陳 清

(江蘇師范大學 法學院,江蘇 徐州 221116)

大數(shù)據(jù)時代,瞬息萬變的數(shù)據(jù)信息給人類生活帶來了極大便利。但不可否認的是,其負面效應(yīng)也是比較明顯的,個人信息保護與個人隱私問題逐漸被放大,即個人信息被泄露、被非法收集利用、甚至人格權(quán)被侵害。數(shù)據(jù)爆炸使個體慢慢變成透明人,個人信息濫用有失控趨勢,個人信息保護問題迫在眉睫。

一、個人信息法律性質(zhì)的立法比較

由于世界各國不同的法律傳統(tǒng),在確定個人信息的法律性質(zhì)上不盡相同,在學術(shù)界也是仁者見仁。個人信息的法律屬性決定了各國立法者制定立法的體例與模式,亦對侵害個人信息的救濟路徑具有重要指導作用。大數(shù)據(jù)時代信息錯綜復雜,完成個人信息保護立法的先決條件,應(yīng)是明晰個人信息可得法律保護之屬性。

1.個人信息定義的理論分析

個人信息法律性質(zhì)的確定建立在對其正確定義的基礎(chǔ)上,考察世界各國立法體例,從立法技術(shù)的角度上看,個人信息的定義主要分為三種模型:第一,概括型定義。此種模式將個人信息單獨用概括的方式進行列舉,美國、德國均采用該模型。根據(jù)美國商務(wù)部2000年頒布的《安全港隱私保護原則》,在某一指令范圍內(nèi),關(guān)于某一確定的人的數(shù)據(jù)或以確定某人的數(shù)據(jù)為“個人數(shù)據(jù)”和“個人信息”。第二,概括列舉混合型定義。此種模式主要通過單獨列舉的方式界定個人信息,例如《英國資料保護法》著重將“觀點的表達”和“意圖的表達”規(guī)定為個人信息。第三,識別型定義。是當前國內(nèi)外采用最多的一種定義方式。識別包括直接識別和間接識別,例如通過個人的身高、體重、血型等具有個人特征的信息辨別個人身份,鎖定信息主體。

2.個人信息性質(zhì)的民法厘定

對個人信息的保護范圍及力度大小取決于其被劃入何種權(quán)利下具體保護,而該劃定結(jié)論與個人信息的性質(zhì)密切相關(guān)。目前學術(shù)界對個人信息的性質(zhì)存在一定爭論,較具代表性的有以下四種:

(1)“所有權(quán)客體說”認為,個人信息是財產(chǎn)利益的一種。個人信息作為一種個人特征的體現(xiàn),其歸屬不受外界因素變化的干擾,是恒定的。個人對“展示自身的資料”當然擁有占有、使用、收益、處分的權(quán)利,也即所有權(quán)。其經(jīng)濟性價值在于信息資料收集者需要通過采集個體信息以便歸納出共同特征,進一步形成資料庫。[1]個人信息作為一種社會資源,不可否認其具有的財產(chǎn)利益。但個人信息并非直接財產(chǎn)利益,而應(yīng)屬于人格利益。人格權(quán)客體如姓名、肖像、榮譽中的財產(chǎn)利益同樣可以彰顯?？v觀各國立法,對個人信息保護都側(cè)重對人格利益的保護,“所有權(quán)客體說”無法實現(xiàn)保護個人信息的目的,該立法例尚未出現(xiàn)。

(2)“隱私權(quán)客體說”發(fā)源于美國,尤其以1974年《美國隱私法》為典型代表。我國香港地區(qū)采納這一學說。[2]該學說的適用存在特定的文化背景,英美法系中將個人信息視同隱私,因此一律以隱私權(quán)進行規(guī)制,但其實二者的法律屬性存在區(qū)別。而在大陸法系的概念中,個人信息的外延大于個人隱私,因此僅對他人不愿外泄的信息即隱私方面進行保護,并未涵蓋個人信息的全部,英美法系所采取的學說在其法域內(nèi)實現(xiàn)了全覆蓋保護,但在大陸法系下出現(xiàn)了保護缺漏。

