郭江兰
摘 要:数字经济时代下个体正在经历从“肉身人”向“数字人”转变,个人信息开发应用随之激增,加速了个人信息的公开化、透明化和商业化。期间,个人利益、企业利益与公共利益难以避免发生纠葛与冲突,完全满足个人利益会阻碍企业利益、公共利益的达成,同时企业利益、公共利益的实现会使个人利益难以周全,故有必要引入个人信息保护制度以规范化的手段将利益冲突限定在合理范围内。2021年11月1日正式施行的《中华人民共和国个人信息保护法》在保护个人信息权益的同时也促进了个人信息的合理利用。然而,以个体权利为导向的个人信息保护理念根深蒂固,容易误判各主体间正常的利益冲突,陷入过度保护个人利益的泥淖,忽视其他主体围绕个人信息的利益诉求,反而加深各主体间的利益冲突。鉴于此,为了弥合理论与实践的巨大张力,有效平衡个人信息保护与自由流通、合理利用的目标,需要通过利益衡平的方法论,超越个人权利思维的禁锢,对各利益主体的权利结构进行“平等武装”,以适度限定个体权利空间、完善个人信息处理者规定为路径来实现三方制衡,以更好地促进数字经济的发展。
关键词:个人信息;主体利益;冲突与衡平;个体权利;三方制衡
中图分类号:D 912 文献标志码:A 文章编号:2096⁃9783(2021)06⁃0048⁃10
大数据时代,数据采集和数据处理技术取得突破性進展,世界各国都在经历数字化转型发展。以个人信息为主要的数据资源,成为数字经济市场内新型的生产要素,数据应用涉及企业采集、存储、加工、分析、服务,贯穿企业生产的全环节,已经成为驱动数字经济发展的“助燃剂”[1]。2019年10月,党的十九届四中全会通过了《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》,指出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。该决定正式将数据与其他要素并列,共同作为新的生产要素。在此背景下,个人信息的开发和应用便成为时代经济发展和社会治理的重要形式。其中,个人信息开发应用必然关涉到个人利益、企业利益与公共利益的交叉,而各主体间的利益纠葛与冲突也是难以避免的。基于数字产业已经成为中国经济发展新的“压舱石”的背景,个人信息开发应用增多,加速了个人信息的公开化、透明化和商业化,个人信息被无限收集甚至滥用,给个人利益的实现带来了很大威胁,有必要引入个人信息保护制度是为了适度矫正各主体之间的利益失衡情况。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)作为我国第一部专门针对个人信息保护制度的法律,从个人信息权益、个人信息处理活动、个人信息合理利用、保护部门职责等多个方面为个人信息提供全面、系统、科学、严谨的制度保护。然而,受以个体权利为导向的个人信息保护理念的严重影响,误判围绕个人信息的利益冲突,陷入了过度保护个人利益而忽视其他主体相关利益诉求的泥淖,个人可能恣意行使所享有的信息权利,使得各利益主体间的矛盾愈加尖锐,这样反而限制了数据要素市场的流通,对数字经济的发展、社会进步等产生不利影响。基于此,本文围绕现有《个人信息保护法》进行制度分析,在其中试图寻找矫正各利益主体间不平衡的权利分配提供理论支撑,发现现有个人信息保护制度通过对个体权利的合理限定,在保障个人利益的前提下实现信息的自由流通;并且,超越个人权利导向思维,在赋予个人主体以信息权利的同时,也不断完善个人信息处理者的制度规定。
一、利益冲突:个人信息开发应用中的主体利益及冲突
个人信息开发应用本身就关系到个人利益、企业利益和公共利益的实现,信息主体与个人信息处理者间存在利益冲突亦难以避免。另外,个人信息开发应用过程中的利益是存量竞争,当各主体站在自己的立场去开发和利用个人信息,必然会损及其他各主体的利益,即企业利益、公共利益的实现使得个人利益难以保障,完全满足个人利益又会阻碍企业利益、公共利益的实现。
(一)个人信息开发应用中各主体利益介述
探讨数字时代个人信息保护的利益衡平问题时,介述个人信息开发应用中的各主体利益是利益衡平的关键,准确认识个人利益、企业利益与公共利益在个人信息开发应用中的表现,有利于信息自由、企业发展与社会管理[2]。
1.个人利益
