1. 引言
随着信息网络技术的飞速发展,人类社会进入了信息化、数字化、智能化的大数据时代,“信息”成为数字经济时代十分重要的财富密码。其中个人信息是最具创造力、最富价值的,无论是为满足市场的自由竞争需要,还是国家及政府为提供更好的社会公共服务而进行的管理活动,都离不开对个人信息的收集、加工、处理等行为。然而由于技术的不成熟、规范的不完善,个人信息面临着不同程度的损害风险,作为个人信息的主体,即自然人,也将面临着个人权益受到侵害的法律难题。这就使得个人信息成为一块“香饽饽”的同时又是一块“烫手山芋”,因此亟需对个人信息进行法律保护。当前法学界对个人信息的保护众说纷纭,既有传统的私法保护模式,亦有公法保护之说。本文拟在揭示对个人信息的私法保护和公法保护各自的合理性与局限性下,厘清私法保护与公法保护的界限与各自适用范围,探究公私法保护的适用机制,构建个人信息法律保护体系。
2. 个人信息的私法保护
个人信息的私法保护主要是指民法上的保护,保护模式无外乎其二,一是积极确权模式,二是行为规范模式。积极确权模式是指通过正面界定权利来划分个人信息主体的权益范围,在此权益保护范围之外的行为属于他人的行为自由。行为规范模式是指直接规定信息开发利用的行为规范,以此来反推并间接保护个人信息主体的权益 [1] 。两种模式具备一定的合理性,使得个人信息的私法保护得以延续,但也存在着一定的局限性。
2.1. 个人信息私法保护的合理性
2.1.1. 个人信息具备个体属性
我国《民法典》第 1034 条第 2 款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”我国《个人信息保护法》第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”由此可见自然人是个人信息的载体,个人信息所直接呈现的是自然人的信息特征。随着信息网络的发展,个人信息已不再仅仅局限于姓名、身份证号等能直接识别自然人的信息,还包括浏览记录、价格偏好、IP地址等经过综合加工能够达到“可识别”自然人的信息。个人信息的最终指向目标只有一个,那就是作为主体的自然人,个人信息所具备的个体属性是不可代替的。正是因为个人信息所具备的个体属性,才为个人信息的私法保护提供了法理基础,具有私法保护的合理意义。
2.1.2. 积极确权模式的合理性
依据积极确权模式,个人信息将被正面界定为一项独立的民事权利,例如德国《联邦数据保护法》将个人信息界定为“个人信息自决权”,将“个人信息视为自然人身体的一部分予以优先保护,权利内容涵盖知情、同意、更正、删除、封存、限制、拒绝等”。我国已有学者称之为“个人信息权”,其权利客体为个人信息 [2] 。由此划定了权益保护的范围,设置了对个人信息收集利用行为的界限,即通过确认权利,限制他人的行为自由。这解决了个人信息的权利性质问题,使得个人信息成为民法上一项独立的民事权利,由《民法典》进行私法保护。此外,个人信息既是个人信息权的独立客体,也是民法所保护的法益,为个人信息的私法保护提供了灵活的、可变的动态平台,也为法官提供了他人对个人信息利用的自由裁量空间。
2.1.3. 行为规范模式的合理性
行为规范模式是“从他人行为控制的角度来构建利益空间,通过他人特定行为的控制来维护利益享有者的利益” [3] ,即对信息开发利用者设定行为规范,以此来保护个人信息。行为规范模式更为直接地规范信息开发利用行为,为行为人提供清晰明确的合规指引,弥补了确权立法上的模糊弊端。个人信息的私法保护主要借助侵权责任法来实现,因此要对过错等要件进行判断,其中对行为违法性的判断完全由法官自由裁量,缺乏统一的行为引导。通过行为规范模式,既明确了行为规范,为行为人做出合规指引,又为侵权责任的认定提供了裁量基准,从而实现了个人信息的从事前规范到事后救济的全方位保护。行为规范模式提供了事前的规范指引,为信息开发利用者留存了大量的自由行为空间,舒缓了个人信息保护和利用之间的张力。数据产业的发展壮大离不开对个人信息的收集利用,若对个人信息施加过度的法律保护将不利于其发展,行为规范模式既将个人信息的保护限定在法律保护范围之内,又为信息的开发利用提供空间,平衡各方的权益。
2.2. 个人信息私法保护的局限性
