1. 引言
信息技术日新月异,信息化浪潮蓬勃兴起。随着信息技术、互联网+、5G等信息技术的发展,电子数据与自然人的联系日益紧密,个人数据逐渐成为自然人的另一面“镜子”。个人信息内蕴含的爆炸式增长的经济价值导致诸多企业、个人铤而走险,在此背景下诞生诸多灰色个人信息产业链。大数据背景下个人信息保护与信息自由间的矛盾亟待解决。个人信息保护近年来成为许多法律部门与理论研究的热点,学界理论界围绕个人信息权益还是权利,个人信息权利(或权益)属性是人格权、财产权还是新型复合型权利,个人信息立法编撰等诸多问题产生争议。一场场学术争辩中,都关乎一个重要的命题:个人信息权益属性定性,既关乎立法科学性,也关乎个人信息保护法律适用与实践保护。本文从个人信息权益立法争议切入,围绕个人信息属性理论争议,探讨个人信息权益属性定性,尝试去给予个人信息性质定性研究。
2. 个人信息立法现状与问题提出
2.1. 我国个人信息立法矛盾与纠结
个人信息保护的本质究竟是权利还是权益,民事立法中产生了很多争论。争议的根源在于将人格权(隐私权)与个人信息保护这两项根本不同的制度强行并列,并试图以传统民事权利话语体系来界定个人信息保护,最终难免出现各种矛盾 [1]。
2017年10月实施的《中华人民共和国民法总则》(以下简称《民法总则》)在第五章“民事权利”第111条对个人信息立法给予规范。笔者认为,从权利法定原则看,个人信息保护不能算是一种权利,而应该归入《民法总则》第3条的“其他合法权益”。尽管第111条位于“民事权利”下,此处“民事权利”要做广义理解,而非对世性、排他性的绝对权。关于此,学界围绕个人信息属于权益与权利展开激烈辩论,然立法之模糊导致该问题仍未定性。
立法模糊导致个人信息保护属于人格权还是身份权争议不定。《民法总则》第111条仅表述个人信息受法律保护,整个条文却并未出现“个人信息权”的字样。相比较之下,《民法总则》第110条的规范就更为严谨,诸如姓名权、肖像权等都是给予了“权”的字样。此外,《民法总则》第112条则是规范自然人身份权。在人格权与身份权中加入一条“自然人信息保护”,看似两全实则更加模糊了个人信息的权利属性界限,使得个人信息属于人格权、身份权、还是具体人格权的定性产生诸多分歧,使其陷入一种模棱两可的尴尬境地。例如,王利明教授认为,虽然《民法总则》没有明确“个人信息权”的概念,但在解释上可以认为,其承认了独立的个人信息权 [2]。杨立新教授也持类似观点,其认为在比较法上并没有对个人信息作法益保护的先例,因此《民法总则》第111条所规定的个人信息就规定自然人具体人格权之一,即个人信息权 [3]。与此相反,部分学者认为个人信息知识一种法益而非人格权利 [4]。
《中华人民共和国民法典》(以下简称《民法典》)通过6个条文就个人信息予以规定,但是关于个人信息的权益性质仍模糊,第1034条仅规定个人信息受法律保护,关于个人信息权益性质问题仍待解决。《民法典》将个人信息放置于人格权编进行立法,可见从立法层面承认个人信息保护与人格相关,分歧在于到底是属于一般人格权还是具体人格权。《民法典》第110条规定了具体人格权,如果个人信息属于具体人格权理应将其置于其中。然而立法层面却将个人信息保护独立设置第111条规定,可见个人信息保护又不属于人格权两种情形之一,然而在“人格权”编却又见个人信息保护相关规定,由此导致解释上的困难重重。
2.2. 个人信息具体权利来源基础模糊
个人信息权益(或权利)秉持权利法定原则必须追溯到具体法条,环顾我国立法历史,凡是当下我国基本民事权利均由法律明文规定“权”,例如《民法典》第110条规定的“姓名权、肖像权等”,而我国立法并未对个人信息予以“个人信息权”,仅规定“个人信息保护”。正是因为国内关于个人信息立法尚未统一关于个人信息权利性质界定,进而引发学界关于个人信息权利属性的争议。
