張軒誠

(山西大學法學院 太原 030006)

《中華人民共和國民法典》(以下簡稱《民法典》)于2021年1月1日正式施行,其中最大的亮點在于人格權(quán)獨立成編.人格權(quán)編規(guī)定了隱私權(quán)和個人信息保護,彰顯了我國對人格利益的關(guān)懷.2021年《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)的頒布,使得個人信息具有清晰的價值指向.在后現(xiàn)代化的今天,個人信息發(fā)揮著越來越重要的作用.繼農(nóng)業(yè)經(jīng)濟、工業(yè)經(jīng)濟的發(fā)展,全球數(shù)字經(jīng)濟應運而生,全球數(shù)字治理于每個國家而言愈發(fā)重要.

從區(qū)域?qū)用鎭砜?2020年6月,智利、新西蘭和新加坡(雙新)簽署了《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》(digital economy partnership agreement, DEPA),該協(xié)定旨在通過數(shù)字經(jīng)濟促進數(shù)字發(fā)展,包括數(shù)字包容性、數(shù)據(jù)流動與保護等內(nèi)容[1].我國于2022年8月22日正式成立了DEPA工作組,實現(xiàn)我國全面推進加入DEPA談判的目標[2].2019年超過80%的經(jīng)合組織國家報告稱,人工智能和大數(shù)據(jù)分析是“隱私和個人數(shù)據(jù)保護”的最大挑戰(zhàn),因此各國政府正提高對隱私和數(shù)據(jù)保護的認識[3]14.為此分析個人信息侵害的特殊性,并著眼“雙新”的相關(guān)規(guī)則,為我國個人信息的保護提供優(yōu)化路徑.

1 DEPA個人信息保護梳理:聚焦“雙新”研究

新加坡與新西蘭作為DEPA中唯二的發(fā)達國家,無論是新加坡新修訂的《個人資料保護法令修正案》,還是新西蘭新頒布的《2020年隱私法》,于我國而言,有效地借鑒二者的相關(guān)規(guī)則,有助于在個人信息保護方面實現(xiàn)與國際規(guī)則的銜接,加強數(shù)字貿(mào)易合作并建立相關(guān)規(guī)范,力爭盡早正式加入DEPA.本節(jié)將從新加坡與新西蘭的個人信息保護入手進入梳理.

1.1 新加坡:《個人資料保護法令》

DEPA締約方之一的新加坡于2012年頒布了《個人資料保護法令》(the personal data protection act, PDPA),規(guī)范了相關(guān)組織對個人資料的收集、使用與披露,并于2020年進行了修訂,通過了《個人資料保護法令修正案》,新增信息可攜權(quán)、數(shù)據(jù)傳輸義務以及組織的問責制等,提高了對機構(gòu)違法行為的處罰力度[4]123.

在權(quán)利構(gòu)架方面,新加坡運用三方主體為平衡權(quán)利人的個人權(quán)益、數(shù)據(jù)收集者的經(jīng)濟發(fā)展和國家安全之間的沖突提供一個切實可行的方案.換言之,新加坡發(fā)布的《網(wǎng)絡(luò)安全法案》《個人數(shù)據(jù)保護法》《計算機濫用法》3部法案,分別由新加坡網(wǎng)絡(luò)安全局、新加坡個人數(shù)據(jù)保護委員會和新加坡警察部隊牽頭執(zhí)法,各個法案之間相互聯(lián)動,各個部門各司其職共同維護新加坡的數(shù)據(jù)發(fā)展和網(wǎng)絡(luò)安全.如一起網(wǎng)絡(luò)事件涉及某個計算機系統(tǒng),需要在規(guī)定的時間內(nèi)向網(wǎng)絡(luò)安全局報告該事件,此外,個人數(shù)據(jù)泄露規(guī)模巨大,可能對個人造成重大傷害,則必須通知個人數(shù)據(jù)保護委員會,更有甚者,未經(jīng)授權(quán)進入某電腦系統(tǒng),應向警方報告[5]12.

