【副标题】兼论民法与个人信息保护法的关系
【作者】王源(清华大学法学院助理研究员,法学博士)
【来源】《华东政法大学学报》2021年第2期(本期期刊目录附文末)。因篇幅较长,原文已省略。
总结:从罗马法开始,传统民法就保护了个人信息的个人利益。信息时代的个人信息保护源于对自动化个人信息处理技术的规范对人格的威胁,其规范对象是信息处理行为。不同于一般的个人信息使用关系,信息处理关系是信息能力不平等的主体之间的法律关系,受民法保护的信息处理关系的合法利益应表现为信息处理中的自主利益(或自主利益) 这种利益的保护有两个重要的前提:一是民事主体之间存在明显的信息能力不平等;二是有信息加工行为。个人权益风险低的行为是对个人信息的普通使用,如个人生活中的信息交流等,并非以调整信息处理关系为目的,仅为民法调整,《个人信息保护法》完全不适用;但对于信息处理,对于关系中的信息处理行为的规范,应当适用个人信息保护法中的民事规定,作为民事特别规定。
关键词:基本权利;第三方效力;信息处理行为;信息处理中的自主兴趣
作为个人信息主体,自然人的姓名、肖像等个人信息必须与其人格密不可分。因此,有学者认为,个人信息作为人的延伸,应受主体控制,体现个人意志。自罗马法以来,民法就保护了个人信息的个人利益(如罗马私法中的屈辱债、自然人名誉的保护)。传统民法“从法律技术上将人格划分为要素,并选择主要要素予以维护”,其保护路径十分明确:一是针对肖像、姓名等界限清晰的个人利益,通过肖像权,姓名权利等。具体人格权受到保护;其次,提取在历史沉淀中被打入规范群体的隐私利益,作为具体的人格权保护;最后,将边界不明确的其他人格利益置于该框架权利下的一般人格权中。以上是民法表达的第一层次的个人信息。本文主要关注的是第二个层面,即信息时代如何保护个人信息?
一个
保护个人信息的权利是一项基本权利
个人信息成为基本权利的客体,主要是由于信息技术应用对个人权益保护的挑战。 1960年代以后,随着计算机技术的不断发展,大量信息的收集、存储和使用成为可能,增加了人身权利受到侵犯的可能性。难以适应传统的消极被动人格权。社会发展的需要。个人信息侵权逐渐显现为三个方面的新特征。首先,侵权人主要是一个组织,自然人为侵权人的情况甚至可以忽略不计。其次,侵权手段多样化,侵权结果隐蔽性和持久性。组织采用长期、自动化、大规模的个人信息收集和处理手段,其收集和处理行为不易被发现,如“智能音箱记录家庭对话”、“大数据杀戮”等。最后,违规行为是高发生率和高风险的。比如传播他人隐私的行为,在普通的个人信息使用关系中,其传播范围较窄,且为零星的,侵权风险远低于信息处理关系中的。在信息时代,个人信息被泄露甚至被买卖,大规模、低成本传播,风险极大。
美国学者意识到普通法侵权救济已不足以应对快速的技术发展。为了平衡个人与信息控制组织之间的关系,威斯汀、米勒等学者提出了信息隐私的概念,其中包括美国隐私权下的个人信息保护,认为个人“拥有控制信息流的能力”或“个人、团体或组织决定何时、如何以及在多大程度上将他们自己的信息与他人交流相关。”盛行的观点是,1977 年的 Warren v. Roe 案肯定了信息隐私在美国是一项宪法权利,与此同时,政策制定者开始通过部门立法寻求个人信息保护的新路径,迎来了联邦制的浪潮。 1970 年代的立法。欧洲对技术发展的挑战采取了更强有力的方法,欧洲人权法院解释了《欧洲人权公约》(ECHR)第 8 条第 1 款,其中包含“个人数据的使用对个人的不可预测分析“对言论自由、隐私权和身份权以及个人自决权的可能影响”。并于 1981 年通过了第一个国际数据保护公约——欧盟委员会《关于自动处理个人数据的个人保护公约》(Convention for the Protection of Individuals Regard to Automatic Processing of Personal Data)。 2007年,《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union,以下简称“欧盟宪章”)甚至宣布数据保护是一项独立于隐私权的基本权利。在法裔美国人的背景下,减少隐私权(不包括堕胎和其他个人身体的自决权等)的信息隐私概念与欧盟的个人数据保护概念具有相同的目标。尽管欧美对隐私或个人数据保护的做法不同,但将个人信息保护为一项人权或基本权利几乎已成为共识。
个人信息保护是正宗的进口产品,是欧美社会人权制度发展的产物,是技术发展的附加物。虽然我国宪法没有像欧盟宪章那样规定数据保护权,但个人信息保护的基本理念其实可以在我国宪法中找到。 1982年修改宪法时,增加了“公民的尊严和荣誉不受侵犯,不得以任何方式侮辱、诽谤、陷害公民”的条款。 2004年,“国家尊重和保障人权”被写入宪法。我国宪法第38条、第39条、第40条、第41条、第47条、第51条和2004年宪法修正案第24条都可以作为宪法保护的间接依据。正如周汉华教授所说,“个人数据的收集、处理或利用直接关系到个人数据的人格尊严,个人数据所体现的利益是公民人格尊严的一部分,因此是一项个人权利。”专家建议草案第一条明确规定:“为了规范政府机关或者其他个人信息处理者对个人信息的处理,保护个人权利,促进个人信息有序流动,根据宪法。 ”。
