论个人信息处理者的民事责任.docx

《论个人信息处理者的民事责任.docx》由会员分享，可在线阅读，更多相关《论个人信息处理者的民事责任.docx（10页珍藏版）》请在第一文库网上搜索。

1、论个人信息处理者的民事责任现代科技对人们的行为方式产生较大影响，有如波丝尼（Karl Polanyi）,格兰诺维特（MarkGranoVetter）的“嵌入理 论，科技正在以绝对强势地位嵌入、煎覆乃至重塑人类的行为模式。在经济迭代与规模化的平台经济出现以后，即便是 “原子化”的个体也别无选择，只能主动或（更多是）被动地卷入其中。尽管个体从事的活动各异，但却都存在自身信息被收 集、利用与存储等事实，如何保护此种处于“静态或动态1的个人信息以及如何规制信息相关主体的行为，成为信息时代 面临的一个宦要议题。根据谷歌书籍词频统计器（GoOgIe Book Ngram VieWer）显示，个人识别信息”

2、（PerSOnally identifiable information）自 1992 年开始就成为一个越耒越流行的术语。（I）PaUl M.Schwartz & Daniel J.Solove1 Reconciling Personal Information in the United States and European Union, 102 California Law Review 877, 887 （2014）.围绕个人信息是否具有可识别性二将个人信息与人、人格、财产等基本命题在事实上与逻辑上紧密联系起来， 并在相当程度上推动了世界范围内个人信息保护的立法热潮。中国近年来在制定或

3、修订相关法律之时都十分重视个人信息保护问题。（2）网络安全法电子商务法与消 费者权益保护法之中均有相关个人信息保护的规定。2020年5月通过的中华人民共和国民法典在人格权编中专 门规定了个人信息保护，首开世界范围内民法（典）或私法中特别规定个人信息保护之先河，此举在世界私法史上亦可图 可点。酝酿了若干年之后，2020年10月个人信息保护法（草案）的推出，更将中国的个人信息保护推至高潮。中国 的个人信息保护立法相较于世界其他国家和地区，所处时代背景与发展阶段皆不相同，因此所面临的难题与所要解决的 问题也不尽相同。尤其在“个人一个人信息处理者”之两造关系中，以“可识别性-为个人信息的核心构成，更使

4、得相对方主 体的一系列义务与保护的开关始终处于“打开”状态。（3）同前注（1） , PaUlM.Schwartz & DanieIJSoIOVe文。鉴此, 观察个人信息处理者的法律责任十分重要，此种法律责任，或可构迨为一定体系，或可在不同“横截面”构迨为一定“子体 系”，并在相当程度上成为完善个人信息权利体系之重要的“反作用力”，殊值重视。一、个人信息处理者的界定由个人信息的产生、传递与流动的本质特征所决定，与个体发生联系的若干主体可抽象概括为“信息控制者.与信 息处理者工世界范围内，隐私与个人信息立法以美国和欧盟为基础标杆，其他国家和地区分别在不同的法域之内紧跟或 对标相应立法。美国和欧盟二

5、者之问事实上也形成L种个人信息保护立法的竞争局面。而正如格林里夫教授（Graham GreenIeaf）所指出的，美国隐私法在世界上的影响力远不如欧洲数据隐私法的影响力，可以合理坨描述为“欧洲标准的数 据隐私法正在逐渐成为世界其他国家相关立法的标准。（4）Graham Greenleaf, The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108, 2 International Data Privacy Law 68, 77

6、 （2012）.中国作为深受大陆法系法律理论影响的国家，在个人信息保护立法的观念与制度上也一定程度上受到欧盟立法的 影响。然而吊诡的是，中国法恰恰在个人信息基本主体慨念上与欧盟颇为不同，民法典历次草案与正式文本以及个 人信息保护法（草案）中的个人信息相关主体的表述均不相同。对这一基础主体杨念的不断修改，反映出立法者对个人 信息欠理活动的认识不断加深并逐渐体现出立法的着重面向。然而，对于基本主体概念的规定，并非单一的法技术问题， 而关涉立法者对于社会事实的认识、对法观念的总结提炼以及能否实现立法的前瞻性等诸多问题，不能简单视之。既如 此，认识与界定个人信息处理者，是个人信息保护立法与解释的基础工

