主持人:
各位老师、同学大家晚上好!欢迎大家来到本期的民商法前沿论坛暨华润雪花论坛。我们非常荣幸地邀请到了北京师范大学法学院的刘德良教授来跟大家做关于“个人信息的私法保护”的讲座,刘老师在互联网法以及个人信息保护法方面可以说是著述颇多,而且有一些非常有创建性的观点,相信一会儿刘老师也会跟大家分享。今天我们还非常高兴地请到了咱们法学院的石佳友老师来当本次讲座的评议人。我相信,刚才通过开始刘老师和石老师之间的对谈,大家已经能感受到石老师跟刘老师观点有时候不是非常的一致,这样的话我觉得我们的讲座会更为精彩,有助于大家更全面地了解这个问题,现在让我们掌声有请刘老师开始今天的演讲!
刘德良:
其实我在人大是第三次讲类似的问题,所以旧话重提。前年讲的是个人信息保护与民法典的制定,我觉得现在这个问题还是属于比较热点的问题。在欧洲个人数据保护指令也面临着修改,所以现在学术界也一直争论不下。大数据时代个人信息保护面临的问题,很多人也在这个方面来讨论。今年以来,有很多培训班、考试班老是给我打电话,发短信,后来我知道应该是我女儿就读的学校把我的手机号码卖出去。这个时候我就在想,遇到这种情况怎么办?报案公安机关会不会受理?找工商有没有用?我估计是用处不大的。这个属于个人信息的滥用问题。我讲的这一部分可能跟保护要联系在一起的。所以今天我就想利用这个问题再回顾一下,当然讲的侧重点或许有所不一样。
今天讲个人信息的私法保护问题。为什么叫“私法保护”而不叫“民法”?实际上仔细咬文嚼字,私法应该包括民法,但是不限于。一般讲民商法,商法也属于私法的范畴,在商法里面实际上也涉及到个人信息的问题,比如商法里面讲的商业秘密里的客户资料,客户名单。在我们传统的理论里,客户名单是作为商业秘密,属于商家的财产,属于企业所谓无形的财产。我们之前毫无悬念地都会从商业秘密、从企业的财富上来考量这个问题,而不是从个人信息保护的角度来衡量这个问题。以前的时候就没有太多的从这个方面来考虑,当然这个问题是小的方面的问题。
今天我讲的个人信息的保护,主要还是民法从民法的角度切入。民法上对于个人信息的保护,就是要看给予什么权利,如何进行权利配置,然后怎么去救济,大体上的思路是这样的。所以,第一个问题,我想讲讲个人信息怎么界定,然后对个人信息的价值要分析、就是说,在个人信息上面存在有哪些利益。然后对个人信息进行分类。第二个问题,就讲讲个人信息从法律上保护的时候,一个确权的规则。第三,我想讲讲个人信息私法保护的现状以及评价分析。从比较法的角度上来谈,讲讲欧美,讲我们国家。第四个问题,我想讲讲个人信息的滥用问题。因为它与保护也是很有关系的,我刚才讲的打骚扰电话,发垃圾短信,可能都是滥用问题。第五个问题,想讲讲个人信息未来的私法保护,就是未来从私法保护的角度怎么操作。
一、 个人信息的界定及其价值分析与分类方法
(一) 个人信息的界定
个人信息,就是据此能够直接或者间接识别出某一特定自然人身份的信息或者信息的组合。现在的叫法比较混乱,比如叫个人资料、个人数据、信息资料都有。我一贯主张叫个人信息。在美国,个人信息大多就叫信息隐私,跟我们讲的还不太一样。“资料”或者“数据”大多是从英文的“data”翻译过来的,“data”是随着计算机技术出现的。因此,我们国家2012年全国人大常委会搞的电子数据保护条例,里面讲的电子个人信息,其实在技术上是不中立的,没法涵盖传统的记载于纸张上的这些信息。所以应该从技术中立角度上来讲,我觉得叫个人信息还是比较科学的。欧洲比较倾向于叫个人数据,美国倾向于叫信息隐私或者干脆叫隐私,我们国家现在叫法上比较混乱,我比较倾向于叫个人信息。
(二)个人信息的价值分析
个人信息的价值分析。我为什么要讲这个? 现在对于个人信息,法律保护作为一种工具,要对它给予什么样的保护,我觉得从分析的方法论上,应该看我们要保护的对象,它对我们存在什么样的利益或者什么样的价值。往往价值取向不同,它保护的方式、手段就不同。那么,关于个人信息的法律保护,应该根据个人信息上面所体现的利益不同,来给予它不同的方式或者不同的权利或者规则来保护。而个人信息的这种价值,作为一种价值,它往往与我们人类的认识有关系。信息的价值,包括但不限于个人信息。信息的价值发现是与信息技术密切相关的。所以,早期受信息技术的限制,对于信息包括个人信息的利用,范围就非常的窄。我刚才讲个人信息理解的时候,如果按照我刚才界定理解,应该是广义的。像民法通则里面的姓名、肖像,甚至还有声音,能够直接识别或者间接识别某一特定自然人身份的都是应该属于个人信息。但是民法通则上,我们甚至没有把比如说姓名、肖像、隐私那些东西放在个人信息里面来。但是美国法上讲的信息隐私或者隐私,它包括的范围相当于我们的个人信息,范围上、外延上就比较广。比如大家听到我的声音就很有特点,很有磁性。当然,我们的眼虹膜,指纹等很多信息都可以识别出自然人的。所以个人信息应当作广义的理解。早期从民法的角度上来讲,对它作价值分析的时候,个人信息,像姓名,肖像之类的,我们发现它可能主要是维护自然人的人格利益,具有这样的一种价值。所以在早期的时候,民法对它进行保护的时候,就通过姓名权,肖像权,甚至作为人格权的隐私权。来进行保护。另外,早期的时候,姓名、肖像这些东西,信息技术上面没有办法商业化利用。所以人们对于个人信息的价值,只看到了它能够维护人格利益的这样一种价值。受到这种认识的限制,那么从私法设计上来讲,民法只能通过保护姓名、肖像乃至名誉上面的人格的利用,把它纳入到人格权来保护。
