Loading
2020-11-13 17:18:00
一、個人信息的法律屬性
個人信息究竟屬于何種權(quán)利客體,是否存在一個獨立的個人信息權(quán),一直是業(yè)界激烈討論的話題。從域外法的角度看,世界上存在兩種個人信息屬性的流行范式:美國的信息隱私權(quán)模式和德國的個人信息自決權(quán)模式。所謂的“信息隱私權(quán)”模式是指將個人信息視為隱私權(quán)進行保護。1890年,沃倫和布蘭代斯發(fā)表《論隱私權(quán)》的經(jīng)典論文,指出隱私權(quán)是不受打擾的自我決定權(quán)(“獨處權(quán)說”),后來美國通過“惠倫案”在“獨處權(quán)說”的基礎(chǔ)上進一步發(fā)展出“信息隱私權(quán)說”,旨在揭示所謂的個人信息具有隱私權(quán)的法律屬性;所謂的“個人信息自決權(quán)”模式是指“個人依照法律控制自己的個人信息并決定是否被收集和利用的權(quán)利”[1]。該范式是由施泰姆勒于1971年提出,并在1983年的“人口普查案”中經(jīng)由實務(wù)確認。該模式旨在說明個人信息的法律屬性屬于自決權(quán)的一種。
相較于域外法對于個人信息法律屬性的清晰定義,我國始終未明確個人信息的權(quán)利屬性。2020年《民法典》第110條規(guī)定:“自然人享有生命權(quán)、身體權(quán)、健康權(quán)、姓名權(quán)、肖像權(quán)、名譽權(quán)、榮譽權(quán)、隱私權(quán)、婚姻自主權(quán)等權(quán)利。”又在《民法典》第六章明確區(qū)分隱私權(quán)和個人信息的界限,指出“個人信息中的私密信息,適用有關(guān)隱私權(quán)的規(guī)定;沒有規(guī)定的,適用有關(guān)個人信息保護的規(guī)定。”由此可以看出,個人信息應(yīng)不屬于隱私權(quán)的組成部分,那么個人信息究竟屬于何種權(quán)利,是屬于一般人格權(quán)還是財產(chǎn)權(quán)?《個保法》(草案)仍未明確個人信息的權(quán)利屬性,只在第1條的立法目的揭示本法是“為了保護個人信息權(quán)益”,對于該“權(quán)益”的法律性質(zhì)未置可否。
筆者認為個人信息的法律屬性不明影響巨大。舉例來說,當前在涉及個人信息糾紛的民事案件中,法院常將個人信息劃入隱私權(quán)保護的范疇。而根據(jù)《民法典》第4編第6章的規(guī)定,私密信息屬于隱私權(quán)保護的范疇,而私密信息又與個人信息中的敏感信息有交叉。因此,一旦出現(xiàn)侵犯個人敏感信息(私密信息)時,是適用《個保法》進行保護還是劃入隱私權(quán)保護的范疇?當前法院的審判思路更可能將其劃入隱私權(quán)保護,從而要侵權(quán)者承擔停止侵害,賠禮道歉等法律責任。從而《個保法》(草案)所規(guī)定情節(jié)嚴重的違法行為要“處于五千萬以下或者上一年度營業(yè)額百分之五以下罰款”的規(guī)定將有可能被架空。
二、個人信息的定義
《個保法》草案第4條規(guī)定:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。”草案對個人信息的定義不同于以往法律的界定,甚至不同于《民法典》。草案所使用的“已識別”和“可識別”實際上借用了歐洲GDPR第4條對于“個人數(shù)據(jù)(personal data)”的定義。按照GDPR的定義,所謂的“可識別”是指“通過姓名、身份證號、定位數(shù)據(jù)、網(wǎng)絡(luò)標識符等,或通過特定的身體、心理、基因、精神狀態(tài)、經(jīng)濟、文化、社會等方面?zhèn)€人屬性能夠被直接或者間接識別。”由此可見,個人信息可以通過直接識別、間接識別甚至是只要是相關(guān)聯(lián)的均屬于個人信息。實際上,我國法律對于個人信息的界定經(jīng)歷了“直接識別說”、“直接識別說+間接識別說”到“識別說+關(guān)聯(lián)說”再到“直接識別說+間接識別說”的過程。
2012年全國人民代表大會常務(wù)委員會發(fā)布《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》,其中規(guī)定“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”,該《決定》在法律位階上確定了個人信息“直接識別”的判斷標準。
2016年全國人民代表大會常務(wù)委員會發(fā)布的《網(wǎng)絡(luò)安全法》規(guī)定個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息”,將判定標準拓寬為“直接識別+間接識別”,使得個人信息的界定范圍擴大。
