个人信息私法规制路径的反思与转进
2020-01-11金耀
金 耀
一、问题的提出:定位模糊的个人信息
以个人信息为基础的数据产业正蓬勃发展,信息的利用与个人信息保护之间的平衡,已成为当前数据经济的核心议题。〔1〕本文的研究对象限定为“个人信息”,区别于“信息”“数据”等概念,而个人信息与个人数据能否等同,当前学界仍存有不同的看法。持实质区分观点的如吕炳斌教授认为,个人数据是“负载个人信息的数据”,个人信息属于内容层,而数据属于载体层;更多的学者持相同的观点,并未严格区分二者的使用。本文持后者观点,二者并无实质性区别,只是研究语境的不同,原则上采用“个人信息”的表述,在论及欧洲相关立法和研究则使用“个人数据”这一表述。参见吕炳斌:《个人信息权作为民事权利之证成:以知识产权为参照》,载《中国法学》2019 年第4 期。但在新经济下,个人信息的泄露、非法买卖等案件频发,导致现行法律规范存在着“先刑后民”的特征,即刑法首先介入规范侵害个人信息权益的行为,〔2〕2015 年刑法修正案(九)确立了“侵犯公民个人信息罪”,2017 年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》进一步细化了“情节严重”的标准。而私法领域的个人信息法律规范却呈现出分散状态,尚未形成体系化的法律规范,〔3〕在《民法典》颁布前,私法领域的个人信息法律规范散见于《消费者权益保护法》《网络安全法》《电子商务法》《民法总则》等部分条款,有学者对个人信息立法规范进行了实证研究。参见王秀哲:《我国个人信息立法保护实证研究》,载《东方法学》2016年第3 期。导致了相关的个人信息案件审理的模糊性与不确定性。〔4〕典型案例如,“庞里鹏诉东航公司一案”涉及的泄露个人信息高度可能性能否作为承担责任依据,参见北京市第一中级人民法院(2017)京01 民终509 号民事判决书;“朱某诉百度公司”一案中收集朱某的cookie 信息是否构成侵权,参见江苏省南京市中级人民法院(2014)宁民终字第5028 号民事判决书。为此,《民法总则》第111 条首次将个人信息纳入民法领域,〔5〕《民法总则》第111 条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”《民法典人格权编》也新设“隐私权与个人信息”一章,专门立法《个人信息保护法》当前也正在紧锣密鼓地展开。
遗憾的是,上述立法均未明确个人信息的私法定位,其权利性质与保护路径在理论上的讨论并未随着相关条款的颁布戛然而止,却陷入了更为混乱的局面。例如,有学者主张通过扩张我国隐私权来实现个人信息的民法规范,〔6〕参见房绍坤、曹相见:《论个人信息人格利益的隐私本质》,载《法制与社会发展》2019 年第4 期。也有学者通过追溯欧盟“个人数据权”的演进过程,提出我国个人数据权应塑造为综合性的知情权,并以访问权为核心,而非绝对权。〔7〕参见张金平:《欧盟个人数据权的演进及其启示》,载《法商研究》2019 年第5 期。民法学者主要围绕着《民法总则》第111 条是否创设了“个人信息权”进行了讨论:该条款表明“个人信息权”在民法层面得以确立,〔8〕参见杨立新:《个人信息:法益抑或民事权利——对〈民法总则〉第111 条规定的“个人信息”之解读》,载《法学论坛》2018 年第1 期;郝思洋:《个人信息权确立的双重价值——兼评〈民法总则〉第111 条》,载《河北法学》2017 年第10 期;韩旭至:《个人信息权载入民法典刍议》,载《武汉理工大学学报(社会科学版)》2017 年第3 期。个人信息权的构建目标亦是人格权体系下的具体人格权。〔9〕参见王成:《个人信息民法保护的模式选择》,载《中国社会科学》2019 年第6 期;叶名怡:《论个人信息权的基本范畴》,载《清华法学》2018 年第5 期;石佳友:《人格权立法的进步与局限——评〈民法典人格权编草案〉(三审稿)》,载《清华法学》2019 年第5 期。个人信息权的各项权能包括访问权、被遗忘权、删除权、可携带权等。〔10〕参见叶名怡:《论个人信息权的基本范畴》,载《清华法学》2018 年第5 期。也有学者持不同意见,《民法总则》第111 条将个人信息利益确定为受法律保护的法益,适用的是行为规制规范,而非权利化模式。〔11〕参见叶金强:《〈民法总则〉“民事权利章”的得与失》,载《中外法学》2017 年第3 期。个人信息虽受法律保护,但并不是享受绝对权的保护强度,〔12〕参见程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018 年第3 期。个人信息权利无法成为一项独立性的基本权利。〔13〕参见丁晓东:《个人信息的双重属性与行为规制》,载《法学家》2020 年第1 期。
将个人信息界定为隐私权、知情权、具体人格权、法益保护等不同的私法定位,在理论上似乎均具有一定的合理性。但定位模糊的个人信息导致其民法保护路径难以统一,相关的法律制度构建并不能令人信服,基于个人信息应用的数据产业存在诸多的不确定性。更为重要的是,当前个人信息的民法定位的研究并未充分考虑个人信息法益的特殊性。如何结合这一特殊性,将个人信息融入民法体系,实现多重主体之间的平衡,将是个人信息保护立法的核心议题。
围绕这一议题,本文拟重点回应以下三个问题:第一,个人信息是否是一项独立的权利,即“个人信息权”,其与隐私权、知情权、访问权等权利是什么关系?第二,民法人格权体系下,个人信息能否构成一项新型的具体人格权,个人信息私法保护的特殊性为何?第三,个人信息法益行为规制路径的理论基础为何,如何协调与厘清民法与个人信息保护法之间的关系?上述理论问题的反思与厘清可为正在进行的个人信息保护专门立法提供必要的理论积累。
二、个人信息的私法属性辨析
理论界对于个人信息的私法属性已有较多讨论,〔14〕例如张平教授认为当前有三种主要学说,包括隐私权客体说、人格权客体说、所有权客体说;有学者更为细致地将其分为六种学说:宪法人权说、一般人格权说、隐私权说、财产说、新型权利说、独立人格权说。参见张平:《大数据时代个人信息保护的立法选择》,载《北京大学学报(哲学社会科学版)》2017 年第3 期。总体上看,隐私权、知情权、具体人格权最受学界青睐。个人信息私法规范路径以及相关的制度构建,应当以明晰个人信息的私法属性为前提。
