【作者】王利明(中國人民大學民商事法律科學研究中心研究員,中國人民大學法學院教授)
內容提要:從比較法的經驗來看,個人信息和隱私的界分一直不明確,導致兩者之間的權利保護規則的區分并不清晰,我國《民法典·人格權編》分別規定了隱私權與個人信息保護,并且規定了在兩者發生重復情形下應優先適用隱私規則,但因為個人信息和隱私具有重合性,因此必須在法律上對其進行區分。隱私權規則優先適用的原因在于:權利不得減損、人格尊嚴高于私法自治。由于個人信息具有集合性、可利用性、自動處理性等性質,因此有必要在立法上制定專門的《個人信息保護法》,對個人信息予以全面保護。
關鍵詞:《民法典》;隱私權;個人信息;規則界分
一、問題的提出:隱私與個人信息的重合
比較兩大法系的經驗可以看出,隱私和個人信息之間的界限一直未能得到準確區分。例如,基于美國法的大隱私的概念,個人信息被納入隱私權保護的范疇。而在德國,個人信息權得到最早承認。德國《聯邦數據保護法》第1條規定:“本法制定的目的是保護個人隱私權使其不因個人資料的處理而受到侵害”。在司法實踐中,德國聯邦憲法法院也將“信息自決權”作為隱私權的內容。而德國憲法法院實則將信息自決權代替了隱私權(Recht auf Privatsph?re)。以德國法為代表的歐盟法建構了獨立的個人信息保護法體系,《歐洲一般數據保護原則》(GDPR)就是迄今為止在全球范圍內對個人信息保護層次最高、最全面的法律制度,其中包括了對隱私的保護。對比來看,GDPR規定的敏感信息也屬于美國法中隱私權保護的內容。同樣,日本2003年通過的《個人信息保護法案》將個人信息資料視為個人隱私的一部分。可見,在現有的諸多立法中,個人信息與隱私之間的界限并不清晰,如何妥當處理兩者之間的關系也仍然是尚未解決的問題。
在我國《民法典》編纂過程中,有關隱私和個人信息都應當視為人格權益,并受到保護這一點上,理論界和實務界沒有爭議,但對兩者如何界分,是否需要分別保護的問題,一直存在爭議。《民法典》對這些爭議予以一定程度的回應,它雖然將隱私與個人信息都置于人格權編第六章,但實則對兩者作出了明確界分。《民法典》第1032條、1033條規定了隱私的概念和侵害隱私的具體形態,第1034至1038條對個人信息的保護作出了較為完整的規定。不過,仔細推敲前述規定,可以看出,第1032條在對隱私進行定義時,將不愿為他人知悉的私密信息定義為隱私,而私密信息本身作為個人信息的組成部分,其和第1034條所規定的個人的生物識別信息、健康信息、行蹤信息等形成了交叉和重疊。從《民法典》的上述規則來看,我國的隱私和個人信息存在重合,因此《民法典》適用的一項重要任務,就是在準確厘定隱私和個人信息關系的基礎上,對它們加以準確而全面的保護。
隱私權與個人信息之所以未完全得以界分,存在相當程度上的重合,原因主要在于:
第一,隱私權與個人信息都屬于人格權益的范疇,我國《民法典》之所以將隱私權與個人信息置于同一章規定,就是考慮到了其天然的聯系。在《民法典》頒布之前,我國司法對于這兩者一直存在交叉混用的情況。例如,在“廖萍訴曾軍隱私權案”中,被告通過非法手段獲得了原告銀行賬戶的資金往來信息,并將其在董事會上公布。法院認為“(未經本人許可)取得私人信息的單位、個人必須得到法律的許可,即有法律賦予的相應權利,而且獲取手段、途徑亦應符合法律規定”,但在本案中被告無法出示其合法獲得原告個人賬戶信息的相關證據,因此“(在沒有本人許可的情況下)沒有合法授權、合法手段與途徑而取得私人信息,沒有合法理由即將該私人信息予以公開的行為,侵犯了權利人的隱私權”。從該案中不難發現,在司法實踐中,有的法院曾經將個人信息納入隱私權的保護范圍,采取隱私權的保護方法為個人信息的權利人提供救濟。但是在另一些案例中,法院則將隱私作為個人信息對待。
第二,兩者的客體本身具有重合性,在外延上往往存在交叉,這尤其體現在私密的隱私信息與個人信息可能存在高度重合。例如,個人的銀行賬戶、房屋家庭住址、身體私密信息、健康信息等既是個人敏感信息,也是個人的私密隱私。這些私密信息都有可能受到隱私的保護。
