石文慧,魏振華

(青島大學(xué) 法學(xué)院,山東 青島 266071)

在傳統(tǒng)理論中民事權(quán)利可分為財(cái)產(chǎn)權(quán)與人身非財(cái)產(chǎn)權(quán),后者又可分為與財(cái)產(chǎn)有關(guān)的人身非財(cái)產(chǎn)權(quán)(主要是知識產(chǎn)權(quán))和與財(cái)產(chǎn)無關(guān)的人身非財(cái)產(chǎn)權(quán)(主要是生命權(quán)等人格權(quán))[1]。按照傳統(tǒng)分類,人格權(quán)當(dāng)中必不包含財(cái)產(chǎn)性內(nèi)容,但在商品經(jīng)濟(jì)的快速發(fā)展以及大眾傳媒興起的背景下,某些人格權(quán)益也逐漸被作為“財(cái)產(chǎn)”進(jìn)行交易,人格權(quán)中的某些內(nèi)容逐漸能夠被市場所利用并且產(chǎn)生商業(yè)價值,進(jìn)而出現(xiàn)人格權(quán)商品化的現(xiàn)象。個人信息商品化就是在人格權(quán)商品化的背景下產(chǎn)生的。

關(guān)于個人信息商品化的研究可追溯至“個人信息財(cái)產(chǎn)化”和“個人信息控制權(quán)”學(xué)說,它們將信息主體對信息所享有的權(quán)利界定為財(cái)產(chǎn)上的控制權(quán)。根據(jù)這一理論,有學(xué)者認(rèn)為個人信息反映了主體的人格特點(diǎn),它不僅具有精神性和人格性的內(nèi)涵,而且也是財(cái)產(chǎn)價值的體現(xiàn),其主要是基于商業(yè)利用的一種外化[2]。此外基于該理論英美法系國家將人格權(quán)中的財(cái)產(chǎn)利益獨(dú)立為公開權(quán)進(jìn)行保護(hù),但這種保護(hù)模式并不適合我國的實(shí)際情況。個人信息商品化并非一項(xiàng)新型權(quán)利,它只是被商業(yè)利用的結(jié)果。承認(rèn)個人信息商品化可以確保合理有效地使用個人信息,同時實(shí)現(xiàn)對個人信息私益的保護(hù),從而實(shí)現(xiàn)個人信息保護(hù)和市場經(jīng)濟(jì)發(fā)展的利益平衡。

《中華人民共和國民法典》(以下簡稱《民法典》)和《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》)出臺后,個人信息權(quán)益受到了前所未有的重視,為實(shí)現(xiàn)對個人信息的有效保護(hù)和利用,學(xué)界開展了諸多相關(guān)研究?，F(xiàn)有文獻(xiàn)對個人信息商品化的研究主要集中于個人信息人格利益和財(cái)產(chǎn)利益的區(qū)分、個人信息財(cái)產(chǎn)價值的理論證成、對個人信息商業(yè)利用行為的分類以及個人信息商品化的救濟(jì)規(guī)則等,但是對于個人信息商品化的基本問題——如何判斷個人信息已被商品化,學(xué)界中討論不多。另外,對于個人信息商品化的保護(hù)分為兩個階段:事前預(yù)防和事后救濟(jì),目前學(xué)界主要側(cè)重討論對損害發(fā)生后的救濟(jì),對于如何預(yù)防損害發(fā)生、如何規(guī)制個人信息商品化的過程尚存在一定程度的欠缺。為充分解決個人信息商品化在理論上和實(shí)務(wù)中的問題,有學(xué)者從保護(hù)個人信息商品化財(cái)產(chǎn)利益方面展開討論,從精神利益保護(hù)的角度進(jìn)行了研究[3];也有從知情同意的規(guī)則入手,試圖實(shí)現(xiàn)對個人信息處理利用的有效規(guī)制[4]。本文在學(xué)習(xí)借鑒前人研究的基礎(chǔ)上,通過對個人信息商品化進(jìn)行理論分析,區(qū)分了個人信息商品化過程中財(cái)產(chǎn)規(guī)則和責(zé)任規(guī)則的適用范圍,試圖通過強(qiáng)化知情同意原則的適用性、降低精神損害的認(rèn)定標(biāo)準(zhǔn)、擴(kuò)張損害結(jié)果類型來實(shí)現(xiàn)對個人信息商品化的有效保護(hù)。

1 個人信息商品化的理論識別

個人信息商品化是在信息時代和市場經(jīng)濟(jì)蓬勃發(fā)展的背景下興起的,個人信息商品化并非是一項(xiàng)新型權(quán)利,它只是個人信息可被商業(yè)利用的結(jié)果。承認(rèn)個人信息的商品化,一方面是為了更好地為信息主體的個人信息提供私法保護(hù);另一方面也是為了在信息時代背景下實(shí)現(xiàn)對個人信息的高效合理利用,以更好的平衡保護(hù)信息主體利益與促進(jìn)市場經(jīng)濟(jì)發(fā)展之間的矛盾。

1.1 個人信息商品化之概念厘定

個人信息商品化是將個人信息視為商品進(jìn)行交易,從而對其進(jìn)行商業(yè)利用。除姓名、聯(lián)系方式等個人信息的財(cái)產(chǎn)利益被商業(yè)利用之外,其他個人信息如購物偏好等也都具有被商業(yè)利用的可能,例如自然人的網(wǎng)頁瀏覽記錄在經(jīng)過收集處理之后,可利用自動化分析等技術(shù)手段,通過廣告推送等方式影響自然人的決策。

