基于“权利利益论”的个人信息权证成与构造

卢艳玲,杨 震

(黑龙江大学 法学院,哈尔滨 150080)

个人信息涵盖个人价值(人格尊严)与公共价值(包括商业价值、公共管理价值),于个人和社会而言意义重大。新兴技术交叠推动了个人信息处理能力飞跃,个人信息法律保护已成为共识,但问题在于如何保护。数字时代的个人信息究竟是权利还是利益?如果是权利,基于何种理论和标准作出权利和义务的认定?个人信息又是怎样的权利?个人信息主体的不同信息利益需求能否通过一项称之为“个人信息权”的权利来实现?抑或是需要不同的具体权利来实现?如果需要不同的权利来保护,应当包含哪些具体权利?学界对上述问题争论不休。《民法典》和《个人信息保护法》的出台亦未能使这些问题得以定论,反而还带来了新的困惑。

本文力图对当前学界关于个人信息法律性质的争论进行梳理和反思,以提出个人信息权利化的初步构想,借助“权利利益论”对个人信息作为具体权利进行证成,即借助权利理论来论证哪些个人信息利益基于何种理由应当成为权利,并尝试描画数字时代作为权利簇的个人信息权的权利构造,以期推进个人信息权的体系化和法定化。

一、对个人信息法律性质的检视与反思

对于个人信息的法律性质,理论界争议较大,实证法语焉不详。“个人信息权”和“个人信息权益”交织使用使得个人信息究竟是权利还是利益、究竟是何种权利(利益)等问题成为人言言殊的谜题。

第一,公权益与私权益之争。公权益说主张将个人信息权作为基本权利加以保护,而私权益说主张个人信息属于民法权益,公权益与私权益兼备说则主张个人信息作为宪法权益和民法权益,需公私法协同保护。基于公私融合治理理念,公私两类法益和秩序紧密衔接,兼备说更能满足数字时代个人信息全面保护的需求。但兼备说既有研究存在以下问题:一是对于民法权益与宪法(公法)权益的关系没有进一步探讨;二是个人信息需要宪法、民法、行政法和刑法等不同保护方式统合与协调,而不同保护的论证各自为政,如何协调尚不清晰。

第二,权利说与利益说之辨。权利说主张确认个人信息为权利,并从基本范畴、民法人格权等不同角度阐释了个人信息权。利益说主张个人信息仅是受法律保护的利益,自然人对个人信息不享有绝对权和支配权。利益说存在以下三个方面的不足:一是将个人信息权等同于绝对权,以个人信息无法支配为理由反对个人信息权利化,忽视了“权利”和“绝对权”的差别。二是未充分回应数字时代个人信息权益强保护的现实需求,以牺牲个人利益为代价换取数据流通和利用。保障数据流通并非一定要以阻止个人信息权利化的方式实现,还可以通过限制个人信息权利的方式来实现,两者相较,后者对个人信息利益损害更小。能否权利化、应否权利化以及如何权利化,要通过权利理论论证和阐释。三是未纠偏信息主体与处理者之间在信息能力方面存在实质不平等。在“数字共同体”中,处理者多为经济实力雄厚、处理能力强大的公司或企业,信息主体处于最弱势地位,极易受到侵害。为避免出现社会达尔文主义的弱肉强食,应通过法律赋予信息主体特别权利,对处理者苛以特别义务,以实现实质平等。

第三,何种民事权益之论。人格权说主张个人信息是(新型的)具体人格权,保护个人信息主要是保护其中涵盖的人格尊严。财产权说则主张自然人对其个人信息兼有人格利益和财产利益诉求,应对个人信息所呈现的商业价值给予财产权保护,并将财产权路径体现在立法中。新型民事权利说主张单一化利益确认无法回应多元利益平衡需求,个人信息权既不是公法权利,也不是人格权、财产权,而是一种新型民事权利。

