周汉华
(中国社会科学院法学研究所研究员)
目 次
一、民事立法的矛盾与苦恼
二、个人信息保护是一项独立的法律制度
三、立法中须要明晰的几个问题
摘要:个人信息保护的本质到底是权力还是权益,民事立法中形成了好多争辩。争议的症结在于将人格权(隐私权)与个人信息保护这两项根本不同的制度强行并列,并企图以传统刑事权力话语体系来划分个人信息保护,最终难免出现各类矛盾。个人信息保护是信息时代的一项全新挑战,个人信息控制权是须要通过个人信息保护法确立的一项新型私法权力。
关键词:个人信息保护;人格权;隐私权;新型权力 ;个人信息控制权
随着信息化发展与个人信息价值的展现,个人信息保护近些年来成为不同法律部门与理论研究的热点,也形成好多争议,包括个人信息保护的本质到底是权力还是权益,个人信息权到底是人格权还是财产权,民法典人格权编与个人信息保护法的关系,民法保护、行政法保护与民法保护的关系等。一场场争议的背后,都关涉个人信息保护的法律定位,既与立法科学性息息相关,也关系到未来的法律适用。本文从个人信息保护的权力争议切入,探讨个人信息保护的独立法律定位,尝试回答立法中须要明晰的几个相关重大问题。
一、民事立法的矛盾与苦恼
尽管刑法学界仍然有学者主张刑事立法宜加大对个人信息的保护,但2016年6月公布的《中华人民共和国刑法总则(草案)》初次审议稿并没有个人信息保护的内容,采用的是传统刑事权力界定。2016年8月出现的“徐玉玉案”,促使2016年11月公布的二次审议稿降低了个人信息保护的条款。这既彰显了刑法的人文关怀,也打上了匆忙上阵的烙印,在包括个人信息保护的定性等重大问题上难以给出明晰的答案。
最终通过的《中华人民共和国刑法总则》(以下简称《民法总则》)第111条规定:“自然人的个人信息受法律保护。任何组织和个人须要获取别人个人信息的,应当依法取得并确保信息安全,不得非法搜集、使用、加工、传输别人个人信息,不得非法买卖、提供或则公开别人个人信息。”在整个条文中,对个人信息保护的规定并无“权”字。相反,《民法总则》第110条规定,自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权力;第112条规定,自然人因婚姻、家庭关系等形成的人身权力受法律保护。在人格权与身份权两个条文中间加入一个个人信息受法律保护的条文,使个人信息保护是否属于权力以及个人信息保护是否属于具体人格权等问题,都不甚明晰。从权力法定原则出发,从文本解释看,个人信息保护其实不能说是一项权力,只能划入《民法总则》第3条所规定的“其他合法权益”;但是,从第111条被置于《民法总则》第5章“民事权力”的整体结构看,它似乎又可以被视为一项权力,并且是具体人格权,由此引起对文本的多种不同评析。
个人信息保护的属性问题在全国人大法工委刑法室刑法典室内稿各分编草案征询意见稿中始终不明晰,甚至更模糊。在该稿中,人格权编第6章名为“隐私权和个人信息权”,但第45条却基本照录了《民法总则》的叙述(“自然人的个人信息受法律保护。任何组织和个人不得侵犯别人的个人信息”)。这样一来,究竟是个人信息还是个人信息权,不但室内稿与《民法总则》规定不一致,室内稿本身前后也不一致。如此前后反复,难以定性,直接冲击了将个人信息列入刑法保护的基础。
与权力相关的另一个问题是个人信息权到底是不是人格权。对此,民法学界大多数学者均觉得个人信息权属于人格权,分歧在于到底是属于通常人格权还是具体人格权。《民法总则》第109条规定了通常人格权,第110条集中规定了具体人格权,如果个人信息属于人格权,理应作为其中之一加以规定。然而,个人信息保护置于《民法总则》第111条,显然又不属于人格权两种情形之一,由此再度引起解释上的困难。
个人信息保护的属性问题在2019年12月公布的《中华人民共和国民法典(草案)》(以下简称《民法典(草案)》)中一直难以明晰,存在多重无法协调的内在矛盾。
