姚建军:个人信息保护与知情权冲突的裁判——从蒋某某诉西安电信公司知情权纠纷案说起
姚建军,陕西省西安市中级人民法院法官,法学博士。
摘 要
本文以一起案例为样本,从该案涉及如何平衡知情权、同意权、公共利益与他人合法权益保护为出发点,来观察我国个人信息保护涉及的诸多法律问题,尤其根据保护个人信息权益这个主线出发,对我国既往已经发布并实施的涉及个人信息权益保护的规范性文件进行系统性梳理,从既往看现在,进而探讨了个人信息是否已经形成了一项独立的民事权利,以及针对个人信息究竟包括哪些内容等进行说明和分析。
关键词
知情权 个人信息 保护边界 冲突裁判
任何权利的行使都是有边界的,不当的行使会侵犯他人的权利,将得不到法律的支持;知情权并非任意行使,须有一定的法律边界,知情权的特点是一种获得性权利,或者称其为纯获利的权利,个人信息保护的法律边界应当以“同意”或“以符合公共利益或符合该自然人个体利益”或满足了法定事由为限;当知情权与个人信息之间发生冲突时,人民法院应根据案件事实和法律规定,依法作出裁判。
一、据以研究的案例
原告蒋某某因发现有人利用微博侵犯其人格权,向北京互联网法院提起民事诉讼,要求北京微梦创科网络技术有限公司向其提供实际侵权人的相关具体身份信息。案件审理过程中,北京微梦创科网络技术有限公司向北京互联网法院提供的《调查回函》显示,该微博用户系手机号“177XXXXXXXX”的机主,但因该用户注册时间较早,因此并无其除手机号码外的其他身份信息。原告拟对实际侵权人提起相应的名誉权侵权诉讼,但因公民个人无法从电信部门直接获取对应手机号码的机主信息,故向西安市新城区人民法院提起民事诉讼,请求法院依法判令被告中国电信集团有限公司西安分公司(以下简称:西安电信公司)提供手机号“177XXXXXXXX”的机主之相关信息。
该案涉案事实简单,但涉及到的蒋某某提起的获取“177XXXXXXXX”机主之个人信息的请求是否可以得到支持,以及如果支持了蒋某某的诉讼请求,是否会侵害该机主的个人信息合法权益等法律问题却纷繁复杂,故由本案首先引入的问题就是,什么是个人信息?
二、个人信息的法律属性以及我国对个人信息保护的规范性文件的梳理
(一)个人信息的法律属性
2020年5月,全国人大通过了《民法典》,从该法第111条的规定可以解读出:自然人的个人信息成为可受法律保护的权益,获取自然人的个人信息应当履行法定程序且应当遵循安全的原则;同时,该条以列举的方式载明了侵害个人信息的行为类型包括:收集、使用、加工、传输、买卖、提供、公开等。上述行为可由单一主体完成,也可由不同主体分别完成。此外,《民法典》第1034条进一步规定了应受保护的个人信息的具体内容是指:自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。需要说明的是以上个人信息内容包括静态信息和动态信息,诸如姓名、出生日期、身份证件号码和生物识别等此类信息一旦生成,通常其自始至终处于稳定状态(其中个人姓名、生物识别变更的除外,但通常这种变更也是例外情形);而诸如住址、电话号码、电子邮箱、健康信息、行踪信息等此类信息自其生成之日起,会一直处于累积状态,且这种在累积状态下形成的新信息产生并不必然导致旧信息失去其存在的价值。以行踪信息举例说明,行踪信息反映了自然人移动时产生的点对点这种连续性的轨迹信息的状况,那么在这个轨迹上每一个点所对应的信息对于自然人而言都是有意义的,也都应当成为被保护的对象,例如自然人甲从北京旅行至上海,再从上海旅行至西安,上述旅行轨迹中的北京、上海相较于西安而言属于旧信息,但行踪信息所包括的内容应当包括以上三地,缺一不可。还需要特别说明的是对于个人信息中的个人私密信息的保护,也可以援引隐私权的规定寻求法律救济;如果没有类似规定,可以直接适用有关个人信息保护的规定。
由此观之,以上两条从立法层面定义了个人信息的概念,并明确对此予以保护,这成为我国从民事角度保护个人信息的根本性法律依据。再有《民法典》第1038条立足于维护个人信息安全,进而要求个人信息处理者应当采取措施确保其所收集和存储的个人信息处于安全的状态,尤其要防止外泄、被他人篡改或丢失。众所周知,个人信息处理者在个人信息权益保护以及安全保障中所扮演的角色吃重,且承担着非常重要的责任(义务),当然其也是合法收集和存储的个人信息正当利用的最大受益者。最后,根据《民法典》第1039条规定了国家公职人员在保护个人信息方面的职责,其中最核心的就是对于其依职权知悉的个人信息承担保密义务。
除此之外,2020年10月21日,全国人大常委会公布了《中华人民共和国个人信息保护法(草案)》全文,并面向社会公开征求意见。几易其稿,历经多年,2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议终于通过《中华人民共和国个人信息保护法》,该法将于2021年11月1日起施行。相较于已经公布并已经正式施行的《民法典》,《个人信息保护法》首次明确了“个人信息权益”这一法律概念。《个人信息保护法》第1条明确指出了制定该法的目的,包括三个维度,即:针对个人信息权益进行保护、要求个人信息处理达到合法合规、在以上两个目的满足的前提下促进对个人信息的利用。该法第2条的规定排除了一切不法侵害,赋予了自然人的个人信息神圣不可侵犯的法律地位。由此可以解读出,我国已经将“个人信息权益”作为一种法律概念正式确立,具有一定的赋权意义;进而也表明我国对于个人信息保护的重视程度;换言之,未来“个人信息权益”中的财产属性部分将可与物权、知识产权中的财产权那样,因使用、许可、转让等而使得权益人受益。当然如果能够将个人信息权益进一步提升为个人信息权,这对于个人信息的法律保护将产生更为深远的影响,关于这一点,本文将在第三点中进行阐述。
