作者:姚佳,中國社會科學院大學教授,中國社會科學院法學研究所編審。
來源:《中國法學評論》2022年第6期。
個人信息主體權利在隱私法演進中逐漸形成,旨在保障個人對于自身個人信息的知情,以對抗由于不當收集、不當使用、信息瑕疵或錯誤以及影響信息自主決定等等而導致的不利評價或侵害。同時,基于隱私的知情也存在一定限度。《個人信息保護法》專章規定“個人在個人信息處理活動中的權利”,形成了以決定權為理念貫穿,知情權為核心基礎,查閱權、復制權、異議權、更正權、刪除權和可攜帶權為散射交叉權能的權利體系。個保法實施一年以來,在實踐中,信息主體的權利實現遭遇諸多困境,包括個人信息的范圍界定、查閱權的行使、刪除權的實現、可攜帶權的實現、個人啟動訴訟程序的前提與限制以及救濟方式等。為使個人信息主體實現自身的權利,個人信息處理者應履行相應行為義務,充分保障信息主體的權利實現,行政與司法等程序應對個人信息主體提供相應的保護救濟。
本文為國家社會科學基金資助一般項目“創新驅動發展戰略下新興資本市場監管機制的理論與制度構建研究”(17BFX102)的研究成果。
目次
一、問題的提出
二、隱私法演進中的個人信息主體權利
三、個人信息主體權利:應然向度與實現困境
四、個人信息主體權利:實現方式與保護救濟
五、結論
問題的提出
個人信息保護制度,是20世紀中期以來當個體被動置于大規模的信息處理活動之中,同時又面對高度組織化的個人信息處理者之時而創設的,是對個體信息權益予以保護的制度化工具。這一制度產生伊始,就在各個向度面對多重爭論。這些爭論包括是否受到英美隱私法的觀念影響,信息技術視域下個人信息承載何種功能,個人信息本身及其是否區隔于所承載的人格利益、財產利益,抽離或者融入價值判斷的制度解釋或構建乃至國家法和其他法律對個人信息的應有定位,等等。
這些問題的討論,既有助于在不同維度廓清不同層次與不同點面的疑惑,同時又有助于規則建構之時不斷夯實與構筑基礎理論。但是,這些問題并非如人們所想象或期望的那樣——可以“平鋪式”或者點面清晰地予以陳列。相反,它們是“交疊式”呈現乃至嵌于多重立體交織結構之中,并且這些問題本身的大小強弱均質各異。這就使理論討論似乎既簡單又復雜,結論似乎既顯而易見又尚待論證。這種矛盾性以及“不確定中的確定”與“確定中的不確定”循環漸次,不斷解釋已有問題又不斷產生新問題,個人信息保護恰在這樣一種分析線流中深入推進。
對于個人信息主體應當享有何種權利這一問題的爭論,以實證法創設相應法定權利而告一段落。但隨之而來的問題是,個人信息主體又將如何實現這些權利。作為集中規定個人信息主體權利的《民法典》與《個人信息保護法》,前者已實施近兩年,后者亦已實施一年有余。從已有實踐來看,個人信息主體權利的實現尚面對諸多現實問題,包括個人行使查閱權時可查閱的個人信息的范圍、刪除權如何實現、具有財產屬性的權利能否放棄以及權利實現機制等問題。討論這些問題,則需要體系化解釋個人信息的概念、人格權、財產權等權利的內涵,損害賠償的范圍甚至如何理解啟動一項法律訴訟的前提等系列問題。
本文聚焦于個人信息主體權利的實現這一主題,希望在解釋論的基礎上,既回應現實問題,同時又能為后續理論發展提出值得探討的系列問題。
隱私法演進中的個人信息主體權利
個人信息保護機制在隱私觀念的影響下逐漸形成。在世界范圍內,眾所周知,美國和歐洲都有強大的隱私保護傳統,而在此傳統與背景之下,歐美又進一步推動了以信息或數據為主要載體的立法。比如,美國1970年制定了第一部數據隱私立法《公平信用報告法》(Fair Credit Reporting Act)。幾乎在同時期,德國也通過了世界上第一部個人數據保護法《黑森州數據保護法》(Hessisches Datenschutzgesetz)。
這些立法具有一定標志性意義,它們是在隱私保護傳統之下針對信息或數據而進行的立法,也對后續立法產生較大影響。之所以強調這樣一種背景,意在能夠系統理解信息或數據立法,而非僅僅基于當下信息利用等角度而認為個人信息非屬個人而屬于社會,同時也有助于理解為何個人信息立法會規定個人信息主體享有一系列權利,以及其如何影響個人信息主體行使自身的權利。
