谭佐财

武汉大学 法学院,湖北 武汉 430072

《中华人民共和国民法典》(以下简称《民法典》)人格权编设专章对隐私权和个人信息保护作出规定,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)进一步细化和完善了《民法典》关于个人信息保护的相关条款,较为细致地规定了个人信息主体的权利和个人信息处理者的义务,由此构建了较为完备的个人信息保护体系[1]。中国个人信息保护已经发展到一个全新阶段。在强化个人信息保护的同时,不能忽视信息主体滥用法律赋予的权益损害国家利益、社会公共利益或者他人合法权益的情形。孟德斯鸠曾作出经典论断:“一切有权力的人都容易滥用权力,这是万古不易的一条经验。”[2]184尽管该论断是针对国家权力制衡而言的,但对于民事权利的行使同样具有启发意义。实际上,个人信息权益滥用现象被理论和实践淡化甚至遮蔽。在规范上,尽管现行法对个人信息权益设有一定限制,但更侧重权利构成层面,在权利行使限制层面存在不足;在学理上,围绕个人信息保护形成了卷帙浩繁的文献,集中于讨论个人信息法律属性、信息与数据、隐私等相关概念辨析、告知同意等具体规则的建构与解释等方面,尽管也有研究注意到对个人信息权益的限制,但对个人信息权益滥用的关注明显不足。造成此种现象的原因是多方面的,一是个人信息保护理念的不断强化和渲染;二是无论是个人信息还是隐私均兼具个体价值与社会价值[3],但实践中未能妥善处理信息主体利益与公共利益的关系;三是借鉴域外立法和裁判的个人信息权益规则缺乏本土实践经验的充分积累导致规则本身具有模糊性。

从整个法律体系上看,对个人信息权益滥用的规制具有规范依据。《民法典》第一百三十二条沿袭《民法总则》新增的禁止权利滥用原则:“民事主体不得滥用民事权利损害国家利益、社会公共利益或者他人合法权益。”《最高人民法院关于适用〈中华人民共和国民法典〉总则编若干问题的解释》(以下简称《民法典总则编解释》)第三条对民事权利滥用的判断标准及法律效果作了细化规定(1)《民法典总则编解释》第三条第一款和第二款分别从动态系统论和损害目的的角度规定了滥用民事权利的判断方法;第三款规定了“不发生相应的法律效力”和侵权责任两项法律后果。。本文以此为依据阐释禁止权利滥用原则能否以及如何调适个人信息权益滥用行为,并为之提供教义方案,以期引起各界对个人信息权益滥用现象的关注。

一、限制个人信息权益的双层模式

根据权利限制的不同路径,权利限制的模式可以划分为权利构成模式和权利行使模式。权利构成模式是从权利构成要件方面进行权利限制,而权利行使模式则是从权利行使方面施加权利限制。二者均会因公共利益作出让渡权利的安排,并共同构成个人信息权益的限制体系,但尚有诸多不同。其一,限制路径不同。前者直接否认权利之成立,后者则是以权利成立为前提进而限制权利行使。其二,判断方式不同。前者不需要进行利益衡量,后果直接表现为不享有此项权益,而对后者的判断,则以享有相应的权益为前提,以利益衡量为工具。其三,限制方式不同。前者系内部限制,即由权益本身的构成要件及其例外规定、法律责任进行设定;后者则是外部限制,以禁止权利滥用原则为限制依据。其四,法律效果不同。前者丧失请求权基础或者直接免除信息处理者的责任(《民法典》第一千零三十六条),但后者不仅“不发生相应的法律效力”,而且权利人还可能承担损害赔偿义务,即因权利不当行使产生“第二性义务”。此外,二者在优先顺序、论证负担上也有所差异,权利构成限制优先于权利行使限制,且论证负担明显低于权利行使限制。从个人信息保护的法律规范来看,无论是《民法典》还是《个人信息保护法》,对个人信息权益的限制均侧重于对个人信息权利构成本身的限制,而淡化了权利行使的限制。

(一)权利构成模式导向之局限

1.权利构成之适用窘境

权利构成模式对个人信息权益的限制侧重于协调信息主体与信息处理者的关系。但是,个人信息的转让或者交易也可能会损害公共利益。有学者提出对个人信息交易进行限制正是此理,尽管此种限制违背信息主体之意愿[3]。在此意义上,个人信息的自由转让便无法适用权利构成模式进行调适。《个人信息保护法》也未对此作出直接规范。此外,权利构成模式适用范围的限制会导致在涉及第三人利益时面临局限,例如在行使查阅复制权、删除权时可能损害其他信息主体的利益,立法机关认为,对此类现象可以运用公平原则来处理[4]115。公平原则作为基本原则,非经具体化不得直接作为裁判依据。相比较而言,运用更为具体的禁止权利滥用原则来处理此类问题显得更为合理。一言以蔽之,适用权利构成模式所能解决的权利限制问题具有局限性,它主要调适信息主体与信息处理者之间的关系,但无法妥当调整信息主体与其他主体之间的关系。

