王利明
(中國人民大學2003网站太阳集团教授,中國人民大學民商事法律科學研究中心研究員)
摘要:《個人信息保護法》是一部保護個人信息的綜合性立法,其所包含的個人信息的私法規則與《民法典》構成特别法與一般法的關系,《民法典》确立了個人信息的性質及其在民事權利體系中的位置,是解釋、适用《個人信息保護法》相關規則的基礎和依據。《個人信息保護法》的适用需要在《民法典》的框架體系中展開,其适用應當貫徹《民法典》确認的人格尊嚴價值,并結合《民法典》确認的人格權保護一般規則。《個人信息保護法》還需要注重與《民法典》相關條款的體系協調,從而實現對個人信息的體系化保護。
關鍵詞:個人信息保護法;民法典;人格尊嚴;體系化
《個人信息保護法》的頒行是我國個人信息保護立法領域的裡程碑。該法适應互聯網、大數據發展的需要,系統、全面地規定了個人信息保護規則,有效協調了個人信息權利保護與信息合理利用的關系,确立了一整套權責合理、保護有效的信息處理規則,必将全面維護信息主體的合法權益,促進數字經濟的有序發展。然而,《個人信息保護法》在具體适用中遇到的一個重大而基礎的理論問題,即:其與《民法典》有關個人信息保護規則的關系如何?理順《個人信息保護法》與《民法典》在價值理念、框架體系、一般規則和具體條款之間的關聯關系,有助于更好地定位和發揮《個人信息保護法》在個人信息保護中的應有作用。相反,如果将《個人信息保護法》與《民法典》的适用相分離,必然會極大地妨礙《個人信息保護法》的準确實施。有鑒于此,筆者就《個人信息保護法》與《民法典》的适用關系談幾點看法。
一、《個人信息保護法》的适用應在《民法典》的框架體系中展開
《民法典》是關于民事權益的基本法,是确認和保護一切民事權益的基礎性法律,個人信息權益也不例外。《個人信息保護法》作為全面、系統地規定個人信息保護規則的一部立法,其在性質上屬于“領域法”的範疇,也就是說,其既涉及私法規範,也涉及公法規範。據粗略統計,其中所涉及的個人信息保護的私法規範約有53條,這些規範在性質上應當屬于民法規範。個人信息權益作為由《民法典》所确認的重要民事權益類型,自然也受到《民法典》的調整和規範,需要以《民法典》為基礎來 展開。因此,《個人信息保護法》中有關個人信息保護的私法規範應當屬于民法的組成部分,其解釋、 适用應在《民法典》的框架體系中展開。有觀點認為,個人信息是一種公法上的權利,其屬于信息主體對抗信息控制者信息處理行為的新型公法權利,屬于一種法定的權利類型,而且侵害該權利主要産生公法上的法律責任。因而,《個人信息保護法》在性質上屬于公法,與《民法典》的私法規則不存在關系。此種觀點是值得商榷的。原因在于:第一,個人信息本質上是一項人格權益,是《民法典》所确認的民事權益的組成部分,明确受到《民法典》的調整與保護。《民法典》在總則編第五章關于民事權利體系的構建中,于第111條明确規定:“自然人的個人信息受法律保護。”此外,《民法典》在人格權編第六章“隐私權和個人信息保護”章中采8個條文對個人信息保護的基本規則作出了明确規定。這就意味着,雖然侵害個人信息可能産生公法上的責任,但并不能據此否定個人信息的私權屬性。換言之,縱使個人信息權益可以獲得公法上的保護,但并不影響個人信息權益可以成為一項民事權益。第二,個人信息與隐私權具有密切的聯系,我國《民法典》之所以在人格權編第六章中将二者并列規定,就是考慮到二者很難截然分離,尤其是《民法典》第1032條規定了私密信息隐私,其包含了大量的個人信息,而個人信息尤其是敏感個人信息,又可能屬于私密信息隐私的範疇。從比較法上來看,美國法采用大隐私的概念,以隐私權的規則來保護個人信息,而歐盟法雖然将二者進行了區分,但實際上在立法文件中,考慮到二者存在密切關聯,并沒有做非常嚴格的界分。正是因為個人信息與隐私權所具有的密切聯系性,因此不能否定個人信息的民事權益屬性。第三,誠 然,個人信息權益同時受到公法與私法的保護,但對個人信息權益的确認是由《民法典》完成的。幾乎所有的民事權利在受到民法調整的同時,也會受到諸如行政法、刑法等公法的保護,由此不能因為其受到公法的保護而一概否認其私權的屬性。第四,雖然個人信息既可以是公法的保護對象,也可以是私法的保護對象,但二者所采用的保護方式與路徑是不同的,完全通過公法是不可能實現對個人信息的充分保護的。公法對于保護個人信息具有很重要的作用,但并不能因此忽視甚至否定個人信息私法保護的作用和意義,因為《個人信息保護法》不僅要保護公共利益、維護公共秩序,也要維護自然人的合法權益,而且公法上的制裁不意味着受害人的損害得到了填補、實現了對受害人的救濟。例如,即便僅就侵害個人信息的法律責任而言,公法隻能對信息處理者的違規行為進行公法 制裁,如追究侵權者的行政責任或者刑事責任,但無法對信息主體的私法權益提供直接、充分的救濟,對信息主體的權益救濟隻能由民法完成。可以說,公法的保護與私法的救濟不可偏廢,相得益彰,不能因為存在公法的保護而否定個人信息作為民事權益的屬性。
