个人信息民事确权的功能定位与制度适用*
2023-01-08商希雪
□ 商希雪
内容提要 随着《个人信息保护法》的出台,个人信息保护的规范框架已经基本形成。在规范层面,个人信息控制能力的权利化表达也愈加具体和细化。个人信息民事确权的核心功能在于保障信息主体对信息的控制能力。在具体制度适用层面,需要处理好以下两方面问题:一是要根据不同的信息法益及其保护场景,明晰知情权、同意权与具体的信息自决权的具体规范目的,以及相应的权利构成要件和法律效果;二是要结合不同的法律实践,恰当区分信息主体对于隐私权、信息安全保障权、信息控制权的本质诉求与发生场景,进而确定各自的规范体系和规范思路。
目前,针对频发的超越必要权限、超同意范围的信息收集及信息处理行为,一方面我国立法尚未对个人信息的自主控制做出细化设置,另一方面司法实践难以支持用户表达反对收集、 要求访问或删除等控制其个人信息的正当诉求,而是主要采取隐私权侵权保护模式。不同于隐私权的法益保护内涵,个人信息控制权利主要指信息主体对自身信息的控制能力.信息主体对其信息的交付和使用具有自由决定权,法律应确定与现实保护该项独立法益。①当前,我国个人信息一系列立法已经或即将出台,规范层面主要从技术手段保障、数据处理者履责、信息主体控制等三个维度加强对个人信息的保护。然而,各部门法融合视野的规范模式导致司法适用的茫然.司法实践如何适用最新立法与落实规范目标,需要通过学理阐释搭建规范与适用层面的桥梁。对此,应区分公、私法领域各自的规范目标与规制对象,进而厘清各方的权义界限与责任性质。
一、个人信息控制能力的权利化表达
自决能力是个人信息权利的核心法益,当事人应按照自己的意志处理其个人信息所承载的各种价值,如若违背了信息主体的自由意志,则侵犯了自然人的个人权利,理应有寻求相应的民事救济的权利。
(一)个人信息权利制度的正当性
信息控制能力赋权的合理性在于以下几方面:第一,不是所有的数据处理都具有侵犯性,也不是所有的数据都具有隐私敏感性。不同类型个人信息的自决权益存在不同程度的行使边界,因此有必要对个人信息做出类型划分,并在该分类基础上设置具体的自决制度。第二,信息自决不宜理解为信息主体对其信息的绝对控制,也应结合技术管控进行赋权。比如,借鉴GDPR 规定的与自动决策和分析相关的权利。此类权利实际上是一种保障,防止在没有人为干预的情况下机器的自动决策和分析做出一些可能具有破坏性的决定。如果自动决策是基于明确的同意或法律授权,则该权利不可继续行使。GDPR 将“自动分析”定义为旨在评估公民个人事项的任何形式的自动处理,例如工作中的表现、健康状况、个人偏好、经济状况、地理位置等。如果信息主体确实要借助自动分析,必须确保存在充分的安全措施,例如确保使用了适当的数学或统计程序、保护了个人数据、制定了能够纠正错误的措施,并将错误的风险降到最低。第三,释放数据的利用价值是发展数字经济的核心要义,信息自决并不是排斥数据控制者的处理利益。必须承认,积极行使型信息权益在实务中很难落实与执行,用户(潜在的信息主体)数量庞大与诉求多元,相对而言,企业的人力与财力则较为有限,若配合实现信息主体的自决权利,需付出的成本过高。在开放的互联网场域,数据控制者去判断、 确定并通知所有第三方其实是不可能完成的任务。因此,法律保护实践应考量企业合规的成本高低与可行性做出判断。第四,人格权保护制度无法涵盖个人信息承载的所有信息主体利益,并且在数字化使用场景中,信息主体相关的信息权益不必然首要适用人格权保护制度。个人信息权法益涵盖人格尊严、数字生活便利、市场经济利益等法益集合,人格权保护制度(如隐私权制度)、个人信息权利保护制度均为其提供了制度保障。在数字化产业中,鉴于某些信息产品或服务的运营需要收集与使用个人隐私信息,隐私信息的合理商业使用同样需要适用个人信息权利制度,而非传统的人格权制度。
(二)信息控制能力的权利化及其权利内涵
“个人信息自决法益” 起源于20 世纪六七十年代,当时的社会背景是信息自动化处理技术的产生与普及,信息技术的发展对信息主体的自主权产生了直接影响。鉴于数据处理的海量化与深度化,关于数据控制者(包括政府机关与企业)在大量收集与深加工个人信息过程中对于信息主体做出的任何决定,信息主体均无从知晓哪些数据会被使用、用于何种目的、使用期限等事项,考虑到公共或私人组织处理数据是出于公共性职能目的,信息主体基本上对数据处理无任何干涉能力。由此,为了更好地平衡双方的“信息力量”从而诞生了数据保护制度,以及独立于隐私权的数据权利。②因此,“信息自决”理念的产生是为了防止过度收集与使用个人信息,亦是隐私权利与数据权利的分野初始。