首先,《民法典(草案)》人格权编共6章,第3章为姓名权和名称权,第4章为肖像权,第6章为隐私权和个人信息保护。这里最大的问题在于,姓名、肖像都是最为典型的个人信息,把它们与个人信息这个上位概念并列,逻辑上存在种属关系混乱。例如,《民法典(草案)》第999条规定,“实施新闻报道、舆论监督等行为的,可以合理使用刑事主体的姓名、名称、肖像、个人信息等”,就是将种概念与属概念并列,不符合方式逻辑的基本要求,合理的汉语叙述应当是“姓名、名称、肖像等个人信息”。
其次,《民法典(草案)》一方面划分个人信息只是权益,不是权力,但是,另一方面,又突出指出姓名权、肖像权的权力性质。姓名只是一个符号,一般不能单独辨识个人,肖像则是才能单独辨识个人的信息。如果这两项个人信息是权力,那么为什么其他更重要、更能辨识特定个人的个人信息(如生物特点信息等)不是权力?《民法典(草案)》中这样规定,在逻辑上很难自洽。
再次,《民法典(草案)》一方面将个人信息定位为权益而非权力,另一方面,又确立了个人对自己信息的同意权(第1035条),知情权、更正权与删掉权等(第1036条),横贯个人信息处理的事前、事中与事后全部生命周期,等于是确立了个人对自己信息的完全控制权。如果个人对自己的信息不享有权力,何来那些具体权项?在《民法典(草案)》中,个人对自己信息的控制能力远远小于隐私权仅仅限于被侵害后的事后救济,将隐私权划分为权力而将个人信息划分为权益,法理依据其实不足。
最后,《民法典(草案)》一方面坚持刑事立法的基本范式,如坚持义务主体为“任何组织或则个人”(第111条),另一方面,《民法典(草案)》又大量吸收、借鉴了尤其是《中华人民共和国网络安全法》(以下简称《网络安全法》)等专门个人信息保护相关立法的规定,使得《民法典(草案)》中刑法与专门法特点互相重叠,这除了给未来的法律适用导致困难,也会使一些制度出现不周延、错配等现象。例如,《民法典(草案)》三次审议稿最终采纳了各国个人信息保护法律普遍采用的“处理”概念,《民法典(草案)》第1035条将《网络安全法》所规定的“收集、使用”改成“收集、处理”,并规定 “个人信息的处理包括个人信息的使用、加工、传输、提供、公开等”,将“收集”行为明晰排除在处理之外。如此规定存在几个显著的问题:(1)《民法典(草案)》虽然采用“控制者”概念,体现了个人信息保护法的基本规律,但好多规定的义务主体又是“任何组织或则个人”或者根本不明晰,控制者的行为规范也未得到明晰的划分,这必然引起怎样确定义务主体与行为规范出现大量争议。(2)《民法典(草案)》将“收集”单独作为一个行为,与“处理”并列。然而,国际上个人信息保护立法均是以处理为核心概念,收集既是处理的开端,更是处理的核心内容,收集与处理是不可分割的同一个过程。
收集就是处理,收集的过程同时也是处理的过程。很难构想实践中有搜集与处理分离,只搜集不处理,或者只处理不搜集的活动。《网络安全法》第41条规定的“收集、使用”是一个行为的不同阶段,均属于处理活动;相反,借鉴《网络安全法》规定的《民法典(草案)》却将搜集与处理作为两个不同的行为加以规定,在逻辑上存在漏洞。例如,知情同意规则主要适用于搜集活动,对于不涉及搜集活动的存量信息的处理(如使用、加工等),以及搜集后在原搜集目的范围内的处理活动,往往并不需要反复的知情和同意。将搜集与处理并列,会使大量的处理活动均须要根据搜集环节的要求,履行告知同意程序,从而降低合规成本。因此,《民法典(草案)》对搜集与处理的二元设计,至少是对整个个人信息保护制度的一种无效设计。(3)国际上个人信息保护法律的通行核心概念是“信息控制者”,另一个是受控制者委托进行处理活动的“处理者”,两者之间的委托代理法律关系十分明晰,责任义务边界也非常清晰。《民法典(草案)》第1038条确立了信息收集者与控制者两个独立、并列的概念,但对其定义以及权力义务关系均缺少任何划分,可以说与国际立法惯例格格不入,在实践中必然引起大量适用困局。(4)《民法典(草案)》将刑法制度与个人信息保护法相关制度熔于一炉的做法,既使人格权编第6章相关规定不像通常的人格权法,很多地方具有专门立法的色调,也由于规定过分简短而不可能完全像一部个人信息保护法,必然引起不同法律未来适用的冲突,从而形成大量的不确定性。
