杨立新
(中国人民大学 民商事法律科学研究中心,北京 100872)
《中华人民共和国民法总则》(以下简称《民法总则》)第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得,并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”对于这一条文规定的“个人信息”,究竟是个人信息法益,抑或个人信息权,学者有不同的解读。笔者坚持认为,这一条文规定的是个人信息权,而不是个人信息利益,*参见《中华人民共和国民法总则要义与典型案例解读》,中国法制出版社2017年版,第413页。本文对此作出进一步的理论说明。
1.世界性的个人信息保护运动的社会背景。世界进入当代社会,最为显著的特点就是信息化,表现为自动化机器大量处理信息,在不受时空限制的网络空间中,各种信息被无限地生产、收集、使用、转移等,既给人类生活带来了巨大便利,同时也给信息主体造成了不必要的损害。因此,伴随着信息化社会的不断发展,对于个人信息的保护就显得越来越重要,在世界范围内形成了空前的个人信息保护运动。
以笔者所见,当代社会对个人信息的保护分为前后两个阶段:前一个阶段,是信息化社会在互联网普遍使用之前,信息的传输手段尚未被互联网等网络所统治,但是对于信息之于当代社会和个人的重要性,已经被充分认识,因而出现了个人信息保护运动。后一个阶段,则是在互联网等网络普遍使用之后,信息传播的速度加快,个人信息的重要性越来越被人们所认识,利用个人信息可以产生巨大的价值,因而保护个人信息的重要性为世界普遍认识,因而更加自觉地保护个人信息。至今,对于个人信息的保护已经成为势不可挡的世界潮流。
前一个阶段的个人信息保护,主要的代表法律是1970年德国黑森州制定的《黑森州数据保护法》,继而在1973年出现了《瑞典数据法》,是世界上第一部全国性的个人数据保护法。美国在1974年制定了“隐私法案”,强调联邦政府对个人信息收集和利用的公平性和正当性。1977年,德国制定了全国性的《联邦数据保护法》。这些个人数据保护法就是当时的个人信息保护法,是个人信息保护法的立法先驱。
后一个阶段的个人信息保护法的立法,首先是1984年英国通过了《英国数据保护法》。继而在1995年,欧盟通过了《个人数据保护指令》,对全欧的个人数据保护作出了完整的规定。韩国于1994年制定了《公共机关保护个人信息的法律》,1995年制定了《信用信息的使用与保护法》,1999年制定了《有关普及、扩张和促进使用电子产品的法律》,并在2011年制定了一般性的《个人信息保护法》。这些国家制定的这些个人数据保护法,标志着世界性的个人信息保护法的完善。
2.我国对个人信息保护立法的社会背景。我国对个人信息保护的规范,并未随着1980年代的世界个人信息保护运动的发展高潮而启动,在1986年制定的《民法通则》规定了较多的人格权,但未规定个人信息权,也没有规定隐私权。从立法层面上看,随着1990年代后期我国互联网兴盛开始,出现了个人信息保护的法律,最早规定的是2000年12月28日《全国人大常委会关于维护互联网安全的决定》,将信息安全视为互联网安全的重要内容,采用刑事制裁手段来维护信息主体的个人信息权利,规定了非法收集、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密,可构成犯罪,追究行为人的刑事责任。
2012年12月28日,全国人大常委会通过《关于加强网络信息保护的决定》,明确规定,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,规定收集个人信息的要求,以及侵害个人信息的侵权责任。2014年10月25日,修订后的《消费者权益保护法》,对消费者个人信息保护给予特别重视,作出3条规定,强调对消费者个人信息的保护,规定经营者对个人信息的保护义务,以及侵害消费者个人信息的侵权责任。2017年6月1日,立法机关制定了《网络安全法》,第76条第5款规定:“自然人的个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合,识别的自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”第74条规定:“违反本法规定,给他人造成损害的,依法承担民事责任。”
此外,在行政法规和行政规章层面,还有《征信管理条例》《工信部电信和互联网用户个人信息保护规定》《国家质量监督检验检疫总局和国家标准化管理委员会信息安全技术公共及商用服务信息系统个人信息保护指南》等,都对保护个人信息作出了相应的规定。
互联网的快速发展,带来了信息的数据化,从而使人类生活的中心,从现实空间转变为网上的虚拟空间。信息数据化在有助于人们收集、应用、传输信息的同时,也带来了信息泄露的巨大可能性。在构成现代社会的大量信息资源中占据重要地位的个人信息,就不仅仅是个人领域的私事,而成为引起极大关注的重大社会问题。对个人信息利用的增加,不仅存在于公共领域,而且在以营利为目的的企业等民间领域,也存在着越来越多的收集、利用和保存,更进一步加剧了个人信息被误用、滥用以及泄露等问题。中国同样面临着这样的问题。正是在这样的情况下,编纂我国民法典必须对个人信息的保护,以民法基本法的形式作出原则性的规定。
在《民法总则》的制定过程中,对于个人信息保护的规定,经历了一个从无到有,逐步完善的过程。在最早的2015年8月28日《民法总则(草案)·民法室室内稿》中,没有规定对个人信息的保护。随后在 2015年“征求意见稿”、2016年5月27日“征求意见稿修改稿”,以及 2016年6月27日《民法总则(草案)》“第一次审议稿”,对个人信息保护都没有作出规定。*参见杜涛主编:《民法总则的诞生——民法总则重要草稿及立法过程背景介绍》,北京大学出版社2017年版,第133页。
