目次
一、民事立法的矛盾與糾結二、個人信息保護是一項獨立的法律制度
三、立法中需要明確的幾個問題
摘要:個人信息保護的本質究竟是權利還是權益,民事立法中產生了很多爭論。爭議的根源在于將人格權(隱私權)與個人信息保護這兩項根本不同的制度強行并列,并試圖以傳統民事權利話語體系來界定個人信息保護,最終難免出現各種矛盾。個人信息保護是信息時代的一項全新挑戰,個人信息控制權是需要通過個人信息保護法確立的一項新型公法權利。
關鍵詞:個人信息保護 人格權 隱私權 新型權利 個人信息控制權
隨著信息化發展與個人信息價值的凸顯,個人信息保護近年來成為不同法律部門與理論研究的熱點,也產生很多爭議,包括個人信息保護的本質究竟是權利還是權益,個人信息權究竟是人格權還是財產權,民法典人格權編與個人信息保護法的關系,民法保護、行政法保護與刑法保護的關系等。一場場爭議的背后,都關涉個人信息保護的法律定位,既與立法科學性息息相關,也關系到未來的法律適用。本文從個人信息保護的權利爭議切入,探討個人信息保護的獨立法律定位,嘗試回答立法中需要明確的幾個相關重大問題。
一、民事立法的矛盾與糾結
盡管民法學界一直有學者主張民事立法宜加強對個人信息的保護,但2016年6月公布的《中華人民共和國民法總則(草案)》初次審議稿并沒有個人信息保護的內容,采用的是傳統民事權利劃分。2016年8月出現的“徐玉玉案”,促使2016年11月公布的二次審議稿增加了個人信息保護的條款。這既體現了民法的人文關懷,也打上了倉促上陣的烙印,在包括個人信息保護的定性等重大問題上未能給出明確的答案。
最終通過的《中華人民共和國民法總則》(以下簡稱《民法總則》)第111條規定:“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”在整個條文中,對個人信息保護的規定并無“權”字。相反,《民法總則》第110條規定,自然人享有生命權、身體權、健康權、姓名權、肖像權、名譽權、榮譽權、隱私權、婚姻自主權等權利;第112條規定,自然人因婚姻、家庭關系等產生的人身權利受法律保護。在人格權與身份權兩個條文中間加入一個個人信息受法律保護的條文,使個人信息保護是否屬于權利以及個人信息保護是否屬于具體人格權等問題,都不甚明確。從權利法定原則出發,從文本解釋看,個人信息保護顯然不能說是一項權利,只能歸入《民法總則》第3條所規定的“其他合法權益”;但是,從第111條被放在《民法總則》第5章“民事權利”的整體結構看,它好像又可以被視為一項權利,并且是具體人格權,由此導致對文本的多種不同解讀。
個人信息保護的屬性問題在全國人大法工委民法室民法典室內稿各分編草案征求意見稿中仍然不明確,甚至更模糊。在該稿中,人格權編第6章名為“隱私權和個人信息權”,但第45條卻基本照錄了《民法總則》的表述(“自然人的個人信息受法律保護。任何組織和個人不得侵害他人的個人信息”)。這樣一來,究竟是個人信息還是個人信息權,不但室內稿與《民法總則》規定不一致,室內稿本身前后也不一致。如此前后反復,難以定性,直接沖擊了將個人信息納入民法保護的基礎。
與權利相關的另一個問題是個人信息權究竟是不是人格權。對此,民法學界大多數學者均認為個人信息權屬于人格權,分歧在于究竟是屬于一般人格權還是具體人格權。《民法總則》第109條規定了一般人格權,第110條集中規定了具體人格權,如果個人信息屬于人格權,理應作為其中之一加以規定。然而,個人信息保護放在《民法總則》第111條,顯然又不屬于人格權兩種情形之一,由此再次導致解釋上的困難。
個人信息保護的屬性問題在2019年12月公布的《中華人民共和國民法典(草案)》(以下簡稱《民法典(草案)》)中仍然無法明確,存在多重難以協調的內在矛盾。
首先,《民法典(草案)》人格權編共6章,第3章為姓名權和名稱權,第4章為肖像權,第6章為隱私權和個人信息保護。這里最大的問題在于,姓名、肖像都是最為典型的個人信息,把它們與個人信息這個上位概念并列,邏輯上存在種屬關系混亂。例如,《民法典(草案)》第999條規定,“實施新聞報道、輿論監督等行為的,可以合理使用民事主體的姓名、名稱、肖像、個人信息等”,就是將種概念與屬概念并列,不符合形式邏輯的基本要求,合理的漢語表述應該是“姓名、名稱、肖像等個人信息”。
