摘 要:个人信息保护本质在于践行公平信息实践原则,秉承利益衡量理论,贯彻保护利用并举。比较国际社会的立法模式,欧美趋同于"积极确权 行为规范"的保护模式。中国单一的"行为规范"模式暴露出权利基础缺位的制度性弊端。继《民法总则》后,《民法典》"隐私权与个人信息保护"专章仍未完成个人信息权的续造。但个人信息所属的"民事权益"已具备升级为"民事权利"的充分条件。区别于一般人格权、隐私权等属性,个人信息权在我国民事权利体系中可确定为具体人格权。以民法典的原则性规范,人格权法的独立权属定性,个人信息保护法的权利体系构建,可渐次实现个人信息权从顶层设计到全面布局的逻辑推演。
关键词:个人信息; 权益层级; 权利属性; 个人信息权; 具体人格权;
Abstract:The essence of personal information protection lies in practicing the fair information practice principles, adhering to the theory of interest measurement, and carrying out the protection and utilization simultaneously. Compared with the legislative model of the international community, Europe and the United States tend to adopt the protection mode of "positive right confirmation &code of conduct". Chines single "code of conduct" model exposes the institutional drawbacks of the absence of the right basis. Following the "General Provisions of the Civil Law", the "Privacy and Personal Information Protection" chapter of the "Civil Code" has not yet completed the renewal of personal information rights. However, the "civil rights and interests" of personal information have the sufficient conditions to upgrade to "civil rights". Different from general personality rights, privacy rights and other attributes, personal information right can be determined as specific personality right in the civil right system. Based on the principle norms of the Civil Code, the independent ownership of the personality right law and the construction of the rights system of the personal information protection law, the logic deduction of personal information right from top-level design to comprehensive layout is gradually realized.
Keyword:personal information; rights and interests level; rights attribute; personal information right; specific personality right;
一、问题的提出
2012年大数据时代的到来,成为与个人信息保护最密切的场景标签。高效能的碎片化信息分析、处理、整合功能,使大数据技术成为撬动个人信息经济效用的智能杠杆。信息的聚合挖掘、算法决策、用户画像、个性化推荐在数字社会习以为常,与之相伴的是,信息滥用与泄露的弊端逐渐显现。国内外个人信息安全事件频霸热搜:支付宝年度账单违法收集使用用户个人信息,"剑桥分析"窃取脸书用户数据操纵政治选举,华住酒店住客信息被"暗网"非法交易,喜达屋宾客预订数据库遭黑客入侵。统计报告显示,截至2020年12月,我国网民规模达9.89亿[1].其中,38.3%的网民遭遇网络安全事件,"个人信息泄露"为安全事件重灾区。2020年初新冠疫情爆发,国家迅疾在全国范围内开展积极利用包括个人信息在内的大数据支撑联防联控工作。通过建立传染病大数据监测系统,密切注视疫情动态,准确分析疫情动向,评估疫情风险,确认预警级别,为政府启动预案、高效应对提供科学依据。各地疾病防控机构、基层街道社区、企事业单位等切实负责常规化健康信息登记,对存在高危地区旅居史或出现疑似症状的人员信息进行统计汇报,为联防联控、数据分析、流行病学调查等提供基础支撑。与此同时,各类违法违规信息利用行为曝光,如微信群或新闻报道直接公开有疫区接触史人员的隐私信息,医院患者、小区居民、单位员工等各类信息泄露无一例外。
