吴文芳:个人信息保护法的社会法属性及其法律意义
作
者
简
介
吴文芳,上海财经大学法学院教授,法学博士
·摘要:
个人信息保护法具有社会法属性,其逻辑起点为个人信息具有私益与公益双重属性。公益性是社会法与个人信息保护法的最佳连接点,正如社会法的主要子部门劳动法,因劳动力兼具私益与公益,其调整规则最终被社会化。基础关系的持续不平等性是信息法与社会法属性交叉的社会关系基础。在个人信息保护法的现有制度中,已嵌入集体保护机制、公益诉讼机制以及公共利益平衡机制等社会法机制,以回应信息保护难题。以社会法视角贯穿个人信息保护法的运行机能,能够为个人信息保护法提供双重价值,一方面社会法为个人信息保护法律调整提供多层结构,另一方面为信息执法和司法提供法律适用的价值。·目录:一、逻辑起点:个人信息蕴含社会属性(一)个人信息私益与公益的双重结构(二)社会法与个人信息公益性的连接二、基础关系:信息使用社会关系中的不平等(一)信息使用产生的不平等社会关系(二)持续不平等关系之场景类型三、制度回应:信息保护的社会法机制雏形(一)集体保护机制(二)公益诉讼——集体保护的程序机制(三)公共利益调节机制四、信息保护法社会法属性的法律意义(一)社会法为个人信息保护法律调整提供多层结构(二)个人信息保护执法与司法中社会法价值之适用五、结语
近年来,我国个人信息保护领域立法不断推进加速,2021年8月20日《个人信息保护法》的出台,标志着我国个人信息法律保护正式进入新阶段。该法全面系统地对个人信息保护作出专门规范,为数字经济在法治轨道上健康发展提供了制度保障。伴随着个人信息保护领域的立法进程,法学界对于个人信息法律保护的研究热情迅速高涨且持续保持。传统法学学科从各自的研究视角出发探讨个人信息的性质、保护手段、救济方式与法律责任等问题,如民法学科侧重探讨个人信息与隐私权的关系,个人信息保护的私法保护路径;行政法学科亦根植本学科既有法律资源,对个人信息保护展开研究,强调个人信息需要由国家建立有效的事前事中监管体系与行政执法制度来提供保护。
经多年论证研讨,学界基本形成的共识是个人信息保护需公法与私法协同合力。对于协同的路径,宪法学者以基本权利为工具,认为应当将个人信息受保护权作为基础构建一套基础稳固、内容完善、结构合理的,并且有助于厘清诸多部门法、执法手段之间关系的信息保护法体系。对于公法与私法保护路径协同与统合的相互关系,从部门法视角切入还有进一步讨论的空间。有学者提出,个人信息保护采取的二元治理框架,既区别于传统私法,也区别于传统公法,个人信息权利的法益具有多元性,需还原到具体场景中界定权利边界。尤其在持续性不平等的法律关系中,如消费者与经营者、劳动者与用人单位结构中,主体间的信息关系往往受制于基础关系,脱离具体场景谈个人信息保护,无益于为信息主体提供有效保护。可以说,引入场景化理论为个人信息保护铺垫了社会关系特殊性的理论基础。进一步阐述个人信息保护法的社会法属性,对于个人信息保护法的执法与司法在价值层面具有指导意义。本文试图从法律关系的深层结构中挖掘个人信息保护法的社会法属性,并就具体制度中的价值导向作出相应解释。
(一)个人信息私益与公益的双重结构
个人信息的私益属性早已为立法者与学界所认可。在我国民事立法中,对于个人信息私法保护经历从隐私权保护到隐私权与个人信息保护二分的历程,《民法典》总则编和人格权编中均遵循隐私权与个人信息分立的格局。《个人信息保护法》中也设置了私法性的条款,如告知同意规则、过错推定侵权责任等保障私法权益实现的规定。
