21世纪是信息化时代,信息逐渐成为人类社会必不可少的物质生产要素。截至目前,我国尚未出台专门的个人信息保护法律,对个人信息的保护主要体现在刑事、行政法中的相关规定上,缺少系统的个人信息法律保护,尤其是在民事领域,公民的个人信息权并没有切实得到保障。2017年10月1日起施行的《民法总则》在民事权利章节增加公民隐私权,另外增设“个人信息保护”条款,明确规定自然人的个人信息受法律保护,从而将个人信息明确为新的民事权利内容并首次纳入民法调整范围内,填补了民事领域个人信息直接保护的法律空白。
公民个人信息保护的逻辑起点是个人信息。从立法层面上看,个人信息通用的法律名称主要有三个,即个人数据、隐私、个人信息[1]。各国的不同称谓主要是由于法律传统、适用习惯和语言特色的差异,但其核心内涵是一致的,出发点都是规制个人信息安全、保护公民个人信息权利。
对个人信息概念的界定有形式定义和学理定义之分。从形式上来看,世界各国大体采用概括型和概括列举型定义两种模式。采用概括型模式的,如奥地利《联邦个人数据保护法》规定,个人数据指与已识别或可识别的数据所有人有关的信息[2]。概括型定义只对个人信息进行了抽象化的规定,而概括列举型模式则在此基础上具体列举了个人信息的相关内容。如我国台湾地区2010年修正的《个人资料保护法》将个人信息界定为自然人之姓名、出生日期、身份证号码、婚姻家庭状况、教育、职业及其他直接或间接足以识别该个人之资料[2]。在学理上对个人信息的界定主要有:第一种,隐私型定义,主要由美国的学者倡导,把个人信息作为个人隐私的一部分,通过保护公民的个人隐私来保护公民的个人信息权利。第二种,识别型定义,是目前国内外大部分学者认同的定义,认为个人信息是指个人的姓名、性别、年龄、肖像、名誉、荣誉等可直接或间接识别该个人的有关资料。
综上所述笔者认为,所谓个人信息,除了具备一般信息所固有的普遍性、客观性、传播性、价值性、依附性、可传递性、时效性、共享性等特征外,还具有其自身的特征:首先,个人信息的主体是自然人,具有人身性,其存在以人为载体,离开了物质上的个人,个人信息便不复存在。其次,个人信息的内容与人格财产利益密切相关,具有人身利害性,如果个人的重要敏感信息被别人窃取、透露、利用并加以侵害,那么个人将遭受人格和财产利益的损失,侵害人也要承担相应的法律责任。个人信息的内容包括但不限于自然人的姓名、年龄、出生日期、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码、指纹、医疗记录、人事记录、财务情况、社会活动等能够直接或间接识别该个人的有关资料。
个人信息保护的理论基础主要有所有权说、隐私权说、人格权说、基本人权说等观点。所有权说认为,个人信息具有一定的经济价值,是一种财产利益,信息主体对他们的信息享有所有权,拥有独立的占有、使用、收益和处分的权利。任何主体在未经所有人同意的情况下,不得使用他人的信息,并且利用他人信息要支付相应的报酬[3]。隐私权说认为,隐私权的价值在于对个人自由和人格的尊重,体现于个人独立,不受他人的干预及支配。首先把个人信息作为隐私权来保护的是美国,其1974年《隐私权法》是典型代表[4]。人格权说认为,人格权是公民维护其尊严和独立人格所享有的基本民事权利[5]。将个人信息权作为人格权来保护的典型代表是德国,其1990年修改的《个人资料保护法》中明确了个人信息应作为公民人格权来保护的原则[6]。基本人权说认为,人权是人作为人所享有或应当享有的神圣不可剥夺的权利,个人信息权体现的是一种基本人权——关于个人的基本权利与自由的综合权利,对个人信息的保护是对人的基本权利和自由的保障。
首先,个人信息不能简单地认定为民法意义上的物。《物权法》对物权客体的限定为动产和不动产,皆为有体物,而个人信息是无形物,不能简单认定为物权之客体,所以保护公民个人信息权利不能完全照搬所有权的保护模式。
其次,个人信息与隐私也不尽相同。个人信息包括但不限于隐私,个人信息的外延明显大于隐私。隐私因与他人和公共利益无关,不经权利人同意不得公开;个人信息则不同,如在就业、人际交往、选举、接受培训、医疗、教育等公共服务时,出于社会生活和公共利益的需要,在某种情况下需向特定人公开个人的姓名、年龄、性别、职业等基本信息。侵害个人隐私以公开为要件,而收集、加工、利用都涉及侵害个人信息,不以公开为要件。对个人隐私的保护,权利人以外的第三人只需承担消极的不作为义务;而对个人信息的保护,行为人除了负担消极的不作为义务外,还需积极、主动地承担作为的义务,以维护和恢复公民个人信息权利的圆满状态,所以对公民个人信息的保护也不宜以隐私权为限。
