摘要:我国民法典和个人信息保护法并没有确立“个人信息权”概念,但有关条文使用了“个人信息权益”的概念表述,由此带来了关于“个人信息权益”的理解困惑。从法律实证的角度来说,现行法其实并未对个人信息主体基础法益进行直接确权,而是将其隐含规定在对“个人信息处理规则”为重心的体系设计之中,呈现为一种反射利益意义的基础法益设定。在这种意义上,可以将“个人信息处理规则”视为“以保护他人为目的的法律”。针对个人信息处理规则隐含个人信息基础法益的特点,我国个人信息保护法还引入了以强化多重治理体系、压实行为主体责任为内容的独特实现路径,具体包括“个人在个人信息处理活动中的权利”、“个人信息处理者的义务”、“履行个人信息保护职责的部门”、“法律责任”四个方面的合力。以此为分析,可知我国个人信息保护法第四章“个人在个人信息处理活动中的权利”,其所确立的多项个人信息保护权,属于强化治理体系结构中的机制内涵,而不可混同理解为基础法益。这些权利因具有请求权的形式,也称个人信息保护请求权,可以纳入广义人格权请求权的范畴。
关键词:个人信息主体基础法益;个人信息处理规则;反射利益;个人信息保护权
一、问题的提出:认识数字化背景下个人信息主体基础法益设计的特殊性
互联网信息技术及其设备的井喷式发展,促成了一个数字化时代的产生。尤其是近三十年来网络化、数字化迭代发展,从根本上改变了各类主体捕捉世界信息和相互交流的能力,进而使我们得以生活“在一个由技术塑造的、由信息推动的世界”,其结果是“无论我们去哪里,无论我们做什么,我们都很容易留下数据的痕迹,这些数据被记录和收集在一起”。在大数据、人工智能等技术得到广泛开发和应用之后,更是推动了一个高度数字化的极大信息社会的形成。“大数据已经成为新发明和新服务的源泉,而更多的改变正蓄势待发。”各类主体,包括政府、机构、企业甚至一些个人,基于各种需求,日益追逐开发或利用各种近乎魔幻化的技术设备,尤其是越来越数字化的互联网系统,获得和累积海量信息,进而追求实现所谓的基于数字化的管理或者经营的极大效率。
新发展总是会带来新问题,迭代性发展甚至会带来全新的问题。数字化时代带来的最核心的问题之一,是个人信息保护问题。这一点已经成为当今世界共识。目前,已经有140多个国家出台了个人信息保护立法,对个人信息保护挑战作出回应,便是例证。为什么个人信息保护问题会成为当今数字化时代的核心问题之一?这是因为,首先,数字化的便利导致了个人信息极其容易被获得,使得个人信息本身可以进入人类行为或者活动的领域。在过去,个人信息绝对可以属于个人的自处范畴,除非个人自愿或者与其密切交往的人予以披露、传播,难以为社会查知;但是现在,在数字化背景下,网上浏览或购物、使用微信、进行电子化储存或交互等,已是个人极其通行的数字化活动场景,这就使得个人信息已经无法自处,很容易就成为平台或他人同时掌握的东西。其次,数字化趋势中,个人信息已被各类主体视为极其重要的旨在获取或利用的信息对象。各类主体发现,通过获取或者攫取的个人信息,在管理、经营或者交往中,可以取得洞悉他人的特殊效果,形成一边倒的情报优势或者知情优势,从而得心应手地从事对他人的管理、交易和交往。这种情况下,显然引发了是否需要保护个人信息和规范相关行为的疑问,特别是对于大肆收集、利用甚至可能交易个人信息而频频导致对于个人人身或者财产危害或者危险的现象,引发了如何有效纠偏的思考。
2020年5月28日全国人大审议通过的《中华人民共和国民法典》(以下简称“《民法典》”)顺应数字化发展背景下个人信息保护的潮流,以民法人格法益发展的眼光确立了“个人信息受法律保护”的基本立场和相关制度。首先,《民法典》继受了2017年《中华人民共和国民法总则》的相关规定,在总则编“民事权利”章(第5章)第111条规定“个人信息受法律保护”,重点展开为一个“应当”和两个“不得”的行为规范,即“任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。其次,《民法典》在新创制的“人格权编”专设第六章“隐私权和个人信息保护”,在区分隐私权的基础上,以6个条文(第1034—1039条)确立关于个人信息保护的基本民法规则。第1034条首先宣示“自然人的个人信息受法律保护”,对个人信息予以定义,并区分私密信息和非私密信息;接下来最重要的第1035条建立关于个人信息处理的基本行为规范;此后分别是:第1036条规定了行为免责规范,第1037条规定了个人信息主体享有的三项请求权(查阅复制、针对错误提出异议和更正、发现处理违法或违约要求及时删除),第1038条规定了个人信息处理者的两类禁止行为规范和两项安全保障的法定义务,第1039条规定了国家机关和承担行政职能的机构、个人的保密和安全保障义务。
我国关于个人信息保护基本立法并未止步于《民法典》的规定,而是在2021年8月20日继续出台了一部影响深远的《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”),并于同年11月1日实施。该法以“保护法”为命名,被认为是与世界范围个人信息保护立法同频的一部新时代领域立法,标志着我国个人信息保护进入到一个更加系统化的新规范时代。它的定位,本质上是立足于维护个人利益的法律,因此与民法具有紧密的亲缘性。立法机关对于该法的立法草案说明,揭示了这种本质定位意义,称“制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义”。但是,从具体内容来看,特别是在保护体制和机制上,《个人信息保护法》具有相当程度的领域综合性。该法第1条立法宗旨规定,在表述上将“保护个人信息权益”和“规范个人信息处理活动,促进个人信息合理利用”并重。由此出发,该法对于个人信息的保护,没有像传统民法那样采取确立权利的直接赋权模式来维护或保护个人信息利益,而是采取一种更加复杂的“五位一体”(处理规范—个人信息处理者的义务—个人信息主体的保护权—管理部门及其管理机制—法律责任)的特殊制度安排来维护或保护个人信息利益,不仅不见传统民法上为维护个人利益而明确设定的那种命名清晰的基础权利形式,而且还出现了传统民法所没有的大量行为规范、义务规范、管理规范和特殊责任规范。
传统民法在权利理论影响下,对于个人利益的维护和保护,坚信最佳方式是确立个人(自然人或法人)民事权利的方式,因为这种情况下个人利益的实现和保护,只需要通过遵循“权利—行使—保护”的简单逻辑即可达成。民法重视民事权利形式的观念滥觞于古罗马,近代以来受个人平等与自由理念影响,更是将赋予个人以充分的民事权利视为自身的基本规范手段,因而被誉为“权利本位”。萨维尼曾经揭示了法的概念发展史,存在一个从以不法概念为基础到以具体法律关系为基础的发展飞跃,近代以来民法立足法律关系立场以权利为本质界定人与人之间的联系。传统民法因确认和保护民事权利的基本设计特点,显示出追求个人主观价值的特质,被认为超越了一般的客观法范畴而具有了主观法的属性。“这种通过法规则而进行的界定在于向个人意志制定了一个领域,在此领域之中,个人意志独立于所有其他人的意志而居于支配地位。”民法也因此被誉为主观法或主观权利法,与以单纯规范为基础的“客观法”对立。换言之,民法上为了维护民事主体应受保护的个人利益,应当对其设定或赋予相应的民事权利,以此方式赋予个人明确的利益范围和行动根据,并明确受侵犯时给予高度的私法保护,其中绝对权最终可以受到侵权责任保护。
我国理论界和立法过程关于自然人的个人信息利益是否应当予以基础确权设计,曾经有过争论。2020年《民法典》编纂时,就有重量级民法学者建议应确立“个人信息权”概念。但《民法典》在将个人信息利益纳入“人格权编”保护的同时,最终决定采用了“个人信息保护”的表述。这种采用“个人信息保护”表述而放弃使用“个人信息权”表述的背后,实际上是一种深思熟虑的立法选择结果。2021年出台的《个人信息保护法》沿袭了同样的立场,用“个人信息保护”排斥了“个人信息权”,不过也在第2条从禁止规范角度引入了一个“个人信息权益”概念。这里带来了一个重要疑问:《民法典》和《个人信息保护法》关于个人信息保护的制度设计,是否可以理解为确实是以一种不同的个人信息主体基础法益设计方式,取代了传统民法对于个人利益确认和维护的直接确权的经典方式?如果回答是肯定的,那么对比传统民法直接确权的方式,应当如何认识《民法典》和《个人信息保护法》新发展出来的确认和维护个人信息主体基础法益的方式的本质和特点?此外,《个人信息保护法》第2条在宣示“自然人的个人信息受法律保护”的同时又强调了“任何组织、个人不得侵害自然人的个人信息权益”,那么如果说《民法典》和《个人信息保护法》确实并没有设定所谓个人信息权,这其中的“个人信息权益”究竟是指什么呢?还应注意到,《民法典》第1037条规定了自然人三项请求权,《个人信息保护法》第四章“个人在个人信息处理活动中的权利”对于相关请求权进行了扩展和细化,这些也称为“权利”,显然不应该是《个人信息保护法》第2条所谓的“个人信息权益”,那么又该如何认识它们的性质和意义呢?值得进一步思考的重要问题还有:《民法典》和《个人信息保护法》关于个人信息主体的基础法益的特殊设定方式,是如何与保护救济体系连接的,尤其最终是如何与《民法典》侵权责任编规定连接的?这些都值得研究。