个人信息具有私益属性,并不意味着否认个人信息的公益属性。个人信息的私法属性在理论上来源于个人信息自决权理论。启蒙运动时期以笛卡尔与康德为代表的思想家主张人的个性解放和独立判断,奠定了个人控制信息“自决权”初始理论形态,而后德国的施泰姆勒完整地提出了“个人信息自决权”概念并进行了内容描述。不同历史阶段对人自由与尊严的认识和表达延伸至主体活动衍生空间的范畴,反映了个体在社会实践过程中自我内在塑造与外部溢出相贯通的能动性和自主性,逐渐形成“个人信息自决权”理论并在宪法中赋予为公民的基本权利。1984年德国联邦宪法法院的“人口普查案”判决中将个人信息自决权论证为一般人格权,之后个人信息自决权理论在欧洲、日本、我国大陆以及台湾地区都被广泛接受。个人信息自决权的经典表述是:“个人可以决定向谁告知哪些和他相关的信息,哪些可以隐瞒。这项权利适用于一切个人信息,自然也适用于那些看上去无关紧要的个人信息,我们不再要求根据个人信息的内容来划分哪些处于私人领域,哪些处于公共领域。”德国法上对个人数据权的救济采取绝对权侵权救济模式,理由之一即个人信息自决权属于一般人格权,而一般人格权理应被解读为《德国民法典》第823条第1款规定的“其他权利”,因此侵犯个人信息自决权的法律规制依据自然来源于《德国民法典》第823条而无适用障碍。
不过,个人可以自主控制与支配个人信息的解释视角仅停留于私域空间显得缺乏支撑力和解释力,若“个人信息自决权”理论忽略个人信息的公共属性与社会属性,则有失妥当。实际上,“个人信息自决权”理论主要为防止政府机关不合理地收集和使用个人信息,强化对个人基本权利的宪法保护,其无意设定绝对不受限制的个人信息自决权,也不意味着个人对个人信息的绝对支配权。王泽鉴先生指出,在“人口普查案”的判决中,德国宪法法院尽管提出了“信息自决权”的概念,承认个人对其个人信息享有个人自治与自决的法益,但并不能据此就认为个人因此享有绝对的排他支配权,个人数据保护仍然要受比例原则等法律要素的限制,其作为一项宪法性权利,在宪法层面也要受到知情权、言论自由等权利的约束。更重要的是,个人信息自决权作为一项信息时代前的宪法理论无法满足人类社会进入互联网与信息时代后的客观需求,科学技术与社会信息的结合催化出新型业态,促成信息或数据成为不可或缺的生产要素,如过分强调个人支配将对生产关系产生较大阻碍。在当下民法学者的著述中,对于个人信息利益的双重结构也有比较明确的表述,如张新宝教授曾提出“两头强化,三方平衡”理论,其要旨是:强化个人敏感隐私信息的保护,强化个人一般信息的利用,平衡个人对个人信息保护的利益、信息业者对个人信息利用的利益和国家管理社会的公共利益。
坚守个人信息私法属性的同时,应正视个人信息的公共属性或社会属性。有学者指出,个人信息公法益是私法益的集合并且能够还原为私法益,进而实现公民共同体信息权益的全面保护,对此笔者不能认同。个人信息的公法益不等于私法益的简单相加,而是超越私人利益的不特定多数人的利益,注重寻求不特定多数人利益的公约数和同心圆而非某些团体或个人利益的集合。个人信息具有公共属性或社会属性至少有如下三个面向值得特别关注:第一,信息本身具有公共性,这就使得个人信息在某种程度上必然会显现出公共性的特征。自古以来,信息一直是公共领域的素材,不具有排他性而被视为一种公共资源。个人信息的产生与个人的身份或活动有关,其侧重于某种信息单独或结合起来能够识别到特定个人,但这并不影响个人信息兼具私益与公益。“从宪法的角度看,某些情况下,信息隐私具有公共物品的属性,像空气或者国防一样发挥着作用。”例如个人的身份证、电话号码等身份信息对于国家治理具有基础意义,可能涉及公共秩序和国家安全,因而此类信息具有相当的公共性,在制度上该类信息的处理应有利于实现公共利益功能。
第二,互联网与信息时代进一步凸显了个人信息作为公共利益的重要意义。经由信息技术扩展的互联网将更多的生产要素连接起来,作为数字平台的基础设施可以借此提供高质量的信息服务,个人信息在数字平台中的流通与使用又促进了价值叠加,进入网络的参与人获得了更多交易机会,网络也因此不断得到改进与提升。在价值的生成与促进网络的扩展方面,正是互联网与信息时代个人信息流通表征出的公共属性得以推进正向效用。以数据流动为例,企业场外数据交易活跃,客观上需要制度保障数据价值实现,如果在数据市场的法律规制过程中充分考虑信息的公益属性,为数据安全提供认证与可交易规则,在数据市场的建立中供给有利于第三方社会组织的配套制度等等,社会法属性机制的竞争优势将会被更充分地体现出来。