最后,个人信息权作为一种新型权利,与隐私权、姓名权、名誉权、肖像权、荣誉权等普通人格权既有联系又有区别。一方面,它们都直接体现着人格利益,与人身紧密相关,都以物质上的个人作为载体,但普通人格权与人身密不可分,不可转让,不能交易,而个人信息可以作为商品交易的对象参与市场流通。另一方面,在权利内容上,普通人格权的典型特征就是不直接表现为财产利益,而个人信息与财产利益联系密切,包含着信息的自主权、知情权、问询权、禁用权、删除权、使用收益权等内容,个人信息权实现的过程也是公民财产利益实现的过程,个人信息的滥用将给公民造成财产利益的损失。虽然个人信息权具有独特的内涵和外延,但不能排除其民事权利的属性。民法是权利法,个人信息权是公民的一项私权利,理应受到民法的平等保护。
在充满信息的社会里,人们每天都会使用个人信息进行交流、传播和学习,有效地利用信息可以提高人们工作和生活的效率,解决现实问题。随着互联网的普及,我国网民数量不断增加。有关数据显示,2015年底中国网民规模达到6.88亿,在网络中活跃的智能设备数量接近9亿[7]。截至2017年6月,中国网民规模已达7.51亿,网络购物用户达5.14亿,较2016年底增长了10.2%[8]。由此带来的个人信息泄露途径随之增加,如电子商务、快递行业的兴起导致的客户信息泄露,银行、医院、学校、政府等掌握公民个人信息的公共服务部门出现的个人信息泄露,手机携带的病毒或植入软件非法截取用户信息,电脑黑客入侵个人计算机截取私人信息,QQ、微博、微信、博客、贴吧等社交平台泄露个人信息,以及网站、论坛内个人信息交易过程中泄露个人信息等。现实要求,国家和社会必须加强对个人信息社会流通各环节的规制和保护。在移动数据时代,个人信息与公民人格财产利益联系紧密,个人信息泄露带来的危害不断增加。违法犯罪分子可能通过获取公民的涉密信息,如银行卡、支付宝、微信密码等金融信息,应用网络或移动终端窃取、诈骗公民的真实财产,其中不仅包括金钱等物质财产,还包括Q币、纸黄金、电子装备等网络虚拟财产[9]。据《中国网民权益保护调查报告(2016)》显示,2016年我国网民因垃圾短息、诈骗信息等个人信息泄露遭受的经济损失高达915亿元,人均133元,其中9%以上网民遭受的经济损失在1 000元以上[10]。更为严重的是,涉及公民社会活动的个人信息泄露还可能导致抢劫、强奸、绑架、故意伤害等严重损害公民人身权利的恶性案件,所以现实要求必须刻不容缓地推进个人信息保护。
到目前为止,我国民事领域对个人信息保护采取的主要是间接保护的方式。《民法总则》人身权一节中关于公民姓名权、肖像权、荣誉权、名誉权等人格权的规定,对个人信息赋予人格要素,通过保护公民的人格利益来保护公民个人信息权。《合同法》中的缔约过失责任规定,一方当事人在合同履行前,违背依据诚实信用原则应负的保密等先合同义务,侵害他人个人信息,造成他人信赖利益损失的,应当承担缔约过失责任。《合同法》第43条规定的当事人在订立合同时应承担的保密义务以及有关契约义务,都涉及对个人信息的保护。《侵权责任法》第2条首次把隐私权列为公民的一项民事权益,规定行为人对侵害他人隐私的行为应当承担侵权责任。在网络电子信息领域,《侵权责任法》第36条明确了网络信息侵权行为人和网络服务提供者的责任,是民法对互联网领域流通的个人信息进行保护和规制的体现。与此相关的法律、行政法规还有2012年实行的《关于加强网络信息保护的决定》,其明确规定任何组织和个人都不得以窃取等非法方式获取公民的个人信息,不得非法出售和提供公民的个人信息[11]。2015年出台的《网络安全法》明确了个人信息的内涵,个人信息收集、管理的规则,删除、更正个人信息的权利,以及侵犯个人信息所承担的行政责任。
2018年8月31日第十三届全国人大常委会第五次会议表决通过并将于2019年1月1日实施的《电子商务法》,在第23~25条规定了电子商务经营者应对个人信息所负担的义务:第23条规定电子商务经营者收集、使用个人信息需遵守法律、行政法规的规则;第24条规定电子商务经营者应当及时对用户个人信息的删除和更正的申请作出必要的措施;第25条规定电子商务经营者在法律、法规规定下负有向有关国家部门提供数据信息以及不得非法出售、使用、提供个人信息的义务。在信息化社会的今天,上述内容构建起约束个人信息电子商务经营平台的规则机制[12]。
