我国个人信息保护范围界定
——兼论个人信息与个人隐私的区分
2015/12/14 15:17:35 点击率[2929] 评论[0]
【法宝引证码】
    【学科类别】人身权
    【出处】本网首发
    【写作时间】2015年
    【中文摘要】与个人信息保护在法律制度建构层面的进展相对比,在理论层面尚有许多基础性的问题存在争议,其中尤为突出的是个人信息的保护范围问题。域外的相关理论演进表明,个人信息和个人隐私在保护的价值基础上存在着显著的不同,个人信息保护的价值基础表现为在人际交往过程中对于自身信息利用的控制。以此为标准进行检视,我国现有民事法律框架中的隐私权并无法完全地涵盖取向于积极利用和掌控的个人信息。通过借鉴德国确立信息自决权的经验,我国也应当从宪法所规定的人格尊严条款出发,勾连个人信息与人格尊严之间的关系,从“可识别性”和“交互性”两个角度准确地界定个人信息的保护范围。
    【中文关键字】个人信息 个人隐私;信息自决权;人格尊严;信息控制
    【全文】

       随着信息技术的发展,尤其是伴随着“大数据”概念的提出和“互联网+”战略的铺开,个人信息在社会生活中占据了愈来愈重要的地位,对其进行系统化法律保护的重要性和必要性也日益突出。继2009年通过的《刑法修正案(七)》通过增设侵犯公民个人信息的犯罪突破性地确立了对个人信息全面刑法保护的原则之后[1],2015年公布的《网络安全法(草案)》也首次明确规定:“任何个人和组织不得窃取或者以其他非法方式获取公民个人信息,不得出售或者非法向他人提供公民个人信息。”然而,与法律制度建构层面的进展形成鲜明对比的是,在个人信息保护的理论层面尚有许多基础性的问题存在争议,其中尤为突出的是个人信息的保护范围问题。对此一方观点认为个人信息等同于个人隐私,并进一步主张法律之所以保护个人信息正是因为其涉及了个人的隐私;另一方观点则认为个人信息与个人隐私之间存在着明确的界分,对于个人信息的保护不能够附属于隐私权之下。[2]应当看到,尽管对于个人信息的保护是一个多法律部门共同协作的任务,但是在其中发挥基础和核心作用的无疑是民法[3],因此对于个人信息保护范围的研究,也势必要首先从民法的视角加以切入。

       一、“等同说”与“区分说”的初步重述

       主张个人信息等同于个人隐私的学者大都援引了美国有关个人信息保护的立法模式。[4]美国并不存在一部统一的个人信息保护法,而是经由《消费者隐私保护法》(Consumer Privacy Protection Act)、《学生隐私保护法》(Student Privacy Protection Act)、《雇员隐私保护法》(Employee Privacy Protection Act)等一系列单独的立法形成了众多相互独立的以隐私权为基础的个人信息保护制度,美国法院也在其作出的诸多判决中通过解释尽力将个人信息归属于隐私权之下。

       美国法上有关隐私权的理论源于萨缪尔·沃伦(SamuelWarren)和路易斯·布兰代斯(LouisBrandeis)于1890年发表在《哈佛法学评论》(HarvardLawReview)上的《隐私权》一文,在该文中两位作者基于生活权(righttolife)和独处权(righttobeleftalone)理论,论证认为隐私权的目的在于保护个人有权选择自己的生活,不受外界的干涉或侵害,除非此种侵害存在明确的社会需要和合法依据。[5]随后,著名侵权法学家普罗瑟(WilliamProsser)于1960年发表了《论隐私》(Privacy)一文,通过整理60余年来有关隐私权的判决,将侵害隐私权的行为归纳为“侵犯隐秘”(intrusionupontheplaintiff'sseclusionorsolitude)、“公开揭露”(publicdisclosureofembarrassingprivatefactsabouttheplaintiff)、“扭曲形象”(publicitywhichplacestheplaintiffinafalselightinthepubliceye)和“无权在商业上使用他人姓名或肖像”(appropriation, forthedefendant'sadvantage, oftheplaintiff'snameorlikeness)四种类型[6],由于普罗瑟教授同时也是美国侵权法重述的主编,因此他的上述归纳也就进而确立了美国法上个人隐私的保护范围。

       从中可以看出,美国法上的隐私权所保护的范围相当广阔,具有很强的延展性,相当于是一个框架性的权利,再加上美国的判例法制度,其可以灵活地应对实践中出现的各种新型问题。而主张个人信息等同于个人隐私的学者也正是基于这一点指出,我们不应当人为地对“隐私”的概念进行限缩和阉割,而应当认识到其所具有的私生活自由权的本质,在此框架下开展对于个人信息的保护。[7]同时,这部分学者还基于我国现行民事法律已经渐次确认了隐私权的事实,主张我们应当遵循“奥卡姆剃刀”原则,破除解决任何问题都要设立一项新权利的思路,尽量在既有的法律框架内解决个人信息的保护问题。[8]

