摘 要:在法律制度上,隐私权保护与个人信息保护的根本区别在于法理基础:前者所保护的关系具有人际关系的特征;后者所保护的是具有人机关系特征的信息处理关系。二者立法在制度框架、适用前提、保护群体、权利性质等方面均不同,一些看似存在逻辑矛盾之处也可以解释。在不涉及信息处理关系时,法律只适用隐私权保护;在涉及信息处理关系时,二者如何适用取决于法律适用所要实现的目标、适用机关及其角色定位、制度适用的方式与制度搭配。二者关系的厘清可以为《民法典》与《个人信息保护法》的适用提供基础。应采用制度视角,将《民法典》中的个人信息条款与《个人信息保护法》视为同一制度模块。在个人信息保护中适用人格权、合同、侵权等制度时也应采取公私法融合的多维视角,结合具体治理目标选择制度工具。
关键词:隐私权;个人信息;人际关系;信息处理关系
隐私权保护与个人信息保护的关系是一个“剪不断、理还乱”的问题。一方面,隐私权与个人信息经常被混同使用,对于普通民众来说,二者基本没有区别,企业也经常将其个人信息的告知同意称为“隐私政策”。甚至法律也经常混用二者,如1995年《欧盟数据保护指令》(以下简称《数据保护指令》)将其立法目的之一界定为保护“隐私权”,美国则常常以“信息隐私”来指称个人信息保护,将个人信息保护纳入“大隐私”的概念范畴。另一方面,隐私权保护与个人信息保护在法律制度上的差异也非常明显,如各国的个人信息保护法都以公平信息实践原则为基础,同时包含公法制度与私法制度,这与以侵权法为基础的隐私权保护形成显著区别。
隐私权保护与个人信息保护的话语混同与制度差异带来了一系列问题。一方面,应当如何看待隐私权保护与个人信息保护的关系?为何法律制度会在隐私权保护的基础上,发展出个人信息保护的框架?如何解释隐私权保护与个人信息保护的立法差异?二者在立法上是否存在自相矛盾之处?为何隐私权比个人信息权益更核心,隐私权比个人信息所保护的信息类型更窄,但个人信息保护却在某些方面采取了更严格的制度?例如,在公法上,隐私权仅受治安管理处罚法保护,个人信息保护却被纳入刑法;在侵权法上,隐私权保护采用过错原则,而个人信息保护却采取过错推定原则。当隐私权保护与个人信息保护出现交叉时,如何看待二者在适用上的优先性?另一方面,隐私权保护与个人信息保护的关系也直接关系《中华人民共和国民法典》(以下简称《民法典》)与《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的适用。《民法典》生效时间在前,其不仅规定了隐私权条款,而且对个人信息进行了规定,而其后生效的《个人信息保护法》则对个人信息保护进行了更详细的规定,并且涉及人格权、合同、侵权等相关制度。在法律实践尤其是司法实践中,法院经常对《民法典》与《个人信息保护法》的适用关系感到困惑。例如,在个人同时依据《民法典》和《个人信息保护法》提起隐私权与个人信息权利诉讼时,哪部法律的适用优先?当个人对信息处理者提起人格权禁令、合同违约、个人信息侵权时,法院是否可以适用《民法典》中的人格权禁令、合同、侵权制度?对于这些问题,仍然缺乏法理层面的分析。以下笔者试从法理学与跨部门法的角度对其进行反思,以期为理论上澄清隐私权保护与个人信息保护之间的关系以及实践中《民法典》与《个人信息保护法》的适用提供助益。
一、隐私权保护与个人信息保护的调整关系区分
隐私权的兴起已经为学界所熟知。美国学者沃伦与布兰代斯将隐私权界定为“个人独处的权利”。沃伦与布兰代斯提出隐私权的年代,正是美国现代媒体尤其是各种哗众取宠媒体兴起的年代。19世纪末,很多媒体开始采用摄影技术,对名人和社会热点事件进行跟踪、拍摄和公开,并将这些照片和信息在媒体上公开,这对很多人造成了困扰。在此之前,虽然有诽谤法等法律保护个人名誉,但并没有法律专门对隐私权进行保护。
