个人信息权的内涵、逻辑与体系建构

2022-02-15 11:30强,
关键词:私法信息处理保护法

韩 强, 吴 涛

(华东政法大学 法律学院, 上海 200042)

基于法的目的论,“权利”一统天下却又含义殊分,在不同场合、不同语境下,甚至在同一个人口中的“权利”都指向不同意涵。这一点在“个人信息权”等新型权利概念上的讨论更为明显,也产生了诸多争论。“个人信息受法律保护”源自宪法,表现为基本权利下的“个人信息受保护权”,延伸至私法领域则关涉个体的人格权益、安全利益和风险预防性权益等诸多方面,因此通过“权利化”实现体系性保护,就具有了法律上的需要。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)通过建立正当的个人信息使用规则和程序,实现权益保护与行为自由之间的平衡,尤其是第四章对“权利”作出了明确列举。

然而,围绕“个人信息权”存在众说纷纭的现象,如何从“个人信息权益”这一支点进行溯源和概念演绎,编排好《个人信息保护法》第四章“个人在个人信息处理活动中的权利”、《中华人民共和国民法典》(以下简称《民法典》)第111条及第1034条“个人信息受法律保护”、《民法典》第1037条“个人信息主体的权利”等关键概念之间的逻辑关系,并与公法领域广泛讨论的“个人信息受保护权”进行协调与衔接,是个人信息保护法治体系必须解决的基础性问题。有鉴于此,有必要厘清个人信息保护相关“权利”的概念及意义,进行体系化梳理形成内涵结构的逻辑地图,进而有助于理解《个人信息保护法》第四章的立法定位及促进司法实践中的适法统一工作。

一、个人信息保护“权利化”的复杂面相

(一)个人信息保护“赋权模式”的现有讨论

随着启蒙思想和人文主义的勃兴,迎来了“权利要求火山似的爆发阶段”[1]。广泛兴起的“造权”运动上至宪法,下至各领域的部门法,充斥着权利的显赫地位,在保障意志自由、不受他人或国家干涉的功能面前,法律的规矩管束功能似有黯淡[2]。传统的法律形式主义思维要求法律必须具备“全面性”和“完整性”,主张法律是自治封闭的体系,即使出现漏洞也能在法律规范体系内进行填补和发展。个人信息的“权利化”即为这一思维的具体表现。

有不少学者主张“权利化”保护模式优先于“法益”保护模式,并且通过否认权利支配性等方式避免妨碍信息流动。认可个人信息保护“权利化”的学者,对于“个人信息权”的性质存在不同认识。例如,框架权说,将“个人信息权”视为概括性、描述性指称,不同语境下或为人格性或为财产性[3];又如,基本权利和自由说,参考欧盟《一般数据保护条例》(GDPR),与私权并不相互排斥[4];再如,具体人格权说,从个人信息权与隐私权的界分角度出发,私密信息具备交叉属性,而个人信息权具备独立性[5],立法中应当对个人信息权设定新型具体人格权。此外,还有人格权兼财产权说、隐私权说、物权说或所有权说[6]。还有学者借鉴不同理论学说的权利论证思路,试图在实定法中发现“个人信息权”。例如,借助Harel的权利证成框架[7],将人的尊严和自主性作为内在理由,将“共同善”作为外在理由试图证成“个人信息权”,采取“权利簇”的界定方式,可弥补单一行为规制模式的缺陷[8],但未揭示权利的内在逻辑,以及与行为规制之间的关系。也有学者从凯尔森的“反射权利”论证[9]84-94和Hohfeld的“基本法律概念”[10]等分析法学的权利理论出发,试图“挖掘出规则中所蕴含的权利”并将《民法典》第1035条解读为“不属于对世义务”,从而推导出权利的存在,而个人信息处理的“同意”或“决定”则对应Hohfeld的“权力”概念[11]。但是“主张、特权、权力、豁免”的概念可以被“法律之力”所涵盖,指向的仍然是特定的利益。辨析四种类型的法律之力并不能解决主观方面的权利意志与客观法律的关系问题。还有学者从拉伦茨的法律地位说出发,证成了“知情权”等概念无法单独予以转让、无法单独阐释和存在,并在《个人信息保护法》的立法语言中发现了“有权”的表述,并作为文义上的依据,认为“知情权”“决定权”以及“有权”等概念的本质是不具有独立性的“权能”,依附于个人信息权[12],但是并未进一步论证该类权能何以成为个人信息权的固有内容和基本延伸,也未能回答侵害第44~47条的“权能”是否产生实体性权利“可赔偿”的损害后果。

