《肖像权保护和个人信息保护规则之冲突与消融.docx》由会员分享,可在线阅读,更多相关《肖像权保护和个人信息保护规则之冲突与消融.docx(10页珍藏版)》请在课桌文档上搜索。
1、肖像权房户和个人信息麟规则之冲突与崩!1一、问题的提出:规范评价之冲突肖像表现样态多样,在格式上包括可纳入自动化信息处理系统处理的电子化肖像与非电子化为像,后者如纸质版的素描、漫画、照片、剪影以及雕塑等。(1)民法典第1018条第2款:1肖像是通过影像、雕塑、绘画等方式在一定载体上所反映的特定自然人可以被识别的外部形象”需说明的是,肖像自然并非肖像权人的身体本身,肖像是附着于一定外部载体的个人外部形象。此外,2021年8月1日生效的最高人民法院关于审理使用人脸识别技术及理个人信息相关民事案件适用法律若干问题的规定(法释(2021)15号)对人脸识别技术”做了私法角度的规范。该司法解释将人脸识别
2、技术定义为对“人脸信息”的处理,并将人脸信息归入民法典第1034条的“生物识别信息。法律适用中值得辨析的问题是1人脸信息”和肖像之关系。一般说来,人脸识别技术提取的是面部特征,而非经典意义上的“肖像信息7参见欧盟基本权利局2019年11月发布的人脸识别技术:执法中的基本权利考虑.类似的,欧盟个人信息保护一般条例立法理由书第51条(欧盟条例开篇即称鉴于如下理由通过本条例二IM后在正式条文之前罗列了共173条理由,这些理由主要涉及欧盟条例具体条款的解释,因此可称为欧宣条例立法理由书。)中也简单区分了照片和人脸信息:“对照片的处理原则上不应视为对特殊类别的个人信息的处理,因为照片只有在通过特殊技术手
3、段处理,能够明确识别或认证自然人的情况下,才属于生物识别数据的定义范围。笔者初步认为,人胎信息和肖像并非完全一致,该司法解释和肖像权保护关系或者较为疏远,且笔者目前对于人脸识别技术仍有诸多盲区,于此文一并讨论恐力有不遂,故舍之。根据堪称史上最严格的个人信息保护法的欧盟个人信息保护一般条例(GeneralDataProtectionRegulation.以下简称“欧盟条例/2)国内多将其直译为欧盟通用数据保护条例,但是根据该条例第1条,其适用范围仅限于个人信息保护,不涉及自然人个人信息之外的其他数据,为了避免歧义,另为遵照汉语语序习惯,本文将其译为欧盟个人信息保护一般条例:第2条第1款,可全部或
4、部分以自动化方式处理的肖像信息,以及以非自动化方式处理但构成汇编系统一部分或旨在构成汇编系统一部分的肖像信息,皆适用该条例。不同的是,我国个人信息保护法第4条第2款(3)参见个人信息保护法第4条第2款:个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。就纳入该法调整范围的个人信息处理,对其处理的技术手段未加限定。因此,只要肖像充分个人信息保护法第4条第1款规定的“可识别性”要件,对肖像信息的处理皆受该法的规制。由上可知,民法典人格权编“肖像权”章所调整的肖像“制作、使用、公开、发表、复制、发行、出租、展览”等行为,无论涉及的是肖像权精神成分的保护,还是肖像权财产成分
5、的商业利用,皆构成个人信息保护法中的个人信息处理行为,也受该法的调整。然而,民法典肖像权保护规则和个人信息保护法的若干条文对肖像权或肖像信息的保护,在法律评价上并非完全一致。因此,对于非私人事务领域的肖像信息处理(4)私人事务肖像信息处理的规范适用问题,本文第二部分详述。或肖像权保护,二者可能存在法律适用上的冲突。比较法上,肖像权保护规则和个人信息保护法在肖像信息处理上的规范适用冲突,近年逐渐引起学者注意,成为个人信息保护法的新论题。例如,欧盟条例施行仅一年半后,德国就已经出现因欧盟条例和涉及肖像权保护的德国艺术和摄影作品著作权法(KUnStUrhebenechtsgesetz-KUG,以下简
6、称“KUG”)规范冲突引起的一系列裁判难题,法院第要决定究竟适用何者并给出理由C(5)Vgl.WiebkeReuterZJohannaSchwarz,DerUmgangmitPersonenbildnissennachInkrafttretenderDSGVO,ZUM2020,S.31.目前,欧盟法院层面上还未见解决二者规则冲突的案件。该规范冲突的化解问题,在德国法上预计将持续处于争议之中。(6)Vgl.ChristianSchertz,18DasRechtameigenenBildlin:UlrichLoewenheim(Hrsg.),HandbuchdesUrheberrechts,3.A
