論隱私權與個人信息權益的關系與保護模式
——《民法典》第四編第六章的法理解釋

李 芊

(中國人民大學 法學院,北京 100089)

一、問題的提出

隱私與個人信息的相關問題一直以來都是理論界與實踐中爭論的重點問題,專家學者莫衷一是。《民法典》第四編《人格權》第六章專門對隱私權與個人信息保護做出了規定。對于隱私權與個人信息保護關系的相關闡述包括兩部分:第一,在條文中規定了隱私權與個人信息保護的概念及其內容。在權利設置上,《民法典》并未對個人信息采取權利式的保護,沒有形成相應的“個人信息權”(1)詳情可參見《民法典》第一千零三十二～一千零三十五條。。第二,第一千零三十四條規定“個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定”。由此可以得出以下兩個基本解釋:第一,我國對個人信息保護并非權利式的保護,沒有明確“個人信息權”,《民法典》采用隱私與個人信息交叉說(2)有關隱私權與個人信息保護的關系有三種觀點:隱私與個人信息獨立說、隱私與個人信息重合說、隱私與個人信息交叉說。;第二,當私密信息同時適用于隱私權保護與個人信息保護時,隱私權保護具有優先適用性。

《民法典》的出臺把個人信息推向了在基本法層面予以保護的高度。但是,《民法典》對隱私權與個人信息權益關系與保護模式的相關規定僅做了簡單的表述,在實施中還需要進一步解釋與調和。一方面,隱私權與個人信息保護之間的關系影響兩者的制度安排,需要進行有效的界分與銜接,在這個過程中主要存在以下問題:第一,《民法典》規定的是平等主體之間的民事法律關系,而《個人信息保護法》有一定的傾斜性,給予信息處理者更多義務。在這種情況下,隱私權與個人信息保護如何有效地進行界分與銜接?第二,《個人信息保護法》兼顧公法與私法的內容,是否應該作為《民法典》的特別法存在?第三,隱私權包含更多的消極性權利,權利請求需要滿足侵權法要件,而《個人信息保護法》包含更多積極性的權益內容,那么《民法典》隱私權章節規定的個人信息保護的內容屬于何種性質,應該被如何看待?另一方面,由于《民法典》對于整個個人信息保護制度是至關重要的,特別是其中的個人信息保護條款在整個個人信息保護制度中起到了關鍵作用,因此需要明晰以下內容:一則,《民法典》中的個人信息保護條款是作為宣誓性法條存在還是作為實質的法(為個人信息保護提供行為依據)存在?二則,在構建個人信息保護制度過程中,隱私權保護與個人信息權保護的內容如何安排才符合邏輯?

本文嘗試從原理層面與制度層面對兩者關系進行解釋與研究,尋求研究隱私權與個人信息保護的新視角。在原理層面,分別從權利的內容、法律的性質與法律主體的組成三方面展開論述,對隱私權與個人信息保護的發展與關系進行梳理與研究;在制度層面,運用比較法,通過對比歐洲“防守型”與美國“矯正型”的個人信息保護制度的異同,理解權利設置的功用,為解決我國制度設計問題提供素材與借鑒。

二、隱私權與個人信息權益的界分

探究隱私權與個人信息權益的關系與界分,需要溯及隱私權的發展環境與發展特點。隱私權內容的不確定性導致法律具有開放性特點,并隨著社會經濟與科技發展不斷變化與完善[1]。

(一)法律權利:從消極性權利到積極性權利

傳統的工業社會對于隱私權的定義限于個人獨處、不被打擾的權利。此規定具有消極意義。隨著信息時代的發展,隱私權發展出了個人享有對自己信息控制的權利,這種發展使得個人信息受保護權開始轉向積極意義。

第一,隱私權作為人格權的組成部分,具有時代性的積極延伸。人格權的消極屬性來源于大陸法系的理論實踐,深受天賦人權影響。然而,天賦人權理論的目的是防御國家政府干預,并非刻意使人格權消極化。在歐美實踐中,伴隨著隱私權在民主社會中重要性的提升,一方面,隱私權內容不斷豐富,開始融入自主權與控制權等積極性的利益,例如:選擇權、訪問權、糾正權以及被遺忘權等;另一方面,特別是對于信息隱私而言,公眾不斷變化的需求使得隱私逐漸成為個人積極選擇問題,而非僅僅消極防御。《民法典》把人格權獨立成編的一個重要意義在于承認獨立的人格權請求權獨立于侵權損害賠償權,這種“分離模式”為人格權的積極發展注入了活力[2]。換句話說,自然人可以基于人格權請求權對抗任何人,這賦予人格權絕對性與對世性,基于這種屬性,權利人對其人格利益享有自由支配的權利。至此,我國的人格權設置不再單純是一種防止受到侵害的消極防御性權利,而逐漸向積極權利開放。

