摘 要
自羅馬法始,傳統(tǒng)民法就對個人信息上的人格利益予以保護。信息時代的個人信息保護因規(guī)范自動化個人信息處理技術(shù)對人格的威脅而生,其規(guī)制對象為信息處理行為。區(qū)別于普通的個人信息使用關(guān)系,信息處理關(guān)系是信息能力不平等主體間的法律關(guān)系,民法所保護的信息處理關(guān)系中的法益應(yīng)被表達為信息處理中的自主利益(或自決利益)。該利益的保護有兩個重要前提:一是民事主體之間存在明顯的信息能力不平等;二是存在信息處理行為。對個人權(quán)益低風(fēng)險的行為,系普通的個人信息使用,比如個人生活中的信息交往,非為信息處理關(guān)系的調(diào)整目標(biāo),僅民法調(diào)整,《個人信息保護法》完全不適用;但是對信息處理關(guān)系中的信息處理行為的規(guī)制,《個人信息保護法》中的民事條款應(yīng)當(dāng)作為民事特別條款,予以優(yōu)先適用。
關(guān)鍵詞
基本權(quán)利 第三人效力 信息處理行為 信息處理中的自主利益
自然人作為個人信息的主體,自然人的姓名、肖像等個人信息與其人格須臾不可分離。因此,有學(xué)者認為,個人信息作為人的延伸,應(yīng)當(dāng)由主體所掌控,體現(xiàn)個人意志。 自羅馬法以降,民法就保護個人信息上的人格利益(如羅馬私法上侵辱之債, 對自然人的名譽的保護)。傳統(tǒng)民法“從法律技術(shù)上將人格分割成一個個要素,擇其主要者予以維護”, 其保護路徑層次非常清晰:首先,對肖像、姓名等邊界清晰的人格利益,通過肖像權(quán)、姓名權(quán)等具體人格權(quán)予以保護;其次,對在歷史沉淀中已經(jīng)類型化形成了規(guī)范群的隱私利益,提煉出隱私權(quán)作為一項具體人格權(quán)保護; 最后,邊界不明的其他人格利益,則置于一般人格權(quán)這項框架權(quán)利下。以上為個人信息在民法中表達的第一個層面。本文主要關(guān)切的為第二個層面,即信息時代個人信息如何保護?
一、作為一項基本權(quán)利的個人信息保護權(quán)
個人信息成為基本權(quán)利的客體,主要源于信息技術(shù)應(yīng)用對個人權(quán)益保護的挑戰(zhàn)。20世紀60年代以后,隨著計算機技術(shù)的不斷發(fā)展,信息的大量收集、存儲和利用成為可能,使個人權(quán)益受到侵害的可能性增大,傳統(tǒng)意義上具有消極、被動特點的人格權(quán)很難適應(yīng)社會發(fā)展的需要。 個人信息侵權(quán)逐漸表現(xiàn)為三個方面的新特征。首先,侵權(quán)人主要為組織體,自然人作為侵權(quán)人的案件甚至可以忽略不計。 其次,侵害手段多樣化,且侵害結(jié)果具有隱蔽性和持續(xù)性。長期、自動、大規(guī)模收集、處理個人信息的手段被組織體使用,其收集和處理行為不易察覺,比如“智能音箱記錄家庭對話”“大數(shù)據(jù)殺熟”等。最后,侵害事件具有高發(fā)性和高風(fēng)險性。比如傳播他人隱私的行為,在普通個人信息使用關(guān)系中,其傳播范圍窄,且具有偶發(fā)性,發(fā)生侵權(quán)的風(fēng)險遠低于信息處理關(guān)系。而在信息時代,個人信息被泄露甚至買賣,大范圍低成本傳播,風(fēng)險極大。
美國學(xué)者們認識到普通法侵權(quán)救濟已經(jīng)不足以應(yīng)對日新月異的技術(shù)發(fā)展,為了平衡個人及信息控制組織之間的關(guān)系,以威斯?。╓estin)、米勒(Miller)等為代表的學(xué)者提出了信息隱私概念,將個人信息的保護納入了美國隱私權(quán)之下,認為個人“有能力控制信息的流通” 或是“個人、群體或組織決定自身信息何時、如何及何種程度與他人進行交流?!?主流觀點認為1977年華倫訴羅伊案確認了信息隱私在美國是一項憲法權(quán)利。 同時,政策制定者開始通過部門立法尋求新的個人信息保護路徑,迎來了20世紀70年代的聯(lián)邦立法潮。 歐洲為應(yīng)對技術(shù)發(fā)展的挑戰(zhàn)采取了更為強力的舉措,歐洲人權(quán)法院解釋《歐洲人權(quán)公約》(ECHR)第8條第1款時認為該條包含了“使用個人數(shù)據(jù)對個人進行不可預(yù)測的分析可能對言論自由、隱私權(quán)和身份權(quán)(the right to privacy and identity),以及個人自決造成的影響”。 