個人信息主體的權利體系
——基于數字時代個體權利的多維觀察
目? 次
一、數字時代的個體權利
二、實證法上個人信息主體的權利
三、個人信息主體權利體系的“三階構造”
四、結語
摘? 要
?
數字時代具有的復雜性與風險性,令個人所享有的權利呈現出多維特征,涉及人權、憲法權利及公私法交融視域下的具體權利等系列權利。中國在制定《個人信息保護法》的過程中,既考慮到個體權利創設中的利益平衡,同時又將制定法植系于中國個人信息保護的歷史脈絡與所處國際場域。在此基礎上,中國個人信息主體權利體系呈現為“三階構造”特征:“決定權”是一種典型的“理念貫穿式”權利模式與立法模式;知情權是權利體系的核心與基礎;散射交叉的系列權能是知情權的具體外在表現。在當下以及未來的法律實施中,法律規定的個人享有的一系列權利如何行使以及如何實現,仍存爭論,應致力于權利保護與權利救濟并重,從而實現對個人信息主體權益的充分保護。
關鍵詞
個人信息保護法 個人信息主體
權利創設 決定權 知情權
★
★ ★ ★
★
中國于2021年8月通過《個人信息保護法》,開啟了以專門立法保護個人信息的時代。這部法律圍繞著如何保護個人信息、如何加強個體的“信息自決”、規范個人信息處理活動等內容進行了系統規定。尤其在個人信息主體的權利方面更構建了既符合個人信息保護的一般規律又突出這部立法的價值選擇的權利體系。如何理解這些權利既涵括國家對個人利益的保護同時又使個體的權利訴求始終面向“實現”向度,是衡量一個權利體系科學與否以及人的意志自由與否的關鍵之點。因此,對于《個人信息保護法》上的權利體系,如何認識其生發的基礎、來源以及最終選擇,將直接關系到《個人信息保護法》的價值實現與功能彰顯,對法律實施具有重要作用,殊值研判。
一、
數字時代的個體權利
“權利”這一命題,在數字時代變得愈發重要和復雜。相較于以前的工業社會,個體向雇主、國家或其他侵害其權利的主體主張權利之時,相應法律責任的認定遵循既有法律規則,其間雖也存在復雜情況,但其實并未超出法律責任理論或法律適用的范疇。至數字時代,個體逐漸趨于“原子化”,人與人之間的客觀物理聯系日漸式微,技術應用的滲透卻無孔不入,人們可能在毫無察覺之下被技術“超輕推”,可能改變人們的行為方式,甚至可能在“聚集效應”之下產生風險。誠如有學者所言,在大數據時代,除非我們能回避所有數據收集,否則我們將無法拒絕成為大數據技術的預測對象。在數字時代,重視與強調從權利角度維護正義、自由、效率、秩序、人權、人文精神等法律價值的立法,是討論個體權利的起點與基礎。
(一)
個體權利的多維性
科技發展對社會關系的調整和個體權利的保護產生重要影響。在人與科技的關系滲化至人與人之間的關系之時,人們不無疑問,究竟公民或個體應享有何種權利以及傳統權利應否升級迭代。數字時代對個體權利的影響體現在人權、憲法上的基本權利以及具體權利等多層次與多維度。
第一,人權的發展。數字時代“嵌入”人們生活的方方面面,“工業+互聯網”、5G技術、人工智能、萬物互聯等技術的發展,在給人們帶來高效、便捷的同時,也帶來了諸多風險與損害。隱私侵害與個人信息泄露、人臉識別技術的濫用、平臺的強勢地位、算法黑箱、信息鴻溝、侵權的復雜化與廣覆蓋性,導致人類必須面對數字時代帶來的深層次問題。有學者提出,在面對如此多樣的風險與威脅的同時,在人權保護方面,也突破了前三代人權所受到的物理時空和生物屬性的限制,實現自由平等權利、經濟社會文化權利、生存發展權利的轉型升級。亦有學者認為,從權利的角度來看,將對數字科技的掌握和運用奉為“權利”并將其歸屬于“人權”,提煉出“數字人權”概念,既十分必要、甚為迫切,也順理成章、水到渠成,即“無數字,不人權”。同時,以互聯網為主的科技發展也帶來了人們的網絡心理依賴、疏離現實等問題,尤其對于未成年人,諸多互聯網產品也給他們的成長帶來了一定負面影響。可見,科技的正向作用是明顯的,但同時,科技的負面作用也顯而易見。如何更好發揮其正向作用又同時抑制或減少其負面作用,就成為各領域所共同關心的問題。從維護人的尊嚴、財產等角度出發,數字時代的人權保護無疑是后續系列權利圖譜中的基底層,殊值關注與強調。
第二,憲法上的基本權利。一國憲法確認公民在政治、經濟、文化、人身等方面享有基本權利。憲法上確認的基本權利,系凸顯此項權利對于公民而言所具有的廣泛性、平等性與重要性等特征。科技存在被濫用的風險,加之由來已久的濫用公權可能侵害公民基本權利的現實仍然存在,這就導致人們可能在智能化時代面臨“隱私全無”的危險境地。比如,通話記錄作為通信秘密的保護對象,人們的通信自由和通信秘密可能會被侵害,通信權這一基本權利亟須在智能化時代獲得更好保障。數據、算法的多向運用,也可能會對公民的基本權利造成侵害。有學者認為,數據偏誤與算法歧視會招致對現代憲法原則的抵制,削弱對公民基本權利的保障。對于算法帶來的侵害,人們應享有“免于歧視的權利”。對于個人信息保護而言,也有學者認為從我國《憲法》文本之中也可以解釋出隱私權、個人信息權系公民的基本權利。雖然對于這些觀點,學界也存在爭論,但足可見人們對于數字時代基本權利的重視與渴望。在我國《個人信息保護法》的立法過程中,最終在草案三審稿第1條立法目的之中增加了“根據憲法,制定本法”這一表述,這也是立法權法定(包括權源法定和法源法定)原則的規范要求。但是,至少從法律文本來看,這一規定并未明示關于個人信息的權利是否屬于憲法上的基本權利,能否推導或證成“個人信息權”屬于基本權利,仍留待學界繼續探討。
