《论个人信息处理者的民事责任.docx》由会员分享,可在线阅读,更多相关《论个人信息处理者的民事责任.docx(10页珍藏版)》请在优知文库上搜索。
1、论个人信息处理者的民事责任现代科技对人们的行为方式产生较大影响,有如波丝尼(KarlPolanyi),格兰诺维特(MarkGranoVetter)的“嵌入理论,科技正在以绝对强势地位嵌入、煎覆乃至重塑人类的行为模式。在经济迭代与规模化的平台经济出现以后,即便是“原子化”的个体也别无选择,只能主动或(更多是)被动地卷入其中。尽管个体从事的活动各异,但却都存在自身信息被收集、利用与存储等事实,如何保护此种处于“静态或动态1的个人信息以及如何规制信息相关主体的行为,成为信息时代面临的一个宦要议题。根据谷歌书籍词频统计器(GoOgIeBookNgramVieWer)显示,个人识别信息”(PerSOna
2、llyidentifiableinformation)自1992年开始就成为一个越耒越流行的术语。(I)PaUlM.Schwartz&DanielJ.Solove1ReconcilingPersonalInformationintheUnitedStatesandEuropeanUnion,102CaliforniaLawReview877,887(2014).围绕个人信息是否具有可识别性二将个人信息与人、人格、财产等基本命题在事实上与逻辑上紧密联系起来,并在相当程度上推动了世界范围内个人信息保护的立法热潮。中国近年来在制定或修订相关法律之时都十分重视个人信息保护问题。(2)网络安全法电子商务
3、法与消费者权益保护法之中均有相关个人信息保护的规定。2020年5月通过的中华人民共和国民法典在人格权编中专门规定了个人信息保护,首开世界范围内民法(典)或私法中特别规定个人信息保护之先河,此举在世界私法史上亦可图可点。酝酿了若干年之后,2020年10月个人信息保护法(草案)的推出,更将中国的个人信息保护推至高潮。中国的个人信息保护立法相较于世界其他国家和地区,所处时代背景与发展阶段皆不相同,因此所面临的难题与所要解决的问题也不尽相同。尤其在“个人一个人信息处理者”之两造关系中,以“可识别性-为个人信息的核心构成,更使得相对方主体的一系列义务与保护的开关始终处于“打开”状态。(3)同前注(1),
4、PaUlM.Schwartz&DanieIJSoIOVe文。鉴此,观察个人信息处理者的法律责任十分重要,此种法律责任,或可构迨为一定体系,或可在不同“横截面”构迨为一定“子体系”,并在相当程度上成为完善个人信息权利体系之重要的“反作用力”,殊值重视。一、个人信息处理者的界定由个人信息的产生、传递与流动的本质特征所决定,与个体发生联系的若干主体可抽象概括为“信息控制者.与信息处理者工世界范围内,隐私与个人信息立法以美国和欧盟为基础标杆,其他国家和地区分别在不同的法域之内紧跟或对标相应立法。美国和欧盟二者之问事实上也形成L种个人信息保护立法的竞争局面。而正如格林里夫教授(GrahamGreenIe
5、af)所指出的,美国隐私法在世界上的影响力远不如欧洲数据隐私法的影响力,可以合理坨描述为“欧洲标准的数据隐私法正在逐渐成为世界其他国家相关立法的标准。(4)GrahamGreenleaf,TheInfluenceofEuropeanDataPrivacyStandardsOutsideEurope:ImplicationsforGlobalizationofConvention108,2InternationalDataPrivacyLaw68,77(2012).中国作为深受大陆法系法律理论影响的国家,在个人信息保护立法的观念与制度上也一定程度上受到欧盟立法的影响。然而吊诡的是,中国法恰恰在个
