论利益平衡视野下的个人信息权制度
内容提要: 个人信息保护的目的在于维护人格尊严,而信息自由则是促进社会公正透明的重要保障。人格保护与信息自由背后的价值冲突导致了二者在实证中的对峙,也使制度设计者在利益取向上陷入困境。为平衡两种利益,立法者应采取大陆法系界定权利要素的方式,科学厘定个人信息权的内涵和边界;而裁判者面对立法的僵化,需要在个案中依据一般条款对个人信息权和信息自由之冲突进行利益判断与衡量,从而实现二者的平衡。
一、个人信息之界定与利益维度
(一)个人信息的界定
不论是在自然法学派还是利益法学派学者的眼中,利益冲突的调和有赖于权利制度的科学构建与机制实施。而权利制度的研究应起步于对其客体基本范畴的考察,如概念以及属性等。在以信息化为本质特征的网络时代,自然人的人格正被越来越多地体现为表征本人特性的数字或者符号,即“个人信息”。从词源学角度而言,这是一个舶来的法律术语,欧盟与美国等在立法文件中将它表述为personal data, data在英语里特指能带给人们知识并被存储、传输以及处理(can be stored, delivered and processed)的符号组合,这正与汉语中“信息”的含义相符。[1]
根据黑格尔对内外世界划分的理论,个人信息识别着本人并与之须臾不可分离,从而应被划入具有意志与精神属性的内在物范畴。因此保障本人对个人信息的控制,就是对其主体资格的尊重以及人身自由的维护。[2]而这一点已体现于实然法中:在宪法层面,当今主要国家和地区将具有古典与自然权利性质的人格尊严和自由权作为保护个人信息的依据,从而确保民众在对其个人信息处理等事务上的自主与自决;在民法等部门法或具体法当中,这些国家与地区采用作为民事权利的人格权保护个人信息。一些学者受波斯纳法经济学理论影响,认为个人信息对本人以及收集利用者等主体而言属于财产利益,[3]对此笔者无法苟同。因为财产,必能通过交易被转让。虽然现实中个人信息与本人经常发生暂时分离,但二者的归属关系始终无法改变,否则个人信息的识别功能即丧失,从而丧失存在与被保护的意义。脱胎于法经济学理论的财产利益说势必导致作为自然人意志与精神载体的个人信息沦为交易对象,并以经济学家眼中的效率代替自由与正义等作为制度设计之圭臬,从而阻碍了我们为调和题中冲突而应做的“人性价值寻回”。[4]
国际主流社会虽然已承认个人信息保护的本旨在于维护人格尊严与自由,但在如何选择民法等部门法中的具体保护模式时仍然存在分歧:英美法系国家多通过隐私权模式保护个人信息,而几乎所有大陆法系国家所采用的是独立的具体人格权模式。追根溯源地讲,前一模式被采用是英美法系学者对隐私与隐私权扩张解释的结果。隐私权最初被界定为主体的私人生活领域免受外界干扰的权利。[5]它在保护个人信息上存在两方面不足:一方面,个人信息由数字与符号组成,从而与隐私权客体—私人生活空间(即隐私)之间存在属性上的本质区别,因此难以纳入其保护范围;另一方面,它是一种单纯对抗他人不法侵人的消极性权利,同时强调对隐私的绝对保护。因此传统隐私权理论既不能解释本人主动将个人信息授予他人利用的现象,又难以为其他主体合理利用个人信息提供依据。就连英国资料保护委员会也承认:“资料保护与传统意义上的隐私权不同,它不只是为个人设定一项权利,而更旨在构建一个平衡个人、资料使用者与社会整体利益的法律框架。”[6]为了弥补这一不足,英美法系学者长年来不遗余力地扩展隐私(权)的外延。时至今日,该法系所理解的隐私权已成为包含了主体对其所有人身利益(包括个人信息、肖像、名誉、姓名等)自主控制并免受侵害的外延无限其广的概念。[7]
然而,这种对隐私以及隐私权的内涵与外延作扩张解释的做法并不适合我国。毕竟大陆法系国家(包括我国)对隐私权的界定至今都未超出它最初始的范围,譬如1970年被修订的法国民法典第9条将隐私权界定为私生活受到尊重并免受他人非法侵入的权利。受此影响,我国已构建了包括隐私权、肖像权、姓名权与名誉权在内的概念与制度体系,它们彼此并列而非相互包含。如果我们沿循英美进路,将与个人信息、姓名与肖像等统统置于最宽泛意义的隐私权保护下,则势必淆乱这一体系。因此出于维护民事权利理论与制度体系完整性与一贯性的考虑,我国宜采用大陆法系国家的通行做法,在民法等部门法中设立独立的具体人格权(即个人信息权)实现对人格利益的保护。[8]
