史雨欣
摘 要 德国于1983年“人口普查”案①创设了个人信息自主权、在1991年6月1日颁布的于《联邦资料保护法》的同时阐述了个人信息自主权的概念,德国采取统一立法的模式,各项制度已日趋成熟,我国台湾地区也构建了以个人信息自主权为中心的法律体系,面对当前我国个人信息资料被泄露、滥用的等一系列严重侵犯个人信息资料去权的行为,我国仅在《民法通则》、《民通意见》和《侵权责任法》中有少量规定,实不足以规制在当前网络信息大数据时代下对个人信息资料隐私权的保护。本文以比较法的视野,对德国、我国台湾地区有关个人信息资料隐私权的立法模式进行介绍,并介绍当前我国个人信息资料隐私权遭遇的巨大的侵权现状,如何更好的保护个人信息资料隐私权。
关键词 个人信息资料权 信息自主权 信息隐私权
中图分类号:D920.4
文献标识码:A
(一)德国法上的个人信息自主权及其保护
1977年德国制定了《联邦个人数据保护法》这部法律旨在保护个人隐私在个人数据处理过程中不受侵害。《联邦个人资料保护法》历经三次修订,名字是《防止个人资料处理滥用法》,简称资料法。该法律是对德国个人信息自主权保护的最早法律,当时的德国还没有个人信息自主权,德国在法律上也没有隐私的概念对隐私权的保护是通过对人格权在个人私生活领域的具体化来实现的,但为下述方便,暂且也称为隐私权,德国隐私权保护的基础来源于德国基本法,刚在德国民法典中并没有规定,采用的是领域理论,但是由于实务中对各个领域的界限难以严格的区分,个人的事物究竟属于哪一领域难以判断,在解释和适用方面都遭遇了较大的难题。因此从“人口普查案”开始德国对领域理论逐渐扬弃形成了以个人信息自主权为中心的隐私权保护制度。
1983年德国为了进行全面的人口普查制定了人口普查法,但是遭到了大批民众的抗议,并有人提出了宪法诉愿,德国联邦法院判决该人口普查法违宪。在这一案件中德国联邦宪法法院创设了个人信息自主权,联邦宪法法院判决认为,在当前信息网络发展迅速,大数据应用普遍的条件下,人格的独立和自由也取决于个人对那些对个人资料进行无限的收集和利用的行为有反对的权利。基本法上的人格权包括个人可以自由的决定在何时何地以何种方式对何人在何种程度上对个人的信息资料进行公开。但这一权利并非没有限制,根据社会契约理论,人们让渡一部分权利给国家,以便国家更好的管理社会为人民服务,也必须为了公共利益限制个人的部分权利和自由,如果每个人都是无限的自由,那么就等于没有自由了。因此在政府基于重大的公共利益时人们个人信息自主权应该受到一定的限制。但是國家行使权力必须要遵循授权明确性原则、比例原则、以及法律保留原则,而且需要采取一定的措施预防所采信息泄露。该判决一方面创设了个人信息自主权,另一方面也废弃了领域理论,用数据的应用以及其结合的可能性作为判定的标准。
德国对个人信息的保护采用的是统一的立法模式,既包括国家机关对个人信息的处理和利用的规范,也涉及非国家机关对公民信息处理和利用的规范,德国的这一立法模式对很多大陆法系国家产生了重要的影响,有很多国家借鉴这一模式。我国的台湾地区也借鉴了该模式。综上所述,德国个人信息资料隐私权的保护从领域理论逐渐发展到信息自主,建构了以个人信息自主权为中心的法律规范体系。
(二)我国台湾地区的个人信息自主权及其保护
在我国台湾地区,隐私权的保护范围包括两个部分:个人的隐秘空间及信息隐私(信息自主)台湾地区“民法”有关于隐私权的规定,侵犯隐私权即使没有造成受侵害人得财产损失,也得以请求用赔偿金钱的方式予以救济。不仅如此,台湾海专门设有“计算机处理个人资料保护法”,该法是借鉴德国的信息保护法,主要的目的是对信息隐私和信息自主予以保护。关于信息隐私和信息自主的这两个概念,台湾地区学者认为并没有区别美国法上称为信息隐私,德国法上称为信息自主,前述已经提及,是受一种受人格权法保障的私权。但是美国式将其作为宪法权利来保障的,侵权行为法上没有这个概念,在台湾地区,这两个概念被认为是同一个意思,留学不同国家的学者,往往采用不同的表达方式。
