在当今生产生活均高度信息化的社会中,个人信息的产生、流通、利用不可避免,构建个人信息的秩序是各国法律必须直面的急切问题。民法总则第一百一十一条将个人信息的保护提升到了民事基本法的高度,近期欧盟《通用数据保护条例》(GDPR)开始正式施行,对个人信息施以有力的保护,已成为不可阻挡的历史趋势。如何在民法体系以及民事诉讼中保护个人信息权益,殊值探讨。
一、个人信息权难以证成
对于侵害个人信息权益的行为,数据主体(自然人)可以向法院提起诉讼。就个人起诉而言,其主要形式是民事诉讼,民事诉讼的基础是自然人对其个人信息享有权益。作为个人信息保护领域的领先立法,欧盟GDPR设定了六种权利,分别是获得权、更正权、删除权(被遗忘权)、限制处理权、数据可携权和反对权,这些权利的性质值得探究:它们是宪法意义上的基本权利,还是民法意义上的私权利,或是皆而有之带有双重属性?上述权利可以通过民事诉讼获得救济,首先至少应属私权利,同时可能也属于宪法意义上的基本权利。
民法总则第一百一十一条规定,“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。民法总则第一百二十七条规定,“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。有观点认为,依据上述规定,自然人已经享有个人信息权、数据主体已经享有数据权。这种观点并不正确,根据第一百二十七条的文义不能解读出数据权是显而易见的,也不能依据第一百一十一条解读出个人信息权。个人信息基本可分为四大类:第一类生活记录信息,是个人生活相关的客观记录;第二类观察者信息,包括外部对个人的评价;第三类检测信息,这也是客观纪录,但涉及科学检测;第四类自我报告信息,是个人的自我评价。个人信息总体上可区分为以上四类,从这些信息可以分析出个人的人格。法律意义上的个人信息,大体上不会超出上述范围。欧盟GDPR强调用户画像、个人特征分析的概念,因为从个人信息可以大体确定一个自然人是什么样的人。但是,个人信息是否属于民法上的客体,值得疑问。
民法处理人与人之间的人身和财产关系,和个人信息相关的也不外乎人身和财产关系。把个人信息单独作为一种权利客体,会冲击现行民事权利保护体系。如果将个人信息权类型化并赋予它类似于所有权的权能,包括占有、使用、收益和处分,实际上和现实并不相符,因为有相当部分的个人信息允许企业采集、使用,收集和分析。个人信息本身具有很高的经济和社会价值,互联网产业、数据产业发展都有赖于此,只是必须在投资激励和人格权保护之间取得平衡。有的个人信息公开后个人无权要求删除,比如生效判决书依法上网公布,除了法定情形个人不能要求法院删除。在个人信息上设定类似于所有权的绝对权,可行性微乎其微。即使将个人信息权类型化,这种权利也不可能像物权、知识产权一样成为全面的绝对权,而是一种基于政策考量和利益衡量并经特别制度设计的民事权利,目的是确保自然人利益受到侵害后有救济手段,如此则通过侵权法即可实现。社会实践中,关于个人信息的采集和使用已经形成综合性的法律关系,民事、行政、刑事问题交织在一起,必须进行分解处理:事前、事中应该以行政管理、自我管理为主,从源头上治理;事后以民事救济、刑事保护为主,主要以诉讼的方式进行。
二、个人信息利益属一般人格权范畴
从数据主体角度看,基于个人信息的实质利益可以纳入民法的形式化权利体系,基于个人信息的权利属于一般人格权,欧盟GDPR列举的六类权利都可以归类于此,然后通过侵权法进行保护。比如就更正权、反对权而言,责任承担方式是排除妨碍,针对删除权(被遗忘权)、限制处理权,责任承担方式实际是消除危险。被遗忘权(删除权)纠纷实际上通过现有的隐私权、一般人格权制度就可以解决问题,没必要新造法律名词。
