查看原文
其他

张翔:个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思 |《环球法律评论》2022年第1期

张翔 环球法律评论 2023-03-26

点击上方蓝字 关注我们

如需转载本文,请在文末留言
转载时烦请注明转自“《环球法律评论》公众号”字样

张翔,北京大学法学院教授。

本文系《个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思》一文的正文,注释从略,全文发表于《环球法律评论》2022年第1期,原文请参见环球法律评论网站:http://www.globallawreview.org,或点击文末左下角“阅读原文”。

内容提要:《个人信息保护法》最终纳入“根据宪法”条款,表征着个人信息保护法律体系在底层逻辑上的更动。民法学上权利与利益的区分保护原理,难以适用于整个合宪性法秩序。应将个人信息权确立为宪法位阶的基本权利,并以基本权利作为针对国家的主观防御权和辐射一切法领域的客观价值秩序的原理,协调个人信息保护的私法机制和公法机制。通过对人权条款笼罩下的通信权和人格尊严条款的解释,可以在学理上证立“基本权利束”性质的个人信息权。但其具体保护则应分别归入不同基本权利条款,作出区分化、差异化的多层次构造。个人信息保护的支配权思维有其局限,告知同意模式的式微是重要表现。应将个人信息权的规范目标调整为人格的自由发展,指向免于他人的人格干预。从支配权到人格发展权的思维转换,有助于规制对已收集信息的不当利用、破除“信息茧房”、缓和个人信息保护与利用之间的紧张,以及在“个人—平台—国家”的三方关系中有效保护个人的自决,同时为数据产业保留发展空间。

关键词:个人信息保护 基本权利的双重性质 支配权 人格发展 国家保护义务


《个人信息保护法》的立法材料表明,立法者在个人信息保护的权利基础上存在困惑与犹疑。在相关立法过程中一直存在个人信息是权利还是利益、个人信息保护应采支配权模式还是行为导向模式等争论;《个人信息保护法》在三审稿中纳入“根据宪法”条款,似乎表征着个人信息保护在底层逻辑上的更动,但相关立法材料并未提供充分的说明。立法并不能解决一切问题。法律治理目标的实现,需要法学学术的支撑。新法已立,继续阐释新法的宪法基础,使新法妥帖融贯于合宪性法秩序,是宪法学的基本学术任务。本文尝试对《个人信息保护法》做合宪性解释,反思既有的争论,证成宪法(学)层面的个人信息权,阐释其规范目标,并据此对《个人信息保护法》的若干规范作出分析与评价。


一、“根据宪法”之惑

《个人信息保护法》直到草案三次审议稿才写入“根据宪法,制定本法”,其中意味值得深思。考诸立法史或许可以发现,写或不写“根据宪法”往往只具有形式性、标志性或者宣告性意义,但是观察近年来全国人大及其常委会的立法实践,会发现“根据宪法”条款的实质性、规范性意涵在明显增强。“根据宪法”条款的作用从形式性走向实质性的重要标志,是2018年宪法修改将全国人大的“法律委员会”更名为“宪法和法律委员会”。其在正式设立后统一审议法律草案的功能,与推动宪法实施、开展宪法解释、推进合宪性审查的功能迅速结合,这集中体现在法律草案审议中更为普遍和显明的合宪性审查(或者说合宪性控制)。宪法和法律委员会首次审议的法律案是《监察法》草案,在审议报告中对《监察法》立法的宪法依据作了说明。之后,在对《人民法院组织法(修订草案)》和《人民检察院组织法(修订草案)》的审议中,宪法和法律委员会专门就全国人大常委会修改全国人大制定的基本法律的权力行使的合宪性作了说明。在抽象的宪法依据宣告和立法权限说明之外,宪法和法律委员会对于法律草案的审议也愈加关注立法的具体和实质的宪法依据。例如,2021年对于《人口与计划生育法》的修正,涉及人口政策从“控制人口数量”向“调控人口数量”的巨大转变。为回应相关争议,宪法和法律委员会在审议报告中围绕《宪法》第25条的规定作了大段解释,论证了此次修法的合宪性。对法律草案合宪性这样大篇幅的、结合具体宪法条款展开的较为充分的说理,在以往的立法活动中是少见的。其为法律草案确立宪法实质性依据的意图至为明显,体现着《中共中央关于全面推进依法治国若干重大问题的决定》中“使每一项立法都符合宪法精神”的指导思想。

在普遍强化对法律草案的合宪性审查(控制)的背景下,以及不在形式上写明“根据宪法”或将伴随实质性违宪争议的历史经验下,《个人信息保护法》却仍迟至三审才纳入“根据宪法”条款,正说明立法机关在实质性宪法依据上的困惑与犹疑。这体现在宪法和法律委员会在《个人信息保护法》草案审议报告中的表述:“有的常委委员和社会公众、专家提出,我国宪法规定,国家尊重和保障人权;公民的人格尊严不受侵犯;公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义,建议在草案二次审议稿第一条中增加规定‘根据宪法’制定本法。宪法和法律委员会经研究,赞同上述意见,建议予以采纳。”这段表述首先当然表明,立法机关愈加重视立法的具体宪法依据问题,而不是轻率地写入形式性的“根据宪法”而实际上罔顾法律草案的合宪性。其同时也表明,立法机关并非只从民事权利的角度来理解个人信息保护,而是从基本权利高度来定位;但对于个人信息保护的实质性宪法根据,特别是基本权利基础,又没有明确而聚焦的判断。审议报告将个人信息保护关联到三个基本权利条款,分别是《宪法》第33条第3款“国家尊重和保障人权”、第38条第1句“中华人民共和国公民的人格尊严不受侵犯”以及第40条第1句“中华人民共和国公民的通信自由和通信秘密受法律保护”。于此仍需追问:个人信息保护究竟落入哪个条款的保护范围;各条款表述的不同所蕴含的保护强度差异应如何在个人信息保护的具体规则上落实;如果以对整个法体系都具有辐射效力的基本权利作为个人信息保护的基础,应如何对个人信息私法保护和公法保护机制进行协调。所有这些追问,会凝结为个人信息保护立法中的终极性宪法问题:是否能成立基本权利位阶的个人信息权?以及,如果成立个人信息权,国家对其承担怎样的宪法义务,其与宪法同样保护的其他主体的权利又是何种关系?这些问题,并未随着《个人信息保护法》的颁布实施而变得明晰,需要法教义学上的继续诠释。


