摘 要: 信息技术的发展和商业利用的需求使得个人形象被电子化、数据化,个人信息保护也被各国提上立法日程。国际上已采取立法保护个人信息的国家包括美国、德国和中国等。美国继承于其宪法精神和立法传统,对个人信息保护采取分散立法;德国起初错误地选择了隐私权作为立法基础,而后又修改为一般人格权;中国个人信息保护立法起步较晚,但不可否认《刑法》《民法总则》对个人信息保护的规定是中国个人信息保护立法的重大进展。
关键词: 个人信息; 法律性质; 保护基础; 保护模式;
一、引言
个人信息不是一个新颖的概念,自古以来个人信息就存在于各种官方或者民间的记录中。个人信息记录着每个个体的特征。这些特征标识着每个人是个体在社会关系中可以被识别、被区别和互相联系的依据。当信息主体之外的第三人不当使用个人信息时,则会造成他人权益的损害,引起人身和财产的安全风险,严重的将危害人格尊严和自由。这类风险初现端倪于计算科学时代,但由于信息流动的需求和收益不高,该风险尚未现实化。如今数据探索时代已经来临,信息处理者出于对利益的追求,使得个人信息挖掘、处理的行为都呈现爆发式增长,在这巨大的增量背后隐藏的是巨大的损害。个人信息从被挖掘出的那一天起乃至后续的收集、使用、存储和转移等个人信息处理全过程都充斥着毫无规则可言的野蛮,每一个人在数据时代都将形成一幅电子画像,而后遭受信息处理者对该画像的滥用并承受由此带来的损害。科技的发展使风险变成现实,个人信息保护已经成为热门词汇占领公众话题的中心,个人信息保护势在必行。然而,目前学界存在的问题是个人信息保护领域的基础理论和概念研究尚不够深入,因此本文将对信息保护的基础问题和国际立法现状进行讨论并总结。
二、个人信息概念的发展及法律性质概述
(一)个人信息法律概念的历史沿革
1968年被称为“资料革命”年,这年联合国“国际人权会议”中提出“资料保护”,个人信息的概念也由此开始崭露头角。最早的个人信息保护立法出现在德国,德国黑森州于1970年通过了当地的《德国黑森州个人资料保护法》,后续有大量的欧洲国家跟进立法。1974年到1992年期间,美国、澳大利亚、以色列和比利时等国家,采用“个人隐私”来称谓个人信息并立法。1978年到1988年期间,法国、挪威、芬兰等国家立法主要使用“个人资料”的概念。然而,在2000年开始随着社会文明的进步和立法技术的发展,“个人信息”的概念逐渐成为主流,因为这样突出体现了对个人权利的关注。
对于如何定义个人信息,在学界主要有三种观点:关联说、隐私说和识别说。其中关联说认为与个人相关联的信息皆属于个人信息,隐私说认为只有与隐私相关的信息才属于个人信息。但是目前国内外主流观点认为识别说更为合理,因为关联说会造成个人信息泛化,而隐私说不仅不当地限缩了个人信息的范围还混淆了隐私和信息之间的关系。本文采用识别说的观点。具体而言,个人信息是指能够直接或者间接识别特定个人的信息。其中识别是指利用该信息指向特定的信息主体,使得信息和信息主体呈现一一对应的关系。识别的方式包括直接或者间接,其中间接识别是指现有信息虽然不能识别特定主体,但是与其他信息结合可以识别特定主体。
(二)个人信息的法律性质
对个人信息的法律性质做出正确定性是开展相关法律问题研究的基础。但是由于个人信息所包含价值的特殊性以及数据、信息和载体间关系的复杂性,学界对个人信息的法律性质仍是众说纷坛。其中最为典型的是两大类(财产权和人格权)共五种学说,他们分别认为个人信息应当属于信息处理者财产权客体、信息主体财产权客体说、隐私权客体、具体人格权客体和一般人权客体。
信息处理者财产权客体说认为,个人信息是财产权的客体,而权利主体是个人信息资料库的所有人。其理论基础是,一般情况下单个主体的个人信息价值不大,只有当个人信息的数量足以组成一个资料库时,才会具有经济价值,也就是量变引起质变。另外,个人信息并非是自然产生的,它需要有其他社会主体的参与;而生活中个人信息的产生大多都离不开信息处理者的参与,信息处理者为此付出了劳动,投入了资金。根据洛克的劳动产权理论“劳动使共有的物质、资源正当地转变为个体占有物”,从而得出信息处理者角度的财产权客体说。
信息主体财产权客体说,其同样认为个人信息是财产权的客体,但是个人信息上的利益应当归属于信息主体个人,其目的旨在保护信息主体对个人信息的控制。该学说的理论研究间隔较长,最早在1967年学者Wesstin就提出应当将个人信息作为财产权对待,只是这一学说直到30年后随着信息社会的到来才重新进入到人们的视野。美国学者Lessig提出了数据财产化理论,认为应该授予数据主体(个人)数据所有权。中国学者刘德良认为,确立个人信息财产权能够形成一种兼具排他和救济的控制性权利,是对个人信息保护最好的制度安排。中国学者陆小华提出信息财产权的概念,即信息财产权是一种以独立存在、具有一定财产价值、可交换的信息为客体的新型财产权。
