个人信息保护模式的建构
2022-07-18秦登峰
◇许 娟 秦登峰
一、问题的提出
随着《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的颁布实施,个人信息法律保护体系已经建成。梳理有关个人信息的法律法规,可以发现我国关于个人信息保护的立法次序走的是“逆常规路线”,即刑事立法先行,其他部门法陆续展开,最后进行专门立法。在立法内容上,亦是公法先行,辅以私法规制,最后以专门立法完善个人信息保护的具体规则细节。本文围绕当前个人信息保护立法中的相关问题展开讨论。
(一)个人信息立法的法律位阶不明
个人信息法律保护体系已经建成,但法律与法律间的位阶与关系却不明确。以《个人信息保护法》与《中华人民共和国民法》(以下简称《民法典》)的关系为例,不同学者有不同的看法。第一种观点认为,就个人信息保护而言,《民法典》属于基本法,具有普通法的地位。《个人信息保护法》作为全面规制个人信息处理行为的单行法,则具有特别法的属性[1]。第二种观点认为,《个人信息保护法》是保护个人信息的基本立法,属于旨在保护新型权利的公法,《民法典》属于旨在确立民事基本制度的私法,在法律体系中分别发挥不同的作用[2]。第三种观点认为应该以全新的视角看待《个人信息保护法》的规范属性,有学者对此提出超越传统部门法的领域法概念,以“保护法”命名的其他法律为例对领域法概念作了进一步说明,并认为用一般法与特别法描述个人信息保护法与民法之间的关系并不妥当。第四种观点认为《个人信息保护法》中的民事规范应当作为民法的特别法来看待[3]。
上述观点各有一定的道理。自然人的个人信息权益不限于民事权益,还包括人格尊严和人身自由等宪法上的基本权利,但主要集中在民事权益尤其是人格权益上。《民法典》中的很多规范也当然适用于个人信息保护。此外,根据目前法律的规定,收集和使用个人信息应当遵循“合法、正当、必要”原则,经个人同意,并且与公共利益、个人权利和社会经济发展相平衡。因此法院在裁判时拥有较大的自由裁量权,有时面对同一类型的隐私权和个人信息案件时,综合各种因素后甚至会作出截然相反的判决。故如果不确定个人信息相关法律保护的层级就会导致司法实践中面临很多问题[4]。不同的个人信息保护法律位阶会产生不同的权利保护内涵,个人信息立法的保护体系应进行进一步的明确与细化。
(二)个人信息权益属性不清
关于个人信息权益的性质,有民事权利说与合法利益说两种不同的看法。从最抽象的意义讲,权利为人自然拥有,法律确认并且记录权利。个人信息的具体规定与隐私权并列,规定于《民法典》分则人格权编。但是,《民法典》总则同时也规定了自然人的个人信息受法律保护,这种编排表明个人信息并不限于人格权和不排除个人信息的财产权性质,并且为法律以后对数据保护另行规定留白。对此,民事权利说认为自然人对个人信息享有的是民事权利,即个人信息权[5]。民事利益说认为,自然人对个人信息享有的只是受法律保护的利益。张新宝教授从《民法典》和《个人信息保护法》的制定过程出发论证了个人信息权益不具有权利属性,并结合宪法上的基本权利和民法上的人格权说明了个人信息权益受到多个部门法保护,《个人信息保护法》是为已经被其他法律承认的利益提供保护[6]。
《中华人民共和国刑法》将个人信息保护置于保护具有规模性、整体性的个人信息的社会信息管理秩序范畴[7],《民法典》将个人信息在法律规范层面纳入人格权范畴,《个人信息保护法》开篇强调保护个人信息权益,但个人信息究竟是一种具有绝对权属性的权利,还是一种仅具有防御性质的利益并未得到确认。与此同时,长期以来的诸多理论问题也并未在立法中得到澄清,比如:自然人对其个人信息是否具有自主、自决的权利?自然人对个人信息是否享有独立于其他民事权利之外的具体化利益内容?自然人对其个人信息是否享有财产性利益?这些问题不但引发理论思考,更进一步反馈在司法实践之中,亟待分析与解决。
(三)研究目的和意义
1.完善个人信息保护相关法律的司法解释路径。
《个人信息保护法》的颁布意味着我国个人信息保护的法律体系已经建成。但《个人信息保护法》中存在大量不确定的法律概念,个人信息保护法律规定位阶不清晰,为法官自由裁量留下了空间。较之于学术论文的多元化研究方法,裁判文书是规范适用的过程,对法律规则的理解与解释是将案件事实涵摄到法律规则中的前提,相关的理论认知和价值判断也必须融贯在法律适用之中。由此,对个人信息保护模式的研究不但是对法律实践效果的检验,更是发现和弥合理论与现实鸿沟的桥梁。随着寻求个人信息保护民事案件的不断出现,通过对个人信息保护模式的研判,将有助于澄清基本概念的内涵与外延、探明法律规则的解释路径、寻找制度规范的改进空间。
2.明确后续个人信息保护立法方向。
我国个人信息保护法律体系需要一个兼具解释和规范价值的核心概念作为基础[8]。个人信息保护的法律体系建构是开启数字经济时代的首要难题。我国个人信息的法律保护模式如何理解,边界如何确定,相关制度框架如何发挥作用,这些都依赖于对个人信息处理法律关系的本质进行深入研究和阐述,以指导相关制度建设与法律实践。本文认为,在个人信息处理涉及的法律关系中,法律关系客体具有利益的多重性,法律关系主体存在实质不平等性,法律关系的内容具有社群性。个人信息保护应当从基本权利的角度出发,协调多种利益冲突,划分权利义务。个人信息受保护权强调国家保护义务,要求国家承担“不侵犯”个人信息的消极义务、建立个人信息保护基本制度、组织和程序的保护义务以及风险防范和司法救济的给付义务,进而形成个人信息基本权利保护体系,有效维护个人信息权益。