(二)信息自由及其与人格利益的冲突
和人格尊严与自由一样,信息自由(Information Freedom)也是构建个人信息制度的重要价值向度,其基本内容是公民自由获取、持有以及传播信息。根据联合国1946年12月成立大会第59号决议,这里的“信息”来源于经济、政治、文学艺术以及科学研究等各个领域,后来联合国以及一些国家与地区将信息自由权确立为公民的一项宪法权利。[9]该权利得以确立的理论依据之一是霍布斯与黑格尔等学者阐发的信息契约论。根据该理论,包括国家与社会赖以维系的纽带在于它对各个领域的信息(包括个人信息)的收集与传输。社会成员应当将专属于其自身的信息的部分权利让渡给国家,从而促进公共福祉的实现;而国家为达到这一目的,有义务在管理这些信息的同时允许公众获得,从而满足后者参与社会事务以及自我发展等需求。[10]
虽然人格尊严自由权与信息自由权同为宪法权利,但二者在民法等部门法中的际遇截然不同。中西方宪法学者在深研“不同基本权利背后的道德思想、社会现实基础以及对个体自身的意义与价值”后,将它们分为“古典(或自然)”、“近现代自我表现以及社会经济”三类。[11]以保障私人事务自决为核心的人格尊严与自由权属于第一类,由于私人领域可能同时面临作为公法主体的国家与私法主体的入侵,主体需要在宪法与民法层面分别被赋予能据以对抗上述侵害的基本权利以及民事权利(如个人信息权);与此不同的是,强调公民对社会事务参与以及自我价值实现的信息自由权应列入第二类,其义务人始终是作为公权力行使者的国家,内容恒定为请求国家保障信息自由的实现,而不能被确定为对抗私法主体的具体权利。这一点从《联合国公民权利与政治权利公约》(第19条)、《世界人权宣言》(第19条)、《欧洲人权公约》(第8与10条)、美国信息自由法(第一部分)可以看出。因此信息自由权只能初显为“客观的法”或“客观规范”而被高悬于宪法之上,却难以“下凡”到民法中成为支持信息处理人起诉的主观请求权依据。[12]
人格利益与信息自由受保护的目的都在于确保主体意志与行为的自主性,故皆包含了自罗马法以降被追奉的自由价值。然而两个价值在指向上却呈现出针锋相对之势:一者在人格自由与尊严的大旗下强调本人对其个人信息的自决;另一者则在社会事务参与和自我价值实现等界标内主张对他人个人信息加以自由传输以及利用。正如西方法谚云:“我的自由止于他人鼻尖”,信息自由与人格利益所蕴含价值的冲突决定了二者不可避免地发生对抗。而这一价值层面的冲突已经从在实证显现出来,根据CNNIC于2005年7月公布的第16次《中国互联网络发展状况统计报告》,自2003年下半年以来,新闻媒体等机构以及其他主体为新闻报道与收集资讯等目的,越来越多地不经过本人许可而收集与利用其个人信息或者披露隐私;同时超过90%以上的网民对因人格利益保护面临的潜在危险表示出担忧与不满。[13]
二、个案平衡与比例原则之研判
信息自由与人格利益的冲突使立法者与裁判者面临一个二难境地:为保护人格利益而限制他人对个人信息处理,或者为实现信息自由而允许个人信息被他人自由地收集与处理。对此国外理论界与实务界已作出回应:美国司法界为消除人格权对信息流通的不当阻碍,吸纳了该国学者托马斯·I·爱默生于1970年提出的信息接触权(the right of access to information)学说,为实现信息自由传输之目的而限制人格权的行使;而德国法院也通过一系列判例确立了平衡人格利益和信息自由的标准。[14]此前北美与欧盟在各自的立法与司法体制以及不同理念的影响下,分别采用了两种截然不同的进路,笔者在本部分将它们引人我国情景并加以研判,顺而探寻出能协调题中冲突的方法。
(一)个案平衡进路:北美的冲突调和方式