(3)“人格權(quán)客體說”的典型代表如德國,該學說認為個人信息的保護方式應(yīng)比照人格權(quán)保護模式,《個人資料保護法》即為一大體現(xiàn)。此結(jié)論的得出實際以個人信息反映一般人格利益為理論基礎(chǔ)?！半[私權(quán)客體說”在大陸法系的難以適用為“人格權(quán)客體說”的產(chǎn)生讓渡了空間,個人資料在何種情況下應(yīng)該被保護不能僅取決于該資料是否觸及個人隱私,該學說在很大程度上對個人信息的保護理論予以完善。

(4)“綜合權(quán)利說”的出現(xiàn)主要是為了調(diào)和“隱私權(quán)客體說”和“人格權(quán)客體說”之間的矛盾。該學說常見于國際組織立法,《歐洲議會個人資料保護指令》序言第7條、《聯(lián)合國個人資料保護指南》第1條都體現(xiàn)出對個人基本權(quán)利和自由的綜合權(quán)利的關(guān)注以及對隱私權(quán)的保護。

3.個人信息法律屬性的定性論證

著名學者徐國棟教授在《綠色民法典》中評價人格權(quán)為民事權(quán)利之首,足以體現(xiàn)人格權(quán)之重要程度。在信息社會背景下,人格權(quán)自身的倫理價值、社會價值、經(jīng)濟價值逐漸凸顯,并隨之發(fā)展為更多元、主動、變化的樣態(tài)。個人信息保護的本質(zhì)在于保護個人信息之上反映的人格利益。[3]主要理由如下:第一,是適應(yīng)現(xiàn)代人格形象的基本要求。大數(shù)據(jù)時代讓個人信息產(chǎn)生利益價值的同時也帶來對人格侵害的潛在威脅。個人信息通過被不斷收集,從而形成每個人屬于自己的“資料形象”,倘若對信息擅自更改、濫用,由此形成的“資料形象”將與個人真實形象大相徑庭,對信息主體造成人格尊嚴的扭曲和損害。而現(xiàn)實嚴峻在于,信息被泄露和出賣的風險充斥于對信息進行收集、整理和利用的每一個環(huán)節(jié)。有必要將個人信息的保護置于與個人基本權(quán)利保護同等重要的位置,因為信息一旦遭受“毒手”,受侵害的除了人格尊嚴,還有財產(chǎn)損失。唯有將人格權(quán)獨立成編,方能適應(yīng)人格利益的無休止侵害,更合理地在其社會化趨勢下保護現(xiàn)代人的人格利益。第二,個人信息的保護發(fā)展為具體人格權(quán)奠基。以一般人格權(quán)作為權(quán)利基礎(chǔ)構(gòu)建個人信息保護法,其保護范圍涵攝信息本身及其附隨的全部利益。個人信息類型多樣,并且有其獨特的保護價值,理應(yīng)將其由一般人格權(quán)轉(zhuǎn)化為具體人格權(quán)加以保護。強化人格權(quán)立法之后,能夠進一步完善當代中國人格權(quán)體系,有助于實現(xiàn)人格權(quán)內(nèi)容和規(guī)則的類型化。我國的立法模式選擇并非不加辨別地照搬他國成功經(jīng)驗,而是考察如今我國所處的時代和基本國情,強化個人信息中所蘊含的人格利益保護,方能回應(yīng)民法典現(xiàn)代化和民法典中國化的需要,充分容納現(xiàn)代中國的人格權(quán)問題,為人格權(quán)的未來發(fā)展開拓空間。[4]

