返回上一页 文章阅读 登录

丁晓东:个人信息私法保护的困境与出路

更新时间:2019-01-21 00:03:41
作者: 丁晓东  

   摘要:  关于个人信息法律保护的研究,当前的主流观点采个体主义的立场,将个人信息视为私权的客体,以域外经验为证,认为私法可以有效保护公民的相关隐私权益。实际上,域外的相关法律并未承认个人信息权有对抗不特定第三人的效力;在现代信息社会中,以私法保护公民的隐私权益也常遇到困难。对隐私权益必须进行场景化的理解,个人信息流通具有公共性价值。法律保护个人信息的目的在于防范相关风险,促进个人信息在具体场景中的合理流通。宜通过“消费者法化”,重新激发个人信息私法保护的活力;同时,采取公法框架进行风险规制,保护个人信息。

   关键词:  隐私权益;个人信息;私法保护;消费者保护;风险规制

  

   当前,由个人信息的大规模收集与利用引发的社会问题层出不穷,必须加强个人信息的法律保护已经成为学界共识。然而,个人信息的法律性质如何界定?法律又当采取何种手段保护个人信息?针对上述问题,学界仍有争议。有学者认为,个人信息是一种人格性权益,应当适用人格权的法律框架加以保护;[1]也有学者认为,个人信息是一种财产性权益,应当适用财产权的法律框架加以保护;[2]还有学者提出,个人信息是一种新型的权利,需要在法律中增设个人信息权。[3]观点虽有分歧,但它们的前提假设却是相同的,即认为个人信息是具有排他性的私权的客体,应当通过以主体平等和意思自治为原则的私法加以保护。这一前提假设很难成立。在比较法的视野下考察,域外的隐私权益[4]保护正经历着从私法主导到消费者法与公法主导相结合的变迁;从法律原理的层面看,传统侵权法已无力保护现代信息社会中的隐私权益,以个人信息权或财产权为基础保护隐私权益又面临着保护不足与保护过度的两难。

   在保护个人信息方面,传统的私法进路之所以存在困境,深层原因在于隐私权益与个人信息的性质特殊。保护隐私权益并不意味着要隔断个人信息的流通,个人信息天然具有社会公共属性,并非一种具有固定边界的私人权利。现代社会之所以强化个人信息保护,原因在于个人不易对个人信息流通中的风险进行有效管理。面对越来越复杂的信息收集方式和信息的不规范流转,个人也很难对相关风险加以判断和防范。从上述事实出发,我国未来的个人信息保护立法应当侧重消费者法保护和公法保护的路径。一方面,为重新激活个人信息私法保护的活力,寻求个人信息私法保护的出路,应当将个人信息保护纳入消费者法的框架,在特定场景下对个体进行倾斜保护,确保具体场景中的信息流通满足消费者的合理期待。另一方面,应当建构网络、信息等特定领域的公法框架,通过风险评估和风险规制,为个人信息的合理流通与使用创造条件。

  

一、个人信息私法保护的核心观点


   当前我国个人信息法律保护的研究中,将个人信息视作一种个体性的私权,主张以私法的框架对其进行保护的观点,得到了很多研究者的认同。[5]与之相关的两个核心论点也被广泛接受,对我国的个人信息法律保护研究产生了很大影响。

   第一个论点是比较法上的事实判断:域外的隐私权益保护经历了从隐私权到个人信息权的演进,并且都采取了私法的保护模式。对于隐私权益保护的起源,大多数研究者都将其追溯到沃伦与布兰代斯的《隐私权》,指出其私法保护的特征。在这篇经典文献中,沃伦与布兰代斯认为,尽管被侵犯的隐私不受传统普通法的保护,但普通法仍应通过法官造法推论出隐私权这一法律权利,普通法法院应当将侵犯隐私作为侵权行为加以追究。[6]其后,美国的司法实践逐渐认同了沃伦与布兰代斯的建议,开始以侵权法的方式保护公民的隐私权益。侵权法学者威廉姆·普罗斯归纳的美国司法实践中四种隐私侵权,[7]亦被国内研究者广泛提及。[8]