人格权说已得到实证法支持,而财产权说和新型民事权利说仍是争论焦点。个人信息的财产利益实质上是个人信息数据的财产利益,个人信息与个人信息数据在本质上存在差别,前者是内容,后者是载体,而个人信息数据财产利益是否应当保护以及如何保护并不是本文研究的个人信息权涵盖的内容。新型民事权利说实质上并未澄清个人信息权究竟是何种权利,因为新型民事权利属于“民事主体的某些现实利益转化为法定权利的过渡状态”[1],该学说并没有深入到权利的本质论证层面。

个人信息利益多元化、动态化,个人信息类型、处理阶段和应用场景差异化,以及各种处理活动交互衍生的不确定系统性风险[2],都导致不同个人信息利益被法律保护的现实需求并不一致,甚至同一个人信息利益在不同处理活动和场景中应有的保护强度也不一致,动态利益衡量必然会产生不同的保护模式。个人信息利益的内核无疑是人格利益,但又不限于此,个人信息的人格利益表现为不同的利益形态,实际对应着不同的具体个人信息权利。易言之,个人信息权并非单一权利,而是以保护人格利益为核心目标的动态框架性权利,应通过权利理论证成特定个人信息利益对应的信息主体权利,并阐释清楚具体个人信息权利所组成的权利簇的构造。

第四,实证法规定之语焉不详。对于个人信息是权利还是利益,《民法典》和《个人信息保护法》均采取了回避的立法态度。实证法对个人信息法律性质界定的语焉不详,可归结为三方面原因:一是个人信息界定标准的语义模糊性。《民法典》将“可识别性”作为个人信息界定的理论标准,而可识别性本身亦是一个含混不清的用语,应用到复杂的个人信息处理场景中,具体的权利客体很难明确。二是个人信息范围的广泛性。对全部个人信息统一赋予信息主体以完全相同的个人信息权不符合实践需求,个人信息利益在基于场景化的合理分类基础上差别化赋权方为合理。三是个人信息法律保护经验不足。个人信息权益侵害的样态、类型以及损害影响力目前都不是很确定,当现实经验不足以充分支撑立法的具体规范表述时,应予留白,以防过早定性可能导致的负外部性影响。

实证法语焉不详导致民法教义学解释存在争议,对于《民法典》第111条,既有学者主张是确权性规定,也有学者认为该规定并没有将个人信息作为一项具体人格权利。(1)权利说的解释路径,参见杨立新主编:《中华人民共和国民法总则要义与案例解读》,中国法制出版社2017年版,第413页;陈甦主编:《民法总则评注(下册)》,法律出版社2017年版,第785页。利益说的解释路径,参见王利明主编:《中华人民共和国民法总则详解》,中国法制出版社2017年版,第465页。基于文义解释,《民法典》中“个人信息受法律保护”和《个人信息保护法》中“个人信息权益”的表述似乎更倾向于利益说的弱保护模式。而基于体系解释,根据《个人信息保护法》“个人在个人信息处理活动中的权利”一章明确列举的各项权利及其体系框架,将个人信息界定为权利亦有解释空间。由此,这样的规定使得个人信息究竟是民事权利还是民事权益更令人迷惑。从法律发展和实践需求看,个人信息权利化是时代发展的趋势。首先,个人信息权利化的条件已具备。刑事领域已经可以为个人信息保护案件精准地规定定罪量刑标准,划定他人行为的禁区[3],个人信息的内涵界定和分类也日趋明晰,这些都为个人信息权利化提供了可行条件。其次,个人信息权利化不会产生数据壁垒,权利和绝对权为包含与被包含的逻辑关系,权利化与绝对权化不能等同视之,更何况即使是绝对权,在涉及重大公共利益时也有被限制的例外性规定。最后,个人信息保护的终极目的是维护自然人的合法权益,权利化保护模式使特定个人信息利益的归属和界限更为明确,进而给予法律上的强保护。

二、权利利益论:个人信息利益作为权利的证成理由

耶林的权利利益理论指出,“权利构造的本质在于,法律保护或促进某人的利益,以对抗特定人或一般地对世,手段是课予后者以义务、无能力或责任”[4]。基于权利利益论证成个人信息权利,能够正面回应新兴科技给法律带来的各种复杂问题,“在权利认定和证成时反映权利的‘动态性’特征以及实际存在的实质性关系状态”[5],深入实质利益衡量的现实层面进行理论证成,促进法益上升为权利,发生法益间的效力转换[6]。

