2023, Vol. 29
b. 上海交通大学 上海市信息安全综合管理技术研究重点实验室, 上海 200030
b. Shanghai Key Laboratory of Integrated Administration Technologies for Information Security, Shanghai Jiao Tong University, Shanghai 200030, P.R. China
2012年大数据时代的到来,成为与个人信息保护最密切的场景标签。高效能的碎片化信息分析、处理、整合功能,使大数据技术成为撬动个人信息经济效用的智能杠杆。信息的聚合挖掘、算法决策、用户画像、个性化推荐在数字社会习以为常,与之相伴的是,信息滥用与泄露的弊端逐渐显现。国内外个人信息安全事件频霸热搜:支付宝年度账单违法收集使用用户个人信息,“剑桥分析”窃取脸书用户数据操纵政治选举,华住酒店住客信息被“暗网”非法交易,喜达屋宾客预订数据库遭黑客入侵。统计报告显示,截至2022年12月, 我国网民规模达10.67亿[1]。其中,34.1%的网民遭遇网络安全事件,“个人信息泄露”为安全事件重灾区。2020年初新冠疫情爆发,国家迅疾在全国范围内开展积极利用包括个人信息在内的大数据支撑联防联控工作。通过建立传染病大数据监测系统,密切注视疫情动态,准确分析疫情动向,评估疫情风险,确认预警级别,为政府启动预案、高效应对提供科学依据。各地疾病防控机构、基层街道社区、企事业单位等切实负责常规化健康信息登记,对存在高危地区旅居史或出现疑似症状的人员信息进行统计汇报,为联防联控、数据分析、流行病学调查等提供基础支撑。与此同时,各类违法违规信息利用行为曝光,如微信群或新闻报道直接公开有疫区接触史人员的隐私信息。此后,随着防疫健康信息码的功能升级与多应用场景的数据融合,包含了个人真实身份信息、实时健康数据与行踪轨迹等多种敏感个人信息的健康码成为事关人身自由的通关证。部分地方权力滥用所滋生的违法赋码事件再次提醒监管重心应聚焦于个人信息保护。时至2023年,同步于抗疫策略的重大转型,健康码渐次隐退,但与之负载的数据记忆如何消退,尚待一个明确的答案。
对于个人信息保护而言,数据要素市场培育与常态化疫情防控局势,本质并无差别。二者均应当践行公平信息实践,贯彻利益衡量理论,平衡各方主体价值需求。前者关注信息主体的个人信息保护利益与数据控制者的商业利用利益,后者权衡国家机关社会管理的公共利益与公民个体的个人信息保护利益。信息化社会的理性发展亟需在法治化的上层建筑中构建个人信息保护与利用双行并进的共生架构。此时,于彰显个人尊严与人格自由的个人信息而言,在私法体系中,若仅是反复以“自然人的个人信息受法律保护”宣誓表态,难言其能掷地有声。个人信息保护立法首需回应:法律所保护的个人信息,权益层级为何?厘清个人信息权利与个人信息利益的关联与界分,此乃基石。而后需明确权利属性,秉持以人为本,解析宪法基本权利与一般人格权、隐私权与财产权较之具体人格权于个人权益保护所存制度的优缼,此乃精髓。唯有从权利基础正本清源的梳理,才能保证权利体系的构建在逻辑上严谨缜密,在结构上递进有序。
二、个人信息保护的立法比较发端于社会信息化转型之中的个人信息保护法有其独特的嬗变性。新技术的研发与应用在催生新经济的同时,也滋生了新挑战。以欧美为代表的国家开始审视既有法律体系,由此掀起新一轮立法修法浪潮。在此研判国内外立法进程,汲取有益经验,既是与国际规则接轨的转变,也是结合本国国情回应时代需求的表现。
(一) 立法保护模式比较权利模式与行为规制模式均为利益保护的路径之选。权利路径以确权方式将具体利益归属权利主体,行为规制则通过对他人设定特定行为的管控要求来间接保障主体的特定利益[2]。个人信息保护在不同法域均可归纳为两种模式:一是积极确权,二是行为规范。
1. 国外立法保护模式早期欧美国家普遍采纳简约型的积极确权模式,但实践表明其存在结构性缺陷,原由在于立法以抽象概念界定权利易导致权利边界模糊,无法反推并廓清信息开发利用之界限,无法给相对人提供清晰稳定的合规指引。个人信息保护实则停留于“丛林地带”,探索保护方式的转变势在必行,行为规范模式由此应运而生[3]。相较于抽象的确权,行为规范的设计直接以信息收集、利用行为为规制对象,为行为人提供相对清晰的合规指引。同时,为平衡行为自由与权益保护的二元价值,行为规范需设置大量的一般规则与例外条款。即便如此,仍显弹性不足。在行为规范无法穷尽列举或难以通过“原则+例外”条款进行准确的价值平衡和区别对待时,确权模式重新登场。弹性化的权利立法可作为兜底机制,于个案中通过灵活解读法益保护范围来调整行为自由之界限,缓解行为规范的列举负担与僵化难题[4]。至此,欧美实践探索形成了积极确权与行为规范协调配合的保护模式。
具体而言,美国以公平信息实践为原则奠定个人信息保护的立法宗旨,采取“单行立法+行业自律”的立法模式,在公共领域以单行立法的形式调整个人与公权力的法律关系,在商业领域以行业规范的形式约束私主体之间的法律行为。欧盟则秉持个人信息自决的立法理念,将个人信息纳入宪法基本权利的保护范畴,制定统摄公私领域的综合性的个人信息保护法,全面规范个人信息处理的完整生命周期。两者路径依赖的共性即为,结合本国国情与法律传统确立立法的制度根基,同时着重考量法律制度配置与社会经济发展的平衡。差别在于规范技术上,美国直接针对每一项具体的处理行为加以规范,而欧盟通过设置抽象的数据处理概念,建立了个人数据处理的一般规则与例外。同时,将“个人参与”原则细化为保障个人控制个人数据处理不得侵害个人利益的“数据主体权利”。对于数据主体权利的实现以及数据处理者义务的履行,则需要通过行为规范的具体化加以实现[5]。