二、个人信息权作为基本权利

必须承认,对个人信息保护的私法理解,特别是从《民法总则》到《民法典》的个人信息保护条文的设置,对我国个人信息保护法体系起到了奠基性的作用。但在《个人信息保护法》出台后,相关的法教义学建构应该具备更为开放的视野。周汉华认为,最终纳入“根据宪法”条款,意味着《个人信息保护法》是个人信息保护领域的基本法,而不是民法的特别法。王锡锌也认为,应该放弃个人信息保护的民事权利基础论,而以作为宪法基本权利的“个人信息受保护权”作为个人信息保护法律体系的基础。笔者赞同周、王二位的立场,但希望从个人信息作为“权利”抑或“利益”的民法争议开始,继续讨论在宪法上证立个人信息权的教义学方案。


(一)超越私法思维下的权利与利益二分

在既有讨论中,对于个人信息保护的权利基础应如何诠释,民法学界长期存在争议。核心争点在于:个人信息到底是权利还是利益。主张“权利保护”、认为可以成立民法上“个人信息权”的代表性观点认为,基于个人身份信息的独立性、保护的必要性等,对其“一是不能用法益保护方式,因为其显然不如用权利保护为佳;二是不宜以隐私权保护方式予以保护,因为隐私权保护个人身份信息确有不完全、不完善的问题。”主张“法益保护”而非“权利保护”的观点则认为,“自然人对个人信息并不享有绝对权和支配权,而只享有应受法律保护的利益”,以防止对个人信息保护过度、从而遏制数据流通与技术创新。从实定法上观察,《民法典》1034条与《个人信息保护法》第2条分别使用了“个人信息受法律保护”和“个人信息权益”的概念,《个人信息保护法》第四章又使用了“个人在个人信息处理活动中的权利”的表述。从民法角度看,对个人信息的保护既可能是作为权利,也可能是作为利益,从法律解释上并无法得出唯一解。因此,在《个人信息保护法》出台后,民法学者仍在此种区分基础上对个人信息保护进行规范诠释。

然而考诸民法的规范与学说史会发现,权利与利益二分的法益区分保护思想自始就存在争议,并非当然之理,更非不可质疑之绝对教义。德国民法典采纳了区分保护原理,而更早的法国民法典并未强调法益的区分保护。区分保护论认为:“权利的本质不是利益,权利只是保护利益的工具之一……立法者可以通过单纯设定义务的方式保护他人的利益。”“新类型的利益未必确定到能够通过权利工具予以保护的程度,或者是还没有必要上升到运用权利工具予以保护的程度。”德国民法典制定时,就存在生命、身体、健康、自由能否被规定为权利的争议,而立法的处理是将其作为利益,却给予其与所有权同等程度的侵权法保护。然而在司法实务中,区分权利和利益并给予不同强度保护的方案不断受到挑战。对于被规定为利益而又被认为保护不足的,实务和理论上不断创造出新的“润滑机制”或“补丁”加以修正。在出现偏离以所有权为典范的民事权利形象的新兴权利(例如人格权),以及出现更多需要高强度保护的利益的现代社会条件下,权利和利益二分的基础已经发生了松动,个人信息保护只是对这种区分的一次较新的冲击而已。

更值得注意的是,现代社会情景中的个人信息处理,已经超出了传统的平等主体间的私人间关系。基于个人与信息处理者之间关系的高度不对称性、处理频率的大规模性、处理风险的外溢性,个人信息保护问题具备天然的“公共化”形态,个人信息保护已然成为一个多部门法综合处理、共同着力的领域,民法思维未必能剀切适用。从宪法角度看,不同类型的个人信息承载、关联着不同类型的法益,对个人信息权益的保护需要展开场景化与社群主义的理解,对不同场景下不同内容的个人信息保护进行利益权衡。民法学上把个人信息作为民法上的“权利”还是“利益”的定位,并不先在地决定其在整个宪法秩序下受保护强度的高低。在《个人信息保护法》明确探寻宪法基本权利依据的规范意图下,对“个人信息权益”也应在宪法原理下予以新的诠释。