第二,個人信息兼容人格屬性和財產屬性。隨著市場經濟的發展與觀念的進步,越來越多的人格權具有了一定的財產屬性,被稱為“物質性人格權”[3]。一方面,大數據時代,算法的日益精細化可以快速捕捉大量信息并分析利用,建立信息庫,進行個性化推送,發掘信息經濟價值,使得個人信息逐漸被最大化流通與利用,具有了財產屬性。另一方面,由于政府與企業對信息的收集與分析,個人信息主體開始主張自己享有控制自己信息流向的權利,例如:個人可以享有對信息的支配權、訪問權和分享權等。在這種發展態勢下,人格權必然會產生類似于物權中的利用與支配權能。

第三,對信息的利用程度發生變化,信息的公共屬性日益顯現。隱私權產生伊始即深深植根于西方自由主義與民主實踐,自由主義信奉者極力主張脫離政府的控制與媒體的窺探。在這種背景下,隱私權更多地體現為自然人不受侵害的權利[4]。在工業時代,信息主要是有限傳播與人工傳播,利用范圍比較狹窄。到了信息社會,社會環境開始從物理時空進階到物理與數字相融,人們的生活交往方式發生了翻天覆地的變化[5]。一方面,信息社會豐富了人們利用信息的途徑與方式,除了私密信息被公開之外,個人的公開信息也可能被反復分析組合,進而侵擾到人格尊嚴與生活安定。另一方面,互聯網的發展使得信息交互與自由流通不可避免,導致個人信息的利用率明顯增高[6]。個人信息一旦出現在網絡空間,便從私人領域進入公共領域,面臨無限制復制、利用、重組的風險,信息相應地開始具有一定的社會屬性,流通于公共領域。

綜上,社會因素與法律因素讓人格權逐漸從消極性權利演變成積極性權利,隱私權作為人格權之一同樣如此,并且在大數據時代逐漸發展出了更具體的保護——對于個人信息的保護。《民法典》通過列舉侵害隱私權行為表達了隱私權的對世性與自主決定性(3)《民法典》第一千零三十二條規定:“自然人享有隱私權。任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的隱私權。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。”[7]。

(二)法律主體:從面向所有人到針對信息處理者

盧梭認為,人類一切不平等起源于文明,文明帶來最直接的變化是強者與弱者的劃分,在經濟上體現為生產資料占有者與非占有者之分。歷史上,富人通過推動和主張“形式平等”,利用優勢地位獲取更多的財富。但是,隨著社會問題的突顯,貧富主體之間巨大的懸殊使得人們關注平等的真正含義,開始追求實質平等,認真對待每一項權利。政府開始嘗試制定一系列經濟法與社會法來實現傾斜保護,維護實質平等,提升社會整體的幸福感。

工業時代,隱私被侵犯的方式主要是被窺探與非法公開,侵犯隱私的群體包括自然人與組織在內的所有人,所以其作為隱私權的主要內容可以通過平等主體之間的侵權法得到保護[4]。信息時代,一方面,信息的收集與利用變得無差別,包括對象的無差別、信息種類的無差別、信息交互的無差別;另一方面,信息收集逐漸成為專業性或商業性主體的職業活動,信息收集者與處理者(包括企業與公共部門)作為掌握技術服務、掌握資本的資料信息占有者,在收集、使用、出售信息時享有得天獨厚的優勢,例如,知情同意原則之下,企業為了獲取用戶的信息會使用調整產品、服務或者訪問權限等各種方式取得用戶的同意[8]。區別于偶然的、個別的信息收集活動,他們更依賴儲存與利用實現對信息持續持有。隨著信息隱私與個人信息保護的發展,私法無法完全解決個人信息主體與信息處理者之間持續不平等關系所產生的新問題,法律開始通過設置一些新型權利來實現保護的目的,并對信息處理者做出新的制度安排,要求其承擔更多的義務。

不同國家立法也進行了相關的實踐。例如,歐盟的《通用數據保護條例》(GDPR)在適用范圍上首先排除了自然人之間的信息收集與處理,其次排除了“有權機構為了預防、調查、偵查或起訴犯罪,進行的個人數據處理”(4)GDPR第2(2)條(c)規定:“自然人在純粹個人家庭活動中所進行的個人數據處理不屬于GDPR的調整范圍。”第2(2)條(d):“有權機構為了預防、調查、偵查或起訴犯罪,為了進行犯罪懲罰,包括為了保證公共安全和預防對公共安全的威脅而進行的個人數據處理。”。這就使得GDPR的適用范圍僅限于信息收集者與處理者。美國的個人信息立法也有相同的處理:國家層面上,1974年《隱私權法案》的規制對象是美國聯邦機構,《家庭教育權利與隱私法案》規制對象是公共機構等;州層面上,2020年1月1日生效的《加州消費者隱私法案》(CCPA)規制對象是商業主體與企業(5)加州消費者隱私法案[EB/OL].(2019-12-30)[2021-05-15].https:∥mp.weixin.qq.com/s/DzoLEdigySrVwiIiaUn8cQ.。雖然規制對象有差別,但是兩部具有代表性的個人信息立法針對的都是具有專業性與商業性的組織。

綜上所述,鑒于個人信息保護主要針對的是持續的不平等的權利與義務,只訴諸民法的人格權保護是有一定局限的,因此,個人信息相關權益基于自身特有的屬性需要尋求新的保護模式。

