下载掌阅APP,畅读海量书库
立即打开
个人信息权的权能是指自然人实现其个人信息所享有的人格尊严与自由等利益的法定手段。在大数据时代到来之前,个人信息权的权能主要是主体对于信息加以自决、访问、更正、封锁与删除等;在大数据背景下,个人信息权的权能还包括主体获取报酬、被遗忘与可携带等。然而,个人信息权的行使可能与信息自由的基本价值相冲突,并且可能与大数据时代高效率处理信息的追求相矛盾。因此,在注重个人信息保护的同时,还应当对个人信息权的限制进行前瞻性考虑。
信息决定权,是指信息主体有权决定其个人信息是否以及如何被收集、处理与利用,同时对他人以盗窃等方式侵害其个人信息权的行为加以对抗。
信息决定权的法理基础在于人格利益支配以及信息自决。虽然按照《个人信息保护法》第13条第1项规定,处理个人信息需“取得个人的同意”,但该规定并未从权能构建的角度完全表达信息决定权的内核,由此该项权能有明确确立之必要。此前,我国2009年《刑法修正案(七)》规定,特殊单位(国家机关、金融、电信、交通、教育、医疗等单位)的工作人员在履职过程中非法向他人提供(包括出售)公民个人信息,以及其他个体以非法方式获取(包括盗窃)公民个人信息,情节严重的,构成犯罪,同时也规定了侵犯公民个人信息的单位犯罪。
上述规定便体现了这一权能。然而,囿于刑法规范的功能,这一条只能作为公诉机关向非法处理个人信息者提起刑事诉讼的公法依据,但不能作为个人信息主体提请私法救济的请求权基础。
根据我国现行立法规定,信息决定权应当包含如下权利内容:第一,信息主体自身有权决定其个人信息是否被收集、处理与使用。其中,“收集”是指获得个人信息的控制权的行为,包括通过与个人信息的主体进行交互而采集以及共享、转让、搜集等方式和个人信息主体主动提供等方式。
“处理”在广义上是指“个人信息的收集、存储、使用、加工、传输、提供、公开等”
;在狭义上是指对个人信息的更正、删除、分析、传输等行为,为了对个人信息权利内容以及个人信息盗窃产业链研究的方便,本书采用狭义的概念。“使用”是指对个人信息的具体应用,如将个人信息用于科学研究、生成自然人特征模型等行为。第二,信息主体自身有权决定他人何时、何地以及以何种方式、何种目的实施收集、处理、使用其个人信息的行为。
第三,信息主体在其个人信息被收集、处理与使用时,有权请求信息控制者、信息处理者采取相应的措施,保障其个人信息在收集、处理与使用过程中的隐秘性。
例如,我国《民法典》第1035条第1款规定,处理个人信息应当“征得该自然人或者其监护人同意”,体现出信息主体对其个人信息具有自决、自主控制的权利。同时,我国《征信业管理条例》第13条、第14条也作出了相应规定。
此外,境外一些国家与地区亦为信息主体设立了信息保密请求权,要求信息控制者、处理者在信息收集、处理与使用过程中遵循保密义务。比如,我国台湾地区1995年“电脑处理个人资料保护法”第17条规定:“公务机关保有个人数据文件者,应指定专人依相关法令办理安全维护事项,防止保有资料被窃取、窜改、受损或泄露。”个人信息自决权的设立是对个人信息上所承载的独立人格利益实现的有力保障。
信息查询权是指,信息主体可以查询其被信息控制者、处理者所收集、处理与利用的个人信息,并有权知悉信息控制者、处理者采取的保密与防止盗窃等措施。
