●《民法總則》第111條專門規(guī)定個人信息保護(hù)規(guī)則,首次從民事基本法層面提出個人信息權(quán),并明確了個人信息保護(hù)的基本行為規(guī)范。
●目前為止,個人信息的法律內(nèi)涵仍未明確。個人信息的法律內(nèi)涵的界定也存在較大差異,混淆了“個人隱私”、“個人信息”以及“與個人有關(guān)的信息”的法律內(nèi)涵。這種碎片化的立法模式給執(zhí)法、司法實踐帶來了巨大的挑戰(zhàn)。
●當(dāng)下,個人信息保護(hù)立法很少有從產(chǎn)業(yè)發(fā)展宏觀層面討論立法模式的選擇問題。走人格權(quán)路徑,抹殺了個人信息的流轉(zhuǎn)價值;走同意前置模式,限定了大數(shù)據(jù)發(fā)展的基礎(chǔ)資源;個人信息主體的查詢、修改、刪除等國際公認(rèn)有益于擴(kuò)大信息生產(chǎn)與共享的規(guī)則,并未寫入《民法總則》。
《民法總則》第111條專門規(guī)定個人信息保護(hù)規(guī)則,首次從民事基本法層面提出個人信息權(quán),并明確了個人信息保護(hù)的基本行為規(guī)范。我們可以結(jié)合國內(nèi)外個人信息保護(hù)立法實踐,分析《民法總則》中的個人信息權(quán)的法律內(nèi)涵以及相關(guān)立法價值取向。
我國個人信息保護(hù)的法律體系
近年來,隨著個人信息泄露事件的多發(fā),個人信息保護(hù)逐漸進(jìn)入立法視野。起初,學(xué)界主張制定統(tǒng)一的《個人信息保護(hù)法》,但由于個人信息的內(nèi)涵及法律屬性還存在較大爭議,統(tǒng)一法立法模式流產(chǎn),轉(zhuǎn)而制定了一系列的原則性立法及單行規(guī)定。
刑事法律層面!缎谭ㄐ拚福ㄆ撸肥状螌⒎欠ǐ@取和提供個人信息入罪。此后《刑法修正案(九)》明確放寬了入罪的主體范圍,并將罪名統(tǒng)一為“侵犯公民個人信息罪”。今年,兩高發(fā)布《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,明確了量刑標(biāo)準(zhǔn)。
行政監(jiān)管法律層面!峨娦藕突ヂ(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》是比較全面的個人信息保護(hù)單行規(guī)定。此后,幾乎所有互聯(lián)網(wǎng)單行立法均有涉及個人信息保護(hù)的規(guī)定。
民事法律層面。最高院《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》首次從司法解釋層面,明確了個人信息的法律內(nèi)涵及侵權(quán)責(zé)任承擔(dān)方式。《民法總則》則首次從民事基本法層面確立了個人信息權(quán)。此前公布的《電子商務(wù)法(草案)》也專章規(guī)定了電商領(lǐng)域個人信息保護(hù)有關(guān)規(guī)范。
此外,全國人大《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《網(wǎng)絡(luò)安全法》則從綜合法的層面,相對全面地規(guī)定了個人信息的法律內(nèi)涵及保護(hù)規(guī)范。
個人信息的法律內(nèi)涵
本次《民法總則》雖然確立了個人信息權(quán)的法律地位及性質(zhì),但是并未明確界定個人信息的法律內(nèi)涵。早些時候,立法中曾存在“個人信息”、“個人數(shù)據(jù)”等多個提法,且關(guān)于個人信息的法律內(nèi)涵的界定也存在較大差異,混淆了“個人隱私”、“個人信息”以及“與個人有關(guān)的信息”的法律內(nèi)涵。這種碎片化的立法模式給執(zhí)法、司法實踐帶來了巨大的挑戰(zhàn)。
在最高院《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》中,首次將“自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動”明確為“個人隱私和其他個人信息”,但并未明確區(qū)分“個人隱私”與“個人信息”。
此后,在《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》中,明確提出個人信息是指“姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨(dú)或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時間、地點(diǎn)等信息”,首次獨(dú)立界定了個人信息的內(nèi)涵,并提煉出個人信息的核心法律特征——識別性。
個人信息的完整法律內(nèi)涵,成形于《網(wǎng)絡(luò)安全法》。該法采取概括加列舉的方式規(guī)定了個人信息的法律內(nèi)涵,將個人信息的法律特征概括為“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息”,同時列舉了“自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”常見個人信息形式。
