观点摘要:
“人格权和财产权的区分是大陆法系民法学和民法最基本的理论,它与技术背景无关,不会因为时代变迁和技术变革而变化,我们在任何时候都应该坚守。”
“信息财产权的客体仅限于信息的商业价值,有形财产权的客体不限于商业价值,也包括非商业价值。”
“直接把哲学上的客体概念移植到法学和法律上是有问题的,因为它们的研究对象是不一样的。”
“我们可以在理论上把个人信息上存在的各种具体的人格权和具体的财产权统称为个人信息权,但它不应该是一种独立的权利形态,更不能是一种具体人格权,相反,它只能是以各种个人信息为权利对象的人格权和财产权的理论统称。”
“事实上,并非所有的个人信息都与人格利益有直接关系,相应地,并非所有的个人信息都应该被纳入到人格权的保护之中。”
“隐私在心理学、社会学、经济学、法学、日常生活等不同学科、不同语境有不同的内涵,同时,它还有强烈的地域文化色彩。因此,不能将这些不同情况下的隐私概念混为一谈。”
“法律上的隐私,即隐私权保护的对象,应该不同于社会学、心理学等其他学科上的隐私,它应该是一个内涵确定、外延清晰的概念。”
从目前的讨论看来,与互联网有关的人格权问题主要包括信息自主权、隐私权、个人信息权、被遗忘权等。
(一)信息自主权——网络时代新型的具体人格权
立法和理论需要承认信息自主权是网络时代新型的具体人格权。众所周知,垃圾信息泛滥是网络时代和信息时代出现的一个很严重的社会问题。如何对垃圾信息的发送行为予以规范,如何为受害人提供法律救济是包括民法典在内的未来立法不得不正视的现实问题。然而,在民法视野里,垃圾信息发送问题应该如何规范,很少有学者深入研究。之所以如此,可能是源于墨守成规和想当然地认为垃圾信息发送行为是侵害了我们的隐私权或所谓安宁权的观点所致。
然而问题真的如此吗?与我们自主接受信息相比,这种强行向我们发送垃圾信息的行为不是在强迫我们接受信息吗?它侵犯的不仅仅是我们自主获取信息的权利,还首先会侵入到我们的手机内存、邮箱空间等信息存储空间,占用了我们信息存储空间,影响了我们对信息存储空间的使用。由此可知,发送垃圾信息的行为还侵犯了我们对这些信息存储空间的类似于物权的财产权益。因此,发送垃圾信息问题跟我们传统的侵犯隐私权是不一样的:它首先侵害了我们对信息存储空间所享有的财产权益,同时还侵害了我们自主选择获取信息的人格权——信息自主权。
因此,我们未来的民法典应该在人格权部分承认信息自主权作为一种新型具体的人格权形态,在物权法领域,承认信息存储空间的独立物权法地位。在侵权责任法里把垃圾信息发送行为视为一种独立的侵权行为,受害人既可以请求人格侵权方面的救济措施,也可以要求财产损害方面的救济措施,如恢复原状。当然,垃圾信息的发送往往还涉及到服务商,因此,垃圾信息问题的解决离不开服务商的参与。在侵权责任方面,可能还需要规范服务商的义务和责任。
(二)个人信息权——作为独立的具体人格权?
