个人信息法律保护理论之反思
2023-03-09陈清
陈 清
(江苏师范大学,江苏 徐州 221116)
若要系统地阐释个人信息法律保护的基本理论,就必须要回答:个人信息出场范式及其呈现类型,如何有效地对个人信息与其他法律关系客体进行法律识别,以及个人信息是否需要进行设权保护。本文将对以上几个问题进行分析,借以反思个人信息法律保护的已有理论及其立法选择。
一、个人信息出场范式及其呈现类型
《中华人民共和国民法典》(以下简称《民法典》)第1034条第2款与《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第4条均对个人信息进行了定义,但两者存在明显的差异。前者对个人信息界定主要采取“概括+列举”的立法形式,而后者则主要采取的是抽象概括的立法技术,需要特别注意的是后者将“经过匿名化处理后的信息”排除出概念范畴。除此之外,两者在基本意涵的理解上保持着认知上的一致,即个人信息的核心要素,体现着对特定自然人的可识别性。
仅仅如此,似乎有一些问题依旧不够明了。如何界定某些信息是属于特定自然人的呢?当我们谈论“某人的个人信息”时,该自然人与这些信息之间到底是什么关系呢?一种观点认为,当信息能够识别特定自然人时,就成为“某人的个人信息”,该自然人即能够支配该信息。换言之,该信息专属于该自然人[1]。因此,诸如身份证件号码、生物特征信息,全都专属于特定自然人。但立法现实并非如此,《民法典》人格权编对于自然人享有的支配性人格利益,采取的是“享有某某权”的立法表述,如《民法典》第993条:“民事主体可以将自己的姓名、名称、肖像等许可他人使用”,条文中所用“许可”一词则表明,民事主体对上述姓名、名称、肖像等人格利益享有直接的、支配的权利。但在《民法典》人格权编第六章“隐私权和个人信息保护”中,立法者却使用了“自然人的个人信息受法律保护”这样的表述,并不想承认自然人对于能够识别其身份的信息,享有某种专属的、支配的人格利益。然而,在《民法典》所意定的个人信息呈现形式上,也并非一定为特定自然人所独享,比如姓名、出生日期、住址等,它们均可在不同的自然人身上重复出现。即便某些信息,如身份证件号码,为特定自然人所独有,但也不能说明自然人对其身份证件号码享有某种支配性的利益。此外,姓名、肖像等当属于自然人的个人信息,目前在立法上已置于姓名权、肖像权等具体人格权法律保护体系之中,也非个人信息法律保护的规范体系内容。另一种观点则认为,个人信息实际上仅仅是与特定自然人相关,因为某些信息可以识别指向特定自然人,所以与该自然人相关[2]。当这些能够识别特定自然人的信息被非法地收集、使用时,即可能致使特定自然人的人身财产和人格尊严受到侵害。这样的理解会给人们带来一些认知上的困惑,即当这些权益受到侵害时,自然人完全可以基于《民法典》人格权编及侵权责任编主张私法上的救济,为何还需要通过立法寻求对其进行保护?因此,法律保护个人信息,绝非源于救济其被非法收集和使用时可能产生的财产权益和其他人格权益,而是在于“可识别特定自然人”的个人信息上蕴含着某项独立的人格权益。
意欲探究这种人格权益的内涵,必须在法典体系下去明晰其与其他人格权之间的逻辑关系。《民法典》人格权编第六章的标题为《隐私权和个人信息保护》,这两个概念的并列表明,立法者认为这两个概念一定程度上相关又彼此独立。透过《民法典》第1032条对“隐私”的定义,我们不难发现,隐私权旨在保护自然人的一种“维持私人生活安宁”和“不愿为人所知”的权利,产生隐私的具体情境涉及私密空间、私密活动以及私密信息。个人私密信息俨然成为两者的连接点,其不仅可以识别特定自然人,且为特定自然人不愿被他人所知。个人信息若并非介意为他人所知悉,那便不属于隐私。这足以说明个人信息旨在保护的法益并不是自然人能够让可识别其身份的信息不为人知的人格权益。
