大数据时代个人信息法律保护路径研究

陈 清

(江苏师范大学 法学院,江苏 徐州 221116)

大数据时代,瞬息万变的数据信息给人类生活带来了极大便利。但不可否认的是,其负面效应也是比较明显的,个人信息保护与个人隐私问题逐渐被放大,即个人信息被泄露、被非法收集利用、甚至人格权被侵害。数据爆炸使个体慢慢变成透明人,个人信息滥用有失控趋势,个人信息保护问题迫在眉睫。

一、个人信息法律性质的立法比较

由于世界各国不同的法律传统,在确定个人信息的法律性质上不尽相同,在学术界也是仁者见仁。个人信息的法律属性决定了各国立法者制定立法的体例与模式,亦对侵害个人信息的救济路径具有重要指导作用。大数据时代信息错综复杂,完成个人信息保护立法的先决条件,应是明晰个人信息可得法律保护之属性。

1.个人信息定义的理论分析

个人信息法律性质的确定建立在对其正确定义的基础上,考察世界各国立法体例,从立法技术的角度上看,个人信息的定义主要分为三种模型:第一,概括型定义。此种模式将个人信息单独用概括的方式进行列举,美国、德国均采用该模型。根据美国商务部2000年颁布的《安全港隐私保护原则》,在某一指令范围内,关于某一确定的人的数据或以确定某人的数据为“个人数据”和“个人信息”。第二,概括列举混合型定义。此种模式主要通过单独列举的方式界定个人信息,例如《英国资料保护法》着重将“观点的表达”和“意图的表达”规定为个人信息。第三,识别型定义。是当前国内外采用最多的一种定义方式。识别包括直接识别和间接识别,例如通过个人的身高、体重、血型等具有个人特征的信息辨别个人身份,锁定信息主体。

2.个人信息性质的民法厘定

对个人信息的保护范围及力度大小取决于其被划入何种权利下具体保护,而该划定结论与个人信息的性质密切相关。目前学术界对个人信息的性质存在一定争论,较具代表性的有以下四种:

(1)“所有权客体说”认为,个人信息是财产利益的一种。个人信息作为一种个人特征的体现,其归属不受外界因素变化的干扰,是恒定的。个人对“展示自身的资料”当然拥有占有、使用、收益、处分的权利,也即所有权。其经济性价值在于信息资料收集者需要通过采集个体信息以便归纳出共同特征,进一步形成资料库。[1]个人信息作为一种社会资源,不可否认其具有的财产利益。但个人信息并非直接财产利益,而应属于人格利益。人格权客体如姓名、肖像、荣誉中的财产利益同样可以彰显。纵观各国立法,对个人信息保护都侧重对人格利益的保护,“所有权客体说”无法实现保护个人信息的目的,该立法例尚未出现。

(2)“隐私权客体说”发源于美国,尤其以1974年《美国隐私法》为典型代表。我国香港地区采纳这一学说。[2]该学说的适用存在特定的文化背景,英美法系中将个人信息视同隐私,因此一律以隐私权进行规制,但其实二者的法律属性存在区别。而在大陆法系的概念中,个人信息的外延大于个人隐私,因此仅对他人不愿外泄的信息即隐私方面进行保护,并未涵盖个人信息的全部,英美法系所采取的学说在其法域内实现了全覆盖保护,但在大陆法系下出现了保护缺漏。

(3)“人格权客体说”的典型代表如德国,该学说认为个人信息的保护方式应比照人格权保护模式,《个人资料保护法》即为一大体现。此结论的得出实际以个人信息反映一般人格利益为理论基础。“隐私权客体说”在大陆法系的难以适用为“人格权客体说”的产生让渡了空间,个人资料在何种情况下应该被保护不能仅取决于该资料是否触及个人隐私,该学说在很大程度上对个人信息的保护理论予以完善。

(4)“综合权利说”的出现主要是为了调和“隐私权客体说”和“人格权客体说”之间的矛盾。该学说常见于国际组织立法,《欧洲议会个人资料保护指令》序言第7条、《联合国个人资料保护指南》第1条都体现出对个人基本权利和自由的综合权利的关注以及对隐私权的保护。

