●《民法总则》第111条专门规定个人信息保护规则,首次从民事基本法层面提出个人信息权,并明确了个人信息保护的基本行为规范。
●目前为止,个人信息的法律内涵仍未明确。个人信息的法律内涵的界定也存在较大差异,混淆了“个人隐私”、“个人信息”以及“与个人有关的信息”的法律内涵。这种碎片化的立法模式给执法、司法实践带来了巨大的挑战。
●当下,个人信息保护立法很少有从产业发展宏观层面讨论立法模式的选择问题。走人格权路径,抹杀了个人信息的流转价值;走同意前置模式,限定了大数据发展的基础资源;个人信息主体的查询、修改、删除等国际公认有益于扩大信息生产与共享的规则,并未写入《民法总则》。
□黄春林
《民法总则》第111条专门规定个人信息保护规则,首次从民事基本法层面提出个人信息权,并明确了个人信息保护的基本行为规范。我们可以结合国内外个人信息保护立法实践,分析《民法总则》中的个人信息权的法律内涵以及相关立法价值取向。
我国个人信息保护的法律体系
近年来,随着个人信息泄露事件的多发,个人信息保护逐渐进入立法视野。起初,学界主张制定统一的《个人信息保护法》,但由于个人信息的内涵及法律属性还存在较大争议,统一法立法模式流产,转而制定了一系列的原则性立法及单行规定。
刑事法律层面。《刑法修正案(七)》首次将非法获取和提供个人信息入罪。此后《刑法修正案(九)》明确放宽了入罪的主体范围,并将罪名统一为“侵犯公民个人信息罪”。今年,两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,明确了量刑标准。
行政监管法律层面。《电信和互联网用户个人信息保护规定》是比较全面的个人信息保护单行规定。此后,几乎所有互联网单行立法均有涉及个人信息保护的规定。
民事法律层面。最高院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》首次从司法解释层面,明确了个人信息的法律内涵及侵权责任承担方式。《民法总则》则首次从民事基本法层面确立了个人信息权。此前公布的《电子商务法(草案)》也专章规定了电商领域个人信息保护有关规范。
此外,全国人大《关于加强网络信息保护的决定》、《网络安全法》则从综合法的层面,相对全面地规定了个人信息的法律内涵及保护规范。
个人信息的法律内涵
本次《民法总则》虽然确立了个人信息权的法律地位及性质,但是并未明确界定个人信息的法律内涵。早些时候,立法中曾存在“个人信息”、“个人数据”等多个提法,且关于个人信息的法律内涵的界定也存在较大差异,混淆了“个人隐私”、“个人信息”以及“与个人有关的信息”的法律内涵。这种碎片化的立法模式给执法、司法实践带来了巨大的挑战。
在最高院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中,首次将“自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动”明确为“个人隐私和其他个人信息”,但并未明确区分“个人隐私”与“个人信息”。
此后,在《电信和互联网用户个人信息保护规定》中,明确提出个人信息是指“姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”,首次独立界定了个人信息的内涵,并提炼出个人信息的核心法律特征——识别性。
个人信息的完整法律内涵,成形于《网络安全法》。该法采取概括加列举的方式规定了个人信息的法律内涵,将个人信息的法律特征概括为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,同时列举了“自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”常见个人信息形式。
但在两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,立法完全颠覆了我国立法及实践中已经形成统一意见的“识别性”内涵,将个人信息放宽到“识别特定自然人身份或者反映特定自然人活动情况的各种信息”,实质上是混淆了“个人隐私”、“个人信息”和“与个人有关的信息”的法律内涵。
个人信息权的法律性质
个人信息权的法律主体
《民法总则》在个人信息权条款中,规定了两个不同的主体,理论界称为个人信息主体与个人信息处理者。
所谓个人信息主体,即指通过信息被识别出个人身份的自然人。尽管司法实践中存在现实的需求,但遗憾的是,本次《民法总则》并未规定法人享有信息权。
我国早期法律中(例如刑法修正案七),仅将公共机构纳入个人信息处理者的范畴,这一观点在后来的立法中得到了纠正,本次《民法总则》则将数据处理者统一确立为“任何组织和个人”,包括收集、使用、转让个人信息的主体。
个人信息权的属性
早些时候,关于个人信息权的法律性质一直存在较大争议,主要有个人信息人格权说、财产权说和混合说。
