作者:中国人民大学法学院教授、博士生导师 王利明
关键词: 个人信息权 信息隐私 个人信息自决权 人格权
内容提要: 尽管实践中对个人信息采用刑法、行政法等多重保护机制,但并不能影响或改变个人信息权为民事权利的基本属性。个人信息与个人人格密不可分,个人信息主要体现的是一个人的各种人格特征,故个人信息权是一种新型的具体人格权。个人信息权不属于一般人格权。个人信息与个人隐私在内容上存在一定的重合,但整体而言,个人信息概念远远超出了隐私信息的范围,应当将个人信息权单独规定,而非附属于隐私权之下。我国未来"人格权法"应当对于个人信息权作出规定,明确个人信息权的范围、内容、收集原则、侵害责任,以及商品化使用问题。
个人信息(personal information)是指与特定个人相关联的、反映个体特征的、具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面信息。在现代社会中,个人信息保护的必要性得到了凸显。自计算机诞生之后,信息技术获得了空前的发展,20世纪80年代开始的全球信息化运动,使人类进入了一个信息化社会。在信息社会(information society),个人信息成为一项重要的社会资源。实践中,侵害个人信息权的现象时有发生,特别是在网络环境下,个人信息权的保护显得尤为必要。为此,我国正在制定中的《人格权法》有必要将个人信息权作出专门规定。本文拟对此展开一些研究。
一、个人信息权是一项独立的民事权利
从比较法的角度来看,对个人信息的保护多采用综合法律部门调整的办法,所涉及的法律并不限于民法。例如,根据欧盟1995年"数据保护指令",如果有组织或者机构违反相关法律,不仅要对受害者承担民事赔偿责任,还要对主管机构追究行政法上的责任。在学理上,也有很多学者认为个人信息权不仅仅涉及民事权益,而且也涉及行政法、宪法,甚至刑法等众多方面的综合法律体系。例如,在德国,个人信息被上升到宪法上的权利加以保护,通过联邦宪法法院的判例不断加以完善,因此,学者们也往往从宪法的角度,而非民法的角度来讨论这一权利。 [1]
在我国,有许多法律和行政法规涉及个人信息的保护,如《刑法修正案(七)》规定,非法利用个人资料,情节严重的,行为人要承担刑事责任(《刑法》第253条第3款规定:"国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。"第4款规定:"窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。"第5款规定:"单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。");又如,《政府信息公开条例》第25条第2款规定:"公民、法人或者其他组织有证据证明行政机关提供的与其自身相关的政府信息记录不准确的,有权要求该行政机关予以更正。该行政机关无权更正的,应当转送有权更正的行政机关处理,并告知申请人。"但是,现行立法并未明确个人信息的法律属性,尤其是在民事立法中,并没有从整体上涉及是否承认个人信息权的民事权利属性,也未全面规定个人信息的保护。在此情形下,民法学界对个人信息权是否是独立的民事权利,也尚未达成共识。笔者认为,个人信息权是否是一种民事权利,不仅事关个人信息的保护机制,还牵涉到民事权利体系的构造,尤其关系到在我国未来的民法典中,是否有必要对个人信息予以全面的确认和保护。
笔者认为,个人信息权是一种独立的民事权利。民事权利本质上是指法律为了保障民事主体的特定利益而提供法律之力的保护,是类型化了的私人利益。简言之,民事权利的核心是一种私益。个人信息指自然人的姓名、性别、年龄、民族、婚姻、家庭、教育、职业、住址、健康、病历、个人经历、社会活动、个人信用等足以识别该人的信息,个人信息涉及的范围非常广泛,它既包括个人的直接识别和间接识别的任何信息,也包括其家庭的相关信息,如配偶子女的出生年月日、身高、体重、出生地、种族等。 [2]85由于个人信息并非有体,不能进行物理占有和支配,只能进行法律上的控制。这种控制就体现在对他人非法收集、处理和利用的禁止和排除。对这些个人信息的控制,本身体现的就是一种私益,这是个人信息能够成为民事权益的根本原因。这种私益始终附随于特定的民事主体,只要信息主体存在,那么其个人信息的相关权益就始终受到保护。对个人信息的非法公开、披露等,直接影响到个人生活安宁,是对个人私益的破坏。拥有个人信息的主体是特定的民事主体,该主体有权控制个人信息,并排斥他人的非法干涉,这种权利构造与物权以及生命权、姓名权等人格权一样,均属于民法中的绝对权。
