民法典分析个人信息权(民法典对个人信息权益请求权的构造)
作者:孙彬彬 邢路
摘要
个人信息业已成为经济和社会发展中极为重要的数据资源,个人信息保护由此成为法律实践中的新热点。《民法典》颁布之前,相关的民事法律规范所确定的个人信息法益请求权,存在结构性缺陷:请求权依据阙如、请求权要件不明确、请求权事实基础的证成标准和举证责任不确定、请求权法律效果单一等。《民法典》通过设置专章,明确了个人信息的性质是一种法律保护的民事权益,确定了个人信息权益的基本原则、权利义务的基本内容和构成要件、个人信息免责事由、个人对自己个人信息上的决定权等。通过上述规定,《民法典》构造了个人信息权益请求权的基本结构,使得个人信息法益的可诉性大大强化,从而为个人通过民事诉讼途径保护自身个人信息法益,提供了更为可行的救济途径。
21世纪以来的社会是一个大数据信息化社会。大数据技术能够有效整合碎片化的个人信息,实现对海量信息的快速分析和处理,使个人信息在物理世界和虚拟世界之间实现越来越频繁的交互穿梭,由此成为了极为重要的经济资源。因此,个人数据保护渐成社会经济和法律中的热点领域。在保护个人信息安全的法律实践方面,自2018年5月出台《通用数据保护条例》(GDPR)以来,欧盟在个人数据的法律救济领域,形成了以公法保护为主、强力行政执法模式的基本格局。而我国前期相关立法,同样建立起了一套以行政法规及一系列国家标准为主的个人信息保护公法法规体系,以及多部门分工执法的执法格局。
此种强力行政执法模式体现出政府对个人信息安全保护的重视和态度。而随着个人越来越多地介入到物理世界和虚拟世界的交互过程中,个人对个人信息安全的重视与日俱增,个人信息作为一种私法上权益,通过民事诉讼途径予以救济成为司法实践中的新兴领域。最近数年内,以个人信息权益被侵犯为由进行的民事诉讼逐渐增多。尽管此前我国对个人信息安全保护的法律法规已较为严密,行政执法力度也不可谓不强,但既有的法规体系以公法为主,作为一种民事合法利益,通过民事诉讼对个人信息进行救济的成功案例,仍为数寥寥。这体现出既往民事法律法规中,对个人信息安全的定位、界限、内容、证明责任等请求权行使的基本要件,均存在不同程度的缺乏。而《民法典》的颁布施行,则在一定程度上弥补了这些缺陷。本文拟通过对《民法典》实施前,个人信息保护相关裁判案例所呈现的个人信息法益请求权行使的困境,与《民法典》所确立的相关制度进行对比,归纳《民法典》所建构的个人信息法益的请求权结构,及后续仍有待立法澄清的相关问题。
一、《民法典》颁布前个人信息民事诉讼的困境《民法典》颁布之前,司法实践中以个人信息保护为诉请的案例为数寥寥。通过检索,以如下三件较有代表性的案件为例,剖析此前个人信息保护民事诉讼的困境。
案例1
任某某诉百度公司侵犯名誉权(被遗忘权)案(北京市海淀区人民法院(2015)海民初字第17417号)
原告任某某称其是国家高级人力资源师,在教育及管理领域均享有极高的声誉。曾在无锡陶氏生物科技有限公司从事相关教育工作,2014年11月与陶氏教育解除劳动关系。从2015年2月初开始,任某陆续在百度公司的网站上发现“陶氏教育任某某”“无锡陶氏教育任某某”等字样的内容及链接。由于陶氏教育在外界颇受争议,上述信息给自己的名誉造成极大侵害,因此曾多次发邮件给百度公司要求删除相关内容,但至今百度公司仍未删除或采取任何停止侵权的措施。因此向法院提起诉讼,请求判令百度公司删除侵权信息。
二审法院在审理过程中,探索了任某主张的一般人格权中的所谓“被遗忘权”的法律适用问题。法院认为我国现行法律中并没有具体称谓为“被遗忘权”的权利类型,国外的法律及判例不能成为我国此类权利保护的法律渊源。而从我国侵权责任法的规定来看,该利益能否成为应受保护的民事法益,关键在于该利益的正当性与受法律保护的必要性,在法院看来,任某某的从业经历信息也同时也构成了相关客户学生知悉其资质、能力并据以做出选择的参考依据,也即任某某所主张的“被遗忘权”因对公众的知情权或选择权构成限制缺乏正当性。因此依法驳回了其诉讼请求。
该案涉及到个人信息保护民事司法保护路径的两大基本障碍:(一)个人信息在以往的民事法律规范中,并无具体、明确的定位,其是否是法律所保护的权益,以及司法应将其归于何种民事权利类型以便对相关规范予以类推使用,完全没有规定,造成个人信息在司法实践中很难成为一种可诉法益,既往民事诉讼中一般将其归为侵犯人格权案由之中;(二)个人信息权益的边界不清晰,如何平衡这一权益与其他社会权益的标准,亦不清晰,因而确定司法是否应当给予救济,须完全依赖法官的自由裁量。故在司法实践中,此类案件的裁判结果具有很大的不确定性。