③个人信息自决权的行使逻辑为:“如果对某种法益的保护成为个人自我发展之桎梏,那么就没有保护的必要,法益主体即具有对法益的自由处分可能性。”④基于该精神,个人信息权利内涵应该被理解为控制和操纵个人信息是“决定自我生活”的实现方式,信息控制能力是个人能够决定自己生活的前提条件。⑤个人信息被保护权与个人信息权在权利结构上存在差异,两者的目标保护法益并无实质区分,但是权利结构的不同造成了法律救济渠道的差异,个人信息被保护权难以有力支撑信息私权利益的个人维权主张。那么,原则上该如何划定社会可普遍接受的个人信息权利内容? 第一,在个人信息公开之前,当事人有权决定个人信息公开的内容、方式、程度、范围、环境等;第二,在个人信息公开之后,当事人有权决定对个人信息的进一步处理,以保证已被收集的信息不被扭曲;第三,个人信息完成预期处理目的后,当事人有权决定是否留存与删除个人信息。综上,信息控制能力包括信息披露、信息处理、信息去留等三项权利内容。
(三)个人信息控制权与信息安全保障、隐私权的内涵界分
个人在个人信息处理活动中的权利,属于手段性权利或救济性权利,旨在保护个人信息权益在内的个人权益。⑥据此来看,个人在处理活动中涉及的权益涵盖个人信息权利、 信息安全保障权利、 隐私权利等,但个人信息权与信息安全保障权、隐私权存在本质差异,应对各自蕴含的权益内容予以区分。
1.个人信息控制权与信息安全保障权的内涵区分
信息自主控制不等同于信息安全。我国现行刑法处罚向他人出售和非法提供个人信息行为,针对的是个人信息的泄露与公开行为,维护个人信息在保存上的安全,尤其针对数据库,背后的保护法益为社会秩序与公共安全。而信息自决权益保护信息主体对于个人信息的自主控制,旨在保障信息主体的信息控制力,彰显对自然人人格利益与自主选择生活方式的尊重,《民法典》 将个人信息自决权规定于人格权编也反映出这样的法益归属立场。因此本文重点关注的是个人信息控制能力,对于个人信息安全问题如线上或线下的信息泄露或窃取行为暂不做具体探讨。侵害信息安全主要表现为非法获取、泄露、毁损、篡改、丢失个人信息,并可能引起下游侵害行为导致信息主体具体人身或财产权益的损害。侵犯信息控制能力主要表现为:(1)数据控制者超越必要权限、或者超出同意范围的信息收集或权限获取、 或者未经同意进一步处理个人信息;(2)未适当提供信息主体访问、更正、删除个人信息的功能,或者无合法依据而拒绝信息主体访问、更正、删除相关个人信息的要求。目前,在司法实务中个人信息纠纷案件所涉及的个人信息多数发生在非自动化处理环境下。⑦因此,对于非自动化处理个人信息所产生的纠纷,本质上并不属于信息权利的法律纠纷范畴。
2.个人信息控制权(个人信息权)与隐私权的内涵区分
信息控制权与信息隐私权(不止限于隐私信息)也存在本质区分。隐私权诉求是不愿被他人知晓、不想被披露,个人信息权诉求是决定信息是否被收集与处理(封闭的信息通信环境中),从而获取便利的数字服务。所以,信息主体应当根据不同的个人权益诉求场景,选择适用隐私权保护制度或个人信息保护制度,不必然为人格权制度绝对优先适用。目前司法实践中法院主要适用隐私权制度保护个人信息权,部分判决中还出现将两者混用不予区分的做法。⑧数据权利制度存在两个保护维度:其一,保护个人的隐私(人格尊严),因此原则上禁止处理个人敏感信息;其二,保护个人的自决(个人发展),因此原则上禁止数据自动化处理,增加信息流动的透明度并加以限制,以防止公共或私营数据控制者与信息主体之间形成或延续不成比例的信息权力关系。隐私权制度保障隐私信息不被公开以及被公开后的救济途径,相应地,信息隐私法律制度的核心原则是禁止处理个人私密信息。而信息权利制度旨在保障个人信息保持在信息主体可控制其动向的状态,保护信息的隐私利益适用隐私权侵权保护制度即可。值得注意的是,信息主体对于隐私信息仍然享有自决权,关于个人敏感信息的自决规范同样归属信息自决法律体系。⑨美国、德国、我国台湾地区等判例均承认隐私的财产价值,而我国隐私权仅承载人格利益。目前,兼顾人格权与财产权的个人信息权益的司法保护实践在逐步推进,针对个人信息保护纠纷,隐私权侵权有可能逐步沦为宣示性权利,丧失个人信息权利救济的实际意义。⑩
二、个人信息权利的双层规范路径与体系化梳理
当前,我国规范层面对个体控制自我信息能力的赋权主要表现为知情权、 同意权与具体的决定权。《民法典》第1035 条确立了个人对其信息的同意权,第1036 条确立了知情权、更正权与删除权等,⑪《个人信息保护法》第四章则构建了完整的信息权利体系。
(一)知情同意与具体自决权的双层规范体系