实践中,尽管对个人信息采用刑法、行政法等多管齐下的多重保护机制,但并不能影响或改变个人信息权的民事权利属性。众所周知,物权、生命权等也都受法律的多重保护,但不影响它们的民事权利属性。其实,为了全面保护民事主体的利益,在民法之外,通过刑法、行政法乃至社会法来保护民事权利,毋宁是法律保护的常态表现,这一点在个人信息权中也不例外。在民事立法中,承认个人信息权是一项民事权利并通过民法予以基础性保护,具有如下重要意义:
首先,能准确界定个人信息的权利属性。一方面,个人信息体现的是一种私益,应当将其与公共利益区分开来;另一方面,有关个人信息的争议不仅仅发生在私人之间,也可能发生在私人与公权力之间,但是无论表现形式如何,其侵害的终究是私人的权益。将个人信息权界定为民事权利,说明个人信息是一项受法律保护的利益,它不仅需要得到其他民事主体的尊重,更需要国家公权力机构予以尊重,换言之,包含公权力机构在内的所有社会主体均有尊重个人信息的义务。而且,不仅权利主体自身可以采用合法措施保护该项利益,公权力机构也应当采取积极措施保障该项权利的实现。此外,个人信息在通常情况下是个人不愿意向他人或者社会公开的信息,它和个人私生活密切相关,是个人事务的组成部分,只要不涉及公共利益,个人信息的私密性应该被尊重和保护,即使有些个人信息已经被政府或者商业机构收集,也不意味着个人信息可以被任意公开。这一界定显然是民法的任务。
其次,能给受害人提供直接和全面的法律救济。一般认为,个人信息是一种利益,但其是否是一项权利,可能尚有争议。笔者认为,只有确认其为权利,才能够为个人信息提供充分的保护。具体说来,只有通过民事权利的确认,个人信息才能明确进入民法保护机制中,成为《侵权责任法》的调整对象,受害人据此可以要求加害人停止侵害、损害赔偿等,特别是通过与其性质相适应的特殊的侵权责任方式,如删除不当个人信息、更正对个人信息的不当利用等,更有助于消除侵害个人信息的"损害源"。这一点是仅仅作为利益加以保护所不具备的。
再次,能为其他法律保护提供基础。从比较法上来看,德国是在宪法中首先引入了个人信息权利,然后才在私法关系中,给予个人信息以保护。而在我国,由于宪法并没有可诉性,所以为了在私法关系中保护个人信息的相关权利,必须首先在民法中加以明确,此后,民事特别法中才能够给予补充规定,这样才能够为个人信息权提供全面的保护。
最后,能和其他保护机制相互协力或补充,有利于全面保护个人信息。刑法对个人信息的保护尽管力度最大,但范围狭窄,只有侵害个人信息的行为构成犯罪时,刑法才予以介入,这就导致因为过失泄露个人信息的行为难以被法律追究。而且,刑法对侵害个人信息构成犯罪的规定是粗线条的,仅限于非法获取、出售和非法提供,未涉及非法利用等,而实践中,侵害个人信息还有可能是合法获取但非法利用个人信息的情形,它们均处于刑法救济之外。面对刑法保护的上述欠缺,用民法确认个人信息权,并提供相应的保护措施,由侵害人承担民事责任,在受害人保护方面才更加圆满。还要看到,在实践中,追究刑事犯罪的程序复杂,尤其是个人信息正在受到侵害的情况下,难以为受害人提供便宜、及时、有效的保护,而通过停止侵害等民事责任方式,能及时制止侵害行为,防止损害的扩大。与此同理,仅仅通过行政管理或行政法的方式,也无法对个人信息进行充分的保护,也需民法保护予以协力。
个人信息权具有其特定的权利内涵,这决定其可以单独作为一种权利进行规定。从比较法上来看,有的国家通过单独立法,有的国家在民法典中予以规定,但都承认了个人信息权。在欧洲,比较流行的观点仍然是将个人信息权作为一项独立的权利对待。 [3]213在美国,也有人认为个人信息权可以作为一项个人基本权利而存在。可以说,个人信息权作为一种权利是现代社会发展的一种趋势。正是因为个人信息权的民事权利性质,所以决定着其必须在未来民法典中作出规定。