2.权利构成之标准不一

通常认为,享有正当权利是构成权利滥用的基础条件,如果当事人根本就没有相应的权利,则依照具体权利确认效果即可,无需援引《民法典》第一百三十二条禁止权利滥用原则[5]103。但是,在判断正当权利时究竟是采用形式要件抑或实质要件却不无疑问,此种困惑也体现在最高人民法院的裁判观点中。在一则指导性案例中,最高人民法院认为“恶意取得、行使商标权并主张他人侵权的,人民法院应当以构成权利滥用为由,判决对其诉讼请求不予支持”(2)参见王碎永诉深圳歌力思服饰股份有限公司、杭州银泰世纪百货有限公司侵害商标权纠纷案,最高人民法院第82号指导性案例。。其言下之意即行使通过恶意手段取得的形式上的商标权也可构成权利滥用,但从最高人民法院对《民法典总则编解释》第三条的解释又可看出,其又采用了实质判断标准。由此可见,对权利构成的判断常常较为复杂,不仅可能面临难以清晰地形成权利有无之裁判结论的困难,而且通过司法裁判直接否定当事人权利之享有会面临较大裁判风险。

3.权利构成之规范模糊

《个人信息保护法》中诸多权利构成上的限制均存在不清晰的问题。以《个人信息保护法》第十三条第二款为例,该条规定处理个人信息原则上应当取得个人同意,在法定情形下无需取得同意。其中包括“合理范围”“紧急情况”等不确定法律概念,这也就意味着在特定情形下对个人是否享有同意权进行判断充满了不确定性。再如,《个人信息保护法》第四十四条后半句以“法律、行政法规另有规定的除外”排除了个人对其个人信息处理享有的知情权、决定权的情形。类似规定还体现于查阅复制权、删除权、近亲属对死者个人信息享有的权利。例如,《个人信息保护法》第四十九条赋予死者近亲属查阅、复制、更正、删除等权利,但是死者生前另有安排的除外。这实际上是死者本人意愿及利益高于近亲属享有的法定权利,换言之,死者近亲属享有的前述权利以不违背死者本人意愿为构成要件。但是,死者生前可能会面临安排不明确、安排明显不当、安排明显有损自身利益等情形,法院可能面临难以判断近亲属是否享有此项权利的难题。

(二)权利行使模式应用之证成

1.权利行使模式的必要性

第一,现行法对个人信息权益行使限制的直接规范存在不足。数字时代的个人信息保护处于动态变化之中,且中国奉行“宜粗不宜细”的立法原则,无论是《中华人民共和国网络安全法》(以下简称《网络安全法》)、《民法典》还是《个人信息保护法》均属于基本法律,再加上种类繁多的个人信息权益类型、行使方式,故立法无法对个人信息保护与限制情形作出全面细致的规定。尽管《个人信息保护法》是一部体系完备的个人信息保护的基础性法律,但是相关规定设置了诸多例外规定和引致规定。该法累计9个条文设置了“除外”规定,20个条文设置了“法律、行政法规”的引致性规定。这种立法模式为信息主体滥用权利提供了可乘之机。但《个人信息保护法》立法目的乃基于个人与信息处理者在技术、信息、经济地位等方面的严重不平等地位而作出的矫正性规定,具体手段是赋予个人相应权利和对个人信息处理者施加大量义务[6]336。这一基本价值立场也决定了《个人信息保护法》实际上无法对权利行使的限制作出过多规定,因此,需要从法律体系的角度在《个人信息保护法》之外汲取有益养分。

第二,禁止权利滥用原则可以作为指导制定规范性文件或者行业规范的基本依据。无论是在规范上还是在学说上,个人信息权益的法律地位均被设定为基本民事权益或基本权利。可以说,此种位阶决定了行政规范性文件不得随意对其进行限制。但是,在特定领域通过发布规范性文件或者行业规范等对个人信息权益的行使进行合理限制也具有必要性。例如,《个人信息保护法》并没有对查阅复制权的具体行使作出细致规定,而是由《征信业管理条例》等具体规范进行规定,此时便可由《民法典》禁止权利滥用原则对个人信息权益行使的限制规定作合法性考量。另外,在对个人信息保护尚有不足的现实情况下,对个人信息权益行使的不少限制性安排只能留待裁判实践和各行业去积累实践经验,待条件成熟时再上升为正式立法。在此之前,禁止权利滥用原则不仅可以作为制定规范性文件的标尺,也可以作为处理个人信息权益滥用的“黄金法则”。

第三,禁止权利滥用原则作为填补漏洞的依据。尽管告知同意是个人信息处理的基本规则,但是个人信息保护的相关规则仍然为告知同意设置了诸多例外。尤为重要的是,《民法典》《个人信息保护法》以“法律、行政法规规定”为告知同意规则的排除适用保留了通道。例如,《民法典》第一千零三十三条将“法律另有规定”作为侵犯隐私权的例外,第一千零三十五条第一款第(一)项将“法律、行政法规另有规定”作为处理个人信息同意原则适用的例外,等等。这一现象并没有引起理论界的足够重视。实际上,中国有关个人信息保护的民事案件数量并不多(3)在北大法宝数据库分别以“个人信息保护纠纷”为案由、以“个人信息”为标题关键词检索民事纠纷,截至2022年4月21日,检索结果分别为13例和118例。尽管“个人信息保护纠纷”案由于2020年12月30日才被增设,但是此类民事纠纷的数量仍不算多。,个人信息保护立法主要是基于域外立法例的借鉴和学理上共识的运用,缺乏国内实践经验的充分积累。在此背景下进行的立法并不足以完全应对未来的个人信息保护与限制的实践需求。即便法律、行政法规尚未明确规定告知同意规则的排除情形,这并不意味着告知同意可以不加区分地予以适用。在法律、行政法规尚未与《民法典》《个人信息保护法》建立衔接规则时,禁止权利滥用原则作为填补漏洞工具有其必要性。

