第二条 【个人信息受法律保护】
自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
◆ 条文要旨
本条是对个人信息受法律保护以及不得侵害个人信息权益的规定。
◆ 理解与适用
一、个人信息受法律保护
《个人信息保护法》第2条前半句宣示了自然人的个人信息受法律保护的基本原则。所谓自然人的个人信息受法律保护,不仅意味着《个人信息保护法》对个人信息予以保护,还包括其他的相关法律如《民法典》《数据安全法》《刑法》《消费者权益保护法》《未成年人保护法》等法律对自然人的个人信息加以保护。我国立法机关高度重视对自然人的个人信息的保护,不断丰富和完善个人信息保护的相关法律规定。早在2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》中,开篇第1条就明确规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”2013年第十二届全国人大常委会第五次会议修订《消费者权益保护法》时,不少意见就提出,实践中经营者泄露、非法买卖消费者个人信息的现象十分突出,严重侵害了消费者的隐私,影响消费者生活安宁,希望法律对此作出规定。[21]故此,立法机关经研究后,在《消费者权益保护法》第14条中新增了消费者“享有个人信息依法得到保护的权利”。此后,鉴于实践中曾出现“徐某玉因信息泄露而被骗学费引发急病死亡”以及“清华大学教师被电信诈骗1700多万元”等多起引起社会广泛关注的个人信息泄露事件,在起草《民法总则》时,有些常委委员、部门、法学教学研究机构和社会公众建议进一步强调对个人信息的保护,故此,2017年通过的《民法总则》第111条第1句明确规定:“自然人的个人信息受法律保护。”在我国《民法典》编纂时,《民法总则》这一规定被完整纳入《民法典》中,作为《民法典》总则编的第111条。
在前述法律规定的基础上,为了更好地贯彻落实《宪法》关于保护公民的人格尊严以及党的十九大报告保护人民群众的人身权、财产权和人格权的要求,我国《个人信息保护法》在第2条前半句再次明确宣示了“自然人的个人信息受法律保护”这一基本原则和理念,具有重要意义。
二、个人信息权益的性质
(一)权利说与利益说
关于个人信息权益的性质,在我国理论界与实务界一直存在很大的争议。理论界一直存在很大的争议,[22]有民事权利说与合法利益说(民事利益说)两种不同的看法。民事权利说认为,自然人对个人信息享有的是民事权利,即个人信息权。[23]关于个人信息权的性质,多数人认为是一种新型的人格权,即个人信息权或个人信息自决权,它是指自然人对其个人信息享有支配和自主决定的权利,其内容包括个人对信息被收集、利用等的知情权,以及自己使用或授权他人使用等。[24]该权利是不同于隐私权、名誉权等的一种新型人格权。民事利益说认为,自然人对个人信息享有的只是受法律保护的利益,而非民事权利。一则我国《民法总则》第111条都没有使用“个人信息权”的表述,这意味着立法机关没有将个人信息作为一项具体的人格权利,[25]这也“为未来个人信息如何在利益上兼顾财产化以及与数据经济的发展的关系配合预留了一定的解释空间”[26]。二则《民法总则》第111条采取了行为规制模式而非权利化模式来保护个人信息,即通过对他人行为加以控制的角度来构建利益空间,维护利益享有者的利益。[27]
在我国《民法典》编纂过程中,也有学者不断呼吁《民法典》中应当明确规定“个人信息权”,[28]而不应当仅使用“个人信息保护”这样的表述。然而,最高立法机关无论是在《民法典》的总则编还是人格权编中都没有使用“个人信息权”的表述。虽然《民法典》人格权编在规定具体人格权的各章(即第2—6章)中,几乎都是以“某某权”作为章名,如第2章“生命权、身体权和健康权”,第3章“姓名权和名称权”,第4章“肖像权”,第5章“名誉权和荣誉权”。然而,唯独在第6章使用的是“隐私权和个人信息保护”的表述。之所以立法机关最终没有采取个人信息权的表述,根本原因还在于:对于是否规定“个人信息权”的问题,存在很大的争议。部分理论界和实务界的人士和有关部门担心将自然人对个人信息的权益直接确定为“个人信息权”,会导致自然人对其个人信息享有过于绝对的支配权和控制权,以致影响信息自由流动,不利于网络信息社会和数字经济的发展。[29]这种争议使得立法机关在是否规定个人信息权的问题上决定采取比较稳健的态度。
应当说,即便将自然人对其个人信息的权益规定为个人信息权,并不就会出现上述人士和部门所担忧的现象。因为无论是从个人信息本身的性质还是比较法上看,还没有一个国家会将个人信息权混同于所有权、生命权等绝对权利,认为自然人对于其个人信息享有独占的、排他的支配权。任何国家或地区在对自然人的个人信息进行保护时,都必须权衡多种利益,其中既包括自然人的人格尊严等基本人权,也包括言论和信息的自由、网络信息科技的发展、商业活动的发展、公共利益和国家利益的维护等。这些都是不言自明的道理。例如,欧盟《一般数据保护条例》虽然在序言中开篇就明确了自然人在个人数据处理方面获得保护是一项基本权利,是受到欧盟《基本权利宪章》第8条第1款和欧盟《运行条约》第16条第1款的保护的。但紧接着它就指出“本条例致力于实现自由、安全、公平和经济联盟,致力于经济和社会进步,加强并聚集内部市场的经济,实现个人的幸福”,“保护个人数据的权利不是一项绝对权利,必须考虑其在社会中的作用并应当根据比例性原则与其他基本权利保持平衡。本条例尊重所有基本权利,并奉行欧盟《运行条约》基于欧盟《基本权利宪章》承认的自由和原则,尤其是在以下方面:个人和家庭生活、家庭和通信、个人数据保护、思想自由、意识和宗教、言论和信息自由、商业活动自由、获得有效救济和公正审判的权利、文化、宗教和语言多样性”。再如,日本《个人资料保护法》第1条就规定:“本法的立法目的在于,在高度信息通信社会的深化所带来的对个人信息的利用显著扩大的背景下,通过对个人信息之正当处理的基本理念、由政府制定基本方针及采取其他保护个人信息的措施等基本事项作出规定,明确国家和地方公共团体的职责等,并对个人信息处理业者应遵守的义务等作出规定,从而重视个人信息的正当且有效利用在促进新兴产业的创造、实现充满活力的经济社会和富足的国民生活上的作用以及其他个人信息的作用,保护个人的权利或利益。”