(三)法律性質:從侵權法到混合法保護

追溯美國的歷史發現,對于隱私權與個人信息的保護是沿著私法到公私混合方向演化的。隱私權的概念自布蘭代斯與沃倫提出便被《侵權法案》保護,被侵權者可以基于侵權構成要件尋求救濟。在之后的案例判決中,隱私權的概念被廣泛運用。直到19世紀六七十年代,聯邦法院及各州法院形成了三百個有關隱私權的判決,在注重自由主義與市場經濟的氛圍下,Alan Westin具體化了隱私權并提出了“信息隱私”的概念,主張個體對于信息的控制[4]。至此,美國開始嘗試通過各種方式保護隱私與個人信息。20世紀末21世紀初,以“告知—同意”為核心的公平信息實踐原則開始成為個人信息保護的核心制度,隱私政策以新型合同的方式開始發揮隱私保護的重要作用[9](6)企業是主要的推動者,對他們來說,合同保護模式有諸多益處。比如,隱私條款可以保證企業以安全的方式免于責任,企業與平臺總有辦法能夠讓隱私條款的利益更偏向自己。而且,企業通過合同方式向用戶承諾隱私保護責任可以吸引用戶。在我國的實踐中,企業會在合規的過程中羅列許多信息用以告知對用戶的承諾。總之,對于企業、平臺來說,合同是性價比最高的選擇。。但是,也有學者認為單純合同法的保護范圍非常狹窄。自從美國聯邦貿易委員會(FTC)介入消費者保護之后,就開始承擔實際的監管與保護職能[10]。自此,美國關于隱私的立法與執行開始豐富起來,設置了私法保護與聯邦監管法規,實踐公平信息的內容(7)《美國憲法第四修正案》:“人民的人身、住宅、文件和財產不受無理搜查和扣押的權利,不得侵犯。除依照合理根據,以宣誓或代誓宣言保證,并具體說明搜查地點和扣押的人或物,不得發出搜查和扣押狀。”。科學技術的發展與收集信息方式的變化使得美國越來越重視個人信息保護。美國國會與政府開始制定一系列針對特定主體的法律。最重要的是2020年美國州一級立法CCPA,使得個人信息保護立法帶有明顯的民法與社會法傾向的消費者保護特色。

歐洲各國隱私權與個人信息保護的發展也是沿著私法到混合法的路徑展開的,最為典型的是德國個人信息保護的演進。經歷過第二次世界大戰洗禮的德國深知建立人格權的重要性,提倡尊重人格尊嚴,并通過聯邦法院創設了一般人格權。之后,聯邦法院判決1983年人口普查法違憲,繼而創設了信息自決權。20世紀70年代,以德國為代表的大陸法系國家迎來了制定數據保護法的高潮,先后制定了州層面的《德國聯邦數據保護法》、國家層面的《防止數據處理過程中濫用數據法》等。這些法律通過規制信息收集者與處理者起到保護個人信息的作用,具有公法與社會法規制的特色。同時期,瑞典、奧地利、丹麥等國先后在公法層面與消費者保護層面加強了個人信息保護。總之,從私法保護轉變到混合法保護最直接的原因在于個人信息保護從隱私權保護之中逐漸分離。

綜上分析,各個國家與地區對于傳統的隱私權一般是在私法層面保護,但是由此發展出來的個人信息通常會選擇公法與私法混合保護的模式。我國《民法典》規定了個人信息保護的基本概念與內容,這是對個人信息保護的現實問題的一種回應與重視。由于個人信息相關問題具有復雜性,既涉及人格權的問題,又涉及個人信息處理規范的問題,還涉及數據流通的問題,這就需要《民法典》與個人信息保護制度實踐保持一定程度的開放性,能夠兼容并包地不斷迎合新的發展。

三、域外經驗:個人信息保護的法律框架

隱私權的流變與演化逐漸發展出了個人信息權益保護的內容,并且在保護方式上呈現出混合法保護的模式。本部分主要通過域外經驗對逐漸發展出來的個人信息保護制度進行梳理與分析,為我國《民法典》《個人信息保護法》及相關法的實施與銜接提供借鑒。

(一)歐洲經驗——以二元治理展開的個人信息保護實踐(8)在討論數據治理問題時,美國律師與歐洲律師運用的是不同的話語系統。歐洲將有關個人信息的法規稱之為“數據保護”法律,美國稱之為“隱私信息保護”法律。為了討論方便,本文將他們約等于我國的“個人信息保護”概念。

歐盟鮮有直接通過私法設置隱私權保護的法律。即使冠有隱私權保護之名,歐盟司法實踐也基本立足于規制個人數據與個人信息。雖然《歐盟基本權利憲章》明確了個人信息權與個人數據權,但是這種權利的設立實際上是為保護個人數據提供正當程序,最終依托聯盟的監督實現,而并非傳統意義上的私法保護。