(二)指向国家的个人信息权
及其公私法兼容性

在更易受到关注的私人机构与平台之外,个人信息首先需要排除的其实是来自国家的侵害,表现为其作为指向国家的基本权利的主观防御权面向。在立法层面,联邦德国在1977年出台《联邦德国数据保护法》(Bundesdatenschutzgesetz),很大程度上是出于公众对行政机关建立大规模数据库的警惕。在合宪性审查层面,在1983年的人口普查案中,德国联邦宪法法院便立足于《基本法》(Grundgesetz)第1条人格尊严条款和第2条第1款的人格自由发展条款,推导出个人享有“信息自决权”。我们知道,《基本法》第1条人格尊严和第2条第1款的人格自由发展同样是德国民法上一般人格权的规范基础,但从中导出的“信息自决权”首先当然是宪法上的基本权利,直接针对的是来自国家的干预。《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)第8条和《欧盟运行条约》(Treaty on the Functioning of the European Union)第16条也规定了“个人数据保护权”。在国家大规模处理个人信息的频率日渐增长、技术愈发成熟的背景下,在宪法层面确立个人信息权的首要意义便是对国家作出有效的防御和约束。无论个人信息在民事权益体系中如何定位,都不排斥将个人信息保护上升为宪法基本权利。

而基本权利的宪法原理,并不预先将个人值得保护的行为、利益或者状态像民法理论那样区分为权利与非权利的其他法益。相反,在基本权利的保护范围上通常会采取宽泛的理解,避免过早将可能属于基本权利内涵的事项排除出去,以保证最大化保障基本权利的效果。并且,基本权利保护范围的确定,还会引入基本权利主体的自我理解(Selbstverständnis),而不只是从社会大众的视角去观察。尊重基本权利主体的自我理解是尊重个人自治的要求。宪法总是预设一个能够自己作出决定并实现自我发展的人的形象。因而,何者对于人格发展具有重大意义、何时以及如何行使基本权利,自然也应尊重个体的理解。由此,民法上以“受保护法益的价值”和“社会典型公开性”的高低强弱为标准而为的权利和利益的区分保护论,在宪法基本权利的领域是难以适用的。

基于基本权利的双重性质原理,作为基本权利的个人信息权首先表现为防御国家不当侵害的主观防御权面向。同时,基本权利还作为客观价值秩序科以国家客观法上的义务,要求国家以一切可能的手段和方式,为基本权利的实现排除干扰和提供实质性的前提条件。基本权利作为客观价值秩序,要求国家承担排除第三人侵害的保护义务。就个人信息权而言,这意味着国家有义务保护个人免于数据企业和平台等在个人信息处理中的侵害行为。个人与信息处理者之间存在组织、信息、技术、权力上的不对称结构,将基本权利引入私法关系来对抗数据企业和平台等具有准公权力性质的个人信息处理者,有其宪法上的正当性。国家对个人信息权的保护义务同样及于国家立法权,具体表现为国家建构个人信息保护的法律体系。在此意义上,《个人信息保护法》的立法活动本身,都可以看作是国家保护义务的履行。国家通过个人信息保护立法,为个人信息的实现提供制度、组织、程序上的保障,同时也为私主体之间的个人信息处理提供私法性质的规范。由此,基本权利位阶的个人信息权,对一切法领域产生辐射效力。

尽管立法者受到基本权利保护义务的拘束,但其仍拥有广阔的立法空间,来具体形成个人信息保护的私法规范。在这个层次,立法者完全可以在区分保护说和等同保护说之间作出选择。宪法维度的个人信息保护并不会取消包括民法在内的部门法在立法中的形成空间,宪法保护与民法保护可以实现兼容与协调。民法学的固有原理和教义,在宪法基本权利的价值辐射下,依然可以发挥作用。在此意义上,证成基本权利位阶的个人信息权,并不会取消个人信息的民法保护。其意义毋宁在于,将整个个人信息保护的法律体系建构在宪法的基础上,由此,基本权利位阶的个人信息权可以辐射和勾连公法、私法的各个领域,并协调个人信息保护的公法机制和私法机制。个人信息法律体系的建构任务,是在多元化、大规模的个人信息处理活动中对公民展开全面、有效的保护,牵涉个人自治、私人生活安宁、平等对待等横跨公私法不同领域的价值。个人信息保护法属于“领域法”,需要统合行政法、民法、刑法等不同保护工具。此种整合性任务的落实,需要以宪法位阶的个人信息权作为我国个人信息保护法律体系的“概念基础”。


(三)个人信息权作为“基本权利束”

前文只是概要说明在宪法层面证成个人信息权的必要性,以及相应的学理建构可以超越既有的权利/利益二分的民法思维,而纳入基本权利双重性质的宪法思维之下。但是教义学上的真正任务在于,如何根据现有的基本权利条款,诠释出宪法上的个人信息权,并明确其保护范围。宪法和法律委员会在审议意见中将个人信息保护连接人权条款、人格尊严条款和通信权条款,这已经提供了一种体系化诠释的思路。也就是说,此项权利的证成,并不一定落入某一项权利条款之下,而是可能基于多项权利条款。分述如下:

第一,通信自由与通信秘密。按照日常语义,个人的通信活动所形成的信息当然是个人信息。但在笔者看来,个人通信信息仍应归入通信权,属于通信权中通信秘密的保护范围,可以直接在《宪法》第40条之下予以保护,无需再结合其他基本权利条款。这一点与欧盟的规则有区别。在欧盟法上,通信权和个人数据保护权各自有独立的规范基础,个人通信数据的处理往往涉及二者的竞合。从《欧洲人权公约》(European Convention on Human Rights)的角度观察,除了可以被私人生活利益所涵盖,个人通信数据亦可被《欧洲人权公约》第8条规定的通信权利所涵盖。而《欧盟基本权利宪章》的第7条与第8条分别对通信权和个人信息保护权作出了规定,对个人通信信息的处理既受到个人数据保护权的约束,也属于通信权的防御对象。而在我国宪法的规范条件下,通信权具备宪法上的明确规范基础,个人信息权则属于宪法未明确规定而有待证成的权利。在笔者看来,能在既有权利体系中解决的问题,没有必要诉诸未列举权利。以我国宪法文本为依据,将个人通信信息直接纳入《宪法》第40条的保护范围的方案,可以避免欧盟方案下论证个人通信信息同时受到两项基本权利保护所增加的解释负担。

