1、东岳论丛Jun,2023 Vol44 No62023 年 6 月(第 44 卷/第6期)(Dong Yue Tribune)法学研究 作者简介 高富平(1963),男,华东政法大学法律学院教授、博士生导师,研究方向:财产法、数据法;李群涛(1996),男,华东政法大学法律学院数据法律研究中心研究人员,博士研究生,研究方向:财产法、数据法。参见程啸:侵害个人信息权益的侵权责任 ,中国法律评论,2021 年第 5 期。认为是民事权利的,可参见王成:个人信息民法保护的模式选择 ,中国社会科学,2019 年第 6 期;认为应采用行为规制模式的,参见高富平:个人信息保护:从个人控制到社会控制 ,法学研究
2、,2018 年第 3 期。将个人数据与个人信息在相同意义上使用的基本理由有二:第一,欧洲话语体系中的个人数据与美国话语体系中的个人信息本质上与我国话语体系中的个人信息具有相同的指代对象,没有必要刻意区分;第二,当意识到无论是个人信息保护还是个人数据保护,其着眼点皆在于利益保护,那么问题关键在于界定利益,区分个人信息与个人数据便没有意义。“个人信息权益”的民法新定位高富平,李群涛(华东政法大学 法律学院,上海 200050)摘要 个人信息保护法 创设的“个人信息权益”源于基本权利,经由间接第三人效力理论而同时具有民法上意义。学界主张个人信息权益在民法上定位为新型权利或新型利益。然而,个人信息制度
3、的“预防法”定位和个人信息权益不具有独立客体利益的窘境,都无法支持该主张。既然个人信息保护制度的作用是事前预防大规模、技术化的个人信息分析评估活动给既有一切民事权益造成系统性风险,那么个人信息权益毋宁只是既有一切民事权益在信息分析评估场景下的全新表达。进而,个人的权益因信息分析评估而受侵害并造成损害时适用个人信息保护法 第 69 条,非因信息分析评估而受侵害并造成损害时则适用 民法典 第 1165 条第 1 款,二者不存在竞合或聚合关系。民法典 第 1034 条第 3 款中的“没有规定”应解释为“没有关于信息分析评估场景中的规定”。关键词 个人信息权益;新型权益;个人信息保护法 第 69 条;
4、民法典 第 1165 条 中图分类号 D923 文献标识码 A 文章编号 10038353(2023)06016611“个人信息权益”这一全新概念由 个人信息保护法 创设,并在处理个人信息侵权民事责任(第 69条第 1 款)等重要条文中出现,成为处理个人信息侵权损害赔偿请求权的重要构成要件。关于个人信息权益的定位,学界颇有分歧:对其是否具有民法上意义有争议,对其在民法上如何定位也无共识。关于后者,学界虽然长期存在“权利说”与“利益说”之争,但都同意个人信息权益在民法上是一种独立于其他人身权、财产权的新型民事权益(本文所称权益系“权利”和“利益”的统称)。本文认为,个人信息权益具有民法上意义,但
5、民法上个人信息权益不是一项新型权益,而是既有一切民事权益在信息分析评估场景下的全新法律表达。一、个人信息权益的民法意义个人信息权益究竟是宪法上的基本权利还是民法上的一项权益,学界争议不断。事实上,个人信息权益本质上是一项宪法上的基本权利;不过基于基本权利的间接第三人效力,而具有民法上的意义。(一)个人信息权益源于宪法上基本权利个人信息权益源于宪法上的基本权利,这一定位在许多法域得到承认。个人信息权益在国际社会的常见法律表达是“个人数据受保护权”(right to the protection of personal data,本文将个人数据与个人信息在相同意义上使用)。2000 年,欧盟出台了
6、欧盟基本权利宪章(EUF),其中第 8 条创新性地在基本权利层面提出了个人数据保护。虽然该条并未将个人数据保护归纳为一项基本权利,而仅止步于“个人数据保护”(Protection of personal data)的法律表达,但是基于 EUF 的基础地位,欧洲普遍承认661DOI:10.15981/ki.dongyueluncong.2023.06.019位于该文件的个人数据受保护权是一项基本权利。无论是欧盟制定的 统一数据保护条例(GDP)还是欧洲委员会制定的 个人数据处理中的个人保护公约(“108+公约”),都分别在开篇强调个人数据受保护权是基本权利。其他法域也大多跟风欧洲立法,进而也跟随