二、个人信息处理法律关系的审视与探讨
随着计算机技术变得越来越先进和复杂,大量个人信息被保存在各种数据库中。许多互联网公司建立了与他们有业务往来的自然人个人信息数据库。由此产生了诸多问题:他们是否有权收集此类个人信息,他们应当如何处理这些个人信息,个人信息的安全性如何得到保障,以及个人信息可以交易给谁或与谁共享。上述场景中在个人信息收集、处理过程中发生的社会关系就是本文讨论的对象。
(一)个人信息处理法律关系的考察
鉴于大数据时代个人信息处理技术的特性,法律保护的范围应限制在个人信息自动化处理领域。作为法律保护对象的个人信息处理关系,是指个人信息主体与个人信息处理者之间在个人信息处理过程中发生的,一方提供个人信息,另一方提供个人信息持续性收集、处理服务的法律关系[9]。笔者认为个人信息处理法律关系主要具备三个方面的特点。
1.个人信息处理法律关系的客体具备利益多重性。
个人信息处理法律关系的客体是个人信息。基于个人信息处理的知情同意制度,个人信息处理关系可以被视为私法上合同的关系。然而个人信息处理关系于合同的财产要素之外,实含有身份的人格要素。在大西洋两岸,欧盟和美国都侧重于个人信息的人格要素保护,但侧重点不同,美国侧重于保护人格自由,而欧盟则侧重于保护人格尊严[10]。个人信息所附着的财产利益随着计算机数据挖掘技术的发展而不断被发掘。互联网企业所拥有的个人信息数据在司法裁判中被认定为竞争利益。从当前个人信息应用情况来看,个人信息能够产生直接经济价值少,而间接经济价值则比较明显,例如利用个人信息所实现的精准营销、市场分析等经济活动都是通过间接方式释放个人信息所附着的财产性利益。对于此类复合财产与人格的个人信息利益,我国《个人信息保护法》第一条描述为个人信息权益。
个人信息是具有公共效用的客体,即标识自己和识别个人,这也是社会群体的必然现象[11]。个人信息处理法律关系的内容实际上就是个人信息主体持续性地向个人信息处理者交付个人信息的过程,这个过程也可以被视作“自我披露”的过程。在这个过程中个人信息的交互连接着社会关系,因此具有社会性与公共性。例如在公共管理领域和个人征信领域,国家职能部门需要利用流入公共领域的个人信息碎片进行数据分析以维护良好的公共秩序。我国《个人信息保护法》第十三条规定了为公共利益在合理的范围内处理个人信息等一系列不需取得个人同意的个人信息处理行为,该法条是对个人信息流通的公共利益以及企业对个人信息正当利益的立法认同。
2.个人信息处理法律关系的主体存在地位不平等性。
个人信息处理活动本身的特点导致了个人信息处理法律关系主体地位的不平等性。个人信息主体与个人信息处理者的信息能力存在显著差异,收集个人信息的机构(大型互联网公司与国家)和公民之间存在权力失衡的风险。信息时代数字鸿沟现象不断加剧,个人信息处理者和个人信息主体之间形成一个新的局面,即个人信息处理者相对个人信息主体而言具有巨大技术优势[12]。个人信息处理者履行了关于信息收集、处理的告知义务,但个人信息主体却仅能凭借生活常识或者提供者的说明来了解信息处理的过程。此外,与个人信息处理者专营某领域信息处理业务不同,个人信息主体为生存发展需要而提供的个人信息种类和范围非常广泛。两相对比,个人信息主体欠缺对个人信息处理活动的了解成为必然。在这个过程中个人信息主体与个人信息处理者的权利义务关系难以通过私法自治、意思自由来达到实质平等,这种从数据权利到数据权力优势地位转变的核心在于某些私主体相对于其他私主体在技术、平台和信息等方面的优势[13]。
个人信息处理者和个人信息主体之间体量的悬殊对比加剧了个人信息处理法律关系主体地位的不平等现象。随着现代市场经济的发展,个人信息主体弱者地位被强化。无论个人信息处理者是以互联网企业的形式出现,还是以国家职能部门的形式出现,均可以倚仗其“大体量”的优势地位影响个体选择。而个人信息主体却缺乏有效的组织,往往难以借助团体的力量与个人信息处理者对抗,以致形成要么不接受服务要么被动接受个人信息处理者的信息服务条款的“二选一”局面。以知情同意为例,在数字时代“知情同意”被定义为个人信息处理者收集使用个人信息主体的合法性基础,但个人信息处理者往往以混淆“同意豁免”的方式使他们的用户面对“二选一”的局面,即如果用户想要使用该计算机或手机应用服务,用户就不得不放弃用户的个人信息权益,“知情同意”变成了不知情、不客观、不自愿的同意,甚至是被迫的同意。
3.个人信息处理法律关系中的权利义务具有社群性。
个人信息附着利益的多元性决定了个人信息处理法律关系中权利义务的社群性。个人信息处理法律关系的内容是主体之间的基于信息处理的识别利益或目的而形成的具体权利义务,因此在个人信息处理的法律关系保护中不能忽视社会连带关系或者社会相互依赖的重大事实。从个人与社会参与的关系而言,人们对于信息隐私或个人信息保护的渴望从来就不是绝对的,对于社会的参与具有同等的渴望。个体与他人的信息交流也总是不完整的,即个体通过“相互保留”创造了“心理距离”来保护人格。这种心理距离的产生是一种“社会距离”概念的变体,它表达了个人对隐瞒或披露信息的选择,这也是社群场景中个人信息控制力度的动态选择。个人内部的这种张力介于“自我披露和自我保留”之间,在社会内部则介于“侵犯和自由裁量权”之间[14]。在现代信息化社会由强势主体主导的个人信息处理环境中,个人要求在不同社群场景下保留“自我”的方式以及个人信息处理者对个体“自我”尊重的程度,是个人信息处理关系中权利义务划定的核心。
