季 平 平
(上海政法学院 法律学院,上海 201701)
近年来,随着信息科技的飞速发展,个人信息的收集和使用越来越普遍,由此也引发了个人信息的非法收集、滥用、泄露等现实问题[1],为个人信息提供周全的保护已成为社会共识且极为迫切的需求。各国立法机关为了回应这一现实问题,纷纷从公法与私法两个层面创设相关法律规范以保护个人信息。以我国为例,就公法层面而言,有关个人信息保护的规范被规定于《个人信息保护法》《网络安全法》《消费者权益保护法》《电信和互联网用户个人信息保护规定》等若干法律法规中。而在私法层面,有关个人信息保护的规范最早被规定于《民法总则》中。2021年1月1日《民法典》正式生效后,关于个人信息保护的规范集中规定在《民法典》第111条、第999条、第1034条、第1035条、第1036条、第1037条、第1038条、第1039条八个条文中。但是,伴随着我国在私法中引入个人信息保护条款,一个基础性的问题也浮出水面,即个人信息在当前的私法框架中究竟应当被理解为一种权利亦或一种法益?
《民法总则》第111条是我国民法体系内首次尝试对个人信息作出规定的条文,而《民法典》第111条未对《民法总则》第111条做文字上的调整,直接沿用了《民法总则》的规定。但是该条款仅设定了行为义务,并未对个人信息的民法属性作出明确界定。因此,这也为后续适用法律时确定个人信息的性质以及处理模式留下了较大的解释空间。
依据该条款的表述,解释个人信息属性主要有两种不同路径。首先是以权利模式保护个人信息[2]。将个人信息解释为一种民法上的权利主要采用的是体系解释方法[3]。从立法体系而言,《民法典》第111条被规定在保护权利的第五章之中,而第五章的标题即是民事权利。此外,作为被列于同一章中的条款,《民法典》第111条和第112条分别规定了具体人格权与自然人身份权,此后的第113条与第114条同样是创设权利的条款。从体系的角度出发,第111条与众多权利条款同属一章且安排紧密,立法者并未对个人信息条款的位置作出特别安排。因此,我们可以认为,在《民法典》第五章所规定的权利体系中,个人信息应属于其中的一类权利。其次是以法益模式保护个人信息。将个人信息作为一种法益进行保护则是通过文意解释路径得出的结论。《民法典》第111条的表述是“自然人的个人信息受法律保护”,并未将个人信息表述为一种权利,而该章规定的其他各种权利,无一不在表述上冠以“权”字。因此,从文义解释角度出发,我们可以认为个人信息在《民法典》所确立的权利体系中并不是一种权利,而是一种法益。第111条后半段的“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,则是单纯为他人设定义务之条款。
两种不同解释路径对应着两种无论从保护广度亦或保护深度而言都有着较大差别的保护模式。简言之,当我们采用权利模式保护个人信息时,将会为个人信息提供民法上最为完备和强力的保护,对个人信息的侵害将会迅速得到私法的回应;但当我们采用法益模式对个人信息进行保护时,则采取的是一种较为柔和与弹性的保护模式,对个人信息的侵害往往需要通过司法者的审慎考量方能得到法律的救济[4]。而本文讨论的即是以何种模式展开对个人信息保护更为恰当。
无论是过去的《民法总则》第111条亦或现行有效的《民法典》第111条,均是过去及当前民法体系中唯一对个人信息作出定义的条文。上文已经提到,该条款仅设定了世人的部分行为义务,并未明确对个人信息的民法属性进行明确界定,为后续法律适用留下了解释空间。笔者认为,在两种不同保护体系中,以法益模式对个人信息进行保护更为恰当。
在民法上,利益并不能一概受到保护,而在判断何种利益应该受到何种保护之标准并不明确的情况下,为规避“判断错误”的风险以及增加利益受保护的可能性,学理上、司法实践中均存在难以克制或者不自觉地试图尽量将利益权利化的倾向。这种背离权利在规范上及法技术上的意义的做法,导致权利这一概念丧失了其原本的意义与价值,沦落为一种宣示个体价值观或者利益需要的工具。
