《民法典》个人信息保护条款解读及其对新闻报道的影响
■周冲
【本文提要】本文结合国内外相关理论和立法实践,对《民法典》中个人信息保护条款相关内容,及将个人信息作为“权益”而非“权利”施以保护的深层次机理进行解读,分析其对新闻报道的影响并提出应对建议,以期能对我国未来《个人信息保护法》出台及个人信息保护制度体系的完善有所裨益。
【关键词】民法典 个人信息 隐私 权益
【中图分类号】G211
大数据时代,基于新媒介技术与传播模式的进步和发展,“数据化”的私人信息得以以更快的速度、更大的范围和更隐秘的方式脱离本人的实际控制,个人信息的泄露、交易与滥用风险愈来愈高。这也对新闻报道提出了新的问题。作为我国民事权益保护的基本法律,《中华人民共和国民法典》(以下简称《民法典》)在总则部分第111条明确规定“自然人的个人信息受法律保护”,同时又在“人格权编”设立了“隐私权和个人信息保护”专章,规定了个人信息的基本概念、处理规则、抗辩事由、具体路径及其与隐私的关系等内容;并将新闻报道、舆论监督与个人信息保护的关系列入专门条款。这些设置与安排,既体现了《民法典》对个人信息这一新型民事权益的人文关怀,也标志着我国关于个人信息保护顶层立法设计的初步完成,对于新闻报道、舆论监督起到了重要的指引作用。
一、《民法典》对个人信息与隐私关系的定位
生活经验告诉我们,个人信息总是与隐私密切关联,《民法典》将两者共同列入专章也体现了这一点。但是隐私又显著区别于个人信息,《民法典》在已有立法基础上,针对隐私权和个人信息保护的关系作出了规定,也为确定个人信息概念和属性奠定了理论基础。
《民法典》第1032条规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”这里的私密信息,或称为“信息性隐私”,实际上就属于个人信息范畴。当然,“私密信息”本身也并非一成不变的概念,不同场域下人们私密信息的认定也会不同,这可能会在实践应用中产生一些争议。而根据《民法典》第1034条第1款的规定,生物识别信息、健康信息等个人信息,在未经个人同意公开之前,当然也属于隐私权保护的客体。由此可见,个人信息与隐私在概念外延范畴上存在交叉重合的部分。当某一行为同时构成对他人隐私权和个人信息权益的侵害时,根据《民法典》第1034条第3款规定,“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”,确立了“隐私优先”的保护模式。
之所以会有这种竞合现象,在于个人信息理论形成本身就源于隐私概念和隐私权理论的变化与调整,两者具有同源性。一方面,隐私概念的形成为个人信息保护意识打下了基础。隐私作为一种观念,一般认为其产生于古希腊时期,对“城邦生活”和“家庭生活”的严格划分滋生了一条经典的政治哲学教条,即公私领域的二分法,它揭示了人们追求“不被他人打扰或者窥探”的朴素意识,“为人们言论的自我表达、精神的自我培养,形成人际关系以及参与政治创造了有利条件”(申琦,2015:16)。尤其是自文艺复兴以后,伴随西方对私有财产权保护的明确和巩固,以个人尊严和人身自由为主的人格利益不断得到强调和彰显,其中包括私密信息在内的隐私内容的社会评价也开始从负面转向正面,其背后的人格价值也在不断提高,并逐渐以一种私人权益的形式得到社会普遍认知和接受。
另一方面,隐私理论的发展正趋同于个人信息保护的“自决”面向。隐私本身是个极具张力的概念,其内涵与外延一直在发展变化过程中。总体来说,伴随媒介技术的发展和社会评价的变化,隐私权理论的关注点体现出以下两种趋势:一是由“空间”叙事范式转为“信息”叙事范式。技术进步导致公权力和商业机构已经不再需要“物理性”的靠近来窥私,个人信息正以“数据”形式不断突破传统隐私保护的空间范式;二是由“被动”的禁止性权利转向“主动”的决定性权利。最初隐私等私人权益的提出往往暗含着对抗公共生活的价值隐喻,人们对涉及自己的私密性事务多少带有隐藏的倾向。尤其是在大数据时代,个人有权决定何时、以何种方法、何种程度向何人披露自己的隐私信息,隐私权中的“信息自决”内核逐渐凸显出来,其“精髓在于信息主体对自身信息的控制与选择,即自我决定的权利”(姚岳绒,2012)。比如,我国台湾地区民法学家王泽鉴就认为:“隐私权由两个核心部分构成,一是私密领域,一是信息自主”(王泽鉴,2013:208-209)。