(一)隐私权:旧瓶不宜装新酒
长期以来,我国司法实践中主要是通过隐私权来间接地保护个人信息,〔15〕参见徐明:《大数据时代的隐私危机及其侵权法应对》,载《中国法学》2017 年第1 期。早期的个人信息相关案例也大多采用隐私权侵权救济。〔16〕如“庞里鹏诉东航公司案”主要是原告姓名、手机号码、行程信息的泄露,其案由仍然是隐私权侵权,参见北京市第一中级人民法院(2017)京01 民终509 号民事判决书;“王金龙诉汉庭酒店管理有限公司案”涉及的也是原告的个人信息被酒店泄露,其仍然界定为隐私权纠纷,参见上海浦东新区(2014)浦民一(民)初字第501 号民事判决书。一方面,个人信息与隐私权的区分一直是理论上的难题,有学者认为个人信息人格利益的本质是隐私权;〔17〕参见房绍坤、曹相见:《论个人信息人格利益的隐私本质》,载《法制与社会发展》2019 年第4 期。另一方面,国内学者也深受美国“信息隐私权”(Information Privacy)理论的影响,往往将个人信息置于广义隐私权框架进行分析。〔18〕Alan F. Westin, Privacy and Freedom, Athenum, 1967, p.7.基于上述影响,有学者认为我国现阶段立法不应试图以个人信息保护来代替隐私权的保护,而应当先完善隐私权的侵权规则,“若构筑新型权利缺乏有效的救济手段,尚需借助于其他权利进行保护,最佳选择肯定不是另起炉灶”。〔19〕徐明:《大数据时代的隐私危机及其侵权法应对》,载《中国法学》2017 年第1 期,第138 页。我国个人信息私法保护能否依托于传统隐私权的侵权救济?本文持否定观点。
其一,权利客体上二者范畴不同。隐私权从来不是逻辑的产物,欧洲担忧大众传媒技术对于个人尊严的威胁,而美国主要是基于政府机关对于个人自由的威胁。〔20〕See Whitman, James Q., “The Two Western Cultures of Privacy: Dignity Versus Liberty” 113 Yale Law Journal 1219(2004).而我国理论上的隐私权仅是狭义上的生活安宁权,并不包含积极的信息控制。值得注意是,《民法典人格权编》开始界定“隐私”内涵,草案二审稿第811 条规定隐私是“具有私密性的私人空间、私人活动和私人信息等”,草案三审稿与正式版本则在此基础上增加了“不愿为他人知晓”这一要件,突显了隐私内涵的主观性。而关于个人信息的范畴,草案二审稿是将可以识别自然人的各种信息均认定为个人信息,三审稿在二审稿列举的“姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码”基础上新增了“个人邮箱地址和行踪轨迹”,即个人信息范畴呈现扩张态势。应指出,个人信息与隐私的范畴并不完全相同,但如果是自然人“不愿意为他人知晓的私密信息”很大程度上具有“识别个人的可能性”,因而也有可能被纳入个人信息的范畴。〔21〕以个人健康信息为例,一般为个人不愿为他人知悉的信息属于隐私性信息,因而为隐私权范畴;但根据个人信息可识别性标准,个人健康信息也有很大识别个人的可能性,因而也可能为个人信息。总体上来看,二者在客体范畴上存在交叉。〔22〕参见程啸:《民法典编纂视野下的个人信息保护》,载《中国法学》2019 年第4 期。
其二,二者保护法益存在不同。隐私权旨在实现个人人格尊严与自由的保护,以个人利益的保护作为根本目的。但个人信息的法益却更为复杂,据学者对欧洲大陆个人数据保护源流的考察,个人数据最早是基本权利或人权意义上的权利。〔23〕See Paul M. Schwartz and Daniel J. Solove, “Reconciling Personal Information in the United States and European Union” 102 California Law Review 877 (2014).因而,个人的尊严与自由构成了个人信息的重要法益。值得注意的是,相较于隐私权,个人信息法益还包含了财产利益、公共利益等内容。个人信息具有财产价值,并且构成了当前数据经济的重要生产要素已为学界所认识,而在最近的研究中,亦有学者指出个人信息还具有社会公共价值,个人信息的使用应当由社会控制。〔24〕参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018 年第3 期;丁晓东:《个人信息的双重属性与行为规制》,载《法学家》2020 年第1 期。综上,二者法益的差异决定了不能套用同一套法律机制。
其三,现行立法规范已采二分模式。我国《民法典》第110 条将隐私权明确作为一项具体人格权进行保护,并在第111 条规定个人信息受保护条款,显然立法者有意对于二者进行区分。而《民法典人格权编》依然遵循了二分的路径,规定了“隐私权和个人信息保护”一章,其中第1034 条第3 款,明确个人信息中的私密信息可以适用隐私权规定,表明了二者是有实质性区别的交叉关系。早期学者提出通过扩展隐私权侵权规则,将个人信息纳入隐私权,〔25〕有学者指出对于隐私权的侵权规则进行重构,适度扩张损害结果,包括扩张无形损害、将期待利益纳入经济损害范围、扩大人身损害范围、推定损害存在的方式等。参见徐明:《大数据时代的隐私危机及其侵权法应对》,载《中国法学》2017 年第1 期。不失为在个人信息规范缺失下的权宜之计。但在我国现行立法进行明确二分模式下,我们更应该在实践中根据具体个案来区分它们,然后确定请求权基础及救济措施。〔26〕参见李永军:《论〈民法总则〉中个人隐私与信息的“二元制”保护及请求权基础》,载《浙江工商大学学报》2017 年第3 期。由于个人信息与隐私在概念上不可避免地存在交叉之处,其法律规范的适用问题将是二分模式下的重要内容。
综上所述,我国个人信息的私法属性不应定位为隐私权,我国隐私权的内涵也不同于美国“信息隐私权”的内容。通过解释扩张我国隐私权的范畴以涵盖个人信息的法律规范,并不具有理论和立法上的支撑。
(二)知情权:过犹不及的尝试
