《民法典》视野下的个人信息保护模式分析.docxVIP

《民法典》视野下的个人信息保护模式分析 导语 《民法典》的颁布，进一步完善了个人信息保护的相关法律体系，特别是“隐私+一般信息”双重保护模式的确立，对于实现个人信息的有效保护，具有极为重要的意义。 在《民法典》编纂过程中，如何保护自然人不因个人信息被滥用而遭受损害，始终是立法者高度关注的一个问题。《民法典》的颁布，进一步完善了个人信息保护的相关法律体系，特别是“隐私+一般信息”双重保护模式的确立，对于实现个人信息的有效保护，具有极为重要的意义。 一、旧有隐私权保护模式的审视检讨 在《民法典》颁布前，我国主要是在隐私权框架下对个人信息予以保护。1988年，最高人民法院《关于贯彻执行中华人民共和国民法通则若干问题的意见（试行）》第一次提及“隐私”，为我国隐私权保护法律制度的创设发展奠定了基石。2001年，《最高人民法院关于确认民事侵权精神损害赔偿责任问题的解释》颁布，正式在民事司法中认可了隐私权的法律地位。2009年，《侵权责任法》正式对隐私权做出规定，这是首次在民事立法中应用隐私权概念，并将隐私权认定为专门民事权利。从总体上看，这种隐私权保护模式可以满足部分个人信息保护需求。随着时代发展，个人信息的价值已然拓展。王利明教授认为，隐私权的“内涵具有相对的确定性，不可能无限制扩张，以致涵盖所有的人格利益保护”，因此，单纯依靠隐私权制度已经无法满足个人信息新的保护需求。 首先，隐私权制度难以对个人信息实施全覆盖保护。隐私具体表现为私密信息或私人生活，只要是个人不愿意公开且无损公共利益的信息都可包含在内，并且对个人身份不具备直接指向性。个人信息的重点在于身份识别性，即该种信息同个人身份或人格有特定关联，或是单条指向个人，或是组合指向个人，从而完成身份识别。可见，个人信息与个人隐私存在一定交集，但是，其范畴远远超过个人隐私。不仅如此，个人信息与隐私权的权利内容和保护范围也存在显著差异。隐私权强调个人隐私信息的支配利用、防止非法获悉披露，而个人信息保护强调的是信息主体对个人信息的主动控制与积极利用。这一差异使传统的隐私权救济途径很难对个人信息实现全面保护。 其次，隐私权制度不能有效保护个人信息的财产价值。个人信息既关涉人格利益，又蕴含财产价值，其商业性利用是信息时代的突出特征。隐私权主要是精神性人格权，所重点维护的是人格尊严与自由等人格利益，侵害后果具体表现为精神损害，个人信息所蕴含的财产利益是隐私权无法承载的。此外，个人信息的利用是权利人积极主动的权利，只要能够通过科学立法保证个人人格尊严利益与市场经济发展的平衡即可。但是，隐私权属于消极防御性权利，只有权利遭受侵害后才能请求他人排除妨害、赔偿损失等。因此，面对迅猛发展的信息产业和一日千里的信息技术，传统的隐私权保护模式已很难对个人信息的财产利益实施有力保护。 最后，隐私权制度很难平衡信息领域各方主体利益。在信息时代，信息是一种具有公共产品属性的特殊商品，围绕“个人信息”分布着三类利益主体，分别是个人、信息从业者和政府。对个人而言，其利益体现为人格自由和个人尊严；对信息从业者而言，则是希望通过利用个人信息获取经济利益；对政府而言，一方面，需要通过信息利用实施社会管理，乃至维护国家安全，另一方面，还需要通过制定法律为个人信息保护划定边界，在有效维护个人信息安全的同时，促进信息产业的健康发展。利益主体和利益内容的多元，要求个人信息保护规则既不能太弱也不能太强，其关键任务不是将个人隐私权最大化，而是平衡不同的利益和目标。传统隐私权主要是从个体出发为个体提供单一向度的权利保护，并没有从兼顾个人信息的保护和利用两个视角加以考量，无法在信息领域多方利益主体间形成合理有效的平衡。 二、“隐私+一般信息”模式基本立场 个人信息保护模式的建立需要以利益平衡为前提，平衡规则的制定则需要全面掌握法律所规范的各方利益之间的冲突关系。在这个领域，基于不同的立法体系，国外主要存在欧盟“统一专门立法”和美国“隐私权分散立法+行业自律”两种立法模式，而中国的个人信息保护立法则逐步从分散走向统一，并推进公私法的协同作用以实现对个人信息的全面保护。 欧盟将个人信息保护植根于公民基本权利，通过《个人数据保护指令》（Data Protection Directive）（95/46/EC）以及之后将其取代的《一般数据保护条例》（GDPR）等统一的法律规则，构建了系统化、防御型的个人信息保护模式。2018年实施的GDPR在序言中规定，任何收集、传输、保留或处理涉及欧盟所有成员国个人信息的机构组织均受该条例的约束，而且其后续规定的“设立业务机构”和“提供商品或服务”解释也十分宽泛和灵活，即只要数据的收集方、提供方和处理方有任何一方是欧盟成员国公民或法人，就适用GDPR。这意味着，很多原本不受欧盟隐私法律约束的企业也因此而不得不适用GD