原标题:个人信息等人格利益刑民保护与规制展望
编者按2020年3月,民法典草案将提请十三届全国人大三次会议审议。当前民法典草案各编中,总则编、物权编、合同编、婚姻家庭编、继承编、侵权责任编等都是在原有立法基础上的编纂完善,只有人格权编是全新立法,人格权的独立成编是我国民法典编纂的一大亮点。人格权立法对于司法办案有何影响,人格利益特别是个人信息的刑事、民事保护如何进行,本期“观点·专题”邀请学界与实务专家进行探讨,敬请关注。
王利明
周光权
王玄玮
“观点·专题”研讨嘉宾:
◇王利明中国民法学研究会会长、中国人民大学常务副校长、教授
◇周光权清华大学法学院教授
◇王玄玮云南省人民检察院第六检察部副主任、全国检察业务专家
“观点·专题”主持人:
◇检察日报社理论部编辑龚云飞
人格利益许可利用规则蕴含五大价值
王利明
随着经济社会的发展,人格利益的利用现象日益广泛,某些人格权尤其是标表性的人格权本身具有一定的可利用价值。例如,个人的姓名、肖像、声音以及法人的名称等,具有一定的经济价值,可以成为经济利用的对象。尤其是在现代信息社会,个人信息不仅强调保护,而且强调利用。侵害这些人格权,不仅造成受害人精神损害,还可能造成受害人财产损害,我国侵权责任法第20条已经对此作出了规定。
从我国立法来看,民法通则第100条实际上已经承认了肖像权的利用,第99条规定了企业法人、个体工商户、个人合伙可转让其名称的权利。民法典草案沿袭了这一立法经验,对人格利益的经济利用规则作出了规定,草案通过后,将为人格利益的经济利用提供明确法律依据。草案在一般规定中首先规定了人格权的利用规则,草案第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”草案第1022条规定了肖像许可使用的期限,肖像许可使用合同的解除,该条实际上是赋予了在未约定许可使用期限的情形下,肖像权人任意解除肖像权许可使用合同的权利,这实际上也体现了当人格权和财产权发生冲突时应当向人格权保护倾斜的精神。同时,第1023条第1款规定:“对姓名等的许可适用,参照适用肖像许可使用的有关规定。”这就意味着草案关于肖像权许可使用的规则不是仅仅使用肖像,而实际上为人格权的许可使用确定了一般性的规则,从而弥补了我国现行立法在这方面规定的不足。
规定人格利益许可使用的规则主要具有如下价值意义:
第一,有利于回应社会发展需求。传统社会中,社会形态比较简单,人格权更为注重保护;随着社会的发展,肖像、声音、个人信息等的利用层面凸显出来,各种利用现象层出,尤其是个人信息的利用十分普遍,草案中关于人格利益许可利用的规定协调了个人信息保护与利用关系,有利于我国数据产业的发展和国家整体战略的推进。十九届四中全会决议中提到:建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则。推进数字政府建设,加强数据有序共享,依法保护个人信息。如果人格权中取消了人格利益的许可利用规则,那么个人信息的利用就缺乏法律依据,数据产业如何能够发展?目前理论研究以及司法实务对于肖像权、姓名权等的可许可化利用基本已经存在共识,此外,诸如隐私等人格权能否进行许可化利用也存在可讨论空间,草案的这一规定对于该制度的未来发展具有非常正面的价值。
第二,有利于保护个人人格尊严。利用和保护并非截然对立的两个层面,人格尊严也包括对人格利益通过自己的意志自主利用,他人不得未经许可而利用,这本身就是保护人格尊严的重要方式。同时草案也基于人格尊严保护的要求,规定了不得利用的情形,这为利用设置了界限,更有利于推进对人格尊严的保护,避免因利用而损害人格尊严。在利用中,涉及到人格利益和财产利益的冲突,尤其在解释、解除等问题上,目前草案人格权编对此作出特殊规定,更有利于在人格利益和财产利益的冲突中,注重对于人格利益的保护。因此,该规定能够更好地实现保护人格尊严的宪法要求。换言之,人格权的许可利用虽然属于商品化利用,但其并不会有损个人尊严,相反,这恰恰是对个人自由的尊重,是对私法自治的尊重,只要这种许可利用本身不违反社会的善良风俗与公共道德,就是值得肯定的,是对尊严的最大尊重。
第三,有利于协调对个人信息的保护与利用的关系。由于个人信息等人格利益具有极高的利用价值,所以法律有必要鼓励对个人信息的利用。但在大数据时代,数据开发和利用也会给个人信息保护带来巨大威胁,尤其是在数据开发、数据流通、数据共享过程中,个人信息泄露的现象频频发生。因此各国都普遍地寻求数据流通和人格权保护之间的平衡。美国传统上更注重个人信息利用,以促进数据产业的发展,而欧盟更注重个人信息保护。但现在出现了共同的趋势,即在数据的开发、共享中,普遍重视对个人信息的保护。因此,人格权编既要重视对个人信息等人格利益的保护,同时也要注重对个人信息的利用,两者应当实现有效的平衡,无论只强调哪一个方面,都是不妥当的。因此,在规定个人信息等人格权益的保护同时,应当通过许可利用制度,来鼓励对个人信息等人格利益的利用,从而有效实现保护与利用之间的平衡。