2.权利行使模式的可能性

在《民法总则》颁布之后,对于禁止权利滥用规范的性质,学理上仍然存在“基本原则说”“规则说”“概括条款说”“介乎原则和规则之间的中间状态说”等观点。禁止权利滥用作为法体系中的一般性规范,在《民法典》中虽不具有基本原则的体系地位,但也并非具体规则,故《民法典》第一百三十二条仍可以定性为禁止权利滥用原则。这一原则能够发挥对权利行使之限制功能,在个人信息权益滥用中也具有适用可能。

首先,《民法典》与个人信息保护的关系。将禁止权利滥用原则适用于个人信息权益的规制须回应如下学说分歧:一是《个人信息保护法》与《民法典》之关系,二是个人信息的权利(益)的法律属性。这些分歧根本上就是个人信息权(益)究竟是民事权利还是公法权利之争。一方面,《民法典》与《个人信息保护法》均旗帜鲜明地确认了个人信息的民事权益属性,解释论也应当以此为前提展开,而且个人信息权益的保护与限制是一体两面的关系,《民法典》在为个人信息保护提供制度供给时[7],也能为个人信息权益限制提供规范依据;另一方面,尽管个人信息权益包括诸多手段性权利或者方式性权利,更多地体现为一种权能,但是这并不妨碍将个人信息权益本身归为权益范畴。既属权益范畴,则有权益行使之边界。此种边界可以由法律直接明确规定,也可以基于法价值的判断或者法体系的阐释所形成。故从整个法体系观之,禁止权利滥用原则为个人信息权益行使设定了一般边界。

其次,个人信息权益属于民事权利范畴。《民法典》第一百三十二条规定“民事主体不得滥用民事权利损害国家利益、社会公共利益或者他人合法权益”。从文义上看,该条款适用的前提是民事主体享有特定的民事权利,但《民法典》人格权编第六章和《个人信息保护法》均未采取“个人信息权”或者“个人信息权利”的概念。从《个人信息保护法》第一条可以看出,立法采取了“个人信息权益”的概念。立法之本意是将个人信息当作利益保护。在方法论上,一般语言用法或者当时立法者视作是标准的语言用法划定规范文本“可能的文义”,且制定法上的特殊语言用法优于一般语言的习惯用法[8]405-406。《民法总则》第一百一十一条是中国民事基本法对个人信息受法律保护首次直接作出的规定,且《民法典》第一百一十一条与第一百三十二条均规定在《民法典》总则编民事权利章。从《民法典》总则编第六章的体例安排可以看出,立法者也无意将个人信息权益排除于禁止权利滥用原则的规范范围。事实上,尽管权利与权益在概念上的差异具有法理上的考虑,但是这并不会影响到禁止权益滥用原则对个人信息权益作出限制。

3.权利行使模式的优越性

权利行使模式是对信息主体权利行使行为的规制。相较于对个体权利构成进行限制,在权利行使上进行行为规制更符合民法原理和现实需求。

当对是否享有某项个人信息权益难以形成妥当裁判结论时,运用禁止权利滥用原则对权利行使进行控制,有助于裁判妥当。相较于对当事人是否享有一项正当权利进行司法判断,法院对个人信息权益的行使方式是否具有合理性和合法性判断更为便捷。原因在于,前者更具模糊性,而后者由客观事实进行判断相对清晰。例如,《个人信息保护法》第四十八条规定信息主体享有对个人信息处理规则的解释说明权利,但由于该项权利内容和范围充满了复杂判断因素,故在构成判断上可能面临困难。如果法院跳出权利构成思维,仅结合客观事实表明信息主体享有形式上的解释说明权利即可,至于是否享有实质权利则暂且不论。继而,再由禁止权利滥用原则对权利行使方式进行评价,如果信息主体对于形式权利的行使不当,则配置权利滥用的法律效果。此外,在当前个人信息保护尚存不足的背景下,直接否定个人信息权益的享有既不符合个人信息权益保护的价值立场,也难以为社会大众所接受。

实际上,从禁止权利滥用原则发展的历史脉络来看,其最初应用于财产权利尤其是物权,但是目前已经逐步延伸到人格权、身份权甚至基本权利,已经成为权利领域的核心原则和基本法理。一方面,尽管禁止权利滥用原则诞生于私法领域,但是经过实践和理论的发展,已经逐步运用到公法领域,用以控制公民行使基本权利时的滥用行为;另一方面,个人信息权益不仅仅是民事权利,也是宪法基本权利,实践中由个人信息权益引发的行政诉讼或者行政复议案件并不鲜见。因此,禁止权利滥用原则具有凌驾于公私法之上的优势,使论证焦点不必桎梏于个人信息权(益)的公私法属性。

在大数据时代,个人信息常常以数据方式记载。信息主体(数据主体)与信息处理者(数据企业)共同分享信息利用所带来的红利。尽管有研究提出“数据企业对合法收集的包括个人数据在内的全部数据拥有支配的权利”[9],但是实际上数据企业对个人数据享有的权利以及数据主体的权利的性质、内容等并不清晰。此时,不妨考虑通过权利行使限制模式为数据主体行使权利设定边界。原因在于,权利构成限制模式的适用常常困囿于权利的本质、目的、内容等具体问题,但是权利行使限制模式在一定程度上可以跳出前述桎梏,从数据主体与数据企业的利益平衡的角度判断之,故而更具可操作性。

