房绍坤 曹相见:论个人信息人格利益的隐私本质
房绍坤摘要:个人信息人格利益独立权说和传统隐私权说以信息控制理论、知情同意规则为基础,奉行隐私公开的绝对标准。一般人格权说虽认识到信息社会下隐私共享不可避免,但无暇反思隐私公开的绝对标准。在大数据时代,除表征功能外,个人信息人格利益仍应归入隐私范畴,只是因其无法被控制、必须共享而具有社会属性。而隐私概念在其诞生之初,就存在家庭、朋友、同事等关系维度。隐私信息无法事先界定,只能进行动态判断,这为隐私信息商业利用提供了合法性基础,并催生了基于场景理念的隐私判断模式。隐私公开的绝对标准是对隐私概念的误读,信息社会尤其呼唤以关系为视角的隐私公开的相对标准。“民法典各分编(草案)·人格权编”应顺应时势作出修改。
关键词:个人信息;人格利益;社会属性;隐私公开;相对标准;动态模式
一、问题的提出
《中华人民共和国民法总则》(以下简称《民法总则》)111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法搜集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”关于本条的规范意义,一种意见认为,本条是对自然人享有个人信息权的规定,或者说,本条虽未直接规定“个人信息权”,但对自然人而言,本条既是其具有民事权利的宣示性规定,也是确权性规定。个人信息权是公民在信息社会享有的重要权利,明确对个人信息的保护对于保护公民的人格尊严,维护正常的社会秩序具有现实意义。另一种意见认为,本条只是规定个人信息应受法律保护,没有使用“个人信息权”的表述,表明《民法总则》并未将个人信息当作一项具体的人格权。从“民法典各分编(草案)·人格权编”的规定看,其沿袭了《民法总则》的做法,未对学界的争鸣作出回应。
关于个人信息(权)的争论,尚存在财产利益的问题。不过,就体系而言,既然《民法总则》127条规定了对数据的保护,则第111条的规定当属人格范畴无疑。因此,探讨《民法总则》111条规定的规范性质,即是追问个人信息人格利益能否为独立的人格权利。对于这个问题,《民法总则》制定时曾有一些讨论,但因问题复杂和意见分歧未形成定论。学界主流观点认为,与隐私具有秘密性不同,个人信息多属公开信息,隐私权对其保护力有不逮,所以应当独立成权。该观点以信息控制理论、知情同意规则为基础,构建起独立的个人信息权理论(以下简称“独立权说”)。不过,新近以来反对立场渐多,要点在于:在信息社会背景下,主体对信息进行控制及完全的知情同意并无可能。另一种观点在扩展传统隐私的内涵后提出,隐私权包含私密领域和信息自主两部分,后者是隐私权积极权能的体现(以下简称“传统隐私权说”)。还有一种观点既否认信息社会下信息控制理论和知情同意规则之可能性,又认为个人信息不同于隐私,应将其归入一般人格权的范围。
关于个人信息人格利益的属性,学界主要围绕独立权说和传统隐私权说展开。这两种学说看似对立实则趋同:独立权说会导致个人信息与隐私利益、人格标识的区分难题,传统隐私权说则避免了这一尴尬,但二者均以主体的信息控制理论及知情同意规则为基础。以此为前提,这意味着隐私一经公开即超出信息主体的控制范围。这种隐私公开的绝对标准,一方面因与现实生活不符而不得不有所松动,另一方面为传统隐私权说带来了新的问题:个人信息既已公开,当不属于隐私权范围,何以具备隐私权的积极权能?此外,独立权说也好,传统隐私权说也罢,个人信息作为一种人格权利,如何同时又作为财产利益,二者的利益分割点在哪里,两说均未作出有力说明。这有悖于人格利益的伦理属性,难以保证个人信息商业利用的合法性。对此,一般人格权说反倒提供了一个独特的观察视角:单纯否认信息控制理论和知情同意规则,但其不反思隐私公开的绝对标准,个人信息也只能被归于混沌的“一般人格权”!
在比较法上,个人信息人格利益保护以德、美为典型,二者通常被解读为信息自决权模式、隐私权模式。但在德国法上,作为一般人格权的具体化,信息自决权和隐私权未有严格界分。不惟如此,二者往往甚至是不加区分的。美国学者则主张宽泛的隐私概念,以此来包容个人信息人格利益。值得注意的是,以知情同意为框架的欧盟《个人数据保护指令》,在大数据盛行之前即已长期陷于严峻的执行困境。可以预见,新的《通用数据保护条例》亦将面临相似问题。美国则未将同意作为个人信息处理的正当性前提, 2015年的美国《消费者隐私权利法案(草案)》更是引入以场景为主导的个人信息保护新机制,试图避免脱离场景地对个人信息保护的合理性作抽象式预判,这实际上是对隐私公开的绝对标准的背离。新近更有学者对主流观点提出异议,认为所谓的信息自决权有其特殊背景,即仅针对国家主动搜集个人信息的行为;比较法从未用私权模式保护个人信息,相关立法更多的是在消费者保护法或公法框架内的风险规制。
由此观之,在信息社会的背景下,信息控制理论和知情同意规则已力不从心,这便动摇了独立权说和传统隐私权说的根基。个人信息和隐私“存在交叉但不相同”的共识则表明,个人信息人格利益不具有独立于隐私的特质。独立权说看似抓住了信息社会的脉搏,但其奉行的信息控制理论、知情同意规则和隐私公开的绝对标准,恰恰根植于前信息时代的概念体系。令人遗憾的是,“民法典各分编(草案)·人格权编”第六章“隐私权和个人信息”的规定,不仅未对隐私与个人信息进行有效区分,同时立足于信息控制理论,采取了隐私公开的绝对标准。有鉴于此,本文从个人信息(隐私信息)的社会属性出发,探讨隐私信息的判断模式,寻找隐私信息上人格与财产的利益分割点,反思隐私公开的绝对标准,以引起争鸣、推动立法。
二、隐私信息的社会属性
按照个人信息人格利益独立权说和传统隐私权说,隐私信息与公共利益无关而具有私密性,权利人因而可以进行控制,任何披露和利用行为须经其同意。但是,隐私信息须与他人共享,该学说即便在传统隐私概念下亦有其条件。而在信息社会,交流机制的变革根本性地改变了信息产生、获取、传播与使用的方式,隐私信息的社会属性已具有普遍性,完全的信息控制与知情同意并不可能。
(一)隐私概念的时代传承
