信息性人格权的规范构造

杜明强

(贵州大学 法学院,贵州 贵阳 550025)

一、引 言

今时今日,因互联网信息技术的迭代更新,在实现了世界互联互通和促进人类文明进步的同时,亦为传统人格权理论和制度在数智空间的延展创造了条件,更是催生了诸多以隐私、信息为内核构造的新型人格权益诉求。人格权理论及法制面临更多新挑战,主要表现为具体人格权规范类型不足、隐私权规范基础动摇、个人信息保护规则失灵等方面。个人人格自由受到智能算法独裁的强力干涉,人们正在将“思考和判断”的基本权利让渡于“算法”。这在根本规范层面引发了人格权保护与科技伦理重塑的系列困境,但现行人格权法制应对乏力。

为此,通过立法保护隐私和个人信息成为法治国家的共同选择。据统计,截至2020年12月,全世界共有145个国家或地区颁布了数据保护法、个人信息保护法或数据隐私法方面的法律(1)Graham Greenleaf, Global data privacy laws 2021: Despite Covid delays, 145 laws show GDPR dominance, (2021)169 Privacy Laws & Business International Report, p.1.。我国也不例外,2020年的《中华人民共和国民法典》(以下简称《民法典》)和2021年的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)都对隐私权和个人信息保护问题作出了有力回应,并将个人信息提升至人格权益的高度予以保护。我国立法正在尝试为信息社会和数字经济的发展建立制度框架,亦在努力为保护智能空间的人格尊严和人格自由发展提供规范支持。然而,对于个人信息保护的基本法理问题,如其法律属性及权利配置等都尚未形成共识,从而引发学界对个人信息是否赋权和如何赋权的问题持续争议,有关信息权利保护现已形成“私法—公法”“确权—规制”等多种二元路径。本文拟从个人信息赋权的路径入手,结合现行人格权基本理论及立法,提出需以“广义的个人信息”为内核确立信息性人格权这一新兴人格权类型,在厘清其基本内涵之基础上,尝试建构信息性人格权的类型体系,释明信息性人格权的特殊性和规范价值,并以具体信息性人格权的规范构造来应对智能时代的新型人格权侵权挑战。

二、信息性人格权的规范意涵

在我国,学界通常依据人格要素的不同,将人格权分为物质性人格权和精神性人格权。所谓物质性人格权,是指自然人对于其物质性人格要素的不可转让的支配权,包括生命权、身体权、健康权。精神性人格权是指不以具体的物质性实体为标的,而是以抽象的精神价值为标的的不可转让的人格权,如名誉权、隐私权、肖像权等[1]39。按照客体的性质,精神性人格权可分为标表型人格权(如姓名权、肖像权)、自由型人格权和尊严型人格权(如名誉权、荣誉权等)[2]145-146。上述分类已获《民法典》人格权编的立法确认。然而因智能时代的到来,大量以个人信息为内核构造的新兴人格权日渐勃兴,以个人信息权为例,既难以在学理上将其归入既有精神性人格权子范畴,又难以用传统具体人格权理论来对其进行法教义学诠释。为此,笔者提倡此类人格权需要重新命名,因其与个人信息和智能互联网相关,故宜将其界定为信息性人格权,以充分体现此类人格权的内在属性和时代特征。

(一)信息性人格权的概念界定

从法理上讲,信息性人格权是指在确定某些权利要求可满足人格权要素之基础上,将其中生成于智能互联网时代、或在数字社会有重大变化的权利,且以“个人信息”法益为内核构造的新兴人格权样态。质言之,信息性人格权是以满足一定条件的个人信息作为权利客体的人格权类型,它是由多项子权利构成的权利束,包括但不限于信息性隐私权、个人信息权、信用权、被遗忘权等具体权利。从产生背景看,这是一种基于数字信息技术进逼下生成的新兴人格权,是人类的身体和精神在面临数智科技革命时所作出的一种法律反应,亦是人类尝试以主观权利形态对抗数智革命的产物。信息性人格权的本质在于维护智能时代人的内在的不可侵犯性和应受尊重性,进而保证个人数字人格的完整性,而非人对其人格利益的支配性,其规范意旨是为维护人格尊严和促进人格自由发展。此为人格权观念在智能时代的延伸,是人格权开放性的具体体现,确立信息性人格权能不断适应和满足社会发展对人格权保护提出的新需求。

(二)信息性人格权的客体及其属性

如前所述,信息性人格权是一个类型化概念,以不同面向的个人信息承载的人格利益为保护对象,故其权利客体亦可界定为广义的个人信息,包括隐私信息和一般个人信息。所谓个人信息,是指能直接或间接识别特定自然人的信息。作为自然人的主要人格标识,个人信息具备个人性、可识别性、载体性等特征,而判断个人信息能否成为人格权客体的关键在于其是否具备人格属性。

首先,个人信息塑造了自然人的“信息人格”。在信息时代,人类行为和社会生活正在被数字化,大数据和算法能根据用户个人信息进行用户画像,即能塑造个人在网络空间的数字人格或虚拟形象,形成“虚拟我”[3]1。这种“虚拟我”表征着主体在数字交往中的身份和资格,是主体信息化的表现。这表明,个人信息承载着独特的人格价值。尤其是精神性人格权的实现,更离不开自由意志和信息这两大基本要素。信息已成为沟通人的精神世界与外在世界的桥梁,保护个人信息实质是保护精神性人格权。从人格权与个人信息的关系来看,具有人格意义的部分信息已被人格权体系所吸纳。不少具体人格权均是以信息为工具实现的,如姓名权、肖像权、名誉权和隐私权。在信息社会,个人信息的存在和主体的信息控制维系着人的存在,自然人的人格在一定程度上亦为信息所塑造,每个人的档案信息实际上可以反映出其人格特质。换言之,每个人都是“信息人”。当下的网络用语“人设”更符合信息对自然人的塑造。所谓“人设”,即是将自然人的个人信息进行整合,塑造一种可以信息化识别的人格特征,构成“信息人格”[4]118。可见,信息人格是建立在信息的身份识别性基础之上的,这本身也是个人信息人格属性的体现。