其次,《民法典(草案)》一方面界定個人信息只是權益,不是權利,但是,另一方面,又突出強調姓名權、肖像權的權利性質。姓名只是一個符號,一般不能單獨識別個人,肖像則是能夠單獨識別個人的信息。如果這兩項個人信息是權利,那么為何其他更重要、更能識別特定個人的個人信息(如生物特征信息等)不是權利?《民法典(草案)》中這樣規定,在邏輯上很難自洽。
再次,《民法典(草案)》一方面將個人信息定位為權益而非權利,另一方面,又確立了個人對自己信息的同意權(第1035條),知情權、更正權與刪除權等(第1036條),橫貫個人信息處理的事前、事中與事后全部生命周期,等于是確立了個人對自己信息的完全控制權。如果個人對自己的信息不享有權利,何來這些具體權項?在《民法典(草案)》中,個人對自己信息的控制能力遠遠大于隱私權僅僅限于被侵犯后的事后救濟,將隱私權界定為權利而將個人信息界定為權益,法理依據顯然不足。
最后,《民法典(草案)》一方面堅持民事立法的基本范式,如堅持義務主體為“任何組織或者個人”(第111條),另一方面,《民法典(草案)》又大量吸收、借鑒了尤其是《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)等專門個人信息保護相關立法的規定,使得《民法典(草案)》中民法與專門法特征相互重疊,這不僅給未來的法律適用造成困難,也會使一些制度出現不周延、錯配等現象。例如,《民法典(草案)》三次審議稿最終采納了各國個人信息保護法律普遍采用的“處理”概念,《民法典(草案)》第1035條將《網絡安全法》所規定的“收集、使用”改成“收集、處理”,并規定 “個人信息的處理包括個人信息的使用、加工、傳輸、提供、公開等”,將“收集”行為明確排除在處理之外。如此規定存在幾個明顯的問題:(1)《民法典(草案)》雖然采用“控制者”概念,體現了個人信息保護法的基本規律,但很多規定的義務主體又是“任何組織或者個人”或者根本不明確,控制者的行為規范也未得到明確的界定,這必然導致如何確定義務主體與行為規范出現大量爭議。(2)《民法典(草案)》將“收集”單獨作為一個行為,與“處理”并列。然而,國際上個人信息保護立法均是以處理為核心概念,收集既是處理的開端,更是處理的核心內容,收集與處理是不可分割的同一個過程。收集就是處理,收集的過程同時也是處理的過程。很難設想實踐中有收集與處理分離,只收集不處理,或者只處理不收集的活動。《網絡安全法》第41條規定的“收集、使用”是一個行為的不同階段,均屬于處理活動;相反,借鑒《網絡安全法》規定的《民法典(草案)》卻將收集與處理作為兩個不同的行為加以規定,在邏輯上存在漏洞。例如,知情同意規則主要適用于收集活動,對于不涉及收集活動的存量信息的處理(如使用、加工等),以及收集后在原收集目的范圍內的處理活動,往往并不需要反復的知情和同意。將收集與處理并列,會使大量的處理活動均需要按照收集環節的要求,履行告知同意程序,從而增加合規成本。因此,《民法典(草案)》對收集與處理的二元設計,至少是對整個個人信息保護制度的一種無效設計。(3)國際上個人信息保護法律的通行核心概念是“信息控制者”,另一個是受控制者委托進行處理活動的“處理者”,兩者之間的委托代理法律關系非常明確,責任義務邊界也十分清晰。《民法典(草案)》第1038條確立了信息收集者與控制者兩個獨立、并列的概念,但對其定義以及權利義務關系均缺乏任何界定,可以說與國際立法慣例格格不入,在實踐中必然引發大量適用難題。(4)《民法典(草案)》將民法制度與個人信息保護法相關制度熔于一爐的做法,既使人格權編第6章相關規定不像一般的人格權法,很多地方具有專門立法的色彩,也因為規定過于簡略而不可能完全像一部個人信息保護法,必然導致不同法律未來適用的沖突,從而產生大量的不確定性。
二、個人信息保護是一項獨立的法律制度
民事立法出現種種矛盾與糾結,不但關涉立法,也會對未來的法律適用產生重大影響,必須妥善解決。之所以會出現各種矛盾和糾結,是因為人格權(隱私權)保護與個人信息保護是根本不同的兩項制度。人格權是一項傳統的民事權利,個人信息權則是完全獨立的一項新型公法權利,是隨著計算機大規模采用才出現的新事物。以傳統民事權利話語體系界定個人信息權利,將個人信息保護納入私法人格權范疇,與隱私權并列在一節中,必然會出現邏輯矛盾與實踐沖突。