然而,相同的理论渊源和相近的价值内核并不等于个人信息保护完全纳入隐私权范畴,两者之间的具体区别主要有三点:
一是权利客体不同。一般来说,隐私中的“私”,既可以是空间性的“私人场所”,也可以是虚拟化的“私密信息”。而相较于隐私,个人信息概念范畴则更为广泛,包括自然人的姓名、出生日期、身份证件号码等各种信息,其虽然均与私人有关,但这种“私”并不一定要“隐”,比如姓名、电话号码等一般都是可公开信息。在社交媒体时代,个人主动公开其信息的情况亦十分普遍。从这一点来看,隐私与个人信息之间虽然存在权利竞合部分,但这种竞合“实质是一个行为在特定情境下同时损害多个利益,不同利益偶尔被同一行为损害,不会打消这些利益之间的界限,不会影响相关权利的独立性”(于柏华,2020)。因此两者之间存在根本性不同。
二是保护利益不同。隐私权作为一种典型的具体人格权,保护的是个人的隐秘人格利益,具有较强的排他性,属于绝对权范畴。而个人信息则不同,它除了人格利益之外,还承载着重要的社会和经济价值。比如新冠肺炎疫情期间“健康宝”等程序应用对个人信息的收集和处理,就具有很强的公共属性,而各种数据产业发展对于个人信息的依赖,也意味着对个人信息的保护不能简单采用类似隐私权保护的那种绝对控制模式,而是要兼顾各方利益。这实际上也构成了我国《民法典》针对个人信息保护采用强调多元利益平衡的“法益保护模式”,而摒弃主体一家独大的“权利保护模式”的主要因素,容在后文详细讨论。
三是救济方式不同。保护对象的不同也导致两者的保护方式有所差异。隐私权是一种被动保护的权利,其救济方式通常表现为在受到侵犯可要求停止侵害或者排除妨碍。而个人信息保护则强调主动控制,包括要求转移、更正、删除等各种权能性救济模式,且其权利行使的先决条件已不再局限于“权利受到侵害”,即使信息控制者的行为目前来看不必然带来真实损害,只须构成抽象危险,个人就可以行使相关权利,具有预防作用。
总体来说,在《民法典》中,“个人信息保护”与“隐私权”一同被纳入“人格权编”,但在具体条款中又区别开来。这体现了立法者对于个人信息权益的性质定位,其与隐私权中的“隐私”利益既有交叉重合又有区别。从法理上说,个人信息保护与隐私权尽管有着相同的理论渊源和相近的价值内核,但两者在权利客体、保护利益、救济方式等领域存在明显差异,对于信息传播活动尤其是新闻传媒行业的影响也大为不同。隐私与新闻报道的公开性存在着天然矛盾,而且隐私一经传播,往往会造成难以补救的损害,因此,虽然隐私概念属于域外输入而未及列入1986年《民法通则》,但1988年《最高人民法院关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》即以司法解释方式加以补救,①并逐渐成为新闻报道的基本规范要求。《民法典》第1033条禁止的进入、拍摄、窥视他人的住宅、宾馆房间等私密空间,拍摄、窥视、窃听、公开他人的私密活动,拍摄、窥视他人身体的私密部位等侵犯隐私权行为,就属于新闻报道领域曾经热烈讨论的偷拍偷录范畴内的问题。②
而相较于隐私,个人信息对于新闻报道内容和方式的影响更巨,尤其在互联网时代,人们对于个人信息保护和利用的方式远比强调严格隐匿的隐私权复杂,但由于相关理论和法律制度形成较晚,个人信息保护与新闻报道之间的密切关系尚未得到新闻业界的充分认识和接受,其具体影响结果如何也有待实践检验。而目前《民法典》中个人信息保护条款的设立,无疑是对社会权利需求与技术进步趋势的一种顺应,需要新闻界予以格外重视。
二、个人信息的“权益”定位:我国个人信息保护的基本方向
从第1034条到第1039条,《民法典》用了六个条款对个人信息的基本概念、处理规则、例外情形、具体路径等进行规定,并与第111条、第999条以及“侵权责任编”中若干条款相互配合,共同确立了我国个人信息保护的基本方向,为日后与《个人信息保护法》等单行法的制度衔接创造了空间。
1.《民法典》确立了我国关于个人信息的法益保护模式
