王锡锌:个人信息国家保护义务及展开
王锡锌内容提要:个人信息保护法体系建构的基础是国家在宪法上所负有的保护义务,该义务对应着“个人信息受保护权”,而不是“个人信息权”。将个人信息作为私权客体的权利保护模式,在规范逻辑、制度功能等方面存在局限;应以“个人信息受保护权—国家保护义务”框架建构个人信息的权力保护模式。在数字时代,个人信息国家保护义务意味着国家不仅应履行尊重私人生活、避免干预个人安宁的消极义务,还应通过积极保护,支援个人对抗个人信息处理中尊严减损的风险。基于控制“数据权力”这一侵害风险源的需要,国家一方面应避免过度侵入个人信息领域;另一方面应通过制度性保障、组织与程序保障以及侵害防止义务的体系化,营造个人信息保护的制度生态。
关键词:个人信息受保护权;国家保护义务;工具性权利;个人信息保护
一、问题提出及界定
个人信息保护法体系建构是大数据时代重要命题。在我国,伴随着已颁布实施的《民法典》《网络安全法》以及即将出台的《数据安全法》《个人信息保护法》的立法进程,围绕个人信息处理中相关主体的权利义务配置,学界从不同角度进行了探讨。观察现有讨论可以发现,对个人信息保护的必要性问题已有共识;讨论的争点聚焦在什么是个人信息保护的权利基础,以及通过何种法律路径进行保护。具体而言,争论点集中于两个方面:一是在权利基础上,私法上的“个人信息权利(益)”是否成立;二是在保护路径上,个人信息应通过私法保护还是公法保护抑或综合保护。目前来看,有论者侧重于从民法保护路径展开探讨,有论者则侧重于公法与消费者法保护路径的探讨,也有论者敏锐地提出综合保护路径的主张。
上述两个问题在逻辑上是紧密联系的:个人信息保护的权利基础,是讨论该种权利(利益)保护路径或方式的逻辑前提,是建构个人信息保护法律制度体系的基石。个人信息保护的权利基础为何?为何保护?谁来保护?针对何种威胁而提供保护?只有在厘清这些问题的基础上,方可更好地回答如何保护的问题。
本文认为,个人信息保护的宪法基础是国家所负有的保护义务。国家负有对公民人格尊严和隐私、安宁进行保护的义务;随着信息时代的来临,该种义务扩展到对个人信息相关权益的保护。个人信息国家保护义务对应着“个人信息受保护权”这一基本权利,但此种权利并非民法意义上的权利,而是国家履行其保护义务的价值基础与宪法依据,其功能主要在于对抗和缓解“数据权力”对个人信息造成的侵害风险。这种权利并不等于公民对其个人信息拥有排他性的、支配性的权利。从功能上讲,相比于“个人信息权”的保护路径,“个人信息受保护权”通过强调国家保护义务及其落实,更有利于个人信息保护的目标实现,因为面对数据平台和国家机关所拥有的强大“数据权力”(data power),通过私法路径和方式,很难为个人信息提供充分、全面和有效的保护。
二、个人信息国家保护义务的概念提炼
(一)个人信息保护的两种基本模式
在既有研究中,不少论述将“个人信息权益”作为个人信息保护法体系的概念起点,而个人信息权益的法律定性,本质上又是应采用何种模式进行保护的逻辑起点。如何进行个人信息保护?对此问题的回答可类型化为“权利保护”与“权力保护”两种基本模式。“权利保护”模式将个人信息视作私权客体,试图构建一种对抗不特定主体的个人信息权;“权力保护”模式则强调在个人信息处理活动中,国家负有保护个人合法权益的义务;相应地,个人信息保护制度倚重的并非赋予个人针对其信息的私人权利,而是国家设定的监管与合规框架及配套执法机制。
主张“权利保护”模式的观点在我国民法典编纂过程中达到一个高峰。诸多论者尝试结合域外经验,证成个人针对个人信息的民事权利。其中一种被许多学者接受的观点认为,欧盟与欧洲国家的立法与司法实践将个人信息保护建立在个人享有的民事权利基础上,即“个人信息权”或“个人信息自决权”这一排他性的、带有人格属性的私权,进而主张我国应以民法权利的框架展开个人信息保护的规则设计。在此基础上,持这一观点的学者又进一步针对原《民法总则》第111条以及《民法典》第1034条规定的究竟是民事主体针对个人信息享有的权利还是利益、此种权益的属性究竟是人格权、财产权、前两者的复合还是新型民事权利展开了探讨,并将信息处理者的义务理解为不得侵犯私法主体享有的个人信息民事权益的体现。由此,上述研究形成了“个人信息民事权—个人信息处理者义务”这一民事权利义务结构的分析框架。
然而,从规范逻辑、制度功能、域外经验等维度观察,将个人信息私权化的路径缺乏相应的支撑。首先,从权利本身的规范逻辑上看,基于个人信息交互性、分享性、公共性的特点,其难以成为民法所有权逻辑下一个排他性的个人控制的客体。一旦认为个人可以“基于自己意思自主地决定个人信息能否被他人收集、储存并利用”,将妨碍基本的社会交往,也无法释放信息的公共价值。同时,个人信息具有动态性、场景性的特征。随着大数据技术的发展,个人信息可识别性和相关性标准的边界不断扩张。静态的民事权利客体的理念无法有效回应这一趋势,强行将个人信息私权化也会造成民法的体系混乱。
其次,从制度功能上看,依托于意思自治、主体平等基础的私权保护路径无法应对强大的私人机构以及国家机构处理个人信息时的非对称权力结构。认为“无论国家机关处理自然人的个人信息,还是非国家机关处理自然人的个人信息,也无论处理者处理自然人个人信息的目的是行政管理、公共服务还是营利目的,处理者与自然人都属于平等的民事主体”的观点,忽视了个人与信息处理者之间明显的不平衡关系。正如张新宝指出,面对强大的个人信息处理者,抽象的民事权利规定容易被虚化,沦为“纸面上的权利”;个人信息保护的有效性必然有赖于国家规制,实践中站在维权第一线的其实往往是监管者而非个人。
最后,从比较法的经验观察,认为欧洲确立了民法上的个人信息权的观点,其实属于对域外经验的误读。实际上,欧盟个人数据保护的权利来源是宪法性权利,而非民事权利。欧盟数据保护专员公署(European Data Protection Supervisor)亦明确指出:欧盟数据保护规则并非赋予个人针对其个人信息排他性的民法权利,那种认为个人针对其个人信息享有“所有权”或“决定权”的观念是一种误读。而在美国法上,虽然个人信息保护在学理上被纳入“信息隐私保护”的范围,但主要的保护路径依然是国家在教育、医疗等特定领域直接立法保护,以及允许企业制定隐私政策但经由监管机构在个案中调查审核的模式。这些规则主要针对商业或专业处理机构,并不适用于一般的私主体。可见,美国亦不存在通过立法将个人信息私权化的现象。实际上,我国立法者对个人信息保护私权化的态度也是极其审慎的。不论是《民法典》还是《个人信息保护法(草案)》,均未规定个人针对个人信息享有民事权利,而是强调“个人信息受法律保护”。