关于台湾地区隐私权所保护的第二个部分信息隐私在解释宪法的实务中主要包括:银行存款数据信息、指纹信息、公开个人隐私信息。在台湾地区对信息隐私的保护一直处于一个不断发展的过程,现已建立了一个以个人信息自主权为中心的法律体系。民国94年对《计算机处理个人资料保护法》参照日本的跟人信息保护法、欧盟的数据指令保护法进行修改,改为《个人资料保护法》现在已日趋完备。值得我们学习借鉴。
1.主体:既包括执行公务的主体也包括非执行公务的主体,这是采用德国式的统一立法模式,除此之外还强化了个人的参与,个人意思自治的信息自主权。促进了民众对个人信息资料保护的参与。
2.保护的范围:第一点,不再将信息隐私的保护范围设定在必须是经过计算机处理的个人资料这个范围内,这一点是与德国的发展进程是一样的。第二点,增加了个人信息资料的范围:有关医疗的、基因的、犯罪记录、联系方式、护照号码。并增加了兜底式的规定:其他能够以直接或者间接地方式鉴别特定个人的信息数据。并对新增加的个人信息资料给予了特别的保护,那就是关于与公共利益相协调的规定。这一点可以看到台湾地区的“个人信息资料保护法”对个人信息资料隐私权的保护也是在随着社会发展科技进步不断囊括新的内容。特别是对于基因的研究,台湾地区学者将是否需要设立专门的“基因保护法”来加强对基因这一信息隐私的保护。
3.保护的原则:在原则上对个人信息进行收集、加工、储存、利用的行为予以禁止,同时规定了若干例外的情形,允许例外的存在。主要是为了协调信息隐私与公共利益的冲突、以便达到可以对个人信息进行合理利用的目的。在现代国家中,完全禁止国家对公民的个人信息资料进行收集利用是不可能的,福利政策的确定,国家秩序的维护,都有必要通过获取的信息的帮助。
4.当事人自治的信息隐私保护。明定了除了法律明确规定的可以实施的行为之外,还采用了当事人书面同意的原则,增强了当事人的意思自治,这一原则更加体现了个人信息资料隐私权不仅是包含消极防御的功能,同时还具有积极层面上的意义。个人能够对其信息资料进行支配和处分。
在台湾地区,除了个人资料保护法对信息自主进行保护以外,还制定了许多特别法对部分的个人资料予以专门的规定。其中较为重要的有:(1)个人的医疗记录和健康资料。医疗法、精神卫生法详尽规定了医疗机关的保密义务,并且对于患特殊疾病的病人更加加强了对其隐私权的保护。(2)银行数据记录。由银行法予以规定,银行需要对客户的资料进行保密。(3)纳税记录。税法规定了税务机关对纳税人有关纳税的情况的保密义务。(4)脱氧核醣核酸也就是我们熟知的DNA资料。(5)犯罪资料。(6)通讯数据。
综上所述,我国台湾地区形成了从“民法典”,到一般的“个人资料保护法”,再到关于特别信息隐私的特别法对信息隐私权进行体系化的保护。符合当今社会发展的现状,能够较好的解决网络社会的发展对个人信息资料所带来的严重危害。值得我国大陆立法学习借鉴。
我国目前没有对个人信息资料隐私权的专门保护,散见于部分法律之中,主要包括两个方面:一是实体法律,包括《中华人民共和国护照法》、《身份证法》、《侵权责任法》,《中华人民共和国民法总则》(以下简称《民法总则》)第 111 条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得,并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”2009年《刑法修正案(七)》、2015年《刑法修正案(九)》中出售或提供公民个人信息入罪的规定。二是程序法,在《民事诉讼法》和《刑事诉讼法》中都有关于“涉及个人隐私的案件不得公开审理”的规定。这些法律都对个人信息资料提供了一些保护,但存在着很多问题。我国目前的个人信息保护相关立法存在法律要求与信息控制者内部治理机制脱节、刑法制裁与其他法律手段脱节、责任规范与行为规范脱节等问题。