目前,主流民法学者主张借鉴欧盟个人数据指令中的个人信息权做法,在民法典人格权编中确立个人信息权作为一种独立、具体的人格权。该观点认为,个人信息权是主体对自己个人信息的控制权,这种控制就体现在对他人非法收集、处理和利用的禁止和排除。个人信息权人有权控制个人信息,并排斥他人的非法干涉,这种权利构造与物权以及生命权、姓名权等人格权一样,均属于民法中的绝对权。
该观点又认为,个人信息权的客体具有丰富性,不宜为其他权利所概括,这也决定了应该将其作为独立的具体人格权。按照其理解,它与姓名权、肖像权、隐私权有重合之处,其侧重点不同。但是,从其有关论述中似乎又可以得出其所谓的个人信息权涵盖其所谓的隐私权之结论。综合来看,我觉得其所谓的个人信息权如果存在的话,它一定只能是以个人信息为权利对象的一类权利的泛称或统称,即它是姓名人格权、肖像人格权、隐私人格权等个人信息人格权和姓名财产权、肖像财产权、隐私财产权等个人信息财产权的合称。我们可以在理论上把个人信息上存在的各种具体的人格权和具体的财产权统称为个人信息权,但它不应该是一种独立的权利形态,更不能是一种具体人格权,相反,它只能是以各种个人信息为权利对象的人格权和财产权的理论统称。
个人信息权的主流观点一方面声称将肖像等个人信息权确认为人格权,没有忽视对其财产价值的保护;另一方面,又声称将其确认为具体人格权,有利于对其采用具体人格权的保护方法。如果将个人信息权单纯作为一项财产权,当其受到侵害后,在损害赔偿的具体计算方式上必然会根据个人身份的差别而有所区别。另外,在侵害众多人的个人信息时,仅仅要求财产价值的赔偿,其数额往往很小,不利于对加害人进行有效的惩治。将其确认为具体的人格权就可以依据《侵权责任法》第22条的规定,通过精神损害赔偿的方式对受害人进行有效的保护。
我认为目前关于个人信息权的主流观点不仅破坏了大陆法系人格权和财产权区分理论,而且也不符合社会生活的实际,更是缺乏对技术的了解。既然个人信息具有财产性和人格性的双重属性,那就应该同时给予其人格权和财产权的双重权利保护,为何仅仅给予其人格权的保护,而把财产利益置于人格权的保护之中?果真如此的话,难道不是颠覆了大陆法系最应该坚持的人格权和财产权区分理论吗?在我看来,主流民法学者将个人信息视为人格要素,认为所有的个人信息都包含人格利益、都应该只能采取人格权这种单一权利保护方式的认识既是一种僵化的、背离了社会生活现实的观点,又颠覆了大陆法系人格权和财产权区分理论,更无法为个人信息商业化利用和个人信息商业价值的继承问题提供合理的理论依据。
事实上,并非所有的个人信息都与人格利益有直接关系,相应地,并非所有的个人信息都应该被纳入到人格权的保护之中。即使是像姓名、肖像、隐私等与人格利益有直接关系的个人信息,它们也同时具有独立的财产价值。这种财产价值的大小虽然也因人而异,但是其财产价值完全可以独立于人格权,完全可以用财产权予以保护,法律和理论承认用财产权保护这类个人信息上的商业价值或财产利益,并不否认同时用人格权来保护其上的人格利益。
将用人格权保护个人信息与用财产权保护个人信息对立起来的观点是守旧过时的观点,既颠覆了人格权和财产权区分理论,又无法为个人信息的商业化利用和个人信息商业价值的基础带来合理的理论依据。这种认为凡是个人信息都与人格利益有直接关系,因此都应该被纳入到人格权的保护之中的观点既是一种僵化的认识,又是对社会生活的背离。
另外像家庭住址、工作单位、电话号码、身份证号码等个人信息基于社会交往活动而产生的个人信息,它们既与人格利益没有直接关系,公开它不会对人们的名誉或尊严造成消极影响。即使有消极影响的话,一定是后续的滥用行为。因此,法律对此类个人信息规范的重点不是保密、防止公开和传播,而是后续的滥用行为。只要没有了滥用问题,剩下的都是合理使用,而这恰恰是此类信息的价值所在。果真如此的话,大家都不会介意信息公开和被人知悉。
目前对个人信息的滥用主要体现在两个方面:一是利用电话号码拨打骚扰、诈骗电话和发送垃圾诈骗短信、利用电子邮箱发送垃圾邮件等;二是假冒和滥用他人身份证进行欺诈、敲诈、盗窃等侵权和犯罪行为。但是,从既有的理论研究和法律规范来看,所有的关注点都是强调对此类信息的安全保密、防止所谓的“泄露”、公开,把它当作隐私对待。