6、人信息基本主体慨念上与欧盟颇为不同,民法典历次草案与正式文本以及个人信息保护法(草案)中的个人信息相关主体的表述均不相同。对这一基础主体杨念的不断修改,反映出立法者对个人信息欠理活动的认识不断加深并逐渐体现出立法的着重面向。然而,对于基本主体概念的规定,并非单一的法技术问题,而关涉立法者对于社会事实的认识、对法观念的总结提炼以及能否实现立法的前瞻性等诸多问题,不能简单视之。既如此,认识与界定个人信息处理者,是个人信息保护立法与解释的基础工作之一。(一)信息控制者VS.信息处理者对于事物概念的确定,既是一个认识事物本质的过程,同时也是一个思维形成的过程。黑格尔在说明概念与事物之间的关系时认为,“
7、当我们要谈论事物时,我们就称它们的本性或本质为它们的概念,而概念只是为思维才有的”,我们的思维必须依照就念而限制自己,而概念却不应依我们的任意或自由而调整(5)德黑格尔:逻辑学(上卷),杨一之译,商务印书馆1996年版,第1213页。在立法概念选择的时候,立法者依然面对如何认识事物和如何选择概念的双重难题。中国的个人信息保护立法,也同样面临上述认识与选择的方法论难题。中国在制定民法典和个人信息保护法(草案)的个人信息保护规则之时,在法技术层面不同程度地借鉴欧美国家的经脸。然而,正如施瓦茨(PaUlM.Schwartz)和索罗夫(DanieIJ.Solove)所言,“美国和欧盟在隐私法方面分歧很
8、大。在基本层面,二者的基本理念哲学不同:在美国,隐私法的重点是救济对消费者的损害以及平衡隐私与高效的商业交易之间的关系;在欧盟,隐私权被认为是一项基本权利,可以凌驾于其他利益之上。甚至在确定信息立法调整范围的边界等问题上,美国和欧盟的做法也完全不同。个人信息的存在通常被称为个人识别信息一触发了隐私法的适用。(6)同前注(1),PalJlM.Schwartz&DanielJSoIove文,第877页。美国关于隐私权理论探索较早,对世界产生较大影响,如何界定个人信息,在美国法上经历过较为激烈的讨论。主要通过三种方式界定个人信息,包括:同义反贪(tautological)、非公开(nonpublic
9、)以及具体类型(SPeCifi(HyPeS)=(7)所谓“同义反复(tautological)的方式,主要是指美国隐私法通过简单地定义个人的”作为任何识别个人身份的信息的标准,在表达上就是“个人信息是个人的信息”的一种同义反复,将其作为界定个人信息的方法,实际上在美国国内也遭受到一定批评。同前注(1),PaUlM.Schwartz&DanielJSoIove文,第888页。后来经不断发展,美国法上系将隐私权与个人信息保护等统一归至隐私法这一笼统概念之中,与欧洲的人格权理论与个人信息保护理论的“二分法”截然不同。相较美国法,欧盟立法相对更为清晰,这也就是为何欧盟的个人数据保护法更易于“输出1并成
10、为较为通行的“世界标准”的重要原因之一。从中国目前为于民法典个人信息保护的解择论和个人信息保护法(草案)的立法论角度来看,中国个人信息保护立法一定程度上参考借签了欧盟相关立法,包括一些基本规则和权利义务体系等方面。然而,如本文所讨论的,实证法恰恰并未将个人信息保护中涉及的关键主体信息控制者一这一概念纳入。事实上,信息控制者并非一个简单的概念选择问题,也并非一个比较法意义上的形式上的“规则借鉴问题,而是涉及对于个人信息保护活动通盘理解的问题。“控制者”这一概念,主要应依循欧盟立法的脉络来理解。控制者(COntrOlIer)最早见诸于欧盟95/46/EC指令(1995年10月),后在欧盟2012年
11、拟议的一般数据保护条例(GeneralDataProteCtionRegUIation,GDPR)以及2016年通过的一般数据保护条例(GDPR)中延续使用。施瓦茨和索罗夫曾指出:“事实上,从欧盟95年指令开始,欧盟立法就已经为数据主体提供了对于他们自身数据使用的一种控制权。(8)同前注(1),PaulM.Schwartz&DanielJ.Solove文,第883页Il而此处所谓的控制权,又与大陆法系典型国家的信息自决”理论紧密相联。德国基本法第2条第1款确定了人格自由发展的权利。而个人信息对于人格构建和发展具有决定性的意义,信息自决”(informationelleSelbStbeStimm