3.个人信息法律属性的定性论证

著名学者徐国栋教授在《绿色民法典》中评价人格权为民事权利之首,足以体现人格权之重要程度。在信息社会背景下,人格权自身的伦理价值、社会价值、经济价值逐渐凸显,并随之发展为更多元、主动、变化的样态。个人信息保护的本质在于保护个人信息之上反映的人格利益。[3]主要理由如下:第一,是适应现代人格形象的基本要求。大数据时代让个人信息产生利益价值的同时也带来对人格侵害的潜在威胁。个人信息通过被不断收集,从而形成每个人属于自己的“资料形象”,倘若对信息擅自更改、滥用,由此形成的“资料形象”将与个人真实形象大相径庭,对信息主体造成人格尊严的扭曲和损害。而现实严峻在于,信息被泄露和出卖的风险充斥于对信息进行收集、整理和利用的每一个环节。有必要将个人信息的保护置于与个人基本权利保护同等重要的位置,因为信息一旦遭受“毒手”,受侵害的除了人格尊严,还有财产损失。唯有将人格权独立成编,方能适应人格利益的无休止侵害,更合理地在其社会化趋势下保护现代人的人格利益。第二,个人信息的保护发展为具体人格权奠基。以一般人格权作为权利基础构建个人信息保护法,其保护范围涵摄信息本身及其附随的全部利益。个人信息类型多样,并且有其独特的保护价值,理应将其由一般人格权转化为具体人格权加以保护。强化人格权立法之后,能够进一步完善当代中国人格权体系,有助于实现人格权内容和规则的类型化。我国的立法模式选择并非不加辨别地照搬他国成功经验,而是考察如今我国所处的时代和基本国情,强化个人信息中所蕴含的人格利益保护,方能回应民法典现代化和民法典中国化的需要,充分容纳现代中国的人格权问题,为人格权的未来发展开拓空间。[4]

二、域外个人信息保护模式的立法比较

世界各国的立法先例与成功经验表明,唯有将个人信息进行立法保护才能更好顺应时代发展的要求。尽管面临立法基础背景的差异,我国仍应深入研究现有的不同立法体例,不断学习与调整,探寻适应我国国情的个人信息保护道路。

1.德国有关个人信息保护立法

德国作为联邦制国家,其采用的是统一的个人信息立法,这是德国历史文化、法律背景的鲜明体现,且对整个大陆法系的个人信息立法影响深远。统一的立法模式由国家牵头制定专门的个人信息保护法,对个人数据进行统一的监管和保护,并能够与世界上大部分国家的法律制度相衔接。

德国将个人信息作为基础概念,为个人资料的保护制定了专门法律,对个人信息以人格权进行保护。德国国会从1970年起就开始制定《联邦个人资料保护法案》,该法案在六年之内被反复讨论和修改,直到1976年才被国会批准通过,于1977年正式生效。1977年,德国国会通过的《防止个人资料处理滥用法》(又称《个人资料保护法》),该法在制定之前经历过几次大的修订,但其也使德国率先成为统一立法在公领域和私领域中对个人信息进行保护的国家之一。在体例上,德联邦的《个人资料保护法》分为总则和分则,总则是“一般条款”,分则由“国家机关的资料处理”“非国家机关和参与竞争的公法上的企业的资料处理”“特别规定”四个部分构成,附加最后条款。德国的《防止个人资料处理滥用法》生效之后,曾在法学界引起了强烈轰动,由于批评的声音过多,让德国在1980年直接对该法进行了第一次修订,此次修订在立法技术上的进步尤为突出。1983年,德国宪法法院在“人口普查法案”判决书中首次使用了信息自决权的概念,肯定了个人信息权在宪法中的一席之地。此外,值得一提的是这次修订还将国家安全机关对个人信息的搜集与处理方法纳入该法。随后,该法在1990年又进行了修订,使其在理论界和实务界都得到了一致肯定。它不仅涉及非国家机构对个人信息的处理和利用,而且涉及国家机构,德国立法将非国家机构处理个人信息所形成的民事法律关系与国家机构处理个人信息形成的行政法律关系这两种不同的法律关系,纳入一部法律中进行统一规制。较之前的传统立法模式,呈现出不同步的交叉,德国的统一交叉立法模式对大陆法系立法影响深远,甚至让英美法系的国家也纷纷采纳。

2.美国有关个人信息保护立法

美国信息隐私立法是以隐私权为基础的分散立法模式,此种模式下不存在一部集中保护个人信息的基本法律,而是将相关规范分散于不同的公共领域。美国宪法首先为公民个人信息的保护奠定坚实基础。其作为保护美国公民权利免于政府侵害的根本法,能够及时制裁联邦政府涉及侵犯公民个人信息的相关行为,经典实例如身体检测、窃听、测谎等。美国在公共领域的立法同样扣合其宪法精神,极其重视对政府与相关公共管理机构行为的规制,以便更有力地保护公民个人信息。以电子监听和隐私保护为例,美国最初针对电子监听的保护为1934年《联邦通讯法》中的第605条规定,但其保护限于对电子通信中的信息隐私,不具有普遍适用性。直到1968年的《全面控制犯罪活动与街道安全法案》第三章对美国电子监听立法予以统一,包含联邦、州以及个人的监听行为。随着电子监听技术的发展,国会在1986年对该法进行了修正,正式出台《电子通讯隐私法》,该法案对电子监听进行了比较全面的规定,创新将电子邮件、移动通话设备的监听纳入保护范围,直接将截取电子通信的行为定性为犯罪,并对因此造成的对个人信息的侵犯赋予民事救济。