二、现行法上个人信息主体基础法益的设定方式及其特点
我国学界对于现行法上个人信息主体基础法益的形式和内涵,存在认识上的较大分歧和含混。目前,仅有部分学者坚持用存在所谓的“个人信息权”视角来解读我国现行法上个人信息主体的基础法益,多数学者承认我国现行法上并不存在所谓“个人信息权”的设定现实。不过,我国学者在对个人信息主体基础法益的形式和内涵作进一步的解释时,往往又会自主或不自主地向提取权利或者权益的方向加以论证。归纳起来,有以下值得关注的观点:(1)内部与外部合成论。该观点认为个人信息权益的权益构造,包括内部构造和对外部其他主体相关权益的支配关系两个部分。内部构造,又区分“本权权益”与保护“本权权益”的权利,其中“本权权益”包括人格尊严、人身财产安全以及通信自由、通信秘密等利益,“保护本权权益的权利”包括同意或拒绝的权利及知情、查阅、复制、转移、更正、补充、删除、请求解释说明等权利。外部构造,指个人信息权益对处理者和国家机关获得的个人信息数据同时具有外部约束力。根据这一观点,作为最基础的“个人信息权益”的构造部分,是“本权权益”,“包括人格尊严、人身财产安全以及通信自由、通信秘密等利益”。(2)三层构造论。该观点否定将个人信息保护看成是保护个人对其个人信息的控制性人格权益,而应看成是为了规制个人信息处理风险等的一种新型权益之集合,并认为个人信息权益是工具性权利与目的性法益的集合。在内容构成上,个人信息权益体现为三层构造:其一为宪法维度的个人信息权益,体现为以尊严为核心的基本权利所对应的个人自治、生活安宁、公正对待、信息安全四类法益;其二为民法上的个人信息权益,体现为民法上的隐私、名誉等个人信息关联权益;其三为行政法上的个人信息权益,这是一种基于国家规制的由公共监管积极型塑与保障的“法秩序”。根据这一观点,作为最基础的“个人信息权益”构造部分,体现为宪法维度的对应法益和民法上的隐私、名誉等关联法益。(3)三阶构造论。这一观点与三层构造论有相通性,但存在内容论证的不同,认为数字时代个人权利呈现多维特点,涉及人权、宪法权利以及公私交融下的具体权利等系列权利,但就我国个人信息主体权利而言,实际是三阶构造:作为理念贯彻式的决定权,作为核心和基础的知情权,作为知情权具体外在表现的散射交叉权利。根据这一观点,可以把最基础的“个人信息权益”构造部分,归结为决定权和知情权。上述观点富含洞见,区分了个人信息法益的层次性,而且在涉及基础构造层次的时候,关注了对宪法和民法上某些重要关联法益的价值连接。但是遗憾的是,以上观点虽然已经意识到了现行法并没有采取明确的权益形式来设定个人信息保护基础,但是却似乎并不情愿从接受并不存在基础权利的角度来消化设定后果,因此还是试图从推导“本权权益”、“宪法维度的对应法益和民法上的关联法益”或“主体权利”的角度来达成对作为个人信息保护基础的底层权利发掘。
笔者认为,权利是关系不同当事人之间利益的重要设定,作为特定民事主体据以行动的根据,有没有直接赋权对于其他民事主体的利益关系来说十分重要。在法治主义框架下,权利存在与否的解释立场,首先应该重视法律规范实证。“只有明确的政治决定或者社会实践创造了权利时,个人才享有法律上的权利。” 因此,法律上的权利推导必须十分谨慎。尤其在存在明确的制定法的前提下,制定法上之有无,应该是推论权利之有无的关键前提。如果没有实际的规范支持,最好不要强作推论。大陆法系以民法典作为严格的系统化制定法而垂范,显然更加需要坚持权利论证的明确规定性。尽管德沃金的自由法学观点认为,法律上除了明确规定的权利,可能还存在隐蔽的权利或者说可以推论出来的权利,但是这种思维应该仅有限地适合于讨论公民权利与国家权力之间的关系之中,或者存在于判例法作为法源的某些特殊环境之下。可能正是因为秉持这种严谨的法律实证立场,2016年《欧盟通用数据保护条例》在序言第(1)条宣言“自然人在个人数据处理过程中获得保护是一项基本权利”,这里并没有去说“个人信息权”是基本权利,而仅仅是说个人信息获得保护是基本权利;同理,《欧盟基本权利宪章》第8条在规定个人数据保护时,也没有打算超出下位法实证权利的范畴来宣示相关基础,在其第1款表述仍称“人人享有与其相关的个人数据受到保护的权利”,仅此而已。
通过简单观察便不难发现,我国民法典和个人信息保护法在使用“个人信息保护”而不是“个人信息权”作为表达主题的实证立场,就是要对个人信息活动所涉及的自然人的最为基础的个人信息利益的确认和维护,采取一种更加适合于其表达和规范保护的特殊方式,而不再采用传统民法上的简单确权方式。从《个人信息保护法》的全部制度框架看,除了总则规定,分则在体系上采取了“五位一体”的特殊架构,其中处在最前位的是第二章的“个人信息处理规则”(应结合第一章总则中关于个人信息处理原则的规定),该章之所以排前,从制定法的体系安排看,显然不是随意的,而是从位阶上看最为关键,是整个制度体系的基础规范所在。《欧盟通用数据保护条例》也是如此,也是在作为体系基础规范的第二章规定了与个人信息处理相关的原则、处理合法性的内涵、同意的要件以及特殊类型的个人信息处理规则等内容。可见,在这里,传统意义上那种作为体系基础的权利形式不见了,但“个人信息处理规则”却成为了体系基础,进而成为传统权利设定方式的替代。那么个人利益是怎样被确认和维护的呢?权利没有了,但是作为行为规范的反射利益出现了。“个人信息处理规则”通过对个人信息处理者设定明确的行为规范,兼具对个人利益的反射功能,相关规则通过对个人信息处理活动的规制,通过反射间接为个人信息处理活动中所对应个人信息主体划定了一个需要保护的基础利益范畴。从上述规定方式出发理解,《个人信息保护法》第2条虽然使用了“个人信息权益”概念,但实际上并不能理解为指称一种通过简单命名而赋予的基础权利,而是应该紧密结合《个人信息保护法》上“个人信息处理规则”的规定,理解为系通过特殊规定方式反射出来的那些个人信息基础法益。笔者在本文后面的进一步研究中还会揭示,《民法典》第1037条规定的三项请求权和《个人信息保护法》第四章规定的“个人在个人信息处理活动中的权利”,它们更不是所谓的个人信息基础权利,显然也与《个人信息保护法》第2条所谓的“个人信息权益”无关。它们之所以被设计出来,是为了更好地配合和实现对以行为规范方式影射形成的个人信息相关基础法益的保护,是一类新型的具有特殊保护和实现功能的机制权利,可概括称为“个人信息保护权”。
《民法典》和《个人信息保护法》采取设定“个人信息处理规则”的独特方式表达个人信息保护的基础法益,并非立法者要标新立异,而是因应当今数字化时代个人信息保护需要的一种被迫选择。网络信息化、数字化实践,产生了个人信息利益的保护需要,所谓个人信息保护的需要和问题,实际产生于个人信息处理活动之中,特别是围绕个人信息的相关利益冲突,更是集中体现在个人信息处理活动之中,因此,所谓数字化实践中的个人信息利益,实际需要体现的是在个人信息活动中的关系利益。由此,对于个人信息主体相关利益的确认和维护,并不适合于通过规定自然人对其个人信息享有静态的、简单的权利来表达,而是有必要转换到对个人信息活动予以规范的角度,更加精细地从活动的动态的关系的角度,界定个人信息处理者和个人信息主体之间的利益关系和各自的利益空间,进而以这种更加有效控制行为人的规范模式非常微妙地间接达成对个人信息基础法益的合理界定和确认。
传统民法在“权利本位”思维下习惯了用直接确认具体的、清晰的民事权利的方式来在法律上确认和维护正当的个人利益。但是,从法律技术上说,尽管针对特定利益,设定权利的方式,对民事主体来说确认和维护起来可能简单、方便、清晰,可是并不是所有的不同类型和不同程度的个人利益的确认和维护都适合采用直接赋权模式。个人利益是复杂的,其产生的原因、存在的场景更是越来越多元和分叉。从法律技术上说,确认和维护个人利益的法律形式其实也可以体现为多种多样,即使采取权利形式其中也可以有许多变化的形式。实际上,不断演化中的立法史告诉我们,法律上也可以通过对他人设定行为规范,或者对他人设定特定义务,或者其他方式,来确认或者维护民事主体应有的个人利益。维护各种个人利益的法律手段,除了权利,还可以是通过其他法律规范反射形成的其他法益。目前个人信息保护立法正是这样一种情况。从2009年我国侵权责任法到2020年《民法典》侵权责任编,侵权责任的保护客体,不限于“权利”,而是扩展表述为“权益”,正是此理。这种情况下,对于正当个人利益的法律维护手段,就可能从“权利本位”走向更加多样的“法益本位”。