第三,公私法交融視域下的具體權利。在當下信息科技時代,人們享有的權利呈現出跨公私法域的特征,非單一部門法所能涵蓋。有學者認為,基于數據和信息資源的經濟價值和社會作用,生成了前所未有的大量社會利益和新型社會關系,進而不斷轉換成現實生活中的新興權利,比如,概括的數據權或權利束,包括知情同意權、數據采集權、數據修改權、數據可攜權、數據被遺忘權(刪除權)、數據管理權、數據支配權、數據使用權、數據收益權等。世界范圍內的個人信息或個人數據保護立法,也基本上規定了類似權利。中國《民法典》第1037條規定了個人信息主體所享有的一系列權利,使得這些權利具有請求權等基本特征。《個人信息保護法》明確規定了知情權、決定權以及個人享有的一系列權利,這些權利在一定程度上脈承于《民法典》中的系列權利。割裂《民法典》與《個人信息保護法》在中國制定法體系內的關系,或不承認二者之間存在一定聯系,完全不符合成文法的特質與要求。對于這些權利的救濟與保護,需要公法與私法多向度配合,這一點已形成共識,并使個人信息保護法體現出比較顯著的“領域法”特色。
(二)
個體權利創設中的利益平衡
從社會整體視域觀察,隱私保護的觀念亦在不斷容納其他價值。在創設個體權利之時,既要考慮所保護的利益之于該個體的價值與意義,同時也應始終將個體權利置于與他人利益、社會利益的平衡與協調之中,這樣的權利創設才能真正發揮作用。
其一,權利理論本質的本身就包含不同方式的利益考量。或許人們在討論權利創設的利益平衡問題之時,通常會徑直考慮權利人與其他主體的利益平衡,但這一點并不符合權利理論學說上的爭論。在討論權利理論之時,拉茲的觀點與以權利人為中心的權利理論的區別并非是賦予個人的而非權利人的利益的力度或重量上的區別,而是這些利益在道德或法律考量的框架中運作方式上的區別。只有某些特定類型的理由在證成權利的過程中才能被使用,以權利人為中心的權利理論認為只有權利人的利益才是內在理由;而拉茲則認為,只有當使權利人受益是使其他人受益的一種方式,而通過使他們受益,權利人也得到利益的時候,其他人的利益在證成權利時才算重要。內在理由與外在理由事實上存在二分。因此,目前關于個人信息主體保護與社會發展平衡的觀點,實際上只著重于其他人受益,而忽視了個人信息主體本身利益的強調與保護,類似于“隱私付費”“以隱私換便利”的觀點如若無法把握邊界,則是極其危險的。只有以“二分”維度觀察,才能真正實現權利創設的初衷。
其二,個人信息權利的創設應始終著重保護個人利益。在上述“二分”視角下,個人信息權利的創設首先是基于個人信息權益的保護。世界范圍內過去數十年科技與數字經濟發展迅速,但同時產業的“野蠻生長”也在相當程度上侵蝕個人信息保護理念。因此,強調個人信息權利是基于個人信息權益的保護至關重要,這也就是為何個人信息保護進入《民法典》,作為人格權益予以保護的正當性與合理性。個人信息權利當且僅當其立基于個體權利保護,個人信息保護立法才具有正當價值與意義,這也就是為何《個人信息保護法》原本在一審稿第1條中規定了“保障個人信息依法有序自由流動”這一表述,但在二審稿之后就予以刪除,體現了立法意旨。
其三,個人信息權利的創設應與外在的其他主體的利益保持平衡。對于上述權利創設的外在理由,就是當下討論較多的個人信息權利與產業發展、社會發展如何平衡的問題。中國數字經濟的發展在世界范圍內處于較為領先的地位,但個人信息保護絕非阻礙數字經濟發展的因素。此前學界和業界對于歐盟《一般數據保護條例》(GDPR)規定趨嚴的批評也并不完全客觀。《個人信息保護法》第1條中也規定了“促進個人信息合理利用”的內容,同時在第4條規定了個人信息“不包括匿名化處理后的信息”,為后續個人信息合理利用在成文法層面預留了空間。可見,個人信息權利的創設在立法層面已在體系化考慮利益平衡的問題,當前面臨的是如何實施等問題。
(三)
個體權利保護的技術驅動
數字時代以技術發展為主要驅動力,也決定了個人權利創設過程中除需考慮利益平衡之外,還可以在技術發展中尋求出路。比如,有學者認為,過度強調隱私會限制個人數據的收集和應用,使人工智能難以迅速進化;反之,則會造成機器官僚主義的獨裁、問責機制的瓦解——這是當今憲法學的一個悖論。把集權式的人工智能算法與分權式的區塊鏈協議結合起來進行合理的機制設計,有可能成為新時代憲法秩序變遷的方向。因此,如何在法律上保護個人信息,同時又如何在法律之外利用多種方式與途徑保護個人信息,成為當下和未來人們所共同探索的領域。