隐私权客体说以信息主体为出发点,该学说认为隐私利益包含着个人信息的利益,权利主体就是作为信息主体自然人。该学说滥觞于“大隐私权”的美国。美国的隐私权不同于大陆法系的隐私权而更像是大陆法系中的“隐私权和一般人格权的结合”。Alderman和Kennedy早在1995年就指出“也许给隐私带来最大威胁的,便是被称之为‘信息隐私’的领域”。由于美国对世界和其他国家深远的影响,相当多的国家也采取隐私权客体说进行立法,如以色列、加拿大、澳大利亚、日本等。
具体人格权说和一般人格权说,二者都认为个人信息上承载的是人格利益,应当采用人格权的保护模式,但二者对于是否需要重新构建一项具体人格权尚有争议。二者都认同个人信息关系到人格自由和人格尊严,个人信息在不真实甚至被歪曲的情况下人格尊严将受到损害,当信息主体对自己的个人信息失去控制后,人格的圆满性将受到破坏。目前,德国采用一般人格权模式,德国以《德国基本法》为依据通过德国联邦法院与德国宪法法院建立了一般人格权理论。而中国学者齐爱民、李仪认为,考虑到中国的立法传统,个人信息权应确定为一种独立的具体人格权。学者王利明也认为,个人信息权具有其特定的内涵,可以单独将其作为一种具体人格权而进行规定。
以上学说各有其正当性,因此个人信息保护的立法选择最后仍是一个价值衡量问题,不同的立法传统和价值取向将导致不同的立法模式。接下来本文将延续此章内容以探究各国个人信息保护的立法模式和权利基础的选择问题。
三、个人信息保护的比较法研究
各国学界之间及其内部对个人信息的法律性质存在着不同的认识,而这些不同的认识使得个人信息保护的权利基础也产生了相应的分歧。目前个人信息保护权利基础的选择上具有典型意义的分别是美国、德国以及中国。
(一)美国个人信息保护的权利基础和保护模式
1. 个人信息保护的权利基础。
在个人信息保护的权利基础上美国选择了隐私权理论,这不仅体现在美国的侵权行为法,更体现在美国的宪法上。1973年Roe v.Wade案的判决奠定个人隐私的合宪性基础,1977年Whalen v.Roe案使得隐私权发展到信息隐私权。美国选择隐私权理论是自然而然的法律上的继承,先是1890年Waeern和Brandeis发表论文引出隐私权概念,而后1960年Prosser通过划分侵害隐私权的各种领域而演变为司法实践的标准,最后Decew指出隐私权的基础是自主与自由,美国“大隐私权”自此产生。在“大隐私权”下隐私权和人格不可侵犯是同质的事情,隐私权保障的就是个人的人格不受侵犯。在美国,体现人格尊严和人格自由的个人信息就理所当然地选择隐私权理论作为基础。
2. 个人信息保护的保护模式。
美国对于个人信息保护的立法主要是采取两种模式,一种是采取立法对公权力予以规制的公法模式,另一种是采取行业规则对行业内的主体进行约束和规范的行业自律模式。对美国两种保护模式综合观察会发现存在以下特点:第一,公法规制模式采用分散立法的形式,仅对联邦政府处理个人信息具有法律效力,并不涉及各州的官方机构,对非官方机构亦无效;第二,行业自律模式由政府引导行业自律,是一种自下而上的规范方式,仅对参与行业自律的民间机构或组织产生效力且不具有包括参与和执行在内的强制性;第三,无论是公法规制模式还是行业自律模式都存在实效性欠佳的缺陷。公法模式由于采用分散立法,导致欠缺整体性规划、司法不协调。行业自律模式由于强制性措施的缺位,致使民间机构没有足够的动因对个人信息进行保护。
(二)德国个人信息保护的权利基础和保护模式
1. 个人信息保护的权利基础。
德国在选择个人信息保护基础时经历了一个较为曲折的过程。在美国《1974美国隐私法》颁布后,1977年的德国深受其隐私权理论的影响,开始从隐私权理论着手个人信息的保护立法并最终形成了1977年的《德国联邦个人资料保护法》。然而从法律观念和法律制度上看,美国个人信息保护以隐私权为基础的原因是美国为“大隐私权”国家,其隐私权的实质等同于德国的一般人格权。当德国学者深刻理解到这一点后,重新选择立法基础为一般人格权,并于1990年重新修订、通过了《德国联邦个人资料保护法》,这部法规立足于人格权内容的多样性和广泛性,第一条就开宗明义地规定了保护个人免于因资料传输所遭受的人格侵害。
2. 个人信息保护的保护模式。
德国对个人信息保护立法采取统一立法模式,其立法体例包括总则和分则。德国个人信息保护具有以下特点:首先,统一立法模式是自上而下的立法,这种方式使得德国在个人信息保护上相较于美国更加规范和协调。其次,在立法约束的对象上,不仅德国联邦政府需要遵守《德国联邦个人资料保护法》的规定,德国各州政府和民间组织也需要遵守其规定。再次,除采取统一立法模式外,德国还设置了完整且系统的监督机制。对内设置资料保护委员监督公权力机构对个人信息的处理行为,对外设置资料保护人监督民间组织的个人信息处理行为,资料保护委员和资料保护人的选取和履职都具有明确、可行的规定。最后,德国的立法模式是典型的大陆法系国家的权利保护进路,这种保护模式稳重且有效。