       在笔者看来,上述观点确实有其合理性所在,但是却也面临着一个难题:美国法上的“隐私权”和我国民事法律中所规定的“隐私权”具有明显不同的内涵。如前所述,美国法上的隐私权更多的是一个框架性的权利,其具体内涵往往有待于具体判例的填充;而在我国,根据《侵权责任法》第2条第2款的规定,隐私权是一项具体人格权,尽管其明确的内涵同样有待于司法的填补,但是结合《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》、《最高人民法院关于确认民事侵权精神损害赔偿责任问题的解释》等规范性文件的规定,其保护的范围大致还是可以确定下来的,美国法上的“扭曲形象”和“无权在商业上使用他人姓名或肖像”就显然不是我国的隐私权所能够囊括的。在这种情况下,试图通过在既有法律规范框架之内扩充隐私权的内涵和外延使之发挥保护个人信息的作用无疑面临着巨大的解释难题。

       基于这一理由,另一部分学者主张应当区分个人信息和个人隐私的保护范围,并对个人信息的保护范围进行单独的界定。此种主张又可以细分为两类观点。第一类观点认为个人信息与个人隐私之间存在着一个包容关系,个人信息包含个人隐私,个人隐私是个人信息的下位概念。[9]第二类观点则认为两者之间并不存在上下位阶的关系,而是在相互重合的基础上又互有界分。[10]两类观点的共同点是都认为有相当一部分的个人信息是难以归入到隐私权的范畴之中的,典型例子是经本人同意在一定时间和空间范围内为特定或不特定的社会人群所周知的个人姓名、电话号码等信息,由于其已经不再具有私密性,因此已与个人隐私无关,但是其无疑仍属于个人信息的范畴。学者们还进一步探讨了造成此种界分的原因,指出这是由于个人信息和个人隐私的不同价值取向所致:个人信息的保护重心在于对个人信息自决权的保护,所注重的是自主支配和处分个人信息这一具体对象;而个人隐私的保护重心则在于防范个人的秘密不被非法披露,重在维护私人生活安宁。[11]

       笔者认为,基于我国既有民事法律框架的限制,隐私权的内涵扩张存在着法解释学上难以逾越的界限,因此虽然通过隐私权也能够满足一定程度上的个人信息保护的需要,但是它和现实需求之间的差距无法得到进一步的弥补。因而将个人信息与个人隐私相区分,通过单独界定个人信息的范围来实现对其的周全保护无疑是一条更为妥当的路径。接下来本文将在着重阐述个人信息保护的价值取向的基础之上,深入探究我国民事法律框架之下个人信息与个人隐私之间的界分。

       二、个人信息保护的价值基础

       (一)个人信息控制理论

       如前所述,美国通过一系列单行立法和司法判决形成了以隐私权为基础的个人信息保护制度。此一隐私权脱胎于普通法中的生活权和独处权,因此其内涵最初被界定为保护个人的独处和幽居。但是随后学者们的分析视角开始发生了变化,盖维逊(RuthGavison)指出,内在于隐私的个人利益,是与人们对他人相对于自身的可接近性(accessibility)的关注密切相关的。这种“可接近性”包括了自身被他人所了解的程度、他人可以从物理上(physical)接近自身的程度以及自身成为他人关注对象的程度等要素。[12]因此在他看来,隐私是对他人对某一个体的接近的限制(limitationofothers'accesstoanindividual),当某一个体相对于他人而言是完全不可接近之时,该个体就享有了一种完美的隐私状态。[13]可以看出,这种对于隐私权的分析方式虽然仍旧与个人独处有一定的关系,但是其核心关注点已经转向了个体与他人之间的人际关系。

       以人际关系为切入点,学者们开始对隐私权的价值基础重新进行审视。在人与人的交往过程中,个体需要掌控其自我披露(self-disclosure)的程度,以便合理地维持自身与他人之间的人际关系。[14]个体可以选择完全不进行自我披露,彻底杜绝他人对于自身的接近(access to the self),此时所对应的正是原初意义上的美国法中的隐私权;但是在更多的情况下,完全不进行自我披露并不符合个体的利益,为了在社会中生存和发展,个体需要向外界披露必要程度的个人信息,“必要程度”这一限定也就意味着此时的隐私权所保护的核心是主体对于自身信息传播与披露的控制。从功能面向上而言,隐私权不再仅仅表现为被动的防御外界对于独处的侵犯,而更多地体现为积极主动地控制个人信息的传播。从前文所引述的普罗瑟教授对于侵害隐私权行为的类型区分中我们也可以看出,除了“侵犯隐秘”和“公开揭露”这两种对应了原初意义上隐私权的行为之外,“扭曲形象”和“无权在商业上使用他人姓名和肖像”这两种侵犯了主体对于其个人信息控制的行为也被纳入到侵犯隐私权的范畴之中。可以说,这一分析视角的转变跨出了美国通过隐私来保护个人信息的关键一步。[15]

