1890年,當布蘭代斯和沃倫在《哈佛法律評論》發表《論隱私權》一文還只是討論照相技術和報刊侵入私人領域的隱私保護問題時,或許沒有想到,他們所討論的隱私權問題在一百多年以後會隨著信息網絡技術的日新月異而備受矚目,並且會超越傳統的隱私保護實踐而轉向更為豐富的個人信息保護實踐。人們已經普遍認識到,在大數據加持的網際網路時代,個人信息的保護已經成為保護自然人人格尊嚴的世界性課題。法與時轉則治。在全球範圍內的個人信息保護浪潮風起雲湧之際,新中國第一部民法典首次從法典的高度,表達了我國對個人信息保護的鮮明立場,並充分藉助其科學體系和規範,為個人信息保護提供了三種不同的請求權進路,較為嚴密地編織了個人信息的民法保護之網。
傳統的進路:侵權責任請求權
(一)個人信息的定性與侵權責任請求權
在民法的視野中,民事權利的實質是利益。民法上的利益不外乎以下三種:其一是絕對權,包括具有絕對權性質的人身權(如隱私權、名譽權等各類具體人格權)和財產權(如各類物權、專利權等);其二是相對權,即各類債權;其三是其他人格利益和財產利益。上述三種利益中,前兩種利益已經權利化,確定地受民法保護,其中絕對權受侵害的,可以通過侵權責任請求權提供保護;而其中相對權受侵害的,可以通過債權法(合同法、不當得利法、無因管理法等)中的請求權予以保護。至於上述三種分類中的其他人格利益和財產利益是否受民法的保護,以及能在多大程度上受民法的保護,則並非確定無疑,其與各國的立法傳統和司法政策有很大關係。如果受保護,則亦可以通過侵權責任請求權提供保護。
雖然國內理論和實務界對於個人信息究竟屬於權利還是利益尚存爭議,但毋庸置疑的是,民法典總則編第一百一十一條以及人格權編第六章已經明確個人信息受民法保護。因此,即使不把個人信息視為一種權利,而僅僅視為其他人格利益,個人信息受民法的保護也是確定無疑的。在此前提之下,個人信息的保護,首先可以通過侵權責任請求權達成。而目前,在我國個人信息保護的司法實踐中,作為信息主體的自然人也主要是以侵權之訴來保護其個人信息。
(二)個人信息保護之侵權賠償責任請求權
民法典第一千一百六十五條第一款規定,行為人因過錯侵害他人民事權益造成損害的,應當承擔侵權責任。這是對侵權損害賠償責任的明確規定,也是所有侵權損害賠償的請求權基礎。當一個人的個人信息被侵害後,有時也會產生物質損失。比如,某銀行工作人員與犯罪分子通謀將客戶的身份證號、電子銀行帳號和密碼提供給犯罪分子,導致該客戶的帳戶餘額5萬元人民幣被犯罪分子非法轉走,給其造成5萬元的損失。個人信息被侵害,有時還會產生非物質損失。比如,某公司的健康專員將其掌握的某員工攜帶B肝病毒的信息予以擴散,導致該員工在公司內備受歧視,且產生抑鬱、煩躁、焦慮等不良情緒。以上因個人信息侵害行為所導致的物質損失或精神損害,受害人都可依據民法典第一千一百六十五條第一款之規定,向行為人主張侵權損害賠償請求權。
需要注意的是,民法典對於一般侵權行為的損害賠償責任,仍然堅持過錯責任原則。這就意味著,受害人通過侵權賠償責任請求權保護其個人信息的,需要向法庭證明被侵權人的過錯。而法官在認定過錯時應遵循這一裁判思路:應首先確定行為人所處的群體,進而抽象該群體的「理性人」原型,在此基礎上認定行為人是否存在過失。在個人信息侵權案件中,被告往往是對於海量個人信息和數據具有高超的運算處理能力的公司或組織,它是一個高度專業化的專家群體或系統。對於這種高度專業化的群體,「理性人」的標準應高於一般人的標準。一般主體對他人個人信息的洩露,可能不易認定為過失。但對於這種高度專業化的群體而言,對他人個人信息的洩露,可以因其沒有盡到與其「理性人」標準相適應的注意義務而認定為存在過失。
