前沿 | 王锡锌 彭錞:个人信息保护法律体系的宪法基础
个人信息保护法律体系的宪法基础
作者:
王锡锌,教育部人文社会科学重点研基地北京大学宪法与行政法研究中心研究员,北京大学法学院教授,法学博士;
彭錞,教育部人文社会科学重点研究基地北京大学宪法与行政法研究中心助理研究员,北京大学法学院助理教授,法学博士。
来源:《清华法学》2021年第3期。
摘要:我国个人信息保护法律体系需要一个兼具解释和规范价值的核心概念作为基础。学界主流观点以个人信息民事权利为此基础,该种观点虽具有相当的合理性,但在理论和实践层面均存在需要反思的问题。从宪法基本权利的维度分析,个人信息保护法律体系建构的基础应是《宪法》第38条人格尊严条款内蕴的个人信息受保护权。以该项基本权利为基点,以其主观权利和客观法面向所对应的国家消极与积极保护义务为主线,可建构出一套基础更稳固、内容更完整、结构更合理的个人信息保护法律体系。这一体系既能对现有个人信息保护规范进行系统解释,厘清诸多部门法、执法手段之间的关系;也可对未来个人信息保护制度和实践提出规范要求,使我国宪法上的个人信息受保护权更好地形成并落实。 关键词:宪法基本权利;个人信息受保护权;法律体系;民法典;个人信息保护法 目次 一、问题的提出:探寻个人信息保护法律体系的概念基础
二、重省民事权利基础论
三、作为宪法基本权利的个人信息受保护权
四、宪法基本权利视野下的个人信息保护法律体系建构
五、结语
一、问题的提出:探寻个人信息保护法律体系的概念基础
随着数字时代的深入发展,个人信息的法律保护已成全球共识。在我国,《网络安全法》《电子商务法》《民法典》相继实施,《数据安全法》《个人信息保护法》即将出台,个人信息保护法律体系已初具规模。在此背景下,探寻何为该体系的概念基础(Conceptual Foundation),对充分解释和有效规范该体系的核心概念,具有承前启后的重要意义。“承前”意义在于从恰当的概念基础出发,可以推导出一幅内部逻辑协调的“概念地图”,为既存的个人信息保护规范提供系统化说明;“启后”意义则在于揭示现行立法与实践之不足,为下一步改进完善提供查漏补缺的指引。
对此,学界目前的主流观点有二:首先,应以法律权利作为我国个人信息保护法律体系的概念基础。尽管有学者提出个人信息处理规制的行为主义进路,试图绕开个人信息赋权的难题,但这是绕不开的,因为对信息处理者特定行为是否规制、如何规制,归根结底取决于信息主体对个人信息是否享有、享有何种值得法律保护的利益。只有在确定个人信息权益究竟属于何种法律权利的基础上,才能进一步推演相应的法律义务、责任和规范,达至一套个人信息保护法律体系。其次,在此前提下,学界主流观点认为我国个人信息保护法律体系的概念基础是作为民事权利的个人信息权,据此推导出信息处理者负有不得侵害个人信息的民法义务,民事责任是个人信息保护的基本手段,《民法典》是个人信息保护领域的基本规范,同其它个人信息保护立法(如《个人信息保护法》)属于一般法和特别法的关系。
本文赞同我国个人信息保护法律体系应以法律权利为概念基础,但认为恰当的选择并非作为民事权利的个人信息权,而是作为宪法基本权利的个人信息受保护权。具体论证分三步展开:第一,梳理民事权利基础论的理路,剖析其三项核心命题,并展开反思;第二,论证个人信息保护能在我国宪法上获得安顿,并应以“个人信息受保护权”的概念来表达;第三,在宪法上个人信息受保护权的视野下,通过展开其内容、功能与限制,建构我国个人信息保护法律体系。
二、重省民事权利基础论
(一)民事权利基础论之理路
民事权利基础论包含以下三项核心命题:
第一,主张个人信息本身是民事权利客体。理由如下:①基于《民法典》第111条,认为若个人信息不是民事权利,则“立法者不可能在作为民商事领域基本法的《民法典》中做出规定,更不会在其总则编的‘民事权利’章中加以规定”。②认为个人信息权本质上是一种对世、排他、绝对的个人信息自决权,保护自然人对个人信息的自我占有和支配。③认为个人信息权是新型、独立的人格权,除传统人格权消极防御的特性外,还有积极控制的面向,派生出信息知情、同意、查询、修改、更正、删除等权能。
第二,主张个人信息权益不具有公法权利属性。理由如下:①认为作为民法权利的个人信息权可对抗任何组织或个人的侵害。公权力机关侵害个人信息权,私权利主体同样可要求其承担法律责任。②认为“尽管实践中对个人信息采用刑法、行政法等多重保护机制,但并不影响个人信息权为民事权利的基本属性。为了全面保护民事主体的利益,在民法之外,通过刑法、行政法乃至社会法来保护民事权利,是法律保护的常态表现”。③认为处理个人信息的公、私主体虽然“在处理目的、合法性基础等方面存在不同,但不因此导致自然人与处理者之间关系的区别。信息处理者与自然人之间的法律地位是平等的。国家机关与非国家机关,均负有不得侵害自然人民事权益的义务。在私权利保护的问题上,不存在公权力机关比非公权力机关处于更优越地位的情况”。“尽管个人信息受保护权的使用、收集过程中存在着行政管理部门的公法行为,但这只需要规定政府部门在信息管理过程中的职责与责任即可,个人信息保护法的核心内容应是民法规范,政府部门的公权在个人信息领域不宜膨胀。”
第三,主张从信息主体的个人信息权出发,以“信息处理者民法义务—侵权者民法责任—《民法典》规范”的逻辑,建构个人信息保护法律体系。理由如下:①认为包含公权力机构在内的所有社会主体均负有不侵犯个人信息权的民法义务。②认为“只有民事责任能真正弥补信息主体的损害”,因为其“主要形式是赔偿损失,以恢复被侵害人的权益为目的”。③主张“我国民法典人格权编对个人信息保护的规定,并非简单的一部法律对个人信息保护的规定,而是具有如同《欧盟基本权利宪章》第8条关于个人信息保护规定相同法律地位的规定”。“只有在民法典中确认个人信息权后,才能为个人信息保护的特别立法提供民事基本法依据。”
