摘 要
自羅馬法始,傳統民法就對個人信息上的人格利益予以保護。信息時代的個人信息保護因規范自動化個人信息處理技術對人格的威脅而生,其規制對象為信息處理行為。區別于普通的個人信息使用關系,信息處理關系是信息能力不平等主體間的法律關系,民法所保護的信息處理關系中的法益應被表達為信息處理中的自主利益(或自決利益)。該利益的保護有兩個重要前提:一是民事主體之間存在明顯的信息能力不平等;二是存在信息處理行為。對個人權益低風險的行為,系普通的個人信息使用,比如個人生活中的信息交往,非為信息處理關系的調整目標,僅民法調整,《個人信息保護法》完全不適用;但是對信息處理關系中的信息處理行為的規制,《個人信息保護法》中的民事條款應當作為民事特別條款,予以優先適用。
關鍵詞
基本權利 第三人效力 信息處理行為 信息處理中的自主利益
自然人作為個人信息的主體,自然人的姓名、肖像等個人信息與其人格須臾不可分離。因此,有學者認為,個人信息作為人的延伸,應當由主體所掌控,體現個人意志。 自羅馬法以降,民法就保護個人信息上的人格利益(如羅馬私法上侵辱之債, 對自然人的名譽的保護)。傳統民法“從法律技術上將人格分割成一個個要素,擇其主要者予以維護”, 其保護路徑層次非常清晰:首先,對肖像、姓名等邊界清晰的人格利益,通過肖像權、姓名權等具體人格權予以保護;其次,對在歷史沉淀中已經類型化形成了規范群的隱私利益,提煉出隱私權作為一項具體人格權保護; 最后,邊界不明的其他人格利益,則置于一般人格權這項框架權利下。以上為個人信息在民法中表達的第一個層面。本文主要關切的為第二個層面,即信息時代個人信息如何保護?
一、作為一項基本權利的個人信息保護權
個人信息成為基本權利的客體,主要源于信息技術應用對個人權益保護的挑戰。20世紀60年代以后,隨著計算機技術的不斷發展,信息的大量收集、存儲和利用成為可能,使個人權益受到侵害的可能性增大,傳統意義上具有消極、被動特點的人格權很難適應社會發展的需要。 個人信息侵權逐漸表現為三個方面的新特征。首先,侵權人主要為組織體,自然人作為侵權人的案件甚至可以忽略不計。 其次,侵害手段多樣化,且侵害結果具有隱蔽性和持續性。長期、自動、大規模收集、處理個人信息的手段被組織體使用,其收集和處理行為不易察覺,比如“智能音箱記錄家庭對話”“大數據殺熟”等。最后,侵害事件具有高發性和高風險性。比如傳播他人隱私的行為,在普通個人信息使用關系中,其傳播范圍窄,且具有偶發性,發生侵權的風險遠低于信息處理關系。而在信息時代,個人信息被泄露甚至買賣,大范圍低成本傳播,風險極大。
美國學者們認識到普通法侵權救濟已經不足以應對日新月異的技術發展,為了平衡個人及信息控制組織之間的關系,以威斯丁(Westin)、米勒(Miller)等為代表的學者提出了信息隱私概念,將個人信息的保護納入了美國隱私權之下,認為個人“有能力控制信息的流通” 或是“個人、群體或組織決定自身信息何時、如何及何種程度與他人進行交流。” 主流觀點認為1977年華倫訴羅伊案確認了信息隱私在美國是一項憲法權利。 同時,政策制定者開始通過部門立法尋求新的個人信息保護路徑,迎來了20世紀70年代的聯邦立法潮。 歐洲為應對技術發展的挑戰采取了更為強力的舉措,歐洲人權法院解釋《歐洲人權公約》(ECHR)第8條第1款時認為該條包含了“使用個人數據對個人進行不可預測的分析可能對言論自由、隱私權和身份權(the right to privacy and identity),以及個人自決造成的影響”。 