大数据时代下个人信息自动化批量处理的技术特征是个人信息处理法律关系中权利义务呈现社群性的重要原因。数字技术的独特性不仅在于其非物理性质,还在于其所能容纳的信息量和广度。个人信息处理者往往在没有预先确定的目标或目的的情况下收集大量关于不特定自然人的数据,然后通过使用统计相关性在数据聚合或分组运算的基础上处理这些数据。在大数据自动化处理个人信息过程中,个人信息处理者往往并不关注特定的个人,而是关注大群体的人。许多基于大数据技术的个人信息处理过程和应用都是针对大群体或整个社会的一般性、大规模的数据挖掘,而与个人以及个人利益的联系却越来越模糊。此外,小数据时代的个人信息侵害事件具有孤立性、个体性、静态性,而大数据时代的个人信息侵权以群体性侵权为主[15],因此对于个人信息处理法律关系的保护也应带入具体的社群场景去考量。
(二)个人信息处理法律关系保护模式的理论探讨
围绕个人信息处理法律关系中相关核心问题,学者们展开了丰富的探讨。个人信息处理法律关系的客体是否可以成为一种权利客体,这种个人信息处理法律关系的性质又是如何?如何从部门法出发保护个人信息处理法律关系?个人信息法律关系的保护应当归属私法领域还是公法领域?许多学者提出很多深刻的观点回答上述问题,例如基于利益保护的强化国家与个人两头利益的利益保护立法模式、基于民事权利的立法模式、基于基本权利的统一立法模式,也有学者提出行为规制立法模式,将个人信息保护当作一种保护相关权益的工具。本文对上述学者的理论观点进行梳理分析,并探讨个人信息保护的最优路径。
1.个人信息处理法律关系保护的逻辑起点。
在个人信息处理法律关系保护领域,个体主义的立场表现为拥抱个人信息的自由流动,呈现的是一种不受干涉的状态。在信息化社会的发展背景下,将个人隐私视为“控制与自己相关信息的权利”的观念得到了许多国家的认可,例如日本的自我信息控制权说和德国的信息自我决定权说都以人格权为基础,重视个人信息处理的自我决定权利。美国和欧盟现行个人信息保护制度所提供的保护同样依赖于自我调节和个人选择。该立场依赖于市场竞争下的原子人、理性人、经济人假设:消费者将在其所认可的保护个人信息程度上选择个人信息处理者的服务和产品,个体可以将他们的信息控制程度设置为他们选择的水平。
法律领域的社群主义者强调对整体利益的维护。社群主义的立场是试图在相互冲突的诉求之间找到某种平衡,而不是假设一方利益诉求总是胜过另一方。在个人信息处理法律关系保护领域,社群主义者认为个人信息是由文化和社会关系部分构成的,所以不存在从社会语境中抽象地表达个人对其个人信息权利或利益的独立方式。美国大法官波斯纳认为个人信息不是一种“个人针对好奇和侵扰性社会的要求所主张的价值,而是与他人关系的一个必要方面”[16]。我国学者从社群主义出发探究个人信息保护的路径,提出了许多深刻的观点,例如有学者提出个人信息保护应从个人控制走向社会控制,以社会控制论指导个人信息保护立法[17]。与该观点类似,有学者提出个人信息的保护由个人本位转向社会本位[18]。他们认为公众的个人信息利益需求必须与公众对国家安全、公共卫生以及其他公共物品的利益需求相平衡,而不是任何未经许可使用个人信息的行为都违反法律。
本文认为社群主义的价值取向更符合大数据时代下个人信息立法保护目标。首先,个体主义侧重于赋予个人权利,而不是协调群体利益,这将产生个人决定必须选择加入或退出的孤立状态。虽然美国和欧洲的个人数据保护法律都提供了帮助个人理解和控制与其直接相关的信息的工具,但这种传统的方式缺乏协调群体间个人信息利益冲突的路径,而且缺乏对个人信息溢出效应产生利益的保护。社群主义所追求的公共利益可以被视作对个体主义理论的修补[19],更加符合个人信息多元利益的保护需求。其次,个人信息法律关系保护的目的在于设立个人信息在社群共同体中流动的“社会规范”或“文明规则”。人们在社群共同生活中“自我披露”个人信息以实现共同的需要,如果放弃洛克与康德式的个体主义权利观,代之以人的社会性与公共性视角来进行分析,社群主义的个人信息观更符合个人信息保护的需求。最后,就个人信息处理的法律关系而言,社群主义的观点使个人信息保护中权利义务关系得到鲜明表现,赋予了社群主义价值观念以便于操作的形式。
2.个人信息处理法律关系保护的路径。
保护个人信息处理法律关系的一种进路是将个人信息权益进行“权利化”。许多学者对个人信息权益的权利化方向进行了探讨,本文认为主要有以下几种:其一,人格权说。不少学者认为个人信息权应属于一般人格权的范畴[20]。也有学者认为应将个人信息权利视为一种独立的人格权,将个人信息权确立并归入人格权法保护的新型权利类型[21]。其二,财产权说。持此类观点的学者认为需要赋予个人信息财产权[22]。其三,类知识产权说。也有学者以借鉴无形财产权的代表——知识产权证成个人信息权[23]。知识产权授予信息所有权,使个人信息处理者访问个人信息专有内容有了限制。第四,新型权利说。有学者主张个人信息控制权是需要通过个人信息保护法确立的一项新型公法权利。[2]
