您好!欢迎来到债权债务纠纷案件资深律师网,我们竭诚为您提供卓越的法律服务!

13681086635

400-650-5090

QQ/微信号

1056606199

 债权债务纠纷案件资深律师网 > 法律资讯 > 法学研究

个人信息法益区分的规范理念与保护路径|审判研究

信息来源: 审判研究  文章编辑:zm  发布时间:2022-01-18 14:50:39  

观点提要

《民法典》通过个人信息中的私密信息划出隐私权与一般个人信息保护的分野,《个人信息保护法》将个人信息区分敏感个人信息和一般个人信息的立法表达,又给司法实践带来适用困惑。基于法益区分保护的解释论视角,可弥合两种立法区分保护的解释冲突。前者从侵害民事法益的类型并以是否触及精神安宁的人格尊严为区分标准划分出私密信息,其法益筛选并经权利创设已披上隐私权外衣,在于从价值层面提供人格权请求权保护的法典支撑,从而使精神安宁的人格尊严得以高度维护;后者以行为违法性逆向规制保护个人信息利益,基于信息敏感度及危害程度不同区分出敏感个人信息,在于从技术层面规范个人信息处理行为并提供合同请求权、侵权请求权多元保护的工具支撑,进而保障信息自决的个人自由得到具体落实。

一、提出问题:个人信息区分保护的司法实践困惑

《民法典》人格权编将个人信息区分私密信息与一般个人信息,[1]未沿用《个人信息保护指南》中个人敏感信息与个人一般信息的划分方法。[2]《个人信息保护法》将个人信息划分为敏感个人信息与一般个人信息。[3]《民法典》与《个人信息保护法》两种立法上的区分给司法实践如何适用法律保护个人信息带来了困惑。

如2021年4月9日,被媒体冠以“中国人脸识别第一案”的个人信息侵权纠纷,杭州市中级人民法院作出二审判决,判令被告野生动物园赔偿原告郭兵合同利益损失、删除指纹及面部信息。原告郭兵主张人脸属于私密信息侵犯隐私,寻求人格权请求权保护路径,而法院认为人脸属于敏感信息,通过适用合同请求权给予司法保护。

依托中国裁判文书网以“个人信息”、“私密信息”为关键词,以《民法典》实施时间为起点,笔者检索后获得个人信息侵权纠纷案件36件,发现法院在个人信息保护的司法裁判上,私密信息适用个人信息保护的法律规范,无一起案件适用隐私权保护。同时梳理出涉敏感个人信息侵权纠纷案件35件,[4]发现多数法院对敏感个人信息以侵犯个人隐私为判断标准并适用隐私权保护。

司法实践对个人信息采取上述两种立法区分保护的适用困惑,究其根源在于未能准确理解和把握两种区分保护的规范意旨,甚至认为属于立法冲突。若仅是个案中存在的保护路径差异,尚可归因于对法律规定的理解和适用因人而异,倘若呈现规模性,将为司法不能承受之痛。

二、法益基底检视:个人信息区分保护的动因思辨

(一)隐私观念转化导致信息性隐私法益需要保护

最初的隐私观念是和人的羞耻心联系在一起的,不可告人和不公开是隐私的核心含义。[5]隐私观念的启蒙源于当时的“知羞耻、掩外阴”。[6]保护公民人格尊严成为隐私作为法律人格权的重要基石。传统隐私观念存在的合理性,得益于公私有别的社会认同,公民隐私获取独处的利益得到保护。有学者认为,过去对隐私观念的想象是建立在身体作为媒介之上。

据此,身体变构成了既是隐私概念的根源,也是其载具。以标志身体之隐私概念系统运作之媒介,信息仅是作为身体的环境而存在。[7]而随着社交媒体、数据网络、人工智能技术的开发,信息作为隐私的定义是动态立体的,数字化信息可以被长久保存,复制简单明确、传播轻而易举、搜索便捷迅速。质言之,信息作为隐私概念系统运作中标志的对象,身体则变成了信息的环境。在这其中,信息成为了隐私的核心需要高度维护。这使得作为信息的隐私变得无处安放,人们将面临难以独处的赤裸未来,隐私观念受到了前所未有的重创。