7、这一基本权利立场。相比之下,我国台湾地区似有特殊。例如,其所谓的“个人资料保护法”第 1 条规定,“为规范个人资料之搜集、处理及利用,以避免人格权受侵害,并促进个人资料之合理利用,特制定本法。”从文义观之,个人信息权益在我国台湾地区似乎是“人格权”。然而,人格权在该地区具有基本权利和民法权利双层意涵。故此,事实上我国台湾地区的个人信息权益也仍然是一项基本权利。虽然个人信息权益并未在我国 宪法 中得到明文体现,但是个人信息权益可以由 宪法 第 33 条第 3款“国家尊重和保障人权”或者第 38 条第 1 句“中华人民共和国公民的人格尊严不受侵犯”所涵盖。个人信息保护法 第 1 条中“根据宪法,制
8、定本法”的法律表达进一步确证了此种看法,说明个人信息权益是宪法上的一项基本权利。作为一项基本权利,个人信息权益的行使对象是国家(而非民事主体),即要求国家设法在个人信息处理中保护个人,并且国家不得在个人信息处理中侵害个人正当权益。(二)由间接第三人效力衍生的民法意义个人信息权益作为基本权利具有要求国家尊重和保障之效力,这是作为基本权利的个人信息权益具有民法上意义的理论基础。按照基本权利的法理,基本权利的效力主要及于国家(或公共权力),而不及于私人关系包括:国家充分认同、尊重公民基本权利,国家尽量使公民基本权利得以实现以及国家应当提供有效的基本权利救济机制。基于此种效力,宪法学理论逐渐承认基本权
9、利有及于私人关系或私法领域的效力,即基本权利的第三人效力。不过,由于我国不承认宪法条文具有直接援引之功能,所以学理上只承认基本权利的间接第三人效力,即通过民法等部门法贯彻宪法上基本权利的方式来实现基本权利。至此可以认为,个人信息权益具有双重意涵,即个人信息权益源于基本权利,但同时具有民法上意义。个人信息权益具有民法上意义,是个人信息保护法立法的基调,也能在实定法中得到印证。关于中华人民共和国个人信息保护法(草案)的说明 中即明确,“把握权益保护的立法定位,与民法典等有关法律规定相衔接,细化、充实个人信息保护制度规则。”其中“权益保护”之语,表明个人信息权益被认为是保护的目的而不是保护的手段。这
10、说明在个人信息保护法 立法时就认为个人信息权益具有民法上意义。同时,个人信息保护法 第 69 条第 1 款表明侵害个人信息权益将承担民法上的侵权责任,亦能倒推个人信息权益具有民法上意义。另外,民法典 总则编第 111 条以及人格权编第 10341039 条专门规定了个人信息有关问题,与个人信息权益有密切关联,也能说明个人信息权益具有民法上意义。二、个人信息权益:非新的独立民事权益既有学说共享同一种未经充分论证、检验的朴素前见:民法上个人信息权益是一项独立于既有民事权益的新权益。然而,从个人信息保护的制度定位以及个人信息权益不存在独立“客体”这两个角度,均能说明这一朴素前见无法成立。761“个人
11、信息权益”的民法新定位参见王锡锌,彭錞:个人信息保护法律体系的宪法基础 ,清华法学,2021 年第 3 期;姚岳绒:论信息自决权作为一项基本权利在我国的证成 ,政治与法律,2012 年第 4 期。参见高富平:论个人信息处理中的个人权益保护 “个保法”立法定位 ,学术月刊,2021 年第 2 期。参见克劳斯威尔海姆卡纳里斯:基本权利与私法,曾韬、曹昱晨译,比较法研究,2015 年第 1 期。参见 宪法学 编写组:宪法学,北京:高等教育出版社、人民出版社,2011 年版,第 203205 页。参见杨登杰:基本权利私人间效力:直接还是间接?,中外法学,2022 年第 2 期。只是,个人信息保护法 中
12、虽然有六处提到个人信息权益概念,不必然都具有民法上的意义。有学者提出,个人信息保护法 不同条文、不同位置的“权利”“权益”“受保护”皆应当作动态而非统一的理解。参见王锡锌:个人信息权益的三层构造及保护机制 ,现代法学,2021 年第 5 期。(一)个人信息制度并非意在创设新权益个人信息保护制度的定位对于判断新型权益是否具有合法性至关重要。一项新型权益的出现,须经过合理性、合法性、合适性的三重检验。其中合法性要求创设的新型权益必须能被实定法具体规则之文义范围所容纳,同时必须结合历史解释、目的解释等方法确证实定法有创设新型权益之意图。将民法上个人信息权益视为一项新型权益似乎在实定法具体规则之文义范
13、围内(民法典 第 111 条及第10341039 条),但是从个人信息制度的定位角度予以检视,则能够得出结论:个人信息保护相关实定法并不具有创设新型权益之意图。个人信息保护制度系主体民事权益保护的前置法、预防法。个人信息保护制度是在信息处理风险尚未产生之前,通过矫正实质不平等关系的方式而防范之。个人信息处理行为往往意味着海量个人信息同时被算法技术处理,一旦不加以事先控制,很有可能产生“系统性风险”,这恰恰成为现代社会治理的重大关切。所以个人信息保护制度是防范权益遭受巨大风险的前置性预防规范。这也是以个人信息保护法 为核心的个人信息保护制度与民法的重大差别。民法主要以事后救济为主(损害赔偿);至