1980年歐洲理事會制定了供成員國參照和選擇適用的《個人數據自動化處理保護公約》,1995年制定了《歐盟數據保護指令》,2016年歐盟又通過了GDPR并于2018年開始實施。這種覆蓋整個歐洲(包括政府與私營部門)的數據立法模式在世界個人信息保護范圍內產生了廣泛的影響。一方面,歐盟的政策鼓勵成員國之間的商業與數據流動,制定了《歐盟數據保護指令》,到20世紀80年代后期許多成員國,例如德國、瑞典、法國和英國,頒布并根據此類數據保護法展開運作。另一方面,這種措施對隱私全球化的影響是巨大的。在歐盟運營的跨國公司,如要跨境傳輸歐盟境內的數據必須符合歐盟制定的數據保護制度或特殊程序,否則不能將個人信息轉移出境。因此,國際上一些國家(例如加拿大)為了更好地傳輸數據,建立了歐盟標準的數據保護規則。

歐盟采取的是非常嚴格的個人數據監管措施。歐盟GDPR要求企業獲得的同意必須是“有效的同意”,是“特定、真實的同意”,并向用戶提供其個人數據的副本,在72小時內報告情況,要讓用戶真正明白企業收集用戶信息的意圖。實踐中,GDPR的要求受到了詬病,這種嚴格的數據保護措施被認為不利于數據流通與保護,但是在事實層面,全球已經有約120個國家實踐了歐洲數據保護模式。盡管它有一定的漏洞與弊端,但是GDPR的存在具有較強的合理性并通過制度自洽的方式對數據展開管理。歐盟GDPR針對個人信息保護形成的二元治理模式的基本框架為“個人權利+嚴格問責制”(以下簡稱“歐洲模式”)[11]。

1.個人權利的程序性再生

GDPR對于個人數據收集處理遵循著公平信息實踐的框架,例如透明性原則、目的限制原則、數據最小化原則、限期儲存原則等。除此之外,GDPR主張賦權于個人,包括知情選擇權、訪問權、刪除權、攜帶權等,這體現了對人格的尊重與保護。2014年,歐盟法院在西班牙谷歌案中確立了被遺忘權,確認了公民在特定條件下有權要求網站刪除其網上的個人信息[12]。除此之外,這種類型化的權利設置在程序上有自己獨特的價值:一方面,這種模式方便個人通過類型化權利直接向信息收集者主張權利,一定程度上減輕國家的司法負擔[9];另一方面,GDPR賦權于個人的最終目的并非通過私法上的權利控制來保護個人信息,而是依靠個人權利來為算法決策過程提供標準與界限,并為當局監管提供程序正當性基礎。換句話說,當算法決策對個人產生巨大影響時(無論是否進入司法程序),GDPR可以基于個人權利的設置以符合形式的方式或過程對不合法行為進行監管。所以,雖然賦權個人在私法領域舉步維艱,但是卻能以“程序性再生”的方式在規制領域對數據保護起到關鍵作用。

2.嚴格問責的工具性效用

歐洲的二元治理模式主要體現在公私之間、各個組織之間的協作上,其中嚴格的問責制在整個制度中起到工具性的作用。它側重于評估算法決策事前、事中與事后的風險,并監督信息處理者的行為。這對監管機構提出兩個要求:一是權威性強,二是能夠與企業保持持續的對話。例如,歐盟在數據治理過程中有一個很重要的任務是防止算法偏見與歧視,但是GDPR中并沒有詳細規定如何防止。相反,歐盟數據保護委員會(EDPB)在《自動化個人決策和分析指南》(ADM指南)中規定,企業應該定期檢查數據歧視設置、定期審查準確性等決策,并進行周期性的部署。歐盟問責的方式并非通過GDPR明確地告訴信息收集者具體如何實現監管,而是通過數據監督與執行機構、信息處理者共同合作就問題找出適當可行的方案并加以解決[11]。

綜上,歐洲倡導的是數據綜合治理的模式,提倡私法與公法混合治理。這種合作治理的模式被描述為一個更好的治理快速變化的、具有高度技術復雜性風險系統的形式。有效的合作治理需要個人權利設置與問責制雙管齊下,在這種模式下,監管與管理體系才能兼得合法與高效。

(二)美國經驗——以消費者保護展開的個人信息保護實踐

美國個人信息保護大致可以劃分為兩個時期:1961—1990年的信息隱私初步發展期與1990年至今的信息隱私高速發展期。1960年之前,美國隱私權的內容是非常寬泛與模糊的,基本任由市場主導發展。1890年布蘭代斯與沃倫提出的隱私權概念并沒有在實踐中得到廣泛應用,隱私權也并不能作為一項獨立的訴因而存在。直到20世紀60年代,隱私權的概念才得到具體化適用。Alan Westin于1967年具體化了隱私權的概念,指出隱私權是人們可以自由進入或者退出社會的權利,并且強調個人對于自己個人信息的控制[4](9)同時代的研究還有:William L.Prosser在司法案例中歸結出了隱私權在侵權法領域的四種分類具體化了隱私權的司法適用。Edward T.Hall于1966年發表的《隱藏的維度》(The Hidden Dimension)通過實證研究的方式,深入了解了這個時代美國的隱私態度和政策偏好,為隱私相關研究奠定了實證基礎。。至此,伴隨著科學技術與信息收集技術的進步,美國的個人信息保護步入發展的黃金期。

