論個人信息權益濫用的私法規制

譚佐財

武漢大學 法學院,湖北 武漢 430072

《中華人民共和國民法典》(以下簡稱《民法典》)人格權編設專章對隱私權和個人信息保護作出規定,《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)進一步細化和完善了《民法典》關于個人信息保護的相關條款,較為細致地規定了個人信息主體的權利和個人信息處理者的義務,由此構建了較為完備的個人信息保護體系[1]。中國個人信息保護已經發展到一個全新階段。在強化個人信息保護的同時,不能忽視信息主體濫用法律賦予的權益損害國家利益、社會公共利益或者他人合法權益的情形。孟德斯鳩曾作出經典論斷:“一切有權力的人都容易濫用權力,這是萬古不易的一條經驗。”[2]184盡管該論斷是針對國家權力制衡而言的,但對于民事權利的行使同樣具有啟發意義。實際上,個人信息權益濫用現象被理論和實踐淡化甚至遮蔽。在規范上,盡管現行法對個人信息權益設有一定限制,但更側重權利構成層面,在權利行使限制層面存在不足;在學理上,圍繞個人信息保護形成了卷帙浩繁的文獻,集中于討論個人信息法律屬性、信息與數據、隱私等相關概念辨析、告知同意等具體規則的建構與解釋等方面,盡管也有研究注意到對個人信息權益的限制,但對個人信息權益濫用的關注明顯不足。造成此種現象的原因是多方面的,一是個人信息保護理念的不斷強化和渲染;二是無論是個人信息還是隱私均兼具個體價值與社會價值[3],但實踐中未能妥善處理信息主體利益與公共利益的關系;三是借鑒域外立法和裁判的個人信息權益規則缺乏本土實踐經驗的充分積累導致規則本身具有模糊性。

從整個法律體系上看,對個人信息權益濫用的規制具有規范依據。《民法典》第一百三十二條沿襲《民法總則》新增的禁止權利濫用原則:“民事主體不得濫用民事權利損害國家利益、社會公共利益或者他人合法權益。”《最高人民法院關于適用〈中華人民共和國民法典〉總則編若干問題的解釋》(以下簡稱《民法典總則編解釋》)第三條對民事權利濫用的判斷標準及法律效果作了細化規定(1)《民法典總則編解釋》第三條第一款和第二款分別從動態系統論和損害目的的角度規定了濫用民事權利的判斷方法;第三款規定了“不發生相應的法律效力”和侵權責任兩項法律后果。。本文以此為依據闡釋禁止權利濫用原則能否以及如何調適個人信息權益濫用行為,并為之提供教義方案,以期引起各界對個人信息權益濫用現象的關注。

一、限制個人信息權益的雙層模式

根據權利限制的不同路徑,權利限制的模式可以劃分為權利構成模式和權利行使模式。權利構成模式是從權利構成要件方面進行權利限制,而權利行使模式則是從權利行使方面施加權利限制。二者均會因公共利益作出讓渡權利的安排,并共同構成個人信息權益的限制體系,但尚有諸多不同。其一,限制路徑不同。前者直接否認權利之成立,后者則是以權利成立為前提進而限制權利行使。其二,判斷方式不同。前者不需要進行利益衡量,后果直接表現為不享有此項權益,而對后者的判斷,則以享有相應的權益為前提,以利益衡量為工具。其三,限制方式不同。前者系內部限制,即由權益本身的構成要件及其例外規定、法律責任進行設定;后者則是外部限制,以禁止權利濫用原則為限制依據。其四,法律效果不同。前者喪失請求權基礎或者直接免除信息處理者的責任(《民法典》第一千零三十六條),但后者不僅“不發生相應的法律效力”,而且權利人還可能承擔損害賠償義務,即因權利不當行使產生“第二性義務”。此外,二者在優先順序、論證負擔上也有所差異,權利構成限制優先于權利行使限制,且論證負擔明顯低于權利行使限制。從個人信息保護的法律規范來看,無論是《民法典》還是《個人信息保護法》,對個人信息權益的限制均側重于對個人信息權利構成本身的限制,而淡化了權利行使的限制。

(一)權利構成模式導向之局限

1.權利構成之適用窘境

權利構成模式對個人信息權益的限制側重于協調信息主體與信息處理者的關系。但是,個人信息的轉讓或者交易也可能會損害公共利益。有學者提出對個人信息交易進行限制正是此理,盡管此種限制違背信息主體之意愿[3]。在此意義上,個人信息的自由轉讓便無法適用權利構成模式進行調適。《個人信息保護法》也未對此作出直接規范。此外,權利構成模式適用范圍的限制會導致在涉及第三人利益時面臨局限,例如在行使查閱復制權、刪除權時可能損害其他信息主體的利益,立法機關認為,對此類現象可以運用公平原則來處理[4]115。公平原則作為基本原則,非經具體化不得直接作為裁判依據。相比較而言,運用更為具體的禁止權利濫用原則來處理此類問題顯得更為合理。一言以蔽之,適用權利構成模式所能解決的權利限制問題具有局限性,它主要調適信息主體與信息處理者之間的關系,但無法妥當調整信息主體與其他主體之間的關系。

