下载掌阅APP,畅读海量书库
立即打开
个人信息(personal information)是指与特定个人相关联的,反映个体特征的,具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面的信息。自计算机诞生之后,信息技术获得了空前的发展,20世纪80年代开始的全球信息化运动,使人类进入了一个信息社会(information society),在此背景下,个人信息成为一项重要的社会资源。实践中,侵害个人信息权的现象时有发生,特别是在网络环境下,个人信息权的保护显得尤为必要。为此,我国正在制定中的《人格权法》有必要将个人信息权作出专门规定。本文拟对此展开一些研究。
从比较法的角度来看,对个人信息的保护多采用综合法律部门调整的办法,所涉及的法律并不限于民法。例如,根据欧盟1995年“数据保护指令”,如果有关组织或者机构违反相关法律,不仅要对受害者承担民事赔偿责任,还要对主管机构追究行政法上的责任。2016年欧盟《一般数据保护条例》(GDPR)也沿袭了此种模式。在学理上,也有很多学者认为个人信息权不仅仅涉及民事权益,而且也涉及行政法、宪法,甚至刑法等众多方面的法律制度。例如,在德国,个人信息被上升到宪法上的权利加以保护,通过联邦宪法法院的判例不断加以完善,因此,学者们也往往从宪法的角度,而非民法的角度来讨论这一权利。
在我国,有许多法律和行政法规涉及个人信息的保护,如《刑法修正案(七)》规定,非法利用个人资料,情节严重的,行为人要承担刑事责任
;又如,《政府信息公开条例》第41条规定:“公民、法人或者其他组织有证据证明行政机关提供的与其自身相关的政府信息记录不准确的,有权要求行政机关更正……不属于本行政机关职能范围的,行政机关可以转送有权更正的行政机关处理并告知申请人”。但是,现行立法并未明确个人信息的法律属性,尤其是在民事立法中,并没有从整体上确定个人信息权的民事权利属性,也未全面规定个人信息的保护。在此情形下,民法学界对个人信息权是否是独立的民事权利,也尚未达成共识。笔者认为,个人信息权是否是一种民事权利,不仅事关个人信息的保护机制,还牵涉民事权利体系的构造,尤其关系到在我国未来的民法典中,是否有必要对个人信息权予以全面的确认和保护。
笔者认为,个人信息权是一种独立的民事权利。民事权利本质上是指法律为了保障民事主体的特定利益而提供法律之力的保护,是类型化了的私人利益。简言之,民事权利的核心是一种私益。个人信息指自然人的姓名、性别、年龄、民族、婚姻、家庭、教育、职业、住址、健康、病历、个人经历、社会活动、个人信用、位置信息等足以识别该人的信息,个人信息涉及的范围非常广泛,它既包括个人的可直接识别和间接识别的任何信息,也包括其家庭的相关信息,如配偶、子女的出生年月日、身高、体重、出生地、种族等。
由于个人信息并非有体,因而不能进行物理占有和支配,只能进行法律上的控制。这种控制就体现在对他人非法收集、处理和利用的禁止和排除。对这些个人信息的控制,本身体现的就是一种私益,这是个人信息能够成为民事权益的根本原因。这种私益始终附随于特定的民事主体,只要信息主体存在,那么其个人信息的相关权益就始终受到保护。对个人信息的非法公开、披露等,直接影响到个人生活安宁,是对个人私益的侵害。拥有个人信息的主体是特定的自然人,该主体有权控制个人信息,并排斥他人的非法干涉,这种权利构造与物权以及生命权、姓名权等人格权一样,均属于民法中的绝对权。
实践中,尽管对个人信息采用刑法、行政法等多管齐下的多重保护机制,但并不能影响或改变个人信息权的民事权利属性。众所周知,物权、生命权等也都受法律的多重保护,但不影响它们的民事权利属性。其实,为了全面保护民事主体的利益,在民法之外,通过刑法、行政法乃至社会法来保护民事权利,毋宁说是法律保护的常态表现,这一点在个人信息权中也不例外。在民事立法中,承认个人信息权是一项民事权利并通过民法予以基础性保护,具有如下重要意义。