当然随着信息技术的发展,个人信息越来越可以商业化利用。信息技术的发展,比如摄像、电影技术的发展,使得姓名,声音,肖像这类信息,可以与特定的商品和服务联系在一起,充当第二商标。那么这种情况下,姓名、声音、肖像它的商业价值越来越得到认可。但是,由于法律的保守性,一说到个人信息,大家依然说它是人格要素。其实,当我们说个人信息是人格要素的时候,其实在价值上是不中立的,因为在现代社会,个人信息上面既有人格利益,也有商业价值。但是我们受传统思维的限制,往往只认识到它上边的人格利益,没有认识到它的商业价值。基于样的认识,立法者在制订法律的时候,都是用人格权来保护个人信息。姓名权,肖像权,名誉权这些东西,都认为是人格权,尽管现在这些权利的商业化利用越来越普遍,越来越广泛。从学术上来讲,肖像的商业化运用,它在法律制度设计上仍然作为人格权,放在人格权利,肖像权之下。我们肖像权里边的肖像利用权,其实就是它的商业化利用。最早期没有利用,就是单纯的,很消极的,后来那个时候就把利用放在人格权里面、所以现在,个人信息的商业价值,就个人信息的价值本身,它是一个不断的受信息技术的发展,所以我们人的认识也是在不断的变化,不断的深化。由于早期仅仅认为它有人格利益,把它放在人格权保护,到现在商业价值越来越被广泛的认可。但是由于刚才讲了,由于法律制度本身保守性,由于理论本身的保守性,可能我们一些观念上没法转变,所以现在我们很多人就认为,比如说个人信息的商业化利用的时候,很多人就认为是人格权的商业化利用,人格要素的商业化利。这样讲对我们就觉得听了很别扭,我们一般认为人格或者人格权都是与金钱没有关系的,谈到这个人格权的商业化利用,就会面临着人格权到底跟财产权怎么区分。人格要素的商业化利用,好像是人格怎么用金钱去衡量,商业化利用是不是跟我们传统的或者一般的观念向左的。所以,我们对个人信息价值分析的时候,是不是也应当随着信息技术的发展,也应该不断的转变,由传统的仅仅针对个人信息上只存在人格利益,到现在我们是不是应该承认个人信息商业价值的独立性为什么要承认它的独立性,而不是像我们传统理论,像现在的法律制度把它的商业价值纳入到人格权的保护之下呢?
我们现在一讲个人信息商业价值保护的时候,都放在人格权之下来保护,放在人格权之下来保护有很多问题。一方面就是人格权和财产权到底怎么区分,会面临这个问题。所以我们现在对于个人信息的商业化利用,除了我刚才讲的,人格权的商业化利用,还有人谈第三类权利,认为从分类上来看,第三类权利就包括什么混合性权利,什么经济性人格权等等。所以,一方面就会出现大陆法系民法理论对民事权利的这种两大基本权利就是人格权和财产权基本分类,如果把个人信息的商业价值或者财产利益,把它纳入到人格权下就会导致有所谓的第三类权利的出现,模糊了人格权和财产权的这种区分,这是第一个问题。第二个问题,它没法解释自然人死亡以后,个人信息的商业化利用问题。比如说把肖像的商业价值放在人格权里保护的时候,它是人格权。人格权是与自然人共生共亡的,不能继承,不能转让。那自然人死亡以后,商业化利用依然存在,这种案例在世界各国都有。记得前几年,鲁迅的名字有人拿来注册,然后鲁迅的家人就起诉说侵犯了隐私,侵犯了鲁迅的姓名权。这个法理上怎么解释呢?所以我就觉得至少有这两个原因,使得把个人信息的商业价值或者财产利益纳入到人格权下保护的这种传统观念、传统理论没法得到有效的一些解释。当然还有其他的问题,比如说对于受害人的救济。所以对个人信息的这种价值分析,应当是一个随着信息技术的发展而转变的过程。在信息时代的今天,我提出来一个命题,就是一切个人信息都有潜在的商业价值。什么叫潜在的商业价值?潜在是一种可能性,是一种机会。它与某一个特定的主体在某一时某一刻的个人信息商业价值的大小无关。在这个意义上来讲,所有个人信息都有潜在的商业价值,不分是名人还是非名人。
传统的像姓名、声音、肖像这些可以充当第二商标的标识性的个人信息,现在在大陆法系里叫人格权的商业化利用也好,人格要素的利用也好,在美国法上统称为公开权。但是在互联网时代的时候,还有一些信息,它不能够充当第二商标的,不能够直接跟商品和服务联结在一起,但是它却有助于商品的营销和推广。比如说互联网上的行为记录、像手机号码、电子邮箱,它的价值是作用是不一样的。这一类个人信息,它不是可以充当第二商标的个人信息。这一类个人信息的商业价值主要是对于商家的营销,但是它的营销是主要是间接的推广上。比如发邮件,发短信,还有商家在通过对这些信息的加工、分析,知道对于他准确的市场定位,投放广告等等这些东西,都是有利的,具有商业价值。那么,是不是所有的个人信息就是人格要素,个人信息上边都有人格利益?我不这么认为。我认为并非所有的个人信息都有人格利益直接有关。