一、个人信息保护法律关系概述
个人信息保护法律关系是除了个人信息的界定以外,各国个人信息保护法都非常重视的重要部分,是整个个人信息保护制度的法律基础。个人信息保护法律关系是指受个人信息保护法调整,因个人信息的收集、处理和利用而形成的社会关系。
着名法学家比尔林认为:“一切法律规范都表述法律关系的内容,而法律关系的内容则包括一方的权利和另一方的义务。”个人信息保护法律关系同普通法律关系一样,以法律规范调整社会关系过程中所形成的人们之间的权利和义务关系为内容,即信息主体和信息处理者或管理者之间的权利、义务为内容,围绕个人信息所产生的人身关系,保护信息主体的人格利益,防止信息主体因其他个人或组织对其个人信息的收集、处理和利用而遭受损害。
二、个人信息保护法律关系的主体
对于个人信息主体的划分,笔者倾向于二元的主体划分法,即个人信息保护法律关系的主体有二:信息主体与信息管理者,信息主体与信息管理者以外的主体的关系、信息管理者与信息主体以外的主体的关系均不构成个人信息保护法律关系。信息主体与信息管理者之间存在着此消彼长的“对抗”关系,信息主体的权利常常对抗着信息管理者的权利,而信息管理者对义务的违反,将直接危害信息主体的权利。从微观上看,个人信息保护立法的目的就在于从某种程度上平衡信息主体权利和信息管理者的义务,尝试寻找最佳的平衡点。这和一般的民事法律关系中,民事主体的身份互相转化,在为权利主体的同时也是义务主体,反之亦然的特点是有区别的。
1.信息主体
个人信息的主体是活着的自然人。纵观世界各国家、地区和国际组织的立法,个人信息的主体限于自然人已是目前立法的通行规定。如德国个人资料保护法:“个人资料是指可以直接或间接识别自然人的任何资料。”匈牙利《个人数据保护与公共利益数据公开法》规定:“个人数据是指任何与特定的自然人(因此被称作数据主体)有关的数据以及从这些数据中所得出的与他或她有关的结论”;另外,欧盟1995年《个人数据保护指南》、1992年比利时《关于个人数据处理隐私权利保护法》等数十个国家、地区和国际组织都将个人信息的主体限定为自然人。但是,也有少数理论及立法赞同将法人作为个人信息的主体,如奥地利、挪威、卢森堡等国家。他们认为,法人资料应该与个人资料一并保护,法人也有一般人格权,法人的一般人格权应该受到平等保护;并且,对法人资料和个人资料的一并保护,可以防止竞争对手掌握法人营业资料。奥地利政府还主张,法人资料由自然人组成,保护法人就是保护自然人。
笔者认为,信息主体应以“自然人”为限。首先,个人信息保护的法理渊源于自然人人格权理论,而法人并不存在与自然人一样的人格权,法人人格“不过是对自然人人格在私法主体意义上的模仿,是一种纯粹法律抽象技术的产物。”其次,法人信息与自然人信息的价值和功用不同。法人信息大致可分为两部分,一为原则上应对外公开,以备公众查询,了解法人的经营状况的信息,例如法人之名称、注册资金、上市公司的年度财务报告、专利、商标等,另一部分为法人专有信息,原则上不对外公开,即法人的商业秘密。对于应公开者,各国公司法、证券法等商事法规已有明文规定并已建立起相应的制度,对于商业秘密,各国或有专门立法予以保护,或通过反不正当竞争法予以规制,个人信息保护法没有必要对法人信息再次作出调整,徒增法律的重复与繁琐。所以,无论从理论还是各国实践来看,将主体限定为自然人而排除法人是比较切合实际的选择。
此外,个人信息的主体是否限于“活着的人”?日本《个人资讯保护法》第2条规定:“本法保护资讯之本人,承认其对资讯处理业者有请求公开本人资讯之权利(第30条),死者显然无法行使此项权利;且关于死者之资讯常即属于其遗族之个人资讯,故死者之资讯即使未列为本法保护对象,亦得视为遗族之个人资讯予以保护”。英国1984年《资料保护法》规定:“个人资料是由有关一个活着的人的信息组成的资料,对于这个人,可以通过该信息(或通过资料用户拥有的该信息的其它信息)识别出来,该信息包括对有关个人的评价,但不包括对个人资料用户表示的意图。”我国台湾《电脑处理个人资料保护法》的施行细则也明确规定,个人资料是指有生命的自然人的资料,不包括已死亡之人。该种立法理由是:个人信息保护的是自然人的人格权,已死亡之人的人格权已不存在。相反的观点则认为,个人信息的主体应该包括死者,如欧洲理事会对1992年《理事会资料保护条例》的修改建议稿规定:“个人资料是指有关一个可识别的自然人的任何信息,不局限于以可处理形式存在的信息,它包括任何种类和任何形式的信息,只要这种信息是有关个人的,不论是活着的人还是死去的人;并且只要这个人或这些人可以识别。
