个人信息保护话题很热,文章很多,会议很多,讨论很多,见解纷呈。国外个人信息立法较早,也较早开展学术研究。我国个人信息立法和学术研究属于后来者,参酌和借鉴他国立法和理论自属当然和必要。除按照”国外如此我国也应如此“的逻辑开展研究外,就个人信息保护问题本身进行深入研究,也应重视。本文将聚焦个人信息流动与保护的基础问题,提出若干见解。
一、个人信息流动
(一)法律关系变动依赖个人信息流动
人生活在世,脱离不了社会,要与他人建立各种社会关系。从法律角度看,人生活在法律关系之中。法律关系有产生、变更和消灭,其原因为法律事实,包括法律行为、事实行为和法律事件。法律行为是法律关系产生、变更和消灭的主要原因。因法律行为产生法律效果,存在法律行为由谁作出、效果归属于谁、责任由谁承担的问题。“谁”即主体,描述、确定主体,需要注明姓甚名谁、家住哪里、如何联系等,均是个人信息。如《合同法》第十二条规定合同的内容由当事人约定,一般包括“当事人的名称或者姓名和住所”等条款。
主体、客体和内容是法律行为成立的要件。没有主体,就没有法律行为;做出法律行为,必须有主体信息;法律行为的成立,导致行为主体的信息被他人知晓。人生活在多种法律关系之中,与不同的人存在法律关系。从法律角度看社会,法律关系无处不在,无时不变。伴随法律关系的变动,个人信息实现了流动。表面上看,法律关系产生、变更和消灭的过程,实现了个人信息的流动,实质上法律关系变动必须依赖个人信息流动。只有个人信息流动,才能使法律行为成立,进而导致法律关系变动。
(二)个人信息流动依据个人主动意愿
个人信息流动出于行为人主动意愿。详言之,法律行为有单方和多方划分;单方法律行为,依作出行为的主体单方意思表示而成立,需主体主动表明主体信息,否则无法表明行为效力约束或者归属于谁;多方法律行为,依双方或者多方主体的意思表示一致而成立,无论哪方主体做出意思表示,均需主动表明自己信息。因此,在因法律行为导致法律关系变动的情形下,个人作出意思表示需主动提供个人信息,使个人信息被他人知悉,实现了个人信息流动,不存在他人告知个人收集其信息的目的、方法等,取得个人同意后,予以收集的“告知同意”情形。
(三)法律关系变动与个人信息流动密不可分
个人信息由个人主动提供,是法律行为成立的必然要求,法律行为是法律关系变动的主要原因,法律关系变动与个人信息流动密不可分。由于法律关系变动依赖个人信息流动,为了保障法律关系的正常变动,法律应以保护和确保个人信息的流动为基本原则。同时,研究个人信息保护问题,不应孤立地以个人信息流动为对象,而应将其放置在个人信息流动所依附的法律关系之中,考虑法律关系变动的时、地、人等各种因素和情势,进行全面、客观、具体的分析。
二、告知同意规则的地位
(一)含义
从法律关系变动实际情况看,个人信息流动是法律生活中的常见现象,且依赖个人的主动意愿,不存在所谓“告知同意”,即“明示收集、使用信息的目的、方式和范围,并经被收集者同意”(《网络安全法》第41条)。一般理论认为,告知同意规则在个人信息保护制度体系中占据基础地位,信息收集者获取个人信息应首先告知使用目的、方式等,之后取得个人同意后才可以收集,实质是认为个人信息由个人被动提供。
告知同意规则关于个人被动提供个人信息的定位,与个人信息由个人主动提供的实际情况不符。为了解释该不符,理论上将个人信息流动中个人主动提供个人信息的行为,解释为默示同意,认为接受服务就表示同时同意了个人信息被收集。默示同意,对应于明示同意。明示同意,指正常情况下在信息收集者告知后,个人明确表达同意的意思。从告知同意规则的应然含义看,明示同意应是个人信息提供的原则和多数,默示同意应是例外和少数,但实际情况却是个人主动提供为主。理论上将“主动提供”这一常见现象,解释为例外情况,自属牵强。
(二)告知的目的
理论上之所以将“告知同意”确定为个人信息保护的基本规则,在于将个人信息流动与所依附的法律关系变动进行了割裂,单纯考量个人信息从个人处扩大到交易相对方知悉、交易相对方使用和存储个人信息等活动。由于个人与交易相对方相比,后者一般处于强势地位,理论遂以交易相对方作为规制切入点,将其知悉、使用和保存个人信息的活动作为规制对象。由于是将交易相对方作为规制切入点,从交易相对方角度看个人信息流动,则是交易相对方收集、使用、存储个人信息的活动,即将“知悉”演变为了“收集”,无意中掩盖了个人信息由个人主动提供这一事实,从而致使相关理论认知与事实不符。
