Loading
2020-11-13 17:18:00
一、個人信息的法律屬性
個人信息究竟屬于何種權利客體,是否存在一個獨立的個人信息權,一直是業界激烈討論的話題。從域外法的角度看,世界上存在兩種個人信息屬性的流行范式:美國的信息隱私權模式和德國的個人信息自決權模式。所謂的“信息隱私權”模式是指將個人信息視為隱私權進行保護。1890年,沃倫和布蘭代斯發表《論隱私權》的經典論文,指出隱私權是不受打擾的自我決定權(“獨處權說”),后來美國通過“惠倫案”在“獨處權說”的基礎上進一步發展出“信息隱私權說”,旨在揭示所謂的個人信息具有隱私權的法律屬性;所謂的“個人信息自決權”模式是指“個人依照法律控制自己的個人信息并決定是否被收集和利用的權利”[1]。該范式是由施泰姆勒于1971年提出,并在1983年的“人口普查案”中經由實務確認。該模式旨在說明個人信息的法律屬性屬于自決權的一種。
相較于域外法對于個人信息法律屬性的清晰定義,我國始終未明確個人信息的權利屬性。2020年《民法典》第110條規定:“自然人享有生命權、身體權、健康權、姓名權、肖像權、名譽權、榮譽權、隱私權、婚姻自主權等權利。”又在《民法典》第六章明確區分隱私權和個人信息的界限,指出“個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。”由此可以看出,個人信息應不屬于隱私權的組成部分,那么個人信息究竟屬于何種權利,是屬于一般人格權還是財產權?《個保法》(草案)仍未明確個人信息的權利屬性,只在第1條的立法目的揭示本法是“為了保護個人信息權益”,對于該“權益”的法律性質未置可否。
筆者認為個人信息的法律屬性不明影響巨大。舉例來說,當前在涉及個人信息糾紛的民事案件中,法院常將個人信息劃入隱私權保護的范疇。而根據《民法典》第4編第6章的規定,私密信息屬于隱私權保護的范疇,而私密信息又與個人信息中的敏感信息有交叉。因此,一旦出現侵犯個人敏感信息(私密信息)時,是適用《個保法》進行保護還是劃入隱私權保護的范疇?當前法院的審判思路更可能將其劃入隱私權保護,從而要侵權者承擔停止侵害,賠禮道歉等法律責任。從而《個保法》(草案)所規定情節嚴重的違法行為要“處于五千萬以下或者上一年度營業額百分之五以下罰款”的規定將有可能被架空。
二、個人信息的定義
《個保法》草案第4條規定:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。”草案對個人信息的定義不同于以往法律的界定,甚至不同于《民法典》。草案所使用的“已識別”和“可識別”實際上借用了歐洲GDPR第4條對于“個人數據(personal data)”的定義。按照GDPR的定義,所謂的“可識別”是指“通過姓名、身份證號、定位數據、網絡標識符等,或通過特定的身體、心理、基因、精神狀態、經濟、文化、社會等方面個人屬性能夠被直接或者間接識別。”由此可見,個人信息可以通過直接識別、間接識別甚至是只要是相關聯的均屬于個人信息。實際上,我國法律對于個人信息的界定經歷了“直接識別說”、“直接識別說+間接識別說”到“識別說+關聯說”再到“直接識別說+間接識別說”的過程。
2012年全國人民代表大會常務委員會發布《關于加強網絡信息保護的決定》,其中規定“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”,該《決定》在法律位階上確定了個人信息“直接識別”的判斷標準。
2016年全國人民代表大會常務委員會發布的《網絡安全法》規定個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”,將判定標準拓寬為“直接識別+間接識別”,使得個人信息的界定范圍擴大。
2017年最高院、最高檢發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定公民個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。”《信息安全技術 個人安全規范》進一步解釋,判定某項信息是否屬于個人信息,應考慮兩個路徑:一是識別,即從信息到個人;二是關聯,即從個人到信息。從而將個人信息識別機制確定為“識別+關聯”的判斷標準。