其次,个人信息关乎自然人在数字空间的人格平等、自由和尊严价值。在数字空间,个人信息是完全独立和平等的,它就如同每个主体本身一样互不隶属,产生法律效力的条件和效果相同。这种个人信息的平等性也是自然人地位平等的体现。同时,信息自由也体现了人格自由,即为自然人身体自由和精神自由的间接反应。个人有权基于信息自由对其个人信息进行更新、变动、公开、删除等信息行为,不受他人非法干涉。而且,现代社会每个人都是一个“信息存在”,信息与人格尊严紧密相关,自然人维护其个人信息的准确性、控制个人信息的利用范围等都是保证自身人格尊严得到社会认可的表现[5]13。而且个人信息因具有“可识别性”而与特定自然人紧密相连,对个人信息的认识就代表了对其背后特定自然人的认识。个人信息在社会交往中表现为特定自然人的人格形象,既包括社会成员对该个人的初始形象,也对其后续形象塑造有重要影响。因此,个人信息与自然人的人格发展密切相关,自然人对其信息的如何处理有掌控需求,个人可通过控制信息实现“知情同意权”,通过自我决定实现“信息自决权”,因而具有人格利益性。

最后,个人信息作为人格权客体有实证法依据。其一,我国现行民事立法将信息与数据作区别对待,将信息纳入人格权客体范畴,数据划入财产权客体范围。《民法典》在总则编分别规定了个人信息和数据的保护规则,第111条所规定的“个人信息保护”介于第110条具体人格权和第112条身份权之间的人格权;而对于作为信息载体的数据,则与虚拟财产并列规定在第127条,即“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”其二,《民法典》人格权编将个人信息与隐私作并列规定,也意在凸显个人信息与隐私权在法律属性上的同质性。其三,《民法典》和《个人信息保护法》均强调个人信息权项下的知情权、决定权、查阅权、复制权、删除权等权能,这些显然不都是财产性权能,而是为了维护个人信息的完整性、准确性,保障自然人人格尊严和人格的全面发展[6]。可见,我国立法其实已认可个人信息的人格权属性。

综上,个人信息具备人格属性,可以成为人格权的客体。但因个人信息范围较广,涵括私密和非私密信息、敏感与非敏感信息、公开和非公开个人信息等类型,若仅在个人信息上单设一项“个人信息权”,则会造成该权利内容过于庞大,难以真正有效保护多元化的信息人格利益。为此,本文主张以广义的“个人信息”为基础建构复合型的“信息性人格权”,再根据不同个人信息所承载的人格利益进行权利的分层建构,以厘清各具体人格权的保护范围。

(三)信息性人格权的具体权利形态

信息性人格权是一个权利束,并会随着科技发展而不断丰富其内容。从个人信息所承载人格利益的层次性、信息性人格权的简约性、信息确权的现实紧迫性与可行性出发,本文认为信息性隐私权、个人信息权、信用权、被遗忘权等子权利是信息性人格权在当前数字社会环境下的具体权利形态。

首先,信息性人格权包括以隐私、私密信息为客体的信息性隐私权。从本质上看,隐私也是信息性的,隐私权的保护对象是自然人不愿意被他人所知的私密信息,包括婚恋信息、财产信息、医疗健康信息、犯罪记录、性取向、个人嗜好、日记以及其他个人不愿公开的信息等。从立法层面看,《民法典》第1032条规定的私密信息、《个人信息保护法》第28条规定的部分敏感个人信息均属于信息性隐私权的客体。

其次,信息性人格权还包括以一般个人信息为客体的个人信息权。依据《民法典》第1034条和《个人信息保护法》第4条之规定,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。据此,匿名化信息、隐私信息等不属于个人信息权的保护范畴。个人信息权的保护对象是自然人愿意被他人所知但不愿意被他人滥用的信息,目标在于保护个人的意愿及个人控制自己信息的权利[7]。

再次, 信息性人格权也包括以特定的信用评价、 信用信息为客体建构的信用权。 《民法典》第1024条规定的信用及第1029条规定的信用评价属于信用权的客体。 在数字经济时代, 信用是民事主体经济能力、 交往能力以及特定资格的社会评价, 信用权应为一项独立的民事权利, 其与名誉权在内容、 保护程度和保护方法方面均有所不同, 信用权兼具人格和财产双重属性, 将其涵摄在名誉权之下加以保护难以充分释放信用权的规范效力, 会导致信用权制度的立法发展和司法适用受阻, 故立法宜单独保护信用权(2)杜明强:《信用权保护的私法进路》,《北方法学》2022年第5期。需要说明的是,该文已对信用权的规范构造有专门论述,故本文不再赘述信用权的规范构造问题。。

最后,信息性人格权同样包括被遗忘权。被遗忘权本身是一种比喻性的说法,更准确的含义是指信息主体要求信息处理者消除其非私密信息与其个人之间的可识别关系的权利[8]。被遗忘权的具体形态是删除权,删除的对象是“不当的、不相关的、过时的”一般个人信息。《民法典》第1037条和《个人信息保护法》第47条对删除权的具体情形作了明确规定。该权利旨在强调通过删除或隐匿已公开的个人信息,以维护信息主体的人格权益。

可见,从实证法视角看,立法已对个人信息进行分层保护,不同层级的个人信息对应着不同的权利客体,故广义上的个人信息承载着复合型的信息性人格权,各层级和各类别的信息分别可成为信息性隐私权、个人信息权、信用权和被遗忘权的权利客体。在现行法体系下,信息性人格权的类型至少包括上述四种典型的新兴人格权。鉴于人格权具有开放性,随着社会的不断发展,还有可能根据《民法典》第110条、第990条规定的基于人身自由、人格尊严而产生其他新类型的信息性人格权。