第二,人权条款。我国《宪法》在2004年修改时纳入“国家尊重和保障人权”,是一种新的国家价值观的注入,为整个基本权利章的解释提供了新的评价关联。人权条款可以看作一个概括性条款而容纳未列举的权利。但是,宪法上的人权条款过于抽象,把个人信息权定义为人权,无法为实践提供明确的具体化指引。欧盟《一般数据保护条例》在其第1条也宣告“本条例保护自然人的基本权利与自由”,但这一表述显然无法为具体适用提供参照。尽管可以抽象地说,保护个人信息是保护个人的基本人权,但其难以为个人信息处理行为划定标尺、为利益衡量提供具体的教义指引。在笔者看来,在人权条款的价值辐射下,还应该结合更为具体的基本权利条款来探寻更加具有操作性的解释方案。

第三,人格尊严。当下多数的主张,都将《宪法》第38条人格尊严作为个人信息权的宪法基础。现代社会的个人信息处理活动,核心是对个人进行识别。处理者处理个人信息的过程同时也是不断识别特定个人的过程,这种识别又服务于关涉个人权益的研究、调查、分析、决策。由此,个人面临被“数字化”“客体化”的风险。张新宝对个人信息权益的类型化,所围绕的核心就是个人的人格尊严。高富平指出,个人信息保护,“保护的是人的尊严所派生出的个人自治、身份利益、平等利益。”王锡锌和彭?也将“个人信息受保护权”的宪法基础确定为《宪法》第38条人格尊严。我国学界普遍的认识是,个人信息保护指向的是对个体“数字人格”的保护,个体应当具有在个人信息处理活动中免遭窥探、压迫、控制、歧视、剥削等侵害的主体性。以保护个人自治和个人主体性为内容的人格尊严条款作为个人信息权的基础,应无争议。

可以作出如下总结:依循《个人信息保护法》立法材料之提示,参酌学界既有之论证,可以借由人权条款笼罩下的《宪法》38条人格尊严及40条通信自由和通信秘密解释出个人信息权。在具体保护范围的厘定上,个人通信信息应被纳入第40条,而其他个人信息应纳入第38条。在此意义上,个人信息权固然不是我国宪法明定的基本权利,但可以通过宪法学来证成,其并非实证法概念,而是法教义学概念。此法学概念,并不指向实证宪法上的单一基本权利条款,而是作为“权利束”存在。也就是,在宪法学理上可明确个人信息权的基本权利地位,但在具体保护上则应纳入不同基本权利条款分别讨论。在此意义上,个人信息权的宪法证成,实际上是宪法学证成。

作为“基本权利束”的个人信息权,内容可能不限于立法材料中所提示的人格尊严和通信权。在互联网、大数据的时代,或许并不是产生了新的“互联网基本权利”“数据权利”或者“个人信息权”,而是所有的基本权利都面临互联网化、数据化或者信息化的场景。传统的基本权利,包括表达、人身、住宅乃至婚姻、家庭等在内,都会进入信息处理的情景,而可能因信息处理而被干预。也就是说,各项基本权利都可能被动地在信息化场景下与宪法教义学上建构起来的个人信息权发生关联。这意味着,作为“权利束”的个人信息权具有一种扩容的可能性,由不断“信息化”的各项权利捆扎而成。例如通常认为,个人针对个人信息并不享有财产权。但在层出不穷的新业态、新情景下,财产、数据、信息等因素可能出现更加纠缠互融的样态,使得个人信息权的项下仍有容纳财产因素的可能性。又如,在自动化决策、算法推荐等场景下,差别对待的存在可能又需要将平等权引入考量。在此意义上,个人信息权作为一个基本权利教义学建构出来的概念,在实证宪法的规范上,指向多项基本权利。作为“权利束”,经由立法机关的明示,其在当下被普遍认知的内容可能只是人格尊严与通信权,但其他权利被纳入的可能性仍然存在。

作为“权利束”的个人信息权,存在内部的可区分性和差异性,要避免因为权利概念的整体构造而将保护的强度一律化。我国《宪法》第40条关于通信自由和通信秘密的限制存在单纯法律保留和加重法律保留两种不同强度的要求,不能通过将个人通信信息纳入个人信息权而轻易逃避加重法律保留的可能适用,导致掏空《宪法》第40条。此外,《宪法》第38条第2句“禁止用任何方法对公民进行侮辱、诽谤和诬告陷害”,只是以“宪法保留”的方式对针对人格尊严的最为激烈的侵害行为予以了排除,而对于可能影响人格尊严的其他干预行为应以何种标准进行合宪性审查,宪法学上并无定论。人格尊严以及通信自由和通信秘密条款在保护强度上的多层次性提示我们注意,作为整体概念的个人信息权在内部必然是差异化构造的,并且应当在个人信息处理的具体规则上得到落实。如果此“权利束”进一步扩容,必然意味着进一步的差异化构造。《个人信息保护法》第二章第二节对敏感个人信息处理设定特殊规则,应该说体现了差异化构造的思维,但其效果如何还有待观察。需要注意的是,此种差异化构造无法仅依靠对个别条款的观察而获得,而是有赖基于整个宪法文本的中国化的法律保留学理体系的建构。


