个人信息保护民事法律制度的完善
丁文严
摘要:《民法总则》第111条第一次以基本法的形式将个人信息纳入民事权利的框架内进行保护,明确了个人信息的人格权民事权利客体地位和对个人信息进行保护的基本内容,为个人信息的民事保护提供了基本法律依据。当前我国涉及个人信息保护的法律、规定、规章等呈现出碎片化、重复规定以及相关规定互相冲突等不足,应当以《民法总则》颁布实施为契机,从权利性质、主体、客体、
内容及保护等方面完善个人信息保护民事法律制度,促进个人信息权保护制度的体系化,完善我国个人信息保护的民事法律制度。
关键词:民法总则个人信息人格权民事法律制度
《中华人民共和国民法总则》(以下简称《民法总则》)已于2017年3月15日由第十二届全国人大五次会议审议通过,并将自2017年10月1日起施行。《民法总则》全面规定了基本民事法律制度,正式开启了民法典编纂的进程,在我国民事立法史上具有里程碑的意义,对中国特色社会主义法律体系的完善亦将发挥重要作用。民法是关于权利的基本法,民法典的体系构建乃以民事权利为中心展开。作为《民法总则》制度设计上的一大创新和亮点,《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”该规定第一次以基本法的形式将个人信息纳入到“民事权利”客体的框架内予以保护,不仅明确了对个人信息进行保护的基本内容,体现出《民法总则》的时代特征和人文情怀,而且为个人信息的民事保护提供了基本法律依据,为个人信息保护法律的进一步完善奠定了基础。
一、个人信息的概念及法律属性
1.概念
个人信息又称个人数据、个人资料等,本身并无统一的名称。个人信息的概念亦如其名称一样,理论界目前并未形成统一的概念。《民法总则》颁布之前,关于个人信息的概念,学界观点可分为三种类型:一是隐私权型定义。该种观点从个人隐私的角度出发,认为个人信息是指那些仅与个人隐私有关联的信息。这种观点的典型代表是美国的Parent教授,他主张“个人信息系指社会中多数不愿向外透露者(除了对朋友、家人等之外);或是个人极敏感而不愿他人知道者(如多数人不在意他人知道自己的身高,但有人则对其身高极为敏感,不欲为外人知道)”。隐私型定义将个人信息的内容限定于与隐私相关的信息,忽略了很多不属于隐私但也应受到法律保护的个人信息,在互联网大数据背景下,显然不适应个人信息保护的客观需要。二是关联型定义。该种观点主张凡是能与个人产生联系的所有信息都属于个人信息,认为“所谓个人信息,包括人之内心、身体、身份、地位及其他个人一切事项之事实、判断、评价等之所有信息在内。换言之,有关个人信息并不仅限于与个人之人格或私生活有关者,个人之社会文化活动、为团体组中成员之活动及其他与个人有关联之信息,全部包含在内”。关联型定义不考虑信息价值,将所有与个人有关的信息都纳入个人信息权益予以保护,内容过于宽泛,不利于个人信息的有效流通,不利于有效利用信息促进经济发展。三是识别型定义。该观点以信息能被识别为最基本要素,认为个人信息是指识别认知特定自然人且与公共利益没有直接关系的私有信息,是“所有能被识别的本人的信息的总和,这些信息囊括了能识别个人及与个人有关的社会信息,如生理的、心理的、智力的、社会经济文化的等方面信息。”识别型定义汲取上述两种定义的合理成分,弥补了其不足,突显了个人信息能够识别自然人身份的特征。
