大数据时代个人信息权利的私法规制

大数据时代个人信息权利的私法规制

在大数据时代，大量收集和大规模处理个人信息带来了社会问题。加强对个人数据的保护已成为社会的共识。但法律究竟该以何种路径进行保护，目前仍存在争议。主流观点认为，应采取个体主义的立场，将个人信息作为私权客体通过私法路径加以全面保护，其内部包括具体人格权说笔者认为，这两种观点都偏向于某种极端。鉴于个人信息天然的公共价值属性，传统私权化保护模式的确存在明显的局限性。而且，面对大数据时代系统化的信息安全风险，出于管控国家网络信息安全、维护承载于个人信息上的公共利益的需要，公法介入个人信息保护势在必行。但这种介入不能矫枉过正，不能完全采取以公法为主导的保护模式，私法并非毫无用武之地。在公、私领域相互交错的背景下，单一私法保护和完全公法规制之间仍存在折衷地带———建构公私法整合保护模式。为此，应当跳脱权利思维定式，重新厘定个人信息的私法属性，采取“权利”和“法益”相区分的保护模式。宜将具体人格权射程范围之外的个人信息定性为“法益”，通过“违反保护他人的法律的侵权责任”进行保护，进而以《侵权责任法》第6条第1款作为转介工具，将公法上的个人信息保护性规定源源不断地转介入私法，以它们所确立的行为标准作为个人信息侵权判断的依据，实现公私法规范的接轨汇流，达致个人信息保护整体法秩序的和谐。一、私法私法的保护(一)个人信息保护的制度基础：以人格权法为中心的立法规定近年来，我国对公民的个人信息保护日益重视，自2012年全国人大常委会通过《关于加强网络信息保护的决定》以来，颁布了大量有关个人信息保护的法律规范，例如，《中华人民共和国网络安全法》(以下简称《网络安全法》)《信息安全技术个人信息安全规范》《电信和互联网用户个人信息保护规定》等，初步构建了个人信息保护体系。2020年5月28日，《中华人民共和国民法典》(以下简称《民法典》)正式颁行。这部“社会生活的百科全书”也在人格权编中专章规定了“隐私权和个人信息保护”，并依据总则第111条的精神进行了具体的制度安排，构成了个人信息保护的制度基础。通过梳理上述法律规范的体系和内容可以看出，目前关于个人信息保护的法律规范呈现出以下两个特点。其一，将所有个人信息统一保护，适用同样的保护规则。以《民法典》人格权编为例，第1034条第2款采用了比较法上通行的“可识别性”规则，总结了《网络安全法》第76条的立法经验，明确了个人信息的内涵和外延。关于个人信息的抽象定义和具体列举，《民法典》和《网络安全法》都未区分不同属性、不同类型的个人信息，所有个人信息在逻辑体系上都适用一致的保护规则。其二，把个人“选择”或“同意”作为收集个人信息的合法性要件，并确立信息更正权等一系列信息权利。《民法典》第1035条确立了个人信息处理的合法性、正当性、必要性原则，将当事人“同意”视为收集、处理自然人个人信息的唯一的合法性前提，仅在第1036条规定了有限的作为例外情况的免责条件。第1037条规定了信息主体的查阅、复制、更正、删除等系列权能，与第1035条相结合，赋予了信息主体在个人信息公开前后对信息收集和信息处理活动的“决定权”。纵观其规范架构不难发现，当前的立法规范是以“信息自决”这一基本理念作为基础并构建起相关权能体系，将所有的个人信息无差别地视为私权的客体，并且沿袭了以“用户同意”为主要授权手段的传统路径，试图赋予信息主体对与之相关的个人信息以“控制权”。然而，“一刀切”地将所有个人信息作为私权客体给予统一保护是否符合个人信息的复杂属性?能否应对多样化的社会现实?上述制度构建所呈现的“信息自决”这一制度目标以及所确立的“控制权”是否现实可行?(二)基于利益衡量关系的信息权利构建上述以“信息自决”为基础的立法规范，本质上是在权利思维的框架下进行的制度构建，试图在个人信息之上构建一种“控制性信息权利”。然而，绝大部分个人信息不具备“归属效能”“排他效能”以及“社会典型公开性”1个人信息是否具有“排他效能”无论人身权抑或是财产权，其核心功能都在于将特定利益归属于特定主体，从而排除其他主体的不法干涉。