       (二)领域理论

       在德国,最初学理上所提炼的个人信息价值基础与美国法中脱胎于独处权的原初意义上隐私权的价值基础相类似。德国学者从人格的活动与发展领域之视角来思考这一问题,认为个体一方面表现为一个私主体,另一方面又表现为社会整体的一个成员,因此其人格的活动与发展领域有所不同。而为了确保个体的人格能够自由地发展,其在多种领域之中必须保有一个内部空间,作为私主体的个人能够在这一空间之中抵御外部环境的干预和侵入,充分享有安宁和寂静。[16]

       德国学者通过“同心圆”的方式将个体人格的活动领域区分为“隐秘领域”、“秘密领域”和“个人领域”,其中的隐秘领域与“人之尊严”这一德国《基本法》所确立的核心基本权利密切相关,因此也处于“同心圆”的最核心地带,受到绝对的保护,对其的任何形式侵害都不可能被正当化。相比较而言,对于秘密领域和个人领域的侵犯,则需要通过相互利益衡量的标准来决定是否具有可非难性。[17]不难看出,这一“领域理论”为个人所提供的主要也是被动的防御权能,不同“领域”之间的区别仅仅表现为与“人之尊严”的关系远近,越接近该核心地带所受到的保护层级就越高,越远离该核心地带则越有可能通过利益权衡而失去法律的保护,从中并没有体现出个人的任何积极作为。

       更为重要的是,尽管德国联邦法院及宪法法院采纳了学理上对于不同领域的区分,并借此作出了一系列有关个人信息保护的判决。但是随着审判实践的发展,法院一方面发现对于不同领域之间的区分在法解释学上面临着越来越大的困难,难以判定某种个人信息究竟属于何种领域;另一方面也意识到所谓的“隐秘领域”受绝对保护的主张在实践中越发难以成立,个人对于自身信息并不享有绝对的不受限制的支配权。因此德国联邦宪法法院开始逐渐扬弃领域理论,在审判实践中将其加以相对化(详见下文),而学者们也开始为个人信息保护寻找新的价值基础。

       (三)自我表现理论

       从前文可以看出,领域理论的主要问题在于试图在不同的领域之间作截然的区分,并对其中的最核心领域赋予完全绝对化的保护,而该理论的出发点——个人信息与人格发展之间的密切关系仍有具有相当的合理性,因此学者们在对这一理论进行扬弃之时依旧是以人格发展和人之尊严作为立论的出发点。

       卢曼(NiklasLuhmann)指出人格是每个人在不同的社会角色之下体现于外的“自我表现”的集合,基本法所规定的人之尊严和自由发展人格只有通过个人的“自我表现”才能够存在。[18]随后的学者进一步指出“自我表现”的实质在于对个人信息的利用,因为“自我表现”存在于个人和外部环境的双向交互场景之中,一方面个人会通过作出行为来影响外部环境,另一方面外部环境也会对个人作出的行为给予反馈,而个人信息在这一交互过程之中发挥了重要的媒介作用。[19]不难发现,这与前文所介绍的美国法上的个人信息控制理论已经非常相近。自我表现理论同样脱离了单纯的、被动的防御姿态,将自身置于人际交往的互动场景之中,从而使得个人信息与领域理论中的隐秘性脱钩,无论个人信息的具体内容是否涉及信息主体的个人隐秘,它都受到法律的保护,因为个人享有对其加以合理利用进而掌控自我表现的利益。

       (四)小结

       至此可以发现,两大法系的代表国家美国和德国在个人信息保护的价值基础这一问题上最终殊途同归,将其确定为在人际交往过程中对于自身信息利用的控制。美国自始在隐私权这一大框架之下展开相应的保护,但是在其中渐次区分出了偏重于消极防御的原初意义上之隐私和偏重于积极控制的现代意义上之个人信息。德国在人之尊严和人格发展这一核心价值的指引之下,也经历了个人信息与个人隐秘的脱钩过程。从中可以看出,个人信息与个人隐私在保护的价值基础之上存在着很大的不同,那么我国民事法律框架之下的隐私权是否能够完整地涵盖取向于积极控制的个人信息呢?这是本文下一节将要探讨的问题。

       三、我国民法上隐私权的内涵及其局限

       如前所述,在我国现有的民事法律框架之中,规定了隐私权的核心条款是《侵权责任法》第2条第2款,但是该款规定本身并没有从正面对隐私权的内涵作出进一步的阐述。在学理上,既有强调隐私权所具有的排除他人对个人隐秘生活进行干预的权能的观点[20],也有突出隐私权所具有的保证个人对其自身信息进行掌控和支配的权能的观点[21],笔者则认为,尽管《侵权责任法》第2条第2款并没有直接阐述隐私权的内涵,但是这并不意味着学理就可以对其进行任意的填充,我们必须要充分关照到相应的责任条款,进而检视其是否能够完整地涵盖取向于积极控制和掌控的个人信息。