有学者通过回顾“欧盟个人数据权的演进”,认为我国要构建的个人数据权并非是以信息自决权为基础的人权,而是应当以构建公平竞争秩序为目的的综合性的知情权,其内部构造上以访问权为核心。〔27〕参见张金平:《欧盟个人数据权的演进及其启示》,载《法商研究》2019 年第5 期。这一观点值得肯定,私法领域个人信息的定位并非是人权意义上的权益,基本权利意义上的个人信息权益需要遁入私法权利体系,而以数据主体的知情权或访问权为内核构建个人信息规范不失为新的路径。其以欧盟个人数据保护的法律规范的演进为依据,并对个人信息自决权进行了批判,并建议我国《民法典(人格权编)》构建“个人数据权”,强调其知情权性质,而非绝对权。〔28〕参见张金平:《欧盟个人数据权的演进及其启示》,载《法商研究》2019 年第5 期。问题是综合性的知情权能否融入当前我国《民法典》规范体系以实现个人信息的规范价值?笔者对此持否定观点。
首先,知情权的定位忽视了个人信息多重利益的实现。知情权或访问权的定位,是从个人主体利益角度进行的权利构建,信息控制者(企业)更多的是安全保障的义务。这一路径是从信息主体相关利益出发,通过赋予信息控制者义务以实现主体的知情权与访问权。但这一路径忽略了对于信息控制者合法利益的考量,其数据利益也应当是个人信息规范中不可或缺的内容。换言之,将信息主体、信息控制者之间的权利义务关系简化为知情权与安全保障义务是不完整的。
其次,知情权或访问权的定位不足以实现人格利益保护。个人信息立法基于人格权体系旨在实现个人主体的尊严与自由,以知情权或访问权作为权利内核就可以实现主体的人格利益?不可否认,信息主体的知情或者访问是实现主体人格尊严的重要手段,但仍然是不充分的。典型的如,企业隐私政策中也存在着相关的知情或者访问条款,但在概括同意或强制同意下,主体的知情权仍形同虚设。因而,知情权的定位并未实质性地解决主体人格利益的保护问题。
最后,知情权也难以融入人格权体系。论者一方面强调知情权应当是人格权,但又说明其并非是绝对权,与我们传统理论对于人格权定性为绝对权认识不符,难以实现体系的自洽。再者,如果将知情权纳入人格权,也并未说明其他领域的知情权如何进行区分,比如消费者权益保护法中的知情权。当前《民法典》已明确将个人信息纳入人格权体系,如何在人格权体系下构建以知情权为内核的个人信息权,仍有待进一步论证。
综上所述,以知情权内核构建个人信息权利不失为一条新的路径,但该路径可能缺乏充分考量个人主体与信息控制者的利益平衡。个人信息私法属性定位与其规制路径的构建休戚相关,单一地寻求知情权或访问权难以实现个人信息上的多重利益。
(三)人格权:回归体系的论证
隐私权和知情权均不宜作为个人信息的私法定位,早期我国理论界对于个人信息的法律属性,还存在着“人格权”与“财产权”的争论。〔29〕例如刘德良教授提出了个人信息的财产权保护,参见刘德良:《个人信息的财产权保护》,载《法学研究》2007 年第3 期;随着研究的深入,个人信息兼具有财产利益与人格利益成为学界共识,参见王利明:《论个人信息权的法律保护:以个人信息权与隐私权的界分为中心》,载《现代法学》2013 年第4 期;张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015 年第3 期。但随着个人信息规范进入《民法典人格权编》,人格利益保护的私法定位成为主流认识,目前学界的讨论也主要集中在人格权体系。当然在人格权体系下,个人信息的财产利益也具有实现的路径,二者并不冲突。〔30〕在人格权体系下,个人信息的财产利益可以通过人格权商品化或公开权的方式为他人利用,因而,人格权的定位并未否定个人信息的财产价值,只是其实现方式与路径仍需要进一步细化。
从实证法上看,个人信息已被纳入《民法典(人格权编)》,但仍需要在理论上论证个人信息定位为人格权的正当性。从比较法上看,个人信息法律规范最初呈现出两个特点。
第一,个人信息的保护源于宪法层面或基本权利层面的保护。典型的如1981 年《个人数据自动处理过程中的个人保护公约》确保缔约国保障个人数据被自动处理时得到尊重,〔31〕See ETS No.108, Strasbourg, 28/01/1981.美国对于个人信息的保护最初也是基于宪法隐私权,如1974 年《隐私法》主要规范政府机关管理的识别个人记录的收集、保存、使用和传播。〔32〕See The Privacy Act of 1974.
第二,个人信息法律规范的重点在于预防政府机关对于个人信息的不合理收集与使用。预防公权力机关对于个人信息的过度收集与不合理使用,构成了个人信息法律保护的最初动因。
个人信息的权利定位不应当脱离其诞生的目的,即主要是规范公权力对于个人信息在基本权利层面的侵犯。随着互联网与技术的发展,不仅是政府机关,一些社会主体如互联网企业也开始收集和使用大量的个人信息,个人信息的法律规范也不再限于基本权利,需从宪法层面落地转化为私法层面的法律规范。
针对这一变化,欧盟采用专门立法方式制定《统一数据保护条例》(The General Data Protection Regulation,以下简称GDPR),而美国则是将个人信息纳入隐私权范畴,通过信息隐私权的侵权救济实现个人信息的保护与利用。尽管个人信息还蕴含了社会利益、国家利益,但不能否认主体的人格尊严与自由仍然是个人信息私法规范的根本目的,因而将其纳入人格权体系具有正当性与合理性。
但在人格权体系下,个人信息的法律属性仍存在着巨大的分歧,即所谓的权利说(具体人格权)与法益说。从个人信息侵权救济的角度看,上述理论的争鸣并不会实质性地影响侵权法救济,但上述不同定位与认识不仅会对数据产业产生不同的影响,而且将会成为个人信息法律制度构建的基础。
三、个人信息作为具体人格权的理论质疑
在人格权体系下,具体人格权成为当前国内学界权利构建的主要目标。如有学者认为传统的间接保护模式和法益保护模式都存在缺陷,基于个人信息自主控制的个人信息的权利保护模式更适合中国的立法和司法实践,主张采用具体人格权模式规范个人信息。〔33〕参见王成:《个人信息民法保护的模式选择》,载《中国社会科学》2019 年第6 期。亦有学者认为《民法典人格权编》未明确“个人信息权”是当前立法的缺憾。〔34〕参见石佳友:《人格权立法的进步与局限——评〈民法典人格权编草案〉(三审稿)》,载《清华法学》2019 年第5 期。上述论证很大程度上认为个人可以自主控制与支配个人信息,问题是绝对化的具体人格权在多大程度上适用于个人信息规范?上述权利构建是否充分考虑个人信息规范的特殊性?构建具体人格权是否是国外个人信息法律规范的通行做法?
