个人信息权利束及个人信息处理自主决定权论析
2023-08-30宋才发
宋才发
摘 要: 我国民事法律制度把个人“信息权利束”定位于国家履行积极保护义务,通过“加快构建数据基础制度体系”的法治路径,保障个人自主控制范式下的个人信息权能实现。个人“信息权利束”是一个特定的法律概念,是国家制定法为公民个人设置的、在个人信息处理全周期内由个人合法行使的一组权利的集合。个人“信息权利束”具有宪法权利属性,需要强化个人信息主体权利体系的法治保障。信息保护法是规制个人信息权利的基本法,“告知同意”是体现个人人格自由的法律规制,查阅复制权、可携带权、个人信息删除权等,都是体现个人信息自主决定权的法律规制。“个人信息公开”是信息处理者处理个人信息的基础,“信息主体同意”是体现权利人自主决定的关键,“信息侵权救济”是维护权利人合法权益的举措。
关键词: 信息权利束; 信息处理; 告知同意; 查阅复制; 信息删除; 法律救济
中图分类号: D922.8; D923; D923.7 文献标识码: A DOI: 10.3963/j.issn.1671-6477.2023.03.001
习近平在党的二十大报告中强调要“提高公共安全治理水平”“加强个人信息保护”[1]。我国民事法律制度把保护个人“信息权利束”定位于国家履行积极保护义务,通过“加快构建数据基础制度体系”[2]的法治路径,依法保护个人信息、保障个人自主控制范式下的个人信息权能的实现。从法的本质上看,“个人信息权利束”是信息权利人对个人信息自我控制、自我保护、自主决定的重要手段,是民事主体对个人信息享有的法定权利。由《中华人民共和国民法典》(以下简称《民法典》)《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)规制的个人“信息权利束”,是国家制定法为公民个人设置的、在个人信息处理全周期范围内由个人合法行使的一组权利的集合[3]。
一、 个人“信息权利束”及民事权利体系释义
(一) “信息权利束”的基础概念是“权利束”
“权利束”是个外来词汇,也是近年来在我国被广泛使用的一种新的权利研究范式,即把一组权利边界界定清楚、权利内容规范清晰的权利,通过固定的“束点”,将其归集、组成为一束权利。对于“权利束”的研究,不仅要找到财产利益的根源,还要弄清楚“权利束”中的排他性。只有这样,才能做到有共同的“束点”,有清晰明了的“边界”。每一组权利只要是以“权利束”的形式出现,那么,这个“权利束”就必然有一个共同的“束点”,“束点”在本质上就是这组权利的“共同性”[4]。“权利束”的核心要义在于“主体多元”,反映在权利的形式上,就形成为“权利种类多样化”。“权利种类多样化”的特性,又是由权利主体的多元性和利益性决定的。正是由于体现权利所具有的“利益性”特点,才促成和使得这一资源上的多样化权利能够相互捆绑在一起而成为一组“权利束”。如果权利主体诉求的权利内容不是彼此关心的“利益”问题,那就无法形成具有法律意义的“权利束”。“权利束”原本是“制度经济学”(抑或“产权经济学”)的概念,自19世纪末期以来,对“权利束”的应用就已经与“产权”的应用相比肩。总之,“权利束”的内涵既是多元的,又是多样的,其不仅涵盖了权利主体的多元化,同时也包含了权利类型的多样化。就“内涵多元”而言,它主要体现为一种资源的主体多元,如有个人的、集体的、国家的,还有少数不明确主体的。就其“种类多样”而言,它主要表现为财产固有的权利,包括使用权、交易权、抵押权、租赁权、赠与权与准入权,以及拒绝使用这些权利的权利[4]。从法律意义上阐释和应用“权利束”概念,最广泛、最典型的要算土地“权利束”,它包括了土地的所有权、用益物权、担保权以及相邻关系权[4]。
(二) “信息权利束”是一个特定的法律概念
个人信息权是信息化时代产生的一种新型权利,个人信息权具有独立人格权的法律属性。法律保护信息权利人对个人信息自主控制、自我保护、自主决定的独立意志,具体地表现为保护信息权利人的知情权、决定权、保密权、封锁权、查询权、更正权、复制权、删除权和报酬权等项权能的独立行使。因而国家通过民事立法方式设置个人“信息权利束”,既是国家保护信息权利人合法权利、制衡信息处理者的法律规制,也是国家保护公民个人信息权益不受侵犯所必不可少的救济机制。《中华人民共和国民法典》第四编《人格权》中的法律规范采取概括、列举的方式界定个人信息权的内涵,这种对个人信息定义“可识别”的界定方式,体现了法律规制具体化、明示化的规范要求[5]。随后出台的《个人信息保护法》,在界定个人信息定义的时候,还对个人信息规定了“匿名化”的处置方式。对个人信息采取不能复原的“匿名化”处理,能够达到无法识别特定个人的目的[5]。法律之所以作出这样严格的法律规定,根本目的在于保护自然人对其个人信息所拥有的自主支配和自主决定权。当然,作出这样的法律规制并不意味着个人信息就不能被他人收集和使用。