       根据《侵权责任法》的规定,我们可以将侵害隐私权的责任方式区分为两类。第一类是规定于第15条的一般性责任,主要包括停止侵害、赔偿损失、赔礼道歉、消除影响、恢复名誉等。其中的停止侵害仅仅旨在停止侵权人对于隐私权主体的个人隐私的侵害,而并没有涉及对隐私受侵害状态的补救;而赔偿损失、赔礼道歉、消除影响、恢复名誉等责任方式虽然涉及对隐私受侵害状态的补救,但是这种补救并没有从积极的角度去保障隐私权主体对于自身隐私信息的控制和利用。换言之,这类一般性责任并无法保证个人对自身信息传播和利用的自我掌控。在司法实践中我们也可以看到这一局限性的体现,例如在“孙伟国与中国联合网络通信有限公司上海市分公司隐私权纠纷”一案中[22],尽管法院从个人信息控制理论的进路指出“法律规定隐私权的目的是赋予权利主体对他人在何种程度上可以介入自己私生活的控制权,以及对自己是否向他人公开隐私以及公开范围的决定权”(着重号为笔者所加),进而判定被告侵犯了原告的个人信息,但是最后也只能判决被告向原告赔礼道歉,而并没有能够恢复原告对于自身信息的控制和决定。

       《侵权责任法》所规定的第二类责任方式主要体现在第36条,根据该条第2款的规定,被侵权的隐私权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施,制止网络用户继续利用网络服务实施隐私侵权行为。应当说,相较于第15条的一般性责任而言,该款规定在一定程度上保障了信息主体阻止个人信息通过网络服务继续扩散的意思自由,从而体现了个人对其个人信息处理和扩散的自主性。但是我们也应当看到,这类责任方式的适用范围相当狭隘,只适用于被他人利用自身网络服务实施侵权行为的网络服务提供者,在其他情形下并无法适用。更为重要的是,该款规定对于个人信息的保护同样是不完整的,信息主体依据该款规定有权阻止其个人信息通过网络服务进一步扩散,却无法对已经扩散和公开出去的个人信息进行维护和修正。

       我们还可以从举证责任分配的角度来进一步分析该问题。在实践中,个体之间的个人信息侵权行为只占少数,绝大多数情形下都是收集、储存了大量个人信息的信息业者乃至于政府对于个人的侵权,由于前者在技术、资源甚至于正当性方面都具有显著的优势,因此一旦发生侵权行为,被侵权的个人一方在举证方面就面临着相当的困难。与之相类似的还有医疗侵权、环境侵权等情形,在这些场合中当事人之间在举证能力上都面临着不对等关系。《侵权责任法》对于医疗侵权和环境侵权都规定了特殊的举证责任规则,使个人承担较轻的举证责任,但是对于隐私权并没有任何特殊的制度设计,从而使得个人信息的保护效果大打折扣。

       综合以上几点我们可以看到,从我国隐私权的现有制度架构出发,其对于个人信息的保护只能止步于防御他人对信息隐私的侵害,而无法进一步拓展到对于个人信息的积极控制和维护,同时也没有基于个人信息侵权的特点为其设计特殊的举证责任规则。因此,虽然我们可以在学理和判决中对于我国民法中隐私权的内涵进行填充和形成,但是其实际保护效果并不尽如人意。表面上看起来我国和美国一样都是在隐私权的框架之下展开对于个人信息的保护,但是我国实际上是削个人信息之“足”以适狭义隐私之“履”,这决定了隐私权保护模式在面对现实中个人信息保护需求的乏力。

       因此,本文主张应当给予个人信息保护所特有的价值取向,创设单独的个人信息权,进而单独厘定个人信息的保护范围。对此,德国法上基于“自我表现”理论确立“信息自决权”的经验可资借鉴。

       四、“信息自决权”的确立与应用

       (一)信息自决权的确立

       德国民法中并没有关于人格权的一般规定,仅仅在《德国民法典》第823条第1款规定:“因故意或过失不法侵害他人的生命、身体、健康、自由、所有权及其他权利者,应就所生损害负赔偿责任。”1957年,德国联邦法院在“读者来信案”[23]中指出,《基本法》第1条第1款所规定的“人之尊严”和第2条第1款所规定的“自由发展人格”是一种私权利[24],进而以《基本法》第1、2条为基础,创设了所谓的“一般人格权”,并指出前述《德国民法典》第823条第1款中规定的“其他权利”即所谓的“一般人格权”。

