任啟朋

(鄭州大學(xué) 法學(xué)院，河南 鄭州 450001)

在現(xiàn)代社會，個人信息的不當(dāng)擴(kuò)散與利用已成為危害公民權(quán)利的社會性問題，對個人信息進(jìn)行保護(hù)已成為全球共識。2012年《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的規(guī)定》將個人信息的保護(hù)提上日程，之后的《網(wǎng)絡(luò)安全法》《民法總則》都規(guī)定了有關(guān)個人信息保護(hù)的內(nèi)容。2020年5月通過的《民法典》使個人信息保護(hù)又上了一個臺階，其不僅在總則中明確規(guī)定個人信息受到法律保護(hù)，還創(chuàng)新性地在“人格權(quán)編”中單設(shè)一章，以顯示我國加強(qiáng)個人信息保護(hù)的決心。但由于缺乏明確的法律定位和配套保護(hù)規(guī)則，在司法實踐中，個人信息被侵害的現(xiàn)象日益多發(fā)，個人信息保護(hù)機(jī)制亟需完善。

一、個人信息保護(hù)的雙重屬性

個人信息，是指可識別的具體個人的信息，“可識別性”是個人信息保護(hù)的重要特征。無論是直接還是間接方式，只要能通過該信息可以識別出特定自然人，該信息就被認(rèn)作是個人信息。易與個人信息混淆的概念是“隱私”。隱私一般被認(rèn)為是個人所擁有的不愿意被外界知悉、討論等的隱秘內(nèi)容。[1]新頒布的《民法典》將隱私權(quán)列為一項獨(dú)立的具體人格權(quán)，是為了使隱私主體擁有法律賦予的請求權(quán)，要求侵害者停止侵害(侵害行為主要包括刺探、泄露等)并賠償損失，因此該權(quán)利保護(hù)的內(nèi)容更加強(qiáng)調(diào)私密性。但《民法典》并未將個人信息保護(hù)定義為一種具體人格權(quán)。由此可知，二者既非包含關(guān)系也非獨(dú)立關(guān)系。個人信息保護(hù)與隱私保護(hù)規(guī)范存在交叉，個人信息中包含私密信息。

個人信息不僅是人與人交往時的必備載體，而且也體現(xiàn)了個人與社會的關(guān)系，具有雙重屬性。自由主義認(rèn)為，個人所擁有的價值與目的都不及其自我本身。社群主義則認(rèn)為，每個人都是由其所處的社會所決定，無數(shù)個人構(gòu)成了社會整體。雖然兩者分屬于不同學(xué)派，但都認(rèn)為每個人的形成離不開兩部分，即自我與社會，即人具有雙重屬性。除此之外，桑德爾提出“自我感知”與“被感知的自我”概念，其認(rèn)為：對每一個人的解釋都被包含于相互一連串關(guān)系的解釋之中，即必須身處于社群這個大環(huán)境中解釋自我。[2]個人信息具有人身性，即自我解釋，由桑德爾的觀念可得出個人信息的解釋不僅需要自我感知而且還需要社群感知，個人信息具有雙重屬性——個體性與社會性。前者是指個人信息是認(rèn)識個人的重要參數(shù)，其來源于個人并代表個人；后者則是指個人信息是在個人參與社會活動與他人交往聯(lián)系中形成的可代表個人屬性的信息。個人直接信息與個人間接信息的分類是以個人信息的雙重屬性為依據(jù)劃分的。[3]前者是指個人信息是源于信息主體本身，無需其他信息輔助即可識別信息主體的信息，體現(xiàn)個人信息的個體性；后者則體現(xiàn)個人信息的社會性，即該信息本身并不具備可識別性，需要與其他信息相聯(lián)系從而識別主體信息，其使用可能會對社會產(chǎn)生一定的影響。將個人信息作如此區(qū)分，并非是將二者割裂開來，事實上，二者相輔相成，共同構(gòu)成了個人信息的內(nèi)涵。在不同歷史時期，同一國家可能會采取不同模式來進(jìn)行個人信息保護(hù)，有的時期可能側(cè)重于個體性的保護(hù)，有的時期可能側(cè)重于社會性的保護(hù)，但絕非是單邊性保護(hù)。