并在1981年通過了國際上第一個數據保護公約——歐洲委員會《個人數據自動處理中的個人保護公約》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)。2007年《歐盟基本權利憲章》(Charter of Fundamental Rights of the European Union,以下簡稱“歐盟憲章”)更是宣布數據保護為一項獨立于隱私權的基本權利。 美國法語境下對隱私權限縮(剔除墮胎等對個人身體的自決等)的信息隱私概念,與歐盟的個人數據保護概念殊途同歸。雖然歐美對隱私或個人數據保護路徑不同 ,但是個人信息保護作為人權或基本權利保護幾乎已成為一項共識。
個人信息保護是一個地道的舶來品,是歐美社會人權制度發展的產物,也是技術發展的附加品。 我國憲法雖然沒有如歐盟憲章規定數據保護權,但是個人信息受保護的基本理念實際上也可以從我國《憲法》中找到依據 。1982年憲法修訂時增加了“公民的人格尊嚴和榮譽不受侵犯,禁止用任何方法手段對公民進行侮辱、誹謗或者誣陷”的條款,2004年“國家尊重和保護人權”更是被寫入憲法。我國《憲法》第38條、39條、第40條、第41條、第47條、第51條和2004年《憲法修正案》第24條,均可以作為憲法保護的間接依據。 正如周漢華教授所言,“個人資料的收集、處理或利用直接關系到個人資料本人的人格尊嚴,個人資料所體現的利益是公民的人格尊嚴的一部分,因此是一種人格權利”。 在其擬定的專家建議稿中,第1條即開章明義,“為規范政府機關或其他個人信息處理者對個人信息的處理,保護個人權利,促進個人信息的有序流動,根據憲法制定本法”。
有學者分析基本權利模式保障個人信息應當作為我國的借鑒對象,原因在于:從現實角度考慮,數據化時代的個人信息保護有急迫性,因為技術的發展正在加大對自由、尊嚴等價值侵害的風險。 從理論角度出發,只有在基本權利層面確立了個人信息受保護的價值,其他部門法對個人信息保護的規范才有根本性的法律依據和上位法的支撐 。同時,確立個人信息保護權的基本權利屬性,厘清其與其他基本權利的關系,也更有利于實現其他基本權利(如言論自由、知情權等)。
二、獨立于普通個人信息使用關系的信息處理關系
依據《里斯本條約》(TFEU) 中規范基本權利的要求, 歐盟議會制定了《統一數據保護條例》(以下簡稱“GDPR”),該法已經成了國際上數據保護領域立法的標桿。有學者指出,個人信息立法規制的重點與其說是個人信息,倒不如說是“個人信息處理活動”。 筆者深以為然。個人信息保護法主要規范的是個人信息處理行為,其中核心是對個性識別分析和分析結果的應用。所以,“個人信息保護法”還可以有一個更為恰當的名字——“個人信息處理行為規制法”。
(一)信息處理行為作為個人信息保護法的核心
從個人信息保護法的發展源流來看,個人信息保護法制定之初,其主要立法宗旨就是要解決計算機處理個人信息所帶來的巨大風險問題,處理好技術進步與個人權利保護之間的關系。 早期的很多立法文件和法律,都帶上了“計算機處理”和“自動處理”的界定。 比如,1973年美國“正當信息通則”,僅適用于自動化個人信息系統。 該報告的意見成了1974年《隱私法》的基礎。而歐洲委員會《個人數據自動化處理中的個人保護公約》最初僅限于自動化處理,隨后才逐漸拓展到一般化的個人數據處理。有學者將20世紀70年代時期形成的立法稱為“第一代數據保護規范”,該時期的立法以一種功能主義的眼光看待數據處理問題,如果處理問題本身便是問題所在,那么立法就應當瞄準計算機的運作。 可見,個人信息保護是因規范自動化個人信息處理技術對個人人格的威脅而生,個人信息保護法規制的核心是信息處理行為。
