数字社会治理的权利逻辑:以个人信息权为中心

2022-02-16 13:23戴激涛
中共天津市委党校学报 2022年1期
关键词:个人信息宪法权利

戴激涛

:以信息技术为核心的数字社会的迅速发展,在促进多元主体信息交流和资讯共享的同时,给个人信息保护带来挑战。作为数字社会公民身份的基本表征,个人信息权既是数字公民实现全面自由发展的先决条件,也是防范和控制数字权力异化的重要工具。实现数字社会个人信息权保护的价值追求,国家立法机关应秉持作为宪法价值核心的人格尊严进行立法,明晰个人信息权的规范内涵与保护机制;行政机关应遵循权力法定原则,严格基于法律保留、公共利益和比例原则处理和使用个人信息,并建立专门的个人信息权保护的监管机构;司法机关应通过法律适用和司法解释对被侵犯的个人信息权提供及时司法救济,填补法律漏洞,从而实现数字社会个人信息权保护的制度正义目标。

数字社会;个人信息权;权利逻辑;主观公权利;制度正义

中图分类号:   文献标识码:  文章编号:

“在21世纪,技术和法律结合在一起侵蚀着先前由于实际的不透明而提供的对个人信息及隐私的保护。数字技术的进步极大地扩大了个人在日常活动中产生的个人数据信息的数量。”以数字技术为核心的信息革命在互联网时代风起云涌,带来了人工智能与算法决策在社会各行业领域的普遍应用,个人信息保护遭到前所未有的严峻挑战。“一条肮脏的数据信息可能看起来像一个微不足道的问题,但如果你把这个‘微不足道’的问题乘以数千或数百万条错误、重复或不一致的数据信息,它就会成为混乱的处方。”无限扩散和延续的数字空间颠覆了传统社会治理的结构性和稳定性,人们通过使用和处理各种数据信息打破了社会秩序的原有平衡,各领域各行业信息处理过程中错综复杂的权利义务叠加交融,使得信息共同体的行为边界难以被现行法律所有效界分,数字权力主体所掌握的海量数据信息和智能算法正以难以名状的方式侵蚀着公民权利和私人空间,数字社会治理面临史无前例的挑战。如何保证民众不被“肮脏的信息”所桎梏,建构数字社会新的价值逻辑、行为规范、制度框架和治理模式势所必然。

当今世界,科技革命和产业变革日新月异,数字经济蓬勃发展,深刻改变着人类生产生活方式,对各国经济社会发展、全球治理体系、人类文明进程影响深远。为顺应数字经济和数字社会发展的新要求,对公民个人信息实现全方位的法律保护,我国专门制定了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),自2021年11月1日施行。《个人信息保护法》第2条明确规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”这就明确宣告了自然人享有个人信息受法律保护的权利。而且,《个人信息保护法》第11条对建立健全国家保护个人信息制度进行了具体规定:“国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。”这就要求,一切个人信息处理活动、个人信息利用行为必须遵循法律的具体规定,个人信息处理者应对其个人信息处理活动负责,并负有采取必要措施保障所处理的个人信息的安全的法律义务。更重要的是,个人信息保护制度的构建是一项系统工程,需要国家相关部门运用法治思维和系统观念,积极整合政府、企业、相关社会组织和公众等各方资源,通过信息交流共享和协同合作,形成多元化的数字协同治理模式,最终构建起以个人信息保护为中心的数字社会共建共治共享的治理秩序。

(一)个人信息权是法治国家的公民基本权利

随着数字经济的迅猛发展与智慧社会的快速推进,云计算、信息技术、人工智能与算法决策正全面融入我们的日常生活,“我们生活在一个算法时代,而且算法知晓甚多。随着人工智能的兴起,算法的发展必将不可估量。算法会对你有相当多的了解,还会知道你当下和未来的需求,比你自己的反应更快,对策更多,算法甚至会了解你的情绪,它的反应和对策能力同样远甚于你。而且,算法还会自己模仿情绪。”当互联网、信息技术和算法系统已然深深嵌入数字社会每个人的学习、工作与生活,我们已经悄然实现了从自然人到“数字人”的身份转变。面对信息技术和算法可能造成侵犯公民权利的后果而大多数人却全然不知的情况,个人信息权所内蕴的权利价值与规范功能日益凸显。这不仅因为个人信息与作为公民基本权利价值核心的人性尊严密切相关,而且,国家保障个人信息权的程度是衡量数字社会治理有效性的重要指标。众所周知,个人信息资料是数字社会算法系统运行的基本载体,但由于实践中常常没有为个人信息受到侵犯时提供充分的解释权或追偿权,因此,社会公众难以绝对信任算法决策结果,尤其是对个人信息的收集、处理和传播的可靠性等方面疑虑重重。如何制定法律、建立相应的机构和机制来确保算法决策的正当合法性是当前数字社会治理的重要议题。明确个人信息权的权利属性与规范内涵,是建立健全个人信息权保护制度的基本要求,也是实现数字社会有效治理的逻辑起点。

尽管国内学术界对于个人信息、个人信息权、个人信息受保护权等权利基础与规范内涵尚存诸多分歧,但学者对数字社会加强个人信息权保护的结论形成高度共识,并从多方面探讨了个人信息权保护的法治路径。域外法对个人信息权的理解主要有以德国为代表的个人信息自决权模式与以美国为代表的个人信息隐私权模式。在德国1983年“人口普查案”的法院判决书中就有这样的表述,“在现代信息技术下,已经不存在‘不重要’的信息,因此,‘应保障每個人的个人信息不被毫无限制地收集、储存、使用和传输”。基于该案所产生的个人信息自决权理论,被视为是个人抵抗政府无限制的信息收集行为的重要依据,个人信息自决权由此成为由宪法人格尊严所衍生的公民基本权利,国家应承担保障个人依据法律享有控制自己个人信息自决权的宪法义务。美国主要是通过对系列案例的宪法解释,将个人信息权纳入隐私权保护范畴。对于数字社会治理而言,个人信息权不应当仅仅是私法层面的权利,而且应当被证成为公民基本权利。第一,因为“随着网络化、数字化和智能化的指数级发展,信息化的人权形态会越来越多”,个人信息权集中体现了数字社会的公民身份,对实现公民自由全面发展有着独特意义,“要实现‘全方位、无死角’的保护,必须引入作为宪法基本权利的个人信息受保护权”。第二,互联网时代的信息技术和算法系统成为了彼此不相识的单个主体共存于同一网络空间之中,通过支持数字空间的无障碍沟通和信息共享,实现了低成本、无距离的个人、机构和组织之间的有效连接,有力地促成了异质社会多元主体的合作治理,极大地提升了共同社会问题的解决和矛盾纠纷的处理。第三,在科学技术飞速发展的当下,要实现国家对个人信息权的充分保护,必须仰赖国家机关的协同合作,特别是各部门法之间应通过立宪框架下多元协同方式共担数字技术风险,促进个人利益与公共利益之间的和谐平衡,保持社会主义国家法治秩序的稳健运行。