根据《个人信息保护法》第45条第1款,个人有权向个人信息处理者查阅、复制其个人信息,然而该规定过于原则,难以具体操作。一般而言,信息主体可以查询的事项包括:第一,存储、处理与利用的个人信息档案的名称、类别及范围。例如,从1998年至2007年的个人身体健康状况信息档案,其时间范围就是1998年至2007年,而内容范围就是个人健康信息。第二,个人信息处理的依据、目的与使用的领域。“领域”主要是指被存储、处理与利用的个人信息将被具体用于什么样的社会领域。和目的相比,领域是客观的,并且同一领域可以有多种目的。例如,卫生部门在疫情防治期间收集个人体温信息属于社会医疗领域,包括公益目的(公众福利)和私益目的(如药品经营机构据此制订相关药品的生产和销售计划)。第三,收集方式。按收集主体分类,个人信息的收集方式可以分为信息主体主动提供和信息管理者收集;按收集手段分类,个人信息的收集方式可以分为人工收集和计算机技术收集。第四,查询主体权利被侵害后或者具有被侵害的高度可能性时的权利救济手段。权利主体可以向信息处理者有关部门、有关行业协会和行政主管部门进行投诉或者通过司法途径申请禁令,请求信息处理者及时采取措施防止其个人信息权受到侵害,以及通过上述途径获得损害赔偿等。
个人信息更正权、封锁权与删除权是信息主体在面对或可能面对个人信息盗窃等非法侵害时享有的一些防御性权能,以保障其个人信息的完整性、私密性、准确性等。
其中,信息更正权是指,“信息主体在发现错误、过时或不完整时,有权请求信息控制者通过更正、更新或补充来保持信息的正确、从新与完整”
。根据《个人信息保护法》第46条第1款:“个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。”该规定不仅较为原则,而且因偏重于程序性问题而未对实体性问题(如更正要件、方式)进行规定。由此可知,信息更正权行使的事由主要包括:第一,信息主体发现信息控制者、处理者所掌握的有关自己的信息存在错误。此时,信息主体可请求信息控制者、处理者就错误信息或者与事实不相符的信息予以更正,以保持信息的正确性。第二,信息主体发现信息控制者、处理者处有关自己的个人信息已过时,则可就不能反映最新事实情况的个人信息行使更正权。第三,信息主体发现信息控制者、处理者所掌握的自身信息内容,就特定目的而言不够全面与完整。此时,个人信息的不完整,既可以是信息控制者、处理者最初就某一目的所收集的信息内容不完整,也可以是信息收集后,由于社会发展或技术进步导致信息控制者、处理者所收集的信息需要补充。信息更正权的行使方式包括:第一,请求信息控制者、处理者对存在错误、已过时的信息予以更正;第二,请求信息控制者、处理者对不完整的信息(包括最初遗漏的信息和新产生的个人信息)予以补充。
信息封锁权是指,“在法律明文规定或者当事人间约定事由出现时,通过特定技术手段防止信息被存储、处理与共享”
。《个人信息保护法》并未对此作出规定。一般而言,行使信息封锁权是在个人信息的正确性、完整性等发生争议的事由下进行的,对此,我国台湾地区“电脑处理个人资料保护法”第13条第2项作出了规定。
信息主体行使其信息封锁权,是要求信息控制者采取一定的方式对其个人信息予以封锁,不得继续处理或使用该信息,因此只要能防止信息控制者继续处理和使用个人信息即可认定为“封锁”。
信息删除权是指,“当出现了特定事由时(如信息存储的合同届满),信息主体可请求信息控制者、处理者删除其个人信息的权利”
。《个人信息保护法》第47条对此作了初步规定。信息删除权的行使事由包括:第一,信息控制者、处理者收集个人信息的目的消灭;第二,信息控制者、处理者存储个人信息的期限届满;第三,信息控制者、处理者存在收集行为非法,或者信息主体就信息控制者、处理者收集其信息所作出的同意属于无效或已经被撤销,以及信息控制者在其收集信息目的之外处理和使用信息等非法存储行为时,信息主体得以请求信息控制者、处理者对其个人信息予以删除。