在“权利保护”模式难以证成的情况下,已有学者就“权力保护”模式下的制度构建展开了探讨。例如,丁晓东提出,应当从行为主义与场景主义的角度对个人信息处理展开规制。又如,周汉华提出,应当强化公法上的个人信息控制权,建立权利控制与激励机制并行的多元治理机制。但这些研究更多集中在立法和执法的操作层面,忽视了在作为法秩序基础的宪法层面上对国家的角色与义务进行理论建构。个人信息保护权属基础不明、法律关系模糊的问题依然存在。如何对“个人信息权益”这一支点进行概念演绎以编排《个人信息保护法(草案)》中“个人在个人信息处理活动中的权利”“个人信息处理者的义务”“履行个人信息保护职责的部门”等关键概念间的逻辑关系,是个人信息保护法体系建构必须回应的问题。此时,对宪法上“个人信息国家保护义务”这一概念展开探讨显得尤为必要。
(二)个人信息国家保护义务溯源
从比较法视角看,在宪法层面确立个人信息国家保护义务的做法来源于欧盟。1953年生效的《欧洲人权公约》第8条为欧洲国家的个人信息保护提供了初步规范依据。之后,欧洲委员会通过了第(73)22号和第(74)29号决议,提出了保护私营部门和公共部门自动化数据库中的个人数据的原则。但这两项决议只具有倡导性,并未直接对各国设定法律上的国家保护义务。直到1981年,《有关个人数据自动化处理中的个体保护公约》即《第108号公约》成为全球范围内有关个人信息保护的第一份具有法律约束力的国际性文件。《第108号公约》建立了有关个人数据保护的基本原则以及各缔约国之间的基本义务,并将对个人基本自由与权利的保护作为缔约国履行条约规定的国家义务的出发点。随后,葡萄牙、奥地利、西班牙等欧盟成员国纷纷在宪法中确立了个人信息受保护的基本权利。
步入21世纪后,在宪法层面确立个人信息受保护的基本权利与国家相应的保护义务,渐成欧盟成员国的价值共识。2000年制定、2009年生效的《欧盟基本权利宪章》(以下简称《宪章》)第8条第1款规定:“任何人都享有对关乎自身的个人信息的受保护权利”。《欧盟运作条约》第16条第1款亦采用了“个人信息受保护权”的表述。从规范逻辑上看,由于《宪章》和《欧盟运作条约》对所有欧盟国家都具有法律拘束力,个人信息受保护权在欧盟层面作为一项基本权利,调整的是个人与国家之间的法权关系。在法权结构上,这彰显了宪法层面对国家提出的规范要求,而非旨在建构个人针对其信息的“个人信息权”(the right to personal data)。
由此,个人信息受保护权成为欧盟成员国履行个人信息国家保护义务的宪法依据与价值基础,个人信息国家保护义务则成为个人信息受保护权的功能体现与其所导向的规范要求。国家有义务最大化地实现宪法的规范意图——即促进个人信息受保护权的实现。“个人信息受保护权—国家保护义务”的法权结构能够有效促进国家履行其在个人信息处理中对个人的保护义务,具体表现为以下三个方面:
第一,指引作用。个人信息国家保护义务凸显和强化了国家的任务、目的和理念。相关国家权力的配置和运行,都应当有利于个人信息受保护权这一宪法的价值决定得到保障和实现。即使没有赋予个人针对个人信息的支配权,国家也可以通过立法将个人信息保护规则具体化,对个人进行周延的保护。例如,1995年欧盟议会与欧盟理事会通过的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(第95/46/EC号欧盟指令,下文简称《指令》)直接以指令而非条约的形式要求各国完善数据保护立法,以落实数据处理领域的国家保护义务。2018年生效的GDPR则更进一步对欧盟各成员国具有直接适用效力,无需成员国再自行转化为国内法。GDPR同时建立了一个强有力的统一解释机制,以确保各国适用GDPR时均能最大化地实现个人信息受保护权,因此更为直接地贯彻了个人信息国家保护义务的要求。
第二,整合作用。个人信息国家保护义务可以整合和控制国家公权力的各种作用方式,使个体基本权利在相互协调之下达到整体效用的最大化,维护社会共同体的整体法益。相较于将个人信息作为私权客体的“纸面上的权利”而言,国家可以对个人采取消费者保护、行政法保护、刑法保护等多种方式,综合运用不同工具开展个人信息保护。同时,由于个人信息具有交互性、分享性的特点,国家在履行个人信息保护义务时亦需要在不同的利益、权利和基本自由之间保持谨慎的平衡。正如《指令》立法目的所显示的,除了保护个人信息之外,也有促进数据市场统一与数据流通的目的,这体现了欧盟立法者尝试在个人信息处理中兼顾个人保护与信息自由流通的努力。
第三,评价作用。国家权力的参与虽然有服务于个体权益与公共福祉的一面,但同时也意味着国家对社会和市场的干预。因此需要从宪法层面确保国家权力在理性化、法治化的轨道上运行。一方面,需要明确宪法上的规范要求,避免国家权力消极不作为;另一方面,也需要防止国家以保护为名侵害公民的基本权利。这便要求相关国家权力的行使具有正当理由和合理界限,避免滑向国家控制过度及对社会的侵蚀。个人信息国家保护义务正是评价相关国家权力活动的宪法标尺,违反或未尽到国家保护义务的国家机关将承担相应的法律责任与政治责任。也即是说,国家权力应当接受合宪性审查机构的审查与监督。其中的审查重点则在于立法者是否通过立法妥善地尽到了实现个人信息受保护权的职责。例如,在2016年的Tele2SverigeAB案中,欧盟法院明确指出:《宪章》第8条所保障的是个人“获得国家保护个人信息的权利”,因此“剥夺由独立机构审查国家立法是否遵守欧盟法律所保障的个人信息保护水平的救济方式,将影响到个人信息权利的实质。”又如,在2015年的Schrems案中,欧盟法院认为,《宪章》第8条要求欧盟成员国必须确保个人数据在欧盟境内外都得到高水平的保护,因此需要对相关的数据处理立法规定进行严格的审查。可以说,欧盟权力机关和成员国权力机关都有实现《宪章》第8条的国家保护义务的职责。与其他主权国家仅由国内合宪性审查机构进行合宪性评价与纠偏的单层国家保护义务机制不同,这是欧盟特殊主权结构下的双层国家保护义务。
三、个人信息国家保护义务的内涵
“个人信息受保护权—国家保护义务”是一体两面的概念,本质上是“基本权利—国家义务”体系在个人信息保护领域的运用。个人享有的个人信息受保护权必然要求国家对个人在信息处理领域中的个人进行保护与支援。在此语境下,确立与澄清个人信息国家保护义务的内涵,便需要对个人信息受保护权的价值基础、主要类型与权利结构进行识别与辨析。
(一)个人信息国家保护义务的两种类型
