一、问题的提出
个人信息保护制度,是20世纪中期以来当个体被动置于大规模的信息处理活动之中,同时又面对高度组织化的个人信息处理者之时而创设的,是对个体信息权益予以保护的制度化工具。这一制度产生伊始,就在各个向度面对多重争论。这些争论包括是否受到英美隐私法的观念影响,信息技术视域下个人信息承载何种功能,个人信息本身及其是否区隔于所承载的人格利益、财产利益,抽离或者融入价值判断的制度解释或构建乃至国家法和其他法律对个人信息的应有定位,等等。
这些问题的讨论,既有助于在不同维度廓清不同层次与不同点面的疑惑,同时又有助于规则建构之时不断夯实与构筑基础理论。但是,这些问题并非如人们所想象或期望的那样——可以“平铺式”或者点面清晰地予以陈列。相反,它们是“交叠式”呈现乃至嵌于多重立体交织结构之中,并且这些问题本身的大小强弱均质各异。这就使理论讨论似乎既简单又复杂,结论似乎既显而易见又尚待论证。这种矛盾性以及“不确定中的确定”与“确定中的不确定”循环渐次,不断解释已有问题又不断产生新问题,个人信息保护恰在这样一种分析线流中深入推进。
对于个人信息主体应当享有何种权利这一问题的争论,以实证法创设相应法定权利而告一段落。但随之而来的问题是,个人信息主体又将如何实现这些权利。作为集中规定个人信息主体权利的《民法典》与《个人信息保护法》,前者已实施近两年,后者亦已实施一年有余。从已有实践来看,个人信息主体权利的实现尚面对诸多现实问题,包括个人行使查阅权时可查阅的个人信息的范围、删除权如何实现、具有财产属性的权利能否放弃以及权利实现机制等问题。讨论这些问题,则需要体系化解释个人信息的概念、人格权、财产权等权利的内涵,损害赔偿的范围甚至如何理解启动一项法律诉讼的前提等系列问题。
本文聚焦于个人信息主体权利的实现这一主题,希望在解释论的基础上,既回应现实问题,同时又能为后续理论发展提出值得探讨的系列问题。
二、隐私法演进中的个人信息主体权利
个人信息保护机制在隐私观念的影响下逐渐形成。在世界范围内,众所周知,美国和欧洲都有强大的隐私保护传统,而在此传统与背景之下,欧美又进一步推动了以信息或数据为主要载体的立法。比如,美国1970年制定了第一部数据隐私立法《公平信用报告法》(Fair Credit Reporting Act)。几乎在同时期,德国也通过了世界上第一部个人数据保护法《黑森州数据保护法》(Hessisches Datenschutzgesetz)。
这些立法具有一定标志性意义,它们是在隐私保护传统之下针对信息或数据而进行的立法,也对后续立法产生较大影响。之所以强调这样一种背景,意在能够系统理解信息或数据立法,而非仅仅基于当下信息利用等角度而认为个人信息非属个人而属于社会,同时也有助于理解为何个人信息立法会规定个人信息主体享有一系列权利,以及其如何影响个人信息主体行使自身的权利。
(一)隐私对个人信息保护的观念影响与渗透
隐私立法是个人信息或数据立法的基础。近年来由于网络科技的快速发展,以平台为主要载体的网络服务提供者对海量个人信息处理活动的风险吸引了人们较多关注,因此在个人信息保护的法理念、法技术等层面着力较多,个人信息保护法律制度的独立性持续增强。然而,仅关注该制度本身呈现的特点,而忽视其发展脉络中的影响因素以及制度的分合,无法客观认识与评价这一制度。因此,拉长理论观察的距离,扩大讨论的视野,才能更好地理解制度构成及其中可能存在的一些难题。
隐私观念与政治、文化相关,在不同区域与法域体现得尤为明显。从比较法视角观察,但凡提及隐私权,就必然是从沃伦(Samuel D.Warren)和布兰代斯(Louis D.Brandeis)发表于1890年的《论隐私权》一文说起,文中界定隐私权为“个人独处的权利”。这篇文章吸引了世界范围内对隐私权的关注,也开启了美国百余年对隐私权理论和判例的争论。