并在1981年通過了國際上第一個數(shù)據(jù)保護公約——歐洲委員會《個人數(shù)據(jù)自動處理中的個人保護公約》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)。2007年《歐盟基本權(quán)利憲章》(Charter of Fundamental Rights of the European Union,以下簡稱“歐盟憲章”)更是宣布數(shù)據(jù)保護為一項獨立于隱私權(quán)的基本權(quán)利。 美國法語境下對隱私權(quán)限縮(剔除墮胎等對個人身體的自決等)的信息隱私概念,與歐盟的個人數(shù)據(jù)保護概念殊途同歸。雖然歐美對隱私或個人數(shù)據(jù)保護路徑不同 ,但是個人信息保護作為人權(quán)或基本權(quán)利保護幾乎已成為一項共識。
個人信息保護是一個地道的舶來品,是歐美社會人權(quán)制度發(fā)展的產(chǎn)物,也是技術(shù)發(fā)展的附加品。 我國憲法雖然沒有如歐盟憲章規(guī)定數(shù)據(jù)保護權(quán),但是個人信息受保護的基本理念實際上也可以從我國《憲法》中找到依據(jù) 。1982年憲法修訂時增加了“公民的人格尊嚴和榮譽不受侵犯,禁止用任何方法手段對公民進行侮辱、誹謗或者誣陷”的條款,2004年“國家尊重和保護人權(quán)”更是被寫入憲法。我國《憲法》第38條、39條、第40條、第41條、第47條、第51條和2004年《憲法修正案》第24條,均可以作為憲法保護的間接依據(jù)。 正如周漢華教授所言,“個人資料的收集、處理或利用直接關(guān)系到個人資料本人的人格尊嚴,個人資料所體現(xiàn)的利益是公民的人格尊嚴的一部分,因此是一種人格權(quán)利”。 在其擬定的專家建議稿中,第1條即開章明義,“為規(guī)范政府機關(guān)或其他個人信息處理者對個人信息的處理,保護個人權(quán)利,促進個人信息的有序流動,根據(jù)憲法制定本法”。
有學(xué)者分析基本權(quán)利模式保障個人信息應(yīng)當(dāng)作為我國的借鑒對象,原因在于:從現(xiàn)實角度考慮,數(shù)據(jù)化時代的個人信息保護有急迫性,因為技術(shù)的發(fā)展正在加大對自由、尊嚴等價值侵害的風(fēng)險。 從理論角度出發(fā),只有在基本權(quán)利層面確立了個人信息受保護的價值,其他部門法對個人信息保護的規(guī)范才有根本性的法律依據(jù)和上位法的支撐 。同時,確立個人信息保護權(quán)的基本權(quán)利屬性,厘清其與其他基本權(quán)利的關(guān)系,也更有利于實現(xiàn)其他基本權(quán)利(如言論自由、知情權(quán)等)。
二、獨立于普通個人信息使用關(guān)系的信息處理關(guān)系
依據(jù)《里斯本條約》(TFEU) 中規(guī)范基本權(quán)利的要求, 歐盟議會制定了《統(tǒng)一數(shù)據(jù)保護條例》(以下簡稱“GDPR”),該法已經(jīng)成了國際上數(shù)據(jù)保護領(lǐng)域立法的標(biāo)桿。有學(xué)者指出,個人信息立法規(guī)制的重點與其說是個人信息,倒不如說是“個人信息處理活動”。 筆者深以為然。個人信息保護法主要規(guī)范的是個人信息處理行為,其中核心是對個性識別分析和分析結(jié)果的應(yīng)用。所以,“個人信息保護法”還可以有一個更為恰當(dāng)?shù)拿帧皞€人信息處理行為規(guī)制法”。
?。ㄒ唬┬畔⑻幚硇袨樽鳛閭€人信息保護法的核心
從個人信息保護法的發(fā)展源流來看,個人信息保護法制定之初,其主要立法宗旨就是要解決計算機處理個人信息所帶來的巨大風(fēng)險問題,處理好技術(shù)進步與個人權(quán)利保護之間的關(guān)系。 早期的很多立法文件和法律,都帶上了“計算機處理”和“自動處理”的界定。 比如,1973年美國“正當(dāng)信息通則”,僅適用于自動化個人信息系統(tǒng)。 該報告的意見成了1974年《隱私法》的基礎(chǔ)。而歐洲委員會《個人數(shù)據(jù)自動化處理中的個人保護公約》最初僅限于自動化處理,隨后才逐漸拓展到一般化的個人數(shù)據(jù)處理。有學(xué)者將20世紀70年代時期形成的立法稱為“第一代數(shù)據(jù)保護規(guī)范”,該時期的立法以一種功能主義的眼光看待數(shù)據(jù)處理問題,如果處理問題本身便是問題所在,那么立法就應(yīng)當(dāng)瞄準計算機的運作。 可見,個人信息保護是因規(guī)范自動化個人信息處理技術(shù)對個人人格的威脅而生,個人信息保護法規(guī)制的核心是信息處理行為。
