王锡锌:个人信息权利束的公私法同频保护
王锡锌内容提要:个人在个人信息处理活动中的权利,包括知情、决定、查阅、复制、删除、可携带等权利的集合,是立法为个人配置的个人信息权利束。这些权利并非个人民事权利的逻辑延伸,而是国家为了履行个人信息保护义务,通过制度性保障赋予个人的工具性权利。这些工具性权利与个人信息处理规则在内容上同构,二者共同构成个人信息保护的规制秩序。以行政监管为中心对个人信息权利束进行保障,是个人信息保护法内在逻辑的必然要求,其能够更高效地规制个人信息处理活动,更有效地实现保障个人信息权益和规范信息处理活动的双重目标。以行政监管为中心,并不排斥民事诉讼等私法救济途径。如果违法处理个人信息的行为在侵害个人信息权利束的同时,也侵害了民事实体权益,个人可依法提起侵权之诉。
关键词:个人信息权利束;个人信息处理规则;行政监管;侵权责任;个人信息保护法
民法典和个人信息保护法实施以来,司法实践中出现了不少个人因个人信息处理者侵害其查阅权、删除权而提起的民事诉讼。此类案件具有如下基本特征:第一,个人向个人信息处理者提出了行使个人信息权利束中某项权利的请求;第二,个人信息处理者对个人提出的请求作出了回应,如告知个人可以通过应用程序查询被处理的个人信息;第三,个人对个人信息处理者回应请求权的行为不满意;第四,个人向法院提起民事诉讼,请求法院判令个人信息处理者履行义务;第五,个人的诉讼请求并不包含民事侵权赔偿,而仅要求法院判令个人信息处理者满足个人行使个人信息权利束中某项权利的请求。
这种通过民事诉讼途径请求法院对个人信息权利束中的权利提供司法保障和救济的实践,在理论层面预设了个人信息权利束中的权利属于民事权益,在规则层面以个人信息保护法第50条为依据。但是,个人信息保护法第50条所规定的“个人行使权利的请求”,能否被视为民事请求权的规范基础?个人信息处理者拒绝个人行使权利的请求,是否必然导致民事法律责任的产生?概言之,个人信息权利束的保障和救济机制,应当是民事诉讼,还是行政监管和执法?要回答上述问题,逻辑上须阐明:第一,如何理解个人信息权利束中诸权利的法律性质和行权规则;第二,如何理解“个人可以依法向人民法院提起诉讼”这一规定,以及个人可否在不主张侵权责任的基础上,仅针对侵害权利束的个人信息处理行为提起民事诉讼。鉴于此,本文将从论述个人信息权利束的法律性质入手,分析个人信息权利束与个人信息处理规则的内在一致性,然后在个人信息处理合规的视角下探讨个人信息权利束的保障机制,为个人信息保护法第50条提供一个法解释的逻辑框架和具体的解释方案。
一、对个人信息权利束性质的民法解读
多数民法学者将个人在个人信息处理活动中的知情、决定、查阅、复制、删除等权利解释为民事权利。对个人信息权利束之法律性质的民法解读,可归纳为个人信息权的权能说、个人信息权益的权能说、一般人格权请求权说等几种代表性观点。
(一)民法解读的代表性观点
1.个人信息权的权能说
个人信息权的权能说认为,个人信息权利束是个人信息权的“权能”。民法学者注意到,民法典人格权编第六章规定了自然人对个人信息的利用有知情权、同意权,可以依法查阅、复制个人信息,发现信息错误时有权提出异议并请求更正,发现信息处理者违法违规或违反约定处理信息时有权要求删除等。叶名怡认为,这些权利是个人信息权的固有内容和自然延伸。申卫星认为,“个人信息的知情权、决定权、查阅权、复制权、更正权、删除权等,均为个人信息权的权能”。所谓权能,乃是权利的作用形式和手段。作为民事权利类型的支配权、请求权、形成权、抗辩权等,虽然被称为权利,但本质上都是权利的作用,而非权利本身。例如,支配权是权利人对权利客体直接支配的权能;请求权不过是债权的一项核心权能;物上请求权是物权的一项救济权能。这些权能本身不具有独立性,必须依附于某种独立的民事权利而发挥作用。
2.个人信息权益的权能说
一些民法学者不同意个人信息权的权能说,而选择将权利束与“个人信息权益”的概念联系起来。例如,程啸认为,“民法上不应当简单地通过将自然人的个人信息固定为个人信息权并确定各项权能的模式来保护个人信息”,查阅权、复制权、可携权等个人在个人信息处理活动中的权利,“都不属于独立的人格权益,而是个人信息权益的权能”。王利明认为,“从性质上看,删除权是基于个人信息权益而产生的权利”,“个人信息本身是由删除权、查阅权、复制权、携带权、更正权、补充权等一系列权能所组成的‘权能束’,各项权能分别承担个人信息保护的特定功能,发挥着不同的作用”。
3.一般人格权请求权说
持该观点的民法学者认为,个人信息权利束中的各项权利,是以人格权请求权的方式出现的。他们强调保护个人信息权益对维护个人理性、尊严与自主性的重要作用,认为个人信息利益保护是“一般人格权在信息时代发展中所形成的新的社会形态的具体展现”。例如,吴香香认为,个人信息的查阅、复制、更正、删除等,均可解释为“停止侵害、排除妨碍、消除危险”的具体化,相应的权利属于人格权请求权中的消极防御请求权。王利明以删除权为例,认为“在个人信息保护中,删除权的行使目的在于实现个人信息权益人的自决并维护个人信息的完整和有效支配,这就与停止侵害、排除妨碍、消除影响等人格权请求权一样,最终目的在于实现对人格利益的完整支配”。查阅权、复制权、删除权等被视作基于个人信息自决权而产生的请求权权能,其基础是一种宪法意义上的“人格权”,或一般人格权。进一步地,持本说的学者认为,对上述权利的保护,可直接依据人格权请求权提出请求或提起诉讼。例如,吴香香认为,民法典第1037条的规定可作为人格权请求权中的消极防御请求权的规范基础;王利明认为,“删除权本身就是一种人格权请求权的具体体现,因而信息主体行使删除权就是通过行使人格权请求权保护其权益”,此种请求权作为绝对权请求权的一种形态,不以损害和过错为要件。
