张育铭
“个人信息”是一个具有特定历史、时代意义和内涵的词语,它是在近几十年世界信息产业飞速进步的大背景下诞生的,并且始终与人类生产方式、科技水平、经济发展模式、社会经济结构等息息相关。关于个人信息的概念,由于世界不同国家在漫长的岁月中积累、沉淀的历史传统、文化习惯、生活方式、法律观念具有较大的差异,因此世界各国对其概念至今仍存在较大的分歧。由于对这一概念认识的侧重点不同,目前世界各国理论界主要存在“信息隐私”、“个人数据/资料”和“个人信息”这三种表述[1]。其中,加拿大、澳大利亚、美国等普通法系国家采用“信息隐私”提法,韩国、日本、俄罗斯等国采用“个人信息”提法,欧盟国家采用“个人数据/资料”提法[2]。在对个人信息具体概念的认识方面,有学者对个人信息提出隐私型定义,认为它是个人在社会生活中不愿意对外透露的与之相关的内容,或是个人不愿他人知悉的与自身相联系又极其敏感的内容[3],有学者从财产权角度对个人信息进行解释,认为本质上个人信息属于个人财产,个人享有占有、使用、收益及处分个人信息的权利,除非个人行使上述权利时影响或限制了第三者的利益[4]。王利明教授提出一个总括性概念,认为个人信息是具有可识别性的符号,它能反映个体特征,并且与特定个人相关联[5]。
基于对上述不同理论的取舍、筛选和综合考量,笔者认为,个人信息是一系列信息符号的总和,这些信息符号具有识别性与个体联系性[6],它们以各种形式存在并可据此识别出特定信息主体,根据个人信息,他人能够按图索骥,准确地确定信息主体。笔者认为,对个人信息的范围界定应适当地扩大化,以期扩大个人信息的保护外延,更为行之有效地保护个人信息。具体说来,个人信息应当包括指纹、姓名、兴趣、爱好、性别、年龄、肖像、民族、家庭状况、财产状况等内容,其中,指纹、姓名、肖像等信息能直接识别特定自然人,兴趣、爱好、性别等信息则能间接识别自然人[7]。值得一提的是,个人信息与我国现行民法体系中规定的一部分具体人格权在内涵与外延上存在重合之处,如肖像权、姓名权在民法体系中均作为具体人格权而存在,侵犯上述两种权利的行为往往同时造成个人信息利益的减损。由于我国肖像权、姓名权的民法保护体系已较为成熟,而对于个人信息相关利益的保护总体上仍处于探索阶段,故司法实践通常将此类行为定性为针对肖像权或姓名权的侵权行为,却并未专门从个人信息利益的视角对其进行定性和评价。
1.可识别性
这是个人信息最首要、最核心、最根本的特征。个人信息的可识别性是指人们根据个人资料中的各种信息要素,就能准确地确定、识别这些信息要素所归属的信息主体,即某个自然人。这些个人资料包含住所地址、工作经历、健康状况、个人身世、年龄、婚姻、财产等能够使他人或计算机系统从数量繁多的个体中辨别出该特殊个体的信息[8]。个人信息不同于其他类别的信息,它是能识别特定自然人的相关信息,同时也是不同的自然人之间具有区别性的信息,是能帮助他人认识及区别不同信息主体的所有信息。从某种角度上说,个人信息是每个自然人所独有的“标签”。此处需要说明的是,个人信息的可识别性既包括各种不需要其他信息的辅助,就可以直接独立识别出信息主体的信息,也就是能直接识别出信息主体的信息,此为个人信息的直接识别性,又包括各种不能直接推断出信息主体、不能独立识别出特定自然人,而是需要借助其他信息的帮助才能识别出信息主体的信息,此为个人信息的间接识别性。个人信息的可识别性具有极其重要的司法实践意义,在个人信息侵权案件中,倘若个人信息不具有可识别性,司法机关便不能根据该信息直接或间接确定个人信息侵权行为的受害者,同时个人信息的侵权行为与损害结果之间的因果关系也无法确定,最终只会导致个人信息的法律保护无法真正得到实现,而沦为一纸空文。
2.特定性
此处所称的“特定性”,包括两层含义:其一,个人信息的信息主体是特定的,即只有自然人是信息主体,法人及其他社会组织不能成为信息主体;其二,每一条个人信息仅仅与特定的自然人有关,它只能指向特定的自然人。个人信息保护的立法宗旨是保护个人的人格自由、人格尊严和人格发展,而上述之人格自由、人格尊严和人格发展对于自然人才具有实际的意义。法人、其他社会组织等社会团体从表面上看,似乎也具备一定数量的“个人信息”,如法人的章程、法人的住所、法人的名称等,但是,从本质上看,由于法人和其他社会组织是自然人实现特定目的与利益的工具及载体,法人和其他社会组织的“个人信息”归根结底就是其自然人成员的个人信息,法人和其他社会组织并不存在人格自由、人格尊严及人格发展的需求与法益,因此法人和其他社会组织不应成为信息主体。从目前世界上大多数国家的立法实践来看,大多数国家的个人信息立法明确规定信息主体只能是自然人,法人和其他组织均不能成为信息主体。此外,由于每一个自然人的人格特征和人格标志是独一无二的,因此每一条个人信息和每一个自然人存在一一对应的关系,每一条个人信息只能对接上特定的自然人。
