个人信息的私法保护研究

【摘要】：能够识别出具体自然人、能够使自然人与社会相连接的个人信息，在人类漫长的历史长河中一直未曾得到法律制度的重视。但是，其本身所具有的社会交往价值、管理价值以及商业价值早已被人们发现。随着经济的发展和科学技术的进步，人类社会开始步入信息时代，人们在享受着信息技术发展所带来的便利的同时也深刻地体会着其所带来的种种社会问题。这项被誉为二十一世纪最有价值的资源在其价值被认识的伊始就给人们带来了自由意志被剥夺、经济利益的减损、生活轨迹被曝光、个人形象遭扭曲、人身安全有隐患等方面的风险。事实上，个人信息的价值被认识的开端也是掠夺与侵害的开端，因为人类历史上第一次恶意利用个人信息便酿造了犹太人民的惨剧，自动化设备方能规模化处理信息便被美国政府用来跟踪美籍日裔。正因为如此，有关个人信息法律保护的理论与立法研究便率先在欧洲与美国拉开帷幕。欧洲大陆法系国家对于个人信息保护的法学理论研究几乎都是源自于人格权理论，其个人信息保护立法的宗旨往往在于保护自然人的人格权尤其是人格尊严不因个人信息的处置而遭受侵害。其中，德国更是从人格权的自我决定权中发展出个人信息自决权理论，要求保护信息主体对于其个人信息的决定方面的正当权益与自由，提高信息主体对个人信息的控制力以及对个人信息流转过程的参与度，同时还强调个人信息具有社会价值。与之相对应的是，美国则采用其独具特色的、包罗万象的隐私权理论研究个人信息的保护问题。隐私权理论从独处权说发展至个人信息控制权说，该学说更为强调信息主体对其个人信息所具有的控制力，推崇该学说的部分学者更是运用财产权理论解释权利主体的控制力源自于权利主体对其财产的支配。从而掀起了理论界运用财产权理论、市场机制调节保护个人信息的讨论浪潮。个人信息财产化理论在质疑与思索中不断的向前发展，并以黑格尔的财产权理论为哲学基石发展出了个人信息财产权理论。事实上，以追求资源配置和交易效率为主旨的个人信息财产化理论在理论和实践上都存在着缺陷与不足，其所发展出的个人信息财产权理论更是面临着行使方面的诸多现实困境。因此，虽然个人信息的财产利益内涵是现实存在的也应当得到法律的认可，但该财产利益内涵不同于一般物的财产利益内涵，其源自于个人信息与信息主体的相关性，是从个人信息的人格因素中发挥出来的。也就是说，在人格与财产之间的个人信息依然是一项人格要素，应当由具体人格权即个人信息权予以全面保护。因为个人信息权的支配权能可以将有关个人信息的财产利益内涵的问题涵盖处理。虽然个人信息的商品化现象确实存在，但这并非产生了一项新的权利类型，也没有改变个人信息权的本质属性，它只是使个人信息权的内容和权能增加了经济利用的性质。 既然个人信息进入了法律的视域，成为了一项法律概念，那么其法律称谓、具体范围以及类别划分等问题便应当被重新的审视与思考。个人信息虽然与个人资料、个人数据并无绝对区别，但其更符合我国的用语传统并且明显地体现出了其与信息主体之间的传递与感知，而且随着信息时代与信息技术的发展其内涵能够逐步沉淀显现出人文关怀的意味。虽然，人们在日常生活中将一切与一个自然人有联系的信息都称之为个人信息，但是在法律的领域内只有那些与自然人相关的能够直接或间接识别出自然人的信息才属于个人信息。个人信息对于自然人而言具有重要的意义，这不仅在于个人信息所具有的识别力，还在于个人信息所承载的多重利益内涵，即个人信息能够满足信息主体发展方面的需要、具有私人利益性。由于私法以权利和法益的方式实现信息主体的私人利益，故而，在个人信息领域，私法保护的客体为私法权益。个人信息权作为一项具有财产性价值的具体人格权，不仅具有确立的合理性还具有可行性。事实上，个人信息权的权利内容具有独立性，其并不是在保障自然人在信息时代独处的权利，而是在保障自然人在信息时代安全地、尊严地参与社会生活。他人未经自然人的许可或无其他法律依据，不得对自然人的个人信息进行自动化处理或可检索的人工处理，自然人有权使用、查询、更正、封锁、删除其个人信息，自然人有权拒绝提供或反对处理其个人信息、有权制止意图进行直接销售的个人信息处理行为、有权获取基于商业目的处理其个人信息而产生的收益。由于法律保护个人信息的范围宽于作为个人信息权客体的个人信息的范围、私法也将其所保护的客体扩张至法益。因此，有必要对不可被检索的人工处理的个人信息、自然人纯粹的私人或家庭活动中处理的个人信息、于公开场合或公开活动中处理的但未与其他个人信息相结合的影音类个人信息。 私法为个人信息权提供的保护方式不仅包括私法确权的保护方式还包括私法救济的保护方式。个人信息权若能够得到我国未来民法典的确认，不仅对于信息主体私人利益的实现具有重要意义，而且对于个人信息的自由、有序、安全的流通也具有难以估量的价值。我国未来民法典对个人信息权的确认主要是由人格权法予以完成和实现的，事实上，人格权法有关个人信息权的规定也是个人信息保护法得以展开的基础。个人信息保护法对个人信息权的权利内容与权利行使规则的详细阐释，不仅能够为信息主体私人利益的实现提供保障，而且还能够为其他关涉个人信息的法律规范，例如商事特别法提供保护信息主体合法权益的制度上的指引。