从隐私权保护的法律特征来看,其所保护的关系具有人际关系的特征。隐私权保护采取侵权法框架,将侵权者与被侵权者拟制为能力平等的民事主体。而个人信息保护或信息隐私保护从一开始就聚焦于具有人机关系特征的信息处理关系。个人信息保护始于20世纪六七十年代,其背景是计算机与数据库在政府与私人部门的大规模应用。在美国,一系列计算机技术首先被用于联邦政府的规制机构。计算机技术的兴起,使相关组织对信息的处理方式发生了变化。在计算机技术兴起之前,相关组织对个人信息的收集、储存与处理都是零散性、暂时性与小规模的,但计算机的信息处理却是系统性、永久性与大规模的。美国的个人信息立法正是在这一背景下进行的。1965年,美国提议成立国家数据中心,这直接引起了美国立法机构对计算机技术所造成的隐私侵害的关注。在随后的几年里,“计算机与隐私侵犯”“计算机与隐私”“隐私与国家数据银行概念”等一系列听证会召开。同时,美国医疗、教育与福利部门成立了一个“关于个人数据自动系统的建议小组”,对个人信息保护进行研究。正是在这一段时间,个人信息保护的法律制度开始成型。1970年,美国首先在征信领域制定了具有个人信息保护法雏形的《美国公平信用报告法案》,要求征信机构向个人提供其记录的访问权、更正权以及授权披露等权利;1974年,《美国隐私法案》和《美国家庭教育权利和隐私法》分别对美国联邦规制机构和教育领域处理个人信息进行了规定。1988年,《美国计算机匹配和隐私保护法》对政府机构之间的数据交换与数据融合问题进行了规定,修正了1974年的《美国隐私法案》。
欧洲的情况与美国的类似。在德国、法国等国家,计算机技术被大规模应用于个人信息的储存、检索等活动,这引发了社会的广泛关切,并触发了一系列立法。1970年,德国黑森州制定的欧洲第一部个人数据保护法——《德国黑森州数据保护法》——对行政机关利用计算机技术进行“自动化数据处理”进行了规定。1978年,法国针对“信息计算”对“人类身份、人权、隐私,和个人或公共自由”的威胁,制定了《信息与自由法》。这一系列立法都是为了防止“数据库利用信息进行各种目的支配”。欧洲的后续立法继续聚焦信息处理关系。1981年,欧洲委员会签署了《关于在自动处理个人数据中保护个人的公约》(即《108号公约》),明确其保护对象为对个人数据的自动处理。1995年《数据保护指令》聚焦于对数据的自动化处理或结构性档案处理。《数据保护指令》“重述”第27条指出,尽管对个人数据的保护“同样适用于数据的自动处理和手动处理”,但手动处理“仅包括存档系统,不包括非结构化文件”。2016年《欧盟一般数据保护条例》(以下简称《数据保护条例》)继承《数据保护指令》的规定,其第2条将其规范对象界定为“自动化处理”“半自动化处理”,或者为了存档系统而进行的手动处理。《数据保护条例》“重述”对此进一步澄清:“未按照特定标准构建的文档或文档集及其封面,不属于本法规定的范围”。
就隐私权保护而言,我国采用了大陆法系的法律框架。1986年通过的《中华人民共和国民法通则》(已废止)没有规定隐私权,但1998年《最高人民法院关于审理名誉权案件若干问题的解释》(已废止)第8条确认了个人隐私权受法律保护。2009年通过的《中华人民共和国侵权责任法》(已废止)第2条将隐私权明确规定为民事权利,将隐私权纳入人格权的保护范畴。2017年通过的《中华人民共和国民法总则》(已废止)第110条再次确认了自然人享有隐私权,2020年通过的《民法典》将人格权独立成编,其中对隐私权做出了详尽的规定。《民法典》第1032条将隐私定义为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”;第1033条详细列举了侵犯个人隐私的行为:“(1)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;(2)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;(3)拍摄、窥视、窃听、公开他人的私密活动;(4)拍摄、窥视他人身体的私密部位;(5)处理他人的私密信息;(6)以其他方式侵害他人的隐私权”。从《民法典》人格权编关于隐私权的规定看,我国隐私权的法律保护一直将其调整的关系确定为人际关系。
就个人信息保护而言,我国近年来的立法也以具有人机关系特征的信息处理关系作为调整核心。2021年11月1日生效的《个人信息保护法》在立法技术上与欧盟相关法律相似,都以“个人信息处理”作为法律调整和保护的核心。同时,《民法典》人格权编个人信息条款也同样聚焦人机关系。无论是其中关于个人信息处理的原则、处理者的民事责任,还是个人在处理中的权利,《民法典》都以“个人信息处理”作为核心和前提。就此而言,无论是《个人信息保护法》,还是《民法典》人格权编个人信息条款,都与《民法典》人格权编隐私权保护条款存在区别。如果说后者主要将其保护关系确定为人际关系,那么前者主要将其保护关系确定为信息处理关系。
