王锡锌:作为规制工具的个人信息权利束 | 中国社会科学
The following article is from 中国学派 Author 王锡锌
国家保护视野中的个人信息权利束
作者:王锡锌,北京大学法学院教授、博士生导师。
来源:《中国社会科学》2021年第11期,第115-134页。原文责任编辑:李树民、王博。
作者同系列文章:
文纸质版
摘要:个人信息权利束指包括个人信息主体知情、决定、查询、更正、复制、删除等权能在内的一组权利集合。我国民法学界通常将权利束的性质理解为个人自主控制范式下的民事权利,并将其解释为个人信息权的具体权能。这种理解对个人信息权利束的性质和功能存在一定的误读。从权利性质看,个人信息权利束是国家履行积极保护义务、通过制度性保障对个人进行赋权的结果,本质是国家在“保护法”理念下赋予个人的保护手段和工具;从功能上看,个人信息权利束既是个人制衡信息处理者的工具,也是国家对数据处理者的规制策略。从国家保护和规制策略视角理解权利束的性质和功能,有助于更好地建构“保护法”理念下公正、透明、理性的数据治理公法秩序,促进数据治理体系的结构优化和能力提升。作为国家规制策略中的工具性权利,个人信息权利束的实践展开,首先需要注重程序正义下个体的知情、参与和双方的交涉促进,同时在分配正义下合理配置个人与信息处理者之间的权利义务,不断发展和提升国家的规制理性。
关键词:保护法 国家保护义务 工具性权利 个人信息权利束 规制策略
个人信息保护中的“权利束”指通过制定法为个人配置的、在个人信息处理全周期由个人行使的一组权利的集合。在个人信息保护法体系中,该组权利集合主要包括知情权、决定权、查询权、更正权、复制权、携带权、删除权等权利。对权利束进行立法表达的一个典型文本是欧盟《一般数据保护条例》(General Data Protection Regulation,下文简称GDPR)。我国《个人信息保护法》借鉴GDPR模式,在立法表达中将权利束整合于“个人在个人信息处理活动中的权利”这一概念中。值得注意的是,《个人信息保护法》此处的概念表达和对该类权利的“前缀限定”,并非立法中的语词游戏,而是立法者深思熟虑后的选择。究其要义,其一,这一概念似乎申明,这些权利只是在“个人信息处理活动中”被赋予的,而不是先定的;其二,这些权利所指向的客体并非个人信息,而是信息处理者处理个人信息的活动;其三,这些权利是个人信息处理特定场景和过程中的权利,而非普遍的、绝对化的权利。
在这一背景中,有必要提出的问题是:在个人信息立法强调“保护个人信息权益”的“保护法”面向下,如何理解这些权利的法律性质?立法者配置这些权利目的何在?这些权利在实践中如何行使与保障?这三个问题涉及个人信息保护法体系的理论基础,影响到个人信息保护法在整个法律体系中的定位,也关系到个人信息的保护手段及救济机制,并最终对个人信息保护和数据治理中的“国家—数据处理者—个人”间关系结构产生决定性的影响。
在信息技术和数字化浪潮的席卷之下,个人已不可避免地置身于各种“数字化生存”的场景之中。不论是传统的公共和私人机构还是新兴的网络平台,都通过对个人信息的采集、分析、处理、决策等方式深刻影响甚至决定个人的生活,对个人的人格尊严、安宁、隐私、财产等权益带来各种潜在风险。面对这些大规模、持续性处理个人信息的机构,个人往往处在被动的、受压制的处境。个人信息处理者——特别是一些超大型平台,在技术、资源和话语等维度都具有相对于个人而言的巨大势能,因而形成一种事实上的“平台权力”。在个人信息处理场景中,这种权力又衍生出平台的“数据权力”。控制数据权力滥用的风险,正是个人信息保护法律制度的核心使命。实践中,机构和平台对个人信息的过度采集、过度挖掘、算法驱动的自动化决策、个人信息泄露及非法流通利用等情形时有发生,这些本质上都是数据权力滥用的表现。面对数据权力的滥用,仅仅寄希望于个人对其信息进行自我保护显然是不够的;国家必须在个人信息保护和数据治理体系中扮演重要的规制者角色。
为此,本文从国家保护视角,结合比较法经验和我国实践,梳理个人信息权利束的理论脉络,重思权利束的法理基础与法律性质;以此为基点,尝试厘清权利束在个人信息保护法律制度中的功能定位,进而对权利束的设定、行使、保障等规则进行提炼。
探究个人信息权利束的性质,在逻辑上需要回归权利束的法理基础。在个人信息保护法规范中对权利束进行设定与建构的基础与目的是什么?这种基础如何展开并表现为构成权利束的具体权利?只有在厘清这些问题的前提下,方可探知并界定权利束的法律性质。
