我国个人信息保护与公共利益的冲突及其解决路径

2022-12-25 07:17王柄鑫
关键词:公法私法个人信息

王柄鑫,周 恒

(郑州大学 法学院,河南 郑州 450001)

一、问题的提出

随着数字时代的快速发展和网络技术的不断推进,个人信息保护已然成为了全球民众关心的最直接和最现实的利益问题[1](P21-29),与此同时,对个人信息实现有效法律保护也已成为全球共同追求的目标。截至目前,已有110多个国家制定了与个人信息保护相关的法律法规。

就我国目前情况而言,从十八届三中全会以来,网络安全以及个人信息保护问题开始上升到国家战略安全的高度,不断推进和完善个人信息的多方面保护已是必由之路。对个人信息的专门立法《中华人民共和国个人信息法》经过三次审议最终于2021年8月20日在十三届全国人大常委会第三十次会议上表决通过,并于同年11月1日开始施行。加上之前颁布实施的《网络安全法》《民法典》等相关法律,我国已经建立起了初具规模的个人信息保护法律体系。

通说认为,“个人信息”(information relating to individuals)是一个概念的综合,这个综合大项目中囊括了类似个人的生理、心理、个体的、群体的、经济的、文化的各方面资讯[2](P62-72)。个人信息的搜集和利用并不是当代社会的独特产物,但在信息化技术发展日新月异的当代,涉及这些信息的相关处置问题变得格外突出。信息的功能也已经发生了本质的嬗变,从以往的最朴素的交流工具演变成了与物质、能量并重的基础社会资源,甚至在很大方面超越了传统资源的分量。个人信息是最为特别的信息资源,不仅与传统资源一样能够创造经济效益产生社会效能,同时承载着大众的诸多人格信息和热切盼望。但该种看上去似乎归属于“私人化”的信息却在实践和理论上屡屡与社会“公众”利益摩擦不断。

二、个人信息概述

(一)个人信息的多元价值

《2006—2020年国家信息化发展战略》是我国社会信息化的纲领性文件,在这份文件中明确了“信息”作为信息化社会的核心资源地位,强调信息是重要的政治、经济、文化资源。从公共政策的角度出发,对个人信息的分析和处理,因时制宜、因地制宜、因人制宜地制定和实施相关政策,同时针对弱势人群保护等特定行政关怀予以倾斜是实现社会公平公正目标的重要手段。从经济角度出发的个人信息就更为重要,这对商业机构获取更大的利润空间和采取适当的市场营销策略具有基础指导意义。

以信息科技发展为核心的现代信息社会,个人信息早已成为了信息社会的基础资源。从宏观方面来看,个人信息资源的有效开发利用不仅有助于精准推进社会福祉的落实,各国在制定自身惠及全民的公共政策时,无一例外都会考虑个人信息汇总后所表达出来的各方倾向和各种比重关系,并在此种基础上制定颇有普惠意味的基本公共策略,此时,个人信息的表达更多地体现政治考量因素,为公共政策的制定提供基础性的数据和信息原材料[3](P194-206)。

同时,个人信息也可进一步调节经济市场资源,个人信息数据一经利用,将会给利用者带来丰厚的收益已经是不争的事实。有学者对此进行了精准的表达“在市场经济条件下,个人资料采集者将成千上万的个人资料采集起来的目的并不是为了了解个体,而是要把整个具有某种共同特征的主体的个人资料按一定方式组成资料库,以该资料库所反映的某种群体的共性来满足其自身或其他资料库使用人的需要”。[4](P15-33)

从微观方面来看,一方面,个人信息资源的有效开发利用能够为个人提供更为贴心的服务和消费便利,也反向影响企业的自由竞争方式选择。另一方面,个人信息上承载了许多显而易见的人格符号,在大众的传统认知中,个人信息一般与隐私利益密切相关,尤其是在英美法系的相关学术著作和学者观点中,此类认知更为明显。

(二)个人信息的甄别

个人信息与其他信息相比,都是信息时代资源的重要组成部分,甚至有时候出现重叠情况,但由于个人信息与人格因素密切相关,导致个人信息具有与其他信息全然迥异的独特构成要素。