传统“基本权利—国家义务”结构的理论根据是自由主义和个体主义。但从信息流通普遍化的非个体主义视角看,要全面理解个人信息国家保护义务的规范内涵,还必须考虑其客观功能和整体社会效益。因此,可以将个人信息国家保护义务分为消极义务与积极义务两种类型,并结合欧盟经验考察其成因与具体内容。
1.国家的消极义务与个人信息受保护权的防御权功能
基本权利最原始的机能是防御权,即公民对抗国家不当干预其自由和侵害其财产的权利。当国家试图侵害被基本权利所保障之法益时,公民可以直接按照基本权利规范来请求国家不得干预或侵害。该种要求停止干预或侵害的请求权机能,反射至国家一方,也就是国家身负不得侵犯的禁止作为义务。
自《欧洲人权公约》公布实施以来,欧洲人权机构长期将个人信息处理问题纳入《公约》第8条对于私人生活的古典自由权保护框架中,强调个人信息受保护权的防御权面向。在1997年的Zv.Finland案、2000年的Rotaruv.Romania案中,欧洲人权法院均认为:“个人信息的处理需要受到保护,以确保个人享有私人生活受尊重的防御权利。”正如欧洲人权法院在其发布的《欧洲人权公约第8条适用指南》中所指出的,在这一阶段,国家主要负有消极保护义务,其角色主要是尊重私人生活的安宁,避免侵害与干预,以一种静态观念厘清国家权力与个人自由的边界、让个人安然独处即可。此时信息处理者即使在处理过程中对私人生活造成了侵害往往也是单独、分散、非持续性的;法院的审查亦着眼于单次的侵入。这主要体现的是立宪主义立场下人性尊严的“不可冒犯性主张”。
依循这一理念,即使是个人信息受保护权被确立为一项独立的基本权利后,在消极义务的面向上,欧洲人权法院与欧盟法院也常常将个人信息受保护权与保护私人生活结合起来理解,强调国家机构应避免在个人信息处理的过程中侵害私人生活,并严格限定基于公共利益需要收集和使用个人信息的范围。亦即,国家一旦对个人信息进行处理就意味着对个人生活的干预,增加了监控的风险并引发公民的恐惧感。因此,国家机关处理个人信息的活动需要受到法律保留原则、法律明确性原则、比例原则等法治国原则的拘束。此时个人信息受保护权的主观面向往往会与宪法上的隐私权、通信秘密产生竞合。个人信息受保护权主观防御权功能的运用更多是体现出了数据处理活动相较于其他国家干预方式的特殊性,但在具体案件中一般需要结合其他基本权利进行理解和适用。
2.国家的积极义务与个人信息受保护权的客观法功能
虽然个人信息国家保护义务曾长期以消极义务为主要呈现姿态,但随着时间的推移,尤其是进入21世纪后,欧洲人权法院也开始了一定程度的转向,开始强调“在欧洲人权公约第8条的框架下,国家负有确保尊重私人生活的目的得以实现的积极义务”。其背后反映的变化,乃是现代社会中随着信息搜集、储存、整合、传播及处理方式的迭代革新,个人基本上难以从信息网络,尤其是电子化场景中抽身退出。传统“私人生活保护”所遵循的“权利具有绝对性质,信息获取便推定违法”的古典自由权逻辑在许多场景下已不再适用。相较而言,个人信息受保护权在大数据时代的基本假设是,个人信息本身便具有一定的交互性与公共性,个人信息处理在现代社会中是必要的。尽管应考虑到某些条件和保障措施,但对个人信息的基本推定是“可以被处理”。而真正需要国家介入的关键在于:个人此时面对的不是普通的私人主体,而是强大的、组织化的信息处理机构;加之信息时代下个人信息处理往往是动态化、复杂化、风险不确定的过程,因此个人难以在参与及做出选择的过程中保持清醒、警惕、知情及自治。为使个人免于受到信息处理机构的支配,就需要国家积极保护相关个人。由此,个人信息受保护权变成了一项积极的权利,具备了客观价值秩序(客观法)的功能,即国家必须创造和维护有利于实现个人信息保护的制度环境。在大数据时代,个体只有通过国家的积极保护才能充分实现其个人信息受保护的权利。该种权利的实现要求国家积极保护,提供有效的制度供给,帮助个人对抗大规模、持续化数据处理中人格尊严减损的风险。这也是个人信息受保护权在欧盟层面作为一项独立基本权利的真正价值所在。欧洲数据保护专员公署于2015年出台的《迈向新的数字伦理:数据、尊严和技术》报告在评析这一权利逻辑变化时亦明确指出:“个人信息保护与个人的个性发展有着内在的联系。更好地尊重和保障人的尊严,可以制衡现在个人所面临的无处不在的监视和权力不对称,这是新时期欧盟数据道德的核心。”该报告进一步确认“个人信息受保护权的主要目的是作为防御大规模个人信息处理对尊严潜在侵蚀的补充力量”。从这个意义上看,个人信息保护规则所保护的并非个人信息本身,也非个人针对信息享有的民法人格权,而是个人信息处理活动中可能受到威胁的相关个人的合法权益,亦即《宪章》第1条规定的“人性尊严不可侵犯”所具体指向的个人自治以及随之得到保障的不歧视(平等)、身份识别(信息的正确与完整性)、安全与财产利益以及社会信任等附加的实体价值与其他基本权利。个人信息权益就是基于个人信息受保护权实现而获得保障的各种相关法益。因此,在大数据时代,个人信息国家保护义务的价值基础便在于:在政府或商业组织积累和使用大量数据的场景下,面对个人与信息处理者之间存在的持续性的不平等关系,需要国家转变消极的“守夜人”角色,通过强有力的规制手段保护处于弱势地位的个人,避免个人由于被工具化而丧失主体性地位。个人信息受保护权联结的是对以尊严为核心的基本权利与实质价值的保护。
同时需要注意的是,在欧盟法体系内,基于以尊严为核心的基本权利规范还有其他重要的侧面(如言论自由与公众知情权),国家保护义务的履行必须符合《宪章》的整体价值秩序。国家在保护个人在信息处理过程中免于受支配的同时,亦需协调言论自由、公众知情权等其他基本权利和数据自由流通、技术创新、建立统一的数据市场等重要目的。
3.个人信息受保护权在我国宪法上的安顿
个人信息国家保护义务在我国宪法上的首要根据便是《宪法》第33条第3款规定的“国家尊重和保障人权”。对应前述两种类型的国家义务,“尊重”侧重国家对私人生活的不得侵犯,是个人信息受保护权主观防御功能与国家消极义务的体现;“保障”则更侧重个人信息受保护权的客观方面功能,其中就包含了要求国家积极通过立法和其他公权力行为,以保护基本权利主体在个人信息处理中免于受支配或陷入信息处理者制造的危险或风险的含义。这两种类型的义务又可以被统摄于《宪法》第38条对公民人格尊严的保护之中。
实际上,我国宪法基本权利规范体系中的诸多内容都可能在个人信息处理过程中遭受信息处理者的侵害。例如,大规模信息泄露导致的财产损失、名誉损害的风险;算法自动化决策下,公民劳动权、受教育权所面对的歧视风险;网络平台运营者和服务提供者对通信自由与秘密的监测与传播风险等等。这些个人信息处理活动中所蕴含的、超出传统信息流时代的系统性风险,均需要立法者予以充分评估与管控。