2017年最高院、最高檢發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規(guī)定公民個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。”《信息安全技術(shù) 個人安全規(guī)范》進一步解釋,判定某項信息是否屬于個人信息,應(yīng)考慮兩個路徑:一是識別,即從信息到個人;二是關(guān)聯(lián),即從個人到信息。從而將個人信息識別機制確定為“識別+關(guān)聯(lián)”的判斷標準。
2020年《民法典》第1034條規(guī)定:“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息。”又將個人信息的范圍作了限縮,將判定標準退回“直接識別說+間接識別說”的標準。然而《個保法》(草案)又再一次拓寬了個人信息的識別標準,將個人信息的識別機制再次確定為“識別+關(guān)聯(lián)”的判斷標準。且不論草案的規(guī)定與《民法典》規(guī)定不一致,但就個人信息在界定上的反復(fù)無常,也可看出立法機構(gòu)對于當前何種信息屬于個人信息,還處于摸索階段。
三、處理個人信息的合法性基礎(chǔ)
《個保法》草案大大拓寬了處理個人信息的合法性基礎(chǔ),范圍由原先的“同意”機制拓展至“訂立/履行合同”“履行義務(wù)/職責”“應(yīng)對突發(fā)事件/緊急情形”及“新聞報道/輿論監(jiān)督”,并設(shè)置了兜底條款,留存其他合法性基礎(chǔ)空間。《網(wǎng)絡(luò)安全法》第41條只規(guī)定“同意”是處理個人信息的唯一合法性標準。由于“同意”機制過于狹窄,《信息安全技術(shù) 個人信息安全規(guī)范》特地將“同意”拓寬為“明示同意”和“默示同意”,進一步放寬處理個人信息的標準。但是,何為“默示同意”,如何舉證證明已經(jīng)得到了自然人的默示同意,一直是實務(wù)中的難題。有鑒于此,2020年《民法典》第1035條規(guī)定:“處理個人信息的,應(yīng)當遵循合法、正當、必要原則,不得過度處理,并符合下列條件:(一)征得該自然人或者其監(jiān)護人同意,但是法律、行政法規(guī)另有規(guī)定的除外。”《民法典》指出除了“同意”機制外,法律另有規(guī)定的,從其規(guī)定。因此,根據(jù)《民法典》預(yù)留的口子,《個保法》(草案)在借鑒GDPR的基礎(chǔ)上,順勢拓寬了處理個人信息的合法性基礎(chǔ)。
然而,雖然草案放寬了處理個人信息的范圍,但縱觀整部草案,立法機構(gòu)的立法思路似乎仍局限于以往的“同意”機制限制,多數(shù)條款的設(shè)計仍以“同意”機制作為預(yù)設(shè)前提,使得處理個人信息范圍的擴大失去實質(zhì)性作用。比如,草案第22條規(guī)定“未經(jīng)個人信息處理者同意,受托方不得轉(zhuǎn)委托他人處理個人信息”;第23條規(guī)定“接收方變更原先的處理目的、處理方式的,應(yīng)當依照本法規(guī)定重新向個人告知并取得其同意”;第24條規(guī)定“第三方變更原先的處理目的、處理方式的,應(yīng)當依照本法規(guī)定重新向個人告知并取得其同意”等。無論是轉(zhuǎn)委托時要獲得同意,還是變更原有使用目的需要“重新向個人告知并取得其同意”,本質(zhì)上均認為最開始就應(yīng)該獲得自然人的同意。而在草案拓寬處理個人信息合法性基礎(chǔ)后,收集個人信息也可能是基于合同約定或法律義務(wù)收集的,不一定是獲得自然人的同意。可見,草案在設(shè)計時仍然將“同意”作為預(yù)設(shè)前提。
除此之外,《個保法》(草案)還對“同意”機制進行重新設(shè)計,分為“一般同意”“單獨同意”和“書面同意”等多類別。通常情況下,處理個人信息應(yīng)取得自然人的同意,此處的同意是指“一般同意”。筆者認為,“一般同意”既可以是書面同意,也可以是口頭同意;可以是主動同意,也可以是類似默認勾選式的同意。“一般同意機制”與草案未出臺之前的“同意機制”并無明顯區(qū)別。最大的區(qū)別在于“單獨同意”及“書面同意”。《個保法》(草案)第24條規(guī)定向第三人提供個人信息的,應(yīng)取得個人的“單獨同意”;第30條規(guī)定處理個人敏感信息的,應(yīng)取得個人“單獨同意”,法律法規(guī)另有要求“書面同意”的,從其規(guī)定。實際上,無論是“單獨同意”還是“書面同意”,在現(xiàn)有的實踐中均較難實現(xiàn)。以APP運營商的隱私政策來說,通常來說,隱私政策都會規(guī)定收集用戶的個人信息,包括個人敏感信息,但現(xiàn)有的APP運營商對于個人敏感信息,都是以整版隱私政策的方式要求用戶點擊同意,幾乎不會以單獨條款的方式讓用戶單獨勾選同意。實施“單獨同意”機制,一來對于運營商來說合規(guī)成本過大,二來用戶體驗感也不佳。因此如何應(yīng)對《個保法》(草案)要求落實的“同意分類型”機制,或?qū)㈩嵏铂F(xiàn)有的業(yè)態(tài)模式。
注釋:
[1] 王利明:《論個人信息權(quán)在人格權(quán)法中的地位》,載《蘇州大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2012年第6期。