原创|关于“个人信息保护”的几点思考
新浪财经2020-03-23 12:20
来源:肖飒lawyer
无论你愿意或者不愿意,我们的信息都已经被经济大潮席卷。大数据已经成为社会运行、商业发展、科学研究等领域重点研究的课题。数据聚合了个体化的特性,新媒体行业通过信息聚合与算法推荐的方式对用户的行为进行预测分析,从而实现精确性和高效率的商业盈利。
信息技术为我们带来便利的同时,公民的个人隐私、商业秘密、国家数据安全等信息都存在潜在的风险。
对个人信息而言,企业对个人信息的过度收集和不当利用很可能会侵犯个人安全、引发财产风险的可能;甚至存在危害社会公共安全的危险。
保持信息的利益属性,平衡个人信息安全与使用者的经济利益,就成了信息时代下“个人信息保护”的重要命题。而讨论天平的“平衡”前,我们首先得看看:手里的“砝码”,也就是“信息安全”和“利益”,究竟意味着什么?
内 容 摘 要
1.个人信息定义:隐私 VS 可识别;
2.个人信息权利:财产权 VS 人格权;
3.个人信息保护:“利益”平衡的两个方面。
个人信息定义:隐私 VS 可识别
关于个人信息,目前存在的两种典型定义模式分别是“隐私型”和“识别型”。
隐私型
在美国,有学者提出将个人信息定义为敏感、并且不想被其他人泄露、知晓的信息。这种定义模式下,对个人信息安全的保护,本质上是通过对隐私权的延展来实现的。因而这种个人信息的定义涵盖范围极其广泛。在立法上,美国也确通过法案方式,循序渐进地将隐私权转变为信息隐私权。
由于个人信息累计达到一定的程度,就会形成与行为人匹配的数字人格;基于数据共享网络,就被公开并能够他人所获知;所以,个人信息的保护可能通过扩展人格权范围的方式得到保护。
在我国立法中,《民法典(草案)》将自然人的“电子邮箱地址”和“行踪信息”纳入个人信息的范围;的确体现了立法者对人身安全高度敏感信息的保护目的。
但在我国,隐私权只是一种一般的具体人格权;因而在将个人信息纳入隐私范围进行保护时,很难像美国一样“延伸”“扩张”;尤其是当公民个人的隐私权利益与其他公共利益发生矛盾时,如果不通过特别立法另行规定,法律提供保护的范围将十分局限。
识别型
识别型的定义又可分为两种定义方式:概括型和列举概括并用型。
德国在《联邦个人资料保护法》的对个人资料进行的定义是“概括型”定义:“凡是涉及特定或可得特定的自然人相关所有属人或属事的个人信息。”
而我国台湾地区“电脑处理个人资料保护法”中则采用了“并用型”规定:“个人资料指自然人的姓名、出生年月、身份证统一编号、婚姻、家庭、健康、财务情况、社会活动等足以识别的个人之资料。”
我国《网络安全法》第76条对个人信息进行了明确的规定:“个人信息是指以电子或者其他形式记录的,并且能够单独或者与其他信息相结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”可见,我国法律及司法解释对个人信息采取了概括和列举并用型规定。
根据我国法律规定,个人信息的核心范围是:单独直接地识别自然人个人身份的信息。
此外,法律就这一核心范围进行了三方面的扩展:
①不仅限于能够单独识别,还包括能够通过与其他信息结合识别个人身份的信息;
②不仅限于直接方式,还包括通过间接或者其他方式识别信息主体的信息;
③不仅限于通过信息已经识别出具体个人的情况,还包括通过信息可能识别到具体个人的情况。
通过以上对比,不难发现:识别型更能清晰概括地明晰个人信息的特定范围和规范地保护个人信息的主体权益,并且有效保护个人免遭其他不当信息处理的危害;具体而言,有以下三个方面的理由。
第一,“识别”是个人信息的实质要素。当信息不具有可识别性时,由于不能特定到个人生活,自然不具有隐私性的特征;识别性标准的保护能够涵盖隐私性标准的保护。