二、隐私权保护与个人信息保护的制度区分
从人际关系与人机关系的区分出发,可以初步理解隐私权保护与个人信息保护在立法或制度设计上的差异,以及解释二者在立法层面的若干表面冲突。
首先,隐私权保护与个人信息保护的制度框架不同。隐私权保护主要采取侵权法保护的方式,依赖个体向法院提起司法救济。而个人信息保护则借鉴了公平信用报告、公平劳动实践等制度,以“公平信息实践”为制度基础,采取公私法合作治理的方式对个人信息进行保护。公平信息实践原则于1973年由美国医疗、教育与福利部门发布,随后被广泛采用,构成如今通行的个人信息保护的基本框架。基于该原则的制度一方面对个体赋予了一系列权利,如个体对知情权、访问权、更正权、删除权等权利,要求信息处理者承担相应义务;另一方面,对信息处理者施加了一系列义务,如要求信息处理者保持处理的透明性,其收集不得超过必要的限度,其处理不得超出收集信息时的目的,其储存和使用必须保证个人信息安全。
其次,隐私权保护与个人信息保护的适用前提不同。隐私权是一种对世权,可以适用于不特定第三人,因为任何不特定第三人都可以被拟制为民法上的人,从而与被侵权者形成平等的人际关系。相反,个人信息保护只针对信息能力不平等的专业化或商业化的信息处理者,都将只具备人际关系、不具备信息处理关系的情形排除在保护范围之外。在适用前提方面,中国、欧盟与美国的立法体例虽然不同,但其底层逻辑却具有一致性。例如,中国的《个人信息保护法》第72条和欧盟的《数据保护条例》第2条第2款第(c)项都明确排除了“因个人或家庭事务而处理个人信息”,以及“非结构化”的手动个人信息处理。美国亦是如此,加利福尼亚州、弗吉尼亚州、科罗拉多州、犹他州、康涅狄格州的消费者数据保护法都将小企业或不具备专业化信息处理的企业排除在适用范围之外。
再次,隐私权保护与个人信息保护的目标群体不同。隐私权所调整的是一对一的人际关系,其保护对象是个体,并不直接涉及群体。个人信息保护则不同,其所调整的是一对多或一对海量个体的关系,其保护目标虽然也从个体出发,但是实现群体保护是其重要的目标。这一点可以再次从信息处理关系上推出。如果某个主体仅仅对一个人或几个人的信息进行收集与利用,那么此类关系就会落入“因个人或家庭事务而处理个人信息”的范畴,仍然适用隐私权保护,不适用个人信息保护。美国的消费者隐私保护法也表明了这一点。
最后,隐私权保护与个人信息保护中的个体权利性质不同。隐私权是一种消极防御性的实体权利,而个人信息权利则是积极的程序性权利。消极权利与积极权利的差异较容易理解,因为隐私权强调对侵害的救济,而个人信息权利则强调个人对于自身信息的支配。较难理解的是实体性权利与程序性权利的区分。隐私权之所以具有实体性权利特征,是因为这种权利具有相对确定的基础和共识,与个体尊严和个人生活安宁密切相关。而个人信息权利之所以是程序性权利或工具性权利,是因为个人信息赋权是为了实现信息关系的有效治理,而非为了实现个人对于自身信息的绝对性支配。换句话说,个人信息权利是一种手段,而非目的本身。近年来,随着研究的深入,越来越多外国学者指出了个人信息权利的程序性或有限性。我国学者也指出,个人信息权利的性质应理解为一种规制工具,或者理解为保护人格尊严、安全以及通信自由的支配权与救济权,或者理解为一种实现多种相关权益保护的“抓手”。这些理解各有差异,但其共同点是指出个人信息权利的工具性与程序性特征。
仅从表面看,隐私权保护与个人信息保护存在逻辑上的自相矛盾之处。一方面,隐私权被认为是一种比个人信息权利更为核心的权利,如《民法典》将隐私权规定为一种“权利”,而将个人信息视为一种“权益”;《民法典》对“个人信息中的私密信息,适用有关隐私权的规定”,也表明了隐私权的保护范围更窄、程度更高。但另一方面,法律对个人信息的保护又似乎更为严格,隐私权的损害赔偿采用过错原则而个人信息保护采取过错推定原则。《中华人民共和国刑法》对侵犯个人信息的行为进行了规定(如第253条),但对侵犯隐私权的行为最严厉的规制仅为《中华人民共和国治安管理处罚法》(以下简称《治安管理处罚法》),其具体规定如第42条。