我國正在制定個人信息保護法,通過檢索個人信息保護國際立法不難發現,即便發展至今,個人信息保護法所調整的,也依然是信息處理行為。 GDPR第2條明確指出,其調整的是“全部或部分通過自動化手段進行的個人數據處理行為,以及通過自動化手段以外的其他方式進行的、構成或旨在構成存檔系統一部分的數據處理行為”。同樣,德國2017年《聯邦數據保護法》第1條第2款第3節中也明確了法律適用范圍,“私營機構通過數據處理系統處理、使用或為了此類系統收集個人數據,或者在非自動存檔系統中處理、使用或為了此類系統收集個人數據的,適用該法”。
信息處理行為是指“全部或部分通過自動化手段進行的,以及通過自動化手段以外的其他方式進行的、構成或旨在構成存檔系統一部分”的行為。 而“構成存檔系統”,則僅指“可按照特定標準訪問的結構化的個人數據集合”。 這種處理行為,相比普通個人信息使用行為,是高風險的。 甚至有學者犀利地指出,信息處理會導致一種無力和無助的狀態,人們缺乏必要的權利和方式有效地參與到個人信息收集、使用和傳播過程中。 而個人同機構之間在信息流通過程中的力量不均是其在信息處理上的具體表現。
自2017年《民法總則》生效以來,個人信息民事侵權案件的數量與刑事案件相比極其有限, 這與個人信息保護有關的民事侵權存在維權成本高、因果關系證明困難、賠償數額低等原因有關。當然,《民法典》生效時間較短,個人信息保護法還在立法進程中,權利主體的權益不清晰,義務主體的義務規范不明確也是原因。但究其本質,恐怕還是因為個人與信息處理者控制和參與個人信息流轉的力量懸殊。 原、被告之間的“能力天平”過于傾斜,侵權行為極其隱蔽,當事人對侵權并不知情。以微信為例,2019年其活躍用戶已經達到11.12億戶 ,信息主體對騰訊的運營算法及收集方式都知之甚少,更談不上有效監督,相反,作為信息控制者和處理者的騰訊有技術上和數據體量上無可比擬的優勢,完全有能力實時監控。 可見,只有涉及利用信息能力的不平等收集、處理個人信息的行為,才是信息時代保護個人信息的法律真正要調整的。自然人在純粹私人之間或家庭活動過程中涉及個人信息的行為, 不存在信息能力的顯著不平等,顯然只是普通個人信息使用行為。
(二)信息能力不平等是信息處理法律關系的本質屬性
為了和普通個人信息使用關系作出區分,建立在信息處理行為基礎上的個人信息保護法所調整的法律關系,筆者稱為“信息處理法律關系”(需要說明的是,此處的處理是抽象處理概念,包括處理的整個生命周期,以下簡稱“信息處理關系”)。普通個人信息使用關系和信息處理關系的最大區別,在于前者調整信息能力平等的主體之間的關系,而后者調整的是信息能力不平等(也有學者認為是信息不對稱 、或持續性的信息不平等 )的主體之間的關系。
個人信息上的利益依賴特定的社會關系而產生,不同的社會關系中會有不同的個人信息利益,即使相同的信息在不同的社會關系中的利益也會有巨大差別。個人信息利益并非一個穩定和靜態的法益,而是隨著社會關系而動態變化的法益。在普通個人信息使用關系中,平等有序的社會關系決定了個人對其個人信息并沒有控制權,只有侵權人利用個人信息侵害法益的時候才可以訴諸于救濟,通過人格權和侵權責任制度來保障隱私利益和個人信息上其他人格利益,也即賦予主體一種消極的防御性權利來維護自主; 而在信息時代的信息處理關系中,信息處理行為本身就可能導致人格遭受不必要的侵害,無論信息處理者是否主觀上有侵害人格的故意,其處理信息的行為就可能給信息主體帶來擔憂,因此需要賦予信息主體額外的利益。基于此,個人信息保護法的本質彰明較著——非為保障個人信息作為一種個人自主決定的處分對象,而是在于對收集使用個人信息進行分析以形成與個人有關的各種畫像的權力的活動,進行必要的制衡,以盡可能避免權力通過對個人畫像,對個人的人格形塑造成負面的影響。