二、域外個人信息保護模式的立法比較

世界各國的立法先例與成功經(jīng)驗表明,唯有將個人信息進行立法保護才能更好順應(yīng)時代發(fā)展的要求。盡管面臨立法基礎(chǔ)背景的差異,我國仍應(yīng)深入研究現(xiàn)有的不同立法體例,不斷學習與調(diào)整,探尋適應(yīng)我國國情的個人信息保護道路。

1.德國有關(guān)個人信息保護立法

德國作為聯(lián)邦制國家,其采用的是統(tǒng)一的個人信息立法,這是德國歷史文化、法律背景的鮮明體現(xiàn),且對整個大陸法系的個人信息立法影響深遠。統(tǒng)一的立法模式由國家牽頭制定專門的個人信息保護法,對個人數(shù)據(jù)進行統(tǒng)一的監(jiān)管和保護,并能夠與世界上大部分國家的法律制度相銜接。

德國將個人信息作為基礎(chǔ)概念,為個人資料的保護制定了專門法律,對個人信息以人格權(quán)進行保護。德國國會從1970年起就開始制定《聯(lián)邦個人資料保護法案》,該法案在六年之內(nèi)被反復討論和修改,直到1976年才被國會批準通過,于1977年正式生效。1977年,德國國會通過的《防止個人資料處理濫用法》(又稱《個人資料保護法》),該法在制定之前經(jīng)歷過幾次大的修訂,但其也使德國率先成為統(tǒng)一立法在公領(lǐng)域和私領(lǐng)域中對個人信息進行保護的國家之一。在體例上,德聯(lián)邦的《個人資料保護法》分為總則和分則,總則是“一般條款”,分則由“國家機關(guān)的資料處理”“非國家機關(guān)和參與競爭的公法上的企業(yè)的資料處理”“特別規(guī)定”四個部分構(gòu)成,附加最后條款。德國的《防止個人資料處理濫用法》生效之后,曾在法學界引起了強烈轟動,由于批評的聲音過多,讓德國在1980年直接對該法進行了第一次修訂,此次修訂在立法技術(shù)上的進步尤為突出。1983年,德國憲法法院在“人口普查法案”判決書中首次使用了信息自決權(quán)的概念,肯定了個人信息權(quán)在憲法中的一席之地。此外,值得一提的是這次修訂還將國家安全機關(guān)對個人信息的搜集與處理方法納入該法。隨后,該法在1990年又進行了修訂,使其在理論界和實務(wù)界都得到了一致肯定。它不僅涉及非國家機構(gòu)對個人信息的處理和利用,而且涉及國家機構(gòu),德國立法將非國家機構(gòu)處理個人信息所形成的民事法律關(guān)系與國家機構(gòu)處理個人信息形成的行政法律關(guān)系這兩種不同的法律關(guān)系,納入一部法律中進行統(tǒng)一規(guī)制。較之前的傳統(tǒng)立法模式,呈現(xiàn)出不同步的交叉,德國的統(tǒng)一交叉立法模式對大陸法系立法影響深遠,甚至讓英美法系的國家也紛紛采納。

2.美國有關(guān)個人信息保護立法

美國信息隱私立法是以隱私權(quán)為基礎(chǔ)的分散立法模式,此種模式下不存在一部集中保護個人信息的基本法律,而是將相關(guān)規(guī)范分散于不同的公共領(lǐng)域。美國憲法首先為公民個人信息的保護奠定堅實基礎(chǔ)。其作為保護美國公民權(quán)利免于政府侵害的根本法,能夠及時制裁聯(lián)邦政府涉及侵犯公民個人信息的相關(guān)行為,經(jīng)典實例如身體檢測、竊聽、測謊等。美國在公共領(lǐng)域的立法同樣扣合其憲法精神,極其重視對政府與相關(guān)公共管理機構(gòu)行為的規(guī)制,以便更有力地保護公民個人信息。以電子監(jiān)聽和隱私保護為例,美國最初針對電子監(jiān)聽的保護為1934年《聯(lián)邦通訊法》中的第605條規(guī)定,但其保護限于對電子通信中的信息隱私,不具有普遍適用性。直到1968年的《全面控制犯罪活動與街道安全法案》第三章對美國電子監(jiān)聽立法予以統(tǒng)一,包含聯(lián)邦、州以及個人的監(jiān)聽行為。隨著電子監(jiān)聽技術(shù)的發(fā)展,國會在1986年對該法進行了修正,正式出臺《電子通訊隱私法》,該法案對電子監(jiān)聽進行了比較全面的規(guī)定,創(chuàng)新將電子郵件、移動通話設(shè)備的監(jiān)聽納入保護范圍,直接將截取電子通信的行為定性為犯罪,并對因此造成的對個人信息的侵犯賦予民事救濟。