20世紀60年代末70年代初,由于計算機和信息系統的采用,歐洲與美國最早關注到個人信息使用與濫用問題,認識到需要確保某些記錄的保密性和安全性,限制對某些記錄的訪問或被用于初始用途之外的用途,以保護個人信息不被濫用。在此基礎上,各國逐步形成“公平信息實踐”,并出臺了針對個人信息自動處理的第一批法律,用以落實公平信息實踐原則。1970年,德國黑森州制定全世界首部《數據保護法》。1973年,瑞典制定首部全國性《數據保護法》。美國于1970年制定《公平信用報告法》《銀行保密法》,1974年制定適用于聯邦政府機構的《隱私權法》。由于不同國家法律文化的差別,個人數據保護制度產生之初,往往與傳統的隱私保護制度相互交織,兩個概念也相互混用,容易產生不同的認識。
1980年,由發達國家組成的經合組織通過《隱私保護和個人數據跨境流動指南》,確定了8項原則:(1)收集限制原則。個人數據的收集應該受到限制,任何此類數據的獲得都應該通過合法和公正的方法,在適當的情況下,要經過數據主體的默示或同意。(2)數據質量原則。個人數據應該與它們將要被使用的目的和該目的所必要的程度相關,個人數據應該精確、完整和被保持為最新狀態。(3)列明目的原則。收集個人數據的目的應該在數據收集之前列明,之后的使用應限于實現這些目的或者那些與之并非不相容的目的,這些情況應當在其目的變更時列明。(4)使用限制原則。除非經過數據主體的同意或者經過法律授權,不應該在列明的目的之外披露或公開使用個人數據。(5)安全保護原則。個人數據應該受到合理的安全保護,以免發生諸如丟失或未經授權的獲取、破壞、使用、修改或披露等問題。(6)公開原則。應該制定關于個人數據發展和實踐的一般公開政策,確立便利的措施,以確定個人數據的存在和性質、它們使用的主要目的,以及數據控制者的身份和通常住所。(7)個人參與原則。個人應當有權利從數據控制者那里獲得或者確認數據控制者是否擁有有關他的數據;如果其要求被拒絕,他有權獲知理由并可以提出挑戰;如果挑戰成功,他可以要求刪除、糾正、補充完整或修改這些數據。(8)責任原則。數據控制者有責任遵守賦予上述原則以效力的措施。該隱私指南于2013年經過修改,仍然維持同時使用隱私與個人數據兩個概念的習慣做法。
1981年,歐洲理事會制定《有關個人數據自動化處理的個人保護協定》,推動了發達國家的立法進程。1990年12月14日,聯合國大會以45/95號聯大決議的形式通過《計算機處理個人數據系統規制指南》,建議成員國在立法中采納指南提出的10項隱私保護原則。在這兩個國際法律文件中,隱私與個人數據保護兩個概念依然同時并用。
歐盟一直是個人數據保護的領先者。歐盟1995年制定《保護個人有關個人數據處理及該種數據自由流動的指令》時,仍然同時使用數據與隱私保護兩個概念,兩者的關系尚不十分明確。但是,歐盟2000年制定《歐盟基本權利憲章》時,就已經在第7條和第8條分別規定尊重私人和家庭生活(傳統意義上的隱私權)以及保護個人數據,個人數據保護開始被作為一項獨立的權利對待。2007年歐盟各國首腦簽署《里斯本條約》,要求盡快制定歐盟個人數據保護規則,就完全采用了個人數據概念,不再提及隱私概念。經過20多年的探索,到2016年制定《保護自然人有關個人數據處理及該種數據自由流動的條例》(以下簡稱《一般數據保護條例》)時,通篇只有數據保護的概念,不再使用隱私保護的概念,數據保護完全成為一個獨立的領域,不同于傳統的隱私權保護。可見,從其最初產生開始,個人信息保護就與傳統的隱私保護面臨截然不同的任務。隨著信息化的普及,個人信息保護已經迅速成為一項獨立的法律制度,全世界已有100多個國家制定專門的個人信息保護法律,確立了獨立運行的制度。個人信息保護作為一項獨立的法律制度,主要體現在如下幾個方面:
1.保護客體的特殊性
隱私與個人信息保護的保護客體在我國法律中經歷了一個非常明顯的3階段發展過程。我國立法中最早出現的概念既不是隱私,也不是個人信息,而是民間與歷史傳統中使用得更多的“陰私”概念。這方面的第一個法律規定是1956年全國人民代表大會常務委員會就最高人民法院提出的什么案件可以不公開進行審理的問題所作出的《全國人大常委會關于不公開進行審理的案件的決定》。該《決定》規定:“人民法院審理有關國家機密的案件,有關當事人陰私的案件和未滿18周歲少年人犯罪的案件,可以不公開進行。”這一規定確立了不公開審理的基本劃分原則,其內容與規定方式基本為后來的訴訟法繼續沿用。到20世紀70年代末,1979年制定的《中華人民共和國刑事訴訟法》第111條和《中華人民共和國人民法院組織法》第7條都繼續沿用“陰私”的提法。最高人民法院曾經明確界定過陰私案件的范圍,由此也就間接界定了陰私的含義。根據1981年《最高人民法院關于依法公開審判的初步意見》的規定,“有關個人陰私的案件,一般是指涉及性行為和有關侮辱婦女的犯罪案件”。可以看出,這一時期法律的保護客體主要是當事人在訴訟程序上不公開審理的權利。
