個人信息保護民事法律制度的完善
丁文嚴
摘要:《民法總則》第111條第一次以基本法的形式將個人信息納入民事權利的框架內進行保護,明確了個人信息的人格權民事權利客體地位和對個人信息進行保護的基本內容,為個人信息的民事保護提供了基本法律依據。當前我國涉及個人信息保護的法律、規定、規章等呈現出碎片化、重復規定以及相關規定互相沖突等不足,應當以《民法總則》頒布實施為契機,從權利性質、主體、客體、
內容及保護等方面完善個人信息保護民事法律制度,促進個人信息權保護制度的體系化,完善我國個人信息保護的民事法律制度。
關鍵詞:民法總則個人信息人格權民事法律制度
《中華人民共和國民法總則》(以下簡稱《民法總則》)已于2017年3月15日由第十二屆全國人大五次會議審議通過,并將自2017年10月1日起施行。《民法總則》全面規定了基本民事法律制度,正式開啟了民法典編纂的進程,在我國民事立法史上具有里程碑的意義,對中國特色社會主義法律體系的完善亦將發揮重要作用。民法是關于權利的基本法,民法典的體系構建乃以民事權利為中心展開。作為《民法總則》制度設計上的一大創新和亮點,《民法總則》第111條規定:“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”該規定第一次以基本法的形式將個人信息納入到“民事權利”客體的框架內予以保護,不僅明確了對個人信息進行保護的基本內容,體現出《民法總則》的時代特征和人文情懷,而且為個人信息的民事保護提供了基本法律依據,為個人信息保護法律的進一步完善奠定了基礎。
一、個人信息的概念及法律屬性
1.概念
個人信息又稱個人數據、個人資料等,本身并無統一的名稱。個人信息的概念亦如其名稱一樣,理論界目前并未形成統一的概念。《民法總則》頒布之前,關于個人信息的概念,學界觀點可分為三種類型:一是隱私權型定義。該種觀點從個人隱私的角度出發,認為個人信息是指那些僅與個人隱私有關聯的信息。這種觀點的典型代表是美國的Parent教授,他主張“個人信息系指社會中多數不愿向外透露者(除了對朋友、家人等之外);或是個人極敏感而不愿他人知道者(如多數人不在意他人知道自己的身高,但有人則對其身高極為敏感,不欲為外人知道)”。隱私型定義將個人信息的內容限定于與隱私相關的信息,忽略了很多不屬于隱私但也應受到法律保護的個人信息,在互聯網大數據背景下,顯然不適應個人信息保護的客觀需要。二是關聯型定義。該種觀點主張凡是能與個人產生聯系的所有信息都屬于個人信息,認為“所謂個人信息,包括人之內心、身體、身份、地位及其他個人一切事項之事實、判斷、評價等之所有信息在內。換言之,有關個人信息并不僅限于與個人之人格或私生活有關者,個人之社會文化活動、為團體組中成員之活動及其他與個人有關聯之信息,全部包含在內”。關聯型定義不考慮信息價值,將所有與個人有關的信息都納入個人信息權益予以保護,內容過于寬泛,不利于個人信息的有效流通,不利于有效利用信息促進經濟發展。三是識別型定義。該觀點以信息能被識別為最基本要素,認為個人信息是指識別認知特定自然人且與公共利益沒有直接關系的私有信息,是“所有能被識別的本人的信息的總和,這些信息囊括了能識別個人及與個人有關的社會信息,如生理的、心理的、智力的、社會經濟文化的等方面信息。”識別型定義汲取上述兩種定義的合理成分,彌補了其不足,突顯了個人信息能夠識別自然人身份的特征。