(一)隱私對個人信息保護的觀念影響與滲透
隱私立法是個人信息或數據立法的基礎。近年來由于網絡科技的快速發展,以平臺為主要載體的網絡服務提供者對海量個人信息處理活動的風險吸引了人們較多關注,因此在個人信息保護的法理念、法技術等層面著力較多,個人信息保護法律制度的獨立性持續增強。然而,僅關注該制度本身呈現的特點,而忽視其發展脈絡中的影響因素以及制度的分合,無法客觀認識與評價這一制度。因此,拉長理論觀察的距離,擴大討論的視野,才能更好地理解制度構成及其中可能存在的一些難題。
隱私觀念與政治、文化相關,在不同區域與法域體現得尤為明顯。從比較法視角觀察,但凡提及隱私權,就必然是從沃倫(Samuel D.Warren)和布蘭代斯(Louis D.Brandeis)發表于1890年的《論隱私權》一文說起,文中界定隱私權為“個人獨處的權利”。這篇文章吸引了世界范圍內對隱私權的關注,也開啟了美國百余年對隱私權理論和判例的爭論。
1960年,美國著名侵權法學者普洛瑟(William L. Prosser)發表了《論隱私》一文,他將隱私權侵權行為分為四種情形:侵擾原告的隱居或獨處、侵擾其私人空間事務;公開披露原告令人困擾的私人事實;公開他人的不實形象;為自己利益而使用他人的姓名或特征。普洛瑟的隱私權理論也影響較大。但由于普洛瑟界定的隱私權的范圍較廣,美國學界近年來對這一理論產生不少質疑。有學者認為,普洛瑟的觀點令本已碎片化、連貫性較低的信息隱私法變得更加支離破碎,并且從侵權法蔓延至信息隱私法的各個分支,應將隱私侵權法恢復至19世紀90年代的理論。
無獨有偶,理查德(Neil M.Richards)和索羅夫(Daniel J.Solove)在討論信息時代個人信息問題之時,他們也認為,普洛瑟對隱私權的界定與認識較為僵化。如果隱私權侵權在數字時代仍然至關重要,那么,它必須超越普洛瑟的概念,甚至應當重新獲得沃倫和布蘭代斯關于隱私權的理論活力。美國隱私法是一種強隱私保護觀念的輸出,涵蓋范圍較廣。同時人們也自覺或不自覺地將這種隱私法觀念延伸至信息隱私法、個人信息保護等領域,這一點在美國后續關于個人信息保護的立法均以消費者隱私或數據隱私保護等面貌出現而加以印證。
大陸法系典型國家的私領域觀念,以德國為例,德國民法上或憲法上并無隱私的概念,而是在德國判例學說稱為私領域或私人性,這是德國法上一般人格權為保護個人生活領域所為的具體化。進而在學說上提出了領域理論,這一理論也適用于判例并進一步發展。
但是隨著一些標志性事件的出現,“領域理論”開始逐漸相對化,尤其體現在“人口普查案”(Volkszählung)之中,該案創設了個人信息自主(自決)權,以資料的使用或結合可能性為判定標準。盡管近年來從個人信息保護的角度以及各國各地區個人信息保護立法中關于是否承認個人信息自主(自決)權以及如何解釋這一權利的觀點不一,但不能否認的是,至少在當時提出這一權利有其道理,而且無法割裂其與“領域理論”之間的聯系。私領域以及信息自決理念也影響后續歐盟個人數據保護的相關立法。
(二)隱私法與個人信息保護規則的區隔
隱私法雖然對個人信息保護具有較大的觀念影響,但個人信息保護規則卻逐漸與隱私法相區隔,呈獨立之勢。個人信息保護的特殊性日益凸顯,其在規則、體系等各方面均獨立于隱私法。這主要取決于幾個方面的因素:
一是與隱私相比,個人信息保護多從“信息”本身的判斷入手,不再僅限于“私領域”的判斷,當然,由于“可識別性”理論的引入,也使個人信息的判斷并非易事。
二是在判斷隱私之時,融入的價值判斷相對比較單一,主要是傳統上隱私的判斷標準,而個人信息的判斷某種程度上在“概括+列舉”等單線程界定的基礎上,又可能需要在個案的主體關系之中予以判斷。
三是由于限定于信息這一載體,并且信息脫離于個體而置于個人信息處理者的控制之下,因此針對信息本身,個體也享有相應權利,這一點不同于保護方式注重消極防御的隱私權。這些因素共同作用,使個人信息規則有單獨自成體系且立法的需要。