对个人信息保护而言,数据要素市场培育与常态化疫情防控局势,本质并无差别。二者均应当践行公平信息实践,贯彻利益衡量理论,平衡各方主体价值需求。前者关注信息主体的个人信息保护利益与数据控制者的商业利用利益,后者权衡国家机关社会管理的公共利益与公民个体的个人信息保护利益。在多变的场景中,不变的是对自然人个人利益不同程度的限制,甚至吞噬。相较于私主体的类型化侵权,公权力的滥用亟需规制,全面立法、重点保护的制度路径凸显。个人信息保护法的出台计日以俟。信息化社会的理性发展亟需在法治化的上层建筑中构建个人信息保护与利用双行并进的共生架构。此时,于彰显个人尊严与人格自由的个人信息而言,若仅是反复以"自然人的个人信息受法律保护"宣誓表态,难言其能掷地有声。个人信息保护立法首需回应:法律所保护的个人信息,权益层级为何?厘清个人信息权利与个人信息利益的关联与界分,此乃基石。而后需明确权利属性,秉持以人为本,解析宪法基本权与一般人格权、隐私权与财产权较之具体人格权于个人信息保护所存制度的优�,此乃精髓。唯有从权利基础正本清源的梳理,才能保证权利体系的构建在逻辑上严谨缜密,在结构上递进有序。
二、个人信息保护的立法比较
发端于社会信息化转型中的个人信息保护法有其独特的嬗变性。新技术的研发与应用在催生新经济的同时,也滋生了新挑战。以欧美为代表的国家开始审视既有法律体系,由此掀起新一轮立法修法浪潮。在此研判国内外立法进程,汲取有益经验,既是与国际规则接轨的转变,也是结合本国国情回应时代需求的表现。
(一)立法保护模式比较
权利模式与行为规制模式均为利益保护的路径之选。权利路径以确权方式将具体利益归属权利主体,行为规制则通过对他人设定特定行为的管控要求来间接保障主体的特定利益[2].个人信息保护在不同法域均可归纳为此两种模式:一是积极确权,二是行为规范。
1.国外立法保护模式
早期的欧美国家普遍采纳简约型的积极确权模式,但实践表明其存在结构性缺陷,立法以抽象概念界定权利易导致权利边界模糊,无法反推并廓清信息开发利用之界限,无法给相对人提供清晰稳定的合规指引。个人信息保护实则停留于"丛林地带",探索保护方式的转变势在必行,行为规范模式由此应运而生[3].相较于抽象的确权,行为规范的设计直接以信息收集、行为利用为规制对象,为行为人提供相对清晰的合规指引。同时,为平衡行为自由与权益保护的二元价值,行为规范需设置大量的一般规则与例外条款。即便如此,其仍弹性不足。在行为规范无法穷尽列举或难以通过"原则 例外"条款进行准确的价值平衡和区别对待时,确权模式重新登场。弹性化的权利立法可作为兜底机制,于个案中通过灵活解读法益保护范围来调整行为自由之界限,缓解行为规范的列举负担与僵化难题[4].至此,欧美实践探索形成了积极确权与行为规范协调配合的保护模式。
具体而言,美国以信息公平实践为原则奠定个人信息保护的立法宗旨,采取"单行立法 行业自律"的立法模式,在公共领域以单行立法的形式调整个人与公权力的法律关系,在商业领域以行业规范的形式约束私主体之间的法律行为。欧盟则秉持个人信息自决的立法理念,将个人信息纳入人格权的保护范畴,制定统摄公私领域的综合性的个人信息保护法,全面规范个人信息处理流程的完整生命周期。两者路径依赖的共性即为,结合本国国情与法律传统确立立法的制度根基,同时着重考量法律制度配置与社会经济发展的平衡。
2.国内立法保护模式
我国分散的法律条文呈现出典型的行为规制特征。行为规范的构造可分为信息获取、利用、持有三个阶段,针对三阶段分别设定相应的规范体系,任何信息的获取、利用、持有行为均需遵守行为规范的要求,否则将构成法律规定的"非法",进而借助侵权责任法的实施框架走向实践。概而论之,在收集阶段,信息处理者获取个人信息的行为应该正当、合理和必要。在存储期间,赋予信息处理者安全保障义务,防止信息泄露或丢失。在利用环节,未经个人同意,不得非法加工、传输、买卖、公开个人信息。自《民法总则》出台后,第111条关于是否确权的问题引发争议,针对其所保护的个人信息应当定性为"民事权利",还是仅归入"民事权益",观点各异。权益说认为,该条并未使用权利字眼,故立法并未将其作为一项具体权利[5].不仅如此,笼统规定个人信息涵摄了立法对个人信息财产利益的认可,为数据经济发展的配合预留了解释空间[6].权利说则认为,该条确定了个人信息权以及他人负有不得非法侵犯个人信息权的义务[7].在隐私权外,确立了自然人对其个人信息享有的民事权利。这既是民事权利的宣示性规定,也是确权性规定[8].此外,还有模棱两可的中立说1.