三、个人信息主体基础法益的内涵:作为反射法益而呈现的相关利益点
《民法典》第1035条和《个人信息保护法》第二章“个人信息处理规则”作为个人信息保护最为基础的制度设定部分,从一种更加精巧的关注活动场景化的法益规范模式角度,着重于对个人信息处理活动加以规范,通过直接规制和引导作为个人信息关系场景关键活动主体的个人信息处理者的行为,以此更加有效维护个人信息主体基于个人信息的合理利益。这一规则模式的首要功能,是规制活动、规范行为、节制处理个人信息;其次,则可通过反射达成对个人信息主体利益的确认和维护的作用,以此间接规定了法律需要保护的个人信息主体的基础法益。前已述及,《个人信息保护法》第2条把这些由个人信息处理规则反射而成的个人信息基础法益,概称为“个人信息权益”。那么现行法上实际反射了哪些个人信息基础法益或者说第2条所说的“个人信息权益”呢?相关规范解析上具有复杂性,值得展开。需要说明的是,考虑到《个人信息保护法》立法技术上采取了总分模式,第二章的分析应当结合第一章总则的相关原则规定。
(一)处理个人信息活动首先应当遵循作为重要适格条件的一系列基本原则的要求
个人信息处理行为首先受到多项原则合力限制。个人信息处理活动首先应符合合法、正当、必要、诚信、符合目的和最小化、不得过度、公开透明、准确或保证质量等一系列原则要求;广义上,还包括遵循保障安全和禁止非法和危害的要求。基于这些规定,对应起来,作为个人信息主体的自然人则可以反射享有通过相应原则限制他人信息处理活动的特殊利益,体现为一种限制处理行为的原则框架利益。
我国民法典第1035条首先规定了处理个人信息的原则条件,即“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”。《个人信息保护法》对于这些原则条件进行了扩展,从总则第5条到第10条,分别规定了合法、正当、必要和诚信原则(第5条),合目的、对个人权益影响最小和不得过度的原则(第6条),公开、透明原则(第7条),保证质量原则(第8条),保障安全原则(第9条),以及禁止非法针对个人信息和危害国家安全和公共利益原则(第10条)。
我国现行法上的这些原则规定,对比《欧盟通用数据保护条例》第5条“与个人数据相关的原则”规定,基本上一致,但也有差异。所不同的是:其一,欧盟以更加简洁的合法、公正、透明的原则要求表述[5.1(a)],对应了我国的合法、正当、诚信、公开、透明的看似更加多元、分叉的原则要求表述。应注意的是,我国民法典虽然把公开、透明、不得违法的要求规定在作为与同意并列的具体适格条件里面,但《个人信息保护法》提升为原则要件。其二,欧盟以特定、明确、合法的合目的性作为收集条件[5.1(b)],以充分、相关和目的必要(最小化)作为其他处理活动条件[5.1(c)],我国则没有作相应区分,理解上也应如是。其三,欧盟强调了准确、必要、及时原则,特别是在准确问题上提出应在目的限度采取一切措施确保不准确的个人数据被及时地处理、删除或修正[5.1(d)];我国对应使用的是保证质量的说法,提出了要避免因个人信息不准确不完整对个人权益造成不利影响,但我国对于必要和及时进行明确规定,表述更加笼统且似乎有所保留。其四,欧盟明确保存时间受目的必要限制原则[5.1(e)];我国没有明确规定,似可从合目的等相关原则推论。其五,欧盟在原则上明确规定确保个人数据安全,包括使用适当技术或组织措施;我国原则上也规定了保障安全原则,但未明确包括技术和组织措施,结合《个人信息保护法》第五章的关于义务的具体规定,理解上也应包含技术和组织措施要求。其六,欧盟规定了个人信息控制者的问责制,作为进一步的程序原则要求,即由其负责并能够证明符合上述原则;我国没有规定,但似可且应当从上述法律规定中推论。
(二)处理个人信息活动应当符合同意条件的要求
相关规定,旨在对个人信息处理活动从外部添加个人信息主体的意志限制。处理自然人个人信息需要征得其同意,如果是不满14岁的未成年人则应征得其监护人的同意。如果自然人知情并表示同意,个人信息处理活动便符合此项适格条件;反之则反。基于这些规定,自然人在反射的角度享有在他人处理其个人信息时可以介入意志的特殊法益,可归纳为表达同意与否的法益,包括应当知情的法益,当然也包括可以拒绝或限制的法益。
《个人信息保护法》在第四章“个人在个人信息处理活动中的权利”第44条规定:“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。”这一规定可以视为对第二章有关同意条件规则从自然人获得反射利益角度的一种释义,这里面的知情权、决定权、有权限制和拒绝等表述,是局限在“个人信息处理规则”特定语境下的,是作为个人信息处理活动的同意适格条件范畴的反射利益,不宜演绎为早期理论上所说的具有超越式的所谓个人信息自决权。
《民法典》和《个人信息保护法》在原则适格条件之外,同时规定了同意是个人信息处理活动的另一项重要的适格条件。《民法典》规定在第1035条,比较清晰明了,即“征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外”。《个人信息保护法》则规定在第13条第1款和第31条。第13条第1款中规定了将同意作为适格条件,第31条规定了处理不满14岁的未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。但应注意的是,第13条第1款规定表述比较奇特,把同意和其他无需同意的法定情形并行列举。这种规定方式容易遮蔽同意条件应具有的基础性、本位性,而有关无需同意的法定情形则具有例外性、非本位性,应当严格加以掌握,且应由个人信息处理者举证。根据第13条第(二)项到第(七)项的规定,个人信息处理活动不需取得个人同意,包括以下法定情形:(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。例如,企业或者机构可以通过合同或劳动规章处理劳动者或职员信息。(2)为履行法定职责或者法定义务所必需。例如,学校为履行教育管理和服务职责而合理处理学生信息。(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。例如,此前三年相关防疫部门为新冠防疫所作的必要范围的个人信息处理。(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。这是公共资讯利益优先的另一种表达。(5)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。(6)法律、行政法规规定的其他情形。按照《个人信息保护法》第27条的规定,不需取得同意的,还包括对于他人自行公开或合法公开的信息的处理,此时个人信息处理者可以在合理的范围内处理而无需同意,但个人明确拒绝的除外,以及处理对个人权益有重大影响的公开的个人信息,应当取得个人同意。
对照起来,《欧盟通用数据保护条例》在第7条同样规定了应将同意作为个人数据处理活动的适格条件,其中第1款还明确规定,如果处理基于同意,举证责任应由个人数据控制者承担。第8条补充规定,对未满16岁的未成年人,处理其个人信息应征得监护人同意或授权。同时,按照《欧盟通用数据保护条例》第6条“处理的合法性”规定,无需同意的合法情形,包括:(1)处理是数据主体作为合同主体履行合同之必要,或者处理是因数据主体在签订合同前的请求而采取的必要措施;(2)处理是控制者履行法律义务之必要;(3)处理是为了保护数据主体或者其他自然人的重要利益;(4)处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要;(5)处理是控制者或者第三方为了追求合法利益之必要,但此利益与被要求保护个人数据的数据主体的利益或基本权利自由相冲突的除外,尤其是在数据主体为儿童的情形下,但公权力机构为履行职责时排除适用。