上述学说展现出权利概念的复杂面相,对其讨论往往因法权内在逻辑研究的缺失,而呈现出错位之感。归根结底,是学界对个人信息权的权利基础和逻辑起点的认识尚不统一。多数论述将“个人信息权益”作为个人信息保护法治的概念起点,忽视了三个问题:第一,个人信息权是私法领域原生性的权利化诉求,还是源自宪法层面因自动化处理技术产生的基本权利保护诉求?第二,传统民法对个人信息承载利益所进行的权利化保护,如隐私权、名誉权、姓名权以及下游侵害相关的权利,经过侵权法的检验是否确实不周延?第三,数字社会个人信息处理方式的变化是否产生新的利益需要法律界定和保护?这在权利理论领域呼唤反思,发现个人信息权的源头和内在逻辑,从而兼顾私法保护路径、公法与消费者法保护路径等多个方面,实现公私法接轨汇流。

(二)个人信息权的体系化建构价值

个人信息保护具有独立的发展脉络,在公法和私法领域存在不同的法权结构和工具优势,呈现跨公私法域特征并涉及多种责任形态。《个人信息保护法》作为保护基本权利的基本法[13],选择了用“信息处理论”吸收“信息控制论”,并通过第44条明确了“信息自决”的立法价值。信息自决指的是个人能够对自身信息产生控制力并决定如何使用。但“控制力”不等同于“控制权”,个人不对其自身信息享有全程的绝对性和排他性控制权,大多数情况下的个人信息客观上处于脱离主体控制的状态,因此需要法律设计特殊规则进行保护。

“权利”具有个人主义的底色,法律人格立足于主体的“权利能力”,现代私法以个体理性和意思自治为逻辑起点,自主判断、自由行为,“在市民社会中,每个人都以自身为目的,其他一切在他看来都是虚无”[14]。个人信息的“社会控制论”[15]等新兴研究,则代表着学者们在探究权利理论时,逐渐意识到人类共同生活对“权利”的影响,思维逐步超越个体并走向“将个体纳入共同体”进行考量的时代[16]。在社会学和历史学的思想中人们忽然发现,“人类不应当用人来说明,而是人应当用人类来说明”[17]。在私法层面,为了在“脱控”情况下防止“失控”,个人信息保护规范设计和法律适用的核心命题是个人信息权益受到损害的情况下如何得到充分救济,因此在私法权益方面,《民法典》的人格权编和侵权责任编是最有效的救济依据[18]。在公法层面,为了对抗优势地位的个人信息处理者,越来越多的学者发现需要引入国家管制。甚至有学者据此提出,个人信息作为公共物品,应当仅由公法予以管制[19]。事实上监管者相比个人更有动力,也更有能力站在维权第一线[20]。

有鉴于此,个人信息权在公法层面和私法层面的讨论应当通过一个成熟的规范建构框架进行统合。私法的权利将个人信息承载的利益视为客体,协调各类传统利益的保护路径、创造新型利益的保护方式;公法的权利强调其基本权利性质,在客观法方面要求国家履行保护义务,在主观权利方面要求实现防御权与受益权功能。从逻辑上看,基本权利是个人信息权的源头,并在私法领域实现延伸。个人信息相关权利在公法、私法领域各有侧重,权利论证的本质应当是基于整体法秩序统一原理进行法权结构的重新梳理。

二、个人信息权的内涵与法权结构

个人信息保护“权利化”讨论最为激烈的是,可否对个人信息保护“私权化”,在私法领域从“受法律保护的利益”升华为“权利”。支持者多从《民法典》和《个人信息保护法》章节名中发现“权”“权利”的文义,并论证其社会典型公开性等特征;反对者多从条款内容中区分原权和救济权,认为个人信息在技术或物理上难以被完全控制,从私权的角度缺乏清晰的“权利外观”,客观上难以识别和确证并划定行为禁区,独立成权会阻碍信息流动[21]。实际上,对个人信息保护“私权化”的支持和反对两种声音,在保护目标上并没有实质性差别,都将论证重点放在如何平衡利益保护和行为自由之上;然而在立法目标上,则存在不同的诉求。从理性哲学的视角,“合理性”在社会学领域被区分为“工具合理性”(Instrumental Rationality)和“实质合理性”(Substantive Rationality),前者偏重手段的妥适和有效,而后者追求目的、意识和价值的合理性[22]。支持个人信息保护“私权化”的根本原因,是追求法律形式理性以及外部规范的体系化。承认个人信息权并不意味着无限制地绝对保护,而是通过权利限制来维护信息使用的利益。反对个人信息保护“私权化”的根本原因,在于权利宣示性效果可能产生信息主体和处理者对个人信息保护的预期偏差,从而带来大量纠纷可能性,以及由此推高的交易成本和社会成本。有鉴于此,通过权利的主观、客观二元范畴厘清个人信息权的法权结构,可以实现不同观点的统合,兼顾形式理性与实质理性。