實踐中,個人信息在各國立法中亦有不同的名稱和不同的概念。歐盟國家多使用“個人數據”的表達,如《歐盟有關個人數據自動化處理的保護協定》即采用該表達,并將其界定為“已識別或可識別的個人相關的信息”;日本于2001年通過的《個人信息保護法》則采用“個人信息”的表達,該法第2條規定:“個人信息是指活著的自然人的相關信息,根據該信息所包含的姓名、出生年月及其他內容,能夠識別出該特定自然人”;德國、我國臺灣地區、澳門特別行政區均采用了“個人資料”的表達,我國臺灣地區“電腦處理個人資料保護法”第3條第1款規定:“個人資料是指自然人之姓名、出生年月日、身份證統一編號、特征、指紋、婚姻、家庭、教育、職業、健康、病例、財務情況、社會活動及其他足以識別該個人之資料。”上述名稱的表達和概念雖有不同,但所表達的核心內涵一致,都強調了個人信息對個人身份的可識別性。
我國《網絡安全法》采用識別型定義,并且采用了“個人信息”的表達。該法第72條第(5)項規定:“公民個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別公民個人身份的各種信息,包括但不限于公民的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”上述概念具有以下內涵:(1)凸顯出個人信息的本質屬性,即識別性特征;(2)明確個人信息的主體是自然人;(3)明確個人信息的形式,既包括以電子方式也包括以其他方式進行的信息記錄;(4)明確個人信息的內容,既包括能獨立識別公民身份的信息,也包括本身雖不能單獨識別出公民的身份但與其他信息結合后可以識別公民身份的各種信息。
2.法律屬性
關于個人信息的法律屬性,概括起來也有三類:一類是財產權客體說。認為個人信息能夠被占有、使用、處理、轉讓,從而產生一定的經濟價值,具有類似于傳統物權的屬性,應當屬于財產權的客體,其財產權的主體是自然人。一類是隱私權客體說。認為個人信息是能夠識別自然人身份的姓名、出生年月日等,屬于自然人隱私的范疇,應當作為隱私權的客體進行保護。此種學說以美國《隱私權法》為代表,以保護隱私權的方式對個人信息予以保護。還有一類是人格權客體說。該種觀點認為,個人信息直接關系到自然人主體的人格尊嚴,是自然人人格利益的體現,因此應將其作為人格權客體予以保護。這種學說以德國法為主要代表,其《個人資料保護法》(1990年修改)第1章《一般條款》第1條規定:“該法的目的是為了保護個人人格權在個人資料處理時免受侵害。”我國學者主流觀點認為:將個人信息視為財產權客體,忽略了個人信息的人身屬性,難以對個人信息實現有效保護。將個人信息視為隱私權客體,則人為限定縮小了個人信息的外延。隱私權是指自然人享有的私人生活安寧與私人生活信息依法受到保護的權利,雖然不同的國家和地區關于隱私的內涵和外延有所不同,但一般情況下隱私具有不愿為人知曉的特征。個人信息的外延則大于隱私的外延,不僅包括身高、體重、病史、家庭背景等自然人不愿為人知曉的隱私性信息,還包括姓名、性別等可公開的信息。因此,個人信息不同于隱私,以隱私權的保護方式不足以實現對個人信息的保護。
《民法總則》第111條明確規定:“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”該規定包括下列內涵:(1)明確了個人信息的人格權民事權利客體地位,意味著自然人可以在法律規定的范圍內保護其個人信息不受侵害,當其個人信息受到不法侵害時可以直接尋求法律救濟,而不再是通過隱私權、名譽權等尋求間接救濟。(2)該條規定雖未明確規定個人信息收集、使用、加工、傳輸的“個人同意”原則,但“不得非法收集、使用、加工、傳輸他人個人信息”的前提是基于公民個人作為信息內容的主體有權決定其個人信息在何時何地以何種方式被何人收集、使用、加工和傳輸,因此,“個人同意”理應是“合法性”要求的應有之意。(3)任何需要獲取他人個人信息的組織和個人,應當依法取得,任何非法取得他人個人信息的行為都是違反本條規定而應承擔相應民事責任的行為。(4)應當確保信息安全,任何違反個人信息安全義務的行為,不管非法取得抑或合法取得,都是違反本規定而應承擔相應責任的行為。