此外,《个人信息保护法》鉴于同意、告知要件认定和适用的复杂性,还花费篇幅进行了细化和场景化的规定处理。第14条到第18条对于如何为完成同意、告知或知情条件,作出了规定。第20条到22条,基于现实经济生活合理需求分别针对共同处理行为、委托处理行为、因合并分立等原因的转移处理行为,对相关人进行了同意的豁免或减缓,但加重了相应责任。第23条到第26条对于更加容易损害或危害个人信息权益的情形规定了加重义务或法律后果,第23条针对向他人提供个人信息,增加了告知义务和单独同意的要求,变更目的的要重新取得同意;第24条规定利用个人信息进行自动化决策时的严格要求,第25条规定公开个人信息的单独同意要求;第26条规定在公共场所安装图像采集、个人身份识别设备收集个人信息时的严格要求。相应规则,对比欧盟相关规定,更加趋于平衡路线,而欧盟更加重视个人信息主体的保护立场。
(三)处理敏感个人信息的特殊限制要求
处理敏感个人信息的特殊限制要求重点体现为加重同意等方面的更加严格的要求。对应起来,个人信息主体因此在敏感个人信息上反射享有应受到加重同意等保护的特殊法益。
我国民法典未涉及敏感个人信息的规定,但《个人信息保护法》第二章第二节专门规定了“敏感个人信息处理规则”。第28条将敏感个人信息定义为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。列举上,具体包括:生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。把未满14周岁未成年人的个人信息纳入敏感个人信息保护,是我国顺应未成年个人信息加重保护趋势的一个创举,旨在加强对未成年人个人信息保护力度。《欧盟通用数据保护条例》使用了特殊类型的个人数据概念,其范围包括第9条、第10条、第11条,可视为与我国敏感个人信息概念对应,但又颇有差异,这也体现了与我国政治与文化上的差异。第9条规定的特殊类型,为“对揭示种族或民族出身,政治观点、宗教或哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康数据、自然人性生活或性取向的数据”;第10条规定的特殊类型,指有关刑事定罪和罪行的个人数据;第11条则涉及无需身份认证的个人数据。
我国个人信息保护法对于敏感个人信息的处理进行更加严格的规制,规定了四项加重要求:第一,要求具有特定的目的和充分的必要性,并采取严格保护措施(第28条)。第二,应当取得个人的单独同意或法律法规要求的书面同意(第29条)。第三,特殊告知义务,增加了应向个人告知处理敏感个人信息的必要性以及对个人权益的影响(第30条)。第四,法律法规有许可或者限制要求的,从其规定(第32条)。从条文体系看,这些规定之间似乎是重叠关系而不是替代关系,相关规定有些比较模糊,其中第一项要求尤其颇为笼统,何谓“具有特定的目的和充分的必要性”,适用解释不易。
对比起来,欧盟对于敏感个人信息处理活动规定的严格要求更加具体,根据《欧盟通用数据保护条例》第9条的规定,对应我国的单独同意或书面同意要求,其规定了所谓“明确的同意”要求;对应我国笼统规定的“要求特定的目的和充分的必要性”,其则是详细列举了具体的目的情形或场景。而且,应注意的是,从规定表述上看,二者之间是可以替代的关系而不是重叠关系。根据其第9条规定的整体逻辑理解,对于特殊类型的个人数据,只有符合第2款规定的10项情形之一时,才可以处理之,否则应当被禁止。这10项情形包括:(a)数据主体对以一个或数个特定目的对上述个人数据的处理作出明确同意。(b)为实现控制者或数据主体在工作、社会保障以及社会保障法的范畴内履行义务、行使权利之目的而进行的必要数据处理。(c)数据处理对于保护数据主体或另一个自然人的切身利益是必要的,但数据主体客观上或法律上无法给予同意时。(d)数据处理是由非营利机构在有适当安全保障的合法活动中实施的,处理仅与该机构成员等相关,并且相关个人数据未经数据主体同意不得向机构外披露。(e)处理被数据主体明显公开的个人数据。(f)数据处理为法定请求权的确立、行使和抗辩或者在法院行使司法权之必要。(g)数据处理为了重大公共利益。(h)数据处理为了预防医学和职业医学、雇员工作能力评估、医疗诊断、提供卫生社会保健治疗或构建卫生社会保健服务体系等目的必要,但应当提供需要的条件和保障措施。(i)数据处理在公共健康领域为公共利益必要,但应当提供适当的具体的保障数据主体基本权利和利益的措施。(j)数据处理为了公共利益、科学、历史研究或者统计目的的必要。此外,《欧盟通用数据保护条例》第10条规定,对于有关刑事定罪和罪行的个人数据,则应当仅在公权力的控制下开展;第11条对于无需身份认证的个人数据,规定控制者虽然没有认证义务,但应当告知数据主体说明其并无对数据主体进行认证的职责。可见,欧盟对敏感个人信息处理活动的规定与我国对敏感个人信息的处理规则比较,存在不少差异。
(四)国家机关处理个人信息的特别规定
基于处理主体的特殊性,对国家机关作为个人信息处理者的活动构成更多特殊限制。此处国家机关,广义上包括法律、法规授权的具有管理公共事务职能的组织在内。《民法典》第1039条和《个人信息保护法》第二章第三节专门规定了国家机关处理个人信息的活动的特殊规则。根据这些规定,对应的个人信息主体享有因针对国家机关处理活动施加特殊限制而反射到的获得加强保护的特殊法益。
国家机关处理个人信息活动,概括起来,应当遵循三项限制和两项义务。三项限制为:其一,《个人信息保护法》第34条规定,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。其二,《个人信息保护法》第35条规定,除非有法律、行政法规规定应当保密或者不需要告知的情形,或者告知将妨碍国家机关履行法定职责的情形,应当依照该法的规定履行告知义务。其三,《个人信息保护法》第36条规定,国家机关处理的个人信息应当在中华人民共和国境内存储,确需向境外提供的则应当进行安全评估。两项义务为:《民法典》第1039条规定,国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,负有保密和不得泄露或者向他人非法提供的义务。
总之,我国现行法通过关于个人信息处理的规则,以反射法益的方式对自然人个人信息基础法益作出了独特的法律设定。应当认识到,现行法并没有确立所谓“个人信息权”的法益前提,而是通过复杂而多层的个人信息处理规则,立足行为规制的特殊视角,间接为个人信息主体反射性地确立了一种立足处理行为规制的动态的并且呈现关系化的法益前提。如果忽略了这一设定特点,个人信息主体基础法益很容易被误解。现行法上所谓“个人信息权益”,必须立足上述关于个人信息处理者活动的特殊规范基础,才能正确且准确地理解其形式、内涵和意义和实现机制。
四、个人信息主体基础法益的政策价值辨析
制定法原本的理想是追求法律的确定性,但即使是法律实证主义者也不得不承认,法律需要规范的对象、利益关系在认识上不总是那么容易精确化、具体化,特别是会经常存在所谓价值的影响和选择问题,与此对应,法律上的用语因此也很难做到完全确定、不含糊和客观化,会经常出现不确定性的表述和价值化表达等。为此,新分析法学家哈特将法律规范中表达用语出现的含糊不清的现象,称之为法律的“开放性结构”,建议要在规则形式主义和规则怀疑主义之间把握好适用的分寸;德国评价法学家拉伦茨则针对法律规则中的大量价值化表达,提出需要从法学适用方法论引入所谓价值判断来加以消化。
《民法典》和《个人信息保护法》有关“个人信息处理规则”的规定,其规范表达具有的不确定性和价值化倾向,相比较传统民法所规定的权利规范更加明显。这是因为在当前数字化发展背景下,个人信息处理者和个人信息主体的利益关系呈现起来更加复杂,而且还在不断的发展演化之中,因此规范把握尤为不易。所以不难发现,无论是个人信息、个人信息活动的基本定义,还是有关处理活动的条件、界限、程序、利益关系等基本规定,都存在表达上确定性的困难,在用语上使用不少抽象的表达和不穷尽的表达,在规则上采用不少类似不完全列举加概括或兜底等规定方式,形成极大的“开放性结构”。更有甚者,在个人信息处理的原则条件、同意条件和排除情形等重要规定中,存在大量的价值化、功能化概念和表述,比如“合法”、“正当”、“诚信”、“合目的性”、“最小化”、“不得过度”、“为公共利益”、“合理的范围”、“具有特定的目的和充分的必要性”等用语,导致解释适用上更具有价值判断的挑战性和敏感性。处理不好,很可能带来“一万个人的眼中有一万个哈姆雷特”的荒谬适用现象。所以,从对个人信息处理规则及其反射隐含的个人信息主体基础法益如何可确定适用的角度,除了一般性的规范解释,还面临平衡解释与价值解释的双重必要性和合理性要求。为了最终达成具体、确定、合理和正当的阐释,首先要学会智慧地周旋于形式主义和规则怀疑论之间,通过平衡成功抵达所谓可靠的“事物的边缘处”,其次还更能够深入规范背后,对立法时的政策价值和适用时的政策价值予以动态权衡,将一般化的规范解释与深刻的观念和价值诠释紧密结合,如此方可获致合理解释。可见,今天关于方兴未艾的网络化、数字化信息实践中形成的基本观念和价值见解,应为我们可用来论证作为最基础的个人信息处理规则及其隐含个人正当利益的不可或缺的政策基础。从这个意义上说,如果将前述我国学者关于“本权权益”、“目的性法益”或“主体权利”等方面的研究转换为对个人信息处理基础规则的政策价值分析定位,则具有极大的启发性。这些从不同视角反映了设定个人信息处理规则的某些方面的观念背景和政策立场。