同样,我国《民法典》在规定个人信息保护问题时,也始终关注多种利益的协调,否则在《民法典》中也不会对个人信息的合理使用、侵害个人信息的免责事由等作出规定。事实上,自然人对个人信息享有的权益的名称如何并不重要,重要的是对于该权益的性质、内容和保护方式加以明确,而正是后者决定了这种权益究竟是权利还是利益,如果是权利,究竟是效力多强的权利。因此,从这个角度上,立法者在《民法典》中回避关于个人信息权益的争议而采取“个人信息保护”的表述,不失为明智之举。令人高兴的是《个人信息保护法》明确采取了“个人信息权益”的表述,该法不仅在第1条明确了首要的立法目的是保护个人信息权益,更是在第2条规定了任何组织、个人不得侵害个人信息权益,同时还在第4章规定了个人在个人信息处理活动中的权利,用来对个人信息权益加以保护即作为个人信息权益的救济权。《个人信息保护法》第4章规定的权利包括:个人对个人信息处理享有的知情权与决定权、查阅复制权、可携带权、补充更正权、删除权、解释说明权,此外,还规定了死者近亲属在一定条件下可以行使针对死者的相关个人信息的权利。
(二)个人信息权益属于民事权益
《个人信息保护法》第2条后半句明确规定了自然人的个人信息权益不受侵害。自然人的个人信息权益,是指自然人就其个人信息享有的民事权益。我国《民法典》总则编第5章对民事权益作出了全面详尽的列举,该章虽名为“民事权利”,实际上既规定了民事权利也规定了民事利益,是对民事主体所有的民事权益的规定。该章以第109条对一般人格权即“人身自由、人格尊严”的规定开始,逐一列举了自然人、法人和非法人组织享有的人格权益、身份权利、物权、债权、知识产权、继承权、股权和其他投资性权利,其他民事权利和利益,直至数据、网络虚拟财产等新型的财产。《民法典》总则编第5章关于个人信息保护的规定是第111条。该条被放在“生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权”等具体人格权的规定(第110条)之后,“自然人因婚姻家庭关系等产生的人身权利”(第112条)之前。这一立法位置的安排已充分说明,自然人对个人信息享有的权益属于民事权益。否则,立法者不可能在作为民商事领域基本法的《民法典》中作出规定,更不会在总则编的“民事权利”章中加以规定。自然人的个人信息权益之所以是民事权益是由个人信息的特性与保护个人信息的根本目的所决定的。
1.个人信息的特性决定了自然人对其个人信息享有的是民事权益而非公权利。个人信息是自然人的个人信息,而不包括法人、非法人组织等其他民事主体的信息。依据《个人信息保护法》第4条第1款的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。具体而言,个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。如果某些信息与已识别或可识别的自然人完全无关,如气象信息、地理信息等,这些信息就不属于个人信息。对这些信息的处理,不适用《个人信息保护法》等法律关于个人信息保护的规定。例如,收集这些信息,无须告知并取得特定自然人的同意;再如,处理者向他人提供匿名化信息即“经过加工无法识别特定个人且不能复原的”信息,无须经过被收集者的同意。之所以如此,根本原因就在于只有与已识别或可识别的自然人有关的信息被处理,即被处理者进行了收集、存储、加工、使用、传输、提供、公开、删除等活动的时候,才直接关涉到自然人的人格尊严和人身财产权益。
在大数据时代,个人信息的处理方式发生了革命性的变化。信息处理能力的突飞猛进,不仅使得海量的个人信息可以被包括政府机关、企事业单位等各种主体无时无刻、无所不在地加以收集、存储、加工,并且会以人们想不到的各种方法予以使用、传输、提供或公开。这些围绕着个人信息进行的处理行为由此也产生了侵害自然人人格尊严、妨害人格自由以及损害人身财产权益的各种风险,并时常造成现实的损害后果。这些风险至少包括以下几类:其一,因个人信息被非法收集、买卖或使用而使加害人有机会对自然人既有的生命权、健康权、名誉权、隐私权等人格权以及债权、物权等财产权利实施侵害;其二,基于被合法收集的个人信息形成的大数据,通过算法等技术进行社会分选、歧视性对待,进而损害人格尊严的危险;其三,通过大数据和人工智能技术进行人格画像,将原本属于主体的自然人降格为客体并加以操控,损害人格自由等。因此,围绕着个人信息所展开的是一个自然人需要通过对其个人信息的控制来防止遭受人身财产权益的危险或避免损害的利益需求,与其他主体希望获取和利用个人信息达至各种目的(提高行政效率、追求商业利润等)的利益需求之间的斗争关系。德国学者克里普(Klippel)认为,个人信息保护法的保护客体是如下四种利益:其一,知悉个人信息被处理的利益;其二,个人信息正确和完整的利益;其三,个人信息处理须符合特定目的的利益;其四,隐私利益。[30]本书认为,从作为个人信息主体的自然人这一方来说,其主要的利益是一种防御性利益,即自然人针对个人信息享有的防止因个人信息被非法处理而致人身财产权益遭受侵害甚至人格尊严与人格自由受到侵害或损害的利益。[31]这种利益属于法律上有保护之必要的合法利益且属于私人利益而非国家利益和社会利益,故此,立法上应当将之确认为民事权益。
