“个人信息权益”的民法新定位_高富平.pdf

东岳论丛Jun，2023 Vol44 No62023 年 6 月(第 44 卷/第6期)(Dong Yue Tribune)法学研究 作者简介 高富平(1963)，男，华东政法大学法律学院教授、博士生导师，研究方向:财产法、数据法;李群涛(1996)，男，华东政法大学法律学院数据法律研究中心研究人员，博士研究生，研究方向:财产法、数据法。参见程啸:侵害个人信息权益的侵权责任 ，中国法律评论，2021 年第 5 期。认为是民事权利的，可参见王成:个人信息民法保护的模式选择 ，中国社会科学，2019 年第 6 期;认为应采用行为规制模式的，参见高富平:个人信息保护:从个人控制到社会控制 ，法学研究，2018 年第 3 期。将个人数据与个人信息在相同意义上使用的基本理由有二:第一，欧洲话语体系中的个人数据与美国话语体系中的个人信息本质上与我国话语体系中的个人信息具有相同的指代对象，没有必要刻意区分;第二，当意识到无论是个人信息保护还是个人数据保护，其着眼点皆在于利益保护，那么问题关键在于界定利益，区分个人信息与个人数据便没有意义。“个人信息权益”的民法新定位高富平，李群涛(华东政法大学 法律学院，上海 200050)摘要 个人信息保护法 创设的“个人信息权益”源于基本权利，经由间接第三人效力理论而同时具有民法上意义。学界主张个人信息权益在民法上定位为新型权利或新型利益。然而，个人信息制度的“预防法”定位和个人信息权益不具有独立客体利益的窘境，都无法支持该主张。既然个人信息保护制度的作用是事前预防大规模、技术化的个人信息分析评估活动给既有一切民事权益造成系统性风险，那么个人信息权益毋宁只是既有一切民事权益在信息分析评估场景下的全新表达。进而，个人的权益因信息分析评估而受侵害并造成损害时适用个人信息保护法 第 69 条，非因信息分析评估而受侵害并造成损害时则适用 民法典 第 1165 条第 1 款，二者不存在竞合或聚合关系。民法典 第 1034 条第 3 款中的“没有规定”应解释为“没有关于信息分析评估场景中的规定”。关键词 个人信息权益;新型权益;个人信息保护法 第 69 条;民法典 第 1165 条 中图分类号 D923 文献标识码 A 文章编号 10038353(2023)06016611“个人信息权益”这一全新概念由 个人信息保护法 创设，并在处理个人信息侵权民事责任(第 69条第 1 款)等重要条文中出现，成为处理个人信息侵权损害赔偿请求权的重要构成要件。关于个人信息权益的定位，学界颇有分歧:对其是否具有民法上意义有争议，对其在民法上如何定位也无共识。关于后者，学界虽然长期存在“权利说”与“利益说”之争，但都同意个人信息权益在民法上是一种独立于其他人身权、财产权的新型民事权益(本文所称权益系“权利”和“利益”的统称)。本文认为，个人信息权益具有民法上意义，但民法上个人信息权益不是一项新型权益，而是既有一切民事权益在信息分析评估场景下的全新法律表达。一、个人信息权益的民法意义个人信息权益究竟是宪法上的基本权利还是民法上的一项权益，学界争议不断。事实上，个人信息权益本质上是一项宪法上的基本权利;不过基于基本权利的间接第三人效力，而具有民法上的意义。(一)个人信息权益源于宪法上基本权利个人信息权益源于宪法上的基本权利，这一定位在许多法域得到承认。个人信息权益在国际社会的常见法律表达是“个人数据受保护权”(right to the protection of personal data，本文将个人数据与个人信息在相同意义上使用)。2000 年，欧盟出台了欧盟基本权利宪章(EUF)，其中第 8 条创新性地在基本权利层面提出了个人数据保护。虽然该条并未将个人数据保护归纳为一项基本权利，而仅止步于“个人数据保护”(Protection of personal data)的法律表达，但是基于 EUF 的基础地位，欧洲普遍承认661DOI:10.15981/ki.dongyueluncong.2023.06.019位于该文件的个人数据受保护权是一项基本权利。