论私密个人信息的合理使用困境与出路_刘磊.pdf

资源描述

1、*刘磊,中国政法大学比较法学研究院博士研究生。1 参见吴汉东:论合理使用,载法学研究1 9 9 5年第4期。2 参见陈甦、谢鸿飞主编:民法典评注人格权编,中国法制出版社2 0 2 0年版,第6 8页;江波、张亚男:大数据语境下的个人信息合理使用原则,载交大法学2 0 1 8年第3期;卢震豪:我国个人信息合理使用的情形清单与评估清单以“抖音案”为例,载政治与法律2 0 2 0年第1 1期;张建文、刘啸天:保护和利用之间:个人信息合理使用的判断标准,载北京邮电大学学报(社会科学版)2 0 2 1年第6期。N o.2,2 0 2 3p p.3 6 5 0论私密个人信息的合理使用困境与出路

2、刘磊*内容提要:民法典第1 0 3 4条第3款确立的私密信息隐私权保护优先规则导致私密信息应有的合理使用空间被不当限缩,有必要引入个人信息保护法中的个人信息合理使用规则。在将私密信息划分为非敏感私密信息和敏感私密信息的基础上,前者可通过民法典第1 0 3 4条第3款后半句“没有规定的,适用有关个人信息保护的规定”直接适用个人信息保护法第1 3条第1款第2项至第7项中的个人信息合理使用情形,后者则可基于敏感个人信息保护规则应优先于隐私权保护规则适用的解释思路,在符合个人信息保护法第2 8条第2款“敏感个人信息处理规则”的前提下,再适用个人信息保护法第1 3条第1款第2项至第7项中的个

3、人信息合理使用情形。关键词:隐私权个人信息私密信息敏感信息合理使用一、引言在著作权法中,合理使用是社会对他人著作财产权的一种限制,表现为在著作权人的专有领域内,法律通过直接规定在使用条件或方式上划分一定的“合理”范围,从而排除对该行为的侵权认定。1我国民法学者多认为,人格权或个人信息权益的合理使用制度是从著作权法中借鉴而来。2基于此,中华人民共和国民法典(以下简称民法典)人格权编第一章“一般规定”部分第9 9 9条新增有关人格权合理使用制度的规定,即“为公共利益实施新闻报道、舆论监督等63DOI:10.16823/ki.10-1281/d.2023.02.001刘磊:论私密个人信息

4、的合理使用困境与出路行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等”。不过,由于该条文并没有明确“合理使用”的定义,民法学者们多是围绕某项具体人格权益的合理使用进行学理上的概念界定。例如,有学者认为,肖像权的合理使用是指在法律规定的条件下,既不必征得肖像权人的同意,又不必向其支付报酬,基于正当目的而使用他人肖像的合法行为。3还有学者认为,个人信息的合理使用是指处理者可以不取得自然人或者其监护人的同意就对个人信息进行包括收集、存储、使用、加工、传输、提供、公开等在内的处理行为。4虽然上述定义的语言表述不同,但其本质上都是在表明,法律虽然尊重和保护民事主体的人格权益,但该保护力度并不是

5、无限大的,仍需要为公共利益等正当目的的合理使用留出必要的空间。就私密信息而言,其既属于隐私,也属于个人信息,这便会不可避免地导致隐私权保护规则和个人信息保护规则在保护上出现交叉。民法典第1 0 3 4条第3款出于隐私权受保护程度更高的考虑而采取了隐私权保护规则优先的立场,5但这也同时导致私密信息的合理使用空间被不当限缩。例如:在新型冠状病毒感染疫情期间,政府部门为应对这种突发的公共卫生事件而收集自然人的私密信息,即使并未经自然人的知情同意,也不能说这是违法的个人信息处理行为;公安机关为侦破案件而收集犯罪嫌疑人的私密信息,也无需征得自然人的知情同意,这是履行法定职责所必须;用人单位基于规范用工管

6、理的需要而处理劳动者必要的私密信息,也不能认为这种处理行为侵犯劳动者隐私,因为这应属于合理使用的范畴。6但在隐私权保护规则下,我们却很难找到直接的法律依据主张合理使用抗辩。即使存在个人信息保护规则中的合理使用抗辩事由,但由于隐私权保护优先规则的确立,这些抗辩事由无法适用于隐私权保护规则。因此,我们有必要反思目前的隐私权保护规则优先的立场是否导致私密信息当有的合理使用空间被不当限缩;如果是的话,我们需要研究应当采取何种解释论的方案进行解决。本文将围绕这些问题展开讨论,并尝试提出可能的解决方案。二、隐私权保护优先规则下私密信息的合理使用困境在信息社会,要维护自然人的私生活安宁和私生活秘密不受侵害,

