杜牧真
(中国政法大学 商学院,北京 100088)
我国个人信息保护制度正在快速探索与不断完善中,现行的《民法典》与其他特别法,①例如,2013年修订的《消费者权益保护法》、2017年实施的《网络安全法》以及2019年实施的《电子商务法》等。以及《个人信息保法(草案)》(以下简称“《个保法(草案)》”)规定了个人在信息处理活动中的一系列权利(本文统称“个人信息权”),具体包括个人在信息处理活动中所享有的知情权、同意权(也称“决定权”)、查阅权、复制权、更正权、删除权等。然而,迄今为止,现行相关立法以及《个保法(草案)》对于个人信息权的法益及性质这一类基本问题却始终未予以明确回应。《民法典》在制定过程中虽曾试图明确个人信息权的性质,将是否要把其明确为人格权作为制定过程中的争议焦点,但最终生效的《民法典》并未采纳“个人信息权”的表述,而是仅在第1034条宣布个人信息受法律保护;同时,《个保法(草案)》也未明确上述问题。上述立法现状为理论界针对个人信息权之法益与性质的探讨及解释留下了较大空间,但目前理论界的主流观点已较为明显地与实践相脱节。
在理论界,主张以民法框架对个人信息进行保护的观点得到了学者们的普遍认同。②代表性文献:参见项定宜、王阳《个人信息权的私权属性》,《哈尔滨学院学报》,2015年第10期,第46-49页;王晓芬《个人信息的法律属性及私法保护模式探究》,《法学论坛》,2016年第3期,第64-70页;程啸《论大数据时代的个人数据权利》,《中国社会科学》,2018年第3期,第102-122页。在这一思维定势之下,大部分观点均默认个人信息保护法是一项民法领域中的民事特别法,而由其所创设的个人信息权是一项民事权利,仅在具体的权利性质方面存在分歧:大部分论者均认为个人信息权具有人格权性质;③代表性文献,参见王利明《论个人信息权的法律保护》,《现代法学》,2013年第4期,第62-72页;吕炳斌《个人信息权作为民事权利之证成:以知识产权为参照》,《中国法学》,2019年第4期,第44-65页;王成《个人信息民法保护的模式选择》,《中国社会科学》,2019年第6期,第124-146页。部分论者还认为个人信息权兼具财产权性质①代表性文献,参见刘德良《个人信息的财产权保护》,《法学研究》,2007年第3期,第80-91页;项定宜《论个人信息财产权的独立性》,《重庆大学学报》(社会科学版),2018年第6期,第169-180页;郑观《个人信息对价化及其基本制度构建》,《中外法学》,2019年第2期,第477-498页。。上述主流观点,导致了实践中出现以下问题:
第一,与保护个人权益的立法初衷相背。将个人信息权完全置于民法框架下,一方面,由于个人与信息处理者在力量对比方面通常存在巨大悬殊,仅采取单一的权利保护路径,难以达到预期效果;另一方面,使得个人信息权与其它人格权之间产生了概念上的难以区分性以及功能上的重合性,这不但加重了司法实践中将个人信息权与其他人格权进行区分的负担,还往往使得个人信息权在司法裁判中沦为了仅具有宣示意义的注意性规范,进而弱化了个人信息权的应有功能。②在目前侵犯个人信息权而引起的大量民事案件中,其背后所蕴含的裁判逻辑实质上是以传统人格权受到侵犯作为裁判基础来适用民事责任的。例如,即便裁判被告删除侵权个人信息,其所依据的也并非为个人信息权中的删除权,而是以传统人格权正在遭受侵害或有遭受侵害的具体危险为依据,从而适用停止侵害、消除危险的民事责任。因此,大部分案件实质上是借“个人信息权之名,行传统人格权之实”,即个人信息权在裁判中仅具有宣誓意义,而不具有裁判意义。