1890年,当布兰代斯和沃伦在《哈佛法律评论》发表《论隐私权》一文还只是讨论照相技术和报刊侵入私人领域的隐私保护问题时,或许没有想到,他们所讨论的隐私权问题在一百多年以后会随着信息网络技术的日新月异而备受瞩目,并且会超越传统的隐私保护实践而转向更为丰富的个人信息保护实践。人们已经普遍认识到,在大数据加持的互联网时代,个人信息的保护已经成为保护自然人人格尊严的世界性课题。法与时转则治。在全球范围内的个人信息保护浪潮风起云涌之际,新中国第一部民法典首次从法典的高度,表达了我国对个人信息保护的鲜明立场,并充分借助其科学体系和规范,为个人信息保护提供了三种不同的请求权进路,较为严密地编织了个人信息的民法保护之网。
传统的进路:侵权责任请求权
(一)个人信息的定性与侵权责任请求权
在民法的视野中,民事权利的实质是利益。民法上的利益不外乎以下三种:其一是绝对权,包括具有绝对权性质的人身权(如隐私权、名誉权等各类具体人格权)和财产权(如各类物权、专利权等);其二是相对权,即各类债权;其三是其他人格利益和财产利益。上述三种利益中,前两种利益已经权利化,确定地受民法保护,其中绝对权受侵害的,可以通过侵权责任请求权提供保护;而其中相对权受侵害的,可以通过债权法(合同法、不当得利法、无因管理法等)中的请求权予以保护。至于上述三种分类中的其他人格利益和财产利益是否受民法的保护,以及能在多大程度上受民法的保护,则并非确定无疑,其与各国的立法传统和司法政策有很大关系。如果受保护,则亦可以通过侵权责任请求权提供保护。
虽然国内理论和实务界对于个人信息究竟属于权利还是利益尚存争议,但毋庸置疑的是,民法典总则编第一百一十一条以及人格权编第六章已经明确个人信息受民法保护。因此,即使不把个人信息视为一种权利,而仅仅视为其他人格利益,个人信息受民法的保护也是确定无疑的。在此前提之下,个人信息的保护,首先可以通过侵权责任请求权达成。而目前,在我国个人信息保护的司法实践中,作为信息主体的自然人也主要是以侵权之诉来保护其个人信息。
(二)个人信息保护之侵权赔偿责任请求权
民法典第一千一百六十五条第一款规定,行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。这是对侵权损害赔偿责任的明确规定,也是所有侵权损害赔偿的请求权基础。当一个人的个人信息被侵害后,有时也会产生物质损失。比如,某银行工作人员与犯罪分子通谋将客户的身份证号、电子银行账号和密码提供给犯罪分子,导致该客户的账户余额5万元人民币被犯罪分子非法转走,给其造成5万元的损失。个人信息被侵害,有时还会产生非物质损失。比如,某公司的健康专员将其掌握的某员工携带乙肝病毒的信息予以扩散,导致该员工在公司内备受歧视,且产生抑郁、烦躁、焦虑等不良情绪。以上因个人信息侵害行为所导致的物质损失或精神损害,受害人都可依据民法典第一千一百六十五条第一款之规定,向行为人主张侵权损害赔偿请求权。
需要注意的是,民法典对于一般侵权行为的损害赔偿责任,仍然坚持过错责任原则。这就意味着,受害人通过侵权赔偿责任请求权保护其个人信息的,需要向法庭证明被侵权人的过错。而法官在认定过错时应遵循这一裁判思路:应首先确定行为人所处的群体,进而抽象该群体的“理性人”原型,在此基础上认定行为人是否存在过失。在个人信息侵权案件中,被告往往是对于海量个人信息和数据具有高超的运算处理能力的公司或组织,它是一个高度专业化的专家群体或系统。对于这种高度专业化的群体,“理性人”的标准应高于一般人的标准。一般主体对他人个人信息的泄露,可能不易认定为过失。但对于这种高度专业化的群体而言,对他人个人信息的泄露,可以因其没有尽到与其“理性人”标准相适应的注意义务而认定为存在过失。
