保护个人信息也要善用法律解释
现行法律中,个人信息的保护存在碎片化、层级低、可操作性差的问题。鉴于现在个人信息在民法上定位于权利还是法益还存在争议,另一条思路是搞个人信息单行立法。但保护个人信息不应只想着制定新法,还要注重现有法律的解释。
近日,由中国法学会网络与信息法学研究会主办,清华大学法学院、阿里巴巴集团法务部承办的中国法学会网络与信息法学研究会2018年年会在杭州隆重召开,年会主题为“改革开放40年与网络信息法治发展”。会上,中国人民大学法学院姚辉教授以“个人信息的民法保护路径”为题,就个人信息保护阐述了看法。他认为,现行法中个人信息的保护存在碎片化、层级低、可操作性差的问题。鉴于现在个人信息在民法上定位于权利还是法益还存在争议,另一条思路是搞个人信息单行立法。但保护个人信息不应只想着制定新法,还要注重现有法律的解释。
当前个人信息立法的三个问题
姚辉认为,关于个人信息的立法,看上去挺热闹的,法条也都有,但是存在三个问题。
首先是已有的这些立法,碎片化的痕迹非常重,东一下、西一下不成体系,都夹杂在不同的法律部门里有那么一两条,这是很明显能看出来的碎片化。
第二就是法律的位阶都很低,大量的是部门规章。从监管的层面上来说,这个不成问题,部门规章肯定也管用。但是,从民法、实体法的角度,从诉讼的角度看问题,如果站在法院裁判和仲裁裁决的角度来说,这些东西可能就没大用了。在说理部分可以拿它支撑你的裁判理由,但是最后在判决主文部分是不能直接援引的。
第三是,这些法律法规其实很空,基本上都是一些宣示性、口号性的东西,最多也就是下了一个定义,且这个定义还不是太清晰。
总之看上去也很美,做一个PPT能将脉络梳理出一大堆,但是仔细咀嚼发现问题还是很多的,这些问题是很现实地摆在我们面前。
通过民法立法保护个人信息的困难
姚辉认为,从民法的角度上如何构建保护路径也存在问题。
一个是很基础的问题。当我们讲“个人信息”时,到底是在说个人信息,还是在说个人信息权。最近的进展是2017年《民法总则》中的第111条,使我们终于在民事基本法中看到了有关个人信息的规定,说的是自然人的个人信息受法律保护,但这里只说了个人信息,没有说个人信息权。我们知道,如果不是一项法定的权利,那么在物权法上、侵权法上保护是有问题的,合同法是另外一回事。“权利先于救济”,如果不是一项法定权利,如何实现对其保护?这是我们值得探讨的疑惑,个人信息现在说得这么热闹,它在民法上到底算不算是一项权利,当我起诉到法院时请求权基础到底落在哪里?按照权利救济的保护模式来说如何救济?
这也构成了目前学界的各种争论,有人仍然坚持说这是一种权利;但是还有一种说法说个人信息就是一个法益,所谓法益,按照《侵权法》第二条同样可以解释,同样可以予以救济。关于《民法总则》第111条,我们现在并不知道这个立法本意到底是什么,立法者在这个地方为什么很吝惜“权”字,将来怎么解释,是个问题。
第二个问题是立法问题,个人信息的保护如果在民法上要试图追求一种完备的话,究竟是放在民法典的总则或者未来的民法分则当中,还是单独搞一个法律,这个路径怎么规划。
关于民法分则,估计有人注意到了近日的新闻,8月底就要开人大常委会。这个当中有一个引人注目的议项就是关于提请审议民法分则的各个草案的决议,这也就意味着我们的民法典当中,继民法总则出台之后后面的各个分编就要正式进入实质性的审议阶段了。从现在看到的草案,个人信息在其中并没有取得很独立的位置,所以未来法律的构筑上来讲,恐怕在民法典当中的地位也就这样了,恐怕再试图要在民法典的分则当中再搞一个独立的一编或者一章已经不太现实了。
姚辉认为,即使不是现在这个状态也很难。个人信息本身的定义还是不清晰的,如果放在分则当中的话,不要忘记我们的分则是有很多独创的东西的。比方说,侵权法在世界上是没有独立成编的,我们的民法把侵权法独立出来了,这已经足够突破了。我们又再往前突破了一次:把人格权法也独立了,这对个人信息的民法保护就出现了问题。人格权法里有很多本来就是侵权的内容,个人信息的保护也有相当多是侵权法和人格权法的内容,已经把人格权法从侵权法当中剥离出来了,若是再把个人信息法也在民法典里剥离出来,这个叠床架屋重复就太高了。我们现在知道的是,六个分编其中增加了一编人格权,基本上已经独立成编了,那么剩下的问题就是个人信息在人格权里究竟放在哪里,比方说是放在隐私权里还是怎么样,如何确定个人信息的独特属性?有没有其独有的民法保护方式?