1.个人信息的核心要件

从法理学上来看,个人信息的核心要件就是必备的不可或缺的法律要素。多数学者认为,构成个人信息的实质要素是“识别”,“识别”包涵的具体内涵是可以直接或间接识别本人的信息[5](P85-96)。比如我们能够直接辨识出本人的信息:本人肖像、本人姓名、本人身份证号码等;同时,也有一些信息是不能单独辨识出本人的,称之为间接信息,如兴趣爱好、习惯偏好、职业及收入等等。间接信息不能成为个人信息的核心要件。

根据《个人信息保护法》第四条第一款对个人信息保护的规定:“个人信息是以电子或者其他方式记录的已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”通过该条法律规定,我们可以看出以下几个方面的信息:第一,个人信息是一切可以识别本人的各种信息,这些信息包括上文所述的类似本人肖像、本人姓名、本人身份证号码等能直接识别出本人的事项,也包括了类似知识产权等涉及财产权益的事项。第二,一旦对信息进行匿名化处理,也就失去了个人信息的核心要素——可识别性,那么该种无法识别的信息已与信息主体脱离,无法识别信息主体,就必然不能够成为识别自然的信息,也就不能包含在个人信息的范畴内。

2.个人信息的外观要件

与核心要件相对的,是个人信息的外观要件。个人信息的外观要件在我国《个人信息保护法》第四条第二款中有所体现,第二款规定如下:个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。分析该条规定,可以发现个人信息的处理应当是在个人信息固定保存的基础上进行,据此,构成个人信息的基本形式要素有以下两种。

(1)能以某种形式予以固定

这是个人信息能够发挥其价值的一个外观要件,也是一个基础性要素,之后对个人信息的利用都需要在这个基础上才能实现。这无论是在英美法系的相关规定中,还是在大陆法系的相关立法中,是都能看到的一个基本要素。比如上述我国个人信息保护法中的规定,美国在其《隐私权法》第一条规定:“‘记录’是指行政机关所保持的关于个人的信息、信息集合或信息分类”,这种信息、信息集合和信息分类都有一个隐藏的逻辑前提:就是这些信息能够被以一定方式记录。这种记录包括了“以某种方式予以固定的”的潜在逻辑。

(2)具有可处理性

根据上文中《个人信息保护法》第四条第二款的规定,个人信息能够用一定的方式使用、加工、传输和进行其他处理。单纯固定下来的信息是比较泛泛的大集合,从个人、社会、国家利用的角度从中获取有用的信息来实现自身目的,那么这个获取对自身有用信息的过程就是对信息进行处理的总和[6](P44-56)。总的来说,个人信息的固定是其被处理和利用的基础,个人信息的可处理化则是其被开发利用创造社会价值和经济价值的重要手段和主要渠道。

三、我国个人信息保护的法律资源现状研究

我国对个人信息的保护可以从公法、私法、特别法规定等多个保护路径入手予以实证考察。从立法资源和司法实践的角度入手,考察私法的逐步完善、公法领域保护的进一步加强、特别立法的补充规范,可以看出,在法律保护齐头并进发展的基础上,这些法律资源之间对个人信息的保护必然是此消彼长的过程。

(一)私法保护路径的演进

1.私法制度的逐层递进

首次从私法角度,即对个人信息从民法上予以明确规定始于2013年修正的《消费者权益保护法》,该法第五十条明确规定消费者享有个人信息依法得到保护的权利。

2017年3月发布的《民法总则》,对个人信息保护予以了相应的周延规定,在原《消费者权益保护法》的基础上,设置了更多禁止性条款。《民法总则》的规定如下:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”[7](P82-95+207)