第三,隱私權與個人信息在侵害方式上雖有區別,但都包括非法收集、轉讓、泄露等形式。特別是隨著互聯網、數據庫、云計算等高新技術的發展,個人信息的保護成為現代社會所面臨的新挑戰,而法律還未對此挑戰做好充足的應對。實際上,信息科技所引發的個人信息保護問題,主要還是最近一二十年信息科技變革所引發的問題,相關的學術理論認知和制度建構都還處于不斷探索的階段。這對任何一個法域來說,都沒有成熟的現成答案,以至于個人信息只能按照隱私保護的規范加以保護,并在逐漸成熟后構成了獨立的保護體系,這就導致了個人信息的保護在現階段難以與隱私權作出清晰界分。
第四,隱私權與個人信息還存在功能上的交互性。個人信息的保護范圍可大體界定為與公民個體的獨立意志和交互行為的獨立自主具有密切聯系的信息。個人信息發揮自身作用的空間主要是信息主體與外界的交互過程,信息主體的權益在于依循自身的意愿對個人信息進行合理的利用,以充分實現信息權利人的意志和利益。隱私主要保護個人的私密信息不受到他人的打擾與干涉,是對個人私生活的安寧的維護。但隱私在某些特定場景下同樣具有信息的交互性。例如,患者就醫過程中,必需將自己的身體和健康信息對醫生進行說明,以實現診療的目的。因此,個人信息和隱私都具有信息的交互性,只是二者的交互范圍并不相同。就私密信息與個人信息的關系而言,個人信息能夠實現的交互范圍更大,而私密信息則通常在某些特定的場景中實現信息交互。
上述原因的共同作用導致了個人信息與隱私權在界分上的問題,但如果不對二者進行界分,卻又無法實現對二者不同程度的保護。因此,在全面貫徹實施《民法典》中,有必要在準確厘清個人信息與隱私權的基礎上,確立對二者適用的不同保護規則。
二、隱私與個人信息的規則界分
從制度發展角度來看,隱私概念產生的時間遠遠先于個人信息。隱私權概念始于19世紀末期,1890年兩位美國學者Samuel D.warren與Louis D. Brandeis在他們所著的《論隱私權》(the right to privacy)一文中,提出了隱私權的概念,并認為人們應有“遠離世事紛擾”、“個人獨處”的權利(the right of the individual to be let alone),以應對電氣時代中的新聞出版商、攝影者以及其他人對個人私生活安寧的打擾。如果再進行追溯,會發現隱私權的法理基礎可追溯至古代的羅馬法、希臘法甚至盎格魯撒克遜普通法。受時代和觀念的制約,隱私權的侵害方式通常是披露、刺探等行為方式,而不是采用數據收集、泄露等技術手段,由此對隱私信息的侵害通常具有特定性,具有明確的侵害對象。
相較隱私權而言,個人信息權益則是在信息時代中涌現的新型人格權益,個人信息保護是上世紀六十至七十年代在歐洲產生,其產生的背景首先是因為廣大民眾對政府大規模收集信息、擔心信息被泄露而產生的質疑,需要通過法律制度對個人信息加以保護從而應對信息泄露的可能。為了緩解民眾的這種擔憂,法學界提出了個人信息保護這一概念,以在方便國家利用個人信息的同時,保護民眾的個人信息權益不為國家公權力所侵害。隨后這種保護的范圍逐漸從公法領域向私法領域擴展,直到現在成為了具有社會普遍適用性的制度。從時代需求來看,此種權益的產生主要是法律為了應對互聯網的發展以及電子信息技術、數據技術、計算機技術、人工智能技術等尖端科技發展所帶來的負面影響,以及大數據的發展對個人信息的收集與分析處理引發的各種問題。因此,法律對個人信息權益的規范面臨著更為多元化的利益沖突,相對于隱私而言,個人信息仍然屬于一種嶄新的權益類型。
我國自《民法通則》開始,就構建了人格權益保護制度。雖然《民法通則》中沒有明文對隱私提供保護,但針對實踐中出現的大量有關隱私保護的糾紛,最高人民法院通過司法解釋的方式,將隱私納入名譽權的保護范圍,直至2009年的《侵權責任法》明確規定了對隱私權的保護。與此同時,我國的相關特別法律,也已經出現了對個人信息進行保護的具體規范,比如,《加強網絡信息保護的決定》是關于保護個人電子信息的相關規定,《居民身份證法》是關于個人身份信息的特別規定,《律師法》規定了律師對其在執業活動中掌握的當事人信息負有保密義務等。由此可見,在《民法典》頒布之前,我國法律已經將隱私和個人信息作為兩種不同的人格權益進行了區分,但對于二者界分的標準則并未明確。《民法典》在制定中總結了現行立法和司法實踐的經驗,《民法典》在人格權編中單設第六章規定了隱私權和個人信息的保護,將這兩種人格權益合并在一章中進行規定本身就表明了二者之間具有內在的聯系,很難截然分開,但同時《民法典》又將二者作為不同的權益類型進行規定,這就說明二者之間也存在著一定的區別。《民法典》明確區別了隱私和個人信息,分別設定了不同規則,主要原因在于:
第一,權利性質不同。隱私權主要是一種精神性的人格權,雖然可以被利用,但其財產價值并非十分突出。而個人信息權益在性質上屬于一種綜合性的權益,同時包含精神利益和財產利益,而且對其的利用和保護應當并重。另外,就形態載體而言,個人信息通常是被記載或以數字化形式表現出來的信息;而隱私則不局限于以信息呈現的形態,如《民法典》所述,隱私還可以是私密的空間、活動或私人生活安寧。作為隱私權之客體的私密信息,除了具備“隱”與“私”兩大示明種差的內涵之外,還包含“不愿為他人知曉”的主觀要件,因此,只有非法披露不愿為他人知曉的私密才構成侵害隱私。
第二,權利內容不同。隱私權主要是一種被動性的人格權,其內容主要包括維護個人的私生活安寧、個人私密不被公開、個人私生活自主決定等。故而,隱私權制度的重心在于防范個人的秘密不被披露,而不在于保護這種秘密的控制與利用,因此權利人通常只有在隱私遭受侵害時才能提出主張。與此不同,個人信息權益主要是一種主動性人格權,主要是指對個人信息的支配和自主決定,權利人除了被動防御第三人的侵害之外,還可以對其進行排他地、積極地、能動地控制和利用。
第三,權利保護強度不同。我國《民法典》和其他法律在權益保護上沒有明確的限制,但是在涉及到隱私和個人信息保護時,《民法典》的規定是有區別的。如第1033條在規定侵害隱私權的免責事由時,要求必須經過“權利人明確同意”;但第1038條關于個人信息處理的免責事由里,則要求須經自然人或者其監護人“同意”,沒有“明確”兩個字。這并非立法的疏漏,而是立法者經過反復研究的結果。加上“明確”二字,表明對隱私信息的收集必須是明示同意的,不能采用默示同意的方法,而對個人信息的收集,不一定必須取得權利人明示的同意,默示的同意也可以。
第四,侵害方式不同。《民法典》第1033條詳細列舉了侵害隱私權的各種方式,此種列舉是和1032條關于隱私的內涵相對應的,即分別針對私生活安寧、私密空間、私密活動、私密信息四種類型規定了不同的侵害模式。歸納而言,其基本包括了兩種類型,一是非法披露他人不愿為他人知曉的隱私;二是采用非法披露以外的其他侵害方式,如非法拍攝、私闖民宅、非法窺視、非法竊聽等。但《民法典》關于個人信息的侵害方式主要體現為未經許可非法處理他人個人信息,以及因過錯導致個人信息的泄露、篡改和丟失。在現實中,侵害個人信息主要表現為非法搜集、非法利用、非法存儲、非法加工或非法倒賣個人信息等行為形態,可以說,個人信息的規模化收集和利用、個人信息的跨境流動、將個人信息用于個性化的廣告推薦等等,都是隱私保護場景中未曾面臨的問題。
第五,保護方式不同。通常來說,隱私權更多的是一種不受他人侵害的消極防御權利,即權利人在受到侵害時可基于《民法典》第995條的規定,行使人格權請求權,要求停止侵害、排除妨礙等,并可基于侵權責任編的規則請求損害賠償。在侵害隱私權的情況下,可以采用精神損害賠償的方式加以救濟。而個人信息權益的保護則包含要求更新、更正等救濟方式。但對個人信息的保護,是否可以適用《民法典》第995條關于人格權請求權的規定則存在爭議,因為該條的適用前提是“人格權”的表述,由于個人信息在性質上并不屬于一項權利,因此難以為“人格權”的表述涵蓋,筆者認為,可以考慮目的性擴張的方式將該條的規則適用于個人信息的保護之中。除了采用精神損害賠償的方式外,也可以采用財產救濟的方法。由于個人信息可以進行商業化利用,因而在侵害個人信息權益的情況下,也有可能造成權利人財產利益的損失,從而有必要采取財產損害賠償的方法對受害人進行救濟。有時,即便受害人難以證明自己所遭受的損失,也可以根據“所獲利益視為損失”的規則,通過證明行為人所獲得的利益,對受害人所遭受的損害進行推定,從而確定損害賠償的數額。