14、于事前保护的手段,只是消除危险,但适用消除危险责任的前提是“危险确实存在,对他人人身、财产安全造成现实威胁”。对于民事权益面临的尚未升级至危险(现实威胁)程度的风险,民法手段无能为力。故单纯诉诸民法的救济措施无法代替个人信息保护制度事前大规模控制风险的重要地位。另外,现行 个人信息保护法 第 11 条规定国家预防侵害个人信息权益的行为,这一条文更能确证个人信息保护制度的预防法特征。个人信息保护制度的前置法、预防法定位,决定了其功能不在于创设一项新民事权益,而是保障个人既有民事权益免遭危险。从实然角度,民法典 在人格权编最后一章虽然设置少量个人信息保护原则性条款,但是始终没有宣称其创设了一项新的
15、民事权益,也始终未在民法典 中适用“个人信息权益”或“个人信息权”的提法。这无法证明“个人信息权益”是与隐私权、名誉权等既有民事权益并列的一项新权益。从应然角度,既然个人信息保护制度“设立目的在于事前性控制预防信息处理活动对个人权益所带来的抽象危险”,则说明在个人信息保护制度产生之前的问题不在于缺少一项亟需制定的民事权益,而是缺少保护既有民事权益的更加有效的手段。既然如此,个人信息保护制度没有必要创设一项新民事权益,只能充当保护既有民事权益的新手段。个人信息保护制度是保护既有民事权益的手段,但此种手段亦没有必要通过创设一项新民事权益而实现。个人信息保护法 第四章规定的若干“个人在个人信息处理活
16、动中的权利”,只是一系列保护既有民事权益的手段(工具、程序),“既是个人制衡信息处理者的工具,也是国家对数据处理者的规制策略。”这一系列权利甚至不是主要手段。触发个人信息保护制度制定的主要不是零散的个人信息直接使用行为(例如课外辅导机构获得并使用学校提供的学生名单),而是基于算法和计算机的海量个人信息处理行为。在此种局势之下,个人的单独力量即使在事前保护上仍显得微不足道。因此,为了防止个人信息处理行为不当甚至违法而产生系统性风险,必须由可以与个人信息处理者抗衡(至少力量相当)的主体承担控制风险之大任。我国当下的选择是由网信部门作为控制风险的主要力量。个人信息保护法 第四章中“个人在个人信息处理
17、活动中的权利”的出现,是因为监管部门针对海量个人信息处理行为予以控制难免有疏漏,此种情况下个人可以针对性地对其个人信息权益予以特别注意。(二)民法上个人信息权益新客体之检讨证成一项新型独立民事权益,必须找出支持此项权益的新客体(即利益)。需要注意的是,这种新861东岳论丛Jun,2023 Vol44 No62023 年 6 月(第 44 卷/第6期)(Dong Yue Tribune)参见雷磊:新兴(新型)权利的证成标准 ,法学论坛,2019 年第 3 期。参见杨芳:个人信息保护法保护客体之辨 兼论个人信息保护法和民法适用上之关系 ,比较法研究,2017年第 5 期。黄薇主编:中华人民共和国民
18、法典总则编解读,北京:中国法制出版社,2020 年版,第 582 页。杜牧真:个人信息权的法益与性质的审视与再界定 ,新疆大学学报(哲学人文社会科学版),2022 年第 1 期。王锡锌:国家保护视野中的个人信息权利束 ,中国社会科学,2021 年第 11 期。客体是一种利益,区别于权利的对象,否则将造成同一客体之上存在若干权益的乱象。具体而言,个人信息只是个人信息权益的对象,无法作为个人信息权益的客体。基于此,加拿大学者丽莎奥斯汀(Lisa Austin)指出,个人信息保护法的混乱,原因恰恰在于人们始终没有指出作为个人信息权益客体的那些利益究竟是什么。于是,既有学说纷纷说明此种作为客体的利益类
19、型,大致可以将这些学说归纳为五种立场,但这五种利益都不足作为支持个人信息权益成为一种民事权益的客体;相应地,个人信息权益无法作为民法上一项独立的新权益。一是,个人信息控制利益。从二十世纪末开始,大多观点认为民法上个人信息权益的客体为个人对其个人信息的控制利益,即对个人信息的占有、使用、收益、处分利益。例如有观点认为,个人数据受保护权加强了个人对个人数据的控制。但是随着对国际个人信息制度的进一步深入研究以及个人信息保护法 第 13 条规定了多元的合法性基础,该立场改变表述为:个人对其个人信息的“有限”控制利益。比如为履行法定职责、为维护公共利益等利用个人信息的情形应当限制个人信息主体对个人信息的