将个人信息权作为独立的民事权利来对待,民法势必要详细规范权利主体、客体、内容等基本点。只有在明确了这些基本规则之后,才能够为个人信息的保护提供充分的法律基础。
二、个人信息权是一项人格权
个人信息权作为一项新型的民事权利,在民法上究竟如何确定其性质,也一直存在争议,目前主要有"财产权说"和"人格权说"两种观点。应当看到,个人信息确实具有财产的因素,因为信息资料都蕴含着一定的商业价值,其本身也可以作为财产加以利用。 [4]尤其是在网络环境下,其财产价值更为突出。但笔者认为,个人信息的最主要特征并非为其财产属性。其原因在于:一方面,个人信息具有可识别性,体现了人格特征。大多数个人信息都可以直接表明个人身份,譬如个人的姓名、肖像、性别、民族等。某些个人信息虽然不能直接地表明个人身份,但可以与其他信息相结合后确定主体的身份,也属于指向某一特定主体的信息,如手机号码、家庭住址、门牌号码、通信地址等。另一方面,在许多情况下,某些机构或者组织收集个人信息,完全不是出于财产利用的目的,而是基于公共利益或者其他的非财产考虑。例如,负责治安和安全的机构收集犯罪嫌疑人的DNA基因信息是以公共秩序、公共安全为目的。从这个意义上,不能将个人信息完全界定为一种财产权。 [5]87还应当看到,如果把个人信息作为单纯的财产,当它受到侵害时,就很难计算实际的损害赔偿数额,由于每个人的职业、收入都不同,损害的计量标准难以统一规定。此外,个人信息权本身也很难融入传统财产权体系之中,它既非物权,也非债权,充其量只能作为所谓的无形财产权。但无形财产权的概念本身过于宽泛,将个人信息权纳入其中,会导致其丧失确定性。
笔者认为,个人信息权就其主要内容和特征而言,在民事权利体系中,应当属于人格权的范畴。个人信息权应当作为一项独立的权利来对待,此种权利常常被称为"信息自决权"。该概念起源于德国,最初由德国学者Wilhelm Steinmüller和BerndLutterbeck在1971年提出,在1983年的一个判决中被联邦宪法法院正式采用。 [6]所谓的信息自决权(dasRechtaufinformationelleSelbstbestimmung),在德国法的语境中是指"个人依照法律控制自己的个人信息并决定是否被收集和利用的权利" [7]。依据德国联邦宪法法院的观点,这一权利是所谓的"基本权利",其产生的基础为一般人格权。 [5]法律保护个人信息是为了维护个人的人格尊严和人格平等。确认个人对其信息的自主支配,就是要维护个人的人格尊严。如果将个人信息权作为财产权,势必妨害人格的平等性,因为每个人的经济状况不同,信息资料也有不同价值,但人格应当是平等保护的,不应当区别对待。
个人信息权符合人格权的本质特征,因为个人信息与个人人格密不可分,个人信息主要体现的是一个人的各种人格特征。法律保护个人信息权,虽然以禁止披露相关信息为其表现形式,但背后突出反映了对个人控制其信息资料的充分尊重。个人信息权的基础是个人的自决权,就是其自主决定其事务的权利。权利人同意他人搜集、利用或采取何种利用方式,都是权利人控制权的具体表现。 [8]288笔者认为,个人信息权不仅应该作为一种独立的权利,而且应该作为一种具体人格权加以保护。具体理由如下:
第一,个人信息权以人格利益为保护对象,具有特定的权利内涵。法律保护个人信息权,禁止非法披露他人个人信息,个人信息权背后突出反映了对个人控制其信息资料的充分尊重。这种控制表现在个人有权了解谁在搜集其信息资料,搜集了怎样的信息资料,搜集这些信息资料从事何种用途,所搜集的信息资料是否客观全面,个人对信息资料是否有自我利用或允许他人利用的权利等。 [9]1从内容上看,隐私权制度的重心在于防范个人的私密信息不被披露,而并不在于保护这种私密信息的控制与利用,这就产生了个人信息权与个人隐私权的分离和独立。个人信息权所指向的对个人信息的控制、支配,是传统隐私权所不能包含的。正是从这个意义上,学者也将其称为"控制自己资讯的权利"或"资讯自决权"。 [5]90