無獨有偶,《個人信息保護法》上規定個人信息“不包括匿名化處理后的信息”,給匿名化信息在法律上預留了利用空間,但事實上絕對匿名化的信息在技術領域幾乎是不可能實現的。如有學者所言,個人數據或者是有用的,或者是被完全匿名化的,但絕不可能二者兼得。對此,諸如多方安全計算(Secure Multi-party Computation, MPC)、聯邦學習(Federated Learning, FL)、差分隱私(Differential Privacy)等技術就具有相當的運用空間,以此在技術上充分保護個人信息,意在在更廣的范圍內超越制度意義上的個人信息保護與個人信息利用的平衡,而在制度力所不逮之處通過技術而實現。因此,在權利創設中除制度上的利益平衡之外,數字時代更呈現出通過技術尋找出路的特征,這一特征既能保證法律或制度實現,同時又能彌補法律或制度漏洞,毫無疑問,這也是數字時代不容忽視的優勢之一。
二、
實證法上個人信息主體的權利
個人信息主體的權利內生于中國法體系脈絡之內,借鑒于歐盟個人數據立法。中國國家層面始終重視個人信息保護,分別在多領域對個人信息保護加強立法,分別在刑法、消費者權益保護法、網絡安全法以及民法典中規定了個人信息保護,構成一個系統的規范群,同時又在一系列規范性文件以及推薦性標準中予以細化指引。同時期的世界立法動態,美國和歐盟自1990年代起持續推動本地區或本國的隱私與信息立法,二者也形成了立法競爭的局面。但如格林里夫(Graham Greenleaf)所指出的,“歐洲標準”的數據隱私法正在逐漸成為世界其他國家數據隱私法的標準。中國在制定個人信息保護法的過程中,也在一定程度上借鑒了歐盟立法。在內驅與外引的雙重作用下,中國個人信息保護法上的權利體系逐漸形成并趨于完善,始終面向實施向度發揮作用與功能。
(一)
如何創設實證法上的權利
自然法與實證法之間關系的經典命題,使“權利”始終在應然與實然——“應當有”與“實際有”之間徘徊。拉茲提出創設權利的法律分為三類,即賦權性法律、除權性法律和構成性法律。威爾曼(Carl Wellman)對拉茲的這一創設權利的法律分類方法評價道:“這一分類方法確實很好地區分了界定任何權利內容的構成性法律,以及決定誰擁有或被除去權利的賦權性法律和除權性法律。”在前述對于社會多維視角觀察下的權利以及考慮其內生與外在價值,并且在意識到數字時代的風險已對社會結構發生潛在影響的基礎上,聚焦于個體隱私與信息保護之時,就越發體現出其重要性與復雜性。這也就給人們提出一個難題——在此復雜情勢下,如何在一部“單獨的法律”或“更為復雜法律的一部分”規定這些權利。申言之,數字時代盡管人們主張的權利眾多,但能夠進入“個別化法律”視野的“權利”卻較為有限。因此,在個人信息保護領域,實證法上的權利創設大致遵循以下標準。
第一,典型性。個人以自然人、公民等資格身份居于社會生活和政治國家中,在經濟領域、政治領域、社會領域中分別具象化為不同主體。在不同領域,個人以不同主體身份或“法律意義上”的形象出現,差異化的資格、身份或“形象”在一定程度上框定了權利的表現方式與范圍。在個人信息保護領域,“個人”雖然在正式文本中都被表達為“個人”,但有些情況下也會概括稱為“個人信息主體”等概念,以表示與個人信息處理者相對應。針對“個人信息主體”這樣一個在特定領域中的主體,其權利創設就緊緊圍繞個人信息處理活動中可能涉及的權益保護與風險等方面內容。因此,實證法上的權利首先是這一領域中最需要保護的法益,進而形成具有典型性的權利,包括但不限于體現“信息自決”以及實現個人對信息的控制等系列權利,以突出就個人信息保護事項而言的典型意義。
第二,重要性與最大共識。人類社會進入萬物互聯與智能社會之后,人們除享受高效與便捷之外,也深陷危機感之中,不得不面對多重風險與挑戰。風險引致的規制失靈、秩序失調集中表現為“治理赤字”,即現行的治理體系、治理規則、治理能力、治理技術已不能有效應對現代智能科技的全方位挑戰,以致出現失控、失序甚至危及公民權利、社會福祉、公共秩序、國家安全、全球和平的嚴重態勢。盡管人們面對諸多風險,從人權、憲法權利以及公私法域各項權利等多角度提出自身對于權利的訴求,但實證法的容納畢竟有限,只能框定在最具重要性,并且在世界范圍內同類問題上具有最大共識的權利訴求之上。從重要性、緊迫性與比較法視域來看,關于如何實現個人對個人信息處理活動的知情以及延伸外化的查詢、異議、限制處理、拒絕處理以及刪除等系列權利,則成為世界范圍內的個人信息保護法以及個人數據保護法所最具認同的權利,也大多轉化為實證法上的權利。同時,相同或類似的權利也使得各國或各地區的法律適用等更加相通,降低法律解釋與溝通的成本。
