华南农业大学人文与法学学院硕士生
要目
一、问题的提出
二、个人信息包含说的科学性
三、个人信息包含说的排除
结语
随着大数据时代的到来,与个人相关的一定信息就必须让度,在一定的范围进行必要的公开。但是这种公开是有限的,必须赋予个体在场景化进行选择的权利,未选择公开的,属于个人信息中隐私的部分。也就是说,个人信息应当是包含隐私权的范畴的。这样才能进一步论证可识别性当中的间接信息法律保护基础的正当性。同时需要注意的是这种让度并不否认其私法属性。内容上的包含并非敏感信息等同于私密信息;正当性上个人信息权应当是一种具体人格权而并非一般人格权,与隐私权的保护应当是一种一般与特别的关系。个人信息大于隐私权的范畴,需要从正反两面进行理解。
一、问题的提出
大数据时代和信息爆炸,信息孤岛基本上不能适应个人需求。无论是出于公权力的管理需要(如个人指纹的采集)还是私权利的行使,个人信息必须要进行流通,才能推动社会和个人发展。传统的隐私信息(隐私权)对保密性要求往往相对较高,以传统的隐私权保护绝大多数的个人信息是不科学也是不现实的。近年来个人信息单独成体系的呼声越来越高,相关的立法也开始探索如何规范和完善个人信息,对个人信息的定义研究成为了重点。
民法典第1034条通过“概括+列举”的方式对个人信息进行了规定,从该条的规定可以看出个人信息是自然人的,能够单独直接或者结合间接,具有可识别性的各种信息。这种信息涉及私密的按照隐私权进行保护,没有涉及私密或隐私权没有规定的按照个人信息保护。2020年10月21日个人信息保护法征求意见稿,第4条基本上延续了这样的规定,采取概括的方式进行定义,认为“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人相关的各种信息,不包括匿名化处理后的信息。”但这样的规定并没有很清晰地解析个人信息和隐私权的关系是什么,司法实践中也容易存在混用的情况,如何理解民法典第1034条的第3款也没有一个标准,更多时候依赖法官的自由裁量。
在理论界,个人信息与隐私权的关系也一直没有讨论清楚。存在四种学说的分歧,一是隐私权包含说,这种观点认为隐私权的范畴大于个人信息。个人信息实际上,是隐私权的一种扩张,是个人对隐私权当中的生活安宁进行自主支配的权利。持这样观点的学者认为个人信息权只是一种静态的隐私权,则个人私生活的控制权和抵御权,当前个人信息难以上升为更为复杂的隐私权范畴。隐私权包含说的观点在美国的泛隐私权概念下更加明显。二是个人信息包含说,则个人信息包含隐私权,隐私权只是个人信息当中的私密信息部分,对于非私密信息不属于隐私权调整的范围。而且个人信息当中的自决利益(如控制支配)是隐私权没有的。另外从立法价值来看,个人信息涉及的是人格尊严和信息的自由流通,而隐私权只是涉及前者。个人信息权应当是包含隐私权的。三是交叉说。以王利明为代表,其主张个人信息在法律属性、救济方式、客体内容、公开性和目的性上都有明显的区别,两者是一种交叉的关系(未公开的个人信息属于隐私与部分隐私属于个人信息)。四是独立说。这种观点认为个人信息是一种独立的人格权,与隐私权没有交叉的部分,也不是包含的关系。但在是一般人格权还是具体人格权上存在一定的争议。就个人信息本身是权利还是权益也存在一定的争议,这种争议也导致两者的关系界定更加困难。由于个人信息的立法体系是在民法典的民事权利章节,笔者认为将其认定为一种权利更加合适。单凭是否在表述上有“权”确定其不是权利恐怕并不合适,其次个人信息作为权利的保护力度相对于权益的保护更加强,更加顺应社会的发展需要。
以上四种学说其实都试图从各方面将个人信息权与隐私权进行区分,不乏基本的定义、调整的客体、救济的方式、请求权的基础等。但讨论个人信息权与隐私权的关系,却鲜有立足个人信息的内涵特征进行分析,这导致个人信息包含说的科学性价值难以彰显。