这也是我提出来的一个命题,即并非所有的个人信息都有人格利益有关,而信息时代一切个人信息都有潜在的商业价值。这样来看,有一些个人信息,它上边既有人格利益,也有财产利益,比如说像我们传统的姓名、肖像、声音、隐私、名誉,它既有人格利益又有财产利益。而另一些个人信息,比如说通信号码、行为记录类似这些信息,它与人格利益可能没有关系。它上面只有商业价值。比如说手机号码,传统认为手机号码属于人格信息,应当属于人格权和隐私权来保护,这个没法解释。因为手机号码,甚至你可以放弃、转让,而且手机号码本身上面承载的有什么,比如说他打电话骚扰你,他其实侵犯是另外一种利益,我们很多人把这两个混在一起。所以按照这种对于个人信息的价值分析,对于个人信息的私法保护是一个基础性的东西,是非常重要的。
(三)个人信息的分类
下面我要谈谈个人信息的分类。我这个价值分析跟分类是很密切相关的。我的价值分析就是分类,前面提到的命题也是涉及到分类。
我们现在对个人信息有各种各样的分类方法,有人把它分为直接个人信息、间接个人信息,比如说像什么姓名、声音、肖像,这些具有标识性的有的人认为是直接个人信息,像一些行为记录或者通讯记录,则是间接个人信息。这种分类的问题在于,直接和间接具有相对性,所以它的法律价值意义不是太大,对于它的制度保护设计上来说意义不是太大。还有其他分类,比如说欧盟叫敏感的个人信息和非敏感的,有的翻译成叫琐碎个人信息。敏感不敏感,也是因人而异。所以这种分类我认为也不足以采信,还有什么线上,线下,什么电子的,非电子的,所有这些分类,我个人理解它可能有一定的意义,但是意义通常不是太大。因为分类从法律的价值上来讲,应该有利于对它的保护以及法律保护制度设计这样一种目的。按照这样一种目的,根据我前面对个人信息价值的认定,根据个人信息与人格利益有没有直接关系,我把个人信息分两类,一类是与人格利益有直接关系的个人信息,一类是没有直接关系的个人信息。这种分类的意义就在于,对于人格利益有直接关系的,可以给予它人格权的保护。像作为人格权利的姓名权、肖像权、隐私权、名誉权等等;对于与人格利益没有直接关系的,就没有必要把它放在人格权里保护,否则不仅不利于个人,而且它对社会、产业的发展、公共利益也不利。这种分类方法,我觉得以制度设计上来讲比较有利的,考虑到我前面对于个人信息的价值判断,即信息时代一切个人信息都有潜在的商业价值这样一种认识,对于个人信息的商业价值,应当把它独立于人格权之外,制度设计上给予它财产权的地位。从侵权法上来讲,即使不把它称为一种权利,也应把它作为独立的财产利益来给予保护。比如像姓名这些传统上可以充当第二商标的信息,可以用美国法上公开权保护的方法来保护,从交易成本上来讲也比较经济。另外一些通过财产权保护的成本很大的权利,我们可以不把它当做财产权来保护,而是把它作为独立的一种财产利益,用侵权法来给予事后救济。所以,我提出的个人信息的这种分类,个人觉得对制度设计比较有利。
二、 个人信息的确权规则
我刚才讲的其实也是确权规则,也就是对个人信息给予什么样的权利保护。我认为,我们应该要正确认识个人信息上面所承载的利益,给予它不同的权利保护。如果有人格利益,就给予它人格权保护,没有,就不应当把它纳入人格权。因为个人信息,它还关乎公众的知情权、表达自由,甚至与商业,产业也是有关系的。所以,以肖像权为例,按照我现在的理解,就要把肖像权看作一个总括性的权利,它是肖像人格权和肖像财产权统称。肖像人格权就是以肖像上面人格利益为客体权利,肖像财产权就以肖像上面的商业价值为客体的权利,而不是以肖像为客体。同样,姓名,传统认为姓名就是人格权,如果把它作为总括性的姓名权的话,它包括姓名人格权和姓名财产权,姓名人格权是以姓名上的人格利益为客体的权利,姓名财产权是以姓名上的商业价值为客体的权利。依此类推,这样就是可以很好解释自然人死亡商业价值的继承、转让,甚至自然人活着的时候也不用把它叫做商业化利用。对于这一类既有人格利益又有财产利益的个人信息,给予它双重权利保护,我觉得个人信息的价值分析,确权规则和制度设计应当遵循这样的思路。但是,现在我们并不区分个人信息上的利益。没有区分就带来很多问题,比如一般说人格权。人格权的客体是人格利益,按照逻辑的统一性,财产权利客体应该是财产利益。作为人格权下面概念的客体,比如说肖像人格权,姓名人格权,声音人格权,它的客体应当是肖像、姓名、声音上的人格利益,而不是肖像、姓名、声音本身。当然同样的道理,财产权,作为财产权下面概念的物权、债权、知识产权,它们的客体应当不是物,也不是债务人履行行为,也不是信息,而是物上的财产利益,比如债务人履行行为体现的财产利益、信息的商业价值。当然,很多物不区分物和物上的财产利益没有问题,但是对于特殊物,例如最高法院2001年司法解释对具有精神寄托的特殊物,如果说是物权的客体,为什么要给予它精神损害赔偿呢?精神损害赔偿按照大陆法系人格权和财权产区分,显然是因为人格利益受到侵害了需要补偿。同样,现在很多人认为债权的客体是债务人履行行为,那有的债务人履行行为上面就没有财产利益,它就不应当纳入到作为财产权的债权。