上海政法学院,上海
目前国际上对于个人信息的界定主要有三种方式,第一种方式是以意大利为代表的欧洲国家采取的概括界定的方式,意大利1996年颁布的《数据保护法律Act No.675》中将个人信息界定为与自然人、法人、机构或者组织有关的任何信息,这些信息(包括个人身份证号码)都可以通过任何其他信息直接或者间接地被加以识别。(a)第二种方式是列举的方式,即在立法中采用明确列举的方式对个人信息的范围进行规定。(b)第三种方式是将前两种方式相结合的表述,即在列举个人信息的范围后进行抽象概括,以此来提高法律规定的完善性,例如欧盟的GDPR就采取了这样的规定方式,不仅将个人信息高度抽象为已识别或者能够识别的自然人的任何信息,同时还在条款中列举出了姓名、身份证件号码、识别码等具体的个人信息。(c)个人认为欧盟对个人信息的界定更为全面,且具备可操作性,突出了可识别的特性,并且强调了自然人是唯一的个人信息的主体,对于个人信息的界定是一件很困难的事情,因为随着社会发展,个人信息的内涵和外延都在变化之中,采取列举加概括的方式可以使得法律规定更具有可操作性。
要定义个人信息就首先需要明确个人信息的特征。个人信息最显著的一个特征就是可识别性,可识别性简单的理解可以认为就是通过对该信息的某种处理可以定位到某个特定的主体,目前对于个人信息的可识别性具有争议的点在于主观的评价是否具有可识别性而被归入个人信息中,在澳大利亚的立法中,将“错误的评价”也归入了个人信息的范畴,(d)个人认为即使是主观的信息也在某种程度上具有可识别性,是可以被界定为个人信息的。个人信息还具有主体特定性,即个人信息的主体为自然人,虽然前文所述的意大利就在立法中将法人和机构组织的信息纳入个人信息,但是法人和机构组织的信息可以通过其他法律(例如反不正当竞争法)进行调整,不宜将其纳入个人信息的范畴。
除个人信息外,个人信息权也是一个很重要的概念,个人信息权这一概念首次出现在德国著名的“人口普查案”,其指出个人信息权是指信息主体对于个人信息的控制、知悉、查阅、修改和删除权。(e)其最终目的在于将个人信息归入个人事务的范畴,保护个人对个人信息的自主控制权。在美国,个人信息的保护则被归纳进了隐私权的范围之中。我国有学者将个人信息定义为信息主体对自己的个人信息所享有的进行支配并排除他人非法利用的权利。(f)从这个定义出发我们可以发现,其将个人信息权界定为一种支配权,但是该定义的问题在于“非法”二字的界定,他人对于个人信息权的侵犯达到何种程度为非法呢?这里的法又是指哪一种法律呢?
综上所述,无论是个人信息还是个人信息权,总体上讲,首先其是具有人格权的属性的,其次,其突出强调的是积极的支配的权利。所以,个人认为个人信息权的概念可以表述为信息主体对自己信息控制的权利。
这两个词是非常相近的,也是经常被混为一谈的两个词语。这两者在一定的程度上是存在重合的,因为数据是个人信息的表现形式之一,但是个人信息的表现形式绝对不止这一种,所以尽管二者的内涵相似,但是显然个人信息的内涵和外延较之于个人数据是更广的,个人信息也是在学界和实践中被广泛采用的表述方式。(g)
个人信息与隐私是不可以被混为一谈的,二者的侧重点是不一样的,二者的表现方式、具体内容、侵害方式和救济的途径都是不一致的,二者在内容上具有一定的重合性,在一定的条件下也是可以互相转换的,但是对于二者还是要进行区别,从而在人格权编中分别进行规制和保护。
可识别性可以说是个人信息的基石,即从个人信息的定义我们就可以看出可识别性的重要之处,可识别是一项信息可以被判定为个人信息的重要标准之一。另外对于可识别性是单独具备还是可以由多个信息组合具备,个人认为是需要单独具备可识别性的,因为如果采取“关联型”的学说,那么就会使得信息的指向性不明确,造成保护对象的混乱和不明确。(h)因此,如果一个信息不具备可识别的特征,那么就无法通过这个信息定位到一个具体明确的个人,那么就无法对其进行保护,所以可识别性就是个人信息的基础特征。