隐私第一次成为法律概念或权利始于沃伦和布兰代斯发表于1890年的论文《隐私权》。依二人之见,隐私权是保护个人生活不受干扰、保持独处的权利。虽然其提出的隐私概念以19世纪后期为社会背景,但隐私现象由来已久并持续发挥作用。《隐私权》一文的持续影响即是隐私概念无时代限制的明证。不过,即便在二人提出隐私权概念时,摄影、录音、录像等现代设备已经出现,隐私权也保护个人不受猎财心切的媒体、摄影师,或者其他任何记录、复制场景或声音的现代设备的所有人的侵犯,但隐私所反映的内容却远不止免于低级趣味的流言、新闻媒体猥琐窥探的权利。事实上,信息社会下的所谓个人信息虽然有不同于传统隐私的形态,但其本质上仍在传统隐私的概念涵摄下,其与传统隐私之间仍然存在概念上的时代传承。
关于隐私概念的时代之别,贝赞森(Bezanson)曾以1890年代和1990年代为例进行对比。依其考察,1890年代的隐私概念扎根于乡村价值,代表了维系社会组织的努力以及受都市化威胁的价值。因为在当时,家庭和社会的继承机制以及社会秩序之间的张力日增。沃伦和布兰代斯所提出的隐私权,恰恰是对工业化、大都市发展以及工作和社会团体去人格化的回应。它反映这样一个事实:个人人格在松散的团体如家庭、朋友圈以及同事圈(用“本地社区”来描述或许最为合适)中获得发展,隐私权则引导这些人格化的松散团体并防止其中的人格信息自由流入社会,以保障这些团体的正常进行,使其不受庞大的、非人格化的现代社会力量的侵害。1990年代的社会认同则更为艰深和复杂,它不取决于少数的稳定团体,而取决于许多细化和变化的关系。因此,该年代的隐私概念以个人主义为基础,在急剧变化的社会环境中,为复杂的社会安排和后工业化社会的技术所塑造。它没有阶层倾向而更具民主特征,在很大程度上反映了对个体获得他人信息的普遍关切;隐私常因多重和未知使用而导致源头众多的不受限制的潜在披露,而在新闻媒体上披露个人信息则难以成为重要的隐私问题,因为这既广为人知又毋庸置疑。
这为隐私保护带来了新课题:在工业社会,隐私信息属于私人领域,通常不发生被利用的问题,因此,隐私权旨在防御外界的不当利用。但在信息社会,信息共享成为常态,隐私信息因而“溢出”传统领域,进入到非本地社区的“陌生人关系”中。“人人得为隐私的被害人,人人亦得为加害人”。[33]关于隐私信息的此种特性,本文称之为“社会属性”。由此,隐私的概念包含两层含义:一是传统的私人空间、私密领域以及未进入陌生人关系的隐私信息;二是经由合同、行政等行为进入“陌生人关系”的隐私信息。正因为如此,现在的美国学者多主张对隐私概念采取宽泛的理解。
但事实上,隐私的上述形态较于以往并无本质区别。由于缺乏对隐私信息社会属性的关注,早期学者往往从“领域”的角度界定隐私,即基于私人领域和公共领域的区分,把隐私定义为不受他人干涉的私人领域,公共领域则被排除在外。隐私信息既已进入“陌生人关系”,便不受隐私权保护,但在许多情况下又有保护的必要,故另设“个人信息”一词,以示与隐私的区别。但工业社会中的隐私信息虽未超出隐私领域,也存在家庭、朋友圈等本地社区之间的共享。因此,隐私自诞生时就不单纯限于个人领域,而将特定的关系包含在内。而在信息社会中,隐私信息虽然可能进入“陌生人关系”,但此种关系亦为日常生活所必需,因此仍可被认定为一种特定关系,而非放弃了隐私期待的完全陌生关系。于此情形下,隐私不再是抽象的客观事实,如空间距离、信息等,而只能在具体的行为中被理解。
就个人信息与隐私的关系而言,还涉及人格标识的同一性问题。一种流行的观点认为,个人信息的身份识别性,是其与隐私的基本区别。但这种意见值得商榷。固然,个人信息具有可识别性,其既是个人标识自己的工具,也是他人识别个人的工具。但个人信息并非评价性的功能术语,其存在两种不同的构造:一是具有表征功能的个人信息,以个人简介、名片为典型。此种个人信息具有他为性,他人也同时负有正当使用的义务。围绕他人的正当使用义务,信息主体享有访问和更正权。这实际上是一种新型的标表型人格权。二是作为隐私的个人信息,包括人格标识、行为轨迹在内的一切个人信息均可能存在主体的隐私期待。以人格标识为例,姓名本身为他人提供方便,只要不妨碍权利主体的利益,他人就可以自由地使用。但姓名的他为性限于特定范围内交往的必要,一旦超出其特定范围,他为性就被隐私性所包容。此外,原本只能间接识别个人的信息,如行为轨迹、性格特征等,在与其他信息结合后,也可以直接识别到个人,从而落入隐私范畴。正因为如此,一些国家对个人信息的保护主要基于保护隐私权的需要,即“通过规范个人信息收集与利用行为,弥补既有法律规则对隐私权保护的不足”。[39]人们通常在第二种意义上使用个人信息一词,这也是本文使用隐私信息代替个人信息的原因。
(二)隐私信息的必要共享
应当承认,虽然许多人主张使用宽泛的隐私概念,但并未充分阐释信息时代对隐私信息的威胁。独立权说和传统隐私权说更是建立在信息控制论的基础之上。本文认为,信息社会对隐私概念的主要冲击在于,隐私信息存在共享必要从而具有社会属性,其现实基础是,个人信息由个人生产却脱离个人控制。“我们生活在一个社会性和交互性的社会。既然我们必须与他人交往,
便会发生必须分享个人信息的情况”。
“工具性决定了个人信息的社会性、公共性”。被共享的个人信息包含购物习惯、金融交易、性取向、阅读选择、网络浏览、基因组成、医疗信息或者政治倾向等。不惟如此,“我们基于必要性披露的大部分信息,都足够敏感以至于不希望向其他人公开”。由于社会交往总存在个人信息的知悉需求,个人信息成为个人与他人、社会的连接方式。“与他人分享个人信息,是现代生活的前提条件”。这直接摧毁了传统隐私概念和个人信息独立权说关于隐私信息的控制理论。
关于信息控制理论与现代生活的矛盾,从“王卫宁诉云南省电信公司昆明分公司隐私权纠纷案”的判决中可见一斑:“上诉人(王卫宁)作为主叫方对其所使用的个人电话号码享有保密权,并有权拒绝告知索取号码的他人。但同时(第三人)被叫方在接听电话前,同样有权知道谁给自己打电话,以便决定是否接听来电,这与主叫方保护个人生活安宁、免受他人侵扰的意图一致。此时,主叫方与被叫方形成了通话关系,在这个通话关系中,双方的权利与义务对等,不能因为片面保护主叫方的隐私权而放弃被叫方的知情权。”申言之,主叫方的隐私权与被叫方的知情权同等重要,为使双方均享受到现代科技的便捷,便需要进行信息(电话号码)共享。正是在这个意义上,索洛夫(Solove)认为,信息社会若坚持隐私具有完全私密性的立场,即意味着隐私在当今世界的实际消失。