从个人信息保护与利用的基本矛盾中既可以推导出权利化路径,也可以推导出管理模式或公共物品模式的行为规制路径。行为规制是法律在个人信息处理活动各个环节的具象化,具体而言主要是针对信息处理主体的行为控制,围绕着个人信息流通的收集、处理等环节,解决事前审查、过程监管和事后救济责任三个阶段可能产生的法律问题。根据保护个人信息处理行为规制涉及的法域,行为规制的路径可以分为公法介入与私法进路:有学者认为国家有责任为公民提供信息安全这一公共产品,应在公法监管的框架下采取消费者法化的公法路径[24];有学者提出从个人控制到数据控制者信义义务。根据个人信息控制的主体不同以及控制强度的差异,行为规制可以分为管理模式或公共物品模式:有学者提出个人信息应当由个人控制走向社会控制、由个人本位转向社会本位等行为规制路径[17];也有学者认为可以将个人信息数据视作“公共物”,在确立“分享”作为数据法基本价值取向下构建公法上系统的个人信息流通的公共秩序[25]。
个人信息权利化的路径存在颇多局限。首先,个人信息权益不适宜被定性为所有权,寻求一种具有确定性边界的个人信息权利阻碍个人信息在具体场景中的合理流通,不符合个人信息保护的立法目标。本文不赞同赋予个人信息主体所有权的做法,通过财产权授予个人对其个人数据近乎绝对的控制权,未能在个人对其个人数据的权利与其他行为者对这些数据的权益之间取得适当的平衡。不否认个人信息具有一定的财产利益,但因为个人信息的特殊性,其大量包含了个人隐私,使其具有一定的人格属性,如果单纯地将其视为商品,赋予财产权,存在对人格尊严的冒犯。行为规制的路径亦存在天然的不足。由于行为规制方案的实施需要修改三大程序法及创制新法,很多学说难以通过立法创制进行挖掘转化,其私法研究难以协调数据市场化利用中的法律结构优化,其公法监管缺乏场景化流转机制,不能形成个人信息数据利用维度的再平衡。
(三)个人信息基本权利保护的路径发掘与论证
通过对上述理论的考察,本文认为现有的理论路径存在一定的局限性,综合上述学理探讨,可以将个人信息权益作为一种基本权利进行保护。基本权利是一种更广泛的权利,直接约束立法权、执行权与司法权。我国现行的基本权利体系带有浓厚的群体主义价值取向,从社群主义出发保护个人信息更充分地体现了马克思关于“自由人”的主体地位。基本权利的定位更符合个人信息保护的法律目标。
1.个人信息基本权利保护模式的优势。
个人信息基本权利保护模式兼具“行为规制路径”和“民事权利化路径”的优势。基本权利最初是从“纵向”的角度来设计的,是公民对抗国家的防卫权,当前学界对基本权利效力的认识以“间接效力说”为通说。基本权利不直接适用于私法关系,而是作为客观价值秩序的表现形式“辐射”到私法领域。因此,它们可以通过对开放性规范的解释间接影响个人信息处理者与个人信息主体之间的法律关系。在德国的宪法理论中,基本权利被认为具有“主观权利”与“客观法”的双重性质[26]。个人信息基本权利可以在部门法中细化为各类具体内容,其“间接适用”的特性在理论逻辑和实践效果上可以满足当前个人信息保护的特殊要求。
基本权利保护模式符合数字时代的保护需求。数字时代,个人信息处理者主体相对于个人信息主体在技术、平台和信息等方面的优势已经形成了一种“准权力”。采用基本权利保护个人信息的实质是平衡个人信息权利与信息权力间的法权结构,即平衡个人信息权利与政府收集、使用个人信息权力以及个人信息权利与企业收集、使用个人信息“准权力”间的法律关系[27]。例如欧盟在《一般数据保护条例》(GDPR)中将个人数据保护定位为个人基本权利与自由的保护,可见基本权利说较为符合信息时代“数据人”的发展要求。
2.个人信息基本权利保护路径的合理性与可行性。
“基本权利”一词被用来定义通过法律秩序赋予特殊地位的权利,是当前时代背景下人权在一国的理性科学化、习俗化和制度化。对此,有学者提出基本权利的判定标准主要包括形式标准和实质标准。从“形式”的角度来看,基本权利的概念是指在“更高层次”的法律文件中确立的权利,因此在法律规范的层次结构中具有更高的地位。相比之下,从“实质性”的观点来看,基本权利的概念涵盖了支撑法律秩序的价值观和原则,而不论这些价值观和原则是体现在宪法文件中还是体现在普通法律中。本文从相关标准出发论述个人信息权利作为基本权利对待的可行性。
个人信息权利具备基本权利的重要特征。人格自由和其他基本权利都不断受到历史进程、文化革新和文明进程的影响,这导致了它们不断被重新定义。明确个人信息权益的基本权利定位是人权在新历史时期的新发展,是技术发展的状况、现行制度安排和社会政治结构的必然要求。首先,技术发展的状况是个人信息权利产生的最初诱因。与以往利用手工编辑的纸质档案和文件收集个人信息的方式不同,自动化决策下的数据处理运作几乎没有任何物理条件的限制。数据挖掘可以在未经有关主体知情同意的情况下,将碎片数据集成到个人的部分或全部信息中。数据处理技术的发展迫使国家修改向个人提供的信息安全保障,以保护个人自由形成其人格的权利。其次,现行法律制度对于实现个人信息权利至关重要。保障隐私和实施个人信息保护的法律必须不断发展,以适应技术和社会政治的发展,从而解决对个人人格“自我发展”能力产生的新威胁。