第三,時代性。“在經濟全球化、政治多極化、文化多樣化、社會信息化的‘我們的時代’,究竟蘊含著怎樣的時代性的特征與趨向?對這種時代性的特征與趨向應當作出怎樣的概括和表達?”這是哲學領域對人類提出的時代發展與終極發展之問。這也意味著在實現人們的訴求以形成法律之時,應聚焦于如何回應時代之問以及前瞻未來。在個人信息保護領域,回應個人信息主體權利的成文法首推《民法典》。作為體現時代性的代表之作,《民法典》從立法價值到基本原則、具體制度等均成體系地體現了時代性。其中專門規定了個人信息保護,在世界私法史上可圈可點,意在因應充分保護個人信息權益之時代難題。在《個人信息保護法》作為單行法創設個人信息主體的權利之時,也進一步回應當下以及未來對于個人信息權利保護的重要之點,包括規定個人對自身權利的決定權與知情權以及一系列權利,以前瞻個人信息保護的前景與未來。
(二)
個人信息主體權利:
《民法典》與《個人信息保護法》之對比
個人信息保護進入《民法典》,在世界私法史上可圈可點,但也同時引發如何定位民法與個人信息保護法之間關系的問題。自20世紀80年代以來,個人信息保護法或個人數據保護法在世界范圍內基本上以公法面貌出現,尤以1995年歐盟《個人數據保護指令》 至2016年《一般數據保護條例》等一系列規定為典型代表。世界范圍內的個人數據保護立法此起彼伏。傳統上即便征信業本身一定程度上具有準公共性的特征,但這并未排斥征信機構在信息使用與保護方面的民事責任,即征信機構侵害信息主體權益之時,信息主體有權請求司法救濟。類比而言,個人信息保護法雖然主要集中于規制個人信息處理活動,但同時也并未排斥個人信息處理者在侵害信息主體權利之時的民事責任。
高度組織化的個人信息處理者大規模、持續地處理個人信息的行為,更需要立體化的規制與多元救濟體系。就歐盟而言,其在立法上始終尋求較為全面地規定各種救濟方式。1995年《指令》第22條、第23條規定了對于個人給予除公法救濟以外的其他救濟方式。第22條中最后半句規定,成員國應規定每個人都有權因違反規定了處理規則的國內法所保障的權利而獲得司法救濟。第23.1條也規定,成員國應規定,因非法處理或任何不符合根據本指令通過的、國家規定的行為而遭受損害的任何人,有權從控制者處獲得損害賠償。這一多維救濟的理念延續至《一般數據保護條例》,第82.1條規定,任何因為違反本條例而受到物質或非物質損害的人都有權從控制者或處理者處獲得損害賠償。第82.2條規定,任何涉及信息處理的控制者都應對因違反本條例的處理而受到的損害承擔責任。對于處理者,當其沒有遵守本條例明確規定的對處理者的要求,或者當其違反控制者的合法指示時,其應當對處理所造成的損害負責。可見,在歐盟個人數據立法的體系內,除公法救濟以外,始終對個人的私法救濟予以規定,只不過根據歐盟立法的特點,“指令”(Directive)依賴于各國國內法的轉化,而“條例”(Regulation)則在歐盟境內具有直接實施的效力。
理想的立法需順應社會發展與世界發展潮流。抽象平等而實質不平等的個人與個人信息處理者之間,實力相差懸殊,加之域外已有立法經驗,中國借《民法典》編纂契機,將個人信息保護規定至人格權編之中。誠如日本學者穗積陳重在其《法典論》一書中討論“更新策略的法典編纂”時所言,“在如此社會事物發生激變之時,亦有必要制定順應時勢之法律是自不待言的”。有鑒于此,之所以在上文討論個人信息保護在域外以及中國法項下的私法救濟模式,意在闡明中國《民法典》規定個人信息保護系基于社會發展實踐,而非憑空臆定。毋庸置疑,個人信息保護并非私法所一力獨擔,必然需要與其他法律共同協力,方能實現總體保護效果。
《民法典》第1037條規定了個人信息主體對個人信息享有查閱權、復制權、異議權、更正權與刪除權等幾項權利,《個人信息保護法》在第四章“個人在個人信息處理活動中的權利”中在前述幾項權利的基礎上又增加了知情權、決定權以及可攜帶權等幾項權利。兩部法律規定的權利的解釋與銜接主要包括以下三個方面。
一是權利性質。《民法典》第1037條規定的個人信息主體的權利當屬民事權利,此點并無疑義。而《個人信息保護法》第四章之中規定的個人在個人信息處理活動中的權利是屬于民事權利還是公法上的權利,在中國學界引發較大爭論。這種爭論實則又進一步觸及個人信息保護法的性質是公法還是私法這一問題。至少從《個人信息保護法》的條文安排來看,該法實則容納了公法規范、私法規范以及民事、行政、刑事責任等整個責任體系,因此,以概括的公法或私法而單向度定義這部法律的性質,實則并不客觀,也與中國個人信息保護法立法意旨與民眾期待相去甚遠,個人信息保護理應公私法協力并進。個人信息主體的權利在世界范圍內的立法之中都是可以通過訴訟請求救濟的,中國法也仍然循此模式。個人信息主體享有的權利非絕對權,屬請求權,而這些權利在個人有權行使的基礎上又需要國家予以保護,類似于“消費者權利”的性質。消費者權利本質上仍屬私法上的權利,但這種權利實際上也同時需要國家更多干預保護。因此,《個人信息保護法》上的權利可在消費者權利的向度進行解釋與理解。
