姚 佳
現(xiàn)代科技對人們的行為方式產(chǎn)生較大影響,有如波蘭尼(Karl Polanyi)、格蘭諾維特(Mark Granovetter)的“嵌入”理論,科技正在以絕對強勢地位嵌入、顛覆乃至重塑人類的行為模式。在經(jīng)濟迭代與規(guī)?;钠脚_經(jīng)濟出現(xiàn)以后,即便是“原子化”的個體也別無選擇,只能主動或(更多是)被動地卷入其中。盡管個體從事的活動各異,但卻都存在自身信息被收集、利用與存儲等事實,如何保護此種處于“靜態(tài)”或“動態(tài)”的個人信息以及如何規(guī)制信息相關(guān)主體的行為,成為信息時代面臨的一個重要議題。根據(jù)谷歌書籍詞頻統(tǒng)計器(Google Book Ngram Viewer)顯示,“個人識別信息”(personally identifiable information)自1992年開始就成為一個越來越流行的術(shù)語。(1)Paul M.Schwartz & Daniel J.Solove, Reconciling Personal Information in the United States and European Union, 102 California Law Review 877, 887 (2014).圍繞個人信息是否具有“可識別性”,將個人信息與人、人格、財產(chǎn)等基本命題在事實上與邏輯上緊密聯(lián)系起來,并在相當程度上推動了世界范圍內(nèi)個人信息保護的立法熱潮。
中國近年來在制定或修訂相關(guān)法律之時都十分重視個人信息保護問題。(2)《網(wǎng)絡(luò)安全法》《電子商務(wù)法》與《消費者權(quán)益保護法》之中均有相關(guān)個人信息保護的規(guī)定。2020年5月通過的《中華人民共和國民法典》在人格權(quán)編中專門規(guī)定了個人信息保護,首開世界范圍內(nèi)民法(典)或私法中特別規(guī)定個人信息保護之先河,此舉在世界私法史上亦可圈可點。醞釀了若干年之后,2020年10月《個人信息保護法(草案)》的推出,更將中國的個人信息保護推至高潮。中國的個人信息保護立法相較于世界其他國家和地區(qū),所處時代背景與發(fā)展階段皆不相同,因此所面臨的難題與所要解決的問題也不盡相同。尤其在“個人—個人信息處理者”之兩造關(guān)系中,以“可識別性”為個人信息的核心構(gòu)成,更使得相對方主體的一系列義務(wù)與保護的“開關(guān)”始終處于“打開”狀態(tài)。(3)同前注〔1〕,Paul M.Schwartz & Daniel J.Solove文。鑒此,觀察個人信息處理者的法律責任十分重要,此種法律責任,或可構(gòu)造為一定體系,或可在不同“橫截面”構(gòu)造為一定“子體系”,并在相當程度上成為完善個人信息權(quán)利體系之重要的“反作用力”,殊值重視。
由個人信息的產(chǎn)生、傳遞與流動的本質(zhì)特征所決定,與個體發(fā)生聯(lián)系的若干主體可抽象概括為“信息控制者”與“信息處理者”。世界范圍內(nèi),隱私與個人信息立法以美國和歐盟為基礎(chǔ)標桿,其他國家和地區(qū)分別在不同的法域之內(nèi)緊跟或?qū)讼鄳?yīng)立法。美國和歐盟二者之間事實上也形成一種個人信息保護立法的競爭局面。而正如格林里夫教授(Graham Greenleaf)所指出的,美國隱私法在世界上的影響力遠不如歐洲數(shù)據(jù)隱私法的影響力,可以合理地描述為“歐洲標準”的數(shù)據(jù)隱私法正在逐漸成為世界其他國家相關(guān)立法的標準。(4)Graham Greenleaf, The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108, 2 International Data Privacy Law 68, 77 (2012).中國作為深受大陸法系法律理論影響的國家,在個人信息保護立法的觀念與制度上也一定程度上受到歐盟立法的影響。然而吊詭的是,中國法恰恰在個人信息基本主體概念上與歐盟頗為不同,《民法典》歷次草案與正式文本以及《個人信息保護法(草案)》中的個人信息相關(guān)主體的表述均不相同。對這一基礎(chǔ)主體概念的不斷修改,反映出立法者對個人信息處理活動的認識不斷加深并逐漸體現(xiàn)出立法的著重面向。然而,對于基本主體概念的規(guī)定,并非單一的法技術(shù)問題,而關(guān)涉立法者對于社會事實的認識、對法觀念的總結(jié)提煉以及能否實現(xiàn)立法的前瞻性等諸多問題,不能簡單視之。既如此,認識與界定個人信息處理者,是個人信息保護立法與解釋的基礎(chǔ)工作之一。
對于事物概念的確定,既是一個認識事物本質(zhì)的過程,同時也是一個思維形成的過程。黑格爾在說明概念與事物之間的關(guān)系時認為,“當我們要談?wù)撌挛飼r,我們就稱它們的本性或本質(zhì)為它們的概念,而概念只是為思維才有的”,“我們的思維必須依照概念而限制自己,而概念卻不應(yīng)依我們的任意或自由而調(diào)整”。(5)[德]黑格爾:《邏輯學(上卷)》,楊一之譯,商務(wù)印書館1996年版,第12-13頁。在立法概念選擇的時候,立法者依然面對如何認識事物和如何選擇概念的雙重難題。
中國的個人信息保護立法,也同樣面臨上述認識與選擇的方法論難題。中國在制定《民法典》和《個人信息保護法(草案)》的個人信息保護規(guī)則之時,在法技術(shù)層面不同程度地借鑒歐美國家的經(jīng)驗。然而,正如施瓦茨(Paul M.Schwartz)和索羅夫(Daniel J.Solove)所言,“美國和歐盟在隱私法方面分歧很大。在基本層面,二者的基本理念哲學不同:在美國,隱私法的重點是救濟對消費者的損害以及平衡隱私與高效的商業(yè)交易之間的關(guān)系;在歐盟,隱私權(quán)被認為是一項基本權(quán)利,可以凌駕于其他利益之上。甚至在確定信息立法調(diào)整范圍的邊界等問題上,美國和歐盟的做法也完全不同。個人信息的存在——通常被稱為‘個人識別信息’——觸發(fā)了隱私法的適用?!?6)同前注〔1〕,Paul M.Schwartz & Daniel J.Solove文,第877頁。美國關(guān)于隱私權(quán)理論探索較早,對世界產(chǎn)生較大影響,如何界定個人信息,在美國法上經(jīng)歷過較為激烈的討論。主要通過三種方式界定個人信息,包括:同義反復(tautological)、非公開(nonpublic)以及具體類型(specific-types)。(7)所謂“同義反復”(tautological)的方式,主要是指美國隱私法通過簡單地定義“個人的”作為任何識別個人身份的信息的標準,在表達上就是“個人信息是個人的信息”的一種同義反復,將其作為界定個人信息的方法,實際上在美國國內(nèi)也遭受到一定批評。同前注〔1〕,Paul M.Schwartz & Daniel J.Solove文,第888頁。后來經(jīng)不斷發(fā)展,美國法上系將隱私權(quán)與個人信息保護等統(tǒng)一歸至隱私法這一籠統(tǒng)概念之中,與歐洲的人格權(quán)理論與個人信息保護理論的“二分法”截然不同。相較美國法,歐盟立法相對更為清晰,這也就是為何歐盟的個人數(shù)據(jù)保護法更易于“輸出”并成為較為通行的“世界標準”的重要原因之一。
