个人信息保护中的安全法益

上海法治报 2023年01月16日

【内容摘要】个人信息保护的客体为个人信息权益,但在个人信息权益属性的认定方面,目前存在较大的学理与实践争议。违法处理造成的直接后果为个人信息侵权风险的提升,进而带来安全利益的减损。安全减损会引发诸多利益变动,该利益损耗无法进行举证与计算,因此无法适用侵权救济。《个人信息保护法》通过设置处理规则、权利义务、职权和责任等,在违法处理发生前后对安全利益予以保障和恢复,其第69条是与侵权规则的相互衔接,违法处理与实害行为可解释为共同危险行为。故而安全不是侵权法益,而是个保法的独特法益。

【关键词】个人信息保护  安全法益  违法处理

□过怡安

我国《个人信息保护法》对于违法处理个人信息行为采取了概括式规定,一般包括非法收集、利用、买卖与泄露、篡改、丢失等。而纵观司法裁判结果可知,人格、财产等权利损害结果,实际由违法处理之后的实害行为所致,而实害行为并不必然发生,违法处理只是为其提供了条件和可能性。违法处理造成的直接、独立后果,是增加权利受损的风险,易言之,减损了安全。由此可见,个人信息保护的法益为安全。

一、个人信息权益属性的学理与实践争议

在个人信息权益属性的认定方面,我国存在较大的学理与实践争议,主要争议点体现为以下两个方面。

第一,我国学者们认定个人信息权益属性主要的思路是,将之定性为财产、人格等权利。一部分学者认为,个人信息是有价值的商品,需给予财产权保护;另一部分学者认为,个人信息是人格尊严的体现,主张权利人对个人信息享有支配与自主决定的权利,依人格权获得救济;还有一部分学者秉持了人格兼财产权的观点,认为个人信息权益兼具人格要素和财产要素。

第二,如果个人信息权益是人格、财产权利,那么违法处理个人信息将会造成信息主体权利受损结果;而若违法处理行为不会造成信息主体权利受损,那么个人信息权益的财产权说、人格权说则值得怀疑。以“人脸识别第一案”为例,该案被告强制收集和利用个人信息的行为只是令其产生对安全的担忧。终审裁判中,法院以被告擅自改变合同履行方式的违约理由判原告胜诉,而未判决被告存在欺诈等权利侵害行为。可见,司法实践中所认为的对个人信息不当处理行为,并未造成信息主体人身、财产权利的实际损害。

二、安全作为个人信息保护法益的规范证成

个保法规定了个人信息处理规则、处理者义务以及对处理活动的监督机制等条文,用来预防违法处理行为的发生,体现了对信息主体安全的事前保障。对于违法处理造成的风险升高——即安全减损结果,个保法从处理者的义务履行、网信等部门的职责履行和信息主体的权利行使三个维度,设置了对安全的恢复机制。

在违法处理的安全保障方面,个保法设置了规范个人信息处理的规则,约束处理活动以保障安全。一方面,个人信息处理的合法基础与核心规则为知情同意原则,信息主体依靠自身意愿与风险评估,来理性地选择是否进入信息处理活动之中。另一方面,个保法要求处理活动符合必要原则,在有助于目的实现的必要范围内运用对个人权益影响最小的手段。在公民监督方面(个保法第60-63条),法律赋予信息主体查询、复制等监督权利,赋予组织、个人投诉、举报的权利。这些监督机制的设置(个保法第45、65条),均是为了避免个人信息的违法处理,故保障的是安全。

在违法处理的事后救济方面,个保法通过处理者对补救、通知义务的履行来对安全进行恢复。处理者采取必要措施最大程度保障个人信息安全,也是个人信息处理必要原则的重要内涵。此外,个保法通过网信等部门履职来对安全进行恢复,并且规定了处理者的安全保障义务。总而言之,违法处理发生使安全遭到减损后,个保法通过处理者的义务履行、网信等部门的职责履行和信息主体的权利行使等机制,力图将安全利益恢复至减损前的状态。因此,个保法补救的是安全。

三、安全作为个人信息权益保护规则的厘清

违法处理不直接必然造成权利损害,其直接减损后果是安全;而安全减损虽引起利益变动,但因无法计算、证明而不适用侵权救济。个保法设置了事前保障和事后恢复等措施,来保护安全,故其与侵权法的保护利益与保护手段明显不同,但部分法条存在将两种规则混淆规定的嫌疑。

如《个人信息保护法》第69条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。即规定了处理者对权利损害结果的过错推定责任。可见,该条文与《民法典》的侵权责任规则不仅存在法条竞合,还存在两种保护规则的混淆嫌疑,需要通过规范解释予以厘清。首先,处理者的证明责任需理解为,应证明在利用个人信息实施的侵害行为中没有过错,而非证明对泄露、篡改、买卖等处理行为没有过错。其次,处理行为与实害行为应理解为共同危险行为。由于处理者在不构成共同侵权方面有待证明,侵权人数遂无法具体确定,故在出现权利损害结果的情况下,处理行为属于共同危险行为。

根据以上理由,可以将个保法第69条解释如下:第一,处理者对违法处理行为承担个保法上的公法责任,无需对违法处理行为证明“没有过错”。第二,违法处理与实害行为属于共同危险行为;处理者应证明自己对利用个人信息实施的实害行为没有过错,无因果关系而免责,则承担责任的具体侵权人只有实害行为人。第三,处理者若无法证明自己对实害行为没有过错,则表明无法完全确定具体侵权人,故处理者承担共同危险行为的连带责任。

由此观之,个保法与侵权法在各自范围内发挥权益保护功能并能够相互衔接。故区别于侵权保护,个保法所保护的应是“安全”这一法益。

SourcePh" style="display:none">