第三,现有信息法体系对于个人信息公共利益属性的回应存在不足。在传统法律体系中,涉及处理信息的知识产权规范利用一整套精妙的制度设计保障了信息的公共性与主体的专有权,通过信息的公开与思想成果的自由使用推动科技艺术与商业文化的持续累积发展。但在《个人信息保护法》中关于个人信息与公共利益之间的联系,除对知情同意原则进行了一定程度的重塑,并在第13条第1款的第2、3、4、6项对相关主体行使法定职责或履行法定义务等进行了规定之外,仍然缺乏系统性的框架实现个人信息的公共利益功能。
(二)社会法与个人信息公益性的连接
维护公共利益是社会法的基本宗旨。在社会法领域,单纯的公法或单纯的私法难以调整该类社会关系,社会法是兼具公法和私法双重属性的法律。社会法的基本特征是以社会整体利益为本位,把公法和私法的调整方法结合起来,强调社会整体利益的福利性平衡。社会法以社会公共利益的维护作为其基本的价值追求,是在传统公私法之间衍生出的新领域。社会法成为独立第三法域的基础在于“社会公共利益”不同于“个人利益”与“国家利益”,因而需要独特的规制对象、调整原则、调整方法、权利体系与法律责任。
社会法领域最重要的子部门劳动法,就是具有私益与公益双重结构的劳动力调整规则不断社会化的产物。近代私法中,人被当作私法上权利义务的主体,因而劳动者处分自身劳动力被置于债权关系下看待,雇佣关系的债权化拓展到各生产领域。然而,劳动力内化于劳动者的身体之中,与劳动者人身密不可分,追求劳动力的价值创造和利润再生往往需要限制劳动者活动的自主性并使其产生依赖。资本主义发展早期劳动者迫于生计不得不接受的工作条件,受雇主指挥权的约束,工资畸低与职业安全事故频发导致工人的身体健康与生命权受损,从而导致劳动力作为重要的生产要素的延续与再生产受到严重影响,劳动力的高风险对公共利益产生严重损害。自由资本主义时期,政府对经济社会的无为而治,贫富差异、劳动生存环境恶化等社会问题仅被看作市场自由竞争的结果。但随着自由资本主义向垄断资本主义转型,社会危机笼罩着整个就业市场,以形式主义和个人主义为中心的私法不断被挑战,具体社会情境中人的形象与抽象理性人之间的矛盾越来越难以调和,法的社会化成为必然。
个人信息与劳动力作为生产要素最终被社会化有强烈的可比拟性,这种关系状态与民法之于社会法的主要组成部分——劳动法的关系极其类似。在互联网与信息时代,个人信息的公共性愈发凸显,由于其生产和处理过程融合了相当多的公共性因素,并非仅存在于私人主体之间的法律关系。在关涉公共利益的范畴内,传统私法的救济方式不足以抵御个人信息面临的高风险,而仅以国家公权力机关为执法主体的公法干预,在保障个人信息公益属性功能的目标实现过程中难以均衡治理。社会法对于公共利益维护的运行机理与制度结构,在保障兼具私益与公益的个人信息时从而彰显出先天优势。
强调社会法视角对于理解个人信息保护法具有重要作用,其缘由除个人信息本身具有私益与公益双重结构外,第二重原因在于个人信息使用中的不平等社会关系与社会法产生重叠与交叉,使得以社会法视角讨论个人信息保护的必要性更进一层。
(一)信息使用产生的不平等社会关系
个人信息作为一种私益可以通过私法获得部分保护,然而一旦脱离了私人处理的场景,进入个人信息商业运用的范畴,信息主体与信息处理者之间持续性的不平等关系就被明显地呈现出来。全球通行的个人信息保护立法规范中关于个人信息应用所预设的场景主要是商业性或专业性的信息处理,并且在立法目的和制度设计上旨在矫正持续性信息不平等的关系,保护处于弱势一方主体的信息权益。我国《个人信息保护法》第72条规定:“自然人因个人或者家庭事务处理个人信息的,不适用本法。”这实际上与欧盟《通用数据保护条例》(以下简称GDPR)第2条第2款(C)项规定是一致的,都排除了一般私人间活动处理信息的行为。从个人信息权利的内容来看,信息主体所享有的知情权、选择权、访问权、纠正权、删除权、携带权等权利,都难以向日常生活中的信息处理者请求,只能面向商业性或专业性的主体表达。