(一)个人信息权的二元范畴以及概念厘定

权利可以体现在法律“规定性”(Prescriptive)和“叙述性”(Descriptive)的不同方面[9]49,除了法律作出“有权”“权利”等明定表述以外,法秩序整体逻辑结构也可以推理出权利的存在。这就引出“主观权利”与“客观法”之间的关系问题。“权利”一词在欧陆国家存在语言的双义性,因此同一个词语“指代两个绝不相同但又可能互相渗透、紧密联系的概念:客观法和主观权利”[23]。德语中的“Recht”存在两种不同含义,“Subjektives Recht”对应“主观权利”,而“Objektives Recht”对应“客观法”[24]。法国法上的Droit也存在同样特点。“主观权利”和“客观法”的区分最初只是一种语言现象,语言用法的背后存在复杂的观念史。权利的词源包含“直”这一评价标准,是描述物理现象的语言转移到了人文领域的表现,意指行动的尺度或标准,存在于主观方面。根据这项标准作出的客观行为,又被视为一项“权利”,从“我可以做某事是因为它正确”演变为“我可以做某事是因为我有权”[25]。“因为正确”逐渐形成了“正当性标准”,停留在抽象层面,也被哲学、社会学、法学多领域广泛讨论;而“因为有权”逐渐成为了“合法性标准”,由法律规范予以确认。

学界对“客观法”的定义较为清晰,可以归纳为法律规范有机整体所建立的法秩序,然而对“主观权利”理论却存在历史上的争论。“主观权利”采取抽象化概念,在公法上取得了巨大的成功;但在私法层面,尤其是当解释主观权利与《法学阶梯》所表达的罗马法体系核心概念之间的关系时,在20世纪初受到了大量批判[26]。英语中的“法”和“权利”对应不同的单词,中文也是如此,虽然不像德国、法国一样存在概念上的激烈争论,但也招致了更深层次的问题:“法”和“权利”在主观与客观二元范畴的讨论经常被忽视并混为一谈。“主观权利”源于个人主义视角下基于特定利益对“法律之力”(Rechtsmacht)和“法律地位”(Rechtsposition)的诉求[27],相比“自然权利”诉诸自然状态、社会契约的政治哲学论证,“主观权利”没有脱离实证法。日本学者山本隆司对“主观权利”作出了判断标准,是从实体法层面判断什么样的利益符合“客观法”的论证依据,也是权利主体主张并实现各种利益的“法的可能性”[28]。进一步而言,笔者所讨论的个人信息权具有“主观权利”和“客观法”两个方面的内涵。在主观权利方面,它体现在抽象层面,表现为权利主体可以通过被承认的“法律之力”或“法律地位”去追求自身利益,至于是否表现为一项明定的“权利”或“受法律保护的利益”,影响的是法官心证对保护程度以及相应证明标准的判断;同时,也需要结合法秩序整体进行个案利益衡量。在客观法方面,它出现在具体条款之中,是保护利益的工具之一,在规范作用上,尤其是在侵权责任认定过程中,条款中的“权利”与“义务”并无实质性区别,如德国学说中侵害权利的事实直接征引违法性,而违反保护性规范所确立的义务,从而侵害利益的,同样证明违法性[29]88-90。

按照规范内容以及性质,客观法体现出权利的条款,可以被归纳为“权利规范”,或权利保护、权利行使、权利变动等“权利规则”。《广东省人民代表大会常务委员会立法技术与工作程序规范(试行)》第68条采取了“权利性条款”的概念,不区分规范和规则,但区分了“权力性条款”“权利性条款”“义务性条款”并明确了相关立法用语表述。采取“条款”的表述既能突出客观法的属性,又能从文义上与主观权利相区分。通过对客观法的体系化抽象,可以获得客观法所承认并保护的对象以及目的,也就是主观权利的存在;主观权利是从个人主义视角对客观法秩序中主体地位的“专门说明”[30]。

(二)个人信息权内涵结构的逻辑地图

个人信息保护源自国际社会的人权保护。从比较法视角看,欧盟在宪法层面确立了个人信息受保护权,从1953年《欧洲人权公约》至1981年的《第108号公约》逐步建立了法律上的国家保护义务,2009年生效的《欧盟基本权利宪章》采用了“个人信息受保护权”的称法,将其作为基本权利。相比而言,美国则将其纳入广义的“隐私”保护体系,发展出与国际人权契合的信息隐私法律概念[13]。个人信息受保护权虽然在中国宪法层面没有明确的定位,但通过现行《民法典》《个人信息保护法》以及行政法、刑法等公法,可以抽象出这一基本权利,该权利源自《中华人民共和国宪法》(以下简称《宪法》)第33条“国家尊重和保障人权”以及第38条的“人格尊严不受侵犯”,从而统筹协调私法、公法、领域法等不同层面的立法目标,实现普世性的基本人权保护并与国际接轨。该基本权利将作为国家制定个人信息保护相关法律规范体系、履行国家积极义务与消极义务的基本依据。