人格权说,早期由隐私权说引申而来,即个人信息权是隐私权在互联网时代的升级版,这种观点在美国较为盛行。发展到后来,人格权说逐渐发展为一种独立的、新型的人格权说。该种观点认为,个人信息权的内涵在于对个人信息处理方式的控制,而不在于对个人信息本身的占有,事实上,个人并不是唯一有权占有个人信息的人,不具备财产权的排他性。
财产权说,主要的理论基础是个人信息可以交易,具有经济价值,于是提出了个人信息所有权的概念。该说认为,个人信息财产权说是保护个人信息利益最大化的最优途径,也是鼓励个人信息生产、分享的最好制度设计。
混合说则认为,个人信息权天然具有个人与财产的混合属性,人格权说和财产权说仅仅是保护路径的选择问题,其最终目的还是要达到个人信息控制与社会信息共享的平衡。
本次《民法总则》采取了第一种观点,将个人信息权确定为一种具体人格权,纳入到民事权利中的人格权章节中。
个人信息权与其他民事权利的区别
首先,个人信息权与隐私权不分是早期立法的通病。事实上,隐私与个人信息的范围,存在交叉,又各有独立内容。隐私包括私人信息、私人空间、私人活动;而个人信息又包括隐私的信息(例如个人生理信息、财产信息等),也包括公开的信息(例如年龄、联系方式等)。
其次,个人信息权与所有权也存在较大差异。所有权的内涵在于对财产的占有、使用和处置,但是个人信息权的内涵不在对个人信息的占有、处置等,而在于对个人信息处理的控制。例如,某人占有个人信息,并不能导致其他人对该个人信息占有的丧失。
最后,尽管在相对性上存在一定相似性,但个人信息权与知识产权不同。个人信息权基础来源于信息本身的识别性,而并不是创造性;个人信息权及于个人信息主体有生之年,有严格的时间限制。
个人信息处理的法律规范
同意规范
个人信息权的核心在于对个人信息处理(而不是个人信息本身)的控制,但这种控制是否需要个人信息主体的在先同意,则是欧盟立法模式与美国立法模式的根本区别。
阴谋论者认为,欧盟一贯以严格的数据管制制度遏制美国的互联网霸主地主,其体现之一就是个人信息处理合法性的前提就是个人同意。相反,在美国,个人信息是一种自然存在,只要满足合法目的要求,任何人都可以采集和记录,不需要事先征得个人同意。
我国《民法总则》虽未明确提出个人同意原则,但是其合法性要求理应包含了同意原则,因为在其他法律、法规中明确提出了“并经被收集者同意”的前置条件。例如在《网络安全法》第四十一条、《关于加强网络信息保护的决定》第二条均有明确规定。
关于同意是以积极的方式还是消极的方式作出,现有立法上没有明确规定。但是,司法实践中,对同意的方式提出了越来越高的要求,概括的、模糊的同意也在个案中受到越来越多的挑战。这一点,欧盟在近期多个法律文件中也指出,“积极同意”应当逐渐成为个人信息保护的发展方向。我国《电子商务法(征求意见稿)》也明确规定,“电子商务经营主体不得以拒绝为用户提供服务为由强迫用户同意其收集、处理、利用个人信息。”
安全规范
本次《民法总则》正式稿与审议稿在个人信息保护上最大的进步,就是加入了安全性规范,即增加了“应当依法取得并确保信息安全”内容。
个人信息安全规范是多个立法文件中重点强调的内容,要求个人信息处理者应当妥善存储其收集、使用的个人信息,并采取切实有效的措施防止数据被泄露、篡改或毁灭。
这一规范的现实意义在于,发生民事侵权责任后,原、被告双方的举证责任分配问题。不能苛求原告举证被告(个人信息处理者)存在安全懈怠行为,相反,被告(个人信息处理者)必须举证采取了法律规定的(例如《网络安全法》列举的众多网络安全义务)、必要的、审慎的个人信息保护措施,否则应当承担个案不利的后果,例如用户诉去哪儿网和某航空公司的案件。
透明规范
透明规范,即要求个人信息处理者在追求信息自由流通与个人信息保护之间寻求一种平衡,包括目的透明、方式透明、时间透明、范围透明等。
例如,在《网络安全法》、《关于加强网络信息保护的决定》中均有明确规定,个人信息处理者应当“明示收集、使用信息的目的、方式和范围”,坚持“正当、必要的原则”、“不得收集与其提供的服务无关的个人信息”。
个人信息保护“向左还是向右”
事实上,个人信息应当获得法律保护,已经在世界各国达成共识。但是,各国从自身产业政策出发,却制定了不同的保护途径和方式,以寻求个人信息保护与促进信息共享之间的平衡。
在我国,由于近年来个人信息泄露事件频发,引起了社会各界的广泛关注,反射到立法层面,就成了当下的个人信息保护广泛的微观立法模式,很少有从产业发展宏观层面讨论立法模式的选择问题。
现实的问题是,碎片化的、缺乏协调性的个人信息法律内涵界定模式给法律适用带来了极大的挑战;走人格权路径,抹杀了个人信息的流转价值;走同意前置模式,限定了大数据发展的基础资源;个人信息主体的查询、修改、删除等国际公认有益于扩大信息生产与共享的规则,并未写入《民法总则》;等等。
个人信息保护向左,信息自由流通向右。我们的立法,迷失在嘈杂社会现实的十字路口。
(作者为汇业律师事务所高级合伙人)