“個人信息商品化”的本質(zhì)就是對個人信息的商業(yè)利用,但是利用行為不同于處理行為。依《民法典》規(guī)定,處理行為指圍繞個人信息所開展的各種行為和活動,認(rèn)為“處理”是“利用”的“前置程序”,“處理”是為了“利用”。個人信息的商業(yè)利用是在處理信息的基礎(chǔ)上,將個人信息用于商業(yè)目的的行為,這一商業(yè)利用的過程就是個人信息商品化的過程。

1.2 個人信息商品化識別之必要性

如前所述,個人信息商品化就是對個人信息的商業(yè)利用。信息時代下對信息的需求在增長,商業(yè)利用行為也變得越來越多樣化,即使理解了個人信息商品化的內(nèi)涵也難以對實(shí)務(wù)中存在的個人信息商品化或者利用行為進(jìn)行合理清晰的判斷。實(shí)現(xiàn)對個人信息商品化的有效識別有助于在不同情況下實(shí)現(xiàn)對個人信息的針對性保護(hù),保障個人信息利用與保護(hù)的平衡。

在多數(shù)情況下,公民個體作為信息主體并不知道自己的信息已經(jīng)被商業(yè)利用了[5]。個人信息商品化最為直觀的表現(xiàn)是信息主體許可他人使用其個人信息,但是在實(shí)際生活中也存在不直觀的商業(yè)利用表現(xiàn)。如對個人信息進(jìn)行的自動化決策行為,即利用計(jì)算機(jī)程序自動分析和評估個人的行為習(xí)慣、愛好等,然后作出決策;又如個人信息的交易行為,即某網(wǎng)站或軟件上攜帶第三方插件或者接入第三方應(yīng)用等,并通過該種方式向第三方提供個人信息;再如為實(shí)現(xiàn)產(chǎn)品服務(wù)目的的利用行為,指信息主體在購買產(chǎn)品時為了享受產(chǎn)品服務(wù)必須提交相關(guān)個人信息等。這些商業(yè)利用行為較為隱蔽,使得信息主體難以辨析個人信息是否已被商品化,不利于信息主體尋求保護(hù)和救濟(jì)。

從立法上看,我國現(xiàn)行法律并未對個人信息商品化進(jìn)行明確及單獨(dú)的規(guī)定,理論界對于個人信息商品化識別的討論不多,大部分的討論主要集中在人格權(quán)商品化的領(lǐng)域和個人信息商品化的財(cái)產(chǎn)權(quán)益保護(hù)方面。在人格權(quán)商品化方面,有學(xué)者通過對人格權(quán)商品化的特點(diǎn)進(jìn)行分析,而后在辨析人格權(quán)商品化的基礎(chǔ)上討論人格權(quán)商品化的法律規(guī)制等問題[6]。因此在對個人信息商品化的問題進(jìn)行分析之前,首先要討論什么是個人信息商品化,如何辨析個人信息商品化,按照這一思路進(jìn)行分析是必要且符合邏輯的。

1.3 個人信息商品化識別之特征分析

個人信息是一項(xiàng)人格權(quán)益,個人信息商品化除去市場經(jīng)濟(jì)環(huán)境的外部影響,其本身也具有一定的內(nèi)在理論基礎(chǔ)。對于個人信息而言,在外在性上,它們能以某種形式被觀察到,并且它們不是與生俱來的,而是通過后天取得;在可支配性上,法條規(guī)定了“同意規(guī)則”,“同意”與“許可”具有異曲同工之處,這是其可支配性的體現(xiàn);在可商業(yè)利用性上,互聯(lián)網(wǎng)的自動化決策等技術(shù)使得個人信息展現(xiàn)出了重要商業(yè)價值;在人格性方面,個人信息系與人相關(guān)的信息,它們能體現(xiàn)信息主體的人格特點(diǎn)。這些特征均與可被商品化的標(biāo)表型人格權(quán)相契合,因此對于個人信息商品化可借助人格權(quán)商品化的特點(diǎn)加以識別。

第一,信息指向性。個人信息作為一項(xiàng)人格標(biāo)識,其與信息主體具有同一性,即某項(xiàng)個人信息僅對應(yīng)特定的信息主體。當(dāng)個人信息被使用于特定的產(chǎn)品、服務(wù)或者機(jī)構(gòu)時,受眾群體就會產(chǎn)生信息主體與產(chǎn)品、服務(wù)或者機(jī)構(gòu)的聯(lián)系。品牌熱衷于高薪聘請明星做代言人,就是想利用明星的聚眾效應(yīng)和信息指向性,建立品牌與明星的聯(lián)系,以吸引大眾的注意力,從而達(dá)到讓公眾注意到該品牌的目的。因此個人信息在商品化的過程中對信息主體具有一定的指向性,它可以建立信息主體與信息的穩(wěn)定聯(lián)系,并將該種聯(lián)系延伸至某產(chǎn)品、服務(wù)或者機(jī)構(gòu)。