信息控制能力的表现阶段包括收集阶段与后续的数据处理环节,收集阶段的同意表示是后续行使具体信息自决权的前提条件。体现在规范设置上,知情同意权与具体的信息自决权呈现双层运行模式。信息控制能力范畴的知情同意权与具体的信息自决权,在现实操作中是两类不同行使机制的权利。
1.知情同意权与具体信息自决权并行的双层规范路径
知情同意机制的设置目的为: 一旦个人同意成为信息主体,即有权获知任何有关个人信息被处理的动向与处理目的,也有权访问、(随时)查阅、修改个人信息,同时也可随时不附条件地撤销原先对数据收集方的同意。⑫尽管知情权并非是独立的信息自决权,但用户同意及协商机制是信息自决权产生与行使前的一道门槛,在平台服务协议中应明确用户对数据控制者进行数据处理以及自身对信息服务或产品调整需求时的介入内容、干涉方式等,进而从制度保障与技术支持的双重纬度明确与落实个人对被收集信息的后续控制能力。⑬因此,从个体赋权角度,关于个人信息意思自治权利的规制,目前国内外规范层面主要从以下两个维度构建:一方面,针对数据控制者对于信息的收集、权限的获取、信息的共享、信息的进一步处理等信息处理行为,原则上适用告知同意制度,对应信息主体的知情同意权,数据控制者对此应履行告知同意义务。当然,告知同意也不是“万能的” 免责机制,其适用与效力也应受到一定的限制,如不得超越公民的通信自由和通信秘密、隐私权等基本权利的保护;⑭另一方面,针对信息服务运营中的个人信息,信息主体同样享有控制与自决的权利,主要满足访问、修改、更正、删除、携带信息等个体自控诉求,数据控制者对应附随的协助义务。值得注意的是,具体信息自决权的行使与实现主要依赖于技术路径。由此,关于个人信息的私权保护设置,知情同意权与具体信息自决权实则为两个相对独立的私权自治轨道,规范层面上表现为双层的权利机制,共同构成了个人信息权利体系,但两者在利益内涵与行使目标上是一致的。但也需要说明,两者在实行机制上存在现实区分,知情同意权的落实需要被告知行为的配合,且主要发生在收集环节。在收集环节上征得同意主要是保障信息安全,这就与具体信息自决权的单纯私权属性有所不同。在当前个人信息保护的执法行动中,违规收集个人信息、强制频繁过度索取权限、 违规使用个人信息和定向推送等侵犯个人信息的问题最为突出,其中最常见的侵犯行为即“违规收集个人信息”,该类信息侵犯行为不限于侵犯个人私权领域,相较于访问、修改、删除、携带等用户个体化的行为操作,收集行为一般统一面向不特定的海量规模的用户,其规范性同时也关乎公共信息安全与网络空间的公共秩序,因此与个体自主行使的具体信息自决权在规制目标上存在差异。
2.抽象的信息自决能力与具体的信息自决权利:知情同意规范的间接赋权
根据相关法律文件的规定,个人同意是信息得以处理的主要前提之一,因此间接赋予了信息主体的同意权,《个人信息保护法》 第四章专章规定了个人在个人信息处理活动中的权利,但未直接提及信息享有同意权,仅在第47 条规定撤回同意是信息处理者主动删除信息的法定事由之一,第44 条则规定信息主体有知情权,但知情权不等同于同意权。因此,在目前制度体系下,信息处理规则是赋予信息主体同意权的主要依据。从权利行使目的来说,知情同意是用户就本人信息处理问题表示自决意愿的表现,也是落实信息自决能力的方式和手段。考察我国理论界关于个人信息自决权与知情同意权关系的阐述,有学者认为,个人信息权主要是指对个人信息的支配和自主决定。个人信息权的内容包括两个层面的行使路径:一是个人对信息被收集、被利用、被处理等方面的知情权;二是自己利用或者授权他人收集、处理、利用的决定权。⑮另有学者认为,个人信息控制权是需要通过个人信息保护法确立的一项新型公法权利,而非具体的人格权。⑯还有学者指出,侵犯公民个人信息罪的保护法益是个人信息权中的信息自决权。⑰不谈整体个人信息权的法律地位与部门法领域,仅从私权保护层面的法益内涵来说,主体同意本质上属于广义上信息自决(控制)能力的范畴。对于上述论断,一个关键问题需要廓清:在权利外延上,个人信息自决权是否涵盖知情同意权?尽管从权利内涵来说,知情同意权蕴含自决权能的行使。但是从权利规范形式看,本文认为不宜将知情同意权视为独立的信息自决权利。这是因为:(1)在规范要件构成上,知情同意机制并非为信息自决意愿的表达机制,因此,在规范层面上知情同意权不是某一具体的信息自决权;(2)知情同意权并非某一具体权利,而是一个较为宽泛的权利概念。几乎所有信息权利均蕴含知情与同意权能,知情与同意是行使各项数据权利的权能内容,因此也并不存在独立的“知情同意权”;(3)鉴于知情与同意是两种权能机制,“知情同意权” 也并不是专门的权利组成,例如在收集阶段描述为收集(知情)权、同意(收集)权则显得更为恰当;(4)一般来说,知情同意的获取与表达主要发生在信息收集与权限获取阶段,因此从时间上来说,收集阶段的知情同意是产生后续具体信息权利的前提。并且,收集阶段的知情同意权与被收集后产业运营过程中的知情同意权在权利内容与行使方式上也不同。