1. 基本权利延伸至私法领域表现为个人信息权益

作为基本权利的个人信息受保护权,具有主观权利方面的防御权功能和受益权功能,以及客观法方面的客观价值秩序功能[31]69-70。防御权功能要求国家承担消极不侵犯义务,受益权功能要求国家践行积极给付义务从而使得个体享受特定利益,包括实现基本权利所需要的物质、程序或服务,如对涉及个人信息处理活动的监管、公民对行政机关的求助或投诉等;客观价值秩序功能则是运用各种必要手段促成基本权利的保障,包括体系性立法、执法为民、司法环节的适法统一工作,以及个人信息保护宣传、发展监管科技等。基本权利当然可以延伸至私法领域形成特定法益,这也是受益权功能的内在要求,即通过立法活动使得公民确定地获得私法规范对基本权利的保护。私法领域形成的价值秩序,与其他法领域共同组成基本权利的客观价值秩序。

中国《民法典》宣示的个人信息权益包含双重意涵。《民法典》第111条与1034条的第一句都规定了“个人信息受法律保护”,为何追求提取公因式技术的《民法典》在“总则编”和“人格权编”中进行了一字不差的重复?如果仅从私权视野,很难得出实质性的意义,因为现行法秩序下对个人信息权益的理解已经形成人格权益的共识,只是在具体人格权与一般人格权、人格权附属经济利益与独立经济利益等问题上存在争论。但如果从整个客观法秩序的体系性视角来看,认可个人信息权源自宪法这一基础观点,那么《民法典》第111条与1034条并非简单重复,而是具有客观法方面的双重立法目标。“总则编”第111条宣示的是基本权利在私法领域的延伸,不仅具备私法保护的意义,也具有基本权利层面的受益权和防御权体现于客观法的规范意涵;而“人格权编”第1034条宣示的是个人信息权益在《民法典》中的定位为人格权益,这也是将其看作消极防御性利益的主要依据。如果未来存在新型权利的发展,在客观法中出现了对权益性质的突破性规定,如信息主体对处理活动的财产利益,则可以为第111条所涵摄而非第1034条。

在数字社会,个人信息保护难题体现了所涉私益边界的不可预测性,并产生对权利形式多样化的主观认识。特别是在侵权法领域,从权利和法益区分保护的教义学路径出发,个人信息权是否达到类似于《德国民法典》第823条第1款的权利化程度,经得起排除效能、归属效能、社会典型公开性的检验[32],或者说个人信息权是否已经在侵权法这一权利的“冶炼炉”中脱胎换骨,达致法律形式理性所要求的私权特征?考虑到个人信息权私法保护的局限性[33],为避免权利概念的逻辑混乱以及过度保护,笔者倾向于将个人信息基本权利在私法领域的延伸暂时理解为法益,而不是一项新型私权。

由于私权体系呈现动态发展特征,笔者不排除新型私益在未来经过侵权法冶炼后形成新型私权的“法的可能性”。个人信息权是否是一项明定的私权,一方面,通过社会典型公开性等特征影响法官的心证,在确认具有法律相关性的损害时是否“相对更为谨慎”[34];另一方面,又通过界定权利的保护性规范(权利条款),直接影响违法性或过错的认定。权利属性对侵权责任的判断既具有主观性影响,也具有客观性影响:权利的宣示性效果将影响法官对举证责任和证明标准的预期,而权利对行为义务的反射也将形成是否违法的客观标准。但目前《个人信息保护法》刚刚施行不久,尚待侵权法的实践检验。在现阶段的整体法秩序下,对《个人信息保护法》的理解应当是以对行为和程序的管制为主,通过明确处理者的义务性、责任性规定,以及与处理行为相关的程序性权利条款,实现主体利益的周延保障,并赋予正当的处理行为以合法性。综上可知,“个人信息受保护权”作为基本权利,受到积极和消极保护;延伸至私法领域形成“个人信息权益”,仅受到消极保护。

2. 客观法的权利条款应当区别于主观权利

在客观法方面,“权利”用语如何由法律明定,是立法者基于法律效果、政策效果和社会效果进行的通盘考虑,目的是统一国法、揭示价值,并回应社会的动态发展与诉求。是否用“权”“权利”来概括一项利益以及保护方式,是立法者基于法政策考量“一时决断”的问题,起到的主要功能是宣示法律保护、建立社会预期、减轻法官顾虑。

根据客观法方面权利条款规定的内容,可以进一步将权利条款区分为权利定义条款、权利成立条款、权利取得条款、权利归属条款、权利限制条款、权利保护期条款、权利消灭条款以及权利救济条款。其中,权利救济条款往往与执法活动、司法活动紧密相连,表现为程序性权利中的请求权性质,是客观价值秩序的组成部分之一。例如,《民法典》第111条由权利条款和义务条款组成,第1037条则属于权利条款,系对第111条的进一步阐释、确保个人信息不受侵犯。有学者总结权利法益区分保护的侵权法理论时感叹:“权利的本质不是利益,权利只是保护利益的工具之一。法律的目的确实是保护利益(个人的、集体的或者社会的),但是法律保护利益并非只有权利这一种工具,立法者可以通过单纯设立义务的方式保护他人的利益。”[29]88此时对权利和义务的讨论就仅限于“客观法”的条款,即权利条款与义务条款(包括作为第二性义务的责任)。在“客观法”方面,将权利条款作为工具的观点,并不影响“主观权利”方面权利主张的“法的可能性”,也不影响“自然权利”层面对权利来源的政治哲学分析,而诸多关于“个人信息权”的观点也可以分门别类归入上述各个范畴,为便于区分,笔者将“客观法”层面的“权利”统一称为“权利条款”。

