁晓东:《个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础》,载《中外法学》2020 年第2 期,第339 页。)的主体之间的关系。
个人信息上的利益依赖特定的社会关系而产生,不同的社会关系中会有不同的个人信息利益,即使相同的信息在不同的社会关系中的利益也会有巨大差别。个人信息利益并非一个稳定和静态的法益,而是随着社会关系而动态变化的法益。在普通个人信息使用关系中,平等有序的社会关系决定了个人对其个人信息并没有控制权,只有侵权人利用个人信息侵害法益的时候才可以诉诸于救济,通过人格权和侵权责任制度来保障隐私利益和个人信息上其他人格利益,也即赋予主体一种消极的防御性权利来维护自主;〔43〕参见程啸:《民法典编纂视野下的个人信息保护》,载《中国法学》2019 年第4 期,第37 页;丁晓东:《个人信息的双重属性与行为主义规制》,载《法学家》2020 年第1 期,第65 页。而在信息时代的信息处理关系中,信息处理行为本身就可能导致人格遭受不必要的侵害,无论信息处理者是否主观上有侵害人格的故意,其处理信息的行为就可能给信息主体带来担忧,因此需要赋予信息主体额外的利益。基于此,个人信息保护法的本质彰明较著——非为保障个人信息作为一种个人自主决定的处分对象,而是在于对收集使用个人信息进行分析以形成与个人有关的各种画像的权力的活动,进行必要的制衡,以尽可能避免权力通过对个人画像,对个人的人格形塑造成负面的影响。〔44〕参见邱文聪:《从资讯自决与资讯隐私的概念区分——评“电脑处理个人资料保护法修正草案”的结构性问题》,载《月旦法学杂志》2009 年第5 期,第177 页。
三、信息处理关系中的自主利益之民法保护
个人信息保护法是对主体权益的积极保护,是对处于弱势的信息主体给予一定的倾斜,赋予主体防御性的隐私利益等以外的新的利益来平衡、纠正或反对这种信息能力的偏差。〔45〕在某些特定的私法关系中,存在典型方式的事实不平等状况,于此应使负有基本权保护义务的立法者,以及因“社会国原则”而负有义务的立法者制定规则来保障弱势地位者的基本权。参见周云涛:《论宪法人格权与民法人格权——以德国法为中心的考察》,中国人民大学出版社2010 年版,第87 页。因此,识别出在信息处理关系中究竟还存在何种利益,而这种利益民法又应当如何予以救济是本文研究的焦点。
在信息处理关系中,因信息能力的不平等,许多学者认为必须赋予个体一种个人信息自决权(或个人信息权)来保护其利益,并且这种权利具有支配性特征,其义务主体负有相应的作为和不作为。〔46〕参见张新宝:《〈民法总则〉个人信息保护条文研究》,载《中外法学》2019 年第1 期,第54 页。信息自决权来源于德国联邦宪法法院在“人口普查案”〔47〕1983 年,德国政府决定对其居民进行一项普查,该计划准备通过计算机自动化处理系统收集处理公民的详细的个人信息,引发了大规模的抵制和反对。See Spiros Simitis, “Privacy-An Endless Debate”, 98 Calif. L. Rev. 1989, 1997(2010).中的解释,是“自我决定权”的一种特殊形态,自我决定的对象是与个人相关的信息。〔48〕参见邱文聪:《从资讯自决与资讯隐私的概念区分——评“电脑处理个人资料保护法修正草案”的结构性问题》,载《月旦法学杂志》2009 年第5 期,第174 页;[德]莱茵哈德·盖尔:《德国民法和宪法对人格的保护》,载谢立斌、仁恺主编:《权利救济与人格权的宪法保障——中德比较》,中国政法大学出版社2018 年版,第164 页。有学者认为个人信息权是指自然人依法对其本人的个人身份信息所享有的支配并排除他人侵害的人格权,除了被动防御之外,还是一种积极的控制权。〔49〕参见杨立新:《个人信息:法益抑或民事权利——对〈民法总则〉第111 条规定的“个人信息”之解读》,载《法学论坛》2018年第1 期,第41 页。甚至有学者提出,“现在的隐私权法律体系已经变动为以个人信息自决权为中心的法律关系。”〔50〕王泽鉴:《人格权的具体化及其保护范围·隐私权篇》(中),载《比较法研究》2009 年第1 期,第10 页。但是将个人信息自决权认定为是一种支配性的人格权,是对这一理论的误读。〔51〕虽然信息自决确立了个人在民主社会的中心地位,但是并未授予个人无限的决定权。大多数数据保护法都将个人同意或明示的法律规范作为信息处理的合法基础之一。See Spiros Simitis, “Privacy-An Endless Debate”, 98 Calif. L. Rev. 1989, 1998 (2010).