我国的《个人信息保护法》从个人信息处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务和履行个人信息保护职责的部门四个方面对个人信息保护进行了全面系统规定,明确了个人信息权作为社会主义法治国家的公民基本权利的法律属性,彰显了以人民为中心的个人信息保护理念,充分体现了我国个人信息保护的立法目的,即让人民群众在数字经济和数字社会发展中有更多获得感、幸福感、安全感。第一,处理个人信息应当取得个人同意,应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息;不需取得个人同意的情形必须由法律、行政法规所明确规定。个人信息处理者在处理个人信息前,负有告知义务,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项。第二,国家机关履行法定职责处理个人信息必须遵循合法性和合理性原则,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度,同时应当依照法律规定履行告知义务。第三,个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;个人有权向个人信息处理者查阅、复制其个人信息,如果发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正和补充。此外,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。第四,履行个人信息保护职责的部门必须依照法律的履行个人信息保护职责,如开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作,接受、处理与个人信息保护有关的投诉、举报;组织对应用程序等个人信息保护情况进行测评,并公布测评结果;调查、处理违法个人信息处理活动等。由是观之,我国《个人信息保护法》坚持和贯彻了以人民为中心的法治理念,立足我国国情和实际,确立了个人信息处理应遵循的合法、正当、必要和诚信原则,深刻体现了习近平法治思想的精髓要义,为全球数字治理贡献了独特的中国智慧和中国方案。

(二)个人信息权是数字社会公民身份的重要表征

对于公民个人而言,个人信息权作为数字社会公民基本权利的宪法属性,是生活在数字社会中“数字人”的公民身份,这种新的公民身份是共同体成员参与国家公共事务治理的先决条件,也是公民能够基于共同体“数字身份”开展互惠合作,形成公民美德的基本前提。在传统意义上,公民身份表达了作为独立主体的人参与共同体公共生活的理想和观念,意味着“一个公民是一个既治理也被治理的人,因为这可以期待公民具有像自主、裁决和忠诚这些素质”,公民身份不仅要求公民积极参与公共生活,而且愿意将其私人利益提交给社会公共利益,将个人利益与公共福祉整合在一起,进而奠定社会治理的共识基础。《德国基本法》第2条规定,人人有自由发展其人格之权利,但以不侵害他人之权利或不侵犯宪法秩序或道德规范者为限。在数字社会治理中,个人信息保护权是“数字公民”自由发展其人格的重要权利内容。特别是在算法以前所未有的方式改变着社会组织形式的当下,越来越多的国家注意到数字经济的力量与算法系统带来的自动化决策对公民权利的影响,因此通过在宪法中对个人信息权进行明确规定的方式,重新赋予单个的国家成员一种新的公民身份,即作为一个积极的行动者参与到国家数字生活的具体制度构建,并且能够合理地、负责任地基于新“数字公民”身份,自主地、忠诚地、深思熟虑地判断和履行治理者与被治理者的双重职责。同时,作为共同体成员的公民通过宪法层面确认的“数字公民”的新身份,自由平等地进入和参与国家公共事务,又有助于提升数字社会治理规则的有效性和正当性。换言之,在当下数字社会治理的背景下,公民身份是基于数字社会中各种因素的联结而产生的一种公共责任,这种公共责任被国家宪法所确认和规定,要求“数字公民”能够积极地思考和理性的行动,以共同应对数字社会带来的不确定风险和挑战。

这一理念在各国宪法文本中得到了鲜明体现。《不丹王国宪法》第7条第3款规定:“不丹公民享有信息权。”《玻利维亚共和国宪法》第21条规定:“玻利维亚公民享有以下公民权……(6)以个体或集体形式自由获得信息,并进行解释、分析和交流的权利。”《马达加斯加共和國宪法》第11条规定:“一切个人均享有信息权。所有形式的信息均不得提交任何事先控制和控制审查,但对公共秩序和福祉有害的信息不在此限。信息自由无论其支持何者,均为一项权利。此项权利的行使包含义务与责任,应服从法律规定的作为民主社会必要措施的特定形式、条件或处罚。”《多米尼加共和国宪法》第49条规定:“……(1)每个人都有获得信息的权利。宪法和法律规定的这种权利包括通过任何渠道或途径寻找、调查、接受和传播任何形式的公共信息……(4)每个人在受到传播信息的伤害的时候,都有权依法进行答复和纠正。”从上述各国宪法的规定可以看出,个人信息权是现代国家公民基本权利体系的重要组成部分,且具有极为丰富的权利内涵。各国通过在本国的宪法中对个人信息权进行规定,既是回应信息技术和数字社会发展对人权保障的新挑战,又是为了国家的每一个成员能够感知和理解其“数字公民”的新身份,积极参与国家治理与社会公共事务,提出更适宜、更有效的数字社会风险预防策略化解数字社会治理难题,从而塑造了更民主、更稳健的数字社会新型治理秩序。