相关代表性案例,参见“杨澧群、凯迪网络信息技术(海南)有限公司、孙卫东名誉权纠纷案”,杭州市互联网法院(2019)浙0192民初2435号民事判决书;“中国银行股份有限公司广州白云支行与卢某名誉权纠纷上诉案”,广东省广州市中级人民法院(2010)穗中法民一终字第1946号民事判决书;“姚某等与洛阳市市区农村信用合作联社一般人格权纠纷上诉案”,河南省洛阳市中级人民法院(2010)洛民终字第2331号民事判决书。
第二,与当下的司法实践相冲突。个人信息保护检察公益诉讼正在快速推进,目前已有检察机关针对侵犯公民个人信息权的行为,向负有个人信息保护职责的部门提起个人信息保护行政检察公益诉讼的案例发生,并被最高人民检察院列为典型案例。③参见搜狐网《最高检将个人信息公益诉讼案列入典型房产公司推销侵犯个人权益》,网址:https://www.sohu.com/a/346046015_161795.访问日期2020年3月5日。由于行政公益诉讼本质上是检察机关对侵害国家或社会公共利益的行政违法行为的法律监督④参见徐全兵《检察机关提起行政公益诉讼的职能定位与制度构建》,《行政法学研究》,2017年第5期,第79页。,这意味着检察机关认为,侵犯个人信息权的行为所引起的法律关系包含以国家权力机关为主体的行政性法律关系。然而,依据上述主流观点,侵犯个人信息权所引起的法律关系应当仅为以信息处理者和个人为平等主体的民事法律关系。
第三,与促进信息化社会发展的目标相背。将个人信息权认定为民事权利造成的法律后果是:信息处理者一旦未履行告知同意义务而处理个人信息,或未满足个人动辄要求查阅、复制、更正或删除其个人信息的诉求,即构成民事侵权,众多个人则可以此为由向法院提起民事诉讼。这将对信息业者的运营造成极大的负担,并导致极大增加司法运行成本的“诉讼爆炸”产生,对信息化社会的发展造成阻碍。上述情形已成为了继《民法典》颁布后各业界人士的普遍担忧。然而,如果为了应对这一担忧,在民法框架下对个人信息权的适用进行一定限制,以人格权益正遭受侵害或受有侵害之虞作为提起民事诉讼的一般要件的话,又将使得个人信息权沦为如上文所述的注意性规范。将个人信息权纳入民事权利体系使得其适用陷入了两难境地。
随着认识的深入,近年来理论界虽然逐渐有极少数学者意识到了主流观点存在的问题,并对此予以了修正,但依然不足以为上述问题的解决提供切实可行的方案。具体而言,有论者从反面角度否认了个人信息权的民事权利性质,但却较少从正面角度对个人信息权的具体性质予以阐述;⑤例如,梅夏英教授认为,数据缺乏独立性、特定性,因此不宜将个人信息纳入民事权利客体。参见梅夏英《数据的法律属性及其民法定位》,《中国社会科学》,2016年第9期,第164-183页。有论者虽然也从正面角度提出并论述了个人信息权的公法性质,但却主要侧重于宏观框架方面,依然无法对实践中个人信息权如何行使这一具体问题提供具有可操作性的方案。⑥例如,丁晓冬教授较为宏观地提出我国个人信息法律保护应当倚重消费者法保护与公法保护的进路。参见丁晓东《个人信息私法保护的困境与出路》,《法学研究》,2018年第6期,第205页。在《个人信息保护法》即将正式出台的背景之下,如何正确认识个人信息权的法益与性质并准确指导法律适用,关乎我国未来信息化社会的发展,因此有必要对其进行审视与再界定。
个人信息权作为应对新型风险之需而新生的权利,将其纳入已然科学、成熟、稳定的传统民事权利体系之中,是否会造成难以兼容的情形出现?
