论文部分内容阅读
所谓个人信息,是指自然人的姓名、性别,出生年月日、民族、婚姻状况、家庭状况、教育背景、工作履历、健康信息、财务状况等任何单独或与其他信息比对即可识别特定的个人的客观信息。自古以来,有关个人的信息就在社会的不同层面上收集、处理、使用及传递。囿于技术条件,当时只要进行物理和人员上的必要管制,就能杜绝个人信息的非法收集、处理、利用和传递,保护信息主体的合法权益。所以,在很长时期内,个人信息保护并不成为问题。随着上世纪六十年代信息技术的广泛使用,信息社会的来临,电脑强大的信息处理功能加速了信息的储存、分析、复制、传递等行为的发展,也首度使人们产生个人信息因此而被滥用的恐惧,保护个人信息的需求日益增强,促成西方国家于上世纪七十年代陆续出台相关法律应对冲击。到了上世纪九十年代,国际互联网技术进一步发展,快捷的信息处理与新的通讯技术、多媒体技术相结合,个人信息呈现多元化,其传递与运用也变得更为广泛、便捷,这给个人信息安全带来了更为强劲的威胁。因此,越来越多的国际组织、国家与地区对个人信息保护给予高度重视。据统计,迄今为止,世界上制定了专门的个人信息保护法律的国家和地区已经超过50个。由于社会观念、科学技术发展以及立法规划等多方面的原因,我国很长一段时间以来没有对个人信息保护给予应有的关注。直到目前为止,我国还没有制定专门的个人信息保护方面的法律,个人信息保护制度总体而言比较落后。正因为如此,在个人信息被收集与利用以提高政府效率、促进市场经济发展的同时,个人信息遭到不当收集、恶意使用、篡改乃至扰乱个人生活安宁、扰乱社会秩序的隐患在我国日益凸显。在这样的背景下,国家相关机关及法学理论界开始论证个人信息保护法的起草问题。目前,社科院周汉华教授受国家信息办委托起草的《个人信息保护法》(专家建议稿)已经完成;另外,近年来,不论是立法机关公布的民法典草案,还是民法典专家建议稿,也均对个人信息保护问题或多或少地予以了关注。但是,目前我国关于个人信息保护问题的研究,只能说还处于起步阶段。且不说对个人信息保护的理论基础、个人信息保护的立法理念等缺乏深入细致的探讨,就是在具体制度方面,大多数的研究成果也还停留在对国外个人信息保护制度的介绍上,而缺乏对其背后的立法理由、构建逻辑等问题的深入分析。虽然个人信息保护不仅仅是某一个部门法的问题,但信息主体的人格利益乃至财产利益之维护是个人信息保护的基点。鉴于此,本文试图主要从民法的视角出发对个人信息保护问题进行研究,以期对我国个人信息保护立法有所助益。全文除导论外,共五章。其中,导论部分从社会现状出发,引出了本文的论题,交代了文章的写作方法,同时为了论述的需要还简单辨析了若干基础性概念。正文五章,分为三部分:第一部分包括第一章、第二章,构成本文的理论基础,认为个人信息保护同时涉及信息主体的人格权保护和财产权保护。个人信息保护发端于信息主体人格利益的保护,但随着信息技术的发展,个人信息所蕴涵的财产利益日益彰显,只有同时关注个人信息的这两种要素,才能真正实现信息主体权利的全面保护。第二部分包括第三章、第四章,论述了个人信息保护的具体制度。该部分在第一部分理论基础之上,借鉴国外相关立法例,对个人信息保护具体制度进行了分析。第五章是正文的第三部分,也是本文的结论部分。该部分在前文论述的基础之上,对我国个人信息保护立法的现状、个人信息保护法专家建议稿、民法草案(及专家建议稿)进行了客观评价,最终提出了作者关于我国个人信息保护立法的若干建议。导论在导论中,作者指出,传统法律制度已无法应对信息时代的个人信息危机,我们应从民法视角出发,深究个人信息保护的相关问题。信息时代个人信息经常面临危机,人类因此随时都生活在“信息阴影”之下。“信息阴影”日渐扩散,正常的商业秩序、社会稳定与国家安全也因此面临严峻的考验。