论个人信息权益
目次
一、引言
二、个人信息权益的性质
三、个人信息权益的权能
四、个人信息权益保护的利益范围
五、个人信息权益的保护
六、结语
内容摘要:个人信息权益属于民事权益中的人格权益而非权益的集合,个人在个人信息处理活动中的权利属于个人信息权益的权能,其中,知情权与决定权是基础性权能,而查阅权、复制权、可携带权、补充权、更正权、删除权、解释说明权等是工具性权能。个人信息权益保护的核心利益是精神利益,从积极方面看是个人对个人信息处理的自主利益,从消极方面看则是自然人享有的防止因个人信息被非法处理而导致人身财产权益遭受侵害或人格尊严、个人自由受到损害的利益。个人可以许可他人对其个人信息进行商业化利用而获得相应的经济利益。当个人信息权益被侵害时,个人有权行使停止侵害、排除妨碍等人格权请求权,并有权向法院起诉来保护自己的个人信息权益。无论是个人信息处理者的拒绝抑或履行个人信息保护职责部门的查处,都不是个人提起诉讼的前置程序。
关键词:个人信息保护法;
民法典;个人信息权益;前置程序
一、引言
“个人信息权益”是一个新的概念。在此之前的法律,无论是《全国人民代表大会常务委员会关于加强网络信息保护的决定》《
网络安全法》抑或《
消费者权益保护法》《
电子商务法》等,都没有这个概念。只有《
消费者权益保护法》第
14条规定了消费者“享有个人信息依法得到保护的权利”。我国编纂《
民法典》时,虽然不少学者主张在人格权编中规定“个人信息权”,
〔1〕但立法机关考虑到“个人信息受保护的权利与其他人格权在考量因素上有所不同,个人信息的保护要适当平衡信息主体的利益与数据共享利用之间的关系”,最终没有在《
民法典》中采用“个人信息权”的概念,只是使用了“个人信息保护”的表述,这样“既强调了对信息主体利益的保护,又可以避免不必要的误解,避免妨碍数据的共享、利用以及大数据产业在我国的发展”。
〔2〕
2021年颁布的《
个人信息保护法》首次地提出了“个人信息权益”的概念,并将“保护个人信息权益”作为立法目的之一。不仅如此,该法还在第四章“个人在个人信息处理活动中的权利”详细规定了个人对其个人信息处理享有知情权、决定权(第44条);个人享有向个人信息处理者查阅、复制其个人信息的权利(第45条第1、2款)、个人有权在符合相应条件时请求将个人信息转移至其指定的个人信息处理者(第45条第3款);个人享有更正、补充其个人信息的权利(第46条);个人在符合一定条件下有权请求个人信息处理者删除其个人信息(第47条);个人有权要求个人信息处理者对其个人信息处理规则进行解释说明(第48条)。正是由于《
个人信息保护法》首次提出了“个人信息权益”的概念,同时又提出了“个人在个人信息处理活动中的权利”这一新的概念,于是,在《
个人信息保护法》颁布后,围绕着个人信息权益的性质与权能、个人在个人信息处理活动中的权利与个人权益的关系、个人信息权益保护的利益范围、个人信息权益被侵害后能否起诉等一系列问题,产生了很大的争议。显然,解决这些问题,对于科学阐释与适用《
民法典》《
个人信息保护法》的规定,维护个人信息权益具有重要的意义。故此,本文将就个人信息权益问题进行全面系统的论述。文章第一部分是引言,第二部分讨论的是个人信息权益的性质问题,即其究竟是民事权益还是权益的集合。第三部分则对个人信息权益的权能进行研究,特别是其与个人在个人信息处理活动中的权利的关系问题。文章第四部分讨论的是个人信息权益保护的利益范围问题。第五部分对个人信息权益的保护机制进行了研究,即在个人信息权益被侵害时,是否以个人向个人信息处理者提出请求甚或行政机关的查处作为起诉的前置程序。最后是一个简短的结语。
二、个人信息权益的性质
(一)民事权益说与权益集合说
关于《