所以作为财产权利的债权,它的客体是债务人履行行为所体现的财产利益,这个说法很严谨。信息财产的客体不是信息本身,是信息的商业价值。为什么信息要区分信息的商业价值和非商业价值呢?有形财产,它的价值既包括它的交易价值,也包括它的使用价值。但是信息财产,它的客体一定局限于信息的商业价值,我为什么要这么界定呢?因为一方面信息没法从物理力上控制,可以自己占有但是没有办法帮别人占有。另外,信息往往悠关别人的知情权,表达自由这些公共利益的东西。它不像实物,因为它受物理性质的限制,所以往往与公共利益没什么关系。所以,物上的财产价值,即使用价值,交换价值都是统一的。但是信息财产的客体是信息的商业价值,信息的商业价值,包括买卖,甚至商家许可他人来使用,这都是信息财产的客体。所以,这是一个基本的认识。那么寻着这样的认识,我们再来回顾看一看,目前各国关于个人信息司法保护的现状。
三、 个人信息私法保护的现状以及评价
在美国,个人信息的保护,分为普通法和成文法。普通法对个人信息的保护,主要是通过作为人格权的隐私权和作为财产权的公开权来保护。当然公开权也有制定法。公开权的客体,虽然大家有争议,但是主流观点其属于一种财产权。但是,公开权保护的范围,一般仅限于可以充当第二商标的。对于那些不能充当第二商标的个人信息的商业价值,是公开权所无法能够做到的。所以在美国,它也会面临这样的问题。但是,美国现在的司法实践中,这种情况下很多可以通过合同法进行保护。合同法怎么保护?美国各个大企业公司都通过它的个人信息合同,告知你个人信息使用的情况。如果故意违反合同规定,可能构成欺诈。所以,美国对个人信息的保护就是除了前面讲的那些用公开权和作为人格权的隐私权保护的,另外这一块就是通过合同法来保护。其实就是对于随着互联网产生的这些不可以充当第二商标的个人信息,通过合同来许可他人使用,违反合同有关承诺,通过构成违约来追究他的责任,以此来保护用户。但是目前美国对于买卖个人信息的这种行为,从它现有的法律上很难找到有效的法律适用。另外,美国现在对个人信息制定法的保护,从立法模式上来讲可能有很多。比如说针对不同的行业,例如电信、金融、银行、保险来制订。这种基本思路,主要是通过规制政府和大公司的行为来保护个人信息。所以,总体上来看,美国法对个人信息的保护分为网络时代之前和网络时代之后。网络时代之后主要是通过合同法,私法自治的方式来进行。对网络时代之前是用传统的侵犯隐私和公开权来进行保护,分别保护其中的人格利益和财产利益。
在欧盟,个人信息保护的总体情况是重公法保护,轻私法保护;重公权力介入,私人在维权这方面比较弱。欧盟典型的法律就是1995年的个人数据保护指令,后来2000年的时候又通过通信领域里的个人信息保护指令。最近, 1995年的个人数据保护指令也在修改。总体上,欧盟基本上它是把个人信息等同于基本人权,等同于隐私,然后各国设立隐私官行政主管机构,用公权力来进行介入,它是这么一种方式。我也问过欧盟很多专家,比如说在欧盟,有人买卖我的个人信息,我可以不可以告他,我可以不可以要求他财产损害赔偿。这个我问了好多的专家,没有一个说可以的。在欧盟,比如说买卖个人信息的,从私法上来讲私人很难获得有效的救济。如果有,那就是人格权的救济方式。所以在欧盟,个人信息现在保护的时候,就是现在我们讲的知情权、同意权、查询权,修改权,现在的删除权以及一些被遗忘的权利。从立法历史上来考察,欧盟的个人信息保护原则起源于上个世纪60年代末70年代初美国的“Fare information practice principle ”, 即FIP原则,翻译出来叫公平信息实践原则。基本上欧盟从1995年的个人信息保护指令到现在基本上就秉承了上个世纪60年代末70年代初美国的公平信息实践原则。那个时候在美国,只有银行,政府和保险机构才有大型计算机,收集、加工、存储我的个人信息我是知道的,所以我的知情权、同意权、修改权、删除权才可以实现,那个时代这些权利是可以的。后来基本上沿袭最原始的这个公民信息实现原则。欧盟现在基本上就是强调所谓的个人自决,个人自主控制自己的个人信息。欧盟在法系上来讲,可能是德法的影响应该是很大的。所以,基本上,欧盟强调的个人信息的保护,从民法上来讲,有一个信息自决权,按照理论就是信息自主,信息控制,它体现的是这样一种权利。所以,现在欧盟很多搞民法的专家的时候,写这个的时候他就想从信息自主,信息控制,信息自决这个角度。这个对我们国家很多学者有影响。我们国家现在主流观点就是受这个影响。所以在私法上来讲,就是把它作为人格权,隐私权来保护,不像美国,它还有财产权独立出来,用公开权来保护。因为隐私权在欧盟大家认识上分歧也是很大,尤其是网络时代出现这些新的问题之后。总之,欧盟的个人信息保护,大致就是之前的传统的隐私权加上现在的息自决、信息自主、信息自我控制,是这样一种做法。