有学者分析,我国应将基本权利模式中的个人信息保护作为参考。原因在于:从实践的角度来看,数字时代的个人信息保护刻不容缓,因为技术的发展正在增加对自由、尊严等价值侵犯的风险。从理论上看,只有将个人信息保护的价值确立在基本权利层面,其他部门的个人信息保护法律规范才能具有根本的法律依据和更高层次的法律支持。 同时,确立个人信息保护权的基本权利属性,明确其与其他基本权利的关系,也更有利于其他基本权利(如言论自由、知情权等)的实现。 .
第二
独立于普通个人信息使用关系的信息处理关系
根据里斯本条约 (TFEU) 规范基本权利的要求,欧洲议会颁布了《统一数据保护条例》(以下简称“GDPR”),已成为数据保护立法的国际基准。有学者指出网上保护个人信息的意义,个人信息立法和监管的重点不是个人信息,而是“个人信息处理活动”。作者是这么认为的。 《个人信息保护法》主要对个人信息的处理进行规范,其核心是人格识别分析和分析结果的应用。因此,《个人信息保护法》也可以有一个更贴切的名称——《个人信息处理行为规范法》。
(一)信息处理是个人信息保护法的核心
从个人信息保护法的发展来看,个人信息保护法制定之初,主要立法目的是解决个人信息计算机处理带来的巨大风险网上保护个人信息的意义,妥善处理技术进步与人身权利保护的关系。之间的关系。许多早期的立法文件和法律都载有“计算机处理”和“自动处理”的定义。例如,美国 1973 年的“合法信息通用原则”仅适用于自动化个人信息系统。该报告的评论构成了 1974 年隐私法的基础。欧盟委员会的“个人数据自动处理中的个人保护公约”最初仅限于自动处理,然后逐渐扩展到一般个人数据处理。有学者将1970年代形成的立法称为“第一代数据保护规范”。这一时期的立法从功能主义的角度看待数据处理问题。如果处理问题本身就是问题,那么立法将 对计算机的操作应该有针对性。可见,个人信息保护源于标准化的自动化个人信息处理技术对个人人格的威胁,而个人信息保护法律法规的核心是信息处理行为。
我国正在制定个人信息保护法。通过搜索个人信息保护的国际立法不难发现。即使到目前为止,个人信息保护法的调整仍然是信息处理。 GDPR 第 2 条明确规定,“通过自动化方式全部或部分执行的个人数据处理,以及通过自动化方式以外的方式进行的数据处理,这些方式形成或旨在形成档案系统”。同样,德国 2017 年的《2017 年联邦数据保护法》也明确了法律的范围,“私人实体通过数据处理系统处理、使用或收集个人数据,或在非本法适用于处理、使用或在自动归档系统中为此类系统收集个人数据。”
信息处理是一种“全部或部分通过自动化方式和自动化方式以外的方式执行的行为,并且构成或旨在构成归档系统的一部分”。而“构成归档系统”仅指“可以根据特定标准访问的个人数据的结构化集合”。这种处理行为,与普通的个人信息使用行为相比,是高风险的。有学者甚至指出,信息处理会导致一种无能为力和无助的状态,人们缺乏有效参与个人信息收集、使用和传播的必要权利和方法。个人和机构在信息流动过程中的权力失衡是他们在信息处理中的具体表现。
《民法通则》自2017年实施以来,个人信息民事侵权案件的数量与刑事案件相比极为有限。与个人信息保护相关的民事侵权行为存在维权成本高、因果关系证明困难、赔偿金额低等原因。当然,民法典实施时间不长,个人信息保护法还在立法过程中。但本质可能是由于个人和信息处理者控制和参与个人信息流动的权力的差异。原告与被告之间的“能力平衡”过于倾斜,侵权行为隐蔽性极强,当事人对侵权行为一无所知。以微信为例,2019年其活跃用户已达11.12亿,信息主体对腾讯的运营算法和采集方式知之甚少,更谈不上有效监管。相反,作为信息控制者的腾讯,作为处理器,在技术和数据量上具有无可比拟的优势,完全具备实时监控的能力。可见,只有涉及信息利用能力的个人信息收集和处理的不平等才是对信息时代个人信息保护法律的真正调整。自然人在纯粹私人之间或家庭活动过程中涉及个人信息的行为,不存在明显的信息容量不平等,显然只是普通的个人信息使用行为。
(二)信息能力不平等是信息处理法律关系的本质属性
为区别于普通个人信息的使用关系,笔者将个人信息保护法根据信息处理行为调整的法律关系称为“信息处理法律关系”(应需要说明的是,这里的处理是一个抽象的处理概念,包括处理的整个生命周期,以下简称“信息处理关系”)。普通个人信息使用关系与信息处理关系的最大区别在于,前者调整了信息能力相等的主体之间的关系,而后者调整了信息能力不等的主体之间的关系(有学者认为信息不对称,或者说持久的信息无能平等)主体之间的关系。
