●《民法總則》第111條專門規定個人信息保護規則,首次從民事基本法層面提出個人信息權,并明確了個人信息保護的基本行為規范。
●目前為止,個人信息的法律內涵仍未明確。個人信息的法律內涵的界定也存在較大差異,混淆了“個人隱私”、“個人信息”以及“與個人有關的信息”的法律內涵。這種碎片化的立法模式給執法、司法實踐帶來了巨大的挑戰。
●當下,個人信息保護立法很少有從產業發展宏觀層面討論立法模式的選擇問題。走人格權路徑,抹殺了個人信息的流轉價值;走同意前置模式,限定了大數據發展的基礎資源;個人信息主體的查詢、修改、刪除等國際公認有益于擴大信息生產與共享的規則,并未寫入《民法總則》。
《民法總則》第111條專門規定個人信息保護規則,首次從民事基本法層面提出個人信息權,并明確了個人信息保護的基本行為規范。我們可以結合國內外個人信息保護立法實踐,分析《民法總則》中的個人信息權的法律內涵以及相關立法價值取向。
我國個人信息保護的法律體系
近年來,隨著個人信息泄露事件的多發,個人信息保護逐漸進入立法視野。起初,學界主張制定統一的《個人信息保護法》,但由于個人信息的內涵及法律屬性還存在較大爭議,統一法立法模式流產,轉而制定了一系列的原則性立法及單行規定。
刑事法律層面。《刑法修正案(七)》首次將非法獲取和提供個人信息入罪。此后《刑法修正案(九)》明確放寬了入罪的主體范圍,并將罪名統一為“侵犯公民個人信息罪”。今年,兩高發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,明確了量刑標準。
行政監管法律層面。《電信和互聯網用戶個人信息保護規定》是比較全面的個人信息保護單行規定。此后,幾乎所有互聯網單行立法均有涉及個人信息保護的規定。
民事法律層面。最高院《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》首次從司法解釋層面,明確了個人信息的法律內涵及侵權責任承擔方式。《民法總則》則首次從民事基本法層面確立了個人信息權。此前公布的《電子商務法(草案)》也專章規定了電商領域個人信息保護有關規范。
此外,全國人大《關于加強網絡信息保護的決定》、《網絡安全法》則從綜合法的層面,相對全面地規定了個人信息的法律內涵及保護規范。
個人信息的法律內涵
本次《民法總則》雖然確立了個人信息權的法律地位及性質,但是并未明確界定個人信息的法律內涵。早些時候,立法中曾存在“個人信息”、“個人數據”等多個提法,且關于個人信息的法律內涵的界定也存在較大差異,混淆了“個人隱私”、“個人信息”以及“與個人有關的信息”的法律內涵。這種碎片化的立法模式給執法、司法實踐帶來了巨大的挑戰。
在最高院《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》中,首次將“自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動”明確為“個人隱私和其他個人信息”,但并未明確區分“個人隱私”與“個人信息”。
此后,在《電信和互聯網用戶個人信息保護規定》中,明確提出個人信息是指“姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息”,首次獨立界定了個人信息的內涵,并提煉出個人信息的核心法律特征——識別性。
個人信息的完整法律內涵,成形于《網絡安全法》。該法采取概括加列舉的方式規定了個人信息的法律內涵,將個人信息的法律特征概括為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”,同時列舉了“自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”常見個人信息形式。
但在兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中,立法完全顛覆了我國立法及實踐中已經形成統一意見的“識別性”內涵,將個人信息放寬到“識別特定自然人身份或者反映特定自然人活動情況的各種信息”,實質上是混淆了“個人隱私”、“個人信息”和“與個人有關的信息”的法律內涵。
個人信息權的法律性質
個人信息權的法律主體
《民法總則》在個人信息權條款中,規定了兩個不同的主體,理論界稱為個人信息主體與個人信息處理者。
所謂個人信息主體,即指通過信息被識別出個人身份的自然人。盡管司法實踐中存在現實的需求,但遺憾的是,本次《民法總則》并未規定法人享有信息權。
我國早期法律中(例如刑法修正案七),僅將公共機構納入個人信息處理者的范疇,這一觀點在后來的立法中得到了糾正,本次《民法總則》則將數據處理者統一確立為“任何組織和個人”,包括收集、使用、轉讓個人信息的主體。
個人信息權的屬性
早些時候,關于個人信息權的法律性質一直存在較大爭議,主要有個人信息人格權說、財產權說和混合說。
