内容
从隐私权保护的法律特征来看,其所保护的关系具有人际关系的特征。隐私权保护采取侵权法框架,将侵权者与被侵权者拟制为能力平等的民事主体。从《民法典》人格权编关于隐私权的规定看,我国隐私权的法律保护一直将其调整的关系确定为人际关系。
就个人信息保护而言,其从一开始就聚焦于具有人机关系特征的信息处理关系,我国近年来的立法也以具有人机关系特征的信息处理关系作为调整核心。《个人信息保护法》在立法技术上与欧盟相关法律相似,都以“个人信息处理”作为法律调整和保护的核心。同时,《民法典》人格权编个人信息条款也同样聚焦人机关系。无论是其中关于个人信息处理的原则、处理者的民事责任,还是个人在处理中的权利,都以“个人信息处理”作为核心和前提。
首先,隐私权保护与个人信息保护的制度框架不同。隐私权保护主要采取侵权法保护的方式,依赖个体向法院提起司法救济。而个人信息保护则借鉴了公平信用报告、公平劳动实践等制度,以“公平信息实践”为制度基础,采取公私法合作治理的方式对个人信息进行保护。
其次,隐私权保护与个人信息保护的适用前提不同。隐私权是一种对世权,可以适用于不特定第三人,与被侵权者可以形成平等的人际关系。个人信息保护只针对信息能力不平等的专业化或商业化的信息处理者,将只具备人际关系、不具备信息处理关系的情形排除在保护范围之外。
再次,隐私权保护与个人信息保护的目标群体不同。隐私权所调整的是一对一的人际关系,其保护对象是个体,并不直接涉及群体。个人信息保护所调整的是一对多或一对海量个体的关系,其保护目标虽然也从个体出发,但是实现群体保护是其重要的目标。
最后,隐私权保护与个人信息保护中的个体权利性质不同。隐私权是一种消极防御性的实体权利,强调对侵害的救济,与个体尊严和个人生活安宁密切相关;而个人信息权利则是积极的程序性权利,强调个人对于自身信息的支配,是实现相关权益保护的规制工具。
仅从表面看,隐私权保护与个人信息保护存在逻辑上的自相矛盾之处。一方面,隐私权被认为是一种比个人信息权利更为核心的权利,如《民法典》将隐私权规定为一种“权利”,而将个人信息视为一种“权益”;但另一方面,法律对个人信息的保护又似乎更为严格,如隐私权的损害赔偿采用过错原则而个人信息保护采取过错推定原则。
但从法理分析出发,两者之间表面上的矛盾将不复存在。从个体的角度看,隐私权在大多数情形下优先于个人信息被保护权,个人信息处理行为造成的损害不如隐私权所造成的损害那么现实和具体;但个人信息保护涉及群体或海量个体,法律需要对个人信息进行程度更高、范围更广的风险预防。对于损害赔偿归责原则,隐私权保护的是平等个体之间的人际关系,采取一般过错原则有利于维持个体行为自由与隐私权保护的平衡;但个人信息保护的制度目标是矫正个体与信息处理者之间的信息能力不平等,采取过错推定原则或违法性要件原则可以利用个体诉讼倒逼信息处理者进行合规建设,维护群体权益。
(一)不存在信息处理关系的适用
在不存在人机关系或个人信息处理关系的情形中,法律对相关主体只能适用隐私权保护。将个人信息保护适用于人际关系或非个人信息处理关系,将严重限制人们的行为自由,造成普遍违法。例如,在引起社会热议的“街拍”活动中,如果相关街拍活动是非专业性的,应当适用隐私权保护框架。相反,如果相关街拍活动涉及对大量个人信息的自动化、半自动化或结构性处理,那么此时可以适用《个人信息保护法》。
(二)存在信息处理关系的适用
在信息处理关系下,监管机构可以对侵犯隐私或个人信息的违法行为进行监管。然而,监管机构的定位与职能在于维护公共利益,这决定了其对隐私权保护与个人信息保护的适用重在维护公共秩序与制止违法行为,而非对个体侵害进行赔偿。
法院对于隐私权与个人信息保护的适用则取决于不同国家对于法院的职能定位。有的国家和地区坚持法院的个体救济定位,避免法院行使监管职能。这就使得法院整体上以适用隐私权为主,排除了大部分基于个人信息保护而提起的诉讼。有的国家则在个人信息保护中充分发挥法院的监管功能,限定传统私法救济角色。
我国则采取“双管齐下”的模式,既利用法院行使个人信息权利之诉的监管职能,又积极改造传统侵权法对个人信息损害之诉进行救济。《个人信息保护法》一方面在第50条第2款中引入了个人信息权利之诉,让人民法院行使类似欧盟法院或独立监管机构的职能,另一方面在第69条规定了过错原则转变为过错推定原则,并将传统侵权法的损失补偿原则改变为多重可选原则,使得侵权法在我国个人信息保护中的地位更加突出。