然而，个人信息是一个极具开放性和包容性的概念，能够涵盖一切具有“识别性”的数据信息，不仅外延宽泛、边界模糊，在技术上也无法为任何主体所支配。若建构起导向支配、控制性的个人信息权，苛求行为人对个人信息的关注，也要承担和对权利的关注同等的注意义务首先，个人信息不具备“归属效能”和“排他效能”。个人信息虽可识别特定自然人，但此种联系并不足以使个人信息完全归属于特定个人，或者使个人就具有识别性的个人信息享有排他性的支配利益。作为人类社会属性的载体，个人信息让个人能够标识自己，也使社会公众能够辨识该特定个人，让其获得人格并融入社会，最终达成卡尔·马克思所说的“人是社会关系的总和”。此种沟通媒介功能使个人信息天然具有公共价值属性和易于流通性。因此，个人信息不能比照“物”的原始取得方式与信息主体形成归属关系。相反，每一条信息(即便是个人信息)都是多归属的，不能只为受影响的各方所垄断，更无法归属于特定个人，不具备“归属效能”。“排他效能”以“归属效能”的存在为前提，既然个人信息不能完整地归属于信息主体，信息主体则无法完全支配和控制与之相关的个人信息。在个人信息被处理时，信息主体虽享有一定的发言权，但并不总是拥有最终决定权，难以绝对排除他人的干涉，因此，也不具备“排他效能”。其次，个人信息不具备“社会典型公开性”。主观权利的客体能够通过一定的公示手段清晰明了地昭然于世，使得社会一般人尽到合理注意义务之后能够避免或减少侵害的可能性。然而，姓名、肖像、隐私信息之外的绝大部分个人信息，如Cookie信息、交易记录等人格疏远型个人信息，这些在网络空间活动中遗留的琐细、零散的数字足迹根本不具备清晰可见的客体外观，无法通过公示为他人划定行为禁区。私人之间的追责须以“期待可能性”为前提，个人信息不具备“社会典型公开性”，个人信息的“假定权利人”与潜在侵权行为人之间没有一条清晰的界限，行为人固然无法判断何时发生了“越界”。若承认信息主体对一切个人信息的收集、处理、利用拥有绝对的控制权，必将导致个人信息收集者、利用者处于动辄得咎的窘境，自由意志难以挥洒，无法充分发挥上述人格疏远型个人信息之上所附着的巨大经济价值，甚至还会导致“隐形交易更加猖獗”综上所述，个人信息不能通过“归属效能”“排他效能”以及“社会典型公开性”三大标准的检验，并非典型、规律、公开的权利客体，难以为其他民事主体的行为提供合理的预期，不具有使他人避免侵害的期待可能性。若执意在个人信息之上建立具有绝对性和排他性的控制权，不仅会让自然人陷入信息孤岛，个人信息侵权现象也会在日常生活中“逐渐泛化”2用户对与社会相关的个人信息控制权控制消极在个人信息“权利化”的思维定式下，“知情同意”机制被视为“个人信息保护的基石”和“信息自决权的真实表达”。该机制的基本运行逻辑是，只有经过信息主体的同意，个人信息的收集和利用方可取得合法性，主要目的在于保障信息主体对与之相关的个人信息的“控制权”。然而，随着互联网的高速发展和智能设备的深度开发与多样化应用，数据企业通过日臻完善的大数据挖掘技术对所收集的用户个人信息进行智能整合、重组、建模以及再利用。在信息流动的周期过程中，信息用户对与之相关的个人信息的控制权逐渐式微，继而成为信息网络中信息生成、变化和流转过程中的一个节点。信息时代，任何主体都无法真正占有和完全控制个人信息。由此看来，赋予用户对与之相关的个人信息以“控制权”不过是立法者的一厢情愿。况且，想要通过“知情同意”机制保障所谓的“控制权”也并不具有可操作性。现实生活中，由于缺乏个人信息保护意识或相关专业知识与技能等原由，人们不阅读或几乎不阅读冗长艰涩的隐私声明。即便对某些条款有异议，用户也只能被迫接受，否则就无法使用软件或接受服务，这实质上架空了用户的选择权。彰显私法自治的“知情同意”机制在实践中流于形式，成了空中楼阁，隐私声明简而无用、多而无功，变成“僵尸条款”3．传统私法侵权法难以保护个人信息权益大数据时代，数据的产业化应用已然成为数字经济的重要标志之一。