与“个人信息权”相适应的个人“信息权利束”,是指包括个人信息权利人知情、决定、保密、封锁、查询、更正、复制、删除、报酬等权能在内的一组权利集合[3],它既是信息权利人依法制衡信息處理者的法律工具,更是国家介入其中尤其是规制网络健康运行的法治手段。“信息权利束”是信息权利人对个人信息进行“自主控制”“自我保护”的重要举措,也是《民法典》《个人信息保护法》赋予民事主体依法享有对其个人信息的自主支配权。我国在大数据和数字经济的背景下,对个人信息数据的处理和开发利用已经由原来的“个人信息处理者”发展演变为“信息数据处理平台”机构。通过对个人信息的采集、分析、处理、决策等程序,进而深刻地影响和制约人们的生产生活方式。现代化的、先进的信息处理功能与手段,往往使个人信息权利人陷入被动的、受压制的境地,个人事实上无法单凭“信息自决”下的诸项权能来抵御侵害风险。由于我国对公民个人信息数据保护立法起步较晚,加之法律法规体系不够健全和完善,因而个人信息泄露以及非法流通利用等情形时有发生,给个人信息权利人的人格尊严、财产等合法权益带来现实的和潜在的风险。其实,“个人信息权利束并不是先在的民事权利集合”[3],也不是当下最佳的个人信息保护方式。若简单地把公民“信息权利束”表述为民事权利,实际上“无法对国家机关处理个人信息的情形进行合理的解释”[3],也容易“导致个人信息保护监管和执法机制在逻辑上陷入混乱”[3]。国家把个人“信息权利束”的权能与个人信息处理者的义务揉合在一起,构成了国家数据共享和对个人信息保护双重目标的“法秩序”。国家对个人“信息权利束”权能采取多种保护机制,相对于通过民事权利和个人本位的保护方式来说更加全面有效。这里需要指出的是,国家公权力对个人信息进行保护,其出发点和主要目的不是对公民个人私权损害进行救济,而是规制和约束个人信息处理者必须合法“合规”地处理和利用个人信息。
(三) 个人“信息权利束”具有宪法权利属性
从法律规制的视角看,信息权利人行使“信息权利束”的法定权利与个人信息处理者履行法定义务,是国家对个人信息处理活动予以规制的产物,两者的契合与共同发挥功能作用,构成了公民个人信息处理的法治规则。《中华人民共和国宪法》第三十三条规定:“国家尊重和保障人权。”[6]这条规定是在大数据时代,随着数字经济的快速发展而对人权保障提出的新要求。《中华人民共和国宪法》第三十八条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”[6]这条宪法规定,事实上就是个人“信息权利束”的宪法基础,正是在此基础上构建了一套“基础稳固、内容完整、结构合理的个人信息保护法律体系”[3]。国家构建公民个人信息处理的制度框架体系,在个人信息权利人与个人信息处理者之间形成清晰的信息处理权利义务关系,通过彼此制衡,最终达到和实现公民个人尊严保障及相关法益保护的目的。这也即是说,依据《宪法》保护规定,任何人、任何机构对个人信息处理不得逾越“人格尊严”的法律底线,这是我国宪法和民法的最基本的共同要求。《中华人民共和国民法典》是我国典型的“权利法”,但它不是完全意义上的个人信息“保护法”,也不是个人“信息权利束”的确认者。《民法典》第一千零三十四条至第一千零三十九条规定的个人信息保护,只是个人信息国家保护义务在《民法典》中的投影而已。《中华人民共和国个人信息保护法》开启了专门立法保护个人信息的新时代。《个人信息保护法》第一条开宗明义地指出:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”[7]这既是立法权法定原则的规范要求,也是对个人信息权益保护的《宪法》定位,有利于认识和证成个人信息权是具有《宪法》性质的基本权利[8]。它一方面表明《个人信息保护法》对《宪法》的遵循和依从关系,另一方面致力于构建“国家保护个人信息义务”[3]的框架,赋予国家对个人“信息权利束”的保护义务,既维护信息权利人个人信息的合法权益,又保障信息处理者和信息开发者合法利用有效信息资源,推进信息资源共建、共治、共享,降低信息监管和执法成本,提升国家数据治理水平。尽管《民法典》与《个人信息保护法》在保护个人信息权能和功能上存在显著区别,但《民法典》与《个人信息保护法》规定的权利结构却基本相同。如《民法典》在第一千零三十七条规定了个人信息主体的查阅权、复制权、异议权和删除权[9];《个人信息保护法》在第四十四条至第四十七条则规定了个人信息主体的知情权、决定权、查阅权、复制权、异议权、删除权与可携带权[7]。国家构建个人信息保护法律体系的目的,不是要禁止个人信息的流通和运用,而是要保障数据处理活动全过程、全链条的公平性、合理性和谨慎性,以求达到和实现个人信息处理风险与流通效益的均衡[3],也即是说,《个人信息保护法》规定了个人信息处理的一般规则与特别规则,构建起个人信息处理活动规范化的基本框架,对个人在个人信息处理活动中的权利、个人信息处理者的义务以及履行个人信息保护职责的部门也作出了规定①。个人“信息权利束”作为公法工具性权利的界定,表明任何侵害个人“信息权利束”的行为将不只是单纯的民事侵权,而是公然抑或直接侵犯公法上的“法秩序”。尽管《民法典》规定的民事侵权责任机制已经在围绕个人信息侵权损害展开民事赔偿和法律救济,但国家仍不忘规制信息权人秉持权利规则、信息处理者恪守义务规则,这是国家权力机关履行“个人信息受保护——国家保护义务”的体现。