從中國目前對于《民法典》個人信息保護的解釋論和《個人信息保護法(草案)》的立法論角度來看,中國個人信息保護立法一定程度上參考借鑒了歐盟相關(guān)立法,包括一些基本規(guī)則和權(quán)利義務(wù)體系等方面。然而,如本文所討論的,實證法恰恰并未將個人信息保護中涉及的關(guān)鍵主體——信息控制者——這一概念納入。事實上,信息控制者并非一個簡單的概念選擇問題,也并非一個比較法意義上的形式上的“規(guī)則借鑒”問題,而是涉及對于個人信息保護活動通盤理解的問題。
“控制者”這一概念,主要應(yīng)依循歐盟立法的脈絡(luò)來理解?!翱刂普摺?controller)最早見諸于《歐盟95/46/EC指令》(1995年10月),后在歐盟2012年擬議的《一般數(shù)據(jù)保護條例》(General Data Protection Regulation,GDPR)以及2016年通過的《一般數(shù)據(jù)保護條例》(GDPR)中延續(xù)使用。施瓦茨和索羅夫曾指出:“事實上,從歐盟95年指令開始,歐盟立法就已經(jīng)為數(shù)據(jù)主體提供了對于他們自身數(shù)據(jù)使用的一種控制權(quán)?!?8)同前注〔1〕,Paul M.Schwartz & Daniel J.Solove文,第883頁。而此處所謂的“控制權(quán)”,又與大陸法系典型國家的“信息自決”理論緊密相聯(lián)。德國《基本法》第2條第1款確定了人格自由發(fā)展的權(quán)利。而個人信息對于人格構(gòu)建和發(fā)展具有決定性的意義,“信息自決”(informationelle Selbstbestimmung)則是實現(xiàn)對個人自由發(fā)展的重要方式。(9)Vgl.Christoph Mallmann, Datenschutz in Verwaltungsinformationssystemen, München, 1976, S.54 ff. 轉(zhuǎn)引自謝遠揚:《信息論視角下個人信息的價值——兼對隱私權(quán)保護模式的檢討》,載《清華法學》2015年第3期,第102-103頁。此種信息自決觀念將個人信息與人格權(quán)有效聯(lián)系起來,并進而影響了個人信息保護的法律建構(gòu)。
“信息自決”應(yīng)有之意是個體能夠決定自身信息的使用,即產(chǎn)生一種“控制”。殊值辨識的是,以“信息自決”為出發(fā)點的對個人信息的“控制”并不等于對個人信息的“控制權(quán)”,由于權(quán)利本身包含一種實踐面向,而個人事實上無法享有對個人信息的絕對性、排他性的(全程)控制權(quán),因此前述施瓦茨和索羅夫的觀點也有不周延之處。當然,他們對于歐盟個人信息保護法的特征總體上有較好的把握與判斷,這也就在相當程度上解釋了,由于個人信息的產(chǎn)生、傳遞與流動等特征,當信息流動到與個體相對的主體,并由該主體進行“控制”之時,由于個體享有“信息自決”而并未喪失自己對信息的“延伸控制”,“控制”理念貫穿始終。比如,個人享有知情權(quán),即“可以在一定程度上控制關(guān)于收集到的他們的數(shù)據(jù)的去向”。(10)Francoise Gilbert, A Bird’s-Eye View of Data Protection in Europe, 24 ABA GP Solo 31, 32-35 (2007).個人信息保護立法以“控制”為核心貫穿以個人信息為客體的一系列行為,當個人信息“脫逸”個體之后,能夠控制信息的主體則是事實上占有信息的“控制者”。這也就是為何在歐盟《一般數(shù)據(jù)保護條例》中,信息控制者才是與個人直接相對的義務(wù)主體,而并非信息處理者。而控制者的核心活動與其主要活動有關(guān),而與作為輔助活動的個人數(shù)據(jù)處理無關(guān)。在控制者客觀控制數(shù)據(jù)的基礎(chǔ)上,又進一步發(fā)展出“目的限制”原則,允許控制者評估為最初收集數(shù)據(jù)的目的以外的其他目的處理個人數(shù)據(jù)是否享有這樣的依據(jù),而這種依據(jù)并非基于法律或數(shù)據(jù)主體的同意。(11)W.Gregory Voss, European Union Data Privacy Law Reform: General Data Protection Regulation, Privacy Shield, and the Right to Delisting, 72 The Business Lawyer 221, 224 (2017).
在歐盟法的脈絡(luò)下,信息控制者的概念絕非僅依立法而產(chǎn)生,而系與歐洲法長期關(guān)注與持續(xù)發(fā)展人格自由、信息自決等法思想、法理念緊密相關(guān)。信息處理者則是為了數(shù)據(jù)控制者而處理個人數(shù)據(jù)的主體,其行為與活動雖然具有相對獨立性,也并非控制者的附庸,但在地位與角色上確實無法與控制者相提并論。二者的關(guān)系既反映出歐盟法的特色,同時也體現(xiàn)出個人信息活動本身的核心特征。反觀中國法,遺憾的是,“信息控制者”這一概念在《民法典》制定過程中僅“曇花一現(xiàn)”,最終并未進入正式文本之中,這就有必要在中國法的“偶然”與“必然”之中進一步解釋個人信息處理者的內(nèi)涵,及其所輻射的制度脈絡(luò)以及所反映的制度意旨。
黑格爾認為,考察存在和本質(zhì)的客觀邏輯,真正構(gòu)成了概念發(fā)生史的展示。(12)參見[德]黑格爾:《邏輯學(下卷)》,楊一之譯,商務(wù)印書館1976年版,第240頁。客觀而言,中國確實不存在如歐洲國家的信息自決觀念的歷史影響,因此即便是拋卻已有概念,轉(zhuǎn)而選擇創(chuàng)設(shè)全新概念,也未嘗不可。問題的關(guān)鍵在于,基本概念應(yīng)起到貫穿制度核心脈絡(luò)的作用,或重塑制度自身特征的作用,只有有意識循此設(shè)計制度,才能實現(xiàn)制度初衷,否則將會使制度變得空洞而無法實施。信息相關(guān)主體在歷次法律草案與規(guī)范性文件中的表述,幾無統(tǒng)一者,而最終《民法典》中改稱“信息處理者”的表述,或有突襲之感,這也給如何解釋信息處理者的地位與作用帶來一定困難。