很多学者认为,个人信息是个人自由的一部分,法律保护自由的天性,及于自由的每一个部分,因而需要法律的保护。通过保护个人信息不受信息数据处理等技术的侵害,就可以发挥保护个人人格尊严和人格自由的效果。但随着互联网时代的发展,个人信息的泄漏、非法转卖、获取变得越来越容易。国家对公民个人信息的保护已经相当重视,不仅从民法的角度予以保护,一旦违反法律规定就要承担相应的民事责任,而且情节严重的还要追究刑事责任。故而,在蒋某某诉西安电信公司一案的审理过程中,被告西安电信公司从保护公民个人信息角度答辩称:其没有向原告提供177XXXXXXXX机主身份信息的权利。原告请求的内容属于公民个人信息知情权的范畴,而公民个人信息知情权是指公民依法享有了解涉及本人相关信息的权利,是仅限于本人信息的知情,它具有极强的稳私性,国家出台了一系列保护公民个人信息的严格规定。我国《电信条例》第65条的规定明确了电信用户通信自由以及电信业务经营商对于与通信有关的信息承担保密义务,除外情节仅包括为国家安全或公共利益之需而予以披露的情形。另外《电信和互联网用户个人信息保护规定》第10条进一步明确了电信业务经营商所应承担的保密义务,其具体内容包括不得向外泄露,不得篡改或毁损,不得向第三人售卖或以其他非法形式提供等。任何依经营许可,依职权掌握到个人信息的公民、法人和其它组织,均应当践行社会责任,保证公民的个人信息安全,故其无权向原告提供其诉讼请求的内容。由此又引出的另外一个问题,什么是个人信息中的知情权,这一权利如何行使,如何规制等,这一内容留待第四点中的第1小点再详细阐述。
(二)对我国个人信息保护的规范性文件的梳理
2012年,全国人大常委会发布了《关于加强网络信息保护的决定》,该决定明确规定国家保护个人用户的个人电子信息,赋予了用户个人信息以一种类似具体人格权的法律地位,这其中最重要的是规定了排除他人非法获取、非法提供等相关内容。
2012年,工信部发布了《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)规定,该指南5.2.3条比较系统性地规定了个人信息保护涉及的诸多问题。例如,处理个人信息前要征得个人信息主体的同意,且这种同意的方式既包括明示同意,也应当包括默许同意,只要个人没有表示明确反对即可。再例如,该指南将个人信息划分为一般信息和个人敏感信息等,此外该指南还正式提出了处理个人信息时应当遵循的基本原则,归纳而言就是贯彻了目的限制原则以及数据最小化原则等。
2013年,工信部发布了《电信和互联网用户个人信息保护规定》,该规定以行政规章的形式就个人信息保护进行规范。该规定主要内容包括,个人信息收集和规范、安全保障措施、监督检查、法律责任等,其中在收集和规范一章中,明确要求收集和使用的规则应公之于众,收集应当以个人同意为前提,且收集到的个人信息使用应当合法、合规等。
2013年,修订后的我国《消费者权益保护法》第14条规定,消费者享有对其个人信息依法得到保护的权利。该法第29条进一步规定,经营者收集用户个人信息应当遵循的原则,即体现合法性、正当性和必要性,应当明确告知用户收集个人信息的目的、收集方式以及收集的范围等,上述收集活动均应当在用户同意的前提下完成。另外重要的一点是,该法第29条特别规定,经营者收集用户个人信息时,不仅应告知用户其收集方式以及收集到的信息使用规则,且以上方式和规则也应公之于众,这种公示方式强化了社会公众对于经营者收集个人信息的监督,也便于有关行政机关对与之有关事务的管理。
2015年,全国人大常委会第十六次会议通过了刑法修正案(九),该修正案第17条,针对原刑法第253条进行了修改,即:违法出售或提供个人信息,情节严重的,处三年以下有期徒刑或者拘役,同时可以处以罚金,也可以单独科以罚金。而对于情节特别严重的,处三年以上七年以下有期徒刑,并科以罚金。
2016年12月,《网络安全法》第22条第3款明确规定了收集用户个人信息须要征得用户同意,此与《消费者权益保护法》相同,该法第41条规定,收集个人信息应当遵循合法性、正当性和必要性原则,且应公示个人信息收集和使用的规则、使用目的、方式和范围等。该法第42条规定,网络运营商应当采取措施保护个人信息不得泄露、篡改和损毁等,在未得到用户同意的前提下,不得将个人信息提供给他人;其例外情形是,如果个人信息已经失去了识别特征,即无法通过个人信息识别出特定的自然人,在此情况下,该个人信息可由网络运营商自行使用,或供他人使用。概括来讲,《网络安全法》对用户个人信息从安全保障的特殊角度做出了一些基本规定,但其并未深入涉及个人信息的法律地位及相关利益关系的有关内容。
2017年6月,最高人民法院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称 《信息刑案解释》),该解释第5条对个人信息进行了不同归类,同时进一步对涉及不同敏感度信息的犯罪行为给予了轻重不同的刑罚。依据该条规定,个人信息应划分为敏感信息和一般信息,敏感信息又划分为三个等级:最敏感的应该是个人的轨迹信息,次敏感的是个人的所有通信内容、征信信息以及财产信息;而有关个人的住宿信息、通信记录、健康生理信息、交易信息等为一般敏感信息。应该说该解释对于个人信息基于敏感性的不同,科以不同刑罚的规定是科学合理的,且这种对于信息基于敏感性的不同的分类,对于个人信息权益的民事保护也有借鉴意义。