个人信息的利益取决于特定的社会关系。不同的社会关系会有不同的个人信息兴趣,甚至同一信息在不同的社会关系中的利益也会有巨大的差异。个人信息权益不是一种稳定的、静态的法律权益,而是随着社会关系动态变化的法律权益。在普通个人信息的使用关系中,平等有序的社会关系决定了个人对其个人信息没有控制权。只有当侵权人利用个人信息侵害合法权益时,才能诉诸救济。通过人格权和侵权责任制度来保护个人信息中的隐私利益和其他人格利益,即赋予主体以维持自主权的被动防御权;而在信息时代的信息处理关系中,信息处理行为本身可能导致不必要的人格侵犯。 ,无论信息处理者在主观上是否有侵犯人格的意图,其处理信息的行为都可能引起信息主体的关注,因此有必要给予信息主体额外的利益。在此基础上,个人信息保护法的本质是显而易见的——保护个人信息不是由个人确定的惩罚对象,而是分析个人信息的收集和使用,形成与个人相关的各种画像。活动,并进行必要的制衡,通过个人的画像,尽可能避免权力对个人人格形成的负面影响。
三个
信息处理关系中独立利益的民法保护
个人信息保护法是积极保护主体的权益,是对易受攻击的信息主体给予一定的倾斜,赋予主体除防御性隐私利益以外的新利益以平衡、纠正或反对这种信息能力偏差。因此,识别信息处理关系中还存在什么样的利益,以及在民法上如何补救这种利益,是本文的重点。
在信息处理关系中,由于信息能力的不平等,很多学者认为必须赋予个人个人信息自决权(或个人信息权)以保护自身利益,该权利具有以下特点支配地位及其义务主体有相应的作为和不作为。信息自决权源于德国联邦宪法法院在“普查案”中的解释,是“自决权”的一种特殊形式,自决的对象是与个人有关的信息。有学者认为,个人信息权是指自然人依法享有控制其个人身份信息并排除他人侵害的人格权。除了被动防御之外,它也是一种主动控制权。有学者甚至提出“现行的隐私权法律制度已经转变为以个人信息自主权为核心的法律关系”。然而,将个人信息的自决权确定为一项主导人格权,正是这一理论的体现。误读。
(一)个人信息自决:宪法或民法权利
个人拥有信息自主权,即决定自己的个人信息及其存储、转移和使用的权利,这可以追溯到1983年德国联邦宪法法院的“人口普查案”。对信息自决的考虑允许人们决定何时以及在何种程度上披露自己的生活状况。其目的是确保“国家为个人保留一个内在空间。在这个空间内,个人是自己的主人。因此,个人可以完全排除外部世界,独自回归内在主体,享受隐居其中的权利”。 “人口普查案”的背景是联邦政府制定人口普查法,试图在全国范围内进行人口普查,引起关注和不满。该案由联邦宪法法院提起诉讼。基于德国基本法第一条第一款和第二条第一款的一般人格权,法院提出了个人信息的自决权(informationelle Selbstbestimmung)。这是一项宪法权利,但对适用环境有具体限制:一方面,本案针对的是国家强制实施的信息收集行为,并不表示可以普遍适用于信息采集领域。私法,任意扩张没有合理的理论依据。 ,因为宪法中的基本权利和公民权利在义务人、权利的广度、权利保护的力度和对义务人的道德要求方面有着根本的不同;另一方面,本案将个人信息自决权限制在信息处理关系中,“就此而言,面对自动化信息处理技术,不再存在‘不重要’的信息。”简而言之,在“普查案”的背景下,信息自决权的设立,主要是为了防止公共机关利用信息技术无限制地获取个人信息,或者说有可能将获取的个人信息用于监控和分析个人。在“人口普查案”中,德国联邦宪法法院强调,个人并没有绝对不受限制地控制自己的数据的权利。 “个人对自己的知情权不是绝对的和无限的,他只是在社会中发展起来的独立人格。”
个人与国家的关系和个人与国家的关系混淆结果存在本质区别。在个人信息保护领域也是如此。宪法中的个人信息保护必须与民法中的个人信息保护区别开来,因为两者的行为界限是截然不同的。宪法中的个人信息保护直接以国家为方向和目标,而民法中的个人信息保护则需要考虑到其他义务人基本权利所保护的自由利益,必须通过构建一个合理的边界来确定一个合理的边界。成套防护用品和相结合的比例原则。因此,我们需要考虑从基本法第2条第1款和德国联邦宪法法院第1条第1款衍生出来的信息自决权在民法中的存在程度如何?而这种信息自决权对于民法“个人信息自决权”保护范围的确定又有何意义?为了揭示宪法对个人信息自决权在民法中的误传,有必要分析另一个德国法中的典型案例。
德国学者援引德国联邦法院2009年的判决为“个人信息自决案”,认为该案承认民法上的“个人信息自决权”,同时辩称:本案利益计量对于判断是否构成信息自决具有重要意义。侵犯人权仍然是必要的。其中,著名的断言是:被告对被告进行评价并在公共网站上披露其个人信息的行为违反了原告的个人信息自主权(德国联邦数据保护法的规定,这也是个人利益) ,但这种利益不是不受限制的,应该与被告在言论自由方面的利益相平衡。本案的判决结果没有太大问题,关于是否应保护原告权益的讨论也合情合理。笔者认为,本案原告和被告实际上是普通的个人信息使用关系。双方均为自然人,信息能力不存在不平等。 “确认的信息自决权存在巨大的背景差距。德国学术界错误地将宪法中的“人格权”与民法中的“一般人格权”混为一谈。得出的结论是,信息权自决权也是一种民事权利,说法不严谨,个人认为个人信息自决权在民法中的适用条件相当严格,信息自决权不适用信息技术不用于信息能力相近的平等主体之间信息处理的侵权案件。”,传统民法中的争议可以通过名誉诉讼或隐私诉讼来解决。换言之,具有同等信息能力的主体之间,不从事信息加工行为,不涉及权利t o 信息自决。