第六,是否需要證明損害不同。侵害不同類型的隱私要求滿足不同的侵權要件,但侵害隱私權并不必然要求受害人必須證明有損害的發生。如非法跟蹤、非法窺探,只要證明行為人實施了該行為,且沒有法定免責事由(如不是出于公共利益需要等),行為人就應當承擔責任。但是對于個人信息的侵害,究竟如何承擔證明責任,是一個難題。但通常認為,受害人應當證明實際損害的發生,無論是財產的損害還是精神的損害,都應該伴隨著有損害發生的證明。
第七,對隱私的保護主要借助于民法的方法保護,而對個人信息的保護則要考慮綜合治理的問題,僅僅依靠民法對其進行保護是不完全的,還應當結合行政法等公法的相關規定來判斷。隱私本身為個人私領域的體現,原則上不涉及大規模流轉與共享,因此法律上要通過民事的手段為其提供必要的保護而并無必要通過行政的手段對其進行專門的管理。與此不同,個人信息可以進行大規模的流轉與共享,甚至是跨境流動,它還涉及社會管理的問題,除了民法之外還需要有特別法進行單獨規定。可以說,個人信息保護涉及到多種價值之間的協調,多種手段之間的運用,以及各種復雜的內部區分,所以需要突破傳統的部門法界限,綜合運用多種法律手段,整體性、系統性地進行規范。這也意味著,個人信息保護的法律制度體系需要在傳統的民事救濟框架基礎上進行特別立法,需要在民法確立了私權確認體系的基礎上,探索和發展出一套切實有效的保護機制,包括公共監管與私權損害救濟雙管齊下的綜合治理體系。即便在民事救濟領域內,救濟的手段和工具也可以有所創新,例如,借鑒和引入我國在消費者權益保護法領域內已經有較為豐富經驗的懲罰性賠償制度。總之,需要建構一套有助于實現個人信息保護目標的綜合治理方案。
正因為隱私與個人信息之間存在諸多區別,所以我國《民法典》設計出兩套不同的規則,分別適用于隱私與個人信息的保護,此種界分很大程度上是要解決兩者重合的矛盾,從而正確處理有關隱私和個人信息的糾紛。
三、隱私權與個人信息的規則適用
(一)隱私權規則的優先適用
前文指出,家庭住址、個人的銀行存款、健康信息等體現了隱私和個人信息的重合,當它們受到侵害,究竟應該適用隱私的保護規則,還是適用個人信息的保護規則,是突出的問題。對此,《民法典》第1034條第3款規定:“個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。”據此,應先適用隱私的保護,然后再適用個人信息的保護。之所以確立這樣的適用規則,主要基于兩個原因:權利不得減損原則和人格尊嚴高于私法自治的保護原則。
1.權利不得減損原則
隱私權以保護個人遠離他人的侵擾為核心,因而作為一種法律上的權利要受到絕對的保護。而個人信息雖然也關系到私主體的人格利益,但是另一方面,其也可能成為公共利益的承載者,因而對個人信息的保護往往需要在利益的平衡中進行,其作為一種法律保護的利益,不能像隱私權一樣受到絕對的保護。在《民法典》的編纂過程中,“隱私”和“個人信息”之后是否需要加上“權”字,是一個爭議很大的問題。《民法典》采取了“隱私權”和“個人信息”的表達方式。這說明隱私權是一項獨立的人格權,而個人信息后面沒有“權”字,說明個人信息只是一項人格權益,并不是一項獨立的權利。在法律保護上,對權利的保護程度應該高于權益。德國法就嚴格區分了權利的保護和權益的保護。對于權利的保護,通常按照一般的侵權規則來進行,但是利益的保護是有限制的,以防止利益保護過于寬泛,而影響他人的行為自由。例如,德國法在追究侵害民事權益的加害人責任時,通常還要求滿足一定的主觀要件,如只有在故意或重大過失的情形下,才能追究加害人的責任;或者用是否違反善良風俗等標準限制對加害人的追責。這實際提出了權利不得減損原則,即法律不應當減損一般主體對于權利的保護要求,只有這樣,才能實現對權利主體的完全保護,這可謂法律最基礎的要求。與此相應,隱私權的保護程度高于個人信息的保護程度,在它們二者重合時,應優先適用隱私權保護規則,實現更高程度的保護。