大规模的个人信息收集和利用数见不鲜，信息资源也成为不可或缺的无形资产和社会财富。为充分发挥数据的商业价值，许多企业选择将收集到的用户信息外包给独立的专业化信息处理企业进行整合分析。“第三方信息处理者”应运而生并且已成为个人信息商业价值挖掘的重要一环。无可否认，“第三方信息处理者”的加入虽然便捷了企业经营，增强了信息处理的专业性和有效性，但也进一步加剧了大规模的个人信息泄露和非法买卖频发的风险。此种信息处理模式增强了“个人信息收集的隐蔽性及流转的复杂性”私法(侵权法)主要功能是救济独立的、一次性的侵权损害，只能在微观私域对个人信息权益作有限保护。面对极具系统性、复杂性的信息安全风险，传统私法(侵权法)已捉襟见肘，既无法为单个受害人提供救济，也无法凭借一己之力对抗个人信息权益在大数据时代所面临的种种威胁。概言之，近年来，立法逐渐形成的统一化保护规则和知情同意框架，过于严苛地束缚了数据的流通和利用，不仅严重阻碍了社会正常交往，也抑制了“信息石油”的价值挖掘，对数据经济发展和技术创新构成了制度性约束，在具体实施过程中既面临着“过度保护”和“保护不足”的双重困境，同时也难以回应复杂性、系统化的信息安全风险。二、个人信息的保护路径权利思维定式无法将以民事公共秩序为表征的民事法益纳入其分析和调整范围，并导致权利的非理性扩张。在个人信息保护方面，表现为上述立法规范所呈现的个人信息权利化倾向，主张设立支配性、控制性的个人信息权，构建被遗忘权(righttobeforgotten)、更正权、访问权、数据可携权(righttodataportability)等系列权能，以保障个人信息不受非法侵害。然而如前所述，无论采取何种权利定性，试图通过个人信息的权利构建来规制和保护个人信息都存在诸多理论上的龃龉。此种保护路径既不符合个人信息的非客体性，也无法为个人信息权益提供实质保护，反而成为信息时代释放数据红利的严重掣肘。传统的个人信息私权化的制度构架之所以面临上述困境，究其根本，在于没有真正厘清个人信息的复杂属性，采取“一刀切”的方式将全部个人信息作为私权客体予以排他性保护，从而忽略了绝大部分个人信息的公共价值属性和承载的社会公共利益。因此，个人信息已经难以为传统的民事权利谱系所包容，亟需破旧立新，因势利导，跳脱民法权利思维的束缚，重新厘清个人信息的复杂属性和所承载的多重权益，梳理保护路径。按照国际上通行之“识别”标准，一切可以“识别”(直接识别或间接识别)特定自然人的数据信息都可以纳入个人信息的范畴。可见，个人信息的外延非常宽泛，不同属性的个人信息之上所附着的人格性权益、财产性权益和社会公共利益的程度均不相同，若将所有个人信息视为样态统一、性质不变的权利客体而适用相同或类似的保护规则，不仅在技术上缺乏现实可能性，而且会导致法律适用上的利益失衡。只有对受保护的个人信息进行类型化处理，才能“避免个人信息概念的模糊性缺陷，防止规范适用的空洞化”(一)个人信息权的救济进路个人信息与既定的具体人格权的权利内容有着千丝万缕的联系。具体而言，姓名权、肖像权、名誉权、隐私权等具体人格权囿于社会伦理道德观念的束缚，未能经受充分的市场经济洗炼，形塑出稳定、清晰的内涵、范围以及权能构造，其中标表自然人人格和身份特质的内容逸散而出，与信息时代个人信息不受非法收集利用的法益相结合，形成“个人信息权益”。姓名信息、肖像信息、隐私信息等直接表征和彰显自然人身份特质的个人信息，特别是其中具有高度敏感性和私密性的个人生物识别信息、医疗健康信息、金融信息等，呈现出极强的人格利益，其泄露和非法使用将会严重影响个人的基本生活、侵犯人格尊严和人格自由发展，需将其作为“权利”客体，适用“一旦侵害，直接征引违法性”的侵权规则以提供绝对保护。与此同时，这些指涉核心人格领域、紧密关联个人私生活的个人信息，与姓名权、肖像权、隐私权等具体人格权的保护对象高度重合。