隐私信息的必要共享同时也使知情同意规则变得不可能。首先,隐私信息共享既然是必要的,则信息主体同意与否便是次要的。“如果消费者为了获得其所需要的服务和商品,除了同意别无选择,那么这种选择和同意就是臆想的和不切实际的”。当下的知情同意规则也普遍绕开了网络用户的知情要求,仅仅从推理的逻辑两端来构建体系。因此,原本被作为意思表示的“同意”,已被虚化为无意识的“点击”(PC端)或“滑动”(移动端)。事实上,在信息社会中,任何行为都可以在缺乏使用者意识和允许的情况下被追溯。或者说,大部分个人信息的公开和记录都不是真正自愿的,但个人信息传播却是我们过上正常生活的必要前提。例如,到银行存款必须提供姓名、身份证号等信息,在网上购物也必须提供类似信息,否则无法享受服务。因此,所谓信息主体的决定自由实际上是“不真正”的、难以实现的。其次,隐私信息不仅具有人格价值,同时也包含经济和社会利益,保护隐私信息必须兼顾信息从业者和政府对隐私信息的利用需求。此种信息流通上的公共利益,也削弱了知情同意规则的存在基础。而随着数据经济的发展,信息从业者的重心地位日益凸显,知情同意规则与大数据时代的张力日益凸显。最后,在大数据时代,信息的后续挖掘和价值开发成为创造价值的主要来源。在此过程中,信息处理往往超出原初使用目的,使知情同意规则在事实上变得不可能。这就颠覆了以个人为中心的传统隐私理念。
正因为如此,德菲利皮斯(Defilippis)认为,我们正从一个主要由传统人类关系来定义的社会,很大程度上走向以信息关系(informationships)为预设的社会,这种信息关系的形成条件是个人信息在获取、交换上的共享。在信息关系条件下,被信息主体披露的信息也应受到法律保护。此种信息关系社会与传统工业社会有着根本不同,不仅被交换的信息数量惊人,这些信息亦具有普遍性,并导致(人对其之)依赖性。可见,与他人分享隐私信息不可避免,被分享的隐私信息亦未僭越隐私范围,它只是隐私信息在信息社会下的新形态。
(三)隐私共享的类型化分析
隐私信息的必要共享模糊了信息利用的积极、消极边界,也使隐私信息上的公益和私益难以区分。不过,基于不同原因形成的隐私共享,在信息控制力、知情同意规则上也存在差异,具体分为以下三种类型。
第一,基于生活事实的隐私共享,即信息关系参与人之间不存在任何法律关系,而基于生活交往、社会互动发生隐私共享。虽然传统社会也存在本地社区熟人之间的隐私共享,但信息社会下的隐私共享显然不仅仅发生在本地社区熟人之间。例如,教师的电话号码不仅在朋友圈内传播,也常为不够熟悉或未曾谋面的学生、多方打听的服务需求者获知。在隐私信息为陌生主体知悉时,信息主体往往缺乏意识,亦无从控制。因为隐私信息在第一次对外传播时,信息主体即失去了对其的控制,根本不可能知道信息传播的范围,亦无从对需求者作出同意的表示。在信息主体通过发放名片等方式主动标识自己时,信息主体的知情同意与信息控制更是无从谈起。但即便如此,信息主体对已共享的隐私信息仍存在隐私期待:超出共享关系的隐私公开可能构成侵权。例如,虽然教师的电话号码已为不特定的多数人共享,但若电信公司将其泄露给广告业者,亦构成隐私侵权。 在信息社会中,人的社会交往形式以网络空间为典型。各种社交网站、开放论坛已成为公共生活的重要阵地。在网络空间中,人的一切行为、思想都以信息的形式被记录,从而形成一种表达性隐私(expressive privacy),其对虚拟空间的存在极为关键。但问题在于,网络社交平台对传统隐私的控制规则带来了根本挑战,因为即使高强度的控制也不能排除这种可能性:网络社交用户可能发送不友好的、污蔑的或者私密的个人信息,并且此种信息可能由于在线访问不受限制依次被多人获得。若依知情同意规则,社交平台及其用户就会被要求不得发表包含他人信息的言论,或者经他人同意后才能发表包含他人信息的言论。若依此规则,社交平台的评价就根本无法进行,因为被评价者通常不会同意平台收集、发布对自己的消极评价,社交平台因缺乏被评价者授权而不得不删除所有消极评价。同时,许多社交网站用户发送个人信息似乎并不关心控制权的丧失,只是在个人信息被获取、利用或披露于社交网站之外时会有愤慨反应。可见,在网络社交平台和公共论坛上,信息控制理论与知情同意规则的功能失灵体现得更为明显,个人信息并不因此丧失隐私期待。
第二,基于法律行为的隐私共享,即信息关系参与人通过合同的方式共享隐私信息的情形。在社会分工日益精细的现代社会,越来越多的生活服务依赖于陌生主体。作为消费者的信息主体的活动范围越大,其隐私信息便为更多的人所拥有。既然是合同行为,就无所谓知情同意,因为发生交易是双方欲求的法律效果,共享信息则是履行合同的必要前提。虽然经由合同信息主体可以更好地控制隐私信息,但与他人共享隐私信息本身就是风险。在互联网背景下,侵权后果可在短期内为众多受众者知悉,即便由侵权人承担侵权责任,也难以恢复原状和弥补损失。但要求他人删除信息也面临问题:就生产者/销售者而言,客户名单极具商业意义,强令其删除有损其利益。且隐私信息在经过去身份化后可以进行二次和多次利用,删除信息将不利于社会利益,为数据经济所不容。可见,赋予消费者个人信息控制权,实质上并未降低消费者在数字时代可能面临的隐私风险。知情同意规则不仅未真正保护个人的隐私利益,反而可能会阻碍当前大数据产业的发展。
关于个人隐私利益与数据经济之间的张力,“朱烨与北京百度网讯科技公司隐私权纠纷上诉案”颇具典型意义。在本案中,原告认为,百度未经其知情和选择,利用网络技术记录追踪自己搜索的关键词,将其兴趣爱好、生活特点等显露在相关网站上,并利用记录的关键词进行广告投放,侵害了其隐私权。被告辩称,cookie技术是一项合法、基础和中立的工具,其收集到的信息不包含个人身份识别信息,无法识别到现实世界中的特定个人,且网络推送的内容亦限于原告的电脑,并未公开、宣扬原告隐私。法院判决认为,使用cookie技术收集、利用的匿名网络偏好信息虽具有隐私属性,但不能与网络用户个人身份对应识别,网络服务提供者和社会公众无法确定该偏好信息的归属主体,不符合个人隐私和个人信息的“可识别性”要求,因而不构成侵犯隐私权。