第二,个人信息权的客体具有丰富性,不宜为其他权利所概括,这也决定了应该将其作为独立的具体人格权。一方面,大多数个人信息都可以直接表明个人身份,譬如个人的姓名、肖像、性别、民族等。这些个人信息中的某些部分,如姓名、肖像等,已经形成一种具体的人格权,因此不再需要通过个人信息权的方式单独保护。另一方面,某些个人信息虽然不能直接表明个人身份,但其可以单独或者与其他信息相结合后确定主体的身份,也属于指向某一特定主体的信息,如手机号码、家庭住址、门牌号码、通信地址等。例如,手机号码本身并不必然指向某一主体,因为个人可以改换手机号码,每个人可以同时拥有多个手机号码,但它与其他信息相结合后,就指向某一特定的主体。如果手机号被披露,将可能收到大量的骚扰电话或个人的隐私会被暴露,私生活会受到侵犯。个人信息的这些丰富内容也适宜将其作为一项独立的具体人格权加以确认和保护。
第三,将个人信息权确认为一项具体人格权有利于对其提供有效的法律保护。应当承认,个人信息具有财产性和人格性的双重属性,基于此,在对个人信息进行保护的过程中,不能仅仅保护其财产属性方面,而忽视其人格利益层面,反之亦然。笔者认为,将个人信息确认为具体人格权有利于对其实行有效的多层面保护,原因在于:一方面,将其确认为人格权之后,并没有忽视对其财产价值的保护,我国有关立法已经关注到人格权商品化现象,并采取了相应的具体规则。如《侵权责任法》第20条针对侵害人身权益造成财产损失的现象确立了"获利视为损失"的赔偿规则,此项规则主要反映了人格权商品化的趋势。个人信息利用和人格权商品化的情况一样,其遭受侵害后同样可以据此获得财产损失赔偿。另一方面,将其确认为具体人格权,有利于对其采用具体人格权的保护方法,如果将个人信息权单纯作为一项财产权,当其受到侵害后,在损害赔偿的具体计算方式上势必会根据个人身份的差别而有所区别。另外,在侵害众多人的个人信息时,仅仅要求财产价值的赔偿,其数额往往很小,不利于对加害人进行有效的惩治。将其确认为具体的人格权就可以依据《侵权责任法》第22条的规定,通过精神损害赔偿的方式对受害人进行有效的保护。
第四,确认和保护个人信息权有利于维护人格尊严,促进人格平等。从人格权制度的发展来看,人格权法逐步从物质性的人格权发展到精神性的人格权。过去更多地关注物质属性的人格权,现在则更强调社会属性的人格权。 [10]258-284人格权的类型更加丰富多样,个人信息权正是人格权类型丰富的一种重要体现。一方面,虽然个人信息在财产价值层面可能会有所差别,但从人格的层面看,其一律平等;另一方面,个人信息权也彰显人的人格尊严,现代社会高度的商业化和信息化,使得人们的个人信息受到严重的威胁,个人信息的流转和开发利用,会给当事人的私人生活带来纷扰,也对其人格尊严是一种贬损,因此,法律承认个人信息权是一种独立的人格权,有助于让权利人获得有效的法律保护。
需要说明的是,在国外,有学者认为个人信息权属于一般人格权。 [11]在我国,也有人持这种见解。事实上,在现行法未明确规定个人信息权之前,为了应对现实中的个人信息保护问题,这种见解有其合理性。从德国一般人格权产生的原因来看,主要是因为《德国民法典》中仅列举了有限的人格权,如姓名、生命、身体、自由等,而未规定隐私等权利,因而,法院有必要以判例的方式对于民法典没有列举的人格权予以保护,一般人格权具有兜底保护的功能。从一般人格权包含的内容来看,它既包含权利,又包含法益。在我国,最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》第1条将"人格尊严权"作为精神损害赔偿制度保护的范围。按照起草人的解释,"人格尊严"在理论上被称为"一般人格权",是人格权利一般价值的集中体现,因此,它具有补充法律规定的具体人格权利立法不足的重要作用。在处理具体案件时,可以将人格尊严作为一般人格权以补充具体人格权。 [12]可以说,一般人格权是对人格的概括保护,本身是为了弥补具体人格权的不足,在立法上未对个人信息权作出规定的情况下,通过一般人格权保护也未尝不是一种保护方式。