但从上文的法理分析出发,隐私权保护与个人信息保护之间的表面矛盾将不复存在。从个体的角度看,隐私权的确在大多数情形下优先于个人信息被保护权。当个人信息处理行为不涉及隐私权时,个体常常不会感受到自身权益遭受了损害,或者即使遭受了损害,此类损害也经常是风险性的和不确定性的,不如隐私权所造成的损害那么现实和具体。但个人信息保护涉及群体或海量个体,从群体保护或社会风险规制的角度出发,就可以理解为何个人信息保护的范围更广但程度更高。面对个人信息处理所可能导致的“大规模微型侵权”,法律需要对个人信息进行程度更高、范围更广的风险预防。
损害赔偿归责原则的制度矛盾也可以得到合理解释。隐私权保护的是平等个体之间的人际关系,采取一般过错原则有利于维持个体行为自由与隐私权保护的平衡。但个人信息保护的制度目标是矫正个体与信息处理者之间的信息能力不平等,同时促进信息处理合规、维护群体权益,采取过错推定原则或违法性要件原则可以有效发挥个体“私人总检察长”的功能,利用个体诉讼倒逼信息处理者进行合规建设,维护群体权益。如果仅从个体私权维护出发,二者的损害赔偿归责原则的确存在逻辑矛盾;但如果认识到个人信息权利是一种实现群体保护与矫正信息不平等关系的程序性权利,就不难发现二者在立法上并不存在逻辑矛盾。
三、隐私权保护与个人信息保护的适用情形区分
隐私权保护与个人信息保护虽然可以在基础理论与制度设计上进行明确区分,但是在适用上可能呈现出不同情形。在不存在信息处理关系的情形中,法律只能适用隐私权保护。在存在信息处理关系的情形中,个人既可以诉诸隐私权救济,也可以诉诸个人信息保护进行救济。此时,监管机构或法院对于两种制度的适用与机构的定位、制度适用的方式、制度的搭配密切相关。
1.不存在信息处理关系的适用
在不存在人机关系或个人信息处理关系的情形中,法律对相关主体只能适用隐私权保护。将个人信息保护适用于人际关系或非个人信息处理关系,将严重限制人们的行为自由,造成普遍违法。例如,人们在日常生活中对他人信息的打听,或者机构组织对于个人信息的偶发性获取。在此类情形中,法律应当适用隐私权保护而非个人信息保护。如果在此类情形中适用个人信息保护,要求相关活动获得个人同意并赋予个人以相关信息权利,那么不仅大量日常活动将因为没有获得同意而成为违法行为,而且还会促使企业对个人去标识化信息进行重新识别,因为只有重新识别个人信息,才能保障个体的查询复制权、更正补充权、删除权等权利。
比较复杂的是一些临界情形。例如,在引起社会热议的“街拍”活动中,此类行为除了适用隐私权保护,是否可以适用个人信息保护?如果认为隐私权一般只保护私密空间或私密信息而难以保护公共场合的个人信息,那么应当适用个人信息保护。但从本文的分析出发,此类情形仍然需要看“街拍”行为是否涉及个人信息处理。如果相关街拍活动是非专业性的,那么此类活动仍然是个体自由、新闻报道与个人隐私权之间的协调问题,应当适用隐私权保护框架。相反,如果相关街拍活动涉及对大量个人信息的自动化、半自动化或结构性处理,那么此时除了可以适用隐私权保护框架,也可以适用个人信息保护法。
2.存在信息处理关系的适用
在信息处理关系下,监管机构可以对侵犯隐私或个人信息的违法行为进行监管。根据《治安管理处罚法》第42条的规定,“偷窥、偷拍、窃听、散布他人隐私的”,公安机关可以对当事人“处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款”。根据《中华人民共和国消费者权益保护法》第50条的规定,“侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的”,工商行政管理部门或者其他有关行政部门可以责令改正、警告、没收违法所得、罚款、责令停业整顿、吊销营业执照;《个人信息保护法》第65条也规定:“任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人”。不过就监管机构而言,其定位与职能在于维护公共利益。这决定了其对隐私权保护与个人信息保护的适用重在维护公共秩序与制止违法行为,而非对个体侵害进行赔偿。在上述情形中,监管机构会制止侵害隐私权或个人信息的行为,并作出相应的处罚,但一般不对此类侵犯行为所造成的损害进行直接赔偿。国外监管机构亦是如此,无论是美国还是欧盟,其监管机构对于侵犯隐私权或个人信息所引发的损害都不进行个体补偿。
