利益平衡视域下个人信息分类保护研究
2022-11-21姜爱茹
姜爱茹
内蒙古农业大学人文社会科学学院,内蒙古 呼和浩特 010018
一、个人信息保护的难题
当今社会信息技术革命已深入到人们生活的各个方面,人们之间的联系比以往更加紧密,相互依赖日益增强,基于社会交往的需要会产生和留存大量信息。每一个人都是信息产生的源头,同时又是信息的消费者和利用者,个人信息的商业利用价值彰显,海量的信息被挖掘利用后形成大数据,掌握了大数据对于国家机关和信息从业者来说能更好地做出决策和布局,从而使决策更加智能化、精准化。因此,信息的价值日益凸显,信息成为一种重要的资源,数据甚至成为重要的生产资料。
在数据成为生产资料的同时,有学者提出了数据财产权的概念。[1]数据财产权是企业对经过其创造性劳动编辑、加工、处理的数据产品享有的一种财产性权利,数据产品是经过技术加工处理后的数据库或各种数据画像,[2]其中蕴含了有独创性的、有价值的劳动。个人信息是数据产品之源,个人信息是数据的原材料,但不论个人信息经过了何种形态的变化,自然人对因自身行为而产生的个人信息始终具有专属性的权利。数据财产权与个人信息权的权属不同,但企业对其数据财产权的处理应受信息主体最初同意许可范围的限制。
信息主体可以自由决定是否以及如何对其个人信息进行处理、查询被处理的个人信息以及维护个人信息的完整与正确,当个人信息出现错误时要求更正或删除个人信息等,个人信息利益体现了更多的人格属性,体现了维护人格尊严和自由的价值。基于个人信息在产生和流转的过程中发生的形态和权属的变化,个人信息保护的难点在于如何平衡人格利益和信息的流动,如何在信息保护和信息利用之间寻求平衡。信息主体对个人信息的控制支配权与数据主体的数据权是一对天然的矛盾,如何实现信息主体与数据主体之间的利益平衡是当前个人信息保护法及数据保护立法的关键和难点。
《中华人民共和国民法典》(以下简称《民法典》)与《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)都规定了“自然人的个人信息受法律保护”,且通篇没有提到“个人信息权”。尽管学界关于“个人信息权益”与“个人信息权”的争议仍然存在,但侵害个人信息利益后承担的侵权责任并无区别,至少从《民法典》第一百二十条能得出这样的结论,加之2021年11月1日生效的《个人信息保护法》对个人信息保护的规定,本文认为,不论定位为个人信息权益还是个人信息权,对个人信息的保护力度和范围不会因此而受到影响。
二、个人信息分类保护的必要性
(一)实现对个人信息多重利益格局的保护
个人信息之上存在诸多利益主体,涉及多种利益形态,这些利益主体是一个有机联系的整体。具体来说,个人信息承载和体现了以下利益:1.人格尊严和自由价值。“个人作为目的性的存在,只有消除个人对‘信息化形象’被他人操控的疑虑和恐慌,保持其信息化人格与其自身的一致性而不被扭曲,才能有自尊并受到他人尊重地生存与生活。因此,个人信息对于信息主体的人格尊严和自由价值,应当是个人信息保护立法中首要考虑的因素”[3];2.商业价值。企业利益大数据时代,个人信息成为了最有价值的商业资源,数据以惊人的速度被聚合及分析成为大数据,企业如果能够利用好大数据,将会引领商业变革。互联网的兴起,几乎每一个人都全面地参与到信息交流与分享中来,商家比以往更能便捷和全方位地获取消费者的各种信息。然后,即可精准地了解消费者需求和偏好,个人信息已经变得越来越透明。个人的购买习惯、财务信息、金融信用、身体健康情况和社交互动情况等信息被企业分析和预测后,成为公司是否聘用你、金融机构是否愿意给你贷款、保险公司是否愿意接受你的投保的重要因素;3.社会公共利益。为更好地提供公共服务,收集和处理个人信息成为各国政府掌握国情国力进而提供科学决策和管理的最基本的调查方法。借助于现代信息技术,个人信息可以充分发挥其公共服务价值。在信息技术与统计学、数据分析技术结合的背景下,政府收集个人信息进行整合后,为正确制定社会管理方针和提供科学决策提供依据。[4]此次新冠肺炎疫情防控过程中,政府就广泛收集了公民个人的健康信息及行踪信息,做好了大数据上的准备和防范,避免了疫情的扩大,取得了防疫抗疫的阶段性胜利。
如果要保护个人信息就要保护个人信息所承载的各种利益,包括个人利益、企业利益、社会利益。多种利益形态构成的多元利益格局决定了个人信息保护既不能搞一刀切用同一标准保护,也不能搞单向度保护仅着眼于个人利益,而要设计具体的、分类的个人信息保护机制。
(二)保证个人信息的流动性,为多元利益主体指明行动守则