3.客观性
个人信息的客观性包括两层含义:其一,个人信息的存在形式是客观的,个人信息必须具有客观存在的载体,个人信息必须按照某一客观、特定的形式记录下来;其二,个人信息的内容是客观的,个人资料所反映出的关于某一特定自然人的特征或个人生活的各种信息是客观而真实存在的,个人信息的内容不以人的意志为转移。当今时代,个人信息的商业和经济价值日益凸显,日趋成为一种新型社会资源,这一客观现实要求个人信息应当具有客观性,只有这样个人信息才能被市场交易主体充分利用,从而实现个人信息的商业和经济价值,最终实现个人信息价值的最大化。倘若个人信息存在任何的主观臆断性,则个人信息的价值根本无从谈起,个人信息的市场化也将无从推进和发展。
4.人格性
人格性是个人信息的其中一面,是个人信息的传统属性和特征,也是个人信息诞生之初就具有的特性。对个人价值主客观评估的结合就是人格尊严[9]。个人信息与信息主体的私人生活是密不可分的,个人信息专属于某一特定自然人,个人信息具有极为强烈的人身依附属性,信息主体对其本人的信息享有排他性的控制和使用的权利,如犯罪记录、宗教信仰、性别取向等均属敏感信息,自然人有权保持这些信息的隐秘性从而保证它们不被披露[10],随意披露这些个人信息的行为必将损害信息主体的人格尊严和人格利益,信息主体私人生活的安宁将会受到严重影响并产生内心的不安、恐慌情绪,由此得知,个人信息具有人格权的属性。
5.财产性
财产性是个人信息的另一面,是个人信息在经济全球化与信息化的崭新时代背景下被赋予的全新属性和特征。个人信息在社会生活中极易受到侵犯的重要原因之一就在于它具有价值,包括管理价值、商业开发价值和社会交往价值[11],其中,个人信息的利益性、经济性、财产性价值是其主要的价值。随着计算机网络科技的飞速发展和经济全球化进程的加速推进,个人信息的商业、经济价值不断显现。如过去传统的实体商家纷纷转型,新型网上电子商铺如雨后春笋般应运而生,还有一些尚未转型的实体商家则纷纷引进高科技电子信息技术,用以及时收集和跟踪顾客的实际需求,根据对个人信息的处理和分析情况,适时改变生产计划和营销计划,以满足现代社会瞬息万变、风云诡谲的市场供求关系。在这一崭新时代背景下,个人信息不再是单纯用以识别信息主体的标志,而是在市场上进行流转的一种商业资源。受这种经济、商业大变革的影响,信息主体对其信息占有、使用、收益和处分的关系逐渐得到法律上的权利确认,随着法律以明文规定的形式正式确认这些权利,个人信息逐步具备了以物权为核心的财产权特性。个人信息的经济价值逐渐被人们发掘,在社会生活中,除了指纹、血液样本、生物DNA等特定的个人信息被我国法律法规明令禁止交易以外,信息主体可适当地利用其个人信息以获得可观的经济利益,例如信息主体可授权许可他人使用其本人的个人信息来获取经济收益。由此可见,个人信息已从传统的单一人格性逐渐过渡到人格性、财产性双重属性并存的阶段,个人信息保护进入了一个全新的时期。
6.动态性
人是社会中的人,社会属性是人的本质属性。个人信息的内容不是一成不变的、静止的,而是会伴随着信息主体社会活动的不断扩大而不断发展、变化的。个人信息在信息主体与外部社会的无休止交往中得到不断丰富和扩展,这就是个人信息的动态性。
依据不同的标准,可以对个人信息进行不同的分类。
1.公开的个人信息和非公开的个人信息
以个人信息是否已被公开为标准,可将个人信息划分为公开的个人信息和非公开的个人信息。公开的个人信息指已面向社会公众公开,社会公众通过合法的渠道和途径即可充分了解的个人信息,严格来说此类个人信息已不再属于隐私,而是属于政府信息公开的范畴。创设“公开的个人信息”的目的主要是为了满足公权力部门行政管理的需求,同时也为了促使社会公众更好地进行社会交往。非公开的个人信息指尚未面向社会公众公开,除了信息主体本人之外的任何人都无法通过合法渠道和途径获知的个人信息,即传统意义上的个人信息。值得注意的是,非公开的个人信息在特定的条件下可以转化为公开的个人信息,当国家为了满足公共政策的需要以及保护社会公共利益时,就会在有限的范围内以适当的方式公开某些特定主体的个人信息,譬如官员财产信息申报以及重大刑事案件中警方为了缉捕犯罪嫌疑人而制作的通缉令等。
2.直接个人信息和间接个人信息
