吴怡楠
(中国法学会 民主与法制社,北京 100081)
保护个人信息权益,是数据互联时代发展的必然要求。《民法典》第一千零三十四条第二款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”“个人信息既是自然人参与社会交往的载体,也是个人人格表现和人格发展的工具。”保护个人信息的“核心价值在于维护人的自主性以及人格尊严,这正是人格权的奠定基础。”
《民法典》在第四编“人格权”第六章“隐私权与个人信息保护”部分对个人信息保护进行了较为细致的规定,“一般规定”中将该部分的调整范围划分为两个方面:一是人格权,即生命权、身体权、健康权、姓名权、隐私权明确的权利类型;二是“其他人格权益”框架性权益。在《民法典》总则编“民事权利”中作出如此安排,可知我国已明确自然人对其个人信息享有的权益属于民事权益中的人格权益,对其进行保护的目的也在于对个人尊严的尊重以及对秩序价值的追求。
1.鲜明的时代性。2009年出台的《民法通则》第五章第四节对“人身权”进行了原则性规定,主要包含了姓名权、肖像权等内容,通篇未涉及个人信息有关内容。2017年公布的《民法总则》第一百一十一条规定“自然人的个人信息受法律保护。”至此,个人信息保护才在民法框架内有了一席之地。对个人信息的高度重视是大数据时代的必然结果,在此背景下,个人信息及其处理方式发生了革命性变更:一是信息处理者的多元化。互联网经济时代以前,绝大多数有效个人信息是由政府部门及大型金融机构收集,这种简单模式的传播受众较少,其他社会主体也很难接触或传播他人的个人信息。现今,个人信息犹如海滩上的贝壳唾手可得,人人皆搜集、交换、传播,因而,侵犯个人信息的行为乱象频发。二是个人信息内容的扩大化。随着信息科技时代的日益进步,个人信息内涵外延在不断扩大,最开始的个人信息可能只有身份证号码、个人肖像、家庭住址等信息,现在已经延伸至面部生物特征、指纹、瞳孔、活动轨迹等多种识别信息,也包括电话号码、电子邮箱、电子社保卡、二维码等电子类身份信息。
2.可识别性。作为人格权的本质属性,个人信息是对自然人外在自然特征以及内在社会关系的特定描述,这些重要信息或单独或组合构成我们每一个自然人的身份信息,特别是身份证号、正面照片、指纹等信息都具有唯一性,它们都能直接识别锁定特定自然人的信息,是鉴定个人身份的最佳捷径,多种个人信息经组合分析后甚至可以间接得知自然人近亲属以及其他社会关系的信息。这种身份描述性使其区分于一般的普通信息,呈现出典型的人格权益属性。
3.兼具财产价值与人格利益双重属性。一方面,随着数据互联技术的迅猛发展,大数据已成为促进数字经济发展的新引擎,个人信息已由单纯的数字信息演变为争相抢夺的经济资源,甚至被业界称为“新石油”资源。因此,对于信息处理者而言,个人信息存在明显的财产价值属性。另一方面,个人信息本身的识别性和私密性意味着其异于一般信息内容,普通信息泄露后“无伤大雅”,一般并不会影响当事人正常的生产生活,然而个人信息的不当泄露,严重侵犯其人格尊严及人格自由,进而严重干扰当事人的生产生活。
1.个人尊严被侵害风险。2020年新冠肺炎疫情期间,多地发生疑似泄露确诊病例或密切接触者个人信息或隐私的事件。受害者被频繁骚扰,更有甚者遭受严重的网络暴力。如成都市民赵某某不幸感染后,其个人信息包括家庭住址、工作信息、个人照片等在网上大肆流传,对她进行肆意的辱骂和诽谤,严重侵犯其人格尊严及人格自由,妨害到其个人身份权益,吊诡的是需要受害者被迫公开道歉。
2.财产利益被侵害风险。个人信息的分析交换以及使用隐藏着巨大的商业潜能,然而个人信息的不当管理和使用也给我们的生活带了很大的风险。微信扫码赠礼品、公共厕所刷脸扫码取纸、移动扫码支付、线上冲洗照片充斥着我们每个人的生活,很多老年人还会因为一些玩具、鸡蛋等蝇头小利就为商家提供身份证号码、手机号码等其他重要信息。这些行为都潜在增加了泄露个人信息的风险。事实上,贩卖个人面部生物信息以及手机号码等早已是一条成熟的灰色产业链。另外,信息处理者还会根据消费者的线上消费记录、滴滴出行行动轨迹、线下购买服务等内容,过度处理分析研判客户的需求,然后大数据“杀熟,不定时推送垃圾广告,拨打骚扰电话”。