20、控制。然而,此观点无法成立。第一,我国个人信息保护制度主要参考欧盟 GDP,而根据欧盟的相关解释,个人并非控制其个人信息。在 GDP 尚未生效的 2017 年,欧盟就已经出台 大数据时代关于个人数据处理中个人保护的指南,其核心观点是:个人并非控制其个人信息,毋宁是控制个人信息滥用行为,所谓个人控制其个人信息只是大家对 GDP 的曲解。另外,欧洲相当多学者通过分析 GDP 若干重要条款认为,个人信息自决不是 GDP 的理论基础。我国也有学者通过对(普遍被认为首创了个人信息自决权的)德国个人信息保护制度的深入研究而认为,所谓德国创设了个人信息自决权,完全是以讹传讹。第二,如果认为控制利益是民法上个
21、人信息权益的客体,那么这种客体也被隐私权、肖像权、姓名权等具体人格权所共享,最终代价就是“个人信息权益和具体人格权不可避免地会发生重叠保护”?10。如果新型民事权益与大多数既有民事权益客体重叠,进而产生大量不必要的请求权竞合,那么该新型权益实属冗余。第三,个人信息保护法 规定没有体现出控制利益。有观点提出,复制权(第 45条第 1、2 款)、移转权(第 45 条第 3 款)体现了个人对其个人信息的控制。然而,根据第 50 条第 1 款第2 句,个人信息处理者并非必须要响应个人行使权利的主张,在有理由且予说明的前提下,个人信息处理者可以拒绝该主张。二是,安全利益。该立场认为,民法上个人信息权益的
22、客体是个人信息处理活动中的个人安全利961“个人信息权益”的民法新定位?10参见孙山:民法上对象与客体的区分及其应用 ,河北法学,2021 年第 2 期。See Austin Lisa M,“Is Consent the Foundation of Fair Information Practices?Canada s Experience Under Pipeda”,Uni-versity of Toronto Law Journal,Vol56,2006类似观点参见最高人民法院民法典贯彻实施工作领导小组主编:中华人民共和国民法典人格权编理解与适用,北京:人民法院出版社,第 367 页。参见
23、李伟民:“个人信息权”性质之辨与立法模式研究 以互联网新型权利为视角 ,上海师范大学学报(哲学社会科学版),2018 年第 3 期。Orla Lynskey 认为加强个人对其个人数据的控制有两个目的:一方面,它积极促进受到个人数据处理威胁的个人人格权;另一方面,它减少了个人和处理他们数据的人之间的权力和信息不对称。See Orla Lynskey,“DeConstructing DataProtection:The AddedValue Of A ight To Data Protection In The Eu Legal Order”,The International and Compa
24、rative LawQuarterly,Vol63,2014参见李昊:个人信息侵权责任的规范构造 ,广东社会科学,2022 年第 1 期;石佳友:个人信息保护的私法维度 兼论 民法典 与 个人信息保护法 的关系 ,比较法研究,2021 年第 5 期;郭北南:个人信息的民事法保护与救济 ,国家检察官学院学报,2021 年第 2 期;程啸:论大数据时代的个人数据权利 ,中国社会科学,2018 年第 3 期。See Guidelines on the Protection of Individuals with egard to the Processing of Personal Data in
25、a World Of Big Data,ht-tps:/ccdcoeorg/uploads/2019/09/CoE170123_GuidelinesonprotectionofindividualswithregardtoprocessingofpersonaldatainaworldfbigdatapdfSee Florent,“Thouvenin,Informational SelfDetermination:A Convincing ationale for Data Protection Law?”,Journal ofIntellectual Property,Information