个人信息保护法》中个人信息权益的性质,目前理论界的观点可以分为两派。一派是民事权益说。此说认为,我国《
民法典》虽然没有提出“个人信息权益”的概念,但作为调整民事关系基本法律的《
民法典》对个人信息保护作出了规定,并且在第四编“人格权”第六章“隐私权和个人信息保护”中对于个人信息保护作出了具体的规定,这就非常清楚地表明了自然人对于个人信息享有的权益属于民事权益。
〔3〕《
个人信息保护法》在《
民法典》的基础上明确提出了“个人信息权益”的概念,是为了更好地实现对个人信息权益的保护,《
个人信息保护法》中的个人信息权益当然属于民事权益,是民事权益中的人格权益。
〔4〕
另一派是权益集合说。此说认为,个人信息权益是一个包含范围非常广泛的概念,《
个人信息保护法》中之所以采用这个概念,就是考虑到在信息化时代个人信息上承载着广泛的个人权利和利益,包括名誉权、肖像权、隐私权等人格权利,以及个人信息处理中不被歧视的权利,此外,个人信息还与个人的人身安全和财产安全密切相关,不是一项单一的权利。
〔5〕不过,在权益集合说内部,就个人信息权益中究竟包括哪些权益,也有分歧。有的观点认为,个人信息权益的权益可以从内部构造和外部约束力(即对外部其他主体相关权益的支配关系)两个角度加以认识。所谓内部构造包括“本权权益”与保护“本权权益”的权利两部分,前者包括人格尊严、人身财产安全以及通信自由、通信秘密等,不包括财产利益;后者包括同意(或拒绝)的权利及知情、查阅、复制、转移、更正、补充、删除、请求解释说明等权利。至于对外约束力主要是指个人信息权益对个人信息处理者和国家机关获得的个人信息具有的约束力。
〔6〕有的观点则将个人信息权益分为三个不同的层次:第一个层次是
宪法层面的,包含了以尊严为核心的基本权利所对应的个人自治、生活安宁、公正对待、信息安全四类法益;第二个层次是民法层面的,包括了隐私权、名誉权等与个人信息相互关联的权益,该层次针对是个人信息处理导致的现实损害;第三个层次是行政法层面的,将个人在个人信息处理活动中的权利作为国家主导构建的“法秩序”的构成要素。
〔7〕
(二)个人信息权益属于民事权益中的人格权益
笔者认为,我国《
个人信息保护法》中的个人信息权益就是民事权益,而不是什么权益集合或集合性权利。确切地说,个人信息权益就是民事权益中的人格权益,其不同于隐私权、名誉权、肖像权等其他具体人格权,它所保护的核心利益是自然人免于因个人信息被非法处理而遭受人身权益、财产权益上的损害或人格尊严、人身自由被侵害的风险。个人信息权益的核心权利就是个人对个人信息处理所享有的知情与自主决定的权利,具体内容或权能包括查阅权、复制权、可携带权、更正权、补充权、删除权、解释说明权。当权益被侵害时,个人有权要求停止侵害、排除妨碍、消除危险;当造成损害时,个人有权要求侵权人承担损害赔偿责任。之所以说我国《
个人信息保护法》上的个人信息权益就是民事权益,而不是什么权益集合,理由在于以下三点。
第一,将个人信息权益界定为权益的集合,将使个人信息权益的范围漫无边际,无所不包。现代社会早已进入网络信息时代,个人信息的收集、存储、加工、使用等活动可以说无时不在、无所不在。所谓个人信息就是与已识别或可识别的自然人有关的各种信息,因此,个人信息不可避免地与自然人的各种人身权益(如生命权、健康权、名誉权、姓名权、肖像权、隐私权)、财产权益(如物权、债权、股权、知识产权)等息息相关,同时,也与自然人的人格尊严、人身自由、通信秘密等
宪法上的基本权利具有非常密切的联系。故此,从广义的角度来说,个人信息权益就是指个人信息上承载的各种权益,既包括《
民法典》这一民事基本法律所规定的与个人信息有关的民事权益如人格权、身份权、人格利益、身份利益、物权、债权、虚拟财产等,也包括《