基于上述分析,针对个人信息权益的现实实现,知情同意权的规范要件较为分散,知情同意更应视为一种权利保障机制或权能内容,其法律地位应从两个层面理解:(1)从权利行使角度,知情同意权应为信息隐私权与自决权等具体信息权利的权能内容;(2)在信息安全层面,信息主体的知情同意权对应数据控制者的数据安保责任、 附随告知或协助义务。所以,个人信息权利如知情同意权与具体信息自决权,均指向个人信息自控能力的实现,但是从规范要件维度,知情同意权不是具体的信息自决权。知情同意制度更应作为一种权利保障机制和权能内容,并且主要与数据控制者的安保责任、合规处理、协助义务等强制性规范相结合运用,基于该考量思路,知情同意权在一定程度上可视为一种独立权利。知情同意权重点针对信息或权限获取环节; 信息自决权主要针对后续的产业运营环节。所以,对信息主体的知情同意能力赋权是行使信息自决权的前提,但告知同意机制下的知情同意权并不是信息决定权本身。《个人信息保护法》第44 条对知情、决定的并列描述,亦间接证实了这一点。
(二)个人信息权利的体系化梳理
《民法典》 第1037 条规定的个人信息主体的权利当然属于民事权利,⑱由此说明法律层面已赋予个人对于其个人信息享有民事权益。基于所规定的个人信息权益内容的一致性,其他法律文件如《个人信息保护法》在第四章规定的个人在个人信息处理活动中的权利,亦属于民事权利。在此基础上,针对既有的关于个人信息权益的规定规则,以下将系统性梳理完整的个人信息权利体系。
1.基于告知同意机制的知情同意权与撤回同意权
知情同意权是对透明处理原则的权利回应。梳理现有规范规则,知情同意权包括直接的知情同意权与间接的知情同意权。(1)直接的知情同意权,主要包括同意收集权、同意营销权、同意(进一步)处理权。⑲例如,在国内“人脸识别第一案”中,法院认为,园方未经告知并获取用户事先同意就收集用户人脸信息的行为,侵犯了当事人的个人信息权。因此,侵犯知情同意权实质是侵犯个人信息权的行为。(2)间接的知情同意权,即撤回同意授权的权利。《网络安全法》《民法典》均未提及主体撤回授权同意的权利,但立法确认同意撤回权已成为全球个人信息保护立法的趋势与共识,我国最新颁布的《个人信息保护法》也体现了这一点,根据《个人信息保护法》的相关规定,信息主体行使撤回同意权不只限于信息收集阶段,这是因为,在最初的同意收集阶段,信息主体往往很难判断做出该同意将面临何种后果,因此撤回同意在信息收集、使用、保存、共享等数据全生命周期内均可行使。此次将“撤回同意”升格至法定权利,显示了立法对个人信息的严格保护态度。⑳此外,《App违法违规收集使用个人信息行为认定方法》 第3条第8 款规定,App 运营者未向用户提供撤回同意收集个人信息的途径、方式的情况,属于“未经用户同意收集使用个人信息”的违规行为。
2.非基于告知同意机制: 积极行使的具体信息自决权
个人对信息的自主控制主要表现为访问(查询)、更正、修改、补充、复制、携带等,《民法典》第1037 条概括性规定了个人信息主体的权利,自然人可以向信息控制者依法查阅、 抄录或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。《民法典》明确了我国当前法定信息自决权包括访问权、 更正权与删除权等三项具体权利。《个人信息保护法)》第四章则专章呈现了完整全面的信息主体的个人信息权利体系。在目前我国规范体系下,理论上信息决定权可分为信息处理权利、删存权利与规则解释权。
(1)信息处理权利
从行使权利角度分析信息处理权,可做以下划分:1)访问权:数据主体访问权是基础性权利,数据主体有权向数据控制者确认与其相关的数据是否正在接受处理以及有关的操作。信息访问权包括查阅、抄录或者复制信息等后续权利内容。在目前规范体系下,《民法典》《个人信息保护法》规定自然人可以向信息控制者依法查阅、 抄录或者复制其个人信息。《移动互联网应用(App)收集个人信息基本规范(征求意见稿)》则从规范数据控制者角度规定App 应向用户提供实时查询信息收集类型与数据接收方身份的功能。2)更正、补充权:《民法典》《个人信息保护法》 规定自然人发现信息有错误时有权提出异议并请求数据控制者及时更正。由此意味着更正权蕴含异议权,因为表达异议是行使更正权的前提。