第二节 网络个人信息权利
一、网络隐私权
隐私权的概念是从人格权的概念引出的。人格权,是指主体依法所固有的以人格利益为客体的,为维护主体的独立人格所必备的权利。
人格权之所以被认为与一般民事权利有较大差异,主要是因为传统民事权利属于外在的权利,而将人格自由、人格尊严等人权具体化的人格权主要是"内在于人格的权利".现代民法中的人格和人格权理论,就其特征而言,仍然在于强调人格和人格权的"非财产性"和"不可侵犯性",主要目的在于为人的尊严、自由和安全提供全面的保护,而对当代社会中人格隐私在商业化利用中所表现出来的财产性缺乏分析和解释。
隐私权是一项人格权。隐私权是指自然人享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权。
隐私权同生命权、健康权、姓名权、肖像权、名誉权等其他基于人格利益所享有的排除他人侵害的权利一起构成了人格权的主要组成部分,而当隐私权受到侵犯的同时,往往姓名权或名誉权也可能受到侵犯,这时就产生请求权竞合的问题。随着网络的普及和电子通讯技术的发展,隐私权受到侵害的可能性相比以前大大增加,对于隐私权的保护,首先应在人格权保护的框架下进行。有关隐私权的定义、种类、内容、发生侵害行为的归责原则、侵害公民个人隐私权应承担的民事责任等,都在人格权立法的完善过程中加以充分规定,而有关侵权部分的内容则由《侵权责任法》加以规定。
网络隐私权与传统隐私权的概念是一致的。网络空间是虚拟的,如同现实世界一样,进入网络空间的个人,可以拥有自己虚拟的生活领域,可以自主确定个人隐私的使用、处理和控制。网络隐私权,是指在网络时代,上网人群所享有的个人数据信息不受他人侵犯,能够直接支配其网络隐私利益,并且不因网络行为而妨碍其独处的一种人格权利和财产权利。
有别于传统意义上的个人信息隐私,网络时代出现了许多新的课题。比如:
非法侵入他人计算机系统并窃取个人信息的行为,可以认为是一种新型的侵犯个人信息隐私权的行为。传统意义上的隐私侵犯,对隐私材料的搜集、传播和利用是通过观察、监听等方式进行,但在网络环境下,信息在网络环境下是以电子方式传播,网络使传统的隐私保护方式变得不堪一击。而且,传统隐私一般仅以静态形式存在,而网络环境下包含隐私内容的个人信息经过收集、加工、传输等阶段形成了一个动态的过程。由于网络侵权行为的隐蔽性和迅捷性,使网络隐私权的保护变得困难重重。
网络隐私权必须凭借互联网作为平台才能得以保持和发展,它主要指虚拟的网络世界中的权利。然而,网络隐私权也必然包括非网络世界的权利。因此,网络隐私权利不仅包含传统意义上的人格权属性,也使其财产权属性也得以发展,网络隐私权利不仅具备人身特性,也具备财产特性。
网络隐私权属于上网人群,而不属于法人或者非法人组织。上网人群具有共同的群体特征,在网络世界中各自占有不为别人知晓和打扰的隐秘空间,符合隐私权的基本要求,可以构成网络隐私权利的内容。
网络隐私权的具体内容包括个人网络信息权利和个人信息权利。网络信息可以不同于现实生活中的真实信息,但由于是个人发布的,因此属于个人信息的一部分。权利人可以使用网络语言和网络提供的便利发布信息,也有权通过网络技术手段以防止网络信息和其他个人信息被他人盗取或采用其他手段侵害。
二、个人信息资料权
所谓个人信息资料权,是指个人信息主体依法对其个人信息所享有的支配、控制并排除国家或者他人侵害的权利。设立该权利的目的在于全面保障作为民事主体的自然人人格权利和财产权利。这项权利又可以分为资料查阅权、更新修正权、封锁权、删除权、收益权这五项权利。