私法领域的个人信息权益目前主要表现为消极防御性期待,相应确立了消极不侵犯义务,通过《民法典》“侵权责任编”的一般侵权责任条款转介至《民法典》“人格权编”、领域法性质的《个人信息保护法》以及公法。目前关于个人信息权益保护的大部分规范,在适用时都通过转介机制,与一般侵权责任条款直接或间接联通。违反权利条款与违反义务条款在侵权责任构成的角度是可以类比的,二者都属于“客观法”方面的保护性规范,用来衡量待决行为的不法性,并进行过错的推定。最终认定侵权责任时仍然要结合事实构成要件和可责难性判断,以及法律上因果关系、违法阻却事由、免责事由和抗辩事由等概念的辨析。

综上所述,笔者将个人信息权相关概念,借鉴基本权利规范内涵结构分析的逻辑地图[31]70,结合现阶段个人信息私法权益保护路径,梳理如图1所示。

图1 个人信息权的内涵结构

通过区分主观权利和客观法的不同方面、基本权利和私法权益的不同层级、权利条款和主观权利的不同概念,可以发现,对个人信息权的论证俨然形成了内部严谨的逻辑链条,对任何一个环节的缺失或过度解读,都会导致法律适用时的保护不足或保护过度,从而减损了权利的体系性、妨害个人信息保护法治的多重目的。

三、《个人信息保护法》中权利条款的属性辨析

《个人信息保护法》中第四章所确立的“个人在个人信息处理活动中的权利”规范概念,目的是实现基本权利的受益权功能,本质上是界定一种作为工具的保护性规范,与《个人信息保护法》规定的大量义务条款和责任条款共同规范处理者行为,具有明显的程序性特征。概言之,第四章应解读为程序性权利条款,通过特定的程序性制度设计和工具性功能,保障信息主体在个人信息处理活动中的参与、选择,并保持一定程度的控制力,制衡处理者的任意行为,但不能由此解读出实体性控制权。

(一)《个人信息保护法》第四章的立法定位

为了实现个人信息权在主观权利方面受益权功能,《个人信息保护法》建立了第四章“个人在个人信息处理活动中的权利”,其具有调整信息主体与处理者之间关系结构的工具性质,通过建构这样一套工具理性框架,旨在对组织化、官僚化的信息处理者进行制衡,正如同GDPR 第三章“数据主体的权利”的规范性质,也是通过“赋予个人对抗数据处理者的手段和工具”来保障基本权利[35]。实体性权利基于个人主义,从个体意思自治的角度予以规定;与实体性权利相比,《个人信息保护法》第四章从个人信息处理者的角度,对行为义务进行明确规定。第四章通过建立明确的行为预期对实体性个人信息权进行保护,其在实践中与义务条款具有相同的适用逻辑和评价结果。第四章的规定预设了个人信息处理活动的情境,每一个权利条款都存在特定的个人信息处理者与信息主体之间的对抗关系,其设权并不是旨在创设个体可以完全左右个人处理活动、控制个人信息客体的权利,而是针对已经存在个人信息处理活动,如何判断处理者遵从消极不侵犯义务的程序性规定。《个人信息保护法》通过一般侵权责任条款的转介功能,影响个人信息私益的保护,其功能就在于确定明确的程序、规则,从而更好地防御个人信息处理活动对人格权益的侵害行为。

对《个人信息保护法》第四章在私法领域的理解,应当结合立法目的解释为程序性权利条款,并通过《民法典》第1034条第1款“受法律保护”的转介条款进行规范衔接。《民法典》第111条和第1034条 确立的是实体性“原权”,第1037条确立的是程序性“救济权”[36],二者是目的与手段的关系;而《个人信息保护法》第四章则是在《民法典》第1037条基础上的进一步细化和增补,并在个人信息处理活动中优先适用。对《个人信息保护法》第四章的违反,不能当然推导出个人信息权实体性的损害,而仅仅可以作为不法行为的论证依据,最终是否造成可赔偿的损害,需要结合行为的影响范围和程度,以及是否有其他相关行为来予以综合判断。对个人信息权的实体性损害,必须结合《民法典》所确立的“合法、正当、必要”原则进行检验,而不能将第四章作为直接的裁判依据。