2021年1月1日实施的《民法典》,用第六章专章规定隐私权和个人信息保护,成为我国立法的独具特色之处。一方面,《民法典》第一千零三十四条第二款通过“可识别性”界定个人信息;另一方面,对个人信息予以综合保护,第一千零三十五条明确处理个人信息须遵循合法、正当、必要原则,将自然人知情同意作为收集和处理个人信息的合法性前提,且该条增加了对个人信息“不得过度处理”的基本原则。此外,《民法典》还对处理个人信息的免责事由、国家机关和承担行政职能的法定机构及其工作人员的保密义务等予以了明确。

2.司法实践中私法保护理念的逐渐完善

就个人信息保护的民事司法实践而言,目前有两类典型的救济方式:其一,以名誉权侵权为由对公民不当信用记录提供救济;其二,以隐私权侵权为由对被人肉搜索当事人个人信息不当披露和利用提供救济[8](P31-46)。

以具体案例为例,公民不当信用记录案例始于2005年中国人民银行个人信用信息基础数据库的建立,通常是由商业银行在该数据库报送的客户信用信息不符合客户真实信用状况而引起。大多数案例往往以报送个人信用信息的商业银行作为被告。除极少数案例是商业银行自身记录出现差错外,更多的情形是他人冒用原告信息申领信用卡、贷款、担保等且存在失信行为,导致原告产生不良信用记录。在具体认定中,大部分法院认为该数据库的个人信用数据查询受到一定限制,使其在从事经济往来活动时受到约束,从而应当认定商业银行构成对当事人的名誉侵权;在损害赔偿方面,部分法院支持了当事人的精神损害赔偿请求,但此种赔偿更像是对当事人因不良信用记录而遭受财产损失的赔偿,在当事人未有相关损失时,法院往往仅判决商业银行消除当事人的不良信用记录。

(二)公法保护路径的进一步拓宽

1.公法制度的逐步增强

2013年7月,工信部发布了《电信和互联网用户个人信息保护规定》,该规定不仅强调了个人信息在搜集过程中,有关网络服务平台必须实行严格行业自律,恪守“知情同意原则”,同时对有关机构的数据安全保障义务予以了责任式的明确。2017年6月1日施行的《网络安全法》第四十一条,对个人信息的收集、存储、保管和使用进行了全面规范。

《刑法》在民事法律和网络安全法的基础上进行了更为严格的规范,其主要是对网络服务提供者在行政部门予以行政处罚后仍不改正的行为予以严厉打击。具体规定如“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。”同时该条还考虑到单位犯罪的情形,对单位犯罪也予以了相应规制。

2.刑事司法实践的逐步明朗

刑法是关于犯罪与刑罚的法律,刑事司法实践严格遵循罪刑法定原则。在个人信息保护方面,现有的刑事司法实践也以《刑法修正案(五)》《刑法修正案(七)》和两高《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》为处理依据。

以法院审理的出售、非法提供公民个人信息案件为例,其中以电信部门工作人员出售手机用户信息、金融机构工作人员出售客户信用信息报表、公安系统人员出售通过公安部内网查询的公民个人信息居多,此外还涉及保险、快递等行业内工作人员出售个人信息的情形。

司法实践中,通过非法手段获取个人信息的案件从数量上来说,远大于出售以及非法提供个人信息的案件数量。同时,非法获取公民个人信息的犯罪行为呈现出多样化,存在大量通过网络交易购买、利用职务之便私自复制、掌握公民个人信息的单位或个人私自倒卖等获取公民个人信息的情形,其中以网络交易购买居多;从犯罪行为人获取个人信息的目的来看,包括从事商业推销甚至实施诈骗行为[9](P149-160+208)。

(三)特别立法的全面规范

1.《个人信息保护法》的特别规范

该法为个人信息提供了更加强有力的法律保障。并针对社会关注度高的个人信息被随意收集、违法获取、过度使用等问题进行了回应。该法的立法进步之处,是对社会热点问题中的“网络经营者”予以了明确,而这在《网络安全法》中是缺失的。同时该法对什么类型的个人信息和何种范围内的个人信息应当受其规制,也有明确的条文规定。从意义角度来讲,该法是我国个人信息保护领域的第一部综合性法律。