1960年,美国著名侵权法学者普洛瑟(William L. Prosser)发表了《论隐私》一文,他将隐私权侵权行为分为四种情形:侵扰原告的隐居或独处、侵扰其私人空间事务;公开披露原告令人困扰的私人事实;公开他人的不实形象;为自己利益而使用他人的姓名或特征。普洛瑟的隐私权理论也影响较大。但由于普洛瑟界定的隐私权的范围较广,美国学界近年来对这一理论产生不少质疑。有学者认为,普洛瑟的观点令本已碎片化、连贯性较低的信息隐私法变得更加支离破碎,并且从侵权法蔓延至信息隐私法的各个分支,应将隐私侵权法恢复至19世纪90年代的理论。
无独有偶,理查德(Neil M.Richards)和索罗夫(Daniel J.Solove)在讨论信息时代个人信息问题之时,他们也认为,普洛瑟对隐私权的界定与认识较为僵化。如果隐私权侵权在数字时代仍然至关重要,那么,它必须超越普洛瑟的概念,甚至应当重新获得沃伦和布兰代斯关于隐私权的理论活力。美国隐私法是一种强隐私保护观念的输出,涵盖范围较广。同时人们也自觉或不自觉地将这种隐私法观念延伸至信息隐私法、个人信息保护等领域,这一点在美国后续关于个人信息保护的立法均以消费者隐私或数据隐私保护等面貌出现而加以印证。
大陆法系典型国家的私领域观念,以德国为例,德国民法上或宪法上并无隐私的概念,而是在德国判例学说称为私领域或私人性,这是德国法上一般人格权为保护个人生活领域所为的具体化。进而在学说上提出了领域理论,这一理论也适用于判例并进一步发展。
但是随着一些标志性事件的出现,“领域理论”开始逐渐相对化,尤其体现在“人口普查案”(Volksz?hlung)之中,该案创设了个人信息自主(自决)权,以资料的使用或结合可能性为判定标准。尽管近年来从个人信息保护的角度以及各国各地区个人信息保护立法中关于是否承认个人信息自主(自决)权以及如何解释这一权利的观点不一,但不能否认的是,至少在当时提出这一权利有其道理,而且无法割裂其与“领域理论”之间的联系。私领域以及信息自决理念也影响后续欧盟个人数据保护的相关立法。
(二)隐私法与个人信息保护规则的区隔
隐私法虽然对个人信息保护具有较大的观念影响,但个人信息保护规则却逐渐与隐私法相区隔,呈独立之势。个人信息保护的特殊性日益凸显,其在规则、体系等各方面均独立于隐私法。这主要取决于几个方面的因素:
一是与隐私相比,个人信息保护多从“信息”本身的判断入手,不再仅限于“私领域”的判断,当然,由于“可识别性”理论的引入,也使个人信息的判断并非易事。
二是在判断隐私之时,融入的价值判断相对比较单一,主要是传统上隐私的判断标准,而个人信息的判断某种程度上在“概括+列举”等单线程界定的基础上,又可能需要在个案的主体关系之中予以判断。
三是由于限定于信息这一载体,并且信息脱离于个体而置于个人信息处理者的控制之下,因此针对信息本身,个体也享有相应权利,这一点不同于保护方式注重消极防御的隐私权。这些因素共同作用,使个人信息规则有单独自成体系且立法的需要。
世界范围内在一定程度上形成隐私数据立法竞争之势。在美欧隐私数据立法竞争中,美国以隐私和信息一体规制的概括的隐私法而著称,其不断确定客体、规则等方面的界限;欧盟立法则聚焦于个人数据,制定较为体系化的规则,从而在立法技术上颇占上风,并在相当程度上为其他国家和地区所借鉴。美国有学者认为欧盟法更具影响力,与欧盟相比,美国在本轮世界范围内的隐私立法之中略处劣势。
但也有美国学者对此并不认同,他们对美国隐私保护方面的优势十分推崇,并认为,乍一看,比较法律学者可能会认为美国的隐私保护框架不如欧洲的方式稳健有力,但在某些方面,美国的框架却提供了比欧洲更强的保护。尤其是,美国的隐私保护是针对特定领域的,在法规和判例中均有所体现,它们适用于特定行业,如医疗、教育、通信、金融服务以及儿童信息在线收集等。在欧美的对比之中,尽管法体系、法技术上有所不同,繁简不一,但都顺应本国本法域的社会、历史、文化和法律传统,立法竞争之时仍系于自身的体系与脉络。
