字号:小
中
大
摘要:在个人信息保妒中,“个人—个人信息处理者”形成了法定的两造主体关系。“欧洲标准”的数据隐私立法正在成为世界其他国家数据隐私法的标准,欧盟立法呈现出“信息自决”的法观念历史脉络,其应有之意是个体能够决定对自身信息的使用,即产生一种”控制”。与GDPR规定的主体不同,中国法仅创设和保留了“个人信息处理者”这一主体,其在实质意义上吸收了信息控制者这一主体概念。对于个人信息处理者侵害个人信息权益应承担的民事责任,《个人信息保护法》(草案二审稿)》规定了过错推定责任,但仍有完善空间,诸如是否根据不同主体、不同行为与不同信息类型而区分无过错责任与过错推定责任。个人在个人信息处理活动中享有以知情权为核心的一系列权利,个人信息处理者对包括知情权在内的个人权利的侵害,亦应承担相应的民事责任,法律应予明确。
关键词:个人信息保护;个人信息处理者;信息自决;知情同意;民事责任
现代科技对人们的行为方式产生较大影响,有如波兰尼(Karl Polanyi)、格兰诺维特(Mark Granovetter)的“嵌入”理论,科技正在以绝对强势地位嵌入、颠覆乃至重塑人类的行为模式。在经济迭代与规模化的平台经济出现以后,即便是“原子化”的个体也别无选择,只能主动或(更多是)被动地卷入其中。尽管个体从事的活动各异,但却都存在自身信息被收集、利用与存储等事实,如何保护此种处于“静态”或“动态”的个人信息以及如何规制信息相关主体的行为,成为信息时代面临的一个重要议题。根据谷歌书籍词频统计器(Google Book Ngram Viewer)显示,“个人识别信息”(personally identifiable information)自1992年开始就成为一个越来越流行的术语。围绕个人信息是否具有“可识别性”,将个人信息与人、人格、财产等基本命题在事实上与逻辑上紧密联系起来,并在相当程度上推动了世界范围内个人信息保护的立法热潮。
中国近年来在制定或修订相关法律之时都十分重视个人信息保护问题。2020年5月通过的《中华人民共和国民法典》在人格权编中专门规定了个人信息保护,首开世界范围内民法(典)或私法中特别规定个人信息保护之先河,此举在世界私法史上亦可圈可点。酝酿了若干年之后,2020年10月《个人信息保护法(草案)》的推出,更将中国的个人信息保护推至高潮。中国的个人信息保护立法相较于世界其他国家和地区,所处时代背景与发展阶段皆不相同,因此所面临的难题与所要解决的问题也不尽相同。尤其在“个人—个人信息处理者”之两造关系中,以“可识别性”为个人信息的核心构成,更使得相对方主体的一系列义务与保护的“开关”始终处于“打开”状态。鉴此,观察个人信息处理者的法律责任十分重要,此种法律责任,或可构造为一定体系,或可在不同“横截面”构造为一定“子体系”,并在相当程度上成为完善个人信息权利体系之重要的“反作用力”,殊值重视。
一、个人信息处理者的界定
由个人信息的产生、传递与流动的本质特征所决定,与个体发生联系的若干主体可抽象概括为“信息控制者”与“信息处理者”。世界范围内,隐私与个人信息立法以美国和欧盟为基础标杆,其他国家和地区分别在不同的法域之内紧跟或对标相应立法。美国和欧盟二者之间事实上也形成一种个人信息保护立法的竞争局面。而正如格林里夫教授(Graham Greenleaf)所指出的,美国隐私法在世界上的影响力远不如欧洲数据隐私法的影响力,可以合理地描述为“欧洲标准”的数据隐私法正在逐渐成为世界其他国家相关立法的标准。中国作为深受大陆法系法律理论影响的国家,在个人信息保护立法的观念与制度上也一定程度上受到欧盟立法的影响。然而吊诡的是,中国法恰恰在个人信息基本主体概念上与欧盟颇为不同,《民法典》历次草案与正式文本以及《个人信息保护法(草案)》中的个人信息相关主体的表述均不相同。对这一基础主体概念的不断修改,反映出立法者对个人信息处理活动的认识不断加深并逐渐体现出立法的着重面向。然而,对于基本主体概念的规定,并非单一的法技术问题,而关涉立法者对于社会事实的认识、对法观念的总结提炼以及能否实现立法的前瞻性等诸多问题,不能简单视之。既如此,认识与界定个人信息处理者,是个人信息保护立法与解释的基础工作之一。
(一)信息控制者vs.信息处理者
对于事物概念的确定,既是一个认识事物本质的过程,同时也是一个思维形成的过程。黑格尔在说明概念与事物之间的关系时认为,“当我们要谈论事物时,我们就称它们的本性或本质为它们的概念,而概念只是为思维才有的”,“我们的思维必须依照概念而限制自己,而概念却不应依我们的任意或自由而调整”。在立法概念选择的时候,立法者依然面对如何认识事物和如何选择概念的双重难题。