权利的形式主义标准的具体含义是指只有民事法律明确规定的权利才是民法上的权利,其他的都是利益保护问题[5]。在《民法典》第111条的规定里,个人信息并未被表述为一种权利,在《民法总则》正式颁布前各版本的草案中,亦未被表述为一种权利。(1)《民法总则(草案二次审议稿)》第109条规定:自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。《民法总则(草案三次审议稿)》第110条规定:自然人的个人信息受法律保护。任何组织和个人不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。《民法总则(大会审议稿)》第114条规定:自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全,不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。因此,如果严格依据权利保护的形式主义标准,个人信息不应被认定为是一种权利。那么此种选择会是立法者立法时的疏失吗?易言之,是否存在这样一种情况,即立法者的本意是将个人信息作为权利进行保护,但是在进行法律编纂时,由于立法技术上的欠缺或者立法者主观上的疏漏,未将个人信息明确作为权利列入法律文本?如果存在这种情况,我们可以认为《民法总则》及《民法典》在针对个人信息保护的部分存在公开漏洞,此时即可通过目的性扩张的方式对漏洞进行填补。就《民法总则》而言,现阶段可以查阅的代表立法者观点的文献为由全国人大法工委主要负责人所编写的《民法总则》释义文本。但是,无论是全国人大法工委民法室负责人所编写的释义书亦或全国人大法工委主要负责人所编写的释义书中,均未提到将个人信息作为一种民法上的权利进行保护。相反,两份反映立法者观点的文献均与《民法总则》对个人信息的表述保持了一致[6]。同样,在代表立法者观点的《民法典》释义书中,立法者有意地与法条中关于个人信息的论述保持了一致,没有在“个人信息”后添加一个“权”字。另有学者认为,黄薇主编的《中华人民共和国民法典总则释义》中“本条规定了其他民事主体对自然人个人信息保护的义务,违反个人信息保护义务的,应当承担民事责任、行政责任甚至刑事责任”之表述代表着立法者认为个人信息是一种权利[7],理由是:“对于个人信息,虽然没有规定权利,但是由于有特定的义务人,因而使个人信息成为民事权利。”[3]笔者认为此观点值得商榷。首先,个人信息的义务人并不特定,任何民事主体均负有不侵害他人个人信息之义务。其次,芮沐先生对利益的特征有一条经典的总结:“对于一般利益而言,个人有消极的补偿作用,积极的以意思主张权利则无之,仅能在损害发生后,有请求赔偿的主张。”[8]易言之,就一般利益而言,同样没有规定权利,但是有相应的义务人。因此,上述学者的论述并不能支持立法者在《中华人民共和国民法总则释义》中的表述可以被理解为立法机关支持个人信息在现行法下是一种民事权利的观点。现行法上对于个人信息的表述是立法者刻意为之,并非是一种疏失。因此,从权利的形式主义标准出发,个人信息在现行法上并不能被认定为是一种权利。
法国侵权法采用的是权利与法益的一体保护模式,而对权利与法益的区分理论讨论较多的是德国。《德国民法典》第823条第1款规定了对绝对权的保护,因此,德国学者以绝对权中最为典型的所有权为起点,通过归纳所有权的特征,形成判断绝对权的标准,从而作为区分权利与利益的依据[9]。福克斯认为,在德国法上,可以被归入第823条第1款进行保护的权利需要与第903条一样,具备积极的归属效能与消极的排除效能[10]。