在我国,2018年宪法修正案在宪法序言的第12自然段“和平共处的五项原则”后增加了“坚持和平发展道路,坚持互利共赢开放战略,发展同各国的外交关系和经济、文化交流,推动构建人类命运共同体”的表述,特别是“推动构建人类命运共同体”的发展目标更是从宪法的高度和国家根本法的战略层面,对作为数字社会公民身份的个人信息权保护提供了新思维和新面向,也是数字社会治理的基本遵循、价值指引和奋斗目标。毋庸置疑,未来人类社会的治理模式将建立在以数字公民身份为基本形态的数据空间基础上,人类命运共同体必然要求数字社会治理模式的构建要充分考虑以个人信息保护为核心的数字公民身份的统一规范,既切实维护公民在数字空间的合法权益,又坚持网络安全教育、技术、产业融合发展。我国从宪法层面规定的“推动构建人类命运共同体”价值观,不仅为数字时代人类命运共同体实现善治目标指明了方向,在构建人类命运共同体的过程中,明确了个人信息权保护的重要价值,为此应充分尊重和保护个人信息权,这是切实维护数字社会公民身份的客观要求,也是让数字空间命运共同体更具生机活力的前提和基础;我国在推进全球数字治理体系变革中所提出的坚持“尊重网络主权、维护和平安全、促进开放合作、构建良好秩序”四项原则,也为全球形成数字共同体的良性生态和治理规则贡献了中国的独特经验。

(三)保护公民个人信息权是国家的基本义务

对于国家治理而言,个人信息权作为数字社会的公民基本权利,要求各国家机关联合起来,共同积极履行个人信息权保护的基本义务。尽管数字社会的发展为人们的生活提供了极大的乐趣和便利,但对个人信息的危害和风险亦无处不在,各种各样的歧视、偏见、排斥尚未被完全解决,潜在的危害已经在社会治理与公共政策的多个层面得到体现,如何有效规制人工智能与算法以保护个人信息权,正成为世界各国政府的共同挑战。“这个时代最重要的战斗将是对个人信息控制权的争夺,这将决定着大数据究竟最终会成为人类自由的捍卫者,还是操控人类的幕后黑手。”有学者建议通过设立专门机构或特定组织对人工智能与算法进行监管,主张成立“跨国、独立、多利益相关的人工智能和数据道德委员会”,“人工智能不仅是一个公用事业,一旦成熟就需要被监管,它更是一种强大的力量,正在重塑我们的生活、我们的互动和我们的环境。这是我们的栖息地向信息圈深刻转变的一部分。” 由是观之,国家承担和履行个人信息权的保护义务,必须遵循数字社会治理的权利逻辑,并通过重塑法治机制实现各国家机关之间的协同合作,共同致力于构建个人信息权保护法治秩序。

国家应积极履行个人信息权保护的基本义务同样在各国宪法文本中得到了充分体现。《安哥拉共和国宪法》第32条规定:“涉及个人和家庭信息的获得和使用时,应建立有效的法律保障,以防信息滥用或对人的尊严造成侵犯。”《南非共和国宪法》第32条规定:“每一个人皆有:(1)获取国家持有的信息的权利;以及(2)为了实现或保障任何权利而取得他人所持有信息的权利。国家应当制定法律以实现上述权利,并可以规定适当的措施以减轻国家的行政与财政负担。”由此可见,当代立宪国家履行保护公民个人信息权的主要途径是国家积极作为,以制定法律的方式来实现对个人信息权的保护,这就要求保护个人信息的原则和程序应当通过法律进行具体规定,同时,对公民个人信息权的限制要通过法律的明确规定,符合法律保留的宪法原则。

此外,有国家在宪法中明确要求国家应构建起相关制度机制保障,推进信息通信技术、广播、电信和宽带互联网服务的普及,并为公民自由获得多元和及时的信息提供充足的条件实现有效保障。如《墨西哥合众国政治宪法》第6条规定:“……(3)人人都可以自由获得公共信息、个人数据,以及更新后的信息,而无须主张利益或正当性。(4)应规定自由获取信息的机制和审查程序。该程序应由特定且公正的机构规定,具有可操作性、管理性和独立决议性。(5)政府机构应将其文件保存在行政档案中并不断更新,并通过电子媒介披露有关其管理和公共资源使用的完整和更新的信息。”《爱沙尼亚宪法》第44条规定:“每个人都有权自由地获取为公众利用的信息。各级国家机关、地方自治机关及其公职人员有义务根据爱沙尼亚公民的要求,依照法律规定的程序向他们提供有关自己活动的信息。”由此可见,履行保障个人信息权的重要职责,主要仰赖国家立法机关。立法者应当以积极的态度,通过制定法律的方式,形塑数字社会的客观法秩序,保障个人信息权得到最大程度的实现。同时,其他国家机关应当相互配合,积极履行个人信息保护的法定职责,协同合作以应对数字社会治理的各种挑战。

我国的《个人信息保护法》同样体现了国家作为个人信息权保护的义务主体的基本要求。首先,《个人信息保护》的“个人信息处理规则”一章的第三节“国家机关处理个人信息的特别规定”中,对国家机关处理个人信息的活动提出了明确要求,那就是应当依照法律、行政法规规定的权限和程序进行,且必须遵照法律的规定履行告知义务,除非符合法律规定的例外情形。其次,为履行个人信息保护职责的部门明确规定了具体义务的内容。如“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作”;“国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作”;“县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定”,等等。采用具体的列举方式为履行个人信息保护职责的部门设定义务,有利于相关责任主体更好地履行法律规定的个人信息保护义务,也有助于更好实现各职责部门的相互配合、实现个人信息权保护的协同合作治理。最后,明确规定了组织、个人对违法個人信息处理活动有向履行个人信息保护职责的部门进行投诉、举报的权利;收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。这就从权利救济的角度为个人信息权保护提供了坚实保障,鲜明体现了我国数字社会治理所贯彻的以人民为中心的发展思想,明确了保护个人信息权益、保障个人信息安全是国家的基本义务和法律责任,让人民群众的信息权益在数字社会治理中得到切实尊重和全面保护。