与《民法总则》一样,《民法典》第1034条第1款明确规定自然人的个人信息受法律保护,但相较于肖像权、名誉权等具体人格权,法典只是强调自然人的个人信息受法律保护,而没有授予其“个人信息权”的“权利名分”。这实际上体现了现阶段我国立法者对于个人信息保护的基本态度,并确立了我国关于个人信息保护的“法益保护模式”。所谓“法益保护模式”,即将个人信息作为一项“法益”而非“权利”。尽管法律亦承认个人信息显著区别于名誉权、隐私权等而含有一种独特人格利益,但并未打算通过构造一种新型人格权的方式来进行保护。
与“法益保护模式”相对应的是“权利保护模式”,即通过确认公民的“个人信息权”以保障个人对其信息的决定与处分权利,其中以欧盟为典型代表。在2018年5月正式实施的欧盟《一般数据保护条例》(GDPR)中,个人被赋予对其个人信息享有访问权、更正权、删除权(被遗忘权)、限制处理权、数据可携权等多项权能,而这些权能共同组成一项完整的人格权利,即“个人信息自决权”。
该权利最早源于德国,并在1983年的“人口普查案”③中得以确立。我国学界多称其为“个人信息权”,内涵上亦大同小异,强调主体对个人信息的全面控制、决定与支配。这种权利本质上是一种对于自己信息的控制权利。即使是将个人信息纳入隐私保护的美国法中,其发展趋势也是强调“维持对个人信息的内在领域和对某人身体和能力的一定程度的控制的权利”(高富平,2018)。
在《民法典》编撰过程中,一些人大代表及学界、业界的专家就认为个人信息所蕴含的人格利益无法被其他具体人格权所覆盖,提出要设立独立的个人信息权,并将“隐私与个人信息保护”这一章的名称改为“隐私权与个人信息权”,认为这样有利于进一步明确权利项下的具体权能,同时为个人信息保护的司法救济提供权利基础。而《民法典》最终将个人信息认定为“权益”而非“权利”,究其原因,主要有二个:
一是个人信息“权益”本身无法上升到“权利”高度。个人信息所蕴含的人格利益“多”而且“杂”,并与其他人格权客体重复,难以界定。比如姓名之于姓名权、头像之于肖像权、生物识别信息之于隐私权等。从这个角度而言,“个人信息权利最多算是在信息自动化处理环境中对姓名、肖像、隐私等人格利益的特别保护,不能构成一种新的具体人格权”(王成,2019)。
二是过分强调个人绝对控制会导致多元利益失衡。相较于强调私密性的隐私,个人信息涉及的利益更为多元和复杂。“一味强调个人绝对控制,会阻碍个人信息的正常利用和共享,不仅社会价值易被忽视,大数据等信息产业也难以发展”(刘金瑞,2020)。即使是对个人信息保护最为严格的欧盟《一般数据保护条例》,也需要强调其立法目的在于“实现自由、安全、公平和经济联盟,致力于经济和社会进步……”而我国《民法典》未能安排给予个人信息与隐私权同等的保护程度,就是为了避免个人通过新型权利对个人信息利益,尤其是其中的财产性利益提出扩张性主张,旨在确保个人信息保护的同时促进数据产业的协调发展。
基于上述原因,我国《民法典》针对个人信息选择了法益保护模式。此举并非否定个人信息自我决定和控制的正当性需求,只是强调在确立自然人的民事主体地位的同时,较多兼顾了信息传播和利用过程中的其他因素。比如根据《民法典》第1036条的规定,为维护公共利益或者该自然人合法权益,合理实施的信息处理行为可以免责。但在一般情况下,处理个人信息必须征得该自然人或者其监护人同意,并衍生出重要的“知情—同意”规则,这从根本上体现了人对其信息的控制权利,有利于平衡作为弱势的个人与强势的信息处理者之间的利益,也与法益保护模式的内在价值追求相契合。
2.《民法典》确立了我国关于个人信息的人本价值面向
长期以来,我国在个人信息保护上重公法、轻私法,重责任追究、轻权益保护的现象比较突出,而《民法典》针对个人信息采用了法益保护模式,主张信息处理、保护与利用之间的利益平衡,也使很多人担心这种选择是否会加剧对个人信息中所蕴含人格利益的疏忽。而事实上,作为保护人之主体性的重要手段和基本规范,《民法典》在吸收之前我国相关立法精神的基础上,进一步加强了个人信息的保护力度,宣示了其作为民事基本法尊重人、关怀人、保护人的人本主义价值面向,也为个人信息的私权定位和民事保护手段提供了上位法依据。
第一,使用了“个人信息”而非“个人数据”概念。关于“信息”与“数据”两者之间关系的讨论和争议一直存在。一般来讲,数据更侧重客观形式,不以人的主观认识而改变。而信息的切入角度恰恰相反,它是数据表现出来的内容。“无数客观事务的信息,正是通过人们的大脑进行去粗取精、去伪存真地加工,人们方才认识了世界,又转过来改造世界”(郑成思,2004:3-24)。笔者认为,个人信息概念与其识别性的主观性特征更为契合,也更能凸显其所蕴含的人格利益。