宪法》规定的人格尊严、人格自由、通信秘密、通信自由等公民的基本权利,还包括《
公司法》《
证券法》《
消费者权益保护法》《妇女权益保护法》《
未成年人保护法》《
残疾人保障法》《
老年人权益保障法》等其他法律中规定的个人享有的各种权益。例如,《
公司法》《
证券法》《
证券投资基金法》规定的股权、投资性权利等;再如,《
消费者权益保护法》规定的消费者的知情权,即知悉其购买、使用的商品或者接受的服务的真实情况的权利(第
8条);选择权,即自主选择商品或者服务的权利(第
9条);公平交易权,即公平交易的权利(第
10条);享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利(第
14条)等。可以说,不仅是民事权益,所有与个人相关的权益,都可以被个人信息权益涵盖。这种将个人信息权益的范围理解得如此广泛的观点,不仅没有法律上的规范意义,也与《
民法典》《
个人信息保护法》的规定相背离。在《
个人信息保护法》中,除了“个人信息权益”外,还使用了“个人权益”一词,如第
6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”此外,第8条、第24条第3款、第27条、第30条以及第51条中也都使用了“个人权益”一词。这些条文中的个人权益范围非常广泛,是指与个人有关的任何权益,既包括个人的民事权益如人身权益、财产权益,也包括《
宪法》上的人格尊严、人格自由、通信秘密等基本权利,还包括《
消费者权益保护法》《妇女权益保护法》《
未成年人保护法》《
残疾人保障法》《
老年人权益保障法》等法律中规定的个人享有的各种权益。
〔8〕如果按照权益集合说的观点,尤其是认为个人信息权益包括
宪法、民法以及行政法三个维度的话,个人信息权益就几乎等同于个人权益,《
个人信息保护法》也完全没有必要分别使用“个人权益”与“个人信息权益”这两个概念了!
第二,将个人信息权益理解为权益集合的观点会对整个侵权法的归责体系造成毁灭性破坏。《
个人信息保护法》第
69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”由此可知,侵害个人信息权益的侵权赔偿责任适用的并非过错责任原则,而是过错推定责任。《
民法典》第
1165条第1款明确将过错责任作为我国侵权法的基本归责原则,而过错推定责任、无过错责任以及公平责任都必须由法律(狭义的法律)明确规定(《
民法典》第
1165条第2款、第
1166条、第
1186条)。《
个人信息保护法》第
69条第1款对于侵害个人信息权益的侵权赔偿责任之所以采取过错推定责任,就是考虑到:现代信息社会的个人信息处理活动常常具有很强的技术性,非常专业和复杂,个人与个人信息处理者在信息、技术、资金等各方面都处于能力严重不对等的地位,无法了解个人信息处理者在处理活动中具有什么过错,更无法提出证据加以证明。故此,采取过错推定责任更有利于保护个人信息权益。
〔9〕如果按照权益集合说的观点,将个人信息权益理解为无所不包,认为个人信息上承载的所有权益都是个人信息权益,势必造成两个问题。一是,侵权法不仅保护民事权益,还保护
宪法上的基本权利。依据《
民法典》第
3条、第
120条,民事主体的人身权利、财产权利以及其他合法权益受法律保护,任何组织或者个人不得侵犯。民事权益受到侵害的,被侵权人有权请求侵权人承担侵权责任。《
民法典》在侵权责任编的第
一条即第
1164条也明确规定:“本编调整因侵害民事权益产生的民事关系。”如果说《
个人信息保护法》第
69条是对侵害个人信息权益的侵权责任的规定,那么,作为侵权法保护客体的个人信息权益就不可能如权益集合说理解得那么宽泛,既包括
