2021年1期
第23卷(总第125期)
淮南师范学院学报
JOURNAL O F H U A IN A N N O RM AL UNIVERSITY
N o.1, 2021
侵害公民个人信息G e n e ra l N o.125, V o l.23
《民法典》视角下个人信息权的构建
周云云
(安徽财经大学法学院,安徽蚌埠233030)
[摘要]《民法典》首次制定了人格权编,将个人信息保护与隐私权共同置入其下,凸显了个人信 息保护的重要性。但个人信息保护需要一个全新的且与隐私权制度相分离的个人信息保护制度来保 障。文章探讨了个人信息民事确权的理论基础,认为当前个人信息确权具有可行性,并从制度层面与司 法层面分析了个人
信息权构建的路径。
[关键词]个人信息;《民法典》;个人信息权;构建
[中图分类号]D923.8 [文献标识码]A[文章编号]1009-9530(2021)01-0014-05
―、问题的提出
信息技术的飞速发展,令信息的应用和传播也 发生变化,从纸质资料到数据资料库,数据查越 来越快捷。当信息技术与个人信息相结合,个人信 息的处理和传递方式实现了一次质的变化,个人信 息被大量规模化、专业化处理。个人信息每时每刻 都在被收集、流通和使用,“信息化”趋势与日俱增,给个人和社会的方方面面带来了极大影响。然而,这些影响中,有相当一部分是负面的,个人信息的 保护已经成为信息时代最为突出的问题。目前,我 国《民法典》已正式颁布,《民法典》作为社会的基本 法,致力于全方位保护人民的民事权利,反映人民 意愿。但需注意的是,立法机关将个人信息保护和 隐私权共同置人民法典人格权编之下,这其实也是 承认了个人信息与隐私之间的差别。然而,《民法 典》并没有对它们进行明显区分,它把隐私界定义 为不愿为他人知晓的私密空间、私密活动和私密信 息,但其中的私密信息并不能完全脱离个人信息范 畴,势必会造成边界模糊,极易形成法律的灰地 带,大大增加了个人信息安全风险,公民的权利便 也无法得到保障。个人信息保护的终极目标在于保 护个人权利。因此,不妨尝试将个人信息确权人典,实现与隐私权真正分离,以适应信息时代的法治建
设,真正发挥出《民法典》的功能。
二、个人信息民事确权的理论基础
(一)个人信息权的内涵分析
人只要在世界上生存和活动,就会产生与人相 关的各种信息,个人信息是个人与社会连接的纽 带。随着信息技术的出现、发展和广泛应用,个人信 息被越来越多的人知晓甚至是滥用,个人信息的保 护问题逐渐成为一个重大的社会问题。而解决个人 信息保护问题的最佳途径是对个人信息进行法律 定义,何为法律中的个人信息,各国在立法和保护 实践中还尚未形成统一认识。比如:日本在其制定 的《个人信息保护法》中将存储于数据库的个人信 息视为个人数据。欧盟成员国也是普遍采用个人数 据的定义作为个人信息的法律概念,在2018年生 效的《欧盟一般数据保护条例》(GDPR)中更是明 确规定个人数据是通过识别得出的自然人的相关 信息。而我国台湾地区的《个人资料保护法》则将个 人信息法律概念解释成为一切具有识别性的个人 资料。
纵观个人信息定义的发展过程,从具有识别性 的个人身份与隐私的电子信息到可识别的特定自
[收稿日期]2020-11-20
[基金项目]安黴财经大学研究生创新基金“2018级研究生科研创新计划”(ACYC2018355)。
[作者简介]周云云(1994-),女,安黴财经大学法学院硕士研究生,研究方向:民商法和知识产权法。
周云云:《民法典》视角下个人信息权的构建15
然人的计算机数据,再到记载于载体之上的、可识 别出自然人身份的各种信息,个人信息的涵盖范围 正逐步清晰化。我国2020年5月通过的《民法典》更进一步拓宽了个人信息的范围,将个人信息明确 规定为以电子或者其他方式记录的能够单独或者 与其他信息结合识别特定自然人的各种信息,包括 自然人的姓名、出生日期、身份证件号码、生物识别 信息、住址、电话号码、、健康信息、行踪信 息等①。鉴于上述,可以发现个人信息的最突出特征 在于识别性。所谓识别性,就是能通过特定信息追 踪到特定人的特性,包括直接识别和间接识别。个 人信息本质上就是记录在载体之上具有识别性的 信息。