26、 Technology and Electronic Commerce Law,Vol37,2021参见杨芳:个人信息自决权理论及其检讨 兼论个人信息保护法之保护客体 ,比较法研究,2015 年第 6 期。李昊:个人信息侵权责任的规范构造 ,广东社会科学,2022 年第 1 期。益,而非人格利益或者财产利益。此“安全”并非个人信息处于秘而不宣的状态,而是强调个人民事权益处于无受侵犯之危险的状态。然而,此观点也无法成立。第一,安全利益并非民事利益。此种“安全”,对应民法理论中人身、财产权益的完满状态。民法典 第 1167 条便将此种状态表达为“人身、财产安全”。因此,安全本身不是民法上的一种独特
27、的利益类型,而是各项民事权益保持完满状态的体现。个人信息制度是为了使信息主体的“某种权益”免受侵害而已,所以个人信息权益的民法上意义,恰恰应究问该“某种权益”为何,而不是此种安全状态。第二,即使承认此种保持权益完满状态的安全利益是一种民事利益,那么 民法典 第 1167 条足以保障此种安全利益,没有必要创设一种新型独立民事权益而使其与 民法典 第 1167 条在功能上完全重叠。三是,个人在个人信息处理活动中的权利。该立场认为,民法上个人信息权益的客体是个人在个人信息处理活动中的权利(个人信息保护法 第四章)。甚至有学者提出,个人信息保护法 第 50 条确立的个人信息处理者拒绝个人行使权利后的诉
28、讼权,也是个人信息权益的客体。然而该观点也不具有说服力。第一,个人在个人信息处理活动中的权利只是保护其他民事权益的手段,其本身并非保护目的,因此不能作为个人信息权益的客体。第二,个人在个人信息处理活动中的权利不具备被侵害的可能性。如果“个人在个人信息处理活动中的权利”是客体,那么应存在被侵害的可能性,但个人的更正权、补充权和删除权等本质上不可能被侵害。以相同性质的物权请求权举例可兹解释。甲抢夺乙的手机,乙可以向甲主张返还手机(民法典 第 235 条的返还原物请求权)。但是当甲拒绝返还手机时,对于乙而言只是其物权仍然没有回复至完满状态,而并非所有权遭侵害后返还原物请求权继而受侵害。四是,笼统的人
29、格尊严、人身自由利益。该立场认为,民法上个人信息权益的客体为笼统(抽象意义上)的人格尊严、人身自由。但该立场显非妥当。欲证成一项独立人格权益,前提是该独立权益所保护的客体(利益)已经可以从笼统的人格尊严、人身自由利益中独立出来,而不能仅笼统提及保护对象系一般性的人格尊严、人身自由利益,毕竟一切人格权益最终都是保护人格尊严、人身自由利益。五是,身份自主建构利益。有观点指出,个人信息保护的客体包括“各种社会关系中身份建构的自主性和完整性”,类似地,学界有时也将其表述为“同一性保护”?10或者“呈现利益”?11。两者内涵皆在于“即使没有损害个人名誉,也不允许歪曲一个人的人格形象和对此加以传播”,并进
30、一步指出,“原则上要由个人自我决定,他在公众面前应被描绘为一个什么形象并因此使他的社会同一性受到何种影响”?12。不过,这种同一性保护与著作权法(2020 年修正)第 10 条所指代的保护作品完整权极其类似。只是当不涉及作品情况下,此种社会同一性利益也仅需要放置在一般人格权中加以考量,目前尚未071东岳论丛Jun,2023 Vol44 No62023 年 6 月(第 44 卷/第6期)(Dong Yue Tribune)?10?11?12参见杜牧真:个人信息权的法益与性质的审视与再界定 ,新疆大学学报(哲学人文社会科学版),2022 年第1 期;最高人民法院民法典贯彻实施工作领导小组主编:中华
31、人民共和国民法典人格权编理解与适用,北京:人民法院出版社,第 361 页。参见黄薇主编:中华人民共和国民法典侵权责任编解读,北京:中国法制出版社,2020 年版,第 1720 页。参见王锡锌,彭錞:个人信息保护法律体系的宪法基础 ,清华法学,2021 年第 3 期;杨芳:个人信息保护法保护客体之辨 兼论个人信息保护法和民法适用上之关系 ,比较法研究,2017 年第 5 期;申卫星:论个人信息权的构建及其体系化 ,比较法研究,2021 年第 5 期;姚佳:论个人信息处理者的民事责任 ,清华法学,2021 年第 3 期。参见杨立新:个人信息处理者侵害个人信息权益的民事责任 ,国家检察官学院学报,2
