民法典如何保护个人信息
发布日期:2021年-05月-08日
我国民法典诞生于数字经济蓬勃发展的时代背景之下,对个人信息保护、网络数据利用、电子合同效力、平台责任认定等互联网新型问题进行了积极回应。基于个人信息保护的重要性,结合民法典的规定,我们应当对个人信息保护的立法策略、目标和限度进行准确理解和把握。

民法典是对于个人信息保护的阶段性立法回应。鉴于个人信息在社会生产和生活中的作用日益突出,民法典人格权编采用专章的方式对个人信息与隐私权一并予以保护,并对个人信息的类型、收集、更改或删除做了初步规定。民法典涉及个人信息的规定可以归纳为以下特征:一是对个人信息的回应具有零散性的特点,选择性地回应了超前发展的网络社会实践。二是对个人信息的规定带有阶段性、宣誓性的特点,具体操作有待后续立法完善。三是对个人信息还未进行属性判断和定位。四是仅是对私法领域的个人信息问题进行了回应。

但上述特点并不意味着民法典具有滞后性或立法偏差,其定位本身应当是对个人信息问题的阶段性立法回应,针对这些问题需要一个完善过程。当下各国的立法实践,对于个人信息保护仍处于一个构建、探讨的阶段,并没有现成的模式,但民法典的颁布为我们系统化研究个人信息保护问题提供了一个重要契机,个人信息能否纳入传统的人格权和财产权保护范畴,个人信息保护的价值目标和科学路径又应当为何,值得我们深入思考。

个人信息民法保护的难题。个人信息是否属于一项独立的人格权益?现行民法典将个人信息作为人格权项下的一种新型人格利益予以保护,但仍然存在两个重要的理论障碍。一是个人信息与隐私难以区分。个人信息明确规定包括隐私信息,若将个人信息笼统称为独立的人格利益,如何处理与隐私的关系将会成为难题。二是个人信息的范围过于宽泛,难以概括认定为人格权益。虽然将“可识别性”作为个人信息的判定标准已成为共识,但这引发了一系列问题。例如,由于当代数字处理技术中“个人画像”的出现,通过间接个人信息的分析来识别个人身份的概率大大增加,那么是否这些间接信息都属于个人信息,从而属于人格利益呢?目前还很难形成共识。

个人信息是否可以通过传统的财产权加以保护?一方面,个人信息极容易被分享,分享后就会存在多个主体同时控制个人信息的情形。个人信息财产权无法解释现实生活中的信息交互性问题,即一项信息为多个主体共同分享的情形。比如,一次小型聚会的信息应为所有参与者分享,无法由某个参与者独享财产权,否则就会造成权利的直接冲突;又比如,在买方与电商平台商家的交易中,此交易信息因买方和卖方共同参与而应共同分享,无法归于任何一方。另一方面,个人信息又极易被利用,个人实际上缺乏必要手段对个人信息加以控制,不动产登记保护、动产占有保护等传统财产权保护路径对个人信息都难以适用。

个人信息保护的价值目标。个人信息保护的价值目标如何定位?关于这一点,我们首先需要明确个人信息保护问题为什么会产生。在计算机、互联网出现之前,个人信息虽然也一直存在,但其保护问题始终未能进入大众视野,这是因为当时个人信息泄露造成的社会危害性还远未达到由法律介入处理的程度。因此,将个人信息作为人格要素进行保护,只解决了个人信息保护中个人维度的利益表达。个人信息保护的真正目的应当是,防止互联网信息时代,大规模、高效率收集个人信息给个人和社会所带来的不确定性风险。

正是由于这些因素,“可识别性”成为法律实践中判定个人信息的基础,而“同意原则”则构成个人信息利用的前提。之所以各国都将“可识别性”作为个人信息的判断标准,原因在于一旦相关信息可以分析、识别出特定个体,那么个体可能会暴露在各种潜在的社会风险之中。各国之所以都将主体的“同意”作为获取和利用个人信息的前提基础,原因在于信息主体的同意表明其对于因个人信息被利用而可能增加的社会风险表示出接受与认可。

个人信息保护需要发挥好公法的作用。个人信息保护的路径不应当仅仅着眼于个人权利保护,还应从公法上的社会风险控制这一角度来理解。在数据经济日益深入发展的今天,对于个人信息的保护不应当阻碍信息、数据的正常流动已经形成了社会共识,而个人信息的民法保护路径与上述理念还存在相悖之处。从民法角度来讲,给予某个主体承担某种行为义务,应当和相应的法律后果所对应。但在个人信息保护领域,只要行为人未能履行特定义务,不论存在损害后果与否,都需承担民事责任。个人信息保护的责任认定方式,与民事责任承担强调损害结果与因果关系的逻辑证成存在矛盾。

有鉴于此,个人信息的控制与保护,有必要强调公法的作用。对于个人信息保护问题,网络安全法重在系统运行安全的保障,电子商务法则立足于消费者权益保护,“数据安全法”兼顾数据防护和个人信息脱敏化处理,“个人信息保护法”重点防止信息被滥用和泄露等。在实施好民法典相关要求的同时,系统化地运用公法路径对个人信息进行科学的控制,不过分依赖民法的权利保护模式,应当是个人信息保护未来不断探索的方向所在。