(四) 强化个人信息主体权利体系的法治保障
尽管《民法典》和《个人信息保护法》都具有保护个人信息主体(即个人信息权利人)的法律规定,但是《民法典》和《个人信息保护法》毕竟是两部性质和功能不同的法律。如《民法典》在第一千零三十七条中,概括性地规定了个人信息主体所享有的一系列民事权利,并且使这些权利具有“请求权”的基本特征。这即是说,《民法典》从立法价值到规定基本原则、具体制度均体现了时代性[8];《个人信息保护法》则从保护信息权利人合法信息权益,支持信息处理者合法利用和开发数据资源的视角,对个人信息处理者泄露、毁损和窃取信息权利人信息的行为进行规制,回应了当下以及未来人们对于个人信息权利保护的重点,凸显了前瞻个人信息保护的前景[8]。再从法的延续性和继承关系看,《个人信息保护法》所规定的知情权、决定权等系列权利,正是对《民法典》相关民事权利的延续、继承和发展。因而无论现在抑或将来,任何割裂、否認《个人信息保护法》和《民法典》内在联系的观点和做法,都是不符合我国成文法特质要求和脱离我国立法实际的[8]。正在修订中的我国《电信和互联网用户个人信息保护规定》,将是一份对公民个人信息保护予以规制的规范性法律文件,也是强化应用程序责任链管理、健全个人信息保护的制度规范[10]。之所以需要尽快修订先前曾起过开先河作用的《电信和互联网用户个人信息保护规定》,是因为它对网络运营主体收集、使用个人信息的规范比较粗糙、缺乏明确的指引,事后救济不足以保护个人信息的需要[11]。为了遏制对个人信息权益的侵害并加大处罚力度,《中华人民共和国刑法修正案(九)》专门增设了侵犯个人信息罪、拒不履行信息网络安全管理罪等罪名[12]。《中华人民共和国网络安全法》也规定了网络运营者收集、使用个人信息的一般原则和保护义务,规定了违反相关义务的行政处罚规范[13]。我国推出的《信息安全技术个人信息安全规范》(GB/T35273-2017)等标准[14],已成为衡量和认定网络运营者是否落实主体义务的主要依据。为了加强对个人信息主体民事权利体系的制度构建,建议在“十四五”规划期间乃至更长的时间内,由最高人民法院针对个人网络信息保护作出专门的司法解释,对侵权违约责任构成要件予以明确规范,对侵权违约责任的赔偿计算方式、赔偿标准予以明确厘定,将大规模个人网络信息泄露事件纳入公益诉讼案件受理范围[13]。
二、 公民个人“信息权利束”的法律规制
(一) 信息保护法是规制个人信息权利的基本法
在世界百年未有之大变局的时代,怎样有效实现对个人信息处理的知情权、自主决定权,已成为世界范围内个人信息保护最具认同的权利,且大多已转化为实证法上的权利[8]。由于个人信息处理存在着不可预测性、不可预见性和难于防范的风险,易导致规制失灵、秩序失调,以致出现失控、失序甚至危及公民权利、社会福祉、公共秩序的严重态势,并集中地体现和暴露出社会某些领域、某些方面的“治理赤字”。尽管人们从人权、宪法权利以及公私法域等多角度提出自身对于权利的诉求,但实证法只能框定在某些具有最大共识的权利诉求上面[8]。我国是历史悠久、底蕴深厚的成文法国家,法律规范是公民行使个人权利的基本依据。信息数据权利涉及公民基本权利,理应给予绝对权利的法律保护效力[4]。我国现行的《民法典》与《个人信息保护法》,就是个人行使相应请求權的基本法律。个人信息权利人在理解和适用决定权、知情权和可携带权等公民个人信息权利的时候,可以同时适用这两部法律的相关规定。由于“信息”只是数据的表征形式,唯有“数据”才是信息的真实载体。因而这里所论及的“决定权”“知情权”,实际上只是个人信息权利人权利体系的基础,而查阅权、复制权、异议权、删除权和可携带权等具体权利体现出来的才是散射交叉的系列权能,法律指向的是信息权利人个人“信息权利束”的实际内容,它是法律规制个人信息主体权利体系的核心[8]。与此同时,个人信息处理者在理解和运作查阅权、复制权、异议权和删除权等信息权利的时候,同样可以同时适用这两部法律的相关规定。可以说,我国个人信息权益保护立法,在本质上就是“以大规模、高度组织化的个人信息处理者为规制原型”的[8]。对于信息处理者所承担法定义务的规定而言,可以说《个人信息保护法》比《民法典》更为全面、细致和具体。凡属于我国《民法典》没有规定的具体适用的情形,个人信息权利人可以依据我国《个人信息保护法》的规定,请求个人信息处理者履行相应义务[8]。我国《民法典》并没有专门规定个人信息处理者的民事责任,而《个人信息保护法》则在第六十九条规定了个人信息处理者的“过错推定责任”②。信息处理者的法定义务和应尽责任,贯穿个人信息权益保护的全过程。在未来的实践中对民事责任的法律适用,应当优先适用《个人信息保护法》的规定。如果信息权利人能够证明自己因之而受到精神损害,则可请求相应的精神损害赔偿。