前已述及的个人信息定义的最大特点为“可识别性”,深刻揭示出个人信息的人格属性。透视既有的人格利益保护学理,比较有参考意义的是关于名誉权的理论。根据《民法典》第1024条的立法精神,个人名誉是一种综合性社会评价,其和个人身份之间关系密切,这种社会评价可能因侮辱、诽谤等形式的侵害而受到消极影响。个人名誉是否受到侵害的核心判断标准不在于社会评价是否降低,而在于相对人造成当事人社会评价降低的过程中,是否使用了道德和法律所否定的行为,即当事人社会评价的降低是因为某些失真或侮辱性的描述而非基于客观事实。个人社会评价的形成遵循如下路径:个人以自身的行为作用于社会,而社会对个人的行为形成相应反馈。相对人对个人社会评价的侵犯,实际上是扭曲个人作用于社会的过程,从而使社会对个人的反馈产生扭曲。
个人社会评价运行机理对于我们研究法律保护个人信息的启发是,保护个人信息不仅是保护具备可识别性的信息不被人所知,也不仅仅是保护其因非法侵害可能带来的财产损害。在当代,个人信息的可识别性决定了其与特定的人身紧密相联,其呈现与否或者以何种形式呈现均由当事人自主决定。个人信息的保护基础是特定自然人的身份,从而通过保护个人信息实现对自然人人格尊严的保护。基于对人格尊严的潜在影响程度不同和流转范围不同,在立法上主要采取了以下的类型标准:一是,一般个人信息与敏感个人信息。敏感个人信息是法律保护的第一要务,因为其与自然人人格利益的实现最为紧密。敏感与否的判断,不取决于当事人的主观感受和判断。立法者更关注其被非法收集或使用后对自然人利益造成的风险,未满十四周岁的未成年人自然成为保护重点。在立法上,对敏感个人信息的保护主要是通过对信息处理者处理条件的限制来实现的,即要符合有“特定的目的”“充分的必要性”和“采取严格保护措施”。二是,境内个人信息和跨境个人信息。个人信息处理者向境外提供个人信息可能带来许多未知的意外风险,个人信息在境外遭到侵害也可能大大增加当事人的维权成本。因此,立法者针对跨境的个人信息提供,对个人信息处理者进行了资格上的限制。
二、个人信息与个人信息数据
在科技法学研究过程中,个人信息和个人信息数据这两个概念未被严格进行区分,并常常被混合使用[3]。近年来,学界已经注意到这一问题,并尝试对个人信息和个人信息数据作出法律上的区分。
(一)个人信息数据法律性质
个人信息数据究竟是民事主体哪种利益所指向的对象?有一种观点是,根据《民法典》第111条和第127条可以得知,立法者将个人信息作为人格权益进行保护,而将个人信息数据作为财产权益进行保护。个人信息数据究竟是不是民事主体财产权益所指向的对象呢?首先需要研究个人信息数据能否作为客体,主要是作为“物”的形式而存在。个人信息数据与传统民法理论中“客体”最显著的差别,在于其实际上无法为民事主体所独占。个人信息数据的产生和流通符合传播学规律,删除即灭失,复制则使得多个民事主体同时拥有统一数据,这直接导致在个人信息数据上无法设定一个完全物权。民事主体不会如动产与不动产一样拥有唯一而排他的个人信息数据,传统民法理论上有形物“一物多卖”问题无法在无形的个人信息数据上发生。除此之外,数据交易即便在法律上被认定无效,数据的买受人若是已经掌握了数据,亦无法返还,不可能回到交易之前的状态。那么,相对人的救济只能依靠禁止买受人使用和损害赔偿等方式。此时的数据交易也就不再是买卖,而是一种服务的提供。个人信息数据既然不能成为民事权利客体,那自然无法在其上设定财产权。此外,应注意到,个人信息数据经济价值的实现需依托整个信息系统,而不能单独实现。鉴于个人信息与个人信息数据两者之间的重叠性,强调个人信息数据的财产保护,将冲击作为人格权益进行保护的个人信息。
(二)区分意义