在此期间,社会上发生了两件事,引起了立法机关的高度重视。一是徐玉玉电信诈骗案。2016年,山东临沂的贫困学生徐玉玉,以568分的成绩被南京邮电大学英语专业录取。8月21日,徐刚刚接到大学录取通知书,就接到了诈骗电话,被告人陈文辉等人通过非法手段获得徐的个人信息,借此以发放助学金的名义,骗走了其筹措的全部学费9900元。在此打击下,徐在报警回家的路上,伤心欲绝,郁结于心,最终导致心脏骤停,虽经医院全力抢救,仍不幸离世。*百度百科:徐玉玉,https://baike.baidu.com/item/徐玉玉/19919942,2017年10月9日访问。经查,犯罪嫌疑人杜某利用技术手段攻击了山东省2016高考网上报名信息系统,并在网站植入木马病毒,获取了网站后台登录权限,盗取了包括徐在内的大量考生报名信息。陈文辉从杜某手中以每条0.5元的价格购买了1800条上述高中毕业学生资料,对徐实施了电信诈骗,造成了严重后果。*参见陈甦主编:《民法总则评注(上册)》,法律出版社2017年版,第460页。二是清华大学某教授电信诈骗案。2016年8月29日晚23时许,中关村派出所110接报,海淀区蓝旗营小区清华大学一老师,被冒充公检法的人员电信诈骗人民币1760万元。*腾讯新闻:《清华大学一老师被电信诈骗1760万 警方已介入调查》,http://news.qq.com/a/20160830/039876.htm,2017年10月9日访问。
这两件电信诈骗案使立法机关受到震动,促使在《民法总则(草案)》中增加了个人信息保护的内容。2010年9月13日,在《民法总则(草案)》“一审稿修改稿”中,第一次增加了个人信息的条文,即:“自然人的个人信息受法律保护。任何组织和个人不得非法获取个人信息,不得非法出售或者提供个人信息。”*杜涛主编:《民法总则的诞生——民法总则重要草稿及立法过程背景介绍》,北京大学出版社2017年版,第200页。对此,我们参与立法的专家都特别赞成,经过反复修改,形成了2016年12月25日《民法总则(草案)》“第二次审议稿”第109条:“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。”这个意见得到全国人大常委会的充分肯定。*杜涛主编:《民法总则的诞生——民法总则重要草稿及立法过程背景介绍》,北京大学出版社2017年版,第225页。在《民法总则(草案)》第三次审议稿中,将其规定为第111条,内容基本相同。*杜涛主编:《民法总则的诞生——民法总则重要草稿及立法过程背景介绍》,北京大学出版社2017年版,第309页。
全国人大常委会第三次审议《民法总则(草案)》之后,立法机关要求更加重视对个人信息的保护,于是,在2017年2月10日“第三次审议稿修改稿”中,对个人信息的规定改为两个条文,第111条规定:“自然人的个人信息受法律保护、任何组织和个人不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。”第112条规定:“任何组织和个人都应当采取技术措施和其他必要措施,确保依法取得的个人信息安全,防止信息泄露。在发生或者可能发生信息泄露时,应当立即采取补救措施。”这样的规定,更加强调了依法取得个人信息的组织和个人对于确保个人信息安全的法定义务。
在提交全国人民代表大会审议的《民法总则(草案)》“大会审议稿”中,*杜涛主编:《民法总则的诞生——民法总则重要草稿及立法过程背景介绍》,北京大学出版社2017年版,第388-389页。将上述两个条文合并成一个条文,即正式通过的《民法总则》第111条,形成了我国《民法总则》对个人信息保护的正式规定。
对于《民法总则》第111条规定的“个人信息”,究竟是指一种法益,还是民事权利,有不同的意见。
1.法益说。王利明教授主编的《中华人民共和国民法总则详解》认为:“本条只是规定了个人信息应当受到法律保护,而没有使用个人信息权这一表述,表明民法总则并没有将个人信息作为一项具体人格权利,但本条为自然人的个人信息保护提供了法律依据。”*王利明主编:《中华人民共和国民法总则详解》,中国法制出版社2017年版,第465页。
龙卫球教授与刘保玉教授主编的《中华人民共和国民法总则释义与适用指导》认为:“二审稿开始纳入个人信息问题,但考虑到个人信息的复杂性,也没有简单以单纯民事权利特别是一种人格权的形式加以规定,而是笼统规定个人信息受法律保护,为未来个人信息如何在利益上兼顾财产化,以及与数据经济的发展的关系配合预留了一定的解释空间。”*龙卫球、刘宝玉:《中华人民共和国民法总则释义与适用指导》,中国法制出版社2017年版,第404页。
2.近似人格权说。陈甦教授主编的《民法总则评注》认为:“在隐私权之外,确立自然人对其个人信息享有的民事权利,在一定程度上明确了个人信息权。本条文虽然没有直接规定自然人享有个人信息权,但对自然人而言,本条既是其具有民事权利的宣示性规定,也是确权性的规定。”*陈甦主编:《民法总则评注(下册)》,法律出版社2017年版,第785页。
张新宝教授在《中华人民共和国民法总则释义》中认为:“法律委员会经研究认为,个人信息权利是公民在现代信息社会享有的重要权利,明确对个人信息的保护,对于保护公民的人格尊严,使公民免受非法侵扰,维护正常的社会秩序具有现实意义。”*张新宝:《中华人民共和国民法总则释义》,中国人民大学出版社2017年版,第220页。