7、ufl.,2021,Rn.4-8.在我国,二者的规范冲突至少表现为如下四个方面:第一,肖像信息欠理的合法性判断冲突。并不是所有未经肖像权人同意的肖像利用行为均构成肖像权侵权,个案中的利益衡量是判断行为适法性的常用手段。相反,因个人信息保护法第13条对个人信息处理的合法理由作封闭列举,这些事由之外的肖像信息处理皆构成个人信息保护法上的违法行为,然而其在肖像权保护的评价上却可能被判定为合法行为。第二,肖像信息处理之同意的形式要求冲突。民法典对肖像权人允许他人制作和利用肖像之同意并无任何形式要求,该同意包括可推断之同意。个人信息保护法对于非敏感信息的处理要求明确同意,对于敏感信息的处理要求明确且单独
8、同意。二者显然不同。第三,反悔肖像(信息)使用许可的构成要件与法律效果冲突。对于有期限肖像许可使用合同,民法典第1022条第2款规定了肖像权人基于正当理由的法定解除权,且附加一定情形下的损害赔偿责任。根据个人信息保护法第15条,肖像权人拥有的是不问理由且无需承担赔偿责任的任意撤回肖像信息处理同意的权利。第四,肖像信息处理者所负担法定义务的冲突。根据个人信息保护法,信息处理者承担告知、捌除、提供复制品等义务,民法典肖像权保护规则并无此要求。至今我国学界似乎尚未关注到肖像权保护和个人信息保护法在规则适用上的冲突。个人信息保护法2021年11月1日生效,如何合理解决该规则冲突,对于该法融入现行私法秩
9、序,平衡个人信息保护和信息交流自由显然至关重要。本文论证脓络如下:首先,在宏观层面上,以缩减规范冲突之范围为目的,探讨个人信息保护法中私人事务例外规则的合理解释;其次,在微观层面上,就非私人事务的肖像信息处理,分析上述四项规范冲突的具体表现,并提出化解方案。二、宽松解释私人事务例外规则:缩小规范冲突范围和欧盟条例第2条笫2款C项(7)欧盟条例笫2条第2款C规定:本法不适用于自然人纯粹的个人或者家庭事务中的个人信息处理活动。”相较于个人信息保护法第72条第1款,在措辞上增加了“纯粹”(PUrely)一词。类似,个人信息保护法第72条第1款规定了,个人或者家庭事务”例外规则(以下简称私人事务例外规
10、则):自然人因个人或者家庭事务处理个人信息的,不适用本法。私人事务例外规则背后的理由在于“比例原则:自然人非商业目的的信息处理对于个人威胁较小,没必要将其置于个人信息保护法严格繁琐的保护之下。亦即,私人事务的肖像信息处理不在个人信息保护法规范范围之内,应由民法典中肖像权保护规则调整,在这一领域二者不发生规范冲突。然而,第72条第1款中的“个人或者家庭事务”并非内涵外延清晰的法学概念,如何划定其边界,既不使个人信息保护规则“脱靶,又避免个人信息保护规则不恰当越界,是值得研究的问题。对个人信息保护法和肖像权保护规则的规范竞合而言,若采严格解释立场,严格限定私人事务的范围,则个人信息保护法的适用范围
11、将更宽泛,与肖像权保护规则在调整范围上发生重叠的可能性增加。若采宽松解释立场,被排除出个人信息保护法适用范围的私人事务肖像信息处理情形将增加,二者发生规范竞合的可能性相应减少。欧盟裁判和学说一直奉行严格解释立场,没有将非职业或非商业目的的个人信息处理完全归入私人事务范畴。自“欧洲议会和欧里理事会1995年10月24日关于涉及个人数据处理的个人保护以及此类数据自由流通的指令工下文筒称“欧盟指令)第3条第2款第2项确立私人事务例外规则以来,何谓“个人的”和“家庭事务的个人信息处理,欧盟指令、现行欧盟条例和谯国联邦数据保护法均没有给出进一步的解释。根据欧盟条例立法理由书第18条,私人事务的个人信息处
12、理是自然人纯粹出千个人或者家庭事务之目的的行为,与职业行为和商业行为无关;例如,私人通信中对于个人信息的处理、私人通信地址的存储、社交场合信息处理以及网络上的信息处理行为,均可能属于个人或者家庭事务处理。欧盟条例的制定者显然试图通过清晰的例外规定,区别对待令人担忧的大规模个人信息商业欠理行为和构成私人表达自由的个人信息处理行为,从而平衡个人信息保护和信息交往自由,为私人信息交流自由留有恰当的空间。上述区分的主要判断标准仍是行为目的。然而,行为目的和个人信息滥用之可能性实际上并非完全直接相关,因而欧盟裁判以及德国学说逐渐搬弃绝对的目的论,从其他角度界定私人事务。欧盟裁判立场和德国通说往往以私人事
