返回上一页 文章阅读 登录

周汉华:个人信息保护的法律定位

更新时间:2020-05-20 18:43:35
作者: 周汉华  
欧盟1995年制定《保护个人有关个人数据处理及该种数据自由流动的指令》时,仍然同时使用数据与隐私保护两个概念,两者的关系尚不十分明确。但是,欧盟2000年制定《欧盟基本权利宪章》时,就已经在第7条和第8条分别规定尊重私人和家庭生活(传统意义上的隐私权)以及保护个人数据,个人数据保护开始被作为一项独立的权利对待。2007年欧盟各国首脑签署《里斯本条约》,要求尽快制定欧盟个人数据保护规则,就完全采用了个人数据概念,不再提及隐私概念。经过20多年的探索,到2016年制定《保护自然人有关个人数据处理及该种数据自由流动的条例》(以下简称《一般数据保护条例》)时,通篇只有数据保护的概念,不再使用隐私保护的概念,数据保护完全成为一个独立的领域,不同于传统的隐私权保护。可见,从其最初产生开始,个人信息保护就与传统的隐私保护面临截然不同的任务。随着信息化的普及,个人信息保护已经迅速成为一项独立的法律制度,全世界已有100多个国家制定专门的个人信息保护法律,确立了独立运行的制度。个人信息保护作为一项独立的法律制度,主要体现在如下几个方面:

   1.保护客体的特殊性

   隐私与个人信息保护的保护客体在我国法律中经历了一个非常明显的3阶段发展过程。我国立法中最早出现的概念既不是隐私,也不是个人信息,而是民间与历史传统中使用得更多的“阴私”概念。这方面的第一个法律规定是1956年全国人民代表大会常务委员会就最高人民法院提出的什么案件可以不公开进行审理的问题所作出的《全国人大常委会关于不公开进行审理的案件的决定》。该《决定》规定:“人民法院审理有关国家机密的案件,有关当事人阴私的案件和未满18周岁少年人犯罪的案件,可以不公开进行。”这一规定确立了不公开审理的基本划分原则,其内容与规定方式基本为后来的诉讼法继续沿用。到20世纪70年代末,1979年制定的《中华人民共和国刑事诉讼法》第111条和《中华人民共和国人民法院组织法》第7条都继续沿用“阴私”的提法。最高人民法院曾经明确界定过阴私案件的范围,由此也就间接界定了阴私的含义。根据1981年《最高人民法院关于依法公开审判的初步意见》的规定,“有关个人阴私的案件,一般是指涉及性行为和有关侮辱妇女的犯罪案件”。可以看出,这一时期法律的保护客体主要是当事人在诉讼程序上不公开审理的权利。

   由于改革开放所带来的观念上的冲击与进步,从20世纪80年代尤其是90年代初以后,不论是政府文件、立法还是民间,普遍以“隐私”概念代替代“阴私”概念。1982年《中华人民共和国民事诉讼法(试行)》是第一部使用“隐私”概念的法律,1989年《人民调解委员会组织条例》是第一部使用“隐私”概念的行政法规,1996年《中华人民共和国刑事诉讼法》修改时也明确将“阴私”改为“隐私”。这个时期,就法律保护的客体而言,已经从过去的诉讼程序权利进入民事实体权利的领域,诸如《中华人民共和国未成年人保护法》《中华人民共和国妇女权益保障法》等法律都明确将隐私权作为一项实体权利加以规定,最高人民法院的司法解释也确认了隐私权的民事权利地位。然而,由于所有使用隐私概念的法律都没有给该概念下一个定义,也没有界定或者描述这种权利的范围,因此,多年来,其实体权利的边界不论在立法还是实践中实际上一直处于某种模糊状态,一直到司法实践中逐步明确侵犯隐私权案件的核心判断标准在于披露以后是否会导致权利人的“社会评价降低”。这在江苏省南京市江宁区人民法院审理的“施某某、张传霞、桂德聪诉徐锦尧肖像权、名誉权、隐私权纠纷案”中得到了典型的反映。人民法院认定,被告的行为“客观上不会造成施某某社会声望和评价的降低”,因而不构成对原告名誉权、隐私权的侵犯。在上海市第二中级人民法院审理的“上海美尔雅医疗美容门诊部有限公司与张燕肖像权纠纷案”等案件中,均以社会评价的降低作为判断名誉权、隐私权侵权的主要标准。在“洪波与张大化名誉权纠纷、隐私权纠纷案”中,尽管一审人民法院、二审人民法院的结论不同,但两级人民法院的法律推理均认定“公民的名誉权是指公民依法享有的保持并维护自己社会综合评价的权利”。