世界范圍內在一定程度上形成隱私數據立法競爭之勢。在美歐隱私數據立法競爭中,美國以隱私和信息一體規制的概括的隱私法而著稱,其不斷確定客體、規則等方面的界限;歐盟立法則聚焦于個人數據,制定較為體系化的規則,從而在立法技術上頗占上風,并在相當程度上為其他國家和地區所借鑒。美國有學者認為歐盟法更具影響力,與歐盟相比,美國在本輪世界范圍內的隱私立法之中略處劣勢。
但也有美國學者對此并不認同,他們對美國隱私保護方面的優勢十分推崇,并認為,乍一看,比較法律學者可能會認為美國的隱私保護框架不如歐洲的方式穩健有力,但在某些方面,美國的框架卻提供了比歐洲更強的保護。尤其是,美國的隱私保護是針對特定領域的,在法規和判例中均有所體現,它們適用于特定行業,如醫療、教育、通信、金融服務以及兒童信息在線收集等。在歐美的對比之中,盡管法體系、法技術上有所不同,繁簡不一,但都順應本國本法域的社會、歷史、文化和法律傳統,立法競爭之時仍系于自身的體系與脈絡。
中國隱私權和個人信息保護立法啟動相對較晚,中國并無較強的隱私保護傳統,受隱私觀念歷史傳統的限制不多。但隨著隱私權保護觀念的引入,在借鑒歐美立法的基礎上,逐漸在成文法體系內構建起隱私權保護的法律規則,并在司法實踐中不斷完善相關適用規則。而個人信息保護規則在制定之時,就區分于隱私權,隨著民事基本法以及個人信息保護法等單行法的頒行,逐步構建起個人信息保護的法律規范體系。
在并無較強隱私文化和立法傳統約束的前提下,借個人信息保護立法之際,創設出相應信息自決觀念以及系列權利。尤其是,中國個人信息保護法是在信息時代高速發展以及在個人信息保護、數據安全與利用乃至經濟、社會發展等多重場域與制度交疊互嵌背景下制定的,因此,人們對個人信息保護法期待較高。但同時,由于可能介入的影響因素較多,也使得對于個人信息保護法的基本規則的理解或有所偏離,法律在實施中也遇到一些障礙與困境,這些問題可能還需要回到個人信息保護法的基本法理以及底層邏輯中闡釋和解決。
(三)個人信息主體權利的隱私限度
個人信息主體權利圍繞保障基于隱私與個人信息的知情權,設定多項法定權利,包括對個人信息的查閱權、復制權、異議權、更正權、刪除權等。信息時代給人們帶來諸多未知風險,可能會給人們帶來潛在與現實的多重侵害。
法律賦予個人信息主體享有針對信息處理者可行使的一系列權利,旨在保障個人對于處于信息處理者控制之下的自身個人信息的知悉,以對抗由于不當收集、不當使用、信息瑕疵或錯誤以及影響信息自主決定等而導致的不利評價或侵害。這一系列權利在美國《公平信用報告法》中有所規定,幾乎成為但凡涉及信息處理就會存在的、類似于一種“結構化的權利組合”。我國《民法典》第1037條和《個人信息保護法》第四章“個人在個人信息處理活動中的權利”第45、46、47條之中就分別規定了這一系列權利。這些權利并非中國個人信息保護立法上的創造,而是與“信息”本身的特質緊密相關,并在征信領域已有較長時間的適用。從這些權利的發生本源來看,體現出隱私觀念存在的影響。
盡管個人信息主體權利的形成受隱私法影響,但前述知情權與各項權利的設定也仍然是基于利益衡平,相應權利行使均是具有一定限度的。在幾乎所有關于個人信息采集、利用的場景之中,與個人人格權益和財產權益聯系最為緊密的當屬征信場景。征信機構是最具代表性的個人信息處理者。在個人征信活動中,征信機構依法采集、整理、保存、加工個人的信用信息,并向信息使用者提供,幫助市場主體判斷控制風險、進行信用管理。
而對于個人而言,之所以處于征信法律關系之中,也通常是因為其正在處于或即將處于信用活動之中,比如信用消費或信用交易,與個人財產權益等各方面的獲得與實現緊密相關。美國《公平信用報告法》,在第602條(a)(4)規定,必須確保消費者報告機構在履行其職責之時是公平、公正的,尊重消費者的隱私權。該法案以保護消費者的隱私權為宗旨。但即便如此,個人信息采集與查閱權、復制權、更正權、刪除權等系列權利行使的對象與客體,也仍然僅限于“信用報告”這一載體本身,而并非漫無邊際。依此類推至其他的個人信息處理活動,在個人信息主體行使相應權利之時,也應具有一定限度,這種限度如何體現以及如何理解,將在下文詳述。
