个人信息及法律保护刘德良北京邮电大学文法经济学院教授Word文档格式.docx
《个人信息及法律保护刘德良北京邮电大学文法经济学院教授Word文档格式.docx》由会员分享,可在线阅读,更多相关《个人信息及法律保护刘德良北京邮电大学文法经济学院教授Word文档格式.docx(17页珍藏版)》请在冰豆网上搜索。
该问题包含两方面,一是应该给个人信息赋予何种权利,或者说给与何种保护;
二是该权利应该归属于何主体。
刘教授首先区分了权利客体与权利对象这两个概念,认为:
权利客体是一个抽象的概念,体现一种利益;
而权利对象是一个具体的概念。
本讲座的“个人信息”是权利对象,而非权利客体,其上既可体现财产利益,又可体现人格利益。
与人格尊严有直接关系的个人信息体现了这两种利益,所以要对其进行双重保护。
而个人信息上的人格利益和财产利益都应该归属该信息主体。
第三部分是关于个人信息的法律保护现状。
透过理论层面,目前各国与个人信息相关的立法模式有两种,一是以欧盟为代表的本体主体,从基本人权和隐私权的角度对个人信息进行保护;
二是以美国为代表的实用主义,从经济的角度、在考虑成本和收益的基础上,对个人信息进行保护。
从我国的立法和理论看,我国归于欧盟模式。
最后是关于我国完善个人信息保护的对策。
刘教授提出了三条基本思路:
一是处理好个人信息上的各种利益关系;
二是对财产利益和人格利益进行全面保护;
三是促进信息产业和电子商务的发展。
在立法上要对个人信息和隐私做明确区分。
之后,梅教授和丁副教授对讲座进行了精彩评议,刘教授还与评议人、同学们进行积极互动。
讲座在同学们的热烈掌声中结束。
(文/石晓倩)
主讲人:
刘德良教授
中英法学研究会顾问
亚太网络法律研究中心创始人、主任
法学博士、北京邮电大学网络法律研究中心主任、文法学院特聘教授
英国伦敦政经济学院、爱丁堡大学、伦敦大学高级法律研究所访问学者
主持人:
沈云樵
中国人民大学法学院民商法博士研究生
时 间:
10月22日(周三)晚6:
30
地 点:
明德法学楼708室
一、个人信息及其分类
(一)个人信息的界定
何谓个人信息、其具体范围如何?
目前在理论、立法和司法上存在歧见。
在立法上,就存在个人信息、个人数据和隐私之别。
欧盟1995年《个人数据保护指令》以个人数据作为其基本范畴,其所谓的个人数据,是指任何与一个明确的自然人或可识别的自然人(数据主体)身份有关的信息,其中,“可识别的人”是指可以直接或间接识别的人,尤其是借助于身份证号码或其他一些有关身体、心理、精神、经济、文化或社会身份等特定因素可以直接或间接识别其身份的信息。
按照OECD理事会1980年《关于规制个人隐私保护与跨境个人数据流通的建议》的规定,所谓个人数据,是指任何可以或能够辨别出来与某一个人有关的信息。
从美国立法和学者关于隐私的有关论述看,在美国,传统上是将个人信息作为隐私看待的。
在网络时代和信息时代,学者们则多将传统的隐私称为“信息隐私”。
值得注意的是,理论上有不少学者在讨论个人信息的法律保护时并没有采用上述任何一种叫法,而是采用另外一类概念,如个人身份要素、个人形象、角色等。
在我国,理论上,关于个人信息的称谓,有叫个人资料的,也有叫个人资讯的,还有叫个人数据的,也有把私人信息和个人资料同时使用的,更有叫个人数据信息的。
关于个人信息的称谓问题,笔者以为,所谓的个人数据、个人资料,其区别仅在于对英文data的不同翻译而已,故而没有本质的不同。
不过,如果从信息技术的历史发展和准确性方面讲,由于在法律上使用的“个人数据”是与计算机技术密切相关的一个范畴,它只是个人信息的一种特定表现形式,具有载体上的特定性或技术上的特定化倾向。