私法为个人信息权提供的救济保护方式，一方面在于确立人格权请求权制度使人格权保护制度予以完善，从而使信息主体在其个人信息权面临妨害之虞时能够进行自力救济或提起诉讼，以避免现实损害结果的出现。另一方面在于依据侵权责任制度的现有规则与相关原理对个人信息侵权行为予以界定，即侵害个人信息权的行为是指公权机关违反法定义务，非公权机关基于主观过错违反法定或约定义务侵害他人个人信息权，致使信息主体遭受精神性损害或财产性损失依法应当承担侵权责任的行为。正是基于该概念，个人信息侵权责任的归责原则也是依据侵权主体的不同而予以区分的，其中，公权机关适用无过错责任原则，非公权机关适用过错推定责任原则。此外，有关个人信息侵权责任的具体构成要件以及责任的承担方式，都应当在个人信息侵权行为的概念、归责原则的选择以及侵权责任法的基本原理之上具体展开。与之相对应的是，私法为个人信息法益提供的保护方式仅为救济，这种救济不仅应当在立法上对法益的保护规则予以设计，而且还应当构建以司法确认为主的私法法益救济制度。 个人信息私法保护制度并非是单纯的保护信息主体权益的制度，而是既保护信息主体的合法权益，又强调促进个人信息自由、有序、安全的流通以及合法的开发利用的私法制度。个人信息私法保护制度的结构与相关具体规则内容的设计必然要平衡多种不同的利益。在个人信息私法保护制度中，个人信息权的保护与新闻自由的关系是不可回避的重点问题。其实，不论是新闻自由还是个人信息所承载的人格尊严与人格自由都存在于宪法的层面，因而无法通过比例原则为二者进行确定性的、绝对化的价值排序。事实上，较好的解决个人信息权保护与新闻自由之间的冲突的手段应当是，在个人信息私法保护制度中为信息主体创设完善的个人信息权利制度，尤其要设置明定的权利限制规则，例如：为新闻自由设置明确的关涉个人信息处理的例外规定或豁免规则，即为新闻报道的目的而进行的个人信息处理活动豁免适用个人信息处理的合法依据规则、为新闻报道的目的而进行的个人信息处理活动豁免履行告知的义务、为新闻报道的目的而进行的个人信息处理活动豁免适用个人信息保护法的部分基本原则，但有关信息质量原则、目的特定原则以及安全保护原则不得被排除适用。同样，在个人信息私法保护制度中，个人信息权的保护与行为自由的关系也是一项值得思考的问题。行为自由是公民人身自由之下的一项重要的自由，宪法以及各个部门法都应为其提供保护，个人信息保护法自然也不例外。为了维护人们的行为自由，大部分国家的个人信息保护立法都将自然人纯粹的私人或家庭活动中的个人信息处理活动排除在法律适用的范围之外。从另一个角度说，对于那些与自然人“纯粹的私人或家庭活动”无关的个人信息处理行为，个人信息私法保护制度通常是要调整的。然而，再从维护人们行为自由的角度思考，个人信息私法保护制度应当为自然人的个人信息处理行为设置特殊的、例外的规则，从而维持保护信息主体合法权益与自然人的行为自由之间的恰当平衡。另外，网络环境，也是个人信息私法保护制度不能不去探讨的重要议题。网络环境使得人们对个人信息具有了较高的安全保护的期待，网络环境也使得个人隐私具有了相对的非公开性，网络环境更使得个人信息具有了向隐私权客体转化的可能性。正因为如此，个人信息私法保护制度应当为网络环境下的个人信息设置特殊的安全保障规则和特殊的处理规则，从而调处网络环境下的个人信息流通、利用与个人信息安全保障之间的矛盾与冲突。 从我国的立法现状来看，虽然我国有近四十部法律、三十余部法规，以及近二百部规章涉及个人信息的保护问题，但这些法律规范或是重视管理处罚或是层级较低或是可操作性不强或是与个人隐私纠缠不清。总之，我国目前并没有一部从确权的角度保护人们的个人信息、促进合法的个人信息处理活动的法律制度。从社会现实的角度看，我国应当确立个人信息私法保护制度。因为确立个人信息私法保护制度有利于保护自然人的人格权、有利于促进信息资源的开发利用、有利于推进我国信息化法律体系的建设。正因为如此，我国应当构建将价值目标定位于保护信息主体个人权益、促进个人信息的流通与利用，并且要维持二者之间的平衡的个人信息私法保护制度。简言之，我国的个人信息私法保护制度应当采用统一的立法模式，即我国应当制定一部同时调整公权机关与非公权机关的个人信息处理活动的保护个人信息的基本法，在该法的统一指导下适时修正或制定其他领域的保护个人信息的法律规范。同时适当借鉴安全港模式的理念，以立法的方式积极引导、推进行业自律的健康发展。我国的个人信息私法保护制度是一个广义的保护个人信息的私法制度群，其以我国未来民法典之人格权编的个人信息权制度的规定为基础，以个人信息保护法为基本法、以其他保护个人信息的民商事法律规范为重要补充。其中，我国未来民法典人格权编应专设个人信息权一节，并在特殊主体及特殊环境下的人格权一章下规定保护网络环境下的个人信息权。我国未来的个人信息保护法则应当设置一般规定、个人信息保护法的基本原则、个人信息权、个人信息处理的规则与个人信息处理者的义务、限制与例外、个人信息的跨国流通以及附则等七章，从而保护信息主体的个人信息权、促进个人信息自由、有序、安全的流通与合法的开发利用。