2.个人信息保护与利用关系属于平等主体之间的民事关系。在个人信息的保护与利用关系中,存在两方当事人。一方是作为个人信息主体的自然人,另一方是个人信息的处理者。总体上而言,处理者可以被分为两类:一类是行政机关、司法机关等国家机关,其依据法律的规定为履行职责的需要而收集、存储、加工、使用、传输、提供或公开个人信息,最终目的是服务于国家利益、社会公共利益等。例如,公安机关进行户籍管理而收集处理自然人的姓名、身份证号码、家庭住址、联系方式等个人信息;再如,国家安全机关为了维护国家安全,侦查和制止敌对势力的间谍活动时,依据《国家安全法》《反间谍法》等法律的规定,采取技术侦查手段,进行监听或监控,收集相关的个人信息。另一类是非国家机关的其他民事主体,如各种网络企业、事业单位、社会团体等。于网络企业而言,它们处理个人信息的根本目的就在于营利,追求经济利益,如通过收集用户的个人信息进行精准的广告投送,赚取广告费或者更多更好地销售产品、提供服务,从而实现企业的利润最大化。这两类不同的主体处理个人信息的活动存在明显的差别,如二者的处理目的不同,前者是履行法定职责,维护公共利益,而后者是为了私人利益,尤其是经济利益。再如,合法性基础不同,国家机关处理个人信息活动的基础主要就是法律的规定以及当事人的同意;非国家机关处理个人信息合法性的基础则比较多元化,既包括当事人同意也包括法律的规定,还包括为了维护公共利益、维护民事主体的合法权益、对已经合法公开的个人信息进行利用,等等。故此,在有些国家或地区的个人信息保护立法中,要么排除对公务机关处理个人信息的适用(如日本《个人信息保护法》),要么区分公务机关和非公务机关分别规定其处理个人信息的活动(如我国台湾地区“个人资料保护法”)。尽管国家机关和非国家机关对个人信息的处理存在上述区别,但是,并不因此就导致在个人信息权益的保护问题上,自然人与处理者之间的关系有所不同。无论是作为机关法人的国家机关,还是作为营利法人、非营利法人或者非法人组织的企业、事业单位、社会团体等非国家机关,均负有不得侵害自然人民事权益的义务。任何类型的个人信息处理者只要实施了侵害自然人个人信息权益的行为,都要依法承担停止侵害、排除妨碍、赔偿损失等法律责任。作为民事权益的自然人个人信息权益,可以对抗来自权利主体之外的任何组织或个人的侵害和损害。依据我国《民法典》的规定,当自然人的个人信息权益遭受侵害时,自然人可以依法采取正当防卫、紧急避险和自助行为等自力救济措施,也有权通过投诉、起诉获得国家机关的公力救济。有学者以民事权利只能对抗平等的民事主体而无法对抗公权力机关,公权力机关一般对于民事权利不会提供预先的保护措施为由,来论证自然人的个人信息权益不是民事权益而是公法上的权利。[32]对此,笔者难以苟同。在私权利保护的问题上,不存在公权力机关比非公权力机关处于更优越地位,否则就完全违背了法治国家的原则。公权力机关侵害私权利,私权利主体同样可以要求其承担法律责任。我国《行政诉讼法》第12条明确规定了公民、法人或者其他组织认为行政机关侵犯其人身权、财产权等合法权益时可以提起行政诉讼。《国家赔偿法》则规定了国家机关和国家机关工作人员行使职权,有《国家赔偿法》规定的侵犯公民、法人和其他组织合法权益的情形,造成损害的,受害人有依照《国家赔偿法》取得国家赔偿的权利。如果国家机关和国家机关工作人员实施的是《国家赔偿法》之外的侵害公民、法人和其他组织合法权益的侵权行为或违约行为的,则受害人有权依据《民法典》的规定要求其承担侵权责任等民事责任。国家机关存在的根本目的就是要通过依法履行职责,预防和制止各种侵权和违法犯罪行为,保护广大民事主体的人身财产权益。就个人信息保护而言,无论是国家部门颁布相关法律法规和规章,还是实施相关的行政行为,很重要的目的就是要保护自然人的合法权益,防止个人信息泄露、非法买卖等违法行为的发生。故此,公权力机关一般对于民事权利不会提供预先的保护的观点,难以成立。
3.我国之所以颁布《个人信息保护法》,是为了更好地维护自然人的个人信息权益,这种个人信息保护单独立法的模式并未改变自然人对个人信息享有民事权益的事实。由于个人信息保护问题备受关注,各国或地区对于个人信息保护都是采取单独立法的方式,如欧盟《一般数据保护条例》,德国《联邦数据保护法》,美国《隐私法》《公平信用报告法》《电子通信隐私法》《儿童在线隐私保护法》,日本《个人信息保护法》,韩国《个人信息保护法》《信息通信网利用促进及信息保护法》及《信用信息的利用及保护法》,我国台湾地区“个人资料保护法”等。[33]如前所述,截止到2020年12月,全世界232个国家或地区中,有145个颁布了专门的数据保护法或个人信息保护法。然而,通过专门的个人信息保护法来规范个人信息保护,是因为个人信息保护本身就是复杂的涉及民法、行政法、刑法以及国际法等不同法律部门的问题。在个人信息保护的专门立法中既有法律的强制性调整规范(如对告知同意规则、保护个人信息安全义务的规定等)以及相应主管机关的行政管理措施,也要尊重当事人的意思自治,允许自然人与信息处理者之间进行相应的约定;既有行政责任和刑事责任,也有民事责任。正如因为消费者权益保护受到高度重视,包括我国在内的许多国家单独制定《消费者权益保护法》用以保护消费者权益,这一立法模式并不改变消费者享有的生命权、健康权、身体权和财产权仍然是民事权益那样,不能因为个人信息保护采取了单独立法模式,就认为自然人的个人信息权益不是民事权益,而是单独的一种权益或者公法上的权益。专门立法还是分散立法只是立法方式的选择,不会影响所保护的权益本身的性质。在我国《民法典》确认了自然人的个人信息权益属于民事权益之后,《个人信息保护法》等单行法律应当依据《民法典》的规定,对个人信息权益的保护以及个人信息合理使用等各种问题作出更具体详细的规定。