在既有关于权利束性质的探讨中,具有代表性的观点认为,权利束是个人对个人信息进行控制并展开自我保护的具体手段,是民事主体享有的对其个人信息的权利。这种观点所反映的,其实是将对个人信息的自我控制、自我保护作为路径的个人数据治理模式。在权利类型的讨论上,这一模式具体可分为人格权保护、财产权保护等不同进路;在保护强度上,将个人信息作为权利还是利益进行保护亦众说纷纭。概括而言,尽管存在体系定位上的差异,这些研究基本都分享下列共识:自然人对其个人信息享有民事权益,应当采取由民法赋权的逻辑,保护自然人对其个人信息被他人收集、存储、转让和使用过程中的自主决定的利益,具体表现为知情权、决定权、删除权等权项的行使。也即是说,这些研究者普遍将个人信息权利束作为个人信息民事权(益)衍生出的具体权项,将“个人信息民事权利束—个人信息处理者义务”框架作为个人数据治理的基本框架。由此形成的理论范式可归纳为:在价值层面将个人对个人信息的自主控制作为基本立场;在保护手段上依靠对个人赋权及其自我保护;在救济途径上以事后的民事侵权责任为主展开。
这种私权视角下将权利束纳入民事权利体系的理论构想,一方面可以从美国“隐私—财产”脉络下强调私权神圣的排他性所有权理念中寻得踪迹;另一方面也受到高扬个人自主决定的欧陆人格权学说的影响。这两大理论渊源虽在权利的法哲学基础上存在差异,但在交互影响、发展与合流中,均提出了为个体设置信息控制权的主张。这些主张被引入我国并本土化之后,“构建以信息主体自我控制为基础的个人信息权利体系,并在此之上形成个人信息保护秩序”的理解渐被民法学者所接受并提倡。
应当承认,依实体性权利的定性,在私法上设计个人信息权利束的逻辑,为理解权利束的法律性质提供了一个重要视角,其在个人信息保护制度尚未健全的阶段亦具有重要的实践功能。在这个意义上,从《民法总则》到《民法典》的个人信息保护条文设置,为个人信息民事权益保障机制的建构起到了奠基性作用,也体现了民法的人文关怀。然而,在个人与个人信息处理者之间的不对称权力结构中,面对信息处理者大规模处理个人信息带来的风险,试图依靠个体化的自主控制来制约信息处理者滥用权力、避免遭受侵害的私法保护模式,在很大程度上却可能沦为个人信息保护的乌托邦。
首先,个体主义的自主控制范式难以规范不对称权力结构下的个人信息处理关系。应该看到,在防范对象上,个人信息保护所针对的侵害来源,实际上主要是与普通个体之间存在持续性不对称关系、可能对个人信息处理中的相关个人进行支配或压迫的组织,例如高度组织化的平台和机构。面对当代信息化社会的现实,个人对其信息的“自主控制”将导致权利行使的两种尴尬。其一是“保护过度”。强调个人自主控制信息将无法为信息处理者的规则设计与适用预留必要空间,可能导致对信息流通和数据利用的过度抑制;其二是“保护不足”。当个人试图以民事权利(益)去对抗具有明显不对称优势的信息处理者时,往往陷入深深的“无力感”,缺乏制衡能力和技术资源的个人无法单凭“信息自决”下的诸项权利来有效对抗组织化的侵害风险。由于个人与信息处理者之间力量失衡,很难寄希望于通过个人与信息处理者之间的反复博弈而自发地生成公平合理的数据治理秩序。如果国家不对个人数据处理活动进行规制,将会出现个人信息的“有效保护”与“有效利用”的双重失范,动摇数据治理和善治的基石。以“知情—同意”规则为例,在实践中,个人知情权对应着企业的隐私保护政策告知义务;但由于信息处理者在技术、知识、资源等方面对个人具有压倒性的不对称优势,知情权在实践中往往大打折扣,甚至形同虚设。例如,隐私保护政策的文本具有高度的专业性、复杂性,而个人往往缺乏时间与能力对涉及方方面面的隐私政策条文进行有效理解。面对这种情形,知情权的质量和效果非常有限;相应地,在知情权面临空洞化和形式化的情景中,个人决定权的有效性也将不可避免地落空,因为决定权的有效性是以充分、有效的知情为基础的。个体为了获得企业和平台的服务往往只能被迫选择同意。这种情况下的“同意”,如果非要用民法的“意思自治”来解释,未免会显得牵强。即便在一些情况下,个人的确是基于自由意志而同意信息处理者处理其某项信息,也难以意识到各种信息聚合之后所产生的风险,亦无法应对个人信息被侵害的“集体性质”问题。可以说,在缺乏来自国家保护和支援的情况下,个人自主控制的知情—同意规则往往沦落为对个人的象征性赋权;在极端意义上,个人“自主控制”甚至造成“个人自主地选择被支配”的困境。