(三)个人信息保护之其他侵权责任请求权
除了侵权损害赔偿责任请求权之外,民法典还规定了其他侵权责任请求权。民法典第一千一百六十七条规定,侵权行为危及他人人身、财产安全的,被侵权人有权请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。据此,如果个人信息侵权行为持续存在,如未经自然人同意而长期收集其行踪信息;或者妨碍自然人查询获取其个人信息,如阻挠自然人复制其健康体检报告;或者个人信息权益有被侵害的危险,如存储大量个人信息的移动介质被任意弃置,则信息主体有权请求被告停止侵害、排除妨碍和消除危险。与上述侵权赔偿请求权不同,停止侵害、排除妨碍和消除危险的请求权行使不需要证明被告的过错。并且,根据民法典第一百九十六条的规定,停止侵害、排除妨碍和消除危险的请求权不适用诉讼时效,这对于个人信息权益的侵权法保护,具有非常积极的意义。
被忽视的进路:合同法上的请求权
关于个人信息民法保护的研究,多数文献将重点放到侵权法领域。而实际上,合同法也可以为个人信息的保护提供丰富的请求权基础资源。
(一)先合同义务:违反个人信息保护法定义务时的缔约过失责任请求权
正常情况下,合同成立生效后当事人的权利一般可以通过合同条款予以保障。如果有违约行为,可以通过违约责任获得救济。但是,在合同不成立、无效、被撤销或不被追认的情形下,没有有效的合同可以依托,便无从要求对方按照合同条款履行以保障权利,也无从追究违约责任来保障权利。此时,为了更周全地保护当事人的权利,法律特设了一种法定义务,即先合同义务。所谓先合同义务,就是当事人在缔约接触阶段,基于诚实信用原则而产生的各种说明、照顾、注意、保护等义务。民法典第五百零一条规定,当事人在订立合同过程中知悉的商业秘密或者其他应当保密的信息,无论合同是否成立,不得将其泄露或不正当地使用;泄露、不正当地使用该商业秘密或信息,造成对方损失的,应当承担赔偿责任。该条款中的“信息”应解释为包括个人信息。也就是说,当事人对于在合同订立过程中所知悉的对方当事人的个人信息,负有保护的义务。如果故意或过失泄露对方个人信息,造成损害的,应承担损害赔偿责任。这里的损害赔偿责任,性质上属于缔约过失责任。
由此可见,在缔约过程中因其个人信息被对方泄露而产生损害的当事人,在合同成立生效之前,就可以受到合同法提供的保护,向对方主张缔约过失责任请求权。该项缔约过失责任的请求权基础是民法典第五百零一条的后句。
(二)合同履行中的约定义务:约定个人信息保护条款时的合同请求权
在合同中约定专门的个人信息保护条款时,信息主体至少可以通过合同履行请求权、违约金请求权、违约损害赔偿请求权保护其个人信息权益。
首先是合同履行请求权。当事人双方在订立合同时,可以订入专门的个人信息保护条款。比如,在健康体检服务合同中,双方可约定:最终形成的综合体检报告资料存放于专门的隐私保管箱,除顾客本人持身份证可以开箱查阅、复制外,其他任何人都无权查阅该报告资料。合同成立生效后,如果该健康体检服务机构并未将体检报告资料放入专门的隐私保管箱,而只是放置到普通的文件柜中,则应认为其违反了双方合同中的个人信息保护条款,顾客本人有权请求该健康体检机构按照个人信息保护条款的内容履行高级别的保管义务。在此,顾客请求健康体检机构履行合同的请求权基础是民法典第五百七十七条中“当事人一方不履行合同义务或者履行合同义务不符合约定的,应当承担继续履行违约责任”的规范。