宪法上的基本权利,也包括各类民事权益,而只可能是特定的、具体的民事权益。倘若将个人信息权益理解为既包括
宪法上的人格尊严、人身自由、通信秘密等基本权利,也包括民法上的隐私权、肖像权等具体人格权,就等于承认了基本权利的“直接第三人效力”。
〔10〕这种结论不仅违背了我国的法律体制,也使《
民法典》第
109条和第
990条规定的作为一般人格权的“人格尊严”“人身自由”与《
宪法》上的“人格尊严”“人身自由”等基本权利相混淆。二是,将所有的侵权责任都变为过错推定责任。即便将
宪法基本权利从个人信息权益中排除而仅限于民事权益,那么权益集合说的学者所理解的个人信息权益范围也会非常广泛,包含民法上与个人信息有相关联系的权益,如隐私权、名誉权、肖像权以及生命权、健康权、身体权、债权、物权等。
〔11〕由于现代网络信息社会中,几乎所有的民事权益都直接或间接与个人信息相关,如此一来,侵害隐私权、名誉权、债权、物权等任何与个人信息相关的民事权益的侵权责任都会变为过错推定责任。这不仅摧毁了过错责任作为侵权法基本归责原则的地位,而且完全破坏了过错推定责任的法律保留原则。
〔12〕
第三,以个人难以保护个人信息而需要国家提供保护为由,就否定个人信息权益是民事权益的观点也是不成立的。进入现代信息网络社会以来,个人信息的处理发生了革命性变化,特别是个人信息处理能力的突飞猛进,使海量的个人信息不断产生,也不断被政府、企业等主体收集、存储、加工、使用、传输、提供或公开。个人信息上承载的各种权益,无论是人格尊严、人身自由、通信秘密、通信自由等
宪法上的基本权利,还是名誉权、隐私权、肖像权、财产权等民事权益,都会因为个人信息的处理活动而受到侵害或存在受侵害的巨大风险。
〔13〕由此可见,围绕着个人信息所展开的是一个自然人需要通过对其个人信息的控制与保护来防止遭受人格歧视、人身财产权益免于危险或损害的利益需求,与处理者希望获取和利用个人信息达到各种目的(加强社会管理、提高行政效率、追逐商业利润等)的利益需求之间的矛盾冲突甚或斗争关系。考虑到个人与个人信息处理者之间在信息、技术、知识、金钱等方面的能力不对等,面对大规模持续存在的个人信息处理活动的风险,
〔14〕为了能够有效地实现对个人信息上承载的个人权益的全面保护,同时实现对个人信息的合理使用,就需要通过专门的法律,综合运用公法与私法相融合的方式对个人信息进行保护,由此产生了
个人信息保护法(或个人数据保护法)这样的“领域性立法”。
〔15〕公法方法主要是建立详细且具有强制性的个人信息处理规则来规制个人信息处理活动,并施加安全保护等诸多义务给个人信息处理者且在违反时予以处罚,同时建立相应的个人信息保护监管机关查处各种非法处理活动。私法方法主要是确立个人信息权益,明确该权益的内容,即详细规定个人对其个人信息处理活动享有的具体权利,并通过民事责任尤其是侵权责任来保护个人信息权益。无论如何,公法与私法方法共同调整个人信息保护的根本目的还是保护个人信息权益,即保护自然人就其个人信息处理享有的人身财产安全以及人格尊严、人身自由不受侵害的利益,这种利益本质上就是私法上的利益。如果因为自然人凭借一己之力难以保护个人信息,需要国家保护和支援,国家要履行
宪法上的保护义务,就得出结论认为个人对其个人信息不享有任何私人利益,个人信息权益也不属于民事权益,显然从逻辑和常理上说这都是不妥当的。试问,我国《
民法典》详细规定的自然人享有的那么多民事权益,从生命权、身体权、名誉权、隐私权等人身权益,到债权、所有权、担保物权等财产权益以及著作权、股权等权益,有哪一个不需要得到国家的保护?哪一个不是国家履行
宪法上保护基本权利的义务的结果?难道人们就能以此为由认为这些人身权益和财产权益不是民事权益吗?