三、个人信息权的规范目标:人格自由发展

在证立宪法(学)意义上、“基本权利束”意义上的个人信息权之后,如果欲其承担个人信息保护法律体系的权利基础功能,还需要对其规范内涵进行阐释。个人信息权乃至整个基本权利体系的终极价值目标都是实现个人的自治、自决和主体性。但在个人信息权的建构上,这一目标的实现方式与古典的基本权利应有所差异。财产权、住宅自由等古典基本权利的规范建构,是通过明确权利客体并赋予权利主体以排他性的支配权来实现的。而个人信息权的规范建构,或许要回到更为根本的人格发展的层面。


(一)个人信息支配权思维的局限

在既有讨论中,部分民法学者将个人信息构想为个人私权的客体,得由个人支配。王利明认为,信息权利人对其个人信息享有独占性的支配权,信息的收集、利用行为原则上都应当经过信息权利人的同意,权利人有权决定其哪些个人信息可以被收集、哪些个人信息可以被利用以及在何种范围内以何种方式利用。杨立新认为,个人信息权以自我决定权作为基础;自然人对于自己的个人信息自我占有、自我控制、自我支配,他人不得非法干涉,不得非法侵害;因而个人信息权是排他的自我支配权,是绝对权。对于纳入了“个人信息权益”的民法人格权的理解也有类似认识。例如,“权利的内容是主体对客体的支配方式,非主体之利益。离开支配关系谈论权利内容,必然言不及义。”在《个人信息保护法》出台后的学者解读中,仍或多或少体现着个人对其信息拥有支配力的思维。例如张新宝认为,“当处理者基于个人同意处理个人信息时,个人享有同意(或拒绝)处理者处理其个人信息的权利,体现出对其个人信息的支配力。”

以“所有权”为原型的民事权利强调权利主体对于客体的排他支配,指向外在于权利主体的明确客体。而通过将人格利益理解为类似财产的客体,民法理论又构造了符合权利主客体区分范式的人格权。以所有权为原型的民事权利强调权利的“归属功能”和“排他功能”,其为侵权保护的“最佳基础”。在这一民事权利观中,支配权思维具有核心的地位。然而,支配权思维在个人信息保护领域的适用性是存在疑问的。个人信息保护的基本场景是个人信息的数据化及其利用,个人数据在流通和利用的过程中为个人、企业和社会带来便利与福利。个人数据本身便是社会事实的写照,一旦流动而走上社会化利用之路,便很难保持其支配性或独占性。纪海龙认为,个人信息“属于”权利主体的观点是不正确的;所谓个人信息“权”,其客体指向并不是个人信息本身,而是与个人信息相关的人格利益。以一种支配权的思维,由个人完全控制个人相关数据的收集和流动,在技术上和经济上都不是最优方案,容易导致对个人和社会不利的选择,可能根本性地破坏个人信息利用的生态。在经典的财产权理论下,个人是基于劳动把自己的意志和能力等主观性添加到对象物之上而取得占有与支配的合法权利。也就是说,所有物本身就来自个人的创造,其支配权就是自然而然的权利。然而在个人信息保护的场域,个人信息从其生产的一开始就是具有公共性的,其值得保护的价值并不完全来自个人的主观能动性创造,因而以所有权式的支配思维来思考个人信息并不符合事物的本质。

个人信息保护领域中告知同意模式的式微在一定程度上反映了支配权思维的局限。告知同意规则看似彰显了个人的控制力和支配力,但实际上却缺乏权利行使的针对性与必要性,实践效果有限。缺乏制衡能力与信息资源的个人无法单纯凭借“支配权”来实现对个人信息权益侵害风险的防御。个人一方面不得不面对“要么放弃服务,要么放弃隐私”的困境,从而缺乏实质性的拒绝权;另一方面,个人也缺乏足够的知识、资源和能力对个人信息处理的风险进行有效评估。即便个人能够意识到个别信息被处理的直接风险,也很难全面评判信息处理的间接风险以及大量信息被整合挖掘的累积性、动态化风险。因此,个人很难凭借告知同意机制真正作出科学、审慎的选择,告知同意模式难以完成借由对自身信息的支配而实现个人自决的目标。尽管我国《个人信息保护法》仍然坚持以告知同意为核心设定了一系列个人信息处理规则,但伴随立法过程的,是众多学者对于这一模式“异化”“日益流于形式”“不适应现代信息处理的发展,难以实现其原有功能”的担忧和批评。而且,此种困境似难根本性扭转。在当下,虽然尚难找出告知同意模式的根本性替代方案,但规制模式的转变已不可避免。《个人信息保护法》第13条并未将告知同意作为个人信息处理的唯一合法性基础,也部分体现了此种趋势。


(二)以人格自由发展为目标的个人信息权

在个人信息保护领域,传统支配权思维难以适用,并不当然意味着对其的根本颠覆或者放弃。法教义学有其创新功能,从而避免推倒重来的制度成本和对法安定性的冲击。在民事权利理论的发展中,支配权的客体也早已逐渐摆脱有体物的经典图景,支配权包括对物的支配权(如所有权),对无体财产、精神产品的支配权(如知识产权),对自身人格的支配权等。如果将个人信息权看作是主体对自身人格而非个人信息的权利,也就是将人格利益客体化的思维,仍能在支配权思维下展开规范内涵的建构。