个人信息权利具备作为基本权利的法律保护需求。个人信息法律关系的法律保护具有部门法的交叉性和公私法的融合性,应从宪法上的基本权利义务框架出发来保护相关的法律关系。首先,个人信息处理法律关系的保护属于公私法综合保护的社会法模式,应从个人信息处理法律关系的具体内容出发,建构公私融合的社会法责任体系。其次,在广义的个人信息法律关系保护层面上,各部门法都可以为个人信息保护提供有针对性的法律责任机制。民法在个人信息保护中占据着基础性地位,作为个人信息保护法保护对象的个人信息利益也源自属于传统民法保护对象的隐私权益,但《民法典》保护的是权能的具体形态,而不是完全结构化的个人信息权[28]。个人信息处理法律关系的保护规范碎片化地存在于行政法、消费者法、刑法等部门法中。单一部门法或法域的保护模式必然存在各种不足,因此应从保护基本权利的角度对个人信息处理法律关系保护规则在各部门法的细化提出要求。
个人信息权利具有作为基本权利对待的丰富实践佐证。个人信息保护通过其与隐私的耦合并最终从隐私中分离而获得了欧盟基本权利的法律地位。个人信息保护从诞生开始就带着相当的人权色彩,个人信息数据保护的概念于1968 年《世界人权宣言》发布20 周年的“国际人权会议”上首次被提出。在该次会议的影响下,个人信息权利作为标示个人信息主体人格独立的基本权利,成为各国个人信息保护立法的根据。例如1989 年匈牙利修订了其宪法,通过了一项将个人资料保护权纳入基本权利和自由的条款。斯洛伐克共和国、捷克共和国、立陶宛等国家也纷纷在宪法中明确了对个人信息权利这一人权的保护。个人信息权利的基本权利地位也得到了国际协议承认。2009 年修订生效的《欧洲联盟基本权利宪章》第八条规定明确宣示了个人数据受保护权。这一基本权利的定位也为数据保护立法提供了法律依据,从而提高了欧盟数据保护法的合法性,使个人信息数据的流通摆脱了内部市场规则的制约,以基本权利保护实现相关权力与权利的倾斜性配置。
三、个人信息基本权利保护模式的理论建构
基本权利的现代概念是国家权力所确立的对国家权力的限制和对法律本身合法的限制,个人信息基本权利保护目的也在于补强个人信息处理利益关系中较弱的一方,维护最基本的利益。个人信息基本权利的存在本身并非其终极的目的,而是为了人类更为美好、幸福、安全有序而舒适的生活。
(一)个人信息基本权利的法教义学分析
《个人信息保护法》开篇宣示“根据宪法,制定本法”阐明了宪法与个人信息保护法之间的内在联系,为个人信息保护明确了我国法律体系中的功能定位,指引了个人信息平衡协同治理的路径。保障人格尊严与人格自由发展是将个人信息受保护权作为基本权利对待的逻辑起点,现行《中华人民共和国宪法》(以下简称《宪法》)第38 条的“人格尊严”条款、第33 条的“国家尊重和保障人权”条款以及第40 条通信自由与通信秘密受法律保护条款提供了个人信息权利作为一项未列举基本权利的生存空间。个人信息权不是我国宪法明定的基本权利,但可以通过宪法学来证成,其并非实证法概念,而是法教义学概念。具体的保护模式为在宪法学理上可明确个人信息权的基本权利地位,但在保护上则应纳入不同基本权利条款分别讨论[29]。
1.《宪法》第33 条“尊重和保障人权”条款。
“生物人”和“信息人”共存于数字化时代,人类的生存形态具有了崭新的数据属性[30]。它是由人类社会关系的数字化发展而来,由信息、数据和代码所描绘、表达和建构的,也是社会关系、人格尊严和个体价值的数字化表达。在这个AI 技术飞速发展的信息时代,伴随着个人信息的海量收集与数据挖掘,数字世界和真实世界正在逐渐融合。个人信息的整合形成个人的数字身份或数字人格,使自然人产生了自己的副本“数据人”,即产生人格的云化现象。对于这种数据人格,从保护人权的观念来看,主观权利的赋予是必要的。
数字时代碎片化的个人信息也与人权概念相联系。个人信息是个人身份识别的总和,个人信息中可能包含关于人类生活中一些最亲密方面的信息:宗教、健康、财务、政治信仰、活动踪迹等等。个人信息中不仅包含大量的交易信息和其他个人信息,数据挖掘者还可以通过应用人工智能预测人们的思维、感觉和行为方式,从这些个人碎片化信息中推论出一个完整的个人。鉴于此,欧盟在个人数据保护指令中将个人信息权利设定为基本人权,这为我国以《宪法》“人权条款”保护个人信息权做出了示范。
2.《宪法》第38 条“人格尊严”条款。
个人信息保护与保障人格自由发展高度相关。人性尊严的神圣不容侵犯,作为最上位阶的宪法价值,其主要内涵为人的主体性及人的自由意志应受尊重这两项原则。所谓人的主体性,即强调人并非是国家统治下的客体,人的人格如被视为一个物体,则人将不再独特,人跟人之间亦无差别可言。因此,国家应给予人格不受干扰与发展的自由。如此的自由,使人具有吸收信息、自我定位及自我组织的可能性[31]。个人信息处理可能将个人自治置于危险之中[6],在这个意义上,个人信息基本权利是保护个人人格自由的堡垒,是确保在生活中建立个人道路的自由,以及抵抗对这种自由的干扰的能力。个人信息权利不仅仅是将国家和人民的私生活分开的界限,更是保护个人免受国家权力任意性侵扰的保障。