重新审视关于个人信息处理规则及其隐含个人信息利益的相关政策价值基础十分必要。到目前为止,国内外随着网络化、数字化进程不断演化,面向个人信息处理活动实践中个人信息保护的价值理解,提出和形成了多个极具影响的主流观点。这些观点,对于如何规范活动、如何设定利益关系,特别是如何设定个人信息保护基础法益,在立法和实践上都明显发挥了实际塑造功能。归纳起来,目前至少存在三个仍然颇具影响的主导观点,值得引为“个人信息处理规则”及其隐含个人信息保护基础法益的政策价值解释依据。这些观点自身具有不断发展演化的特点,同时相互交织、相互补充。
其一,个人自主发展论。这一价值观的最初形态是所谓“个人信息自决权”理论,比照其他人格权要素,从个人有权对自己的个人信息自主控制的角度得出的认识。这一观点在网络化、数字化尚未兴盛的20世纪60年代开始到21世纪初极为流行,但是2010年之后随着大数据时代的到来和数字化的迅猛发展,逐渐式微。最早的案例体现在德国联邦法院1969年和1983年的“人口普查案”,以及美国最高法院的1977年的沃伦诉罗伊案(whalen v. roe),针对政府收集个人信息活动,赋予自然人对于自己的个人信息的所谓控制地位。这种将隐私和个人信息绝对控制化的价值取向,根源于19世纪德国人关于自由的哲学思想。他们认为,自由主要是与决定论相对立的,是指行使自由意志,“而具有自由意志的生物的决定性特征是它们是不可预测的个体,是任何机械学或生物学科学都无法捕捉到其全部丰富性的生物”。随着数字化的发展蔓延,高度理念化的自决权理论向更加实际的自主发展论演化。例如在美国,20世纪以后,个人信息便被要求与传统隐私中自主性隐私部分比如怀孕、生育、堕胎等隐私利益区别开来,被划入所谓“决策隐私”之中加以重新审视和保护调整,不再片面强调自决控制,而是转向强调对自我发展的价值。“数据的使用既扩大又限制了个人自主权,信息隐私越来越多地包含了决策隐私的要素”。在新的阶段,以斯坦利·本恩(stanley benn)和朱莉·科亨(julie e. cohen)等为代表,认为赋予个人以隐私和个人信息保护,在于其有助于对人的尊重,特别是有助于促进个人自主发展和更广泛促进公民社会发展。通过决策隐私或个人信息某种程度的保护所形成的这种自主发展权,被认为“对于发展个性和个人在生活中的选择意识也是至关重要的。这种个性的发展在民主社会中尤其重要,因为独立思考、观点多样化和不墨守成规的品质被认为是个人的理想特质”。“自主的个体不会从子宫中完全涌现。我们必须学会处理信息,对我们周围的世界得出自己的结论。我们必须学会选择,而且在我们能够选择任何东西之前必须学会一些东西。”应注意,这种个人自主价值论并不是仅仅站在个人的单一维度来看待个人信息保护的价值,而是同时强调了这种个人自主发展应当结合社会功能来理解。一方面,强调这种自主发展兼具对民主社会塑造的价值,因此是一种个人价值和社会价值双重视角的个人信息自主发展权。所谓决策隐私或个人信息的公共价值,被认为不仅来自于它对作为个体的个人的保护,而且也来自于它作为对政府或对权力的使用而具有的限制的作用。另一方面,这种自主发展也可能受到社会功能的平衡。印第安纳的凯特(cate)教授从另一个角度认为,某种类型的个人信息的流动有助于实现“机会的民主化”,因为生活基础上的平等的一部分涉及经济机会。尼森鲍姆(nissenbaum)和索罗佛(solove)也认为,个人信息的权利不是绝对的,而应该结合社会功能来理解。所以,施瓦茨(schwartz)指出,(决策)隐私被视为“一种社会的而不仅仅是个人的利益”,“如果不建立和执行健全的个人数据使用规则,整个社会将受到影响,因为人们会因为担心个人信息的使用而拒绝参与一系列不同的社会互动。一种公共产品——隐私公域——将被贬低”。正因为如此,《欧盟通用数据保护条例》在序言的第(4)条同时强调个人信息保护的社会功能结合性,即“个人数据的处理应服务于人类。保护个人数据的权利不是绝对权利,须结合考虑其社会功能并依据比例原则与其他基本权利保持平衡”。
其二,其他权利还原论或风险控制论。这种观点早期从个人信息对其他权利的关涉价值或者对个人信息主体其他人身和财产权利具有重要影响的角度,认为个人信息的保护价值实际不在对于主体而言个人信息具有自有的独立价值,或者不仅仅具有自有的独立价值。这些观点观察到,个人信息处理活动所涉个人信息的意义可以多样化呈现。朱迪斯·托马斯(judith jarvis thomson)提出所谓还原论,断言隐私或个人信息其实可以被还原为其他概念和权利,“隐私没有什么特别的特点,把事情说成是侵犯了‘隐私权’并不是那么有用。隐私权实际上是其他权利的组合,如自由权、财产权和不受伤害的权利。隐私权到处都与其他权利重叠。”《欧盟通用数据保护条例》虽然承认个人数据获得保护的权利的独立性,但也在序言第(2)条和第(4)条强调了对其他权利保护的必要结合,认为处理个人信息,除了应当尊重自然人享有的个人数据获得保护的权利,还应当尊重个人所有的基本权利以及《宪章》确认的自由和原则,特别是“在私人与家庭生活、住居与通信、个人数据保护、思想、良心及宗教自由、表意与信息自由、从业自由、提请有效救济的权利与接受公正审判的权利,以及文化、宗教和语言多样性等方面”。这种观点看到了在信息化实践下的今天,隐私和个人信息与其他更主要的权利和利益存在利害相关的联系(例如自主权、财产、自由等),保护隐私和个人信息对于主体享有的其他更主要权利和利益具有积极价值或者具有重要关联性。很多时候,保护隐私和个人信息成为更好地保护或者促进其他主要权利和利益的前提或者方式。近些年,随着网络信息化、数字化一路高歌猛进,个人信息主体处境充满风险,对个人信息的索取和滥用将他们卷入到前所未有的人身、财产、名誉、隐私等受害风险之中。这种情况导致了个人信息保护更需要同时以避免、防御对其他重要权益危害或风险作为制度设定和价值追求。在2016年发生的徐玉玉案中,因他人非法获取、出售考生信息,导致犯罪分子得以利用个人信息进行电话诈骗,骗走受害人徐玉玉上大学的费用9900元,最终导致其因伤心而骤然离世。此后,利用个人信息侵害他人重要权利的恶性案件不断进入视野,并且持续发酵,个人信息风险控制论在我国也逐渐深入人心。《个人信息保护法》就明确吸纳了风险控制论,《关于〈中华人民共和国个人信息保护法(草案)〉的说明》在第一部分“关于制定本法的必要性”,就特别强调了这一立法论据,即“利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出”。
其三,公平信息实践论。马克·罗腾伯格(marc rotenberg)认为,公平信息实践在制定美国的个人信息法方面发挥了重要作用。早在20世纪70年代,美国有识之士就注意到机构从事个人信息处理活动关系到公平信息实践的价值问题。特定机构对于个人信息的处理,不仅涉及个人的信息自主,也与社会关系中个人的公平和公正待遇问题紧密相关,弄不好就会对在原则和实践中的平等主义承诺构成破坏。因此,有必要从公平信息实践的角度,规范个人信息处理者和个人信息主体的关系,避免基于个人信息作出歧视性或不合理区分,包括应当“禁止根据人们在财务或遗传方面的可取性将其列为潜在客户、租户、邻居、雇员或投保人等”。1973年,美国卫生、教育和福利部(hew)在一份极具影响力的报告中,对美国的数据处理进行了广泛审查,提议制定《公平信息惯例守则》,旨在引导公平信息实践,包括规定了一些基本的信息隐私原则,旨在分配收集和使用个人信息的权利和责任。该报告具体提出了以下五项原则:(1)不能有任何个人数据记录系统的存在是秘密的。(2)个人必须有办法了解记录中关于他的那些信息以及这些信息是如何被使用的。(3)个人必须有办法防止为某一目的获得的关于他的信息在未经他同意的情况下被用于或提供给其他目的。(4)必须有办法让个人纠正或修改关于他的可识别信息的记录。(5)任何组织在创建、维护、使用或传播可识别的个人数据记录时,必须确保数据对其预期用途的可靠性,并且必须采取合理的预防措施,防止数据被滥用。