笔者认为,法解释学的首要原则,是对任何条款的解释都不能超出法条字面含义可能的范围。以此为基准,"自然人的个人信息受法律保护"之表述宣示了个人信息受保护的基本立场,但其并未明确受保护的具体权利,且作为法律保护的实质性客体,即个人信息承载的人格利益,条文只字未提。因此,仅从条文规范表述尚难证明"个人信息权"已然存在。从立法技术层面分析,《民法总则》有关自然人个人信息受法律保护实属"法源性"、指引性规定。在对个人信息的法律构成、法律效果尚有疑虑但又确信其重要性应予保护之时,作出"法源性"规定,可为其后的法律、法规、规章对此详细规定提供法律依据,为学说、判决的发展提供法律前提。同时,针对个人信息的法律地位、权利属性、行使方式和保护手段以及受侵害时的法律后果,可导向明确构成要件和法律效果的其他法律规范之处,使自然人的合法权益落到实处[9].此可谓立法一时的权宜之计。而《民法典》原样照搬,并无益于改变个人信息保护不足的社会现状。对比欧美趋同于积极确权与行为规范的互动配合,我国单一的行为规范模式亟待完善。
(二)立法实践比较
1.国外立法实践
国外立法实践呈现鲜明的阶段性特征。(1)20世纪六七十年代,计算机的兴起及应用使个人信息保护问题逐渐凸显。国家应对公民档案电子化的早期立法肇始,典型有:1973年瑞典《数据法》、1974年美国《隐私法》、1977年德国《联邦个人数据保护法》、1984年英国《数据保护法》。(2)进入八九十年代,在经合组织和欧盟委员会的推动下,国际规则初步形成并不断发展。代表有:1980年经合组织(OECD)《隐私保护与个人数据跨境流通指南》、1981年欧洲委员会《关于自动处理个人数据的个人保护公约》、1995年欧洲议会和欧盟理事会《关于涉及个人数据处理中的个人保护以及此类数据自由流动的指令》、2004亚太经合组织《APEC隐私框架》、2013年OECD《隐私框架》、2016年欧盟《一般数据保护条例》、2018年欧洲委员会《修订自动数据处理个人保护公约议定书》。(3)同时期,在国际规则的驱动下,各国相继开启立法征程。具体有:1988年爱尔兰《数据保护法》、1992年瑞士《数据保护法》、1993年新西兰《隐私法》、1996年意大利《数据保护法》、1997年希腊《个人数据保护法》、2005年日本《个人信息保护法》、2006年俄罗斯《个人数据保护法》、2010年马来西亚《个人数据保护法》、2011年韩国《个人信息保护法》、2012年新加坡《个人数据保护法》、2012年菲律宾《数据隐私法》、2013年南非《个人信息保护法》、2018年巴西《个人数据保护法》、2019年泰国《个人数据保护法》、印度《个人数据保护法(草案)》、2021年越南《个人信息保护法(草案)》等。
已有立法实践本源可划分为欧盟与美国两大模式,前者将个人信息视作基本人权加以保护,后者建立在隐私权之上。但权利基础的差异不足以模糊双方趋同的价值追求,即法律制度应当实现个人信息安全可控与数据开发利用协同增速。通过域外立法的历史分析可知,个人数据保护制度本质是个人信息正当利用的规则,是个人数据上的主体权利受保护[10].公平信息实践构成了全球个人信息保护的思想渊源与基本框架,确立了个人信息赋权和施加信息控制者责任的进路[11].
2.国内立法实践
对比之,我国个人信息保护以分散立法为主,形成了多层次、多领域、内容交叉、体系庞杂的法律规范体系。整体上,立法进程加速、条文规范逐步完善。2000年肇始,《全国人民代表大会常务委员会关于维护互联网安全的决定》作为法律规范互联网的开端,以刑事惩戒为主保障网络信息安全。2009年初《刑法修正案(七)》通过,增设出售、非法提供公民个人信息罪与非法获取公民个人信息罪。后《刑法修正案(九)》通过扩大犯罪主体范围与扩充违法行为的方式,将其统一规定为侵犯公民个人信息罪。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》成为立法层面明确个人信息保护要求的法律范本。此后,2013年《电信和互联网用户个人信息保护规定》、2014年《消费者权益保护法》、2016年《网络安全法》、2018年《电子商务法》,分别以电信和互联网服务提供者、一般经营者、网络运营者、电子商务经营者为规范对象,对自然人个人信息保护的基本原则和行为准则分类规制。继2017年《民法总则》单列个人信息保护条款后,2020年《民法典》于人格权编进一步细化个人信息保护规范。
一言以蔽之,过犹不及,有余犹不足也。规范性文件位阶偏低,高位阶法律流于形式或仅设宣示性规定,缺乏具体明确的操作指引。个人信息保护与利用的利益衡量表述不清,凌乱立法现状脱节于司法实践需求。
三、个人信息保护的权益层级
(一)个人信息的界定
个人信息保护是否权利化的一个根本性因素是个人信息权利的客体范围[12].纵观国际社会的立法实践,基本形成以可识别性为核心判定标准的路径共识,如欧盟《一般数据保护条例》、美国《加州消费者隐私保护法》、我国《民法典》对个人信息的定义均采此例2.但因其内在的模糊性,使得内涵层面的具体细化甚有必要。国内的传统隐私权框架处于失灵状态,信息的现实流动无法按照公私两大领域简单界分,个人信息的内涵也不能从单一价值得到完整表达[13]."识别"的标准在于将信息主体从人群中区分出来或者通过某一信息关联到具体个人[14]."识别"属实质要素,需结合识别的判断基准、信息相关性、识别可能性三方面予以判断。而"记录"属形式要素,没有记录在载体之中的信息不是个人信息[15].个人信息的认定并非像物一样稳定,而是随着拥有数据的主体、使用的场景、数据保存的期限、技术的发展而变化,这就决定了个人信息界定的场景性和动态性[16].此类理论的核心与国外学者提出的"开放式标准"[17]一致,为个人信息是否需结合应用场景和社会准则动态认定,不可静态地给出绝对有无的结论[18].作为法律实施的配套制度与业务合规的实践指引,国家标准《信息安全技术个人信息安全规范》中对个人信息的界定采取"识别" "关联"路径。
由此可见,个人信息的内涵与外延伴随信息技术的更新迭代不断拓展延伸。这决定了信息无法事先严格界定,只能进行动态判断,也为其商业利用提供了合法性基础[19],即在具体场景中确定信息关系以勾勒个人信息的具体边界[20].