如上文所言,《民法典》在总则编民事权利中给予“个人信息受法律保护”的定性。故而部分学者以此为基础主张个人信息属于民事权利,而非民事权益。笔者认为,此处权利应作广义解释,而非排他性、对世性的绝对权,再者《民法典》第111条并未承认“个人信息权”而是承认“个人信息保护”,从我国之后的立法也印证该观点。
部分主张个人信息自决权的学者以《民法典》第1035条(个人对个人信息的知情同意权)与第1037条(查阅、更正、删除)为由认为自然人对个人信息享有横贯个人信息处理始终全部周期的控制,认为个人对个人信息享有完全的控制权。笔者认为个人信息自决权乃天方夜谭,并不存在个人信息自决权的权利基础,从最新颁布的《民法典》第1037条的表述可见,信息主体仅享有查阅、复制的权利,而关于更正删除也并非绝对权利,而是“请求”信息控制者及时采取更正等必要措施,属于民法意义上的请求权。但无论是请求权还是对世权,如果个人对自己的信息尚未享有权利,又何来这些权利具体事项?一方面给予个人信息以权益性认定,另一方面赋予信息主体知情同意权、查阅、复制、异议删除等权利,权益本身是否能附带这些具体民事权利呢?值得商榷。
此外,从信息发展的历史背景而论,个人信息存在本身意义便不是为了阻塞信息流通,信息本身便储蓄人类身份的另一张名片,其意义在意沟通交流,具有社会属性。而赋予信息主体绝对的信息控制权不利于社会交流与发展,最终导致人人无交流、阻碍经济发展的负面作用。
3. 个人信息权益属性分类
学界从个人信息的权利属性为标准产生诸多理论分类学说,有“宪法人权说”、“一般人格权说”、“隐私权说”、“财产权说”、“新型权利说”、“独立人格权说”等不同主张 [5]。
部分学者主张个人信息既具有财产价值也具有人格属性,“个人信息之于信息主体,是因为其能够作为个人信息而具有财产意义,因而个人信息权为财产权,为典型民事权利;而个人数据之于数据主体,不是因为其具有财产意义,而是因为其与数据主体不可分离,因此个人数据权不是财产权,而是人格权。” [6]
随着《民法典》立法出台,以及学说理论发展,“个人信息保护”被写入《民法典》人格权编,即从立法层面承认“个人信息保护”具有人格属性。但个人信息的人格属性是否又与传统人格权相似呢?是否能以传统人格权的保护方式来直接适用个人信息?随着大数据的发展,经过企业处理后的个人信息(或个人数据)又是否属于自然人呢?这些都是亟待解决的问题,笔者将围绕这些问题加以论述。
3.1. 个人信息的人格属性
人格是自我的证明。人格,在哲学基本范畴里,被喻为“自我”、“惟一的存在”。因此,人格就是一个人之所以为人的根据 [7]。我国民法学界主流观点认为,个人信息涉及自然人的人格尊严和人格自由,因此,无论将自然人对其个人信息界定为权利还是利益,都不影响法律将其确定为自然人的人格权益 [8]。其主要理由在于,个人信息是能够识别特定自然人的信息,这种可识别性就体现了人格特征 [9]。
关于个人信息的权益属性之争,由最初的百家争鸣,到《民法典》出台后众多民法学者认为个人信息存在一个基本共性,即个人信息人格性。但环顾人格权的权利属性,我们不难发现,个人信息是否构成传统意义上的人格权尚有争议,且《民法典》仅将“个人信息保护”列入立法范围,并未正面承认个人信息为个人权。此外,是否根据《民法典》第1034条规定的个人信息定义,即以身份识别标准为界定标准的个人信息是否全部都纳入人格权保护体系加以规制。围绕个人信息权益的人格属性辨析,笔者从个人信息与隐私权关系对比分析以及个人信息与其他具体人格权关系辨析以展开论述。
