1. 个人信息的民法保护概述
1.1. 个人信息的民法定位
在信息技术飞速发展的今天,有些人通过信息技术非法收集和处理个人信息。给信息主体造成巨大的损失,因此保护个人信息成为重中之重。目前,我国公法层面,例如刑法、行政法等都对个人信息做出了一些规定。但是民法作为基本法,同样也是保护个人信息的重要法律部门。目前,《民法典》人格权编第六章规定了个人信息,构建了个人信息的民法保护制度,但是我们发现,《民法典》并未明确个人信息的定位和属性,这一问题在民法学界也是没有统一的答案,一些学者认为这只是理论之争,对个人信息保护意义不大。事实上,对个人信息的定位不仅仅关系到理论层面,也关系到个人信息保护规则的整体地位,关系到功能制度的发挥,而且对个人信息保护条款的理解与适用也具有重要影响。
在民法学界,关于个人信息的定位主要存在两种观点。一种是“权利说”,他们主张将个人信息明确为个人信息权;另一种主张“法益说”,认为个人信息是一种法益。这两种学说都有其中的道理,究竟哪种符合我国的现实情况,还需要具体分析。
1.1.1. 权利说
“权利说”是指将个人信息作为一项权利完全由个人信息主体控制和支配,其他人则具有不作为的一般义务。很多学者还将“权利说”进行了更加细致的分类,其中比较主流的观点是具体人格权说。具体人格权说认为《民法典》人格权编中有关个人信息的规定,是将个人信息规定为一项权利,而不是法益,属于具体人格权 [1] 。学者王成比较赞同德国的一般人格权学说,德国1970年通过了世界上第一部有关个人信息保护的法律,即资料保护法,并且随着社会的发展,德国法院确立了“信息自决权”,用来反对政府的不当干涉,但是随着社会的需要,“信息自决权”的应用范围已经扩展到对信息的调查、收集、使用以及非自动化处理等各个阶段 [2] 。这时“信息自决权”已经被纳入到一般人格权的体系之中了。还有比较典型的美国,就是通过隐私权实现的间接保护模式,随着网络技术的发展,美国确立了信息隐私权,但是自从隐私权诞生起,人们对隐私侵权行为的划分的争论就从来没有停止过,随着“数据隐私权”、“网络隐私权”等概念的出现,美国逐渐构建起了以隐私权为基础的个人信息保护体系。反观欧洲,欧洲就采取了比较果断的方式,也就是把个人信息视为一项基本权利,在互联网盛行的时代,美国的数据产业在世界占有较大的比重,为了反击美国的打压,因此欧盟将个人信息视为基本权利,减少个人信息的境外流通。我国国内以王利明、杨立新为代表的学者就支持将个人信息看作独立的人格权,他们认为个人信息具有财产属性,人们应当积极保护,从权利的角度讲,独立人格权符合个人信息权的标准。
1.1.2. 法益说
支持法益说的学者认为个人信息并不属于权利,而是法益。法益说是指信息主体不对个人信息进行过多的控制,其他人可以按照法定的原则和条件对其进行必要的收集和处理。学者高富平认为,个人信息是一种新型的法益,对这种新型法益进行保护的理论依据和具体方法无法从私权角度加以阐释,因为他们认为一个人无论是就业生活还是升学,参加商业活动,都要提供自己的个人信息,否则就不能标识自己,因为个人信息具有识别功能,因此个人信息才具有了社会属性,个人对个人信息不能享有支配性权利。所以,可以将个人信息确定为新型的法益 [3] 。学者林传琳、宋宗宇在文章中也指出民法中的个人信息保护应该理解为民事利益较为妥当,他们认为如果将个人信息确认为一项人格权,那么它将具有绝对支配性,结合现实情况,是难以实现的。由此观之,两种学说在民法学界争论很大,一时难以定论,但是对个人信息的属性不加以定位,就不利于对个人信息保护条款的理解和适用,不利于构建完善的个人信息保护体系。