三、信息性人格权制度的价值功能

当前,《民法典》已开启人格权立法的先河,单设人格权编,确立了“具体人格权+一般人格权”保护范式,并将隐私、个人信息等纳入人格权保护范围,此为人格权立法保护的重大创新。但《民法典》所提供的新兴人格权保护方式尚有瑕疵,尚未完全遵循个人信息生成及传播规律,仅将隐私权法定化,对个人信息的总体定位较为模糊,仍以名誉权涵摄保护信用权,既难以应对复杂的信息网络侵权,亦会对个人人格尊严保护和“信息人格”自由发展产生不利影响。例如,在我国法律未确立“被遗忘权”的背景下,法院难以支持被遗忘权作为一般人格权应受保护的主张(3)北京市第一中级人民法院(2015)一中民终字第09558号民事判决书。。同时,《个人信息保护法》作为信息保护领域的专门立法,将个人信息定性为一项“权益”,并以保护“个人信息权益”为要旨,围绕个人信息分类保护、信息自由的强化及信息处理活动的规范等内容进行全面规定。从整体上看,两部法律均为个人信息的保护和利用提供了基本遵循。但遗憾的是,二者均未明确“个人信息权”的立法表达,更未建构“信息性人格权”的规范体系,对信息所负载的人格利益保护缺乏系统性关注,这给智能时代信息性人格权保护留下一份未完成的答卷。现行法尚未完全依照信息性人格权生成的逻辑进行权利建构,难以为应对智能算法侵权提供规范支撑。为此,有必要结合智能社会的特殊背景,关注信息技术加持下新兴人格权的生成样态,从体系上构造信息性人格权制度,凝练智能实践中信息人格权侵权的共性问题,进一步规范新兴人格权的司法续造,进而为化解信息性人格权司法保护危机提供裁判指引。据此,在当前确立信息性人格权制度有其必要性和独特的价值功能。

(一)有助于保障个人人格尊严和人的自主性

人格尊严是指人作为人应当受到的尊重,是一般人格权的核心内容,更是新兴人格权得以证立的价值基础。人格尊严体现人的主体性和自主性,强调不以人为客体、工具或手段,是人之所以为人的价值[9]65。康德认为,尊重人最重要的一个方面就是尊重人的自主性[10]419。在拉伦茨(Kar Larenz)看来,人格权是一种受尊重权,承认并且不侵害人所固有的“尊严”以及人的身体与精神、人的存在与应然的存在[11]282。信息性人格权注重个人对其信息处理过程中所享有的自决权和控制权,强调对人格尊严与自主性最起码的尊重。尽管个人信息的财产价值有所差别,但其承载的人格利益应一律平等。然因智能科技的发展给人格尊严及其自主性带来新挑战:如滥用人脸识别、个人信息不当处理、算法歧视等现象严重侵犯人格权,让人们在数字空间丧失尊严和人格,隐私、个人信息沦为智能科技发展的“手段”[12]。故需厘定数字时代的科技底线,重申人的尊严和自主性。确立信息性人格权正是维系人格尊严和自主性的现实要求,是避免“数字不正义”和“科技向恶”的法律底线[13],防止人类因算法的“独裁”而丧失主体性。因此,面对科技滋生的人格尊严危机,需要通过法律赋权的方式予以制衡,信息性人格权恰能助力该目标的实现。可见,维系人格尊严和自主性成为个人信息赋权的逻辑起点和价值依归。

(二)有助于规范新兴人格权的法权构造,克服一般人格权制度的适用局限

信息性人格权产生于人机共生的智能时代,是人们尝试以主观权利去应对科技革新、制衡平台权力(算法权力)的产物,集中体现了人机共生世界中不同利益主体的价值需求及其利益结构关系的权利义务表达,其所规整的对象是信息主体与信息处理者之间持续性的信息不平等关系[14]29。为此,信息性人格权本身是科技驱动的法律表达,其可为具体新兴人格权的生成提供权利范式,以促进人格权法的生长续造。例如,《民法典》中引入个人信息权,逐渐突破了人格权的先在性、不可定义性等固有属性,基于人格自由发展的角度,人格由先在性到可操作性,人格不再只是一种作为尊严的自然权利的人格,更是一种作为人格自由发展权的功能化的人格。在权利构造上,人格不仅是消极的防御权,而且应以人格自治权为基础[15]。结合《民法典》第990条第2款中一般人格权制度的权利续造功能,后续新兴人格权的扩展则可参照个人信息权进行制度建构。同时,通过建构信息性人格权制度,能克服一般人格权制度在智能实践中兜底适用的局限,从而搭建一般人格权与新兴人格权制度之间的沟通桥梁。因为《民法典》第990条第2款的措辞过于宽泛,可能带来法律确定性方面的风险,且实践中仅以“人格尊严”作为论证理由也难以让人信服,信息性人格权制度则将“人格尊严”具体化,以弥补其适用的不确定性风险。

(三)有助于丰富人格权保护的规则体系

个人信息的人格权化可使人格权制度在如下两方面得以发展:一是基于信息性人格权的“有限支配性”,确立人格信息法益的合理使用规则。从《民法典》立法来看,第993条、第999条从整体上分别确定人格标识的许可使用和人格利益的合理使用制度,第1030条、第1035条规定了个人信用信息、一般个人信息的处理规则。而且,《个人信息保护法》作为《民法典》的特别法,在其第二章以“知情同意”作为个人信息处理规则构建的合法性基础,确立了“同意(一般个人信息)+单独同意(敏感个人信息)+同意例外(国家机关处理个人信息)”的基本架构[16]。二是创设兼具本土性和时代性的信息性人格权私法保护机制。信息性人格权的生成跨越数字技术与法律两大领域,其侵权行为具有跨国性、交互性,但受私法保护的信息性人格权范围又具有地方性。基于此,信息性人格权保护规则的建构需要兼顾本土性和时代性两大因素,在一定程度上可丰富人格权的规范体系,促进人格权法制的创新发展。