实际上,正是意识到上述困境,在域外个人信息保护的实践中,自主控制范式不断遭到质疑和批判。例如,保罗·施瓦茨(Paul Schwartz)提出,不应将隐私自我管理作为信息隐私保护的核心。他进而指出,国家在个人信息保护中发挥着双重作用:其一,创造与维持运行良好的隐私市场;其二,创制隐私法规则,以避免信息偏好的扭曲。又如,伊莱克特拉·比蒂(Elettra Bietti)指出,在缺乏国家主导的有力监管的情形下,个体视角下的同意只是一张“免费通行证”(free pass),无法有效防范平台权力(platform power)所带来的结构性伤害。在近年来的制度实践中,无论是GDPR为预防数据处理风险所作的长达99条的监管和合规要求及其执法活动,还是美国联邦贸易委员会对企业隐私政策的个案审查和规制,都体现出国家主导下企业内部规制与行政外部规制的结构耦合。国家应当对个人信息的保护程度进行担保,对市场保护机制的失灵展开纠偏。
其次,自我保护模式在个人信息遭受侵害的救济与监督机制上力有不逮。私权保护框架寄希望于个人积极地展开维权与诉讼,但这种机制是个体化的、事后的且低效的,无法应对大规模、持续性、累积性的个人信息处理风险。“这种机制的执行依赖于众多个体不协调的独立行动,其有效性取决于这些个人对信息隐私的重视程度、通过司法行动保护信息隐私的意愿,以及司法系统是否有能力来回应个人的侵权请求。如果其中任何一个因素缺失,例如个人不行使自己的权利或司法系统不能确保对这些权利主张作出一致的裁决,那么建立在个人支配权利基础上的治理机制就会落空,成为象征性治理。”在欧洲,看似耀眼的“信息支配权”“信息所有权”等理念与通过司法对这些权利进行保障效果极其有限的现实之间,形成了鲜明的反差。现实情况是,这些围绕权利束的维权,主要并非依靠个人的自我控制与诉讼,而是依靠国家主导下监管机构的有效监管。例如,GDPR实施一年后,欧盟各国监管机构处理的投诉、数据泄露通知等行政案件总数突破28万件,成为维护个人信息受保护权利的最主要机制。
再次,将权利束理解为民事权利,无法对国家机关处理个人信息的情形进行合理的解释。国家机关处理个人信息在性质上属于国家机关的职权行为,国家机关与个人之间形成的是公法上的权利义务关系;相应地,权利束中的具体权利也往往表现为个人在公权力活动过程中的程序性权利,其内涵取决于调整具体公法活动的法律规则。这表明,个人信息权利束并不是先在的民事权利集合。一个典型的例证是,在司法机关对刑事案件嫌疑人进行调查的程序中,相应的法律规范是《刑事诉讼法》以及相关证据规则;面对侦查机关处理个人信息的侦查行为,个人并不能以个人信息权对抗侦查机关,而只能以刑事诉讼中的程序性权利对侦查活动进行制衡;同时,很难想象个人对此可享有限制处理权和删除权,否则个人完全可能利用这些权利干扰执法信息(证据)的收集,侵蚀国家机关的执法能力。实际上,国家机关处理个人信息时,个人往往无法启动权利束中的诸多具体权能,原因在于:在公法领域,国家机关处理个人信息的行为是职权行为,具有高权性、强制性、公益性的特点;个人则负有配合义务,不享有自主决定权以及基于私法权益的补偿请求权。在这个意义上,若是将个人信息作为个人控制的权利客体,将导致国家机关处理个人信息的逻辑和实践陷入矛盾之中。
最后,将权利束中具体权利理解为民事权利,还将导致个人信息保护监管和执法机制在逻辑上陷入混乱。比如,对个人信息处理者违反知情权、决定权的要求而处理个人信息的行为,GDPR第83条、我国《个人信息保护法》第66条均规定了巨额罚款。但是,信息处理者违法处理信息并侵害个人信息权利,为何要由监管机构处以巨额罚款?这种罚款的功能是什么?是用来对个人受侵害的民事权利提供救济吗?如果是对个人的民事信息权利予以救济,逻辑上这些罚款就应该归于个人,而非上缴国库。事实上,在各国监管实践中,个人信息处理者的义务以及个人在信息处理中的权利,都是被当作信息处理机构的“合规义务”;违背合规要求,构成对公法上秩序的侵害,而这正是个人信息保护的立法中设定国家监管和行政执法的逻辑。在这一逻辑中,个人信息权利束的具体权能,与个人信息处理者的义务一起,构成了国家所要求的个人信息处理的“法秩序”。国家通过对权利束具体权能的保护,直接目的是要求个人信息处理者“合规”,而非对私权损害的救济。
1.国家保护义务作为个人信息权利束的宪法基础
面对民事权利解释框架在逻辑和经验上存在的问题,有必要对个人信息权利束的法理基础及其性质进行再界定。应当指出,个人信息保护并不等于个人自我保护,因此也并非必然需要赋予个人针对其信息的支配权。个人信息保护是大数据时代所呼唤的一种能够适应个人保护和数据利用双重目标的“法秩序”格局;构造并且维系这个法秩序格局的主体只能是国家,而非个人。在国家主导的规制框架与治理网络中,国家运用多种保护机制和手段进行的协同保护,相比于通过民事权利和个人本位的“权利保护”模式而言,更加全面、系统及有效。