1) 个人信息不同于传统隐私权
如若以《民法典》第1034条个人信息身份识别标准界定信息,容易造成但凡与个人相关的所有信息最终都会成为个人信息,其范围远远大于不愿为人知晓以及生活安宁的私密信息(隐私),因而如何界定个人信息具体定义仍是亟待解决的问题。而在电子数据飞速发展前,我国民法学界以传统纸质媒介为基础,以人格权保护体系足以保护当时的所有信息。但随着科技互联网的飞速发展,网络逐渐成为与个人紧密联系的另一张名片,自然人的方方面面均或多或少在网络留存记忆,因而如何保护个人信息,界定个人信息属性亟待解决。
有部分学者主张个人信息因纳入隐私权加以保护,以传统人格权保护角度囊括个人信息,笔者认为该观点过于理想,受美国大隐私权背景影响,本质上却与我国法律背景水土不服。
我国民法立法一直采用传统隐私权观念来构筑个人信息保护法律体系,例如直接将个人信息作为保护客体,而不区分何种个人信息;再者将义务主体定义为“任何组织或个人”,导致义务主体使用信息前需要瞻前顾后不利于信息交互。以传统隐私权角度来构筑个人信息保护的直接缺陷是保护客体泛化以及义务主体泛化双重弊端,因此,个人信息究竟是权利还是权益陷入无休止的争论,并在司法实践中产生相悖的推理结果。
个人信息与隐私权属于交叉关系。仅以《民法典》第1034条表述展开分析“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”可见,立法者从立法层面肯定个人信息与隐私权属于交互关系,两者存在交集,即涉及隐私性的个人信息,也由此可见,并非所有隐私权均构成个人信息,从法条表述中我们也可以推断立法所保护的并非所有信息,而是能够识别特定自然人的特定信息。
但由此又产生个人信息属于权益的悖论。如果个人对其信息不享有权利,又何来这些巨头权力事项(查阅、复制、异议修改)?在《民法典》立法中,个人对个人信息的控制权远大于隐私权被侵犯后的事后救济行为,而立法层面却将隐私权定义为权利,却将更为丰富、有更多权利事项的个人信息定义为权益,得出权益大于权利的结论,法理依据明显不足。
2) 个人信息与其他具体人格权比较
从人格权保护角度出发,个人信息保护不同于其他具体人格权保护模式。人格权属于消极权利,权项并不需要列明,法律上并不详细规定各种类型的人格权,而是在人格权遭受侵害之后,由法官援引侵权法的规则对权利人提供救济 [10]。通常来说,我国关于人格权的救济以事后救济为主,以不受非法侵害为权力边界,遭受不法侵害后以侵权救济为主。各国民法对人格权保护的共同经验可以概括为“类型确认 + 侵权责任”,即通过法律规定或者判例确认人格权的类型,称为特别人格权,将侵害各种人格权的加害行为纳入侵权法的适用范围,对加害人追究侵权责任 [11]。
然而在我国个人信息保护规定中,信息主体拥有“知情同意”的权利,部分学者主张“同意”仅构成信息流向的导向作用,部分学者以此认为信息主体拥有信息自决权的绝对民事权利。显然,个人信息的保护模式不同于我国其他人格权的事后救济模式,故而将个人信息纳入具体人格权保护模式中自然适用困难。
此外,部分学者认为个人信息甚至完全不同于人格权,是独立的新型公法权利。之所以会出现各种矛盾和纠结,是因为人格权(隐私权)保护与个人信息保护是根本不同的两项制度。人格权是一项传统的民事权利,个人信息权则是完全独立的一项新型公法权利,是随着计算机大规模采用才出现的新事物。笔者认可个人信息复杂的公法属性,认为这符合我国法制背景,但承认个人信息完全为公法产物而非私法救济则无法认同,将在下文论述,故而此处不加以赘述。