四、信息性人格权的特殊法律属性

除价值功能外,信息性人格权的规范特质也是其作为新兴人格权构造的前提。在信息性人格权中,个人信息权最具代表性,下文将以个人信息权为中心,讨论信息性人格权的特殊性。

(一)信息性人格权具有主体识别性

所谓主体识别性,是指通过信息性人格权所保护的客体判定可识别到特定的自然人主体,进而呈现主体的信息人格形象。个人信息作为自然人人格形象的表征,与主体之间有稳定联系,承载着人格发展和人格形成利益。信息性人格权以广义上的个人信息为保护对象,其实质在于保护个人信息背后所承载的具体化人格利益。通说认为,个人信息的本质特征在于其“可识别性”,某一信息如能够单独或者与其他信息相结合识别特定的自然人身份和行踪轨迹,则属于信息性人格权所保护的个人信息。相反,如果某些信息根本无法识别特定的自然人,那么对于此类信息的处理则不会对特定自然人的权益造成危害,故而也无必要通过个人信息保护制度对其加以保护[17]457。由于信息性人格权以个人信息的不同利益侧面为客体,其当然承继个人信息的核心特征——可识别性。详言之,信息性隐私权试图通过隐藏某些私密信息来维护自己的形象,公开披露这些具有主体识别性的信息会侵害隐私权;个人信息权则是通过公开和利用某些个人信息作为展现自我的媒介,并形成自己的人格形象。可以说,隐私权保护的是一种隐藏利益,个人信息权保护的是一种表现利益。对自然人而言,两种相辅相成的个人利益构成了人格利益的关键。从本质上看,隐私利益与表现利益是人格的一体两面,都是为了维护人的完整,是人格尊严和自由的体现[18]。除前述两种权利外,被遗忘权则是通过屏蔽或删除已公开的个人信息,将“表现利益”转化为“隐私利益”,以修复和完善自己的社会形象,其具备重塑人生的功能。信用权意在保护基于个人信用信息而产生的社会评价。信用被誉为个人的“第二身份证”,如同贴在每个人身上的标签一样,是个人在社会上立足之“保护伞”,同样与个人人格形象密切关联。可见,信息性人格权的每项子权利都具备主体识别性,其所保护的“个人信息”几乎都能直接识别特定自然人的身份,故可识别性为信息性人格权的主要特征。

(二)信息性人格权的客体具有动态性

从权利客体上看,信息性人格权以特定的个人信息所承载的人格利益为保护对象,此类个人信息产生于特定的网络空间,具有独立性(即独立的利益指向)、可识别性、无形性、动态性等特性,与传统民法上人格权客体的自主性、确定性、固有性等方面有所不同。其中,最为典型的是由信息流通属性所引发的信息的动态性。以我国法对“个人信息”界定为例,《民法典》第1034条第2款将“姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”纳入个人信息的保护范围。从理论上讲,这些信息均可成为信息性人格权的客体。但在上述信息中,除了出生日期、身份证号码、生物识别信息外,其余信息都具有可变性。换言之,自然人的多数个人信息范围是动态的,而非静止的。这些动态信息所承载的人格利益也是信息性人格权的保护对象。同时,《民法典》还专门以“信息的私密性程度”标准区分保护隐私权与个人信息权。个人信息中的私密信息,优先适用隐私权的保护规则;非私密信息,才属于个人信息权的范畴。这点从《民法典》第1032条和第1034条分别对隐私权、个人信息的涵义界定上可得到验证。实际上,《民法典》对广义的个人信息采取了三种保护路径,即纯粹隐私权之保护、纯粹个人信息权之保护和私密信息保护[19]。而且,《民法典》第1033条和第1035条进一步区分了私密信息和非私密信息处理的适用规则,对私密信息的处理须经权利人明确同意;非私密信息的处理只需自然人或监护人同意即可。

当然,立法上采取对隐私权与个人信息权严格区分保护模式,并不影响隐私与个人信息之间的实质关联,二者存在利益范围的重合。从广义上讲,隐私的本质是信息性的,即可将“隐私视为信息”,故而个人信息中包含了隐私。只是二者的侧重点不同,隐私的私密性较强,个人信息则注重“身份识别性”;隐私仅关乎作为自己的权利,个人信息则与国家利益、公共利益密切相关;作为客体的隐私,与个人生存、自由、尊严密不可分;作为个人信息权客体的信息,成为独立的法律保护对象[7]。整体而言,个人信息比隐私的范围大,其中的私密信息往往是隐私权的保护客体,而隐私中的私人信息通常属于个人信息范畴。如果严格区分二者的边界,在实践中会面临个人信息的私密性检验难题。例如,有法院采取“合理隐私期待标准”,认为“有效保护权利或权益的最优选择并不是将用户隐私期待程度不同的信息一并归入某个相对固定的概念中,而是有必要深入具体应用场景,以场景化模式探究该场景中是否存在隐私的侵害行为”(4)北京互联网法院(2019) 京 0491 民初16142号民事判决书。。也有法院采取“不愿为他人知晓”和“私人生活安宁”检验标准,认为前者可以综合考量社会一般合理认知以及有无采取相应保密措施等因素进行判断,后者则应考量其个人生活状态是否有因被诉行为介入而产生变化以及该变化是否对其生活安宁造成一定程度的侵扰(5)北京互联网法院(2019) 京 0491 民初 6694号民事判决书。。可见,无论从理论还是实践层面分析,个人信息作为权利客体具有动态性和利益多元性,对其采取不同的区分标准会直接影响不同的权利建构,这也是以“信息法益”为内核的信息性人格权有别于其他物质性人格权和精神性人格权的显著标识。

(三)信息性人格权具有有限支配性

从权利人角度看,人格权的权能通常包括积极和消极两方面。积极权能是指法律赋予权利主体所享有的对其人格利益进行自主决定和利用的权能,消极权能则是指权利主体所享有的禁止他人对其人格权进行非法干预和侵害的权利。传统人格权如生命权、身体权、健康权、名誉权等,本质上都是一种“防御权”,即“人身不受侵犯的权利”[20]。故传统理论通常认为人格权是一种针对他人的“禁止性权利”(Verbiutungsrecht)[21]17,是“以具有人格属性的生命、身体、健康、自由、名誉、隐私等为对象的,为了使其自由发展、必须保障其不受任何第三人侵害的多种利益的总称”[22]7。尽管人格权属于绝对权,但其支配属性备受质疑。在拉伦茨看来,人格权实质上是一种人身不受侵犯的权利,并非一种支配权[11]379。同时,也有学者指出,支配权是设立在物上的权利,最重要的是所有权。人不能在自己身上设立支配权,不可像利用财产一样利用人格,此为《德国民法典》第253条所禁止,因为它践踏了人的尊严[23]。梁慧星教授认为人格权首要的特殊性在于其防御性,即法律规定或者认可人格权的目的,是将侵害人格权的加害行为纳入侵权责任法的适用范围,以便对加害人追究侵权责任。人格权不存在取得或行使的问题[24]。质言之,人格权的内在属性应定性为“受尊重权”,不存在支配的可能[25]。

