本文是一篇民商法论文,大数据时代,各国对个人信息的保护程度体现了一国法治文明和信息文明的发展状况。准确界定个人信息概念的边界,确立独立的个人信息权是一国构建个人信息法律保护体系的基础。本文就《民法总则》第 111 条引出的一系列问题进行了讨论。在个人信息概念的界定上,为避免范围过宽阻碍信息的自由流动,应对其核心判定标准“可识别性”要进行人格利益之合目的性限缩,并在具体案件中结合相关信息类型和应用场景作个案判断;通过对个人信息进行分类,明确不同信息类型的保护力度和权利归属;在个人信息权的法律属性上,认为其应该是一项具体人格权,不能等同于隐私权,该权利下应包括知情、查询、删除、更正等多项子权利。
第一章 引言
大数据时代,数据已成为经济发展和社会生产的重中之重。近年来,全球数据呈爆发式增长,大量信息汇聚,大数据产业发展日新月异,由此也推动了整个世界经济和社会的发展。与此同时,数据安全风险日益凸显,特别是个人信息泄露和滥用问题日趋严重,主要表现为过度收集、擅自披露、擅自提供以及非法买卖个人信息等。保护数据安全特别是个人信息安全,已成为当今世界各国需要面对的共同挑战。此外,大数据产业的发展离不开对个人信息的收集与利用,比如,掌握了某个人的消费记录,就可以分析其购买偏好和消费需求,从而定向推送产品广告;掌握了某个人的健康状况,就可以向其推荐特定药品和医疗信息诸如此类的有效营销。个人信息重要的数据价值使得其成为多方争夺的稀缺资源,个人信息主体与信息收集利用者分别从不同角度对个人信息主张权利。如何在自然人的个人信息保护与利用之间取得平衡成为当前的重要课题。
在社会公众对自身个人信息安全问题越来越关注的背景下,我国针对个人信息保护和网络运营者的责任义务等问题相继出台了《网络安全法》、《民法总则》第 111 条等一系列有关的法律法规。《民法总则》第 111 条规定了自然人的个人信息受法律保护,并划定了网络运营者信息收集利用行为的界限。这一规定的出台使得个人信息保护的议题进入讨论高峰,由于该条设在“民事权利”一章下但其采用的却是“个人信息”而非“个人信息权”的表述,因而对于这一条款该如何理解引发了一系列讨论:如“个人信息”的概念该如何界定;个人信息应当是一项民事权利还是仅仅为一项民事利益;个人信息若是一项民事权利其法律属性又该如何,其权利内容应包括哪些等等。这些问题的讨论和解决对于个人信息保护具有重要意义,也将为后续的个人信息保护立法提供重要的参考价值。
........................
第二节 美国个人信息保护之隐私权模式
一、隐私权模式的起源与发展
域外在“隐私权”的框架下进行个人信息保护以美国最为典型。在美国法里,“隐私”一词绝非仅仅指涉那些不欲为人所知的隐密信息。确切地说,当今美国法中的隐私概念是一个涵摄了“人格自由”、“人格尊严”与“人格独立”的十分宽泛的概念范畴,当然隐私一词所容纳的法益之广并非自来如此,其范域历经了不断变化和拓展。①首次提出隐私权概念的是美国律师萨穆埃尔·瓦伦和路易斯·布兰代斯,发表了在世界隐私权发展史上具有里程碑意义的《The right toprivacy》一文。该文着眼于主体之自由主张和人性尊严的利益将隐私权界定为“不受外界侵扰”与“得以独处”的权利。其后,民法大家多布斯(Dobbs)主张,隐私应是人类充分发展之必要,是保障个人自治和自由的关键,故此应对其加以珍惜和重视,进而提出,隐私权主要包含以下利益:名字和肖像(name andportrait)、独处(seclusion)、感情性思想(sentimental associations)、个人尊严(personal dignity and self-respect),从而维护其作为一种“独处”的权利。②而另一民法大家 Prosser 教授将美国法中的隐私权概念建立于个人之人格,对隐私权进行了抽象的归纳,并极力强调隐私权在美国应该是一个开放而发展的概念,其应该一直保有空间将其他未列举的利益包含进去。③随着隐私权观念的发展,美国法上甚至发生了人格与隐私的重合。王泽鉴先生曾在《人格权法》一书中直言,“美国法对人格保护最大的贡献就在于创设了 Right of Private(隐私权)。”④上述两位美国学者的权威观点及分类被美国的非正式法律文件《美国侵权法重述》所肯定。
........................