2.權利構成之標準不一

通常認為,享有正當權利是構成權利濫用的基礎條件,如果當事人根本就沒有相應的權利,則依照具體權利確認效果即可,無需援引《民法典》第一百三十二條禁止權利濫用原則[5]103。但是,在判斷正當權利時究竟是采用形式要件抑或實質要件卻不無疑問,此種困惑也體現在最高人民法院的裁判觀點中。在一則指導性案例中,最高人民法院認為“惡意取得、行使商標權并主張他人侵權的,人民法院應當以構成權利濫用為由,判決對其訴訟請求不予支持”(2)參見王碎永訴深圳歌力思服飾股份有限公司、杭州銀泰世紀百貨有限公司侵害商標權糾紛案,最高人民法院第82號指導性案例。。其言下之意即行使通過惡意手段取得的形式上的商標權也可構成權利濫用,但從最高人民法院對《民法典總則編解釋》第三條的解釋又可看出,其又采用了實質判斷標準。由此可見,對權利構成的判斷常常較為復雜,不僅可能面臨難以清晰地形成權利有無之裁判結論的困難,而且通過司法裁判直接否定當事人權利之享有會面臨較大裁判風險。

3.權利構成之規范模糊

《個人信息保護法》中諸多權利構成上的限制均存在不清晰的問題。以《個人信息保護法》第十三條第二款為例,該條規定處理個人信息原則上應當取得個人同意,在法定情形下無需取得同意。其中包括“合理范圍”“緊急情況”等不確定法律概念,這也就意味著在特定情形下對個人是否享有同意權進行判斷充滿了不確定性。再如,《個人信息保護法》第四十四條后半句以“法律、行政法規另有規定的除外”排除了個人對其個人信息處理享有的知情權、決定權的情形。類似規定還體現于查閱復制權、刪除權、近親屬對死者個人信息享有的權利。例如,《個人信息保護法》第四十九條賦予死者近親屬查閱、復制、更正、刪除等權利,但是死者生前另有安排的除外。這實際上是死者本人意愿及利益高于近親屬享有的法定權利,換言之,死者近親屬享有的前述權利以不違背死者本人意愿為構成要件。但是,死者生前可能會面臨安排不明確、安排明顯不當、安排明顯有損自身利益等情形,法院可能面臨難以判斷近親屬是否享有此項權利的難題。

(二)權利行使模式應用之證成

1.權利行使模式的必要性

第一,現行法對個人信息權益行使限制的直接規范存在不足。數字時代的個人信息保護處于動態變化之中,且中國奉行“宜粗不宜細”的立法原則,無論是《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)、《民法典》還是《個人信息保護法》均屬于基本法律,再加上種類繁多的個人信息權益類型、行使方式,故立法無法對個人信息保護與限制情形作出全面細致的規定。盡管《個人信息保護法》是一部體系完備的個人信息保護的基礎性法律,但是相關規定設置了諸多例外規定和引致規定。該法累計9個條文設置了“除外”規定,20個條文設置了“法律、行政法規”的引致性規定。這種立法模式為信息主體濫用權利提供了可乘之機。但《個人信息保護法》立法目的乃基于個人與信息處理者在技術、信息、經濟地位等方面的嚴重不平等地位而作出的矯正性規定,具體手段是賦予個人相應權利和對個人信息處理者施加大量義務[6]336。這一基本價值立場也決定了《個人信息保護法》實際上無法對權利行使的限制作出過多規定,因此,需要從法律體系的角度在《個人信息保護法》之外汲取有益養分。

第二,禁止權利濫用原則可以作為指導制定規范性文件或者行業規范的基本依據。無論是在規范上還是在學說上,個人信息權益的法律地位均被設定為基本民事權益或基本權利。可以說,此種位階決定了行政規范性文件不得隨意對其進行限制。但是,在特定領域通過發布規范性文件或者行業規范等對個人信息權益的行使進行合理限制也具有必要性。例如,《個人信息保護法》并沒有對查閱復制權的具體行使作出細致規定,而是由《征信業管理條例》等具體規范進行規定,此時便可由《民法典》禁止權利濫用原則對個人信息權益行使的限制規定作合法性考量。另外,在對個人信息保護尚有不足的現實情況下,對個人信息權益行使的不少限制性安排只能留待裁判實踐和各行業去積累實踐經驗,待條件成熟時再上升為正式立法。在此之前,禁止權利濫用原則不僅可以作為制定規范性文件的標尺,也可以作為處理個人信息權益濫用的“黃金法則”。

第三,禁止權利濫用原則作為填補漏洞的依據。盡管告知同意是個人信息處理的基本規則,但是個人信息保護的相關規則仍然為告知同意設置了諸多例外。尤為重要的是,《民法典》《個人信息保護法》以“法律、行政法規規定”為告知同意規則的排除適用保留了通道。例如,《民法典》第一千零三十三條將“法律另有規定”作為侵犯隱私權的例外,第一千零三十五條第一款第(一)項將“法律、行政法規另有規定”作為處理個人信息同意原則適用的例外,等等。這一現象并沒有引起理論界的足夠重視。實際上,中國有關個人信息保護的民事案件數量并不多(3)在北大法寶數據庫分別以“個人信息保護糾紛”為案由、以“個人信息”為標題關鍵詞檢索民事糾紛,截至2022年4月21日,檢索結果分別為13例和118例。盡管“個人信息保護糾紛”案由于2020年12月30日才被增設,但是此類民事糾紛的數量仍不算多。,個人信息保護立法主要是基于域外立法例的借鑒和學理上共識的運用,缺乏國內實踐經驗的充分積累。在此背景下進行的立法并不足以完全應對未來的個人信息保護與限制的實踐需求。即便法律、行政法規尚未明確規定告知同意規則的排除情形,這并不意味著告知同意可以不加區分地予以適用。在法律、行政法規尚未與《民法典》《個人信息保護法》建立銜接規則時,禁止權利濫用原則作為填補漏洞工具有其必要性。