7、就必须保护自然人的私密信息不被随意收集、公开或者滥用。7但是,由于私密信息在数字时代也具有重要的经济和社会价值,8法律在注重个人对其个人信息的保护诉求的同时,也应关注到信息业者及政府对个73345678参见张红:肖像权保护中的利益平衡,载中国法学2 0 1 4年第1期。参见程啸:论我国民法典中的个人信息合理使用制度,载中外法学2 0 2 0年第4期。尽管无论从民法典第1 0 3 4条第3款的规定,还是从其释义书来看,都确立了私密信息隐私权保护优先的规则,但是,从学界的讨论情况来看,学者们已经逐渐认识到该条款引发的弊端,并对该规则持否定态度。参见李昊:个人信息侵权责任的规范构造,载广东社

8、会科学2 0 2 2年第1期;刘承韪、刘磊:论私密信息隐私权保护优先规则的困局与破解以第1 0 3 4条第3款为中心,载广东社会科学2 0 2 2年第3期;程啸:论个人信息权益与隐私权的关系,载当代法学2 0 2 2年第4期;王道发:个人信息处理者过错推定责任研究,载中国法学2 0 2 2年第5期。参见上海市第一中级人民法院(2 0 2 0)沪0 1民终1 0 9 3 5号民事判决书。参见程啸:人格权研究,中国人民大学出版社2 0 2 2年版,第4 3 1页。参见冉克平:论视野下个人隐私信息的保护与利用,载社会科学辑刊2 0 2 1年第5期。2 0 2 3年第2期人信息的利用需求,

9、9这就需要妥当维系保护与利用之间的平衡关系。即使是在隐私权保护规则下,也应在信息利用和隐私权保护之间寻求动态平衡,1 0但通过比较隐私权保护规则与个人信息保护规则下的合理使用抗辩事由可以发现,隐私权保护规则下基本不存在可直接援引的合理使用抗辩事由,而隐私权保护优先规则的确立又排斥个人信息保护规则下合理使用抗辩事由的援引,从而导致私密信息的合理使用空间被过度限制。(一)隐私权保护规则与个人信息保护规则下合理使用抗辩的差异在民法典人格权编第六章“隐私权和个人信息保护”中并没有关于隐私权合理使用的规定,而仅在第一章“一般规定”第9 9 9条规定“为公共利益实施新闻报道、舆论监督等行为的,可以合理使

10、用民事主体的姓名、名称、肖像、个人信息等”。那么该条中的“等”字,能否将隐私包含在内?从该条的立法沿革来看,立法者对隐私的合理使用持否定态度。全国人大常委会于2 0 1 8年9月发布的民法典各分编(草案)第7 7 9条第2款曾规定:“行为人为维护公序良俗实施新闻报道、舆论监督等行为的,可以在必要范围内合理使用民事主体的姓名、名称、肖像、隐私、个人信息等。”但全国人大常委会于2 0 1 9年4月发布的民法典人格权编(草案二次审议稿)第7 8 1条之一却将上述规定修改为“实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等”。很显然,在草案二次审议稿中,针对隐私的

11、合理使用规则未予保留,此后的历次审议稿及最后正式通过的民法典均保持同样的立法态度。有学者认为,民法典总则编中的平等原则、自愿原则、公平原则、诚实信用原则、公序良俗原则等民法的基本原则,以及紧急避险、正当防卫、自助行为等制度,属于人格权合理使用的抽象性规范,均可以对人格权的行使进行适当限制。1 1的确,上述基本原则或制度位于总则部分,对民法领域内的民事法律关系都能起到调整作用。不过,民法的基本原则只是民事法律法规的基本解释依据,仅在现行法上没有直接裁判依据而出现法律漏洞时,才可直接适用其裁判案件。1 2而紧急避险、正当防卫、自助行为等制度,尽管可以作为人格权合理使用的依据,但实践中能以此作为依

12、据的情况实在太少,而且这几种制度所规制的人格权合理使用情形也极其有限。就此而言,隐私权保护规则下私密信息的合理使用抗辩基本上是不存在的。与隐私权保护规则下的合理使用抗辩事由相比,个人信息保护规则下的合理使用抗辩不仅可援引民法典总则编中的抽象性规范,还可以援引民法典人格权编第一章“一般规定”中关于人格权合理使用的共通性规范,以及民法典人格权编第六章“隐私权和个人信息保护”和个人信息保护法中关于个人信息合理使用的专门性规范。人格权合理使用的共通性规范主8391 01 11 2参见张新宝:从隐私到个人信息:利益再衡量的理论与制度安排,载中国法学2 0 1 5年第3期。参见郭秉贵:大数据时代