在美国,信息隐私的框架体系起源于阿兰·威斯丁(AlanWestin)对于个人信息控制的主张,其保护措施所针对的对象是具有数据收集和利用利益的企业、政府机构和科研机构,尤其是利用数据库等现代科技大规模收集个人信息的主体。而互联网时代移动互联网、智能终端与算法等信息技术的快速发展,辅之各类智能第三方移动应用的普及,导致信息保护对象转化为各类数据产品与程序的消费者。消费者与商家之间持续不平等社会关系在近代法律体系中已经突破私法,在私法社会化运动中实现了消费者权益保护法的社会法属性,这一属性同理也应适用于当下个人信息使用产生的具有持续不平等的社会关系中。
个人信息的生产与再生产在一定程度上造就了互联网的兴起与繁荣,而互联网兴盛时代的个人信息保护也愈加体现出这一特征,即互联网时代信息流动在以平台为基础的数字基础设施服务上实现,而提供数字基础设施的平台主要为超大型的商业性互联网公司。个人信息的处理也需要尽可能地回应数字环境下的基础设施服务功能,这就使得个人作为信息主体一方面经常要面对专业性的具有数据收集和利用利益的信息处理行为,另一方面,这些信息的处理又必然产生正外部效应。换言之,信息使用在互联网时代下持续的不平等社会关系下展开,对于这些不平等社会关系的规范除满足公法性的强制要求外,更有必要安排某种制度更为有效地实现公共利益功能,有学者甚至在此基础上提出个人信息的社会控制学说。尽管社会控制说的制度内涵尚不清晰,但个人信息使用中应当有区别于以私法调整平等关系与以公法作为主要控制手段的社会法机制,不能抛却具体场景空泛地进行。
(二)持续不平等关系之场景类型
基于共同体场景的视角讨论个人信息保护得到理论界的广泛关注,个人信息保护的合理程度应置于其所处的环境中具体审查,其目的是在信息保护与信息流通之间寻求平衡,根据不同共同体的特点和具体场景中人们的普遍预期来判定个人信息保护的边界。个人信息的收集者和处理者与个人之间形成的持续不平等法律关系,既不同于平等主体之间的民事法律关系,也不同于个人与国家公权力之间形成的关系,如脱离共同体场景的类型化,只在一般意义上谈论动态性的多因素判断,可能因弹性过大导致司法的恣意与不确定性。因此,对于持续不平等关系的场景类型,宜根据社会关系所形成的特定共同体类型进行针对性的制度供给。就具体的场景化而言,主要包括两类共同体关系:分别是消费者与商家之间及劳动者与雇主之间。尽管“消费者”与“劳动者”均被视为社会中的弱势群体,因两者处于不同类型的共同体关系中,以“消费者”为原型设计的同意,由于“劳动者”的弱势处境差异明显,因而在个人信息保护法中明显不适应。
消费者与商家之间的持续不平等关系在个人信息保护法中得到更多关注。我国《个人信息保护法》提升了敏感信息的保护水平,强化了“告知—同意”规则的适用场合和条件,主要保护的是陷入信息不对称困境的消费者。但是,对于劳动者而言,信息不对称仅为双方不对等的成因之一,矫正信息不对称并不会对劳动者的信息保护产生直接影响,两类共同体中“持续性”不平等意蕴也大不相同。互联网时代的消费者尽管持续地处于与商家的交易当中,但针对单个合同而言,消费者与商家之间为一次性的力量对比型不对等,而劳动关系中劳动者与雇主之间是全程实质控制的从属关系。因此,就个人信息保护法的制度设计而言,如何在针对消费者与劳动者两种不同身份的共同体成员的信息保护与信息社会化利用之间取得平衡,以社会法的视角进行探讨殊有价值。
社会法调整个人信息的逻辑起点在于个人信息兼具私益与公益的双重结构,而个人信息使用中基础关系的持续不平等性,也奠定了私法保护或公法规制的先天不足。即使由公私法协同规制,仍面临两难处境:强调主体平等、意思自治的私法并不擅长调整不平等关系;而以公共监管与执行机制为中心的公法保护机制,易忽视个人信息公共利益属性与信息使用的场景化特征。以社会法机制回应个人信息保护中的难题,是回应现实问题的客观选择,尽管相应的机制发育并不成熟,但在当下个人信息保护法中已初见端倪。