2. 国内立法保护模式《中华人民共和国民法总则》(简称《民法总则》)出台后,第111条是否确权的问题引发争议,为其所保护的个人信息是应当定性为“民事权利”,还是仅归入“民事权益”,观点各异。权益说认为,该条并未使用权利字眼,故立法并未将其作为一项具体权利[6]。不仅如此,笼统规定个人信息涵摄了立法对个人信息财产利益的认可,为与数据经济发展的配合预留了解释空间[7]。权利说则认为,该条确定了个人信息权以及他人负有不得非法侵犯个人信息权的义务[8]。在隐私权外,确立了自然人对其个人信息享有的民事权利。这既是民事权利的宣示性规定, 也是确权性规定[9]。另有“中立说”认为,基于对条文的文义分析和体系解释所得结论为“得不出唯一解”。权利与权益皆有可能[10]。
笔者认为,法解释学的首要原则,是对任何条款的解释都不能超出法条字面含义可能的范围。以此为基准,“自然人的个人信息受法律保护”之表述宣示了个人信息受保护的基本立场,但其并未明确受保护的具体权利,且作为法律保护的实质性客体,即个人信息承载的人格利益,条文只字未提。因此,仅从条文规范表述尚难证明“个人信息权”已然存在。从立法技术层面分析,《民法总则》有关自然人个人信息受法律保护实属“法源性”、指引性规定。在对个人信息的法律构成、法律效果尚有疑虑但又确信其重要性应予保护之时,作出“法源性”规定,可为其后的法律、法规、规章对此详细规定提供法律依据,为学说、判决的发展提供法律前提。同时,针对个人信息的法律地位、权利属性、行使方式和保护手段以及受侵害时的法律后果,可导向明确构成要件和法律效果的其他法律规范之处,使自然人的合法权益落到实处[11]。此可谓立法一时的权宜之计。而《中华人民共和国民法典》(简称《民法典》)原样照搬,并无益于改变个人信息保护不足的社会现状。对比欧美趋同于积极确权与行为规范的互动配合,我国单一的行为规范模式亟待完善。此后,《中华人民共和国个人信息保护法》(简称《个人信息保护法》)的出台才使得个人信息保护权利化路径逐渐清晰。
相较于个人信息“权利”确立与否的争议,我国个人信息保护的“行为规范”路径逐步完善:以信息处理者的行为规制为目标,制定约束其信息收集、利用的行为规则。针对行为规范的构造,可分为信息获取(收集)、持有(存储)、利用(加工、使用、共享、转让、公开)三个阶段,对其分别设定相应的规范体系。合法性就要求任何处理行为应是对行为规范的合规遵循,否则将构成法律规定的“非法”,进而满足侵权责任法的“违法性”要件,行为规范模式借助于侵权责任法的实施框架走向实践。概而论之,信息在获取阶段应当依法取得,即信息取得应有合法的基础并应遵循适当的程序、采取妥当的方式;信息在持有阶段应确保信息安全,为保持信息的保密、完整、可用,应对依法取得的信息履行安全保障义务,采取措施防止信息的泄漏或丢失。信息在开发利用阶段,不得非法加工、传输、买卖、提供、公开他人个人信息。
(二) 立法实践比较 1. 国外立法实践国外立法实践呈现鲜明的阶段性特征。(1)20世纪六七十年代,计算机的兴起及应用使个人信息保护问题逐渐凸显。国家应对公民档案电子化的早期立法肇始,典型有:1973年瑞典《数据法》、1974年美国《隐私法》、1977年德国《联邦个人数据保护法》、1984年英国《数据保护法》。(2)进入20世纪八九十年代,在经合组织(OECD)和欧盟委员会的推动下,国际规则初步形成并不断发展。代表有:1980年经合组织《隐私保护与个人数据跨境流通指南》、1981年欧洲委员会《关于自动处理个人数据的个人保护公约》、1995年欧洲议会和欧盟理事会《关于涉及个人数据处理中的个人保护以及此类数据自由流动的指令》、2004亚太经合组织《APEC隐私框架》、2013年OECD《隐私框架》(简称《消费者权益保护法》)、2016年欧盟《一般数据保护条例》、2018年欧洲委员会《修订自动数据处理个人保护公约议定书》。(3)同时期,在国际规则的驱动下,各国相继开启立法征程。具体有:1988年爱尔兰《数据保护法》、1992年瑞士《数据保护法》、1993年新西兰《隐私法》、1996年意大利《数据保护法》、1997年希腊《个人数据保护法》、2005年日本《个人信息保护法》、2006年俄罗斯《个人数据保护法》、2010年马来西亚《个人数据保护法》、2011年韩国《个人信息保护法》、2012年新加坡《个人数据保护法》、2012年菲律宾《数据隐私法》、2013年南非《个人信息保护法》、2018年巴西《个人数据保护法》、2019年泰国《个人数据保护法》、印度《个人数据保护法(草案)》、2021年越南《个人信息保护法(草案)》等。
已有立法实践本源可划分为欧盟与美国两大模式,前者将个人信息视作基本权利加以保护,后者建立在隐私权之上。但权利基础的差异不足以模糊双方趋同的价值追求,即法律制度应当实现个人信息安全可控与数据开发利用协同增速。通过域外立法的历史分析可知,个人数据保护制度本质是个人信息正当利用的规则,是个人数据上的主体权利受保护[12]。公平信息实践构成了全球个人信息保护的思想渊源与基本框架,确立了个人信息赋权和施加信息控制者责任的进路[13]。