12、Ung)则是实现对个人自由发展的重要方式。VgLChriStoPhMallmann1DatenschutzinVerwaltungsinformationssystemen,Munchen,1976,S.54ff.转引自谢远扬:信息论视角下个人信息的价值兼对隐私权保护模式的检讨,栽清华法学2015年第3期,第102-103页。此种信息自决观念将个人信息与人格权有效联系起来,并进而影响了个人信息保护的法律建构。信息自决”应有之意是个体能够决定自身信息的使用,即产生一种控制”。殊值辨识的是,以“信息自决”为出发点的对个人信息的控制”并不等于封个人信息的1控制权,由于权利本身包含一种实践面向,而个人
13、事实上无法享有对个人信息的绝对性、排他性的(全程)控制权,因此前述施瓦茨和索罗夫的观点也有不周延之处。当然,他们时于欧盟个人信息保护法的特征总体上有较好的把握与判断,这也就在相当程度上解释了,由于个人信息的产生、传递与流动等特征,当信息流动到与个体相对的主体,并由该主体进行控制”之时,由于个体享有“信息自决而并未丧失自己对信息的“延伸控制控制理念贯穿始终。比如,个人享有知情权,即可以在一定程度上控制关于收集到的他们的数据的去向,(IO)FrancoiseGilbert,ABirds-EyeViewofDataProtectioninEurope,24ABAGPSolo31,32-35(2007
14、).个人信息保护立法以“控制”为核心贯穿以个人信息为客体的一系列行为,当个人信息“脱逸”个体之后,能够控制信息的主体则是事实上占有信息的“控制者工这也就是为何在欧盟一般数据保护条例中,信息控制者才是与个人直接相对的义务主体,而并非信息处理者。而控制者的核心活动与其主要活动有关,而与作为辅助活动的个人数据处理无关。在控制者客观控制数据的基础上,又进一步发展出“目的限制”原则,允许控制者评估为最初收集数据的目的以外的其他目的处理个人数据是否享有这样的依据,而这种依据并非基于法律或数据主体的同意。(11)W.GregoryVoss,EuropeanUnionDataPrivacyLawReform:
15、GeneralDataProtectionRegulation,PrivacyShield,andtheRighttoDelisting,72TheBusinessLawyer221,224(2017).在欧盟法的脉络下,信息控制者的概念绝非仅依立法而产生,而系与欧洲法长期关注与持续发展人格自由、信息自决等法思想、法理念紧密相关。信息处理者则是为了数据控制者而处理个人数据的主体,其行为与活动虽然具有相对独立性,也并非控制者的附庸,但在地位与角色上确实无法与控制者相提并论.二者的关系既反映出欧盟法的特色,同时也体现出个人信息活动本身的核心特征反观中国法,遗惕的是,信息控制者”这一概念在民法典制定
16、过程中仅昙花一现,最终并未进入正式文本之中,这就有必要在中国法的“偶然与“必然之中进一步解释个人信息处理者的内涵,及其所辐射的制度脉络以及所反映的制度意旨。(二)中国立法演进中的“个人信息处理者”黑格尔认为,考察存在和本质的客观逻辑,真正构成了概念发生史的展示。(12)参见德黑格尔:逻辑学(下卷),杨一之译,商务印书馆1976年版,第240页。客观而言,中国确实不存在如欧洲国家的信息自决观念的历史影响,因此即便是撤却已有概念,转而选择创设全新概念,也未尝不可。问题的关键在于,基本概念应起到贯穿制度核心脉络的作用,或重塑制度自身特征的作用,只有有意识循此设计制度,才能实现制度初衷,否则将会使制度变得空洞而无法实施。信息相关主体在历次法律草案与规范性文件中的表述,几无统L者,而最终民法典中改称信息处理者的表述,或有突袭之感,这也给如何
免费区 