因此，当加害人的行为既侵害了个人信息权益，也侵害了隐私权、肖像权、姓名权等具体人格权时，应当直接适用具体人格权的救济进路，通过业已成熟的人格权救济机制为其提供周全保护。这也可以解释长期以来司法实践中个人信息保护相对于名誉权、隐私权保护的“附属”地位(二)法益范围:作为主体的私权客体具体人格权射程范围之外的其他个人信息，例如，Cookie信息、网络交易记录等，这些零散、破碎又微小的信息与特定的IP地址相连，通过大数据的发掘、整合技术进行分析、重组，已然具备了“可识别性”或“关联性”，扩大了个人信息的范围。然而，此种人格疏远型个人信息与上述关涉人格尊严核心领域的个人信息有着实质差别。一方面，此类信息外延漫无边际且处于动态变化之中，不具备清晰可见的权利外观，无法归属于特定的主体，难以通过前文所论及的“归属效能”“排他效能”和“社会典型公开性”三大标准的检验，不宜将其作为具有固定边界的私权客体进行保护。另一方面，这些人格疏远型个人信息与特定自然人的联系十分疏远，需结合其他信息通过整合分析才具备可识别性或关联性，承载的人格利益较弱。作为大数据开发利用的核心资源，其承载了更多的财产性利益和社会公共利益，逐渐演变成一种“公共产品”。首先，从企业的角度来看，在数据经济产业中，企业对个人信息进行规模化的整合、加工使之成为具有预测性的“信息产品”，进而通过精准营销等手段以实现经济效益，此种集体化处理模式旨在发挥信息的集合效应而非针对单个信息进行牟利，因此，“缩减了获取信息之后的下游产业环节中信息主体可能行使权利的空间”总之，人格疏远型个人信息的本质和所承载的财产性权益与社会公共利益要求信息主体的权益在一定程度上减让。因此，不能再将其作为权利客体，而应将其定性为“法益”。对于“法益”部分个人信息的保护，不应赋予信息主体“控制权”隔断其自由流通，而是要在防范和规制信息安全风险的基础上，维持信息保护和数据利用的平衡。(三)“场景理论”的运用近年来，主张个人信息保护可以借鉴隐私制度中的“场景理论”的观点日益受到广泛认同和提倡。此种以场景为导向的个人信息保护路径强调跳脱传统架构中二元化的“全有或全无”式的评判，要求在相应环境中具体审视个人信息收集和利用的多元因素，避免脱离场景做抽象式的预判。本文所主张的“权利+法益”的区分保护模式与“场景理论”虽然关注的重点不同，但二者并非毫无关联或者非此即彼的关系。相反，该区分保护模式的实行在以下两个方面需要“场景理论”的运用。其一，上述个人信息的“权利”与“法益”的区分不能作绝对化理解。随着个人信息进入公共领域的程度、信息主体的身份、信息收集与利用的目的等因素的变化，某一个人信息可能在“权利”和“法益”之间来回变化。此时，需要法官运用“场景理论”，在具体环境中，综合考虑信息处理的风险、当事人容忍义务及其对信息的控制力等因素，判断所涉个人信息到底属于“权利”抑或是“法益”进而适用不同保护路径和裁判规则。其二，对于属于“法益”部分的个人信息，一方面，由于其与“权利”的性质不同，无法适用“一旦侵害，直接征引违法性”的侵权规则，需要法官在个案中寻找更高的保护门槛;另一方面，这部分个人信息本身承载了多元化的人格性权益、财产性权益以及风险预防等社会公共利益，为平衡各方利益，法官必须在具体场景中进行利益衡量。因为在特定场景下，个人信息的保护可能会促进某种权益，场景一旦变化，个人信息保护不仅无法促进某种权益，反而可能阻碍他种权益的实现。场景导向的理念秉持的个案分析精神符合“法益”部分个人信息的保护原则。然而场景由多元因素构成且各因素影响力不同，完全由法官在个案中综合考量和评估会造成法律适用方面极大的不确定性，如何消除此种不确定性，可行的办法就是引入公法所规定的“行为标准”进行辅助判断，这正是本文第三部分所涉及的问题。综上所述，个人信息实质上是由一些具体人格权权利内容和其他人格性法益相互糅杂而成的复杂混合体三、．“知情同意”机制属于“法益”部分的个人信息无法为民事主体所排他性地占有和控制，天然具有易于流通和分享的特性，彰显私法自治的“知情同意”机制在实践中流于形式，大规模的个人信息泄露、遭到非法买卖的事件频繁发生，单个消费者维权困难。