除上述方面,在个人信息隐私保护领域美国仍存在大量其他立法,例如:规范国家机关处理个人信息的《1974年美国隐私法》;规范私人机关搜集、处理个人信息的《公平信用报告法》;专门针对学生、家长个人信息保护的《家庭教育权利与隐私法》等等。

为保证行政行为顺利实施与商业活动正常进行,而非为法律震慑,美国通过分散立法的模式防止立法权力集中膨胀,由此带来的多元化格局让美国对个人信息能够全方位保护的优势显而易见,针对不同领域制定出的不同法律能够细致、准确地对个人信息予以保护。但由于分散立法模式的过度分散、难以集中,使得不同领域之间的立法经常出现矛盾和重复,无法和谐共生。统一立法的缺乏让分散立法模式弊端显现,招致欧盟等地区称其为“条款分割”。联邦和各州立法的不协调以及主要适用于公法领域的隐私立法带来适用范围的过分狭隘,用“支离破碎”形容分散立法模式并不为过。[5]

3.欧盟有关个人信息保护立法

欧洲人认为,信息保护是一项基本人权。1983年,德国联邦法院在其判决中率先提出了“信息自主权”,这一点也在欧盟后来参与的多份人权文件中得到了承认。

迄今为止,欧盟的个人信息保护经历了四个阶段。[6]第一个阶段是指20世纪70年代早期的个人信息保护法。此时,个人信息保护立法并非以个人权利为核心而是为了方便信息控制者对信息的处理和利用,即满足信息处理的社会功能。诸如“隐私”“信息”等概念在该阶段还没有得到精确的适用,取而代之的是“资料”“资料文档”等技术性很强的概念。第二个阶段是指20世纪70年代晚期,从该阶段起,立法逐步开始关注对个人权利的保护。但是这一阶段的最大弊端也在于对于被保护的权利往往只具有宣示意义,流于表面形式,很少有人真正参与到维权的过程。第三个阶段是指20世纪90年代,这个阶段主要针对解决第二个阶段的弊端。其直接目标是保障个人信息权能够切实实现,将个人处理最大限度制度化和体系化,让个人有效参与其中。第四阶段是指20世纪90年代后期,欧盟于1995年通过的《欧盟数据保护指令》(95“指令”),成为欧盟关于个人信息保护最主要的立法。该项指令一方面通过对收集程序、收集对象的规制防止信息控制者过度用权,设定相应义务以避免信息控制者与信息主体之间的地位悬殊。另一方面,该指令同时赋予信息主体权利,在立法中增加对个人信息主体强行法的保护,不允许当事人自行放弃。

欧盟的个人信息保护立法在全球有很大影响。许多非欧盟国家和地区(新西兰、阿根廷和瑞士)已经制定了类似欧盟的个人信息保护法。对信息的保护是欧盟成员国最关注的地方之一,信息的流通范围、速度以及质量无不影响着成员国间在各个领域的沟通和往来。如果信息保护不完备,无法自由流通,那么,欧盟经济也将走到尽头。但是欧盟信息保护法是否适用于特定处理行为的规则,以及各成员国如何协调彼此间的信息保护法,还存在许多不确定性。

三、我国个人信息法律保护的路径选择

1.个人信息保护的法理依据

人格尊严、信息自决权与知情权是个人信息法律保护的三个重要维度。作为宪法追求的价值核心的人格尊严,既是个人信息保护的内核,同时为个人信息保护提供宪法基础。国家公民究其根本为“人”,基于个体发展和社会进步的需要,理应排除外界侵害而享受基本的尊重。所谓尊重,就是尊重他人的人格尊严,不管人与人之间的职业、信仰、文化、财产有何不同,其所具有的人格尊严都是相同的。个人信息是现代人形成人格形象的重要组成部分,承载着丰富的人格利益。信息化社会条件下,保障人格尊严就必须对个人信息加以保护。