《民法總則》雖然沒有采用“個人信息權”的表達明確規定之,而代之以“自然人的個人信息受法律保護……”的表述,但其將人身權利規定于財產權利之前并將“個人信息”作為人格權客體納入民事權利一章規定在生命權、身體權、健康權等人格權之后的篇章順序,已經昭示出《民法總則》對個人信息人格權客體屬性的肯定,這就為下一步完善個人信息保護民事法律制度指明了方向做好了定位,即個人信息既不屬于財產權的范疇,也有別于隱私權的客體,而是屬于人格權保護的一類具體獨立的客體。
二、我國個人信息保護的法律狀況
1.關于個人信息保護的法律及相關規定
目前,我國對個人信息的保護除《民法總則》外,還涉及多部法律、行政規章和司法解釋,據統計,約有40余部法律、30余部法規以及200余部規章涉及到個人信息保護。
在眾多的法律法規中,全國人大常委會于2012年底通過的《關于加強網絡信息保護的決定》對于個人信息保護具有里程碑的意義。該決定第1條規定:“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”,該規定實際上明確了個人信息同時包括識別公民身份的信息與涉及個人隱私的信息,指出了個人信息與隱私的區別。該決定雖然是對互聯網上的公民電子信息保護所作的規定,但其對網絡服務提供者和其他企事業單位收集、使用公民個人信息應當遵循的原則、保密義務和法律責任,以及有關部門應當履行的職責均作了較為系統全面的規定,因此,該決定的內容實際上奠定了我國個人信息保護法律制度的基本框架。
基本法領域,民事立法方面除剛剛頒布的《民法總則》第111條規定外,《民法通則》的第100條,第101條以及第102條、《侵權責任法》的第2條、第36條、第62條以及民事訴訟法等也間接涉及個人信息的保護。2014年6月施行的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》也涉及個人信息的保護,該司法解釋雖然未能將個人隱私和個人信息作出明確區分,但其第12條,明確使用了“個人隱私和其他個人信息”的表達,首次從司法解釋層面規定了除個人隱私之外其他個人信息的人格利益,明確了侵害個人信息的侵權責任承擔方式,是司法解釋對公民信息保護的一大進步,對于個人信息的保護具有開拓性意義。刑事立法方面,2011年的《刑法修正案七》第253條之一、2015年的《刑法修正案九》關于侵犯公民個人信息罪的規定對完善我國公民信息保護法律制度、加強公民個人信息的法律保護具有重要意義,并且刑事訴訟法也間接涉及對個人信息的保護。
此外,《消費者權益保護法》、《網絡安全法》、《商業銀行法》、《執業醫師法》、《居民身份證法》、《護照法》等單行法分別規定了經營者、網絡運營者、銀行、執業醫師、國家機關或有關單位對公民個人信息的保護義務與責任,稍前公布的《電子商務法(草案)》專章規定了電商領域個人信息保護有關規范。
除上述法律和司法解釋外,工信部于2013年公布的《電信和互聯網用戶個人信息保護規定》第4條具體規定了用戶個人信息的內容,同年公布的《信息安全技術公共及商用服務信息系統個人信息保護指南》則是我國首部關于公民個人信息保護的國家標準,該指南對個人信息的概念、類別、主體、使用原則、保護等作出了較為詳盡的規定,適用于除政府機關等行使公共管理職能的機構以外的各類組織和機構,對于構建個人信息保護領域政府引導下的行業自律機制和模式具有重要意義,也為促進個人信息保護立法積累了經驗。
2.當前法律規定的特點