二、个人信息权益滥用的表现形式

《个人信息保护法》第四章“个人在个人信息处理活动中的权利”对信息主体赋权时并未同时设定边界或者边界不够完整,呈现出个人信息赋权有余而限制不足的现象。无论是《民法典》还是《个人信息保护法》,其中的个人信息权益规范均涉及大量的不确定法律概念,而且对于诸如敏感个人信息、私密信息等基础概念也尚未形成共识,容易造成权利假象。在为个人信息保护欢呼雀跃时,实际上也对司法裁判和社会个体行为产生了潜移默化的影响,助长了个人信息权益的滥用。结合个人信息保护实践和权利滥用理论,个人信息权益滥用在实体法和程序法两个维度上具有不同表现形式。

(一)实体法维度

《民法典》《个人信息保护法》共同建构了个人信息权益的基本框架。知情权、决定权是个人信息权利体系中的基础性、概括性权利,其中知情权包括处理个人信息前的告知、要求信息处理者公开处理规则,以及“个人在个人信息处理活动中的权利”一章所规定的查阅复制权、解释说明权等权益;决定权则包括对个人信息处理的同意权、拒绝权、同意的撤回权,以及该章规定的可携权、更正补充权、删除权等权利[4]113。这些实体权利的滥用主要表现为如下形式。

1.违反目的

综观比较法经验及学说,普遍认为权利目的是判断权利滥用的关键要素。例如,《荷兰民法典》第13条明确将违反权利设定目的作为权利滥用的情形之一;奥地利有学者认为,要确认权利滥用的存在,必须考虑权利人行使具体权利的目的,如果根据法律秩序的评价,此种目的是被明显否定的,那么此时即构成权利滥用[10]139;美国判例法也指出行使权利的目的并非权利存在的目的时构成权利滥用(4)参见Karaha Bodas Co., L.L.C.v.Perusahaan Pertambangan Minyak Dan Gas Bumi Negara,364 F.3d 274(5th Cir.2004).。同理,个人信息权益滥用的情形之一即权益之行使与个人信息权益保护之目的背道而驰。根据权利本身之性质不同,对权利目的可作不同判断。路易·若斯兰提出“权利三分法”,即按照无因权利、利己权利和利他权利区别判断。利己权利意味着权利之行使以自身利益为行权目的,否则就构成权利滥用[11]258-262。个人信息权益属于典型的利己权利,故非以自身利益为行权目的之权益行使行为将悖于权益之目的。此外,违反个人信息权益目的还包括立法目的与规范目的两个方面。其一,违反立法目的。立法目的条款统摄具体权利,《个人信息保护法》将保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用共同作为其立法目的,尽管个人信息权益保护是《个人信息保护法》的核心宗旨,但后者亦不可偏废,“促进个人信息合理利用”实际上便蕴含了应当在个人信息权益保护与个人信息合理利用之间达致平衡。其二,违反规范目的。《民法典》《个人信息保护法》的个人信息权益规范构成了个人信息权益的基本体系,其中每项权益规定均包含了内在价值与目的,个人信息权益保护的对象是正当、合理、合法的权益,违反权益规范目的之行使权利行为导致国家利益、社会公共利益或者他人合法权益遭受不合理损害时,构成信息权益的滥用行为。例如,在“史海波与中国移动通信集团浙江有限公司宁波分公司电信服务合同纠纷案”中,原告要求被告恢复其号码正确的实名制信息,被告以原告持有约750张移动电话卡具有非正常移动通信用途而拒绝恢复(5)参见浙江省宁波市鄞州区人民法院(2019)浙0212民初1925号民事判决书。。尽管《个人信息保护法》第八条规定“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响”,但是信息主体主张之权益因违反电信用户管理的相关规定且与更正补充权之规范目的相违背,故构成权利滥用。

2.利益失衡

信息主体不仅是权利主体,同时也是义务主体。尤其是在信息主体与其他民事主体的利益存在博弈时,如果仅强调信息主体之绝对权利,对于信息处理者的义务过重,可能导致另外的不公平。信息本身以及信息流通可能关涉他人和公共利益,具有公共属性。信息主体与信息处理者之间存在持续的紧张利益关系,在某种意义上,个人信息保护秩序正是在不断纾解此种紧张利益关系的过程中才逐渐被构建起来。利益冲突是权利行使过程中的常态,需要在享有重大利益一方与微小利益一方相对抗时进行利益衡量。当信息主体行使信息权益导致信息主体与信息处理者之间的利益发生严重失衡时将构成权利滥用。这主要表现为信息主体行使相应权益导致信息处理者承担不合理的成本。例如,过度或者频繁行使查阅复制权,造成信息处理者人力、物力、财力的不合理负担,尤其是在免费提供查阅复制服务的场合更为突出。为防止此类滥用现象,比较法上对费用问题作了具体规定,但中国法律尚缺乏一般性规定。再比如,行使信息可携权也会不合理地增大信息处理者的技术成本。结合比较法立法例,可携权的实现要求统一机器可读的数据格式,且数据提供方与数据接收方之间建立转移数据的通道。这对于信息处理者而言,可能意味着巨大的成本和代价[12]64。例如,某歌迷要求A音乐平台将自己的听歌记录数据传输给B音乐平台,A音乐平台则认为即使提供给B音乐平台,由于数据存储格式完全不同,其也无法识别听歌记录[13]335。欧盟《一般数据保护条例》第32条规定技术与组织措施需与风险相匹配,实际上也是要求个人信息保护与信息处理者所支出技术成本等的合比例性。在行使删除权时,“如果一个数据库非常复杂,那么一个程序员要耗费几十个小时(或更多)从新数据中整理出旧数据并准确地删除不再需要的部分”[14]35。行使删除权即使会造成企业负担不合理的成本,删除的信息对于信息主体而言也并非重要,此时若坚持行使删除权,则构成权利滥用。在“胡红芳与上海携程商务有限公司侵权责任纠纷案”中,法院虽然认可胡红芳享有个人信息实体权益及相应诉权,携程公司也存在不当处理胡红芳个人信息的行为,但同时认为民事责任的承担方式应与侵权行为相适应,原告关于增加不同意使用信息仍可使用应用程序(App)的选项超出了权利救济的必要范围(6)参见浙江省绍兴市中级人民法院(2021)浙06民终3129号民事判决书。,造成当事人之间的利益失衡,构成权利滥用。