已经有学者从国家规制视角对个人信息保护制度构建展开了探讨。例如,有观点认为必须明确信息主体的个人信息控制权。只有确立了这种权利,才能要求信息控制者履行相应的法律义务并确立有效的执法监督机制。不过,这一观点虽然主张权利控制与激励机制并行的多元治理机制,但依然将个人对信息的控制权作为制度构建的起点,难以消解民事权利解释框架所存在的不足。又如,还有学者提出,应当从场景化与行为主义的视角理解权利束的内涵,以执法案例的汇编与完善勾勒个人信息保护的边界。这一观点从具体执法操作层面对权利束的行使提供了指引,但并未对权利束性质提供整全的理解。此外,也有民法学者开始意识到权利束并不是民事权利,而是基于国家规制所形成,但对规制背后的国家角色与具体规制方式仍缺乏理论诠释。归结而言,个人信息权利束法理基础不明晰、法律关系模糊的问题依然很突出。
从国家规制视角探寻个人信息权利束的法理基础,不能将视野局限于规制层面,而需要从更高层次的宪法维度寻求答案。实际上,如果我们回溯权利束的理论渊源与宪法基础,可以发现,在个人行使权利制衡信息处理者的背后,是国家设定并维系了权利束的基本内涵、外延、操作规则及保护标准。在比较法上,不论是欧盟采取的在宪法层面明确规定“个人信息受保护权”——而非个人信息权的做法,还是美国公平信息实践中国家参与隐私规则建构与维护的行动,其实都将权利束理解为国家为了矫正信息处理者与个人之间的权力不对称结构、防止个人信息被滥用,而通过立法赋予个人一系列权利的制度性安排。这一制度安排与国家对先在的、普遍的民法人格权进行立法确认与事后救济不同,是国家基于规范个人信息处理行为的需要,积极、主动进行规则建构的结果。在我国法上,个人信息受保护权可依据《宪法》第38条纳入基本权利范围,以其主观权利和客观法面向所对应的国家消极保护与积极保护义务为主线,建构出一套基础稳固、内容完整、结构合理的个人信息保护法律体系。《个人信息保护法》第1条“根据宪法,制定本法”的表述,正体现出该法对于保障公民在宪法上的人格尊严和其他权益的重要目标,也表明了“个人信息受保护权—国家保护义务”框架对于个人信息保护法规范建构的基础性功能。在这个意义上,个人在信息处理活动中的权利规则以及信息处理者的义务规则,乃是国家响应个人信息受保护权这一宪法权利的要求,履行其积极保护义务的结果,而不是通过私法上的个人信息权逻辑演绎的结果。
2.“保护法”理念下的权利结构
在国家保护义务框架下,国家通过制度性保障积极建构信息处理的基本制度,在个人与个人信息处理者之间形成一系列信息处理权利义务规则,以确保个人能够实质性参与信息处理的过程,并对信息处理者形成制衡,从而达成个人尊严保障及相关法益保护之目标。这正是《个人信息保护法》采用“保护法”的概念指称与模式定位的核心逻辑之所在。
如果我们用“国家控制”和“个人自主”作为坐标系的两个维度,可以按国家控制与个人自主的变量关系,将经济社会领域的法律规范大致分为“管理法” “促进法”“权利法”“保护法”四个类型。这四种类型的立法在内容设置与功能定位上存在较大区别:第一,“管理法”以禁止性、限制性规定为主要内容,国家主要充当强制者、惩戒者的角色,通过国家强制力维护特定领域的社会管理秩序,代表性立法如《疫苗管理法》《治安管理处罚法》等。第二,“促进法”以倡导性规定、激励性规定为主要内容,国家扮演的是经济产业或社会事务发展的引导者、推动者的角色,代表性立法如《电影产业促进法》《就业促进法》等。第三,“权利法”以私权的赋予或确认为主要内容,国家依据尊重私主体意思自治、维护私法交易秩序的主线展开制度建构,以各类民商事立法为代表。第四,“保护法”这种法律规范类型,针对的则是市场和社会中形式上平等主体之间的不对称权力结构,如个人与数据处理平台之间、个人与大型企业之间。此时,国家承担的是弱势一方的支援者和法秩序监督维护者的角色,通过特定的规制模式,来约束某些具备权力特征的强势主体的行为,平衡主体间的权力落差,从而保护弱势个体免遭压迫、伤害与控制,代表性立法如《消费者权益保护法》《未成年人保护法》等。由此,《个人信息保护法》所属的“保护法”的定位,决定了其在立法内容与逻辑上的特点:国家需要落实积极保护义务,在“个人—信息处理者”之间形成良性的制衡关系,通过一系列规制策略保障个人在数字化时代免受信息处理者的支配,实现人的全面发展。
