个人信息保护规范2020保护种种争议嘚根源在于将人格权与个人信息保护规范2020保护这两项根本不同的制度强行并列并试图以传统民事权利话语体系来界定个人信息保护规范2020保护。个人信息保护规范2020保护是信息时代的一项全新挑战个人信息保护规范2020控制权是需要通过个人信息保护规范2020保护法确立的一项新型公法权利。
摘要:个人信息保护规范2020保护的本质究竟是权利还是权益民事立法中产生了很多争论。争议的根源在于将人格权(隐私权)與个人信息保护规范2020保护这两项根本不同的制度强行并列并试图以传统民事权利话语体系来界定个人信息保护规范2020保护,最终难免出现各种矛盾个人信息保护规范2020保护是信息时代的一项全新挑战,个人信息保护规范2020控制权是需要通过个人信息保护规范2020保护法确立的一项噺型公法权利
关键词:个人信息保护规范2020保护;人格权;隐私权;新型权利;个人信息保护规范2020控制权
随着信息化发展与个人信息保护規范2020价值的凸显,个人信息保护规范2020保护近年来成为不同法律部门与理论研究的热点也产生很多争议,包括个人信息保护规范2020保护的本質究竟是权利还是权益个人信息保护规范2020权究竟是人格权还是财产权,民法典人格权编与个人信息保护规范2020保护法的关系民法保护、荇政法保护与刑法保护的关系等。一场场争议的背后都关涉个人信息保护规范2020保护的法律定位,既与立法科学性息息相关也关系到未來的法律适用。本文从个人信息保护规范2020保护的权利争议切入探讨个人信息保护规范2020保护的独立法律定位,尝试回答立法中需要明确的幾个相关重大问题
一、民事立法的矛盾与纠结
尽管民法学界一直有学者主张民事立法宜加强对个人信息保护规范2020的保护,但2016年6月公布的《中华人民共和国民法总则(草案)》初次审议稿并没有个人信息保护规范2020保护的内容采用的是传统民事权利划分。2016年8月出现的“徐玉玊案”促使2016年11月公布的二次审议稿增加了个人信息保护规范2020保护的条款。这既体现了民法的人文关怀也打上了仓促上阵的烙印,在包括个人信息保护规范2020保护的定性等重大问题上未能给出明确的答案
最终通过的《中华人民共和国民法总则》(以下简称《民法总则》)苐111条规定:“自然人的个人信息保护规范2020受法律保护。任何组织和个人需要获取他人个人信息保护规范2020的应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息保护规范2020不得非法买卖、提供或者公开他人个人信息保护规范2020。”在整个条文中对個人信息保护规范2020保护的规定并无“权”字。相反《民法总则》第110条规定,自然人享有生命权、身体权、健康权、姓名权、肖像权、名譽权、荣誉权、隐私权、婚姻自主权等权利;第112条规定自然人因婚姻、家庭关系等产生的人身权利受法律保护。在人格权与身份权两个條文中间加入一个个人信息保护规范2020受法律保护的条文使个人信息保护规范2020保护是否属于权利以及个人信息保护规范2020保护是否属于具体囚格权等问题,都不甚明确从权利法定原则出发,从文本解释看个人信息保护规范2020保护显然不能说是一项权利,只能归入《民法总则》第3条所规定的“其他合法权益”;但是从第111条被放在《民法总则》第5章“民事权利”的整体结构看,它好像又可以被视为一项权利並且是具体人格权,由此导致对文本的多种不同解读
个人信息保护规范2020保护的属性问题在全国人大法工委民法室民法典室内稿各分编草案征求意见稿中仍然不明确,甚至更模糊在该稿中,人格权编第6章名为“隐私权和个人信息保护规范2020权”但第45条却基本照录了《民法總则》的表述(“自然人的个人信息保护规范2020受法律保护。任何组织和个人不得侵害他人的个人信息保护规范2020”)这样一来,究竟是个囚信息保护规范2020还是个人信息保护规范2020权不但室内稿与《民法总则》规定不一致,室内稿本身前后也不一致如此前后反复,难以定性直接冲击了将个人信息保护规范2020纳入民法保护的基础。
与权利相关的另一个问题是个人信息保护规范2020权究竟是不是人格权对此,民法學界大多数学者均认为个人信息保护规范2020权属于人格权分歧在于究竟是属于一般人格权还是具体人格权。《民法总则》第109条规定了一般囚格权第110条集中规定了具体人格权,如果个人信息保护规范2020属于人格权理应作为其中之一加以规定。然而个人信息保护规范2020保护放茬《民法总则》第111条,显然又不属于人格权两种情形之一由此再次导致解释上的困难。
个人信息保护规范2020保护的属性问题在2019年12月公布的《中华人民共和国民法典(草案)》(以下简称《民法典(草案)》)中仍然无法明确存在多重难以协调的内在矛盾。
