作者 | 姚佳,中国社会科学院大学教授,中国社会科学院法学研究所编审、《环球法律评论》编辑部主任。
来源 | 《中国社会科学报》2022年7月6日。
近年来,以美国和欧盟为代表的隐私立法,逐渐在世界范围内形成隐私立法的竞争局面。我国《民法典》在人格权编专门规定了个人信息保护,其后又颁布《个人信息保护法》,就两部法律之间的关系以及如何理解与适用而言,引发学界一定争论。《个人信息保护法》具有较为典型的“领域法”特色,与《民法典》紧密呼应,两部法律中规定的相关主体权利、义务与法律责任,是结构性地理解两部法律如何适用的关键点。
个人信息主体权利之同构互补
个人信息之于个体与公共利益而言,首先当属于个体。个人信息上负载的公共利益纵使在某种程度上可能归属于广义的公共性,但并不能否定个人信息权益以及个人信息权利模式。权利所蕴含的主张确保了人的尊严和自由,这也是个人信息保护法的立法主旨。就已有立法先例而言,大陆法系典型国家和地区的民法典或民事立法中基本上并未明确规定个人信息保护。但是中国《民法典》编纂之时,恰逢世界范围内个人信息、数据保护立法兴盛之际,借由个人信息“可识别性”所指向的人格利益,而将个人信息保护规定在人格权编之中,使得中国《民法典》体现出对个人信息予以特别保护的显著特色。
就集中规定个人信息主体权利的《民法典》第1037条与《个人信息保护法》第44条至第47条而言,两部法律规定的权利结构相同。《民法典》第1037条主要规定了个人信息主体的查阅权、复制权、异议权和删除权;《个人信息保护法》则规定了个人信息主体的知情权、决定权、查阅权、复制权、异议权、删除权与可携带权。就两部法律规定的重合的权利部分,基本内容与结构相同;而《个人信息保护法》则进一步丰富了个人信息主体的权利体系,决定权的“信息自决理念”立法模式体现出中国法的独特之处,知情权、可携带权等权利的增加也与域外个人信息、数据立法保持同步。
之所以探讨《民法典》与《个人信息保护法》的适用关系,不仅是因为成文法国家本身就面临着不同法律在规定相同问题时须考虑如何协调适用,更是因为学界就个人信息主体的权利因规定在不同法律之中而存在性质之争。比如,有论者认为《个人信息保护法》中的权利属于程序性权利,而使得个人能否基于法律规定行使相应请求权产生疑问。作为成文法国家,法律规定是最基本的依据。《个人信息保护法》第44条至第47条均规定“个人……有权”,这就意味着个人享有基于法律规定行使相应请求的权利。如德沃金所言,当我们说某人有权利做某件事的时候,如果别人干预他做这件事,那么这种干预是错误的,或者至少表明,如果为了证明干涉的合理性,必须提出一些特别的理由。这是对权利内涵的最朴素的认识,此种权利的行使与救济可通过司法途径实现。同时,国家也应通过一系列制度安排保障这些权利的实现,但这并不会产生对相应请求权性质的否定。
就法律适用层面而言,在解释权利内容时,查阅权、复制权、异议权和删除权等可同时适用《民法典》或者《个人信息保护法》,均指向个人信息处理者的查阅、复制、更正以及删除等义务;决定权、知情权和可携带权则应适用《个人信息保护法》的解释,决定权理念贯穿个人信息处理活动始终,而知情权则是个人信息主体权利体系的基础与核心,查阅权、复制权、异议权、删除权、可携带权等权利则为散射交叉的系列权能。可见,就权利内容、权利行使而言,《民法典》与《个人信息保护法》基本相同,并不会因为这些权利规定于不同法律之中而存在差异,只要存在个人信息处理活动,个人就有权向个人信息处理者行使相应法定权利。
个人信息处理者义务之“超越相对性”