但随着姓名权、肖像权等标表型人格权的确立,上述理论受到一定的挑战。特别是个人信息权、信用权等新兴人格权的出现,人格权的积极利用权能得以扩张,支配属性逐渐被认可。如个人信息权的主要权能为信息控制权,该权利的规范目的之一在于平衡个人、信息处理者和国家之间的信息权益。而且,《民法典》亦肯定人格权的合理使用和许可使用规则。如依据《民法典》第993条之规定,“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外”。这是人格权商业化利用的立法规定,尽管该条只列举了“姓名、名称、肖像”三项人格要素,但“等”字在解释论上可理解为“等外等”,且个人信息已不属于不得许可的例外情形。而且,《民法典》第1035条和第1036条从正反两方面明确肯定了自然人有权同意(许可)他人处理自己的个人信息。可见,部分新兴人格权有一定的支配性,权利人既可在法定范围内依照其自由意志支配其人格利益,又可对其人格权进行积极利用,通过许可他人利用其人格权而获得财产利益。对此有学者认为,我国法上已建立起个人信息主体权利体系的“三阶构造”,即以决定权为贯穿性理念、以知情权为核心的权利基础、以散射交叉的系列权能为外表的权利构造[26]。个人信息权项下的知情权、决定权以及其他系列权能(如查阅权、复制权、可携带权)均体现了人格权的支配属性,其作为信息性人格权的典型代表,在很大程度上反映了信息性人格权的属性正在从传统的消极防御向现代的积极利用发展。当然,这种支配性并非同物权的完全支配性,而是一种有限的支配性,信息性人格权的具体行使有赖于信息处理者的积极配合。人格权是主体对其人格领域的某一部分进行支配的权利,其作为特殊的私权,与“人格的一般性权利”有所不同,后者表现为受法秩序保护的要求被视为人格体的一般性的权利[27]170。总之,认可信息性人格权的有限支配性,则是人格自由发展的重要体现。

五、信息性人格权的具体权利构造

信息性人格权是以“不同面向的个人信息”为客体建构的新兴人格权,是一种类型化的权利束,其制度实现的功能须藉由它的子权利来完成,故本部分以信息性隐私权、个人信息权和被遗忘权的规范构造为例展开分析。

(一) 信息性隐私权的规范构造

1.信息性隐私权的内涵界定 隐私权尽管拥有深厚的历史传统,是一个演化性、历时性和包容性的概念,但在信息时代,隐私主要表现为信息隐私的形式,强调人类信息既不被知道又不被使用的程度[28]24。隐私权的本质为信息性隐私权(information privacy),是指当本人的私密信息被以数字或其他智能信息技术处理时,本人因此而产生对隐私的期待[29]。这种隐私期待是建立在信任基础之上的,信任是人们对隐私期待的核心。智能时代信息性隐私权呈现两大新特点:一是隐私信息化,即隐私的典型形态是数字化的;二是信息隐私化,在个人信息处理过程中,某些原本不属于隐私的个人信息转化成隐私[30]。隐私的信息本质决定了其与信息之间的不可分割性。

2.信息性隐私权的权利内容 在立法层面,《民法典》明确规定了隐私权的内容,其中,第1032条吸收学界通说,第1款明确“自然人享有隐私权”,第2款将隐私界定为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”据此,隐私权的主体为自然人,法人类主体并非隐私权的主体。因为法律创设隐私权的目的在于保护人格尊严和人格自由,维护人与人之间的正常交往,保护个人形塑自我形象的空间和权利。法人类主体是实现个人目的的工具,无所谓人格尊严需求,故而不能成为隐私权的主体。隐私权的内容包括如下方面:一是隐私享有权,即自然人有权享有私生活的安宁状态和隐匿自己的私事;二是隐私维护权,即自然人有权维护自己隐私免受侵犯的权利,禁止他人非法披露、公开其隐私;三是隐私公开权,即自然人可在不违法不背俗的条件下公开其隐私。可见,在保护范围方面,立法采取“私领域(私人安宁、私密空间)+私事(私密活动、私密信息)”相结合的方式进行规范构造,试图涵括所有隐私类型。但这种隐私权观仍未突破“隐私所有权”的支配权和排他性逻辑,亦未打破物理空间隐私的藩篱,实践中难以应对智能时代的隐私侵权挑战。鉴此,亟需在新技术背景和新理论框架下更新信息隐私权的规范构造。

第一,隐私保护范围需从空间隐私转向场景隐私。因新技术的巨变,使得空间具有智能性、多变性、穿越性等特征,个人隐私信息可能依附在人工智能、物联网等载体上,这些新的空间范围具有高度不确定性,现实和虚拟空间的界限日渐模糊,使得空间隐私的范围逐渐被放大且难以确定,故空间隐私难以适应信息隐私的发展需求。对此,隐私的场景理论注重信息的合理流通而非单向的信息控制,强调参与主体、信息类型和传输原则的差异性,而非信息隐私保护规则的一致性;关注不同场景中私人利益与非私人利益的平衡保护,而非顾此失彼。由于将隐私置于不同场景中进行个性化保护,设置差异化场景的信息规范要素,有助于应对智能算法带来的新型隐私侵权挑战。传统法律所采取的“一刀切”的监管与风险控制方案无法回应智能技术特征和复杂多变的应用场景,针对不同应用场景建立差别化的信息治理方案是智能时代的必然选择,其实质是情境化、差别化、类型化的风险责任分配[31]。为此,以“场景隐私”替代“空间隐私”,优化“领域论”下的隐私保护范围,符合信息隐私的内在属性。隐私的本质是一种私人信息,结合场景理论,可将隐私理解为“与场景(情境)相关的信息规范”[32]2。换言之,鉴于信息的性质,隐私是指适合不同群体了解我们的适当信息以及共享它的情境。隐私可在场景中确定,由参与主体、信息类型和传输原则等因素产生的信息规范是动态的而非静态的,其会因时因境而变,尤其会随着新技术改变信息流实践而更新。也就是说,在智能时代,隐私权的保护范围应从“内外限制”的界定模式转换为“动静结合”的界定模式。在静的层面,隐私仍需要满足与一般个人信息区分的基本特征(如个人性、私密性、人格性等);在动的层面,隐私符合场景论中的规范要素(主体性、信息属性和传输原则),相关信息隐私具备可识别性,能对应到特定个人,描绘成人格图像。可见,场景隐私可克服空间隐私边界模糊的局限性,使得隐私规范更加灵活和更具适应性。