第二,價值期待性。可商品化的人格權(quán)益的客體具有一定的商業(yè)利用價值。一方面,該種客體對于市場經(jīng)濟(jì)的發(fā)展具有一定的意義,例如明星的代言在一定程度上可以促進(jìn)商品的宣傳和買賣,可以為市場帶來一定的經(jīng)濟(jì)效益,利用知名人物代言的行為就屬于肖像的商品化;另一方面,該種客體對權(quán)利人本身而言具有一定的財(cái)產(chǎn)價值,可以為其帶來經(jīng)濟(jì)利益,例如通過許可他人使用自己的姓名等信息取得一定的許可使用費(fèi),權(quán)利人許可他人使用的行為就是其姓名等信息的商品化。因此,在個人信息商品化過程中權(quán)利人或者行為人均對其行為產(chǎn)生一定的財(cái)產(chǎn)或經(jīng)濟(jì)上的期待。

第三,商業(yè)目的性。消費(fèi)者在享受互聯(lián)網(wǎng)服務(wù)的同時會產(chǎn)生大量信息,這些信息通過互聯(lián)網(wǎng)技術(shù)可以被追蹤、記錄于某種載體之上,并通過算法分析等方式在市場經(jīng)濟(jì)中實(shí)現(xiàn)對個人信息的再次利用。在信息被商業(yè)利用的過程中往往體現(xiàn)著權(quán)利人或者行為人的商業(yè)目的,該商業(yè)目的最直觀的表現(xiàn)是獲得報(bào)酬,例如互聯(lián)網(wǎng)公司收集個人信息后在市場上出售。此外,還有獲得經(jīng)濟(jì)利益的其他表現(xiàn),例如互聯(lián)網(wǎng)公司跟蹤用戶在網(wǎng)站上的活動,記錄消費(fèi)者購買或?yàn)g覽記錄以支持其正常業(yè)務(wù)的開展及促進(jìn)銷售。

2 個人信息商品化的現(xiàn)實(shí)問題

雖然在《民法典》與《個人信息保護(hù)法》出臺后,無限收集、使用和交易個人信息的時代已經(jīng)結(jié)束,但是個人信息的商業(yè)化利用賦予了個人信息商品屬性,使其流通于信息市場之中。這一情況觸發(fā)了個人信息利用與保護(hù)之間的矛盾,日益增長的信息需求和相對滯后的信息交易市場管理現(xiàn)狀更加劇了該種矛盾,加之信息主體與信息處理者之間資源及能力的不平等狀況,使得信息安全問題更加嚴(yán)峻。在個人信息商品化進(jìn)程中,對個人信息的保護(hù)主要集中于侵害發(fā)生前的規(guī)制階段以及侵害發(fā)生后的救濟(jì)階段。

2.1 一元論保護(hù)模式下規(guī)則適用混亂

對人格權(quán)財(cái)產(chǎn)利益的保護(hù)存在兩種模式,一是大陸法系的一元保護(hù)模式,即放棄人格權(quán)單一利益理論,承認(rèn)人格權(quán)在某些情況下也具有財(cái)產(chǎn)利益,將人格權(quán)商品化置于人格權(quán)制度中統(tǒng)一進(jìn)行保護(hù),認(rèn)為人格權(quán)中存在精神、財(cái)產(chǎn)雙重價值,應(yīng)當(dāng)給予一體保護(hù);二是英美法系的二元保護(hù)模式,即承認(rèn)人格權(quán)中存在財(cái)產(chǎn)價值,但單獨(dú)創(chuàng)設(shè)了“公開權(quán)”,對于人格價值和財(cái)產(chǎn)價值分別由隱私權(quán)和公開權(quán)進(jìn)行保護(hù)。對于個人信息財(cái)產(chǎn)利益應(yīng)當(dāng)適用何種模式進(jìn)行保護(hù),以及在保護(hù)過程中應(yīng)當(dāng)如何區(qū)分各種規(guī)則的適用還有待進(jìn)一步研究。

第一,從《民法典》的體系來看,我國未單獨(dú)設(shè)立專門的“公開權(quán)”對個人信息的財(cái)產(chǎn)利益進(jìn)行保護(hù),而是將其納入人格權(quán)體系中統(tǒng)一進(jìn)行保護(hù),個人信息僅是一項(xiàng)權(quán)益并不是一項(xiàng)具體的人格權(quán)。該種立法模式在形式上一定程度地借鑒了大陸法系的一元保護(hù)模式,不單獨(dú)設(shè)立專門的“公開權(quán)”對個人信息的財(cái)產(chǎn)利益進(jìn)行保護(hù),而是置于人格權(quán)體系中統(tǒng)一保護(hù)。上述立法模式在實(shí)質(zhì)內(nèi)容上區(qū)別于傳統(tǒng)的一元保護(hù)模式,例如肖像權(quán)、姓名權(quán)以及個人信息權(quán)益的許可使用和同意規(guī)則,對部分人格權(quán)中的財(cái)產(chǎn)利益給予財(cái)產(chǎn)權(quán)規(guī)則的保護(hù),形成特殊的一元保護(hù)模式,即在人格權(quán)制度下對其中的財(cái)產(chǎn)利益以財(cái)產(chǎn)權(quán)的保護(hù)規(guī)則進(jìn)行保護(hù),涉及財(cái)產(chǎn)規(guī)則和責(zé)任規(guī)則。