2. 国内立法实践我国的个人信息保护法律制度已形成多层次、多领域、内容交叉、体系庞杂的法律规范体系。2000年肇始,《全国人民代表大会常务委员会关于维护互联网安全的决定》作为法律规范互联网的开端,以刑事惩戒为主保障网络信息安全。2009年初《刑法修正案(七)》通过,增设出售、非法提供公民个人信息罪与非法获取公民个人信息罪。后《刑法修正案(九)》通过扩大犯罪主体范围与扩充违法行为的方式,将其统一规定为侵犯公民个人信息罪。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》成为立法层面明确个人信息保护要求的法律范本。此后,2013年《电信和互联网用户个人信息保护规定》、2014年《中华人民共和国消费者权益保护法》、2016年《中华人民共和国网络安全法》(简称《网络安全法》)、2018年《中华人民共和国电子商务法》(简称《电子商务法》),分别以电信和互联网服务提供者、一般经营者、网络运营者、电子商务经营者为规范对象,对自然人个人信息保护的基本原则和行为准则分类规制。继2017年《民法总则》单列个人信息保护条款后,2020年《民法典》于人格权编进一步细化个人信息保护规范。但其存在的现实问题是,规范性文件位阶偏低,高位阶法律流于形式或仅设宣示性规定,缺乏具体明确的操作指引。个人信息保护与利用的利益衡量表述不清,凌乱立法现状脱节于司法实践需求。直至2021《个人信息保护法》的生效施行使个人信息保护的专门立法登上历史舞台。
三、个人信息保护的权益层级 (一) 个人信息的界定个人信息保护是否权利化的一个根本性因素是个人信息权利的客体范围[14]。纵观国际社会的立法实践,基本形成以可识别性为核心判定标准的路径共识,如欧盟《一般数据保护条例》、美国《加州消费者隐私保护法》、我国《民法典》对个人信息的定义均采此例[15]。本质是以“识别特定自然人”为最终确定方式。识别标准最先是由学者从隐私与行为研究的角度提出[16],认为信息如果能够识别个人身份,对其获取应征得个人同意。“识别”的标准在于将信息主体从人群中区分出来或者通过某一信息关联到具体个人[17]。我国《个人信息保护法》中个人信息的定义在与已有法律规定保持实质一致的基础上有所扩展。一方面,是内涵的扩张解释。与《网络安全法》关于个人信息的规定采用“识别自然人个人身份”的表述不同,《民法典》采用了“识别特定自然人”的表述,使得识别范畴突破身份限制。《个人信息保护法》一以贯之,同时借鉴欧盟法的规定,在“识别”的基础上新增“关联”标准,两者的结合形成了“与已识别或可识别的自然人有关的各种信息均为个人信息”的法律表述。其中,“有关”的表述并未改变个人信息需要具有可识别性的基本要求,但在一定程度上拓宽了个人信息的范围。因为,从“识别说”的角度界定个人信息时,是从信息本身出发,看是否能够从中找到与特定自然人的关联性。要么是从身份标识符中直接识别到特定自然人,要么是从特征标识符中结合识别特定自然人,仅有满足此两种可识别条件的信息才是个人信息。而从“关联说”界定个人信息,则是从信息主体出发,认为与已识别或可识别的自然人相关的信息就是个人信息[18]。此时,对于个人信息的认定一步到位,是主体辐射下的信息全集。对于“已识别的自然人”,是一种特定自然人已被识别、区分于他人的事实状态。而如何判断是否属于“可识别的自然人”,即特定自然人是否存在可以被识别的可能性,则又需要回到信息本身,从信息内容中找寻线索是否足以直接或相互结合识别出特定自然人。《个人信息保护法》将识别与关联两种判断路径均囊括在个人信息的法律定义之中,依据不同的主体状态适用不同的分析方法,使得个人信息的界定有章可循。另一方面,是外延的开放解释。区别于此前立法的概括+列举模式,采用纯概括式定义将使符合可识别性要素的信息在开放状态下均可归入个人信息范畴,法律客体的外延宽泛。
法律实践方面,识别标准的动态性使得个人信息成为一个抽象的集合体属性的法律概念。而作为法律保护的“启动键”,法律适用的逻辑基础应是对个人信息的准确理解并划定其范围,这就使得如何界定个人信息成为法解释学的首要任务。但遗憾的是,《个人信息保护法》针对个人信息的构成要素不甚明晰。对比欧盟第29条数据保护工作组曾发布《关于个人数据概念的第4/2007号意见书》[19]就如何理解《欧盟数据保护指令》中的“个人数据”予以解释说明。首先,信息主体限定于生存的自然人。只有生存自然人才具有作为主体的信息自决能力,会因其个人信息的不当处理遭受人格尊严与自由受侵害的威胁,并依其自由意志参与信息处理活动。其次,是可识别特定自然人的信息。在确定某一自然人是否可被识别时应考虑他人可用于直接或间接识别该自然人的所有合理方式。确定某一方式是否可能被合理地使用,是一个相对场景化的具体判断,应考虑所有客观因素,如识别的成本和时间,处理数据所采用的技术以及技术更新。最后,应是与个人存在关联性的信息。确定某一信息是否与自然人有关时应当考虑信息的内容、目的和结果。