3.人格权说。在解读《民法总则》的著作中,只有笔者认为,《民法总则》第111条规定的是个人信息权。在笔者主编的《中华人民共和国民法总则要义与案例解读》中,笔者提出:“本条是对自然人享有的个人信息权,以及义务人负有不得侵害个人信息权义务的规定。”*杨立新主编:《中华人民共和国民法总则要义与案例解读》,中国法制出版社2017年版,第413页;《民法总则条文背后的故事与难题》,法律出版社2017年版,第277页。
4.立法机关的态度。立法机关的官员在解读《民法总则》中,对《民法总则》第111条规定的个人信息,态度不够明晰,但认可其为权利的意思比较明确。李适时主编的《中华人民共和国民法总则释义》认为,虽然没有规定个人信息是人格权,但是,“本条规定了其他民事主体对自然人个人信息保护的义务”,“违反个人信息保护义务的,应当承担民事责任、行政责任甚至刑事责任”。*李适时主编:《中华人民共和国民法总则释义》,法律出版社2017年版,第344、349页。这意味着,对于个人信息虽然没有规定权利,但是由于有特定的义务人,因而使个人信息成为民事权利。张荣顺主编的《中华人民共和国民法总则解读》态度比较明确,认为个人信息权利是公民在现代信息社会享有的重要权利,明确对个人信息的保护,对于保护公民的人格尊严,使公民免受非法侵扰,维护正常的社会秩序具有现实意义。据此,民法总则在民事权利一章中单列一条,对自然人的个人信息受法律保护,和其他民事主体对自然人个人信息保护的义务作出明确规定。*张荣顺主编:《中华人民共和国民法总则解读》,中国法制出版社2017年版,第363页。在这一说法中,直接提到了“个人信息权利”的概念,这与张新宝教授的说法十分相似。相信这是法律委员会的真实意思。
《民法总则》第111条规定的“个人信息”,规定的究竟是法益,抑或权利,是对其理解和解读的焦点问题,也是民法对个人信息保护立场的根本性问题。对此,必须有明确的界定。
在笔者看来,民事利益是民事主体之间为满足自己的生存和发展而产生的,对一定对象需求的人身利害关系和财产利害关系。民事利益分为三个部分,第一部分是用民事权利保护的民事利益,例如,生命利益是生命权所保护的民事利益,遗产是继承权保护的民事利益,等等。第二部分是法益保护的民事利益,例如对死者人格利益、胎儿利益的保护,以及对条形码、二维码的保护,等等,就是以法益保护的民事利益。第三部分,不受民事权利和法益保护的民事利益,例如所谓的亲吻权等。*参见杨立新:《民法总则》,法律出版社2017年版,第171页。
在我国的法律中,规定保护某种民事利益,通常采用以下三种做法:
第一,法律直接规定为权利。我国民法保护权利,通常直接规定为民事权利。例如姓名权、肖像权、名誉权等。《民法总则》第110条所列举的人格权,都直接规定为权利;其他的有物权、债权、知识产权、继承权以及股权等,也都直接规定为权利。
第二,法律规定作为法益保护。不论是《民法总则》还是《侵权责任法》,都规定了对民事权益的保护,其中不仅包括权利,也包括民事利益。特别是《民法总则》第126条明确规定:“民事主体依法享有法律规定的其他民事权利和利益。”其中明确规定法律保护民事利益,其实就是法益。例如,《民法总则》第16条对于胎儿利益的保护,就明确规定“涉及遗产继承、接受赠与等胎儿利益保护”,即为法益。
第三,对用权利还是用法益保护规定不明确。这种作法,最典型的是对“隐私”的保护。我国法律最早规定隐私的,是1982年的《民事诉讼法(试行)》。由于1986年《民法通则》没有规定隐私权,因而接下来在《未成年人保护法》《妇女权益保护法》《残疾人保护法》等法律中,都规定了对“隐私”的保护,都没有使用“权”字。1988年最高人民法院制定《关于贯彻执行<民法通则>若干问题的意见(试行)》,对隐私权的保护就采用了间接保护方式。2002年《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》,才将对隐私权的保护由间接保护改为直接保护方式,但仍然称为对“隐私利益”的保护,而不是对隐私权的保护。直到2009年《侵权责任法》,才正式确定隐私权是一个具体人格权。显而易见,法律如果对某种民事利益的保护没有明确是权利还是法益,最好将其认定为民事权利,而不必像对隐私权那样,费了几十年的周折,才最后认定其为民事权利。对此,千万应当引以为立法的教训。
对于《民法总则》第111条规定的“个人信息”究竟是权利,还是法益,还是要对法律规定进行具体分析。
1.法律有明确规定的应当依照规定确定。应当肯定的是,凡是法律规定为权利的,当然就是权利。例如,《民法总则》第五章“民事权利”中规定的其中民事权利,即人格权、身份权、物权、债权、知识产权、继承权和股权等,都是民事权利。所以,法律凡是规定一种受到保护的民事利益为“权”的,当然就是民事权利。
同样,凡是法律只规定为民事利益的,当然就是法益。例如,《民法总则》第16条规定的“胎儿利益”,就是法益,而不是权利;第185条规定的“英雄烈士等姓名、肖像、名誉、荣誉”,没有说“权”,也不可能为权利,当然就是法益,而不是权利。
权利乃享受特定利益的法律之力。*参见王泽鉴:《民法总则》,三民书局2008年修订版,第90~91页。对于法益,我国大陆地区民法通常不重视,研究不够。台湾地区林诚二教授认为,法益为法律所保护之利益,但法益不全由权利而取得,法益有时因法律之反射作用而享有。权利性之法益被侵犯时,被害人得依法诉请救济;反之,虽非权利性之法益,但属直接之法益者,法律亦常加以保护。*林诚二:《民法总则(上册)》,法律出版社2008年版,第102页。依我之见,还是回到我的民事利益的三段论上来讨论这个问题比较方便,即某种民事利益,法律规定以权利进行保护的,就是权利;某种民事利益法律予以保护,但未规定为权利者,即为法益。我的这种看法,似乎比林诚二教授的意见更为简洁,亦更为实用。
