中国中小企业协会调解中心
程啸教授:法学博士,清华大学法学院副院长、教授、博士生导师,最高人民法院执行特邀咨询专家,最高人民检察院民事行政诉讼监督案件专家委员会委员。研究领域为民法、不动产法、网络法、个人信息保护与数据权利。
个人信息保护是世界各国高度关注的问题,我国也不例外。《民法典》《消费者权益保护法》《网络安全法》、全国人民代表大会常务委员会《关于加强网络信息保护的决定》等法律法规,均明确规定了自然人的个人信息受法律保护。但是自然人对其个人信息享有的究竟是何种权益? 是民事权益还是公法上的权利? 如果是民事权益,究竟是人格权益还是财产权益? 如果是人格权益,是否应当作为一种新型人格权利即个人信息权加以规定? 对于这些问题,我国法学界的争论一直没有停止。随着《民法典》的颁布和《个人信息保护法(草案)》的审议,立法者对于上述问题的答案逐渐清晰。今天知函博士有幸邀请到个人信息保护方面的专家——清华大学法学院程啸教授接受我们的采访,就个人信息权益性质的相关问题进行解答。
知函博士:您觉得自然人的个人信息是什么权益?
程啸教授:关于个人信息权益的性质一直存在争议,但从我国《民法典》对个人信息保护的规定来看,可以明确的是,自然人对其个人信息享有的是作为民事权益的人格权益,而非公法上的权利。之所以是民事权益是基于个人信息的特性与保护个人信息的根本目的所决定的。
首先,根据《民法典》相关规定,个人信息是指以电子或者其他方式记录的能够识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。以可识别性来认定个人信息,是世界各国个人信息保护立法的通行标准。如果某些信息不能识别特定的自然人,比如匿名信息或气象、地理信息等 ,就不属于个人信息。只有能够识别特定自然人的信息才属于个人信息,才需要通过个人信息保护制度加以规范的根本原因就在于,这些可识别信息的收集、存储、加工、使用、传输、提供、公开等处理行为直接涉及特定自然人的人格尊严和人身财产权益。
其次,在大数据时代,个人信息会以人们想不到的各种方法被收集、储存、使用、传输、提供或公开。围绕着个人信息进行的各种处理行为可能存在侵害自然人人格尊严、妨害人格自由以及损害人身财产权益的各种风险,往往也会造成现实的损害结果。从作为享有个人信息的主体,自然人来说,主要利益是一种防御性利益。即自然人针对个人信息享有的①防止因个人信息被非法处理而致人身财产权益遭受侵害②甚至人格尊严与人格自由受到侵害或损害的利益。这种利益属于法律上有保护必要的合法利益,且属于私人利益而非国家利益和社会公共利益。因此,立法上应当将其确认为民事权益。
知函博士:如何在个人信息保护中平衡个人与企业、社会等各方的利益需求?
程啸教授:首先,必须明确的是,自然人对个人信息权益的确认与个人信息上各种利益的协调是不冲突的。法律上对自然人个人信息权益的确认和保护,本身就是对围绕着个人信息而产生的其他主体自由或利益边界的界定。其次,不能因为个人信息保护涉及多重利益的协调,就认为对于自然人的个人信息权益无法确认和保护,而只能将其置于具体情境中逐一认定。这种做法毫无可预测性,对于个人信息上涉及的各利益相关方都是非常不利的。
我认为正确的做法是,先确定自然人对其个人信息所享有的、受到法律保护的民事权益,同时规定个人信息的合理使用制度,有效协调自然人权益保护与信息自由、言论自由、商业活动自由以及公共利益之间的关系。
知函博士:为什么个人享有的信息权益属于人格权益而不是财产权益?
程啸教授:自然人对其个人信息享有的是人格权益而非财产权益的主要理由在于,个人信息是能够识别特定自然人的信息,这种可识别性就体现了人格特征。无论是基因数据等隐私信息,还是姓名、年龄、电话号码等一般信息,均与人格的形成和发展有关,皆为人格要素,均构成个人整体人格的一部分。
《民法典》虽然没有明确列举个人信息权这一具体人格权,但是,《民法典》第990第2款明确规定,“除了前款列举的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。”因此,自然人的个人信息权益可以归入自然人基于人身自由、人格尊严而产生的其他人格权益。而根据《民法典》的规定,具体人格权益可以分为两大类: 一类是具有身体属性的物质性人格权益,如生命权、身体权、健康权等; 另一类是自然人对于精神性人格要素享有的人格权益,如姓名权、名称权、肖像权、名誉权、隐私权等。自然人对其个人信息享有的民事权益属于上述人格权益中的精神性人格权益。
此外,因为自然人就其个人信息享有的人格利益和经济利益都可以通过作为人格权益的个人信息权益予以涵盖并保护,则无需再确认作为财产权的个人信息权益。
知函博士:个人信息权益与隐私权有什么区别?
程啸教授:自然人就其个人信息所享有的民事权益是一项新型人格权益,与隐私权在权利性质、适用情形、许可使用、以及处理规则等方面存在差异。
第一,权利性质不同。隐私权属于绝对权和支配权,具有对世效力,任何组织或个人都必须尊重隐私权,不得加以侵害或妨碍。然而,《民法典》并未将个人信息权益确认为绝对权和支配权,这也是考虑到在对个人信息的保护时必须协调自然人权益的保护与信息自由、合理使用之间的关系。比如《民法典》第 999 条规定,“为公共利益实施新闻报道、舆论监督等行为”可以合理使用个人信息,同时,第1037条也专门规定了侵害个人信息的免责事由。但隐私不存在合理使用的问题。
第二,适用情形不同。侵害隐私权的行为无论是自动化处理还是非自动化处理,无论是发生在企业的商业活动场合、政府机关履行职责的公务活动场合,亦或是在家庭社交活动中,都可以适用。然而,个人信息权益的保护主要适用于个人信息处理活动,规范的是处理者从事个人信息的收集、存储、使用、加工、传输、提供、公开等活动。至于纯粹的私人或家庭活动中对个人信息的处理活动,如家人朋友之间进行的通信联络、保存联系方式或者社交活动的个人信息的提供等,不适用个人信息保护的规定。
第三,许可他人使用上的不同。隐私权人可以自行处分权利,如自行在网络上或向媒体公开其私密信息,但隐私本身原则上是不能许可他人使用或商业化利用的。因为隐私权的设立是为了防止他人对包括私生活安宁、私密信息在内的隐私的侵害,其主要权能是排除他人侵害,是一种消极权能。然而,对于个人信息尤其是非私密的个人信息而言,自然人完全可以许可他人使用,从而促进网络信息产业和数字经济的发展。如《民法典》第1035 条规定,只要遵循合法、正当、必要原则以及不过度收集、处理且符合相应的条件,就可以对个人信息加以使用或许可他人使用的。
第四,私密信息和非私密信息的处理规则不同。在处理私密信息时,首先要适用的是《民法典》 关于隐私权的规定,然后才能适用《民法典》关于个人信息保护的规定。处理他人的私密信息的合法途径只有两个:取得隐私权人的“明确同意”或依据法律的规定。否则,任何组织或者个人实施的处理他人私密信息的行为都构成侵害隐私权的行为。然而,对于处理非私密信息的个人信息的合法途径有:依据法律、行政法规的规定,或得到该自然人或者其监护人的“同意”。