“数据”一词,在不同学科领域中内涵迥异。在讨论个人信息和个人信息数据的语境下,个人信息数据应被理解为数字技术下的以比特流形式存在的电子符号。个人信息与个人信息数据是内容与载体的关系,个人信息在当下主要以数字化或数据化的形式呈现,但两者之间并非简单的一一对应关系。有学者认为,这样区分的意义是值得怀疑的[4]。主要是因为:第一,在关系上,个人信息并不是自在的,它一定需要特定的媒介,才能表现出来;第二,在内容上,随着数字技术的进步,学界无不注意到作为内容的信息和作为形式的数据正在结合得越来越紧密,个人信息数据相对于传统信息媒介显示出越来越明显的优越性,以至于个人信息唯有与数字技术结合才能最高效地表达出来。从理论上对个人信息与个人信息数据进行区分,不仅异常困难,而且也价值甚微。因为在数字时代,个人信息和个人信息数据之间能够进行相互转化。但学界同时注意到,虽然在静态概念的对比中两者没有较大的不同,但置于动态的法律问题中,两者存在明显差别。因此,立法上个人信息与个人信息数据的模糊处理极有可能导致权利设置的偏差,由此带来司法审判实务上的困惑。
(三)区分方法
如今的互联网纠纷主要有两类:一是现实延伸型的法律纠纷,一是纯粹虚拟型的法律纠纷。现实延伸型的法律纠纷中,互联网和信息技术不过是媒介,实际上依旧是传统的法律问题;而纯粹虚拟型的法律纠纷则根植于互联网,完全无法脱离互联网而存在,是新型的法律问题。事实上个人信息问题应属现实延伸型的法律问题,而个人信息数据问题应属纯粹虚拟型的法律问题。透过纷繁复杂的现实矛盾与纠纷,可以探寻到区分两者界限的一些行之有效的方法。首先,通过个人信息和个人信息数据表现的不同利益进行区分。当事人的利益主要是在于作为内容的个人信息上,还是在于作为载体的个人信息数据上,在多数情况下是可以区分的。其次,通过个人信息和个人信息数据反映的不同诉求进行区分。当事人是希望保护个人信息内容还是保护个人信息数据安全,也是一个比较重要的标准。最后,通过个人信息和个人信息数据所需的不同救济进行区分。法律提供的救济是保护信息内容不被非法流通,还是使得数据免遭非法的破坏,也是有效实现两者区分必不可少的视角。总之,个人信息的法律保护旨在维护具备可识别特定自然人的信息本身,从《民法典》和《个人信息保护法》对个人信息的定义来看,电子形式不过是诸多形式之一而已。而个人信息数据会涉及虚拟财产保护、网络安全等一系列现实问题,由于其俨然无法脱离互联网而存在,所以对个人信息数据的救济也不必遵循传统民法上的保护方式。
三、个人信息与个人信息权
由于在立法技术和国家政策方面存在争议,《民法典》在相关条文中回避了“个人信息权”一词。这一立法上的模糊处理引发了学界对于个人信息权益属性的大讨论,而对个人信息权益属性认识的不同,也直接带来具体的立法模式和保护路径上的差异。目前学界主要有两种观点,一种是“法益保护说”。该说认为,既然《民法典》未明确设置一项指向个人信息的民事权利,那么应当将个人信息作为一种受民法保护的法益,主要采取行为规制模式进行保护[5]。另一种是“权利保护说”。该说认为,应当承认个人信息权的存在,以权利化模式对个人信息进行保护[6]。
(一)个人信息的权利保护
1.个人信息权私法证成
《民法典》人格权编第六章述及对个人信息的保护,但是并没有明确“个人信息权”的存在。但有些学者认为,既然现有立法已经包含自然人拥有对个人信息处理的“知情权”“同意权”,个人同意成为了个人信息收集和使用原则的前提,事实上已经起到了赋权的效果,那么当然应该直接承认个人信息权的存在[7]。个人信息权并非一种此前从未有过的权利,它与过去的立法实践一脉相承,且体现了信息社会的时代内涵,不与现有的人格权体系相冲突,其功能也不能被现有的人格权体系替代。