二、个人信息保护是一项独立的法律制度
民事立法出现种种矛盾与苦恼,不但关涉立法,也会对未来的法律适用形成重大影响,必须妥善解决。之所以会出现各类矛盾和苦恼,是因为人格权(隐私权)保护与个人信息保护是根本不同的两项制度。人格权是一项传统的刑事权力,个人信息权则是完全独立的一项新型私法权力,是随着计算机大规模采用才出现的新事物。以传统刑事权力话语体系划分个人信息权力,将个人信息保护列入民法人格权范畴,与隐私权并列在一节中,必然会出现逻辑矛盾与实践冲突。
20世纪60年代末70年代初,由于计算机和信息系统的采用,欧洲与澳洲最早关注到个人信息使用与滥用问题,认识到须要确保个别记录的保密性和安全性,限制对个别记录的访问或被用于初始用途之外的用途,以保护个人信息不被滥用。在此基础上,各国逐渐产生“公平信息实践”,并颁布了针对个人信息手动处理的第一批法律,用以落实公正信息实践原则。1970年,德国黑森州制订全世界首部《数据保护法》。1973年,瑞典制订首部全国性《数据保护法》。美国于1970年制订《公平信用报告法》《银行保密法》,1974年制订适用于联邦政府机构的《隐私权法》。由于不同国家法律文化的差异,个人数据保护制度形成之初,往往与传统的隐私保护制度互相交织,两个概念也互相混用,容易形成不同的认识。
1980年,由发达国家组成的经合组织通过《隐私保护和个人数据跨境流动手册》,确定了8项原则:(1)收集限制原则。个人数据的搜集应当遭到限制,任何这种数据的获得都应当通过合法和公平的方式,在适当的情况下,要经过数据主体的默示或同意。(2)数据质量原则。个人数据应当与它们即将被使用的目的和该目的所必要的程度相关,个人数据应当精确、完整和被保持为最新状态。(3)列明目的原则。收集个人数据的目的应当在数据搜集之前列明,之后的使用应限于实现这种目的或则这些与之并非不相容的目的,这些情况应该在其目的变更时列明。(4)使用限制原则。除非经过数据主体的同意或则经过法律授权,不应当在列明的目的之外披露或公开使用个人数据。(5)安全保护原则。个人数据应当遭到合理的安全保护,以免发生例如遗失或未经授权的获取、破坏、使用、修改或披露等问题。(6)公开原则。应该制订关于个人数据发展和实践的通常公开新政,确立便利的举措,以确定个人数据的存在和性质、它们使用的主要目的,以及数据控制者的身分和一般住所。(7)个人参与原则。个人应该有权力从数据控制者哪里获得或则确认数据控制者是否拥有有关他的数据;如果其要求被拒绝,他有权得知理由并可以提出挑战;如果挑战成功,他可以要求删掉、纠正、补充完整或更改那些数据。(8)责任原则。数据控制者有责任遵循赋于上述原则以效力的举措。该隐私手册于2013年经过更改,仍然维持同时使用隐私与个人数据两个概念的习惯做法。
1981年,欧洲理事会制订《有关个人数据自动化处理的个人保护协定》,推动了发达国家的立法进程。1990年12月14日,联合国大会以45/95号联大决议的方式通过《计算机处理个人数据系统规制手册》,建议成员国在立法中采纳手册提出的10项隐私保护原则。在这两个国际法律文件中,隐私与个人数据保护两个概念仍然同时并用。