如前所述,個人信息權益是《民法典》所确認的基本民事權益,《個人信息保護法》中的私法規範 與《民法典》的規範之間應當是特别法與一般法的關系。《民法典》是基礎性法律,是私法的基本法,有學者将民法典與單行法的關系比喻為太陽與行星的關系,即民法典是“太陽”,而單行法則構成圍 繞“太陽”公轉的“行星”;“行星”根據“太陽”所投射的“光芒”來進行解釋。就《民法典》與《個人信息保護法》的關系而言,《民法典》确定了個人信息保護的基本框架、原則和理念、價值,界分了個人信息與隐私權等其他人格權的關系,為個人信息保護法确立了最基礎的規則。《民法典》所确立的保護人格尊嚴、保障民事權利等價值,是解釋《個人信息保護法》的基礎。《民法典》關于個人信息處理等規則的規定,不僅提供了個人信息保護的正當性基礎,也為個人信息保護立法提供了基本法律依據。《個人信息保護法》對個人信息的保護也基本上是圍繞《民法典》的規則而展開的。
《個人信息保護法》的适用應在《民法典》的框架體系中展開,因為從立法目的來看,《民法典》與《個人信息保護法》的立法目的是基本相同的。一方面,《民法典》保護個人信息的基本目的就是全面保障私權,保護人民群衆在數字化時代所享有的各項民事權益,這也正是《個人信息保護法》第1條所确認的立法目的之所在。另一方面,《民法典》規範個人信息也旨在促進個人信息的合理利用。從比較法上來看,就個人信息的保護和利用兩種價值之間的關系而言,各國個人信息保護法都是在平衡二者之間的關系,并進行有效協調,即既不能因個人信息的過度保護而忽視個人信息的有效利用,也不能完全為了個人信息的有效利用而忽視個人信息的保護,而是力圖兼顧這兩種價值,實現兩者之間的動态平衡。《民法典》之所以未将個人信息确認為一項具體人格權,一個重要的原因就是為了防止因此而過度妨礙數據的共享、利用以及大數據産業在我國的發展,而“個人信息”的概念就 适當地平衡了信息主體的利益與數據共享、利用之間的關系。我國《個人信息保護法》兼顧個人信息的保護與利用,不僅全面強化對個人信息的保護,而且将促進個人信息合理利用作為其立法目的,多個條款都貫徹了促進個人信息合理利用的理念。例如,《個人信息保護法》第13條列舉的不需要取得個人同意的情形中,就包括了依照法律規定在合理的範圍内處理個人自行公開或者其他已經合法公開的個人信息,其目的即在于保障個人信息的有效利用。
正是因為二者具有相同的立法目的,所以二者在具體的制度、規則設計方面具有相似性,因而,《個人信息保護法》的适用應當在《民法典》的框架下展開。具體而言:
第一,《民法典》明确了個人信息的性質及其在民事權利體系中的位置。《民法典》總則編第五章在規定民事權利體系時,雖然專門規定了自然人的個人信息受保護,但并沒有将其規定為一項具體人格權,人格權編第六章仍然延續了這一做法。《個人信息保護法》也遵循了此種制度模式。個人信息是整個民事權益體系中的重要組成部分,是其中的重要環節。從基本的民事權利出發,如果将基本的民事權利分為合同債權、物權、人格權和身份權,那麼,個人信息就屬于人格權益的重要組成部分,全面保護個人信息也就是保護個人在數字化時代所享有的基本民事權益。由于《民法典》将個人信息界定為一項人格利益,而非具體人格權,因而,在民事權利位階中,按照權利優先于利益的規 則,原則上除了一些特殊的敏感個人信息外,依據《民法典》第1034條第3款,一般個人信息與隐私權發生沖突時,應當優先保護隐私權。
第二,《民法典》将個人信息自主決定作為個人信息保護的價值基礎,即個人對其個人信息的自主決定。個人信息保護的價值基礎是個人的自決權,即個人自主決定其事務的權利,該概念由Wilhelm Steinmüller和Bernd Lutterbeck在1971年提出,并得到了普遍認可。作為私人自治的一項具體表現,個人信息自決權獲得了廣泛的承認。我國《民法典》在規定個人信息保護規則時,也是以個人信息的自我決定為基礎而展開的。《個人信息保護法》内容龐雜,但是這些制度仍然是圍繞着個 人信息自主決定這條主線展開的。無論是第二章“個人信息處理規則”還是第三章“個人信息跨境提供規則”都是對個人自主決定的落實。而第四章“個人在個人信息處理活動中的權利”和第五章“個 人信息處理者的義務”則是立法者對個人自主決定過程中的個人和處理者的權益和義務進行分配。《個人信息保護法》緊緊圍繞規範個人信息處理活動、保障個人信息權益,構建了以“告知—同意”為核心的個人信息處理規則。