通过对理论与司法实践的观点进行梳理可知目前主要对于个人信息的法律性质、法律定义以及侵权的判定存在分歧。要解决这些问题,就要联系相关法律条文进行解释,通过体系解释的方法可推知个人信息是一种民事权益,对于个人信息的定义则通过解析条文得出其最关键的特征为可识别性,然后围绕可识别性采用利益平衡原则即可对一项信息是否为个人信息进行判断。我国在立法上对于个人信息的保护不足,因此应从立法上对最为重要的采集环节进行控制,其次应当删除“实际损害”的侵权构成要件,同时实现救济方式的多样化,增加惩罚性赔偿的规定。最后,个人信息的搜集者,互联网网络服务提供者以及普通用户应当积极履行自身义务,共同保障信息安全。
在当前信息化以及技术化高速发展的社会,个人信息面临着严峻的侵权风险。在日常生活中越来越多地使用到我们的个人信息,由此个人信息泄露的风险也在与日俱增,个人信息保护已经成为社会生活中无法忽略的一部分。在民法典编撰中,立法机关由此提出了一项新的制度:个人信息保护制度。但民法典公布之时并未给该项制度以明确的法律定位,由此个人信息保护制度一经出台便引发了学界对于其法律性质以及适用范围的激烈讨论,各位学者都有理有据,基本已将学界的观点及相关法理一一释明。因此将重点投入于司法实践中,通过整理归纳,不难发现对于司法实践中各法院在民法典颁布后对于个人信息保护的法律定位也不尽相同,对于个人信息侵权案件的判断也没有统一标准。这有损司法的公信力。因此,以下从司法案例入手,整理出司法实践中各法院的不同观点,通过与学界相关观点进行比较,采用文义解释、体系解释、历史解释的方法寻找民法典背景下个人信息保护的应然路径。
一、学界关于个人信息保护的界定
(一)个人信息的法律规定
我国目前关于个人信息保护的规定主要规定于民法典第一编“总则”第5章“民事权利”第111条以及第4编“人格权”、第六章“隐私权和个人信息保护”第1034-1039条之中,根据第1034条的规定可以看出,自然人的个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。由此看出个人信息最为显著的特征应当是可识别性,即能够根据此项信息单独或与其他信息结合指向特定的自然人。
(二)个人信息的类型
纵观境外及其他地区的法律,对公民个人信息的定义可归结为三种类型:(1)综合型定义。个人信息是包括关于个人的一切事项之事实、判断、评价等所有信息在内的信息。(2)隐私型定义。个人信息是社会中多数所不愿向外透露的或是个人极敏感而不愿他人知道的信息。(3)识别型定义。个人信息是指能够直接或间接识别出特定自然人身份而又与公共利益没有直接关系的私有信息。根据我国对于个人信息的规定可知我国采用识别性定义,主要将可识别性作为个人信息的主要及核心特征。
(三)公民个人信息法律属性
1.公民个人信息属于权利还是权益
在民法典未正式颁布之前,学界对于公民的个人信息属于权利和权益存在分歧,主要观点有“民事权利说”和“民事权益说”。有学者认为,民法总则第111条已经在一定程度上明确了“个人信息权”。虽然第111条的条文本身并没有直接出现“个人信息权”的表述,但是该条文既是对自然人这一民事主体对其个人信息享有民事权利的宣示性规定,同时也是对此的确权性规定。如今民法典已经颁布,通过体系解释的方法,联系到民法典第4编人格权中各章节几乎都是以“某某权”作为章名,第2章“生命权、身体权和健康权”、第3章“姓名权和名称权”、第4章“肖像权”、第5章“名誉权和荣誉权”。然而,唯独在第6章使用的是“隐私权和个人信息保护”的表述,立法者在立法上并未将个人信息保护上升到权利的高度,而是将其作为一种民事权益加以保护。
2.公民个人信息民事权益的性质