从立法对个人信息的保护而言,如果采取个人数据这个范畴,既容易使其他类型的个人信息无法纳入其中,也容易使人产生误解。
所谓个人资讯,实际上是对personalinformation的另外一种中文翻译而已。
而美国的“隐私”或“信息隐私”虽然在内容上都与个人信息相近,但是,其叫法与大陆法系和我国对隐私的一般理解相冲突,既不科学也容易使人误解。
而“个人信息”则是一个上位概念,它在技术和载体上具有中立性,包括但不限于以电子介质在内的各种媒介为载体的和各种符号所表示的各种形式的个人信息;
同时,个人信息也是一个中国人习惯使用的概念。
因此,个人信息是一个科学的概念,就立法称谓而言,采取此概念最为合理、妥当。
鉴于个人信息是对个人身份的描述与反映,他人据此应该可以直接或间接识别出某一特定的自然人身份。
考虑到各国及有关立法对个人信息的界定,笔者认为,个人信息应该是指那些能够据此直接指明或间接推断出自然人身份而又与公共利益没有直接关系的私人信息。
值得注意的是,在目前的认识上,由于对信息这一范畴的认识存在分歧,很多人把个人名字、声音、形象或肖像等排除在个人信息范围之外,而是仅仅把以文字或文本形式存在的个人信息作为研究的对象。
笔者认为,这种观念不利于从立法上统一规范这些个人信息,因此,本文所谓的个人信息包括但不限于以文本或数据形式存在的个人信息,还包括个人名字、声音、形象或肖像,乃至对个人行为的跟踪、记录。
申言之,本文是在技术中立的情况下使用信息这一范畴的。
(二)个人信息的分类
信息是由符号表现出来的,符号是信息的具体表达形式。
作为信息的一种形式,个人信息也是通过不同的符号表达出来的。
按照表现个人信息的存在形式或表达符号不同,个人信息可以分为视觉个人信息、听觉个人信息、嗅觉个人信息、触觉个人信息等不同的形式。
其中,我们一般所谓的个人信息大多是通过视觉和听觉形式表现出来的,由于这类个人信息是以纸张、胶片、磁盘等有形物质为载体的,因此,我们可以从视觉上感知这些信息的存在。
鉴于目前大多数的信息技术又多是与这些有形介质密切相关的,因此,这种(存在)形式的个人信息是我们最常见和常用的个人信息;
而嗅觉个人信息则由于其传播和固定技术难度上的原因而相对使用的较少。
也正是由于这个方面的原因,目前出现的各种关于个人信息的分类,基本上都是对视觉个人信息所作的分类。
因此,本文关于个人信息的分类,也同样是建立在对视觉个人信息的分类基础之上的。
从既有的立法和理论上看,个人信息的分类方法很多,归结起来,主要有以下几种分类:
1、按照个人信息的内容进行的分类
按照这种分类方法,个人信息主要包括个人在通信信息、财务信息、医疗健康等身体、生理方面的信息、教育信息、信仰信息、基因信息及特定社会关系等方面的信息。
这种分类虽然具有直观、具体的优点,但是,由于这种分类方法过于复杂,导致其分类标准往往不够统一,进而导致各种不同的分类之间在界限上并不十分清晰,彼此之间可能存在重叠之处。
同时,更为重要的是,由于这种分类撇开了个人信息的本质属性,因此,这种分类的法律意义不大。
2、按照个人信息的敏感程度
将个人信息区分为敏感个人信息和琐碎个人信息并据此采取不同程度的保护措施是欧盟等许多国家和地区立法的做法。
所谓的敏感信息,一般是指那些对个人有重要影响的个人信息。
一般来说,敏感个人信息包括主体的种族起源、政治观点、宗教与道德信仰、、工会组织、代理关系及与此有关的诉讼、性生活等方面的个人信息。
由此可见,它与个人隐私有很多的重合或重叠之处,但却又与人们一般意义上的隐私范围有所不同。
而所谓的琐碎个人信息,是指个人信息中除了敏感信息之外的其他信息。
由于这些信息对个人的影响不如敏感信息那么大,因此,被称为琐碎个人信息。