(二)个人信息保护:从"民事权益"到"民事权利"的升级
民事利益是民事主体之间为实现一定需求而发生的人身关系或财产关系。民事权利则是经立法程序将特定利益赋予法律之力以确保民事主体利益最大化,是为法律所承认的类型化私人利益。我国法律保障民事利益的方式有三:一是以列举的形式明确规定为权利。如《民法典》中明确规定的人格权、物权、债权、知识产权、继承权以及股权等。二是以概括的方式作法益保护。如《民法典》第16条对于胎儿利益的保护。三是对于用权利还是用法益保护的规定不明确。如隐私的保护,最初以保护名誉权的方式间接保护,而后采用"隐私利益"的直接保护,直至《侵权责任法》确定为"隐私权".故,依法律条文的具体规定,民事利益可分为三种类别:权利保护的民事利益,法益保护的民事利益,不受权利和法益保护的民事利益[21].自然人对个人信息享有应当受法律保护的利益,该利益是指自然人享有的防止因个人信息被非法收集、泄露、买卖或利用进而导致人身财产权益遭受侵害或人格尊严、个人自由受到损害的利益[22].《民法典》以原则性规范表达自然人的个人信息受法律保护,既未使用"个人信息权",也未使用"个人信息利益",这使个人信息进入兜底性的"其他合法权益"范畴,并入"法律没有明确规定为权利抑或法益"之列。在数字经济时代的新型法律关系中,这种不明确的立法状态使各方主体对兼具多重利益属性的个人信息保护任重道远。
聚焦个人信息权利化的可行性分析,有部分学者提出有益见解。吕炳斌认为,个人信息与知识产权的客体类似,均是特定的信息,其权利不能架构在占有的基础上,不是对客体圆满状态的控制。可借鉴知识产权的"行为规制权利化"构建路径[23].王成认为,对个人信息采取间接保护抑或法益保护均难完整涵盖利益范畴,权利化方式更符合我国立法需求与司法实践。个人信息权可以嵌入既有人格权规范体系中,实现法律体系的内在和谐[24].叶名怡认为,个人信息权符合"权益区分三标准".信息主体对其个人信息享有的究竟系利益亦或权利,取决于此种利益的重要性与成熟度。依德国法理论,"同时具备归属效能、排除效能和社会典型公开性的,为一种侵权法上的权利,反之则只能归于一种利益"[25].个人信息的利益内容清晰确定,并可归属于特定主体,且排除他人非法干涉,同时还能通过法律创设可识别的法律地位,三项标准均已满足,应当认可为一种民事权利[26].程关松提出,通过权利方式保护个人信息是一种立法趋势。立法宜以"人格"要素、"人格性"要素、"非人格性"要素作为客观分类标准,建立一个以原则性框架法为统摄,以公法为依托、私法为主干、社会法为补充的权利话语体系。在私法上建立以人格权法为基点、财产权法为增长点、合同法为着力点、权能配置为重心、侵权法为保障的私法体系[27].