13、务和公开不相容”(8)VgLEUGHEuZW2004,245(249),Rn.47.为理论基础,对于网络上公开他人信息的行为,以及对于图像采集区域涉及公共领域的摄像头安装行为,无论其是否出于私人目的,统统排除出私人事务的范畴C2003年欧盟法院在LindqViSt案判决中认定,被告将他人的肖像信息和其他个人信息公布在任何人都可以登录的网络平台上,不构成私人事务个人信息处理。(9)Vgl.EuGHMMR2004,95(96).在著名的2014年住宅安装摄像头案”判决中,欧盟法院认为,自然人为保护自己以及家人的财产、健康和生命而在其家庭住宅上安装摄像设备,并存储被拍摄者的视频,因图像采集范围涉及公
14、共空间,这并不构成私人事务,该行为不排除欧盟指令的适用。(Io)VgI.EuGHUrt.v.11.12.2014-C-21213,NJW2015,463.和上述裁判立场一致,修国遹说采可控制”理论,以所涉个人信息之流向是否可控为判断标准,区分出威胁程度不同的信息处理行为,进而判断其是否属于私人事务。(11)意国法上为此发展出了纷繁复杂的多种多样的区分标准,具体参见SibylleGierschmannu.a.(Hrsg.),KommentarDatenschutz-Grundverordnung,2017,Art.2,Rn.25o根据该学说,出于私人交往目的,将他人个人信息置于非公众、而是有限数
15、量的人才能获取的场合中,则属于私人事务。不仅如此,信息获取者在身份上必须和信息处理者本人具有相当紧密之关系,比如二者是家庭成员或者朋友。(12)Vgl.PeterGola1in:PeterGola(Hrsg.),Datenschutz-GrundverordnungKommentar,2.Aufl.,2018,Art.2,Rn.25;SpirosSimitis,BundesdatenschutzgesetzKommentar,8.Aufl.,2014,Art.2,Rn29另外,如果在特定场合下个人信息存在被维续传递给第三人的可能性,则不属于私人事务。(13)参见同前注(11),SibyHeGi
16、erSChmann等编评注,第2条边码47。这一学说和欧洲议会在欧盟条例起草过程中的态度完全一致,印所谓的私人事务处理仅仅指的是可获取个人信息的受众范围数量有限的情形。(14)欧洲议会对于欧盟条例草案的意见第2条第2款D,VgLStandpunktdesEuropSischesPalarmentzumEntwurfderKommissionderDSGVOLegislativeEntschIieBungdesEPv.12.3.2014,COM(2012)0011-C7-00252012-2012/0011(COD).必须指出的是,上述对私人事务严格解痔的立场可能引发的繁琐严格的个人信息保护规则
17、对私人交往的干涉问题,L定程度上可以被欧盟条例第6条第1款f(15)参见欧盟条例第6条第1款f项规定:“只有在以下情况下,个人信息处理才是合法的:为了个人信息控制者或第三方所追求的合法利益,个人信息处理是必要的,除非其个人信息需获得保护的个人信息主体的利益或基本权利和自由优先于这些合法利益,特别是当个人信息主体是儿童时。的合法利益”条款消解。信息处理者若对于个人信息处理具有“合法利益”,则无需信息主体的同意,这种规范设计扩充了信息处理的合法理由清单,无异于在僵硬的个人信息保护规范中引入有弹性的价值衡量条款,使得至少在个人信息处理的合法理由上,特定情形的个人信息处理无需信息主体的同意。在前述住宅
18、安装摄像头案”中,欧盟法院在判决书中附带说明,虽然本案不属于私人事务,不排除欧盟指令的适用,但是摄像头安装人出于保护自身和家人人身和财产安全的目的安装摄像头的行为,构成了基于“合法利益”处理他人个人信息,因此无需征程被采集人的同意。(16)参见同前注(10).我国个人信息保护法第13条第1款之合法理由封闭清单并无类似欧盟条例“合法利益”条款的规范设计,在认定个人信息处理行为的合法性上并未留有容纳价值判断的弹性条款。如果在解释个人信息保护法第72条第1款私人事务例外规则时,参照上述比较法上的严格解释立场,尤其是将网络上公开他人信息的行为以及图像采集区域涉及公共领域的摄像头安装行为L概排除出私人事