第二,對于如何區(qū)分財(cái)產(chǎn)規(guī)則和責(zé)任規(guī)則,何種情形適用財(cái)產(chǎn)規(guī)則、何種情形適用責(zé)任規(guī)則,學(xué)界尚存在爭論。有學(xué)者指出,可以按照是否能夠直接識別出信息主體,將個人信息劃分為直接個人信息和間接個人信息,對于直接個人信息的商品化適用財(cái)產(chǎn)規(guī)則,對于間接個人信息的商品化適用責(zé)任規(guī)則[7]。還有學(xué)者指出,可依照個人信息的來源將個人信息分為自然性的個人信息、社會性的個人信息和復(fù)合性的個人信息,提出適用財(cái)產(chǎn)規(guī)則保護(hù)自然性的個人信息商品化、適用責(zé)任規(guī)則保護(hù)社會性的個人信息商品化和復(fù)合性的個人信息商品化的觀點(diǎn)[8]。

2.2 信息主體的信息認(rèn)知與處理不對等

隨著互聯(lián)網(wǎng)的快速發(fā)展,獲取和處理個人信息的先進(jìn)技術(shù)手段使得信息安全面臨著更大的挑戰(zhàn)。為保證個人信息處理行為的合法性,《民法典》和《個人信息保護(hù)法》均對信息主體的知情和同意進(jìn)行了規(guī)定。但是在個人信息商品化的過程中仍然存在信息認(rèn)知與處理不對等的問題,其主要是由知情同意原則適用的不充分性導(dǎo)致的,信息主體的知情權(quán)和同意權(quán)均流于表面,而非充分地適用。

第一,在個人信息獲取階段,存在相關(guān)“個人信息條款”,只有信息主體同意該條款時才可以使用某一網(wǎng)絡(luò)平臺或者軟件的服務(wù)功能。在該種情況下,用戶為了能夠使用該項(xiàng)服務(wù)不得不選擇同意,這往往存在信息主體的“被動同意”或“強(qiáng)制同意”問題。另外,在實(shí)際生活中大多數(shù)用戶很少仔細(xì)閱讀繁瑣復(fù)雜的隱私協(xié)議,這也導(dǎo)致用戶隨意瀏覽、挑選瀏覽信息甚至放棄閱讀,對知情同意基本機(jī)制的實(shí)現(xiàn)造成阻礙,使得隱私協(xié)議成為信息收集行為中規(guī)避法律和合規(guī)風(fēng)險(xiǎn)的避風(fēng)港[9]。

第二,在個人信息處理階段,在信息處理技術(shù)的運(yùn)作下會對已收集的個人信息進(jìn)行分析處理,從而得到其他信息,導(dǎo)致授權(quán)范圍之外的個人信息被獲取,并對信息主體產(chǎn)生一定的影響。例如在網(wǎng)上購物時,信息主體的瀏覽、購買痕跡等碎片信息經(jīng)過自動化決策等技術(shù)手段的處理,可以拼湊出某些人格特征。相關(guān)網(wǎng)站可根據(jù)該特征通過廣告推送的方式影響信息主體的決策行為。信息技術(shù)的運(yùn)作導(dǎo)致了信息主體的信息認(rèn)知與實(shí)際信息處理之間的不對等,從而使得授權(quán)范圍之外的個人信息被獲取、利用。

2.3 侵害個人信息精神損害認(rèn)定困難

對于侵害人身權(quán)益所造成的財(cái)產(chǎn)損失和精神損失的情形,《民法典》分別用第一千一百八十二條與第一千一百八十三條進(jìn)行了規(guī)定,但是《個人信息保護(hù)法》并未進(jìn)行單獨(dú)規(guī)定。被侵害人請求精神損害賠償時往往以《民法典》第一千一百八十三條為依據(jù),但是該規(guī)定要求精神損害須達(dá)到嚴(yán)重程度,無疑加重了信息主體的舉證責(zé)任,使得本就處于弱勢一方的信息主體更難請求精神損害賠償。對于侵害個人信息造成精神損失的情形,立法上和司法上還未能有效解決這個問題。

第一,《個人信息保護(hù)法》未明確規(guī)定請求精神損害賠償?shù)膬?nèi)容,導(dǎo)致個人信息被侵害而造成精神損害的無法依據(jù)《個人信息保護(hù)法》請求賠償。學(xué)界對第六十九條中“損害”一詞是否包含“精神損害”有不同的理解。有的學(xué)者認(rèn)為不應(yīng)當(dāng)包含精神損害,認(rèn)為《民法典》是《個人信息保護(hù)法》第六十九條的上位法,后者以財(cái)產(chǎn)利益為保護(hù)重點(diǎn),排斥人格尊嚴(yán)等精神利益,對于精神利益的保護(hù)應(yīng)當(dāng)適用《民法典》第一千一百八十三條的規(guī)定[10]。而有的學(xué)者認(rèn)為應(yīng)當(dāng)包含精神損害,認(rèn)為財(cái)產(chǎn)損害和精神損害都可以依據(jù)《個人信息保護(hù)法》第六十九條請求賠償[11]。