首先,能准确界定个人信息的权利属性。一方面,个人信息体现的是一种私益,应当将其与公共利益区分开来;另一方面,有关个人信息的争议不仅仅发生在私人之间,也可能发生在私人与公权力之间,但是无论表现形式如何,其侵害的终究是私人的人格权益。将个人信息权界定为民事权利,说明个人信息是一项受法律保护的利益,它不仅需要得到其他民事主体的尊重,更需要国家公权力机构予以尊重,换言之,包含公权力机构在内的所有社会主体均有尊重个人信息的义务。而且,不仅权利主体自身可以采用合法措施保护该项利益,而且公权力机构也应当采取积极措施保障该项权利的实现。此外,个人信息在许多情况下是个人不愿意向他人或者社会公开的信息,它与个人私生活密切相关,是个人事务的组成部分,只要不涉及公共利益,个人信息的私密性应该受到尊重和保护,即使有些个人信息已经被政府或者商业机构收集,也不意味着个人信息可以被任意公开。这一界定显然是民法的任务。
其次,能给受害人提供直接和全面的法律救济。一般认为,个人信息是一种利益,但其是否是一项权利,可能尚有争议。笔者认为,只有确认其为权利,才能够为个人信息提供充分的保护。具体说来,只有通过民事权利的确认,个人信息才能明确进入民法保护机制中,成为《侵权责任法》的保护对象,受害人据此可以要求加害人停止侵害、损害赔偿等,特别是通过与其性质相适应的特殊的侵权责任方式,如删除不当个人信息、更正对个人信息的不当利用等,更有助于消除侵害个人信息的“损害源”。这一点是仅仅作为利益加以保护所不具备的。
再次,能为其他法律保护提供基础。从比较法上来看,德国是在宪法中首先引入了个人信息权,然后才在私法关系中,给予个人信息以保护。而在我国,由于宪法并没有可诉性,所以为了在私法关系中保护个人信息的相关权利,必须首先在民法中加以明确,民法的确认是基础,此后,民事特别法才能够给予补充规定,这样才能够为个人信息权提供全面的保护。
最后,能和其他保护机制相互协力或补充,有利于全面保护个人信息。刑法对个人信息的保护尽管力度最大,但范围狭窄,只有侵害个人信息的行为构成犯罪时,刑法才予以介入,这就导致因为过失泄露个人信息的行为难以被法律追究。而且,刑法对侵害个人信息构成犯罪的规定是粗线条的,仅限于非法获取、出售和非法提供,未涉及非法利用等。而实践中,侵害个人信息还有可能是合法获取但非法利用个人信息的情形,它们均处于刑法救济之外。面对刑法保护的上述欠缺,用民法确认个人信息权,并提供相应的保护措施,由侵害人承担民事责任,在受害人保护方面才更加圆满。还要看到,在实践中,追究刑事犯罪的程序复杂,尤其是个人信息正在受到侵害的情况下,难以为受害人提供便宜、及时、有效的保护,而通过停止侵害等民事责任方式,能够及时制止侵害行为,防止损害的扩大。与此同理,仅仅通过行政管理或行政法的方式,也无法对个人信息进行充分的保护,也需民法保护予以协力。
个人信息权具有特定的权利内涵,这决定了其可以单独作为一种权利进行规定。从比较法上来看,有的国家通过单独立法,有的国家在民法典中予以规定,但都承认了个人信息权。在欧洲,比较流行的观点仍然是将个人信息权作为一项独立的权利对待。 [1] 在美国,虽然在法律上是将其置于隐私权之中的,但也有人认为个人信息权可以作为一项个人基本权利而存在。可以说,个人信息权作为一种权利是现代社会发展的一种趋势。正是因为个人信息权具有民事权利性质,所以决定了必须在未来民法典中对其作出规定。
将个人信息权作为独立的民事权利来对待,民法势必要详细规范权利主体、客体、内容等基本点。只有在明确了这些基本规则之后,才能够为个人信息的保护提供充分的法律基础。
个人信息权作为一项新型的民事权利,在民法上究竟如何确定其性质,也一直存在争议,目前主要有“财产权说”和“人格权说”两种观点。应当看到,个人信息确实具有财产的因素,因为信息资料都蕴含着一定的商业价值,其本身也可以作为财产加以利用。
尤其是在网络环境下,其财产价值更为突出。但笔者认为,个人信息的最主要特征并非为其财产属性,而是人格权益属性。其原因在于:一方面,个人信息具有可识别性,体现了人格特征。大多数个人信息都可以直接表明个人身份,譬如个人的姓名、肖像、性别、民族等。某些个人信息虽然不能直接地表明个人身份,但其可以与其他信息相结合后确定主体的身份,也属于指向某一特定主体的信息,如手机号码、家庭住址、门牌号码、通信地址等。另一方面,在许多情况下,某些机构或者组织收集个人信息,完全不是出于财产利用的目的,而是基于公共利益或者其他的非财产考虑。例如,负责治安和安全的机构收集犯罪嫌疑人的DNA基因信息是以公共秩序、公共安全为目的。在这个意义上,不能将个人信息完全界定为一种财产权。