由此可见,个人信息的内涵与外延伴随信息技术的更新迭代不断拓展延伸。其中,“识别”属实质要素,需结合识别的判断基准、信息相关性、识别可能性三方面予以判断。而“记录”属形式要素,没有记录在载体之中的信息不是个人信息[20]。个人信息的认定并非像物一样稳定,而是随着拥有数据的主体、使用场景、数据保存期限、技术发展而变化,这就决定了个人信息界定的场景性和动态性[21]。此类理论的核心与国外学者提出的“开放式标准”[22]一致,是否为个人信息需结合应用场景和社会准则动态认定,不可静态地给出绝对有无的结论[23]。一项事实是否构成个人信息,应关注信息所表达的内容以及这些内容对信息接受者的影响,从信息接受者对现有信息能否识别出特定主体的角度甄别个人信息的具体范围,便可以落实到特定化处理场景中具体的每一项信息类别之上,这样即便是个人信息的定义宽泛,但具体问题具体分析的思路值得重视。这也为个人信息的商业利用提供了合法性基础,即在具体场景中确定信息关系以勾勒个人信息的具体边界[24]。通过司法实践中灵活地利益衡量过程完成法律规则的适用,最终以一种宽严相济的解释路径,使自然语境中泛在的个人信息限缩为法律层面承载法益保护需求的个人信息。
(二) 个人信息保护:从“民事权益”到“民事权利”的升级民事利益是民事主体之间为实现一定需求而发生的人身关系或财产关系。民事权利则是经立法程序将特定利益赋予法律之力以确保民事主体利益最大化,是为法律所承认的类型化私人利益。我国法律保障民事利益的方式有三:一是以列举的形式明确规定为权利。如《民法典》中明确规定的人格权、物权、债权、知识产权、继承权以及股权等。二是以概括的方式作法益保护。如《民法典》第16条对于胎儿利益的保护。三是对于用权利还是用法益保护的规定不明确。如隐私的保护,最初以保护名誉权的方式间接保护,而后采用“隐私利益”的直接保护,直至《中华人民共和国侵权责任法》(简称《侵权责任法》)确定为“隐私权”。故,依法律条文的具体规定,民事利益可分为三种类别:权利保护的民事利益,法益保护的民事利益,不受权利和法益保护的民事利益[25]。自然人对个人信息享有应当受法律保护的利益,该利益是指自然人享有的防止因个人信息被非法收集、泄露、买卖或利用进而导致人身财产权益遭受侵害或人格尊严、个人自由受到损害的利益[26]。《民法典》以原则性规范表达自然人的个人信息受法律保护,既未使用“个人信息权”,也未使用“个人信息利益”,这使个人信息进入兜底性的“其他合法权益”范畴,并入“法律没有明确规定为权利抑或法益”之列。在数字经济时代的新型法律关系中,这种不明确的立法状态使各方主体对兼具多重利益属性的个人信息保护任重道远。
聚焦个人信息权利化的可行性分析,有部分学者提出有益见解。吕炳斌认为,个人信息与知识产权的客体类似,均是特定的信息,其权利不能架构在占有的基础上,不是对客体圆满状态的控制。可借鉴知识产权的“行为规制权利化”构建路径[27]。王成认为,对个人信息采取间接保护抑或法益保护均难完整涵盖利益范畴,权利化方式更符合我国立法需求与司法实践。个人信息权可以嵌入既有人格权规范体系中,实现法律体系的内在和谐[28]。叶名怡认为,个人信息权符合“权益区分三标准”。信息主体对其个人信息享有的究竟系利益亦或权利,取决于此种利益的重要性与成熟度。依德国法理论,“同时具备归属效能、排除效能和社会典型公开性的,为一种侵权法上的权利,反之则只能归于一种利益”[29]。个人信息的利益内容清晰确定,并可归属于特定主体,且排除他人非法干涉,同时还能通过法律创设可识别的法律地位,三项标准均已满足,应当认可为一种民事权利[30]。程关松提出,通过权利方式保护个人信息是一种立法趋势。立法宜以“人格”要素、“人格性”要素、“非人格性”要素作为客观分类标准,建立一个以原则性框架法为统摄,以公法为依托、私法为主干、社会法为补充的权利话语体系。在私法上建立以人格权法为基点、财产权法为增长点、合同法为着力点、权能配置为重心、侵权法为保障的私法体系[31]。学界对于个人信息保护民事权利基础讨论旨在证成一项新的个人信息权并将其融入人格权体系之中[32]。不同于财产权以占有方式的绝对排他,个人信息的社会属性使其应能为他人合理使用,个人的独占性控制近无可能,其享有的应是一种法律上的支配利益 。个人信息权的支配控制权并非是对个人信息的全面控制,而应是对特定类型个人信息使用行为的控制[33]。个人有权决定其个人信息是否被收集使用以及在何种范围内、以何种方式收集使用[34]。
《民法典》一方面为“个人信息保护”贴上了“人格权益”的标签[35];另一方面,却在其法律规则设计中贯彻权利思维。此点可通过对个人信息处理者法律“义务”与“责任”条款的规范分析予以论证[36]。首先,处理个人信息应征得该自然人同意的法律义务在逻辑结构上对应于个人同意与否的决定权。此种决定作为一种“权力”,既是个人针对其个人信息的支配力,也是针对是否形成信息处理法律关系的控制力[37]。其次,在该自然人同意的范围内合理实施的处理行为免于承担民事责任的逻辑前提便是个人对其个人信息享有私权利益,他人应予以尊重且不得侵犯。同意作为权利人许可,发挥行为正当化效力[38]。可见,《民法典》通过限定个人信息处理合法基础与免责事由的构成要件,将权利嵌入个人信息处理规则之中,实属一种迂回确权路径。
