下载掌阅APP,畅读海量书库
立即打开
按照大陆法系国家的传统,权利尤其是民事权利一般是指主体对于特定客体所享有的自主支配并排除他人干涉而遭受侵害的自由。根据这样的思维逻辑,笔者将个人信息之人格利益所享有的权利表述为自然人对其个人信息所享有的权利。按照我国民法学界对于民事权利(尤其是民事绝对权)的界定方式,将个人信息权的内涵界定为:自然人依法对其个人信息进行控制和支配并排除他人干涉的权利。但是,是否对个人信息予以权利化保护,以及个人信息权与个人隐私权、商业秘密权的权利划分界限问题,是目前学界讨论的热点与难点问题。下文将对如下两个问题进行深度解读与分析,以期为解决上述问题提供些许思路与方向。
我国目前针对个人信息保护主要采用个人信息法益保护(直接保护),以及依托其他具体人格权予以保护(间接保护)两种模式。
根据《民法典》第四编第六章有关规定,实现对个人信息的直接保护;根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第1条,信息主体可依托其姓名权、名誉权、荣誉权、肖像权、隐私权等具体的人身权益对其个人信息予以间接保护。从2017年吴晓灵、周学东等40多位全国人大代表所提交的《中华人民共和国个人信息保护法(草案)》中多次使用“个人信息权”,《最高人民法院2020年度司法解释立项计划》明确将“关于审理个人信息权纠纷案件适用法律若干问题的解释”纳入立项计划,
以及已经实施的《民法典》和《个人信息保护法》中有关个人信息保护内容的体系结构安排可见,我国对个人信息的保护采用的是个人信息权利化保护模式(直接保护模式)。
但是,就个人信息权这一问题,目前学界还存有较大争议。其中,反对个人信息权利化的理由主要包括:我国现行法律法规并未明确使用“个人信息权”这一术语,个人信息不像实体物那样可被个人所占有,
个人信息的权利边界较难确定,
以及个人信息具有公共属性与社会属性等。
笔者认为,在大数据时代下,个人信息是一项重要的资源,以企业为核心的多方主体对个人信息具有广泛需求,此时,对个人信息予以权利化保护,通过明确的法律规定确立个人信息权及其相关内容尤为必要,具体体现在:
第一,个人信息权利化是规制大数据时代信息侵害行为所带来的新挑战的必然要求。在大数据时代背景下,信息主体信息控制力弱、个人信息侵害主体隐匿化、个人信息侵害方式多元化、侵害行为的损害后果严重化、侵害责任难以认定等特征,使得处于弱势地位的信息主体在因个人信息泄露、盗窃而遭受财产、精神损失后,往往无法及时获得法律救济。确立个人信息权,通过明确的法律规定明晰个人信息权的权利范围、侵权边界,民事侵权责任的归责原则与举证责任配置规则,行政违法、刑事犯罪的认定标准,可强化信息主体对其个人信息的控制能力,使其自行决定是否允许信息控制者与处理者的信息收集与处理行为,以防止与限制信息控制者、信息处理者等主体对个人信息的非法收集与处理。同时,完善个人信息权的权利与义务体系之后,信息主体在遭受信息侵害后可依法请求相关义务主体协助,也便于主管部门及时查处侵权主体。此外,信息主体可依据明确的法律规定向侵权者请求与其损失相当的损害赔偿,填补其因信息泄露、盗窃等而遭受的损失。
第二,个人信息权利化有利于调和个人信息保护与信息自由之间的冲突。设定个人信息权有助于明确受法律保护的个人信息的范围、权利内容、权利限制,既能够指引个人信息主体利用法律维护自身合法权益,又能够在各种处理个人信息的行为中划出一条较为清晰、稳定的法律边界,引导个人信息处理者在合法范围内处理个人信息,从而减少因为法律规定不明确而产生的诉讼和冲突,避免影响个人信息处理者必要的个人信息处理行为以及阻碍我国大数据产业的发展。