表:法律法規(guī)、規(guī)范性文件中的信息相關(guān)主體
從目前已公開的官方立法資料來看,對于上述概念變化并無特別說明。從概念表述與體系解釋來看,大致可從以下幾方面理解與建構(gòu):
第一,“信息處理論”吸收“信息控制論”。從概念使用來看,在制定法并未采用信息控制者這一概念之時,而僅使用信息處理者這一概念。通過體系解釋,“信息處理論”表達為一系列客觀的處理方式以及個人信息處理者的自主決定權(quán)利,這實際上也涵蓋了包括有決定能力的控制者的一系列行為。立法階段的終結(jié),使信息處理者這一概念成為一種既定事實,后續(xù)研究和實踐也只能在此基礎(chǔ)上進行解釋。
第二,非控制論之下的“信息自決”的貫穿。歐盟法脈絡(luò)下的人格、信息自決與個人信息控制之間存在觀念上與邏輯上的聯(lián)系。盡管中國法并未選擇以控制者為核心的“信息控制論”,但是無論是解釋《民法典》的相關(guān)規(guī)定還是《個人信息保護法草案(一審稿、二審稿)》第44條中明確規(guī)定的“個人對其個人信息的處理享有知情權(quán)、決定權(quán)……”,已經(jīng)較為明確地規(guī)定了“信息自決”或“個人信息自決權(quán)”??梢姡幢懔⒎ㄟx擇了“信息處理論”或非控制論,但也仍然是選擇了“信息自決”這一法價值,之后的法律體系構(gòu)建或規(guī)則創(chuàng)設(shè)也仍然遵循此價值。
第三,跨法系基本概念的對話基礎(chǔ)。歐盟個人數(shù)據(jù)保護立法在某種程度上作為一種“國際標準”,信息控制者也基本上成為一個通行概念,而中國立法之時僅選擇使用信息處理者這一概念,這就帶來一個國際對話基礎(chǔ)以及法律適用上的問題。在數(shù)據(jù)面臨跨境流動以及國內(nèi)企業(yè)海外合規(guī)與外國企業(yè)在中國合規(guī)之時,都要面臨概念轉(zhuǎn)換與系列制度的理解問題,這在一定程度上增加了解釋成本。因此,如何在制定《個人信息保護法》之時再進一步加強信息控制理念,使之與“信息自決”理念相協(xié)調(diào),不得不通盤考慮,此謂周全之道。
信息時代與智能時代的首要特點就是信息呈規(guī)模化,以網(wǎng)絡(luò)平臺為代表的主體獲取大量個人信息。個人信息保護與個人信息利用,二者表現(xiàn)為靜動之分并體現(xiàn)不同價值取向,但二者實質(zhì)上卻是一種“價值合流”——安全。因此,個人信息處理者也是在安全價值指引下保護個人信息。個人信息處理者成為法律上的特定主體,預(yù)設(shè)的前提即該主體有能力保護個人信息安全,防范個人信息風險。盡管《民法典》適用于所有平等民事主體,但個人信息處理者由于其活動需要一定的物質(zhì)和技術(shù)條件并負有較多義務(wù),而在主體范圍界定上有所限縮,并非所有民事主體均能成為個人信息處理者。這一點也符合國際通行規(guī)則,比如GDPR第30.5條規(guī)定控制者的責任不適用于雇員少于250人的經(jīng)濟主體或組織。有學者也認為:“個人信息保護法的義務(wù)主體具有特殊性,不是‘任何組織或者個人’這樣的一般主體?!?13)參見周漢華:《個人信息保護的法律定位》,載《法商研究》2020年第3期,第50頁。在此基礎(chǔ)上,實踐中的個人信息處理者的具體類型大致包括以下主體。
第一,網(wǎng)絡(luò)服務(wù)提供者。在中國法項下,提供網(wǎng)絡(luò)服務(wù)的主體被概括為網(wǎng)絡(luò)服務(wù)提供者。在立法與實踐中,涉及網(wǎng)絡(luò)安全、電子商務(wù)等不同領(lǐng)域之時,也以不同主體稱謂指代。在經(jīng)濟迭代轉(zhuǎn)型出現(xiàn)平臺經(jīng)濟之后,平臺主體也往往成為一種經(jīng)濟學上的較為通行的主體稱謂。當下個體購物、社交等行為基本上均以網(wǎng)絡(luò)平臺為中介,個人信息的收集、存儲、使用、加工等行為也集中于平臺之上。大規(guī)模的網(wǎng)絡(luò)平臺的出現(xiàn),其相對于個體或消費者的強勢地位,加劇了傳統(tǒng)上經(jīng)營者與消費者之間的交涉能力不平等。本次《個人信息保護法草案(二審稿)》第57條增加規(guī)定了提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)主體的特別義務(wù)。由此,網(wǎng)絡(luò)服務(wù)提供者是最為典型的個人信息處理者,最終的實際運營主體應(yīng)承擔個人信息保護等義務(wù)。
第二,公共機構(gòu)。國家機關(guān)等公共機構(gòu)也存在大量收集個人信息以及利用等行為?!秱€人信息保護法(草案)》第二章第三節(jié)專門規(guī)定了“第三節(jié)國家機關(guān)處理個人信息的特別規(guī)定”,但是除國家機關(guān)之外,還包括公共企事業(yè)單位也存在大量收集個人信息等行為。因此,包括國家機關(guān)在內(nèi)的公共機構(gòu)都應(yīng)成為個人信息保護法上的個人信息處理者。當然,也有學者認為,國家機關(guān)作為信息處理者具有公共性、法定性、壟斷性、強制性等特點,與以私人機構(gòu)作為個人信息處理者為設(shè)想場景的個人信息保護法明顯不同,未來還應(yīng)當制定一個特別的規(guī)則來調(diào)整國家機關(guān)處理個人信息的行為。(14)參見王錫鋅教授的發(fā)言,《個人信息保護法的待解難題,如何約束規(guī)范國家機關(guān)對信息的收集處理》,載《21世紀經(jīng)濟報道》2021年3月24日。從目前來看,國家機關(guān)等公共機構(gòu)在中國法上仍規(guī)定為個人信息處理者。
第三,線下經(jīng)營主體。數(shù)字經(jīng)濟改變了人們的行為方式,線上交易與網(wǎng)絡(luò)社交成為主要方式,但仍存在大量線下非網(wǎng)絡(luò)平臺主體收集、利用個人信息等情況,這些主體應(yīng)系個人信息處理者。同時,實踐中也存在經(jīng)營者線上線下信息共享等情況,有些情形可能會侵害消費者的個人信息。(15)參見俞某訴北京樂某達康科技有限公司等網(wǎng)絡(luò)侵權(quán)責任糾紛案,(2018)京0108民初字第13661號民事判決書。就此,線下經(jīng)營主體也是典型的個人信息處理者。
對于個人信息處理者的界定,不僅僅是一種概念理解或者類型識別,在“個人—信息控制者”“個人—(個人)信息處理者”的兩造關(guān)系中,更應(yīng)理解“信息自決”脈絡(luò)下的個人對于自身信息的“延伸控制”。在此基礎(chǔ)上構(gòu)建個人信息處理者的民事責任體系,并且解釋相應(yīng)主體承擔民事責任的機理,是為基礎(chǔ),更是必要前提。