(一)主观公权利的理论构造

哈特穆特·毛雷尔认为,主观公权利是指法律规范赋予主体的权能,即为了实现个人利益,要求他人为或者不为一定的行为、容忍或者不作为的权利。尽管主观公权利本身是一个不确定的概念,但其建立在国家客观公法制度基础之上、用来“指称公民相对于国家的法律地位和法律人格”的内涵对于现代国家的公民基本权利保护而言极具重要价值,“基本权利作为一种主观的、设定权利地位的权利,是指个体作为一个人或一个公民,在实证宪法意义上拥有的权利”。对于数字社会个人信息权保护而言,主观公权利理论试图“在法治国框架下重新构建个人相对于国家独立的法地位”,从而为作为宪法主体地位的公民提供了要求国家履行保护义务的实定法依据,“只有作为国家的成员(现代国家广泛地将这一属性赋予任何属于其统治区域的人),人才是权利的享有者,才享有法律的保护。国家主要是通过向个人赋予能力将个人提升为人格人和权利主体,使个人能够有效地诉求法律保护。”从这个意义说,基于对国家的归属性与国家成员的法律地位,人被赋予了不同的能力,主观公法权利正是从个人基于对国家的归属感与法律地位中产生的请求权,且仅由那些直接建立在法律身份上的请求权构成。一方面,个人作为被治理者,对国家的服从是国家有效性的基础。这种被治理者的身份与对国家的服从使个人处于被动地位,必须履行对于国家的义务。另一方面,个人作为治理者,是国家行为实施的积极主体,通过个人意志参与国家治理,个人被赋予了主动地位与为了国家而行动的资格,这同时也构成了国家满足个人利益的全部行为的基础。

据此,现代国家的宪法列举公民基本权利具有双重立法目的,通过对公民基本权利的明确列举,个人不仅针对国家行政机关的行为,还包括国家立法机关的行为,在被宪法明确规定的方面受到保护。被列举的公民基本权利会对国家机关产生约束和限制,同时会对创设法律的国家意志本身产生约束和限制。国家的宪法意图通过上述方式实现两个方面目的。该宪法条款包含指令性立法规定,指出作为将来国家立法活动基础的特定原则;该宪法条款包含禁止性立法规定,禁止在明确规定的相关领域进行新的限制性规定。当然,这种禁止性立法规定并不是绝对的,宪法条款中也会包含某些例外规定。根据这些宪法权利规范而颁布实施的法律,能够有效保障公民基本权利的实现,这是从个人消极地位保护的角度进行解释的,意味着个人拥有要求承认其消极地位的请求权,并禁止任何国家权力机关对其消极地位的任何侵犯,禁止任何国家权力机关强加给个人的任何未被法律所规定的指令和强制。基于这种请求权,个人能够要求认可其消极的宪法权利主体地位,并据此要求停止和排除对其消极地位的侵犯。

(二)个人信息权的宪法意涵

一般说来,基于国家行为的公益性目标,国家所有的服务于公共利益的行为都是有利于个人利益的,并通过对个人利益的维护或促进得以实现。“一切国家行为都是服务于共同利益的行为。共同利益虽有可能却并不必然与个人利益相重合。如果发生了共同利益和个人利益的重合,并且国家承认了这种利益的一致性,那么国家就会赋予个人要求国家行动的请求权,并向个人提供实现这些请求权的法律手段。由此,国家就将个人提升为被赋予了积极权利的国家成员,赋予了个人市民地位。这一地位与纯粹的消极地位截然分离,后者囊括了对国家而言不涉法行为的广阔领域。”这种被赋予了针对国家的积极请求权的国家成员的法律地位,就是一种积极的国家成员资格,即一种被法律保护要求国家积极履行义务的能力,这种能力比之前的基于消极地位产生的请求权更具丰富的内涵,因为国家的积极行为构成了这种请求权的基本面向,所以国家全部的行为和承担的责任都可以视为这种请求权具体内容的体现,如有学者所描述的“近于一项‘开放的和需要内容充实’的框架概念”15,故而,国家可以通过制定法律为国家成员创设新的权利,并通过维持国家的法律制度和法律秩序实现对个人请求权的保护。如果我们将主观公权利理论框架应用于对个人信息权的分析,个人信息权不仅是数字社会“数字公民”的一项基本权利,而且具有丰富的规范内涵,对未来形成运作良好的数字社会治理秩序将产生深远影响。

考察各国宪法文本中关于个人信息权的规定,可以发现,个人信息权宪法保护的规范内涵包括五个方面。一是每个人都享有自由获取信息的权利。《阿尔巴尼亚共和国宪法》第23条规定:“一、接受信息的权利受到保障。二、每个人在遵守法律的情况下,均有权获得有关国家机关活动的信息及行使国家职能的人的信息。”《土库曼斯坦宪法》第28条规定:“土库曼斯坦公民有信仰自由和自由表达信仰的权利,也有获取信息的权利。”二是个人信息权不受侵犯,除非为了特殊的目的并以法律形式进行限制。《波兰共和国宪法》第51条规定:“一、除非基于法律,否则不得强迫任何人公开其个人信息。二、国家机关不得取得、收集或公开公民信息,除非这些信息在民主法治国家是必需的。”《白俄罗斯共和国宪法》第34条规定:“只有为了捍卫公民的荣誉和尊严,维护公民的私生活和家庭生活,以及让公民充分行使自己的权利,才能由法律对信息的利用予以限制。”三是国家负有个人信息权实现与保护的基本义务。《摩尔多瓦共和国宪法》第34条规定:“1.人们了解有关社会事务的任何信息的权利,不得受到限制。2.权力机关有依照其职权范围的规定,保障公民获得有关社会事务和个人问题真实信息的义务。3.信息权不得损害为保护公民或捍卫国家安全而采取的措施。4.国有的和私营的大众新闻媒体,都有保证向社会各界报道真实信息的义务。”《安哥拉共和国宪法》第32条规定:“涉及个人和家庭信息的获取和使用时,应建立有效的法律保护,防止信息滥用或侵犯人格尊严。”四是对个人信息的使用应遵循知情同意原则。《乌克兰宪法》第32条规定:“非经本人同意,禁止搜集、存储、使用和传播个人信息。但是,法律另有规定的除外。法律规定的例外情况,仅指涉及国家安全、经济发展和人权。”《俄罗斯联邦宪法》第24条规定:“1.未经本人同意,不得收集、保存、利用和传播与其私生活相关的信息。2.国家权力机关、地方自治机关及其公职人员必须保证每个人都有了解与其权利和自由直接相关的文件和材料的可能性。”《克罗地亚共和国宪法》第37条规定:“保障公民个人资料的安全和秘密。只有在法律规定的条件下,才能未经当事人同意而收集、处理和使用其个人资料。”《东帝汶民主共和国宪法》第38条规定:“……3.未经当事人同意,严禁处理有关私人生活、政治和哲学信念、宗教信仰、党派或工会身份以及种族血统的个人信息。”《斯洛文尼亚共和国宪法》第38条规定:“国家保障对个人信息之保护。禁止将所搜集信息用作有悖于搜集之目的的其他用途。个人信息的收集、整理、使用目的、监督和保密由法律规定。任何人均有权查询所搜集到的与其本人有关的个人信息,在这些信息被滥用时有权要求司法保护。”《乌克兰宪法》第32条规定:“……保障每个人均享有驳斥有关自己和家庭成员的虚假信息的权利,要求消除任何信息的权利,以及要求通过司法程序赔偿因搜集、保存、使用和传播上述虚假信息而造成物质和精神损失的权利。”《巴拉圭共和国宪法》第135条规定:“人民对于关乎其人身或财产的各种文件登记信息享有知情的权利。并可了解该信息的使用方式及目的。若发现内容错误或对其权利构成非法干涉,可要求法院下令更新、修改或销毁该等资料。”