知情同意規(guī)則作為個人信息收集的核心條款,應當詳實地保障權(quán)利人的知情權(quán),提高信息處理的可操作性.鑒于此,為緩和利益之間的不平衡,新加坡在PDPA中不僅規(guī)定了一般同意的規(guī)定,還規(guī)定“視為同意”的規(guī)則.在一般同意規(guī)則下,在取得權(quán)利人同意的同時還需遵守以下義務:其一,在收集、使用和披露個人資料的同時,不得超出提供產(chǎn)品或服務的合理性;其二,禁止組織通過提供虛假的資料或欺騙性的做法,取得或企圖取得同意,否則同意無效(1)參見新加坡《個人資料保護法令》第14條.,具體而言,新加坡的PDPA視為同意分為3種情形,分別是視為行為同意、根據(jù)合同被視為同意以及通過通知視為同意.第1種視為同意是個人自愿向機構(gòu)提供個人數(shù)據(jù),即視為行為同意(2)參見新加坡《個人資料保護法令》第15(1)條.;第2種情形為根據(jù)合同被視為同意(3)參見新加坡《個人資料保護法令》第15(3)條和第15(6)條.,該視為同意項下的為了合同目的的情形,不僅是簡單的“用戶-服務端”的模式,而是涉及多重服務供應商,因此權(quán)利人被視為同意具有合理性;而第3種情形是通過“通知”視為同意(4)參見新加坡《個人資料保護法令》第15A(2)條.,但此種通過“通知”視為同意的情形也存在權(quán)利的邊界,首先,需要對收集的個人資料進行評估(5)評估的方法和手段參見新加坡《個人資料保護法令》附件B.,該行為不會產(chǎn)生不利影響(6)參見新加坡《個人資料保護法令》第15A(4)(a)條.,并采取合理措施以消除不良影響、降低不良反應發(fā)生的可能性以及減輕不良影響(7)參見新加坡《個人資料保護法令》第15A(5)條..通知的規(guī)則要盡量保障組織能夠采取合理的措施保障通知的傳達,即應當告知權(quán)利人收集數(shù)據(jù)的意圖以及權(quán)利人選擇不被收集而有的合理期限與方式(8)參見新加坡《個人資料保護法令》第15A(4)(b)條.,增強了權(quán)利人獲取產(chǎn)品與服務的體驗感.與此同時,新加坡PDPA附件A列舉了個人資料同意要求的例外事項,并將其分為重大利益、影響公眾的事項、公共利益、合法利益等7項內(nèi)容,其下列舉了具體的適用情形也為權(quán)利人行使權(quán)利增加了透明性.

根據(jù)新加坡PDPA經(jīng)濟處罰的規(guī)定,違反個人資料的保護、個人資料的收集、使用和披露、訪問個人資料與個人資料的更正等,對組織施加的經(jīng)濟處罰不得超過100萬新加坡元(9)參見新加坡《個人資料保護法令》第48J(3)條..除此之外,在違反上述情形中,對組織不僅要處以經(jīng)濟處罰,還要規(guī)制相關(guān)行為,即:停止違反PDPA收集、使用或披露個人數(shù)據(jù);銷毀違反PDPA收集的個人數(shù)據(jù);拒絕提供個人資料的訪問、更正、傳輸?shù)葯?quán)限(10)參見新加坡《個人資料保護法令》第48I(2)條..

1.2 新西蘭:《2020年隱私法》

縱觀國際社會,DEPA的另一締約方新西蘭頒布了《2020年隱私法》,該法案引入了隱私違規(guī)通知義務,并加強了跨境保護與刑事犯罪等內(nèi)容.該法案為新西蘭提供了更好的隱私保護,并把控了隱私侵權(quán)風險.