个人信息的主体一定是特定的,无论是以前的民事立法还是现行的《民法典》都明确地提到了“自然人”这一词,可以说明确地规定了自然人是个人信息的主体,那么对于“法人”和“其他组织”这两类民事主体,是否可以成为个人信息的主体呢?笔者认为是不可以的。首先,对于这两类主体的信息保护问题已经有《反不正当竞争法》等特别法进行保护,没必要进行重复保护,造成法律之间的冲突。其次,对于死者是否享有个人信息权的问题,笔者认为也是不享有的,因为死者的个人信息保护可以归入死者人格利益的保护。最后,针对外国人这一特殊主体,笔者认为是可以纳入我国个人信息保护的,因为目前世界整体化趋势加强,各国之间的互通互联日益强化,所以可以在个人信息保护领域向外国人提供国民待遇。
个人信息保护的客体顾名思义就是个人信息,但是在数据时代,如何判断个人信息这一范围,也是一件比较复杂的事情。我国的人格权编对个人信息的定义吸收德国和法国的立法,不仅对其进行了概念上的定义,还列举出了一部分个人信息。对个人信息进行限定是很有必要的,因为如果过度扩张个人信息的范围,将会造成过度保护的局面,最终导致所有的信息流转被限制和迟滞,这样的做法是不符合兼顾效率的要求。
个人信息的性质其实是比较复杂的,首先个人信息是具有人格属性的,因为个人信息是与个人密不可分的,不存在脱离于个人之外的个人信息,因为这样的信息是不具备可识别性,显然这样的特征是符合人格权的属性的。但是个人信息并不简单的只具备人格上的利益,其还具有极高的商业价值,也就是财产属性,大数据背景下个人信息的商业价值被开发到了极致,进行大数据采集和分析之后的个人信息可以说是商业市场上的一块大蛋糕。因此,如何很好地兼顾人格属性和财产属性,在保护人格利益的同时适当地开发和利用财产属性将成为个人信息保护领域的一个重要课题。
对于个人信息是否被赋予为一种新的民事权利这一问题,不同的学者有着不一样的看法,部分学者(如张新宝、杨立新等)主张将个人信息作为一种新型的民事权利,甚至有学者认为应该将个人信息得到表述修改为个人信息权,其理由主要有以下几点,首先就是人格权编的规定将个人信息与其他的人格权并列进行规定,可以认为其将个人信息作为一种单独的权利,所以应该将个人信息作为一种权利;其次,从保护力度和明确性的角度看,将个人信息赋权进行保护会更有力;再次,将个人信息作为个人信息权进行保护可以弥补其规定的法益缺失的问题;最后,个人信息的赋权更有利于在司法实践中对个人信息进行保护。但是也有学者对此不赞成(如王利明、龙卫球等),其主要理由在于立法者既然在立法过程没有选择个人信息权的表述,那么就不能盲目地将个人信息赋权,这样做不符合立法意图,另外也使得后续的立法空间被狭窄化。
个人认为,基于对人格权编1038条的解析,其规定的目的在于控制对个人信息的各项行为,保护个人信息,其并没有将个人信息作为一种权利去强化,所以将个人信息作为民事利益去保护更为合理,也为后续可能出现的专门立法预留了适用的空间。
如前文所述,个人信息的属性是比较复杂的,其兼具着人格权和财产权的属性。目前,大部分的学者认同人格权这一说法,其理由主要是个人信息具有较高的人身属性,从目前的立法来看,其主要强调的是对人格尊严的保护和对人身自由的保障,不可否认其具有财产属性,但是其具备财产属性是第二位的,基础性的属性仍然是人格属性,并且根据其立法选择的归属,是与其他人格权作为并列的,所以属于人格权。但是持反对意见的学者则认为财产权的属性才是第一位的,正如洛克就认为财产权的属性才是第一位的,是具有基础性作用的,这些学者认为保护个人信息的目的最终是保护个人对自己的信息的控制权和处分权,要保护的还是其所能带来的经济利益和财产价值。个人认为人格权属性更符合个人信息的属性特征。