上述宪法文本中关于个人信息保护的多元路径和制度设计不仅体现了个人信息权在公民基本权利体系中的重要地位,而且意味着各国家机关应当在其职责范围内相互配合,共同构筑个人信息权保护协同治理的制度体系,方能有效实现和维护作为公民基本权利的个人信息权,同时,加强数字社会个人信息权的保护,也是完善公民基本权利体系、促进个人自由全面发展、形成良好的數字治理生态的重要内容。

(三)保護个人信息权的国家义务设定

个人信息权具有丰富的规范内涵。作为公民基本权利的个人信息权,既包括个人自由获取信息的权利,又包括个人对涉及自身的相关信息的控制、支配和排除不法侵害的权利。尊重和实现个人信息权,一方面,消极的防御权,要求排除国家侵犯个人信息权,避免公权力干预个人获取各种公共信息的权利;另一方面,积极的请求权,要求国家履行个人信息保护、实现个人自由获取各种信息的基本义务。实践表明,个人行使获取信息的权利,有助于实现本人发展和社会进步,这就为国家设定了应当发布与公开任何对国家产生影响的信息的义务。那么,国家的公共权力机构应根据其能力,遵循“功能适当原则”,履行向公民提供关于公共事务和个人利益事务的真实信息的义务。个人信息权在宪法文本中的丰富内涵,这既凸显当代立宪国家尊重公民个人宪法主体地位、将个人信息权作为国家成员主观公权利的价值理念,又体现了法律保留原则的要求,国家公权力主体必须按照法律规定处理个人信息、积极履行个人信息权保护的宪法义务。更重要的是,对于数字社会治理而言,立宪国家应从宪法的高度整合各种信息资源,有效平衡国家公权力和个人信息权之间的法益,从而最大限度地促进信息的分享与传播,促进个人权利与社会公共利益的共同发展。

虽然在我国现行宪法文本中没有明确规定公民个人信息权,但仍然可以从《个人信息保护法》中透视出宪法对个人信息权保护的深切关照。如《个人信息保护法》的第1条明确规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”其中,“根据宪法,制定本法”就意味在实施和适用《个人信息保护法》时,应当遵循宪法的基本原则和精神,如宪法第1条规定的“坚持中国共产党领导”的基本原则,宪法第33条规定的“国家尊重和保护人权”的基本原则及宪法第38条规定“公民人格尊严不受侵犯原则”等。同时,我国宪法总纲中的国家目标条款,如宪法第23条“国家培养为社会主义服务的各种专业人才”;宪法第24条“加强社会主义精神文明的建设”、“国家倡导社会主义核心价值观”;宪法第28条“国家维护社会秩序”等等,都为个人信息保护提供了宪法层面的价值指引,同时为国家设定了个人信息权保护的基本义务,集中体现了我国在数字社会治理中以人为本的权利保护逻辑:坚持个人信息权保护和数字社会依法治理相统一、坚持个人信息权合法保护与信息合理利用相统一、坚持个人信息权保护事先预防和事后救济相统一的原则,既大力培育人工智能、云计算、区块链等新技术新应用,又积极与国际社会数字治理规则接轨,运用统一的法律法规和标准规范引导信息技术的合法合理使用,形成公平正义的数字社会治理体系。

随着我国《个人信息保护法》的通过与施行,我国个人信息权的法律保护制度框架逐步形成,迈向个人信息权保护的制度正义日益彰显。根据《个人信息保护法》第33条的规定,国家机关处理个人信息的活动,也适用该法。由于“国家或国家权力是侵犯人权的最大或最经常的力量”,因此,对于数字社会治理而言,落实个人信息权保护的国家义务,“其功能主要在于对抗和缓解‘数据权力’对个人信息造成的侵害风险”。这一功能在域外国家的宪法文本中,可以清楚地看到对国家权力的谨慎防范与严格限制。如《尼加拉瓜宪法》第67条规定:“信息权是一种社会责任,应严格遵循宪法规定的原则来行使。这一权利不得受到审查,但要负法律规定的责任。”当信息权保护被视为一种社会共同责任时,意味着“一切制度程序的法规和立法应该永远被公民们看作是可以开放讨论的”,这就需要国家机关、社会组织和全体公民的共同参与讨论,迈向制度正义的个人信息权保护时代。具体说来,国家立法机关应秉持作为宪法价值核心的人格尊严理念进行立法,通过完善个人信息保护的法律体系明晰个人信息权的规范内涵;国家行政机关应恪守权力法定原则,严格基于法律保留、公共利益和比例原则处理个人信息,并建立起专门个人信息权保护的监管机构;国家司法机关应通过法律适用和司法解释实现对被侵犯的个人信息权提供司法救济、填补法律漏洞,为个人信息保护实践提供具有示范参考价值的典型案例判决,从而构建起系统完备的数字社会个人信息权保护的规范体系和制度架构。