通過梳理我國關于個人信息保護的法律和相關規定可以看出:近年來,我國立法機關及相關行政機關高度重視個人信息的法律保護,相關法律、法規和規章趨于逐步完善。特別是《民法總則》在民事權利一章單列一條規定個人信息的法律保護,第一次以基本法的形式將個人信息納入民事權利客體的范圍進行保護,對于保護公民的人格尊嚴、使公民免收非法侵擾、維護正常的社會秩序具有重要意義。同時,我國涉及個人信息保護的法律、規定、規章等也呈現出如下不足:(1)有關個人信息保護的立法分散在諸多法律之中,碎片化、重復規定問題突出,各部門法之間缺乏銜接和統一,尚未形成個人信息保護的完整的法律體系。例如,《網絡安全法》雖然明確將個人信息的概念概括為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”,并對個人信息的形式進行了詳細列舉,但兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中,第1條關于“公民個人信息”的解釋將個人信息的外延延伸至“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”,幾乎完全顛覆了我國立法及實踐中已經形成統一意見的“識別性”內涵,實質上混淆了“個人隱私”、“個人信息”和“與個人有關的信息”的法律內涵。《民法總則》第111條雖然將個人信息與個人隱私區別規定,但限于其法律體系和邏輯結構的限制,并不能在《民法總則》中對權利客體的概念予以明確,基本法、單行法、司法解釋之間尚待銜接和統一。(2)個人信息的保護主要賴由民事法律制度實現,《民法總則》第111條雖然用一個條文規定保護自人個人信息,從體系結構上已經將個人信息納入民事權利的框架內進行保護,但該條并未明確個人信息權是否為一項獨立的民事權利(人格權),也未能明確其具體的權利內容。(3)涉及公民信息保護的法律法規幾乎都是側重于“事后保護”,對于個人信息的采集、加工、傳輸、保密、使用、處分等的規定尚不完備,《民法總則》限于體系結構的要求未能明確違反信息安全義務導致公民信息泄露或被侵害時應當承擔的侵權責任,相關的部門規章基本都是關于個人信息保護的基本原則和處理義務等框架性內容,缺乏對個人信息主體的權利內容、個人信息處理者的義務、個人信息的合理使用、風險評估、安全泄露通知等全方位的制度規定,難以滿足個人信息保護的現實需求。(4)《關于加強網絡信息保護的決定》雖然詳細列舉了十種侵害公民個人電子信息的侵權行為,但該決定僅適用于對個人電子信息的侵害,并且其性質決定了其只能是原則性和宣示性的規定。關于各種侵害公民個人信息行為的構成要件、證據規則、責任承擔方式、特別是精神損害賠償責任等內容亟需通過進一步立法予以完善。否則,一旦發生侵害個人信息糾紛,特別是大規模的個人信息泄露事件中,公民個人信息權益如何救濟、舉證責任如何承擔就會成為一大難題。(5)《民事案件案由規定》中還沒有規定相應的侵害公民個人信息權的案由,實踐中,對于侵害公民個人信息的民事糾紛還只能按侵害隱私權或一般人格權糾紛起訴。因此,《民事案件案由規定》也有待依據《民法總則》和后續的分則進行修改完善,以保證實現對公民個人信息權益的直接保護。
3.我國個人信息保護的法律實踐
目前,我國尚未建立起有效的個人信息權事前保護機制,實踐中自然人個人對個人信息權尚未培育起足夠的權利意識,對于隨意收集、濫用、竊取個人信息等行為缺乏應有的警惕,導致個人信息被過度收集乃至侵害現象普遍。相關行業,出于自身經營發展的考慮,對于設立公民個人信息的采集、加工、儲存、傳輸、使用等行業標準并不積極甚至抵觸,行業自律機制難以建立,行業自律很難實現。