法律对此应当有所作为,但是由于现代信息科技的迅速发展,产生了一些棘手且现行法律制度无法通过渐进调适方式合理解决的议题。网络空间的个人信息收集、商业活动中的个人信息传递、个人敏感信息的公开、公共机构对个人信息的利用等等,即为这类议题的典型。如何适当地解决此类议题,关系着和谐的信息社会的建构,需要我们深入思考、充分探讨,及时提出对策。专门的个人信息保护法的制定因此被提上议事日程。导论进一步介绍了本文的研究方法与研究路径,即从民法的视角出发,综合运用历史考察的方法、比较研究的方法、法社会学的方法、法律经济分析的方法、概念法学的方法、实证分析的方法,对个人信息保护议题展开讨论,挖掘个人信息保护的人格权基础及财产权基础、探讨比较法上的个人信息保护理念、分析具体的个人信息保护制度、论证我国个人信息保护制度的构建等问题。最后,为了构建统一的对话平台,为文章论述的概念统一奠定基础,导论还交代了个人信息、个人数据、个人资料、个人隐私几个相关概念之间的关系,认为个人信息、个人数据、个人资料没有严格区别之必要,可以互相通用;个人信息与隐私虽然有重合之处,但相互间的区别亦较为明显,不宜混为一谈。第一部分第一章,个人信息保护的人格权解读。本章首先指出,在信息社会中,人除了物理意义上的存在之外,还是一种“信息存在”,从人格权理论角度对个人信息保护进行解读具备现实意义。本章共四节。第一节从近代以来民法上人格权保护理论的历史演进视角揭示了个人信息保护的产生与发展过程,认为民法上人格权理论从近代到现代的发展历程,就是一个不断深化人格保护程度、扩展人格保护范围的过程,个人信息保护就是人格权理论这一发展历程中新近出现的令人瞩目的一个法现象。伴随着这一历程,个人信息权利已逐步发展为一种民法保护的具体人格权。该节还关注了个人信息保护在“9·11”事件后的最新发展,认为在目前的国际形势下,应当处理好个人信息保护制度与国家安全、公共安全等利益的平衡关系。由于文化背景引发的视角差异,人们对个人信息保护的基础有不同的表述,有的认为个人信息保护源于隐私权理论,有的认为个人信息保护源于一般人格权理论,还有的认为个人信息保护实质上是对信息自决权的保护。因此本章第二、三、四节分别围绕上述三种视角展开讨论,以全面探寻个人信息保护的人格权基础。第二节借用法学的非本质主义理论,剖析了隐私权概念的内涵和外延,认为理解隐私权的前提是理解该权利产生的社会文化背景,美国法上的隐私权相当于大陆法系的一般人格权,而大陆法民法理论中的隐私权则是与健康权、名誉权、乃至个人信息权利等权利相并列的一种法律所保护的具体人格权。因此,如果说个人信息保护的理论基础在于隐私权保护,那么就应当主要从美国法角度进行阐释。第三节从一般人格权理论及其精神基础出发,认为应当以一般人格权为依据,赋予信息主体具体人格权,从而全面直接地保护信息主体的人格利益。在个人信息保护法定化之前,对其保护则可以通过对一般人格权的解释获得。因此,一般人格权制度是个人信息保护的历史基础和理论基石。第四节以民法上的私法自治理论为基础,认为在现代信息社会中,应保护每个人之个人信息免遭无限制之收集、储存、运用、传递,以保障每个人原则上有权自行决定其个人信息之交付与使用。对个人信息的保护应当从传统的消极被动的保护方式向赋予信息主体积极主动的“信息自决权”、“信息控制权”转变。第二章,个人信息保护的财产权解析。在商业运行中,个人信息已经“为营销之目的而被广泛使用”,“没有全球的信息交换,就没有全球的商业流畅”,这就引发了个人信息财产化这一论题。本章包括三节内容。第一节围绕个人信息财产化的理论前提展开。