在知情同意規(guī)則方面,新西蘭的7項告知內(nèi)容提高了司法的適用性.據(jù)新西蘭的《2020年隱私法》規(guī)定的13個信息隱私的原則(11)參見新西蘭《2020年隱私法》第22條.,其中第3個原則個人信息收集的主題恰好體現(xiàn)了機構(gòu)的通知義務,即應該采取合理的措施將有關(guān)內(nèi)容告知權(quán)利人:1)收集信息的事實;2)收集信息的目的;3)信息的預期接收者;4)姓名和地址;5)個人提供的信息是自愿還是強制性;6)未提供完整信息的法律后果;7)訪問和更正IPP提供的信息的權(quán)利.上述的告知內(nèi)容為經(jīng)濟的發(fā)展預留了備用空間.

在刑事責任方面,相較于新西蘭的《2013年隱私法》,《2020年隱私法》在其基礎(chǔ)上新增了2項刑事條款(12)參見新西蘭《2013年隱私法》第127條.:一是冒充他人或假裝以該人的權(quán)限行事,從而誤導機構(gòu),并獲取該個人的信息或?qū)ζ溥M行更改或破壞(13)參見新西蘭《2020年隱私法》第212(2)(c)條.;二是在明知已有要求提取某些信息的情況下,銷毀包含個人信息的文件(14)參見新西蘭《2020年隱私法》第212(2)(d)條..故新西蘭將上述6種情形作為刑事處罰的對象,一經(jīng)定罪,將處于最高1萬新西蘭元的罰款.上述2種情形更多的是立足于數(shù)字經(jīng)濟的發(fā)展,利用互聯(lián)網(wǎng)的虛擬性非法采集、獲取以及冒用權(quán)利人的個人信息,處以刑事處罰更有利于體現(xiàn)法律普適性與動態(tài)變化.

2 我國加入DEPA存在的缺憾與挑戰(zhàn)

2.1 個人信息保護的法律體系架構(gòu)性不足

2016年頒布的《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)首次明確了個人信息的含義.2020年通過《民法典》第1034條也規(guī)定了的個人信息的含義.通過比較《網(wǎng)絡(luò)安全法》《民法典》《個人信息保護法》在不同的領(lǐng)域保護個人信息,難免出現(xiàn)法律沖突.在義務主體上,《網(wǎng)絡(luò)安全法》的義務主體為網(wǎng)絡(luò)運營者,主要對網(wǎng)絡(luò)上的環(huán)境進行監(jiān)管,而《民法典》中的義務主體是除權(quán)利人以外的所有人,在適用的過程中會出現(xiàn)主體選擇問題.此外,在個人信息保護的權(quán)利模式上規(guī)定不清,《民法典》規(guī)定個人信息受法律保護,《個人信息保護法》規(guī)定保護個人信息權(quán)益.由此看出,二者都沒有對其采用“權(quán)利”保護,故在法律層面會受到一定的限制.

2.2 個人信息處理同意規(guī)則的異化

《民法典》第1035條規(guī)定,處理用戶的個人信息必須經(jīng)過用戶的同意.信息收集者應遵守合法、正當和必要的原則以及權(quán)利人的知情同意規(guī)則,并使得個人信息的獲取成為一項合法事由.可以看出,用戶的知情同意規(guī)則成為信息處理者處理個人信息的有效工具,保障個人權(quán)利主體享有信息自決權(quán),也是保障權(quán)利人對個人信息的控制[6]75.《個人信息保護法》第17條規(guī)定了處理個人信息的收集方式,但在實踐中各種APP的隱私條款內(nèi)容冗雜,難以發(fā)揮知情同意規(guī)則的作用.其次,《個人信息保護法》第16條闡述了個人信息的知情同意規(guī)則,若權(quán)利人不同意收集,則相關(guān)數(shù)據(jù)服務站也不能拒絕提供相應的服務.但權(quán)利人不同意用戶規(guī)則,其后果將是無法使用.