第二,扩大了个人信息保护的适用范围。相较于之前《网络安全法》、《消费者权益保护法》、《电子商务法》等关于个人信息的规定,在《民法典》这一基本民事法律中设立个人信息保护条款,有助于公民权利意识的形成和觉醒,本身就是对我国个人信息保护适用范围的扩大。而在具体条款内容上,《民法典》不仅将《网络安全法》中关于个人信息概念的外延进行了扩展,增加了行踪信息、健康信息等内容,其第1035条第2款也将收集、存储、使用、加工、传输、提供、公开个人信息等行为统一归纳为“处理”而纳入规制范畴,从而将推荐性国标《信息安全技术个人信息安全规范》(GB/T 35273-2020)中有关内容提升到具有强制性的法律位阶。
第三,确立了个人信息的双重保护原则。《民法典》第1035条在承袭《网络安全法》(主要是该法第41条)中“合法、正当、必要”规定的基础上,又增加了“不得过度处理”原则。这实际上是对“当事人同意”与“法律另有规定”两种信息处理前提条件的适用范围做出了一定限制。即使信息处理行为已征得该自然人或者其监护人同意,但仍需遵循合法、正当、必要且不得过度处理的原则,否则就可能构成侵权。此外,相较于《网络安全法》中“网络运营者”,《民法典》将义务主体界定为“信息处理者”,即从特定主体变为一般主体,这也间接扩大了个人信息保护的范围。
第四,强化了个人信息处理者的保障义务。在个人信息处理过程中,信息处理者基于资本、技术等因素往往处于优势地位,需要强化它们的法律保障责任。根据《民法典》第1038条的规定,信息处理者不得泄露或者篡改其收集、存储的个人信息,非经同意也不得向他人非法提供其个人信息,同时还要采取技术措施和其他必要措施,以确保其收集、存储的个人信息的安全。而对于较容易接触和处理个人信息的国家机关、承担行政职能的法定机构及其工作人员和公权力机构,《民法典》第1039条还强调了他们的保密义务。
3.《民法典》确立了我国关于个人信息保护公私相辅的救济路径
我国《民法典》针对个人信息采用“法益保护模式”,除了现实社会经济发展需求以及相关理论基础准备情况等因素外,也与个人信息的救济现状有关。与名誉权、隐私权等具体人格权不同,伴随社会发展,个人信息所蕴含权益的边界不断扩大,横跨公法、私法多个法律部门,牵涉国家、社会、企业与个人等诸多层面。我国对于个人信息保护自公法开始,④近年来违法、犯罪行为的打击力度不断加大,处理了很多行政、刑事案件,而《民法典》作为私法的基本法,其有关条款明确了个人信息的保护范围和个人信息权益人与处理者之间的法律关系,从而将公法保护建立在更为确定的基础之上。同时,实现个人信息的有效保护,仅仅依赖《民法典》等私法体系是远远不够的。
一方面,“法益保护模式”下的个人信息由于不具备“具体人格权”的权利基础,再加上权利主体分散、损害无法量化以及因果关系难以证明等因素,导致其与民事侵权救济制度的衔接存在一定阻力。在当下司法实践中,对于个人信息多采用间接保护模式,即通过侵害名誉权、隐私权、肖像权、姓名权等诉由提起诉讼,这种救济方式虽然灵活,但是由于缺乏专门的权利基础作为依托,往往会给司法审判造成困扰,也不利于公众个人信息保护理念的心理确认和理念形成。
另一方面,“个人信息侵害行为事前不易防范、事中无法制止、事后难以查找,信息主体与技术、商业主体以及公权力之间的力量严重失衡,没有天然地对抗后者的手段,几乎不存在任何私力救济的途径”(王成,2019)。个人信息虽属私权范畴,但是公共领域才真正是个人信息保护立法的前提和基础,离开了公共领域,人类根本无法容忍个人信息制度的存在,而承担涉及公共领域和维护公共利益任务的,主要是公法。
总而言之,无论是公法还是私法,在一国法律体系中必须相互兼容,协调统一。当下的互联网已经不再是一项技术或者业务,而是一种基础性的思维和模式。相关立法要突破行业立法、多头管理的惯有模式。尤其是在个人信息保护领域,它是一种覆盖数据生成、收集、存储、流动、处理和删除全过程的框架体系,对其规制和救济必须有整体性、系统性,这就要求整个立法体系统一、协调。除了通过《民法典》等私法赋予个人一定的自主控制权外,还需要引入公法手段以确定侵害个人信息行为的违法性。从这个角度而言,利用《民法典》构建个人信息保护的基本框架,为未来《个人信息保护法》奠定了基础,这种“公私相辅”的救济模式无疑是一种现实合理选择。