进一步而言,在私法领域,《个人信息保护法》第四章是在《民法典》第111条统领下、对第1037条 四项救济权的细化、替代和增补;在公法领域,第四章是在《宪法》第33条、第38条统领下,明确国家保护义务的对象和具体要求。对《个人信息保护法》所确定的“个人在个人信息处理活动中的权利”而言,规范对象并不是个人信息,而是限定在个人信息处理活动中的行为义务,保护实体性个人信息权,规范作用是发挥权利固有功能,或者回复权利至不受侵害的圆满状态[37],诉讼中则表现为请求权。权益侵害不必然产生损害,侵害程序性权利条款表现为对行为义务的违反,不能当然推导出损害赔偿责任的产生,但可能直接产生公法责任。在《个人信息保护法》语境下,损害赔偿责任还需要结合其他要素综合判断。

(二)程序性权利条款的解释

1. 知情权、决定权

从文义上看,《个人信息保护法》第44条采取直接确认“知情权、决定权”的立法用语,这是第四章 外延最广、解释空间最大的权利性立法表述,具有纲领性的作用,该章其他各个权利条款都可以归入“决定权”的解释空间。

知情权是基于实质公平原则,针对信息不对称状态的一种法律救济工具。让信息主体知悉处理活动相关情况,是实现信息主体权益的基础性条件,其与《个人信息保护法》第17条、第22条、第23条、第30条、第35条等条款所确立的处理者告知义务紧密相关。从比较法角度看,各国立法一般采取处理者告知义务的规定,而不单独确认信息主体的知情权,中国将知情权与告知义务互相对应,避免了告知义务沦为形式,更为强调信息主体知情的实际效果,保护程度更高。

实现知情权的目标是确保决定权的行使。这与《中华人民共和国消费者权益保护法》第8条、第9条 所规定的知情权和自主选择权较为相似。但消费者保护领域的知情权是为了“选择进入”消费活动,自主性作出选择;个人信息保护领域的知情权不仅是为了通过“告知同意”机制“选择进入”处理活动,还通过“限制或者拒绝”的方式“选择退出”处理活动。《个人信息保护法》第13条对处理者附加了前置性的合法性基础限制条件,处理者基于取得同意或法定许可等法定条件开展处理活动后,知情权和决定权是对处理过程的自主干预,更类似于“用脚投票”的“选择退出权”。第13条规定了无需取得同意的法定许可情形,对信息主体的意思自治进行了限制,也就是第44条所规定的“法律、行政法规另有规定的除外”;通过第13条第1款第7项“法律、行政法规规定的其他情形”这一兜底条款,还可以进一步转介至第18条、第27条、第35条等条款以及其他法领域对意思自治的限制性规定。

虽然从文义上看,“决定权”存在新型权利的解释和发展空间[38],但现阶段结合整体法秩序以及《个人信息保护法》的立法目的,暂时不能将其解读为“任意决定权”。意思自治决定的不是个人信息的任意处置,而是在已存在的个人信息处理活动中、在信息处于个人“脱控”状态下,通过个体自由意志对个人信息处理行为进行限制甚至拒绝处理,从而避免信息“失控”。《个人信息保护法》在私法领域的适用,必须严格限定在个人信息处理活动和处理关系中,脱离处理活动和处理关系的情形可以由《民法典》以及其他民事法律规范予以调整,如日常生活中的信息交往。如果赋予信息主体过度的意思自治范围,那么处理者正常的商业活动将被千差万别的自由意志所牵绊和左右,带来巨大的交易成本,不利于数据要素的合理流动。对“决定权”的解释应当紧密结合后半句“有权限制或者拒绝”处理活动,将其作为对“决定权”的内涵界定。决定权为信息主体赋予了事实上的控制力,但控制力不代表控制权,决定权在现阶段应当作为“限制或拒绝权”加以理解,而不能单纯遵照“决定”的文义,更不能解读出“排他支配性”的权利。

2. 查阅、复制、转移个人信息的规则

信息主体对自身信息的使用是一项不言自明的权力,这种使用自然包括查阅、复制、转移。法律之所以规定查阅、复制、转移的权利条款,与《个人信息保护法》预设的个人信息处理活动情境紧密相关,即数字社会自动化处理技术产生了机读数据,难以被信息主体直接获取和理解。查阅、复制、转移行为会对信息控制者产生配合查阅、复制、转移的负担,也可能会产生经济成本。因此,《个人信息保护法》第45条应当解释为三个层次的含义。

第一,处理者具有配合查阅、复制、转移个人信息的义务。这一含义从第45条第2款、第3款的“请求查阅、复制”“请求将个人信息转移”的表述可得推知。根据第2款,个人信息处理者应当“及时提供”查阅复制的个人信息副本,并采取自然人便于阅读和存储的数据形式,或提供实现“人读”效果和采写功能的技术工具。根据第3款,个人信息处理者应当提供“转移的途径”,但需要符合监管要求。第45条并未照搬GDPR“可携权”的规定,而是确立了处理者在特定条件下的行为义务,并通过“符合国家网信部门规定条件”转介至公法领域。这种限定条件可以由政府部门进行灵活控制,一方面避免类似GDPR规定过度增加处理者的负担,另一方面也防止信息主体限于认知能力“错付信息”。