個人信息保護呈現(xiàn)跨公私法域特征,有其自身相對獨立的發(fā)展脈絡(luò),并非民法的特別法,法律責任也包括民事責任、行政責任和刑事責任。個人信息作為體現(xiàn)人格權(quán)益與人格發(fā)展的重要載體,在創(chuàng)設(shè)“信息自決”的觀念與制度之下,如何實現(xiàn)個人對自身信息的“脫控”而不“失控”,在受有損害之時,能夠得到充分救濟,是制度建構(gòu)與法律適用最為關(guān)注之點。在個人信息權(quán)益受到侵害之時,人格權(quán)法與侵權(quán)法是最為基本與最為有效的救濟方式,也同時體現(xiàn)出侵權(quán)法旨在權(quán)衡行為自由與權(quán)益保護的機能。(16)參見王澤鑒:《侵權(quán)行為》(第三版),北京大學出版社2016年版,第7頁。在考察《民法典》的適用與個人信息保護立法的雙重面向之上,探討個人信息處理者侵害個人信息的侵權(quán)責任,是法律為個人信息主體提供的最基礎(chǔ)保障。
與一般自然人之間的侵害個人信息的行為不同,個人信息處理者作為具有一定規(guī)模的網(wǎng)絡(luò)服務(wù)提供者或線下經(jīng)營主體以及公共機構(gòu),其侵害個人信息的行為特征主要包括面向不特定主體、運用技術(shù)手段等方面。主要包括以下典型行為:
第一,不當收集個人信息的行為。在《民法典》與系列規(guī)范性文件中,收集個人信息應(yīng)符合“合法、正當、必要”原則,同時符合最小、必要原則。而在實踐中,有相當多的APP存在涉嫌過度收集用戶個人信息的情況。(17)中國消費者協(xié)會:《100款A(yù)PP個人信息收集與隱私政策測評報告》,http://www.cca.org.cn/jmxf/detail/28310.html,2021年3月27日訪問。在備受矚目的郭某訴杭州野生動物世界有限公司服務(wù)合同糾紛案中,二審認為,野生動物世界欲利用收集的照片擴大信息處理范圍,超出事前收集目的,存在侵害郭某面部特征信息之人格利益的可能與風險。(18)參見《杭州野生動物世界“刷臉”入園糾紛案,今日二審宣判!》,載光明網(wǎng)2021年4月10日,https://m.gmw.cn/baijia/2021-04/10/1302222608.html,2021年4月15日訪問??梢?,是否正當收集的標準主要在于是否符合法定的收集原則,如超過則為不當收集個人信息。
第二,泄露個人信息的行為。泄露個人信息屬于較為嚴重的侵害個人信息權(quán)益的行為,實踐中具體表現(xiàn)形式不一。在龐某訴某航空公司和某信息技術(shù)有限公司隱私權(quán)糾紛案中,龐某在某網(wǎng)站訂票之后,后收到其他短信,列明龐某的姓名、航班號等內(nèi)容,法院認為兩家公司存在泄露龐某隱私信息的高度可能,并且存在過錯,應(yīng)承擔侵犯隱私權(quán)的相應(yīng)侵權(quán)責任。(19)參見北京市海淀區(qū)人民法院(2015)海民初字第10634號民事判決書;北京市第一中級人民法院(2017)京01民終字第509號民事判決書。在有的案件中,法院確認公民的舉報信息具有私密性,購物平臺擅自將訂單編號告知被舉報人,屬于泄露個人私密信息的行為。(20)參見北京市第四中級人民法院互聯(lián)網(wǎng)民商事審判十大典型案例之五:肖某訴某平臺泄露個人信息糾紛案(北大法寶數(shù)據(jù)庫:【法寶引證碼】CLI.C.107485440)。泄露個人信息的行為往往涉及對私密信息和隱私權(quán)的保護,較之其他不當收集、不當利用與分享等行為更為嚴重。
第三,不當使用個人信息等行為。在未經(jīng)個人信息主體的同意,而將個人信息作為他用的情況,屬于不當使用個人信息的情形。在王某與某置地有限公司姓名權(quán)糾紛案中,該公司擅自利用王某的姓名與身份證號碼進行個稅申報,不當利用了王某的個人信息。(21)參見王某與某置地有限公司姓名權(quán)糾紛案,(2019)蘇0321民初字第2652號民事判決書。在俞某訴北京樂某達康科技有限公司等網(wǎng)絡(luò)侵權(quán)責任糾紛案中,俞某在線下的購物記錄也被同步到線上購物平臺的購物列表之中,這是一種擴張信息共享的行為,同時也是一種擴大收集信息的行為。(22)參見同前注〔15〕,俞某訴北京樂某達康科技有限公司等網(wǎng)絡(luò)侵權(quán)責任糾紛案。上述行為都是建立在個人信息處理者掌握個人信息的前提下,將信息用于他用,或不當使用、或不當分享,均系較為典型侵犯個人信息權(quán)益的行為。
除上述幾種情形以外,比較具有爭議的情形還包括由用戶畫像或其他自動化決策所帶來的不利影響(23)Danielle K.Citron & Frank Pasquale, The Scored Society: Due Process for Automated Predictions, 89 Washington Law Review 1 (2014); Margret Hu, Big Data Blacklisting, 67 Florida Law Review 1735 (2015).是否會構(gòu)成對人格權(quán)益或財產(chǎn)權(quán)益的侵害,比如評價分選、價格歧視、大數(shù)據(jù)殺熟等,目前相關(guān)案例中,法院并未支持當事人的相關(guān)請求。(24)參見鄭某與上海某商務(wù)有限公司其他侵權(quán)責任糾紛案,(2020)滬0105民初字第9010號民事判決書;劉某與北京某科技有限公司侵權(quán)責任糾紛案,(2018)湘0102民初字第13515號民事判決書、(2019)湘01民終字第9501號民事判決書。對濫用算法等行為,目前主要通過監(jiān)管或數(shù)據(jù)治理等方式予以規(guī)制,(25)參見[美]陸凱:《美國算法治理政策與實施進路》,載《環(huán)球法律評論》2020年第3期,第5-26頁。在民事責任方面尚未見相關(guān)適用和突破。在風險泛在的智能時代與萬物互聯(lián)時代,人們沒有脫離風險場域的可能性,對于概括風險而導致的權(quán)益受損目前較難實現(xiàn)個體救濟;(26)[德]克里斯托弗·布施:《個性化經(jīng)濟中的算法規(guī)制和(不)完美執(zhí)行》,載《環(huán)球法律評論》2019年第6期,第7頁。但在個體受到確定的侵害之時則有請求獲得法律救濟的權(quán)利,這也正是侵權(quán)法的基本意旨。