(二) “告知同意”是体现个人人格自由的法律规制
个人“信息权利束”中的数据权利,包含法律规定的“人格权”,以体现《民法典》对信息权利人自由与尊严的法律保护。“告知同意”是民事法律制度确立的个人信息保护的核心规则,也是体现和维护信息权利人信息权利的重要规则,更是明晰和确认信息权利人与信息处理者之间权利义务关系的“合同规则”[15]。我国《民法典》第一千零三十五条规定,处理个人信息需要“征得该自然人或者其监护人同意”[9];第一千零三十六条还规定,“合理处理该自然人自行公开的或者其他已经合法公开的信息”[9],不承担民事责任。需要指出的是,《民法典》在这里只是把信息已被“合法公开”视为未经信息权利人同意而处理信息的“免责事由”,并没有把它作为处理个人信息“正当化”的合法基础。与此相应,《个人信息保护法》第十三条规定,个人信息处理者处理个人信息必须“取得个人的同意”[7],即是说,在《个人信息保护法》里,“取得个人的同意”是对个人信息处理者的一项硬性规定。这两部法律的两条规定,被法学界视为“对告知同意规则地位的确立”[16]。同时还需要指出的是,这里“同意”的本质含义,是指在信息权利人“知晓”“知情”的前提下,对自己个人信息享有的决定权[17]。民事权利意义上的“同意”和“约定”既有区别又有联系,有时分立,有时合并。“同意”作为侵权法上的“免责事由”,必须是个人信息权利人合法、真实的意愿,不得违反法律的强制性、禁止性规定[18],也不得违反《民法典》规定的公序良俗原则。但是,我国《民法典》和《个人信息保护法》没有对“告知同意规则”予以明确设定,规范的内容也没有考虑为信息权利人保留博弈的机会。实事求是地说,“告知同意规则”关于“理性人”的设定有悖于现实情况[16]。从另一方面考察分析,由于信息主体单方面享有决定、变更等项权利,信息主体一旦单方面行使变更权(单方面变更权原本是针对信息主体利益受损而设定的事后救济权),势必会违背信息处理者的预期并致使其利益受损。这些现实问题的客观存在,不仅有违民法的公平公正原则,而且与“告知同意规则”在个人信息保护中的重要地位不相称。鉴于“告知同意规则”在实践中存在诸多现实问题,建议未来法律修改在保持现有“告知同意规则”的制度框架下引入激励机制,即“在对信息处理者激励的层面上,赋予告知同意规则以排除管理性强制性规定的功能,并限制信息主体单方变更权的行使范围。”[16]我国个人信息保护的激励机制来源于两个方面:一方面是来源于国家对信息处理者的激励,即通过国家对信息处理者施以激励措施,促使信息处理者以自我调节的方式实现自律,这种“软法之治”可以减少个人信息侵权的可能性。另一方面是来源于信息处理者对信息主体的经济激励,即通过信息处理者给予丧失博弈机会的信息主体经济补偿或经济激励,激发信息主体畅通信息交流渠道和激发信息交易积极性,实现信息权利人与信息处理者之间的利益平衡。从理论分析和实践效应上讲,引入激励机制既有利于实现个人信息保护与个人信息流通的有效平衡,有利于信息处理者高质量地履行告知义务,也有利于提升信息权利人提供高质量的“同意”[16]。
(三) “查阅复制权”与“可携带权”的法律规制
“查阅复制权”是信息权利人在个人信息处理活动中的一项重要权利,个人信息权利人向信息处理者请求“查阅”抑或“复制”的是自己过去的信息,“查阅复制权”是个人信息“查阅权”和“复制权”的综合统称。法律赋予信息权利人“查阅复制权”的权能,是法律保护信息权利人个人享有“知情权”的具体体现。依法实施法律规定的“查阅复制权”,不仅有利于拒绝或防止他人对个人信息的有害性处理,而且有利于实现信息权利人的个人信息“决定权”[19]。即使已经去世了的人,也可以通过近亲属维护其合法正当的权益,其查阅复制权便是非常重要一项维权手段[20]。《个人信息保护法》第七条规定,“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。”[7]如果个人信息处理者违背“公开透明”原则,故意采取隐秘的、暗箱操作等途径和方式,那就属于侵害“个人信息知情权”的非法行为,必将受到应有的法律制裁。我国的个人信息“查阅权”“复制权”“可携带权”“更正权”和“补充权”,是由《个人信息保护法》在第四十五条和第四十六条中明文规制的。依据我国《个人信息保护法》第四十六条的规定,信息权利人请求更正、补充其个人信息的,个人信息处理者必须在核实其个人信息的前提下,予以及时更正和补充,这是法律对个人信息处理者规制的法定义务。需要指出的是,《个人信息保护法》视域下的“查阅复制权”,不同于其他法律规定的“查阅复制权”,它以实施我国《宪法》规定的“人格尊严”、“通信秘密”以及“人身自由”为目的,体现了公民个人信息国家保护义务的制度性保障[21]。