西北师范大学,兰州
个人资料和个人数据的定义或表述在两大法系中存在不同的表述。比如,德国在《联邦个人资料保护法》中就将个人资料认定为个人信息,而我国台湾地区也采取德国同样的表述。而我国大地区是将个人资料、个人数据和个人信息规定为不同的概念。其中,个人数据的定义是包括个人有关的已经被用于识别或者将来可能被用于识别的各种个人信息资料,并且能够成为计算机计算、编写和编译对象的资料。显然,这一定义与欧盟对个人数据的定义有着大相径庭的区别。
法条对个人信息定义是对个人信息法律保护的起点。新颁布的《民法典》中就个个人信息的相关法条,其延续了《网络安全法》中对个人信息定义的界定标准,即能够用电子或其他记录方式可以单独或者结合其他信息识别自然人的信息。然而,《民法典》中对个人信息的详细定义与《网络安全法》相比较有着新的变化,即法典中将“识别自然人个人身份”的信息拓展为“识别特定自然人”,并在法典中详细列举了各类信息:电子邮件、健康信息和行踪信息等等(a)。这样个人信息的法律保护范围较《网络安全法》相比更加完善。
(1)隐私权说
“隐私权”说源于美国。该学说提倡个人信息系个人隐私,而每个信息主体都对个人信息享有保密、支配以及传播等权利。国家对个人信息的保护防止个人隐私被外界侵害。因此,个人信息法律保护可以依据隐私权保护模式予以保护。
(2)财产权说
“财产权说”认为,个人信息具有财产利益,可以被市场利用。市场上的商家在商业利益驱使下,经常利用个人信息获取各种商业利益,商界的作为并非是要识别个人信息主体。所以,个人信息的就变成了商家眼里能为满足自己经济利益可以交换的“物品”,也就是财产。因此,信息主体对个体信息拥有绝对的支配权。
(3)人格权说
按照大陆法系的人格权和财产权二分法学说,学者从个人信息的人格利益角度将之归结为人格权。该学说认为个人信息的保护应该按照人格权的相关法律依据进行保护。“人格权说”认为个人信息和个体的人身有着密切联系,个人信息是人格尊严和人格自由体现,具有可识别性。按照该学说,个人信息的侵犯就是对信息主体人格利益的侵犯。
随网络信息技术快速发展,个人信息的财产价值逐渐显现出来。因此,个人信息具有的人格利益和财产利益具有什么样的法律属性?即个人信息财产利益能否构成单独的财产权。
个人信息财产利益能否构成单独的财产权在于个人信息是否具有独立性、价值性、稀缺性和可支配性等我国民法上规定财产所需要的特征。
然而同个人信息相比较,笔者发现个人信息虽然具有民法规定财产的特性,但无法满足财产独立性的要求。因此,个人信息财产利益虽然来源于其人格属性,但不具有独立性,无法构成民法上的财产。在目前的法律体系中,个人信息也不宜纳入财产的保护范围,不然会导致一系列的理论逻辑与实际应用问题。
个人的财产利益既然不能单独构成一项财产权,那么法律应当如何对其保护?是否需要为其创设一项新的权利,还是通过现有人格权框架对其进行保护?也就是个人信息财产利益与人格权具有何种法律关系。
个人信息财产利益归属于人格权的附属利益,无需为了保护人格权的附属利益进行重新立法。
首先,个人信息财产利益符合人格权的财产利益基本属性。个人信息财产利益主要来源于人格权的财产属性,由于其具有人身依附性且是自然人身份识别的后果,同时它不具有一般商品的天然属性。因此,个人信息的商业价值只有一句特定的自然人才能够得到最大地释放。
其次,从民法上符合人格保护的法律伦理性。随市场经济的迅速发展,众多商家出于经济利益的本能而不顾信息主体的人格利益,尽情地利用信息主体的个人信息(b)。为保护个人信息,国家法律将个人信息归属于人格权,这既可以将个人信息人格利益高度化,又能完好地保护个人信息财产利益,从而又能防范伦理风险。
综述,笔者认为个人信息是一项具有财产权益属性的人格权。
由于互联网行业的蓬勃发展,互联网信息技术(云计算、大数据储存等等)开始进入人们的生活,并逐渐影响社会产生的发展。然而,科技突飞猛进的今天,个人信息侵权情况时而发生,个体的个人信息也被市场上各种应用软件收集、处理和使用,个人信息遭受的威胁是前所未有的。以前属于私生活领域的个人信息也因为当前信息技术的进步而逐步受到侵害。
例如,2017年,亚马逊公司AWS存储库数据泄露事件。该次事件中,大约有47G存储库的医疗数据外泄,结果有15万名患者的个人信息遭受泄露。2018年,万豪酒店喜达屋酒店客人信息泄露事件,从万豪酒店官方发布的消息而言,该次房客的敏感信息可能已经被第三方掌握。
然而,从上述案例分析可以得知,这些信息的泄露部分原因是跟我们手机安装的应用程序相关,手机上安装的应用软件经常窃取手机用户各种信息,比如短息、通讯簿、定位信息以及使用习惯等个人信息数据。