2020年10月,新版《信息安全技术个人信息安全规范》生效并实施,较之旧版规范,新规范新增多项业务功能的自主选择、用户画像的使用限制、个性化展示的使用、第三方接入管理、个人信息处理活动记录等多项内容,并针对个人生物识别信息的具体要求进行了细化及完善。在收集个人生物识别信息前,需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并征得用户的明示同意;其次,个人生物识别信息要与个人身份信息分开存储,原则上不应存储原始个人生物识别信息。
2020年5月,全国人大通过的《民法典》在其第4编人格权编第6章,即:针对隐私权和个人信息保护中,就个人信息处理者在收集和处理个人信息时应当遵循的原则以及个人信息权益主体依法应当享有的权利等进行了规定。其中,《民法典》第1035条规定了个人信息处理的方式包括获取(收集、存储),使用(使用、加工)以及流转(传输、提供、公开)等。在处理个人信息时,应该遵守 《民法典》第1035条的规定,必须始终保证个人信息处理的合法性、正当性、必要性,并遵守禁止过度处理原则。第1035条中处理信息的前两项条件也包含知情同意原则,该原则现在也适用于对个人数据的处理。根据这一原则,只有在权利人完全知情并同意的情况下才能处理权利人的个人信息和数据。
2021年6月,全国人大常委会通过的《数据安全法》已于本年9月1日正式实施,该法就数据安全制度方面包括分类分级,即建立数据分类分级保护制度,对有关数据试行分类分级保护,并确定重要数据目录,加强对重要数据保护;风险评估,即建立集中统一高效权威的数据安全风险评估、报告、信息共享以及监控预警机制;应急处置,即建立数据安全应急处置机制;安全审查,即建立数据安全审查机制;出口管制,即明示我国对于中国数据的主权,对于属于管制内容的数据依法实施出口管制。该法就数据安全保护方面,包括建立健全全流程数据安全管理制度;根据风险评估建立风险监控机制;规范数据交易;对于数据服务经营者进行许可制管理以及为有关主体设立配合法定机关调查的义务。
如上所述,将于2021年11月1日起施行的《个人信息保护法》是我国第一部系统性规范个人信息保护的法律。该法既是我国既往有关个人信息保护规范性法律文件以及实践的集大成之作,也充分借鉴和吸收了国外已有的法律、法规和实践,特别是欧盟2018年实施的《通用数据保护条例》(General Data Protection Regulation, 以下简称“欧盟GDPR”)对我国《个人信息保护法》的制定有较大影响。
第一、在适用范围方面,我国《个人信息保护法》规定了属地管辖加域外适用,该法第3条规定:在中华人民共和国境内处理自然人个人信息的活动,适用本法,这属于属地管辖。而域外适用指的是在中华人民共和国境外处理涉及中华人民共和国境内自然人个人信息的活动,如是以向境内自然人提供产品或服务为目的,或者说是为分析、评估境内自然人或其他法律和法规规定的情形,也应适用该法。这一规定与GDPR有关规定一致。
第二、坚持合法性原则。我国《个人信息保护法》第13条明确规定,取得个人的同意和基于合同处理是收集个人信息的前提,为此《个人信息保护法》第13条至18条确立了“告知-同意”机制,这一点与GDPR一致。
第三、敏感信息定义。敏感个人信息是指与个人(自然人)人格尊严、人身或财产安全具有直接关系的信息,如一旦泄露或者非法使用,可能会导致自然人人格利益,人身和财产利益受到损害,因此确定何为敏感信息具有重要的意义,在此敏感信息应包括两个层面,第一是生物属性的敏感信息,第二是社会属性的敏感信息。生物属性敏感信息包括生物识别,例如性别、血型、疾病、健康状态等;社会属性的敏感信息包括宗教信仰、特定身份、金融账户、行踪轨迹等,比较可见,《个人信息保护法》的敏感信息范围比GDPR要大。
第四、关于同意。此处的同意应当包括以下四个方面的内容,即:(1)获取数据主体同意的方式相同,且当处理的目的、方式及种类发生变更时,需重新获得同意;处理未成年人信息需获得监护人的同意;数据主体有撤回同意的权利,处理信息前需明确告知用户处理者身份及联系方式、处理目的、方式、信息种类、保存期限等;(2)个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方背景信息,例如第三方名称或姓名、联系方式,第三方处理获取信息的目的、处理方式和以及处理个人信息的种类,尤为重要的是以上均应取得个人的单独同意;若变更需要重新告知并获得同意;(3)处理敏感个人信息需基于个人的单独同意,必要时需获取书面同意;需向个人告知处理敏感个人信息的必要性以及对个人的影响;(4)跨境传输个人信息的,须提前告知个人境外接收方的背景信息,例如该第三方名称或姓名、联系方式、第三方处理信息的目的、处理方式以及处理个人信息的种类等,如上述第(2)和第(3)点所述,其应取得个人的单独同意。
第五、数据生命周期,保存期限应当为实现处理目的所必要的最短时间。
第六、数据主体依法享有的权利,包括知情权、访问权、纠正权、删除权等。
从以上规范性规定可见,个人信息保护发端于公权力管理性规范,最初主要是从公共秩序管理角度出发,以个人信息保护为媒介,更多强调国家公共机关对于参与个人信息收集、使用、存储、利用等单位或个人的监管,防止因个人信息被非法采集、滥用而导致公共秩序失序。后来,随着个人信息保护不断突出个人色彩,逐步向私权方向演进,才会有《民法典》《个人信息保护法》等私权权益保护色彩浓重的法律介入个人信息保护。基于私权保护,以个人信息构建的权利体系具有如下特征:
1.个人信息权益的主体只能为自然人。《个人信息保护法》第4条明确规定,个人信息是指与自然人有关的信息。自然人组成的拟制人的组织,如公司、社团等,与之有有关的信息不属于个人信息范畴。