顯然,上述規(guī)則也顯示出知情同意存在濫用的風險.由于隱私條款的特性會導致用戶不經(jīng)閱讀就同意該規(guī)則,此時這些條款在烙上告知同意的名號后,不僅合法地收集個人信息,還將對個人信息的安全造成威脅[7]48.《個人信息保護法》第14條規(guī)定,該同意應當由個人在充分知情的前提下自愿作出,但用戶往往出于各種原因不想閱讀冗長的條款而選擇同意.此時,權(quán)利人在沒有“明知”的情況下完成了同意,而信息服務平臺也因此完成了信息提供義務并免除了超范圍收集信息行為的責任,這種“異化”責任有違反公平合理的原則[8]128-129.

2.3 個人信息法律救濟的有效性缺位

要承擔侵權(quán)責任就要明確證明責任的分配.根據(jù)《個人信息保護法》第69條規(guī)定,采用過錯推定的歸責原則,將原本屬于權(quán)利人的“過錯”賦予信息處理者證明,若舉證不能,將面臨訴訟上的不利益.如今,技術(shù)措施相較于傳統(tǒng)行業(yè)具有不透明性,在取證的過程中,權(quán)利人一般難以舉證信息收集者存在“過錯”,但若將證明責任轉(zhuǎn)移給信息收集者,才更能保護劣勢的權(quán)利人.

個人信息的屬性可歸屬為人格利益和財產(chǎn)利益.由于人格權(quán)部分與人身相關(guān)聯(lián)、人格權(quán)部分與個人的權(quán)利能力相關(guān)聯(lián);財產(chǎn)權(quán)部分沒有人身利益的部分,因此法律可以規(guī)定一個使用、轉(zhuǎn)讓的具體期限[9]87.在人格利益方面,由于沒有隱私權(quán)的絕對保護,難以真正維護個人的人格價值.因此《個人信息保護法》第69條的內(nèi)容應適時而變,盡管規(guī)定了損害賠償順序,但由于個人信息具有人格的屬性,由此帶來的損失難以估量,無法作出相應賠償,此時應考慮如何實現(xiàn)立法與司法的有機配合.

3 對接DEPA個人信息保護規(guī)則的法律思考

3.1 明確民法視閾下個人信息保護的法律規(guī)范

我國《民法典》僅涉及個人信息的原則性內(nèi)容,而《個人信息保護法》第62條對人工智能新技術(shù)、人臉識別技術(shù)等的個人信息保護原則做出了規(guī)定,但內(nèi)容不夠詳實.因此,在我國法律體系上,應當以《民法典》保護為基礎(chǔ),《個人信息保護法》為有效支撐,《人臉識別信息若干規(guī)定》等個人信息為全新視角.

本文認為應細化生物識別信息的種類并出臺相應的法律規(guī)范.對一般信息與敏感信息進行“分類分級分權(quán)”保護,并進行證明責任的分配以此確定相關(guān)的責任.因此對個人信息的收集應采取更加嚴苛的保護,即過錯原則對一般信息使用,而涉及第三方從終端用戶獲取個人信息、敏感信息以及個人跨境信息采取無過錯原則.無過錯原則只要侵權(quán)人采取的手段對權(quán)利人造成損害,則應當對權(quán)利人承擔責任.

更重要的是,雖然我國區(qū)分了一般信息和敏感信息,但隨著社會的發(fā)展權(quán)利人面對不同的信息會有不同的觸感反應.在大多數(shù)情況下,與醫(yī)療和財務有關(guān)的信息被列為敏感信息.對已淡化為一般信息的進行及時調(diào)整,對極為重要的個人信息優(yōu)化升級,此舉更符合權(quán)利人的期待.

3.2 優(yōu)化個人信息保護權(quán)利體系

《民法典》規(guī)定,“個人信息受法律保護”,《個人信息保護法》則采用“利益”.利益相較于權(quán)利而言保護力度更弱,此種手段難以應對當今時代個人信息泄露的巨大風險.