二、域外個人信息保護(hù)之偏重

(一)美國個人信息保護(hù)之側(cè)重

美國人權(quán)觀念與自由平等思想的盛行，形成了美國特色的個人信息保護(hù)制度，即個人信息保護(hù)就是隱私保護(hù)。正如丁曉東學(xué)者所說：“雖然美國法上采取‘大隱私’的概念，將信息隱私也視為隱私保護(hù)的一種，但實際上美國的信息隱私與傳統(tǒng)的侵權(quán)隱私具有結(jié)構(gòu)性的差異，其等同于其他國家的個人信息權(quán)利保護(hù)?！盵4]隱私權(quán)主要保護(hù)與人身密切相關(guān)的因素，如“Whalen v．Roe案”。①該案不僅主張保護(hù)“做出某些重要決定的獨(dú)立性”的利益，還主張隱私權(quán)保護(hù)的利益包括“防止披露個人事務(wù)中所體現(xiàn)出的個人利益”，即“信息隱私的憲法權(quán)利”，又稱“信息隱私權(quán)”。正是從該案開始，美國的個人信息開始與隱私權(quán)聯(lián)系在一起，信息隱私權(quán)被正式納入到了廣義隱私權(quán)的框架之中。美國公民在民主文化的影響下，表現(xiàn)出較強(qiáng)的個人主義色彩。托克維爾曾論述過美國式文化背景下個人與社會之間的關(guān)系。[5]而隱私保護(hù)的客體恰好就是個人與社會這種較為疏遠(yuǎn)的關(guān)系以尋求實現(xiàn)個人主義。因此，美國將個人信息保護(hù)等同于隱私保護(hù)，展現(xiàn)出其個人信息保護(hù)的個體性偏向。[6]雖然在人權(quán)主義的影響下，在美國個人有權(quán)去做任何事情，但美國也要求個人作為社會一員犧牲某些權(quán)利以獲得政府對其的保護(hù)，如“Commonwealt of Kentucky v．Jeffrey Wasson 案”。②由此可見，美國政府對個人信息保護(hù)的“隱私權(quán)路徑”并非絕對性保護(hù)，而是建立在保護(hù)社會的基礎(chǔ)上。

(二)德國個人信息保護(hù)之側(cè)重

德國對個人信息的保護(hù)更加偏向于個人信息的公共性，更加重視個人信息在社會交往中所發(fā)揮的作用。但德國的個人信息保護(hù)并非是對社會性的一種單邊保護(hù)，而是將“尊嚴(yán)”概念融入其保護(hù)模式之中，并形成其特有的“領(lǐng)域理論”。該理論是指每個人的人格產(chǎn)生于不同的領(lǐng)域，基于人具有個體性與社會性的雙重特性，因此領(lǐng)域也被分為個體領(lǐng)域與社會領(lǐng)域。由于每個人的個人信息分屬于領(lǐng)域之中，因此個人信息如同其所處的領(lǐng)域一樣也具有雙重屬性，即個體性與社會性。因為私領(lǐng)域被定義為個人排除周邊影響得以獲得自我的領(lǐng)域。[7]因此可以得出，私領(lǐng)域范圍的界定是以劃定公領(lǐng)域從而排除得出的，所以德國在確定個人信息的保護(hù)范圍時也是以其公共性為標(biāo)準(zhǔn)進(jìn)行劃定，即德國采取的是以社會性為主要偏向的個人信息保護(hù)模式。

三、我國個人信息保護(hù)之探究

我國是唯一在立法上明確在個人信息的收集與使用階段將信息主體的同意普遍化的國家。根據(jù)現(xiàn)行法律，③我國有關(guān)個人信息的保護(hù)形成了以“知情—同意”原則為基礎(chǔ)，輔以“必要性原則”④與“目的一致性原則”的基本模式。我國的“知情—同意”原則是指信息主體對個人信息的流通、使用等有支配的權(quán)利，從這一原則可以看出，我國現(xiàn)階段對個人信息的保護(hù)還是側(cè)重于對個體性的保護(hù)。雖然該原則是保護(hù)人權(quán)的具體體現(xiàn)，但是個人信息是否非要經(jīng)信息主體同意后才能流通并得以使用，這是深化我國個人信息保護(hù)機(jī)制所必須回答的問題。有學(xué)者認(rèn)為，“立法形成的知情同意原則及其附隨原則共同削弱了我國個人信息的流通性，使得信息資源無法充分利用并轉(zhuǎn)化為信息生產(chǎn)力，從而約束我國創(chuàng)建信息創(chuàng)新型社會的進(jìn)程。”[8]應(yīng)當(dāng)承認(rèn)，相關(guān)原則設(shè)立的初衷都是為了使個人信息得到更好地保護(hù)，但不可否認(rèn)，該原則的適用無疑會對社會的整體發(fā)展起到抑制作用。在現(xiàn)實生活中，信息主體的時間與精力有限，且冗長的用戶協(xié)議可能對信息主體的理解能力有較高的水平要求，因此很可能會出現(xiàn)信息主體不閱讀或粗略閱讀用戶協(xié)議即同意的現(xiàn)象。[9]隨著信息化的發(fā)展，越來越多的社交網(wǎng)絡(luò)需要通過對個人信息的大數(shù)據(jù)運(yùn)算來滿足消費(fèi)者的需求，而且大多數(shù)信息也都離不開社交網(wǎng)絡(luò)，在這種情況下，信息主體的同意已經(jīng)沒有太大的實質(zhì)意義。