不过,一般人格权过于抽象概括,指向不明确,不利于司法裁判的明确和可预期。德国法院直接援引基本法而创设一般人格权概念、扩大具体人格权范围的做法,在法学方法上也受到一些权威学者的批评。他们认为,此种做法超越了法院的职权,加剧了法律的不确定性。 [13]31例如,拉伦茨认为,一般人格权在内容上极难确定,故侵害一般人格权不适用民法关于侵权行为的规定。 [14]这意味着,一般人格权虽然有补足具体人格权的作用,但因缺乏明确性和确定性,饱受非议。如果我们无视个人信息权作为具体人格权的限定性,仍然将其作为一般人格权规定,而不是单独地确认为具体人格权,它就会更加抽象和不确定,既不利于对其进行有效保护,也不利于人格权体系的完整性。
三、个人信息权不同于隐私权
纵观两大法系关于个人信息保护的基本模式和内容可以看出,两大法系存在着明显的差别。在欧洲,主要通过统一立法的形式,对于各个领域的个人信息收集、处理和利用作出统一的规定。例如,德国等国家都是通过制定统一的立法进行保护的。《德国联邦个人资料保护法》是大陆法系个人信息保护立法的典型代表。该法以一般人格权为基础保护个人信息,以保护个人信息之上的人格权益为宗旨和目的,以信息主体的权利为核心,对个人信息的收集、处理和利用分为国家机关和非国家机关两种模式进行规范。而美国则采取了分散立法的方式 [15]79-80,1974年《美国隐私法》以隐私权保护为基础,通过隐私权对个人信息加以保护。从比较法上来看,以美国法为代表的一些国家主要是采取隐私权的方法对个人信息进行保护。按照Daniel J. Solove和Paul M.Schwartz二人的看法,个人信息本质上是一种隐私,法律上作为一种隐私加以保护,可以界定其权利范围。 [9]2在对个人信息概念的表述上,美国学者也常常从隐私权的角度进行定义,如Solove教授就用侵犯隐私形容在网络中泄露他人信息的行为。 [9]2艾伦也指出,"隐私就是我们对自己所有的信息的控制" [16]13。美国司法实践中,也大都将个人信息作为一种隐私加以保护。
应当承认,个人信息和隐私确有密切关联。一方面,个人资料具有一定程度的私密性,很多个人信息都是人们不愿对外公布的私人信息,是个人不愿他人介入的私人空间,不论其是否具有经济价值,都体现了一种人格利益。 [11]另一方面,从侵害个人信息的表现形式来看,侵害个人信息权,多数也采用披露个人信息方式,从而与侵害隐私权非常类似。在我国司法实践中,法院也往往采取隐私权的保护方法为个人信息的权利人提供救济。(参见"冒凤军诉中国电信集团黄页信息有限公司南通分公司等隐私权纠纷案",载最高人民法院 中国应用法学研究所编:《人民法院案例选》(第4辑),人民法院出版社,2011年版,第42页。)在这一背景下,将个人信息权理解为隐私权的一部分,是可以理解的。但是,个人信息不完全属于隐私的范畴,不能将其与隐私权混同。主要原因在于:
第一,客体范围不同。隐私权的客体主要是一种私密性的信息,如个人身体状况、家庭状况、婚姻状况等,凡是个人不愿意公开披露且不涉及公共利益的部分都可以成为个人隐私。而就个人信息来说,它虽可能与隐私部分重合,但其都以信息的形式表现出来,且其许多内容不一定是私密的。例如,个人电话号码有可能经过本人的同意披露在黄页上,此信息有可能和其他信息结合构成一个完整的个人信息,并成为个人信息权的客体,但此时已经和个人隐私权无关。再如,家庭住址在一定范围内也可能已经公开,不再属于隐私,但其仍然属于个人信息。由于在社会生活中,个人姓名信息、个人身份证信息、电话号码信息的搜集和公开牵涉到社会交往和公共管理需要,是必须在一定范围内为社会特定人或者不特定人所周知的,这些个人信息显然难以归入到隐私权的范畴。 [2]79
第二,权利性质不同。隐私权主要是一种精神性的人格权,虽然可以被利用,但其财产价值并不十分突出,而个人信息在性质上属于一种综合性的权利,其不完全是精神性的人格权。隐私权主要是一种被动性的人格权,通常只有在权利遭受侵害时才能由权利人进行主张。而个人信息权则主要是一种主动性人格权,权利人除了被动防御第三人的侵害之外,还可以对其进行积极利用。