还应当看到,如果把个人信息作为单纯的财产,当它受到侵害时,就很难计算实际的损害赔偿数额,由于每个人的职业、收入都不同,损害的计量标准难以统一规定。此外,个人信息权本身也很难融入传统财产权体系之中,它既非物权,也非债权,充其量只能作为所谓的无形财产权。但无形财产权的概念本身过于宽泛,将个人信息权纳入其中,会导致其丧失确定性。
笔者认为,个人信息权就其主要内容和特征而言,在民事权利体系中,应当属于人格权的范畴。个人信息权应当被作为一项独立的权利来对待。此种权利常常被称为“个人信息自决权”。该概念起源于德国,最初由德国学者Wilhelm Steinmüller和Bernd Lutterbeck在1971年提出,在1983年的一个判决中被联邦宪法法院正式采用。
所谓的信息自决权(das Recht auf informationelle Selbstbestimmung),在德国法的语境中是指“个人依照法律控制自己的个人信息并决定是否被收集和利用的权利”
。依据德国联邦宪法法院的观点,这一权利是所谓的“基本权利”,其产生的基础为一般人格权。
法律保护个人信息是为了维护个人的人格尊严和人格平等。确认个人对其信息的自主支配,就是要维护个人的人格尊严。如果将个人信息权作为财产权,势必妨害人格的平等性,因为每个人的经济状况不同,信息资料也有不同价值,但人格应当是平等保护的,不应当区别对待。
个人信息权符合人格权的本质特征,因为个人信息与个人人格密不可分,个人信息主要体现的是一个人的各种人格特征。法律保护个人信息权,虽然以禁止披露相关信息为其表现形式,但背后突出反映了对个人控制其信息资料的充分尊重。个人信息权的基础是个人的自决权,就是其自主决定其事务的权利。权利人同意他人搜集、利用或采取何种利用方式,都是权利人控制权的具体表现。
笔者认为,个人信息权不仅应该作为一种独立的权利,而且应该作为一种具体人格权加以保护,具体理由如下。
第一,个人信息权以人格利益为保护对象,具有特定的权利内涵。法律保护个人信息权,禁止非法披露他人个人信息,个人信息权背后突出反映了对个人控制其信息资料的充分尊重。这种控制表现在个人有权了解谁在搜集其信息,搜集了怎样的信息,搜集这些信息从事何种用途,所搜集的信息是否客观全面,个人对信息是否有自我利用或允许他人利用的权利等。
[2]
从内容上看,隐私权制度的重心在于防范个人的私密信息不被披露,而并不在于保护私密信息的控制与利用,这就产生了个人信息权与个人隐私权的分离和独立。个人信息权所指向的对个人信息的控制、支配,是传统隐私权所不能包含的。正是在这个意义上,学者也将其称为“控制自己信息的权利”或“信息自决权”
。
第二,个人信息权的客体具有丰富性,不宜为其他权利所概括,这也决定了应该将其作为独立的具体人格权。一方面,大多数个人信息都可以直接表明个人身份,譬如个人的姓名、肖像、性别、民族等。这些个人信息中的某些部分,如姓名、肖像等,已经形成一种具体的人格权,因此不再需要通过个人信息权的方式单独保护。另一方面,某些个人信息虽然不能直接表明个人身份,但其可以单独或者与其他信息相结合后确定主体的身份,也属于指向某一特定主体的信息,如手机号码、家庭住址、门牌号码、通信地址等。手机号码本身并不必然指向某一主体,因为个人可以改换手机号码,每个人可以同时拥有多个手机号码,但它与其他信息相结合后,就指向某一特定的主体。如果手机号被披露,人们将可能收到大量的骚扰电话或个人的隐私会被暴露,私生活会受到侵犯。个人信息的这些丰富内容也适宜将其作为一项独立的具体人格权加以确认和保护。