2.人格尊嚴高于私法自治的保護原則
兩大法系比較普遍接受的觀念是,隱私體現的是一種人格尊嚴,但個人信息體現的是個人對自己信息的自決權,所以個人信息的各項規則都是建立在“信息自決”的基礎上的,彰顯的是私法自治。從人的法律保護價值導向來看,對人格尊嚴的保護要高于私法自治,此即人格尊嚴高于私法自治的保護原則。
沃倫和布蘭代斯在1890年的論文中就提出,隱私是人類價值的縮影,它更強調人格尊嚴。美國學者惠特曼(Whitman)認為,除法律明確規定和權利人明確同意外,整個歐洲的隱私概念都是奠基于人格尊嚴之上的,隱私既是人格尊嚴的具體展開,也是以維護人格尊嚴為目的的。故而,隱私權是抵擋“貶損個人認定的行為”或“對人格尊嚴的侮辱”的權利。在此意義上看,隱私權存在的基礎是個人人格的尊嚴,其實際上彰顯了個人人格尊嚴。換言之,隱私體現了個人的人格尊嚴,其不受侵犯是人格尊嚴的重要體現。尊重個人隱私,實際上也是尊重個人的尊嚴;尊重人格尊嚴,就要尊重個人的私生活安寧,使個人對自身及其私人空間享有充分的支配,并排除他人的干涉和妨礙。在此基礎上,人們相互之間才能尊重彼此的私生活。特別是與身體有關的私生活隱私,都與個人尊嚴相聯系,如果暴露這些隱私,將嚴重損害個人人格尊嚴。
個人信息也常常被稱為“信息自決權”,早在1971年德國學者Wilhelm Steinmüller和Bernd Lutterbeck便提出了個人信息保護對于人格自由發展的重要性,隨后,1976年Christoph Mallmann第一次提出了“信息自決”的概念。1983年,德國憲法法院的人口普查法案判決將個人信息權稱為“資訊自決權”(Recht auf informationelle Selbstbestimmung),在該判決之后,不少德國學者將資訊自決權歸結為一般人格權的具體內容。在德國法的語境中,該權利是指“個人依照法律控制自己的個人信息,并決定是否被收集和利用的權利。”依據德國聯邦憲法法院的觀點,這一權利是所謂的“基本權利”,其產生的基礎為一般人格權。在英美法系,個人信息也被稱為“信息自決權(informational self-determination right)”,以體現對個人自決等人格利益的保護。個人信息對流通的要求更高,背后彰顯的是個人自決的價值取向,在本質上是私法自治的體現。
隱私雖然也是一般人格權的具體內容之一,但體現了人格尊嚴,而人格尊嚴是不能隨意放棄的,否則,個人在自治過程中會不理性地放棄或者減損人之為人的個人尊嚴,個人的一些核心隱私信息等將可能脫離個人的控制,如此將對個人人格造成重大影響。與此不同,個人信息主要體現了私人自治,即個人對個人信息享有自我決定權。眾所周知,正是因為個人信息的權利是屬于權利人的,即便數據開發者經過權利人同意對個人信息進行了搜集、開發,但在其將數據與他人共享之前,還得經過當事人的許可和授權。通過保護個人信息不受信息數據處理等技術的侵害,就可以發揮保護個人人格尊嚴和人格自由的效果。對于每個人來說,無論是窮人還是富人、是名人還是普通百姓,都享有對自己信息的自主決定權利,任何人不得非法收集、利用和傳送該信息。個人信息權益符合人格權益的本質特征,因為個人信息與個人人格密不可分,個人信息主要體現的是一個人的各種人格特征。法律保護個人信息,雖然以禁止披露相關信息為其表現形式,但背后突出反映了對個人控制其信息資料的權利或者說個人自主決策的充分尊重。個人信息保護的基礎是個人的自決權,權利人同意他人搜集、利用或采取何種利用方式,都是個人自決權的具體表現。從這個意義上說,法律上保護個人信息的宗旨和目的在很大程度上是為了維護對個人信息的自主決定,而對于隱私的保護則是以維護個人的人格尊嚴為目的,個人信息主要涉及私法自治,而個人的人格尊嚴相較于私法自治則處于更高的位階。因此,在個人信息與隱私信息發生交叉時,應當優先保護隱私信息。
(二)個人信息保護的規定對隱私權的適用
