“个人信息”能否成为一种权利 欧盟GDPR具有较高参考价值

2018-11-08 17:36:36     来源:检察日报

欧盟《通用数据保护条例》(GDPR)正式施行后,给全球企业界带来了很大的合规压力,增加了许多合规支出。GDPR作为欧盟的法律,对国内不会有直接影响,但对于开展与欧盟相关业务的企业有一定影响。作为个人信息保护的领先制度实践,GDPR对于中国个人信息保护制度的发展完善具有较高参考价值。

对于侵害个人信息权益的行为,GDPR规定了数额很高的行政罚款,也规定数据主体(自然人)可以向法院提起诉讼。就个人起诉而言,其主要形式是民事诉讼,民事诉讼的基础是自然人对其个人信息享有权益。GDPR明文规定了六种权利,分别是获得权、更正权、删除权(被遗忘权)、限制处理权、数据可携权和反对权,这些权利的性质值得探究。如果上述权利可以通过民事诉讼获得救济,那么首先至少应属私权利,同时可能也属于宪法意义上的基本权利。上述权利属于私权利的话,它们在民法上的地位或者分类就值得探讨,因为均非传统意义上的民事权利,很难对这些权利进行现行法意义上的归类。

根据人格心理学,个人信息可以分为四大类:第一类是生活记录信息,是与个人生活相关的客观记录;第二类是观察者信息,包括外部的评价;第三类是检测信息,这也是客观记录,但涉及科学检测;第四类是自我报告信息,这是个人的自我评价。可见,从这些信息可以分析出个人的人格。法律意义上的个人信息,大体上不会超出上述范围,GDPR还强调用户画像、个人特征分析的概念,因为从个人信息可以大体确定一个自然人是什么样的人。但是,个人信息(或者说数据)是不是法律上的客体,是值得怀疑的。民法处理人与人之间的人身和财产关系,和个人信息相关的也不外乎人身和财产关系。把个人信息单独作为一种权利客体,会冲击现行民事权利保护体系。如果把个人信息权类型化赋予类似于所有权的权能,实际上与现实并不相符,因为有相当部分的个人信息允许企业采集、使用,收集和分析个人信息数据本身具有很高的经济和社会价值,互联网产业、数据产业发展都有赖于此,只是必须在投资激励和人格权保护之间取得平衡。有的个人信息公开后个人无权要求删除,比如生效判决书依法上网公布,除了法定情形个人不能要求法院删除。所以说,在个人信息上设定类似于所有权的绝对权,可行性微乎其微。即使将个人信息权类型化,这种权利也不可能像物权、知识产权一样成为全面的绝对权,而是一种基于政策考量和利益衡量并经特别制度设计的民事权利,目的是确保自然人利益受到侵害后有救济手段。

从自然人(数据主体)角度看,基于个人信息的实质利益可以纳入民法的形式化权利体系,基于个人信息的权利属于一般人格权,GDPR列举的六类权利都可以归类于此,然后通过侵权法进行保护。比如就更正权、反对权而言,司法救济或者说责任承担方式就是排除妨碍,针对删除权(被遗忘权)、限制处理权,责任承担方式实际就是消除危险。

为什么欧盟立法机构要设计出被遗忘权等私权利?这是欧盟立法机构为了弥合欧盟成员国的法系差异而作出的特殊安排(新造名词)。GDPR规定的权利都是经过细化分解的实质权利,这些实质权利可以被不同法系、不同国家的形式化权利体系所涵盖,这样每个成员国的法律可以符合欧盟的要求。值得注意的是,GDPR没有规定个人信息权,而是规定了个人信息保护权,这两者存在差别,GDPR的做法是迫不得已的创新,它必须进行这种新造名词的创新,但是我国从立法和理论上都不需要引进这种不成熟的中间权利概念。关于个人信息保护的实质权益应纳入现行法体系,在我国法语境中,仍应采用民法/刑法/行政法的思维处理个人信息数据保护的问题。

关于个人信息保护有一个重要的问题,是如何看待企业收集个人信息数据,企业对这些数据是否享有权利?GDPR中收集数据的企业是数据控制者,这也是新造名词,民法上如何定位?传统民法可以解决这个问题,此类企业是个人信息数据的占有者,可以沿用或准用占有制度解决相关法律问题。关于个人信息收集、使用的规则是GDPR的主要内容,也是全国人大常委会2012年发布的《关于加强网络信息保护的决定》的主要内容,这些法律规定主要解决了个人信息保护的基本制度设计问题。法律制度都是利益分配机制而非利益产生机制,但会对主体产生激励效应,进而影响利益生产环节,因此制度设计必须进行利益平衡,要同时考量个人利益、产业利益和社会利益,很多时候要进行经济学上的分析。但从个人权益司法保护角度看,这些规则实际上设定了相关方的注意义务,这对于确定诉讼相关方的过错具有重要作用,不管在侵权之诉还是在违约之诉中,过错如何确定均具有重要法律意义,GDPR或《关于加强网络信息保护的决定》的规定,可以作为确定企业在保护个人信息时所负注意义务的标杆,违反法律规定在民事诉讼中可以被认定为违反注意义务,从而认定其具有过错,进而认定侵权成立。

推荐阅读