这些要求反映了个人信息主体的自主权的要求,但是重心在公平实践价值上,对于信息处理者与个人信息主体之间如何确保公平提出基本守则。公平信息实践理念此后推动了美国制定出一系列规范信息经济各部门个人数据活动的联邦法律,包括1970年的《公平信用报告法》(为公民提供有关信用报告机构使用和披露其个人信息的权利),1974年《隐私法》(规定了个人对政府记录系统中保存的个人信息的一些权利,如查看自己的记录和确保记录中的信息是准确的权利),1974年的《家庭教育权利和隐私法》(保护学校记录的隐私)等。后来,美国联邦贸易委员会(ftc)积极主抓商业实践中的个人信息保护规范实践,更进一步从公平信息实践角度形成指引。从ftc践行公平信息实践来看,个人数据处理活动中公平竞争和消费者权益保护问题至关重要。该委员会在2000年的一份报告中明确提出,网站商业机构收集个人信息应当接受四项广为接受的公平信息实践,涉及通知、选择、可访问性和安全。美国加州2018年出台、2020年7月1日实施的《消费者隐私法案》(ccpa)更是一部具有浓厚消费者保护色彩的个人信息领域的重要法律,被认为是美国当前最严格的个人信息保护立法。近些年来,我国立法、司法和行政实践对于个人信息处理活动的公平保护也高度关注。《个人信息保护法》制定中贯彻了公平实践方面的要求,明确引入了相关原则和规则,旨在确保自然人因个人信息而获得产品和服务时应受到平等和公平对待。首先,该法从草案第二稿开始就顺应呼声,在第8条增加确立了保障个人信息质量的原则(“处理个人信息应当保障个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响”),这一原则蕴含了个人信息处理必须保障个人受到正当和公平对待,避免依据不准确、不完整的个人信息进行隐私决策的要求。基于这一原则,《个人信息保护法》针对个人信息处理不仅要求维护涉及到的人格尊严和自由方面的利益,也强调应维护涉及到的公平和平等方面的利益。其次,《个人信息保护法》也在社会广泛呼吁下引入了基于公平理念的数据可携带权,第45条第3款规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”这一规定的立足点在于公平实践的现实需要,考虑到现实中数据企业特别是头部企业存在任意进行数据封锁、阻断数据流通甚至进行数据垄断的现象,这些从反不当竞争和反垄断的角度看业已成为一种现实危害,而设定可携带权则有利于破除这种封锁,对于维护数据条件下的公平竞争具有积极意义,所以认为极有必要。
五、个人信息主体基础法益的实现路径与个人信息保护权机制
(一)通过强化治理体系而实现的特殊路径
《民法典》和《个人信息法》对于个人信息主体基础法益的实现,采取了强化治理体系加以实现的思路。作为体现在“个人信息处理规则”中的反射利益,个人信息主体基础法益之实现,不同于传统民法上权利的行使与保护。现行法针对行为规制实现的特点,并不相信可以完全依靠个人信息处理者自觉遵循处理规则这种简单自主管理模式。数字化背景下,正是基于个人信息处理可以带来巨大利益的诱惑,才促使个人信息处理者对于个人信息处理活动的热衷和追逐。因此,为了避免利欲对于处理活动的扭曲,从矫枉过正或者有效抑制偏离倾向的角度,有必要改造自主管理模式,转向更加复杂的实现模式。为此,我国现行法与其他国家个人信息保护立法的做法一样,在规定“个人信息处理规则”的基础上,又引入了个人在个人信息处理活动中的权利、个人信息处理者的保护义务、履行个人信息保护职责的部门以及法律责任四项紧密关联的制度,合成了关于如何确保实现“个人信息处理规则”及其反射利益的一套强力体系。这些规则各部分本质上都具有很强的治理规则色彩,具有赋予不同主体相应治理地位和机制的功能,由此实际上形成了通过强化治理体系而促进个人信息保护的特殊实现路径。
关于个人在个人信息处理活动中的权利,体现在《民法典》第1037条和《个人信息保护法》第四章第44—48条的相关规定之中。这些规定设定了作为个人信息主体的自然人的若干保护请求权,通过这些权利的行使,旨在支持个人信息主体主动监督个人信息处理者遵循个人信息处理规则,更好地保护体现在个人信息处理规则中的基础法益,在发生偏移或者可能偏移的情形可以通过这种行权促使其回到正常轨道。
关于个人信息处理者的义务的规定,体现在《民法典》1038条和《个人信息保护法》第五章第51—58条的规定之中。这些规定设定了个人信息处理者在从事处理活动时应当承担一系列义务,这些义务以更有效地保护个人信息主体利益为目的,体现为加强式自主管理义务。这些义务在作为义务被确立的同时,实际也是对个人信息处理者进行有关自主管理活动的授权,因此又明显兼具治理权力的性质。
关于履行个人信息保护职责的部门的规定,体现在《个人信息保护护法》第六章第60—64条的规定之中。这些规定实际是关于管理部门的管理职责和机制的规定,引入外部强制管理,架设专门保护型管理机构,确立外压式管理治理体制机制。具体而言,通过这些规定,建立专门管理机构并明确统筹协调与分工负责管理职责;作出以防治为重点的系列管理授权和确立相应管理机制,赋予强大的管理权、执法权和问责权,包括规定一般管理主体的五项职责和专属于国家网信部门作为统筹协调的五项职责,赋予履行个人信息保护职责的部门包括询问和调查情况、进行现场检查、查阅复制资料、检查设备物品和查封或扣押等在内的四项特殊执法职权,以及规定约谈、合规审计和移送犯罪嫌疑人等特殊处置权。
关于法律责任的规定,体现在《个人信息保护护法》第六章第66—71条的规定之中。这些规定,从加强综合法律责任规定的责任,特别是增设违反《个人信息保护法》导致特殊责任规定的角度,达到以责任促进个人信息保护治理的独特功能。其中,最值得关注的是规定了违反本法规定时须承担严格的行政责任。具体包括:一般违法情节时,作出责任改正、给予警告、没收违法所得、对违法应用程序责令暂停或终止提供服务等处理,拒不改正可并处100万元以下罚款,对直接负责主管人员和其他直接责任人员处以1万以上10万以下罚款;情节严重时,则可以并处5000万以上或上一个年度营业额5%以下的巨额罚款,对于直接负责的主管人员和其他直接责任人员处10万以上100万以下罚款,并可以禁止一定期限内担任相关企业的特定管理职务(第66条)。此外,建立违法信用档案记录制度(第67条);规定国家机关不履行管理义务职责的须承担特殊行政责任,包括责令改正和行政处分(第68条)。
(二)个人信息保护权作为保护基础法益的特殊机制
1.个人信息保护权作为特殊机制的定位与类型
《个人信息保护法》第四章“个人在个人信息处理活动中的权利”作为广义治理体系的一环,前已述及,在确保个人信息处理规则实现、维护个人信息主体基础法益的加强式治理体系中发挥着独特的制度功能。这些权利具有特殊保护功能的特点,因此可以称之为个人信息保护权。我国也有学者将其称为“保护本权权益的权利”或“工具性权益”。个人信息保护权采取了请求权的规定形式,由个人信息主体以保护基础法益为目的而得以请求方式行使,因此又可以称为个人信息保护请求权。《欧盟通用数据保护条例》第三章称为“数据主体权利”,但在序言中包括第(1)条、第(2)条等多处规定,也称为“保护个人数据的权利”或“个人数据获得保护的权利”。这些具有保护功能的个人信息主体权利,其性质不能被误解为个人信息主体基础法益。应注意,它们本身并非个人信息主体基础法益,而只是被用来保护个人信息主体基础法益的具有请求权特点的特殊机制。
《民法典》第1037条只规定了三项个人信息保护请求权,即查阅复制请求权、对错误信息的异议和更正请求权、对信息处理存在违法或违反约定的及时删除请求权;《个人信息保护法》第四章第44条到第48条对个人信息保护请求权作出了进一步的完善和扩展,实际发展出六项个人信息保护的权利。具体来说,《个人信息保护法》第四章第44条规定,除了第一段旨在对基于个人信息处理规则同意适格条件规定而反射形成的知情同意基本法益予以明确之外,第二段可以推导出一项限制或拒绝处理的保护请求权;第45条到第48条则规定了个人信息主体的另外五项具有特殊保护功能的请求权,包括第44条的拒绝处理请求权,第45条第1款的查阅复制请求权,第45条第3款的转移请求权(对应所谓的可携带权),第46条的更正补充请求权,第47条的删除请求权(对应但区别于欧盟的被遗忘权)以及第48条的处理规则解释请求权。此外,第二章“个人信息处理规则”在第24条对利用自动化决策还规定了包含说明解释请求权的反对权。上述保护请求权也适用于对自然人死亡之后,由其近亲属为了自身的合法、正当利益而行使之。