一方面,在“特定人格权的经济利益内涵”这一理论命题的基础上,认为个人信息具有财产属性,个人信息在事实上能够为商业所利用,个人信息的收集与利用在许多情形并不被社会通行的伦理观念排斥。另一方面,在“作为财产权的人格权”这一命题基础上,认为个人信息在特定情形下可以视为一种人格型财产。第二节首先概括了现实生活中个人信息财产化的现状,认为个人信息财产化可以体现为个人信息直接商品化及个人信息的二次开发利用。虽然有不少学者对个人信息财产化持否定态度,但本文认为,个人信息财产化有其多维度的合理性缘由:第一,市场经济的发展使得个人信息在市场上具有事实上的经济价值,个人信息财产化发展具有经济学上的合理性;第二,个人信息权利由于具备财产属性而区别于传统的人格权,个人信息财产化非但不会贬抑人格尊严,反而有利于人格权的全面保护;第三,认为现行信息交易市场不完善将导致个人信息交易障碍的观点,事实上并不构成反驳个人信息财产化的理由,相反,该观点可以被视为个人信息财产化理论构建过程中的一种善意的提醒;第四,虽然在美国有学者认为个人信息财产化将破坏隐私权制度,但学者也针锋相对地指出,个人信息一方面通过隐私权加以保护,并不必然排斥其在另一方面得以财产化并进入市场。第五,个人信息财产化将导致个人信息流通不可控制是一种多余的担心,一旦人们认为财产权包括了对受让人再转让权的约束,个人信息交易给人们带来的忧虑就减少了。第三节讨论了个人信息财产化的法律规制问题,认为可以从两条路径分析个人信息财产化的合法运作模式:自上而下的规制路径及自下而上的规制路径。前者是指通过立法集中规范,这种方式通过直接规定市场交易的内容、时间、方式、对象等规范个人信息交易行为;后者则主要通过赋予信息主体财产权利及倡导个人信息交易自律机制。两种路径在地位上存在区别,市场决定因素含量大时,则尽可能采自下而上的规制路径;市场外因素含量大时,则尽可能采自上而下的规制路径。同时,这两条路径的独立意义仅仅是相对的,个人信息的合理流通通常更需要此两条路径的配合与协调。第二部分第三章,个人信息的比较法考察。本章首先介绍了相关国际组织(经合组织、联合国、欧盟、亚太经合组织)、相关国家(美国、德国、日本)、我国台湾地区及香港地区的个人信息保护立法,并对上述不同地域的个人信息保护制度的贡献、特色进行了总结。在此基础上,本文认为就个人信息保护法的立法模式而言,总体上存在“欧盟模式”与“美国模式”。欧盟强调国家在个人信息保护中的主导作用,针对公共部门和非公共部门制定了统一且严格的高标准的个人信息保护法律,确立了专门的机构对个人信息保护进行监督,并对个人信息的跨国流通进行了严格的限制。在论及个人信息保护时,欧洲人倾向于首先提出个人信息与基本人权紧密相关,这种倾向构成了其在个人信息保护问题上的“权利基础论”。美国的做法与欧盟的做法则形成了较为鲜明的对比,针对公共部门对个人信息的收集、处理与利用制定了个人信息保护法律,但就非公共部门而言,美国则更多地强调自律,仅针对某些特殊需要以立法形式加以规范的领域制定特别法。尽管很多美国人也同意个人信息与人权相关,但是又通常认为仅仅当其在受到政府行为的威胁时才可以被视为基本人权并得到有关保护;而商业背景下,更多的应当关注个人信息流通过程中的分配正义与交换正义,由此形成了美国个人信息保护的“正义基础论”。通过对欧盟模式及美国模式的比较分析,文章指出:个人信息保护法应当是同时确保个人信息全面保护及个人信息合理流通的法律。个人信息保护的权利基础论与正义基础论,以及因为对上述理论解释与侧重不同而产生的欧洲国家立法主导与美国企业自律的个人信息保护模式,均有其合理与可取的方面,也均有其各自的价值观和社会基础作为支撑。欧洲的模式有利于个人信息得到全面的一体的保护,而美国的模式有利于在有限保护个人信息的前提下充分促进信息的自由流通。