但是,支配权思维建立在权利主体与权利客体二分的基础上,将人格权看作支配权,就会产生主体将自身作为客体支配的悖论。对此,民法学上已多有批评和反思。朱虎在论证人格权何以成为民事权利时指出:“作为道德权利的人格权可能会认为,在民法中,所有权利都是以支配权作为原型,而其分类恰恰是以支配客体的不同作为依据,而人格的客体化却可能会损害人格权的伦理价值。在发生学意义上,权利客体具有权利区分工具和体系构建工具的意义……但是,在当代民法中,权利客体所具有的上述意义逐渐丧失,转而将权利效力作为工具。如果转换视角,不以支配权作为视角,转换传统的权利观,似乎可能找寻到另外一种出路。”借由支配权,确乎可以实现个人自决,这充分体现在财产法领域。但个人自决的实现,并非必须通过支配权,这在人格权领域就有体现。“人格权就是一种受尊重权或自决权,具有排他性,但并非支配权因而不具有支配性”;“权利在实践推理中的规范力,也可进一步通过权利所蕴含的‘指向性义务’(directed duty)得以解释。”也就是,个人信息权内涵的构建,应转向“权利人对他人所负有的指向性义务的控制”,分析权利主体如何对其他个体的特定行为展开制约。

在关于个人信息保护的讨论中,许可、梅夏英提倡一种“行为导向”模式,认为对于人格权除了作支配意义上的理解外,也可以表现为权利主体对其他个体特定行为的制约。这是从义务人视角来理解人格权的内涵。从权利人所享有利益的范围观察,也有学者将个人对个人信息的控制性利益表述为“信息处理中的自主利益(或自决利益)”,以此说明这种利益仅适用于不对称的信息处理关系;表明其并不具有普遍性支配与决定的特征,对个人信息处理中人格权益的保护不意味着普遍、先在、排他性的控制权。

如果不以对客体即对个人信息或人格利益的支配为内容,那么个人信息权的规范目标是什么?这里就涉及对于作为个人信息权宪法基础的人格尊严,及其所蕴含的个人人格自由发展的理解。我们知道,在民法人格权的证立过程中,宪法起到了关键性的作用。德国民法上的一般人格权,是以《民法典》第823条第1款结合《基本法》第1条第一款“人的尊严”和第2条第1款“人格自由发展权”导出的。德国《基本法》第2条第1款规定,“人人享有人格自由发展的权利,只要其不侵害他人权利、不违反合宪性法秩序与道德法则”。基于此规定,德国基本法确立的人的形象就是“自我负责的、在社会共同体中自由发展人格的人”。由于人格自由发展权的范围极为宽广,应该置于广阔的社会生活情景和社会生活关系中去思考,所以人格尊严和人格的自由发展权就不意味着对于个人人格利益的排他性支配,而更可能指向对他人特定的对人格发展的干扰和限制行为的禁止。例如在著名的雷巴赫案中,宪法法院认为,对一般人格权的保护并不意味着以一项一般性的支配权来禁止对针对人格的一切信息披露和评价,在新闻自由和人格权之间的权衡的决定性标准始终是:相关新闻报道对于人格发展的妨碍到了什么程度。

不将权利指向客体支配,而是指向干预行为,是宪法基本权利的典型思维。而作为“宪法原则在民法体系中的衍生物”的人格权的规范形塑,就可能摆脱传统民法的支配权思维而作“指向性义务”的思考。也就是作出绝对权项下对物支配和人格自由的二分,将人格权理解为“受尊重权”,指向他人的特定行为。对个人信息权的理解也应该建立在人格权的社会面向的基础上,也就是要透过人格的概念,转介个人信息的公共性和社会连带性,理解个人信息权极为宽泛的内涵所带来的行使方式、限制基础上的特点。

在数字时代,更应该从个人信息本身的公共性与交互性特征出发来思考个人信息权的问题。个人信息是个人参与政治、经济、社会事务的自然产物,从社会和共同体的面向来理解个人人格利益的保护,核心便不再是对个人信息或者人格利益的控制和支配,而是个人能否信任信息处理环境的公平与安全,以及能否有效防御他人可能的人格干预,从而能够自由参与社会生活,实现人格的自由发展。个人信息权所针对的,毋宁是可能严重妨碍到个人发展的他人行为。个人信息权从支配到人格自由发展的规范目标的转换,也体现了对其性质的界定从单纯民事权利到公法权利的认识转变。这一目标转换,亦有助于在学理上重新定位和反思个人信息主体的知情、决定、查询、更正、复制、可携带、删除等权利。如果从防御他人对个人人格过度妨碍的角度看,这些权利就可以看作是个人信息权的主体维护自身人格自由与个人自决的手段和方式。其指向的并非是对客体的支配,而是约束个人信息处理者的行为,形塑公正有效的公共规制模式,为个人在公正、理性、透明的数字环境中生活、实现人格自由发展营造空间。