根据权利利益论,(2)利益论可以被表述为:假定X负有一项做φ的义务。只有在这一条件下,即Y处于一种从X做φ当中受益的被认可的地位时,Y才拥有一项要求X做φ的请求权。相关文献参见刘小平:《为何选择“利益论”?——反思“宜兴冷冻胚胎案”一、二审判决之权利论证路径》,《法学家》2019年第2期;张峰铭:《论权利作为要求——超越利益论与选择论之争》,《法制与社会发展》2021年第2期。权利构成要件包括以下内容:其一,存在某种利益,且该利益需要他人采取某种行动方能满足;其二,该利益构成了课予他人从事此行动之义务的充足理由[7]。基于上述构成要件,本文将检视并证成特定个人信息利益在利益衡量后生成信息主体的何种权利、对应处理者的何种义务。

(一)存在需要他人采取行动满足的个人信息利益

欲证成个人信息权利,首先要分析存在何种个人信息利益,并证成特定个人信息利益需要他人采取某种行动方能满足。

1.个人信息利益的多元化。传统民法通过立法技术,实现了对不同人格利益的分割保护:对于边界清晰的人格利益以及历史演进过程中逐渐类型化的人格利益,通过肖像权、姓名权、隐私权等具体人格权保护;对于边界不清晰、尚未类型化的其他人格利益,通过“一般人格权”保护[8]。在大数据、人工智能等技术应用前,个人信息保护可隐匿于肖像、姓名、隐私等人格利益之下实现,主要原因在于彼时个人信息数据化和数字化并不普及,假他种利益之手可实现保护目的。

当前,技术发展推动了处理场景及活动的复杂化和多样化,个人信息中需要法律保护的利益日趋多元。个人信息法律保护的客体不是个人信息本身,而是个人信息承载的多元化利益,主要包括表现利益、隐私利益和自决利益。表现利益是指“个人希望公众对其进行符合其自身形象的描述的利益”[9],可通过姓名权、名誉权、肖像权等权利实现保护。隐私利益是指他人私密空间、私密信息的维护,私密个人信息可通过隐私权实现保护。自决利益是指在个人信息处理活动中,信息主体享有的对处理过程进行介入和干预的利益[10],这一利益是大数据时代个人信息保护指向的核心利益。德国学者克里普将个人信息保护法保护的“个人利益”诉求类型化为“隐私利益、知悉个人信息被处理的利益、个人信息正确和完整的利益、个人信息处理需符合特定目的的利益”,(3)1977年德国第一部《个人信息保护法》出台后不久,德国学者克里普( Klippel)指出,个人信息保护法的保护客体包括文中所述四种利益。转引自杨芳:《个人信息保护法保护客体之辨——兼论个人信息保护法和民法适用上之关系》,《比较法研究》2017年第5期。后三项利益都是个人信息自决利益的具体表现,个人信息自决利益还可能包括“决定个人信息如何被处理的利益”“拒绝个人信息被处理的利益”以及其他未尽的可能存在却未被发现的利益。笔者主要将克里普类型化的个人信息利益作为权利证成对象,以达至见微知著的目的。

2.需要他人行动满足的个人信息利益。利益往往表现为人们的某种需求,这种需求要他人作为或不作为才能满足。接下来,要检视和证成克里普类型化的个人信息利益是否需要他人采取某种行动方能满足。