第三,个人信息权利化有益于提高侵害个人信息类案件的司法审判效率。在侵害个人信息类案件中,以个人信息刑事类犯罪为主,但近年来侵害个人信息的民事、行政案件有所增长。然而,我国目前针对危害个人信息安全行为的责任认定标准等散见于《民法典》《网络安全法》《个人信息保护法》《电子商务法》《刑法》等法律以及其他法规或部门规章中,分散的立法体系使得归责原则、举证责任、认定标准较为模糊,加大了危害个人信息安全案件的司法审判难度,导致审判周期过长。设立个人信息权,通过法律明文规定侵害个人信息行为的责任认定标准、举证责任分配规则等,为审判机关提供明确且统一的审判标准,从而促进我国侵害个人信息类案件司法审判效率的提高。
综上所述,个人信息权利化保护模式是大数据时代下公民个人信息安全保障更有效的模式。为使信息主体在其个人信息被他人泄露、盗窃后及时寻求救济,在采用个人信息权利化保护模式的同时,我国应当制定明确的法律法规对个人信息权及其相关内容予以规定,从而为信息主体维护自己个人信息权及其相关权益,为规制信息控制者、处理者等主体对他人个人信息的非法收集、处理、使用行为,提供明确的法律依据与法律指引。
从基本属性而言,个人信息权是人格权的一种。同时,个人信息权保护的并非抽象的人格尊严、自由与安宁,而是具体的人格利益的载体——个人信息,是不同于其他人格权(如个人隐私权、姓名权与名誉权)的独立人格权。此外,个人信息权虽具有财产属性,但其与企业所享有的商业秘密权有一定区别。下文将对个人信息权与个人隐私权、商业秘密权的异同、联系等分别进行阐述剖析。
1.个人信息权与个人隐私权
(1)个人隐私权的诠释
在法理上,个人信息权与个人隐私权是极容易混淆但又有着显著区别的两项民事权利。“隐私”(privacy)是与特定自然人有关而不为公众知悉的内容。在民法上,个人隐私权是自然人对于隐私利益加以支配并排除他人不法侵害的权利。
(2)个人隐私权与个人信息权的联系
隐私与个人信息分别构成个人隐私权与个人信息权的保护对象,它们都是权利主体的具体人格利益,且表现形式具有一定重合性。譬如,自然人的隐秘信息既属于个人信息又是隐私。个人信息权与隐私权都属于人格权的范畴,具有绝对性、支配性、专属性及不可转让性的特征,都规定在《民法典》第四编第六章中。
(3)个人隐私权与个人信息权的区别
个人隐私权与个人信息权虽然存在联系,但毕竟是存在着如下差异的两项独立的具体人格权,因而不容混淆:第一,从客体而言,个人隐私权的客体隐私既包括秘密性的信息,也包括不为公众知悉的行为与空间,而个人信息权的客体仅限于个人信息。同时,个人隐私权的客体具有隐秘性,而个人信息权的客体既可以是隐秘的,也可以是公开的。第二,从性质与行使方式而言,个人隐私权主要是消极性的防御权,防止他人获取与披露隐私是该项权利的主要行使手段。而个人信息权是积极性的权利,其权能既包括防止他人对于信息加以非法获取与披露,又包括主动获取甚至共享信息。第三,从保护方式而言,由于大数据时代个人信息易于被他人获取,由此防止个人信息被非法获取甚至盗窃成为个人信息权的重要行使方式。与其不同的是,隐私只能被他人探知而难以被获取,因此很少出现隐私“盗窃”规制的命题。
2.个人信息权与商业秘密权
(1)商业秘密权的诠释
商业秘密权,是指民事主体对于商业秘密享有的自由支配并排除侵害的权利。根据《与贸易有关的知识产权协议》,商业秘密权属于知识产权的范畴,这一点在《民法典》第123条亦有体现。作为新兴的信息权利,商业秘密权与个人信息权既有联系又有区别。对二者进行辨析,有利于立法者构建科学的民事权利体系,进而推动我国信息立法进程。
(2)个人信息权与商业秘密权的相同点