1960—1990年是美國隱私權初步發展時期,公眾開始在生活各個方面警惕自己的信息隱私是否受到侵犯。政府和私營企業逐漸建立數據庫等項目,數據收集成本的降低與科技的進步使得其在組織決策與管理方面得到了較大的改進。政府與組織在系統中設立了許多種族、宗教、政治和性別歧視的模式,使得個人開始動搖對于政府部門的信任(10)另外,政治上最直接的表現為聯邦調查局、中央情報局和尼克松政府的濫用職權行為降低了公眾對機構的普遍信任,民權斗爭、反戰、竊聽、水門事件等使得大眾對信息隱私的擔憂以一種社會問題發展。。在這種緊張的環境下,美國的衛生、教育和福利部門合力制定了公平信息實踐(FIP)框架,成為美國接下來三十年的保護個人信息的主要方法。這一時期通過了大量聯邦立法與州立法,包括通過公平信息實踐框架規范新技術應用、政府活動與各種不平等行為(11)例如1980年的《隱私保護法》與一些系列規制法;1986年的《電子通信隱私法》,將1968年的竊聽法院命令和控制程序擴展到數字語音數據和視頻通信;1984年的《有線通信政策法案》,要求有線電視公司將信息收集做法告知訂戶并提供訂戶訪問權限;1988年的《視頻隱私保護法》,禁止視頻商店披露其客戶的姓名和地址以及他們租用或購買的視頻。此外,在雇主與雇員關系上,基于平等革命、對新型社會的寬容和爭取人才引進,政府和企業開始取消對雇員的監督。美國國會在1988年通過了《雇員測謊保護法案》(Employee Polygraph Protection Act),禁止雇主通過測謊儀對雇員進行撒謊測試。。這些部門立法大部分指向政府不合理的竊聽行為、雇主侵害雇員隱私行為與侵害消費者知情權與隱私權的行為。

自1990年至今,隨著互聯網興起、無線通信技術發展與大數據的應用,“信息隱私”問題逐漸成為美國政治與社會最重要的問題之一。最突出的方面是美國的消費行業從工業時代的大眾營銷轉變為信息時代的個性化營銷,企業需要不斷獲取個人的消費記錄與消費偏好。從1990年開始,政府開始重點關注公司隱私政策中的不公平與欺騙性交易行為,但是由于缺乏判例與依據,多數以和解結束。隨著FTC的發展,美國的隱私判例得到極大豐富,并出現了一些具體的執行標準,這使得美國隱私保護的實踐逐漸完善起來。可以說,美國個人信息保護制度完善的過程就是具有民法與社會法性質的法律不斷矯正和具體化監督的過程,在這個過程中,當局通過消費者保護法與判例來具體化公平信息實踐中寬泛的原則與準則,同時為市場活動設立底線(以下簡稱“美國模式”)。最具有代表性的是2020年加州實施的CCPA,把美國個人信息保護推向全新的平臺與高度。

(三)歐美模式之間的“信息爭奪戰”以及形成的制度差異

有觀點認為,歐盟開創了國際隱私法,美國加州立法CCPA是歐盟立法GDPR的延續以及精簡[13]。也有觀點認為,雖然CCPA借鑒了歐洲立法技術,但它是在美國領土上重新建立的個人信息保護框架[14]。以GDPR為代表的歐洲模式與以CCPA為代表的美國模式在全球范圍內形成了個人信息保護的“割據之勢”。兩種制度主要在以下三個方面存在差異:

第一,兩種模式的立法背景不同。歐洲采取二元治理模式歸根于歐洲數據發展背景:一方面,歐盟的人權保護傳統使得歐洲分外注重人的尊嚴和權利保護,加大個人控制與賦權立法的傳統可以為歐洲數據立法提供正當性并助力歐洲數據保護;另一方面,歐洲沒有大型的互聯網企業,在世界范圍“數據爭奪戰”中處于弱勢地位,因此,他們在數據戰爭中會選擇加大“防守”,采取貿易保護主義的態度,這也是防止數據流失的一個關鍵舉措。在這種模式的影響下,世界范圍內形成了著名的布魯塞爾效應:歐洲通過單邊或者談判的方式,向世界輸出歐洲標準,繼而歐洲的信息收集市場準入標準成為全球標準[15]。反觀美國是全球互聯網“大廠”聚集地,例如臉書、亞馬遜、推特、蘋果、微軟等,他們的立法模式大多積極促進數據市場流通,目的是使數據能夠沒有阻礙地進入美國。在此實踐下,FTC作為消費者保護的主要監管機構逐漸發展成為美國數據保護的執行機構[1]。美國立法更多關注消費者領域的維權,選擇在必要的領域對信息進行嚴格管制。