我國正在制定個人信息保護法,通過檢索個人信息保護國際立法不難發(fā)現(xiàn),即便發(fā)展至今,個人信息保護法所調(diào)整的,也依然是信息處理行為。 GDPR第2條明確指出,其調(diào)整的是“全部或部分通過自動化手段進行的個人數(shù)據(jù)處理行為,以及通過自動化手段以外的其他方式進行的、構(gòu)成或旨在構(gòu)成存檔系統(tǒng)一部分的數(shù)據(jù)處理行為”。同樣,德國2017年《聯(lián)邦數(shù)據(jù)保護法》第1條第2款第3節(jié)中也明確了法律適用范圍,“私營機構(gòu)通過數(shù)據(jù)處理系統(tǒng)處理、使用或為了此類系統(tǒng)收集個人數(shù)據(jù),或者在非自動存檔系統(tǒng)中處理、使用或為了此類系統(tǒng)收集個人數(shù)據(jù)的,適用該法”。
信息處理行為是指“全部或部分通過自動化手段進行的,以及通過自動化手段以外的其他方式進行的、構(gòu)成或旨在構(gòu)成存檔系統(tǒng)一部分”的行為。 而“構(gòu)成存檔系統(tǒng)”,則僅指“可按照特定標(biāo)準訪問的結(jié)構(gòu)化的個人數(shù)據(jù)集合”。 這種處理行為,相比普通個人信息使用行為,是高風(fēng)險的。 甚至有學(xué)者犀利地指出,信息處理會導(dǎo)致一種無力和無助的狀態(tài),人們?nèi)狈Ρ匾臋?quán)利和方式有效地參與到個人信息收集、使用和傳播過程中。 而個人同機構(gòu)之間在信息流通過程中的力量不均是其在信息處理上的具體表現(xiàn)。
自2017年《民法總則》生效以來,個人信息民事侵權(quán)案件的數(shù)量與刑事案件相比極其有限, 這與個人信息保護有關(guān)的民事侵權(quán)存在維權(quán)成本高、因果關(guān)系證明困難、賠償數(shù)額低等原因有關(guān)。當(dāng)然,《民法典》生效時間較短,個人信息保護法還在立法進程中,權(quán)利主體的權(quán)益不清晰,義務(wù)主體的義務(wù)規(guī)范不明確也是原因。但究其本質(zhì),恐怕還是因為個人與信息處理者控制和參與個人信息流轉(zhuǎn)的力量懸殊。 原、被告之間的“能力天平”過于傾斜,侵權(quán)行為極其隱蔽,當(dāng)事人對侵權(quán)并不知情。以微信為例,2019年其活躍用戶已經(jīng)達到11.12億戶 ,信息主體對騰訊的運營算法及收集方式都知之甚少,更談不上有效監(jiān)督,相反,作為信息控制者和處理者的騰訊有技術(shù)上和數(shù)據(jù)體量上無可比擬的優(yōu)勢,完全有能力實時監(jiān)控。 可見,只有涉及利用信息能力的不平等收集、處理個人信息的行為,才是信息時代保護個人信息的法律真正要調(diào)整的。自然人在純粹私人之間或家庭活動過程中涉及個人信息的行為, 不存在信息能力的顯著不平等,顯然只是普通個人信息使用行為。
?。ǘ┬畔⒛芰Σ黄降仁切畔⑻幚矸申P(guān)系的本質(zhì)屬性
為了和普通個人信息使用關(guān)系作出區(qū)分,建立在信息處理行為基礎(chǔ)上的個人信息保護法所調(diào)整的法律關(guān)系,筆者稱為“信息處理法律關(guān)系”(需要說明的是,此處的處理是抽象處理概念,包括處理的整個生命周期,以下簡稱“信息處理關(guān)系”)。普通個人信息使用關(guān)系和信息處理關(guān)系的最大區(qū)別,在于前者調(diào)整信息能力平等的主體之間的關(guān)系,而后者調(diào)整的是信息能力不平等(也有學(xué)者認為是信息不對稱 、或持續(xù)性的信息不平等 )的主體之間的關(guān)系。
個人信息上的利益依賴特定的社會關(guān)系而產(chǎn)生,不同的社會關(guān)系中會有不同的個人信息利益,即使相同的信息在不同的社會關(guān)系中的利益也會有巨大差別。個人信息利益并非一個穩(wěn)定和靜態(tài)的法益,而是隨著社會關(guān)系而動態(tài)變化的法益。在普通個人信息使用關(guān)系中,平等有序的社會關(guān)系決定了個人對其個人信息并沒有控制權(quán),只有侵權(quán)人利用個人信息侵害法益的時候才可以訴諸于救濟,通過人格權(quán)和侵權(quán)責(zé)任制度來保障隱私利益和個人信息上其他人格利益,也即賦予主體一種消極的防御性權(quán)利來維護自主; 而在信息時代的信息處理關(guān)系中,信息處理行為本身就可能導(dǎo)致人格遭受不必要的侵害,無論信息處理者是否主觀上有侵害人格的故意,其處理信息的行為就可能給信息主體帶來擔(dān)憂,因此需要賦予信息主體額外的利益。基于此,個人信息保護法的本質(zhì)彰明較著——非為保障個人信息作為一種個人自主決定的處分對象,而是在于對收集使用個人信息進行分析以形成與個人有關(guān)的各種畫像的權(quán)力的活動,進行必要的制衡,以盡可能避免權(quán)力通過對個人畫像,對個人的人格形塑造成負面的影響。