从有关立法的规定来看,之所以对个人信息作如此区分,乃是根据二者的敏感度不同而实行不同宽严程度的保护措施。
一般来说,对于敏感个人信息,对其收集、加工和利用必需经过主体的明确同意,并需要采取严格和特殊的保护措施;
对于琐碎个人信息,则往往不需要经过主体的明确许可,也不需要采取特殊、严格的保护措施。
3、按照能否直接识别出主体身份
按照能否直接识别出特定自然人身份、或者按照信息与主体之间的关联程度,个人信息可以分为直接个人信息和间接个人信息。
前者是指那些据此可以直接识别自然人主体的个人信息,它一般包括姓名、肖像或形象、声音等;
后者则是指那些必须借助于其他方法方能识别特定自然人身份的信息,它一般包括身份证号码、(如英国或美国等某些国家的)个人社会保障号码、基因信息等。
另外,对于电子邮件信箱、电话号码等一般也可以作为间接个人信息标志。
显然,这种分类具有相对性。
毕竟直接和间接总是与识别的主体及其范围联系在一起的。
比如,对于某一范围的群体来讲,大家都知道某一自然人的电话号码,因此,该号码对于该特定群体的人来讲就可以作为该自然人的直接标志;
而对于其他不熟悉该自然人与该电话号码之间的特定联系的人而言,其电话号码对于该特定自然人就只能是其间接个人信息标志,因为,他们可以据此通过电信服务机构的信息登记处查询而获悉该号码的使用者就是该自然人,或者,虽然电信服务机构登记的电话使用人和实际的电话使用人不一致,但是,我们仍然可以从实际使用人那里获悉登记人的身份。
由于直接个人信息和间接个人信息的分类具有相对性,而且没有从个人信息的功能、性质等基本属性方面出发,因此,该种分类在对不同类型的个人信息的确权和保护上不具有法律意义。
4、按照与人格尊严是否有直接关系
本文认为,虽然像欧盟《指令》等立法采取“敏感个人信息”和“琐碎个人信息”的分类方法有利于根据不同的个人信息分别给予强弱不同的法律保护,但是,其缺点也是非常明显的:
首先,由于“敏感”一词的主观性太强,对于同样类型的个人信息,其敏感度完全可能因不同的主体又完全不同。
因此,与将个人信息分为直接个人信息和间接个人信息一样,该种分类也具有相对性和不确定性。
其次,“敏感”既不是一个严格的法律范畴,也无法从法律上对其进行界定。
它与我们所谓的隐私虽有重合之处,但与我们法学上和日常生活中理解的隐私存在着很多不同。
同时,更为重要的是,敏感与否不是对个人信息从本质属性上的区分,因此,该种分类无法从法律上对不同类型的个人信息提供不同性质的权利保护。
本文认为,法律对于(权利)对象的分类,其主要目的就是根据其对主体的不同价值或功能而分别给予不同性质的权利保护。
从根本上讲,权利对象对主体的价值或功能无非包括两个方面,即维护主体的人格尊严(或利益)和维护主体的财产利益。
理论上讲,民法对于与人格尊严有直接关系的某种对象应该给予人格权保护,对于那些与人格尊严没有直接关系但却具有维护主体财产利益的对象应该给予财产权保护,对于那些兼有维护主体人格利益和财产利益的对象,则应该同时给予人格权和财产权保护。
鉴于目前存在的各种分类方法都存在一个共同的缺陷,即不是根据个人信息的不同价值或功能进行分类,无法为法律针对不同类型的个人信息分别提供不同性质的权利保护提供理论依据。
因此,科学、合理的分类方法应该是根据信息与主体人格尊严是否有直接关系,将个人信息分为与人格尊严有直接关系的个人信息和与人格尊严没有直接关系的一般个人信息。
其中,前者是指那些与人格尊严有直接关系的个人信息,如姓名、肖像、隐私等,一旦这些信息被他人知悉或滥用,不仅可能会对主体的人格尊严产生消极影响,而且还侵害了主体的财产利益。
不过,在现行民法及其理论下,对这类信息只给予了人格权保护而没有给予财产权保护。