我们需要注意,基本权利的保障与实现有赖于具体的社会政治条件,在大数据、云计算、人工智能技术不断迭代更新的时代,社会本身已经变成诸多信息技术的真实演练室,公民个人也直接置身于信息技术宰制的风险之中。因此,在我们这个观念上强调国家对人民积极扶助、救济与保障的社会主义国家,以宪法为基础,建立个人信息受保护的法律框架与国家保护义务体系,是保障公民免于被支配,促进人格发展的应有之义。
由此而言,即使我国《宪法》并未对个人信息保护作出明确的规则表达,但基于基本权利条款的上述规范要求,从《宪法》第33条第3款以及38条延伸出个人信息受保护权的内涵并确立宪法上的个人信息国家保护义务,进而对国家权力进行妥当的指引与评价,对于保障公民人格尊严与相关基本权利具有现实的必要性。
(二)个人信息国家保护义务的规范结构
基于个人信息受保护权实现的宪法规范要求,个人信息国家保护义务的规范逻辑结构由“侵害来源”和“保护方式”两部分构成,也就是针对何种侵害源的保护、如何进行保护的问题。以下就国家应当针对哪些侵害来源承担保护义务、通过哪些途径展开保护义务进行扼要分析,以充实个人信息国家保护义务的法理框架。
1.个人信息国家保护所针对的侵害风险源
在现代社会,信息处理活动很大程度上决定了人们的选择空间与可能获得的结果。亦即,数据权力(data power)已经成为一种广泛而普遍的社会事实。当下诸多具备大数据挖掘能力的专业或商业机构具有以下特征:“掌握庞大的数据量、超乎常人想象的收集速度、多元的数据种类、潜在的详尽范围以及强人工智能技术下的数据关联与整合能力。”可以说,在金融、教育、医疗、社会保障等各个领域都已形成“数据依赖”的时代,个人信息的利用与保护不仅关涉个体,还与整个社会的权力结构及运行机制相关联。大数据一方面增进了个人生活便利和社会福祉,另一方面也导致了社会权力结构的变化。以国家机关、其他履行公共职能的组织、国内外大型平台等“准官僚化”机构为代表的数据权力主体大规模地集聚并利用个人信息来塑造与调整个人的行为,成为最主要的侵害风险源。首先,这些机构的信息处理行为往往伴随着监控、歧视、支配个人的风险,信息处理者可以通过挖掘信息形成特定的“人格画像”,从而对私人的决策进行隐形的控制与干预。其次,个人信息的聚沙成塔导向了“数据垄断”下信息处理者与个体之间高度不对称的权力结构,这使得信息处理机构对个体造成的压迫感愈发强烈,增加了个人的无力感,甚至引发“寒蝉效应”。
再次,这种数据累积性效应不仅导致个人无法判断风险发生的时间点、危害程度与后续效应,也使得事后的损害认定愈发困难、个人往往难以独自开展私法救济。最后,在制度环境与技术条件不完善的现下,数据处理活动中的疏失、泄露等信息安全风险及伴随的衍生损害亦日益加剧,个体的不安全感不断上升。
可以说,面对这些来自数据权力的侵害风险,希望通过象征性的、形式化的个人自主决定和支配来进行个人信息保护的私法机制,看似体现了对个人主体地位的尊重,实际上是将个人的选择置于数据权力的控制之下,缺乏制衡能力与信息资源的个人并无法凭借“信息自决”来实现对上述侵害风险的防御与保护,以事后救济为主的“权利模式”对于控制大规模、持续性的信息处理风险而言显得捉襟见肘。只有通过国家保护义务这一兼具公共强制与理性治理的机制,才能有效防范数据处理风险,使个人与个人信息处理者之间构成合理的制衡状态,从而避免个人时刻处于被数据权力支配的恐惧之中。这构成了国家落实个人信息保护义务的必要和正当理由。
因此,个人信息国家保护并非旨在支援个人对抗所有社会主体,而是有针对性地防范特定风险源。无论是GDPR所规定的“数据控制者”和“数据处理者”,或是我国《个人信息保护法(草案)》规定的“个人信息处理者”,都排除了“纯粹个人与家庭生活中的信息处理活动”。个人信息保护所针对的侵害来源,是与普通个体之间存在持续性不对称关系、可能对个人信息处理中的相关个人进行支配或压迫的数据权力,其中既包括直接控制个人信息的主体,也包括接受委托处理个人信息的主体。具体包括以下几种类型。
首先,企业等商业性组织代表的“准数据权力”。私营部门的规模化个人信息处理活动是最主要的侵害风险源之一。正如JackBalkin所指出的,大型平台和企业对个体尊严构成了巨大的威胁,个体既无法单独抵抗,也无法在这个依赖信息流通带来便利与福利的环境下抽身而出。因此,掌握大数据运用能力与算法技术的商业组织是一种“准公共权力”性质的机构。这种风险源可结合企业的收入、信息收集量、信息挖掘能力进行界定。例如,美国《加州消费者隐私法》便将受管辖的企业范围限定在年收入超过2500万美元,或者为了商业目的而收集50000条以上个人信息以及年收入的50%以上为销售消费者个人信息所得的公司。
需要注意的是,个人一般情况下无法成为侵害风险源。这是因为,个人信息受保护权的规范目的是,在承认数据技术对于信息分享的积极意义上,试图抵消或纠正不正当的数据利用方式带来的冲击,而非通过控制数据流动去影响数据的分享。此时如果把个人直接纳入到法律规定的信息处理者中,就会导致执法对象的泛滥、信息流通受限,偏离制度设计的初衷。所以,原则上国家保护义务所针对的主体不应包括个人,除非有迹象表明其拥有大规模、持续性数据处理的能力。其次,履行公共职能的主体所代表的“公共数据权力”,其中除了国家机关外还包括所有提供公共服务或从事公共管理的组织。对于国家机关处理个人信息,我国《个人信息保护法(草案)》进行了初步规定。然而,公共企事业单位和国家机关一样,也是管理国家经济、文化、社会事务的重要平台。许多具备资金、人员、技术的公共企事业单位基于公共服务或管理之需,也可能展开大规模、持续化的个人信息处理活动,因此不应被排除出个人信息保护法的监管范围。此外,其他并非公共企事业单位,但具有公共性或者公益性的组织,如慈善组织,也应被纳入监管范围。最后,域外组织处理个人信息的风险。由于个人信息处理规则适用于一国主权范围内所有自然人以及信息处理活动,因此个人信息国家保护义务在现实中所需处理的问题不仅包括如何规范国内各种个人信息处理活动,还包括日益广泛的跨国数据传输和处理中的保护。《个人信息保护法(草案)》与GDPR都针对个人信息跨境传输作了特别规定,这也是国家积极保护义务在制度层面的投影,也即是说,国家保护义务实际上具有了某种意义上的域外效力。
2.控制侵害风险的基本路径
基于对数据权力这一侵害风险源进行控制的需要,国家应从不同路径展开其保护义务。