(一)信息自决权无法佐证具体人格权
学者支持个人信息权为一项新型人格权的理由,主要在于对于国外个人信息自决权理论的吸收与借鉴。据王泽鉴先生介绍,个人信息自主权(自决)首先由德国联邦宪法法院于1983 年人口普查案创设,人格的自由发展取决于个人有权对抗个人资料被无限制地收集与使用,其内容包括了自行决定何时、何种范围公开个人的生活事实。〔35〕参见王泽鉴:《人格权法》,北京大学出版社2013 年版,第200 页。国内也有学者对信息自决权进行了系统的介绍,是一项原则上由个人自我决定公开和使用个人信息的权利。〔36〕参见贺栩栩:《比较法上的个人数据信息自决权》,载《比较法研究》2013 年第2 期。可以认为,个人信息自决权理论的核心就在于认为个人信息是个人可控的,个人可以决定何时、何地、如何使用个人信息。
依据个人信息自决权理论很容易推导出个人可以自主控制与支配个人信息的结论。〔37〕据此还容易推导出“未经个人同意”个人信息的处理不具有合法性的结论,个人同意成为合法处理的唯一标准,当前立法一定程度上也受此影响。例如,《消费者权益保护法》第29 条规定:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意;《网络安全法》第41 条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。作为绝对权性质的具体人格权具有支配性和排他性,似乎非常契合于个人信息的民法定位。但容易为人忽视的是个人信息自决权产生的背景与适用领域,它并不能直接套用到个人信息的私法规范中。
首先,个人信息自决权理论仅适用于宪法层面。欧洲在“二战”后强调人权尊严与保护背景有关,在基本权利层面,德国联邦宪法法院虽然提出了个人信息自决权这一概念,但其无意设定绝对不受限制的个人信息自决权,个人对个人信息并没有绝对的支配权。〔38〕参见杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护之保护客体》,载《比较法研究》2015 年第 6 期。可以明确,所谓的个人信息自决权诞生于宪法法院,是人权背景下对于个人基本权利的保护,旨在防止政府机关不合理地收集和使用个人信息。因此,个人信息自决权从未成为私法领域论证“个人信息权”的理论基石,个人能否对个人信息进行完全地自主控制与支配本身仍存在很大的争议。〔39〕有学者认为,个人信息的保护应当由个人控制转向社会控制。参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018 年第3 期。
其次,个人信息自决权理论还受制于技术背景的局限性。诞生于20 世纪七八十年代的个人信息自决权理论,在当时的技术背景下,不论是政府还是大型企业都无法实现对个人信息的价值挖掘,即个人信息在当时技术下可以被认为是可控的。但在进入互联网与大数据时代,信息的流通与利用技术得到迅速发展,个人信息价值得到不断地挖掘。在这一背景下,若仍然坚持个人对于个人信息的完全支配与控制,既不符合当前的产业实际,也无益于个人主体利益的实现。
最后,即使是在基本权利层面,个人信息自决权仍是受到限制的。据学者研究,他人对信息主体的个人信息享有一定程度的利益,理应具有知悉的权利,这种权利应当受到法律的保护。相应地,信息主体的决定自由就应受到限制。〔40〕参见任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016 第1 期。换言之,在宪法层面个人信息自决权也要受到知情权、言论自由等权利的限制,也并非是绝对的。〔41〕参见蔡星月:《数据主体的“弱同意”及其规范结构》,载《比较法研究》2019 年第4 期。因而,不加转化直接套用宪法领域的个人信息自决权理论用于私法体系中权利论证具有很大的缺陷,甚至有学者认为,“在私法领域个人信息自决权这一观念不仅毫无用武之地,而且如果整个法秩序以其为核心,则很有可能导向信息禁止这一可怕的境地”。〔42〕杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护之保护客体》,载《比较法研究》2015 年第 6 期,第31 页。
综上,个人信息自决权最早是由德国联邦宪法法院确立,围绕着该权利的讨论其实是一项宪法上的基本权利,主要是基于个人尊严自由的保护,不能直接成为论证个人信息权为具体人格权的理由。个人信息自决权理论并非私法意义上的信息自决权,欧盟GDPR 的个人数据权利也从未建立在个人信息自决权的基础之上。至于该权利应当如何落地成为一项私法上的权利法院并没有给出明确的解释。因而,我们不能将宪法意义上的个人信息自决权理论作为论证个人信息为具体人格权的理由。
(二)个人信息权权利客体的理论困境
具体人格权是一项绝对权性质的权利,意味着为不特定他人设定了一项消极义务,这就要求具体人格权的权利客体是相对清晰的。但从权利客体上看,个人信息权利客体的界定与分类仍存在很大的问题。
1. 客体界定:“可识别性”的不确定性
理论上,个人信息一般指的是与个人有关,可直接或间接识别特定个人的信息。这一看似清晰的概念,却在各国法律规范中呈现出不同的内容。个人信息在美国被称为“个人可识别信息”(Personal Identifiable Information),欧盟一般将个人信息称为个人数据,GDPR第4条第1款对此进行了界定。〔43〕个人数据指的是任何已识别或可识别的自然人相关的信息,一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。See GDPR Article 4.
我国现行法对个人信息的界定也并未统一。《网络安全法》第76 条第5 款对于个人信息进行了界定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”〔44〕《数据安全管理办法(意见征求稿)》第38 条第3 款采纳相同的个人信息定义。但全国信息安全标准技术委员会《个人信息安全规范》第3.1 条一定程度上扩张了个人信息的定义。第3.1 条规定个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。除了能够识别个人身份的信息之外,反映个人活动情况的各种信息也被纳入个人信息的范畴。而我国《民法典》第1034 条,把能够识别自然人的各种信息均认定为个人信息,而不限于识别个人身份的信息。〔45〕《民法典》第1034 条第2 款:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息的内涵在当前立法并不明晰,采用宽泛的个人信息还是狭义的身份信息一直是界定个人信息的难题。个人信息内涵的界定目前采用“识别性”已经基本成为通说,〔46〕参见张新宝:《〈民法总则〉个人信息保护条文研究》,载《中外法学》2019 年第1 期。但以“可识别性”作为个人信息的内核,事实上并未明晰个人信息的范畴与边界。