個人信息處理者侵害個人信息的侵權(quán)責任的構(gòu)成要件,主要以《民法典》人格權(quán)編和侵權(quán)責任編的體系解釋為主。將人格權(quán)編的框架安排與傳統(tǒng)侵權(quán)責任的構(gòu)成要件進行比對,人格權(quán)編對于過錯和損害并未規(guī)定,也有學者認為,在適用人格權(quán)請求權(quán)時,既不需要考慮是否有損害(只要構(gòu)成對人格權(quán)的侵害或者存在侵害的危險即可),也無需考慮侵權(quán)人有無過錯。(27)參見王利明、程嘯等:《中華人民共和國民法典人格權(quán)編釋義》,中國法制出版社2020年版,第83-85頁;程嘯:《我國民法典中的人格權(quán)請求權(quán)》,載《人民法院報》2020年10月22日第005版。從民法典編章安排體系解釋和司法機關(guān)關(guān)于民事案件案由規(guī)定來看,人格權(quán)請求權(quán)在適用上優(yōu)先于侵權(quán)請求權(quán)。(28)根據(jù)最高人民法院2020年12月發(fā)布的《最高人民法院關(guān)于印發(fā)修改后的〈民事案件案由規(guī)定〉的通知》中第四部分規(guī)定人格權(quán)糾紛這一案由系單獨的案由體系,與侵權(quán)責任糾紛相區(qū)別。另參見王利明:《論人格權(quán)保護的全面性和方法獨特性——以〈民法典〉人格權(quán)編為分析對象》,載《財經(jīng)法學》2020年第4期,第9頁。同時《個人信息保護法草案》一審稿第65條與二審稿第68條規(guī)定了個人信息處理者的損害賠償責任,這一部分也將納入體系解釋范疇之中。鑒此,本部分的討論總體上立足于解釋論與立法論的雙重面向。
1.過錯
在歸責原則之過錯責任原則、過錯推定原則和無過錯責任原則三分法的基礎(chǔ)上,《民法典》對侵害個人信息的歸責原則并未明確規(guī)定。在前述案例中,法院基本上也并未特別考慮個人信息處理者的主觀過錯。由個人信息主體與個人信息處理者之間關(guān)系所決定,侵害特定個人的信息的行為,只會由比較特定或有限的個人信息處理者作出,而其侵害行為的范圍和內(nèi)容也基本比較確定,責任認定并不存在太多困難。
《個人信息保護法草案(二審稿)》第68條明確規(guī)定侵害個人信息的歸責原則為過錯推定。相較一審稿,二審稿有較大進步。一審稿第65條規(guī)定了侵害個人信息權(quán)益的賠償責任,但該條卻存在歸責原則與損害賠償責任的“顛倒”與“雜糅”。通常而言,“侵權(quán)請求權(quán)基礎(chǔ)的檢視原則上區(qū)分責任成立與責任范圍兩個階段,各類侵權(quán)請求權(quán)基礎(chǔ)檢視程式的差異主要體現(xiàn)在責任成立部分”。(29)參見吳香香:《中國法上侵權(quán)請求權(quán)基礎(chǔ)的規(guī)范體系》,載《政法論壇》2020年第6期,第180頁。對于一審稿中關(guān)于歸責原則的不足之處,二審稿中有所糾正和調(diào)整。同時,二審稿第68條第2款系與《民法典》侵權(quán)責任編第1182條基本保持一致。
立法者在侵害個人信息的歸責原則上或可考慮過錯責任原則與無過錯責任原則“二分法”思路:一是基于不同主體。借鑒我國臺灣地區(qū)“個人資料保護法”相關(guān)規(guī)定,對個人信息侵權(quán),公共機構(gòu)承擔無過錯責任,非公共機構(gòu)則承擔過錯推定責任;二是基于不同行為。借鑒德國《聯(lián)邦數(shù)據(jù)保護法》相關(guān)規(guī)定,對于自動化數(shù)據(jù)處理所致?lián)p害適用無過錯責任,非自動化數(shù)據(jù)處理所致?lián)p害適用過錯推定責任;三是基于不同信息類型。有學者也提出應(yīng)在區(qū)分敏感與非敏感信息的基礎(chǔ)上,分別規(guī)定適用無過錯責任與過錯推定責任。(30)參見《會議綜述(下) 〈個人信息保護法草案〉專家研討會》,微信公眾號:人工智能與網(wǎng)絡(luò)法前沿,2020年12月8日。此種通過不同角度的“二分法”確定歸責原則,是一種較好的思路,可參酌吸收借鑒。
2.行為
個人信息處理者在收集、存儲、使用、加工、傳輸、提供、刪除和公開等活動過程中都可能會存在侵害個人信息的行為。前述關(guān)于個人信息處理者侵害個人信息的典型行為中已概括了相當一部分行為。作為“信息自決”觀念的延伸,通過在信息的“可識別性”與人格權(quán)益保護之間建立聯(lián)系,集中于是否侵害了具有可識別性的信息,從而引致侵權(quán)法的適用。
以信息的“可識別性”為“風險源”和“風險敞口”,是侵害個人信息行為的集中體現(xiàn)。這就使得個人信息處理者的幾乎大部分活動都可能囊括其中。施瓦茨和索羅夫就認為,歐洲隱私立法的優(yōu)勢是幾乎沒有什么信息可以逃出立法之外,但同時也十分冒險地引發(fā)了數(shù)據(jù)處理者實際上承擔了與個人隱私可能產(chǎn)生的風險實際上并不匹配的法律負擔。(31)同前注〔1〕,Paul M.Schwartz & Daniel J.Solove文,第887頁。近年來除侵害個人信息的典型行為討論較多之外,基于相應(yīng)實踐發(fā)展和義務(wù)擴張的現(xiàn)實需求,關(guān)于電子商務(wù)經(jīng)營者、直播平臺和個人信息處理者等是否應(yīng)承擔安全保障義務(wù)就引發(fā)較多爭論,尤其是在某主播在直播平臺直播極限運動意外墜亡案件(32)參見何某訴北京某科技有限公司網(wǎng)絡(luò)侵權(quán)責任糾紛案,(2018)京0491民初字第2386號民事判決書;北京某科技有限公司與何某侵權(quán)責任糾紛上訴案,(2019)京04民終字第139號民事判決書。發(fā)生后,更將網(wǎng)絡(luò)服務(wù)提供者等主體是否應(yīng)承擔安全保障義務(wù)推至風口浪尖。
安全保障義務(wù)源自德國判例中形成的交往安全義務(wù)學說,并在實踐中不斷確立和發(fā)展相關(guān)規(guī)則。我國在制定《侵權(quán)責任法》之時,通過列舉和限縮適用范圍和情形的方式,規(guī)定了安全保障義務(wù)。但其與兩大法系學理與判例中所概括的交往安全義務(wù)和注意義務(wù)存在一定差異,雖然學界和實務(wù)界已基本接受了中國《侵權(quán)責任法》第37條(《民法典》第1198條)的規(guī)定。但由于對本國制定法的理解和接受存在一定思維慣性,人們對反過來理解安全保障義務(wù)的原貌反而產(chǎn)生一定障礙。近年來,中國法在安全保障義務(wù)的理解上、實踐中和立法中不斷與德國法和美國法接近,從而將確定相應(yīng)主體是否負有安全保障義務(wù)聚焦于有學者所概括的——“注意義務(wù)的違反”以及“對加害人本身主觀預(yù)見能力的考察”(33)參見馮玨:《安全保障義務(wù)與不作為侵權(quán)》,載《法學研究》2009年第4期,第75-76頁。——兩個層次的內(nèi)容。