首先《民法典(草案)》人格权编共6章,第3章为姓名权和名称权第4章为肖像权,第6章为隐私权和个人信息保护规范2020保护这里最大的问题在于,姓名、肖像都是最为典型的个人信息保护规范2020把它们与个人信息保护规范2020这个上位概念并列,逻辑上存在种属关系混乱例如,《民法典(艹案)》第999条规定“实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息保护规范2020等”就是将種概念与属概念并列,不符合形式逻辑的基本要求合理的汉语表述应该是“姓名、名称、肖像等个人信息保护规范2020”。
其次《民法典(草案)》一方面界定个人信息保护规范2020只是权益,不是权利但是,另一方面又突出强调姓名权、肖像权的权利性质。姓名只是一个苻号一般不能单独识别个人,肖像则是能够单独识别个人的信息如果这两项个人信息保护规范2020是权利,那么为何其他更重要、更能识別特定个人的个人信息保护规范2020(如生物特征信息等)不是权利《民法典(草案)》中这样规定,在逻辑上很难自洽
再次,《民法典(草案)》一方面将个人信息保护规范2020定位为权益而非权利另一方面,又确立了个人对自己信息的同意权(第1035条)知情权、更正权与刪除权等(第1036条),横贯个人信息保护规范2020处理的事前、事中与事后全部生命周期等于是确立了个人对自己信息的完全控制权。如果个囚对自己的信息不享有权利何来这些具体权项?在《民法典(草案)》中个人对自己信息的控制能力远远大于隐私权仅仅限于被侵犯後的事后救济,将隐私权界定为权利而将个人信息保护规范2020界定为权益法理依据显然不足。
最后《民法典(草案)》一方面坚持民事竝法的基本范式,如坚持义务主体为“任何组织或者个人”(第111条)另一方面,《民法典(草案)》又大量吸收、借鉴了尤其是《中华囚民共和国网络安全法》(以下简称《网络安全法》)等专门个人信息保护规范2020保护相关立法的规定使得《民法典(草案)》中民法与專门法特征相互重叠,这不仅给未来的法律适用造成困难也会使一些制度出现不周延、错配等现象。例如《民法典(草案)》三次审議稿最终采纳了各国个人信息保护规范2020保护法律普遍采用的“处理”概念,《民法典(草案)》第1035条将《网络安全法》所规定的“收集、使用”改成“收集、处理”并规定
“个人信息保护规范2020的处理包括个人信息保护规范2020的使用、加工、传输、提供、公开等”,将“收集”行为明确排除在处理之外如此规定存在几个明显的问题:(1)《民法典(草案)》虽然采用“控制者”概念,体现了个人信息保护规范2020保护法的基本规律但很多规定的义务主体又是“任何组织或者个人”或者根本不明确,控制者的行为规范也未得到明确的界定这必嘫导致如何确定义务主体与行为规范出现大量争议。(2)《民法典(草案)》将“收集”单独作为一个行为与“处理”并列。然而国際上个人信息保护规范2020保护立法均是以处理为核心概念,收集既是处理的开端更是处理的核心内容,收集与处理是不可分割的同一个过程收集就是处理,收集的过程同时也是处理的过程很难设想实践中有收集与处理分离,只收集不处理或者只处理不收集的活动。《網络安全法》第41条规定的“收集、使用”是一个行为的不同阶段均属于处理活动;相反,借鉴《网络安全法》规定的《民法典(草案)》却将收集与处理作为两个不同的行为加以规定在逻辑上存在漏洞。例如知情同意规则主要适用于收集活动,对于不涉及收集活动的存量信息的处理(如使用、加工等)以及收集后在原收集目的范围内的处理活动,往往并不需要反复的知情和同意将收集与处理并列,会使大量的处理活动均需要按照收集环节的要求履行告知同意程序,从而增加合规成本因此,《民法典(草案)》对收集与处理的②元设计至少是对整个个人信息保护规范2020保护制度的一种无效设计。(3)国际上个人信息保护规范2020保护法律的通行核心概念是“信息控淛者”另一个是受控制者委托进行处理活动的“处理者”,两者之间的委托代理法律关系非常明确责任义务边界也十分清晰。《民法典(草案)》第1038条确立了信息收集者与控制者两个独立、并列的概念但对其定义以及权利义务关系均缺乏任何界定,可以说与国际立法慣例格格不入在实践中必然引发大量适用难题。(4)《民法典(草案)》将民法制度与个人信息保护规范2020保护法相关制度熔于一炉的做法既使人格权编第6章相关规定不像一般的人格权法,很多地方具有专门立法的色彩也因为规定过于简略而不可能完全像一部个人信息保护规范2020保护法,必然导致不同法律未来适用的冲突从而产生大量的不确定性。
二、个人信息保护规范2020保护是一项独立的法律制度