19、务范畴,则不仅可能对私人交往目的之下的肖像收集和利用行为构成不当干涉,在法律适用上也将引发个人信息保护法和肖像权保护规则在这些行为上的规范竞合。个人信息保护法施行茵,对于在网络社交平台上公开他人个人信息(17)详见(2020)沪0106民初字第16166号判决书;(2020)粤06民终字第8613号判决书;(2020)x101民终字第8185号判决书:(2019)云01民终字第5310号判决书;(2019)京0108民初字第28025号判决书;(2020)沪01民终字第9141号判决书;(2019)浙01民终字第8923号判决书;(2019)浙01民终字第210号判决书。和图像采集范围涉及公共
20、领域的摄像头安装(18)详见(2020)沪0118民初字第15600号判决书;(2020)京0111民初字第12513号判决书;(2020)苏0724民初字第4284号判决书:(2020)京02民终字第1641号判决书;(2019)川民申字第4943号判决书:(2018)沪01民终字第257号判决书;(2018)京01民终字第488号判决书。这些纠纷类型,我国法院运用既有的人格权以及肖像权保护规则进行裁判,在结果上也并无不妥,未出现肖像个人信息保护不足的问题。因此,在个人信息保护法与民法典肖像权保护规则并行的法律架构下,应当宽松解释个人信息保护法第72条第1款私人事务例外规则。将自然人非商业、
21、非职业的个人信息处理行为,尤其是出于社会交往、言论表达以及维护自身权益等目的的个人信息处理行为,无论所涉个人信息是否被放置于人人皆可瞬间获取的公开场合,皆应当解释为自然人因个人或者家庭事务处理个人信息,排除个人信息保护法的适用,从而避免其与肖像权保护规则的规范党合。三、肖像信息处理合法性判断的冲突与消融(一)封闭列举合法事由与允许个案利益衡量以认定行为违法性的冲突和国际通行个人信息保护规则类似,我国个人信息保护法奉行“若无合法理由,原则上禁止个人信息处理的基本理念,即,原则上禁止肖像信息的收集,传播和公开,除非具备第13条封闭式列举的以同意为核心的合法理由。信息主体的同意在各国个人信息保护法的
22、合法理由清单中始终居于核心地位。因为,同意规则是个人信息自决权的真正体现,(19)Vgl.RonagelPritzmannGarstka,ModernisierungdesDatenschutzrechts,2016,S.7,72.信息主体据此得以控制自己个人信息的流向。申言之,在个人信息保护法架构中,若无对像权人的同意,只有具备第13条笫1款笫2项到第7项列举的合法理由,才能处理肖像信息,否则将构成违反个人信息保护法的违法行为,发生个人信息删除义务和损害赔偿等法律后果。此外,个人信息保护法不区分公众人物和非公众人物,不区分公开场合拍摄和非公开场合拍摄,不区分集体照片和个人肖像,不区分风景照和
23、个人肖像,只要符合个人信息保护法“可识别性”(直接或间接)标准,皆纳入保护范围。民法典第1019条规定肖像的制作、使用和公开需经肖像权人同意。同时,第1020条列举了五种无需肖像权人同意的肖像合理制作、使用和公开行为,以在保护肖像权与平衡社会公共利益之间进行平衡和协调。(20)参见黄薇主编:中华人民共和国民法典释义,法律出版社2020年版,第1887页。在肖像信息处理行为的合法性判断上,应当说,民法典与。个人信息保护法的法律评价大体上是保持一致的:其一,暂不考虑个人信息保护法对曲像信息苑理的同意在形式上可能存在特殊要求,(21)例如个人信息保护法第14条第1款规定的单独同意或者书面同意,第25
24、条、第26条、第29条、第39条规定的单独同意。合法的肖像制作、公开、使用或肖像信息处理均需要肖像权人同意;其二,民法典第1020条第2项、第3项、第5项与个人信息保护法第13条第1款笫3项、第4项、第5项文字表述虽然不完全一致,但所规定的情形基本相同;其三,民法典第1020条第1项、第4项规定的合理使用行为,有可能构成个人信息保护法第72条第1款规定的因个人或家庭事务处理个人信息,不适用个人信息保护法,因此,其行为违法性判断以民法典肖像权保护规则为准。个人信息保护法与民法典在肖像信息处理的合法性评价上,二者的明显差别在于,前者的第13条封闭列举个人信息处理的合法理由,凡此之外的肖像信息处理皆