我们国家现在对个人信息的保护,虽然主流的大家们也区分个人信息和隐私权,但是实际上,我们基本上秉承了欧盟的做法,因为我们国家很多学者从欧洲学习回来,然后把欧洲的很多东西介绍过来,所以对学术界的影响,甚至对立法的影响是非常深远的。具体来说,我们现在的基本做法就是把个人信息作为人格权来保护。换言之,所有个人信息都是与人格利益有关系,都要纳入人格权来保护。也有人提出“个人信息权”的概念,但是个人信息权跟隐私权到底什么关系,这个关系扯不清楚。对于个人信息的商业价值问题,我们基本上也是用欧洲的做法。所以现在很多人说的个人信息的商业化利用,或者翻译成形象权,也有人叫商品化权,都是把商业价值或者财产利益放在人格权下保护的。另外,工信部现在承担起个人信息保护的职责了,这个也基本上是欧洲的做法。
但是,单从立法的模式上来看,欧洲的做法我认为不足取,为什么?因为尽管个人信息承载有公众利益的成分,但本质上主要还是涉及到私人利益。所以,对个人信息在立法与指导思想上来看,我们应该用私法规制,私人维权,而不能够用公法,以公法规制为主,公权力介入为主这样一种欧洲的做法。我在欧洲讲我的观点的时候,欧洲人非常赞成我的说法。欧洲每一个国家,都没有我们国家的一个省大。欧盟公民的权利意识,法治观念,他们政府的公信力跟我们相比,客观的来说,不能同日而语。尽管在这样一些很小的国家,公民的权利观念,法治意识这么强,政府公信力那么高,在这种情况下,我和英国专家,德国专家,法国专家交流的时候,他们说欧盟指令根据各国个人数据立法的时候,违法的百分之六七十都发现不了,也没法追究,也就是说欧盟的个人数据保护指令在实际实施的效果是非常差的。这个说法也有欧盟2001年,2002年,2004年在欧盟议会里面关于个人数据保护指令实施的效果可以供查询。在欧洲那种国情下都没法操作,我想我们国家国情这么复杂,公民的权利观念,法治意识,政府的公信力均不足的情况下,把一个本来在那个制度下里边都没法操作的法律搬到我们国家来,结果是可想而知的。现在很多人写论文的时候,先写欧洲怎么做,再写美国怎么做,所以我们就应该怎么做。法律制度的移植要考虑到制度背后的土壤,就是国情、民情这些东西。所以,我觉得在这种情况下,考虑到网络时代的今天和我们国家的国情,在立法模式上还主要用私法规制,私人维权的模式。政府、公权力只有在那些重大的案件,就是危害性特别严重的情况下介入,不能泛泛的所有东西都像欧盟那样,所以这个我觉得这是我们要考虑的。
欧盟个人数据保护指令为什么实施效果那么差呢?主要是它的规定技术上已经过时了。在网络时代的今天,你只要上网,收集、存储、加工个人信息无时不在、无处不有。所谓你要想同意,想咨询,想查询,想修改几乎是不可能的。我们传统的个人信息电子化以后,现在你能告诉我,你的姓名、家庭住址、工作单位、手机号码、电子邮箱等等个人信息都被哪些主体存储过?存储在什么地方?所以,欧盟的保护注重人格权而没有考虑到什么是公众利益、商业利益。其实很多个人信息,就是尤其是与人格利益没有任何关系的个人信息,它不仅与公众的知情权,表达权有关系,它还与企业商业利益有关系。其实那些信息被商家精准地知道、掌握、利用的时候,对你没有什么损害,反而他掌握的越精准,对你越有好处。比如说互联网上的某些行为记录,现在我们很多人在认识的时候,对个人信息有偏见。在网络情况下的个人信息,它往往都是若干片断碎片放在一起,当把它放在一起整体的时候才称为个人信息。而对于商家来讲,他收集的某些行为偏好,无需知道你是谁,他只要知道某一台电脑的某个人物有何种偏好就可以,而那不是个人信息,顶多是与你有关的数据。比如说,他不需要知道你的名字,没有意义、没有价值,而是只需知道你上百度搜索什么,上亚马逊、上当当网买什么东西,下次有什么书推荐给你,这不是对你很有好处嘛,减少了你获取信息的成本,对他来讲也很好。相反,把这些信息用指令或者人格权来保护都没什么好处。所以很多人对于这个问题的认识往往是以偏盖全,认为都是我的个人信息。欧盟的做法我把它归结为极端个人主义的隐私观。因为无论它是叫信息自主,信息自决,还是信息个人控制,都没有考虑到个人信息上还承载有公共利益,公共的知情权,表达自由,以及商业利益、商业价值。所以,在个人信息保护上,立法不能够仅仅偏重于某一种,它要在个人利益、公共利益,甚至还有商业利益之间找到一个妥善的平衡点。
另外,对个人信息的保护还要区分不同性质的个人保护。我认为,欧盟与我们国家没有区分不同性质的个人信息。因为确实有些个人信息与人格利益是没有关系的。这些信息你可以知道,但是不可以滥用的,因此法律应该保护,但不要去禁止别人知道,而要重点规制滥用。尽管欧盟可能也有一些对于所谓敏感的保护的严重程度。但是,那只是严重程度。从民法制度设计来讲并没有区别。所以,应该区分不同性质的个人信息。对于与人格利益没有直接关系的个人信息,不要去说保护它的安全、保密,这没有意义。比如说你的姓名、包括甚至你的照片,手机号码这些东西,这些个人信息其实知道,甚至正常利用都没关系。法律禁止的是什么?是滥用,只要不滥用就可以。我们国家在个人信息的保护的时候,虽然学者提出了个人信息权跟隐私权的区别,但实际上往往又说不清楚。甚至我们很多人说,你公布我的电话号码就侵犯隐私了,所以就出现了泛隐私化的现象,把什么都叫隐私。这也与我们国家主流学者把欧美的观念、概念借过来,却没有考虑到我们国家特有的文化传统有关系。