进一步说,“保护法”的功能定位,对应着个人信息权利束独特的权利结构:在“个人—信息处理者”这一关系中,既有国家直接设定处理者义务进行的直接规制,亦存在国家通过对个人赋权从而制约数据处理行为的间接规制。相应地,只有在国家保护与个体理性相结合的视角中,才能还原权利束的本质属性。也正因此,“保护法”下的“权利—权力”结构关系与其他类型的立法并不相同:“促进法”中国家权力的强制色彩较淡,主要以政策倡导、公共资源投入与发展环境营造为主;个体权利与主体利益分配也并不处于主要位置,特定产业或事业的发展则被作为首要目标。“权利法”的重心在于立法确认个体权利、明确利益分配格局后自发形成内生秩序,因此强调个体与市场的自治,对国家权力的介入较为审慎乃至排斥。在“管理法”中,基于维护重要公益与社会基本秩序的需要,国家采取全方位介入与强力管制,个人的自主空间与权利主张则相对被忽视。“保护法”则基于调整权力不对称结构的需要,采取个体赋权与国家规制相辅相成的策略。反映到个人信息处理领域,国家一方面采取全方位的规制来规范信息处理活动,同时也对个人赋予一系列旨在制衡信息处理者权力、促进处理活动规范化的权利。“国家规制—个人权利”在“保护法”秩序下的结合,形成了个人信息保护的“处理规则”,这些处理规则确立了个人信息处理的基本标准和合规要求,构成了个人信息保护法规则表达的主体内容。
以“个人信息受保护权—国家保护义务”框架及“保护法”理念对权利束进行理解,也与比较法上个人信息保护立法例对权利束规则表达的经验相符。在国际文件与各国个人信息保护立法中,权利束的立法表达存在以下三种基本模式:第一,专章规定模式。如我国、巴西、印度等国家参照GDPR模式,对权利束进行专章规定,进而充分保障自然人在数据处理过程中的深度参与以及积极行动,并由行政监管和执法作为后盾和支援。第二,嵌入规定模式。如日本《个人信息保护法》并未专章规定权利束,而是将其配置在“个人信息处理者的义务等”这一章,并融入信息处理者所需遵循的操作规则中。这也表明,个人信息权利束与信息处理者义务的设定,本质上都是国家规制的策略和方式。“赋权”的本质并不是让个人控制信息,而是建构合理的处理规则并规范数据处理行为。第三,原则规定模式。例如,1980年经合组织(OECD)发布的《关于隐私保护和个人数据跨境流通指南》,将权利束定位在“个体参与原则”之下,反映了国家对个体参与信息处理过程的担保,而非赋予个人对其信息的实体性支配权。归纳可见,虽然在不同的个人信息保护法文本中,权利束可能以不同结构进行规则表达,但都体现为一套制衡性的处理规则及“个人—信息处理者”间权利义务关系的配置,不同立法模式并不影响对其权利性质的界定。
在个人信息国家保护框架下,可进一步分析个人信息权利束的功能。这需要从目的—工具逻辑进行展开,具体而言需要回答两个基本问题:个人信息权利束服务于何种目的?通过何种工具机制来实现其目的?
《个人信息保护法》第1条将“保护个人信息权益”置于首要立法目的;第2条又规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”如何理解权利束与“个人信息受法律保护”及“个人信息权益”这两个基础概念之间的逻辑关系?对这一问题的回答,需结合第1条中“规范个人信息处理活动”的表述进行理解。也即是说,需要厘清在个人信息处理活动中,国家为何要保护?要保护什么?明确这两个问题,才能更好地回答“保护法”定位下如何进行保护的问题,这就是目的—手段逻辑。
应该看到,随着信息搜集、储存、整合、传播、处理方式和技术的迭代革新,加之个人参加社会信息网络场景,尤其是各类电子化场景的普遍性,作为个人与社会互动介质的“个人信息”,不仅是“个人的”,也是“社会的”;个人信息的“可被处理性”及可利用性不断增强。一言以蔽之,在信息化时代,国家没有必要、也没有可能去保护个人对其个人信息的独占性控制和支配。
实际上,在个人信息和数据处理过程中,真正需要国家积极介入的原因在于:个人面临着受平台权力或数据权力(data power)支配、压迫甚至奴役的现实风险,容易因为“被工具化”及“数字化”而丧失作为人的主体性地位。例如,信息处理者可以通过挖掘信息形成特定的“人格画像”,侵入个人隐私并对私人决策形成支配和操纵;以无数个人信息集聚为基础的“大数据”结合算法自动化决策,对公民就业权、受教育权以及一些政治权利带来不可忽视的歧视风险等。进一步看,基于数据处理的累积效果,数据处理者对个人带来的风险和损害将具有连锁效应:在数据处理的不同环节都有可能发生数据滥用与安全风险,导致与个人信息相关法益的“次生性”损害。例如,数据伪造导致的数据低质量可能引发个人经济机会减损及财产损失;消费者欺诈导致不公平契约的订立与履行;信息不当公布与泄露引发名誉权等人格权益受损害;等等。