首先,知悉个人信息被处理的利益。信息主体只有知晓其个人信息被他人处理,才能干涉处理者的处理行为,“只有知晓处理者在处理过程中是否存在违反个人信息保护规则的行为,才能主张损害赔偿”[11]。知悉个人信息被处理的利益需要处理者采取告知、披露其处理活动的行为方能得到满足。其次,个人信息正确和完整的利益。在个人信息处理活动中,信息主体未经查询无从知晓个人信息是否正确,而查询需要处理者提供查询端口。当查询到个人信息记载不准确、不正确或残缺不全时,信息主体更改、删除、转移其个人信息需求的实现需要处理者提供一定的技术或组织保障,如提供更改链接、转移途径等。个人信息正确和完整的利益必须要处理者采取一定的行动等方能满足。再次,个人信息处理需符合特定目的利益。在允许(意定或法定)以特定目的处理个人信息后,处理者的所有后续处理行为都不得超出原定的特定目的。保证个人信息所有处理行为都符合原定的特定目的,需要处理者的不作为(不将个人信息用于其他处理目的)或作为(采取特定技术或组织措施防止个人信息被用于其他处理目的)才能实现。最后,隐私利益。涉及隐私利益的个人信息可称为私密个人信息,诸如患者病历、生物识别、行踪轨迹等个人信息一般都属于私密个人信息。对于私密个人信息一般严格限制收集、利用和分析等处理活动,仅例外情况下才被允许处理,个人信息隐私利益毋庸置疑要求处理者不打扰、不侵入、不公开、不泄露,并采取必要安全保障措施方能得以满足。

(二)该利益构成要求他人从事某种行动之义务的充足理由

即使特定利益需要他人采取某种行动方能满足,也不意味着他人必然负有采取行动的义务。被保护的利益构成权利的前提是,该利益应当比因此受到限制的其他利益更为重要。在个人信息处理场景中,只有当信息主体的某种利益比处理者所要维护或实现的某种利益更重要时,信息主体的特定权利才能成立。在利益判准的过程中,包含“利益的重要性判定”和“利益的重要性比较”两个环节[7],下面以克里普类型化的个人信息利益为依据,判定信息主体需要被满足的利益的重要性,以及是否证立了处理者的义务和处理者应承担何种义务。

1.个人信息利益的重要性判定。根据阿列克西的利益重要性判定标准,(4)某利益的抽象重要性越高、受干涉的程度越大,该利益就越重要。参见罗伯特·阿列克西:《法:作为理性的制度化》,雷磊编译,中国法制出版社2012年版,第172页。个人信息利益的重要性与“个人信息利益的抽象重要性”和“利益的受干涉程度”两个因素成正相关,其中前者是个人信息利益重要性判定的核心要素,后者是个人信息利益重要性判定的辅助要素。

第一,个人信息利益的抽象重要性判断。“利益的抽象重要性有三个要素:一是利益对个人生活的重要性;二是利益受公共利益支持的程度;三是利益是否明显不道德。”[12]228以上述三个要素为基准,可分析出个人信息利益具有很高的抽象重要性。

首先,个人信息利益对个人生活的重要性,此为决定性因素。构成利益的需求不胜枚举,但个体并非对所有需求都有同等程度的期待,对个人而言重要的利益需具有“底线性”,所谓“底线性”是指此种利益需为个人生产、生活所必须具有的最低要求,如生存、身体完整、人身自由、精神自由和物质财产等。个人信息处理不符合特定目的、过度的算法分析以及基于不准确的个人信息作出的算法决策等,都可能侵害个人的生存品质以及人格尊严,个人信息被泄露可能造成个人财产的巨大损失乃至精神重创。欧盟、美国皆承认个人信息关乎个人的基本人权、人格尊严和自由,是个人的基本权利。数字时代,个体对知悉其个人信息被处理、保障个人信息正确性和完整性、个人信息处理符合特定目的以及隐私信息受保护的需求极高,属于自然人数字人格完整的根本需求,是“底线性”利益需求。

其次,个人信息利益受公共利益支持的程度,此为强化性因素。个人信息作为数据的基础质料,其合理利用和流通对于社会生活和经济发展而言至关重要[13]21。充分保障自然人的个人信息利益有利于提升人们对数字社会、数字服务和数字法治的信任,对于保障数字社会安全和秩序等公共利益具有正向激励作用。而且,公共利益是一种表现为共同的内我和共同的形式的私人利益[14]176,个人信息私益的不断聚合会凝聚成为需要保护的社会公益[15],信息主体的利益与社会公共利益是互相补足、支持和融入的关系。