总之,我国通过公法和私法双重手段对个人信息进行保护,最终目的就是更好地维护自然人的合法权益。个人信息权益不仅能够为个人既有的人身、财产等民事权益建立起有效的保卫屏障,还可以避免其他可能出现的新型的侵害行为与损害风险。尽管行政机关查处和刑事制裁措施具有重要的预防和威慑作用,但任何履行个人信息保护职责的部门都不可能发现并查处每一个侵害个人信息的违法行为。况且,即便是对被发现的违法行为人进行了惩处,也不等于填补了受害人的损害,并不能真正完全实现对受害人的个体保护。通过对个人信息的民法保护,赋予自然人作为民事权益的个人信息权益,能够促使人们在日常生活中“认真对待个人信息”,积极保护个人信息。在个人信息被非法收集、利用等侵害行为发生时,可以更充分地调动自然人保护个人信息的积极性,为个人信息权益而斗争。这样,不仅可以促使个人发现侵害个人信息权益的违法行为后积极、及时地向执法机关举报,也可以让被侵权人通过对侵权人提起民事诉讼获得赔偿金甚至惩罚性赔偿金,进而对现实的和潜在的侵权人产生巨大的威慑作用。虽然很多时候国家机关处理个人信息的行为是职权行为,国家机关与个人之间形成的是公法上的权利义务关系,但即便是国家机关也必须依法处理个人信息,不得侵害个人信息权益,否则应当承担(性质上属于侵权责任的)国家赔偿责任。正因如此,我国《
个人信息保护法》第
50条第1款规定:“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。”同条第2款规定:“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”这就是说,个人可以针对个人信息处理者拒绝个人行使权利的行为即侵害个人信息权益的侵权行为提起民事或行政诉讼,从而获得司法救济。
三、个人信息权益的权能
(一)规定个人在个人信息处理活动中的权利的意义
在《
个人信息保护法》颁布前,《
网络安全法》《
民法典》等法律已经规定了个人在个人信息处理活动中的一些权利。而《
个人信息保护法》第四章“个人在个人信息处理活动中的权利”则作出了更加详细的规定,明确了个人针对个人信息处理活动享有知情权、决定权、查阅权、复制权、个人信息可携带权、补充权、更正权以及删除权。为什么《
个人信息保护法》要专章详细地就个人在个人信息处理活动中的权利作出规定?为什么这些权利指向的义务主体都是个人信息处理者呢?根本原因就在于个人信息与个人信息处理活动的独特性。
就传统民事权利的客体即有体物而言,由于存在物理上的形体,因此,所有权人可以不需要他人的协助即对动产、不动产这些有体物进行直接的支配,如占有、使用等。有体物的有体性本身就足以产生客观上的排他性。所有权人之外的其他人只要负担消极的不作为义务,不妨碍、不干扰所有权人即可。然而,个人信息则完全不同。一方面,个人信息具有无形性,难以被自然人独占地、排他地支配和控制。个人无法单独控制个人信息,而且这种控制也没有意义。因为信息就是人与人交流的产物,也仅在交流中才有意义和价值。人是社会性动物,必须与人交往和沟通,信息即由此产生。没有信息,人们相互之间就无法交流与交往。另一方面,个人信息具有全时性与非竞争性,也就是说,不同的人可以在不同的时空同时使用相同的个人信息而不发生冲突,并且不会因此损耗个人信息的价值。个人虽然是其个人信息的主体,但个人信息可以被很多组织或个人收集、存储、加工、使用以及相互提供,而个人对此往往毫不知情。这就是个人信息与个人信息处理活动的特殊之处。
正因如此,法律对于个人信息的保护要始终立足于“个人—个人信息处理者”这样的关系模型,通过构建个人在个人信息处理活动中针对个人信息处理者的各种权利来具体形成完善的个人信息权益。从比较法来看,许多国家的个人数据或
个人信息保护法都专列一章集中规定信息主体(数据主体)即个人的权利。例如,欧盟《通用数据保护条例》第三章“数据主体的权利(rights of the data subject)”规定了数据主体享有获取信息的权利、访问权、更正权、删除权(被遗忘权)、限制处理权、数据可携带权、反对权等;德国《联邦数据保护法》第三部分第三章“数据主体的权利”规定了数据主体获取信息的权利、访问权、删除权、反对权等;韩国《
个人信息保护法》第五章“信息主体的权利保障”规定了信息主体享有个人信息的查阅权、个人信息的更正权与删除权等权利。
(二)权能说、保护性权利说与公法上的工具性权利说
因为《
网络安全法》和《
民法典》也规定了一些个人针对个人信息处理者的权利,如查阅权、复制权和删除权,所以,在《
个人信息保护法》颁布之前,理论界就开始研究这些具体权利与个人信息权利或个人信息权益的关系问题。有的学者认为,这些权利就是对个人信息权益具体内容的规定。
〔16〕