第二,在司法判決中,對于侵害個人信息的案件,當(dāng)事人主張精神損害賠償時,諸多法院依據(jù)未給被侵害人造成嚴(yán)重精神損害而不予支持該項(xiàng)訴訟請求,例如彭于晏與廣州傲爾生物科技有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案(1)參見(2021)粵0192民初44636號。以及張某與甘肅省農(nóng)村信用社聯(lián)合社等個人信息保護(hù)糾紛案(2)參見(2022)甘12民終1101號。等,判決書中均認(rèn)定了侵害個人信息事實(shí)的存在,但是對于精神損害的程度均以“造成嚴(yán)重精神損害”為標(biāo)準(zhǔn),認(rèn)為行為人的侵害行為未達(dá)到給被侵害人造成嚴(yán)重精神損害的程度,因此不予支持精神損害賠償。

2.4 侵害個人信息損害結(jié)果類型不明確

自然人民事權(quán)益遭受侵害時,受害人可請求侵權(quán)損害賠償。傳統(tǒng)的侵權(quán)法要求請求侵權(quán)損害賠償時該“損害”必須是確定的、現(xiàn)實(shí)發(fā)生的,而不能是未發(fā)生的、具有推測性質(zhì)的。但侵害個人信息行為的判定存在一定的特殊性,個人信息領(lǐng)域的“損害”通常是無形的,并且這種“損害”多表現(xiàn)為一種 “風(fēng)險(xiǎn)”,而非實(shí)際的已經(jīng)產(chǎn)生或存在的某種損失,對于這些“風(fēng)險(xiǎn)”是否可以請求信息處理者進(jìn)行侵權(quán)損害賠償,立法與司法上還不明確。

第一,司法實(shí)踐中常常受限于傳統(tǒng)侵權(quán)法的觀點(diǎn),認(rèn)為侵害個人信息造成的損害必須為現(xiàn)實(shí)的、確定的,對于“風(fēng)險(xiǎn)”往往不確定為損害。例如某公司與朱某隱私權(quán)糾紛案(3)參見(2014)寧民終字第5028號。,法院認(rèn)為雖然原告表示其對公司的服務(wù)感到害怕和緊張,但這些只是原告自己的主觀感受,法院不能也不應(yīng)該僅憑原告的主觀感受,而認(rèn)為該公司的服務(wù)對原告造成了實(shí)質(zhì)性的損害。另外,朱某和成某一般人格權(quán)糾紛案(4)參見(2020)桂01民終15084號。中法院也是以原告并沒有因被告在網(wǎng)絡(luò)上發(fā)表的文章而造成實(shí)質(zhì)性損害,因此不支持其訴訟請求。

第二,針對司法實(shí)務(wù)中的現(xiàn)象,2021年出臺的《個人信息保護(hù)法》也未充分回應(yīng)該問題,但是倘若繼續(xù)沿用傳統(tǒng)侵權(quán)責(zé)任法上的損害類型認(rèn)定,利用“損害不足”限制司法訴訟,那么對于風(fēng)險(xiǎn)預(yù)防成本、精神和心理上的不安等損害,信息主體都會因該損害不符合傳統(tǒng)侵權(quán)法中對“損害”的要求而面臨著無法請求賠償?shù)膯栴}。個人信息保護(hù)的條款也將形同虛設(shè),宛如僵尸條款一般,繼續(xù)削弱對個人信息商品化進(jìn)程中的保護(hù)[12]。因此有必要明確在個人信息的侵權(quán)損害賠償中能否就帶來的某項(xiàng)“風(fēng)險(xiǎn)”或“危險(xiǎn)”請求損害賠償。

3 個人信息商品化的保護(hù)路徑

完善個人信息商品化保護(hù)可以從兩個方面入手:一方面,處理個人信息需要得到信息主體的同意被明確規(guī)定于《民法典》與《個人信息保護(hù)法》之中,因此要加強(qiáng)知情同意原則的適用,以規(guī)制個人信息處理的合法性。另一方面,要保證個人信息受到侵害后能得到充分救濟(jì),區(qū)分不同保護(hù)規(guī)則的適用,并分析討論《個人信息保護(hù)法》第六十九條的損害范圍和損害結(jié)果類型。

3.1 區(qū)分財(cái)產(chǎn)規(guī)則和責(zé)任規(guī)則的適用

個人信息存在于人格權(quán)制度框架下,對其財(cái)產(chǎn)利益的保護(hù)同樣采取該種特殊保護(hù)模式,即適用財(cái)產(chǎn)規(guī)則和責(zé)任規(guī)則。財(cái)產(chǎn)規(guī)則指當(dāng)事人可依法自愿交易某項(xiàng)權(quán)益,行為人在征求權(quán)利人同意后,雙方基于自愿協(xié)商對價,行為人支付對價后才享有相關(guān)的權(quán)利;責(zé)任規(guī)則指行為人可以不征求權(quán)利人的同意而侵犯權(quán)利人的權(quán)利,但必須給予適當(dāng)補(bǔ)償[13]。對于兩種規(guī)則的適用可以從以下幾個角度思考。

第一,從財(cái)產(chǎn)規(guī)則與責(zé)任規(guī)則含義出發(fā)。財(cái)產(chǎn)規(guī)則的核心要義在于雙方意思表示需一致,責(zé)任規(guī)則的核心要義在于僅需信息處理者單方意思表示即可。因此,“告知信息主體并取得同意”的情形適用財(cái)產(chǎn)規(guī)則,“無須告知信息主體取得同意”的情形適用責(zé)任規(guī)則?！睹穹ǖ洹泛汀秱€人信息保護(hù)法》均對“無須告知取得同意”的情形進(jìn)行了規(guī)定?！睹穹ǖ洹芬?guī)定為公共利益的新聞報(bào)道、輿論監(jiān)督行為,為保護(hù)公共利益或者信息主體合法權(quán)益的行為,或者已經(jīng)公開的信息等均無須征得同意;《個人信息保護(hù)法》規(guī)定為履行合同、法定職責(zé)或義務(wù)所必需的,為維護(hù)公共利益所必需的和已經(jīng)公開的個人信息無須征得同意。此外法條中還規(guī)定了兜底性條款,以達(dá)到對個人信息的持續(xù)穩(wěn)定保護(hù)。