由于目前在我国,法律上不承认个人信息资料权,因此个人信息在网络环境下被肆意收集、加工、传送和买卖,如果又不存在隐私被侵犯的情形,那么,个人信息主体对自身信息的支配与请求权无法得到保护。即便存在隐私被侵犯的情形,由于隐私权的权能对被侵权人的保护能力是有限的,无法实现全面保护。个人信息资料权这一新型法律权利的概念,应该为我国立法者所重视。
个人信息资料权的核心特征是支配和请求。支配权是权利主体在法律许可的范围内支配客体,对权利客体实施一定行为的权利。个人信息资料权作为一项重要的民事权利,实现的方式不外乎是在法律允许的范围内对权利客体实施一定行为,或者请求义务主体为或不为一定行为。在权利受到侵害时,还可以请求公力救济。
个人信息资料权的权益同时包括人格利益和财产利益,具体体现为个人信息主体有权支配其个人信息而排除他人不法干涉,而且还体现在个人信息主体可以向信息控制人要求查阅个人信息、更新修正个人信息、封存个人信息或者删除个人信息,甚至还可以对个人信息要求获得利益。
个人信息资料权的主体即个人信息主体只能是自然人,而不可以是法人。个人信息资料权必须归属于个人信息主体而不是它的收集者。正如个人信息主体对其自己的个人信息享有人格权一样,个人信息主体应对个人信息中所包含的商业价值享有支配权,也即重要的财产权利。不可以因为他人对于个人信息的收集、加工而取得个人信息的财产所有权。
在网络环境下,个人信息资料权的行使有一定的特殊性。比如;在利用网络环境下的个人信息之前,可以通过电子方式(如:电子签名等)取得信息主体本人的同意。又如:网络环境下,许多个人信息是自动生成的,因此可以行使个人信息删除权,要求对方删除,并禁止其擅自加工处理这些上网时自动生成的个人信息。此外,利用个人信息之前应该履行通知个人信息主体的义务,而且确保信息主体的个人信息资料查阅权。在网络环境下,网络服务提供者应当提供免费在线的、允许个人信息主体查阅自己个人信息的服务。
个人信息资料权的权利内容具体包括下述五项内容:
第一,个人信息资料查阅权。个人信息主体可以提出查阅与个人信息收集、处理和利用等有关的信息,所以这项权利也可以称为"知悉权"或"知情权".信息主体只有获得这一权利,才可以准确了解自己的个人信息掌握在谁的手上,在怎样的场合被如何使用。这项权利,实际上是一项极其重要的权利,目前大多数对个人信息保护已经专项立法的国家都对这一权利作出明确规定。个人信息主体有权查阅的内容应当包括:个人信息的持有人、收集方法、使用范围、信息被传递的具体情况,等等。对该项权利的行使,应当不适用诉讼时效及除斥期间的规定。
个人信息主体应该有权申请查阅,但应当书面申请,个人信息控制人在审查确认申请人的主体资格后,也应该以书面形式答复。通过这样类似申请查询政府信息的规范流程操作,才能确保最大限度地降低个人信息泄露事故的发生概率。对个人行使查阅权进行限制的情形,只能限于可能危及公共利益或者违反法律强制性规定,而不能随意剥夺或者变相剥夺这项权利。
第二,个人信息资料更新修正权。个人信息主体发现其个人信息过时或存在错漏时,即可以要求予以更新、更正或者补充。这项权利的存在,是为了保证个人信息始终保持正确和完整,从而保护个人信息主体的权益。如果个人信息因为种种原因随着时间的流逝而出现了重大瑕疵,必然可能给信息主体造成损害。所以,这也是信息主体应有的一项重要权利。个人信息控制人应当及时主动地更新修正出现错漏的个人信息,也可以要求信息主体予以协助。反之,个人信息主体要求信息控制人及时更新修正的,信息控制人应当予以满足。我国《政府信息公开条例》第 25 条之规定即属于个人信息资料更新修正权在立法上的反映。对个人信息进行更新修改,要求对错误信息予以更正,必要时将部分信息予以删除,如果信息已经过时的话,则需要将最新的情况补充进去,以保证个人信息能维持新颖性。