但在兩高《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中,立法完全顛覆了我國立法及實踐中已經(jīng)形成統(tǒng)一意見的“識別性”內(nèi)涵,將個人信息放寬到“識別特定自然人身份或者反映特定自然人活動情況的各種信息”,實質(zhì)上是混淆了“個人隱私”、“個人信息”和“與個人有關(guān)的信息”的法律內(nèi)涵。
個人信息權(quán)的法律性質(zhì)
個人信息權(quán)的法律主體
《民法總則》在個人信息權(quán)條款中,規(guī)定了兩個不同的主體,理論界稱為個人信息主體與個人信息處理者。
所謂個人信息主體,即指通過信息被識別出個人身份的自然人。盡管司法實踐中存在現(xiàn)實的需求,但遺憾的是,本次《民法總則》并未規(guī)定法人享有信息權(quán)。
我國早期法律中(例如刑法修正案七),僅將公共機(jī)構(gòu)納入個人信息處理者的范疇,這一觀點(diǎn)在后來的立法中得到了糾正,本次《民法總則》則將數(shù)據(jù)處理者統(tǒng)一確立為“任何組織和個人”,包括收集、使用、轉(zhuǎn)讓個人信息的主體。
個人信息權(quán)的屬性
早些時候,關(guān)于個人信息權(quán)的法律性質(zhì)一直存在較大爭議,主要有個人信息人格權(quán)說、財產(chǎn)權(quán)說和混合說。
人格權(quán)說,早期由隱私權(quán)說引申而來,即個人信息權(quán)是隱私權(quán)在互聯(lián)網(wǎng)時代的升級版,這種觀點(diǎn)在美國較為盛行。發(fā)展到后來,人格權(quán)說逐漸發(fā)展為一種獨(dú)立的、新型的人格權(quán)說。該種觀點(diǎn)認(rèn)為,個人信息權(quán)的內(nèi)涵在于對個人信息處理方式的控制,而不在于對個人信息本身的占有,事實上,個人并不是唯一有權(quán)占有個人信息的人,不具備財產(chǎn)權(quán)的排他性。
財產(chǎn)權(quán)說,主要的理論基礎(chǔ)是個人信息可以交易,具有經(jīng)濟(jì)價值,于是提出了個人信息所有權(quán)的概念。該說認(rèn)為,個人信息財產(chǎn)權(quán)說是保護(hù)個人信息利益最大化的最優(yōu)途徑,也是鼓勵個人信息生產(chǎn)、分享的最好制度設(shè)計。
混合說則認(rèn)為,個人信息權(quán)天然具有個人與財產(chǎn)的混合屬性,人格權(quán)說和財產(chǎn)權(quán)說僅僅是保護(hù)路徑的選擇問題,其最終目的還是要達(dá)到個人信息控制與社會信息共享的平衡。
本次《民法總則》采取了第一種觀點(diǎn),將個人信息權(quán)確定為一種具體人格權(quán),納入到民事權(quán)利中的人格權(quán)章節(jié)中。
個人信息權(quán)與其他民事權(quán)利的區(qū)別
首先,個人信息權(quán)與隱私權(quán)不分是早期立法的通病。事實上,隱私與個人信息的范圍,存在交叉,又各有獨(dú)立內(nèi)容。隱私包括私人信息、私人空間、私人活動;而個人信息又包括隱私的信息(例如個人生理信息、財產(chǎn)信息等),也包括公開的信息(例如年齡、聯(lián)系方式等)。
其次,個人信息權(quán)與所有權(quán)也存在較大差異。所有權(quán)的內(nèi)涵在于對財產(chǎn)的占有、使用和處置,但是個人信息權(quán)的內(nèi)涵不在對個人信息的占有、處置等,而在于對個人信息處理的控制。例如,某人占有個人信息,并不能導(dǎo)致其他人對該個人信息占有的喪失。
最后,盡管在相對性上存在一定相似性,但個人信息權(quán)與知識產(chǎn)權(quán)不同。個人信息權(quán)基礎(chǔ)來源于信息本身的識別性,而并不是創(chuàng)造性;個人信息權(quán)及于個人信息主體有生之年,有嚴(yán)格的時間限制。
個人信息處理的法律規(guī)范
同意規(guī)范
個人信息權(quán)的核心在于對個人信息處理(而不是個人信息本身)的控制,但這種控制是否需要個人信息主體的在先同意,則是歐盟立法模式與美國立法模式的根本區(qū)別。
陰謀論者認(rèn)為,歐盟一貫以嚴(yán)格的數(shù)據(jù)管制制度遏制美國的互聯(lián)網(wǎng)霸主地主,其體現(xiàn)之一就是個人信息處理合法性的前提就是個人同意。相反,在美國,個人信息是一種自然存在,只要滿足合法目的要求,任何人都可以采集和記錄,不需要事先征得個人同意。
我國《民法總則》雖未明確提出個人同意原則,但是其合法性要求理應(yīng)包含了同意原則,因為在其他法律、法規(guī)中明確提出了“并經(jīng)被收集者同意”的前置條件。例如在《網(wǎng)絡(luò)安全法》第四十一條、《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第二條均有明確規(guī)定。
關(guān)于同意是以積極的方式還是消極的方式作出,現(xiàn)有立法上沒有明確規(guī)定。但是,司法實踐中,對同意的方式提出了越來越高的要求,概括的、模糊的同意也在個案中受到越來越多的挑戰(zhàn)。這一點(diǎn),歐盟在近期多個法律文件中也指出,“積極同意”應(yīng)當(dāng)逐漸成為個人信息保護(hù)的發(fā)展方向。我國《電子商務(wù)法(征求意見稿)》也明確規(guī)定,“電子商務(wù)經(jīng)營主體不得以拒絕為用戶提供服務(wù)為由強(qiáng)迫用戶同意其收集、處理、利用個人信息!
