论文部分内容阅读
随着人类进入以大数据分析、云计算、人工智能、互联网普遍应用等高新科技为代表的数字时代,人类既有生产、生活生态体系被不断重新型构,并催生出新的经济增长和社会管理模式,而数据信息的创新性应用更是激活了个人信息所蕴含的社会公共性和商业经济性价值,个人信息综合价值不断彰显。如是,不同主体借助自动化数据处理手段大规模收集个人信息并对其进一步处理以深挖其内在价值来满足其不同需要已属常态。在此场景中,个人信息安全饱受威胁,并引发层出不穷的社会问题。无论立法还是学界,加强个人信息保护并合理规制个人信息处理行为已得到国内外(地区)普遍认可。个人信息保护问题只发生在个人信息处理阶段,若个人信息未经被处理便不能进入流通领域,更谈不上个人信息的法律保护问题。如是,个人信息处理是个人信息法律保护的逻辑前提。而个人信息权益在民法上应是除知识产权以外,与传统民法上财产权与人身权迥异的权利,其在民法上的特殊权利形态,是政府对个人信息规制,刑事司法部门对其刑事规制的根基,是当下数字科技背景下社会法治的根基,更应该是国家法治体系架构的出发点。本文从个人信息处理角度阐释个人信息权益保护和个人信息利用间衡平关系。关于个人信息处理,我国《民法典》第1035条第2款规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”多个环节,比较法上,对个人信息处理规定也大体如此。由此可以看出,探讨个人信息处理的法律制度问题是个人信息保护中的重要问题,而面向数字时代背景下,个人信息处理者依托上述高新科技实现对个人信息大规模和频繁处理更应引起重点关注,所以本文主要结合自动化数据处理手段分析。综合而言,立基于当下科技发展水平的社会背景,从保护个人信息主体合法权益出发,兼顾个人信息利用,而个人信息利用体现在个人信息处理上。本文集中探讨个人信息的处理的法律制度问题,虽然刑法、行政法等公法领域调整更为直接且有效,但从个人信息主体角度,私法视角保护其民事权益更为实惠,并且可有效达成个人信息保护同个人信息利用间的和谐关系,而其中个人信息处理是连接利用和保护间的桥梁。本文共除了引言和结语部分,共分为五章。第一章,数字时代个人信息处理的相关问题表达。本章分为三节。首先对个人信息处理的对象即个人信息进行分析。比较法上,欧盟及很多国家(地区)对此称谓不同,有“个人数据”“个人资料”“个人信息”等,而我国大陆地区规定为个人信息,这是在深入分析个人信息所蕴含内容上的界定,本文赞同“信息是数据的内容,数据是信息的形式”的表述。在个人信息概念界定上,有“抽象概括”和“抽象概括+不完全列举”两种方式。本文结合个人信息内涵,认为我国采用“抽象概括+不完全列举”界定方式,是当下数字科技场景的应有之意。结合个人信息内涵,主要体现识别性,但对其关联性特征应引起足够重视,应结合识别性和关联性来确定是否为个人信息,这也是个人信息处理者在个人信息利用中所重点关注的问题。除此以外,个人信息至为重要的是其私人性特征,这也是个人信息同其主体具有天然关联,并是其人格属性的重要支撑。结合我国对个人信息所采取的界定方式,从实际出发,以“不完全列举”方式可能会存在司法适用难题,本文建议对其进行类型化,从个人信息主体和个人信息敏感度进行分类,以有效解决司法实践中的适用问题。关于个人信息性质,学界有“一般人格权性质说”“财产权性质说”“隐私权性质说”“框架性权利说”等不同观点。本文结合我国《网络安全法》《民法典》等关于个人信息规定,虽未明确个人信息性质,但从《民法典》将其所安放位置可以看出个人信息人格权性质的“路线图”,应属独立于物权、债权、知识产权之外的一类特殊民事权利类型,但具体属于何种具体类型民事权利,应结合《民法典》相关司法解释和具体运用而定。在个人信息处理的内涵中,首先结合数字科技发展的社会背景对个人信息处理的概念进行界定,并分析了个人信息处理特点,存在处理能力巨量化、处理行为智能化、处理场景多样化、处理成本低廉化等特征。