       类似的,德国法上也没有隐私或个人信息的概念,司法判例从前述的一般人格权出发,认为其为了保护个人生活领域而发生了内化,演变为所谓的“私人性”(Privatheit)。同时通过借鉴前文所述的学理上之领域理论,司法判例认为“私人性”使得个人享有一个自我生活形成的自主领域,能够排除他人的干预而自由地发展其人格。[25]这就是一般人格权的内化过程。

       随着审判实践的发展,领域理论日渐呈现出其在法解释学上的缺陷,因此德国联邦宪法法院开始逐渐将其加以相对化,其最典型的判例就是“人口普查案”[26]。在该案中,联邦宪法法院判定德国于1983年制定的旨在全面普查人口资料的《人口普查法》违宪,提出在个人信息的收集和处理日渐数字化的现代社会,《基本法》所规定的人格自由发展之保障取决于个人能够有效地抵御其信息被无限制地收集、储存、利用和传播,因此需要将“一般人格权”进一步具体化为个人基于意思自由决定何时、在何种范围内公开其生活事实的“信息自决权”。

       信息自决权的确立无疑体现了自我表现理论所主张的自主使用个人信息的价值取向,其意义不仅仅在于进一步具体化了一般人格权,更在于扬弃了领域理论的方法论,不再对个体人格的活动领域进行截然的区分,而是以个人信息的利用或结合可能性作为判定标准。从中我们不难归纳出联邦宪法法院所认可的个人信息保护范围,即保护那些对于个人和外部环境的交互过程具有影响力、有助于个人人格自由发展的信息。联邦宪法法院的这一判决对于联邦法院的司法实践产生了重要的影响,也使得德国的个人信息保护呈现出由领域理论向信息自决的发展趋势,扩大了个人信息的概念,逐步建构起以信息自决权为核心的个人信息保护法律体系。那么,信息自决权背后的机理是否能够在我国的法律框架内得到应用呢?

       (二)信息自决权在我国的应用前景

       如前所述,德国法上发展出一般人格权乃至于信息自决权的特殊背景在于德国民法中并没有关于人格权的一般规定,其规范基础系源于《基本法》第1、2条的效力界域向私法领域的扩张,进而经由《基本法》所规定的“人之尊严”和“自由发展人格”与自我表现之间的内在联系厘定了个人信息的保护范围。笔者认为,这一机理同样可以在我国的民事法律框架内得到应用,兹列理由如下:

       首先,虽然我国通过最高人民法院于2001年发布的《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》(以下简称《侵权精神损害赔偿解释》)明确接纳了一般人格权理论[27],同时在《侵权责任法》第2条第2款明确规定了隐私权,但是这并不意味着有关个人信息的保护就不再需要考虑存在于民事法律秩序背后的宪法规范的影响。事实上,宪法规范的效力向私法领域的扩张并非德国法上独有的现象,毋宁说这根源于宪法的最高法律效力这一特性。在德国法的理论中,宪法通过基本权利篇章构建出了一套客观价值秩序,其中心落于处在社会共同体之中的人之人格的自由发展及其尊严,由此必须作为宪法基础决定而对包括私法领域在内的所有法领域发生效力。[28]而我国《宪法》也于“序言”最后一段明确指出“本宪法……是国家的根本法,具有最高的法律效力”,并于第5条第3款规定“一切法律、行政法规和地方性法规都不得同宪法相抵触”,这同样体现了宪法所构建的客观价值秩序的效力向所有法领域扩张的精神。与德国《基本法》规定“人之尊严”和“自由发展人格”相类似,我国《宪法》也明确规定“人格尊严不受侵犯”(第38条),因此有关个人信息的保护势必需要考虑到这一基本权利规范所带来的影响。

       其次,我国民事法律体系业已确认的一般人格权和隐私权都无法满足个人信息保护的现实需要。隐私权所存在的缺陷在前文已有论述,其受制于单项具体人格权的性质和维护私人生活安宁的价值取向,无法发挥类似于美国法上隐私权的统摄功能。而或许正是意识到了这一点,我国的司法实践已经尝试运用一般人格权来解决隐私权所无法涵盖的个人信息保护问题。在“王某某诉上海某某物业顾问有限公司一般人格权纠纷案”[29]之中,被告物业公司的业务员从网上获知原告在出租房产信息中公布的手机联系方式之后,每天连续不断地向原告拨打电话推销商铺。法院围绕着被告的行为是否侵犯了原告的合法权益及侵犯了何种权益这一争议焦点指出,“在现代社会,信息技术发达,信息传播速度快、影响力大、覆盖面广,保证个人信息的隐秘、安全和正当合理使用已经成为维护个人生活领域安宁、保持个人良好生活秩序的不可或缺的手段,因此个人信息应当属于一般人格权的重要内涵,属于法律保护的合法权益。”进而通过一般人格权而非隐私权的路径支持了原告要求赔礼道歉的诉讼请求。但是显然,法院的这一“曲线救国”的做法实属无奈之举,毕竟作为一项框架性权利的一般人格权不可能普适性地替代具体权利的司法适用,同时从法院的论证中我们也可以看出尽管其将本案的案由确定为一般人格权,但是在论述其与个人信息相关的内涵时还是带有很强烈的隐私权的色彩。这也就意味着,想要真正界定清楚法院所称的“超出合理使用范围使用他人个人信息,并对个人正常生活造成侵扰的行为”所侵犯的权益属性,就必须在宪法所确立的人格尊严权的基础之上构建新的个人信息权。