其次是违约金请求权。约定个人信息保护条款的合同中,如果约定了违约金,则当一方当事人违反个人信息保护条款时,需要按照合同的约定承担违约金责任。此时,信息主体请求保护其个人信息的法律依据是民法典第五百八十二条第一句,即履行不符合约定的,应当按照当事人的约定承担违约责任。同时,需要以民法典第五百八十五条第一款作为辅助性规范,二者结合起来共同为保护个人信息提供请求权基础。
第三是违约损害赔偿请求权。约定个人信息保护条款的合同中,即使没有约定违约金,但如果对方违反个人信息保护条款给信息主体造成损失的,信息主体可以主张违约损害赔偿请求权。这里的违约损害赔偿,既包括物质损害赔偿,也包括精神损害赔偿。主张违约物质损害赔偿的请求权基础是民法典第五百七十七条,主张违约精神损害赔偿的请求权基础也是民法典第五百七十七条,同时需要民法典第九百九十六条作为辅助性规范。
(三)合同履行中的法定义务:未约定个人信息保护条款时不履行合同债务的损害赔偿请求权
民法典合同编第四章合同履行第五百零九条第二款规定,当事人应当遵循诚信原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。据此,在合同履行过程中,即使合同中没有约定专门的个人信息保护条款,当事人也不能泄露其在合同履行过程中所知悉的对方个人信息。
比如,在电脑维修合同的履行过程中,维修人获悉电脑主人在电脑中存储了大量的敏感个人信息,如果维修人将这些敏感个人信息泄露,导致电脑主人权益受到了损害,则应承担损害赔偿责任。虽然,这里的合同没有明确约定个人信息保护条款,但这里的保密义务是民法典直接规定的合同义务,若违反这一义务仍然要承担不履行合同债务的损害赔偿责任。同时,这种情况属于合同履行过程中知悉的个人信息,民法典第五百零九条第二款虽有涉及,但该款并非完全性规范,不能独立作为请求权基础。所以,电脑主人主张损害赔偿时需类推适用民法典第五百零一条的规范作为请求权基础,即订立(类推适用于履行)合同过程中知悉个人信息后若泄露、不正当地使用该信息,造成对方损失的,应当承担赔偿责任。
(四)后合同义务:违反个人信息保护法定义务时的损害赔偿请求权
合同履行完毕后,双方权利义务终止。但即便此时,若一方泄露其掌握的对方个人信息导致对方权益受到损害的,泄露一方仍然可能承担损害赔偿责任。民法典第五百五十八条规定,债权债务终止后,当事人应当遵循诚信等原则,根据交易习惯履行通知、协助、保密、旧物回收等义务。比如,甲(女性)与乙(电商店铺主)的网络买卖合同履行完毕后,甲与乙在网络交流平台上交流购物体会时发生争执。随后,乙将甲的姓名、手机号、住址(网络购物收货地址)提供给某色情服务网站,导致甲接到了无数骚扰电话,且产生了严重失眠、焦虑、抑郁等症状,为此花去医疗费1万元。在这种情况下,甲可以请求乙赔偿其医疗费损失。因合同权利义务已经终止,故该损害赔偿的性质并不是违约损害赔偿,而是已经脱离合同领域,实质上成为一种侵权责任。
不过,因为民法典合同编第五百五十八条专门将这种保密义务规定为合同当事人的一项后合同义务,故而也可以将此处的损害赔偿责任视为违约责任的扩张。同时,因民法典合同编对于这种情形下的损害赔偿责任没有直接规定,所以实践中仍然可以类推适用民法典第五百零一条作为请求权基础。但笔者认为,更为顺畅的请求权进路是,直接依据民法典第一千一百六十五条第一款规定,主张侵权损害赔偿请求权。