7、作之一。（一）信息控制者VS.信息处理者对于事物概念的确定，既是一个认识事物本质的过程，同时也是一个思维形成的过程。黑格尔在说明概念与事物 之间的关系时认为，“当我们要谈论事物时，我们就称它们的本性或本质为它们的概念，而概念只是为思维才有的”，我 们的思维必须依照就念而限制自己，而概念却不应依我们的任意或自由而调整（5）德黑格尔：逻辑学（上卷）,杨 一之译，商务印书馆1996年版，第1213页。在立法概念选择的时候，立法者依然面对如何认识事物和如何选择概念 的双重难题。中国的个人信息保护立法，也同样面临上述认识与选择的方法论难题。中国在制定民法典和个人信息保护 法(草案)的个人信息保护规则之时

8、，在法技术层面不同程度地借鉴欧美国家的经脸。然而，正如施瓦茨(PaUlM.Schwartz) 和索罗夫(DanieIJ.Solove)所言，“美国和欧盟在隐私法方面分歧很大。在基本层面，二者的基本理念哲学不同：在美国， 隐私法的重点是救济对消费者的损害以及平衡隐私与高效的商业交易之间的关系；在欧盟，隐私权被认为是一项基本权 利，可以凌驾于其他利益之上。甚至在确定信息立法调整范围的边界等问题上，美国和欧盟的做法也完全不同。个人信 息的存在通常被称为个人识别信息一触发了隐私法的适用。(6)同前注(1), PalJlM.Schwartz & Daniel JSoIove 文，第877页。美国关于隐私

9、权理论探索较早，对世界产生较大影响，如何界定个人信息，在美国法上经历过较为激烈 的讨论。主要通过三种方式界定个人信息，包括：同义反贪(tautological)、非公开(nonpublic)以及具体类型(SPeCifi(HyPeS)= (7)所谓“同义反复(tautological)的方式，主要是指美国隐私法通过简单地定义个人的”作为任何识别个人身份的信息的标 准，在表达上就是“个人信息是个人的信息”的一种同义反复，将其作为界定个人信息的方法，实际上在美国国内也遭受 到一定批评。同前注(1) , PaUlM.Schwartz & Daniel JSoIove文，第888页。后来经不断发展，美国

10、法上系将隐私 权与个人信息保护等统一归至隐私法这一笼统概念之中,与欧洲的人格权理论与个人信息保护理论的“二分法”截然不同。 相较美国法，欧盟立法相对更为清晰，这也就是为何欧盟的个人数据保护法更易于“输出1并成为较为通行的“世界标准” 的重要原因之一。从中国目前为于民法典个人信息保护的解择论和个人信息保护法(草案)的立法论角度来看，中国个人信息 保护立法一定程度上参考借签了欧盟相关立法，包括一些基本规则和权利义务体系等方面。然而，如本文所讨论的，实 证法恰恰并未将个人信息保护中涉及的关键主体信息控制者一这一概念纳入。事实上，信息控制者并非一个简单 的概念选择问题，也并非一个比较法意义上的形式上的

11、“规则借鉴问题，而是涉及对于个人信息保护活动通盘理解的问 题。“控制者”这一概念,主要应依循欧盟立法的脉络来理解。控制者(COntrOlIer)最早见诸于欧盟95/46/EC指令(1995 年10月)，后在欧盟2012年拟议的一般数据保护条例(GeneralDataProteCtionRegUIation,GDPR)以及2016年通 过的一般数据保护条例(GDPR)中延续使用。施瓦茨和索罗夫曾指出：“事实上，从欧盟95年指令开始，欧盟立法 就已经为数据主体提供了对于他们自身数据使用的一种控制权。(8)同前注(1) , Paul M.Schwartz & Daniel J.Solove 文，第8