個人信息主體權利:應然向度與實現困境
依循概括的隱私脈絡,大致可勾勒出隱私與個人信息保護的演進關系,也影響個人信息保護制度體系的構建。個人信息主體權利確為個人信息等人格權益和財產權益的實現而設,但同時其也具有相應權利邊界,并非基于隱私與個人信息保護的無限放大而不當影響個人信息處理活動。如何客觀解釋這一權利體系,就成為一項基本工作。同時,作為法定權利,其理應面向實現向度,權利實現即“社會主體直接以自己的行為實現法律規范中所設定的權利要求,實施一定的作為或不作為。這是權利實現過程正常化的法律標志之一,表明了權利實現活動的積極社會價值”。
《民法典》實施近兩年,《個人信息保護法》實施一年以來,如何從解釋論的角度予以解釋適用,在實踐中又存在哪些實現障礙與困境,如何應對與破解這些難題,殊值探討。
(一)個人信息主體權利體系
個人信息主體權利體系內部應當是自洽的,彼此證成的。如拉茲所論,“一個法律體系可以看作是一種實踐推理的體系,因為它的許多規則都嵌入于證成結構之中。規則的嵌入方式是:對于任何兩個規則,一個在法律上證成了另一個”。當然,拉茲討論的是一種更為宏大的法律體系,并非局限于個別較為微觀的體系。但其道理是基本相通的,無論是何種意義上的體系或子體系,都應當在規則上是彼此證成的。
對比《民法典》和《個人信息保護法》關于個人信息主體的權利,對于相同的權利,二者從語詞或概念描述而言基本相同。《民法典》第1037條規定了個人信息主體對個人信息享有查閱權、復制權、異議權、更正權和刪除權;《個人信息保護法》第44條、第45條在前述幾個權利的基礎上又增加了知情權、決定權和可攜帶權。總體來看,個人信息主體的法定權利包括:知情權、決定權、查閱權、復制權、異議權、更正權、刪除權、可攜帶權。這些權利共同構成了個人信息主體權利體系。
這一體系呈現為“三階構造”:決定權的“理念貫穿式”權利模式和立法模式;以知情權為核心的權利基礎;以查閱權、復制權、異議權、更正權、刪除權和可攜帶權為內容的散射交叉的系列權能。如前所述,傳統在征信領域,基本上是以第三階構造中的系列權能為主要內容,而個人信息保護法強化了作為這些權能底層基礎的知情權和決定權。這一點雖然在域外立法例中并未得見,但從本文第一部分從隱私法演進中觀察個人信息主體權利的產生與創設,就可知對于知情權和決定權的強化也在制度構建的應然理解之中。
(二)個人信息主體權利的實現困境
《個人信息保護法》實施時間雖不長,但其卻在個人信息保護方面發揮了較為重要的積極作用,同時又不容忽視的是,其也暴露出隱私數據立法的一些天然缺陷等問題。就個人信息主體權利而言,其在查閱權、刪除權的行使等方面存在一定問題,進而又會影響如何界定“個人信息”這一基本概念等一系列問題。
1.關于查閱權的行使。《個人信息保護法》第45條規定了個人享有查閱權和復制權,其第1款前半句規定,“個人有權向個人信息處理者查閱、復制其個人信息”。有學者認為,此處的“其個人信息”應理解為“個人信息處理事項”,即個人信息處理的相關情況。這一解釋比較客觀,但對于“相關情況”仍有細化的空間。根據目前的平臺實踐,多數應用程序(APP)均設置了個人信息共享清單、個人信息收集清單等項,以供用戶查詢平臺與關聯方共享、合作方共享、第三方軟件開發工具包(SDK)等說明,同時在收集清單之中也載明基本信息、社交信息、交易信息、使用日志等。這些內容基本上符合查閱權的客體范圍。
關于個人行使查閱權時可查閱的信息范圍在實踐中有進一步明確界定。在一則案件中,用戶周某使用A公司的APP,周某主張因擔心個人信息泄露或個人信息有誤,或A公司將個人信息用于其他用途損害其利益,故向該公司要求披露相關信息。在經過兩審審理,A公司確認周某的“賬戶信息”中的賬戶注冊時間、賬號、頭像,“個人基本信息”中的性別、手機號碼,“設備信息”(設備型號、操作系統版本、唯一設備標識符),“日志信息”中的訂單信息、互聯網協議(IP)地址,“收貨信息”(收貨人姓名、收貨地址、手機號碼,以及相應的訂單號、所購商品或服務信息、支付的貨款金額和支付方式),“購物習慣”等信息為其實際收集且應當披露的信息。