人格權說,早期由隱私權說引申而來,即個人信息權是隱私權在互聯網時代的升級版,這種觀點在美國較為盛行。發展到后來,人格權說逐漸發展為一種獨立的、新型的人格權說。該種觀點認為,個人信息權的內涵在于對個人信息處理方式的控制,而不在于對個人信息本身的占有,事實上,個人并不是唯一有權占有個人信息的人,不具備財產權的排他性。
財產權說,主要的理論基礎是個人信息可以交易,具有經濟價值,于是提出了個人信息所有權的概念。該說認為,個人信息財產權說是保護個人信息利益最大化的最優途徑,也是鼓勵個人信息生產、分享的最好制度設計。
混合說則認為,個人信息權天然具有個人與財產的混合屬性,人格權說和財產權說僅僅是保護路徑的選擇問題,其最終目的還是要達到個人信息控制與社會信息共享的平衡。
本次《民法總則》采取了第一種觀點,將個人信息權確定為一種具體人格權,納入到民事權利中的人格權章節中。
個人信息權與其他民事權利的區別
首先,個人信息權與隱私權不分是早期立法的通病。事實上,隱私與個人信息的范圍,存在交叉,又各有獨立內容。隱私包括私人信息、私人空間、私人活動;而個人信息又包括隱私的信息(例如個人生理信息、財產信息等),也包括公開的信息(例如年齡、聯系方式等)。
其次,個人信息權與所有權也存在較大差異。所有權的內涵在于對財產的占有、使用和處置,但是個人信息權的內涵不在對個人信息的占有、處置等,而在于對個人信息處理的控制。例如,某人占有個人信息,并不能導致其他人對該個人信息占有的喪失。
最后,盡管在相對性上存在一定相似性,但個人信息權與知識產權不同。個人信息權基礎來源于信息本身的識別性,而并不是創造性;個人信息權及于個人信息主體有生之年,有嚴格的時間限制。
個人信息處理的法律規范
同意規范
個人信息權的核心在于對個人信息處理(而不是個人信息本身)的控制,但這種控制是否需要個人信息主體的在先同意,則是歐盟立法模式與美國立法模式的根本區別。
陰謀論者認為,歐盟一貫以嚴格的數據管制制度遏制美國的互聯網霸主地主,其體現之一就是個人信息處理合法性的前提就是個人同意。相反,在美國,個人信息是一種自然存在,只要滿足合法目的要求,任何人都可以采集和記錄,不需要事先征得個人同意。
我國《民法總則》雖未明確提出個人同意原則,但是其合法性要求理應包含了同意原則,因為在其他法律、法規中明確提出了“并經被收集者同意”的前置條件。例如在《網絡安全法》第四十一條、《關于加強網絡信息保護的決定》第二條均有明確規定。
關于同意是以積極的方式還是消極的方式作出,現有立法上沒有明確規定。但是,司法實踐中,對同意的方式提出了越來越高的要求,概括的、模糊的同意也在個案中受到越來越多的挑戰。這一點,歐盟在近期多個法律文件中也指出,“積極同意”應當逐漸成為個人信息保護的發展方向。我國《電子商務法(征求意見稿)》也明確規定,“電子商務經營主體不得以拒絕為用戶提供服務為由強迫用戶同意其收集、處理、利用個人信息。”
安全規范
本次《民法總則》正式稿與審議稿在個人信息保護上最大的進步,就是加入了安全性規范,即增加了“應當依法取得并確保信息安全”內容。
個人信息安全規范是多個立法文件中重點強調的內容,要求個人信息處理者應當妥善存儲其收集、使用的個人信息,并采取切實有效的措施防止數據被泄露、篡改或毀滅。
這一規范的現實意義在于,發生民事侵權責任后,原、被告雙方的舉證責任分配問題。不能苛求原告舉證被告(個人信息處理者)存在安全懈怠行為,相反,被告(個人信息處理者)必須舉證采取了法律規定的(例如《網絡安全法》列舉的眾多網絡安全義務)、必要的、審慎的個人信息保護措施,否則應當承擔個案不利的后果,例如用戶訴去哪兒網和某航空公司的案件。
透明規范
透明規范,即要求個人信息處理者在追求信息自由流通與個人信息保護之間尋求一種平衡,包括目的透明、方式透明、時間透明、范圍透明等。
例如,在《網絡安全法》、《關于加強網絡信息保護的決定》中均有明確規定,個人信息處理者應當“明示收集、使用信息的目的、方式和范圍”,堅持“正當、必要的原則”、“不得收集與其提供的服務無關的個人信息”。
個人信息保護“向左還是向右”
事實上,個人信息應當獲得法律保護,已經在世界各國達成共識。但是,各國從自身產業政策出發,卻制定了不同的保護途徑和方式,以尋求個人信息保護與促進信息共享之間的平衡。
在我國,由于近年來個人信息泄露事件頻發,引起了社會各界的廣泛關注,反射到立法層面,就成了當下的個人信息保護廣泛的微觀立法模式,很少有從產業發展宏觀層面討論立法模式的選擇問題。
現實的問題是,碎片化的、缺乏協調性的個人信息法律內涵界定模式給法律適用帶來了極大的挑戰;走人格權路徑,抹殺了個人信息的流轉價值;走同意前置模式,限定了大數據發展的基礎資源;個人信息主體的查詢、修改、刪除等國際公認有益于擴大信息生產與共享的規則,并未寫入《民法總則》;等等。
個人信息保護向左,信息自由流通向右。我們的立法,迷失在嘈雜社會現實的十字路口。
(作者為匯業律師事務所高級合伙人)