2.对法律没有明确规定为权利抑或法益的认定标准。现在的问题是,对法律没有明确规定为权利抑或法益的,例如《民法总则》第111条规定的“个人信息”,究竟应当如何认定,笔者认为有以下三个标准:
第一,确认法律规定保护的利益是否具有独立性,与其相近的民事权利所保护的利益是否存在明显的界分。民法确认某种民事权利时,必须存在两个前提:一是该权利所保护的民事利益具有相当的独立性。例如生命、身体和健康,同为三种民事权利,且都为物质性人格权,但是三者所保护的人格利益都是独立的人格利益。即使姓名权、肖像权、名誉权所保护的姓名利益、肖像利益和名誉利益,也都是具有独立性的人格利益。因此,法律对这几种人格利益的保护,都确立为具体人格权。二是权利所保护的民事利益还必须与其相关的民事权利所保护的利益能够做出明确界分,而不是相互混淆,无法划分其界限。事实上,《民法总则》第111条之所以规定个人信息,又没有对其属于权利抑或法益作出明确规定,就是由于个人信息与隐私之间存在较强的相关性,对于是否能够划清其界限信心不足。笔者认为,个人信息权和隐私权在客体上尽管关联相当紧密,但是并非浑然一体,而是在性质等方面存在明确的界分。隐私中的信息,主要是一种私密性的信息或者私人活动,例如个人身体状况、家庭状况、婚姻状况等,凡是个人不愿意公开披露且不涉及公共利益的信息,都属于个人隐私,而且单个的私密信息或私人活动并不直接指向自然人的主体身份。而个人信息注重的是身份识别性,此种意义上的身份识别应当作广义的理解,即只要此种信息与个人人格、个人身份有一定的联系,无论是直接指向个人,还是在信息组合之后指向个人,都可以认为其具有身份识别性,*参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的计分为中心》,载《现代法学》2013年第4期。属于个人信息。由此可见,在隐私权所保护的隐私中的个人信息,与个人信息权所保护的个人信息,虽然存在较大的关联性,都属于个人信息,但是二者都是独立的人格利益,相互之间的界分是明晰的。因此,《全国人大常委会关于加强网络信息保护的决定》第1条就规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”这就将个人信息区分为个人身份信息和个人隐私信息。进而言之,个人隐私信息就是隐私权保护的客体,个人身份信息就是个人信息权保护的客体。另外,个人隐私信息和个人身份信息也存在较大的区别。个人隐私信息更多的是涉及自然人个人的私密活动信息,具有的是精神方面的利益,而个人身份信息是可以识别个人身份的信息,作为个人人身、行为状态的数据化表示,是个人自然痕迹和社会痕迹的记录。个人信息指向信息主体,能够显现个人的生活轨迹,勾勒出个人的人格形象,作为信息主体人格的外在标志,形成个人信息化形象。随着信息技术的进一步发展,使得商务智能分析成为现实,而将商务智能技术应用于经营者所掌握的消费者信息,帮助经营者以消费者整体需求为导向,进行未来产品和服务升级更新,大大提高了其决策的效率和理性,实现经营者和消费者之间有的放矢的互动。因此,个人身份信息既具有人格尊严和自由价值,也具有商业价值。*参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。正因为如此,在个人隐私信息和个人身份信息之间,相互具有独立性,能够进行明晰的界分,因此,将个人信息界定为个人信息权,在这一点上是完全可以成立的。
第二,在实践中,对于法律保护的某种具体民事利益,用权利保护抑或用法益保护,对于主体的保护是否存在较大差别。在我国民法中,隐私权所保护的隐私包含个人信息,在没有规定个人信息权之前,对于个人身份信息的保护也是通过隐私权来实现的。但是在当代的网络、数据社会,对个人信息保护的必要性得到了凸显,在计算机诞生之后,信息技术获得了空前的发展,20世纪80年代开始的全球信息化运动,使人类进入了一个信息化社会,个人信息成为一项重要的社会资源。实践中,侵害个人信息权的现象时有发生,特别是在网络环境下,个人信息权的保护显得尤为必要。隐私权原来所保护的个人信息,既包括个人隐私信息,也包括个人身份信息。在信息化社会中,更需要加强保护的是个人身份信息,而对个人身份信息仅仅依照隐私权的保护方法予以保护,显然不够完善。这不仅是对隐私权的保护主要以精神损害赔偿救济方法进行,对于个人信息权的保护不仅要以精神损害赔偿的救济方法进行,还应当以财产损失赔偿的救济方法进行;特别是在个人身份信息日益受到威胁,电信诈骗愈演愈烈的情形下,对于个人身份信息以个人信息权予以保护更为重要,而以隐私权的保护救济则显然不周。显然,在《民法总则》第111条规定了个人信息的保护原则之后,将其作为民事权利保护,比作为隐私权的组成部分予以保护,以及用个人信息法益保护,都更为妥善和周到。
第三,在比较法上,有无权利保护或者法益保护的立法例支持。在当代社会,各国保护个人信息多采用隐私权予以保护。首先,在美国,就是通过隐私权法案对个人信息进行保护。美国在1974年制定的隐私法案,针对的是联邦行政机构的行为,并着力于各类信息的收集、持有、使用和传输,通过隐私权对个人信息加以保护。不过,在美国法,隐私权的性质与大陆法系的隐私权不同,在很大程度上具有一般人格权的性质,从隐私权的内容中不断发展新的权利。例如,在美国的隐私权概念中,就不仅包含隐私权,还包括姓名权、肖像权、声音权、形象权的保护内容。从这样的意义上看,用隐私权保护个人信息,其实个人信息仍然具有具体权利的性质。在大陆法系,欧盟和欧洲国家在保护个人信息上,都制定个人信息保护法。德国1976年制定的《联邦数据保护法》,第一次系统地、集中地规定保护个人信息,并且显现出民事权利的属性,尽管没有认定个人信息是一个独立的民事权利,而是用隐私权来保护,不过,在大陆法系的一些国家已经意识到该问题,并逐渐开始在判例学说中对隐私与个人信息二者之间的关系进行界分。