由于公众生活环境的复杂性,公众生活方式对互联网更加依赖。由于网络安全政策的规定,人们在使用相关互联网工具时需要提供个人信息。另外,人们在互联网上可以自由发表言论,表达自己的想法,结果就是网络发布的部分言论带来难以预料的后果。其直接后果就是个人信息会遭受侵权,让个人在短时间内遭受伤害,比如,“某某人肉时间”。
离我们生活最接近的就是几乎每人都在使用的微博。微博虽然让用户便利地分享和交流信息,但也会致使个人信息在网络平台上暴露在公众面前,从而也会侵害信息主体的私人空间。
随市场经济的逐步发展,国家对个人身份控制也变得逐步宽松,众多“单位人”也逐渐向“社会人”转变,个人的自主权利得以大幅提升,在这一背景下,国家对个人信息的搜集和使用也会遵循法律程序和范围(c)。另外,由于当前的市场经济是信用经济,国家基于市场的需要建立起完善的个人信用征信体系。至于个人信用征信体系的建立,这需要国家相关立法部门制定与保护个人信息相关的系列法律条文,如此信息被记录者才可以放心将自己的信息交付于国家,这也才能保证市场经济发展秩序。
个人信息本身具有较高的商业价值,而个人信息主体处于自身信息安全的考虑又不愿意向商家透露个人信息,因此个人信息的安全就成为了个人信息主体同商家之间难以逾越的一堵墙。而国家颁布保护个人信息的法律一方面即使保护个人权利的需要,另一方面也是为了更好地鼓励市场上正常的信息流动,更好地为市场主体减少交易成本,从而促进社会进步。所以,个人信息的保护与个人信息自由流动之间的关系处理得如何就成为了当前民法典中保护个人信息最为重视的核心要素。
依据《民法典》之第111条规定,“自然人的个人信息受法律保护”。从对该条文的分析,笔者发现该条文首次明确了自然人个人信息受到法律的保护,而不再援用《民法总则》中以隐私权的名义保护个人信息的方式。
首先,我们来仔细观察111条在《民法典》中位置,《民法典》的109条、110条分别规定了自然人的一般人格权和具体人格权。而在《民法典》的112条和113条又分别规定了自然人的身份权和财产权。由此可以得知,《民法典》将个人信息保护同个体的身份权、财产权列为同等地位。《民法典》虽然未明确说明这属于个人信息权,但该法条依然可以作为个人信息侵权案件中判案援引的法律条款(d)。
根据《民法典》第111条的规定,自然人个人信息受保护。这是对权利主体作了明确的范围界定,规定该权利主体为自然人,这也从侧面明确了自然人才是个人信息权的权利主体。
《民法典》在第111条中首次对个人信息保护的方式作出明确规定,即信息处理者在获取自然人个人信息时,信息处理者需要确保个人信息不被泄露。而法典中所明确的合法取得方式就是知情同意原则。这就要求信息的控制主体在自然人知情同意的前提下,需要对自然人的个人信息进行保护,以保证该信息不被非法使用(e)。如此,自然人或者法人组织才能合法使用自然人的个人信息。
在该法条的最后部分,明确规定了侵害个人信息的行为并作出禁止性规定,人民法院在审理侵害自然人个人信息侵权案件时都可以援引本条文的规定,以作出判决侵权人该承担的侵权责任。
在《民法典》中,第一次明确了对个人信息进行保护作出了明确规定。法官在审理个人信息侵权案件中判决中,也开始引用对个人信息权益的保护的相关条文。但是,笔者在仔细研究中国裁判文书网中对个人信息侵权案例的过程发现,法官所援引的《民法典》关于个人信息保护的内容仍是较为模糊,导致法官在法律文书中的法理说明部分含糊其辞,归其原因为我国至今未建立明确的个人信息权。笔者依据个人信息保护相关理论基础和民法确立的保护框架提出以下几点想法。
(1)确立个人信息权的必要性
首先,对《民法典》中“个人信息”的不同解读。在前文所分析的《民法典》第111条中,首次于民法中以具体法条对个人信息作出规定。但是,由于在本法条中,并没有就个人信息保护的属性进行明确规定,到底是一种具体的民事权利,还是一种一般的法益保护,官方对此没有说明,民法学界也因此众说纷纭。
其次,“权益”与“权利”保护的区别。依据法理可知,“权益”与“权利”两者本不是同一阶层的法律概念,但放于文中的立场可知,此处研究的是其狭义解释。权益是指:在权利以外,但又被法律保护的利益。权利是指:依法律规定,法律关系主体可自主决定为或不为某行为的保障手段。通过对概念的比较,可以很明显了解到两者的关联与区别。都是出于对某种利益的维护,都受到国家法律的保障。但是,对此利益如何来保护,通过何种具体的方式来保护,权益对此没有相关的规定。而权利则相反,明确表明其权利人享有何种权利,可以依法作为,或者要求相对人不作为。综上,将“权益”与“权利”的区别,具体到个人信息利益的保护上来,可以更清楚的了解两者的不同,及合理的取舍。
依据《民法典》第111条,个人信息的保护仅适用于自然人,侧面回应了自然人是权利主体。结合以往的保护经验,可以很明显的发现民法总则此条文对个人信息的保护更多的只是宣示性的保护,对其具体的保护内容,权利的内涵以及外延,对权利保护的方式,侵权后如何进行民事救济都没有展开叙述。结合当前,个人信息侵权日益频繁的现实需求,与民法保护的现状,将个人信息上升到以权利来保障,越来越具有现实可操作性。