同时,隐私在不同学科、不同语境、不同文化地域下可能有不同的含义。我经常举这个例子:女性的三位、身高、体重有人说是个人隐私,披露它就是侵犯隐私。那么,为什么男性的三围、身高、体重就不是隐私呢?这是大家都可以目测到的。所以我认为,这里讲的三围、身高、体重如果叫隐私,它不一定是法律上讲的隐私,而可能是个心理学或者社会学上讲的隐私。但是,现在很多人讲隐私的时候,对于不同学科、不同语境、不同文化地域下的隐私概念不加区分。法律上的隐私应当是一个内涵确定外延明确的概念。我们现在讲的隐私,很大程度上是一个因人而异的概念。隐私是通过隐私权来保护的,因人而异就会导致保护的边界不清楚,对他人的行为自由造成不当的限制。其实,法律上的隐私跟我们国家传统的阴私还有某种相似之处的。尽管阴私在概念上很窄,主要是与性有关的内容,但它确实让大家有一个共同的认知。所以,现在法律上讲的隐私,应当是与公众利益没有直接关系,同时又悠关人的名誉或者尊严的信息。这些信息正常人都不愿意让他人知道,否则就会对我们的名誉、尊严造成很大的伤害,包括但不限于与有性有关的信息,比如感情经历、不为人知的重大生理疾病缺陷等等。这个在社会上有共同的认知。这也解释了我们国家民法通则为什么没有独立规定隐私,而把隐私放在名誉权的保护下。以我们国家的主流学者的批判常常是在学术研究上妄自菲薄,说我们国家没有把它放在隐私权上不重视,其实这与我们国家的本土文化是密切相关的。所以这也印证了我后来为什么讲隐私一定跟名誉、尊严有关系,大家才有共同的认可。
实际操作中,买卖个人信息大家认为侵犯了隐私,甚至发生个人信息滥用的时候,我们也认为是侵犯隐私,比如说发送垃圾短信。这种做法在人格权和财产权区分的基本理论制度下,会导致什么样的结果?就会不利于受害者维权,有鼓励纵容侵权之嫌。现实中遇到这种情况,常常是到公安报案,公安不理;到法院去告,法院又不睬你,就算睬你了之后最后会有什么结果?所以对受害者维权成本非常高,客观鼓励纵容侵权。因为人格权受到侵害之后,救济的方式只能是人格权特有的救济方式,不能财产损害赔偿。当然有学者认为根据《侵权责任法》第20条,买卖个人信息可以要求损害赔偿。我认为20条的损害赔偿就像我前面讲的,把人格利益放在财产权的保护之下,没有进行两种权利的区分,是不得已的做法。而这样的做法就像我刚才讲的,最后会导致人格权和财产权没法区分。另外还有是自然人死亡之后没法去解释。所以第20条问题很大,它产生的背景就是我们对于个人信息的价值判断不中立,但是又不得不去想解决现实问题,所以侵犯人格权也要可以财产损害赔偿,没法自圆其说。这就是现在我们国家立法上的做法。那么现在好像人大常委会2012年12月份通过了个人信息保护条例,但那个没有可操作性。现在好像工信部也搞了什么东西,但是基本的做法都是抄欧洲的。我们理论上,很多著名的主流大家,对个人信息的保护基本上都是赞同欧洲的做法,把它作为隐私权或者作为人格权来保护,强调个人的自主控制、自决。我觉得我们国家的这种现状的缺陷,客观的来讲就是鼓励侵权,没法操作,不利于受害者维权。尽管有《侵权责任法》第20条做后盾,但那是很烂的一条。
四、 个人信息的滥用
接下来我就想讲,对于与人格利益没有直接关系的个人信息,其实主要问题就是滥用。滥用有两大方面,第一方面就是发送垃圾信息、打骚扰电话。第二方面就是身份假冒、身份盗用,还有一些其他的滥用行为。侵犯个人信息主要是滥用导致的。为什么很多人害怕把电话号码公布在网上,因为电话号码正常作用或者电子邮件正常就是通信的,正常通信都是我们所期望的,它的主要价值就是正常利用。法律不去禁止公布,那么法律规制什么?防止滥用。只要防止了滥用,剩下的就是正常使用了。所以对于这类个人信息,它的滥用目前主要有两类,一类就是垃圾信息和骚扰电话,骚扰电话也可以把它叫垃圾信息。这一类,在大陆法系里面认为它是侵犯隐私的或者侵犯人格权的。侵犯隐私或者侵犯人格权最后可能的救济对受害人非常不利,客观上有鼓励纵容侵权的效果。第二就是身份盗用或者身份假冒。我举个很简单的例子,我自己有切身体会。保险公司里边卖保险的有我的身份证复印件,他知道我的银行卡号,然后他就未经我允许给我买了好多份保险,买了十几万的保险,把我的钱从银行里给我扣掉了,按道理说银行扣我的款应该有我的支付手续,我也没支付手续。所以,保险公司其实是假冒我的身份,假冒我同意的身份。这就是身份假冒或者身份盗用。其实一般讲的身份证信息大家很多人认为侵犯隐私,《身份证法》上规定的也主要是接触身份证信息的有关国家机构要保密,没考虑到身份证主要的价值和功能就是通过比对持证人本人和上面的信息,防止假冒,从而保障交易安全和公共安全。所以我们的《身份证法》应该叫身份证使用法。现在《身份证法》的整个精神就是把它当做隐私来保护的。没有考虑到身份证的作用是比对核查。如果在使用环节上要严格来比对核查,身份证假冒就没有了。所以,未来身份证法应该叫身份证使用法或者防止身份假冒法。只要对于银行金融、电信这些身份证的主要使用机构,课以严格的核对审查义务,只要出现问题我就可以过错推定原则,只要出现假冒就要承担责任,除非证明你尽到义务了。这样的话,未来绝大部分的假冒身份就可以防止。当然,未来身份证法在立法技术上也会有所进步,比如我们每个人自己的长相都会发生变化,未来我们的身份证就可以包含声纹、视网膜、指纹这些最难以假冒的个人身份特征,充当身份证比对核查的信息。在现阶段,如果这些机构有严格核查比对义务,他只要证明我已经尽了义务了,就可以免责。事实上,这些机构在使用过程中都会有纪录,而且在大数据时代到来的背景下,这个不成问题。