   不少研究者指出,自20世纪60年代以来,美国法对于隐私权益的保护经历了从隐私权保护到个人信息权保护的转变。[9]阿兰·威斯丁于1967年出版的《隐私与自由》一书,被认为是一个关键性的转折点。在该书中,威斯丁不再满足于沃伦和布兰代斯对于隐私权的模糊界定,也不认同普罗斯以四种类型限定隐私侵权的做法。在威斯丁看来,以往对于隐私的定义都是模糊的,隐私必须被重新界定为“个人、群体或机构对自身信息在何时、如何以及在什么程度与他人沟通的主张”,[10]换句话说,隐私就是个人对自身信息的控制。

   在一些研究者看来,德国和欧盟的隐私权益法律保护也经历了相似历程。这些研究指出,德国和欧盟一些国家的私法都曾将隐私归入人格权的范畴,以私法的方式保护隐私权益。到20世纪70、80年代,个人信息权或个人信息自决权的概念开始出现,成为受到法律保护的另一核心权利。也就是说,德国和欧盟对于个人信息法律性质的界定,经历了从隐私权到个人信息权的转变,个人信息的法律保护途径也从隐私权的私法保护过渡到了个人信息权的私法保护。[11]

   第二个论点偏重法律原理与应然性判断,认为从法律原理出发,可以得出这样的结论:为了更好地保护公民的隐私权益,有必要在私法体系中明确个人信息权,确定个人信息权的边界。首先,目前我国旨在保护隐私权益的立法非常零散,大多数的法律规范针对的只是特定行业的特定个人信息。这些立法的层级、关注领域和调整模式均不相同,缺乏体系上的融贯性,没有对个人信息的性质进行明确界定,法律规范大多偏重宣示性地设定义务,缺少法律责任的规定,[12]因此有必要从私法的角度加强个人信息的法律保护。其次,针对现行隐私权益法律保护体系较为零散和缺乏融贯性的特点,需从私法上厘清个人信息的法律地位,从而为隐私权益提供更为集中和体系化的保护。再次,由于私人主体更有动力和积极性去维护自身利益,加强个人信息的私法保护,也有助于发动公民个体力量维护其自身权益。[13]

   还有研究指出,我国私法对隐私权益的保护经历了从无到有、从只关注隐私权到同时关注个人信息权的变化。1986年民法通则没有规定隐私权,但两年后,最高人民法院的司法解释确认了个人隐私应受法律保护。[14]2009年侵权责任法第2条将隐私权明确规定为民事权利,将隐私权纳入人格权的保护范畴。2017年民法总则不但在第110条中确认了自然人享有隐私权,还在第111条专门规定了个人信息受法律保护,在第127条中规定了对数据的保护。以上说明,加强个人信息的私法保护,符合我国隐私权益法律保护体系的发展趋势。[15]

   综上,当前我国个人信息法律保护研究将个人信息视为私权的客体,且认为私法能够有效保护公民的相关隐私权益,这一结论的得出有赖于上述两个论点的成立:其一,在域外实践方面,个人信息法律保护的权利基础沿着从隐私权到个人信息权的路径发展,且未偏离私法保护的轨道;其二,在学理和国情层面,加强个人信息的私法保护乃是大势所趋,不仅具有必要性,也具有应然性。然而,以上对域外经验的解读和对法律原理的理解,实际上均存在一定的误区,无助于证成个人信息天然的私权属性,无法为个人信息保护的私法优位立场奠定基础。

  

二、域外经验的重新解读


   关于域外隐私权益保护经历了从私法上的隐私权到私法上的个人信息权转变的观点,其实属于对域外经验的误读,经不起深入的推敲。

   (一)美国经验

   初看上去,第一个论点的确描绘了美国隐私法的历史变迁。在美国隐私法发展之初,沃伦与布兰代斯、普罗斯都没有提及个人信息的概念,美国的法律实践也没有将个人信息作为一种法律权益的客体加以保护。20世纪六七十年代,威斯丁首先提出个人信息的概念,将隐私界定为个人对自身信息的积极性控制,随后,个人信息的概念才在美国隐私法中被广泛采用。