比如,身份证法把身份证信息当作隐私,强调对其保密而忽略了对其使用过程中的比对核查环节。而业务机构也往往只是留存其客户的身份证复印件,而不是保存工作人员认真比对持证人身份信息的视频资料。这种错误的观念才是导致目前此类个人信息被滥用问题很严重的根源所在。
因此,未来的立法和理论研究应该把重点放在垃圾信息和骚扰电话防治、身份信息滥用防治法等方面。在身份信息滥用防治法方面,加强业务办理机构在办理电信、银行、保险等各种业务过程中的比对核查义务,一旦出现了身份盗用问题,对业务办理机构适用过错推定原则:除非其通过举证证明其已经履行了合适的比对核查义务,否则就应该对此承担法律责任。这样,就可以大大避免很多身份盗用和假冒问题。
个人信息的商业价值而不是人格价值作为一种靠市场供求关系和个人知名度来确定的财产利益,它具有潜在性、个人差异性特征,因此不同个人信息的商业价值是有所区别的。信息财产区别于有形财产的重要特征之一就是其价值评估、损害评估比较困难,但这不仅仅是个人信息商业价值独有的问题,传统知识产权在内的所有信息财产都会面临此类问题。
立法对此问题的解决方法一般都是采取实际损害赔偿加法定赔偿数额的立法技术方式:如果受害人能够证明实际损失,就按照实际损失予以赔偿;如果无法证明实际损失的,就适用法定赔偿数额。不过,法定赔偿数额的确定是需要考虑到受害人的维权成本和侵权人的侵权成本这两个要素的。从人格权和财产权区分理论出发,除了对生命权、健康权等物质性人格权的侵害外,对人格权的保护一般只能采取非财产性的救济措施。
(三)个人信息权:互联网时代企业对用户个人“信息”的搜集问题
我觉得现在我们很多人都对网络上的个人信息有一些误解。其实,我们在互联网上的个人信息一般都是属于间接个人信息,它是由N个片段共同组成的,只有将这N个碎片合在一起才能识别出我们特定的个人身份,因此,即使是N-1个片段之和也不能算是我们的个人信息。因此,单纯的行为记录或个人偏好等,它们都只能是我们碎片化信息的组成部分之一,不是我们的个人信息,最多也只能算是与我们有关的数据。大家承认这一点吗?
在互联网环境下,对企业来讲,它无须知道你叫张三,还是叫李四,它只需要它的某个用户有某种爱好、偏好有OK了,知道你具体是谁,对它来讲有害无益,为什么呢?因为它之所以要收集与你有关的数据,其目的在于为你提供个性化的商品或服务,或者是向你有针对性地推销商品或服务,而要做到这一点,它只需要准确知道你的偏好或爱好即可,至于你是谁、姓甚名谁,无关紧要。
如果一定要知道你是谁,它必须要收集更多你的数据,进行深加工、分析、并进行匹配后才能做到,而这无疑会增加它的成本。一般来说。它是没有那个动机的知道你是谁的。因此,可以说,那些认为互联网企业未经许可收集我们的行为记录、个人爱好的行为就是收集我们个人信息、侵犯我们个人隐私的观点如果不是自作多情,那就是不了解互联网产业的现实。这种观念和做法把本来不是问题的“问题”炒作成了“问题”了!
其实,我们不应该害怕互联网企业收集数据,而是应该更加关心互联网企业的数据加工、分析、匹配的过程和结果是否匿名化,只是要求其最终不识别出某个特定的自然人,并不滥用数据加工、分析的结果(即加工后可识别出某一特定自然人,并进行诸如就业歧视、打击报复等之类的滥用)。因此,在企业眼里,它们收集出来的不是你的信息,最多是与“你”有关的某些数据。
有鉴于此,在大数据时代,考虑到大数据产业的健康发展,对个人信息的加工只要遵循匿名化、非识别性原则,禁止对加工、分析后数据的滥用行为,那么,我们就没有理由去以禁止互联网企业对用户数据的合理收集、加工和利用。并不是对(与个人有关的)数据收集行为限制得越严格越好。
目前,国内有研究机构以欧盟个人数据立法为楷模搞出一套所谓的“互联网企业个人信息保护测评标准”,并用该标准来给国内外的互联网公司打分,认为中国的互联网企业在保护个人信息方面的做法不如国外,尤其是不如欧美,应该向欧美看齐。我觉得这不仅是典型的妄自菲薄、崇洋媚外的观念,也是对互联网企业的现状缺乏应有的了解,更是把本来不是问题的事实炒作成问题!
