伴隨大數(shù)據(jù)時(shí)代的到來,個(gè)人信息(又稱“個(gè)人數(shù)據(jù)”,本文混同使用)保護(hù)問題成為熱點(diǎn)話題。《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》(以下簡稱《消費(fèi)者權(quán)益保護(hù)法》)、《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)等法律確立了一個(gè)基本規(guī)則:未經(jīng)同意不得收集和使用個(gè)人信息。該規(guī)則暗含著個(gè)人對(duì)于個(gè)人信息具有支配權(quán),未經(jīng)同意收集和使用個(gè)人信息即屬于侵權(quán)。2014年最高人民法院公布《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身、權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》(以下簡稱《信息網(wǎng)絡(luò)侵權(quán)規(guī)定》),試圖將侵犯?jìng)€(gè)人信息作為獨(dú)立的侵權(quán)類型,公開個(gè)人信息致人損害即構(gòu)成侵權(quán)。以公開作為侵犯?jìng)€(gè)人信息的加害行為,暗示著《信息網(wǎng)絡(luò)侵權(quán)規(guī)定》將個(gè)人信息保護(hù)等同于隱私保護(hù)。《中華人民共和國民法總則》(以下簡稱《民法總則》)只是宣布個(gè)人信息應(yīng)當(dāng)受法律的保護(hù),并未將個(gè)人信息明確為一種具體人格權(quán)。
那么,個(gè)人信息保護(hù)與隱私保護(hù)是否為一回事,擅自公開個(gè)人信息或者未經(jīng)同意使用個(gè)人信息是否都構(gòu)成侵權(quán)?這涉及個(gè)人信息的法律定性以及個(gè)人信息上需要保護(hù)的法益問題,而回答這個(gè)問題又關(guān)系著對(duì)個(gè)人信息保護(hù)的理解和個(gè)人信息保護(hù)法的定位。
個(gè)人信息是指可識(shí)別具體個(gè)人(僅指自然人)的信息。在美國,個(gè)人信息被稱為“個(gè)人可識(shí)別信息”,歐盟《統(tǒng)一數(shù)據(jù)保護(hù)條例》(以下簡稱《條例》)將個(gè)人數(shù)據(jù)定義為“與已識(shí)別或者可識(shí)別數(shù)據(jù)主體相關(guān)的任何數(shù)據(jù)”。識(shí)別指的是根據(jù)與特定人有關(guān)的信息來認(rèn)識(shí)、辨識(shí)或指認(rèn)該特定個(gè)人,英文統(tǒng)一表述為“Identity”,包括識(shí)別個(gè)人身份和個(gè)性特征兩個(gè)方面。
個(gè)人信息是社會(huì)交往和社會(huì)運(yùn)行的必要工具或媒介。個(gè)人需要運(yùn)用一些信息標(biāo)識(shí)其為某人,而社會(huì)也需要利用信息來識(shí)別某個(gè)特定個(gè)人,這兩個(gè)方面構(gòu)成個(gè)人信息應(yīng)用的基本場(chǎng)景。工具性質(zhì)決定了個(gè)人信息的社會(huì)性、公共性。網(wǎng)絡(luò)、傳感器等記錄的與個(gè)人有關(guān)的活動(dòng)、瀏覽記錄,只是與特定個(gè)人產(chǎn)生了聯(lián)系,賦予該信息某種含義,而不足以使該個(gè)人對(duì)該記錄信息擁有排他支配權(quán)。即使直接可以標(biāo)識(shí)個(gè)人身份的信息,個(gè)人也不享有支配權(quán)。