三、信息處理關系中的自主利益之民法保護
個人信息保護法是對主體權益的積極保護,是對處于弱勢的信息主體給予一定的傾斜,賦予主體防御性的隱私利益等以外的新的利益來平衡、糾正或反對這種信息能力的偏差。 因此,識別出在信息處理關系中究竟還存在何種利益,而這種利益民法又應當如何予以救濟是本文研究的焦點。
在信息處理關系中,因信息能力的不平等,許多學者認為必須賦予個體一種個人信息自決權(或個人信息權)來保護其利益,并且這種權利具有支配性特征,其義務主體負有相應的作為和不作為。 信息自決權來源于德國聯邦憲法法院在“人口普查案” 中的解釋,是“自我決定權”的一種特殊形態,自我決定的對象是與個人相關的信息。 有學者認為個人信息權是指自然人依法對其本人的個人身份信息所享有的支配并排除他人侵害的人格權,除了被動防御之外,還是一種積極的控制權。 甚至有學者提出,“現在的隱私權法律體系已經變動為以個人信息自決權為中心的法律關系。” 但是將個人信息自決權認定為是一種支配性的人格權,是對這一理論的誤讀。
(一)個人信息自決權:憲法權利還是民法權利
個人享有信息自決權,即自己決定自己的個人信息及其存儲、轉讓和使用, 須追溯至1983年德國聯邦憲法法院“人口普查案”。對信息自決的考慮允許自己決定什么時候、在什么限度內公開自己的生活狀態。 其目的是為了確保“國家為個人保留內在空間。在這個空間之內,個人是自身的主宰。因此,個人可以完全排斥外在世界,獨自退回內在主體,并享受在其中隱居的權利”。 “人口普查案”的案件背景是聯邦政府制定人口普查法,試圖對全國進行人口普查,引發擔憂和不滿。該案通過聯邦憲法法院進行訴訟,法院基于德國《基本法》第1條第1款和第2條第1款的一般人格權出發,提出了個人信息自決權(informationelle Selbstbestimmung), 在判決中明確其為一項憲法權利,但是對該權利有具體的適用環境的限制:一方面,該案是針對國家強制的信息收集行為,并未說明對私法領域可以一般適用,任意的擴張沒有合理的理論基礎, 因為憲法上的基本權利與民事權利在義務人、權利廣度、權利保護強度和對義務人的道德要求方面有本質區別; 另一方面,該案將個人信息自決權限制在信息處理關系中,“就此而言,在自動化信息處理技術面前,不再有‘不重要’的信息。” 概言之,在“人口普查案”的背景下,信息自決權的確立主要是防范公權力機關利用信息技術無限度攫取個人信息,或利用獲取的個人信息監控、畫像個人的可能。 在“人口普查案”中,德國聯邦憲法法院強調,個人對數據沒有絕對不受限的支配權利。 “個人對自己的信息所具有的權利不是絕對的、無限制的,他只是在社會中發展的獨立人格。”
個人與國家的關系與個人相互間的關系有著本質差別,一個受到保障的主觀公權力并不能必然推導出一個主觀的私權利,這是對憲法上的人格保護和私法上的人格保護混淆的結果。在個人信息保護領域亦是如此。憲法上的個人信息保護必須與民法上的個人信息保護相互區分,因為兩者的行為邊界很不相同,憲法上的個人信息保護直接對抗國家為方向與目標,而民法上的個人信息保護則需要考慮其他義務人的基本權所保護的自由利益,必須通過構造成套保護設備并結合比例原則確定合理的界線。 因此,我們需要考慮的是,德國聯邦憲法法院從《基本法》第2條第1款結合第1條第1款推導出的信息自決權,在多大程度上可以存在于民法中?而該信息自決權對于民法上的“個人信息自決權”保護范圍的確定又有何種意義?為了揭示憲法中的個人信息自決權在民法中一直以來的錯誤表達,有必要就另一德國法上的典型案例進行剖析。