(一)个人信息自决权:宪法权利还是民法权利
个人享有信息自决权,即自己决定自己的个人信息及其存储、转让和使用,〔52〕BGB § 823 Spindler/Schuster, Recht der elektronischen Medien,3. Auflage 2015.须追溯至1983 年德国联邦宪法法院“人口普查案”。对信息自决的考虑允许自己决定什么时候、在什么限度内公开自己的生活状态。〔53〕参见杨芳:《个人信息自决权理论及其检讨》,载《比较法研究》2015 年第6 期,第31 页。其目的是为了确保“国家为个人保留内在空间。在这个空间之内,个人是自身的主宰。因此,个人可以完全排斥外在世界,独自退回内在主体,并享受在其中隐居的权利”。〔54〕参见赵宏:《从信息公开到信息保护——公法上信息权保护研究的风向流转与核心问题》,载《比较法研究》 2017年第2期。“人口普查案”的案件背景是联邦政府制定人口普查法,试图对全国进行人口普查,引发担忧和不满。该案通过联邦宪法法院进行诉讼,法院基于德国《基本法》第1 条第1 款和第2 条第1 款的一般人格权出发,提出了个人信息自决权(informationelle Selbstbestimmung),〔55〕BVerfGE 65, 1, 43 (1984).在判决中明确其为一项宪法权利,但是对该权利有具体的适用环境的限制:一方面,该案是针对国家强制的信息收集行为,并未说明对私法领域可以一般适用,任意的扩张没有合理的理论基础,〔56〕值得注意的是,日本最初订立的保护个人信息的规定是1988 年的《关于保护由行政机关保存的经电子计算机处理的个人信息的法律规定》,该规定和德国人口普查案的适用范围趋同,首先是针对行政机关,其次是电子计算机处理的情形下。直到2003年才通过了《个人信息保护法》。参见[日]五十岚清:《人格权法》,[日]铃木贤、葛敏译,北京大学出版社2009 年版,第6 页。因为宪法上的基本权利与民事权利在义务人、权利广度、权利保护强度和对义务人的道德要求方面有本质区别;〔57〕参见于飞:《基本权利与民事权利的区分及宪法对民法的影响》,载《法学研究》2008 年第5 期,第49 页。另一方面,该案将个人信息自决权限制在信息处理关系中,“就此而言,在自动化信息处理技术面前,不再有‘不重要’的信息。”〔58〕BVerfG 65, 1, 45; 转引自杨芳:《个人信息自决权理论及其检讨》,载《比较法研究》2015 年第6 期,第28 页。概言之,在“人口普查案”的背景下,信息自决权的确立主要是防范公权力机关利用信息技术无限度攫取个人信息,或利用获取的个人信息监控、画像个人的可能。〔59〕参见赵宏:《从信息公开到信息保护——公法上信息权保护研究的风向流转与核心问题》,载谢立斌、仁恺主编:《权利救济与人格权的宪法保障——中德比较》,中国政法大学出版社2018 年版,第227 页。在“人口普查案”中,德国联邦宪法法院强调,个人对数据没有绝对不受限的支配权利。〔60〕BGB § 823 Spindler/Schuster, Recht der elektronischen Medien, 3. Auflage 2015.“个人对自己的信息所具有的权利不是绝对的、无限制的,他只是在社会中发展的独立人格。”〔61〕孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009 年版,第96 页。
个人与国家的关系与个人相互间的关系有着本质差别,一个受到保障的主观公权力并不能必然推导出一个主观的私权利,这是对宪法上的人格保护和私法上的人格保护混淆的结果。在个人信息保护领域亦是如此。宪法上的个人信息保护必须与民法上的个人信息保护相互区分,因为两者的行为边界很不相同,宪法上的个人信息保护直接对抗国家为方向与目标,而民法上的个人信息保护则需要考虑其他义务人的基本权所保护的自由利益,必须通过构造成套保护设备并结合比例原则确定合理的界线。〔62〕参见周云涛:《论宪法人格权与民法人格权——以德国法为中心的考察》,中国人民大学出版社2010 年版,第134 页;姚辉、周云涛:《关于民事权利的宪法学思维——以一般人格权为对象的观察》,载《浙江社会科学》2007 年第1 期,第91 页。因此,我们需要考虑的是,德国联邦宪法法院从《基本法》第2 条第1 款结合第1 条第1 款推导出的信息自决权,在多大程度上可以存在于民法中?而该信息自决权对于民法上的“个人信息自决权”保护范围的确定又有何种意义?为了揭示宪法中的个人信息自决权在民法中一直以来的错误表达,有必要就另一德国法上的典型案例进行剖析。