25、违法;而后者对于未得到肖像权人同意,也不属于民法典第1020条规定的合理使用情形的肖像制作、公开、使用行为,并非一概认定为行为造法,而是允许在个案中粽合考虑相关因素以进行利益衡量。申言之,民法典第998条提供了个案利益衡量的规范基础,被认为是我国民法典采纳侵权法上的侵权行为动态系统论的法律规则.(22)参见最高人民法院民法典贯彻实施工作领导小组主编:中华人民共和国民法典人格权编理解与适用,人民法院出版社2020年版,第100页。该条规定:.认定行为人承担侵害除生命权、身体权和健康权外的人格权的民事责任,应当考虑行为人和受害人的职业、影晌范围、过错程度,以及行为的目的、方式、后果等因素。”解释上
26、,该条所谓认定行为承担民事责任应当逐项考虑因素是指,无论是关于责任构成,还是责任后果,都需要对这些因素进行统合衡量,(23)参见同前注(20).黄薇书,第1887页。以确定侵权责任是否成立以及责任后果。易言之,在侵权责任成立要件上,(24)有观点认为,对于民法典第1165条第1款的解释和适用,应当以要件的动态化为基础构建基础性评价框架。参见叶金强:民法典第1165条笫1款的展开路径,载法学2020年第9期,第36页。芽合考量这些因素进行利益衡量后,无论是将该因素用于认定侵权行为违法性构成要件还是用于认定侵权行为过错要件的成立与否,(25)参见程啸:侵权责任法(第三版),法律出版社2021年版,
27、第286页。均可能发生未经肖像权人同意也不符合肖像合理使用法定情形的肖像利用行为被认定为法律所允许,从而不构成侵权行为的利益衡量结果。由此,个人信息保护法和肖像权保护规则在对同一肖像利用行为合法性法律评价上发生规范冲突。实务上有两则例子可展现该规范冲突。其一,在车辆上安装的拍摄范围指向公共领域的行车记录仪,并不符合个人信息保护法第13条第1款第2项至第7项中任何一种情形,除非获得肖像权人的同意,否则构成违法处理个人信息的行为。但是,根据肖像权保护规则,在发生交通事故时,行车记录仪有勖于提供证据,安装者的此项利益显然不可忽视,因此,安装行车记录仪在个案中可能被允许。(26)比较法上,德国联邦最高
28、法院一直将行车记录仪的安装行为判定为合法行为。VgLBGHrt.v.15.5.2018-VIZR233/17,BeckRS2018,8602=NJW2018,2883.其二,在“贾桂花诉北京电影学院青年电影制片厂侵害肖像权案”(27)详见(1995)中民终字第797号民事裁定书。中,被告未经原告的同意,在电影中使用了公开场合拍摄到的原告在街头贩卖棉花糖的肖像,时长4秒。法院认为“采取偷拍暗摄以实现客观纪实效果的需要”是艺术创作的必要,“因此被使用的肖像不具有独立的经济和艺术价值,该肖像人物就不应享有禁止使用和索要肖像报酬的权利”,(28)同上注。被告之行为构成合理使用。若依个人信息保护法,本案
29、中被告之行为构成对原告肖像信息之处理行为,因其不符合个人信息保护法第13条第1款笫2项至笫7项任何一种情形,构成违法的肖像信息处理行为。(二)解决方案必须强调的是,个人信息保护法和民法典肖像权保护规则规范的并非同一事项,二者在法律适用上不当然适用新法优先于旧法以及特别法优先于一般法的原则,毋宁,应针对具体冲突事项结合立法目的及基本法律原则进行个别分析,以决定何者优先适用。民法典肖像权保护规则保护的是肖像上的人格利益,个人信息保护法旨在防止个人信息溢用导致信息主体遭受精神和财产损失,不以该个人信息上存在人格利益为前提。个人信息保护规则之于私权保护,犹如道路交遹通行规则之于遒路交通参与者的生命和财
30、产保护。犹如在对生命和财产威胁程度较大的道路交通领域引入交通规则,大数据时代背景下需引入严格的个人信息保护规则,以防止个人信息被过度收集和滥用,从而避免进一步的加害行为。亦即,对于私权保护而言,提前介入的个人信息保护法防止的仅仅是一种危险,而非对人格利益的现实加害或者威胁。同一事物同一评价,是为正义。为了保证肖像权保护规则与个人信息保护法在肖像使用行为的合法性上做出同样的法律评价,对于根据民法典笫998条经由利益衡量方法被认定为合法的肖像使用行为,在个人信息保护法上也应当承认所涉用像信息处理行为的合法性,即使其不具备个人信息保护法第13条第1款的合法处理理由。比较法上,法院在认定个人信息处理的