(三)個人信息保護之其他侵權責任請求權
除了侵權損害賠償責任請求權之外,民法典還規定了其他侵權責任請求權。民法典第一千一百六十七條規定,侵權行為危及他人人身、財產安全的,被侵權人有權請求侵權人承擔停止侵害、排除妨礙、消除危險等侵權責任。據此,如果個人信息侵權行為持續存在,如未經自然人同意而長期收集其行蹤信息;或者妨礙自然人查詢獲取其個人信息,如阻撓自然人複製其健康體檢報告;或者個人信息權益有被侵害的危險,如存儲大量個人信息的移動介質被任意棄置,則信息主體有權請求被告停止侵害、排除妨礙和消除危險。與上述侵權賠償請求權不同,停止侵害、排除妨礙和消除危險的請求權行使不需要證明被告的過錯。並且,根據民法典第一百九十六條的規定,停止侵害、排除妨礙和消除危險的請求權不適用訴訟時效,這對於個人信息權益的侵權法保護,具有非常積極的意義。
被忽視的進路:合同法上的請求權
關於個人信息民法保護的研究,多數文獻將重點放到侵權法領域。而實際上,合同法也可以為個人信息的保護提供豐富的請求權基礎資源。
(一)先合同義務:違反個人信息保護法定義務時的締約過失責任請求權
正常情況下,合同成立生效後當事人的權利一般可以通過合同條款予以保障。如果有違約行為,可以通過違約責任獲得救濟。但是,在合同不成立、無效、被撤銷或不被追認的情形下,沒有有效的合同可以依託,便無從要求對方按照合同條款履行以保障權利,也無從追究違約責任來保障權利。此時,為了更周全地保護當事人的權利,法律特設了一種法定義務,即先合同義務。所謂先合同義務,就是當事人在締約接觸階段,基於誠實信用原則而產生的各種說明、照顧、注意、保護等義務。民法典第五百零一條規定,當事人在訂立合同過程中知悉的商業秘密或者其他應當保密的信息,無論合同是否成立,不得將其洩露或不正當地使用;洩露、不正當地使用該商業秘密或信息,造成對方損失的,應當承擔賠償責任。該條款中的「信息」應解釋為包括個人信息。也就是說,當事人對於在合同訂立過程中所知悉的對方當事人的個人信息,負有保護的義務。如果故意或過失洩露對方個人信息,造成損害的,應承擔損害賠償責任。這裡的損害賠償責任,性質上屬於締約過失責任。
由此可見,在締約過程中因其個人信息被對方洩露而產生損害的當事人,在合同成立生效之前,就可以受到合同法提供的保護,向對方主張締約過失責任請求權。該項締約過失責任的請求權基礎是民法典第五百零一條的後句。
(二)合同履行中的約定義務:約定個人信息保護條款時的合同請求權
在合同中約定專門的個人信息保護條款時,信息主體至少可以通過合同履行請求權、違約金請求權、違約損害賠償請求權保護其個人信息權益。
首先是合同履行請求權。當事人雙方在訂立合同時,可以訂入專門的個人信息保護條款。比如,在健康體檢服務合同中,雙方可約定:最終形成的綜合體檢報告資料存放於專門的隱私保管箱,除顧客本人持身份證可以開箱查閱、複製外,其他任何人都無權查閱該報告資料。合同成立生效後,如果該健康體檢服務機構並未將體檢報告資料放入專門的隱私保管箱,而只是放置到普通的文件櫃中,則應認為其違反了雙方合同中的個人信息保護條款,顧客本人有權請求該健康體檢機構按照個人信息保護條款的內容履行高級別的保管義務。在此,顧客請求健康體檢機構履行合同的請求權基礎是民法典第五百七十七條中「當事人一方不履行合同義務或者履行合同義務不符合約定的,應當承擔繼續履行違約責任」的規範。