(一)以人为本逐步完善个人信息权保护的立法体系

保护公民基本权利首先是国家立法机关的重要职能。因此,国家立法机关应秉持作为宪法价值核心的人格尊严及时制定相关法律,明晰个人信息权的规范内涵与价值功能,尤其是尊重和保护个人的信息自决权。“须注意的是,人权保障兼含内容与形式两项因素,除了个人尊严的内容因素外,自主决定的形式因素亦不容忽视,切忌因保护而让个人失去自主决定的能力或意念。”这就要求,国家立法机关在制定涉及个人信息保护的相关法律时,应始终围绕宪法人格尊严展开论证。“宪法不仅仅只是单独人民权利保障及国家组织规定的条文组合罢了,也是一个‘具有特定价值判断——特别是人权的价值,法治国家原则及民主原则’所形成之整体。”人性尊严作为现代立宪国家公民基本权利体系最高的精神价值,在公民基本权利体系中被视为最能够被广泛而普遍接受的宪法权利,其他公民基本权利与人性尊严均有着千丝万缕的关系。当人类对彼此的生活有着同样的宽容精神与互惠意愿,那么,人性尊严就与其他公民基本权利所蕴含的价值形成了新的价值,“成为社会生活、国家生活成立是否具备正当性之价值判断基点”,促使生活在社会共同体中的人们更能感同身受,基于同情的理解与反思平衡形成最低限度的理性共识,这也是数字社会“‘新兴人权’产生的检查基准”。

我国的《个人信息保护法》已经正式施行,但相关问题还可以进一步通过国家制定法律的方式进行具体完善,比如对个人信息的分类与范围可以通过立法的方式进一步明确。我国民法典第1034条对个人信息是这样界定的:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”《个人信息保护法》第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”虽然民法典与《个人信息保护法》对于个人信息定义的内涵非常明确,但其中的“已识别”或“可识别”的外延规定是相对抽象和模糊的,在实践层面可能会导致难以把握而引发歧义和纠纷。因此,国家立法机关有必要在实践中结合个人信息保护的现实需要,明确列举个人信息的种类、类型及具体表现形式,清楚界定和明确规定个人信息所包含的内容和范围。通过立法规定进一步明确个人信息权被侵权滥用的具体救济机制和步骤,虽然《个人信息保护法》第65条规定“任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报”,但并没有具体规定发现个人信息被滥用、被侵权之后的投诉和举报程序机制,建议在未来立法中进一步明确,使个人信息权被侵犯后可以按照具体详细的救济程序机制,获得最大限度的保障。

(二)构建个人信息权保护的专门监管机构

较之国家立法机关,行政机关在个人信息保护中发挥着更灵活的作用。但与此同时,行政机关可能是个人信息权最可能的侵犯者。因此,行政机关应恪守权力法定原则,严格基于法律保留、公共利益和比例原则处理个人信息,并建立起普遍的个人信息权保护机构与监管机制。“行政机关是多方利害关系人协商的召集者与助成者,激励进行更广的参与、信息共享与审议。通过在必要的时候提供技术资源、资金资助与组织支持,行政机关可以发挥当事人与制度能力建设者的作用。”《葡萄牙共和国宪法》第35条就明确规定:“……法律应保障对个人资料给予保护,特别是通过一个独立的行政组织进行保护。”德国政府机关在个人信息权保护方面提供了丰富经验,除了设立政府数据保护专员,特别要求政府在执法过程中必须尊重公民的个人信息权,带头落实各种信息监督措施,要求政府必须在个人信息保护中发挥典范作用。韩国要求在总统办公室下设个人信息保护委员会,进行个人信息与隐私的分析评估,制订个人信息保护的专门计划、实施指南,进行普遍的个人信息保护宣传教育,以及促进和开展国家机关在个人信息保护事务方面的合作等。事实上,掌握个人信息最多的往往是国家行政机关,收集个人信息最多的往往也是行政机关。如美国联邦政府就拥有两千多个数据库,广泛涉及社会保障号、联系地址与工作情况等个人信息。加之个人信息本身就具有不断发展、不断更新的特点,个人信息权本身也是一项开放性权利,要实现和保障公民个人信息权,仰赖行政机关构建起普遍的个人信息权保护机制,以高效、适宜、妥当地保护个人信息权。

就我国《个人信息保护法》所规定的“履行个人信息保护职责的部门”而言,对于个人信息保护的国家义务主体大致包括国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作;国务院有关部门依法在其职责范围内负责个人信息保护和监督管理工作;以及县级以上地方人民政府有关部门按照国家有关规定履行个人信息保护和监督管理职责三种类型。但就实践而言,设立专门的个人信息保护机构加强对个人信息权的全面保护仍然十分必要。“虽因立法及行政体制有所差异,但绝大多数国家和地区均认为个人信息保护专责机关对个人信息的守护、平衡隐私和促进个人信息自由流通具有举足轻重的作用。”具体说来,构建专门的公民个人信息权保护监管机构,有助于促进《个人信息保护法》实施的监管与执行,有助于更专业地对个人信息泄露事件进行处理,同时能对公民个人信息进行科学的风险评估,尤其是对诸如电信行业、互联网企业、载客运输、房地产中介、教育医疗、社会服务等集中使用个人信息的行业领域进行重点监管,在此基础上适时发布对上述特定行业个人信息合理使用的行业标准和行为指南,以有效配合《个人信息保护法》的贯彻执行。此外,个人信息权专门监管机构可以通过制定个人信息保护的行政规划和实施计划、公开发布个人信息保护的典型案例、专业报告与行业调研等形式,进行个人信息保护的大众宣传和法律普及,促进各国家机关的有效合作与数字社会的协同治理。

