《肖像权保护和个人信息保护规则之冲突与消融.docx》由会员分享,可在线阅读,更多相关《肖像权保护和个人信息保护规则之冲突与消融.docx(10页珍藏版)》请在优知文库上搜索。
1、肖像权房户和个人信息麟规则之冲突与崩!1一、问题的提出:规范评价之冲突肖像表现样态多样,在格式上包括可纳入自动化信息处理系统处理的电子化肖像与非电子化为像,后者如纸质版的素描、漫画、照片、剪影以及雕塑等。(1)民法典第1018条第2款:1肖像是通过影像、雕塑、绘画等方式在一定载体上所反映的特定自然人可以被识别的外部形象”需说明的是,肖像自然并非肖像权人的身体本身,肖像是附着于一定外部载体的个人外部形象。此外,2021年8月1日生效的最高人民法院关于审理使用人脸识别技术及理个人信息相关民事案件适用法律若干问题的规定(法释(2021)15号)对人脸识别技术”做了私法角度的规范。该司法解释将人脸识别
2、技术定义为对“人脸信息”的处理,并将人脸信息归入民法典第1034条的“生物识别信息。法律适用中值得辨析的问题是1人脸信息”和肖像之关系。一般说来,人脸识别技术提取的是面部特征,而非经典意义上的“肖像信息7参见欧盟基本权利局2019年11月发布的人脸识别技术:执法中的基本权利考虑.类似的,欧盟个人信息保护一般条例立法理由书第51条(欧盟条例开篇即称鉴于如下理由通过本条例二IM后在正式条文之前罗列了共173条理由,这些理由主要涉及欧盟条例具体条款的解释,因此可称为欧宣条例立法理由书。)中也简单区分了照片和人脸信息:“对照片的处理原则上不应视为对特殊类别的个人信息的处理,因为照片只有在通过特殊技术手
3、段处理,能够明确识别或认证自然人的情况下,才属于生物识别数据的定义范围。笔者初步认为,人胎信息和肖像并非完全一致,该司法解释和肖像权保护关系或者较为疏远,且笔者目前对于人脸识别技术仍有诸多盲区,于此文一并讨论恐力有不遂,故舍之。根据堪称史上最严格的个人信息保护法的欧盟个人信息保护一般条例(GeneralDataProtectionRegulation.以下简称“欧盟条例/2)国内多将其直译为欧盟通用数据保护条例,但是根据该条例第1条,其适用范围仅限于个人信息保护,不涉及自然人个人信息之外的其他数据,为了避免歧义,另为遵照汉语语序习惯,本文将其译为欧盟个人信息保护一般条例:第2条第1款,可全部或
4、部分以自动化方式处理的肖像信息,以及以非自动化方式处理但构成汇编系统一部分或旨在构成汇编系统一部分的肖像信息,皆适用该条例。不同的是,我国个人信息保护法第4条第2款(3)参见个人信息保护法第4条第2款:个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。就纳入该法调整范围的个人信息处理,对其处理的技术手段未加限定。因此,只要肖像充分个人信息保护法第4条第1款规定的“可识别性”要件,对肖像信息的处理皆受该法的规制。由上可知,民法典人格权编“肖像权”章所调整的肖像“制作、使用、公开、发表、复制、发行、出租、展览”等行为,无论涉及的是肖像权精神成分的保护,还是肖像权财产成分
5、的商业利用,皆构成个人信息保护法中的个人信息处理行为,也受该法的调整。然而,民法典肖像权保护规则和个人信息保护法的若干条文对肖像权或肖像信息的保护,在法律评价上并非完全一致。因此,对于非私人事务领域的肖像信息处理(4)私人事务肖像信息处理的规范适用问题,本文第二部分详述。或肖像权保护,二者可能存在法律适用上的冲突。比较法上,肖像权保护规则和个人信息保护法在肖像信息处理上的规范适用冲突,近年逐渐引起学者注意,成为个人信息保护法的新论题。例如,欧盟条例施行仅一年半后,德国就已经出现因欧盟条例和涉及肖像权保护的德国艺术和摄影作品著作权法(KUnStUrhebenechtsgesetz-KUG,以下简