《民法典》第1034條第3款規定:“個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。”可見,對于隱私權中沒有規定的個人私密信息,可以適用個人信息保護的規則。雖然隱私與個人信息之間存在著諸多的不同之處,但個人私密信息在本質上仍然屬于個人信息,只不過個人信息主體希望使其保持于私密狀態而已。這也意味著,對于私密信息這類特殊的信息,在隱私權沒有具體規定時,應當適用個人信息保護的一般性規則。例如,《民法典》并未就數據企業利用個人隱私信息進行自動化決策(如個性化推送)的問題予以具體規定,但數據企業卻有可能利用個人私密信息進行自動化決策。這時就涉及到對于算法體制的規制問題,甚至可以考慮在具體規則上做特殊安排,并且有必要對自動處理與非自動處理進行區分。如果利用個人信息進行自動化處理的,應當保證此自動化處理的透明度與處理結果本身要公平合理。通過自動化處理以營利性目的向個人進行商業化信息推送的,應當同時提供不具有特定性的個人特征的選項,以充分保障其權利。上述規則,事實上在隱私領域也具有適用的空間。但由于隱私權對此沒有明確規定,可以適用個人信息保護規則。值得注意的是,《民法典》人格權編對隱私權和個人信息的保護規則只是存在強度上的差異,因此即使對隱私權適用個人信息保護規則,也可以起到基本的保護和救濟作用。
(三)某些人格權一般保護規則的統一適用
既然在我國《民法典》中隱私權和個人信息都屬于人格權益的重要類型,因此,《民法典》人格權編第一章關于人格權保護的一般規則大都可以適用于對這兩種人格權益的保護。問題在于,對于個人信息這類尚未上升為有名“權利”的民事權益,在關于個人信息的具體規則供給不足時,是否也能夠像隱私權利那樣適用人格權編中的一般性人格權保護規則?例如,《民法典》第997條規定:“民事主體有證據證明行為人正在實施或者即將實施侵害其人格權的違法行為,不及時制止將使其合法權益受到難以彌補的損害的,有權依法向人民法院申請采取責令行為人停止有關行為的措施。”該條確立了對于人格權益保護的禁令制度,本條提供的臨時禁令救濟對象是“人格權”,但此處所說的“人格權”是否包括個人信息權益呢?實際上,這是在關于人格權編的立法學術研討中重點討論的問題,這里到底是采用“人格權”還是“人格權益”,應當說反映了立法過程中的一種取向。如果采用前者而不是后者,意味著這里的“人格權”應當從“人格權益”的角度來理解,而不能理解為狹義的“人格權利”。也就是說,個人信息權益是包括在其中的。但筆者認為,本條后半段關于“不及時制止將使其合法權益受到難以彌補的損害的”之規定,也說明本條致力于保護的是包括人格權益在內的各種人格權,也包括個人信息權益。
總之,無論是隱私權,還是個人信息利益,在相關具體規則不明確時,除了法律明確規定不宜適用某一種權益的規則之外(如《民法典》第993條關于許可使用并沒有明確規定隱私),應當統一適用人格權編中的一般性保護規則。
四、個人信息與隱私區分的立法實現
在現代科技社會,“如何收集、保存、維護、管理、分析、共享正在呈指數級增長的數據是我們必須面對的一個重要挑戰。從網絡攝像頭、博客、天文望遠鏡到超級計算機的仿真,來自于不同渠道的數據以不同的形式如潮水一般向我們涌來”。大量的信息中又包含許多個人私密信息,這是現代社會法律面臨的新課題,需要今后隨著社會生活和科技的進一步發展而總結和摸索立法經驗,并予以不斷完善。個人信息與隱私權在權利內容、權利邊界等方面存在一定交叉,不過,就隱私權而言,由于既有的民法學說、司法實踐和立法已經將其納入了保護范圍,尤其是《民法典》通過第1032和1033條對隱私保護作出了較為全面的規定,《民法典》第1032條確認了隱私權的基本規則,同時將判斷隱私的基本標準做了規定;第1033條對隱私侵害行為做了比較系統的類型區分和界定;另外人格權編的一般規定中所設立的人格權保護方式,也給隱私權的有效保護和救濟提供了具有可操作性的基本規則,這些規定能夠比較好地應對當前和未來可能發生的隱私權侵害風險。《民法典》實施后,盡管會出現各類新型的隱私侵害糾紛,但可以在現有的規則體系框架下,通過司法解釋、指導性案例等方式予以不斷豐富和發展。可以說,《民法典》已構建了一個相對比較完善、具有適用彈性的規則框架和體系。