民法典创设的进路:人格权请求权
民法典设置独立的人格权编被视为民法典的重大创新和最大亮点,其重大意义不仅在于它从价值层面为人格权的强力保护提供了法典的体系结构支撑,更在于从技术层面为涉及人格权案件的法律适用提供了人格权请求权的工具支撑,从而使我国宪法关于“人格尊严”的基本权利规范,得以通过民法规范得到落实。
在民法典的框架内,个人信息保护的重大革新就在于,作为人格权益的个人信息权益,除了可以通过侵权责任请求权、合同法上的请求权得到保护外,还可以通过独立的人格权请求权得到保护。民法典人格权编除了创立人格权请求权本体外,还专门设立了人格权请求权的重要手段——人格权请求权禁令,二者结合起来为包括个人信息权益在内的所有人格权益的保护提供了重要的基础规范。
(一)基于人格权请求权终局保护个人信息
民法典第九百九十五条确定了人格权请求权制度,为包括个人信息权益受侵害的人格权侵权行为的救济,提供了人格权自身的请求权基础。根据该条规定,所谓人格权请求权,就是指民事主体在其人格权受到侵害、妨碍或有妨碍的危险时,提出停止侵害、排除妨碍、消除危险、恢复名誉、赔礼道歉等请求权以恢复其人格权完满状态的权利。当自然人的个人信息权益受到侵害或妨碍,在没有产生物质损害或非物质损害的情况下,受害人就有权依照上述规定主张人格权请求权,从而为其个人信息权益提供预防性的保护,避免侵权行为进一步产生实质化的损害后果。可见,个人信息的人格权请求权保护方法比之侵权损害赔偿请求权的保护方法更为积极。比如,甲与乙曾恋爱一年,后因性格不合,两人和平分手。甲为纪念该段恋情,将其与乙恋爱期间的亲密聊天记录截图放到自己的微信朋友圈,乙看到之后立即向甲主张停止侵害的人格权请求权,甲及时删除了该截图,未对乙造成明显的损害后果。实践中,人格权请求权在个人信息保护方面的作用空间非常广阔,加之民法典第九百九十五条还明确将人格权请求权排除到诉讼时效的适用范围之外,这无疑进一步强化了其在保护个人信息方面的积极作用。
(二)基于人格权请求权禁令暂时保护个人信息
民法典人格权编在规定人格权请求权的同时,于第九百九十七条特设人格权请求权禁令制度,这一制度的设立,为人格权请求权作用的发挥插上了有力的“翅膀”。根据该条规定,如果自然人有证据证明行为人正在实施或即将实施侵害其个人信息的违法行为,不及时制止将使其合法权益受到难以弥补的损害的,有权依法向人民法院申请采取责令行为人停止侵害个人信息行为的措施。比如,上述在微信朋友圈晒亲密聊天记录的案例,如果甲拒绝删除,则乙可以依据民法典第九百九十七条向人民法院申请人格权请求权禁令,由人民法院责令甲将其删除。略显遗憾的是,民法典对于人格权请求权禁令发出后的法律效果没有规定。根据人格权请求权禁令的一般原理,该禁令只能暂时停止甲的侵权行为。如果乙要终局地保护其个人信息权益,应另外根据民法典第九百九十五条的人格权请求权提起诉讼,请求法院判令甲停止侵害、消除影响、恢复名誉等。或者,如果该禁令本就是诉讼中发出的,则只有法院就甲的个人信息侵权行为作出生效判决后,乙的权利才能终局地得到保护。
当前,个人信息保护的专门立法已成为国际惯例。十三届全国人大常委会也顺应这一历史潮流,将制定个人信息保护法列入立法规划。可以预见,将来,随着个人信息保护法的颁布实施,我国个人信息的综合保护水平必将得到进一步提升。但须强调的是,无论关于个人信息保护的单行法如何丰富和完善,作为私权益的个人信息权益,其权益确认与保护的基础规范还是来自民法典。就此而言,民法典之于个人信息保护,其作用永远是举足轻重的。