嚴格地說,“告知—同意”實際上是平等主體之間私法自治内核的集中體現,也是《民法典》所确認的自願原則的具體化,在以命令和服從為基礎的公法關系中是不可能存在 “告知—同意”規則的價值基礎。《個人信息保護法》将個人在個人信息處理活動中的各項權利,包括知悉個人信息處理規則和處理事項、同意和撤回同意,以及個人信息的查詢、複制、更正、删除等總結提升為知情權、決定權,明确個人有權限制其個人信息的處理,這都體現了對個人信息自主決定的尊重與保護。這些權利本質上都是個人信息自決權的具體展開,而此種自決權既是民法私法自治理念的彰顯,也是作為絕對權益的個人信息權益所具有的支配效力的體現。如果不能從這種支配效力出發解釋自主決定權,就很難準确把握該權益的性質和特點。
第三,《個人信息保護法》關于個人信息處理的制度和規則是以《民法典》個人信息保護規範為基礎而展開的。《民法典》在個人信息保護的相關規範中,确立了個人信息處理的各項基本規則,并規定了個人信息權利人的基本權利和處理人的義務及免責等基本問題,《個人信息保護法》在此基礎上對上述制度和規則作出了細化規定。例如,《民法典》确立了個人信息處理的基本規則,《個人信息保護法》同樣詳細規定了個人信息處理規則,嚴格地說,《個人信息保護法》中的個人信息“處理”的概念範疇來源于《民法典》第1035條第2款,隻不過《個人信息保護法》第4條增加了“删除”二字,而有關個人信息處理的基本原則和框架仍然是由《民法典》所确定的。再如,《民法典》第1035條規定了個人信息處理需要取得個人同意的規則,《個人信息保護法》借鑒GDPR的經驗,對人格權編規定的個人同意規則進行類型化處理、作出了更細緻明确的規定,明确規定了透明化原則,即要求信息處理者處理個人信息前,必須以顯著方式,清晰易懂的語言,真實、準确、完整地向個人告知法律規定的事項(第7條、第17條);如果信息處理者是基于個人同意而處理個人信息,必須是由信 息主體在充分知情的前提下,自願明确地作出同意(第14條)。個人信息處理者不得以個人拒絕處理其個人信息為由,拒絕提供産品和服務(第16條)。無疑,這些規定可以看作是《民法典》個人信息保護規則的具體化。
第四,《個人信息保護法》關于相關國家機關保護個人信息義務的規定也是圍繞《民法典》相關規則而具體展開的。《民法典》第1039條規定了國家機關、承擔行政職能的法定機構及其工作人員的保密義務。嚴格地說,依據其職權處理個人信息的國家機關與信息主體之間并不是完全平等的民事關系,但是我國《民法典》第1039條為了全面保護個人信息,對國家機關以及承擔行政職能的法定機構及其工作人員因依法履行職責處理他人個人信息做出了明确規定,要求信息處理者應當對信息予以保密,不得洩露或者向他人非法提供。雖然這些機構與個人并非平等交往的主體,但在前 者履行職責過程中可能掌握了他人的大量個人信息,且大多屬于敏感、私密的個人信息,一旦洩露,将給他人造成重大損害,因此,從全面保護個人信息的角度出發,《民法典》對其保護個人信息的義務作出了規定。确認相關國家機關保護個人信息義務的規定,也表明個人信息權利可以對抗信息主體之外的任何組織和個人的不法侵害。《個人信息保護法》在第二章個人信息處理規則中單設一節專門規定了國家機關處理個人信息的規則,該規則正是對《民法典》上述規定的具體展開。這就表明,《個人信息保護法》對個人信息處理的規則不僅适用于平等主體之間的關系,還适用于國家機關以及法律、法規授權的具有公共事務管理職能的組織為了履行法定職責而處理個人信息的情形。
總之,《民法典》和《個人信息保護法》在性質上屬于一般法與特别法的關系,二者在個人信息保護方面既有分工協同,又有銜接協調,《個人信息保護法》的解釋與适用應當在《民法典》的框架下展開。
二、《個人信息保護法》的适用必須貫徹《民法典》确認的人格尊嚴價值
價值的融貫性是法律具有體系性和邏輯性的前提與基礎。《個人信息保護法》第1條開宗明義地強調了“保護個人信息權益”這一重要的立法目的,但并未就“個人信息權益保護”目的背後的價值取向作明确表達。換言之,這一規定并未明确《個人信息保護法》對個人信息權益進行保護、對信息處理行為進行規範的主導的價值取向,是為了保護個人信息主體的物質利益,還是為了保護其精神利益,抑或其他目的?在大量涉及人格利益具體争議問題時,理解和回答個人信息利益保護背後的價值取向至關重要。特别是在個人信息權益和财産權益之間發生重大沖突時,需要特别考慮個人信息權益保護背後的價值導向。嚴格地說,必須從《民法典》人格權編關于保護人格尊嚴的價值出發,才能準确理解《個人信息保護法》的價值。