这些广泛存在于各种处理场景下的系统性损害风险,往往具有复合的、多层次的形态,需要立法者与执法者予以充分评估与管控,并展开预防性、全环节的保护,其核心要素在于对平台为代表的数据权力进行约束。因此,个人信息保护制度良好运行的关键并不在于赋予个人多么完备、强力的控制权,而在于国家制定并维护一套公平的个人信息处理规则,支援个人与数据处理者展开谈判并对其进行监督。只有在国家主导的规制框架与治理网络中,才能充实“知情—同意”等信息处理规则所蕴含的规范性力量,缓解个人面对数据权力压迫的无力感,从结果上切实提高个人数据保护的程度。
与私权视角下个人自主控制的目标相比,国家建构个人信息保护规则的主要目的是保障数据处理活动全环节的公平性、合理性和谨慎性,追求个人信息处理风险与流通收益的均衡,而不是限制或禁止信息处理活动。在国家主导的规制网络中,个人信息权利束成为了个人发挥积极力量、制衡数据权力的重要工具,其作用在于充实(empower)个人信息受保护权,促进信息处理行为的规范化,从而有效地保护个人信息所承载或关联的各种法益——包括以尊严为核心的基本权利以及人格、财产等民事权利或利益。在这个意义上,试图建构一项民法上的个人信息权,并将权利束作为其具体权能的观点,其实是混淆了个人信息保护中手段与目的、工具理性与价值理性的关系。
从功能维度看,个人信息权利束本身并非实体性、目的性的法益。国家并非要保护个人对其信息的支配与控制,而是赋予个人各种“手段和工具”,在个人与信息处理者之间形成工具理性的制衡结构与行为模式,进而保障个人免受数据权力的支配、减少数据处理风险,相应地也就保护了与个人信息相关的个人尊严、隐私、财产等实体价值。这些实体价值才是个人信息保护制度中具有价值性、实体性、目的性的法益。换言之,从个人信息立法最终所保护法益的角度观察,对个人信息权益的界定,需要回归到个人信息承载的与个人有关的实体权利和法益,而不只是个人在个人信息处理中的权利。“个人信息权益”这一概念实际上具有双层结构,既包括工具层面的个人信息权利束;也包括目的层面,个人信息上所承载的、可能在个人信息处理中遭受侵害的相关实体性权益。个人信息保护法规范的建构不应将这两者混淆。
个人信息权利束既是个人制衡信息处理者的工具,也是国家规制网络中的重要策略手段。国家在“个人—信息处理者”关系上,从法律层面赋予了个人制衡信息处理者的一些基本工具,这就好比国家作为基本权利的守护者,将“护身符”赋予个人,使其在数据处理的场景中能够全环节制衡信息处理者。与之相应,信息处理者应当建立个人行使权利的申请受理和处理机制,同时需要遵守对个人信息使用方式的既定义务与程序要求,从而形成有利于保障相对人权益的稳定的、可预期的个人信息处理行为规范。由此,国家主导下的个人信息保护的“法秩序”得以初步建立。
但国家通过规则表达进行赋权和建立法秩序之后,并非“退场”,而是以维护法秩序为支点,对个人提供组织与程序保障、监管和执法的支援,以不断调控、监督处理者的个人信息处理活动。这也正是《个人信息保护法》在权利束规定之外,亦详细设计了“履行个人信息保护职责的部门”“法律责任”等相应制度的原因所在。在监管层面,国家可将权利束作为工具,推进个人信息保护规范实施中的策略选择和具体部署,形塑不同行业、不同场景下信息处理者的行为模式,在提高个人信息保护水平的同时兼顾对产业发展的引导和推动。从欧盟GDPR实施过程的实践看,情形正是如此。例如,欧盟数据保护委员会围绕GDPR条文出台了近30份指南、推荐、最佳实践等,且持续不断修订,以在技术创新、商业实践、个人权利保护等因素之间做出适时动态调整,从而为信息处理者提供了合规指引与行为准则。
相较于私法赋权模式的事后维权机制,公法秩序下工具性权利的定位,一方面可以将平台责任前置,使监管者可以要求数据处理者在数据处理前便对权利束的行使与受理机制进行妥善规定,以实现事前防范与主动防护,在风险性信息处理行为尚未规模化发生时便设计、反思与完善更合理的用户规则,促进隐私政策的民主性、合理性、公平性;另一方面,国家设定数据处理的“游戏规则”并“巡逻监管”的保护模式,对数据聚集的“不可见”趋势以及个人与数据处理者之间的权力不对称具有抑制和监督作用,保护力度更强。