三、信息處理關(guān)系中的自主利益之民法保護
個人信息保護法是對主體權(quán)益的積極保護,是對處于弱勢的信息主體給予一定的傾斜,賦予主體防御性的隱私利益等以外的新的利益來平衡、糾正或反對這種信息能力的偏差。 因此,識別出在信息處理關(guān)系中究竟還存在何種利益,而這種利益民法又應(yīng)當(dāng)如何予以救濟是本文研究的焦點。
在信息處理關(guān)系中,因信息能力的不平等,許多學(xué)者認為必須賦予個體一種個人信息自決權(quán)(或個人信息權(quán))來保護其利益,并且這種權(quán)利具有支配性特征,其義務(wù)主體負有相應(yīng)的作為和不作為。 信息自決權(quán)來源于德國聯(lián)邦憲法法院在“人口普查案” 中的解釋,是“自我決定權(quán)”的一種特殊形態(tài),自我決定的對象是與個人相關(guān)的信息。 有學(xué)者認為個人信息權(quán)是指自然人依法對其本人的個人身份信息所享有的支配并排除他人侵害的人格權(quán),除了被動防御之外,還是一種積極的控制權(quán)。 甚至有學(xué)者提出,“現(xiàn)在的隱私權(quán)法律體系已經(jīng)變動為以個人信息自決權(quán)為中心的法律關(guān)系?!?但是將個人信息自決權(quán)認定為是一種支配性的人格權(quán),是對這一理論的誤讀。
?。ㄒ唬﹤€人信息自決權(quán):憲法權(quán)利還是民法權(quán)利
個人享有信息自決權(quán),即自己決定自己的個人信息及其存儲、轉(zhuǎn)讓和使用, 須追溯至1983年德國聯(lián)邦憲法法院“人口普查案”。對信息自決的考慮允許自己決定什么時候、在什么限度內(nèi)公開自己的生活狀態(tài)。 其目的是為了確?!皣覟閭€人保留內(nèi)在空間。在這個空間之內(nèi),個人是自身的主宰。因此,個人可以完全排斥外在世界,獨自退回內(nèi)在主體,并享受在其中隱居的權(quán)利”。 “人口普查案”的案件背景是聯(lián)邦政府制定人口普查法,試圖對全國進行人口普查,引發(fā)擔(dān)憂和不滿。該案通過聯(lián)邦憲法法院進行訴訟,法院基于德國《基本法》第1條第1款和第2條第1款的一般人格權(quán)出發(fā),提出了個人信息自決權(quán)(informationelle Selbstbestimmung), 在判決中明確其為一項憲法權(quán)利,但是對該權(quán)利有具體的適用環(huán)境的限制:一方面,該案是針對國家強制的信息收集行為,并未說明對私法領(lǐng)域可以一般適用,任意的擴張沒有合理的理論基礎(chǔ), 因為憲法上的基本權(quán)利與民事權(quán)利在義務(wù)人、權(quán)利廣度、權(quán)利保護強度和對義務(wù)人的道德要求方面有本質(zhì)區(qū)別; 另一方面,該案將個人信息自決權(quán)限制在信息處理關(guān)系中,“就此而言,在自動化信息處理技術(shù)面前,不再有‘不重要’的信息。” 概言之,在“人口普查案”的背景下,信息自決權(quán)的確立主要是防范公權(quán)力機關(guān)利用信息技術(shù)無限度攫取個人信息,或利用獲取的個人信息監(jiān)控、畫像個人的可能。 在“人口普查案”中,德國聯(lián)邦憲法法院強調(diào),個人對數(shù)據(jù)沒有絕對不受限的支配權(quán)利。 “個人對自己的信息所具有的權(quán)利不是絕對的、無限制的,他只是在社會中發(fā)展的獨立人格。”
個人與國家的關(guān)系與個人相互間的關(guān)系有著本質(zhì)差別,一個受到保障的主觀公權(quán)力并不能必然推導(dǎo)出一個主觀的私權(quán)利,這是對憲法上的人格保護和私法上的人格保護混淆的結(jié)果。在個人信息保護領(lǐng)域亦是如此。憲法上的個人信息保護必須與民法上的個人信息保護相互區(qū)分,因為兩者的行為邊界很不相同,憲法上的個人信息保護直接對抗國家為方向與目標(biāo),而民法上的個人信息保護則需要考慮其他義務(wù)人的基本權(quán)所保護的自由利益,必須通過構(gòu)造成套保護設(shè)備并結(jié)合比例原則確定合理的界線。 因此,我們需要考慮的是,德國聯(lián)邦憲法法院從《基本法》第2條第1款結(jié)合第1條第1款推導(dǎo)出的信息自決權(quán),在多大程度上可以存在于民法中?而該信息自決權(quán)對于民法上的“個人信息自決權(quán)”保護范圍的確定又有何種意義?為了揭示憲法中的個人信息自決權(quán)在民法中一直以來的錯誤表達,有必要就另一德國法上的典型案例進行剖析。