二、个人信息包含说的科学性
个人信息包含说是科学的。可以通过其发展的背景、场景化验证和关键特征的分析思路,提炼出的个人信息权内涵,进一步论证个人信息包含说的科学性。
发展背景确定的有限让度印证包含关系
谈到隐私权和个人信息权的关系,很多人都会先从隐私权的起源进行入手分析,如美国的《论隐私权》、隐私权第一案、德国的个人信息自决权等。通过比较法的视野对隐私权的内涵和外延有了基本的界定。我国民法典第1032条也对隐私的范围作出了界定,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”也就是说,隐私权这种于第一次和第二次工业革命下的产物,其更多的是强调一种隐秘的、为了维护私人生活安宁而不愿为人知晓的权利。它的出现从一开始就是为了避免他人的披露和骚扰的。
与之不同的是个人信息权,它产生的背景是在第三次工业革命中,则科技时代。正如上文所提到的公共利益所需,个人需要将自身产生的、具有支配权能的信息让度给国家。这种为了公共利益整体需要所作出的让度,是国家保障公众的社会参与,保证社会管理秩序的有效运转的条件。之后也延伸出个人信息的法律属性究竟是私法属性还是公法属性的讨论。无可否认的是传统的个人信息的私密性、孤立性已经发生变化。大数据时代个体通过披露相应的个人信息才能获取利益下,个人功利主义本身会愿意主动舍弃一些涉及私密的信息,尽管这部分信息可能本身不愿意为人所知晓的。在信息商品流通的时代背景下逐渐展露出的商业价值,使得个体更加愿意将原本不愿为人知晓的权利转化为资本。这种私法领域的让度,本身就是对隐私信息私密性的一种突破,也是与隐私权的目的不一致的。
当然,这种让度并不是没有边界的,应当是有限的。在公法领域,这种让度往往会受到言论自由和公众知情权的影响,而变得有限。以德国为例,公法上的信息公开和信息保护上需要遵循一定的原则,如合目的性原则、比例原则和合法性原则等。***原则上只能出于保障公民利益的目的,在比例原则的框架下对知情权和私人信息保护进行采集、管理和处理相关信息,是有限的。这样的规定在民法典第1039条也有所体现。在私法领域,这种有限性还体现在自然人与信息管理者之间,如网络产品或服务的提供者获得信息需要采取“同意+保护”方式。同意则是个体的信息自决权,只有个人同意下才能进行相应信息的处理,而且这种处理需要保护个体利益为出发点,并不是所有的个人信息都无限度地向不特定多数人让度。这些不愿意让度的信息也可以理解为隐私权当中不愿为人所知晓的部分。可以说个人信息出现的时代背景确定了其本身就应当是一种有限的权利。从这个角度来看,个人信息的范畴应该是大于隐私权的。
也就是说,个人信息权可以说是一种可以披露或者说愿意披露的权利,它的披露是为了让那部分能够获取相应经济价值、生活便利等的信息效用最大化而选择进行的自主披露。而选择不披露的部分则属于隐私权的范畴,也就是说个人信息权是包含隐私权的。
场景化和相对公开能验证内容上是包含的
将个人信息和隐私置于场景化进行分析,其实也可以验证这种让度有限性导致的相对公开。场景化是指在不同的场景下去讨论某一关系到人格权利益的信息如何进行分类的重要指标,也就是圈子的问题。笔者认为这种圈子可以分为三圈,一是共生圈(这种圈子强调共同创造,在人格权利益上是共生的),二是紧密圈(这种圈子强调虽然不是共创,但基于极强的信赖所确定的),三是陌生圈(这种圈子是在生人社会中产生的)。三种不同的圈子确定了信息的性质,一般来说隐私权是在共生圈和紧密圈当中的,制造者有权利选择是否将信息拓展超出此范围,一旦他人擅自侵犯了该范围导致他人的生活安宁受到损害的,则侵犯了隐私权。而个人信息应当是贯穿在三个圈当中的,具有一定识别性的,无论是共生圈、紧密圈、陌生圈,都是信息制造可能的场所。个人有权利选择是否将该信息的流动范围进行突破,这种突破则可以称为公开。之所以说相对公开是因为每一圈的跨越都是有所限制的,即使是在紧密圈也应由个体判断哪些主体可以纳入其中,并不是完全的跨越,毫无边界。场景化分析来看,个人信息权的内容应当是比隐私权更加丰富的。