中国的个人信息保护立法,也同样面临上述认识与选择的方法论难题。中国在制定《民法典》和《个人信息保护法(草案)》的个人信息保护规则之时,在法技术层面不同程度地借鉴欧美国家的经验。然而,正如施瓦茨(Paul M. Schwartz)和索罗夫(Daniel J. Solove)所言,“美国和欧盟在隐私法方面分歧很大。在基本层面,二者的基本理念哲学不同:在美国,隐私法的重点是救济对消费者的损害以及平衡隐私与高效的商业交易之间的关系;在欧盟,隐私权被认为是一项基本权利,可以凌驾于其他利益之上。甚至在确定信息立法调整范围的边界等问题上,美国和欧盟的做法也完全不同。个人信息的存在——通常被称为‘个人识别信息’——触发了隐私法的适用。”美国关于隐私权理论探索较早,对世界产生较大影响,如何界定个人信息,在美国法上经历过较为激烈的讨论。主要通过三种方式界定个人信息,包括:同义反复(tautological)、非公开(nonpublic)以及具体类型(specific-types)。后来经不断发展,美国法上系将隐私权与个人信息保护等统一归至隐私法这一笼统概念之中,与欧洲的人格权理论与个人信息保护理论的“二分法”截然不同。相较美国法,欧盟立法相对更为清晰,这也就是为何欧盟的个人数据保护法更易于“输出”并成为较为通行的“世界标准”的重要原因之一。
从中国目前对于《民法典》个人信息保护的解释论和《个人信息保护法(草案)》的立法论角度来看,中国个人信息保护立法一定程度上参考借鉴了欧盟相关立法,包括一些基本规则和权利义务体系等方面。然而,如本文所讨论的,实证法恰恰并未将个人信息保护中涉及的关键主体——信息控制者——这一概念纳入。事实上,信息控制者并非一个简单的概念选择问题,也并非一个比较法意义上的形式上的“规则借鉴”问题,而是涉及对于个人信息保护活动通盘理解的问题。
“控制者”这一概念,主要应依循欧盟立法的脉络来理解。“控制者”(controller)最早见诸于《欧盟95/46/EC指令》(1995年10月),后在欧盟2012年拟议的《一般数据保护条例》(General Data Protection Regulation, GDPR)以及2016年通过的《一般数据保护条例》(GDPR)中延续使用。施瓦茨和索罗夫曾指出:“事实上,从欧盟95年指令开始,欧盟立法就已经为数据主体提供了对于他们自身数据使用的一种控制权。”而此处所谓的“控制权”,又与大陆法系典型国家的“信息自决”理论紧密相联。德国《基本法》第2条第1款确定了人格自由发展的权利。而个人信息对于人格构建和发展具有决定性的意义,“信息自决”(informationelle Selbstbestimmung)则是实现对个人自由发展的重要方式。此种信息自决观念将个人信息与人格权有效联系起来,并进而影响了个人信息保护的法律建构。
“信息自决”应有之意是个体能够决定自身信息的使用,即产生一种“控制”。殊值辨识的是,以“信息自决”为出发点的对个人信息的“控制”并不等于对个人信息的“控制权”,由于权利本身包含一种实践面向,而个人事实上无法享有对个人信息的绝对性、排他性的(全程)控制权,因此前述施瓦茨和索罗夫的观点也有不周延之处。当然,他们对于欧盟个人信息保护法的特征总体上有较好的把握与判断,这也就在相当程度上解释了,由于个人信息的产生、传递与流动等特征,当信息流动到与个体相对的主体,并由该主体进行“控制”之时,由于个体享有“信息自决”而并未丧失自己对信息的“延伸控制”,“控制”理念贯穿始终。比如,个人享有知情权,即“可以在一定程度上控制关于收集到的他们的数据的去向”。个人信息保护立法以“控制”为核心贯穿以个人信息为客体的一系列行为,当个人信息“脱逸”个体之后,能够控制信息的主体则是事实上占有信息的“控制者”。这也就是为何在欧盟《一般数据保护条例》中,信息控制者才是与个人直接相对的义务主体,而并非信息处理者。而控制者的核心活动与其主要活动有关,而与作为辅助活动的个人数据处理无关。在控制者客观控制数据的基础上,又进一步发展出“目的限制”原则,允许控制者评估为最初收集数据的目的以外的其他目的处理个人数据是否享有这样的依据,而这种依据并非基于法律或数据主体的同意。