(二)个人信息的边界流动导致法益关联不确定

人类已然步入一切皆数而万物可量的大数据时代,个人信息日益以数字化形式呈现。然而,在大数据时代,人们愈来愈倚重各种各样的设备与外界产生联系,IP地址、cookie、手机MAC地址、IMEI码等设备信息是否具有识别性的问题引起了巨大争议。[8]

从技术特点上看,大数据并不关注具体自然人身份信息,虽然在大数据处理技术大规模应用背景下,个人网络活动空间遗留的琐细、零散的数字足迹能够被重组、比对、整合成为关联到特定民事主体的个人信息。这一点又与个人信息保护中以能够识别自然人身份的信息为调整范围相冲突。[9]我们已然无法预知未来科技通过哪些数据识别出自然人的身份。而个人信息中蕴含的需要保护的各种法益,如对个人信息自决的尊重,与商业经济价值和公共管理价值的合理开发与利用的法益平衡保护,由于大数据时代对个人信息的识别边界泛化,导致关联识别到自然人高度依赖于具体场景,因此无法预判哪些类型的个人信息具有法益保护的关联性。[10]

(三)个人信息存在敏感度差异导致法益危害程度不同

有学者专门针对个人信息的敏感度进行细致研究,通过科学的问卷设计和调查实施来分析不同情境对信息敏感度产生的影响,明确不同种类信息之间的敏感度差异。[11]如个人密切相关的身份证号、银行账户敏感度高。个人的政治观点和宗教信仰信息的敏感度较低。个人信息的敏感度差异体现在,此类信息的收集容易引发信息持有者心理和生理上的异常感受,一旦公开容易受到外界迅速强烈的是非评价。[12]

正为如此,敏感个人信息具有很大程度的脆弱性,其脆弱来源于被收集公开后,容易造成信息主体人身自由法益的危害以及人格尊严法益的严重不安。此外,敏感个人信息的极端重要性还体现在对其公开容易使信息主体遭受社会的负面评价甚者歧视,危害程度明显高于一般个人信息。

但需要注意的是,在隐私与个人信息保护上,必须重申隐私是个人信息保护的基础,个人信息保护的大厦是在古典隐私权的地基上建筑起来的。[13]隐更具有尊严性特征,个人信息更具有资源型特征,隐私相较与个人信息更具有人格属性,保护强度和方式上有所区别。[14]正是个人信息之中蕴含的不同法益,具备采取区分保护的正当性前提。这种区分在立法上体现为具有人格尊严保护价值的作为隐私权保护之一部分的个人信息中的私密信息,[15]和他不具有尊严价值体现资源价值的一般个人信息的不同保护理念和保护方式。[16]

三、两翼路径规制:个人信息区分保护的解释论构造

法律解释在司法实践中应用广泛,也被称为狭义的法学方法论内容。[17]基于个人信息中蕴含的民事法益类型不同进而采取的不同保护方法,解释两种立法采取两翼路径保护,可形成既有立法理论逻辑自洽性亦彰显司法实践功能自足性的《民法典》体系结构样态,对法院审理个人信息保护案件具有现实的指导意义。

(一)一个核心理念:以法益区分保护为核心

受保护的法益[18]不应仅仅以权利为侵害客体。从受尊重与保护的程度不同,被侵害的法益有利益,也有权利。[19]个人信息实质是一个众多不同类型的法益综合体,体现着自然人的人格尊严和人格自由,涉及对私人生活安宁的高度维护、对信息商业价值和公共管理价值的开发与利用。基于前文所述大数据时代对隐私观念的重创、对个人信息识别边界的泛化以及个人信息存在的敏感度差异,直接影响着信息性隐私利益、信息自决利益与信息共享利益等不同法益需要权利保护方式和利益保护方式区分保护。

质言之,法院审理个人信息侵权纠纷案件,首先需要认定侵权行为所侵害的民事法益类型,《民法典》区分私密信息与一般个人信息,直接决定了侵害行为所侵害的民事法益类型究竟是隐私权还是个人信息利益,进而采用私密信息适用人格权请求权的权利保护方式,对于一般个人信息适用利益保护方式,可采用行为违法性逆向规制,即通过《个人信息保护法》规范个人信息处理行为。