32、021 年第 5 期。参见王锡锌:国家保护视野中的个人信息权利束 ,中国社会科学,2021 年第 11 期。张新宝教授有不同观点,按照他的观点,“个人在个人信息处理活动中的权利”也是个人信息权益的内容。他将个人信息权益分为本权权益和保护本权权益的权利。参见张新宝:论个人信息权益的构造 ,中外法学,2021 年第 5 期。李昊:个人信息侵权责任的规范构造 ,广东社会科学,2022 年第 1 期。参见彭诚信,许素敏:侵害个人信息权益精神损害赔偿的制度建构 ,南京社会科学,2022 年第 3 期。有学者也将尊严、自由作为个人信息权益的“本权权益”,参见张新宝:论个人信息权益的构造 ,中外法学,202
33、1 年第 5 期。陆青:数字时代的身份构建及其法律保障:以个人信息保护为中心的思考 ,法学研究,2021 年第 5 期。德 马克西米利安福克斯:侵权行为法,齐晓琨译,北京:法律出版社,2006 年版,第 55 页。参见王苑:私法视域下的个人信息权益论 ,法治研究,2022 年第 5 期。德 马克西米利安福克斯:侵权行为法,齐晓琨译,北京:法律出版社,2006 年版,第 55 页。成熟到从一般人格权中脱离的程度。总之,当个人信息处理侵犯的个人权益无法被归结为具体人格权益受侵害时,完全可以动用一般人格权保护。并且,在此种由一般人格权加以保护的利益尚难以具体化、类型化时,难以使其成长为一项新型权益。
34、综上,个人信息制度的前置法、预防法定位,决定了其并非意在创设一项新型独立民事权益,也没有必要为之。同时,也不存在支撑个人信息权益作为一项新型独立民事权益的客体(利益)。因此,可以认定个人信息权益在民法上无法定位为独立于既有民事权益的新权益。三、个人信息权益:既有民事权益在分析评估场景中的新表达民法上个人信息权益仅是在个人信息分析评估场景中的全新的、特别的、概括的法律表达,自然人对个人信息的权利只有在导致其他民事权利被侵害时,方得侵权法保护。而且,仅限于信息分析评估应用,这意味着个人信息权益是民事权益在特殊场景下的特别强调。(一)个人信息权益可涵盖全部既有权益个人信息权益是现行法秩序中既有的民事
35、权益(包括人身权益和财产权益),而非仅仅关涉隐私权,也不含任何新权益。以下分别就涉个人信息场景下此权益的涵盖范围简要论述。1人身权益第一,隐私权。一方面,非法处理个人私密信息可能侵犯隐私权。根据 民法典 第 1032 条第 2 款,擅自处理私密信息会侵犯隐私权,司法实践中已出现相关案例。另一方面,通过分析非私密信息而刺探个人信息主体的私密情况,也将侵犯隐私权。隐私权的本质在于不愿为他人知晓的私密情况(私密空间、私密活动、私密信息、私密部位)能真正不为他人知晓。因此如果通过大数据分析非私密信息,而得出的结论落入个人私密情况的范畴(尤其是在以分析出私密情况为处理目的的情况下),那么此种行为仍然触及
36、个人信息主体的隐私权。一向标榜对个人高度保护的欧洲个人数据保护制度与此立场保持一致。GDP第 9 条第 1 款便着重禁止从非私密信息中分析出私密情况的行为。在欧盟法院看来,如果处理行为将揭示私密信息,甚至不需要证明损害(damage)或侵害(harm)即可适用特殊个人信息保护条款。第二,名誉权。处理涉个人信息主体名誉信息的情况较少,但是个人信息处理、分析行为的结果却很有可能损害或者危及个人信息主体的名誉。目前司法实践中关于处理个人信息侵犯个人信息主体名誉的案件集中体现在侵害个人信用类案件。例如,在马鞍山农商行与房兰菲名誉权纠纷中,马鞍山农商行向中国人民银行征信中心上报的批量信息中涉房兰菲的信用
37、信息不实,导致房兰菲个人信用报告载有不良记录。法院认为因马鞍山农商行错误处理个人信息,导致房兰菲信用受损,侵犯了房兰菲名誉权。个人信息保护法 第 8 条规定,“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响”。事实上,确保个人信息质量恰恰能够保障不会处理错误的信息得出错误的结论进而侵害个人信息主体的名誉等。第三,心理健康权。民法典 第 1004 条明确自然人享有心理健康权。心理健康权是关于(作为人171“个人信息权益”的民法新定位参见程啸:论大数据时代的个人数据权利 ,中国社会科学,2018 年第 3 期。参见张慧:信息隐私和个人信息功能定位的再区分 ,
38、北京社会科学,2022 年第 1 期;张新宝:从隐私到个人信息:利益再衡量的理论与制度安排 ,中国法学,2015 年第 3 期。参见重庆市渝北区人民法院 2020 渝 0112 民初 24368 号民事判决书。当然,未经明确同意处理私密信息不必然侵犯隐私权。有学者指出,须区分商业处理与非商业处理,前者可推定不法,而后者有弹性裁量空间。参见吴香香:请求权基础视角下 民法典 人格权的规范体系 ,中国高校社会科学,2021 年第 4 期。See WP29 2011:Article 29 Working Party,Advice Paper on Special Categories of Data(