笔者认为,从理论完善度、实践需求性、比较法的可借鉴性三个方面认识,个人信息保护已经具备从"民事权益"升级为"民事权利"的现实条件:(1)理论层面确认个人信息权的前提条件成就。民法确认某种利益可赋予其权利的外衣时,需具备两个条件:其一,该民事利益具有自身独立性;其二,该民事利益与其他利益可明确界分[28].《民法典》单章规定"隐私权与个人信息保护",就此个人信息利益的独立、与隐私利益的区分已为立法确认。个人信息本身具有的身份识别性,使其可勾勒出个人人格形象。作为信息主体人格的外在标志,个人信息化形象既能彰显信息主体的人格尊严和自由,也蕴含被充分发掘与利用的商业价值[29].此时,作为权利客体的信息主体人格利益与商业利用的财产性利益融合一体,法益特殊性凸显。(2)实践层面保护个人信息利益的需求紧迫。面对纷繁复杂的侵权场景,目前的利益保护主要通过隐私权实现,成效微弱。隐私权作为精神性人格权,是一种消极的、排他的、防御性的权利,重心在于防范隐私被披露。在受侵害之前,个人无法积极主动地行使权利;而受侵害之时,只得请求他人停止侵害或排除妨碍,并采用精神损害赔偿的方式加以救济。个人信息权作为集人格利益与财产利益于一体的新型人格权,具备积极的、排他的、能动的控制与利用权能。权利受侵害之时,可请求行为人停止侵害,除采用精神损害赔偿的方式外,也可寻求财产损失救济[30].人格要素中最基本的自由和尊严,是人在数字社会中的存在基础,也是个人信息权中最为核心的要素[31].个人信息权的配置可实现对精神性人格利益与财产性人格利益的双重保护。(3)比较法上权利化保护模式的国际环境形成。美国以宽泛的隐私权保护个人信息。隐私一词带有信息、身体、财产和决定等方面的含义,是包括姓名、肖像、声音等其他人格利益在内的广义的隐私概念[32].其保护内容涵盖人格尊严、人格独立及人格自由。欧洲将个人信息作为独立的权利对待,如德国的信息自决权,欧盟的宪法性基本权利。欧美立法的相同之处在于均以"公平信息实践原则"为基础发展出"个人信息自主控制"模式[33,34],旨在授权信息主体控制有关个人信息,防止不公平和损害性的个人信息使用[35].二者的差别在于赋权程度不尽相同。欧盟是严格的个人信息自主控制模式,凡未允许皆禁止。美国反之,凡不禁止皆自由。这与其经济结构的差异不无关系,但整体上,个人信息的确权保护模式已成为现代社会发展的主流趋势。唯有在权利体系下,清晰的权属界定、规范的收集使用、有序的自由流通、合理的报酬分配,才是实现个人信息利益最大化的最佳路径。
四、个人信息保护的权益属性
(一)个人信息权属性的学理辨析
明确个人信息保护的权利属性对个人信息保护立法意义深远,直接影响法律架构的建立。有关探讨,见仁见智:(1)宪法人权说(基本权利说)。多见于国际性或区域性条约之中,美国的宪法隐私权、欧洲的人权保护均有此意。我国也有持宪法基本权理论者[36].(2)物权说或所有权说。其认为个人信息有财产价值,是特殊的物权客体,即无体物[37].每个人都拥有对其个人信息的所有权,只要不与法律和公共利益相抵触,所有权权能均可实现[38].(3)财产权说。在信息记录电子化初期,以欧美财产制度的完备性为产生契机:个人有权控制与其相关的信息,享受法律为财产提供的全套保护[39];在处置个人信息时可适用限制危险商品的方式予以规制[40];财产制度有益于交易效率的提高[41].进入信息时代,个人信息因潜在的商业价值应当被赋予财产权保护[42].(4)复合性权利说。其认为个人信息权既非人格权,也非财产权,是一种独立的复合性权利,具有人格和财产的双重属性[43].(5)框架权说。其将个人信息权认定为概括性、描述性的概念,指称以不同强度来保护的价值综合体,是众多具体个人信息权利的集合[44].(6)一般人格权说。其认为个人信息所体现的利益是人格尊严、人性自由、人身完整等基本利益,属一般人格权范畴[45].(7)隐私权说。其认为个人信息属隐私权客体,权利内容包括私生活不受干扰与信息自主[46].(8)具体人格权说。其主张在人格权法中明确个人信息权,将其作为独立的具体人格权,既保护个人信息的人格利益,也保护财产利益[47].