以上均说明私法在个人信息保护上具有局限性。由于管控国家网络信息安全，维护承载于个人信息上的公共利益的需要，公法的介入势在必行。“现代化带动公领域和私领域的扩张，两者间呈现的不只是反应左右意识的波段式拉锯，而且是越来越多的交错。”(一)规范流转下的认定标准综合运用公法和私法已经成为大数据时代个人信息保护的必然选择，接下来需探求的是二者衔接的“可能性”，也即公法和私法能否在个人信息保护的语境之下实现有效整合和接轨?如果可以，能够借助哪些“工具”或通过何种途径?在前文所论及“权利”与“法益”区分保护的框架下，不同类型的个人信息应当适用不同的保护规则。属于“法益”的绝大部分个人信息由于其背后的多元权益，无法适用“一旦侵害，直接征引违法性”的规则，需要法官在个案中遵循“场景化”的判断规则进行利益衡量，因此，法官在侵权责任认定中扮演了唯一的重要角色。如前所述，大数据时代愈发复杂的信息收集方式和信息不规范流转，使得个人信息侵权认定面临着巨大的挑战，判断侵权主体的过错、损害后果以及因果关系殊为不易。虽然利益总是千变万化难以由立法控制，但法官拥有完全的自由裁量权必然会导致判决的随意性与非统一性。如何有效合理地消除一般侵权领域法律适用的“不确定性”，一直是摆在学者和法官面前的真问题而非假议题。若能够找到可以辅助民事法官认定个人信息侵权责任的“工具”，帮助法官在纷繁复杂的具体案件中准确又便捷地认定侵权的构成要件，则事半功倍。此时，事无巨细、多如牛毛的公法规范便进入我们的视野。风险社会的到来，使现代国家从中立的“守夜人”向规制国转变。自动化信息处理技术所带来的个人信息可能遭到非法泄露、滥用的风险，促使国家制定大量的管制型规范加以规制。自2012年全国人大常委会通过《关于加强网络信息保护的决定》以来，我国颁布了大量有关个人信息保护的法律规范。截止到2020年1月1日，共有《刑法》《网络安全法》《传染病防治法》等35件法律、13件行政法规、1件监察法规、9件司法解释、78件部门规章涉及到“个人信息保护”。通过筛选甄别，有相当数量的规范可以成为识别个人信息法益的保护性规定。这些保护性规定构建了个人信息收集、处理的行为规范体系，针对个人信息的收集和利用树立了纷繁复杂的行为标准，提供了相对清晰的合规指引。一方面，若将这些细致的、操作性强的公法规范引入私法，将这些具体行为标准的违反作为个案中界定“过错”或“因果关系”等构成要件的出发点另一方面，将个人信息法益的保护性规范引入私法体系，以公法的价值判断和具体标准作为私法上主体活动的“行为标准”，也会使得这些公法规范“因为侵权法的参引而富有实效，更具有可执行性，更具有尊严与活力”如此一来，不仅私法会因为这些公法规范的内容而极大丰富和完整，增强法律适用的确定性，而且也能更好地维护主体对公法规范的遵循，辅助公法强制目的的实现，使得涉及个人信息保护的公法和私法相互支援，实现相互“工具化”。(二)解释论视角下违法性要件的适用按照上述思路，将个人信息法益的“保护性规定”引入私法，法官能够运用已有的保护个人信息的法律规范辅助认定加害行为和过错要件，进而实现公法与私法在个人信息保护上的有效衔接和互相支援。继而亟需解决的问题，就是如何将个人信息的“保护性规定”引入或是转介至私法体系，也即行为人违反了涉及个人信息的保护性规范之后的私法责任是如何导致的。若立法者已经意识到民事赔偿问题且作出了明确规定，使这些公法规范本身就附带了私法赔偿效果，法官则可直接对违反该公法规范的行为加之以民事责任。例如，《中华人民共和国社会保险法》第92条、《中华人民共和国居民身份证法》第19条等，除了规定相关机构或工作人员泄露个人信息时应当承担的罚款、拘留等公法责任外，还明确规定“对他人造成损害的，依法承担民事责任(赔偿责任)”。但必须承认的是，此种情况在浩如烟海的公法规范中只是“凤毛麟角”，更多的情况是立法者只会考虑该规范在公法上的效果，毕竟“苛求他们须对私法的相