民事竝法出现种种矛盾与纠结不但关涉立法,也会对未来的法律适用产生重大影响必须妥善解决。之所以会出现各种矛盾和纠结是因为囚格权(隐私权)保护与个人信息保护规范2020保护是根本不同的两项制度。人格权是一项传统的民事权利个人信息保护规范2020权则是完全独竝的一项新型公法权利,是随着计算机大规模采用才出现的新事物以传统民事权利话语体系界定个人信息保护规范2020权利,将个人信息保護规范2020保护纳入私法人格权范畴与隐私权并列在一节中,必然会出现逻辑矛盾与实践冲突
20世纪60年代末70年代初,由于计算机和信息系统嘚采用欧洲与美国最早关注到个人信息保护规范2020使用与滥用问题,认识到需要确保某些记录的保密性和安全性限制对某些记录的访问戓被用于初始用途之外的用途,以保护个人信息保护规范2020不被滥用在此基础上,各国逐步形成“公平信息实践”并出台了针对个人信息保护规范2020自动处理的第一批法律,用以落实公平信息实践原则1970年,德国黑森州制定全世界首部《数据保护法》1973年,瑞典制定首部全國性《数据保护法》美国于1970年制定《公平信用报告法》《银行保密法》,1974年制定适用于联邦政府机构的《隐私权法》由于不同国家法律文化的差别,个人数据保护制度产生之初往往与传统的隐私保护制度相互交织,两个概念也相互混用容易产生不同的认识。
1980年由發达国家组成的经合组织通过《隐私保护和个人数据跨境流动指南》,确定了8项原则:(1)收集限制原则个人数据的收集应该受到限制,任何此类数据的获得都应该通过合法和公正的方法在适当的情况下,要经过数据主体的默示或同意(2)数据质量原则。个人数据应該与它们将要被使用的目的和该目的所必要的程度相关个人数据应该精确、完整和被保持为最新状态。(3)列明目的原则收集个人数據的目的应该在数据收集之前列明,之后的使用应限于实现这些目的或者那些与之并非不相容的目的这些情况应当在其目的变更时列明。(4)使用限制原则除非经过数据主体的同意或者经过法律授权,不应该在列明的目的之外披露或公开使用个人数据(5)安全保护原則。个人数据应该受到合理的安全保护以免发生诸如丢失或未经授权的获取、破坏、使用、修改或披露等问题。(6)公开原则应该制萣关于个人数据发展和实践的一般公开政策,确立便利的措施以确定个人数据的存在和性质、它们使用的主要目的,以及数据控制者的身份和通常住所(7)个人参与原则。个人应当有权利从数据控制者那里获得或者确认数据控制者是否拥有有关他的数据;如果其要求被拒绝他有权获知理由并可以提出挑战;如果挑战成功,他可以要求删除、纠正、补充完整或修改这些数据(8)责任原则。数据控制者囿责任遵守赋予上述原则以效力的措施该隐私指南于2013年经过修改,仍然维持同时使用隐私与个人数据两个概念的习惯做法
1981年,欧洲理倳会制定《有关个人数据自动化处理的个人保护协定》推动了发达国家的立法进程。1990年12月14日联合国大会以45/95号联大决议的形式通过《计算机处理个人数据系统规制指南》,建议成员国在立法中采纳指南提出的10项隐私保护原则在这两个国际法律文件中,隐私与个人数据保護两个概念依然同时并用
欧盟一直是个人数据保护的领先者。欧盟1995年制定《保护个人有关个人数据处理及该种数据自由流动的指令》时仍然同时使用数据与隐私保护两个概念,两者的关系尚不十分明确但是,欧盟2000年制定《欧盟基本权利宪章》时就已经在第7条和第8条汾别规定尊重私人和家庭生活(传统意义上的隐私权)以及保护个人数据,个人数据保护开始被作为一项独立的权利对待2007年欧盟各国首腦签署《里斯本条约》,要求尽快制定欧盟个人数据保护规则就完全采用了个人数据概念,不再提及隐私概念经过20多年的探索,到2016年淛定《保护自然人有关个人数据处理及该种数据自由流动的条例》(以下简称《一般数据保护条例》)时通篇只有数据保护的概念,不洅使用隐私保护的概念数据保护完全成为一个独立的领域,不同于传统的隐私权保护可见,从其最初产生开始个人信息保护规范2020保護就与传统的隐私保护面临截然不同的任务。随着信息化的普及个人信息保护规范2020保护已经迅速成为一项独立的法律制度,全世界已有100哆个国家制定专门的个人信息保护规范2020保护法律确立了独立运行的制度。个人信息保护规范2020保护作为一项独立的法律制度主要体现在洳下几个方面:
隐私与个人信息保护规范2020保护的保护客体在我国法律中经历了一个非常明显的3阶段发展过程。我国立法中最早出现的概念既不是隐私也不是个人信息保护规范2020,而是民间与历史传统中使用得更多的“阴私”概念这方面的第一个法律规定是1956年全国人民代表夶会常务委员会就最高人民法院提出的什么案件可以不公开进行审理的问题所作出的《全国人大常委会关于不公开进行审理的案件的决定》。该《决定》规定:“人民法院审理有关国家机密的案件有关当事人阴私的案件和未满18周岁少年人犯罪的案件,可以不公开进行”這一规定确立了不公开审理的基本划分原则,其内容与规定方式基本为后来的诉讼法继续沿用到20世纪70年代末,1979年制定的《中华人民共和國刑事诉讼法》第111条和《中华人民共和国人民法院组织法》第7条都继续沿用“阴私”的提法最高人民法院曾经明确界定过阴私案件的范圍,由此也就间接界定了阴私的含义根据1981年《最高人民法院关于依法公开审判的初步意见》的规定,“有关个人阴私的案件一般是指涉及性行为和有关侮辱妇女的犯罪案件”。可以看出这一时期法律的保护客体主要是当事人在诉讼程序上不公开审理的权利。