德国学者引述德国联邦法院2009 年作出判决的“评师案”,〔63〕“被告未经原告同意,在一著名网站上公开原告(系被告老师)的姓名、任职学校、教授课程等个人信息。”参见杨芳:《个人信息保护法保护客体之辨——兼论个人信息保护法和民法适用上之关系》,载《比较法研究》2017 年第5 期,第82 页。认为该案认可了民法中的“个人信息自决权”,并同时主张,个案中的利益衡量对于判定是否构成信息自决权侵害,依然必要。其中著名的论断为:被告在公开的网站上评价被告并公开其个人信息的行为,侵犯了原告的个人信息自决(德国《联邦数据保护法》的规定,同时也是人格利益),但是该利益并非不受限制,应当与被告的言论自由利益进行平衡。〔64〕BGH NJW 2009, 2888; 转引自杨芳:《个人信息保护法保护客体之辨——兼论个人信息保护法和民法适用上之关系》,载《比较法研究》2017 年第5 期,第82 页。该案的判决结果没有太大的问题,对于原告的权益是否应受保护之论述也殊为合理,关键在于诉请中的个人信息自决权是否是该案的保护对象?笔者以为,该案中的原、被告双方实际是普通个人信息使用关系,双方都是自然人,不存在信息能力之不平等,被告也并未从事信息处理行为,因此该案与经“人口普查案”确认的信息自决权之间有巨大的背景鸿沟,德国学界错误地将宪法上的“人格权”和民法上的“一般人格权”混同,得出信息自决权亦是民事权利的一种,其论证并不严谨。私以为,民法中个人信息自决权的适用条件颇为严苛,对于信息能力相当的平等主体之间未利用信息技术进行信息处理的侵权案件,信息自决权不应当适用,比如在“评师案”中,通过传统民法中的名誉之诉或隐私之诉就可以解决纠纷。换言之,信息能力平等的主体之间,未从事信息处理行为,无涉信息自决权。
有学者指出,虽然宪法人格权上的人格利益对司法产生“预示”效力,但这并不意味着宪法人格权能直接传递至民法人格权中。〔65〕参见周云涛:《论宪法人格权与民法人格权——以德国法为中心的考察》,中国人民大学出版社2010 年版,第140 页。宪法规范是完全针对国家权力的滥用风险而设计的特殊防御机制,这种机制并非基于对不存在权力差距和不可逃避性的私人关系的担心而设计。〔66〕参见姜峰:《宪法私人效力中的事实与规范:一个分析框架》,载《法商研究》2020 年第1 期,第87 页。有学者主张在私人领域只要双方权利不平等,就有必要直接适用基本权保障(直接第三人效力说),〔67〕基本权利第三人直接效力说最初由德国学者尼佩代提出,持该学说的学者们认为社会上的强者以国家权力同样的方式侵害或无视个人权利,自由的行使必须考虑到周围人位于基本权项下保护的利益,因此公民也直接受到基本权的约束。参见[德]齐佩利乌斯:《德国国家学》,赵宏译,法律出版社2011 年版,第400 页;王锴:《论宪法上的一般人格权及其对民法的影响》,载《中国法学》2017 年第3 期;周云涛:《论宪法人格权与民法人格权——以德国法为中心的考察》,中国人民大学出版社2010 年版,第78 页;曹相见:《论民法与宪法关系的当代使命》,载《南海法学》2019 年第2 期,第1 页。然而,直接“第三人效力说”有破坏私法自治精神的嫌疑,正如谢鸿飞教授所言:在基本权利上,私主体之间的关系完全不同于私人和国家之间的关系,前者不可能在根本上侵害自由,而后者则可能。〔68〕参见谢鸿飞:《中国民法典的宪法功能——超越宪法施行法与民法帝国主义》,载《国家检察官学院学报》2016 年第6 期,第45 页。