实际上,互联网企业没有动机知道你是谁,反过来说,它对其用户的偏好知道得越精准,对双方来讲都是越有好处。对于我们来讲,它越准确了解“我们”的偏好,“我们”就越能够避免很多垃圾信息的滋扰!对互联网领域个人数据的规制涉及到个人利益、产业利益、社会利益乃至国家利益。因此,立法规制应该遵循利益平衡的原则,避免走向极端。而主张那种个人信息权的观点显然是对互联网产业的现实缺乏应有的了解,是忽略产业利益、社会利益乃至国家利益的极端个人主义价值观的体现。
(四)被遗忘权——要不要学习外国?
欧盟立法增加了所谓的被遗忘权,于是我们国家马上就有学者提出在我国也应该确立被遗忘权。被遗忘权是什么?简单的说是指个人已存在于网络上、但现阶段不利于自己的个人信息不再被他人看到的权利。其实,要不要规定这个问题在欧盟内部争论非常激烈,最后以微弱的简单多数票通过。其在欧盟的通过实际上是以德国为首的欧盟极端自由主义隐私观的胜利。
我反对这种确立被遗忘权观点,主要有四个理由:
第一就是从技术上来讲它的实现成本巨大。如果仅仅是要求搜索引擎把某种信息在其搜索结果里删除掉的话,在技术上并不困难。但问题是搜索引擎只是从海量数据中按照相关性把某些已经存在的信息的网址放在服务器上,等用户搜索时再根据相关性把网址呈现出来,因此,即使从搜索引擎删除掉相关性及网址,并不意味着这些信息就自然会从别的网站或网页上也随之删除,别人同样可以在其他网站看到这些信息。如果要求所有刊登这些信息的其他网站也把信息删除的话,那么实际操作会很困难,因为可能有成千上万的网站或网页上都存在有这些信息。所以说这种做法的技术上成本巨大。
第二,这种做法其实是不了解数字技术。因为单从技术上讲,即使你把信息删除掉了,别人仍然可以通过技术手段把它恢复出来。显然,基于极端个人主义的被遗忘权的提倡者和主张者缺乏对数字技术的基本了解。
第三,就是这种观点低估了网民的认知能力。为什么这么说呢?大家知道,搜索结果在相关性一定的前提下,一般都是按照时间顺序呈现给我们的。时间比较早的信息一般都会出现在后面,从而被更新的信息所覆盖。从常识和习惯来看,人们大多是只看排名靠前的新信息。由此那些很早之前形成的网站或网页上的旧信息一般被我们看到的机会相对比较少,所以,我们不必担心这些信息会对我们造成什么不好影响。同时,呈现在我们面前的每个网页或网站,它上面都会有时间标志。一般人都会知道这些信息不是现在最新的信息,因此一个正常理性的人不会用一个比较陈旧的信息对现在的我们做出不利判断。所以说,倡导被遗忘权者所持的那些理由实际上是对我们一般网民认知能力的低估。
第四,按照赞成被遗忘权的观点,被遗忘权的义务主体是搜索引擎服务提供者,甚至可能还包括原来登载个人信息的网站,而不是后续转载的普通网民或个人、单位。但问题是,即使原来登载其个人信息的所有网站和搜索引擎服务提供者都已经删除了其个人信息,也会出现之前曾经复制并保存其个人信息的个人、单位在被要求删除后再度将信息公布在网站上,果真如此的话,那么这些再度公布个人信息的个人或单位的行为该如何认定?显然这种再度公布行为既不属于侵犯隐私,又不属于侵犯所谓的被遗忘权。
总之,无论是我国学者提出的个人信息权,还是欧盟指令的信息权利,抑或是德国学者的个人信息自决权或被遗忘权,其本质都是对自己个人信息的控制权。这种极端个人自由主义价值观不仅在技术上过时、实际上无法操作和实现,而且一旦付诸于实际的话,一定会严重阻碍互联网产业的发展。