(一)集体保护机制
基于个人信息法益双重结构与基础关系的持续不平等性,要在个人信息流通、利用与保护之间取得平衡,个人信息保护法必然结合具体场景,采用以倾斜保护、集体保护等为原则的社会法框架。有学者提出,民法与个人信息保护法的关系类似于民法与消费者保护法的关系,个人信息保护基于国家对人格严的保护义务,而消费者保护基于国家对平等、社会正义等价值的保护义务,个人信息权益本身的特性也决定要实现有效救济,制度建构应以集体保护模式为主导。可见个人信息保护法的社会法属性已经被学界关注。我国《个人信息保护法》第70条将“法律规定的消费者组织”作为适格的个人信息公益诉讼起诉主体,就体现了社会法在中观层面实施集体保护的框架。《消费者权益保护法》第47条规定了消费者组织提起公益诉讼的权利,部分消费者协会的公益诉讼起诉权已获得相关单行法的认可,司法实践中已见将消费者组织作为公益诉讼起诉主体的相关案例。尽管在个保法草案及各审议稿中,消费者组织未列入公益诉讼起诉主体,但最终法律文本将其纳入,体现了立法者对于个保法与传统社会法之间的制度衔接有所考虑。
就劳动者与雇主这一具体化场景而言,对于劳动者的倾斜保护与集体保护的框架在《个人信息保护法》中有所体现。《个人信息保护法》草案的一审稿与二审稿中,均未涉及劳动者的集体保护,但正式法律文本规定“依法制定的劳动规章制度与依法签订的集体合同”都可以成为替代劳动者同意的集体合意形式,于学理上具有重要价值,但需进一步规范解释。劳动者个人信息易受侵害,根本原因在于劳动关系从属性中劳动者难以真正体现自愿权利,在签订集体协议时,工会与雇主并无从属关系且工会理论上已经取得雇员的授权,因而双方就雇员个人信息处理在协议中作出安排,就是集体协议内化进入个人信息保护的范例。GDPR第9条第2款(b)项明确规定,当“为实现控制者或数据主体在工作、社会保障以及社会保障法的范畴内履行义务、行使权利之目的而进行的必要数据处理,……成员国订立的集体协议的范围内实施。”同时,GDPR第88条关于职场信息处理,其中第1款中规定,允许成员国通过集体协议制定更为具体的规则。由此可见,集体协议是实现劳动者信息保护的重要途径之一。德国《联邦数据保护法》第26条第4款明确规定,“在集体协议的基础上,允许处理个人数据,包括为雇佣关系目的而处理的雇员的特殊类别的个人数据。”在德国劳动法理论中,集体协议的当事人——工会具有团体协约自治的能力,其意思表达当然应当被视为不受雇佣关系从属性的干扰,而实现了充分自治性。将集体机制内化在个人信息保护中的优势显而易见:当劳资双方在平等性关系基础上认可个人信息使用的合法性,企业就不用再以高成本方式取得员工的个别同意来实现信息的流通与利用。
(二)公益诉讼——集体保护的程序机制
社会法作为公法与私法之外第三法域的基本理论范式,源于其基础关系、法律关系的内容、责任以及司法救济(诉讼)程序等与公私法均有不同,我国《民事诉讼法》第55条所规定的对污染环境、侵害众多消费者合法权益等损害社会公益行为的公益诉讼,以及《消费者权益保护法》第47条所规定的消费公益诉讼制度被认为具有典型的社会法意义。个人信息私益救济与公法保护在个人信息保护上的局限需要吸取社会法上集体保护机制的优势弥补不足。作为集体保护的程序机制——公益诉讼深刻蕴含了社会法的价值与功能:公益诉讼的制度目标在于追求实质正义与社会正义,其最为直接的实体目的就是确认、恢复与实现公共利益。
个人信息公益属性与国家利益属性并非同一概念,尽管两者之间可能存在重合,但公共主体性与国家主体性明显倾向不同,因而个人信息的公益诉讼机制有别于因信息滥用危害国家利益的公法保护机制。个人信息公共利益是不特定多数人享有的利益,主要为消费者面对专业性或商业性的信息处理者时,因持续不平等关系导致信息使用场景下多方利益不均衡,个人信息面临着被侵害的风险需要通过法律手段加以保护。个人信息保护公益诉讼制度是一个颇具国际共识度的制度,如GDPR第80条第1款、韩国《个人信息保护法》第51条。德国通过修改《联邦数据保护法》(BDSG)明确将保护个人信息的规范列为广义上的“消费者保护法律”,并明确:个人信息保护法属于消费者保护法的范围,所有根据消费者保护法可以提起的团体诉讼,都适用于个人信息保护。