第二,处理者原则上应当负担查阅、复制个人信息的成本。从文义上看,第1款的“有权”表述与第2款的义务表述并非简单重复,而是涉及对程序性成本的分配问题。有观点认为个人查阅、复制个人信息必须承担相应人力物力的成本,因为基于如今计算机网络的分布性特征,对各种数据库中的海量数据进行搜索将产生较高的成本[39],并且处理者类型多元、涉及面广泛,全部让处理者承担可能会造成不合理或不公平的现象,需要区分行业和场景。第45条所确立的原则性的成本分配模式可以基于特定行业、特殊领域进行变更,如中国台湾地区“个人资料保护相关规定”第14条规定“公务机关或非公务机关得酌收必要成本费用”。从法经济学角度出发,将查阅、复制的成本分配给处理者的正当理由,是处理者作为成本控制者,最有动力通过技术升级、成本控制,压缩查阅、复制产生的费用。而公务机关“酌收必要成本费用”,类似于政府信息公开产生的成本由申请者承担,是考虑到税收和公平等因素,不宜让广大纳税人承担个别主体需求产生的费用。为了平衡信息主体和处理者利益之间的内在张力,可以通过特别约定、具体行业特殊规定等方式,对法律原则性的分配模式进行变更和限制。

第三,法律并未确立“转移权”,处理者原则上无须负担转移信息的成本。通过对第45条第1~3款 规定的对比分析以及语义理解,法律并未确立类似于GDPR“可携权”的“转移权”,也未将“转移”置于与“查阅、复制”同等的地位。对个人信息的转移并不能理解为一种支配性利益,处理者的行为义务仅仅是提供了实现转移的可能性,也就是说,义务指向的是转移的途径而非转移的效果。根据第45条第1~4款 规定的体系性解释,应当理解为处理者仅具有“提供转移的途径”这一配合性义务,提供的方式不由信息主体意思自治决定,而是由处理者决定、作为理性主体判断合理即可;为实现转移的效果而产生的额外成本,应当不由信息处理者承担。

3. 更正、补充个人信息的规则

赋予信息主体更正、补充其个人信息的权力,是各国立法中保证个人信息准确、完整的通行做法,也是信息质量原则具体体现,规定于《个人信息保护法》第46条。与该章其他条款一样,第46条无法解释为任由信息主体意思自治。“个人信息处理者应当对其个人信息予以核实”,对处理者而言是一项义务条款,对信息主体而言是一项权利限制条款,对“核实”的理解应当是对客观记录的核查、确实,对信息内容核实的主动权掌握在处理者手中,类似于电子商务平台自治的审核权。如果涉及对信息内容的主观理解,信息主体可诉诸《个人信息保护法》第24条“自动化决策方式”下要求处理者说明以及拒绝决定的程序性权利条款,以及其他关于信息质量原则的条款。

值得注意的是,《个人信息保护法》关于信息质量的程序性权利条款,与《民法典》第1037条所确定的“异议和更正权”存在差异性。第一,对信息准确的判断标准不同。《民法典》中“发现信息有错误”是触发“异议和更正权”的前置条件,对“错误”的理解应当包含对信息内容的主观推断,因为相比“不准确”而言,“错误”更体现出价值判断。第二,《民法典》下信息主体在请求更正的同时,应当提出异议。这种异议既是对处理者的提醒和反驳,也是对周遭世界的宣示,是一种表达的权力。但《个人信息保护法》语境下并未赋予信息主体“异议权”,因为“核实”客观准确度并不需要进行观点的反驳,仅需要对数据和二进制代码进行修正即可,预设情境仍然是自动化技术处理活动,从而区别于物理世界。相比《民法典》,对个人信息处理活动中的信息质量问题,《个人信息保护法》应当优先适用。

4. 删除个人信息的规则

《个人信息保护法》第47条规定了个人信息的删除规则,不能理解为信息主体的“任意删除权”。信息主体仅能通过“撤回同意”等方式主动请求概括式地删除其个人信息。但是如果符合第13条合法性基础以及其兜底条款转介的其他法定许可情形,则无法实现删除信息的目的。第47条规则虽然具有信息主体请求权的功能,但限定在处理者怠于行使法定义务的前提条件下。该前提条件由法律、行政法规所明确规定,是信息主体就其信息利益所享有的请求权中的固有内容,通过第47条程序性权利条款予以实现。信息主体也不能通过部分删除的方式,剔除不利评价因素,而是需要从客观的角度,修正信息的准确性。