中国隐私权和个人信息保护立法启动相对较晚,中国并无较强的隐私保护传统,受隐私观念历史传统的限制不多。但随着隐私权保护观念的引入,在借鉴欧美立法的基础上,逐渐在成文法体系内构建起隐私权保护的法律规则,并在司法实践中不断完善相关适用规则。而个人信息保护规则在制定之时,就区分于隐私权,随着民事基本法以及个人信息保护法等单行法的颁行,逐步构建起个人信息保护的法律规范体系。
在并无较强隐私文化和立法传统约束的前提下,借个人信息保护立法之际,创设出相应信息自决观念以及系列权利。尤其是,中国个人信息保护法是在信息时代高速发展以及在个人信息保护、数据安全与利用乃至经济、社会发展等多重场域与制度交叠互嵌背景下制定的,因此,人们对个人信息保护法期待较高。但同时,由于可能介入的影响因素较多,也使得对于个人信息保护法的基本规则的理解或有所偏离,法律在实施中也遇到一些障碍与困境,这些问题可能还需要回到个人信息保护法的基本法理以及底层逻辑中阐释和解决。
(三)个人信息主体权利的隐私限度
个人信息主体权利围绕保障基于隐私与个人信息的知情权,设定多项法定权利,包括对个人信息的查阅权、复制权、异议权、更正权、删除权等。信息时代给人们带来诸多未知风险,可能会给人们带来潜在与现实的多重侵害。
法律赋予个人信息主体享有针对信息处理者可行使的一系列权利,旨在保障个人对于处于信息处理者控制之下的自身个人信息的知悉,以对抗由于不当收集、不当使用、信息瑕疵或错误以及影响信息自主决定等而导致的不利评价或侵害。这一系列权利在美国《公平信用报告法》中有所规定,几乎成为但凡涉及信息处理就会存在的、类似于一种“结构化的权利组合”。我国《民法典》第1037条和《个人信息保护法》第四章“个人在个人信息处理活动中的权利”第45、46、47条之中就分别规定了这一系列权利。这些权利并非中国个人信息保护立法上的创造,而是与“信息”本身的特质紧密相关,并在征信领域已有较长时间的适用。从这些权利的发生本源来看,体现出隐私观念存在的影响。
尽管个人信息主体权利的形成受隐私法影响,但前述知情权与各项权利的设定也仍然是基于利益衡平,相应权利行使均是具有一定限度的。在几乎所有关于个人信息采集、利用的场景之中,与个人人格权益和财产权益联系最为紧密的当属征信场景。征信机构是最具代表性的个人信息处理者。在个人征信活动中,征信机构依法采集、整理、保存、加工个人的信用信息,并向信息使用者提供,帮助市场主体判断控制风险、进行信用管理。
而对于个人而言,之所以处于征信法律关系之中,也通常是因为其正在处于或即将处于信用活动之中,比如信用消费或信用交易,与个人财产权益等各方面的获得与实现紧密相关。美国《公平信用报告法》,在第602条(a)(4)规定,必须确保消费者报告机构在履行其职责之时是公平、公正的,尊重消费者的隐私权。该法案以保护消费者的隐私权为宗旨。但即便如此,个人信息采集与查阅权、复制权、更正权、删除权等系列权利行使的对象与客体,也仍然仅限于“信用报告”这一载体本身,而并非漫无边际。依此类推至其他的个人信息处理活动,在个人信息主体行使相应权利之时,也应具有一定限度,这种限度如何体现以及如何理解,将在下文详述。
三、个人信息主体权利:应然向度与实现困境
依循概括的隐私脉络,大致可勾勒出隐私与个人信息保护的演进关系,也影响个人信息保护制度体系的构建。个人信息主体权利确为个人信息等人格权益和财产权益的实现而设,但同时其也具有相应权利边界,并非基于隐私与个人信息保护的无限放大而不当影响个人信息处理活动。如何客观解释这一权利体系,就成为一项基本工作。同时,作为法定权利,其理应面向实现向度,权利实现即“社会主体直接以自己的行为实现法律规范中所设定的权利要求,实施一定的作为或不作为。这是权利实现过程正常化的法律标志之一,表明了权利实现活动的积极社会价值”。