以个人信息能否直接识别信息主体为标准,可将个人信息划分为直接个人信息和间接个人信息。直接个人信息指可以单独识别出特定信息主体的个人信息;间接个人信息则指虽然不能单独识别出特定信息主体,但与其他个人信息结合就能识别出该信息主体的个人信息。过去,囿于个人信息保护意识的淡薄和个人信息立法保护水平的欠缺,民法学界普遍认为只有直接个人信息才需要得到立法保护。但是,时至今日,为了更好地完善个人信息侵权的民事救济制度以及更加全面、更大程度地保护个人信息,世界各国对这一问题均达成了共识,即直接个人信息和间接个人信息必须受到同等程度的法律保护,直接个人信息和间接个人信息都属于个人信息的范畴。如丹麦、德国等大部分国家的立法都将间接个人资料视同个人资料[12]。由于对个人信息予以法律保护的最终目的是规范针对任何能够被收集和流通的个人数据实施的所有收集、流通活动,因而所有能够被收集和流通的个人信息都应当受到法律的无差别保护,间接个人信息能够被收集和流通,是故间接个人信息必须被纳入法律保护的范围之内。
3.敏感个人信息和琐碎个人信息
以个人信息是否涉及信息主体的隐私为标准,可以将个人信息划分为敏感个人信息和琐碎个人信息。由于世界各国法律传统和风俗习惯的不同,对个人信息是否敏感的内涵界定是不同的,但是,大体上可以认为涉及政治倾向、种族归属、宗教信仰、健康状况、犯罪记录、财产状况、婚恋状况等方面的信息属于敏感个人信息,除此之外的信息则属于琐碎个人信息。敏感个人信息受到法律保护的程度明显高于琐碎个人信息,任何个人、组织和机构一般需要经过信息主体的明示同意后才可以收集其敏感个人信息,否则即构成对个人信息的侵犯,对于琐碎个人信息的收集则不需要经过信息主体的明示同意。
4.电脑处理的个人信息和非电脑处理的个人信息
根据个人信息是否经过了电脑的处理可以将个人信息划分为电脑处理的个人信息和非电脑处理的个人信息。倘若个人信息已经进入了电脑处理阶段,即个人信息经过了电脑的编辑、更正、删除、存储等处理模式,则此类信息就是电脑处理的个人信息,如信用记录、购物嗜好、上网踪迹等,反之,天然生成或者经过手工处理形成的信息则是非电脑处理的个人信息,如指纹、血型、DNA、性别等。本质上,电脑处理的个人信息是信息时代的产物,非电脑处理的个人信息则仍属于传统个人信息的范畴。对于这两类个人信息的保护须区别对待,个人信息一经电脑处理,就意味着该个人信息进入了快速而大范围的传播阶段,其安全性大大降低,被侵犯的可能性大大增加,故而需要对此类个人信息进行重点保护,非电脑处理的个人信息则由于其安全系数相对较高,被侵犯的可能性较低,故不需要立法层面的重点保护,对其进行立法层面上的普通保护即可。
5.与人格尊严直接相关的个人信息和与人格尊严不直接相关的个人信息
有一些个人信息,例如健康状况、外貌特征、信用记录、性别、姓名等直接关系到信息主体的人格尊严,它们就是与人格尊严直接相关的个人信息;另外一些个人信息,例如电话号码、工作单位、家庭地址等与人格尊严不存在直接联系,它们就是与人格尊严不直接相关的个人信息。这两类个人信息的权利属性稍有不同,前者直接体现出信息主体的人格利益,同时又间接体现出信息主体的财产利益,后者仅仅体现出信息主体的财产利益,并未体现人格利益。权利属性的不同决定着法律对两者保护模式的不同,法律对于前者给予人格权和财产权的复合保护,对于后者仅仅给予单方面的财产权保护。
当前我国形成了以《民法典》《个人信息保护法》为核心的个人信息法制体系,二者以我国个人信息安全现状为着眼点,在个人信息保护领域作出了突出的贡献。
1.《民法典》的贡献与成就
《民法典》个人信息条款的问世回应了个人信息保护这一信息时代背景下的新挑战和新问题。《民法典》第一编(总则)第111条具体而明确地规定“自然人的个人信息受法律保护”这一条我国的“个人信息保护宣言”①参见《中华人民共和国民法典》第111条。,并在第四编(人格权)设立“隐私权和个人信息保护”作为第六章,同时在该章规定个人信息之基本概念、处理规则、抗辩事由及个人信息与隐私的关系等内容,上述规定标志着我国个人信息保护顶层立法框架和设计业已完成。具体说来,《民法典》个人信息条款作出了以下贡献与成就。
一是明确了个人信息概念。以往无论是学理上还是司法实践中,个人信息的概念都比较混乱,零散分布状态下的个人信息保护法律法规对个人信息的定义相互冲突,导致了法律适用的困难。《民法典》第1034条第2款②参见《中华人民共和国民法典》第1034条。重点从两个视角对个人信息加以定义:其一,表面状态,个人信息是以电子或其他记录方式表现出来的;其二,实质内涵,个人信息因其具有识别性从而能识别特定自然人。该款内容辅之以列举方式对个人信息内容进行完善和补充,个人信息的概念至此基本得到完整的法律表达。