个人信息权与商业秘密权具有如下相同点:其一,就客体而言,个人信息、商业秘密都属于信息的范畴,都具有信息的永续性与流动性等基本特征。这决定了两项权利存在一个共性,即权利主体的信息支配和排除他人盗窃等形式的侵害。其二,就权利的性质而言,由于个人信息主体、权利人都可以自由支配个人信息、商业秘密并排除任何人侵害,因此两项权利均属于支配权。而根据一般法理,支配权依附于客体存在,原则上没有存续时间限制,并可以对抗不特定的他人。据此,只要个人信息、商业秘密存在,其权利一般情况下不会消灭。
(3)个人信息权与商业秘密权的区别
个人信息权和商业秘密权毕竟是保护对象不同因而内容判然有别的两项权利,其差异性体现在:
第一,客体的属性。商业秘密需具备秘密性、保密性、价值性与实用性,而绝大多数个人信息(敏感个人信息除外)仅以能够识别个人信息主体为条件,无须具备商业秘密的以上属性。是故,在司法实践中对个人信息与商业秘密认定的复杂程度存在不同:一般而言,法官只要凭借生活经验与常识即可判定一项信息是否构成个人信息,而认定商业秘密还需要相关领域的专业知识甚至要经过专家鉴定。
第二,基本属性。由于个人信息是人格利益的一种,因而个人信息权是一种具体人格权;商业秘密属于智力成果的范畴,因而是一项知识产权。这一差异导致二者权利行使以及救济方式的截然不同。就权利行使方式而言,由于个人信息权属于人格权,而按照人格权法理,人格利益不能转让,因此自然人不能将其个人信息权让予他人行使。虽然现实中广泛存在自然人(尤其是名人)通过公开其个人信息等方式以换取经济利益的情况,但这只是其获取与转让由个人信息而产生的利益的表现,而不是转让个人信息与个人信息权本身。与此不同,商业秘密权属于财产权范畴,由于财产可以在不同主体之间转让,因此商业秘密权主体可以通过有偿或无偿的方式将商业秘密转予他人。
第三,所涉及的社会领域。由于商业秘密是与生产经营活动有关的技术性与经营性信息,其权利主要在市场竞争与商品交易中行使,因而商业秘密保护法也主要规制以上领域。是故,商业秘密权的行使往往要遵循调整市场竞争与商品交易的法律规范的某些规则(如短期消灭时效、善意取得等),这也从一个侧面说明商业秘密保护法具有很强的技术性。个人信息涉及自然人生活的方方面面,而不仅及于交易领域,因此保护个人信息权的法律规范既具有一定程度的技术性,同时因为与尊严、自由等人格价值有关而具有相当的伦理性。
第四,救济方式。由于对个人信息权的侵害属于对人格利益的侵害,因此对该权利的民事救济主要采用精神损害赔偿的方法,典型的有停止侵害、恢复名誉、消除影响、赔礼道歉以及赔偿相应的精神损害抚慰金等。由于对商业秘密权的侵害属于对财产利益的侵害,因此对该权利的民事救济主要采用财产损害的补救方法,典型的有停止侵害、行为保全、排除妨害、损害赔偿等。
纵观境外国家及地区个人信息保护相关法律法规,大多数国家及地区将个人信息权的主体限定为自然人,比如,欧盟《通用数据保护条例》(GDPR)第4.1条、德国《联邦数据保护法案》第3.1条、我国澳门地区《个人资料保护法》第4.1.2条,均规定信息主体为自然人,
而仅有少数国家及地区将法人纳入信息主体的范畴。
我国《个人信息保护法》第2条和《民法典》第1034条均规定个人信息权的主体为自然人。
因此,本书将自然人作为信息权的主体,符合全球个人信息权主体相关立法规定的整体趋势。
我国《民法典》第13条规定:“自然人从出生时起到死亡时止,具有民事权利能力,依法享有民事权利,承担民事义务。”笔者认为,对于信息主体个人信息权的权利起止时间计算,应当以该条款为原则,兼顾个人信息权所具有的财产权与人格权的权利属性。即规定个人信息权自信息主体出生时享有,信息主体自然死亡或因遭遇其他意外被宣告死亡后,其所享有的个人信息之上的财产性权利(比如获得报酬权等)自动消亡,而个人信息之上的人格性权利(比如被遗忘权等),应当根据侵权行为类型、侵权行为损害后果的危害程度等实际情况作出特别规定。以被遗忘权为例,在信息主体死亡之后,如果网络服务提供商等仍将可能产生误导性、侮辱性的相关信息放置于网页,而该持续性的公布足以对信息主体的继承人等产生较大影响的,法律应当赋予该继承人请求网络服务提供商断开、删除该个人信息的任何链接等方面的请求权。例如,法国《个人数据保护法》第40条规定,死者继承人在确定数据处理控制人不知该信息主体已死亡且有关个人信息未更新时,享有要求数据控制人注意死亡事实并更新信息的请求权。