3.矛盾行为

从行为自由的角度出发,权利人可以根据自己意愿随意改变行为,作出其他有利于自己的安排,这本不具有可苛责性。换言之,法律通常不能干预私人的前后矛盾行为。私法中的矛盾行为是指基于之前的行为使对方产生了值得受保护的信赖,基于该信赖使得对方实施某些行为,但由于新情况的出现该行为会给对方造成损害(7)参见BGE 110 II 494 ff.(498), E.4.。权利外观或者权利行使(或不行使)所产生的信赖受法律保护,制造合理信赖的一方对改变先前行为并因此打破此种信赖时也应当承担相应的责任。信息处理者基于信息主体之明示或者默示同意后,又要求信息处理者作出与之前同意内容不同甚至相反的处理活动,此即信息主体的矛盾行为。例如,信息处理者基于信息主体自行提供的瑕疵个人信息内容进行公示,在合理期间内信息主体未对个人信息内容提出异议,之后再要求信息处理者补正瑕疵。

4.滥用形式瑕疵

《个人信息保护法》规定书面形式作为个人信息处理的形式要求之一。当事人已经实际履行双方关于敏感个人信息处理的约定,或者信息主体恶意导致了未能通过书面形式达成同意,嗣后又以形式瑕疵为由主张构成个人信息侵权,构成权利滥用。《个人信息保护法》第十五条对撤回同意不具有溯及力的规定仅明确了撤回有效同意的效果,但无法规范因欠缺形式要件而导致无效同意之情形。此时可以将其归入权利滥用理论中的滥用形式瑕疵之情形,应当对以此种形式瑕疵行使权利的行为予以否定性评价,从而使存在形式瑕疵的法律关系不受影响。

(二)程序法维度

诉权之本质在于维护当事人合法权益,信息主体滥用诉权理应受到否定性评价。从中国裁判实践来看,个人信息滥诉现象较为突出(8)在“威科先行”数据库中以“标题:个人信息保护”为检索条件,截至2022年4月25日,共96条检索结果,其中撤诉率高达54.74%,一审全部/部分支持原告诉请的案件仅占比5.26%。,主要表现为信息主体在没有充分的事实基础和法律依据时提起诉讼,或者提起诉讼之目的并不在于维护其合法权益而是获取其他非法利益。在“杜某诉某网络公司个人信息保护纠纷案”中,被告已通过协议约定和后台设置了个人行使权利的申请受理及处理机制,原告本可通过以上方式行使个人信息知情权和决定权。但原告提起诉讼前并未向被告提出请求,而是径行提起诉讼请求权利救济,法院即对此种方式给予了否定性评价(9)参见杭州互联网法院(2022)浙0192民初4330号民事裁定书。。事实上,在个人信息处理保护活动中,由于信息处理活动多、范围广、类型复杂,若信息主体滥用诉权随意提起诉讼,将会造成司法资源的极大浪费,并客观上增加信息处理者应诉负担。

(三)个人信息权益限制的不足

个人信息本身就承载着公共性,其中包含了支持个人信息权益存在的多元性公共利益[15]。也正因如此,对个人信息权益的限制成为立法不容忽视的问题,实际上《网络安全法》《民法典》《个人信息保护法》均不同程度地设置了相关规定,尤其是在《个人信息保护法》“个人信息处理规则”与“个人在个人信息处理活动中的权利”两章作出了部分规定。例如,《个人信息保护法》第十三条规定无需取得个人同意的六种情形、第十八条规定处理个人信息无需告知个人的两种情形、第二十七条限制已公开个人信息的权利、第三十五条规定国家机关处理个人信息时不需告知的情形,等等。尽管如此,《个人信息保护法》中针对个人信息的诸多具体权益仍然存在未设限制规范、限制不足或者限制不明确等问题,如表1所示。

表1 《个人信息保护法》中个人信息权益的限制情况

由表1可知,立法上并未普遍性地针对各项权益设置权利构成型和权利行使型限制规范,即便在设置了双重限制模式的具体权益中也同时将引致型规范作为限制条件,如此使得限制依据具有了开放性。