二是明确个人信息法律关系主体之权益和义务。信息主体和信息处理者作为个人信息法律关系的主体,呈现出既对立又统一的矛盾共生关系。由于信息主体在二者的对抗和博弈中处于弱势地位,《民法典》着重赋予信息主体权益,对信息处理者则重点强调义务,该法第1037条第1、2款明确规定信息主体享有查阅权、复制权、更正权、删除权①参见《中华人民共和国民法典》第1037条。,信息处理者则负有相应义务。
三是个人信息保护适用范围的扩大化。《民法典》第1035条第2款将收集、存储、使用、加工、传输、提供、公开个人信息等行为统一纳入“处理”行为②参见《中华人民共和国民法典》第1035条。,基本上涵盖了个人信息商品化的全部流程和环节。另外,此前我国的《电子商务法》《消费者权益保护法》及《网络安全法》等单行法律法规只是将个人信息保护纳入其他权益的保护之中,将个人信息定义为其他权益的下位概念,并未设立专门性的个人信息保护条款,《民法典》在第四编第六章创设独立存在的个人信息条款,标志着个人信息保护覆盖范围的基本完善。
四是填补我国个人信息私法保护的空白。《民法典》颁布前,我国个人信息保护的规范主要体现在以刑法和行政法为首的公法体系中③20世纪以来我国相继制定的若干经济法、行政法规范的部分条款即体现了个人信息保密之规定。《民法典》颁布前,我国系统性保护个人信息的法律规范主要有2013年《消费者权益保护法》、2016年《网络安全法》(均属经济法部门)以及2015年《刑法修正案(九)》。,但私法(尤其是民法)领域还是一片空白。由于个人信息私权益的缺位,受害者所受损失无法得到量化性的标准,且其通常无法得到经济上及精神上的救济和补偿。在新技术兴起之前抑或其出现的早期侵犯个人信息之行为主要损害的是人格利益,刑法及行政法足以有效地制裁违法犯罪和弥补损失。但是,自新技术进入跨越式发展时期后,由于个人信息商品化的加强,个人信息侵犯行为能同时造成人格利益及财产利益的损失,公法已无法有效弥补受害者的财产损失,而财产利益是私法,尤其是民法的主要保护对象,故《民法典》的颁布有效地填补了我国个人信息私法保护的空白。
2.《个人信息保护法》的贡献与成就
《个人信息保护法》是我国第一部个人信息保护的专门性法律规范,它的适时出台结束了长期以来我国缺乏专门性、统一性、综合性个人信息法律制度的历史,也改变了过去我国个人信息分散立法、各自为政的混乱法制体系,对于我国经济社会发展和个人信息法制建设具有划时代的重要意义。
总体而言,其一,彰显人本理念。《个人信息保护法》将“合法性理由”作为处理个人信息的基本原则,并明确规定处理个人信息必须遵守“知情同意”规则及目的特定、最小化、可问责与保障安全等配套制度,而且针对身份特征等个人敏感信息及十四周岁以下未成年人个人信息的处理设定了严苛的法定条件,凸显了以人为核心的立法宗旨,彰显了鲜明的人本价值理念。其二,建立了符合我国数字经济大国身份的法律制度。进入21世纪以来,数字化浪潮在我国大范围铺开,我国已正式跻身世界数字大国和网络大国行列,而数字经济大国的身份固然亟须一套为其量身定制的社会治理体系和社会治理规范,《个人信息保护法》完美契合了我国现阶段国情,标志着我国数字经济配套性法治建设走向成熟。
具体而言,其一,进一步完善个人信息处理原则。《个人信息保护法》第5、6、7、8条规定,信息处理者处理个人信息应当具有明确、合理的目的,采取正当、合法的方式,明示处理目的、范围及方式,同时公开个人信息处理具体规则,并且应保证个人信息的质量,避免由于个人信息的不准确、不完整对信息主体权益造成不利影响。此外,信息处理者处理个人信息应遵循“必要性原则”,信息处理活动应局限于实现信息处理目的所必要的最小范围,同时从诸多信息处理方式中选取对信息主体权益影响最小之方式①参见《中华人民共和国个人信息保护法》第5、6、7、8条。。上述个人信息处理原则从宏观层面实现了信息主体个人信息利益的全面覆盖和维护。其二,充实以“知情同意”为核心的系列规则。《个人信息保护法》第13、14、15、17条确立了“知情同意”规则②参见《中华人民共和国个人信息保护法》第13、14、15、17条。。根据这一规则,个人信息处理活动应在信息主体充分知情的前提下取得其同意。同时,针对“受胁迫的同意”进行了规制,即信息处理者不得以信息主体不同意为由拒绝提供产品或者服务。