大数据时代,技术和商业的发展极大地促进了个人信息的开发和利用,但也对人的主体地位、社会秩序和国家安全构成了严重威胁。目前,我国个人信息保护立法重公法规范、轻私法规范,民事基本法规范支撑缺失。
一、个人信息民法保护的基础性
民法作为保护人之主体性的重要手段,能够为个人信息保护提供坚实的基础。立法设计应当确立两大基本理念:一是个人信息的自主控制;二是个人信息和数据的区分保护。
按照《立法法》第8条的规定,事关民事基本制度的事项应当由全国人大制定法律加以规定。对正处于民事权利生成阶段的个人信息权而言,需要在民事基本法的框架内进行设权性界定。无论刑法还是行政法,没有民事基本法对个人信息权利的设权性界定,其规则合法性基础都是不稳固的。在个人信息民法定位模糊的情况下,刑法、行政法等公法规范对个人信息的保护势必成为无源之水、无本之木。此其一。围绕个人信息形成的基本法律关系,主要是平等主体之间的关系,即信息主体与信息处理者之间围绕个人信息产生的民事权利义务关系。虽然个人信息处理者也包含公权力机关,但后者应准用与民事主体同样的规则。此其二。个人信息的救济应主要依靠民事机制来实现。个人信息遭受侵害后,第一要务是通过侵权责任等私法规定对受害人的损害进行填补,行政手段和刑事处罚只具备补充性。此其三。
民法是维护人之主体地位的最重要手段。在民法中,主客体关系表现为支配与被支配的关系。“人”是民法明确的权利主体,具备“身份”、“人格”或“权利能力”,而物只能作为被支配的客体。有学者敏锐地指出:“所有法律规范,皆以人作为法律效果之承受者。就此而言,一切法律皆为人法。不同的是,民法规范不仅将其法律效果指向人,更是直接对人的主体地位作出规定。公法上的人,无论宪法、行政法,抑或刑法,乃至于诉讼法,虽未必与私法上人的概念重合,但均以后者为基础。”在我国,“自然人”一词源于清末民初西学东渐。关于自然人的讨论源于公私法的分野:私法只调整私人生活的关系,而私人生活关系中的人叫做自然人。可见,私法与自然人的密切关系,自中文世界中“私法”和“自然人”概念出现之初,就作为一种知识前见被固定下来。私法天然就承担着保护人的自由、尊严、安全和财产的使命。
“传统民法是一种主体化非常鲜明的秩序”,《法国民法典》、《德国民法典》等各国民法典莫不以“人”为开端。虽然“法人”也取得了民事主体资格,但最古老和最自然的法人类型是“社团”(人的集合体),而非后来形成的“基金会”或“财团”。也就是说,民法中的主体是以“自然人”为中心的。与此同时,民法中的人文主义价值也正在不断彰显。从近代民法到现代民法,人的自由和尊严获得了更加充分的保障,弱势群体也得到了更多的关注。具体到我国,人文主义作为民法典编纂的立法指导思想,还体现在“人格权独立成编”的分则构造上。通过直接规定人的主体地位,并确立“以人为本”的基本价值,民法已经形成了稳定的主体结构和思想基础。面对新兴科技发展带来的挑战时,民法能及时和有效地作出回应。一方面,即使受到科技和商业发展的冲击,民法中人的主体地位也不能动摇;另一方面,通过将新兴科技及其产物纳入其规制范围,民法可以不断完善和扩展以人为核心的法律秩序。
历史已经并将继续证明,单纯依靠自上而下的管理命令和禁止规定,难免会导致对信息主体合法权益的忽视,排斥私权主体对信息社会治理的参与,使个人信息保护的“权利法”沦为行政色彩浓重的“管理法”,无法从根本上保障人的合法权利。只有“管理法”和“权利法”并重,正视个人信息的私法属性,通过界定民事权益的方式赋予自然人对其个人信息的前提性权利,才能使信息主体充分参与信息社会治理,增加技术和商业主体发展的规则确定性,逐渐形成个人信息保护与利用的制度性激励,实现多方合作治理的新格局。
二、权利保护模式在我国民法上的意义
从立法论的角度,我国民法应当确立独立的个人信息权。
