这种错配不但会导致立法中的各种反复与纠结,未来适用更会面临巨大的不确定性。
根据前项规定批准的外国人,享有在日本同类法人同样的私权。我国《民法通则》认定的民事主体是公民和法人,其中公民是基本民事主体,而我国《民法总则》和《草案》确立的民事主体则是自然人、法人和非法人组织,其中自然人取代原来的公民,成为基本民事主体。
[13]同上注,肖榕等主编书,第940页、第982页。这很有必要,但是包括我国在内的社会主义国家的经典法理、宪理和宪法从来不包括人生而平等,具有某些与生俱来的、不可转让、不可剥夺的权利等内容。特别要注意的是,笔者并不主张一定要限制外国人在中国的民事权利能力,今后事实上一般也不用限制,但民法典做出了法律可予限制的规定后,今后处理有关问题就获得了一些弹性空间。此外,同样重要的是,今天人们生活在各种各样的摄像、录影和人脸识别设备的镜头下,人格权受到的威胁前所未有。[17]也就是说,我国宪法上属于人民的一切权力,在经过宪法程序进入国家机构后,表现为或基本表现为各级各类国家机关的职权或权限。
我国《公司法》第 36 条规定:有限责任公司股东会由全体股东组成。严格来说,私法处理私民问题,或者说是换了马甲的公民。事实上,在现代法治实践中,这种基于具体场景和个案演化的规则制定方式并不少见,例如在行政规制中,很多前沿学术研究已经认识到,基于具体情境的正当性判断,反而比形式主义法治更可能符合法治的基本精神。
就权益的类型分类而言,这些权利有的具有人格性权益,有的具有财产性权益,有的具有个人的安全性权益,有的具有个人的便利性权益,有的具有实现公共政策的目的。[2]参见程啸:民法典编纂视野下的个人信息保护,《中国法学》2019年第4期,第26-43页。因为此类信息仍然可以重新识别和结合其他信息重新识别个人,因而属于个人信息的范畴。[24]美国州层面的立法更说明了这一点,例如2020年1月1日生效的《加州消费者隐私法》,顾名思义其规制对象主要是信息能力不平等的商家或企业,这一法律赋予个人的信息权利,也属于针对商主体的消费者权利。
就部门法性质而言,此类积极性权利并非针对平等主体的传统民法性权利,也非针对国家执法的传统宪法性权利。[39]针对信息收集者,消费者不仅有知情权和选择权,还具有对个人信息的访问权、纠正权、删除权、携带权、信息安全权等多种权利,这些权利无论从类型的多样性,还是从权利主张的强度上来说,都远远超过一般的消费者权利。
但从个人信息权利保护的初心或预期目的来说,当前很多个人信息权利保护制度对于公平信息实践的继承仅仅是形式性的,这些制度是否能够真正实现公平信息实践的初心,即实现的是信息收集者或处理者与个人之间的公平或合理的信息关系,仍然取决于相应制度是否能够在具体场景与信息关系中确立个人信息权利的合理边界。谢远扬:《民法典人格权编(草案)》中‘个人信息自决的规范建构及其反思,《现代法学》2019年第6期,第133-148页。由于个人信息权利总是针对信息能力不平等的关系性主体,因此个人信息权利的法益具有多元性,分析个人信息权利,也必须将其还原到具体场景的信息关系中,在信息关系中确定个人信息权利的边界。[76]因为欧盟的个人信息权利保护制度未必适合美国,而美国自身的个人信息权利保护又面临种种不足,美国必须在这历史的关键时刻制定更为合理的个人信息权利保护制度。
只有对于为此类个人或家庭活动提供处理个人数据手段的控制者或处理者,《一般数据保护条例》才能适用。[37]但另一方面,即使信息收集者与处理者通过用户同意获得个人信息,而且完全满足合同法的要件,也并不能保证信息收集者与处理者对于个人信息的支配权。相反,个人信息权利保护中的部门法之间相互交叉,使得每个部门法都区别于传统的部门法框架。[11]参见王利明:论个人信息权的法律保护——以个人信息权与隐私权的界分为中心,《现代法学》2013年第4期,第62-72页。
例如以国内学界越来越熟悉的海伦·尼森鲍姆(Helen Nissenbaum)的场景理论为例,场景理论的核心就是批判脱离场景与信息关系谈论个人信息权利保护。[13]其后,这一权利分别被英美法系与大陆法系所继承和发展。
[1]参见吕炳斌:个人信息权作为民事权利之证成:以知识产权为参照,《中国法学》2019年第4期,第44-65页。市场中消费者的用户需求、价格偏好、消费习惯、消费预期,都需要通过个人的相关信息汇总而获得,离开了对于此类个人信息的收集和分析,市场就不可能有效运转。
进入专题: 个人信息 适用前提 法益 。[26]这种主张具有明确的指向对象,明确了个人信息权利保护所针对的对象并非日常生活中的个体,而是具有专业性或商业性信息收集特征的主体,尤其是利用数据库等现代科技大规模收集个人信息的主体。从信息收集与处理的关系类型来说,执法隐私所形成的个人与国家关系其实更接近于传统的侵权隐私中的个人与侵入者,二者都是某个主体对个人的隐私空间的一次性或多次性侵入。而将挑战转化为机遇的前提是,我们对于个人信息权利保护的基本原理应当有清晰的认识。就信息种类而言,尼森鲍姆指出,敏感信息与非敏感信息是个人信息分类的一种,但在不同场景与不同的信息关系中,此类分类完全可能会转化。④个人必须有途径对可识别的个人信息进行纠正或修改。