以姓名為例,姓名是最直接標(biāo)識(shí)自然人的標(biāo)識(shí)符(文字),它具有等同于本人或代表本人的功能,雖然法律賦予個(gè)人以姓名權(quán),但并不包括對(duì)姓名信息的支配權(quán)。與特定個(gè)人有聯(lián)系并不足以導(dǎo)致個(gè)人對(duì)該信息的壟斷,法律沒有理由賦予個(gè)人對(duì)個(gè)人信息的排他支配權(quán)。恰恰相反,一個(gè)人的聯(lián)系方式、過往經(jīng)歷、性格習(xí)慣等一直被認(rèn)為是認(rèn)識(shí)和了解一個(gè)人的途徑。
因此,個(gè)人信息的識(shí)別功能決定的是個(gè)人信息本身的社會(huì)屬性而非個(gè)人屬性,個(gè)人對(duì)個(gè)人信息并不當(dāng)然地享有支配性權(quán)利。對(duì)于個(gè)人信息保護(hù)而言,需要尋找其他的法益來奠定個(gè)人保護(hù)的正當(dāng)性基礎(chǔ)。
在尋求個(gè)人數(shù)據(jù)保護(hù)的法律理由方面,權(quán)威的國際立法文件和主要國家的立法均將個(gè)人數(shù)據(jù)保護(hù)定位于對(duì)人的尊嚴(yán)的保護(hù),認(rèn)為在個(gè)人數(shù)據(jù)上存在一個(gè)自然人最值得受法律保護(hù)、最重要的法益,即人的尊嚴(yán)。聯(lián)合國1948年發(fā)布的《世界人權(quán)宣言》第12條被普遍視作保護(hù)個(gè)人信息的法律淵源。歐洲委員會(huì)于1981年發(fā)布了《個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》(以下簡稱《公約》),《公約》2012年修改后,取消了“尤其是隱私權(quán)”,表述為“捍衛(wèi)每個(gè)人的個(gè)人尊嚴(yán)和保護(hù)基本人權(quán)和基本自由,尤其是通過對(duì)其數(shù)據(jù)及其處理的控制權(quán)來實(shí)現(xiàn)保護(hù)”,也就是借助“個(gè)人數(shù)據(jù)及其處理的控制權(quán)”手段,實(shí)現(xiàn)“保護(hù)基本人權(quán)和基本自由”的目的?!稓W盟基本人權(quán)憲章》(以下簡稱《憲章》)明確地將“個(gè)人數(shù)據(jù)保護(hù)權(quán)”作為一項(xiàng)獨(dú)立的基本權(quán)利加以保護(hù)。歐盟1995年《數(shù)據(jù)保護(hù)指令》(以下簡稱《指令》)和2016年《條例》,均肯定“保護(hù)自然人的基本權(quán)利和自由”,只是“尤其”表述不一致,由“尤其保護(hù)有關(guān)個(gè)人數(shù)據(jù)處理中的隱私權(quán)”改為“尤其保護(hù)個(gè)人數(shù)據(jù)的權(quán)利”。個(gè)人數(shù)據(jù)保護(hù)的目的是人權(quán)法或憲法意義上的“個(gè)人基本權(quán)利和自由”,它最終根源于對(duì)“人的尊嚴(yán)”的保護(hù)。
“人的尊嚴(yán)”源自人應(yīng)當(dāng)被獨(dú)立、平等、有尊嚴(yán)地對(duì)待的普遍價(jià)值觀。我們不能抽象地講保護(hù)個(gè)人信息是保護(hù)個(gè)人基本權(quán)利、保護(hù)自由和平等,而是要找到個(gè)人信息與這些普遍價(jià)值的聯(lián)系,尋找這些普遍價(jià)值與私人權(quán)益的聯(lián)系。筆者將個(gè)人信息上存在的受法律保護(hù)的基本權(quán)益歸類為以下三個(gè)方面:
個(gè)人雖然不能阻止他人使用其個(gè)人信息,但是,由于個(gè)人信息關(guān)涉到個(gè)人利益,因此其應(yīng)當(dāng)屬于個(gè)人事務(wù),屬于個(gè)人獨(dú)立自主決定的范疇。1983年德國聯(lián)邦憲法法院在“人口普查案”中確立的“信息自決權(quán)”,開啟了個(gè)人有權(quán)決定個(gè)人數(shù)據(jù)如何被使用的先河。個(gè)人信息自決權(quán)實(shí)際上是為了防止個(gè)人信息“被處理”,個(gè)人享有不受自動(dòng)化處理結(jié)果約束的權(quán)利。如果商業(yè)機(jī)構(gòu)隨意自動(dòng)地收集個(gè)人信息并對(duì)個(gè)人作出決定,就等于將人(主體)作為被動(dòng)的可“被處理”的東西,這是對(duì)人的獨(dú)立自主的蔑視,是對(duì)人的尊嚴(yán)和自由的侵犯。
由于身份(以姓名為核心的識(shí)別體系)是一個(gè)人開展社會(huì)活動(dòng)的前提,也是社會(huì)將其活動(dòng)結(jié)果歸屬于特定主體的工具,身份利益使得個(gè)人有權(quán)使用標(biāo)識(shí)自己身份的符號(hào)開展社會(huì)活動(dòng)并將其活動(dòng)結(jié)果歸屬于其本人。例如,以姓名為核心的身份識(shí)別體系是一個(gè)人在社會(huì)中生存的根基,法律需要保護(hù)這種身份識(shí)別所產(chǎn)生的利益(包括精神利益和經(jīng)濟(jì)利益)。廣泛存在的“用戶畫像”行為利用自動(dòng)化分析工具得出的結(jié)論不全面、不正確、不符合真實(shí)個(gè)體的現(xiàn)實(shí)情況,會(huì)產(chǎn)生身份認(rèn)知上的錯(cuò)誤,還有可能損害相應(yīng)個(gè)人的名譽(yù),對(duì)其人格、信譽(yù)等方面產(chǎn)生負(fù)面影響。
在網(wǎng)絡(luò)環(huán)境下,個(gè)人很難再有真正的隱私,每個(gè)人都變得透明。而這樣一個(gè)透明的社會(huì),更容易產(chǎn)生深層次的歧視,有些個(gè)人情況會(huì)成為企業(yè)招聘時(shí)考量一個(gè)人的隱形標(biāo)準(zhǔn),如性取向、政治傾向、宗教信仰、星座等。通過對(duì)每個(gè)用戶進(jìn)行全面深度的了解,數(shù)據(jù)控制人還可以制定不同的交易價(jià)格。最近熱議的大數(shù)據(jù)“殺熟”,就屬于不合商業(yè)倫理的一種個(gè)人信息利用行為。在數(shù)據(jù)帶給人們精準(zhǔn)決定權(quán)的同時(shí),如何防止新型歧視也成為數(shù)據(jù)保護(hù)研究者所關(guān)注的領(lǐng)域。
我國立法沒有對(duì)個(gè)人數(shù)據(jù)保護(hù)的這三類權(quán)益進(jìn)行明確闡釋,至少現(xiàn)行個(gè)人信息保護(hù)立法缺少對(duì)這些法益的揭示,而隱私和安全利益反倒成為我國個(gè)人信息保護(hù)立法的關(guān)注焦點(diǎn)。因此,筆者認(rèn)為個(gè)人信息保護(hù)與隱私保護(hù)以及安全利益之間的關(guān)系需要進(jìn)一步澄清。
個(gè)人信息保護(hù)與隱私保護(hù)有著復(fù)雜的聯(lián)系,這主要是因?yàn)椴煌ㄓ驅(qū)﹄[私有著不同的理解,甚至在相同法域隱私規(guī)范也不盡相同。美國法在隱私保護(hù)下討論個(gè)人信息保護(hù),形成美國特有的個(gè)人信息保護(hù),即信息隱私。而在大陸法的語境下,隱私只是一種具體人格利益,隱私保護(hù)區(qū)別于個(gè)人信息保護(hù)。筆者將結(jié)合我國對(duì)隱私保護(hù)的認(rèn)知,在大陸法語境下討論個(gè)人信息保護(hù)與隱私保護(hù)的關(guān)系。