第二,兩種模式的立法主體不同。歐盟采取的是統一綜合立法習慣,而美國采用的是具體部門立法習慣。作為世界兩大經濟實體,歐盟是作為一個組織對數據進行立法,而美國是作為一個國家對信息隱私進行立法。兩個經濟實體立法的手段與目的不同,最終導致立法產生的結果不同。歐盟作為管理者與監督者,一般會通過公法與國際法對成員國的不合法行為進行規制與管理。對于美國而言,一方面,其作為一個國家進行立法的目的是解決本國民生切要的問題,所以通常會聚焦社會最突出的問題,例如前文提到的“企業與消費者”之間的沖突;另一方面,判例法傳統使得美國更加注重積累實踐經驗,歸納總結出本國最突出的問題,從而進行立法保護,例如,FTC通過豐富隱私判例與制定細化的隱私保護實踐標準,矯正美國原先對于消費者保護寬泛的立法與標準。如此來看,美國通過民法與社會法實現對自由市場中消費隱私領域立法與標準的矯正。

第三,兩種模式的法律框架不同。有學者總結歐洲為“權利話語體系”,而美國為“市場話語體系”[16],不同原則引導建立的個人信息保護框架最終產生不同的結果。歐盟沿襲歐洲立法的“權利體系”傳統,認為信息處理行為是否合法必須有相應的法律規定[15],也就是說除非有法律明確規定,否則不能處理個人信息。此外,歐洲還為收集信息設置了很多限制,比如用戶在一定情況下可以選擇撤銷同意,用戶有被遺忘權等。相比之下,美國屬于“市場體系”,其對于數據信息的收集是自由開放的,市場上允許信息自由流通,除了涉及醫療、金融、教育、兒童等特殊領域需要單獨立法規制。消費者與企業可以進行信息交易,法律的作用是監管不公平的交易行為。美國的個人信息保護制度主要集中于對消費者的保護,尤其注重保護不同信息市場中的消費者。

綜上所述,由于立法背景、立法主體與立法框架不同,歐洲與美國形成了兩種不同的個人信息保護制度,最終在國際上形成了“防守型”的歐洲數據保護陣營與“矯正型”的美國信息隱私保護陣營。歐洲的數據收集與使用的原則為“法無授權即禁止”,個人有權利控制自己的信息,非法律允許與個人同意,數據不可被收集或者使用。美國模式為“法無禁止即可為”,法律默認企業可以收集信息并可以在交易中與消費者討價還價,除非有法律明令禁止[17]117。

雖然歐洲和美國對于個人信息保護的法律框架不完全相同,但是最終均采用了公法與私法混合的保護模式,其中對我國最具有借鑒意義的是如何實現法律之間的銜接。歐洲通過設置個人權利為整個數據收集與保護過程提供程序性依據,并依賴嚴格問責制為其保駕護航。美國在自由的市場中不斷發掘值得保護的信息隱私利益,以判例的方式矯正寬泛的監管標準。對于個人信息保護制度來講,歐洲是“權利前置型”的,而美國是“保護后置型”的。所以,每個國家或地區對于個人信息保護立法是有選擇傾向的。雖然這兩個法域的經驗具有借鑒意義,但是我國立法與實施的背景與歐美完全不同,既不同于歐洲的權利體系,也不同于美國的市場體系,需要從我國立場與實踐上進行解釋與選擇。

四、進一步解釋與制度設計

如前所述,隱私權與個人信息權益存在交叉關系,個人信息保護的內容在隱私權保護模式基礎上逐漸發展。這不僅是歷史的趨勢,也是我國隱私權發展的必然結果。本文對《民法典》進行重新解釋的目的在于更好地調和隱私權與個人信息保護之間的關系。這種調和并非否定《民法典》的規定,而是在理論層面論證兩者之間銜接的必要性與正當性,豐富實踐的應用。

(一)《民法典》在個人信息保護制度中的地位

首先,《民法典》對于個人信息保護的意義重大。第一,《民法典》在民事基本法的高度上給予個人信息保護高度重視,為其進一步細化提供了基礎。相比之前的民事立法,《民法典》對個人信息保護做出了一些基本的規定,例如,規定了個人信息的概念與類型、原則、與隱私權之間的關系、信息處理者的義務、個人信息合理使用等。第二,《民法典》區分隱私權與個人信息保護,在基本法的高度上確認兩者關系,有利于司法實踐。同時,民法的規定能夠為個人信息保護提供正當性基礎,為數據流通與利用劃出法律底線。第三,《民法典》在民法上承認對個人信息相關權益的保護,體現了我國對人格尊嚴與自由的關懷,目的是維護人民的權利與利益。所以,《民法典》中有關個人信息保護的條款并非僅僅具有宣誓性意義,更具有與隱私權區分并進行實質性保護的意義。

其次,分析《民法典》條文可知,個人信息保護的內容既沒有通過權利設置式的保護路徑,也沒有完全使用隱私權的保護路徑,而是以特殊的方式存在。除此之外,我國《個人信息保護法》對信息處理的過程進行了較為完整的規定,既與民事法律存在關聯,又具有一定的規制法特色。《個人信息保護法》中多處存在公私合作的影子(12)《個人信息保護法》第六十二條規定:“國家網信部門統籌協調有關部門依據本法推進下列個人信息保護工作……”第六十四條規定:“履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施,進行整改,消除隱患。”這些規定體現了一定程度的合作精神。,而《民法典》與《個人信息保護法》的銜接對于個人信息保護治理體系的建設起著至關重要的作用。