《民法典》实施近两年,《个人信息保护法》实施一年以来,如何从解释论的角度予以解释适用,在实践中又存在哪些实现障碍与困境,如何应对与破解这些难题,殊值探讨。
(一)个人信息主体权利体系
个人信息主体权利体系内部应当是自洽的,彼此证成的。如拉兹所论,“一个法律体系可以看作是一种实践推理的体系,因为它的许多规则都嵌入于证成结构之中。规则的嵌入方式是:对于任何两个规则,一个在法律上证成了另一个”。当然,拉兹讨论的是一种更为宏大的法律体系,并非局限于个别较为微观的体系。但其道理是基本相通的,无论是何种意义上的体系或子体系,都应当在规则上是彼此证成的。
对比《民法典》和《个人信息保护法》关于个人信息主体的权利,对于相同的权利,二者从语词或概念描述而言基本相同。《民法典》第1037条规定了个人信息主体对个人信息享有查阅权、复制权、异议权、更正权和删除权;《个人信息保护法》第44条、第45条在前述几个权利的基础上又增加了知情权、决定权和可携带权。总体来看,个人信息主体的法定权利包括:知情权、决定权、查阅权、复制权、异议权、更正权、删除权、可携带权。这些权利共同构成了个人信息主体权利体系。
这一体系呈现为“三阶构造”:决定权的“理念贯穿式”权利模式和立法模式;以知情权为核心的权利基础;以查阅权、复制权、异议权、更正权、删除权和可携带权为内容的散射交叉的系列权能。如前所述,传统在征信领域,基本上是以第三阶构造中的系列权能为主要内容,而个人信息保护法强化了作为这些权能底层基础的知情权和决定权。这一点虽然在域外立法例中并未得见,但从本文第一部分从隐私法演进中观察个人信息主体权利的产生与创设,就可知对于知情权和决定权的强化也在制度构建的应然理解之中。
(二)个人信息主体权利的实现困境
《个人信息保护法》实施时间虽不长,但其却在个人信息保护方面发挥了较为重要的积极作用,同时又不容忽视的是,其也暴露出隐私数据立法的一些天然缺陷等问题。就个人信息主体权利而言,其在查阅权、删除权的行使等方面存在一定问题,进而又会影响如何界定“个人信息”这一基本概念等一系列问题。
1.关于查阅权的行使。《个人信息保护法》第45条规定了个人享有查阅权和复制权,其第1款前半句规定,“个人有权向个人信息处理者查阅、复制其个人信息”。有学者认为,此处的“其个人信息”应理解为“个人信息处理事项”,即个人信息处理的相关情况。这一解释比较客观,但对于“相关情况”仍有细化的空间。根据目前的平台实践,多数应用程序(APP)均设置了个人信息共享清单、个人信息收集清单等项,以供用户查询平台与关联方共享、合作方共享、第三方软件开发工具包(SDK)等说明,同时在收集清单之中也载明基本信息、社交信息、交易信息、使用日志等。这些内容基本上符合查阅权的客体范围。
关于个人行使查阅权时可查阅的信息范围在实践中有进一步明确界定。在一则案件中,用户周某使用A公司的APP,周某主张因担心个人信息泄露或个人信息有误,或A公司将个人信息用于其他用途损害其利益,故向该公司要求披露相关信息。在经过两审审理,A公司确认周某的“账户信息”中的账户注册时间、账号、头像,“个人基本信息”中的性别、手机号码,“设备信息”(设备型号、操作系统版本、唯一设备标识符),“日志信息”中的订单信息、互联网协议(IP)地址,“收货信息”(收货人姓名、收货地址、手机号码,以及相应的订单号、所购商品或服务信息、支付的货款金额和支付方式),“购物习惯”等信息为其实际收集且应当披露的信息。