北美洲国家自较高级别法院的法官在审理相关案件时,根据具体情形并依照社会一般观念以及公理等尺度加以衡量,决定是否为实现信息自由而限制个人信息本人的人格利益。根据先例拘束原则,法官的裁判结果以及理由至下成为调和冲突的标准,下层法院遵从之。迄今较有影响的标准有:第一,被处理个人信息的性质,即对处理与隐私相关个人信息的行为给予更大程度的限制。加拿大法院在审理Silber v. BCTV一案中,认定被告在报道一次劳动纠纷过程中拍摄原告打斗场景的行为不构成侵权。但法院在审理Valiquettev. The Gazatte一案时,判定新闻机构报道一名教师患有艾滋病的行为构成侵权。两次判决结果之所以不同,是因为艾滋病病情记录与隐私有关,而打斗场景则不然;[15]第二,个人信息本人的身份,一般而言,该地区法院对处理公众人物个人信息的行为所课加的限制条件较非公众人物少。例如,加拿大法院在Aubry v. E-ditions Vice—Versa Inc案中认定,被告对十七岁女原告坐在台阶上的场景进行摄影并刊登照片的行为构成侵权。但该国法院在审理Hill v. Church of scientology一案时,拒绝认定被告收集对原告个人信息的行为构成侵害人格权。两次判决不同的理由在于,前一案原告为非公众人物,后一案则相反;[16]第三,处理个人信息的目的,一般地,出于使公众知情等目的而实施的处理行为会受到(较之于基于其他目的而处理)更多的保护。譬如美国联邦法院在Virginia Pharmacy一案的判决中言明,收集商业性信息虽然也属于信息自由保护对象,但对它的保护程度应当明显低于其他信息。[17]比如前述Valiquette v. The Gazatte一案的另一个判决理由是,被告进行报道是基于商事目的;第四,处理行为对人格利益所带来的威胁或影响,影响越大,所受到的限制程度越大。[18]
受制于立法与司法体制因素,这一进路在我国实施起来必将面临重重障碍。因为一方面,个案衡量是通过判例的创制与适用来完成的,虽然此前国内稀疏地响起过将判例法作为法律渊源的声音,但囿于我国对正式法的路径依赖以及法官素质等现实阻隔,这一声音遭到学界普遍反对;[19]另一方面,英美法官往往需要在裁判中将信息自由直接作为限制人格利益的依据,这即意味着在司法程序中引入宪法规范。就宪法规范是否能够直接适用于民事诉讼等司法程序(国内学界称其为“宪法司法化”)这一在我国曾引起热议的话题,学者与实务界人士受阻于宪法解释权障碍以及出于防止公权力过度干预私领域的考虑,也普遍倾向于否定说。[20]由此,个案衡量进路很难在我国得到实施与推行。
(二)比例原则:欧盟的经验
出于维护共同利益需要,欧盟各国在个人信息立法的价值取向、框架设计以及基本制度构建等方面达成了高度的一致。根据欧盟的要求,各成员国应当通过个人信息法中引入对信息自由的保护问题,为实现此目的按照比例原则的要求排除或者限制个人信息本人的权利。譬如欧盟数据保护委员会下属工作组在于1999年5月3日通过的立法工作文件《关于公共部门信息和私人数据保护的第3/99号意见》中明确要求,各成员国应当在符合比例原则所包含的必要、适当以及目的与手段之间合乎比例等要件的前提下,基于实现信息自由之目的而排除或者限制本人权利(to exempt or restrict subjects' rights pursuant to the principle of pro-portionality),而这一点已在欧盟主要成员国的个人信息保护法规中有所体现。[21]相当多数(甚至主流的)欧盟与中国学者也建议,我国应根据比例原则来平衡本人的人格利益与信息自由。[22]
然而,我们只要稍微留意比例原则的适用范围,就会发现它很难被用以协调信息自由与人格利益在一些领域(尤其是民事生活)里的冲突。萌发于亚里士多德“正义”法哲学思想的比例原则真正肇端于19世纪德国,该国行政法学始祖麦耶在其《德国行政法学》一书中将它的内容概括为“行政权力……对人民的侵权必须符合目的性,并采取最小侵害之方法”。[23]于是有的台湾学者对它作了“行政法中的‘帝王条款”’的最高定位。[24]后来虽然它的效力扩展到所有公法领域,但始终无法及于强调主体地位平等以及意思自治的民事领域。如果比例原则被强行地用以调和这一领域中信息自由与个人信息权的冲突,则势必破坏我国多年来公法与私法之间泾渭分明的关系。