笔者认为个人信息保护应以活着的人为限,原因有二,其一,从立法成本角度来说,现行法对死者生前人格利益的侵害有明确的规定,学者也大多主张对死者生前人格利益的侵害是对死者近亲属权利的侵害。因此传统的领域已经对死者的人格利益予以保护,是否要从个人信息的角度予以保护,从立法成本简单化的角度来说应予谨慎。其二,就特别立法的可能性来说,死者的个人信息保护在行使方式和范围上与活着的人确实不同,可以在个人信息保护法中暂不予规定,当科技和网络发展到一定时候需要对其特别保护时再予以特别立法,这也符合个人信息立法特殊化的趋势。
2.信息管理者
信息管理者(InformationController)是指信息主体之外的决定个人信息处理目的和方式的一切自然人、法人和社会组织。包括个人信息的收集者、处理者和利用者,这些人基于个人信息的收集、处理和利用等法律事实,与信息主体发生个人信息保护关系。信息管理者是信息处理的决定者,信息管理者必须是决定信息处理的目的与方式的自然人、法人或其它组织。凡不能决定处理目的和方式,但参与个人信息收集、处理和利用的自然人、法人或组织不是信息管理者,但可能是信息处理者或利用者,同样受个人信息保护法的规范。
依据不同的标准可将信息管理者划分为不同的类别:
第一,根据是否行使国家权力、职责,可分为国家机关和非国家机关。
国家机关是指行使国家权力实现国家职能的社会组织。而非国家机关指国家机关以外为一定目的、事业等而对个人信息进行收集、处理和利用的自然人或法人。由于国家机关在涉及个人信息时具有较强的公益色彩,因此对国家机关和非国家机关在收集、处理和利用个人信息的法律规制也有所差异,表现在收集要件、利用目的、责任构成等方面。非国家机关在收集、处理和利用个人信息的条件比国家机关更为严格,这主要是出于保障国家机关顺利履行国家职责、维护公共利益的需要;但其承担损害赔偿责任的条件则比国家机关要宽松些,一般情况下,国家机关承担无过错责任,而其他民事主体承担过错责任。根据我国台湾资料法第27条、28条的规定,公务机关对信息主体的损害应承担无过错责任,非公务机关则承担过错推定责任。
第二,根据个人信息处理的不同阶段(收集、处理、利用),可划分为收集者、处理者和利用者。
此种分类的意义在于,强调信息管理者在个人信息处理的不同阶段所起的作用不同,同时权利义务也有所差异,而法律调整的视角亦有所不同。一般而言,法律对收集者和处理者的要求比使用者更为严格,经常会出于公益的原因而允许目的外的使用,如我国台湾资料法第23条第一项规定,为增进公共利益非公务机关可以利用个人资料,且不受目的特定原则的约束。
三、个人信息保护法律关系的内容
个人信息处理法律关系的内容是信息主体与信息处理主体对个人信息享有的权利和承担的义务。在个人信息保护法律关系中,信息主体的权利和信息管理者之间的义务呈现出一种对抗性关系,信息主体的权利常常对抗着信息管理者的权利,而信息管理者对义务的违反,将直接危害信息主体的权利。
1.个人信息主体的权利——个人信息控制权
个人信息控制权是指个人信息主体依法对其个人信息享有的支配、控制并排除他人侵害的权利。目前,个人信息控制权作为一种人格权的地位已得到大多数国家立法的承认,只不过具体保护方式上有所不同。如美国采隐私权模式予以保护,而德国采一般人格权模式予以保护。
从国外立法和相关公约的规定来看,都将个人信息控制权作为核心内容予以详细规定,有着相当丰富的内容,一般包括以下几项内容:
第一,个人信息决定权。是指本人可以直接控制与支配其个人信息,并有权决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用。决定权集中反映了个人信息权的人格权属性——绝对性与支配性,在各项权利内容中居于核心地位。
随着计算机技术的蓬勃发展,大规模地收集、储存和利用个人信息可以轻易实现,这就使得个人信息权侵害也变得屡见不鲜。因此,传统意义上具有消极、被动特点的信息隐私权概念显得过于狭隘,在当前形势下很难保护信息主体的权利。此时,“个人信息控制论”应运而生。日本法院曾在“在日台湾人身份调查表订正请求诉讼”案件中,针对曾参加日本军队的某当事人认为其原属部队及日本厚生省将其认定为逃兵的记载不实并要求纠正一事中指出:当个人信息为他人所掌握时,如果该个人信息是指与当事人的前科经历、病例、信用状况等有关的极为重大的事项,同时该信息明显违反事实,而对该错误信息放任不管提供给第三人,必将给该当事人带来社会生活上的不利益乃至损害的,该当事人为了避免不利益和损害,可以要求保有该个人信息者删除与订正与事实不符的部分。可以说,这一判决从正面认可了个人对其个人信息的控制权。