第三,将个人信息权确认为一项具体人格权有利于对其提供有效的法律保护。应当承认,个人信息具有财产性和人格性的双重属性,基于此,在对个人信息进行保护的过程中,不能仅仅保护其财产属性方面,而忽视其人格利益层面,反之亦然。笔者认为,将个人信息确认为具体人格权有利于对其实行有效的多层面保护,原因在于:一方面,将其确认为人格权之后,并没有忽视对其财产价值的保护,我国有关立法已经关注到人格权商业化利用现象,并采取了相应的具体规则。如《侵权责任法》第20条针对侵害人身权益造成财产损失的现象确立了“获利视为损失”的赔偿规则,此项规则主要反映了人格权商业化利用的趋势。个人信息利用和人格权商业化利用的情况一样,其遭受侵害后同样可以据此获得财产损失赔偿。另一方面,将其确认为具体人格权,有利于对其采用具体人格权的保护方法,并平等保护每个人的个人信息权,无论是腰缠万贯的富人,还是身无分文的流浪汉,其个人信息都应平等地受到尊重和保护。如果将个人信息权单纯作为一项财产权,当其受到侵害后,在损害赔偿的具体计算方式上势必会根据个人身份的差别而有所区别。另外,在侵害众多人的个人信息时,仅仅要求财产价值的赔偿,其数额往往很小,不利于对加害人进行有效的惩治。将其确认为具体的人格权就可以依据《侵权责任法》第22条的规定,通过精神损害赔偿的方式对受害人进行有效的保护。
第四,确认和保护个人信息权有利于维护人格尊严,促进人格平等。从人格权制度的发展来看,人格权法逐步从物质性的人格权发展到精神性的人格权。过去更多地关注物质属性的人格权,现在则更强调社会属性的人格权。
人格权的类型更加丰富多样,个人信息权正是人格权类型丰富的一种重要体现。一方面,虽然个人信息在财产价值层面可能会有所差别,但从人格的层面看,其一律平等。另一方面,个人信息权也彰显人的人格尊严,现代社会高度的商业化和信息化,使得人们的个人信息受到严重的威胁,个人信息的流转和开发利用,会给当事人的私人生活带来纷扰,也对其人格尊严造成一种贬损,因此,法律承认个人信息权是一种独立的人格权,有助于让权利人获得有效的法律保护。
需要说明的是,在国外,有学者认为个人信息权属于一般人格权。
在我国,也有人持这种见解。事实上,在现行法未明确规定个人信息权之前,为了应对现实中的个人信息保护问题,这种见解有其合理性。从德国一般人格权产生的原因来看,主要是因为《德国民法典》中仅列举了有限的人格权,如姓名、生命、身体、自由等,而未规定隐私等权利,因而,法院有必要以判例的方式对于民法典没有列举的人格权予以保护,一般人格权具有兜底保护的功能。从一般人格权包含的内容来看,它既包含权利,又包含法益。在我国,《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第1条将“人格尊严权”作为精神损害赔偿制度保护的范围。按照起草人的解释,“人格尊严”在理论上被称为“一般人格权”,是人格权利一般价值的集中体现,因此,它具有补充法律规定的具体人格权利立法不足的重要作用。在处理具体案件时,可以将人格尊严作为一般人格权以补充具体人格权。
可以说,一般人格权是对人格利益的概括保护,本身是为了弥补具体人格权的不足,在立法上未对个人信息权作出规定的情况下,通过一般人格权保护个人信息也未尝不是一种保护方式。
不过,一般人格权过于抽象概括,指向不明确,不利于司法裁判的明确和可预期。德国法院直接援引基本法而创设一般人格权概念、扩大具体人格权范围的做法,在法学方法上也受到一些权威学者的批评。他们认为,此种做法超越了法院的职权,加剧了法律的不确定性。
例如,拉伦茨认为,一般人格权在内容上极难确定,故侵害一般人格权不适用民法关于侵权行为的规定。
这意味着,一般人格权虽然有补足具体人格权的作用,但因缺乏明确性和确定性,饱受非议。如果我们无视个人信息权作为具体人格权的限定性,仍然将其作为一般人格权规定,而不是单独地将其确认为具体人格权,它就会更加抽象和不确定,这既不利于对其进行有效保护,也不利于维护人格权体系的完整性。
综观两大法系关于个人信息保护的基本模式和内容可以看出,两大法系存在着明显的差别。在欧洲,主要通过统一立法的形式,区分个人信息权和隐私权,对于各个领域的个人信息收集、处理(包括利用)作出统一的规定。例如,德国等国家都是通过制定统一的立法进行保护的。《德国联邦个人资料保护法》是大陆法系个人信息保护立法的典型代表。该法以一般人格权为基础保护个人信息,以保护个人信息之上的人格权益为宗旨和目的,以信息主体的权利为核心,对个人信息的收集、处理分为国家机关和非国家机关两种模式进行规范。而美国则采取了分散立法的方式