       也正因为如此,在隐私权之外构建一项新的个人信息权就不是像批评者所称的那样会导致“法典化的权利体系和内在逻辑的支离破碎”、“法律适用上的叠床架屋”[30],而恰恰是在充分考虑了我国现有人格权法律体系的内在逻辑的基础之上,站在民法典编纂开启的历史节点之上的正确选择。当然,批评者的观点并非全然没有合理性所在,我们在依据宪法中有关人格尊严的规范构建个人信息权并厘定其保护范围之时,势必也需要考虑到其与现有的一般人格权和隐私权,以及其他部门法中业已存在的“个人信息”概念之间的关系,确保新的规范能够与既有的法秩序在概念、逻辑和体系上相互融洽,以一种合乎固有法律思维的方式去进行表达。

       五、基于“人格尊严”的个人信息保护范围

       (一)我国宪法上“人格尊严”的解释方案

       我国《宪法》第38条所规定的“人格尊严”尽管与德国《基本法》第1条第1款所规定的“人之尊严”存在着相似性,但是两者之间还是存在着许多区别。例如德国《基本法》在第1条第1款就规定了“人之尊严”,因此通说认为其是宪法秩序内的最高价值,对其的尊重和保护是基本法的建构性原则[31];而我国《宪法》则是在基本权利章的第38条规定了“人格尊严”,两者在宪法体系中的地位显然有所不同;又如德国《基本法》关于“人之尊严”的保护表述是“不可侵犯”(unantastbar,直译为“不可触碰”),这意味着国家公权力根本不得对其进行干预;而我国《宪法》所规定的“人格尊严”则有可能经由第51条的规定受到限制,两者的保护范围也有所不同。因此,在基于“人格尊严”的宪法规范来界定我国个人信息的保护范围之时,尽管可以借鉴德国法上推导出“信息自决权”的机理,但是显然不能直接照搬德国对于“人之尊严”的解释方案,而必须以我国《宪法》第38条的文本为基础进行解释。

       第38条的文本是“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”据此,主流观点认为本条的前一句是一般性的规定,后一句则通过明确列举禁止性事项的形式对前一句的内涵进行说明,因此依据文义解释,人格尊严的内涵即为“不受侮辱、诽谤和诬告陷害的权利”。[32]从制宪背景的角度来看,1982年宪法规定人格尊严在很大程度上是吸取了“文化大革命”期间各种侵犯公民尊严的惨痛教训,因此将人格尊严的内涵确定如上大体也可以得到历史解释的支持。但是如此一来,第38条所规定的人格尊严的规范含义就显得相当狭窄,很难想象其能够支撑起包括个人信息权在内的整个人格权体系。因此,有学者基于宪法解释学上的如下假定——每一个宪法条文都有其单独存在的规范意义——指出第38条所包含的前后两句之间具有相对独立性,后一句并非是对前一句内涵的完全列举,而只是特别地规定了制宪者认为需要着重强调的集中侵犯公民人格尊严的行为。[33]与此同时,“禁止用任何方法”中“任何”这一并不常见的表述也为基于保护目的的扩大解释提供了可能的空间。

       如此一来,“不受侮辱、诽谤和诬告陷害的权利”就只是人格尊严的核心而非全部内容,对其完整内涵的探讨则需要借助体系解释和目的解释的方法来完成。我们可以注意到,《宪法》第2条第1款规定“中华人民共和国的一切权力属于人民”,该款明确了人民主权原则,同时也鲜明地体现了将人民视为主体和目的的政治哲学思想。而《宪法》第2章“公民的基本权利和义务”中所规定的以自由权为核心的各项基本权利,体现了保障公民个人的自由领域免受公权力侵犯的精神,其背后所预设的正是公民作为一个独立的主体有能力自主作出决定、自由作出选择。这一切均与作为德国《基本法》上“人之尊严”哲学基础的“人以及一般而言每一个理性存在者……必须始终同时被视为目的”[34]的康德哲学具有相通之处。因此,我国《宪法》第38条所规定的人格尊严的完整可以被理解为公民作为具有独立意志的主体而享有的得到尊重的权利。[35]