在这里,我比较赞同“权利说”,理由如下:首先,“权利说”将个人信息确认为权利,有利于为信息主体提供更加严密的保护,有了权利基础,信息主体才能维护好自己的利益。其次,许多国家都采纳了“权利说”的观点,并且设立了个人信息权,这能够为我们提供良好的借鉴。最后,“权利说”的这种观点也得到了王利明等权威学者的支持,他们认为“权利说”更适合中国的立法和司法现状。
1.2. 个人信息的民法保护模式
结合上述两种学说,在民法上,个人信息的保护可以分为两种模式。
1.2.1. 权利模式
权利模式,就是把个人信息认定为权利。权利模式通过将特定类型的利益确认为法律上的权利,使利益的归属及其界限得以明确,从而对利益进行全面的法律保护 [4] 。因为民法是以权利为本位的,这是传统民法上一贯对利益的主要保护方式。结合我国个人信息的立法和司法情况,有学者提出将个人信息归入人格权中。在个人信息的保护体系之中,信息主体处于相对弱势的地位,对个人信息权的确定,有利于保障信息主体的主体地位,可以有效的防止他人的非法侵害。并且从信息处理者的角度来看,信息处理者知道哪些行为可以做,哪些行为不可以做,这样就可以减少侵犯他人个人信息的情况。而且在比较法上,我们可以发现欧洲、日本、韩国和我国台湾地区,都采取了权利模式。他们都选择将个人信息规定为具体的权利,不需要其他的民事权利为基础,这就可以为我们提供借鉴。
1.2.2. 行为规制模式
民法保护既保护权利,又保护法益。法益通常没有明确的对象,而且它的利益边界不清楚,因而不能上升为权利对其进行保护。与权利模式不同,行为规制模式是通过限制他人的行为来维护信息主体的利益,并不是为其提供全方位的保护,因此如何界定他人的行为并加以规制是这一模式的难点。行为规制模式需要在各种利益主体中找到一个平衡点,使行为主体能够在允许的范围内有一个自由的空间。有学者认为区分权利与利益的基础是客体是否明确,只有客体明确、特定,权利才能有边界,才能制约他人的行为。还有学者指出个人信息作为客体,其内涵和外延并不清晰,无法将其规定为具体的权利,所以对个人信息的保护,应采用行为规制模式。行为规制模式有什么优点呢?就个人信息主体而言,通过规制他人的行为,使其利益得到保障。对行为人来说,行为规制模式能够为其提供比较明确的指引,减少侵害行为的发生。并且随着经济的发展行为规制模式有利于个人信息的利用,有利于数字产业的发展。
结合我国的立法和司法现状,我认为权利模式更适合个人信息保护。理由如下:首先,从信息技术发展的角度讲,数据产业的发展固然重要,但是并不能成为个人信息遭受侵害的理由,我们追求的是要在数据产业发展的同时,保护好公民的个人信息,并且权利模式下,个人信息受到保护,数据产业发展的环境变好,进一步刺激了经济的发展。其次,权利模式能够为个人信息提供确定的权利基础,目前,无论是《民法典》还是《个人信息保护法》,都未将个人信息作为一种权利加以规范,而在权利模式下,个人信息权是一种确定的权利,依靠这种明确的权利,信息主体能够明确的支配自己的个人信息,不受他人的侵害。最后,权利的位阶要高于利益,规定个人信息权有利于防范各类新型侵权。并且权利模式也比较符合当今世界的发展趋势,比较法上,许多国家都可以为我们提供经验。所以我认为权利模式更适合保护个人信息。
2. 我国个人信息民法保护中存在的问题