公允地讲,上述观点并非囿于学科门户之见,而是具有深刻现实背景和重大历史意义。随着信息技术高速推进,个人信息面临巨大风险,传统隐私保护捉襟见肘,亟需新的法律解决方案。以2000年全国人大常委会《关于维护互联网安全的决定》为起点,我国的个人信息保护法律制度逐步完善,但直到2020年《民法典》出台,才一改此前间接、零散的立法进路,在民事基本法的高度规定个人信息受法律保护。相较于行政法、刑法等其它部门法,在该领域,确实是民法提供了迄今最有力、最全面的法律回应。这正是众多学者强调民事权利、义务、责任和规范在个人信息保护法律体系中基础性地位的现实背景。而民法保护体现了对个人信息所承载的尊严、人格、隐私、财产等重大利益的关照,对一个私权保障仍在途中的国家,具有不可否认的历史意义。然而,民事权利基础论内含的三项命题在理论和实践层面均值得反思。
(二)民事权利基础论之反思
第一,将个人信息作为民事权利客体与民法既有概念体系存在张力。理由如下:①《民法典》第111条并未明确规定“个人信息权”,有别于第110条规定“姓名权、肖像权、名誉权、荣誉权、隐私权”。早在《民法总则》起草时,个人信息是不是民事权利就有争议,但《民法典》最终没有规定个人信息权。这并非立法机关的无心之失,而是基于对个人信息特性的深刻洞察。②与传统的人格、财产权客体不同,个人信息没有特定性、独立性,也非无形物,不能归入表彰民事权利的客体。更重要的是,它具有非排他性、非损耗性,兼具流通和控制双重价值,不能也不应成为绝对、排他、对世的权利对象,否则将阻碍数字社会的纵深发展。即使赋予信息主体此种民事权利,也远非最佳保护手段,因为个人信息保护要解决的核心问题是个人与信息处理者之间的“非对称权力结构”。个体主义权利进路下,个人信息权极易沦为“纸面上的权利”。可以说,立法者正是洞察到上述问题,才选择不在《民法典》中明文规定“个人信息权”。③实事求是地讲,对个人信息权的上述局限,民法学者早有认识,故提出新型人格权说,试图缓和传统人格权独占、排他的性质,以顺应信息时代之巨变。然而,这是以突破传统民法教义为代价的。如所周知,民法的经典叙事是:人格权不得转让,但民事主体可将部分人格利益以许可使用的方式允许他人利用。人格权以占有、保护为原则,以流转、交易为例外。但个人信息并非如此,在现代社会,其保护和流转价值并重,不存在孰为前提、孰为例外。这也能解释为什么《民法典》第993条在设定人格利益许可使用制度时,只列举了姓名、名称、肖像,而没有提及个人信息,因为个人信息的流转、交易与传统民法上的人格利益许可使用并不相同。这意味着要把个人信息保护塞入民法人格权框架,很大程度上必须破坏其原有结构。当然,民法学者可回应道:为了与时俱进,突破传统民法是应付的代价。但更难应对的问题是:个人信息权无法派生出知情、查询、修改、保密、删除等权能,因为它们本质上是在“服务一种特定的立法目的,即有效地阻止个人信息被非法滥用,而非使信息为个人所独占”。
第二,个人信息权益不仅具有民事权利属性,也具有公法权利属性。理由如下:①作为民事权利的个人信息权无法对抗公权力机关。一个法学常识是:民事权利和公法权利的核心差异在于前者对抗平等民事主体,后者对抗国家。这当然不是说公权力机关可以不尊重民事权利,而是说当公权力机关以平等民事主体身份处理个人信息时,需要尊重其所承载的民事权益。一旦公权力机关履行公共管理职责而处理个人信息,则需尊重个人信息公法权利。在《民法典》之前,早有一系列法律规定了对抗国家的个人信息公法权利,包括《护照法》第12条、《居民身份证法》第6条、《国家情报法》第19条等。《民法典》不会覆盖或推翻这些先在立法。事实上,就连《民法典》第1039条要求“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的个人信息应当保密”,也是在规定一项公法权利。②对个人信息的多重保护机制无法从作为民事权利的个人信息权中导出,原因有二:一方面,国家运用行政法、刑法等手段来保护个人信息,并非为了实现信息主体对个人信息的独占,也不是在协调作为平等民事主体的信息主体和信息处理者之关系。之所以要在民法之外引入其它部门法的多重保护,恰恰是因为信息主体和处理者之间高度不平等,以个体维权、诉讼为核心的民法机制无力“纠偏”,亟需公共监管、执法和处罚为核心的行政法、刑法机制来“驰援”。另一方面,对抗私主体的民事权利无法派生对抗公主体的公法权利及配套的公法保护机制。③当然,民法学者意识到国家早已成为个人信息的处理者,也承认公法保护的重要性,但因担心承认个人信息公法权利会导致公权机关优位和公权膨胀,仍坚持个人信息仅仅是民事权利客体。在以“管理法”为核心的公法挤压私法的现象并不鲜见的今天,这种担心值得理解与同情。但现代公法权利的本意是“主观公权利”,反映了约束公权、张扬人权的政治哲学,与民法私权神圣、私法自治的价值导向若合符节。因此,承认个人信息权益的公法权利属性,不会膨胀公权,而能限制公权。若对公权与私人信息处理者一视同仁,反会造成“公法遁入私法”,使公权机关假借民事主体身份逃脱公法约束,以表面平等掩盖实质不平等。
第三,“信息处理者民法义务—侵权者民事责任—《民法典》规范”的逻辑难以完整覆盖个人信息保护法律体系。理由如下:①仅有民法义务无法约束公权机关高权性、强制性、公益性的信息处理行为。这些行为只能对应公法义务。②仅有民事责任不足以完成个人信息保护重任。个体侵权诉讼在因果关系认定和赔偿确定上存在极大困难,GDPR主要是通过高额罚款来阻吓侵权行为,并没有涉及任何私法救济方式。更何况公权机关依职权处理个人信息的行为违法,应承担行政赔偿责任,根据《行政诉讼法》《国家赔偿法》来救济。③在我国个人信息保护法律制度尚不完善的语境下,民法学者期待《民法典》充任《欧盟基本权利宪章》那样的宪法角色,用心可谓良苦。但“以民法代宪法”发生于近现代欧洲国家动荡、宪法缺乏实效性的特殊历史情境下,平移至我国具有“反历史性”。更重要的是,《个人信息保护法》的义务主体、调整范围、执行机制等均不同于《民法典》,并非后者的特别法。