最后,个人信息利益是否明显不道德,此为否定性因素。如果某种利益无论从何种角度看都明显不道德,违背最基本的人性和伦理,就应当完全否定该利益的抽象重要性,如器官买卖的交易自由利益。“道德性”对于利益抽象重要性而言具有一票否决的作用。个人信息利益旨在维护和保障人之为人该有的尊严和自由,保障数字时代人的自由全面发展,既无损德,也无败俗,且有利于数字人格的塑造和保护,其具有道德性是毋庸置疑的。

第二,利益的受干涉程度分析。利益主张总是表现为主张者要求他人采取一定行动(作为或者不作为),该行动必然对双方的利益都有一定干涉(保障或侵害)。将“实际被主张的行动”与“可适用于此语境的其他行动”进行比较,能判断出行动对利益的干涉程度,干涉力度越大、速度越快、几率越高、持续时间越长,利益的受干涉程度越高[16]107。利益的受干涉程度越高,表明该利益越重要。个人信息利益整体上具有极高的抽象重要性,那么不同类型个人信息、不同处理场景中的个人信息利益的重要程度是否存在差别?利益的受干涉程度可以用来细化分析不同类型个人信息、不同个人信息处理场景中特定利益的重要性程度,并以此与之匹配相应的处理者行动。譬如,处理者可通过默示、明示、口头、单独和书面等多种告知方式满足信息主体知悉个人信息被处理的利益,这些告知方式中,明示、单独和书面告知对处理者处理自由产生的侵害逐步增强,对信息主体知悉个人信息被处理的利益则给予了逐步增强的保障。对于敏感个人信息的知悉利益而言,单独告知比明示告知构成了更强的保护,也更能说明敏感个人信息知悉利益的重要性更高。

2.个人信息利益的重要性比较。为强化对特定个人信息利益的保障,处理者采取的行动必然对其自身利益造成一定侵害,如改进技术的时间成本、组织措施完备的人力成本以及停止处理个人信息的经济减损等。个人信息利益的重要性确定后需比较衡量,被满足的个人信息利益在重要性上能否超过被侵害的他人利益,只有欲保护利益在道德或其他价值上更具优势地位,方可证立特定权利。在特定个人信息权利证立基础上,与之相匹配的处理者义务的确定还应当符合比例原则。

以信息主体知悉其个人信息被处理的利益为例,与之相对应的处理者利益是处理信息自由以及处理信息产生的经济利益。个人信息与人格尊严、人身自由、身份隐私和财产等重要内容息息相关,信息主体知悉个人信息被处理的利益诉求,比处理者减损的处理自由利益(告知并取得同意方能处理)更为重要,故而证立了信息主体的“知情同意权”。正如拉兹所说,“权利总是证成他人义务的存在”[17],但权利与义务并非一一对应,信息主体知悉其个人信息被处理的利益能证立的义务不止一个,而是对应处理者的多种义务,如“告知义务”“取得同意义务”“信息泄露时的通知义务”等积极作为义务,以及“不得变相强制个人作出同意”等消极不作为义务。结合个人信息具体类型进一步分析,为保障信息主体的“知情同意权”,是要求处理一般个人信息的处理者“取得同意”和“取得单独同意”还是“取得书面同意”,则需要进一步衡量。相对于一般个人信息的重要性而言,“取得同意”即可满足信息主体的需求,后两种同意方式对处理者利益的减损超出了必要限度且有损公共利益,故而仅能证立处理者“取得同意”的义务。

以个人信息正确和完整的利益为例,处理者为保证实现信息主体的此种利益,需要提供查询、更改、封存、删除(错误个人信息)以及告知信息来源与信息接收者等技术和服务,支出相当的研发时间与成本。承载人格利益的个人信息利益为底线性利益,其抽象重要性显然高于处理者的处理自由及其经济利益,但两者相较还要分析相关行动的干涉程度对利益重要性的影响。查询、更改行为对处理者的自由与财产利益侵害较小,信息主体的查询权、更改权皆可证立,删除行为会给处理者的信息存储和流转带来一系列连锁风险,造成的经济减损比查询和更改更大,但如果不允许删除,则直接贬损了更为重要的个人人格尊严,删除权可证立。同时,为降低创设权利给他人造成的负外部性影响,删除权适用应有更为严格的限制条件,以此兼顾处理者利益。携带行为会给处理者带来沉重的义务负担和高昂的成本支出,故而,携带权的证立还需实证考量处理者的利益减损程度后进行比较。在具有实证调研成果前,可通过“倡导性规范的软性方式,对携带权前瞻性地做出指引式规定”[18],以鼓励个人参与数字社会发展。