(二)对民事权利说的商榷
从保护个人信息权益的功能来看,将个人在个人信息处理活动中的权利理解为民事权益的权能,具有一定的合理性。但是,无论将个人信息权利束理解为个人信息权的权能、个人信息权益的权能,还是一般人格权请求权,在逻辑上都有值得进一步商榷的空间。
首先,将个人信息权利束理解为个人信息权的权能,或许在论证前提上存在问题。无论民法典,还是个人信息保护法,都没有规定所谓的“个人信息权”,而是规定“自然人的个人信息受法律保护”。就此来看,法律只是将个人信息作为一种保护对象。至于这种保护对象究竟承载了何种权利,法律并未明确规定。当然,这并不是说个人信息上没有权利,而是说个人信息所承载的权益并不必然等于民事权益,其究竟属于何种权益,需要考虑个人信息的内容、处理场景等具体因素来确定。既然我国实定法上并不存在作为一项民事权利的“个人信息权”,将个人信息权利束理解为个人信息权的权能,在逻辑上就失去了前提。其实,个人信息所具有的无形性、社会性、非排他性等特点,足以使其有别于传统民法上的“物”。考虑到信息的物理和社会特性,法律难以在信息上设定一种具有独占性、排他性的支配权。在欧盟和美国有关个人信息的立法中,也都不存在具有独占性、排他性、支配性的个人信息权之概念。在我国民法典和个人信息保护法的制定过程中,许多民法学者都曾提出引入“个人信息权”这一民事权利的主张,但立法机关对此采取了谨慎态度。
其次,将个人信息权利束理解为个人信息权益的权能,同样值得商榷。从法解释的角度讲,仅仅依据民法典的相关规定,尚不足以断定个人信息权益是民事权益。个人信息承载的权益的性质,需要根据个人信息的内容来确定。例如,个人的通信信息承载着宪法上的公民通信秘密权益,并非纯粹的民事权益。如果将个人信息权利束理解为个人信息权益的权能,首先需要分析个人信息权益的构造。个人信息权益并非个人信息民事权利和利益的叠加,这不仅因为法律上并不存在“个人信息权”之概念,还因为“个人信息利益”最终要落实到个人信息所承载的人格利益和其他相关利益,如财产性利益。“个人信息权益”是一个框架性概念,是个人信息所承载的多种权利(益)的集合。根据个人信息内容的不同,其所承载的权利(益)可能是民事权利(如隐私权),可能是宪法性的权利(如通信秘密),还可能是行政法上的权利,如国家对个人信息处理活动的行政规制,就对应着个人的程序性权利。因此,将个人信息权益仅仅理解为民事权益,并由此将个人信息权利束作为其权能,在逻辑上不够周延。
其实,已有民法学者注意到上述问题。张新宝从个人信息权益的内在构造角度,认为个人信息权益由“本权权益”和“保护本权权益的权利”构成。个人信息的本权权益包括公法上的人格尊严、通信自由和通信秘密,以及民法上的人格、财产等权益。保护本权权益的权利,主要包括作为支配权的同意权,以及作为救济性权利的知情、查阅、复制、更正、补充、删除等权利。由于个人信息的本权权益不仅仅是民事权益,作为保护本权权益的手段权利,也不能被直接认定为民事权利,否则无法实现逻辑上周延的匹配。
最后,将个人信息权利束理解为人格权请求权,并认为其是一种绝对请求权的观点,也值得商榷。人格权请求权的理论基础是“个人信息自决权”。个人信息自决权理论认为,个人对其个人信息享有绝对的、控制性的权利。但是,这种宪法层面的理论,不宜直接作为个人信息保护法层面的个人绝对控制权之基础。如果承认在个人信息上存在一种近乎所有权的支配权,所谓的支配就“不再仅仅是对自己个人信息的支配,而是对他人行为的支配”。即便在德国,立法机关也没有将个人信息自决权作为个人信息保护的基础。正如有学者指出的,“信息自决权不是法学意义上的权利”,毋宁说是一种保护人格尊严的“理念”。真正意义上的“自我决定”的实现,有赖于规则、组织、程序等保障,而无法通过个人一己之力来落实。《欧盟基本权利宪章》(以下简称《宪章》)第8条规定的是“个人信息受保护权”,其逻辑也正是从“受保护”的角度,而非“自我决定”的角度来规定相关权利的。即便将个人信息权利束解释为一般人格权的请求权,也无法推导出这些权利的性质就是民事权利。此处所讲的一般人格权,主要指宪法层面作为基本权利的个人信息自决权,而宪法基本权利的请求权,并不必然是民事请求权。已有民法学者关注到了个人信息自决权的适用边界,认为自决权的概念主要适用于公权力机关侵害个人信息上基本权利的情形,在民法层面的适用空间较狭窄,若将其一般化地作用于所有私主体,将会导致对个人自由的过度干涉。
