《个人信息保护法》是我国第一部个人信息保护方面的专门法律。该法首次提出了“个人信息权益”的概念,并以保护个人信息权益作为立法目的之一。这是在我国《民法典》个人信息保护规定基础上的发展和完善。
个人信息权益的民法内涵
个人信息的制度性保护发端于20世纪60年代计算机和自动化信息处理技术的发展对人格所造成的威胁。个人信息保护制度发展至今,对于个人信息上承载的利益的多样性、多重性,学界已有共识。正是由于个人信息所承载的是多重利益的集合体,而非单一的人身利益或财产利益,不能简单地将个人信息权益归类为某种财产权或人格权,因此,《个人信息保护法》才采取了“个人信息权益”的概念。
就民法而言,个人信息上承载的多种利益中,已有相当一部分被《民法典》所规定的具体人格权加以保护。例如,个人信息上隐私利益、私人生活安宁的利益等,被隐私权所保护;自然人的姓名也属于个人信息,但是,自然人依法决定、使用、变更或者许可他人使用自己的姓名的利益,属于姓名权保护的对象。至于自然人对其肖像的支配利益,即依法制作、使用、公开或者许可他人使用肖像的利益,则受到肖像权的保护。如果非法泄露或使用个人信息的行为侵害了上述人格利益,则该行为就是侵害隐私权、姓名权或肖像权的侵权行为。排除这些已为具体人格权所保护的个人信息之上的利益后,自然人对个人信息还享有一种单独的、应受到法律保护的利益。此种利益是防御性或者保护性的利益,即自然人针对个人信息享有的防止因个人信息被非法收集、泄露、买卖或利用而导致其既有人身、财产权益遭受侵害甚至人格尊严、个人自由受到损害的利益。该利益既无法为现有的具体人格权等所涵盖,又属于法律上应当保护的利益。
在大数据时代与信息社会,个人信息被收集、储存、转让和使用已经成为每个自然人的社会生活常态,无时无处不在。然而,无论是国家机关、企业事业单位还是其他主体,在处理个人信息的过程中就极有可能会给自然人带来各种前所未有的危险甚至是直接的侵害。例如,由于个人信息被泄露、非法窃取而使受害人面临身份盗用、欺诈、名誉受损甚至人身安全的损害。即便暂时没有直接遭受这些损害,受害人也会受到以下三种损害:其一,情绪困扰,即个人信息或个人数据的泄露给受害人带来的各种情绪上的困扰与不安。其二,未来被伤害的风险增加,即由于个人信息的泄露使得受害人未来遭受身份盗窃、欺诈或其他伤害的风险增加。其三,为了减少未来伤害的风险而不得不花费时间和支出费用,如注册信用监控、联系信用报告机构和在他们的账户上设置欺诈警报等。再如,即便是被合法收集的个人信息,处理者在由此而形成的大数据基础上通过算法等技术进行社会分选、歧视性对待以及完全的自动化决策,也会损害人格尊严和人格自由。故此,为了消除上述各种新的危险,法律必须承认自然人对个人信息具有一种防御性的利益,并给予保护。如此才可能为信息社会的每个自然人筑起一道坚实的法律保护屏障。故此,自然人对个人信息拥有独立的、无法为既有民事权益涵盖的、应受到法律保护的民事利益,就是个人信息权益所保护的对象。
个人信息权益的体系定位
个人信息权益不同于个人权益或个人在个人信息处理活动中的权利。个人权益的范围最为广泛,包括了个人享有的所有的权益,既包括民事权益,也包括公法上的权益。如前所述,在民法上,个人信息权益是指法律保护的个人针对个人信息所享有的人格利益——信息处理中的自主利益,个人信息权益当然属于个人权益。至于个人在个人信息处理活动中的权利则属于手段性或救济性的权利,其目的在于保护个人信息权益。《民法典》第1037条就已经有相应的规定(如查阅复制权、删除权等),而《个人信息保护法》则进一步丰富发展了个人在个人信息处理活动中的权利,新增了可携带权、要求补充的权利、对处理规则进行解释说明的权利等。同时,还要求个人信息处理者建立便捷的个人行使权利的申请受理和处理机制,并规定如果个人信息处理者拒绝个人行使权利的请求,个人可以依法向人民法院提起诉讼。总之,《民法典》与《个人信息保护法》对个人在个人信息处理活动中的权利的规定,有效地实现了对个人信息权益的保护。
个人信息权益不同于隐私权、肖像权等其他具体人格权。在我国法律上,个人信息权益与隐私权的关系最为密切,也最复杂。由于个人信息中有些属于所谓的私密信息,而私密信息是隐私的一部分,故此,私密信息既涉及隐私权,也涉及个人信息权益。换言之,私密信息作为隐私,当然受到隐私权的保护,由于它也是个人信息,故此,适用个人信息保护规则。据此,《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
然而,个人信息权益与隐私权始终是相互独立的,二者中谁也不能完全包含谁。一方面,隐私权作为一项具体的人格权,总体上属于民事权利中的绝对权和支配权,具有对世效力。因此,任何组织或个人都必须尊重隐私权,不得对之加以侵害或构成妨碍。但是,《民法典》并未规定“个人信息权”,即便《个人信息保护法》也只是使用个人信息“权益”这样谨慎的表述。这就很清楚了——个人信息权益不是绝对权和支配权。根本原因在于,即便是信息主体也不可能排他、独占地支配其个人信息。这样做既不现实,也不可能,会对个人信息的合理利用与信息网络科技、数字经济的发展造成极大妨碍。因此,个人信息保护必须要协调个人信息权益的保护与个人信息合理使用的关系。例如,《民法典》第 999 条规定,“为公共利益实施新闻报道、舆论监督等行为”可以合理使用个人信息,同时第1037条也专门规定了侵害个人信息的免责事由。然而,这些规定在隐私权的相关规定中却不存在。当然,不能据此认为,隐私权完全不受任何约束,不能因为维护公共利益而依据法律的规定受到限制,但可以肯定的是,隐私没有合理使用的问题。
另一方面,从权利内容来看,《民法典》第1032条和第1033条只是从消极的、防御性角度对隐私权的内容作出了规定,即详细列举出禁止行为人实施的侵害他人隐私权的行为。相反,对于个人信息权益的内容,《民法典》与《个人信息保护法》则从积极和消极两个方面作出了规定。《民法典》第1037条赋予了自然人针对个人信息处理者的查阅复制权、异议权、更正权以及删除权。《个人信息保护法》第4章采取7个条文(第44条至第50条)对个人信息权益的内容作出了具体详尽的规定。显然,从权利本身的内容的丰富性与积极程度来看,个人信息权益不同于隐私权。
(本文系国家社科基金重大项目“大数据时代个人数据保护与数据权利体系研究”(18ZDA146)阶段性成果)
(作者单位:清华大学法学院)
友情链接: 中国社会科学院官方网站 | 中国社会科学网
网站备案号:京公网安备11010502030146号 工信部:京ICP备11013869号
中国社会科学杂志社版权所有 未经允许不得转载使用
总编辑邮箱:zzszbj@126.com 本网联系方式:010-85886809 地址:北京市朝阳区光华路15号院1号楼11-12层 邮编:100026
>