归属效能起源于权益归属说,即凡权益皆有一定明确的利益内容,专属于权利人,归其享有[11]。归属效能的根本核心在于归属内容的确定性:“只有当一个确定的物的主体能够排除他人对此物的利用,进而能够对该物支配使用时,或者能够从一个确定的债务人请求一项确定的履行时,一项确定的主观权利才被个别地归入一个确定的主体。”[12]对一项绝对权而言,其内容、边界必须清晰可辨识。绝对权的对世性使其对所有人设定了不得干涉权利人的义务。如果某项绝对权的内容不确定、边界不清晰,将会给所有人的行为自由造成严重的侵害。排除效能则源于德国民法典第903条“排除他人的任何干涉”,具体是指权利主体可排除其他主体的任何不法干涉。排除效能是一项基于归属效能而衍生的权利特征。只有当一项利益满足归属效能的要求,做到边界清晰、内容确定后,方能具有排除效能并依法排除加害人对权利的非法干涉。
此外,社会典型公开性同样是绝对权的特征之一,“社会典型公开性使从相关客体的可感知性推导有关权利——或曰有关法益——的保护成为可能,并由此发展出对潜在侵权人的警告功能,借以关照对潜在侵权人行为自由之尊重”[13]。社会典型公开性要求一项法益必须典型、规律、公开。从加害人角度而言,如果一项权利不具有公开性,且不可感知,但是该权利受到侵害后却需要加害人承担侵权责任,那么显然违背了法的公平价值。此外,社会典型公开性源自一个群体对于社会与文化共同的认识,而不是建立在个案之上。
综上所述,一项利益需成为权利必须具备以下三种特征,即归属效能、排除效能以及社会典型公开性。归属效能与排除效能是从权利人角度出发,分析权利人所拥有之权利的特征;而社会典型公开性则是从加害人角度出发,保障加害人之行为自由不会因为权利的过分扩张而受到损害[14]。就现行中国法上的个人信息而言,现阶段并不能满足以上三项特征。
首先,从归属效能的角度来看,最为强调的是归属内容的确定性。而归属内容的确定性恰恰是现阶段个人信息所欠缺的。世界上现行的两种个人信息定义方式(识别型定义亦或关联型定义)均无法给出一个对于个人信息外延的预先的、精确的界定。虽然在欧美国家最新制定的个人信息保护法中出现了由传统的以个人信息特征为核心的静态定义向以场景与风险为导向的动态定义的转变趋势,但无论是欧美国家的立法者亦或在我国学界,均没有提出基于动态理论的在实践中可行的定义方式。定义上的模糊造成的直接后果就是权利外延无法被确定。通过现有的方法对某一项信息是否可以被列为个人信息进行判定,在不同的时点或不同的场景下可能会得出完全相反的两种结果。这种定性上的反复会导致权利内容的变动,因而无法满足归属内容的确定性要求。
在利益保护与行为自由之间寻找平衡是侵权法的主要任务之一。任何侵权规范的基本问题都存在于利益保护和行为自由之间的冲突上,侵权法的目标就是根据最合理的平衡或者实际合理性来解决这一冲突。当法律赋予不特定的受害人以强制力,保证潜在的加害人需赔偿受害人所受之损害时,从加害人的角度而言,其财产即处于一种危险之中。一个理性的人会尽可能地避免此类风险,甚至在不确定自身行为是否确实会给潜在的受害人造成法律上的损害时,为了保护其自身的财产利益,减少不必要的对自己不利益的行为,即使这种行为事实上是合理且被社会所需要的。在此时,行为的自由即受到了法律的限制。法律保护的范围越大、保护的力度越强,则对潜在加害人的行为自由限制越大。