由于民法典之中关于公民个人信息的权利属性尚未明确,学界形成以下解释论:一是,人格权说。该种学说认为,公民个人信息属于公民的人格权。这一观点是目前学界的通说,同时,侵犯公民个人信息被规定在民法典人格权一章中,成为人格权编的一个组成部分也为该学说提供了立法佐证。二是,财产权说。该说认为,“随着信息和网络时代的到来,个人信息事实上已经发挥出维护主体财产利益的功能,此时,法律和理论要做的就是承认主体对于这些个人信息享有财产权”。但该种学说的缺陷在于过分强调公民个人信息的商用价值,而忽视了对个人信息肆意买卖、使用的禁止,无法满足公民对司法的现实需求。三是,隐私权说。该说认为,我国侵权责任法第2条已经正式确立了对隐私权的保护,而通过对隐私权的扩张解释,足以将要保护的各种信息囊括进隐私的概念。但是,根据民法典的规定已经将隐私权与个人信息权加以区分。四是,个人信息权说。这种说法虽然考虑了个人信息的有效保护,但是在立法上并没有必要,因为个人信息权并没有突破现有法律所规定的权利和利益的范围,若在立法上对于个人信息单独确立一种权利属性将不利于法律的体系化解释。
由此,笔者赞同用人格权说来解释个人信息的法律属性,不过如上所述,笔者认为个人信息并非是一种民事权利,而是一种民事权益。我国民法典明确了自然人的个人信息权益在性质上属于人格权益,而非财产权益。一方面,民法典总则编第5章“民事权利”在列举了具体人格权后,在第111条对个人信息的保护作出规定。另一方面,民法典将个人信息保护的具体内容放在人格权编当中,括其他人格利益(第126条)。由此,可以肯定的是,虽然民法典没有规定个人信息权,但明确了自然人对其个人信息享有的民事权益在性质上属于人格权益。
二、司法实务中侵犯个人信息案件的裁判立场
(一)司法实践中侵犯个人信息权的行为类型
在北大法宝中查询关于个人信息的案件量,可以发现关于个人信息案件的数量在逐年上升。此种趋势在2014年后尤为明显,究其原因,除公民的权利意识日渐强烈,还得益于法律法规的不断完善,让个人在权利受到侵犯时有法可依。通过归纳,可以明确司法实践中侵犯个人信息权的主要类型是不当收集、不当管理和不当利用。不正当收集个人信息,是指本应当以法律允许的方式收集资料,但未经相应的许可或提供相应的法律授权文书而进行的收集信息行为。当信息控制者存在以下三种行为时:泄漏他人信息、越权处理他人信息、未经同意修改他人信息,就会被认定为不当管理。个人信息的不当使用指信息控制者将其持有的个人信息用于盈利。主要分为两种情况:一是,未经他人同意,越权处理他人信息的行为。二是,信息控制者超出信息所有人的可推测意图,商业利用他人信息的行为。在司法实践中一个侵权案件之中可能存在一种或组合型的行为类型,其中较为常见的是不当搜集,常发生于注册各种APP时要求实名注册。诚然,实名注册为我们的生活带来了便捷,也有利于管理。但是,大数据技术在带来便捷的同时,也给个人信息的网络侵权带来了便利。大量的不法人员在未经个人信息所有权人的许可之下,或虽取得个人信息所有权人的许可权,但是在其服务范围外大量收集其他的个人信息。由于在注册时许多APP都采用了格式条款,用户要想使用相关服务就必须进行相关授权,而商家在搜集到信息后没有尽到妥善保管的义务使得个人信息被泄露。
(二)个人信息侵权案件的裁判立场考察
1.个人信息定义的判断分歧
通过对于个人信息案件的梳理及归纳,可以发现案件的第一步就是判断什么是个人信息。而各个法院对于个人信息的定义并不相同。一般认为,个人信息是一切可以识别本人的信息的总和。根据不同的标准,个人信息可以划分为不同的类别,如能否直接识别本人、是否涉及个人隐私、是否公开、属人或属事等。目前,在理论界对个人信息尚欠缺相对统一的概念,人们对其内涵与外延、个人信息主体的权利、个人信息收集者的权利以及个人信息保护的权利基础等基本理论问题尚缺乏一致的认识。