“数据可携带权”是由欧盟《一般数据保护条例》第二十条规定的“一种新型的数据主体权利”[19],即信息权利人对已经同意信息处理者处理的数据信息,“有权要求该控制者提供结构化的、通用的、机器可读的、能共同操作的以格式形式加以提供的权利”[19]。我国现行网络安全和个人信息保护的法律,只是将信息主体之同意作为数据处理的合法性依据,目前尚未规定任何例外情况[22]。我国审议通过《个人信息保护法》的第一次“草案”和第二次“审议稿”,均没有列入“数据可携带权”。全国人民代表大会宪法和法律委员会经过反复研究,建议增加规定“个人请求将其信息转移至其指定的个人信息处理者,符合国家网信部门规定的条件的,个人信息处理者应当提供转移的途径”[23]。于是才有了我国现行《个人信息保护法》第四十五条关于“个人可携带权”③的法律规制。《个人信息保护法》第四十五条第三款中“符合国家网信部门规定条件”的法律表述,实质上是在授权国家网信部门依法作出具体细则,以促成信息权利人实现对其个人信息活动的决定权,促进平台信息交流规范有序创新发展。
(四) “个人信息删除权”的法律规制与私法救济
法律通常所论及的“删除权”,“是指在符合规定条件时,作为信息主体的个人所享有的请求个人信息处理者删除所处理的个人信息的权利。”[24]“个人信息删除权”在性质上属于个人信息的一项权能,是信息权利人对其个人信息处理活动享有决定权的体现,它不同于自然人“撤回同意”以及网络侵权责任中的“通知删除”规则。信息权利人启动删除权的一个直接动因,是由于个人信息权益遭遇到违法行为的严重侵害,或者事实上超越了事先约定的范围,信息权利人因之而要求信息处理者停止对信息的处理并予以删除。信息处理者“拒不删除”的,必须依法承担侵权法律责任。信息处理者对信息权利人个人信息“超期保存”,未履行删除义务的也构成法律侵权责任。《个人信息保护法》所保护的信息权利人的合法权利和权益,不只是关注信息隐私和信息主体的可识别性权利,还关注个人信息作为评判信息主体的功能[24]。在《个人信息保护法》规定的“个人信息删除权”的法律规制中,行使个人信息删除权的权利主体是信息权利人,义务主体是个人信息处理者。符合《个人信息保护法》第四十七条规定的情形之一的,“个人信息处理者应当主动删除个人信息”④。删除权也适用于“搜索引擎”,但要区分不同情形并作出必要的限制。《个人信息保护法》第四十七条第二款规定了信息权利人不得行使删除权的两种具体情形:一是属于“法律、行政法规规定的保存期限未届满”[7],个人不得行使删除权,但法律规定“处理者应当停止除存储和采取必要的安全保护措施之外的处理”[7]活动。二是属于“删除个人信息从技术上难以实现的”[7],个人不得行使删除权,但“可以采取停止除存储和采取必要的安全保护措施之外的处理,以实现删除个人信息旨在达到的目标”[24]。在数字化和数字经济时代,应当允许信息处理者根据情势变更原则改变或增加新的处理目的,但是“应当重新取得个人同意”[25]。建议在未来法律修改时对“不同意就不提供服务”,强行“取得个人同意”等违反自愿原则的效力给予否定评价[26]。“个人信息删除权”作为信息权利人的一项极为重要的民事权利,尽管它确实具有公法的属性,但不宜将其认定为公法上的权利,因为它是由《民法典》所确认的一项民事权益。当信息权利人遭受的侵害无法在《个人信息保护法》中找到法律依据进行救济的时候,可以通过适用《民法典》有关规定予以救济,因为个人信息删除权“受到私法规范的全面保护”[27]。
三、 信息权利人对个人信息的自主决定权
(一) “个人信息公开”是信息处理者处理个人信息的基础
这里论及的“个人信息公开”,以信息权利人的个人信息处于客观公开状态为前提,并不限定于特定的利益保护目的[28]。《个人信息保护法》规定的“已公开的个人信息”[7]范围,既包括信息权利人按照本人意愿自行公开的个人信息,也包括依法被“行政公開”、“司法公开”等其他以合法方式公开的个人信息。已公开的个人信息以及取得信息权利人同意、允许被合理利用的个人信息,是信息处理者合理利用和处理个人信息的前提和基础。《个人信息保护法》第十三条规定,在知情同意的主体框架之外,列举了五项可豁免于同意规则的合法处理情形及一项兜底规则,明确把“已公开的个人信息”列为可豁免于同意规则的合法处理事由[28]。中共中央、国务院发布的《关于构建数据基础制度更好发挥数据要素作用的意见》,从数据产权、流通交易、收益分配、安全治理四方面系统性地构建了数据要素基础制度,为新时代新阶段实现经济社会高质量稳健发展,凸显数字应用创新的数字生态奠定了坚实基础[29]。可以说,《“十四五”数字经济发展规划》《关于加快建设全国统一大市场的意见》等重大部署,都是围绕数据要素市场培育、促进数字经济高质量发展及营造良好的数字生态环境而展开的[29]。当然,信息处理者对已公开的个人信息的处理,毕竟是《个人信息保护法》规定的“知情同意规则”的一种例外。