被作为权利保护的利益有着最为明确的内容和最为清晰的外延,并且具有可以被感知的表现形式。这些利益明确地对外公示着它们的边界,行为人在规划自身的行为时,可以确定地避免侵害这些利益。虽然此类利益的存在会在某种程度上影响到行为人的行为自由,但是这种影响是可控的、合理的,不会被无序地放大。被作为法益保护的利益并不具备前述利益所有的内涵及外延,因而行为人在规划自身行为时,并不能够确认自身行为是否会侵害他人利益。在这种情况下,若对该类利益采取与通过权利保护之利益同样的保护方式,即采用权利与法益同等保护模式,只要产生损害后果即引征违法性要件,必然会大大提高行为人承担侵权责任的可能性。为了避免这种情况的发生,行为人需要在规划其行为时去确认此类利益的边界,或直接放弃有可能会侵害该利益的行为。这种结果看似完满地保护了相关利益,实际上却对行为人苛加了额外的负担,承担了过重的法律责任,不合理地限制了行为人的行为自由。
与类似于姓名权、肖像权的传统权利在学理及实务层面经过充分讨论不同的是,作为一项以前沿大数据技术为基础的利益,个人信息被纳入私法保护的历史较短,且其利益边界与内容均处于变动的过程中。由于在个人信息利益中存在大量类似的利益内容不明确或利益边界不确定的情况,在很多场合下,个人信息利益的侵害者并不能明确自身在何时或在何种程度上侵害了权利人的利益。在不满足“权利归属效能”的情况下,强行将个人信息利益提升为权利进行保护,会有碍于个人信息的利用。当一项利益不存在归属效能时,基于归属效能衍生的排除效能自然无从谈起。
从社会典型公开性的角度而言,个人信息在现阶段同样不能完全满足此标准。社会典型公开性要求从人们的社会文化的普遍认识与经验中寻求受保护对象一般意义上的可感知性。个人信息进入中国公众的视角,尤其是进入民法立法者视角的时间并不长,这与中国的社会经济状况、互联网科技发展程度、中国的隐私理念,以及公民对法律的需求有关[15]。2015年9月14日至9月16日,全国人大法工委第一次组织相关学者对《民法总则草案室内稿》进行讨论,在该份草案中,并没有提及个人信息权利或个人信息法益。此后,在2016年2月全国人大法工委正式发布的《民法总则草案征求意见稿》、2016年5月发布的《民法总则草案征求意见稿修改稿》以及2016年6月发布的《民法总则草案第一次审议稿》中,也均没有对个人信息权利或个人信息法益进行规定。直到2016年8月连续发生了徐玉玉电信诈骗案、清华大学电信诈骗案后,方才引起民法学界与立法机关对个人信息保护的重视[3]。因此,在2016年12月的《民法总则草案第二次审议稿》中,第一次出现了民法层面的专门针对个人信息保护的条文。从这个角度来说,主流民法学界直到2016年年底才开始考虑个人信息保护的法典化问题,而一般的公众直到2017年《民法总则》颁布后,方才首次接触到有关个人信息保护的有限的民法规范。虽然社会典型公开性这一标准难以被量化,但是,在如此短的时间内,我们很难认为个人信息保护已经形成了一种社会文化并被一般公众所认知。
反观另一个被纳入民法体系保护的新型权利——隐私权,从1988年被纳入《最高人民法院关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》作为名誉权所保护的利益进行间接保护,到2001年被纳入《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》作为一项法益进行直接保护,直至2009年被《侵权责任法》以绝对权的形式进行保护,前后共历经了21年。虽然说21年并不是一个非常准确或是经过精确计算的社会文化与权利认知的生成时间,但不可否认的是,一项利益在转变为权利的过程中,为了获得社会典型公开性,必须要接受时间的沉淀。个人信息利益进入制定法保护的视野仅5年,依然需要时间去生成社会典型公开性。因此,无论是从归属效能、排除效能或是社会典型公开性的角度进行分析,个人信息利益均不能满足相关标准。