對于周某在使用該APP之時使用由該APP自動生成的昵稱“××會員”是否屬于應當披露的個人信息范疇,法院認為,雖然該昵稱由該APP自動生成,并非周某自行填寫,但根據《個人信息保護法》第4條關于“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”的規定,周某作為A公司可識別的注冊用戶,其昵稱仍屬于個人信息范疇,至于該昵稱為個人自行填寫或是由系統自動生成,均不影響其性質的認定。另外,披露的范圍還包括自周某在APP上注冊之日起到該判決生效之日止的“瀏覽記錄”及“與第三方(包括第三方支付機構)共享的個人信息”,后者應當包含信息種類、信息內容、使用目的、使用場景和共享方式等內容。從這起案件之中可以看出,對于個人有權查閱的范圍仍然是以個人信息的“可識別性”為界定標準,以確定可查閱的個人信息的范圍。
另外,關于查閱權還存在征信特例。從世界范圍來看,征信體系與一國的社會信用文化和市場經濟基礎緊密相關,不同的歷史、文化和法律特點形成了不同的征信機構運作模式。比如,以德國、法國為代表的公共征信系統模式,以美國、英國等為代表的私營征信機構模式以及我國以商業銀行信用信息基礎數據庫為基礎的類似于公共征信系統的模式。在中國,征信具有一定的公共性特征。
如前所述,征信查詢是典型的個人信息處理活動中的情形。但是,根據《征信業管理條例》第17條規定,信用主體可以向征信機構查詢自身信息。個人信息主體有權每年兩次免費獲取本人的信用報告。可見,個人可查閱的信用信息以信用報告所載為限,而很難再解釋到有關個人信息處理的相關情況。根據中國人民銀行征信中心《個人信用報告(授信機構版)》中顯示,個人信用信息主要包括個人基本信息、信貸交易信息、非信貸交易信息與社會信用信息(包括公共信用信息和市場信用信息)等信息。綜上可見,征信場景下的查詢權的范圍實際上不同于其他個人信息處理活動中的查詢范圍。
2.關于刪除權的實現。《個人信息保護法》第47條規定了個人信息主體享有刪除權。個人得向個人信息處理者行使刪除權。但是如何保證個人信息處理者確已刪除相關信息,仍然是一個具有高度不確定性的問題。即便通過司法程序確認個人信息處理者應履行相應刪除義務,使數據歸于不復存在,但尚需客觀標準予以核實檢驗,也需要在實現程序與效果上予以討論。有學者認為,個人信息保護法規定的個人信息主體的刪除權,只是“信息處理的合法性與必要性基礎喪失”的必然結果,而“數據銷毀”才是“數據歸于消滅”的處理流程末端。而在這一問題上,可否通過在行業或司法實踐中一定標準化或格式化條款的應用而要求個人信息處理者履行刪除承諾,或可斟酌。
3.關于可攜帶權的實現。《個人信息保護法》第45條第3款規定了可攜帶權,這一權利在《個人信息保護法(二次審議稿)》之后增加。在已有的手機號碼攜號轉網實踐中,某種程度上實現了可攜帶權。但是對于技術、規模等各方面發展并不均衡的平臺而言,欲實現可攜帶權,尚需探索。而如若此權利運用不當也會給企業增加合規成本、產生數據安全風險隱患,影響個人信息保護和數據治理效能。另外,有的企業出于維護自身競爭地位的考慮,而對于個人要求實現自身信息的可攜帶并不支持甚至以技術原因為由而予以拒絕。如何克服已有實踐中的障礙,是當下法律實施中需要考慮的問題。
4.關于個人信息的界定。在個人信息主體權利實現的過程中,盡管存在各種實現困境與問題,但歸根結底又回到最原初的問題——如何界定“個人信息”。對于個人信息的概念界定,《民法典》第1034條確立了“識別說”,《個人信息保護法》第4條則界定為“關聯說”,但二者殊途同歸,最終都將匯集到“可識別性”的判斷上。如前所述,“可識別性”實際上是一個本身存在一定缺陷,但目前又很難找到其他可替代標準的一個標準。當解釋可識別性標準之時,正向的標準通常包括通過相關信息可識別出相關主體,但是這樣的一種解釋又存在不少漏洞。而同時又可作出一些例外情況的排除性的解釋,比如僅識別出手機設備號碼,并且無法通過其他信息關聯至相關自然人的,則不視為“可識別”。