第三,个人信息资料封锁权。这项权利是指在法定或者约定的事由发生时,个人信息主体有权要求以一定方式暂时停止信息利用。封锁是德国个人信息立法的首创的概念 ,是指采取一定的措施 ,限制对已储存的特定个人信息的继续处理或利用的行为。最常见的封锁措施如关闭网络服务器、对个人信息进行加密等。
德国资料法中对封锁的定义为:指为限制继续处理或利用,而对已储存之个人信息附加符号。
信息的正确性与完整性处于不确定状态时,封锁权即可以行使。封锁的目的在于限制继续处理和利用。个人信息主体在行使封锁权时,应当以书面或口头方式提出请求。封锁的方式是对个人信息标注"符号"."符合"的内容取决于采取怎样的技术手段和处理方式,不需要作明确的规定。只要能够实现限制对该信息的继续处理或利用的效果,就可以完成这项工作。由于网络环境下信息处理自动化水平相当高,因此行使这项权利不存在任何难度。之所以个人信息主体欲行使这项权利,一般是因为相关个人信息因种种原因暂时不再需要。当然也有可能由于对相关个人信息的正确与否,个人信息控制人和个人信息主体之间存有争议,而且短时间内无法解决该争议,那么在这种情况下就应该对个人信息进行封存,此时封存最大的好处便是无论孰是孰非,可能给信息主体带来不利影响的情形可以避免发生。而且,封存比删除好,封存的个人信息一旦需要恢复,还可以有机会恢复。被封存的个人信息,原则上不得被处理和利用,除非得到信息主体的同意或其他合法授权。此外,个人信息被封存后,个人信息主体仍然可以行使查阅权、更新修正权和删除权。
第四,个人信息资料删除权。这项权利是指在法定或约定的事由发生时,个人信息主体有权请求删除其个人信息。行使此项权利的前提是:(1)处理与利用个人信息的目的消失;(2)处理与利用信息的期限届满;(3)处理与利用行为不具备合法性。对删除行为,有相当严格的要求。只有在处理与利用个人信息的目的消失、期限届满或者处理与利用行为欠缺合法性的情况下,才可以行使删除权。
任意删除是被禁止的,因为这样容易导致个人信息主体必须重复提供相关个人信息。对个人信息的处理和利用,必须具备合法性。法律作了规定,或者与个人信息主体约定了处理和利用的范围的,应该遵守法律的规定或者事先的约定。反之,处理和利用不再有法律依据时,即应作删除处理。作删除处理后,不允许信息以其他任何形式存在,即必须运用信息技术将其彻底消除,这是对删除所作的严格要求。
第五,个人信息资料收益权。信息控制人为谋取商业利益而收集、利用个人信息,个人信息主体有权要求信息控制人支付使用费用,或者与其分享收益,这种权利也可以称为"个人信息报酬请求权".虽然传统民法理论认为个人信息与人格权相关,而与财产权利无关,但在网络社会中个人信息的商业价值是任何人都无法否认的,因此个人信息也可以成为财产权的客体。既然如此,信息控制人利用他人的个人信息获得收益,理应支付对价。该种权能的设置是为了迎合个人信息商业化的需要,同时也是对实践操作的一种对接,因为在现实社会中,个人信息被用于商业化利用的情况已经较为普遍,乃至于直接将个人信息作为"商品"交易的情况也已经屡见不鲜,由此看来,个人信息商业化趋势已经越来越强,而与其立法进行个人信息商业化利用的限制,反不如对其加以认可来鼓励合法的个人信息商业化利用。
三、个人信息资料权与隐私权的关系
隐私的概念是个人的,因而其核心价值在于个人的独立自主性,也就是说每一个人都拥有平等的不被打搅的自由。"不受打扰"意义上的隐私实际包括一个人和他周围人之间的四种不同关系,即孤立状态、亲密关系、姓名保密和隐私保留。