将“个人信息保护”入典体现了立法者对个人 信息问题的高度重视,但需要注意的是,个人信息 保护不仅是对个人信息处理设定规则,进行限制,更在于赋予个人以信息权利,其保护的核心在于个 人权利。而一项权利在结构上可以分为权利主体、权利客体和权利内容。权利主体是享有权利的法律 意义上的人;权利客体是权利内容所指向的对象;权利内容则是特定行为,是权利人在法律授权的范 围内,以自己或他人的作为和不作为的方式实现权 利的过程⑴<_。个人信息权的权利主体是凭借信息 容易直接或者间接识别出的自然人,亦称信息主 体;个人信息权的权利客体则是可以被信息主体控 制且与其相分离的个人信息;而个人信息权的权利 内容则涵盖了各项具体权能。
欧盟通过《欧盟指令》和GDPR明确个人信息 权概念并对其内容进行补充和完善,规定了获取 权、更正权、删除权、可携带权和拒绝权等。我国港 澳台地区涉及到个人信息保护的法律条例也规定 了信息主体享有告知权、查阅权、更正权、删除权 等。究竟何为个人信息权,个人信息权内容包括哪 些,我国立法还未对其明确规定,学界也对此有诸 多不同理解。齐爱民教授在《个人信息保护法(草 案)》中完善了个人信息权的权利内容,指出个人信 息权具体包含决定权、保密权、查询权、更正权、封 锁权、删除权、可携权及被遗忘权等八项内容。洪梅 林教授则认为个人信息权的内容由支配权和诉讼 权两部分组成,支配权即为个人自由支配控制个人 信息并排除他人非法侵害,可体现为信息主体查 询、更正、保密、封存和删除个人信息等;诉讼权则 体现为信息主体在个人信息遭受不法侵害时请求 司法机关提供救济[2]_-162)。因此,个人信息权可以 说是信息主体依法对其个人信息处理所享有的支配、控制并排除他人非法侵害的权利。
(二)个人信息权的属性定位
对于自然人对个人信息享有的是民事权利还 是民事利益学术界一直都存在争议。意见分歧的一 个最重要原因是对我国《民法总则》第111条规定 内容的不同解读。一些学者认为,该条规定实际上 是承认了个人信息权,可以认为自然人对个人信息 享有民事权利。而持有反对意见的学者则认为,第 111条并未明确使用“个人信息权”的概念,可想而 知,立法者并没有确立个人信息权,自然人所享有 的只是受法律保护的民事利益。两种观点看似都有 合理之处,对个人信息之上的利益构成还需要进一 步具体分析,
不能一刀切。权益本义就是指权利主 体受法律确认和保护的权利和利益,利益是权利的 本质,它们应是协调、平衡和统一的,而不是非要选 择其一。虽然立法者没有确立“个人信息权”,但不 代表不重要。相反,权利实际上是实现利益的力量, 也就是说,自然人对个人信息享有的是通过民事权 利实现的民事利益。个人信息承载的有两部分利 益,一种是人格利益,一种是财产利益。识别出个人 身份的各种信息都与个人生存和发展紧密相关,如果被侵害,会对自然人的人格利益造成损害。而就 财产利益来说,信息处理技术使个人信息成为资 源,不断地创造出经济价值。信息主体应该有权享 有个人信息处理创造的经济价值,原因有三方面,其一是可以最大程度上保证个人有效控制其信息 的处理,从而保护在信息处理中个人信息承载的人 格利益;其二是个人信息的价值最终体现于信息与 信息主体之间的关系,而不是与人无关的各种信 息,信息主体享有其经济价值,则可以更好地保护 个人信息;其三则是有利于信息的开发和利用,个 人如果不能享有其信息的财产利益,极有可能会失 去公开个人信息的积极性,甚至会阻止其信息流通,这样势必会造成信息短缺。信息流通不畅是对信息 经济和信息行业生存和发展的致命性冲击。