在科学技术迅速发展的背景下,信息主体对于信息的控制能力相较于信息管理者而言正在逐步削弱,因此个人对自己的信息是否被收集、处理和利用的决定权愈显重要,也即信息自决权。信息自决权一方面强调个人对自己的信息有全程参与和决定的权利,即积极权能。另一方面又赋予人们在个人信息被侵害时享有的救济权利,让其全方位保护自身权利,即又称消极权能。知情权是基本人格权,属于宪法权利之一,公民有权知道其应知的事情,国家应该尽最大努力确保公民信息获取。针对个人信息保护而言,知情权是一把双刃剑。对一个人的信息,知情权要求公开,而个人信息权要求保密。被称为有关知情权的法律的政府信息公开法就成为各国政府解决这一冲突的平衡点。根据知情权的目的,公民有权利要求政府公开信息,但若不采取合理措施对其中涉及个人信息的部分加以保密,就可能给他人造成侵害。所以,政府信息公开法都以保护个人信息为基本原则,除非事关公共利益和他人重大利益时,否则不得将他人信息予以泄露。

2.个人信息保护的原则依据

英美法系和大陆法系对法律原则有着相同的认识,均是指法律的根本规则、精神和理念,是具体法律规则产生的依据。[7]在个人信息保护过程中,法律原则的重要作用不言而喻,除了对整个法律体例起着宏观的引导作用外,也肩负着弥补法律漏洞的重担。在数字时代,个人信息和个人信息数据之间能够进行相互转化。个人信息数据应被理解为数字技术下的以比特流形式存在的电子符号。个人信息与个人信息数据是内容与载体的关系,个人信息在当下主要以数字化或数据化的形式呈现,但两者之间并非简单的一一对应关系。[8]个人信息保护不仅要确保个人人格不受侵犯,更应保障个人信息的合法流通。经过长期实践,各国针对个人信息保护原则业已形成较为统一的认识,包括但不限于:第一,直接收集原则。该原则来源于《OECD个人资料保护指针》中的限制收集原则,即对个人信息收集的对象和方法应该有所限制。通过对个人信息直接收集,可以有效规范信息收集与利用行为,使其得到合理控制,也可以避免错误信息造成对信息主体的侵犯。[9]第二,目的明确原则。该原则是指在收集信息之前必须存在特定目的,并将该目的用一定合法手段予以明确。一方面要有特定目的,行政机关收集信息必须为了履行职务行为,非行政机关收集信息必须与事业有关。另一方面要明确目的,即确定目的之后不可以随意变更,除非及时通知当事人。第三,信息保密原则。该原则赋予除了信息主体之外的一切人和组织对个人信息的保密义务,不得向任何第三人泄露。适用该原则的前提应确保查阅个人信息的人具有良好的操守、审慎的态度,这是保密原则的基本要求。由于我国缺少对人格利益保护的法律机制,因此,明确保密原则有助于保护个人信息上附随的人格利益,能够有效推进个人信用制度的建设。在法律解释上,亟需借助上述原则,厘定个人信息的保护范围,充分考量信息主体各方的法益诉求,达到个人信息保护与利用的平衡。

3.个人信息保护的规则依据

纵览当今国际社会,个人信息保护的统一立法模式为多数大陆法系国家所选择,我国亦不例外。《个人信息保护法》以综合法的形式确立了个人信息的统一保护,实现个人信息保护规则的集中,有助于司法统一。选择统一的立法模式的理由主要有三:第一,大数据时代是人类社会发展的一个趋势,个人信息保护问题不仅发生在某一领域,也不是某个部门法可以解决的问题,其涉及范围广、影响深。制定统一的基本法可以有效缓解各个部门法之间的冲突与重复,切实加大对个人信息保护的力度。第二,虽然个人信息保护既发生在公领域又发生在私领域,但二者在价值取向和最终目标上是一致的,均是对个人基本权利的保护,而非对立法效率和行政行为的追求。统一的立法模式更适合主管机关对信息主体进行监督和管理,更利于基本人权的实现。第三,在公领域和私领域,个人信息保护主要基本原则的实质内容一致,这就使得统一的立法模式在公领域展现优势的同时,对私领域依然能够发挥作用。因此,涉及个人信息法益私法保护时,统一集中规则应优先适用于民法典的基本规定,此乃特别法优先于一般法的当然要求。[10]

四、结语

在大数据和互联网+的背景下,谁先为数据制定规则,谁就能首先掌握这个时代的话语权。个人信息作为一种人格利益,在为国家权力奠定基础的同时也成为商业机构攫取利益的手段。强化个人信息法律保护是国家法治文明的重要标志,严厉打击对个人信息不法利用的行为,切实做好对个人信息权益的维护。