除此之外,信息主体有权撤回同意,若信息主体意欲撤回同意的意思表示,信息处理者必须为其提供方便快捷、可操作性强的撤回同意的方式。另外,在重要事项发生变更(情势变更)的情形下,信息处理者应重新取得信息主体同意方可继续进行信息处理活动。“知情同意”规则是个人信息保护立法中的核心制度,标志着信息主体在个人信息流转利益链条的全过程中对其信息原产品的流转状态享有充分的知情权和决定权,保证了信息主体对其信息财产实质上的掌握和控制。其三,明确相关国家部门在个人信息保护工作中的职责。《个人信息保护法》第60、62条规定,由国家网信部门统筹协调推进个人信息保护有关工作,国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。国家网信部门具体职责包括:制定个人信息保护的具体规则和标准;针对人工智能及人脸识别等新技术、新应用制定专门性的个人信息保护规则和标准等③参见《中华人民共和国个人信息保护法》第60、62条。。相关国家部门在个人信息保护领域职责分工的明确意味着信息主体的个人信息利益将得到更为切实可靠的国家公权力支持。其四,强化超大型互联网平台的法律义务。当前正在如火如荼发展的数字经济带动了互联网产业的繁荣,超大型互联网平台已成为普罗大众生活的“必需品”,公民在该平台可享受高效便捷的日常生活服务,但这也成为了公民个人信息利益被侵犯的重灾区,同时也是个人信息利益保护的薄弱环节和边缘地带。有鉴于此,《个人信息保护法》第58条专门规定超大平台的法律义务④参见《中华人民共和国个人信息保护法》第58条。。根据该法条,超大型互联网平台须承担如下法律义务:成立主要由外部成员组成的独立机构监督个人信息处理活动;对于严重违反法律和行政法规处理个人信息的平台内之服务提供者或者服务产品,勒令其停止提供服务;定期发布个人信息保护社会责任报告,加强社会监督等。上述规定形成了以外部监督为主、内外监督结合的超大平台个人信息处理活动监督体系。超大型互联网平台个人信息保护义务的加强意味着信息主体的个人信息利益在超大平台领域的彰显和优化,该领域突出问题的解决有利于推动开拓其他热点、难点领域个人信息立法、司法保护探索的新路径。其五,设置严格的法律责任。根据《个人信息保护法》第66条,企业实施侵害个人信息权益的违法行为,情节严重的,由履行个人信息保护职责的部门对其处以5000万元以下或者上一年度营业额的5%以下罚款⑤参见《中华人民共和国个人信息保护法》第66条。。欧盟《通用数据保护条例》(GDPR)对个人信息严重违法行为的罚款上限是2000万欧元,或最高为上一年度全球全年营业额的4%,《个人信息保护法》规定的罚款力度已超过了向来在个人信息保护领域以严苛著称的GDPR。严格的法律责任无疑是实现个人信息利益保障最大化的有效措施。
个人信息财产权是在信息技术高速发展,个人信息商品化趋势日益明显,个人信息商业和经济价值不断涌现的今天诞生的一种全新的权利类型,它与传统的个人信息人格权一起构成了个人信息权。
个人信息财产权指信息主体抑或经该主体授权的其他自然人、法人或者非法人组织就该个人信息在使用过程中产生的商业性、经济性价值的支配权。从个人信息财产权被信息主体或者其他主体行使的方式来看,它类似于传统民法上的所有权;从个人信息财产权的存在方式来看,它是一种无形权利,类似于传统民法上的知识产权。
1.个人信息财产权属于绝对权
个人信息财产权的义务人是除信息主体以外不确定的任何主体,信息主体可以要求除自己以外的任何主体不得侵犯其个人信息的经济利益,也可以向除自己以外的任何主体主张其个人信息商业化利用过程中所产生的商业和经济效益,义务人则需要履行不得侵犯信息主体个人信息经济利益的义务,这是一种消极的不作为义务,从始至终义务人都不需要履行任何积极作为的义务,信息主体个人信息财产权的行使无需义务人的积极配合,因而这是一种对世权。
2.个人信息财产权的客体是无形财产
传统民法财产权体系主要包括债权及物权等权利,它们的客体都是有形的。然而知识产权作为最早出现的无形财产类型,它的诞生标志着民法对于无形财产保护的开端。随着信息网络技术的普及和发展,个人信息的经济利益愈发显明,倘若现代民法的财产权体系仍旧仅仅包含债权和物权,个人信息财产权这种新型财产权利就将受到严重忽视,于是个人信息财产权也随同知识产权一道进入了民法无体财产权的保护视域范围之内[13]。
3.个人信息财产权的价值可被衡量