第一,可识别的理解不同。个人信息概念的核心就是可识别性,如美国“个人可识别信息”界定主要依据的是“可识别”与“已识别”的概念。〔47〕See Paul Schwartz and Daniel Solove, “Reconciling Personal Information in the United States and European Union” 102 California Law Review 877 (2014).欧盟GDPR 序言第26 条也将个人数据界定为数据控制者或第三人合理可能性的识别性。〔48〕See The General Data Protection Regulation, Recital 26.因而,可识别性构成了当前学界与立法界定个人信息内涵的核心。但就可识别的标准学界并未达成一致,即可识别性是对于数据控制者而言,抑或是包含了数据控制者在内的任何的第三人?前者是狭义上的理解,而后者是广义上的理解。〔49〕See F. J. Zuiderveen Borgesius, “Singling Out People without Knowing their Names – Behavioural Targeting, Pseudonymous Data, and the New Data Protection Regulation” 32 Computer Law & Security Review 264 (2016).再者,个人信息的可识别性是指识别自然人的身份,还是包括识别自然人的个性特征?当前立法中对概念的使用也颇为混乱,如《网络安全法》第76 条规定显然仅指前者,即狭义上的身份识别,而《民法典》第1034条的界定显然更为宽泛,包含了识别个人的各类信息。因而,立法上对于可识别性标准应当采广义抑或是狭义理解存在分歧。
第二,结合识别的可能性。理论上认为结合识别属于间接识别,通过信息之间的结合间接地识别出个人身份,此类信息也可被纳入个人信息范畴。〔50〕参见金耀:《个人信息去身份的法理基础与规范重塑》,载《法学评论》2017 年第3 期。这种间接结合识别的可能性在互联网环境下尚且容易判断,但在大数据时代,识别的可能性是非常难以量化判断的,任何信息均具有结合识别的可能性。典型的如去识别的个人信息,其重新识别(Re-identification)能力随着技术发展不断增长,不少法律学者与技术专家认为在这一意义上看,可识别信息与不可识别信息不再是一项有实质意义的区分。〔51〕See Purtova Nadezhda, “The Law of Everything. Broad Concept of Personal Data and Future of EU Data Protection Law” 10 Law, Innovation and Technology 40 (2018).换言之,随着数据处理技术的发展,以及大量的数据被用于分析,绝对化与不可逆转的匿名信息不再可能。〔52〕Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization” 57 UCLA law Review 1701 (2009).事实上,个人信息的重新识别依据的也是结合识别,通过大量信息的比对与结合还原个人的信息。因而,由于结合识别性的广泛存在,将识别性作为个人信息权利核心会导致权利客体的扩大。
第三,识别抑或关联。个人信息的可识别性构成了个人信息核心概念,但细究欧盟GDPR 第4 条对于个人数据的界定,其使用的是“关联”(Relating to)这一术语。我国《个人信息安全规范》在附录中明确判断信息是否为个人信息主要有两条路径:一是识别;二是关联,即从个人到信息,个人在其活动中产生的信息也属于个人信息。那么我国个人信息范畴是否也应当采纳“关联”?欧盟第29 条工作组认为准确地找到信息与个人之间的联系是非常重要,其界定的关联非常广泛,信息只要在内容、目的或结果上可以联系到个人即可。〔53〕Article 29 Working Party opinion 4/2007 on the concept of personal data, 20 June 2007.显然,关联到个人信息从范畴上大于“关于”(About)个人的信息,也突破了以可识别性为内核的个人信息的逻辑体系。
从权利客体上看,所谓的“个人信息权”其权利客体范畴存在极大的不确定性,其主要来源于内核“可识别性”的模糊性。正如论者所言,在所有数据都是个人数据并适用数据保护的情况下,GDPR高度集约且不可扩展的权利和义务制度将无法以有意义的方式维持下去。〔54〕See Purtova Nadezhda, “The law of everything. Broad concept of personal data and future of EU data protection law” 10 Law, Innovation and Technology 40 (2018).
2. 客体分类:敏感信息区分的相对性
理论界较为推崇个人一般信息与个人敏感信息的二元区分,〔55〕参见阳雪雅:《论个人信息的界定、分类及流通体系——兼评〈民法总则〉第111 条》,载《东方法学》2019 年第4 期;胡文涛:《我国个人敏感信息界定之构想》,载《中国法学》2018 年第5 期;叶名怡:《个人信息的侵权法保护》,载《法学研究》2018 年第4 期。对于个人敏感信息给予更强的法律保护。〔56〕See Paul Ohm, “Sensitive Information” 88 Southern California Law Review 1125 (2015).当然,这一理论也体现在相关的立法规范中,如欧盟GDPR 第9 条列举了敏感特殊种类的信息,〔57〕政治观点、宗教信仰、工会资格、基因数据、生物特征、健康数据、性生活、性取向等数据构成了特殊类型的数据,即学理上的个人敏感信息,立法对其处理要求也更为严格。See The General Data Protection Regulation, Article 9.我国《个人信息安全规范》附录也不完全列举了个人敏感信息。〔58〕《个人信息安全规范》附录B 规定,个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、其他信息。当前学界对于个人信息的分类也为很多学者所采纳。值得考究的是,上述个人信息的分类可否具有规范意义上的价值?敏感信息的特殊保护能否佐证个人信息作为具体人格权?
本文认为,一般信息与敏感信息的区分具有相对性,不宜成为个人信息法律规范的具体标准,理由如下。
其一,一般信息与敏感信息的区分没有统一标准。各国立法试图为一般信息与敏感信息进行分类,对于敏感信息采取特别的保护,但就敏感信息的内容各国却存在较大的分歧。例如,欧盟GDPR认为种族、政治观点、宗教、工会成员、基因信息等定义为敏感信息,而我国《个人信息安全规范》认为敏感信息是身份信息、生物识别信息、健康生理信息、个人财产信息等。很明显,如种族、宗教这些信息在我国难以认为是敏感信息,而个人财产信息也未被欧盟认为是敏感信息。有学者认为我国个人敏感信息确定应当结合泄露信息是否导致重大伤害、大多数对某类信息的敏感度等因素考量。〔59〕参见胡文涛:《我国个人敏感信息界定之构想》,载《中国法学》2018 年第5 期。综上,敏感信息的认定与区分具有地域性,并无统一的标准。
其二,一般信息与敏感信息存在转化的可能性。理论上,区分个人一般信息与敏感信息实属不易,更为棘手的是二者在一定场景下还可能转化。具体而言,当前关于个人一般信息与敏感信息的区分大体都是基于静态的划分,缺少对于个人信息场景、使用目的、使用方法等因素的考量。不同场景下,个人信息的敏感性就完全不同。例如,脸书(Facebook)数据泄露一案中,关于用户个性偏好的信息,如果只是用于精准广告等商业用途对于主体而言也并非是敏感信息,但这类信息用于政治分析并影响选举,上述信息就可能从一般信息转化为敏感信息。因而,当前对于一般信息与敏感信息的区分一般采取静态的列举方式,但某一信息是否具有敏感性的判断必须结合具体的场景,即敏感信息的判断具有一定的主观性。比如说个人通讯录信息是否具有敏感性往往因人而异。