通过对“人口普查案”和“评师案”的检视,对宪法上的信息自决是否可以不受限制的直接转介成为民法的一项权利,应当有很清晰的结论:宪法无法成为民法的直接渊源,宪法上的信息自决针对的是公权力机关实施的信息处理行为,其中隐含了两个重要的因素:一是公权力机关的强者地位;〔69〕宪法私人效力说的事实路径认为基于“社会强力”宪法应具私人效力。该观点认为,某些私主体虽不属于国家机关,但因其具有强大的资源优势和议价能力而能对个人产生巨大影响。参见姜峰:《宪法私人效力中的事实与规范:一个分析框架》,载《法商研究》2020 年第1 期,第87 页。二是信息处理行为的高度危险性。因此,如果民法要“借用”宪法上的个人信息自决权(间接第三人效力说或客观价值说),〔70〕参见王锴:《论宪法上的一般人格权及其对民法的影响》,载《中国法学》2017 年第3 期,第102 页;周云涛:《论宪法人格权与民法人格权——以德国法为中心的考察》,中国人民大学出版社2010 年版,第80 页。必须要经过必要性和恰当性的检验,需要论证侵权人是类似于公权力机关一样的“强者”,〔71〕私主体作为“强者”需要有一定的限制,但是目前学界对强者的识别标准存在模糊甚至错误。参见姜峰:《宪法私人效力中的事实与规范:一个分析框架》,载《法商研究》2020 年第1 期,第87 页。此外,还必须证明该“强者”从事信息处理行为。
换言之,“信息自决权”是否可以成为民法保护的民事利益,是有前提条件的,最重要的一点即是必须满足对“强者”制约的要求,即对具有强大支配力的信息控制者/处理者的制约。〔72〕有学者认为不同社会强力主体在权力差距和逃避可能性这两个方面的程度不同,各自所应受到的规范强度也应与其个人造成的侵害风险相称。参见姜峰:《宪法私人效力中的事实与规范:一个分析框架》,载《法商研究》2020 年第1 期,第87 页。对于私主体作为信息控制者/处理者是否是“强者”,相关法律文件比如OECD《隐私保护和个人数据跨境流通指南》认为数据控制者是指“根据各国法律能够决定个人数据内容和使用的主体”;而GDPR 中对数据控制者的定义是“单独或与他人共同确定个人数据处理的目的和方式的自然人、法人、公共权力机关、代理机构或其他机构”。可见,“决定”“确定”“支配”等是成为“强者”的必备要件。
而将私主体是否从事信息处理行为作为信息自决权的必要条件之一,学界论述不多。〔73〕经检索,杨芳副教授对此有系列阐述。参见杨芳:《个人信息自动化处理领域的个人信息保护规则》,载《重庆理工大学学报(社会科学版)》2016 年第9 期,第88 页;杨芳:《我国个人信息保护法适用范围之思考——隐私权救济困境下的个人信息保护法》,载《社会科学家》2016 年第10 期,第112 页。周汉华教授版的立法建议稿中有很清晰的表达,“处理是指政府机关或其他个人信息处理者根据一定的编排标准或检索方式,以自动或非自动方法对个人信息的收集、存储、使用、交换、公开、修改、删除、销毁等行为”。〔74〕周汉华主编:《个人信息保护法专家建议稿及立法研究报告》,法律出版社2006 年版,第3 页。“评师案”中的评论者在网络上评论原告的行为,并不构成信息处理行为。个人信息自决权适用范围的盲目扩大,实际上反而有损于宪法所欲维护的保护弱者的价值。〔75〕参见周云涛:《论宪法人格权与民法人格权——以德国法为中心的考察》,中国人民大学出版社2010 年版,第151 页。判断信息处理行为,应当有一套合理的判断标准,而非朴素的法感或直觉。
(二)个人信息自决权在民法中的恰当表达