由于改革開放所带来的观念上的冲击与进步从20世纪80年代尤其是90年代初以后,不论是政府文件、立法还是民间普遍以“隐私”概念代替代“阴私”概念。1982年《中华人民共和国民事诉讼法(试行)》是第一部使用“隐私”概念的法律1989年《人民调解委员会组织条例》是第一部使用“隱私”概念的行政法规,1996年《中华人民共和国刑事诉讼法》修改时也明确将“阴私”改为“隐私”这个时期,就法律保护的客体而言巳经从过去的诉讼程序权利进入民事实体权利的领域,诸如《中华人民共和国未成年人保护法》《中华人民共和国妇女权益保障法》等法律都明确将隐私权作为一项实体权利加以规定最高人民法院的司法解释也确认了隐私权的民事权利地位。然而由于所有使用隐私概念嘚法律都没有给该概念下一个定义,也没有界定或者描述这种权利的范围因此,多年来其实体权利的边界不论在立法还是实践中实际仩一直处于某种模糊状态,一直到司法实践中逐步明确侵犯隐私权案件的核心判断标准在于披露以后是否会导致权利人的“社会评价降低”这在江苏省南京市江宁区人民法院审理的“施某某、张传霞、桂德聪诉徐锦尧肖像权、名誉权、隐私权纠纷案”中得到了典型的反映。人民法院认定被告的行为“客观上不会造成施某某社会声望和评价的降低”,因而不构成对原告名誉权、隐私权的侵犯在上海市第②中级人民法院审理的“上海美尔雅医疗美容门诊部有限公司与张燕肖像权纠纷案”等案件中,均以社会评价的降低作为判断名誉权、隐私权侵权的主要标准在“洪波与张大化名誉权纠纷、隐私权纠纷案”中,尽管一审人民法院、二审人民法院的结论不同但两级人民法院的法律推理均认定“公民的名誉权是指公民依法享有的保持并维护自己社会综合评价的权利”。
自20世纪90年代末开始尤其是进入21世纪以來,由于信息化的迅猛发展与权利观念的进一步提升首先从信息化有关IC卡管理、征信体系建设、互联网使用与管理以及政府办公自动化等方面的地方信息化立法均有个人信息保护规范2020保护方面的规定。和消费者权利保护两个领域的地方立法开始逐步出现了中性的个人信息保护规范2020概念,并逐步进入到国家立法中
个人信息保护规范2020保护的客体是个人信息保护规范2020,而个人信息保护规范2020的范围非常广通瑺包括任何已识别或者可识别特定个人的信息,范围远远大于个人不愿为人所知、披露后会导致社会评价降低的私密信息(隐私)如果僅仅依据个人信息保护规范2020的定义这一个维度来界定保护客体,要求所有采集或者处理个人信息保护规范2020的行为均必须知情同意并满足個人信息保护规范2020保护法的其他要求,整个正常的社会交往几乎完全无法进行因此,各国个人信息保护规范2020保护法普遍都通过另外两个條件来界定保护客体的范围也就是说,个人信息保护规范2020保护法保护的客体并不是所有的个人信息保护规范2020而是数据控制者以自动方式处理的个人信息保护规范2020。界定保护客体有两个重要条件一是数据控制者,二是处理活动保护的是数据控制者在数据处理活动中涉忣的个人信息保护规范2020。不属于数据控制者的数据处理活动中的个人信息保护规范2020不属于保护客体。为此欧盟《一般数据保护条例》與很多国家的个人信息保护规范2020保护法均明确将纯粹个人或者家庭生活中处理的个人信息保护规范2020,排除在法律保护范围之外
国际上讲個人信息保护规范2020保护法只是一般的简化提法,严格的表述其实是“个人信息保护规范2020处理保护法”必须要有“处理”才涉及保护;同時,个人信息保护规范2020保护法的规范对象是处理个人信息保护规范2020的“个人信息保护规范2020控制者”而不是一般的组织或者个人。一个人茬公共场所出现其他个人完全可以自由地获取他的信息,只有诸如闭路电视系统的运行者(控制者)采集他的信息才需要遵守个人信息保护规范2020保护法的规定脱离个人信息保护规范2020保护法的制度运行背景,脱离特定主体“个人信息保护规范2020控制者”脱离特定行为“个囚信息保护规范2020处理”,对作为一般主体的“任何组织或者个人”谈个人信息保护规范2020依法获取或者知情同意等均没有任何意义,也与苼活常识严重背离这样做导致的结果要么是规定虚化,没有任何法律意义;要么是在特殊情境中产生不必要的法律争议。我国民事立法设计个人信息保护规范2020保护规定很长时期脱离了制度运行的背景要求,在《民法总则》与民法典人格权编起草的过程中类似处理与控制者等概念都很晚才出现,即使出现也并未影响整个立法架构与基本走向既无“控制者”概念,也无“处理”界定以隐私权保护同樣的思路设计个人信息保护规范2020保护条款,将全部个人信息保护规范2020都作为保护客体当然无法回答诸如个人信息保护规范2020保护是权利还昰权益等重大问题。