在當(dāng)今大數(shù)據(jù)時代背景下，個人信息除了其所蘊(yùn)含的人格尊嚴(yán)以外，越來越多的與社會的企業(yè)利益、公共利益聯(lián)系在一起。我國現(xiàn)今的“知情—同意”原則已經(jīng)不能滿足有關(guān)個人信息的雙重屬性的保護(hù)需求，個人信息保護(hù)的關(guān)鍵不再僅僅是有關(guān)人格尊嚴(yán)的保護(hù)，更多的是平衡個人利益與社會利益。而我國現(xiàn)行法律更加側(cè)重于保護(hù)個人信息的個體性，個人信息的社會性則被忽略。因此，在深化個人信息保護(hù)的研究時，應(yīng)從個人信息的雙重屬性出發(fā)，在個人信息保護(hù)中平衡個人利益與社會利益，以便為我國的信息化建設(shè)提供法律保障。

個人信息保護(hù)應(yīng)建立在信息生命周期理論之上，該理論是指信息在被處理的各個階段其所代表的價值并非一成不變而是不斷增減變化以求與其所處階段相契合。[10]我國現(xiàn)今對個人信息的保護(hù)是較為靜態(tài)地對個人信息進(jìn)行保護(hù)。因此，應(yīng)考慮在信息的不同階段采取不盡相同的保護(hù)途徑以求更好地保護(hù)個人利益與社會利益。首先，信息收集階段是個人信息進(jìn)行流通的開端，各種個人信息在此階段被信息收集者進(jìn)行匯合聚集。雖然在信息收集過程中關(guān)系更多的是信息主體的個人利益，但是信息收集階段與個人信息能否合理流通有很大關(guān)系，如果在收集過程中過度賦予信息主體的決定地位，則會造成信息收集者的收集成本與難度。因此，在信息收集階段應(yīng)當(dāng)以“一般允許為原則，個人控制為例外”，而不應(yīng)當(dāng)以“知情—同意”為框架。[11]如果為一般個人信息，則適用于一般允許原則；如果為敏感個人信息，因為其自身蘊(yùn)含較多的個人隱私，還是應(yīng)當(dāng)給予信息主體較高的控制權(quán)。其次，對于信息的使用、加工、傳輸?shù)葢?yīng)當(dāng)比信息的收集進(jìn)行更為嚴(yán)格的控制，因為在此階段更多體現(xiàn)的是個人信息的社會性。在信息的存儲與公開階段，信息處理者往往會存儲大量的個人信息，一旦遭到泄露，則很有可能對有關(guān)個人及社會造成嚴(yán)重的潛在威脅，因此在該階段應(yīng)當(dāng)采取嚴(yán)厲措施以預(yù)防此種情況的出現(xiàn)。

在對信息進(jìn)行分類的同時還應(yīng)結(jié)合場景以求個人信息保護(hù)的合理性。越來越多的學(xué)者提出基于場景化對個人信息進(jìn)行分類保護(hù)，這與國際較為前沿的個人信息保護(hù)理論是一致的。以海倫·尼森鮑姆的場景理論為例，其核心就是批判脫離場景與信息關(guān)系談?wù)搨€人信息權(quán)利保護(hù)。[12]例如，當(dāng)電商平臺利用收集的個人信息為信息主體提供個性化需求時，如果推薦的是一般商品可推定為其具有一定的合理性，但如果推薦的是特殊商品，如醫(yī)療產(chǎn)品，則該行為有可能違法。因為醫(yī)療行業(yè)是一個技術(shù)性的行業(yè)，普通人的認(rèn)知可能與實際差距很大，因此信息收集者與使用者很有可能為了獲得收益而推薦一些并不適合信息主體的產(chǎn)品，后果嚴(yán)重時還有可能對人的生命造成威脅。

注釋：

①參見Whalen v．Roe，429 U．S．589(1976)。

②參見Commonwealth of Kentucky v．Jeffrey Wasson，842 S．W．2d 487。

③參見《網(wǎng)絡(luò)安全法》第四十一條。

④參見《民法典》第一千零三十五條。