但是,任何对上述模式单一的强调均可能引发弊端,欧洲的政府全面立法可能会阻碍个人信息的正常流通,束缚企业的自由发展;美国的企业自律模式则可能会导致部分企业不择手段地规避个人信息保护政策,侵害个人信息。我国个人信息保护法在立法理念上应当力求兼顾权利基础论与正义基础论,达到二者之间的和谐与平衡:首先,在个人信息的静态保护问题上,应当从权利基础论的角度出发,确认个人信息权利为一项具体人格权;其次,在个人信息的动态流通过程中,应当从正义基础论的角度出发,处理好个人信息收集、处理、使用以及传递中的权利义务分配的公平合理的问题,以及个人信息交易过程中交易程序与交换价值的公正问题。第四章,个人信息保护规范分析。本章借助概念法学的方法,对个人信息保护法的调整范围、基本原则、信息主体的权利、损害赔偿制度等问题进行了分析。文章首先指出,所谓个人信息,是指自然人的姓名、性别,出生年月日、民族、婚姻状况、家庭状况、教育背景、工作履历、健康信息、财务状况等任何单独或与其他信息比对可以识别特定的个人的客观信息。就个人信息保护法的调整范围,本文持以下观点:自动处理的个人信息与非自动处理的个人信息均应纳入法律调整的范围;法律对个人敏感信息、特殊群体的个人信息应当进行特别规定;法人信息在性质上区别于个人信息,不应当纳入个人信息保护法调整,但法人信息中与特定自然人紧密相关的信息应当被视为个人信息;由于个人信息在性质上同时具备人身属性与财产属性,就包含人身属性的死者信息的保护,可以理解为对死者近亲属精神利益的保护,包含财产属性的死者信息的保护,可以依据继承法中财产继承的原则加以处理;胎儿的信息,应当附属于胎儿母亲的个人信息;个人信息保护法应同时关注公共部门与非公共部门的与个人信息相关的行为。在个人信息保护法的基本原则方面,本文较为赞同经合组织1980年通过的《隐私保护与个人数据跨国流通指南》的归纳,即个人信息保护法的基本原则包括限制收集原则、信息质量原则、目的特定原则、使用限制原则、安全保障原则、公开原则、个人参与原则、责任原则。在信息主体的权利方面,本文主要关注了个人信息查阅权、个人信息更正权、个人信息封存权、个人信息删除权、个人信息收益权。从建立个人信息保护法领域的共同认可的对话平台出发,同时考虑到概念的明确化、精细化以及中文的语言习惯等要求,本文认为,个人信息的收集、处理、利用、传递应当是几个相互并列的概念,个人信息保护法应当考虑此四种行为的特性制定相应的行为规范。在侵害个人信息的法律责任方面,文章主要探讨了其中的民事责任,认为我国台湾地区“电脑处理个人资料保护法”将个人信息保护明确与人格权保护相联系并适用损害赔偿的规定值得借鉴。最后,文章还提出,我国制定个人信息保护法时应当重视个人信息保护的执行机制、监督机制及自律机制的构建。第三部分第五章,我国个人信息保护立法研究。本章构成本文的结论部分,包括三节内容。第一节概述了我国个人信息保护的现状。由于社会观念、信息产业、科学技术以及立法规划等方面的原因,我国很长一段时间以来没有认识到保护个人信息的重要性,目前我国还没有制定专门的个人信息保护方面的法律。当然,这并不意味着我国目前对个人信息不进行保护。现阶段,我国对个人信息的保护,主要体现在两大方面,一是在一些法律法规中设置个人信息保护条款;二是通过信息控制人的单方承诺或特定行业的自律规范的承诺对个人信息加以自律性质的保护。第二节对《个人信息保护法》(专家建议稿)和民法典草案及建议稿有关个人信息保护的相关条款进行了述评。