德國學(xué)者引述德國聯(lián)邦法院2009年作出判決的“評師案”, 認為該案認可了民法中的“個人信息自決權(quán)”,并同時主張,個案中的利益衡量對于判定是否構(gòu)成信息自決權(quán)侵害,依然必要。其中著名的論斷為:被告在公開的網(wǎng)站上評價被告并公開其個人信息的行為,侵犯了原告的個人信息自決(德國《聯(lián)邦數(shù)據(jù)保護法》的規(guī)定,同時也是人格利益),但是該利益并非不受限制,應(yīng)當(dāng)與被告的言論自由利益進行平衡。 該案的判決結(jié)果沒有太大的問題,對于原告的權(quán)益是否應(yīng)受保護之論述也殊為合理,關(guān)鍵在于訴請中的個人信息自決權(quán)是否是該案的保護對象?筆者以為,該案中的原、被告雙方實際是普通個人信息使用關(guān)系,雙方都是自然人,不存在信息能力之不平等,被告也并未從事信息處理行為,因此該案與經(jīng)“人口普查案”確認的信息自決權(quán)之間有巨大的背景鴻溝,德國學(xué)界錯誤地將憲法上的“人格權(quán)”和民法上的“一般人格權(quán)”混同,得出信息自決權(quán)亦是民事權(quán)利的一種,其論證并不嚴謹。私以為,民法中個人信息自決權(quán)的適用條件頗為嚴苛,對于信息能力相當(dāng)?shù)钠降戎黧w之間未利用信息技術(shù)進行信息處理的侵權(quán)案件,信息自決權(quán)不應(yīng)當(dāng)適用,比如在“評師案”中,通過傳統(tǒng)民法中的名譽之訴或隱私之訴就可以解決糾紛。換言之,信息能力平等的主體之間,未從事信息處理行為,無涉信息自決權(quán)。
有學(xué)者指出,雖然憲法人格權(quán)上的人格利益對司法產(chǎn)生“預(yù)示”效力,但這并不意味著憲法人格權(quán)能直接傳遞至民法人格權(quán)中。 憲法規(guī)范是完全針對國家權(quán)力的濫用風(fēng)險而設(shè)計的特殊防御機制,這種機制并非基于對不存在權(quán)力差距和不可逃避性的私人關(guān)系的擔(dān)心而設(shè)計。 有學(xué)者主張在私人領(lǐng)域只要雙方權(quán)利不平等,就有必要直接適用基本權(quán)保障(直接第三人效力說), 然而,直接“第三人效力說”有破壞私法自治精神的嫌疑,正如謝鴻飛教授所言:在基本權(quán)利上,私主體之間的關(guān)系完全不同于私人和國家之間的關(guān)系,前者不可能在根本上侵害自由,而后者則可能。 通過對“人口普查案”和“評師案”的檢視,對憲法上的信息自決是否可以不受限制的直接轉(zhuǎn)介成為民法的一項權(quán)利,應(yīng)當(dāng)有很清晰的結(jié)論:憲法無法成為民法的直接淵源,憲法上的信息自決針對的是公權(quán)力機關(guān)實施的信息處理行為,其中隱含了兩個重要的因素:一是公權(quán)力機關(guān)的強者地位; 二是信息處理行為的高度危險性。因此,如果民法要“借用”憲法上的個人信息自決權(quán)(間接第三人效力說或客觀價值說), 必須要經(jīng)過必要性和恰當(dāng)性的檢驗,需要論證侵權(quán)人是類似于公權(quán)力機關(guān)一樣的“強者”, 此外,還必須證明該“強者”從事信息處理行為。
換言之,“信息自決權(quán)”是否可以成為民法保護的民事利益,是有前提條件的,最重要的一點即是必須滿足對“強者”制約的要求,即對具有強大支配力的信息控制者/處理者的制約。 對于私主體作為信息控制者/處理者是否是“強者”,相關(guān)法律文件比如OECD《隱私保護和個人數(shù)據(jù)跨境流通指南》認為數(shù)據(jù)控制者是指“根據(jù)各國法律能夠決定個人數(shù)據(jù)內(nèi)容和使用的主體”;而GDPR中對數(shù)據(jù)控制者的定義是“單獨或與他人共同確定個人數(shù)據(jù)處理的目的和方式的自然人、法人、公共權(quán)力機關(guān)、代理機構(gòu)或其他機構(gòu)”??梢?,“決定”“確定”“支配”等是成為“強者”的必備要件。