对于如何判断是否为个人信息,有法官认为:构成个人信息应当满足两个要件。一是,具有可识别性,即通过该信息可以识别特定自然人,这是个人信息的核心要件;二是,要有一定的载体,应以电子或者其他方式记录,这是个人信息的形式要件,没有以一定载体记录的信息不是个人信息。“可识别性”既包括对个体身份的识别,也包括对个体特征的识别;对个体身份的识别确定信息主体“是谁”,对个体特征的识别确定信息主体“是什么样的人”。同时,在考量是否具有可识别性时,不应机械、割裂地对每一个单独的信息进行判断,而应结合具体场景,以信息处理者处理的相关信息组合进行判断。如果将各个信息机械地割裂,分别考量是否属于个人信息,既脱离个人信息使用的现实情况,又与加强个人信息保护的立法意图相悖。如已经收集了能识别特定自然人的信息,该信息与其他信息组合亦可以识别特定自然人,这种信息组合同样属于个人信息。也有法官认为:个人信息的核心特点为“可识别性”,既包括对个体身份的识别,也包括对个体特征的识别;对个体身份的识别确定信息主体“是谁”,对个体特征的识别确定信息主体“是什么样的人”,即该信息能够显现个人自然痕迹或社会痕迹,勾勒出个人人格形象。判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人;同时,识别个人的信息可以是单独的信息,也可以是信息组合。可识别性需要从信息特征以及信息处理方的角度结合具体场景进行判断。二是关联,即从个人到信息,如已知特定自然人,则在该特定自然人活动中产生的信息即为个人信息。符合上述两种情形之一的信息,即应判定为个人信息。
2.个人信息权益权利属性认定分歧
在司法实践中,对于个人信息属于权利还是权益各个法院之间并没有形成共识。通过在北大法宝进行检索,可以发现部分案件认为个人信息权属于民事权益,如黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案,凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案,赵某诉北京某某房地产经纪有限公司等一般人格权案,赵某诉北京某某房地产经纪有限公司等一般人格权案;也有部分法院在司法实务中认为个人信息属于民事权利,如孙伟杰诉鲁山县农村信用合作联社侵犯公民个人信息权案,赵海军等出售、非法提供公民个人信息案,谯大业、广安市广安区人民检察院侵权责任纠纷案,刘为民与北京京东叁佰陆拾度电子商务有限公司网络服务合同纠纷。
3.个人信息权益侵权责任认定分歧
在司法实践中,个人信息侵权的大部分案件都与网络有关。由于网络具有传播速度快等特点,个人信息被侵害的机会也大大增加。关于个人信息权益侵权责任各个法院也没有形成统一的标准。关于个人侵权案件中举证责任的分配:有法官认为,在公司利用个人信息进行经营活动产生的纠纷中,个人相对于具有一定数据垄断地位的公司实体在证据搜集和举证能力上处于弱势地位。因此,应顾及双方当事人之间实质公平正义进行举证责任的分配。此案中,原告已举证证明其将个人信息提供给被告公司,后在较短时间内发生信息泄露,已完成相应合理的举证义务。被告公司应就其对原告的个人信息泄露无故意或过失之事实负举证责任。
三、民法典中个人信息保护的制度完善
(一)着重对采集环节进行控制
目前民法典之中对于个人信息采集者的义务之规定不够明确。由此作为个人信息侵权案件中的关键一环,即个人信息的采集者对于个人信息保护不足,这也是导致司法实务中个人信息被侵权的常见原因。