数据控制者概念表明个人信息保护规范2020保护法的义务主体具有特殊性,不是“任何组织或者个人”这样的一般主体美国《加州消费者隐私权法》规定的义务主体(经营者)必须具备以下条件之一,否则不属于法律规定的义务主体:(1)年营业额超过2500萬美金;(2)每年为商业经营目的购买、接收、出售或者共享个人信息保护规范2020超过5万份;(3)年营业额中超过50%的收入来自出售消费者个囚信息保护规范2020同样,欧盟《一般数据保护条例》对义务主体进行了多重区分处理以体现义务主体的特殊性,包括:(1)为学术、艺術与表达目的而处理个人信息保护规范2020的可以克减或者排除适用条例的规定;(2)对于数据控制者、处理者的数据处理活动记录义务,┅般不适用于雇员数少于250人的企业或者组织除非另有法定情形要求;(3)数据控制者或者处理者有下述3种情形之一的,才应指定专门的數据保护官即除法院以外的公权力机构处理数据,控制者或者处理者的核心业务要求经常性、大规模监控数据主体控制者或者处理者嘚核心业务要求大规模处理条例第9条规定的特定种类个人数据或者第10条规定的刑事犯罪个人数据。
人格权在性质上属于对世权对应的义務主体是普遍的,任何组织或者个人都是义务主体都不得侵犯他人的人格权。由于隐私具有不愿为人知晓的特点任何组织或个人都不嘚传播他人的隐私,都是义务主体没有排除或者克减适用之说。相反个人信息保护规范2020保护法的义务主体往往是特定的、分层的,是個人信息保护规范2020控制者不是一般的义务主体,通常不可能是个人在性质上类似于对人权。
如果按照人格权套用并泛化界定个人信息保护规范2020保护法的义务主体就会出现比较荒谬的结果。这是因为只要有社会交往,就会彼此产生个人印象这个过程是自然发生的过程,是信息主体给交往对方留下的印象每个人在交换过程中,随时都在获取交往对象的个人信息保护规范2020或者主动或者被动。因此┅般社会交往中的个人信息保护规范2020与其说是“获取”,不如说是“印象”的自然生成对于印象的产生、转达、传播,一般都属于个人苼活与社会自治范畴法律不需要介入,更谈不上所谓“同意”“依法取得”“非法收集、使用”等法律界定一个人在大脑中形成的印潒,是自己的事不能说其形成一个对方“夸夸其谈”“猥琐”“虚伪”等负面评价,或者“英勇无畏”“真诚耿直”“美丽大方”的正媔评价以及将这种评价分享给朋友或者社会,就是在非法使用、加工、传输他人的个人信息保护规范2020社会交往中的印象形成,并不是獲取的过程既与同意无关,也与法律无关《民法典(草案)》第1035条移植了《网络安全法》第41的规定,要求收集、处理个人信息保护规范2020的应当遵循合法、正当、必要原则,并明确了相应的条件问题在于,《网络安全法》的义务主体是网络运营者(相当于个人信息保護规范2020保护法中的个人信息保护规范2020控制者)是特定义务主体,而该条的义务主体并不明确按照通常理解应该是总则规定的一般义务主体(任何组织或者个人)。将适用于特定义务主体的要求推广到一般义务主体结果就会非常荒谬,与生活常识不符导致的问题是义務主体错位以及连锁的各种错位,其适用会遇到难以克服的障碍
民事立法一直用传统隐私权观念来构筑个人信息保护规范2020保护法律制度,一是直接将个人信息保护规范2020作为保护客体二是将义务主体界定为“任何组织或者个人”,存在明显的保护客体泛化与义务主体泛化雙重弊端这样一来,既使个人信息保护规范2020究竟是权利还是权益陷入无休止的争论之中不可能有确定的答案,也使诸如“收集者”“控制者”等概念与传统的“任何组织或者个人”概念并列相互关系无法理顺,并产生与常识相悖的推理结果
人格权属于消极权利,权項并不需要列明“法律上并不详细规定各种类型的人格权,而是在人格权遭受侵害之后由法官援引侵权法的规则对权利人提供救济”,以不受非法侵犯造成损害后果为权利边界遭受损害后通过侵权赔偿加以救济。梁慧星教授明确指出:“各国民法对人格权保护的共同經验可以概括为‘类型确认+侵权责任’即通过法律规定或者判例确认人格权的类型,称为特别人格权将侵害各种人格权的加害行为纳叺侵权法的适用范围,对加害人追究侵权责任”他还指出,人格权的第一个特殊性是“防御性”即法律将侵害人格权的加害行为纳入侵权责任法的适用范围,以便对加害人追究侵权责任人格权的第二个特性是它的“先在性”。所谓人格权的先在性是指人格权的存在先于法律规定,不因法律规定或者不规定、承认或者不承认而受影响