法院对于隐私权与个人信息保护的适用则取决于不同国家对于法院的职能定位。有的国家和地区坚持法院的个体救济定位,避免法院行使监管职能。这就使得法院整体上以适用隐私权为主,排除了大部分基于个人信息保护而提起的诉讼。以美国为例,虽然美国在立法上赋予法院适用个人信息保护的权力,赋予个体基于知情权、访问权、删除权等信息权利的诉权,但在司法实践中,美国联邦最高法院从《美国联邦宪法》第3条出发,认为法院只能受理“案例”或“争议”,且必须以损害作为前提。只有当案件具备“具体损害”或“实质性风险”时,法院才能受理公民提出的个人信息权利之诉。这意味着美国法院更坚持传统私法定位。对于没有产生“具体损害”或“实质性风险”的个人信息侵权案件,法院仍然将其留给监管机构进行监管。
当然,在少数个人信息泄露案件中,美国法院也对传统侵权法进行了改造,以发挥侵权法的个人信息监管功能。以《加利福尼亚州消费者隐私保护法》为例,该法引入法定损害赔偿之诉,对未造成具体损害的个人信息泄露进行救济与监管。基于该法的规定,“因企业违反义务而未实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息,致使消费者的个人信息受到未经授权的访问和泄漏、盗窃,或披露的”,消费者可以提起民事诉讼,“主张100美元到750美元的损害赔偿金或实际损害赔偿金(以数额较大者为准);主张法院发布禁止令或确认赔偿请求;法院认为适当的任何其他救济”。不过,该法也规定,消费者应在此之前“提前30天向企业发出书面通知,声称企业已经或正在违反本标题之具体规定”,同时“在可以补救的情形中,如果在30天内,企业实际补救了所发现的违规行为,并向消费者提供了一份明确的书面声明,说明违规行为已得到补救,不再发生违规行为,那就不得对企业提起个人或集体的法定损害赔偿诉讼”。这些规定表明,美国也在少数情形中认可了法院的监管功能,通过引入法定赔偿,法院利用改造后的侵权法对个人信息进行监管。
欧盟则在个人信息保护中充分发挥法院的监管功能,限定传统私法救济角色。在监管功能方面,欧盟赋予了法院与欧盟数据保护监管机构同样的职能。根据《数据保护条例》第79条的规定,数据主体具有“针对控制者或处理者的有效司法救济权……任何数据主体认为,违反本条例处理其个人数据而导致本条例赋予其的权利被侵犯的,其都有获取司法救济的权利”;根据第78条的规定,数据主体“针对监管机构的有效司法救济权……任何自然人或法人都有权对关乎他们的由监管机构做出的有法律约束力的决定获得有效的司法救济”。这些规定意味着,欧盟的法院具有与监管机构相同的权力,可以对个人提起的个人权利诉讼进行直接救济,以及对监管机构做出的裁决进行复审。当欧盟的法院行使此类权力时,其进行的是对公法基本权利的救济,而非侵权法救济。在私法救济方面,欧盟严格限定侵权法在个人信息保护中的适用。《数据保护条例》第82条第1款规定:“任何因为违反本条例而受到物质或非物质性伤害的人都有权从控制者或数据者那里获得对损害的赔偿。”对于这一条款,欧盟委员会认定,违反《数据保护条例》本身并不意味着存在损害,欧盟各国法院也作出判决,对于没有造成实际损害的违法行为,原告无法获得赔偿。在归责方面,欧盟以违法作为侵权的前提,并引入了被告反证的权利。《数据保护条例》第82条第2款规定:“任何涉及处理的控制者都应当对因为违反本条例的处理而受到的损害承担责任。对于处理者,当其没有遵守本条例明确规定的对处理者的要求,或者当其违反控制者的合法指示时,其应当对处理所造成的损失负责”;第3款规定:“控制者或处理者如果证明自己对引起损失的事件没有任何责任,那么其第2款所规定的责任可以免除”。这些规定意味着,欧盟整体上采取“合规吸纳侵权”的立场,侵权法在欧盟个人信息保护中发挥的作用非常有限。
我国则采取“双管齐下”的模式,既利用法院行使个人信息权利之诉的监管职能,又积极改造传统侵权法对个人信息损害之诉进行救济。一方面,《个人信息保护法》第50条第2款规定:“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼”。这实际上引入了个人信息权利之诉,让人民法院行使类似欧盟法院或独立监管机构的职能。另一方面,《个人信息保护法》第69条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额”。这一规定将传统侵权法的过错原则转变为过错推定原则,并将传统侵权法的损失补偿原则改变为多重可选原则。经过这种改造,侵权法在我国个人信息保护中的地位更加突出。