第三,基于公共利益的隐私共享。虽然隐私共享难以区分公益与私益,但基于公共利益强制搜集个人信息具有显著的特征。从小区监控到图书借阅记录,从指纹考勤到身份证信息录入,因公益形成的隐私共享与日常生活息息相关。这一类型的基本特征有二:一是存在具有管理职权的信息搜集主体,如物业、企业、学校、国家机关等;二是信息搜集主体不直接共享隐私信息,而是先以数据库的形式储存隐私信息,然后在符合特定条件的情况下,由机器自动识别(如指纹考勤),或者信息搜集主体依职权查阅(如视频监控),或者第三主体依申请查询(如查询个人房产信息)。值得注意的是,在此种共享类型中,由于涉及到信息搜集行为,信息搜集主体的工作人员必然知悉信息主体的隐私信息,但其显然负有不得泄露的法律义务。
在基于公共利益的隐私共享情形中,信息控制理论与知情同意规则与前述类型又有不同。一方面,由于信息搜集具有强制性,人们通常丧失了对信息的控制力与同意权。但须注意的是,信息搜集行为作为一种对隐私的限制,须符合法律保留原则、比例原则的要求。不惟如此,信息搜集主体对于储存隐私信息的数据库亦负有严格的保障义务,而这已非私法规则所能承受,有必要引入行政法、刑法等公法规则,甚至有必要设置专门的个人信息保护机构。另一方面,信息搜集行为需要尽到明确的告知义务,即信息主体对信息搜集享有知情权。这在实践中又分为两种情形:一是在非主动搜集信息时,搜集行为本身即包含告知内容。例如,办理身份证须采集指纹信息,信息主体按手印即表明其对指纹采集知情。二是在主动搜集信息时,搜集主体必须予以明确告知,如告知进入监控领域等,否则可能违宪。例如,德国于1983年制定人口普查法,准备从事全面性的人口资料的普查,引发社会各阶层群起的抗议运动及宪法诉愿。德国联邦宪法法院认为,在自动化数据处理的现代条件下,人格的自由发展取决于个人有权对抗个人资料被无限制的搜集、储存、使用与传送等行为。个人可依据自主决定的价值与尊严,自行决定何时及于何种范围内公开其个人的生活事实。
三、隐私判断的动态模式
隐私信息具有社会属性并不意味着隐私不受保护,它使隐私判断成为一个动态过程。虽然知情同意规则并非毫无用处,但已从原则变成了例外。也正是在这一过程中,隐私信息的商业利用具备了合法性基础。
(一)隐私判断的现代难题
一般认为,个人信息按其敏感度的不同,可分为敏感信息与一般信息。其中,敏感信息属于隐私的保护范围,一般信息则可进行商业化利用。在二者的关系上,“所有关于个人的信息都是个人信息,但许多个人信息不属于隐私信息”。此亦为德国“小普查案”(1969)判决所肯认。据此,敏感信息与一般信息泾渭分明。然而,对隐私信息事先的静态界定的科学性值得怀疑。首先,就个人信息的概念而言,“个人的”不是对价值判断的修辞,无从判断信息的敏感度:“敏感信息也好,一般信息也罢,都在某种程度上可识别到个人”,难以为行为人提供明确预期。其次,即使个人信息初次被搜集和利用尚可判断敏感度的话,其在二次和多次被利用后也变得不可能了。因为在信息社会,不仅敏感信息可以脱敏,而且只要样本足够大,一般信息也可成为敏感信息。任何一个数据片断都能成为暴露和识别用户的线索,甚至生活中的能源使用情况都能揭示个人的日常习惯、医疗条件和非法行为等。因此,不存在一般意义上的、普遍的敏感个人信息,所有的个人信息都具有一定的“敏感性”,只是敏感度显现与否取决于特定情形。戈尔迪(Goldie)因而感慨:精准定义隐私毫无可能。
有趣的是,越来越多的立法和裁判对个人信息的界定采用识别性标准,并为隐私信息的动态界定提供了可能性。如欧盟《通用数据保护条例》第4条第1款规定:“‘个人数据’意指任何与已识别或可识别的自然人(数据主体)相关的信息。”《中华人民共和国网络安全法》(以下简称《网络安全法》)第76条第5项亦规定:“个人信息,
是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”上述规定中的“已识别”和“单独识别”是一个意思,即直接识别到个人的隐私信息。由于大数据背景下的任何个人信息都有可能识别到个人,因此,对任何个人信息的不当搜集和利用都有可能侵害人格尊严,构成隐私侵权。这就意味着,前述立法对隐私信息采用了动态的界定方式。德国联邦宪法法院亦改变先前立场,在1983年的“人口普查案”的判决书中写道:“一项看上去不重要的个人信息可能会在信息处理中获得新的意义,就此而言,在自动化信息处理技术面前,不再有‘不重要的’信息。”
遗憾的是,虽然对隐私信息的界定进行了动态思考,但持此态度的立法和学说往往又坚持信息控制论的立场。例如,欧盟《通用数据保护条例》涉及个人数据保护的方方面面,但主线仍强化数据主体对于数据的控制权。其基本逻辑是:个人数据是人的延伸,而人应当独立自主,因此,个人数据亦应由数据主体掌控。在我国,包含《网络安全法》在内的现行法规定,收集和使用个人信息须经被收集人同意,这暗含了法律认可个人信息由个人支配或控制的理论。可见,欧盟《通用数据保护条例》和《网络安全法》对隐私信息的界定与独立权说相符。但问题是,如果隐私信息必须在动态过程中界定,其又如何受到信息主体的控制呢?二者显然存在不可调和的逻辑矛盾。此外,以信息控制理论为前提,如果所有隐私信息都与人格尊严相关,则如何分割隐私信息中的人格利益与财产利益?二者兼而有之似乎又成了唯一答案。
(二)隐私判断与利益分野
只要我们不以信息控制理论为前提,隐私界定并非无路可走,在动态过程中定义隐私,问题就会迎刃而解。信息识别包含两层含义:一是与头脑中熟悉的“既定”人物形象对应,即所谓单独/直接识别;二是仅了解其属于“特定个人”,但并不“认识”他是谁,也不知悉其“身份”,与其他信息结合才能识别,即间接识别。就对人的影响而言,前者直接与人的尊严相关,属于敏感信息,从而落入隐私权的保护范围,在必要的共享之外,对其搜集、利用,应受知情同意规则规制;后者在与其他信息结合前,对个人的识别仅停留在抽象的符号阶段,暂时无法影响到人的尊严价值,从而具有商业利用的合法性。但在大数据时代背景下,能够直接识别的敏感信息可以脱敏,成为可间接识别信息,从而进行商业利用。可间接识别信息一旦与其他信息结合获得直接识别的能力,又将落入隐私权的保护范围,除非获得授权,商业利用又丧失合法性基础。由此,隐私信息的界定就实现了从静态到动态的转变。在这一动态过程中,从直接识别到间接识别的过渡,隐私信息中的人格利益与财产利益发生了分离。