2.權利行使模式的可能性

在《民法總則》頒布之后,對于禁止權利濫用規范的性質,學理上仍然存在“基本原則說”“規則說”“概括條款說”“介乎原則和規則之間的中間狀態說”等觀點。禁止權利濫用作為法體系中的一般性規范,在《民法典》中雖不具有基本原則的體系地位,但也并非具體規則,故《民法典》第一百三十二條仍可以定性為禁止權利濫用原則。這一原則能夠發揮對權利行使之限制功能,在個人信息權益濫用中也具有適用可能。

首先,《民法典》與個人信息保護的關系。將禁止權利濫用原則適用于個人信息權益的規制須回應如下學說分歧:一是《個人信息保護法》與《民法典》之關系,二是個人信息的權利(益)的法律屬性。這些分歧根本上就是個人信息權(益)究竟是民事權利還是公法權利之爭。一方面,《民法典》與《個人信息保護法》均旗幟鮮明地確認了個人信息的民事權益屬性,解釋論也應當以此為前提展開,而且個人信息權益的保護與限制是一體兩面的關系,《民法典》在為個人信息保護提供制度供給時[7],也能為個人信息權益限制提供規范依據;另一方面,盡管個人信息權益包括諸多手段性權利或者方式性權利,更多地體現為一種權能,但是這并不妨礙將個人信息權益本身歸為權益范疇。既屬權益范疇,則有權益行使之邊界。此種邊界可以由法律直接明確規定,也可以基于法價值的判斷或者法體系的闡釋所形成。故從整個法體系觀之,禁止權利濫用原則為個人信息權益行使設定了一般邊界。

其次,個人信息權益屬于民事權利范疇。《民法典》第一百三十二條規定“民事主體不得濫用民事權利損害國家利益、社會公共利益或者他人合法權益”。從文義上看,該條款適用的前提是民事主體享有特定的民事權利,但《民法典》人格權編第六章和《個人信息保護法》均未采取“個人信息權”或者“個人信息權利”的概念。從《個人信息保護法》第一條可以看出,立法采取了“個人信息權益”的概念。立法之本意是將個人信息當作利益保護。在方法論上,一般語言用法或者當時立法者視作是標準的語言用法劃定規范文本“可能的文義”,且制定法上的特殊語言用法優于一般語言的習慣用法[8]405-406。《民法總則》第一百一十一條是中國民事基本法對個人信息受法律保護首次直接作出的規定,且《民法典》第一百一十一條與第一百三十二條均規定在《民法典》總則編民事權利章。從《民法典》總則編第六章的體例安排可以看出,立法者也無意將個人信息權益排除于禁止權利濫用原則的規范范圍。事實上,盡管權利與權益在概念上的差異具有法理上的考慮,但是這并不會影響到禁止權益濫用原則對個人信息權益作出限制。

3.權利行使模式的優越性

權利行使模式是對信息主體權利行使行為的規制。相較于對個體權利構成進行限制,在權利行使上進行行為規制更符合民法原理和現實需求。

當對是否享有某項個人信息權益難以形成妥當裁判結論時,運用禁止權利濫用原則對權利行使進行控制,有助于裁判妥當。相較于對當事人是否享有一項正當權利進行司法判斷,法院對個人信息權益的行使方式是否具有合理性和合法性判斷更為便捷。原因在于,前者更具模糊性,而后者由客觀事實進行判斷相對清晰。例如,《個人信息保護法》第四十八條規定信息主體享有對個人信息處理規則的解釋說明權利,但由于該項權利內容和范圍充滿了復雜判斷因素,故在構成判斷上可能面臨困難。如果法院跳出權利構成思維,僅結合客觀事實表明信息主體享有形式上的解釋說明權利即可,至于是否享有實質權利則暫且不論。繼而,再由禁止權利濫用原則對權利行使方式進行評價,如果信息主體對于形式權利的行使不當,則配置權利濫用的法律效果。此外,在當前個人信息保護尚存不足的背景下,直接否定個人信息權益的享有既不符合個人信息權益保護的價值立場,也難以為社會大眾所接受。

實際上,從禁止權利濫用原則發展的歷史脈絡來看,其最初應用于財產權利尤其是物權,但是目前已經逐步延伸到人格權、身份權甚至基本權利,已經成為權利領域的核心原則和基本法理。一方面,盡管禁止權利濫用原則誕生于私法領域,但是經過實踐和理論的發展,已經逐步運用到公法領域,用以控制公民行使基本權利時的濫用行為;另一方面,個人信息權益不僅僅是民事權利,也是憲法基本權利,實踐中由個人信息權益引發的行政訴訟或者行政復議案件并不鮮見。因此,禁止權利濫用原則具有凌駕于公私法之上的優勢,使論證焦點不必桎梏于個人信息權(益)的公私法屬性。

在大數據時代,個人信息常常以數據方式記載。信息主體(數據主體)與信息處理者(數據企業)共同分享信息利用所帶來的紅利。盡管有研究提出“數據企業對合法收集的包括個人數據在內的全部數據擁有支配的權利”[9],但是實際上數據企業對個人數據享有的權利以及數據主體的權利的性質、內容等并不清晰。此時,不妨考慮通過權利行使限制模式為數據主體行使權利設定邊界。原因在于,權利構成限制模式的適用常常困囿于權利的本質、目的、內容等具體問題,但是權利行使限制模式在一定程度上可以跳出前述桎梏,從數據主體與數據企業的利益平衡的角度判斷之,故而更具可操作性。