这样的分类设计可在一定程度上避免相关主体对死者个人信息的非法处理、利用而给死者亲人造成精神损害。
顾名思义,个人信息权的客体是个人信息。个人信息的性质不仅关乎其保护模式的选择,更决定了个人信息盗窃行为规制相关制度的基础设计。对于个人信息的性质,学者们莫衷一是。在汗牛充栋的专著与论文中,这一问题也被长期讨论。
1.财产说
该种学说的倡导者认为,个人信息是财产,从而信息主体对于其享有财产权。这种观点认为,在大数据时代背景下,个人信息是一种极为重要的社会资源,具有难以估量的市场价值,企业战略制定、商业决策、经营发展等均离不开海量信息的支撑,在此需求驱动之下,市场上催生出一众以信息收集与出售为主营业务的中间商。随着商业交易行为的发展,个人信息数据市场被细分为个人信息收集整合产业与个人信息交易产业,部分主体在收集大量个人信息后,通过大数据等技术对信息进行整合、匹配,随后将其整合后的信息出售给此类个人信息的需求方,以非法获取经济利益。
在上述信息整合与信息交易的整个过程中,个人信息商品化特征明显,而交易过程中实物资金与个人信息的对价交换,正体现了个人信息的财产权属性,“根据所有权的原理,只要不与法律和公共利益相抵触,所有权人均享有对个人信息的占有、使用、收益、处分权”;“个人数据的所有者是该数据的生成体个人,无论他人对主体个人数据的获取方式与知悉程度如何,都不能改变个人数据的所有权归属。”
故此,从个人信息的交易层面而言,个人信息属于一种财产,信息主体对此享有财产权。
2.隐私说
该种学说认为,个人信息本质上承载着主体的隐私利益,由此信息主体对个人信息享有隐私权。相应地,个人信息盗窃行为是对信息主体隐私权的侵害。持这种观点的学者多来自美国,他们主张个人信息是一种隐私利益,个人信息保护立法应采取隐私权保护模式,这一观点为美国1974年《隐私权法案》所采纳。受此影响,我国台湾地区有学者也认为个人信息保护及个人信息盗窃规制的目的在于保护个人隐私。
此外,我国香港地区《个人资料(私隐)条例》也规定:“本条例旨在在个人资料方面保障个人的私隐,并就附带事宜及相关事宜订定条文。”这一观点也得到我国大陆地区部分学者的支持。按照相当部分信息法学家的观点,个人信息是消费者等主体隐私利益的重要载体。据此,学者们建议通过立法等强制手段来制约侵害消费者个人隐私的行为,在维护消费者的个人隐私不被他人非法侵害的同时,促进信息流通活动的有序开展。
3.人格利益说
该种学说认为,个人信息既非财产也非隐私,而是承载着人格自由与尊严的独立的利益。据此,我国应设定独立的具体人格权来保护隐私。从本质上而言,对个人信息的盗窃构成对该项权利的侵害。该学说最早出现于德国,1990年德国《联邦数据保护法》第1条明确规定:“本法旨在保护个人的人格权,使其不因个人资料的处置而遭受侵害。”该法的目的是保护个人人格权在个人信息处理时免受侵害。
我国台湾地区“电脑处理个人资料保护法”也采用了类似观点。该法第1条规定:“为规范电脑处理个人资料,以避免人格权受侵害,并促进个人资料之合理利用,特制定本法。”
4.其他学说