笔者认为,从理论完善度、实践需求性、比较法的可借鉴性三个方面认识,个人信息保护已经具备从“民事权益”升级为“民事权利”的现实条件:(1)理论层面确认个人信息权的前提条件成熟。民法确认某种利益可赋予其权利的外衣时,需要具备两个条件:其一,该民事利益具有自身独立性;其二,该民事利益与其他利益可明确界分[39]。《民法典》单章规定“隐私权与个人信息保护”,就此个人信息利益的独立、与隐私利益的区分已为立法确认。个人信息本身具有的身份识别性,使其可勾勒出个人人格形象。作为信息主体人格的外在标志,个人信息化形象既能彰显信息主体的人格尊严和自由,也蕴含被充分发掘与利用的商业价值[40]。此时,作为权利客体的信息主体人格利益与商业利用的财产性利益融合一体,法益特殊性凸显。(2)实践层面保护个人信息利益的需求紧迫。面对纷繁复杂的侵权场景,目前的利益保护主要通过隐私权实现,成效微弱。隐私权作为精神性人格权,是一种消极的、排他的、防御性的权利,重心在于防范隐私被披露。在受侵害之前,个人无法积极主动地行使权利;而受侵害之时,只得请求他人停止侵害或排除妨碍,并采用精神损害赔偿的方式加以救济。个人信息权作为集人格利益与财产利益于一体的新型人格权,具备积极的、排他的、能动的控制与利用权能。权利受侵害之时,可请求行为人停止侵害,除采用精神损害赔偿的方式外,也可寻求财产损失救济[41]。人格要素中最基本的自由和尊严,是人在数字社会中的存在基础,也是个人信息权中最为核心的要素[42]。个人信息权的配置可实现对精神性人格利益与财产性人格利益的双重保护。(3)比较法上权利化保护模式的国际环境形成。美国以宽泛的隐私权保护个人信息。隐私一词带有信息、身体、财产和决定等方面的含义,是包括姓名、肖像、声音等其他人格利益在内的广义的隐私概念[43]。其保护内容涵盖人格尊严、人格独立及人格自由。欧洲将个人信息作为独立的权利对待,如德国的信息自决权,欧盟的宪法性基本权利。欧美立法的相同之处在于均以“公平信息实践原则”为基础发展出“个人信息自主控制”模式[44-45],旨在授权信息主体控制有关个人信息,防止不公平和损害性的个人信息使用[46]。二者的差别在于赋权程度不尽相同。欧盟是严格的个人信息自主控制模式,凡未允许皆禁止。美国反之,凡不禁止皆自由。这与其经济结构的差异不无关系,但整体上,个人信息的确权保护模式已成为现代社会发展的主流趋势。唯有在权利体系下,清晰的权属界定、规范的收集使用、有序的自由流通、合理的报酬分配,才是实现个人信息利益最大化的最佳路径。
四、个人信息保护的权益属性 (一) 个人信息权属性的学理辨析明确个人信息保护的权利属性对个人信息保护立法意义深远,直接影响法律架构的建立。有关探讨,见仁见智:(1)宪法人权说(基本权利说)。多见于国际性或区域性条约之中,美国的宪法隐私权、欧洲的人权保护均有此意。我国也有持宪法基本权理论者[47]。(2)物权说或所有权说。其认为个人信息有财产价值,是特殊的物权客体,即无体物[48]。每个人都拥有对其个人信息的所有权,只要不与法律和公共利益相抵触,所有权权能均可实现[49]。(3)财产权说。在信息记录电子化初期,以欧美财产制度的完备性为产生契机,个人有权控制与其相关的信息,享受法律为财产提供的全套保护[50];在处置个人信息时可适用限制危险商品的方式予以规制[51];财产制度有益于交易效率的提高[52]。进入信息时代,个人信息因潜在的商业价值应当被赋予财产权保护[53]。(4)复合性权利说。其认为个人信息权既非人格权,也非财产权,是一种独立的复合性权利,具有人格和财产的双重属性[54]。(5)框架权说。其将个人信息权认定为概括性、描述性的概念,指称以不同强度来保护的价值综合体,是众多具体个人信息权利的集合[55]。(6)一般人格权说。其认为个人信息所体现的利益是人格尊严、人身自由与完整等基本利益,属一般人格权范畴[56]。(7)隐私权说。其认为个人信息属隐私权客体,权利内容包括私生活不受干扰与信息自主[57]。(8)具体人格权说。其主张在人格权法中明确个人信息权,将其作为独立的具体人格权,既保护个人信息的人格利益,也保护财产利益[58]。
纵观权利学说演变,从宏观、抽象到一般、具体的细化,映射出个人信息绝对保护向保护与利用并举理念的转变。个人信息承载人格利益与财产利益双重属性,不可简单定论其为人格权或财产权。辩证地予以分析,宪法基本权利的定位作为权利受保护的基础条件,有待向部门法的权利转化。物权说或所有权说、财产权说以及组合型的复合权利说均忽略了人格利益的价值本位和优于单一财产权的人格权商品化发展理论。个人信息的财产利益依附于人格利益,具有派生性。尽管其核心为人格利益,而非财产利益,但经商品化或公开化后的人格利益,可为他人利用,包括为商业使用[59]。个人信息所具有的潜在商业利用价值,根源于该生产要素蕴含的人格特征,这在本质上属于人格权的客体。而人格特征的商业化使用,表现为人格权的商品化,带来的财产利益构成人格权的财产部分,但该财产利益并非独立财产权。此外,财产权理论亦无力解决数据交易中的个人信息保护难题:交易双方的信息地位不平等,交易对价难以公允;在初次交易完成后,信息主体难以限制市场参与者自由处分其个人信息,个人信息的任意流动可能变得难以控制。将个人信息作为单纯的财产,当其受到侵害时,个体差异导致计量标准难以统一规定,实际的损害赔偿数额难以计算。而框架权说徒增虚权,本质类似于一般人格权,未界分权利与权能的关联。“人格尊严”在理论上被称为“一般人格权”,是人格权利一般价值的集中体现[60]。一般人格权说削弱了个人信息权的独特性。其具体适用依赖于对其内容的解释,在法律没有明确规定的情况下,实践中往往会出现解释的模糊和适用的混乱[61]。英美法系的隐私权说同比大陆法系的一般人格权说。权利保护的客体与社会发展变迁下人格利益保护需求息息相关,随着时代变迁和需求变化不断充盈其内涵,逐步从消极防御权转化为积极利用权。隐私权理论从“独处权说”到“有限接近自我说”再向“个人信息控制权说”演进[62]。其保护范围包括生育自主、家庭自主、个人自主、信息隐私四大方面[63]。显见,大陆法系中从属于人格权的隐私权概念与英美法系的隐私权概念完全不能等同。中国语境中的隐私权属保护隐私信息的具体人格权,其与个人信息在内涵外延、权能属性、使用价值、保护方式等诸多方面差异性显著[64]。相较之下,具体人格权属性优势凸显。