现如今《民法典》人格权编第六章已经对个人信息做出了一些规定,其中第1034条对个人信息的概念进行了界定,明确了个人信息“识别性”的基本属性,并规定了和隐私权的适用关系 [5] 。第1035条规定了处理个人信息,应当遵循的合法、正当、必要原则。第1036条列举了多种不承担民事责任的情形,为信息处理者提供行为准则。第1037条列举了查阅、复制、删除等信息主体的权利。第1038条规定了信息处理者的责任,并对其进行了规范。第1039条规定了国家机关及其公职人员在履行职责过程中应该履行的义务。由此观之,《民法典》有关条款对个人信息已经进行了较为完善的规定,虽然2021年11月《个人信息保护法》出台,但是在现有的法律体系下,仍然存在一些问题,并且两部法律应该如何去协调,如何处理好二者的关系,这些不足都急需我们去解决。
2.1. 个人信息分类术语不统一
比较《民法典》与《个人信息保护法》中涉及个人信息的条款,我们发现二者在用语上存在差别,《民法典》第1035条规定:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”因此,《民法典》将个人信息划分为一般个人信息和私密信息。并且,《民法典》也没有关于私密信息的规定,其内涵并不清晰。而《个人信息保护法》将个人信息分为敏感个人信息与一般个人信息两大类。于是,在适用时,要明确敏感个人信息与私密信息的关系。
《个人信息保护法》对敏感个人信息采取归纳和列举的方式。第28条是这样规定的:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。并且还列举了其他敏感个人信息。但是,《民法典》对有关私密信息却没有具体的法律规定。在民法学界,有些学者认为二者关系是交叉重合的,因此,当个人信息受到侵害时,可能会出现《民法典》与《个人信息保护法》的有关条款同时适用的问题。所以,我们要对二者的关系加以探讨。
2.2. 归责原则适用不合理
由于信息技术的发展,大量的个人信息被自动地处理、收集,使得信息主体难以证明信息处理者存在过错,因此不能将其视为普通的侵权行为。对此,《个人信息保护法》第69条做出了规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”实际上适用的是过错推定原则 [6] 。《个人信息保护法》对于过错推定原则的规定,也存在问题。例如,2016年庞理鹏起诉中国东方航空公司,在本案中,原告委托鲁某在北京趣拿科技有限公司的页面预订了一张机票,趣拿订单页面上显示的是庞某某的信息,而其联系方式、支付信息均为鲁某。2014年10月31日庞某手机收到来历不明的短信,他被告知航班已经取消,庞某认为趣拿公司和东航公司泄露了他的隐私信息。审理中,法院要求被告证明其没有侵害原告的个人信息,这确实保障了原告的利益,维护了消费者的合法权益。但是,在这个案件中涉及到代理人、航空公司、购票平台等多方主体,个人信息泄露在任何环节都可能发生,任何一方主体要证明自身没有泄露信息都是十分困难的,这实际上也是不利于企业的发展,甚至可能侵害企业的合法权益。因此,对于归责原则的分配我们还要根据实际去分析。
在信息时代,随着数字产业化的发展,个人信息处理活动无处不在,几乎信息处理者的生产、销售与信息主体的生活息息相关,个人信息受到侵害与之关系密切。因此,过错推定原则的严格适用,其所涵盖的范围有可能无限大,不利于责任的认定。其次,由于个人信息处理活动,有时并不是一个平台的事情。会牵涉不同的平台、不同的信息处理者、不同的业务流程,平台即使可以证明自己是合规的,但也无法证明自己没有过错,就如同个人很难证明自己无罪一样。面对各种争议,平台最终可能为了减少麻烦,选择花钱或者采取其他极端的手段,这会导致更多矛盾的产生,制约平台经济的发展。
2.3. 侵权责任的承担方式适用不合理