由于改革開放所帶來的觀念上的沖擊與進步,從20世紀80年代尤其是90年代初以后,不論是政府文件、立法還是民間,普遍以“隱私”概念代替代“陰私”概念。1982年《中華人民共和國民事訴訟法(試行)》是第一部使用“隱私”概念的法律,1989年《人民調解委員會組織條例》是第一部使用“隱私”概念的行政法規,1996年《中華人民共和國刑事訴訟法》修改時也明確將“陰私”改為“隱私”。這個時期,就法律保護的客體而言,已經從過去的訴訟程序權利進入民事實體權利的領域,諸如《中華人民共和國未成年人保護法》《中華人民共和國婦女權益保障法》等法律都明確將隱私權作為一項實體權利加以規定,最高人民法院的司法解釋也確認了隱私權的民事權利地位。然而,由于所有使用隱私概念的法律都沒有給該概念下一個定義,也沒有界定或者描述這種權利的范圍,因此,多年來,其實體權利的邊界不論在立法還是實踐中實際上一直處于某種模糊狀態,一直到司法實踐中逐步明確侵犯隱私權案件的核心判斷標準在于披露以后是否會導致權利人的“社會評價降低”。這在江蘇省南京市江寧區人民法院審理的“施某某、張傳霞、桂德聰訴徐錦堯肖像權、名譽權、隱私權糾紛案”中得到了典型的反映。人民法院認定,被告的行為“客觀上不會造成施某某社會聲望和評價的降低”,因而不構成對原告名譽權、隱私權的侵犯。在上海市第二中級人民法院審理的“上海美爾雅醫療美容門診部有限公司與張燕肖像權糾紛案”等案件中,均以社會評價的降低作為判斷名譽權、隱私權侵權的主要標準。在“洪波與張大化名譽權糾紛、隱私權糾紛案”中,盡管一審人民法院、二審人民法院的結論不同,但兩級人民法院的法律推理均認定“公民的名譽權是指公民依法享有的保持并維護自己社會綜合評價的權利”。
自20世紀90年代末開始,尤其是進入21世紀以來,由于信息化的迅猛發展與權利觀念的進一步提升,首先從信息化有關IC卡管理、征信體系建設、互聯網使用與管理以及政府辦公自動化等方面的地方信息化立法均有個人信息保護方面的規定。和消費者權利保護兩個領域的地方立法開始,逐步出現了中性的個人信息概念,并逐步進入到國家立法中。
個人信息保護的客體是個人信息,而個人信息的范圍非常廣,通常包括任何已識別或者可識別特定個人的信息,范圍遠遠大于個人不愿為人所知、披露后會導致社會評價降低的私密信息(隱私)。如果僅僅依據個人信息的定義這一個維度來界定保護客體,要求所有采集或者處理個人信息的行為均必須知情同意,并滿足個人信息保護法的其他要求,整個正常的社會交往幾乎完全無法進行。因此,各國個人信息保護法普遍都通過另外兩個條件來界定保護客體的范圍。也就是說,個人信息保護法保護的客體并不是所有的個人信息,而是數據控制者以自動方式處理的個人信息。界定保護客體有兩個重要條件,一是數據控制者,二是處理活動,保護的是數據控制者在數據處理活動中涉及的個人信息。不屬于數據控制者的數據處理活動中的個人信息,不屬于保護客體。為此,歐盟《一般數據保護條例》與很多國家的個人信息保護法均明確將純粹個人或者家庭生活中處理的個人信息,排除在法律保護范圍之外。
國際上講個人信息保護法只是一般的簡化提法,嚴格的表述其實是“個人信息處理保護法”,必須要有“處理”才涉及保護;同時,個人信息保護法的規范對象是處理個人信息的“個人信息控制者”,而不是一般的組織或者個人。一個人在公共場所出現,其他個人完全可以自由地獲取他的信息,只有諸如閉路電視系統的運行者(控制者)采集他的信息才需要遵守個人信息保護法的規定。脫離個人信息保護法的制度運行背景,脫離特定主體“個人信息控制者”,脫離特定行為“個人信息處理”,對作為一般主體的“任何組織或者個人”談個人信息依法獲取或者知情同意等,均沒有任何意義,也與生活常識嚴重背離。這樣做導致的結果要么是規定虛化,沒有任何法律意義;要么是在特殊情境中,產生不必要的法律爭議。我國民事立法設計個人信息保護規定,很長時期脫離了制度運行的背景要求,在《民法總則》與民法典人格權編起草的過程中,類似處理與控制者等概念都很晚才出現,即使出現也并未影響整個立法架構與基本走向。既無“控制者”概念,也無“處理”界定,以隱私權保護同樣的思路設計個人信息保護條款,將全部個人信息都作為保護客體,當然無法回答諸如個人信息保護是權利還是權益等重大問題。
2.義務主體的特殊性