个人信息前的定语“个人”,很容易让人认为个人信息只关乎个人,个人信息保护就是对个人利益进行保护。毫无疑问个人信息来源于自然人,但在个人信息的流转过程中,个人信息也被赋予了社会属性和公共属性。简单来看,个人信息是与自然人有关的一切信息,包括个人身份信息、财产信息、家庭成员组成、健康状况、工作单位、行踪轨迹等各方面的信息,其内核与实质关联的是人格,即个人的尊严和自由,它反映人的天然不同和精神旨趣的差异。个人信息是信息主体的外在符号,它具有标签作用、表征作用、记录作用和象征意义,它往往不是个人用来孤芳自赏的镜子,而是在社会交往中用于区别于他人甚至向外界展示的名片,例如个人的姓名、电话、邮箱、位置信息等信息。与其说个人信息是以个人为描述对象的,毋宁讲是社会成员沟通交流的纽带。一方面,需要大量用户个人信息的信息处理者(或者说“信息从业者”)在处理信息的过程中可能会侵害到用户的隐私权或者个人信息权益;另一方面,用户有提高生活便捷度、提升消费体验的需求,也很难不依赖信息从业者基于大数据的应用提供的各项服务。
当我们谈及个人信息保护时,要对利益主体进行区分,在对个人信息进行分类的前提下为个人、企业甚至政府管理机构划定行为边界,进行具体的行为指引。个人信息范围过宽,个人信息具有载体依赖性,作为权利对象的个人信息之上存在诸多利益主体,涉及多种利益形态,这些利益主体是一个有机联系的整体。如果不对个人信息进行类型化、场景化、示例化的规制,可能会导致信息在流通环节失控,也可能会对行政机关执法以及法院适用法律的确定性造成干扰。
三、怎样分类 如何保护
从个人信息的类型化着手揭示个人信息的外延,进而区分不同的个人信息,进而匹配不同的个人信息保护机制,将信息类型与保护强度相匹配,将信息类型与信息处理机构的义务相匹配。
(一)私密信息与非私密信息
首先,要区分隐私和个人信息。自从1890年美国的萨穆埃尔· 瓦伦和路易斯· 布兰代斯的《论隐私权》首次提出隐私权的概念以来,[5]隐私权的保护就强调要保护人们“独处的权利”,即私人生活不被打扰的权利。虽然隐私权制度已经深深植根于美国法律体系中,但不论是实务界还是理论界对于隐私概念的外延边界,仍然模糊不清,存在争议。威廉· L· 普罗瑟教授在其《论隐私》一文中,认为以下四种行为将构成对隐私权(即独处权)的侵害:[6]第一,侵害原告的隐居独处,或私人事务;第二,公开有关会使得原告尴尬的私人事实;第三,会使得原告造成公众误解的宣传;第四,为了被告自己的利益将原告的姓名或者肖像占为己用。这是美国学者从行为方式的角度对隐私的外延做出的界定,而且该四种侵害隐私权的类型被美国第二次侵权法重述所继承。透过美国学者对隐私的上述界定,我们不难看出,尽管其核心内涵是保护人们独处的权利,但不论其内涵还是外延都十分的抽象。例如,如何理解“独处”,如何理解“私人事务”和“私人生活”还要结合个案进行具体判断,这显然属于价值判断的过程。
其次,要判断何为私密信息。私密信息包括两方面:一为“私”,二为“密”。“私”就是指私人、私益,即与公共利益和他人利益无关的私人信息,法律保护个人的私益信息不受他人打扰、不被他人知晓的一种安宁利益。但这种保护也是有边界的,那就是不损害他人利益、同时向公共利益让步。在实务中,公共利益的范围和边界也有些模糊,但至少在数量上应当指更多数人的利益、核心应当在公共健康和公共安全领域。“密”强调不为他人所知的秘密性,既包括不愿为他人所知的主观期待,也需要具有未公开的客观事实。[7]其中,性隐私和疾病隐私是自然人最核心的隐私之一。
从隐私权的演变发展以及《民法典》对隐私权的定义来看,隐私包括私人生活安宁、私密空间、私密活动和私密信息。①《民法典》第一千零三十二条。如果从权利对象的角度来看,个人信息包含私密信息,隐私也包括私密信息,因此个人信息和隐私是存在一定范围的交叉的,而这个交叉部分就是私密信息。隐私权具有更强烈的人格尊严性,而个人信息则同时具有尊严性和资源性的双重价值。②《个人信息保护法》第二十九条。在权利保护的顺序上,私密信息如果能够识别到特定自然人时首先属于个人信息,应当给予个人信息的保护,这是一个事实判断过程;然后再通过价值判断,判断私密信息是否属于隐私,给予隐私权的保护,涉及私密信息保护时,应当采取强保护模式,禁止非法获取和使用。对于私密信息来说,隐私权的保护更为严格,那么就优先给予隐私权的保护,如果不属于隐私权的范畴,再考虑给予个人信息权益的保护。
(二)敏感信息与非敏感信息
《个人信息保护法》第二十九条首次单独规定了“敏感信息”,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。相比于《个人信息保护法(草案二次审议稿)》(以下简称《草案》)关于敏感信息的定义,《个人信息保护法》的例举性规定里增加了“特定身份信息”和“不满十四周岁未成年人的个人信息”,这种改变体现了对特殊身份人员以及未成年人的重点保护;删去了“种族”“民族”信息,这符合我国多民族统一国家的国情以及我国的传统文化特点。行踪轨迹信息被纳入敏感信息的范畴也是《个人信息保护法》的一个亮点。
