摘要
随着大数据、物联网、云计算、人工智能、区块链等曾经遥不可及的概念不断从理论变为现实,数据已经成为企业所争夺的核心资产,《促进大数据发展行动纲要》[1]中将数据定义为“国家基础性战略资源”。在这股“数据热”的趋势下,个人信息保护成为全球热点与难题。2016年欧盟出台GDPR,宣告着4Ge时代各国个人信息立法的开端。2018年美国制定加州消费者隐私法案。我国《民法典》将隐私权与个人信息列为人格权中独立一章,恪守了“以民为本、立法为民”的理念,并以人格尊严的至高无上为根本出发点。[2]
个人信息的基本定义
作为个人信息保护讨论基础的三个概念:数据、信息和隐私的区别不仅是形式表达上的不同, 而且分别有其独立的外延和内涵。
信息(Information)与数据(Data)的表述争议存在颇久,部分观点认为信息的外延大于数据,数据只是信息表达的一种方式[3];部分观点标引国际标准化组织的定义,认为信息是关于特定事物的知识,数据是该知识的表现形式。信息权属研究初期,由于欧美两地法律语言的客观差异,其在立法和学说上分别采用数据和信息两词,但在比较研究中往往做同一概念适用,例如美国商务部2000年公布的《美国-欧盟的隐私安全港原则和常设问题(FAQ)》中将个人数据和个人资料作为可以通用的概念。我国主流学说亦采纳这一观点,认为个人信息和个人数据属于内容与表现形式的关系,在确定性与保护范围上各有优劣,但在个人信息保护法领域属于通用概念。[4]我国立法与司法实践中亦采纳这一观点,但在立法时更多注重人文关怀,扩大保护范围,多采纳“个人信息”这一表述。在“新浪诉脉脉案”中,法院使用数据信息概念,将“数据信息”并列,认为其已经成为重要的资源。
《民法典》将个人信息和隐私以不同条款保护。根据《民法典》第一千零三十二条表述,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”其中,私密信息与个人信息存在较大交集,难以完全划清边界,故第一千零三十四条明确了侵犯私密信息案件中,隐私权与个人信息权益的适用顺序和范围,即私密信息的优先适用隐私权规定,隐私权条款中无规定,则适用个人信息保护条款。例如福建省福州市鼓楼区人民检察院曾侦破一起非法窃听、窃照专用器材案,该案嫌疑人陈某将网购的4套针孔摄像设备安装在4家酒店客房内,并利用App远程观看、录制和存储他人的私密视频。[5]该案中,侵犯客体虽包含有面容、声音等个人信息,但主要侵犯客体信息具有强烈私密性质,应优先适用隐私权相关规定。值得注意的是,《民法典》对《网络安全法》中个人隐私的定义进行了扩张,将侵害与识别身份无关信息的行为纳入法律制约范畴,如部分app未经用户许可,私自利用用户浏览记录进行智能算法推送。
个人信息的权利义务
个人信息主体有两类,一类是个人信息主体,即自然人,另一类是信息处理者。个人信息主体的诉求在于信息的控制权,包括访问权、更正权和可携带权等;信息处理者的诉求在于数据的管理权,包括数据的收集、利用、存储、披露等。《民法典》中明确划分二者权利义务。
第一千零三十七条主要规定了个人信息主体的权利,包括:
(1)查阅复制权;
(2)更正请求权;
(3)删除请求权。
第一千零三十八条规定了信息处理者的四大义务:
(1)不得泄露或者篡改其收集、存储的个人信息;
(2)未经自然人同意,不得向他人非法提供其个人信息;
(3)确保个人信息安全的义务;
(4)补救和告知、报告的义务。其中前两项属于消极义务,后两项属于积极义务。
《民法典》第一千零三十六条作为例外条款,将“同意”作为个人信息处理的合法化标准,体现了信息主体对其个人信息的自决利益。其后续二三款,将合理使用公开信息以及为保护公共利益或信息主体权益的行为合法化。例如2020年新冠疫情期间,为防治传染病疫情,《传染病防治法》第二十条的规定,县级以上政府在其制定的信息收集制度中可以授权、委托居委会、村委会等组织收集。但仍需注意,小区物业、未被县级以上政府授权的行政机关无权处理公民个人信息。
总体上,我国对个人信息的规制模式与欧盟、日本的立法模式相类似,即“通知”与“授权”的程序性机制。
个人信息的应用场景
个人信息的应用场景可以分为传统的线下收集和互联网收集。传统的线下收集,例如如个人档案、医院病历等,由于纸质信息难以整合和流通,并且相关行政、行业监管较为严格,即使存在问题也可由个案诉讼的方式予以解决。与此相对,互联网企业对于个人信息的收集方式众多,且流通较广,侵犯的往往是用户集体的信息权益,个人难以维权,故相比传统的线下收集,更应对互联网收集行为进行分析。
在收集方式上,互联网的信息收集有以下几种模式:
