返回上一页 文章阅读 登录

周汉华:个人信息保护的法律定位

更新时间:2020-05-20 18:43:35
作者: 周汉华  
以避免制度被滥用或空转。我们看到,不仅欧盟与受欧盟影响国家的立法广泛规定了信息主体的各项具体权项,即使与欧盟模式差别非常大的美国,也体现了消费者控制自己信息不被非法处理的相同立法思路。2012 年2 月23 日,时任美国总统的奥巴马颁布《消费者隐私权法案》,对消费者的权利进行了具体规定,对于企业可收集哪些个人数据以及如何使用这些数据,消费者都拥有控制权。美国《加州消费者隐私权法》则赋予消费者对于自己信息的5项具体控制权。

   从救济效果看,构成人格权民事侵权必须满足侵权赔偿的法定构成要件,尤其是必须以造成实际损害为前提条件,被侵权人还需要承担举证责任。但是,在网络环境下,不同于对于人格权的侵犯,侵犯个人信息权往往很难证明对信息主体实际造成了什么损害,信息主体要承担举证责任也同样困难。因此,如果仅仅依靠民事侵权赔偿机制保护个人信息,会遇到很大的困难,存在激励不足问题。相反,作为公法权利,并不以信息主体的实际损害作为认定违法与否的必要条件,也不需要信息主体承担举证责任。只要数据控制者违反法定义务,不论是否造成信息主体实际损害,都可以认定为违法,个人信息保护执法机构就可以通过公法执法发现并制裁违法,维护法律秩序。个人信息被违法处理并不必然导致信息主体遭受损害,甚至可能会带来利益,但信息控制者仍然要承担公法责任。正因如此,当代各国普遍将个人信息权界定为新型公法权利,为数据控制者规定广泛的法律义务,并通过设立专门、独立、权威的个人信息保护执法机构来提供有效的保护。公法权利更多属于积极权利,权项因此更为丰富,不只事后才能寻求损害赔偿救济。不论在欧盟模式还是美国模式下,个人信息权均是一个权利簇,范围究竟多大由立法加以界定,各国未必完全一样,但核心在于信息主体对于自己信息的控制权,包括知情权、修改权、删除权、可携带权、被遗忘权等。只要个人信息保护法加以明确规定,权利主体就享有这些具体的控制权利。

   就权利保护机制而言,作为民事权利,一般不会动用公权力进行事先保护,主要的保护手段是事后救济以及相应的侵权赔偿,责任形式只能是诸如停止侵害、排除妨碍、消除危险、赔偿损失、消除影响、恢复名誉、赔礼道歉等民事责任,对抗的主体是平等的民事主体。在网络时代,这种事后救济机制既无法预防泄露、滥用个人信息行为的发生,也无法有效惩罚、威慑违法者。如果侵权方是公权力机关,民事责任机制更是无能为力。作为公法权利重要的意义还在于,信息主体不但可以对抗平等的民事主体,也可以对抗公权力部门,国家机关同样要尊重和保护个人的信息控制权。同时,对于公法权利,国家有义务建立有效的事前事中政府监管与行政执法制度,有效预防损害的发生,保护公民所享有的权利。至于民事救济机制,在公法权利框架之下同样也可以发挥应有的作用。同时还要看到的差别是,对于纯粹的民事侵权行为,如网络上披露他人隐私、侵犯名誉权等,如果没有达到一定的程度,公权力并不需要介入,依靠民事侵权赔偿机制就可以达到保护私权利的目的。相反,对于公法权利的侵犯,不论程度如何,均需要由公权力执法机关提供保护。

   随着社会的发展,个人权利的种类不断丰富,权利的边界越来越广,既超出传统的民事权利范畴,更横跨公私法边界,演化出许多新型公法权利,诸如环境权、受教育权、社会保障权、消费者权利、可交易许可权等,均是典型的新类型权利。这些新型权利是去法典化时代的产物,具有跨法律部门、多元特征混合、公法私法融合等特点,不宜简单“一刀切”定性。必须根据每项权利本身的运行规律,由环境法、消费者权益保护法、社会保障法、行政许可法等单行法界定其权利边界,设计权利保障机制,再由民法、行政法、刑法进行相应的衔接,对侵害权利的行为进行制裁,构成完整的权利保障体系。可以看到,我国的环境权、受教育权、消费者权利等均未在《民法典(草案)》中加以规定,而是先由相关单行法分别予以确认,再通过包括民法典在内的法律,共同制裁侵犯这些权利的行为。个人信息权也是这种新型权利,同样应该首先由个人信息保护法界定其权利基础,再由包括民法典在内的相关法律追究侵权行为应该承担的法律责任。正如王泽鉴教授指出的,不同国家与地区隐私权首先都是作为基本权利加以确认,然后再从民事侵权法上加以衔接,而不是像我国一些民法学者所主张的民法上先确认个人信息权,再制定个人信息保护法。例如,在美国,隐私权被作为一项最为重要的宪法权利而不是普通的民事权利,以宪法惯例的形式得到学术与实务部门(包括美国联邦最高法院)的确认。在法国,1958年宪法虽未明确规定隐私权,但法国宪法委员会通过1994年的一项裁决,确认宪法隐含隐私权。在印度,1950年宪法没有明确承认隐私权,但在1964年,印度最高法院就首次依宪法第21条作出裁决,认定宪法已隐含隐私权。在爱尔兰,宪法未明确提及隐私权,但爱尔兰最高法院裁决,公民有权援引宪法第40.3.1条的个人权利条款证明隐私权的存在。即使在人格权制度非常发达的德国,一般人格权也是作为基本权利加以保护的。