13、信息自由利用与隐私权保护的困境与出路以“中国C o o k i e隐私第一案”为分析对象,载深圳社会科学2 0 2 1年第4期。参见冷传莉、曾清河:人格权合理使用制度的立法检视与司法展开,载福建师范大学学报(哲学社会科学版)2 0 2 1年第6期;前引 4,程啸文。参见梁慧星:民法总论(第5版),法律出版社2 0 1 7年版,第4 6页;王轶:论民法诸项基本原则及其关系,载杭州师范大学学报(社会科学版)2 0 1 3年第3期。刘磊:论私密个人信息的合理使用困境与出路要体现为民法典人格权编第9 9 9条关于人格权合理使用的规定。从该条“为公共利益实施新闻报道、舆论监督等行为的,可以合

14、理使用民事主体的姓名、名称、肖像、个人信息等”的表述来看,由于私密信息也属于个人信息,当然也可以被合理使用。而个人信息合理使用的专门性规范主要是指民法典人格权编第1 0 3 6条第2项“合理处理该自然人自行公开的或者其他已经合法公开的信息”、第3项“为维护公共利益或者该自然人合法权益”而合理使用的情形,以及个人信息保护法第1 3条第1款第2项至第7项中的“为订立、履行个人作为一方当事人的合同所必需”“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”“为履行法定职责或者法定义务所必需”“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”“为公

15、共利益实施新闻报道、舆论监督等行为”“对个人自行公开或者其他已经合法公开的个人信息”而进行的合理使用情形。此外,中华人民共和国个人信息保护法(以下简称个人信息保护法)第2 6条规定的“为维护公共安全所必需而在公共场所安装图像采集、个人身份识别设备”的合理使用情形,以及第3 4条、第3 5条、第3 7条规定的国家机关或法律、法规授权的具有管理公共事务职能的组织“为履行法定职责处理个人信息”的合理使用情形,都属于上述专门性规范的进一步细化规定。(二)隐私权保护优先规则下私密信息合理使用的过度限制民法典第1 0 3 4条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有

16、关个人信息保护的规定。”这显然是采取了隐私权保护规则优先的立场。之所以如此规定,立法机关释义书给出的理由是,隐私权对私密信息的保护程度更高。1 3有观点对此持肯定态度,并进一步认为,个人信息可能承载公共利益,法律对个人信息权益的保护需要在利益平衡中进行,始终协调保护和利用的关系,不能像隐私权那样受到绝对保护而不允许对隐私进行所谓的合理使用。1 4问题在于,隐私权保护优先规则下的私密信息保护是否真的就不存在利益平衡或合理使用。至少从民法典第9 9 8条的规定来看,并非如此。民法典第9 9 8条引入动态系统论的观点,根据该条规定,除生命权、身体权和健康权这三种物质性人格权外,在判断其他非物质性人

17、格权益是否遭受侵害时,应综合考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素。1 5无论是隐私权,还是个人信息权益,显然都应属于非物质性人格权益。两者在具体案件中是否应受到保护,都要根据第9 9 8条的规定结合具体案件情况进行动态的利益衡量。因此,无论信息主体是以隐私权还是以个人信息权益主张对私密信息的保护,法院都要结合案件中的具体因素进行衡量,但这与隐私权保护规则或个人信息保护规则本身并没有太多关系,两者对私密信息的保护程度应是相同的。或许有观点会质疑称,即使隐私权保护规则下的私密信息保护应结合第9 9 8条的规定进行动态的利益衡量,但隐私权作为民事权利931

18、31 41 5参见黄薇主编:中华人民共和国民法典人格权编解读,中国法制出版社2 0 2 0年版,第2 1 2页。参见王利明:和而不同:隐私权与个人信息的规则界分和适用,载法学评论2 0 2 1年第2期;程啸:个人信息保护法理解与适用,中国法制出版社2 0 2 1年版,第5 2 5页。参见王利明:民法典人格权编中动态系统论的采纳与运用,载法学家2 0 2 0年第4期。2 0 2 3年第2期所具有的应比民事利益受保护程度更高的法律性质,也决定了隐私权保护规则在动态的利益衡量下可以受到更高程度的保护。但实际上,私密信息本身的特性才是决定其应受何种程度保护的根本因素,如果针对私密信息的处理涉及隐私

19、权或个人信息权益与合理使用之间的利益权衡,也不应因以隐私权主张保护还是以个人信息权益主张保护而得出不同的结论,下文将会对此作进一步分析。此外,还有观点受人格权商品化理论的影响,认为隐私权作为消极性人格权,仅具有防御功能而对其权利客体并不享有支配利用的积极权能,故隐私不能作为合理使用的权利对象。1 6该观点有待商榷。首先,人格权商品化更确切地说其实是指人格权主体对其人格要素享有的经济利益,1 7即人格权主体通过对其人格特征的商业化利用从而获得一定的经济利益。1 8尽管民法典第9 9 3条规定“民事主体可以将自己的姓名、名称、肖像等许可他人使用”,而未对“隐私”进行明确列举,但从实践中的典型情形