除上述方面,在個人信息隱私保護領(lǐng)域美國仍存在大量其他立法,例如:規(guī)范國家機關(guān)處理個人信息的《1974年美國隱私法》;規(guī)范私人機關(guān)搜集、處理個人信息的《公平信用報告法》;專門針對學生、家長個人信息保護的《家庭教育權(quán)利與隱私法》等等。

為保證行政行為順利實施與商業(yè)活動正常進行,而非為法律震懾,美國通過分散立法的模式防止立法權(quán)力集中膨脹,由此帶來的多元化格局讓美國對個人信息能夠全方位保護的優(yōu)勢顯而易見,針對不同領(lǐng)域制定出的不同法律能夠細致、準確地對個人信息予以保護。但由于分散立法模式的過度分散、難以集中,使得不同領(lǐng)域之間的立法經(jīng)常出現(xiàn)矛盾和重復,無法和諧共生。統(tǒng)一立法的缺乏讓分散立法模式弊端顯現(xiàn),招致歐盟等地區(qū)稱其為“條款分割”。聯(lián)邦和各州立法的不協(xié)調(diào)以及主要適用于公法領(lǐng)域的隱私立法帶來適用范圍的過分狹隘,用“支離破碎”形容分散立法模式并不為過。[5]

3.歐盟有關(guān)個人信息保護立法

歐洲人認為,信息保護是一項基本人權(quán)。1983年,德國聯(lián)邦法院在其判決中率先提出了“信息自主權(quán)”,這一點也在歐盟后來參與的多份人權(quán)文件中得到了承認。

迄今為止,歐盟的個人信息保護經(jīng)歷了四個階段。[6]第一個階段是指20世紀70年代早期的個人信息保護法。此時,個人信息保護立法并非以個人權(quán)利為核心而是為了方便信息控制者對信息的處理和利用,即滿足信息處理的社會功能。諸如“隱私”“信息”等概念在該階段還沒有得到精確的適用,取而代之的是“資料”“資料文檔”等技術(shù)性很強的概念。第二個階段是指20世紀70年代晚期,從該階段起,立法逐步開始關(guān)注對個人權(quán)利的保護。但是這一階段的最大弊端也在于對于被保護的權(quán)利往往只具有宣示意義,流于表面形式,很少有人真正參與到維權(quán)的過程。第三個階段是指20世紀90年代,這個階段主要針對解決第二個階段的弊端。其直接目標是保障個人信息權(quán)能夠切實實現(xiàn),將個人處理最大限度制度化和體系化,讓個人有效參與其中。第四階段是指20世紀90年代后期,歐盟于1995年通過的《歐盟數(shù)據(jù)保護指令》(95“指令”),成為歐盟關(guān)于個人信息保護最主要的立法。該項指令一方面通過對收集程序、收集對象的規(guī)制防止信息控制者過度用權(quán),設(shè)定相應(yīng)義務(wù)以避免信息控制者與信息主體之間的地位懸殊。另一方面,該指令同時賦予信息主體權(quán)利,在立法中增加對個人信息主體強行法的保護,不允許當事人自行放棄。