在欧盟法的脉络下,信息控制者的概念绝非仅依立法而产生,而系与欧洲法长期关注与持续发展人格自由、信息自决等法思想、法理念紧密相关。信息处理者则是为了数据控制者而处理个人数据的主体,其行为与活动虽然具有相对独立性,也并非控制者的附庸,但在地位与角色上确实无法与控制者相提并论。二者的关系既反映出欧盟法的特色,同时也体现出个人信息活动本身的核心特征。反观中国法,遗憾的是,“信息控制者”这一概念在《民法典》制定过程中仅“昙花一现”,最终并未进入正式文本之中,这就有必要在中国法的“偶然”与“必然”之中进一步解释个人信息处理者的内涵,及其所辐射的制度脉络以及所反映的制度意旨。
(二)中国立法演进中的“个人信息处理者”
黑格尔认为,考察存在和本质的客观逻辑,真正构成了概念发生史的展示。客观而言,中国确实不存在如欧洲国家的信息自决观念的历史影响,因此即便是抛却已有概念,转而选择创设全新概念,也未尝不可。问题的关键在于,基本概念应起到贯穿制度核心脉络的作用,或重塑制度自身特征的作用,只有有意识循此设计制度,才能实现制度初衷,否则将会使制度变得空洞而无法实施。信息相关主体在历次法律草案与规范性文件中的表述,几无统一者,而最终《民法典》中改称“信息处理者”的表述,或有突袭之感,这也给如何解释信息处理者的地位与作用带来一定困难。
表:法律法规、规范性文件中的信息相关主体
从目前已公开的官方立法资料来看,对于上述概念变化并无特别说明。从概念表述与体系解释来看,大致可从以下几方面理解与建构:
第一,“信息处理论”吸收“信息控制论”。从概念使用来看,在制定法并未采用信息控制者这一概念之时,而仅使用信息处理者这一概念。通过体系解释,“信息处理论”表达为一系列客观的处理方式以及个人信息处理者的自主决定权利,这实际上也涵盖了包括有决定能力的控制者的一系列行为。立法阶段的终结,使信息处理者这一概念成为一种既定事实,后续研究和实践也只能在此基础上进行解释。
第二,非控制论之下的“信息自决”的贯穿。欧盟法脉络下的人格、信息自决与个人信息控制之间存在观念上与逻辑上的联系。尽管中国法并未选择以控制者为核心的“信息控制论”,但是无论是解释《民法典》的相关规定还是《个人信息保护法(草案)》一审稿与二审稿第44条中明确规定的“个人对其个人信息的处理享有知情权、决定权……”,已经较为明确地规定了“信息自决”或“个人信息自决权”。可见,即便立法选择了“信息处理论”或非控制论,但也仍然是选择了“信息自决”这一法价值,之后的法律体系构建或规则创设也仍然遵循此价值。
第三,跨法系基本概念的对话基础。欧盟个人数据保护立法在某种程度上作为一种“国际标准”,信息控制者也基本上成为一个通行概念,而中国立法之时仅选择使用信息处理者这一概念,这就带来一个国际对话基础以及法律适用上的问题。在数据面临跨境流动以及国内企业海外合规与外国企业在中国合规之时,都要面临概念转换与系列制度的理解问题,这在一定程度上增加了解释成本。因此,如何在制定《个人信息保护法》之时再进一步加强信息控制理念,使之与“信息自决”理念相协调,不得不通盘考虑,此谓周全之道。
(三)个人信息处理者的具体类型
信息时代与智能时代的首要特点就是信息呈规模化,以网络平台为代表的主体获取大量个人信息。个人信息保护与个人信息利用,二者表现为静动之分并体现不同价值取向,但二者实质上却是一种“价值合流”——安全。因此,个人信息处理者也是在安全价值指引下保护个人信息。个人信息处理者成为法律上的特定主体,预设的前提即该主体有能力保护个人信息安全,防范个人信息风险。尽管《民法典》适用于所有平等民事主体,但个人信息处理者由于其活动需要一定的物质和技术条件并负有较多义务,而在主体范围界定上有所限缩,并非所有民事主体均能成为个人信息处理者。这一点也符合国际通行规则,比如GDPR第30.5条规定控制者的责任不适用于雇员少于250人的经济主体或组织。有学者也认为:“个人信息保护法的义务主体具有特殊性,不是‘任何组织或者个人’这样的一般主体。”在此基础上,实践中的个人信息处理者的具体类型大致包括以下主体。
第一,网络服务提供者。在中国法项下,提供网络服务的主体被概括为网络服务提供者。在立法与实践中,涉及网络安全、电子商务等不同领域之时,也以不同主体称谓指代。在经济迭代转型出现平台经济之后,平台主体也往往成为一种经济学上的较为通行的主体称谓。当下个体购物、社交等行为基本上均以网络平台为中介,个人信息的收集、存储、使用、加工等行为也集中于平台之上。大规模的网络平台的出现,其相对于个体或消费者的强势地位,加剧了传统上经营者与消费者之间的交涉能力不平等。本次《个人信息保护法草案(二审稿)》第57条增加规定了提供基础性互联网平台服务主体的特别义务。由此,网络服务提供者是最为典型的个人信息处理者,最终的实际运营主体应承担个人信息保护等义务。