德國學者引述德國聯邦法院2009年作出判決的“評師案”, 認為該案認可了民法中的“個人信息自決權”,并同時主張,個案中的利益衡量對于判定是否構成信息自決權侵害,依然必要。其中著名的論斷為:被告在公開的網站上評價被告并公開其個人信息的行為,侵犯了原告的個人信息自決(德國《聯邦數據保護法》的規定,同時也是人格利益),但是該利益并非不受限制,應當與被告的言論自由利益進行平衡。 該案的判決結果沒有太大的問題,對于原告的權益是否應受保護之論述也殊為合理,關鍵在于訴請中的個人信息自決權是否是該案的保護對象?筆者以為,該案中的原、被告雙方實際是普通個人信息使用關系,雙方都是自然人,不存在信息能力之不平等,被告也并未從事信息處理行為,因此該案與經“人口普查案”確認的信息自決權之間有巨大的背景鴻溝,德國學界錯誤地將憲法上的“人格權”和民法上的“一般人格權”混同,得出信息自決權亦是民事權利的一種,其論證并不嚴謹。私以為,民法中個人信息自決權的適用條件頗為嚴苛,對于信息能力相當的平等主體之間未利用信息技術進行信息處理的侵權案件,信息自決權不應當適用,比如在“評師案”中,通過傳統民法中的名譽之訴或隱私之訴就可以解決糾紛。換言之,信息能力平等的主體之間,未從事信息處理行為,無涉信息自決權。
有學者指出,雖然憲法人格權上的人格利益對司法產生“預示”效力,但這并不意味著憲法人格權能直接傳遞至民法人格權中。 憲法規范是完全針對國家權力的濫用風險而設計的特殊防御機制,這種機制并非基于對不存在權力差距和不可逃避性的私人關系的擔心而設計。 有學者主張在私人領域只要雙方權利不平等,就有必要直接適用基本權保障(直接第三人效力說), 然而,直接“第三人效力說”有破壞私法自治精神的嫌疑,正如謝鴻飛教授所言:在基本權利上,私主體之間的關系完全不同于私人和國家之間的關系,前者不可能在根本上侵害自由,而后者則可能。 通過對“人口普查案”和“評師案”的檢視,對憲法上的信息自決是否可以不受限制的直接轉介成為民法的一項權利,應當有很清晰的結論:憲法無法成為民法的直接淵源,憲法上的信息自決針對的是公權力機關實施的信息處理行為,其中隱含了兩個重要的因素:一是公權力機關的強者地位; 二是信息處理行為的高度危險性。因此,如果民法要“借用”憲法上的個人信息自決權(間接第三人效力說或客觀價值說), 必須要經過必要性和恰當性的檢驗,需要論證侵權人是類似于公權力機關一樣的“強者”, 此外,還必須證明該“強者”從事信息處理行為。
換言之,“信息自決權”是否可以成為民法保護的民事利益,是有前提條件的,最重要的一點即是必須滿足對“強者”制約的要求,即對具有強大支配力的信息控制者/處理者的制約。 對于私主體作為信息控制者/處理者是否是“強者”,相關法律文件比如OECD《隱私保護和個人數據跨境流通指南》認為數據控制者是指“根據各國法律能夠決定個人數據內容和使用的主體”;而GDPR中對數據控制者的定義是“單獨或與他人共同確定個人數據處理的目的和方式的自然人、法人、公共權力機關、代理機構或其他機構”。可見,“決定”“確定”“支配”等是成為“強者”的必備要件。
而將私主體是否從事信息處理行為作為信息自決權的必要條件之一,學界論述不多。 周漢華教授版的立法建議稿中有很清晰的表達,“處理是指政府機關或其他個人信息處理者根據一定的編排標準或檢索方式,以自動或非自動方法對個人信息的收集、存儲、使用、交換、公開、修改、刪除、銷毀等行為”。 “評師案”中的評論者在網絡上評論原告的行為,并不構成信息處理行為。個人信息自決權適用范圍的盲目擴大,實際上反而有損于憲法所欲維護的保護弱者的價值。 判斷信息處理行為,應當有一套合理的判斷標準,而非樸素的法感或直覺。