二是權利行使。《個人信息保護法》在《民法典》規定的個人信息主體享有的查閱權、復制權、異議權、更正權、刪除權的基礎上又增加了知情權、決定權以及可攜帶權等幾項權利。個人有權請求信息處理者履行相關查閱、復制、更正、可攜帶、刪除等義務。《個人信息保護法》第50條第2款規定:“個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。”可見,兩部法律均保障了個人信息主體有權行使相應請求權的權利。司法實踐中則認為,《個人信息保護法》中的私法規范與《民法典》屬于特別法和一般法的關系,只有將兩部法律相關規定結合起來,才能形成完備的個人信息保護的原則、規則體系。不過,對于知情權、決定權,如何界定其內涵以及解釋,尚存探討空間,本文將在后文詳述。因此,從權利行使的角度而言,《民法典》與《個人信息保護法》的規定存在一致性,個人信息主體可基于法定權利請求個人信息處理者履行相應行為義務。
三是對權利侵害的救濟。學界對于個人信息主體權利的爭論實際上分為不同層面的問題,對于權利性質爭論較大,在權利行使上更是趨緩,而在對權利侵害的救濟上卻殊途同歸,呈現為一種“梯度趨同”的現象。侵害個人信息主體的系列權利,并不產生侵權損害賠償責任,其最終侵害的是一種防御性利益意義上的個人信息權益,即防止自身的個人信息被非法處理而致人身財產權益遭受損害,甚至人格尊嚴與人格自由受到侵害或損害的利益。而即便是“將個人信息權利束定性為公法權利以及通過公法機制予以保障,也并不會阻隔個人通過民事途徑獲取相應救濟的渠道。這些民事實體權益的私法保障及個人自我保護的訴訟方式,可以結合權利束被侵犯的情形得到類型化”。如若個人信息主體的系列權利被侵害,則有權請求個人信息處理者履行相應的行為義務或承擔相應損害賠償責任。在《個人信息保護法》第69條規定了個人信息處理者的損害賠償責任的基礎上,會與《民法典》人格權編、侵權責任編等進行體系解釋與協調適用。
(三)
個人信息主體權利:《個人信息保護法》與
歐盟《一般數據保護條例》(GDPR)之對比
中國《個人信息保護法》在一定程度上參考借鑒了歐盟《一般數據保護條例》,包括一些基本規則和權利義務體系等方面。從權利體系而言,二者具有較大程度的相似性。在暫且忽略各自體系脈絡的前提下,從直觀描述歸納來看,具體對應關系如下:知情權→知情權(Right to be informed);決定權→限制處理權(Right to restriction of processing)、拒絕權 (Right to object);查詢權、復制權→訪問權 (Right of access);更正權→更正權(Right to rectification);刪除權→刪除權(或“被遺忘權”,Right to erasure, or right to be forgotten);可攜帶權→可攜帶權(或遷移權,Right to data portability)。直觀來看,中國《個人信息保護法》與GDPR在個人信息權利的表述上存在較多一致之處,也在相當程度上具有一定對應關系,但二者也在各自法體系之內存在相當大的差異。大致包括以下三個方面。
一是權利體系的觀念基礎不同。GDPR中關于個人信息主體權利的規定,系在歐盟法的脈絡下,與人格自由、信息自決、個人信息主體對個人信息的控制以及信息控制者與信息處理者的區分等幾者之間存在觀念上與邏輯上的緊密聯系,即觀念基礎與制度脈絡先于實證法。而中國個人信息保護法相對而言,并不存在較為固有的人格自由、信息自決等觀念,實際上在《民法典》編纂之際才更加強調個人信息與人格尊嚴之間的關系,信息自決觀念也是在制定《個人信息保護法》之時,以及嘗試在權利體系中的決定權、知情權等一系列權利之中構建與貫穿,即實證法先于觀念與理念構建。
二是權利體系的脈絡與構成不同。中國個人信息主體的權利體系在不同權利之間自成體系。比如,決定權包括但不限于GDPR中的限制處理權與拒絕權,同時決定權也肩負著構建信息自決理念等任務;知情權則是后續系列權能的核心與基礎,同時知情權與一系列權利的實現也橫跨公私法,當然在相當程度上以相應請求權為基礎。GDPR中數據主體的權利體系中,其權利之間的關系似相對獨立,由于歐盟法與成員國法之間關系的特殊性,總體上其更是在歐盟層面的指令、條例等范圍內建立一定體系與聯系,而各成員國在適用條例之時,也相對而言并不會特別體現跨公私法域等特征,而是直接指向相應的監管或私法,以實現對侵害個人信息主體系列權利的救濟。