2.2.1. 积极确权模式的局限性
1) 积极确权模式的核心是将个人信息界定为一项独立的民事权利,但纵观我国《民法典》第111条和人格权编对个人信息的其他规定以及《个人信息保护法》、《网络安全法》,并未见到“个人信息权”字样,我国并未采取积极确权的私法保护模式,将个人信息界定为个人信息权本身就具备极大争议。根据前述,个人信息是那些“可识别”自然人的“综合”信息,在日益发展的互联网时代,即使是并不相关的不同信息,通过算法的融合,数据的分析,也可识别出特定的信息主体。而且新型个人信息层出不穷,加大了立法者的立法难度,如若不对个人信息的范围及界限做出限定,那么个人信息的外延将会无穷无尽。个人信息的内涵不明确,外延无限制,将其作为个人信息权的独立客体难以服众,个人信息权的界定更难实现 [4] 。除此之外,若真将个人信息界定为个人信息权,那么其与其他人格权客体存在广泛的交叉。个人信息不是单一的,而是集合了姓名、身份证号、肖像、地址等综合的、复杂的信息,这些信息中包含着其他人格权的客体,如姓名权的客体是姓名,肖像权的客体是肖像,身份证号、地址等囊括在隐私权的客体之内。在此基础之上再设置一项绝对的、排他性的人格权,无疑是对现行人格权体系的冲击,影响法律适用的统一。“个人信息非常普遍地包括了姓名、肖像、隐私以及其他与人格相关的信息,因而个人信息权在外部性人格载体上与姓名权、肖像权以及隐私权等存在广泛重合,如果将其认定为独立的人格权必然造成与这些人格权的重合与冲突。” [5] 因此个人信息不便也不可作为一项独立的民事权利、人格权来加以规定,积极确权模式并不适用于我国当前的法律环境。但仍有不少学者主张积极确权模式的衍生效用,即将个人信息特定为已知权利的客体进行独立保护。如将个人信息界定为隐私权的保护客体 [6] 、注重个人信息的财产属性将其划定为新型财产权的一种 [7] 等等,此类界定虽然具备一定的合理性但经不起推敲。个人信息具备不同的价值功能,但不能因此赋予个人信息不同的权利属性。如果采纳这种确权模式,会造成当前法律的适用冲突,极大影响法律体系的构建。
2) 积极确权模式本身所存在的局限性。数据网络世界对个人信息的处理方式是不可观察的,处理速度也是极快的,几乎都是瞬时间就完成了收集、处理、交易等行为,权利主体即使想要限制他人的行为,支配个体权利,也会在个人信息的快速传播和无限复制中失去主张权利实现的可能,因此会陷入一种法律上可主张,事实上不可支配的尴尬局面,积极确权模式所主张权利的法律预期与实际效果将形成巨大反差。而且积极确权模式采用的是权利立法方式,通过抽象概念与现实生活法律需求的整合,界定一项独立的权利,这就会导致权利边界的模糊。因为抽象概念本身就不是具体的,它是概括出来的模糊概念,并没有具体的界定标准,而现实生活的法律需求是当此类案件发生后才进行的事后救济。尤其在涉及个人信息时,信息处理者仅仅知道个体权利的存在,但并不会采取相应的注意措施,例如网络平台收集个人信息以锁定用户的支付账号(如人脸支付),通过安全保障措施以防止盗刷盗号,这是网络平台的合理处理方式,但科技的进步使得用户在进行刷脸操作时摄像头所拍摄到的并不只有用户的面部信息,还囊括了上半身、背景等其余个人信息,而这些其余个人信息并不是用户所欲提供的。因此积极确权模式并不能够为信息开发利用者提供清晰正确的行为指引,无法对个人信息进行全面的私法保护。
2.2.2. 行为规范模式的局限性
1) 行为规范模式作为事前规范,能够为信息开发利用者提供清晰稳定的行为指引,但正因为其太过具体的规范,不可能做到面面俱到,达到穷尽列举的地步。信息开发利用者的行为千变万化,随着信息网络的发展,新的市场行为只会层出不穷,凡是符合法律规定情形即是信息开发利用者的行为自由,那么个人信息主体的权益范围将会变得模糊甚至限缩,行为规范模式“不同于权利化模式之下的一般性不作为义务,行为人的行为约束也相应有所限定,限于立法列举的方式。权利化模式保护力度更大,行为规制模式通常是在全面保护之网中截取一小部分加以规定,保护的范围与力度均相对弱一些” [8] 。
