(中国人民大学法学院教授,中国人民大学民商事法律科学研究中心研究员)
关键词:个人信息保护法;民法典;人格尊严;体系化
《个人信息保护法》的颁行是我国个人信息保护立法领域的里程碑。该法适应互联网、大数据发展的需要,系统、全面地规定了个人信息保护规则,有效协调了个人信息权利保护与信息合理利用的关系,确立了一整套权责合理、保护有效的信息处理规则,必将全面维护信息主体的合法权益,促进数字经济的有序发展。然而,《个人信息保护法》在具体适用中遇到的一个重大而基础的理论问题,即:其与《民法典》有关个人信息保护规则的关系如何?理顺《个人信息保护法》与《民法典》在价值理念、框架体系、一般规则和具体条款之间的关联关系,有助于更好地定位和发挥《个人信息保护法》在个人信息保护中的应有作用。相反,如果将《个人信息保护法》与《民法典》的适用相分离,必然会极大地妨碍《个人信息保护法》的准确实施。有鉴于此,笔者就《个人信息保护法》与《民法典》的适用关系谈几点看法。
一、《个人信息保护法》的适用应在《民法典》的框架体系中展开
如前所述,个人信息权益是《民法典》所确认的基本民事权益,《个人信息保护法》中的私法规范与《民法典》的规范之间应当是特别法与一般法的关系。《民法典》是基础性法律,是私法的基本法,有学者将民法典与单行法的关系比喻为太阳与行星的关系,即民法典是“太阳”,而单行法则构成围绕“太阳”公转的“行星”;“行星”根据“太阳”所投射的“光芒”来进行解释。就《民法典》与《个人信息保护法》的关系而言,《民法典》确定了个人信息保护的基本框架、原则和理念、价值,界分了个人信息与隐私权等其他人格权的关系,为个人信息保护法确立了最基础的规则。《民法典》所确立的保护人格尊严、保障民事权利等价值,是解释《个人信息保护法》的基础。《民法典》关于个人信息处理等规则的规定,不仅提供了个人信息保护的正当性基础,也为个人信息保护立法提供了基本法律依据。《个人信息保护法》对个人信息的保护也基本上是围绕《民法典》的规则而展开的。
正是因为二者具有相同的立法目的,所以二者在具体的制度、规则设计方面具有相似性,因而,《个人信息保护法》的适用应当在《民法典》的框架下展开。具体而言:
第一,《民法典》明确了个人信息的性质及其在民事权利体系中的位置。《民法典》总则编第五章在规定民事权利体系时,虽然专门规定了自然人的个人信息受保护,但并没有将其规定为一项具体人格权,人格权编第六章仍然延续了这一做法。《个人信息保护法》也遵循了此种制度模式。个人信息是整个民事权益体系中的重要组成部分,是其中的重要环节。从基本的民事权利出发,如果将基本的民事权利分为合同债权、物权、人格权和身份权,那么,个人信息就属于人格权益的重要组成部分,全面保护个人信息也就是保护个人在数字化时代所享有的基本民事权益。由于《民法典》将个人信息界定为一项人格利益,而非具体人格权,因而,在民事权利位阶中,按照权利优先于利益的规则,原则上除了一些特殊的敏感个人信息外,依据《民法典》第1034条第3款,一般个人信息与隐私权发生冲突时,应当优先保护隐私权。
总之,《民法典》和《个人信息保护法》在性质上属于一般法与特别法的关系,二者在个人信息保护方面既有分工协同,又有衔接协调,《个人信息保护法》的解释与适用应当在《民法典》的框架下展开。
二、《个人信息保护法》的适用必须贯彻《民法典》确认的人格尊严价值
价值的融贯性是法律具有体系性和逻辑性的前提与基础。《个人信息保护法》第1条开宗明义地强调了“保护个人信息权益”这一重要的立法目的,但并未就“个人信息权益保护”目的背后的价值取向作明确表达。换言之,这一规定并未明确《个人信息保护法》对个人信息权益进行保护、对信息处理行为进行规范的主导的价值取向,是为了保护个人信息主体的物质利益,还是为了保护其精神利益,抑或其他目的?在大量涉及人格利益具体争议问题时,理解和回答个人信息利益保护背后的价值取向至关重要。特别是在个人信息权益和财产权益之间发生重大冲突时,需要特别考虑个人信息权益保护背后的价值导向。严格地说,必须从《民法典》人格权编关于保护人格尊严的价值出发,才能准确理解《个人信息保护法》的价值。
人格尊严,是指人作为法律主体应当得到承认和尊重。人格尊严是人作为社会关系主体的基本前提,应当受到法律的平等保护。人格权关乎每个人的人格尊严,《民法典》人格权编的立法目的就是“为了贯彻党的十九大和十九届二中全会关于‘保护人民人身权、财产权、人格权’的精神,落实宪法关于‘公民的人格尊严不受侵犯’的要求”,《民法典》第109条明确宣告自然人的人身自由、人格尊严受法律保护,《民法典》第990条第2款将人身自由、人格尊严作为一般人格权的内容,并在此基础上确立了对各种新型人格权益进行兜底保护的条款。这表明,《民法典》人格权编所规定的各项具体人格权与一般人格权,实际上均是对人格尊严保护的制度反映。而《民法典》所确立的人格尊严保护的价值,也为《个人信息保护法》提供了价值基础,因为侵害他人的个人信息实质上是侵害了他人的尊严和自由,通过保护个人信息不受信息数据处理等技术的侵害,就可以发挥保护个人人格尊严和人格自由的效果。《个人信息保护法》对个人信息的保护实际上是《民法典》所确立的人格尊严保护价值在个人信息保护领域中的延伸。