隱私指?jìng)€(gè)人不愿公開或?yàn)樗酥さ拿孛?,這個(gè)秘密可能是文字記載事實(shí)、通信,也可以是個(gè)人行為或活動(dòng)過程。因而,隱私侵權(quán)行為可以類型化為兩種:一是公開泄露個(gè)人不愿意讓人知曉且不涉及公共利益的生活事實(shí)(私密信息);二是刺探他人私密活動(dòng)(跟蹤監(jiān)視他人行蹤、窺探私人活動(dòng)或侵入私密空間等)。從概念上來看,個(gè)人信息與隱私具有明顯區(qū)別,前者強(qiáng)調(diào)可識(shí)別性,后者強(qiáng)調(diào)私密性。但是,個(gè)人信息保護(hù)與隱私保護(hù)規(guī)范也存在交叉,主要體現(xiàn)在兩個(gè)方面。其一,個(gè)人信息中包含私密信息,而這是隱私權(quán)保護(hù)的重要內(nèi)容。識(shí)別個(gè)人的信息并不一定都具有隱私利益,但是,越私密性的信息與特定個(gè)人的聯(lián)系就越強(qiáng),或者說該信息的個(gè)人屬性就越強(qiáng),其可識(shí)別性就越高,因而私密性信息均可落入個(gè)人信息范疇。對(duì)于落入隱私范疇的個(gè)人信息,需要賦予個(gè)人以控制權(quán),使用屬于隱私范疇的個(gè)人信息應(yīng)當(dāng)事先征得個(gè)人同意。其二,個(gè)人信息的利用可能造成隱私侵權(quán)。在網(wǎng)絡(luò)化、數(shù)據(jù)化時(shí)代,個(gè)人的一切行為過程、行為時(shí)間地點(diǎn)甚至目的都可能被收集和分析。這樣,個(gè)人信息的收集和利用也有可能對(duì)個(gè)人行為隱私造成侵犯。
但是,在大陸法的語境下,我們不能將隱私保護(hù)作為個(gè)人數(shù)據(jù)保護(hù)法的目的。以歐盟立法為例,無論是各成員國國內(nèi)的個(gè)人數(shù)據(jù)保護(hù)法還是最新的《條例》,總體上都屬于公民基本權(quán)利(人權(quán))法,而非私法,且隱私保護(hù)也只是作為人格尊嚴(yán)不可或缺的內(nèi)容被放進(jìn)法律規(guī)范中;在個(gè)人信息保護(hù)方面,并沒有建立公開個(gè)人信息就構(gòu)成侵權(quán)的規(guī)范,更沒有建立未經(jīng)同意不得使用個(gè)人信息的規(guī)范。歐洲個(gè)人數(shù)據(jù)保護(hù)法內(nèi)含隱私保護(hù),但其規(guī)范體系不能對(duì)應(yīng)到私法上的隱私權(quán)保護(hù)規(guī)范。
個(gè)人信息本身是社會(huì)交往的工具,其本身沒有社會(huì)危害性。但是,這種識(shí)別和聯(lián)系的功能被“不法分子”利用,用于違法犯罪活動(dòng),就會(huì)危害到個(gè)人安全。確保個(gè)人信息安全也是個(gè)人信息保護(hù)法的重要立法目標(biāo),因?yàn)閭€(gè)人信息不安全就會(huì)給“壞人”可乘之機(jī),增加個(gè)人人身和財(cái)產(chǎn)方面的安全風(fēng)險(xiǎn)?!鞍踩Wo(hù)原則”是經(jīng)濟(jì)合作與發(fā)展組織在《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流通指南》中提出的個(gè)人信息保護(hù)8大基本原則之一,并將之表述為:“個(gè)人數(shù)據(jù)應(yīng)當(dāng)?shù)玫胶侠淼陌踩Wo(hù),防止丟失或未經(jīng)授權(quán)的訪問、毀壞、使用、修改或泄露?!卑踩瓌t已經(jīng)成為世界普遍接受的個(gè)人信息保護(hù)原則?!