通过对上述两个案例的解析,笔者以为,信息自决权的本质已经昭然若揭。在宪法层面,国家(公权力机关)对个人信息上的基本权利侵害时,应当赋予个体信息自决权;而在民法层面,个人信息自决权的存在空间极其狭窄,仅存在于信息处理关系中。普通个人信息使用关系中不能适用信息自决权的主要原因有三。一是普通个人信息使用关系中,个人信息的获取、交流和利用是信息交往的必要,强化信息自决会阻碍正常交流。换言之,在普通个人信息使用关系中,当法律致力于保护个人的信息自决时,与该自决权相对立的不特定的义务人的自由将受到侵犯。立法者如果将所有各方当事人的利益诉求均纳入考虑范围,则会意识到,普通个人信息使用关系中的信息自决必要性不大,因而在GDPR 中才会将“自然人实施的纯粹个人或家庭活动”排除在其适用范围之外。二是普通个人信息使用关系中对人格利益的保护,是为实现人格尊严、个人自由和独立自主,均为人基于内在规定性而在共同体中对自己人格利益所享有的不受非法侵害的利益,实质上依然是一种防御性的权利。〔76〕参见朱晓峰:《作为一般人格权的人格尊严权》,载《清华法学》2014 年第1 期,第57 页。普通个人信息使用关系中,造成人格利益受损,通过救济隐私权、肖像权及其他人格利益已足以对侵害个人信息的行为予以保护。三是普通个人信息使用关系通常不具有高度风险性,正常社交中涉及的个人信息侵权,虽然也可能对个人造成损害,比如通过贬损方式,造成名誉权受损,但是多数情况下传播范围窄、危害性低。而在信息处理关系中因互联网传播的特点,其传播范围广、影响更坏。
在普通个人信息使用关系中确立个人信息自决权最大的恶果,是将宪法人格保护框架内希冀实现对抗国家的措施,直接应用于对抗不特定的私主体,也就是不特定的第三人必须为自己的每个涉及使用自然人个人信息的行为接受法院的合法化审查,显然是不切实际且不合理的,这种对他人自由的干涉,远远超出了对个人信息保护的必要。德国教授Ehemann 也指出,若此,公民相互之间自然的交往遭到强烈的限制,对个体人格广泛的法律保护会牺牲过多自由权。〔77〕参见周云涛:《论宪法人格权与民法人格权——以德国法为中心的考察》,中国人民大学出版社2010 年版,第144 页。宪法基本权的客观价值辐射于私主体之间,但是,这并不意味着所有的价值都要以相同的范围和相同的类型和方法来加以保护。〔78〕参见周云涛:《论宪法人格权与民法人格权——以德国法为中心的考察》,中国人民大学出版社2010 年版,第151 页。亦即,对个人信息自决权这项基本权利在民法中的规范构造,应考虑到私法交往的独特属性。对于宪法上的个人信息应受保护的价值在私法领域的作用,并不能一般化作用于所有的私主体,而是应当区分普通个人信息使用关系与信息处理关系。
在信息处理关系中,出于对“弱者”的信息主体的保护,笔者以为应有自决利益存在。为平衡信息主体和信息控制者的信息能力,应当给予信息主体额外的自主利益,这种利益是信息处理关系中独有的,不是隐私利益,而是一种为了保护其他利益而单独赋予信息主体的特殊利益,笔者称为“信息处理中的自主利益”。该利益具有独立性,单独侵害该利益并不必然侵犯其他人格利益,其存在的目的是为了让信息主体有能力干预信息处理过程,以防范信息主体的其他利益受侵害的风险。〔79〕Regina Aebi-Müller,PersonenbezogeneInformationenim System des zivilrechtlichenPersnlichkeitsschutzes,unterbesondererBerücksichtigung der Rechtslage in der Schweiz und in Deutschland, 2005, S. 295; 转引自杨芳:《个人信息自决权理论及其检讨》,载《比较法研究》2015 年第6 期,第32 页。
信息处理关系中的自主利益,并非与隐私利益平行并列的利益,而是隐私利益和其他人格利益的前置利益(前置保护规范)。讨论信息处理关系中的自主利益的前提是,必须将该利益从其所保护的隐私利益与其他人格利益中剥离出来,否则就会导致利益保护的混淆。为实现“信息处理关系中的自主利益”,个人信息保护法通常也赋予信息主体干涉个人信息处理过程的机会,这些机会表现为针对信息控制者和处理者的一系列积极请求权。〔80〕参见杨芳:《个人信息保护法保护客体之辨——兼论个人信息保护法和民法适用上之关系》,载《比较法研究》2017 年第5期,第74 页。申言之,该利益是个人信息保护法中信息主体利益上的抽象,也只有在个人信息保护法、《网络安全法》等法律法规涉及的信息处理行为中才存在该利益。该利益在民法中的表达,可作为一般人格权中的一类人格利益予以保护,但该利益的存在应当符合上文所说的“强者”及“信息处理行为”两个限定条件。