   自20世纪90年代末开始,尤其是进入21世纪以来,由于信息化的迅猛发展与权利观念的进一步提升,首先从信息化有关IC卡管理、征信体系建设、互联网使用与管理以及政府办公自动化等方面的地方信息化立法均有个人信息保护方面的规定。和消费者权利保护两个领域的地方立法开始,逐步出现了中性的个人信息概念,并逐步进入到国家立法中。

   个人信息保护的客体是个人信息,而个人信息的范围非常广,通常包括任何已识别或者可识别特定个人的信息,范围远远大于个人不愿为人所知、披露后会导致社会评价降低的私密信息(隐私)。如果仅仅依据个人信息的定义这一个维度来界定保护客体,要求所有采集或者处理个人信息的行为均必须知情同意,并满足个人信息保护法的其他要求,整个正常的社会交往几乎完全无法进行。因此,各国个人信息保护法普遍都通过另外两个条件来界定保护客体的范围。也就是说,个人信息保护法保护的客体并不是所有的个人信息,而是数据控制者以自动方式处理的个人信息。界定保护客体有两个重要条件,一是数据控制者,二是处理活动,保护的是数据控制者在数据处理活动中涉及的个人信息。不属于数据控制者的数据处理活动中的个人信息,不属于保护客体。为此,欧盟《一般数据保护条例》与很多国家的个人信息保护法均明确将纯粹个人或者家庭生活中处理的个人信息,排除在法律保护范围之外。

   国际上讲个人信息保护法只是一般的简化提法,严格的表述其实是“个人信息处理保护法”,必须要有“处理”才涉及保护;同时,个人信息保护法的规范对象是处理个人信息的“个人信息控制者”,而不是一般的组织或者个人。一个人在公共场所出现,其他个人完全可以自由地获取他的信息,只有诸如闭路电视系统的运行者(控制者)采集他的信息才需要遵守个人信息保护法的规定。脱离个人信息保护法的制度运行背景,脱离特定主体“个人信息控制者”,脱离特定行为“个人信息处理”,对作为一般主体的“任何组织或者个人”谈个人信息依法获取或者知情同意等,均没有任何意义,也与生活常识严重背离。这样做导致的结果要么是规定虚化,没有任何法律意义;要么是在特殊情境中,产生不必要的法律争议。我国民事立法设计个人信息保护规定,很长时期脱离了制度运行的背景要求,在《民法总则》与民法典人格权编起草的过程中,类似处理与控制者等概念都很晚才出现,即使出现也并未影响整个立法架构与基本走向。既无“控制者”概念,也无“处理”界定,以隐私权保护同样的思路设计个人信息保护条款,将全部个人信息都作为保护客体,当然无法回答诸如个人信息保护是权利还是权益等重大问题。

   2.义务主体的特殊性

   数据控制者概念表明,个人信息保护法的义务主体具有特殊性,不是“任何组织或者个人”这样的一般主体。美国《加州消费者隐私权法》规定的义务主体(经营者)必须具备以下条件之一,否则不属于法律规定的义务主体:(1)年营业额超过2500万美金;(2)每年为商业经营目的购买、接收、出售或者共享个人信息超过5万份;(3)年营业额中超过50%的收入来自出售消费者个人信息。同样,欧盟《一般数据保护条例》对义务主体进行了多重区分处理,以体现义务主体的特殊性,包括:(1)为学术、艺术与表达目的而处理个人信息的,可以克减或者排除适用条例的规定;(2)对于数据控制者、处理者的数据处理活动记录义务,一般不适用于雇员数少于250人的企业或者组织,除非另有法定情形要求;(3)数据控制者或者处理者有下述3种情形之一的,才应指定专门的数据保护官,即除法院以外的公权力机构处理数据,控制者或者处理者的核心业务要求经常性、大规模监控数据主体,控制者或者处理者的核心业务要求大规模处理条例第9条规定的特定种类个人数据或者第10条规定的刑事犯罪个人数据。