我们可以在以下两个场景中理解此种思维转化的现实意义:一是对已收集信息的利用的规制。确立告知同意规则,是希望从源头上限制对个人信息的过度收集。但是对于已被收集的个人信息,支配权思维的意义非常有限,真正重要的毋宁是怎样防止已经被收集的信息被进一步利用来妨碍个人的自决和发展。在实现个人自决和个人发展上,查阅复制、更正补充、删除和携带等权利,或许远不及加密、去标识化、匿名化等规制措施更有意义。二是信息茧房的破除。个性化选择本来是个人自由发展的基础,但算法推荐技术和互联网传播模式,却可能导致极端个人化和过度自主选择的信息茧房或者回音室效应。信息茧房效应的风险已经引起了普遍警觉。如果局限于支配权思维,将很难防范此种风险:《个人信息保护法》第4条基于“可识别性”标准,将匿名化信息排除在个人信息之外,也是因为认为单独使用这些信息乃至结合其他信息都不能识别特定自然人,因此也就与自然人无关了,当然就不应该赋予其支配权;个人也就不能基于自身权利对抗平台在匿名化信息基础上的用户画像和个性化推荐。即使为了规制用户画像和个性化推荐而科以平台等以合规义务,也并非是个人信息权所对应的指向性义务。但是,如果采用人格发展权的思维,就可以将信息茧房看作是对人格发展的妨碍,从而要求国家承担客观法上的保护义务,建构规制框架来防止平台等对个人人格的支配,维护个人人格发展的空间。以人格发展权为中介,还可以在一定前提下将非指向义务转变成指向义务,使得个人在符合一定条件时得主张私法上的救济。于此,人格发展权的思维方式沟通私法和公法,连接权利规制和行为规制,所体现的正是宪法作为法秩序中根本法的价值和功能。


四、对《个人信息保护法》的若干评述

至此,本文在三个层次上作出了尝试:第一,在宪法(学)层次上,将个人信息权确立为具有主观权利和客观价值秩序双重属性的基本权利;第二,明确个人信息权的“基本权利束”性质及其内在的差异化结构;第三,将个人信息权的规范目标确定为免于对人格发展的过度妨碍。在此基础上,笔者尝试对《个人信息保护法》的若干规范作学理评述。


(一)防御国家公权力

将个人信息权确立为宪法上的基本权利,首先意味着个人信息权是防御国家公权力的主观防御权。要保障个人免于国家对个人信息的不当收集和使用,并特别警惕国家的信息处理对个人人格发展的妨碍。在强调数字化治理的现下,国家机关和法定授权组织是重要的个人信息处理者。在数据技术急速发展的背景下,国家的信息处理和挖掘极易对个人人格发展相关的私人生活安宁与行为自由形成压迫或侵扰,使个人降格为国家管理的手段;个人信息的不当公开更是会给个人带来人格的负面标记、声誉的损失及相关权益的减损。并且,国家机关搜集、利用个人信息的行为往往存在透明度不足、个体知情参与感薄弱的问题,长期不对称、不均衡的权力结构容易使信息被处理者产生不安全感,滋生寒蝉效应。《个人信息保护法》对国家机关处理个人信息的规则作出专门规定,体现了作为基本权利的个人信息权的应有之义。国家机关处理个人信息的行为,同样属于国家的高权行为,要受到法律保留、依法行政的一般原理约束。若无法律明示或默示的授权,即便有个人同意,国家机关也不得处理个人信息。国家机关处理个人信息需要具备明确的正当化依据,应以履行法定职责为必要条件,具有严格的目的限定要求。

但是,《个人信息保护法》对于个人信息权防御功能的制度落实是不足的。该法未能针对国家机关处理个人信息制定有足够针对性的体系化规则,第34条指向的“法律、行政法规规定的权限、程序”远未完善。例如,《居民身份证法》《出口管制法》等法律中有关个人信息保护的规定主要集中在国家机关及其工作人员的保密义务方面,对于个人信息处理全环节风险的防范缺乏细致的规定。此外,个人信息权作为主观防御权,必然指向救济机制的建构,使个人得通过司法程序主张权利。在此方面,《个人信息保护法》仅在第68条规定了对我国违反个人信息保护义务的责令改正和内部行政处分,在救济机制供给上严重不足,会直接导致个人信息权的防御功能的落空。未来对国家机关处理个人信息的权限及程序的规范完善,应该在防御国家对人格发展的不当干预理念下展开。


(二)保护与利用的协调

个人信息权从支配权思维向免于人格发展被妨碍的观念转换,有助于协调个人信息保护和利用之间的紧张关系。《个人信息保护法》第1条所列的立法目的包括“保护个人信息权益,规范个人信息处理活动”与“促进个人信息合理利用”两个方面,二者之间存在明显张力。有观点认为,强调人格利益,则势必强调信息主体对于其个人信息的支配性,留给信息业者利用个人信息、促进数据流通与技术创新的空间就较小。但如果转换视角,从人格自由发展出发,就可以更为有效地化解这一矛盾。不过度强调个人对自身信息的支配权,就不会自始压缩信息处理者处理个人信息的空间,而是从效果上考量处理和利用行为是否不合乎人类尊严地将个人客体化和工具化,是否过度而不当地妨害了个人人格的自由发展。这就需要场景化地区分不同类型的个人信息、多样化的个人信息处理情形,针对性地开展利益衡量,并不断根据技术发展与数字经济趋势来调整个人信息处理的规则,使宪法保护的多元利益得到协调。在此意义上,以人格自由发展为规范目标的个人信息权,在利益衡量层面将更加开放、包容和灵活。


(三)国家对平台的介入

将个人信息权的规范目标指向免于人格自由受到过度妨碍,而非源头上的控制和支配,意味着给予数据产业更多的发展可能性。对个人信息的保护与利用的协调,必然意味着国家对于“个人—平台”的私法关系的介入:国家基于其对于个人信息权的宪法上的保护义务,应当帮助个人免于平台的人格干预;同时,也应当在承认平台作为基本权利主体的前提下,避免监管措施不当干预平台的财产权和经营自由等权利。对于国家公权力介入的正当性和界限,也应作更为精细的思考。个人信息保护法制的建构,应当在“个人—平台—国家”的三方关系中妥当考量。