此外,根据相当部分遵循此进路国家的法律,裁判者应当偏重于实现信息自由。譬如欧盟1998年个人数据保护指令第9条规定,为满足新闻报道以及文学、艺术创作和科研等方面的的需要,“排除适用”保护个人信息本人权利的规定(原文为“exempt”,对应汉语“排除”的而不是“限制”);与之如出一辙的是,英美法系大法官本杰明·卡多索以及哈兰·斯通提出了信息自由权是“母体”与“优先”权利的观点,此说被该法系判例吸纳。[25]然而在我国的语境下,笔者不赞同一概“择优录用”信息自由。一方面,个人信息保护所蕴含的人格尊严与自由价值亦体现于宪法层面,故支持者的主要依据—信息自由承载“更高的宪法价值”实难成立。[26]而且按照哈耶克的理论,作为立法者与司法者追求目标的自由又包含了目的价值与工具价值。[27]人格尊严与自由属于目的价值,信息自由却在主流学者看来仅带有(哈耶克笔下的)工具价值,由此前者也不应在价值排序中被轻视;[28]另一方面,在卢梭看来,国家发展须从承认和保护“多元个体利益”的众意社会再到以“公共人格”与“道德共同体”为特征的公意社会两个阶段。历来较注重保护个体利益的英法等国或许可以为实现第二阶段目标而偏重信息自由;[29]但在对人格尊严与自由等个人权益的保护尚未臻完善的我国,如果我们为了大跃进似地实现“公意”而忽视对个人信息的保护,则必将出现本人尊严被践踏、人格自由被禁锢之局面。
最后,比例原则进路的实施在我国也同样存在立法与司法体制上的阻碍。类似于北美,欧盟及其成员国也是在诉讼中直接引入宪法中保护信息自由的规范,再根据比例原则完成对个人信息权的制衡。[30]在宪法司法化论证未能在我国完成的背景下,该进路与个案衡量面临着同样的障碍,即保护信息自由的宪法规范无法被直接适用于民事诉讼等司法程序当中以实际制约个人信息权的行使。同时,这一进路试图为法官应对各种情势提供周延而整齐划一的衡量标准(即适当、必要以及合比例),因此难免失之于模糊与抽象,譬如在如何判断被实现的信息自由与所牺牲的个人信息本人的人格利益孰重孰轻上,就很难有一个客观而精确的尺度。如此,裁判者即陷于主观判断的漩涡。虽然一些学者看到了这一弊病并对如何具体适用它进行过可贵的探索,但大多仅停留于释义的层面上,对如何在司法实践中细化其标准从而使操作客观化却鲜有也难有建树。[31]考虑到我国法官素质以及司法环境,该原则势必成为空泛的具文以及恣意裁判之坦途,从而会产生相对于在欧陆而言南橘北积的效果。
三、个人信息权制度之创构:人格利益与信息自由之立法平衡
(一)个人信息权的证成—调和利益冲突的必然选择
我国为平衡保护人格利益与信息自由,应通过立法设立个人信息权制度从而使本人自由支配个人信息并排除他人侵害。这不仅是我们按照自然法学思维进行价值与利益思辨而得出的结论,更是在本国法制背景下回应现实社会问题之必须。
首先,虽然北美与欧盟的进路囿于理念与体制等因素在我国无法自立,但它们对我国制度的设计与实施在价值论上的借鉴意义是不言而喻的:按照欧盟比例原则进路,本人被允许以个人信息权作为向信息处理者主张的请求权基础,处理者得以其行为符合比例原则为由抗辩请求,而裁判者须依照该原则所包含的统一标准(即必要、适当以及合乎比例三要件)加以权衡衡量。因此,它对深受大陆法系法权模式思维影响的我国而言具有形式正义上的意义;[32]与此相似,北美也是通过利益衡量来化解题中矛盾。不同的是,该地区采取的是根据具体案情“量身定制”取舍标准的做法,它尽显英美法系判例法灵活性与具体性之长,同时吸纳了难以被正式法完全摄入的社会观念与公理等作为评判依据,从而深合实质正义的尺度。[33]当我们吸取二者在价值以及立法技术等方面的精髓后即会发现,在两种正义价值的指引下实现题中冲突双方的利益共赢之道在于:通过立法设立个人信息权的保护规则,再凭借利益权衡等手段对权利进行限制或者排除。