目前我国有将近40部法律、30多部法规、将近200部规章涉及个人信息保护。而这些法律、法规看着数量庞大的,为什么我们的个人信息资料却依然基本处于大白天下的境地呢?数量的庞大并不见得力量大,如此多的立法并没有一部专门的个人信息保护法对个人信息资料进行专门的保护。
个人信息关系到人格尊严及人格自由发展,对个人信息进行保护是个人信息自决权的必然要求。由此,个人信息保护立法成为全球最为瞩目的立法运动之一,中国也应当开始酝酿个人信息保护立法。
理论是立法的先导,上面对德国、我国台湾地区的个人资料隐私权的保護方式进行了论述,对我国制定个人信息资料保护法具有极大的借鉴意义。建议如下:
(一)明确个人信息保护法的地位和性质
个人信息资料保护法调整的是信息主体和信息持有者之间有关信息的收集、处理和利用的法律规范的总称。从中我们可以知道其既包括平等的民事主体之间的法律关系,也包括公民与作为国家的行政机关之间的法律关系。这就有了一个问题,我国在进行个人信息保护立法时如何来定位呢?个人信息保护法是属于公法还是属于私法的范围呢?或者是三元说所认为的属另外一个领域法呢?
个人信息保护法属于私法领域。学者们在个人信息保护法究竟属何种领域争议比较大,主要有三种观点:第一,王泽鉴先生认为个人信息资料保护法是属于人格权法之下,进一步归入隐私权范围之下。属私法领域。第二,德国学者沃尔夫认为个人信息资料保护法是属于行政法的范围,属公法领域。这种观点主要从个人与国家行政机关之间关于个人信息所产生的法律关系这个层面上来说的。德国政府也将个人信息资料保护法作为行政法。行政机关作为国家公权力机关出于管理的需要掌握着最多最全的个人信息资料,对个人信息资料的利用也更多。因此从这个角度上来看,部分学者认为个人信息保护法应属于公法的范畴。第三种观点以我国齐爱民教授为代表,主张个人信息保护法的性质应当是属于领域法,领域法是三元说的观点,认为除了公私法二分法之外还有第三种领域即社会法。主张领域法的学者认为:个人信息保护法既然既包括平等民事主体之间关于个人信息的关系,还包括个人和行政机关之间的关系,那么无论将其作为公法还是私法都是片面的。德国政府虽然将个人信息资料保护法作为行政法,但是德国的个人信息资料保护法的第三部分整个都是对于非公务机关处理个人信息的规定,俨然是属于民事法律规范。
笔者赞同王泽鉴先生的观点,原因在于,首先,个人信息资料保护法的立法目的在于保护公民的人格利益和财产利益(前已述个人信息资料隐私权财产利益的性质)。德国的《联邦个人资料法》第一条便是关于该法是为了保护个人人格权。而人格权在民法领域中具有核心的地位。其次,对个人信息资料隐私权保护,目前我国主要是通过《侵权责任法》予以明确的列举和救济。因此认为个人信息资料保护法作为私法,将个人信息资料作为私权利来保护能够更好的与我国的其他法律体系相配套,更加严谨。最后由于信息网络的普遍应用,对个人信息资料隐私权的侵犯具有不可逆性,一旦被侵犯很难消除带来的危害,而且违法成本和违法所带来的收益差距巨大,因此主要的救济方式应当是损害赔偿,特别是惩罚性的赔偿。而目前的国家赔偿法并没有类似的保护。因此将个人信息资料保护法作为私法能更好的保护个人信息资料隐私权。
综上所述,个人信息保护法应当属于私法领域,为民事法律规范保护。确定个人信息保护法的性质,对于个人信息保护法的制定具有理论指导的重要意义。
(二)明确立法的原则:原则禁止、允许例外
个人信息保护法的立法的目的首先应该是保障人格利益,其中最重要的就是保护个人信息资料隐私权,也称其为信息自主,但这不是唯一的,前述已多次提到其财产价值,且对个人信息资料的收集利用时常与公共利益密切相关。因此要同时考虑公共利益及国家管理的需要也要信息自由。这两个立法目的显然有所冲突,但都是个人信息保护法的立法目的,无论单保护哪一个都难以适应社会需要。我们需要调和二者矛盾,笔者建议借鉴台湾的立法机制:原则禁止、允许例外。即原则上禁止对个人信息资料的收集和处理,以便保障个人的信息资料隐私权,同时规定若干例外情形,以调和二者之间的矛盾。