事前保護機制、行業自律機制、相關民事救濟法律的缺失以及自然人個人保護意識的匱乏導致個人信息保護的實踐呈現以下特點:(1)在對個人信息保護的刑法、行政法等多管齊下的多重保護機制下,實踐中的個人信息保護案例多為工商行政機關依據《消費者權益保護法》等單行法查處的行政處罰案,以及公檢法機關辦理的侵犯個人信息犯罪案例,盡管在個人辦理電話、金融、保險、醫療、網上購物、房屋買賣等日常活動中,個人信息被過度采集、使用等現象普遍,垃圾郵件充斥個人郵箱,騷擾電話、詐騙電話、垃圾信息不斷,卻鮮有個人對這些行為帶來的侵害尋求司法救濟,因侵害個人信息起訴到人民法院的民事糾紛非常有限,以至在互聯網、中國裁判文書網上很難找到相關民事案例。(2)即使個別自然人因個人信息被嚴重侵害而尋求司法救濟,往往也只能以侵害隱私權尋求間接保護,人民法院則通過將個人信息納入《侵權責任法》第2條規定的隱私權范疇,依據《侵權責任法》第6條和相關司法解釋實現對侵害個人信息的間接保護。例如,在人肉搜索第一案王X訴張XX侵害名譽權糾紛案中,當事人以侵害名譽權提起訴訟,法院認定:張XX在披露王X婚姻不忠行為的同時,披露王X的姓名、工作單位名稱、家庭住址等信息,亦構成了對王X隱私權的侵害…….應當認定張XX以披露隱私的方式造成了對王X名譽權的侵害。這里法院即將個人信息認定為隱私,將案件的案由確定為侵害名譽權糾紛。(3)刑法盡管是保護個人信息最為嚴厲的手段,但受其調整范圍所限,只有侵害個人信息的行為構成犯罪時,刑法才予以介入,并且刑法對侵犯個人信息構成犯罪的規定僅限于非法獲取、出售和非法提供,并未涉及非法利用等,這就導致過失泄露個人信息的行為、合法獲取但非法利用個人信息的行為仍然處于刑法救濟之外。
三、保護個人信息權民事法律制度的完善
1.挑戰與機遇
目前為止,全球約有90多個國家進行了個人信息立法,概括起來,立法模式不外兩種:即以歐盟為代表的個人信息(數據)立法模式和以美國為代表的隱私權保護行業自律模式,二者各具特色,都結合本國國情較好地實現了個人信息保護與信息合理利用之間的平衡,為我國進一步完善個人信息權立法提供了很好的借鑒。然而,雖然我國早在2003年已將個人信息保護納入立法規劃,但由于種種原因,至今仍是“千呼萬喚未出來”,互聯網信息技術在中國的全面普及和迅猛發展為個人信息的竊取、傳播帶來極大便利,自2012年來中央電視臺3.15晚會連年曝光的個人信息泄露竊取事件足以令人震驚,徐玉玉式的詐騙案仍然“獨步天下”,個人信息泄露與竊取使個人信息保護問題更加嚴峻。
《民法總則》以基本法的形式將個人信息納入民事權利客體的保護范疇,彰顯了個人信息的人格權客體的法律屬性,也昭示著個人信息權將明確進入民法保護機制,直接成為《侵權責任法》的調整對象,為完善個人信息權保護的民事法律制度營造了難得的歷史契機,也奠定了未來制定個人信息保護專門立法的基礎。有學者提出,在《民法總則》背景下,完善關于個人信息保護的民事法律制度有兩條路徑:一是借鑒我國澳門特別行政區的做法,在《民法總則》下,制定獨立成編的《民法典?人格權編》,在“人格權編”設單章對個人信息予以規定,待時機成熟時出臺《個人信息保護法》;二是依據《民法總則》111條的規定,先制定具有操作性的司法解釋,滿足司法實踐對個人信息保護的急迫需求,待條件具備時直接出臺《個人信息保護法》。當前在制定《民法典分則》中,學界對人格權法是否獨立成編的問題分歧較大,一類學者認為人格權法應當獨立成編,一類學者反對民法典中人格權單獨設編。兩種觀點似都有充足的理由。但無論選擇何種模式,法律都必須因應個人信息保護的時代召喚和實踐需求,在《民法總則》已經確立個人信息獨立民事權利客體地位的背景下,汲取十多年來我國學者關于個人信息保護的研究成果,依據并總結《民法總則》、《關于加強網絡信息保護的決定》、《網絡安全法》等現有法律的成熟規定,參考《中華人民共和國個人信息保護法示范法草案學者建議稿》,盡快在《民法總則》第111條基礎上,從立法層面進一步完善對個人信息保護的民事法律制度。