进而,应如何确定具备合法性的隐私信息的财产归属?基于信息控制论的影响,一种主流的意见认为,用户享有隐私信息上的财产利益。但这种观点似是而非,在大数据时代的社会现实中,隐私信息具有社会属性,“普遍免费”反映了互联网的现状。“隐私信息如同空气一样,乃是一种公共产品”。在实践中,数据交易也无法通过与用户一一协商的方式进行。因此,大量隐私信息的所有人不是用户而是数据从业者,由用户享有所有权既不经济也无可能。或者说,在大数据时代,用户的个人数据本身并无价值。事实上,认为由用户享有所有权更有效率的观点也不堪一击:“其所谓的经济分析论证,只是简单地在用户和网络运营者之间,就数据财产化利益进行了一次非此即彼的决断,赋予了用户个人以个人信息财产权,却排斥了数据从业者应有的财产地位和利益诉求。”因此,本文认为,个人对隐私信息只享有隐私权,数据从业者享有隐私信息的财产权。
如同人体器官具有价值却不能买卖一样,可直接识别的敏感信息也不具有财产化的正当性。但与初始形成的可间接识别的信息相比,可直接识别的隐私信息的财产价值更高。因此,采取技术手段使敏感信息脱敏就很有必要。在数据挖掘、数据共享和数据开放领域,匿名化是被广为运用的手段。匿名化又被称为“去身份化”,是数据控制者将数据中可识别的个人信息进行删除或者改变的过程。关于匿名化的法律标准,一种观点认为应满足两个条件:一是该数据本身无法指向特定个人;二是即使结合其他数据也无法指向特定个人。这种观点值得商榷,因为在数据来源越来越丰富以及算法越来越强大的大数据时代,无法识别出个人的数据也存在重新具有可识别性的可能。“我们必须认识到,匿名化具有相对性,个人总能在特定的语境和额外的搜查中被识别”。所以,欧盟《通用数据保护条例》的官方说明指出:“经过匿名处理的个人数据,若与其他信息结合仍可识别到个人,则仍属于可识别到自然人的个人信息。”不惟如此,匿名化技术本身也尚待提高,尤其是基于动态数据的匿名化技术。此外,匿名化处理越是彻底,数据的利用价值便越低。因此,匿名化的目的不是使数据彻底无法识别到个人,而是使数据从可直接识别变为只能间接识别。同时,为防止已匿名信息重新具有敏感性,应禁止对匿名信息进行再识别。
(三)隐私的动态判断与场景理念
20世纪互联网尚未普及是信息控制理论的社会基础。由于当时的数据经济并不发达,人们对数据分析的意义缺乏清晰的认识,所以,以信息控制理论为基础的知情同意规则亦在初期被绝对化。但在大数据时代,隐私信息的社会属性冲击了信息控制理论,为此,必须创设新的隐私保护模式,由要求在搜集、利用数据时取得个人同意的模式,转变为“初次搜集、利用原则上无须同意,仅在必要共享之外搜集、利用敏感信息才需同意”+“二次和多次利用一般信息又重新获得敏感性时亦承担侵权责任”的模式。由此,隐私判断便从事先的静态模式过渡到由数据使用者来承担责任的动态模式。这一变革在立法上的实践由美国《消费者隐私权利法案(草案)》完成。该法案在比较法上率先突破传统思路,引入场景理念主导的隐私保护新机制,即隐私保护的合理性应从其所处的具体环境中审视,而非进行脱离具体场景的抽象式预判。鉴于场景构成的多元性,对隐私信息的合理利用应综合多种因素进行判断。“跳脱传统架构中二元化的‘全有全无’式评判,在具体场景中综合考量多元因素,是场景理念区别于传统机制的最大特征”。值得注意的是,虽然欧盟《通用数据保护条例》也突出了场景理念的重要性限制,但其只是进一步强化用户同意的形式要求而已,仍然沿袭了知情同意的传统框架。
在场景理念的思维之下,隐私信息合理利用的判断标准有二:第一,是否符合用户的合理隐私期待;第二,是否造成了不合理的隐私风险。前者涉及隐私判断的主观标准,即隐私信息在特定范围被公开后,信息主体仍然存在合理的隐私期待。例如,电话号码虽已为不特定多数人所知悉,但倒卖电话号码违背了信息主体的隐私期待。后者涉及隐私风险的客观评估,即数据使用人须就数据利用对个人的影响、涉及个人数据再利用的行为进行正规评测。场景理念的这一立场,也与前述隐私公开的相对标准吻合。需要强调的是,场景理念不排斥用户控制的技术措施,恰恰相反,增强用户控制是场景理念的有益补充。例如,在搜索引擎设置中提供cookies的关闭选项,在生活应用软件中设置“禁止提供位置信息”的按钮,赋予用户在使用支付软件时删除银行卡号等敏感信息的权利,这更能促进隐私信息的合理使用。
值得注意的是,隐私判断的场景理念排斥所谓的“被遗忘权”。被遗忘权又称为遗忘权、删除权、擦除权等,是指数据主体要求删除相关个人信息的请求权,最初源自法国刑法上罪犯享有的“刑满释放后反对公开其罪行及监禁情况的权利”。后来,这一权利为多国的数据保护法明确,欧盟《通用数据保护条例》第17条亦有类似规定。近年来,我国也兴起一股引入被遗忘权的潮流。但本文认为,被遗忘权作为个人信息权/信息自决权的延伸,仍以个人对隐私信息的控制为基础,而这在当前的信息社会并不可能。因此,所谓的被遗忘权不过是无根之木,在根本上难以实现。不惟如此,赋予个人对其隐私信息的被遗忘权,还会导致对言论自由的戕害,不利于数据经济的发展。而依场景理念,若“被遗忘”信息上的人格利益属于合理的隐私期待,亦可受到隐私权的保护。所以,未来立法不必规定“被遗忘权”。
四、隐私公开的相对标准
隐私信息的社会属性和动态判断,最终促使了隐私公开标准的演进。一般认为,隐私是未公开的秘密,一经公开,隐私就消亡了。这种对隐私公开的绝对理解,既是独立权说与传统隐私权说的共同特征,也在我国立法、比较法上大为流行,但其既忽视了隐私信息的社会属性,与隐私判断的动态模式相悖,也与隐私的本来含义不符。
(一)隐私公开的绝对标准批判
以信息控制理论、知情同意规则为基础,隐私公开势必采取“秘密—公开”的二元判断,认为隐私一经公开,即溢出隐私权的保护范围。此种隐私公开的绝对标准在我国法上蔚为主流。例如,王利明教授认为,隐私主要是一种私密性的信息,凡是个人不愿公开披露且不涉及公共利益的信息都属于隐私,个人信息则不一定是私密的。孙宪忠教授亦认为,信息是可以为他人,甚至必须为他人掌握的(如电话号码、家庭住址等),但隐私是绝对私密的,不能透露给任何人的。因此,《民法总则》110条规定了隐私,第111条规定了个人信息,以示二者之重大区别。同样的立场亦为杨立新教授所秉持:“隐私信息一旦公开,就不再具有隐私性质了。”