第三,权利内容不同。隐私权的内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等;个人信息权主要是指对个人信息的支配和自主决定。个人信息权包括隐私权的内容,但其与普通的隐私权有所不同。"普通的隐私权主要是一种消极的、排他的权利,但是资讯自决权则赋予了权利人一种排他的、积极的、能动的控制权和利用权。" [17]419个人信息权的内容包括了个人对信息如何收集、利用等知情权,如何自己利用或者授权他人利用的决定权,这些都是个人信息权的重要内容。有些信息资料是可以公开的,而且是必须公开的。但是,即便对于这些个人信息,个人应当也有一定的控制的权利,如知晓在多大程度上公开,向什么样的人公开,别人会出于怎样的目的利用这些信息,等等。从内容上看,隐私权制度的重心在于防范个人秘密被披露,而并不在于保护这种秘密的控制与利用,这显然不包涵个人决定的权利。
第四,保护方式不同。通常来说,隐私权更多的是一种不受他人侵害的消极防御权利,即权利人在受到侵害时可要求停止侵害或者排除妨碍,而个人信息权则包含要求更新、更正等救济方式。在侵害隐私权的情况下,通常主要采用精神损害赔偿的方式加以救济。但对个人信息的保护,除采用精神损害赔偿的方式外,也可以采用财产救济的方法。由于信息资料可以商品化,在侵害个人信息的情况下,也有可能造成权利人财产利益的损失。有时,即便受害人难以证明自己所遭受的损失,也可以根据《侵权责任法》第20条关于侵权人"所获利益视为损失"的规则,通过证明行为人所获得的利益,推定受害人遭受的损害,从而主张损害赔偿。
因此,个人信息与个人隐私虽然在内容上存在一定的重合,但隐私信息是指个人不愿向外透露的信息或者处于个人敏感不欲为他人所知信息,隐私信息重在保护个人的秘密空间;而个人信息概念则侧重于"识别",即通过个人信息将个人"认出来"。个人信息权是指个人对于自身信息资料的一种控制权,并不完全是一种消极地排除他人使用的权利,更多情况下是一种自主控制下的适当传播的权利。隐私权虽也包括以个人信息形式存在的隐私,但其权利宗旨主要在于排斥他人对自身隐私的非法窃取、传播。当然,也不排除这两种权利的保护对象之间存在一定的交叉,如随意传播个人病历资料,既侵犯个人隐私权,也侵犯了个人信息权。但整体而言,个人信息概念远远超出了隐私信息的范围。 [18]118-119在法律上区分个人信息权和隐私权,这意味着在我国未来的民法典中,应当将个人信息权单独规定,而非附属于隐私权之下。
四、我国人格权法应当对个人信息权作出规定
笔者认为,在我国未来的人格权法中确认个人信息权将使得人格权法更富有时代性。在信息社会中,个人信息遭受侵害的危险性和危害性越发明显。例如,针对某些地方倒卖个人信息十分猖獗的情况,国家专门颁布了《刑法修正案七》,将倒卖个人信息作为一种犯罪行为来处理。然而,对于没有构成犯罪的行为,则处于刑法管辖之外。面对刑法保护的上述欠缺,用民法确认个人信息权,并提供相应的保护措施,由侵害人承担民事责任,是十分必要的。
在人格权法中确认个人信息权,应当重点解决如下问题:
第一,个人信息的规范模式。从比较法上来看,有抽象概念和具体列举两种不同模式,我们认为,应当尽可能地详细列举,以明确个人信息的范围。例如,我国台湾地区2010年颁布的《个人资料保护法》第2条第1项规定:"个人资料指自然人之姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之数据。"采取这种规范方式,有利于明确个人信息权的权利保护范围,在具体的司法实践中,普通民众可以清晰地了解个人信息权的保护对象,司法机关也能够针对具体的对象准确适用法律,减少争议。
第二,确认个人信息权的内容。个人信息权的实质就是对个人信息的控制。在比较法上,一些国家对个人信息的内容作出了规定,例如,《德国联邦个人数据保护法》规定个人信息权的主要内容包括在收集、处理和使用信息过程中当事人的知情权和决定权。 [19]笔者认为,我国人格权法主要应当规定,个人信息的权利人有权排斥他人非法收集、处理和利用。未经法律的许可,任何机构不得非法收集个人信息,更不得对这些信息进行非法利用。即使有关机构掌握了个人信息,也不能将个人信息任意向社会公开。由于个人信息往往是提供给特定机构的,这些机构对这些信息的使用将直接关系到个人的切身利益,因此,必须保证资料的真实性。在信息收集过程中,以及收集以后,个人应当享有跟踪、查证,并且根据真实情况修改的权利。 [20]