一方面,国家需要意识到,其自身也是一个侵害风险源,应尽可能减少和避免对公民私人生活的干预与监控。在大数据时代,主要挑战是如何将“监控国家”之实践(surveillan cestate)纳入法治框架。“监控国家”表现为政府基于国家安全、预防犯罪与社会管制的考虑,通过通讯技术、摄像头监控、网络流量监测等方式,对个人的生物、行为等信息进行采集与处理,并用于执法、监管和风险控制。例如,公共区域图像采集、人脸识别、行程轨迹追踪等就是典型的监控工具。虽然监控技术的应用和大数据驱动的数字化治理有助于精准、智能化地预防和应对不确定风险,但同时也会带来过度监控风险。如果不能在法律上明确和强调国家的消极义务,滥用监控工具的风险就会成为现实危险。落实国家消极保护义务,需要厘清国家进行个人信息收集与处理的负面清单。在这方面,《民法典》第1039条禁止国家机关、承担行政职能的法定机构及其工作人员非法提供个人信息、《个人信息保护法(草案)》第27条关于“在公共场所安装图像采集、个人身份识别设备”等规定,都体现了国家在个人信息保护方面的消极保护义务。
另一方面,《个人信息保护法》的制定过程更多贯彻了个人信息受保护权的客观法功能所指向的积极义务,这要求国家针对数据权力这一侵害风险源而提供积极保护。例如,《个人信息保护法(草案)》第11条要求“国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为”;第58条规定“国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准,推进个人信息保护社会化服务体系建设”等,都是国家积极义务的明确体现。若是从体系化视角观察国家积极义务的实现途径,基于客观法功能导出的国家义务包括制度性保障、组织与程序保障、保护公民免受第三人侵害的义务(侵害的防止义务)这三项基本要求。也就是说,国家权力需要对大数据时代下的个体人格和尊严提供制度性保障和秩序担保。
在这个意义上,个人信息国家保护义务不仅构成立法机关建构个人信息保护法体系的原则,也构成行政权和司法权在执行和解释法律时的上位指导原则。从国家不同权力分支的任务来看,个人信息国家保护义务的不同面向并非彼此独立、互不联系,而是需要国家在立法、执法与司法中进行统筹协调。首先,个人信息国家保护义务直接约束立法者,国家需要综合不同的部门法工具来制定专门的法律,注重具体立法技术与制度选择的多元化、灵活性与体系性,以有效提供个人信息受保护权得以充分实现的诸项条件,并为数据技术和产业发展的政策目标提供广阔的容纳空间与统筹可能。其次,国家保护义务也约束行政权和司法权。具体来说,第一,监管者在履行保护职责、进行职权裁量的过程中应时刻以个人信息受保护权作为其考量因素,运用各种监管手段来促进和保障基本权利的实现,并在日常执法中实现精细化调整与理性治理,兼顾对产业发展的引导和推动。第二,司法机关对监管部门的相关行为(如监管机构不履行保护职责或履行保护职责不适当)进行审查时,也应依据基本权利保护的标准来监督保护义务是否有效履行,控制“保护不足”或“保护过度”的情形。第三,在对非国家机关侵犯个人信息的活动进行审查时,裁判者在适用法律的过程中也应着眼于个人信息处理过程中不对称权力存在的事实,不能简单地将民法所设想的主体平等、意思自治的民事主体关系直接套用到个人与信息处理者的关系结构之中。
上述关于国家保护义务规范结构的分析,有助于我们对《民法典》和《个人信息保护法(草案)》中相关概念及其关系进行符合逻辑的诠释。从基础概念看,《民法典》第1034条规定的“自然人的个人信息受法律保护”并非确立一项私法权利,而是宪法上个人信息国家保护义务在具体法律中的规范表述,因为制定与实施法律是国家保护义务履行的主要方式。“个人信息权益”,其实是个人信息处理活动中可能受到数据权力威胁的、需要国家保护的合法权益;“个人信息权益不受侵害”,则意味着与个人信息受保护权相关的各种法益受国家保护。从具体规定观察,“个人在个人信息处理活动中的权利”“个人信息处理者的义务”“履行个人信息保护职责的部门”等概念,则来源于国家保护义务履行的不同方式,对此,下文将结合国家保护义务的具体落实途径而展开。
四、个人信息国家保护义务的展开
个人信息国家保护义务的展开和落实,是一个综合不同法律技术与制度工具的系统过程,需要国家统筹协调不同部门法工具,吸纳多元主体参与,兼顾对个人信息的消极保护和积极保护。
(一)消极保护义务的落实
在传统上,消极保护义务所指向的个人防御权要求国家不得侵入个人信息领域。但在以大数据和信息技术广泛应用的“信息国”时代,以对个人数据的采集和处理为核心的“监控”已成为一个普遍事实。在这个背景下,落实国家消极保护义务的关键,并非禁止国家使用监控等数据处理技术,而在于强调监控手段运用的价值理性和工具理性。监控(surveillance)是在传统安全观念和治理手段基础上,为回应复杂、多样的安全风险而孕育的权力和技术工具,在反恐、传染病监控、自然灾害和市场风险、公共安全等领域已普遍使用。但数据监控工具如果不能被有效控制在以宪法为根基的法秩序之内,则极易被滥用,甚至导致工具的“反噬效应”。因此,不能仅关注监控的有效性,应当在消极保护义务的价值规范要求下,考虑工具有效性和私人生活安宁之间的平衡,具体可从立法规则表达、过程控制与救济机制三个层面进行落实。
在规则表达层面,应对公共监控的权限设定进行严格控制。对哪些事项可以监控?哪些主体有权监控?这涉及到监控权限设定和配置。应根据不同信息与私人生活安宁之间的接近程度(敏感度),将个人信息的采集和处理区分为绝对法律保留与相对法律保留事项,并依此进行设定权的配置,逐步清理超越设定权限的法规范。同时,规范完善的过程中需要对“为履行法定职责处理个人信息”“公共安全需要”等不确定法律概念进行要素的列举、提炼及类型化界定,避免监控权扩张。例如,在Marper案中,欧洲人权法院以“相关立法中‘预防犯罪’的措辞相当笼统,可能引起宽泛解释”为由,判定英国立法没有履行消极保护义务。
在过程控制层面,应注重将与个人信息监控和处理相关的政府决策和决定透明化。尤其是在处理技术复杂、处理流程持续的场景下,单纯依靠抽象的法律规定难以使人产生稳定预期,故监控信息处理的透明度和说明理由显得尤为必要。具体而言,可以要求政府在启动监控行为前履行一定的信息披露和解释义务;在监控行为实施后履行报告、评估、纠正与删除义务,这既有利于监控权力的审慎行使,也有利于公共问责机制的展开。
在救济监督层面,个人得请求司法机关介入以审查公权力主体是否履行了消极保护义务,这是防御权的核心要求。这一要求在我国既有的法体系建设中还有待进一步完善。例如,《数据安全法(草案)》第22条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。依法作出的安全审查决定为最终决定。”这不仅明确排除司法救济,而且在审查主体、审查标准、审查程序上也不够清晰,可能导致安全审查权过度。又如,《个人信息保护法(草案)》第67条针对国家机关处理个人信息并未明确规定司法救济和国家赔偿,只笼统规定了国家机关内部监督。这些规定可能对个人防御权的行使构成过度限制,应在法体系建设中予以完善。
