張琬
(鎮(zhèn)江市高等專科學校,江蘇鎮(zhèn)江212003)
在信息社會,個人信息作為一種重要的社會資源,其市場價值和社會價值是客觀存在的。由于信息技術的不斷進步,批量處理和傳遞個人信息越來越容易,在個人信息的市場價值和價值利益驅動下,個人信息遭不當、不法收集或篡改及惡意使用的情況也隨之出現(xiàn)。美國一位參議員曾說過,在這個信息社會,私人生活正在成為市場上待價而沽的商品。在信息技術、網(wǎng)絡技術高速發(fā)展和個人信息日益商業(yè)化的今天,如何合理收集和利用個人信息是一個全球性的法律問題。約翰·亨利·梅利曼提出:“盡管存在諸多的不同,憲法化的進程均表現(xiàn)出若干共同的特征:新的憲政主義均旨在確?;驍U大個人權利,如民事訴訟和刑事訴訟的正當法律程序權;平等權;結社自由……憲法漸漸成為個人新權利的發(fā)端,這些新權利通常通過憲法訴訟得以界定和強化,在某種程度上,憲政主義的興起意味著非法典化的開始:民法典不能繼續(xù)實現(xiàn)憲法的功能?!盵1]筆者認為,個人信息被非法侵害的嚴重程度反映出對個人權利的漠視,個人信息能否得到充分的保護,有賴于個人權利制度的建立和健全。
從世界各國立法來看,個人信息的概念稱謂并不統(tǒng)一,最直接的表現(xiàn)是各國立法對“個人信息”的稱謂不同,主要采用的是“個人隱私”、“個人資料或個人數(shù)據(jù)”、“個人信息”。由于稱謂的不統(tǒng)一,到底應該采用何種稱謂,在國內爭議也不少。筆者認為采用“個人隱私”這一概念過窄,也不適合我國國情。一般來講,信息是資料的內容,資料是信息的物化形式。在個人信息保護立法的最初,使用最多的是“資料”、“資料處理”等技術性概念,而隨著個人信息保護法的發(fā)展,立法越來越多地使用了“個人信息”的概念。若從確定性上講,“個人資料”這一概念的確定性比“個人信息”要強。如果從個人權利(人權、一般人格權)上看,“個人信息”比起“個人資料”更具有人文關懷。我國《個人信息保護法》的專家建議稿第9條規(guī)定,個人信息是指個人姓名、住址、出生日期、身份證號碼、醫(yī)療記錄、人事記錄、照片等單獨或與其他信息對照可以識別的個人的信息。
筆者認為,個人信息是指一切可以識別本人的信息的總和,這些信息包括了一個人的生理、心理、智力、個體、社會、經濟、文化、家庭等等方面。所謂識別是指信息與信息主體之間存在某一客觀的確定的聯(lián)系,就是說通過這些信息能夠確認信息主體。實踐中,只有當被收集、保存、處理、傳遞和利用的個人信息能夠反映出特定的個人時才有可能對個人的工作生活產生實際的影響,只有在此情形下才會產生個人信息權利的保護問題。
1983年德國聯(lián)邦憲法法院通過《人口普查案》,確立了信息自決權。該判決書主文第一段提及:“在現(xiàn)代資料處理之條件下,應保護每個人之個人資料免遭無限制之收集、儲存、運用、傳遞,此系基本法第二條第一項一般人格權及基本法第一條第八項人性尊嚴保護范圍。該基本人權保障每個人原則上有權自行決定其個人資料之交付與使用?!盵2]
按照德國憲法法院判決的定義,信息自決權是指:個人能夠自我決定何時和在多大范圍內披露自己的個人信息的權利。這個定義比較簡約地概括了信息自決權的涵義。其核心內容有三:第一,法律保護建立于個人資料上的一般人格權;第二,法律保留,對個人信息權利的限制只能由法律做出;第三,個人信息的收集應受嚴格的、具體的、明確的目的限制。
