一、自然人对其个人信息享有的是民事权益
关于个人信息保护的规定位于《民法典》总则编“民事权利”章第111条,此种位置的安排说明自然人对个人信息享有的权益属于民事权益,这是由个人信息的特性与保护个人信息的根本目的所决定的。
(一)个人信息的特性决定了自然人对其个人信息享有的是民事权益
依据《民法典》第1034条第2款,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。直接或间接可识别性是个人信息保护立法的通行标准。由于这些信息的收集、存储、加工、使用、传输、提供、公开等处理行为直接关涉自然人的人格尊严和人身财产权益,因此需要通过个人信息保护制度加以规范。
大数据时代的信息处理对自然人人格尊严、人格自由及人身财产权益形成更大风险,并时常造成现实损害。作为个人信息主体的自然人对其个人信息享有的主要是一种防御性利益,即防止因个人信息被非法处理而致上述相应权益受到侵害的利益。这种利益属于法律上有保护之必要的合法私人利益,因此,立法上应当将之确认为民事权益。
个人信息保护中存在复杂的利益格局,但不能因此认定自然人的个人信息权益无法通过民事权益确认和保护。对自然人个人信息权益的确认与个人信息上各种利益的协调属于同一问题的两个方面。应当先确认自然人对其个人信息享有受到法律保护的民事权益,同时规定个人信息的合理使用制度,从而有效协调自然人权益保护与其他利益的关系。
(二)个人信息保护与利用关系属于平等主体之间的民事关系
个人信息的处理者主要分为两类,一是行政机关、司法机关等国家机关,另一类是非国家机关的其他民事主体。二者在处理目的、合法性基础等方面存在不同,但不因此导致自然人与处理者之间关系的区别。信息处理者与自然人之间的法律地位是平等的。国家机关与非国家机关,均负有不得侵害自然人民事权益的义务。作为民事权益的个人信息权益,可以对抗来自权利主体之外的任何组织或个人的侵害和损害。在私权利保护的问题上,不存在公权力机关比非公权力机关处于更优越地位的情况,否则违背法治国家的原则。同时,公权力机关本身亦负有保护自然人合法权益不受侵害的义务。
(三)个人信息保护单独立法不改变自然人对个人信息享有民事权益的事实
通过专门的个人信息保护法来规范个人信息保护,是因为个人信息保护广泛地涉及民法、行政法、刑法以及国际法等不同法律部门。不能因为个人信息保护采取了单独立法模式,就认为自然人的个人信息权益不是民事权益,而是单独的一种权益或者公法上的权益。专门立法与分散立法只是立法方式的选择,不影响所保护权益本身的性质。
二、自然人对个人信息享有的是人格权益
《民法典》虽然没有规定个人信息权,但明确了自然人对其个人信息享有的是人格权益,而非财产权益。
(一)个人信息权益保护的是自然人的人格利益
个人信息对特定自然人的可识别性体现了人格特征。法律对自然人个人信息予以保护,本质上是保护其人格利益,包括人的尊严和自由。自然人的个人信息权益可以根据《民法典》第990第2款归入自然人基于人身自由、人格尊严而产生的其他人格权益。此种人格权益属于民事主体基于精神性人格要素享有的权益。
(二)我国人格权保护一元化模式涵盖了精神利益与财产利益
人格权的商品化利用并非创设一种新的权利(如公开权、形象权或商品化权),仅能理解为某些人格权的权能发生了扩张,而不是生成了其他独立的权利,否则会产生这些新权利与原有人格权无法区分的问题。因此,我国民事立法和司法实践始终坚持人格权一元保护模式,即通过人格权制度同时实现对精神利益和经济利益的保护。一方面,《民法典》第993条规定,自然人可以将其个人信息许可他人使用,第1035条第1款第1项和第1036条第1项分别从正反两方面肯定了自然人有权同意处理者处理自己的个人信息。另一方面,第1183条第1款和1182条规定,自然人有权就其人格权益被侵害造成的精神和财产损失要求赔偿。因此,在我国只要明确自然人针对其个人信息享有的是人格权益,即可同时保护自然人针对个人信息享有的精神利益和经济利益,无需分别设立单独的人格权和财产权。