实践中,个人信息在各国立法中亦有不同的名称和不同的概念。欧盟国家多使用“个人数据”的表达,如《欧盟有关个人数据自动化处理的保护协定》即采用该表达,并将其界定为“已识别或可识别的个人相关的信息”;日本于2001年通过的《个人信息保护法》则采用“个人信息”的表达,该法第2条规定:“个人信息是指活着的自然人的相关信息,根据该信息所包含的姓名、出生年月及其他内容,能够识别出该特定自然人”;德国、我国台湾地区、澳门特别行政区均采用了“个人资料”的表达,我国台湾地区“电脑处理个人资料保护法”第3条第1款规定:“个人资料是指自然人之姓名、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病例、财务情况、社会活动及其他足以识别该个人之资料。”上述名称的表达和概念虽有不同,但所表达的核心内涵一致,都强调了个人信息对个人身份的可识别性。
我国《网络安全法》采用识别型定义,并且采用了“个人信息”的表达。该法第72条第(5)项规定:“公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别公民个人身份的各种信息,包括但不限于公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”上述概念具有以下内涵:(1)凸显出个人信息的本质属性,即识别性特征;(2)明确个人信息的主体是自然人;(3)明确个人信息的形式,既包括以电子方式也包括以其他方式进行的信息记录;(4)明确个人信息的内容,既包括能独立识别公民身份的信息,也包括本身虽不能单独识别出公民的身份但与其他信息结合后可以识别公民身份的各种信息。
2.法律属性
关于个人信息的法律属性,概括起来也有三类:一类是财产权客体说。认为个人信息能够被占有、使用、处理、转让,从而产生一定的经济价值,具有类似于传统物权的属性,应当属于财产权的客体,其财产权的主体是自然人。一类是隐私权客体说。认为个人信息是能够识别自然人身份的姓名、出生年月日等,属于自然人隐私的范畴,应当作为隐私权的客体进行保护。此种学说以美国《隐私权法》为代表,以保护隐私权的方式对个人信息予以保护。还有一类是人格权客体说。该种观点认为,个人信息直接关系到自然人主体的人格尊严,是自然人人格利益的体现,因此应将其作为人格权客体予以保护。这种学说以德国法为主要代表,其《个人资料保护法》(1990年修改)第1章《一般条款》第1条规定:“该法的目的是为了保护个人人格权在个人资料处理时免受侵害。”我国学者主流观点认为:将个人信息视为财产权客体,忽略了个人信息的人身属性,难以对个人信息实现有效保护。将个人信息视为隐私权客体,则人为限定缩小了个人信息的外延。隐私权是指自然人享有的私人生活安宁与私人生活信息依法受到保护的权利,虽然不同的国家和地区关于隐私的内涵和外延有所不同,但一般情况下隐私具有不愿为人知晓的特征。个人信息的外延则大于隐私的外延,不仅包括身高、体重、病史、家庭背景等自然人不愿为人知晓的隐私性信息,还包括姓名、性别等可公开的信息。因此,个人信息不同于隐私,以隐私权的保护方式不足以实现对个人信息的保护。
《民法总则》第111条明确规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”该规定包括下列内涵:(1)明确了个人信息的人格权民事权利客体地位,意味着自然人可以在法律规定的范围内保护其个人信息不受侵害,当其个人信息受到不法侵害时可以直接寻求法律救济,而不再是通过隐私权、名誉权等寻求间接救济。(2)该条规定虽未明确规定个人信息收集、使用、加工、传输的“个人同意”原则,但“不得非法收集、使用、加工、传输他人个人信息”的前提是基于公民个人作为信息内容的主体有权决定其个人信息在何时何地以何种方式被何人收集、使用、加工和传输,因此,“个人同意”理应是“合法性”要求的应有之意。(3)任何需要获取他人个人信息的组织和个人,应当依法取得,任何非法取得他人个人信息的行为都是违反本条规定而应承担相应民事责任的行为。(4)应当确保信息安全,任何违反个人信息安全义务的行为,不管非法取得抑或合法取得,都是违反本规定而应承担相应责任的行为。