《网络安全法》规定,用户发现网络运营者收集、 存储其个人信息有错误的,有权要求网络运营者予以更正。两者对于更正权的发生场景要求一致,均是以记载错误为前提。3)限制处理权、拒绝处理权(反对处理权):对比之前的个人信息保护规范,《个人信息保护法》第44条新增了信息主体的限制处理权与拒绝处理权,即个人有权限制或者拒绝他人对其个人信息进行处理。4)数据可携权:《个人信息保护法》首次规定了数据可携权,第45 条第1 款规定“个人有权向个人信息处理者查阅、复制其个人信息”;第3 款规定了“个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。至此,数据可携带权被正式纳入我国个人信息保护法律体系,成为信息主体的合法民事权利。由此显示,个人对其提交给数据处理者的信息可实现更全面的控制。㉑
(2)信息删存权利
数据删存权利主要包括储存、删除、注销信息的权利,根据信息主体的主动性,又可分为自主删除与更正删除两类。其一,自主删除型删除权。基于存储限制原则,数据存储时间不得长于实现处理目的所必需的时间。因此,数据控制者需要建立定期清除制度。㉒需要注意,综合分析有关规定来看,信息主体的删除权同时也受一定程度的限制,具体表现如下:(1)根据《民法典》的规定,信息主体仅可就被违规(主要指超出权限)收集或处理的信息部分,要求信息控制者删除;(2)根据《电子商务法》的规定,网络消费者可要求电子商务经营者删除所有的个人信息,包括先前授权平台获取的信息。《电子商务法》确立的信息删除权利的内容更全面,但仅限电子商务消费场景,《个人信息保护法》则采纳了同样的立场,由此,删除权的适用对象涵盖所有的信息使用场景。《数据安全管理办法(征求意见稿)》第23 条规定,网络运营者利用用户数据和算法推送新闻信息、商业广告等“定向推送”服务,应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能; 用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。可以看到,个人信息规范层面对于商业应用场景中的信息使用持非常严格谨慎的保护态度。此外,在删除信息时,信息处理者同样需要征得用户的同意,而目前尚无相关的规定。本文认为,未经同意的删除行为应被视为“毁损信息”行为,适用网络运营者不得毁损信息的相关规定。其二,更正或排除妨害型删除权。该类信息删除权以信息记载存在错误为前提。㉓结合相关规范可以总结出,信息删除请求权的前提要求是:(a)信息来源是由第三方非法披露与传播,或者(b)受到商业推广信息的侵扰,或者(c)被违规收集的部分。值得注意的是,《个人信息保护法》第47 条为信息主体提供了一项类似“行为中止”的删除权救济保障措施,即当信息主体主张行使删除权时,如果保存期限尚未届满或技术操作难以实现,个人信息处理者则应当中止或停止处理个人数据以作为对信息主体删除权的救济。
(3)规则解释权利
《个人信息保护法》第48 条规定了信息主体的规则解释权,该项权利包含对信息处理的算法解释权,且仅针对平台服务协议。一方面,根据透明原则,解释说明权蕴含公开与“可懂”两项法益内容;另一方面,过度频繁的解释说明工作会极大增加处理者的运营成本。基于一般经验,用户要求处理者解释信息处理规则主要出于对该处理规则可能影响其合法权益的担忧(如大数据杀熟等),又因为信息技术的高度专业性,用户很难理解具体处理过程及技术原理,响应《个人信息保护法》第17 条的立法精神,该规定在适用中应蕴含以通俗易懂语言解释的要求。
三、 个人信息民事权利制度的规范不足及其司法应对
随着民众对于个人信息权利意识的觉醒和提升,司法诉讼中涌现出越来越多的个人信息保护纠纷,例如,对于未经用户同意推送商业短信,用户主张侵害其个人信息及隐私权等。㉔在类似案例的判决中,法院认为,个人信息权益的核心在于自然人对其个人信息的知情同意权和对信息传播的控制权,信息主体对个人信息传播的控制利益属于人格权益。㉕然而,鉴于立法层面对个人信息权利的规范概括性与模糊性,司法层面如何认识与落实个人信息权利的保护实践,尚需独立的权利认知和理性的判断程序。
(一)目前我国个人信息权利规范的不足
知情同意权是指,未经信息主体的同意,数据控制者不得对个人信息做出预期目的之外的处理或使用;具体的信息决定权则是指,信息主体可随时访问、更正、携带与删除信息的权利。上述两类信息权益的实现机制,均对应数据控制者的安保责任或附随性协助义务。在目前的制度体系下,个人信息民事权利的规范要件依旧不够完整与明确,不利于指导司法实践以及信息主体积极行使信息权利。
1.知情同意权表达场景的分散性