案例2
庞某诉趣拿公司、某航司隐私权纠纷(个人信息被泄漏)案(北京市第一中级人民法院(2017)京01民终509号)
庞某诉称,其于2014年10月11日,委托鲁某通过北京趣拿信息技术有限公司(以下简称“趣拿公司”)下辖“去哪儿网”平台订购了某航司机票1张,于2014年10月13日收到一条以机械故障为由取消航班的来源不明的短信,后经航司客服的确认,该短信为诈骗短信。庞某认为趣拿公司与某航司泄露了其隐私信息包括其姓名、手机号、行程安排(包括起落时间、地点、航班信息),要求趣拿公司与某航司承担隐私权的侵权责任。
一审法院认为没有证据证明趣拿公司和某航司将庞某过往留存的手机号与本案机票信息匹配予以泄露,且趣拿公司和某航司并非掌握庞某个人信息的唯一介体,因此无法确认被告存在泄露其隐私信息的侵权行为,驳回了庞某的全部诉讼请求。
二审法院认定某航司和趣拿公司存在泄露庞某隐私信息的高度可能,并且存在过错,且某航司和趣拿公司的反证不足以推翻隐私泄露的高度可能,应当承担侵犯隐私权的相应侵权责任。
该案涉及到个人信息保护纠纷的事实证成标准与举证责任分配的两大障碍。由于在相关法律规范中,缺乏相应的具体规定,因此法院运用类推适用方法确定了本案证成事实标准和举证责任分配的原则。从一审法院在本案中的说理可以看出其基本思路是严格按照一般侵权的构成要件,要求原告承担证明被告存在泄露其隐私信息的侵权行为。这也意味着原告不仅需要证明两被告趣拿公司和航空公司对外泄露的旅客行程信息能够与其姓名、手机号码等具有高度身份识别性的信息相吻合,还需证明该信息为两被告泄露或证明两被告为个人信息唯一介体以推定泄露行为,否则不能认定两被告的行为侵犯了被纳入原告隐私权(本案中同样须首先将原告相关权益归入某类民事权利下)的合法权益;二审法院则进一步重新分配了要件事实的举证责任,即运用高度盖然性标准判断两被告泄露原告个人信息的可能性较大,减轻了一审法院要求原告举证证明其个人信息被两被告泄露的举证责任,而是要求被告承担否定泄露行为的举证责任。
案例3
刘某某诉工商银行上海分行侵犯隐私权(个人信息受保护权)案(上海市第一中级人民法院(2015)沪一中民六(商)终字第107号、上海市高级人民法院(2016)沪民申2161号)
2011年6月,刘某某向工行上海分行申领牡丹畅通卡一张。申请表背面印制的《牡丹畅通卡领制合约》第五条规定:甲方同意乙方可通过电子邮件或短信方式向其发送与牡丹信用卡有关的信息。2013年2月至2014年6月,银行通过“95588”短号码向刘某某发送各类旅游、购物、打折促销等商业信息短信30余条。2013年10月至2014年5月,刘某某向“95588”三次发送短信,要求停止发送垃圾短信,否则将起诉。期间,“95588”亦三次回短信回复,称将解决问题。此后,刘某某诉至法院,要求工行上海分行停止侵害,赔礼道歉,赔偿公证费及律师费损失,赔偿其他损失人民币5万元。
一审法院认为,《牡丹畅通卡领制合约》系被告方拟定的格式条款,对格式条款有争议时应做出不利于提供条款一方的解释,因此其第5条“信息”应做限缩性解释,仅指“与身份确认、余额变动、消费提醒、转款到账等相关的金融信息”,与此无关的商业性信息应被排除在外。由此确认被告确实侵犯了原告的隐私权,部分地支持了原告的诉请。
二审法院则指出,格式条款中的信息包括一般性商业信息,并认为刘某某在收到系争信息后未立即表示异议,此种不作为可视为以默示方式表达了其同意接收系争电子信息的意思表示,刘此后拒收信息的意思表示则属于对合同的变更,因未获得银行一方的同意而不能生效。二审法院特别认为,银行的行为虽有不当,但因发送频次很少、信息数量和对硬件占用非常少,故显属轻微,尚未达到明显破坏刘某某生活安宁的民事侵权的程度,“类似具有轻微瑕疵的行为广泛存在于社会生活之中,尤其商业活动中更为多见,如均要求相关行为人承担侵权法律责任,不仅缺乏现实意义,亦将使民事主体限于动辄犯法的境地”,故推翻一审判决,驳回刘某某的全部诉讼请求。