学者王利明在早期的研究中就认为,隐私权保护的客体中就包含了个人信息。(i)这也是早期大部分学者所支持的观点,但是这种认识并不科学,个人信息并不是包含于个人隐私的,笔者更支持将二者交叉的观点。随着实践的发展,学者对个人信息的性质认识也发生了改变,学者程啸将个人信息分类为公开的和隐私的两部分。(j)王利明教授也改变了自己的看法,认为个人信息权和隐私权是两个不同的权利,其客体、内容等均存在差异,应该在人格权中明确隐私权和个人信息权这两个权利。(k)从上述学者的观点可以看出,个人信息是区别于隐私权的,所以在研究个人信息保护时就不能简单地以隐私权的思路去考量。
综上所述,笔者认为个人信息的属性是民事利益和人格权属性,当然也不能否认其具备的财产属性,因为随着网络时代和大数据技术的来临,个人信息的财产属性越来越显著,现实生活中对个人信息的财产性利用也变得频繁,在立法过程中不可以忽视对这些行为的规制。学者张融在自己的文章中提出了不同于人格权视角的保护思路,其认为在当前的市场中,个人信息已经逐渐地商品化,成为商业主体间交易的一种客体,为商业主体带来一定的经济利益。(l)这一观点也得到了不少学者的认可并在实践中得以验证,在当前的社会中,个人信息的确承载着一定的经济利益,不过单纯地将其视为一种可交易的财产过于武断,个人信息中包含着信息主体的一些与人格权相关的信息,这是不同于一般的商品的。对于个人信息的法律性质的认识与个人信息的定义同样都是个人信息保护制度的基石,因此需要对其有科学的认识,目前学界已基本达成共识,将个人信息作为一种兼具人格权和财产权的新型综合性权利。
知情同意原则体现在《民法典》第一千零三十五条的规定之中,虽然该条款未直接表明个人信息权利人的知情权,但是该条款确定了信息处理者有明示的义务,这就从侧面证明了权利人的知情权。知情同意原则的设立可以说是对个人信息的一个有力保障,这一原则非常符合民法强调的意思自治的要求,这也正是上文提到过的信息自决权的一个体现,知情同意原则可以充分地调动信息主体的自觉性和积极性,对于保护个人信息是很有帮助的,并且知情同意原则也是对个人人格尊严的充分尊重,因此《民法典》中所规定的知情同意原则是个人信息保护领域内的一个重要的基础性原则。
关于知情同意原则的存废之争议:在知情同意原则的研究中,不少学者对知情同意原则的存废产生了争议。支持知情同意原则在个人信息保护中继续适用的学者主要有以下的观点,学者洪玮铭认为仍应该遵守知情同意原则,因为该原则已经深刻地融入制度建设与交易实践中。(m)学者张涛认为,尽管从目前的实践来看,知情同意原则的适用情况并不理想,但是这并不能否认知情同意原则存在的必要性,其认为应该明确知情同意原则的适用范围与规则,加强监督,确保知情同意原则的落地实施。(n)学者姜盼盼认为知情同意规则需要通过“清晰”和“明确”两要素进行实质化,以可期待性理论对规则进行修正,并主张多元的信息处理豁免事由。(o)有学者认为知情同意规则是私法上意思自治理念在个人信息保护领域的体现,是对信息处理者的有力限制,并主张通过“两个维度、四种类型”来划分个人信息,并适用差异化的知情同意。(p)学者田野主张坚持自主价值,确立平衡理念,基于信息分类与场景的风险评估来区分适用同意规则,实现信息的持续披露与动态同意,并允许有条件的“宽泛同意+撤回权”模式。(q)而持反对意见的学者们则主要从以下的角度去论述,学者邢会强认为信息主体的信息控制能力有限,并不具有真正的决定自由,其同意缺乏真实性和必要性;知情同意规则具有经济上的负外部性;大量例外规定削弱了规则的有效性。(r)张明阳认为以“知情同意”为核心的保护架构既不能为公民的个人信息提供实质性保护,又成为制约数据价值发展的重要因素。高富平认为我国立法将“同意”作为信息处理的先决条件,是对国际社会个人信息保护理论和制度规则的误解。他认为个人信息是公共的,具有社会决定性,因此主张个人信息应由个人控制到社会控制。(s)学者衣俊霖认为我国应引进具体场景的动态风险管理从而代替知情同意规则。(t)对于知情同意原则的存废问题,笔者个人是支持肯定说的,即认为知情同意原则继续适用,因为知情同意原则保障的是信息主体对个人信息的控制,如果放弃这一原则,不仅会造成侵犯个人信息的行为的失控,同时也会损害到个人的人格尊严。
