个人信息权的体系化解释
2022-05-24汪庆华
文/汪庆华
(作者系北京师范大学法学院教授;摘自《环球法律评论》2022年第1期;原题为《个人信息权的体系化解释——兼论〈个人信息保护法〉的公法属性》)
《个人信息保护法》通过前,我国学界就个人信息保护达成了广泛的共识,但在具体的进路上存在一定的分歧。一部分学者主张采取私法的模式,另有学者主张采取公法的模式,也有学者倡导公私法共同协力的综合进路。持私法保护进路的学者或主张将个人信息保护置于一般人格权之下,或认同个人信息商品化的实践将个人信息财产权化,在救济方式上采取侵权救济的模式。持公法保护模式的学者认为,个人信息保护的私法模式存在困境,需借助公法机制才能够超越。基于公法视野的个人信息权利,在救济模式上可以采取多元化的方式,在个案侵权救济之外,更需要结合风险规制的手段,综合采取行政执法、公益诉讼等其他方式。
个人信息权的宪法规范基础
第十三届全国人大常委会第三十次会议于2021年8月20日通过《个人信息保护法》,对上述个人信息保护模式的争论进行回应。《个人信息保护法》第一条规定,“根据宪法,制定本法。”《个人信息保护法》的法源在于《宪法》,并不在于《民法典》。《个人信息保护法》的宪法规范基础在人权条款、人格尊严条款以及通信自由和通信秘密条款。这三个条款构成了公民个人信息权的规范基础。在法律性质上,《个人信息保护法》是公法。在法律位阶上,属于个人信息保护的基本法。个人信息权也从未经列举权利,而成为实证法意义上具有基本权利属性的公法权利。
(一)人权条款是个人信息权作为公法权利的理论基石。2004年宪法修改增加了“国家尊重和保障人权”的内容,人权条款入宪使得我国宪法公民基本权利保护从列举式的保护变成了“概括+列举式”的保护。人权是人之为人所应当享有的权利。从这一定义出发,人权条款具有自然法的意涵。尊重和保障人权成为宪法规范意味着人权的实证化。基于规范结构,除了宪法明确列举的权利之外,人权条款赋予了理论上主张宪法上未列举基本权利的空间。个人信息权的宪法规范除了人权条款之外,直接关联的条款是《宪法》38条的规定。
(二)人格尊严是个人信息权作为积极权利的规范依据。“八二宪法”第38条规定了公民的人格尊严不受侵犯,这一条款是公民个人信息权的内在根据。在人权条款入宪之前,这一条也被视为具有宪法基本权利一般条款的地位。2004年人权条款入宪之后,人格尊严成为具体的宪法权利,不再承担基本权利一般条款的使命。这一宪法规范在数字时代具有了新的内涵和外延。个人信息保护的客体是个人信息,但其目的在于实现基于个人信息建构的个人身份的自治、自主和自足。个人尊严作为个人信息权的规范依据,夯实了以个人数字身份建构社会秩序的宪法基础。
用户和平台之间存在三个方面的不均衡:信息收集能力不均衡、信息处理能力不均衡、社会影响力不均衡。数字经济条件下,个人和平台的不均衡借由个人控制为中心的赋权体系仍嫌不足,需要在个人—平台之外,增加政府的维度,直接介入个人平台的信息关系。个人信息权利不仅为个人信息处理者和控制者设定义务,而且从具有社会意涵的积极权利的功能出发,为国家设定了保护义务。
(三)个人信息权进一步丰富通信自由和通信秘密内涵。“八二宪法”第40条规定了公民的通信自由和通信秘密,这一条款为个人信息处理划定了外部边界和底线。宪法上的通信最初仅限于邮政通信,并不包括电子通信。随着技术的发展,基于合目的性解释,通信自由和通信秘密所指向的通信权应当同时包括电子通信、即时通信等当代最常见的通信方式。在数字时代,信息安全是通信自由权得以实现的技术前提。尤其要关注到个人信息安全已经跃迁到网络安全和算法安全,公民通信自由和通信秘密是在这样的三重安全架构之下展开的基本权。
个人信息权的确立与权利体系
《个人信息保护法》第四章专章规定了个人信息主体在信息处理活动中具有的各项具体权利,确立了完整的个人信息权利体系。
(一)知情权、决定权是个人信息权的基础。知情决定是个人信息权的起点,其目的在于确立个人信息主体对于自身人格形塑的自主控制。知情决定意味着信息主体对个人信息的收集、使用、分析、共享、删除的全生命周期的把握、选择和决定。知情权作为个人信息权利体系的理论基础具有指向明确、功能清晰、权利内容完整等优势。