筆者認為,在當代社會,信息自決權是賦予作為信息主體的公民所具有的一種自我控制和決定其個人信息的披露、使用、安全儲存、流通等環(huán)節(jié)的基本權利,是人權中的自決權在個人信息中的反映,它作為一種新型的人格權利,充分反映了個體在控制自我與外部世界的認識和實踐關系中的能動性和主體性。因為人本身是目的,人應該自治、自決,凡是與人格形成、發(fā)展有關的事情,本人有權決定,并在此范圍內,排除他決、他律或他治。因而,無論在人自身的發(fā)展上還是法律的發(fā)展上都具有極其重要的意義??梢哉f,信息自決權是普遍人權中不可剝奪、不可分割的組成部分,這已經成為國際社會的共識。信息自決權之所以能成為一項憲法權利,這與權利保護的大趨勢是一致的。從一開始,個人信息自決權就是作為一種憲法權利而存在的,雖然最初只是作為憲法判例的形態(tài)存在,但隨著國際社會對個人信息保護問題的日漸重視和立法進程的逐步推進,個人信息自決權已成為發(fā)達國家憲法的基本權利類型。所以,信息自決權在憲法意義上為個人信息的保護提供了憲法基礎,但德國是嚴格劃分公權與私權、公法與私法的國家,需要將其轉化為私法權利。為此,德國制定了專門的《個人資料保護法》對個人信息進行專門保護,個人信息自決權被《聯(lián)邦個人資料保護法》具體化為了“個人信息權”。
關于個人信息自決權或個人信息權的性質,學界眾說紛紜,主要有“所有權說”、“隱私權說”、“基本人權說”和“人格權說”四種。
1.3.1 所有權說
所有權說觀點的代表人是波斯納隱私經濟學理論,其代表作是《法律的經濟分析》[3]。其觀點認為:信息主體對他們的信息擁有產權,并應該允許他們就這些擁有產權的信息進行交易。即該說認為個人信息是一種財產利益,個人信息權的保護應當采取所有權的保護模式。
我國學者湯擎認為:個人數(shù)據(jù)的所有者是該數(shù)據(jù)的生成體個人,無論他人對主體個人數(shù)據(jù)的獲取方式與知悉程度如何,都不能改變個人數(shù)據(jù)的所有權歸屬[4]。在民法中,利益大致分為人身利益和財產利益,兩種利益有時會相互轉化。在確定權利性質時,應該以直接保護的常態(tài)利益為標準。雖然個人信息具有財產利益的因素,但是個人信息權直接保護的常態(tài)利益是人格利益,不能因此直接認定個人信息就是財產。而從各國立法來看,目前并無這種所有權保護模式。
1.3.2 隱私權說
隱私權作為公民的一項具體的人格權,其本質就是對其隱私的控制。隱私權說認為個人信息是一種隱私利益,個人信息權的保護應當采取隱私權的保護模式。這種學說起源于美國,1974年美國《隱私權法》是該學說的代表。
由于隱私權說縮小了個人信息權的保護范圍,且該學說是與特定的法律文化背景相連的,我國也不具備隱私的法律傳統(tǒng),這種模式與我國現(xiàn)有法律制度不符。
1.3.3 基本人權說
基本人權說認為個人信息保護法保障的是一種基本人權。該說多見于國際組織的立法、條約。如歐洲理事會1981年《有關個人數(shù)據(jù)自動化處理的個人保護協(xié)定》導言:“歐洲理事會成員國據(jù)此簽約,鑒于歐洲理事會的目標是以尊重法治、人權和基本自由為基礎,達到成員國間更緊密的聯(lián)合?!盵5]1歐盟95指令緒言:“關于對個人數(shù)據(jù)處理中的個體予以保護以及這些數(shù)據(jù)的自由流動?!薄皵?shù)據(jù)的處理系統(tǒng)的設計目的就是為人服務。無論自然人的國籍及居住地,它們必須尊重自然人的基本權利及自由,特別是隱私權,并對經濟和社會發(fā)展以及貿易擴大和個體的幸福生活作出貢獻?!盵5]35該學說是從憲法的角度看待個人信息權的性質,可該權利的實現(xiàn)最終還是要落實到具體的部門法,主要是民法、還有行政法。
1.3.4 人格權說
人格權說認為個人信息所體現(xiàn)的是自然人的人格利益,個人信息的收集、處理或利用直接關系到信息主體的人格尊嚴。根據(jù)大陸法系人格權理論,凡是與人格的形成與發(fā)展有關的事情都屬于人格權客體。
該學說以德國為代表。德國個人資料保護明確規(guī)定,一般人格權是個人信息保護的理論基礎(民法基礎)。德國1990年《個人資料保護法》第1章《一般條款》第1條規(guī)定:“本法旨在保護個人的人格權,使其不因個人資料處置時遭受侵害。該法的目的是為了保護個人人格權在個人資料處理時免受侵害。”臺灣《計算機處理個人數(shù)據(jù)保護法》第1條規(guī)定:為規(guī)范計算機處理個人數(shù)據(jù),以避免人格權受侵害,并促進個人資料之合理利用,特制定“本法”[5]398。