场景化背景下,个人信息权包含说其实也可以得到验证。就私密信息和是否愿意为人所知晓的问题在让度的有限性中有所阐述。两者关系的界定关键在于如何理解隐私权强调的私密空间和私人活动,以及个人信息权是否能够包括隐私所强调的私人生活安宁。首先,个人信息权强调的是具有识别性的各种信息,如行踪信息等。而隐私权的强调的私密空间、私密活动作为行踪的一部分,也当然属于个人信息的范畴。其次,就生活安宁来说,个人信息权的保护同样可以包含隐私权。以“徐玉玉案”为例,最终法院是以***罪和侵害个人信息罪实行数罪并罚的。陈某等七人侵犯个人信息同样会影响个人的生活安宁,同样会导致他人的身心健康受到损害。主张交叉说的学者认为交叉之外的部分在于隐私权涉及的生活安宁是个人信息所不具有的,比如独处的安宁权。但是个人信息本身没有否认其独处,只是赋予了个体选择公开还是不公开,融入或者独处的区别。因而个人信息权利行使的角度来看,应当是包含隐私权权利的行使。
个人的可识别性为包含说提供了正当性基础
个人信息权从文意解析的角度来看,应当是个人的信息权利。这强调的必须是自然人的,具有可识别性的信息,所对应的权利。也是说个人信息权至少由三部分所组成。其中自然人的具有可识别性的信息是个人信息权的关键特征所在,也是论证个人信息包含说的有力依据。
首先,自然人的理解争议并不大。在各部门法当中都有所体现,如民法典第1034条,“自然人的个人信息受法律保护。”因为对于法人等其他组织的信息权一般能够通过商法上的商业秘密、知识产权、保密协议等较为完善的体系进行保护。而且法人的人格权在民法典第110条当中作了限缩规定,只有三种。个人信息权作为人格权编的重要组成部分,很明显其调整的对象是自然人的。问题在于这个自然人如何理解。杨咏婕认为这样的权利应该与自然人的民事权利能力相挂钩,胎儿尚未形成人格尊严,死者的个人信息实际上保障的也是近亲属的利益而并非个人。从自然人的信息来看,这种信息应当是与生命存在、社会交往信息相对应的。
就胎儿来说这种界定相对是合理的,因为我们讨论的是个人信息权是属于人格权的一种,人格的出现,是出生后经过教育学习后逐渐形成的。如果将胎儿本身的性别信息、基因信息等生物识别信息也纳入个人信息的范围,恐怕过分扩大了个人信息的保护范围。而且法律上也没有赋予胎儿维权的方式,该利益与民法典第16条规定的胎儿利益也并不相似,难以寻求法律上的正当性。但对于死者的个人信息将其排除似乎并不合理。因为死者在生命存续期间难免会制造出各种属于自己的信息,如姓名、电子邮箱、博客日记等,这些与个人紧密相关的信息理应受到保护。不能因为信息的制造主体不存在,就否认这部分信息的属性。换句话来说,个人信息的主体应当是包括死者的。这样的观点在现行的民法典第994条中也有体现,明确了死者的姓名、肖像、隐私等受到保护。从这样的角度来看,可以看出死者的隐私权同样也能得到保护。个人信息权和隐私权是一致的,这为论证个人信息包含说奠定了基础。
其次,判断个人信息权和隐私权关系最重要的一点应该是可识别性,可惜的是可识别性现在还没有讨论清楚的。也有学者认为可识别性包括个体识别和他人识别,本质还是如何使用的问题;还有学者认为这种可识别性只要能够指向特定个人则可,包括直接识别与间接识别。根据民法典第1034条的规定,个人信息应当是能够直接单独或者间接结合识别特定自然人的。