因此个人信息保护立法所需要规范的信息采集的事中控制,侧重于保护公民对其被采集的个人信息的权利。具体在信息采集过程中表现为:(1)个人对信息收集和使用情况的预先知情权。信息采集部门在收集公民个人信息时,应当履行告知义务,使公民个人充分了解其被采集的个人信息的内容范围,采集后的信息将做何种用途,以及信息披露的方式和程度。(2)许可权和支配权。即在除法律规定必须公开的情形外,公民有权依据个人意志决定是否公开其个人信息资料,以及决定被收集的个人信息的使用目的和使用方式;有权拒绝超职权范围、超出正常业务目的的信息采集活动;有权充分了解和合理使用自己的信息并在必要时修正信息;有权准许或不准许他人知悉或者利用自己的个人信息数据等。
(二)个人信息权益侵权责任制度之构想
1.删除“实际损害”构成要件
在当前的侵权责任构成要件中,根据侵权责任法第36条明确的规定,对网络用户的侵权采用一般过错责任原则。侵权责任一般采用过错责任,即由原告举证证明侵权行为、损害后果以及因果关系,由被告承担不具有过错以及免责事由。然而,如果个人信息权益受到侵犯要求具体的损害后果可能会存在原告举证困难的问题,不利于普通公民维护自身权益。
因此,在个人信息权益被侵犯的案件之中,可将实际损害后果这一构成要件删掉。根据日常生活经验,个人信息权益被侵犯必然会伴随着损害发生,但是这种损害在民法上难以举证证明,“个人信息权”侵权行为中责任主体众多,波及范围甚广,且有些损害后果介于信息传播速度和受众的影响并不会产生立竿见影的不良后果。但是亦不能排除在后续阶段产生更严重的危害后果。此时,若仍旧坚持将有实际损害后果作为认定侵权行为的必备条件,显然对侵权人极为不利,会出现被侵权人的个人信息权益被“合法侵犯”的情况。
2.实现救济方式多样化
在目前个人信息侵权案件之中,较为常见的救济方式主要包括停止侵害、消除危险、赔礼道歉、消除影响、恢复名誉以及赔偿损失,这对于个人信息保护来说远远不够。因此,个人信息侵权中应当对信息控制者以及信息处理者因故意或重大过失损害个人信息的行为适用惩罚性赔偿。大数据时代一旦发生个人信息侵权案件,通常并不仅仅代表个人的信息权益受到侵犯,而是一部分人的信息权益都已经受到侵犯。但是由于法律或者各种原因并没有及时维护个人的权益,此时如果不对信息的控制者或者信息的处理者加以惩戒,当违法成本很低时,侵权人并不会放弃违法的道路,反而还会吸引更多旁观之人加入违法犯罪的队伍。
因此,笔者认为对于特定主体应当使用惩罚性赔偿,让侵权人付出相应代价才能让其及时停止侵权行为,从而有利于遏制滥用个人信息的不正之风。
四、个人信息保护的应然路径
(一)明确界定“识别”要素的原则:利益平衡原则
个人信息的核心特点为“可识别性”,既包括对个体身份的识别,也包括对个体特征的识别。因此,在司法实务中判断一种信息是否为个人信息时,应当以可识别性为核心,遵守利益平衡原则。鉴于我国目前正处于经济发展的关键时期,过于宽泛的个人信息界定可能不利于经济的发展。“本质上看,立法其实是一个利益识别、利益选择、利益整合及利益表达的交涉过程,在这一过程中立法者旨在追求实现利益平衡。”
个人信息承载了信息主体的人格利益。信息的控制者在处理个人信息时,应尊重信息主体的人格尊严和自由,避免对其人格利益造成侵犯。个人信息保护法在保护个人信息利益的同时,也要考虑个人信息的合法利用与流通。例如,对于企业而言,收集个人信息可以形成“大数据”从而为消费者提供更好的服务,推动企业的创新与发展;对于政府而言,收集和分析个人信息可以提供更好的公共服务;对于科研机构而言,收集个人信息可以推动科学的进步和发展,造福全人类。当个人利益与公共利益相冲突时,必要情况下可以牺牲个人利益以保护公共利益。
(二)明确各责任主体的义务
1.个人信息的搜集者
2013年颁布的中华人民共和国消费者权益保护法第29条第2款中明确规定,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。这是在立法层面上对消费者个人隐私和信息的保护,也是对经营者保护消费者个人信息的强制性规定。经营者违反了该条规定,即视为其存在过错。在民事活动中,个人信息的搜集者一般为企业,因其生产经营活动中不可避免会掌握大量的个人信息。因此,企业作为个人信息的搜集者应当保护好消费者的个人信息免受泄露,这既是其社会责任,也是其应尽的法律义务。