欧盟仍然是个人数据保护的领先者。欧盟1995年制订《保护个人有关个人数据处理及该种数据自由流动的指令》时,仍然同时使用数据与隐私保护两个概念,两者的关系尚不非常明晰。但是,欧盟2000年制订《欧盟基本权利宪章》时,就早已在第7条和第8条分别规定尊重私人和家庭生活(传统意义上的隐私权)以及保护个人数据,个人数据保护开始被作为一项独立的权力对待。2007年欧共体各国首脑签订《里斯本条约》,要求尽早制订欧共体个人数据保护规则,就完全采用了个人数据概念,不再提到隐私概念。经过20多年的探求,到2016年制订《保护自然人有关个人数据处理及该种数据自由流动的细则》(以下简称《一般数据保护条例》)时,通篇只有数据保护的概念,不再使用隐私保护的概念,数据保护完全成为一个独立的领域,不同于传统的隐私权保护。可见,从其最初形成开始,个人信息保护就与传统的隐私保护面临截然不同的任务。随着信息化的普及,个人信息保护早已迅速成为一项独立的法律制度,全世界已有100多个国家制订专门的个人信息保护法律,确立了独立运行的制度。个人信息保护作为一项独立的法律制度,主要彰显在如下几个方面:
1.保护客体的特殊性
隐私与个人信息保护的保护客体在我国法律中经历了一个十分显著的3阶段发展过程。我国立法中最早出现的概念既不是隐私,也不是个人信息,而是民间与历史传统中使用得更多的“阴私”概念。这方面的第一个法律规定是1956年全国人民代表大会常务委员会就最高人民法院提出的哪些案件可以不公开进行审理的问题所做出的《全国人大常委会关于不公开进行审理的案件的决定》。该《决定》规定:“人民法院审理有关国家机密的案件,有关当事人阴私的案件和未满18周岁少年人犯罪的案件,可以不公开进行。”这一规定确立了不公开审理的基本界定原则,其内容与规定形式基本为后来的诉讼法继续延用。到20世纪70年代末,1979年拟定的《中华人民共和国刑事诉讼法》第111条和《中华人民共和国人民法院组织法》第7条都继续延用“阴私”的提法。最高人民法院以前明晰划分过阴私案件的范围,由此也就间接划分了阴私的含意。根据1981年《最高人民法院关于依法公开审判的初步意见》的规定,“有关个人阴私的案件,一般是指涉及性行为和有关羞辱妇女的犯罪案件”。可以看出,这一时期法律的保护客体主要是当事人在诉讼程序上不公开审理的权力。
由于改革开放所带来的观念上的冲击与进步,从20世纪80年代尤其是90年代初之后,不论是政府文件、立法还是民间,普遍以“隐私”概念取代代“阴私”概念。1982年《中华人民共和国民事诉讼法(试行)》是第一部使用“隐私”概念的法律,1989年《人民调解委员会组织条例》是第一部使用“隐私”概念的行政法规,1996年《中华人民共和国刑事诉讼法》更改时也明晰将“阴私”改为“隐私”。这个时期,就法律保护的客体而言,已经从过去的诉讼程序权力步入刑事实体权力的领域,诸如《中华人民共和国未成年人保护法》《中华人民共和国妇女权益保障法》等法律都明晰将隐私权作为一项实体权力加以规定,最高人民法院的司法解释也确认了隐私权的刑事权力地位。然而,由于所有使用隐私概念的法律都没有给该概念下一个定义,也没有划分或则描述这些权力的范围,因此,多年来,其实体权力的边界不论在立法还是实践中实际上仍然处于某种模糊状态,一直到司法实践中逐渐明晰侵害隐私权案件的核心判定标准在于披露之后是否会导致权利人的“社会评价增加”。这在江苏省南京市江宁区人民法院审理的“施某某、张传霞、桂德聪诉徐锦尧肖像权、名誉权、隐私权纠纷案”中得到了典型的反映。人民法院认定,被告的行为“客观上不会导致施某甲社会威望和评价的增加”,因而不构成对上诉名誉权、隐私权的侵害。在上海市第二中级人民法院审理的“上海美尔雅医疗美容门诊部有限公司与张燕肖像权纠纷案”等案件中,均以社会评价的增加作为判定名誉权、隐私权侵权的主要标准。在“洪波与张大化名誉权纠纷、隐私权纠纷案”中,尽管二审人民法院、二审人民法院的推论不同,但两级人民法院的法律推理均认定“公民的名誉权是指公民依法享有的保持并维护自己社会综合评价的权力”。