20、来看,存在将“隐私”列入上述法条中“等”字的解释空间。例如,网络主播对其个人生活起居、工作等具体情况进行直播的,实际上便属于人格权主体对其隐私的商业化利用。1 9再例如,人们公开发表含有自己隐私的日记、利用自己的身体作为绘画或拍摄电影作品的素材,也都属于人格权主体对其个人隐私的积极利用。2 0其次,与人格权商品化强调人格权主体对其人格要素的商业化利用不同的是,合理使用是对人格权主体所享有的人格权利的限制,是人格权向国家利益、公共利益等更为优越的利益所做的必要让步。从侵权责任的构成上讲,合理使用是行为人可以主张的违法阻却事由,可免于侵权责任的承担。总之,在目前的隐私权保护优先规则下,过于强调隐私

21、权的保护强度,而忽略了私密信息应当具有的合理使用空间,导致个人信息保护规则中有关个人信息的合理使用规则无法适用于私密信息,从而形成了隐私权保护优先规则下合理使用抗辩被过度限制的局面。三、隐私权保护优先规则下合理使用困境的反思民法典第1 0 3 4条第3款确立隐私权保护优先规则的出发点在于,隐私权作为民事权利的受保护力度更强。这便意味着在适用隐私权保护规则时,不能适用个人信息保护规则中的合理使用抗辩事由,否则便不能体现出这种保护强度的优越性。但问题在于,这种立场的坚持是否具有足够的正当性,对此有必要进行理论上的探讨。(一)隐私权的位阶并非绝对高于个人信息权益有观点认为,现行立法分别对侵害隐私权

22、和个人信息权益的行为进行了列举,但针对前者的列举属于权利化模式下的典型列举,在列举情形之外仍具有开放性,而针对后者的列举则属于行041 61 71 81 92 0参见前引 1 1,冷传莉、曾清河文。参见前引 7,程啸书,第1 1 7页;前引 2,陈甦、谢鸿飞主编书,第3 2 3 3页。参见王泽鉴:人格权法:法释义学、比较法、案例研究,北京大学出版社2 0 1 3年版,第2 8 1页。参见王利明:人格权法(第3版),中国人民大学出版社2 0 2 1年版,第9 2页。参见张红:人格权各论,高等教育出版社2 0 1 5年版,第5 2 4页。刘磊:论私密个人信息的合理使用困境与出路为规制模式下的封闭

23、式完全列举,故权利化模式为行为人留下的自由空间比行为规制模式更狭小,保护力度当然也就相对更强一些。2 1还有观点认为,隐私权系民事权利,而个人信息仅为民事权益,法律对前者的保护力度显然高于后者,德国法中的权利和利益区分保护模式即对此提供了有力例证。2 2虽然上述观点的表达形式有所不同,但实际上却存在共同的论证基点,即民事权利在价值位阶上优于民事利益,那么隐私权作为民事权利的受保护程度便应高于作为民事利益的个人信息权益。具体而言,隐私权作为民事权利,性质上属于绝对权,法律对其保护的绝对性程度较高,可以最大限度地排斥合理使用、公共利益的干扰。而个人信息权益作为民事利益,立法仅在划定的封闭性行为样态

24、范畴内对其进行保护,留给了行为人更为广阔的自由空间,而个人信息权益的保护空间当然也就更容易受到合理使用、公共利益的挤压。但问题在于,民事权利的受保护程度是否一定比民事利益更高。学界一直以来都对此存在较大争议,尤其以中华人民共和国侵权责任法(以下简称侵权责任法)第6条第1款引发的民事权利与民事利益是否应当区别保护的争论最为激烈。民法典第1 1 6 5条第1款是由侵权责任法第6条第1款演变而来,学界因侵权责任法第6条第1款引发的民事权利与民事利益是否应当区分保护的争议,在民法典第1 1 6 5条第1款下同样适用。有学者认为,该条的文义解释含义是民事权利和民事利益能够获得同等程度保护,为避

25、免产生理论上的灾难,应参照德国法上的权利和利益区分保护模式对该条文进行目的性限缩。2 3还有学者也基本持同样观点,即民事权利和民事利益的受保护程度不同,应对前者设置较低的保护门槛,而对于后者的保护应进行严格限制,通常只有在行为人具有主观恶意等情况下,才能对民事主体遭受的利益侵害进行侵权法上的救济。2 4更有学者进一步研究了德国民法中侵权法上的“归属效能”“排除效能”和“社会典型公开性”这三个权益区分标准,以此界定民事权利与利益的保护区分。2 5上述观点受德国民法典中“三个小一般条款”的规定影响颇深,即第8 2 3条第1款对权利进行过错责任下的全面保护,而对利益,仅在违反第8 2 3条第2款的