《个人信息保护法》对敏感信息的处理采取了增强同意的立法思路,规定个人信息处理者处理敏感信息需要取得个人单独同意。《个人信息保护法》在个人知情同意机制的设计上体现了个人自治和政府规制相结合,强化个人信息处理者责任,兼顾事后风险防范的特点,形成了权利建构为主、行政监管协同的个人信息同意机制。就此而言,知情同意不仅具有私法上的合意的效果,它更是一项个人信息保护的公法制度。
(二)查阅权、复制权是个人信息权的核心。《个人信息保护法》第45条规定了个人信息主体对于信息的查阅权和复制权。查阅复制权可以说是个人信息权利束的核心内容,是落实个人信息保护原则的重要手段。个人信息主体经由查阅复制权的行使可以清晰了解到个人信息控制者所掌握的数据是否满足了个人信息收集中的知情同意原则,可以衡量数据最小化原则、目的特定等个人信息保护的原则是否得到了遵守。查阅复制权具有核校数据处理者是否遵守了《个人信息保护法》所确立的系列原则的功能。
查阅复制权其实质就是个人信息访问权。就规范效力而言,这一权利等同于欧盟《通用数据保护条例》所规定的访问权。个人信息查阅复制权作为个人请求权基础,其指向的对象不仅是一般的私人的信息处理者,也可能是国家机关。在刑事诉讼领域,司法信息化浪潮之下辩方的阅卷权受到冲击,个人信息查阅复制权为取代阅卷权提供了可能性,可以从这一权利行使的方式、权利的限制等方面入手,实现该权利与刑事诉讼制度的协调。
(三)可携带权是个人信息自决的保障。个人信息可携带权为各国立法所普遍确认。欧盟、美国、印度、日本、新加坡等法域都引入了数据可携带权,它已经成为各国民众普遍享有的一项个人信息权利。在《个人信息保护法》通过之前,我国规章和规范性文件层面已经建构了数据可携带权的雏形,在携号转网中形成数据可携带权的实践。我国的《个人信息保护法》在三审稿的基础上最终确立了可携带权,响应了个人信息保护立法的世界性趋势,使得我国个人信息保护的水平和个人信息保护高水位的法律区域不相上下。
个人信息可携权的确立有利于数据竞争,在实质意义上实现个人的信息自决权。《个人信息保护法》第45条第3款规定,“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。这是《个人信息保护法》三审时增加的内容,在法律上明确了个人信息可携带权。这一权利对于互联网产业的影响巨大,出于审慎的考量,立法者增加了个人信息主体行使该权利需要符合国家网信部门规定的条件,因此在《个人信息保护法》生效之后,需要网信办出台个人信息可携带权行使的细则,明确其范围和实施的条件。
(四)删除权体现了个人数字人格的完整。《个人信息保护法》确立了个人信息主体对于错误信息的更正权以及删除权,这是为了保证个人信息的完整性和个人数字人格的整全性。删除权体现在个人信息主体对于信息控制者的请求权,用户对于数据控制者所控制和处理的不必要、不相关和过时的个人信息可以行使该请求权。删除权确保个人在线下线上一体化的数字化生存中可以避开凝视的目光。这也是它被称之为被遗忘权的原因。在涉及被遗忘的情形中,删除权指向的对象往往是已经公开的信息,它并没有独立的人格法益,无法通过私法来保护,而只能通过个人信息保护法的赋权来实现。
个人信息权作为数字时代的人权,是人权观念在数字时代的丰富。《个人信息保护法》建立了一个广泛而全面的权利体系,对各项具体权利的结构、行使方式、信息控制者和处理者的义务、义务未履行的责任、相关诉讼的案由仍有待于执法机构和司法部门通过立法解释和司法个案的方式予以明确。
《个人信息保护法》与《民法典》的衔接
(一)几个概念的厘清:数据、信息与隐私。我国的个人信息和数据区分保护的思路在《民法总则》中得以确立。《民法总则》第111条规定,自然人的个人信息受法律保护;第127条规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。个人信息和数据二分的做法为此后立法所遵循。隐私和个人信息有重叠之处,《民法典》将个人信息分为隐私信息、公开信息和一般信息,对隐私信息采取隐私权和个人信息的双重保护,但这一区分实非必要,反生困扰。隐私和个人信息既有重合的地方,但又有不相隶属的成分。在美国法上有信息隐私的概念,究其实质,它指向的是个人对于信息的知情控制权,类似于《个人信息保护法》中的知情决定权。