进入数字社会,信息采集、信息流转更为频繁普遍,个人对信息利益问题也更加关注。个人信息保护不仅仅是对个人信息本身的保护,而是对个人信息相关利益的保护。第一,个人信息视为一种财产,享有财产性利益[3]。个人信息处理者对个人信息的系列处理行为需要经过信息主体的同意,个人对信息处理者的收集、使用等行为可进行限制,如在收集个人信息环节,个人主体可以拒绝收集个人敏感信息或要求信息处理者明示个人信息收集的范围、使用方式等。但需要注意,个人信息的自由处分和交易与传统的产权理论不同,个人无法完全地处分和交易个人信息,个人信息处理者不能完全获得完整的个人信息控制权与处理权,信息处理者的行为应受个人信息更正权、删除权等权利的限制。第二,个人信息作为人格权的一部分,享有附着于个人信息上的人格性利益,诸如人格尊严、隐私安全等。因为个人信息具有个体识别性,能从个人信息中分析出信息主体,若处理不当会威胁到个人的平等、尊严和自由[4]。饱受质疑的人脸识别中的个人信息采集1、作为人脸识别诉讼第一案的“杭州野生动物世界”案2、引起公众广泛担忧的“深度伪造”问题等有关个人信息事件表明,公众的信息安全观念正在发生转变,对个人信息保护的要求正在逐渐变高,个人有权拒绝、防止其消极性的隐私权益受到相关主体的侵犯,对个人信息安全利益的诉求不再只是停留在应然层面上,更需要在法律制度上将其转换为实然层面上的权利。总而言之,个人信息的财产属性和人格权定位都会为个人带来一定的利益价值[5]。
2.企业利益
在个人信息商业化使用场景中,个人信息是企业开展数字化运营的关键生产要素,生产资料只有被开发、应用、交易、流转才能实现其经济价值。实践中,逐渐形成了“利用个人信息—开发更好的产品或服务—获得更多的商业利益”的模式。个人信息保护中企业利益主要表现为提供数字化服务的互联网平台企业,通过大数据、云计算等新型技术,将海量的个人信息汇聚成大数据。大数据开发与利用可为企业带来核心竞争力,更为数字经济的发展带来大数据红利。可见,在数字经济时代下,个人信息的获取关系企业发展的命脉,个人信息的拥有量关系企业发展的好坏与快慢。另外,诸如“顺鸟”案、“淘宝美景”案、“新浪脉脉”案等事件也表明:为了占据数据优势,企业会尽量占有大量的个人信息,个人信息的拥有量在一定程度上决定了竞争资源的多寡、个性化推荐的准确性甚至市场支配地位的大小,作为重要的生产资源,对企业的商业模式创新、关键技术创新等至关重要,已经成为企业间重要的角逐内容。更有甚者,部分头部企业利用各种手段阻止其他企业收集同类型客户的个人信息,引发“数据垄断”“数据滥用”等问题。在“微信读书”案中,微信APP将用户的微信好友名单,在未经同意的情况下,擅自与微信读书APP关联,并展示阅读情况。
3.公共利益
公共利益是指个人信息保护中的国家利益和社会利益,代表社会绝大多数人的共同利益,公权力机关为了职能需要的诉求不在该范畴内。个人信息开发应用中公共利益主要表现为了科学研究、医疗卫生、公共存档等需要而使用个人信息,在少数情况下,个人信息还服务于国际义务、人道主义和政治選举[6]。政府通过对个人信息的收集、处理、加工,可以全面地掌握当下社会的发展情况,有数据支撑的公共决策,才能提供更好的公共服务,可以说,个人信息开发应用中的公共利益关系全社会的整体生存或发展。科学研究、医疗卫生、数字政府、智能教育等也需要数据样本,通过个人信息的关系分析,发现社会中存在的问题,从而提出应对之策[7]。特别是2020年新冠肺炎席卷全球,政府为了更好地管控疫情的扩散,健康码、行程卡、人脸识别等科技手段的规模化运用,实现对个人信息的需求超过日常管理,公众也有权知道新冠肺炎疫情的发展情况、患者和密接者的个人行踪以及政府的管控措施。纵观我国政府对个人信息的开发应用情况,政府正努力扩展个人信息的利用限度和利用价值,在不同领域内实施“大数据+”战略,特别是电力、医疗、教育、物流等非互联网行业也开始加入数字经济的建设中。
(二)个人信息开发应用中各主体利益冲突图谱
一直以来,个人利益被视为弱势利益要求加大保护,个人利益被视为弱势利益,相对而言,企业利益与国家利益则作为强势利益被限制。随着个人信息被海量采集与市场化应用,个人让渡一部分个人信息,能够享受到更好的企业服务和公共服务,然而这种联系却因个人信息相关恶性事件频现而变得紧张,又加之企业与政府就个人信息的开发应用合作加深,个人、企业与政府主体间的利益冲突愈加尖锐。
第一,随着公众隐私事件频发、个人信息安全观念的改变以及数字权力的侵略性日益显露,个人对个人信息(特别是隐私信息)的自我保护意识和对个人信息权益的合理追偿意识正在逐步增强。特别是算法、人工智能、大数据等新型科技的广泛运用更是加速了个人的觉醒进程。个人越来越关注自己的信息安全,希望亲自参与到信息采集、处理、流转的全过程中,并享有对应权利。事实上,由于个人很难参与政府关于个人信息市场化应用规则的制定,对政府和企业运用其个人信息也缺乏可能的监督性权利,所以公众常常以敌视和警惕的态度对待政府与企业。尤其是数字经济时代,个人作为“数字人”生活在由数字权力所重新塑造的社会共同体中,通过个人信息形塑“个人形象”,在这个过程中,企业对个人信息的过度索取和滥用造成了个人对企业排斥的关键原因。例如,多数企业APP被用户下载后,使用的前置程序就是对信息采集选项必须点击“同意”,甚至一些企业APP还要求关联相册、通讯录等内容。因此,市场上很多企业以个人已经同意为借口,作为过度索取用户信息和隐私的“golden card”,而个人一旦丧失信息的自决权,则会由信息主体沦为政府数字治理和数字企业发展的“工具”[8]。由此可见,个人信息保护的核心诉求在于增强对公权力和企业的限制,防止其对信息肆意处理。