39、4 April 2011),https:/eceuropaeu/justice/article29/documentation/otherdocument/files/2011/2011_04_20_letter_artwp_mme_le_bail_directive_9546ec_an-nex1_enpdfSee Case C465/00,echnungshof v sterreichischer undfunk and Others参见高富平:论个人信息保护的目的 以个人信息保护法益区分为核心 ,法商研究,2019 年第 1 期;曹博:个人信息可识别性解释路径的反思与重构 ,行政法学研究,
40、2022 年第 2 期。的机能而体现的)精神健康的权利。如果出现自然人因个人信息处理者分析评估过程中泄露其个人信息而造成严重精神痛苦,那么该信息处理行为侵犯了个人信息主体的心理健康权。第四,姓名权。根据 民法典 第 1012 条规定,自然人姓名权内容为自然人“有权依法决定、使用、变更或者许可他人使用自己的姓名”。任何组织或个人未经个人信息主体同意(且没有法定例外)的前提下不可使用他人的姓名。在个人信息处理过程中,如果个人信息处理者在没有合法性基础的情况下将个人信息主体姓名作为分析评估的素材,则侵犯个人信息主体的姓名权。第五,肖像权。个人信息处理行为与肖像权在人脸识别领域相遇。随着高科技的发展和
41、人脸收集的滥用,深度伪造、远程人脸识别等现象十分突出,甚至出现民众为避免失去交易优惠而戴头盔至售楼处看房的情况。根据调查,人脸识别技术存在强制使用问题;人脸信息泄露、财产损失等安全风险;人脸识别技术有被滥用的趋势。最高人民法院已经认识到,违法运用人脸识别技术处理个人信息,受侵害的权益包括肖像权。第六,一般人格权。一般人格权作为具体人格权之外的人格权保护兜底条款(民法典 第 109 条、第990 条第 2 款),与具体人格权在人格权益保护方面构成了严密而无漏洞的法律体系。在个人信息处理场景下,是否会衍生出新的利益或者由公法上转化而来部分利益尚未可知,所以,个人信息处理涉及一般人格权问题的可能性极
42、大。例如,在赵鹏与链家公司、宋英华案中,链家公司在客户信息利用过程中泄露客户赵鹏之居所信息,该信息被链家员工宋英华擅用于办理北京市居住证,导致赵鹏无法以同一地址办理居住证。法院认为该纠纷为一般人格权纠纷。这一判断值得肯定,因为在符合当地居住证办理相关规定的前提下,以自己之房屋办理居住证系个人自由,这为人身自由利益所保护。因个人信息之不当处理而导致个人信息主体被剥夺这一人身自由,则侵犯一般人格权。例如,利用信息处理分析行为而杀熟侵犯了 消费者权益保护法(2013 修正)第 10 条规定的公平交易权利。个人信息处理将涉及个人的民事权益,未必限于 民法典 的列举范围,应当将检索的范围扩展至整体法秩序
43、所规定的全部民事权益。2财产权益个人信息分析评估场景下不仅可能触及个人信息主体的人格权益,还可能触及个人信息主体的财产权益,但该财产权益并非指涉个人信息本身的经济利益。个人信息处理行为可能侵害个人信息主体固有的财产权益。例如个人信息泄露,尤其是金融信息泄露,很有可能导致不法分子冒充个人信息主体之身份而盗刷信用卡、取出银行存款或者办理银行贷款行为,给个人信息主体合法财产权益造成损失。例如,在申瑾与上海携程商务有限公司等侵权责任纠纷中,申瑾因个人的手机号和航班信息被泄露而被犯罪分子实施电信诈骗,损失 118900 元。法院指出,网络空间本质上也属于 民法典 第 1198 条所规定的公共空间,故个人
44、信息处理者仍然具有安全保障义务。进而,根据第 1198 条第 2 款第 2 分句,个人信息处理者应当因未尽到安全保障义务而承担补充责任。这种责任便是因侵犯个人的财产权益而产生。然而,个人信息分析评估过程中可能侵犯个人信息主体的财产权益,并非意在指涉个人信息本身的财产价值。有学者提出,在根据 个人信息保护法 第 69 条认定侵犯个人信息权益的损失时,应当考虑个人信息对于个人信息主体本身的财产价值。但是这并非个人信息权益的内容。第一,如前文已论述,个人信息保护制度的宗旨并非为赋予个人信息主体一项财产权益。第二,退一步讲,即使承认个人信息的财产价值,但是诚如学者所言,个人信息的财产价值平摊到每一个个