歐盟的個人信息保護立法在全球有很大影響。許多非歐盟國家和地區(qū)(新西蘭、阿根廷和瑞士)已經(jīng)制定了類似歐盟的個人信息保護法。對信息的保護是歐盟成員國最關(guān)注的地方之一,信息的流通范圍、速度以及質(zhì)量無不影響著成員國間在各個領(lǐng)域的溝通和往來。如果信息保護不完備,無法自由流通,那么,歐盟經(jīng)濟也將走到盡頭。但是歐盟信息保護法是否適用于特定處理行為的規(guī)則,以及各成員國如何協(xié)調(diào)彼此間的信息保護法,還存在許多不確定性。

三、我國個人信息法律保護的路徑選擇

1.個人信息保護的法理依據(jù)

人格尊嚴、信息自決權(quán)與知情權(quán)是個人信息法律保護的三個重要維度。作為憲法追求的價值核心的人格尊嚴,既是個人信息保護的內(nèi)核,同時為個人信息保護提供憲法基礎(chǔ)。國家公民究其根本為“人”,基于個體發(fā)展和社會進步的需要,理應(yīng)排除外界侵害而享受基本的尊重。所謂尊重,就是尊重他人的人格尊嚴,不管人與人之間的職業(yè)、信仰、文化、財產(chǎn)有何不同,其所具有的人格尊嚴都是相同的。個人信息是現(xiàn)代人形成人格形象的重要組成部分,承載著豐富的人格利益。信息化社會條件下,保障人格尊嚴就必須對個人信息加以保護。

在科學技術(shù)迅速發(fā)展的背景下,信息主體對于信息的控制能力相較于信息管理者而言正在逐步削弱,因此個人對自己的信息是否被收集、處理和利用的決定權(quán)愈顯重要,也即信息自決權(quán)。信息自決權(quán)一方面強調(diào)個人對自己的信息有全程參與和決定的權(quán)利,即積極權(quán)能。另一方面又賦予人們在個人信息被侵害時享有的救濟權(quán)利,讓其全方位保護自身權(quán)利,即又稱消極權(quán)能。知情權(quán)是基本人格權(quán),屬于憲法權(quán)利之一,公民有權(quán)知道其應(yīng)知的事情,國家應(yīng)該盡最大努力確保公民信息獲取。針對個人信息保護而言,知情權(quán)是一把雙刃劍。對一個人的信息,知情權(quán)要求公開,而個人信息權(quán)要求保密。被稱為有關(guān)知情權(quán)的法律的政府信息公開法就成為各國政府解決這一沖突的平衡點。根據(jù)知情權(quán)的目的,公民有權(quán)利要求政府公開信息,但若不采取合理措施對其中涉及個人信息的部分加以保密,就可能給他人造成侵害。所以,政府信息公開法都以保護個人信息為基本原則,除非事關(guān)公共利益和他人重大利益時,否則不得將他人信息予以泄露。

2.個人信息保護的原則依據(jù)

