返回上一页 文章阅读 登录

周汉华:个人信息保护的法律定位

更新时间:2020-05-20 18:43:35
作者: 周汉华  

   摘要:个人信息保护的本质究竟是权利还是权益,民事立法中产生了很多争论。争议的根源在于将人格权(隐私权)与个人信息保护这两项根本不同的制度强行并列,并试图以传统民事权利话语体系来界定个人信息保护,最终难免出现各种矛盾。个人信息保护是信息时代的一项全新挑战,个人信息控制权是需要通过个人信息保护法确立的一项新型公法权利。

   关键词:个人信息保护;人格权;隐私权;新型权利;个人信息控制权

   随着信息化发展与个人信息价值的凸显,个人信息保护近年来成为不同法律部门与理论研究的热点,也产生很多争议,包括个人信息保护的本质究竟是权利还是权益,个人信息权究竟是人格权还是财产权,民法典人格权编与个人信息保护法的关系,民法保护、行政法保护与刑法保护的关系等。一场场争议的背后,都关涉个人信息保护的法律定位,既与立法科学性息息相关,也关系到未来的法律适用。本文从个人信息保护的权利争议切入,探讨个人信息保护的独立法律定位,尝试回答立法中需要明确的几个相关重大问题。

  

   一、民事立法的矛盾与纠结

   尽管民法学界一直有学者主张民事立法宜加强对个人信息的保护,但2016年6月公布的《中华人民共和国民法总则(草案)》初次审议稿并没有个人信息保护的内容,采用的是传统民事权利划分。2016年8月出现的“徐玉玉案”,促使2016年11月公布的二次审议稿增加了个人信息保护的条款。这既体现了民法的人文关怀,也打上了仓促上阵的烙印,在包括个人信息保护的定性等重大问题上未能给出明确的答案。

   最终通过的《中华人民共和国民法总则》(以下简称《民法总则》)第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”在整个条文中,对个人信息保护的规定并无“权”字。相反,《民法总则》第110条规定,自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利;第112条规定,自然人因婚姻、家庭关系等产生的人身权利受法律保护。在人格权与身份权两个条文中间加入一个个人信息受法律保护的条文,使个人信息保护是否属于权利以及个人信息保护是否属于具体人格权等问题,都不甚明确。从权利法定原则出发,从文本解释看,个人信息保护显然不能说是一项权利,只能归入《民法总则》第3条所规定的“其他合法权益”;但是,从第111条被放在《民法总则》第5章“民事权利”的整体结构看,它好像又可以被视为一项权利,并且是具体人格权,由此导致对文本的多种不同解读。

   个人信息保护的属性问题在全国人大法工委民法室民法典室内稿各分编草案征求意见稿中仍然不明确,甚至更模糊。在该稿中,人格权编第6章名为“隐私权和个人信息权”,但第45条却基本照录了《民法总则》的表述(“自然人的个人信息受法律保护。任何组织和个人不得侵害他人的个人信息”)。这样一来,究竟是个人信息还是个人信息权,不但室内稿与《民法总则》规定不一致,室内稿本身前后也不一致。如此前后反复,难以定性,直接冲击了将个人信息纳入民法保护的基础。

   与权利相关的另一个问题是个人信息权究竟是不是人格权。对此,民法学界大多数学者均认为个人信息权属于人格权,分歧在于究竟是属于一般人格权还是具体人格权。《民法总则》第109条规定了一般人格权,第110条集中规定了具体人格权,如果个人信息属于人格权,理应作为其中之一加以规定。然而,个人信息保护放在《民法总则》第111条,显然又不属于人格权两种情形之一,由此再次导致解释上的困难。