第二,个人与企业、个人与政府在一些情形下,利益关系处于高度紧张的状态。其一,企业为实现利益最大化,有可能会损害个人利益。个人信息作为企业所掌握的重要资产,对以数据为驱动的社交平台、购物平台而言,个人信息是决定企业利益实现的核心要素,是企业提供商品或服务的基础。例如,以“人人网”并购案引发了个人信息保护的担忧,并购发生以后可能会导致用户不再享有最初企业允诺的利益,甚至还可能因为个人信息使用目的的变更,影响个人信息的安全[9]。其二,政府为了公共管理的需要也会一定程度上限制或损害个人利益。例如,政府为了维护公共利益,防控新冠肺炎疫情的扩散,疫情期间个人信息权益受到一定的限制,这种限制可以理解。但是,一些患者或密接人群的姓名、身份证号码、家庭住址、日常行程等被泄露后遭受人身攻击,导致部分人为了保护个人利益,拒绝提供防疫信息或虚报个人信息。另外,从利益属性来看,个人利益与企业利益、公共利益不同,个人利益是基于对个人信息安全和人格保护衍生的利益,企业利益和公共利益是为了实现积极的结果而谋求的利益。
第三,在个人信息保护的实践过程中,政府和企业作为典型的信息处理者组成的“联盟”正与个人处于对立的一极。由于政府与企业在信息领域正表现出广泛合作的态势,个人信息处理和流转过程中有密切的利益关系,对个人信息的获取与处理存在共同的诉求,如各地推行的“健康码”“政务一网通办”。另外,政府在获取个人信息和使用个人信息过程中,由于自身的利益偏好和技术能力的客观限制,可能会与企业“合作”,站在个人的对立面,享有“准数据权力”[10]。例如一些头部数据企业还可以通过政企合作方式,进一步增强已经拥有的强有力的数据权力,并且在合作过程中还可以无偿地获取大量个人信息。通过自我挖掘数据和与政府合作的方式,这些数据企业可以将个人信息数据与企业数据绑定,为企业推出新产品、获取数据利益奠定了有力基础。并且,政府以公共利益理由获取合法性基础,产生“跑马圈地”的现象。
二、制度反思:个体权利导向下个人信息保护制度的问题
诚然,《个人信息保护法》的颁布,标志着我国进入全面保护个人信息的时代,进一步发展了《中华人民共和国民法典》(以下简称《民法典》)关于个人信息的保护规则。但是,源于受以个体权利导向保护理念的桎梏,尚不能完全正确对待个人信息开发应用过程中各主体利益存在的冲突,表现为对个人信息开发应用中利益冲突进行过分曲解和误读,从而陷入个人信息保护就是保护个人和个人利益的泥淖,致使《个人信息保护法》或多或少还存在以个体权利为导向的理念影响,进而在大数据时代下形成过保护个人利益的模式,忽视了个人利益、企业利益与社会利益的平衡,反而使得个人信息保护无法有效应对个人信息自由流通与经济发展、社会治理之间的关系,阻碍了企业、政府等个人信息处理者对个人信息的合理开发应用。
(一)个人信息的保护范围较广且缺乏隐私核心
对个人信息内涵和外延的界定,是构建个人信息保护制度的前提性问题,关系个人信息的保护范围。与《民法典》第1034条第2款的“识别说”相比,《个人信息保护法》第4条对个人信息保护范围的界定采用“相关说”,对个人信息的外延进行了进一步拓展,将与“自然人有关的各种信息”都纳入法律的保护范畴,对个人信息权益进行了扩张。的确,随着大数据技术的进一步发展,传统熟人社会的交往模式已经逐步被打破,个人信息的广度和流转速度已经不局限于社区的“小圈子”,而是随时会转换为公共信息。《个人信息保护法》以宽泛的态度界定个人信息,目的在于回应时代的发展趋势。但应该注意到,个体最希望被保护的是密切涉及人格尊严和人身财产安全的个人隐私,即个人不愿意主动披露的信息数据,如果将信息的范围定义得过于宽泛,反而无法对隐私重点保护,也使得其他个人信息的流通性受到限制。
个人信息与隐私是一组相近似的概念,并且在数字时代愈发呈现出相互交织的趋势。数字时代的个人隐私经历了“信息隐私化”和“隐私信息化”的双重过程,一些个人隐私以信息化的形式表现出来,一些原本不是隐私的个人信息在数字时代随着技术的发展拥有了人格和财产的双重价值,进而成为个人隐私,需要立法予以重视[11]。从《个人信息保护法》以专节共5条的设计来看,其中并没有明确关于隐私权的概念,仅是将个人信息区分为敏感信息和非敏感信息,并且以列举的方式列明了几种敏感个人信息的类型。即“种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪”等信息3,《个人信息保护法》的条款设计缺少以隐私权为核心的制度架构,对包括敏感信息在内的所有个人信息采取大致相近的保护思路,只是对敏感信息的处理提出了更加严格的要求。但从学理上来看,个人隐私关涉个人在社会上自由与尊严,隐私权的内涵以及其所蕴含的严格人格属性决定了隐私信息不能自由交易和任意公开,即便是在取得个人授权同意的前提下,也不能任意处分。因而需要继续沿用强保护的模式,以人格权性质的绝对权来对待,以维护个人的人格自由与尊严[12]。可见,缺少以隐私权为核心的制度架构,对所有个人信息均采取同样的保护规则,会使得应该重点保护的、构成隐私部分的个人信息没有得到充分保护,同时一些正常可流转的个人信息则会受到很大程度地限制。如“数据”这种经过脱敏手段处理后无从识别信息主体的信息,法律属性为财产权益,应该允许其自由转让[13]。