虽然个人信息在法律关系变动中由个人主动提供,不存在信息收集者在告知后取得个人同意之后收集的情形,但“告知”在个人信息保护中也具有重要的作用。个人信息保护问题被广泛关注,是由于信息技术应用的普及。早期有的个人信息保护的立法文件,如欧洲委员会1981年发布的《个人数据自动化处理中的个人保护公约》,以自动化处理个人信息活动为规制对象。人们接受和使用信息技术应用所产生的信息将被服务提供者实时、全面记录,犹如生活在摄像机下,个人空间被信息技术应用介入之深、之细,超出个人正常认知,即除正常法律关系变动所需的个人信息流动外,仍有若干个人信息将被服务提供者知悉和使用。为确保个人知情,提示其个人信息有被知悉的风险,保障其自主决定,需要服务提供者告知个人在接受和使用服务的过程中,将由哪些个人信息同时被知悉和使用。
(三)同意的对象
个人信息流动依附于法律关系变动,个人信息流动是法律关系变动的组成部分,二者是部分与整体的关系。在具体的法律关系变动之中,个人信息由个人主动和自愿提供,不存在所谓在收集者告知后“同意”相对方收集和使用其个人信息。个人信息保护中的“同意”,应指同意交易条件,包括标的、数量、价格、个人信息等。个人信息,是同意内容的组成部分。
交易的进行,需双方自主自愿,达成一致。可以说交易的达成,体现的是双方意愿,难说谁同意谁,但可以说同意交易条件,而该交易条件可能由一方提出,也有可能由双方协商确定。准确地讲,在法律关系变动之中,有些个人信息,如姓名、住址、联系方式等,由个人主动提供,是法律行为成立所必需的信息,但先于法律行为存在,其产生和存在不依赖法律关系变动;行动轨迹、购物记录等,属于在法律关系变动中产生的信息,既为个人信息又为服务信息,是完成交易所必需,也是交易条件的组成部分,交易相对方记录这些信息符合双方达成的交易条件,不违背个人的意愿。总之,在法律关系变动之中,交易相对方知悉和使用个人信息,不应违背个人意愿。
三、个人信息保护的目的
个人信息流动,出于个人主动意愿,是法律关系变动的必然要求,法律不应禁止。但实际社会生活中,违背个人意愿知悉和使用其个人信息的情形常见,并不能一一认定为侵害个人信息。如何认定侵害个人信息的行为,对个人信息进行保护,平衡个人利益与社会秩序和正常运转,涉及个人信息保护目的问题。
人是社会人,虽然要与他人交际,但与动物不同,有羞耻,有单独空间需求,需与他人保持一定距离,不愿做透明人。因为从个人信息能够推知到一个人的生活状态,个人不想其他人知悉自己有关信息。保护个人独立空间的隐蔽性,避免他人通过知悉有关个人信息探知个人生活状态,是保护个人信息的一个原因。
另一方面,知悉若干个人信息,虽然不能识别出特定的个人,甚至不会测知特定主体的生活状态,但却可以干扰个人的生活。例如,单知道一个电话号码,不需要知道号码使用人是谁,就可以打电话推销保健品,若是知道号码使用人大致年龄段,就可以精准推销;知道一个电话号码和电话号码使用人通过高考的信息,就可以实施精准诈骗。避免个人空间内的生活被干扰,保护个人生活的自如状态,是保护个人信息的另一个原因。
因此,保护个人信息实为保护个人空间内独立、自如的生活状态,通俗讲就是个人决定和选择生活方式的权利,包括两个方面:一是个人空间的隐秘性,强调个人空间内的生活不为外人知晓,防止他人“知”;二是个人空间的排他性,强调个人空间内的生活不被外人干扰,防止他人“扰”。
四、个人信息保护的相对性
保护个人信息,目的是为了保护个人空间内独立、自如的生活状态,体现人的主体性。但对个人信息的保护,不像所有权、著作权、姓名权保护那样具有绝对性,而是因牵涉面广、情况复杂,更多体现出相对性特征。
(一)保护标准的相对性
生活在同一屋檐下的两个人,若是家人,个人空间相对较小,若是合租关系,则个人空间相对较大。走出居所,来至办公室、商场、广场,个人空间逐步变大,但若遇到与其具有亲戚、同事、同学等社会关系的人,二人之间的个人空间,相较于同一场所其他没有社会关系的人之间的个人空间较小。一个人的个人空间,随所处时间、地点及与周边人之间社会关系的不同而不同,处于不断变化的状态。因此,个人空间范围具有相对性。