2.个人信息具有识别性。识别性是个人信息是否应当受到法律保护的前提条件。所谓识别性,是指由于世界上每一个自然人都有唯一属于自己的与众不同的生理特征和社会属性,因此通过分析采集的个人信息可以唯一指向某一个特定的自然人。《个人信息保护法》第4条规定,可受保护的个人信息是指已识别或可识别的自然人有关的各种信息。对于匿名化处理的信息,或原有识别性,经过数据加工后完全去除了识别性,或基于数据收集的参数设定,原始收集的数据本身就没有识别性,对此情形不应适用个人信息保护的规定。此外对于那些虽不具有识别性的个人信息数据,如果利用特定技术手段将个人信息的识别性特征全部或部分予以恢复,那么这种情况下,仍应适用个人信息保护的规定。
3.个人信息具有生物属性特征和社会属性。如上所述,个人信息是关于自然人的信息,而自然人具有生物属性和社会属性,由此自然人的个人信息也可分为与生物属性有关的信息,以及与社会属性有关的信息。与生物属性有关的信息,例如自然人的血型、身高、性别、脸部特征、指纹、虹膜、DNA等;与社会属性有关的信息,例如自然人的婚姻家庭、职业、职务、学历、不良记录、获奖荣誉、收入、投资等。
三、个人信息是否已经形成了一项独立的民事权利
如上所述,个人信息保护发端于公权力管理性规范,随后逐步形成了具有私权属性的权益,但至今《个人信息保护法》之名仍为个人信息,而非个人信息权,且无论是《民法典》,还是《个人信息保护法》无一处出现个人信息权的概念,《个人信息保护法》将个人信息界定为一种应受保护的权益,此与民事权利应有所区别。从之前的司法实践看,有的案例已经将原告主张的权利基础称之为“个人信息权益”,并基于此给予原告更多、更有力的法律救济,应该说这与本次通过的《个人信息保护法》规定是一致的。例如,在北京互联网法院审理的凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷一案中,北京互联网法院在本院认为部分认定,原告的姓名、手机号码、社交关系、地理位置属于原告的个人信息, 被告未征得同意处理上述个人信息的行为构成对原告个人信息权益的侵害……;另外,在北京互联网法院审理的另一案中,即黄某与腾讯科技(深圳)有限公司广州分公司、腾讯科技(北京)有限公司隐私权、个人信息权益网络侵权责任纠纷一案中,从北京互联网法院在本院认为部分的认定可以看出:其认为从立法价值取向看,隐私权与个人信息权益根本上都体现自然人的人格尊严和人格自由价值,只不过隐私权的价值偏向于将私密信息知悉范围限定在不伤害个人尊严的范围之内,而个人信息权益中的信息作为数据的一种,其除了人格属性之外,还能通过利用和流通带来财产性价值。从利益内容看,隐私权主要体现精神利益,而个人信息权益可能同时包括精神利益及财产利益。从保护客体和损害后果来看,隐私权保护具有私密性的信息,一经泄露即易导致个人人格利益受到损害,且这种损害无法通过救济措施恢复至原有状态;而非私密信息的个人信息,仅在被过度处理的情形下才可能使得信息主体受到人格或财产损害。与私密信息不同的是,上述财产性损害可以通过救济恢复至原有状态。从权利特点和保护方式上看,与商业秘密信息一样,一经公开即为公知,无法恢复至原状,因此隐私权更注重消极性、防御性,保护更为严格;而个人信息权益保护在注重预防侵害的同时,还强调信息主体积极、自决的利用权益,如选择、访问、更正、删除等。显然对赋予个人信息以受法律保护的权益已逐渐形成共识,即公民在现代信息社会享有的重要的权益,承载着信息主体的人格利益,也与信息主体的其他财产、人身利益密切相关。由此可见将个人信息纳入保护,这一举措对于保护自然人作为生命个体的人格尊严以及随之形成的人格自由,使自然人既能享受这种赋权带来安宁的同时又能据此排除任何非法侵害,进而对于维护由单个自然人公民组成的社会秩序而良好地运行则大有裨益。
但对于是否应将“个人信息权益”提升为“个人信息权利”这一议题,学界众说纷纭,其中有个人信息权利否定说,该说认为个人信息在法律上不能成为民事权利之客体,因为它在技术或物理上无法控制,缺乏清晰的“权利外观”,“个人外界无法识别且捉摸不定,无法为他人行为划定禁区”,认可其为独立权利会阻碍信息交流。事实上如果说技术或物理上无法控制,那么知识产权作为无形财产当然同样如此,显然以此否定个人信息权利缺乏说服力。此外如同人格权、知识产权一样,个人信息权的权利外观是清晰可辨的。由于能受到保护的个人信息指的是那些可识别的个人信息,而所谓可识别即指向某一个特定自然人,因此权利主体确定,权利之各项权能之内容,如知情、迁移、删除、许可使用等亦清晰明确,故个人信息权完全符合民事权利的外观特性。另外个人信息权的行使绝非绝对化,如绝对权之物权、专利权或商标权等均存在权利行使不得侵害他人合法权益,不得侵蚀公共利益,不得违背公序良俗,故保护个人信息权与保护信息的自由、正当和合法流通之间并不互相矛盾,不能将二者对立起来。另一说认为,个人信息属于基本权利和自由,因而将其纳入自然人基本权利予以规制即可,无须另行设立一项个人信息权。欧盟GDPR第1.2条即持此说。这一说法更多将个人信息视为自然人基本权利中的一种权能,而非权利,类似于对物的占有、使用、收益、处分等。虽然欧盟GDPR持此观点,但如果将对个人信息的保护仅仅视为一种权能,有矮化之嫌,也不符合当前以及未来个人信息形成的海量数据要求得到强保护的大趋势。总体来讲,欧盟GDPR虽然将个人信息保护推到了一个较高的高度,但遗憾的是欧盟GDPR并未赋予个人信息之民事权利。还有一种观点认为个人信息属于人格权的一部分,具体是指自然人依法享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利,事实上如上所述个人信息基本会囊括自然人作为生命个体涉及到的性别、血型等,以及健康或疾病等生物特性;也会涉及自然人姓名、肖像、名誉、荣誉社会特征等,另外也包括自然人作为生命个体应当享有的安宁生活以及为其独有且主观上排斥他人知晓的与其人格尊严有关的发生在特定空间内的私密活动信息等。