   然而,在美国,个人信息的概念是在独特的技术背景之下,针对独特的防范对象提出的,并未成为一种可以对抗不特定第三人的权利。具体说来,个人信息概念的兴起以20世纪60年代以后计算机技术的兴起为背景。[16]计算机技术的兴起,使得公共机构和公司处理信息的方式发生巨变。在此之前,信息的收集主要依赖人工,信息收集的速度较慢;信息的储存主要通过卡片、文档等方式,且需要特定的储存点;信息的搜索主要依赖编码索引和人工查找,费时费力。计算机技术兴起后,信息的收集速度有了质的提升;信息的储存能力几乎没有上限,且不再需要特定的储存点;同时,信息的搜索也变得简单易行。在这样的背景下,美国政府采取了一系列加强个人信息保护的举措,美国国会也通过了一系列立法,致力于确保个人信息在特定领域不受侵犯。

   分析美国政府所采取的一系列个人信息保护措施和美国国会的一系列个人信息立法,不难发现,这些措施和立法都集中于某些风险较大的领域,规制的对象是政府、学校、医院等大型机构及企业的大规模个人信息收集行为。例如,1973年美国医疗、教育与福利部首先推出了一份名为《记录、电脑与公民权的报告》。在这份报告中,美国医疗、教育与福利部将个人信息定义为任何可识别个人的信息,规定这些信息的收集、披露和使用都必须遵循所谓的“合理信息实践”原则。根据合理信息实践原则,任何收集和储存个人信息的系统都不得秘密运行;个人必须能够知道其哪种类型的信息是被记录的,哪种类型的信息是被使用的;个人必须能够阻止其个人信息被用于其不同意的目的;个人必须能够纠正或修改那些能够识别他个人身份的信息。[17]

   其后,美国国会针对个人信息保护通过了一系列立法,这些立法也只适用于特定领域和特定对象。[18]以1974年的家庭教育权利与隐私法和隐私法为例。前者规定,对于教育纪录中任何可识别个人的信息,教育机构都有义务确保信息不被泄露,并且保证个人能够获取和修改其个人信息。[19]后者则要求,所有美国联邦规制机构在处理个人信息时都必须遵循相应规定,除有例外情况,规制机构在公开个人信息前必须取得个人的书面同意,个人有权访问其被联邦机构保有的个人信息并对个人信息进行纠正。[20]1984年,美国国会通过了具有里程碑意义的联邦有线通讯政策法。该法将可识别个人的信息作为核心概念,从信息的收集到信息的储存和使用,只要涉及可识别个人的信息,电讯公司就必须遵循一系列合理信息实践原则。此后,国会又分别通过了儿童网上隐私保护法、视频隐私保护法、司机隐私保护法,要求相应主体在特定情形下收集和使用个人信息的行为必须符合相关规定。

   美国的个人信息保护措施和相关立法带有明显的消费者法保护或公法规制的特征。由于并未赋予个人以针对不特定第三人的权利,对于普通民事主体收集与处理个人信息的行为,这些立法并不适用。事实上,即使对于一般企业,美国的上述立法也大都无法适用。对于一般企业的隐私权益保护,美国法大体采取的是企业自我规制和消费者法规制的进路。[21]由企业自愿制定隐私政策,然后由美国联邦贸易委员会确认企业的隐私政策中是否存在欺诈或不合理的情形,以及企业是否严格执行了其隐私保护的承诺。[22]

分析威斯丁的《隐私与自由》同样会发现,威斯丁对于隐私与个人信息的探讨以计算机与现代科技的兴起为背景,并没有将个人信息泛化为一种私法意义上的权利。虽然威斯丁对隐私下了一个接近于个人信息权的定义,认为隐私是“个人、群体或机构对自身信息在何时、如何以及在什么程度与他人沟通的主张”,[23]但其所说的自身对信息的控制权主要针对的,(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/114696.html
收藏