二、個人信息權益濫用的表現形式

《個人信息保護法》第四章“個人在個人信息處理活動中的權利”對信息主體賦權時并未同時設定邊界或者邊界不夠完整,呈現出個人信息賦權有余而限制不足的現象。無論是《民法典》還是《個人信息保護法》,其中的個人信息權益規范均涉及大量的不確定法律概念,而且對于諸如敏感個人信息、私密信息等基礎概念也尚未形成共識,容易造成權利假象。在為個人信息保護歡呼雀躍時,實際上也對司法裁判和社會個體行為產生了潛移默化的影響,助長了個人信息權益的濫用。結合個人信息保護實踐和權利濫用理論,個人信息權益濫用在實體法和程序法兩個維度上具有不同表現形式。

(一)實體法維度

《民法典》《個人信息保護法》共同建構了個人信息權益的基本框架。知情權、決定權是個人信息權利體系中的基礎性、概括性權利,其中知情權包括處理個人信息前的告知、要求信息處理者公開處理規則,以及“個人在個人信息處理活動中的權利”一章所規定的查閱復制權、解釋說明權等權益;決定權則包括對個人信息處理的同意權、拒絕權、同意的撤回權,以及該章規定的可攜權、更正補充權、刪除權等權利[4]113。這些實體權利的濫用主要表現為如下形式。

1.違反目的

綜觀比較法經驗及學說,普遍認為權利目的是判斷權利濫用的關鍵要素。例如,《荷蘭民法典》第13條明確將違反權利設定目的作為權利濫用的情形之一;奧地利有學者認為,要確認權利濫用的存在,必須考慮權利人行使具體權利的目的,如果根據法律秩序的評價,此種目的是被明顯否定的,那么此時即構成權利濫用[10]139;美國判例法也指出行使權利的目的并非權利存在的目的時構成權利濫用(4)參見Karaha Bodas Co., L.L.C.v.Perusahaan Pertambangan Minyak Dan Gas Bumi Negara,364 F.3d 274(5th Cir.2004).。同理,個人信息權益濫用的情形之一即權益之行使與個人信息權益保護之目的背道而馳。根據權利本身之性質不同,對權利目的可作不同判斷。路易·若斯蘭提出“權利三分法”,即按照無因權利、利己權利和利他權利區別判斷。利己權利意味著權利之行使以自身利益為行權目的,否則就構成權利濫用[11]258-262。個人信息權益屬于典型的利己權利,故非以自身利益為行權目的之權益行使行為將悖于權益之目的。此外,違反個人信息權益目的還包括立法目的與規范目的兩個方面。其一,違反立法目的。立法目的條款統攝具體權利,《個人信息保護法》將保護個人信息權益、規范個人信息處理活動、促進個人信息合理利用共同作為其立法目的,盡管個人信息權益保護是《個人信息保護法》的核心宗旨,但后者亦不可偏廢,“促進個人信息合理利用”實際上便蘊含了應當在個人信息權益保護與個人信息合理利用之間達致平衡。其二,違反規范目的。《民法典》《個人信息保護法》的個人信息權益規范構成了個人信息權益的基本體系,其中每項權益規定均包含了內在價值與目的,個人信息權益保護的對象是正當、合理、合法的權益,違反權益規范目的之行使權利行為導致國家利益、社會公共利益或者他人合法權益遭受不合理損害時,構成信息權益的濫用行為。例如,在“史海波與中國移動通信集團浙江有限公司寧波分公司電信服務合同糾紛案”中,原告要求被告恢復其號碼正確的實名制信息,被告以原告持有約750張移動電話卡具有非正常移動通信用途而拒絕恢復(5)參見浙江省寧波市鄞州區人民法院(2019)浙0212民初1925號民事判決書。。盡管《個人信息保護法》第八條規定“處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響”,但是信息主體主張之權益因違反電信用戶管理的相關規定且與更正補充權之規范目的相違背,故構成權利濫用。

2.利益失衡

信息主體不僅是權利主體,同時也是義務主體。尤其是在信息主體與其他民事主體的利益存在博弈時,如果僅強調信息主體之絕對權利,對于信息處理者的義務過重,可能導致另外的不公平。信息本身以及信息流通可能關涉他人和公共利益,具有公共屬性。信息主體與信息處理者之間存在持續的緊張利益關系,在某種意義上,個人信息保護秩序正是在不斷紓解此種緊張利益關系的過程中才逐漸被構建起來。利益沖突是權利行使過程中的常態,需要在享有重大利益一方與微小利益一方相對抗時進行利益衡量。當信息主體行使信息權益導致信息主體與信息處理者之間的利益發生嚴重失衡時將構成權利濫用。這主要表現為信息主體行使相應權益導致信息處理者承擔不合理的成本。例如,過度或者頻繁行使查閱復制權,造成信息處理者人力、物力、財力的不合理負擔,尤其是在免費提供查閱復制服務的場合更為突出。為防止此類濫用現象,比較法上對費用問題作了具體規定,但中國法律尚缺乏一般性規定。再比如,行使信息可攜權也會不合理地增大信息處理者的技術成本。結合比較法立法例,可攜權的實現要求統一機器可讀的數據格式,且數據提供方與數據接收方之間建立轉移數據的通道。這對于信息處理者而言,可能意味著巨大的成本和代價[12]64。例如,某歌迷要求A音樂平臺將自己的聽歌記錄數據傳輸給B音樂平臺,A音樂平臺則認為即使提供給B音樂平臺,由于數據存儲格式完全不同,其也無法識別聽歌記錄[13]335。歐盟《一般數據保護條例》第32條規定技術與組織措施需與風險相匹配,實際上也是要求個人信息保護與信息處理者所支出技術成本等的合比例性。在行使刪除權時,“如果一個數據庫非常復雜,那么一個程序員要耗費幾十個小時(或更多)從新數據中整理出舊數據并準確地刪除不再需要的部分”[14]35。行使刪除權即使會造成企業負擔不合理的成本,刪除的信息對于信息主體而言也并非重要,此時若堅持行使刪除權,則構成權利濫用。在“胡紅芳與上海攜程商務有限公司侵權責任糾紛案”中,法院雖然認可胡紅芳享有個人信息實體權益及相應訴權,攜程公司也存在不當處理胡紅芳個人信息的行為,但同時認為民事責任的承擔方式應與侵權行為相適應,原告關于增加不同意使用信息仍可使用應用程序(App)的選項超出了權利救濟的必要范圍(6)參見浙江省紹興市中級人民法院(2021)浙06民終3129號民事判決書。,造成當事人之間的利益失衡,構成權利濫用。