       (二)人格尊严与个人信息的关系

       基于此,我们可以进一步来梳理个人信息与我国宪法中人格尊严的关系。人格尊严的前提在于公民是一个具有独立意志的主体,当每一个公民都是作为互不关联的个体而单独存在之时,这一预设前提并不会产生什么问题;但是在现实生活中,每一个个体都不可避免地处在与其他个体和整个社会环境相互交流、互动的过程之中,在这一过程之中信息作为交流和互动的重要载体会对个体的意志和思想产生不容忽视的影响,而作为信息核心的个人信息自然也就与独立意志之间建立起了紧密的联系。当对个人信息的不当利用导致个体在于其他个体和社会环境的交互过程中受到了不利于其独立意志的消极影响之时,就会进而干预乃至于侵犯到其人格尊严。

       (三)个人信息保护范围的界定与类型化区分

       因此,笔者认为我国民法中个人信息的保护范围可以大体界定为与公民个体的独立意志和交互行为的独立自主具有密切联系的信息。对于这一界定,可以从以下几个方面加以理解:第一,可识别性。可识别性应当被确认为个人信息的首要特征,因为如果经由某种信息无法与某个特定个体的人格和身份建立起联系,也就无法想象对其的利用何以能够影响到该个体的独立意志及其与外界交互行为的独立自主。从与现有法律规定相衔接的角度来看,《关于加强网络信息保护的决定》、《网络安全法(草案)》、《电信和互联网用户个人信息保护规定》、《全国民事审判工作会议纪要》(2015年4月征求意见稿)等目前主要的对个人信息给出定义的法律及规范性文件均将“可识别性”明确为一项主要特征。[36]当然,可识别性应当被理解为经由一切可能被信息获取者合理利用的方法进而识别出个人身份的可能性。第二,交互性。交互性是将个人信息与个人隐私区分开来的一项重要特征。个人隐私同样可能具有可识别性的特征,但是其具有明显的私密性,隐私主体通常而言并没有意愿将其置于交互场景之中;而个人信息发挥自身作用的空间就是信息主体与外界的交互过程,信息主体的权益在于依循自身的意愿对个人信息进行合理的利用,以便在社会交往过程中占据一个有利的地位。明确交互性这一特征的意义在于避免个人信息权的创设引发批评者所指摘的法律适用上叠床架屋的弊病,各方学者都承认个人信息与个人隐私的保护范围之间具有交错性,但由于两者在诸多层面尤其是保护方式上存在着显著的不同,因此对于那些明显归属于隐私范畴的客体,则应当交由个人隐私加以保护。

       与个人信息的保护范围密切相关的另一个问题是对于个人信息的限制。对于个人隐私而言,在立法政策上倾向于将其设计成一种绝对性的权利,尽管随着知情权和言论自由的价值被逐渐发掘,个人隐私开始逐渐受到公共利益的限制,但是总体上而言其所受到的还是一种近乎“绝对”的保护。而个人信息所面临的是一个相当不同的环境,除了与个人隐私共享的人格尊严价值、商业价值之外,个人信息还具有显著的国家治理价值。对于国家而言,想要进行完善的社会治理就必须将国家行动建基于丰富的社会知识之上,而随着社会形态的变迁,个人在国家眼里越来越“特征化”,由个人特征积聚而成的个人信息也就成为了最为重要的社会知识之一。为了获取这种社会知识,国家自然需要积极、主动地参与到收集、处理和利用个人信息的过程中去,而这不可避免地会构成对于个人信息的限制,因此个人信息保护范围的完整厘定还需要进一步考虑个人与国家这一新的利益衡量格局。

       结合个人信息的可识别性、交互性特征与新的利益衡量格局对其构成的限制,我们可以进一步将其划分为“敏感性个人信息”与“一般性个人信息”。敏感性个人信息指的是易于识别出个人身份、信息主体的自主利用意愿强、国家获取程度相对较低的个人信息;而一般性个人信息指的则是不易于识别出个人身份、信息主体的自主利用意愿弱、国家获取程度相对较高的个人信息。对个人信息做如上类型化区分的意义在于采取分殊化的治理策略,对于敏感性个人信息应当强调保护的面向,对于一般性个人信息则应当在保护的基础上注重利用的面向,如此才能够协调存在于个人信息场域之中的新型利益衡量格局,最终实现利益平衡。