第四,有利于增强民法典的体系性。目前人格权编对于利用的正当规定无法在合同编中予以实现,合同编中典型合同不可能容纳人格权许可利用合同,尤其是合同编的规定主要是财产权的流转与使用规则,不宜完全适用于人格权的许可使用,因此,有必要在人格权编中对人格权的许可利用规则作出规定,以体现该问题与人格尊严的价值关联性。与此同时,肖像权制度中的人格权许可利用规则,也为姓名、名称等其他本身允许商业化利用人格权的许可利用提供了参考依据,丰富和完善了人格权法的内部体系。换言之,民法典人格权编的草案中关于人格权许可利用规则的规定,既丰富和完善了人格权法内部的体系化,也使得民法典各分编之间实现了体系上的协调。
第五,有利于为司法实务提供裁判指引。我国关于利用的司法案例是非常多的,草案的规定总结了司法案例中裁判立场,是对司法实践经验的总结,是对中国司法智慧的尊重,对法院处理有关人格权许可使用合同纠纷提供了法律依据。
此外,人格利益的经济利用是比较法上形成的共识。在欧洲称为人格权的商业化利用,商事人格权或“形象代言人权利”,在美国称之为公开权或者形象权。德国法通过案例的方式,将对人格利益的利用问题纳入人格权的保护,美国法将人格权的商业化权利作为独立权利之一,从而形成了两种不同的人格利益利用方式。尽管存在形式上的不同,但共同的核心是承认并保护人格益的利用,注重协调人格利益和财产利益的平衡。
总之,人格利益的许可使用极其重要,不仅不能删除,而且应当进一步丰富其内容,这代表着人格权法最新发展趋势,是对现实生活的积极回应与尊重。
侵犯公民个人信息与妥当的刑罚处罚
周光权
民法典人格权编草案明确保护公民的个人信息,其中规定个人信息是以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。草案还规定信息收集人、持有人不得泄露、篡改、毁损其收集、存储的个人信息;未经被收集者同意,不得向他人提供个人信息。此外,草案进一步要求信息收集人、持有人应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当及时采取补救措施并告知被收集者。由此可见,民法典人格权编对个人信息权的保护是非常周延的。
刑法作为“最后手段”和“二次性法”,必须为民事权利的实现提供最为有力的保障。我国刑法第253条之一第1款规定了侵犯公民个人信息罪,凡违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为即构成本罪。在实务中,对于大量非法出售、非法提供公民个人手机号、身份证号、居住地址,以及通过GPS定位非法获取并提供公民行踪信息的行为予以定罪处罚。在这些案件中,大多属于情节恶劣的情形,确实需要予以严厉打击,司法机关的裁判有效地震慑了犯罪。不过,和公民的“体感治安”相比较,目前对侵犯个人信息犯罪的打击力度还远远不够,刑法对公民个人信息权所提供的仅仅是“低水平”的保障,目前还有大量侵犯公民个人信息的犯罪活动由于单个被害人举报的积极性不高、证明被告人情节严重的证据难以收集和固定、犯罪集团化增加了侦破难度等原因没有得到应有刑罚处罚。
不过,另一侧面的问题也值得关注:在具体司法活动中,如何把案件办成“铁案”——准确理解侵犯公民个人信息罪的保护法益,不搞打击扩大化,实现刑法谦抑性也是当下司法活动中需要关注的。这是刑法谦抑性的题中之义,即刑罚作为最严厉的处罚手段,必须在其他制裁手段的处罚力度明显不充分时,才能加以使用。
目前具有“类案”性质的情形是:处于下游的乙公司涉嫌在无授权的情况下,利用数据接口产品与终端不法互联网公司丙签订销售合同,从中赚取差价,以及非法缓存海量公民个人信息(包括公民姓名、身份证号、地址、电话以及信用积分等),然后予以出售或非法提供,或为他人非法提供身份证返照查询业务数千万次,导致公民个人信息大多流向网络小贷公司,为其拉客户,或者帮助其进行小额贷款并实施“软暴力”催收。对于这些非法缓存然后提供、出售公民个人信息的下游公司以侵犯公民个人信息定罪量刑,我认为基本不存在疑问。