第二,隐私型规定中,对个人信息的保护范围依托于具体人格权。由于保护的视角较为单一,也容易遗漏特定个人信息。但识别型的规定是对保护范围的“逆向规定”,识别的过程本身就是保护的对象;因而即使在列举中遗漏了行为类型,也能在方法上进行补充。
第三,隐私型的规定不利于数据技术的发展和使用。在大数据时代,信息的公开使用成为实现技术目的的必须途径。而隐私保护的视角下,对相关信息的收集、使用就都将面临严格的审查标准;如今常见的脱敏、去识别性后使用等合法使用方式,都可能面临合法性危机;无疑不利于大数据技术实现其服务机能。
个人信息权:财产权 VS 人格权
个人信息作为“一般人格权”,其法律属性存在争议。一般而言,存在“财产权利”vs“人格权利”的争论。
认为个人信息权是一种人格权的观点下,个人信息权可能被作为“一般人格权”或“隐私权”来理解。将个人信息权作为作为“隐私权”理解的观点与前文分析的“隐私型”定义相一致。隐私权是自己的私人生活安宁与私人信息依法受到保护,不被他人侵扰、知悉、收集、利用和公开的一种人格权。
随着隐私范围的扩张,逐渐出现了“信息隐私权”这一概念,在隐私权的保护对象“隐私”中,包含了信息隐私的内容。
在联邦国会1974年通过的《隐私法案》和1977年颁布的《联邦数据保护法》中,“个人信息”被作为一种隐私权进行了规定。在《数据保护法》1990年修改中,个人信息传输中造成的权利侵害被直接作为人格权侵害的一种类型进行了规定。这种隐私权说是关于个人信息权利最早的学说,对后来个人信息权的发展造成了深远的影响,也为信息人格权说奠定了基础。
但是,以欧盟代表的其他的国家逐渐认识到,隐私权与个人信息权的保护对象和保护目的都有所差异。个人信息作为人格权,许多情况下并不必然属于隐私权范畴。
个人信息体现的不单单是隐私秘密和人格尊严,也体现个人信息在使用、收集、传播等过程中不可转让、剥夺的专属人格特性。
因而在《联邦数据保护法》中,重新用“个人数据保护的权利”对个人信息权进行了定义;最终与“信息隐私权”相区分。
将个人信息权作为人格权保护,又存在作为一般人格权保护,和作为具体人格权保护两种途径。一般人格权是广义上关乎人格尊严的权利,体现的是抽象的人格利益,其权利内容具有不确定性的特征;一般而言的人格自由、平等、独立等权利,都属于一般人格权的保护对象。而具体人格权则具有确定性的特征,一般具有法律规定的类型性;例如姓名权、名誉权、隐私权等,都属于法律规定的具体人格权。
个人信息权只有特定的权利和内容,才能更加全面的保护自然人的人格尊严,所以更应将个人信息作为一项独立的人格权,但是应协调个人信息在人格利益和信息共享之间的平衡。
这一学说赋予个人信息独立的人格权也就是在个人信息的传播过程中能够有决定权而排除其他主体的干预。随着信息时代的发展,这种独立的人格权还需要进步一步完善和补充的。
目前在我国,2017年的《民法总则》第111条规定了个人信息作为一项私法性的民事权利予以保护,与其他民事权利区别出来。根据这种规定形式,可以认为我国对个人信息的保护的侧重点是:民事主体基于法律人格而享有的、以人格利益为客体、为维护其独立人格所必须的权利。
除了将个人信息权理解为人格权的观点,还存在将个人信息权作为财产性权利保护的观点。
将个人信息权理解为财产性权利,其核心理由在于:
第一,个人信息具有一定经济效益和商品价值;
第二,对个人信息的收集和精确分析,可以实现用户需求的精确化,准确满足用户需求;以此能够实现更大的商业利益。
第一点特征中,个人可以通过对个人信息权的行使取得收益;
第二点特征中,企业通过对个人信息的流转、使用,可以获得间接的收益。
这种意义上,个人信息是一种近似于商品的“无体物”;享有个人信息权的人,有对个人信息进行支配、控制的排他的权利;这种对个人信息的占有、使用、处分的权利,和排他支配的特征,正是所有权所具有的特征。
因此,有观点认为将个人信息作为所有权这种财产权利保护具有合理性。美国有学者认为,通过“所有权”理论赋予个人信息财产价值,将有利于解除个人信息的信赖危机。