6、称“KUG”)规范冲突引起的一系列裁判难题,法院第要决定究竟适用何者并给出理由C(5)Vgl.WiebkeReuterZJohannaSchwarz,DerUmgangmitPersonenbildnissennachInkrafttretenderDSGVO,ZUM2020,S.31.目前,欧盟法院层面上还未见解决二者规则冲突的案件。该规范冲突的化解问题,在德国法上预计将持续处于争议之中。(6)Vgl.ChristianSchertz,18DasRechtameigenenBildlin:UlrichLoewenheim(Hrsg.),HandbuchdesUrheberrechts,3.A
7、ufl.,2021,Rn.4-8.在我国,二者的规范冲突至少表现为如下四个方面:第一,肖像信息欠理的合法性判断冲突。并不是所有未经肖像权人同意的肖像利用行为均构成肖像权侵权,个案中的利益衡量是判断行为适法性的常用手段。相反,因个人信息保护法第13条对个人信息处理的合法理由作封闭列举,这些事由之外的肖像信息处理皆构成个人信息保护法上的违法行为,然而其在肖像权保护的评价上却可能被判定为合法行为。第二,肖像信息处理之同意的形式要求冲突。民法典对肖像权人允许他人制作和利用肖像之同意并无任何形式要求,该同意包括可推断之同意。个人信息保护法对于非敏感信息的处理要求明确同意,对于敏感信息的处理要求明确且单独
8、同意。二者显然不同。第三,反悔肖像(信息)使用许可的构成要件与法律效果冲突。对于有期限肖像许可使用合同,民法典第1022条第2款规定了肖像权人基于正当理由的法定解除权,且附加一定情形下的损害赔偿责任。根据个人信息保护法第15条,肖像权人拥有的是不问理由且无需承担赔偿责任的任意撤回肖像信息处理同意的权利。第四,肖像信息处理者所负担法定义务的冲突。根据个人信息保护法,信息处理者承担告知、捌除、提供复制品等义务,民法典肖像权保护规则并无此要求。至今我国学界似乎尚未关注到肖像权保护和个人信息保护法在规则适用上的冲突。个人信息保护法2021年11月1日生效,如何合理解决该规则冲突,对于该法融入现行私法秩
9、序,平衡个人信息保护和信息交流自由显然至关重要。本文论证脓络如下:首先,在宏观层面上,以缩减规范冲突之范围为目的,探讨个人信息保护法中私人事务例外规则的合理解释;其次,在微观层面上,就非私人事务的肖像信息处理,分析上述四项规范冲突的具体表现,并提出化解方案。二、宽松解释私人事务例外规则:缩小规范冲突范围和欧盟条例第2条笫2款C项(7)欧盟条例笫2条第2款C规定:本法不适用于自然人纯粹的个人或者家庭事务中的个人信息处理活动。”相较于个人信息保护法第72条第1款,在措辞上增加了“纯粹”(PUrely)一词。类似,个人信息保护法第72条第1款规定了,个人或者家庭事务”例外规则(以下简称私人事务例外规
10、则):自然人因个人或者家庭事务处理个人信息的,不适用本法。私人事务例外规则背后的理由在于“比例原则:自然人非商业目的的信息处理对于个人威胁较小,没必要将其置于个人信息保护法严格繁琐的保护之下。亦即,私人事务的肖像信息处理不在个人信息保护法规范范围之内,应由民法典中肖像权保护规则调整,在这一领域二者不发生规范冲突。然而,第72条第1款中的“个人或者家庭事务”并非内涵外延清晰的法学概念,如何划定其边界,既不使个人信息保护规则“脱靶,又避免个人信息保护规则不恰当越界,是值得研究的问题。对个人信息保护法和肖像权保护规则的规范竞合而言,若采严格解释立场,严格限定私人事务的范围,则个人信息保护法的适用范围
11、将更宽泛,与肖像权保护规则在调整范围上发生重叠的可能性增加。若采宽松解释立场,被排除出个人信息保护法适用范围的私人事务肖像信息处理情形将增加,二者发生规范竞合的可能性相应减少。欧盟裁判和学说一直奉行严格解释立场,没有将非职业或非商业目的的个人信息处理完全归入私人事务范畴。自“欧洲议会和欧里理事会1995年10月24日关于涉及个人数据处理的个人保护以及此类数据自由流通的指令工下文筒称“欧盟指令)第3条第2款第2项确立私人事务例外规则以来,何谓“个人的”和“家庭事务的个人信息处理,欧盟指令、现行欧盟条例和谯国联邦数据保护法均没有给出进一步的解释。根据欧盟条例立法理由书第18条,私人事务的个人信息处