我国个保法顺应了世界信息立法的主流趋势,将公益诉讼作为应对信息侵害治理难题的救济方式之一,并且将其规定在《个人信息保护法》第70条中。个人信息公益诉讼与传统上的公益诉讼机制在制度理念与基本构造上具有承续性。就合规性而言,提起个人信息保护公益诉讼的前提要求必须具备“违法处理个人信息”与“侵害众多个人的信息权益”。“众多”的界定和理解涉及规模及范围,指向社会公共空间,由于公共利益具有高度抽象性与多样性的特点,实践中多由法院运用法律解释方法于个案中加以具体化。但在个人信息保护领域,对于“众多”的判定又因个人信息保护侵权的广泛性出现了新进展,如2021年8月最高人民检察院发布《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,其中特别提到“是否涉及侵害敏感的、特殊群体的、重点领域的、达到100万人以上大规模的个人信息”。可见,由于个人信息公共利益的广泛性,公益诉讼适用的前提也将出现一定程度的放宽。
在个人信息保护的公益诉讼机制中特别提出社会组织作为起诉主体,体现了社会法的独特规则模式。个人信息保护公益诉讼机制中,除人民检察院与法律规定的消费者组织外,“国家网信部门确定的组织”也可以成为适格的起诉主体。法律首次将社会组织明确列入个人信息保护的公益诉讼起诉主体,体现了以社会组织执行来补充公权监管与私人维权。归纳对比国内外立法文件关于社会组织的定义,作为公益诉讼的社会组织至少应当具备三个主要特征,其一是非营利性,具有公益性;其二是该组织长期从事公益活动,具备开展或提起诉讼的能力;其三是具有合法开展公益活动的主体身份,即依法设立。在社会法的视野下,“社会”是独立于国家的一种组织化模式,是介于国家(政府)与个人之间的社会组织。由消费者团体与网信办划定的社会组织作为公益诉讼的起诉主体,尽管其诉权主体按照《个人信息保护法》第70条规定顺位在检察机关之后,这样的规定仍有其现实意义,毕竟现阶段消费者组织缺乏相应的财力人力支持,难以开展个人信息公益诉讼,而网信部门确定的组织要确定并发展出成熟机制也需假以时日。但着眼未来,社会组织提起的公益诉讼在专业化与规模化方面都有不可替代的优势,基于社会法的价值追求,诉权主体的顺位制度安排在将来仍有调整的空间。
(三)公共利益调节机制
个人信息公共利益属性的双边结构十分明显:一边是在持续不平等关系下,消费者或劳动者面对专业性的具有数据收集和利用利益的信息处理行为,致使众多弱势群体的个人信息易受侵害。为扭转信息处理者与信息主体间的权利势差,个人信息保护法必须以公法手段干预私法关系,即采用社会法的基本调整模式以保障弱势主体的利益。另一边是信息使用对社会具有强烈的正外部效应,必须通过相应机制保障个人信息保护与利用之间实现平衡,满足个人信息正外部性的公共利益功能。对于后一类公共利益调节机制而言,社会法的调节机制主要关注点在于保障整合之后易于促进公共利益增值的信息生产与处理活动。
个保法中的知情同意原则就深刻地体现了公共利益调节机制的特征。我国立法曾将“同意”作为收集和使用个人信息的前提条件,信息处理者需要不断获得用户的同意,虽然这符合个人信息自决权的理论预设,但在实际履行中存在如告知虚化、决策扭曲等使用困境,僵化的知情同意原则还会阻碍信息集合效率与规模化利用,阻滞公共利益的实现。在《个人信息保护法》立法过程中,我国理论界对于知情同意原则进行了深刻反思与批判。在持续不平等的消费关系中,为保护消费者利益,《个人信息保护法》加重了经营者的告知义务,加重同意的形式要求,以保障同意的真实有效。不过,面对处于持续不平等关系下的劳动者在个人信息保护中的窘境,《个人信息保护法》仍关照不足,第13条第2款在劳动者个人信息保护与雇主管理权的天平上向后者过分倾斜,如不加限制,劳动者个人信息可能面临滥用危机。