(三)通过司法解释及时填补法律漏洞

对于个人信息权保护而言,最具现实意义的莫过于国家司法机关通过法律适用和司法解释,及时为被侵犯的个人信息权提供司法救济,充分满足和保障个人信息权的各项权能,同时填补立法的缺漏和不足。根据基本权利条款可直接拘束立法、行政及司法权的原理,实现个人信息權的全方位保护,尤其需要司法机关在公民个人信息权受到侵犯时为其提供及时司法救济,实现个人信息权的司法救济。这在美国个人信息权保护司法实践中体现得非常明显。从1977年惠伦诉罗(Whalen v. Roe)案中首次系统性阐述“信息性隐私权”开始,到1989年的美国司法部诉新闻自由记者委员会案(United States Department of Justice v. Reporters Committee for Freedom of the Press),美国司法实践倾向于将个人信息权纳入隐私权保护范畴,并通过司法判决逐步确认了自然人对其个人信息所享有的控制权和支配权,政府机关和私主体未经许可或无正当理由不能控制和处理他人的个人信息,否则即构成对个人信息及隐私的侵犯。也正是通过一系列的宪法解释,使个人信息权在美国获得了基本权利的属性,完成了对个人信息权作为基本权利本质概念的宪法塑造。

在我国,以民法典、网络安全法、《个人信息保护法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等为基础的法律保护体系为个人信息权的司法救济提供了指导性规范,但这些规范大致来说仍然较为简略,操作性有待进一步加强。如《个人信息保护法》第70条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”尽管由检察机关等主体提起的个人信息保护公益诉讼,有助于加强对侵犯个人信息行为的法律规制,但“侵害众多个人的权益的”具体标准与赔偿数额等问题,就需要司法机关通过在具体案件中通过司法解释进行阐明。尤其是随着数字经济的发展,面对个人信息保护领域出现的新情况、新问题、新挑战,特别需要司法机关适时作出司法解释予以合理回应。在个人信息已然成为具有重要经济价值的当下,如何精妙平衡个人信息保护与信息合理利用、个人权利与信息产业发展之间的关系,司法机关应当发挥其实现公平正义的重要价值,通过在典型案件审判中作出司法解释,对个人信息权保护的具体适用规则进行阐述,明确相关信息主体的权利义务与责任承担,从而为个人信息保护实践提供指导性案例和示范性参照。

“一个持久的问题是,我们需要何种理想来激励我们的选择,并且根据这一判断,我们需要采取何种态度和监管方法。”面对数字技术正以新理念、新业态、新模式全面融入人类经济、政治、文化、社会、生态文明建设各领域和全过程的新时代,如何顺应信息化、数字化、网络化、智能化发展趋势,构建以个人信息权为中心的数字权利保障体系是当前数字社会治理的重要议题。尽管我国宪法没有明确规定个人信息权,但从宪法层面来思考个人信息权保护法的法律制度建构和实施问题,显然非常必要,因为“没有人会认为,我们的网络生活,可以不再受到宪法的限制和保护。”根据我国宪法“国家尊重和保障人权”的基本原则及“公民人格尊严不受侵犯”条款可以推导出个人信息权应受宪法保护的意涵,并由此确立宪法上的个人信息权国家保护义务。有理由相信,从宪法高度明确国家作为个人信息权保护的义务主体,通过立法、行政和司法协同合作构建起数字社会治理的风险预警和自我反思机制,数字社会治理将在宪法价值和宪法精神的指引下,以个人信息权保护的权利逻辑为中心构建起“立法-行政-司法”协同共治、有机统一的个人信息权法律保护体系,实现数字社会治理的价值目标。第一,在立法层面,国家立法机关应当坚持以人民为中心的个人信息权保护立法意旨,逐步完善个人信息权保护的相关法律规范体系,实现个人信息权保护与信息合理使用的平衡,在充分保护个人信息权的同时加快数字经济、信息产业的发展。使个人信息保护法的价值取向与人民群众的思维方式、规范意识、行为习惯具有高度契合性,反映中华民族的价值观念和人文精神,不仅有助于形成民众对个人信息保护的价值认同,而且有助于奠定个人信息保护法得以良好施行的精神底蕴。第二,在执法层面,加强个人信息保护的专门监管机关建设,充分发挥个人信息保护专门机关对于特定行业自我规制的监管功能,从而规范个人信息的使用和处理,形成信息处理者应统一遵循的行动指南,是促进信息产业和数字经济高质量发展的客观要求。第三,在司法层面,国家司法机关应积极为受到侵害的个人信息权提供及时的司法救济,一方面,司法机关应及时出台或修改完善与个人信息保护法原则和精神相契合的司法解释,明确法律规定含义和适用法律依据,保持个人信息保护法律体系稳定性和适应性相统一,避免个人信息权益保护的“真空地带”或“模糊场域”。另一方面,司法机关应将社会主义核心价值观引入个人信息保护领域,充分运用法治思维和法治方式判决案件,用法治方式化解社会矛盾,提高办案质量、维护司法公信力,实现良法善治,使人民群众在每一个具体个案中感受到公平正义。

值得强调的是,在充分实现公民个人信息权的过程中,特别需要国家积极作为。个人在其信息受到侵犯时,往往并不知情,且侵权主体并非与其地位一样的普通私权利主体,而是占据了大量数据资源、组织精细的信息处理机构。在这个特殊时刻,更需要国家机关的积极作为,“它需要国家的合作与参与,既要说服国家不在治理层面立法,又希望通过国家法律协助实施其规则。如果这些都能实现,那么将转化为一个共同规制的治理系统。”数字社会时代的个人信息处理往往是一个专业性极强的、风险不可控的动态复杂过程,“很多算法解决方案就像一个黑盒子,依赖这些算法作决策的人根本不知道他们作出的决定是否正确,制定的政策是否公正,有没有歪曲事实。”因此,为了保障个人免于受到信息处理机构的控制與支配,国家作为促进个人信息权实现的义务主体,应当积极履职尽责,以促进个人信息合理利用为目的,依据宪法规定努力创造和维护有利于实现个人信息保护的制度环境和社会氛围。尤其是国家行政机关应通过积极行使行政权,高效地整合各种法治资源,创设各种有利条件与制度因素,为个人信息权及其他相关基本权利的充分实现提供坚实的制度性保障。故此,遵循数字社会的发展规律和治理逻辑,通过共建共治共享的协同合作机制,构建起以个人信息权保护为中心的中国特色社会主义法治秩序框架,既是数字社会治理公民权利保障的客观要求,也是建成充满活力、良善友好的数字社会之可行方案。

参考文献:

[1] Fred H Cate. Government Data Mining: The Need for a Legal Framework[J].Harvard Civil Rights-Civil Liberties Law Review, 2008, (2).