(三)个人信息权益属于人格权益
我国民事权益分为两大类:人身权益与财产权益。其中人身权益又可分为人格权益和身份权益。人格权益包括人格权利与人格利益,身份权益包括身份权利与身份利益。财产权益分为财产权利和财产利益。当然,有些权益兼具人身性质和财产性质,如著作权、专利权及股权等。我国《民法典》总则编第5章“民事权利”遵循从人身权益到财产权的排列顺序,对所有的民事权益进行了列举并留出了未来新型民事权益产生的空间。《民法典》虽然没有规定个人信息权,但明确了自然人对其个人信息享有的是人格权益,而非财产权益。
1.个人信息权益保护的是自然人的人格利益。我国民法学界主流观点认为,个人信息涉及自然人的人格尊严和人格自由。因此,无论将自然人对其个人信息界定为权利还是利益,都不影响法律将其确定为自然人的人格权益。主要理由在于:个人信息是能够识别特定自然人的信息,这种可识别性就体现了人格特征。[34]因此,个人信息与自然人的人格利益息息相关。无论是基因数据等隐私信息,还是姓名、cookies(计算机用户存储在本地的信息)等一般信息,均与人格形成与发展有关,皆为人格要素,均构成个人整体人格之一部。[35]个人信息“既是自然人参与社会交往的载体,也是个人人格表现和人格发展的工具”,因此,“信息主体对个人信息流转范围和流转方式的掌握,和个人人格的发展密切联系,这也是在现实社会中保护个人信息相关权益的价值基础”[36]。法律对自然人个人信息予以保护,本质上是保护其人格利益,包括人的尊严和自由。[37]
笔者赞同上述理由。我国《民法典》明确规定了作为一般人格权的人格尊严和人身自由,在《民法典》第110条和第990条第1款列举的人格权中虽然没有规定个人信息权,但是,《民法典》第990条第2款明确规定:“除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。”因此,可以将自然人的个人信息权益归入自然人基于人身自由、人格尊严产生的其他人格权益当中。我国《民法典》规定的具体人格权益可以分为两大类:一类是所谓物质性人格权益,即自然人对于具有人的身体属性的生命、身体、健康等拥有的人格权益,如生命权、身体权、健康权等。另一类则是民事主体针对精神性人格要素如姓名、肖像、名誉、荣誉、隐私等享有的人格权益,如姓名权、名称权、肖像权、名誉权、隐私权等。自然人对其个人信息享有的民事权益属于上述人格权益中的精神性人格权益。
在将个人信息权益确定为人格权益这一点上,我国与德国等欧洲的大陆法系国家既有相同之处,也有明显的区别。相同之处在于,都认为保护自然人个人信息的根本目的在于维护人的尊严和自由。区别在于,欧盟国家倾向于从人权或基本权利的角度来看个人信息权利,而我国则是为了贯彻《宪法》关于保护公民的人格尊严的精神从民法的角度赋予了自然人对其个人信息享有的具体人格权益。[38]哈佛大学法学院教授艾伦·德肖维茨曾言:“权利来自于人类经验,特别是不正义的经验。我们从历史的错误中学到,为了避免重蹈过去的不正义,以权利为基础的体系以及某些基本权利至关重要。”[39]欧洲经历了两次世界大战,尤其是第二次世界大战中法西斯大规模屠杀犹太人的惨痛教训使得欧洲国家始终高度重视人格尊严与人格自由等基本人权的保护。[40]在这些国家看来,法律上保护自然人的个人数据,目的就是保护基本人权和自由,关涉到人性的尊严与人格的自由发展。倘若自然人不能自主地决定个人数据能否被他人收集、储存并利用,无权禁止他人在违背自己意志的情形下获得并利用个人数据,则个人之人格自由发展与人格尊严就无从谈起。因此,自然人的个人数据权利属于基本人权,个人数据保护被视为具有宪法意义,相对于经济利益要优先保护。[41]1995年10月24日欧洲议会和欧盟理事会在向各成员国作出的《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》(以下简称《个人数据保护指令》)开篇就指出,“鉴于数据处理制度是服务于人类的;无论自然人的国籍和住所,必须尊重他们的基本权利和自由,特别是隐私权”,“不仅要求个人数据能在成员国之间自由流动,而且应当保护个人的基本权利”。2000年欧盟《基本权利宪章》第8条“个人数据保护”更是明确规定,人人均有权享有个人数据的保护,个人数据只能基于特定目的,基于当事人同意或者其他法律依据而被公正地处理,个人有权了解和修正其被收集的个人数据。2018年5月25日起施行的欧盟《一般数据保护条例》在导言部分第1条再次指出:“自然人在个人数据处理方面获得保护是一项基本权利。”