31、合法性时,并没有完全排除个案利益衡量方法的运用。德国具有里程碑意义的“网络评师案(29)BGHMMR2009,608m.Anm.Greve/SChQrdel-SPiCkmieh.de.即持这一裁判立场。该案涉及被告在某一著名网络论坛上评价原告(被告的老师)的教学水平。案件争议焦点在于,被告未经原告同意而在网站上公开原告的姓名、任职学校、教授课程、肖像等个人信息,这些不符合德国联邦数据保护法的行为是否构成对原告的一般人格权、隐私权和肖像权的侵犯,从而应该受到禁止。德国联邦最高法院意识到肖像权保护、一般人格权保护与个人信息保护规则的冲突,在适用德国联邦数据保护法相关条款时,从德国基本法第1条、第2
32、条和第5条出发,第一次创造性地在个人信息保护法的适用中引入利益衡量机制,对联邦数据保护法做了超出文义的解春:联邦数据保护法条款的具体适用必须平衡个人信息自决权和信息交流自由,原则上,后者优先;被告所做的评论和公开原告肖像的行为,仅仅涉及原告的职业行为,属于信息交流目由的一部分,应当被允许。本案中,德国联邦最高法院在系争纠纷存在规范适用冲突时,结合个案,衡量冲突利益,对于根据个案利益衡量没有被判定为违法的肖像使用行为,也承认其属于个人信息保护法意义上的合法处理行为。在我国,发某某与微播视界公司隐私权、个人信息权益网络侵权责任纠纷案”(30)详见(2019)京0491民初字第6694号判决书。是法
33、院通过利益衡量认定是否构成个人信息权益侵权的典型案例。该案涉及被告公司未经原告同意从第三人的手机通讯录读取原告的姓名、手机号这些个人信息是否侵犯其个人信息权益的问题。法院认为,对于姓名和手机号码的使用,会涉及手机用户、通讯录联系人以及互联网行业发展的不同利益需求的平衡,因此,应从姓名和手机号码信息的特点与属性、信息使用的方式和目的、对各方利益可能产生的影响三方面进行分析。法院结合案情分析认定,被告未经同意读取原告的手机号码属于对该信息的合理使用,不构成侵权,但被告将收集到的原告姓名及手机号码信息仍然存储于被告的后台系统中,超出必要限度,不属于合理使用,构成对原告该项个人信息权拉的侵害。该案判决
34、与前述德国联邦妓高法院判决均肯定个案利益衡量方法在认定是否构成个人信息权益侵权上的重要价值,其裁判思路值得赞同。根据个案利益衡量被认定为合理的肖像使用行为,应当认定为并未违反个人信息保护法。四、肖像信息处理之同意的形式要求冲突与消融(一)规则冲突性质上,民法典肖像权保护规则中的肖像权人的同意是一项需受领的意思表示,根据民法典第140条可以明示方式、默示方式.(31)我国法院也认可以默示方式作出的同意是合法有效的。叁见叶龙江诉云南长基房地产开发有限公司等肖像权案,(2008)昆民三终字箫941号判决书。或者在有法律规定、当事人约定或者符合当事人之间的交易习惯时也可以沉默方式作出。此外,此项同意可
35、以包含在合同中,无需单独作出,事后的同意亦可,且此项同意不因肖像类型不同而形式要求不同。与欧盟条例第7条(32)通说认为,欧盟条例中的同意是明确同意,并不包含可推断之同意。VgLEikeMichaelFrenzel,in:BorisPaaIZDanieIA.Pauly(Hrsg.),DS-GVOBDSG,2.Aufl.,2018,Art.6,Rn.11.及其立法理由书第32条立场一致,我国个人信息保护法第14条笫1款第1句规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。(33)网络安全法第22条第3款前半句规定:“网络产品、服务具有收集用户信息功能的,其提
36、供者应当向用户明示并取得同意。第41条第1款规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。其中,并没有要求“明确表示的同意:民法典第1035条也并未明确要求“同意需明示,学者认为,这说明了,个人信息处理中的同意不一定明示,默示的也可以。参见王利明:(民法典人格权编的立法亮点、特色与适用,栽法律适用2020年第17期,第14页。如果涉及私密肖像,可能构成个人信息保护法第28条之敏感信息,从而适用笫29条第1款,肖像信息处理所需同意乃单独同意。上述规定仅针对肖像信息的获取、处理和传递,若涉及公开,仍普
37、根据第25条获得信息主体的单独同意。另外,对于个人信息保护法而言,事后的同意不足以阻却之前信息处理的违法性。(34)Vgl.WolfgangDaubler,GlaserneBelegschaften,6.Aufl.,2015,4Rn.137;GregorThusingZJohannesTraut1in:GregorThusingu.a.,BeschaftigtendatenschutzundCompliance,2.Aufl.,2014,5Rn.6.个人信息保护法对同意形式的特殊要求还规定在第26条和第39条。亦即,规则之冲突集中在是否允许以可推断、沉默的方式作出同意,是否必须单独同意以及同意