高富平:论个人信息保护的目的——以个人信息保护法益区分为核心,《法商研究》2019年第1期,第93-104页。但这里却实际上有个前提性问题需要我们思考:个人信息权利保护是否可以针对所有活动中的所有主体?分析这一问题,可以发现个人信息权利中的知情权、选择权、访问权、纠正权、删除权、携带权等权利,都只能对具有专业性或商业性收集能力的主体进行主张,这些权利既不能对日常活动中的个人信息收集与处理进行主张,也不能针对国家执法中的个人信息收集与处理进行主张。
注释: *中国人民大学法学院副教授。[42] 其次,个人信息权利保护的法益还包含了针对信息控制者与处理者的信息自主控制权益,例如本文一再提到的知情权、选择权、访问权、纠正权、删除权、反对用户画像与自动化处理权和携带权等权利。
探讨个人信息的权利类型与法益基础,也必须从这个前提出发。[33]See Guido Calabresi A. Douglas Melamed,Property Rules, Liability Rules, and Inalienability: One View of the Cathedral,Harvard Law Review, Vol.85,No.6,1972,pp.1089—1128. [34]See Katz v. United States,389 U.S.347,360—61(1967). [35]参见林嘉、邓娟:论我国劳动法范式的转变,《政治与法律》2009年第7期,第2-12页。
对于纯粹个人活动或平等民事主体之间的个人信息收集与处理,国家主要采取以社会规范调整为主导的方式,只有在侵犯核心隐私而且公民提起诉讼时,国家法律才会介入。同时,这种类型化的规则治理更多从信息关系出发,通过信息关系中的合理信息实践或信息伦理来确定权利与规则。综上所述,个人信息权利保护的法益既包括防御性的隐私权益,也包括人格尊严、财产权益、安全权益以及增强个人便利或个人信息能力的信息控制权。[29]但二者的差异并不妨碍其共同之处。
相比起传统的个人信息权利,信息信托权利常常需要结合场景与信息关系来确定权利的边界。2015年,《刑法修正案(九)》规定了侵犯公民信息罪,将违反国家有关规定,向他人出售或者提供公民个人信息的所有主体都纳入刑法调整范围。
[19]Directive (EU)2016/680 of the European Parliament and of the Council. [20]20 U.S.C.§1232g (2006). [21]5 U.S.C.§552a (2006). [22]Pub. L. No.104-191. [23]15 U.S.C.§§6501—6506. [24]See Daniel J. Solove, Nothing to Hide: The False Tradeoff between Privacy and Security,New Haven: Yale University Press,2011,pp.93—154. [25]按照加州《民法典》第1798.140节(c)的规定,《加州消费者隐私法》所指的企业是:满足如下条件的个人独资企业、合伙企业、有限责任公司、公司、协会或其他法律实体:为其股东或收集消费者个人信息的其他所有者的利益或财务利益而组织或经营的,或代表其收集信息,并单独或与他人共同确定处理消费者个人信息的目的和方法的,在加利福尼亚州开展业务的,并满足以下一个或多个基本条件的公司:(A)根据第1798.185节第(a)小节第(5)段调整后,年总收入超过2500万美元。[65]例如医生与病人之间的信息传输原则,招聘场景中的雇主收集求职者信息的传输原则,就非常不同于商业场景中的网站收集消费者信息的信息传输原则。
即使法律对个人身份的验证程序作出严格规定,此类风险也可能因为公民信息访问权、携带权的行使而加大。[61]在其研究中,尼森鲍姆列举了场景(context)、行为者(actors)、信息种类(information type)、传输原则(transmission priciple)等要素,以此说明个人信息权利保护在不同场景与信息关系中的不同规则。
个人信息权利保护的适用前提是存在持续性的信息不平等关系,因此知情权、选择权、访问权、纠正权、删除权等权利不能针对信息能力平等的主体,也不能针对国家执法过程中产生的非持续性信息收集与处理行为。离开了用户画像等个性化推荐的能力,不仅个人可能无法在市场中获取有效信息和个性化服务,而且小微企业也可能会失去市场机会。在社会法的关系中,劳动者与用人单位之间,消费者与商家之间都形成了一种持续性的不平等法律关系。每个人都有权访问收集到的有关他或她的数据,并有权纠正这些资料。
[9]就部门法保护手段而言,有的学者重点从公法的角度对个人信息保护进行阐述,[10]有的学者重点从私法角度对个人信息保护进行分析。首先应当区分侵权隐私、执法隐私与信息隐私,对于现行以公平信息实践为基础的个人信息权利保护,应当明确这种保护只能针对具有持续性信息不平等关系的信息收集者与处理者,即只能应用在信息隐私的情形中。
从市场经济的基本原理来看,市场之所以能够有效运转,就在于市场中的信息流通与共享使得市场中的主体能够及时有效地进行自我调节。在这个意义上,当我们分析与探讨个人信息的相关理论时,必须认识到确立个人信息被保护的权利,其目的在于通过这类权利的确立来实现个人的相关权益、他人的相关权益、企业的相关权益、市场的相关权益以及公共利益。
个人信息权利保护中的关系亦是如此。另一方面,它借鉴了合作治理中的意思自治与国家监管。