有学者指出,虽然宪法人格权中的人格利益对司法具有“预测性”作用,但这并不意味着宪法人格权可以直接转化为民法人格权。宪法规范是完全防止滥用国家权力风险的特殊防御机制,而不是基于对权力差距和不可避免的个人关系的担忧。有学者认为,只要双方的权利在私营部门中存在不平等,就需要直接适用基本权利保护(直接第三方效力理论)。怎么说:就基本权利而言,私人主体之间的关系与私人与国家之间的关系是完全不同的。前者不能从根本上侵犯自由,而后者是可能的。通过对“普查案”和“鉴定案”的考察,我们应该明确地得出一个结论,即宪法中的信息自决权是否可以不受限制地直接称为民法权利:宪法不能成为民法权利。直接起源,宪法中的信息自决是针对公共权力机构进行的信息处理行为,这意味着两个重要因素:一是公共权力机构的强势地位;二是信息处理行为的高危性。因此,如果民法要“借用”宪法上的个人信息自决权(间接第三方效力论或客观价值论),就必须通过必要性和适当性的检验,并且需要证明:侵权人类似于公职人员,此外,必须证明“强人”从事信息处理行为。
换言之,“信息自决权”能否成为受民法保护的民事利益,是有前提条件的。最重要的一点是它必须满足约束“强大”的要求,即具有强支配性的信息Controller/processor约束。关于私人主体是否是信息控制者/处理者的“强者”,经合组织《隐私保护和个人数据跨境流通指南》等相关法律文件认为,数据控制者是指“能够确定根据各国法律对个人数据的内容和使用”数据控制者在 GDPR 中被定义为“单独或与他人共同确定目的和处理个人数据的方式”。可见,“决心”、“决心”、“支配”是成为“坚强”的必要要素。
然而,关于私人主体是否将信息处理作为信息自决权的必要条件之一,学术界的讨论并不多。周汉华教授的立法提案草案明确指出,“处理是指政府机构或其他个人信息处理者按照一定的安排标准或检索方式,以自动或非自动的方式收集、存储和使用个人信息。 , exchange, disclosure, modification, deletion, destruction, etc.”. The commenters in the "Criticism Case" commenting on the plaintiff's actions on the Internet do not constitute information processing. The blind expansion of the scope of application of the right to self-determination of personal information actually undermines the value of protecting the weak that the Constitution wants to maintain. To judge information processing behavior, there should be a set of reasonable judgment criteria, rather than simple legal sense or intuition.
(二)The proper expression of the right to self-determination of personal information in civil law
Through the analysis of the above two cases, the author believes that the essence of the right to information self-determination has become clear. At the constitutional level, when the state (public authority) violates the basic rights of personal information, it should grant individuals the right to self-determination of information; while at the civil law level, the space for the right to self-determination of personal information is extremely narrow and only exists in the relationship of