一是用户预留信息模式,这是用户感知度最高的信息收集方式,该方式需要用户主动通过APP填写个人信息,故其对提供的信息的内容了解明确,并且自主度较高。用户预留信息模式可再分为必要场景下的信息收集和非必要场景下的信息收集,前者例如金融产品,往往需要校验用户身份信息,后者例如部分APP,可选择微信、手机号绑定,也可单独申请注册。
二是设备自动采集模式。一般应用需要采集一些信息,比如通讯录、相册等,该行为是需要用户主动对其授权。但也有一些自动被应用采集的信息,如设备名称、设备型号等。
三是用户日志。企业收集我们在应用上的交易记录、浏览记录、页面停留时间等,通过预设埋点,整理搜集用户偏好。
四是第三方SDK组件搜集。通过用户主动在一个应用授权其他应用权限,该授权动作至少提供了头像、昵称、好友列表等信息。2020年5月17日公安部公布了386个违法违规收集个人信息的app服务单位,其中第三方SDK组件超范围收集个人信息情况较为常见。
在个人信息处理的场景中,互联网的信息收集大致用于线上服务、用户画像、商业分析、安全风控等。以用户画像为例,用户画像就是通过用户日志等信息的分析,为用户打上不同标签,并整理各个标签组合划分群体,然后针对性营销,甚至是内容推荐、朋友推荐等。具体而言,比如对频繁搜索婴儿用品的女性打上母亲标签。例如,部分地图软件对用户常用路线进行优选。在部分场景的使用中也会存在不完善,例如部分APP在服务协议及隐私声明用户信息的处理上未明确数据搜集的范围与用途,在使用上也未向用户申请授权,违反了《网络安全法》第四十一条,“对个人信息的使用应当合法、正当、必要,且需要明示给用户并征得同意”的规定。
以上主要对个人信息的应用场景和法律条文做了简单的阐述,下文试图通过剖析个人信息中的人格利益与财产利益,以明晰个人信息保护背后的法理基础。
个人信息上附带之人格利益
(1)隐私权说
美国法将个人信息保护纳入到隐私法(Privacy Law)的规制范畴之下。但隐私权说最早的探索源于法国,1791年法国基于学者Jacobin Jérôme pétion的主张,在宪法中对他人隐私加以保护,至1868年出版社法第11条规定了私人生活尊重权,其是隐私权的前身。而后美国学者沃伦与布兰代斯1890年发表《论隐私权》一文,开启了隐私权讨论的序幕,从最初的“独处安宁权”到“有限的接近”,再到“个人信息控制理论”,隐私权的概念在英美法概念中不断扩张,在防御性的保护外,也积极拓展了主体对于个人信息的控制权。法国直至1970年才于《民法典》第九条将隐私权明确固定下来,但由于大陆法系人格权框架下,隐私权难以涵盖全部个人信息,法国最终选择在个人信息保护领域中进行单独立法,如《在个人性质数据自动处理方面保护个人的公约》,并通过侵权法实现法律救济。
我国亦有学者主要从隐私角度来看个人数据保护,指出通过隐私权立法可以平衡个人信息的隐私性与公共流通性,促进数据市场的交易秩序,强化政府在市场经济秩序下的管控作用。[6]
(2)人格权说
德国法中,个人数据保护是在一般人格权(Das allgemeine Persönlichkeitsrecht)的框架内进行的。德国法明确数据主体在个人数据上享有的权利为人格权(Persönlichkeitsrecht)并在理论提出信息自决权(Recht auf informationelle Selbstbestimmung)。[7]
我国主流学说亦认为,对于个人信息,我国立法应采用“人格权客体说”主张。根据大陆法系人格权理论,凡是与人格形成与发展有关的情事都属于人格权客体。个人信息所体现的是公民的人格利益,个人信息的收集、处理或利用直接关系到个人信息主体人格权益。根据大陆法系人格权理论, 凡是与人格形成与发展有关的情事都属于人格权客体。[8]更有学者主张将个人信息权独立于隐私权保护,因为个人信息保护的是信息主体对于个人信息的支配地位,相较于隐私权具有明显的积极性、主动性,例如欧盟《一般数据保护条例》中提出的一系列权利,以保护信息主体对于其个人信息的支配地位,如个人知情权(Droit d’accès)、访问权(Droit d’accès)、修正权(Droit de rectification)、删除权(Droit à l’effacement)、限制处理权(Droit à la limitation du traitement),个人被遗忘的权利(Droit à l’oubli)、数据携带的权利(Droit d’opposition)。