(二)個人信息自決權在民法中的恰當表達
通過對上述兩個案例的解析,筆者以為,信息自決權的本質已經昭然若揭。在憲法層面,國家(公權力機關)對個人信息上的基本權利侵害時,應當賦予個體信息自決權;而在民法層面,個人信息自決權的存在空間極其狹窄,僅存在于信息處理關系中。普通個人信息使用關系中不能適用信息自決權的主要原因有三。一是普通個人信息使用關系中,個人信息的獲取、交流和利用是信息交往的必要,強化信息自決會阻礙正常交流。換言之,在普通個人信息使用關系中,當法律致力于保護個人的信息自決時,與該自決權相對立的不特定的義務人的自由將受到侵犯。立法者如果將所有各方當事人的利益訴求均納入考慮范圍,則會意識到,普通個人信息使用關系中的信息自決必要性不大,因而在GDPR中才會將“自然人實施的純粹個人或家庭活動”排除在其適用范圍之外。二是普通個人信息使用關系中對人格利益的保護,是為實現人格尊嚴、個人自由和獨立自主,均為人基于內在規定性而在共同體中對自己人格利益所享有的不受非法侵害的利益,實質上依然是一種防御性的權利。 普通個人信息使用關系中,造成人格利益受損,通過救濟隱私權、肖像權及其他人格利益已足以對侵害個人信息的行為予以保護。三是普通個人信息使用關系通常不具有高度風險性,正常社交中涉及的個人信息侵權,雖然也可能對個人造成損害,比如通過貶損方式,造成名譽權受損,但是多數情況下傳播范圍窄、危害性低。而在信息處理關系中因互聯網傳播的特點,其傳播范圍廣、影響更壞。
在普通個人信息使用關系中確立個人信息自決權最大的惡果,是將憲法人格保護框架內希冀實現對抗國家的措施,直接應用于對抗不特定的私主體,也就是不特定的第三人必須為自己的每個涉及使用自然人個人信息的行為接受法院的合法化審查,顯然是不切實際且不合理的,這種對他人自由的干涉,遠遠超出了對個人信息保護的必要。德國教授Ehemann也指出,若此,公民相互之間自然的交往遭到強烈的限制,對個體人格廣泛的法律保護會犧牲過多自由權。 憲法基本權的客觀價值輻射于私主體之間,但是,這并不意味著所有的價值都要以相同的范圍和相同的類型和方法來加以保護。 亦即,對個人信息自決權這項基本權利在民法中的規范構造,應考慮到私法交往的獨特屬性。對于憲法上的個人信息應受保護的價值在私法領域的作用,并不能一般化作用于所有的私主體,而是應當區分普通個人信息使用關系與信息處理關系。
在信息處理關系中,出于對“弱者”的信息主體的保護,筆者以為應有自決利益存在。為平衡信息主體和信息控制者的信息能力,應當給予信息主體額外的自主利益,這種利益是信息處理關系中獨有的,不是隱私利益,而是一種為了保護其他利益而單獨賦予信息主體的特殊利益,筆者稱為“信息處理中的自主利益”。該利益具有獨立性,單獨侵害該利益并不必然侵犯其他人格利益,其存在的目的是為了讓信息主體有能力干預信息處理過程,以防范信息主體的其他利益受侵害的風險。
信息處理關系中的自主利益,并非與隱私利益平行并列的利益,而是隱私利益和其他人格利益的前置利益(前置保護規范)。討論信息處理關系中的自主利益的前提是,必須將該利益從其所保護的隱私利益與其他人格利益中剝離出來,否則就會導致利益保護的混淆。為實現“信息處理關系中的自主利益”,個人信息保護法通常也賦予信息主體干涉個人信息處理過程的機會,這些機會表現為針對信息控制者和處理者的一系列積極請求權。 申言之,該利益是個人信息保護法中信息主體利益上的抽象,也只有在個人信息保護法、《網絡安全法》等法律法規涉及的信息處理行為中才存在該利益。該利益在民法中的表達,可作為一般人格權中的一類人格利益予以保護,但該利益的存在應當符合上文所說的“強者”及“信息處理行為”兩個限定條件。