在服务于实现个人自身生存发展的意义上,个人信息权与人的尊严概念密切联系,因为人的尊严必须以承认某种程度的自决为前提。当个人对于自身信息得以有所保留时,个人才得以展现自我、扮演自我,而不受外界的干涉和影响。因此,个人的意志自由取决于个人得否对于自身事务的信息有自主决定权。当个人无法了解自己信息会在何时被他人窥视与利用时,个人将无法充分展现自我,个人人格易受扭曲而不再是自我人格。也因此,所谓意志的自由并非只是形式上的自由,而是个人不受他人拘束,得以依自我意志选择出来的自由,如此方才得以确保人格的核心领域不受侵害。
3.《宪法》第40 条通信自由与通信秘密受法律保护条款。
个人信息的交互过程也可视作一个通信的过程。所谓通信,于现代社会是指借由邮件、电话、电子邮件等通信手段,向特定的相对人进行意见或信息的传达,具有作为表达自由所保障的一环的意义。不过其主要目的在于保护特定人之间的意见沟通或传达,因此秘密通信具有作为保护个人信息及个人隐私的一环的重要意义。除通信内容外,通信秘密的保障范围包含和通信存在有关的事项,如通信的发件人、收件人、住址、发出消息数、时间等。此外,该宪法条款保障的内容则包含禁止公权力探知通信过程及内容的行为,禁止泄露由职务上得知的信息,以及禁止通信服务从业者泄露由其在个人信息处理活动中获取的信息。
在个人信息处理活动中,对个人信息以及自身优势地位的滥用进而影响个人通信过程的行为也可视作侵犯个人通信自由与通信秘密的一种形式。在技术复杂、瞬息万变的通信行业,个人信息主体与通信平台之间往往存在信息不对称、体量悬殊,这使得个人信息主体在个人信息处理活动中处于弱势地位。例如误导性的定价、不透明的条款,甚至对某些服务的非自愿订阅。这不仅伤害了部分个人信息主体的利益,也会损害市场的经营秩序。在我国的宪法中,通信权具有清晰的宪法依据,因此根据我国的《宪法》第40 条,可以将私人通信信息直接列入其保护范畴。
(二)个人信息基本权利的法律定位
个人信息基本权利最早被定性为个人信息自决权。鉴于时代的变迁,单纯的“信息自决”原则已经无法满足当代个人信息保护和信息产业发展的需要[32]。个人信息基本权利所展现的价值不仅在于筑起个人信息领域的防御堡垒,更在于在个人信息的交流与利用中个人得以处在作为与不作为的自我信息的主导位置上。针对个人信息基本权利的解读,有学者提出“个人信息自决权—国家保护公民信息自决权的义务”这一规范框架,也有学者提出“个人信息受保护权—国家保护义务”这一保护框架[33]。本文认为在个人信息保护法权结构上,宪法层面对国家提出的规范要求旨在建构“个人信息受保护权”,而非个人对其信息的排他性、支配性的“个人信息自决权”。原因在于个人信息自决权将保护对象确定为外界无法识别的“保密意志”,这种把人格权“去客体化”[34]的做法忽视了个人信息所具有的公共利益以及个人信息处理法律关系中权利义务的社群性。建构个人信息受保护权目的在于确定具体场景的个人信息收集与利用的边界,而非赋予个人排他性信息支配权。
个人信息基本权利应诠释为“个人信息受保护权”。当前我国的个人信息立法取向也是构建“个人信息受保护权”。我国《个人信息保护法》第四章标题强调个人在个人信息处理活动中的权利,而非个人对于个人信息的权利。《民法典》第111 条与《个人信息保护法》第2 条均强调“个人信息受法律保护”,而非个人信息主体对个人信息的排他性支配权,盖因个人信息附着的公共利益与私人利益处于势均力敌的位置。《个人信息保护法》立法思路和《民法典》一致。因此,个人信息基本权利诠释为“个人信息受保护权”更为适宜。当然强调个人信息受保护权并非否认个人信息自决权,而是将个人信息自决权设定为个人信息受保护权的一部分,从整体规范出发重塑个人信息保护的目标。
在构思个人信息保护立法时应考虑个人信息基本权利的赋权功能。个人信息受保护权应有其具体样态。我国学者以个人信息保护中的“权利束”代指个人在信息处理活动中的各种权利,具体指通过制定法为个人配置的、在个人信息处理全周期由个人行使的一组权利的集合[35]。在GDPR 中,有关个人信息权利的规定以控制个人信息的工具性维度呈现,这些规定也称为工具性权利、数据主体的权利、主观权利或控制权。数据主体这些权利当然不是自给自足,而是与数据处理者的义务保持一致。当然,利用工具性权利对数据主体权利进行控制的想法不是绝对的,可以在情况需要时加以限制。
(三)个人信息受保护权——国家义务的法律结构
《个人信息保护法》阐明了宪法与个人信息保护法之间的内在联系,也表明个人信息保护法不是规范部分主体个人信息处理活动的普通法律,而是起源于宪法、承接自民法,用以保护人格尊严、人格权利的基本法律,是同时具有公法与私法属性的社会性法律。建立起宪法与个人信息保护法、人格尊严与个人信息保护权之间的联系,可能意味着同时建立起个人利益与社会利益之间的联系,任何个人信息处理活动均需权衡个人权利与社会公益,开启个人与社会协同治理的新型个人信息保护模式[36]。
在当代宪法理论中,基本权利被认为具有“主观权利”和“客观法”的双重性质。[26]在这种层面上,基本权利并非严格意义上的权利,而是一个总体法律秩序的原则。本文以张翔教授的基本权利规范建构理论为出发点,(见图1)分析个人信息基本权利的功能与其相对应的国家义务。