另一方面信息的个人控制倾向可能阻碍信息使用与流通,因而需要符合信息生产与流动的公共利益保障机制平衡多方利益,立法对此做出了许多有益的探索。《个人信息保护法》第13条第2款至第7款规定了若干情形下不需要取得个人同意,出于公共利益的要求,个体私利可以适度克减让位于更迫切的公共利益。例如第4款特别结合疫情,肯定了突发公共卫生事件涉及大规模持续处理个人信息的正当需求。在疫情防控下,公民健康码是个体自由等私利与公共利益的集合体,也是公共治理的重要依托,在紧急状态下不需要取得个人同意而使用。
出于维护公共利益的目的,特别是保障信息流通带来的公共利益,个人信息保护不仅应关注收集后的行为规范,也应关注个人信息生产和创设过程中的社会利益之维护。正如学者指出的,个人信息的使用需要满足和解决数字市场和数字社会形成发展过程中的核心问题,确保数字要素有序流动,市场秩序安全稳定,应关注信息功能而匹配相应制度。个人信息保护法宜在如下几个方面有所作为:第一,对于信息跨平台流动,应当在制度层面供给正式的认证制度,例如涉及相关数据市场的认证制度;第二,设计相关机制以鼓励互联网平台及其生态系统交换流量和信息,推动行业自律机制的发展发育;第三,以相应制度保障个人信息使用的声誉市场的建构,如引入第三方市场等社会化的认证机制。这在GDPR中已有先例,依照GDPR第42条第3款,企业可在自愿基础上接受信息保护的行业认证并在产品上明确标识,行业认证在实践中多为第三方中立机构,依专门程序与标准对企业信息合规进行检测与认证。
社会法的集体保护机制、公益诉讼机制以及公共利益的调节机制无声地渗透入个人信息保护制度的框架之内,充分说明在以公私法协同保护个人信息的视角外,以一种更为开阔的第三法域——社会法视角调整个人信息使用各方利益客观上具有必要性。个人信息保护的双重属性与信息使用中持续不平等的基础关系是社会法机制调整个人信息使用关系的基础。此外,对于个人信息保护法中社会法属性的解读,还可以从价值层面展开,既因为社会法与个人信息保护法的价值契合,也可以在该层面阐释对特定共同体予以个人信息保护的法律意义,从而为相关规范的法律解释指明方向。
(一)社会法为个人信息保护法律调整提供多层结构
作为第三法域的社会法,其法律调整区别于公法或私法的关键之处在于社会法上的权利是一种结合公益与私益的特殊形式,从而使得社会权利与行政权力和民事权利产生区别。如,劳动者在劳动合同上的权利,并不如私法契约一般,由用人单位应履行义务所确定,而是包括了法律基于社会公共利益之所需为其创设的权利,义务反之亦然。将这种法律调整方式投射到个人信息使用关系中,同样可以发现公法与私法以这种有机的而非机械的方式组合在个人信息使用的法律关系中。个人对信息私益的处分在一定范围内得到私法的保护,然而在超越信息私益的范围之外,个人对信息的控制反而应负担一定的法律义务。
除了在合同关系上公私法结合的属性外,社会法的法律调整机制值得在个人信息保护领域借鉴与参考。就第三领域的社会关系调整而言,已经形成共识的是以社会基准法、团体保护以及私法契约组合而成的,具有多层结构的社会法调整体系。在目前个人信息保护法的具体制度中,对于个人信息的集体保护机制及作为集体保护的程序机制——公益诉讼机制已有初步规范,但是仍有进一步完善的空间。《个人信息保护法》第70条确定的公益诉讼机制中,目前倚重检察机关为诉权主体,但如果对具有公私结合特征的公益诉讼机制从社会法属性解读,在法律实践层面与未来的制度建构中,应给社会组织留下更多作用空间。