第二,從個人信息保護(hù)與利用的利益平衡理論出發(fā)。雖然《民法典》和《個人信息保護(hù)法》規(guī)定了無須信息主體同意的情形,但是法律具有一定的滯后性,尤其是面對個人信息商品化這一更具多變性的現(xiàn)象,在法律未規(guī)定且相關(guān)的行政法規(guī)未出臺的情況下,如何適用財(cái)產(chǎn)規(guī)則和責(zé)任規(guī)則,可以從個人信息的保護(hù)與利用的平衡角度出發(fā)來考慮。財(cái)產(chǎn)規(guī)則涉及當(dāng)事人的“許可”,因此更加注重對個人信息的保護(hù),而責(zé)任規(guī)則排斥信息主體的“許可”,因此更側(cè)重對個人信息的利用。當(dāng)個人信息的保護(hù)價值大于利用價值時適用財(cái)產(chǎn)規(guī)則,反之則適用責(zé)任規(guī)則。對于個人信息保護(hù)價值和利用價值的比較,可以從保護(hù)個人信息自決權(quán)的私人利益角度、促進(jìn)市場經(jīng)濟(jì)發(fā)展的商業(yè)利益角度以及保護(hù)國家信息安全的社會公益角度進(jìn)行綜合考量。

第三,當(dāng)個人信息商品化所蘊(yùn)含的社會公益、商業(yè)利益或者國家安全利益大于信息主體的私有利益,而選擇責(zé)任規(guī)則進(jìn)行保護(hù)時,應(yīng)當(dāng)注意個人信息商品化對信息主體的影響。責(zé)任規(guī)則在一定程度上排斥信息主體的某些權(quán)利,從本質(zhì)上來說,社會公益、商業(yè)利益或者國家安全利益的實(shí)現(xiàn)伴隨著信息主體利益的減損。因此一定要明確判斷信息處理的目的,堅(jiān)持最小損害原則,選擇最輕微的侵害方式,避免過度的商業(yè)利用行為對個人的基本權(quán)利造成進(jìn)一步損害。

3.2 強(qiáng)化信息主體知情同意的適用

“知情同意”作為個人信息處理的合法性來源之一,信息處理者往往利用該原則作為其信息處理行為合法的依據(jù)。但由于信息處理者與信息主體之間獲取信息能力的差別,信息主體的知情權(quán)與同意的真實(shí)性和自愿性大打折扣,有學(xué)者指出同意規(guī)則支配下的個人數(shù)據(jù)保護(hù)法已經(jīng)逐漸從信息自決淪落至信息他決的地步[14]。因此應(yīng)當(dāng)謹(jǐn)慎適用知情同意,在任何情況下都不能簡單地將知情同意作為不當(dāng)處理個人信息的合法性抗辯。

第一,給信息主體提供充分知情的機(jī)會。知情同意適用不充分的首要困境就在于信息主體的知情權(quán)不能得到完全實(shí)現(xiàn),信息主體知悉個人信息處理的程度取決于信息處理者是否完全遵守了告知的義務(wù)?！秱€人信息保護(hù)法》第十七條規(guī)定信息處理者需要對個人信息處理的目的、方式、種類等進(jìn)行必要的提醒和說明,使信息主體能夠在充分知情的情況下作出決策。為實(shí)現(xiàn)法條的立法目的,保障信息主體的知情權(quán),信息處理者在處理個人信息時應(yīng)當(dāng)履行告知義務(wù)。依據(jù)收益與風(fēng)險(xiǎn)相一致以及危險(xiǎn)控制理念,對個人信息進(jìn)行商業(yè)利用,尤其是在二級市場進(jìn)行交易時,信息處理者需要提供信息主體的明確同意,以確保信息處理者完全履行告知義務(wù),保障信息主體知情權(quán)的實(shí)現(xiàn)[9]。

第二,充分審查信息主體意思表示的自由程度?；陔p方獲取信息能力的差別,信息主體在作出同意的意思表示時其自由程度可能受限。在認(rèn)定信息處理者的處理行為是否合法時不能簡單地以知情同意作為合法性支撐,需要認(rèn)真審查意思表示的自由程度。該環(huán)節(jié)主要依靠個人信息商品化事前規(guī)制以及事后監(jiān)督等措施,監(jiān)督和審查的重點(diǎn)在于信息主體的同意是否具有強(qiáng)制性和被迫性,該問題的關(guān)鍵在于信息主體是否會因?yàn)榫芙^個人信息處理或收集等行為而產(chǎn)生不利后果,例如信息主體在使用某一網(wǎng)站或者軟件時,因其拒絕接受相關(guān)服務(wù)條款而無法繼續(xù)瀏覽或使用該軟件,此時信息主體的意思表示自由便受到了限制,在該種條件下所做的同意意思表示便不真實(shí),信息處理者基于該種同意的意思表示而作出的信息處理行為的合法性便存疑。