理论上,主张个人信息权具有民法财产权性质的观点被简称为个人信息财产权理论。持此论的学者主要从应然的价值判断与实然的事实判断两条路径来展开论证。从应然路径展开的论者认为,个人信息承载着财产利益,由于个人信息由个人而生,该利益应当归个人享有和控制,①参见王融《关于大数据交易核心法律问题》,《大数据》,2015年第2期,第52页。因此,要赋予个人信息以财产权来保障其主体的经济利益;②参见于冲《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》,《政治与法律》,2018年第4期,第22页。从实然路径展开的论者基于我国立法认为,《民法典》最终未采“个人信息权”的表述是为了给个人信息财产化预留空间,③参见龙卫球、刘保玉主编《中华人民共和国民法总则释义与适用指导》,北京:中国法制出版社,2017年,第403-404页。法律赋予个人对个人信息处理的同意权,实际上就是创设了个人信息财产权。④参见谢琳、李旭婷《个人信息财产权之证成》,《电子知识产权》,2018年第6期,第57页。从法律效果来看,个人信息财产权理论相当于主张赋予个人对其信息的许可使用权,进而保障个人对其信息的获得报酬利益。
尽管根据以波斯纳为代表的法经济学者认为,一类事物之所以能上升为法律上的财产,需要具备价值性、排他性与可交易性,⑤参见理查德·A·波斯纳《法律的经济分析》,蒋兆康译,北京:中国大百科全书出版社,1997年,第42页。然而,前述三项属性仅仅是事物上升为法律财产的必要非充分条件。⑥例如,毒品、土地等自然资源等,虽然也具备了上述三项属性,但基于经济、社会、政治等其他因素的考量,不适宜上升为财产。因此,仅以个人信息具有价值性为由而推导出其应当为法律财产的逻辑是值得商榷的。法律是否创造某一项财产,还需综合考量其他因素,具体如下:
首先,从法经济学的角度来看,信息是一种经济学意义上的公共物品,具有非竞争性与非排他性。⑦公共物品这一概念最早由美国著名经济学家萨缪尔森(Samuelson)于1954年发表的论文《公共支出的纯理论》中提出。萨缪尔森首先将物品分为私人物品与公共物品,并将公共物品定义为具有非竞争性的物品,即任何一个人消费这种物品都不会导致其他人对该物品消费的减少。此后,马斯格雷夫(Musgrave)对公共物品定义进行了进一步完善,于1959年在其出版的《公共财政理论》一书中将非排他性引入公共物品定义,使之与非竞争性共同成为公共物品的基本界定标准。与物能资源不同,物能资源分享的人数越多,分享者各自的份额越少,信息资源则不仅不因共享而损耗,还会随着共享面的扩大而激发更多信息。⑧参见王天恩《重新理解“发展”的信息文明“钥匙”》,《中国社会科学》,2018年第6期,第29页。这恰好满足了萨缪尔森对非竞争性的定义:“任何一个人消费这种物品都不会导致其他人对该物品消费的减少。”[1]信息的非竞争性使得其在自由流通共享的过程中,恰好符合帕累托效率原则,即“在不使其他人的情况变坏的条件下,使得任何一个人的福利变好”[2],具有强烈正外部性,而赋予信息排他性产权势必阻碍信息的流通与共享,影响其正外部性发挥。既然如此,为何要对本质上为信息的知识赋予产权?本质原因在于知识是人为有意识所创造的信息,其产生伴随着人力、物力、财力的投入。“在没有惩罚机制时,完全免费的‘搭便车’者便占据主导地位”[3],这将对权利人投入成本的收回造成影响,最终因打击知识创造积极性而导致知识社会总供给量的下降,引发“公地悲剧”。由于信息具有非排他性,在自然状态下个人难以制止他人的免费“搭便车”,因此,法律不得以而“两权相害取其轻”,以有限度地牺牲知识流通性为代价来激励创造,进而提高知识社会总供给量。然而,对于个人信息而言,虽然其与知识一样同为信息,并且其以个人的存在为前提,但其并不是人类有意识而创造的,而是伴随个人日常生产、生活及社交而自然产生,并往往是在不经意间而被他人所记录与收集的。因此,赋予无意识产生的个人信息以产权不仅难以起到激励产量的效果,相反还将阻碍个人信息的流通利用,正可谓“得不偿失”,与信息数据领域的立法价值目标相背,⑨《个保法(草案)》第1条指出了“保护个人信息权益”与“促进个人信息合理利用”的立法目标,《数据安全法》也指出了“保障数据安全”“保护个人、组织的合法权益”与“促进数据开发利用”的立法目标,它们均体现出了安全价值与经济价值并进的二元价值目标。这在欧盟《通用数据保护条例》第1条也有体现。不利于信息化社会的发展。