最后结合数字时代个人信息处理者广泛性特点,从类型化视角将其分为国家机关和非国家机关,并在此基础上论述。第二章,数字时代个人信息处理的正当性基础。本章分为四节,结构上以“总分”形式论述。首先从总体上介绍了个人信息处理的正当性。主要包括个人信息处理的正当性理论、现实基础及立法体现。在个人信息处理的正当性基础上,人类技术发展应秉持“以人为目的”出发,结合个人信息多样化价值同社会多样化需求阐释二者间关系,揭示个人信息主体在个人信息合理处理中的信息自决权问题。接着,本文立足我国国情,参照域外相关立法,以《民法典》1035条、1036条和《个人信息保护法(草案)》第13条为基础,分析数字时代背景下个人信息处理的正当性基础问题。结合当下数字科技发展水平,虽然个人信息处理具有法律规定的正当性基础,但结合我国《网络安全法》《儿童个人信息网络保护条例》《民法典》《个人信息保护法(草案)》等既有立法,对个人信息处理正当性仅规定合法性问题,而未结合人类社会伦理道德因素,这不仅与国际上所通行的个人信息处理应“合法+符合伦理道德”的规定不同,而且在社会实践中会造成个人信息处理虽合法但违背人类社会伦理道德情形,不利于保护个人信息主体合法权益,阻碍个人信息处理的正常运行。第三章,数字时代个人信息处理的权利和义务。本章分为四节。本章系统阐释了个人信息处理中所涉权利和义务,包括个人信息主体和个人信息处理者权利和义务。本文通过分析比较法相关规定,并结合我国既有相关立法,将个人信息主体权利类型化,分为个人信息主体享有的积极主动型权利和消极防御性权利,前者旨在鼓励个人信息主体通过履行积极主动型权利,将个人信息的处理中对其可能的侵害扼杀在萌芽之中,而后者重在个人信息的处理中损害发生后或可能侵害个人信息主体合法权益后的一种补救措施,旨在通过个人信息主体私权利的行使将侵害降至最低。法律赋予个人信息主体权利,是出于保护个人信息所承载人格尊严、人格自由等人格利益,而通过履行法律规定义务或约定义务,则是为有效保证个人信息处理者正当利用其个人信息,使其内在价值得以体现的重要支撑,这同时也是当下数字科技发展社会背景中个人信息处理者处理个人信息的初衷,如国家机关处理个人信息以实现“数字政府”等服务型政府建设,商业机构合理处理个人信息以实现市场竞争需要等。个人信息处理者权利方面,主要分析了其对个人信息原生数据的权利和对个人信息衍生数据的权利,前者重在保护,后者重在利用。个人信息处理者义务中,通过分析国内外(地区)相关规定,并结合我国《民法典》《个人信息保护法(草案)》综合认为,从个人信息处理者而言,在保护个人信息和个人信息正当处理前提下,既保护了个人信息处理者合法权益,又可以避免个人信息主体在行使撤销权等权利时的肆意。个人信息处理中,难免会存在权利冲突,本文立足个人信息处理实践及相关立法规定,将个人信息处理中可能存在的权利冲突分为个人信息收集阶段、个人信息被进一步处理中和个人信息被处理完成后三个阶段的权利冲突。学界对前两个阶段中出现的权利冲突关注较多,而忽视了个人信息处理行为完成后权利冲突情形,而如果未较好解决个人信息处理完成后所权利冲突问题,个人信息保护问题并不能得到有效解决,个人信息利用的法效果和社会效果难以彰显,而解决个人信息处理中的权利冲突,可从限制理论分析个人信息主体权利,并结合目的性原则、比例原则和利益评价分析个人信息处理者在个人信息处理所应秉持的理念,通过强化个人信息处理者义务,以实现个人信息处理者同个人信息主体权利、义务的协调。第四章,数字时代个人信息处理不当的侵权责任。本章分为四节。首先本文立足实际,并结合既有立法,主要从个人信息泄露、非法利用、个人信息跨境非法提供等视角进行系统分析。诚然,个人信息处理的侵害类型不止上述,还存在第三方非法窃取、收集、买卖、篡改、毁损等侵权行为。