对于周某在使用该APP之时使用由该APP自动生成的昵称“××会员”是否属于应当披露的个人信息范畴,法院认为,虽然该昵称由该APP自动生成,并非周某自行填写,但根据《个人信息保护法》第4条关于“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”的规定,周某作为A公司可识别的注册用户,其昵称仍属于个人信息范畴,至于该昵称为个人自行填写或是由系统自动生成,均不影响其性质的认定。另外,披露的范围还包括自周某在APP上注册之日起到该判决生效之日止的“浏览记录”及“与第三方(包括第三方支付机构)共享的个人信息”,后者应当包含信息种类、信息内容、使用目的、使用场景和共享方式等内容。从这起案件之中可以看出,对于个人有权查阅的范围仍然是以个人信息的“可识别性”为界定标准,以确定可查阅的个人信息的范围。
另外,关于查阅权还存在征信特例。从世界范围来看,征信体系与一国的社会信用文化和市场经济基础紧密相关,不同的历史、文化和法律特点形成了不同的征信机构运作模式。比如,以德国、法国为代表的公共征信系统模式,以美国、英国等为代表的私营征信机构模式以及我国以商业银行信用信息基础数据库为基础的类似于公共征信系统的模式。在中国,征信具有一定的公共性特征。
如前所述,征信查询是典型的个人信息处理活动中的情形。但是,根据《征信业管理条例》第17条规定,信用主体可以向征信机构查询自身信息。个人信息主体有权每年两次免费获取本人的信用报告。可见,个人可查阅的信用信息以信用报告所载为限,而很难再解释到有关个人信息处理的相关情况。根据中国人民银行征信中心《个人信用报告(授信机构版)》中显示,个人信用信息主要包括个人基本信息、信贷交易信息、非信贷交易信息与社会信用信息(包括公共信用信息和市场信用信息)等信息。综上可见,征信场景下的查询权的范围实际上不同于其他个人信息处理活动中的查询范围。
2.关于删除权的实现。《个人信息保护法》第47条规定了个人信息主体享有删除权。个人得向个人信息处理者行使删除权。但是如何保证个人信息处理者确已删除相关信息,仍然是一个具有高度不确定性的问题。即便通过司法程序确认个人信息处理者应履行相应删除义务,使数据归于不复存在,但尚需客观标准予以核实检验,也需要在实现程序与效果上予以讨论。有学者认为,个人信息保护法规定的个人信息主体的删除权,只是“信息处理的合法性与必要性基础丧失”的必然结果,而“数据销毁”才是“数据归于消灭”的处理流程末端。而在这一问题上,可否通过在行业或司法实践中一定标准化或格式化条款的应用而要求个人信息处理者履行删除承诺,或可斟酌。
3.关于可携带权的实现。《个人信息保护法》第45条第3款规定了可携带权,这一权利在《个人信息保护法(二次审议稿)》之后增加。在已有的手机号码携号转网实践中,某种程度上实现了可携带权。但是对于技术、规模等各方面发展并不均衡的平台而言,欲实现可携带权,尚需探索。而如若此权利运用不当也会给企业增加合规成本、产生数据安全风险隐患,影响个人信息保护和数据治理效能。另外,有的企业出于维护自身竞争地位的考虑,而对于个人要求实现自身信息的可携带并不支持甚至以技术原因为由而予以拒绝。如何克服已有实践中的障碍,是当下法律实施中需要考虑的问题。
4.关于个人信息的界定。在个人信息主体权利实现的过程中,尽管存在各种实现困境与问题,但归根结底又回到最原初的问题——如何界定“个人信息”。对于个人信息的概念界定,《民法典》第1034条确立了“识别说”,《个人信息保护法》第4条则界定为“关联说”,但二者殊途同归,最终都将汇集到“可识别性”的判断上。如前所述,“可识别性”实际上是一个本身存在一定缺陷,但目前又很难找到其他可替代标准的一个标准。当解释可识别性标准之时,正向的标准通常包括通过相关信息可识别出相关主体,但是这样的一种解释又存在不少漏洞。而同时又可作出一些例外情况的排除性的解释,比如仅识别出手机设备号码,并且无法通过其他信息关联至相关自然人的,则不视为“可识别”。