其次,从法哲学的视角来看,英国自然法学派代表约翰·洛克提出了财产权劳动学说,该学说成为了论证知识产权正当性的重要理论基础之一。⑩参见冯晓青《知识产权法哲学》,北京:中国人民公安大学出版社,2003年,第4页。洛克认为,处于自然状态下原本为一切人类所共有的事物,之所以能够为某人所私有,是因为其注入了由其所有的劳动,使得原本共有的事物脱离自然状态而价值有所增益。①参见约翰·洛克《政府论(下篇)》,叶启芳、瞿菊农译,北京:商务印书馆,2005年,第17-20页。然而正如上文所言,个人信息是个人无意识状态下产生的,而非有意识劳动产生的,因此设立个人信息财产权缺乏正当性。
最后,从实然角度来看,认为立法规定同意权是意图确认并保障个人对其信息的经济利益缺乏逻辑上的自洽性。世界各国个人信息保护法均只保护可识别性个人信息,而不保护非可识别性个人信息,②我国立法中个人信息的定义可参见《民法典》第1034条第2款;在美国,个人信息在美国被称为“个人可识别信息”(Personal indentifiable information),欧盟《通用数据保护条例》第4条也将个人信息定义为:“与一个确定的或可识别的自然人相关的任何信息。”对此,个人信息财产权论者难以作出合理解释。原因在于,个人信息的价值大小与其是否具备可识别性之间缺乏必然联系,非可识别性个人信息的经济价值并不必然比可识别性个人信息低,因此依照个人信息财产权论的逻辑,法律对个人信息的保护不应依其可识别性的具备与否而有所差异。
综上,以可识别性个人信息为客体的个人信息权,难以被理解为是对个人经济利益的确认与保护,相反是在确认与保护某种个人安全利益。
目前,论者主张个人信息权属于人格权范畴的理论基础为个人信息自决权理论,③“个人信息自决权”概念最早由德国学者施泰姆勒(Steinmüller)于1971年提出,施泰姆勒认为,人们有权自由决定周遭的世界在何种程度上获知自己的所思所想以及行动。此后,1984年德国联邦法院审理了“人口普查案”,该案判决被解读为个人信息自决权已为立法所确认后,便在世界各国广为流传,产生了巨大影响。参见杨芳《个人信息自决权理论及其检讨》,《比较法研究》,2015年第6期,第23页。其论证逻辑为:由于本质上人格权体系所确认与保护的人格利益是个人的自由与尊严,④参见王利明《人格权法研究》,北京:中国人民大学出版社,2018年,第132页。同时,个人信息权中包括了个人对信息处理的同意权(决定权),效果上相当于赋予了个人对其信息一定程度的控制与决定,该论者便据此认为此种由法律所赋予的控制与决定本身就是一种对人格利益之个人的自由与尊严(决定个人信息被何人、何种程度上利用的自由与这一自由不被侵犯的尊严)的确认与保护,进而得出个人信息权是一种人格权的结论。⑤具体论证过程,参见王利明《论个人信息权的法律保护》,《现代法学》,2013年第4期,第62-72页;王利明《人格权法研究》,北京:中国人民大学出版社,2018年,第631页。以上逻辑成为了个人信息人格权说的根基。此外,《民法典》将个人信息写入人格权编的做法,似乎更加为上述观点提供了立法上的依据。
然而,通过对立法作体系性解释将发现上述逻辑是值得商榷的。在过去我国立法将个人同意作为处理信息的唯一合法性基础的情形下,上述逻辑尚可成立。然而,目前我国《民法典》以及《个保法(草案)》已借鉴了欧盟《通用数据保护条例》的做法,即将个人同意仅作为合法处理信息的基础之一。⑥根据欧盟《通用数据保护条例》第6条之一的规定,征得个人同意仅仅是处理个人信息的六项合法性基础之一;根据《民法典》第1036条规定以及《个保法(草案)》第13条规定总结来看,除了征得个人同意外,还可基于个人利益或公共安全利益等理由处理个人信息。根据《民法典》第1036条的规定总结来看,构成合法处理个人信息除了征得个人同意外,还包括可以在一定限制下合法处理公开个人信息,以及出于维护个人或公共利益的目的处理个人信息。相比之下,《个保法(草案)》二次审议稿更加扩大了合法处理个人信息的范围,将《民法典》针对处理公开个人信息行为所设定的限制去除。