(二)个人信息权利赋予较为宽泛
在个人信息保护制度规范体系中,个人作为信息主体,享有以知情同意为核心的民事权利,辅之以许可使用权、复制查询权、异议更正权以及删除权四项权能,表明我国对个人信息的保护仍着力于以个体权利为导向。具体而言,个人信息保护的范式主要可以分为三类:基于具体人格权的保护、基于信息财产权的保护以及人身和财产的复合保护。第一类,将个人信息作为具体人格权客体进行保护。《民法典》将个人信息权列入“人格权篇”加以保护,以保证个人信息保护契合人格权相关理论与立法体系。个人信息被赋予“人格权”内涵,意味着个人信息将受到私法的超强保护,个人信息保护也便具有优先性[14]。表面上看是协调人格权保护与信息市场化运用之间的关系,其实质也是为了使个人对个人信息享有比照人格权的支配性权利[15]。第二类,将个人信息作为财产权保护。强调对个人信息流轉产生的财产权益独立保护,《电子商务法》《数据安全法》均做出了规定。个人信息作为新型财产化的权利,近似于物权,具有绝对性和排他性[16]。第三类,个人信息的人身和财产复合保护。数字时代的个人信息通常具有人身和财产双重属性,《个人信息保护法》作为一部公私法理念深度融合的法律正在尝试建构一种新的治理框架,避免因双重价值的疏离导致个人信息保护的失衡。《个人信息保护法》在《民法典》的基础上,细化了知情权、决定权、查询权、复制权、更正权等权利,并新增了信息携带权、主张删除权等、解释说明权等个体权利,不管是人格权保护、财产权保护抑或复合保护,其核心意旨在于满足个人对信息流转的权益诉求,即要保障个人信息的自由、自决与安全,形成“个人信息民事主体权利—个人信息处理者义务”的个人信息保护分析框架。总之,现有个人信息保护的系列法规不断夯实了对个人利益的保护,忽视了企业、政府等主体对个人信息的利益诉求。
另外,政府、组织以及其他个人有关规定不完善,进一步强化了个体权利导向下主体利益失衡。一方面,政府目前作为信息处理的重要主体,在信息处理的过程中与企业既有交织,又存在天然的差异性,重点要明确二者的权责边界。通说认为,当前法律对政府的授权过多,这是导致政府信息滥用的根源,但实际上,导致政府滥用个人信息的制度原因并非授权过多,而是授权不明,由于规范在立法阶段的“难题后移”,导致在一些场景中,政府在应当合理使用信息时却裹足不前。从《个人信息保护法》的条款设计来看,《个人信息保护法》第二章第三节对政府处理个人信息的情形进行了特别规定,但从该节的条款设计来看,其主要是原则性规定,可操作性比较差。从现状来看,政府在信息采集和处理过程中有举足轻重的地位,是个人信息流转中的直接利益相关者,但实际利益却很难落地。另一方面,将个人不加条件作为义务主体,会导致执法对象的模糊,甚至个人会上升为主要的执法对象,偏离立法设计的原意。对组织的类型未进行区分,将所有的组织进行统一规定。实践中,不同组织尤其是企业,采集和处理信息的能力是不同的,对于信息的需求程度也不尽相同。当下的互联网头部企业在某种程度上已经形成了数据信息垄断地位,并进一步对信息市场的准入设置了较高门槛,一些非互联网企业获取和处理信息的难度相当高,这些企业在个人信息的获取和使用上均与头部企业处于不平等地位,如果将这些组织在个人信息保护义务上“一视同仁”,适用同样的信息处理规则和法律责任,则会导致这些企业守法成本过高,并且会带来选择性执法的问题。有学者指出,“我们很难设想一个义务主体无所不包的规范体系,不会导致守法成本升高与执法的普遍困境。”[17]
(三)个人信息处理规则偏重个人利益
《个人信息保护法》对同意、不同意、同意后撤回实际操作层面的具体规则进行了完善,能赋予个人主体最大的能动性空间,能与自由竞争市场模式相兼容,最大限度地减少信息不对称,增强个人信息主体对其个人信息控制力。 然而,在大数据时代依然坚守“告知—同意”信息处理的黄金规则,显然有失平衡[18]。这是因为,“告知—同意”规则是立基于小数据时代下个人对少量信息进行“face⁃to⁃face”的交流,形成“告知+同意=合法处理”的模式;而面对数据量庞大、数据自动化决策等新形势时,“告知”成本急剧上升,算法学习和算法决策也不能有效保障“同意”的完全实现。