信息的更正、封锁与删除等权能旨在维护主体在信息之上的人格利益不会因为盗窃等原因而受到侵害。在我国现行法中,除《个人信息保护法》外,其他规范也有零星体现。《网络安全法》第42条规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”同时,该法第43条规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”
在以往时代背景下,有关主体(尤其是商业性质的主体)对公民个人信息的利用率极低,因而获得的经济收益不高。而在大数据时代背景下,众多信息控制者、处理者利用大数据技术对海量个人信息进行分析,从而梳理总结出对其经营发展有益的结论,辅助其制定商业战略或作出商业决策,这种信息可为上述主体带来较大的经济回报。
在大数据时代背景下,个人信息已成为一种重要的社会资源。为了发挥法律制度合理配置稀缺资源的功能,应当通过法律明文规定,当信息控制者、管理者出于商业目的而使用其掌控的个人信息时,信息主体享有请求信息控制者、管理者(主要是经营者)支付相应报酬的权利,
从而限制个人信息处理者为商业目的而实施的个人信息免费收集、处理行为。但应当注意的是,报酬的形式不限于金钱和实物,只要能体现物质利益即可(譬如网络经销商向客户提供优先成交机会以及特殊服务)。要求信息控制者与处理者在收集、使用个人信息时支付相应的对价或提供相应的服务作为对信息主体的报酬或回报,在一定程度上可限制信息控制者、管理者对他人个人信息的非法使用与处理行为,使信息主体可就其个人信息获得相应的报酬,以更好地保障其个人信息权及相关权利。但是,《民法典》《个人信息保护法》等皆未对此作出规定。
被遗忘权(right to be forgotten)是指,信息主体就网络上存在的与自身相关但具有误导性、不相关性、过时性甚至可能使得信息主体难以自处的个人信息,可请求信息控制者、处理者对此类信息的相关链接、备份文件、复制文件等予以删除。
欧盟2018年颁行的《通用数据保护条例》(GDPR)第17.1条对该权能作出了细致化的规定,信息主体有权在其信息“对于实现信息控制者收集、处理的相关目的不再必要”,“个人信息处理无法律依据,信息主体撤回对信息控制者、处理者个人信息处理行为的同意”“信息主体就该条例规定的某些特殊情况下对个人信息处理行为表示反对”等情形发生时,请求信息控制者、处理者擦除涉及上述个人信息的链接、备份或复制等。
国内学界普遍认为,前述内容是对被遗忘权的表述。从本质而言,被遗忘权的设立是对删除权加以强化保护的结果。其原因在于:删除权针对的是个人信息本身,而被遗忘权还包括与个人信息有关的链接、备份与复制文件。对于我国是否应该确立被遗忘权问题,学者们众说纷纭、莫衷一是。比较具有代表性的反对意见是,被遗忘权可能导致信息自由流通受到阻碍。
笔者认为,出于平衡信息主体人格权保护与促进信息自由流通的考虑,我国立法可以参照GDPR的规定,对于该规则的适用设定如下限制:当信息处理者为了人口普查、恶性传染病防控等公益目的而收集、处理与共享信息时,信息主体不得行使被遗忘权。
可携带权(right to data portability)是指信息主体可“就其被收集、处理的个人信息请求获得相应的副本信息,同时,在技术可实现的情况下,其还可以要求信息控制者将其所掌控的个人信息传输给另一信息控制者”
。欧盟GDPR第20.1条对信息可携带权作出了规定:“在数据主体将其相关个人数据提供给控制者后,有权请求控制者提供经过整理的、普遍使用的和机器可读的相关数据;数据主体有权无障碍地将此类数据从该控制者处传输给另一个控制者。”一般认为,这是对于可携带权的表述。我国《个人信息保护法》第45条第3款规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”从本质而言,可携带权是对信息决定权强化保护的结果。由于该权利涉及信息控制者、处理者的权益(譬如对于数据库享有的知识产权)保护,因此该权利的确立以及相关规则的适用同样应当受到严格限制。