2.我国法上的人格权保护一元化模式涵盖了精神利益与财产利益。我国有些学者认为,个人信息上承载的自然人的利益是多元的,既包括自然人的人格利益,也包括经济利益或财产利益,因此,对于自然人对个人信息的人格利益,应当通过人格权给予保护,财产利益则通过财产权保护。若同时体现人格利益和财产利益,就给予人格权和财产权的双重保护。[42]笔者不赞同该观点。因为我国法上的人格权历来就不是单纯保护自然人对人格权客体的精神利益,也保护自然人就人格权客体享有的经济利益。比较法上关于人格权主体的经济利益如何保护有两种模式:一是德国的一元模式,即通过扩张人格权的保护对象,逐步肯定人格权的经济价值,从而通过人格权同时实现对权利人的精神利益和经济利益的保护。[43]二是美国的二元模式,即采取隐私权与公开权两种方式分别保护人格权中的精神利益与经济利益。隐私权作为一种精神性权利,主要保护的是自然人的精神利益,即个人的独处和私生活安宁,该权利不得转让、继承,且主要具有消极防御功能。公开权则主要包括肖像、命名、声音等人要素上的经济利益,该权利可以转让、继承。
我国有些学者主张对于人格权中的精神利益与经济利益采取二元模式的保护模式。他们认为,一元模式难以解决人格权中的精神利益与经济利益保护方式的差异,也不符合人格权的内在逻辑体系(如精神利益存在于所有的人格权,而经济利益只有少数人格权涉及),因此采取二元模式分别加以保护,更有针对性,也能更好地协调人格尊严与个人行为自由的关系。持二元模式的学者中,有的主张在人格权、财产权之外设立商事人格权来涵盖姓名权、肖像权、商誉权、信用权、商号权等具有经济利益的人格权;[44]有的主张借鉴美国法的经验创设一种新型的无形财产权即商品化权或形象权,从而实现对人格权中各种经济利益的保护。[45]还有的认为,姓名、名称等人格要素的商品化权益属于一种独立的民事利益,而非人格权,我国通过民法保护姓名权,通过《商标法》《反不正当竞争法》等特别法保护姓名(包括笔名、艺名、译名等)的商品化权益,已经形成了二元保护的立法格局。[46]
大多数学者认为,所谓人格权的商品化利用并非创设一种新的权利(如公开权、形象权或商品化权),人格权的商品化利用只能理解为某些人格权的权能特别是利用的权能发生了扩张,而不是生成了其他独立的权利,否则就会产生这些新的权利与原有的人格权无法区分的问题。[47]因此,我国仍然应当坚持一元保护模式,即通过人格权来实现对自然人等民事主体的精神利益与经济利益的保护。[48]
我国民事立法和司法实践始终坚持的是人格权一元保护模式,即通过人格权制度同时实现对精神利益和经济利益的保护。对此,我国《民法典》有非常明确的规定,具体体现在:其一,《民法典》不仅允许人格权主体自己行使人格权而实现人格要素的商业化利用,如以自己的姓名作为公司名称或者注册为商标,也明确允许权利人通过许可他人使用的方式对人格要素进行利用。《民法典》第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”虽然该条仅列了“姓名、名称、肖像”三项,但因其规定于《民法典》人格权编第1章“一般规定”中,属于在法律没有相反规定的情况下普遍适用于所有人格权益的共通性规定。加之,该条列举之后使用了“等”字兜底,故此,从解释论上,只要不属于“依照法律规定或者根据其性质不得许可的除外”情形,自然人当然可以将其个人信息许可他人使用。不仅如此,我国《民法典》第1035条和第1036条还从正反两方面非常明确地肯定了自然人有权同意(或许可)处理者处理自己的个人信息。依据《民法典》第1035条第1款第1项的规定,处理自然人的个人信息,必须“征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外”。这就说明,自然人或者其监护人的同意是个人信息处理行为合法性的基础。同时,依据《民法典》第1036条第1项的规定,如果行为人处理个人信息的行为属于“在该自然人或者其监护人同意的范围内合理实施的行为”,那么行为人不承担民事责任,这就意味着自然人或者其监护人的同意阻却了处理者处理个人信息行为的非法性。其二,《民法典》第1183条第1款明确规定,侵害自然人的人身权益造成严重精神损害的,被侵权人有权请求精神损害赔偿。这是对人格权中自然人的精神利益的保护。同时,《民法典》第1182条规定,侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿;被侵权人因此受到的损失以及侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。显然,这一规定所要保护的就是人格权中的经济利益。故此,在我国,只要明确自然人针对其个人信息享有的是人格权益即可同时保护自然人针对个人信息享有的精神利益和经济利益,无须叠床架屋地分别针对个人信息的人格利益和经济利益分别设立单独的人格权和财产权。
(四)个人信息权益属于独立于隐私权的新型人格权益
自然人个人信息保护中非常重要也是争议特别大的一个问题就是个人信息保护与隐私权的关系,这也是我国《民法典》编纂过程中反复讨论的问题。对此,一种观点认为,应当通过隐私权来保护个人信息,如借鉴美国法上的信息隐私的概念来实现对个人信息的保护。[49]另一种观点认为,个人信息不同于隐私,传统的隐私权已不足以保护公民的合法权益,法律需要从隐私权保护转向个人信息权益的保护。[50]笔者认为,隐私权与个人信息保护具有很密切的联系,但是二者存在明显的区别,不能相互取代。