26、保护性法规以及第8 2 6条有关恶意违背善良风俗的规定时才提供保护。值得注意的是,民法学界已开始对上述观点进行反思,民事权利的价值位阶并非绝对高于民事利益。首先,德国法的“三个小一般条款”本身存在着保护范围过于狭小的缺陷,为了弥补其不足,德国法因此发展出交往安全义务、营业权、一般人格权条款。2 6其次,即使权利与利益应受不同程度的保护,也应是基于二者的不同特性,并且应将因特性不同而导致的受保护程度不同具体落实在侵权责任既有责任成立要件上,而非使权利或利益的侵害适用不同的归责原理。2 7142 12 22 32 42 52 62 7参见前引 8,冉克平文;叶金强:“民事权利章”的得与失,载中外

27、法学2 0 1 7年第3期。参见前引 1 4,王利明文。参见葛云松:保护的民事权益,载中国法学2 0 1 0年第3期。参见王利明:侵权法一般条款的保护范围,载法学家2 0 0 9年第3期;王成:侵权之“权”的认定与民事主体利益的规范途径兼论的一般条款,载清华法学2 0 1 1年第2期。参见于飞:侵权法中权利与利益的区分方法,载法学研究2 0 1 1年第4期。参见叶金强:第1 1 6 5条第1款的展开路径,载法学2 0 2 0年第9期。参见陈忠五:论契约责任与侵权责任的保护客体:“权利”与“利益”区别正当性的再反思,载台大法学论丛第3 6卷第3期。2 0 2 3年第2期最后,即使

28、是仍赞同权益区分保护模式的学者,也开始认为这只是针对两者的保护在方法论上的区分,即侵害权利的违法性直接被认定,但侵害利益的违法性则需要民事主体的证明,故侵权责任法对两者的保护应有所区分。不过,这并不意味着民事权利在价值位阶上优于民事利益,因为如果法律明确规定了某种利益应受到保护,其与权利的保护在本质上并不存在差别,甚至还会出现遭受权利侵害的民事主体因无法证明其他构成要件导致侵权责任法对其保护程度还不如利益的情形。2 8(二)隐私权保护规则下合理使用被过度限制的不合理性也许有观点会质疑称,如果在同一个案件中私密信息遭受信息处理行为的侵害,即便需要按照民法典第9 9 8条的规定进行动态衡量,隐私

29、权的绝对权性质决定了其在衡量过程中也会受到比个人信息权益更高程度的保护。这种质疑观点看似有力,实则经不起推敲。私密信息作为隐私内容之一,当然可以受到隐私权的保护,但这种保护并非没有限度,同样应为来自公共利益、社会正常交往、交易关系及人力资源管理等方面的合理使用留出足够的空间。第一,根据我国宪法第5 1条规定,个人的自由和权利应在合理范围内向公共利益作出必要的让步。如果认为民法典第1 0 3 6条第3项以及个人信息保护法第1 3条第1款第3项、第4项、第5项有关合理使用的规定仅适用于个人信息权益,便意味着针对私密信息最多可能适用民法典人格权编第9 9 9条规定的为公共利益实施新闻报道、舆

30、论监督的合理使用。更有甚者,如果认为第9 9 9条的“个人信息”不包括私密信息,而该条又没有明确体现“隐私权”,那么针对私密信息的合理使用连第9 9 9条也不能适用。按照这种推论,针对私密信息的合理使用空间非常狭小,甚至可以说基本不存在。但问题在于,民法典第1 0 3 6条第3项以及个人信息保护法第1 3条第1款第3项、第4项、第5项中有关为履行法定职责或者法定义务、为应对突发公共卫生事件等情形下的合理使用显然具备足够的正当性,也符合宪法第5 1条的规定。第二,国务院的有关行政法规也认为,即使是自然人的个人隐私,在必要的情况下也应让位于公共利益。例如,根据国务院政府信息公开条例第1 5条

31、的规定,涉及个人隐私的政府信息,考虑到一旦公开会对第三方合法权益造成损害,原则上行政机关不得公开,但如果不公开又会对公共利益造成重大影响的,予以公开。尽管有行政法学者认为,该条中的“个人隐私”存在不易识别、授权过于宽泛等方面的问题,但同时也认为应将“个人隐私”聚焦于“私密信息”以构建和完善私密信息的公开豁免制度。2 9第三,私密信息也并非绝对的封闭,而多数是在不同场景中特定多数主体之间分享,只要该信息仍是在该特定群体间传播,并符合该信息主体的预期,这种合理使用就应当被允许。3 0就此而言,民法典第1 0 3 6条第2项及个人信息保护法第1 3条第1款第6项中有关合理使用个人自行公开或法定公开