第二,公共机构。国家机关等公共机构也存在大量收集个人信息以及利用等行为。《个人信息保护法(草案)》第二章第三节专门规定了“第三节国家机关处理个人信息的特别规定”,但是除国家机关之外,还包括公共企事业单位也存在大量收集个人信息等行为。因此,包括国家机关在内的公共机构都应成为个人信息保护法上的个人信息处理者。当然,也有学者认为,国家机关作为信息处理者具有公共性、法定性、垄断性、强制性等特点,与以私人机构作为个人信息处理者为设想场景的个人信息保护法明显不同,未来还应当制定一个特别的规则来调整国家机关处理个人信息的行为。从目前来看,国家机关等公共机构在中国法上仍规定为个人信息处理者。
第三,线下经营主体。数字经济改变了人们的行为方式,线上交易与网络社交成为主要方式,但仍存在大量线下非网络平台主体收集、利用个人信息等情况,这些主体应系个人信息处理者。同时,实践中也存在经营者线上线下信息共享等情况,有些情形可能会侵害消费者的个人信息。就此,线下经营主体也是典型的个人信息处理者。
对于个人信息处理者的界定,不仅仅是一种概念理解或者类型识别,在“个人—信息控制者”“个人—(个人)信息处理者”的两造关系中,更应理解“信息自决”脉络下的个人对于自身信息的“延伸控制”。在此基础上构建个人信息处理者的民事责任体系,并且解释相应主体承担民事责任的机理,是为基础,更是必要前提。
二、个人信息处理者侵害个人信息的民事责任
个人信息保护呈现跨公私法域特征,有其自身相对独立的发展脉络,并非民法的特别法,法律责任也包括民事责任、行政责任和刑事责任。个人信息作为体现人格权益与人格发展的重要载体,在创设“信息自决”的观念与制度之下,如何实现个人对自身信息的“脱控”而不“失控”,在受有损害之时,能够得到充分救济,是制度建构与法律适用最为关注之点。在个人信息权益受到侵害之时,人格权法与侵权法是最为基本与最为有效的救济方式,也同时体现出侵权法旨在权衡行为自由与权益保护的机能。在考察《民法典》的适用与个人信息保护立法的双重面向之上,探讨个人信息处理者侵害个人信息的侵权责任,是法律为个人信息主体提供的最基础保障。
(一)个人信息处理者侵害个人信息的典型行为
与一般自然人之间的侵害个人信息的行为不同,个人信息处理者作为具有一定规模的网络服务提供者或线下经营主体以及公共机构,其侵害个人信息的行为特征主要包括面向不特定主体、运用技术手段等方面。主要包括以下典型行为:
第一,不当收集个人信息的行为。在《民法典》与系列规范性文件中,收集个人信息应符合“合法、正当、必要”原则,同时符合最小、必要原则。而在实践中,有相当多的APP存在涉嫌过度收集用户个人信息的情况。在备受瞩目的郭某诉杭州野生动物世界有限公司服务合同纠纷案中,二审认为,野生动物世界欲利用收集的照片扩大信息处理范围,超出事前收集目的,存在侵害郭某面部特征信息之人格利益的可能与风险。可见,是否正当收集的标准主要在于是否符合法定的收集原则,如超过则为不当收集个人信息。
第二,泄露个人信息的行为。泄露个人信息属于较为严重的侵害个人信息权益的行为,实践中具体表现形式不一。在庞某诉某航空公司和某信息技术有限公司隐私权纠纷案中,庞某在某网站订票之后,后收到其他短信,列明庞某的姓名、航班号等内容,法院认为两家公司存在泄露庞某隐私信息的高度可能,并且存在过错,应承担侵犯隐私权的相应侵权责任。在有的案件中,法院确认公民的举报信息具有私密性,购物平台擅自将订单编号告知被举报人,属于泄露个人私密信息的行为。泄露个人信息的行为往往涉及对私密信息和隐私权的保护,较之其他不当收集、不当利用与分享等行为更为严重。
第三,不当使用个人信息等行为。在未经个人信息主体的同意,而将个人信息作为他用的情况,属于不当使用个人信息的情形。在王某与某置地有限公司姓名权纠纷案中,该公司擅自利用王某的姓名与身份证号码进行个税申报,不当利用了王某的个人信息。在俞某诉北京乐某达康科技有限公司等网络侵权责任纠纷案中,俞某在线下的购物记录也被同步到线上购物平台的购物列表之中,这是一种扩张信息共享的行为,同时也是一种扩大收集信息的行为。上述行为都是建立在个人信息处理者掌握个人信息的前提下,将信息用于他用,或不当使用、或不当分享,均系较为典型侵犯个人信息权益的行为。