单行的个人信息保护法或许是一个路径
从纯粹民法的部门法立场上讲,个人信息保护会存在上面的问题,因此,可能另外一种观点会占上风,就是搞一个个人信息保护法的单行法。但是,因为现在讲的是个人信息的民法规制,所以,如果真要出来这个法的话,它并不是一个纯粹的民法。这种作为单行法的“个人信息保护法”如何定位?
姚辉认为,我们有很多这样的法律,很难给它定位,比如说消保法,比如说产品质量法,里面有民事责任、行政责任甚至还有刑事责任,不知道应该算是什么部门的法。这个个人信息保护法如果真的照这条路径走下去也会是这么一个小而全的东西,什么责任都在里面,这个倒也好。
但这里面还是有一些学理上的问题要解决,比如回到个人信息到底算什么这个问题上,不管将来搞单行法还是现在放到民法典当中去,这个问题都回避不了。姚辉说,有演讲者提到,在欧洲会侧重于说个人信息是人格权的东西,在美国则侧重于说它是财产权的东西,这个在我们国家也需要讨论。个人信息到底是什么?
保护个人信息也要注重运用法律解释
姚辉最后还强调了一个观点,讲个人信息的保护不要光想到立法,还要注重法律解释的工作,通过解释好现有法律来进行。
姚辉说,阿里巴巴的技术委员会主席,他不懂法律,他上来就讲现象、讲IT,我听来就觉得很有意思。比方他举的那个例子,马航发动机的实时数据在英国的那个制造商那里是全部都有的,包括失联前的那段时间的所有数据。那就有一个问题,这个数据归谁,这个数据算什么?这个不是个人信息,但是我觉得本质是一样的,这些东西在我看来跟人格权当然有关。但是,听了以后,我觉得这更像财产权的东西,这个发动机制造商企业拿着这堆数据可以发挥得更多的是财产价值。那么一系列的问题就都出来了:这个数据归谁?这架飞机是马航的,好像这个当然是马航的了?但是我觉得更像是制造商的甚至是数据的采集者的,如果这个概念成立就颠覆民法的观念了,数据所有权不归于产生数据的这个东西的所有者,而是归于这个数据的采集者,这个会颠覆传统观念。
讲民法规制,我个人觉得有一个误区,一讲民法保护路径时往往就讲到两个词,第一是监管,第二是立法,但是这两个我个人都不太赞同。
姚辉说,我个人倾向于,从强化监管的导向走向以诉讼为导向。我们现在还是习惯一上来就搞一堆部门规章监管起来再说,在一个搞民法的眼里看起来,不是太苟同。我也不赞成全靠立法,不要一说法律保护就呼吁立法,我们的法律已经够多够乱的了。我想强调的是解释,我们有法律,法条够多的了,把已有的法律用好就行。很多学者上电视回答社会问题的对策,第一句话就是“呼吁加强立法”,我对此颇不以为然。
姚辉认为,我们应更多强调解释而不是动辄呼吁立法。真正需要的是把已有的立法用好。比如刚才讲到数据所有权,个人信息的所有权是立法问题吗?关于所有权的规则,物权法等现有法律都已经讲得很清楚了,立法还能立到哪去?我们要做的是解释的工作,这不是立法的问题,是解释的问题,解释好了这个就管用了。
来源:经济参考报