英美法系和大陸法系對法律原則有著相同的認識,均是指法律的根本規(guī)則、精神和理念,是具體法律規(guī)則產(chǎn)生的依據(jù)。[7]在個人信息保護過程中,法律原則的重要作用不言而喻,除了對整個法律體例起著宏觀的引導作用外,也肩負著彌補法律漏洞的重擔。在數(shù)字時代,個人信息和個人信息數(shù)據(jù)之間能夠進行相互轉(zhuǎn)化。個人信息數(shù)據(jù)應(yīng)被理解為數(shù)字技術(shù)下的以比特流形式存在的電子符號。個人信息與個人信息數(shù)據(jù)是內(nèi)容與載體的關(guān)系,個人信息在當下主要以數(shù)字化或數(shù)據(jù)化的形式呈現(xiàn),但兩者之間并非簡單的一一對應(yīng)關(guān)系。[8]個人信息保護不僅要確保個人人格不受侵犯,更應(yīng)保障個人信息的合法流通。經(jīng)過長期實踐,各國針對個人信息保護原則業(yè)已形成較為統(tǒng)一的認識,包括但不限于:第一,直接收集原則。該原則來源于《OECD個人資料保護指針》中的限制收集原則,即對個人信息收集的對象和方法應(yīng)該有所限制。通過對個人信息直接收集,可以有效規(guī)范信息收集與利用行為,使其得到合理控制,也可以避免錯誤信息造成對信息主體的侵犯。[9]第二,目的明確原則。該原則是指在收集信息之前必須存在特定目的,并將該目的用一定合法手段予以明確。一方面要有特定目的,行政機關(guān)收集信息必須為了履行職務(wù)行為,非行政機關(guān)收集信息必須與事業(yè)有關(guān)。另一方面要明確目的,即確定目的之后不可以隨意變更,除非及時通知當事人。第三,信息保密原則。該原則賦予除了信息主體之外的一切人和組織對個人信息的保密義務(wù),不得向任何第三人泄露。適用該原則的前提應(yīng)確保查閱個人信息的人具有良好的操守、審慎的態(tài)度,這是保密原則的基本要求。由于我國缺少對人格利益保護的法律機制,因此,明確保密原則有助于保護個人信息上附隨的人格利益,能夠有效推進個人信用制度的建設(shè)。在法律解釋上,亟需借助上述原則,厘定個人信息的保護范圍,充分考量信息主體各方的法益訴求,達到個人信息保護與利用的平衡。

3.個人信息保護的規(guī)則依據(jù)

縱覽當今國際社會,個人信息保護的統(tǒng)一立法模式為多數(shù)大陸法系國家所選擇,我國亦不例外?！秱€人信息保護法》以綜合法的形式確立了個人信息的統(tǒng)一保護,實現(xiàn)個人信息保護規(guī)則的集中,有助于司法統(tǒng)一。選擇統(tǒng)一的立法模式的理由主要有三:第一,大數(shù)據(jù)時代是人類社會發(fā)展的一個趨勢,個人信息保護問題不僅發(fā)生在某一領(lǐng)域,也不是某個部門法可以解決的問題,其涉及范圍廣、影響深。制定統(tǒng)一的基本法可以有效緩解各個部門法之間的沖突與重復,切實加大對個人信息保護的力度。第二,雖然個人信息保護既發(fā)生在公領(lǐng)域又發(fā)生在私領(lǐng)域,但二者在價值取向和最終目標上是一致的,均是對個人基本權(quán)利的保護,而非對立法效率和行政行為的追求。統(tǒng)一的立法模式更適合主管機關(guān)對信息主體進行監(jiān)督和管理,更利于基本人權(quán)的實現(xiàn)。第三,在公領(lǐng)域和私領(lǐng)域,個人信息保護主要基本原則的實質(zhì)內(nèi)容一致,這就使得統(tǒng)一的立法模式在公領(lǐng)域展現(xiàn)優(yōu)勢的同時,對私領(lǐng)域依然能夠發(fā)揮作用。因此,涉及個人信息法益私法保護時,統(tǒng)一集中規(guī)則應(yīng)優(yōu)先適用于民法典的基本規(guī)定,此乃特別法優(yōu)先于一般法的當然要求。[10]

四、結(jié)語

在大數(shù)據(jù)和互聯(lián)網(wǎng)+的背景下,誰先為數(shù)據(jù)制定規(guī)則,誰就能首先掌握這個時代的話語權(quán)。個人信息作為一種人格利益,在為國家權(quán)力奠定基礎(chǔ)的同時也成為商業(yè)機構(gòu)攫取利益的手段。強化個人信息法律保護是國家法治文明的重要標志,嚴厲打擊對個人信息不法利用的行為,切實做好對個人信息權(quán)益的維護。