从国际视角看《民法典》中个人信息保护的公私法协作
《民法典》的颁布标志我国正式跻身世界民法典国家行列,进入隐私权和个人信息保护的“民法典时代”。《民法典》为公民个人信息保护提供了重要权利基础,也对国家治理和信息领域执法提出了更高要求。关于《民法典》对个人信息保护提供的请求权基础,以及《民法典》的私法救济路径与公法监管的衔接等问题,从国际视角考察各国具有代表性的个人信息保护路径与模式,值得关注。
一、各国个人信息保护的法律基础与权利属性
各国个人信息保护的法律基础、价值重心不同,权利属性也不相同,比较典型的是欧盟和美国的两种模式,前者以民法典的人格权及数据保护法的数据自决权为基础,后者以隐私权保护为基础,体现为各领域具体行为类型。中国个人信息保护的权利基础来自《民法典》“人格权编”的具体规定。(一)欧盟的民法典传统与数据保护现代化民法典代表成文法传统与法典化的权利体系,提供了稳定的民事请求权的法律基础。法国、意大利、德国、奥地利等国民法典的历史均逾百年,在这些民法学传统深厚的国家,个人信息保护权的权利定位来自民法典的解释与发展。德国联邦法院在1954年的“读者来信案”中,通过解释《德国民法典》(BGB)第823条第1款的“其他权利”,通过“一般人格权”的概念扩张,扩大了人格权益的保护范围。一般认为,《德国民法典》中的“一般人格权”是个人信息权的民事权利基础,与《德国基本法》(GG)人格尊严保护的宪法权利相一致。《欧盟基本权利宪章》(EU Charter of Fundamental Rights)第8条规定,“保护个人信息是欧盟公民的一项基本权利”。2018年实施的欧盟《一般数据保护条例》(GDPR),与之一致,赋予自然人作为“数据主体”享有若干权利。个人不能通过与机构或网站谈判而合约放弃该权利,一旦网站或机构违反GDPR侵犯个体的法定权利,就可能面临巨额罚款的法律责任。这意味着个人信息权的权利基础来自民法典与个人信息保护立法的叠加,具有浓厚的主观权利色彩,其本质是不可放弃的绝对权。(二)美国的隐私权保护与重点领域数据治理美国宪法素有“隐私保护”的传统,在“水门事件”后于1974年通过了《隐私法》(Privacy Act),对个人隐私进行全面保护,并对某些特定领域涉及个人信息隐私的事项进行专门立法,例如,1978年的《金融隐私法》(Right to Financial Privacy Act)、1980年的《家庭教育权及隐私法》(Family Educational Rights and Privacy Act)、1984年的《联邦有线通信政策法》(Cable Privacy Protection Act)、1986年的《电子通信隐私法》(Electronic Communications Privacy Act)、1994年的《驾驶员隐私保护法案》(Drivers' Privacy Protection Act)和1998年的《儿童上网隐私保护法》(Children's Online Privacy Protection Act)等法案,涉及各特定领域的隐私信息。同为英美法系国家的加拿大、澳大利亚和新西兰,分别于1985年、1988年和1993年制定了《隐私法》。由此可见,美国以隐私为基础对个人信息加以保护。针对隐私侵权的具体内容,美国法按行为类型实施救济。例如,《侵权法》(Torts Law)规定了包括诽谤(defamation)、骚扰(trespass)等具有主观故意的侵权行为,以及过失侵权(negligence)等私法救济规则。基于自由主义和实用主义立场,美国法隐私保护最初防范的对象并不是数据企业,而是公权力机关及其行使者——政府。1974年的《隐私法》是针对联邦行政机构对各类信息的收集、持有、使用和传输的行为而制定的,全面规定了权利主体的权利、政府机关的义务和民事救济措施,是第一个规范政府行政部门收集和传播私人信息的综合性联邦立法。(三)中国个人信息保护的权利基础中国《民法典》的“人格权编”明确保护隐私权与公民的个人信息,有关个人信息的六条规定,区分了隐私权、个人信息和个人生物信息。借鉴两大法系(大陆法系和英美法系)的先进立法经验,《民法典》回应了人格权保护在网络信息时代所面临的各种挑战。民法学的关注重点是权利基础,从个人信息保护角度,“人格权编”相关条款最重要的意义在于确立个人信息保护的请求权基础归属于人格权。《民法典》将个人信息保护法定权利扩张的同时,也增加了信息收集人、持有人法定义务规定,更是对个人信息保护责任、修复责任的完善。
二、各国公私法救济分工协作保护个人信息模式