需要注意的是,我国《个人信息保护法》中并未明确规定被遗忘权和可携带权。为充分保护个人主体的信息权与大数据时代的人格利益,我国亟须通过法律移植的方式,将两项权利内容与我国国情结合,从而实现境外经验的本土化。
信息自由是指任何个体得以通过各种不为法律所禁止的手段自由搜寻、获取、利用、创建、传播和保存信息。
个人信息权的行使通常会与信息自由的实现产生冲突,因此,调和二者之间的冲突是个人信息立法无法回避的问题。对此,各国个人信息保护的实践提供的参考路径,就是对个人信息权的行使设置一定界限,从而实现个人信息保护与信息自由之间的协调。
1.北美洲地区的个案平衡进路
美国、加拿大等北美洲国家属于典型的判例法国家,该地区的法院在裁判中根据案件的具体情况以及社会一般观念和公理尺度作为考量因素,采取个案衡量的进路对个人信息权与信息自由进行协调。在长期的司法实践中,北美洲地区高级别的法院确立了以下几点有影响力的裁判标准,作为进行个案衡量时的考量因素:
(1)涉案个人信息的性质
通常而言,当涉案个人信息与信息主体的隐私等敏感信息关系较远时,信息主体的个人信息权会受到较大限制,同时会给予信息处理者较大自由。例如,在Silber v.BCTV一案中,被告在报道一次劳动纠纷时有拍摄原告打斗场景的行为,法院判定被告不构成侵权。但在Valiquette v.The Gazatte一案中,法院却判定新闻机构报道一名教师患有艾滋病的行为构成侵权。两次判决结果不同的原因在于,打斗场景与隐私关系较远,而患病信息则与隐私关系较近。
(2)个人信息主体的身份
当个人信息主体是公众人物时,其个人信息权的行使将受到较大限制。例如,加拿大法院在审理Hill v.Church of Scientology一案时,拒绝认定被告收集原告个人信息的行为构成对原告人格权的侵害,因为原告所收集的信息属于教会高层人物的信息,而这些人物是公众人物,对其信息的收集可以满足公众的知情权。
但是,该国法院在Aubry v.Editions Vice-Versa Inc.一案中认定,被告对十七岁女原告坐在台阶上的场景进行摄影并刊登照片的行为构成侵权。
(3)处理个人信息的目的
一般地,出于商业目的而实施的处理行为会受到(较之于基于其他目的而处理)更多的限制。例如,美国联邦法院在Virginia Pharmacy一案的判决中言明,收集商业性信息虽然也属于信息自由保护对象,但对它的保护程度应当明显低于其他信息。
又如,前述Valiquette v.The Gazatte一案的另一个判决理由是,被告进行报道是基于商业目的。
2.欧盟通过比例原则限制个人信息权
出于维护共同利益需要,欧盟各国在个人信息立法的价值取向、框架设计以及基本制度构建等方面达成了高度的一致。根据欧盟的要求,各成员国应当在个人信息法中引入对信息自由的保护,并按照比例原则的要求排除或者限制个人信息主体的权利。譬如,欧盟数据保护委员会下属工作组在1999年5月3日通过的立法工作文件《关于公共部门信息和私人数据保护的第3/99号意见》中明确要求,各成员国应当在符合比例原则所包含的必要、适当以及目的与手段之间合乎比例等要件的前提下,基于实现信息自由之目的而排除或者限制主体权利(to exempt or restrict subjects’rights pursuant to the principle ofproportionality)。这一点已在欧盟主要成员国的个人信息保护法规中有所体现。