四、民法與個人信息保護法的適用關系
《民法典》人格權編第六章“隱私權和個人信息保護”中第1034條至第1039條是對《民法總則》第111條的具體規定,建立在私法上的“信息處理關系中的自主利益”之上而構建。其中第1034條對個人信息的概念進行了定義及一般列舉,明確了個人信息“識別性”的核心特征,并規定了和隱私權的適用關系;第1035條是處理個人信息的原則性條款,另外該條還對處理的條件做出了規定,包括了“知情同意”“透明公開”“目的限定”及合法性等。第1036條為行為人(信息處理者)的抗辯事由,列舉了多種不承擔民事責任的情形。第1037條明確了自然人(信息主體)的權利,包括“查閱、復制、異議更正、刪除”等。第1038條從信息處理者的義務角度明確了信息處理的規則,包括不得泄露、篡改,未經同意不得非法提供、安全保障義務和報告義務等。第1039條是國家機關及其工作人員(公職人員)收集處理個人信息的特殊規定。從《民法典》關于個人信息的條款可以看出,立法者已經對個人信息的內涵、個人信息的解釋、個人信息的收集使用邊界等問題形成了相對完善的規范。
問題在于,《民法典》中的個人信息保護條款與即將出臺的《個人信息保護法》中的相應條款是何關系?人格權編對于建構個人信息保護規范體系的意義何在,民法是否可以作為個人信息保護法的立法依據或者上位法?正在制定的《個人信息保護法》是否要與《民法典》保持高度一致呢?如果不一致,應當優先適用哪部法律?《個人信息保護法》出臺在即,這些問題的解決迫在眉睫。
有學者認為,《個人信息保護法》并非《民法典》之特別法,而是一部對個人信息保護進行全面規范的兼具公法與私法屬性的綜合性法律。 也有學者則認為,因為個人信息保護具有民事權利屬性,個人信息保護法屬于民法特別法。 筆者以為,個人信息主體利益應當視作基本權利來對待,而民法僅作為保護民事權利的法律,恐怕難當保護基本權利之重任。不可忽略的是,民法作為一種組織社會的工具,是通過對沖突的利益關系設置相應的協調規則來實現自身調控社會關系的功能。 王軼教授將現代意義上的民法分為強式意義上的平等對待及在特定領域中的弱式意義上的平等對待, 后者比如《消費者權益保護法》(以下簡稱《消保法》和《勞動法》)。筆者以為,在個人信息保護和利用領域理由亦同,實際上信息能力不平等的主體之間的利益關系——信息處理關系也屬于弱式意義上的平等對待,從目的論,個人信息保護法是為了平衡主體之間的強弱地位(這里的強弱不僅僅是經濟上的,主要是信息不對稱),是類似于《消保法》和《勞動法》的政策型特別民法,追求“作為公平的平等”,法律賦予弱勢的信息主體以特權,實質是為了保護理想的自由狀態。
民法的現代轉向,是近代民法的意思自治原則被意思自治與國家的保護性干預相結合原則所取代。 《個人信息保護法》是現代民法除《消保法》和《勞動法》之外的新的典范:具有平等地位的群體之間,為了協調不同的利益團體、平衡不同的社會力量,立法者代替當事人決策做出一定的制度安排, 作為一部管制色彩與自治色彩交相輝映的法律,《個人信息保護法》的立法應當兼顧自治和管制的平衡,既不給予個人絕對的私人自治權(個人信息自決權),也并非完全采取行政法的路徑成為一部行政管理法。于此,《個人信息保護法》中的民事規范應當作為民法的特別法來看待。但是,需要注意的是,《個人信息保護法(草案)》并未區分公、私主體的信息處理者,公權力機關處理個人信息的規范,明顯不屬于平等主體之間的規范。《個人信息保護法》是一部綜合性的法律,信息處理關系包含了公法調整和私法調整兩個部分,但毫無疑問信息主體與私主體的信息處理者在法律地位上依然是平等的,信息處理者在收集處理使用個人信息的過程中必須尊重信息主體的人格完整。