自20世纪90年代末开始,尤其是步入21世纪以来,由于信息化的迅猛发展与权力观念的进一步提高,首先从信息化有关一卡通管理、征信体系建设、互联网使用与管理以及政府办公自动化等方面的地方信息化立法均有个人信息保护方面的规定。和消费者权力保护两个领域的地方立法开始,逐步出现了中性的个人信息概念,并逐渐步入到国家立法中。
个人信息保护的客体是个人信息,而个人信息的范围十分广,通常包括任何已辨识或则可辨识特定个人的信息,范围远远小于个人不愿为人所知、披露后会导致社会评价增加的私密信息(隐私)。如果仅仅根据个人信息的定义这一个维度来划分保护客体,要求所有采集或则处理个人信息的行为均必须知情同意,并满足个人信息保护法的其他要求,整个正常的社会相处几乎完全没法进行。因此,各国个人信息保护法普遍都通过另外两个条件来划分保护客体的范围。也就是说,个人信息保护法保护的客体并不是所有的个人信息,而是数据控制者以手动方法处理的个人信息。界定保护客体有两个重要条件,一是数据控制者,二是处理活动,保护的是数据控制者在数据处理活动中涉及的个人信息。不属于数据控制者的数据处理活动中的个人信息,不属于保护客体。为此,欧盟《一般数据保护条例》与好多国家的个人信息保护法均明晰将纯粹个人或则家庭生活中处理的个人信息,排除在法律保护范围之外。
国际上讲个人信息保护法只是通常的简化提法,严格的叙述虽然是“个人信息处理保护法”,必须要有“处理”才涉及保护;同时,个人信息保护法的规范对象是处理个人信息的“个人信息控制者”,而不是通常的组织或则个人。一个人在公共场所出现,其他个人完全可以自由地获取他的信息,只有例如闭路电视系统的运行者(控制者)采集他的信息才须要遵循个人信息保护法的规定。脱离个人信息保护法的制度运行背景,脱离特定主体“个人信息控制者”,脱离特定行为“个人信息处理”,对作为通常主体的“任何组织或则个人”谈个人信息依法获取或则知情同意等,均没有任何意义,也与生活常识严重背离。这样做造成的结果要么是规定散景,没有任何法律意义;要么是在特殊情景中,产生不必要的法律争议。我国刑事立法设计个人信息保护规定,很长时期脱离了制度运行的背景要求,在《民法总则》与民法典人格权编起草的过程中,类似处理与控制者等概念都很晚才出现,即使出现也并未影响整个立法构架与基本迈向。既无“控制者”概念,也无“处理”界定,以隐私权保护同样的思路设计个人信息保护条款,将全部个人信息都作为保护客体,当然没法回答例如个人信息保护是权力还是权益等重大问题。
2.义务主体的特殊性
数据控制者概念表明,个人信息保护法的义务主体具有特殊性,不是“任何组织或则个人”这样的通常主体。美国《加州消费者隐私权法》规定的义务主体(经营者)必须具备以下条件之一,否则不属于法律规定的义务主体:(1)年营业额超过2500万美金;(2)每年为商业经营目的订购、接收、出售或则共享个人信息超过5万份;(3)年营业额中超过50%的收入来自转让消费者个人信息。同样,欧盟《一般数据保护条例》对义务主体进行了多重分辨处理,以彰显义务主体的特殊性,包括:(1)为学术、艺术与抒发目的而处理个人信息的,可以克减或则排除适用细则的规定;(2)对于数据控制者、处理者的数据处理活动记录义务,一般不适用于雇员数多于250人的企业或则组织,除非另有法定情形要求;(3)数据控制者或则处理者有下列3种情形之一的,才应指定专门的数据保护官,即除法官以外的公权力机构处理数据,控制者或则处理者的核心业务要求经常性、大规模监控数据主体,控制者或则处理者的核心业务要求大规模处理细则第9条规定的特定种类个人数据或则第10条规定的民事犯罪个人数据。
人格权在性质上属于对世权,对应的义务主体是普遍的,任何组织或则个人都是义务主体,都不得侵害别人的人格权。由于隐私具有不愿为人知晓的特性,任何组织或个人都不得传播别人的隐私,都是义务主体,没有排除或则克减适用之说。相反,个人信息保护法的义务主体常常是特定的、分层的,是个人信息控制者,不是通常的义务主体,通常不可能是个人,在性质上类似于对人权。