(二)两条轨道并行:立法保持开放与司法累积创权

首先,《民法典》第一编第109条[20]、人格权编第990条[21]、侵权责任编第1164条[22],相结合对个人信息保护范围留下了足够的开放性余地,也为民法典特有的通过司法进行权利创设提供了解释论的空间。开放性的内涵使得更多样态的个人信息利益向《民法典》的保护框架不断聚集,并为法律的演进开辟道路,不仅能有效的保护已确认的权利,还能够创设未得到承认和规定的权利。[23]

《民法典》总则编、人格权编、侵权责任编明确了人格权的保护范围包括一般人格权和其他人格利益,并列举了具体人格权内容,为其他人格利益保护留下了通道方式。其所具有的开放性内涵暗含了其本身具有的人格利益到人格权的创设进路。

其次,社会发展必然导致新的利益产生,当利益受到侵害,法律是否应该给予保护,如何保护成为新的课题。当利益对主体至关重要时,又如何上升为权利保护,都是静态法律无法解决的问题。利益是否应该保护、如何保护、保护范围都需要司法裁判在个案工作中凝聚智慧日积月累,之后通过立法开启多元化的请求权规范保护方式。

图1.权利保护方式创设过程

个人信息是否配置人格权的权利保护方式,尚需要前述权能积累与权利射程检验。

(三)三种请求权进路:私密信息、一般个人信息与敏感个人信息适用不同请求权基础规范

 1.私密信息适用人格权请求权

首先,隐私保护的是一种安定宁静、不受干扰,强调精神性安宁的利益以及对隐私占有、支配的自我决定生活状态,体现了受法律保护的消极权能和积极权能,具备人格尊严保护的全部内容。在德国关于基本权利的教义学中,人的尊严是法秩序的最高准则。[24]

古典私权观念自始一直围绕着两个方面的议题:一是“是否公开揭露与私人有关的信息”,二是“是否对于独处的干涉。”[25]前者从信息的维度探讨隐私的呈现方式,后者从空间的维度揭示隐私所成立的空间方式。而如前文所述关于“信息作为隐私概念系统运作中标志的对象,身体则变成了信息的环境。信息成为了隐私的核心”的现代隐私观念与古典隐私权观念中蕴含的“不公开、私人、独处、身体、环境、信息”各要素整合而成的隐私利益,为《民法典》创设出“私密信息”这一概念提供了厚重的历史土壤。私密信息具有权利的归属效能和排除效能不证自明,而社会典型公开性效能需要社会一般意义上的可识别性亦通过司法积累筛选出内涵明确的具体范围。

其次,《民法典》规定了隐私权保护私密信息。私密信息包括婚姻状况、家庭住址、身份证号码、电话号码、银行账户、基因信息、医疗信息、种族和民族、宗教信仰、政治主张、个人征信、犯罪记录、性生活和性取向。[26]进言之,私密信息的判断标准在于不愿意为他人所知晓进而保持私人生活安宁的信息,强调隐蔽性和私人性。因关乎个人尊严的至高维护,作为隐私权保护披上权利的外衣,并经过权利射程检验,是《民法典》人格利益到人格权保护的典型示例。如下图所示。

图2.私密信息适用隐私权创设过程

最后,由于私密信息体现着私人安宁的精神利益,核心要素在于尊重和维护个人尊严,司法裁判适用隐私权的绝对权保护,可直接征引《民法典》人格权编第995条、996条、997条、999条关于人格权禁令、精神损害赔偿、侵害人格权民事责任及其替代性公布执行方式等人格权请求权基础规范。

2.一般个人信息适用合同请求权与侵权请求权

首先,互联网时代,私密信息之外的一般个人信息如浏览记录、购物记录、搜索关键词等电子行踪信息高度数字化,易于分享与传播。其产生之初时常以数据的形式存在与网络服务提供商的管理系统和服务器上,共有特征显著,以至于难以确定明晰的归属。

在《民法典》人格权编三审稿中曾建议将上述电子行踪信息纳入个人信息,但最终并未保留。[27]原因在于在采集信息的私密性判断上,有用户自愿采集、授权平台采集以及用户共享给服务商为了获得免费其他服务,比如定向广告推荐等,同时平台没有控制、拥有这些记录,主观期待和客观公开上存在暧昧不清的境地。[28]此外一般个人信息具有无形性,不能将其排他性的限制在某一特定空间,实现完满支配,对其控制不尽如人意。