32、的个人信息的规定可适用于私密信息,当然在合理使用的认定上,应242 82 93 0参见方新军:侵权责任利益保护的解释论,法律出版社2 0 2 1年版,第3 5 4页。参见李卫华:民法典时代个人隐私信息公开豁免条款的困境及完善,载行政法学研究2 0 2 1年第6期。参见胡凌:个人私密信息如何转化为公共信息,载探索与争鸣2 0 2 0年第1 1期。刘磊:论私密个人信息的合理使用困境与出路当尤其严格。第四,基于交易关系对私密信息的处理一般表现为两种形式:一是私密信息本身的传输即涉及交易行为;二是其他交易行为的完成需要私密信息的提供。3 1前一种形式应以信息主体的知情同意为前提,并无合理使用的空

33、间。后一种形式则属于个人信息保护法第1 3条第1款第2项规定的为订立、履行个人作为一方当事人的合同所必需而合理使用个人信息的情形。例如,在“庞某某诉东航公司、趣拿公司隐私权纠纷案”中,3 2庞某某通过趣拿公司下辖的网络平台购买机票,该网络平台只有在收集庞某某的姓名、身份号码、联系方式等私密信息后才可以提供购票服务,这便是为双方之间服务合同的履行而必须处理一方个人私密信息的情形。再例如,通过1 2 3 0 6手机A P P向中国国家铁路集团有限公司订购火车票时,在合同订立阶段就需要把姓名、身份号码、联系方式等私密信息输入,才能够进一步选定具体的座位,这也属于合理使用的情形。此外,个人信息保护法

34、第1 3条第1款第2项规定的为实施人力资源管理所必须而合理使用也基本如此,招聘、社保办理、工资发放、绩效考核、业务培训等各个环节都涉及个人信息的处理,3 3为使企业的人力资源管理工作得以正常进行,应当允许这种对个人信息的合理使用。第五,欧盟一般数据保护条例(G e n e r a lD a t aP r o t e c t i o nR e g u l a t i o n,简称G D P R)在第6条已经规定个人数据处理合法性的情况下,考虑到特殊种类的个人数据与自然人的基本权利和自由紧密相关,对该种类数据进行处理将对自然人的基本权利和自由产生重大影响,3 4第9条又特别规定了特殊种类的个人数

35、据处理。该条第1款规定原则上应禁止对特殊种类的个人数据进行处理,但第2款除(a)项关于应取得数据主体的明示同意才能处理其个人数据的规定外,其余(b)(j)共9项可以进行处理的事由其实都属于未经同意可以合理使用的范畴。G D P R第9条所称特殊种类的个人数据其实就是指敏感数据。3 5尽管敏感信息(数据)与私密信息不能等同,但不可否认的是二者之间至少存在一定交叉,在G D P R中至少可以解释出对敏感私密信息合理使用的空间。四、隐私权保护优先规则下私密信息合理使用的解释路径通过上述分析可以发现,即使是私密信息也应当有足够的合理使用空间,当然在适用条件上应当严格把握。需要特别说明的是,这种从严把握

36、是基于私密信息本身的特性,与采隐私权保护规则还是采个人信息保护规则并无关系。换言之,对私密信息进行保护无论是适用隐私权保护规则还是个人信息保护规则,针对私密信息的合理使用空间都应该是无差别的。因此,有必要对目343 13 23 33 43 5参见前引 8,冉克平文。参见北京市第一中级人民法院(2 0 1 7)京0 1民终5 0 9号民事判决书。参见前引 1 4,程啸书,第1 2 9页。S e eC h r i s t o p h e rK u n e r,T h eE UG e n e r a lD a t aP r o t e c t i o nR e g u l a t i o n(G D

37、 P R):AC o mm e n t a r y,O x f o r dU n i v e r s i t yP r e s s,2 0 2 0,p.3 6 6.参见前引 3 4,C h r i s t o p h e rK u n e r书,第3 7 3页。2 0 2 3年第2期前的隐私权保护优先规则采取缓和化的解释路径。(一)私密信息合理使用规则的理论划分有观点认为,为保持私密信息保护与利用之间的平衡,不妨将私密信息划分为敏感私密信息和非敏感私密信息,从而适用不同的合理使用标准。3 6法律应为敏感私密信息提供强化保护,虽然该保护仍包含保护和利用两个维度,但对其利用的标准和要求应更高。3