早期德国法对隐私的界定采取“领域理论”,其对隐私公开的判断标准同样属于绝对标准。信息自决权说虽然凸显了信息的利用价值,但其在隐私公开的判断上实际上未有突破。此种情形在美国法上亦无不同。美国学者一般认为,隐私是关于选择、自治和个人自由的权利,它包含个人决定是保持隐藏还是公之于众的权利。这种隐私观把隐私作为个人“对抗世界的工具”,隐私或者是绝对私密,或者是完全公开。此种隐私公开的绝对标准,又被称为秘密范式或第三方理论。秘密范式将隐私作为一个关于秘密的概念,认为隐私只能通过窥探和公开披露被侵害。在进行隐私判断时,法院也更多地关注于信息是否被披露,以至于忽视了信息披露的语境和目的。第三方理论同样主张,个人信息在主体自愿移交给第三方时即已丧失合法的隐私期待,从而不再受隐私权的法律保护。沃伦和布兰代斯在《隐私权》一文中亦明确指出:“基于个人的公开事实,或者是经过其同意,隐私权即告终止。”
然而,坚持隐私公开的绝对标准,存在现实难题和理论误区。其一,在信息社会下,隐私信息必须与他人分享,这意味着隐私信息在某种程度上的公开。事实上,即便在工业社会,也存在夫妻、亲属和朋友之间的隐私共享,从而丧失其绝对的私密属性。德国学者更是直言,秘密和公开这两个概念,仅仅在表面上看起来是相互排斥的,实际上这种对立包含了大量的互相重叠,这便导致了秘密和公开的相对性。其后果即为,一方面,传统隐私权说为缓和与现实的张力,不得不承认隐私的“有限沟通”,即认为个人可以自由地与其认为值得信赖之人分享秘密,并相信其私下所透露的信息不会被公开;另一方面,独立权说又难以区分隐私利益与个人信息利益,无法否认隐私涵盖个人信息基本内容的事实,或者认为人肉搜索也是隐私侵权的表现。其二,在理论上,如前所述,虽然沃伦和布兰代斯从未明确隐私的关系维度,但其认为隐私概念绝不限于绝对的个人领域,而是包含特定关系在内。事实上,沃伦和布兰代斯之所以撰写《隐私权》一文,也是因为沃伦的家族隐私被媒体侵犯,这已超出绝对隐私的范围。
在沃伦和布兰代斯之后,普罗瑟(Prosser)从侵权角度对隐私作了进一步界定,并产生了广泛影响。依其主张,隐私侵权存在四种类型:(1)单独的身体侵权;(2)将个人隐私公之于众;(3)给公众造成假象;(4)对姓名或肖像的盗用。
表面上看,此种分类从个人领域角度出发,采纳了隐私公开的绝对标准,但从普罗瑟在他的论述和法律评论文章中引用的三百多个案例来看,绝对秘密并非早期隐私案件识别的关键因素,因为当中的许多案件涉及到已披露给他人的信息。]所以,沃伦、布兰代斯也好,普罗瑟也罢,早期的隐私概念均具有宽泛性。桑迪恩由此认为,秘密范式的发展如同隐私法本身一样,似乎只是偶然事件的产物,而非对预期的隐私保护范围合理的原理性讨论。
值得注意的是,虽然独立权说在我国蔚为主流,学界对隐私公开的判断亦多采绝对标准,但我国法院通常不以此作为判断隐私侵权的标准,且在隐私公开的判断上进行了变通(后文再述),因此未出现难以令人接受的判决。而在美国法上,由于法官严格遵循秘密范式,因此导致很多令人难以置信的判决。例如,在隐私法上具有标杆意义的纽约州Nader v. General案中,法院认为,信息已为他人知悉便难谓侵害原告隐私。“原告已经向他人披露信息,就有必要承受被信赖的朋友或熟人可能违背信义的风险”。又如,在密歇根州Duran v. Detroit News, Inc案中,法院认为,原告的行为已导致其“暴露于公众视线”,故被告行为不构成侵权。
另外,在涉及宪法权利的Katz v. United States案中,被告在没有取得搜查令的情况下窃听了原告在公共电话亭中的谈话。法院认为,窃听也是宪法第四修正案规定的“搜查”,即便它并未实质侵入主体的物质财产。在判决理由中,哈伦法官提出了警察行为适用宪法第四修正案中授权规定的两个要件:一是主体存在真实的(主观上的)隐私期待,二是此种期待可能被社会认为“合理”。虽然本案中原告的主张未获支持,但依此判决,只要其具有合理的隐私期待,已向他人披露的信息也可能受法律保护。不过,此案扩张保护共享隐私的可能性很快消失了。虽然此案中的隐私期待理论原本适用于扩大信息主体的隐私领域,但后来通常被用来限制宪法第四和第十五修正案下的隐私类型。该案九年后,美国联邦最高法院在United States v. Miller案中认为,联邦工作人员在缺乏搜查许可时获得个人的银行记录(包含支票缩印件、存款单和资产负债表)并未违反宪法第四修正案。在该案中,联邦工作人员通过发传票获得开设账户的银行信息。法院适用了哈伦法官创设的“合理期待”标准,并认为个人对银行保存的关于个人账目的记录不存在客观的合理期待。法院认为,宪法第四修正案并未禁止从知悉信息的第三方主体获得信息,即便披露此种信息存在被用于有限目的以及第三方不会背叛的信赖之假定。
(二)隐私公开的相对标准证成
诚然,在自我表达和日常生活无须频繁披露敏感信息的社会中,隐私公开的绝对标准尚可应付,只是在排除政府干涉个人分享的隐私信息时有所不济。但信息社会的到来,使其基本丧失了存在的现实基础。“在大数据时代,原先作为隐私信息看门人的控制机制,要构成现在信息披露的有效限制几乎不可能”。在此背景下,重拾隐私概念的关系维度势在必行,隐私公开的相对标准在比较法上应运而生。与隐私公开的绝对标准相对,依隐私公开的相对标准,即便隐私信息披露给不特定的第三人,也不意味着隐私信息已经被“公开”,此时信息是否溢出隐私的保护范围,尚需结合其他因素进行考量。
据学者考察,在德国法上,秘密与公开的相对性产生了如何平衡个人领域与社会交往的问题。有学者认为,私人的生活和秘密领域实际上非常模糊,而且也往往是公共领域的一部分,此即个人领域包含社会交往之命题。德国法上由此产生了角色理论、交往理论、自我表现理念。依角色理论,人拥有多种人格身份,具有不同的社会角色。在这些不同的身份中,个人需要提供不同的信息,也对环境有不同的期待和要求。由此,隐私所要求的就不是独处的权利,而是依照不同的社会角色适用不同的可曝光度。交往理论认为,所谓对私领域的保护,实质上是对当事人社会交往关系的保护。自我表现理论把自我表现定义为个人在日常生活中所有人际交往行为的总和,该理论主张,在日常生活中,个人对控制与他人的关系具有利益。这种控制体现为对具体交往环境的影响,并作用到社会关系的相对人,最终使社会关系的发展与本人的预期相一致。