,1974年美国《隐私法》以隐私权保护为基础,通过隐私权对个人信息加以保护。从比较法上来看,以美国法为代表的一些国家主要是采取隐私权的方法对个人信息进行保护。按照Daniel J.Solove和Paul M.Schwartz二人的看法,个人信息本质上是一种隐私,法律上作为一种隐私加以保护,可以界定其权利范围。
[3]
在对个人信息概念的表述上,美国学者也常常从隐私权的角度进行定义,如Solove教授就用侵犯隐私形容在网络中泄露他人信息的行为。
[4]
艾伦也指出:“隐私就是我们对自己所有的信息的控制。”
美国司法实践中,也大多将个人信息作为一种隐私加以保护。
应当承认,个人信息和隐私确有密切关联。一方面,个人信息具有一定程度的私密性,许多个人信息都是人们不愿对外公布的私人信息,是个人不愿他人介入的私人空间,不论其是否具有经济价值,都体现了一种人格利益。
另一方面,从侵害个人信息的表现形式来看,侵害个人信息权,多数也采用披露个人信息的方式,从而与侵害隐私权非常类似。在我国司法实践中,法院也往往采取隐私权的保护方法为个人信息的权利人提供救济。
在这一背景下,将个人信息权理解为隐私权的一部分,是可以理解的。但是,个人信息不完全属于隐私的范畴,不能将其与隐私权混同,主要原因在于:
第一,客体范围不同。隐私权的客体主要是一种私密性的信息,如个人身体状况、家庭状况、婚姻状况等,凡是个人不愿意公开披露且不涉及公共利益的部分都可以成为个人隐私。而就个人信息来说,它虽可能与隐私部分重合,但其都以信息的形式表现出来,且其许多内容不一定是私密的。例如,个人电话号码有可能经过本人的同意披露在黄页上,此信息有可能和其他信息结合构成完整的个人信息,并成为个人信息权的客体,但此时已经和个人隐私权无关。再如,个人家庭住址在一定范围内也可能已经公开,不再属于隐私,但其仍然属于个人信息。由于在社会生活中,个人姓名信息、个人身份证信息、电话号码信息的搜集和公开牵涉社会交往和公共管理需要,是必须在一定范围内为社会特定人或者不特定人所周知的,这些个人信息显然难以归入隐私权的范畴。
第二,权利性质不同。隐私权主要是一种精神性的人格权,虽然可以被利用,但其财产价值并不十分突出,一般很难对隐私权进行利用。而个人信息在性质上属于一种综合性的权利,其不完全是精神性的人格权。个人信息不仅注重保护,而且注重利用。隐私权主要是一种被动性的人格权,通常只有在权利遭受侵害时才能由权利人进行主张。而个人信息权则主要是一种主动性人格权,权利人除了被动防御第三人的侵害之外,还可以对其进行积极利用。
第三,权利内容不同。隐私权的内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等,而个人信息权主要是指对个人信息的支配和自主决定。个人信息权包括隐私权的内容,但其与普通的隐私权有所不同。“普通的隐私权主要是一种消极的、排他的权利,但是资讯自决权则赋予了权利人一种排他的、积极的、能动的控制权和利用权。”
个人信息权的内容包括了个人对信息如何收集、利用等知情权,如何自己利用或者授权他人利用的决定权,这些都是个人信息权的重要内容。有些信息资料是可以公开的,而且是必须公开的。但是,即便对于这些应公开的个人信息,权利人也有一定的控制的权利,如应知晓在多大程度上公开,向什么样的人公开,别人会出于怎样的目的利用这些信息,等等。从内容上看,隐私权制度的重心在于防范个人秘密不被披露,而并不在于保护这种秘密的控制与利用,这显然不包含个人决定的权利。
第四,保护方式不同。通常来说,隐私权更多的是一种不受他人侵害的消极防御权利,即权利人在受到侵害时可要求停止侵害或者排除妨碍,而个人信息权则包含要求更新、更正等救济方式。在侵害隐私权的情况下,通常主要采用精神损害赔偿的方式加以救济。但对个人信息的保护,除采用精神损害赔偿的方式外,也可以采用财产救济的方法。由于个人信息可以商业化利用,在侵害个人信息的情况下,也有可能造成权利人财产利益的损失。有时,即便受害人难以证明自己所遭受的损失,也可以根据《侵权责任法》第20条关于侵权人所获利益视为损失的规则,通过证明行为人所获得的利益,推定受害人遭受的损害,从而主张损害赔偿。