另外,在平臺收集的個人數據中,尚有一些處于模糊地帶的信息,其是否應解釋為個人信息,尚需區分。實踐中,有一些數據是為實現某種市場基礎設施的輔助功能而形成的數據,例如,身份認證、行為分析、連接匹配和聲譽信用等,進而形成認證數據、分析數據、連接數據和聲譽數據等。這些數據大致屬于用戶作為數據來源者所貢獻的數據,但是這些數據實際上也會在不同過程中呈現為不同形態,并且根據不同場景而分屬個人或平臺等不同主體。對于認證數據,在其初始收集之時,其與個人身份相對應,因此屬于個人信息。但是在每一次為獲得相應服務之需而予以驗證之時,所留存的數據,如若無法識別出個人,則在個人行使查閱權之時,不存在向個人披露的必要;如若能夠識別出個人,則應予以披露。
基于以上可知,信息主體權利在實踐中遇到諸多障礙與實現困境。但也如有學者所言,權利的“法定化”確實不能等同于權利的實現。雖然就某種程度而言,法定權利與實然權利之間雖然存在差距,但是權利的“法定化”也仍然可以當作權利“實現”的主要衡量標準。當然,不容忽視的是,以上這些問題也給法解釋、法適用提出一些難題,尚需在今后的法律適用中進一步系統解釋。
個人信息主體權利:實現方式與保護救濟
從互聯網到數字化的多重演變,造就了前所未有的社會系統復雜性。對于個人信息主體權利,法律雖明確規定,但卻在實踐中困難重重,其中既有個人信息如何界定此種理論待決問題,同時還有諸多權利實現條件和現實基礎等問題。對此,應從權利的實現機制角度觀察,信息處理者應基于個人請求而履行相應的行為義務,以使制度實現圓滿狀態。
(一)權利的實現方式
作為個人信息主體權利的知情權、決定權、查閱權、復制權、異議權、更正權、刪除權和可攜帶權。知情權作為核心的權利基礎,其實現在相當程度上與查閱權相交叉重合,很難想象行使查閱權之時不是一種行使知情權的場景。當然查閱可能針對特定信息,而知情則可基于一種更大范圍內的信息。而在其中,如何衡平個體實現這些權利與其他制度價值之間的關系,也是近年來人們關注的話題。科恩(Julie E.Cohen)指出,隱私權的制衡因素清單很長,而且越來越多。
近年來社交媒體、移動平臺、云計算、數據挖掘和預測分析的增加,有可能使天平完全傾斜,將隱私置于與知識進步對立的地位。在美國,有一種觀點認為,隱私的壞名聲帶來的后果是顯而易見的,當隱私及其所謂過時的價值觀必須與國家安全和商業的前沿要求相抗衡時,隱私權就成了失敗者。這種認識也將隱私權保護的正當性推至風口浪尖。但針對這種觀點,科恩指出,侵害隱私對個體造成損害,但實則傷害的卻不僅僅是個體。以進步、創新和有序自由為名對隱私的侵入,實際上更是破壞了我們所珍視的政治和知識文化的持續活力。因此,認為隱私過時和社會倒退的看法是錯誤的。因此,即便個人信息主體享有這些權利自隱私而起,但這些權利也在不斷爭論中實現與信息處理者利益的平衡。
權利的實現方式與實現效果對應著相應主體義務的履行。對于信息主體請求行使查閱權、復制權、異議權、更正權、刪除權、可攜帶權等權利,信息處理者應履行相應的行為義務——披露、復制、更正、刪除等。當然,若信息處理者拒絕個人請求而產生糾紛的,法院應當在客觀解釋法律規定的基礎上公正裁判。而由于個人信息保護的復雜性,也給法官留有填補法律漏洞的任務。而法官在解釋法律之時,應按照相應標準進行解釋。
事實上,法律解釋的標準通常包括字義、法律的意義脈絡、歷史上的立法者之規定意向、目標及規范想法、客觀的目的論的標準、合憲性解釋的要求等內容。就各種解釋標準之間的關系而言,字義標準為基礎,“由一般的語言用法獲得的字義,其構成解釋的出發點,同時為解釋的界限,在可能的字義范圍外,即使以‘擴張’解釋之方式亦不能謂合于字義者,不能視之為法律的內容而加以適用”。只有在此基礎上,才能更好地保護信息主體的權利。