2.特别立法的补充规范

该部分的补充规范,是对一些具有特定身份和特殊年龄段的人采取立法的额外保护。例如《儿童个人信息网络保护规定》,就是针对特殊群体——儿童,采取的高于普通个人信息保护的标准和措施。

四、个人信息保护与公共利益的冲突及其解决路径

从个人信息的名称,我们就能看得出来,署名为“个人”的基本是从个体利益考量和保护的角度出发,对个人利益的保护是这种名称所蕴含的天然价值[10](P59-68)。因此,当存在公共利益的场合,个人利益与公共利益就不可避免地产生冲突和矛盾。如何在这些冲突和矛盾的场合中做好平衡,是个人信息保护亟待解决的问题。笔者认为,一方面,提高社会的管理效率,实现社会资源的节约和最大化利用目标;另一方面,对个人信息进行有效利用,但不能过于“越界侵权”,这两方面措施都能为个人信息保护与公共利益冲突的问题提供解决之道。

(一)个人信息保护与公共利益冲突对立性的实证考察

“自古以来的经验表明,所有拥有权力的人,都倾向于滥用权力,而且不用到极限决不罢休,一定会导致权力异化的出现,民众将无法监督政府为了他们自己的利益而行使公共权力,而且政府滥用权力还会缩减民众没有授予政府而保有的广泛自由权利并使之难以行使。” 这是启蒙思想家孟德斯鸠的名言(1)孟德斯鸠:《论法的精神》(许明龙 译),商务印书馆2012年版,第185页。。在网络信息飞速发展的时代背景下,政府能够通过各种技术手段加强对民众信息的获取,并对这些信息进行分析。这样一方面有利于提高政府的公共事务管理能力,但另一方面,如孟德斯鸠所言,权力的异化也会不可避免的出现。尽管从上文分析中,我们可以得知,政府通过获取信息继而实施符合社会要求的公共政策是推进社会进步的重要举措。但该行为仍然是一把利弊明显的双刃剑,这种权力异化情形的出现从某种意义上来说会成为社会进步的显著绊脚石。

从人类社会进程的具体历史史实来看,曾有过政府给国民强制设置编码以方便政府搜集个人信息的真实案例。日本政府曾在70年代推广“事务处理用统一号码制”,[11](P3-23)当时采取这种统一编制号码的目的是为了方便搜集个人信息,并在政府部门之间对该搜集来的信息予以共享,设定的初衷是为了更好的实现社会管理的目的。但该想法并未实现就被政府撤回,理由是政府用强制力野蛮粗暴地干涉了私权范围内才能自由处置的个人信息。

(二)个人信息保护与公共利益冲突产生原因分析

1.个人信息权益具有民事权利与公法权利的交叉

从个人信息权益的角度出发,可以看出由于其自身的特殊性,一方面能创造社会福祉,另一方面又与个人利益密切相关,从而使得该权益兼具了私法和公法的双重属性。从一般法理角度分析,当个人信息与个人利益密切相关,其所相对的是所有私法主体的时候,这必然是民事主体;但当其是为社会创造利益,成为国家以及政府的使用资源时,其所面对的就是同公权力的对峙[12](P6-24)。换句话说,当国家和政府是管理主体,履行法定的公共管理职责时,就应当尊重个人信息中所具有的公法权利属性;当国家与政府在普通的日常民事活动中,以民事主体的身份处理个人信息时,就应当以平权主体的身份考量个人信息的民事利益。

根据以上分析,在民法之外,还有诸多部门法对个人信息予以规范和保障,恰是因为信息主体和处理者之间高度不平等,究其因,是源于私法保障机制的固有缺陷。一般而言,以个别维权、个别诉讼为核心的私权利保障方式,对大范围的信息被侵害者难以提供便利有效的维权渠道和保障机制,此时,事件的公众性需要以公法来予以救助和纠正。因为以管理法和公法为主的救济方式逐渐挤占了私法应有的救济空间,在这种以“管理法”为核心的公法挤压私法现象并不鲜见的今天,这种担心并非毫无必要。个人信息权益的公法权利属性被证实不仅不会膨胀公权,反而还能对公权予以限制。所以在对个人信息被侵害的问题进行处理时,应当打破对私权利和公权力予以相等看待的做法,因为这种一视同仁的处理方式会造成私法的最终逃逸,使得公然侵入私法领域,导致实际上的管理机构掩饰自己的公法身份,通过私法主体的身份脱离要求更为严格的公法约束,产生最终的实质不公。