1.我国法上的隐私权不同于美国法上的隐私权。作为诞生隐私权概念的国家,自1890年沃伦(Samuel D.Warren)与布兰代斯(Louis D.Brandeis)在《哈佛法律评论》上发表的《隐私权》(the Right to Privacy)一文,[51]首次提出隐私权概念以来,美国的隐私权经历100多年的发展,已经成为包括侵权法上的隐私权与宪法上的隐私权在内的庞大体系。美国著名侵权法学家William Prosser教授在1960年发表于《加利福尼亚法律评论》的一篇论文《隐私》(Privacy)中,将侵害隐私权的行为分为四类:(1)侵入原告隐居或独处之处或侵入其私人事务(Intrusion upon the plaintiff's seclusion or solitude,or into his private affairs);(2)公开披露原告的令人难堪的私密信息(Public disclosure of embarrassing private facts about the plaintiff);(3)进行使原告被公众误解的宣传(Publicity which places the plaintiff in a false light in the public eye);(4)为被告之利益而盗用原告的姓名或肖像(Appropriation,for the defendant's advantage,of the plaintiff's name or likeness)。[52]Prosser教授的这一观点确立了美国侵权法上隐私权的基本体系框架。美国侵权法上隐私权的保护范围包括:“为达成商业目的窃用他人姓名和肖像,毁损他人名誉,跟踪监视,给他人造成精神损害以及诸多的政府行为。”[53]美国宪法上没有规定隐私权,但是自1965年的“Griswold v.Connecticut”案首次确立宪法上的隐私权以来,美国联邦最高法院通过一系列判决不断扩大宪法隐私权的保护范围。[54]尤其是在1977年的“Whalen v.Roe”案中,美国联邦最高法院认可了宪法上的信息隐私权(Informational Privacy)。该案判决是美国第一个承认了宪法上的隐私权包括信息隐私和自决隐私两个部分的最高法院判决。此后,美国各州和联邦通过了一系列成文法对信息隐私加以保护,联邦层面重要的立法如1968年《综合犯罪控制与街道安全法》对使用电子设备窃听行为作出了规范,1971年《公平信用报告法》规定了信用报告中的隐私保护,1973年《犯罪控制法》对刑事审判记录中的隐私信息加以规范,1974年《隐私法》和1980年《财务隐私权法》规范了联邦政府的电子记录与财政机构中的银行记录,1980年《隐私权保护法》确立了执法机构使用报纸和其他媒体的记录和信息的标准,1994年《驾驶员隐私保护法》对州交通部门使用和披露个人车辆记录作出了限制,1999年《儿童在线隐私保护法》则是第一部对利用网络处理儿童(十三岁以下)个人信息的行为加以规范的联邦法律。总之,如王泽鉴教授所言,“隐私权发源于美国,经过一百余年的变迁,建构了以侵权行为法上隐私权、宪法上隐私权及特别法律的保障机制,并为因应社会经济的需要,尤其是资讯隐私权的保护而不断地发展演变”。[55]
然而,我国的隐私权不同于美国法上的隐私权。二者的区别在于:其一,我国的隐私权并不是宪法上的权利,不存在美国那样宪法上的隐私权。我国的隐私权始终被看作一种民事权利。从立法到司法实践,我国对于隐私权的保护经历了一个从最初放在名誉权中加以保护,到作为人格利益进行有限制的保护,再到民事立法上明确规定为具体人格权的发展历程。[56]无论如何,我国法都没有将隐私权作为宪法权利。其二,由于我国自《民法通则》始,对于人格权采取的就是具体列举的做法,无论是《民法通则》中规定的生命健康权、姓名权、名称权、名誉权、荣誉权、肖像权,还是我国《民法典》规定的包括隐私权在内的类型更多的具体人格权,隐私权都只是和其他具体人格权并列的一类民事权利,其保护的只是隐私这种自然人的具体人格利益,即“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”(《民法典》第1032条第2款)。至于生命、身体、健康、姓名、名称、肖像、声音、名誉、商业信用等人格利益,分别由生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权等具体人格权加以保护。然而,美国法上的隐私权所保护的范围极为广泛,几乎可以将所有的人格利益纳入其中,相当于我国法上的人格权。在这种模式下,“个人信息被置于隐私的范畴而加以保护。这种立法与美国法上隐私权概念的开放性有关,即美国法采纳的是大隐私权的概念,其包括大陆法中的名誉权、肖像权、姓名权等具体人格权的内容,承担了一般人格权的功能,因此,在隐私中包含个人信息也是逻辑上的必然”[57]。由此可见,主张借鉴美国法上的信息隐私权理论,通过信息隐私来保护个人信息的观点,忽视了我国法与美国法的隐私权的根本差异,不符合我国既有的人格权体系。