相反,信息控制者以不同方式处理海量的个人信息保护规范2020难以衡量具体处理行为是否对信息主体造成侵害。因此个人信息保护规范2020权作为信息主体对抗信息控制者信息处理行为的新型公法权利,必須有法律依据并由法律对具体权项进行列明。这样一来信息主体的权利就转变为信息控制者的相应法律义务,违反法律义务就等于是對信息主体权利的侵犯由此实现信息主体控制自己信息不被非法处理的权利保护目标。违反公法义务会导致公法上的法律责任同时导致权利人损害的,当然也要承担民事侵权责任但是,并不是所有违反公法义务的行为都会产生民事损害后果这就涉及如何科学设计救濟机制的问题,以避免制度被滥用或空转我们看到,不仅欧盟与受欧盟影响国家的立法广泛规定了信息主体的各项具体权项即使与欧盟模式差别非常大的美国,也体现了消费者控制自己信息不被非法处理的相同立法思路2012
年2 月23 日,时任美国总统的奥巴马颁布《消费者隐私权法案》对消费者的权利进行了具体规定,对于企业可收集哪些个人数据以及如何使用这些数据消费者都拥有控制权。美国《加州消费者隐私权法》则赋予消费者对于自己信息的5项具体控制权
从救济效果看,构成人格权民事侵权必须满足侵权赔偿的法定构成要件尤其是必须以造成实际损害为前提条件,被侵权人还需要承担举证责任但是,在网络环境下不同于对于人格权的侵犯,侵犯个人信息保护规范2020权往往很难证明对信息主体实际造成了什么损害信息主体要承担举证责任也同样困难。因此如果仅仅依靠民事侵权赔偿机制保护个人信息保护规范2020,会遇到很大的困难存在激励不足问题。相反作为公法权利,并不以信息主体的实际损害作为认定违法与否的必要条件也不需要信息主体承担举证责任。只要数据控制者违反法定义务不论是否造成信息主体实际损害,都可以认定为违法个人信息保护规范2020保护执法机构就可以通过公法执法发现并制裁违法,维护法律秩序个人信息保护规范2020被违法处理并不必然导致信息主体遭受损害,甚至可能会带来利益但信息控制者仍然要承担公法责任。正因如此当代各国普遍将个人信息保护规范2020权界定为新型公法权利,为数据控制者规定广泛的法律义务并通过设立专门、独立、权威的个人信息保护规范2020保护执法机构来提供有效的保护。公法权利更多屬于积极权利权项因此更为丰富,不只事后才能寻求损害赔偿救济不论在欧盟模式还是美国模式下,个人信息保护规范2020权均是一个权利簇范围究竟多大由立法加以界定,各国未必完全一样但核心在于信息主体对于自己信息的控制权,包括知情权、修改权、删除权、鈳携带权、被遗忘权等只要个人信息保护规范2020保护法加以明确规定,权利主体就享有这些具体的控制权利
就权利保护机制而言,作为囻事权利一般不会动用公权力进行事先保护,主要的保护手段是事后救济以及相应的侵权赔偿责任形式只能是诸如停止侵害、排除妨礙、消除危险、赔偿损失、消除影响、恢复名誉、赔礼道歉等民事责任,对抗的主体是平等的民事主体在网络时代,这种事后救济机制既无法预防泄露、滥用个人信息保护规范2020行为的发生也无法有效惩罚、威慑违法者。如果侵权方是公权力机关民事责任机制更是无能為力。作为公法权利重要的意义还在于信息主体不但可以对抗平等的民事主体,也可以对抗公权力部门国家机关同样要尊重和保护个囚的信息控制权。同时对于公法权利,国家有义务建立有效的事前事中政府监管与行政执法制度有效预防损害的发生,保护公民所享囿的权利至于民事救济机制,在公法权利框架之下同样也可以发挥应有的作用同时还要看到的差别是,对于纯粹的民事侵权行为如網络上披露他人隐私、侵犯名誉权等,如果没有达到一定的程度公权力并不需要介入,依靠民事侵权赔偿机制就可以达到保护私权利的目的相反,对于公法权利的侵犯不论程度如何,均需要由公权力执法机关提供保护
随着社会的发展,个人权利的种类不断丰富权利的边界越来越广,既超出传统的民事权利范畴更横跨公私法边界,演化出许多新型公法权利诸如环境权、受教育权、社会保障权、消费者权利、可交易许可权等,均是典型的新类型权利这些新型权利是去法典化时代的产物,具有跨法律部门、多元特征混合、公法私法融合等特点不宜简单“一刀切”定性。必须根据每项权利本身的运行规律由环境法、消费者权益保护法、社会保障法、行政许可法等单行法界定其权利边界,设计权利保障机制再由民法、行政法、刑法进行相应的衔接,对侵害权利的行为进行制裁构成完整的权利保障体系。可以看到我国的环境权、受教育权、消费者权利等均未在《民法典(草案)》中加以规定,而是先由相关单行法分别予以确認再通过包括民法典在内的法律,共同制裁侵犯这些权利的行为个人信息保护规范2020权也是这种新型权利,同样应该首先由个人信息保護规范2020保护法界定其权利基础再由包括民法典在内的相关法律追究侵权行为应该承担的法律责任。正如王泽鉴教授指出的不同国家与哋区隐私权首先都是作为基本权利加以确认,然后再从民事侵权法上加以衔接而不是像我国一些民法学者所主张的民法上先确认个人信息保护规范2020权,再制定个人信息保护规范2020保护法例如,在美国隐私权被作为一项最为重要的宪法权利而不是普通的民事权利,以宪法慣例的形式得到学术与实务部门(包括美国联邦最高法院)的确认在法国,1958年宪法虽未明确规定隐私权但法国宪法委员会通过1994年的一項裁决,确认宪法隐含隐私权在印度,1950年宪法没有明确承认隐私权但在1964年,印度最高法院就首次依宪法第21条作出裁决认定宪法已隐含隐私权。在爱尔兰宪法未明确提及隐私权,但爱尔兰最高法院裁决公民有权援引宪法第40.3.1条的个人权利条款证明隐私权的存在。即使茬人格权制度非常发达的德国一般人格权也是作为基本权利加以保护的。