三、《民法典》中个人信息保护条款对新闻报道的影响
个人信息保护需求的不断扩大本质上源于媒介技术进步条件下个人信息价值的快速增长,并最终上升到立法层面。但反过来说,个人信息所蕴含的人格利益要上升到法律制度,尤其是在中国语境下探讨其构建和发展,应严格审视个人信息保护条款本身存在的“兼容性”风险以及可能遭遇的实施困境。其中首先就是对于新闻报道的影响。
1.《民法典》个人信息保护条款对新闻报道活动的保护与约束
传播与共享是互联网的核心理念。新闻传播能够天然与信息流通相连,并成为实现公众知情权的重要渠道,其基础在于信息能够自由、顺畅地传播,这也是保障新闻媒体社会功能实现的前提,尤其是在舆论监督领域。《民法典》也充分体现了这一点,“人格权编”的多个条款对新闻报道与人格权益的关系进行了规定,首次在民法领域针对新闻报道在涉及人格侵权领域进行授权,当然也包括个人信息领域。《民法典》第999条就规定,“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任”。该条款作为位于“人格权编”第一章的“一般规定”,对于《民法典》第1036条个人信息处理行为的“免责条款”具有一般法的指导作用。其中两个关键词“公共利益”与“合理使用”,具有“保护和约束新闻传播活动的双重意义”(崔尧,刘徐州,2020)。
①公共利益。《民法典》第8条规定民事活动应当遵循公序良俗原则,自然也包括新闻传播活动。公共利益原则正是“公序良俗”原则的具体体现。所谓“公序”,就是指社会的一般利益,其中就包括公共利益。公序良俗“兼具‘价值宣示’和‘裁判规范’双重法律性质”(罗时贵,2018),《民法典》第153条第2款规定“违背公序良俗的民事法律行为无效”,那么当信息主体对其信息的控制和决定违背公共利益时,自然也应当受到限制,主要体现为个人权益的克减与让渡。
比如在“施某某、张某某、桂某某诉徐某某肖像权、名誉权、隐私权纠纷案”中,审理法院就认为,“为保护未成年人利益和揭露可能存在的犯罪行为,发帖人在其微博中发表未成年人受伤害信息,所发微博的内容与客观事实基本一致的,符合社会公共利益原则和儿童利益最大化原则,该网络举报行为不构成侵权”。⑤
值得注意的是,尽管《民法典》第999条和第1025条都提到了“公共利益”概念,但从法典整体篇幅和现实情况来看,是否基于公共利益目的并非界定新闻报道行为的必要标准。
②合理使用。《民法典》第999条并未对“合理使用”的边界进行界定,但在之后相关抗辩事由中都有所细化。比如《民法典》第1036条三个条款均提到了“合理”概念,即在该条规定的三种情形下,信息处理者合理处理个人信息行为因为法定理由而具有合法性依据,并因此免予承担相关民事责任。所谓“合理”,就是指“符合诚实信用、合比例地处理个人信息”(王洪亮,2020),具体来说,就是处理个人信息的行为“应当在服务于法律规定合理使用所希望达到的目的的范围内,且手段和方式没有超过为实现该目的而可以采取的最缓和的方式”(程啸,2020)。在具体判断上,可以适当引入行政法的“比例原则”,包括适当性原则性、必要性原则和均衡性原则(也称为“狭义比例原则”)等三个子原则,总体上强调通过动态考量多种因素,包括目的与手段、利益与价值等,确保在保护个人信息过程中,以最缓和、最低量程度减小对其他个人利益或公共利益的影响。
2.如何应对个人信息保护条款对新闻报道的影响
信息的保护与流通之间天然存在冲突关系。尽管个人信息保护有利于信息主体人格权益的保障,但客观上却不利于信息的自由流通。即使是在信息过载的大数据时代,也不宜因噎废食。过分强调个人空间的隐蔽性和对个人隐私的控制权,只会矫枉过正,对公民知情权和新闻传播活动实践产生不利影响,其实质是公民的人格尊严与表达自由两种核心价值的冲突。
尽管如上文所说,《民法典》同样关注对新闻报道的保护,但是从传播者角度而言,《民法典》中个人信息保护条款的设立,总体而言是为信息的收集、存储和传播等行为设置了更多义务性条件。尤其是在媒体融合语境下,新闻媒体单位及其从业者同时也扮演着“信息处理者”角色,如何在个人信息保护与新闻报道之间做好协调至关重要,本质上是自然人个人信息利益与传媒业新闻报道权的平衡问题。