以前文提及的“知情—同意”困境为例,这种国家保护的模式可以有效缓解“同意的乌托邦”困境。首先,国家可以设定这一处理规则的最低保护标准,并建立直接针对处理规则合理性的投诉举报与程序响应机制。例如,监管者可以根据调查评估情况,要求企业提升隐私政策的告知透明度与友好度,强化个体的风险认知与决策能力,提升个人选择和同意的质量,避免个人信息隐私保护政策因为过于冗长、烦琐而变异为一种严苛的私人负担及公共损失。其次,信息处理者可在国家引导与外部监管的合力中,激活“自我规制”的机制,增强其内部的组织控制和行为控制,审查和反思其“知情—同意”的处理规则与隐私政策是否满足国家法秩序下的保护标准;在此基础上,数据处理者完全可以在国家的政策激励与责任约束的合力之下,将其个人信息保护水准作为企业竞争策略,从而可持续地优化企业内部的隐私治理体系,创造更有效的合规文化与隐私友好政策。最后,国家可提供各种渠道和途径引入社会参与和监督,这既可降低监管和执法成本,也可促进大规模、可持续的社会数据治理的公共理性。
综上而言,相较于抽象、形式化地基于保护需要而赋予个人对信息的实体性控制权而言,工具性权利的理解有助于引导立法者与监管者不断反思:权利束的内涵及标准是否合理?是否可改进?通过哪些主体的参与来完善权利束的具体权能、进行合作规制?由此,以工具性权利束为支点,可以撬动多方社会力量、信息处理者与个人一同开展数据治理中的合作博弈,共同建构并维护一套公正、透明、理性的“公法秩序”,切实提升国家的数据治理水平。
个人信息权利束作为公法上工具性权利的性质界定,也意味着该种权利保障及救济方式应不同于民事权利,有其特定的保障方式及体系。什么是侵害权利束的行为?从行为表现看,这实际上是指信息处理者违反权利束中某项或多项权利规则所要求的行为模式而处理个人信息的行为,例如未经用户同意就私自获取信息、处理过程透明度不足、不提供注销账号与删除信息的功能等。若转换到监管视角,此种侵害行为实际上就是信息处理者违反“合规”义务的行为。此时,对权利束的保障,核心在于确保其制衡效果的有效发挥,维护数据处理活动的公平性与合理性。对此,监管机构可以积极行使职权介入,针对未满足特定个人信息保护标准的处理行为,运用多种行政手段展开纠偏。
而在私法责任方面,民法框架下的侵权责任,主要是在与信息处理活动相关的个人的人格权、财产权遭受侵害或面临侵害危险时才可适用,且须经由司法途径展开。由于权利束的性质并非民事权利,故侵害权利束之权项并不直接、必然地等于民事侵权;民事侵权责任的认定与承担,应结合个案中个人民事权益受损情况、加害行为的性质以及相应的利益衡量规则展开,只有在侵害权利束的行为同时也侵害了民事实体权益时,才能激活民事侵权诉讼机制。也就是说,包括权利束规则在内的个人信息处理规则,具有类似于侵权法上的“保护性规范”的效果,信息处理者违反权利束规则的行为并不必然导致民事责任。
而在法解释上,我国《个人信息保护法》除了规定监管执法对个人信息权利束在内的个人信息处理规则的保障外,还在第50条第2款规定:“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”不过,这一规定并非将个人信息权利束当作民事权利进而直接链接到民事侵权诉讼。实际上,该条文在比较法上对应的渊源是GDPR第79条的规定:“数据主体认为由于对其个人数据的处理不符合本条例而导致其在本条例项下的权利受到侵犯的,其有权获得有效的司法救济。”但在欧盟实践中,对该条文的理解与适用方式,一般是个人首先经由投诉举报等机制交由具备功能优势的监管机构裁决、执法,同时保障个人不服监管机构处理决定时,仍享有及时提起行政诉讼的最终补救权利,这符合“有效的司法救济”的要求。从“有效性”(effectiveness)角度看,监管效率要求行政监管和执法前置,其他途径只是作为监管不足的最后补充手段。也就是说,无论是“可以依法向人民法院提起诉讼”还是“有权获得有效的司法救济”,这些关于个人诉权的规定,都不应被解释为确立了一套直接针对权利束的民事诉讼机制,而是强调个人信息保护法秩序内在地具有保护个人权益的目标和功能,因而在监管执法处理的前置性程序要求下,个人依然可以主张保护请求权,并享有在穷尽行政救济途径后提起诉讼的权利。