一是未设限制规范。立法上并未对更正补充权和解释说明权作出明确限制。对更正补充权进行绝对保护意味着,但凡个人信息不准确、不完整,信息处理者均需及时予以核实、更正和补充,但是请求更正、补充也需要进行成本考量并符合比例原则,如果请求更正、补充不影响个人实际权益之信息或者由信息主体自行提供的具有轻微瑕疵的信息,实际上并不必然具有正当性,因此未对此作出限制的规范存在明显漏洞。此外,行使解释说明权可能会侵害信息处理者乃至第三方的商业秘密,尤其是在应用算法处理个人信息的解释说明义务与算法的商业秘密保护之间会形成冲突。在《个人信息保护法(草案)》一审稿审议过程中,有建议提出,涉及商业秘密的,个人信息处理者对其处理规则可以不解释说明,但立法最终没有采纳。这并不意味着对涉及商业秘密的处理规则不加保护,算法的商业秘密保护实际上构成对个人信息解释说明权限制的正当性基础。

二是限制不充分。个人信息有时直接关涉公共利益,且在当前的信息存储技术下,在物理上完全删除个人信息面临技术困难,因此《个人信息保护法》第四十七条第二款对删除个人信息在技术上难以实现时的救济措施作了除外规定,该除外规定已经蕴含了禁止权利滥用的精神。但是,此种限制并不够充分。例如,基于促进信息技术发展的考虑,在删除权适用于作为信息流通中介的搜索引擎时应当作必要限制[16],但立法并未注意到对权利行使对象的限制。另外,欧盟《一般数据保护条例》第15条规定了“数据主体的访问权”,同时该条例还对行使查阅复制权的费用、形式等作出了具体规定。相比较而言,《个人信息保护法》第四十五条尽管规定了行使查阅复制权的除外情形——法律、行政法规规定应当保密或者不需要告知的情形以及妨碍国家机关履行法定职责,但这仅系查阅复制权的构成限制,而非对查阅复制权行使作出限制。

三是限制不明确。此种情形主要产生于基础性概念的模糊性和法律规定的开放性。一方面,基础性概念的模糊导致限制措施具有较大灵活性。例如,《个人信息保护法》第四十七条规定的“技术上难以实现”本身就缺乏明确边界。再如,《民法典》第一千零三十三条规定了两项排除隐私权侵权的情形,即法律另有规定和权利人明确同意。隐私信息与非私密信息的重要区别就在于,处理隐私信息需要法律授权或者权利人明确同意,而非私密信息仅需要默示同意即可[17]185。由此可见,权利人明确同意构成了处理隐私和个人信息的不同标准。但是问题在于,如何认定“同意”的形式以及范围并不明确。《民法典》第一千零三十六条规定行为人在自然人或者其监护人同意的范围内合理实施的行为免责,也具有类似问题。另一方面,通过“法律、行政法规另有规定的除外”“符合国家网信部门规定条件”这些引致性规范使个人信息权益的限制具有开放性。尽管《个人信息保护法》第四十七条第一款设置了“法律、行政法规规定的其他情形”这一兜底条款,但是这一兜底条款并未赋予法官自由裁量权,而是引致性规范。与之不同的是,《儿童个人信息网络保护规定》第二十条针对儿童个人信息的删除权采取“包括但不限于以下情形”之规定模式,则更具有开放性和灵活性。

三、个人信息权益滥用的判断及效果

(一)个人信息权益滥用的判断框架

有关权利滥用的构成标准,学界形成了一定共识。但是对于判断权利滥用行为本身究竟采取“主观要件说”还是“客观要件说”仍存分歧,前者以损害他人利益为目的,后者则通过利益衡量进行判断。《民法典》第一百三十二条并未明确立法态度,立法释义书中载明主流意见为“主观要件说”[18]423。《民法典总则编解释》第三条则运用动态体系论的方法构建了以客观要素为原则、以主观要素为例外的判断标准。实际上,无论“主观要件说”抑或“客观要件说”,利益之失衡均不可不查。在个人信息权益行使情形下,造成公共利益或者他人合法权益损害以及行为的可苛责性是构成信息权益滥用最为核心的判断要素。

1.损害公共利益或者他人利益的确定

首先,按照利益相关性确定利益主体范畴。《民法典》第一千零三十六条第(三)项仅将维护公共利益和本人利益作为信息处理者免责的内容,依据文义来看,立法已经将维护他人合法权益作为了“否定的候选”,形式上排除了将维护他人合法权益作为个人信息处理者的免责情形。但该条款是否将免责情形交由法院进行个案裁量和判断未为可知。《民法典总则编解释》第三条之规范意旨表明,“任何权利的实现,不仅关涉权利人的利益,而且关涉义务人的利益以及国家和社会的利益”[5]90。由此可见,最高人民法院将《民法典》第一百三十二条禁止权利滥用原则中的“他人”限定为“义务人”。《个人信息保护法》第四章标题为“个人在个人信息处理活动中的权利”,这似乎也表明信息主体的权利直接指向信息处理者,并非指向其他主体。但实际上,个人信息权益行使过程中可能并非信息主体与信息处理者这种简单的两方结构,在信息主体、信息处理者之外尚可能存在不容忽视的利益相关第三人。维护信息处理者之外的他人合法权益同样可以形成对个人信息权益的制约或者限制。因此,滥用个人信息权益损害的“他人”这一利益主体并不应限定为义务人,而是应当按照利益相关性确定其范畴。