本案则体现出个人信息民事诉讼保护路径深层次的两大障碍:(一)侵权行为的所侵犯的法益,在何种程度上必须依赖司法救济得以回复圆满状态,这涉及到在某类并不成熟的法律关系中,司法对相关法益保护的尺度。在既往相关法律中,无论是隐私权、姓名权还是其他具体人格权的请求权构造,都很难帮助法官参照以确定个人在社会生活中依赖个人信息的程度,及此种法益被侵犯后回复圆满状态与司法救济间的关联程度;(二)个人信息作为一种私法法益,与其作为一种社会资源间的平衡标准,是司法需要突破的更大障碍。尽管司法所面对的具体个案总是需要司法以保护具体权利为出发点和落脚点,但对于商业活动中存在着大量有瑕疵但显然未达到民事侵权程度的违法行为,是否有必要通过诉讼全部予以纠正,而使得其他民事主体动辄限于犯法的境地,这确实是司法需要慎重把握的问题。
由此可见,在《民法典》颁布之前,通过民事诉讼途径对个人信息予以救济性保护的路径,至少存在着权益法律定位模糊、权益界限不明、事实证成标准不明确、缺乏举证责任分配标准、法益可诉性不强、与国家及社会公共需要平衡标准难把握等多重障碍。这些障碍使得通过民事诉讼行使个人信息法益请求权,存在结构性障碍。
二、《民法典》对个人信息请求权的构造如前所述,《民法典》颁布前,个人信息通过民事诉讼获得救济,一般是以侵犯人格权为由提起的侵权损害赔偿之诉。其所存在的诸般障碍,可以归结为相关制度所确立的个人信息权益的请求权结构存着基本缺陷。
如下图所示,民事诉讼中的请求权,其一般结构由三部分组成:作为请求权大前提的规范依据,作为请求权小前提的要件事实,以及最终的法律效果。而明确请求权的过程,一般则需要通过四个步骤完成:第一步,检索请求权;第二步,明确请求权要件;第三步,以要件涵摄事实;第四步,得出结论。
与请求权之一般构造相对比不难发现,《民法典》颁布前的个人信息权益请求权,存在如下结构性缺陷:
第一,尽管法律规范中存在个人信息法益上位民事权利的请求权规范依据,但个人信息法益请求权的直接规范依据并不存在,这就导致请求权定位不明、构成要件不确定。在此前的相关民事规范中,并未给予个人信息以准确的法律定位,故其究竟是一种独立的民事权利,还是一种合法权益,一直存在争议;而个人信息的外延,尽管有多项行政法规、强制性标准予以规定,但面对丰富的社会生活时,总有部分未被公法确认的个人信息形式,如被遗忘权及由此衍生的要求删除权等,是否是一种可诉的法益,既有规范无法给出明确的裁判标准。这就为以类推适用保护个人信息的诉讼路径带来极大的困难和障碍。
第二,请求权事实基础的证成标准和举证责任不确定。对于侵权行为,究竟是按照高度盖然性标准,还是优势盖然性标准进行证明,司法实践中一直存在完全不同的做法。由此导致大量案件因为当事人无法直接证明个人信息被相关主体不适当、不合法地泄漏,而无法通过诉讼途径维护自身权益。这也是实践中阻碍个人通过民事诉讼途径维护自身信息安全的最大障碍。
第三,法律后果的单一性。在此前类似案件的裁判中,个人信息保护一般多以侵犯名誉权或隐私权等具体人格权纠纷进入司法过程。而具体人格权作为一种防御性权利,被认为仅仅在权利被侵犯时,其诉讼才具有必要性。质言之,权利圆满状态本身,并不能为当事人带来任何直接或间接的经济利益。因此,以侵犯具体人格权为由提起的民事诉讼,其主要救济手段是对精神权利的救济,即判令赔礼道歉等。而在损失赔偿方面,除非特定的具体人格权(如名誉权)能够与当事人的经济利益存在明显的直接关联,司法会考虑支持经济损失,否则司法仅考虑当事人在被侵权后,为维权及减少损失等支出的费用。个人信息法益请求权法律后果的单一性,也使得通过民事诉讼对侵犯个人信息法益进行救济的方式,既缺乏震慑力,也难以真正对侵权行为的不法获利予以剥夺,从而回复利益的均衡状态。
因此,《民法典》颁布前,个人信息法益请求权存在的上述结构性缺陷,是制约当事人通过民事诉讼途径进行救济的结构性原因。
2021年1月1日正式施行的《民法典》,在一定程度上弥补了个人信息法益请求权的上述结构性缺陷,为通过民事诉讼维护个人信息合法权益,提供了可诉化路径。《民法典》在第四编《人格权编》内,设置第六章《隐私权和个人信息保护》(第1032条—第1039条),其中,除了第1032条、1033条规定了隐私权的一般内容和具体规定外,其余条款,以及第四编第一章人格权一般规定的相关条款,构成了我国个人信息民事权益的基本民事法律框架,被视为《民法典》编纂的一大创新和亮点。如下表所示,我国《民法典》个人信息保护相关条款及其主要功能为:
|
法条内容 |
制度功能 |
|
第一千零三十四条 自然人的个人信息受法律保护。 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。 |
1、明确了个人信息的法律性质,为具体人格权下的法律权益,而非独立的民事权利类型。 |
|