45、人信息主体上都数额很小。第三,精准统271东岳论丛Jun,2023 Vol44 No62023 年 6 月(第 44 卷/第6期)(Dong Yue Tribune)参见陈甦,谢鸿飞主编:民法典评注人格权编,北京:中国法制出版社,2020 年版,第 107 页。参见 App 违法违规收集使用个人信息专项治理工作组 南方都市报个人信息保护研究中心人工智能伦理课题组:人脸识别应用公众调研报告(2020),第 619 页。参见郭锋,陈龙业,贾玉慧,张音:关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定 的理解与适用 ,人民司法,2021 年第 25 期。参见北京市朝阳区人民法院
46、 2018 京 0105 民初 9840 号民事判决书。参见北京市朝阳区人民法院 2018 京 0105 民初 36658 号民事判决书。参见彭诚信:论个人信息的双重法律属性 ,清华法学,2021 年第 6 期。参见杨立新:私法保护个人信息存在的问题及对策 ,社会科学战线,2021 年第 1 期。计关涉的个人信息主体、计算每个人的分配数额再分配给每个个人信息主体,需要付出较高成本。因此,强调个人信息主体对其信息本身享有财产权益,至少目前是无效率的解决方案。(二)个人信息权益的特殊性仅在于场景个人信息权益虽然只是既有的民事权益的集合,但是其仅限于信息分析评估场景中,这是其与既有民事权益的根本区别
47、。一方面,个人信息权益以信息分析评估场景为限,为事前的风险防范提供了正当基础。个人信息保护法(草案)在 民法典 出台数月后方制定公布,这意味着民法典 制定时我国尚没有成熟、完整、体系化的个人信息保护制度。观察 民法典 第 10341039 条的条文设置,可以发现其意在事前防控风险,这与 个人信息保护法 的作用一致。甚至在民法典 出台与个人信息保护法 未生效的“真空期”,国家机关处理个人信息原则上也应遵照 民法典 条文的要求。这恰恰是 民法典 在 个人信息保护法 出台之前,以个别原则性条文的方式发挥临时性的过渡作用。虽然个人信息保护法 生效意味着 民法典 大部分个人信息保护条文的历史使命已经完成
48、,但是仍不能否认,无论是 民法典 关于个人信息保护的条文还是 个人信息保护法 均起到事前在个人信息分析评估场景中防范侵害既有民事权益风险的手段作用。另一方面,对于事后的侵权救济而言,涉个人信息分析评估场景与非涉个人信息分析评估场景在权益保护上有所差别。民法上个人信息权益毋宁是特殊场景下对既有民事权益的特别保护。个人信息保护法 第 69 条第 1 款的典型意义在于在涉个人信息的侵权案件中,转移主观过错的举证责任。但是这种举证责任的转移,其法理基础仅在于涉个人信息处理案件中,个人信息主体没有能力判断个人信息处理者的处理过程是否违法、是否有过错,相应地,也没有能力举证。因此为了实质上矫正个人信息主体
49、与个人信息处理者之间的实质不平等关系,才作出举证责任倒置的新规定。而且,举证责任的倒置不应局限于个别类型权益的侵犯,而是只要在个人信息处理场景下侵犯了个人信息主体的任何民事权益,那么作为侵权责任构成要件之一的“过错”(或者通常作为判断标准的违法性),个人信息主体都难有举证能力,因此都要倒置举证责任。也就是说,任何民事权益在信息分析评估场景下都要得到特殊保护。需要强调的是对“分析评估场景”的理解。“分析评估场景”的基本特征在于,此场景下借助大数据归档、计算、识别和分析技术,已经超越个人信息主体能够知晓、理解并有效监督实施的能力范围。这一方面体现在个人事前无法采用传统民法方法有效防范风险,另一方面
50、体现在个人事后无法判断、举证证明个人信息处理者行为的违法性或者过错。如果是个人可判断、可控制、不采用大数据技术的场景,没有任何特殊防范或者特殊救济的必要性。例如司法实践中的一则判例:甲起诉乙公司,乙公司收到诉状副本(含有姓名、身份证号、详细家庭住址等)后将其张贴于大门。该案中虽然乙公司披露了甲的隐私信息,但是这并不存在任何无法控制的风险,甲也未丧失判断和举证证明乙公司存在违法性或过错的能力。因此即使该案例与个人信息有关,但不应认为侵害了甲的个人信息权益,而是侵害甲的隐私权。甲应依照民法隐私权规定加以救济,采一般过错责任。简言之,此案未涉及分析评估场景。再如,在霍建华与网易公司等名誉权纠纷中,网