信息处理者早已呈多元化趋势,《民法典》要求信息处理者在处理他人信息时,应该严格遵循“合法、正当、必要原则”并且不得超过必要限度,进行过度处理。这里的“信息处理者”包括政府部门、其他经济组织或者个人等信息收集利用主体。
1.政府部门既是公民个人信息的收集者,又是这些信息的使用者和管理者,这种既是运动员又是裁判员的身份使得其容易模糊自身属性。例如,个别城市为了加强道路秩序管理,整治“中国式”过马路行为,在十字路口安装闯红灯“人脸识别”系统,电子摄像头捕捉到非机动车及行人的道德失范行为后,将闯红灯者正脸照片及身份证号码公布在路口的电子显示屏幕上,这种规范手段有待商榷。此举措初衷虽然也是为了保障群众生命安全,提升城市文明形象,然而堂而皇之地收集并公布大量公民个人身份信息,严重侵犯到个人信息权益,极易引起舆论争议,引发群体民事诉讼。
2.企业组织是重要的民商事主体,更是经济蓬勃发展的有力因子。我们在享受企业服务的同时,无形中我们的个人信息被收集和整理,而成为企业的市场资源和流量。然而由于缺乏有效的法律规范及技术标准,企业不当泄露或过度处理客户信息行为频发,医院贩卖患者信息,移动经营商转卖客户信息,地产开发商泄露买房者信息等新闻屡见报端……已经严重扰乱了市场经济秩序,干扰了群众正常的工作生活。
3.个人是个人信息权益的有机载体,具有充分的主观能动性,然而载体本身却缺乏一定的权利保护意识,更未采取有效措施保护自身合法的民事权益,这就给了违法分子可趁之机。
权利是权益的外化及类型化,权益是权利的保护内容。《民法典》有关规定将个人信息保护划归为“其他合法权益”属性,并且未将其划归到隐私权里,说明个人信息权益是一项新型人格权益,并未达到类型化的程度。笔者认为,有必要将其上升为一项独立“权利”,作为一项独立人格权利去保护,这样也为后续制定专门的个人信息保护法律奠定制度基础。良法是善治的前提,立法保障个人信息权利更是保障人格尊严、发掘个人信息经济价值的前提。
践行民法典立法理念,维护社会公平正义,保护个体人格尊严,需要政府、企业组织及个人自上而下以及自下而上的双向努力。一是政府部门能否妥善管理公民个人信息是考验其执政能力的重要标准。收集利用公民信息,也是发展数字经济、维护公共信息安全的必要手段。但政府部门作为公权力机构,又是社会公共事务的管理者,更应该以身作则,审慎处理公民个人信息。一方面,在制定出台有关公共利益的规范性文件时,应深入研究讨论,严格履行重大决策程序,经过专家论证、征求意见、调查研究、有效听证后再行公布实施。另一方面,政府作为个人信息的受益者和监管者应积极制定有效措施,扎紧信息泄露的笼子,对违规操作的工作人员应当依法依规予以严厉处分。二是企业组织应守法经营,提高安全标准。电商经营者、网络社交平台应积极履行社会责任,制定平台信息使用技术规范,行业协会发挥有效的监管约束作用。另外,应更加注重“隐私条款”“用户须知”的作用,它们不应成为企业组织规避法律责任的工具,而应成为保护个人信息的有力武器。三是每一个自然人应树立积极的信息权利保护观,改变以往被动消极的潜意识,主动保护自己的个人信息。例如,网购时可采用虚拟收货人信息和较为笼统的地址信息;不要动辄向陌生人提供个人手机号、身份证号码、社交平台二维码等,发现有违规侵犯个人信息权益的行为,要善于运用法律武器维护自身的民事权益。只有人人争做维护自身合法权益的吹哨人,才能将侵害个人信息的行为扼杀在摇篮里。
《民法典》作为民商事领域的基本法,是个人信息保护的法治载体,是依法治理的重大进步,对保护个人信息权益有重要意义。然而,完善法律制度没有休止符,有关机构应循序渐进地完善个人信息保护法律体系,制定信息技术应用标准,为保障个体民事权益,维护信息安全筑牢堤坝防线。