而在大数据时代,自动化数据处理技术的大规模应用,个人在网络空间遗留的琐碎、零散信息被重组比对关联到特定自然人的个人信息,界限逐渐相对化和模糊化。比如上网活动的轨迹和上网偏好信息并不能直接识别特定主体,但与地理位置、IP地址等信息关联,可以指向某一特定主体,成为个人信息。[29]因此,一般个人信息无法成为社会普通大众可以清晰预见和明确感知的对象,动态的边界难以界定,社会公开性效能模糊不清,尚无法用人格权编的绝对权方式保护。

如图3所示,《民法典》规定个人信息包括单独识别与关联识别信息。[30]但基于信息的流动本质,各个范畴之间没有硬性边界。[31]

其次,一般个人信息权利化与民法权衡自然人信息自决与信息自由流通的法律价值目标相违背。因此,对于一般个人信息范围和利益还需要司法的不断累积,上升为人格权保护的立法进程还将继续。一般个人信息尚未形成权利保护,正是立法者给予的时代回应。

最后,权利不过是保护个人信息的手段之一,立法者还可以通过违反法定义务的行为违法性方式保护利益。正如我国台湾地区法学家王泽鉴先生指出,法学理论之所以创设行为违法性概念,其主要功能在于界定及区分受保护的权利和利益。因此,对于一般个人信息,基于其蕴含的个人信息自决受尊重与信息价值的流通利用,司法裁判可通过《个人信息保护法》对信息处理行为的逆向规制,同时适用《民法典》人格权编第1035条、1036条、1037条的信息处理规则;最终通过《民法典》侵权责任编第1167条、1182条、1183条关于民事权益保全请求权、侵害人身权益财产与精神赔偿请求权与《民法典》合同编第496条、497条、500条、501条、577条关于违反个人信息条款保护义务时的缔约过失责任请求权、合同约定个人信息条款保护的格式条款不成立、无效的确认请求权和违约责任请求权等多重保护规范。

3.敏感个人信息与私密信息交叉情形下双重适用规则

敏感个人信息大体分为:个人身份信息、个人财产信息、个人健康生理信息、个人经历信息、政治观点或宗教信仰信息、性相关信息、儿童信息、生物识别信息、网络关联信息。[32]对比物识别信息中的面部信息、指纹信息,由于时刻暴露、触物留痕,很难界定属于不被他人知晓的私密信息,但却日益朝着场景化、动态性的方向发展,一旦泄露和非法利用,会造成人身和财产重大损害。[33]有些敏感个人信息关系个人隐私的核心领域,因此与私密信息会有重叠。[34]医疗健康、婚姻状况、性生活与性取向、政治主张和宗教信仰以及个人生物识别信息中的基因信息等。

故,较之于一般个人信息,敏感个人信息的损害更倾向于隐私领域,主要体现在人身损害、歧视性待遇、羞耻或其他强烈的精神不安。但又不局限于隐私领域,也包括经济价值的损害。如身份证号、金融账户等私密信息同属于敏感个人信息,非法收集、公开、利用会造成个人的财产损失。

因此,当个人信息即属于敏感个人信息,又属于私密信息时,应当依照《民法典》第1034条第2款处理。[35]然后从规制个人信息处理行为角度,衔接适用《个人信息保护法》判断处理行为违法性。[36]最终通过《民法典》人格权编第995条、996条、997条、999条关于人格权禁令、精神损害赔偿、侵害人格权民事责任及其替代性公布执行方式等人格权请求权基础规范保护同属于敏感个人信息的私密信息。

结语

《民法典》实施后法律解释的时代已经到来。全面贯彻实施《民法典》的首要前提是准确理解和把握《民法典》的规范意旨,因此必须秉持民法典解释的统一性原则,从而有助于解决“同案不同解”的司法困惑。以法益区分保护的法学方法论为视角,可弥合《民法典》与《个人信息保护法》在规范理念和保护路径上的解释冲突,进而开启个人信息的多元化保护。

          




注:本文转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如有侵权行为,请联系我们,我们会及时删除。
债权债务纠纷案件资深律师网 版权所有 京ICP备16000443号-23