还有学者认为,个人信息是宪法中基本人权的保护对象。根据这一理论,学者们认为大数据行业的经营者所实施的个人信息侵权行为是对基本人权的侵害。例如,《欧洲议会公约》即规定:“考虑到在自动化处理条件下个人资料跨国流通的不断发展,需要扩大对个人权利和基本自由,特别是隐私权的保护。”“由于对个人资料处理中的个人权利和自由,特别是隐私权的保护水平不同,可能阻碍资料在成员国之间传递,并对共同体的经济生活产生不利影响,妨碍竞争和阻止各国政府履行共同体法律规定的职责;保护水平的差异是由于存在大量不同的国内法律、法规和行政规章所造成的。”联合国《关于自动资料档案中个人资料的指南》(International Protection of Personal Information in the United Nations)第1条也规定:“不得用非法或者不合理的方法收集、处理个人信息,也不得以与联合国宪章的目的和原则相违背的目的利用个人信息。”
笔者认为,个人信息所体现的是自然人的人格利益,同时有别于隐私利益,我国应设定独立的具体人格权来保护个人信息。因为根据黑格尔对内外世界划分的理论,个人信息识别着个人信息主体并与之须臾不可分离,从而应被划入具有意志与精神属性的内在物范畴。保障个人信息主体对个人信息的控制,就是对其主体资格的尊重以及人身自由的维护。
事实上,这一点已体现于实然法中:在宪法层面,当今世界主要国家和地区将具有古典与自然权利性质的人格尊严和自由权作为保护个人信息的依据,从而确保民众在对其个人信息处理等事务上的自主与自决;在民法等部门法或具体法中,这些国家与地区采用作为民事权利的人格权保护个人信息。例如,欧盟2018年颁行的《通用数据保护条例》第1条明确规定,该条例旨在“保护自然人的基本权利与自由”。又如,美国对个人信息的保护主要是通过1974年《隐私权法案》等人格权法完成的。再如,德国个人数据保护的宪法依据——隐私权与信息自决权系《联邦基本法》第1条人性尊严权与第2条人格的自由发展权衍生而来。同时,根据大陆法系人格权理论,凡是与人格形成与发展有关的情事都属于人格权客体。
从认识论的角度而言,如何对权利进行定性直接关系到对它的保护方式的选择。由于人们对个人信息的认识不同,对个人信息权也会作出不同的定性。譬如,有的学者在“隐私说”的基础上认为,个人信息权是隐私权。
但是,隐私具有私密性和敏感性,既可能与信息有关,也有不属于信息的部分,因此个人信息权不能和隐私权等同。另外一些学者在“财产说”的基础上进一步认为,个人信息权是财产权的一种。
笔者认为,个人信息权与财产利益有关,但它不是财产权,而是人格权。个人信息权是个人对其信息的控制、处理与利用的决定权,是人格利益。同时,个人信息可以进行交易,的确具有财产利益,因此我国有学者主张个人信息权为财产权。然而,个人信息不是物,其本质并非财产,正如肖像、隐私等人格利益都有财产价值,但并不因为它们有财产价值就成为财产权的客体。综上,笔者主张个人信息权是一种独立且具体的新型人格权。
这一点在实在法中亦有体现。2018年修正的《中华人民共和国宪法》(以下简称《宪法》)关于人格尊严的规定在第38条,该条规定“中华人民共和国公民的人格尊严不受侵犯”。个人信息的收集、处理或利用直接关系到个人信息主体的人格尊严,个人信息所体现的利益是公民人格尊严的一部分,是个人信息主体对其个人信息所享有的利益。按照宪法规范的实施路径,《民法典》在第四编第六章中明确将个人信息作为一项独立的人格利益加以保护。
在国外判例上,德国联邦宪法法院于1983年12月15日作出的人口普查法案判决明确指出,“信息自决权”的法律基础是《联邦基本法》第1条第1项规定的“人性尊严”和第2条第1项规定的“人格自由发展”等基本法律规定。可见,个人信息自决权的保护模式就是保护个人信息的全部利益,赋予个人信息主体对其个人信息收集、存储、处理的决定权。由此,笔者建议,我国应当设定独立的具体人格权——个人信息权来保护信息主体权益并遏制他人盗窃个人信息的侵权行为。