在商业应用场景中,App 运营者收集信息与获取权限原则上必须遵循知情同意规则,应履行告知同意义务。《App 违法违规收集使用个人信息行为认定方法》 规定了以下违规行为的构成与要求:“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”,由此侧面反映了侵犯信息主体个人意愿的行为表现,即意味着,在上述App 运营环节,信息主体享有行使知情同意权的需要与空间。整体上来看,《认定方法》 对于信息产业规范运营的规制思路主要从“未经同意”角度定性了数据控制者收集行为的违法违规性,核心围绕主体同意制度,体现了保障个人对其信息的控制能力,以尊重个人信息所承载的人格利益与人格尊严。因此,App 运营者如果实施了上述违法违规的收集、获取、告知行为,均侵犯到了信息主体对于其个人信息的知情同意权。国家标准《个人信息告知同意指南》规定了告知同意的适用情形、免于告知同意的情形、告知同意的基本原则、告知同意制度的具体实践等,并在附录部分关于未成年人个人信息、SDK、IoT等九类场景下告知同意制度的具体实践提供了建议,知情同意权呈现规范分散性与内涵多元性。
2.具体的信息自决权法律要件的不完整性
在《个人信息保护法》出台之前,我国已有一些法律或其他规范性文件对民事性质的个人信息权利做了初步规定。其中比较典型的是《民法典》《网络安全法》《电子商务法》《个人信息安全规范》等规范文件。在个人信息权利的要件构成上,上述文件为个人信息私权保护的整体思路提供了基本参照。但是,当前制度保护体系下在信息权利保护适用上主要存在以下两方面问题:
其一,某些具体信息自决权的法定要件不统一,导致相关的规范性文件难以衔接适用。以删除权为例,一方面,《民法典》《网络安全法》《个人信息保护法》规定自然人发现信息控制者违反法律、行政法规的规定或者双方的约定收集、 处理其个人信息的,有权请求信息控制者及时删除。《App违法违规收集使用个人信息行为认定方法》 第六节亦明确规定了“未提供有效的更正、删除个人信息及注销用户账号功能” 的行为可以被认定为未按法律规定提供删除或更正个人信息功能。㉖由此看到,信息控制者违反法律、行政法规的规定或者双方约定进行收集或处理数据是删除权行使的前提要求。此处针对数据控制者的不法收集行为行使删除权,可视为知情同意机制失灵后的后续补救措施,删除权是可被直接行使的权利,而非知情权被侵犯后的救济权利。《全国人大常委会关于加强网络信息保护的决定》 所规定的删除权则与上述规定在发生场景与保护法益上显著不同,《决定》 中的删除权针对的是以网络信息形式泄露个人身份或隐私或发送商业邮件而导致侵扰的情形,公民有权要求删除相关个人身份或隐私的信息,此处对应的是网络运营者,与数据控制者是不同的法律主体身份,后者主要是指数据产品或服务的运营者,而前者的范围则更加广泛,不限于数字产业领域。另一方面,删除权的法益保护目的为: 当信息存储期限届满或者收集或持有信息的最初目的已经不存在时应赋予信息主体删除权。但是,我国当前删除权规范目标在于防范数据控制者违法违规收集或使用行为,而非出于落实数据处理的目的限制原则。对于上述规定规则的规范构成,其法律要件在司法适用上存在缺陷。其二,未提供具体信息权利对应的保护标准,《民法典》《个人信息保护法》 等基本数据立法缺乏配套性规定,专门立法需要后续实施细则的进一步落实。以数据可携权为例,《个人信息保护法》第45条对数据可携权仅作出了原则性规定,具体的适用要求与配套规定尚未出台,例如对行使数据可携权时传输数据的格式规定不明确。基于此,作为我国制度体系下完全新出现的权利类型,对数据可携权的理论基础尚不完全明晰,理论与制度之间的结合尚需学理解释的衔接,例如,考虑到平台企业的合规成本以及发展平台经济角度,可以从个人信息类型、处理方式、处理目的、平台规模以及对第三方权益影响等方面对数据可携权的行使做适当限缩。综上来看,法律保护实践中目前存在的主要问题在于:一方面,条款本身并不完整,只规定了发生场景,并主要表现为警告性规定,而未从私权行使层面规定信息主体的行使行为、 数据控制者的违规行为标准与对应的民事责任。《民法典》《个人信息保护法》 中涉及个人信息权利的条文大部分也是不完全规范,与审判、执法实践主要适用完全性规范的现实需求相背离,㉗由此导致个案之间法律适用的争议较大,执法与司法中的尺度无法统一。
(二)侵害个人信息民事权利的司法判断思路