以欧盟关于个人信息删除权的著名案例——冈萨雷斯案为例,上世纪九十年代末,冈萨雷斯的房产由于没有缴纳社会保险金而被拍卖,拍卖信息被有关机关刊登在当地报纸上。但过了十年左右,冈萨雷斯在google网站搜索他自己的名字时发现了房产拍卖信息,于是就向西班牙数据管理机关(AEPD)提出请求,要求把Google网站链接以及报纸信息都删除。AEPD认为Google网站链接应删除而报纸信息无须删除,Google公司将案件一路诉至欧盟法院,欧盟法院的观点和AEPD一致。此案中冈萨雷斯的诉求基础是一般人格权,他实际上认为其人格尊严、个人声誉因为房产拍卖公告的持续存在而受到损害,如果没有这种损害他并不会提起诉讼,因此表面上看该案是删除权案件,实质上是一般人格权案件。
欧盟立法机构设计出被遗忘权等私权利,是为了弥合欧盟成员国的法系差异而作出的特殊安排(新造法律名词)。欧盟内部既有判例法国家又有成文法国家,成文法国家也有差异,比如德国和法国的民法体系就有很大区别,但不管有多大的区别,这些区别都是形式上的区别,即权利体系不同,其中的实质性权利仍相同。GDPR规定的权利都是经过细化分解的实质权利,这些实质权利可以被不同法系、不同国家的形式化权利体系所涵盖,如此安排使每个成员国的法律都可以符合欧盟的要求。值得注意的是,GDPR没有规定个人信息权,而是规定了个人信息保护权,这两者存在差别,表明在欧盟内个人信息权也并不成立。欧盟GDPR的做法是迫不得已的创新,它必须进行这种新造法律名词的创新,但中国从立法上、理论上均不需要引进这种不成熟的中间权利概念。关于个人信息保护的实质权益应纳入现行法体系,在中国法语境中,仍应采用民法/刑法/行政法的思维处理个人信息数据保护的问题。
三、企业收集个人信息构成民法上的占有
关于个人信息保护有一个重要的问题是如何看待企业收集个人信息数据,企业对这些数据是否享有权利?欧盟GDPR定义收集数据的企业是数据控制者(controller),这也是新造法律名词,民法上该如何定位?笔者认为,数据企业是个人信息数据的占有者,形成一种民法意义上的占有关系,可以沿用或准用占有制度解决相关法律问题。关于个人信息收集、使用的规则是GDPR的主要内容,也是中国全国人大常委会2012年发布的《关于加强网络信息保护的决定》的主要内容,这些法律规定主要解决个人信息保护的基本制度设计问题。法律制度都是利益分配机制(成本分配、风险分配)而非利益产生机制,但会对主体产生激励效应(正向、反向),进而影响利益生产环节(数据相关产业的投资、研发等),因此制度设计必须进行利益平衡,要同时考量个人利益、产业利益和社会利益,很多时候要进行经济学上的分析。但从个人权益司法保护角度看,这些规则实际上设定了相关方的注意义务,对于确定诉讼相关方的过错具有重要作用,不管在侵权之诉还是在违约之诉中,过错如何确定均具有重要法律意义。GDPR或《关于加强网络信息保护的决定》的规定,可以作为企业在保护个人信息时所负注意义务如何确定的标杆,违反法律规定在民事诉讼中可能被认定为违反注意义务,从而认定具有过错,进而认定侵权成立。
四、小结
个人信息的民法保护应当在现行法律制度体系下展开。从民法角度看,企业收集个人信息构成占有,自然人就个人信息并不享有个人信息权,个人信息体现人格利益,主张个人信息权益的纠纷实质是人格权纠纷,应当通过侵权责任法进行保护,责任承担方式是排除妨碍、消除危险、停止侵害,有的情况下可以赔偿损失,企业的合规情况将作为是否违反注意义务并进而确定过错的依据。企业收集的个人信息如何进行保护,与个人如何保护其信息权益是不同层面的问题,自然人通过一般人格权制度保护个人信息权益,企业则应当通过竞争法保护其基于数据的权益,两者的权利基础、请求权基础均不同,在诉讼实务中前者是人格权纠纷,后者是不正当竞争纠纷或是垄断纠纷。
(作者单位:上海市高级人民法院)