出于隐私保护的需要,隐私信息的收集应当经个人同意,隐私信息以外的个人信息,则应当尽量弱化个人的同意。个人信息的利用也不得侵害个人隐私权,不得不当扭曲、损害个人的“数字化形象”。
明确了个人信息保护法的立法原则有利于我们在制定个人信息保护法时给个人信息资料隐私权提供更加全面的保护。
(三)兼采精神损害赔偿与财产的惩罚性损害赔偿的双重救济模式
个人信息资料不仅人格属性也具有财产属性,对个人信息资料隐私权的侵犯可能仅仅侵犯他人的人格利益,也可能同时侵犯他人的财产利益。《侵权责任法》对于隐私权的保护主要是精神损害赔偿,实践中很少有财产损害的赔偿,个人信息资料隐私权所具有的财产属性,体现了与传统隐私权不同的特点。因此个人信息保护法应当兼采精神损害赔偿与财产损害赔偿的方式,但是还需要注意到实践中对个人信息资料隐私权的侵权行为往往不是针对以个人或者是少数人的,该侵权行为的显著特点就是影响范围大、受众的范围广。司法资源有限性与精神损失还是财产损失都是难以计算性,决定了赔偿数额是难以计算的,个人信息资料隐私权侵权行为的特点,往往是计算机来收集和利用的,消除影响恢复原状都难以成为其救济方式,剩下几种救济方式中,从保护的有效性上来说损害赔偿无疑是最好的方式了。
对于精神损害赔偿数额来说,司法解释对于精神损害赔偿的数额的确定较为原则。针对信息侵权的范围大受众多很难具体实践,因此建议在个人信息保护立法中针对精神损害赔偿规定根据所侵犯的个人信息资料隐私权的范围的大小和主体的多少来确定不同的等级,并针对不同的等级设定一个相对确定的数额。对于这一点,我国台湾地区的立法给我们提供了借鉴,主要是针对总额和限额的规定,当事人不能证明所受的精神损害超过所规定的限额的,应当在限额的范围内确定赔偿数额,可以证明的不受限额的限制。这样能够更好的保护个人信息资料隐私权。
对于财产损害赔偿建议采用惩罚性赔偿的方式。对于个人来说,个人信息资料被滥用个人似乎并未受到具体的财产上的损失,但是侵权者却因此获得了巨大的利益。因此仅仅采用一般的财产损害赔偿的劣势在于:第一,受害人很难证明自己在财产上受到了损失。第二,如果仅仅以侵权人所获得的利益为赔偿的数额,那么违法的成本很小,而由于网络的隐蔽性与监管的漏洞侵权行为人本就难以确定。这样一來人们会很乐意冒这个险。因此针对个人信息资料的保护应当采用惩罚性赔偿的方式。
在当前民法典逐步完成的情况下,借鉴我国台湾地区的立法经验,尽快的出台专门的个人信息资料保护法保护我国公民的个人信息资料隐私权是我国大陆亟待解决的问题,是解决保护我国大陆公民个人信息隐私权的根本途径。
注释:
①本案件判决全文。萧文生译.一九八三年人口普查案判决.司法院、德国联邦宪法法院裁判选集.1991.
参考文献:
[1]王泽鉴.人格权的具体化及其保护范围·隐私权篇(上).比较法研究.2008,22(6).
[2]王泽鉴.人格权的具体化及其保护范围·隐私权篇(下).比较法研究.2009(2).
[3]周汉华.探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向.法学研究.2018(2).
[4]石佳友.网络环境下的个人信息保护立法.苏州大学学报(哲学社会科学版).2012(6).
[5]王泽鉴.人格权的具体化及其保护范围·隐私权篇(中).比较法研究.2009(1).
[6]齐爱民.个人信息保护法研究.河北法学.2008(4).
[7]王叶刚.个人信息收集、利用行为合法性的判断——以《民法总则》第111条为中心.甘肃社会科学.2018(1).