三是權利內容與行使方式存在差異。如前所述,《個人信息保護法》中規定的權利與GDPR中所規定的權利內容基本對應,權利內容較為相似,不過立法模式與體例卻不盡相同。《個人信息保護法》對個人信息主體的權利采“集中列舉”模式,對各項權利內涵的解釋需置于個人信息保護法、民法典、規范性文件與一系列技術規范等體系之中。而GDPR對個人信息主體的權利的規定,則聚焦于如何促進信息透明度,增強個人信息主體與信息控制者之間的交流,尤其是如何保證個人信息主體在個人信息控制者收集、使用以及自動化決策等一系列信息處理活動中加強自主決定等方面進行詳盡規定,基本上對每個權利的規定都涵蓋目的、適用場景以及限制等內容。對于侵害信息主體權益的行為,中國《個人信息保護法》與GDPR均規定了損害賠償、行政罰款等法律責任。另外,關于個人信息主體的投訴等權利,在GDPR項下,數據主體如果認為對其個人數據的處理違反了GDPR,其有權向監管機構申訴,在不影響其申訴權利的情況下,亦有權獲得司法救濟;中國《個人信息保護法》上,規定個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報,同時亦有權獲得司法救濟。
三、
個人信息主體權利體系的“三階構造”
在對個體權利進行多維觀察并聚焦于世界范圍內的個人信息主體法定權利生成機制的基礎上,中國個人信息保護法上信息主體的權利獨成一格,體現出自身特色——個人信息主體權利體系呈現為貫穿性理念、核心權利與散射權能等“三階構造”。以個人信息保護法律規范群為基礎,以《民法典》為規定個人信息主體權利的基礎性規范,并接入延伸至《個人信息保護法》,二者均為集中規定個人信息主體權利的實證法規范。個人信息主體權利體系較為完整地規定在《個人信息保護法》之中,其中第44條至第47條為規范載體。盡管條文數量不多,但對于這幾條的解釋則將對個人信息保護法的實施產生重要影響,并能不斷抽離檢驗立法預期與運行效果之間是否形成良性互動關系。
(一)
第一階構造:
決定權的“理念貫穿式”權利模式與立法模式
在成文法國家的權利譜系中,以“決定權”為權利表達方式的情形極為鮮見。在已有的法律規范體系中,比較典型的是《憲法》中規定的人大及其常委會的重大事項決定權,但是這一權利也并未以“決定權”這一較為完整的表達而出現。而在《個人信息保護法》第44條,“決定權”以完整意義的權利表達方式出現,這就帶來一定問題:這是一種什么性質的權利?這是否是中國立法的創新?如何適用此項權利?
個人信息中的“可識別性”為個人信息保護的基點所在,并使得個人信息處理者系列義務以及國家對個人信息保護的“開關”始終處于“打開”狀態。因此,世界范圍內的個人信息保護法與個人數據保護法均以個體能夠決定其他主體對自身信息的使用,即產生一種對自身信息的“控制”。如有學者所指出的,在歐盟法的脈絡中,立法已經為數據主體提供了對于他們自身數據使用的一種控制權。當然,筆者也同時認為,這種控制并非是一種請求權意義上的控制,而更多的是一種“信息自決”理念的體現。更為重要的是,“信息自決”也并不必然上升為“信息自決權”,即便是傳統的以民族自決為典型的“自決權”系列內容,實則也意在表達一種有權決定某些事項的自由,意在表達意志自由價值,仍然是一種理念層面的內容。因此,《個人信息保護法》中的“決定權”在相當程度上旨在反映個人對于自身信息控制的自由,傾向于理念層面的定位。
縱觀世界范圍內的個人信息保護法與個人數據保護法,“決定權”系為一種新的權利模式與立法模式。歐盟和美國有關個人信息保護立法中的個人信息主體的權利,盡管均以加強個人對個人信息的控制自由為出發點與歸宿,但并未明確規定“決定權”這一具體權利。或許是由于類似于歐盟模式的自決理念早已體現在較有影響力的成員國的法體系之內,并已形成較為深厚的歷史傳統,并在相當程度上影響了歐盟立法模式,而無須在立法中再具體體現,或許是由于這樣的一種理念是個人信息保護法本身之理念基礎,而無須再更多強調。中國立法之時試圖通過規定此種決定權而創設一種信息自決理念,以彌補此前中國法體系中缺乏的理念基礎。同時產生的一種效果就是,中國法恰好創設了一種新的權利模式與立法模式,并可能對世界范圍內其他國家或地區的立法產生一定積極影響。
此項“決定權”又將如何實現?根據《個人信息保護法》第44條的文義解釋,決定權基本上指向限制處理或拒絕他人處理個人信息,相當于GDPR中的限制處理權和拒絕權。但是根據本文的上述分析,如若進行此種文義解釋,無疑過于限縮了決定權的價值與意義,限制處理與拒絕處理無疑是決定權的內容之一,但并非全部,更應在理念等宏觀、微觀結合的角度理解決定權,才能系統理解個人信息主體的系列權利,決定權系為權利體系的“第一階構造”。
(二)
第二階構造:
以知情權為核心的權利基礎
從知情同意的本源來看,其根本上是一種主體交往之時設定法律關系的前提與基礎行為,無論是政治權威的建立還是對他人的授權,始終具有拓展交往主體能力的功能與作用,同時知情同意還具有限權與自我義務設定之效果。“知情—同意”作為一種行為模式,其被應用于諸多社會關系構建之中,諸如政治國家、醫療領域、消費者保護與個人信息保護等。就行為外觀而言,“知情”與“同意”大致相似甚至相同,而從知情與同意作出的時點來看,二者之間的“時間差”也并不明顯;但由于個體所面對的事實、對象與場域不同,不同的“同意”內容,則可能會在產生一定法律效力的基礎之上反射形成不同的法律效果與社會效果。尤其在當下社會中,科技迅速發展、社會急劇變革,人們身處諸多不確定性與風險之中。這些風險不僅籠統地存在于整個社會,更下沉至具體場景與行為之中。因此,知情同意或具體的告知同意規則更多是一種限制相對方具體行為的“閘口”。