须澄清的是,论证个人信息不是民事权利的客体,不代表个人信息与民事权利无关。2020年,全国人大常委会法工委在《关于〈中华人民共和国个人信息保护法(草案)〉的说明》中指出:“在编纂民法典中,将个人信息受法律保护作为一项重要民事权利作出规定。”这里的措辞极其精准,表明《民法典》确立的并非个人信息权,而是个人信息受保护权,前者指向信息主体对个人信息的自决与控制,后者指向信息主体在个人信息处理过程中应得的保护。《民法典》之所以确立个人信息受保护权,是因为个人信息承载了重大人格、财产民事利益,须通过对信息主体提供保护来予以维护。正如《民法典》开宗明义地点明“根据宪法,制定本法”,该项民事权利根源在于我国宪法上的个人信息受保护权,是后者在具体法律中的表述。
三、作为宪法基本权利的个人信息受保护权
随着个人信息法律保护的全球扩张,在宪法层面确立相关权益的必要性已成学界共识。早在十余年前,我国就有学者提出个人信息保护“体现基本权利核心内容,即人性尊严与人格独立”,但在我国宪法上属于一项未列举基本权利,应通过宪法判例“写进”宪法。这一主张遭遇了两种批评:一是批评这“要求宪法法院或宪法裁判空间,并不符合我国当前国情”;二是批评将保护个人信息提高到基本权利的地位“有过度强化个人信息保护之嫌,在与信息自由流通以及信息产业发展间容易产生摩擦”。但这些批评均不成立。一方面,随着合宪性审查工作推进,宪法基本权利不再是空中楼阁,确立个人信息保护基本权利的制度性障碍亦不复存在。另一方面,基本权利不等于绝对权利,不会对个人信息提供毫无限制的保护,也不许诺遗世独立的“鲁滨逊式自由”。因此,当下亟待学理澄清的问题不再是“为何”要确立该项基本权利,而是“如何”确立,具体包括规范依据和概念表达两大任务。
(一)个人信息保护基本权利的规范依据
如何在宪法上安顿个人信息保护基本权利?各国实践遵循两条路径:宪法肯认(Constitutional Entrenchment)和宪法解释(Constitutional Interpretation)。前者是指成文宪法明确写入个人信息保护。目前,全球已有三十多个法域将个人信息保护列为基本权利。最典型的如《欧盟基本权利宪章》第8条和《欧盟运行条约》第16条规定“个人信息受保护权”。
更多国家是以宪法解释将个人信息保护纳入基本权利范围。20世纪60、70年代以来,由于计算机系统和自动化处理的推广,西方国家率先开始关注个人信息保护,但此时其成文宪法已定型,宪法解释成为更优选择,典型代表如美国和德国。1977年的“华伦诉罗伊”案(Whalen v. Roe)中,美国联邦最高法院基于宪法第四修正案,首次确立“信息隐私权”(Right to Informational Privacy),即“个人、团体或机构要求自主决定何时、如何以及在多大程度上向他人传达有关他们的信息”的权利。1983年的“第二人口调查案”判决中,德国联邦宪政法院根据《基本法》第1条第1款的人格尊严条款和第2条第1款的一般人格权条款,推导出个人拥有“信息自决权”(Informationelle Selbstbestimmung),即“有权自己决定何时以及在什么范围内将有关其私人生活的信息传达给他人”,并指出“作为在数据处理的现代条件下自由发展个性的前提,个人必须被保护免受个人数据的无限收集、储存、使用和传递”。
与美、德类似,我国宪法没有明文肯认个人信息保护。那么,能否通过宪法解释将其纳入基本权利?既有研究给出了肯定的答案,但就所依据的宪法条文有三种不同观点:一是《宪法》第33条“国家尊重和保障人权”;二是第38条规定的人的尊严;三是第38条规定的一般人格权。观点一通过把个人信息定义为人权来论证其基本权利属性,有循环论证之嫌。观点二、三的宪法条文依据相同,都是第38条“公民的人格尊严不受侵犯”,但具体解释方案不同。前者基于“人格尊严条款双重规范意义说”,认为该条的“人格尊严”不仅指诸如名誉、肖像等具体权利,也是一种“原则性的概括条款,为此体现了整个人权保障体系的基础性价值”,类似于《德国基本法》第1条规定的“人的尊严”,由此推导出个人信息应受保护。后者则拒绝把第38条类比于《德国基本法》第1条,认为中国宪法上的“人格尊严”是一种“公民作为具有独立意志的主体享有的得到尊重的权利,包括但不限于不受侮辱、诽谤和诬告陷害的人格权”,即宪法上的一般人格权,个人信息受保护是作为一般人格权内容的个人自我决定权之产物。显然,两种观点都认为个人信息保护与尊严、人格相关,差别在于如何解释第38条。但区分该条指向的到底是人的尊严还是一般人格权,对于把个人信息保护纳入我国宪法基本权利而言,意义并不大。这是因为在德国基本法上,人的尊严和一般人格权的主要差异是前者不可干预,而后者可被干预,我国宪法则没有这个差别,因为根据《宪法》第51条,两者都应受公共利益和他人权利限制。因此,在个人信息保护问题上,两种解释方案可以共存互补:人的尊严是个人信息保护的最终价值依归,一般人格权则是其具体权利基础,后者具有中间性(Intermediate)和工具性(Instrumental),目的是为了保障前者。无论采哪种解释方案,个人信息保护都可依据《宪法》第38条纳入基本权利范围。
(二)个人信息保护基本权利的概念表达