2、以定义和列举方式明确了个人信息的内容,即:足以识别特定自然人身份为内涵,外延则既包括个人身份识别信息,也包括个人踪迹识别信息,还包括个人生物识别信息;并以“等”字方式兜底,保持个人信息内容的开放性。 | |
|
3、明确了私密信息的特殊保护,首先选择隐私权保护,隐私权无法涵盖,返回个人信息法益保护。 | |
|
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件: (一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外; (二)公开处理信息的规则; (三)明示处理信息的目的、方式和范围; (四)不违反法律、行政法规的规定和双方的约定。 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。 |
本条确立了个人信息基本的权利和义务内容,既明确了请求权的基本要件: 1、不再列举侵犯个人信息的收集、使用、加工、传输、买卖、提供、公开等形态,而是采用GDPR模式,以“处理”概括,保持了吸入新的侵权形态的开放性; 2、确定个人的“知情-同意”为处理个人信息的基本原则,这一原则在实践中虽颇多争议,但作为民事基本法律,《民法典》采此原则在于与民事法律行为意思自治基本原则相一致。 3、确立了合法、必要、正当原则,以及适度标准,并明确了公开、明示的方式。 |
|
第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任: (一)在该自然人或者其监护人同意的范围内合理实施的行为; (二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外; (三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。 |
本条确立了个人信息请求权的界限,即:符合“知情-同意”原则进行处理的、对已公开信息进行处理的、为公共利益合理处理的,为个人信息使用免责事由。 |
|
第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。 自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。 |
本条明确了个人信息法益的特殊请求权:个人信息决定权,即任何个人有权要求查阅本人的个人信息,并要求纠正、删除错误信息。 |
|
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。 信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。 |
本条再次强化了信息处理者对个人信息的安全保护义务。 |
|
第一千零三十九条 国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。 |
本条特别规定国家机关、承担行政职能的法定机构(如社保中心、房产交易中心、医疗机构等)及其工作人员的个人信息保障义务。 |
通过梳理不难发现,《民法典》中与个人信息保护相关的条文,明确界定了个人信息权益的民事法律权益性质及所归属的具体人格权(隐私权),以及权利义务的具体内容,从而使得个人信息权益请求权的基本结构大大完善,从根本上构造了个人信息法益的请求权。与此相呼应,最高人民法院在最新修订的《民事诉讼案由》司法解释中,也增加了“个人信息保护纠纷”案由。因此,在《民法典》时代,个人信息法益请求权的结构已基本齐备,当事人通过民事诉讼途径维护自身个人信息法益,已发生了本质性的改善。当然,不可否认的是,通过司法途径保护个人信息法益,仍有不少重要问题有待进一步澄清,如:侵犯个人信息法益适用过错责任原则还是过错推定原则的问题;个人信息处理者应尽到一般注意义务还是高度注意义务,如果是高度注意义务,其注意的标准问题;新的侵权形态的认定问题;以及在大数据广泛共享情况下确定真正侵权人的问题等一系列司法实践必将面临的现实问题,《民法典》并未明确予以规定。特别是,《民法典》无法解决作为商事法和经济法内容的个人信息作为一种基础数据资源,在商业和社会发展中必须被许可使用的利益平衡这一重大问题。而这些问题,则有待于个人信息保护法、数据安全法等特别法予以进一步解决和完善。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com