此外,对于儿童个人信息应当采取特殊的保护。根据许多国家的法律规定,商业机构获取儿童的信息即使获得了儿童的许可亦不能免责,除非获得了法定代理人的信息使用许可。例如,儿童通过互联网做作业以及进行娱乐沟通、玩游戏、下载及社交等,网站常常要求儿童填写有关资料,并允许网站利用这些信息。根据美国《儿童在线隐私保护法》的有关规定,对此种情形必须要征得其父母的同意。 [21]63这种规定也是值得借鉴的。
第三,个人信息权的商品化及其损害赔偿规则。个人信息资料不同于传统隐私信息的一个重要特征就是其可以商品化。现代社会中,个人信息的传播、使用能够带来数量可观的财产收益。不论是个人的职业信息、健康信息、信用信息,还是个人的网络浏览信息,都可以进行商业化开发,产生经济效益。但必须强调的是,信息主体是个人信息的权利人,其个人信息的商品化开发必须由其自主进行,或征得他的同意。否则,即侵犯了个人信息权人的商品化开发利用的权利,应当承担相应的损害赔偿责任。此时,即便受害人难以证明自己所遭受的损失,也可以根据《侵权责任法》第20条关于侵权人"所获利益视为损失"的规则,通过证明行为人所获得的利益,推定受害人遭受的损害,从而主张损害赔偿。
第四,个人信息收集的基本原则。一是合法性原则,即任何机关和个人在收集他人个人信息时,应当遵循合法性原则,保证收集的主体和手段必须合法。二是合目的性原则,即个人信息收集必须要符合特定目的,且不能够在此目的之外使用相关信息。三是最少使用原则,即在从事某一特定活动可以使用、也可以不使用个人信息时,要尽量不使用;在必须使用并征得权利人许可时,要尽量少使用;获取的信息量,以满足使用目的为必要;为达到目的只需要使用权利人的非敏感个人信息,就不应该扩大信息收集和使用的范围。 [22]四是知情同意原则,知情同意是个人信息权的核心,是最能够体现个人价值的原则,信息人本人的知情同意是对信息进行收集、处理和使用的基础,没有当事人的知情同意,除非法律强制规定的情况以外,任何的收集行为都是没有合法性基础的。五是效率原则,即信息的收集要符合效率和比例要求,在收集过程中必须考虑收集的成本。确认了个人信息收集的基本原则,就能够保证信息收集过程的合理合法,确保在收集充分信息的同时,不损害权利人的相关权益。
第五,侵害个人信息权的责任。一般认为,传统人格权具备消极抵御的特性,这就是说,只有在这些权利受到侵害或者面临受到侵害危险的情况下,权利人才有主张权利的基础,并且有权要求停止侵害、排除妨害、恢复名誉、赔礼道歉和赔偿损害。但是,个人信息权具备查询、更正、补充、封锁、删除的权能,权利人在行使这些权能的时候,不以受到侵害或面临侵害为条件,体现出积极的特性。 [17]419所以,人格权法中,对这种特殊的侵害个人信息权的救济方式应当有所提及。一方面要规定个人信息权的消极权能受到侵害时的责任,另一方面也要规定其积极权能受到侵害时的责任。
需要指出的是,在"人格权法"中确认"个人信息权"的独立地位是为今后的单行立法提供基础。在"人格权法"确认个人信息权作为一类独立的人格权之后,还应当制定单独的个人信息保护法,确立个人信息保护的基本原则、政府机关的义务和责任、对个人信息的综合法律调整等等。
结语
在信息社会中,个人信息的重要性日益凸显,加强对个人信息的立法保护也已经形成社会共识,但如何进行保护,是立法所面对的重大课题,还未形成共识。我们认为,无论是采用单独立法,还是在未来民法典中加以规定,前提是要准确界定个人信息权的法律性质,只有这样,才能给立法以明确的方向引导。鉴于个人信息权是为了表征民事主体的私人利益,在权利定性上应当归属于民事权利,只有以此为基点展开对个人信息权的规制和保护,才能有效地解决现实问题和应对未来挑战。在个人信息权的立法思路上,应采用在民事权利基础上的"保护"思路,将个人信息权回归于个人利益的范畴,赋予权利人自我决定和排除干涉的权利,而不应采用重视政府干预的"管理"思路,毕竟,个人是私益的最佳感应者,能真切把握权利存续和缺失的意义。只有给权利人以充足的权利,才能使得政府的管理有的放矢,可以说,在个人信息的立法导向上,只有"保护好才能管理好"!