如何在概念上表达个人信息保护基本权利?既有研究提出三种方案:个人信息权、个人信息自决/控制权、个人信息受保护权。有学者指出:“个人信息权是指与个人信息收集、使用和处理等相关的权利。”这种界定无疑过于含混,因为不清楚相关权利是个人独有,还是与信息处理者或更多主体分享。有学者进一步把权利主体限于个人,明确个人信息权是“信息主体对其信息享有占有、使用、收益、处分,并防止他人侵害的权利”,这使个人信息权变成个人信息自决/控制权的缩写。如前所言,德国宪法法院就使用了这个概念。然而,个人信息自决/控制权在欧洲早已饱受批判:第一,德国学者指出个人信息保护法不是保护数据主体对其信息自决/控制,而是一种“针对个人信息自动化处理方式给个人人格或财产带来之加害危险的事先防御机制”。之所以如此,是因为个人信息自决/控制“承认一种近似乎所有权的支配权”,“制造个人信息的稀缺性,无疑于禁锢思想,阻吓交流”。第二,欧洲学者敏锐地提醒:“在占有性个人主义大行其道的背景下,在私有财产和市场法则被认为是最有效的权利分配方式的时代,‘信息自决权’日益被解读为在暗示个人对其个人信息具有某种可转让的财产权,即个人信息是个人的财产。然而,‘信息’无法先于其‘表达’或‘披露’存在,而总是以某种方式而被建构出来——逻辑上,个人对与其有关的信息并不拥有某种‘自然’的原始权利。”第三,德国学者称信息自决/控制权为一种“乌托邦”,因为欧盟GDPR针对个人自决/控制创设的例外太多,使之无法成为有意义的原则。但这无可厚非,因为自决/控制本来既不现实,也无必要——个人就其信息如何处理有一定发言权,但不是最终发言权。
正因如此,“个人信息受保护权”(Right to Protection of Personal Data),而非“信息自决/控制权”(Right to Data Self-determination/control),成为欧盟立法的选择。“信息保护”(Datenschutz)一词源于1970年德国黑塞州的信息保护法,这是世界上该领域的首部专门法律,后经1981年欧洲理事会《数据自动化处理的个人保护公约》正式转译为英语中的data protection(法语为protection des données),进入国际法律文本,对欧洲各国的后续立法产生深远影响。比如英国1984年通过的相关法律就命名为《信息保护法案》(Data Protection Act),而非此前在英语世界更为流行的“隐私法案”(例如美国1974年《隐私法案》)。该传统为欧盟1995年数据保护指令、《欧盟基本权利宪章》以及GDPR所延续。相较于“信息自决/控制权”,“个人信息受保护权”一词摈弃了个人独占、控制信息之意味,不以个人信息本身为客体,而是指向个人在信息处理过程中应当获得的保护。具体如何保护,则有赖于国家履行对该项基本权利的保护义务。许多国家宪法明文规定的也正是个人信息受保护权。例如《希腊宪法》第9条规定:“任何人就其个人信息的收集、处理和使用,尤其是通过电子手段为之的,受到法律保护。”《墨西哥宪法》第16条规定:“所有人都享有个人信息受保护以及访问、更正和删除此类信息的权利。”《阿尔及利亚宪法》第46条规定:“所有人在其个人信息被处理时受到保护是法律保障的一项基本权利。”有鉴于此,我国应当采用个人信息受保护权这一概念。
事实上,立法者早已做此选择。如前所言,《民法典》确立了作为民事权利的个人信息受保护权。此外,2013年修改的《消费者权益保护法》第14条规定:“消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利。”2016年《网络安全法》第64条规定:“网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正。”2021年4月公布的《个人信息保护法(草案)》(以下简称“个保法草案”)二审稿第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”此处的“个人信息权益”指的就是“基于个人信息受保护权实现而获得保障的各种相关法益”。这些横跨民法、经济法、行政法等领域的立法不约而同地规定个人信息受保护权,正体现出我国的个人信息保护法律体系是以作为宪法基本权利的个人信息受保护权为概念基础。
四、宪法基本权利视野下的个人信息保护法律体系建构
正如本文开头所言,我国个人信息保护法律体系应置于一个能充分解释和有效规范该体系的核心概念之上。前文已论证作为民事权利的个人信息权难以独自担此重任,本节基于宪法基本权利教义学,以个人信息受保护权为出发点,从其内容(“保护什么”)、功能(“如何保护”)和限制(“保护多少”)三个角度,尝试建构我国个人信息保护法律体系。
(一)我国宪法上个人信息受保护权的内容
宪法上个人信息受保护权的内容,决定其保护范围,因为,基本权利的内容决定了权利主体可以就何种客体提出何种主张。在确定我国宪法上个人信息受保护权的内容时,应注意以下三点:
第一,个人信息受保护权的根本目标决定该项基本权利的内容。进入数字时代,个人信息天然具有公共性、交互性,其自由流动与利用具有巨大社会和经济价值,保护个体占有既无可能,也不必要。因此,个人信息受保护权并不意在实现信息主体对个人信息绝对、排他的控制。然而,随着信息高速流动和广泛利用,原本零散、偶发的个人信息处理,日渐具有规模性和持续性,经由“马赛克效应”(Mosaic Effect),将信息主体置于前所未有的被操控、侵扰或歧视之境地,使其因“数字化”而“客体化”,面临人格尊严贬损的巨大风险。为扭转这一局面,有必要让每时每刻都在被“处理”的信息主体在此过程中重拾主体地位,确保其个人信息以合乎人格尊严的方式被处理。这既是我国《宪法》第38条“人格尊严不受侵犯”的题中之义,也是个人信息受保护权的根本目标,即通过控制个人信息处理活动,在不限制个人信息自由流动和利用的前提下,确保个人信息处理不逾越人格尊严底线。个保法草案二审稿第1条规定“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,制定本法”,正体现了这一目标。为了彰明其宪法基础,建议在“制定本法”前添加“根据宪法”。