对比《欧盟通用数据条例》的规定,其确立的保护请求权类型比我国多,这体现了欧盟在个人信息控制者和个人信息主体的关系上,更加侧重对个人信息主体提供保护的立场。其中,欧盟立法确立而我国个人信息保护法未纳入规定的保护请求权中比较重要的包括《欧盟通用数据条例》第15条的个人数据访问权(有权从控制者处确认其个人数据是否正在被处理以及在该情况下有权访问个人数据和8种具体信息)、第13条和第14条的特定信息提供请求权、第21条的反对权(我国只在自动化决策情形规定了有限的反对权)等。
2.个人信息保护请求权的产生条件
个人信息保护请求权产生于个人信息处理背景下个人信息保护需要的特殊情形或者主动机制要求,而并非都必须到个人信息处理者发生不遵循个人信息处理规则、侵害或者威胁到基础法益的实际程度才被赋予。其中,有的保护请求权,比如更正补充请求权,体现为出现个人信息处理者不遵循个人信息处理规则并因此损害或威胁个人信息主体基础利益的特殊原因;但是有的保护请求权,比如查阅复制请求权、解释说明请求权、转移请求权、删除请求权,则体现了对于被动情形中的个人信息主体赋予更强主动保护动力的功能设计,明显具有防御性请求权色彩,具有预防功能。有关个人信息保护请求权的要件如下:
(1)限制或拒绝处理请求权。《个人信息保护法》第44条规定:“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。”从该条前分句的后部分可以推论出一项限制或拒绝处理的请求权。从表述看,除了法律法规另有排除规定,此项权利似乎不受条件限制。但是,比较《欧盟通用数据保护条例》第18条可知,其限制处理权受到四项情形限制,值得我国借鉴,将来解释适用时将限制或拒绝处理请求权结合“个人信息处理规则”的相关规定进行限缩解释。
(2)查阅复制请求权。根据《个人信息保护法》第45条第1款的规定,只要存在个人信息处理活动,个人信息主体便可取得此项请求权,有权对个人信息处理者主张查阅、复制个人信息。但第45条第1款排除了两种情形:一是第18条规定的“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形”;二是第35条规定的国家机关为履行法定职责处理个人信息因法律、行政法规规定应当保密或者不需要告知,或者告知将妨碍国家机关履行法定职责的情形。
(3)转移请求权。根据《个人信息保护法》第45条第3款的规定,个人信息主体对个人信息处理者直接取得此项请求权,但行使又应以符合国家网信部门规定的条件为限制。此项转移请求权,对应了欧盟和其他国家的可携带权,但是我国设定了应受国家网信部门规定的条件的限制,授权网信部门可根据实际灵活控制其适用条件。从立法意图来看,目前主要应从有利于公平交易、避免数据垄断的角度来理解此项转移请求权的发生和行使基础。
(4)更正补充请求权。根据《个人信息保护法》第46条第1款的规定,更正补充请求权以个人信息主体发现其个人信息不准确或者不完整为行使条件。可见,需要由个人信息主体举证存在个人信息不准确或不完整,方可行使此项请求权。所以,这项权利与查阅复制请求权等紧密相关,没有查阅复制请求权等作为前提,难以发现个人信息不准确或不完整。
(5)删除请求权。根据《个人信息保护法》第47条的规定,删除请求权以个人信息处理者对符合特定条件的个人信息应主动删除而没有及时删除为行使条件。该条规定的个人信息处理者应主动删除的个人信息有五类:处理目的已实现、无法实现或者为实现处理目的不再必要;个人信息处理者停止提供产品或者服务,或者保存期限已届满;个人撤回同意;个人信息处理者违反法律、行政法规或者违反约定处理个人信息;法律、行政法规规定的其他情形。根据《个人信息保护法》第47条第2款的规定,更正补充请求权可以基于法定保存期限未届满或者删除个人信息从技术上难以实现的原因,转为停止处理请求权,在这种情形,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的任何处理。
(6)解释说明请求权。根据《个人信息保护法》第48条的规定,只要存在个人信息处理活动,个人信息主体就可以对个人信息处理者的个人信息处理规则请求进行解释说明。这项权利与透明度、公平实践密切相关,可以成为个人信息主体在个人信息被利用场景受到公平对待的保障前提。
(7)基于自动化决策的说明请求权和拒绝权。这项请求权并没有规定在《个人信息保护法》第四章,而是基于体系之便规定在第二章的第24条,该条第3款为了维护前两款确立的特殊处理规范和隐含的特殊反射利益,规定了此项特殊请求权。即“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。该款规定包括请求说明的权利和对仅通过自动化为决定的作出拒绝的权利。
3.个人信息保护请求权与一般人格权请求权的适用关系
个人信息保护请求权,可以归为广义人格权请求权的范畴。《民法典》除了债法上的请求权(包括侵权损害赔偿请求权),还在物权编规定了物权请求权,在人格权编规定了人格权请求权,在婚姻家庭编等编规定了基于身份权请求权等其他请求权,形成了一个复杂多元的请求权体系。《民法典》“人格权”编第一章“一般规定”第997条规定了停止侵害的一般人格权请求权:“民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为,不及时制止将使其合法权益受到难以弥补的损害的,有权依法向人民法院申请采取责令行为人停止有关行为的措施。”理论上讲,“人格权”编一般规定中的人格权请求权,与《民法典》第1037条和《个人信息保护法》第四章规定的个人信息保护请求权,是一般规定和特殊规定的关系,如果存在冲突,一般规定不能适用,否则就应适用。那么,这项停止侵害的一般人格权请求权是否应对或者也可以对个人信息保护加以适用呢?或者说,《民法典》第1037条和《个人信息保护法》第四章规定的个人信息保护请求权与上述停止侵害的一般人格权请求权是否存在冲突呢?从个人信息主体基础法益并非以权利形态呈现的实际来看,笔者认为应理解为存在冲突,个人信息保护框架下的各项具体保护请求权,是基于个人信息基础法益反射特点而设计的,因此可视为兼具排除适用功能,排除停止侵害的一般人格权请求权对个人信息保护的适用。
4.个人信息保护权的行使程序和机制
个人信息保护请求权的行使,存在自力行使和公力行使两个程序和机制。首先,《个人信息保护法》鼓励个人信息主体自力行使。在自力行使程序中,个人信息主体应当明确向个人信息处理者主张权利,且负有举证证明其权利成立的责任。个人信息处理者在个人信息主体提出请求权之后,则负有积极配合的义务。例如,《个人信息保护法》针对查阅复制请求权,第45条第2款明确规定“个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供”;针对转移请求权,第45条第3款规定“个人信息处理者应当提供转移的途径”;针对更正补充请求权,第46条第2款规定:“个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。”此外,《个人信息保护法》第50条第1款还专门规定了个人信息处理者负有应当建立个人行权的便捷机制的协助义务,包括申请和处理机制,拒绝接受请求的则应当说明理由。对应起来,《欧盟通用数据保护条例》在第12条以8项规定,也明确了为协助个人数据主体行使权利,控制者负有透明度、沟通和帮助行使权利等义务。其次,公力行使。个人信息主体在自力行使不利即被拒绝的情况下,可以转入公力行使,向法院提起请求之诉,性质上属于人格权请求权之诉。《个人信息保护法》第50条第2款规定:“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”我国现行法没有明确规定这些保护请求权的诉讼时效问题,导致了如何适用诉讼时效的疑问,值得研究。限于篇幅,不予展开,笔者将另文研究。
(三)个人信息主体基础法益保护与侵权责任适用的衔接
最后分析一下,《个人信息保护法》在“个人信息处理规则”为重心的体系架构下,对由其反射而成的个人信息主体基础法益的保护,如何与侵权责任适用问题进行衔接。《个人信息保护法》第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”这里并不能望文生义,得出可以简单通过“加害权利即违法”模式来分析个人信息侵权的构成,本文前已阐述了实际并不存在明确确权的作为基础法益的“个人信息权”或“个人信息权益”,而是只存在反射意义的基础法益。那么这种反射意义的个人信息主体基础法益如何与侵权责任制度衔接,对基础法益的侵害如何构成侵权或者说如何导致侵权责任呢?