德国联邦宪法法院就将信息自决权作为隐私权的内容,虽然表明德国法中未严格区分个人信息与隐私,但在实践中是将这两者区别开来,而将个人信息称之为信息自决权,即个人依照法律控制自己的个人信息,并决定是否被收集和利用的权利。*同①。特别是在欧盟法院确立对被遗忘权的保护之后,对网络个人身份信息的删除权,很难用隐私权来予以概括和保护,因为被遗忘权与隐私权保护的客体并不一致,隐私权保护的是信息不予以公开的利益,隐私信息一旦公开,就不再具有隐私性质了。而被遗忘权更多的是对已经公开的、过时的信息的利益保护。*参见高富平、王苑:《被遗忘权在我国移植的法律障碍——以任甲玉与百度公司被遗忘权案为例》,载《法律适用》2017年第16期。因而对这种信息的删除权就称之为被遗忘权,使其具有一定的权利属性。基于以上分析,在比较法上,各国尽管多是把个人信息保护置于隐私权的功能之中,但是个人信息权作为独立的权利,其发展趋势越来越明显;更重要的是,不管是用隐私权保护个人信息,还是用个人信息权保护个人信息,都是用权利来保护,而没有用法益方法对个人信息予以保护的立法例。在这样的比较法基础上,来观察对个人信息权保护的法律模式,显然不能用法益保护方式,而应以权利保护方式进行。至于用隐私权保护好,还是用个人信息权保护好,其结论显然是明确的,当然是后者。
3.讨论结论。尽管《民法总则》第111条规定了“自然人的个人信息受法律保护”,却没有具体规定为法益保护抑或权利保护,但是,从法律所保护的客体即个人身份信息的独立性、社会实践保护个人身份信息的必要性,以及从比较法的基础上进行分析,对于个人身份信息的保护,一是不能用法益保护方式,因为其显然不如用权利保护为佳;二是不宜以隐私权保护方式予以保护,因为隐私权保护个人身份信息确有不完全、不完善的问题。例如,我国的被遗忘权第一案,即任甲玉诉百度公司搜索引擎的相关搜索侵害被遗忘权案,就已经提出了被遗忘权应当归属于个人信息权,而不应当作为隐私权内容的问题。*参见段卫利:《论被遗忘权的司法救济——以国内“被遗忘权第一案”的判决书为切入点》,载《法律适用》2017年第16期。真正实现对个人信息的完善保护,就必须把《民法总则》第111条规定的个人信息解读为个人信息权。
涉及同样问题的,还有《民法总则》对“人身自由”的规定。《民法总则》第109条规定人身自由权,也只是写了“人身自由”,没有直接规定为人身自由权。之所以没有写人身自由权而仅仅写人身自由,是因为《宪法》第37条规定的是“中华人民共和国公民的人身自由不受侵犯”,而不是规定公民的人身自由权不受侵犯。《民法总则》在将宪法规定的人身自由规定为民法的人身自由权利时,是将公民的公权利转化为民法上的自然人的私权利,囿于《宪法》的规定,而没有规定为“人身自由权”。但是,这不能说人身自由只是一种利益,是法益,而不是公民的公权利、自然人的民事权利。《中华人民共和国民法总则释义》的作者明确认为:“人身自由、人格尊严是自然人的重要权利。”*李适时主编:《中华人民共和国民法总则释义》,法律出版社2017年版,第338页。这里说的意见,在实际上是十分明确的,也是十分明白的。
基于以上分析和论述,可以确认,《民法总则》仅仅对“个人信息”作出规定,不能认为规定的就不是个人信息权,对个人信息的保护仅仅是一种法益保护。对于个人信息权是一种民事权利这个结论,不论是语焉不详,还是根本予以否认,都没有充分的法理和法律的根据。
在讨论了《民法总则》第111条规定的个人信息究竟是法益抑或权利问题,并且得出确定结论之后,笔者就个人信息权的有关问题再作以下探讨。
对个人信息权究竟怎样界定,首先要明确的是个人信息权是何种民事权利,即确定个人信息权的权利属性。对此,尽管有“宪法人权说”、“一般人格权说”“隐私权说”“财产权说”“新型权利说”“独立人格权说”等不同主张,*参见张里安、韩旭至:《大数据时代下个人信息权的私法属性》,载《法学论坛》2016年第3期。但是,凡是主张个人信息权是民事权利的学者,主要意见基本上是一致的,即个人信息权的权利属性是人格权,唯有独立人格权说的主张符合个人信息权的内在属性。*参见王利明:《论个人信息权在人格权法中的地位》,载《苏州大学学报》2012年第6期;张里安、韩旭至:《大数据时代下个人信息权的私法属性》,载《法学论坛》2016年第3期。
对个人信息权概念的界定,有人认为,个人信息权是指信息主体依法对其个人信息所享有的支配、控制并排除他人侵害的权利,其具有人格利益和财产利益双重属性,是人格权派生的权利,是一项独立的权利。*参见齐爱民:《个人信息保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第109~110页。其权利内容,具体包括信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权。*参见齐爱民:《论个人信息的法律保护》,载《苏州大学学报》2005年第2期。对个人信息权作这样的界定,还有值得改进之处。笔者认为,个人信息权是指自然人依法对其本人的个人身份信息所享有的支配并排除他人侵害的人格权。