然而,與此相比,信息科技時代所面臨的個人信息保護問題,遠不限于隱私這一類信息的保護問題,在隱私信息之外還涉及到大量非隱私類的信息的收集和處理問題,蘊含著難以預知的風險。還要看到,隱私不僅強調對私密信息的保護,還強調對私密空間、私密活動和私生活安寧的維護,這些則又是個人信息保護所不包含的。
因此,《民法典》不僅要在概念上區分隱私和個人信息,也要準確區分隱私與個人信息的不同保護規則,而這則有待于特別法的進一步制定與完善。截止2020年4月,全球已經有132個國家進行了個人信息保護的立法。我國立法機關也已經將個人信息保護立法提上了議事日程,筆者認為,個人信息立法應當以《民法典》確立的個人信息的基本框架為基礎,并將《民法典》的相關規范予以細化,結合有關行政法等公法規范進行綜合協調,在此基礎上制定一部系統完整的、全面保護個人信息的法律。
(一)未來立法應以《民法典》中個人信息與隱私概念的界分為基礎
在我國《民法典》中,從概念上來看,隱私權與個人信息權益雖然在外延上存在重合,但是二者的內涵仍然可以予以澄清和界分。依據《民法典》的規定,在未來的立法或司法解釋中,主要可以從以下角度區分個人信息與隱私的概念。
首先,個人信息權是一種主動性的、能夠積極行使利用的權利,其體現為對個人信息的支配和自主決定,而隱私權則是一種被動性的、消極的排他性權利,例如《民法典》第993條規定了對于屬于個人信息的姓名、名稱、肖像等可以許可他人使用,但并不包括隱私。當然,該條采用“等”的表述,其中是否可包括隱私仍值得探討。無論如何,隱私不如個人信息那樣可以許可他人利用。
其次,隱私權的客體強調“隱”這一屬性,表現為個人不愿意公開的私密性,且單個私密信息并不必然指向權利主體的身份;而個人信息則強調身份的識別性,即能夠直接或經組合后,被信息控制人或他人合理利用以識別權利主體身份。根據《民法典》第1034條第2款,個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,以“可識別性”為核心特征,其包括僅憑該信息本身即可直接鎖定某特定自然人的“單獨識別性信息”和需結合其他信息方可將某自然人與一切其他人區分開來的“間接識別性信息”。
再次,從侵害的形態來看,隱私主要包括了非法披露他人不愿為他人知曉的私密信息以及采用非法拍攝、私闖民宅、非法竊聽、非法窺視等方式侵害他人的隱私,但一般并不包括非法利用他人的私密信息。而對個人信息而言,其侵害的形態除了非法收集、買賣等外,主要強調的是對于個人信息的非法利用。
最后,在責任形態上,隱私作為一種精神性人格權,主要是適用的是侵害人格權的一般保護方法與精神損害賠償,而由于個人信息具有可利用性,因此對其侵害,更加注重實際損失的發生與財產損害賠償。
總之,《民法典》的規定為界分個人信息與隱私提供了基本標準,通過上述的基本界分,可以將隱私與個人信息進行區分,作為分別適用不同保護規則的前提,并在此基礎上設置不同的保護規則。未來我國立法和司法解釋仍然應以《民法典》的界分為基本依據,從而完善我國個人信息與隱私的制度。
(二)個人信息與隱私區別保護的立法實現
隱私作為一項重要的人格權,主要是通過《民法典》人格權編的規則予以保護,并輔之以相應的司法解釋,則可以形成周延的保護。而對于個人信息而言,由于對此種權益的保護具有公法與私法的雙重屬性,完全通過私法的保護是不全面的,其中涉及公法的管理性規范,需要公法上的協同。民法上的個人信息保護,主要奠定了私法地位,而對于其中的公法保護手段,《民法典》并不能予以實現,因而需要通過特別法的立法達成。除此之外,個人信息不同于隱私,需要通過特別立法予以規范和保護之處還在于:
第一,個人信息具有集合性,隱私通常很難具有集合性,其本身是單個主體享有的權益。基于人權保護的原因,許多國家將隱私作為基本人權對待。例如《歐洲人權公約》第8條、《法國民法典》第9條即將隱私作為基本人權對待,故禁止對個人隱私進行侵害,故一般不允許將隱私作集合化處理,這也在某種程度上決定了歐洲隱私的立法路徑,故不允許將隱私進行大規模處理,而個人信息通常可以集合在一起形成數據,無論是匿名化還是非匿名化處理,個人信息都可成為數據。這點就決定了個人信息與大數據的關聯非常密切。從全球范圍來看,許多法律文件均采用的是個人數據權的表述(right to protection of personal data ),且這一術語的使用已基本在歐盟層面的立法中達成了一致。隱私一般涉及到人格尊嚴問題,個人信息往往與大數據發生聯系。因此,侵犯隱私的形式是多元化的,而針對個人信息恰恰是在數據應用的前提下才產生個人信息保護的問題。故對于個人信息也要強調數據的流通與共享,因此也會出現對個人信息的匿名化處理,此時會形成純粹的數據。
第二,個人信息具有可利用性。與數據具有流通價值不同,隱私原則上不能利用,即使實踐中已經產生了利用隱私的情況,但利用范圍極其狹窄,并且一般也不得違背公序良俗。而對于個人信息而言,法律對于其保護與應用是并重的,故在個人信息保護的場合利益權衡的空間要大得多。在此意義上隱私權更強調私密性,故隱私權規則對隱私的保護程度要更強。而一般的個人信息可以為他人知曉,但是強調的是不能未經個人信息權利人同意而收集、利用個人信息。《民法典》第993條在人格權的商業化利用上刻意未將隱私權納入,因此原則上隱私權不得進行商業化利用。
第三,個人信息具有自動處理性。隱私通常不涉及大規模處理的問題,侵犯隱私通常具有個別性。因為對個人信息處理有集合性與自動化的特點,個人信息的保護還會涉及到跨境流動的問題。根據有關國家法律規定如果個人信息的處理者需要向境外進行傳輸個人信息,應當向個人告知境外接收方相關身份信息以及處理方式、處理目的等,以更好的保護個人的合法權益。而隱私權一般不涉及跨境流動與跨境處理的問題,因為隱私權禁止大規模收集,更難以進行大規模處理,如果將隱私進行大規模處理,后果將是不可想象的。現代社會中,為了社會組織、運行與管理現代化,個人信息的大規模收集和自動處理是必須的,而社會的良序運行不以隱私的收集與自動化處理為必要。隨著現代數字化技術的發展,借助于算法等自動化技術處理手段,可以進行各種網絡畫像、精準畫像的推送,這些都是對個人信息的自動化處理的體現。這種個人信息的自動化處理又可能會出現算法歧視、算法黑箱、網絡畫像的濫用等問題。
第四,個人信息泄露的程序法應對具有特殊性。由于個人信息往往以集合的方式出現,一旦其泄露可能會涉及大規模侵權問題,因而需要進行特殊的訴訟制度與行政的介入來處理,這也是為防止個人信息的泄露需要行政介入的原因。正是由于個人信息具有規模性,所以個人信息的訴訟可能會采取集體訴訟的方式來處理,但集體訴訟仍然是以對個人利益的保護為基礎的,集體訴訟旨在解決個人訴訟動因不足的問題。因此,在法律上應當有專門的規則來應對個人信息的特殊管理與保護可能產生的大規模侵權問題,建立相應的集體訴訟規則。
因為信息具有集合性,會將涉及到某個人的個人信息進行用戶畫像特點;因為個人信息具有可利用性,故需要涉及到數據流通的問題;因為個人信息具有規模性,所以要涉及到個人信息的行政管理以及特殊訴訟處理的問題;因為個人信息具有自動處理性,所以會涉及到對于算法體制的規制問題,甚至可以考慮在具體規則上做特殊安排,并且有必要對自動處理與非自動處理進行區分。如果利用個人信息進行自動化處理的,應當保證此自動化處理的透明度與處理結果本身要公平合理。通過自動化處理以營利性目的向個人進行商業化信息推送的,應當同時提供不具有特定性的個人特征的選項,以充分保障其權利。而隱私在一般情形下不具有上述特點,對其處理一般具有個別性和非自動處理性。故對隱私的保護需要行政介入的程度相較個人信息更小。因為個人信息具有上述特殊性,難以在單一部門法中完全實現,故需要民法與行政法的結合來進行保護,這就產生了《個人信息保護法》,它在本質上屬于領域立法。
結語
從內涵和外延上講,隱私與個人信息天然具有重合性。但是,這兩者具有明顯的區別,《民法典》對它們進行了明確的規則界分,這導致隱私權和個人信息保護制度有不同的法律適用規則,并產生不同的法律效果。正確理解隱私權和個人信息的規則界分,并在此基礎上準確適用相關規則,對于正確認識隱私權和個人信息制度的內部體系和外部構造,科學地制定《個人信息保護法》十分必要。