事实上,相当部分遵循此进路的欧盟国家都对实现信息自由有所偏重。譬如,欧盟1995年《个人数据保护指令》第9条即为满足新闻报道以及文学、艺术创作和科研等方面的需要,“排除适用”保护个人信息主体权利的规定(原文为“exempt”,对应的汉语是“排除”而不是“限制”)。
3.对个案平衡与比例原则进路的反思
笔者认为,受制于立法与司法体制因素,个案衡量在我国实施起来必将面临重重障碍。一方面,个案衡量是通过判例的创制与适用来完成的,虽然此前国内稀疏地响起过将判例法作为法律渊源的声音,但由于我国对成文法的路径依赖以及法官素质等现实阻隔,这一声音遭到学界普遍反对。
另一方面,英美法系国家的法官往往需要在裁判中将信息自由直接作为限制人格利益的依据,这意味着在司法程序中引入宪法规范。就宪法规范是否能够直接适用于民事诉讼等司法程序(国内学界称其为“宪法司法化”)这一在我国曾引起热议的话题,学者与实务界人士受阻于宪法解释权障碍以及出于防止公权力过度干预私领域的考虑,也普遍倾向于否定说。
由此,个案衡量进路很难在我国得到实施与推行。
同样,比例原则也很难被用以协调信息自由与人格利益在一些领域(尤其是民事生活)里的冲突。萌发于亚里士多德“正义”法哲学思想的比例原则真正肇端于19世纪的德国,该国行政法学始祖麦耶在其《德国行政法学》一书中将它的内容概括为“行政权力……对人民的侵权必须符合目的性,并采取最小侵害之方法”
。于是,有的学者对它作了“行政法中的‘帝王条款’”的最高定位。
后来,虽然它的效力扩展到所有公法领域,但始终无法及于强调主体地位平等以及意思自治的民事领域。如果比例原则被强行地用以调和这一领域中信息自由与个人信息权的冲突,则势必破坏我国多年来公法与私法之间泾渭分明的关系。
此外,比例原则进路的实施在我国也同样存在立法与司法体制上的阻碍。类似于北美,欧盟及其成员国也是在诉讼中直接引入宪法中保护信息自由的规范,再根据比例原则完成对个人信息权的制衡。
在我国尚未完成宪法司法化论证的背景下,该进路与个案衡量面临着同样的障碍,即保护信息自由的宪法规范无法被直接适用于民事诉讼等司法程序中以实际制约个人信息权的行使。同时,这一进路试图为法官应对各种情势提供周延而整齐划一的衡量标准,即适当、必要以及合比例,因此难免失之于模糊与抽象。譬如,在如何判断被实现的信息自由与所牺牲的个人信息主体的人格利益孰重孰轻上,就很难有一个客观而精确的尺度。如此,裁判者即陷于主观判断的漩涡。虽然一些学者看到了这一弊病,并对如何具体适用它进行过探索,但大多仅停留于释义的层面上,对如何在司法实践中细化其标准从而使操作客观化却鲜有也难有建树。
考虑到我国法官素质以及司法环境,该原则势必成为空泛的具文以及恣意裁判之坦途,从而导致相对于在欧陆而言南橘北枳的效果。
1.设立个人信息权以明确权利边界
为平衡保护人格利益与信息自由,应通过立法设立个人信息权制度,从而使个人信息主体明确其个人信息权的权利边界范围,更好地保护其个人信息权及其他相关权利。这不仅是按照自然法学思维进行价值与利益思辨而得出的结论,更是在本国法制背景下回应现实社会问题之必须。
正如洛克所言,法律消弭自由之间纷争最有效的手段在于划定它们的边界。
按照大陆法系国家(包括我国)的传统思维,对自由标界最常用的方式是以法定手段使保护它的民事权利的诸要素——主体、客体与内容等变得明确与具体。既然信息自由权未被确立于民法规范之中,我们应当着重构造个人信息权制度。王利明教授、龙卫球教授和刘保玉教授等学者均认为,现行法律对个人信息保护的规定过于笼统,尚未将个人信息上所体现的人格利益上升为一种明确、具体的权利。