38、7该观点值得肯定,以敏感性程度对私密信息进行划分具有合理性。首先,个人信息的敏感程度与人格尊严和自由呈现正相关的紧密关联,故敏感程度更高的个人信息应受到更高程度的保护,这种更高程度的保护便集中体现为法律对个人信息处理者的处理行为提出的更高要求。从另一个角度看,既然敏感程度更高的个人信息应受到更高程度的保护,便意味着个人信息处理者针对敏感程度更高的个人信息进行处理时可援引的合理使用抗辩空间相对较小。其次,在个人信息的类型划分方面,民法典与个人信息保护法具有不同的规范目的。前者将个人信息划分为私密信息与非私密信息,其规范目的在于协调个人信息权益与隐私权的关系,3 8即个人信息原则上并不适用隐私权

39、保护规则而应适用个人信息保护规则,只有个人信息中的私密信息应优先适用隐私权保护规则;后者将个人信息划分为敏感信息与非敏感信息则是出于规范不同的个人信息处理行为、协调个人信息的保护与利用的考量,3 9对于敏感信息的保护程度更高,合理使用的标准也相对更为严格。由此来看,民法典划分私密信息与非私密信息的规范目的实则在于区分隐私权保护规则和个人信息保护规则,4 0以扭转适用隐私权保护规则保护个人信息的传统做法。4 1而由于私密信息既属于隐私,又属于个人信息,注定了对于私密信息的保护不仅无法从隐私权保护规则中剥离,还会不可避免地造成隐私权保护规则与个人信息保护规则的交叉。为解决由此产生的法律适用问题,民

40、法典第1 0 3 4条第3款确立了私密信息隐私权保护规则优先的立场,但却导致了私密信息的合理使用空间被不当限缩的局面。民法典所作的私密信息与非私密信息的类型划分,其直接的出发点本身并不涉及个人信息的保护与利用问题。而从个人信息保护法划分敏感信息和非敏感信息的规范目的来看,其直接的出发点原本就是为了平衡个人信息的保护与利用问题。就此而言,即使是个人信息范畴内的私密信息与非私密信息,在衡量其存在多大的合理使用空间方面,仍应以敏感程度作为划分标准。此外,更有观点对民法典划分私密信息与非私密信息的做法提出了质疑。因为根据民法典第1 0 3 2条第2款的规定,所有未公开的个人信息都可纳入私密信息的

41、范畴,但未公开信息的范围实在过于宽泛,相比之下,敏感信息在客体范围上更具确定性,应以“敏感信息”取代443 63 73 83 94 04 1参见前引 8,冉克平文。参见前引 9,张新宝文。参见郑晓剑:论与之关系定位及规范协调,载苏州大学学报(法学版)2 0 2 1年第4期。参见程啸:论我国个人信息保护法中的个人信息处理规则,载清华法学2 0 2 1年第3期。参见程啸:个人信息保护中的敏感信息与私密信息,载人民法院报2 0 2 0年1 1月1 9日,第5版;江必新、李占国主编:中华人民共和国个人信息保护法条文解读与法律适用,中国法制出版社2 0 2 1年版,第1 0 2页。参见前引 3

42、 8,郑晓剑文。刘磊:论私密个人信息的合理使用困境与出路“私密信息”。4 2但无论如何,民法典既已施行,为了缓解民法典第1 0 3 4条第3款确立的私密信息隐私权保护优先规则导致的私密信息合理使用空间被不当限缩,只能在目前的立法框架下寻求可能的缓和化解释方案。不过,在将私密信息划分为非敏感私密信息和敏感私密信息的基础上,对于二者的合理使用,当存在不同的解释路径。原因在于,非敏感私密信息的考量因素仅为“私密”,而敏感私密信息的考虑要素为“敏感”和“私密”,前者仍需在隐私权保护优先规则内寻求解释方案,而后者则存在由于具有“敏感”因素而绕过隐私权保护优先规则的可能,从而在敏感个人信息的保护规则内

43、寻求解释方案。对此,有学者提出了非常有意义的问题,那便是当敏感私密信息遭受侵害时,应优先适用隐私权保护规则,还是应优先适用个人信息保护规则。4 3具体而言,民法典第1 0 3 4条第3款只是确立了私密信息的隐私权保护优先规则,即当私密信息遭受侵害时,应优先适用隐私权保护规则,而个人信息保护规则仅在隐私权保护规则没有规定时才可以适用。但当敏感私密信息遭受侵害时,是否仍应优先适用隐私权保护规则呢?实际上,对于敏感私密信息应如何保护的重要考量因素已不再是“私密”,而是“敏感”,敏感私密信息本身已经是私密信息范围内的进一步划分。因此,对于敏感私密信息的保护,个人信息保护规则中有关敏感个人信息的相关规定