区分敏感信息和非敏感信息是因为对不同信息的处理规则是不一样的,敏感信息关乎个人的核心利益,应该受到最严格的保护,原则上是禁止处理的,《个人信息保护法》第二十九条规定即使处理也要经过个人的单独同意。而且,即使在符合法律规定的前提下处理敏感信息,信息处理者的注意义务也更高,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息,处理时还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。③《个人信息保护法》第二十八条。
《个人信息保护法》划定敏感信息与非敏感信息,目的是界定个人信息处理者的行为边界,在处理敏感信息时信息处理者要遵循更高的注意义务。处理敏感个人信息前要进行个人信息保护影响评估,在具备特定的目的前提下评估处理行为的充分必要性,并对处理情况进行记录,应当取得个人的单独同意或者法律、行政法规规定的书面同意,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
(三)公开的个人信息与非公开的个人信息
公开的个人信息是指被公之于众的个人信息,包括1.个人自行主动公开的个人信息;2.因法律规定或公共利益需要而公开的个人信息。
《民法典》明确区分了公开的个人信息和非公开的个人信息,并为其设置了不同的处理规则:对于公开的个人信息,根据《民法典》第一千零三十六条第二项的规定,除自然人明确拒绝或者处理相关信息侵害其重大利益的外,合理处理相关信息不需要征得该自然人或者其监护人的同意;对于非公开的个人信息,根据《民法典》第一千零三十五条第一款的规定,除法律、行政法规另有规定外,处理相关信息需要征得该自然人或者其监护人同意。可见,《民法典》关于非公开的个人信息的保护强度要强于公开的个人信息。“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意”。①《个人信息保护法》第二十七条。
根据上述法律的相关规定可知,处理公开的个人信息要在合理的范围内,同时不能侵害到个人权益,即公开的个人信息可以合理使用。如何理解“合理使用”呢?《民法典》第九百九十九条规定:“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。”②《民法典》第九百九十九条。是否在合理的范围内使用关键要看使用方式和目的,进行新闻报道、舆论监督等有利于社会公共利益的行为,可以合理使用民事主体的姓名、肖像等个人信息,如果以营利为目的未经信息权利人的同意而用作广告推广或者污损、丑化、不当评论了上述信息,都是不合理的使用。即使是基于新闻报道、舆论监督、公共利益而使用肖像等个人信息也不能任意处理个人信息,如果使用信息会侵害到权利人的人身或财产权益的,要承担相应的侵权责任。
个人自行主动公开的个人信息不包括个人在有限、狭窄范围内主动公开的个人信息。例如,在微信朋友圈展示的个人信息、在少数亲朋好友聚集的聊天群里公开的个人信息不能视为公开的个人信息,只有在无限制的任意公众都能浏览到的平台上展示的个人信息才能视为公开的个人信息。例如,在微博上未设浏览权限的个人信息,在任何人都能浏览的旅游日志上展示的个人出游照片和信息,这些信息的处理不必经过信息权利人的专门同意,但也要合理使用。经个人同意后在一定范围合法公开的信息,典型如基于合同关系而向合同当事人公开的信息,此类信息也不属于公开的个人信息,即使合同未特别约定,当事人也应当承担保密义务。而因为他人不当公开或者非法公开的个人信息,尽管在客观上处于公开的状态,但因为违法而不属于合法公开的个人信息,对该类信息的使用属于侵权,要承担相应的侵权责任。
同时,基于社会征信和司法监督的需要,有些信息即使对当事人不利,当事人不想公开,也要公开,这种公开不侵犯当事人隐私,而且是依法公开。例如,人民法院在互联网公布裁判文书时,应当删除自然人的家庭住址、通信方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息以及家事、人格权益等纠纷中涉及个人隐私的信息。③《最高人民法院关于人民法院在互联网公布裁判文书的规定》第十条。例如,《最高人民法院关于人民法院在互联网公布裁判文书的规定》第十条规定:“除上述自然人的信息外,当事人姓名(保留姓氏,名字以‘某’替代)、出生日期、性别、住所地所属县、区;以及法定代表人或主要负责人的姓名、职务;案情信息;判决结果等信息等都会公开。”《最高人民法院关于公布失信被执行人名单信息的若干规定》第六条规定:“除未成年人个人外,作为被执行人的自然人的姓名、性别、年龄、身份证号码;生效法律文书确定的义务和被执行人的履行情况;被执行人失信行为的具体情形等信息都要依法公开。”