由此表明,似乎个人信息包括了人格权涉及的全部内容,与人格权存在重叠,那么是否可以因此说个人信息并未形成一项独立于人格权之外的独立民事权利,显然不能做出这样的结论。如果将个人信息放在人格权项下,不将其独立出来,目前看似乎可满足个人信息主体对于个人信息保护的诉求,但从未来看,这显然是不充分的。例如:知名的自然人的姓名、肖像作为人格权的一部分可因为使用而产生形象权。何谓形象权?根据世界知识产权组织(WIPO)的定义,“Right of Publicity”(通常被译作“形象权”或“公开权”)是指作为角色商品化权(Character Merchandising)的一种具体类型,是指与真实人物(主要是艺人、明星等知名人士)身份/Identiy相关联的姓名、肖像、外形、声音等可以产生商业化利益的元素。由此可见,形象权是基于人格权中的姓名、肖像等要素,但又独立于人格权而形成了一项财产属性浓郁的民事权利。个人信息与此类同,个人信息同样也是基于人格权的各项要素,随着个人信息作为大数据的原始素材而逐渐衍生出财产属性,因此赋予个人信息主体以权利,使其成为一项独立的民事权利,而不依附于人格权将更有利于对个人信息的保护。最后有一种观点认为个人信息是兼具人格权与财产权,该观点认为个人信息既是人格要素,也是财产要素,因此个人信息权既是人格权也是财产权,可形成一项独立的民事权利。由于个人信息涉及个人信息主体与网络服务商之间的利益平衡,20世纪70年代初,就有美国学者提出,应当将数据(个人信息)视为一种财产。然而,首次提出数据财产化(Data propertization)这一理论观点的是美国的劳伦斯·莱斯格( Lawrence Lessig) 教授。1999年,莱斯格出版了《代码和网络中的其他法律》(Code and other Laws in Cyber space)一书,由于当时互联网经济方兴未艾,而法律作为滞后于经济发展的规则如何在其中扮演建设者的角色,如何及时巩固新经济中出现的权利形态而不能装作视而不见,该书对于这些问题都以探索者的姿态试图进行解释和回答,因此该书一经面世即引起了广泛的关注和讨论,被誉为当时“最具影响力的关于网络和法律的著作”(the most influential book published about law and cyberspace)。值得一提的是,该书首次系统地提出了数据财产化的理论思路,在此之前数据仅仅被认为是一种信息或信息的集合,没有多少人关注到数据的财产性价值,更多地是将数据作为一种管理性工具或手段而已。但莱斯格和其追随者则认为,应当摈弃传统守旧的观点,最好赋予用户(事实的数据主体)对数据的所有权,通过法律经济学分析,如果用户对其数据拥有了类似于个人财产那样的财产性权利,与数据而言,其主体意识就会逐步形成,当每一个用户成为其数据财产的主体时,其才会有动力去形成、管理、维护数据。如此一来,对于将信息汇集而形成大数据以及对于大数据有效性利用并使之服务于生产和生活才会更加有效率。假如以法律的形式确认用户对数据依法享有财产性权利,也就是意味着数据不再是“无主之信息”,收集者要收集个人数据必然要首先征得个人的同意,请求个人将其数据财产让渡给收集者,这样用户就与数据收集者之间形成了数据让渡的合同关系,双方的权利与义务可以在该让渡合同中明确地进行约定以便厘清各自的权责。当然数据收集者仍旧沿袭原有收集方式,即:不经用户同意自行收集,但在数据被赋权的情况下,这种未经同意的收集显然涉嫌侵害用户数据权,用户可以据此向数据收集者主张权利并寻求法律救济。由此可以解读出,莱斯格教授是从形成个人信息(数据)主体与收集并使用上述数据的处理者达成博弈平衡的角度论证赋予个人信息主体拥有数据所有权的必要性。从目前数据收集、使用和利用,以及未来人工智能、大数据等发展趋势看,莱格斯教授的上述说法不无道理。所谓大数据必然是汇聚了数以亿万级的用户的个人信息,作为特定独立个体,与数据处理者相较而言,天然处于十分劣势的地位,虽然既往涉及个人信息保护的规范性法律文件已经反复重申收集、使用个人信息应当遵循知情同意,且也同时赋予了个人访问、更正、删除、许可等权项,但由于至今无任何法律将个人信息界定为一种独立的权利,因此使得个人在行使以上权能时受到掣肘,不像行使物之所用权或知识产权专用权那样有力,且尤为重要的是所谓个人信息保护更多地是站在防守姿态看待这项个人信息的法律地位,事实上从积极行使权利的角度出发,如果赋予个人信息主体对其个人信息以独立民事权利,将大大有益于其对个人信息正当合理使用,且因此使其获得应有的收益,这如同形象权的许可使用而使得其权利主体获得对应的许可使用费一样,能够体现法律的公平,且这种使得个人信息主体受益,使数据处理者同样也获益的机制将促进这两大主体的权益平衡和动态稳定,从长远来看,对于个人信息保护大有裨益。
四、个人信息权涉及的各项权能
如同物之所有人对于物有占有、使用、收益和处分一样,个人信息的权利人对于个人信息同样也可以借用各项权能实现对个人信息的可利益性。欧盟GDPR第三章规定了数据主体的各项权利,如知情权(第13条)、同意权(第14条)、访问权(第15条)、更正权(第16条)、删除权(第17条)、限制处理权 (第18条)、可携带权(第20条)、反对权(第21条)。我国《个人信息保护法》也规定了以下各项权能,如知情权、决定权、限制处理权、拒绝权(第44条),访问权(第45条)、更正补充权(第46条)、删除权(第47条)。以下分别予以说明。
1.知情权和同意权