人格尊嚴,是指人作為法律主體應當得到承認和尊重。人格尊嚴是人作為社會關系主體的基本前提,應當受到法律的平等保護。人格權關乎每個人的人格尊嚴,《民法典》人格權編的立法目的就是“為了貫徹黨的十九大和十九屆二中全會關于‘保護人民人身權、财産權、人格權’的精神,落實憲法關于‘公民的人格尊嚴不受侵犯’的要求”,《民法典》第109條明确宣告自然人的人身自由、人格尊嚴受法律保護,《民法典》第990條第2款将人身自由、人格尊嚴作為一般人格權的内容,并在此基礎上确立了對各種新型人格權益進行兜底保護的條款。這表明,《民法典》人格權編所規定的各項具體人格權與一般人格權,實際上均是對人格尊嚴保護的制度反映。而《民法典》所确立的人格尊嚴保護的價值,也為《個人信息保護法》提供了價值基礎,因為侵害他人的個人信息實質上是侵害了他人的尊嚴和自由,通過保護個人信息不受信息數據處理等技術的侵害,就可以發揮保護個人人格尊嚴和人格自由的效果。《個人信息保護法》對個人信息的保護實際上是《民法典》所确立的人格尊嚴保護價值在個人信息保護領域中的延伸。
人格尊嚴保護原則作為《個人信息保護法》的價值基礎,主要體現在以下幾個方面:
第一,《個人信息保護法》的立法目的就在于維護人格尊嚴。《個人信息保護法》第1條将其立法目的表述為“保護個人信息權益,規範個人信息處理活動,促進個人信息合理利用”。這一直接目的的背後實質上是對于人格尊嚴的維護。該條同時規定,“根據憲法,制定本法”,其實,所謂“根據憲法”,就是指《個人信息保護法》基本體系和根本制度應當以憲法為基礎,符合憲法的基本精神和價值取向。《憲法》第38條規定了“維護人格尊嚴”原則,據此将維護人格尊嚴作為憲法的基本價值。《憲法》确立的這一基本原則,需要通過《個人信息保護法》對個人信息保護的具體規定而予以落實。因此,以人格尊嚴作為《個人信息保護法》的基本原則,也是落實憲法保護人權、維護人格尊嚴的要求。《個人信息保護法》對個人信息的保護,根本目的也在于對個人信息所彰顯的人格尊嚴進行保護。
第二,《個人信息保護法》的保護對象與人格尊嚴聯系緊密。《個人信息保護法》以個人信息作為保護對象,該法第4條第1款規定了個人信息的概念。依據該規定,“個人信息是以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種信息,不包括匿名化處理後的信息”。第4條在界定個人信息的概念時雖然沒有明确提及人格尊嚴,但第28條将敏感個人信息界定為“一旦洩露或者非法使用,容易導緻自然人的人格尊嚴受到侵害或者人身、财産安全受到危害的個人信息”。第28條将人格尊嚴作為敏感信息的判斷标準。當然,這并不意味着,隻有敏感個人信息才涉及人格尊嚴。事實上,一般的個人信息也同樣關系到人格尊嚴,如果不當收集和利用個人信息(如借助大數據、算法等技術形成社會分選、歧視性對待等),将損害信息主體的人格尊嚴,尤其是數據畫像行為,其借助大數據和人工智能技術,可能會不當地處理個人的敏感信息,損害人格自由。立法者之所以區分敏感信息與一般信息,其原因在于敏感信息與人格尊嚴的聯系更為密切。《民法典》之所以将個人信息作為一項人格權益,也正是基于其與人格尊嚴的聯系,《個人信息保護法》對個人信息進行系統保護,也旨在維護個人的人格尊嚴。
在此需要讨論,《個人信息保護法》第28條将金融賬戶作為敏感個人信息對待,因而要嚴格保護,原因何在。之所以要保護個人的财務信息,并非單純為了個人的财産利益,其仍然涉及對個人人格尊嚴的保護。因為一方面,這是為了保護個人的物質利益,即為了防止因他人盜用或者冒用賬号密碼或者處置權限而直接損及個人的财産權。另一方面,個人财務信息與個人的人格尊嚴之間也存在一定的聯系,個人是否對外公開其财務信息,是否維持其财務信息的私密狀态,屬于個人的自我決策和自主安排,也是人之為人、享有作為社會主體的自由和尊嚴的重要表現。還應當看到,對他人 财務信息的侵害也可能使他人遭受人格性利益的傷害,例如,在非法公開他人的财務信息後,受害人可能因财務信息被公開而人身安全面臨威脅,甚至可能遭受一定的人身損害,這也會影響個人人格尊嚴的實現。
第三,《個人信息保護法》的具體制度設計貫徹了人格尊嚴的價值理念。《個人信息保護法》的許多具體制度也強調對個人人格尊嚴的保護。例如,《個人信息保護法》第13條第1款第4項規定,在“緊急情況下為保護自然人的生命健康和财産安全所必需”時,個人信息處理者可以處理個人信息。《個人信息保護法》第18條第2款規定:“緊急情況下為保護自然人的生命健康和财産安全無法及 時向個人告知的,個人信息處理者應當在緊急情況消除後及時告知。”上述規定均意在強化對個人生命健康的保護,其目的也在于保護個人的人格尊嚴。再如,即便當事人之間已經達成了個人信息的許可使用合同,為了保護個人的人格尊嚴,也要對信息主體提供特殊保護。《個人信息保護法》第15條規定:“基于個人同意處理個人信息的,個人有權撤回其同意。”該條賦予個人撤回其同意的權利,實際上賦予信息主體任意解除個人信息許可使用合同的權利。法律作出此種規定,主要是為了 保護個人的人格尊嚴,因為合同債權在性質上屬于财産權,而對個人信息的保護體現了對個人人格利益和人格尊嚴的保護。