首先,《个人信息保护法》第13条借鉴欧盟GDPR列出了获取个人信息的正当性基础,即获取个人同意、履行法定义务、履行合同需要、公共利益需求等,但在之后关于信息处理的规则中又回到了“基于同意”的传统模式4。这种前后规定的不一致可能带来实践的困惑,也会增加社会成本。如《个人信息保护法》规定信息处理中涉及委托处理、第三方处理、跨境转移中都需要取得用户的单独同意,但如果相关主体获取信息时已经存在合法性基础,如政府履行公共职责或企业履行合同必须,此时在具体环节又须要折回原点再次取得用户同意,这不仅极大增加了交易成本,在实践中也缺乏可操作性。在数字社会中,各种机构、企业无时无刻不在处理个人信息,其中“个人同意”只是特定的场景所需的合法性和合理性基础,而在大部分场景中都存在除了“个人同意”的其他获取信息的合法性基础。比如,疫情期间为了疫情防控的必要,个人出入各种公共场合都需要出示“健康码”或进行“人脸识别”,这是基于保障公共卫生安全的需求,具有强制性。在此场景下,个人信息的收集只须要保障个体知情,而无须其同意为基础[19]。此外,还有一些不能获取“同意”的特殊场景,如医疗场景、金融场景等,在不存在其他合法性基础的前提下,坚持获取“同意”的成本非常高,甚至可能会带来普遍性违法的问题。
其次,《个人信息保护法》第24条规定“通过该自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项”。本条款目的是针对当下个性化定制服务中存在的“大数据杀熟”现象,但《个人信息保护法》并非结合当下技术发展的需要提出创新性解决方案,而是单方面要求企业“回退”到传统的商业模式中去进行价格设定,这并非从根本上解决问题,而是将企业拉回到问题出现之前的阶段,以回避有关个人信息的问题。《个人信息保护法》这样设定明显不符合数字经济进一步发展的趋势。在数字时代下,《个人信息保护法》的初衷是在承认数字技术对于个人信息运用的积极意义后,尽量用法律的手段阻止或纠偏不正当利用个人信息的违法行为。若全面否定针对个人信息特质的商业模式,反而会阻碍数字经济的快速发展,也会偏离《个人信息保护法》的立法初衷。
最后,《个人信息保护法》第15条在信息流转中规定了“撤回”条款,“基于个人同意进行的个人信息处理活动,个人有权撤回其同意”。实践中,个人信息的应用场景是动态变化的,如果政府和企业在进行信息处理活动之前已经获得个人“同意”,在后续个人信息使用过程中,场景发生变化,如个人信息使用目的变化、信息处理者将其个人信息授权给新的第三方,严格个人信息主体最真实的“同意”意思表示是难以实现的,一揽子“同意”显然也不符合个人信息应用场景呈现动态变化的特点[20]。尽管《个人信息保护法》第15条明确撤回同意的便捷性以及撤回同意不影响之前同意的效力,与GDPR以及行业的良好实践互相呼应,在保护个人信息主体的权益和促进企业对于个人信息的合规利用方面达成了平衡,但落地性效果却很难保证。退一步讲,若在信息处理过程中赋予个人宽泛且随意的撤回权,无疑会导致个人信息交易成本的极大增加,可能会影响正常的商业和社会管理活动,甚至在极端情况下会滋生公众滥用“撤回权”的现象,使个人信息保护走向另一个极端。另外,第15条中“撤回”表达的真实内涵是“撤销”5。个人信息主体的“同意”发生在个人信息收集阶段,而个人信息主体欲“撤回”授权却时常处在个人信息正被利用阶段。如个人信息主体为了网上购物的便捷性,选择“同意”個人信息的收集,但当频繁遭遇“个性化推销”或“大数据杀熟”时,此时个人信息主体才会选择“撤回”。
三、衡平进路:超越个体权利思维指引下个人信息保护制度的改进
《个人信息保护法》第1条开宗明义,将个人信息保护与利用的平衡作为立法目的,明确传递我国个人信息保护“保护与利用相平衡”立场。基于此,更须要以利益衡平为制度进路,推动《个人信息保护法》的全面落实,在保护个人信息的同时,也促进数字经济健康发展。当然,超越个体权利思维,并非不顾个人利益的实现,而是在衡平个人利益、企业利益、公共利益的前提下,适度划定个体权利空间,完善个人信息处理者规定,两条路径并驾齐驱,为个人信息开发与应用护航。
(一)适度划定个体权利空间
个人权利的赋予应当只是为了降低个人信息被滥用的风险,个人信息保护不是通过不断让渡其他主体利益的方式来成全个人,而是在对个人核心信息进行保护的基础上,实现其他主体的利益。事实上,其他国家均未在立法层面明确承认个人对信息的绝对支配权,因为这与个人信息中隐含的社会属性和经济属性不符。欧盟实际上并未赋予个人信息主体民法上的个人信息排他权[21],美国关于个人信息的立法保护也仅限于教育、医疗等涉及民生的特定领域,并不完全适用于私主体[22]。一旦制度将个人信息权利完全界定为类似物权的“私权”,这会使得任何使用个人信息的行为均需与个人信息主体进行谈判,通过支付对价的方式达成协议,这反而很难推进信息社会化、市场化的进程。基于此,我国有必要适度限定个体权利空间,个人利益的实现不能淡化企业利益和公共利益。