对第47条的理解不能采取“被遗忘权”的思路,域外的“被遗忘权”旨在删除遗留在数字世界中的个人痕迹从而脱离数字化监视,但也往往抹除了个人的劣迹,在人类社会中从多次博弈,变为不断重新开始的单次博弈,造成不正当的竞争优势。如果缺乏足够正当的理由、缺乏符合成本收益规律的程序,由信息主体任意主张删除信息,不仅不利于言论自由和公众知情权,也不利于社会声誉机制建设,容易损害诚信原则乃至公共利益。

5. 其他程序性权利条款

《个人信息保护法》第48条赋予信息主体要求处理者“解释说明”的请求权,缓解格式条款带来的利益冲突;第49条实现死者人格利益的程序性保护;第50条引导建立自治性质的程序机制,从而便捷信息主体请求权的受理和处理。值得一提的是,《个人信息保护法》中的程序性权利条款并不仅仅规定在第四章,如第15条的“有权撤回其同意”、第24条的“自动化决策”相关权利条款、第65条的“有权”投诉、举报等。

(三)基于知情权、决定权的发展空间

《民法典》保护的是个人信息承载的基于私法自治的法益,《个人信息保护法》进一步在自动化处理技术快速发展之际,通过在个人信息处理关系中确立消极不侵犯的概括式义务,既不影响信息和数据要素的自由流动,又通过侵权法的实践发展审视新型利益类型是否值得法律保护。在这一过程中可能存在新型私益在一般侵权责任条款的概括式保护下难以周延的阶段性阵痛。例如,目前围绕个人信息相关人格要素的商品化以及个人信息产生经济利益的分配,应当如何设权?相比人格要素的消极防御期待,如何从法律上承认个人对人格要素积极利用的期待?这些问题尚无定论,亦无实证法的明确依据,但这也是客观法的滞后性和审慎性特征所决定的。不同于传统私权可以凭借个人自由意志实现救济,新型权利因牵涉面过于广泛,在客观法方面出现了对其保护责任逐步向公益组织或行政机关转移的现象。

目前在个人信息权益的消极防御期待方面,通过私法层面侵权责任编和公法层面国家保护义务进行双重保护,也就是综合保护路径[40]已经取得了很多共识;然而对于个人信息权益的积极利用期待,法律应当如何回应?目前尚且存在争论,也存在新型权利的发展空间。例如,将个人信息相关财产利益定性为人格权附属利益,采取人格权商品化路径;或针对个人信息处理活动,进行独立的财产利益归属判断。个人信息相关新型权利的发展将引起私法领域权利体系的巨大变化,但这需要实践的检验,也需要经历漫长的利益博弈过程。

上文所述“知情权、决定权”的解释空间,可以对现有规范难以周延保护的新型利益,作出兜底性的保护。经过侵权法的冶炼后,未来可能基于《个人信息保护法》“知情权和决定权”的客观法条款发展出新型权利。此时需要通过《民法典》《个人信息保护法》以及其他法律规范形成的客观价值秩序,抽象出具体的新型主观权利,并在客观法方面明确权利内容、权利属性、权利客体、权利救济和权利限制等要素;或者立足于《个人信息保护法》作为基本权利的基本法性质,对第44条进行扩张解释。

四、结论

通过个人信息保护领域的法权逻辑结构分析,可以促进对个人信息权的体系性理解。个人信息权源自宪法层面的基本权利,表现为双重性质的“个人信息受保护权”,受到积极保护和消极保护;延伸至私法领域表现为个人信息权益并受到消极保护,现阶段不能将其按照私权化理解。客观法中个人信息保护相关“权利”用语往往是作为工具而不是目的,权利条款与义务条款、责任条款共同组成保护个人信息特定利益的“法律之力”。未来在处理《民法典》和《个人信息保护法》衔接关系时,应当重视其程序性特征,限定于个人信息处理活动及处理关系。

将《个人信息保护法》第四章的规定解释为程序性权利条款,契合《个人信息保护法》的立法定位,兼具公法和私法属性,而不会局限于私权或公权的单一视角。在公法层面通过明确国家保护义务的对象和履行程序,为立法、司法、执法、社会治理等国家给付义务提供规范工具;在私法层面通过明确个人对实体性个人信息权的保护方式和救济手段,防范信息处理活动产生的侵害可能性或回复权利至不受侵害的圆满状态;各个层级的客观法形成的整体法秩序,建立了源自基本权利保护的客观价值秩序,体系性地承认并保护个人信息权。

猜你喜欢
私法信息处理保护法
我国将加快制定耕地保护法
“毫米波雷达系统设计与信息处理技术”专题征文通知
未成年人保护法 大幅修订亮点多
管好“熊孩子”,人人有责
论民法与商法的区别
S模式空管二次雷达询问与监视技术研究
大数据时代下计算机信息处理技术的应用
浅析违反强制性规定法律行为效力的判断标准
关于公法与私法的划分问题