各国在个人信息保护的实现模式上,存在以公法监管为主、行业自律为主与私法救济为主的区别。欧盟通过统一立法和监管机构,进一步强化了公法主导的行政责任,美国、澳大利亚则采取自律监管和私法救济为主导的模式。实际上,各国的公私法救济也存在不同程度的交叉与合作。(一)欧盟国家强调公法责任与统一行政执法从1995年的《个人数据保护指令》(Data Protection Directive)(95/46/EC)到2018年的《一般数据保护条例》(GDPR),欧盟不仅在欧洲经济区(EEA)层面构建了统一的数据保护体系,为个人数据保护提供统一的法定标准,而且依据GDPR第69条建立了“独立性、中立性欧盟机构”——欧洲数据保护委员会(EDPB)。各欧盟成员国依据GDPR成立国内监管机构,实施“一站式执法”(One Stop Shop Procedure)。在机构确立的同时,执法标准和依据也在不断细化,EDPB通过发布多项条例配套准则、指南和解释,成为欧盟数据规则的实际立法者和政策制定者。在2020年新冠肺炎疫情防控的特殊紧急事态下,EDPB还发布指南,适度收紧个人数据权利保护,优先保障公共卫生政策的实现。欧盟数据保护机构有权向网络个人信息处理人发出违法通知、陈述通知、强制调查令、警告令、禁止令、强制执行令等多种行政命令,GDPR对违规企业的罚款最高可达2000万欧元或全年全球营业额的4%,且以高者为准,具有足够的震慑力。统一市场、统一立法、统一标准的实现,捍卫了GDPR作为世界最严数据保护法的威力。(二)美国采取分散执法的行政监管模式在行政监管层面,美国则实行以互联网中立监管为原则、行业自律为主张的分散执法模式。在一般商业领域,美国联邦贸易委员会(FTC)承担了大部分消费者个人信息保护的职能,该委员会于2009年曾针对网络广告行为提出自律性治理原则。当网络广告行为要使用消费者的敏感数据时,要获取消费者肯定性的明示同意等一系列消费者隐私权利。美国联邦通讯委员会(FCC)通过2018年6月生效的《恢复互联网自由指令》(Restoring Internet Freedom Order),表态支持自由而开放的互联网,负责与征信和金融有关的个人信息保护监管。白宫科学与技术政策办公室(White House Office of Science and Technology Policy)则坚持隐私保护与大数据开发利用的平衡。美国法院的判例则常将个人信息属性视作是商业政策问题而非基本权利问题,采取成本收益分析方式进行价值权衡。(三)澳大利亚等采用法院主导私法救济路径除了行政监管或行业自律的典型模式,不管是在英美法系的澳大利亚还是大陆法系的德国、法国,由法院主导的私法救济渠道同样发挥重要作用,成为公法监管的重要补充。例如,2020年3月9日,澳大利亚隐私监管机构澳大利亚信息专员办公室(OAIC)正式对美国脸书(Facebook)公司向澳大利亚联邦法院提起诉讼,称其未经同意泄露了30多万澳大利亚用户的个人信息,并指控其将这些数据卖给了英国政治咨询公司剑桥分析(Cambridge Analytica)。根据《澳大利亚隐私法》(Australia Privacy Act),联邦法院可以对每一次严重或多次侵犯隐私的行为处以最高210万澳元的民事罚款。由于法院司法制度与程序具有双向性,在建立数据保护立法的民法典国家法国,行政处罚责任同样不具有最终性。例如,2016年,谷歌不服法国数据隐私监管机构国家信息与自由委员会(CNIL)对其“拒绝根据履行被遗忘权删除敏感个人信息”的10万欧元罚款,向法国国务委员会提起行政申诉,随后向欧洲最高法院起诉,历时四年获胜,天价行政罚款被法院撤销。(四)中国个人信息保护的私法救济与保护《民法典》建立了“全生命周期”的个人信息保护制度,不仅完成了权利基础的顶层设计,而且明确网络侵权责任和处理原则。《民法典》第1195至1197条规定了认定各方主体网络侵权责任的程序与动态过程,明确了侵权人、受害人以及网络服务提供者之间的权利义务及相应责任。《民法典》第1195条规定了网络侵权补救措施,平衡网络侵权当事主体利益关系,而且增加了民事权利救济的手段。《民法典》第1177条规定了自助行为,而第997条特设人格权请求权中的禁令制度,个人信息的人格权请求权保护可以提前介入,主动请求停止侵害,为其个人信息权益提供预防性的保护。这个规定,相比侵权损害赔偿请求权的保护方法,更为积极。从私权的角度保护个人信息,应当首先通过民事责任的方式进行保护,私法救济和自力救济具有优先性。
三、“民法典时代”个人信息保护公私法协作展望
《民法典》为个人信息保护确立了方向,但是,在网络场景和大数据实践中,由于技术壁垒的双方存在严重不对等情况,个人信息收集脱离了数据主体直接控制,直接的民事请求权难以行使,甚至根本无法察觉。侵犯公民个人信息案件呈现个体侵权度低、覆盖面广的特点,公民个人维权和起诉意愿并不高,一味多度“忍让”也纵容了大规模侵权行为的发生。例如,人脸识别的滥用和生物识别信息保护不足,都需要从客观上加强行政执法的公法作用。在强化个人信息保护成为世界趋势的背景下,行政监管发挥着越来越重要的作用。个人信息权利保护不仅具备防御权功能,而且生成了客观的法律价值秩序。个人信息保护仅依靠《民法典》是远远不够的,应体现出民法与行政法在救济手段方面的配合性。《民法典》的颁布是中国法治建设的里程碑事件,将与《网络安全法》等法律法规一起,共同构筑保护个人隐私的公私法合作治理机制。面对“民法典时代”的公私法协同治理需求,应充分发挥中国制度性优越,立足于客观保护与主观保护相结合,平衡国家管制和行业自治,协调民法、行政法及刑法手段,私法救济手段和人格权法的保护之间形成合力,更全面保护个人信息,形成个人信息权保护公私法协同治理的中国路径。(本文刊登于《中国信息安全》杂志2020年第10期)