个人信息的价值可分成两部分,个人信息在进入市场流通环节时其自身的价值构成了第一部分,在个人信息的收集与加工环节中,信息处理者付出的劳动构成了第二部分[14]。笔者认为,个人信息财产权的价值存在两种不同的衡量标准,分别适用于个人信息交易环节以及个人信息侵权诉讼。由于信息主体是个人信息产生的来源,故在个人信息的合法交易中,信息主体享有个人信息的定价权,如信息主体许可他人使用其肖像信息时,可参照现有的肖像权许可使用制度,由信息主体对肖像信息进行定价。此外,在个人信息侵权诉讼中,无论是个人信息的贩卖价格还是个人信息侵权人的获利数额均不能成为个人信息财产权价值大小的唯一衡量标准,此时个人信息财产权的价值(同时也是被侵害的法益价值)应当由法官结合侵权行为性质、个人信息交易的具体情节、个人信息的性质、侵权行为的后果等因素综合认定,并以此作为侵权人的赔偿数额。
4.社会公益在个人信息财产权的保护中应得到更多兼顾
相较于传统的有形财产,个人信息体现了更加强烈的社会公共利益需求,现代社会的运转极度依赖个人信息的交流,如现代商业与政府维持正常运转的基础动力就是个人信息[15]。所以对于传统有形财产的相关权利可以采取较为严格的民法保护手段,但对于个人信息财产权则应采取较为宽松的民法保护手段,在保护其不受侵犯的同时应更多考虑和兼顾社会公共利益,允许基于社会公益目的的个人信息合理利用行为,以此保障现代商业与政府的正常运转,因此个人信息财产权应当是一种权利主体仅享有弱支配程度的民事权利。
5.个人信息财产权可被转让
不同于个人信息人格权极为强烈的人身依附性和不可转让性,个人信息财产权不具有唯一的人身依附性,它可以随着个人信息交易活动的完成、个人信息转让协议的生效而发生转移。个人信息财产权的原始主体是信息主体,由于个人信息可被转让,信息主体可以通过书面形式与其他自然人、法人或者非法人组织签订转让协议,将个人信息中的财产利益部分或者完全地让渡给后者,继而后者可部分或完全享有个人信息财产权。必须说明的是,在我国当前个人信息商业流转配套机制尚不完善的现实环境下,个人信息财产权的转让大多仍停留在理论研究层面,此类活动的实际发生概率目前看来仍属偏低。
个人信息财产权的内容即个人信息财产权的权能,笔者认为,个人信息财产权主要存在以下三种权能。
1.持有权
这是支撑个人信息财产权的基础和核心。持有权是指权利主体可以依据法律规定合法地持有个人信息,同时也意味着其他自然人、法人和非法人组织未经权利主体允许,不得非法占有和控制其个人信息。持有权的权利主体并不是一成不变的,它可以发生转移,例如原始权利主体可以通过签订协议的方式让渡个人信息,受让渡者可以取得该个人信息的持有权。
2.许可权
许可权是介于持有权和转让权之间的一种过渡性权利。许可权指在不改变信息主体的个人信息所有权者地位的大前提下,信息主体通过口头或者书面形式与他人作出约定,授权他人在一定的时期、以一定的方式、在一定的地域范围内商业性地使用其个人信息的权利,受让者仅仅取得个人信息的使用权,信息主体仍然享有该个人信息的所有权。
3.转让权
转让权与许可权的本质区别就在于个人信息所有权的主体发生了变化。转让权指信息主体享有的将其个人信息商业化利用的权利通过书面形式转让给其他自然人、法人或者非法人组织的权利,经转让,信息主体不再享有该个人信息的所有权,受让者成为新的权利主体。值得注意的是,由于转让行为较之许可行为对出让者和受让者双方的权利义务关系影响较大,所以应当通过书面形式签订转让合同,在合同中明确规定转让期限、地域范围、转让内容等事项。
为了避免个人信息财产权的相关立法规定沦为空谈,就必须建立一系列的配套机制来保障其有效实施。笔者认为,应当从“有形的手”和“无形的手”两大方面着手,探索建立个人信息财产权的保障机制。
1.探索性地建立个人信息交易市场
个人信息侵权问题频繁产生的症结之一就是个人信息交易秩序的混乱,因此国家应当考虑建立一个特定场所用以规范个人信息的交易和流通活动,创建一个安全稳定的个人信息交易秩序,促进个人信息公平合法交易。最符合这种条件的特定场所当属个人信息交易市场,它类似于普通货物交易市场,其存在形式可以是实体市场抑或虚拟市场,在该市场流通的货物同样接受市场规律的节制,但是该市场只存在唯一的流通货物——个人信息,这也是个人信息市场与普通货物市场的唯一区别。当前个人信息交易活动主要存在的现实问题是信息隐私价格歧视[16]、信息不对称[17]、信息交易过程不公平、买方地位弱势等,个人信息交易市场的建立能够有效地解决上述问题,扭转卖家过于强势的垄断性市场地位,同时赋予买家更多的法律手段维护自身的合法权益。除此之外,个人信息的价格由市场进行调节,买方对信息需求之强弱决定着信息的价值,这样就能行之有效地消除卖方滥用市场支配地位肆意把持、操纵个人信息价格的不公平交易局面,促进个人信息交易平台朝着公平、公正、公开、透明的方向发展,这便是“无形的手”在个人信息交易流转过程中的重要作用。当前世界各国个人信息交易市场普遍处于探索阶段,有些国家尚未建立,有些国家虽然建立但尚不成熟,因此个人信息交易市场的发展规划仍然任重而道远。