第一,在信息收集阶段,要注意从“最大化收集”到“最优化利用”的转变。“真实”是新闻的生命线,这就要求记者在采访阶段就尽可能扩大消息来源并收集更多信息。而根据《民法典》规定的“合法、正当、必要原则,不得过度处理”原则,这种“最大化收集”模式必然遭遇制度困境:一方面,收集前要确保权利主体知情同意,信息收集成本增加;另一方面,收集后要在各个环节明示信息处理目的、方式和范围,并接受权利人的监督和许可变更,信息处理及可能的侵权成本也都在增加,尤其是那些深度依赖机器抓取、算法推荐的新闻转发、推送平台。这就要求相关从业者在信息收集上转变思维,从“尽可能多地收集信息”转向“非必要信息则不收集”,从“最大化拓展消息源”转向“深入挖掘有限消息源”,审慎收集并实现信息的最优化利用。
第二,在信息传播阶段,要把握好个人信息合理使用的边界。基于畅通信息传播的考虑,《民法典》第1036条设定了处理个人信息行为的免责条款,包括权利人同意、合理处理已公开信息、维护公共利益或自然人合法权益等情形。尤其是其中“公共利益”条款,是新闻媒体区别于一般信息处理者的重要因素,但这些抗辩事由也不能成为所有新闻报道抗辩侵权的绝对事由。首先,私密信息应当成为新闻报道的“禁区”,根据《民法典》第1032条的规定,任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权,当然包括新闻媒体及其从业者,这也是所有大众传播的“底线”;其次,对于权利人已公开个人信息的使用,也要受到“自然人明确拒绝或者处理该信息侵害其重大利益”条件的限制,比如公开报道中对一般人微信朋友圈中信息的再现与使用,往往就会导致对个人信息乃至隐私权的侵犯;第三,对于一般个人信息,根据《民法典》第999条的规定,在符合“公共利益”前提下,新闻报道、舆论监督等活动仍然只能“合理”使用民事主体的个人信息,否则仍然无法免责。
第三,在信息处理阶段,要提高信息审核和权利救济能力。大数据时代,新闻媒体业务往往会涉及海量信息的处理,但并非所有信息都是个人信息,也并非所有个人信息都无法使用。《民法典》第1038条就规定“经过加工无法识别特定个人且不能复原”信息的例外情形,这就对从业者的信息审核能力提出了更高要求,包括对个人信息与非个人信息、不同敏感程度个人信息的可辨识性,以及针对权利人诉求的应变能力等等。同时,针对提供网络服务的新闻聚合平台,《民法典》“侵权责任编”则在《侵权责任法》第36条基础上,进一步完善了网络侵权相关规则,同样需要从业者熟练掌握以规避法律风险,并学会利用规则维护自己的合法权益。
首先是对避风港原则的改良。《民法典》第1195条进一步丰富了“通知—删除”规则,除强调网络服务提供者的转通知义务外,明确了权利主体错误通知对于网络用户或者网络服务提供者造成损害的侵权责任,这些改变“从形式上符合民法‘权利—义务—责任’的基本逻辑,在权利上也更能平衡网络用户和网络服务提供者之间的利益”(蔡斐,2020)。同时,《民法典》又在第1196条增加了“反通知”规则,网络用户接到转送的通知后,可以向网络服务提供者提交不存在侵权行为的声明。而网络服务提供者同样有义务将该“反通知”转送发出通知的权利人。
其次,《民法典》第1197条扩大了红旗原则中主观要件的适用情形,将《侵权责任法》第36条中的“知道”变更为“知道或者应当知道”,这显著提升了网络服务提供者的内容审核义务和损害赔偿责任,需要从业者们予以高度重视。
3.数据新闻与个人信息保护
除了传播者以外,个人信息保护制度也会影响新闻报道方式本身。在信息社会,信息、数据已经成为新闻生产的基本要素,并在新技术推动下不断形成新的新闻形态和报道模式,比如数据新闻。所谓数据新闻,又称数据驱动新闻,是指在人工智能技术支持下,基于数据抓取、挖掘、统计、分析和可视化呈现的新型新闻报道方式。
数据新闻也是新闻,同样具备新闻的真实性、时效性等要素,这对数据技术所收集数据样本的完整性、准确性提出了较高要求。但对个人信息控制权利的强调恰恰消解了这一优势,尤其是那些基于数据运算而呈现的算法新闻。而且越是新闻价值高、识别性强的敏感信息越有可能被权利主体主张变更或者删除,以确保信息安全。“当数据被删除时,透明度随之消失,这同样会使得社会、经济、政治的发展趋势有被误解和误判的可能性”(Byrum,2016)。我国《民法典》针对个人信息的“法益保护模式”在某种程度上尽管能够缓解这一影响,但能否彻底解决问题,还有赖于《民法典》之下更为具体的法律文件进行解释。