information processing. There are three main reasons why the right to information self-determination cannot be applied to the use of ordinary personal information. First, in the use relationship of ordinary personal information, the acquisition, exchange and utilization of personal information are necessary for information exchange, and strengthening information self-determination will hinder normal exchanges. In other words, in the general personal information use relationship, when the law is committed to protecting the information self-determination of individuals, the freedom of unspecified obligors who are opposed to the right of self-determination will be violated. If the legislators take the interests of all parties into consideration, they will realize that the information self-determination in the use of ordinary personal information is not necessary. Therefore, in the GDPR, the "purely individual or family implemented by a natural person" will be considered. activities" is excluded from its scope of application. The second is the protection of personal interests in the use relationship of ordinary personal information, which is to realize personal dignity, personal freedom and independence, all of which are the interests that people enjoy against their own personal interests in the community based on inherent stipulations and are not illegally infringed. It remains a defensive right. In the use of ordinary personal information, personal interests are damaged, and the relief of privacy rights, portrait rights and other personal interests is sufficient to protect personal information violations. Third, the use of ordinary personal information is usually not highly risky. Although the infringement of personal information involved in normal social interaction may also cause damage to individuals, such as damage to reputation rights through derogatory methods, in most cases, the scope of dissemination is narrow, Low risk. In the information processing relationship, due to the characteristics of Internet communication, its spread is wide and its influence is even worse.