稐l例》除了要求數(shù)據(jù)控制人在系統(tǒng)設(shè)計(jì)時(shí)即考慮個(gè)人數(shù)據(jù)保護(hù)以實(shí)現(xiàn)數(shù)據(jù)的系統(tǒng)保護(hù)和默認(rèn)保護(hù)外,還詳細(xì)規(guī)定了數(shù)據(jù)控制人的安全保障義務(wù)(第32條、33條、34條)。除了從信息安全的角度保障個(gè)人信息安全外,要求數(shù)據(jù)控制人的數(shù)據(jù)處理行為合規(guī)合法也是確保個(gè)人信息安全的重要方面。在這個(gè)意義上,維護(hù)個(gè)人信息的安全也是個(gè)人數(shù)據(jù)保護(hù)法的基本宗旨。
我國《網(wǎng)絡(luò)安全法》“網(wǎng)絡(luò)信息安全”一章對(duì)個(gè)人信息安全的規(guī)范,顯然屬于針對(duì)網(wǎng)絡(luò)運(yùn)營者個(gè)人信息安全保障義務(wù)的立法規(guī)范,該規(guī)范主要是保護(hù)個(gè)人信息在存儲(chǔ)、運(yùn)營和利用過程中的安全,而非針對(duì)非法利用個(gè)人信息進(jìn)行犯罪中的安全。《刑法》通過兩次修正案確立的“侵犯?jìng)€(gè)人信息罪”(《刑法》第253條之一)是針對(duì)我國目前極其嚴(yán)重的個(gè)人信息買賣、盜用現(xiàn)象而設(shè)計(jì)的,該保護(hù)旨在制止脫離具體應(yīng)用場(chǎng)景的買賣、非法提供和盜用個(gè)人信息的行為,因?yàn)檫@樣的利用行為本身即具有社會(huì)危害性。
個(gè)人數(shù)據(jù)保護(hù)法規(guī)范的是個(gè)人數(shù)據(jù)的正當(dāng)使用行為,即在特定場(chǎng)景中為開展社會(huì)交往、實(shí)施社會(huì)活動(dòng)(包括商業(yè)、公共管理等特定目的)而進(jìn)行的收集和使用個(gè)人信息的行為。電信詐騙、恐嚇等行為已經(jīng)脫離了正常個(gè)人信息社會(huì)利用的范疇,構(gòu)成違法犯罪行為,不屬于個(gè)人信息保護(hù)法調(diào)整的對(duì)象,而是屬于刑法的調(diào)整對(duì)象。因此,個(gè)人數(shù)據(jù)保護(hù)法所保護(hù)的安全是個(gè)人數(shù)據(jù)本身的安全,而不是針對(duì)利用個(gè)人數(shù)據(jù)從事違法犯罪的社會(huì)危害行為。
個(gè)人信息保護(hù)成為一個(gè)法律問題肇始于個(gè)人信息電子化和自動(dòng)化處理,而不斷強(qiáng)化于網(wǎng)絡(luò)日益普及和智能化的今天。在現(xiàn)今時(shí)代,全息性個(gè)人信息被自動(dòng)處理和使用導(dǎo)致個(gè)人逐漸失去對(duì)其個(gè)人信息的控制,給個(gè)人的基本權(quán)利和自由帶來前所未有的挑戰(zhàn)。因此,個(gè)人信息保護(hù)成為這個(gè)時(shí)代各國立法必須要解決的問題。對(duì)于形成于西方社會(huì)的個(gè)人信息保護(hù)制度必須要有正確的理解和定位,只有這樣才能移植和構(gòu)筑適合于我國國情的個(gè)人信息保護(hù)法律體系。基于上述對(duì)個(gè)人信息上需要保護(hù)的法益論述,我們可以初步得出以下結(jié)論:
首先,個(gè)人信息是識(shí)別特定個(gè)人的信息,而識(shí)別個(gè)人是社會(huì)交往和運(yùn)營的工具,因此個(gè)人信息并非屬于個(gè)人所有,個(gè)人不享有排他支配的權(quán)利。個(gè)人信息保護(hù)旨在保護(hù)個(gè)人在信息上的利益,而這些利益保護(hù)不足以也不可能賦予個(gè)人對(duì)該信息的絕對(duì)控制。因此,目前我國立法規(guī)范中確立的“非經(jīng)個(gè)人同意不得收集和使用個(gè)人信息”的規(guī)則,實(shí)際上隱性地賦予了個(gè)人對(duì)個(gè)人信息的支配權(quán),這既與個(gè)人信息的社會(huì)地位不吻合,也不具有法律上的正當(dāng)性。