(二)积极保护义务的落实
1.制度性保障
国家首先需要建构个人信息处理的基本制度,设定个人与个人信息处理者之间的权利义务关系结构,
确保个人实质性参与信息处理过程,对信息处理者形成制衡,以充分实现权益保障目标,这便是个人信息国家保护义务的制度性保障面向。制度性保障课予国家建构和维护一套关于个人信息处理基本制度的“客观”义务。基于支援个人对抗数据权力的需要,立法机关有必要通过制度建构,赋予个人在信息处理中的工具性权利,同时设定信息处理者的相应义务与行为模式,从而建立起个人与信息处理者之间的制衡结构。由于数据处理者与个人在资源、技术等方面的明显不对称地位,个人单凭其自身力量将无法对抗数据权力的压迫和支配,因此,个人信息国家保护义务必然要求国家介入,提供一套制衡性的个人信息处理权利义务规则。
欧盟的数据保护立法以及我国《个人信息保护法(草案)》正是以制衡数据处理者权力为目标,通过赋予个人在信息处理中的知情权、访问权、携带权、更正权等具体权利,保障其在数据处理全流程,包括信息收集、存储、使用、传播、更正、删除等各个环节都可深度参与,以缓解个人面对信息处理者的无力感。相应地,信息处理者应当建立个人行使权利的申请受理和处理机制,同时需要遵守对个人信息处理的既定义务与程序要求。例如,确保信息准确、完整,处理信息需符合法定或约定目的,保证自动化决策满足公平合理等合规要求,从而形成有助于保障个人权益的行为模式。
可以说,制度性保障的实质是国家针对组织化、官僚化的信息处理者所建构的一套工具理性框架,其目的在于形成有效的制衡结构。正如欧洲数据保护专员公署所指出的那样,GDPR第三章规定的“数据主体的权利”实际上是在个人信息国家保护义务下,面向促进个人信息受保护权实现之目的,国家通过制定规则与采取监管措施“赋予个人对抗数据处理者的手段和工具”。在欧盟监管机关看来,这些权利有助于使数据处理者可持续地、合乎道德(即保障个体尊严)地使用数据,是保障个人不受数据权力支配的手段,因此具有工具价值。与此类似,我国《个人信息保护法(草案)》在第二章“个人信息处理规则”及第四章“个人在个人信息处理活动中的权利”中所规定的知情权、访问权、更正权、删除权、自动化决策拒绝权等,也是调整个人与信息处理者之间关系结构的工具性权利。
这些工具性权利与传统民事权利在逻辑上存在显著区别。首先,在权利的发生机制上,工具性权利并非由个人对其个人信息的占有和控制衍生而来,而是国家履行保护义务的结果;其次,在权利功能方面,工具性权利并非私权逻辑下以保障个人对其个人信息的占有、支配为目的,而是为了在数据处理中制衡数据处理者;最后,在权利保障方面,国家统筹多种法律责任机制,包括行政处罚、刑事追责以及民事追责,来延伸和落实国家保护义务。
应当指出,虽然赋予个人这些工具性权利的目的在于对信息处理者进行制衡,但这并不意味着个人享有针对其个人信息处理的排他性决定权。也就是说,这些权利并不等于“信息自决权”。立法者只是通过特定的制度设计保障个人在与其相关的个人信息处理活动中的发言、参与和选择,以抑制个人信息处理者的恣意和滥权,但并非赋予个人对其个人信息的实体性控制权。
从立法论的角度看,这些工具性“权利簇”,范围究竟多大、具体如何操作、例外理由如何设置(如同意的例外情形)、是否可以设定经济激励机制等问题,都需要由立法者加以界定,这属于立法者的形成自由,而非不言自明的、绝对的权利。事实上,在《宪章》起草的过程中,采用信息自决权概念的建议最终被否决,一个重要的理由便是担心这种权利定位会产生个人对信息处理具有绝对决定权的误解,阻碍信息的流通与分享。RobertPost教授亦指出:“《宪章》第8条指向的通过一系列个人信息操作规则赋予个人针对个人信息的‘控制权’,必须是在针对与庞大的、密不透风的官僚组织作斗争的境况中才具有意义,不能适用于公共交流、媒体报道等沟通型语境中。”因此,必须对国家制度性保障义务下所派生的此种工具性的“控制权”的行使进行必要限定,不能将宪法上的个人信息受保护权直接转化为个人对个人信息所享有的排他的、积极的支配权。
那么,个人信息处理制度中的操作规则应达到什么样的质量标准?结合上文分析,个人信息处理操作规则应满足充分实现对数据权力的制衡以及促进个人信息受保护权实现等规范性要求。具体而言,第一,操作规则必须满足明确性、透明性的要求。由于这些操作规则发挥着个人信息处理方式具体化的功能,直接关涉到个人的信息权益能否得到充分保障,因此必须制定明确、透明的操作规则。例如,GDPR第12条规定,在提供信息传达数据主体如何行使其权利方面,数据控制者应承担广泛的义务。相关信息必须简洁、透明、清晰易懂,且必须以特定的书面形式提供。信息处理者根据立法要求进行措施细化时,例如《个人信息保护法(草案)》第47条规定的“个人信息处理者应当建立个人行使权利的申请受理和处理机制”时,也应该满足这些要求。第二,操作规则还需要结合特定场景进行理解。除了避免对个人在信息处理活动中的权利做绝对化、实质化理解外,由于个人信息保护高度依赖特定信息处理场景,因此还需要结合特定场景对操作规则适用进行细化。例如,通过判例、执法机构的阐释以及企业自行制定的行业准则不断具体化。国家既可以直接制定、细化操作规则,也可以对企业、行业自行出台的操作规则予以审核、承认、维护。应该注意到,操作规程制定者的核心任务是保证这些规则在不同情境下始终围绕维护个人信息保护和人格尊严等价值基础展开。解释者也应当作出符合个人信息受保护权意旨的解释,尽可能在不同场景下实现权利保障的最优化与整体价值的协调,故无需也不应强求立法者制定普遍适用、固定不变的操作规程。第三,这些规则本身还应当具备便捷性、可操作性。一方面,立法应当避免信息处理制度过度复杂化,应对个人信息处理者的责任清单进行必要界定,对操作制度的功能进行细化说明,以避免不合理地增加信息处理者成本、影响数据自由流通等情形。另一方面,也应充分意识到个人在面对信息处理者时所遭遇的资源和能力匮乏的现实。比如,个人往往难以有效评估信息处理行为对自己可能构成的威胁,对冗长复杂的个人信息保护条款缺乏足够的分析及适用能力,因此,立法更应强调操作规则的清晰性、简明性、可理解性,构建“个人友好型”的信息处理操作规则。
2.组织与程序保障