遗憾的是,德国法最终没有走出隐私公开的绝对标准的误区。就逻辑而言,角色理论、交往理论均与隐私公开的绝对标准相矛盾,德国法从而具有打破隐私公开绝对性的可能性,但这两种理论并未引起德国学者的普遍重视。相反,基于自我表现理论,德国法上发展出“信息自决”概念,对理论和实践产生了普遍影响。而信息自决权理论虽能够保护交往中的个人信息,但它实际上维持了传统的领域理论,在隐私公开的判断上采绝对标准,即秘密领域受隐私权保护,公开信息则属于信息自决权的范围。
与德国法不同,美国法从隐私概念的关系维度明确提出了隐私公开的相对标准,即只要信息公开存在可被信赖的关系,公开的信息也可能受隐私权保护,即认为信息主体的隐私期待系属合理。依隐私公开的相对标准,披露隐私是否受保护仍然涉及哈伦法官所说的两个要件:一是主体在主观上存在隐私期待,二是隐私期待在客观上系属合理。所不同者,绝对标准建立在信息控制基础上,认为信息一旦向第三方披露,即在客观上丧失合理期待;相对标准建立在信息共享基础上,因此,在向第三方披露信息时,只要存在特定的可信赖之关系,仍属隐私权的保护范围。可见,在隐私公开的相对标准中,可被信赖的关系至关重要。正如沃尔德曼(Waldman)所言:“与其接受传统理论关于公共和个人的区分,我更愿意认为信赖语境下的信息披露仍属于隐私。信赖关系取决于经验、高度重叠的网络、身份共享等。”
德菲利皮斯用“信息关系”来描述与他人分享非公开信息的个人关联,并用“相互关系”一词来代替传统的隐私概念,可谓贴切。其认为:“在构造信息时隐私采取了非此即彼的方式:要么作为隐私,要么已经公开;相互关系则鼓励我们用社会关系的概念来定义信息。也就是说,缺乏两个以上共享信息的人,我们就无法描述为相互关系中的共享信息。因此,与其把相互关系想象为创造关于秘密信息的‘封闭箱子’,我们更倾向于将其看作铸造我所称的‘关系环’或‘关系链’的信息关系类型。”贝赞森也认为,隐私不是基于财产的形式主义产生的概念,而是基于人格和社区产生的概念。这就回应了现实需要:无数的人与陌生人分享其私密事务,但人们通常认为这些事实仍然属于隐私。
美国司法实践还提出了“有限隐私”的概念。如在Sanders v. ABC, Inc案中,加利福尼亚州最高法院认为:“隐私,基于侵扰法的目的,不具有二元的、全有全无的特征。对隐私期待的社会认知存在不同程度的细微差别:个人在既定语境中期待的隐私的事实,不完全或不绝对使期待成为法律上不合理的事情……‘一个人能被其他人看到的纯粹事实,并不自动意味着他或她能合法地被迫服从于被任何人看到。’”法院因此认为,与同事面对面公开的信息不同,在面对外部世界时已公开的信息却属于隐私。密苏里州的YG. v. Jewish Hospital案、佐治亚州的Multimedia WMAZ, Inc v. Kubach案亦采纳了有限隐私理论。在前一案中,法院认为,原告参与晚会“明显仅选择向其他体外受精的夫妇披露其参与事实。在参加这个有限的聚会时,他们并未放弃保持其参与体外受精的状态和过程不被一般公众获悉的权利”。在后一案中,法院认为,原告披露的对象是“关心他或者因为他们也都有艾滋病”的人,尽管原告没有要求其朋友和亲戚为其艾滋病患者的身份保密,但“有证据表明,他们很清楚,披露原告的情况会导致他人的歧视”。
(三)我国学理与实践上的探索
为化解传统隐私理论与现实生活的张力,我国学界也在积极探索。例如,王泽鉴教授指出,隐私在拥挤的生活环境中为个人提供一个有限度与受保护的沟通,即个人可以自由与其认为值得信赖之人分享秘密,相信其所透露的事务将不会被公开。张红教授认为,当事人可以选择不向任何人公开自己的隐私,也可以选择向部分人公开自己的隐私,如在夫妻之间、家庭成员之间或者某些具有亲密关系的人之间互相公开隐私,这些隐私会由于公开而成为“共同隐私”,但在公开范围之外仍属于个人隐私的范畴。杨立新教授将涉及两个以上自然人的隐私称为“相关隐私”,并认为其构成人格利益的“准共有”。上述观点虽有助于弥补传统隐私理论的不足,但仍存在局限性:其未认识到信息时代隐私信息的社会属性,仍系以信息控制理论为基础所作的个别修正,无法触及隐私公开的绝对标准的核心。“共同隐私”、“人格利益准共有”的提法还涉及人格利益的专属性问题,后者更有混淆人格与财产、简单套用财产法概念之嫌,并不足取。
另有一种进路从场所的角度思考隐私权。例如,张民安教授认为,20世纪60年代以来,随着新科技的大量出现和广泛使用,公共场所和私人场所的区分理论受到冲击,人们开始认定他人在公共场所享有隐私权。“私人生活在公共场所中延续,自由、自治、尊严在公共场所中亦存,有限度地承认并保护公民的公共场所隐私权已是时代发展所需”。王利明教授主持的“中国民法典(学者建议稿)”第377条亦规定:“自然人在公共场所的隐私权受法律保护。任何个人和组织在公共场所安装闭路电视、摄像等监控装置必须符合法律规定,并标明必要的警示措施,所取得的资料只能在本来的目的内使用。”该进路突破了个人领域与公共领域的对立,有其积极意义,但“公共场所隐私权”的命题仍系领域理论的思维延伸,未能顾及隐私概念内嵌的关系维度或者隐私公开的相对标准。
还有学者从隐私概念本身出发,否定隐私公开的绝对标准。例如,张鹏教授指出:“当事人可能允许相关个人信息在一定范围内公开,但绝不会允许无条件的任意使用,因为那意味着将自己的某件隐私不加限定、不加区分地绝对公开在全社会面前。”这种主张除了未直接使用“相对性”用语之外,与隐私公开的相对标准无实质差别。徐明博士认为:“大数据时代的隐私不再被纯粹地当做一种秘密,而是一种处于秘密与完全公开之间的中间状态,在此意义上来说,隐私权不是一种绝对的权利,而是一种相对的权利,是一种信息管理的规则。”此种将隐私权当作相对权的立场,即为隐私权公开的相对标准的同类表述。
与理论界的主流意见不同,我国的司法实践一般通过隐私权来保护个人信息。独立权说对此持否定立场,或认为该做法混淆了两个不同的法律概念,或谓隐私权无法胜任个人信息保护的现实需要。然而,对法院的裁判,不宜以其与理论不符而轻易否定。前文述及,独立权说无法准确界分隐私利益与个人信息,这是法院通过隐私权保护个人信息的理由之一。既然如此,法院对隐私公开的判断遵循了何种标准?其与司法实践的普遍做法有何关联?春江水暖鸭先知,法院裁判当为理论的验金石。