The biggest negative consequence of establishing the right to self-determination of personal information in the use relationship of ordinary personal information is to directly apply the measures against the state within the framework of constitutional personality protection to confront unspecified private subjects, that is, unspecified third parties. It is obviously unrealistic and unreasonable that a person must accept the legalization review of the court for every behavior involving the use of the personal information of a natural person. This interference with the freedom of others goes far beyond the necessity of personal information protection. German professor Ehemann also pointed out that in this case, citizens' natural interaction with each other will be severely restricted, and the broad legal protection of individual personality will sacrifice too much freedom. The objective value of constitutional fundamental rights radiates among private subjects, but this does not mean that all values should be protected in the same scope and in the same type and method. That is, the normative construction of the basic right of personal information self-determination in civil law should take into account the unique attributes of private law exchanges. The role of the constitutionally protected value of personal information in the field of private law cannot be generalized to all private subjects, but the relationship between the use of ordinary personal information and the relationship between information processing should be distinguished.
In the information processing relationship, for the protection of the "weak" information subjects, the author believes that there should be self-determination interests. In order to balance the information capabilities of the information subject and the information controller, the information subject should be given additional independent interests. This interest is unique to the information processing relationship, not a privacy interest, but a kind of individual grant to the information subject in order to protect other interests. special interests, which I call "self-determined interests in information processing". This interest is independent, and the individual infringement of this interest does not necessarily infringe the interests of other personalities. The purpose of its existence is to enable the information subject to intervene in the information processing process to prevent the risk of infringing other interests of the information subject.
The independent interest in the information processing relationship is not an interest that is parallel to the privacy interest, but the antecedent interest of the privacy interest and other personality interests (pre-protection norm). The premise of discussing the autonomous interests in the information processing relationship is that the interests must be separated from the privacy interests it protects and other personal interests, otherwise it will lead to confusion in the protection of interests. In order to realize "self-determined interests in the information processing relationship", the personal information protection law usually also gives the information subject the opportunity to interfere in the personal information processing process. In other words, this interest is an abstraction of the interests of the information subject in the Personal Information Protection Law, and only exists in the information processing behaviors involved in the Personal Information Protection Law, the Cybersecurity Law and other laws and regulations. The expression of this interest in civil law can be protected as a type of personality interest in general personality rights, but the existence of this interest should meet the two qualifications of "strong person" and "information processing behavior" mentioned above.
四个
Applicable relationship between civil law and personal information protection law
Articles 1034 to 1039 of Chapter 6 "Privacy Rights and Personal Information Protection" in the Personality Rights Volume of the Civil Code are specific provisions for Article 111 of the General Principles of the Civil Law, which are based on "information processing" in private law. self-interest in relationships”. Among them, Article 1034 defines and generally enumerates the concept of personal information, clarifies the core characteristics of "identification" of personal information, and specifies the application relationship with the right to privacy; Article 1035 is the principle clause for handling personal information. In addition, the article also stipulates the conditions of processing, including "informed consent", "transparency and openness", "purpose limitation" and legality. Article 1036 is the defense of the perpetrator (information processor), and it lists a variety of situations for not bearing civil liability. Article 1037 clarifies the rights of natural persons (information subjects), including "viewing, copying, objection correction, deletion", etc. Article 1038 clarifies the rules of information processing from the perspective of the obligations of information processors, including no disclosure, tampering, no illegal provision without consent, security guarantee obligations, and reporting obligations. Article 1039 is a special regulation for the collection and processing of personal information by state organs and their staff (public officials). From the provisions of the Civil Code on personal information, it can be seen that legislators have formed relatively complete norms on the connotation of personal information, the interpretation of personal information, and the boundaries of collection and use of personal information.
The question is, what is the relationship between the personal information protection provisions in the Civil Code and the corresponding provisions in the upcoming Personal Information Protection Law? What is the significance of the Personality Rights Code for the construction of a normative system for personal information protection? Can civil law be used as the legislative basis or superordinate law for the personal information protection law? Should the Personal Information Protection Law being formulated be highly consistent with the Civil Code? If not, which law should take precedence? The introduction of the Personal Information Protection Law is imminent, and the resolution of these issues is imminent.