个人信息权是随着信息时代的出现而产生的 一种新型权利,厘清其法律属性对于构建完整有序 的个人信息保护的法律体系至关重要。当前学界对 个人信息权的权属理解主要分为两种学说:即个人 信息人格权说和个人信息财产权说。主张个人信息 权具有人格权属性的理由在于个人信息体现的人 格利益,包括人格尊严、人格自由、人格平等,属于 人格权范畴;而支持个人信息权具有财产权属性的 原因更多是因为个人信息的处理和使用体现了财 产价值。值得关注的一点是,虽然《民法典》将个人
16淮南师范学院学报2021年第1期
信息的保护归于人格权编,但不代表个人信息所附 着的两部分利益是不可以并存、必须二选一的关 系。实际上,人格权法和财产权法对于个人信息保 护无论是在侧重点上还是方法上都各有不同,两者 之间难以完全替代。由此可知,将个人信息权的属 性定性为人格权属性和财产权属性是可取的,符合 〈〈民法典》的基本原则,是对自然人权利诉求的正当 性回应m o®)。
(三)个人信息赋权的可行性
首先,与个人信息保护最相关的现行法律是隐 私权法,《民法典》也将二者置于一处。个人信息保 护与隐私权之间具有高度关联性,西方国家对个人 信息的保护也常常是根据隐私权的保护模式进行,但个人信息并不能完全等同于个人隐私。我国《民法总则》第110条和第111条、《民法典人格权编》(以下简称“《人格权编》”)第六章中均定义了隐私 权和个人信息,承认二者是独立的法律概念。张新 宝教授指出:“隐私权是自然人享有的私人生活安 宁与私人信息秘密依法受到保护,不被他人非法侵 扰、知悉、搜集、利用和公开的一种人格权,而且权 利主体对他人在何种程度上可以介人自己的私生 活,对自己是否向他人公开隐私以及公开的范围和 程度等具有决定权,,[4K P12)。隐私权的本质特征是隐 秘性,属于未向社会公开的范畴。不可否认的是,个 人信息与隐私的范围有重合部分。但需要清楚地认 识到,个人信息部分处于保密状态,部分则处于公 开状态,对隐私之外的个人信息如何传播,只能靠 个
人采取保密措施,或他人的道德感约束。此外,隐私权体现的是人格利益,是一种被动防御性权利;而个人信息负有人格和财产双重利益,个人信息的 权利则是一种主动控制性权利。随着我国信息化处 理技术和大数据技术的发展,个人信息的收集、处 理等都呈现出规模化的趋势,个人信息安全风险更 是日益加剧,构建独立的个人信息权,以其为核心 建立完整的个人信息保护制度则更为稳妥。
其次,《民法典》最关键的功能在于保障公民权 利,提供救济。但权利与救济从来都不是分离开的,我国作为大陆法系国家,一向遵守大陆法的传统即 “无权利,也就无侵权,无救济”。而我国《民法典》对 个人信息权益的侵权救济并没有专门规定,大多是 参考隐私权保护制度中的救济措施,与个人信息权 益上的适配性并不高。所以,确立个人信息权就显 得尤为必要。
再次,基于对团藤重光教授的法秩序统一理论 即法秩序作为一个整体必须是无矛盾地统一的事物的理解,刑法与民法应是一体化的,民法是前置 法,它在前拦截违法行为,刑法是保障法,它在后惩 治未被成功拦截的犯罪行为[5]。我国对个人信息的 保护,是从刑法领域起步的,我国刑法确立了侵犯 公民个人信息的罪名,但在民法中却未确立个人信 息的相关权利。民法和刑法应该并举,预防救济和 惩罚犯罪同样重要。由此可以看出,个人信息确权 人《民法典》是没有理论障碍的。
三、个人信息权构建的思考路径
通过个人信息确权的理论分析,构建个人信 息权要考虑两个问题:权利构成与权利救济。基 于此可以
从两条路径思考:一是从制度层面上,细化规定个人信息权的主体方面、客体方面和内 容方面;二是从司法层面上,强化对个人信息侵权 的救济。
(一)明确规定个人信息权和隐私权