其次是違約金請求權。約定個人信息保護條款的合同中,如果約定了違約金,則當一方當事人違反個人信息保護條款時,需要按照合同的約定承擔違約金責任。此時,信息主體請求保護其個人信息的法律依據是民法典第五百八十二條第一句,即履行不符合約定的,應當按照當事人的約定承擔違約責任。同時,需要以民法典第五百八十五條第一款作為輔助性規範,二者結合起來共同為保護個人信息提供請求權基礎。
第三是違約損害賠償請求權。約定個人信息保護條款的合同中,即使沒有約定違約金,但如果對方違反個人信息保護條款給信息主體造成損失的,信息主體可以主張違約損害賠償請求權。這裡的違約損害賠償,既包括物質損害賠償,也包括精神損害賠償。主張違約物質損害賠償的請求權基礎是民法典第五百七十七條,主張違約精神損害賠償的請求權基礎也是民法典第五百七十七條,同時需要民法典第九百九十六條作為輔助性規範。
(三)合同履行中的法定義務:未約定個人信息保護條款時不履行合同債務的損害賠償請求權
民法典合同編第四章合同履行第五百零九條第二款規定,當事人應當遵循誠信原則,根據合同的性質、目的和交易習慣履行通知、協助、保密等義務。據此,在合同履行過程中,即使合同中沒有約定專門的個人信息保護條款,當事人也不能洩露其在合同履行過程中所知悉的對方個人信息。
比如,在電腦維修合同的履行過程中,維修人獲悉電腦主人在電腦中存儲了大量的敏感個人信息,如果維修人將這些敏感個人信息洩露,導致電腦主人權益受到了損害,則應承擔損害賠償責任。雖然,這裡的合同沒有明確約定個人信息保護條款,但這裡的保密義務是民法典直接規定的合同義務,若違反這一義務仍然要承擔不履行合同債務的損害賠償責任。同時,這種情況屬於合同履行過程中知悉的個人信息,民法典第五百零九條第二款雖有涉及,但該款並非完全性規範,不能獨立作為請求權基礎。所以,電腦主人主張損害賠償時需類推適用民法典第五百零一條的規範作為請求權基礎,即訂立(類推適用於履行)合同過程中知悉個人信息後若洩露、不正當地使用該信息,造成對方損失的,應當承擔賠償責任。
(四)後合同義務:違反個人信息保護法定義務時的損害賠償請求權
合同履行完畢後,雙方權利義務終止。但即便此時,若一方洩露其掌握的對方個人信息導致對方權益受到損害的,洩露一方仍然可能承擔損害賠償責任。民法典第五百五十八條規定,債權債務終止後,當事人應當遵循誠信等原則,根據交易習慣履行通知、協助、保密、舊物回收等義務。比如,甲(女性)與乙(電商店鋪主)的網絡買賣合同履行完畢後,甲與乙在網絡交流平臺上交流購物體會時發生爭執。隨後,乙將甲的姓名、手機號、住址(網絡購物收貨地址)提供給某色情服務網站,導致甲接到了無數騷擾電話,且產生了嚴重失眠、焦慮、抑鬱等症狀,為此花去醫療費1萬元。在這種情況下,甲可以請求乙賠償其醫療費損失。因合同權利義務已經終止,故該損害賠償的性質並不是違約損害賠償,而是已經脫離合同領域,實質上成為一種侵權責任。
不過,因為民法典合同編第五百五十八條專門將這種保密義務規定為合同當事人的一項後合同義務,故而也可以將此處的損害賠償責任視為違約責任的擴張。同時,因民法典合同編對於這種情形下的損害賠償責任沒有直接規定,所以實踐中仍然可以類推適用民法典第五百零一條作為請求權基礎。但筆者認為,更為順暢的請求權進路是,直接依據民法典第一千一百六十五條第一款規定,主張侵權損害賠償請求權。
民法典創設的進路:人格權請求權