除上述几种情形以外,比较具有争议的情形还包括由用户画像或其他自动化决策所带来的不利影响是否会构成对人格权益或财产权益的侵害,比如评价分选、价格歧视、大数据杀熟等,目前相关案例中,法院并未支持当事人的相关请求。对滥用算法等行为,目前主要通过监管或数据治理等方式予以规制,在民事责任方面尚未见相关适用和突破。在风险泛在的智能时代与万物互联时代,人们没有脱离风险场域的可能性,对于概括风险而导致的权益受损目前较难实现个体救济;但在个体受到确定的侵害之时则有请求获得法律救济的权利,这也正是侵权法的基本意旨。
(二)构成要件
个人信息处理者侵害个人信息的侵权责任的构成要件,主要以《民法典》人格权编和侵权责任编的体系解释为主。将人格权编的框架安排与传统侵权责任的构成要件进行比对,人格权编对于过错和损害并未规定,也有学者认为,在适用人格权请求权时,既不需要考虑是否有损害(只要构成对人格权的侵害或者存在侵害的危险即可),也无需考虑侵权人有无过错。从民法典编章安排体系解释和司法机关关于民事案件案由规定来看,人格权请求权在适用上优先于侵权请求权。同时《个人信息保护法草案》一审稿第65条与二审稿第68条规定了个人信息处理者的损害赔偿责任,这一部分也将纳入体系解释范畴之中。鉴此,本部分的讨论总体上立足于解释论与立法论的双重面向。
1.过错
在归责原则之过错责任原则、过错推定原则和无过错责任原则三分法的基础上,《民法典》对侵害个人信息的归责原则并未明确规定。在前述案例中,法院基本上也并未特别考虑个人信息处理者的主观过错。由个人信息主体与个人信息处理者之间关系所决定,侵害特定个人的信息的行为,只会由比较特定或有限的个人信息处理者作出,而其侵害行为的范围和内容也基本比较确定,责任认定并不存在太多困难。
《个人信息保护法草案(二审稿)》第68条明确规定侵害个人信息的归责原则为过错推定。相较一审稿,二审稿有较大进步。一审稿第65条规定了侵害个人信息权益的赔偿责任,但该条却存在归责原则与损害赔偿责任的“颠倒”与“杂糅”。通常而言,“侵权请求权基础的检视原则上区分责任成立与责任范围两个阶段,各类侵权请求权基础检视程式的差异主要体现在责任成立部分”。对于一审稿中关于归责原则的不足之处,二审稿中有所纠正和调整。同时,二审稿第68条第2款系与《民法典》侵权责任编第1182条基本保持一致。
立法者在侵害个人信息的归责原则上或可考虑过错责任原则与无过错责任原则“二分法”思路:一是基于不同主体。借鉴我国台湾地区“个人资料保护法”相关规定,对个人信息侵权,公共机构承担无过错责任,非公共机构则承担过错推定责任;二是基于不同行为。借鉴德国《联邦数据保护法》相关规定,对于自动化数据处理所致损害适用无过错责任,非自动化数据处理所致损害适用过错推定责任;三是基于不同信息类型。有学者也提出应在区分敏感与非敏感信息的基础上,分别规定适用无过错责任与过错推定责任。此种通过不同角度的“二分法”确定归责原则,是一种较好的思路,可参酌吸收借鉴。
2.行为
个人信息处理者在收集、存储、使用、加工、传输、提供、删除和公开等活动过程中都可能会存在侵害个人信息的行为。前述关于个人信息处理者侵害个人信息的典型行为中已概括了相当一部分行为。作为“信息自决”观念的延伸,通过在信息的“可识别性”与人格权益保护之间建立联系,集中于是否侵害了具有可识别性的信息,从而引致侵权法的适用。
以信息的“可识别性”为“风险源”和“风险敞口”,是侵害个人信息行为的集中体现。这就使得个人信息处理者的几乎大部分活动都可能囊括其中。施瓦茨和索罗夫就认为,欧洲隐私立法的优势是几乎没有什么信息可以逃出立法之外,但同时也十分冒险地引发了数据处理者实际上承担了与个人隐私可能产生的风险实际上并不匹配的法律负担。近年来除侵害个人信息的典型行为讨论较多之外,基于相应实践发展和义务扩张的现实需求,关于电子商务经营者、直播平台和个人信息处理者等是否应承担安全保障义务就引发较多争论,尤其是在某主播在直播平台直播极限运动意外坠亡案件发生后,更将网络服务提供者等主体是否应承担安全保障义务推至风口浪尖。
安全保障义务源自德国判例中形成的交往安全义务学说,并在实践中不断确立和发展相关规则。我国在制定《侵权责任法》之时,通过列举和限缩适用范围和情形的方式,规定了安全保障义务。但其与两大法系学理与判例中所概括的交往安全义务和注意义务存在一定差异,虽然学界和实务界已基本接受了中国《侵权责任法》第37条(《民法典》第1198条)的规定。但由于对本国制定法的理解和接受存在一定思维惯性,人们对反过来理解安全保障义务的原貌反而产生一定障碍。近年来,中国法在安全保障义务的理解上、实践中和立法中不断与德国法和美国法接近,从而将确定相应主体是否负有安全保障义务聚焦于有学者所概括的——“注意义务的违反”以及“对加害人本身主观预见能力的考察”——两个层次的内容。