后者是指那些与人格尊严没有直接关系的个人信息,如教育信息、财产信息、消费习惯等,对这类个人信息的滥用不会导致主体人格尊严受到侵害,只会导致主体的财产利益受到损失。
但是,目前,这类信息在现行民法及其理论下要么得不到应有的财产权保护,要么是被视为与人格尊严有关的个人信息而纳入到人格权保护范围内。
(三)个人信息与隐私
在我国,由于立法缺失,因此,关于何谓隐私及其范围的问题,理论和实际认识中存在很大的争议。
不过,目前,法学上的主流观点认为,隐私是一种不愿意他人知悉的个人信息,由此,未经允许擅自刺探、公布或知悉他人的姓名、肖像、住址、手机号码、工作单位等个人信息的行为都是一种隐私侵权行为。
在这种观点看来,只要未经许可或违反主体意愿擅自刺探、公布主体个人信息的行为,都是一种隐私侵权行为。
在这种观点看来,隐私及构成隐私侵权的一个关键要件就是主体的主观愿望,即不愿意让他人知悉,凡是主体不愿意让他人知悉的个人信息都是隐私;
凡是违背主体意愿公布或刺探其个人信息的情形,除了特别情形外,都属于隐私侵权行为。
在这种观点看来,只要不是向不特定的社会公众公布,主体在将自己的某种个人信息向特定个人或群体披露后,对其他个人或群体仍然享有隐私权。
因此,如果其他人未经许可擅自公布其个人信息的,仍然构成隐私侵权。
笔者对这种观点持异议,理由如下:
一方面,该观点不加区分地把所有个人信息都纳入到隐私的范围、并因此认为只要违反主体意愿公布其个人信息的行为都是隐私侵权行为的观点,忽略了两类性质完全不同的个人信息的本质区别,扩大了隐私权的保护范围,混淆了公布个人信息和对个人信息的后续利用行为。
另一方面,主流观点对个人隐私的界定完全建立在个人主观意愿基础上的做法不仅与现实不符,而且在逻辑上也难以自圆其说。
在该观点看来,隐私权是主体有权决定何时、何地、向何人披露自己的个人信息的权利;
即使将自己的特定个人信息向特定的个人或群体披露,并不意味着主体对该特定个人信息的隐私权丧失或失效;
其他人XX擅自公布自己的这些已经被许多人乃至不特定许多人知悉的个人信息,仍然构成隐私侵权。
其实,像姓名、电话号码、家庭住址、工作单位等个人信息早已被许多不特定的人知悉了(且不说我们的许多同事、朋友都知道我们的这些信息,除此之外,由于我们在各种场所下都要填写包含有这些个人信息的表格,因此,我们根本不知道、也无法知道自己的这些个人信息被知悉和传播的范围)。
如此,按照主流观点,一旦某些个人信息被不特定的人知悉或向不特定的人公布后,主体就对这些个人信息丧失了隐私权。
这样,如果认为披露这些个人信息或进行身份核查行为构成隐私侵权的话,在逻辑上将难以自圆其说。
最后,主流观点对个人隐私的界定完全建立在个人主观意愿基础上的做法无论是对立法、还是司法实践,都没有什么价值。
按照这种观点,隐私的范围是不确定的,它因人而异。
如此,在立法上,就没有必要在界定个人隐私了;
在私法上,是否构成隐私侵权,完全取决于某一主体的主观意愿。
实际上,隐私观念具有强烈地域性、文化差异性,不同地区、文化背景下的隐私观念往往会存在很大差异,因此,忽略隐私背后的社会、民族、文化背景而照搬他国的隐私观念往往是不妥的。
在我国,法学上的隐私属于一个外来语,学者们在接受这些外来语时恰恰是忽略了隐藏在其背后的地域、文化差异,而直接将这种本来具有极大地域、文化和民族差异的外来范畴直接“强加”给不同于西方文化、社会背景的中国,这就是目前中国极端隐私观念产生的根源。
近年来,这种观念对中国普通人的影响巨深,因此,人们在谈论隐私的时候,动辄就将隐私的范围无限扩大,以至于出现在观念上将工作单位、家庭住址、电话、教育背景等个人信息视为个人隐私,完全不顾两类个人信息的本质区别及其与言论自由和舆论监督之间的关系。