这样对个人信息权作出界定比较简洁,而且也符合个人信息权的特征要求:第一,个人信息权是具体人格权,是以个人身份信息作为独立的人格要素而设立的民事权利,既不是隐私权保护的隐私利益内容,也不是个人信息法益,而是一个独立的具体人格权。第二,个人信息权的客体是个人身份信息这一人格利益要素,其与隐私权客体中的个人信息的区别是,隐私权所保护的个人信息是个人隐私信息,当把个人身份信息从隐私权所保护的个人信息中独立出来,以独立的人格要素作为权利客体,就构建了个人信息权,用独立的个人信息权保护个人身份信息。第三,个人信息权的权利主体是自然人个人,不包括法人和非法人组织,因为法人和非法人组织很多信息是需要公开的,特别是上市公司企业的信息必须公开披露,只有那些需要特别保护的商业秘密,才采用商业秘密的权利予以保护,*根据《民法总则》第123条规定。而不是用个人信息权予以保护。第四,个人信息权的权利要求是,以自我决定权作为其权利基础,自然人对于自己的个人信息,由自我占有、自我控制、自我支配,他人不得非法干涉,不得非法侵害,因而个人信息权是排他的自我支配权,是绝对权。
在界定个人信息权的客体时,有一个问题须事先确定下来,即个人信息权的客体究竟是个人信息,还是个人数据。在欧洲各国,关于个人信息的保护,在法律上通常称之为个人数据,例如德国的《联邦数据保护法》,欧盟的《个人数据保护指令》。从总体上说,使用个人信息和个人数据的概念,实际上并没有原则区别,欧洲的个人数据保护其实说的就是个人信息保护。不过,在我国,对个人信息的保护称之为个人信息,成为惯用的概念,已经被法律和社会所接受。特别是对于个人信息的保护,需要与对衍生数据的保护相区别,这在《民法总则》第111条和第127条规定中已经做了区别,因而,对于个人信息权的权利客体应当称之为个人信息,而不应当称为个人数据。
对于个人信息权的权利客体即个人信息,《网络安全法》第76条第5款规定:“自然人的个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合,识别的自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话、号码等。”法律对个人信息概念作这样的界定,是准确的。在学说上,认为个人信息是指与特定个人相关联的、反映个体特征的、具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面信息。*参见王利明:《论个人信息权在人格权法中的地位》,载《苏州大学学报》2012年第6期。这样的界定,也是妥当的。
对个人信息这一概念作出更准确的学术上的界定,应当是:个人信息是指与特定自然人相关联,反映个体特征,具有个人身份可识别性,以电子或者其他方式记录的,能够单独或者与其他信息结合识别的自然人个人身份的各种符号系统。个人信息的具体范围广泛,主要的个人信息是:姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码、工作、家庭、财产、健康、民族,等等。凡是符合个人信息概念定义所要求的,都是个人信息。
个人信息作为个人信息权的客体,应当看到的是,个人信息是人格权的客体,而不是财产权的客体。因此,作为人格权即个人信息权客体的个人信息,包含两层人格利益:
首先,个人信息主要包含的是精神性人格利益,主要包括的是人格尊严、人格独立和人格自由的内容。人格标识的完整性与真实性,是主体受到他人尊重的基本条件。个人作为目的性的存在,只有消除个人对信息化形象被他人操纵的疑虑和恐慌,保持信息化人格与其自身的一致性而不被扭曲,才能有自尊并受到他人尊重的生存与生活。*参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。因此,个人信息对于信息主体的人格尊严、人格独立和人格自由的价值,是个人信息保护立法中首要考虑的因素。这就是个人信息所包含的精神性人格利益的内容。
其次,个人信息还具有财产性的人格利益内容。在这一点上,个人信息与肖像权的客体肖像具有相似的内容。肖像具有美学价值,应用到市场经济领域会转化成为财产利益,这是不言而喻的。*参见杨立新:《侵害肖像权及其民事责任》,载《法学研究》1994年第1期。同样,由于个人信息具有身份性的属性,存在被利用于市场的可能,因而存在转化为商业价值的可能性,对权利人发生财产的利益。这正是公开权的内容。对此,《侵权责任法》第20条已经做出了具体规定,保护人身权益中的财产利益,救济其财产利益损失。同时,个人信息具有个人特征的可识别性,一旦被非法利用,不仅会为利用者发生财产利益,而且还会使权利人受到意想不到的财产损失。因此,个人信息与肖像虽然具有相似性,但是在具有财产价值这一方面,还存在较大的不同,更应当对个人信息权进行特别的保护。
个人信息权作为一个独立的人格权,其权利内容包括以下内容:
1.信息保有权。信息保有权就是权利人对于个人信息完全由自己保有,他人不得非法占有,这是个人信息权的主要内容。信息的保有,是行使个人信息权的基础权利,只有保有自己的个人身份信息,才能够行使个人信息权的其他权利内容。
2.信息决定权。按照《民法总则》第130条规定,民事主体行使民事权利,完全由自己决定,他人不得干涉。这正是欧洲国家确认信息自决权的含义。权利人对于自己的个人信息是否使用,是否可以由他人获取、利用,都属于权利人自己的权利,只有权利人授权他人对自己的个人信息予以获取和使用,他人才能够获取和使用其个人信息。任何人未经权利人的许可,无权获取和使用他人的个人信息。
3.信息知情权。任何组织和个人在依法获得和使用权利人的个人信息时,权利人对该组织和个人所占有、使用自己个人身份信息的情况,有权进行查询,并有权要求予以答复。个人信息权的知情权的内容,主要是自己的哪些个人信息被收集、处理与使用,在此过程中,自己的个人身份信息是否被保持完整、正确,等等。个人信息权人对于该项知情权,必须予以保障,除非因公共利益或者保密的需要,任何机关不得剥夺权利人的知情权。
4.信息更正权。个人信息权的权利人在发现被他人获取的个人身份信息有不正确之处,对占有和使用其个人身份信息的组织和个人,有权请求该主体对所占有和使用的有关自己不正确、不全面、不适当的个人信息进行更正。有权获取和使用他人个人信息的组织和个人,须按照正确的信息进行更正。