其次,個(gè)人數(shù)據(jù)保護(hù)是在憲法層面對(duì)個(gè)人基本權(quán)利的保護(hù),其保護(hù)人的尊嚴(yán)所派生出的個(gè)人自治(自由)、身份利益(正確識(shí)別)、不歧視(平等)利益。歐盟立法雖然將之抽象為個(gè)人數(shù)據(jù)保護(hù)權(quán),但只是對(duì)個(gè)人數(shù)據(jù)受法律保護(hù)的簡要表達(dá),并不是一種單一權(quán)利保護(hù),更不是一種私權(quán)保護(hù)。若要放入民法人格權(quán)編的話,應(yīng)當(dāng)作為一般人格權(quán)加以保護(hù),而不宜直接視為一項(xiàng)具體人格權(quán)。也就是說,個(gè)人信息保護(hù)本質(zhì)上還是法益保護(hù),而不是賦予個(gè)人對(duì)個(gè)人信息享有某種權(quán)利來實(shí)現(xiàn)保護(hù)。
再次,在大陸法語境下,個(gè)人信息并不等于隱私,個(gè)人信息保護(hù)規(guī)范也不等同于隱私保護(hù)規(guī)范。盡管隱私保護(hù)貫穿于歐盟數(shù)據(jù)保護(hù)法的始終,歐盟的立法沒有將個(gè)人信息保護(hù)置于人格權(quán)(尤其隱私權(quán))意義上來設(shè)計(jì)保護(hù)規(guī)則。但是,保護(hù)隱私是個(gè)人信息利用的前提,因而,特定情形下征求數(shù)據(jù)主體的同意和防止個(gè)人信息泄露是個(gè)人信息保護(hù)法的重要內(nèi)容。
最后,個(gè)人信息本身并不具有危害性,但個(gè)人信息的不法利用具有危害性。這里應(yīng)當(dāng)區(qū)分兩類不法和危害,一類是為了實(shí)現(xiàn)正當(dāng)合法的用途或目的,但沒有遵循個(gè)人信息保護(hù)規(guī)范,侵害了個(gè)人基本權(quán)利(人的尊嚴(yán));另一類是個(gè)人信息被用于不法行為,這種不法行為不僅侵害個(gè)人權(quán)益,而且具有社會(huì)危害性,因而需要法律制裁。前者是個(gè)人信息安全問題,屬于個(gè)人信息保護(hù)法范疇;利用個(gè)人信息從事詐騙犯罪則屬于后者,需由刑法調(diào)整,不是個(gè)人信息保護(hù)法的任務(wù)。
在人類社會(huì)進(jìn)入網(wǎng)絡(luò)化、數(shù)據(jù)化和智能化的時(shí)代,數(shù)據(jù)成為經(jīng)濟(jì)和社會(huì)運(yùn)行的“新能源”。可識(shí)別個(gè)人的數(shù)據(jù)既要能夠?yàn)樯鐣?huì)所利用,又必須確保該利用行為不侵犯?jìng)€(gè)人權(quán)益。形成于20世紀(jì)80年代基于個(gè)人基本權(quán)利保護(hù)理念的個(gè)人數(shù)據(jù)保護(hù)法,試圖構(gòu)筑保護(hù)人權(quán)高度下的個(gè)人數(shù)據(jù)利用規(guī)范,為我們提供了可供參考的藍(lán)本。為順應(yīng)大數(shù)據(jù)時(shí)代的到來,我國立法開始探索和建立我國的個(gè)人信息保護(hù)制度,但是并未真正地從源頭上回答為什么要保護(hù)個(gè)人信息的問題,導(dǎo)致我國個(gè)人信息保護(hù)法的定位存在偏差。我們必須正本清源,厘清個(gè)人信息上存在的值得法律保護(hù)的個(gè)人利益,這是準(zhǔn)確定位個(gè)人信息保護(hù)立法目的的基礎(chǔ)。