《民法总则》虽然没有采用“个人信息权”的表达明确规定之,而代之以“自然人的个人信息受法律保护……”的表述,但其将人身权利规定于财产权利之前并将“个人信息”作为人格权客体纳入民事权利一章规定在生命权、身体权、健康权等人格权之后的篇章顺序,已经昭示出《民法总则》对个人信息人格权客体属性的肯定,这就为下一步完善个人信息保护民事法律制度指明了方向做好了定位,即个人信息既不属于财产权的范畴,也有别于隐私权的客体,而是属于人格权保护的一类具体独立的客体。
二、我国个人信息保护的法律状况
1.关于个人信息保护的法律及相关规定
目前,我国对个人信息的保护除《民法总则》外,还涉及多部法律、行政规章和司法解释,据统计,约有40余部法律、30余部法规以及200余部规章涉及到个人信息保护。
在众多的法律法规中,全国人大常委会于2012年底通过的《关于加强网络信息保护的决定》对于个人信息保护具有里程碑的意义。该决定第1条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,该规定实际上明确了个人信息同时包括识别公民身份的信息与涉及个人隐私的信息,指出了个人信息与隐私的区别。该决定虽然是对互联网上的公民电子信息保护所作的规定,但其对网络服务提供者和其他企事业单位收集、使用公民个人信息应当遵循的原则、保密义务和法律责任,以及有关部门应当履行的职责均作了较为系统全面的规定,因此,该决定的内容实际上奠定了我国个人信息保护法律制度的基本框架。
基本法领域,民事立法方面除刚刚颁布的《民法总则》第111条规定外,《民法通则》的第100条,第101条以及第102条、《侵权责任法》的第2条、第36条、第62条以及民事诉讼法等也间接涉及个人信息的保护。2014年6月施行的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》也涉及个人信息的保护,该司法解释虽然未能将个人隐私和个人信息作出明确区分,但其第12条,明确使用了“个人隐私和其他个人信息”的表达,首次从司法解释层面规定了除个人隐私之外其他个人信息的人格利益,明确了侵害个人信息的侵权责任承担方式,是司法解释对公民信息保护的一大进步,对于个人信息的保护具有开拓性意义。刑事立法方面,2011年的《刑法修正案七》第253条之一、2015年的《刑法修正案九》关于侵犯公民个人信息罪的规定对完善我国公民信息保护法律制度、加强公民个人信息的法律保护具有重要意义,并且刑事诉讼法也间接涉及对个人信息的保护。
此外,《消费者权益保护法》、《网络安全法》、《商业银行法》、《执业医师法》、《居民身份证法》、《护照法》等单行法分别规定了经营者、网络运营者、银行、执业医师、国家机关或有关单位对公民个人信息的保护义务与责任,稍前公布的《电子商务法(草案)》专章规定了电商领域个人信息保护有关规范。
除上述法律和司法解释外,工信部于2013年公布的《电信和互联网用户个人信息保护规定》第4条具体规定了用户个人信息的内容,同年公布的《信息安全技术公共及商用服务信息系统个人信息保护指南》则是我国首部关于公民个人信息保护的国家标准,该指南对个人信息的概念、类别、主体、使用原则、保护等作出了较为详尽的规定,适用于除政府机关等行使公共管理职能的机构以外的各类组织和机构,对于构建个人信息保护领域政府引导下的行业自律机制和模式具有重要意义,也为促进个人信息保护立法积累了经验。
2.当前法律规定的特点