(1)主体
依据我国《民法典》对个人信息的规定,个人信息的保护仅仅适用于自然人,也就是在侧面表达了自然人才是其权利主体。统观全球,凡是存在个人信息保护的国家和地区均在此观点上达成一致观点,认为个人信息保护的主体只能是自然人,不能扩充到法人及非法人组织,因为其在本质上仍是一项人格权。
(2)客体
个人信息客体是指在个人信息权的民事法律关系里,作为个体信息的自然人在这关系中处于一个特殊的地位,这是自然人之间所产生的民事权利与民事义务就是个人信息权的客体。
(3)内容
笔者结合当今法学界的主流,得出以下个人信息权利:①个人信息决定权:信息主体对个人信息享有绝对的支配权,决定信息是否被收集和利用;②个人信息保密权:信息主体要求信息处理者对个人信息保密的权利;③个人信息收益权:信息控制者对已掌握信息进行商业利用时,信息主体有权要求信息控制者对价支付;④个人信息更正以及删除权:信息主体在法定事由或者约定是由发生时有权要求信息处理者对信息进行更改或删除。
不同的归责原则适用代表的是不同的价值取舍。具体来讲,目前的归责原则主要依据是否存有过错这一标准,将其分为两大类:无过错责任原则和过错责任原则;同时,依据微观利益的不同,通过举证责任的分配形式在合理范围内进行价值取舍,将其进一步细分为:一般过错责任和过错推定责任。(f)
结合我国现行的法律规定,借鉴世界范围内大部分国家对个人信息的侵权保护,笔者认为侵害个人信息权归责原则仍需采用更具公平正义价值的过错责任原则。
首先是非财产性赔偿。这一非财产性赔偿具体包含五项内容:停止侵害、消除危险、赔礼道歉、消除影响、恢复名誉。笔者认为,针对有关侵犯个人信息权的案件,此类型的赔偿虽然以精神安抚为主;但是,赔偿应当是位于第一要性。因为在早期的个人信息权中,个人信息仅具有人格权的属性,其代表的是人格尊严与自由,体现的自然人在人性最深刻的需要,财产属性是在后期才慢慢形成,故应当优先保障非财产性的赔偿。
其次是财产性赔偿,责任承担方式主要为:赔偿损失。在侵害个人信息权的案件中,依据前文所提倡的非财产性赔偿远远不能达到对个人信息侵权进行救济的目的。一个很明显的原因,个人信息权本身同时兼具了人格性利益以及财产性利益,故对个人信息权的救济需要对两种利益都进行调整。
最后是惩罚性赔偿。笔者建议,在此处新增惩罚性损害赔偿,原有的低成本损害赔偿制度不足以束缚侵权人对高额报酬的价值追求,只有适当的增加其侵权违法成本,才能用法律的威严更好的保护个人信息权。
《民法典》第111条的出台,标志着我国对个人信息的法律保护也从间接保护转为直接保护、从最初的一般人格权保护到个人信息权保护制度的确立,这也说明我国民法发展的巨大进步。理论和司法裁判的进步推动个人信息保护向前发展,对个人信息的民法保护更是要立足于我国的现实状况,借鉴域外的立法经验,明确《民法典》第111条中个人信息的权利属性,确立个人信息保护的基本原则,完善个人信息保护的责任制度,引入个人信息侵权的惩罚性赔偿制度。笔者虽然在文中对个人信息权线管救济方式作过初步构想,但是创建完善的个人信息保护制度仍然需要理论界和实务界的共同努力。
(a) 王洪亮:《<民法典>与信息社会———以个人信息为例》,载《政法论丛》2020年第4期。
(b) 程啸:《论我国民法典中的个人信息合理使用制度》,载《中外法学》2020 年第 4 期。
(c) 张明楷:《阶层论的司法运用》,载《清华法学》2017年第5期。
(d) 《北京市高级人民法院侵害著作权案件审理指南》第7.1条规定:“被告提出的抗辩事由一般包括如下情况……(8)被诉侵权行为属于合理使用或者法定许可的情形……”《北京市高级人民法院侵害著作权案件审理指南》,http://www.faxin.cn/lib/dffl/DfflContent.as- px? gid= B988656&userinput,2020年8月25日访问。
(e) 《信息安全技术公共及商用服务信息系统个人信息保护指南》3.7条规定:“个人敏感信息:一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。”该指南3.8条规定:“个人一般信息:除 个人敏感信息以外的个人信息。”《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828- 2012),http://www.faxin. cn/lib/Zyfl/ZyflContent.aspx? gid= A217874&userinput,2020年8月25日访问。
(f) 杨立新:《侵权责任法》,法律出版社2018年版。