如果根据人格权套用并泛化划分个人信息保护法的义务主体,就会出现比较可笑的结果。这是因为,只要有社会相处,就会彼此形成个人印象,这个过程是自然发生的过程,是信息主体给相处对方留下的印象。每个人在交换过程中,随时都在获取相处对象的个人信息,或者主动或则被动。因此,一般社会相处中的个人信息与其说是“获取”,不如说是“印象”的自然生成。对于印象的形成、转达、传播,一般都属于个人生活与社会自治范畴,法律不需要介入,更谈不上所谓“同意”“依法取得”“非法搜集、使用”等法律划分。一个人在脑部中产生的印象,是自己的事,不能说其产生一个对方“夸夸其谈”“猥琐”“虚伪”等负面评价,或者“英勇无畏”“真诚直率”“美丽大方”的正面评价,以及将这些评价分享给同学或则社会,就是在非法使用、加工、传输别人的个人信息。社会相处中的印象产生,并不是获取的过程,既与同意无关,也与法律无关。《民法典(草案)》第1035条移植了《网络安全法》第41的规定,要求搜集、处理个人信息的,应当遵守合法、正当、必要原则,并明晰了相应的条件。问题在于,《网络安全法》的义务主体是网路运营者(相当于个人信息保护法中的个人信息控制者),是特定义务主体,而该条的义务主体并不明晰,按照一般理解应当是总则规定的通常义务主体(任何组织或则个人)。将适用于特定义务主体的要求推广到通常义务主体,结果都会特别吊诡,与生活常识不符,导致的问题是义务主体错位以及连锁的各类错位,其适用会碰到无法克服的障碍。
民事立法仍然用传统隐私权观念来打造个人信息保护法律制度,一是直接将个人信息作为保护客体,二是将义务主体划分为“任何组织或则个人”,存在显著的保护客体泛化与义务主体泛化双重隐忧。这样一来,既使个人信息到底是权力还是权益深陷无休止的争辩之中,不可能有确定的答案,也使例如“收集者”“控制者”等概念与传统的“任何组织或则个人”概念并列,相互关系未能理顺,并形成与常识偏颇的推理结果。
3.权力性质的特殊性
人格权属于悲观权力,权项并不需要列明,“法律上并不详尽规定各类类型的人格权,而是在人格权遭到侵犯以后,由法院引述侵权法的规则对权利人提供救济”,以不受非法侵害导致损害后果为权力边界,遭受损害后通过侵权赔付加以救济。梁慧星院士明晰强调:“各国刑法对人格权保护的共同经验可以概括为‘类型确认+侵权责任’,即通过法律规定或则判例确认人格权的类型,称为非常人格权,将侵犯各类人格权的欺侮行为列入侵权法的适用范围,对谋害人追究侵权责任。”他还强调,人格权的第一个特殊性是“防御性”,即法律将侵犯人格权的欺侮行为列入侵权责任法的适用范围,以便对谋害人追究侵权责任。人格权的第二个特点是它的“先在性”。所谓人格权的先在性,是指人格权的存在先于法律规定,不因法律规定或则不规定、承认或则不承认而受影响。
相反,信息控制者以不同方法处理海量的个人信息,难以评判具体处理行为是否对信息主体导致侵犯。因此,个人信息权作为信息主体对抗信息控制者信息处理行为的新型私法权力,必须有法律依据,并由法律对具体权项进行列明。这样一来,信息主体的权力就转变为信息控制者的相应法律义务,违反法律义务就等于是对信息主体权力的侵害,由此实现信息主体控制自己信息不被非法处理的权力保护目标。违反私法义务会导致私法上的法律责任,同时造成权利人损害的,当然也要承当刑事侵权责任。但是,并不是所有违背私法义务的行为就会形成刑事损害后果,这就涉及怎么科学设计救济机制的问题,以防止制度被滥用或空转。我们看见,不仅欧共体与受欧共体影响国家的立法广泛规定了信息主体的各项具体权项,即使与欧共体模式差异十分大的日本,也彰显了消费者控制自己信息不被非法处理的相同立法思路。2012 年2 月23 日,时任美国总统的奥巴马出台《消费者隐私权法案》,对消费者的权力进行了具体规定,对于企业可搜集什么个人数据以及怎样使用这种数据,消费者都拥有控制权。美国《加州消费者隐私权法》则赋于消费者对于自己信息的5项具体控制权。