第二,内容上保留私人安宁条款,并以私密信息合并私密活动。依据《民法典》第1032条之规定,私人生活安宁条款为隐私权保护的兜底条款。所谓私人生活安宁,是指自然人享有的安静宁稳,不受骚扰的私人生活状态[33]。学界认为“个人的住宅安宁、通信安宁、日常生活安宁”等均属于私人生活安宁范畴[34]。但我国立法工作者倾向于将其限定于狭义的网络私人生活安宁,其侵害行为仅限于《民法典》第1033条规定的以“电话、短信、即时通讯工具、电子邮件、传单”等方式实施的侵害行为[35]196。将安宁权纳入隐私权项下予以保护,旨在维护自然人独处的权利,并在维护独立人格、个人尊严和私人生活自主等方面发挥重要作用。故在隐私权的内容构造上,私人生活安宁有其存在的必要性,其在智能网络空间集中体现为网络私人生活安宁。从立体维度看,私密信息与私密活动、私密空间的并列关系受到学界质疑。私密活动本质上是一种不固定的、正在变化当中的信息。私密信息在动态上就表现为私密活动[36]46。例如,张三用手机记录李四与其女友在某酒店约会的私密活动,这种留存的记录就是私密信息,而非私密活动。而在最终侵权行为的表现形式上,动态的私密活动几乎都会转化为静态的私密信息。据此,《民法典》第1033条第2款第3项所规定的“拍摄、窥视、窃听、公开他人的私密活动”实则可以涵摄在该条第2款第5项所规定的“处理他人私密信息”的行为中。可见,私密活动不能成为隐私权的客体,而真正属于隐私权客体的是反映私密活动相关的私人信息,这属于私密信息的范畴,私人信息和私密活动都是私密信息在客观上的不同表现形式,其表现形式的差异不能排除其属于私密信息的本质属性,故宜将私密活动整合到私密信息中,不再单列私密活动。

综上,在信息性隐私权的构造方面,需在《民法典》第1032条所规定的隐私类型的基础上作动态调整,结合信息时代特征,建构一个具有层次性的隐私保护架构,形成以“‘私人生活安宁’为一般条款+‘私密信息’为具体条款”的隐私权范式,保护范围从“空间隐私”转向“场景隐私”,以实现对隐私权的灵活保护。

(二)个人信息权的规范构造

1.个人信息权的概念界定 个人信息权的概念厘定乃是对其进行权利证成和保护的逻辑起点。但至于何为个人信息权?抑或是自然人究竟对其个人信息享有何种民事权益?学界未形成共识。权利论者认为,《民法典》确立了自然人对个人信息享有的是民事权利,即个人信息权[37]。权益说认为,从我国现行立法规定看,个人信息是一种民事权益而非权利,是一种新型人格权益[38]。上述学说论争既反映出信息权利概念的复杂面相,也表明学界对个人信息权利化的基础和逻辑起点存在认知差异。

本文支持权利说,宜将个人信息权界定为一种新兴人格权——信息性人格权。相较于权益说,个人信息权利保护模式有如下优势:一是权益概念抽象模糊,具有不确定性;而权利具体明确,具有确定性,能清晰表达权利人的权利主张;二是权利具有生产性,即能生产出新的义务;三是权利的动态性构成了新义务的基础,个人信息权是一项概括的、类型化的权利,在此权利之下包含许多具体的权能,如欧盟在这项基本人权之下创设了访问权、更正权等具体权利[39],《民法典》和《个人信息保护法》也赋予个人在其个人信息上所享有的知情权、决定权、查阅权、复制权、更正权、删除权等权能,旨在维护个人信息的完整性、准确性,实现人格尊严和人格自由发展的保障。概言之,个人信息权利化的显著优势在于权利的明确指向性、生产性以及对自主性和人格尊严的维护,权益说则不具备这些优势。由此,可将个人信息权界定为自然人对其个人信息享有的有限支配权和受保护权,是一种具有防范因自然人个人信息被非法处理而引发人格尊严、人格自由受侵害后所能获得法律保护的人格权。其本质是人格受尊重权在数字时代的反应,赋权本身是对个体人格独立和自主的尊重和保障。通过明确承认个人信息权的人格权地位,既能实现认识论上的权利宣示效果,亦能达到保护个人信息之目的。

2.个人信息权的权利体系构成 在立法层面,《民法典》其实已为个人信息权设置了广泛而成熟的权能体系和规则体系。相较于《民法典》,《个人信息保护法》更是建立了完整的个人信息权利体系,个人信息权亦从实然权利变成应然权利,从背景性权利变成制度性权利。《个人信息保护法》其实以权利束的方式赋予个人信息主体对个人信息的全面控制权[40]。结合现行立法,可归纳出完整的个人信息权权利体系。

第一,以信息保有权为权利根基,维系信息人格与主体的一致性。信息保有权就是指对于个人信息完全由自己保有,他人不得非法占有,这是个人信息权的主要内容。信息保有权是行使个人信息权的基础性权利,只有承认个人保有其身份信息,才能够行使个人信息权的其他权利内容[41]505。信息保有权类似于一种“信息所有权”,但其作为具体的人格权又与所有权不同,人格权所保护的是人在尊严层面的非财产性利益,关注的重点是人的“存在”(being)而非人的“所有”(having)[42]3,故采用信息保有权概念,以确保个人信息的归属权,强调个人对其个人信息所承载的人格利益之享有和保护。