以权利化模式对个人信息进行保护,有如下理由:第一,相比较权益而言,权利在受到侵害时,法律对违法性和过错的判断认定以及受侵害的举证责任方面对受侵害主体更有利,保护力度更大,贯彻了权利本位理念;第二,将个人信息作为法益保护,其行为规制模式无法穷尽列举可能的侵害方式,因而实际上模糊了信息主体和个人信息处理者的预期,权利化模式能够给予各方清晰的预期;第三,侵害个人信息的主体中,不乏规模较大的企业乃至公权力,此时信息主体处于被动和弱势的地位,以保护能力较强的权利化模式保护信息主体有利于平衡这种不对等状态;第四,保护性较强的权利化模式能够在侵害发生时让信息主体有能力阻断这种侵害,达到及时止损的效果。因此,权利化模式可以在侵害发生前、发生时、发生后全方位地对信息主体予以充分保护。
既然已经阐明了设定个人信息权的必要性,那么接下来的问题就是设定个人信息权是否可行。主张“权利保护说”的学者按照德国法中的“主体—权利—客体”模型对个人信息权进行了证成。第一,个人信息权能被划归于特定主体享有。个人信息权的权利人,即为个人信息能够识别的特定自然人。第二,个人信息权作为一项民事权利,独立不被其他民事权利覆盖且能与现有的权利体系相容。当涉及对姓名、肖像、隐私等个人信息的侵害时,优先适用姓名权、肖像权、隐私权等人格权的有关规定,对除此以外的个人信息适用个人信息权保护。第三,个人信息权的客体是相对明确、确定的。在上文中,已经论及个人信息与隐私、个人信息与个人信息数据之间的差别。有学者指出,个人信息以个人隐私敏感信息为核心向外扩散,需要界定的是这一概念的边界[8]。采用列举的方法可能出现不周延的问题,也难以应对新情况。但我国立法采用“能够识别”这一标准,兼含“已识别”与“可识别”的信息,使得个人信息置于相对确定的状态。
2.个人信息权公法证成
值得注意的是,有部分学者赞成“法益保护说”的部分观点,认为设定一项作为民事权利的个人信息权并非保护个人信息的最佳路径[9]。同时这一观点也指出,个人信息处理者对信息主体的侵犯并不总是产生民事损害后果,这造成了信息主体通过民事诉讼维权时举证的困难。因此,有必要设定一项公法上的个人信息权,并由专门执法机构对个人信息处理者实行监督,一旦发现违反法定义务的情形,则由相关部门依法追究其法律责任,如果同时造成民事侵权的,信息主体也当然可以追究其责任。此外,设定一项公法上的个人信息权使得信息主体不仅能够对抗地位平等的私法主体,而且当公权力侵害信息主体的合法权益时,信息主体可以依法追究国家机关的责任。同时,个人信息保护执法部门的存在也能够为信息主体提供支持,以保护其合法权益。这一理论值得考量。
(二)个人信息的法益保护
1.个人信息权的否定
支持“法益保护说”的学者否定了“个人信息权”的概念,他们认为现有的立法不足以支撑个人信息权作为一项独立完整的民事权利存在,同时以权利化模式保护个人信息亦非最佳的路径。
第一,个人信息权的客体具有不确定性。《民法典》第1034条阐述了个人信息的内涵,并列举了其主要内容。《个人信息保护法》第4条也对个人信息作出定义,并举例说明其主要依附的载体。上述立法认为个人信息的核心特征为“可识别性”,所以只要信息已识别或者可识别特定自然人,那么便可以算作个人信息,成为个人信息权的客体。但是“可识别性”这一特征本身就是不确定的,在大数据时代,通过信息技术对各种信息进行组合,能够使本不足以识别特定自然人的信息达到识别信息主体的效果。即“可识别性”不仅仅与信息内容本身相关,也与信息处理者对信息的使用方式有关。随着大数据分析技术的不断进步,自然人社会生活的一切细枝末节都可以在经过特定算法的标记、处理、共享后与其身份联系起来,最终导致基于“可识别性”为中心的个人信息保护范围越来越大,个人信息的内涵和外延均处于一种相对模糊的状态,个人信息权这一概念的边界最终在立法上也无法被限定。同时,个人信息作为个人信息权的客体,与其他人格权的客体存在相当多的重合,如《民法典》人格权编第三章规定的姓名权,第四章规定的肖像权,其客体姓名、肖像同样具备识别特定自然人的特点。这就使得人格权体系内部发生冲突,破坏了人格权编这一整体体系的和谐。如上所述,个人信息自身概念并不明晰,与其他人格权客体亦有冲突,将个人信息作为权利的客体并不符合权利创设的基本要求。