纵观权利学说演变,从宏观、抽象到一般、具体的细化,映射出个人信息绝对保护向保护与利用并举理念的转变。个人信息承载人格利益与财产利益双重属性,不可简单定论其为人格权或财产权。辩证予以分析,宪法人权说在我国的司法层面难以践行。物权说或所有权说、财产权说以及组合型的复合权利说均忽略了人格利益的价值本位和优于单一财产权的人格权商品化发展理论。个人信息的财产利益依附于人格利益,具有派生性。尽管其核心为人格利益,而非财产利益,但经商品化或公开化后的人格利益,可为他人利用,包括为商业使用[48].个人信息所具有的潜在商业利用价值,根源于该生产要素蕴含的人格特征,这在本质上属于人格权的客体。而人格特征的商业化使用,表现为人格权的商品化,带来的财产利益构成人格权的财产部分,但该财产利益并非独立财产权。此外,财产权理论亦无力解决数据交易中的个人信息保护难题:交易双方的信息地位不平等,交易对价难以公允;信息主体难以限制信息市场参与者自由处分其个人信息,个人信息的任意流动可能变得难以控制。将个人信息作为单纯的财产,当其受到侵害时,个体差异导致计量标准难以统一规定,实际的损害赔偿数额难以计算。而框架权说徒增虚权,本质类似于一般人格权,未界分权利与权能的关联。"人格尊严权"在理论上被称为"一般人格权",是人格权利一般价值的集中体现[49].一般人格权说削弱了个人信息权的独特性。其具体适用依赖于对其内容的解释,在法律没有明确规定的情况下,往往会出现解释的模糊和适用的混乱[50].英美法系的隐私权说同比大陆法系的一般人格权说。随着时代变迁和需求变化不断充盈其内涵,逐步从消极防御权转化为积极利用权。隐私权理论从"独处权说"到"有限接近自我说"再向"个人信息控制权说"演进[51].其保护范围包括生育自主、家庭自主、个人自主、信息隐私四大方面[52].显见,大陆法系中从属于人格权的隐私权概念与英美法系的隐私权概念完全不能等同。中国语境中的隐私权属保护隐私信息的具体人格权,其与个人信息在内涵外延、权能属性、使用价值、保护方式等方面差异性显着[53].相较之下,具体人格权属性优势凸显。
(二)个人信息保护:具体人格权定性之最优解
自然人的个人信息是其与生俱来并在社会发展中不断形成的各种信息,个人信息的身份识别性与个人人格密不可分。信息化人格形象的塑造与发展体现人格尊严与人格自由。人格权作为一个不断发展的权利集合,是践行"以人为本"的关键环节。为切实保障数字经济时代的发展及个人信息所承载的主体人格利益与商业化财产利益,将个人信息权益明确定性为具体人格权,既是构建人格权权利体系的立法要求,也是充分保障数据要素市场下实践人格利益保护及其财产化的理性经济人需求。
首先,作为个人信息权保护对象的个人信息,内涵高度抽象,外延种类宽泛。当前的立法实践与理论通说,均以识别路径定义个人信息,但从具体细节考究,仍有区分。欧盟以人权为导向,采用"个人数据(Personal Data)"的概念,个人信息范围的界定较为宽泛,强调个人信息的抽象性保护。美国注重对个人信息的合理利用,使用"个人可识别信息(Personal Identifiable Information,PII)"的概念,个人信息范围的界定相对狭窄,采用列举个人信息类型的PII还原主义。我国立法借鉴欧盟扩张主义的识别路径。凡与自然人身份识别有关的信息,均可认定为个人信息。其中既包括已被具体人格权所保护的姓名、肖像等直接个人信息,也包括尚处于"权益"状态的电话号码、通信地址等间接个人信息。随着大数据技术的深入应用与发展,非个人信息向个人信息聚合转化,个人信息的内容将继续丰富,其不宜被认定为其他权利分散涉列,而应当确立一项独立的具体人格权,对动态转化中的个人信息予以概括性的全面保护。同时,考虑到个人信息的流通具有公共性价值,对个人信息的宽窄界定还应当在具体场景中予以把握[54].
其次,实现个人信息所承载的精神性人格利益与财产性人格利益协同发展,需确立具体人格权以建立有效的多层保护机制。人格标识的完整性与真实性关系人格尊严,体现精神性人格利益。人格形象的商业化利用彰显经济自主,关系人格自由,体现财产性人格利益[55].人格权的财产利益为人格权所固有的,而非独立的权利[56].基于双重利益属性,具体人格权的选择既可最大限度地维护人格尊严,促进人格平等,同时亦未忽视对其财产利益的保护。《侵权责任法》第20条规定的侵害人身权益的财产损失赔偿规则同样适用于个人信息保护。同时,该法第22条规定的精神损害赔偿规则,较于财产权损害赔偿的差别化计算,更有利于对权利人的全面救济。
最后,个人信息权庞大而成熟的权能体系和规则范式足以塑造出鲜活的具体人格权。比较法视域下,不同国家或地区在个人信息权具体内容设定上大同小异[57].典范如欧盟《一般数据保护条例》第3章"数据主体的权利"3的设置。相较之,我国个人信息保护立法呈现规则体系先行的态势,权利规范缺失。有关个人信息权具体内容的探讨活跃于学术领域。主张个人信息权是自然人依法对其个人信息享有的支配、控制并排除他人非法侵害的权利的学者们不谋而合地构造了范畴相似的权利体系:控制权、知情权、同意权(决定权)、访问权(查询权)、更正权、可携带权、封锁权(限制处理权)、反对权、删除权(被遗忘权)[58,59].值得一提的是,我国《个人信息保护法(草案)》在其第4章对"个人在个人信息处理活动中的权利"4进行了列举式规范。此举可谓是立法对权利路径的初探。诸项权能内涵清晰明确,逻辑体系完整,难被其他权利吸收或概括。基于具体人格权的体系展开,丰富的权能配置可实现个人信息全生命周期的法律利益保护。