2.我国法上的个人信息权益与隐私权既有联系,也有区别。正是由于我国法上隐私权的内涵与外延的限定性,故此,在我国法上,隐私权和个人信息权益保护的客体虽然存在重叠却并不重合。客体的重叠使得隐私权与个人信息权益的确存在密切的联系,二者在适用规则上有共同之处。依据《民法典》第1032条第2款的规定,隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。自然人的个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息(《民法典》第1034条第2款)。显然,私人生活安宁,住宅、宾馆等私密空间这些隐私与个人信息存在明显的区别。私密活动如果没有被信息化,如通过录制、拍摄而加以固定,与个人信息也完全不同。在隐私中与个人信息联系最密切的就是私密信息,其既涉及隐私权保护,也涉及个人信息保护。我国现行法一般都将个人信息分为两类:其一,隐私信息,即涉及个人隐私的信息(或电子信息),即私密信息;其二,其他个人信息,即不涉及隐私的个人信息。例如,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条第1款规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”《公共图书馆法》第43条规定:“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息,不得出售或者以其他方式非法向他人提供。”所谓隐私的信息即私密信息,凡是自然人不愿意为他人知晓的信息,无论是婚姻信息、财产信息、健康信息、家庭住址、病历资料、犯罪记录、个人人生经历、嗜好、日记、私人信件以及其他个人不愿公开的信息等,都可以纳入私密信息。例如,《民法典》第1226条规定:“医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。”《传染病防治法》第12条第1款第2句规定:“疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”
私密信息与非私密信息的区别在于:前者是自然人不愿意为他人知晓的且与公共利益无关的信息。之所以自然人不愿意为他人知晓这些信息,就是因为如果这些信息被他人知晓了,会使得其私生活安宁受到侵害或者私生活受到干扰,而此种利益就是隐私权保护的自然人的人格利益。私密信息的具体内容如何,在所不问。其并非一定都是高尚的、道德所允许的,也包括那些道德谴责的、为人所不齿的内容。毕竟,法律上没有规定人们负有“不得自甘堕落”的义务。因此,即便是不道德的、为人不齿的信息,也属于私密信息,例如,丈夫违背夫妻忠诚义务而搞婚外情的信息,属于私密信息,受到隐私权的保护。他人不得窃取或公开。否则,构成侵害隐私权。[58]虽然非私密的个人信息也属于个人信息,可并非自然人不愿意为他人知晓的信息,甚至这些个人信息必须为他人所知,才能使得自然人更好地参与社会交往活动。例如,姓名属于个人信息,但姓名是自然人的标识,是区别自然人的一种语言标识。通过姓名,自然人得以在与其周围的人的关系中维护其人格,并将自己与他人在社会交往中加以区分,从而作为一个独特的个体存在,获得自我认同,实现人格尊严。[59]如果姓名不为他人所知,自然人就无法正当地进行社会交往。另外,在很多时候,自然人将其个人信息加以主动公开,如将自己的联系电话、电子邮箱放在个人主页上或作为微信的名称等。这种情形下,原本属于私密信息的个人信息也就成为公开的个人信息。由此可见,私密信息既可以受到隐私权的保护,也可以适用个人信息保护的规则。所以,《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
◆ 疑点与难点
一、隐私权与个人信息权益的区别
《民法典》人格权编第6章“隐私权与个人信息保护”将隐私权与个人信息保护规定在一起,如前所述,隐私权与个人信息权益存在密切的联系,同时,作为我国《民法典》所确认的两个不同的人格权益,它们也存在明显的差异,具体表现在以下几方面:
1.权利性质不同
隐私权作为一项人格权,性质上属于绝对权和支配权,具有对世效力,因此任何组织或个人都必须尊重隐私权,不得对之加以侵害或妨碍。但是,我国《民法典》并未将个人信息权益确认为绝对权和支配权,因为对个人信息的保护必须协调自然人权益的保护与信息自由和合理使用之间的关系。故此,对于隐私权,并没有如同个人信息那样规定合理使用的规则。《民法典》第999条规定,“为公共利益实施新闻报道、舆论监督等行为”可以合理使用个人信息,同时,第1036条也专门规定了侵害个人信息的免责事由。这些规定在隐私权部分都不存在。当然,这并不是说隐私权就不能因为维护公共利益而依据法律的规定受到限制,但可以肯定的是,不存在对隐私的合理使用的问题。
2.侵害行为的类型不同
侵害隐私权行为的类型很多,《民法典》第1033条以“列举加概括”的方式规定了六种类型,未经权利人明确同意而处理私密信息的行为只是侵害隐私权的行为中的一类。而且,未经同意而处理他人的私密信息这一侵害隐私权行为的主体可以是自然人,也可以是法人或非法人组织,无论侵害隐私权的行为是自动化处理还是非自动化处理,无论是发生在企业的商业活动还是政府机关履行职责的公务活动,抑或在家庭社交活动中,都可以适用。但是,个人信息权益的保护主要适用于个人信息处理活动,规范的是处理者从事个人信息的收集、存储、使用、加工、传输、提供、公开等活动。至于纯粹的私人或家庭活动中对个人信息的处理活动,如家人朋友之间进行的通信联络、保存联系方式或者社交活动的个人信息的提供等,不适用个人信息保护的规定。欧盟《一般数据保护条例》明确排除了这种情形的适用,依据该条例导言部分的第18条,“本条例不适用于自然人在不涉及任何职业或商业的纯个人或家庭活动中对个人数据的处理活动。个人或家庭活动可以包括通信、保存地址,或者社交活动以及在类似活动背景下进行的线上活动。但本条例适用于为上述个人日常活动提供个人数据处理方法的控制者或处理者”。从立法目的上来说,个人信息或个人数据保护立法就是针对现代网络信息科技发展而给个人信息或个人数据保护带来的挑战,因为在现代信息社会背景下,收集、使用、分享等处理个人信息或个人数据的能力与规模显著提高,从而给自然人的人格自由与人格尊严乃至各种人身财产安全带来了巨大的风险,故此才需要专门的立法加以规制。至于那些纯粹私人活动或家庭社交活动中个人信息的收集、使用、分享等行为,并不需要通过个人信息保护立法加以调整,如果涉及侵害隐私权、姓名权、肖像权等人格权的行为,完全可以交由《民法典》的人格权编和侵权责任编规范。故此,在个人信息保护法或个人数据保护法中排除对私人或家庭社交活动中个人信息的处理,当然是正确的。对此,我国《个人信息保护法》第72条第1款已有明确的规定。