此外,在對敏感個人信息認定所運用的“場景”理論中同樣也需要貫徹人格尊嚴保護的理念。所 謂“場景理論”,是指應當根據個人信息處理行為發生的具體場景,對圍繞該行為的各個元素(如行為人、信息主體的身份,處理的目的,處理的場所及其影響的後果等)進行綜合評價,以判斷某信息 處理行為的對象是否屬于敏感個人信息。該理論最早由美國學者Nissenbaum教授提出,并為許多國家和地區的學者所采納。在依據場景理論作出判斷時,同樣也需要考慮人格尊嚴的價值。一方面,依據《個人信息保護法》第4條,個人信息是已識别或可識别的自然人有關的各種信息,如何判斷“有關”,仍然需要運用人格尊嚴的标準予以判斷,即看其是否涉及個人的人格尊嚴。另一方面,在判斷敏感個人信息時,也應當以人格尊嚴為标準。例如,人體基因的洩露會導緻個人在就業、保險等社會活動中遭受各種不公正的歧視。再如,個人的行蹤信息若被公之于衆或其人臉等生物識别信息被他人不法收集或處理的,将使信息主體的人身安全受到威脅、人格尊嚴受到侵害。因此,應當将這些信息納入敏感個人信息的範疇。
綜上所述,維護人格尊嚴是《個人信息保護法》的核心價值,也是理解、解釋《個人信息保護法》相關制度和規則的基礎。
三、《個人信息保護法》的适用應結合《民法典》 所規定的人格權保護一般規則來展開
“權利的存在和得到保護的程度,隻有訴諸民法和刑法的一般規則才能得到保障。”對個人信息的保護同樣如此。如前所述,雖然對個人信息保護采用綜合手段,但民事責任仍然具有其獨特性,也是保護個人信息的重要方式。我國《民法典》确認了對各種民事權益的保護方法,這些方法同樣可以适用于個人信息保護。《個人信息保護法》明确規定了侵害個人信息的侵權責任(第69、70條),此種責任的性質就是民事責任,因此,應當将《個人信息保護法》的規範作為《民法典》的特别規範,将其與《民法典》有關保護人格權以及侵權的一般規則銜接起來,形成對個人信息的全面保護體系。具體而言,在确定侵害個人信息的侵權責任時應從如下方面與《民法典》的相關規定相結合。
第一,關于侵害個人信息侵權責任的歸責原則。《民法典》侵權責任編确立了過錯責任為一般歸則原則。而《個人信息保護法》第69條第1款規定:“處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。”依據這一規則,在處理個人信息的侵權責任成立上,應當采用過錯推定原則。該規則的适用與《民法典》第1165條第2款關于過錯推定的條款相結合,構成了完整的侵害個人信息侵權責任的歸責原則。《民法典》第1165條第2款規定:“依照法律規定推定行為人有過錯,其不能證明自己沒有過錯的,應當承擔侵權責任。”因此,《個人信息保護法》第69條第1款即構成了此處的“依照法律規定”,從而可以适用《民法典》中的過錯推定原則。在适用過錯推定原則認定侵害個人信息的侵權責任時,由于過錯推定原則隻是過錯責任原則在證明責任分配上的變異,因此,在關于其他責任成立要件的認定上,仍然需要遵循《民法典》侵權責任編的相關規定。
第二,關于預防性責任承擔方式的适用。現代侵權法除了具有補償功能之外,其“重要機能在于填補損害及預防損害”。侵害個人信息的責任同樣如此,《個人信息保護法》第69條隻規定了信息 處理者侵害個人信息造成損害的損害賠償責任,但是沒有規定個人信息是否受到停止侵害、排除妨礙和消除危險請求權的保護,而這些責任承擔方式恰好是預防損害發生的重要方式,欠缺這些責任承擔方式,将難以發揮損害預防的效果。筆者認為,雖然《個人信息保護法》沒有規定侵害個人信息情形下預防性的責任承擔方式,但《民法典》關于預防性責任承擔方式的規定也應當可以适用于個人信息保護。具體而言:一是人格權請求權的适用。《民法典》第995條規定了人格權請求權,并明确規定人格權請求權的行使不适用訴訟時效規則。雖然該條使用的是“人格權受到侵害”的表述,但在個人信息保護領域中,應當認為該條可以适用于所有個人信息權益。即在人格權益遭受侵害或有侵害之虞時,個人信息權利人可以行使《民法典》所規定的各種人格權請求權,且不受訴訟時效的限制。二是《民法典》第1167條規定,“侵權行為危及他人人身、财産安全的,被侵權人有權請求侵權人承擔停止侵害、排除妨礙、消除危險等侵權責任”。該條關于預防性侵權責任承擔方式的規定同樣可以适用于個人信息的保護。此外,對于其他責任形式的适用,也應當依據《民法典》的規定,例如,《民法典》所規定的消除影響、恢複名譽、賠禮道歉等責任形式,在個人信息權益的侵害中均有适用的餘地。對于這些責任形式的成立要件和承擔方式,也同樣應當适用《民法典》的規則。
