來源:第一財經
作者: 劉春泉
《中華人民共和國個人信息保護法(草案)》徵求意見稿第一條第一句話是「為了保護個人信息權益」,這裡的「權益」包括「權利」和「利益」。民法典第四編人格權並沒明確規定個人信息權,民法典總則第111條規定自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。第1034條規定:「自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。」
但是,所有條款均沒有明確提個人信息權這個概念。筆者查了連王利明教授這樣的權威民法學者曾撰文認為應當明確規定個人信息權,因而也鬥膽專文呼籲個人信息保護法明確規定個人信息權。
個人信息主要體現自然人個體的各種區別於其他個體的特徵,屬於人天然就存在的特徵,故這些區別於自然人彼此個體的特徵都屬於人格特徵。既然人格權是為民事主體所固有、由法律直接賦予民事主體所享有的各種人身權利,那麼基於個人信息天然屬於人存在的特徵,符合人格權定義,應當確定屬於人格權。而且姓名、性別、婚姻、基因、生物識別等個人信息自古就有,身份證號碼、銀行財務信息等傳統上也有,但隨著信息網絡技術帶來的個人信息易於複製傳播和濫用,產生了保護的法律需求,因而,個人信息權是一種新型的具體人格權。個人信息與個人隱私在內容上的確存在交集,但整體而言,個人信息遠大於隱私範疇,應當單獨確立個人信息權,並研究界定個人信息權的保護範圍和方法。
雖然筆者同意個人信息權是人格權,但傳統民法認為人格權是絕對權,是否完全沿用傳統民法的理論可能還有待討論。雖然筆者不清楚民法典沒寫個人信息權的具體原因,但自忖應該與傳統民法理論與目前科技發展帶來的新情況不能完全吻合有關。
民法上所謂絕對權也叫對世權,是指除權利人之外的一切人均為義務人的民事權利,如財產所有權、人格權等。絕對權的義務人是不特定的,義務人的義務是不作為的義務,即只要不去侵犯權利人的權利即可,因而絕對權一般是支配權。這些傳統民法理論在個人信息保護適用上可能有一些問題,個人信息還需要進一步區分一般個人信息和敏感個人信息,對於一般個人信息,例如姓名、工作單位、工作電話,如果正當目的收集使用也要徵得同意,否則就不能收集使用。再比如為防控疫情需要收集個人信息,這既不能說因為個別人反對就不做了,也不能免除收集信息單位的信息安全保密義務。
目前來看,個人信息明確確立權利的主要目的在於防止不當收集、流轉和濫用,個人信息有財產價值,但個人信息與民法上的物不同,一物不能二主,但信息可以幾乎零成本複製,同一個自然人的個人信息可能被無數個主體收集、流轉和使用,可以分別成為別人的信息財產組成部分。比如新浪訴脈脈數據不正當競爭案,可能就包含了筆者的個人信息,但新浪並沒有分給我一分錢。筆者認為個人信息權主要價值在於必須明確個人信息權與企業信息財產權衝突時,個人信息權優先受法律保護。為公共事務管理職能目的收集使用個人信息應遵循最小必要原則,個人信息權與公權力衝突時,公權力超越最小必要原則收集使用個人信息仍不能免責。
個人信息雖然具有財產價值,應當承認具有財產屬性,但其作為人身權與財產權不同,這一點在民法典第1036條第二款已經有所體現,即「處理個人信息,有下列情形之一的,行為人不承擔民事責任……(二)合理處理該自然人自行公開的或者其他已經合法公開的信息可以免責,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外」。這個例外規定其實就體現了對人格尊嚴的保護,是正確的。假如沒有這樣的規定,若不幸遭遇人肉搜索,被人肉搜索傳播的往往都是當事人自己公開的個人信息,則根據1036條免責規定,當事人因自行公開了相關信息而無法申請行為禁令與追究責任,那麼制止人肉搜索的法律依據就缺失了。
個人信息權保護的關鍵在於反對濫用個人信息。但是濫用可能的主體眾多,無法防止,唯有從源頭治理個人信息收集,採取少收、慎用、保密、反濫用的手段,通過立法規定軟硬體產品設計必須保護個人信息,體現設計保護隱私和個人信息(privacy by design),再綜合刑法、行政法、民事賠償等規制手段,也許未來個人信息保護狀況可迎來較大改觀。
(作者系上海段和段律師事務所合伙人、律師)