三、自然人个人信息权益是独立的人格权益
自然人个人信息保护中非常重要也争议很大的一个问题是个人信息保护与隐私权的关系。隐私权与个人信息保护具有密切联系,但两者存在明显的区别,不能相互取代。
(一)我国法与美国法上隐私权的差异
隐私权发源于美国,经历一百多年的发展,形成侵权法上的隐私权、宪法上的隐私权及特别法律的保障机制,并因应社会经济的需要不断发展演变。我国的隐私权不同于美国法上的隐私权。首先,我国的隐私权并非宪法上的权利,而被看作是一种民事权利。其次,我国对于人格权一直采用具体列举的立法体例,隐私权是和其他具体人格权并列的一类民事权利,保护的只是隐私这一具体人格利益。而美国法上的隐私权概念的开放性几乎可以将所有的人格利益纳入其中,实际上承担了一般人格权的功能。借鉴美国法通过信息隐私权保护个人信息的观点不符合我国既有人格权体系。
(二)我国法上隐私权与个人信息权益的联系与区别
我国现行法一般依据是否涉及个人隐私将个人信息分为隐私信息和其他个人信息。所谓隐私信息即私密信息,私密信息与非私密信息的根本差异在于,私密信息是自然人不愿意为他人知晓且与公共利益无关的信息。这些信息被他人知晓会使得自然人私生活安宁受到侵害或私生活受到干扰,而此种利益就是隐私权保护的自然人的人格利益。即便是不道德的信息,也可以属于私密信息。
自然人的私密信息既涉及隐私权保护,也涉及个人信息保护。《民法典》第1034条第3款规定,私密信息要先适用隐私权的规定,只有隐私权没有规定时,才适用个人信息保护的规定。此项规定是由隐私权和个人信息权益的差异性导致的。二者作为《民法典》所确认的不同的人格权益,存在以下差异:
第一,权利性质不同。隐私权作为一项人格权,性质上属于绝对权和支配权,具有对世效力,任何组织或个人都必须尊重隐私权,不得加以侵害或妨碍,亦不存在对隐私的合理使用问题。而个人信息权益并未被《民法典》确认为绝对权和支配权,第999条和1037条分别规定了对个人信息的合理使用情形和免责事由。
第二,侵害行为范围不同。对隐私权的侵害行为无论是发生在商业或公务活动场合,还是家庭社交活动中,均可适用相关规定。而个人信息权益规范的是处理者从事个人信息的收集、存储、使用、加工、传输、公开等活动。纯粹私人或家庭活动中对个人信息的处理不包含在内。
第三,许可他人使用上不同。隐私原则上不能许可他人使用或商业化利用。隐私权的主要权能是排除他人侵害的消极权能。但对于个人信息尤其是非私密的个人信息,只要遵循相应原则并符合条件,就可以对个人信息加以使用或许可他人使用。
第四,私密信息和非私密信息的处理规则不同。在处理私密信息时,首先适用《民法典》关于隐私权的规定,然后才能适用关于个人信息保护的规定。根据《民法典》1033条第5项和1035条,其对私密信息和非私密个人信息的处理规则在授权来源、许可主体及许可标准上均存在区别。
四、结论
自然人对其个人信息享有的是民事权益而非公法权利。自然人就其个人信息享有的人格和经济利益均可通过作为人格权益的个人信息权益涵盖并保护,无需再确认作为财产权的个人信息权益。在我国法上,此种民事权益作为一项独立的新型人格权益,应当与隐私权相区别。对于隐私信息首先适用隐私权的保护规则,隐私权没有规定的,适用个人信息保护的规定。