以民事法律关系为基础,知情同意原则的实质就是意思自治,我们以目前最为常见的网络服务提供者收集用户信息为例,这两者之间的关系我们可以拟制为一种合同关系,因此双方均是享有缔约的自由的,也就是意味着只有用户做出同意的意思表示,双方之间的契约关系方才建立,因此知情同意有原则可以被视为是信息控制者行为合法的一个基础。那么怎么做才能满足知情的要件呢?通常知情的方式有以下四种:同意、明示、默示和公开,这几种方式在个人信息领域的相关立法中也都有体现,例如《网络安全法》中就规定了“经同意”,《个人信息安全规范》中就规定了“明示”,我国目前主要采取的方式是“明示”。至于知情的范围,个人认为以下几点是必须的,首先就是信息收集的范围和方式、信息收集的目的,其次就是信息使用的方式和规则,还有就是信息的存储安全问题和后续的信息处理问题。
知情同意原则不仅要求信息主体知情,更要求取得信息主体的同意,同意的前提是知情,只有信息主体在完全知情的情况下进行的同意才可以被认定为是真正意义上的同意,对于同意的问题,我们还要重点关注法律规定的一些例外情况,即不需要征求信息主体的同意的情形,这些情况大部分都是涉及国家利益和公共利益的重大情况,但是目前来看法律规范对这些情况的规定并不是很详细和严格,用词甚至出现了“重大合法权益”这样难以确定的词语,这样的规定极有可能会造成信息主体的知情同意原则被架空的尴尬局面。所以对于同意的例外情况仍需要进行严格的限制。
欧盟的GDPR对知情同意做出了详细的规定,欧盟主要通过对信息控制者的告知义务的明确来保障知情同意原则,根据GDPR的规定,信息控制者的告知范围甚至包括信息控制者的身份、联系方式等内容,并且要求信息控制者的告知是明确的、详细的并且是较为容易理解的。GDPR还对同意进行了高标准的规定,其序言部分就规定了沉默、预先勾选同意栏的行为都不属于同意。欧盟一直坚持的就是简单、详细、具体的要求。
美国此前坚持知情同意的原则,但是在2012年以后,美国开始实践新的“场景和风险理论”,这一理论不再强制要求信息主体做出同意的意思表示,而是如果信息处理的行为在场景中合理时即自动获得授权,如果不合理,就需要进行风险评估并由信息主体来选择是否退出,这样的理论虽然坚持了具体问题具体分析的方式,在一定程度上减轻了信息控制者的义务,但是可能会导致信息主体的信息被侵犯,因为信息主体对风险的判断并不是那么及时和准确。
要明确信息控制者和信息共享者的主体身份,这是个人信息保护的基础,这一点在欧盟的GDPR之中就明确地要求,在隐私政策之中明确信息控制着及具体内容。
信息控制者的告知义务对于知情是十分必要的,所以要明确和细化信息控制者的告知义务,要求其告知的内容明确且清晰,目前在实践中,大部分的信息控制者虽然履行了一定的告知义务,但是其告知的内容太过宽泛,这就会使得信息主体无法知情从而做出有效的同意,个人认为对于信息的收集方式、使用方式及目的、信息的存储和信息的处理这些内容是必须要进行告知的。
对于知情同意原则被侵犯的救济也是一个重要的环节,目前我国的救济途径就是通过民事诉讼的方式进行救济,这样的救济途径很难满足所有的信息主体的需求,个人认为可以丰富救济途径,例如增加个人信息的监管机关,让信息主体可以更快速便捷地进行救济。
个人信息保护的首要任务就是明确个人信息保护的范围,首先就是对个人信息的法律属性的界定,如前文所述,个人信息属于人格权还是财产权一直存在很大的争议,但是个人认为个人信息的属性更倾向于人格权的属性,当然这并不排斥个人信息所具有的财产性特征,即个人信息的商业价值,尤其是在大数据时代的背景下,个人信息的财产性利益更是十分的凸显。因此,对于个人信息的保护可以采取双重保护的措施,也就是公法与私法相结合的方式,首先,在公法领域需要建立严格的监督和管理制度,加强政府对相关行为的管控,同时在公法上建立相应的惩罚机制和侵权救济的途径。其次,在私法领域也需要增强对个人信息的保护,比如在《民法典》中对个人信息制度的规定就是一个体现,并且还可以通过单行立法的方式加强私法保护,近年来《个人信息保护法》的出台就是对个人信息保护在私法领域内的规定和加强。