綜合以上分析,筆者主張我國個人信息保護的立法應采用“人格權說”。
個人信息決定權是指信息主體得以直接支配和控制其個人信息,并決定個人信息是否被處理以及以何種方式、目的、范圍被處理的權利。決定權在個人信息權利中處于核心地位,是基礎性權利,它集中反映了信息權利的人格屬性即絕對性和支配性。他人收集、傳播、使用個人信息之前必須經過本人同意,否則構成侵權。信息主體在個人信息被收集之前享有獲得通知、并就有關事宜表示同意與否的權利。
個人信息的查詢權是個人信息主體的一項重要權利,除非是基于公共利益或保密的需要,任何個人信息的處理主體都不得剝奪當事人的該項權利,這是公民知情權的重要體現(xiàn)。即個人信息主體有權了解、查詢自己的個人信息被收集、處理和利用的情況,并有要求答復的權利。基于信賴保護原則,人們普遍認為個人有被征詢意見的合法預期,并應該得到尊重和遵守。信息處理主體不遵守這一合法的預期,可能導致與任何變更有關的任何個人數(shù)據(jù)的持有和處理成為非法[6]。特別是在此過程中有權了解自己的個人信息是否被保持完整、正確。信息處理主體有義務告知信息主體其個人信息被收集、處理及信息控制者身份等有關信息。
個人信息更正權是指個人信息主體在發(fā)現(xiàn)其個人信息錯誤、不完整或不時新時,可以請求信息處理主體更正和補充的權利。一般行使更正權的事由有三類,即信息不準確、不完整、不時新。臺灣《計算機處理個人數(shù)據(jù)保護法》第13條第1項規(guī)定:“公務機關應維護個人資料之正確,并應職權或當事人請求適時更正補充之?!盵5]401個人信息更正權中最有爭議的就是個人信息中有關本人價值判斷的內容,本人能否請求更正或者補充。有學者認為“價值判斷因言人而殊,無正確或錯誤的問題,因此不包括在其中”[7]。筆者認為,雖然價值判斷很具主觀性,但是從個人信息的客觀性來看,若有關個人價值判斷的內容其本人能夠舉出充分的證據(jù),可以予以更正或者補充,但在沒有充分證據(jù)的情況下,是不能夠變更或者補充的。
個人信息刪除權指在法定或者約定的事由出現(xiàn)時,個人信息主體得以請求信息處理主體刪除其個人信息的權利。刪除權的行使以知悉權為前提,個人信息主體只有在知悉個人信息的情況下,才能對不符法律條件的個人信息予以刪除。
信息主體可在下列情形出現(xiàn)時行使個人信息刪除權:(1)已儲存的個人信息不再服務于任何目的。這與“目的明確原則”有關,處理與利用個人信息的目的一旦消失,對個人信息的處理及利用即失去合法性依據(jù),信息主體此時通常有權要求停止對其個人信息的處理,并刪除其所持有的個人信息。(2)持有、處理、利用個人信息的期限屆滿。終期為何時,一般遵從信息主體與信息處理主體的約定,無約定的依照法律規(guī)定,無法定的依照行業(yè)習慣。(3)處理與利用行為不具備合法性。不具備合法性的情形有:控制、處理與利用未得到信息主體的同意且無法律依據(jù);信息主體的同意為無效或己撤銷;處理與利用己超出約定或法定的范圍[8]。
個人信息的請求權包括報酬請求權和賠償請求權。臺灣《計算機處理個人數(shù)據(jù)保護法》第27條第1款規(guī)定:“公務機關違反本法規(guī)定,致當事人權利受損者,應負損害賠償責任。但是因天災、事變或其他不可抗力所致者,不在此限。”第2款規(guī)定:“被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,并得請求為恢復名譽之適當處分?!钡?8條規(guī)定:“非公務機關違反本法規(guī)定,致當事人權益受損害者,應負損害賠償責任。但能證明其無故意或過失者,不再此限。”[5]403-404