前文所谈的制度性保障重点关注的是“个人—信息处理者”之间的权利义务关系结构;组织与程序保障则主要指:在基本的权利义务关系结构之外,需要通过组织和程序设计,为国家保护义务之落实提供担保性和辅助性制度,以促进个人信息受保护权之实现。这具体涉及到三个方面。首先,负有保护职责的组织系统如何设计;其次,信息处理者组织结构如何优化;最后,面向个人提供哪些基本的法律程序保护。
(1)对监管机构的组织要求
在个人与个人信息处理者之间关系结构明确之后,国家保护义务需要通过监管组织和体制而进一步落实。这要求建立权威、有效的监管机构,即“履行个人信息保护职责的部门”,并在此基础上构筑统一、协作的监管和执法威慑体系。
一方面,组织保障要求确立稳定、一致、高效的监管机制。以管辖权配置上的统一性要求为例,由于数据处理具有明显的电子化场景性、跨区域性、空间不确定性,传统上按照行政区域和违法行为发生地来确定管辖权的规则,已难以适应个人信息保护之场景。欧盟在Weltimmos.r.o.案后续立法中,逐步确立了“一站式”组织机制,旨在改善欧盟数据保护法在不同地区之间的统一适用性,这既增强了个人与企业的法律预期,也有利于监管机构更高效地解决纠纷。我国目前个人信息保护仍处于分散立法阶段,规范体系较为零碎,相应的监管组织设置和职权配置也牵涉网信、工信、公安、市场监管、一行三会(央行、保监会、银监会、证监会)、商务部、邮政、文化与旅游部等多个部门,不同监管机关之间的冲突协调困难重重,容易出现负有监管义务的机关相互推诿、逃避职责以及部分行业或领域的多头监管等情形,尚需基于统一性要求进行优化。
另一方面,在个人信息保护监管活动中,多元监管机构应明确各自权限并在必要时开展合作,满足协作性要求。例如,个人信息保护需要竞争法监管部门、消费者保护机构和数据保护机构的协作。正如欧洲数据保护专员公署指出:“欧盟消费者保护法、竞争法和数据保护法的共同目标是纠正信息和市场力量的不平衡,随着数字市场的迅速发展和集中,这种不平衡已变得越来越严重。”然而,在2016年之前,欧洲竞争网络、消费者保护合作网络以及数据监管机构执行欧盟规则的情况非常碎片化,产生了许多实质性重叠的情形。在此背景下,欧盟委员会在2016年的决议中敦促“不同方面负责维护数字社会和经济中的个人权益的监管机构进行更多对话和信息共享,并努力加强消费者监管框架、反托拉斯和数据保护之间的协同”。之后,欧盟委员会提出成立一个专门机构,向调查数字市场案件的监管机构提供技术支持,并协调竞争、消费者保护、产业发展、数据保护等不同部门的执法需求,以促进“各自领域的监管机构之间的一致性”。相较而言,我国相关立法与实践还处于相对空白阶段。
(2)对数据处理者的组织要求
组织保障的另一个面向是针对进行个人信息处理活动的机构提出组织结构要求。例如,《个人信息保护法(草案)》第50条要求个人信息处理者制定内部管理制度和开展内部培训;第51条要求个人信息处理者指定个人信息保护负责人,都是组织保障要求延伸到信息处理者组织架构的体现。欧盟GDPR也要求数据控制者需采取有效的组织管理措施,包括适当频次的审计、任命数据保护官、制定有利于信息保护的内部管理制度、事先与数据管理局协商等。这些组织措施有助于从结构上完善信息处理者保护个人信息的组织体系,进而改变其行为方式,使个人信息保护成为组织的内生机制,在降低外部执法成本的同时,也强化信息处理者开展个人信息保护的内生动力。
具体而言,国家在立法和监管中可从数据处理者的问责机制、人员组成、部门与机构设置等方面提出相应的组织要求。第一,问责制是激发信息处理者审慎、理性保护个人信息的重要动力机制。例如,GDPR和我国《个人信息保护法(草案)》都规定了信息处理者或其代表必须保留其数据处理活动的记录,以便于监督,这就是一种内置的“压力机制”。第二,关于人员组成,个人信息保护的立法往往都要求特定人员担任监管机构、个人和信息处理者之间的中介。例如,GDPR第37-39条对DPO(数据保护官)的职责进行了详尽规定,其中有两项核心内容:其一,DPO需要及时参与任何与个人数据保护有关的活动。例如,对履行处理者义务的公司和员工提出建议,并通过执行审计和培训来监督数据保护规则的遵守情况。DPO还必须与监管机构合作,并在与数据处理有关的重要事务(例如数据泄露)上充当监管机构的联络点。其二,信息处理者需要为DPO提供必要的财务、设备、资讯等资源以及专业支持,同时确保其在履职过程中不会受到解雇或处分的影响。相较之下,我国《个人信息保护法(草案)》只是粗略地在第51条提及“个人信息保护负责人负责对个人信息处理活动以及采取的保护措施等进行监督”,并未对其职能与履职保障作具体规定,有必要进一步完善细化。第三,个人信息保护规则也会对数据处理者内部机构设置产生影响。例如,《个人信息保护法(草案)》第49条要求个人信息处理者应当建立个人行使权利的申请受理和处理机制,这就要求信息处理者设置相应的负责申请处理的职能部门或机构;再如,信息处理者内部安全部门、法务部门、产业部门等不同部门之间的相互关系亦会影响其履行处理者义务的效率与方式,从而间接影响到个人信息受保护权的落实。
(3)程序保障的具体内涵
在宪法理论上,国家保护义务的程序保障传统上主要指司法救济程序,后又逐步拓展至行政程序,并在德国、日本出现了与英美法中的“正当法律程序”交互运用的趋势。
具体到个人信息保护领域,程序保障的内涵主要有以下两个方面:第一,“个人能获得有效救济途径,这是国家需要提供的首要程序保障”。首先,个人可以在诉讼中针对信息处理者提出停止侵害、消除影响、要求赔偿的途径;其次,个人应当有途径委托特定的组织开展集体诉讼;最后,从权利救济的一般法理来看,个人应有途径要求监管机构履行保护义务,并针对监管机构不作为提起诉讼。就此而言,我国《个人信息保护法(草案)》第61条只是简单提及举报途径与回复要求,并未明确规定个人可针对履行个人信息保护职责的部门怠于履行保护职责行为起诉。第二,程序保障还要求,国家机关作为信息处理者时,其作出对个人不利的决定时,个人能够获得公平公正的行政程序保障。例如,《个人信息保护法(草案)》第34条规定“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行”。国家机关作为个人信息处理者与个人之间的权利义务关系结构应如何设定,程序保障应如何落实,这也是当前我国个人信息保护立法中需要回应的重大问题。
3.侵害防止义务
在制度性保障、组织与程序保障之外,国家保护义务的落实还指向侵害防止义务。国家需要综合运用多重工具,通过构建预防机制和协同法律责任来营造个人不受数据权力侵害的法秩序环境。
(1)预防机制的构建