知情同意原则作为规定在《民法典》中是一个重要原则,是个人信息保护的一个重要标准,对于知情同意原则应该进行进一步完善,首先就是明确知情层面,为保障信息主体的知情,需要加强信息控制者告知义务的履行,并明确信息控制者的告知义务的范围等,做到确实地保障信息主体的知情。其次对于同意,需要充分考虑信息主体的利益,对于以默示方式同意的认定要采取谨慎的态度,同时对于公共利益和国家利益所涉及的例外情况,需要进行详细的规定,防止出现被滥用和架空的情况。
个人信息的保护牵涉到很多利益之间的平衡问题,尽管保护个人信息是保护个人尊严和维护个人合法利益的需要,但是个人信息还牵涉到国家利益和公共利益的问题,例如在疫情这种突发公共卫生事件中,不仅要考虑到个人信息利益的保护,同时还需要考量社会公共利益的需求,做到公共利益与个人利益的平衡。另外,在大数据技术和互联网的加持下,个人信息开始显现巨大的商业价值,所以在保护个人信息的同时也要注意不可以过度保护,避免阻碍个人信息经济价值的发挥。
随着时代背景和科学技术的不断发展,个人信息的相关问题和信息主体的权利意识等问题日益复杂,《民法典》中对个人信息保护的规定是民事法律领域的一大进步,但还是存在不少的不足,对于个人信息保护的规定过于广泛和模糊,所以对于个人信息保护制度的建设还需要进一步地加强。
(a) 周汉华.域外个人数据保护法汇编:第1版[M].法律出版社,2006:218.
(b) 王利明.人格权法研究:第3版[M].中国人民大学出版社,2018:619-620.
(c) 王利明.论个人信息权在人格权法中的地位[J].苏州大学学报(哲学社会科学版),2012(6):10.
(d) 王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(4):22.
(e) 德国联邦宪法法院裁判选辑(一)[M].萧文生,译.司法周刊,1995:288-384.转引自王利明.人格权的属性:从消极防御到积极利用[J].中外法学,2018(4).
(f) 王利明.人格权法研究:第3版[M].中国人民大学出版社,2018:623.
(g) 王利明.隐私权概念的再界定[J].法学家,2012(1):11.
(h) 杨惟钦.价值维度中的个人信息权属模式考察——以利益属性分析切入门[J].法学评论,2016(4):15.
(i) 王利明.论个人信息删除权[J].东方法学,2022(38).
(j) 程啸.论个人信息权益与隐私权的关系[J].当代法学,2022(4):2.
(k) 满洪杰,郭露露.可穿戴设备中的个人健康信息保护——以同意为核心研究[J].法学论坛,2023(2).
(l) 程啸.信息时代人格权的保护与发展[J].中国法律评论,2023(2):5.
(m) 洪玮铭.大数据时代个人信息民法保护与合理使用的平衡[D].武汉:华中科技大学,2021.
(n) 张涛.政府数据开放中个人信息保护的范式转变[J].现代法学,2022(1):125-143.
(o) 姜盼盼.大数据时代个人信息保护研究综述[J].图书情报工作,2019(63).
(p) 甄世辉,王跃峰.大数据时代个人信息处理与保护之平衡[J].社会科学论坛,2021(3).
(q) 田野.大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例[J].法制与社会发展,2018(6).
(r) 邢会强.大数据时代个人金融信息的保护与利用[J].东方法学,2021(1).
(s) 高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018(3).
(t) 衣俊霖.论个人信息保护中知情同意的边界——以规则与原则的区分为切入点[J].东方法学,2022(3).