數據控制者概念表明,個人信息保護法的義務主體具有特殊性,不是“任何組織或者個人”這樣的一般主體。美國《加州消費者隱私權法》規定的義務主體(經營者)必須具備以下條件之一,否則不屬于法律規定的義務主體:(1)年營業額超過2500萬美金;(2)每年為商業經營目的購買、接收、出售或者共享個人信息超過5萬份;(3)年營業額中超過50%的收入來自出售消費者個人信息。同樣,歐盟《一般數據保護條例》對義務主體進行了多重區分處理,以體現義務主體的特殊性,包括:(1)為學術、藝術與表達目的而處理個人信息的,可以克減或者排除適用條例的規定;(2)對于數據控制者、處理者的數據處理活動記錄義務,一般不適用于雇員數少于250人的企業或者組織,除非另有法定情形要求;(3)數據控制者或者處理者有下述3種情形之一的,才應指定專門的數據保護官,即除法院以外的公權力機構處理數據,控制者或者處理者的核心業務要求經常性、大規模監控數據主體,控制者或者處理者的核心業務要求大規模處理條例第9條規定的特定種類個人數據或者第10條規定的刑事犯罪個人數據。
人格權在性質上屬于對世權,對應的義務主體是普遍的,任何組織或者個人都是義務主體,都不得侵犯他人的人格權。由于隱私具有不愿為人知曉的特點,任何組織或個人都不得傳播他人的隱私,都是義務主體,沒有排除或者克減適用之說。相反,個人信息保護法的義務主體往往是特定的、分層的,是個人信息控制者,不是一般的義務主體,通常不可能是個人,在性質上類似于對人權。
如果按照人格權套用并泛化界定個人信息保護法的義務主體,就會出現比較荒謬的結果。這是因為,只要有社會交往,就會彼此產生個人印象,這個過程是自然發生的過程,是信息主體給交往對方留下的印象。每個人在交換過程中,隨時都在獲取交往對象的個人信息,或者主動或者被動。因此,一般社會交往中的個人信息與其說是“獲取”,不如說是“印象”的自然生成。對于印象的產生、轉達、傳播,一般都屬于個人生活與社會自治范疇,法律不需要介入,更談不上所謂“同意”“依法取得”“非法收集、使用”等法律界定。一個人在大腦中形成的印象,是自己的事,不能說其形成一個對方“夸夸其談”“猥瑣”“虛偽”等負面評價,或者“英勇無畏”“真誠耿直”“美麗大方”的正面評價,以及將這種評價分享給朋友或者社會,就是在非法使用、加工、傳輸他人的個人信息。社會交往中的印象形成,并不是獲取的過程,既與同意無關,也與法律無關。《民法典(草案)》第1035條移植了《網絡安全法》第41的規定,要求收集、處理個人信息的,應當遵循合法、正當、必要原則,并明確了相應的條件。問題在于,《網絡安全法》的義務主體是網絡運營者(相當于個人信息保護法中的個人信息控制者),是特定義務主體,而該條的義務主體并不明確,按照通常理解應該是總則規定的一般義務主體(任何組織或者個人)。將適用于特定義務主體的要求推廣到一般義務主體,結果就會非常荒謬,與生活常識不符,導致的問題是義務主體錯位以及連鎖的各種錯位,其適用會遇到難以克服的障礙。
民事立法一直用傳統隱私權觀念來構筑個人信息保護法律制度,一是直接將個人信息作為保護客體,二是將義務主體界定為“任何組織或者個人”,存在明顯的保護客體泛化與義務主體泛化雙重弊端。這樣一來,既使個人信息究竟是權利還是權益陷入無休止的爭論之中,不可能有確定的答案,也使諸如“收集者”“控制者”等概念與傳統的“任何組織或者個人”概念并列,相互關系無法理順,并產生與常識相悖的推理結果。
3.權利性質的特殊性
人格權屬于消極權利,權項并不需要列明,“法律上并不詳細規定各種類型的人格權,而是在人格權遭受侵害之后,由法官援引侵權法的規則對權利人提供救濟”,以不受非法侵犯造成損害后果為權利邊界,遭受損害后通過侵權賠償加以救濟。梁慧星教授明確指出:“各國民法對人格權保護的共同經驗可以概括為‘類型確認+侵權責任’,即通過法律規定或者判例確認人格權的類型,稱為特別人格權,將侵害各種人格權的加害行為納入侵權法的適用范圍,對加害人追究侵權責任。”他還指出,人格權的第一個特殊性是“防御性”,即法律將侵害人格權的加害行為納入侵權責任法的適用范圍,以便對加害人追究侵權責任。人格權的第二個特性是它的“先在性”。所謂人格權的先在性,是指人格權的存在先于法律規定,不因法律規定或者不規定、承認或者不承認而受影響。