人格尊严保护原则作为《个人信息保护法》的价值基础,主要体现在以下几个方面:
第一,《个人信息保护法》的立法目的就在于维护人格尊严。《个人信息保护法》第1条将其立法目的表述为“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。这一直接目的的背后实质上是对于人格尊严的维护。该条同时规定,“根据宪法,制定本法”,其实,所谓“根据宪法”,就是指《个人信息保护法》基本体系和根本制度应当以宪法为基础,符合宪法的基本精神和价值取向。《宪法》第38条规定了“维护人格尊严”原则,据此将维护人格尊严作为宪法的基本价值。《宪法》确立的这一基本原则,需要通过《个人信息保护法》对个人信息保护的具体规定而予以落实。因此,以人格尊严作为《个人信息保护法》的基本原则,也是落实宪法保护人权、维护人格尊严的要求。《个人信息保护法》对个人信息的保护,根本目的也在于对个人信息所彰显的人格尊严进行保护。
第二,《个人信息保护法》的保护对象与人格尊严联系紧密。《个人信息保护法》以个人信息作为保护对象,该法第4条第1款规定了个人信息的概念。依据该规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。第4条在界定个人信息的概念时虽然没有明确提及人格尊严,但第28条将敏感个人信息界定为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。第28条将人格尊严作为敏感信息的判断标准。当然,这并不意味着,只有敏感个人信息才涉及人格尊严。事实上,一般的个人信息也同样关系到人格尊严,如果不当收集和利用个人信息(如借助大数据、算法等技术形成社会分选、歧视性对待等),将损害信息主体的人格尊严,尤其是数据画像行为,其借助大数据和人工智能技术,可能会不当地处理个人的敏感信息,损害人格自由。立法者之所以区分敏感信息与一般信息,其原因在于敏感信息与人格尊严的联系更为密切。《民法典》之所以将个人信息作为一项人格权益,也正是基于其与人格尊严的联系,《个人信息保护法》对个人信息进行系统保护,也旨在维护个人的人格尊严。
在此需要讨论,《个人信息保护法》第28条将金融账户作为敏感个人信息对待,因而要严格保护,原因何在。之所以要保护个人的财务信息,并非单纯为了个人的财产利益,其仍然涉及对个人人格尊严的保护。因为一方面,这是为了保护个人的物质利益,即为了防止因他人盗用或者冒用账号密码或者处置权限而直接损及个人的财产权。另一方面,个人财务信息与个人的人格尊严之间也存在一定的联系,个人是否对外公开其财务信息,是否维持其财务信息的私密状态,属于个人的自我决策和自主安排,也是人之为人、享有作为社会主体的自由和尊严的重要表现。还应当看到,对他人财务信息的侵害也可能使他人遭受人格性利益的伤害,例如,在非法公开他人的财务信息后,受害人可能因财务信息被公开而人身安全面临威胁,甚至可能遭受一定的人身损害,这也会影响个人人格尊严的实现。
第三,《个人信息保护法》的具体制度设计贯彻了人格尊严的价值理念。《个人信息保护法》的许多具体制度也强调对个人人格尊严的保护。例如,《个人信息保护法》第13条第1款第4项规定,在“紧急情况下为保护自然人的生命健康和财产安全所必需”时,个人信息处理者可以处理个人信息。《个人信息保护法》第18条第2款规定:“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。”上述规定均意在强化对个人生命健康的保护,其目的也在于保护个人的人格尊严。再如,即便当事人之间已经达成了个人信息的许可使用合同,为了保护个人的人格尊严,也要对信息主体提供特殊保护。《个人信息保护法》第15条规定:“基于个人同意处理个人信息的,个人有权撤回其同意。”该条赋予个人撤回其同意的权利,实际上赋予信息主体任意解除个人信息许可使用合同的权利。法律作出此种规定,主要是为了保护个人的人格尊严,因为合同债权在性质上属于财产权,而对个人信息的保护体现了对个人人格利益和人格尊严的保护。