而將私主體是否從事信息處理行為作為信息自決權(quán)的必要條件之一,學(xué)界論述不多。 周漢華教授版的立法建議稿中有很清晰的表達,“處理是指政府機關(guān)或其他個人信息處理者根據(jù)一定的編排標(biāo)準或檢索方式,以自動或非自動方法對個人信息的收集、存儲、使用、交換、公開、修改、刪除、銷毀等行為”。 “評師案”中的評論者在網(wǎng)絡(luò)上評論原告的行為,并不構(gòu)成信息處理行為。個人信息自決權(quán)適用范圍的盲目擴大,實際上反而有損于憲法所欲維護的保護弱者的價值。 判斷信息處理行為,應(yīng)當(dāng)有一套合理的判斷標(biāo)準,而非樸素的法感或直覺。
?。ǘ﹤€人信息自決權(quán)在民法中的恰當(dāng)表達
通過對上述兩個案例的解析,筆者以為,信息自決權(quán)的本質(zhì)已經(jīng)昭然若揭。在憲法層面,國家(公權(quán)力機關(guān))對個人信息上的基本權(quán)利侵害時,應(yīng)當(dāng)賦予個體信息自決權(quán);而在民法層面,個人信息自決權(quán)的存在空間極其狹窄,僅存在于信息處理關(guān)系中。普通個人信息使用關(guān)系中不能適用信息自決權(quán)的主要原因有三。一是普通個人信息使用關(guān)系中,個人信息的獲取、交流和利用是信息交往的必要,強化信息自決會阻礙正常交流。換言之,在普通個人信息使用關(guān)系中,當(dāng)法律致力于保護個人的信息自決時,與該自決權(quán)相對立的不特定的義務(wù)人的自由將受到侵犯。立法者如果將所有各方當(dāng)事人的利益訴求均納入考慮范圍,則會意識到,普通個人信息使用關(guān)系中的信息自決必要性不大,因而在GDPR中才會將“自然人實施的純粹個人或家庭活動”排除在其適用范圍之外。二是普通個人信息使用關(guān)系中對人格利益的保護,是為實現(xiàn)人格尊嚴、個人自由和獨立自主,均為人基于內(nèi)在規(guī)定性而在共同體中對自己人格利益所享有的不受非法侵害的利益,實質(zhì)上依然是一種防御性的權(quán)利。 普通個人信息使用關(guān)系中,造成人格利益受損,通過救濟隱私權(quán)、肖像權(quán)及其他人格利益已足以對侵害個人信息的行為予以保護。三是普通個人信息使用關(guān)系通常不具有高度風(fēng)險性,正常社交中涉及的個人信息侵權(quán),雖然也可能對個人造成損害,比如通過貶損方式,造成名譽權(quán)受損,但是多數(shù)情況下傳播范圍窄、危害性低。而在信息處理關(guān)系中因互聯(lián)網(wǎng)傳播的特點,其傳播范圍廣、影響更壞。
在普通個人信息使用關(guān)系中確立個人信息自決權(quán)最大的惡果,是將憲法人格保護框架內(nèi)希冀實現(xiàn)對抗國家的措施,直接應(yīng)用于對抗不特定的私主體,也就是不特定的第三人必須為自己的每個涉及使用自然人個人信息的行為接受法院的合法化審查,顯然是不切實際且不合理的,這種對他人自由的干涉,遠遠超出了對個人信息保護的必要。德國教授Ehemann也指出,若此,公民相互之間自然的交往遭到強烈的限制,對個體人格廣泛的法律保護會犧牲過多自由權(quán)。 憲法基本權(quán)的客觀價值輻射于私主體之間,但是,這并不意味著所有的價值都要以相同的范圍和相同的類型和方法來加以保護。 亦即,對個人信息自決權(quán)這項基本權(quán)利在民法中的規(guī)范構(gòu)造,應(yīng)考慮到私法交往的獨特屬性。對于憲法上的個人信息應(yīng)受保護的價值在私法領(lǐng)域的作用,并不能一般化作用于所有的私主體,而是應(yīng)當(dāng)區(qū)分普通個人信息使用關(guān)系與信息處理關(guān)系。
在信息處理關(guān)系中,出于對“弱者”的信息主體的保護,筆者以為應(yīng)有自決利益存在。為平衡信息主體和信息控制者的信息能力,應(yīng)當(dāng)給予信息主體額外的自主利益,這種利益是信息處理關(guān)系中獨有的,不是隱私利益,而是一種為了保護其他利益而單獨賦予信息主體的特殊利益,筆者稱為“信息處理中的自主利益”。該利益具有獨立性,單獨侵害該利益并不必然侵犯其他人格利益,其存在的目的是為了讓信息主體有能力干預(yù)信息處理過程,以防范信息主體的其他利益受侵害的風(fēng)險。
信息處理關(guān)系中的自主利益,并非與隱私利益平行并列的利益,而是隱私利益和其他人格利益的前置利益(前置保護規(guī)范)。討論信息處理關(guān)系中的自主利益的前提是,必須將該利益從其所保護的隱私利益與其他人格利益中剝離出來,否則就會導(dǎo)致利益保護的混淆。為實現(xiàn)“信息處理關(guān)系中的自主利益”,個人信息保護法通常也賦予信息主體干涉?zhèn)€人信息處理過程的機會,這些機會表現(xiàn)為針對信息控制者和處理者的一系列積極請求權(quán)。 申言之,該利益是個人信息保護法中信息主體利益上的抽象,也只有在個人信息保護法、《網(wǎng)絡(luò)安全法》等法律法規(guī)涉及的信息處理行為中才存在該利益。該利益在民法中的表達,可作為一般人格權(quán)中的一類人格利益予以保護,但該利益的存在應(yīng)當(dāng)符合上文所說的“強者”及“信息處理行為”兩個限定條件。