針對個人信息的安全保護義務(wù),在歐盟的GDPR、中國民法典、消費者權(quán)益保護法、網(wǎng)絡(luò)安全法、電子商務(wù)法等都有相應(yīng)規(guī)定?!睹穹ǖ洹返?038條規(guī)定了信息處理者的信息安全保障義務(wù)?!秱€人信息保護法草案(一審稿、二審稿)》“第五章個人信息處理者的義務(wù)”中,系對履行安全保障義務(wù)的標準予以多維度細化。
殊值關(guān)注的是,基于公法規(guī)范以轉(zhuǎn)介方式適用于私法領(lǐng)域等理論鋪墊,(34)參見蘇永欽:《從動態(tài)法規(guī)范體系的角度看公私法的調(diào)和——以民法的轉(zhuǎn)介條款和憲法的整合機制為中心》,載蘇永欽:《走入新世紀的私法自治》,中國政法大學出版社2002年版。近年來學界也有觀點主張是否將網(wǎng)絡(luò)信息領(lǐng)域的公法規(guī)范以轉(zhuǎn)介方式適用于私法關(guān)系,以擴張網(wǎng)絡(luò)經(jīng)營者、信息處理者等主體的安全保障義務(wù)。(35)參見張力、黃鑫:《大數(shù)據(jù)背景下個人信息保護的公私法銜接》,載《重慶郵電大學學報(社會科學版)》2021年第1期。在侵權(quán)法上,“違反保護他人法律的侵權(quán)責任”(《民法典》第1165條第1款,即《侵權(quán)責任法》第6條第1款)事實上起到一個“轉(zhuǎn)介條款”的功能,可以將各種特殊的侵權(quán)法律政策引入到一般侵權(quán)法之中。(36)參見朱巖:《違反保護他人法律的過錯責任》,載《法學研究》2011年第2期,第90頁。但是對于保護他人的法律,如王澤鑒先生所言,系“以其是否以保護個人的權(quán)益為判斷標準,個人權(quán)益的保護得與一般公益的保護并存,但不包括專以維護國家社會秩序的法律”。(37)同前注〔16〕,王澤鑒書,第350頁??梢姡稗D(zhuǎn)介”之核心標準在于“是否以保護個人的權(quán)益為判斷標準”,而非全部公法規(guī)范均不加限制和阻攔地進入私法領(lǐng)域。誠如有學者所言,此種適用可能會引發(fā)一系列民法體系內(nèi)部以及公法與私法之間關(guān)系等問題,應(yīng)謹慎適用,合理把握注意義務(wù)的標準。(38)參見萬方:《公私法匯流的閘口:轉(zhuǎn)介視角下的網(wǎng)絡(luò)經(jīng)營者安全保障義務(wù)》,載《中外法學》2020年第2期,第371-377頁。鑒此,在個人信息保護領(lǐng)域,盡管單行法可能會不斷推出,但不能籠統(tǒng)地將《網(wǎng)絡(luò)安全法》和未來出臺的《數(shù)據(jù)安全法》和《個人信息保護法》等法律法規(guī)中包含的一系列公法規(guī)范直接轉(zhuǎn)介入私法之中,并引致個人信息處理者承擔相應(yīng)的民事責任,此種認識不得不事先予以警惕,以維護法律最基本的公正價值。
3.損害
損害通常包括財產(chǎn)損失、人身損害和精神損害。關(guān)于侵害個人信息而產(chǎn)生的損害,歐盟GDPR第82條第1項規(guī)定:“任何因為違反本條例而受到物質(zhì)或非物質(zhì)性損害的人都有權(quán)從控制者或處理者處獲得損害賠償?!眰€人信息主體通常需證明自己受有物質(zhì)或非物質(zhì)性損害,非物質(zhì)性損害主要包括外部風險的損害和內(nèi)心焦慮的損害。(39)參見劉云:《論個人信息非物質(zhì)性損害的認定規(guī)則》,載《經(jīng)貿(mào)法律評論》2021年第1期,第60頁。個人信息的“可識別性”,即是否可通過個人信息識別到特定主體,是判斷個人信息權(quán)益是否受到侵害的關(guān)鍵要素。在司法實踐中,法院一般通過“可識別性”標準而確定是否侵害個人信息權(quán)益,只要侵害了具有可識別性的信息,基本上就判定侵害了個人信息權(quán)益,從而根據(jù)當事人的訴求進行利益衡量。實踐中,對于賠償經(jīng)濟損失等,根據(jù)相應(yīng)侵權(quán)責任法規(guī)則,會給予一定程度的支持;而對于精神損害,卻往往由于客觀上難以認定,而較難支持??陀^而言,將個人信息保護放置于《民法典》之內(nèi),盡管在一定程度上與其他國家或地區(qū)的個人信息保護規(guī)則體例并不相同,但卻恰恰在相當程度上緩解了如何確定損害等問題,更有益于實現(xiàn)對當事人的救濟。
4.因果關(guān)系
因果關(guān)系作為侵權(quán)法上的重要命題之一,即侵權(quán)行為造成損害結(jié)果的發(fā)生在通常情況下存在可能性。在侵害個人信息的情形中,有的因果關(guān)系鏈條并不復雜,大多是基于個人信息處理者這一特定主體的概括的“一因一果”,這就使得行為與損害結(jié)果之間關(guān)系的判定難度不高。在有的案件中,法院根據(jù)民事訴訟高度蓋然性證明標準而對因果關(guān)系進行判定。(40)參見北京市海淀區(qū)人民法院(2015)海民初字第10634號民事判決書;北京市第一中級人民法院(2017)京01民終字第509號民事判決書。但當存在復數(shù)信息控制者參與同一個人信息的處理活動而發(fā)生個人信息泄露時,受害人往往無法證明哪一主體是具體加害人,此時應(yīng)當采用共同危險行為制度加以解決。(41)參見程嘯、阮神裕:《論侵害個人信息權(quán)益的民事責任》,載《人民司法》2020年第4期,第64頁。當然,因果關(guān)系也是侵害個人信息責任中的必要構(gòu)成,應(yīng)在個案判定中予以重視。
個人信息處理者的行為造成個人信息主體損害,應(yīng)承擔損害賠償責任。概括而言,包括停止侵害、排除妨礙、消除危險、消除影響、恢復名譽、賠禮道歉等責任形式。對于停止侵害、排除妨礙、消除危險等幾者不難理解,實際上在侵害知情權(quán)等一系列個人信息主體權(quán)利之時都可能會普遍適用。對于如何確定賠償數(shù)額,原則上根據(jù)《民法典》第1182條確定。在前述相關(guān)案例中,法院支持當事人經(jīng)濟損失賠償?shù)牟辉谏贁?shù)。通常情況下,當事人請求賠償經(jīng)濟損失的數(shù)額也較小,往往只有1元、2元等,(42)參見同前注〔15〕,俞某訴北京樂某達康科技有限公司等網(wǎng)絡(luò)侵權(quán)責任糾紛案。相當程度上具有一定象征意義。