我国“双管齐下”的模式与我国的国家机构设置密切相关。一方面,我国没有设置像欧盟数据保护监管机构那样统一和独立的专业监管机构,《个人信息保护法》规定的“国家网信部门”和“县级以上地方人民政府有关部门”的法治化程度仍然不足。另一方面,我国法院除了履行其个体救济功能之外,也经常承担公共监管职能,特别是近年来,我国法院不断设立环境法院/环境法庭、金融法院等领域性法院,其制度功能早已不限于传统私法的个体救济。在这一背景下,《个人信息保护法》既在第50条中赋予个体基于个人信息权利之诉的诉权,又通过第69条改造侵权法为个人提供保护。在监管机构法治化程度不高的背景下,这一制度设计具有其合理性。
不过需要强调的是,我国在个人信息保护中赋予人民法院以更大的职责,这需要以认清人民法院的定位为前提。当人民法院在个人信息权利之诉中适用法律时,其扮演的是监管角色,行使的是监管职能。当人民法院在个人信息侵权损害之诉中适用侵权法时,其目标是利用改造后的侵权法发挥威慑与治理功能。正如本文所述,个人信息侵权具有“大规模微型侵权”的特征,无论是个人信息权利之诉还是个人信息侵权损害之诉,其最终目的都是实现群体保护和信息处理关系的治理。人民法院在适用个人信息保护法的过程中,需要对自身角色与制度目标保有充分的自觉。同时,人民法院还须注意监管与侵权的配合与协调,避免监管与侵权的双重责任。
综上所述,隐私权保护与个人信息保护是两种制度工具,其适用取决于适用主体、适用目标、适用方式。当法院面临个体救治与风险预防的双重目标时,其救治方式或制度适用取决于不同的目标、机构定位,救治方式或制度工具如何选择、如何改造、如何协调搭配。
四、《民法典》与《个人信息保护法》的适用
隐私权保护与个人信息保护的关系与《民法典》和《个人信息保护法》的适用问题密切相关。由于《民法典》在人格权编中不仅规定了隐私权,而且规定了个人信息保护,而《个人信息保护法》又更为具体地对个人信息保护进行了规定,这就导致法律实践与法律理论对二者的适用关系产生了种种争议。例如,有学者主张,《民法典》是《个人信息保护法》的基础性法律,二者适用应当遵循一般法与特殊法的关系;另有学者认为,《个人信息保护法》以宪法为依据,与《民法典》属于平等关系,在适用上应当遵循平行适用原则。笔者认为,应当超越《民法典》与《个人信息保护法》的文本关系。因为无论是《民法典》还是《个人信息保护法》,都不是体系封闭的文本,二者的很多制度存在高度交叉,仅从两部法律文本出发分析其关系,将导致问题更为复杂混乱。作为替代,笔者提出应当从文本关系转向制度关系,即从隐私权保护模块与个人信息保护模块出发,分析这两个制度模块之间的关系。在《民法典》规定个人信息条款的背景下,这就意味着将《民法典》中的个人信息条款与《个人信息保护法》视为同一制度模块,分析个人信息保护模块与隐私权、人格权、合同、侵权等传统法律制度模块的关系。
1.制度视角的优越性
首先,采用制度视角符合相关法律规定。从法律规定来看,《民法典》个人信息条款与《个人信息保护法》具有制度工具上的同质性,与《民法典》隐私权条款则有本质性差异。《民法典》第1032条和第1033条关于隐私权的规定都没有“处理”的表述。而《民法典》第1035~1038条个人信息保护条款均包含了“处理”的表述,并且其内容均与《个人信息保护法》具有高度相似性。例如,第1035条规定了个人信息处理的“合法、正当、必要”原则,第1036条规定了信息处理者的免责事由,第1037条规定了个人在信息处理中的查询、复制、更正、删除权,第1038条规定了信息处理者的安全保障义务。对于法律制度模块,应该根据其制度特征进行理解与适用,而非根据其所处的法律文本进行分析。就像如果《民法典》写入劳动法的相关条款,那么此时仍然应当以劳动法的逻辑对这些条款进行解读与适用。