(二) 个人信息保护:具体人格权定性之最优解自然人的个人信息是其与生俱来并在社会发展中不断形成的各种信息,个人信息的身份识别性与个人人格密不可分。信息化人格形象的塑造与发展体现人格尊严与人格自由。人格权作为一个不断发展的权利集合,是践行“以人为本”的关键环节。为切实保障数字经济时代的发展及个人信息所承载的主体人格利益与商业化财产利益,将个人信息权益明确定性为具体人格权,既是构建人格权权利体系的立法要求,也是充分保障数据要素市场下实践人格利益保护及其财产化的理性经济人需求。
首先,作为个人信息权保护对象的个人信息,内涵高度抽象,外延种类宽泛。当前的立法实践与理论通说,均以识别路径定义个人信息,但从具体细节考究,仍有区分。欧盟以人权保护为导向,采用“个人数据(Personal Data)”的概念,个人信息范围的界定较为宽泛,强调个人信息的抽象性保护。美国注重对信息数据的合理利用,使用“个人可识别信息(Personal Identifiable Information,PII)”的概念,个人信息范围的界定相对狭窄,采用列举个人信息类型的PII还原主义。我国立法借鉴欧盟扩张主义的识别路径。凡与自然人身份识别有关的信息,均可认定为个人信息。其中既包括已被具体人格权所保护的姓名、肖像等直接个人信息,也包括尚处于“权益”状态的电话号码、通信地址等间接个人信息。随着大数据技术的深入应用与发展,非个人信息向个人信息聚合转化,个人信息的内容将继续丰富,其不宜被认定为其他权利分散涉列,而应当确立一项独立的具体人格权,对动态转化中的个人信息予以概括性的全面保护。同时,考虑到个人信息的流通具有公共性价值,对个人信息的宽窄界定还应当在具体场景中予以把握。
其次,实现个人信息所承载的精神性人格利益与财产性人格利益协同发展,需确立具体人格权以建立有效的多层保护机制。人格标识的完整性与真实性关系人格尊严,体现精神性人格利益。人格形象的商业化利用彰显经济自主,关系人格自由,体现财产性人格利益[65]。人格权的财产利益为人格权所固有的,而非独立的权利[66]。基于双重利益属性,具体人格权的选择既可最大限度地维护人格尊严,促进人格平等,同时亦未忽视对其财产利益的保护。《侵权责任法》第20条规定的侵害人身权益的财产损失赔偿规则同样适用于个人信息保护。同时,该法第22条规定的精神损害赔偿规则,较于财产权损害赔偿的差别化计算,更有利于对权利人的全面救济。
最后,个人信息权庞大而成熟的权能体系和规则范式足以塑造出鲜活的具体人格权。比较法视域下,不同国家或地区在个人信息权具体内容设定上大同小异。典范如欧盟《一般数据保护条例》第3章“数据主体的权利”的设置。有别于我国传统立法秉承的具体行为规制模式,《个人信息保护法》在其第4章对“个人在个人信息处理活动中的权利”进行了列举式规范。此举可谓是立法对权利路径的初探。与此同时,有关个人信息权具体内容的探讨活跃于学术领域。主张个人信息权是自然人依法对其个人信息享有的支配、控制并排除他人非法侵害的权利的学者们不谋而合地构造了范畴相似的权利体系:控制权、知情权、同意权(决定权)、访问权(查询权)、更正权、可携带权、封锁权(限制处理权)、反对权、删除权(被遗忘权)[67-68]。诸项权能内涵清晰明确,逻辑体系完整,难被其他权利吸收或概括。根本而言,正是基于具体人格权的体系展开,丰富的权能配置才可实现个人信息全生命周期的法律利益保护。
五、结语全面建立个人信息保护制度是我国完备自身法律体系的必然要求。伴随着我国个人信息保护法律规范的制定与完善,作为基本权利的个人信息保护在基本法的价值辐射功能下,实现了向部门法的权利延伸。在此过程中,协调好《民法典》与《个人信息保护法》有关个人信息保护的权利衔接,既涉及对立法技术的理解,也是个人信息确权保护路径逐步清晰的过程。起初《民法典》以宣示性的法律表达,精简地完成了个人信息保护顶层设计,原则性规范突出,有明显的包容式立法用意,这为后续专门法的制定出台与灵活适用留下了自由空间。作为立法的逻辑起点,应准确定位法律所保护的利益层级,当下私法体系中的个人信息保护具备从“民事权益”上升为“民事权利”的理论要件、现实需求以及国际环境。辨析个人信息权的法律属性,其外延宽泛的保护对象、双重属性的权利客体、内容丰富的权利体系,使其具备成为具体人格权的可行性、必要性。这亦是人格权发展的自然之法。权利作为法律赋予个人保护其自身利益的制度工具,应根据不同信息实践活动可能出现的个人权益侵害风险配置权利类型。在此基础上,结合行为规制模式下,个人信息处理规则的细化,完善个人信息权利救济机制,建立个人信息保护专门机构并明确其职责权限,最终以一种为信息主体赋权与信息处理者行为规制相结合的权利义务设计实践立法已达至纲举目张之效用。
| [1] |
中国互联网络信息中心. 第51次中国互联网络发展现状统计报告[R/OL]. (2023-03-02)[2023-06-25]. https://www.cnnic.net.cn/NMediaFile/2023/0322/MAIN16794576367190GBA2HA1KQ.pdf.