此外,2017年10月1日开始施行的《民法总则》,在民事权利一章增加了公民隐私权利,并增加公民个人信息保护条款,明确规定自然人的个人信息受法律保护,任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。该规定填补了我国民事领域对公民个人信息直接保护的空白,对公民个人信息保护具有深远影响。
(1) 个人信息权确权不清晰。我国个人信息的民法保护具体表现在对公民姓名、肖像、荣誉、名誉、隐私等人身权利的保护上,但个人信息包括但不限于以上内容,其涵盖了能够直接或间接识别该个人的任何资料。面对个人信息保护范围狭窄的状况,民法有必要确立公民个人信息权利的法律地位。在具体个人信息的民法保护上:如果将个人信息划归人格权,那么个人信息的保护应以恢复权利人的人格利益为主,以弥补权利人精神上的损失,在民事责任承担上应以停止侵害、消除影响、恢复名誉、赔礼道歉为主;如果个人信息作为财产权的一部分,那么个人信息的保护则应侧重于弥补权利人的财产利益,以救济权利人财产上的损失,在民事责任承担上应以赔偿损失、支付违约金为主;如果个人信息权作为一种新型权利,既没有归入人格权,也不属于财产权,则在个人信息民法保护上要分情况对公民的人身财产利益进行保护。遗憾的是,我国对公民个人信息权利保护的意识不够,个人信息权并没有在民法领域真正得以确立,对个人信息权的法律属性及立法精神研究不够。
(2) 缺乏系统的个人信息民法保护体系。我国《刑法修正案(九)》把之前的“非法获取公民个人信息罪”删改为“侵犯公民个人信息罪”,在信息主体和内容上扩大了对公民个人信息的保护范围,在立法上是对公民个人信息保护的重大进步。但是,刑罚针对的是严重危害社会的行为,具有严重的惩罚性,其作为最后的救济手段更多地体现出社会保障的作用,不能更好地实现法律的价值。民法是权利法,从起源来看就是为了对抗国家干预、保障公民私权利不受侵犯而产生的。鉴于我国并没有颁布系统的民法典,公民权益的保护主要体现在作为民事基本法的《民法总则》以及大量单行民事法律中,如《合同法》《物权法》《侵权责任法》等。在个人信息保护的民事司法实践中,据人身损害赔偿以及《最高人民法院关于确定民事侵权损害赔偿责任若干问题的解释》规定,公民的姓名权、名誉权、荣誉权、肖像权、隐私权等涉及个人信息的人身利益遭受他人侵害时,被害人可以向法院请求物质和精神损害赔偿,但在物质赔偿标准、精神损害赔偿方式以及抚慰金赔偿数额上最高院司法解释作了模糊化的规定,在法律适用上并不能有效保护公民个人信息权利。可见,民法作为保障公民权利的私法,在个人信息保护方面尚未有效实现其立法价值。
目前为止,我国民法主要通过人格权和侵权责任法的有关规定来实现对个人信息的间接保护。2017年10月1日开始施行的《民法总则》,在民事权利一章增设“个人信息保护”条款,对非法收集、使用、加工、传输、买卖、提供、公开他人信息作了禁止性规定。在我国还没有一部专门个人信息保护法律的情况下,此规定是保护公民个人信息权利的重要条款。但该条款也存在着自身的局限性,如侵害个人信息的行为包括但不限于收集、使用、加工、传输、买卖、提供、公开等行为,若他人的其它作为或不作为对公民个人信息权利造成了现实危险,同时也应当受到法律的规制。另外,此规则属于义务性规则,法律规定了义务人必须承担的义务,即保护公民个人信息,不得以非法手段侵害他人个人信息。但在当事人权利救济上,法律并没有明晰行为人所应承担的民事责任,那么对具体个人信息的民事保护在法律适用上便出现了空白。同时,《民法总则》只是对个人信息保护作了抽象性规定,在个人信息保护的范围、个人信息权的性质和内容、个人信息民事侵权的构成要件、责任承担方式及权利救济等方面都有进一步需要进行立法完善之处。由此可见,个人信息保护立法在我国还相对落后,民法还不能有力地保护公民的个人信息权利,所以立法者要增强权利本位观念,探索个人信息权利保护的有效途径,实现民法对公民私权利有效保护的价值诉求。