通过梳理我国关于个人信息保护的法律和相关规定可以看出:近年来,我国立法机关及相关行政机关高度重视个人信息的法律保护,相关法律、法规和规章趋于逐步完善。特别是《民法总则》在民事权利一章单列一条规定个人信息的法律保护,第一次以基本法的形式将个人信息纳入民事权利客体的范围进行保护,对于保护公民的人格尊严、使公民免收非法侵扰、维护正常的社会秩序具有重要意义。同时,我国涉及个人信息保护的法律、规定、规章等也呈现出如下不足:(1)有关个人信息保护的立法分散在诸多法律之中,碎片化、重复规定问题突出,各部门法之间缺乏衔接和统一,尚未形成个人信息保护的完整的法律体系。例如,《网络安全法》虽然明确将个人信息的概念概括为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,并对个人信息的形式进行了详细列举,但两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,第1条关于“公民个人信息”的解释将个人信息的外延延伸至“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,几乎完全颠覆了我国立法及实践中已经形成统一意见的“识别性”内涵,实质上混淆了“个人隐私”、“个人信息”和“与个人有关的信息”的法律内涵。《民法总则》第111条虽然将个人信息与个人隐私区别规定,但限于其法律体系和逻辑结构的限制,并不能在《民法总则》中对权利客体的概念予以明确,基本法、单行法、司法解释之间尚待衔接和统一。(2)个人信息的保护主要赖由民事法律制度实现,《民法总则》第111条虽然用一个条文规定保护自人个人信息,从体系结构上已经将个人信息纳入民事权利的框架内进行保护,但该条并未明确个人信息权是否为一项独立的民事权利(人格权),也未能明确其具体的权利内容。(3)涉及公民信息保护的法律法规几乎都是侧重于“事后保护”,对于个人信息的采集、加工、传输、保密、使用、处分等的规定尚不完备,《民法总则》限于体系结构的要求未能明确违反信息安全义务导致公民信息泄露或被侵害时应当承担的侵权责任,相关的部门规章基本都是关于个人信息保护的基本原则和处理义务等框架性内容,缺乏对个人信息主体的权利内容、个人信息处理者的义务、个人信息的合理使用、风险评估、安全泄露通知等全方位的制度规定,难以满足个人信息保护的现实需求。(4)《关于加强网络信息保护的决定》虽然详细列举了十种侵害公民个人电子信息的侵权行为,但该决定仅适用于对个人电子信息的侵害,并且其性质决定了其只能是原则性和宣示性的规定。关于各种侵害公民个人信息行为的构成要件、证据规则、责任承担方式、特别是精神损害赔偿责任等内容亟需通过进一步立法予以完善。否则,一旦发生侵害个人信息纠纷,特别是大规模的个人信息泄露事件中,公民个人信息权益如何救济、举证责任如何承担就会成为一大难题。(5)《民事案件案由规定》中还没有规定相应的侵害公民个人信息权的案由,实践中,对于侵害公民个人信息的民事纠纷还只能按侵害隐私权或一般人格权纠纷起诉。因此,《民事案件案由规定》也有待依据《民法总则》和后续的分则进行修改完善,以保证实现对公民个人信息权益的直接保护。
3.我国个人信息保护的法律实践
目前,我国尚未建立起有效的个人信息权事前保护机制,实践中自然人个人对个人信息权尚未培育起足够的权利意识,对于随意收集、滥用、窃取个人信息等行为缺乏应有的警惕,导致个人信息被过度收集乃至侵害现象普遍。相关行业,出于自身经营发展的考虑,对于设立公民个人信息的采集、加工、储存、传输、使用等行业标准并不积极甚至抵触,行业自律机制难以建立,行业自律很难实现。