44、应作为特别规则而优先适用。此外,从私密信息的侵权责任构成上看,适用隐私权保护优先规则确实也没有任何优势,甚至可以说存在一定的弊端。首先,隐私权保护规则适用的是过错责任,而个人信息保护规则适用的却是过错推定责任,这意味着适用个人信息保护规则实际上更有利于对信息主体的保护,4 4因为信息主体无需再就过错要件进行举证证明,而是由法律直接推定个人信息处理者存在过错。其次,虽然法律应强调对敏感私密信息的高强度保护,但这种保护仍然应为合理使用留出足够的空间。但正如上文所述,在隐私权保护规则下,私密信息的合理使用抗辩都基本不存在,遑论敏感私密信息的合理使用抗辩。此外,个人信息保护法第2 8条第1款规定敏感个

45、人信息是“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,并将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息及不满十四周岁未成年人的个人信息作为典型进行列举。但有观点认为,该条款只是确立了敏感个人信息的权益侵害风险基准和风险内容、风险程度及风险发生方式三个方面的具体风险维度,但对于如何判定个人信息处理者的处理行为是否达到了这种敏感的风险维度则没有明确。4 5还有观点认为,上述法条中列举的7种类型的个人信息显然并不足以覆盖全部的敏感个人信息,对于未予以列举的敏感个人信息则需544 24 34 44 5参见石佳友:隐私权与个人信息关系

46、的再思考,载上海政法学院学报(法治论丛)2 0 2 1年第5期。参见王利明:敏感个人信息保护的基本问题以和的解释为背景,载当代法学2 0 2 2年第1期。参见前引 5,李昊文;前引 5,刘承韪、刘磊文。参见宁园:敏感个人信息的法律基准与范畴界定以第2 8条第1款为中心,载比较法研究2 0 2 1年第5期。2 0 2 3年第2期要结合理论标准予以明确。4 6实际上,上述问题本质上都是“敏感性”的确定问题。美国的尼森鲍姆(N i s s e n b a u m)教授提出的场景理论,主张对于隐私是否应受到保护应结合所处的具体场景进行考量,4 7并将信息发送者、信息接收者、信息主体、信

47、息类型及传输原则等作为具体的考量因素。4 8我国学者受此启发,多主张在敏感个人信息的“敏感性”判断上也应引入场景理论,4 9但对于“敏感性”判断的具体考量要素却并未达成一致。可以说,尼森鲍姆教授所提出的场景理论只是为“敏感性”的判断提供了一种思路,而具体的考量因素却因各国具体情况不同而有所不同,这有待于学者们的进一步努力。有观点认为,场景理论中应考量的场景要素不仅可以作为判断“敏感性”的归入标准,还可以作为择出标准,即符合社会场景目的的个人信息处理行为,已经平衡了个人价值与公共价值及社会价值,原本的敏感个人信息在此情况下可被视为一般个人信息处理。5 0该观点有待商榷。按照该观点,有关敏感个人信

48、息的保护与利用都将集中在“敏感性”的判断上,但该观点却忽视了合理使用本身作为判断标准的功能,而且也与我国民法理论中的侵权责任构成不相符。具体而言,在敏感个人信息的侵权责任构成中,合理使用是作为违法阻却事由予以考虑,有着自身独立的存在价值。而运用场景理论对“敏感性”的判断,其作用仅限于在具体的场景中判断某项个人信息是否为敏感信息,至于个人信息处理行为是否涉及社会利益和公共利益,则应由合理使用这一抗辩事由予以判断。(二)非敏感私密信息的合理使用规则如上所述,由于非敏感私密信息的重要考量因素仅为“私密”,故对于非敏感私密信息的合理使用,仍应以民法典第1 0 3 4条第3款确定的隐私权保护优先规则为

49、中心寻求可能的解释方案。民法典第1 0 3 4条第3款前半句规定“个人信息中的私密信息,适用有关隐私权的规定”,确立了隐私权保护规则的优先性地位。民法典1 0 3 4条第3款后半句则规定“没有规定的,适用有关个人信息保护的规定”,其立法目的在于明确个人信息保护规则是隐私权保护规则对私密信息在保护方式上的补充。5 1为避免目前的隐私权保护优先规则对非敏感私密信息保护过度而忽略了非敏感私密信息应有的合理使用空间,应对作为补充保护方式的个人信息保护规则的适用做广义上的理解。具体而言,民法典第1 0 3 4条第3款后半句“没有规定的,适用有关个人信息保护的规定”应理解为不仅可以适用个人信息保护规则中的

50、保护性规定,还可以适用个人信息保护规则中的合理使用抗辩事由。644 64 74 84 95 05 1参见前引 4 3,王利明文;王苑:敏感个人信息的概念界定与要素判断以第2 8条为中心,载环球法律评论2 0 2 2年第2期。S e eH e l e nN i s s e n b a u m,P r i v a c ya sC o n t e x t u a l I n t e g r i t y,7 9W a s h i n g t o nL a wR e v i e w1 1 9(2 0 0 4).S e eH e l e nN i s s e n b a u m,P r i v a

展开阅读全文