3.矛盾行為

從行為自由的角度出發,權利人可以根據自己意愿隨意改變行為,作出其他有利于自己的安排,這本不具有可苛責性。換言之,法律通常不能干預私人的前后矛盾行為。私法中的矛盾行為是指基于之前的行為使對方產生了值得受保護的信賴,基于該信賴使得對方實施某些行為,但由于新情況的出現該行為會給對方造成損害(7)參見BGE 110 II 494 ff.(498), E.4.。權利外觀或者權利行使(或不行使)所產生的信賴受法律保護,制造合理信賴的一方對改變先前行為并因此打破此種信賴時也應當承擔相應的責任。信息處理者基于信息主體之明示或者默示同意后,又要求信息處理者作出與之前同意內容不同甚至相反的處理活動,此即信息主體的矛盾行為。例如,信息處理者基于信息主體自行提供的瑕疵個人信息內容進行公示,在合理期間內信息主體未對個人信息內容提出異議,之后再要求信息處理者補正瑕疵。

4.濫用形式瑕疵

《個人信息保護法》規定書面形式作為個人信息處理的形式要求之一。當事人已經實際履行雙方關于敏感個人信息處理的約定,或者信息主體惡意導致了未能通過書面形式達成同意,嗣后又以形式瑕疵為由主張構成個人信息侵權,構成權利濫用。《個人信息保護法》第十五條對撤回同意不具有溯及力的規定僅明確了撤回有效同意的效果,但無法規范因欠缺形式要件而導致無效同意之情形。此時可以將其歸入權利濫用理論中的濫用形式瑕疵之情形,應當對以此種形式瑕疵行使權利的行為予以否定性評價,從而使存在形式瑕疵的法律關系不受影響。

(二)程序法維度

訴權之本質在于維護當事人合法權益,信息主體濫用訴權理應受到否定性評價。從中國裁判實踐來看,個人信息濫訴現象較為突出(8)在“威科先行”數據庫中以“標題:個人信息保護”為檢索條件,截至2022年4月25日,共96條檢索結果,其中撤訴率高達54.74%,一審全部/部分支持原告訴請的案件僅占比5.26%。,主要表現為信息主體在沒有充分的事實基礎和法律依據時提起訴訟,或者提起訴訟之目的并不在于維護其合法權益而是獲取其他非法利益。在“杜某訴某網絡公司個人信息保護糾紛案”中,被告已通過協議約定和后臺設置了個人行使權利的申請受理及處理機制,原告本可通過以上方式行使個人信息知情權和決定權。但原告提起訴訟前并未向被告提出請求,而是徑行提起訴訟請求權利救濟,法院即對此種方式給予了否定性評價(9)參見杭州互聯網法院(2022)浙0192民初4330號民事裁定書。。事實上,在個人信息處理保護活動中,由于信息處理活動多、范圍廣、類型復雜,若信息主體濫用訴權隨意提起訴訟,將會造成司法資源的極大浪費,并客觀上增加信息處理者應訴負擔。

(三)個人信息權益限制的不足

個人信息本身就承載著公共性,其中包含了支持個人信息權益存在的多元性公共利益[15]。也正因如此,對個人信息權益的限制成為立法不容忽視的問題,實際上《網絡安全法》《民法典》《個人信息保護法》均不同程度地設置了相關規定,尤其是在《個人信息保護法》“個人信息處理規則”與“個人在個人信息處理活動中的權利”兩章作出了部分規定。例如,《個人信息保護法》第十三條規定無需取得個人同意的六種情形、第十八條規定處理個人信息無需告知個人的兩種情形、第二十七條限制已公開個人信息的權利、第三十五條規定國家機關處理個人信息時不需告知的情形,等等。盡管如此,《個人信息保護法》中針對個人信息的諸多具體權益仍然存在未設限制規范、限制不足或者限制不明確等問題,如表1所示。

表1 《個人信息保護法》中個人信息權益的限制情況

由表1可知,立法上并未普遍性地針對各項權益設置權利構成型和權利行使型限制規范,即便在設置了雙重限制模式的具體權益中也同時將引致型規范作為限制條件,如此使得限制依據具有了開放性。