5.信息锁定权。信息锁定权,是指在必要时,个人信息权的权利人有权请求获取和使用自己的个人身份信息的组织和个人以一定的方式,暂停信息处理,在没有获得权利人的书面同意之前,该组织或者个人不可以将其为某种目的收集的信息为另一个目的而使用。有权获取权利人个人身份信息的组织和个人超出使用范围,或者未对权利人的锁定请求采取必要措施予以锁定的,应当承担相应的责任。
6.个人信息保护权。个人信息保护权是人格权请求权的具体内容,*有关人格权请求权,请参见杨立新、袁雪石:《论人格权请求权》,载《法学研究》2003年第6期。权利人对于自己所享有的个人信息权,享有保护的权利,不仅有权保护自己的个人信息不受他人侵害,而且对自己的个人身份信息被他人依法获取、占有后,仍然享有依法保护的权利。对于非法侵害自己个人信息权的行为,有权提出保护权利的请求。
7.被遗忘权。权利人对于自己已被发布在网络上的,有关自身的不恰当的、过时的、继续保留会导致其社会评价降低的信息,要求信息控制者予以删除的权利。*参见杨立新、韩煦:《被遗忘权的中国本土化及法律适用》,载《法律适用》2015年第2期。这个权利,实际上就是对有关自身的不恰当的、过时的、继续保留会导致其社会评价降低的个人信息的删除权。对于欧盟法院确立的这个权利,我国学者见仁见智,看法不同,*对此,可以参见《法律适用》2017年第16期发表的几篇文章:高富平、王苑:《被遗忘权在我国移植的法律障碍》,载《法律适用》2017年第16期,第40页;梅夏英:《被遗忘权的法理定位与保护之限定》,载《法律适用》2017年第16期第48页;段卫利:《论被遗忘权的司法救济》,载《法律适用》2017年第16期,第55页。笔者的意见非常明确,即在《民法总则》第111条规定了个人信息权的内容之后,被遗忘权就是个人信息权的具体权利内容。侵害个人信息的被遗忘权,也应当承担民事责任。*参见杨立新主编:《中华人民共和国民法总则要义与案例解读》,中国法制出版社2017年版,第415页。
应当特别注意的是,《民法总则》第111条后段是对个人信息权的义务内容的规定,主要的内容是,依法获得和已经取得个人信息的任何组织和个人,作为个人信息权的特别义务主体应当承担特别义务的规定。应当补充的是,个人信息权作为具体人格权,是绝对权,权利人以外的其他任何主体都是其义务人,也都对个人信息权人负有不可侵义务。
1.个人信息权的一般义务主体负有一般保护义务。个人信息权的义务人是一般主体、普遍主体,即权利人之外的其他任何民事主体,包括自然人、法人和非法人组织,都对个人信息权人承担一般保护义务,即《民法总则》第111条后段规定的内容:任何组织和个人应当不得非法收集、使用、加工、传输他人个人信息, 不得非法买卖、提供或者公开他人个人信息。违反该义务,应当承担民事责任。
2.个人信息权的特殊义务主体负有特别保护义务。负有保护自然人个人信息权的特别义务主体,按照《民法总则》第111条的规定,是依法取得个人信息的任何组织和个人,仍然包括自然人、法人和非法人组织,只要是依法取得他人个人信息的,就是这种特殊义务主体。具体包括:
首先,是依法取得个人信息的网络服务提供者、其他企业事业单位。法律规定,任何组织和个人不得窃取或者以其他非法方式获取自然人个人信息,不得出售或者非法向他人提供自然人的个人信息。对于有权取得自然人个人信息的网络服务提供者、其他企业事业单位等,承担特别保护义务,如果对依法获得的自然人个人信息非法使用、非法出售、非法提供,以及泄露、毁损、丢失,都构成民事责任。网络服务提供者、其他企业事业单位及其工作人员,包括网站、银行、电信、医院、邮政等,都是重点单位,都应当加强防范,防止侵害个人信息权。
其次,是国家机关及工作人员。国家机关及其工作人员在履行职责中取得的自然人个人信息,应当善尽保密义务和谨慎注意义务,没有尽到这种义务,实施了泄露、篡改、毁损以及出售或者非法向他人提供的行为,国家机关及其工作人员构成侵权行为主体。
最后,是其他任何组织或者个人。凡是依法取得自然人个人信息的任何法人、非法人组织和自然人,都是负有确保自然人个人信息安全,防止信息泄露的义务,一旦发生或者可能发生信息泄露时,都必须立即采取补救措施,防止扩大损害,如果未尽此义务,构成不作为的违法行为。
特殊义务主体承担的特别义务是:确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开个人信息。
首先,任何组织和个人违反保护个人信息权的上述义务,都构成侵权责任,应当承担损害赔偿责任。
其次,任何组织和个人对于有权收集自然人个人信息的网络服务提供者、其他企业事业单位以及其他任何单位和个人,如果对依法获得的自然人个人信息非法使用、非法出售、非法提供,以及泄露、毁损、丢失,都构成侵权责任。即使国家机关及其工作人员在履行职责中知悉的自然人个人信息,未尽保密职责,非法泄露、篡改、毁损或者出售以及向他人非法提供的行为,也构成侵权责任,应当予以制裁。
再次,依法取得个人信息的任何组织和个人侵害个人信息权的主要表现是:
一是非法收集自然人个人信息。个人信息权的一般义务主体承担的是不可侵义务,其中就包括不得非法收集他人个人信息。无权收集他人个人信息的,一旦予以收集,就构成这种违法行为。
二是非法使用自然人个人信息。对于他人个人信息不得非法使用,无论是无权取得他人个人信息,还是有权取得他人个人信息,凡是非法使用的,都构成违法行为,都侵害了个人信息权。
三是非法加工自然人个人信息。《民法总则》第111条也规定禁止非法加工自然人的个人信息,未经权利人同意,就对合法或者非法获取的个人信息进行加工,也构成违法行为。