理解个人信息保护与数据新闻的关系,还要考虑到数据与个人信息的关系。我国《民法典》将“个人信息”界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,其中,可识别性也是个人信息的本质特征。而在2020年7月3日开始向社会公开征求意见的《数据安全法(草案)》第3条中,数据则被界定为“以电子或者非电子形式对信息的记录”。由此可见,并非所有数据都构成具有可识别性的个人信息。如果数据新闻生产所需要的“数据”原料已经不具有可识别性,那么也就不再构成《民法典》个人信息条款的保护对象。
这种现象在现实生活中是普遍存在的。为了避免侵犯他人的个人信息权益,信息处理者往往会对个人信息进行“匿名化”处理,使其与权利人脱离关系,成为不具有可识别性的数据,同时也不影响数据新闻生产。这是因为在大数据时代,数据价值主要体现在规模性上,即真正具有利用价值的多是“大数据”而非某个人的“个人信息”。当然,所谓“匿名化”本身是相对的。在计算机技术高度发达的当代社会,绝对的匿名化是做不到的,即使已经被删除的数据也有“死灰复燃”的可能性。欧盟《一般数据保护条例》就规定数据控制者可以采取“匿名化”措施来去除数据的可识别性,同样引起很多技术专家的质疑,因为这些“匿名数据”本身具有“可逆性”。
《民法典》第1037条规定了个人信息保护涉及的多项权能,信息主体基于法定授权可以向信息处理者提出查询、复制、更正、删除等多项请求。在数据新闻等新兴业态语境下,新闻生产已经完全脱离传统的“采—写—编—播”流程,而是在大数据、智能化技术支持下实现数据挖掘、聚合、分析和生成等全流程作业,信息处理极为迅速和隐蔽。对于新闻媒体及其从业者而言,如何应对新业态下信息处理的风险以及主体基于信息提出的各项诉求,至为关键。
以“查询权”为例。作为世界各国个人信息保护体系的“标配”,该“权能”赋予信息主体一种全方位的查询权限,或者强调义务主体的一种报告义务,信息处理者如要收集和处理个人信息,需要告知其收集相关数据的具体范围、目的甚至路径,而信息主体也可以基于一定路径较简便地查询到上述内容。“查询—报告”规则源于上世纪六七十年代信息自动化处理普及时期,但是在大数据时代,这一规则实际上大幅增加了信息处理者的运营成本。在数据世界中,事实上很多个人信息并不为其本人所发布,特别是由信息控制者基于数据技术和复杂算法得出的数据新闻、数据画像等,信息主体本人甚至都可能并不知晓。信息控制者定期通报相关个人信息处理情况,反而增加了个人信息进一步扩散的风险。尤其是那些传统媒体,其媒体融合进路往往依赖于合作或者外包技术方,针对信息主体的诉求则更难处理。
结语
《民法典》中个人信息保护条款的设立,决定了我国个人信息保护模式和基本救济路径,进而延及整个信息传播和数据产业领域。作为立法者,在决策过程中必当慎重考虑,做出符合当时境遇的最佳选择,但其实也不必过分纠结。因为无论是法益保护模式(强调行为规制)还是权利保护模式(强调权利保护),在个人信息保护这一点上,两者是完全一致的,存在差别的只是保护的路径和模式。要缓解个人信息利用与保护之间的根本性冲突,关键不在于个人信息的定性及相应保护模式的类型,而在于“如何保障信息主体在最低程度上不受损害,在中级程度上得到信息利用者所得利益的分配与分享,在终极意义上感受到对自由与尊严的尊重”(彭诚信,2020)。而要达到这一目的,采用何种定性、模式、路径并不重要,关键是要能够实现保护个人信息的效果。
从另外一个角度来说,决定“个人信息”的属性定位也不能一味从理论逻辑上进行演绎,各种现实因素往往会起到关键作用。互联网的“去中心化”使得个人信息的获取、传播能力极强,相关信息一旦被链接到互联网上,就像河水注入海洋一样,会在全世界范围内迅速无限复制、传播、存储和下载,一味地强调限制甚至禁止信息流动和数据开发是不现实的。同时,考虑到个人信息保护体系的构建涉及国家安全、产业发展、公民权益和社会文化等方方面面,我国当前网络安全形势、信息产业发展和隐私保护的传统,决定了现阶段及未来一段时间个人信息保护的重点,仍将凸显基于“保护”前提下的“利用”面向。■