Some scholars believe that the "Personal Information Protection Law" is not a special law of the "Civil Code", but a comprehensive law with both public and private attributes that comprehensively regulates the protection of personal information. Some scholars believe that because personal information protection has the attribute of civil rights, the personal information protection law is a special law of civil law. The author believes that the interests of personal information subjects should be treated as basic rights, and the civil law is only a law to protect civil rights, and it is difficult to protect basic rights. What cannot be ignored is that civil law, as a tool for organizing society, realizes its own function of regulating social relations by setting corresponding coordination rules for conflicting interests. Professor Wang Yi divides civil law in the modern sense into equal treatment in the strong sense and equal treatment in the weak sense in specific fields. and the Labour Code). The author believes that the reason is the same in the field of personal information protection and utilization. In fact, the interest relationship between subjects with unequal information capabilities - the information processing relationship also belongs to equal treatment in the weak sense. From the perspective of teleology, the Personal Information Protection Law It is to balance the strong and weak positions between the subjects (the strength here is not only economic, but mainly information asymmetry), and it is a policy-type special civil law similar to the "Consumer Protection Law" and "Labor Law". As fair equality", the law grants privileges to vulnerable information subjects, in essence, to protect the ideal state of freedom.
The modern turn of civil law is that the principle of autonomy of will in modern civil law is replaced by the principle of the combination of autonomy of will and protective intervention of the state. 《个人信息保护法》是现代民法除《消保法》和《劳动法》之外的新的典范:具有平等地位的群体之间,为了协调不同的利益团体、平衡不同的社会力量,立法者代替当事人决策做出一定的制度安排,作为一部管制色彩与自治色彩交相辉映的法律,《个人信息保护法》的立法应当兼顾自治和管制的平衡,既不给予个人绝对的私人自治权(个人信息自决权),也并非完全采取行政法的路径成为一部行政管理法。于此,《个人信息保护法》中的民事规范应当作为民法的特别法来看待。但是,需要注意的是,《个人信息保护法(草案)》并未区分公、私主体的信息处理者,公权力机关处理个人信息的规范,明显不属于平等主体之间的规范。 《个人信息保护法》是一部综合性的法律,信息处理关系包含了公法调整和私法调整两个部分,但毫无疑问信息主体与私主体的信息处理者在法律地位上依然是平等的,信息处理者在收集处理使用个人信息的过程中必须尊重信息主体的人格完整。