知情权通常称为知悉权、了解权或者得知权,是指自然人、法人及其他社会组织依法享有的知悉、获取由第三方依法收集并存储的与其有关的所有信息和法律赋予其可以知悉的与其个人权益有直接利害关系的信息的自由和权利。通常我国学者把知情权的范围分为知政权、社会知情权与个人信息知情权三类。一般而言,知情权是一项宪法性权利,包括公民对政治生活的了解,保障公民的民主权利;对经济生活的知悉,作出平等理性的选择;对寻求保护、救济的途径和方法的掌握,维护自身权利。对民事权利中的知情权而言,是指依法享有知情的主体要求披露义务人向其公开有关信息的权利以及在法律允许的范围内自由获取各类信息的权利,是了解与其有人身或财产利害关系的信息权利。我国法律就民事权利中的知情权有明确规定的有以下几种:一是基于侵权行为,公民有权依法了解侵权行为人、侵权方式、损害后果等信息;二是基于合同关系,如消费者对产品和服务的内容及质量的知情权、旅游者对购买的旅游产品和服务的知情权、业主的知情权、股东的知情权,患者的知情权;三是基于劳动关系,劳动者对工作环境和报酬的知情权;四是《民法典》物权编第264条新增内容,即:集体成员有权了解集体财产状况并对与之相关资料进行查阅、复制等。民法中的知情权是一种广泛的权利,虽然,法律条文明确规定的知情权不多,但实际上,只要是法律中规定的“同意”“追认”、通知义务、告知义务、释明义务、催告义务等,都属于保障民事主体知情权的范畴。比如,债权人转让债权的应当通知债务人和担保人,债务人转让债务需经债权人同意、担保人书面同意;借款人对借款用途的知情权;格式合同作出者的说明义务;诉讼时效应自权利人知道或应当知道权利被侵害之日起计算。知情权又叫知道的权利,是成文法与不成文法重要的区别。知情权不是一项一般性的子权利,而是其他权利得以正确行使的先决性权利。只有知情权得到充分行使,当事人追求的其它权利才有可能充分实现。因此知情权本身不产生利益,而是通过获取相关信息保护利益不受损失或救济受损利益的一种特殊权利。
知情权和同意权是个人信息权中最基础和最根本的一项权能,首先对于个人信息的处理必须以取得个人同意为前提,且这种同意是个人在可行使其自由意志的状态下做出的自主决定,为此信息处理者应当公开其处理个人信息的方式以及未来使用的规则和目的,以便让个人基于自愿原则做出决定。以移动互联网服务提供者为例,实践中,网络服务商公示的收集个人信息的方式以及有关规则冗长且繁杂,由于网络用户认知水平参差不齐,故而很多网络用户为了图方便,省时间,对于以上公示的规则内容一律跳过,仅点击同意,在这种并不了解公示规则的情况下的同意与完全不了解合同内容就与他人缔结合同的效果一样,这种同意仅具有形式意义上的合法性,缺乏“内心真实意志”的表达,出现这种状况的根本原因在于网络服务商公示内容的方式不具有合理性。事实上网络用户应当及时且以通俗易懂和简洁明快的方式公示有关事项,以便用户在最短的时间内充分了解相关内容,并做出符合其真实意志的表达。例如,欧盟 GDPR第12.1条明确规定,数据控制者“应采取简明、透明、易于理解和获得的形式,使用清晰平实的语言 (clear and plain Language)履行告知义务”。为贯彻以上原则,随后欧盟数据保护工作组发布了《关于第2016/679号条例下的透明度准则的指引》以及《关于第2016/679号条例(GDPR)下同意的解释指南》,其中《透明度准则指引》中对于“透明度”的要求是与处理个人数据有关的信息和通信都应当达到易于获取和易于理解的程度;并列举不当范例——“我们可以出于提供个性化服务的目的使用您的个人数据”,因为并未明确个性化服务的内容。针对用户被迫同意的问题,法律应明确真实知情同意的规则,禁止欺诈或强迫,否则视为未获取同意(GDPR第7.4条)。欧盟GDPR以上规则对于保障知情权和同意权的充分自由行使非常有益,借鉴GDPR以上规则,我国《个人信息保护法》第二章要求个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人信息主体告知,个人信息处理者自身信息;处理目的、处理方式,处理的个人信息种类、保存期限;依据该法个人享有的权利以及行使权利的程序和方式等。另外以上同意是否可以使用默示的方式做出?2012年,工信部发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB /Z 28828-2012)5.2.3条规定,处理个人信息以征得个人信息主体的同意为其前提条件,与此同时该指南将这种同意从明示同意扩展至默许同意,显然这种扩张性解释虽有利于个人信息处理者,却有害于个人信息主体。GDPR要求数据主体必须通过“声明或明确肯定的行为”做出同意,因此GDPR施行前取得的默示同意不再有效,如预先勾选的选择框不再是有效的同意。我国《个人信息保护法》第14条规定,处理个人信息的同意,应当由个人在充分知情的前提下自愿、明确做出。以上规定中的“明确做出”应当被解释为以积极的作为表达同意,而不包括以消极的不作为传递同意这一信息的情形。