第二,赋予对个人信息的控制力不符合个人信息保护的基本理念。《民法典》第111条为个人信息保护设定的义务主体是“任何组织与个人”,若是设定一项个人信息权,那么作为一项绝对权,其义务主体是普遍的。而《个人信息保护法》则以“个人信息处理者”作为义务主体,与国际上个人信息保护立法实践采用的“信息控制者”和“信息处理者”类似,更有利于明确法律关系和责任义务。
第三,权利化规制路径不利于个人信息作为公共产品的社会利用。在个人信息的保护过程中不能过分强调其私法属性,而忽略个人信息的社会属性与社会价值。一方面,在立法上,设定一项处于个人完全支配的个人信息权,势必会影响个人信息的自由流通与正常使用。在信息时代,个人信息所衍生出的各类数据,已成为国家与社会发展的重要生产要素。一旦人们阻碍信息的正常流通和使用,将对社会产生难以言喻的消极影响。另一方面,在实践中,受制于认识水平,自然人虽能全面控制个人信息,却不一定能对其进行有效的支配和利用,在此情况下,赋予个人自主的权利却未必能让个人信息得到有效的保护。正如有学者指出,设定个人信息权将使保护不足和保护过度的问题同时发生[10]。
2.行为规制模式的实效
前已述及,为个人设定一项积极的支配性的权利并不能让个人信息得到有效保护,也不满足社会发展的要求。正面设权的方式并不适用于对个人信息的保护。所以“法益保护说”的学者指出,应将个人信息作为一种法益进行保护。在传统民法理论中,法益指合法、正当的利益,由于其客体和边界都相对模糊,因此不适宜将其作为民事权利进行保护[11]。对于法益,立法者可以通过对他人的行为进行规范和限制,从而达到保护法益的效果。
从行为规制模式的法律实效看,首先,采用该模式更有助于人格权体系内部的和谐。由于个人信息内涵和外延不够明确,若是作为个人信息权的客体,势必会同其他人格权的客体发生冲突。而若是认定个人信息为一种法益,则不仅保证了人格权体系的和谐,也使个人信息得到民法适度的保护,从而使个人信息保护体系与人格权体系相互补充,相辅相成。其次,行为规制模式为个人信息处理者提供了明确的指引。个人信息处理者作为义务主体,在该模式下不必受限于对信息处理活动缺乏必要认识的自然人的干涉,而能得到立法者在法律原则和行为规则方面清晰的指引。通过对采集、传输、利用、交易等各个环节中信息处理者的行为进行规范,个人信息处理者得以知道“什么不能做”和“应该怎么做”,并能够在遵守法律的前提下最大限度地发挥主观能动性,开发利用数据资源。最后,以该模式保护个人信息,有利于国家和社会发展的总体要求。行为规制模式为信息主体设定了一种针对其个人信息的消极的、防御的权益,也即为个人信息处理活动设定了一道不可逾越的边界。在这一边界内,个人信息的开发和流通是自由的,一方面实现了对自然人人格利益的保护,另一方面也促进了个人信息使用价值和交换价值的运用,保证了数据产业的健康发展。
四、结语
随着云技术的广泛使用,大数据时代已然到来。大数据易导致个人信息保护问题的放大,人格尊严、信息自决权与知情权是个人信息保护的三个重要维度。个人信息作为现代人形成人格形象的重要组成部分,承载着丰富的财产利益,同时也兼具公共产品的属性。个人信息保护范围应充分度量信息主体各方面权益诉求,达到个人信息保护与利用的平衡。在法律解释上,应通过直接收集原则,目的明确原则及保密原则,实现法律制度与法律规则的协调统一。