在个人对个人信息控制力的不断减弱以及信息处理者自由范围不断扩大的趋势之下,上述逻辑愈发难以成立。依照上述逻辑,如果将出于公共利益需要可以未经个人同意而处理个人信息,解释为是当个人自由、尊严利益与公共利益发生冲突时,基于“两权相害取其轻”的利益权衡原则而使前者让位于后者,尚能解释得通。然而,上述逻辑对于为何个人仅能自我决定与控制非公开个人信息,而经合法公开的个人信息却不受到(或较少受到)个人的决定与控制这一问题,却难以进行合理解释。这是因为,根据常理来判断,个人信息自我决定所体现的自由与尊严的程度,与个人信息是否处于公开状态无关,而与个人所能决定或控制信息的程度大小相关。因此,如果上述逻辑成立,那么法律应当一视同仁地赋予个人对公开与非公开个人信息同样程度的决定与控制力。同样地,上述逻辑也难以解释,为何只要出于维护个人利益的目的,信息处理者就可以无视信息自我决定利益的存在而自由处理他人的个人信息。这就如同任何人只要基于维护他人利益的目的,就可以越俎代庖地擅自对他人私有财产进行使用与处分一样令人费解。综上,从立法体系性角度来看,法律旨在通过创设个人信息权来直接确认的个人利益根本就不是一种人格利益,而是关乎安全方面的个人利益。唯有如此,才能使得整个立法体系能够自圆其说。
至于立法将个人信息保护写入人格权编的做法与本文观点并不矛盾:一方面,并非写入《民法典》中的所有规范一律均为私权规范,例如物权编中涉及土地、不动产等问题时就有大量的公权规范;另一方面,可以理解为个人信息权虽然不是人格权,但其主要功能却在于保护人格权,因此,将其规定于被称为“私权宪章”的《民法典》中,可以起到宣示并强化私权保护的作用。
此外,对于上文所提到的个人信息自决权,专门研究个人信息保护的杨芳与高富平教授均指出,其无论在其发源地德国还是整个欧盟,乃至于美国,均是一项宪政意义上的,目的在于对抗国家公权力的宽泛性权利,而并未被确认为一项民法上的权利。①相关论述,参见杨芳《个人信息自决权理论及其检讨》,《比较法研究》,2015年第6期,第22-33页;高富平《个人信息保护:从个人控制到社会控制》,《法学研究》,2018年第3期,第84-101页。因此,国内认为域外立法确立了民法上的个人信息权的观点,事实上是对域外经验的误读。
综上,个人信息权与民事权利体系具有较为明显的不相兼容性,不宜将前者纳入后者范畴之中。虽然侵犯个人信息权的信息处理行为常常与侵犯民事权益,尤其是侵犯隐私权产生竞合。②例如,未经个人同意公开个人隐私信息时,则构成侵犯个人信息权与隐私权的竞合。但也应当认识到,侵犯个人信息权与侵犯民事权益之间并不具有必然性。③例如,未经个人同意而收集个人普通的商品浏览信息时,难以认定对民事人格权益的侵犯。因此,当信息处理者仅单纯侵犯个人信息权而未侵犯民事权益时,个人不应向法院提起民事诉讼。
为防止本文出现的“个人信息权”与“个人信息权益”概念之间产生混淆,在此对个人信息权益内涵予以阐述。《个保法(草案)》首次在开篇第1条即明确了“保护个人信息权益”的立法目的,但对于其内涵并未进一步明确。本文认为,个人信息权益并非仅由个人信息保护法所确认,对个人信息权益的保护也并非肇始于个人信息保护法,民法等其他立法也对其给予了保护。因此,个人信息权益是对一切可能遭受信息处理侵害的被动性、防御性个人权益的统称,其中,主要以民法及其特别法所确认与保护的民事权益为主,包括了财产权与人格权。
个人信息权并非为对个人信息财产利益的确认,也并非为对所谓个人信息自我决定的人格自由与尊严利益的确认,而是对包括它们在内的一切被动性、防御性个人权益不受信息处理侵害之安全利益的确认。唯有如此,才能合理解释为何个人信息权仅能支配可识别性信息,为何在对公开与非公开个人信息的自我决定程度上有显著的大小之别。
首先,从个人信息保护制度的起源来看,其诞生于个人信息自动化处理所带来的新型风险时代之下,其设立目的在于通过规范信息处理活动,防范其对既有个人权益所带来的新型风险,以保障既有个人权益的安全,而非创设新的民事权益。