法的普遍性決定了只有普遍性個體利益才能獲得法律形式,個別化的個體利益因其不具有普遍意義而不為法律所認可。法律一般對個體追求個別化利益的行為并不干涉,只有在損害到其他人的正當需求或利益時,法律才會對之加以限制。從實踐看,各國普遍賦予立法、司法、行政組織基于社會公共利益的裁量權,并使社會公共利益成為國家權力限制個人權利的合法性基礎,個人信息自決權也不例外。個人權利離不開公共利益,公共利益無法脫離個人利益而存在,公共利益的實現(xiàn)依賴于個人權利的追求和實現(xiàn)?;趪野踩蛏鐣怖婊蚬娭闄嗬?,需要對個人信息自決權進行一定的限制,尋求兩者之間的平衡,且遵循以下原則:
社會公共利益是一個來源于社會既抽象又具體的概念,而當代法治的目標就是維護公共權益,調整私權與公共權益的關系。一般而言,公共利益優(yōu)先于私人利益,這符合兩權相較取其重的法理,而且公共利益是維系社會發(fā)展所必需的。因為在法律價值的邏輯體系中,社會公共利益可被看作是比個體權利和國家權力更上位的概念。在社會主義國家,應將以社會公共利益作為出發(fā)點的價值歸宿和價值傾向當作應有的法治理念,這也是社會主義國家政治實踐的目標。當然,“社會公共利益”必須有合理、科學的判斷標準,不能隨意地擴大范圍,損害市民社會的正當私人利益,這是社會契約論或者市民社會優(yōu)先于政治國家的法治社會的理念要求。
必要性原則又稱侵害最小原則、不可替代原則,即在能達成法律目的的諸方式中,應選擇對權利人最小侵害的方式。具體是指在保護公共利益的各種方式中,已經沒有任何其他能給個人造成更小侵害而又能達成目的的措施來取代限制個人信息自決權這項措施了。即在能夠實現(xiàn)社會公共利益這一法律目的的諸方式中,選擇了對個人信息自決權侵害最小的一種。當限制個人信息權成為唯一保護國家利益、社會利益或他人利益的選擇時,才能被限制。從“價值取向”上來說還有一個規(guī)范權力與其所采取的措施之間、目的與手段之間的比例關系問題,但需要根據(jù)具體個案來決定。因為比例并非一種精確無誤的法則,但也不是毫無標準,至少需要考慮:人性尊嚴不可侵犯,手段的適合性程度等。
所謂利益衡量,是指在相互沖突的權利和利益之間調和,以達到利益的平衡,實現(xiàn)公平正義。在該原則中考慮整體利益是其重要的方面,從立法層面上說,需要在憲法文本的范圍內,合理地尋找各種利益相互協(xié)調的機制,既要強化公共利益的正當性,又要強化對個人利益的保護力度,使兩者在協(xié)調中發(fā)展。如按照龐德的觀點,被法律所保護利益可以進行層次劃分與位階排序,具有可共享性與受益主體廣泛性等特征的社會公共利益較之于私益應適當受到偏重保護,當主體出于公益目的(如為使公眾知情而收集與披露個人信息)時,可對個人信息權利進行限制甚至排除其行使[9]。從司法層面上說,在公益訴訟中利益衡量應反映社會的一般價值觀念,作為利益衡量運用者的法官,對于公正、法律價值以及社會現(xiàn)象的理解和判斷不應以個人主觀傾向為標準,以避免不公正和錯誤的司法決定。所以在衡量各方面的利益后,當國家、社會與他人的利益大于個人信息主體的利益時,個人信息自決權利才能被限制。
[1]約翰·亨利·梅利曼.大陸法系[M].北京:法律出版社,2004.
[2]齊愛民.德國個人資料保護法簡論[J].武漢大學學報,2004(4):465-470.
[3]林立.波斯納與法律經濟分析[M].上海:上海三聯(lián)書店,2005.
[4]湯擎.試論個人數(shù)據(jù)與相關的法律關系[J].華東政法學院學報,2000(5):40-44,69.
[5]周漢華.域外個人數(shù)據(jù)匯編[M].北京:法律出版社,2006.
[6]戴恩·羅蘭德,伊麗莎白·麥克唐納.信息技術法[M].武漢:武漢大學出版社,2004.
[7]許文義.個人資料保護法論[M].臺北:臺灣三民書局股份有限公司,2001.
[8]齊愛民.個人資料保護法原理及其跨國流通法律問題研究[M].武漢:武漢大學出版社,2004.
[9]龐德.通過法律的社會控制[M].北京:商務出版社,1984.