38、是否必须事先作出。(二)解决方案笫L,在同意的形式要求上,一般来说应当优先适用个人信息保护法第25条、第26条、第29条和第39条对同意形式的特殊要求。就立法目的而言,制定个人信息保护法之初衷在于,肖像权、隐私权等人格权保护规则的保护力度或有所不足,需要引入整套前置的个人信息保护规则来对自然人的个人信息提供更加强大的法律保护。其中,对个人信息处理所需同意要求明示同意、单独同意或书面同意即属于此种强化保护的椅别规则。例如,个人信息保护法第25条规定“个人信息依理者不得公开其处理的个人信息,取得个人单独同意的除外,是为了强化个人对其个人信息的自决。该法第26条规定,在公共场所安装图像采集、个人身份
39、识别设备所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,除非取得个人单独同意。该规定是比例原则运用的结果,个人信息权益让位于维护公共安全的目的,但所收集的个人信息只能用于维护公共安全,因收集到的信息存在被滥用的可能,且所采集图像往往涉及多人同时出现的场景,因此,法律特别规定,所采集图像信息用于其他目的必须取得个人单独同意。关于敏感个人信息,因其泄露或者非法使用容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,具有较大的加害危险性,因此,该法第29条要求敏感个人信息的处理需要个人的单独同意。该法第39条规定个人信息处理者向中华人民共和国境外提供个人信息的,应
40、当取得个人的单独同意,是因为该提供信息行为可能给个人行使个人信息保护法第四章规定的个人在个人信息处理活动中的权利造成困难,还存在发生纠纷时的准据法确定及保护难度等问题。第二,除了遵守个人信息保护法第25条、笫26条、第29条和第39条所规定的同意形式特殊要求之外,对于其他肖像信息处理行为,满足民法典肖像权保护规则中的肖像权人同意的要求即可,即符合民法典第140条规定默示同意、以沉默方式作出同意以及事后同意均无不可。亦即,对于肖像信息处理行为,应当排除个人信息保护法第14条第1款第1句关于明示同意的规定的适用。首先,肖像个人信息处理上的个人同意,其核心在于个人自愿作出同意的表示,至于其形式上为明
41、示、默示或沉默,同意的时间为事前还是事后,对个人行使其个人信息权益无关紧要,不妨允许肖像权人自主决定。其次,比较法上,也有主张在涉及肖像信息处理的情形,应当挣除个人信息保护规则关于个人同意形式的规定之适用的案例,以协调肖像权保护与肖像信息保护规则之冲突,该立场可资赞同。例如,在德国“递烟的女招待案”(35)BGHNJW2015,1450=GRUR2015,295.中,原告作为香烟制造商的雇员,在一次名人聚会的活动中给客人送烟,这次聚会被录制为名为“彼国下一个超模”的电视节目,其中出现原告的镜头,原告要求删除。案子争议焦点在于,原告没有对在电视节目中公开其肖像作出任何符合镌国联邦数据保护法的明确
42、的同意,被告行为是否因此构成肖像权侵权。德国联邦最高法院认为,原告的确不是名人,但是这次活动有公开的利益,而且要求拍摄者在名人和非名人之间做区分是不可能的:既然原告出于工作的缘由参与某次事件,而且能够考虑到该事件可能会被拍摄,自然视为同意拍摄,也视为同意将拍摄影像公开,这里无需对肖像之公开作出特别的单独同意,雇佣合同中存在可推断的同意即可,从而,驳回了原告的停止侵害请求权。本案中德国联邦最高法院虽未论证KUG和德国联邦数据保护法的适用关系,但是在判决结果上,优先适用了KUG中并未对同意施加任何形式要件的立场。基于以上两点理由,为了消解与既有肖像权保护规则的冲突,个人信息保护法第14条第1款第1
43、句关于个人信息处理需要个人明示同意的规则,至少在肖像信息的处理情形,应对其进行限缩解释,排除该规则的适用。五、反悔权的冲突与消融(一)肖像权保护规则中的定期肖像许可使用合同解除规则在民法肖像权保护规则中,肖像使用同意之撤回始终是一个需要提供重大正当理由的例外,绝非仅系于肖像权人之恣意的单方权利Z民法典第1022条第2款参照德国法上的肖像权人撤回同意规则,第一次在实证法层面上引入了肖像权人基于正当理由对定期肖像许可使用合同的解除权。其规范意旨是,在肖像商业利用中应当加强对肖像权人人格尊严的保护,允许肖像权人基于正当理由反悔对他人的肖像使用许可。但是,正当理由应当与肖像权人的人格利益相关,亦即,继