需要强调的是,我国在个人信息保护中赋予人民法院以更大的职责,需要以认清人民法院的定位为前提。人民法院在适用个人信息保护法的过程中,需要对自身角色与制度目标保有充分的自觉,还须注意监管与侵权的配合与协调,避免监管与侵权的双重责任。
应当从文本关系转向制度关系,即从隐私权保护模块与个人信息保护模块出发,分析这两个制度模块之间的关系。在《民法典》规定个人信息条款的背景下,将《民法典》中的个人信息条款与《个人信息保护法》视为同一制度模块,分析个人信息保护模块与隐私权等传统法律制度模块的关系。
(一)制度视角的优越性
首先,采用制度视角符合相关法律规定。《民法典》个人信息条款与《个人信息保护法》具有制度工具上的同质性,与《民法典》隐私权条款则有本质性差异。《民法典》隐私权的规定都没有“处理”的表述。而《民法典》个人信息保护条款均包含了“处理”的表述,并且其内容均与《个人信息保护法》具有高度相似性。
其次,制度视角可以避免法律上的逻辑矛盾。(1)《民法典》并未将“自然人因个人或者家庭事务处理个人信息”排除在外,如果完全按照封闭的文本解释,这将得出《民法典》中个人信息保护条款可以针对“任何组织或个人”的结论。这一结论不符合逻辑,在非信息处理关系中适用个人信息保护,将造成人们日常生活中的普遍违法。(2)制度视角可以避免一套制度两种属性、两种适用的逻辑矛盾。《民法典》规定的个人信息查询、复制等权利与《个人信息保护法》中的个人信息权利具有高度相似性。但如果仅从其文本归属来看,那么会得出这些权利在两部法律中保护不同权利的结论,也意味着当个人在个人信息案件中提起侵权损害之诉时,可能对之适用不同的归责原则。
最后,制度视角可以大幅降低《民法典》与《个人信息保护法》适用的复杂性。以私密信息与敏感信息的关系为例,仅从文本或概念界定的角度看,二者不可避免存在交叉,很难把握制度适用。但如果采取制度视角,就可以发现私密信息和敏感信息仅是隐私权与个人信息保护两种制度下的概念工具:私密信息可以被理解为人际关系中不被允许的那类信息,而敏感信息则是在个人信息处理中风险较高的那类信息。私密信息更多是隐私权侵权认定后的结果,很难也不必要进行事前确定。相反,个人敏感信息由于其人机关系或信息处理关系,其所面临的风险往往与社会的客观情况相关,具有相对确定性,法律也常常采取“列举+开放”评估的模式加以界定。
(二)制度视角下的法律适用
首先是人格权法适用。《民法典》第997条规定的人格权禁令制度,也可适用于《个人信息保护法》或《民法典》中的个人信息条款。当可能存在违法行为或侵害大量个体,而非侵害特定个体时,法院可以颁发禁令。
其次是合同法适用。个人可以在信息处理者违反隐私政策的情形中适用合同法来对信息处理者提起违约之诉,但由于个体所遭受的具体损失往往非常有限,且其主张具有违法举报的性质,往往由监管机构进行处罚,所以个体的诉权则仅限于极少数情形。
最后是侵权法适用。对于隐私权之诉而言,这一制度以过错原则与损害赔偿为核心,其功能更偏向于个体救济;对于个人信息侵权损害之诉而言,这一制度采取过错推定、举证责任倒置、赔偿方式多样化的特殊侵权归责原则。
综合而言,《民法典》与《个人信息保护法》都包含多种制度工具,在多种制度工具并存且存在交叉的背景下,关键是确定法律适用的目标,理解不同制度工具的特征与优缺点,并在此基础上选择、改造和配合使用不同的制度工具,以实现有效治理。
隐私权保护与个人信息保护的不同,在于前者调整的是平等主体之间的人际关系,依赖侵权法;后者调整的则是一对多的不平等主体之间的人机关系或个人信息处理关系,采取合作治理的保护方式。二者的关系是一种制度工具的关系。在纯粹人际关系中,隐私权保护是唯一可以适用的制度工具。而在人机关系或个人信息处理关系中,法律既可以适用隐私权保护,也可以适用个人信息保护。法律需要首先确定其治理目标,在此基础上选择、改造与搭配不同的制度工具。
(本文文字编辑陈子仪。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章,一律不得转载。)