但目前在实务中值得讨论的问题是:甲公司作为乙公司的上游公司,如果其所掌握的所有个人信息来源合法,且在与乙公司签订《公民身份信息识别认证服务协议》时对乙的义务有所约束,其是否也构成侵犯公民个人信息罪?这就涉及到对侵犯公民个人信息罪保护法益的判断,以及对行为性质、犯罪故意的准确认定等问题。而在当前的办案实践中,对于处于甲公司地位的法人,也有被以本罪追究刑事责任的情形,这说明类似问题很有讨论价值。
首先,侵犯公民个人信息罪的保护法益是公民的个人信息权。虽然本罪规定了“违反国家有关规定”,但是,从侵犯公民个人信息罪的条文设置以及相关司法解释、行政法规的规定来看,本罪的主要保护法益仍然是公民的个人法益。因为其被设置于刑法分则第四章的“侵犯公民人身权利、民主权利罪”一章中,从体系解释的角度来看,本罪作为刑法第253条之一,其保护法益应与“私自开拆、隐匿、毁弃邮件、电报罪”相协调,将公民的个人法益作为本罪的主要保护法益。
如果将本罪的法益解释为公民的个人信息权,再结合人格权法草案关于征得自然人或者其监护人同意可以收集、使用自然人个人信息的规定,就可以认为在被害人承诺的情形下,法益的“要保护性”不存在。与这一理解相同的是《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)第3条第2款的规定,即“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’”。另外,网络安全法第42条第1款也规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”上述规定都充分说明,侵犯公民个人信息罪的成立关键在于“是否未经或者违背了被收集者的同意”,如果是经过被收集者同意的信息获取行为,就可以认为至少存在被害人同意(承诺),自然也就不是该罪所规制的行为类型。因此,侵犯公民个人信息罪的主要保护法益是公民对其信息的个人法益,虽然也会涉及国家对个人信息的管理秩序,但其只是本罪的次要保护法益。在公民的个人法益没有被侵犯的情况下,即便违法了相关规定,也不能构成本罪。
其次,上游公司甲公司的行为没有违反被收集者的同意,也尽到了其应尽的审查义务,不存在客观上的侵权行为。在前面提到的实际案件中,作为上游的甲公司的行为没有违反被收集者的个人同意,同时尽到了其必要的审查义务,不应当成立本罪。根据甲公司与官方授权的公民身份证号码查询服务中心签订的《公民身份认证服务合同》与《公民身份信息认证服务补充合同》,甲公司可在互联网App发布行业、网络直播行业、互联网短租房行业、网络众包寄递行业、手机游戏玩家认证和管制刀具销售登记范围内提供公民个人信息服务;而甲公司与某行政机关(有权依法获得公民个人信息)签订的《公民身份信息认证服务合作合同》《居民身份证网上应用项目认证应用和认证服务合作协议》等协议也证明,甲公司的服务范围涵盖了互联网金融和电信运营商等行业。因此,甲公司获取、提供公民个人信息的行为均为与前述(合法取得公民信息的)行政机关订立合同的合法行为。
最后,公司连监督过失都不存在,更不要说存在本罪故意。甲公司确已尽到了对下游公司的形式审查义务,其不应对下游公司可能涉嫌的侵犯公民个人信息行为负责。甲公司与下游公司签订的《公民身份信息识别认证服务协议》中均约定对方“不得将认证结果下载、保存、打印”,并设置了下游公司缴纳保证金的制度予以约束。
必须承认,需要法律加以保护的社会利益是多元的,其保护手段也是多方面的,刑法并没有保护所有社会利益的功能与效力,刑罚手段具有局限性。对于侵犯公民个人信息而言,刑法的惩罚和人格权法的保护之间形成合力是最为重要的,在运用人格权法予以保护即为已足的场合,刑法并不需要出面。换言之,在实务中,并不是定罪越多越好,而是处罚越妥当越好。
人格权立法对司法办案的推动
王玄玮
2020年3月,十三届全国人大三次会议将对民法典草案进行审议。法学界普遍认为,人格权独立成编是我国民法典编纂工作的一大亮点,也是我国民法典立法体系的重大创新。作为一名检察工作者,笔者除了关注人格权编的学术意义,同样关注它对司法工作和检察办案带来的重大影响。
人格权内容体系逐步走向完善。在民法通则中,我国民法的调整对象是平等主体之间的财产关系和人身关系。2017年实施的民法总则改变了调整对象的表述顺序,首次将人身关系置于财产关系之前;在“民事权利”一章,将人身权利列于物权、债权、知识产权等其他财产性权利之前。第109条规定“自然人的人身自由、人格尊严受法律保护”,这是我国民事法律首次明确如此规定。这些变化,表明了我国民法以人为本的价值理念。民法典草案人格权单独成编,又将人格权从人身权中凸显出来,体现了人格尊严在权利体系中的重要独立价值。人格权到底包括哪些权利?过去没有专门立法,人格权利内容散见于各种法律法规,人格权内涵与外延均不明确。人格权编二审稿中,也缺乏一个统领性的概念,只在各章中分别进行权利内容的规定。而在近日中国人大网上公布的民法典草案征求意见稿中,第990条列举性规定“人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利”,同时第二款还兜底性规定,“除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益”,这是人格权立法上的重大进步。逐步完善的人格权内容体系,为司法机关今后在诉讼中依法保护民事主体人格权奠定了良好基础。