第三,關于禁令制度的适用。禁令是指申請人為及時制止正在實施或即将實施的侵權行為,或有侵害之虞的行為,在起訴前或訴訟中請求法院作出的禁止或限制被申請人從事某種行為的強制命令。《民法典》第997條規定了侵害人格權的禁令制度,該條将其适用範圍限定為人格權,但此處所說的“人格權”應當進行擴張解釋,因為既然該條規定在人格權編一般規定之中,其當然應當适用于人格權編分則各項人格權益遭受侵害時的情形,其中就包括個人信息受侵害在内。在實踐中,個人信息也可能遭受現實、緊迫的不法侵害行為,在此情形下,如果不及時采取禁令措施,放任侵害個人信息的行為繼續進行,就會進一步擴大其造成的損害,甚至使得權利人遭受的損害超出經濟損失 的範疇(如精神損害、商譽的減損等)。
第四,關于精神損害賠償的适用。《個人信息保護法》中并沒有直接針對侵害個人信息的精神損 害賠償問題的規定,隻是在該法第69條第1款提及了損害賠償的責任形式。從《個人信息保護法》 第69條第1款規定來看,其雖然采用了“損害賠償等侵權責任”這一表述,但該條第2款解釋損害賠償時,實際上主要限定為财産損害賠償。筆者認為,個人信息受侵害後産生的損害賠償雖然主要 是财産損害賠償,但也可能适用精神損害賠償責任。這是因為:一方面,在侵害個人信息尤其是敏感 個人信息時,可能嚴重侵害他人的人格尊嚴以及人身、财産安全,并由此可能使個人遭受嚴重的精神損害。例如,非法洩露個人身患某種疾病的健康信息,使個人遭受歧視,嚴重影響個人的正常生活,并使其遭受嚴重的精神痛苦,此時就有必要通過精神損害賠償責任對受害人進行救濟。另一方面,對于精神損害賠償而言,《民法典》第1183條規定,隻有在侵害人身權益導緻被侵害人嚴重精神損害時,被侵權人才有權請求精神損害賠償。個人信息本身屬于人格權益,受侵害後應當可以适用精神損害賠償責任。
第五,關于獲利返還規則的适用。所謂獲利返還,也稱為“利潤剝奪”,它是指在行為人因侵害他人人身權益而獲利的情形下,對方當事人有權請求行為人返還因此所獲得的利益。在适用損害賠 償責任方面,《個人信息保護法》第69條第2款規定了獲利返還的責任。不過,這一規範可能并不能 單獨地适用。在适用獲利返還時,還需要與《民法典》的侵權責任編的規定相結合。例如,該條規定“個人因此受到的損失”可能是财産損失,也可能是人身傷害。如果是财産損失,就應當按照《民法典》第1184條的規定按照損失發生時的市場價格或者其他合理方式計算;如果是人身傷害,就應當按照《民法典》第1179條以下關于人身損害的規定進行計算。再如,依據《個人信息保護法》第69條第2款規定,在損失或獲益難以确定時,要“根據實際情況”确定賠償數額,但究竟應當由哪一主體根據實際情況确定賠償數額,該條并沒有作出明确規定,這就需要結合《民法典》第1182條的規定, 由人民法院根據實際情況确定賠償數額,即應當适用《民法典》第1182條所規定的法院酌定規則。 還需要注意的是,《個人信息保護法》第69條第2款并未規定在損失或獲益難以确定時雙方當事人 可以協商确定賠償數額,這與《民法典》第1182條規定并不一緻,能否據此認為,《個人信息保護法》改變了《民法典》的規則?在筆者看來,《個人信息保護法》雖然沒有規定當事人可以協商确定賠償數額,但是基于意思自治原則和私權的可處分性,仍然應當認為,當事人可以通過協商确定損害賠償數額。
第六,關于多個信息處理者的責任。在多個信息處理者侵害他人個人信息的情形下,除《個人信息保護法》第69條規定外,還應當适用《民法典》侵權責任編的相關規定。例如,《個人信息保護法》第20條第2款對“共同處理者”的民事責任作了規定,依據該款規定,個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的,應當依法承擔連帶責任。其中“依法”承擔連帶責任的表述表明,第20條第2款實質上是“指引性規範”。法官在判斷共同處理者是否需要承擔連帶責任時,需要根據《民法典》侵權責任編對連帶責任的規定進行判斷。因此,當共同處理者對于個人信息的侵害具有共同過錯的,應當根據《民法典》第1168條的規定承擔連帶責任,而教唆、幫助他人侵害個人信息的,應當根據《民法典》第1169條的規定承擔連帶責任。數個共同處理者實施危及他人個人信息的行為,其中一人或者數人的行為造成他人損害,但是無法确定具體侵權人的,應當根據《民法典》第1170條的規定,由數個共同處理者承擔連帶責任。