综上,共同善才是最终决定权利存在和保护程度的重要因素,绝不能为保护某一特定利益使其他社会主体的利益乃至公共利益受到超出合理、正当和必要程度的损害。不同具体权利对特定个人信息利益保护的强度存在差异,考量到他者利益和公共利益,应通过场景化赋权和交往安全利益原则对权利有所限制,从而尽力缩减权利的负外部性影响。

三、作为权利簇的个人信息权的权利构造

基于权利利益论证成,不同个人信息利益对应着信息主体的不同权利和处理者的不同义务。由此,个人信息权并非是单一权利,而是一个完整、动态的权利簇,该权利簇由满足信息主体不同利益需求的不同权利共同构成。

(一)权利簇:个人信息权的权利本质

个人信息利益是多元的,价值层面表现为信息主体的人格尊严与自由,内容层面包含丰富的子集利益,对子集利益进行类型化可明确个人信息权利的具体构成。克里普类型化的个人信息利益均有其独特的内涵和特点,无法彼此涵盖,无法通过一个权利实现,通过权利利益论证立了存在满足信息主体不同利益需求的不同个人信息权利。“具有某个法条依据的权利能够成为一项独立的权利,来自多个具体法条规定的多个具体权利的组合,则应判断为权利束,如消费者权、股东权。”[19]根据该区分标准,个人信息权本质类似于消费者权,是由来自不同具体法条规定的多个关于信息主体的具体权利组成的集合型权利簇。

个人信息权的核心是保护个人信息自决,捍卫自然人对其个人信息的自主决定和控制。按照威尔曼提出的权利核心之外还有若干保护性外缘权利的观点,随着时代发展,克里普类型化的个人信息利益之外还将产生其他前所未有的需要保护的新型个人信息利益,多种具体、明确和发展的利益诉求共同构成了个人信息利益集合。新的个人信息处理方式、处理场景和信息主体需要被保护的合理利益诉求难以被完全预见,权利证立的义务也就无法被穷尽。可被证成的知情权、查阅权、更改权、决定权、删除权等具体个人信息权利已在《民法典》《个人信息保护法》中明确列出。因应科技进步,在不同处理场景和活动中,将出现诸多未被发现或有待被证成和确认的新型个人信息利益,以生成新的外缘性权利。由于法律相较于科技进步和社会发展具有滞后性,个人信息权这一具有动态性的权利簇有待于在经验积累和司法实践中不断完善。

(二)权利簇的基础权利:宪法层面的个人信息基本权利

综观国际个人信息保护立法,立法之初的意旨均在于使个人免受国家权力干涉。在欧洲,个人数据保护权是公民的基本权利,德国联邦个人资料保护法(BDSG)以个人信息自决权为宪法基础、一般人格权为民法基础,对个人信息给予保护。在美国,个人信息保护的权利基础是隐私权,信息隐私权因应社会对个人信息保护的需求而产生,公民个人信息保护融入彰显公民自由的公民隐私,被归入个人自由、尊严等基本人权价值。可见,对于个人信息权益的保护,域外立法和司法实践都倾向于从“人权或基本权利保护的角度”[20]3出发,通过规范个人数据处理行为来实现,即个人信息(数据)保护的真正源头是对公民基本权利的保护。

全球数字化时代,我国个人信息保护权利构造和制度设计应当集东西方法治优点于一身,既传承我国政治、经济、文化和法律制度特色,表现出中国特色性[21]284,又同国际接轨,顺应全球立法趋势。我国仅以《民法典》规定的“个人信息保护”作为个人信息保护法律制度的基础欠缺理论支撑、价值依据和逻辑根基。首先,《民法典》是私法领域基本法,主要功能是保证自然人的个人信息不被私主体处理者侵害,而个人信息处理活动中,处理者既有私主体也有公主体,对于公主体处理者侵害个人信息权益应如何救济的问题,《民法典》无法给出理论支撑。其次,《民法典》和《个人信息保护法》的个人信息保护价值理念存在差异。前者是私法,在价值权衡中以个人权益保障为绝对优先价值追求;后者是公私兼备的领域法,重视保障个人权益的同时更要在个人信息保护和利用之间寻求一种动态的价值平衡。两部法在适用时如果产生价值判断冲突,难以找到共同的价值根基。