第二,以信息自决权为权利主干,维系人格自主。信息自决权具体包括知情权和决定权,《民法典》第993条、第1035条确立了同意权、知情权的基本规则。《个人信息保护法》中的知情同意机制设计也是建立在知情决定基础之上,并以个人的同意作为信息处理的合法性基础。这种同意属于人格权领域中的同意,对个人信息处理具有决定性意义,体现了个人在其信息处理过程中的人格自由和私权自治。《个人信息保护法》第13条至第16条明确单独同意、书面同意、撤回同意与额外同意等情形,第二章第二节在关于敏感个人信息的处理规则设计上采取了增强同意的立法思路,如第29条规定处理敏感信息应当取得个人的单独同意。《个人信息保护法》中的“决定权”在相当程度上旨在反映个人对自身信息控制的自由,是一种偏理念性的信息自决基础,知情权则是个人信息权的权利枢纽,可辐射后续的系列权能[26]。可见,知情权和决定权并非是请求权,而是对个人信息权内核的表达,属于个人信息权的权利基石。基于知情权和决定权可以衍生出其他工具性权能,如查阅复制、更正删除等具体权能。立法设置知情权、决定权,本质是对个人自主利益的积极维护,强化从形式知情同意向实质知情同意转变,为信息自决权的具体体现。

第三,以信息获取权为权利分支,确保个人信息控制。学理上,信息获取权(right to access)包括查阅权和复制权,该项权利亦为世界上多数成文法国家成文法所认可的法定权利。在智能技术的加持下,一旦个人信息被信息处理者收集就会脱离个人控制,自然人通常无法掌握信息处理情况,是否违背其意愿往往不得而知。信息获取权的创设能保证信息主体及时、便捷、数字化地获取信息处理情况,也能为其后续正常行使更正权和删除权创造条件[6]。《民法典》第1037条、《个人信息保护法》第45条规定了自然人对其个人信息享有查阅权和复制权。个人信息主体经由查阅权和复制权的行使可清晰知晓信息控制者所掌握的数据是否满足信息处理活动中的知情同意规则,可以衡量数据最小化、目的特定等个人信息保护规则是否得以遵守[43]。可见,信息获取权是实现信息自决权的前提和条件。

第四,以信息修复权维护个人数字人格的完整性。所谓数字人格,是产生于网络空间的新型人格,是个人信息权利的有机结合和主体体现,并以“个人提供有限信息权”和“必要的信息服务权”为核心建构的人格类型[44]。《民法典》第1037条,《个人信息保护法》第47条所规定的更正权和删除权,可以统称为“信息修复权”,旨在保证个人信息的准确性和数字人格的完整性。《民法典》第1037条规定,自然人“发现信息有错误的,有权提出异议并请求及时采取更正等必要措施”。当信息控制者收集、处理个人信息不合法或者不合约时,自然人享有要求信息控制者及时删除其个人信息的权利。《个人信息保护法》第47条对删除权的内容再作细化,第1款明确了适用情形并扩张至五种:一是处理目的已实现、无法实现或者不再必要;二是处理者停止提供产品或服务,或者保存期限已届满;三是个人撤回同意;四是处理者违法、违规或违约处理个人信息;五是法律、行政法规规定的其他情形。立法规定删除权能让个人信息权的权利体系和生命周期相互匹配,获得同步保障。通过行使删除权,可以保障自然人在信息社会自由终止流动中的个人信息,实现个人从信息社会中自由退出的权利机制,以最终维护个人信息准确、完整和有效支配。

综上,作为新兴人格权的个人信息权,是人格权观念在信息科技领域的拓展和延伸。其既满足信息性人格权的一般构成要件,又具有其特殊的权利内容,宜将其纳入信息性人格权的范畴加以保护。

(三)被遗忘权的权利构造

1.被遗忘权的内涵界定 被遗忘权诞生于特定的数字时代,是一种属于特定主体所享有的权利,其客体亦具有特殊性,通常指那些涉及权利主体负面的且不愿被他人知晓的个人信息,其本质上是个人信息权利的延伸。当下人们所探讨的被遗忘权,主要是智能互联网领域的数字被遗忘权,即信息主体对于在互联网上已经公开的、不适当的、不相关的或不再相关的、过时的个人信息所享有的一种删除或者隐藏的权利[45]。这种数字被遗忘权是信息自决理念的体现,其试图将已经公开的信息移至隐私领域。在此意义上,被遗忘权是主体所享有的一种删除到期信息的权利。其关注焦点应放在避免他人披露信息主体过往的负面信息上,让那些有污点的人重新回归社会,既有利于权利人的正当权益保护,也符合社会利益。这实际上涉及对言论自由与尊重当事人隐私和尊严间的平衡,故随着时间的推移,应更侧重对当事人隐私和人格尊严的保护[46]。因此,被遗忘权既要关注抽象信息的保护,尤其是特定人群“重塑人生”的自由;又要尝试去控制那些负面信息的储存时间,建构合理的信息排除规则。

由此,被遗忘权的权利包括如下两方面:一是个人信息的事前控制,即适时删除个人信息的权利;二是在特定领域限制披露和使用信息主体过往负面信息[47]。第一层次的被遗忘权源于信息自决理论,信息主体需要在信息控制领域实现私权自治,必须要采取事前防控与事后救济相结合的方法,即事前设置保存期限,事后可享有删除权。而且,尽管个人信息权整体上可被当作是一项与个体主义相关的权利,具有“个人”的一面,但同时亦具有“信息”的一面,是一种与社群或公共空间密切相关的公共产品。在此意义上,以个人信息控制为基础建构的被遗忘权,除了照顾个体的合理期待外,还应关注信息的合理流通和社会的合理期待[48]。因此,被遗忘权应当负有一定的社会义务,在确立其内涵时需要考量个人信息控制与社会合理期待之间的平衡。

2.被遗忘权的权利构造 从被遗忘权内涵出发,其构造可以从权利义务主体、内容和权利边界方面展开。

第一,将被遗忘权的权利主体限定为自然人。这一点几乎成为学界和立法界的共识,因为被遗忘权源于自然人获得谅解、维持人格特质以及保护人格尊严与个人生活的需求[49]。法人、非法人组织原则上不存在上述特殊需求,故不宜作为被遗忘权的主体。而且,《民法典》第110条明确规定法人、非法人组织只享有名称权、名誉权和荣誉权,作为具体人格权的被遗忘权自然与之无关联。