事前保护机制、行业自律机制、相关民事救济法律的缺失以及自然人个人保护意识的匮乏导致个人信息保护的实践呈现以下特点:(1)在对个人信息保护的刑法、行政法等多管齐下的多重保护机制下,实践中的个人信息保护案例多为工商行政机关依据《消费者权益保护法》等单行法查处的行政处罚案,以及公检法机关办理的侵犯个人信息犯罪案例,尽管在个人办理电话、金融、保险、医疗、网上购物、房屋买卖等日常活动中,个人信息被过度采集、使用等现象普遍,垃圾邮件充斥个人邮箱,骚扰电话、诈骗电话、垃圾信息不断,却鲜有个人对这些行为带来的侵害寻求司法救济,因侵害个人信息起诉到人民法院的民事纠纷非常有限,以至在互联网、中国裁判文书网上很难找到相关民事案例。(2)即使个别自然人因个人信息被严重侵害而寻求司法救济,往往也只能以侵害隐私权寻求间接保护,人民法院则通过将个人信息纳入《侵权责任法》第2条规定的隐私权范畴,依据《侵权责任法》第6条和相关司法解释实现对侵害个人信息的间接保护。例如,在人肉搜索第一案王X诉张XX侵害名誉权纠纷案中,当事人以侵害名誉权提起诉讼,法院认定:张XX在披露王X婚姻不忠行为的同时,披露王X的姓名、工作单位名称、家庭住址等信息,亦构成了对王X隐私权的侵害…….应当认定张XX以披露隐私的方式造成了对王X名誉权的侵害。这里法院即将个人信息认定为隐私,将案件的案由确定为侵害名誉权纠纷。(3)刑法尽管是保护个人信息最为严厉的手段,但受其调整范围所限,只有侵害个人信息的行为构成犯罪时,刑法才予以介入,并且刑法对侵犯个人信息构成犯罪的规定仅限于非法获取、出售和非法提供,并未涉及非法利用等,这就导致过失泄露个人信息的行为、合法获取但非法利用个人信息的行为仍然处于刑法救济之外。
三、保护个人信息权民事法律制度的完善
1.挑战与机遇
目前为止,全球约有90多个国家进行了个人信息立法,概括起来,立法模式不外两种:即以欧盟为代表的个人信息(数据)立法模式和以美国为代表的隐私权保护行业自律模式,二者各具特色,都结合本国国情较好地实现了个人信息保护与信息合理利用之间的平衡,为我国进一步完善个人信息权立法提供了很好的借鉴。然而,虽然我国早在2003年已将个人信息保护纳入立法规划,但由于种种原因,至今仍是“千呼万唤未出来”,互联网信息技术在中国的全面普及和迅猛发展为个人信息的窃取、传播带来极大便利,自2012年来中央电视台3.15晚会连年曝光的个人信息泄露窃取事件足以令人震惊,徐玉玉式的诈骗案仍然“独步天下”,个人信息泄露与窃取使个人信息保护问题更加严峻。
《民法总则》以基本法的形式将个人信息纳入民事权利客体的保护范畴,彰显了个人信息的人格权客体的法律属性,也昭示着个人信息权将明确进入民法保护机制,直接成为《侵权责任法》的调整对象,为完善个人信息权保护的民事法律制度营造了难得的历史契机,也奠定了未来制定个人信息保护专门立法的基础。有学者提出,在《民法总则》背景下,完善关于个人信息保护的民事法律制度有两条路径:一是借鉴我国澳门特别行政区的做法,在《民法总则》下,制定独立成编的《民法典•人格权编》,在“人格权编”设单章对个人信息予以规定,待时机成熟时出台《个人信息保护法》;二是依据《民法总则》111条的规定,先制定具有操作性的司法解释,满足司法实践对个人信息保护的急迫需求,待条件具备时直接出台《个人信息保护法》。当前在制定《民法典分则》中,学界对人格权法是否独立成编的问题分歧较大,一类学者认为人格权法应当独立成编,一类学者反对民法典中人格权单独设编。两种观点似都有充足的理由。但无论选择何种模式,法律都必须因应个人信息保护的时代召唤和实践需求,在《民法总则》已经确立个人信息独立民事权利客体地位的背景下,汲取十多年来我国学者关于个人信息保护的研究成果,依据并总结《民法总则》、《关于加强网络信息保护的决定》、《网络安全法》等现有法律的成熟规定,参考《中华人民共和国个人信息保护法示范法草案学者建议稿》,尽快在《民法总则》第111条基础上,从立法层面进一步完善对个人信息保护的民事法律制度。