“知情權”這一概念傳統上更多地被用于公法領域,意在表達公民對國家管理社會等事項享有知悉的權利。有學者也指出,知情權首先是個體了解公共機構權力運行的權利,是一種“知”的權利;同時也是一項公民用以參與公共生活、監督公共權利行使的權利,也是一種“行”的權利。個體行使知情權兼具自利性目的與復合性目的。除公法領域之外,其他規定“知情權”的主要包括股東知情權、患者知情權、消費者知情權等。《個人信息保護法》第44條規定了個人信息主體享有知情權,第14條規定在個人作出同意之時應在“充分知情的前提下自愿、明確作出”。《個人信息保護法》上的知情權實際上在相當程度上與消費者法上的知情權具有相似性。有學者也提出,個人信息保護應更加注重體現其消費者法的特征。但何為“充分知情”以及消費者法上的“充分的信息”,此類問題在消費者法上素來也是一個判斷難題,人們通常預設經營者與消費者在智慧、理智與經驗層面并不對等,因此對宏觀或微觀層面的“充分”可能都存在不同理解。此種“充分”好比是一個手風琴的風箱,它是可伸縮的,并且可能是漸次打開或甚至可能是關閉的。通常情況下,何為“充分”也是一種事后解釋,對于消費者的知情權事實上缺乏一個相對客觀的判斷標準,這一問題也由來已久。再來看《個人信息保護法》上的知情權,此類知情權實際上與傳統上消費者法的知情權的適用缺陷比較相似,只能依靠事前的必要、合理等標準進行判斷,并依事后的個案情形予以判斷。
知情權在個人信息主體權利體系中居于核心地位,輻射系列具體權能,理論上與系列權能可能存在一定交叉。知情權在決定權理念的基礎上,與查閱權、復制權、異議權、更正權、刪除權、可攜帶權等都可能存在交叉,即個人對自身信息的查閱、復制、異議、更正、刪除與可攜帶,實際上都指向個人對于自身信息的知情權。總而言之,從一個體系化視角觀察,決定權是一種偏理念性的信息自決基礎,知情權則是整個信息主體權利體系的核心,輻射后續的系列權能,系為權利體系的“第二階構造”。
(三)
第三階構造:散射交叉的系列權能
個人信息主體在信息處理活動中居于一種防御地位,系列權能也是一種基于防御的賦權。高度組織化的個人信息處理者與規模化、高頻化的個人信息處理活動,使得個人在個人信息處理活動中居于劣勢地位。個人信息主體即便是享有系列權利,對抗個人信息處理活動中的風險仍顯捉襟見肘。因此,其行使權利維護個人信息權益也是一種基于被動化的主動。這幾種權利是在個人信息處理活動中才享有的,性質上屬于請求權,而非絕對權。以查閱權、復制權、異議權、更正權、刪除權與可攜帶權為外在表現的權能呈散射狀,但從語詞與權利邊界來看,幾者似相互獨立,但也不排除幾者之間可能存在一定交叉,甚至個人信息主體可能會擇一或擇幾而行使。同時,幾者分別可能會與知情權存在一定交叉,在個人信息主體權益受侵害從而行使權利之時可能會請求行使多項權利。
由于個人信息處理活動呈規模化特征,理論上個人信息主體行使查閱權等系列權利也存在高頻與反復的可能性。故此,個人信息主體行使系列權利也應參照征信業的相關規定,對一定期限內的行使次數以及如何行使權利等作出一定指引。在個人信息主體的系列權利受到侵害之時,可通過侵權責任予以救濟,可請求個人信息處理者履行查閱、復制、更正、刪除、可攜帶等行為義務,從而實現對個體權益的法律救濟。可見,散射交叉的系列權能為個人信息主體權利體系的“第三階構造”。
(四)
個人信息主體權利的實現機制
當我們討論“權利”時,我們在討論什么?本文聚焦于個人信息主體的權利體系,通過多維序貫觀察,漸次切入中國法上的個人信息主體權利體系構造。而權利面向實現之時,又將如何理解以及遇到怎么樣的問題?這可能是本文在接近尾聲之時需要予以回應的。如德沃金所言,“當我們說某人有權利做某件事的時候,我們的含義是,如果別人干預他做這件事,那么這種干預是錯誤的,或者至少表明,如果為了證明干涉的合理性,你必須提出一些特別的理由。”若此論非虛,某人“有權利”意味著,某人可以在不受干預的情況下行使這種“權利”。這是對權利內涵的最樸素的認識。在《個人信息保護法》明確規定個人信息主體享有系列權利的基礎上,如何使這些權利獲得有效實現,是個人信息保護法實施中的重中之重。
個人信息主體可依法律規定向個人信息處理者請求行使系列權利。無論是歐盟GDPR還是傳統的征信法律法規,都規定個人信息主體有權行使相應法律或法規規定的權利。盡管在解釋個人信息主體權利的理論基礎與定位時,相較于個人信息權益概念而言,二者呈現為種屬關系,即這一系列權利系個人信息主體權益的權能。而“權能”這一概念本身又受制于傳統上其相對于所有權、定限物權之間關系的認識,因而可能理論界或者司法實踐中會認為一旦解釋為權能,則無法作為權利而行使。事實上,權能之根本功用在于“形諸外部者”,即權利或權益之外部表現形式。質言之,相對于個人信息主體的權益而言,其被解釋為權能,但對于這一權能的實現,實證法上已規定為權利,是一種法定權利,個人信息主體有權依這些權利行使相應請求權。若用更加簡單的方式再回至原點解釋,即依循實證法自身的根本特質而言,既然法律規定個人信息主體享有系列權利,則其就有權依據法律規定(若沒有其他限制)而行使相應權利。總而言之,無論是基于權能理論的解釋還是法定權利的解釋,二者殊途同歸,個人信息主體均有權依法行使相應權利。