   个人信息保护的属性问题在2019年12月公布的《中华人民共和国民法典(草案)》(以下简称《民法典(草案)》)中仍然无法明确,存在多重难以协调的内在矛盾。

   首先,《民法典(草案)》人格权编共6章,第3章为姓名权和名称权,第4章为肖像权,第6章为隐私权和个人信息保护。这里最大的问题在于,姓名、肖像都是最为典型的个人信息,把它们与个人信息这个上位概念并列,逻辑上存在种属关系混乱。例如,《民法典(草案)》第999条规定,“实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等”,就是将种概念与属概念并列,不符合形式逻辑的基本要求,合理的汉语表述应该是“姓名、名称、肖像等个人信息”。

   其次,《民法典(草案)》一方面界定个人信息只是权益,不是权利,但是,另一方面,又突出强调姓名权、肖像权的权利性质。姓名只是一个符号,一般不能单独识别个人,肖像则是能够单独识别个人的信息。如果这两项个人信息是权利,那么为何其他更重要、更能识别特定个人的个人信息(如生物特征信息等)不是权利?《民法典(草案)》中这样规定,在逻辑上很难自洽。

   再次,《民法典(草案)》一方面将个人信息定位为权益而非权利,另一方面,又确立了个人对自己信息的同意权(第1035条),知情权、更正权与删除权等(第1036条),横贯个人信息处理的事前、事中与事后全部生命周期,等于是确立了个人对自己信息的完全控制权。如果个人对自己的信息不享有权利,何来这些具体权项?在《民法典(草案)》中,个人对自己信息的控制能力远远大于隐私权仅仅限于被侵犯后的事后救济,将隐私权界定为权利而将个人信息界定为权益,法理依据显然不足。

   最后,《民法典(草案)》一方面坚持民事立法的基本范式,如坚持义务主体为“任何组织或者个人”(第111条),另一方面,《民法典(草案)》又大量吸收、借鉴了尤其是《中华人民共和国网络安全法》(以下简称《网络安全法》)等专门个人信息保护相关立法的规定,使得《民法典(草案)》中民法与专门法特征相互重叠,这不仅给未来的法律适用造成困难,也会使一些制度出现不周延、错配等现象。例如,《民法典(草案)》三次审议稿最终采纳了各国个人信息保护法律普遍采用的“处理”概念,《民法典(草案)》第1035条将《网络安全法》所规定的“收集、使用”改成“收集、处理”,并规定 “个人信息的处理包括个人信息的使用、加工、传输、提供、公开等”,将“收集”行为明确排除在处理之外。如此规定存在几个明显的问题:(1)《民法典(草案)》虽然采用“控制者”概念,体现了个人信息保护法的基本规律,但很多规定的义务主体又是“任何组织或者个人”或者根本不明确,控制者的行为规范也未得到明确的界定,这必然导致如何确定义务主体与行为规范出现大量争议。(2)《民法典(草案)》将“收集”单独作为一个行为,与“处理”并列。然而,国际上个人信息保护立法均是以处理为核心概念,收集既是处理的开端,更是处理的核心内容,收集与处理是不可分割的同一个过程。收集就是处理,收集的过程同时也是处理的过程。很难设想实践中有收集与处理分离,只收集不处理,或者只处理不收集的活动。《网络安全法》第41条规定的“收集、使用”是一个行为的不同阶段,均属于处理活动;相反,借鉴《网络安全法》规定的《民法典(草案)》却将收集与处理作为两个不同的行为加以规定,在逻辑上存在漏洞。例如,知情同意规则主要适用于收集活动,对于不涉及收集活动的存量信息的处理(如使用、加工等),以及收集后在原收集目的范围内的处理活动,往往并不需要反复的知情和同意。将收集与处理并列,会使大量的处理活动均需要按照收集环节的要求,履行告知同意程序,从而增加合规成本。因此,《民法典(草案)》对收集与处理的二元设计,至少是对整个个人信息保护制度的一种无效设计。(3)国际上个人信息保护法律的通行核心概念是“信息控制者”,另一个是受控制者委托进行处理活动的“处理者”,两者之间的委托代理法律关系非常明确,责任义务边界也十分清晰。《民法典(草案)》第1038条确立了信息收集者与控制者两个独立、并列的概念,但对其定义以及权利义务关系均缺乏任何界定,可以说与国际立法惯例格格不入,在实践中必然引发大量适用难题。(4)《民法典(草案)》将民法制度与个人信息保护法相关制度熔于一炉的做法,既使人格权编第6章相关规定不像一般的人格权法,很多地方具有专门立法的色彩,也因为规定过于简略而不可能完全像一部个人信息保护法,必然导致不同法律未来适用的冲突,从而产生大量的不确定性。