2.互联网网络服务提供者
根据我国《互联网信息服务管理办法》及《互联网电子公告服务管理规定》的相关规定,互联网信息服务提供者应当向上网用户提供良好的服务,并保证所提供的信息内容合法。任何人不得在电子公告服务系统中发布含有侮辱或者诽谤他人、侵害他人合法权益的信息。在网络交易中,网络交易平台提供商作为服务提供者,其主要的服务内容是有偿为拍卖人提供商品及价格展示的信息平台,依据与竞拍人之间的约定,为竞拍人提供拍卖人及商品的信息,根据买卖双方的合意情况,确认交易是否成交。由此,网络交易平台提供商与竞拍人、拍卖人之间均构成居间合同关系。按照合同法所规定的居间人的义务,网络交易平台应当就有关订立合同的事项向竞拍人如实报告,不得故意隐瞒与订立合同有关的重要事实或者提供虚假情况等。如果其违反法定义务,则应承担违约责任。
互联网时代,随着科技的不断进步,个人信息权益也会在各种新的场景下遇到诸多新的问题。技术的发展促进了海量信息的产生,与传统线下场景不同的是,普通网络用户因为技术能力很难了解其个人信息如何被处理和利用,其对网络空间中的个人信息和私人领域的控制力更为减弱。因此,互联网企业更需要从保护用户权利的角度,合法合规地设计产品模式、开发技术应用。规范个人信息的处理行为并不会影响行业发展,反而会促使技术在个人信息保护方面不断创新进步。个人信息的规范处理和安全保障会促进数据资源的积累和利用,设定合理的个人信息保护的边界,才能构建良好的个人信息保护与大数据利用之间的关系。我们应当相信,在互联网技术发展日新月异的今天,可以通过诸如完善隐私政策内容和告知形式、对信息不可复原的匿名化处理等产品模式设计和技术创新的方式。在加强隐私权和个人信息保护的前提下,促进互联网行业的发展,而非对公民个人权益和行业发展进行非此即彼的取舍,这需要互联网企业承担其应尽的法律责任和社会责任。
3.普通用户
普通用户也负有妥善保管个人信息的义务,在日常生活中要善于识别各种可能泄露个人信息的行为。比如,大街上的识别二维码送礼品,以及在授权APP进行相关操作时应当注意其中的格式条款,特别是对于其中关于个人信息的处理部分要加以重视。此外,当发现生活中出现个人信息被滥用的情况时应当及时制止,如向网络服务提供者要求删除相关信息,向泄露者提起诉讼等方法维护自身权益。
总结
随着大数据时代的到来,个人信息作为一种重要的社会资源越来越被人们所重视。由于个人信息具有一定的财产属性,通过各种非法手段收集、使用他人信息从中牟利的案例比比皆是。这样的行为不仅会对信息主体的权利带来损害,同时也严重威胁到了社会的秩序和公众利益。从个人信息保护制度在民法典上得到确认,可以看出我们对于个人信息的保护应当加以重视。通过对学界以及司法实务界对于个人信息权益的分歧进行梳理,可以发现目前主要对于个人信息的法律性质,法律定义以及侵权的判定上存在不同意见。要解决这些问题,就要联系相关法律条文进行解释,采用体系解释的方法可以看出个人信息是一种民事权益。关于个人信息的定义,则可以对法律条文进行文义解释,提取出定义个人信息最关键的特征为可识别性,然后围绕可识别性采用利益平衡原则即可对一项信息是否为个人信息进行判断。通过对司法实务进行总结,可以发现我国在立法上对于个人信息的保护还是不够充分,应当着重对个人信息侵权中最重要的采集环节进行控制,其次在侵权的判定过程中应当删除“实际损害”要件,并实现救济方式的多样化,增加惩罚性赔偿的规定。最后,个人信息的搜集者、互联网网络服务提供者以及普通用户应当积极履行自身义务,共同保障个人信息安全。