個人信息主體行使其權利時是否需要設置前置程序仍有待進一步的探討。根據《個人信息保護法》第50條,“個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。”可見,在個人行使權利之時,至少有兩個途徑可行使和維護自身權利,一是可向個人信息處理者請求;二是在個人信息處理者拒絕履行相應義務之時,個人有權向法院提起訴訟。當下的爭論焦點主要在于,是否需要在個人向法院提起訴訟之前設置一個向管理部門投訴或申訴的必要前置程序。對于這一點,至少GDPR以及征信業管理條例都未作明確規定,因此,可在《個人信息保護法》實施之后的一定時期內再斟酌是否需要設置此程序。但實踐中目前又出現的一個情況是,個人信息主體可能在并未向個人信息處理者請求履行相應義務之時,就徑直向法院起訴。這一點確有違背法理情理之嫌,這就好比在合同履行過程中或者侵權情形下,權利主體未曾向債務人或者侵權人請求履行或請求承擔責任而直接起訴,其訴訟請求仍為請求債務人履行相應義務或者侵權人承擔相應損害賠償責任。此種情形似有“濫用訴權”之傾向。因為在個人信息主體向個人信息處理者提出行使權利的請求前,個人信息處理者不存在拒絕請求的余地,糾紛尚未發生,自然也沒有通過實體審判來解決糾紛的必要。總而言之,個人信息主體起訴之前應向個人信息處理者主張行使相應權利,只有在個人信息處理者拒絕履行義務或者履行義務不符合個人信息主體所主張的內容之時,在產生糾紛的情形下,才得提起訴訟。
個人信息主體的系列權利應充分保證實現。根據《個人信息保護法》,個人信息主體有權依法行使相應權利,而不受相應條件限制,當然,應避免權利濫用。至于是否設置向管理部門申訴或投訴等訴前前置程序,則不宜強力推行,畢竟監管能否取得良好實效以及是否符合民眾期待仍有待觀察。從當下的情況來看,即便《個人信息保護法》已開始實施,但仍有相當數量的個人信息處理者存在一定規模的違法違規行為,可見法律實施和數據治理的效果難稱理想。因此,在大眾并未排斥甚至積極接納國家干預與保護的基礎上,充分賦予個人信息主體行使相應權利的自由,克服監管天然帶有的弊端與短板,充分保護個人信息主體權利的實現,是為可取之道。
四、
結? 語
從世界范圍來看,美國、歐盟與中國對個人信息保護立法呈現出不同的價值選擇與立法體例選擇,致力于求同存異,以促進實現個人信息保護的客觀化與標準化。中國成文法意義上的個人信息保護法雖然直至2021年8月才完成,但中國多年來始終試圖創設與構建符合中國發展實際的個人信息主體權利體系。其中,和而不同的“決定權”、以知情權為核心的權利基礎以及系列權能,既需要完成保護個人信息權益的使命,同時又面臨未來如何完成此項使命以及如何與個人信息處理者的利益實現平衡等諸多挑戰。
中國問題的討論應符合中國實際,更應與全球制度發展同步。同時,任何問題的討論都離不開場域和視域,進而才能形成相應論域。但也由此引發了對于國內學界關于個人信息保護法究竟是公法還是私法,以及個人信息主體的系列權利屬于公法上的權利還是民事權利等爭論。事實上,此種爭論在其他國家或地區并未產生,因為即便歐盟數據立法在形式上以管制法的面貌出現,但其也從未放棄過對個人的損害賠償救濟,因此并不存在所謂法律責任向度上的“非此即彼”。同時,在兩大法系典型國家或地區,憲法與民事法律、消費者法以及民事制度的合憲性及其與公法制度的協調等都形成了較為系統的解釋論與理論融貫。因此,或許從一種學術史的階段觀察與記錄角度而言,此種爭論是必要的,但也不宜進行大量“非此即彼式”的討論。以“場域”為出發點,以“視域”為檢驗標準,進而確定相應有意義的“論域”,才是問題討論的價值所在。
放眼全球范圍內的信息立法與數據立法的博弈,誠如施瓦茨所言,在歐盟推出《一般數據保護條例》之后,在信息隱私方面的新沖突出現在美國與歐盟之間。當中國制定《個人信息保護法》之后,也同樣面臨世界范圍內的立法競爭、博弈以及可能的潛在沖突。這又為如何實現個人信息主體的權利、如何保護個人信息權益帶來更大的挑戰。殊值重視的是,在更趨于技術化與客觀化的個人信息保護領域,以個人信息為載體,以可識別性為切入角度的人格保護也日益變得更加關注技術。科技對人們行為的“超輕推”甚至科技可能陷入“塔西佗陷阱”,這些微妙變化與風險泛在都可能在某種程度上忽視人格尊嚴的重要意義以及人之為人的價值所在。是以,無論社會如何變遷,應始終重視人的價值,這才是真正意義上人的發展,切莫遺忘。
(部分內容來源網絡,如有侵權請聯系刪除)