从历史演变的角度来看,这种立法和理论源于1969年、1970年美国公平信息原则。我们知道,在那个时候的美国,只有银行、电信、保险机构、政府机构有大型计算机,也只有这些机构有条件收集、加工、存储个人数据,所以那个时候我们知道谁搜集了我们的信息、我们的个人信息存储在什么地方,所以我们的知情、同意、进入、查询、修改、删除等信息权利在技术上是可以实现的。但是网络时代的今天,收集、存储、加工个人信息的行为无处不在、无时不有,且信息权利在技术上难以得到保证。显然,源于上个世纪70年代初美国的公平信息原则的信息权利已经完全无法适应网络时代的今天了,权利设立和行使的技术背景已经完全不存在了。
如果仍然一味地照搬和坚持欧盟所谓的个人信息权利,并将它作为一种具体人格权纳入到民法典人格权编中的做法,其效果只能是画饼充饥,浪费立法资源。个人信息权,究其本质来说,是极端个人主义的价值观的体现,完全无视互联网技术的现实和互联网产业的利益。关于这一点,我们可以从整个欧洲没有一个著名的互联网企业的事实上得到佐证。所以我既不赞成民法理论和民法典编篡中规定所谓个人信息权,更不赞成规定所谓的被遗忘权。
(五)隐私权——传说中的舶来品
我觉得我们国家是一个隐私泛化的国家,从主流理论来看,个人领域、个人空间、个人信息都被视为个人隐私。从实际上来看,在很多人眼里,隐私又基本上等同于个人信息。在我看来,隐私作为一个概念,于我国来说是一个舶来品,它是我国学者用美国人隐私之瓶装欧洲人隐私之酒贩卖到中国的结果,这是一种典型的妄自菲薄、不自信的做法。欧洲人和美国人他们本身对隐私认识的其实都是有问题的,因为他们没有明确隐私在不同学科、不同地域、不同文化背景下具有不同的内涵,而是不加区分地讨论隐私。
我们在讨论身高、体重是不是隐私,此处的隐私绝对不是法律上讲的隐私,它可能是心理学上讲的隐私。当有人说我的收入、工作等是我的隐私时,那可能是在社会学意义上的隐私。其实,隐私在政治学、经济学、法学、日常生活中应该具有不同的内涵。同时,隐私还应该具有强烈的文化地域性,即便是在同一个语境下,中国人讲的隐私跟外国人讲的隐私应该在范围上有所区别。欧美学者和以及立法上并没有区分不同学科、不同语境下的隐私,而是把它们混在一起了,在我看来这种不加区分的隐私观是错误的,不值得我们采信。
基于上述认识,正确的隐私观应该是:隐私在不同学科、不同语境、不同文化地域背景下具有不同的内涵和外延。法律上的隐私,即隐私权保护的对象,应该不同于社会学、心理学等其他学科上的隐私,它应该是一个内涵确定、外延清晰的概念。否则,社会公众有可能随时随地就会被诉侵权,其行为自由就会受到不当的限制。然而,在我国法学界,主流观点认为隐私是个人不愿意被人知悉的个人领域、个人空间、私生活秘密或个人信息;个人领域、个人空间、私生活秘密或个人信息是隐私的三种形态。
在我看来,这种观点没有抽象出隐私的共同内涵——个人信息。按照下定义应该遵循的同一性原则,个人领域、个人空间、私生活秘密或个人信息这三个概念应该可以抽象出共同的公因子。显然,他们之间的公因子就是个人信息。换言之,隐私的本质是个人信息。但是,隐私并不能与个人信息完全等同,它只是个人信息中的一部分。据此,我认为,法律上的隐私是与公共利益、社会利益没有直接关系,同时又直接关系到人的名誉或尊严的极少数类型的个人信息。它包括但又不限于与性有关的信息,如裸照、性生活细节、感情经历,以及不为人知的重大心理疾病缺陷等。这些个人信息对于一个正常的人来说,他们都不愿意被人知晓。这样的隐私,就不是一个仁者见仁、智者见智的概念,相信一般的社会公众都会有共同的认知。