(1) 明确个人信息主体的民事权利。个人信息权的主体是自然人,其内容包含信息的自主权、知情权、请求权、问询权、禁用权、删除权、使用收益权等,社会中个人信息的使用、流转以平等主体与外界发生法律关系为主,更多地体现为公民的私权利。现阶段,个人信息不仅是社会交往的识别性要素,而且逐渐沦为商业交易的对象,在市场中流通的速度加快,为了保护公民的个人信息权利,进而保护公民的财产利益,在社会中流通的重要个人信息必须事先征得信息主体的同意。个人信息的收集、利用者必须与信息主体事先签署合同,明确双方的权利和义务,若一方违反合同义务、滥用自己的权利,非法披露、使用和允许他人使用自己掌握的个人信息,给权利人造成损失的,应当承担违约责任;给信息主体造成严重人格财产利益损失的,还要承担刑事责任。另外,在法律规定的例外情况下,国家出于社会公共利益的目的必须获取他人个人信息时,信息主体和知悉者有义务积极地予以配合,但公权力机关必须遵循法定的程序,以合理的方式获取他人信息,并负有保密的义务。如果国家机关人员滥用自己的权利,给信息主体造成人格利益损失的,则国家负有赔偿的义务。作为公民私权利的宣言书——民法,其对个人信息的保护具有直接、具体的特点,是个人信息保护的有效手段。为了保护公民个人信息不受他人非法侵害,弥补个人信息权利在法律上的空白,保障公民的人格利益,需在民法领域设立个人信息保护条款,确立个人信息权利的法律地位。
(2) 明确个人信息民事责任认定和财产损失赔偿标准。在信息化的浪潮中,不仅物被信息化,人也处在被信息化的过程中,个人信息除了一直以来的记录功能,更成为人身、财产的标尺,与公民重大人身、财产法益相关联[13]。行为人侵害他人个人信息,除了损害他人的人格利益外,还可能造成他人财产利益的巨大损失,所以在具体的个人信息民事侵权案件中,为了防止行为人在侵害个人信息过程中非法谋取利益和弥补权利人个人信息泄露所造成的财产损失,《侵权责任法》需要明确侵害个人信息民事责任的认定标准和财产损失的赔偿标准。由于个人信息是无形物,所以在个人信息民事责任认定过程中需参照相关的量化指标,如信息的类型和数量、违法所得数额、信息用途、主体身份、前科情况等因素。关于个人信息财产损失的赔偿,首先应以行为人违法所得数额为标准,若个人违法所得数额无法确定则以权利人的损失数额为标准,当两者都无法量化时可由双方平等协商确定,若双方意见不一致则由受理法院根据案件的具体情况确定赔偿数额。另外,对于善意侵权人,因其不具有主观恶性,法律应区别对待,行为人只需承担停止侵权的责任,而不需承担赔偿责任。
网络社会的迅速发展导致个人信息保护的挑战性加大,但网络社会是一个“雁过留声”的场所,凡发生必留痕迹[14]。在流通的各个环节,个人信息的拥有者都不同,其中不仅包括个人信息主体,还包括个人信息的收集、利用、加工、处理者,个人信息保护呈现出复杂化的特点。同时,为了保障个人信息在市场流通中释放的经济效益,防止公权力对市场以及私主体过多的干预,实现不同价值主体的利益诉求,必须构建一套系统的从国家到社会的联动保护机制。
日本是亚洲的第一个发达国家,国内信息化发展迅速,其2017年5月30日正式实施的《个人信息保护法》在个人信息保护方面探索出一条兼顾统一立法和民间行业自律的个人信息委员会制度。个人信息委员会是针对个人信息保护设置的中央统筹机构,起着神经中枢的作用,辅助行业内部的自律管理,达到相互协调和配合的社会效果,来实现公民个人信息的民法保护[15]。
美国是世界上首个把个人信息当作隐私权保护的国家,其个人信息权利救济的方式除了以违反契约规定为由进行司法救济外,还专门设立了自律机制来协助政府保障执法,并确定了具体的民事赔偿额度[16]。
在加强我国个人信息保护的社会实践中,可以吸取他国有益的立法经验。一方面,国家和地方应制定统一且切合实际的法律,除针对个人信息保护这一专业化问题设置独立国家机构进行专门保护外,还应把一定的监管权力下放给有资质的社会行业组织,赋予它们一些社会自律管理权限,释放市场经济的活力。无救济即无权利,在司法实践中,针对个人信息保护的诉讼请求,应把公民的个人信息权视作一种新型复合权利,分别给予人格权和财产利益不同程度的保护[17]。另一方面,政府、医院、学校、电信公司、银行、保险机构等社会征信行业的数据库掌握着大量公民个人信息,当其数据库被黑客攻击侵入或被征信行业内部知情人员透露时,往往会造成不特定个人信息的批量泄露。对于多数人的利益诉求,简单依靠私益诉讼救济无法实现或者不能充分实现对公民个人信息权利的保护。此时,为了弥补众多个人信息权利救济的缺失,国家机关和有关组织若能以保护社会公共利益为目的向法院提起诉讼,则有助于实现保护多数人个人信息权利的诉求。公益诉讼作为私益诉讼的补充性手段,其着眼于社会公共利益的维护,有利于节约有限的司法资源,实现司法资源的合理配置,同时也彰显了司法保障社会公平正义的宗旨和要求。