第三,保障信息主體同意意思表示與信息處理內(nèi)容的一致性。在信息技術(shù)的運(yùn)用下,用人單位在進(jìn)行信息處理時,難以避免地存在無意超出同意范圍的處理行為。信息處理者需要完善信息處理的告知同意程序,一方面,當(dāng)信息處理者能夠預(yù)知信息處理行為可能會因技術(shù)問題而導(dǎo)致信息處理過限時,應(yīng)當(dāng)將該風(fēng)險(xiǎn)問題充分告知信息主體,讓信息主體充分地認(rèn)識信息處理行為,從而選擇是否接受該種技術(shù)風(fēng)險(xiǎn),是否同意該信息處理行為;另一方面,對于無法提前預(yù)知的情況,信息處理者應(yīng)當(dāng)向信息主體提供查看與自己相關(guān)的個人信息處理行為的途徑,以保證信息處理行為不超過同意范圍。

3.3 降低精神損害認(rèn)定標(biāo)準(zhǔn)

降低精神損害的認(rèn)定標(biāo)準(zhǔn)可以降低信息主體請求精神損害賠償?shù)呐e證難度,實(shí)現(xiàn)在個人信息商品化進(jìn)程中對個人信息精神價值的有效保護(hù)。為達(dá)到這一目的需要將精神損害賠償納入《個人信息保護(hù)法》第六十九條中,實(shí)現(xiàn)侵害個人信息精神損害賠償與《民法典》第一千一百八十三條的分離,打破要求精神損害賠償“嚴(yán)重性”的困境,侵害個人信息造成一般精神損害即可要求賠償。

第一,個人信息作為一項(xiàng)人格權(quán)益體現(xiàn)著人格自由、平等等人格價值?；ヂ?lián)網(wǎng)技術(shù)可以追蹤到自然人的諸多行為,可通過算法分析等方式影響信息主體的決策,例如網(wǎng)站通過記錄用戶的購買或?yàn)g覽痕跡來分析其購買愛好和傾向等,并根據(jù)該分析結(jié)果向用戶推送相關(guān)商品,從表面看購買行為完全是當(dāng)事人意志和行為自由的體現(xiàn),但實(shí)際上該購買行為有可能是自然人的選擇自由被限制的結(jié)果。此外,敏感個人信息可以最大化地將個人信息的精神利益表現(xiàn)出來,例如當(dāng)信息主體的宗教信仰、醫(yī)療健康等信息被泄露或公開時可能會遭受歧視和不公,從而侵害了信息主體的平等地位和人格尊嚴(yán)。因此個人信息泄露不僅會使信息主體面臨敲詐勒索等經(jīng)濟(jì)上的危險(xiǎn),信息追蹤和人身歧視也會讓他們產(chǎn)生難以言喻的恐懼與焦慮等不良心理反應(yīng)。

第二,將精神損害納入《個人信息保護(hù)法》第六十九條之中。一方面,從“損害”一詞的含義出發(fā),按能否用貨幣衡量存在財(cái)產(chǎn)損害和非財(cái)產(chǎn)損害之分。財(cái)產(chǎn)損害也稱有形損害,是指反映財(cái)產(chǎn)價值,能夠用貨幣加以衡量計(jì)算的損害;而非財(cái)產(chǎn)損害也稱無形損害,是指不反映財(cái)產(chǎn)價值,不能用貨幣加以衡量計(jì)算的損害,通常指精神損害。因此《個人信息保護(hù)法》中“損害”一詞包含“精神損害”是其應(yīng)有之義。另一方面,從立法目的出發(fā),相較于《民法典》第一千一百八十二條規(guī)定的“財(cái)產(chǎn)損失”,《個人信息保護(hù)法》第六十九條未沿用“財(cái)產(chǎn)損失”而直接使用“損害”一詞,表明第六十九條中所規(guī)定的“損害”不等同于“財(cái)產(chǎn)損失”,還應(yīng)當(dāng)包含精神損失,因此將精神損害納入第六十九條符合立法目的。

第三,將精神損害認(rèn)定標(biāo)準(zhǔn)從“嚴(yán)重”降為“一般”?！睹穹ǖ洹返谝磺б话侔耸龡l規(guī)定了精神損害嚴(yán)重程度的要求,若侵害個人信息造成精神損害的情形同樣適用該規(guī)定時,那么精神損害必須達(dá)到“嚴(yán)重”程度。但是在個人信息領(lǐng)域,信息主體本身就處于弱勢地位,侵害個人信息造成較少經(jīng)濟(jì)損失的情形普遍存在,而且對精神損害的程度往往達(dá)不到“嚴(yán)重”程度,這會導(dǎo)致信息主體怠于行使自己的權(quán)利,不利于個人信息的保護(hù)。此外,從《民法典》與《個人信息保護(hù)法》的關(guān)系方面思考,《民法典》并非《個人信息保護(hù)法》的上位法,兩者在個人信息的保護(hù)和利用上共同發(fā)揮作用,對于精神損害不應(yīng)單獨(dú)適用《民法典》第一千一百八十三條的規(guī)定。