一方面,如果將利益和權(quán)利采取同樣的法律保護[10]99,不對個人信息以權(quán)利保護也在情理之中.此時,利益可以享有絕對權(quán)的保護,可以很好地體現(xiàn)在《民法典》人格權(quán)編中體現(xiàn)對個人權(quán)利以利益的優(yōu)先考慮.另一方面,由于“利益”在民法體系上的保護力度相對“權(quán)利”而言較弱,若以利益進行規(guī)制難免對個人信息保護不周,因而可以出臺《個人信息保護法》的相關(guān)解釋,明確個人信息保護的權(quán)利定位,將信任原則納入該法案中,在利用信息的同時不得超出權(quán)利人的合理期待[11]152.新西蘭的《2020年隱私法》將個人信息界定為有關(guān)可識別個人身份的信息與死亡有關(guān)的信息(15)參見新西蘭《2020年隱私法》第7條.,新加坡對個人資料的定義亦是如此(16)參見新加坡《個人資料保護法令》第2條..由此可見,對《個人信息保護法》的保護應采取寬進寬出的模式,為新技術(shù)的發(fā)展提供法律兜底.

如何合理利用而非盜用個人信息是亟待解決的問題.一般對個人信息的侵害主要是對個人信息的二次利用和出售個人信息以換取經(jīng)濟價值[12]36.而DEPA在個人信息保護中強調(diào),對個人信息的保護可以促進個人信息的社會效益,采取不同的法律方式保證不同體制之間的交互操作性;除此之外,該協(xié)定對保護個人信息的原則進行列舉,在規(guī)則無法窮盡社會問題時以原則進行保護,其中規(guī)定了收集限制、用途說明等,保障數(shù)據(jù)收集的安全性與規(guī)則的透明度.

3.3 明確個人信息處理的同意規(guī)則

3.3.1 采用簡潔易懂的告知同意規(guī)則

個人信息收集的告知同意規(guī)則以平實的語言告知權(quán)利人,能更清楚信息收集的范圍,同時應避免晦澀的語言.通過簡單的隱私條款可以使權(quán)利人容易了解信息采集的過程,采用友好型的操作頁面能使用戶對隱私條款進行清楚地解讀.

更重要的是,我國個人信息的告知同意規(guī)定,應以顯著方式,清晰易懂、準確、完整地告知個人,對相關(guān)事項采取“列舉+兜底”的方式,但該事項僅是原則性規(guī)定,并非具體事項.有法院認為,未在顯著位置且未通過彈窗提示用戶閱讀隱私政策,屬于違法處理個人信息的行為(17)杭州互聯(lián)網(wǎng)法院發(fā)布個人信息保護10大典型案例(2020)浙0192民初4252號..故個人信息的告知同意應以明顯清楚的方式進行.此外,2022年發(fā)布的《信息安全技術(shù)移動互聯(lián)網(wǎng)應用程序(APP)收集個人信息基本要求》附件A提出了常見APP必要個人信息的范圍,涉及網(wǎng)約車類、即時通信類和餐飲外賣類等39類APP必要個人信息的使用要求.但該附件僅對當前APP的必要個人信息進行說明,但未涉及其他領(lǐng)域.故對個人信息的保護應當結(jié)合上述39項必要個人信息的說明要求以及新加坡關(guān)于同意告知的例外情況,增強《個人信息保護法》法律適用性.

3.3.2 提高告知同意的規(guī)則的法律適用性

一般信息采用告知同意規(guī)則即可解決問題,而敏感信息對權(quán)利人的影響較大,在一般個人信息處理規(guī)則的基礎(chǔ)上,還應當告知處理的必要性以及對個人的影響.根據(jù)《個人信息保護法》處理者向其他個人信息處理者提供其處理的個人信息的(第23條)、公開處理個人信息(第25條)、在所收集的個人圖像和身份識別信息用于維護公共安全以外的目的(第26條)、處理敏感信息的(第29條)以及向境外提供信息的(第39條)需要單獨同意.此外,還建立動態(tài)的知情同意機制,信息處理者告知其信息的動態(tài)使用情況,賦予其繼續(xù)同意或撤銷的權(quán)利[13]158.本文認為還應對特殊信息應采用多顏色提示并采取彈框的形式,提示權(quán)利人.