另外,在平台收集的个人数据中,尚有一些处于模糊地带的信息,其是否应解释为个人信息,尚需区分。实践中,有一些数据是为实现某种市场基础设施的辅助功能而形成的数据,例如,身份认证、行为分析、连接匹配和声誉信用等,进而形成认证数据、分析数据、连接数据和声誉数据等。这些数据大致属于用户作为数据来源者所贡献的数据,但是这些数据实际上也会在不同过程中呈现为不同形态,并且根据不同场景而分属个人或平台等不同主体。对于认证数据,在其初始收集之时,其与个人身份相对应,因此属于个人信息。但是在每一次为获得相应服务之需而予以验证之时,所留存的数据,如若无法识别出个人,则在个人行使查阅权之时,不存在向个人披露的必要;如若能够识别出个人,则应予以披露。
基于以上可知,信息主体权利在实践中遇到诸多障碍与实现困境。但也如有学者所言,权利的“法定化”确实不能等同于权利的实现。虽然就某种程度而言,法定权利与实然权利之间虽然存在差距,但是权利的“法定化”也仍然可以当作权利“实现”的主要衡量标准。当然,不容忽视的是,以上这些问题也给法解释、法适用提出一些难题,尚需在今后的法律适用中进一步系统解释。
四、个人信息主体权利:实现方式与保护救济
从互联网到数字化的多重演变,造就了前所未有的社会系统复杂性。对于个人信息主体权利,法律虽明确规定,但却在实践中困难重重,其中既有个人信息如何界定此种理论待决问题,同时还有诸多权利实现条件和现实基础等问题。对此,应从权利的实现机制角度观察,信息处理者应基于个人请求而履行相应的行为义务,以使制度实现圆满状态。
(一)权利的实现方式
作为个人信息主体权利的知情权、决定权、查阅权、复制权、异议权、更正权、删除权和可携带权。知情权作为核心的权利基础,其实现在相当程度上与查阅权相交叉重合,很难想象行使查阅权之时不是一种行使知情权的场景。当然查阅可能针对特定信息,而知情则可基于一种更大范围内的信息。而在其中,如何衡平个体实现这些权利与其他制度价值之间的关系,也是近年来人们关注的话题。科恩(Julie E.Cohen)指出,隐私权的制衡因素清单很长,而且越来越多。
近年来社交媒体、移动平台、云计算、数据挖掘和预测分析的增加,有可能使天平完全倾斜,将隐私置于与知识进步对立的地位。在美国,有一种观点认为,隐私的坏名声带来的后果是显而易见的,当隐私及其所谓过时的价值观必须与国家安全和商业的前沿要求相抗衡时,隐私权就成了失败者。这种认识也将隐私权保护的正当性推至风口浪尖。但针对这种观点,科恩指出,侵害隐私对个体造成损害,但实则伤害的却不仅仅是个体。以进步、创新和有序自由为名对隐私的侵入,实际上更是破坏了我们所珍视的政治和知识文化的持续活力。因此,认为隐私过时和社会倒退的看法是错误的。因此,即便个人信息主体享有这些权利自隐私而起,但这些权利也在不断争论中实现与信息处理者利益的平衡。
权利的实现方式与实现效果对应着相应主体义务的履行。对于信息主体请求行使查阅权、复制权、异议权、更正权、删除权、可携带权等权利,信息处理者应履行相应的行为义务——披露、复制、更正、删除等。当然,若信息处理者拒绝个人请求而产生纠纷的,法院应当在客观解释法律规定的基础上公正裁判。而由于个人信息保护的复杂性,也给法官留有填补法律漏洞的任务。而法官在解释法律之时,应按照相应标准进行解释。
事实上,法律解释的标准通常包括字义、法律的意义脉络、历史上的立法者之规定意向、目标及规范想法、客观的目的论的标准、合宪性解释的要求等内容。就各种解释标准之间的关系而言,字义标准为基础,“由一般的语言用法获得的字义,其构成解释的出发点,同时为解释的界限,在可能的字义范围外,即使以‘扩张’解释之方式亦不能谓合于字义者,不能视之为法律的内容而加以适用”。只有在此基础上,才能更好地保护信息主体的权利。
(二)权利的救济程序
关于个人启动诉讼程序的限制与解释,《个人信息保护法》第50条规定,个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。实践中,有的信息主体在未经向信息处理者请求的情况下,便径直起诉。这一点是否符合第50条的立法意旨,成为理论和实践都比较关注的问题。