在个人信息处理者对个人信息主体具体侵害中分析了国家机关和非国家机关两种不同类型下的具体侵害情形,在类型化视角下个人信息处理中所构成的不同侵害进行了系统分析,主要从不同个人信息主体类型和个人信息敏感度不同时危害,并在个人信息主体侵权行为损害后果中主要从个人信息主体人格利益、个人信息主体家庭,及个人信息主体在的社会、国家三个角度分析。本文为衡平个人信息保护和利用间关系,满足个人信息处理者在保护个人信息基础上的个人信息处理顺利开展,结合侵权法一般抗辩事由,将个人信息处理不当的侵权责任抗辩事类型化,包括因正当理由而不具违法性的侵害责任抗辩事由和因外来原因而不承担责任的侵害责任抗辩事由。前者,结合侵权行为构成要件已确属于侵权,应承当相应侵权责任,但因既有法律所规定的合法理由,从而减轻或免除侵权人侵权责任的一种类型,学界也称之为“侵权违法性阻却事由”,包括正当防卫、紧急避险、自助行为三种不同类型。而后者,外来原因思路是从因果关系角度。具体是指行为人并未实施侵权行为,这是基本前提,最终损害后果的发生全部或部分地归因于某种外部事件或者他人行为,结合未实施侵权行为这一基本前提,从而主张其行为不构成或者不单独构成法律上侵权责任的原因,即受害者所受到的损害是行为人以外的事件或其他原因所致,此种外在原因即具有全部或部分免除行为责任的效力,主要包括不可抗力、受害人过错、第三人过错三种情况。结合个人信息保护场域,并对上述具体情形进行分析。而在侵权责任承担上,主要从侵权责任认定和承担方式进行论述。第五章,数字时代我国个人信息处理的制度完善。本章分为四节。本章主要从理念和具体制度角度完善我国个人信息处理的法律制度。本文结合《民法典》中个人信息处理的“合法、正当、必要”原则,以此为基础分析该原则为何是个人信息处理的基础性原则,以“合法、正当、必要”原则为分析对象,结合《个人信息保护法(草案)》第7条,参照域外立法对个人信息处理原则进行分析。本文进一步认为,《个人信息保护法(草案)》第7条规定的个人信息处理的公开、透明是个人信息处理应当遵循的原则,但结合《个人信息保护法(草案)》整体规范可以看出,本原则并未得到充分体现,并且亦缺乏有效的确定性指引。“合法、正当、必要”原则无论从法律位阶上还是解释适用上,更具针对性和有效指导性。因此本文认为,上述原则应属个人信息处理的基础性或首要原则。我们在面向个人信息保护和个人信息利用的博弈中,应在“技术信仰和人身信仰”中突出“人身信仰”理念,对匿名化信息处理应以保护自然人个人信息为基础前提,其中尤为关键的是,从源头上应保障所收集的个人信息具有合法性,在处理中应禁止匿名化信息的“去匿名化”,并结合目的限制原则在整个匿名化个人信息处理的运用,以实现个人信息保护和个人信息利用的衡平。关于个人信息处理的正当性基础,我国主要从合法性角度阐释,结合《个人信息保护法(草案)》中所规定的个人信息处理者的处理活动,不仅应考量法律等制度因素,其中至为重要的应从人类社会所应遵循的社会伦理道德,秉持“以人为目的”的发展理念来审查个人信息处理行为规范。结合数字化社会背景下的个人信息侵权行为,侵权主体和责任主体随着网络信息社会向前发展而呈现多样性,具体而言,从个人信息处理者角度,侵权主体主要包括国家机关和非国家机关,此类主体对个人信息收集、存储、利用等处理过程中,可能存在泄漏、非法使用等侵权行为。按照侵权法传统观点,侵权责任归责原则的适用主要应结合损害事实的发生,而一种损害事实的发生,对侵权主体而言,一般适用过错责任归责原则,但也会存在因不同侵权主体的不同侵权方式而适用不同的归责原则或多种归责原则相结合。本文在保护个人信息基础上,结合不同类型侵权主体、不同类型化个人信息主体和不同敏感度个人信息在侵权行为发生后,并造成侵权损害后果及存在的特殊性,在侵权责任归责原则上进一步细化,以促进个人信息综合价值实现。