单凭这样的规定难以区分个人信息权和隐私权,其问题的关键在于采取间接识别的情况下,单独的信息不足以指向特定人时,这部分信息是否应当纳入个人信息的保护范畴。因为这部分的信息累积,最终都会损害到个人信息。按照隐私权包含说的观点,似乎很好解决,因为在隐私权包含说中,这种可识别性本身并不影响其归类,四种权利的划分是界限分明的,间接信息在泛隐私权下则可以应对。但实际上操作并不是这么简单,美国的司法判例实际运用中,还是需要考虑具体的领域所需要的可识别性要求,要求具体明确地指向特定主体,是具体的、还原的。这样与个人信息产生背景是不相符的,个人信息产生需要应对的是信息化时代,解决的是效率与个人信息保护的问题。如果要求一一对应和逐一还原,这样会增加司法成本,而且也容易导致信息控制者的权利滥用,不利于真正保障个人信息权利。因而,尽管隐私权包含说可以解决间接信息的问题,但隐私权包含说并不符合个人信息权立法目的。这样的问题,在交叉说中同样也难以界定。按照交叉说的观点,个人信息权强调的是个人识别性(个人关联性,能够明确指向某一特定主体的),隐私权强调的是隐秘性。也就是没有综合判断的情况下,孤立的间接信息没有要么属于交叉外的隐私权保护范围,要么不值得保护。如果是属于交叉之外的隐私权,那么这部分信息本身应当满足交叉之外隐私权的特征,保障生活安宁所必需。然而这部分间接独立信息并不属于这部分,因为连特定主体都无法指向,干扰生活安宁的可能性可以说是零。那么这部分信息是否属于不值得保护的范畴呢?显然不是。大数据时代下,这种间接信息能够通过整合和描绘相应的用户画像,通过垄断等其他方式进而影响某一特定群体的正常生活。这也是个人信息保护需要加强管理信息控制者的原因。那么对于间接信息在交叉说当中就难以自圆其说。
相对而言个人信息包含说更加能够合适,则在这里个人信息是大概念。民法典第1034条规定的属于直接或者综合具有可识别性的信息,正是因为具备了可识别性,能够具体到个人因此对个人的生活安宁或者个人的自主控制权就会影响。也就是说,直接或者综合的具有可识别性的信息是由隐私权相关的信息和其他信息所组成的。对于不直接具有可识别性的信息虽然不是民法典或者个人信息保护法调整的对象,但是不能否认其本身属于个人信息的一部分,在公法领域可以寻求必要的保障(类似于公益诉讼或者群体诉讼)。这样的好处在于,一来可以将那部分独立间接的信息纳入其中,二来没有隐私权包含说的高成本问题,更重要的是可以捋清楚个人信息权和隐私权的关系。就自然人可识别性的角度来说,个人信息包含说的法理正当性更加充分。
三、个人信息包含说的排除
基本来说,个人信息与隐私权的关系采取个人信息包含说相对比较合理。但是当中还是存在一些问题需要进行厘清,个人信息的应当是私法属性的,不能以让度于公共领域就否认其私法属性。其次内容上,敏感信息不等于隐私,两者不能直接等同。三是正当性上也需要与一般人格权说和独立说进行区分。也就是说,个人信息包含说必须要将一些相似的概念进行排除才能更好把握其内涵。
需要让度公共领域但不等于非私法属性
个人信息的法律属性究竟是公法属性还是私法属性,这是决定保护究竟以公权力的方式为主还是私权利的方式为主的重要依据。个人信息包含隐私权很重要的一点是他涉及了公共管理、国家管理,在信息时代所需要做出的一种让度妥协。但这种让度并不等于个人信息的私权利属性被排除。因为无论是何种私权利都需要在社会交往生活背景下进行的。利益可以分为公共利益和私人利益。个人信息本身肩负着巨大的人格价值和财产价值,将其确定为一种利益无可厚非。也就是说个人信息是一种私法属性的权利,它可以涉及公共利益和私法利益。
确定为私法属性其实也是两者关系在私人利益和公共利益的角度进行的界定,是个人信息包含说的重要部分。关于隐私可以从“隐”和“私”两方面组成。“隐”强调不公开性,“私”强调与公共利益不相关的私密信息。个人信息作为一种私权利和隐私权是一致的,是保障的基础。只是在利益上,隐私权是不涉及公共利益的,而个人信息权是可以涉及公共利益,也可以涉及私人利益的。这进一步论证了个人信息包含说的合理性。
内容上敏感信息不等于隐私