在此三方关系中,不仅要考量个人信息权,同样也应当肯定平台等在个人信息处理场景中的基本权利主体地位。在既有的讨论中,学者们用“数据权力”“持续性不平等关系”来描述平台相对个人的优势地位。不可否认,国内外大型商业平台可汇聚海量的互联网用户,进而垄断、汲取与挖掘这些用户的历史数据和实时动态数据;在数字生活的方方面面持续性塑造乃至剥削消费者,甚至造成对个人人格发展的妨碍。但同时需要注意,个人信息经由信息处理者收集整合为数据后才产生财产性价值,企业对于数据的利用和交易活动可能落入《宪法》第13条财产权的保护范围,应从财产权角度确立其权利主体地位。此外,《个人信息保护法》将“个人信息处理者”界定为“自主决定处理目的、处理方式等个人信息处理事项的组织、个人”,体现出平台对于个人信息处理活动享有一定的自主决定权,可以防御国家对企业经营活动的不当干预。结合《宪法》第11、16、17、18等条文,信息处理者与信息处理活动相关的自主经营权或者营业自由也应予肯定。对于信息处理者的财产权与营业自由的宪法保障,有利于实现个人信息保护与个人信息流通的均衡发展,避免个人信息保护法秩序的运行过度偏向于“保护”而遏制了“发展”。从基本权利教义学的视角,兼顾考量个人的人格发展及数据处理者的财产权和营业自由,能够更为精细、准确地确定个人信息的法律保护强度。

个人在信息处理活动中对抗平台,首先是私主体之间的民事关系。但是,基于个人与平台之间实际力量上的结构性不平等,以及个人信息处理中风险的技术性、累积性、结构性特征,从防范个人信息处理给个人带来不利后果的角度,基本权利的规范效力辐射到原本应由私法调整的、以“用户—平台”为代表的民事关系中就有更强的正当性。在个人与平台的主体关系上,作为基本权利的个人信息权具备客观价值秩序功能,这导向了国家保护个人免于第三方侵害的积极义务,令国家得介入私法关系(例如《个人信息保护法》第六章)。当然,国家对私法关系的介入,在对一方予以保护的同时,也意味着对另一方的干预,因此当然要受到法律保留、合比例性等公法原则的约束。


(四)公法与私法机制的协同

保护个人信息权的宪法义务这一从基本权利的客观价值秩序功能导出的国家义务,还包含了建构制度、程序、组织等侧面,意味着行政法、民法与刑法等不同部门法机制的协同。《个人信息保护法》也体现了制度性保障层面的公私法协同,包括:第一,在行政法层面,《个人信息保护法》建立了“决策型监管”与“个案型监管”相结合的模式,并允许个人通过投诉举报方式反馈自身权益主张。这体现了国家对于个人信息权的制度与程序保障,有利于通过系统性的行政手段回应个人信息处理的公共风险。第二,国家为个人信息权的民事救济提供程序保障。例如《个人信息保护法》第69条的规定,在证明责任上采取了有利于个人的方式,缓解个人因技术劣势、举证困难而无法有效维权的困境。第三,在刑法层面,《个人信息保护法》第64条第2款将监管中发现违法处理个人信息涉嫌犯罪的,转介到《刑法》第253条之一“侵犯公民个人信息罪”,沟通行政监管与刑事制裁。在刑事层面,一方面应贯彻宪法统摄下“法秩序统一性”要求,使之与民事责任机制、行政责任机制的违法认定标准保持协调,避免不同保护机制之间的判断结论冲突;另一方面,保持刑法的谦抑性,参酌基本权利规范来解释刑法上的个人信息法益概念,使侵犯个人信息犯罪的具体适用符合宪法要求,实现对刑罚权的有效控制。应该说,《个人信息保护法》作为领域性立法,已经以问题为导向,在努力实现公法机制与私法机制的协同。但是,在这方面仍有继续进行学理和实践探索的必要,例如《个人信息保护法》第50条第2款规定的司法救济路径与第六章规定的公共监管路径之间的分工配合。


五、结语

《个人信息保护法》的立法过程,反映出其从“民法特别法”向“领域法”的定位转移。相应地,个人信息保护的权利基础,也应超越民事权利的固有思维,而作宪法基本权利层面的论证。基本权利作为主观防御权的功能,及其作为客观价值辐射一切法领域的规范效力,有助于整合个人信息保护的公法机制和私法机制,在“个人—平台—国家”的互动关系中建构个人信息保护的整体方案。而改变支配权思维,以人格自由发展作为个人信息权的规范目标,有利于更为包容和灵活地协调个人信息的保护与利用的关系,在保护个人自决的同时,为数据产业的发展保留空间。



《环球法律评论》征订方式

微店订阅  请扫左侧二维码

★ 备注:请在汇款留言栏注明刊名、订期、数量,并写明收件人姓名、详细地址、邮编、联系方式,或者可以致电我们进行信息登记。

联系方式

订阅热线:010-59366555

邮      箱:qikanzhengding@ssap.cn

银行汇款

户  名:社会科学文献出版社

开户行:工行北京北太平庄支行

账  号:0200010019200365434

邮局汇款

收款人:社会科学文献出版社期刊运营中心

地  址:北京市西城区北三环中路甲29号院3号楼华龙大厦A座1403室期刊运营中心

邮  编:100029

《法学研究》公众号,敬请关注:

《环球法律评论》公众号,敬请关注:

点击阅读原文”

获取全文及更多精彩文章

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存