考虑到个人信息作为一种独立的人格利益在今后日渐凸显的重要地位,同时考虑到我国多年来对人格权立法保护模式的路径依赖,立法者应当将个人信息上升为一种独立的具体人格权——个人信息权的客体,在民法规范中设置对该权利的保护规则,将它的要素清晰地展示出来。按照保护强度不同,特定利益的保护方式包括权利保护和法益保护。在前一方式下,主体既能通过消极方式排除他人对利益的侵害,也能通过控制、利用、收益、处分等途径支配利益;在后一方式下,主体仅能排除侵害。虽然我国《民法典》《个人信息保护法》细化了个人信息保护,但两部法律的规定都仅限于对信息的消极保护,主体很难对信息加以积极支配与利用。由此,我国仍有必要通过法律修改强化主体利益保护。
如此,裁判者方能根据个人信息权的界标,去认定与制止个人信息处理者对个人信息主体人格利益的侵害,以及后者以行使权利为名不当干涉信息自由的行为。同时,这是一种通过法权模式对个人信息主体人格利益加以保护的进路,使得个人信息权独立于其他具体人格权的性质在立法中得到承认与体现,有利于实现我国人格权概念、理论与制度体系的有序与和谐,这对于《民法典》《个人信息保护法》等的完善以及司法裁判途径的优化更具有现实意义。
2.在个人信息权立法中规定一般条款
在现有体制下,单靠设立个人信息权保护规则尚不足以消弭其中的冲突,因而对权利的限制也势所必然。对此,梁慧星教授即主张,立法者应当通过民法基本原则等一般条款引入宪法权利(包括信息自由),以此作为限制与排除民事权利行使的依据。
因此,立法者在设立个人信息权保护规则的同时,亦需要设置限制其行使的一般条款,如“为保护信息自由,个人信息权的行使受限制”,同时授权裁判者根据此条款衡量个人信息主体的人格利益与信息自由的利益,在实现后者的必要限度内限制或排除个人信息权。此外,还应当对一般条款适用的具体标准进行设计:
第一,信息收集与传输者所代表的利益。信息自由既可以实现信息处理者的经济利益,也可以满足其参与社会事务管理以及实现自我价值(如从事文学艺术创作以及科研活动)的需求。按照庞德的观点,被法律所保护之利益可以进行层次划分与位阶排序,具有可共享性与受益主体广泛性等特征的公共利益较之于私益应适当受到偏重保护。
据此,当主体出于公益目的(如为使公众知情而收集与披露个人信息)时,得以对个人信息权形成更大程度的限制甚至排除其行使;而为实现商事目的而收集与利用个人信息时,需满足的条件应当更加严格。
第二,被处理个人信息的类型。应当根据个人信息的类型对信息主体的权利进行不同的限制。而个人信息的类型划分有不同的标准:(1)以个人信息的敏感程度为标准,可以划分为敏感信息和琐碎信息。由于前者更为接近隐私,因此应当受到更多保护,而后者应当为信息自由作出更多让步。(2)根据个人信息的客观程度,可以划分为评论性信息和陈述性信息。前者包含对个人信息主体品行、操守等特征的价值判断,后者则主要为个人信息主体客观状态的陈述(职业、联系方式等)。其中,个人信息主体请求行使对前者的删除、更正等权利时,往往涉及复杂且有关价值判断的举证和论证,会阻碍信息传播和信息自由的实现,且权利人还可以通过提出侵害名誉权之诉获得保护,因此,在规则设计中应当对个人信息主体就前者行使权利予以更大的限制。(3)根据个人信息是否公开,还可将其划分为已公开个人信息与未公开个人信息。前者在被收集之前已通过合法途径公之于众,而后者则不然。诚如我国台湾地区“电脑处理个人资料保护法”第18条所阐述的,他人收集与利用事前已公开的个人信息无害个人信息主体人格利益。因此,为促进个人信息有效利用以满足信息处理者与公众的利益,已公开个人信息被处理与利用之前无须经过个人信息主体同意。