通过上述总结,不难得出结论:将个人信息作为一种具体的人格权利进行保护具有优势。理由主要有两点:
首先,就财产权利说而言,个人信息保护与所有权保护是否能够契合,值得理论上的深入检讨。个人信息本身并不直接承载着财产利益,一旦被赋予财产属性时,更加激励了个人信息的流转,增大了信息侵权的风险。
其次,隐私权说也具有明显的局限性。隐私权是一种消极的防御性权利,权利人面对侵权只能得到事后的保障;
并且,个人信息在互联网环境中一旦被公开就不能再纳入隐私权的范畴得到保护,信息的二次使用、流转、处理等将很难得到保障;
最后,隐私权仅保护个人性质的信息,对不具个人性质、隐私性质的生物信息等其他信息不能起到有效的保护作用。
将个人信息权作为独立的具体人格权进行保障,相对上述两种观点而言具有较高的合理性。
但由于个人信息权具有区别于传统民法意义上“人格权”的特征,对于个人信息权的保护仍然有区别于“具体人格权”的特征。只有通过独立的个人信息权的方式,才能在传统意义上的人格权的保护之外,兼顾个人信息保护的多种需求和全新特征。《民法总则》将个人信息作为一种私法性权利的规定方式,不得不说是对个人信息权多种特征和多种保护需求的权衡。
个人信息保护:“利益”平衡的两个方面
传统的人格权就具有不可剥夺、不可转让等特性,并且一般不具有财产属性。
个人信息权一方面具有传统人格权与人格紧密联系不可分割的特征,一方面也具有与财产价值紧密相关的特性。在保障个人主体权益的同时,一方面要注意其传统人格权意义上的特征;一方面必须要注意其必须在其具有财产特征的一面。
《民法总则》将个人信息作为一种私法性权利的规定方式,可以说正是对个人信息权多种特征和多种保护需求的权衡。
下面就这种平衡具有的几个特征进行简要分析:
第一个特征是“财产利益”的特征。
就财产利益特征而言,一方面表现为对信息主体自身对“财产利益”的保有;另一方面表现为自由流转于信息权利主体和其他商业主体之间的收益。就“收益”的特性,又可以分为“私益”的特征和“公益”的特征。
就私益特征而言,通过个人信息的流转,商业主体能够实现对提供的服务实现“定制”;进而在信息主体与商业主体之间实现财产性利益的共赢。
而就公益特征而言,个人信息在社会各个领域的适用中都体现了其公共管理方面的价值。信息主体在社会交往中利用自己的信息与他人或者媒介交互获取信息,正是人与人之间维持社会关系和交往的重要方式。
依据于对信息的认知、控制和决定,信息主体得以对自身和他人的行为进行评价,进而以此为基础,在复杂的社会关系中形成合理、客观的决断。
就个人信息的私益特征而言,在进行个人信息保护的同时,对个人信息的流转进行规范化,保障信息的真实有效和交易的公开透明,就是有必要的。
而就“公益”特征而言,保障个人信息与信息主体的真实性,也成为尊重信息主体人格尊严的前提条件和权利基础。基于上述特征,“合法”、“安全”、“透明”的信息传播,就成了“个人信息”保护的核心和重点。如何就“人格利益”和“财产利益”的利益判断进行权衡,也成为个人信息保护研究的重点问题。
第二个特征是“舆论自由”的特征。
这一特征表现在个人信息保护立法中,主要是个人信息与网络经营者的信息自由的关系问题。就“自由”的权利属性而言,一般符合社会道德和人类发展、又能够得到社会“一般人”认可的的自由,即具有法律上的相当性和正当性;如果正当的利益经过国家法律制度的承认,就能够作为法定的自由权进行保护。
个人信息权的法律保护与新闻自由、舆论监督又同是现代社会发展的产物;就“开放的社会系统”而言具有同质性,标志着社会文明的发展。
两种制度具有相同的目的,都在于维持社会的稳定和保证个人在社会中的自由;两种制度都强调信息主体对信息的自由支配和自己的风险负担;两者之间的具体权衡问题一方面当然地成为了个人信息保护制度构建的重要命题;一方面也就成为对现代社会的重大考验。
如上,感恩读者!
举报/反馈
0
0
收藏
分享