四是非法传输自然人个人信息。合法传输他人个人信息,是正当行为。但是非法传输他人个人信息,无论具有何种目的,都是违反个人信息权义务的行为,都侵害了个人信息权人的权利。
五是非法买卖自然人个人信息。出售个人信息是有偿行为,行为人在出售行为中,以他人的个人信息为买卖的标的物,从中获取非法利益,情节更为恶劣。例如在徐玉玉电信诈骗案中,行为人就以每条0.5元的价格非法出售个人信息,造成权利人的严重损害。非法出售自然人个人信息的行为人,是网络服务提供者、其他企业事业单位、国家机关的工作人员,以及其他任何组织和个人。这些单位的工作人员个人私自非法出售,获取私利,构成侵害个人信息权。
六是非法提供自然人个人信息。非法向他人提供自然人个人信息的,就是未经权利人本人同意,而将其个人信息提供给他人。非法提供一般是没有获取非法利益,因为获取非法利益就是买卖行为,但是这也构成侵权行为。无偿提供他人个人信息,虽无对价,但是有获得其他利益者,也可以认定为非法提供行为。
七是非法公开自然人个人信息。《民法总则》第111条规定的是非法公开他人个人信息,而《关于加强网络信息安全的决定》规定的是泄露他人个人信息。泄露和公开的意思接近,可以统一使用《民法总则》规定的概念。网络服务提供者、其他企业事业单位以及国家机关及其工作人员,都对其依法收集的个人信息负有保密义务。未尽保密义务,非法予以公开,不论是故意所为还是过失所致,都构成侵权责任。例如公安交警部门电子执法获取的驾驶员违章同时涉及行为人的不雅照,将其公布,就构成非法泄露自然人个人信息的侵权行为。*有关典型案例及其分析,请参见杨立新:《“速度与激情”事件引发的民法思考》,载《河北法学》2012年第2期。
八是非法篡改自然人个人信息。《关于加强网络信息安全的决定》规定,网络服务提供者、其他企业事业单位以及国家机关及其工作人员,违反法律规定,非法对自己掌握的自然人个人信息进行篡改的,构成侵权行为。非法篡改个人信息行为须故意而为,而不是无意中弄错。这种侵权行为应当造成相当的后果,即由于非法自然人个人信息被篡改而使其民事权益受到损害。对于未尽谨慎义务,无意中弄错自然人个人信息,如果造成了严重损害后果,也构成侵权行为。
九是非法毁损自然人个人信息。《关于加强网络信息安全的决定》规定,网络服务提供者、其他企业事业单位以及国家机关及其工作人员违反法律规定,未尽谨慎注意义务,非法毁损自然人个人信息的,构成侵权责任。非法毁损包括故意和过失,是明知自然人个人信息而故意毁损,或因过失而毁损,造成受害人的民事权益损害,应当承担侵权责任。
十是丢失自然人个人信息。《关于加强网络信息安全的决定》规定,网络服务提供者、其他企业事业单位或者国家机关对于依法获得的自然人个人信息,必须妥善保管,善尽保管责任,如果不慎造成个人信息丢失,也构成侵权责任。丢失是过失所为,并非故意,造成了受害人权益损害的,也应当承担侵权责任。
十一是对泄露自然人个人信息未及时采取补救措施。《关于加强网络信息安全的决定》规定,权利人发现自己的个人信息被泄漏,有权要求依法取得个人信息的单位和个人删除有关信息或者采取其他必要措施予以制止。如果没有及时采取必要措施,应当承担侵权责任。
个人信息权的保护方法有以下两种:
第一,个人信息权对自己的保护方法,是人格权请求权。人格权请求权是指民事主体在其人格权的圆满状态受到妨害或者有妨害之虞时,得向加害人或者人民法院请求加害人为一定行为或者不为一定行为,以回复人格权的圆满状态或者防止妨害的权利。*参见杨立新、袁雪石:《论人格权请求权》,载《法学研究》2003年第6期。个人信息权是自然人对个人信息的权利,自然人的个人信息受到侵害,就是侵害了个人信息权,基于人格权请求权向法院起诉权利损害的救济,是完全可以的。
第二,个人信息权的保护方法还有侵权责任请求权。我国《侵权责任法》第3条专门规定了侵权责任请求权,即:“被侵权人有权请求侵权人承担侵权责任。”在侵权损害赔偿法律关系中,赔偿权利人即被侵权人所享有的权利,是侵权损害赔偿请求权。*杨立新:《侵权责任法》,法律出版社2012年版,第22页。侵权请求权在发生之前,侵权请求权法律关系的双方当事人之间并不存在相对的权利义务关系。只有发生了侵权行为,一方的行为造成了另一方的损害,才能在被侵权人一方发生侵权请求权。这个请求权是新生的权利,是原来所没有的请求权。其基本功能,就是救济受到损害的权利。在自然人个人信息受到侵害,被侵权人依法享有侵权损害赔偿请求权,有权依法行使该请求权,请求侵权人承担损害赔偿责任包括精神损害赔偿责任,保护自己的个人信息权,救济自己的损害,预防并制裁违法行为人,促进社会和谐稳定。*参见《侵权责任法》第1条的内容。对于依照侵权损害赔偿请求权救济自己个人信息权受到侵害的,应当依照《侵权责任法》第6条第1款规定的过错责任原则,证明行为人实施了侵害个人信息权的行为,行为具有违法性,造成了权利人的精神利益和财产利益的损害,存在因果关系,具有过失,就可以获得侵权法的保护。
基于人格权请求权和侵权请求权的区别,当权利人的个人信息被侵害时,应当根据自己诉请的责任方式不同,而决定选择行使何种请求权。如果只请求违法行为人承担非财产性的责任,行使人格权请求权最为稳妥,效果也最好。如果权利人要请求被侵权人承担损害赔偿责任,则必须行使侵权请求权方可实现。
目前人民法院在民事审判中,对于人格权请求权和侵权请求权的区分并不严格。因此,在自然人个人信息权受到侵害后,权利人救济自己的损害的最佳方法,就是行使侵权请求权,救济损害,保护自己。同时,对于侵权人加以金钱制裁最为有效,行使侵权请求权对于侵权人的制裁最为有力,不仅有利于制裁违法行为人,而且能够对社会进行一般的警示,预防侵权行为的发生,更好地维护社会和谐稳定。