首先,对于个人信息保护究竟是以法益保护方 式还是以权利保护方式,杨立新教授在《个人信息:法益抑或民事权利一对<;民法总则 >第111条规 定的“个人信息”之解读》一文中给出了合理回答,他认为:“从法律保护的客体即个人信息的独立性、社会实践保护个人信息的必要性和从比较法的基 础上进行分析得出要真正实现个人信息的完善保 护,必须将个人信息民事确权”[6]。权利是保障个人 享有利益的法律之力m(P9M1)。换言之,信息主体所 享有的信息之上的各种利益都应当通过法律规定 的形式即个人信息权加以保护。国际上,很多国家 已经在尝试将个人信息确立为一项独立的民事权 利,而我国《民法总则》和《民法典》虽然将个人信息 保护纳人其中,但却没有直接采用“个人信息权”的法律概念,更没有对其法律地位、权利性质和具体 内容作出明确规定,这对于个人信息保护法律体系 框架的建立是一种障碍。而且对于个人信息权究竟 是规定在《民法典》中的《人格权编》还是《侵权责任 编》,国内学者意见不一,但立法机关倾向于前者,因为将个人信息的保护作为人格权立法的重要内 容,对于奠定大数据时代的个人隐私权保护的法律 基础和划定个人信息合法商业化处理的法律边界 更为有利。然而,并不能以“个人信息保护”囊括所 有,应当着重深研个人信息权构成的基本理论,增 补个人信息权的要件内容。在主体方面,对个人信 息主体、个人信息处理主体的定义和范围需作出详 细地
解释和划分,并明确各自的权利与义务。明确 信息处理主体收集、处理信息的法律规则,承认“同
周云云:《民法典》视角下个人信息权的构建17
意”规则是个人信息处理的基本前提,明确个人“同意”是指“积极同意”即一切个人信息处理都必须事 先征得信息主体的同意,还是“消极同意”即信息主 体反对一切个人信息处理,但不反对即视为同意。规定信息主体“撤回同意”与“表达同意”同等便利。并且在处理信息过程中要注意两点,一点是“处理”概念中应当包含自动化处理。信息的价值和它可能 造成的损害,不仅与信息内容相关,还与其处理方 法和表现形式相关。齐爱民教授起草的《中华人民 共和国个人信息保护法学者建议稿》中也建议对 “处理”解释为“以自动化方式或人工方式对个人信 息进行的操作,包括输人、存储、编辑、检索、变更、补充、删除、传送、封锁以及其他操作,’[8]。另一点是 国家机关信息处理主体在进行信息处理时,需要根 据行为的性质而非行为人的性质来决定是否规范 及如何规范采取更强的规制程度。因为国家机关掌 握的信息不仅数量多,而且内容上往往更重大,一 旦错误处理,造成的危害也更大;在客体方面上,要 明确个人信息的法律概念,突出“识别性”特征[9]。以“识别”来调整个人信息的范围,“识别”可以是直 接的,即仅从信息本身即联系到具体个人;也可以 是间接的,即根据信息,再辅以其他知识,才可将信 息联系到具体个人;在内容方面上,借鉴域外立法 模式,以法定主义的方式为个人信息赋予决定权、知情权、保密权、删除权、更正权、可携权和被遗忘 权等各项具体权能,并结合现实需要对权能内容进 行必要扩张或限缩,使之更好地与其他部门法进行 衔接,融人到整体性的法律体系中。
其次,《人格权编》应当明显区分个人信息权和 隐私权,针对它们的特点和不同提供保护方式。《人格权编》中明确规定了隐私范围包括私密空间、私 密活动和私密信息,但此种定义所指甚广,或多或 少都会将个人信息权益的相关内容也包括其中,这 不利于建立独立的个人信息权益体系[10]。
(二)健全个人信息侵权民事诉讼机制
将个人信息权仅规定在《人格权编》是远远不 够的,它是权利法,主要是对个人信息权作出具体 规定。但当发生侵害个人信息权的行为时,则需要 侵权者承担侵权责任,允许被侵权者提起民事诉讼 寻求救济。对侵权的成立、责任承担和救济的内容 更适合规定在具有救济法性质的《侵权责任编》。但 由于信息社会的高度复杂性致使行为人过错的证 明和侵权损失的估算等存在一定困难,个人信息侵 权民事诉讼的难度往往会高于一般民事诉讼。要想 信息主体真正得到救济,侵权者真正受到威慑和惩罚,唯有通过适当的制度安排来解决。
1. 优化举证责任分配
民事诉讼法中对举证责任的分配主要有举证 责任转移和举证责任倒置两种方式。举证责任转 移,即“谁主张,谁举证”,是举证双方不断互相质 证,责任不断被转移,直到问题被证明为止的一种 动态过程,它被广泛应用于民事证据制度中。而举 证责任倒置是指在特殊案件中,把原告承担的举证 责任倒置给被告,被告如不能举证,就应承担举证 不能的败诉责任。