第二,个人信息受保护权中“个人信息”的定义决定该项宪法权利的范围。对此,《民法典》第1034条表述为:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”个保法草案一审稿、二审稿第4条表述为:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。”二者都是对宪法上个人信息受保护权范围给出的形成性定义。两相对比,《民法典》采用“识别”标准,个保法草案则采用“识别+关联”标准。前者是“从信息到个人”,由信息本身的特殊性识别出特定自然人,凡有助于识别出特定个人的信息都是个人信息;后者则还要加上“从个人到信息”,在识别出特定自然人后,该特定个人在其活动中产生的信息均为个人信息。后者的范围大于前者。事实上,从2012年《全国人大常委会关于加强网络信息保护的决定》,到2016年《网络安全法》第76条,再到2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,个人信息的认定标准从“直接识别”到“直接识别+间接识别”再到“识别+关联”,范围渐趋扩大。在《民法典》退回到“识别”标准后,个保法草案又回归“识别+关联”标准。这标志着立法者在立法形成空间内,不断调适个人信息的认定标准。但问题是:何种标准才能更好地落实宪法上的个人信息受保护权?这就涉及如何判断基本权利的内在限制,即其本身所固有的、非外在的限制。这种内在限制不应过大,否则会不当限缩宪法保护的范围。因此,学理上一般认为基本权利的内在限制包括“禁止明显危害社会的行为”“暴力禁止”“尊重第三方财产”“禁止权利滥用”“恶意禁止”。在此视角下,与《民法典》的“识别”标准相比,个保法草案的“识别+关联”标准虽更宽泛,但并未突破个人信息受保护权的内在限制。更重要的是,与被识别后的特定个人关联的信息,如个人位置信息、通话记录、浏览记录等,无疑会对个人尊严产生影响,也应纳入宪法基本权利的保护范围。因此,个保法草案对个人信息的定义更加符合宪法上个人信息受保护权的内涵。为避免法律冲突,对《民法典》第1034条第2款的解释应参照该定义。这也再次说明民法规范不能作为我国个人信息保护法律体系的基本法。
第三,个人信息受保护权中“受保护”的定义决定该项宪法权利的权能。根据前述个人信息受保护权的根本目标,其所保护的并非信息主体对个人信息占有、使用、收益、处分,而是个人在信息处理过程中的主体尊严。为达到这一目的,当个人与信息处理者之间存在不平等关系时,通过赋予个人知情、决定、查询、复制、更正、携带、删除等一系列工具性、中介性、程序性的权利,以实现其与信息处理者之间的制衡结构,避免其沦为客体。此一工具性的“权利束”无法从作为民事权利的个人信息权那里派生而出,而只能是宪法上个人信息受保护权落实之结果。这正是个保法草案一审稿、二审稿第四章以“个人在个人信息处理活动中的权利”,而非“个人信息权”为标题的关键原因。当然,个人信息受保护权派生出工具性权利束,不代表一套固定的权利能“包打天下”。不同场景下,公民因个人信息被处理而面临的尊严减损风险不尽相同,工具性权利束也须相应调整。后文对此将详述。
(二)我国宪法上个人信息受保护权的功能
宪法上个人信息受保护权的功能,决定其保护方式,即个人信息保护所针对的侵害风险源以及所采用的保护手段。数字社会中,随着数据跨境流动,来自国内外的公私主体均已成为个人信息侵害的风险源。如前所言,个人信息民事权利无法对抗公权信息处理者。要实现“全方位、无死角”的保护,必须引入作为宪法基本权利的个人信息受保护权。这是因为宪法基本权利具有双重性质,既是一种“主观权利”,也是一种“客观法”。在“主观权利”面向下,基本权利主要具有防御权功能,即对抗公权主体,国家负有避免侵害基本权利的消极(不作为)义务。此种功能下,个人信息受保护权处理国家和个人的双方关系,在二者之间树起屏障,防御国家在处理个人信息过程中侵害个体尊严。而在“客观法”面向下,基本权利则要求国家帮助和促进基本权利实现,尤其是在基本权利受到第三方影响时,国家有为其提供保护的积极(作为)义务。此种功能下,个人信息受保护权处理的是国家—个人—第三方的三边关系,国家为使个人尊严免受第三方侵害而积极提供保护。这里的第三方包括来自外国的侵害者。可见,唯有宪法上的个人信息受保护权能同时对抗公权、私人和域外的侵害风险源。当《民法典》第111条和个保法草案二审稿第2条规定“任何组织和个人”不得侵害个人信息权益时,它们并非在规定一项民事权利,而是在落实宪法基本权利。关于个人信息受保护权所对应的国家消极和积极义务如何展开,以往研究已有细致讨论。此处从宏观角度,勾勒出宪法上个人信息受保护权统摄我国个人信息保护法律体系的两条路径。
第一,以个人信息受保护权的主观权利功能来对抗公权侵害个人信息的风险。无论是公权主体处理个人信息的基本原则,抑或相关具体规范,都可在此功能下得到解释。一方面,根据《民法典》第1035条第1款,处理个人信息应征得信息主体同意,除非法律、行政法规另有规定。但这一逻辑并不适用于公权主体。一项法学常识是:私法领域奉行意思自治,以合意为行动原则,法无禁止即自由;公法领域则追求有限政府,以法定为行动原则,法无授权不可为。因此,对私人信息处理者而言,信息主体的知情—同意是信息处理的基本原则,除非立法有例外规定。相反,对公权信息处理者来说,其个人信息处理活动是以法律授权而非信息主体的知情—同意为基本原则。即使信息主体同意,若无法律授权,公权主体也不能处理个人信息。这正是为什么个保法草案一审稿、二审稿第34条规定“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”。当然,第35条还进一步规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意。”但这只是在法定的基础上额外增加同意的要求,对公权主体处理个人信息科以高于私人处理者的标准。