2.政府适时进行宏观调控
个人信息市场同普通货物市场一样,也存在着市场固有的缺陷,宏观调控这双“有形的手”就是为了弥补市场失灵而存在的。笔者认为,政府对个人信息市场的宏观调控应当在两大方面加以落实:其一,建立并完善个人信息市场准入登记制度,提高准入门槛。政府应当设立专门性的管理登记机构对个人信息出售者、个人信息购买者以及中间人实行严格的审查和登记,在个人信息交易活动发生之前稳定市场秩序,此为“事前审查”。其二,政府应当强化对个人信息交易市场运作过程的监督,对信息交易活动加强监管,对信息交易活动的后续影响进行评估,同时加大对个人信息财产权侵权行为的处罚力度,此乃“事中事后监督”。
笔者认为,虽然刑事处罚和行政处罚因其法律后果的严重性能够有效地震慑个人信息侵权者,但是这两种处罚都是基于国家层面的制裁,信息主体所遭受的财产损失并没有得到充分的补偿,甚至在一些情况下,侵权者通过大量贩卖个人信息攫取了巨额的商业利润,然而其所受到的刑事和行政处罚相比于该巨额利润显得微不足道,因此,个人信息立法的重点应当在于民法,以民法为主,辅之以刑法和行政法,三位一体,相辅相成,这样既能使侵权者受到国家公权力的严厉制裁,又能充分弥补信息主体所受损失。因此有必要在民事法律层面围绕个人信息侵权法律责任展开探究。
1.个人信息财产权侵权的归责原则
笔者认为,个人信息财产权侵权应当适用过错推定责任。由于个人信息具有可识别性,侵权者在收集和处理个人信息的过程中理应知道信息主体的真实身份情况,所以可以推定侵权者在侵犯个人信息时主观上为故意,除非其能够举证证明自己主观上无过错,推翻过错推定。
个人信息侵权案件中,受害者通常是个人,侵权者则通常为网络服务提供商或者公权力机构,受害者相较于侵权者往往处于弱势地位,其难以举证证明侵权者存在主观过错,倘若个人信息财产权侵权采用一般侵权行为所适用的过错责任原则,对受害者的诉讼利益将极为不利,信息主体所遭受的财产损失便难以得到补偿。在当今信息社会,个人信息就是价值和财富,个人信息的健康流转不仅对于个人产生巨大利益,其对于国家整体经济的发展也具有越来越重要的作用,个人信息产业日益成为国民经济的重要组成部分,倘若个人信息财产权侵权适用无过错责任原则,无论侵权者主观上是故意还是过失,只要其行为客观上构成对信息主体个人信息财产权的侵犯就要承担民事责任,那么就将阻碍个人信息的良性、健康流转,限制国民经济的健康发展,不利于国家整体经济形势的稳定,失之偏颇,从国家利益和公共政策的角度来看,这种矫枉过正的做法是不可取的。
综合考虑信息主体权益保护和国家经济发展大局,笔者认为,过错推定责任当属折中之策。
2.个人信息财产权的主要侵权行为类型
(1)未经信息主体同意的二次开发行为
商业机构或者公权力机构初次收集到的个人信息被称为“原始信息”,可以推定信息主体在将其个人信息交予信息收集者时双方达成了一种默契,即信息收集者只能将收集到的原始信息在双方协议的范围内加以合法利用,而不能对原始信息进行再次深度开发,如果信息收集者对原始信息进行分析整理或者数据挖掘,则可能进一步得到更加深层次的数据,这可以称为“二次信息”,个人信息收集者将二次信息用于商业目的或者其他不法目的,则违背了信息主体的意愿,侵犯了信息主体的持有权。
(2)未经信息主体许可的商业化利用行为
信息主体有权许可他人在一定的时间和范围内商业化地利用其个人信息,未经信息主体许可擅自商业化利用其个人信息的行为(通常未向信息主体支付报酬)侵犯了信息主体的许可权。
(3)被许可人未经信息主体同意擅自向第三人转让个人信息
信息主体将个人信息许可给他人使用,个人信息的所有权仍然属于信息主体,其依然保留着对个人信息完整控制的权利,其仅同意被许可人使用该信息,但并未同意第三人使用该信息,更未同意第三人取得该信息的所有权,因而被许可人在未经信息主体同意的情况下将个人信息转让给第三人的行为侵犯了信息主体的许可权和转让权。
3.个人信息财产权侵权责任的承担方式