《民法典》中并没有有关个人信息的侵权责任的规定,仅限于一般规定。这些条款太过笼统,必须与其他法律相结合来适用。研究个人信息网络侵权责任对有效规制个人信息侵权行为,保护个人信息安全具有重要意义。
随着数字经济的发展,个人信息在一定程度上也具有了经济价值,但是许多人以非法手段获取他人的个人信息,以此发展成一条黑色的产业链,而且个人信息一旦经过损害,就很难恢复原状,因此恢复原状、返还财产就不能适用。另外,排除妨碍、消除危险是使个人信息处于完整的状态,但个人信息比较特殊。因此,个人信息侵权责任的承担方式主要包括停止侵害、赔礼道歉、消除影响、恢复名誉以及赔偿损失。这些承担方式的适用也应该根据具体情况来看。由于个人信息的特殊性和复杂性,如何划分侵权责任的承担方式就尤为重要。就损害赔偿而言,举一个例子,通常情况下,倒卖一个手机号码的价格一般很低,被侵权人会为了几元钱作为损害赔偿的请求标的吗,法官会不会觉得几块钱的诉求,会浪费司法资源,而且有多少人会愿意经历麻烦的程序,只为了得到几块钱钱的赔偿呢?对于这些争论我们可以看出,关于个人信息侵权责任的承担方式难以划分,如何对个人信息进行救济成为一个问题。
2.4. 损害赔偿标准不合理
一般在侵害个人信息的案件中我们可以发现这种情况,就是个人信息的损害后果并不明显,由于经过传播,个体的损失虽然小,但是群体受到损失就很大。《民法典》第1182条规定侵害他人人身权益的赔偿数额要根据被侵权人遭受的损失或者侵权人获得的利益确定,但是有时个人信息的损害难以确认,比如在人脸识别第一案中,非法收集的面部信息并没有给受害人造成实际损失,也没有给侵权人带来什么收益,侵权人是否应当对此承担赔偿责任?
我国现有的立法并未将个人信息规定为人格权,但是,受害人可以通过人格权请求权维护自己的合法权益。在现实生活中,如果通过非自动化的信息技术获取他人个人信息,侵害了他人的利益,此时,受害人比较容易去证明自己的损失。但是,在许多情形下,例如人脸识别案中,侵害人虽然获取了他人的面部信息,但是并没有因此获益,受害人也没有受到实际的损失。这时受害人不能够提出相关的证据加以证明,此时,受害人的损失就无法衡量,损害赔偿的标准就难以确立。
另外,如果侵犯到他人的具体人格权时,可以要求精神损害赔偿。但是,如果没有侵犯到具体的人格权,但是因为侵权行为给受害人的生活造成了困扰,导致受害人有很大的精神压力,此时受害人是否可以要求精神损害赔偿?在“凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”中,原告就要求赔偿20,000元的精神损害抚慰金 [7] 。法院认为,虽然被告的行为给原告的生活造成了困扰,但是没有证据能证明其精神受到了严重的损害,因此不支持这一请求。这些都值得我们去研究。
3. 完善我国个人信息民法保护的建议
前面已经分析了个人信息民法保护中存在的不足,现针对以上问题,提出如下完善建议。
3.1. 统一个人信息分类术语
为了解决《民法典》中的私密信息和《个人信息保护法》中有关敏感个人信息在适用上存在问题,有必要协调好二者的关系,将二者进行区分。关于敏感个人信息与私密信息,学界有这样几种说法:一是“等同说”,即认为二者的实质相同,但是表达方式不同。因为二者涉及个人信息,并且是个人信息中比较特殊的一部分,都是指信息主体主观上不愿意被人所知晓的个人信息,实际相同表达不同。还有“交叉学说”,认为二者是交叉关系,例如医疗健康信息既是敏感信息又是私密信息,而个人的嗜好属于私密信息,而不是敏感个人信息,还有一种信息,例如宗教信仰,就属于敏感信息而不是私密信息。