3.许可使用上的不同
隐私权人可以自行处分权利,如自行在网络上或向媒体公开其私密信息。但是,隐私本身原则上是不能许可他人使用或商业化利用的。《民法典》第993条规定,民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。该条之所以没有列出隐私是因为:隐私权侧重于消极防御的功能,即防止他人对包括私生活安宁、私密信息在内的隐私的侵害,[60]其保护的是自然人对隐私不受他人侵害的利益。因此,隐私权的主要权能就是排除他人侵害的权能,即消极权能。对于隐私,原则上是不允许许可他人使用的。[61]而且,允许隐私的商业化利用也可能违反公序良俗原则这一民法的基本原则。然而,对于个人信息尤其是非私密的个人信息,自然人完全可以许可他人使用,从而促进网络信息产业和数字经济的发展。故此,《民法典》第1035条规定,只要遵循合法、正当、必要原则,不得过度处理且符合相应的条件,就可以对个人信息加以使用或许可他人使用。
4.私密信息和非私密信息的处理规则不同
在处理私密信息时,首先要适用的是《民法典》关于隐私权的规定,然后才能适用《民法典》关于个人信息保护的规定。依据《民法典》第1033条第5项,处理他人的私密信息要么是取得隐私权人的“明确同意”,要么是依据法律的规定,否则,任何组织或者个人实施的处理他人私密信息的行为都构成侵害隐私权。但是,对于处理非私密信息的个人信息,依据《民法典》第1035条,要么是依据法律、行政法规的规定,要么是得到该自然人或者其监护人的“同意”。由此可见,《民法典》对私密信息和非私密的个人信息处理规则上有三点区别:其一,在未经权利人同意的情形下,处理私密信息只能依据法律的规定,而处理非私密的个人信息可以依据法律和行政法规的规定。显然,对于隐私权的保护更为严密。其二,处理私密信息必须取得权利人的同意,而处理非私密的个人信息可以取得自然人或者其监护人的同意。也就是说,监护人也不能擅自同意他人处理被监护人的私密信息。其三,处理私密信息必须取得的是权利人的“明确同意”,而处理非私密的个人信息是取得自然人或者其监护人的同意。“明确同意”与“同意”的含义是不同的。所谓明确同意,一方面意味着自然人在被告知私密信息将被处理的前提下而作出的清晰、明确的允许处理的意思表示;另一方面应当是针对该私密信息被处理而单独作出的同意的意思表示。但是,所谓同意既不要求必须是单独的同意,也不要求仅针对被处理的特定个人信息作出的同意,而可以是概括性的同意(如通过应用软件的隐私政策取得对自然人对某些非私密的个人信息处理的同意)。
二、私密信息与非私密信息的区分
认定自然人的个人信息中哪些是私密信息,哪些不是私密信息,不能仅仅依据当事人是否愿意为他人知悉的标准,私密信息的范围也无法通过法律法规逐一列举加以规定,应当由法院从社会公众的一般认知和价值权衡的角度出发,逐一认定案涉个人信息是否属于私密信息。比较重要的考虑因素包括:社会公众对该信息作为私密信息的认知;该信息对于维护自然人的人身财产权益、人格尊严和人格自由的重要程度;该信息对于维护社会正常交往、信息自由的重要程度如何等。例如,在“黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案”中,法院认为,在判断某类个人信息是否属于私密信息时应当考虑以下几点:其一,大数据时代,大量的个人生活轨迹有了数字化呈现,个人信息可能存在个人自主、社会交往、公共利益价值上的交融。如果把所有与公共事务无关的私人领域信息都纳入隐私范畴,给予绝对权保护,不利于正常的信息利用及流动,因此应对个人信息进行相对合理的层级划分。划入隐私的个人信息,应强调其“私密性”,进而与其他层级的个人信息在收集、存储、使用、加工、传输、提供、公开等方面形成相区别的授权同意规范、技术安全规范、信息处理规范等。对于其他信息,信息处理者可以依法进行利用,进而可以通过加强科技研发、资金投入,为广大用户提供丰富、高质、价格低廉的互联网产品,或更好地维护公共利益。其二,私密信息中的“私密性”虽然强调了信息主体的主观意愿,但该主观意愿不完全取决于隐私诉求者的个体意志,而应符合社会一般合理认知。社会一般合理认知,可能受到地域、文化传统、法律传统、习惯风俗、经济发展状况、社会普遍价值观等因素的影响。在数字时代,许多原来仅发生在物理空间内不易为他人所知的生活轨迹成为可被收集的信息,此类信息是否属于符合社会一般合理认知的私密信息成为当今时代特有的问题,并且可能随着科技、经济社会的发展而有所变化,甚至加速变化。其三,即使在相对统一的社会背景下,由于互联网产品的多元性和丰富性,用户的广泛性和差异性,不同用户就个人信息的期待也可能存在消极防御与积极利用的差异。[62]
◆ 相关规定
《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条;《网络安全法》第40条;《消费者权益保护法》第14条、第50条;《民法典》第110条