在大数据时代,个体其实难以对个人信息流通的风险进行预判,而风险所带来的后果有可能是极其严重的。以个人信息泄露的情形为例,其呈现出一个从直接化向间接化、从简单化向复杂化、从显性信息泄露向隐性信息泄露转变的趋势,且规模愈发庞大。再如消费者保护领域个人信息被滥用问题,随着人工智能技术发展,数据平台通过信息挖掘、分类、自动化处理所导向的对消费者的歧视、剥削、欺诈的风险愈发难以控制。这使得预防原则变得尤为必要,国家必须采取措施强化信息处理者的风险控制义务。
在欧盟,预防原则明确进入了立法。GDPR在序言第75-77条便对个人信息处理者提出了对信息处理风险进行评估以及采取应对措施的要求。一方面,在保护强度上,不同的处理风险对应了不同强度的保护规则,GDPR在此列举了信息的可识别程度、自然人易受伤害的程度、信息处理的规模等多项评判风险的标准。风险的定性对组织的反应、缓解和纠正措施起着重要作用。另一方面,在介入方式上,国家需要采用不同方法主导风险规制的过程。其一,可以通过立法明确要求信息处理者具备相应的风险处理能力,如GDPR第32条要求数据处理者保证自身处理系统具备持续保密、完整、可用、快速恢复的能力;其二,可以通过官方批准的行为规范、认证以及监管机构制定的指南或说明来为信息处理者提供风险预防指引。
相较而言,我国《个人信息保护法(草案)》提出的“个人信息处理者制定并组织实施个人信息安全事件应急预案”以及对信息处理者进行事前风险评估的要求也是预防原则的规范体现。但如何将预防原则进一步进行制度构建和细化,仍需进一步的经验总结与规则表达。
(2)多元法律责任机制的协同
在法律责任机制的建构方面,个人信息保护采用了多种法律责任协同的路径,包括了民法框架与消费者法框架下的损害赔偿责任、违反个人信息处理合规要求的行政法责任乃至最为严厉的刑事责任等等。由于单一部门法所提供的责任机制无法独自完成国家保护个人信息的任务,因此,应从整体的国家保护义务框架来思考和建构个人信息保护法律责任体系。在这个意义上,宪法、民法、行政法、消费者法、刑法都可以为个人信息保护提供有针对性的法律责任机制,这意味着个人信息保护法是一个典型的“领域法”。我们应当摆脱部门法本位主义的路径依赖,考虑多元法律责任机制的协同。
第一,针对消费者法与民法框架下的损害赔偿责任,国家可以采取针对个人的倾向保护。具体而言有四种路径可供选择:其一是针对“损害赔偿”的范围与数额,可以根据法院的判例,以充分保护个人信息的方式进行有利于个人的解释;其二是归责机制,如GDPR第82条第4款要求造成权益侵害的多个数据处理者之间承担连带责任,以避免个人经历多个昂贵且漫长的诉讼程序;其三是在立法上明确非物质损失即精神损害赔偿责任的设置;其四是举证责任上的倾斜保护。尽管如此,单纯依靠个人提起损害赔偿之诉,其效果依然是有限的。在欧盟层面,个人直接针对信息处理者的诉讼案件成本高昂,往往还需依赖掌握经验、技术知识的行政监管部门作出违法情况调查认定作为先决条件。其根本原因在于,损害赔偿诉讼只是整个数据治理中的一个环节,个人信息保护制度的有效性更多还需结合高效的执法威慑机制、企业治理结构和行业自律生态。在我国,既有研究也表明,现有司法实践中个人通过私法上的损害赔偿制度获取有效救济的情形少之又少,且面临举证、诉讼成本上的诸多难题。综合而言,私法救济提供了一个必要、但远非充分的路径;该路径虽仍有完善的空间,但不宜过分强调其自足功能。
第二,在行政责任方面,履行个人信息保护职责的部门可采取多种处理措施。首先,监管部门可以发布责令停止、责令限制处理、责令改正、责令删除、责令消除影响与赔礼道歉等行政命令,或采用约谈等柔性措施及时制止违规活动;其次,可以使用发布风险提示、列入信用档案并公示等声誉工具进行监管;最后,监管机构还可以通过大额罚款、吊销个人信息处理登记证或许可证等行政处罚手段,产生强烈的威慑效果。可以说,行政机关拥有的工具是多元的。但面对社会舆论压力、政治压力、执法能力不足等情形,监管机构也可能出现形式化的要求和一刀切的“规制过度”,这不仅未必能真正提高个人信息保护水平,而且对行业发展、营业自由的保障可能构成潜在威胁。因此,监管者一方面需要遵循比例原则的要求,在选择制裁方式与幅度时充分考虑不同场景;另一方面,还需考量行政措施与信息处理者治理结构的优化以及同消费者法责任、民法责任等其他机制之间的衔接,实现多个部门法工具之间的协调,以积极促成数字经济发展与个人信息保护之间的平衡,而非片面追求严苛的执法效应。
第三,在刑事责任方面,衡诸刑法的“最后手段性”与“谦抑性”原则,国家若要采取刑事手段进行制裁,必须是为了保护“重大且根本性的法益”免于受到侵害,而且必须在没有其他有效保护措施情形下,始得为之。由此原则看,我国刑法经由刑法修正案(七)与(九)修正后设置的侵犯公民个人信息罪,虽正式确立了个人信息的刑法保护路径,但该罪的适用需满足全环节保护和谦抑使用的要求,避免由于法律规范的模糊和空白在部分环节上保护不足,而在特定信息处理环节和场景中保护过度的情形。
结论
个人信息保护在法权基础上所出现的争议,源于对个人信息保护权利基础认知的模糊性,而后者又源于“个人信息国家保护义务”此一宪法支点的缺失,因而无法形成清晰的法权结构。在“个人信息受保护权—国家保护义务”框架下,国家不仅要保持审慎、理性的克制态度以履行其消极义务,同时还须为个人提供积极保护,以支援个人对抗大规模、持续化数据处理中人格尊严减损的风险。在大数据时代,个人信息受保护权不仅要求国家落实防御权导向下的消极保护义务,更要求其在客观法导向下落实制度性保障、组织与程序保障、侵害防止等积极保护义务。个人信息保护立法应以此为基点而展开体系化建构。
“个人信息受保护权—国家保护义务”框架有助于我们超越部门法本位主义,在“领域法”理念的引导下检索可资援用的保护手段,在此意义上,民法保护、消费者法保护、行政法保护、刑法保护等工具都有其相应的适用空间。在规范意义上,国家通过多种途径、多元手段为个人提供协同保护,是落实国家保护义务的内在要求,可以增强个人对信息处理者的制衡能力,缓解权利行使的“无力感”。因此,对于数据时代的个人信息保护而言,上述框架实际上可以“充实”(empower)个人信息受保护权。在功能意义上,个人信息受保护权旨在制衡信息处理者的“数据权力”,但不是赋予个人对其信息的排他性控制权,这种权利结构在保护个人免受数据权力压迫和支配的同时,也为数据技术和产业发展内置了空间。个人信息保护与信息利用流通的平衡,数据安全与产业发展的平衡等命题,也只有在国家统筹保护的框架中,方得有效求解。
王锡锌,北京大学法学院教授、法治与发展研究院执行院长、《中外法学》主编。
来源:《中国法学》2021年第1期。