一是未設限制規范。立法上并未對更正補充權和解釋說明權作出明確限制。對更正補充權進行絕對保護意味著,但凡個人信息不準確、不完整,信息處理者均需及時予以核實、更正和補充,但是請求更正、補充也需要進行成本考量并符合比例原則,如果請求更正、補充不影響個人實際權益之信息或者由信息主體自行提供的具有輕微瑕疵的信息,實際上并不必然具有正當性,因此未對此作出限制的規范存在明顯漏洞。此外,行使解釋說明權可能會侵害信息處理者乃至第三方的商業秘密,尤其是在應用算法處理個人信息的解釋說明義務與算法的商業秘密保護之間會形成沖突。在《個人信息保護法(草案)》一審稿審議過程中,有建議提出,涉及商業秘密的,個人信息處理者對其處理規則可以不解釋說明,但立法最終沒有采納。這并不意味著對涉及商業秘密的處理規則不加保護,算法的商業秘密保護實際上構成對個人信息解釋說明權限制的正當性基礎。

二是限制不充分。個人信息有時直接關涉公共利益,且在當前的信息存儲技術下,在物理上完全刪除個人信息面臨技術困難,因此《個人信息保護法》第四十七條第二款對刪除個人信息在技術上難以實現時的救濟措施作了除外規定,該除外規定已經蘊含了禁止權利濫用的精神。但是,此種限制并不夠充分。例如,基于促進信息技術發展的考慮,在刪除權適用于作為信息流通中介的搜索引擎時應當作必要限制[16],但立法并未注意到對權利行使對象的限制。另外,歐盟《一般數據保護條例》第15條規定了“數據主體的訪問權”,同時該條例還對行使查閱復制權的費用、形式等作出了具體規定。相比較而言,《個人信息保護法》第四十五條盡管規定了行使查閱復制權的除外情形——法律、行政法規規定應當保密或者不需要告知的情形以及妨礙國家機關履行法定職責,但這僅系查閱復制權的構成限制,而非對查閱復制權行使作出限制。

三是限制不明確。此種情形主要產生于基礎性概念的模糊性和法律規定的開放性。一方面,基礎性概念的模糊導致限制措施具有較大靈活性。例如,《個人信息保護法》第四十七條規定的“技術上難以實現”本身就缺乏明確邊界。再如,《民法典》第一千零三十三條規定了兩項排除隱私權侵權的情形,即法律另有規定和權利人明確同意。隱私信息與非私密信息的重要區別就在于,處理隱私信息需要法律授權或者權利人明確同意,而非私密信息僅需要默示同意即可[17]185。由此可見,權利人明確同意構成了處理隱私和個人信息的不同標準。但是問題在于,如何認定“同意”的形式以及范圍并不明確。《民法典》第一千零三十六條規定行為人在自然人或者其監護人同意的范圍內合理實施的行為免責,也具有類似問題。另一方面,通過“法律、行政法規另有規定的除外”“符合國家網信部門規定條件”這些引致性規范使個人信息權益的限制具有開放性。盡管《個人信息保護法》第四十七條第一款設置了“法律、行政法規規定的其他情形”這一兜底條款,但是這一兜底條款并未賦予法官自由裁量權,而是引致性規范。與之不同的是,《兒童個人信息網絡保護規定》第二十條針對兒童個人信息的刪除權采取“包括但不限于以下情形”之規定模式,則更具有開放性和靈活性。

三、個人信息權益濫用的判斷及效果

(一)個人信息權益濫用的判斷框架

有關權利濫用的構成標準,學界形成了一定共識。但是對于判斷權利濫用行為本身究竟采取“主觀要件說”還是“客觀要件說”仍存分歧,前者以損害他人利益為目的,后者則通過利益衡量進行判斷。《民法典》第一百三十二條并未明確立法態度,立法釋義書中載明主流意見為“主觀要件說”[18]423。《民法典總則編解釋》第三條則運用動態體系論的方法構建了以客觀要素為原則、以主觀要素為例外的判斷標準。實際上,無論“主觀要件說”抑或“客觀要件說”,利益之失衡均不可不查。在個人信息權益行使情形下,造成公共利益或者他人合法權益損害以及行為的可苛責性是構成信息權益濫用最為核心的判斷要素。

1.損害公共利益或者他人利益的確定

首先,按照利益相關性確定利益主體范疇。《民法典》第一千零三十六條第(三)項僅將維護公共利益和本人利益作為信息處理者免責的內容,依據文義來看,立法已經將維護他人合法權益作為了“否定的候選”,形式上排除了將維護他人合法權益作為個人信息處理者的免責情形。但該條款是否將免責情形交由法院進行個案裁量和判斷未為可知。《民法典總則編解釋》第三條之規范意旨表明,“任何權利的實現,不僅關涉權利人的利益,而且關涉義務人的利益以及國家和社會的利益”[5]90。由此可見,最高人民法院將《民法典》第一百三十二條禁止權利濫用原則中的“他人”限定為“義務人”。《個人信息保護法》第四章標題為“個人在個人信息處理活動中的權利”,這似乎也表明信息主體的權利直接指向信息處理者,并非指向其他主體。但實際上,個人信息權益行使過程中可能并非信息主體與信息處理者這種簡單的兩方結構,在信息主體、信息處理者之外尚可能存在不容忽視的利益相關第三人。維護信息處理者之外的他人合法權益同樣可以形成對個人信息權益的制約或者限制。因此,濫用個人信息權益損害的“他人”這一利益主體并不應限定為義務人,而是應當按照利益相關性確定其范疇。

