——王利民
我的同事和朋友常常议论,互联网和手机的普及,使个人信息几乎难以保护了。我们在议论中分不清个人信息是否都是个人隐私,是否都受法律保护。能否请专家梳理一下个人信息权和隐私权之间的区别?
本刊邀请中国人民大学常务副校长王利明作答。
个人信息是指与特定个人相关联的、反映个体特征的具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面的信息。与个人信息权紧密相关的是人格权,它们之间存在密切的关联性,在权利内容等方面存在一定的交叉。尽管个人信息权和隐私权的关联相当紧密,但两者并非浑然一体,而是在性质、客体等方面存在较明确的界分。
从权利属性看,隐私权是一种防御性权利,主要是精神性的人格权;信息权是一种主动性的权利,既包括了精神价值,也包括了财产价值
个人信息权和隐私权都是人格权,但两者的法律属性仍然存在区别:
第一,隐私权主要是一种精神性的人格权,虽然其可以被利用,但其财产价值并非十分突出,隐私主要体现的是人格利益,侵害隐私权也主要导致的是精神损害。而个人信息权在性质上属于一种集人格利益与财产利益于一体的综合性权利,并不完全是精神性的人格权,其既包括了精神价值,也包括了财产价值。对于一些名人的个人信息而言,甚至主要体现为财产价值。例如,权利人可以授权他人使用其姓名、肖像等,用于商业经营活动,以获取经济利益。
第二,隐私权是一种消极的、防御性的权利,在该权利遭受侵害之前,个人无法积极主动地行使权利,而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等。虽然美国法律对隐私权进行了宽泛的解释,导致其包含了对隐私的利用,并逐渐形成了公开权,但其中真正可以商业化利用的内容实际上主要是个人信息。个人信息权并不完全是一种消极地排除他人使用的权利。权利人除了被动防御第三人的侵害之外,还可以对其进行积极利用。个人信息权作为一种积极的权利,在他人未经许可收集、利用其个人信息时,权利人有权请求行为人更改或者删除其个人信息,以排除他人的非法利用行为或者使个人信息恢复到正确的状态。
从权利客体看,隐私主要是一种私密性的信息或私人活动;而个人信息注重的是身份识别性
作为两种权利的客体,个人信息和隐私之间的界分主要表现为:
第一,隐私主要是一种私密性的信息或私人活动,如个人身体状况、家庭状况、婚姻状况等,凡是个人不愿意公开披露且不涉及公共利益的部分都可以成为个人隐私,而且,单个的私密信息或者私人活动并不直接指向自然人的主体身份。而个人信息注重的是身份识别性,即只要求此种信息与个人人格、个人身份有一定的联系,无论是直接指向个人,还是在信息组合之后指向个人,都可以认为其具有身份识别性。例如,一个人可能有多个手机号码、车牌号等,并不像肖像、姓名、身份证号码等具有唯一性,但此种信息与其他信息结合在一起,可以指向个人,从而与个人身份的识别具有一定的联系。从法律上看,凡是与个人身份有关联的信息,都可以看作是个人信息。
第二,隐私不限于信息的形态,它还可以以个人活动、个人私生活等方式体现,且并不需要记载下来。而个人信息必须以固定化的信息方式表现出来,因此,个人信息通常需要记载下来,或者以数字化的形式表现出来。也就是说,个人信息概念侧重于“识别”,即通过个人信息将个人“识别出来”。例如,就个人谈话内容而言,如果没有以一定的方式予以记载,则不属于个人信息,而仅属于个人隐私。但随着科学技术的发展,可以通过数字化的方式对个人
谈话进行处理,从中推测出个人的交友特点、生活习惯、个人偏好等信息,其就转化为个人信息。
第三,相较于个人隐私,个人信息与国家安全的联系更为密切。个人信息虽然具有私人性,但其常常以集合的形式表现出来,形成了所谓的“大数据”。如果某个数据中涉及到成千上万人的个人信息(如国民的基因信息),且关系到许多人的敏感信息,这本身就可能属于国家安全的范围。一旦考虑到公共利益,就需要对个人信息的搜集、利用、储存、传送、加工等进行一定的限制和规范。为了维护国家安全,国家机关能够对公民个人信息进行必要的收集、储存等,所以据学者考证,近几年来至少有26个国家的法律修正案放宽了公权力机关从事检查、监视以及使用个人信息等行为的限制条件。但个人隐私一般具有个体性,除了部分特殊主体如国家公职人员外,个人隐私权一般与国家安全没有直接关联。
从权利内容看,隐私权主要包括维护个人的私生活安宁、个人私密不被公开;而个人信息权主要是指对个人信息的支配和自主决定侵害公民个人信息
隐私权特别注重“隐”,其含义包括两方面的内容:一方面,其是指独处的生活状态或私人事务; 另一方面,它是指私生活秘密不受他人的非法披露。与此相应,对隐私权的侵害主要是
非法的披露和骚扰。
而个人信息权主要是指对个人信息的支配和自主决定。个人信息权的内容包括个人对信息被收集、利用等的知情权,以及自己利用或者授权他人利用的决定权等内容。即便对于可以公开且必须公开的个人信息,个人应当也有一定的控制权。例如,权利人有权知晓在多大程度上公开、向谁公开该信息以及他人会基于何种目的利用信息等等,但隐私权制度的重心在于防范个人秘密不被非法披露,而并不在于保护这种秘密的控制与利用,这显然并不属于个人信息自决的问题。与此相应,对个人信息权的侵害主要体现为未经许可而收集和利用个人信息。比如非法搜集、非法利用、非法存储、非法加工或非法倒卖个人信息等行为形态。
从保护方式看,对个人信息的保护应注重预防,而隐私的保护则应注重事后救济
第一,对个人信息的保护应注重预防,而隐私的保护则应注重事后救济。因为个人信息不仅仅关系到个人利益,还有可能涉及到公共利益、公共安全,而隐私则更多地是涉及个人,并不涉及公共利益或公共安全。正是因为这一原因,对个人信息的保护可能超越私权的保护而涉及公共利益。因此,我国的网络信息安全法应重点规定个人信息而不是隐私。对于个人信息权的保护,应采取注重预防的方式,主要原因还在于应在法律上实现信息主体和信息控制
者之间的地位平衡,从而赋予信息主体以知情权和控制权。而对隐私权的保护则并未赋予权利主体类似的权利,因而其更注重事后救济。
第二,在侵害隐私权的情况下,主要采用精神损害赔偿的方式加以救济。而对个人信息的保护,除采用精神损害赔偿的方式外,也可以采用财产救济的方法。由于个人信息可以进行商业化利用,因此,在侵害个人信息的情况下,也有可能造成权利人财产利益的损失,因而有必要采取财产损害赔偿的方法对受害人进行救济。
第三,隐私权保护主要采用法律保护的方式,而个人信息的保护方式则呈现多样性和综合性,尤其是可以通过行政手段对其加以保护。例如,对非法储存、利用他人个人信息的行为,政府有权进行制止,并采用行政处罚等方式。对于网上所出现的非法发布不良信息或危害公共安全的信息,政府有关部门有权予以删除。
当然,当某种行为侵害他人隐私权或个人信息权时,有可能导致同时侵害这两种权利,受害人可以选择对自身最为有利的方式加以主张。例如,随意散布个人病历资料,既侵犯了隐私权,也侵犯了个人信息权。但整体而言,个人信息这一概念远远超出了隐私的范围。正是因为隐私与个人信息之间存在诸多区别,所以,在我国未来的民法典中,应当将个人信息权单
独规定,而非附属于隐私权之下。