对个人信息权利束法律性质的理解,直接影响到个人信息保护法实施中的权利保障机制问题。应该承认,在个人信息保护法实施前,通过民事诉讼途径对个人信息权利束进行保护,有一定的现实原因,也发挥了相应的作用。但是,在个人信息保护法实施之后,一律通过民事诉讼保障个人信息权利束,可能带来一系列问题。第一,依据一般人格权请求权的理论,个人提起民事诉讼无需主张损害的存在,也无需证明侵权过错,几乎没有原告资格、举证等程序门槛。这将导致个人信息民事诉讼案件数量暴增,使法院面临巨大的诉讼压力。第二,个人仅仅因为请求行使查阅、复制、更正、删除等权利被拒绝,或者不满意个人信息处理者的处理结果,就径行提起民事诉讼请求法院来保障此类权利,实际上是将法院当作了个人信息处理活动的监管机构,这将闲置履行个人信息保护职责的监管机构应有的角色和作用。第三,个人信息处理者侵害知情、同意、查阅、删除等权利的行为,可能同时构成个人信息处理活动“不合规”和违法。如果主要通过民事诉讼保障个人信息权利束,
将不利于对违法处理个人信息活动所侵害的客观法秩序进行修复或矫正。这是因为,依照民事诉讼法上的“当事人处分”原则,作为原告的个人可能基于私人利益而和解、撤诉。第四,调查、判定信息处理活动是否合规,离不开专业的监管技术和法定的调查职权,而法院作为裁判机构并不具有专业和职权优势,难以专业、高效地履行监督者的职责,也难以作出裁判。第五,即便按照民事权利的逻辑由个人行使人格权请求权提起民事诉讼,在国家机关为履行法定职责而处理个人信息的情况下,个人并不能针对国家机关处理个人信息的行为提起民事诉讼。民事诉讼救济机制对同一种权利在不同场景下的差别对待,在逻辑上难以自圆其说。
二、个人信息权利束的“受保护权”性质
有民法学者提出,个人信息保护法是民法典的特别法,属于民事法律规范体系。但是,个人信息保护场景中的法律关系,仅仅依赖民事权利的保护逻辑,很难得到有效调整;适用于平等主体之间的民事权利义务模式,很难有效应对组织化、大规模、持续性的个人信息处理活动。因此,立法机关对个人信息保护法的定位,并不是民法特别法,而是根据宪法制定的,旨在保护个人信息权益、规范个人信息处理行为的个人信息保护基本法。个人信息保护法的基本逻辑,是以“国家保护”为中心,为“个人—信息处理者”关系中的个人提供倾斜性保护。这意味着,国家要通过制度、组织和程序保障等方式,对个人信息处理活动进行规制,而不是将这些问题完全交由个人与个人信息处理者进行自主处理。
(一)从受保护权角度理解个人信息权利束
通过国家的介入来保护个人信息的规制路径,在欧盟个人信息保护立法的发展过程中体现得非常明显。欧盟2018年实施的《通用数据保护条例》(以下简称GDPR),正是欧盟为了落实《宪章》第8条规定的个人信息受保护权而进行的具体立法。在中国的个人信息保护立法进程中,不少民法学者都尝试以欧盟相关立法为借鉴,提出引入“个人信息权”概念作为个人信息保护的民事权利基础。然而,欧盟法上并没有“个人信息权”这一概念,其个人信息保护的逻辑也不是民法逻辑,而是以国家保护和行政规制为主的逻辑。
通过国家的介入来保护个人信息的规制路径,在欧盟个人信息保护立法的发展过程中体现得非常明显。欧盟2018年实施的《通用数据保护条例》(以下简称GDPR),正是欧盟为了落实《宪章》第8条规定的个人信息受保护权而进行的具体立法。在中国的个人信息保护立法进程中,不少民法学者都尝试以欧盟相关立法为借鉴,提出引入“个人信息权”概念作为个人信息保护的民事权利基础。然而,欧盟法上并没有“个人信息权”这一概念,其个人信息保护的逻辑也不是民法逻辑,而是以国家保护和行政规制为主的逻辑。
《宪章》第8条规定了“个人信息之保护”,其第1款至第3款分别规定:(1)人人均享有个人信息受保护之权利;(2)个人信息应仅基于具体、明确之目的,且基于个人之同意或其他法律规定之正当基础,并以公平方式处理。人人均有权查询其被处理的信息,并有权更正其个人信息;(3)应由独立主管机构监督这些规则之遵守。不难发现,该条第1款规定的“个人信息受保护之权利”,以“受保护”为核心目标。第2款进一步规定了“受保护”的具体内容,包括个人的知情、同意、查询、更正等,构成了受保护权的具体权利。第3款进一步明确了,应当由独立的主管机构监督上述受保护权规则的遵守,即由行政机构对处理者活动是否合规进行监督。总之,《宪章》以个人信息“受保护”为核心目标,确立了个人信息受保护权这一宪法层面的基本权利。这一基本权利反射到国家一方,意味着国家应当履行个人信息保护义务。《宪章》所规定的个人信息受保护权,在欧盟立法中承上启下。欧盟议会与欧盟理事会1995年通过的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》,曾要求各国完善个人信息保护立法,以落实国家的个人信息保护义务。2018年生效的GDPR则对欧盟成员国具有直接适用效力,更直接地贯彻了个人信息国家保护义务的要求。
在欧盟个人数据保护的法律体系构建逻辑中,并不存在一种个人对其信息具有支配性、控制性的“个人信息权”。个人信息具有交互性、社会性、公共性等特点,难以在民法所有权逻辑下成为具有排他性的、由个人支配的权利客体。然而,现代社会“数字化生存”的现实,以及国家机关和私人机构对个人信息日益增长的“胃口”,使得保护个人信息具有重要性和紧迫性。由于个人信息既需要被保护,也需要被利用,公共权威就需对保护和利用之间的各种利益进行平衡,个人信息的处理活动就理应由国家出场进行规制。《宪章》第8条围绕个人信息受保护之目标建构的个人信息受保护权,以及GDPR关于个人信息保护权利束的规定,都体现了国家应当履行个人信息保护义务的逻辑。欧洲数据保护专员公署曾明确指出,欧盟数据保护规则并未赋予个人针对其个人数据排他性的民事权利,那种认为个人针对其个人数据享有“所有权”或“决定权”的观念是一种误读;GDPR第三章规定的“数据主体的权利”,实际上是国家为促进个人信息受保护权实现之目的,通过制定规则与采取监管措施“赋予个人对抗数据处理者的手段和工具”。在欧盟监管机关看来,这些权利有助于使数据处理者可持续地、合乎道德(即保障个体尊严)地使用数据,有利于保障个人不受数据权力的支配。个人信息权利束中的各项权利,与个人信息处理行为的合规要求相对应,是国家赋予个人参与个人信息保护任务的工具性、手段性权利。