其次,公共利益的合理范疇。個人信息包含權益保護與信息共享流通的雙重價值,兩項價值分屬個體利益與公共利益的范疇。如果個人信息權益的行使將極大地妨礙信息流通,可能會被納入損害公共利益的規制范疇。即便在個案中不具有如此強烈的社會效果,但是若實踐中均循此路徑,無疑會損害信息流通的公共性價值。在法學知識體系中,公共利益從來都是備受爭議的概念。個人信息保護上的公共利益過于寬泛將可能侵犯信息主體的合法權益,故必須為其劃定合理范疇。具體而言,第一,限制承載公共利益的情形。全國信息安全標準化技術委員會發布的《信息安全技術 個人信息安全規范》(GB/T 35273—2020)第8.7(e)條將國家安全、國防安全、公共安全、公共衛生、司法活動作為信息主體行使權利的公共利益內容,這實際上便大大限縮了個人信息權益限制中公共利益的適用范圍,值得肯定。除此之外,以必要的信息數據流通共享為基礎的數字經濟發展也可以納入公共利益情形,例如通過數據挖掘開發個人信息之上的數據價值帶給社會的經濟效益、社會效益不應被忽視[19]。第二,信息權益行使與公共利益損害之間的直接關聯性。二者之間需要具有法律上的直接關聯性,否則公共利益可能成為懸在信息主體之上的“達摩克利斯之劍”。第三,信息權益行使與公共利益損害之間的合比例性。個體權益與公共利益的關系并不具有必然的優先劣后關系,即便信息主體行使權益有損害公共利益之情形,但是若損害輕微且及時停止侵害,在個人信息保護尚不充分的背景下,也應當予以必要的容忍。

2.權利行使行為的可苛責性

若嚴格按照損害標準來調適個人信息權益糾紛,可能會面臨如下問題:由于信息主體與信息處理者之間的利益常常存在相互對立的關系,故信息主體行使權利可能會在客觀上造成信息處理者利益的減損。例如,按照《個人信息保護法》的相關規定,信息處理者需要為信息主體提供便捷的撤回同意的方式(第十五條)、為信息主體查閱復制支出物力成本(第四十五條)、為信息主體刪除信息支出人力成本(第四十七條)。通常而言,權利是在義務的履行中實現的。因此,若以損害他人利益這一結果標準來反推權利濫用,自會產生邏輯矛盾,并直接威脅個人信息保護的基本價值。因此,應當回歸對權利行使行為本身的法律分析。

首先,構建以合理性和合法性為要素的行為可苛責性分析框架。權利行使以享有權利為前提,因此否定權利之行使必須被嚴格限制方才具有正當性。換言之,行使權利的行為如果缺乏合理性、合法性基礎則具有法律上的可苛責性。合理性乃事實判斷,應以一般理性人標準進行判斷。例如,在以個人信息為基礎進行算法決策的場合,基于解釋成本的考量確定算法說明義務程度和范圍[20],但由于信息主體的文化素質、時間投入等因素的偏差,使得信息主體充分知悉個人信息處理重要事項難免強人所難,而且信息主體在作出同意的意思表示時往往很難預料到此種行為的實際效果和影響,這實際上可能構成表意的不自由[21]。但是,此種表意不自由并不屬于法律予以保護的內容。因此,法院應當以理性人標準確定義務內容,在個案中識別知情權保障與知情權濫用之區別。合法性則是法律評價,立法上不僅在內在體系上構建了保護與利用的雙重價值,而且對部分具體權益的行使設置了邊界,信息主體行使權利的行為逾越法律邊界則具有可苛責性,不過這一評價過程需要進行充分的價值判斷。

其次,嚴格遵循司法救濟的前置程序。《個人信息保護法》第五十條規定了個人信息處理者應建立申請受理、處理機制以及在拒絕個人行使權利時可以向人民法院起訴。由此可見,信息主體行使權利包含兩層含義:一是向信息處理者行使權利,二是通過訴訟途徑主張權利。信息主體因未能在信息處理者處實現權利而提起訴訟時,法院可直接判斷個人信息處理者拒絕信息主體行使信息權益的行為是否合法。這也就意味著,若信息處理者未通過明示或者暗示方式作出拒絕當事人行使權利的意思表示,當事人直接向法院提起訴訟,向個人信息處理者主張權利即缺乏前置程序,對于此種行為應予以規制和否定性評價。法院若基于訴訟效率或者訴訟便捷的考慮在個案中一并處理,那么將可能增加個人信息處理者負擔、引發法院訴訟爆炸風險。信息主體在未向個人信息處理者請求履行相應義務時便徑行向法院起訴,即有濫用訴權之嫌[22]。

最后,區分判斷的方法。第一,行為主體的區分。不同信息主體行使同一權益可能會產生不同的影響,可苛責性也會產生差異。例如,在信息可攜權行使中,應當考慮區分商業性質的知名認證用戶與非知名認證的普通用戶,后者行使可攜權通常具有主體單一性,并不會導致用戶的整體遷移,造成數據企業實際損害的可能性較低;而前者具有直接的商業價值和議價能力,造成數據企業實際損害的可能性較高[23]。第二,保護對象的區分。《民法典》第一百三十二條之保護利益包括公共利益與私人利益。由于公共利益與私人利益兩者之功能、要件及法律效果均存在顯著不同,故屬于不同的規范類型,理應予以區分保護。進一步而言,根據公共利益與私人利益之不同,進行不同的解釋論構造。對于損害公共利益型,應當嚴格限制構成要件,避免公權力向私法自治的過度介入;而損害私人利益型則有所不同,應當以公平原則確定民事主體之間的利益平衡。但是,私人利益具有向公共利益轉換的可能,即當侵害個案的諸多私人利益涉及行業或者整個社會的信息自由時,此時私人利益也就具有了公共利益的面向,應適用公共利益的保護模式。第三,個人信息類型的區分。按照“兩頭強化,三方平衡”理論,敏感隱私信息具有較強的人格利益應予以強化保護,而一般個人信息則側重利用[24],故信息處理者對于前者負擔更加嚴格的安全保護義務。申言之,在個人信息保護價值序列中,敏感隱私信息的價值權重大于一般個人信息的價值權重,因此信息主體在基于敏感隱私信息行使權利時,信息處理者負有更強的容忍義務;而信息主體基于一般個人信息行使權利時,信息處理者則負有較低的容忍義務。也有研究提出,個人信息的不同種類呈現放射狀散形結構,對于不同個人信息,應當采取不同強度的保護標準,也正體現了這一道理[25]。