此外,在对敏感个人信息认定所运用的“场景”理论中同样也需要贯彻人格尊严保护的理念。所谓“场景理论”,是指应当根据个人信息处理行为发生的具体场景,对围绕该行为的各个元素(如行为人、信息主体的身份,处理的目的,处理的场所及其影响的后果等)进行综合评价,以判断某信息处理行为的对象是否属于敏感个人信息。该理论最早由美国学者Nissenbaum教授提出,并为许多国家和地区的学者所采纳。在依据场景理论作出判断时,同样也需要考虑人格尊严的价值。一方面,依据《个人信息保护法》第4条,个人信息是已识别或可识别的自然人有关的各种信息,如何判断“有关”,仍然需要运用人格尊严的标准予以判断,即看其是否涉及个人的人格尊严。另一方面,在判断敏感个人信息时,也应当以人格尊严为标准。例如,人体基因的泄露会导致个人在就业、保险等社会活动中遭受各种不公正的歧视。再如,个人的行踪信息若被公之于众或其人脸等生物识别信息被他人不法收集或处理的,将使信息主体的人身安全受到威胁、人格尊严受到侵害。因此,应当将这些信息纳入敏感个人信息的范畴。
三、《个人信息保护法》的适用应结合《民法典》所规定的人格权保护一般规则来展开
第三,关于禁令制度的适用。禁令是指申请人为及时制止正在实施或即将实施的侵权行为,或有侵害之虞的行为,在起诉前或诉讼中请求法院作出的禁止或限制被申请人从事某种行为的强制命令。《民法典》第997条规定了侵害人格权的禁令制度,该条将其适用范围限定为人格权,但此处所说的“人格权”应当进行扩张解释,因为既然该条规定在人格权编一般规定之中,其当然应当适用于人格权编分则各项人格权益遭受侵害时的情形,其中就包括个人信息受侵害在内。在实践中,个人信息也可能遭受现实、紧迫的不法侵害行为,在此情形下,如果不及时采取禁令措施,放任侵害个人信息的行为继续进行,就会进一步扩大其造成的损害,甚至使得权利人遭受的损害超出经济损失的范畴(如精神损害、商誉的减损等)。
第四,关于精神损害赔偿的适用。《个人信息保护法》中并没有直接针对侵害个人信息的精神损害赔偿问题的规定,只是在该法第69条第1款提及了损害赔偿的责任形式。从《个人信息保护法》第69条第1款规定来看,其虽然采用了“损害赔偿等侵权责任”这一表述,但该条第2款解释损害赔偿时,实际上主要限定为财产损害赔偿。笔者认为,个人信息受侵害后产生的损害赔偿虽然主要是财产损害赔偿,但也可能适用精神损害赔偿责任。这是因为:一方面,在侵害个人信息尤其是敏感个人信息时,可能严重侵害他人的人格尊严以及人身、财产安全,并由此可能使个人遭受严重的精神损害。例如,非法泄露个人身患某种疾病的健康信息,使个人遭受歧视,严重影响个人的正常生活,并使其遭受严重的精神痛苦,此时就有必要通过精神损害赔偿责任对受害人进行救济。另一方面,对于精神损害赔偿而言,《民法典》第1183条规定,只有在侵害人身权益导致被侵害人严重精神损害时,被侵权人才有权请求精神损害赔偿。个人信息本身属于人格权益,受侵害后应当可以适用精神损害赔偿责任。
此外,《民法典》具有兜底保护的功能,而《个人信息保护法》作为“领域法”,其不可能对侵害个人信息的责任作出全面、系统的规定,因此,有必要发挥《民法典》的兜底保护功能。例如,《民法典》在人格权编对个人信息的收集和利用作了原则规定,在侵权责任编中对侵害人身权益的损害赔偿包括惩罚性赔偿等作了具体规定,这些规定都可以在保护个人信息方面发挥兜底功能。因此,在个人信息遭受侵害的情形下,在适用《个人信息保护法》的规则时,应当注重结合《民法典》的规则,以更好地发挥其保护个人信息的功能。
第一,要充分发挥《民法典》的规范储备功能,并与《个人信息保护法》相结合,形成保护个人信息的严密体系。上文已经探讨了《个人信息保护法》与《民法典》侵权责任编的关系,但严格地说,其不仅与侵权责任编存在关系,而且与《民法典》其他各编存在密切的联系。对于个人信息的许可和利用,往往都是通过合同作出安排的,这些行为均需要受到《民法典》合同编的调整。例如,《民法典》合同编对于格式条款的规制(第496条、第497条和第498条)以及特殊合同的解除规则等均填补了《个人信息保护法》的空白。又如,个人与信息处理者通过订立合同对个人信息的许可和利用作出约定的,该许可使用合同的订立与生效,应当适用《民法典》第469条以下的规定。当信息处理者违反合同约定处理个人信息时,信息主体还可以根据《民法典》第577条以下的规定要求信息处理者承担违约责任。因此,在保护个人信息时,不能仅从《个人信息保护法》出发,孤立地适用规则,而应当具有更加宏大的、体系化的视野,将其与《民法典》的规则相结合,使《民法典》在个人信息保护方面发挥规范储备效应,从而形成对个人信息的周延保护。
总之,《个人信息保护法》的规则与《民法典》的规则相结合,形成了一种具有内在逻辑的制度体系、规则体系,只有从整体上把握这个体系,才能在适用中充分发挥体系化的规范储存、查漏补缺等效用,从而形成对个人信息的体系化的、全面的保护。
结语
本刊坚持正确的舆论导向和办刊方向,立足中国,借鉴域外经验,刊载法治建设理论和实践经验成果,突出实证研究特色,以服务法学理论创新和法治中国建设。