(二)个人信息权利束是受保护权的具体化
个人信息权利束中的工具性权利与传统民事权利存在显著区别。从权利的发生机制看,工具性权利并非由个人对其个人信息的占有和控制衍生而来,而是国家履行保护义务的结果;从权利的性质看,个人信息权利束是个人信息受保护权的具体化。
就欧盟立法而言,《宪章》第8条规定的“人人均享有个人信息受保护之权利”,既是对个人信息受保护权这项基本权利的宣告,也是对该项基本权利的内容及保护机制的要求。为落实《宪章》规定的个人信息受保护权这一基本权利,GDPR从充实个人信息受保护权的角度对数据主体进行了赋权。我国个人信息保护法第四章规定的是“个人在个人信息处理活动中的权利”,在概念限定上体现了立法者的深思熟虑:这些权利并不是个人对其信息的支配和控制权,而是个人对个人信息处理者及其处理行为进行制约的工具和手段。国家对个人信息处理活动中的个人进行赋权,目的是使个人参与到国家所建构的个人信息保护的法秩序中,共同实现个人信息保护的目标。GDPR和我国个人信息保护法所规定的个人信息权利束,都是围绕受保护权的落实而进行的赋权,是国家规制策略的组成部分,将这些权利称为个人信息“受保护权利束”,或许更为恰当。
这种受保护权所强调的国家保护机制,与民事权利行使主要依赖的平等协商、自治等机制有所区别。民事权利也需要国家保护,但这种保护是在权利主体自由、自主地行使权利受到影响,或者当权利受侵害后,由国家提供救济,而不是由国家通过事先设定权利行使规则的方式进行过程性保护;而进行过程性保护,正是“保护法”作为一种规范类型,不同于民事权利法的重要特征。无论GDPR,还是我国个人信息保护法,都在法律文件名称中突出了“保护”这一关键概念。“保护法”所体现的国家保护,目的就在于通过国家规制,确立不对称关系结构中的行为规则和权利义务配置。国家通过设定个人信息处理规则,可以对处理个人信息的行为进行规范,对个人信息权益提供保护。在这个意义上,“保护法”必然要体现国家对特定关系结构的调控,在保护路径上必然以国家规制为主,在保护机制上也要求“以监管为中心”。
一些民法学者也注意到了个人信息立法的“保护法”属性,并从民法角度对保护法领域中权利保障机制的选择作出了解释,提出了“损害扩容”命题来寻求民法教义的更新。谢鸿飞认为,在个人信息保护、环境生态保护等领域,有条件地承认预期侵权制度,肯定未来被侵权的风险构成法律上的损害,并基于精算规则予以赔偿,能使侵权责任法动态适应现代风险社会和复杂社会的需求。李昊认为,从个人信息被非法收集伊始,信息主体就会因对收集用途概不知情而陷于无尽的恐慌之中,精神上遭受极大痛苦,此类侵害权利束的行为直接导致了对个人信息自主价值和使用价值的侵害,这证成了个人启动权利束之权能的必要。刘云指出,“当外部风险引发的损失具备显著性和客观性时,该风险就应当认定为个人信息损害赔偿救济中的损失”,当这种普遍性可以特定化到个人时,风险就等同于损害的发生。
在上述民法学者的观念里,“损害”这一概念的扩容,可有效应对个人信息遭受严重侵害的风险。他们把个人信息权利束视为一项能够激活民事责任的手段,并将其纳入民事权益体系与民事诉讼处理范围,主张以个人行权与诉讼的方式来控制风险,进而缓解个人的恐惧不安。此类支持民事责任论的观点所展现的逻辑是:个人信息处理者侵害权利束的行为,虽没有直接导致现实损害,但增大了个人的心理焦虑、后续侵害结果的发生可能性,以及个人信息处理者操纵个人的几率,即存在某种预期损害,因而也应该承担侵权责任。“损害”的扩容一旦成立,作为制度性保障的权利束也就当然应被纳入民事责任的视野中,这也是各类个人信息保护民法调整路径所隐含的逻辑。
公允地说,“损害扩容”命题认识到个人信息权利束的行使是为了控制权益受侵害的风险,以及降低个人对此种风险的担忧和焦虑,但其可能忽视了风险规制的路径与民事责任路径在底层逻辑上的差异。对于未来被侵权的风险及其衍生损害的担忧,是现代社会中个人普遍存在的感受,如交通安全、食品安全、空气污染等风险,都会导致人们的风险焦虑。但是,这并不意味着应当将这种具有抽象性、概括性、模糊性的风险控制任务,交由私人来直接执行。面对具有公共性、普遍性的风险,由国家通过立法建构风险控制规则,并通过后续的监管、巡逻、执法来维护秩序,这是一种应然选择。从政治哲学层面看,正是为了消除私人执法的不确定性、模糊性和低效率,人们才选择把私人执行权交给国家,以避免付出巨大的制度性成本。在现代国家,维护人民的“和平、安全和公众福利”属于国家目的范畴。要完成控制公共风险的任务,需要国家积极履行保护义务,而非仅仅通过“自主支配”观念和分散化的私法救济机制对个人进行武装。
