[新闻] 分清个人信息权益与隐私权才能更好保护| 数博会官网

分清个人信息权益与隐私权才能更好保护

作者: 程啸    来源: 经济参考报   编辑: 赵超  时间:2022-08-02 13:28:45  

微信图片_20220802132621.jpg

最高检发布数据显示,2021年,检察机关起诉侵犯公民个人信息犯罪9800余人,同比上升64%。公民个人信息泄露成为电信网络诈骗犯罪的源头行为。检察机关办案发现,有不少行业“内鬼”泄露个人信息,检察机关起诉泄露公民个人信息的“内鬼”500余人。资料照片

  隐私权和个人信息权益究竟是何种关系,是隐私权包含了个人信息权益,还是隐私权与个人信息权益应当并行适用、互不干扰,抑或它们存在重叠关系,应当交叉适用?回答这个问题,对于正确理解适用《民法典》、《个人信息保护法》的规定,妥当裁判相关纠纷,更好地保护隐私权和个人信息权益,至关重要。厘清隐私权与个人信息权益的关系,核心是正确理解《民法典》第1034条第3款,该款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”

  有一种影响较大的观点认为,《民法典》之所以规定第1034条第3款,原因在于:私密信息既属于隐私,又属于个人信息,从法律规范适用的角度而言,隐私权与个人信息权益的保护必定会发生法律规范的竞合。有鉴于此,由于个人信息受保护的权利并非要替代隐私权对私密信息的保护,而是对其保护的补充,故原则上若个人信息可以为隐私权等具体权利所保护时,可以优先适用这些人格权的规则,在这些具体人格权没有规定的情况下,可以适用个人信息的相关规定。而且,隐私权中的私密信息与信息主体的人格尊严联系更为紧密,故此,《民法典》对隐私权的保护更高一些,对私密信息的处理要求更高一些。应该说,这样的理解并不恰当。

  隐私权的保护强度并不大于个人信息保护

  在《民法典》中,对隐私权保护的强度大于个人信息之处主要体现在以下几点:(1)无论《民法典》第110条第1款还是第990条第1款,列举自然人享有的具体人格权时,都只包括了隐私权而没有个人信息权益。(2)《民法典》第999条在规定人格要素的合理使用时,没有规定合理使用自然人的隐私。也就是说,可以合理使用的个人信息不应包括作为隐私的个人信息中的私密信息。(3)《民法典》第1033条关于隐私权侵害行为禁止规则中,采用的是“权利人明确同意”方可免责的表述,而第1035条在规定个人信息收集处理时,只要求征得该自然人或者其监护人的“同意”即可。(4)《民法典》第1033条所规定的阻却侵害隐私权行为的不法性的理由包括法律的规定与权利人的明确同意。但是,依据《民法典》第1035条第1款第1项,阻却侵害个人信息的行为的不法性的理由则是征得该自然人或者其监护人同意以及法律、行政法规另有规定。然而,如果我们不仅仅局限于《民法典》,而是从我国法律规范体系尤其是结合《个人信息保护法》的规定来看,则无法得出我国现行法对隐私权的保护要强于对个人信息权益的保护的结论。

  首先,《民法典》只是调整平等的民事主体之间的隐私权享有与保护的关系,从《民法典》第1032条第1款、第1033条来看,隐私权主要是防御性的或事后救济性的权利。除了人格权请求权、人格权禁令程序和侵权损害赔偿请求权之外,《民法典》没有为隐私权提供其他的预防性保护方法。《个人信息保护法》的调整范围包括除了自然人因个人或者家庭事务处理个人信息的活动以外的所有个人信息处理活动。对此,《个人信息保护法》在区分不同的个人信息处理活动、不同的个人信息以及不同的处理者的基础上,分别规定处理者在个人信息处理活动中的各种法定义务,并赋予个人在个人信息处理活动中的各种权利,同时还通过确立严格的法律责任来保证上述义务的实现。法律对个人信息权益采取的是预防性与救济性措施相结合、公法义务和私法权利相协力的全方位的保护方法。

  其次,从隐私权和个人信息权益的内容来看,法律对隐私权的保护强度也完全没有超过个人信息权益。就隐私权的内容,《民法典》只是从消极的角度作出规定,即详细列举出禁止行为人实施的侵害他人隐私权的行为。但是,对个人信息权益的内容,《民法典》、《个人信息保护法》却从积极的层面作出了规定,赋予了自然人对其个人信息享有的知情权、决定权、查阅权、复制权、可携带权、更正补充权、删除权以及解释说明权等各项权利。

  再次,仅从《民法典》第1033条关于“明确同意”的规定就得出法律对隐私权的保护强于个人信息的结论,也不准确。根据《个人信息保护法》第14条第1款第1句,“明确”是法律对个人信息处理中个人同意的一般性要求,即无论是书面的或非书面的,单独的或非单独的同意,都应当是明确的同意。《个人信息保护法》第14条第1款第2句还规定:“法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”故此,单独同意、书面同意是比明确同意要求更高的两类同意。《个人信息保护法》特别规定了需要取得单独同意的个人信息处理活动的五种情形,这是为了更好地保护个人信息权益以及公共利益、国家安全。根据《个人信息保护法》第29条的规定,法律、行政法规可能要求在处理某些敏感个人信息时应取得个人的“书面的单独同意”。

  最后,侵权法对个人信息权益的保护实际上强于隐私权。因为《民法典》第1165条第1款规定了侵权损害赔偿责任的基本归责原则为过错责任,侵害隐私权只适用过错责任;而根据《个人信息保护法》第69条第1款,侵害个人信息权益的侵权赔偿责任适用过错推定责任。