   人格权在性质上属于对世权,对应的义务主体是普遍的,任何组织或者个人都是义务主体,都不得侵犯他人的人格权。由于隐私具有不愿为人知晓的特点,任何组织或个人都不得传播他人的隐私,都是义务主体,没有排除或者克减适用之说。相反,个人信息保护法的义务主体往往是特定的、分层的,是个人信息控制者,不是一般的义务主体,通常不可能是个人,在性质上类似于对人权。

   如果按照人格权套用并泛化界定个人信息保护法的义务主体,就会出现比较荒谬的结果。这是因为,只要有社会交往,就会彼此产生个人印象,这个过程是自然发生的过程,是信息主体给交往对方留下的印象。每个人在交换过程中,随时都在获取交往对象的个人信息,或者主动或者被动。因此,一般社会交往中的个人信息与其说是“获取”,不如说是“印象”的自然生成。对于印象的产生、转达、传播,一般都属于个人生活与社会自治范畴,法律不需要介入,更谈不上所谓“同意”“依法取得”“非法收集、使用”等法律界定。一个人在大脑中形成的印象,是自己的事,不能说其形成一个对方“夸夸其谈”“猥琐”“虚伪”等负面评价,或者“英勇无畏”“真诚耿直”“美丽大方”的正面评价,以及将这种评价分享给朋友或者社会,就是在非法使用、加工、传输他人的个人信息。社会交往中的印象形成,并不是获取的过程,既与同意无关,也与法律无关。《民法典(草案)》第1035条移植了《网络安全法》第41的规定,要求收集、处理个人信息的,应当遵循合法、正当、必要原则,并明确了相应的条件。问题在于,《网络安全法》的义务主体是网络运营者(相当于个人信息保护法中的个人信息控制者),是特定义务主体,而该条的义务主体并不明确,按照通常理解应该是总则规定的一般义务主体(任何组织或者个人)。将适用于特定义务主体的要求推广到一般义务主体,结果就会非常荒谬,与生活常识不符,导致的问题是义务主体错位以及连锁的各种错位,其适用会遇到难以克服的障碍。

   民事立法一直用传统隐私权观念来构筑个人信息保护法律制度,一是直接将个人信息作为保护客体,二是将义务主体界定为“任何组织或者个人”,存在明显的保护客体泛化与义务主体泛化双重弊端。这样一来,既使个人信息究竟是权利还是权益陷入无休止的争论之中,不可能有确定的答案,也使诸如“收集者”“控制者”等概念与传统的“任何组织或者个人”概念并列,相互关系无法理顺,并产生与常识相悖的推理结果。

   3.权利性质的特殊性

   人格权属于消极权利,权项并不需要列明,“法律上并不详细规定各种类型的人格权,而是在人格权遭受侵害之后,由法官援引侵权法的规则对权利人提供救济”,以不受非法侵犯造成损害后果为权利边界,遭受损害后通过侵权赔偿加以救济。梁慧星教授明确指出:“各国民法对人格权保护的共同经验可以概括为‘类型确认+侵权责任’,即通过法律规定或者判例确认人格权的类型,称为特别人格权,将侵害各种人格权的加害行为纳入侵权法的适用范围,对加害人追究侵权责任。”他还指出,人格权的第一个特殊性是“防御性”,即法律将侵害人格权的加害行为纳入侵权责任法的适用范围,以便对加害人追究侵权责任。人格权的第二个特性是它的“先在性”。所谓人格权的先在性,是指人格权的存在先于法律规定,不因法律规定或者不规定、承认或者不承认而受影响。

相反,信息控制者以不同方式处理海量的个人信息,难以衡量具体处理行为是否对信息主体造成侵害。因此,个人信息权作为信息主体对抗信息控制者信息处理行为的新型公法权利,必须有法律依据,并由法律对具体权项进行列明。这样一来,信息主体的权利就转变为信息控制者的相应法律义务,违反法律义务就等于是对信息主体权利的侵犯,由此实现信息主体控制自己信息不被非法处理的权利保护目标。违反公法义务会导致公法上的法律责任,同时导致权利人损害的,当然也要承担民事侵权责任。但是,并不是所有违反公法义务的行为都会产生民事损害后果,这就涉及如何科学设计救济机制的问题,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/121393.html
收藏