根据《个人信息保护法》第50 条与第69 条规定,如果个人信息处理者拒绝个人行使权利的请求,个人可以依法向人民法院提起诉讼。以及,因处理个人信息造成个人信息权益损害的,个人信息处理者应当承担损害赔偿等侵权责任。由此可知,对于具体信息权利行使遭遇障碍、个人权益遭受损害,均具有可诉性。但由于《个人信息保护法》的施行时间较短,尚无对此规定的配套解释,以及私法领域未明确对个人信息进行确权以及缺乏具体的保护措施规定,当前司法处理中多采纳隐私权保护模式。㉘针对个人信息立法赋权与司法维权存在脱节的问题,2020年12月29日,最高人民法院印发《关于修改〈民事案件案由规定〉的决定》的通知,在新变更的第三级案由“隐私权、个人信息保护纠纷”项下增加“隐私权纠纷”、“个人信息保护纠纷”。由此表明,针对个人信息保护纠纷,司法工作应具备独立的权利认知。前面已论述,侵害个人信息权利本质上侵害的是信息主体的信息控制力。在司法审查中,需要结合个案情况做出具体判断:第一,在信息保护纠纷中,被侵害的法益是否属于信息控制利益?第二,信息主体对信息的失控达到何种程度时可被认定构成损害?下一步,在规范层面上,鉴于个人信息权利可分为知情同意与自主支配两类权利束,两者在适用场景、要件构成、权利行使、责任设置等方面并不统一,既有区分又存关联。司法实务中要落实个体的信息保护制度,不应仅符合对隐私政策的评估,更需要从本质价值层面做出衡量。针对信息技术可能给个人控制能力带来的威胁,阐释个人信息权利时应结合具体的信息使用场景。例如,个人信息权与隐私权在客体利益上不同,隐私权是防御性权利,隐私信息优先适用隐私权保护指的是隐私信息受到披露侵害时,在当初信息收集与处理过程中则应适用个人信息相关规范。
基于信息主体对于不同信息不同程度的可控力,在司法认定中,各类信息自决权益的行使边界如下:(1)对于私密信息,信息主体最在意的是隐私利益的维护,而对于自决权益的行使仅限于某些特殊的应用场景,例如数字医疗中的生理健康数据。因此,信息隐私保护优先适用隐私权制度,特殊情况下适用个人信息自决制度;(2)对于个人敏感信息,信息主体最关注的是信息安全的保障。鉴于敏感信息的敏感性在于“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、 身心健康受到损害或歧视性待遇等”,㉙因此,对敏感信息的法律保护可能适用具体的人格权制度如隐私权、名誉权、肖像权等,也可能适用个人信息自决规范,两类制度在适用上并无明显优先性;(3)对于其他(一般)个人信息,仅适用个人信息自决制度,一般与人格权保护无交集。值得注意的是,上述制度适用考量首要指向信息主体的权利救济路径,数据控制者对于信息主体应承担民事责任。同时,上述情形中亦可能涉及《网络安全法》《刑法》 及其他规范中数据控制者应担负的刑事或行政责任。
结 语
在数字化社会模式下,个人信息权利具有双重法益属性,既涉及自然人的人格维护,又关乎数据产业的开发与运营。因此,隐私与数据保护法律制度应有所演变,以适应信息技术的发展给社会、政治、经济领域带来的根本变革,个人信息的确权即具有现实意义。由于普通用户对互联网技术的认识和掌握明显处于劣势,个人很难了解其个人信息如何被处理和利用,对此缺乏直接和间接的控制力。个人信息保护与大数据利用之间的互动关系本质上取决于主体信息控制能力的程度大小与现实行使。个人信息权利规范设定了个人信息私权利益的保护边界,也并不会阻碍数字经济的创新发展,合法合规视野下的信息处理行为会促使数据资源的开放利用进入良性循环。对于自然人对其个人信息的控制能力,理论层面应首先厘清个人信息权利在立法设置与司法适用中的合理性与可行性,进而实现协同运转效力以保障民众正在呼吁的个人信息保护诉求。鉴于当前规范层面关于个人信息保护的规定尚不完善,一方面,立法应逐步细化与具体化,出台配套性文件加强规范自身的可操作性;另一方面,法律实务应把握个人信息保护规范旨在保障的真正权益内涵,进而切实落实个人对于信息权利的主张与诉求。
注释:
①姬蕾蕾:《大数据时代数据权属研究进展与评析》,《图书馆》2019年第2 期。
②Rouvroy Antoinette & Poullet Yves,The Right to Informational Self-Determination and the Value of Self-Development: Reassessing the Importance of Privacy for Democracy, in Gutwirth, S., Poullet, Y., de Hert, P., de Terwangne,C., Nouwt, S.(Eds.).Reinventing Data Protection? Springer,2009, p.68-69.