“个人信息受保护权”是一个偏正短语,权利语的前缀是权利的内容,这类权利是享有特定利益的权利。个人信息受保护权在“个人的主张”的意义上是一项“主观权利”,具有相应的“防御权功能”。个人可以依据自己的意志要求国家不侵犯私人信息领域,而国家必须按此要求消极不作为。个人信息受保护权除了是个人的权利之外,还是个人信息处理活动的“客观价值秩序”,这构成立法机关建构国家个人信息保护各种制度的义务,也构成执法、司法过程中国家组织保护个人信息处理法律关系的上位指导原则。此外,个人信息受保护权具有受益权功能,该功能是指要求国家在个人信息受保护权实现中承担更为积极的角色,通过积极作为某种行为,从而帮助个人信息受保护权实现的功能。具体包括请求法院对个人信息侵权案件进行审判活动,以及要求国家通过立法增加、保障和平衡利益等方式直接保护公民个人信息利益。
图1 个人信息受保护权——国家义务的法律结构示意图
四、个人信息基本权利保护模式的实现
根据基本权利理论体系,个人信息基本权利功能的实现需要国家义务的辅助。这也是一个综合不同法律技术与制度工具的系统过程[33],需要国家统筹协调立法权、行政权、司法权,综合运用不同部门法工具,构建制度、组织和程序,以充分实现个人信息基本权利的防御权功能、受益权功能、客观秩序功能。根据前述个人信息受保护权——国家义务的法律结构,本文对个人信息受保护权所对应的国家保护义务、消极义务、给付义务的规范逻辑进行演绎。
(一)客观秩序功能——国家保护义务的实现
个人信息受保护权体现了一种客观的价值秩序,适用于个人信息法律关系保护的所有领域,并为立法、行政和司法提供指导和动力。这不仅意味着国家对此承担消极义务,还意味着国家在其领土内有保护和保障基本权利实现的“固有”积极义务。在个人信息处理法律关系保护方面,国家的核心积极义务是提供适当的法律和行政制度为个人信息处理行为提供指引,以及围绕个人信息保护的基本制度进行组织与程序建设。该价值秩序的规范逻辑结构由这两部分构成,回应怎样进行规范、由谁进行规范的问题。
在数字经济时代,个人信息的内涵与外延已经不再局限于传统范畴,而是逐步演进为对贯穿信息收集、处理和使用全生命周期各环节可能造成的个人的人身、财产侵害以及个人被不公平对待等新风险的预防与对抗。个人信息处理者作为对自然人主体信息进行收集、存储、使用、加工、传输等动作的直接行为主体,理应被列为重要规制对象,成为解决上述挑战的切入点。在个人信息处理的基本制度建构方面,个人信息和个人信息主体之间的脱节要求个人信息主体信任国家“家长式行为”对个人信息处理者的制度性监督。制度性保障要求国家以“知情同意”为核心框架,围绕个人信息处理全流程,包括信息收集、存储、使用、传播、更正、删除等各个环节,建构和维护一套对于个人信息处理者的基本规范要求,做好顶层设计。当前我国以《个人信息保护法》为中心已经完成个人信息保护基本制度体系的建构。《个人信息保护法》的出台也是我国个人信息保护法律基本制度建设的新起点,在此基础上应进一步健全我国个人信息保护相关制度规则。
在个人信息保护基本制度运行的组织与程序建构方面,国家保护义务旨在通过程序保障和设立监督机构,将国家积极义务的部分内容转移到普通私主体的参与上来,以保障个人信息受保护权基本制度的落实和相关辅助性事项的解决,这也是国家通过组织运作保障个人权利的重要体现[37]。对于我国而言,基本权利要求对个人信息保护的程序和组织形式制度化,这些对象包括从具体的司法和执法程序到复杂的法律制度干预。法律必须以明确的措辞概述相关机构的职能,阐明这些权力的轮廓,以及在超越权限执法或滥用权利时可采取的补救措施。法律必须建立适用于这些组织实体的治理结构,包括由谁行使日常控制权、有什么监督措施、在什么情况下决策以及是否由外部审查、由谁审查。组织与程序建设的一个关键方面是透明度义务的落实,这包括定期报告个人信息处理的性质和目的、分析的原因和方式以及使用个人信息的目的等内容。
(二)防御权功能——国家消极义务的实现
如前所述,个人信息受保护权具备“防御权功能”,国家相应地承担“不侵犯”的消极义务。在大数据时代,利用数据挖掘处理个人信息的趋势有增无减,政府掌握的公民信息比人类历史上任何时候都要多得多。政府对个人信息的收集和处理提高了公共安全程度,简化了日常通信和交易的过程。在这个社群场景下,国家消极保护义务的关键在于强调国家职能部门个人信息处理活动的适当性。在考虑个人信息处理活动有效性和私人生活安宁之间的平衡前提下,本文在借鉴“公平信息实践原则”的基础上,从过程控制与相关责任机制两个层面对国家消极义务进行阐述。
在国家机关作为个人信息处理者时,个人信息处理活动体现出更为明显的主体地位的不平等性和单向强制性,因此国家机关负有适当处理个人信息的义务,来限制国家权力的行使。以域外立法来看,公平信息实践原则(FIPPS)对政府机关个人信息处理过程的实体性内容(例如数据质量、使用限制)和程序性内容(例如知情同意)等方面作出了详细规定,这在一定程度上对个人信息开发利用的可接受方式做出了范例[38]。具体到我国国家机关进行个人信息收集的过程而言,首先,应要求包括国家在内的个人信息处理机构应周期性公布相关事项以实现个人信息处理过程的公开化。应当公布的内容包括:个人信息处理系统的名称、性质和目的,保存个人信息的人员类别和人数,保存的个人信息类别,本组织关于个人信息存储的政策和做法,个人信息的保留期限和处置细节。其次,个人信息处理者应在组织中指定负责个人信息处理的人员对每次访问进行完整准确的记录。个人信息的存储应保证其准确性、完整性和时效性。我国《个人信息保护法》第5 条至第12 条也对此作了原则性规定,并设专节规定国家机关处理个人信息的规则。适当处理个人信息的义务既有利于个人信息处理者信息权力的审慎行使,也有利于公共问责机制的展开。