    【作者简介】
    廖宇羿,中国人民大学法学院博士研究生。
    【注释】
    [1]参见赵秉志:《公民个人信息刑法保护问题研究》,载《华东政法大学学报》2014年第1期,第119页。
    [2]参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期,第66-68页。
    [3]参见王利明:《论个人信息权在人格权法中的地位》,载《苏州大学学报》(哲学社会科学版)2012年第6期,第68-70页。
    [4]例如陈起行:《资讯隐私权法理探讨——以美国法为中心》,载《政大法律评论》2000年总第64期。
    [5]参见[美]路易斯·D·布兰代斯等著:《隐私权》,宦盛奎译,北京大学出版社2014年版。
    [6]参见王泽鉴:《人格权法》,北京大学出版社2013年版,第183-184页。
    [7]参见马特:《无隐私即无自由》,载《法学杂志》2007年第5期。
    [8]参见马特:《个人资料保护之辩》,载《苏州大学学报》(哲学社会科学版)2012年第6期,第82页。
    [9]参见齐爱民:《拯救信息社会中的人格:个人信息保护法总论》,北京大学出版社2009年版,第78页。
    [10]前引2,《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,第66-68页。
    [11]参见谢远扬:《信息论视角下个人信息的价值——兼对隐私权保护模式的检讨》,载《清华法学》2015年第3期,第108-109页;前引2,《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,第67页。
    [12]SeeRuthGavison, “PrivacyandtheLimitsofLaw”, 89(3) YaleLawJournal, 1980,p.423.
    [13]Id.,p.428.
    [14]See Adam Joinson, Carina Paine, “Self-disclosure, privacy and the Internet”, in Adam Joinson, Katelyn McKenna, Tom Postmes, Ulf-Dietrich Reips(ed), Oxford Handbook of Internet Psychology, Oxford University Press, 2009.
    [15]参见谢远扬:《信息论视角下个人信息的价值——兼对隐私权保护模式的检讨》,载《清华法学》2015年第3期,第100页
    [16]参见王泽鉴:《人格权法》,北京大学出版社2013年版,第198页。
    [17]参见王泽鉴:《人格权法》,北京大学出版社2013年版,第198-199页。
    [18]参见谢远扬:《信息论视角下个人信息的价值——兼对隐私权保护模式的检讨》,载《清华法学》2015年第3期,第102页。
    [19]同上文,第102页。
    [20]例如王利明:《人格权法研究》,中国人民大学出版社2012年版,第502页。
    [21]例如马特、袁雪石:《人格权法教程》,中国人民大学出版社2007年版,第260页。
    [22]案件字号:(2009)浦民一(民)初字第9737号,审理法院:上海市浦东新区人民法院。
    [23]BGHZ13,334.
    [24]《基本法》第1条第1款:人之尊严不可侵犯,尊重及保护此项尊严为所有国家权力之义务。第2条第1款:人人于不侵害他人之权利或不抵触宪政秩序或道德规范之范围内,享有自由发展其人格之权利。
    [25]参见王泽鉴:《人格权法》,北京大学出版社2013年版,第197-198页。
    [26]BVerfGE 65,1.
    [27]《侵权精神损害赔偿解释》第1条第1款:自然人因下列人格权利遭受非法侵害,向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理:……(三)人格尊严权、人身自由权。并参见陈现杰:“解读《关于确定民事侵权精神损害赔偿责任若干问题的解释》”,载李国光主编:《解读最高人民法院司法解释·民事卷(1997-2002)》,人民法院出版社2003年版,第68-69页。
    [28]BVerfGE7,198(205)
    [29]案件字号:(2010)浦民一(民)初字第22483号,审理法院:上海市浦东新区人民法院。
    [30]前引8,《个人资料保护之辩》,第82页。
    [31]BVerfGE45,187(227f)
    [32]参见焦洪昌主编:《宪法学》,北京大学出版社2009年版,第391-392页等。
    [33]参见谢立斌:《中德比较宪法视野下的人格尊严》,载《政法论坛》2010年第4期,第62页。
    [34]参见[德]康德:《道德形而上学的奠基》,李秋零译注,中国人民大学出版社2013年版,第48页。
    [35]前引26,《中德比较宪法视野下的人格尊严》,第63页。
    [36]《关于加强网络信息保护的决定》第1条第1款:国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。
    《网络安全法(草案)》第65条第5项:公民个人信息,是指以电子或者其他方式记录的公民的姓名、出生日期、身份证件号码、个人生物识别信息、职业、住址、电话号码等个人身份信息,以及其他能够单独或者与其他信息结合能够识别公民个人身份的各种信息。
    《电信和互联网用户个人信息保护规定》第4条:本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
    《全国民事审判工作会议纪要》(2015年4月征求意见稿)第20条:能够单独或者相互结合识别特定个人身份及行为隐私的信息构成网络公民个人信息(如网络用户的网络认证账户和密码、IP地址、上下线时间、网络浏览日志、网页地址、使用的搜索引擎关键词,公民个人的姓名、职业、家庭、婚姻、指纹、音频、视频等)。

    本网站文章仅代表作者个人观点,不代表本网站的观点与看法。
    转载请注明出自北大法律信息网
0
北大法律信息网
www.chinalawinfo.com
法律动态
网站简介
合作意向
网站地图
资源导航
版权声明
北大法宝
www.pkulaw.cn
法宝动态
法宝优势
经典客户
免费试用
产品服务
专业定制
购买指南
邮件订阅
法律会刊
北大英华
www.pkulaw.com
英华简介
主要业务
产品列表
英华网站
联系我们
用户反馈
返回顶部
二维码