据此,在个人信息权益民法保护和个人信息处理行为公法规制的双重路径下,能为个人信息权利框架建构提供坚实理论基础和价值根基的只有宪法。首先,在理论体系维度,宪法是构建个人信息保护理论体系的逻辑起点,个人信息权利簇的发展应以宪法层面公民个人信息基本权利为根基,该基本权利延展于《宪法》规定的“国家尊重和保障人权”和“公民的人格尊严不受侵犯”。其次,在法律体系性维度,根据凯尔森的“金字塔理论”,(5)根据奥地利学者凯尔森的“金字塔理论”,宪法是法律秩序的基础规范,维系着法律秩序的统一性。参见凯尔森:《纯粹法理论与分析法学》,张书友译,中国法制出版社2008年版。宪法是法律秩序的基础规范,是形式上法律的效力来源和实在法律体系的效力终点,在基本权利层面确立个人信息受法律保护,能为“其他部门法对个人信息保护的规范提供根本性的法律依据和上位法支撑”[22]。最后,在价值统合维度,宪法价值化为基本价值秩序的产生提供了实质理由[23],在基本权利层面确立个人信息受保护的价值,为个人信息保护基本价值秩序统一和平衡提供了支点,能够统合关于个人信息保护的公私法价值,化解公私法的理念冲突。

(三)权利簇的具体权利:私法层面的个人信息权利

私法层面的个人信息权利表现为双层架构,包括基于自决权益、隐私权益等本权权益形成的“本权权利”(6)“本权权利”是指法律规定的特定权益的主体所享有的受法律保护的特定利益。参见王利明:《民法总则研究》,中国人民大学出版社2018年版,第401页。和为保护本权权益形成的“工具性权利”。

1.基于个人信息本权权益的权利。个人信息中最重要的本权权益是隐私利益和自决利益,《民法典》和《个人信息保护法》通过确认上述利益实现了对个人信息的周延保护。

第一,个人信息自决权。自然人支配、决定自己的人格要素不是要将其当作工具,也不是要像财产权一样利用、处置和支配,而是自己决定自己人格尊严如何被尊重的具体表现。实践中存在自决权徒有虚名、流于形式的客观事实,如个人的知情、决定仅表明我知道你在使用我的数据,而非我充分判断了处理收益和风险并愿意接受[24]。但是,正因为个人信息自决实现困难,才要为之斗争,而不是就此放弃。将个人信息自决利益作为上位概念,进一步拆解为其他更为具象化的利益,将个人信息自决权具体化为不同的具体权利,形成以个人信息自决权为核心的权利框架就是可行路径。个人信息保护法保护的本权权益主要是自决利益,既可以通过公法提供的保护规则加以实现,也可以通过私人救济来实现,处理者侵害信息主体自决利益造成损害的,应以《个人信息保护法》第69条为请求权基础。

第二,隐私权。法律应当保护自然人的私密信息不被他人所知或干预的利益,以保护其作为社会成员的尊严和自由。并不是所有的个人信息都具有隐私利益,只有信息主体不愿为他人知晓的个人信息才具有隐私利益,如生物识别、金融账户、行踪轨迹等信息,这些个人信息承载的隐私利益主要通过隐私权保护。隐私权是一种消极权利,司法实践表明,个人信息的披露、使用等行为是否构成侵犯隐私权,应当视行为人对这些信息的取得方式、披露方式、披露范围、披露目的及披露后果等因素综合认定。个人信息隐私不同于一般个人隐私之处在于,私密个人信息的隐私利益同时是个人信息权益的一部分,因此,一般隐私利益的侵权损害赔偿以《民法典》第1165条为请求权基础,而侵害私密个人信息隐私利益造成损害的,应以《个人信息保护法》第69条为请求权基础。