第二,明确被遗忘权的义务主体为信息处理者或控制者,包括发表者、储存者、转载者或互联网搜索引擎。学界一般认为搜索引擎服务提供者为被遗忘权的主体。在实践中,处理个人信息的环节较多,侵害被遗忘权的行为并非只是搜索引擎服务提供者,包括社交媒体在内的信息传播平台日益多元化,亦在迅速改变前网络时代以门户网站为主的信息传播方式。因此,宜将被遗忘权的义务主体规定为信息处理者或控制者,因为数字时代任何信息的处理形式都可能造成信息价值与传播的背离。

第三,明晰被遗忘权的权利内容。被遗忘权的内容是指权利主体与信息处理者之间的权利和义务,即消除或切断信息主体与本人信息之间的可识别关系[8]。从权利人角度看,指的是拥有被遗忘权的主体有权要求信息处理者删除其个人信息、屏蔽检索结果的权利。从义务人角度出发,当存在权利人向信息处理者主张删除其个人信息、屏蔽检索结果时,信息处理者负有删除或屏蔽相关信息的义务。在被遗忘权的建构中,如何界定信息处理者的义务是一大难题。欧盟《通用数据保护条例》(GDPR)在规定“删除权(被遗忘权)”时,确立了信息处理者的删除义务、通知第三方和信息转移义务。我国《民法典》第1037条第2款亦规定信息处理者对违法、违规及违约处理的信息负有及时删除义务。可见,信息处理者的删除义务是被遗忘权主要的义务内容,亦是信息处理者所要履行的核心义务。

立基于被遗忘权制度的规范目的,可将信息处理者的义务范围规定为如下方面:一是删除或清除义务。既包括删除或屏蔽那些违法违规或违约收集、使用、储存的个人数据,也包括消除那些合法收集的,但已过期、不相关、且对权利主体有负面影响的信息。二是解释说明义务。在收到信息主体的删除申请并作形式审查后,要及时告知相关的处理结果,并说明理由。三是通知义务。信息处理者在发现其自身信息处理行为有误以及接到权利人的删除请求后,应当及时将该通知转送给其他相关的信息处理人,并告知其应及时采取删除、屏蔽、断开连接等必要措施,以防止损害的进一步扩大。

与上述义务相对应,信息主体的权利可包括如下方面:一是限制或删除个人信息请求权。即当个人信息被不当处理时,信息主体有权向信息处理者主张删除信息请求权。而当此类信息暂时无法删除,则有权向处理者主张停止利用或限制处理其相关的个人数据。这也是欧盟《通用数据保护条例》第18条关于限制处理权的基本要求。二是知情权。权利人有权知晓信息处理者在接到删除或限制请求后所采取的必要措施及理由。三是损害赔偿请求权。当信息处理者未履行或未全面履行上述义务、造成权利人损害的,有权要求作为义务人的信息处理者赔偿损失。

第四,规范被遗忘权的权利边界。被遗忘权涉及诸多利益冲突,需要划定其权利行使的界限。根据欧盟《通用数据保护条例》第17条第3款规定,不适用被遗忘权的情形包括:一是行使言论和信息自由权; 二是基于遵守欧盟或成员国法定义务、 公共利益而履行义务、 行使职务权限进行的数据处理; 三是为了公共健康领域的公共利益进行的数据处理; 四是为了实现公共利益存档目的、 科学研究或历史研究目的或统计目的而进行的数据处理; 五是为提起诉讼或应诉所必要的数据处理(6)See Regulation (Eu) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation), Article 17.。 可见, 上述关于被遗忘权适用的例外其实就是该权利的边界。 在“被遗忘权”的制度建构上, 可以借鉴欧盟的做法,通过明确规定例外情形来划定权利的边界, 而且, 包括自然人纯私人或家庭活动在内的上述六种情形亦可作为我国被遗忘权的权利边界, 即在确立其权利内容的同时更要为其设立界限, 这也符合法权创设的基本逻辑。

总之,面对数字时代的“遗忘”难题,通过法权制度加以应对是当下的理性选择。被遗忘权正在从一种单纯的信息删除法律技术,转化为一种使人类在智能社会中重塑自我的权利保障[50]。因此,任意删除不能代表被遗忘权,对个人信息和人生痕迹的任意涂改、掩过饰非亦不是该权利创设之目的。被遗忘权能让作为主体的个人活在当下,免受其过往言行的约束而生活在过去的阴影之中。被遗忘权制度的确立,是现代立法强化人格尊严和人格自由保护的必然要求,是私权自治原则在信息世界的合理延展,其既能填补现行法中隐私权、个人信息权制度的规范漏洞,又能彰显个人在数字空间中的主体性,“让人成为一个人,并尊敬他人为人”为其权利宗旨。

六、结 语

作为新兴人格权的信息性人格权,是智能互联网时代人格权理论扩张与技术驱动交织的产物,其以“不同面向的个人信息”为客体进行权利建构,衍生出信息性隐私权、个人信息权、信用权和被遗忘权等子权利。信息性人格权具有主体识别性、客体动态性、有限支配性等特质,这也是区别于其他精神性人格权的显著标识。在信息性人格权的规范构造上,信息性隐私权是指自然人的私密信息被信息技术处理时所产生的合理隐私期待,其保护范围应由空间隐私转向场景隐私、形成“私人安宁+私密信息”的规范结构。个人信息权宜被理解为一种具有防范因自然人个人信息被非法处理而引发人格尊严、人格自由受侵害后所能获得法律保护的具体人格权。个人信息权的权能体系最为完整,包括信息保有权、信息自决权、信息获取权、信息修复权等方面。被遗忘权则是指信息主体要求信息处理者消除其非私密信息与其个人之间的可识别关系的权利,其具体形态是删除权,删除的对象是“不当的、不相关的、过时的”个人信息。上述各权利在规制对象上具有同质性——即为个人(自然人)与信息处理者之间在数智社会形成的一种持续性的信息不平等关系。厘清各信息性人格权的规范构造,有助于扩展人格权基本理论,完善人格权法制,预防智能算法的新兴人格权侵权风险,维系人们在智能社会中的主体性地位,促进人格自由发展的可持续性。