令人惊讶的是,我国法院的司法实践与美国法院的“有限隐私”概念类似,也发展出“相对隐私”概念。例如,在“俞霞金、徐存镖等6人诉浙江省宁波市鄞州区人民政府撤销行政决定纠纷案”中,二审法院认为:“‘个人隐私具有相对性’,是否构成隐私应视具体情境而定。年龄在特定的环境中可以成为公民个人的隐私,反之则不必然……为合理使用有限资源,宅基地审批通常需要考虑申请人的年龄因素。农村村民申请宅基地必然要向国家、社会公开自己的年龄信息,以获取批准、接受监督。上诉人有权了解其所在村宅基地申请审批情况的相关信息,此时,年龄这一信息不构成应受法律保护的个人隐私。在“于震环诉嘉年华北京公司肖像侵权案”中,法院认为:“隐私权的具体范围受权利个体的特殊身份、受关注程度以及公共利益等因素的影响,而呈现出较为明显的个体差异,这种差异也源于‘隐私本身的相对性’。因此,在认定个体的隐私权是否受到侵害时,应当在综合考虑个体因素、社会因素以及环境因素的基础上裁断。”
显然,“相对隐私”概念对隐私公开采取了相对标准,
现实基础则是信息社会下隐私信息的必要共享。这表明,法院通过隐私权来保护个人信息,非但不是实践落后于理论,恰恰相反,是实践在检验和修正理论,实践已走在了理论的前面。部分独立权说论者关于“通过隐私来保护个人信息的做法基本涵盖个人信息基本内容”的论断,也从侧面反映了实践的合理性。通过进一步考察可以发现,大量涉及个人信息的司法裁判虽然没有明确提出“相对隐私”或类似概念,却对隐私信息的社会属性多有涉及。例如,在“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案”中,法院认为:“至于庞理鹏的姓名和手机号,在日常民事交往中,发挥着身份识别和信息交流的重要作用。因此,孤立来看,姓名和手机号不但不应保密,反而是需要向他人告示的。”在“闫某与北京新浪互联信息服务有限公司、北京百度网讯科技有限公司网络侵权责任纠纷案”中,法院认为:“由于两个博客的内容涉及了原告的人格权益,原告有权知晓该网络用户的个人信息以便主张权利,新浪公司应当在网络技术力所能及的范围内,向原告披露上述两位博主的网络用户信息。”在“王菲诉张乐奕侵犯其名誉权、隐私权案”中,法院认为:“在社会生活中,公民为了交往的需要,常常主动将姓名、工作单位、家庭住址等个人信息告知他人。这些个人信息有时也会被他人通过一定途径知晓和利用。这些个人信息的披露、使用等行为是否构成侵犯隐私权,应当视行为人对这些信息的取得方式、披露方式、披露范围、披露目的及披露后果等因素综合认定。”
结语
规范调整生活,而生活塑造法律。大数据时代的到来变革了隐私的规范模式。个人信息人格利益的独立权说也好,传统隐私权说也罢,均以主体的信息控制理论及其衍生的知情同意规则为基础,与信息社会的时代特征不符。一般人格权说虽意识到信息共享的普遍性,但未反思隐私公开的绝对标准,从而得出个人信息为一般人格权的结论。为应对信息社会和大数据的挑战,须摒弃工业社会的思维模式,正视隐私信息的社会属性、隐私判断的动态模式,重视并回归隐私概念的关系维度,从而对隐私公开采取相对标准。当然,使个人信息人格利益回归隐私的范畴,并不完全排斥知情同意规则,因为赋予个人一定的知情同意权,并不意味着个人取得了可排他控制的个人信息权。相反,只要主体对其隐私信息存在控制的可能,对隐私信息的利用就应当适用知情同意规则,这也是对隐私保护的必要补充。例如,在必要共享之外搜集个人的敏感信息,应当获得主体的明确许可;主动搜集个人隐私信息,也应当获得主体的同意(明示或默示)。不惟如此,间接识别信息的利用也存在限度,商家进行精准广告营销应赋予用户选择权,否则构成对隐私空间的侵扰。
我国立法应在比较法的视角下充分借鉴相关立法的经验和教训。欧盟《通用数据保护条例》存在的问题是:其一,不恰当地赋予信息主体一般性的控制信息的权利,如拒绝权、访问权、自主决定权、数据携带权等。事实上,上述权利的行使应限于可直接识别信息的范围。正因为如此,立法者同时又为其设立了诸多除外条款。其二,把隐私权和标表型人格权混为一谈,更正权及基于表征功能的访问权是要求使用人正确地表征自己的权利,故应为个人信息上的标表型人格权。其三,把隐私的保护方式当成了信息主体的权利,如删除权、反对权等。以删除权为例,其为信息主体在个人信息被非法处理时提供了救济手段,所以有的学者说,赋予个人特定情况下的删除权,并不意味着法院承认了被遗忘权。
以此为鉴,我国“民法典各分编(草案)·人格权编”应放弃信息控制论的立法基础,并对相关内容作如下修改:(1)修改第六章章名为“隐私权及其保护”,用隐私信息的表述替代个人信息概念。(2)删除第811条第2款关于“本法所称隐私是具有私密性的私人空间、私人活动和私人信息等”的规定,避免对隐私概念作错误界定。(3)删除第812条中的“或者权利人同意”,修改本条为“除法律另有规定外,任何组织或者个人不得实施下列行为……”,因为此处的“权利人同意”属于隐私权人的权利内容,无须通过法律予以明确。(4)删除第814条第1项中关于信息收集、使用的“征得被收集者同意原则”,以契合信息社会的现实。(5)删除第815条中规定的“发现信息有错误的,有权提出异议并要求及时采取更正等必要措施”,同时在其他章中增加个人信息的标表型人格权。(6)把第816条第2项关于收集、使用个人信息的正当理由的规定“使用自然人自行公开的或者其他已合法公开的信息,但是使用该信息侵害自然人重大利益或者自然人明确拒绝他人使用的除外”修改为“使用自然人自行公开的或者其他已合法公开的信息,但自然人有合理的隐私期待的除外”,确立隐私公开的相对标准。
本文认为,在《民法总则》110条已规定隐私权等人格权的情况下,第111条规定个人信息的法律保护,却不使用“个人信息权”的表述,在解释上应认为第111条是对隐私权内容的宣示性规定,而非确立独立的个人信息权。个人信息的保护非私法所能承受之重,通过刑法等公法手段予以保护必不可少。在民法典人格权编规定保护个人信息后,基于个人信息易于传递的特性,尤其是在隐私信息丧失其控制基础、隐私判断采动态模式的背景下,未来的个人信息保护法应侧重于预防理念的公法手段,在公法的框架下进行风险规制。
作者:房绍坤,吉林大学法学院教授、博士生导师,吉林大学财产法研究中心主任,教育部“长江学者奖励计划”特聘教授;曹相见,山东农业大学泰山法治研究院副教授。本文的主题、基本立场、论证、修改由房绍坤提出和完成,收集整理文献、撰写全文初稿和文字校对由曹相见完成。
来源:《法制与社会发展》2019年第4期。