(二)權利的救濟程序
關于個人啟動訴訟程序的限制與解釋,《個人信息保護法》第50條規定,個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。實踐中,有的信息主體在未經向信息處理者請求的情況下,便徑直起訴。這一點是否符合第50條的立法意旨,成為理論和實踐都比較關注的問題。
誠如楊仁壽先生所言,“解釋法律必須兼維法律之安定與理想,而后法律的功能始能充分發揮”。司法保障信息主體權利請求之時,也應當做到充分的利益衡平。比如,在杜某訴某網絡公司個人信息保護糾紛案中,用戶杜某認為,某網絡公司在對用戶個人信息處理活動中未依法保障自身的知情權和決定權,侵犯了個人信息權的合法權益,在未向信息處理者請求的情形下,直接提起訴訟。
法院認為,《個人信息保護法》第50條適用于個人在個人信息保護法第四章所規定的個人信息權利受到侵害或妨礙,但沒有產生損害時所產生的一種“個人信息權利請求權”。由于這一權利的請求權基礎為《民法典》第995條規定的人格權保護,只要個人信息權利受到侵害或侵害即將發生,即可請求行為人承擔停止侵害、排除妨礙、消除危險等民事責任,在構成要件上無須考慮個人信息處理者的主觀過錯和造成實際損害之要件,其目的在于保障個人信息權利的行使和排除對個人信息權利的妨害,從而為個人信息主體權利提供一種防御性的保護,避免侵權行為進一步產生實質化的損害后果,最終達到恢復個人信息權利主體對人格利益圓滿支配狀態,保障個人人格的完整性。同時,因個人信息流動大、使用頻率高、范圍廣,如果直接向法院起訴,不但會造成不必要的訴累,增加個人信息處理的成本,而且可能導致訴訟頻發、浪費司法資源,甚至成為惡意訴訟人濫用訴權的工具。實踐中,通過向個人信息處理者的積極主張,應是最快捷、最便利、最有效的維權方式。
基于此,《個人信息保護法》第50條第2款明確規定“個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院起訴”。換言之,本條的訴權是以“個人信息處理者拒絕個人行使權利的請求”為前提,即設置了個人向法院提起請求權救濟的前置條件。也就是說,個人信息主體應先向個人信息處理者請求行使具體權利,只有在個人信息處理者無正當理由拒絕履行義務或一定期限內不予處理,或者個人信息處理者提供的申請受理機制失效的情況下,個人方可向法院提起訴訟以獲得救濟。
本案中,被告某網絡公司已通過協議約定和后臺設置構建了個人行使權利的申請受理及處理機制,原告杜某可通過以上方式行使個人信息知情權和決定權。但原告杜某提起本案訴訟前并未向被告某網絡公司(信息處理者)提出請求,而是徑行向本院請求救濟其在個人信息處理活動享有的權利,顯然不符合法律規定中關于“個人信息權利請求權”的起訴受理條件,故駁回原告杜某的起訴。對于法院的解釋,筆者認為,從法解釋上來看,基本上符合立法本意。
從糾紛解決的原理上看,對于《個人信息保護法》第50條也可有另外一種解釋路徑。如埃利希所認為:“裁決一項糾紛,意味著要界定彼此糾紛的領域,主要是按照糾紛前界定的領域來界定。這種界定首先要標明糾紛產生之前即已存在的團體中的內容秩序。”“在每個糾紛中所涉及的問題是:基于這些事實產生的規范已被違反,因此法官在所有的法律訴訟中必須依據自己的知識或者根據證據來查清這些事實,以便對糾紛進行裁決。所有這些事實在糾紛產生之前已經形成于具體的團體之中,故而構成了裁判的基礎。”
基于通常理解,所謂需要由司法機關等公權力介入的必要前提,即需存在一項特定的糾紛。對于個人所享有的一系列權利,其行使的對象應向信息處理者行使,在未向信息處理者表達自身意思,并且信息處理者也未拒絕之時,實際上尚不存在糾紛,司法機關等就無介入的必要。因此,第50條第2款的規定也體現了這一基本道理,而且平臺用戶數量眾多,如若此款不嚴格解釋,恐造成較多不必要的訴訟的局面,因此應慎重對待。
(三)信息主體是否有權請求精神損害賠償