首先,权利保护模式设置了一道“防火墙”,有利于防止科技和商业的非理性发展。在比较法上,GDPR确立了一整套信息权利和严格保护标准,是权利保护模式的典型立法。有观点认为,GDPR与大数据时代的整体环境不协调,会增加信息企业的合规成本,对数字产业的创新和发展造成负面影响。个人信息保护立法的确需要考虑信息主体与技术、商业主体之间的利益平衡。但是,技术和商业的发展并非是立法唯一的考量,不能因为技术和商业的发展而放弃对个人信息的保护。GDPR严格保护个人信息,同时并未忽视对技术和商业主体的保护,在其名称中就强调了信息流动的重要性。
尽管个人信息保护需要兼顾技术和商业的发展,但是从根本上来说,经济发展要服务于人的发展,不能以牺牲人的自由、尊严、安全和财产为代价,重走环境问题“先污染后治理”的老路。只有充分重视对基本权利和社会秩序等基础价值的坚守,才能够协调好个人信息权利保护和信息流通之间的关系,避免对人类社会造成无法挽回的伤害。在我国,在信息主体、技术商业主体、公权力和公共利益的关系中,信息主体处于最弱势的地位,只有增强信息主体的权重,才能实现各方利益的平衡。
其次,权利保护模式能够为个人信息提供确定的权利基础,提升预期的稳定性。在我国的间接保护模式中,个人信息保护所依托的人身权益既可能是姓名权,也可能是名誉权、荣誉权、肖像权或隐私权。个人信息保护的权利基础处于变动和游移的状态,在具体个案中势必陷入纠结境地。而在权利保护模式中,个人信息权是个人信息保护明确的权利基础。凭借这种确定和具体的民事权利,信息主体能够支配和决定其个人信息的利用和呈现方式,有效地防止他人的非法侵害。
再次,从民事权利与利益的关系来看,权利化更有利于对个人信息的保护。不同于纯粹的法益,民事权利具备明确的正当化基础和清晰的外延,在法律上也可以获得更加切实的保障。对照来看,在法益保护模式中,法律仅对他人的特定行为进行控制,无法适应侵害行为在类型和方式上的扩展;在权利保护模式中,个人信息是具体民事权利的客体,属于通过法律确认并加以特别保护的“具备相对重要性”的对象,获得保护的力度最强。基于此种地位,个人信息权可以纳入到成熟的民事权利体系,适用既有的法律救济规范。
最后,权利保护模式有利于人格权编的体系和谐。2018年8月27日《民法典各分编(草案)》人格权编(一次审议稿)(以下简称“一审稿”)第六章规定了“隐私权和个人信息”,2019年4月19日《民法典人格权编(草案)》(二次审议稿)(以下简称“二审稿”)将第六章章名改为“隐私权和个人信息保护”。人格权编是人格权这类民事权利的系统规定,“个人信息”作为其中唯一的人格法益,不符合人格权编的体系定位。在二审稿第六章中,相较于隐私权的规定(2个条文259字),个人信息部分的条文数量更多、内容也更丰富(6个条文788字),而立法仅将个人信息作为法益规定,会导致“权利规定单薄、法益规定丰满”的失衡现象。因此,人格权编只有采取权利保护模式,才能够满足体系和谐这一科学立法的要求。
三、个人信息权的体系效应
在立法上承认个人信息权,势必会产生一系列后果。有观点主张,个人信息流通具有公共性价值,认可个人信息之上存在独立的民事权利会妨害信息自由,进而对公众知情权和公共事务造成负面影响。理想的方案是通过公法和私法的协力来构建严谨、系统的个人信息保护法律体系。
首先,个人信息流通具有公共性价值并不等于个人信息具有公共性价值。退一步来说,即便个人信息具有公共性价值,也不能推导出个人信息属于公共物品。将个人信息作为公共物品的观点,实际上是在个人信息领域确立“丛林规则”,弱肉强食在所难免。
其次,个人信息确权不等于妨碍信息自由。确权行为本身是在确定个人信息权利保护和行为自由(信息自由)之间的边界,试图兼顾个人信息权利保护和信息自由的双重目标。正如每个实体财产上都有权利存在,但这并不妨碍人们使用或转让财产的自由,相反是正常市场交易的前提和基础。
