专栏|个人信息和隐私权之间的“优先级”
个人信息和隐私是一对相互区别又密切联系的概念。
在很长一段时间里,立法层面和司法判例中对个人信息和隐私是没有明确区分的,很多判例中的表述是“被告的行为侵害了原告的个人信息和隐私权”,但事实上,厘清这两者的关系对于大数据时代下的用户权益保护和数据资源挖掘都有重要意义。
《民法典》中的“优先级”
相信不少人注意到,《民法典》第1034条第2款规定了“自然人的个人信息受法律保护”,同时规定“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。
这个规则向我们透露出两个重要信息:一是个人信息中有一部分内容也会构成个人隐私中的“私密信息”;二是如果个人信息兼具“私密信息”的属性,则《民法典》要求在适用法律规则时,优先适用隐私权的规定,没有规定的,再适用有关个人信息保护的规定。
后者中有一个比较值得推敲的问题,如果侵权人针对同一个信息内容实施的行为同时构成了侵害个人信息和侵害隐私权(如病历信息),那我们只能主张隐私权保护吗?能不能放弃隐私权而主张个人信息权益呢?
《民法典》的规定可能是考虑到,当前对个人信息保护的规定并没有上升到“权利”的层面而是限于“权益”,优先适用隐私权更有利于公众在维权过程中找到权利依据。但这个问题对于维权者而言可能涉及诸多维度的考量因素,要深入分析的话,首先有必要弄清楚个人隐私和个人信息之间的区别。
相似但不同
我们先从概念上来看隐私和个人信息。《民法典》第1032条规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”第1034条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
不难看出,隐私包括两个要素:生活安宁和私密信息(空间、活动、信息),而个人信息的关键要素在于识别特定自然人。
再看法律对于这两种权益的范围界定。《民法典》第1032条规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。”第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
同时,《民法典》第1035条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”
由此可见,隐私权的范围是确保隐私的本原状态不受破坏(打扰、刺探、公开),而个人信息权益则强调信息主体的掌控力,需要提前获得许可后方可使用。
对于权利(益)主体而言,隐私和个人信息所带来的“效用”是不同的。隐私更侧重于人身和人格层面,是被动的、绝对排斥外界的“接触”;个人信息除了具有人身属性,还具有经济和财产属性,所以法律赋予信息主体主动的、相对排斥外界接触的能力,只要信息主体资源授权,信息是可以对外投入流动和使用的。
以基因信息为例,如果作为隐私,则意味着基因主体“不愿为他人知晓”,压根就不想让别人获取到,但事实上并非所有人都对自己的基因信息绝对保密,在某些特定情形下,可以授权第三方进行使用。
例如,如果医疗机构以支付对价的形式获取了信息主体的同意,是可以将其基因信息用于进一步的研发和医疗应用的,这样不但能给信息主体带来更大的帮助(如疾病的预判和提前治疗),还对医疗机构的医学研究和新产品研发等具有重要的经济价值。
必须承认,个人信息在大数据经济模式下具有重要意义,离开对信息主体的识别和关联,大量的商业开发和应用都会失去“准星”,如精准推送、个性化定制服务等。一旦兼具个人信息和隐私属性的数据只能优先按照隐私权主张,可能大大限制这类数据的使用价值。从这个意义上看,《民法典》关于优先适用隐私权的规定恐怕不应机械地理解,还是应该让权利人自主进行选择。
选择维度和路径
作为信息主体,如果我们的隐私信息被侵害,而这个隐私内容同时又符合个人信息的特征,那我们该如何在两者之间选择救济方式呢?相信这个问题对于很多维权者都有重要意义,笔者认为可以从以下几个维度进行判断。
1. 信息主体更倾向于保护人身权益还是财产权益?如果倾向于前者,那么从隐私角度切入更加精准;如果倾向于后者,那么从个人信息角度切入更有利。
2. 证明能力。主张隐私权的前提是要证明隐私的存在,这个证明工作并非轻而易举就能实现,因为要证明这些信息处于私密状态,没有其他可以公开获知的渠道。个人信息通常可以省略这个步骤,只需要证明信息属性符合个人信息特征(能识别主体身份)即可,所以在举证层面,个人信息相对便利一些。除此以外,对于侵权行为、损害后果的证明,也通常是个人信息更容易一些。
3. 法律适用的难易程度。虽然隐私权已经作为一项权利被立法所规定下来,而个人信息还只是落实在一项“权益”,但实际上,由于个人信息突破了个人范畴,同时影响到了产业、行业甚至网络安全(《网络安全法》中有大量与个人信息保护相关的规定),所以围绕个人信息构建出的法律规定与“隐私权”相比较更加立体和完善,主张个人信息保护在法律适用上往往更清晰、易操作。
有读者可能会有这样的疑问,如果说《民法典》已经规定好了主张的先后顺序,还能自由选择吗?笔者认为,除了对法条的灵活适用之外,还可以直接引用《消费者权益保护法》《网络安全法》等对个人信息进行了特别规定的法律。正在制订的《个人信息保护法》也即将出台,届时,权利人可以直接选择引用《个人信息保护法》进行主张,回避在个人信息和隐私之间优先适用的问题。
本文载于《法律与生活》杂志3月上刊
责任编辑:丁杰群
专栏作者:张延来(阿来律师)