相反,信息控制者以不同方式處理海量的個人信息,難以衡量具體處理行為是否對信息主體造成侵害。因此,個人信息權作為信息主體對抗信息控制者信息處理行為的新型公法權利,必須有法律依據,并由法律對具體權項進行列明。這樣一來,信息主體的權利就轉變為信息控制者的相應法律義務,違反法律義務就等于是對信息主體權利的侵犯,由此實現信息主體控制自己信息不被非法處理的權利保護目標。違反公法義務會導致公法上的法律責任,同時導致權利人損害的,當然也要承擔民事侵權責任。但是,并不是所有違反公法義務的行為都會產生民事損害后果,這就涉及如何科學設計救濟機制的問題,以避免制度被濫用或空轉。我們看到,不僅歐盟與受歐盟影響國家的立法廣泛規定了信息主體的各項具體權項,即使與歐盟模式差別非常大的美國,也體現了消費者控制自己信息不被非法處理的相同立法思路。2012 年2 月23 日,時任美國總統的奧巴馬頒布《消費者隱私權法案》,對消費者的權利進行了具體規定,對于企業可收集哪些個人數據以及如何使用這些數據,消費者都擁有控制權。美國《加州消費者隱私權法》則賦予消費者對于自己信息的5項具體控制權。
從救濟效果看,構成人格權民事侵權必須滿足侵權賠償的法定構成要件,尤其是必須以造成實際損害為前提條件,被侵權人還需要承擔舉證責任。但是,在網絡環境下,不同于對于人格權的侵犯,侵犯個人信息權往往很難證明對信息主體實際造成了什么損害,信息主體要承擔舉證責任也同樣困難。因此,如果僅僅依靠民事侵權賠償機制保護個人信息,會遇到很大的困難,存在激勵不足問題。相反,作為公法權利,并不以信息主體的實際損害作為認定違法與否的必要條件,也不需要信息主體承擔舉證責任。只要數據控制者違反法定義務,不論是否造成信息主體實際損害,都可以認定為違法,個人信息保護執法機構就可以通過公法執法發現并制裁違法,維護法律秩序。個人信息被違法處理并不必然導致信息主體遭受損害,甚至可能會帶來利益,但信息控制者仍然要承擔公法責任。正因如此,當代各國普遍將個人信息權界定為新型公法權利,為數據控制者規定廣泛的法律義務,并通過設立專門、獨立、權威的個人信息保護執法機構來提供有效的保護。公法權利更多屬于積極權利,權項因此更為豐富,不只事后才能尋求損害賠償救濟。不論在歐盟模式還是美國模式下,個人信息權均是一個權利簇,范圍究竟多大由立法加以界定,各國未必完全一樣,但核心在于信息主體對于自己信息的控制權,包括知情權、修改權、刪除權、可攜帶權、被遺忘權等。只要個人信息保護法加以明確規定,權利主體就享有這些具體的控制權利。
就權利保護機制而言,作為民事權利,一般不會動用公權力進行事先保護,主要的保護手段是事后救濟以及相應的侵權賠償,責任形式只能是諸如停止侵害、排除妨礙、消除危險、賠償損失、消除影響、恢復名譽、賠禮道歉等民事責任,對抗的主體是平等的民事主體。在網絡時代,這種事后救濟機制既無法預防泄露、濫用個人信息行為的發生,也無法有效懲罰、威懾違法者。如果侵權方是公權力機關,民事責任機制更是無能為力。作為公法權利重要的意義還在于,信息主體不但可以對抗平等的民事主體,也可以對抗公權力部門,國家機關同樣要尊重和保護個人的信息控制權。同時,對于公法權利,國家有義務建立有效的事前事中政府監管與行政執法制度,有效預防損害的發生,保護公民所享有的權利。至于民事救濟機制,在公法權利框架之下同樣也可以發揮應有的作用。同時還要看到的差別是,對于純粹的民事侵權行為,如網絡上披露他人隱私、侵犯名譽權等,如果沒有達到一定的程度,公權力并不需要介入,依靠民事侵權賠償機制就可以達到保護私權利的目的。相反,對于公法權利的侵犯,不論程度如何,均需要由公權力執法機關提供保護。
隨著社會的發展,個人權利的種類不斷豐富,權利的邊界越來越廣,既超出傳統的民事權利范疇,更橫跨公私法邊界,演化出許多新型公法權利,諸如環境權、受教育權、社會保障權、消費者權利、可交易許可權等,均是典型的新類型權利。這些新型權利是去法典化時代的產物,具有跨法律部門、多元特征混合、公法私法融合等特點,不宜簡單“一刀切”定性。必須根據每項權利本身的運行規律,由環境法、消費者權益保護法、社會保障法、行政許可法等單行法界定其權利邊界,設計權利保障機制,再由民法、行政法、刑法進行相應的銜接,對侵害權利的行為進行制裁,構成完整的權利保障體系。可以看到,我國的環境權、受教育權、消費者權利等均未在《民法典(草案)》中加以規定,而是先由相關單行法分別予以確認,再通過包括民法典在內的法律,共同制裁侵犯這些權利的行為。個人信息權也是這種新型權利,同樣應該首先由個人信息保護法界定其權利基礎,再由包括民法典在內的相關法律追究侵權行為應該承擔的法律責任。