具体到本案中,侵权人对蒋某某实施了侵权行为,因此蒋某某拟对侵权人提起相应的名誉权侵权诉讼,但因公民个人无法从电信部门直接获取对应手机号码的机主信息。由此事实证明,蒋某某诉讼的理由是公民个人无法从电信业务经营者直接获取对应手机号码的机主信息,请求人民法院责令西安电信公司提供。因此蒋某某获取侵权人的个人信息并非用于非法目的,而是用于合法的维护自身权利。此时,获取个人信息不仅应当免责,而且应当实现原告的知情权。因此针对西安电信公司根据《中华人民共和国电信条例》第65条之规定,电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息内容,蒋某某之诉请违反法律规定,不应获得法律支持的答辩理由,就有必要对此予以评述。《中华人民共和国民事诉讼法》第64条规定赋予了人民法院基于当事人申请,为了查明案件事实,可以依法调查取证的职权。由此人民法院在审理案件中认为需要调查的证据,为了查明案件事实,应当调查收集;反之则不需要调取证据。人民法院是否有权到电信部门调取手机号码的用户注册信息,既是本案争议的焦点,也将可能涉及侵权人利用手机发送不当短信信息、人民法院在判决生效后执行无形资产核查手机号码的机主事宜。厘清此问题,必须依据法律规定。如前所述,对于个人信息的合法利用,除了征得自然人同意之外,还有以维护公共利益之实和在满足法定事由这两种情形,本案中虽然人民法院依法调取被告的个人信息并未取得被告的同意(实属无必要),但这种行为却属于法定事由下的合法利用,具体讲就是根据《中华人民共和国民事诉讼法》第67条规定,在人民法院调查取证之时,作为被调查取证单位有予以配合的义务。上述规定充分说明,人民法院作为国家审判机关,根据审理案件的需要,为了查明事实,可以向有关单位调查取证。电信业务经营者属于“有关单位”是不争的事实,其在人民法院调查时,不得拒绝人民法院调查取证,否则将承担相应的法律后果。显然根据个人信息保护法第13条之第(3)项的规定,在人民法院的要求下,电信公司提供调查手机号码注册信息应当可以被视为是一种“为履行法定职责或法定义务”而提供个人信息的情形;换句话讲,也就是说电信公司提供以上个人信息享有法律赋予的免责权,电信公司依据《中华人民共和国电信条例》第65条拒绝调查手机号码注册信息是对法律的误解,因为本条规定的前提是电信用户依法使用电信的自由和通信秘密受法律保护,如果电信用户违法使用,其当然不应受法律保护,因此人民法院在审理案件中依据法律规定有权调查。
基于本案,对个人信息中的知情权和同意权进行保护时,引申出另外一个问题,即:如何平衡知情权、同意权与与公共利益或他人权益保护之间的关系,其中涉及以下几点:
首先,知情权的主体是否适格,既原告是与本案有直接利害关系的公民、法人和其他组织。有直接利害关系即原告请求人民法院保护予以确认和保护的、发生争议或受到侵害的民事权益,必须是自己的或依法受自己保护的民事权益,如果与本案没有直接的利害关系,属于当事人不合格,就不能作为原告向人民法院起诉。
其次,被告(信息披露义务人)适格,信息披露的义务主体可分为四种,一是行政机关的披露义务,此种义务一般产生于行政机关对某种侵权行为具有行政管理职责;二是对侵权行为有管理职责的民事主体;三是合同相对方基于诚实信用原则应承担的披露义务;四是对共同财物、集体资产具有管理职能的民事主体。
最后,原告与被告之间是否存在民事法律关系。任何权利的行使必须与其要产生的义务之间具有关联性、对应性和对等性,就具体民事法律关系而言,任何权利的实现都必须在这个具体的民事法律关系之中,由对应的义务来完成,也就是说权利人与义务人之间具有某种民事法律关系。脱离具体的民事法律关系,权利和义务就失去了框架,失去了基础。权利和义务之间是否具有关联性、对应性和对等性,取决于产生该法律关系所依据的事实。事实就是发生在原告与被告之间,引起民事法律关系发生、变更、消灭的事实,包括合同之诉、侵权之诉、不当得利、无因管理等。
就本案中,原告蒋某某享有因侵权而产生的知情权,因此原告主体适格;但被告西安电信公司既不是行政管理机关,对蒋某某所述的侵权行为也无管理职责,更没有与其形成电信服务合同关系,因而西安电信公司作为本案被告不适格。另外,因电信电话业务服务及管理范围在于对电话的通信内容的服务和管理,而不能随意扩大到通过电话进行注册的其他网络服务范围,原告的知情权与被告的披露义务之间没有关联性,亦未因任何民事权利而使得蒋某某与西安电信公司之间形成了民事法律关系,这也是本案驳回原告起诉的法律依据。
但从另一方面来说,一般情况下任何组织或者个人注册微博客账号,发布、传播有关信息内容应当遵循实名制原则,不得使用伪造、变造或冒名他人名义进行以上活动。网站接受用户注册申请时,应当对该注册用户提交的信息进行审慎地审查,确保以上信息真实、准确和完整,且网站须对其审查结果承担法律责任。由此可见,网站服务提供者在审查用户注册信息时必然会获得以上信息,故其对用户信息知悉是不争的事实,否则将应承担相应的法律后果。《民法典》第1194条对于网络用户和网络服务提供者侵害他人合法民事权益的行为规定了对应的法律责任,另第1195条的规定参考了在实践中已经适用成熟的《著作权法》中的“通知-删除”规则,也就是所谓的“避风港”规则。即:对于网络用户实施的侵权行为,权利人有权要求网络服务提供者采取必要措施将侵权内容予以删除、或进行屏蔽,或将有关页面断开链接使其无法被访问等。在此之前,为保证以上措施所针对的对象和侵权行为准确无误,权利人应当提供指控侵权的初步有效证据以及权利人的真实身份信息,以便网络服务提供者核实其身份进而了解其所投诉的内容为何。网络服务提供者接到通知后,应当及时将权利人的投诉以及有关证据告知被投诉人并要求被投诉人及时提供申辩意见以及有关证据,随后再根据投诉请求和证据以及被投诉人的申辩意见以及证据等反映的事实,决定是否采取以上所述必要措施;如有关事实清楚易辨,但网络服务提供者无正当理由拒绝采取措施或未及时采取措施而给权利人造成损害的,一方面要停止侵权,另外还应当对上述损害中的扩大部分与该网络用户承担连带责任。反之,如果权利人因不当通知造成网络用户或者网络服务提供者损害的,应当承担侵权责任;对于权利人恶意通知的情形,网络用户或网络服务提供者也可据此向权利人提起不正当竞争之诉。