其三,个人一般信息与敏感信息的区分规范价值有限。为个人敏感信息提供更为严格的保护旨在应对损害个人基本权利与自由的巨大风险。〔60〕See The General Data Protection Regulation, Recital 85.但如前所述,由于敏感信息的界定与分类缺乏统一的标准,而且存在主观性而可能相互转化,因而相关立法能否完全据此展开仍存在疑问。有学者认为敏感信息与非敏感信息的划分,并非严格规范意义上的法律术语,并且敏感信息与隐私的关系仍模糊不清。〔61〕参见彭诚信:《数据利用的根本矛盾何以消除——基于隐私、信息与数据的法理厘清》,载《探索与争鸣》2020 年第2 期。事实上,当前我国立法规范并未采纳此类区分,只是在《个人信息安全规范》中借鉴了欧盟关于“特殊种类信息”的内容。在法律规范上,敏感信息的收集与使用不同于一般信息,往往需要采取严格的主体同意规范,但不能由此推导出需要创设一项新型人格权的结论。理由在于,其仅仅是代表了一类特殊的个人信息,其法律规范无法推演适用于其他个人信息。
将个人信息纳入人格权体系,意味着其法律规范应当区别于隐私权,并非绝对化的保护。个人信息权利客体的界定与分类具有不确定性与相对性,绝对化的具体人格权与个人信息内在的特质相悖。
(三)具体人格权定位不符合立法趋势
当前国际社会个人信息的保护框架,大多数是基于1980 年的OECD《隐私保护与个人数据跨境流通指南》、欧盟1995 年的《个人数据保护指令》及美国特定领域的立法,有学者将其称为第一代隐私保护框架。〔62〕See Omer Tene, “Privacy Law’s Midlife Crisis: A Critical Assessment of the Second Wave of Global Privacy Laws”74 Ohio St. L. J. 1220(2013).可以说该框架奠定了当今世界主要国家个人信息保护的规则,其理论基础在于OECD 在《指南》中提出的八项个人信息保护的基本原则。〔63〕OECD《指南》确立的八项基本原则为:收集限制原则、数据质量原则、目的特定原则、使用限制原则、安全保护原则、公开原则、责任原则。See OECD, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 1980.上述基本原则最早又可以追溯至1973年美国提出的“公平信息实践”(Fair Information Practice)原则。〔64〕See U.S. Department of Health, Education & Welfare: Records, Computers, and the Rights of Citizens, July 1973. 国内亦有学者对公平信息实践原则的生成、演进与重构进行了深入剖析。参见丁晓东:《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》,载《现代法学》2019 年第3 期。可以说,欧美国家个人信息法律规范同源于上述基本原则,但在具体保护个人信息的路径与力度上存在一定的差别,但并未呈现出具体人格权立法的趋势。
欧盟自1995 年《个人数据保护指令》颁布以来,成员国大多都建立了各自的个人信息保护法。学者在论及“个人信息权”时,一般以比较法上各国的“个人信息权”作为依据,但深究欧盟新颁布的GDPR,其并未确立一项个人可以绝对控制的“个人数据权”,而只是从保护个人在数据时代的尊严与自由为目的,规定了“个人数据保护权” (The Right to Protection of Personal Data)。正如有学者指出的,欧盟没有私法意义上的个人信息权,而只有个人信息保护权,相关的国际公约均采纳后者的表述。〔65〕参见高富平主编:《个人数据保护和利用国际规则:源流与趋势》,法律出版社2016 年版,第1-4 页。在GDPR 实施届满一年之际,欧盟委员会在其报告中认为,强有力的数据保护规则对于保护基本权利“个人数据保护权”至关重要,是数据经济的重要组成部分。〔66〕See Communication of the Commission of 24 July 2019 to the European Parliament, the Council,Data protection rules as a trust-enabler in the EU and beyond – taking stock, COM (2019) 374 final.从根本上来看,欧盟个人数据保护的根源在于基本人权的保护,即个人的尊严和自由价值,并对其他国家的数据立法产生了重要影响。〔67〕基本权利层面为保护数据处理中的个人数据成为各国立法的主要目的,典型如德国《联邦数据保护法》(Federal Data Protection Act),法国2016《数字共和国法案》(Digital Republic Law),英国2018 年《数据保护法》(Data Protection Act 2018)等。因而欧盟所谓的“个人数据保护权”是一项基本权利,区别于民法中的具体人格权。
由于其不存在人格权体系,美国立法将个人信息的保护问题纳入隐私权框架体系。在隐私立法层面,美国也缺乏统一的信息隐私立法,其更依赖于特定领域的专门立法(健康、金融、信用、儿童、通信等),借助于较为完备的隐私侵权救济,配合美国联邦贸易委员会强大的行政执法权,隐私保护与个人信息利用这对矛盾体却得到了较好的平衡。〔68〕See Paul Schwartz and Daniel Solove, “Reconciling Personal Information in the United States and European Union” 102 California Law Review 877 (2014).事实上,美国的隐私权从其诞生之初就是为了防止政府对于个人生活的侵扰,其根本目的在于保护个人尊严与自由,〔69〕1965 年美国联邦法院在“格里斯沃德苏康涅狄格州案”首次在宪法层面确立了隐私权,参见吴至诚译:《美国法对隐私权的确认——格里斯沃德诉康涅狄格州案》,载《苏州大学学报(法学版)》2006 年第1 期。而无意于赋予个人对个人信息的绝对控制。随着信息技术的发展,美国法上的隐私权衍生出了信息隐私权的概念,还包含了个人信息的保护与利用规则。但不能据此认为,美国也存在类似于隐私权一样的“个人信息权”,美国个人信息立法规范依托于隐私侵权救济体系。而在州层面,美国《加利福尼亚州消费者隐私法》(The California Consumer Privacy Act)于2020 年正式生效,旨在通过赋予消费者更多的权利以实现消费者的隐私利益。〔70〕See California Civil Code § 1798.(The California Consumer Privacy Act)
因而,纵观当前国外个人信息立法,欧洲国家大多在基本权利层面明确个人数据受法律保护的原则,而美国则依托于广义的隐私权救济体系,并开始在消费者层面尝试专门立法。基本权利层面明确保护原则,在专门立法尤其是消费者隐私立法中进一步细化权利内容、强化控制者义务,形成一套兼顾信息保护与利用的机制构成了当前个人信息立法的趋势。可以说,一些学者倡导具体人格权路径一定程度上并不符合当前个人信息立法趋势。
(四)个人信息法益保护的场景性
民法典不宜设置绝对权性质的“个人信息权”,也不能把个人信息保护条款解释为赋权内容。其根本上在于个人信息法益保护的多元性与场景性。个人信息法益保护的多元性目前学界已经对此有了丰富的论述,国内一些学者已经开始介绍国外个人信息“场景性”理论,〔71〕参见丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018 年第6 期;范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016 年第5 期;金耀:《消费者个人信息保护规则之检讨与重塑——以隐私控制理论为基础》,载《浙江社会科学》2017 年第11 期。但对于该理论如何融入私法规范体系并无统一的认识。