2) 通过行为规范模式进行个人信息保护,规避个人信息损害风险,易将制度设计者置身于“全景”视角来审视所有风险因素,这无疑加大了制度运行的成本 [9] 。若不计成本地加以规范,个人信息过于细致的法律保护会影响个人信息的使用,阻却数据产业升级的脚步。行为规范模式的初衷就是平衡行为自由与权益保护,除了规定对信息开发利用者全面细致的行为规范,还要设置大量的例外条款,如免责条款、适用除外条款等,这也给法院的自由裁量带来了挑战,引发行为规范的僵化难题。
无论是积极确权模式还是行为规范模式,其所蕴含的法律机理及合理性对个人信息的私法保护提供了巨大的助力,同时由于其局限性也带来了人们对私法保护模式的重新审视。个人信息的私法保护模式主张赋予信息主体控制信息的能力,限制他人的行为来保护个人信息,但这仅局限于将个人信息认定为“个体信息”,成为封闭的“信息孤岛”,并不符合数据产业发展的趋势,数据经济时代个人信息的流通不可避免,也只有流通才能发挥个人信息的价值,信息的交互性、广泛传播性、快速性突破了传统法律保护的壁垒,若通过确权焊死个人信息发散的牢笼,通过行为规范控制个人信息的开发利用,将会引发个人信息的过度控制与开发利用之间的矛盾,不利于数据产业的发展,更不利于个人信息的保护。
2.3. 个人信息从私法保护模式向公法保护模式的过渡
个人信息私法保护模式本身的局限性使得个人信息的保护出现漏洞,为了弥补其所带来的“木桶效应”,不得不在其他方面探索个人信息的保护模式,使得公法保护的呼声愈来愈高并最终成为一种保护模式。个人信息之所以从私法保护模式向公法保护模式过渡,是因为私法保护穷尽其能也不做到对个人信息的完美保护。个人信息并非信息主体独占所有,其只有在流通中才能体现本身所附带的经济价值和社会价值,因此网络平台对个人信息也享有一定的权利。个体对个人信息的处理与决策与网络平台相比根本不值一提,个人没有意识也没有办法和能力提前进行风险预防,即使意识到了风险存在,也难以及时对个人信息作出处理以避免损害。此外由于网络交互的多样性,个体在处理信息时尽管将个人本位体现的淋漓尽致,但随着网络交互的次数越多,个体对信息的控制能力就越弱。当个人信息权益被侵害时,启动的是民事诉讼程序,信息主体即个人进行维权,由于技术鸿沟的存在、资源证据难以收集等原因,“谁主张,谁举证”的诉讼原则不利于信息主体的权益维护。即使胜诉了也只是个体胜诉,网络平台上庞大的用户群体真正愿意去维护自身合法权益可谓是少之又少,对网络平台而言败诉不过是一纸诉状,不利于对网络平台的监管,缺少正向的威慑。私法保护模式所提供的民事责任保护通常是一种事后救济,救济效果并不显著。在穷尽私法保护模式的保护机制后,仍然不能解决个人信息保护的不足问题,公法保护模式的入场非常合时宜,私法保护模式向公法保护模式的过渡就显得平稳而自然。
3. 个人信息的公法保护
当个人信息进入到公共领域,私法保护模式显得捉襟见肘,无法解决信息的控制与使用问题,因此对个人信息进行公法保护具备了一定的合理性,能够弥补私法保护的不足,但是单纯的公法保护仍然存在一定的局限性。
3.1. 个人信息公法保护的合理性
3.1.1. 个人信息具备社会公共属性
从个人信息的价值功能来看,个人信息不仅包括姓名、肖像、身份证等可直接识别的信息,也包括浏览记录、IP地址等综合性信息,这些信息无论是信息主体个人使用还是由信息开发利用者收集处理,均不可避免地会传播出去。数字经济时代的红利依赖于信息传播的急速,个人信息也只有经过传播,经由市场的资源配置才能发挥其价值,如市场主体掌握个人信息进行销售活动,国家政府掌握个人信息进行效率化管理。不能否认的是个人信息的传播是发散性的,传播的渠道也是多样态的,同样的一条个人信息对不同信息开发利用者而言意味着不同的价值,个人信息已不仅仅只具有个体属性,其广泛的流通性及传播的发散性、多样性决定了其具有社会公共属性 [9] ,这从根本上决定了个人信息公法保护的合理性。
3.1.2. 维护公平的市场竞争环境
数字经济时代所带来的数字市场以信息为主要手段进行竞争,和传统竞争市场一样,数字市场仍然需要实施公法来保障市场的有序竞争,通过公法规范信息的流通与开发利用。大型网络平台依托天然的互联网优势能够轻易攫取大量的用户信息,大量个人信息集合形成的数据成为打赢数字市场竞争战的底牌,各网络平台以保护个人信息为由拒绝信息分享,这在无形中构筑了信息流通的壁垒,不利于数字市场公平竞争环境的构造。此外大型网络平台作为行业寡头,又手握大量用户信息,难以保证其滥用市场支配地位在非价格竞争要素的个人信息保护方面不当削减服务水平。因此对个人信息实行公法保护具有现实的合理意义,是维护公平市场竞争环境的需要。