3.4 明確“風(fēng)險(xiǎn)”作為損害結(jié)果類型

“損害”要求是確定的、現(xiàn)實(shí)發(fā)生的,而不能是未發(fā)生的、具有推測性質(zhì)的,而“風(fēng)險(xiǎn)”是不確定的,它更多地表現(xiàn)為一種未來發(fā)生的可能性。從字面上來看,“損害”與“風(fēng)險(xiǎn)”之間似乎是相互矛盾的兩個對立面,但是兩者并非不可調(diào)和,“損害”的確定性并不要求“損害”已經(jīng)實(shí)際發(fā)生,在一定條件下“風(fēng)險(xiǎn)”也可以滿足確定性的要求。實(shí)際上現(xiàn)代侵權(quán)法已經(jīng)將“風(fēng)險(xiǎn)”作為損害結(jié)果類型進(jìn)行了適用。

一方面,境外案例為“風(fēng)險(xiǎn)”作為“損害”類型提供了可能。美國的Clapper v. Amnesty International案(5)See 568 U.S. 398 (2013).中原告認(rèn)為某法律的出臺使得政府更容易獲得監(jiān)視授權(quán),個人信息被泄露的風(fēng)險(xiǎn)將會變大,主張?jiān)摲蛇`憲,美國聯(lián)邦最高法院最終駁回了該項(xiàng)訴訟請求。案件中法院雖未支持原告的訴訟請求,但法院認(rèn)為當(dāng)原告所面臨的風(fēng)險(xiǎn)屬于“實(shí)質(zhì)性風(fēng)險(xiǎn)”時可請求損害賠償,因?yàn)槊绹?lián)邦最高法院未排除在特殊場景下“風(fēng)險(xiǎn)”構(gòu)成“損害”的可能性[15]。此外還有美國的Remijas v. Neiman Marcus Grp. LLC案(6)See 794 F.3d 688 (7th Cir.2015).和Krottner v. Starbucks Corp案(7)See 628 F.3d 1139 (9th Cir.2010).。前者案件是在諸多相關(guān)案件中已經(jīng)有信息主體遭受了實(shí)際損失,對還未遭到實(shí)際損失但存在該種風(fēng)險(xiǎn)的受害人,法院對其原告資格予以承認(rèn);后者案件是已經(jīng)有針對信息主體未遂的犯罪行為發(fā)生,但是原告并未遭受實(shí)際損害,法院認(rèn)為其有資格請求損害賠償[3]。

另一方面,現(xiàn)代侵權(quán)法已經(jīng)對損害的類型進(jìn)行了擴(kuò)張,將“風(fēng)險(xiǎn)”作為一種潛在性損害,主要存在于環(huán)境領(lǐng)域。立法上《最高人民法院關(guān)于審理環(huán)境民事公益訴訟案件適用法律若干問題的解釋》第十八條規(guī)定了對于危害社會公共利益風(fēng)險(xiǎn)嚴(yán)重的行為,原告可以要求被告承擔(dān)生態(tài)修復(fù)、損害賠償?shù)让袷仑?zé)任。該規(guī)定將“風(fēng)險(xiǎn)”納入損害結(jié)果的類型,認(rèn)為對于風(fēng)險(xiǎn)嚴(yán)重的行為也可請求損害賠償。實(shí)務(wù)中北京某環(huán)境研究所與某開發(fā)有限公司環(huán)境污染責(zé)任糾紛案(8)參見(2020)云民終824號。承認(rèn)了風(fēng)險(xiǎn)作為損害結(jié)果類型,案件中法院認(rèn)為被告建設(shè)水電站而危害環(huán)境的行為符合預(yù)防性環(huán)境公益訴訟的法定情形,突破了“無損害無救濟(jì)”的司法救濟(jì)理念,符合“保護(hù)優(yōu)先,預(yù)防為主”的立法精神?，F(xiàn)代環(huán)境侵權(quán)法領(lǐng)域的嘗試,為確定“風(fēng)險(xiǎn)”為損害結(jié)果類型提供了支撐。

4 結(jié)語

在商品經(jīng)濟(jì)和大眾傳媒快速興起的背景下,個人信息作為一項(xiàng)特殊的人格權(quán)益,經(jīng)過自動化決策等技術(shù)手段的處理,產(chǎn)生了商品化趨勢。個人信息商品化實(shí)現(xiàn)了信息資源的交流共享,同時也給個人信息的保護(hù)帶來巨大挑戰(zhàn)。本文在吸收借鑒相關(guān)研究的基礎(chǔ)上,認(rèn)為應(yīng)通過區(qū)分財(cái)產(chǎn)規(guī)則和責(zé)任規(guī)則的適用來實(shí)現(xiàn)對個人信息商品化的事前規(guī)制,并通過強(qiáng)化信息處理者告知義務(wù)、審查意思表示真實(shí)性、控制信息處理范圍等方式加強(qiáng)個人信息商品化過程中的合法性審查。此外,當(dāng)個人信息商品化對信息主體造成損害時,信息主體不僅可以依據(jù)《個人信息保護(hù)法》第六十九條請求財(cái)產(chǎn)損害賠償,而且可以請求精神損害賠償。信息主體不僅可以對已經(jīng)發(fā)生的損害請求賠償,而且可以對未來可能發(fā)生的危險(xiǎn)請求賠償。通過上述方法將完善對個人信息商品化的事前規(guī)制、事中審查、事后救濟(jì),以形成對個人信息商品化全方位、全過程的保護(hù)。