我国《民法典》采取折中观点,虽将个人信息与隐私权编入同章,但在文中明确区分其概念,并加以不同条文加以保护。第一千零三十五条、第一千零三十七条及第一千零三十八条在于明确信息主体的知情同意权、访问权、复制权、修正权及删除权。涉及非法披露和干扰私密信息的案件通常通过隐私权保护,而涉及其他个人信息的收集、存储、使用、加工、传输、提供、公开,则从个人信息的“自决”角度提供保护。《民法典》作为民事基本法,其第一千零三十四条对隐私权未规定的私密信息,适用有关个人信息保护的规定,增强了法律的与时俱进的可能,为《个人信息保护法》留下了立法空间。
个人信息上附带之财产利益
企业曾认为搜集、处理个人信息耗时耗力,难有即时收益,很难从中看到财产属性,但随着大数据、智能算法等概念的兴起,信息分析带来的巨大生产力已经不仅仅是一个趋势,个人信息定义为单纯的人格权利似乎很难解决生产生活中的现实问题,信息中的财产属性愈发明显。总体来说,民法学者较为强调个人信息的人格利益属性;而知识产权法、信息法等其他部门法的学者则更为强调个人信息的财产利益属性,甚至称其为“第二代知识产权”。我国人格权法的主流观点认为人格权应采人格权法定主义。[9]单一的个人信息的经济价值微弱,只有大量信息通过处理分析后才具有明显财产属性。在此背景下,我国《民法典》人格权编中的个人信息权益,作为对自然人人身权益的保护条款,其关注点主要在于人格利益,但如果忽视个人信息的财产属性,必然抑制数据的合理流通与利用,故《民法典》在第一百二十七条给予数据处理者合法的生存空间,即:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”
德国通过人格权商业化许可(Personality Licensing)予以处理,美国则发展出公开权理论构造独立的财产权利保护。我国目前主要采人格权商业化学说。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》强调利用信息网络侵害个人隐私和个人信息的侵权构成要件必须为“利用网络公开个人隐私和个人信息的行为”并“造成损害”。《网络安全法》第四十二条例外情况,将匿名化且无法恢复的信息作为可合法向他人提供的内容。在大陆法系“人格权商品化”理论之下,个人信息权益本质上仍属于人格权范畴,在处理“网络经营者收集用户信息用于个性化推荐服务”案例类型中,用户难以证明其本人遭受实质性损害,法院对用户的损害赔偿请求往往不予支持。目前,个人信息的法律救济,主要仍是侵权法上的救济。
个人信息的应用场景
作为民事基本法,《民法典》并未能在有限的篇幅里完全表述清楚个人信息的救济和保护机制;并且将个人信息权益规定于人格权编,对其财产利益性质的承认仍然有限,未对数据搜集者、处理者的权利义务进行对价保护。但民法典将个人信息与隐私权并驾齐驱,承认了个人信息的保护价值,为《个人信息保护法》《数据安全法》留下立法空间。通过后续各法之间甚至不同部门法的协同,协调个人信息上的人格权益与财产权益,有利于实现数据交易的进一步规范化,为新时代数据治理提供法治化依据。
注释:
[1]参见《国务院关于印发促进大数据发展行动纲要的通知》,载中华人民共和国中央人民政府网http://www.gov.cn/zhengce/content/2015-09/05/content_10137.htm。2020年7月11日访问。
[2]王利明.论人格权独立成编的理由[J].法学评论,2017(6):1-11
[3]梅夏英.数据的法律属性及其民法定位[J].中国社会科学,2016(09):209.
[4]齐爱民.论个人信息的法律保护[J].苏州学报,2005(2):30
[5]酒店偷拍事件频发谁之过[EB/OL].[2020.07.14].http://www.xinhuanet.com/legal/2020-05/30/c_1126051970.htm
[6]王忠.大数据时代个人数据隐私规制[M]社会科学文献出版社.2014:9
[7]Peter Gola,Christoph Klug,《数据保护法概要》(Grundzüge des Datenschutzrechts)第一章引言部分。
[8]齐爱民.大数据时代个人信息保护法国际比较研究[M]法律出版社.2015:153
[9]程啸.民法典编纂视野下的个人信息保护[J]社会科学文摘.2019(11)
参考文献:
[1]齐爱民.论个人信息的法律保护[J]苏州大学学报.2005(2):30-35
[2]张民安.信息性隐私权研究[M]中山大学出版社.2014
[3]王春晖,程乐.解读民法典“隐私权和个人信息保护”[J]南京邮电大学学报(社会科学版).2020(3)
[4]丁晓东.个人信息的双重属性与行为主义规制[J]法学家.2020(1):64-76
[5]杨翱宇.数据财产权益的私法规范路径[J]法律科学(西北政法大学学报).2020(2):65-78
(作者:冯峰、张珏千,万商天勤律师事务所)