2.保护个人信息本权权益的权利。欲在司法实践中真正实现信息主体的自决权益,必须赋予其相关辅助权利。近年来国内外法律规范为个人信息自决权益的实现提供了一系列更为具体的权利,且这些权利在司法实践中皆可诉,如知情权、查阅权、可携带权和删除权等权利,此类衍生性权利与个人信息自决权这一“源权利”一脉相承。为保障个人信息本权权益中自决权益的实现,《个人信息保护法》明确规定了信息主体在个人信息处理活动中的一系列权利,这些具体权利都是保证个人信息本权权利实现的法律手段。一是知情权、决定权、限制权、拒绝权。个人对其个人信息处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,包括信息主体在自动化决策中享有决定权和拒绝权,个人在已公开个人信息的处理中享有拒绝权。二是查阅权、复制权、解释说明权、可携带权。个人有权查阅、复制其个人信息,有权要求处理者解释说明其个人信息处理规则、对个人权益有重大影响的自动化决策,有权请求将个人信息转移至其指定的处理者。三是更正权、补充权、删除权。权利人发现其个人信息不准确或者不完整的,有权请求处理者更正、补充,作为救济性权利,更正权、补充权和删除权能保证自然人参与到个人信息处理活动中,纠正被处理的个人信息中存在的错误,避免出现侵害其合法权益的处理结果。删除权对处理者的利益干涉较大,其行使存在限定条件。四是承继权。“唯有当个人能够信赖其生活形象于死后仍受维护,不被重大侵害,并在此种期待中生活时,宪法所保障之人的尊严及个人在生存期间的自由发展始能获得充分的实践。”[25]299《个人信息保护法》规定的自然人在个人信息处理活动中享有的权利,由死亡的自然人的近亲属行使。

无论处理者基于何种合法性基础处理个人信息,个人均可行使上述以保护自决权益为目的形成的工具性权利。从功能上看,赋予信息主体类似于所有权权能的工具性权利,能够保障信息主体“自决利益”的实现,强化其对个人信息的控制力,推进个人参与数字社会治理,使处理者可持续地、合乎道德地使用个人信息数据[26]。这些工具性权利旨在保障信息主体控制与自决的实现,并非传统民法意义上的支配权,更倾向于为请求权性质的权利,即霍菲尔德权利体系中的claim,与这些请求权相匹配的是处理者保障这些权利实现的义务,即霍菲尔德权利体系中的duty。为保障具有“请求权”性质的工具性权利实现,《个人信息保护法》规定了一系列处理者的义务性规则。为兼顾处理者利益和公共利益,该法还对工具性权利进行了必要限制,同时规定了处理者“建立个人行使权利的申请受理和处理机制的义务”和“拒绝请求的说明义务”,以保障信息主体顺利行使工具性权利。这种逐层递进的制度设计模式既能保护个人信息利益,又能兼顾个人信息的合理使用需求,为处理者处理个人信息划定了边界[27]。当处理者不履行法定义务时,信息主体可依《民法典》第995条规定的人格权请求权请求救济,造成损害的,信息主体可同时适用《个人信息保护法》第69条请求损害赔偿。

结 语

数字时代,确立个人信息权体现了对人的自主和尊严的尊重,体现了对信息主体与处理者之间存在的实质不平等的纠偏。基于权利利益论,可从“存在需要他人采取行动满足的个人信息利益”和“该利益构成要求他人从事某种行动之义务的充足理由”两方面,结合个人信息处理活动对自然人的具体个人信息权利进行分析和证立,促进个人信息权利生成。个人信息权是动态的个人信息权利簇,由满足不同利益需求的不同个人信息权利共同构成,个人信息权利簇的理论、价值和规范基础是宪法层面的个人信息基本权利,个人信息权利簇的具体权利表现为《民法典》《个人信息保护法》以及其他法律规范中的不同个人信息权利。个人信息权利簇的建构和发展对于统筹个人信息权益保护与合理利用、防范和规制数字风险、推进整个社会的权利保障、完善数字社会治理具有重要意义。