以德国贝克为代表的风险社会论者指出:“随着科学与技术不受限制的推进,新的不确定已产生(其中许多具有全球性),对这些捉摸不定的因素,我们基本上无法用以往的经验来消除。”[4]个人信息虽然自人类诞生之日起便存在,但在计算机技术诞生前以纸质为主要物质载体来记录个人信息的时代下,个人信息处理所带来的风险并未凸显,因此并未产生专门规制信息处理活动的立法需要。④原因在于:以纸质为主要载体记录个人信息的时代下,一方面,个人可通过占有并控制具有排他性的物质载体来控制个人信息的传播,进而很大程度上能够决定个人信息被何人以何种方式进行利用;另一方面,个人信息在复制传播过程中需要伴随物质载体的消耗与转移,成本较大,并且计算机技术诞生前,人工难以对个人信息进行海量地、跨境式地处理。因此,在信息化社会之前,个人可很大程度上管控信息处理的风险,即便产生了危害,其危害范围也很小。20世纪60年代计算机技术的诞生与普及,使得大量个人信息得以电子化。在与互联网通信技术的结合之下,遍布各地的大量个人信息可以在不经个人知晓的情形下而被收集,并长期脱离个人控制而被跨境处理。在这一情形下,信息处理活动所带来的个人权益风险凸显,传统权利保护模式捉襟见肘,个人信息保护制度应运而生。国家层面上,瑞典于1973年制定了《数据法》,美国于1974年制定了《隐私法》,德国于1977年制定了《联邦个人信息保护法》;国际层面上,经济合作与发展组织(OECD)于1980年发布了《隐私保护和个人数据跨境流通指南》(以下简称“《指南》”),欧洲委员会于1981年通过了《关于个人数据自动化处理的个人保护公约》(以下简称“《公约》”),该两部法律文件对后世各国个人信息保护立法产生了巨大影响。
《指南》指出:个人数据处理的方式、数据的性质或使用的环境可能危害个人隐私与自由;①See OECD,Guidelines on the Protection of Privacy and Transborder Flows of Personal Data,网址:https://www.docin.com/p-193488092.html.访问日期2020年3月5日。《公约》第1条第1款指出:保证在《公约》缔约方的管辖范围内每一个体的个人数据在被处理时均得到保护,从而使个体的权利和基本自由得到尊重,特别是他们的隐私权。②参见《〈关于个人数据自动化处理的个人保护公约〉中译文》,网址:http://img.anzhixun.com/201904/files/20190417111426684724.pdf.访问日期2020年3月5日。欧盟数据保护专员公署曾于2015年的报告中指出,个人信息权的目的在于补充一定的力量,以此来面对大规模信息处理对个人尊严带来的侵蚀。③See European Data Protection Supervisor,Towards a New Digital Ethics:Data,Dignity and Technology,网址:https://edps.europa.eu/sites/edp/files/publication/15-09-11_data_ethics_en.pdf.访问日期2020年3月5日。在我国,直接导致2016年11月公布的《民法总则(草案)》二次审议稿在同年6月所公布的初次审议稿基础上,仓促增加个人信息保护条款的原因为,2016年8月发生的“徐玉玉电信诈骗案”及该案所引起各界人士公众对保护个人信息的巨大呼声。④参见张新宝《〈民法总则〉个人信息保护条文研究》,《中外法学》,2019年第1期,第60-63页。综上可明显看出:个人信息保护制度是在立法者意识到信息处理活动可能对个人权益带来风险的情形下最早诞生的;同时,个人信息保护制度设立目的是通过规制信息处理活动来确保信息处理过程中的安全,从而进一步达到保护既有个人权益的目的,而非创设新的财产或人格利益。
其次,个人信息保护制度构建了一项全新的事前保护机制,目的在于对个人权益进行事前的预防性保护,以防范信息处理活动的抽象危险,弥补过去侵权法保护模式所构建的事后补偿性保护机制的不足。因此,创设于个人信息保护制度的个人信息权所体现的利益,是个人对风险进行事前控制的利益,而非对损害结果进行事后补偿的利益,这也是个人信息权虽以保护民事权益为主要目的,但却独立于民事权益之外的原因之所在。