[2] Tommy Peterson. Data Scrubbing[J]. Computerworld, 2003,(2).

[3] [美]凯斯·桑斯坦. 标签:社交媒体时代的众声喧哗[M]. 北京:中国民主法制出版社, 2021.

[4] Karen Yeung & Martin Lodge. Algorithmic Regulation[M].Oxford: Oxford University Press, 2019.

[5] 叶名怡.论个人信息权的基本范畴[J].清华法学,2018,(5).

[6] 周斯佳.个人数据权与个人信息权关系的厘清[J].华东政法大学学报,2020,(2).

[7] 付新华.个人信息权的权利证成[J].法制与社会发展,2021,(5).

[8] Volkszählungsurteil,BVerfG, 65,1,1983,45.

[9] 馬长山.迈向数字社会的法律[M].北京:法律出版社,2021.

[10] 王锡锌,彭錞.个人信息保护法律体系的宪法基础[J].清华法学,2021,(3).

[11] [英]巴特·范·斯廷博根.公民身份的条件[M].长春:吉林出版集团有限责任公司, 2007.

[12] Karen Yeung & Martin Lodge. Algorithmic Regulation[M].Oxford: Oxford University Press, 2019.

[13] Cath CJN, Wachter S. & Mittelstadt B, et al, Artificial Intelligenence and the “Good Socitey”: The US,EU, and UK Approach[J], Science and Engineering Ethics, 2018,(24).

[14] [德]哈特穆特·毛雷尔.行政法学总论[M].北京:法律出版社,2000.

[15] [德]哈特穆特·鲍尔. 国家的主观公权利———针对主观公权利的探讨[J].财经法学, 2018,(1).

[16] 康德拉·黑塞.联邦德国宪法纲要[M].北京:商务印书馆,2009.

[17] 赵宏.主观公权利的历史嬗变与当代价值[J].中外法学, 2019,(3).

[18] [德]格奥格·耶利内克.主观公法权利体系[M].北京:中国政法大学出版社,2012.

[19] 张翔.国家权力配置的功能适当原则——以德国法为中心[J].比较法研究,2018,(3).

[20] 郭道晖.人权的国家保障义务[J].河北法学,2009,(8).

[21] 王锡锌.个人信息国家保护义务及展开[J].中国法学,2021,(1).

[22] [美]约翰·罗尔斯.政治自由主义[M].南京:译林出版社,2000.

[23] 许志雄.人权论——现代与近代的交会[M].台北:元照出版公司,2016.

[24] 陈新民.宪法基本权利之基本理论(上)[M].台北:元照出版公司,1999.

[25] 李震山.人性尊严与人权保障[M].台北:元照出版公司,2001.

[26] 陈新民.宪法学释论[M].台北:三民书局,2015.

[27] [美]朱迪·弗里曼.合作治理与新行政法[M].北京:商务印书馆,2020.

[28] 张民安.信息性隐私权研究[M].广州:中山大学出版社,2014.

[29] 高秦伟.论个人信息保护的专责机关[J].法学评论,2021,(6).

[30] Whalen v. Roe, 429 U.S. 589,1977.

[31] United States Department of Justice v. Reporters Committee for Freedom of the Press,489 U.S. 749,1989.

[32] Maja Brkan.The Essence of the Fundamental Rights to Privacy and Data Protection: Finding the Way Through the Maze of the CJEU’s Constitutional Reasoning[J], German Law Journal, 2019, (20).

[33][美]劳伦斯·莱斯格.代码2.0:网络空间中的法律[M].北京:清华大学出版社,2018.

[34] [英]克里斯托弗·米勒德.云计算法律[M].北京:法律出版社,2019.

[35] [美]卢克·多梅尔.算法时代:新经济的新引擎[M].北京:中信出版社,2016.

责任编辑:王篆

Dai Jitao

: With the rapid development of digital society with information technology as the core, it not only promotes the exchange and sharing of information between multiple subjects, but also brings severe challenges to the protection of right to personal information. As the basic representation of citizenship in digital society, the right to personal information is the prerequisite for digital citizens to achieve all-round and free development, in addition, it’s an important tool to prevent and control the alienation of digital power. In order to realize the value pursuit of the protection of the right to personal information in digital society, the national legislature should uphold the human dignity as the core of constitutional value, and clarify the normative connotation and protection mechanism of the right to personal information. Administrative organs should follow the principle of limited power, deal with and use personal information based on the principles of legal reservation, public interest and proportion strictly, and establish special regulators for the protection of right to personal information. The judicial organ should provide judicial relief for the infringed personal information right timely through the application of law and judicial interpretation, and fill the legal loopholes, so as to achieve the goal of institutional justice for the protection of personal information right in digital society.

: digital society, right to personal information, logic of right, subjective public rights, institutional justice

猜你喜欢
个人信息宪法权利
保护死者个人信息 维权要不留死角
敏感个人信息保护:我国《个人信息保护法》的重要内容
道县:学校宪法宣传教育全覆盖
浅论非法使用个人信息的刑法规制
主题语境九:个人信息(1)
股东权利知多少(二)
股东权利知多少(一)
2018年3月26日 《光明日报》 在新的历史起点上深入推进宪法实施
中华人民共和国的四部宪法
权利套装