第二章 个人信息与个人信息权
第一节 个人信息
一、个人信息的概念
要对个人信息进行保护,首先要明确个人信息的概念,划定出明确的界限。囿于各国法律传统、规制模式及欲求描述事物之侧重点不同,有的将个人信息称为“个人数据”、“个人数据信息”、也有的将个人信息叫做“个人资料”。但从各国的规定看,其所欲规范的对象范畴基本趋于一致。我国通常称为“个人信息”,本文也遵从此称谓。我国关于个人信息概念的界定,最具代表性的莫过于2016 年出台的《网络安全法》。根据《网络安全法》的规定,个人信息是指能够单独或者与其他信息结合识别自然人身份的各种信息。此外在《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《个人信息保护指南》)和《电信和互联网服务用户个人信息保护定义和分类》中,也都将个人信息界定为能够单独或者与其他信息结合识别个人的信息。
从比较法上看,欧盟作为世界个人数据保护法的领路人,其对于个人信息的保护程度较高,对于个人信息概念的界定比较抽象且宽泛。根据欧盟《一般数据保护条例》的规定,“个人数据”是“与任何已识别的或可识别的信息主体(自然人)有关的信息”。其是将个人信息界定为“已经识别”和“可能识别”两种,并提供均等保护。与欧盟宽泛的个人信息概念相比,美国对于个人信息则采取限缩解释政策,以“可识别个人身份的信息”作为保护界限,在解释适用中,仅将个人信息局限在可直接识别的范围内。在个人信息概念的界定上,无论是我国还是欧美等国家,基本形成了以“可识别性”为核心判定标准的共识。而“可识别性”作为个人信息保护中最为核心的概念,其标准的界定却不是一件容易的事情。范围过宽不利于信息的自由流动,而范围过窄又无法充分保护信息主体的合法利益。
.......................
第二节 个人信息权
一、个人信息权的法律属性
(一)关于个人信息权的性质为何的问题,学界存在多种学说。
1.宪法人权说。此种说法多见于国际组织的立法中,如美国的个人信息保护就是基于宪法上的隐私权,2000 年出台的《欧洲人权宪章》也规定了个人信息权。此观点在我国并不流行,因为该学说并不符合我国国情和司法体系。个人信息权如要作为一种基本人权,与之相对应的要有宪法法院或宪法裁判空间,而我国的《宪法》在司法实践中并不能作为裁判依据。
2.一般人格权说。此学说以德国最为典型。由于我国与德国同属大陆法系,德国法对学术界影响较深,因此我国有不少学者认可一般人格权模式。马俊驹教授认为,个人资料体现是人格尊严、自由、平等、人身完整等基本利益,其所承载的人格利益已超出了具体人格利益所能涵盖的范围,因此个人信息权应属于一般人格权范畴。另外,也有不少学者反对此观点,理由有二:(1)一般人格权具有不确定性,其并不清晰的内涵在适用时要依赖法院的解释,这种过于依赖裁判者个人的价值衡量情况会增加裁判结果的不确定性。(2)在判定侵权责任时,由于信息主体处于弱势地位,对个人信息权应采用过错推定原则,适用举证责任倒置的相关规定,由信息控制者举证证明自身行为合法无过错。而一般人格权只能采取过错原则,实行“谁主张,谁举证”。②鉴于双方的不平等地位,让信息主体证明信息控制者的过错会加重其证明责任与维权的成本,这显然是不合理的。
..........................
第三章 个人信息法律保护的域外考察.....................11
第一节 美国个人信息保护之隐私权模式 ...........11
第二节 欧盟和德国的一般人格权模式.......................13
第三节 美国、欧盟模式对我国个人信息保护的启示..................15
第四章 网络运营者“隐私政策”披露的局限.........................18
第一节 “隐私政策”未能满足现行法规定的具体要求 .................18
第二节 隐私政策中“告知同意原则”的现实困境.......................21
第五章 个人信息保护的完善路径.......................25
第一节 建立个人信息分类保护制度......................25
第二节 实施个人信息安全报告强制披露制度..................27
第五章 个人信息保护的完善路径
第一节 建立个人信息分类保护制度
在面对个人信息保护和利用都亟待强化的需求下,以一定标准对个人信息进行分类保护和利用,从而实现保护和利用的多赢不妨为一个可行的方案。
一、强化个人敏感信息保护和个人一般信息利用
关于个人敏感信息,国际上常见的认定标准有“歧视”标准和“基本权利面临高侵害风险”标准。“歧视”标准是指当此类个人信息遭到泄露或者不当使用时,会使信息主体遭受到不公平的待遇,那么此类个人信息就可以认定为个人敏感信息。比如,泄露宗教信仰信息可能会遭受宗教歧视,泄露性生活信息可能会给信息主体带来生活上的非议。正因如此这些信息常常被归入敏感个人信息范畴。宪法规定的基本权利,被认为是人之所以为人的最重要的权利内容,如人格尊严、生存权、发展权等。因此,“基本权利面临高侵害风险”标准是把那些泄露后会危及基本权利的信息界定为敏感个人信息。比如,欧盟《一般数据保护条例