另一方面,大量具体规范设定了公权主体的个人信息保护公法义务和责任。例如《民法典》第1039条规定国家机关、承担行政职能的法定机构及其工作人员应对履职过程中知悉的个人信息保密;刑法修正案(七)对“国家机关或者金融、电信、交通、教育、医疗等单位工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人”以及单位犯此罪的,规定了刑事责任;个保法草案二审稿第67条规定“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分”。在一些具体的行政管理领域,也有此类规范。例如《居民身份证法》第13条规定:“有关单位及其工作人员对履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,应当予以保密。”《出口管制法》第29条规定:“有关国家机关及其工作人员对调查中知悉的……个人信息依法负有保密义务”。《网络安全法》第45条规定:“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”此外,《电子商务法》第25条、《契税法》第13条、《社会保险法》第92条、《医疗保障基金使用监督管理条例》第32条、《戒毒条例》第7条等也有类似规定。然而,既有立法在落实宪法上个人信息受保护权之主观权利面向上仍有三点缺陷:
其一,覆盖范围不足。重点领域立法对公权主体个人信息保护义务缺乏观照。最典型的如2019年修订的《政府信息公开条例》第15条维持2008年原条例将个人隐私作为公开例外的规定,对个人信息保护只字未提。2021年修订的《行政处罚法》第50条也有此问题。同时,个保法草案未能囊括全部公权信息处理者,后者包括如下三类:国家机关、准国家机关(即行使公权力的非国家机关)以及相关工作人员。个保法草案一审稿第四章仅涉及国家机关,二审稿第37条增加了“法律、法规授权的具有管理公共事务职能的组织”,但均未涵盖相关工作人员。而且根据《行政诉讼法》第2条,规章授权组织也属于准国家机关,理应反映在个保法草案中。
其二,规范密度过低。除个保法草案外,既有立法大多只是设定了公权主体的个人信息保密义务,对其收集、存储、使用、加工、提供、公开个人信息等活动疏于规范。即使是个保法草案,也只是辟出一小节、五个条文来设立“国家机关处理个人信息的特别规定”,对许多问题依旧语焉不详。例如个保法草案一审稿第36条曾规定:“国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。”这一条在二审稿中被删去,国家机关公开、提供个人信息的活动由此失去明确的法律规范。
其三,特别规定缺位。既有立法未能充分反映公权主体在个人信息保护方面的特殊性。一方面,针对公权和私人处理者,信息主体享有的工具性权利是不同的。个保法草案一审稿、二审稿第四章确立一系列“个人在个人信息处理活动中的权利”,包括知情权、决定权、查阅权、复制权、更正权、补充权、删除权等。草案第33条进一步规定:国家机关处理个人信息的活动适用本法,除非有特别规定。征诸“国家机关处理个人信息的特别规定”一节,并无关于个人面对国家机关处理者所享有工具性权利的特别安排。这无疑是一种缺漏,因为不能以同一套工具性权利束同等适用于国家机关。例如美国《隐私法案》就只规定公民对联邦政府的信息处理活动享有知情权、查阅权、复制权、更正权、补充权,而未规定删除权。英国2018年《数据保护法案》(Data Protection Act)设定了专门针对刑事执法、司法(Law Enforcement)机关和情报(intelligence)部门的信息主体工具性权利束,包括查阅权、更正权、删除权、限制处理权,但不包括GDPR规定的可携权。即便是同一工具性权利,对公权处理者和私人处理者的要求也不一样。以删除权为例,根据个保法草案一审稿、二审稿第47条第3项,“个人撤回同意”是信息处理者删除个人信息的正当事由,但这只对私人处理者适用,无法适用于公权处理者。另一方面,针对公权和私人处理者,个人信息保护机制也应有所区别。个保法草案二审稿第七章规定了个人信息处理活动违法侵权的法律责任,但其中大部分内容只适用于私主体,例如第65、70条规定的行政处罚,以及第68条规定的侵权损害赔偿责任,因为该条遵循的过错推定原则与《国家赔偿法》上的违法责任原则大相径庭。个保法草案专门为公权主体个人信息违法侵权设定的法律责任仅有第67条规定的行政系统内部责令改正和处分,缺乏包括行政复议、诉讼和国家赔偿在内的监督救济机制。
综上所述,现有立法未能有效落实宪法上个人信息受保护权的主观权利功能。建议尽快制定一部针对公权信息处理者的专门立法,就信息处理原则、义务、信息主体的工具性权利、违法侵权责任等作出系统性规定,并畅通行政复议、诉讼和国家赔偿等监督救济渠道,弥补我国个人信息保护法律体系的重大缺失。
第二,以个人信息受保护权的客观法功能来对抗私人和域外个人信息侵害风险源。作为客观法的基本权利有三种功能:一是“制度性保障功能”,即“立法者必须建构相关法律制度以形塑基本权利之内涵,为基本权利的保障提供制度性支持”;二是“组织和程序保障功能”,即“设立适当的组织机构和程序来落实基本权利的保障”;三是“侵害防止功能”,即“建立具体制度,通过这些制度的运行,保护个人免受第三人的侵害”。林林总总的现行个人信息保护立法皆可在这些功能下获得解释,兹举几例:
制度性保障功能下,早在2012年,全国人大常委会《关于加强网络信息保护的决定》就开宗明义地指出“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。随后,无论是《刑法》《民法典》,还是《网络安全法》《数据安全法》《个人信息保护法》,都是在为个人信息受保护权提供制度性支持。个保法草案二审稿第11条更是明确承诺:“国家建立健全个人信息保护制度。”组织和程序保障功能下,个保法草案二审稿第59条确定由“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作”。这虽有多头监管之嫌,但本意是为了建立组织机构来保障个人信息受保护权。侵害防止功能下,个人信息保护领域已建立起的民法侵权、行政监管以及刑事处罚制度,都旨在保护个人信息免受他人侵害。个保法草案二审稿第3条规定域外效力、第12条规定国家促进个人信息保护方面的国际交流与合作、第38-43条规定个人信息跨境提供规则,则是在落实国家保护境内信息主体免受域外侵害的义务。
当然,宪法上个人信息受保护权的客观法功能如何具体落实,立法机关自有形成空间,但总体上应遵从基本权利教义学,把握如下三点:
首先,坚持宪法权利与部门法权利的互动性。这是基本权利间接第三人效力(Mittelbare Drittwirkung der Grundrechte)所要求的。如前所言,我国宪法上的个人信息受保护权,经由客观法面向的制度性保障功能,落实到民法、经济法、行政法上,就成为相应部门法上的个人信息受保护权。在此意义上,后者是前者的具体化。但这并不表示后者就是前者的原样照抄。近年来,有学者对基本权利第三人效力展开批评,核心理由是基本权利传统上仅处理公民与国家之关系,若搬来解决公民与公民之关系,将造成错配,甚至会威胁私人自治,因为宪法权利和民法权利在调整对象、规范强度、权利内容、权利目的等方面迥异。这印证了前文关于区分对抗私人主体的个人信息受保护权和对抗公权主体的个人信息受保护权、对后者作特别规定的主张,但并不取消宪法上个人信息受保护权的客观法功能,因为其本身具有“一阶价值”,可通过价值辐射对私法关系产生间接第三人效力,在尊重民法等部门法独立形成空间的前提下,要求部门法在宪法框架内行使形成自由,从而使宪法和部门法上的个人信息受保护权实现“和而不同”。
其次,实现个人信息侵害风险源覆盖的整全性。这是部门法保护基本权利的不足禁止(Untermaßverbot)原则所要求的。如前所言,唯有宪法上的个人信息受保护权才能对抗各类个人信息侵害风险源,具体落实有赖于部门法形成。就侵害风险源而言,除前文提及的公权和域外主体,还包括私人主体,根据其与信息主体的关系可分为三类:
一是“不平等关系”下的私人处理者,例如作为雇主的私人处理者,其对作为雇员的信息主体不仅拥有“数据权力”(DataPower),还有因雇佣关系而生的支配地位。例如根据《劳动合同法》第8条,“用人单位招用劳动者时,有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明”。个保法草案二审稿第13条也规定“为订立或者履行个人作为一方当事人的合同所必需”的,可不经同意处理个人信息。尽管如此,为了确保雇员在雇主处理其个人信息过程中的尊严地位,劳动法上也对雇员个人信息保护做出了专门规定。例如《就业服务与就业管理规定》第13条就要求:“用人单位应当对劳动者的个人资料予以保密。公开劳动者的个人资料信息和使用劳动者的技术、智力成果,须经劳动者本人书面同意。”但目前我国劳动法缺乏对雇员个人信息保护的系统规定,须进一步完善。
二是“准平等关系”下的私人处理者,例如提供产品或服务的私人处理者(典型的如平台),其对作为消费者的信息主体具有数据权力,但不具有其他支配地位。个保法草案正是通过赋予个人工具性权利束,来平衡这种场景下的“非对称权力结构”。同时,传统上旨在调节市场不平等关系的经济法在此也有用武之地,例如《电子商务法》《消费者权益保护法》对特定语境中的个人信息保护作出规定。
上述两种情形下,私人处理者和信息主体之间都存在“持续不平等信息关系”,既有研究认为这是个人信息保护法律制度适用的前提。但这是不完整的,因为还有第三类个人信息侵害风险源,即“平等关系”下的私人处理者,其对信息主体并无系统、持续的数据权力,但仍可能侵害个人信息,典型的如黑客、因职务而处理个人信息的人员等。此类私人主体并不构成个保法草案二审稿第72条规定的“个人信息处理者”,即“自主决定处理目的、处理方式等个人信息处理事项的组织、个人”,故不适用《个人信息保护法》,信息主体对其也不享有工具性权利。但这并不意味着此类私人主体逃逸出我国个人信息保护法律体系。例如《刑法》第253条规定的侵犯公民个人信息罪的行为主体,就从刑法修正案(七)的“国家机关或者金融、电信、交通、教育、医疗等单位工作人员”,经刑法修正案(九)扩展到一切主体。但该罪的保护范围局限于信息收集环节,未对信息收集之后的侵害个人信息行为提供刑法观照,距离侵害风险源全覆盖之要求仍有差距。
以上分析表明:为落实基本权利保护的不足禁止原则,我国个人信息保护法律体系应全面覆盖各类个人信息侵害风险主体和行为。不同部门法须在这一共同目标下各安其位、各负其责,协力形成和保障宪法上个人信息受保护权,不存在孰为基本法的问题。
第三,追求个人信息保护手段的适当性。这是功能适当(Funktionsgerechte Organstruktur)原则所要求的。该原则指向国家决策的正确性和理性化,使国家运作更有效率,更妥当地实现国家的各项任务。个人信息受保护权的客观法面向要求国家履行积极保护义务,功能适当原则要求国家理性、高效地履行这种义务。上文提及的针对不同个人信息侵害风险源,配以不同部门法保护,正是在落实该原则。个人信息保护立法的三种执行手段也应符合该原则:
一是公共执行(Public Enforcement),即公权机关的监管、执法、处罚等。由于私人信息处理者的技术、资本优势,信息主体个人维权难以应对,故行政监管部门的公共执行应成为个人信息保护立法的主要执行手段。这也是为什么个保法草案二审稿第五章详细列举个人信息处理者的义务,其目的正在于从公法上对信息处理者提出合规要求,为高额罚款、停产停业等公共执行手段奠定基础。当然,公共执行毕竟资源有限,个人信息处理者也往往借助其技术优势逃逸监管。由此,基于行政法上的“元规制”(Meta-regulation)或“内部管理型规制”(Management-based Regulation)理念,个保法草案第57条增设“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”(所谓“守门人”)的特殊合规义务,正是为了提高监管效能,体现了功能适当原则。此外,与GDPR建立“一站式监管机制”(Onestop-shop Mechanism)不同,个保法草案二审稿第59条采用了国家网信部门统筹协调、其他有关部门在职责范围内负责个人信息保护工作的“多头治理”模式,未能清晰、细致地明确各监管部门之间的权责分工与界限,难以避免权限重叠冲突、执法尺度不一等问题,不利于个人信息保护监管执法的高效开展,有违功能适当原则,亟待改善。
二是私人执行(Private Enforcement),即个人维权诉讼。相较于公共执行,面对拥有数据权力的个人信息侵权者,私人执行面临取证难、成本高、赔偿低的困境。个保法草案二审稿第68条明确规定个人信息侵权的过错推定责任,正是为了强化私人执行,落实功能适当原则。但如前所言,个人信息侵害主体并不一定具有数据权力。对“平等关系”下的侵害主体适用过错推定责任并无必要。因此,民法学界提出个人信息侵权的二元归责原则体系,区分采用和未采用自动化系统的侵权者,前者适用过错推定责任,后者适用一般过错责任。这同样体现了功能适当原则。除民法侵权诉讼外,个人信息保护立法的私人执行还应包括刑事自诉。根据2020年修订的《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》第1条,侮辱、诽谤案属于刑事自诉案件,严重危害社会秩序和国家利益的除外。鉴于个人信息侵权和侮辱、诽谤一样都可能严重危害公民个人尊严,建议将严重侵害个人信息受保护权,民事责任不足应对,但还未达到严重危害社会秩序和国家利益程度的情形纳入刑事自诉案件范围,以进一步提高个人信息保护立法的执行效率。
三是社会执行(Social Enforcement),即公权机关和公民个人以外的社会组织来执行个人信息保护法律。较之公权监管,它成本更低;较之私人维权,它更集中有力。以社会执行来补充公权监管、私人维权,符合功能适当原则。据此,个保法草案二审稿第69条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,国家网信部门确定的组织可以依法向人民法院提起诉讼。”当然,哪些组织在何种条件下可以提起此种公益诉讼,还有待细化规定。
(三)我国宪法上个人信息受保护权的限制
如前所言,个人信息受保护权并非绝对权,而是受到限制的,但这种限制本身也要受到限制。根据基本权利教义学,对基本权利限制的限制包括形式和实质两方面,前者指法律保留原则,后者指比例原则。据此,个人信息受保护权并不禁止处理个人信息,而是要求处理活动符合法定条件和比例原则,由此确保个人尊严。在此视野下,既有个人信息保护立法可得到解释:
首先,《民法典》第1035条规定处理个人信息应当遵循合法原则。个保法草案二审稿第5条也规定处理个人信息应当采用合法方式,第10条要求“任何组织、个人不得违反法律、行政法规的规定处理个人信息”,第13条明文列举了七项个人信息处理的合法性基础。《网络安全法》第41条要求网络运营者依照法律、行政法规的规定处理其保存的个人信息。这些规范均表明处理个人信息必须符合法定条件。其次,《民法典》第1035条规定处理个人信息应当遵循正当、必要原则,不得过度处理。个保法草案二审稿第6条规定,“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理”;第13条要求处理个人信息应限定在为履行法定职责、订立合同、应对突发公共卫生事件等合法目的所必需的范围内;第27条规定,“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需”。这些规范都是在落实“过度禁止”(Übermaßverbot)要求,防止个人信息处理突破比例原则的边界。
然而,实践中仍存在违反法律保留原则和比例原则限制个人信息受保护权的现象。例如2020年9月,苏州政府推出“苏城文明码”,意在作为“警示和惩戒综合文明指数低于下限人员的电子凭证以及外来人口积分入户志愿服务电子凭证”,但这一个人信息处理行为并无法律、行政法规依据。即便有法定依据,某些信息处理行为也不符合比例原则,具体包括两种情形:第一,缺乏正当目的。比例原则首先要求限制基本权利具有目的正当性,即目的本身合宪。以我国的人事档案制度为例。根据《干部档案工作条例》第31条和《企业职工档案工作管理规定》第17条,任何个人不得查阅本人档案。人事档案包含大量个人信息,个人理应拥有查阅权。上述规定剥夺这种查阅权,源于革命运动年代查验、考核干部、保障组织和国家安全的需要。时至今日,这种人身依附性浓重的制度安排,在国家尊重和保障人权的宪法诫命下,已然失去目的正当性,亟待改变。第二,超出必要范围。比例原则要求限制基本权利是为了达到正当目的所必需。自2019年底新冠疫情爆发后,各地政府纷纷建立个人健康码系统,作为数字化疫情监控的重要工具。但随着疫情防控进入常态,各地都在考虑如何常态化使用健康码。杭州就曾提出改造健康码,来集成电子病历、健康体检、生活方式管理的相关数据,建立个人健康指数排行榜,甚至对楼道、社区、企业等健康群体进行评价。这种个人信息的收集和使用已经远超防疫所必需,违反比例原则。因此,有必要根据宪法上个人信息受保护权的要求,对疫情防控常态化后的健康码制度展开系统反思与改造。