注释:
①《最高人民法院关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》第140条规定:以书面、口头等形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。
②本世纪初,我国新闻传播学界曾先后出版过三部有关偷拍偷录和暗访的著作:徐迅:《暗访与偷拍/记者就在你身边》,中国广播电视出版社,2003;顾理平:《隐性采访论》,新华出版社,2004;郭镇之、展江:《守望社会——电视暗访的边界线》,中国广播电视出版社,2006。分别代表了三种不同的意见倾向。
③1982年,德国联邦议会一致通过了一部关于来年进行人口普查的《人口普查法》。在该法案进行议会辩论期间,议员们更多地讨论人口普查的资金问题,而很少讨论数据保护问题。但在议会辩论之外,围绕数据保护风险和人口普查的作用等问题却引起社会巨大争议。反对者担心调查数据的利用可能会导致被调查者很容易被识别,因为被调查者需要回答160多个问题。参与调查问卷收集的工作人员人数高达60万,调查问卷表格还包括代码数据并会被保留很长时间,这些原因更增加了被调查者对自己个人信息可能会被滥用的担心。随后,该法案遭到宪法诉讼。1983年12月15日,德国联邦宪法法院做出判决:人口普查法包含的总题目标得到了法院的肯定,但法院要求有关部门采取进一步的措施从程序和组织两方面充分保障公民的基本权利,即信息自决权。该判决奠定了德国数据保护法的宪法基础。
④自上世纪起,即有若干行政法、经济法个别条款订立对个人信息保密的规定。最初系统保护个人信息的文件为2012年全国人大常委会《关于加强网络信息保护的决定》,其后有2013年《消费者权益保护法》(经济法部门)、2015年《刑法修正案(九)》及2016年《网络安全法》(经济法部门)。
⑤案件详情参见《中华人民共和国最高人民法院公报》2016年第4期。
参考文献:
蔡斐(2020)。《民法典》对新闻传播活动的影响。《青年记者》,(7)上,75-77。
程啸(2020)。论我国民法典中的个人信息合理使用制度。《中外法学》,(4),1001-1017。
崔尧,刘徐州(2020)。责权边界重构:民法典对新闻工作的影响探究。《中国记者》,(8),65-62。
高富平(2018)。个人信息保护:从个人控制到社会控制。《法学研究》,(3),84-101。
刘金瑞(2020)。关于《民法典(草案)》个人信息保护条款的完善建议。《中国信息安全》,(4),78-81。
罗时贵(2018)。中国民法公序良俗原则的法律性质。《重庆大学学报》,(5),139-150。
彭诚信(2020)。数据利用的根本矛盾何以消除——基于隐私、信息与数据的法理厘清。《探索与争鸣》,(2),79-85。
申琦(2015)。《中国网民网络信息隐私认知与隐私保护行为研究》。上海:复旦大学出版社。
王成(2019)。个人信息民法保护的模式选择。《中国社会科学》,(6),125-147。
王洪亮(2020)。《民法典》与信息社会——以个人信息为例。《政法论丛》,(4),3-14。
王泽鉴(2013)。《人格权法》。北京:北京大学出版社。
姚岳绒(2012)。论信息自决权作为一项基本权利在我国的证成。《政治与法律》,(4),74-85。
于柏华(2020)。处理个人信息行为的合法性判准——从《民法典》第111条的规范目的出发。《华东政法大学学报》,(3),81-93。
郑成思(2004)。《信息、信息产权与个人信息保护立法》。北京:法律出版社。
Kristie Byrum (2016). The European right to be forgotten: A challenge to the United States Constitution’s First Amendment and to professional public relations ethics. Public Relations Review, (3)102-111.
周冲系中国政法大学光明新闻传播学院副教授。