针对个人信息的安全保护义务,在欧盟的GDPR、中国民法典、消费者权益保护法、网络安全法、电子商务法等都有相应规定。《民法典》第1038条规定了信息处理者的信息安全保障义务。《个人信息保护法(草案)》一审稿和二审稿“第五章个人信息处理者的义务”中,系对履行安全保障义务的标准予以多维度细化。
殊值关注的是,基于公法规范以转介方式适用于私法领域等理论铺垫,近年来学界也有观点主张是否将网络信息领域的公法规范以转介方式适用于私法关系,以扩张网络经营者、信息处理者等主体的安全保障义务。在侵权法上,“违反保护他人法律的侵权责任”(《民法典》第1165条第1款,即《侵权责任法》第6条第1款)事实上起到一个“转介条款”的功能,可以将各种特殊的侵权法律政策引入到一般侵权法之中。但是对于保护他人的法律,如王泽鉴先生所言,系“以其是否以保护个人的权益为判断标准,个人权益的保护得与一般公益的保护并存,但不包括专以维护国家社会秩序的法律”。可见,“转介”之核心标准在于“是否以保护个人的权益为判断标准”,而非全部公法规范均不加限制和阻拦地进入私法领域。诚如有学者所言,此种适用可能会引发一系列民法体系内部以及公法与私法之间关系等问题,应谨慎适用,合理把握注意义务的标准。鉴此,在个人信息保护领域,尽管单行法可能会不断推出,但不能笼统地将《网络安全法》和未来出台的《数据安全法》和《个人信息保护法》等法律法规中包含的一系列公法规范直接转介入私法之中,并引致个人信息处理者承担相应的民事责任,此种认识不得不事先予以警惕,以维护法律最基本的公正价值。
3.损害
损害通常包括财产损失、人身损害和精神损害。关于侵害个人信息而产生的损害,欧盟GDPR第82条第1项规定:“任何因为违反本条例而受到物质或非物质性损害的人都有权从控制者或处理者处获得损害赔偿。”个人信息主体通常需证明自己受有物质或非物质性损害,非物质性损害主要包括外部风险的损害和内心焦虑的损害。个人信息的“可识别性”,即是否可通过个人信息识别到特定主体,是判断个人信息权益是否受到侵害的关键要素。在司法实践中,法院一般通过“可识别性”标准而确定是否侵害个人信息权益,只要侵害了具有可识别性的信息,基本上就判定侵害了个人信息权益,从而根据当事人的诉求进行利益衡量。实践中,对于赔偿经济损失等,根据相应侵权责任法规则,会给予一定程度的支持;而对于精神损害,却往往由于客观上难以认定,而较难支持。客观而言,将个人信息保护放置于《民法典》之内,尽管在一定程度上与其他国家或地区的个人信息保护规则体例并不相同,但却恰恰在相当程度上缓解了如何确定损害等问题,更有益于实现对当事人的救济。
4.因果关系
因果关系作为侵权法上的重要命题之一,即侵权行为造成损害结果的发生在通常情况下存在可能性。在侵害个人信息的情形中,有的因果关系链条并不复杂,大多是基于个人信息处理者这一特定主体的概括的“一因一果”,这就使得行为与损害结果之间关系的判定难度不高。在有的案件中,法院根据民事诉讼高度盖然性证明标准而对因果关系进行判定。但当存在复数信息控制者参与同一个人信息的处理活动而发生个人信息泄露时,受害人往往无法证明哪一主体是具体加害人,此时应当采用共同危险行为制度加以解决。当然,因果关系也是侵害个人信息责任中的必要构成,应在个案判定中予以重视。
(三)损害赔偿
个人信息处理者的行为造成个人信息主体损害,应承担损害赔偿责任。概括而言,包括停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等责任形式。对于停止侵害、排除妨碍、消除危险等几者不难理解,实际上在侵害知情权等一系列个人信息主体权利之时都可能会普遍适用。对于如何确定赔偿数额,原则上根据《民法典》第1182条确定。在前述相关案例中,法院支持当事人经济损失赔偿的不在少数。通常情况下,当事人请求赔偿经济损失的数额也较小,往往只有1元、2元等,相当程度上具有一定象征意义。