事实上,在(法学上)隐私概念起源地的美国,虽然人们有着强烈的隐私观念(尤其是与中国人相比),但是,在宪法上,这种隐私权并没有被明确承认,相反,言论自由则是宪法明确承认的一种公民权利,具有更高的法律地位。
因此,在美国,基于正常的舆论监督和宪法赋予的言论自由而公布他人的家庭住址、工作单位、教育背景等个人信息的行为,则被认为是正当、合法的。
值得注意的是,在美国,其所谓的隐私,实际上是我们所谓的个人信息。
如下文所述,从其《侵权法重述》及权威学者对隐私侵权的界定中也可以看出,他们都是在言论自由和隐私权平衡的视角下界定隐私侵权行为的,并没有(像我国很多人那样)认为凡是未经许而可擅自公布他人个人信息的行为都是隐私侵权行为。
显然,这与我国孤立、极端强调隐私权而忽略其与社会公众的言论自由和舆论监督之间的关系来讨论隐私权及其侵权行为形成了鲜明的对比。
综上所述,在笔者看来,构成个人隐私应该同时具备两个条件:
一是属于与公共利益没有直接关系的个人信息;
二是与人格尊严有直接关系,即个人信息一经被他人知悉,即使不考虑到后续的滥用行为,即可对主题的精神、尊严、社会评价造成消极影响。
基于言论自由、舆论监督和知情权而公布他人的姓名、肖像、住址、手机号码、工作单位等个人信息的行为是合法和正当的,并不是一种侵权行为。
基于交易安全和社会安全,在我国,像姓名、肖像、家庭住址、年龄等与人格尊严没有直接关系的身份证信息不应该被视为个人隐私。
由此可见,目前的主流观点对隐私和隐私权的界定过于极端化,完全没有顾及到社会公众的言论自由、舆论监督权、交易安全乃至其他社会安全等社会价值。
二、个人信息法律保护的确权规则
所谓确权规则,是指对某一对象给予何种权利保护所应该遵循的基本规则,它包括两个方面的内容:
一是对于某一对象应该给予何种权利保护,是财产权抑或是人格权保护。
二是存在于该对象上的权利应该归属于哪个主体。
在民法理论上,我们在确定是否应该给予某种对象(如物、信息等)以何种权利保护时,其方法论应该是根据该对象所体现的具体利益(权利客体)而定,即当某一对象上体现为财产利益时,就应该给予其财产权保护;
当某一对象上体现为人格利益时,就应该给予其人格权保护;
当某一对象同时体现有人格利益和财产利益时,就应该同时给予其人格权和财产权的双重保护。
个人信息的确权规则应该包括两个方面的问题:
一方面,应该将个人信息之上的利益赋予谁,或者说,谁是个人信息权利的主体,谁应该享有个人信息所蕴含的利益;
另一方面,应该给予个人信息以何种权利保护。
关于应该给予个人信息以何种权利保护的问题,应该根据不同类型的个人信息的价值或功能来确定。
泛泛而论,个人信息具有维护主体人格利益和财产利益两个方面的价值或功能,但是,这并不意味着所有个人信息都同时具有这两方面的价值。
事实上,由于个人信息的种类繁多,不同类型的个人信息,其价值或功能可能会有所不同。
因此,在决定应该给予某一类型的个人信息以何种权利保护时,应该视该类个人信息的具体功能或所体现的价值而定:
如果该类个人信息具有维护主体人格尊严的价值---人格利益的话,那么,就应该给予其人格权保护;
如果该类个人信息具有维护主体财产利益的价值的话,那么,就应该把它纳入到财产权保护体系之中;
如果该类个人信息同时体现人格利益和财产利益,就应该同时给予其人格权和财产权的双重保护。
从目前既有的法律和理论上看,关于个人信息的价值或功能问题,主流的观点是所有的个人信息都具有维护主体人格尊严或人格利益的价值,相应地,理论上把所有个人信息都视为“人格要素”。
在此认识下,现行法律和理论基本上只给予个人信息以人格权保护,拒绝给予其财产权保护。
事实上,一方面,并非所有的个人信息都与人格尊严有直接关系,都应该给予人格权保护。
只有那些与人格尊严有直接关系的个人信息,才应该受到人格权保护;