在组织和程序保障层面,司法机构及民事诉讼程序,难以有效应对大规模的风险控制任务。民法学者在主张“损害扩容”命题时,或许也忽视了我国宪法、法院组织法、民事诉讼法对民事审判的功能定位。风险规制有赖于特定的组织形态,而法院显然不是在相关领域建构风险规制策略的专家。面对兼具不确定性、专业性和高度技术化的数据治理政策所引发的权利束侵害争议,法院往往难以通过复杂的成本收益分析,在一定时空内作出一致的、具有高度政策性的解释。面对涉及风险规制和调控的行政规制活动,法院会受到角色、专业、资源等方面的限制,即便其作出裁判,裁判结果也难以具有规模化的监管效应。相较而言,履行个人信息保护职责的机构所进行的监管和执法,无论事前事中监管,还是事后处罚,都可以在保护个人信息权益的同时,产生监管的规模效应。这不但可以避免民事诉讼“一事一诉”的低效和判决效果的局限性问题,还可以通过形成一般性规则来对同类问题进行整体规制,实现对个人信息保护的效率优化。此外,监管者还可以要求个人信息处理者在信息处理前对权利束的行使和相关请求受理机制进行妥善规定,以实现事前防范与主动防护,提升隐私政策的民主性、合理性、公平性。
三、个人信息权利束与信息处理规则的同构
个人信息权利束,是国家为了落实个人信息保护义务,而对个人信息处理活动进行风险规制的产物,是个人信息受保护权的具体化。这些权利对应着个人信息处理活动的“合规”要求,
二者共同构成了个人信息处理规则。国家为调整“个人—信息处理者”的关系,从法律层面赋予了个人制衡信息处理者的基本工具,使其能够在数据处理的各场景、全环节中制衡信息处理者。与之相应,信息处理者应当为便于个人行使权利而建立相应的申请受理和处理机制,同时需要遵守处理个人信息的既定义务与程序要求,以形成有利于保障个体权益的、稳定的、可预期的个人信息处理行为规范。个人信息权利束与个人信息处理者的合规义务,其实是个人信息保护手段的“一体两面”。从个人信息处理活动的“合规”视角观察,可以进一步理解个人信息权利束的规制工具属性和功能。
(一)信息处理规则与个人信息权利束的内容同构
“合规”是指组织对其法定和约定义务的履行状态。乌尔里希·齐白认为,“合规计划规定的是一种对——首先是法定的,有时又是伦理的或其他的——预定目标的遵守程序”。在个人信息合规(隐私合规)领域,个人信息处理者的合规义务,主要来源于法律规定和隐私政策的设定。前者是法定合规义务,后者虽然表现为合同约定形式,但在内容上也必须符合法定合规要求。个人信息处理者的合规义务,包括隐私保护、数据安全保障等多方面的义务,体现于个人信息处理规则中。个人信息处理规则,包括一般规则、敏感个人信息处理规则、数据跨境规则、数据安全规则等,本质上是国家对个人信息处理活动进行干预和规制的规则表达。
我国个人信息保护法第二章规定了“个人信息处理规则”,其具体包括处理个人信息的正当性基础(同意等),告知义务及其规则,共同处理、委托处理个人信息的规则,利用个人信息进行自动化决策的处理规则,公开被处理信息的规则,敏感个人信息处理规则等。这些处理规则直接回应了个人信息保护法第1条所设定的保护个人信息权益、规范个人信息处理活动之立法目标,构建了由国家主导、个人参与的个人信息处理活动的法秩序。这种法秩序并不是可由个人与信息处理者通过协商、合意而形成或变更的私法秩序,而是由国家建构并维护的公法秩序。个人信息保护法第三章所规定的“个人信息跨境提供的规则”,则体现出更为明显的国家规制色彩。正是在上述个人信息处理规则的基础上,个人信息保护法第四章规定了“个人在个人信息处理活动中的权利”,即本文所讨论的个人信息保护权利束。将个人信息处理规则与个人信息保护权利束结合起来观察,不难发现二者之间具有内在的一致性。
以个人的知情权为例,个人信息保护法第44条规定,个人对其个人信息的处理享有知情权、决定权。仅仅依据这一条文,很难明确个人的知情权、决定权到底有哪些内容,要理解这些权利的内容,必须结合个人信息处理规则。就知情权而言,其对应着个人信息处理者的告知义务。个人信息保护法第17条第1款规定:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。”法律针对个人信息处理者的告知义务设定了具体、细致的规则,建构了告知义务的合规要求,正是此种合规义务的具体要求,构成了个人知情权的具体内容。作为处理规则的告知义务与作为权利的知情权,二者是完全同构的。
个人信息权利束中的可携权、删除权等,同样与个人信息处理规则具有同构性。可携权被GDPR规定为一项个人在数据处理活动中的权利(第20条)。我国个人信息保护法草案一审稿和二审稿规定了个人在信息处理活动中享有对其个人信息的查阅权、复制权,三审稿进一步增加了狭义的可携权。从立法过程可以看出,立法者在是否规定可携权的问题上进行过反复权衡。我国个人信息保护法关于狭义可携权行使条件(“符合国家网信部门规定条件”)的规定具有开放性,可携权条款实质上只是一个授权性、开放性条款,个人信息可携权应如何行使,取决于未来对该项权利启动和行使之具体条件的设定。这在一定程度上表明,对个人而言,可携权是一项权利,但对国家而言,要设定该项权利的内容,还需要平衡个人信息保护的目标、个人信息处理者的合法权益,以及其他法益之间的关系,在综合考虑各种利益的基础上提供更为具体的规则。由于可携权是一种能够促进实现个人信息权益、个人信息处理者利益、技术创新和产业发展之间“再平衡”的策略性规制工具,如何协调可携权所涉及的各种利益和价值,是对可携权作出具体制度安排时需要关注的焦点。