个人信息与其他具体人格权种属关系混乱也是一大严重弊端。《民法典》第四编人格权编共六章,其中将姓名权、肖像权、隐私权、个人信息保护均作为章节名字命名,可见四种权利(或权益)处于平等地位。但从广义理解中,肖像、姓名均是最具代表的典型个人信息,如何与个人信息并列?不合符逻辑基本要求。此外,《民法典》第999条也存在表述问题:“姓名、名称、肖像、个人信息等”,也是将种概念与属概念并列,不符合《民法典》第1034条所给予的个人信息定义,将之更改为“姓名、肖像等个人信息”或更为合理。
在《民法典》总则编中,第111条规定个人信息受法律保护,却未将其设立于第110条具体人格权中,未将个人信息设立为具体人格权的范围,可见从立法层面,个人信息不同于具体人格权。
综上,人格权存在对世属性,义务主体较为普遍,任何组织、个人均不能侵犯他人的人格权。而若将个人信息涵盖在对世权范围内,则我国社会的信息流通自然交往将全面阻塞,个人信息在性质上类似于对人权,仅针对个人信息控制者,而非一般义务主体。个人信息本身具备社会属性,人与人之间交流更无须法律介入,因而在这种面相社会一般义务主体的对世权性质的“个人信息”,本身无需法律介入、个人同意。换言之,民法意义上所需要保护的个人信息不同于具体人格权,其不具备对世性,其仅针对特定义务主体,如个人信息控制者。
3.2. 个人信息的财产属性
随着互联网信息技术的飞速发展,个人信息内蕴含的财产价值呈爆炸式增长。正因此,诸多企业与个人铤而走险游走在法律边缘,频频侵犯个人信息。个人信息保护立法初衷正是为了规避该侵害行为,换言之,个人信息财产价值是个人信息立法保护的初心与出发点。“个人数据与个人信息不同。在网络世界里,信息是数据反映的内容,数据是信息的表现形式。” [12] “数据是人类发明的一种符号,不以人的认识不同而不同,因此客观性强;而信息则是符号所反映的内容,强调的是人对于数据的认识,因而具有一定的主观性。” [13] 信息本身不是数据,数据亦不是信息。部分数据对于部分人无价值,对于有些人则存在信息价值。信息是数据处理后提炼出的在人际交往中具有识别、传播的功能价值,这也正是人们力求保护的互联网时代信息的财产价值。
当下,我国立法采取传统人格权保护方式,将个人信息“一刀切”,其客体、义务主体泛化的缺陷导致司法实践中个人信息保护寸步难行,亦容易阻塞信息交流,阻碍社会发展。笔者认为个人信息应再划分为人格权意义上的个人信息与企业加工处理后具有独创性的企业数据,围绕具体信息加以研究权利(权益)所属与保护。
1) 企业数据权益归属于企业
关于个人信息司法实践中,较多的争议为企业与企业之争,然而企业本身是否符合诉讼主体身份?即企业对其所控制的用户数据是否享有相应权利?在我国司法实践中,面对企业数据引发的纠纷基本是以《中华人民共和国反不正当竞争法》的角度将企业数据作为“竞争性利益”对个案进行救济。但长此以往,企业数据定性模糊导致的企业数据无法有效保护的困窘仍未解决。企业作为推动数字经济发展的核心力量,在大数据背景当下,是数字经济发展的中流砥柱,企业经济受阻,数据经济必然受阻,故而,厘清企业数据的定性尤为重要。
“淘宝诉美景案”从司法判例层面首次确认企业对其数据享有财产性权益,明确用户原始数据与企业数据界限,从劳动成果角度肯定企业对其数据享有独立财产权益,表达对企业数据采取财产权保护模式的司法倾向。因权利来源尚未明确,故以传统财产权制度保护企业数据存在局限。部分学者主张创立一种新型财产权以保护企业数据,实现数据资源的有效配置。但也有学者反对该主张,认为此举会损害自然人个人信息、隐私权,甚至导致数据垄断现象。笔者认为,从劳动赋权说角度理解,企业经过劳动加工处理的数据与原始数据已不相同,正如盐水和盐,我们从盐水中提炼出盐,此时两者已不相同,我们难以去认为提炼后的生成物仍与原物是同一物,两者的所属也因此不相同。再次,若赋予信息来源主体企业加工后的数据权利,则信息交流则更加受阻,个人信息立法初衷不在于阻塞信息交互,而在于防止信息被滥用与违法违纪。因而,从法理学角度考虑,信息更应考虑如何有效合法流通,而非作茧自缚,闭塞流通。