还有“独立区分说”,即二者是相互分离,相互独立的,不存在重合。这里,本人比较赞同“交叉说”,因为行动轨迹、医疗健康等信息同时符合敏感个人信息和私密信息的要件。那么关于私密信息该如何界定,一些学者认为这与社会公众的一般认知和价值判断有关。还有学者认为“私密信息”应具有“私密性”与“识别性”。所谓“私密性”,即该信息是信息主体“不愿为人所知晓”的信息。“识别性”为个人信息的本质属性,包括已识别和可识别至特定的自然人。总之,可以看出,敏感个人信息与私密信息是交叉关系。
结合学者的观点,我认为为了区分二者关系,要进一步统一术语,例如敏感个人信息应该划分为敏感的私密信息和敏感的非私密信息。比如如果将人脸识别信息确定为敏感的非私密信息,可仅适用敏感个人信息规则。敏感的私密信息,因为其既属于隐私权的保护对象,也属于敏感的个人信息保护的对象 [8] 。因而,可以进一步对敏感个人信息进行分类。在判断敏感个人信息时,首先应该依据法定标准,即通过人格尊严标准,人身、财产安全标准,未成年人标准区分敏感个人信息,并且兼顾“场景理论”,应该考虑到行为人的身份、目的还有场景及其影响的后果进行综合分析。
3.2. 合理适用归责原则
有学者提出,今后我国可以依据公务机关和非公务机关利用自动化系统处理为标准分别适用无过错原则和过错推定原则,至于那些没有采取自动化系统的信息处理者,适用一般的过错责任,这被称为三元归责体系。对比国外,有许多国家和地区规定个人信息的侵权责任为过错推定责任或无过错责任。例如,德国《联邦数据保护法》就是以自动化数据处理与非自动化数据处理为区分,分别规定了无过错责任与过错推定 [9] 。
结合现实情况,我认为,在是否以自动化处理技术为标准的原则上,可以采取过错推定原则和一般过错原则结合的方式。在现实生活中,我们不得不承认信息主体确实处在劣势地位,让信息主体去证明信息处理者存在过错确实有难度,由于自动化技术的普及,使得个人信息侵权归责变得困难,信息处理的过程中由于各种因素,导致各方在证据和证明能力上都可能存在困难。所以,在采用自动化处理方式实施的侵权行为时,可以采取过错推定责任,可以很好地减轻受害人的举证责任,维护当事人的合法权益。在采用非自动化处理方式实施的个人信息侵权行为时,由于没有大数据技术的影响,受害人有能力进行举证,因此就可以采用过错责任原则,这在一定程度上也维护了信息处理者的利益,有利于数字产业的发展。
3.3. 合理适用侵权责任的承担方式
侵害个人信息行为侵权责任的主要承担方式是停止侵害、赔礼道歉和消除影响、恢复名誉。由于信息技术的发展,个人信息传播速度快,并且传播面广,在侵权责任的承担方式适用时,要避免对信息主体进行二次伤害,因此就需要具体情况具体分析。
3.3.1. 停止侵害
在维护个人信息权益的时候,我们首先想到的就是要让侵权人停止侵害,防止损害进一步扩大。但是个人信息侵权行为的特征是一旦发生侵权,其后果就会立即产生,而个人信息不可恢复。所以,在实际的司法活动中,往往停止侵害会与赔偿损失、赔礼道歉等民事责任承担方式一起适用。为了确保个人信息得到维护,个人信息主体或其监护人、利害关系人都可以向加害人或者法院请求停止侵害,这样就可以及时的防止损害进一步扩大。
3.3.2. 赔礼道歉
赔礼道歉一般在公开场合以书面形式进行,例如通过媒体或者报纸公开发表道歉声明等。然而,有时候选择公开的方式并不合适,要考虑个人信息的特殊性,视情况而定,当侵权人侵害的不是敏感信息时,可以采用公开的方式进行。但是当侵权人侵犯的是敏感信息时,权利人就可以要求侵权人采用非公开方式进行赔礼道歉,因为如果以公开方式进行赔礼道歉,那么信息主体的敏感信息会容易进一步传播和泄露,从而对个人信息主体的利益造成更大的损害 [10] 。