个人信息保护法第47条关于删除权的规定,明显也是从行政规制的角度展开的。该条对个人信息处理者应当主动删除个人信息的情形进行了具体列举,属于对个人信息处理者合规义务的规定。与个人信息处理者的法定删除义务相对应,个人的删除请求权可以理解为个人对个人信息处理者删除义务的监督权,而不能被解释为人格权请求权的延伸。
(二)个人信息处理规则与个人信息权利束的功能互补
个人信息处理规则与个人信息权利束在内容上高度同构,但这并不意味着,在规定了处理规则后,就无需再规定个人信息权利束。这是因为,二者虽在内容上同构,但具有不同的作用方式,可以实现功能互补。
首先,在个人信息权利束框架中,个人是权利的主体。国家在设定信息处理规则对个人信息进行规制保护的同时,也宣告了个人在个人信息保护体系中的主体性角色。这意味着,在个人信息保护法律体系和相关实践中,个人并不只是消极的受保护对象,也是可积极参与个人信息保护的主体。在个人信息权益保护方面,个人具有主动性。国家与个人角色互补,更有利于个人信息保护目标的实现。
其次,对个人进行赋权,实际上是国家为个人提供参与个人信息处理活动全过程的手段、方式和途径,这有助于个人参与到国家设定的个人信息保护框架中,对个人信息处理活动中的数据权力进行制约,促进数据治理的正义。例如,个人信息权利束中的知情权、决定权,能够促成个人信息处理过程中的程序正义和沟通理性;查阅权、复制权、可携权、删除权等权利,可以促进数据治理过程中分配正义的实现。从国际上典型的数据保护规范的发展脉络来看,不同时期、各种版本的公平信息实践原则,不论1980年经合组织发布的《关于隐私保护和个人数据跨境流通指南》、1981年欧洲理事会成员国签署的《有关个人数据自动化处理中的个体保护公约》,还是1995年欧盟发布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》,都设置了知情、同意、访问、更正等程序性权利。
再次,对个人进行赋权,可以使个人对个人信息处理者的合规情况进行个体化、全方面的监督,以弥补行政监管在资源和信息方面的不足。例如,个人信息保护法第47条设定了个人信息处理者主动删除个人信息的法定要求,同时也规定个人有权要求处理者删除,这体现了合规监管和个人监督两种保护手段的功能互补。该条规定意味着,个人享有要求负有保护职责的部门履行法定职责的请求权,个人信息处理者对相应合规义务的履行,不仅要受到监管部门的主动监督,也可因个人向监管部门行使请求权而启动。
最后,在国家规制框架中对个人进行赋权,有助于实现一般保护与特别保护的互补,使个人信息保护法律体系和数据治理体系具有灵活性和协同性。个人信息保护法律体系和数据治理体系承载了多元目标,回应了个人、企业、社会、国家等不同方面的利益需求。保护个人信息、促进数据流通利用、规范个人信息处理行为等多元目标的协同,首先需要国家设定规则。但是,仅仅依靠整齐划一的规则体系和监管手段,可能会限制数据治理结构的弹性和灵活度。对个人进行赋权,让具有不同利益和价值偏好的个人获得参与数据治理体系的空间,可以使这一治理体系更具灵活性。例如,美国加州的消费者隐私保护法规定的消费者信息“经济激励”机制,就是协同规制要求与个人选择、促进二者功能互补的尝试。
四、以监管为中心的个人信息权利束保障机制
只有明晰了个人信息权利束的法律性质,才能更准确地为其匹配保障机制。个人信息权利束所指向的,其实是基于国家规制而建构出的客观法秩序。个人信息权利束的规制工具性质,以及个人信息权利束与个人信息处理规则的同构性,决定了对个人信息权利束的保障,应主要通过行政监管和执法机制展开,形成以行政监管为中心的保障机制。以监管为中心,要求国家结合“保护法”和“规制法”的机制需求,设计专门的组织、程序、配套制度,确保监管机制具有制度实效,但这并不排斥其他保障机制作为监管和执法机制的必要辅助和补充。
(一)以监管为中心的制度设计及实践展开
国家对个人信息保护法秩序的维护,体现在个人信息保护法的制度设计中,其具体从三个方面展开:(1)行政监管的组织设计。我国个人信息保护法专章规定了履行个人信息保护职责的部门,这既是国家积极履行保护义务的体现,也反映出个人信息处理活动中的关系结构所具有的行政监管特质。(2)行政监管和执法的职权与程序设计。国家对个人信息保护公法秩序的维护,主要就是对个人信息处理活动是否合规进行监督。为此,个人信息保护法第63条、第64条专门规定了监管和执法机构所具有的调查权、强制权,以及相关权力的行使规则。(3)违反合规义务的法律责任设计。个人信息保护法第66条、第67条针对违法处理个人信息的活动,设定了一系列行政法律责任,包括责令停止违法行为、警告、没收违法所得、罚款、信用惩戒等。上述制度设计充分表明,国家建构的个人信息保护秩序,主要表现为个人信息处理规则,而处理规则又内在地包含了个人信息权利束的内容及其行权方式,与个人信息权利束具有目标和内容上的同构性。正因如此,在个人信息保护的实践维度,无论对个人信息处理者的合规监管,还是对个人信息权利束的保障,都应以行政监管和执法为中心。
以行政监管为中心的保护机制,是符合国家保护逻辑的应然选择。无论GDPR,还是美国信息隐私执法的实践,其保护机制都是以行政监管的“公共执行”为中心,个人提起民事诉讼要受到各种限制。这是因为,国家保护需要国家设定规则并进行巡逻执法。面对具有规模性和事前可规范性的个人信息处理活动,行政规制在保护个人信息方面具有更高的效率。此外,个人信息保护的目标多元,个人权益虽然需要得到保护,但对数据治理规则的维护不能仅仅依靠个人。专业的执法机关能够采取更加合理准确的手段和策略,可以有效平衡隐私保护与数据流通、利用之间的关系。