四、民法与个人信息保护法的适用关系
《民法典》人格权编第六章“隐私权和个人信息保护”中第1034 条至第1039 条是对《民法总则》第111 条的具体规定,建立在私法上的“信息处理关系中的自主利益”之上而构建。其中第1034 条对个人信息的概念进行了定义及一般列举,明确了个人信息“识别性”的核心特征,并规定了和隐私权的适用关系;第1035 条是处理个人信息的原则性条款,另外该条还对处理的条件做出了规定,包括了“知情同意”“透明公开”“目的限定”及合法性等。第1036 条为行为人(信息处理者)的抗辩事由,列举了多种不承担民事责任的情形。第1037 条明确了自然人(信息主体)的权利,包括“查阅、复制、异议更正、删除”等。第1038 条从信息处理者的义务角度明确了信息处理的规则,包括不得泄露、篡改,未经同意不得非法提供、安全保障义务和报告义务等。第1039 条是国家机关及其工作人员(公职人员)收集处理个人信息的特殊规定。从《民法典》关于个人信息的条款可以看出,立法者已经对个人信息的内涵、个人信息的解释、个人信息的收集使用边界等问题形成了相对完善的规范。〔81〕参见张红:《民法典之隐私权立法论》,载《社会科学家》2019 年第1 期,第15 页。
问题在于,《民法典》中的个人信息保护条款与即将出台的《个人信息保护法》中的相应条款是何关系?人格权编对于建构个人信息保护规范体系的意义何在,民法是否可以作为个人信息保护法的立法依据或者上位法?正在制定的《个人信息保护法》是否要与《民法典》保持高度一致呢?如果不一致,应当优先适用哪部法律?《个人信息保护法》出台在即,这些问题的解决迫在眉睫。
有学者认为,《个人信息保护法》并非《民法典》之特别法,而是一部对个人信息保护进行全面规范的兼具公法与私法属性的综合性法律。〔82〕参见程啸:《个人信息保护中的敏感信息与私密信息》,载《人民法院报》2020 年11 月19 日,第5 版。也有学者则认为,因为个人信息保护具有民事权利属性,个人信息保护法属于民法特别法。〔83〕参见石佳友:《个人信息保护法与民法典如何衔接协调》,载《人民论坛》2021 年第2 期,第92 页。笔者以为,个人信息主体利益应当视作基本权利来对待,而民法仅作为保护民事权利的法律,恐怕难当保护基本权利之重任。不可忽略的是,民法作为一种组织社会的工具,是通过对冲突的利益关系设置相应的协调规则来实现自身调控社会关系的功能。〔84〕参见王轶:《民法价值判断问题的实体性论证规则——以中国民法学的学术实践为背景》,载《中国社会科学》2004 年第6期,第104 页。王轶教授将现代意义上的民法分为强式意义上的平等对待及在特定领域中的弱式意义上的平等对待,〔85〕强式意义上的平等对待和弱式意义上的平等对待的差别在于,前者注重每个人都是“同样的人”,应避免对人群分类;而后者则认为应按照一定的标准对人群进行分类,既意味着平等对待,也意味着差别对待。参见王轶:《民法价值判断问题的实体性论证规则——以中国民法学的学术实践为背景》,载《中国社会科学》2004 年第6 期,第104 页。后者比如《消费者权益保护法》(以下简称《消保法》和《劳动法》)。笔者以为,在个人信息保护和利用领域理由亦同,实际上信息能力不平等的主体之间的利益关系——信息处理关系也属于弱式意义上的平等对待,从目的论,个人信息保护法是为了平衡主体之间的强弱地位(这里的强弱不仅仅是经济上的,主要是信息不对称),是类似于《消保法》和《劳动法》的政策型特别民法,追求“作为公平的平等”,法律赋予弱势的信息主体以特权,实质是为了保护理想的自由状态。〔86〕参见谢鸿飞:《民法典与特别民法关系的建构》,载《中国社会科学》2013 年第 2 期,第106 页。