從實踐來看,我國規(guī)定了個人信息的知情同意規(guī)則,“用戶-服務端”簡單的運營模式能避免隱私泄露,但多鏈垂式的運營模式通過權(quán)利人的同意之后,并經(jīng)過層層上報無疑會導致效率的低下,最終影響權(quán)利人的體驗.因此我國可以借鑒新西蘭《2020年隱私法》中的內(nèi)容并細化知情規(guī)則,即:1)信息處理者的基本信息;2)處理的目的、種類與期限;3)處理的方式和程序(自愿還是強制);4)未提供完整信息的法律后果;5)訪問和更正IPP提供的信息的權(quán)利.故上述“5要素”規(guī)則可以適用單鏈模式與多鏈模式,保障權(quán)利人的數(shù)據(jù)信息安全.

3.4 侵犯個人信息的法律責任的合理適用

3.4.1 個人信息保護之刑法規(guī)制的解釋

我國侵犯公民個人信息罪順應了互聯(lián)網(wǎng)的社會形勢,且個人信息的獲取變得十分便捷,合法獲取個人信息的行為變得較為常見,通過權(quán)利人的合法授權(quán)等方式獲取,但合法獲取個人信息而進行非法利用的法律性質(zhì)更加惡劣[14]151,此時應當對《刑法》第253條之一第2款進行完善,將在履行職責或者提供服務過程中獲得的公民個人信息納入其中,也就是說上述的行為應從重處罰.

上述對侵犯公民個人信息的行為給予刑事處罰.刑事處罰不僅要于法有據(jù),更要符合社會常理,在一動一靜中維護法治的權(quán)威,故在完善我國《刑法》關(guān)于侵犯公民個人信息罪的同時,借鑒新西蘭中有關(guān)刑事責任的處罰,明確冒充他人權(quán)限以誤導機構(gòu),由此使用、更改或銷毀個人信息的行為,并處以一定的罰款.

3.4.2 個人信息保護的經(jīng)濟責任初構(gòu)建

隨著電子支付的興起,支付方式也發(fā)生了變化.電子支付方式通過指紋、人臉識別將相關(guān)信息傳輸?shù)綌?shù)字媒介中,實現(xiàn)了個人信息與數(shù)字技術(shù)的鏈接.DEPA在電子支付中強調(diào)應通過監(jiān)管的方式加強電子支付的系統(tǒng)安全,保障支付下的個人信息安全.若形成電子支付下的安全缺失,DEPA將健全金融責任措施,阻止相關(guān)信息在各締約方間流轉(zhuǎn),保障權(quán)利人的個人信息,并完善個人信息收集者的金融責任,實現(xiàn)兼容性發(fā)展(18)參見《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》第15章 例外 第15.4.3條 審慎例外和貨幣和匯率政策例外..

在經(jīng)濟責任方面,新加坡將違反個人信息的賠償金提升至較高的賠償額度,法定化更有利于信息處理者履行好職責.我國可以借鑒新加坡的賠償標準,在個人數(shù)據(jù)的處理、泄露方面,對相關(guān)組織及人員施加一定的經(jīng)濟處罰,實現(xiàn)權(quán)責相統(tǒng)一.這也是我國順應全球數(shù)字經(jīng)濟發(fā)展的大潮并逐漸與國際接軌的舉措.

4 結(jié) 語

在個人信息保護方面,我國以《民法典》為基礎(chǔ)、《個人信息保護法》為解決方案.區(qū)分一般信息和敏感信息,真正保障權(quán)利人的人格尊嚴.細化“知情同意”規(guī)則,使其更具有實踐操作性,并在刑事犯罪領(lǐng)域懲治侵犯個人信息的犯罪行為.在個人信息保護方面,DEPA與其締約方的法律制度為我國的規(guī)則構(gòu)建提供了多元選擇,更重要的是有助于加速我國加入DEPA的談判進程,促進創(chuàng)新與數(shù)字化發(fā)展.