民法上法益的构成要素包括三个方面:首先,该法益所保护的利益应当未被作为既有权利而保护。无论是权利或是法益,均是保护利益的一种手段。部分利益通过立法者的筛选后,被作为权利加以保护。如果一项利益已经被立法者确认可以通过权利进行保护,也就是已经上升成为有名权利,显然就没有必要通过法益的渠道再次为其提供保护。其次,该法益所保护的利益应当符合社会学上利益的基本内涵。因此,其首先应当满足社会学上利益的最基本要求,即有用性。黑格尔曾指出:“有意识的存在必然把它的需要想象为普遍性的需要,必须关心它的整个生存,它所争取的必然是持久的财产。”[16]一项利益在被纳入侵权法体系并作为一种法益进行保护前,必须被主体所需要。利益的这种被需要的特征不应当取决于个别人的判断,而是应当从社会整体出发,以一般人的需求为基准进行判断。如果该项利益在一般社会学意义上并不被需要,自然也就没有将其筛选作为法益进行保护的必要。最后,该法益所保护的利益应当具有合法性。下文将结合个人信息对这一要素进行细致论述。
作为一项刚刚被列入《民法典》中的民事利益,在排除了其在现阶段作为一种权利受到民法保护的可能性后,作为法益进行保护成为唯一的可选路径。依据上文所讨论的法益所保护之利益的性质,我们在此对个人信息展开分析。首先,个人信息存在于既有的法定化权利之外。个人信息既无法被现有的权利所吸收,又无法被解释为通过寻找利益的规制方式来解决保护问题。其次,对个人信息进行保护符合社会学的基本内涵。随着人类信息科技的高速发展,对个人信息进行保护已经逐步成为被全社会所关注的问题,已经涉及整个社会的公共利益,而不是局限于某一特定的个体的利益。因此,无论是从比较法的角度亦或国内法的角度而言,立法者近年来均对个人信息给予了极高的重视。从社会学的角度来看,个人信息所包含的利益是为一般人所需要并追求的。最后,个人信息利益符合利益的合法性标准。对个人信息利益是否符合合法性标准应当从个人信息利益的正当性与个人信息利益的可保护性两个层面进行考量。通常对利益的正当性的论证,往往来自善良风俗、习惯、伦理、道德等方面[17]。个人信息与人格自由发展权息息相关,个人信息中包含着人格利益,因而个人信息是人格的延伸与外化,对个人信息进行保护即是对其中所包含的人格权益进行保护。另有学者认为,一项利益的正当性判断标准应当为正义原则,而正义原则的确立方法只能采用多数规则[18]。个人信息作为一项法益被正式写入《民法总则》中,而按照我国立法机关在进行法律制定时的程序性要求,民事基本法律在通过立法机关的审议及表决时,需要得到全国人民代表大会全体会议全体代表对法律草案表决稿过半数的同意。因此,《民法总则》的正式颁布即代表了其中的内容已经通过了多数规则的检验。对利益可保护性的判断,则需要回到现行法体系中去寻找依据。个人信息已经被规定于《民法典》中,同时亦在包括《个人信息保护法》在内的公法中有所体现,因而个人信息的可保护性并不存在疑问。综上所述,个人信息可被列为民法上的法益进行保护。
现阶段我国个人信息保护法律立法的特点是,在传统私法领域内,除了《民法典》中的八个条文以外,几乎不存在针对个人信息的规定。我国有关个人信息保护的条文大多被规定于包括《个人信息保护法》《网络安全法》《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等公法类法律法规中。其中,除《个人信息保护法》中的部分完全性法条属于广义侵权法可以在民事诉讼中被作为请求权基础条款援引外,大部分公法上有关个人信息保护的条款仅仅体现为一种行政法上的管理型规定,无法直接转化为私法上的规范对个人信息主体施以保护。即个人信息主体无法直接援引公法上的规定为请求权基础,从而要求相应的主体为或不为一定的行为。
由此,从民法保护的角度而言,如果我们强行将个人信息解释为一种权利,以传统的绝对权保护路径对个人信息进行保护,那么在司法实践中,由于私法框架内的规范供给过少,法官在解决现实问题时将举步维艰,最终不可避免地出现原属于侵犯个人信息的案件将通过名誉权、隐私权、肖像权甚至一般人格权的裁判路径作出判决,导致私法上个人信息保护的名存实亡。