从欧盟的实践看,行政监管和执法在GDPR的适用中起主导性作用。据统计,2018年5月GDPR实施以来,截至2022年5月,各国监管机构对GDPR框架下的违规行为实施了至少1093次行政罚款,罚款金额总计超过16.35亿欧元。与之相比,个人提起民事诉讼的情形极为少见。在规范适用上,从GDPR的规定来看,个人信息保护的救济权包括向监管机构投诉的权利(第77条)、对监管机构提起行政诉讼的权利(第78条)、对数据处理者提起诉讼的权利(第79条),以及主张损害赔偿的权利(第82条)。可见,在欧盟的实践中,“司法救济”既包括行政诉讼,也包括民事诉讼。在对这些条文的体系解释上,一般认为,针对侵犯权利束的行为,数据主体应当先通过投诉举报等方式,请求具备专业和功能优势的监管机构进行处理;如果个人对监管机构作出的处理决定不服,或者监管机构对个人的请求未进行处理或回应,则个人享有提起行政诉讼的救济权利。也就是说,GDPR第79条所规定的“有权获得有效的司法救济”,并非确立了一套个人直接发动民事诉讼程序的机制,而只是强调个人信息保护法秩序内在地具有保护个人权益的功能,在监管执法处理的前置性程序要求下,个人依然享有在穷尽行政救济途径后提起诉讼的权利。此外,当事人提起侵权之诉时,法院的审查也会涉及包括权利束在内的个人信息处理规则是否得到遵守。
在美国信息隐私保护的执法实践中,行政监管也占据主导地位。例如,在美国加州的消费者隐私保护法的适用中,最有力的规制方式是由专业的执法机构进行行政执法,违反个人信息处理规则的行为,往往由行政机构或独立监管机构进行调查,并由州总检察长向法院提起诉讼。该法同时对私人提起诉讼设定了较为严格的限制,即仅允许私人针对特定的数据泄露事故提起诉讼,并严格限定个人信息的范围。又如,在美国联邦层面的公平信息实践中,既有的与信息隐私私人诉讼相关的案例表明,仅有违反信息隐私规则的事实,并不足以证明个人具备诉讼主体资格,个人还需证明其因此受到了“事实上的伤害”。在2016年的“斯波克案”中,美国联邦最高法院坚持采用了实际损害标准,认为“损害须是已存在的或者具有紧迫性的,而非推测或假设的”。也就是说,在个人不能证明存在实际损害的情况下,仅仅因为个人信息处理者违反信息处理的程序性要求,个人不能获得起诉资格。
(二)以监管为中心与多元保障机制的兼容
以监管为中心的个人信息权利束保障机制,强调以“公共执行”机制为主导。在规范逻辑上,违法处理个人信息(侵害权利束)的行为,可以直接激活公共监管和执法机制,监管部门应依法查处违法处理个人信息的行为。为了监督监管机构切实履行保护个人信息的法定职责,个人也可以通过法定的投诉举报机制启动公共执行机制。如果监管机构不履行法定职责,或者个人对监管机构作出的处理决定不服,个人可以依法提起行政诉讼。此外,检察机关也可以通过法律监督的方式对监管机构依法履职进行监督。
以监管为中心的个人信息权利束保障机制,并不排斥其他辅助性、补充性的保障机制。对于权利束所对应的个人信息保护法秩序而言,作为“社会执行”机制的民事公益诉讼、作为“私人执行”机制的普通民事诉讼,依然有一定的作用空间。以监管为中心,辅之以多元保障机制,由此构成主次分明、功能协同的个人信息权利束保障机制,能够更加有效地落实保护个人信息权益的法律目标。从功能主义的视角观察,在行政监管保障机制之外,引入其他有助于促进个人信息处理活动合规的保障机制和方式,具有“目标—手段”意义上的合理性,也可以在实证法规范的体系解释中获得存在空间。
首先,个人可以通过提起侵权责任之诉实现对权利束的间接保障。个人信息保护法第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”个人信息权利束作为个人信息处理规则的组成部分,具有防止个人信息处理活动的风险向侵权损害转化的功能,因此可以衔接隐私权、名誉权等民事实体权益的保护。如果个人信息处理活动既违反了权利束对应的合规要求,也给个人民事实体权益造成了实际损害,个人可以提起民事诉讼请求损害赔偿。法院在判定个人信息处理者是否需要承担侵权责任时,往往也需要对信息处理行为是否违法进行判断。侵权之诉的判决虽不具备普遍适用性与政策调适效果,但个案裁判依然可以对个人信息处理者规模化的违法行为产生一定威慑,从而间接保障个人信息权利束和合规要求的落实。
其次,在社会组织维度,以公益诉讼为代表的社会执行机制,对于行政监管机制具有重要的补充作用。我国个人信息保护法第70条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”行政监管部门虽然具有监管的专业和能力优势,但监管部门对自身利益的考虑、监管部门与监管对象之间的复杂关系,难免带来监管动力匮乏、监管“俘获”,甚至“政商合谋”等问题,进而诱发监管失灵。因此,具有一定专业性和组织性的社会执行机制,应成为“以监管为中心”的保障机制的重要补充,在治理格局中发挥杠杆效应。对此,GDPR的实践已有所体现。2022年初,针对元宇宙(Meta)公司未取得用户同意径行发布用户个人信息的违法行为,德国消费者协会提起了代表诉讼。德国联邦最高法院认为,GDPR的规范适用和执法基本上应由行政监管处理;而欧盟法院则指出,允许消费者协会在没有数据主体授权的情况下提起代表诉讼,符合GDPR所追求的确保对个人数据高度保护之目标。欧盟法院从有利于控制个人信息处理风险、在制度实效上最大程度保护个人信息的角度,认可了公益诉讼在GDPR框架下的有效性。该案例意味着,欧盟的个人信息保护实践,在强调以监管为中心的同时,也开始注意到社会执行机制对行政监管的补充性效果。