對于消除影響、恢復名譽和賠禮道歉等非金錢賠償,2014年頒布的《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第16條有所規(guī)定。根據(jù)該條,對于侵害個人信息的非物質(zhì)性損害的賠償應(yīng)與侵權(quán)的具體方式和所造成的影響的范圍相當。比如在2014年羅某訴某保險公司隱私權(quán)糾紛案中,法院認為,保險公司侵害了羅某的隱私權(quán),判令保險公司向羅某賠禮道歉并賠償羅某精神損害撫慰金1元及相關(guān)費用。(43)參見湖南省郴州市湖北區(qū)人民法院(2014)郴北民二初字第947號民事判決書。當然,由于當時關(guān)于個人信息保護的意識并不明顯,因此主要按照隱私權(quán)這一典型的人格權(quán)進行裁判并判以精神損害賠償。而在龐某訴某航空公司案中,當事人雖然并未證明實際受有精神損害,但卻在二審時改判支持了當事人關(guān)于賠禮道歉這一訴訟請求。(44)參見同前注〔40〕。可見,在個人信息侵權(quán)案件中,對于非金錢賠償方式也具有相當?shù)闹С挚臻g。
個人信息屬于個人,理論上存在一個概括的、完全的權(quán)利,但是由于個人信息處理活動的存在,就使得個人信息主體所享有的抽象的完整權(quán)利被分解成數(shù)種具體權(quán)利——涵攝全過程的知情權(quán)、決定權(quán),以自決意志為核心而外化的查閱權(quán)、更正權(quán)、刪除權(quán)等權(quán)能。(45)參見周友軍:《民法典規(guī)定的隱私權(quán)和個人信息保護》,載《經(jīng)濟參考報》2020年8月4日第A08版。對于這些權(quán)利的保護,既仰賴公權(quán)力之管制與治理,同時亦可根據(jù)民事主體權(quán)利保護之本旨而給予救濟,兩種方式互相補充,相輔相成。這些權(quán)利在一定程度上可以類型化,并在類型化的基礎(chǔ)上給予不同方式的救濟。需要說明的是,侵害這些權(quán)利的民事責任與本文第二部分討論的侵害個人信息的民事責任有一定交叉,這些權(quán)利系請求權(quán)基礎(chǔ),但由于這些權(quán)利被集中規(guī)定于《個人信息保護法草案》專章之中,因此有必要予以集中討論與回應(yīng)。
世界范圍內(nèi)個人信息主體的權(quán)利形式上大同小異,但因各國自身社會、法律和文化等傳統(tǒng)不同,而在個別權(quán)利和實施向度上有所不同。中國當前個人信息立法中,與GDPR相比,個人信息主體的大部分權(quán)利基本相似,只有在是否規(guī)定數(shù)據(jù)可攜權(quán)和被遺忘權(quán)等方面而有所不同??傮w而言,中國法上的個人信息主體的權(quán)利體系呈現(xiàn)如下特征。
第一,“信息自決”的主線貫穿。如本文第一部分所述,中國個人信息立法脈絡(luò)中并無“信息自決”的觀念,但本次個人信息立法之時創(chuàng)設(shè)了此種觀念,并在知情同意(同意撤回)、決定權(quán)、查閱權(quán)、復制權(quán)、更正權(quán)、刪除權(quán)等方面予以貫穿體現(xiàn)。由此,在個人信息處理活動中,但凡侵害信息自決的,則均需承擔相應(yīng)法律責任,即便是在《民法典》第1036條關(guān)于處理個人信息的免責事由方面,也對個人信息主體的同意予以強調(diào),以及即便是對自然人自行公開或者其他已經(jīng)合法公開的信息,但是該自然人明確拒絕的也不得處理等。當然中國立法并非GDPR的翻版,而是根據(jù)中國實踐發(fā)展而建立相應(yīng)信息自決觀念。
第二,作為核心權(quán)利的知情權(quán)。與上述“信息自決”觀念緊密聯(lián)系,知情權(quán)系體現(xiàn)信息自決觀念的重要基礎(chǔ)性、核心權(quán)利。只有在個人信息處理活動中,將“知情”作為核心,才能充分保障信息自決。因此,知情權(quán)并非一個完全僅靠公法管制或?qū)€人信息處理者進行數(shù)據(jù)治理的權(quán)利,而是充分保障信息主體個人信息權(quán)益的基礎(chǔ)。
第三,圍繞“知情”的系列權(quán)利。只有在信息自決與知情同意的基礎(chǔ)上,才能進一步衍生出查閱權(quán)、復制權(quán)、更正權(quán)與刪除權(quán)等,這些權(quán)利并非簡單的程序性權(quán)利,而是體現(xiàn)知情權(quán)與決定權(quán)等基礎(chǔ)權(quán)利的外在表現(xiàn)。在這些權(quán)利可能受到侵害之時,也應(yīng)給予充分的救濟。
知情權(quán)在各類主體權(quán)益保護中都是一項基礎(chǔ)性權(quán)利。從知情同意的本源來看,其根本上是一種主體交往之時設(shè)定法律關(guān)系的前提與基礎(chǔ)行為,同時該行為還具有“限權(quán)與自我義務(wù)設(shè)定”之效果。(46)See Peter McCormick, Social Contract: Interpretation and Misinterpretation, 9 Canadian Journal of Political Science 63 (1976). 轉(zhuǎn)引自[美]艾瑞克·托馬斯·韋伯:《新舊社會契約論》,毛興貴譯,載《國外理論動態(tài)》2012年第5期?!爸椤狻弊鳛橐环N行為模式,其被應(yīng)用于諸多社會關(guān)系建構(gòu)之中,涉及政治國家、醫(yī)療領(lǐng)域、消費者保護與個人信息保護等。從正義價值維度考察,在美國消費者法上,“選擇知情”(權(quán))被歸于程序正義之中。(47)Gretchen Larsen & Rob Lawson, Consumer Rights: An Assessment of Justice, 112 Journal of Business Ethics 515, 524 (2013).而決定權(quán)則實際上“被吸收”于知情權(quán)之中,比如在我國臺灣地區(qū)的“請領(lǐng)身份證捺指紋案”中明確,保障人們決定是否揭露其個人資料,及在何種范圍內(nèi)、于何時、以何種方式、向何人揭露之決定權(quán),并保障人們對其個人資料之使用有知悉與控制權(quán)即數(shù)據(jù)記載錯誤之更正權(quán)。(48)參見王澤鑒:《侵權(quán)行為》(第三版),北京大學出版社2014年版,第157頁。由此可見,知情權(quán)、決定權(quán)與其后的一系列權(quán)利內(nèi)在存在聯(lián)系。對于決定權(quán),主要吸收于知情權(quán)之中,并與之一并討論。
在個人信息保護之中,知情權(quán)是一個貫穿全程、保證后續(xù)個人信息處理行為和活動具有正義價值的基礎(chǔ)權(quán)利。在消費者法上,消費者的知情權(quán)體現(xiàn)為商品或服務(wù)的標簽“客觀化”,對侵害消費者知情權(quán)的救濟,在已有大量案例中,通常是要求經(jīng)營者承擔合同上的義務(wù)和責任。(49)參見姚佳:《消費者法理念與技術(shù)的重構(gòu)》,法律出版社2019年版,第84-89頁。而個人信息保護之中的知情權(quán)體現(xiàn)在同意、同意撤回以及后續(xù)的一系列權(quán)利,對于此類知情權(quán)的侵害,通常要求個人信息處理者履行一定法定義務(wù),基本上并非通過合同義務(wù)與責任予以救濟。