(二)相關規定的進一步解釋

對《民法典》進一步解釋之前,需要明晰民法與《個人信息保護法》之間的關系。對于民法與《個人信息保護法》的關系有以下兩種觀點:一種觀點認為民法中規定了個人信息保護的內容,所以個人信息保護具有民事屬性,應作為民事特別法[18];另一種觀點認為《個人信息保護法》兼具公法與私法屬性,應該是一部綜合性的規范,而非民事特別法[6,19]。本文認為我國的《個人信息保護法》并非《民法典》的民事特別法,屬于綜合法范疇,但是《個人信息保護法》中的民事規范部分具有特別法的特征。雖然學界對于《個人信息保護法》的性質眾說紛紜,但可以確定的是,《個人信息保護法》中的民事規范與《民法典》隱私權部分存在多處銜接。例如《民法典》中對個人信息的定義與《個人信息保護法》中對個人信息的界定基本相同,這象征著一種銜接的關系。在此基礎上,本文對《民法典》第四編第六章做進一步的解釋。

1.法律主體之間的銜接

《民法典》擬制民事法律關系是平等主體之間的發生的,而《個人信息保護法》大部分內容針對的是信息處理者,并對弱勢群體予以傾斜性保護。雖然兩者針對的主體有差別,但是《民法典》與《個人信息保護法》中均規定了個人信息保護的內容。《民法典》第四編第六章規定的是與隱私性權益相關的個人信息保護內容,而《個人信息保護法》是對信息處理過程的規定,這看似存在矛盾,但是實際上體現了我國個人信息保護制度的特色。這種制度安排一方面說明《民法典》在《個人信息保護法》中起提綱挈領的作用,在私法層面強調了其重要性,另一方面為個人信息流通劃定了“權利”的底線——個人的人格尊嚴不容侵犯。當信息處理過程中觸及隱私權等人格性利益,無論雙方主體是什么身份,兩者均處于隱私關系當中,應該依據隱私權優先給予保護,其中主要涉及與人格相關的救濟。所以說,相比于《個人信息保護法》,《民法典》雖然涉及的主體范圍更廣,但是保護的內容更精準、對人格的保護更嚴格。

2.私密信息與敏感信息的處理

《民法典》第一千零三十四條規定:“個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。”這說明兩者之間的重合點限定于私密信息,即自然人不愿為他人知曉的信息(例如婚姻信息、財產信息、健康信息、家庭信息、醫療信息等)。是否私密是劃分信息的一個標準,私密信息屬于《民法典》保護的范圍,非私密信息屬于個人信息保護的范疇。由此來看,私密性標準與隱私掛鉤,所以信息的私密性程度越高,越關涉隱私保護程度與力度。另一個劃分信息的標準為敏感信息與非敏感信息,這是處理個人信息時的分級標準。《民法典》更關注的是與人格尊嚴相關的隱私信息,而非個人信息的敏感程度。換句話說,《民法典》在乎隱私性權利與利益,而《個人信息保護法》在乎的是具體操作與信息處理的過程是否合法,這個過程會涉及信息的分級處理問題。因此,自然人之間有關私密信息的糾紛適用于隱私權保護,自然人與信息處理者之間的糾紛,更注重個人信息本身的性質以及處理個人信息過程是否合法。

3.當事人主張單個相關權利時的處理

民法規定平等主體之間的法律關系,權利與義務基本呈現對等的關系。而《個人信息保護法》的適用是具有一定前提的,一般針對的是商業化、專業化的大型企業或者公共機構,他們之間所形成的法律關系更呈現為持續的不平等的權利義務關系,體現在信息收集與利用的過程中。在這種法律關系中,信息主體享有更多的積極性權利,而信息收集者要承擔更多的義務。例如:當事人基于訪問權、被遺忘權、刪除權、查詢權提出請求,這時需要《個人信息保護法》保護。所以,涉及自然人與信息處理者之間有關私密信息的糾紛,個人可以基于隱私權提起訴訟,也可以就個人信息保護提起訴訟,這取決于所主張權利的性質。如果所主張的權利是人格性、消極的隱私權利的保護,那么需要民法的保護;如果主張的是積極性的權利,那么可以通過《個人信息保護法》保護。一方面,雖然隱私權開始向積極性權利開放,但是經前文分析,《個人信息保護法》具有民事規范特色的部分屬于特別法。基于特別法優于一般法的原則,在實際操作時還應當援用特別法加以保護。另一方面,積極性權利涉及信息處理的過程,需要更加嚴格的監管,受《個人信息保護法》的特殊保護。

4.當事人主張多個相關權利時的處理

如果個人信息保護糾紛涉及多種權利,勢必存在哪種權利優先保護的問題。《民法典》第一千零三十四條規定私密信息優先適用隱私法,實際上暗含個人信息保護中的一條原則:如果兩者相沖突,由于隱私性權益具有更重要的意義,所以依靠基本法優先保護。所以,當事人主張多種權利時,無論依賴哪部法律,隱私性權利或者利益總是能夠得到優先關注與保護。