而那些与人格尊严没有直接关系的个人信息是不应该给予人格权保护的。
另一方面,工业社会和信息社会的实践已经证明了个人信息是具有商业或财产价值的,只是在工业社会里,受信息技术条件的限制,只有直接个人信息的商业价值才被发现;
而间接个人信息的商业价值只有在信息社会才得到承认。
因此,在信息社会,由于所有的个人信息都具有潜在的商业价值,故而,都可以给予财产权保护。
关于个人信息的权利归属问题,目前,各国的立法和理论观点存在着难以克服的逻辑障碍。
一方面,各国立法和理论上都承认姓名、肖像、声音、隐私等与人格尊严有直接关系的个人信息中体现着人格利益,并因此认为应该给予其人格权保护,由信息主体享有这种人格权。
另一方面,各国立法和理论上都承认包括客户个人信息在内的客户名单是收集和控制着它的商家的财产---商业秘密,而不是作为信息主体的个人之财产。
按照法律上的某些暗示性规定,商家认为他们应该对其所编排的个人信息享有所有权。
这是因为,除了法律关于商业秘密的规定外,《欧盟数据库保护指令》也规定商家对其收集、编排的个人数据库享有排他性的权利。
再者,英国数据保护法关于从数据控制者而不是数据主体那里盗窃个人数据属于犯罪的规定,也为这种观点提供了某种支持。
实际上,无论是从法律、逻辑上,还是从伦理道德上,都应该承认以个人信息上的利益为客体的权利归属于信息主体---个人而非商家。
首先,从法律上讲,个人信息应该属于个人而不是收集、加工个人信息的商家所有。
就本质而言,个人对其个人信息(商业价值)的所有权与其对其他物或财产的所有权并没有实质的区别。
按照一般学者所认为的,由于信息可以被共享而无法被所有人独家“占有”或“控制”,由此,个人对其个人信息(商业利益)的控制权不像对其他有形财产那样可以随心所欲地支配。
其实,这是一个误解:
仅仅是事实上而不是法律上的“占有”或“控制”是没有太大的法律意义的,因为,即使是对有形物的占有,法律所要保护的也大多只是经过所有人同意的、或其他法定的占有或控制,即法律意义上的占有或控制基本上都是所有权(或所有人意志)的体现。
按照这种逻辑,即使个人信息可以在事实上为他人“占有”或“控制”,但是,那只是事实上的“占有”或“控制”,未经所有权人的同意,即使“占有”他人的个人信息,也不得擅自进行商业性使用,否则,与擅自使用或买卖他人之物一样,也是一种侵权行为。
如果认为个人信息不是由个人而是由收集、加工它的商家所有的话,就会面临法律逻辑障碍:
现行法律赋予个人姓名权、肖像权、声音权、隐私权等将失去正当性,因为这些权利的对象---姓名、肖像、声音、隐私等都是个人信息。
就隐私权来说,由于从概念上讲,隐私权就包含有禁止XX对个人数据进行披露和使用的内容,因此,以此概念为基础的法律不仅应该规定个人在观念上对其个人信息具有某种属性的排他权,而且还应该在实际上为其提供一种有效的工具,如对其个人数据的排他性的财产权。
为此,有学者认为,由于这些对象被认为是“人格要素”,这些“人格要素”中的人格利益和财产利益是相互依存和不可分开的,所以,人格权被认为是保护个人身份中的商业价值的原始和直接依据。
尽管将个人信息商业价值视为人格权的内容可能会面临理论上的障碍,但是,从主体上讲,主体对自己的个人信息享有人格权,自然也应该对其中所蕴涵的商业价值享有支配权-财产权,即两种权利的主体应该是统一的---信息主体。
从这种意义上讲,该观点关于个人信息人格权的主体是个人而不是商家的见解,对个人对其个人信息的商业价值享有权利提供了间接依据。
实际上,我们保护个人信息,不仅在于它具有真实经济价值,而且还在于其经济价值属于我们个人而不是商家。
正如在Edison诉EdisonPolyformMfg.Co