3.1.3. 个人信息作为调整关系更适用于公法保护
就私法而言,其调主体的平等性,个人信息作为法律的调整关系使信息主体与信息开发利用者处于一种看似平等的地位,实则不然。信息开发利用者一旦收集了信息主体的个人信息,将在未来很长一段时间内持续地控制、加工、处理信息主体的个人信息,形成长期性的掌控,而信息主体想要终止或者支配其个人信息却不能实时做到,往往难以形成事实上的支配,这就导致了信息主体与信息开发利用者的不平等关系,这种明显的不平等关系交由私法来保护已不能达到法律的预期效果,应当交由公法来保护。
3.2. 个人信息公法保护的局限性
3.2.1. 公法保护的过度干预
个人信息虽然具有社会公共性,究其本质还是作为信息主体的自然人的个体信息,个体属性更加突出。个人信息的内涵和外延构筑出私人领域,在这个私人领域内,“国家对个人自由和自主空间的尊重、克制和不侵犯” [10] 。然而在具体的实际操作中,国家及政府难免做出侵犯个体权益的行为,如过度收集个人信息、未履行告知义务收集个人信息、涉及敏感信息如身份证号未加以特殊处理导致泄露等,这不只是公权力机关超过法定职权的不法行为,更是对个体私人领域的过度干预,影响信息主体的自由,不利于个人信息的保护。
3.2.2. 公法保护的监管漏洞
个人信息公法保护的手段之一就是由行政机关进行监管,起到威慑、救济的作用,但我国对个人信息的行政监管并不完善。监管机构众多,职责不清,在个人信息领域缺乏统一的、权威的监管部门,多方监管不仅造成行政资源的浪费,更会产生推诿责任的问题。此外行政机关的双重主体性引发监管的偏袒和不公平,行政机关既作为信息的收集处理者,又作为个人信息的监管机构,极易做出越权、不合理收集等违法行为,缺乏个人信息保护的公平性、独立性。
4. 个人信息私法保护与公法保护的适用路径
个人信息的私法保护通过积极确权模式和行为规范模式划定个人信息的权益范围,规范信息开发利用者的行为,注重个人信息本身的私益性,以实现保护之目的,单靠这种单一的、传统的模式不利于信息的流通,更不利于数据产业的发展。公法保护模式弥补了私法保护的漏洞,注重个人信息的社会公共性,强调信息的流通与传播,通过国家与政府进行信息的收集处理与保护,但由于立法执法和监管的不完善,公法保护也存在一定的局限性。只有将二者有机地结合,将公私共治融入到个人信息保护体系中去,才能实现个人信息保护的最终目的。因此,通过分析私法保护与公法保护的局限性,结合我国《民法典》、《个人信息保护法》相关条款的规定,明确公私法在个人信息保护层面各自的适用范围与适用机制。
4.1. 信息划分机制
个人信息的保护是根据具体的对象和情境进行的具体保护,并非概括式的保护。根据个人信息的敏感度,可将个人信息划分为一般信息、涉密信息以及敏感信息。一般信息指不涉及或很少涉及个人私密信息的普通信息,此类信息的价值相对较低,对其流通性不应限制,通过私法保护的行为规范模式确立信息开发利用者的行为规范,虽然此类信息不涉密,但仍应实施相应的注意行为。涉密信息指具有一定隐秘性的个人信息,其具有一定的流通价值,公法首先对此加以保护,强调个人信息的社会公共属性,对信息开发利用者的违法行为进行严格处理,偏向保护处于不平等地位的信息主体,私法保护再采取行为规范模式,规范信息开发利用者的行为,提供明确的合规指引,对个人信息加以私法上的保护。敏感信息根据《个人信息保护法》第28条规定,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。对于此类信息,应当通过私法保护的积极确权模式正面界定独立的权利,或者挖掘积极确权模式的衍生效用,将其放置在其他权利的客体下加以特殊保护,如隐私权、人格尊严等,再由行为规范模式加以规定相应的事前引导规范,最后由国家或政府出面进行公法保护,无论是此类信息的收集还是流通,应当秉持审慎态度,严格限制其传播。此外,对一般信息和涉密信息而言,其流通性是放开的,一般信息不应限制其流通,涉密信息经过信息主体同意后即可流通,因此可以以行为规范模式设置公法义务规范来加以保护,这样既可使信息收集者积极履行保护义务,如公开信息收集及处理目的、建立风险防范机制等,又可限制信息开发利用者滥用优势地位不当利用个人信息,如大数据杀熟、过度收集个人信息等。对敏感信息而言,其流通性应当进行严格限制,因此需要私法的积极确权模式来界定权利,同时公法层面上也可通过积极确权来认定,这就需要完善宪法、行政法、诉讼法、民法等对个人信息的概括性认可。