在人格权编各章中,各类人格权具体权利内容进一步充实和明确,其中不乏各种新兴权利。如在身体权中,规定了性骚扰的民事责任和单位的预防职责;在姓名权中,纳入了具有一定社会知名度的笔名、艺名和网名进行保护;在肖像权部分,增加了对自然人声音的保护,允许适用肖像权保护的规定;在隐私权部分,将保护内容在二审稿规定基础上,增加了“电子邮箱地址、行踪信息”等。与规制“基因编辑”行为相关,此次民法典草案人格权编中,也明确规定从事与人体基因、人体胚胎等有关的医学和科研活动应当遵守法律,以及不得危害人体健康、不得违背伦理道德、不得损害公共利益的“三不”原则。人格权与时俱进的规定,为今后司法诉讼和检察办案提供了明确的依据。
隐私权和个人信息保护力度加大。进入大数据时代,人们享受着信息网络带来的方便,也同时为无处不在的个人信息泄露和隐私被侵犯而担忧。注册手机App用户,担心个人信息被过度采集;到酒店住宿,担心被针孔摄像机偷拍;在网络媒体发表言论,担心被网友“人肉搜索”。更有甚者,个人信息在网络上竟公开打包售卖。2016年发生的“徐玉玉案”,就是不法分子利用购买到的个人信息实施“精准诈骗”,酿成了被害人忧愤而亡的悲剧。
这次民法典草案人格权编中,对隐私权和个人信息的保护可谓浓墨重彩。一是明确了“隐私”的内涵。草案第1032条规定:隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。这是我国法律首次对“隐私”概念作出明确规定。过去我国民法没有把隐私权作为一项独立的人格权,只是通过保护名誉权的方式间接进行保护,这是巨大的进步。二是规定了诉前禁令制度。在2014年震惊全国的“钱钟书书信手稿拍卖”侵权一案中,原告杨绛先生曾经委托代理人向法院成功申请过诉前禁令,这是全国法院首例涉及著作权和隐私权的临时禁令案。诉前禁令制度在人格权编中被吸纳,对人格权保护可谓意义重大。三是明确了个人信息的采集原则,即遵循合法、正当、必要原则,并须征得权利人同意,明示收集信息的目的、方式和范围,并不得违反法律规定和双方约定。四是明确了个人信息收集者、控制者的法律责任。虽然刑法规定了侵犯公民个人信息罪,但在司法实践中存在保护范围较窄、个人信息规定不明、量刑偏轻等不足之处。人格权编中要求信息收集者、控制者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、丢失,进一步筑起了隐私权和个人信息保护的安全屏障。这些保护措施和相关规定,为司法、检察机关对人格权进行保护提供了有力保障。
精神损害赔偿的适用范围有所扩大。在人格权益保护的司法实践中,争议最大的是,刑事附带民事诉讼是否可以适用精神损害赔偿?肯定者认为,刑罚体现的是维护社会秩序的公法价值,犯罪行为给刑事受害人带来的个体损害并未经由刑罚获得补偿。传统上,最高人民法院对此问题持否定立场。在2000年发布的《关于刑事附带民事诉讼范围问题的规定》中,就规定过“对于被害人因犯罪行为遭受精神损失而提起附带民事诉讼的,人民法院不予受理”。2012年关于适用刑事诉讼法的司法解释中,最高人民法院继续将刑事附带民事诉讼的适用范围限定为被害人“遭受物质损失”。
司法机关的立场调整,离不开民事立法的持续推动。在2009年颁布的侵权责任法中,第22条规定“侵害他人人身权益,造成他人严重精神损害的,被侵权人可以请求精神损害赔偿”。有观点认为,刑事犯罪比一般侵权行为对他人造成精神损害的严重程度更大,举轻以明重,严重侵害人身权益的犯罪行为更应当支持精神损害赔偿。在2017年民法总则中,先人后物、人胜于物的权利排列顺序凸显了民事主体人格权益的保障要求。人格权编第996条明确规定“因当事人一方的违约行为,损害对方人格权并造成严重精神损害,受损害方选择请求其承担违约责任的,不影响受损害方请求精神损害赔偿”。据此规定,既然承担违约责任不影响受损害方请求精神损害赔偿,行为人承担刑事责任是否同样也不应当影响受损害方请求精神损害赔偿?这些立法趋势的变动,必将推动司法机关在司法实践中更好地保护民事主体人格权益。