所谓的“场景性”理论,是美国教授海伦·尼森鲍姆提出的,其主张把隐私问题纳入信息流通场景中理解与保护。〔72〕Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2009, p.236.这一理念深刻地影响了欧美国家个人信息相关立法,并呈现出不同的规范内容。如美国《消费者隐私权利法案》明确采纳该理论,第103 节规定企业在收集和处理个人信息过程中,如果场景的使用符合消费者预期的,就无需征得个人同意。〔73〕See Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015.在企业隐私自治中,美国隐私风险管理与评估一定程度上体现了场景理论。而在欧盟GDPR 中也体现了场景性理论的运用,如该法第6 条规定了数据处理的合法性原则并未将主体同意作为唯一合法要件,而是将履行合同、履行法定义务、公共利益也作为合法性基础,〔74〕See The General Data Protection Regulation, Article 6.亦有学者将其称为“合法利益的豁免”。〔75〕参见谢琳:《大数据时代个人信息使用的合法利益豁免》,载《政法论坛》2019 年第1 期。欧盟GDPR 也将场景理论转化为具体的规范,如第25 条规定了“通过设计的隐私保护”(Privacy by Design),在数据处理中应采取合适的技术与组织措施。因而,个人信息权益的保护要充分考虑数据处理的性质、处理的范围、处理的场景与目的等,根据个人信息流通与利用的具体场景与情形,结合个案进行判断,即该权益是否应归属于数据主体,以及如何与其他主体进行平衡。法律不宜采用绝对化人格权赋权模式,只需要对此理论或者路径进行原则性的规定。
个人信息权益保护的场景性理论也决定了个人信息权益与隐私权为代表的具体人格权存在很大的不同。隐私利益来源于个人的尊严与自由价值的保护,而且这种保护是绝对的,尤其要预防公权力对于隐私利益的侵害;但个人信息权益虽也来源于人权或基本法意义上的人格尊严与自由,但值得法律所保护的个人信息权益并不是绝对的,其还应当受到社会利益、公共利益的限制,个人信息权益规范应当视具体的场景与情形而定。因而,隐私利益与人格权体系更为契合,这也是隐私利益逐步为司法实践所承认,并从一项法益上升为具体人格权的原因;而个人信息法益判断由于存在场景性特征,其个人信息具体内涵很难通过“可识别性”进行清晰界定,一旦权利的客体无法清晰界定,绝对权的设置毋宁是对他人自由的侵害。
综上,个人信息权益保护的场景性表明,理论上无法运用“可识别性”来准确划定个人信息的范畴,也无法依靠一般与敏感信息标准作为个人信息具体规范依据。基于此,本文认为,民法典个人信息规范并未创设类似于隐私权的具体人格权,其私法规制路径有待进一步构建。
四、个人信息法益行为规制路径的展开
《民法典》将个人信息保护规范纳入其中,体现了民法典的时代性与创新性,但这并不意味着在人格权体系中创立了一项新兴的具体人格权。《民法典》第111 条明确了个人信息法益是一种受法律保护的人格利益,适用于一般人格权下的法益侵权救济,而在正在开展的个人信息专门立法应当在此基础上开展行为规范平衡机制的构建。
(一)民法定位:一般人格权下法益侵权救济
理论上,一般人格权是德国法院通过大量侵权判例发展出来的制度,创造了一种框架性权利,在体系上被认为属于《德国民法典》第 823 条第1 款所规定的“其他权利”一种。〔76〕参见薛军:《揭开“一般人格权的面纱”——兼论比较法研究中的“体系意识”》,载《比较法研究》2008 年第5 期。一般人格权是一种框架性权益,旨在实现对具体人格权无法规制的法益进行补充的规范。相较于具体人格权具有的支配与排他效力,一般人格权存在“虽有权利之名,但无权利之实”的特征,即一般人格权堪称一个虽有权利之名,却无法说清其归属的利益内容的典型。一般人格权并没有课以他人确定的法律义务,并没有对抗一切他人的功能,一般人格权依然没有归属效能、排除效能和社会典型公开性,“权利的宽大外衣之下包裹的仍然是利益瘦小的身躯”。〔77〕于飞:《侵权法中权利与利益的区分方法》,载《法学研究》2011 年第4 期,第113-116 页。我国《民法总则》第109 条构成了我国民法意义上的“一般人格权”。〔78〕参见杜万华:《〈中华人民共和国民法总则〉条文解释与适用》,人民法院出版社2017 年版,第746-749 页;陈甦主编:《民法总则评注》(下册),法律出版社2017 年版,第749-762 页;叶金强:《〈民法总则〉“民事权利章”的得与失》,载《中外法学》2017 年第3 期。我国构建了特有的人格利益开放保护模式,即由人格权法中的人格利益保护一般条款,确立一般人格利益的应受保护性,进而通过侵权法实现一般人格利益的开放性保护。〔79〕参见叶金强:《〈民法总则〉“民事权利章”的得与失》,载《中外法学》2017 年第3 期。换言之,一般人格权本质上仍然是一种利益的保护,而名义上赋予其“权利”称谓只是法政策学上的考量,无法确立一种确定的、排他的绝对权。因而,如果将个人信息定位为一般人格权,并不会导致个人对个人信息的绝对控制支配,而且主要可以通过侵权法救济实现主体利益的保护,从法效果上构建了类似于美国模式的个人信息立法。〔80〕欧盟GDPR 模式是构建统一的“个人数据保护权”,并为数据控制者设定义务的模式;而美国模式是分散的专门立法,将个人信息融入信息隐私权范畴,以侵权法进行救济。
如果将个人信息定性为一般人格权,其是否还享有积极的请求权?有学者认为,信息主体依据个人信息立法规范享有积极的请求权即查询权、更正权和删除权等。〔81〕参见杨芳:《个人信息保护法保护客体之辩》,载《比较法研究》2017 年第5 期。个人信息权的权能,不仅包括了访问权、可携带权和收益权等积极权能,同时具有更正权、限制或反对处理权以及删除权(被遗忘权)等消极权能。〔82〕参见叶名怡:《论个人信息权的基本范畴》,载《清华法学》2018 年第5 期。本文认为,根据一般人格权的基本原理,作为一般人格权主体只有消极的防御性请求权,而不具有积极的请求权。如此定位还需要从理论上追问,如何理解欧盟GDPR 中规定的“删除权”“数据可携权”与个人信息权益的关系?如前所述,欧盟个人数据保护权下的各项权利是在基础权利层面,需要考虑与其他权利、自由的冲突与平衡,如删除权或被遗忘权的行使是具有条件的,而非主体可以直接支配的。事实上,欧盟上述权利在实践中也遇到了很大挑战,基础权利层面的定位对于数据者控制者限制过大,不利于数据资产价值的实现。因而,在民法典规范中不宜创设具有绝对权性质的个人信息权,抑或是相关的积极权能。
在一般人格权框架下,如何实现个人信息财产要素需进一步明确。个人信息具有财产属性并成为数据产业主要利用对象,一般人格权的定位是否会影响个人信息财产价值的实现?事实上,人格要素的商品化或财产化可为主体带来一定的财产利益,有学者称为是人格要素的释放。〔83〕参见马俊驹:《我国人格权基础理论与立法建构的再思考》,载《晋阳学刊》2014 年第2 期。人格要素的利用可以间接产生经济价值,从而衍生出人格权的财产属性。〔84〕参见温世扬:《人格权“支配”属性辨析》,载《法学》2013 年第5 期。《民法典》第993 条明确除了法律规定或根据其性质不能许可的,个人可以将自己的姓名、名称、肖像等人格要素许可他人使用。而个人信息是一种典型的可以许可他人使用的人格要素,个人信息被纳入人格权编,可以通过体系解释将其纳入第993 条的适用范围。因而,将个人信息定位为一般人格权,并不影响个人信息财产属性的实现。但应指出,不同于个人信息人格利益,财产利益实现路径主要是通过许可使用的方式,主要是商品化中的违约责任救济。〔85〕参见商希雪:《个人信息隐私利益与自决利益的权利实现路径》,载《法律科学(西北政法大学学报)》2020 年第3 期。