|
| [2] |
叶金强. 《民法总则》"民事权利章"的得与失[J]. 中外法学, 2017(3): 645-655. |
| [3] |
OHM P. Broken promises of privacy: Responding to the surprising failure of anonymization[J]. UCLA Law Review, 2010, 57: 1701-1777. |
| [4] |
宋亚辉. 个人信息的私法保护模式研究: 《民法总则》第111条的解释论[J]. 比较法研究, 2019(2): 86-103. |
| [5] |
高富平, 尹腊梅. 数据上个人信息权益: 从保护到治理的范式转变[J]. 浙江社会科学, 2022(1): 58-67, 158. |
| [6] |
王利明. 中华人民共和国民法总则详解[M]. 北京: 中国法制出版社, 2017: 465.
|
| [7] |
龙卫球, 刘保玉. 中华人民共和国民法总则释义与适用指导[M]. 北京: 中国法制出版社, 2017: 404.
|
| [8] |
杨立新. 中华人民共和国民法总则要义与案例解读[M]. 北京: 中国法制出版社, 2017: 413.
|
| [9] |
陈甦. 民法总则评注(下册)[M]. 北京: 法律出版社, 2017: 785.
|
| [10] |
张新宝. 《民法总则》个人信息保护条文研究[J]. 中外法学, 2019(1): 54-75. |
| [11] |
崔建远. 我国《民法总则》的制度创新及历史意义[J]. 比较法研究, 2017(3): 180-192. |
| [12] |
高富平, 王苑. 论个人数据保护制度的源流: 域外立法的历史分析和启示[J]. 河南社会科学, 2019(11): 38-49. |
| [13] |
丁晓东. 论个人信息法律保护的思想渊源与基本原理: 基于"公平信息实践"的分析[J]. 现代法学, 2019(3): 96-110. |
| [14] |
程关松. 个人信息保护的中国权利话语[J]. 法学家, 2019(5): 17-30, 191-192. |
| [15] |
彭诚信. 重解个人信息的本质特征: 算法识别性[J]. 上海师范大学学报(哲学社会科学版), 2023(3): 68-81. |
| [16] |
彭诚信, 史晓宇. 个人信息识别标准的域外考察和在我国的转进: 基于美欧国家制度互动的分析[J]. 河南社会科学, 2020(11): 2-11. |
| [17] |
范为. 大数据时代个人信息定义的再审视[J]. 信息安全与通信保密, 2016(10): 70-80. |
| [18] |
程啸. 论《民法典》与《个人信息保护法》的关系[J]. 法律科学(西北政法大学学报), 2022(3): 19-30. |
| [19] |
ARTICLE 29 DATA PROTECTION WORKINGPARTY. Opinion 4/2007 on the concept of personal data, 01248/07/EN WP 136[DB/OL]. (2007-06-20)[2023-06-25]. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf.
|
| [20] |
韩旭至. 个人信息概念的法教义学分析: 以《网络安全法》第76条第5款为中心[J]. 重庆大学学报(社会科学版), 2018(2): 154-165. |
| [21] |
齐爱民, 张哲. 识别与再识别: 个人信息的概念界定与立法选择[J]. 重庆大学学报(社会科学版), 2018(2): 119-131. |
| [22] |
SCHWARTZ P M, SOLOVE D J. The PII problem: Privacy and a new concept of personally identifiable information[J]. New York University Law Review, 2011, 86: 1814-1894. |
| [23] |
ROSE J, DEAN D, KALAPESI C. Unlocking the value of personal data: From collection to usage[J]. World Economic Forum-Industry Agenda, 2013. |
| [24] |
丁晓东. 个人信息权利的反思与重塑论个人信息保护的适用前提与法益基础[J]. 中外法学, 2020(2): 339-356. |
| [25] |
杨立新. 民法总则[M]. 北京: 法律出版社, 2017: 171.