“损害的预防胜于损害补偿。”[5]通过构建事前保护机制来事前预防实害结果发生的法益保护方式在刑法领域较为常见,以抽象危险犯最为典型。刑法常将高度频发的,对法益侵害具有高度危险性与严重性的某类行为予以类型化,规定为抽象危险犯,一旦此类行为实施即构成犯罪,而对于其是否造成实害结果,或是否具有导致实害结果发生的具体危险在所不问,以实现对既有法益的事前预防性保护。⑤例如“醉驾入刑”。日常中醉驾行为频发,常常造成严重交通事故,对人们生命财产带来巨大威胁,但过去对于醉驾行为仅有其实际造成了交通事故或产生对公共安全的现实紧迫危险时,刑法才能介入规制。自2011年《刑法修正案(八)》“醉驾入刑”后,一旦行为人醉驾即构成犯罪,无论其是否造成损害后果或造成损害的现实紧迫危险与否,这对生命财产等重大法益起到了重要的事前预防保护作用。
信息处理活动对于个人权益而言具有高度抽象危险性,其每时每刻频繁发生并涉及大量个人信息,一旦发生安全事故,将对个人权益造成范围极广、后果极为严重的危害。例如,美国脸书公司自2016年“剑桥分析”事件中导致5 000万用户个人信息泄露后,2019年又再次爆出数据泄露事故,波及了全球2.67亿用户,对隐私等个人权益带来重大威胁与危害。⑥参见搜狐网《2.67亿Facebook用户数据泄露》,网址:https://www.sohu.com/a/361749330_804262.访问日期2020年3月5日。这对以损失填补为主的侵权法保护模式带来了极大挑战,并为事前保护机制的引入带来了必要性与迫切性。在过去仅采单一的侵权法保护模式时代下,当面对信息处理者滥用个人信息并仅仅对个人权益产生抽象危险的情形时,个人往往仅能消极容忍而无能为力。事前保护机制的构建,使得个人可以提前控制信息处理活动,例如,要求信息处理者更正、删除可能对个人权益造成侵害的个人信息,从而防止抽象危险的产生;同时,信息处理者违法处理信息(包括侵犯个人信息权),即便未对个人民事权益构成侵犯,信息处理者也因违反了个人信息保护法,从而使得个人、社会与国家得以介入,以制止抽象危险状态的持续。
综上所述,个人信息保护制度通过创设个人信息权所直接确认与保护的个人利益,并非是财产经济利益或人格利益,而是个人对信息处理风险进行事前控制与防范的安全利益,其通过赋予个人对信息处理活动一定程度上的控制权利,能够预防并规制信息处理活动所带来的个人权益抽象危险,这相当于在信息处理活动与民事权益等个人权益间构筑了一道防火墙。
个人信息保护制度所构建的,是以信息处理活动为客体,以国家、信息处理者以及个人三方为主要的法律关系主体的行政性法律关系。因此,由个人信息保护制度所创设的个人信息权,是一项行政性质的个人权利。从侵权视角来看,信息处理者的违法信息处理行为以及履行个人信息保护职责的公权力部门的消极不履职行为,均可构成对个人信息权的侵犯。
首先,个人信息保护制度建立了国家对信息处理活动进行监督与干预的个人信息公权力保护模式,弥补了过去以私权利来保护个人信息权益的不足。
大数据时代下,私权利保护模式难以对个人信息权益进行有效地保护:从风险控制角度来看,信息处理活动的侵权过程具有极大的隐蔽性,这使得个人难以通过权利的行使来保护个人权益。正如西方学者所言,现代社会中,个人在管理隐私时,难以对愈发具有复杂性与系统性的风险进行分析和判断;①See Daniel J.Solove,The Digital Person:Technology and Privacy in the Information Age,New York:New York University Press,2006,pp.47-55.从信息处理者与个人之间的力量对比来看,信息处理者不但具有雄厚的经济实力,并且依托高精算法技术与海量数据形成了“数据霸权”地位,这使得其与个人之间具有了明显的强弱之分。由于意思自治忽略了社会生活中人与人之间因为能力、智力、财富等方面的差异,尤其没有考虑到社会对弱者的特别保护,②参见王利明《民法的人文关怀》,《中国社会科学》,2011年第4期,第151页。以意思自治为核心的私权保护模式在保护个人信息权益方面显得捉襟见肘。因此,亟待设立一项全新的以国家为主体的个人信息公权力保护模式,以弥补过去以个人为主体的私权利保护模式之不足。这使得信息处理活动的公权力主动干预具有了必要性与正当性。