一方面,合理界定个人信息的范围和类型。无论是基于狭义财产权的保护,还是宽泛的基于广义人格权的个人信息保护,甚至是上升到基本人权的高度,在数字社会的背景下合理界定个人信息的范围和类型都是必要的。但盲目保护、不抓重点的保护很可能造成个人、政府、企业“三败俱伤”的局面。因此,要实现个人利益、企业利益与社会利益的衡平发展,首先要按信息所涉及的利益和对个人的影响进行类型化划分,抓住保护重点,同时让信息的经济效能释放出来。从目前来看,《个人信息保护法》以列举的形式列明了敏感个人信息的做法仍然比较粗放,可能面临边缘信息被过度保护而核心信息没有受到应有保护的双重困境。而实际上,不仅需要加强对公民个人信息权益的保护,也须要一定程度上考虑企业的利益,并适当对政府的权力划定边界。为了实现在法律治理体系中多重权益的衡平,通过信息利益类型化的方式来对权力和权利进行规范,是比较妥善的处理方法。
具言之,可以借鉴学理上的分类,遵循个人信息认定的“可识别性、科学性、动态性”的标准[23],将广义上的信息进一步划分为隐私、信息、数据。在电子化技术语境下表达,区分三者没有绝对的意义;但在不同的应用场景却有必要的意义,会表现为不同的法律诉求6。①隐私的法律属性是人格权益,是排他性的信息权利,不能公开转让、交易、流转,该领域也是政府和企业需要严格遵守的“负面清单”,即除非有特别的法定事由,政府与企业不得获取、流转个人隐私,受绝对的保护[24]。②信息(狭义)的法律属性亦为人格权益,但由于公布不会对个体造成过大影响,因此可以通过公开化和商品化转换为财产权益,在征得个人同意后,可以进行流转。这主要包括个体消费、就业、旅行、升学等具有一定识别度,但尚不能构成隐私的信息。该领域也是政府、企业与个人可以博弈的主要区域,基于三方的强弱对比,规则设定主要是增加个人参与企业和政府信息处理流程的法定机会,赋予其知情权和监督权,以增强个人的博弈能力,从而实现社会发展与经济利益最优解。③数据则可以理解为经过技术手段后无法识别和关联主体的信息,其可以自由转让,并不需要征得信息主体的同意[25]。这也是政府和企业最为活跃的领域,虽然单条行为数据商业价值与社会价值有限,但数据的集合能产生巨大的规模效应,通过对大数据的分析,可以掌握区域内群体的行为模式、消费偏好,从而服务于数据决策。因此,获取该领域的信息属于政府和企业权利范围的“正面清单”。将个人信息在广义上界分为隐私、信息、数据,在保护与应用上可以更好地进行利益权衡,隐私更强调“隐”,其中表现的个人利益更为重要,而信息和数据一般可为他人知晓,流通性更强,故企业利益、公共利益考量空间理应更大。
另一方面,结合市场自我规制的优势,需完善个人信息处理规则。自动化处理是数字企业提供为用户服务的普遍趋势,不能通过回避的方式解决问题,立法可能的介入点在于对司法、行政等可能对个人权益产生重要影响的领域,而对商业营销等一般性的自动化处理领域,不宜过多干预。每个企业目前都面临着来自用户的不信任,目前广泛存在的隐私保护、数据泄露等问题,都须要通过发挥行业协会作用和企业自我规制等方式进行回应,这也是企业树立良好社会形象,促进信息要素进一步流动所必须解决的问题。具体而言,“知情—同意”作为核心的信息处理规则,企业的义务应在于确保“知情”的实现,对此可主要发挥行业协会的作用,要求企业在使用协议中采取重点标注、协议界面强制停留等方式确保用户已全文阅读相关条款,同时可通过行业公约的形式明确信息收集和处理的必要、比例原则,建立行业统一、标准化的信息处理机制。另外,《个人信息保护法》不应该过度突出“同意”的概念,其他信息处理的合法性事由应该重视,尤其是基于履行合同需要所采集信息的,不应要求企业反复取得“同意”,而是应该通过完善企业内部的信息处理、监督、风控等机制,从而确保个人信息处理的合法性与合约性;同时,也不应允许个体随意撤销“同意”,如行使“撤回”权不能影响数据处理者的留存行为的履行。另外,个体主要享有知情、监督等权利,可以要求企业公开关涉自身的信息利用情况,信息最终流向等。同时,引入市场经济激励制度,促使企业和用户就个人信息的收集、储存和使用进行协商,這对于企业而言能够获取了可使经济利益最大化的资源,对用户而言是让渡了部分能使生活更加便捷的信息,在讨价还价的经济激励过程中,促使个人信息主体强化对个人信息的保护,而且企业因受到“撤回”制度的限制,只能更加详尽地履行告知义务来换取个人信息主体的同意,提升告知的质量,从而解决“告知—同意”规则的形式化问题[26]。
(二)完善个人信息处理者权责内容的规定