其次,公共利益的合理范畴。个人信息包含权益保护与信息共享流通的双重价值,两项价值分属个体利益与公共利益的范畴。如果个人信息权益的行使将极大地妨碍信息流通,可能会被纳入损害公共利益的规制范畴。即便在个案中不具有如此强烈的社会效果,但是若实践中均循此路径,无疑会损害信息流通的公共性价值。在法学知识体系中,公共利益从来都是备受争议的概念。个人信息保护上的公共利益过于宽泛将可能侵犯信息主体的合法权益,故必须为其划定合理范畴。具体而言,第一,限制承载公共利益的情形。全国信息安全标准化技术委员会发布的《信息安全技术 个人信息安全规范》(GB/T 35273—2020)第8.7(e)条将国家安全、国防安全、公共安全、公共卫生、司法活动作为信息主体行使权利的公共利益内容,这实际上便大大限缩了个人信息权益限制中公共利益的适用范围,值得肯定。除此之外,以必要的信息数据流通共享为基础的数字经济发展也可以纳入公共利益情形,例如通过数据挖掘开发个人信息之上的数据价值带给社会的经济效益、社会效益不应被忽视[19]。第二,信息权益行使与公共利益损害之间的直接关联性。二者之间需要具有法律上的直接关联性,否则公共利益可能成为悬在信息主体之上的“达摩克利斯之剑”。第三,信息权益行使与公共利益损害之间的合比例性。个体权益与公共利益的关系并不具有必然的优先劣后关系,即便信息主体行使权益有损害公共利益之情形,但是若损害轻微且及时停止侵害,在个人信息保护尚不充分的背景下,也应当予以必要的容忍。

2.权利行使行为的可苛责性

若严格按照损害标准来调适个人信息权益纠纷,可能会面临如下问题:由于信息主体与信息处理者之间的利益常常存在相互对立的关系,故信息主体行使权利可能会在客观上造成信息处理者利益的减损。例如,按照《个人信息保护法》的相关规定,信息处理者需要为信息主体提供便捷的撤回同意的方式(第十五条)、为信息主体查阅复制支出物力成本(第四十五条)、为信息主体删除信息支出人力成本(第四十七条)。通常而言,权利是在义务的履行中实现的。因此,若以损害他人利益这一结果标准来反推权利滥用,自会产生逻辑矛盾,并直接威胁个人信息保护的基本价值。因此,应当回归对权利行使行为本身的法律分析。

首先,构建以合理性和合法性为要素的行为可苛责性分析框架。权利行使以享有权利为前提,因此否定权利之行使必须被严格限制方才具有正当性。换言之,行使权利的行为如果缺乏合理性、合法性基础则具有法律上的可苛责性。合理性乃事实判断,应以一般理性人标准进行判断。例如,在以个人信息为基础进行算法决策的场合,基于解释成本的考量确定算法说明义务程度和范围[20],但由于信息主体的文化素质、时间投入等因素的偏差,使得信息主体充分知悉个人信息处理重要事项难免强人所难,而且信息主体在作出同意的意思表示时往往很难预料到此种行为的实际效果和影响,这实际上可能构成表意的不自由[21]。但是,此种表意不自由并不属于法律予以保护的内容。因此,法院应当以理性人标准确定义务内容,在个案中识别知情权保障与知情权滥用之区别。合法性则是法律评价,立法上不仅在内在体系上构建了保护与利用的双重价值,而且对部分具体权益的行使设置了边界,信息主体行使权利的行为逾越法律边界则具有可苛责性,不过这一评价过程需要进行充分的价值判断。

其次,严格遵循司法救济的前置程序。《个人信息保护法》第五十条规定了个人信息处理者应建立申请受理、处理机制以及在拒绝个人行使权利时可以向人民法院起诉。由此可见,信息主体行使权利包含两层含义:一是向信息处理者行使权利,二是通过诉讼途径主张权利。信息主体因未能在信息处理者处实现权利而提起诉讼时,法院可直接判断个人信息处理者拒绝信息主体行使信息权益的行为是否合法。这也就意味着,若信息处理者未通过明示或者暗示方式作出拒绝当事人行使权利的意思表示,当事人直接向法院提起诉讼,向个人信息处理者主张权利即缺乏前置程序,对于此种行为应予以规制和否定性评价。法院若基于诉讼效率或者诉讼便捷的考虑在个案中一并处理,那么将可能增加个人信息处理者负担、引发法院诉讼爆炸风险。信息主体在未向个人信息处理者请求履行相应义务时便径行向法院起诉,即有滥用诉权之嫌[22]。

最后,区分判断的方法。第一,行为主体的区分。不同信息主体行使同一权益可能会产生不同的影响,可苛责性也会产生差异。例如,在信息可携权行使中,应当考虑区分商业性质的知名认证用户与非知名认证的普通用户,后者行使可携权通常具有主体单一性,并不会导致用户的整体迁移,造成数据企业实际损害的可能性较低;而前者具有直接的商业价值和议价能力,造成数据企业实际损害的可能性较高[23]。第二,保护对象的区分。《民法典》第一百三十二条之保护利益包括公共利益与私人利益。由于公共利益与私人利益两者之功能、要件及法律效果均存在显著不同,故属于不同的规范类型,理应予以区分保护。进一步而言,根据公共利益与私人利益之不同,进行不同的解释论构造。对于损害公共利益型,应当严格限制构成要件,避免公权力向私法自治的过度介入;而损害私人利益型则有所不同,应当以公平原则确定民事主体之间的利益平衡。但是,私人利益具有向公共利益转换的可能,即当侵害个案的诸多私人利益涉及行业或者整个社会的信息自由时,此时私人利益也就具有了公共利益的面向,应适用公共利益的保护模式。第三,个人信息类型的区分。按照“两头强化,三方平衡”理论,敏感隐私信息具有较强的人格利益应予以强化保护,而一般个人信息则侧重利用[24],故信息处理者对于前者负担更加严格的安全保护义务。申言之,在个人信息保护价值序列中,敏感隐私信息的价值权重大于一般个人信息的价值权重,因此信息主体在基于敏感隐私信息行使权利时,信息处理者负有更强的容忍义务;而信息主体基于一般个人信息行使权利时,信息处理者则负有较低的容忍义务。也有研究提出,个人信息的不同种类呈现放射状散形结构,对于不同个人信息,应当采取不同强度的保护标准,也正体现了这一道理[25]。