《个人信息保护法》采取了一般信息和敏感信息的分类。数据处理者必须是为了特定目的、充分必要而且采取保护措施的前提下才能处理敏感个人信息。敏感个人信息更容易和隐私重叠,但仍然无法完全等同。在司法实践中,个人信息和隐私重叠,处理个人信息侵犯信息权和侵犯隐私权竞合的时候,个人信息主体可以选择个人信息权保护或者隐私权提起诉讼,从而解决部分个人信息兼具敏感个人信息和隐私的二重性问题。
(二)《个人信息保护法》与《民法典》在个人信息保护中的适用。《个人信息保护法》是个人信息领域的基本法,个人信息主体的权利构成的解释、信息权利受到侵犯时所需的救济都应当以《个人信息保护法》为出发点,该法关于个人信息权的规定超越了私法意义的权能或者刑法上的法益,它是具有宪法规范基础的新型公法权利。
《民法典》无法作为《个人信息保护法》的一般法基础。无论是个人信息法律属性、权利构成、调整关系,还是回应的社会的能力等方面来说,《民法典》人格权编都无力单独承担这一使命。
《民法典》并不必然构成《个人信息保护法》的前理解。就民法和宪法的一般关系而言,我国的民法并不是在社会发展演进中先于宪法而形成的调整市民关系的一般准则,它是我国近代国家建构的一部分。《民法典》并不必然成为《个人信息保护法》的前理解,它是构成《个人信息保护法》前理解语境中的一个因素。《民法典》和《个人信息保护法》不一致时,优先适用《个人信息保护法》。
(三)《个人信息保护法》的行政执法体系。《个人信息保护法》在一定程度上吸收了之前个人信息保护行政执法政出多门的局面,确定了国家网信部门统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门依法在各自职责范围内负责个人信息保护和监督管理工作。《个人信息保护法》在此基础上建立了完整的行政执法监管体系。在行政监管体系之外,《个人信息保护法》还建立了个人信息保护公益诉讼制度。《个人信息保护法》建立了以事前事中执法为主、以公益诉讼和私人侵权救济为辅助的体系完整的救济机制。
《个人信息保护法》对公私主体的适用
我国《个人信息保护法》采取的是一种统合型的立法模式。《个人信息保护法》规定,国家机关处理个人信息的活动适用本法,同时考虑到国家机关处理个人信息的特殊性,在第二章第三节对国家机关处理个人信息进行了特别规定。在私主体处理个人信息的法律义务之外,更增加了公权力主体处理个人信息应当要符合正当程序要求,贯彻法律优位、法律保留等原则的内容。
就国家保护义务而言,“公民人格尊严不得侵犯”的表述,从文义解释的角度可以看成个人信息权利受国家保护的规范来源。基于国家保护义务,国家需要以一定的方式介入私人领域。国家介入的具体方式是由一国的宪法体制、国家机构之间的权力配置及其具体权限而定。全国人大基于宪法基本权利条款进行立法,可以是公法保护模式,也可以是私法保护模式,对于个人信息保护则兼采公私法协同模式,分别体现在《个人信息保护法》和《民法典》。《个人信息保护法》确立了个人信息保护的一般性规则,是个人信息保护的基本法,而《民法典》是私法领域的基本法,就个人信息保护而言,并无优先适用的问题。从基本权利第三人效力理论出发,立法者制定民法上的概括性规定,以实现保护义务,法官在具体案件审理中参考国家保护义务之目的,适用该法规定,这是基本权利之间接第三人效力,实际上属于国家保护义务理论适用的具体情形。
余论:走向个人信息权利的时代
信息技术的发展,推动了社会生产力的发展,也深刻地改变着生产关系。由于信息技术的广泛运用以及对生产生活的深刻影响,我们需要从宪法时刻的视角和公民权利的双重面向构建个人信息保护的法律框架,让人的尊严和人性自主的价值引领技术发展。《个人信息保护法》的公法属性、立法宗旨、权利体系、规制措施都体现了这一价值目标,它是数字时代公法秩序变迁的重要产物,它对公法边界的塑造仍需通过其实施来确立。