2.完善个人信息保护民事法律制度的主要内容
主要从以下方面完善个人信息权利保护的法律制度:(1)明确个人信息权的具体人格权地位。民事权利是指法律赋予民事主体在具体民事法律关系中能够为或不为一定行为、要求他人为或不为一定行为,以获得法律允许范围内的利益,并在其权利受到侵犯时,请求法律予以救济的可能性。只有明确个人信息的具体人格权地位,才能使个人信息的权利主体明确其权利范围,保障其个人信息受到损害时获得及时全面的法律救济,使个人信息受到全面的法律保护。(2)完善关于个人信息的一般规定。主要包括:明确个人信息权等相关法律术语的定义,消除相关法律规定的不统一,借鉴或参照《隐私保护与个人数据跨国流通指南》,明确对个人信息权进行保护的基本原则和相关免责事由等。(3)完善关于个人信息权主体、客体的规定。依照《民法总则》第111条之规定,自然人个人信息权的主体是自然人本人,但该条没有明确个人信息的客体范围。在相关司法解释与立法存在冲突的情况下,明确个人信息的客体范围尤为必要。参照《关于加强网络信息保护的决定》关于电子信息的规定,个人信息的客体是指能够识别公民个人身份和涉及公民个人隐私的信息。对此,还有待通过《民法典分则》或单独立法完善相关规定予以明确。(4)明确个人信息权利内容的规定。每一种权利,都具有其自身的作用或功能,这种作用或功能即是权利的权能,各种权能的结合构成了权利的内容,个人信息权的收集、使用、加工、传输、提供或者公开等具体权能是个人信息权行使、保护的前提,其如何行使和保护有待进一步明确。(5)完善国家机关对个人信息收集、处理、利用和保护的相关规定,厘定国家机关为行使公共管理职能收集、处理、使用个人信息的权利边界。(6)完善其他组织对个人信息收集、处理、利用和保护的相关规定,厘定为营利性目的、非营利性目的收集、处理、使用个人信息的权利边界。(5)完善关于侵害个人信息的民事责任的规定,对侵害个人信息的财产损害赔偿责任、精神损害赔偿责任做出细化规定,在《侵权责任法》22条基础上,明确侵害个人信息权精神损害赔偿的条件和标准,特别是增加与个人信息权性质相适应的特殊的侵权责任承担方式,如删除不当个人信息等。(6)修改完善相关司法解释的规定,实现与《民法总则》和相关个人信息保护立法的有效衔接和逻辑周延。一是修改《民事案件案由规定》,增加关于侵害个人信息权的相关案由规定,使权利人能够直接对侵害个人信息的行为提起民事诉讼,获取直接的司法救济;二是完善关于侵害个人信息权的证据规则,在适用《民事诉讼法》规定的一般举证规则的前提下,考虑侵害个人信息权案件的特殊性,适当放宽原告证明的标准,在原告已经提出相当的证据证明其主张事实具有较大可能性,因客观条件限制无法继续举证情况下,设计必要的举证责任转移和举的证妨碍规则,让被告承担相应举证责任,对被告不能证明自己的否定主张的,认定原告的主张成立。
大数据时代,个人信息已经成为重要的社会经济资源,对个人信息的收集、分析、利用已经成为政府、企业及其他组织决策的重要依据。市场经济环境下,买方需求决定了卖方供应,信息资源也沦落成为“商品”,对个人信息的收集利用变得“无时不有、无所不在”,与此同时,个人信息的收集与窃取亦变得无所不在,个人信息安全受到前所未有的挑战与威胁,由此带来的对个人权利与安全的挑战亦变得无所不在。《民法总则》第111条以基本法的形式明确将个人信息纳入人格权的框架予以保护,为个人信息保护提供了基本法律依据,对于保护个人信息具有重要意义。以《民法总则》颁布实施为契机,以第111条规定为基本依据,完善个人信息保护民事法律制度已经成为个人信息人格权保护乃至民法典编纂不可回避的问题,以此也必将开启我国个人信息保护的新时代。