(二)个人信息权益滥用的效果

《民法典总则编解释》第三条第三款规定民事权利滥用的直接后果为“不发生相应的法律效力”,造成损害则承担侵权责任。这同样适用于个人信息权益的行使,但是由于该规定仍然具有一定模糊性,需结合个人信息权益进行具体阐释。

1.不发生相应的法律效力

有观点认为,权利滥用的法律效果以承认权利存在且否认权利行使为原则,以权利丧失为例外[26]60;与之不同的观点认为,权利滥用不发生行为人预期的法律效果,造成他人损害将承担法律责任[27]45。前者关注权利本身之状态,而后者则关注具体效果,二者系不同维度之分析。《民法典总则编解释》第三条采纳了后一观点。实际上,权利丧失与权利不产生效力存在程度上的差异。权利丧失存在于一次性或者偶发性的法律行为或者事实行为情形中,在个人信息权益行使情形下难以立足。因此,即便滥用个人信息权益通常也并不会导致权利丧失,只要信息主体改正权利行使方式,仍然可以继续行使权利。在个人信息权益滥用情形下,“不发生相应的法律效力”应当限缩解释为权利不生效力。

2.侵权责任

信息主体滥用个人信息权益损害公共利益或者他人利益时,信息主体本身承担侵权责任并无异议。例如,《个人信息保护法》第十五条规定撤回同意权,这也属于信息主体决定权的具体内容,但是此项权利的行使也应当受到禁止权利滥用原则的限制。具体而言,尽管信息主体享有撤回同意的权利,但是行使撤回同意的权利不得过度损害信息处理者的利益。因为个人信息往往是与诸多其他信息结合共同发挥价值,单个个体信息的价值有限,而同意撤回的立即实现则可能意味着信息处理者须采取删除的方式从而付出高昂代价,尤其是在信息主体与信息处理者之间形成了合理预期时,任意撤回同意将可能造成信息处理者的不当损失。在信息处理者与信息主体之间存在合同关系而形成的合理预期时更应当得到尊重,若有关个人信息权益的合同约定被随意宣告无效,将会造成市场秩序的失衡。总之,尽管信息主体可以随时撤回同意,但是在造成信息处理者不合理损失时需要承担相应的赔偿责任。

更为重要的问题在于,在信息主体滥用权利时信息处理者承担何种责任?事实上,信息主体行使权利涉及信息处理者之外的第三人利益或者公共利益时,信息处理者应负担合理审查义务。若未经审查,直接支持信息主体行使权利,信息处理者与信息主体可能构成共同侵权责任。理据在于,信息处理者对信息主体既负担保障权利行使之义务,也负担对其他信息主体的安全保障义务。《民法典》第一千一百九十八条将负担安全保障义务的主体确定为经营者、管理者或者群众性活动的组织者,信息处理者与经营者、管理者或者群众性活动的组织者类似,“开启和维持了某种风险状态,且均享有源于风险活动的全部收益”[28]。按照控制者义务理论,个人信息处理者可以类推解释为信息活动的利益享有者和管理者,尤其是在移动互联网生态中具有强大控制力与影响力的“守门人”承担适当的安全保障义务具有必要性[29]。《民法典》第一百一十一条也规定任何组织或者个人获取个人信息均应当确保信息安全。因此,信息处理者对信息主体的行使权利行为进行合法性审查乃信息处理者负担的安全保障义务的题中之义。相较于其他信息主体而言,要求行使个人信息权益的信息主体即属于第三人,信息处理者应当在过错范围内承担相应的补充责任。

四、结语

凡权利,必有边界。权利行使的限制并非为私法所独享,而是法学各学科的普遍性议题。在个人信息领域,权利行使限制同样是应有之义。诚然,对任何权利和自由行使之限制必须包含必要性论证,否则将充满不利与风险。但同样地,如若淡化甚至漠视个人信息权益的滥用现象,个人信息保护则会衍生另外的不公平问题,长远来看,将会侵蚀个人信息流通利用秩序,阻碍数字经济发展。在个人信息保护理念不断强化之际,个人信息权益滥用现象已经初露端倪,对个人信息权益滥用保持必要警惕也是充分贯彻实施《民法典》《个人信息保护法》等法律的重要内容。需要指出的是,本文虽然主张对个人信息权益进行合理限制,但并不意味着动摇个人信息保护的基本价值立场。只有在个人信息权益保护与个人信息权益限制之间寻求平衡之道,才能保障个人信息权益得到充分尊重、数字经济得到长足发展。