但是,私法体系内缺乏相应规范并不代表个人信息法益无法受到保护。相反,现有的立法模式可能更适合对个人信息法益展开保护。个人信息法益所包含的内容正处在一个高速发展与变动的时期,如果贸然将其中的利益在民法框架内以条文的形式明确固定下来,后续可能将会面临多次修改,从而造成民法典的不稳定。而在民法的框架外,以行政法规、国家标准等同样具有法律效力的文件对相应利益进行规定,即使后续发生变动,所产生的立法成本相比之下也会减少许多。当这些存在于公法上的义务被违反后,个人信息主体依然可以通过公法与私法之间的转介规则寻求救济的可能性。
现代民法典已经完成了由所有私法规则的集合体到原则法的功能转变,面对日趋复杂的调整对象,一部将所有私法规则集于一体的民法典不仅会显得臃肿不堪,而且现有的立法技术也不可能实现包容一切的目标。为了在保证自身逻辑性与体系性的同时又能实现民法典的功能价值,转介条款成为可以依仗的重要工具之一[19]。苏永钦教授对转介条款的定义是:“概括地转介某个社会伦理或公法规定,对于它在私法领域的具体适用,如何与私法自治的价值适度调和,都还未做成决定的条款。”[20]转介条款本身并无法提供具体的指引,而是通过建立引入民法外具体规范的通道,来对民法典作出有益的补充。转介条款最为重要的价值在于表达了立法者对于某一制度的概括授权。转介条款的主要功能是价值填补,即通过对法官的概括授权,使其可以在审理民事案件时依自由裁量权斟酌适用民法外的管制性规范,从而在维护行为自由与权益保护间取得平衡。“如果将转介条款比喻为一匹特洛伊木马,那么保护他人法律就是隐藏于木马中的雄兵。当这匹特洛伊木马进入侵权法之城时,保护他人法律所形成的洪流将汹涌而出,只不过此时的它们并不是公法屠灭侵权法的利器,而是公法与侵权法接轨汇流的生动展现。”[21]
在我国《民法典》中,可以结合第8条与第1165条第1款发展出我国侵权法上的转介条款。具体而言,《民法典》第8条规定:“民事主体从事民事活动,不得违反法律,不得违背公序良俗。”而第1165条则为侵权责任一般条款,两者结合后,可将过错侵害他人民事权益具体解释为过错侵害他人绝对权(狭义侵权)、过错违反保护他人的法律致他人民事利益受损(违法侵权)及故意违反善良风俗致他人民事利益受损(悖俗侵权)三种德国侵权法式的具体类型[22],而且其中的违法侵权中的“法”,则可以包含保护个人信息的众多公法规范。此时,《民法典》第8条即成为侵权责任编第1165条的转介条款。
上文已经提到,我国个人信息保护的法律条文有相当一部分散见于公法规范之中,因此笔者认为,应当优先考虑采用违法侵权路径对个人信息进行保护。违法侵权保护路径最大的优点即是可以通过转介条款将公法中的规则转介到私法体系下适用,使得法院能够对违反其他法律所确立的行为标准而造成的损害提供侵权救济,连接侵权法之外法领域的立法价值,保持侵权法的开放性。
个人信息作为一项新兴的利益类型已经开始得到立法层面的关注与重视,与个人信息保护相关的制度也在逐步构建中。面对崭新的利益,立法者在制定相应制度时处于一种摸索状态,因而会在条文中有意无意地留下解释空间以对接今后更为完善的规定。面对解释上的多种可能性,我们应当尽可能地去厘清各种可能性所对应的优势与不足。通过上文的讨论,我们不难发现,以权利保护模式保护个人信息可能造成包括个人行为自由受损、阻碍个人信息有序流动等一系列不利后果,也会产生极高的社会管理成本;相反,在利益边界逐步清晰和明确的过程中,以法益模式保护个人信息既可为相关的管理带来一定程度的弹性,也在保障个人信息合理使用的同时兼顾了个人信息安全。因此,我们可以得出结论,在当前社会情势下个人信息利益应当被作为一种法益进行保护,而非权利。通过违法侵权的路径对个人信息进行保护,则可以在保持个人信息作为法益应当具有的弹性的前提下,最大化地对其提供私法上的保护。