按照欧盟《指令》,无论是进入权、知情权,还是反对权等,都是消极性的人格权,即个人对其信息只享有人格权而不享有积极性的财产权。在此立法下,个人如果要行使自己的这些权利,在逻辑上必须以其知道自己的个人信息何时、何地被何人搜集、存储、加工和使用为条件。如果这个条件不具备,立法所规定的个人权利就会流于形式而根本无法实现。显然,面临无处不在、无时不有的秘密信息搜集、加工、传播和使用行为,《指令》给予个人的这些权利基本上无法实现。实际上,《指令》所规定的这些权利只能适用于20世纪70年代极少数公共机构和大型企业收集、加工和使用个人信息的非网络时代,而根本无法有效地适用于当今高度发达的网络时代。尽管欧盟各国在自己的立法中广泛对非法搜集、加工和使用个人信息的行为实施行政和刑事制裁,但是,如果由信息所有人举报才能将这些措施辅助实施的话,那么,由于个人很难发现这些非法搜集、加工和使用个人信息行为而落空;如果是由执法机关主动执法查处的话,那么,其执法成本将是巨大的,其效果也将非常不理想。由此,《指令》所赋予信息所有人的权利仅仅具有形式意义。
同时,由于个人信息已经越来越成为重要的商品,而在此立法模式下,法律拒绝承认个人对其信息商业价值的支配权,因此,个人信息的商业价值在事实上几乎完全被商家独占。这样,对于那些未经许可擅自收集、加工、使用或买卖个人隐私而牟利的商家而言,就不需要承担较大的风险成本;即使被发现和提起诉讼,按照《指令》的规定,一般只承担停止侵害、赔礼道歉等比较轻微的非财产责任形式;即使是抚慰精神损害,通常需要由受害人承担具体的证明责任,而且,这种损害赔偿的数额相对于商家所获得的利润往往是很小的,由此,这种立法在客观上就会纵容隐私侵权行为,从而不利于其保护隐私权之立法宗旨。
……
展开
——北京大学法学院教授 贺卫方