|
| [26] |
程啸. 民法典编纂视野下的个人信息保护[J]. 中国法学, 2019(4): 26-43. |
| [27] |
吕炳斌. 个人信息权作为民事权利之证成: 以知识产权为参照[J]. 中国法学, 2019(4): 44-65. |
| [28] |
王成. 个人信息民法保护的模式选择[J]. 中国社会科学, 2019(6): 124-146, 207. |
| [29] |
于飞. 侵权法中权利与利益的区分方法[J]. 法学研究, 2011(4): 104-119. |
| [30] |
叶名怡. 论个人信息权的基本范畴[J]. 清华法学, 2018(5): 143-158. |
| [31] |
程关松. 个人信息保护的中国权利话语[J]. 法学家, 2019(5): 17-30, 191-192. |
| [32] |
程啸. 论个人信息权益[J]. 华东政法大学学报, 2023(1): 6-21. |
| [33] |
曹博. 个人信息权绝对权属性的规范依据与法理证成: 从微信读书案切入[J]. 暨南学报(哲学社会科学版), 2022(7): 16-28. |
| [34] |
王利明. 和而不同: 隐私权与个人信息的规则界分和适用[J]. 法学评论, 2021(2): 15-24. |
| [35] |
王苑. 私法视域下的个人信息权益论[J]. 法治研究, 2022(5): 37-47. |
| [36] |
秦倩. 个人信息保护权利基础的体系性理路: 以"个人信息权"概念表达的统一为视角[J]. 宁夏社会科学, 2022(5): 72-81. |
| [37] |
吕炳斌. 论《民法典》个人信息保护规则蕴含的权利: 以分析法学的权利理论为视角[J]. 比较法研究, 2021(3): 40-54. |
| [38] |
程啸. 论个人信息处理中的个人同意[J]. 环球法律评论, 2021(6): 40-55. |
| [39] |
杨立新. 个人信息: 法益抑或民事权利: 对《民法总则》第111条规定的"个人信息"之解读[J]. 法学论坛, 2018(1): 34-45. |
| [40] |
张新宝. 从隐私到个人信息: 利益再衡量的理论与制度安排[J]. 中国法学, 2015(3): 38-59. |
| [41] |
王利明. 论个人信息权在人格权法中的地位[J]. 苏州大学学报(哲学社会科学版), 2012(6): 68-75, 199-200. |
| [42] |
彭诚信, 杨思益. 论数据、信息与隐私的权利层次与体系建构[J]. 西北工业大学学报(社会科学版), 2020(2): 79-89. |
| [43] |
阿丽塔. L. 艾伦, 理查德. C. 托克音顿. 美国隐私法: 学说、判例与立法[M]. 冯建妹, 石宏, 等译. 北京: 中国民主法制出版社, 2004: 5-20.
|
| [44] |
SCHWARTZ P M. Privacy and democracy in cyberspace[J]. Vanderbilt Law Review, 1999, 52: 1607-1702. |
| [45] |
SOLOVE D J. Introduction: privacy self-management and the consent dilemma[J]. Harvard Law Review, 2013, 126: 1880-1903. |
| [46] |
CATE F H. The failure of fair information practice principles[J]. Consumer Protection in the Age of the Information Economy, 2006, 342-379. |
| [47] |
张翔. 个人信息权的宪法(学)证成: 基于对区分保护论和支配权论的反思[J]. 环球法律评论, 2022(1): 53-68. |
| [48] |
张莉. 个人信息权的法哲学论纲[J]. 河北法学, 2010(2): 136-139. |
| [49] |
汤擎. 试论个人数据与相关的法律关系[J]. 华东政法学院学报, 2000(5): 40-44, 69. |
| [50] |
MILLER A R. The assault of privacy[M]. Ann Arbor, Michigan: University of Michigan Press, 1971: 211.
|
| [51] |
WESTIN A F. Privacy and freedom[M]. New York: Athenum, 1967: 324-325.
|
| [52] |
POSNER R A. The economics of justice[M]. Harvard University Press, 1981: 235.
|
| [53] |
张融. 论个人信息权的私权属性: 以隐私权与个人信息权的关系为视角[J]. 图书馆建设, 2021(1): 93-104. |
| [54] |
张素华. 个人信息商业运用的法律保护[J]. 苏州大学学报, 2005(2): 36-39. |
| [55] |
任龙龙. 个人信息民法保护的理论基础[J]. 河北法学, 2017(4): 181-192. |
| [56] |
马俊驹. 个人资料保护与一般人格权(代序)[M]//齐爱民. 个人资科保护法原理及其跨国流通法律问题研究. 武汉: 武汉大学出版社, 2004: 1.
|
| [57] |
王泽鉴. 人格权的具体化及其保护范围·隐私权篇(中)[J]. 比较法研究, 2009(1): 1-20. |
| [58] |
张里安, 韩旭至. 大数据时代下个人信息权的私法属性[J]. 法学论坛, 2016(3): 119-129. |
| [59] |
彭诚信. 数据利用的根本矛盾何以消除: 基于隐私、信息与数据的法理厘清[J]. 探索与争鸣, 2020(2): 79-85. |
| [60] |
陈现杰. 《关于确定民事侵权精神损害赔偿责任若干问题的解释》的理解与适用[J]. 人民司法, 2001(4): 12-15. |
| [61] |
谢远扬. 信息论视角下个人信息的价值: 兼对隐私权保护模式的检讨[J]. 清华法学, 2015(3): 94-110. |
| [62] |
杨咏婕. 个人信息的私法保护研究[D]. 吉林: 吉林大学, 2013.
|
| [63] |
王泽鉴. 人格权法: 法释义学、比较法、案例研究[M]. 北京: 北京大学出版社, 2013: 187, 209.
|
| [64] |
彭錞. 再论中国法上的隐私权及其与个人信息权益之关系[J]. 中国法律评论, 2023(1): 161-178. |
| [65] |
张新宝. "普遍免费+个别付费": 个人信息保护的一个新思维[J]. 比较法研究, 2018(5): 1-15. |
| [66] |
韩强. 人格权确认与构造的法律依据[J]. 中国法学, 2015(3): 138-158. |
| [67] |
陈星. 论个人信息权: 定位纷争、权利证成与规范构造[J]. 江汉论坛, 2022(8): 138-144. |
| [68] |
汪庆华. 个人信息权的体系化解释: 兼论《个人信息保护法》的公法属性[J]. 环球法律评论, 2022(1): 69-83. |