正如王澤鑒教授指出的,不同國家與地區隱私權首先都是作為基本權利加以確認,然后再從民事侵權法上加以銜接,而不是像我國一些民法學者所主張的民法上先確認個人信息權,再制定個人信息保護法。例如,在美國,隱私權被作為一項最為重要的憲法權利而不是普通的民事權利,以憲法慣例的形式得到學術與實務部門(包括美國聯邦最高法院)的確認。在法國,1958年憲法雖未明確規定隱私權,但法國憲法委員會通過1994年的一項裁決,確認憲法隱含隱私權。在印度,1950年憲法沒有明確承認隱私權,但在1964年,印度最高法院就首次依憲法第21條作出裁決,認定憲法已隱含隱私權。在愛爾蘭,憲法未明確提及隱私權,但愛爾蘭最高法院裁決,公民有權援引憲法第40.3.1條的個人權利條款證明隱私權的存在。即使在人格權制度非常發達的德國,一般人格權也是作為基本權利加以保護的。
4.簡單的結論
正是因為個人信息保護的上述各種特殊性,使個人信息保護已經迅速成為一項獨立的法律制度,有獨立的法律淵源、程序設計、制度配置、執法機制、交流平臺等,甚至已經形成一個專門的復合型知識結構的職業共同體和不同于傳統的隱私權保護的話語體系。與國際趨勢相反,我國民法界一直推動將個人信息保護納入人格權編,與隱私權并列在一起,并主張將個人信息保護法作為民法的特別法,由此強行將兩項根本不同的制度熔于一爐。可見,個人信息保護在民事立法中出現定位困難和邏輯混亂,深層次根源在于權利定性錯位,將一項新型公法權利簡單歸入傳統民事權利范疇,忽略了個人信息保護與人格權兩項權利的本質差別。這種錯配不但會導致立法中的各種反復與糾結,未來適用更會面臨巨大的不確定性。另外,這種觀念和認識一旦外溢至個人信息保護法立法,還會導致個人信息保護權屬基礎不明,法律關系模糊等連鎖反應。
三、立法中需要明確的幾個問題
當前,民法典起草已近尾聲,即將出臺,個人信息保護法已經列入本屆全國人大一類立法計劃,正在加緊起草過程中。民法典是基本法,將由全國人大通過,而個人信息保護法屬于一般法律,將由全國人大常委會通過。由于兩部法律都會涉及個人信息保護內容,因此,立法中必須處理好相互關系,核心是明確以下幾個重大問題:
1.民法典與個人信息保護法的關系
民法學界有很多專家認為,民法典對個人信息權在人格權編中首先加以規定,明確個人信息權的法律地位,然后再制定個人信息保護法,是比較合理的選擇。也就是說,個人信息保護法是民法的特別法。
筆者認為,這種觀點值得商榷。
首先,將個人信息保護法視為民法的特別法,明顯會使編纂民法典這一體系化立法的意義受到直接沖擊。依此類推,還可能會使民事立法再次進入到分散化狀態,影響民法典的統一和權威。
其次,如前所述,個人信息保護與人格權保護是兩個完全不同的領域,不宜強行混合在一起。個人信息保護是一個嶄新的法律部門,是正在興起的網絡信息法的核心組成部分。將傳統的人格權理論和制度套用到個人信息保護領域,必然出現各種不適配問題,既有損立法的科學性,也會導致法律適用中的各種沖突。
最后,從其他新型權利立法與民法的關系看,都是先由單行法明確新型權利及其運行的基本制度,然后再由民事立法等相關立法與之銜接,通過民事責任追究促進新型權利的實現,而不是先由民事立法確立每一項新型權利,然后再由單行法進行銜接。
因此,在認識上必須明確,個人信息保護法是保護個人信息的基本立法,任務是明確個人信息保護的基本原則和制度,明確實體規范與程序規范,然后再由相關單行立法根據不同行業領域的特點制定相應的規定,構成個人信息保護的完備法律體系。個人信息保護法的義務主體、調整范圍、執行機制等均明顯不同于民法典,不能將個人信息保護法視為民法特別法。只有違反個人信息保護法的行為造成權利人民事權益損害的,民法典才從民事責任追究方面進行銜接。盡管個人信息保護法與民法典存在一定的交叉,但兩者的性質和任務存在根本不同,前者旨在保護新型權利的公法,后者旨在確立民事基本制度的私法,在法律體系中分別發揮不同的作用。只有科學認識這兩部法律的關系,才能使個人信息保護法針對信息時代個人信息保護所面臨的現實問題,設計相應有針對性的制度,而不是被傳統民事法律制度所束縛。
2.個人信息保護法宜確立信息主體權利及信息控制者激勵相容機制