侵害個人信息主體的權利,在個人信息處理者履行相應義務的基礎上,信息主體是否有權請求精神損害賠償,這一問題似乎較為復雜。《個人信息保護法》第69條規定,處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額。就該條解釋而言,第69條第1款應依據《民法典》第1165條第2款予以解釋,第69條第2款則基本上可以依據《民法典》第1182條予以解釋。
在立法之時,似乎并未將《民法典》第1183條精神損害賠償的規定考慮進來。但有學者認為,第69條第2款使用的是“損失”一詞,而第69條第1款也只是使用“損害”,都沒有如《民法典》第1182條那樣使用“財產損失”的表述。從文義解釋出發,在處理個人信息侵害個人信息權益造成損害時,無論該損害是財產損失還是精神損害,都可以按照第69條第2款確定相應賠償數額。這種解釋在很大程度上也就突破了《民法典》第1183條對于精神損害賠償責任僅限于“造成嚴重精神損害”的情形。
與此相關的案例顯示,侵害個人信用方面的權益,法院支持了當事人關于精神損害賠償的訴訟請求。該案中,張某某準備到銀行進行個人貸款,通過中國人民銀行查詢自身征信記錄,人民銀行征信中心報告顯示其自2000年3月24日在被告某信用社有多次逾期貸款的情形。張某某認為其沒有在該信用社貸過款,遂提起訴訟,請求法院判決信用社消除不良征信記錄,并公開賠禮道歉、給付精神損害撫慰金50000元。
法院認為,因信用社違反銀行相關貸款發放的規定,未盡到貸款審查義務,致使張某某在中國人民銀行誠信服務中心個人征信系統備注有不良貸款記錄,產生了并不真實的不良信用記錄。這一事實已經導致張某某社會信用受到損害,侵犯了其一般人格權。對于張某某主張的財產損失賠償部分,其提供的證據并不能證明信用社的侵權行為給其造成的實際財產損失,法院未支持該部分訴訟請求。對于張某某請求的精神損害撫慰金,信用社作為專業的金融機構,在操作業務時應盡到嚴格審查義務,因其過錯行為造成張某某社會信用受損,致使上訴人遭受精神痛苦,張某某據此請求精神損害賠償,應予支持。精神損害的賠償數額根據信用社的過錯程度、侵權行為的后果等具體情況酌情認定為3000元。該案具有一定典型意義,當然其中對于精神損害的證明程度,也可再討論。
對于侵害個人信息主體權利,在絕大多數情況下似并無精神損害賠償適用的余地。但是在某些極端情形之下,比如,個人多次拒絕個人信息處理者處理其信息(包括敏感個人信息)而個人信息處理者仍然處理,或者個人要求刪除其個人信息(包括敏感個人信息),而個人信息處理者置之不理、拒不刪除。這些情況之下是否會對個人造成精神損害,似也不能完全否定。當然,無論在理論上如何解釋,個人對自身受有精神損害均負有舉證責任。
結論
拉倫茨認為,法學具有作為規范科學的法學與作為“理解的”學問之法學的雙重特征。《個人信息保護法》作為已有的法律規范,需要進行科學解釋的作業。如伽達默爾所認為的,“解釋的任務就是使法律具體化于每一種特殊情況,這也就是應用的任務”,“當然,具體化的任務并不在于單純地認識法律條文,如果我們想從法律上判斷某個具體事例,那么我們理所當然地還必須了解司法實踐以及規定這種實踐的各種要素”。但是,何為“規定這種實踐的各種要素”,在伽達默爾的理論中并未給出答案,他只是限定了“所要求的對于法律的隸屬性唯一在于:承認法律制度對每一個人都有效,并且沒有任何人可以例外”。作為“理解的”學問之法學也要求透過解釋來理解、通過理解的“循環結構”及“先前理解”的意義來理解以及作為辯證過程的規范適用來理解。
故此,只有在多向度作業才能更好地理解法規范,尤其是個人信息保護本身又與科技、社會、歷史、文化等多種維度相交織,主體之間面對“國家—企業—個人”、新技術面臨“效率—安全—效果”等多重三角困境,同時也是“不可能三角”(impossible trinity)。在傳統法律規范的難題與社會發展中的難題多重疊加基礎之上,如何更好保護個人信息主體的權利,如何更加重視和珍視人的權利,是一個有待更多著力并持續觀察的問題。
責任編輯:譚則章