因而在“一定范围内”和“一定条件下”,弱化对已公开的个人信息的保护力度,是数字经济时代倡导个人信息共建、共治、共享机制的现实需要,也是我国保护个人信息权益司法实践的传统做法。譬如,《关于维护互联网安全的决定》就明确规定,公民个人信息安全特指公民的通信自由、通信秘密,不包括公民已公开的个人信息[30];《关于加强网络信息保护的决定》第一条,强调要“保护网络信息安全,保障公民、法人和其他组织的合法权益”[31],但没有认定收集已被合法公开的个人信息属于非法。《个人信息保护法》增设了“个人信息的公开状态”标准,将处理不同类型的个人信息的准入门槛分为三级:(1)在处理敏感个人信息等特定情形的时候,要求获得个人单独同意方可处理;(2)在处理普通个人信息时,需基于法定合法性基础才行;(3)在处理已公开的个人信息时,则无任何准入的限制性规定。为此,就需要对个人已公开的个人信息予以明确规范。已公开的个人信息“应限于向不特定多数人发布、无需借助特殊手段即可从公开渠道合法获得的信息。若信息处理将对信息主体权益有重大影响,需适用告知同意规则。”[32]但是这里所论及的“一定范围内”、“一定条件下”抑或“合理处理范围”,应当基于个人信息权利人的主观意愿予以界定,除非该处理是《民法典》第一百一十七条所规定的“为了公共利益的需要”[9]的情形。信息权利人一旦向社会公开自己的个人信息,此时的公民个人信息即转化或转变为社会公知领域的信息,信息处理者既不必局限于信息被公开时的用途,也无需契合信息主体公开该信息时的意图,完全可根据自己的意愿处理信息[32]。如果在这种情势下,法律规范不能够规定或界定已公开的个人信息的“合理处理范围”,必将影响到信息权利人对个人信息的自主决定意愿,也必将“削弱个人信息保护制度的制度意义和私法意涵,减损对个人信息自助决定权的有效保障。”[32]值得肯定的是,与《民法典》相比,《个人信息保护法》从立法上明确了对已公开的个人信息实施弱化保护,使得已公开的个人信息可以被合理处理的原则不失为平衡信息保护负担的务实之举。因而,信息处理者哪怕使用了个人信息“公开之外的”其他非常手段,诸如对个人信息进行分析、改编、再使用等行为手段,亦不构成侵权。
(二) “信息主体同意”是体现权利人自主决定权的关键
信息权利人能够以“同意”的方式行使和实现自主决定权,其根据就在于《宪法》规定的个人尊严、自由以及由主体地位推演而来的个人事项自主决定权。信息处理者只有获得“信息主体同意”,才能使自己对信息权利人的信息处理合法化、正当化。《民法典》第一千零三十五条、《个人信息保护法》第十三条,都规定了个人信息处理者要取得信息权利人的同意[7],确立了“信息主体同意”这个体现权利人自主决定权的合法性地位。我国法学界对“信息主体同意”涵义的理解,事实上存在着几种不同的看法,有必要进一步从理论上予以辨析和辩证。比如,“敏感个人信息说”认为,同意规则仅适用于敏感个人信息,由于这种观点违背了《个人信息保护法》“个人信息处理规则”的“一般规定”,因而在未来的司法实践中不宜被采纳运用;“全部个人信息说”认为,同意规则适用于全部个人信息,由于它不利于实现《个人信息保护法》中“促进个人信息合理利用”的规定,因而在未来的司法实践中也不宜被采纳运用;“全部个人信息+匿名信息说”认为,同意规则适用于《个人信息保护法》规定的“个人信息”与“匿名信息”,由于它不符合《个人信息保护法》第四条中“不包括匿名化处理后的信息”的规定,因而在未来的司法实践中仍然不宜被采纳运用[33]。现代社会是一个充分尊重他人不同观念和不同选择的社会,法律允许与特定个人没有社会关系的人收集、储存、传输、使用该特定个人的信息,但限于收集、使用结合识别个人信息,不得在分析特征的过程中分析出乃至暴露信息主体的真实身份,这就是个人信息领域陌生人的行为规范[33]。由于事实上没有办法保证个人信息处理者能够自觉地遵守法律规定和行为规则,这也是国家之所以制定“禁止性规定”配套法律责任条款的根本原因。个人信息处理者在收集信息权利人个人信息之前,往往需要通过各种途径去查询和了解信息主体的身份,这就在客观上给信息处理者履行“取得同意义务”带来一定的困难。现代社会又被称之为“陌生人社会”,隐匿个人身份是陌生人社会的显著特点和普遍做法。尽管现代社会人与人的交往愈来愈频繁、关系愈来愈密切,社会交往需要身处社会中的每个人允许其他人了解自己,但是这种要求必须限制于与个人有交往关系的人之间。信息主体是否需要隐匿个人身份便成为当今社会个人自主决定的重要事项。为此,我国立法借鉴并吸纳了欧美国家“直接标识符”概念。“直接标识符”是指能够单独识别特定自然人身份的信息,如身份证号码、社会保险号码、指纹识别、人脸识别等信息,其“身份指向意味着存在直接标识符即足以识别信息主体真实身份”[33],因而“直接标识符”便成为当下信息主体最主要的风险源。这是因为个人信息与个人身份的勾连通常依赖“直接标识符”,个人信息处理最大的风险在于,信息处理者有可能把信息主体的“直接标识符”不适当地甚至违法地传导给其他具有特定身份的自然人[33]。