  

   二、个人信息保护是一项独立的法律制度

   民事立法出现种种矛盾与纠结,不但关涉立法,也会对未来的法律适用产生重大影响,必须妥善解决。之所以会出现各种矛盾和纠结,是因为人格权(隐私权)保护与个人信息保护是根本不同的两项制度。人格权是一项传统的民事权利,个人信息权则是完全独立的一项新型公法权利,是随着计算机大规模采用才出现的新事物。以传统民事权利话语体系界定个人信息权利,将个人信息保护纳入私法人格权范畴,与隐私权并列在一节中,必然会出现逻辑矛盾与实践冲突。

   20世纪60年代末70年代初,由于计算机和信息系统的采用,欧洲与美国最早关注到个人信息使用与滥用问题,认识到需要确保某些记录的保密性和安全性,限制对某些记录的访问或被用于初始用途之外的用途,以保护个人信息不被滥用。在此基础上,各国逐步形成“公平信息实践”,并出台了针对个人信息自动处理的第一批法律,用以落实公平信息实践原则。1970年,德国黑森州制定全世界首部《数据保护法》。1973年,瑞典制定首部全国性《数据保护法》。美国于1970年制定《公平信用报告法》《银行保密法》,1974年制定适用于联邦政府机构的《隐私权法》。由于不同国家法律文化的差别,个人数据保护制度产生之初,往往与传统的隐私保护制度相互交织,两个概念也相互混用,容易产生不同的认识。

   1980年,由发达国家组成的经合组织通过《隐私保护和个人数据跨境流动指南》,确定了8项原则:(1)收集限制原则。个人数据的收集应该受到限制,任何此类数据的获得都应该通过合法和公正的方法,在适当的情况下,要经过数据主体的默示或同意。(2)数据质量原则。个人数据应该与它们将要被使用的目的和该目的所必要的程度相关,个人数据应该精确、完整和被保持为最新状态。(3)列明目的原则。收集个人数据的目的应该在数据收集之前列明,之后的使用应限于实现这些目的或者那些与之并非不相容的目的,这些情况应当在其目的变更时列明。(4)使用限制原则。除非经过数据主体的同意或者经过法律授权,不应该在列明的目的之外披露或公开使用个人数据。(5)安全保护原则。个人数据应该受到合理的安全保护,以免发生诸如丢失或未经授权的获取、破坏、使用、修改或披露等问题。(6)公开原则。应该制定关于个人数据发展和实践的一般公开政策,确立便利的措施,以确定个人数据的存在和性质、它们使用的主要目的,以及数据控制者的身份和通常住所。(7)个人参与原则。个人应当有权利从数据控制者那里获得或者确认数据控制者是否拥有有关他的数据;如果其要求被拒绝,他有权获知理由并可以提出挑战;如果挑战成功,他可以要求删除、纠正、补充完整或修改这些数据。(8)责任原则。数据控制者有责任遵守赋予上述原则以效力的措施。该隐私指南于2013年经过修改,仍然维持同时使用隐私与个人数据两个概念的习惯做法。

   1981年,欧洲理事会制定《有关个人数据自动化处理的个人保护协定》,推动了发达国家的立法进程。1990年12月14日,联合国大会以45/95号联大决议的形式通过《计算机处理个人数据系统规制指南》,建议成员国在立法中采纳指南提出的10项隐私保护原则。在这两个国际法律文件中,隐私与个人数据保护两个概念依然同时并用。

欧盟一直是个人数据保护的领先者。(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/121393.html
收藏