2.个人信息保护客体的性质不明

关于个人信息保护客体的法律属性定位,有“所有权客体说”、“一般人格权说”、“基本人权客体说”和“隐私权客体说”等多种学说对其进行归类总结,莫衷一是的学说理论为个人信息保护客体到底要如何保护,以及其与公法权利的区分提出了基础性挑战。

“所有权客体”实际上是主张个人信息是一种被所有的对象,但是这种学说有非常严重的缺陷,就是将这种被所有的对象完全混为一谈,没有区分其中人格权益和财产权益的巨大鸿沟,同时,也对这些权益的所有者、行使人乃至让渡条件都混为一谈。该种学说会造成巨大的思维困惑,在现实中也无法体现出其所表达的内涵,因此该种学说并没有被社会大众所接受。

“隐私权客体说”在前文有所提及,该种说法起源于美国法。主张该学说的学者认为隐私利益中已经包涵了个人信息的范畴,那么对于个人信息就无需再主张保护方式,直接在隐私权当中予以涵盖即可。但该种学说在大陆法系国家和英美法系国家往往存在理解上的巨大偏差,英美法系国家当中认为隐私是所有涉及个人的信息综合,但大陆法系国家多认为是权利主体不愿为外人所知的相关信息综合。这种隐私保护的方式,由于其在概念上与个人信息之间的理解偏差,因此无法与我国现有的法律制度融洽对接。

“人格权客体说”则认为个人信息可以在一般人格权当中予以保护。该种学说在德国获得丰富发展,按照该种学说的理解,但凡与人格在形成过程中或者发展过程中所涉的所有事项,都应当归纳到人格权保护客体的范畴。在“人格权客体说”的逻辑前提下,个人信息是个人人格发展过程中涉及到的重要事项,所以也应当将个人信息纳入人格权的保护范围。

(三)个人信息保护与公法保障平衡的实现路径

1.实现路径的基础原则

第一,合法利益之间相融洽原则。如上文所述,个人信息权利的保护涉及到的不仅仅是信息权人的问题,在实现社会进步整体目标的前提下,我们不光要保障信息权利人的正当合法权益,同样也要照顾到社会乃至国家的正常合法需求。那么,也就为各个错综复杂主体之间合法权益的融洽实现提供了现实土壤。从本质上来说,也就是权利义务之间此消彼长的过程。一方面需要义务主体履行自身的义务来保障权利的实现,另一方面又要对权利的扩张进行必要的限制。尤其是在涉及政府主管部门对信息进行征集利用的过程中,我们要区分清楚到底是实现个人信息权利中的公法权利还是私法权利,只有在此基础上,我们才能明确个人信息权利保护的尺度和界限。尤其是涉及到公共政策制定等公共利益维护等方面,要多考虑的是如何有效保障个人信息的安全和信息服务提供者的义务履行。而不应当混淆公法权利和私法权利的边界,这会极大侵害个人信息保护的程度,并为公法遁入私法创造现实条件。

第二,个人信息保护标准设置应当适应经济发展需要的原则。依常识可知,在信息化日新月异的今天,个人信息保护对于个人个性的发展以及通过个性发展所保持的自由思想表达,都有利于社会进步。但在前文中,我们也明白,个人信息并不仅仅属于私法范畴领域,其也具有相关的公法属性。经济社会发展的水平是我们制定各项法律的现实基础,不可能脱离这个基础建立所谓的空中楼阁,这是完全脱离社会实际的行为。如果制定较高的个人信息保护标准,一方面会造成对该项保护的成本过高,另一方面也可能会造成立法浪费,也起不到保护个人信息的目的。如果制定较低的个人信息保护标准,则纵容了其他权利的扩张,也会造成个人信息保护的实体法缺位,对社会经济发展造成负面影响。