五、结语
全面建立个人信息保护制度是我国融入国际社会的必备要件,也是完备自身法律体系的必然要求。协调好《民法典》有关个人信息保护与即将出台的《个人信息保护法》的相互衔接,这既涉及立法技术,也是个人信息确权保护的路径问题。《民法典》以宣示性的法律表达,精简地完成了个人信息保护顶层设计,原则性规范突出,有明显的包容式立法用意,这为专门法的制定留下了自由空间。作为立法的逻辑起点,明确法律所保护的利益层级,个人信息保护具备从"民事权益"上升为"民事权利"的理论要件、现实需求以及国际环境。辨析个人信息权的法律属性,其外延宽泛的保护对象、双重属性的权利客体、内容丰富的权利体系,使其具备成为具体人格权的可行性、必要性。这亦是人格权发展的自然之法。在明晰个人信息保护的权利基础之上构建个人信息权利体系,规范信息处理者收集、使用个人信息的基本原则和具体规则,完善个人信息权救济机制,建立个人信息保护专门机构并明确其职责权限等,以权利义务设计实践立法纲举目张之效用。
参考文献
[1] 中国互联网络信息中心。第47次中国互联网络发展现状统计报告[R/OL].(2021-02-03)[2021-04-01]. http://www.gov.cn/xinwen/2021-02/03/5584518/files/bd16adb558714132a829f43915bc1c9e.pdf.
[2] 叶金强。《民法总则》"民事权利章"的得与失[J].中外法学,2017(3):645-655.
[3] Paul Ohm.Broken promises of privacy:responding to the surprising failure of anonymization[J].UCLA Law Review,2010(57):1701-1777.
[4] 宋亚辉。个人信息的私法保护模式研究:《民法总则》第111条的解释论[J].比较法研究,2019(2):86- 103.
[5] 王利明。中华人民共和国民法总则详解[M].北京:中国法制出版社,2017:465.
[6] 龙卫球,刘保玉。中华人民共和国民法总则释义与适用指导[M].北京:中国法制出版社,2017:404.
[7] 杨立新。中华人民共和国民法总则要义与案例解读[M].北京:中国法制出版社,2017:413.
[8] 陈苏。民法总则评注(下册)[M].北京:法律出版社,2017:785.
[9] 崔建远。我国《民法总则》的制度创新及历史意义[J].比较法研究,2017(3):180-192.
[10] 高富平,王苑。论个人数据保护制度的源流:域外立法的历史分析和启示[J].河南社会科学,2019(11): 38-49.
[11] 丁晓东。论个人信息法律保护的思想渊源与基本原理:基于"公平信息实践"的分析[J].现代法学, 2019(3):96-110.
[12] 程关松。个人信息保护的中国权利话语[J].法学家,2019(5):17-30,191-192.
[13] 倪蕴帷。隐私权在美国法中的理论演进与概念重构:基于情境脉络完整性理论的分析及其对中国法的启示[J].政治与法律,2019(10):149-161.
[14] 范为。大数据时代个人信息定义的再审视[J].信息安全与通信保密,2016(10):70-80.
[15] 韩旭至。个人信息概念的法教义学分析:以《网络安全法》第76条第5款为中心[J].重庆大学学报(社会科学版),2018(2):154-165.
[16] 齐爱民,张哲。识别与再识别:个人信息的概念界定与立法选择[J].重庆大学学报(社会科学版),2018(2):119-131.
[17] Paul M Schwartz,Daniel J Solove.The PII problem:privacy and a new concept of personally identifiable information[J].New York University Law Review,2011,86(6):1814-1894.
[18] Rose J Dean D, Kalapesi C.Unlocking the value of personal data: from collection to usage[J]. World Economic Forum-Industry Agenda,2013:36.
[19] 房绍坤,曹相见。论个人信息人格利益的隐私本质[J].法制与社会发展,2019(4):99-120.
[20] 丁晓东。个人信息权利的反思与重塑 论个人信息保护的适用前提与法益基础[J].中外法学,2020(2): 339-356.
[21] 杨立新。民法总则[M].第2版。北京:法律出版社,2017:171.
[22] 程啸。民法典编纂视野下的个人信息保护[J].中国法学,2019(4):26-43.
[23] 吕炳斌。个人信息权作为民事权利之证成:以知识产权为参照[J].中国法学,2019(4):44-65.