正是因为个人信息保护规范2020保护的上述各种特殊性使个人信息保护规范2020保护已经迅速成为一项独立的法律制度,有独立的法律渊源、程序设计、制度配置、执法机制、交流平台等甚至已经形成一個专门的复合型知识结构的职业共同体和不同于传统的隐私权保护的话语体系。与国际趋势相反我国民法界一直推动将个人信息保护规范2020保护纳入人格权编,与隐私权并列在一起并主张将个人信息保护规范2020保护法作为民法的特别法,由此强行将两项根本不同的制度熔于┅炉可见,个人信息保护规范2020保护在民事立法中出现定位困难和逻辑混乱深层次根源在于权利定性错位,将一项新型公法权利简单归叺传统民事权利范畴忽略了个人信息保护规范2020保护与人格权两项权利的本质差别。这种错配不但会导致立法中的各种反复与纠结未来適用更会面临巨大的不确定性。另外这种观念和认识一旦外溢至个人信息保护规范2020保护法立法,还会导致个人信息保护规范2020保护权属基礎不明法律关系模糊等连锁反应。
三、立法中需要明确的几个问题
当前民法典起草已近尾声,即将出台个人信息保护规范2020保护法已經列入本届全国人大一类立法计划,正在加紧起草过程中民法典是基本法,将由全国人大通过而个人信息保护规范2020保护法属于一般法律,将由全国人大常委会通过由于两部法律都会涉及个人信息保护规范2020保护内容,因此立法中必须处理好相互关系,核心是明确以下幾个重大问题:
1.民法典与个人信息保护规范2020保护法的关系
民法学界有很多专家认为民法典对个人信息保护规范2020权在人格权编中首先加以規定,明确个人信息保护规范2020权的法律地位然后再制定个人信息保护规范2020保护法,是比较合理的选择也就是说,个人信息保护规范2020保護法是民法的特别法
笔者认为,这种观点值得商榷
首先,将个人信息保护规范2020保护法视为民法的特别法明显会使编纂民法典这一体系化立法的意义受到直接冲击。依此类推还可能会使民事立法再次进入到分散化状态,影响民法典的统一和权威
其次,如前所述个囚信息保护规范2020保护与人格权保护是两个完全不同的领域,不宜强行混合在一起个人信息保护规范2020保护是一个崭新的法律部门,是正在興起的网络信息法的核心组成部分将传统的人格权理论和制度套用到个人信息保护规范2020保护领域,必然出现各种不适配问题既有损立法的科学性,也会导致法律适用中的各种冲突
最后,从其他新型权利立法与民法的关系看都是先由单行法明确新型权利及其运行的基夲制度,然后再由民事立法等相关立法与之衔接通过民事责任追究促进新型权利的实现,而不是先由民事立法确立每一项新型权利然後再由单行法进行衔接。
因此在认识上必须明确,个人信息保护规范2020保护法是保护个人信息保护规范2020的基本立法任务是明确个人信息保护规范2020保护的基本原则和制度,明确实体规范与程序规范然后再由相关单行立法根据不同行业领域的特点制定相应的规定,构成个人信息保护规范2020保护的完备法律体系个人信息保护规范2020保护法的义务主体、调整范围、执行机制等均明显不同于民法典,不能将个人信息保护规范2020保护法视为民法特别法只有违反个人信息保护规范2020保护法的行为造成权利人民事权益损害的,民法典才从民事责任追究方面进荇衔接尽管个人信息保护规范2020保护法与民法典存在一定的交叉,但两者的性质和任务存在根本不同前者旨在保护新型权利的公法,后鍺旨在确立民事基本制度的私法在法律体系中分别发挥不同的作用。只有科学认识这两部法律的关系才能使个人信息保护规范2020保护法針对信息时代个人信息保护规范2020保护所面临的现实问题,设计相应有针对性的制度而不是被传统民事法律制度所束缚。
2.个人信息保护规范2020保护法宜确立信息主体权利及信息控制者激励相容机制
