伴随大数据时代的到来,个人信息(又称“个人数据”,本文混同使用)保护问题成为热点话题。《关于加强网络信息保护的决定》《中华人民共和国消费者权益保护法》(以下简称《消费者权益保护法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)等法律确立了一个基本规则:未经同意不得收集和使用个人信息。该规则暗含着个人对于个人信息具有支配权,未经同意收集和使用个人信息即属于侵权。2014年最高人民法院公布《关于审理利用信息网络侵害人身、权益民事纠纷案件适用法律若干问题的规定》(以下简称《信息网络侵权规定》),试图将侵犯个人信息作为独立的侵权类型,公开个人信息致人损害即构成侵权。以公开作为侵犯个人信息的加害行为,暗示着《信息网络侵权规定》将个人信息保护等同于隐私保护。《中华人民共和国民法总则》(以下简称《民法总则》)只是宣布个人信息应当受法律的保护,并未将个人信息明确为一种具体人格权。
那么,个人信息保护与隐私保护是否为一回事,擅自公开个人信息或者未经同意使用个人信息是否都构成侵权?这涉及个人信息的法律定性以及个人信息上需要保护的法益问题,而回答这个问题又关系着对个人信息保护的理解和个人信息保护法的定位。
个人信息是指可识别具体个人(仅指自然人)的信息。在美国,个人信息被称为“个人可识别信息”,欧盟《统一数据保护条例》(以下简称《条例》)将个人数据定义为“与已识别或者可识别数据主体相关的任何数据”。识别指的是根据与特定人有关的信息来认识、辨识或指认该特定个人,英文统一表述为“Identity”,包括识别个人身份和个性特征两个方面。
个人信息是社会交往和社会运行的必要工具或媒介。个人需要运用一些信息标识其为某人,而社会也需要利用信息来识别某个特定个人,这两个方面构成个人信息应用的基本场景。工具性质决定了个人信息的社会性、公共性。网络、传感器等记录的与个人有关的活动、浏览记录,只是与特定个人产生了联系,赋予该信息某种含义,而不足以使该个人对该记录信息拥有排他支配权。即使直接可以标识个人身份的信息,个人也不享有支配权。以姓名为例,姓名是最直接标识自然人的标识符(文字),它具有等同于本人或代表本人的功能,虽然法律赋予个人以姓名权,但并不包括对姓名信息的支配权。与特定个人有联系并不足以导致个人对该信息的垄断,法律没有理由赋予个人对个人信息的排他支配权。恰恰相反,一个人的联系方式、过往经历、性格习惯等一直被认为是认识和了解一个人的途径。
因此,个人信息的识别功能决定的是个人信息本身的社会属性而非个人属性,个人对个人信息并不当然地享有支配性权利。对于个人信息保护而言,需要寻找其他的法益来奠定个人保护的正当性基础。
在寻求个人数据保护的法律理由方面,权威的国际立法文件和主要国家的立法均将个人数据保护定位于对人的尊严的保护,认为在个人数据上存在一个自然人最值得受法律保护、最重要的法益,即人的尊严。联合国1948年发布的《世界人权宣言》第12条被普遍视作保护个人信息的法律渊源。欧洲委员会于1981年发布了《个人数据自动化处理中的个人保护公约》(以下简称《公约》),《公约》2012年修改后,取消了“尤其是隐私权”,表述为“捍卫每个人的个人尊严和保护基本人权和基本自由,尤其是通过对其数据及其处理的控制权来实现保护”,也就是借助“个人数据及其处理的控制权”手段,实现“保护基本人权和基本自由”的目的。《欧盟基本人权宪章》(以下简称《宪章》)明确地将“个人数据保护权”作为一项独立的基本权利加以保护。欧盟1995年《数据保护指令》(以下简称《指令》)和2016年《条例》,均肯定“保护自然人的基本权利和自由”,只是“尤其”表述不一致,由“尤其保护有关个人数据处理中的隐私权”改为“尤其保护个人数据的权利”。个人数据保护的目的是人权法或宪法意义上的“个人基本权利和自由”,它最终根源于对“人的尊严”的保护。
“人的尊严”源自人应当被独立、平等、有尊严地对待的普遍价值观。我们不能抽象地讲保护个人信息是保护个人基本权利、保护自由和平等,而是要找到个人信息与这些普遍价值的联系,寻找这些普遍价值与私人权益的联系。笔者将个人信息上存在的受法律保护的基本权益归类为以下三个方面:
个人虽然不能阻止他人使用其个人信息,但是,由于个人信息关涉到个人利益,因此其应当属于个人事务,属于个人独立自主决定的范畴。1983年德国联邦宪法法院在“人口普查案”中确立的“信息自决权”,开启了个人有权决定个人数据如何被使用的先河。个人信息自决权实际上是为了防止个人信息“被处理”,个人享有不受自动化处理结果约束的权利。如果商业机构随意自动地收集个人信息并对个人作出决定,就等于将人(主体)作为被动的可“被处理”的东西,这是对人的独立自主的蔑视,是对人的尊严和自由的侵犯。
由于身份(以姓名为核心的识别体系)是一个人开展社会活动的前提,也是社会将其活动结果归属于特定主体的工具,身份利益使得个人有权使用标识自己身份的符号开展社会活动并将其活动结果归属于其本人。例如,以姓名为核心的身份识别体系是一个人在社会中生存的根基,法律需要保护这种身份识别所产生的利益(包括精神利益和经济利益)。广泛存在的“用户画像”行为利用自动化分析工具得出的结论不全面、不正确、不符合真实个体的现实情况,会产生身份认知上的错误,还有可能损害相应个人的名誉,对其人格、信誉等方面产生负面影响。
在网络环境下,个人很难再有真正的隐私,每个人都变得透明。而这样一个透明的社会,更容易产生深层次的歧视,有些个人情况会成为企业招聘时考量一个人的隐形标准,如性取向、政治倾向、宗教信仰、星座等。通过对每个用户进行全面深度的了解,数据控制人还可以制定不同的交易价格。最近热议的大数据“杀熟”,就属于不合商业伦理的一种个人信息利用行为。在数据带给人们精准决定权的同时,如何防止新型歧视也成为数据保护研究者所关注的领域。
我国立法没有对个人数据保护的这三类权益进行明确阐释,至少现行个人信息保护立法缺少对这些法益的揭示,而隐私和安全利益反倒成为我国个人信息保护立法的关注焦点。因此,笔者认为个人信息保护与隐私保护以及安全利益之间的关系需要进一步澄清。
个人信息保护与隐私保护有着复杂的联系,这主要是因为不同法域对隐私有着不同的理解,甚至在相同法域隐私规范也不尽相同。美国法在隐私保护下讨论个人信息保护,形成美国特有的个人信息保护,即信息隐私。而在大陆法的语境下,隐私只是一种具体人格利益,隐私保护区别于个人信息保护。笔者将结合我国对隐私保护的认知,在大陆法语境下讨论个人信息保护与隐私保护的关系。
隐私指个人不愿公开或为他人知悉的秘密,这个秘密可能是文字记载事实、通信,也可以是个人行为或活动过程。因而,隐私侵权行为可以类型化为两种:一是公开泄露个人不愿意让人知晓且不涉及公共利益的生活事实(私密信息);二是刺探他人私密活动(跟踪监视他人行踪、窥探私人活动或侵入私密空间等)。从概念上来看,个人信息与隐私具有明显区别,前者强调可识别性,后者强调私密性。但是,个人信息保护与隐私保护规范也存在交叉,主要体现在两个方面。其一,个人信息中包含私密信息,而这是隐私权保护的重要内容。识别个人的信息并不一定都具有隐私利益,但是,越私密性的信息与特定个人的联系就越强,或者说该信息的个人属性就越强,其可识别性就越高,因而私密性信息均可落入个人信息范畴。对于落入隐私范畴的个人信息,需要赋予个人以控制权,使用属于隐私范畴的个人信息应当事先征得个人同意。其二,个人信息的利用可能造成隐私侵权。在网络化、数据化时代,个人的一切行为过程、行为时间地点甚至目的都可能被收集和分析。这样,个人信息的收集和利用也有可能对个人行为隐私造成侵犯。
但是,在大陆法的语境下,我们不能将隐私保护作为个人数据保护法的目的。以欧盟立法为例,无论是各成员国国内的个人数据保护法还是最新的《条例》,总体上都属于公民基本权利(人权)法,而非私法,且隐私保护也只是作为人格尊严不可或缺的内容被放进法律规范中;在个人信息保护方面,并没有建立公开个人信息就构成侵权的规范,更没有建立未经同意不得使用个人信息的规范。欧洲个人数据保护法内含隐私保护,但其规范体系不能对应到私法上的隐私权保护规范。
个人信息本身是社会交往的工具,其本身没有社会危害性。但是,这种识别和联系的功能被“不法分子”利用,用于违法犯罪活动,就会危害到个人安全。确保个人信息安全也是个人信息保护法的重要立法目标,因为个人信息不安全就会给“坏人”可乘之机,增加个人人身和财产方面的安全风险。“安全保护原则”是经济合作与发展组织在《隐私保护与个人数据跨境流通指南》中提出的个人信息保护8大基本原则之一,并将之表述为:“个人数据应当得到合理的安全保护,防止丢失或未经授权的访问、毁坏、使用、修改或泄露。”安全原则已经成为世界普遍接受的个人信息保护原则。《条例》除了要求数据控制人在系统设计时即考虑个人数据保护以实现数据的系统保护和默认保护外,还详细规定了数据控制人的安全保障义务(第32条、33条、34条)。除了从信息安全的角度保障个人信息安全外,要求数据控制人的数据处理行为合规合法也是确保个人信息安全的重要方面。在这个意义上,维护个人信息的安全也是个人数据保护法的基本宗旨。