在个人信息侵权行为中,相较于侵权者而言,被侵权人在信息资源拥有量、信息技术水平和经济 能力方面都处于劣势地位。若一味地适用举证责任 转移制度,则被侵权人几乎很难完成举证,更不用 说获得救济了。举证责任的分配不应当成为案件事 实争议解决的阻碍,这有违程序正义。而通过优化 举证责任的分配,在个人信息侵权诉讼纠纷中,适 时、适当地援引举证责任倒置制度,倒也不失为一 种好的解决途径,也更能体现司法公平与公正。侵 权者承担举证责任,只要能够证明自身的行为与损 害结果之间不存在因果关系或不存在主观过错即 可免责,反之,则为举证不能,需承担侵权责任。
综上分析可得,个人信息权的侵权责任承担上 可以适用过错推定原则,信息处理主体如果无法证 明没有对信息主体的个人信息进行非法收集和处 理,则信息主体获得救济。信息处理主体要想免于 承担责任,就必须证明自己主观上无过错,即其信 息收集和处理行为具有法律依据。但需要注意的 是,对国家机关信息处理主体的侵权行为应当采取 无过错责任原则,与非国家机关信息处理主体区分 开来。
2. 保障充分赔偿
个人信息权受侵害时,根据其具有的人格和财 产双重属性的特点,可同时或分别主张人格权或财 产权的救济。可吸收和采用我国《侵权责任法》中规 定的救济方式,如:停止侵害、消除影响、恢复名誉、赔偿损失、赔礼道歉等。赔偿损失方面按照内容可 分为财产损害赔偿和精神损害赔偿。财产损害赔偿 范围根据信息主体的实际损失和确定的可预期收 益的损失判定。甚至可以在特殊情况或特殊领域 中,
合理引人惩罚性赔偿机制,明确规定惩罚性赔 偿标准。例如:侵权者具有故意、严重疏忽和明显 不考虑他人的安全和重大过失的行为时,亦或非 法收集、处理未成年人信息等,都应当承担惩罚性 赔偿[11]。
18淮南师范学院学报2021年第1期
我国司法实践中早已出现对个人信息处理受害者给予精神损害赔偿的案件,比如被人冒用身份和顶替上学的“齐玉苓案”和“罗彩霞案”。然而,受害人获得精神损害赔偿的数额都比较小,难以弥补实际损失。事实上,有许多受害者几乎都是因为难以获得恰当的赔偿而选择忍气吞声,被迫放任自身的权利被侵害。
民事诉讼制度保障个人信息权的实现关键在于保障充分赔偿,要充分认识到个人信息侵权行为可能给当事人造成的经济和精神损失,要让受害者不再因为维权艰难而裹足不前。
3.确定法定赔偿额
在国外立法经验中,对由于个人信息处理不当造成信息主体经济损失的,尤其是难以计算和证明的,可以规定法定最低和最高赔偿额。这对我国《侵权责任编》中赔偿数额标准的制定起到了引导作用,可以事先由法律规定赔偿最低额,受害人可以按照自己的意愿在最低赔偿额和实际损失之间选择。但也需要加上最高额限制,否则没有上限的赔偿额很可能抑制个人信息处理技术的使用和推广,进而影响到我国
信息经济的发展。建议《民法典侵权责任编》可以适当结合《侵权责任法》第20条有关人身权益被侵犯后的救济规定,以及《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第18条列举的财产损失的涵盖范围及最高赔偿额的认定标准[12],进一步补充和完善个人信息侵权人所承担的法定赔偿数额的内容。
注释:
①参见《中华人民共和国民法典》第1 034条规定。
参考文献:
[1 ]李晓辉.信息权利研究[M ].北京:知识产权出版社,2006.
[2 ]洪梅林.个人信息的民法保护研究[M ].北京:法律出版
社,2010.
[3 ]张继红.大数据时代金融信息的法律保护[M ].北京:法
律出版社,2019.
[4 ]张新宝.隐私权的法律保护[M].北京:众出版社,2004.
[5 ]刘艳红.民法编纂背景下侵犯公民个人信息罪的保护法
益:信息自决权—
—以刑民一体化及《民法总则》第111 条为视角[J].浙江工商大学学报,2019(6):20-32. [6] 杨立新.个人信息:法益抑或民事权利——对《民法总则》