诚如杨仁寿先生所言,“解释法律必须兼维法律之安定与理想,而后法律的功能始能充分发挥”。司法保障信息主体权利请求之时,也应当做到充分的利益衡平。比如,在杜某诉某网络公司个人信息保护纠纷案中,用户杜某认为,某网络公司在对用户个人信息处理活动中未依法保障自身的知情权和决定权,侵犯了个人信息权的合法权益,在未向信息处理者请求的情形下,直接提起诉讼。
法院认为,《个人信息保护法》第50条适用于个人在个人信息保护法第四章所规定的个人信息权利受到侵害或妨碍,但没有产生损害时所产生的一种“个人信息权利请求权”。由于这一权利的请求权基础为《民法典》第995条规定的人格权保护,只要个人信息权利受到侵害或侵害即将发生,即可请求行为人承担停止侵害、排除妨碍、消除危险等民事责任,在构成要件上无须考虑个人信息处理者的主观过错和造成实际损害之要件,其目的在于保障个人信息权利的行使和排除对个人信息权利的妨害,从而为个人信息主体权利提供一种防御性的保护,避免侵权行为进一步产生实质化的损害后果,最终达到恢复个人信息权利主体对人格利益圆满支配状态,保障个人人格的完整性。同时,因个人信息流动大、使用频率高、范围广,如果直接向法院起诉,不但会造成不必要的诉累,增加个人信息处理的成本,而且可能导致诉讼频发、浪费司法资源,甚至成为恶意诉讼人滥用诉权的工具。实践中,通过向个人信息处理者的积极主张,应是最快捷、最便利、最有效的维权方式。
基于此,《个人信息保护法》第50条第2款明确规定“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院起诉”。换言之,本条的诉权是以“个人信息处理者拒绝个人行使权利的请求”为前提,即设置了个人向法院提起请求权救济的前置条件。也就是说,个人信息主体应先向个人信息处理者请求行使具体权利,只有在个人信息处理者无正当理由拒绝履行义务或一定期限内不予处理,或者个人信息处理者提供的申请受理机制失效的情况下,个人方可向法院提起诉讼以获得救济。
本案中,被告某网络公司已通过协议约定和后台设置构建了个人行使权利的申请受理及处理机制,原告杜某可通过以上方式行使个人信息知情权和决定权。但原告杜某提起本案诉讼前并未向被告某网络公司(信息处理者)提出请求,而是径行向本院请求救济其在个人信息处理活动享有的权利,显然不符合法律规定中关于“个人信息权利请求权”的起诉受理条件,故驳回原告杜某的起诉。对于法院的解释,笔者认为,从法解释上来看,基本上符合立法本意。
从纠纷解决的原理上看,对于《个人信息保护法》第50条也可有另外一种解释路径。如埃利希所认为:“裁决一项纠纷,意味着要界定彼此纠纷的领域,主要是按照纠纷前界定的领域来界定。这种界定首先要标明纠纷产生之前即已存在的团体中的内容秩序。”“在每个纠纷中所涉及的问题是:基于这些事实产生的规范已被违反,因此法官在所有的法律诉讼中必须依据自己的知识或者根据证据来查清这些事实,以便对纠纷进行裁决。所有这些事实在纠纷产生之前已经形成于具体的团体之中,故而构成了裁判的基础。”
基于通常理解,所谓需要由司法机关等公权力介入的必要前提,即需存在一项特定的纠纷。对于个人所享有的一系列权利,其行使的对象应向信息处理者行使,在未向信息处理者表达自身意思,并且信息处理者也未拒绝之时,实际上尚不存在纠纷,司法机关等就无介入的必要。因此,第50条第2款的规定也体现了这一基本道理,而且平台用户数量众多,如若此款不严格解释,恐造成较多不必要的诉讼的局面,因此应慎重对待。
(三)信息主体是否有权请求精神损害赔偿
侵害个人信息主体的权利,在个人信息处理者履行相应义务的基础上,信息主体是否有权请求精神损害赔偿,这一问题似乎较为复杂。《个人信息保护法》第69条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。就该条解释而言,第69条第1款应依据《民法典》第1165条第2款予以解释,第69条第2款则基本上可以依据《民法典》第1182条予以解释。