4.2. 责任承担机制
从责任承担角度出发,对个人信息的不当开发利用,究其本质是对信息主体的权益侵害,原则上行为人应当承担侵权责任,无论是对损害行为、主观过错的违法性判断,还是对因果关系的确认,都是在注重个人信息个体法益的基础上进行。而个人信息之所以要进行公法保护是因为个人信息本身所涵盖的社会公共性、流通性已不是信息主体所能实际控制和支配的。目前的司法实践也证明涉及个人信息保护的案件大多都是规模性的、超个体性的,如淘宝大数据案1、百度大数据案2等。个人信息已被集合成网络平台的后台数据,其体量已经远超信息主体个体所能承受的范围,因此需要公法保护的介入。我国《个人信息保护法》第66条到71条规定了行为人不当利用个人信息侵害信息主体的权益所应承担的责任,从民事责任到行政处罚再到刑事责任一应俱全,体现了公法保护的决心。因此从个人信息的侵害规模和责任承担来看,如果侵害的个人信息为信息主体个体,那么应当承担相应的侵权责任,而且适用《个人信息保护法》第69条规定的严格过错责任,不能证明信息处理者没有过错的由其承担赔偿等民事责任,此时便可适用个人信息的私法保护。当侵害个人信息规模较大,形成了损害的聚集效应,牵涉面广泛,涉及信息主体众多,个体维权难度巨大,此时适用公法保护,由国家、政府及相关组织出面,不仅追究信息处理者的民事责任,还要追究其行政责任甚至刑事责任,起到威慑作用,为个人信息的保护和数字经济发展提供正向激励。
信息划分机制从正面将个人信息划分不同的等级,按照强弱逻辑区分个人信息公法保护与私法保护的适用范围,以及在何种程度上的融合保护。责任承担机制从反面进行推定,以责任的承担方式为媒介具体情况具体分析,规模和责任本身是分析的重点。至此可以发现个人信息公法保护和私法保护的界限在于两点:个人信息的敏感度和发生损害时的规模。个人信息的敏感度根据前述可以划分为三个等级,但这三个等级所涵盖的个人信息不是明确具体的,亦非“一刀切”式的,而是相互交融和彼此渗透的。看似模糊了个人信息的公私法保护的界限,其实是一种法律运用灵活的体现。一般信息、涉密信息和敏感信息从不同维度揭示了公私法保护的适用机理,并为二者的融合保护提供了新的思路。规模主要指损害个人信息时的损害规模,虽然这是一种事后的认定,有“事后诸葛亮”的嫌疑,但不妨碍认定个人信息公法保护与私法保护的界限,因为一旦发生损害,结果无非两种:大或小。不仅仅指的是损害结果的大小,也指损害规模的大小。损害规模小的不一定仅适用私法保护,但损害规模大的肯定不能没有公法保护的存在。无论是对信息主体而言还是对社会效益而言,损害规模及相应的社会效应指向的是责任承担,责任承担方式本身的划分就是一种界限性的划分。信息划分机制和责任承担机制是区分个人信息公私法保护的适用机制,也是判断个人信息何时进行公法保护何时进行私法保护的认定机制,以信息划分机制与责任承担机制为抓手,可以构造个人信息公私法保护的发散性保护体系。
5. 结语
个人信息的私法保护通过积极确权模式和行为规范模式,注重个人信息的私益性,以实现保护之目的,由于数字时代个人信息社会公共属性的日渐突出,单纯的私法保护已呈现出一定的局限性。公法保护虽然在一定程度上弥补了私法保护的漏洞,但由于立法执法及监管的不完善,也不可避免地呈现出些许瑕疵。通过分析个人信息的公私法保护局限性及探究信息划分机制和责任承担机制,接橥个人信息公私法保护各自的适用范围与适用机制,厘清公私法保护的界限,以便构建个人信息法律保护体系,为数字经济市场的发展提供借鉴。
NOTES
1淘宝大数据案,杭州市西湖区人民法院[2015]杭西知民初字第667号民事判决书。
2百度大数据案,南京市鼓楼区人民法院[2013]鼓民初字第3031号民事判决书。