另外,垃圾信息我们现在认为是侵犯了人格权,当然有人认为是侵犯了隐私权,有人认为侵犯了安宁权,叫法上不一样。但是大多数人认为发送垃圾信息、打骚扰电话是侵犯人格权。而在美国法上,发送垃圾信息首先被认为是侵犯财产权,适用传统的侵权法非法侵入动产的规则。因为我的手机内存,我的电脑的内存,我的邮箱的空间都是一个信息存储空间。这个存储空间就相当于我们现实空间,现实空间里有空间权。存储信息,它对我来讲就是一种财产,相当于物权法里的空间权。那你给我发送我不需要的信息,就侵犯了我的财产权。普通法也有判例支持。我认为,美国法这种做法是值得我们借鉴的。大陆法上同时认为它也骚扰了生活的安宁,那么进行双重保护不就更周全吗?如果对我精神造成损害了,我既可以要求他精神损害赔偿,也可以要求他财产损害赔偿。所以,美国普通法上认为发送垃圾信息是侵犯财产权的做法,值得我们借鉴。而大陆法系仅仅认为这是侵犯人格权。无论是把它定义为安宁权还是隐私权,客观上都是有利于侵权人,不利于受害人。我们在立法的时候,我认为要同时借鉴欧美的做法,首先非法侵入的是财产权;同时我们也承认,如果对生活安宁造成损害了,也可以认为侵犯了安宁权也好,隐私权也好,总之是同时侵犯了人格权,那我们双重权利保护不就是更周全嘛。当然,排除妨碍的成本怎么计算,这个是立法技术的问题。我们可以从受害人维权或者遏制侵权行为的角度出发,一次侵权或者一次排除妨碍,规定一个固定赔偿额,比如两千,三千或者几千。如果受害人能够证明他排除方案的成本超过这个,那就按照实际排除妨碍的计算。没法证明或者难以证明,采用法律赔偿。这不挺好的吗?这样受害人的维权的成本就减小了,加害人侵权成本就增大,有利于受害者维权。当然,立法上有两种技术可以考虑,比如用诉讼法里的群体诉讼或团体诉讼,这是一种做法。还有一种做法就是刚才说的不用诉讼法,直接规定侵权行为排除妨碍的成本,比如一次是五千或者几千。我单独就可以诉讼。这是两种思路。
个人信息为什么会有滥用?与之相对应的就是买卖行为,买卖行为在我们国家,在大陆法系,学者们从民法角度上很难给予合理的解释。我当时跟王轶教授讨论的时候,买卖个人信息他说适用《侵权责任法》第20条。我们假设第20条在妥当性上可以讨论的话,就会面临这样一个问题:第20条没法解决人格权、财产权的区分。所以,我想未来的立法上就是要考虑到这些问题。还有规定的那些权利,就是欧盟规定的什么自主控制,自决,技术上没法操作。欧盟现在在讨论删除权或者被遗忘的权利,我也和欧盟修改委员会的专家讨论过,我就跟他们说,被遗忘、被删除在技术上都是可以恢复的。而且,对商家来讲,很多信息其实是匿名的,他也不需要保存刘德良或者谁的名字。另外,你要求他删除或者遗忘,技术上没法操作。商家有很多备份,即便某一个服务器上删除了还可以恢复,而且恢复成本非常低。所以,被遗忘的权利或者被删除的权利,我认为这是痴心妄想的权利,根本没法操作,就是画饼充饥,听起来好听。我们在对个人信息保护立法的时候,一定要考虑到技术背景,也就是技术必须可行,因为个人信息的利用和保护是与信息技术密切相关。把20世纪六七十年代的那些东西放到今天,技术上显然过时了。
第二,要区分不同性质的个人信息。对于那些与人格利益有直接关系的个人信息纳入到人格权来保护;如果同时还有商业价值,我们应当给它双重权利保护。对于与人格利益有直接关系的个人信息,我又把它进一步区分为两类,一类就是狭义上讲的或者法律上讲的隐私,这类信息与名誉有关,一经披露就会对主体的名誉造成消极的影响。对于狭义上讲的隐私,法律上要做到保密,禁止刺探、传播、滥用。对于与人格利益有直接关系但是同时又不是隐私的,法律要根据情形,人格权保护人格利益,财产权保护它的商业价值。另一个与人格利益没有直接关系的个人信息,法律只保护它的商业价值。但是这个商业价值归谁,有人说这个商业价值是归商家,因为个人没法把它开发使用。其实这是一种误解。财产权实现的方式有很多,不一定需要我个人直接把它商业化利用,我可以许可别人使用。别人买卖的时候如果不是一种积极的传递的话,我可以要求获得财产救济。因此,有人提到对个人没有价值,或者说有商业价值且商业价值属于商家,这个观点就面临几个问题。第一,为什么与人格利益有直接关系的那一类个人信息,属于个人。既然都是个人信息,为什么那一类属于个人,这一类属于商家?法律要坚持逻辑上的统一性,现在商家获得往往通过合同法。有人说商家合同不是获得个人信息的使用,是我对它的监管、监视,那就没法解释商家会告诉我收集哪些信息。所以商家获得的信息,它的源泉是从个人那获得许可,要不然没法解释。这个许可,我许可你去收集、使用。为什么有了二次使用,二次使用就超合同范围的使用。所以客户名单,从这个意义上来讲,就是商家他在原来的合同范围内的对用户可以来营销的那些信息的一种合同内的使用。所以并不是它的真正的原始权利仍然是属于个人。如果客户名单进行买卖,要经过个人的许可,未经个人的许可侵犯的就是个人对商业价值的支配权。所以商法上,我们传统大家对这个问题认识的时候,对客户名单没有从这方面来认识,都是认为是商业秘密就是商家的。商家自己使用可以,在原来收集范围内进行使用,没有问题。但是如果买卖的话,就侵犯了个人权利。所以我觉得要考虑到这些原则。