对于消除影响、恢复名誉和赔礼道歉等非金钱赔偿,2014年颁布的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第16条有所规定。根据该条,对于侵害个人信息的非物质性损害的赔偿应与侵权的具体方式和所造成的影响的范围相当。比如在2014年罗某诉某保险公司隐私权纠纷案中,法院认为,保险公司侵害了罗某的隐私权,判令保险公司向罗某赔礼道歉并赔偿罗某精神损害抚慰金1元及相关费用。当然,由于当时关于个人信息保护的意识并不明显,因此主要按照隐私权这一典型的人格权进行裁判并判以精神损害赔偿。而在庞某诉某航空公司案中,当事人虽然并未证明实际受有精神损害,但却在二审时改判支持了当事人关于赔礼道歉这一诉讼请求。可见,在个人信息侵权案件中,对于非金钱赔偿方式也具有相当的支持空间。
三、侵害个人信息处理活动中个人权利的民事责任
个人信息属于个人,理论上存在一个概括的、完全的权利,但是由于个人信息处理活动的存在,就使得个人信息主体所享有的抽象的完整权利被分解成数种具体权利——涵摄全过程的知情权、决定权,以自决意志为核心而外化的查阅权、更正权、删除权等权能。对于这些权利的保护,既仰赖公权力之管制与治理,同时亦可根据民事主体权利保护之本旨而给予救济,两种方式互相补充,相辅相成。这些权利在一定程度上可以类型化,并在类型化的基础上给予不同方式的救济。需要说明的是,侵害这些权利的民事责任与本文第二部分讨论的侵害个人信息的民事责任有一定交叉,这些权利系请求权基础,但由于这些权利被集中规定于《个人信息保护法草案》专章之中,因此有必要予以集中讨论与回应。
(一)个人信息主体的权利体系
世界范围内个人信息主体的权利形式上大同小异,但因各国自身社会、法律和文化等传统不同,而在个别权利和实施向度上有所不同。中国当前个人信息立法中,与GDPR相比,个人信息主体的大部分权利基本相似,只有在是否规定数据可携权和被遗忘权等方面而有所不同。总体而言,中国法上的个人信息主体的权利体系呈现如下特征。
第一,“信息自决”的主线贯穿。如本文第一部分所述,中国个人信息立法脉络中并无“信息自决”的观念,但本次个人信息立法之时创设了此种观念,并在知情同意(同意撤回)、决定权、查阅权、复制权、更正权、删除权等方面予以贯穿体现。由此,在个人信息处理活动中,但凡侵害信息自决的,则均需承担相应法律责任,即便是在《民法典》第1036条关于处理个人信息的免责事由方面,也对个人信息主体的同意予以强调,以及即便是对自然人自行公开或者其他已经合法公开的信息,但是该自然人明确拒绝的也不得处理等。当然中国立法并非GDPR的翻版,而是根据中国实践发展而建立相应信息自决观念。
第二,作为核心权利的知情权。与上述“信息自决”观念紧密联系,知情权系体现信息自决观念的重要基础性、核心权利。只有在个人信息处理活动中,将“知情”作为核心,才能充分保障信息自决。因此,知情权并非一个完全仅靠公法管制或对个人信息处理者进行数据治理的权利,而是充分保障信息主体个人信息权益的基础。
第三,围绕“知情”的系列权利。只有在信息自决与知情同意的基础上,才能进一步衍生出查阅权、复制权、更正权与删除权等,这些权利并非简单的程序性权利,而是体现知情权与决定权等基础权利的外在表现。在这些权利可能受到侵害之时,也应给予充分的救济。
(二)侵害知情权、决定权的民事责任
知情权在各类主体权益保护中都是一项基础性权利。从知情同意的本源来看,其根本上是一种主体交往之时设定法律关系的前提与基础行为,同时该行为还具有“限权与自我义务设定”之效果。“知情—同意”作为一种行为模式,其被应用于诸多社会关系建构之中,涉及政治国家、医疗领域、消费者保护与个人信息保护等。从正义价值维度考察,在美国消费者法上,“选择知情”(权)被归于程序正义之中。而决定权则实际上“被吸收”于知情权之中,比如在我国台湾地区的“请领身份证捺指纹案”中明确,保障人们决定是否揭露其个人资料,及在何种范围内、于何时、以何种方式、向何人揭露之决定权,并保障人们对其个人资料之使用有知悉与控制权即数据记载错误之更正权。由此可见,知情权、决定权与其后的一系列权利内在存在联系。对于决定权,主要吸收于知情权之中,并与之一并讨论。
在个人信息保护之中,知情权是一个贯穿全程、保证后续个人信息处理行为和活动具有正义价值的基础权利。在消费者法上,消费者的知情权体现为商品或服务的标签“客观化”,对侵害消费者知情权的救济,在已有大量案例中,通常是要求经营者承担合同上的义务和责任。而个人信息保护之中的知情权体现在同意、同意撤回以及后续的一系列权利,对于此类知情权的侵害,通常要求个人信息处理者履行一定法定义务,基本上并非通过合同义务与责任予以救济。
