个人信息权保护的法理分析及完善
作者:人民法院报 浏览次数:
次 发布日期:2019-04-15
个人信息,即可以反映自然人主体相关特征的各种信息数据。根据2016年发布的网络安全法规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。个人信息具有相对隐私性和社会性。个人信息权,是指对个人信息本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利。个人信息权的客体为个人信息,是个人信息的法律属性所体现的绝对权利。个人信息权可以决定主体对个人信息如何支配,对未公开的一般信息和敏感信息,主体有权决定公开与否;对已经公开的个人信息,主体也有权决定如何利用,其他自然人或企业无权自行对个人信息进行利用并获益。
为更好地调整不断变化的社会关系,保护个人信息权的法律法规逐渐被完善。在2017年3月《中华人民共和国民法总则》颁布之前,相关法律法规也有规定,如《关于加强网络信息保护的规定》、消费者权益保护法及《征信业管理条例》等。民法总则第一百一十一条进一步做出原则性规定,自然人的个人信息受法律保护。网络安全法明确了个人信息的概念。总体上,个人信息权保护已经有了原则性的规定,但缺乏具有普适性的专门的法律规范,尤其在民事立法上。
一、个人信息权保护的法理分析
目前,对此问题存在多种学说,笔者主要分析以下几种:
第一,财产权理论。个人信息财产权的法理基础来源于黑格尔的财产权理论。20世纪90年代,以市场调控、行业自律为中心的个人信息保护政策在美国推出,个人信息权保护的法理基础再一次被论证了合理、可行性。随着个人信息商业价值对当今商业环境尤其是市场营销模式以及政府进行社会管理和提供社会公共服务之需要产生了越来越重要的影响,个人信息逐渐成为社会中重要的无形资产、社会财富,作为一种重要的生产要素,它甚至对全球产业分工、经济结构产生了重要的影响。但笔者认为,个人信息权不是财产权。因为个人信息权利作为人格利益的具体表现形式,虽然它具备了人格和财产利益的双重属性,但是其人格利益部分仍然是其中更为本质和核心的要义,如果单纯地将个人信息定性为财产权利,则难免本末倒置。
第二,隐私权理论。隐私权的保护源于自然法和道德规范,它在争取人格尊严和尊重的法定权利的过程中形成,这是保护隐私权的首要法理基础。虽然根据主流理论,个人信息权与隐私权是两个不同的概念,两者内涵、范围、内容、价值取向、保护方式上存在着不同程度的区别,两者很难在理论上融合。但是公民信息权所涉及的个人隐私毕竟从“隐私权”这一私人领域中衍生出来,逐渐向公共领域延伸,因而具有兼具“公私两域”的“复合性”权利属性。一方面,个人信息权是一种排他的、对世的支配权,即个人信息上的利益只能由个人信息权利人排他地实现。但是在另一方面,随着当下国家的行政权能日益扩大,政府为实现公共管理以及提供公共服务之需要,加上科学技术的发展等客观原因,主体对于个人信息的支配控制能力逐渐下降,个人信息处于公权力机关或是网络平台的控制之下,个人信息从完全的、排他的支配权逐渐兼具了一些社会性和公共性。尤其是在大数据时代下,私人领域与公共事务产生了更多的联系,以纯私法或是纯公法理论为基础的保护理论都不能够完整地描述个人信息权保护的法律基础。
第三,人格权理论。当今信息社会时代,人们越来越多地用信息来记录活动,因此个人信息也是人格利益的应有之义。人格权的产生发展过程也是对人格尊重的认识、关注和尊重的过程,因此对通过人格权理论解释个人信息权,不仅仅是对个人信息权的理论阐释,也是对当代人格权理论的丰富。随着现代技术的不断发展,个人信息越来越多地表现出财产利益的属性,通过积极的方式行使,在保护方式上也是事前与事后相结合,因此将个人信息权作为具体的人格权,作为一项独立的人格权予以保护,是当今社会的大势所趋,尤其是大数据时代的背景下,将其作为一种独立的人格权更有利于对其进行保护。
二、个人信息权保护的完善建议
第一,明确个人信息的范围和内容。鉴于目前立法对个人信息范围的规定不够明确,涉及隐私和不宜公开的个人信息不易厘清类别,增加了司法实践难度。综合考虑我国国情,笔者建议增加分则中对个人信息更加细致的规定及对敏感和非敏感信息有效的识别规定,同时对个人敏感信息提供更加高强度的保护,合理规范对非敏感信息的利用,尽量减少自然人个人信息权受侵犯甚至人格利益受损的情形,唯此才能适应大数据时代中不断变化的社会关系。
第二,明确个人信息权与隐私权的界限。个人信息权所涉及的社会关系和利益要比隐私权更加丰富多样,对个人信息法益的衡量也更加复杂。在一定范围内对个人信息的收集、传播和利用并不一定会造成自然人的利益受损,信息行业对数据的加工处理极大地促进了社会进步和经济发展。因此,对个人信息权的保护应当综合考虑各种因素,而非对隐私权保护的单向利益考量。
第三,加强国家的立法与监管职能。目前我国的信息行业尚未达到高度自律的标准,国家制定统一的强制性规范可以促使企业提高规范意识,明确法律责任,建立稳定的信息保护标准。与此同时,政府也应加大对信息保护技术的投入,提高监管力度,如有必要可设立专门的数据机构履行职能,保障个人信息的合法利用与传播。
(作者单位:武汉大学法学院)