注释:
[1]Maunz/Duerig,Grundgesetz-Kommentar 64. Ergaenzungslieferung,Verlag C.H. Beck Muenchen,2012,s.174 ff.
[2]齐爱民.拯救信息社会中的人格:个人信息保护法总论[M].北京:北京大学出版社,2009.
[3]James BR,Graham G. Global Privacy Protection[M]. Edward Elgar Publishing,2008.
[4]刘德良.个人信息的财产权保护[J].法学研究,2007,(3).
[5]孔令杰.个人资料隐私权的法律保护[M].武汉:武汉大学出版社,2009.
[6]BVerfG,Urteil des Ersten Senats vom 15. Dezember 1983,1 BvR 209/83 u. a. - Volksz hlung -,BVerfGE 65,s.1.
[7]Gola/Schomerus,Bundesdatenschutzgesetz(BDSG)Kommentar,11. Auflage,Verlag C.H. Beck München 2012,Rn. 9.
[8]李震山.论资讯自决权[G]//人性尊严与人权保障.台北:元照出版公司,2000.
[9]Daniel J. Solove & Paul M. Schwartz,Information Privacy Law,Third Edition,Wolters Kluwer,2009.
[10]Philippe Malinvaud,Introduction à l'étude du droit,9e édition,Litec,2002.
[11]张新宝.信息技术的发展与隐私权保护[J].法制与社会发展,1996,(5).
[12]陈现杰〈.最高人民法院关于确定民事侵权精神损害赔偿责任若干问题〉的解释的理解与适用[N].人民法院
报,2001-03-28.
[13]王泽鉴.人格权之保护与非财产损害赔偿[G]//王泽鉴.民法学说与判例研究(第1辑),1992.
[14]Larenz,Lehrbuch des Schuldrechts,Bd.II.1962,s.366.
[15]周汉华.个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.
[16][美]阿丽塔 L 艾伦,等.美国隐私法:学说、判例与立法[M].冯建妹等编译.北京:中国民主法制出版社,
2004.
[17]任晓红.数据隐私权[G]//杨立新.侵权法热点问题法律应用.北京:人民法院出版社,2000.
[18]李晓辉.信息权利研究[M].北京:知识产权出版社,2006.
[19]S. SIMITIS. Kommentar zum Bundesdatenschutzgesetz,V ed.,Baden-Baden,2003,s.129.
[20]周佳念.信息技术的发展与隐私权的保护[J].法商研究,2003,(1).
[21]Margaret C. Jasper,Privacy and the Internet:Your Expectations and Rights under the Law[M]. New York:Oxford
University Press,2009.
[22]郭少峰,吴鹏.个人信息保护将出台国标明确使用后立即删除[N].新京报,2012-04-05.
来源:《苏州大学学报》2012年第6期
重点领域
重大疑难复杂刑事案件 虚开增值税发票刑事案件 重大税务争议案件 重大疑难房地产纠纷 重大建设工程合同纠纷特色服务
重大疑难案件专家论证 专家法律咨询 律师法律顾问 法律尽职调查 刑事案件辩护代理范围
案件委托 法律援助 法学专家论证 专家证人出庭 司法鉴定评估关于我们
联系我们 关于我们 著名法学专家 智律网 屋连网QQ/微信号
1056606199