此外,《民法典》具有兜底保護的功能,而《個人信息保護法》作為“領域法”,其不可能對侵害個人信息的責任作出全面、系統的規定,因此,有必要發揮《民法典》的兜底保護功能。例如,《民法典》在人格權編對個人信息的收集和利用作了原則規定,在侵權責任編中對侵害人身權益的損害賠償包括懲罰性賠償等作了具體規定,這些規定都可以在保護個人信息方面發揮兜底功能。因此,在個人信息遭受侵害的情形下,在适用《個人信息保護法》的規則時,應當注重結合《民法典》的規則,以更好地發揮其保護個人信息的功能。
四、《個人信息保護法》的适用應注重與《民法典》相關條款的體系協調性
法典化就是體系化。《民法典》是一個完整的體系,《個人信息保護法》與《民法典》關于個人信息保護的規則相結合,共同構成了完整的個人信息保護規則體系。隻有将《個人信息保護法》置入整個規則體系中,才能加以準确理解和适用。在個人信息保護方面,《個人信息保護法》作為民法的重要組成部分,以《民法典》為基礎,并以《民法典》的價值為遵循,與《民法典》相互配合、相輔相成,共同構建了針對個人信息保護的較為完整的價值體系和規則體系。隻有在準确理解和把握這個體系的基礎上,才能在保護個人信息方面充分發揮體系的功能。為此,需要梳理、整合既有的法律規範,消除其間的矛盾。在《個人信息保護法》适用過程中,不僅要結合《民法典》的規定,準确理解、解釋《個人信息保護法》的相關規則,還要充分發揮民法保護個人信息的體系化的效應。具體而言,有如下幾點:
第一,要充分發揮《民法典》的規範儲備功能,并與《個人信息保護法》相結合,形成保護個人信息的嚴密體系。上文已經探讨了《個人信息保護法》與《民法典》侵權責任編的關系,但嚴格地說,其不僅與侵權責任編存在關系,而且與《民法典》其他各編存在密切的聯系。對于個人信息的許可和利用,往往都是通過合同作出安排的,這些行為均需要受到《民法典》合同編的調整。例如,《民法典》 合同編對于格式條款的規制(第496條、第497條和第498條)以及特殊合同的解除規則等均填補了《個人信息保護法》的空白。又如,個人與信息處理者通過訂立合同對個人信息的許可和利用作出約定的,該許可使用合同的訂立與生效,應當适用《民法典》第469條以下的規定。當信息處理者違反合同約定處理個人信息時,信息主體還可以根據《民法典》第577條以下的規定要求信息處理者承擔違約責任。因此,在保護個人信息時,不能僅從《個人信息保護法》出發,孤立地适用規則,而應當具有更加宏大的、體系化的視野,将其與《民法典》的規則相結合,使《民法典》在個人信息保護方面發揮規範儲備效應,從而形成對個人信息的周延保護。
第二,要與《民法典》的相關規定相結合,發揮《民法典》的查漏補缺功能。《個人信息保護法》雖然設置了較為全面的個人信息保護規則,但畢竟個人信息保護涉及的問題較為廣泛,《個人信息保護法》不可能将個人信息保護所涉及的民事規則全部囊括其中,在無法從《個人信息保護法》中尋找相關的規範時,就應當從《民法典》中尋找相關的規範。如前述,關于禁令制度、人格權請求權、精神損害賠償、違約責任的認定等一系列問題,仍然應當從《民法典》中尋找相關的規範依據。即使《個人信息保護法》中對相關問題作出了規定,但其許多規則仍然是不完善的,因此需要結合《民法典》的規定,形成完整的規則體系。通過與《民法典》相關規定的結合适用,既可以查漏補缺,同時,也可以借助于直接适用、類推适用,或者參照适用等方式,援引《民法典》的相關規定,以彌補《個人信息保護法》規定的不足。例如,《個人信息保護法》第49條關于死者個人信息保護的問題,其隻是規定了近親屬為了自身的合法、正當利益而對死者相關個人信息享有查閱、複制、更正、删除等權利,但是死者個人信息遭受他人侵害,其近親屬是否有權請求行為人承擔民事責任,如何要求行為人承擔責任,則必須依據《民法典》第994條規定予以認定。再如,《個人信息保護法》第69條雖然規定了侵害個人信息的獲利返還規則,但該條規定仍然很不完整,必須結合《民法典》第1182條予以适用。