安全規(guī)范
本次《民法總則》正式稿與審議稿在個人信息保護(hù)上最大的進(jìn)步,就是加入了安全性規(guī)范,即增加了“應(yīng)當(dāng)依法取得并確保信息安全”內(nèi)容。
個人信息安全規(guī)范是多個立法文件中重點(diǎn)強(qiáng)調(diào)的內(nèi)容,要求個人信息處理者應(yīng)當(dāng)妥善存儲其收集、使用的個人信息,并采取切實有效的措施防止數(shù)據(jù)被泄露、篡改或毀滅。
這一規(guī)范的現(xiàn)實意義在于,發(fā)生民事侵權(quán)責(zé)任后,原、被告雙方的舉證責(zé)任分配問題。不能苛求原告舉證被告(個人信息處理者)存在安全懈怠行為,相反,被告(個人信息處理者)必須舉證采取了法律規(guī)定的(例如《網(wǎng)絡(luò)安全法》列舉的眾多網(wǎng)絡(luò)安全義務(wù))、必要的、審慎的個人信息保護(hù)措施,否則應(yīng)當(dāng)承擔(dān)個案不利的后果,例如用戶訴去哪兒網(wǎng)和某航空公司的案件。
透明規(guī)范
透明規(guī)范,即要求個人信息處理者在追求信息自由流通與個人信息保護(hù)之間尋求一種平衡,包括目的透明、方式透明、時間透明、范圍透明等。
例如,在《網(wǎng)絡(luò)安全法》、《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》中均有明確規(guī)定,個人信息處理者應(yīng)當(dāng)“明示收集、使用信息的目的、方式和范圍”,堅持“正當(dāng)、必要的原則”、“不得收集與其提供的服務(wù)無關(guān)的個人信息”。
個人信息保護(hù)“向左還是向右”
事實上,個人信息應(yīng)當(dāng)獲得法律保護(hù),已經(jīng)在世界各國達(dá)成共識。但是,各國從自身產(chǎn)業(yè)政策出發(fā),卻制定了不同的保護(hù)途徑和方式,以尋求個人信息保護(hù)與促進(jìn)信息共享之間的平衡。
在我國,由于近年來個人信息泄露事件頻發(fā),引起了社會各界的廣泛關(guān)注,反射到立法層面,就成了當(dāng)下的個人信息保護(hù)廣泛的微觀立法模式,很少有從產(chǎn)業(yè)發(fā)展宏觀層面討論立法模式的選擇問題。
現(xiàn)實的問題是,碎片化的、缺乏協(xié)調(diào)性的個人信息法律內(nèi)涵界定模式給法律適用帶來了極大的挑戰(zhàn);走人格權(quán)路徑,抹殺了個人信息的流轉(zhuǎn)價值;走同意前置模式,限定了大數(shù)據(jù)發(fā)展的基礎(chǔ)資源;個人信息主體的查詢、修改、刪除等國際公認(rèn)有益于擴(kuò)大信息生產(chǎn)與共享的規(guī)則,并未寫入《民法總則》;等等。
個人信息保護(hù)向左,信息自由流通向右。我們的立法,迷失在嘈雜社會現(xiàn)實的十字路口。
。ㄗ髡邽閰R業(yè)律師事務(wù)所高級合伙人)