法律上的隐私也是一个具有强烈文化地域特征的概念,不能简单地把不同文化地域下的隐私直接照搬适用到另外一个国家或地区。我国从1956年人民法院组织法到1986年的民法通则都没有规定隐私和隐私权,后来,最高法院通过司法解释把隐私纳入到名誉权下保护。对此,在主流中国学者看来,这是我们不尊重人权、立法落后的标志。我觉得这种观念是一种典型的妄自菲薄的心态。
实际上,我们国家从1956年的人民法院组织法以来,就开始在法律上使用“阴私”这一概念。当初所谓的阴私,是指不好的事情,主要是与性有关的个人信息。这种信息一般人都不愿意被人知晓。所以,民法通则没有单独规定阴私(隐私)权,而是把它视为影响名誉(权)的一个因素。虽然现在来看我们传统的阴私概念在外延上比较窄,但是在当初的中国社会却是合适的,因为它与那个时候人们的观念相一致。
在我看来,我国传统法律把阴私作为名誉权保护对象是合理的,它符合中国的国情。我们没有必要引进一个独立于名誉权之外的隐私权和相应的法律制度。如果一定要使用隐私或隐私权的话,那么,隐私权作为名誉权下的具体内容也无需再单独规范。
尽管随着人们观念的转变,阴私(隐私)的外延会慢慢扩大,未来可能还会包括更多内容,但不管怎样,它的本质与公共利益或社会利益没有直接关系,同时又直接关系到人的名誉和尊严。可见,我国之前法律上的阴私跟我现在讲的隐私在观念上、本质上是一致的。可以说,我们之前的阴私观念是正确的,符合中国国情,应该值得我们坚守而不是被抛弃。所以我觉得我们应该回归自己的阴私传统,把它纳入到名誉权的保护之下。
如果一定要在法律上使用隐私概念,那么就应该坚守我国传统阴私观,将其内涵界定为与公共利益、社会利益没有直接关系、同时又直接关系到人的名誉或尊严的个人信息。因此,在我们诸多的个人信息之中唯有阴私(隐私)才值得保密,而阴私之外的其他个人信息是完全可以被人知道,可以被正常利用的。法律没有必要把阴私之外的个人信息当作阴私来保护,而应该把规制的重点放在防止滥用上。
值得注意的是,我们应该区分披露某些个人信息本身所直接对个人名誉造成的损害和对某些个人信息滥用所造成的损害。不能以披露某些个人信息可能导致滥用为理由而一律禁止披露该信息,或者把立法的重点放在保密和安全上,而忽略对信息滥用行为的应有规制。只要没有了滥用,剩下的就是对个人信息的合理使用,而这正是除了隐私之外的个人信息的价值所在。因此,我们未来的理论研究和立法规范应该把重点放在如何有效防治对此类信息的滥用问题上,而不是再继续舍本逐末,强调安全保密了。
(六)代位人格权
受《继承法》里“代位继承”概念的影响,为了死者人格利益的保护,我提出了代位人格权概念。我所谓的代位人格权是指,自然人(在对自己的人格利益享有权利的同时又)对与其有特定身份关系的他人的人格利益所享有的权利。我们对自己的人格利益享有权利,就是我们一般所谓的人格权,但同时又对与我们有特殊身份关系的自然人的人格利益享有利益,以这种人格利益为客体的权利就是我所谓的代位人格权。
自然人存续期间,对自己人格的权利是第一位的,他人对我们的人格利益享有的权利是潜在的、第二位的,代位人格权一般不得行使。只有等自然人死亡以后(与我们有继承关系的第一顺位继承人的)代位人格权才由之前潜在的权利变成现实的权利,发生效力,就跟代位继承一样。