民法典一般人格权下,个人信息法益保护路径主要依靠的是侵权法救济,这一路径既契合于当前的规范体系,也为个人信息专门立法中制度创新保留了空间。从规范体系上看,个人信息的侵权法保护宜作为个人信息事后救济的最后手段,个人主体可以依据《民法典》第111 条、第1167 条作为请求权基础。当然,个人信息侵权法救济面临着诸多的挑战,学者从侵权构成要件、因果关系等方面对于个人信息侵权保护规范进行了完善。〔86〕参见叶名怡:《个人信息的侵权法保护》,载《法学研究》2018 年第4 期;陈吉栋:《个人信息的侵权救济》,载《交大法学》2019 年第4 期。更为重要的是,法益行为规制路径可以最大限度释放信息红利,促进信息的流通与利用。理由在于这一路径也蕴含着这一结论:除非有法律明确规定,不能直接推定其他主体对于个人信息的利用行为具有不法性。换言之,只要个人信息的利用行为不侵害主体的合法利益,信息控制者的利用行为就具有了合法性。因而,个人信息利用合法性的边界不应当完全交由主体决定,应当根据信息利用的类型、目的、风险等场景因素区别规范,而这一任务应当交由专门立法集中解决。
(二)专门立法:主体权利与平衡机制构建
当前民法典规范体系下,学界的任务并非是对个人信息条款再进行扩张性解释为“个人信息权”,也并非要借鉴隐私权、知识产权、知情权等外部权利进行具体权利构造,而是应当在人格权体系下坚持法益行为规制的路径,寻求在专门立法中完善对于个人信息保护与利用平衡机制的创新。个人信息的私法规范路径应当遵循民法典“法益侵权法救济”+专门立法“平衡机制的创新”的路径。专门立法应当重点考虑以下问题。
其一,完善个人信息财产利益的实现。个人信息主体的人格尊严与自由是私法保护的逻辑起点,主体人格利益保护应成为个人信息法律制度的前提与基础,但不能忽视对于个人信息财产价值的实现。具体而言,个人信息规范应当完善个人信息主体参与数据经济红利的分享机制,如建议将个人信息“普遍免费”模式向“普遍免费+个别付费”模式的转变,〔87〕张新宝:《“普遍免费+个别付费”:个人信息保护的一个新思维》,载《比较法研究》2018 年第5 期。个人信息资产化或信托化研究的兴起也旨在实现个人信息的财产价值。〔88〕Schwartz, Paul M. and Solove, Daniel J., “The PII Problem: Privacy and a New Concept of Personally Identifiable Information” 86 New York University Law Review 1814 (2011).再如,欧盟GDPR 第20 条创设的数据可携权规范,数据主体有权访问自己的数据,并有权要求数据控制者向其他主体传输数据。〔89〕See The General Data Protection Regulation, Article 20.通过上述利用规则的构建,个人参与数据经济就成为一种可能,并可以据此参与数据红利的分享,获取更好的产品或服务。因而,个人信息商业化利用要在保护个人主体人格利益的前提下进行,通过规范设计充分释放个人信息的财产价值。
其二,探索不同领域的个人信息权利。如前所述,基本权利或者绝对权性质的定位并不符合个人信息法益的特殊性,而是应当结合具体信息的类型、使用目的、场景风险在不同行业领域创设强度适中的主体权利。比如,信息权利可以首先从具体行业领域入手,如澳大利亚《消费者数据权利法案》旨在金融领域构建对于消费者的特殊保护,通过构建消费者访问权以实现消费者对于个人信息的控制,〔90〕See Treasury Laws Amendment (Consumer Data Right) Bill.并逐步将此推广至能源、通信、互联网交易等领域。不同行业领域赋予主体多大程度的信息控制权应当是不同的,根本是个人信息法益的多元性与场景性决定的。因而,专门立法不宜规定一揽子普遍适应的主体权利,而是主要采用行为规制的路径,主要对相关的个人信息收集、处理和使用行为进行规范。值得注意的是,新加坡立法即将新增的数据可携权规定并未遵循权利路径,而是采取了数据控制者携转义务(Obligation)的立法表达,体现了行为规制的思路。〔91〕See Personal Data Protection Commission of Singapore, Public Consultation on Review of the Personal Data Protection Act of 2012-Proposed Data Portability and Data Innovation Provisions 17 (May 22, 2019).
其三,平衡多重主体的不同利益。个人信息法益保护与利用之平衡,从根本上来看是个人信息相关多重主体的利益平衡问题,如何实现信息主体、信息控制者、社会机构之间的平衡机制构成了个人信息专门立法的重点。针对这一议题,学界已经意识到个人信息主体利益与信息控制者财产利益平衡,相关的制度构建也均围绕着个人与企业之间的利益平衡而展开。〔92〕参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015 年第3 期;程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018 年第3 期;龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017 年第4 期。个人信息的公共利益属性也决定了个人信息的制度设计应当将公共机关作为平衡的重要主体之一。此外,利益主体的平衡机制创新还可以积极吸收其他领域的最新成果,如数据伦理理论(Data Ethics),即个人数据的保护与利用除了符合合法性与技术性要求外,还应当符合数据伦理框架。〔93〕Department for Digital, Cultrue, Media & Sport, Data Ethics Framework, 2018.
综上,个人信息主体人格利益的保护是民法保护的逻辑起点,在此基础上还需要进行制度创新,重点在于实现个人参与数据红利的分享,即不仅要实现数据利用过程中对于人格利益的保护,还要设计主体参与数据红利的产生与分享机制。
五、结论
隐私权从来不是逻辑推演的产物,其离不开司法与立法对于该权利的确认,但并非所有的法益都可以上升为一项具体的权利。〔94〕参见方新军:《一项权利如何成为可能?——以隐私权的演进为中心》,载《法学评论》2017 年第6 期。个人信息法律规范并不是要寻求赋予绝对支配的“个人信息权”,其真正要解决的是个人对于个人信息利用行为的控制问题,即信息控制者对于个人信息的利用不得侵害个人的主体合法利益。个人信息法益的多重性与场景性的特征,决定了其无法套用隐私权而设置一项类似的新型人格权。本文认为,构建绝对权性质的具体人格权并不符合个人信息相关理论与立法的实践,具体人格权的定位将会是个人信息专门立法与制度创新的掣肘。理论界应当采取更为务实的态度,将当前相关的个人信息条款解释为法益规范,而个人信息专门立法宜采用法益行为规制路径,围绕着个人信息多重利益的实现,进行平衡机制的创新。