一方面,个人信息处理者基于民法公平理念享有抗辩权,限制个体权利的行使。在个人信息开发应用过程中,个人基于个人信息权益或人格权遭受侵害要求个人信息处理者停止信息处理行为时,个人信息处理者可以进行合理理由抗辩。个人信息处理者对个人信息开发应用,会对个人利益带来影响,但这种影响并不一定都是侵害个人利益,在一些场景下,个人信息处理者的行为还能为个人创造更大的价值。在欧盟,当个人信息涉及信息自由、公共利益等法定事项时,所列事项可以阻止个人删除权的行使,个人利益并非绝对受保护[27]。在美国,个人信息处理者以自由、正义、公平等价值对围绕个人信息的利益进行衡量,即使个人信息应用场景发生了变化,个人信息流动如果是正当的,也会被认定为妥当。可见,个体权利空间不能过于宽泛,在不同的场景下,应该对个体权利进行适度的限制,赋予个人信息处理者抗辩权,避免个人信息保护规范变成只保护个人的规范,不利于三方利益的均衡,同时还会阻碍个人信息的开发应用,从而减弱数字经济和数字政府的发展动能[28]。
另一方面,个人信息处理者的义务规范还须细化。首先,“个人和组织”笼统地作为信息处理的主体,会导致执法对象不清晰,社会守法成本普遍升高的情况。对此,可以借鉴域外经验,考虑将“个人”排除在信息处理主体之外,对于个人不预设信息处理的法律义务,而主要以既有的《中华人民共和国侵权责任法》《治安管理处罚法》等法律法规为依据,通过违法惩戒的方式处理可能发生的个人信息侵权问题。另外,对于“组织”要进行区分,设定一定的准入门槛。考虑部分企业获取和处理信息的能力和需求都比较弱,若对其课以同样的法律责任无疑会挫伤这些企业的积极性,减损数字市场活力。因此立法须尽量抓大放小,对于市场内的头部企业重点关注,集中力量维护公众利益,同时给信息能力较弱的企业以一定发展空间。其次,《个人信息保护法》虽然有专门一节对国家机关处理信息的活动作出规定,但条款仍侧重原则性阐述,较为宽泛,没有讲清楚政府和企业在信息处理中各自的定位。在政企合作现象广泛存在的情况下,可以借鉴欧盟GDPR的相关规定,将政府定位于信息数据“控制者”,而企业定位于信息数据“处理者”,企业为政府开展的数据技术支持,政府应该为最终责任人,不能仅承担行政内部处分的法律后果;同时,在信息流转的过程中,企业属于直接主体,不能将已有的政务信息(尤其是个人隐私)与企业自身数据结合做商业使用,发生信息泄露、侵权时,应该承担首要责任。特别是新冠疫情期间,政府授权一些企业采集了大量的个人信息,其中涉及很多个人隐私。诚然,突发事件期间基于社会公共卫生安全这一强法定事由的需要,此行为无可厚非。但是随着新冠疫情逐渐得到控制的后疫情时期,企业失去公共利益豁免的法定事由时,这些用于公共卫生安全所需的信息不能直接转为商用,应迅速封存或者销毁。若基于其他理由须要再次采集,必须取得个人重新授权。为了建立良好可信的企业形象,企业的商业行为必须跟政府划清信息的边界和责任。数字时代背景下个人信息流转于各个领域,须要明确一定的执法主体,《个人信息保护法》已确立了有统一负责个人信息保护、监督、执法工作机构的原则,但整体架构设计还需进一步明确,否则就可能出现企业被各类执法部门、监管部门完全束缚住手脚的情况。另外,强化最小必要原则在个人信息处理中的建设,要求信息处理者必须在所处理的个人信息的范围内和期限内实现授权的目的,强调个人信息保护的事中和事后保护[29]。
结 语
学界对于GDPR的研究已近十余年,为我国《个人信息保护法》的出台夯实了理论基础。目前来看,《个人信息保护法》很多地方借鉴了GDPR的处理规则,但在个体的授权、对于政府和企业义务的规定等层面也有明显差异,这是立法者在充分研判国内外社会情势的前提下给出的中国方案,从这个角度来讲,我国的个人信息保护法恰逢其时。不同于GDPR主要为欧盟的经济发展服务,我国的《个人信息保护法》一方面是强调保护个体权利,同时也在谋求新时代数字经济的全新发展,是要构建一部“平衡”的法律。但根源于我国立法实践中对公权力和企业的天然警惕以及社会信息侵权现象的普遍存在,《个人信息保护法》对个人的权利进行了“报复式”的填补,从而加重了个人利益与企业利益、公共利益间的对峙,最终可能适得其反。针对公众的个人信息,保护是制度架构的基石,但如果过分强调保护,忽视个人信息的其他社会和经济价值,可能会使我国丧失以此领航数字时代的机会,在全球数据治理体系中也会处于弱势地位。因此,找准个人利益、企业利益、公共利益之间的平衡点,从利益博弈的主体入手,分析并满足不同主体的核心利益诉求,通过博弈、协商的方式对边缘利益诉求达成妥协,从而形成三方制衡的协同治理机制尤为重要。当然,除了处理好微观意义上不同主体间的利益关系,在宏观意义上,《个人信息保护法》也应做到体现中国特色与实现国际话语权提升的平衡,数字经济高质量发展和国家信息安全的平衡。这是基于个人、企业、政府三者“小平衡”之上的“大平衡”,也是学界未来需要进一步研究的方向。
参考文献:
[1] 柳雁军.个人信息保护立法与数字经济发展[J].探索与争鸣,2020(11):30⁃32.
[2] 黄江,李静.《民法典》对个人信息保护制度的完善[J].社科纵横,2020,35(12):100⁃103.
[3] 丁晓东.个人信息保护原理与实践[M].北京:法律出版社,2021:62.
[4] 高富平.个人信息处理:我国个人信息保护法的规范对象[J].法商研究,2021,38(2):73⁃86.