因此,个人信息与个人隐私虽然在内容上存在一定的重合,但隐私信息是指个人不愿向外透露的信息或者属于个人敏感的、不欲为他人所知的信息,隐私信息重在保护个人的秘密空间,也就是说,重在“隐”;而个人信息概念则侧重于“识别”,即通过个人信息将个人“认出来”。个人信息权是指个人对于自身信息资料的一种控制权,并不完全是一种消极地排除他人使用的权利,也可是一种自主控制下的主动行使、利用的权利。隐私权虽然也包括以个人信息形式存在的隐私,但其权利宗旨主要在于排斥他人对自身隐私的非法窃取、传播。当然,也不排除这两种权利的保护对象之间存在一定的交叉,如随意传播个人病历资料,既侵犯个人隐私权,也侵犯了个人信息权。但整体而言,个人信息概念远远超出了隐私信息的范围。
在法律上区分个人信息权和隐私权,意味着在我国未来的民法典中,应当将个人信息权单独规定,而非将其附属于隐私权之下。
笔者认为,在我国未来的人格权法中确认个人信息权将使得人格权法更富有时代性。在信息社会,个人信息遭受侵害的危险性和危害性日益明显。例如,针对某些地方倒卖个人信息十分猖獗的情况,国家专门颁布了《刑法修正案(七)》,将倒卖个人信息作为一种犯罪行为来处理。然而,对于没有构成犯罪的行为,则处于刑法管辖之外。面对刑法保护的上述欠缺,用民法确认个人信息权,并提供相应的保护措施,由侵害人承担民事责任,是十分必要的。
在人格权法中确认个人信息权,应当重点解决如下问题。
第一,个人信息的规范模式。从比较法上来看,有抽象概念和具体列举两种不同模式,笔者认为,应当尽可能地详细列举,以明确个人信息的范围。例如我国台湾地区2010年颁布的“个人资料保护法”第2条第1项规定:“个人资料指自然人之姓名、出生年月日、‘国民’身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之数据。”采取这种规范方式,有利于明确个人信息权的权利保护范围,在具体的司法实践中,普通民众可以清晰地了解个人信息权的保护对象,司法机关也能够针对具体的对象准确适用法律,减少争议。
第二,确认个人信息权的内容。个人信息权的实质就是对个人信息的控制。在比较法上,一些国家对个人信息的内容作出了规定,例如,《德国联邦个人数据保护法》规定个人信息权的主要内容包括在收集、处理和使用信息过程中当事人的知情权和决定权。
笔者认为,我国人格权法主要应当规定,个人信息的权利人有权排斥他人非法收集、处理和利用。未经法律的许可,任何机构不得非法收集个人信息,更不得对这些信息进行非法利用。即使有关机构掌握了个人信息,也不能将个人信息任意向社会公开。由于个人信息往往是提供给特定机构的,这些机构对这些信息的使用将直接关系到个人的切身利益,因此,必须保证个人信息保存的安全。在信息收集过程中,以及收集以后,权利人应当享有跟踪、查阅,并且根据真实情况修改、补充、删除的权利。
此外,对于未成年人的个人信息应当采取特殊的保护。根据许多国家的法律规定,商业机构获取儿童的信息即使获得了儿童的许可亦不能免责,除非获得了法定代理人的信息使用许可。例如,儿童通过互联网做作业以及进行娱乐沟通、玩游戏、下载及社交等,网站常常要求儿童填写有关资料,并允许网站利用这些信息。根据美国《儿童在线隐私保护法》的有关规定,对此种情形必须要征得其父母的同意。 [5] 这种规定也是值得借鉴的。
第三,个人信息权的商业化利用及其损害赔偿规则。个人信息资料不同于传统隐私信息的一个重要特征就是其可以商业化利用。现代社会中,个人信息的传播、使用能够带来数量可观的财产收益。不论是个人的职业信息、健康信息、信用信息,还是个人的网络浏览信息,都可以进行商业化开发利用,产生经济效益。但必须强调的是,信息主体是个人信息的权利人,其个人信息的商业化必须由其自主进行,或征得他的同意;否则,即侵犯了个人信息权人的商业化利用的权利,应当承担相应的损害赔偿责任。此时,即便受害人难以证明自己所遭受的损失,也可以根据《侵权责任法》第20条关于侵权人所获利益视为损失的规则,通过证明行为人所获得的利益,推定受害人遭受的损害,从而主张损害赔偿。