在二法的適用上,與其徒增法律適用的煩惱,不如在《民法典》人格權編只對個人信息保護作出原則性和轉介性規定,將具體的保護規范交給個人信息保護法。這才是理想的路徑。申言之,就信息處理關系中自主利益受損害的認定,通過引介至侵權編援用保護性法律的規則,行為不法性則根據是否違反《個人信息保護法》《網絡安全法》等規定來判斷。該路徑理論上有兩點優勢。首先,可以保持民法典的穩定性和純粹性,信息主體權利和處理者義務必然隨著技術的發展經歷快速的變革,例如,因自動化決策技術的發展,歐盟立法中新增了信息主體反對自動化決策的權利;因搜索引擎可以搜索過時、無關且不必要的信息,增加了對“被遺忘權”的規定。而民法典不宜頻繁修改,很可能對信息時代技術和人格保護之間的張力和沖突無計可施,反而削弱了法典的權威性。其次,《民法典》對個人信息保護條款規定得過細,徒增與即將出臺的個人信息保護法之間適用上的困難,比如個人信息的范圍規定得不一致、私密信息和敏感信息的關系難以厘清等問題,反而不利于主體權益的保護。當然,目前《民法典》作為一部根本大法已經生效,動輒大動干戈進行修法顯然不符合實際,因此雖然筆者更傾向于該條路徑,但僅從學理層面進行探討。
第二條路徑是既有規范體系下的權宜之計,需要更全面和更精細的設計。首先,《民法典》中區分不同的法律關系保護個人信息。普通個人信息使用關系中,受到侵害的利益僅限于隱私利益、肖像利益、姓名利益或其他的一般人格利益,并不存在信息處理中的自主利益。而在信息處理關系中,信息處理中的自主利益應當受到保護,也即信息主體應可施加積極的干預或控制,來及時參與、反對、修正信息處理行為可能對人格形塑的負面影響。因此,普通個人信息使用行為侵犯權益,應當尋求具體人格權或一般人格權作為請求權基礎;信息處理行為侵犯權益,應適用個人信息條款,對信息主體的權利之被侵犯和信息處理者的義務之不履行進行判斷,同時侵犯如隱私權、肖像權、姓名權、名譽權等其他權益的,共同適用(私密信息則優先適用隱私權規定)。其次,個人信息保護是規范的體系建構,僅僅通過《民法典》的6個條文規定是不充分、不完全的,因此需要通過《個人信息保護法》對《民法典》中的缺漏進行補足,例如,對于主體權利,《民法典》目前僅規定了信息主體有“查閱、復制、異議更正、刪除”的權利,但是否有被遺忘權、是否有拒絕自動化決策的權利,留待個人信息保護法進行論證補充;此外,《民法典》對于信息處理應遵循“合法、正當、必要”原則,對原則的解釋在《個人信息保護法》中可以有所具體化等。最后,當《個人信息保護法》中的民事行為規范與《民法典》的行為規范發生沖突的時候,《個人信息保護法》的民事行為規范應被視為《民法典》的特別條款,根據特別法優于一般法的原則,應當根據《個人信息保護法》來判斷行為不法性,只有在《個人信息保護法》中沒有明文規定時,才適用民法一般條款。
因此,普通個人信息使用行為對個人權利相對風險較低,比如個人生活中的信息交往等,非為信息處理關系的調整目標,僅民法調整,《個人信息保護法》完全不適用;但是對信息處理關系中的信息處理行為的規制,《個人信息保護法》適用優先,此外適用《民法典》一般規則調整。