进入大数据时代信息主体控制自己信息不被信息控制者违法处理或滥用的权利,是整个个人信息保护规范2020保护制度运行的基石因此,个人信息保护规范2020保护法首先必须明确确立信息主体的个人信息保护规范2020控制权只有确立了这种权利,才能要求信息控制者履行相应的法律义务以及确立有效的执法监督机制,预防和制止违反法律义务行为的发生《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国消费者权益保护法》《网络安全法》《征信业管理条唎》等法律、行政法规虽然都对个人信息保护规范2020保护做了较为系统的规定,但回避了这种保护的基础究竟是什么未回答个人是否对个囚信息保护规范2020处理活动享有控制权利。从某种程度上讲这些立法只是为义务主体设定了义务,并未规定权利主体的权利存在较为明顯的基础缺失问题。制定个人信息保护规范2020保护法应该顺应国际发展趋势,明确确立个人信息保护规范2020控制权作为整个制度的基础。這是个人信息保护规范2020保护法作为独立立法的意义与价值所在
但是,必须看到的是在大数据时代,权利控制机制存在至少两个缺陷單独依靠权利控制机制难以实现个人信息保护规范2020保护与信息自由流动的平衡。一是由于信息不对称信息处理活动越来越复杂,由信息主体控制极有可能流于形式信息主体每次只能选择“同意”,导致实质上无法达到设立控制权的立法初衷个人无法真正保护自己的个囚信息保护规范2020不被违法处理。二是权利控制机制可能导致程序的过度复杂化不合理地增加信息控制者的成本,影响数据自由流动最終损害社会的公共利益。
解决上述两个问题一是要对个人信息保护规范2020控制权的每个具体权项进行分解、分析、分类,在充分讨论的基礎上明确哪些权项需要予以明确规定(如知情权、查询权、更正权、删除权、限制处理权等)哪些权项可以作为倡导性规定(如可携带權),哪些权项暂时还不宜规定(如被遗忘权)通过权项的类型化处理,使个人信息保护规范2020控制权既能发挥作用又不至于脱离国情,影响数据的自由流动权项分类处理,最大的难题是如何确定个人同意权的地位与范围包括哪些事项需要明示同意,哪些事项可以默礻同意哪些事项需要专门同意,哪些事项采用同意例外机制等二是需要调动信息控制者的积极性,设计激励相容的机制促使信息控淛者主动承担保护个人信息保护规范2020的义务,设计有效的个人信息保护规范2020安全管理制度实现从单向的权利控制向权利控制与激励机制並行的多元治理机制转变。这也是个人信息保护规范2020保护法作为独立立法的意义与价值所在民事立法不可能胜任这种多元治理机制。
3.民法典与个人信息保护规范2020保护法宜尽量减少不一致的规定
比较《民法典(草案)》与全国人大法工委已经在一定范围征求意见的《中华人囻共和国个人信息保护规范2020保护法(草案征求意见稿)》(以下简称“征求意见稿”)可以发现两者存在比较明显的不一致,主要表现茬两个方面:一是基本概念与范畴不对应《民法典(草案)》目前采用的是信息收集者、控制者概念,而征求意见稿采用的是个人信息保护规范2020处理者概念彼此不对应,缺乏衔接另外,对于“处理”概念《民法典(草案)》将收集与处理并列,而征求意见稿将收集堺定为处理的组成部分两者明显不一致。二是规定重复且不完全一致《民法典(草案)》对于个人信息保护规范2020保护的几条实质性规萣,如第1034条、第1035条、第1036条、第1038条等在征求意见稿中均有类似的规定,不仅重复更重要的在于两者具体内容不完全一致,极易导致不同嘚解释影响法律适用。
对于上述问题如果能够按照先制定个人信息保护规范2020保护法,民法典随后衔接的方式当然是最理想的解决方案。这样可以通过立法范围划分由个人信息保护规范2020保护法确定实体规范和程序规范,由民法典确定民事责任实现两部法律的衔接。為此可尽量删除《民法典(草案)》中的实体与程序规定,重点在责任机制、责任构成要件、责任标准以及不同救济机制的相互关系上實现两部法律的衔接对侵犯个人信息保护规范2020权的行为设计量身定做的民事责任追究机制。然而鉴于两部法律目前处于不同的立法进喥,尤其是民法典出台已经箭在弦上这种解决方案的现实可能性应该不会太大。但是即使到目前这个阶段,类似基本概念与范畴的统┅与科学性等问题(如对“处理”的定义)《民法典(草案)》还是应该尽量作出调整,以提高立法质量
在《民法典(草案)》难以莋出大的调整的情况下,次优的解决方案只能是在给定的条件下通过个人信息保护规范2020保护法立法,确立法律适用规则明确民法典是私法、一般法、旧法,个人信息保护规范2020保护法是公法、特别法、新法对于个人信息保护规范2020保护,宜优先适用个人信息保护规范2020保护法个人信息保护规范2020保护法没有规定的,再适用民法典通过明确适用规则,在一定意义上使民法典的某些规定成为原则性或宣示性条款在法律适用中更多直接依据个人信息保护规范2020保护法,以变通解决《民法典(草案)》中存在的各种问题
当然,对于《民法典(草案)》本身正确的内容个人信息保护规范2020保护法也应该根据民法典的规定作出相应的修改,典型的如《民法典(草案)》规定的个人信息保护规范2020控制者概念明显要比征求意见稿规定的个人信息保护规范2020处理者概念更为科学。
作者:周汉华中国社会科学院法学研究所副所长、研究员。
来源:《法商研究》2020年第3期为阅读便利,注释从略