進入大數據時代,信息主體控制自己信息不被信息控制者違法處理或濫用的權利,是整個個人信息保護制度運行的基石。因此,個人信息保護法首先必須明確確立信息主體的個人信息控制權。只有確立了這種權利,才能要求信息控制者履行相應的法律義務,以及確立有效的執法監督機制,預防和制止違反法律義務行為的發生。《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《中華人民共和國消費者權益保護法》《網絡安全法》《征信業管理條例》等法律、行政法規雖然都對個人信息保護做了較為系統的規定,但回避了這種保護的基礎究竟是什么,未回答個人是否對個人信息處理活動享有控制權利。從某種程度上講,這些立法只是為義務主體設定了義務,并未規定權利主體的權利,存在較為明顯的基礎缺失問題。制定個人信息保護法,應該順應國際發展趨勢,明確確立個人信息控制權,作為整個制度的基礎。這是個人信息保護法作為獨立立法的意義與價值所在。
但是,必須看到的是,在大數據時代,權利控制機制存在至少兩個缺陷,單獨依靠權利控制機制難以實現個人信息保護與信息自由流動的平衡。一是由于信息不對稱,信息處理活動越來越復雜,由信息主體控制極有可能流于形式,信息主體每次只能選擇“同意”,導致實質上無法達到設立控制權的立法初衷,個人無法真正保護自己的個人信息不被違法處理。二是權利控制機制可能導致程序的過度復雜化,不合理地增加信息控制者的成本,影響數據自由流動,最終損害社會的公共利益。
解決上述兩個問題,一是要對個人信息控制權的每個具體權項進行分解、分析、分類,在充分討論的基礎上明確哪些權項需要予以明確規定(如知情權、查詢權、更正權、刪除權、限制處理權等),哪些權項可以作為倡導性規定(如可攜帶權),哪些權項暫時還不宜規定(如被遺忘權)。通過權項的類型化處理,使個人信息控制權既能發揮作用,又不至于脫離國情,影響數據的自由流動。權項分類處理,最大的難題是如何確定個人同意權的地位與范圍,包括哪些事項需要明示同意,哪些事項可以默示同意,哪些事項需要專門同意,哪些事項采用同意例外機制等。二是需要調動信息控制者的積極性,設計激勵相容的機制,促使信息控制者主動承擔保護個人信息的義務,設計有效的個人信息安全管理制度,實現從單向的權利控制向權利控制與激勵機制并行的多元治理機制轉變。這也是個人信息保護法作為獨立立法的意義與價值所在,民事立法不可能勝任這種多元治理機制。
3.民法典與個人信息保護法宜盡量減少不一致的規定
比較《民法典(草案)》與全國人大法工委已經在一定范圍征求意見的《中華人民共和國個人信息保護法(草案征求意見稿)》(以下簡稱“征求意見稿”)可以發現,兩者存在比較明顯的不一致,主要表現在兩個方面:一是基本概念與范疇不對應。《民法典(草案)》目前采用的是信息收集者、控制者概念,而征求意見稿采用的是個人信息處理者概念,彼此不對應,缺乏銜接。另外,對于“處理”概念,《民法典(草案)》將收集與處理并列,而征求意見稿將收集界定為處理的組成部分,兩者明顯不一致。二是規定重復且不完全一致。《民法典(草案)》對于個人信息保護的幾條實質性規定,如第1034條、第1035條、第1036條、第1038條等,在征求意見稿中均有類似的規定,不僅重復,更重要的在于兩者具體內容不完全一致,極易導致不同的解釋,影響法律適用。
對于上述問題,如果能夠按照先制定個人信息保護法,民法典隨后銜接的方式,當然是最理想的解決方案。這樣可以通過立法范圍劃分,由個人信息保護法確定實體規范和程序規范,由民法典確定民事責任,實現兩部法律的銜接。為此,可盡量刪除《民法典(草案)》中的實體與程序規定,重點在責任機制、責任構成要件、責任標準以及不同救濟機制的相互關系上實現兩部法律的銜接,對侵犯個人信息權的行為設計量身定做的民事責任追究機制。然而,鑒于兩部法律目前處于不同的立法進度,尤其是民法典出臺已經箭在弦上,這種解決方案的現實可能性應該不會太大。但是,即使到目前這個階段,類似基本概念與范疇的統一與科學性等問題(如對“處理”的定義),《民法典(草案)》還是應該盡量作出調整,以提高立法質量。
在《民法典(草案)》難以作出大的調整的情況下,次優的解決方案只能是在給定的條件下,通過個人信息保護法立法,確立法律適用規則,明確民法典是私法、一般法、舊法,個人信息保護法是公法、特別法、新法。對于個人信息保護,宜優先適用個人信息保護法,個人信息保護法沒有規定的,再適用民法典。通過明確適用規則,在一定意義上使民法典的某些規定成為原則性或宣示性條款,在法律適用中更多直接依據個人信息保護法,以變通解決《民法典(草案)》中存在的各種問題。
當然,對于《民法典(草案)》本身正確的內容,個人信息保護法也應該根據民法典的規定作出相應的修改,典型的如《民法典(草案)》規定的個人信息控制者概念,明顯要比征求意見稿規定的個人信息處理者概念更為科學。