從實踐來看,是否侵害“知情同意”權(quán)利較容易辨識。比如在有的案件中,用戶不在某APP上添加關(guān)注即能看到好友讀書信息,而APP自動為用戶添加關(guān)注,此種情形顯然需要顯著提示用戶并獲得明確同意。(50)參見黃某訴某科技有限公司等隱私權(quán)、個人信息權(quán)益網(wǎng)絡(luò)侵權(quán)糾紛案,(2019)京0491民初字第16142號民事判決書。在有的案件中,用戶沒有選擇“授權(quán)”選項,則當然可認定用戶并未同意,因此后續(xù)的個人信息處理活動就可能不具有合法性。(51)參見同前注〔15〕,俞某訴北京樂某達康科技有限公司等網(wǎng)絡(luò)侵權(quán)責任糾紛案。從知情同意在各領(lǐng)域的發(fā)展與實踐可見,在數(shù)字經(jīng)濟時代,知情同意更具有確定性與外顯性,其也成為一個“大網(wǎng)”,使得未經(jīng)授權(quán)的個人信息處理行為基本上無法逃逸,當然,符合《民法典》第1036條規(guī)定的行為有所例外。
對于侵害個人信息主體的知情權(quán)的民事責任,應(yīng)包括停止侵害、刪除個人信息等;如當事人能夠證明自己受有精神損害,可請求侵權(quán)的個人信息處理者承擔恢復名譽、消除影響、賠禮道歉等民事責任。
在“信息自決”的貫穿下,GDPR規(guī)定了個人信息主體的一系列權(quán)利,中國《民法典》和正在制定的《個人信息保護法》也規(guī)定了一系列個人信息主體的一系列權(quán)利。中國個人信息保護立法為何在吸收了立法理念與諸多規(guī)則之后,在個人信息主體權(quán)利方面卻并沒有完全借鑒?立法者的釋義書對此也有所提及,《民法典》第1037條中的刪除權(quán)并非GDPR所規(guī)定的“被遺忘權(quán)”,由于各方對歐盟的“被遺忘權(quán)”爭議極大,因此本法對此未作規(guī)定。(52)參見黃薇主編:《中華人民共和國民法典釋義(下)》,法律出版社2020年版,第1931頁。的確,個人信息主體的權(quán)利體系與一國法律發(fā)展脈絡(luò)緊密相關(guān),較難在各國和各地區(qū)完全達成一致。
《民法典》第1037條規(guī)定了個人信息主體的查詢權(quán)、復制權(quán)、異議權(quán)、更正權(quán)和刪除權(quán)等,這幾種權(quán)利也分別是以人格權(quán)請求權(quán)的方式而出現(xiàn),在《個人信息保護法草案》中也被進一步細化。這幾個權(quán)利呈現(xiàn)出一定特征,即并非一次性行使的權(quán)利,可能會針對不同信息內(nèi)容而反復行使,這就可能產(chǎn)生一定價值沖突——如何既保障個人信息主體有效行使權(quán)利,同時又能實現(xiàn)與個人信息處理者之間的利益平衡。對于查詢權(quán)、(53)參見程嘯:《我國〈民法典〉個人信息保護制度的創(chuàng)新與發(fā)展》,載《財經(jīng)法學》2020年第4期,第46頁。復制權(quán)等權(quán)利,可借鑒《征信業(yè)管理條例》相關(guān)規(guī)定,即個人信息主體的查詢權(quán)和復制權(quán)的行使在一定程度上可以受到次數(shù)限制。而對于異議權(quán)和更正權(quán)而言,則需由個人提出相應(yīng)證據(jù)或要求予以補充更正。
在上述幾個權(quán)利之中,相對而言屬于一次性行使的,主要是刪除權(quán)。第1037條第2款規(guī)定,自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的,有權(quán)請求信息處理者及時刪除?!秱€人信息保護法草案(一審稿、二審稿)》進一步規(guī)定了個人信息處理者應(yīng)主動刪除或根據(jù)個人請求刪除個人信息的具體情形。
對于侵害個人信息主體的查詢權(quán)、復制權(quán)、異議權(quán)、更正權(quán)和刪除權(quán),又將如何救濟?具體而言,對于查詢權(quán)、復制權(quán)的救濟,個人信息處理者應(yīng)基于請求承擔查詢、復制等行為義務(wù);對于異議權(quán),個人信息處理者則有義務(wù)予以更正或解釋;對于刪除權(quán),個人信息處理者則應(yīng)停止侵害、刪除個人信息等。對于可能產(chǎn)生的經(jīng)濟損失或精神損害,則應(yīng)根據(jù)具體情況,由個人信息處理者承擔賠償責任。
從世界范圍來看,美國、歐盟與中國對個人信息保護立法呈現(xiàn)出不同的價值選擇與立法體例選擇,著眼于突出各自的個性與特性。然而,如施瓦茨所發(fā)現(xiàn)的,實際上美國和歐盟關(guān)于個人(信息)隱私的理念也并非完全對立與沖突,德國聯(lián)邦憲法法院和德國聯(lián)邦法院在1973年和1995年的相關(guān)案件中引用了沃倫和布蘭代斯的《論隱私權(quán)》一文中的“不受干擾的權(quán)利”等內(nèi)容,歐洲人權(quán)法院也多次援引這一重要的概念。(54)Bundesgerichtshof; Budesverfassungsgericht; Von Hannover v.Germany; quoted from Paul M.Schwartz, The EU-U.S.Privacy Collision: A Turn to Institutions and Procedures, 126 Harvard Law Review 1966, 1970-1971 (2013).可見,兩大法系也在對隱私和個人信息問題的認識上不斷實現(xiàn)溝通。同樣地,中國個人信息保護立法也在立法理念、權(quán)利體系、義務(wù)體系與法律責任上嘗試與兩大法系實現(xiàn)一定溝通與融合。
在《民法典》之后,《個人信息保護法草案(一審稿、二審稿)》不斷推出與完善之際,著眼于個人對自身信息的自決與控制,權(quán)利實現(xiàn)與救濟,是個人信息保護在現(xiàn)代之于個人人格實現(xiàn)的新的表現(xiàn)形式。當然,本文主要聚焦于個人信息處理者的民事責任,對于個人信息處理者而言,不僅僅包括民事責任,還涉及行政責任與刑事責任。個人信息保護立法在法律責任方面,將從多維度保護個人信息,以此才能實現(xiàn)對個人信息主體的救濟。人類經(jīng)歷社會變遷之時,在不同時期需要實現(xiàn)掌控不同物質(zhì)的自由,而進入信息社會與智能時代,人們所要追求的就是掌控信息的意志自由,這一自由也即拉德布魯赫與星野英一所言的人格的發(fā)展,毫無疑問,這種人格的發(fā)展本質(zhì)上更是一種人的發(fā)展。