在相关责任机制的构建方面,保证国家主体相关义务的履行是个人信息受保护权的防御权功能实现的必然要求。因此,我国应建立对国家机构不履行个人信息保护义务的问责机制。在GDPR 中,“问责制”(accountability)是个人信息保护的核心原则之一,其中包括需要采取适当的安全技术和组织管理措施、对数据受托方通过合同协议等方式确定责任、任命专门的数据保护负责人、记录并在必要时报告个人信息泄露、对可能对个人利益造成高风险的个人数据的使用开展个人信息保护影响评估并对数据处理活动进行记录和保存,个人信息控制者(GDPR 下的主要规制主体)通过履行这些义务以证明个人信息处理活动的合规性。[39]“问责制”一词通常用于许多治理领域,是指对国家主体一系列行为或决定追究相应的责任。根据问责的时间点,问责机制可以被分为“警察巡逻”和“火灾警报”两种模式。前者主张进行样本调查,目的是发现和纠正错误的行为并通过监督阻止这种行为。后者主张首先应当建立一个系统,相关团体有权发出警报,从而启动救济响应。本文认为应当二者兼采,把问责重点放在个人信息处理过程上,通过考虑谁来问责、何时需要问责以及问责的内容来实现问责的目标。
(三)受益权功能——国家给付义务的实现
个人信息受保护权的受益权功能是指所具有的可以请求国家作为某种行为,从而享有个人信息利益的功能。国家个人信息保护给付义务的履行是维护人的尊严,旨在满足人的生存发展需要,这里的生存不仅意味着活着,而且意味着有质量地活着。在个人信息处理法律关系保护领域,国家应当积极运用多种工具,通过构建事前风险预防机制和事后司法救济机制来实现给付义务,维护个人的人格尊严和人格自由发展。
在个人信息保护风险预防方面,公民基于特定需要而选择接受个人信息处理所带来的风险,国家负有为个人提供援助和支持的明确义务。对于现代社会人为风险的控制,要将注重外在的技术和制度转变为以内在的识别和应变能力为基础的控制[40]。在实践层面,为了解决此类风险,国家给付义务表现为通过立法对个人信息法律关系中的义务内容界定使之具体化,即明确对于个人信息受保护权实现所需的物质性条件和其他条件的范围、内容、数量、提供方式。风险预防的概念在《欧盟一般数据保护条例》中有多处体现,序言第75~77 条规定了数据管理员的风险预防义务,即要求个人信息控制者“考虑到数据处理的性质、内容、范围和目的以及侵犯数据主体的权利的风险”并提前采取适当措施,条例中关于数据保护影响评估、设计数据保护、敏感数据安全以及提供给数据主体的信息的规定都要求个人信息处理者考虑个人信息主体的权利和自由所面临的风险。基于该种类义务的个人信息保护立法有利于减少个人信息主体和个人信息处理者之间的信息不对称,进而降低有形损害(例如大数据杀熟)和无形损害(例如知情同意机制“架空”)的风险。我国《个人信息保护法》第55 条、第56 条对个人信息处理者作出个人信息保护影响评估义务和内容要求,都是通过立法实现国家“个人信息保护风险预防”给付义务的规范体现。
在个人信息司法救济的国家给付义务实现方面,国家应当协调各类司法救济机制。在个人信息权利受到侵犯后进行司法救济是法律职能之一,个人信息主体与个人信息处理者之间的争端也需要司法干预来确定明确的边界,这也是行政机关和司法机关的一项基本任务。当前的法律体系系统性地说明了违反个人信息保护制度所触发的行政责任、民事责任和刑事责任,并为个人信息权益保护引入了公益诉讼制度,但仍有诸多待完善之处。个人信息处理法律关系的保护也涉及多个法律领域,例如数据安全法、消费者保护法、反不正当竞争法以及网络安全法。面对各类责任的竞合,司法救济应当考虑多元法律责任机制的协同,以最简便的方式确立规则机制。综合来看应当继续完善以行政责任为中心、民事责任为辅、刑事责任为补充的追责梯度以平衡个人信息的私益保护和公益保护。在行政监管方面,需要引入行政监管等公法保护力量。在民事救济方面,处理信息权利纠纷需明确侵权或违约责任制度。在刑事规制方面,由于侵犯公民个人信息犯罪系新型犯罪且前置法律法规供给相对不足,应当本着谦抑性原则明确非法使用个人信息行为的入罪逻辑与出罪路径[41]。
结 语
互联网极大地提高了个人信息的可利用性,数字时代的到来创造了前所未有的机会来分享和获取自然人的个人信息。一方面,我们得益于通过数字通信技术轻松交换个人信息。另一方面,我们丧失了对这些信息在某种程度上的控制。信息社会背景下人对于生活安宁的基本价值诉求产生了个人信息处理法律关系合理保护要求。因此,当务之急是需要明确个人信息保护模式,本文通过探索基本权利保护模式的建构,明确国家主体的义务,打通公法与私法之间的壁垒。个人信息基本权利保护模式的核心之处也在于通过个人信息受保护权利功能和国家义务界定,构建合理的个人信息流通秩序,以协调当前存在的利益冲突。
利用大数据挖掘技术开发利用个人信息的潮流无法逆转。信息时代从人格利益到财产利益到竞争利益,还有消费者利益保护,这些都与个人信息的流通息息相关。个人信息保护是一个综合性问题,需要从基本权利的角度出发进行一系列立法、执法以及司法活动,而不仅仅是一部《个人信息保护法》。