(三) “信息侵權救济”是维护权利人合法权益的举措
无论是“查阅权”“复制权”“可携带权”抑或“删除权”,都是法律规定的个人信息权益的具体权能,而不属于独立的人格权益[34]。同时“查阅权”“复制权”“可携带权”抑或“删除权”等各项权能的行使,又都是在个人信息处理活动中发生的,其指向均聚焦于个人信息处理者[35]。当信息权利人向个人信息处理者请求“查阅”“复制”“可携带”“删除”其个人信息的时候,个人信息处理者没有任何理由拒绝信息权利人的正当请求。一旦信息权利人的正当请求遭到信息处理者拒绝之后,信息权利人有权向履行个人信息保护职责的部门予以举报和投诉。没有救济就没有权利,信息权利人也可以请求法院保护其正当的权利并获得司法救济。《个人信息保护法》在第七章《法律责任》中规定,采取行政责任、刑事责任和民事责任相结合的办法,为信息权益受害人提供全面的法律保护。依据我国《个人信息保护法》第五十条规定,“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制”[7]。这条规定实质上为个人信息权利保护提供了一条新的救济渠道。在个人信息处理者拒绝个人行使权利请求时,信息权益受害人“可以依法向人民法院提起诉讼”[7]。《民法典》第七编《侵权责任》中把“损害赔偿”作为侵权责任的核心功能,不仅意味着侵权责任法不仅回归传统债法,而且增强了《民法典》把《传统债法》分为《合同》与《侵权》两编的正当性[36]。《个人信息保护法》不但在第六十九条把“损失”作为“侵害个人信息权益”侵权的前提,而且引入了“公益诉讼制度”,这是对“个人隐私”侵害和“个人信息”侵害予以救济的重大制度创新。个人信息权益保护适用公益诉讼的重大制度安排,从根本上解决了利用互联网进行个人信息侵权的治理难题,为规范非法处理个人信息侵害众多个人权益的行为提供了公益诉讼的法律依据[37]。在“十四五”期间乃至更长的时间内,需要从救济程序上建立健全相应的投诉处理机制,逐渐形成多维并进的程序救济体系[38],尤其要从侵权责任角度思考有条件地承认“预期侵权制度”,正视和肯定被侵权的风险并予以赔偿,以此完善个人信息侵权损害救济[36]。需要明确提醒和慎重指出的是,法律规定行政责任、刑事责任的着眼点是制裁侵害个人信息权益的组织或者个人实施的违法行为,因而包括惩处性的罚款、罚金等,都不是对受到损害的权利人的个人给付,而是依法上缴国库。唯有“民事责任”才是既为国家负责又为受害者负责的规定,所有通过制裁手段获得的财产赔款直接给予受害人,以救济和填补所遭受的财产损失和精神损害[39]。
注释:
① 在违法行为的“法律责任”中,既包括处理者违法处理个人信息的民事责任、刑事责任和行政责任,也包括国家机关不履行个人信息保护义务而应当承担的行政系统内部责令改正、给予处分等公法上的责任,为个人信息权益提供法律上的综合保护。参见张新宝的论文《论个人信息权益的构造》,《中外法学》2021年第5期第1144-1166页。
② 《中华人民共和国个人信息保护法》第六十九条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”
③ 《中华人民共和国个人信息保护法》第四十五条第三款规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”
④ 《中华人民共和国个人信息保护法》第四十七条规定:“有下列情形之一的,个人信息處理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。”
[参考文献]
[1] 习近平.高举中国特色社会主义伟大旗帜 为全面建设社会主义现代化国家而团结奋斗:在中国共产党第二十次全国代表大会上的报告[N].人民日报,2022-10-26(01).
[2] 习近平主持召开中央全面深化改革委员会第二十六次会议强调 加快构建数据基础制度 加强和改进行政区划工作[N].人民日报,2022-06-23(01).
[3] 王锡锌.超越民法:个人信息权利束的法理重构[J].中国社会科学,2021(11):115-134.
[4] 闫立东.以“权利束”视角探究数据权利[J].东方法学,2019(2):57-67.
[5] 郑维炜.个人信息权的权利属性、法理基础与保护路径[J].法制与社会发展,2020(6):125-139.
[6] 中华人民共和国宪法[M]//中华人民共和国常用法律大全.北京:法律出版社,2019:6.
[7] 中华人民共和国个人信息保护法[N].人民日报,2021-08-23(14).
[8] 姚佳.个人信息主体的权利体系:基于数字时代个体权利的多维观察[J].华东政法大学学报,2022(2):87-99.
[9] 中华人民共和国民法典[N].人民日报,2020-06-02(01).