其次,制度视角可以避免法律上的逻辑矛盾。(1)《民法典》并未像《个人信息保护法》第72条那样规定,将“自然人因个人或者家庭事务处理个人信息”排除在外,如果完全按照封闭的文本解释,这将得出《民法典》中个人信息保护条款可以针对“任何组织或个人”的结论。即使在非信息处理关系中获取和处理他人信息,也需要获得对方同意,而且需要保障他人的查询、复制、更正、删除权利。但正如上文分析,这一结论不符合逻辑,在非信息处理关系中适用个人信息保护,将造成人们日常生活中的普遍违法。(2)制度视角可以避免一套制度两种属性、两种适用的逻辑矛盾。《民法典》规定的个人信息查询、复制、更正、删除权利与《个人信息保护法》中的个人信息权利具有高度相似性。但如果仅从其文本归属来看,那么会得出这些权利在两部法律中保护不同权利的结论,即《民法典》中的此类权利只保护人格权,而《个人信息保护法》中的此类权利则保护“人格尊严”“人身、财产安全”的权益。此外,《民法典》并未对个人信息侵权的归责原则作出特殊规定,《个人信息保护法》第69条则引入过错推定原则。若完全按照文本而非制度解释,则意味着当个人在个人信息案件中提起侵权损害之诉时,可能对之适用不同的归责原则。
最后,制度视角可以大幅降低《民法典》与《个人信息保护法》适用的复杂性。以私密信息与敏感信息的关系为例,这两个概念分别规定在两部法律中,其中《民法典》第1034条规定:“个人信息中的私密信息,适用有关隐私权的规定”;《个人信息保护法》则将“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”等“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”界定为个人敏感信息。二者的关系引起了学界诸多讨论。仅从文本或概念界定的角度看,二者难以清晰界定、不可避免存在交叉,很难把握制度适用。但如果采取制度视角,就可以发现私密信息和敏感信息仅是隐私权与个人信息保护两种制度下的概念工具:私密信息可以被理解为人际关系中不被允许的那类信息,而敏感信息则是在个人信息处理中风险较高的那类信息。其中,私密信息由于其人际关系特征,因此其范围常常需要依据双方关系而定,具有高度不确定性,如朋友之间未经同意获取对方家庭住址信息,此类行为一般不属于违法;而媒体未经个人同意曝光个人住址,则显然属于违法。在这个意义上,私密信息更多是隐私权侵权认定后的结果,很难也不必要进行事前确定。相反,个人敏感信息由于其人机关系或信息处理关系,其所面临的风险往往与社会的客观情况相关,具有相对确定性,法律也常常采取“列举+开放”评估的模式加以界定。从隐私权制度模块与个人信息制度模块的视角出发,私密信息与敏感信息这一极为复杂的问题就可以迎刃而解。
2.制度视角下的法律适用
从制度视角出发,可以更清晰地分析《民法典》与《个人信息保护法》中的规范适用关系。
首先是人格权法适用。《民法典》第997条规定了人格权禁令制度,这一制度可以适用于侵害隐私权可能导致的损害,如人民法院可以针对某一视频偷拍行为发布禁令。这一制度是否可以适用于《个人信息保护法》或《民法典》中的个人信息条款?例如,当个人提起查询复制权、更正删除权却被信息处理者拒绝时,个人是否可以要求人民法院发布个人信息处理的禁令?这一问题的答案取决于个人信息处理是否可能存在违法行为或侵害大量个体,而非个人信息处理是否对个体造成损害。如果信息处理仅对某一个体造成损害,对其他主体并无影响,也并不存在违法行为,那么此时人民法院就不能发布禁令。若信息处理者的行为具有严重违法或侵害大量个体的情形,则此时人民法院可以考虑借助《民法典》第997条颁发禁令。不过,即使人民法院颁发禁令,也应注意这时的法院是在履行类似监管机构的职责。对于此类颁布禁令的权力,《数据保护条例》第57条明确将其赋予给监管机构;美国虽然赋予法院以颁布禁令等权力,但明确将其限定在个人信息泄露等情形中,并且给予企业以合规补救的机会。
其次是合同法适用。《民法典》与《个人信息保护法》中的告知同意是否适用合同法?对于信息处理者来说,答案显然是否定的,因为即使获得个人的明确同意,个人也仍然拥有个人信息的查询、复制、更正、删除、撤回、反对自动化决策等权利,信息处理者无法通过隐私政策剥夺个人的此类权利。但是,个人是否可以在信息处理者违反隐私政策的情形中适用合同法来对信息处理者提起违约之诉?此时同样需要注意的是,告知同意制度是一种一对多的授权或合法性许可制度,具有多维的治理特征。在大多数情形下,信息处理者违反其隐私政策,其所侵害的是市场竞争秩序或海量个体的个人信息被保护权;就个体而言,其所遭受的具体损失往往非常有限。因此,对于违反隐私政策的行为,个人所提起的主张具有违法举报的性质,各国对此类行为主要由监管机构进行处罚,个体的诉权则仅限于极少数情形。例如,当信息处理者与个人进行单独协商对采集的个人数据明确支付报酬时,如果信息处理者违反约定未支付报酬,那么个人可以依据合同法对信息处理者提起违约之诉。在后一种情形中,个人与信息处理者之间的关系更接近本文所称的人际关系而非人机关系。