12、83页Il而此处所谓的控制权，又与大陆法系典型国家的信息自决”理论紧密相联。德国基本法第2条第1 款确定了人格自由发展的权利。而个人信息对于人格构建和发展具有决定性的意义,信息自决”(informationelle SelbStbeStimmUng)则是实现对个人自由发展的重要方式。VgLChriStoPh Mallmann1 Datenschutz in Verwaltungsinformationssystemen, Munchen, 1976, S.54 ff.转引自谢远扬：信息论视角下个人信息的价值兼对隐私权保护模式的检讨，栽清华法学2015年第3期，第102-103页。此种信息自决观

13、念将个人信息与人格权有 效联系起来，并进而影响了个人信息保护的法律建构。信息自决”应有之意是个体能够决定自身信息的使用，即产生一种控制”。殊值辨识的是，以“信息自决”为出发点 的对个人信息的控制”并不等于封个人信息的1控制权，由于权利本身包含一种实践面向，而个人事实上无法享有对个人 信息的绝对性、排他性的(全程)控制权，因此前述施瓦茨和索罗夫的观点也有不周延之处。当然，他们时于欧盟个人信 息保护法的特征总体上有较好的把握与判断，这也就在相当程度上解释了，由于个人信息的产生、传递与流动等特征， 当信息流动到与个体相对的主体，并由该主体进行控制”之时，由于个体享有“信息自决而并未丧失自己对信息的“

14、延伸 控制控制理念贯穿始终。比如，个人享有知情权，即可以在一定程度上控制关于收集到的他们的数据的去向， (IO)Francoise Gilbert, A Birds-Eye View of Data Protection in Europe, 24 ABA GP Solo 31,32-35 (2007).个人信息保 护立法以“控制”为核心贯穿以个人信息为客体的一系列行为，当个人信息“脱逸”个体之后，能够控制信息的主体则是事实 上占有信息的“控制者工这也就是为何在欧盟一般数据保护条例中，信息控制者才是与个人直接相对的义务主体， 而并非信息处理者。而控制者的核心活动与其主要活动有关，而与作为辅助活

15、动的个人数据处理无关。在控制者客观控 制数据的基础上，又进一步发展出“目的限制”原则，允许控制者评估为最初收集数据的目的以外的其他目的处理个人数 据是否享有这样的依据，而这种依据并非基于法律或数据主体的同意。（11）W.Gregory Voss, European Union Data Privacy Law Reform: General Data Protection Regulation, Privacy Shield, and the Right to Delisting, 72 The Business Lawyer 221,224（2017）.在欧盟法的脉络下，信息控制者的概念绝非

16、仅依立法而产生，而系与欧洲法长期关注与持续发展人格自由、信息 自决等法思想、法理念紧密相关。信息处理者则是为了数据控制者而处理个人数据的主体，其行为与活动虽然具有相对 独立性，也并非控制者的附庸，但在地位与角色上确实无法与控制者相提并论.二者的关系既反映出欧盟法的特色，同 时也体现出个人信息活动本身的核心特征反观中国法，遗惕的是，信息控制者”这一概念在民法典制定过程中仅昙 花一现，最终并未进入正式文本之中，这就有必要在中国法的“偶然与“必然之中进一步解释个人信息处理者的内涵， 及其所辐射的制度脉络以及所反映的制度意旨。（二）中国立法演进中的“个人信息处理者”黑格尔认为，考察存在和本质的客观逻辑，真正构成了概念发生史的展示。（12）参见德黑格尔：逻辑学（下卷）, 杨一之译，商务印书馆1976年版，第240页。客观而言，中国确实不存在如欧洲国