无论是欧盟制定的 统一数据保护条例(GDP)还是欧洲委员会制定的 个人数据处理中的个人保护公约(“108+公约”)，都分别在开篇强调个人数据受保护权是基本权利。其他法域也大多跟风欧洲立法，进而也跟随这一基本权利立场。相比之下，我国台湾地区似有特殊。例如，其所谓的“个人资料保护法”第 1 条规定，“为规范个人资料之搜集、处理及利用，以避免人格权受侵害，并促进个人资料之合理利用，特制定本法。”从文义观之，个人信息权益在我国台湾地区似乎是“人格权”。然而，人格权在该地区具有基本权利和民法权利双层意涵。故此，事实上我国台湾地区的个人信息权益也仍然是一项基本权利。虽然个人信息权益并未在我国 宪法 中得到明文体现，但是个人信息权益可以由 宪法 第 33 条第 3款“国家尊重和保障人权”或者第 38 条第 1 句“中华人民共和国公民的人格尊严不受侵犯”所涵盖。个人信息保护法 第 1 条中“根据宪法，制定本法”的法律表达进一步确证了此种看法，说明个人信息权益是宪法上的一项基本权利。作为一项基本权利，个人信息权益的行使对象是国家(而非民事主体)，即要求国家设法在个人信息处理中保护个人，并且国家不得在个人信息处理中侵害个人正当权益。(二)由间接第三人效力衍生的民法意义个人信息权益作为基本权利具有要求国家尊重和保障之效力，这是作为基本权利的个人信息权益具有民法上意义的理论基础。按照基本权利的法理，基本权利的效力主要及于国家(或公共权力)，而不及于私人关系包括:国家充分认同、尊重公民基本权利，国家尽量使公民基本权利得以实现以及国家应当提供有效的基本权利救济机制。基于此种效力，宪法学理论逐渐承认基本权利有及于私人关系或私法领域的效力，即基本权利的第三人效力。不过，由于我国不承认宪法条文具有直接援引之功能，所以学理上只承认基本权利的间接第三人效力，即通过民法等部门法贯彻宪法上基本权利的方式来实现基本权利。至此可以认为，个人信息权益具有双重意涵，即个人信息权益源于基本权利，但同时具有民法上意义。个人信息权益具有民法上意义，是个人信息保护法立法的基调，也能在实定法中得到印证。关于中华人民共和国个人信息保护法(草案)的说明 中即明确，“把握权益保护的立法定位，与民法典等有关法律规定相衔接，细化、充实个人信息保护制度规则。”其中“权益保护”之语，表明个人信息权益被认为是保护的目的而不是保护的手段。这说明在个人信息保护法 立法时就认为个人信息权益具有民法上意义。同时，个人信息保护法 第 69 条第 1 款表明侵害个人信息权益将承担民法上的侵权责任，亦能倒推个人信息权益具有民法上意义。另外，民法典 总则编第 111 条以及人格权编第 10341039 条专门规定了个人信息有关问题，与个人信息权益有密切关联，也能说明个人信息权益具有民法上意义。二、个人信息权益:非新的独立民事权益既有学说共享同一种未经充分论证、检验的朴素前见:民法上个人信息权益是一项独立于既有民事权益的新权益。然而，从个人信息保护的制度定位以及个人信息权益不存在独立“客体”这两个角度，均能说明这一朴素前见无法成立。761“个人信息权益”的民法新定位参见王锡锌，彭錞:个人信息保护法律体系的宪法基础 ，清华法学，2021 年第 3 期;姚岳绒:论信息自决权作为一项基本权利在我国的证成 ，政治与法律，2012 年第 4 期。参见高富平:论个人信息处理中的个人权益保护 “个保法”立法定位 ，学术月刊，2021 年第 2 期。参见克劳斯威尔海姆卡纳里斯:基本权利与私法，曾韬、曹昱晨译，比较法研究，2015 年第 1 期。参见 宪法学 编写组:宪法学，北京:高等教育出版社、人民出版社，2011 年版，第 203205 页。参见杨登杰:基本权利私人间效力:直接还是间接?，中外法学，2022 年第 2 期。只是，个人信息保护法 中虽然有六处提到个人信息权益概念，不必然都具有民法上的意义。