2020年《民法典》第1034條規定:“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息。”又將個人信息的范圍作了限縮,將判定標準退回“直接識別說+間接識別說”的標準。然而《個保法》(草案)又再一次拓寬了個人信息的識別標準,將個人信息的識別機制再次確定為“識別+關聯”的判斷標準。且不論草案的規定與《民法典》規定不一致,但就個人信息在界定上的反復無常,也可看出立法機構對于當前何種信息屬于個人信息,還處于摸索階段。
三、處理個人信息的合法性基礎
《個保法》草案大大拓寬了處理個人信息的合法性基礎,范圍由原先的“同意”機制拓展至“訂立/履行合同”“履行義務/職責”“應對突發事件/緊急情形”及“新聞報道/輿論監督”,并設置了兜底條款,留存其他合法性基礎空間。《網絡安全法》第41條只規定“同意”是處理個人信息的唯一合法性標準。由于“同意”機制過于狹窄,《信息安全技術 個人信息安全規范》特地將“同意”拓寬為“明示同意”和“默示同意”,進一步放寬處理個人信息的標準。但是,何為“默示同意”,如何舉證證明已經得到了自然人的默示同意,一直是實務中的難題。有鑒于此,2020年《民法典》第1035條規定:“處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,并符合下列條件:(一)征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外。”《民法典》指出除了“同意”機制外,法律另有規定的,從其規定。因此,根據《民法典》預留的口子,《個保法》(草案)在借鑒GDPR的基礎上,順勢拓寬了處理個人信息的合法性基礎。
然而,雖然草案放寬了處理個人信息的范圍,但縱觀整部草案,立法機構的立法思路似乎仍局限于以往的“同意”機制限制,多數條款的設計仍以“同意”機制作為預設前提,使得處理個人信息范圍的擴大失去實質性作用。比如,草案第22條規定“未經個人信息處理者同意,受托方不得轉委托他人處理個人信息”;第23條規定“接收方變更原先的處理目的、處理方式的,應當依照本法規定重新向個人告知并取得其同意”;第24條規定“第三方變更原先的處理目的、處理方式的,應當依照本法規定重新向個人告知并取得其同意”等。無論是轉委托時要獲得同意,還是變更原有使用目的需要“重新向個人告知并取得其同意”,本質上均認為最開始就應該獲得自然人的同意。而在草案拓寬處理個人信息合法性基礎后,收集個人信息也可能是基于合同約定或法律義務收集的,不一定是獲得自然人的同意。可見,草案在設計時仍然將“同意”作為預設前提。
除此之外,《個保法》(草案)還對“同意”機制進行重新設計,分為“一般同意”“單獨同意”和“書面同意”等多類別。通常情況下,處理個人信息應取得自然人的同意,此處的同意是指“一般同意”。筆者認為,“一般同意”既可以是書面同意,也可以是口頭同意;可以是主動同意,也可以是類似默認勾選式的同意。“一般同意機制”與草案未出臺之前的“同意機制”并無明顯區別。最大的區別在于“單獨同意”及“書面同意”。《個保法》(草案)第24條規定向第三人提供個人信息的,應取得個人的“單獨同意”;第30條規定處理個人敏感信息的,應取得個人“單獨同意”,法律法規另有要求“書面同意”的,從其規定。實際上,無論是“單獨同意”還是“書面同意”,在現有的實踐中均較難實現。以APP運營商的隱私政策來說,通常來說,隱私政策都會規定收集用戶的個人信息,包括個人敏感信息,但現有的APP運營商對于個人敏感信息,都是以整版隱私政策的方式要求用戶點擊同意,幾乎不會以單獨條款的方式讓用戶單獨勾選同意。實施“單獨同意”機制,一來對于運營商來說合規成本過大,二來用戶體驗感也不佳。因此如何應對《個保法》(草案)要求落實的“同意分類型”機制,或將顛覆現有的業態模式。
注釋:
[1] 王利明:《論個人信息權在人格權法中的地位》,載《蘇州大學學報(哲學社會科學版)》2012年第6期。