民法典設置獨立的人格權編被視為民法典的重大創新和最大亮點,其重大意義不僅在於它從價值層面為人格權的強力保護提供了法典的體系結構支撐,更在於從技術層面為涉及人格權案件的法律適用提供了人格權請求權的工具支撐,從而使我國憲法關於「人格尊嚴」的基本權利規範,得以通過民法規範得到落實。
在民法典的框架內,個人信息保護的重大革新就在於,作為人格權益的個人信息權益,除了可以通過侵權責任請求權、合同法上的請求權得到保護外,還可以通過獨立的人格權請求權得到保護。民法典人格權編除了創立人格權請求權本體外,還專門設立了人格權請求權的重要手段——人格權請求權禁令,二者結合起來為包括個人信息權益在內的所有人格權益的保護提供了重要的基礎規範。
(一)基於人格權請求權終局保護個人信息
民法典第九百九十五條確定了人格權請求權制度,為包括個人信息權益受侵害的人格權侵權行為的救濟,提供了人格權自身的請求權基礎。根據該條規定,所謂人格權請求權,就是指民事主體在其人格權受到侵害、妨礙或有妨礙的危險時,提出停止侵害、排除妨礙、消除危險、恢復名譽、賠禮道歉等請求權以恢復其人格權完滿狀態的權利。當自然人的個人信息權益受到侵害或妨礙,在沒有產生物質損害或非物質損害的情況下,受害人就有權依照上述規定主張人格權請求權,從而為其個人信息權益提供預防性的保護,避免侵權行為進一步產生實質化的損害後果。可見,個人信息的人格權請求權保護方法比之侵權損害賠償請求權的保護方法更為積極。比如,甲與乙曾戀愛一年,後因性格不合,兩人和平分手。甲為紀念該段戀情,將其與乙戀愛期間的親密聊天記錄截圖放到自己的微信朋友圈,乙看到之後立即向甲主張停止侵害的人格權請求權,甲及時刪除了該截圖,未對乙造成明顯的損害後果。實踐中,人格權請求權在個人信息保護方面的作用空間非常廣闊,加之民法典第九百九十五條還明確將人格權請求權排除到訴訟時效的適用範圍之外,這無疑進一步強化了其在保護個人信息方面的積極作用。
(二)基於人格權請求權禁令暫時保護個人信息
民法典人格權編在規定人格權請求權的同時,於第九百九十七條特設人格權請求權禁令制度,這一制度的設立,為人格權請求權作用的發揮插上了有力的「翅膀」。根據該條規定,如果自然人有證據證明行為人正在實施或即將實施侵害其個人信息的違法行為,不及時制止將使其合法權益受到難以彌補的損害的,有權依法向人民法院申請採取責令行為人停止侵害個人信息行為的措施。比如,上述在微信朋友圈曬親密聊天記錄的案例,如果甲拒絕刪除,則乙可以依據民法典第九百九十七條向人民法院申請人格權請求權禁令,由人民法院責令甲將其刪除。略顯遺憾的是,民法典對於人格權請求權禁令發出後的法律效果沒有規定。根據人格權請求權禁令的一般原理,該禁令只能暫時停止甲的侵權行為。如果乙要終局地保護其個人信息權益,應另外根據民法典第九百九十五條的人格權請求權提起訴訟,請求法院判令甲停止侵害、消除影響、恢復名譽等。或者,如果該禁令本就是訴訟中發出的,則只有法院就甲的個人信息侵權行為作出生效判決後,乙的權利才能終局地得到保護。
當前,個人信息保護的專門立法已成為國際慣例。十三屆全國人大常委會也順應這一歷史潮流,將制定個人信息保護法列入立法規劃。可以預見,將來,隨著個人信息保護法的頒布實施,我國個人信息的綜合保護水平必將得到進一步提升。但須強調的是,無論關於個人信息保護的單行法如何豐富和完善,作為私權益的個人信息權益,其權益確認與保護的基礎規範還是來自民法典。就此而言,民法典之於個人信息保護,其作用永遠是舉足輕重的。
(作者單位:北京市第一中級人民法院)