另外,我国立法者受制于现有立法与司法体制,只能在宪法第51条的指引下通过制定与实施民法规范来调和题中的冲突。而正如洛克所言,法律消弭自由之间纷争最有效的手段在于划定它们的边界。[34]按照大陆法系国家(包括我国)的传统思维,对自由标界最常用的方式是以法定手段使保护它的民事权利的诸要素—主体、客体与内容等变得明确与具体。既然信息自由权无法被确立于民法规范之中,我们应当着重构造个人信息权制度。诚如王泽鉴先生所言,当某种法益在现实生活中具有相当程度的重要性时,“或直接经由立法,或间接经由判例学说被赋予法律效力,使其成为权利”。[35]从关于适用民法通则的司法解释可以看出,我国现在仅对部分涉及隐私的个人信息作为一种法益来保护。[36]考虑到个人信息作为一种独立的人格利益在今后日渐凸显的重要地位,同时考虑到我国多年来对人格权立法保护模式的路径依赖,立法者应当将个人信息上升为一种独立的具体人格权—即个人信息权的客体,在民法规范中设置对该权利的保护规则,将它的要素清晰地展示出来。如此裁判者方能根据个人信息权的界标,去认定与制止个人信息处理人对本人人格利益的侵害,对后者以行使权利为名不当干涉信息自由的行为亦然。同时,这是一种通过法权模式对个人信息及本人人格利益加以保护的进路,它使得个人信息权独立于其他具体人格权的品格在立法中得到承认与体现,有利于实现我国人格权概念、理论与制度体系的有序与和谐,这在已将个人信息民法保护工作提上日程的当今,无疑更具有现实意义。[37]
(二)界定个人信息权的要素
个人信息权的主体—自然人。个人信息权的主体即个人信息本人,它当然地包括了自然人,但对法人等社会组织是否属于权利主体范畴的问题,学界看法莫衷一是,对此笔者持否定观点。[38]因为一方面,个人信息权被设立的宪法依据是作为古典基本权利(或者自然权利)的人格尊严与自由权。自然权利以人性论与天赋人权理论为思想基础,从主要意义上说,它旨在实现与维护“个人”人格的独立和健全以及精神的自主,所保护的是为自然人与生俱来并不能移转的生命、人身与自由等利益。而法人与其他社会组织受限于其目的范围(或者经营范围),不能享有这些利益;另一方面,如果社会组织的专有信息(主要由商业秘密以及表明该组织身份的信息等)作为个人信息受到保护,该组织即得以行使个人信息权为名对抗他人收集、存储与利用相关信息的请求,从而正如我国一位台湾学者所担忧的那样,使民众从“合法与公开管道获得这些资讯的空间变得狭小”,进而妨碍了信息自由的实现。[39]因此从利益衡量的角度而言,可行的做法应当是对这些信息适用反不正当竞争法与企业的登记法规加以保护,并以与这些法规相关的价值尺度平衡信息持有人与处理人之间的利益;此外,世界主流国家与地区均将个人信息权的主体限定于自然人。经济合作和发展组织(OECD) 1980年关于个人数据保护与跨界流动的指导方针1(b)将个人信息权的主体表述为“个体”(indi-viduals),欧盟1995年个人数据保护指令更是直接用“自然人”(natural person)界定权利主体的范围,此外德国(2003年联邦数据保护法第3节)、英国(1998年数据保护法第1条)以及法国(2004年个人数据保护法第2条)等对个人信息加以立法保护的主要国家也做了相同规定。
个人信息权的客体—已被存储的个人信息。换言之,未通过载体形式固定与显现(此即“存储”的含义)的个人信息不受保护。这在与本文论题涉及的语境中也是权衡冲突利益的结果。恰如德国学者卡尔·拉伦茨所言,立法者与裁判者应当根据具体情况对彼此冲突的法益赋予相应的“重要性”,从而进行权重与取舍。[40]个人信息本人的人格利益主要表现为决定是否以及如何对其个人信息处理、对主体处理信息的情况进行查询以及请求维护信息的完整与正确状态等。在个人信息未被存储的情况下,上述要求很难得到满足,从而本人人格利益赖以维系的基础甚微;同时从信息收集与传输者立场观之,如果将任何在公开渠道流通的信息都纳入权利保护对象,则其在收集、利用与传输任何与本人有关的信息时,(至少原则上)必须经过后者的同意并时时被其掣肘,这势必导致信息自由被阻碍甚至禁锢的局面。总之我们在对两者利益进行权衡后会发现,在个人信息尚未被存储时,其本人的人格利益远远小于信息处理人的利益。此外,这一限制性做法已经得到了国内外立法界的一致认可。我国台湾地区“电脑处理个人资料保护法”第2条明确规定受保护的个人资料是指“储存於电磁纪录物或其他类似媒体之个人资料之集合”;而法国2004年《个人数据保护法》第2条规定,该法关于个人数据保护的规则仅适用于处于“存档系统”中的数据;此外我国香港1996年《个人数据保护条例》第2条英国《1998年数据保护法》第1条也做了同样限制。