在二法的适用上,与其徒增法律适用的烦恼,不如在《民法典》人格权编只对个人信息保护作出原则性和转介性规定,将具体的保护规范交给个人信息保护法。这才是理想的路径。申言之,就信息处理关系中自主利益受损害的认定,通过引介至侵权编援用保护性法律的规则,行为不法性则根据是否违反《个人信息保护法》《网络安全法》等规定来判断。该路径理论上有两点优势。首先,可以保持民法典的稳定性和纯粹性,信息主体权利和处理者义务必然随着技术的发展经历快速的变革,例如,因自动化决策技术的发展,欧盟立法中新增了信息主体反对自动化决策的权利;因搜索引擎可以搜索过时、无关且不必要的信息,增加了对“被遗忘权”的规定。而民法典不宜频繁修改,很可能对信息时代技术和人格保护之间的张力和冲突无计可施,反而削弱了法典的权威性。其次,《民法典》对个人信息保护条款规定得过细,徒增与即将出台的个人信息保护法之间适用上的困难,比如个人信息的范围规定得不一致、私密信息和敏感信息的关系难以厘清等问题,反而不利于主体权益的保护。当然,目前《民法典》作为一部根本大法已经生效,动辄大动干戈进行修法显然不符合实际,因此虽然笔者更倾向于该条路径,但仅从学理层面进行探讨。
第二条路径是既有规范体系下的权宜之计,需要更全面和更精细的设计。首先,《民法典》中区分不同的法律关系保护个人信息。普通个人信息使用关系中,受到侵害的利益仅限于隐私利益、肖像利益、姓名利益或其他的一般人格利益,并不存在信息处理中的自主利益。而在信息处理关系中,信息处理中的自主利益应当受到保护,也即信息主体应可施加积极的干预或控制,来及时参与、反对、修正信息处理行为可能对人格形塑的负面影响。因此,普通个人信息使用行为侵犯权益,应当寻求具体人格权或一般人格权作为请求权基础;信息处理行为侵犯权益,应适用个人信息条款,对信息主体的权利之被侵犯和信息处理者的义务之不履行进行判断,同时侵犯如隐私权、肖像权、姓名权、名誉权等其他权益的,共同适用(私密信息则优先适用隐私权规定)。其次,个人信息保护是规范的体系建构,仅仅通过《民法典》的6个条文规定是不充分、不完全的,因此需要通过《个人信息保护法》对《民法典》中的缺漏进行补足,例如,对于主体权利,《民法典》目前仅规定了信息主体有“查阅、复制、异议更正、删除”的权利,但是否有被遗忘权、是否有拒绝自动化决策的权利,留待个人信息保护法进行论证补充;此外,《民法典》对于信息处理应遵循“合法、正当、必要”原则,对原则的解释在《个人信息保护法》中可以有所具体化等。最后,当《个人信息保护法》中的民事行为规范与《民法典》的行为规范发生冲突的时候,《个人信息保护法》的民事行为规范应被视为《民法典》的特别条款,根据特别法优于一般法的原则,应当根据《个人信息保护法》来判断行为不法性,只有在《个人信息保护法》中没有明文规定时,才适用民法一般条款。
因此,普通个人信息使用行为对个人权利相对风险较低,比如个人生活中的信息交往等,非为信息处理关系的调整目标,仅民法调整,《个人信息保护法》完全不适用;但是对信息处理关系中的信息处理行为的规制,《个人信息保护法》适用优先,此外适用《民法典》一般规则调整。
- 向上滑动,查看完整目录 -
《华东政法大学学报》2021年第2期目录
【专题研讨】
民事强制执行立法的中国选择
1.强制执行形式化原则的制度效应
肖建国(6)
2.“善意执行”辨
陈杭平(30)
3.从“查封”到“诉讼”:无形财产执行的制度逻辑与立法选择
刘君博(41)
4.执行财产调查程序的模式选择:为职权主义辩护
史明洲(57)
【信息社会与未来法治】
5.个人信息保护在民法中的表达
——兼论民法与个人信息保护法之关系
王苑(68)
6.深层链接设链者刑事责任的归责路径
付晓雅(80)
【法学论坛】
7.不能忽视的债券市场分层:基于破解市场流动性困局的思考
冯果、张阳(89)
8.盗窃罪量刑规范化问题实证研究
彭文华(101)
9.论知识产权信息的公共利用
朱一飞(114)
10.我国涉外协议离婚法律适用规则的规范修正与适法边界
许凯(127)
11.新冠肺炎疫情下国际贸易规则与公共卫生治理的链接
时业伟(136)
12.法律漏洞的认定标准、正当理由及认定方法
张祖阳(145)
【域外法苑】
13.维多利亚时代的困惑:领事裁判权与治外法权之恶
[英]柯安德(著)、屈文生、詹继续(译)(155)
14.神圣罗马帝国“多元性”的“意义想象”及其制度表达
王银宏(173)
【评案论法】
15.机构投资者与我国差异化股权制度的协调发展
张赫曦(184)
《华东政法大学学报》是由上海市教委主管、华东政法大学主办,以法学为主、其他社会科学为辅的学术性刊物,面向国内外公开发行,逢单月20日出版。本刊的主要栏目有:《法学论坛》、《域外法苑》、《评案论法》、《热点笔谈》、《学思论说》、《社科探索》等。本刊的主要服务对象为:法学教师、法学院系学生、科研工作者、司法工作者、人文社科类学者等。本刊自创刊以来,受到了广大作者和读者的欢迎和好评,刊物的学术品位和学术质量得到提升,学术影响力不断扩大,在期刊影响因子和各大社科类文献资料中心收录、转摘的比较排位中位居前列。
-END-