第111条规定的“个人信息”之解读[J].法学论坛,2018
(1):34-45.
[7] 王泽鉴.民法总则[M].修订版.台湾:三民书局,2008.
[8] 齐爱民.中华人民共和国个人信息保护法学者建议稿[J].
河北法学,2019,37(1):33-45.
[9 ]高凌晞.《民法总则》语境下我国个人信息权的私权属性
与立法完善[J].天津商业大学学报,2018,38(5):68-73. [10]陈希.个人信息权民事确权的立法路径:兼评民法总则第
111条[J].北华大学学报(社会科学版),2019,20(6):65-73. [11 ]常健.论人格权法(编)中的个人信息权的制度完善:评
《中华人民共和国民法人格权编(草案)•民法室室内稿》相关规定[J].四川大学学报(哲学社会科学版),2018
(3):32-36.
[12]陈吉栋.个人信息的侵权救济[J].交大法学,2019(4):40-53.
The Construction of Personal Information Right from the Perspective of Civil Code
ZHOU Yunyun
Abstract: The adoption of the Civil Code m arks the beginning of a new era in the construction of the rule of law in my country. It has for the first tim e form ulated a personality rights codification, covering both personal inform ation protection and privacy rights as well as highlighting the im portance of perso
nal infor­m ation protection. But there is no doubt that the protection of personal inform ation is a new problem in the inform ation age, and it needs to be dealt with with a brand-new personal inform ation protection system sep­arate from the privacy system. Starting from a more favorable direction for the protection of personal infor­m ation, the creation of a new type of civil rights that is both personal and property rights, that is, the right to personal inform ation, has laid the foundation for the establishm ent of a system atic, independent, and power­ful personal inform ation protection system, and for the m aintenance of the inform ation age, m aking signifi­cant contributions to political dem ocracy and econom ic developm ent.
Key words: personal inform ation; civil code; right of personal inform ation; construct