(二)個人信息權益濫用的效果

《民法典總則編解釋》第三條第三款規定民事權利濫用的直接后果為“不發生相應的法律效力”,造成損害則承擔侵權責任。這同樣適用于個人信息權益的行使,但是由于該規定仍然具有一定模糊性,需結合個人信息權益進行具體闡釋。

1.不發生相應的法律效力

有觀點認為,權利濫用的法律效果以承認權利存在且否認權利行使為原則,以權利喪失為例外[26]60;與之不同的觀點認為,權利濫用不發生行為人預期的法律效果,造成他人損害將承擔法律責任[27]45。前者關注權利本身之狀態,而后者則關注具體效果,二者系不同維度之分析。《民法典總則編解釋》第三條采納了后一觀點。實際上,權利喪失與權利不產生效力存在程度上的差異。權利喪失存在于一次性或者偶發性的法律行為或者事實行為情形中,在個人信息權益行使情形下難以立足。因此,即便濫用個人信息權益通常也并不會導致權利喪失,只要信息主體改正權利行使方式,仍然可以繼續行使權利。在個人信息權益濫用情形下,“不發生相應的法律效力”應當限縮解釋為權利不生效力。

2.侵權責任

信息主體濫用個人信息權益損害公共利益或者他人利益時,信息主體本身承擔侵權責任并無異議。例如,《個人信息保護法》第十五條規定撤回同意權,這也屬于信息主體決定權的具體內容,但是此項權利的行使也應當受到禁止權利濫用原則的限制。具體而言,盡管信息主體享有撤回同意的權利,但是行使撤回同意的權利不得過度損害信息處理者的利益。因為個人信息往往是與諸多其他信息結合共同發揮價值,單個個體信息的價值有限,而同意撤回的立即實現則可能意味著信息處理者須采取刪除的方式從而付出高昂代價,尤其是在信息主體與信息處理者之間形成了合理預期時,任意撤回同意將可能造成信息處理者的不當損失。在信息處理者與信息主體之間存在合同關系而形成的合理預期時更應當得到尊重,若有關個人信息權益的合同約定被隨意宣告無效,將會造成市場秩序的失衡。總之,盡管信息主體可以隨時撤回同意,但是在造成信息處理者不合理損失時需要承擔相應的賠償責任。

更為重要的問題在于,在信息主體濫用權利時信息處理者承擔何種責任?事實上,信息主體行使權利涉及信息處理者之外的第三人利益或者公共利益時,信息處理者應負擔合理審查義務。若未經審查,直接支持信息主體行使權利,信息處理者與信息主體可能構成共同侵權責任。理據在于,信息處理者對信息主體既負擔保障權利行使之義務,也負擔對其他信息主體的安全保障義務。《民法典》第一千一百九十八條將負擔安全保障義務的主體確定為經營者、管理者或者群眾性活動的組織者,信息處理者與經營者、管理者或者群眾性活動的組織者類似,“開啟和維持了某種風險狀態,且均享有源于風險活動的全部收益”[28]。按照控制者義務理論,個人信息處理者可以類推解釋為信息活動的利益享有者和管理者,尤其是在移動互聯網生態中具有強大控制力與影響力的“守門人”承擔適當的安全保障義務具有必要性[29]。《民法典》第一百一十一條也規定任何組織或者個人獲取個人信息均應當確保信息安全。因此,信息處理者對信息主體的行使權利行為進行合法性審查乃信息處理者負擔的安全保障義務的題中之義。相較于其他信息主體而言,要求行使個人信息權益的信息主體即屬于第三人,信息處理者應當在過錯范圍內承擔相應的補充責任。

四、結語

凡權利,必有邊界。權利行使的限制并非為私法所獨享,而是法學各學科的普遍性議題。在個人信息領域,權利行使限制同樣是應有之義。誠然,對任何權利和自由行使之限制必須包含必要性論證,否則將充滿不利與風險。但同樣地,如若淡化甚至漠視個人信息權益的濫用現象,個人信息保護則會衍生另外的不公平問題,長遠來看,將會侵蝕個人信息流通利用秩序,阻礙數字經濟發展。在個人信息保護理念不斷強化之際,個人信息權益濫用現象已經初露端倪,對個人信息權益濫用保持必要警惕也是充分貫徹實施《民法典》《個人信息保護法》等法律的重要內容。需要指出的是,本文雖然主張對個人信息權益進行合理限制,但并不意味著動搖個人信息保護的基本價值立場。只有在個人信息權益保護與個人信息權益限制之間尋求平衡之道,才能保障個人信息權益得到充分尊重、數字經濟得到長足發展。