我国《网络安全法》“网络信息安全”一章对个人信息安全的规范,显然属于针对网络运营者个人信息安全保障义务的立法规范,该规范主要是保护个人信息在存储、运营和利用过程中的安全,而非针对非法利用个人信息进行犯罪中的安全。《刑法》通过两次修正案确立的“侵犯个人信息罪”(《刑法》第253条之一)是针对我国目前极其严重的个人信息买卖、盗用现象而设计的,该保护旨在制止脱离具体应用场景的买卖、非法提供和盗用个人信息的行为,因为这样的利用行为本身即具有社会危害性。
个人数据保护法规范的是个人数据的正当使用行为,即在特定场景中为开展社会交往、实施社会活动(包括商业、公共管理等特定目的)而进行的收集和使用个人信息的行为。电信诈骗、恐吓等行为已经脱离了正常个人信息社会利用的范畴,构成违法犯罪行为,不属于个人信息保护法调整的对象,而是属于刑法的调整对象。因此,个人数据保护法所保护的安全是个人数据本身的安全,而不是针对利用个人数据从事违法犯罪的社会危害行为。
个人信息保护成为一个法律问题肇始于个人信息电子化和自动化处理,而不断强化于网络日益普及和智能化的今天。在现今时代,全息性个人信息被自动处理和使用导致个人逐渐失去对其个人信息的控制,给个人的基本权利和自由带来前所未有的挑战。因此,个人信息保护成为这个时代各国立法必须要解决的问题。对于形成于西方社会的个人信息保护制度必须要有正确的理解和定位,只有这样才能移植和构筑适合于我国国情的个人信息保护法律体系。基于上述对个人信息上需要保护的法益论述,我们可以初步得出以下结论:
首先,个人信息是识别特定个人的信息,而识别个人是社会交往和运营的工具,因此个人信息并非属于个人所有,个人不享有排他支配的权利。个人信息保护旨在保护个人在信息上的利益,而这些利益保护不足以也不可能赋予个人对该信息的绝对控制。因此,目前我国立法规范中确立的“非经个人同意不得收集和使用个人信息”的规则,实际上隐性地赋予了个人对个人信息的支配权,这既与个人信息的社会地位不吻合,也不具有法律上的正当性。
其次,个人数据保护是在宪法层面对个人基本权利的保护,其保护人的尊严所派生出的个人自治(自由)、身份利益(正确识别)、不歧视(平等)利益。欧盟立法虽然将之抽象为个人数据保护权,但只是对个人数据受法律保护的简要表达,并不是一种单一权利保护,更不是一种私权保护。若要放入民法人格权编的话,应当作为一般人格权加以保护,而不宜直接视为一项具体人格权。也就是说,个人信息保护本质上还是法益保护,而不是赋予个人对个人信息享有某种权利来实现保护。
再次,在大陆法语境下,个人信息并不等于隐私,个人信息保护规范也不等同于隐私保护规范。尽管隐私保护贯穿于欧盟数据保护法的始终,欧盟的立法没有将个人信息保护置于人格权(尤其隐私权)意义上来设计保护规则。但是,保护隐私是个人信息利用的前提,因而,特定情形下征求数据主体的同意和防止个人信息泄露是个人信息保护法的重要内容。
最后,个人信息本身并不具有危害性,但个人信息的不法利用具有危害性。这里应当区分两类不法和危害,一类是为了实现正当合法的用途或目的,但没有遵循个人信息保护规范,侵害了个人基本权利(人的尊严);另一类是个人信息被用于不法行为,这种不法行为不仅侵害个人权益,而且具有社会危害性,因而需要法律制裁。前者是个人信息安全问题,属于个人信息保护法范畴;利用个人信息从事诈骗犯罪则属于后者,需由刑法调整,不是个人信息保护法的任务。
在人类社会进入网络化、数据化和智能化的时代,数据成为经济和社会运行的“新能源”。可识别个人的数据既要能够为社会所利用,又必须确保该利用行为不侵犯个人权益。形成于20世纪80年代基于个人基本权利保护理念的个人数据保护法,试图构筑保护人权高度下的个人数据利用规范,为我们提供了可供参考的蓝本。为顺应大数据时代的到来,我国立法开始探索和建立我国的个人信息保护制度,但是并未真正地从源头上回答为什么要保护个人信息的问题,导致我国个人信息保护法的定位存在偏差。我们必须正本清源,厘清个人信息上存在的值得法律保护的个人利益,这是准确定位个人信息保护立法目的的基础。