  有观点认为,隐私权的保护强度大于且应当大于对个人信息的保护强度,根本原因就在于:法律对隐私的保护是以维护个人的人格尊严为目的的,而法律对个人信息的保护是为了彰显私法自治,从人的法律保护价值导向来看,对人格尊严的保护要高于私法自治。笔者不能赞同这种观点,因为法律对个人信息权益的保护同样是为了维护人格尊严,赋予自然人对其个人信息的决定权的正当性是建立在维护人格尊严和人格自由的基础之上的。法律之所以保护个人信息,是因为个人信息上附着了需要法律保护的,无法为现有的人格权等民事权利所涵盖的利益。这种利益是自然人对个人信息享有的一种防御性的利益,即防止因个人信息被非法收集、泄露、买卖或利用而导致其既有人身权、财产权益遭受侵害甚至人格尊严、个人自由受到损害的利益。就《个人信息保护法》而言,仅举两例可知个人信息保护对于维护人格尊严具有重要性:其一,《个人信息保护法》对敏感个人信息作出了特别保护;其二,赋予了个人拒绝完全自动化决策的权利。

  隐私权与个人信息保护规则不是具体与补充的关系

  如前所述,并不能得出我国法律对隐私权的保护强于对个人信息的保护的结论。那么,接下来的问题是,《民法典》第1034条第3款是否确立了所谓隐私权优先于个人信息保护适用的规则呢?笔者认为,隐私权规则与个人信息保护规则是不同的,二者并非简单的具体规则与补充规则的关系。

  首先,二者的法律属性不同。隐私权规则在性质上属于私法规则即民事法律规则,这些规则主要在《民法典》等民事法律和司法解释当中。但是,个人信息保护的法律规则绝非单纯的私法规则,而是由公法与私法的规则所共同组成的。甚至大量的规则是公法规则。

  其次,二者适用范围不同。《民法典》关于隐私权的规定仅适用于平等主体的自然人、法人和非法人组织之间因为隐私权的享有和保护而产生的民事关系。如果是涉外民事关系,则隐私权的内容适用权利人经常居所地法律;如果通过网络或采用其他方式侵害隐私权的,则适用被侵权人经常居所地法律。《个人信息保护法》所确立的个人信息保护规则与隐私权规则存在很大的差别。一方面,就空间效力而言,个人信息保护规则当然适用于我国境内处理自然人个人信息的活动,同时在法律规定的三类情形下,其还具有域外适用效力。另一方面,在主体之间的关系上,个人信息保护规则既适用于平等主体之间的个人信息处理活动,也适用于不平等主体之间的个人信息处理活动。

  全面正确地理解隐私权与个人信息保护规则的关系

  综上所述,我们不能简单将隐私权规则作为特别法而将个人信息保护规则作为一般法,也不能认为存在“隐私权优先适用规则”。要正确理解《民法典》第1034条第3款,就必须将之放在以《民法典》、《个人信息保护法》为核心的整个个人信息保护法律体系当中进行,具体阐述如下:

  1、由于《民法典》调整的是平等的民事主体之间的人身关系和财产关系,所以,《民法典》第1034条第3款仅适用于平等主体之间。在不平等的主体之间,如行政管理机关在履行法定职责时处理个人信息,无论是否是私密信息,都应当适用《个人信息保护法》中的个人信息保护规则和相关行政管理性法律法规如《政府信息公开条例》等规定。

  2、个人信息中的私密信息在规则的适用上常常会呈现隐私权规则与个人信息保护规则的叠加状态。个人信息中的私密信息当然适用隐私权规则,同时,只要不是《个人信息保护法》第72条第1款规定的“自然人因个人或家庭事务处理个人信息的”情形,那么,对这些私密信息的处理也要适用个人信息保护规则。

  3、隐私权和个人信息保护规则同时适用于私密信息时会存在规范适用上的冲突。最典型也最主要的就是侵害隐私权的侵权赔偿责任与侵害个人信息权益的侵权赔偿责任的冲突。对此,《个人信息保护法》中关于过错推定责任的规定,属于其他法律对民事关系的特别规定,应当优先适用。但如果在因私密信息处理引起的侵权纠纷中,原告与被告都是自然人且属于“因个人或者家庭事务处理个人信息的”情形,那么该个人信息处理活动以及由此引发的侵权赔偿责任仍然要适用《民法典》第1165条第1款规定的过错责任原则。就侵害隐私权的侵权行为产生的财产损害与精神损害的赔偿责任,《民法典》没有专门规定,故此,适用的是《民法典》第1182条和第1183条第1款。然而,在处理个人信息侵害个人信息权益造成损害时,无论该损害是财产损失还是精神损害,适用《个人信息保护法》第69条第2款的特别规定,按照个人因此受到的损失或者个人信息处理者因此获得的利益确定,难以确定的,根据实际情况确定赔偿数额。

  总之,我国《民法典》、《个人信息保护法》将个人信息权益规定为独立的人格权益,不仅意味着个人信息权益与隐私权之间存在密切的关系,隐私权和个人信息保护规则的适用上会发生交叉,也使得个人信息权益与其他人格权如肖像权、姓名权之间发生密切关联。因此,从规范目的、适用范围等基本原理出发,认真梳理这些权利及其法律规则之间的关系将成为理论界与实务界的共同任务。这对于更好地保护隐私、个人信息等人格权益,建构科学合理的人格权益保护体系,维护人格尊严,促进个人信息的合理利用,推动数字经济和网络信息科技的发展,都具有十分重要的意义。

  (作者为清华大学法学院副院长、教授、博士生导师)