对于个人信息可以按照信息的敏感程度进行划分,分为敏感信息和非敏感信息。持有交叉说观点的学者认为,个人信息按照这样的分类,当中的敏感信息就是个人信息权和隐私权调整对象交叉的部分。这在个人信息保护法(草案)的第二章第二节也有所体现。关于敏感信息的处理规则,当中的第29条认为敏感信息是指那些可能会使得个人受到歧视或者人身、财产安全受到严重危害的,如种族、民族、宗教信仰、个人行踪等。而个人行踪又与隐私权当中的私人空间和私人活动是相关联的。
这种将敏感信息和隐私相混淆是有问题的,因为敏感是有严格的标准的,本身并不是按照是否愿意公开进行划分的,是不同于隐私权的。不能因为涉及的内容对于个人人格权的影响与隐私的私密性影响具有相似性就将两者等同。敏感信息可以是隐私,隐私可以不是敏感信息。两者并不是一一对应的关系。因此个人信息包含隐私,并不只是指代敏感信息部分。
正当性之一:具体人格权而非一般人格权
个人信息包含说的提出,很容易会认为它的属性是一种一般人格权,具有大口袋的功能。但其实不然,个人信息应当是一种具体的人格权。从一般人格权要求的权利主体来看,并不具有普遍性。往往是针对具体的信息产生者、制造者,或者是合法的信息持有者。权利客体也不具有高度概括性。因为个人信息不同于一般人格权的抽象概括性,他是更加具体的,是以个人活动相关的信息为基础的。从权利内容来看的广泛性也仅是个人信息领域,是局限的,而并非一般人格权所要求的广泛性。
这种具体人格权的属性还可以体现在归责原则上。一般人格权一般是过错归责原则,这并不利于个人信息的保护,很难行使个人信息的积极权能。个人信息作为一种能够直接支配、排除他人侵害的权利,更应当认定为一种具体人格权而并非一般人格权。
正当性之二:“一般与特别”而非“非此则彼”
从法律条文的规定来看个人信息包含说的正当性也是有力的。对于个人信息权和隐私权的联系规定体现在民法典的第1034条第3款,“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”也就是说,个人信息是由私密信息和非私密信息所组成的。私密信息适用隐私权的规定,其他信息适用一般的保护方法。这种保护是方式上的一般与特别的关系,并不是非此则彼的关系。正如姓名权、肖像权本身也是信息的一种,他只是在保护方式上存在“一般与特别”竞合,而并非将姓名权和肖像权排除于个人信息权的范畴之外。还有一种观点认为这种一般与特别体现在强调的对象不同,如姓名权强调如何防止他人干涉和盗用,而个人信息强调处理的问题。个人信息保护应当是一般规定,隐私也好,姓名权也罢,都是特别的规定。这是法律条文提供的正当性基础。
结语
个人信息和隐私权的关系一直是讨论的重点。尽管民法典将个人信息放在民事权利章节,在人格权编将个人信息权与隐私权并列放置。但是两者的关系始终没有作出明确的界定,整体还是呈现出相对混乱的理解。隐私权包含说基本在我国没有很强的理论基础,新型独立说同样如此。关键在于个人信息包含说与交叉说的科学性论证。通过发展脉络的梳理可以发现传统的隐私权将个人信息进行了有限的让度,使得绝对的或者相对的隐秘性得到改变,为个人信息包含说提供前提基础。在内容上结合场景化的分析和相对公开性的分析,可以得出内容上个人信息的内涵更加广泛,是包含隐私权调整的范围的。结合可识别性的理论基础,在自然人上两者是一致的,只有个人信息包含说才能更好地解析间接信息的保护问题,进一步论证了正当性基础。但是也存在一定的问题需要进行明确,比如个人信息是一种私权利,敏感信息不等同隐私信息。个人信息应当是一种具体人格权,在体系上与隐私权是一般与特别的关系。从正反两方面综合理解个人信息权与隐私权的关系,明白个人信息包含说的意义,为个人信息保护法的完善出言献策具有重要的价值。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请→联系我们←,一经查实,本站将立刻删除。