笔者认为,与其他民事侵权行为的法律责任同理,个人信息财产权侵权的法律责任也应当包括赔礼道歉、停止侵害、消除影响、恢复名誉等,但是最重要的责任承担方式是赔偿损失。笔者认为,个人信息财产权侵权损害赔偿可由两方面组成。其一,对于一般性的侵权行为,采用补偿性损害赔偿原则,侵权者只需补偿信息主体所受损失部分即可,即损害填补。具体说来,确定损害赔偿数额的标准以侵权行为给信息主体造成的实际经济损失为准,信息主体的实际经济损失包括信息主体正常行使个人信息财产权能够得到的合理预期财产性收入以及信息主体为了制止侵权者实施侵权行为或者为了调查取证而花费的开支这两大部分。当实际损失无法确定时,法官可以充分发挥自由裁量权,结合自由心证,综合考量侵权行为的性质、个人信息交易的具体情况、个人信息的属性、侵权行为的后果等情节酌情确定赔偿数额。其二,对于情节恶劣的侵权行为,应参考消《费者权益保护法》的惩罚性赔偿制度,确立惩罚性赔偿的原则,以信息主体所受实际损失乘以若干倍数确定惩罚性赔偿数额。
仅仅采用人格权方式保护个人信息是不完善的,而且也与目前的社会现状不符,应正视个人信息在信息时代的商业化现实,创新其保护方式[18]。个人信息的双重利益属性应被我国立法所承认,我国立法应确认个人信息财产利益,采用人格权与财产权结合的方式保护个人信息,以此满足社会发展的需要。采用财产权模式保护个人信息具有显著的优越性。
首先,如前文所述,随着我国信息技术产业的高速发展,各种电子信息产业巨头应运而生,这些行业巨擘以及国家公权力机关牢牢掌握着收集和处理个人信息的技术与财力,它们在个人信息收集活动或个人信息买卖交易中处于明显的优势地位,信息主体在此种条件下已经难以实际控制其个人信息,从而成为了弱势群体,这就亟需法律尽快确立个人信息财产权制度,以此保护信息主体的合法权益和协调其与前两者之间的利益关系。
其次,个人信息产业诞生之初,网上商业机构收集个人信息的目的仅是分析市场需求状况,进而确定营销策略,此乃利用个人信息间接获取商业利益。然而时至今日,越来越多的网上商家通过将其收集的个人信息作为商品进行直接交易来获取商业利益,传统“间接模式”已经演变为了“直接模式”,个人信息的商业化利用程度已越来越高,传统片面式的个人信息人格权保护模式已经越发不能够对个人信息蕴藏的巨大经济利益予以调整,个人信息财产权侵权行为一旦发生,则信息主体将会由于财产法益保护的缺位而不能得到及时有效的救济,这对信息主体极为不公。同时,即使信息主体通过个人信息人格权的救济模式获得了一定程度的补偿,如精神损害赔偿,但是该补偿额度与侵权者通过侵权行为而获得的商业利益相比相差甚远、显失比例,侵权者侵权成本低,对于信息主体而言仍显不公。
1.有利于促进电子商务的发展
电子商务领域个人信息侵权现象的频繁发生将会打击消费者的消费热情,消费者出于对其个人信息被电子商家非法侵犯的顾虑而放弃网上交易方式,仍旧选择传统的交易形式,这将会制约电子商务的发展,从长远来看,国民经济的产业结构平衡将受到严重影响。个人信息财产权的确立将有助于重振消费者网上消费信心,为电子商务发展保驾护航。
2.有利于促进个人信息市场的发展
当前个人信息市场发展尚不完善,商家独占个人信息商业化利用过程中的经济价值,信息主体出于对个人信息安全的隐忧较少参与信息市场交易活动,个人信息交易市场成为商家的“独角戏”,这就导致信息市场商品供给量严重不足,对信息市场的完善极为不利。个人信息财产权的确立将为信息安全提供优良制度环境,提振信息主体参与信息市场交易的信心,有助于不断整合、挖掘以及最大程度地开发利用个人信息,实现信息资源增值,促进信息市场的蓬勃发展,激发信息市场活力。
传统民法理论仅仅将个人信息视为人格尊严和隐私的载体之一,因而仅以人格权模式对其进行事后保护。当今时代条件下个人信息的商品属性愈发明显,流通价值日益增大,俨然已成为隐私和无形商品的有机结合体,对个人信息流转交易的各个环节进行事前规范的呼声越来越高。人格权保护模式是一种事后救济制度,具有消极性,它只能在侵权行为发生之后对侵权者施以惩戒,然而它无法规范个人信息侵权行为发生之前的信息收集、利用、处理、流转活动,无法达到事前规范的效果。个人信息财产权制度的确立就能够实现个人信息交易过程的全覆盖,个人信息收集、利用、转让的各个环节都在法律调整范围之内,以积极的事前规范方式保证信息市场交易活动的有序进行。故应当改变传统的个人信息人格权单一保护模式,代之以人格权、财产权结合的双重立体保护模式,二者互为补充。
经济基础决定上层建筑,在个人信息高度商品化的今天,个人信息财产权立法是时代的呼声和要求,其紧迫性与日俱增。探索建立一条个人信息财产权法律保护的康庄大道,方能统筹个人信息市场各方主体的利益,实现互利共赢,促进个人信息市场健康发展,为国民经济结构的急剧转型升级扫清障碍。