最后,担心确权会妨碍信息自由的观点,是认为信息自由具有优先正当性。信息自由的背后是技术和商业主体的利益,也有公众知情的权利。技术和商业的发达以及公众的知情权,无疑具有重要的意义。但是,技术和商业的发达、公众知情的根本目的还是为了人,而确权背后实际上就是信息主体。信息主体的信息利益是人的自由、尊严、安全和财产,是人的主体性。与人的主体地位相比较,信息自由不具有当然优先的正当性。在信息主体和技术、商业主体以及公众知情权之间寻求平衡,不能牺牲信息主体来成就信息自由。
四、个人信息权的性质
在《民法总则》的立法过程中,个人信息与知识产权的关系曾引发关注。在2016年2月3日《民法总则》(征求意见稿)中,并没有“个人信息”或“数据”的规定。2016年6月27日《民法总则》(一审稿) 第108条第4项将“信息数据”增加为知识产权的保护客体, 没有对“个人信息”和“数据”加以区分。2016年11月2日《民法总则》(二审稿)将“个人信息”和“数据”移出知识产权的保护范围, 并分别加以规定。《民法总则》保持了这种区分。
在目前的技术条件下,个人信息背后的经济价值已经能够被深度挖掘,个人信息牵涉的利益关系显然要比传统的人格利益更为复杂。有学者主张,法律规则设计需要充分考虑个人信息的资源性和财产性特征,应当在个人信息上设立财产权。也有学者主张,之所以不能赋予个人信息权类似于所有权的权能,是因为现实中相当一部分个人信息允许企业采集、使用和分析。关于个人信息权的性质, 还有多种主张。可见,个人信息权的体系定位还有深入讨论的必要。
在法律发展的早期,人们用所有权来描述典型的利益控制状态。但是,随着法律文化的发达,逐步形成不同权利对应不同利益控制的格局。在康德看来,人自身是目的而非手段,天生只具备自由的权利,人无法强制自身而为限制,所以对自身不能享有任何权利。萨维尼也认为,若肯定“对自我之人的支配”将使主体和客体混在一起,不仅产生矛盾,也忽视了人的伦理价值。德国民法受此影响,最初没有规定人格权。后来为因应人格保护的需要,新的权利观念逐渐产生。与所有权不同,人格权是法律所赋予之力,以满足其人之为人的利益。个人信息权就是这个意义上的权利。
尽管以所有权为代表的物权和人格权共用一个“权”字,同属于民事权利,但是,二者的内涵存在重大差异。物权客体必须存在于人身之外。而个人信息与信息主体存在着天然的联系,与生命、身体、健康、姓名、名誉、肖像等具有共同的人格属性。人们无法用所有权中的占用、使用、收益、处分权能来描述权利主体对个人信息的控制方式。因此,尽管个人信息具备经济价值,但不能成为物权的客体,难以置身于财产权利体系。
个人信息应当作为人格权的客体,但无论被定位为既有具体人格权的客体还是一般人格权的客体,其本质还是属于间接的保护,既无法调整个人信息保护中复杂的利益关系,也不能给人们的行为提供确定性指引。同时,即使在人格权法定主义看来,人格权类型也并非绝对封闭,具备一定程度的开放性。既然已有的人格权类型难以实现对个人信息的充分保护,立法就应当将个人信息权作为一种新类型的具体人格权。
对《人格权编(草案)》相关部分的修改建议主要为:首先,明确承认“个人信息权”的权利属性。其次,应当明确信息主体同意的基础地位,妥善设计和详细规定同意权的内容。再次,应当借鉴部门法和域外法的相关规定,对个人信息的类型和权利内容进行更典型和充分的列举。最后,个人信息权应当与隐私权分离,专章加以规定。
确定个人信息民法保护的基本理念和主要途径,远不是个人信息保护法律制度的终点。在权利保护模式的框架内,理论界和实务界应当继续共同努力,深入讨论个人信息权的制度和规则,处理好个人信息权利保护、促进信息自由流通和维护公共利益三者之间的关系,探究个人信息权的特征(绝对性抑或支配性)、内容(具体的权能或子权利)、行使(权利界限以及需要平衡的不同利益)、救济(责任方式、归责原则和损害赔偿)以及相关配套措施(诉讼方式、程序衔接)等一系列微观层面的问题,从而推动个人信息民法保护“中国模式”的形成。
来源:中国社会科学网