五、 个人信息未来的私法保护
如果从民法典的制订上来讲,有总则,人格权编,财产权编,甚至继承权编、侵权编。比如里面的总则我简单提一下,总则里面涉及到权利客体的认定。现在民法上对于权利客体的认定,物、行为、智力成果、甚至权利。大家知道,同一个概念都有同一个治理规定性。么民法通则里关于客体的规定,客体的下为概念物、行为、智力成果和权利,大家想想它们共同的治理规定性是什么?实际上,民事权利的分类应该根据利益来分类,所以民事权利的客体应当是利益。这个利益分为人格利益、财产利益两大类。个人信息上来讲,将来总则的时候就是按照这个利益来分类,不能把不同的概念放在一起。质权的客体是什么?如果说是权利,这个就很难说了。如果按照利益就很容易说了。担保物权的客体就是物的交换价值,就是财产利益。所以在人格权编,我觉得如果要提个人信息权,那个“权”仅仅是学理上的概念,实际操作起来没有意义。按照我前边的分类,如果还沿用传统的姓名、肖像、声音这些人格权,如果把姓名权仍然继续视为人格权的话,那么你要记住一定是姓名人格权、肖像人格权,声音人格权,一定是这样的。我们原来说名誉权是纯正的人格利益,但是好的名誉能够给你带来利益,它也有商业价值的。个人信誉好行能够给你的征信额度高。所以,按照我刚才的思路,与人格利益有直接关系的个人信息,我们把它纳入到人格权来保护。但是观念一定要转变过来,对于传统姓名权、声音权、肖像权这些只有人格权来保护的,我们未来把它分散在人格权编和财产权编,人格权只保护它的人格利益,肖像人格权只保护它的肖像利益,所以人格权一定是消极性的权利。如果人格权还有利用的权利,有人讲什么自觉权,自主控制权,甚至利用权。所以,为什么德国民法典里为什么没把人格权放在里面,我其实当时很赞同梁慧星教授讲的,人格权其实就是消极、防御性的。如果人格权还有积极利用的,那一定都有问题。因为一旦利用,它往往就是一种,有商业价值的。所以,个人信息上面的各个人格权都是消极性的。将来如果有财产编的话,当然技术上可以有单独法,类似于像美国的公开权单独立法也可以。就是在这里面,个人信息的商业价值另外来保护,类似财产法里面来保护。当然,个人信息保护的时候,我觉得有必要纯化我们的隐私权,这个隐私权就是与公共利益没有直接关系,同时又悠关人的尊严这一类的极少数个人信息,包括但不限于与性有关的,包括重大的疾病,感情经历。至于说犯罪记录是不是,这是各国隐私政策和隐私文化来决定的。所以,我觉得民法典未来要从这方面来进行。
另外就是继承法,比如说个人信息的商业价值能不能继承,我们传统继承法根本没考虑这个问题。个人信息的商业价值是个人财产当然可以继承,美国法的公开权里面有期限,我认为这个没道理。它为什么有期限,理由两个,一个说基于考虑到公众利益。第二个我考证它可能主要是,因为它权利实现的方式跟版权相似,版权有期限,所以它就有期限。我认为,商业价值是靠市场来决定的,人为设定期限是没有道理。因为我这个财产权本身就是商业价值,仅限于商业价值,对公共利益根本就没包括。所以对于个人信息的财产上的财产利益的保护设定期限,没有道理,它的财产价值就取决于市场。如果一百年以后,一千年以后,如果它还有市场,还有人商业化利用的话,那说明它还有商业价值。为什么要人为规定期限?所以我觉得,未来的继承法上这个也要考虑。另外侵权责任法上,买卖个人信息,如果不承认个人信息的商业价值、个人独立的财产权益。当然也有权利,也有利益。因为我之前提出的观点确实没有考虑到,有些个人信息的商业价值在实现上来看,不一定要赋予权利,就是我可以用责任规则,用侵权法来规制,我之前的时候因为没有考虑到很多。我现在修正一下,就是可以充当第二商标的可以赋予权利,财产权没有问题。对于那些不能充当第二商标的,因为受信息技术的限制,暂时用侵权法来规制,但是一定要承认它的独立性,不能把它放在人格权利下。这是未来侵权法是需要做到的。
另外,对个人信息的保护还要考虑到防止滥用,就是个人信息滥用防治法。滥用有垃圾信息,有身份盗用。垃圾信息在防治上,未来的时候还要考虑到运营商。因为现在发送垃圾信息,从技术上来讲,很多垃圾信息找不到发送者是谁,而且运营商往往是从垃圾信息发送获利的。所以未来的时候可以考虑到,发送垃圾信息一个是用合同法来进行规制,另外是可以用侵权法。能够证明运营商跟垃圾信息的发送者是有共谋的,要求运营商承担连带责任。另外,运营商要提供垃圾信息的发送者,如果不能提供,让他承担责任。要调动运营商在垃圾信息发送过程中的作用,我觉得这样的话垃圾信息就能在很大程度上得到遏制了。由于时间关系,我就漫谈到这儿。