在立法之时,似乎并未将《民法典》第1183条精神损害赔偿的规定考虑进来。但有学者认为,第69条第2款使用的是“损失”一词,而第69条第1款也只是使用“损害”,都没有如《民法典》第1182条那样使用“财产损失”的表述。从文义解释出发,在处理个人信息侵害个人信息权益造成损害时,无论该损害是财产损失还是精神损害,都可以按照第69条第2款确定相应赔偿数额。这种解释在很大程度上也就突破了《民法典》第1183条对于精神损害赔偿责任仅限于“造成严重精神损害”的情形。
与此相关的案例显示,侵害个人信用方面的权益,法院支持了当事人关于精神损害赔偿的诉讼请求。该案中,张某某准备到银行进行个人贷款,通过中国人民银行查询自身征信记录,人民银行征信中心报告显示其自2000年3月24日在被告某信用社有多次逾期贷款的情形。张某某认为其没有在该信用社贷过款,遂提起诉讼,请求法院判决信用社消除不良征信记录,并公开赔礼道歉、给付精神损害抚慰金50000元。
法院认为,因信用社违反银行相关贷款发放的规定,未尽到贷款审查义务,致使张某某在中国人民银行诚信服务中心个人征信系统备注有不良贷款记录,产生了并不真实的不良信用记录。这一事实已经导致张某某社会信用受到损害,侵犯了其一般人格权。对于张某某主张的财产损失赔偿部分,其提供的证据并不能证明信用社的侵权行为给其造成的实际财产损失,法院未支持该部分诉讼请求。对于张某某请求的精神损害抚慰金,信用社作为专业的金融机构,在操作业务时应尽到严格审查义务,因其过错行为造成张某某社会信用受损,致使上诉人遭受精神痛苦,张某某据此请求精神损害赔偿,应予支持。精神损害的赔偿数额根据信用社的过错程度、侵权行为的后果等具体情况酌情认定为3000元。该案具有一定典型意义,当然其中对于精神损害的证明程度,也可再讨论。
对于侵害个人信息主体权利,在绝大多数情况下似并无精神损害赔偿适用的余地。但是在某些极端情形之下,比如,个人多次拒绝个人信息处理者处理其信息(包括敏感个人信息)而个人信息处理者仍然处理,或者个人要求删除其个人信息(包括敏感个人信息),而个人信息处理者置之不理、拒不删除。这些情况之下是否会对个人造成精神损害,似也不能完全否定。当然,无论在理论上如何解释,个人对自身受有精神损害均负有举证责任。
五、结论
拉伦茨认为,法学具有作为规范科学的法学与作为“理解的”学问之法学的双重特征。《个人信息保护法》作为已有的法律规范,需要进行科学解释的作业。如伽达默尔所认为的,“解释的任务就是使法律具体化于每一种特殊情况,这也就是应用的任务”,“当然,具体化的任务并不在于单纯地认识法律条文,如果我们想从法律上判断某个具体事例,那么我们理所当然地还必须了解司法实践以及规定这种实践的各种要素”。但是,何为“规定这种实践的各种要素”,在伽达默尔的理论中并未给出答案,他只是限定了“所要求的对于法律的隶属性唯一在于:承认法律制度对每一个人都有效,并且没有任何人可以例外”。作为“理解的”学问之法学也要求透过解释来理解、通过理解的“循环结构”及“先前理解”的意义来理解以及作为辩证过程的规范适用来理解。
故此,只有在多向度作业才能更好地理解法规范,尤其是个人信息保护本身又与科技、社会、历史、文化等多种维度相交织,主体之间面对“国家—企业—个人”、新技术面临“效率—安全—效果”等多重三角困境,同时也是“不可能三角”(impossible trinity)。在传统法律规范的难题与社会发展中的难题多重叠加基础之上,如何更好保护个人信息主体的权利,如何更加重视和珍视人的权利,是一个有待更多着力并持续观察的问题。
姚佳,中国社会科学院大学教授,中国社会科学院法学研究所编审。
来源:《中国法律评论》2022年第6期。