44、续履行肖像权许可合同将会影响其人格尊严和自由,(36)参见同前注(22),晟商人民法院民法典贯彻实施工作领导小组书,笫260页。例如,在肖像权人外在的生活环境(37)VgLRolandRixecker1in:MunchenerKommentarzumBGB,8.Aufl.,2018,Anhangzu12DasAllgemeinePersonlichkeitsrecht,Rn.75.或者内心的观念发生改变(38)Vgl.Hll,DieEinwilligungbeimRechtameigenenBild,AfP1985,S.93,100.之情形,为了保护其特别的精神利益,停止使用该肖像是必要的。法
45、弹效果上,其一,解除通知生效后,作为持续性假务之肖像许可使用合同即向后发生终止效力,且根据民法典第566条第1款,属于根据合同性质无法恢焚原状之情形,不发生恢复原状义务。解除之前巳经届至之义务,根据第566条第1款,也无需履行。其二,民法典第1022条第2款第2句规定了合同解除后可归责于尚像权人情形的损害赔偿责任,但何为1可归责,损害赔偿范围如何确定,皆有进一步探讨的空间。有观点认为,和肖像权人无关的正当理由即不具有可归责性,且该损害赔偿在性质上是履行利益赔偿,否则既对相对人不公,也不足以填补相对人的损失。(39)参见同前注(22),最高人民法院民法典贯彻实施工作领导小组书,第261-262页
46、。无论学说上和司法裁判中如何把握正当理由和损害赔佳范围,肖像权人至少拥有的不是一项无需理由无需代价的任意解除权,这一法律构造和个人信息保护法中之撤回同意规则大异其趣。(二)个人信息保护法中的撤回同意规则依据个人信息保护法第15条第1款,信息主体拥有的是任意撤回权,可不问理由随时撤回同意。任意撤回权向耒是个人信息保护法制度中L项极为重要的原则。欧盟条例第7条第3款第1句承认了这一自欧盟指令以耒的长期法律立场。这被理解为个人信息自决权的当然之意:信息主体有权纠正之前的错误;大数据时代,一个时间和数量上没有限制的信息存储很有可能使个人人格剖面图全面展露无遗,信息主体显然无法在作出同意时预见未来所有的
47、情形,所以必须赋予其撤回权.(40)Vgl.BenediktBuchner,in:JiirgenKuhIingZBenediktBuchner(Hrsg.),DS-GVO/BDSG,2017,Art.6DS-GVO,Rn.1f.;Art.7,Rn.33.有观点认为,即使该同意是作为合同的对待给付作出的,也应当允许信息主体任意撤回。(41)Vgl.Specht.DatenalsGegenleistung-VerlangtdieDigitalisierungnacheinemneuenVertragstypus?,JZ2017,S.763ff.在法律效果上,其一,撤回同意不具有溯及力,之前的处理并
48、不会因撤回而不合法。撤回同意的,根据个人信息保护法笫47条,信息处理者应当主动删除其所存储的个人信息。其二,不仅如此,根据欧盟条例立法理由书第42条第5句,为了保障撤回权的实际效用,信息主体行使撤回权不能对自己产生消极影响,因此,即便撤回导致信息处理者财产损失,信息主体也无需承担损害赔偿责任。我国个人信息保护法对损害赔偿问题虽然未作规定,但基于撤回权规则的立法目的,应作与欧盟条例规定相同的法律解释。亦即,根据个人信息保护法,肖像权人可以不问理由地、随时地、毫无代价地撤回同意,且在撤回同意后有权请求肖像使用人停止处理并删除其肖像信息。(三)规则冲突个人以肖像使用许可合同方式授权他人使用其肖像的,应当解释为,该合同中关于同意他人使用肖像的约款同时构成个人信息保护法第13条第1款第1项规定的个人同意工因此,此时既存在肖像使用之“个人同意”的任意撤回问题,也存在基于正当理由的定期肖像许可使用合同解除问题。如肖像权人行使个人信息保护法上的同意撤回权,撤回同意将导致肖像使用许可合同不能实现合同目的,达到事实上行使反悔权的效果,姑且不论撤回同意后肖像权人是否构成违约、应否承担违约责任这些或许不无争议的问题。所以,关于对允许他人使用