个人数据要成为财产必须具备量的积累,破碎、零散的个人数据不具备财产价值。正如学者所说,“首先,要通过信息积累,只有当大量零散的、片面的、互不关联的资料、数据、消息聚集在一起并达到一定的数量时,才形成为真正意义上的信息资源;其次,信息的效用必须通过有序化来实现,否则,听任杂乱无章、真伪难辨的各种信息到处泛滥,不但无助于信息资源的开发利用,反而会造成信息污染;最后,信息的效用必须通过深层次的开发,即经过加工、处理、分析、综合,形成高质量的信息产品。” [14]
随着司法判例的日趋丰富,企业数据的财产属性逐渐被认可,企业数据的财产属性保护成为大势所趋。尽管诸多学者围绕企业数据性质产生争议,但日趋认可基础观点,即企业数据乃财产属性,与企业有关,而非完全由个人控制。
学界围绕企业数据保护方式展开激烈辩论,引申出反不正当竞争法保护方式、著作权保护方式、数据库保护方式、所有权保护方式、新型财产权保护方式等。主张新型财产权的学者认为,从劳动赋权说的角度考量,企业数据本质上是企业劳动创造的产物,凝聚了企业的劳动与资本投入,赋予其法律上的财产权利也具备法理上的正当性基础 [15]。新型财产权为许可其他企业使用该数据而非买卖转移所有权,同时,给予合理权利限制避免数据被滥用,以此力求平衡企业数据保护与企业数据高效流通之间的利弊,促进数据经济高速发展。
2) 个人信息自决权不可取
《民法典》第1035条、第1036条、第1038条均出现“同意”的表述。在《民法典》出台之前,《中华人民共和国网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法律法规中也出现表述个人信息处理需要主体“同意”作为信息处理的前置条件。基于此,国内部分学者主张信息主体享有信息自决权,即主张个人对于其相关的所有个人信息享有决定性的控制权。笔者对此持否定观点,若信息主体持有绝对的信息主导权,则社会交往将陷入冗长且复杂的状况下,信息交互更陷入停滞状态。
学界关于个人信息自决权理论起源于德国联邦宪法法院的“小普查案”与“人口普查案”。1969年的“小普查案”中,德国联邦宪法法院判决要点主要为:国家强制性抽象调查行为有可能侵犯干涉公民的个人自决权;但并不是每个收集活动都侵害个人尊严;作为社会一员,个人必须一定程度上认识个人信息收集行为,这是国家履职的前提。1969年“小普查案”虽提及自决权,但并没有认可该自决权,而是转向强调社会成员应忍受一定程度的调查行为,这是国家履职的前提,该表述应认定为公属性的认可。在1983年德国联邦政府准备制定人口普查法,后该行为在1984年德国联邦宪法法院的“人口普查案”中被判决违反宪法,判决中明确提出个人信息自决权,但原则与理由如下:个人信息自决权是保护个人得以对抗无限制的信息收集行为的有力工具;在自动化信息处理工具面前,不再有不重要的个人信息;个人对于自己的信息并没有支配权,个人信息自决权受到公共利益的限制 [16]。
学界部分学者认可“个人信息自决权”,认为个人信息自决权是个人信息保护立法的权利基础 [17],公民个人信息权是公民个人自决权范围内的个人权利,这就是公民是否“同意” [18]。笔者认为,若将个人信息的“同意”作为个人信息自决权的权利基础,则是过分扩大解释该“同意”要件,而立法原意应是力求多方位保护个人信息,保护信息来源主体的“知情权”,若仅仅因“同意”而承认个人信息自决权,则陷入保护一种漫无边际的主观个人意志的尴尬境地,有失偏颇。