在个人信息保护方面,可以设立类似消费者协会、环保协会等的社会征信公益组织,向法院提起个人信息民事公益诉讼。对社会征信组织的资质要严格审查,其必须是依法设立登记并从事公益活动的社会组织,并具有良好的社会信誉。也可借鉴吸纳TRUSTe作为第三方认证机构,分别设立个人信息从业者资格认证、个人信息管理者资格认证、个人信息责任资格认证等,加强对征信行业的监管。与此同时,还要针对有关组织建立信誉档案制度,若有不良记录且屡教不改者,依法撤销其资质。另外,检察、行政机关也可以社会公益为目的向法院提起个人信息民事公益诉讼,以实现对公民个人信息权利的保护。
个人信息与人格财产利益联系密切,非法侵害个人信息可能造成公民人格和财产利益的损失,所以必须加强和完善民法对公民个人信息的保护,切实保障公民的个人信息权利。个人信息权是自然人享有的权利,如果权利主体主动披露自己的个人信息或允诺他人使用本人的信息,那么就失去了对信息的期待利益,放弃了法律赋予的个人信息权利。无权利即无侵害,此种情况下也就没有必要对该个人信息进行保护了。此外,权利的行使有一定的界限,不得滥用权利。权利和义务是统一的,个人信息权不是绝对的,在保护个人信息权利的同时,还要保护他人的权利和社会公共利益,如果自然人滥用权利侵害了他人的合法权利甚至社会公共利益,那么个人信息权便失去了正当性的基础,将不会得到法律的保护。
[1]马改然.个人信息犯罪研究 [M].北京:法律出版社,2015:25-40.
[2]焦玮.个人信息的立法保护 [J].商,2016(24):226.
[3]符扬.论个人信息的民法保护 [J].湖北警官学院学报,2013(2):84-86.
[4]张锋学.论我国个人信息的民法保护 [J].法学研究,2013(8):102-103.
[5]王泽鉴.人格权法 [M].北京:北京大学出版社,2013:179-180.
[6]刘云.欧洲个人信息保护法的发展历程及其改革创新 [J].暨南学报,2017(2):74-75.
[7]吴振惠.大数据背景下个人信息安全的现状与保护 [J].扬州教育学院学报,2016(3):36-37.
[8]马薇薇,刘仁安,景白露,等.电子商务环境下的用户个人信息安全问题分析 [J].现代商业,2018(5):24-26.
[9]侯林.大数据时代我国公民个人信息安全的现状及保护对策 [J].才智,2013(3):333-335.
[10] 段正凤.大数据时代我国公民个人信息安全危机与立法建议 [J].长春工程学院学报,2016(3):12-14.
[11] 米聪姗.我国电子商务消费者个人信息保护法律问题研究 [D].石家庄:河北经贸大学,2018.
[12] 王肃之.电子商务用户信息安全的法律保护——兼评《电子商务法(草案)》相关立法条款 [J].南京航空航天大学学报(社会科学版),2017(2):69-73.
[13] Charlotte A T.Experimenting with privacy:driving efficiency through a state-informed federal data breach notification and data protection law [J].Tulane Journal of Technology & Intellectual Poperty,2015(18):45-52.
[14] 刘娟,张建强.电子商务中隐私安全问题的成因与对策 [J].电子商务,2018(8):52-53.
[15] 魏健馨,宋仁超.日本个人信息权利立法保护的经验及借鉴 [J].沈阳工业大学学报(社会科学版),2018(4):289-296.
[16] 刘风,朱圆.论个人敏感信息的民法保护 [J].沈阳工业大学学报(社会科学版),2016(3):269-271.
[17] 项定宜.论个人信息财产权的独立性 [J].重庆大学学报(社会科学版),2018(6):169-180.