   4.简单的结论

   正是因为个人信息保护的上述各种特殊性,使个人信息保护已经迅速成为一项独立的法律制度,有独立的法律渊源、程序设计、制度配置、执法机制、交流平台等,甚至已经形成一个专门的复合型知识结构的职业共同体和不同于传统的隐私权保护的话语体系。与国际趋势相反,我国民法界一直推动将个人信息保护纳入人格权编,与隐私权并列在一起,并主张将个人信息保护法作为民法的特别法,由此强行将两项根本不同的制度熔于一炉。可见,个人信息保护在民事立法中出现定位困难和逻辑混乱,深层次根源在于权利定性错位,将一项新型公法权利简单归入传统民事权利范畴,忽略了个人信息保护与人格权两项权利的本质差别。这种错配不但会导致立法中的各种反复与纠结,未来适用更会面临巨大的不确定性。另外,这种观念和认识一旦外溢至个人信息保护法立法,还会导致个人信息保护权属基础不明,法律关系模糊等连锁反应。

  

   三、立法中需要明确的几个问题

   当前,民法典起草已近尾声,即将出台,个人信息保护法已经列入本届全国人大一类立法计划,正在加紧起草过程中。民法典是基本法,将由全国人大通过,而个人信息保护法属于一般法律,将由全国人大常委会通过。由于两部法律都会涉及个人信息保护内容,因此,立法中必须处理好相互关系,核心是明确以下几个重大问题:

   1.民法典与个人信息保护法的关系

   民法学界有很多专家认为,民法典对个人信息权在人格权编中首先加以规定,明确个人信息权的法律地位,然后再制定个人信息保护法,是比较合理的选择。也就是说,个人信息保护法是民法的特别法。

   笔者认为,这种观点值得商榷。

   首先,将个人信息保护法视为民法的特别法,明显会使编纂民法典这一体系化立法的意义受到直接冲击。依此类推,还可能会使民事立法再次进入到分散化状态,影响民法典的统一和权威。

   其次,如前所述,个人信息保护与人格权保护是两个完全不同的领域,不宜强行混合在一起。个人信息保护是一个崭新的法律部门,是正在兴起的网络信息法的核心组成部分。将传统的人格权理论和制度套用到个人信息保护领域,必然出现各种不适配问题,既有损立法的科学性,也会导致法律适用中的各种冲突。

   最后,从其他新型权利立法与民法的关系看,都是先由单行法明确新型权利及其运行的基本制度,然后再由民事立法等相关立法与之衔接,通过民事责任追究促进新型权利的实现,而不是先由民事立法确立每一项新型权利,然后再由单行法进行衔接。

   因此,在认识上必须明确,个人信息保护法是保护个人信息的基本立法,任务是明确个人信息保护的基本原则和制度,明确实体规范与程序规范,然后再由相关单行立法根据不同行业领域的特点制定相应的规定,构成个人信息保护的完备法律体系。个人信息保护法的义务主体、调整范围、执行机制等均明显不同于民法典,不能将个人信息保护法视为民法特别法。只有违反个人信息保护法的行为造成权利人民事权益损害的,民法典才从民事责任追究方面进行衔接。尽管个人信息保护法与民法典存在一定的交叉,但两者的性质和任务存在根本不同,前者旨在保护新型权利的公法,后者旨在确立民事基本制度的私法,在法律体系中分别发挥不同的作用。只有科学认识这两部法律的关系,才能使个人信息保护法针对信息时代个人信息保护所面临的现实问题,设计相应有针对性的制度,而不是被传统民事法律制度所束缚。

   2.个人信息保护法宜确立信息主体权利及信息控制者激励相容机制

   进入大数据时代,信息主体控制自己信息不被信息控制者违法处理或滥用的权利,是整个个人信息保护制度运行的基石。因此,个人信息保护法首先必须明确确立信息主体的个人信息控制权。只有确立了这种权利,才能要求信息控制者履行相应的法律义务,以及确立有效的执法监督机制,预防和制止违反法律义务行为的发生。《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国消费者权益保护法》《网络安全法》《征信业管理条例》等法律、行政法规虽然都对个人信息保护做了较为系统的规定,但回避了这种保护的基础究竟是什么,未回答个人是否对个人信息处理活动享有控制权利。从某种程度上讲,这些立法只是为义务主体设定了义务,并未规定权利主体的权利,存在较为明显的基础缺失问题。制定个人信息保护法,应该顺应国际发展趋势,明确确立个人信息控制权,作为整个制度的基础。这是个人信息保护法作为独立立法的意义与价值所在。