12、理是自然人纯粹出千个人或者家庭事务之目的的行为,与职业行为和商业行为无关;例如,私人通信中对于个人信息的处理、私人通信地址的存储、社交场合信息处理以及网络上的信息处理行为,均可能属于个人或者家庭事务处理。欧盟条例的制定者显然试图通过清晰的例外规定,区别对待令人担忧的大规模个人信息商业欠理行为和构成私人表达自由的个人信息处理行为,从而平衡个人信息保护和信息交往自由,为私人信息交流自由留有恰当的空间。上述区分的主要判断标准仍是行为目的。然而,行为目的和个人信息滥用之可能性实际上并非完全直接相关,因而欧盟裁判以及德国学说逐渐搬弃绝对的目的论,从其他角度界定私人事务。欧盟裁判立场和德国通说往往以私人事
13、务和公开不相容”(8)VgLEUGHEuZW2004,245(249),Rn.47.为理论基础,对于网络上公开他人信息的行为,以及对于图像采集区域涉及公共领域的摄像头安装行为,无论其是否出于私人目的,统统排除出私人事务的范畴C2003年欧盟法院在LindqViSt案判决中认定,被告将他人的肖像信息和其他个人信息公布在任何人都可以登录的网络平台上,不构成私人事务个人信息处理。(9)Vgl.EuGHMMR2004,95(96).在著名的2014年住宅安装摄像头案”判决中,欧盟法院认为,自然人为保护自己以及家人的财产、健康和生命而在其家庭住宅上安装摄像设备,并存储被拍摄者的视频,因图像采集范围涉及公
14、共空间,这并不构成私人事务,该行为不排除欧盟指令的适用。(Io)VgI.EuGHUrt.v.11.12.2014-C-21213,NJW2015,463.和上述裁判立场一致,修国遹说采可控制”理论,以所涉个人信息之流向是否可控为判断标准,区分出威胁程度不同的信息处理行为,进而判断其是否属于私人事务。(11)意国法上为此发展出了纷繁复杂的多种多样的区分标准,具体参见SibylleGierschmannu.a.(Hrsg.),KommentarDatenschutz-Grundverordnung,2017,Art.2,Rn.25o根据该学说,出于私人交往目的,将他人个人信息置于非公众、而是有限数
15、量的人才能获取的场合中,则属于私人事务。不仅如此,信息获取者在身份上必须和信息处理者本人具有相当紧密之关系,比如二者是家庭成员或者朋友。(12)Vgl.PeterGola1in:PeterGola(Hrsg.),Datenschutz-GrundverordnungKommentar,2.Aufl.,2018,Art.2,Rn.25;SpirosSimitis,BundesdatenschutzgesetzKommentar,8.Aufl.,2014,Art.2,Rn29另外,如果在特定场合下个人信息存在被维续传递给第三人的可能性,则不属于私人事务。(13)参见同前注(11),SibyHeGi
16、erSChmann等编评注,第2条边码47。这一学说和欧洲议会在欧盟条例起草过程中的态度完全一致,印所谓的私人事务处理仅仅指的是可获取个人信息的受众范围数量有限的情形。(14)欧洲议会对于欧盟条例草案的意见第2条第2款D,VgLStandpunktdesEuropSischesPalarmentzumEntwurfderKommissionderDSGVOLegislativeEntschIieBungdesEPv.12.3.2014,COM(2012)0011-C7-00252012-2012/0011(COD).必须指出的是,上述对私人事务严格解痔的立场可能引发的繁琐严格的个人信息保护规则对私人交往的干涉问题,L定程度上可以被欧盟条例第6条第1款f(15)参见欧盟条例第6条第1款f项规定:“只有在以下情况下,个人信息处理才是合法的
免费区 