2.完善個人信息保護民事法律制度的主要內容
主要從以下方面完善個人信息權利保護的法律制度:(1)明確個人信息權的具體人格權地位。民事權利是指法律賦予民事主體在具體民事法律關系中能夠為或不為一定行為、要求他人為或不為一定行為,以獲得法律允許范圍內的利益,并在其權利受到侵犯時,請求法律予以救濟的可能性。只有明確個人信息的具體人格權地位,才能使個人信息的權利主體明確其權利范圍,保障其個人信息受到損害時獲得及時全面的法律救濟,使個人信息受到全面的法律保護。(2)完善關于個人信息的一般規定。主要包括:明確個人信息權等相關法律術語的定義,消除相關法律規定的不統一,借鑒或參照《隱私保護與個人數據跨國流通指南》,明確對個人信息權進行保護的基本原則和相關免責事由等。(3)完善關于個人信息權主體、客體的規定。依照《民法總則》第111條之規定,自然人個人信息權的主體是自然人本人,但該條沒有明確個人信息的客體范圍。在相關司法解釋與立法存在沖突的情況下,明確個人信息的客體范圍尤為必要。參照《關于加強網絡信息保護的決定》關于電子信息的規定,個人信息的客體是指能夠識別公民個人身份和涉及公民個人隱私的信息。對此,還有待通過《民法典分則》或單獨立法完善相關規定予以明確。(4)明確個人信息權利內容的規定。每一種權利,都具有其自身的作用或功能,這種作用或功能即是權利的權能,各種權能的結合構成了權利的內容,個人信息權的收集、使用、加工、傳輸、提供或者公開等具體權能是個人信息權行使、保護的前提,其如何行使和保護有待進一步明確。(5)完善國家機關對個人信息收集、處理、利用和保護的相關規定,厘定國家機關為行使公共管理職能收集、處理、使用個人信息的權利邊界。(6)完善其他組織對個人信息收集、處理、利用和保護的相關規定,厘定為營利性目的、非營利性目的收集、處理、使用個人信息的權利邊界。(5)完善關于侵害個人信息的民事責任的規定,對侵害個人信息的財產損害賠償責任、精神損害賠償責任做出細化規定,在《侵權責任法》22條基礎上,明確侵害個人信息權精神損害賠償的條件和標準,特別是增加與個人信息權性質相適應的特殊的侵權責任承擔方式,如刪除不當個人信息等。(6)修改完善相關司法解釋的規定,實現與《民法總則》和相關個人信息保護立法的有效銜接和邏輯周延。一是修改《民事案件案由規定》,增加關于侵害個人信息權的相關案由規定,使權利人能夠直接對侵害個人信息的行為提起民事訴訟,獲取直接的司法救濟;二是完善關于侵害個人信息權的證據規則,在適用《民事訴訟法》規定的一般舉證規則的前提下,考慮侵害個人信息權案件的特殊性,適當放寬原告證明的標準,在原告已經提出相當的證據證明其主張事實具有較大可能性,因客觀條件限制無法繼續舉證情況下,設計必要的舉證責任轉移和舉的證妨礙規則,讓被告承擔相應舉證責任,對被告不能證明自己的否定主張的,認定原告的主張成立。
大數據時代,個人信息已經成為重要的社會經濟資源,對個人信息的收集、分析、利用已經成為政府、企業及其他組織決策的重要依據。市場經濟環境下,買方需求決定了賣方供應,信息資源也淪落成為“商品”,對個人信息的收集利用變得“無時不有、無所不在”,與此同時,個人信息的收集與竊取亦變得無所不在,個人信息安全受到前所未有的挑戰與威脅,由此帶來的對個人權利與安全的挑戰亦變得無所不在。《民法總則》第111條以基本法的形式明確將個人信息納入人格權的框架予以保護,為個人信息保護提供了基本法律依據,對于保護個人信息具有重要意義。以《民法總則》頒布實施為契機,以第111條規定為基本依據,完善個人信息保護民事法律制度已經成為個人信息人格權保護乃至民法典編纂不可回避的問題,以此也必將開啟我國個人信息保護的新時代。