③Hans Peter Bull, Informationelle Selbstbestimmung Vision oder Illusion? Hamburg, 2009, p.22; European Union Agency for Fun-damental Rights and Council of Europe,Hand book on European data protection law (2018 edition),Luxembourg: Publications Office of the European Union,2018, p.19-20.
④[日]曽根威彦:《刑法学の基礎》,成文堂2001年版,第51 页。
⑤Rouvroy Antoinette & Poullet Yves, The Right to Informational Self-Determination and the Value of Self-Development: Reassessing the Importance of Privacy for Democracy, p.51-52.
⑥程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第327 页。
⑦余远芳:《个人信息的侵权法救济:〈民法总则〉第111 条的司法适用》,https://mp.weixin.qq.com/s/hY5Lyg-iPA TZZRuVmXx6dg,2021年5月12日访问。
⑧李怡:《个人一般信息侵权裁判规则研究——基于68个案例样本的类型化分析》,《政治与法律》2019年第6 期。
⑨商希雪:《个人信息隐私利益与自决利益的权利实现路径》,《法律科学》2020年第2 期。
⑩辛小天:《个人信息民事救济如何解困隐私权诉之惑》,https://mp.weixin.qq.com/s/srgOTnGVCCfPy1eYQTNBow,2021年7月25日访问。
⑪⑯周汉华:《个人信息保护的法律定位》,《法商研究》2020年第3 期。
⑫蔡星月:《数据主体的“弱同意”及其规范结构》,《比较法研究》2019年第4 期。
⑬P.Samuelson, Information as Property: Do Ruckelshause and Carpenter Signal a changing Direction in Intellectual Property Law? Catholic University Law Review, 1989,38(2).
⑭张新宝:《个人信息收集: 告知同意原则适用的限制》,《比较法研究》2019年第6 期。
⑮王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4 期。
⑰刘艳红:《民法编纂背景下侵犯公民个人信息罪的保护法益: 信息自决权——以刑民一体化及 〈民法总则〉第111 条为视角》,《浙江工商大学学报》2019年第6 期。
⑱姚佳:《个人信息主体的权利体系——基于数字时代个体权利的多维观察》,《华东政法大学学报》2022年第2 期。
⑲该权利行使表现为信息处理上的自决性,围绕最小化原则、目的限制原则与信息透明原则展开。《个人信息安全规范》第7 条第3(a)款关于个人信息的使用限制具体规定了个人信息的访问控制措施、展示限制、使用目的限制;用户画像的使用限制、个性化展示的使用、基于不同业务目的所收集的个人信息的汇聚融合、信息系统自动决策机制的使用等具体事项,主要针对数据控制者在信息使用上的行为要求与注意规定,在同意范围内的使用限制,主要以业务范围为判断标准。
⑳南财合规科技研究院:《个人信息保护法合规启示报告》,2021年8月。
㉑武晓莉:《〈个人信息保护法〉亮点解读 个人数据可以带着走》,《中国消费者报》2021年8月25日,第4 版。
㉒《数据安全管理办法(征求意见稿)》第20 条、《民法典》第1037 条第2 款、《电子商务法》第24 条、《App 违法违规收集使用个人信息行为认定方法》第6 条。
㉓《个人信息安全规范》第8 条第3 款、《全国人民代表大会常务委员会关于加强网络信息保护的决定》 第8条、《网络安全法》第43 条。
㉔刘晓春、李梦雪:《2021年数据竞争与个人信息保护典型案件盘点》,《中国对外贸易》2022年第2 期。
㉕梁某诉汇法网案,(2021)京04 民终71 号。
㉖尽管本文认为注销权是删除权的延伸性权利,但从立法上来看,注销权是独立于删除权的数据权利,鉴于《民法典》《个人信息保护法》并未提及注销权,本文不列注销权作为法定的具体信息自决权。
㉗丁宇翔:《个人信息民事司法保护的若干难点及破解路径》,《中国审判》2019年第19 期。
㉘冷传莉、 李怡:《司法保护视角下的隐私权类型化》,《法律科学》2017年第5 期。
㉙喻海松:《侵犯公民个人信息罪的司法适用态势与争议焦点探析》,《法律适用》2018年第7 期。