(三)中国个人信息保护的权利基础和保护模式
1. 个人信息保护的权利基础。
中国个人信息保护意识觉醒较晚,最早关于个人信息保护的规范性规定当属中国台湾地区1995年实施的“电脑处理个人资料保护法”,中国台湾地区学界也存在隐私权基础和人格权基础之争,但该规范性规定最终采纳一般人格权进路,以保护一般人格权为基础。目前国内主流观点是采取具体人格权为个人信息保护的基础。王利明教授认为德国和美国都没有较好地解决个人信息权和隐私权的区分,实际上个人信息权和隐私权在权利属性、权利客体、权利内容和保护方式上均存在差异,个人信息权应作为具体人格权保护。张新宝教授认为,个人信息权(权益)被设置在《民法总则》第一百一十一条即是对个人信息人格利益的承认。
2. 个人信息保护的保护模式。
中国的立法传统和权利保护已形成路径依赖,依赖于自上而下的统一立法模式。在统一立法模式的基础上又兵分三种进路:民法学者的民法进路、行政法和知识产权学者的独立的个人信息保护法进路以及刑法学者的刑法进路。目前民法和刑法进路已初现成效。民法进路上,2018年颁布并实施的《民法总则》第一百一十一条明确规定“自然人的个人信息受法律保护”。并且还详细规定了“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。刑法进路上,2015年《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”融合整理为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围。得益于中国特色社会主义法律体系的形成,《民法总则》《网络安全法》和《刑法》在中国特色社会主义法律体系框架内相互呼应,共同为个人信息保驾护航。另外,中国的《个人信息保护法(草案)》也正在逐步完善,当其正式颁布实施时,中国的个人信息保护将正式形成一个完整的保护体系,以充分应对时代的进步和发展。
四、结语
20世纪60年代以后计算机技术进一步应用和普及,特别是广泛应用于个人资料的收集,于是各国开展了声势浩大的个人信息保护活动。各国对个人信息需要保护已经达成共识,但由于各国的法律观念和法律制度上存在差异,导致个人信息保护的规范框架尚未达成全球共识。
总的来说,真正解决个人信息保护问题既需要理论知识的沉淀和学科的融合,又需要依靠技术规范的发展。第一,学界应当认识到,个人信息保护是一项学科交叉的复杂议题,其不仅涉及法学内容还涉及计算机科学、符号学和伦理学的内容。尽管各国个人信息保护的权利理论基础不同,但均已开始对个人信息保护的立法进程。第二,立法加强个人信息保护不仅有益于信息主体的个体利益,更有益于社会公共利益和国家安全利益。举个典型的例子,中国要求美国苹果公司必须将其云服务服务器设置在中国境内,目的就是保护国家安全。这里的国家安全实际指的是信息安全,至此足以可见信息保护的重要性。第三,后续决定采取立法保护个人信息的国家,无论是选择以隐私权为基础的分散立法的美国模式,还是以一般人格权为基础的统一立法的德国模式,抑或是以具体人格权为基础的统一立法的中国模式,其都需要结合本土的法律观念和法律制度加以立法,只有这样才能正确地选择适合其本土的立法模式,切实地维护信息安全。
参考文献
[1]张才琴,齐爱民,李仪.大数据时代个人信息开发利用法律制度研究[M].北京:法律出版社,2015:6.
[2]齐爱民.大数据时代个人信息保护法国际比较研究[M].北京:法律出版社,2015:135-136.
[3] 洛克.政府论下篇[M].瞿菊农,叶启芳(译).北京:商务印书馆,1996:18
[4]Alan F.Westin.Privacy and Freedom[M].NewYork:A-theneum,1970:135-19.
[5]劳伦斯·莱斯格.代码---塑造网络空间的法律[M].李旭(译).北京:中信出版社,2004:197.
[6]刘德良.论个人信息的财产权保护[M].北京:人民法院出版社,2008:87-104.
[7]陆小华.信息财产权:民法视角中的新财富保护模式[M].北京:法律出版社,2009:81-94.
[8]Ellen Alderman and Caroline Kennedy.The Right to Privacy[M].New York:Alfred A.Knopf,Inc,1995:9.
[9]齐爱民,李仪.论利益平衡视野下的个人信息权制度:在人格利益与信息自由之间[J].法学评论,2011(03):37-44.
[10]王利明.论个人信息权的法律保护:以个人信息权与隐私权的界分为中心[J].现代法学,2013(04):62-72.
[11]张新宝.《民法总则》个人信息保护条文研究[J].中外法学,2019(01):54-75.