另外,我国立法者受制于现有立法与司法体制,只能在宪法第51条的指引下通过制定与实施民法规范来调和题中的冲突。而正如洛克所言,法律消弭自由之间纷争最有效的手段在于划定它们的边界。[34]按照大陆法系国家(包括我国)的传统思维,对自由标界最常用的方式是以法定手段使保护它的民事权利的诸要素—主体、客体与内容等变得明确与具体。既然信息自由权无法被确立于民法规范之中,我们应当着重构造个人信息权制度。诚如王泽鉴先生所言,当某种法益在现实生活中具有相当程度的重要性时,“或直接经由立法,或间接经由判例学说被赋予法律效力,使其成为权利”。[35]从关于适用民法通则的司法解释可以看出,我国现在仅对部分涉及隐私的个人信息作为一种法益来保护。[36]考虑到个人信息作为一种独立的人格利益在今后日渐凸显的重要地位,同时考虑到我国多年来对人格权立法保护模式的路径依赖,立法者应当将个人信息上升为一种独立的具体人格权—即个人信息权的客体,在民法规范中设置对该权利的保护规则,将它的要素清晰地展示出来。如此裁判者方能根据个人信息权的界标,去认定与制止个人信息处理人对本人人格利益的侵害,对后者以行使权利为名不当干涉信息自由的行为亦然。同时,这是一种通过法权模式对个人信息及本人人格利益加以保护的进路,它使得个人信息权独立于其他具体人格权的品格在立法中得到承认与体现,有利于实现我国人格权概念、理论与制度体系的有序与和谐,这在已将个人信息民法保护工作提上日程的当今,无疑更具有现实意义。[37]
(二)界定个人信息权的要素
个人信息权的主体—自然人。个人信息权的主体即个人信息本人,它当然地包括了自然人,但对法人等社会组织是否属于权利主体范畴的问题,学界看法莫衷一是,对此笔者持否定观点。[38]因为一方面,个人信息权被设立的宪法依据是作为古典基本权利(或者自然权利)的人格尊严与自由权。自然权利以人性论与天赋人权理论为思想基础,从主要意义上说,它旨在实现与维护“个人”人格的独立和健全以及精神的自主,所保护的是为自然人与生俱来并不能移转的生命、人身与自由等利益。而法人与其他社会组织受限于其目的范围(或者经营范围),不能享有这些利益;另一方面,如果社会组织的专有信息(主要由商业秘密以及表明该组织身份的信息等)作为个人信息受到保护,该组织即得以行使个人信息权为名对抗他人收集、存储与利用相关信息的请求,从而正如我国一位台湾学者所担忧的那样,使民众从“合法与公开管道获得这些资讯的空间变得狭小”,进而妨碍了信息自由的实现。[39]因此从利益衡量的角度而言,可行的做法应当是对这些信息适用反不正当竞争法与企业的登记法规加以保护,并以与这些法规相关的价值尺度平衡信息持有人与处理人之间的利益;此外,世界主流国家与地区均将个人信息权的主体限定于自然人。经济合作和发展组织(OECD) 1980年关于个人数据保护与跨界流动的指导方针1(b)将个人信息权的主体表述为“个体”(indi-viduals),欧盟1995年个人数据保护指令更是直接用“自然人”(natural person)界定权利主体的范围,此外德国(2003年联邦数据保护法第3节)、英国(1998年数据保护法第1条)以及法国(2004年个人数据保护法第2条)等对个人信息加以立法保护的主要国家也做了相同规定。
个人信息权的客体—已被存储的个人信息。换言之,未通过载体形式固定与显现(此即“存储”的含义)的个人信息不受保护。这在与本文论题涉及的语境中也是权衡冲突利益的结果。恰如德国学者卡尔·拉伦茨所言,立法者与裁判者应当根据具体情况对彼此冲突的法益赋予相应的“重要性”,从而进行权重与取舍。[40]个人信息本人的人格利益主要表现为决定是否以及如何对其个人信息处理、对主体处理信息的情况进行查询以及请求维护信息的完整与正确状态等。在个人信息未被存储的情况下,上述要求很难得到满足,从而本人人格利益赖以维系的基础甚微;同时从信息收集与传输者立场观之,如果将任何在公开渠道流通的信息都纳入权利保护对象,则其在收集、利用与传输任何与本人有关的信息时,(至少原则上)必须经过后者的同意并时时被其掣肘,这势必导致信息自由被阻碍甚至禁锢的局面。总之我们在对两者利益进行权衡后会发现,在个人信息尚未被存储时,其本人的人格利益远远小于信息处理人的利益。此外,这一限制性做法已经得到了国内外立法界的一致认可。我国台湾地区“电脑处理个人资料保护法”第2条明确规定受保护的个人资料是指“储存於电磁纪录物或其他类似媒体之个人资料之集合”;而法国2004年《个人数据保护法》第2条规定,该法关于个人数据保护的规则仅适用于处于“存档系统”中的数据;此外我国香港1996年《个人数据保护条例》第2条英国《1998年数据保护法》第1条也做了同样限制。