第三,个人信息权保护对象应以精神权利为主、财产权利为辅。个人信息中蕴含着个人人格权益和财产经济权益的观点,在学界已基本达成共识。但在对个人信息进行保障时,我们应当更多的重视个人信息在财产权益表达背后的个人人格和精神权利,如果过于重视财产权利,则有可能将个人信息的最终属性变为上文中提及的基本不可能实现的所有权客体。

2.平衡保障的实现路径

第一,需进一步厘清个人信息保护法的边界。在提出“边界”这个说法之时,我们不禁要考虑的是个人信息的内涵和外延是什么?尽管在前文中,我们已经分析了可识别性和固定处置性是个人信息的重要基础标志,但是在具体个案发生时,如何辨析清楚个人信息保护的边界,尤其是在个人信息保护与产业发展、国家数据安全的关系发生摩擦时,应当如何对法律位阶的取向高低予以明确,仍然是值得进一步探讨的重大问题,有待在辨析清楚个人信息的核心要素和外观要素的基础上予以进一步细分。

第二,创设合理的个人信息利用机制。在制定个人信息保护法的过程中,我们明确了制定该部法律的目的,从直观上来说,就是保护大数据时代个人信息不受侵犯,但对于拥有优势地位的信息采集者、利用者来说,该部法律是在制定规则,让这些数据的收集者和使用者为自己的利用行为负责,并明确自身利用的边界何在。就该部法律的总体而言,对于个人信息保护的一个至关重要的制度就是“知情同意”,这就要求经济活动主体在取得用户同意的基础上开展个人信息收集、利用等所有活动。信息层级制度是指根据互联网行业特点将个人信息分为不同层级的制度。比如分为基本信息、敏感信息和专业信息等。该制度可以让个人信息收集和利用更具可操作性。[13](P56-62)

第三,完善行业自律,强化行政监管。鉴于在不同的社会行业和市场领域,对待个人信息的处理有极大的区别性,由此,行业自律在个人信息治理方面的优越性不言而喻。从行业协会自身的特点出发,其具有的公信力、覆盖范围等方面的优势十分明显,尤其是在获取本领域处置个人信息的特色挖掘方面也具有极大的便利条件,从行业协会获取的特色化和行业化的处置信息对我们平衡个人信息保护和社会公共利益具有极强的参考意义。但仅通过行业自律完全实现平衡目的也是不太现实的,行业协会大多仍然是带有盈利目的行业联盟,这为行业自律带来了不可避免的局限性。为了更好地实现行业自律目标,只有进一步强化监管手段,构建具有管控效果的外部监管机制才能更好实现行业自律目标。

五、结语

回应具体的社会现实需要,我们应当意识到,要想真正做到“个人信息保护与公共利益保障”的兼得兼善,仅止于目前的法律资源和司法解释,还是远远不够的,仍须对其实施进一步的细化界定。这主要表现在,“为促进社会公共利益且在必要范围内”的“公共利益”、“必要范围内”的具体内涵、边界,究竟是什么?判断和认定的标准、依据,又是什么?很明显,如果这些问题得不到明确的细化厘清,不仅一些具体的个人信息究竟是纯粹个人隐私、还是涉及公益的信息,究竟是应当保护还是公开,就会显得难以判断;而且势必还会进一步催生一种双重逆反式的“该公开的没公开,该保护的又得不到保护”的信息保护困境,要避免这种情况,最好的办法就是对边界、利用机制、行业等多重法律关系予以进一步的理清和细化明确。

猜你喜欢
公法私法个人信息
个人信息保护进入“法时代”
《民法典》中经济公法规范的结构、功能及其影响
敏感个人信息保护:我国《个人信息保护法》的重要内容
主题语境九:个人信息(1)
警惕个人信息泄露
论民法与商法的区别
公法
浅析违反强制性规定法律行为效力的判断标准
公法人管理和公共财政规模对农田灌溉设施的影响
当私情遭遇公法时