   但是,必须看到的是,在大数据时代,权利控制机制存在至少两个缺陷,单独依靠权利控制机制难以实现个人信息保护与信息自由流动的平衡。一是由于信息不对称,信息处理活动越来越复杂,由信息主体控制极有可能流于形式,信息主体每次只能选择“同意”,导致实质上无法达到设立控制权的立法初衷,个人无法真正保护自己的个人信息不被违法处理。二是权利控制机制可能导致程序的过度复杂化,不合理地增加信息控制者的成本,影响数据自由流动,最终损害社会的公共利益。

   解决上述两个问题,一是要对个人信息控制权的每个具体权项进行分解、分析、分类,在充分讨论的基础上明确哪些权项需要予以明确规定(如知情权、查询权、更正权、删除权、限制处理权等),哪些权项可以作为倡导性规定(如可携带权),哪些权项暂时还不宜规定(如被遗忘权)。通过权项的类型化处理,使个人信息控制权既能发挥作用,又不至于脱离国情,影响数据的自由流动。权项分类处理,最大的难题是如何确定个人同意权的地位与范围,包括哪些事项需要明示同意,哪些事项可以默示同意,哪些事项需要专门同意,哪些事项采用同意例外机制等。二是需要调动信息控制者的积极性,设计激励相容的机制,促使信息控制者主动承担保护个人信息的义务,设计有效的个人信息安全管理制度,实现从单向的权利控制向权利控制与激励机制并行的多元治理机制转变。这也是个人信息保护法作为独立立法的意义与价值所在,民事立法不可能胜任这种多元治理机制。

   3.民法典与个人信息保护法宜尽量减少不一致的规定

   比较《民法典(草案)》与全国人大法工委已经在一定范围征求意见的《中华人民共和国个人信息保护法(草案征求意见稿)》(以下简称“征求意见稿”)可以发现,两者存在比较明显的不一致,主要表现在两个方面:一是基本概念与范畴不对应。《民法典(草案)》目前采用的是信息收集者、控制者概念,而征求意见稿采用的是个人信息处理者概念,彼此不对应,缺乏衔接。另外,对于“处理”概念,《民法典(草案)》将收集与处理并列,而征求意见稿将收集界定为处理的组成部分,两者明显不一致。二是规定重复且不完全一致。《民法典(草案)》对于个人信息保护的几条实质性规定,如第1034条、第1035条、第1036条、第1038条等,在征求意见稿中均有类似的规定,不仅重复,更重要的在于两者具体内容不完全一致,极易导致不同的解释,影响法律适用。

   对于上述问题,如果能够按照先制定个人信息保护法,民法典随后衔接的方式,当然是最理想的解决方案。这样可以通过立法范围划分,由个人信息保护法确定实体规范和程序规范,由民法典确定民事责任,实现两部法律的衔接。为此,可尽量删除《民法典(草案)》中的实体与程序规定,重点在责任机制、责任构成要件、责任标准以及不同救济机制的相互关系上实现两部法律的衔接,对侵犯个人信息权的行为设计量身定做的民事责任追究机制。然而,鉴于两部法律目前处于不同的立法进度,尤其是民法典出台已经箭在弦上,这种解决方案的现实可能性应该不会太大。但是,即使到目前这个阶段,类似基本概念与范畴的统一与科学性等问题(如对“处理”的定义),《民法典(草案)》还是应该尽量作出调整,以提高立法质量。

   在《民法典(草案)》难以作出大的调整的情况下,次优的解决方案只能是在给定的条件下,通过个人信息保护法立法,确立法律适用规则,明确民法典是私法、一般法、旧法,个人信息保护法是公法、特别法、新法。对于个人信息保护,宜优先适用个人信息保护法,个人信息保护法没有规定的,再适用民法典。通过明确适用规则,在一定意义上使民法典的某些规定成为原则性或宣示性条款,在法律适用中更多直接依据个人信息保护法,以变通解决《民法典(草案)》中存在的各种问题。

   当然,对于《民法典(草案)》本身正确的内容,个人信息保护法也应该根据民法典的规定作出相应的修改,典型的如《民法典(草案)》规定的个人信息控制者概念,明显要比征求意见稿规定的个人信息处理者概念更为科学。

   作者:周汉华,中国社会科学院法学研究所副所长、研究员。

   来源:《法商研究》2020年第3期。为阅读便利,注释从略。

  

  


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/121393.html
收藏