从实践来看,是否侵害“知情同意”权利较容易辨识。比如在有的案件中,用户不在某APP上添加关注即能看到好友读书信息,而APP自动为用户添加关注,此种情形显然需要显著提示用户并获得明确同意。在有的案件中,用户没有选择“授权”选项,则当然可认定用户并未同意,因此后续的个人信息处理活动就可能不具有合法性。从知情同意在各领域的发展与实践可见,在数字经济时代,知情同意更具有确定性与外显性,其也成为一个“大网”,使得未经授权的个人信息处理行为基本上无法逃逸,当然,符合《民法典》第1036条规定的行为有所例外。
对于侵害个人信息主体的知情权的民事责任,应包括停止侵害、删除个人信息等;如当事人能够证明自己受有精神损害,可请求侵权的个人信息处理者承担恢复名誉、消除影响、赔礼道歉等民事责任。
(三)行使《民法典》第1037条个人信息请求权的限制与救济
在“信息自决”的贯穿下,GDPR规定了个人信息主体的一系列权利,中国《民法典》和正在制定的《个人信息保护法》也规定了一系列个人信息主体的一系列权利。中国个人信息保护立法为何在吸收了立法理念与诸多规则之后,在个人信息主体权利方面却并没有完全借鉴?立法者的释义书对此也有所提及,《民法典》第1037条中的删除权并非GDPR所规定的“被遗忘权”,由于各方对欧盟的“被遗忘权”争议极大,因此本法对此未作规定。的确,个人信息主体的权利体系与一国法律发展脉络紧密相关,较难在各国和各地区完全达成一致。
《民法典》第1037条规定了个人信息主体的查询权、复制权、异议权、更正权和删除权等,这几种权利也分别是以人格权请求权的方式而出现,在《个人信息保护法(草案)》中也被进一步细化。这几个权利呈现出一定特征,即并非一次性行使的权利,可能会针对不同信息内容而反复行使,这就可能产生一定价值冲突——如何既保障个人信息主体有效行使权利,同时又能实现与个人信息处理者之间的利益平衡。对于查询权、复制权等权利,可借鉴《征信业管理条例》相关规定,即个人信息主体的查询权和复制权的行使在一定程度上可以受到次数限制。而对于异议权和更正权而言,则需由个人提出相应证据或要求予以补充更正。
在上述几个权利之中,相对而言属于一次性行使的,主要是删除权。第1037条第2款规定,自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。《个人信息保护法(草案)》一审稿与二审稿进一步规定了个人信息处理者应主动删除或根据个人请求删除个人信息的具体情形。
对于侵害个人信息主体的查询权、复制权、异议权、更正权和删除权,又将如何救济?具体而言,对于查询权、复制权的救济,个人信息处理者应基于请求承担查询、复制等行为义务;对于异议权,个人信息处理者则有义务予以更正或解释;对于删除权,个人信息处理者则应停止侵害、删除个人信息等。对于可能产生的经济损失或精神损害,则应根据具体情况,由个人信息处理者承担赔偿责任。
四、结语
从世界范围来看,美国、欧盟与中国对个人信息保护立法呈现出不同的价值选择与立法体例选择,着眼于突出各自的个性与特性。然而,如施瓦茨所发现的,实际上美国和欧盟关于个人(信息)隐私的理念也并非完全对立与冲突,德国联邦宪法法院和德国联邦法院在1973年和1995年的相关案件中引用了沃伦和布兰代斯的《论隐私权》一文中的“不受干扰的权利”等内容,欧洲人权法院也多次援引这一重要的概念。可见,两大法系也在对隐私和个人信息问题的认识上不断实现沟通。同样地,中国个人信息保护立法也在立法理念、权利体系、义务体系与法律责任上尝试与两大法系实现一定沟通与融合。
在《民法典》之后,《个人信息保护法(草案)》一审稿与二审稿不断推出与完善之际,着眼于个人对自身信息的自决与控制,权利实现与救济,是个人信息保护在现代之于个人人格实现的新的表现形式。当然,本文主要聚焦于个人信息处理者的民事责任,对于个人信息处理者而言,不仅仅包括民事责任,还涉及行政责任与刑事责任。个人信息保护立法在法律责任方面,将从多维度保护个人信息,以此才能实现对个人信息主体的救济。人类经历社会变迁之时,在不同时期需要实现掌控不同物质的自由,而进入信息社会与智能时代,人们所要追求的就是掌控信息的意志自由,这一自由也即拉德布鲁赫与星野英一所言的人格的发展,毫无疑问,这种人格的发展本质上更是一种人的发展。
作者:姚佳,中国社会科学院法学研究所编审、《环球法律评论》编辑部主任,中国社会科学院大学法学院教授。
来源:《清华法学》2021年第3期。