第三,要保持《個人信息保護法》與《民法典》的體系完整性,努力消除矛盾。拉倫茨指出:“法律科學最為重要的任務之一就是發現單個的法規範之間和規則體相互之間,以及它們與法秩序的主導原則之間的意義脈絡,并将該意義脈絡以可被概觀的方式,即以體系的形式表現出來。”可以說,法律解釋的重要目的在于使法律相互之間形成一種有機的和諧。之所以要在體系的視角下考慮《個人信息保護法》的适用問題,其中很大的原因就是要通過體系化的考量,來努力消除《個人信息保護法》與《民法典》之間的不協調甚至矛盾現象。例如,就個人信息的概念而言,《民法典》第1034條規定,“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識别特定自然人的各種信息”。該條采納了“識别說”,作為判斷個人信息的标準。這也符合個人信息界定的通行做法。而《個人信息保護法》第4條規定,“個人信息是以電子或者其他方式記錄的與已識别或者可 識别的自然人有關的各種信息”。從該規定來看,其不僅采納了“識别說”,而且采納了“關聯說”,即 凡是能夠識别自然人的各種相關聯的信息,都可以作為個人信息。因此,《民法典》與《個人信息保護法》在個人信息定義方面似乎是存在矛盾的。但筆者認為,識别既包括對個人姓名、地址的直接識别,也包括對個人其他身份的識别,所謂“有關的”個人信息,實際上是《民法典》第1034條所規定的“與其他信息結合識别”自然人的信息,因此,《個人信息保護法》增加“關聯說”,表面上看是突破了《民法典》的規定,但實際上仍然可以通過擴張解釋“識别說”,而認為兩者之間并不存在矛盾。
基于體系化的考量,在具體适用《個人信息保護法》的規則時,應當注重其與《民法典》的結合。這又要區分三種情形:一是在《民法典》有規定而《個人信息保護法》沒有規定時,應當适用《民法典》的規定。如前述違反個人信息許可使用合同的違約責任的認定與适用,《個人信息保護法》并未作出規定,此時應當适用《民法典》的規定。二是《個人信息保護法》有規定而《民法典》沒有規定,或者《個人信息保護法》與《民法典》均有規定而《個人信息保護法》對此作出了特别規定的,則需要單獨援引《個人信息保護法》的規定。例如,從實踐來看,侵害個人信息的行為可能構成大規模侵權,其損害具有範圍廣、程度深的特點,而對單個的受害人來說,損害又可能是輕微的。所以,它會形成一種集合性的、針對衆多人的大規模損害。瓦格納将此種行為稱為“大規模的微型侵害”。對于此種損壞,由于其侵害的微小性,單個的受害人往往勢單力薄,也往往不願意要求加害人承擔責任。對于此種訴訟動力不足的情況,需要由國家公權力機關作為公共利益的代言人去追究侵害人的責任、保護公共利益。《民法典》并沒有就個人信息的大規模侵權作出規定,為解決這一問題,《個人信息保護法》 第70條規定了侵害個人信息的公益訴訟制度,此時,就需要單獨适用《個人信息保護法》的規定。三是《民法典》與《個人信息保護法》均有規定,但《個人信息保護法》的規定不完整,需要結合《民法典》 的規則來适用。
總之,《個人信息保護法》的規則與《民法典》的規則相結合,形成了一種具有内在邏輯的制度體系、規則體系,隻有從整體上把握這個體系,才能在适用中充分發揮體系化的規範儲存、查漏補缺等效用,從而形成對個人信息的體系化的、全面的保護。
結語
《個人信息保護法》作為綜合性的法律,其所包含的個人信息的私法規則與《民法典》構成特别法與一般法的關系,不能因為有了特别法,而否定《民法典》的基礎性地位,更不能将《個人信息保護法》看作是自給自足、脫離民法典之外的體系,否則,将會極大地削弱《個人信息保護法》在保護個人信息方面的作用。尤其應當看到,就個人信息保護規則而言,《個人信息保護法》與《民法典》共同構成了一個完整的體系,隻有準确把握好這個體系,才能準确理解和适用相關規則。也隻有将《個人信息保護法》與《民法典》的貫徹實施結合起來,才能夠充分、全面地維護好、保障好、發展好人民群衆在網絡空間中享有的合法權益,真正使廣大人民群衆在數字化時代享有更多的獲得感、幸福感、安全感。
本文載《湖湘法學評論》2021年第1期,25-35頁。注釋從略,引用請核對原文。
圖片來源:中國人民大學2003网站太阳集团官網。
《湖湘法學評論》是經國家新聞出版署批準,由教育部主管、2003网站太阳集团主辦的法學學術期刊,于 2021 年創刊。本刊為中文版季刊,國際标準連續出版物号為 ISSN 2097-020X,國内統一連續出版物号為 CN 43-1556/D。
本刊堅持正确的輿論導向和辦刊方向,立足中國,借鑒域外經驗,刊載法治建設理論和實踐經驗成果,突出實證研究特色,以服務法學理論創新和法治中國建設。
本刊嚴格實行專家匿名審稿制度,充分尊重專家評審意見,結合刊物定位、宗旨、特色、學科等因素,以決定刊用稿件。本刊設置“馬克思主義法學”“習近平法治思想研究”“名家特稿”“熱點研讨”“智慧法治”“青年法苑”“域外法治”“法學教育”“交叉前沿”“數量與計算法學”“紀檢與監察法學”等欄目,并根據選題規劃靈活設置相關欄目(請關注“湖湘法學評論”微信公衆号),歡迎作者針對欄目投稿。
《湖湘法學評論》緻力于成為一本倡導實證研究的高水平法學學術期刊,對基礎理論話題與社會熱點問題予以雙重關注,強調問題性、思想性、科學性,勠力打造供海内外法學界展開學術交流與思想争鳴的高水平學術平台。