而个人信息与信息主体相关联,是可以直接或间接地识别本人的信息,如个人姓名、肖像、身份证号码、手机电话号码等,内容广泛。但是,并非所有的个人信息都属于个人隐私的范畴,有些信息资料是可以公开的,而且是必须公开的。比如,姓名、手机电话号码、身份证号码的收集和公开符合公共管理的需要,一般应在一定范围内公开,这些个人信息显然难以归入到隐私的范畴。当然,即便对于这些个人信息,个人也应当有一定的控制权,如知晓在多大程度上公开,向什么样的人公开,别人会出于怎样的目的利用这些信息等等。 个人信息和隐私彼此存在交集。
其次,个人隐私指个人的私密空间,而个人信息则偏重于"识别",个人信息保护是强调如何对个人信息的收集、利用、传递等行为加以管理,以及如何对个人信息主体与作为信息处理者的公共机构和非公共部门之间的关系作调整。而且,个人信息保护与隐私保护的立法目的不同,个人信息保护的立法目的是确保人格尊严和个人信息安全且自由地流通,这两者都不能偏废。而隐私保护的立法目的仅仅涉及人格尊严的保护。
传统意义上的隐私权的概念具有消极被动的特点。隐私权最初主要是作为一种消极防御的权利产生的,即禁止他人侵害,排斥他人干涉。隐私权的内容偏重于消极防御,即在权利受到侵害时寻求救济或者排除妨碍。隐私权的保护目的在于防范个人隐私被不当公开或泄露,而不在于利用。 但伴随着电子信息技术的日益发展,个人信息的大量收集和加工利用成为一件非常简单的事情,这就使个人信息主体遭到侵权的可能性极大增长。从权利的行使情况来看,隐私权是与人身密不可分的,隐私权不能转让,不能作为交易的客体,而个人信息的显着特征就是个人信息能够作为商业交易的对象,而且在市场经济条件下,个人信息的商业运用将成为个人信息生成人行使权利的主要实现途径。
基于此,传统意义上消极被动的隐私权难以应对层出不穷的网络环境下个人信息受侵害的新问题。于是,个人信息资料权的确立成为必须。个人信息资料权更具有支配权的特征,具体表现在信息主体可以自己决定何时何地对信息进行收集、储存和加工,包括允许何人使用、如何使用,还包含更新、更正等内容。信息主体通过行使个人信息资料权,真正按自己的意志从事某种与公共利益无关的活动而不受非法干涉。在网络环境下,个人信息的商业价值几乎完全被网络服务提供商占据,网络服务提供商运用其掌握的信息收集和加工能力获取商业利益的最大化,在双方力量对比悬殊、作为弱者一方的个人信息主体的权利如何加以保护呢?个人信息资料权的确立可以弥补这部分保护不足,个人信息资料权利内容中还包括个人信息主体可以要求获得收益的权利,这是隐私权无法提供的权能。此外,个人信息可以商品化而隐私是不可以商品化的,因此在个人信息被侵害的情况下,权利人财产利益也可能蒙受损失,此时可以根据《侵权责任法》第 20 条关于侵权人所获利益视为损失的规则,通过证明行为人所获得的利益,推定受害人遭受的损害,从而主张损害赔偿。
肖像、姓名等具有人格价值的直接个人信息由隐私权来保护,而电子邮箱地址、淘宝网买家昵称等与人格尊严无关的间接个人信息则可以由个人信息财产权来加以保护。对电子邮箱地址、淘宝网买家昵称这些个人信息的侵犯不会导致个人信息主体人格尊严受到损害,只可能使个人信息主体的财产利益蒙受损失。隐私权和个人信息资料权这两种权利的保护对象之间存在一定的重叠,比如:随意传播个人简历,既侵犯个人隐私权,也侵犯了个人信息资料权。个人信息资料权与隐私权属于两个彼此独立但部分包含的权利。
根据个人信息的属性,来决定应给予其人格权的保护,还是财产权保护,抑或人格权与财产权的双重保护,这是我们在构筑个人信息保护权利体系时应着力考虑的。总之,个人信息资料权强调个人对其个人信息所可以行使的控制权,而且并不完全排除他人使用。隐私权虽然包括以个人信息形式存在的隐私,但隐私权设立的目的主要在于排斥他人对自身私秘信息的非法窃取或传播。 正是因为个人信息资料权与隐私权存在差异,因此个人信息资料权应当独立于隐私权,单独加以规定。总之,个人信息资料权与隐私权共同构成个人信息保护的权利体系,两者不得偏废。