保护个人信息,要判断是否侵犯个人空间内独立、自如的生活状态。因个人空间相对而非绝对,判断结果因个人空间范围的不同而有所不同。例如,公司前台人员将李四迟到信息公示于前台展板或者公司将李四迟到信息发布在公司内网系统,并未侵犯李四个人信息,原因在于公司内部对员工迟到早退有管理要求,公司前台展板或者内网属于公司内部场合。若公司将“李四某年某月某日迟到”信息公布于外网,或者同事张三发微信朋友圈“李四某年某月某日迟到”,则侵犯了李四个人信息,原因在于公司外网和微信朋友圈脱离了公司内部管理场合,属于公共场合,在此场合下,李四的个人空间要大些,其迟到信息不宜公布于此。虽然信息内容相同,但因场合或者社会关系的不同,同一人的个人空间随之变化,是否侵犯个人信息的判断也有不同。
(二)信息归属的相对性
虽然每个人都有独立个人空间需求,但人是社会人,与他人之间存在交集,不能完全脱离他人视线,致使一人的个人信息,对于另外一人而言也有可能是他的个人信息。比如,对于甲而言,和乙谈话十分钟是甲的个人信息,对于乙来说,和甲谈话十分钟也是乙的个人信息,乙当然可以在日记里记录下这个信息。所以,相同内容的个人信息,可能同时属于不同主体,即个人信息归属具有相对性。
同一个人的信息,可能归属于不同主体,该不同主体对于该相同内容的个人信息的保护诉求,要考虑对方的使用需求,不可以影响对方正常使用;反之,一方主体对该相同内容的个人信息的使用,不应超出合适范围,致使另一方个人信息被侵犯。即,双方都要对对方的使用行为进行一定的容忍。若不能容忍,因人与人之间个人空间交叉,做不到对他人活动不看、不听、不记、不思,若绝对地保护个人信息,则会导致人人自危、寸步难行,实质上限制每个人的行为自由。
(三)信息属性的相对性
人活在世,有衣食住行需求,由于社会分工的细化,除极少数可以自给自足的情景外,绝大多数场合需有赖与他人进行交易。个人买卖商品或者接受服务,从该个人角度看,相关信息(如某天某时某地购买某商品)为个人信息,但从交易相对方看,则是其服务信息。比如,网约车情景下,乘客接受网约车服务,其乘车轨迹是个人信息,但对于服务平台而言,只要乘客接受服务,则会知其乘车轨迹,因为平台提供服务,对于自己服务过程中产生的信息当然知晓,这些信息属于其服务信息。
网约车服务平台记录和使用乘客乘车轨迹,具有当然的合理性和必要性。因网约车服务涉及合理路线规划、准确计费等问题,若乘客与平台之间发生争议则会涉及证据问题,这些都需要记录乘客乘车轨迹等信息。个人与他人交易,产生的同一内容的交易信息既属于个人信息,也属于另一方的服务信息。因此,个人信息的属性具有相对性,个人不能绝对排斥相对方对同一内容服务信息的使用。
五、保护路径
(一)不适宜设立个人信息权
从立法角度看,有些法律条文规定了特定的权利名称或者类型,比如著作权、所有权、物权等。不少法律条文没有规定一个特定“权利”名称,是否就不存在“权利”呢?法律规定大致可以分为三类:一类是说某人可以做什么,二类说某人应当做什么,三类说某人不可以做什么或者禁止某人做什么。第一类某人可以做什么,讲的是权利,第二类和第三类讲的则是义务。“权利”和“义务”是法律的基本构成要素,也是进行法律分析的基本工具。只要有法律规定,就存在权利和义务。比如个人信息保护立法,个人可以做什么,可以拒绝什么,规定的是个人的权利,相对应的服务提供者应当如何使用和保存个人信息,规定的是其义务。
个人信息保护立法,必然涉及个人和相对应的服务提供者的权利和义务,存在的问题是可不可以在个人信息之上设置一个抽象的权利,称之为“个人信息权”或者“个人信息保护权”(为行文方便,统称为个人信息权)。虽然《民法总则》第一百一十一条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,但实质并未规定个人信息权,仅是衔接性规定,未明确如何保护个人信息,需要其他法律明确。称《民法总则》设定了个人信息权,是不严谨和不严肃的。
根据权利主体和客体的一般理论,“个人信息权”主体应指个人,客体应指个人信息。关于权利主体,“个人信息权”的主体特定,仅指个人,而不包括法人和非法人组织。信息收集者无论是个人还是法人或者非法人组织,对于从个人处知悉的个人信息,并不能称其享有“个人信息权”。也即,个人信息从个人处扩大到信息收集者知悉,实现了个人信息转移(流动),但“个人信息权”却不能实现权利转移。原因在于保护个人信息的目的是保护个人空间内独立、自如的生活状态,而不是个人信息本身。如果将“个人信息”作为“个人信息权”的客体和保护目的,则“个人信息”脱离个人后,也应成为知悉者的权利客体,即知悉者是其知悉的个人信息的权利主体。显然,这个逻辑不成立,说明“个人信息”不是“个人信息权”的客体,进而说明“个人信息权”不成立。