[10]工信部.正修订《电信和互联网用户个人信息保护规定》[EB/OL].(2022-06-14)[2022-10-02].中国新闻网,baijiahao.baidu.com/s?id=1735584452028600768&wfr=spider&for=pc.
[11]杨芳.个人信息自决权理论及其检视[J].比较法研究,2015(6):112-121.
[12]中华人民共和国刑法修正案(九)[Z].中华人民共和国全国人民代表大会常务委员会公报,2021(S1):256-269.
[13]曾磊.我国个人网络信息保护立法的制度构建[J].广西社会科学,2020(5):126-131.
[14]董贞良.GB/T 35273-2017《信息安全技术个人信息安全规范》解读[J].中国质量与标准导报,2018(6):25-27.
[15]万方.个人信息处理中的“同意”与“同意撤回”[J].中国法学,2021(1):167-188.
[16]赵婧薇.个人信息保护中告知同意规则的规范构造[J].北方民族大学学报(哲学社会科学版),2022(2):143-150.
[17]贾元.基因权利保护和基因技术应用行为的法律规制研究[J].北方民族大学学报(哲学社会科学版),2019(2):144-150.
[18]陆青.个人信息保护中“同意”规则的规范构造[J].武汉大学学报(哲学社会科学版),2019(5):119-129.
[19]程啸,王苑.论我国个人信息保护法中的查阅复制权[J].法律适用,2021(12):17-27.
[20]程啸.论死者个人信息的保护[J].法学评论,2021(5):13-23.
[21]王锡锌.个人信息国家保护义务及展开[J].中国法学,2021(1):145-166.
[22]敖海静.关于《一般数据保护条例》规定的同意的指南[J].中德法学论坛,2021(1):235-268.
[23]江必新.全国人民代表大会宪法和法律委员会关于《中华人民共和国个人信息保护法(草案)》审议结果的报告:2021年8月17日在第十三届全国人民代表大会常务委员会第三十次会议上[Z].中华人民共和国全国人民代表大会常务委员会公报,2021(6):1131-1133.
[24]程啸.论《个人信息保护法》中的删除权[J].社会科学辑刊,2022(1):103-113.
[25]刘权.论个人信息处理的合法、正当、必要原则[J].法学家,2021(5):1-15.
[26]郭锋,陈龙业,贾玉慧.《个人信息保护法》具体适用中的若干问题探讨:基于《民法典》与《个人信息保护法》关联的视角[J].法律适用,2022(1):12-22.
[27]王利明.论个人信息删除权[J].东方法学,2022(1):38-52.
[28]宁园.“个人信息已公开”作为合法处理事由的法理基础和规则适用[J].环球法律评论,2022(2):69-84.
[29]张平文.夯实基础制度 激发数据活力[N].光明日报,2022-12-24(6).
[30]全国人民代表大会常务委员会关于维护互联网安全的决定[Z].中华人民共和国国务院公报,2001(5):21-23.
[31]全国人民代表大会常务委员会关于加强网络信息保护的决定[Z].中华人民共和国全国人民代表大会常务委员会公报,2013(1):62-63.
[32]马新彦,刘睿佳.已公开个人信息弱化保护的解释论矫正[J].吉林大学社会科学学报,2022(3):62-76.
[33]李群濤,高富平.信息主体同意的适用边界[J].财经法学,2022(1):3-17.
[34]程啸.民法典编纂视野下的个人信息保护[J].中国法学,2019(4):26-43.
[35]杨立新,韩煦.被遗忘权的中国本土化及法律适用[J].法律适用,2015(2):24-34.
[36]谢鸿飞.个人信息泄露侵权责任构成中的“损害”:兼论风险社会中损害的观念化[J].国家检察官学院学报,2021(5):21-37.
[37]张新宝,赖成宇.个人信息保护公益诉讼制度的理解与适用[J].国家检察官学院学报,2021(5):55-74.
[38]张陈果.个人信息保护救济机制的比较法分析与解释论展开[J].苏州大学学报(法学版),2021(4):77-86.
[39]杨立新.个人信息处理者侵害个人信息权益的民事责任[J].国家检察官学院学报,2021(5):38-54.
(责任编辑 文 格)
Personal Information Right Bundle and the Decisive
Right on Personal Information Processing
SONG cai-fa
(Law School,Inner Mongolia University of Finance and Economics,Hohhot 017000,
Inner Mongolia,China)
Abstract:In Chinas civil legal system,the state needs to fulfill the obligation of active protection to protect personal “bundle of information rights”,and to guarantee the realization of personal information rights under the paradigm of individual independent control through the legal path of “accelerating the construction of data basic system”.Personal“bundle of information rights” is a specific legal concept,which is a collection of rights legally exercised by individuals in the whole cycle of personal information processing set up by national laws.The Information Protection Law is the basic law that regulates the right to personal information.To inform and consent is the legal regulation that reflects the freedom of personality.The right to copy,carry and delete personal information is all the legal regulation that reflects the right to make independent decision on personal information.“Disclosure of personal information” is the basis of information processors to deal with personal information,“information subject consent” is the key to reflect the right holders independent decision,and“information infringement relief” is the measure to safeguard the right holders legitimate rights and interests.
Key words:information right bundle;information processing; inform and consent; view and copy; deletion of information;legal remedy