(二)我國個人信息保護路徑的設計與展望

我國有著獨特的法律與市場環境:第一,信息技術革命的興起使得人們的思想方式、交往方式、商業環境產生了翻天覆地的變化,個人信息收集與利用方式也逐漸翻新,傳統的私法保護方式無法應對現實。第二,我國有著大陸法系的成文法習慣,在立法與實踐上習慣于綜合性立法。第三,我國政府在提倡營造良好營商環境的同時,也十分警惕數據泄露與非法跨境傳輸。我國擁有眾多大型互聯網企業,例如阿里巴巴、騰訊、字節跳動、京東等,這就決定了我國在數據治理的過程中要權衡好數據保護與數據流通之間的關系。

結合相關背景與立法,我國對個人信息的保護有望采取國家主導、公法私法結合、社會力量多方參與的合作治理的方式。國家通過立法、執法統一治理,發揮政府靈活能動的職能,對信息與數據的收集使用進行監管與保護。行業通過自律性制度形成行業共識與標準。公民通過參與共治了解企業運作模式,減少信息不對稱問題等。這種方式表現為一種不同于歐美的制度設置,本文稱之為“統籌兼顧型”設計。在這種治理模式當中,一方面,應當對隱私權與個人信息保護進行雙重關注,兼顧人格權與日常信息處理的程序性監管;另一方面,在具體的監管過程中采取更加靈活的方式來應對復雜的數據風險問題。

1.基本法層面的權利與權益設置

《民法典》中有關個人信息的規定在一定程度上是在基本法的層面確定了個人信息相關權益的重要意義。2021年8月20日通過的《個人信息保護法》在憲法層面對個人信息予以高度重視(13)2021年8月20日第十三屆全國人民代表大會常務委員會第三十次會議通過了《個人信息保護法》,該法于2021年11月1日起實施。第一條:“為了保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用,根據憲法,制定本法。”。這不僅為個人信息保護設置了底線——人的人格尊嚴不容侵犯,也為《個人信息保護法》的實施設置了銜接點。在這一點上,我國吸取歐盟立法的優勢,注重權利的設置,其不僅以實體法的方式存在,而且以程序啟動的正當性基礎獲得了新的生命力,為后續的信息處理過程提供了更多的原則性指導。除此之外,不同于歐洲的是,我國重視隱私權與個人信息保護之間更緊密的銜接,為具體適用提供了可供參考的依據。協調好隱私權與個人信息保護兩者之間的關系是建立我國自洽制度的前提與基礎。

2.信息處理過程中的信息分類與場景保護

信息分級管理是個人信息保護制度中的重要環節。根據主體的不同,信息可以分為個人信息、商業信息與公共信息等;根據敏感程度不同,信息可以分為敏感信息與非敏感信息;根據重要程度不同,信息可以分為普通信息、重要信息與核心信息;等等。信息分級與分類的目的是根據信息關系的不同進行場景化保護。Nissenbaum[20]140提出的場景理論對此進行了較為詳實的研究。個人信息要在不同場景與關系中予以保護。例如,法律對敏感信息做了更為嚴格的規定,我國《個人信息保護法》第二十九條規定:處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。我國《數據安全法》確定了數據分類保護制度,區分了重要數據與核心數據的概念,等等。對于信息和數據的分級和分類也需要行業與專業層面的參與和協助,這將會促進合作治理的進程。

3.風險治理

個人信息保護的一個重要方面就是預防風險、管控風險。目前,我國關于風險防控的法律包括《個人信息保護法》《數據安全法》《網絡安全法》《國家安全法》等。2021年7月10日,國家互聯網信息辦公室發布了《網絡安全審查辦法(修訂草案征求意見稿)》,向社會公開征求意見(14)國家互聯網信息辦公室.國家互聯網信息辦公室關于《網絡安全審查辦法(修訂草案征求意見稿)》公開征求意見的通知[EB/OL].(2021-07-10)[2021-07-15].https:∥mp.weixin.qq.com/s/U17ju wADOhA5yZNle-bsSA.。這是具體落實風險防控的關鍵舉措,也是個人信息保護制度的重要環節。個人信息風險防控包含在信息收集、儲存、利用與共享的每個步驟中,由于技術性較強,需要進行綜合治理,需要主管單位事前、事中與事后的多方位監管,需要監管與技術并行,行業與企業共同參與。

五、結語

世界范圍內國家與地區乃至企業對個人信息與公共信息的保護都深受國家安全與政治安全所影響。從《個人信息保護法》的頒布可以看出,我國對于個人信息保護的態度十分堅定與明確,同時兼顧了個人信息流通的良性發展,這種統籌兼顧型的制度設計帶有鮮明共治共享的中國特色。

從國家層面來看,解決好隱私權保護與個人信息保護的協調問題有助于平衡個人信息保護與數據流通。我國的個人信息保護應該從制度建設出發,以合作治理作為抓手。治理并非簡單的部門法相加,而是要更注重公眾參與風險防控。我國亟待建立完善個人信息保護與數據合作的治理體系,在制度與適用上做好安排,通過法律法規具體實施,進一步細化,在《民法典》塑造的“共商共治共贏”環境中最終實現國家治理體系和治理能力現代化。