四、民法與個人信息保護法的適用關(guān)系
《民法典》人格權(quán)編第六章“隱私權(quán)和個人信息保護”中第1034條至第1039條是對《民法總則》第111條的具體規(guī)定,建立在私法上的“信息處理關(guān)系中的自主利益”之上而構(gòu)建。其中第1034條對個人信息的概念進行了定義及一般列舉,明確了個人信息“識別性”的核心特征,并規(guī)定了和隱私權(quán)的適用關(guān)系;第1035條是處理個人信息的原則性條款,另外該條還對處理的條件做出了規(guī)定,包括了“知情同意”“透明公開”“目的限定”及合法性等。第1036條為行為人(信息處理者)的抗辯事由,列舉了多種不承擔(dān)民事責(zé)任的情形。第1037條明確了自然人(信息主體)的權(quán)利,包括“查閱、復(fù)制、異議更正、刪除”等。第1038條從信息處理者的義務(wù)角度明確了信息處理的規(guī)則,包括不得泄露、篡改,未經(jīng)同意不得非法提供、安全保障義務(wù)和報告義務(wù)等。第1039條是國家機關(guān)及其工作人員(公職人員)收集處理個人信息的特殊規(guī)定。從《民法典》關(guān)于個人信息的條款可以看出,立法者已經(jīng)對個人信息的內(nèi)涵、個人信息的解釋、個人信息的收集使用邊界等問題形成了相對完善的規(guī)范。
問題在于,《民法典》中的個人信息保護條款與即將出臺的《個人信息保護法》中的相應(yīng)條款是何關(guān)系?人格權(quán)編對于建構(gòu)個人信息保護規(guī)范體系的意義何在,民法是否可以作為個人信息保護法的立法依據(jù)或者上位法?正在制定的《個人信息保護法》是否要與《民法典》保持高度一致呢?如果不一致,應(yīng)當(dāng)優(yōu)先適用哪部法律?《個人信息保護法》出臺在即,這些問題的解決迫在眉睫。
有學(xué)者認為,《個人信息保護法》并非《民法典》之特別法,而是一部對個人信息保護進行全面規(guī)范的兼具公法與私法屬性的綜合性法律。 也有學(xué)者則認為,因為個人信息保護具有民事權(quán)利屬性,個人信息保護法屬于民法特別法。 筆者以為,個人信息主體利益應(yīng)當(dāng)視作基本權(quán)利來對待,而民法僅作為保護民事權(quán)利的法律,恐怕難當(dāng)保護基本權(quán)利之重任。不可忽略的是,民法作為一種組織社會的工具,是通過對沖突的利益關(guān)系設(shè)置相應(yīng)的協(xié)調(diào)規(guī)則來實現(xiàn)自身調(diào)控社會關(guān)系的功能。 王軼教授將現(xiàn)代意義上的民法分為強式意義上的平等對待及在特定領(lǐng)域中的弱式意義上的平等對待, 后者比如《消費者權(quán)益保護法》(以下簡稱《消保法》和《勞動法》)。筆者以為,在個人信息保護和利用領(lǐng)域理由亦同,實際上信息能力不平等的主體之間的利益關(guān)系——信息處理關(guān)系也屬于弱式意義上的平等對待,從目的論,個人信息保護法是為了平衡主體之間的強弱地位(這里的強弱不僅僅是經(jīng)濟上的,主要是信息不對稱),是類似于《消保法》和《勞動法》的政策型特別民法,追求“作為公平的平等”,法律賦予弱勢的信息主體以特權(quán),實質(zhì)是為了保護理想的自由狀態(tài)。
民法的現(xiàn)代轉(zhuǎn)向,是近代民法的意思自治原則被意思自治與國家的保護性干預(yù)相結(jié)合原則所取代。 《個人信息保護法》是現(xiàn)代民法除《消保法》和《勞動法》之外的新的典范:具有平等地位的群體之間,為了協(xié)調(diào)不同的利益團體、平衡不同的社會力量,立法者代替當(dāng)事人決策做出一定的制度安排, 作為一部管制色彩與自治色彩交相輝映的法律,《個人信息保護法》的立法應(yīng)當(dāng)兼顧自治和管制的平衡,既不給予個人絕對的私人自治權(quán)(個人信息自決權(quán)),也并非完全采取行政法的路徑成為一部行政管理法。于此,《個人信息保護法》中的民事規(guī)范應(yīng)當(dāng)作為民法的特別法來看待。但是,需要注意的是,《個人信息保護法(草案)》并未區(qū)分公、私主體的信息處理者,公權(quán)力機關(guān)處理個人信息的規(guī)范,明顯不屬于平等主體之間的規(guī)范?!秱€人信息保護法》是一部綜合性的法律,信息處理關(guān)系包含了公法調(diào)整和私法調(diào)整兩個部分,但毫無疑問信息主體與私主體的信息處理者在法律地位上依然是平等的,信息處理者在收集處理使用個人信息的過程中必須尊重信息主體的人格完整。