[5] 金耀.个人信息私法规制路径的反思与转进[J].华东政法大学学报,2020,23(5):75⁃89.
[6] 商希雪.超越私权属性的个人信息共享——基于《欧盟一般数据保护条例》正当利益条款的分析[J].法商研究,2020,37(2):57⁃70.
[7] 郭春镇,马磊.大数据时代个人信息问题的回应型治理[J].法制与社会发展,2020,26(2):180⁃196.
[8] 吴冠军.告别“对抗性模型”——关于人工智能的后人类主义思考[J].江海學刊,2020(1):128⁃255.
[9] 余佳楠.个人信息作为企业资产——企业并购中的个人信息保护与经营者权益平衡[J].环球法律评论,2020,42(1):99⁃112.
[10] 王锡锌.个人信息国家保护义务及展开[J].中国法学,2021(1):145⁃166.
[11] 王俊秀.数字社会中的隐私重塑——以“人脸识别”为例[J].探索与争鸣,2020(2):86⁃159.
[12] 周学峰.个人信息保护立法中的基础问题探讨[J].北京航空航天大学学报(社会科学版),2020(3):1⁃7.
[13] 彭诚信,杨思益.论数据、信息与隐私的权利层次与体系建构[J].西北工业大学学报(社会科学版),2020(2):79⁃89.
[14] 谢远扬.信息论视角下个人信息的价值——兼对隐私权保护模式的检讨[J].清华法学,2015,903):94⁃110.
[15] 王利明.数据共享与个人信息保护[J].现代法学,2019,41(1):45⁃57.
[16] 龙卫球.数据新型财产权构建及其体系研究[J].政法论坛,2017,35(4):63⁃77.
[17] 周汉华.个人信息保护法应明确义务主体,突出独立性[N].南方都市报,2020.10.30.
[18] 万方.个人信息处理中的“同意”与“同意撤回”[J].中国法学,2021(1):167⁃188.
[19] 宁园.健康码运用中的个人信息保护规制[J].法学评论,2020,38(6):111⁃121.
[20] 蔡培如,王锡锌.论个人信息保护中的人格保护与经济激励机制[J].比较法研究,2020(1):106⁃119.
[21] European Data Protection Supervisor, The EDPS Strategy 2020⁃2024 Shaping a Safer Digital Future, at https://edps.europa.eu/sites/edp/files/publication/20⁃06⁃30_edps_shaping_ safer_digital_future_en.pdf(Last visited on September 30,2020).
[22]王利明.和而不同:隐私权与个人信息的规则界分和适用[J].法学评论,2021,39(2):15⁃24.
[23] 彭诚信.数据利用的根本矛盾何以消除——基于隐私、信息与数据的法理厘清[J].探索与争鸣,2020(2):79⁃161.
[24] Daniel J. Solove & Woodrow Hartzog, The FTC and the New Common Law of Privacy, Columbia Law Review, Vol.114:583(2014).
[25] 陈伟,宋坤鹏.数据化时代“公民个人信息”的范围再界定[J].西北民族大学学报(哲学社会科学版),2021(2):88⁃96.
[26] 江帆,常宇豪.個人信息保护中“知情同意”适用的困境与出路[J].经济法论坛,2018,21(2):46⁃64.
[27] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, p135.
[28] 高富平,李群涛.个人信息主体权利的性质和行使规范——《民法典》第1037条的解释论展开[J].上海政法学院学报(法治论丛),2020,35(6):40⁃51.
[29] 宁园.个人信息保护中知情同意规则的坚守与修正[J].江西财经大学学报,2020(2):115⁃127.
Reflection and Improvement of Personal Information Protection System: From the Perspective of Subject Interest Conflict and Equity
Guo Jianglan
(Law School of Civil Business and Economics, China University of Political Science and Law,
Beijing 100088,China)
Abstract: In the era of the digital economy, individuals are undergoing a transition from "physical persons" to "digital persons", and the development and application of personal information has increased rapidly, accelerating the openness, transparency and commercialization of personal information. During this period, entanglements and conflicts will inevitably occur among personal interests, corporate interests and public interests. Full satisfaction of personal interests will hinder the achievement of corporate interests and public interests. At the same time, the realization of corporate interests and public interests will make it difficult to complete personal interests, so it is necessary to introduce a personal information protection system to limit conflicts of interest within a reasonable range by means of normalization. The Personal Information Protection Law officially implemented on November 1, 2021 not only protects the rights and interests of personal information, but also promotes the rational use of personal information. However, the personal information protection concept oriented by individual rights is deeply ingrained, and it is easy to misjudge the normal conflicts of interest between the subjects, fall into the quagmire of excessive protection of personal interests, ignore the interest demands of other subjects surrounding personal information, and deepen the interest conflicts of the subjects. In view of this, in order to bridge the huge tension between theory and practice and effectively balance the goals of personal information protection and free circulation and rational use, it is necessary to go beyond the confinement of individual rights thinking through the methodology of interest equity and "equally arm" the right structure of each interest subject to achieve tripartite checks and balances by appropriately limiting the space of individual rights and improving the regulations for personal information processors, so as to better promote the development of the digital economy.
Key words: personal information; subject interests; conflict and equity; individual rights; the tripartite checks and balances