《个人信息保护法》(专家建议稿)在体系构建、内容设计、立法理念等方面均有许多成功之处,但是该建议稿总体而言还存在许多值得商榷之处:在法律性质的定位上,“重行政管理及刑事处罚”而“轻民事确权与民事归责”;在信息主体权益上,片面关注个人信息所包含的人格精神利益而忽视其财产利益,甚至错误地将个人信息权利视为一种“新型的公法权利种类”;在个人信息保护法的基本原则归纳方面,列举了一系列诸如合法原则、权利保护原则、利益平衡原则、信息质量原则、信息安全原则、职业义务原则、救济原则的原则,空泛而脱离该法的特性;在信息主体权利方面,仅规定了获得信息的权利、信息更正权、请求停止使用的权利,遗漏了信息删除权、信息收益权等信息主体的基本权利;信息处理人主体范围限定过窄,作为信息处理人的公共部门,仅关注了政府部门,将立法机关、司法机关予以排除;关于个人信息收集、处理、利用及传递等基础性概念的界定不够科学与明确,甚至有前后矛盾之处,等等。针对民法典草案及建议稿关于个人信息保护条款的设计,文章提出了两方面的建议,一方面赞同在民法典中设计个人信息保护条款,但建议民法典将个人信息权利作为一种区别于隐私权的具体人格权加以保护;另一方面建议民法典对个人信息保护仅作原则性的规定,具体规范留待专门的个人信息保护法规定。第三节总结了本文各章节的主要观点,针对我国个人信息保护法的制定提出了若干建议。本文的创新之处主要体现在以下几个方面:首先,本文比较深入地探讨了个人信息保护的理论基础。国内目前对个人信息保护研究的论文或著作,或者没有探讨这一问题,或者探讨不够深入,或者观察视角相对单一。文章认为,可以同时从民法的人格权理论及财产权理论探寻个人信息保护的法理基础。通过人格权理论解读个人信息保护的理论基础时,本文没有仅仅停留在隐私权、一般人格权、信息自决权等学者们通常认为的个人信息保护的基础性权利层面,而是更进一步地通过梳理近现代以来人格权保护理论的发展史来挖掘个人信息保护的深层次缘由,并从中总结出个人信息保护制度的发展历程,指出个人信息权利已逐步发展为一种民法保护的具体人格权。在此基础上,文章还突破了个人信息仅具有人格属性的传统观点,认为个人信息同时具有财产属性。为了证明这一观点,不仅利用了实证分析的方法,阐明个人信息财产化具有经济学上的合理性;还结合既有法学理论,论证了个人信息财产化的法理正当性,并提出了个人信息财产化发展的法律规制措施。个人信息财产化命题的提出并不违背传统人格权保护理论,相反还拓展了人格权的保护空间,有利于实现法律对人的全面保护。其次,本文在利用比较法方法研究相关个人信息保护立法时,与目前国内其他研究者相比,更为注重对各立法文件的评价,而不是仅仅翻译介绍相关具体制度。另外,在国内学者对个人信息保护立法理念及立法模式研究的基础上,文章进一步探析了产生不同立法模式及立法理念的原因,具体介绍了作为个人信息保护“欧盟模式”基础的“权利基础论”及作为个人信息保护“美国模式”基础的“正义基础论”。再次,文章借用概念法学的方法对与个人信息保护法相关的具体制度进行了分析:关于个人信息的概念界定,特别强调了其客观性;关于信息主体的权利,强调了信息主体的信息财产权;关于个人信息收集、处理、利用、传递这一系列概念,建议严格加以区分,以利于更为精确的法律规则的制定;较为全面地从侵权行为法角度分析了侵害个人信息的民事责任机制的构建;另外,还辩证地分析了个人信息保护的自律机制。最后,文章密切关注立法界、学术界的最新动态,对《个人信息保护法》(专家建议稿)及民法典草案和专家建议稿有关个人信息保护的条款进行了分析、评论。由于学术水平、研究能力等方面的限制,文章还存在一些缺陷。例如,在文章的总体构架及内容方面,未能对特定领域(如互联网领域、电信领域、银行业领域、医疗领域等)的个人信息保护进行专门研究;在对个人信息保护立法进行比较研究时,虽然尽量避免蜻蜓点水式的介绍,但由于游离于特定的法制环境,在深入性方面还有待加强。上述缺陷都有待今后的继续研究来弥补。