最后,在信息主体个人层面,虽然个人不得仅以个人信息权利束受侵害为由径行提起民事诉讼,但基于最大化维护公益的目标考量,在少数特定场景中赋予个人拟制的、技术性的、功能性的“私人执行权”,也具有一定的合理性。在公益与私益联系日益紧密的现代社会中,在一些法律实施存在不足、所涉法益重要且紧密关涉个人权益的领域,允许个人提起“超个人利益之诉”来维护法秩序、促进法律执行,具有一定的正当性。例如,美国法上的“私人检察总长”理论便支持私人代表公益提起诉讼,相关实践也在环境保护、证券监管、反就业歧视等领域取得了一定成效。美国学者舒尔茨在系统考察个人信息权利束相关执法机制后指出,面对个人信息保护需求不断强化的现实,一些监管部门反应迟缓、缺乏履职动力、规制措施僵化,有必要针对权利束中的特定内容,赋予私人一定限度的执行权,发挥掌握一手信息、富有公共精神的公民的“领头羊”作用。例如,确立针对算法解释的诉讼权利,以减轻行政机构的监管负担、弥补行政规制的现实空白。不过,需要注意的是,个人维护规制秩序的私人行动,也可能受到利己动机的影响,故私人执行只能是公法秩序维护机制的例外,其需经法律条款明确授权方可创设,并应限定在特定领域、特定条件之下。同时,法律需对原告资格、撤诉、和解等程序机制进行专门限制,避免因私人执行机制的宽泛化、私益化,导致个人信息保护的客观法秩序受到冲击。目前,我国立法对于个人代表公共利益提起诉讼的私人执行机制,尚无明确、直接的规则表达,该问题还有待学理上的进一步讨论。即便未来立法对这一机制的适用情形与程序作出了明确规定,甚至将其纳入民事诉讼程序中处理,其正当化基础也仍在于维护行政规制之秩序,其性质也并非基于个人信息权利束之民事权利性质而延伸出的救济手段。
结语
现代社会的个人信息处理行为都具有大规模、系统化、持续性的特点。在法秩序建构的逻辑上,个人信息处理规则主要是针对公共风险而设计的强行性规范,其目的是保障个人和社会的“安全”,保障具有公共性、社会性、关乎共同体基本价值秩序的宪法法益。对违反个人信息处理规则、可能对诸多个体权益造成系统性风险的处理活动的纠偏,对国家建构的法秩序之维护,是个人信息保护法的主要目标。个人信息权利束中的各项权利,与国家建构的个人信息处理规则内容同构、功能互补,是作为公法秩序的个人信息处理规则的组成部分。这些权利与个人信息处理者的合规义务交织重叠,是国家从不同主体的视角出发,对个人信息处理活动的风险进行规制的产物。侵犯这些权利并不直接等于侵犯个人的民法人格权益,个人不能仅以个人信息处理者侵犯其个人信息权利束中的权利为由提起民事诉讼。
以监管为中心的个人信息权利束保护机制之定位,要求对个人信息保护法第50条的规定进行合理化解释。该规定不应被简单理解为赋予了个人针对侵犯权利束的行为直接提起民事诉讼的权利,更不是设定了以私人执行为中心的对权利束的民事保障机制。从规范逻辑角度看,个人信息权利束与个人信息处理规则具有内在同构性,个人信息处理者拒绝个人行使权利的请求的行为,同时也是违反个人信息处理规则的行为,故应当由履行个人信息保护职责的部门进行监督和追究行政法上的责任;如果个人对监督处理的决定不服,或者认为负有保护职责的机构不履行法定职责,可以依法提起行政诉讼。因此,个人信息保护法第50条中的“依法”,指的就是依照个人信息保护法行政监管和保护的逻辑,由负有个人信息保护职责的部门对违反合规义务、侵害个人信息权利束的处理活动进行监督和处理。例如,个人可以依法向负有个人信息保护职责的部门投诉举报,如果监管部门不履行法定职责,或者个人对监管机构的处理不服,个人有权依照行政诉讼法等法律向法院提起行政诉讼。从体系解释的角度看,应将个人信息保护法第50条与第69条结合起来进行解释。第50条规定的“向人民法院提起诉讼”,也可以包含提起民事诉讼,但个人提起民事诉讼的前提必须是“依法”,也就是依民法典相关规定和个人信息保护法第69条之规定。个人针对侵害权利束的行为提起民事诉讼,应同时满足个人信息保护法第69条规定的侵权责任的成立要件,即个人信息处理行为不仅“侵害个人信息权益”,且已“造成损害”。在这种体系解释中,第50条中的“依法提起诉讼”,可以同时容纳依法提起行政诉讼和民事诉讼,只不过,提起不同诉讼所依之法不同。
在调整“个人—信息处理者”不对称权力关系结构的“保护法”中,实现个人信息权益保护的目标,需要运用国家规制和民事救济等多元机制。规范个人信息处理行为,预防侵害个人信息权益的风险,主要靠国家建构风险规制秩序,并通过公共执行机制对规制秩序进行维护和修复。公共执行机制与私人执行机制之间并非互斥关系,而是在分工基础上的互补关系。这一分析框架不仅适用于个人信息保护领域,也适用于相关立法具有保护法特征的消费者权益保护、环境权益保护、未成年人权益保护、证券投资保护等领域,具有普遍的规范性意义。