从权利被侵害后的救济看,“个人信息权”被侵害后,保护标准具有相对性,是否被侵害需要结合所处时间、地点、与加害人的关系等因素进行判断,时间不同、地点不同、相关关系不同则判断结果不同,反之则是“个人信息权”的保护范围也因时、因地、因人而异。另外,个人信息保护还存在信息属性相对、归属相对等特征,也影响“个人信息权”的行使和保护。由于个人信息保护的相对性,使得“个人信息权”的权能和权限具有不确定性,不适宜称之为一项独立的权利。
对个人信息进行保护,不适宜通过设置个人信息权的路径,根本原因在于保护个人信息的目的是为了保护个人空间内独立、自如的生活状态,保护的是个人自主决定和选择生活的人格利益,个人信息只不过是外在载体,不适宜作为权利客体。另一方面,若承认个人信息权,则会产生“既然你的服务建立在收集和使用我个人信息的基础上,请你为使用我个人信息的行为付费”的论调。
(二)回归具体法律关系进行保护
交易中的个人信息流动,不是孤立的法律现象,获取和使用个人信息不是目的,均是为了进行交易,伴随着相应的法律关系变动,二者是部分与整体的关系。因此研究个人信息保护问题,不应脱离具体的法律关系,不能以部分代替整体。对个人信息进行保护,应回归具体的法律关系,如买卖房屋、客运服务、电信服务、在线购物等,应充分考量具体的交易情形、交易目的、交易场合等情形,判断是否侵害个人信息。如果脱离具体法律关系,单纯强调个人信息保护问题,则有可能破坏已经形成的法律关系或者理论共识,不利于交易安全。例如,单纯强调个人可以要求交易相对方删除知悉的个人信息,则会面临发生纠纷时无法提供证据的问题;单纯强调个人可以要求交易相对方终止记录其个人信息,若进行交易必须记录个人信息,则是赋予了个人合同解约权,影响合同履行,不利于交易稳定进行和对交易效果的预期。
交易之外,如何保护个人信息?从个人信息保护的目的出发,可以对个人信息承载的人格利益进行侵权法保护。在具体保护中,可能会产生与隐私权、名誉权、姓名权等人格权的交叉,若有交叉关系,则适用隐私权、名誉权、姓名权等的保护规则。在不产生交叉的情景下,适用侵权法进行保护,应当从“保护个人空间内独立、自如的生活状态”的目的出发,综合考虑个人信息保护的相对性特征进行具体分析。
(三)所谓“行政保护”
理论上有“民事保护、行政保护、刑事保护”一说。学界也有加强“行政保护”做好个人信息保护观点。个人信息被侵害,应当是民事法律关系调整范畴,属于民事纠纷。民事纠纷的解决方式,原则上是民事诉讼和仲裁,极少数可以由行政机关介入,即行政裁决,如对征地补偿标准的裁决。原则上,行政机关不宜介入民事纠纷的解决。具体到个人信息保护,行政机关不宜介入个人信息保护的纠纷解决。个人信息保护立法肯定涉及行政机关行政执法和行政处罚活动,但行政机关开展行政执法和行政处罚活动,是为了查处违反行政管理要求的违法行为并进行行政处罚,目的是为了维护公共利益,而不是个人利益。
举例说明,甲在乙4S店买车一部,乙将甲的个人信息倒卖于多个保险公司,甲不胜保险电话烦扰,将乙倒卖其个人信息的行为举报投诉给行政机关,要求行政机关对乙的行为进行处罚并要求乙给与甲一定的赔偿。行政机关如何对待甲的诉求?最高人民法院在类似案件审判中指出,行政机关根据法律、法规等规定对群众反映的一些事项具有监管职责,但此种职责之履行情况并不当然构成行政诉讼法意义上的可诉的行政不作为,有些仅仅是行政机关凭此获得一般线索,再依职权再作出不同裁量和处置。[1]对于行政机关而言,甲的举报投诉只是提供了一种违法线索,是否查处以及是否给予行政处罚要由行政机关根据行政处罚程序和职责独立做出,并不受甲诉求的影响。也就是说,行政机关对于乙的行为,可能给予处罚,也有可能不不给予处罚,对于甲要求乙给予赔偿一事则没有处理职责。总之,行政机关开展执法,对于存进个人信息保护具有重要意义,但对于特定的个人而言,行政机关并无对其个人信息进行保护的职责。
[1] 参见最高人民法院行政裁定书(2017)最高法行申2705号。
作者简介
许长帅,现就职于中国信息通信研究院工业和信息化法律服务中心,高级工程师。
联系方式:xuchangshuai@caict.ac.cn