3.3. 个人信息的公法属性
我国为社会主义国家,立法司法背景为社会主义法制社会法治体系大背景,在此基础下,个人信息不仅仅享有纯粹的私法性质,仍存在公法属性。若将个人信息纯粹交予私法处理,不利于社会发展也不利于政府宏观调控。
个人信息并非完全的私权,个人信息内涵社会公属性,但也并非为完全的公法权利。正如“小普查案”中法院表述“并非所有的个人信息都与人格有关,而那些无涉人格的、无关紧要的个人信息则属于公共领域,个人无权阻止他人收集、处理以及利用”。
个人对个人信息并不享有私权般的支配、排他等权利,正如个人对个人信息并不享有个人信息自决权。若承认个人享有个人信息收益、处分、收集、利用的决定控制权权利,这无异于保护一种漫无边际的个人主观意志,且这种权利不具有清晰可见的客体,个人信息相关主体在处理个人信息时将举步维艰。
随着私法救济探索的频频受阻,不少私法学者开始主张公法救济,主张通过国家设置专门公法机构来维护个人信息安全。笔者认为,尽管个人信息存在公法属性,但若完全交由国家机关来维护,未免加重政府机关的工作任务,数以亿计的庞大数据又如何做到事无巨细的维护工作?故而在针对不同类型的个人信息定性情况下,寻求一种公法维护私法救济的渠道才能啃下个人信息这块庞然大物,而如何构建救济渠道,则需要诸多学者与司法工作者砥砺探索。
4. 个人信息权益立法模式选择
当下我国已经出台《民法典》,但关于个人信息的立法仍寥寥无几,仅围绕《民法典》第1034条~第1039条共计六个条文涉及个人信息规范。然而在司法实务中,个人信息的动态变化与技术发展的不确定性导致个人信息实际案例颇为棘手,正如西方学者笑称:“整个宇宙也可以看作为信息”,个人信息的立法保护仍有待加强。笔者认为,应避免通过传统人格权角度将个人信息一刀切,试图去保护所有个人信息导致客体泛化,同时关于个人信息义务主体也应严格限缩,避免义务主体的泛化、权利对世性。
4.1. 避免个人信息“一刀切”立法模式
当下,我国个人信息立法模糊导致个人信息实际操作困难,因客体泛化与义务主体泛化,个人信息内容以及辐射面过于庞大,导致个人信息似乎涵盖整个人类社会的始终,这显然不符合立法初衷以及法律实际运用。归其原因,笔者认为主要是个人信息定性尚未明确以及“个人信息”立法与“个人信息保护”立法的混同。
首先,应避免个人信息客体泛化,将无保护价值的个人信息排除在法律保护范围外,严格限缩个人信息保护范围。我国《民法典》第1034条关于个人信息的定义采取身份识别标准,即通过直接方式、间接方式识别出特定自然人,因而部分学者认为该种方式似乎在保护一种漫无边际的主观意识。如果仅仅通过“识别”来界定客体,要求所有信息处理的整个流程均须经过知情同意,并且满足其他保护要求,则整个社会将陷入信息停滞不前的尴尬境地,个人信息交往将无法进行。
其次,应确立个人信息权利(或权益)性质,给予个人信息法理依据。从法理角度分析,一个事物受到保护的前提在于这个事物主体存在权利,若无权利基础则无义务主体对应的义务行为可言。然而在个人信息相关立法中,我国试图先规制个人信息保护,而后试图通过《个人信息法》来确定权力基础,这在逻辑思维与立法顺序上必然造成当下个人信息学术理论与实践的混乱。
4.2. 个人信息保护法律定位
个人信息保护不同与个人信息,两者类似物权保护与物权的区别。然而,在我国尚未界定个人信息权利性质的情况下,给予个人信息保护以立法,可见个人信息侵害现行之严重与个人信息保护之迫切。笔者认为,权宜之计在于明确个人信息法理基础、肯定个人信息保护法法律地位、完善个人信息保护救济措施。