上述网络用户根据网络服务提供者的要求进行的申辩以及提交的有关证据,实践中将其称之为“反通知”,根据《民法典》第1196条的规定,依据反通知规则,当网络用户接到网络服务提供者送达的通知后,可以向网络服务提供者提交声明反驳投诉的关于侵权的指控,该声明首先应当就其身份情况进行说明,为支持反驳声明最好提交不存在侵权行为的有效证据。实践中,网络用户通常会就被投诉行为为何不构成侵权阐述,或针对投诉所依据的权利的有效性提出质疑(例如提起宣告无效等),或其具有先用权等。上述声明应由网络服务提供者及时转给权利人,并根据实际情况告知其可以向有关部门投诉或者向人民法院提起诉讼。当然如果有证据证明网络服务提供者对于网络用户事实侵权行为主观明知或应知,则不应适用“避风港”规则,这一点《民法典》第1197条进行了明确的规定。总之“避风港”规则适用与否取决于“主观上的明知或应知”,当然实践中该举证应由投诉一方完成。还有,根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第4条的规定,人民法院也可以基于原告的请求,责令网络服务提供者提供涉嫌侵权的网络用户的有关信息,否则人民法院可以依据民事诉讼法第114条的规定对网络服务提供者采取处罚等措施。如原告请求追加网络用户为被告的,人民法院应予准许。本案蒋某某所称的侵权行为事实属于通过微博进行的网络侵权,其具有因网络侵权行为而取得的民事权利(知情权),且网络服务提供者系信息披露义务人,其与网络服务提供者之间存在法律关系,可以通过侵权之诉,请求人民法院责令网络服务提供者披露网络用户的姓名(名称)、联系方式、网络地址等信息,进而为其寻求法律救济奠定基础。
2.限制处理权
所谓限制处理权是指个人信息主体在特定条件下有权要求数据控制人暂时或永久停止数据处理。实践中限制权适用范围应当限定于特定情形,例如:个人信息本身存在不准确或错误或上述数据虽存在瑕疵但也不宜予以删除等数据错误或保护不足,或数据系非法处理但不宜删除。我国《个人信息保护法》第47条第2款规定,在规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。限制处理权是对删除权的一种补救性权能;换言之,如果删除权可行使,则数据处理者应以采取删除措施为优先。
3.访问权和更正权
个人信息主体有权查询、了解其个人信息。虽然个人信息主体将个人信息这一数据允许数据处理者采集和使用,但由于个人信息具有可识别特征,故而其包括了个人信息主体独特且与众不同的属性,因此个人信息主体有权就该信息被采集和被使用的情况,存储类型、存储期限以及数据逻辑画像等进行了解。但对于上述信息因为涉密或已被处理后失去了识别性,那么数据处理主体有权拒绝个人信息主体行使该项权利。更正权以及以上的限制处理权是访问权行使之后产生的附随性权能;换句话讲,个人信息主体通过了解得知数据处理主体采集和存储的个人信息存在错误,或被采集的个人信息已经发生了变更,此时个人信息主体可以要求其采取措施予以更正,或为避免伤害个人信息主体的合法权利而要求对该数据不得进行加工等。与更正权有关的一个概念是数据画像 (Profiling),所谓数据画像是指为个人数据自动分析处理,以勾勒特定自然人的个人面貌,用来分析或预测其工作表现、经济情况、健康、个人偏好、兴趣、可靠性、行为举止、位置或动向等。由于数据画像会分析不同场景下多个分离的数据,却没有额外信息解释它们之间的关系,很容易导致数据画像扭曲和失实。在此情况下,个人信息主体更加有必要运用更正权将其已失真的数据信息更正为符合真实客观的状态,从而维护其合法权益。
4.删除权
在个人信息权的消极权能中,效力最强、最引人瞩目的是删除权。删除权 (Right to erasure)是个人信息权益中一项非常重要的,也称为“被遗忘权”,具体是指信息主体有权要求移除、删除其认为属于负面的,或不适宜存在的以及过时的信息等。较之限制处理权和更正权,删除权是可充分保全个人信息主体的权利,但删除权的行使会影响到数据处理者的利益,因而对于匿名数据,或经过处理已经使得个人数据失去其可识别性的数据,个人信息主体不得向数据处理者主张删除权。此外,在删除权、更正权和限制处理权同等条件均可行使的情况下,应当赋予个人信息主体行使删除权的优先权,即:个人信息主体有权要求数据处理者先行删除有关数据信息。只有在删除权的行使能够给个人信息主体带来的利益与使得数据处理者的负担不成比例,或删除权的行为会损害社会公共利益或损害第三方利益时,个人信息主体只能基于更正权、限制处理权来维护自身权益。
5.使用收益
如上所述,由于个人信息已经具有了财产属性,因此个人信息主体可以将其个人信息(数据)提供给数据处理者,特别是名人的个人信息的让渡,显然其会为数据处理者带来巨大的利益。在此情况下,个人信息主体有权就其数据的被采集、被使用等获取应有的对价。事实上,信息主体可以自己使用(如获得某种服务),也可许可他人使用。同意不仅是违法阻却事由,同时也是一种法律行为,权利人借此赋予他人商业化利用其人格要素。例如,美国法允许人类基因数据的有偿许可,数据研究者在数据主体知情的基础下,通过支付报酬获取主体同意,从而展开研究。使用收益是个人信息各项权能中最有积极特色的权能,也是最能体现财产属性的权能。未来对于大数据涉及问题的研究,对于人工智能等均离不开对于个人信息中使用收益权能的深入研究。
结语
法律不是限制自由,而是保护自由;但自由仅仅意味着在法律许可的范围内做一切事情的权利,由此可见法律是自由的守护者,超越法律追寻绝对的自由必然带来不自由,无论是知情权还是个人信息权,从广义上来说,都是自由的组成部分,行使好自己的权利,就要遵守法律,这就是法律至上的真谛!
责任编辑:胡云红
文章来源:《法律适用》2022年第1期
执行编辑:李春雨
排 版:杨艾子