有学者提出，个人信息保护法 不同条文、不同位置的“权利”“权益”“受保护”皆应当作动态而非统一的理解。参见王锡锌:个人信息权益的三层构造及保护机制 ，现代法学，2021 年第 5 期。(一)个人信息制度并非意在创设新权益个人信息保护制度的定位对于判断新型权益是否具有合法性至关重要。一项新型权益的出现，须经过合理性、合法性、合适性的三重检验。其中合法性要求创设的新型权益必须能被实定法具体规则之文义范围所容纳，同时必须结合历史解释、目的解释等方法确证实定法有创设新型权益之意图。将民法上个人信息权益视为一项新型权益似乎在实定法具体规则之文义范围内(民法典 第 111 条及第10341039 条)，但是从个人信息制度的定位角度予以检视，则能够得出结论:个人信息保护相关实定法并不具有创设新型权益之意图。个人信息保护制度系主体民事权益保护的前置法、预防法。个人信息保护制度是在信息处理风险尚未产生之前，通过矫正实质不平等关系的方式而防范之。个人信息处理行为往往意味着海量个人信息同时被算法技术处理，一旦不加以事先控制，很有可能产生“系统性风险”，这恰恰成为现代社会治理的重大关切。所以个人信息保护制度是防范权益遭受巨大风险的前置性预防规范。这也是以个人信息保护法 为核心的个人信息保护制度与民法的重大差别。民法主要以事后救济为主(损害赔偿);至于事前保护的手段，只是消除危险，但适用消除危险责任的前提是“危险确实存在，对他人人身、财产安全造成现实威胁”。对于民事权益面临的尚未升级至危险(现实威胁)程度的风险，民法手段无能为力。故单纯诉诸民法的救济措施无法代替个人信息保护制度事前大规模控制风险的重要地位。另外，现行 个人信息保护法 第 11 条规定国家预防侵害个人信息权益的行为，这一条文更能确证个人信息保护制度的预防法特征。个人信息保护制度的前置法、预防法定位，决定了其功能不在于创设一项新民事权益，而是保障个人既有民事权益免遭危险。从实然角度，民法典 在人格权编最后一章虽然设置少量个人信息保护原则性条款，但是始终没有宣称其创设了一项新的民事权益，也始终未在民法典 中适用“个人信息权益”或“个人信息权”的提法。这无法证明“个人信息权益”是与隐私权、名誉权等既有民事权益并列的一项新权益。从应然角度，既然个人信息保护制度“设立目的在于事前性控制预防信息处理活动对个人权益所带来的抽象危险”，则说明在个人信息保护制度产生之前的问题不在于缺少一项亟需制定的民事权益，而是缺少保护既有民事权益的更加有效的手段。既然如此，个人信息保护制度没有必要创设一项新民事权益，只能充当保护既有民事权益的新手段。个人信息保护制度是保护既有民事权益的手段，但此种手段亦没有必要通过创设一项新民事权益而实现。个人信息保护法 第四章规定的若干“个人在个人信息处理活动中的权利”，只是一系列保护既有民事权益的手段(工具、程序)，“既是个人制衡信息处理者的工具，也是国家对数据处理者的规制策略。”这一系列权利甚至不是主要手段。触发个人信息保护制度制定的主要不是零散的个人信息直接使用行为(例如课外辅导机构获得并使用学校提供的学生名单)，而是基于算法和计算机的海量个人信息处理行为。在此种局势之下，个人的单独力量即使在事前保护上仍显得微不足道。因此，为了防止个人信息处理行为不当甚至违法而产生系统性风险，必须由可以与个人信息处理者抗衡(至少力量相当)的主体承担控制风险之大任。我国当下的选择是由网信部门作为控制风险的主要力量。个人信息保护法 第四章中“个人在个人信息处理活动中的权利”的出现，是因为监管部门针对海量个人信息处理行为予以控制难免有疏漏，此种情况下个人可以针对性地对其个人信息权益予以特别注意。(二)民法上个人信息权益新客体之检讨证成一项新型独立民事权益，必须找出支持此项权益的新客体(即利益)。需要注意的是，这种新861东岳论丛Jun，2023 Vol44 No62023 年 6 月(第 44 卷/第6期)(Dong Yue Tribune)参见雷磊:新