3.3.3. 消除影响、恢复名誉
当信息主体认为其个人生活已经受到影响,并且名誉受损时,信息主体可以要求责任人采取消除影响、恢复名誉的方式承担民事责任。但是,在适用这种方式时要尊重信息主体的意愿。因为信息技术发展很快,个人信息在这种条件下有可能被迅速的传播和扩散,因此个人信息很可能不能恢复圆满的状态,如果消除影响、恢复名誉的方式适用不当,依旧不能保护个人信息。所以,消除影响、恢复名誉的方式要避免对信息主体个人信息的二次伤害。
3.4. 完善损害赔偿标准
由于个人信息的特殊性,在现实生活中,往往会出现这样一种情况,就是侵害个人信息所造成的数额较小,为此,有学者提出当损害结果很小时,可以建立最低的赔偿标准。在这一问题上,我们可以参照《消费者权益保护法《食品安全法》对微额损害最低赔偿标准的规定,例如在消费者权益保护方面就规定,如果产品不符合描述,具有欺诈的性质时,此时适用3倍的惩罚性赔偿条款,但如果仍然不足500元,权利人可以请求赔偿50元人民币。对此个人信息也可以确立微额损害的最低赔偿标准。由于《个人信息保护法》,将个人信息分为敏感个人信息和一般个人信息,可以按照信息的敏感程度和损害后果进行分类,侵害一般个人信息的最低赔偿标准比侵害敏感个人信息的最低赔偿标准低一些,这样一方面可以打击侵害个人信息的不法行为,又有利于激发信息主体保护个人信息的积极性 [11] 。
有时候侵害个人信息往往会对受害人造成很大的精神伤害,例如有些个人信息泄露,被不法分子利用,他们冒用信息主体的名义从事不法的事,就会损害当事人的名誉,给受害者造成很大的精神压力,甚至影响到他的生活。所以,仅对其造成的财产损失进行补偿,并不能完全弥补信息主体受到的伤害,可以根据《民法典》第1183条规定请求侵权人承担精神损害赔偿责任,保护个人信息权利人的合法权益。在互联网比较发达的时代下,由于个人信息侵权案件往往涉及大量的受害人,很难确定所有的受害人的精神损失。因此,为了保证公平和效率,可以设定一个固定的精神损害赔偿标准。台湾的相关立法为此提供了可借鉴的经验,台湾对损害赔偿的总额进行了限制。但是当个人信息主体能够证明自己受到的损害超过这一限额时,应该按实际损害数额赔偿,一方面能够使个人信息主体的精神损害得到适当赔偿,另一方面在一定程度上也能保护数字产业的发展。
5. 结语
个人信息保护成为当今社会不可回避的问题,首先我们要明确个人信息的权利属性。其次在处理《个人信息保护法》与《民法典》的关系上,应该优先适用《个人信息保护法》,因为《民法典》作为一项保护民事权利的法律,恐怕难以涵盖所有的权利,而《个人信息保护法》则规范了个人信息的基本内容,相当于一部特别法,因此,应该优先适用《个人信息保护法》,但是在保护个人信息方面,我们也可以适用《民法典》中关于人格权请求权、精神损害赔偿的规定,由此可见,应该以《个人信息保护法》为主,《民法典》为辅来维护人们的个人信息权益 [12] 。在个人信息保护方面,我们也可以借鉴其他国家的经验,采纳有关学者的意见和建议,完善我国的个人信息保护制度。未来,产业数据化将是不可阻挡的发展趋势,我国个人信息保护面临更多的挑战,我们不能为了保护个人信息而对其进行过度的限制,要在保护好个人信息的前提下,进行合理的利用,平衡好利用与保护的关系,促进产业的发展。在适用《民法典》的同时,要不断完善《个人信息保护法》,使我国的个人信息保护有更完善的法律基础,减少个人信息受到侵害的情况,不断建立起完善的个人信息法律保护体系,维护好人民的合法权益。