国家公权力干预信息处理活动的法律依据体现在:第一,《宪法》第33条第3款规定“国家尊重和保障人权”,其中的“保障”二字为国家公权力以保护个人信息权益为目的,对信息处理活动的积极干预提供了根本法基础。第二,《个保法(草案)》第11条,③《个保法(草案)》第11条规定:“国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为……推动形成政府、企业相关行业组织、社会共同参与个人信息保护的良好环境。”以及《数据安全法》第1、2、6、7、9、24条等规定为信息处理活动的个人信息公权力保护提供了原则性基础。④《数据安全法》第1条规定:“为了规范数据处理互动,保障数据安全……”第2条规定:“在中华人民共和国境内开展数据处理活动及其安全监管,适用本法……”第6条规定:“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责……”第7条规定:“国家保护个人、组织与数据有关的权益……”第9条规定:“国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作……”第24条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查……”第三,在《个保法(草案)》第六章“履行个人信息保护职责的部门”中,专章对负有保护个人信息职责的部门、相应职责以及具体的行政手段进行了规定;《个保法(草案)》《数据安全法》分别于第七章、第六章“法律责任”一章规定了信息处理者违法信息处理行为的行政责任。它们对个人信息公权力保护提供了具体规则与依据。
其次,遵循有“有权利必有救济”的原则,个人信息权是一项行政性质的个人权利体现在,个人信息权寻求救济的方式为行政方式,侵犯个人信息权所产生的法律责任为行政责任。需要说明的是,虽然《个保法(草案)》第68、70条分别规定了民事责任与刑事责任,但第68条规定的是个人信息权益受到侵害时的损害赔偿责任,此时违法处理信息已与侵犯民事权益产生竞合;第70条明显是针对违法处理个人信息与触犯刑法产生竞合的情形。因此上述条文是注意性、准用性条款。具体如下:
第一,当信息处理者实施了未经个人同意而违法处理个人信息,或未满足个人查阅、复制、更正、删除的诉求等侵犯个人信息权的行为时,便产生了信息处理者的行政责任以及相关公权力部门保护个人信息的职责。个人可以依据个人信息权向履行个人信息保护职责的公权力部门主张权利以寻求救济,要求其履行相应职责,对信息处理者实施行政处罚等行政措施,以制止信息处理违法行为,保护个人信息权。相应的法律依据主要有:《个保法(草案)》第60、64、65条规定;①《个保法(草案)》第60条规定:“……(二)接受、处理与个人信息保护有关的投诉、举报;(三)调查、处理违法个人信息处理活动……”第64条规定:“任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人……”第65条则规定了信息处理者实施了违法处理个人信息等行为的,相关部门可责令改正、给予警告、没收违法所得,拒不改正的,处以相应罚款。《数据安全法》第12、44、45、46、47条规定②《数据安全法》第12条规定:“任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。”第44条规定:“有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织和个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。”第45条规定与《个保法(草案)》第65条相类似;第46、47条分别特别规定了向境外提供重要数据以及从事数据交易中介服务机构的相应行政责任。。
第二,当相关部门消极不履行相应职责时,其便产生了相应的行政责任。此时,也意味着个人信息权遭受了侵犯,个人可以向其上级等相关部门寻求救济,责令其积极履职,或以诉讼作为保护权利的最后一道防线,针对不履行职责而负有行政责任的部门,提起行政诉讼。对此,检察机关或其他部门也可提起行政公益诉讼。相应的法律依据主要有:《个保法(草案)》第67条,规定了相关部门不履行职责时的行政责任以及上级机关对其责令改正并予以处分的职责;《数据安全法》第49、50条均规定了相关部门不履行职责时的行政责任。