最后是侵权法适用。在实践中,个体往往在信息处理关系中同时提起隐私权之诉、个人信息权利之诉、个人信息侵权损害之诉,此时应当适用《民法典》中的一般侵权之诉、绝对权之诉,还是《个人信息保护法》第69条规定的特殊侵权之诉?在归责原则上,是应当适用过错原则、无过错原则还是过错推定原则?从制度视角出发,(1)对于隐私权之诉而言,这一制度以过错原则与损害赔偿为核心,其功能更偏向于个体救济;(2)对于个人信息权利之诉而言,这一制度的实质是个体举报与公共监管,即个体向监管机构或具有监管功能的人民法院进行举报和申诉,监管机构或人民法院据此作出裁决或判决;(3)对于个人信息侵权损害之诉而言,这一制度采取过错推定、举证责任倒置、赔偿方式多样化的特殊侵权归责原则,从而发挥侵权法的威慑功能与公共治理功能。在侵权法的适用中,如果信息处理完全合规,信息处理中仅存在个体损害,那么应当注重隐私权的适用。如果信息处理者存在违反个人信息权利的违法行为,但并不存在具体损害或风险,那么应当注重个人信息权利之诉。如果信息处理完全合规,但存在侵害群体的下游损害风险,那么应当注重个人信息侵权损害之诉。
综合而言,《民法典》与《个人信息保护法》的关系并非选择或优先适用问题。一方面,《民法典》本身是一个包含多种制度工具的工具包,其中大部分制度工具具有传统私法的特征,但很多制度也具有特殊私法的特征,如《民法典》第1182条的侵权归责原则也规定了过错推定原则,并且在损害赔偿中引入了“获得的利益”“实际情况”的赔偿方案。另一方面,《个人信息保护法》采取公私法融合的综合治理模式,也包含多种制度工具。在多种制度工具并存且存在交叉的背景下,关键是确定法律适用的目标,理解不同制度工具的特征与优缺点,并在此基础上选择、改造和配合使用不同的制度工具,以实现个人信息的有效治理或“精巧”治理。例如,在信息处理关系缺乏公法规制或有效监管的背景下,通过改造后的私法或特别私法,可以较为有效地利用私法发挥公共治理功能。而在个人信息处理关系已经得到有效规制的前提下,也需要坚守传统私法,避免双重治理。但无论如何,都不能简单地将适用某一目标的制度工具不加改造地用于实现另一目标。
五、结语
隐私权保护与个人信息保护的关系是一个经典难题。本文从制度视角出发,指出隐私权保护与个人信息保护的不同在于前者调整的是平等主体之间的人际关系,依赖侵权法;后者调整的则是一对多的不平等主体之间的人机关系或个人信息处理关系,采取合作治理的保护方式。隐私权保护与个人信息保护的关系,类似传统民法与消费者保护法、传统民法与劳动法的关系。不过比起消费者保护法和劳动法,个人信息保护法呈现出更多的公法因素。其原因在于,个人信息处理所涉及的个体权益往往是“微型”权益,个体常常难以做出理性判断。面对“大规模微型侵权”,个人信息保护法需要依赖政府规制、企业自我规制与个体救济的合作治理。相反,消费关系和劳动关系中的个体权益往往涉及切实可见的利益,个体反而更可能做出符合自身利益的决定,在消费者保护与劳动者保护中,私法自治更可能发挥作用。
在区分和理解了隐私权保护与个人信息保护的逻辑后,就可以发现二者的关系是一种制度工具的关系。在纯粹人际关系中,隐私权保护是唯一可以适用的制度工具。而在人机关系或个人信息处理关系中,法律既可以适用隐私权保护,也可以适用个人信息保护。不过,这种适用取决于法律所要实现的不同制度目标以及不同的适用机构和机构定位。监管机构、角色定位为传统私法救济的法院、具有监管职能的法院对于二者的适用各不相同。从隐私权与个人信息保护的关系出发,《民法典》与《个人信息保护法》的适用问题可以迎刃而解。二者的关系应该转变为制度关系,将两部法律中的相同或类似制度作为同一制度模块加以分析。法律需要首先确定其治理目标,在此基础上选择、改造与搭配不同的制度工具。