我国暂且放下“个人信息”立法模式,转而以“个人信息保护”解燃眉之急立法模式虽有实际意义,但长此以往,容易造成学理与司法实务的错乱,有必要厘清个人信息与个人信息保护立法边界,明晰两者关系。从历史角度分析,2012年全国人大常委会订立《关于加强网络信息保护的决定》伊始,立法者尝试以个人信息作为立法对象,但经过研究尚未成熟,到2020年《民法典》转而以“个人信息保护”作为立法对象。我国立法由“个人信息”立法逐渐向“个人信息保护”立法过渡,然而“个人信息”基本法理基础问题尚未解决。
明晰“个人信息为何受法律保护”的法理权利基础是解决个人信息混乱现象的药方子。如上文所言,个人信息受法律保护的权利基础尚未明确下,我国虽规定“个人信息受法律保护”,但始终未解释“个人信息为何受法律保护”这个权利基础法理问题。国内关于个人信息的定义仍有待考究,《民法典》第1034条关于个人信息可识别性的定义导致似乎但凡与个人沾边就收到了法律保护,更类似于一种保护漫无边际的个人主观意志的困窘。个人信息并不是一种新兴法律术语,而是在互联网普及前长久存在于人类社会中,切勿将个人信息与信息相混同,信息更像是一种交互交往手段,是社会交流发展的必需载体。而个人信息是一种法律保护的客体,更应具备学理性。
通过个人信息权利分类,将个人信息予以不同领域以保护。笔者更倾向于将个人信息进行分类,例如将与个人有关的秘密信息纳入传统隐私权角度加以保护,将新型互联网脱密处理后的信息纳入财产权范围以考虑等。笔者不认为个人信息完全新领域事务,更倾向于其为传统事务电子化后的产物。
应肯定个人信息保护立法地位,完善相对应的个人信息保护救济措施。在明晰权利基础的情况下,个人信息保护作为救济性法律,虽传统人格权一般以事后救济作为救济方式,个人信息作为人格权性质的一种,应与人格权类似以事后救济作为主要保护方式。但仍不排除个人信息在未来有可能作为对世权,财产权,而在此性质下,个人信息救济渠道则可能为事前救济与事中救济。故而,有必要在个人信息保护法中完善个人信息保护法法律地位,不应通过保护法来明确个人信息权利属性;再者,需要完善个人信息救济措施,以期更好的保护个人信息,加强实际可操作性。
5. 结论
随着《民法典》的出台,我国个人信息正式进入民法典保护时代,但随即而来的是对个人信息相关法条的解读。个人信息因其可识别性导致个人信息外围不稳定导致信息保护客体易泛化、信息义务主体泛化的弊端。为解决该困窘有必要明晰个人信息权利(权益)属性问题。本文试图将个人信息进行类别划分,明晰个人信息的公法属性、私法属性,进而明确个人信息的人格属性与财产属性,认为应严格限缩个人信息范围,区分个人信息与个人信息保护立法,避免个人信息立法模式“一刀切”;明确个人信息保护的人格属性,赋予个人信息保护人格权相关权益;此外,认定企业数据财产属性,从劳动角度赋予企业对其劳动加工后的数据以财产权利;认为个人对其信息仅享有知情权等相关权益,不享有绝对的控制支配权。但文章在思考的时候尚存周延性不足,个人信息的权益属性区分对现实适用时仍存在时间与效率的冲突,例如人们在处分个人信息时仍难以辨析其权益属性。
关于个人信息权益立法模式的构建,本文所作的分类模式是区分个人信息保护法与个人信息法,即前者为个人信息权益(权利)法,从法律层面赋予个人信息权利属性认定,后者为保护法,例如侵权责任法。通过先予以个人信息法律属性认定,后赋予保护法加以规范的立法模式,符合权利法定原则与实践操作需要,可有效避免当下个人信息司法实务的混乱。
路漫漫其修远兮,相信随着个人信息立法与保护体系逐步完善,个人信息将愈发规范。