民法的现代转向,是近代民法的意思自治原则被意思自治与国家的保护性干预相结合原则所取代。〔87〕参见徐国栋:《民法的人文精神》,法律出版社2009 年版,第179 页。《个人信息保护法》是现代民法除《消保法》和《劳动法》之外的新的典范:具有平等地位的群体之间,为了协调不同的利益团体、平衡不同的社会力量,立法者代替当事人决策做出一定的制度安排,〔88〕参见徐国栋:《民法私法说还能维持多久——行为经济学对时下民法学的潜在影响》,载《法学》2006 年第5 期,第3 页。作为一部管制色彩与自治色彩交相辉映的法律,《个人信息保护法》的立法应当兼顾自治和管制的平衡,既不给予个人绝对的私人自治权(个人信息自决权),也并非完全采取行政法的路径成为一部行政管理法。于此,《个人信息保护法》中的民事规范应当作为民法的特别法来看待。但是,需要注意的是,《个人信息保护法(草案)》并未区分公、私主体的信息处理者,公权力机关处理个人信息的规范,明显不属于平等主体之间的规范。《个人信息保护法》是一部综合性的法律,信息处理关系包含了公法调整和私法调整两个部分,但毫无疑问信息主体与私主体的信息处理者在法律地位上依然是平等的,信息处理者在收集处理使用个人信息的过程中必须尊重信息主体的人格完整。
在二法的适用上,与其徒增法律适用的烦恼,不如在《民法典》人格权编只对个人信息保护作出原则性和转介性规定,将具体的保护规范交给个人信息保护法。这才是理想的路径。申言之,就信息处理关系中自主利益受损害的认定,通过引介至侵权编援用保护性法律的规则,行为不法性则根据是否违反《个人信息保护法》《网络安全法》等规定来判断。该路径理论上有两点优势。首先,可以保持民法典的稳定性和纯粹性,信息主体权利和处理者义务必然随着技术的发展经历快速的变革,例如,因自动化决策技术的发展,欧盟立法中新增了信息主体反对自动化决策的权利;因搜索引擎可以搜索过时、无关且不必要的信息,增加了对“被遗忘权”的规定。而民法典不宜频繁修改,很可能对信息时代技术和人格保护之间的张力和冲突无计可施,反而削弱了法典的权威性。其次,《民法典》对个人信息保护条款规定得过细,徒增与即将出台的个人信息保护法之间适用上的困难,比如个人信息的范围规定得不一致、私密信息和敏感信息的关系难以厘清等问题,反而不利于主体权益的保护。当然,目前《民法典》作为一部根本大法已经生效,动辄大动干戈进行修法显然不符合实际,因此虽然笔者更倾向于该条路径,但仅从学理层面进行探讨。
第二条路径是既有规范体系下的权宜之计,需要更全面和更精细的设计。首先,《民法典》中区分不同的法律关系保护个人信息。普通个人信息使用关系中,受到侵害的利益仅限于隐私利益、肖像利益、姓名利益或其他的一般人格利益,并不存在信息处理中的自主利益。而在信息处理关系中,信息处理中的自主利益应当受到保护,也即信息主体应可施加积极的干预或控制,来及时参与、反对、修正信息处理行为可能对人格形塑的负面影响。因此,普通个人信息使用行为侵犯权益,应当寻求具体人格权或一般人格权作为请求权基础;信息处理行为侵犯权益,应适用个人信息条款,对信息主体的权利之被侵犯和信息处理者的义务之不履行进行判断,同时侵犯如隐私权、肖像权、姓名权、名誉权等其他权益的,共同适用(私密信息则优先适用隐私权规定)。其次,个人信息保护是规范的体系建构,仅仅通过《民法典》的6 个条文规定是不充分、不完全的,因此需要通过《个人信息保护法》对《民法典》中的缺漏进行补足,例如,对于主体权利,《民法典》目前仅规定了信息主体有“查阅、复制、异议更正、删除”的权利,但是否有被遗忘权、是否有拒绝自动化决策的权利,留待个人信息保护法进行论证补充;此外,《民法典》对于信息处理应遵循“合法、正当、必要”原则,对原则的解释在《个人信息保护法》中可以有所具体化等。最后,当《个人信息保护法》中的民事行为规范与《民法典》的行为规范发生冲突的时候,《个人信息保护法》的民事行为规范应被视为《民法典》的特别条款,根据特别法优于一般法的原则,应当根据《个人信息保护法》来判断行为不法性,只有在《个人信息保护法》中没有明文规定时,才适用民法一般条款。
因此,普通个人信息使用行为对个人权利相对风险较低,比如个人生活中的信息交往等,非为信息处理关系的调整目标,仅民法调整,《个人信息保护法》完全不适用;但是对信息处理关系中的信息处理行为的规制,《个人信息保护法》适用优先,此外适用《民法典》一般规则调整。