首先,关于是否纳入侵权保护的分析。“个人信息处理规则”中反射形成的基础法益,根据《个人信息保护法》第2条规定的“任何组织、个人不得侵害”的定性,应该认定为具有受保护的绝对性,属于第七编“侵权责任”第1164条和第1165条所谓“民事权益”的范畴,因此可以作为侵权责任保护客体而纳入侵权保护。
其次,关于侵权责任构成中违法性的分析。鉴于“个人信息权益”实际是由“个人信息处理规则”反射而成的基础法益,对侵权责任构成中不法性的分析,运用“加害权利即违法”的分析是不合适的,应回到“个人信息处理规则”模式上去。由于“个人信息处理规则”完全可以认定为是一种以保护他人为目的的法律,可引入类似于德国民法典上“违反以保护他人为目的的法律”的所谓违法型侵权类型分析,即通过判断个人信息处理者处理活动是否存在对“个人信息处理规则”的违反,来判断是否具有违法性。在判断违法性时,考虑到《个人信息保护法》第五章关于个人信息处理者的义务的规定,必要时还应当结合这些具有强制性的保护型规定。
再次,关于侵权责任构成中过错要件的分析。理论上需要立足个人信息处理者的主观状态加以考察。但是《个人信息保护法》第69条第1款确立了过错推定规则,即“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。考虑到《个人信息保护法》的规范体系具有保护型特点,因此个人信息处理者对于自己没有过错的分析可结合保护性规范展开。
其四,关于侵权责任构成中损害和因果关系的判断。该判断适用侵权责任一般法则。但注意这里的个人信息侵权责任的损害可以有两种形态,即对于个人信息基础法益本身的损害,以及因加害基础法益而对其他权利和法益的损害。
最后,关于侵权责任损害赔偿责任的确定。《个人信息保护法》第69条第2款的规定,在表述上与《民法典》第1182条关于侵害他人人身权益造成财产损失的损害赔偿责任的规定差不多。(1)该款规定“损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定”,理解上个人信息主体作为受害人有权作出选择。此中“损失”,是否包括精神损失,根据《个人信息保护法》第69条第2款的规定推论,从“明示即为排斥其他”的法理看,应该排除精神损害赔偿的适用。(2)该款规定如果二者都难以确定的,则“根据实际情况确定赔偿数额”。按照目前的学理和司法实践理解,所谓“根据实际情况确定赔偿数额”,应根据行为的目的、方式、后果、过错程度等多种因素加以确定。
上述因侵害“个人信息权益”而承担侵权责任与《个人信息保护法》第四章“个人在个人信息处理活动中的权利”的行使的适用关系,实践中容易模糊。笔者认为,从基于不同根据且作为不同保护功能的机制属性看,二者应该属于平行适用关系。换言之,它们各自适用的法律条件并不一致,而且虽然都具有保护功能,但作用机制不同。前者属于严格民事责任制度的范畴,侧重于救济,且并不以后者适用为条件。后者属于广义人格权请求权的范畴,是《个人信息保护法》专门赋予个人信息主体对基础法益予以特殊保护的一种机制,有的保护请求权甚至并不以发生侵害为条件,只要符合特定条件即可;个人信息主体在个人信息处理者拒绝接受自主行使时,最终可以提起请求之诉,这种请求之诉,性质也根本不同于基于侵权责任的损害赔偿请求之诉。此外,《个人信息保护法》第70条对“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益”而设定的公益诉讼制度,从规范功能上看,应该不适用于个人信息保护请求权之诉,而仅限于个人信息侵权责任领域适用。
六、结论
数字化的迅猛发展和多次迭代,使得我们得以享受数字化应用带来的全新福利,这就是数字化的效率、便利以及各种数字化产品和服务的目不暇接,但是这一切都是建立在数据的处理和经营的基础上。此种背景下,个人信息作为数据中的“原子化人格数据”或“个性化数据”尤受青睐,成为可用来对他人得心应手进行个人施策的极佳素材,于是出现了个人信息保护的极大必要,是为有识之士提倡“数字化人格”本质所在,实为如何通过合理保护个人信息来达成数字化发展中个人主体性的人格健全和完整。我国民法典和个人信息保护法就是在这种观念和需求下产生的个人信息保护之法。
《民法典》和《个人信息保护法》并没有确立“个人信息权”概念,即没有对个人信息主体基础法益进行直接确权,而是将其隐含在作为全法体系最为基础规范的“个人信息处理规则”之中,呈现为一种反射利益意义的基础法益设定。在这种意义上,可以将“个人信息处理规则”视为“以保护他人为目的的法律”。我国现行法之所以如此设计,一方面在数字化背景下并不认同个人信息主体应全面控制个人信息的观点,另一方面正视了个人信息保护及其问题系产生于个人信息活动的需要和场景的实际,因此直面个人信息处理活动规范本身,采取将“个人信息处理规则”作为体系基础加以设定的立场,以此有效规范和合理平衡个人信息处理活动中的个人信息处理者和个人信息主体的最基础利益关系。
考虑到“个人信息处理规则”隐含利益关系微妙,不能完全依靠个人信息处理者自主管理,《个人信息保护法》还以强化治理体系为实现路径,构筑了包括“个人在个人信息处理活动中的权利”、“个人信息处理者的义务”、“履行个人信息保护职责的部门”、“法律责任”在内的四点多元的治理结构,激活多主体多角度治理的合力。《个人信息保护法》第四章规定的“个人在个人信息处理活动中的权利”,在整个强化治理体系中发挥着不可替代的作用,旨在激发个人信息主体积极维护自己利益,主动监督个人信息处理活动。但是,这些权利不能混同于基础法益而被理解,它们只是治理体系中作为实现基础法益的机制手段而设计,体现为一系列的所谓个人信息保护权,因具有请求权的形式,也可称为个人信息保护请求权,可以纳入广义人格权请求权的范畴。这些请求权与基于个人信息侵权的损害赔偿请求权存在重要区别,它们虽然对基础法益都具有保护意义,但产生于不同根据,实现不同保护功能,二者应该属于平行适用关系。
新法之新,贵在创新。我国现行法对于数字化人格的维护,因应时变,抓住了个人信息处理活动这个牛鼻子,以“个人信息处理规则”为重心进行体系规划和设计,塑造出了一种数字化条件下的新型规范模式,在满足个人信息处理需要与充分、合理保护个人信息之间,致力于平衡和有效。正是因为这一点,我们对其满怀期待。