[24] 王成。个人信息民法保护的模式选择[J].中国社会科学,2019(6):124-146,207.
[25] 于飞。侵权法中权利与利益的区分方法[J].法学研究,2011(4):104-119.
[26] 叶名怡。论个人信息权的基本范畴[J].清华法学,2018(5):143-158.
[27] 程关松。个人信息保护的中国权利话语[J].法学家,2019(5):17-30,191-192.
[28] 杨立新。个人信息:法益抑或民事权利:对《民法总则》第111条规定的"个人信息"之解读[J].法学论坛,2018(1):34-45.
[29] 张新宝。从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):38-59.
[30] 王利明。论个人信息权在人格权法中的地位[J].苏州大学学报(哲学社会科学版),2012(6):68-75,199-200.
[31] 彭诚信,杨思益。论数据、信息与隐私的权利层次与体系建构[J].西北工业大学学报(社会科学版), 2020(2):79-89.
[32] 阿丽塔·L·艾伦,理查德·C·托克音顿。美国隐私法:学说、判例与立法[M].冯建妹,石宏,等译。北京:中国民主法制出版社,2004:5-20.
[33] Paul M Schwartz.Privacy and democracy in cyberspace[J].Vanderbilt Law Review,1999,52(6):1607-1702.
[34] Daniel J Solove.Introduction:privacy self-management and the consent dilemma[J].Harvard Law Review,2013,126(7):1880-1903.
[35] Fred H Cate.The failure of fair information practice principles[J].Consumer Protection in the Age of the Information Economy,2006:342-379.
[36] 高富平,王文祥。出售或提供公民个人信息入罪的边界:以侵犯公民个人信息罪所保护的法益为视角[J].政治与法律,2017(2):46-55.
[37] 张莉。个人信息权的法哲学论纲[J].河北法学,2010(2):136-139.
[38] 汤擎。试论个人数据与相关的法律关系[J].华东政法学院学报,2000(5):40-44,69.
[39] Arthur R Miller.The assault of privacy[M].Ann Arbor,Michigan:University of Michigan Press,1971:211.
[40] Alan F Westin.Privacy and freedom[M].New York:Athenum,1967:324-325.
[41] Richard A Posner.The economics of justice[M].Harvard University Press,1981:235.
[42] 张融。论个人信息权的私权属性:以隐私权与个人信息权的关系为视角[J].图书馆建设,2021(1):93- 104.
[43] 张素华。个人信息商业运用的法律保护[J].苏州大学学报,2005(2):36-39.
[44] 任龙龙。个人信息民法保护的理论基础[J].河北法学,2017(4):181-192.
[45] 马俊驹。个人资料保护与一般人格权(代序)[M]//齐爱民主编,个人资科保护法原理及其跨国流通法律问题研究。武汉:武汉大学出版社,2004:1.
[46] 王泽鉴。人格权的具体化及其保护范围·隐私权篇(中)[J].比较法研究,2009(1):1-20.
[47] 张里安,韩旭至。大数据时代下个人信息权的私法属性[J].法学论坛,2016(3):119-129.
[48] 彭诚信。数据利用的根本矛盾何以消除:基于隐私、信息与数据的法理厘清[J].探索与争鸣,2020(2): 79-85,158-159,161.
[49] 陈现杰。《关于确定民事侵权精神损害赔偿责任若干问题的解释》的理解与适用[J].人民司法,2001(4):12-15.
[50] 谢远扬。信息论视角下个人信息的价值:兼对隐私权保护模式的检讨[J].清华法学,2015(3):94-110.
[51] 杨咏婕。个人信息的私法保护研究[D].吉林:吉林大学,2013:81.
[52] 王泽鉴。人格权法:法释义学、比较法、案例研究[M].北京:北京大学出版社, 2013:187,209.
[53] 王利明。论个人信息权的法律保护:以个人信息权与隐私权的界分为中心[J].现代法学,2013(4):62- 72.
[54] 丁晓东。个人信息私法保护的困境与出路[J].法学研究,2018(6):194-206.
[55] 张新宝。"普遍免费 个别付费":个人信息保护的一个新思维[J].比较法研究,2018(5):1-15.
[56] 韩强。人格权确认与构造的法律依据[J].中国法学,2015(3):138-158.
[57] 叶名怡。论个人信息权的基本范畴[J].清华法学,2018(5):143-158.
[58] 齐爱民。中华人民共和国个人信息保护法学者建议稿[J].河北法学,2019(1):33-45.
[59] 张新宝,葛鑫。个人信息保护法(专家建议稿) [EB/OL].(2019-10-17) [2021-04-01].https://civillaw.com.cn/gg/t/?id=36127.