在二法的適用上,與其徒增法律適用的煩惱,不如在《民法典》人格權(quán)編只對個人信息保護作出原則性和轉(zhuǎn)介性規(guī)定,將具體的保護規(guī)范交給個人信息保護法。這才是理想的路徑。申言之,就信息處理關(guān)系中自主利益受損害的認定,通過引介至侵權(quán)編援用保護性法律的規(guī)則,行為不法性則根據(jù)是否違反《個人信息保護法》《網(wǎng)絡(luò)安全法》等規(guī)定來判斷。該路徑理論上有兩點優(yōu)勢。首先,可以保持民法典的穩(wěn)定性和純粹性,信息主體權(quán)利和處理者義務(wù)必然隨著技術(shù)的發(fā)展經(jīng)歷快速的變革,例如,因自動化決策技術(shù)的發(fā)展,歐盟立法中新增了信息主體反對自動化決策的權(quán)利;因搜索引擎可以搜索過時、無關(guān)且不必要的信息,增加了對“被遺忘權(quán)”的規(guī)定。而民法典不宜頻繁修改,很可能對信息時代技術(shù)和人格保護之間的張力和沖突無計可施,反而削弱了法典的權(quán)威性。其次,《民法典》對個人信息保護條款規(guī)定得過細,徒增與即將出臺的個人信息保護法之間適用上的困難,比如個人信息的范圍規(guī)定得不一致、私密信息和敏感信息的關(guān)系難以厘清等問題,反而不利于主體權(quán)益的保護。當(dāng)然,目前《民法典》作為一部根本大法已經(jīng)生效,動輒大動干戈進行修法顯然不符合實際,因此雖然筆者更傾向于該條路徑,但僅從學(xué)理層面進行探討。
第二條路徑是既有規(guī)范體系下的權(quán)宜之計,需要更全面和更精細的設(shè)計。首先,《民法典》中區(qū)分不同的法律關(guān)系保護個人信息。普通個人信息使用關(guān)系中,受到侵害的利益僅限于隱私利益、肖像利益、姓名利益或其他的一般人格利益,并不存在信息處理中的自主利益。而在信息處理關(guān)系中,信息處理中的自主利益應(yīng)當(dāng)受到保護,也即信息主體應(yīng)可施加積極的干預(yù)或控制,來及時參與、反對、修正信息處理行為可能對人格形塑的負面影響。因此,普通個人信息使用行為侵犯權(quán)益,應(yīng)當(dāng)尋求具體人格權(quán)或一般人格權(quán)作為請求權(quán)基礎(chǔ);信息處理行為侵犯權(quán)益,應(yīng)適用個人信息條款,對信息主體的權(quán)利之被侵犯和信息處理者的義務(wù)之不履行進行判斷,同時侵犯如隱私權(quán)、肖像權(quán)、姓名權(quán)、名譽權(quán)等其他權(quán)益的,共同適用(私密信息則優(yōu)先適用隱私權(quán)規(guī)定)。其次,個人信息保護是規(guī)范的體系建構(gòu),僅僅通過《民法典》的6個條文規(guī)定是不充分、不完全的,因此需要通過《個人信息保護法》對《民法典》中的缺漏進行補足,例如,對于主體權(quán)利,《民法典》目前僅規(guī)定了信息主體有“查閱、復(fù)制、異議更正、刪除”的權(quán)利,但是否有被遺忘權(quán)、是否有拒絕自動化決策的權(quán)利,留待個人信息保護法進行論證補充;此外,《民法典》對于信息處理應(yīng)遵循“合法、正當(dāng)、必要”原則,對原則的解釋在《個人信息保護法》中可以有所具體化等。最后,當(dāng)《個人信息保護法》中的民事行為規(guī)范與《民法典》的行為規(guī)范發(fā)生沖突的時候,《個人信息保護法》的民事行為規(guī)范應(yīng)被視為《民法典》的特別條款,根據(jù)特別法優(yōu)于一般法的原則,應(yīng)當(dāng)根據(jù)《個人信息保護法》來判斷行為不法性,只有在《個人信息保護法》中沒有明文規(guī)定時,才適用民法一般條款。
因此,普通個人信息使用行為對個人權(quán)利相對風(fēng)險較低,比如個人生活中的信息交往等,非為信息處理關(guān)系的調(diào)整目標(biāo),僅民法調(diào)整,《個人信息保護法》完全不適用;但是對信息處理關(guān)系中的信息處理行為的規(guī)制,《個人信息保護法》適用優(yōu)先,此外適用《民法典》一般規(guī)則調(diào)整。