个人信息保护立法以大规模、高度组织化的个人信息处理者为规制原型。在个人信息保护的“个人—个人信息处理者—国家”等几方关系之中,个人信息处理者的义务体现出一定的层次性:一方面聚焦于“个人—个人信息处理者”两造关系中,个人所应享有的权利与个人信息处理者应履行的义务相对应;另一方面则致力于从国家安全、信息安全以及社会风险等多角度规定个人信息处理者的义务。《个人信息保护法》第五章专章规定“个人信息处理者的义务”,则主要聚焦于后者。
个人信息处理者对个人信息主体承担告知、查询、复制、更正、删除、可携带等义务。基于个人信息处理活动,个人对自身的个人信息享有知情权以及系列权利。《民法典》人格权编第1035条、第1038条和第1039条分别规定了个人信息处理的原则和条件、个人信息处理者的安全保障义务和国家机关等相关主体的保密义务等。《个人信息保护法》则在第二章专章规定了个人信息处理规则,以规定个人信息处理者的告知义务、处理方式等内容;同时,个人信息主体可基于法定权利请求个人信息处理者履行相应义务。在具体适用上,《个人信息保护法》规定的义务更为细化,对《民法典》的相应规定形成有益补充,针对《民法典》并未规定的具体适用情形可直接适用《个人信息保护法》的规定。总而言之,在个人与个人信息处理者之间的相对关系中,仍然是围绕如何保护个人信息权益而配置相应权利义务,此种权利与义务之间具有相对性、对应性和匹配性。
科技之于个人信息处理活动,其最显著的特征在于可实现海量规模、无限频次的个人信息处理行为。这些行为与活动不仅影响个人权益,同时也可能引起安全风险。因此,《个人信息保护法》在规定个人信息处理者相对于个人应承担的义务的基础上,更加聚焦于个人信息处理者的安全保障义务、报送义务、合规审计义务、个人信息保护影响评估义务、通知义务和“看门人义务”等等。就法律适用与责任认定而言,这些义务虽然主要涉及行政责任,但这些义务也可能成为判定个人信息处理者是否承担民事责任的影响因素。总之,个人信息处理者的义务贯穿个人信息权益保护的始终,超越个人与个人信息处理者之间的相对关系,而在更多向度影响个人信息权益保护与信息安全。
民事责任之相殊复通
个人信息处理者侵害个人信息权益应承担相应民事责任。在个人信息主体的权利、个人信息处理者的义务等方面,《民法典》与《个人信息保护法》之间更多体现为补充细化的关系,在法律适用上即交叉、配合适用的关系。但是在民事责任方面,《民法典》事实上并未特别规定个人信息处理者的民事责任,而《个人信息保护法》第69条第1款则明确规定了个人信息处理者的过错推定责任,即“个人信息处理者侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。这就使得在民事责任的法律适用上,《个人信息保护法》的该款规定应当优先适用。
司法实践中认为,《个人信息保护法》中的私法规范与《民法典》属于特别法和一般法的关系,只有将两部法律相关规定结合起来,才能形成完备的个人信息保护的原则、规则体系。客观而言,就《个人信息保护法》中的私法规范与《民法典》之间的关系予以概括评价实际上存在一定难度,但至少在个人信息处理者的民事责任条款上,《个人信息保护法》体现的特别法特色较为明显。
尽管在民事责任归责原则方面,《个人信息保护法》相较《民法典》进行了特别规定,但就损害的认定以及损害赔偿等方面仍应依据《民法典》的相关规定。通常意义而言,损害赔偿法的目的在于损害填补、损害预防与惩罚制裁。对于损害赔偿数额,原则上应根据《民法典》第1182条与《个人信息保护法》第69条第2款协调适用确定。在侵害个人信息主体的系列权利之时,对于查询权、复制权的救济,个人信息处理者应基于请求承担查询、复制等行为义务;对于异议权,个人信息处理者则有义务予以更正或解释;对于删除权,个人信息处理者则应停止侵害、删除个人信息等。如当事人能够证明自己受有精神损害的,可请求相应的精神损害赔偿。