第四,个人信息收集的基本原则。一是合法性原则,即任何机关和个人在收集他人个人信息时,应当遵循合法性原则,保证收集的主体和手段必须合法。二是合目的性原则,即个人信息收集必须要符合特定目的,且不能够在此目的之外使用相关信息。三是最少使用原则,即在从事某一特定活动可以使用、也可以不使用个人信息时,要尽量不使用;在必须使用并征得权利人许可时,要尽量少使用;获取的信息量,以满足使用目的为必要;为达到目的只需要使用权利人的非敏感个人信息,就不应该扩大信息收集和使用的范围。
四是知情同意原则,知情同意是个人信息权的核心,是最能够体现个人价值的原则,信息人本人的知情同意是对信息进行收集、处理和使用的基础。没有经过权利人的知情同意,除非法律强制规定的情况以外,任何的收集行为都是没有合法性基础的。五是效率原则,即信息的收集要符合效率和比例要求,在收集过程中必须考虑收集的成本。确认了个人信息收集的基本原则,就能够保证信息收集过程的合理合法,确保在收集充分信息的同时,不损害权利人的相关权益。
第五,侵害个人信息权的责任。一般认为,传统人格权具备消极防御的特性,这就是说,只有在这些权利受到侵害或者面临受到侵害危险的情况下,权利人才有主张权利的基础,并且有权要求停止侵害、排除妨害、恢复名誉、赔礼道歉和赔偿损害。但是,个人信息权具备查询、更正、补充、封锁、删除的权能,权利人在行使这些权能的时候,不以受到侵害或面临侵害为条件,充分体现出积极的特性。
所以,人格权法中,对这种特殊的侵害个人信息权的救济方式应当有所规定。一方面要规定个人信息权的消极权能受到侵害时的责任,另一方面也要规定其积极权能受到侵害时的责任。
需要指出的是,在民法典人格权编中确认“个人信息权”的独立地位可以为今后的单行立法提供基础。也就是说,在民法典人格权编确认个人信息权作为一类独立的人格权之后,还应当制定单独的个人信息保护法,确立个人信息保护的基本原则、政府机关的义务和责任、对个人信息的综合法律调整,等等。
在信息社会中,个人信息的重要性日益凸显,加强对个人信息的立法保护也已经形成社会共识,但如何进行保护,是立法所面对的重大课题。笔者认为,无论是采用单独立法,还是在未来民法典中加以规定,前提是要准确界定个人信息权的法律性质,只有这样,才能给立法以明确的方向引导。鉴于个人信息权是为了表征民事主体的私人利益,在权利定性上应当将其归属于民事权利,只有以此为基点展开对个人信息权的规制和保护,才能有效地解决现实问题和应对未来挑战。在个人信息权的立法思路上,应采用在民事权利基础上的“保护”思路,即使个人信息权回归于个人利益的范畴,赋予权利人自我决定和排除干涉的权利,而不应采用重视政府干预的“管理”思路,毕竟,个人是私益的最佳感应者,能真切把握权利存续和缺失的意义。只有给权利人以充足的权利,才能使政府的管理有的放矢,可以说,在个人信息的立法导向上,只有“保护好才能管理好”!
[1] See James B.Rule and Graham Greenleaf ed., Global Privacy Protection, Edward Elgar Publishing 2008,p.58.
[2] See Daniel J.Solove & Paul M.Schwartz, Information Privacy Law, Third Edition, Wolters Kluwer, 2009,p.1.
[3] See Daniel J.Solove & Paul M.Schwartz, Information Privacy Law, Third Edition, Wolters Kluwer, 2009,p.2.
[4] See Daniel J.Solove & Paul M.Schwartz, Information Privacy Law, Third Edition, Wolters Kluwer, 2009,p.2.
[5] See Margaret C.Jasper, Privacy and the Internet: Your Expectations and Rights under the Law, New York: Oxford University Press, 2009,p.63.