未来立法中,个人信息保护的社会基准法模式分量也将加重。社会基准法作为规范个人信息保护的最低标准,具有强行性,但强行法不等于公法,如劳动基准法是强行法,但并不配备公权力的监督、强制和惩罚职能。应结合具体场景风险与共同体类型、信息使用目的等,在不同的共同体、行业之间创设强度适当的最低标准,以基准法的方式平衡多元信息法益下的个人信息保护与利用。如,在消费者保护领域,对于信息权利保护可以设置特别的行业标准,现有的国外立法已经有不少类似的先例。澳大利亚《消费者数据权利法案》旨在金融领域构建对于消费者的特殊保护,通过构建消费者访问权以实现消费者对于个人信息的控制,并逐步将此推广至能源、通信、互联网交易等领域。荷兰个人信息保护实践中大量的行业规则进一步丰富了数据保护法的原则性规定。可以期待的是,劳动关系场景下劳动者的个人信息保护,亦可结合知情同意适用的限制、工作场所视频监控、劳动者删除权、可携带权的行使等,在正在起草的《劳动基准法》中确定相应的基准。
(二)个人信息保护执法与司法中社会法价值之适用
就个人信息的主要保护路径而言,除上文提到的社会法机制外,私权保护机制与事前事中监管体系和行政执法制度是个人信息保护的基本框架。我国个人信息保护法的私法规范比公法规范占比领先诸多,且具有可操作性,可在司法中直接援引适用,公法规范则更多依赖行政法规和规章予以具体贯彻落实。无论是在以司法诉讼为中心的私权保障机制,还是在以行政规制为手段的行政执法机制中,强调社会法价值的适用,将为私法保护路径和行政规制路径的发挥产生正向作用。
在私法层面,当个人信息权益受到损害时受害人主要提起侵权之诉。在个人信息的侵权之诉中,侵权日益呈现出高度隐蔽化和技术化的特征,并且还出现了社会分选和歧视、消费操纵与关系控制等新型损害,对于这些损害后果的判定,必须依赖于对信息处理行为的合法、正当、必要进行考察,其中必然涉及到运用比例原则进行利益衡量。此时,以社会法扶助弱者,矫正不平等关系的价值观将对司法效果产生重要的影响。以劳动关系下的相关案例为例,过度关注自身管理权而忽视雇员利益的用人单位,可能借助劳动合同、企业规章制度等方式凌驾于劳动者信息利益与隐私权之上,此种信息处理行为不应被认为“人力资源管理所必需”。另外,即使在超越劳动合同目的下进行的劳动者信息收集,为保证信息的利用,能够判明同意真实性的也应认定其符合合法性。在法律或合同的具体解释中,倾斜保护原则下的“有利原则”应当作为解释的重要价值导向。就公法保护手段而言,主要包括行政法和刑法保护。个人信息公法保护存在其自身的局限性,如必须依托强有力地规制机关和执法队伍,需要组织、人员层面的大量投入;侵害行为必需造成严重损害后果,才满足公法保护的启动程序;要求基于统一的规则形成相对稳定的执法实践而可能牺牲灵活性;信息处理者承担行政或刑事责任,无法对受害人进行直接救济。如若能更多地与社会法相关机制融通,不断强化公法、私法与社会法的跨部门、跨法域合作,才能建构一个充分实现个人信息双重属性的功能性法律框架。
个人信息保护法兼具私法与公法双重属性已成为共识,但公法与私法的配合并非简单机械的叠加与合并,需要引入第三法域社会法的融贯汇合。个人信息使用在基础关系上的持续不平等性,奠定了社会法调整的法律基础。在信息保护领域,出于对信息保护、流通与利用的需要,集体保护机制、公益诉讼机制以及公共利益调节机制等社会法机制已浸润其中。由于社会法与个人信息保护法在价值层面高度契合,从社会法视角研究信息保护法不但能够给予特殊共同体以信息法保护,还能为个人信息保护提供适用上的价值。社会法仍有诸多制度资源在个人信息法领域大有可为,期待今后有更多学者挖掘个人信息保护法中的社会法属性,通过阐释和适用,破除个人信息法和社会法之间存在的跨部门壁垒,为处于不对等结构中的弱势群体提供体系完备的信息保护框架,也为实现个人信息的公共利益功能提供机制保障。
《法治研究》热忱欢迎学界朋友的赐稿!
稿件无论采用与否,我们都会在一个月内回复,如未能在限定时间内收到通知,烦请及时联系我们。
·官方网址:
fzyt.cbpt.cnki.net
·投稿邮箱:
fazhiyanjiu @vip.163.com
·联系电话:
0571-87059288
相关文章·丁晓东:个人信息公私法融合保护的多维解读
·冯健鹏:个人信息保护制度中告知同意原则的法理阐释与规范建构·高富平:GDPR 的制度缺陷及其对我国《个人信息保护法》实施的警示