同时需要注意的是,将个人信息权利束定性为公法权利与通过公法机制予以保障,并不会阻隔个人通过民事途径获取相应救济的渠道。这些民事实体权益的私法保障及个人自我保护的诉讼方式,可以结合权利束被侵犯的情形得到类型化;权利束的具体操作规则与合规要求也可以衔接民法上的侵权责任构成、不同责任承担方式的选择、证明责任分配等内容。这也意味着民法学和公法学需要加强对话,共同协作,形成个人信息公法保护与民法保护机制的协同。
实际上,如果从功能效果上看,权利束的公法保障不仅不会削弱对个人的民法保护,还可以弥补民法个案救济模式的不足,共同回应个人信息保护的系统性问题。
第一,私法责任一般聚焦于个案中民事实体权益损失的救济与填补,但在个人信息保护场景中,个人面对的损害预期都不大;基于成本收益考量,个人对通过诉讼方式追求民法责任的落实缺乏激励。而且,烦琐的诉讼程序与举证难度,大量时间和精力消耗,都会令个人维权望而却步,不利于对恶意侵害事件作出快速有效的反应。相比之下,根据国家保护义务逻辑,只要信息处理者违反权利束规则所对应的行为模式与法定义务,不论其是否造成信息主体实际损害,都可认定为违法;相应地,负有个人信息保护职责的机构可以启动执法机制,维护个人信息处理的法秩序。在此情况下,虽然个案中个人信息被违法处理并不必然导致个人遭受损害,甚至可能会给其带来利益,但执法机构仍可对违法的数据处理行为进行纠偏和制裁,这有利于克服个体私利驱动的“选择性行动”,增进数据处理的公正性和应责性。
第二,私法责任对应的个案救济往往是分散化、个别化的,对单个主体的法益保障无法穿透个案而解决数据处理中内在的、系统性的问题。例如,在“黄某诉腾讯微信读书案”中,法院判决被告解除原告的好友关系、删除相应信息、赔偿损失,但无法对被告的隐私政策展开进一步的监督与调整。相比之下,由专门的数据保护机构通过执法体制对个人信息权利束进行保障,可将一次性的立法规则延伸到持续性的、反复的合规监管过程中,这有助于有效应对信息隐私生态系统中不断变化的侵害风险。在责任制裁方面,监管部门可采取约谈、发布指导等柔性措施,以及声誉监管、大额罚款为代表的行政处罚,还可以运用协商、推荐性标准等新型规制方式,手段上也更加灵活丰富。
个人信息权利束的工具性价值在实践中如何落实与完善?这需要我们明确工具性权利束的法律适用理念:一方面,权利束应当保障个人在信息处理过程中的参与和全环节“在场”,并通过程序机制促进个人与信息处理者理性交涉,这是权利束蕴含的程序正义功能的体现;另一方面,权利束的权能展开也将带来一定的行权与合规成本,这需要国家建构一套统一周延、权责均衡的操作规程,这是权利束蕴含的分配正义功能的体现。
1.知情、参与的程序保护
权利束的基本权能是保障个人的知情和参与,为个人提供基础性的、防御性的程序保护,亦即确保数据处理过程中个人“保持清醒的在场”。这一“防御性权能”主要表现为知情权、查询权、复制权所要求的信息披露机制以及说明理由、更正与异议权等对应的发言参与机制。
以告知机制为例,知情权、查询权、复制权是个人行使权利的基础。与此类权利对应的,是数据处理者需要建立信息披露机制与透明的操作规则。首先,良性的信息披露将给数据处理者带来更大的合规压力,迫使处理者接受监督;其次,信息披露也有助于信息主体了解信息的去向和使用目的,便于个人作出理性决策;最后,从风险控制的角度观察,信息披露也有利于相关个体及专业力量更加准确地评估、识别数据集聚的动态化、复杂性风险并采取相应风险防控手段。
除了信息披露机制外,更正权、异议权、要求说明权等权利规则所对应的理由说明与对话机制,对于促进信息处理活动的规范化也具有重要作用。其一,允许个人对数据处理活动中的操作提出质疑,并将决策系统的理由告知个人,这体现了对个人自主性的尊重。其二,这一机制与信息披露机制相结合,可以迫使信息处理者不断地说理和论证,反思、检视信息处理过程与方式的妥当性与准确性,进而增强信息处理活动的理性化程度。例如,《个人信息保护法》在第24条专门规定自动化决策的处理规则,并强调赋予个人充分的知情权、要求说明权与选择权,从而保障自动化决策的过程透明与理性、促进结果的公平合理,正是体现了这样的关怀。其三,对理由说明与案例积累中相关要素的提炼和公布,也可搭建一个数据处理理由展示和检阅的“平台”,还可以为监管机构的执法与审查提供线索。
2.交涉促进功能
在保障个体知情参与、实现程序保护与防御功能之外,程序正义还内蕴了沟通理性的要求。权利束可以促进个人与信息处理者理性交涉,设定双方进行理性对话和博弈的制度性条件。这表现在,权利束中的具体权能可以疏通个人在信息处理过程中的利益表达渠道,通过出场、在场、发言等方式,提高个人针对信息处理者的谈判地位和筹码,帮助个人争取到对等交涉地位的主导权。由此,在权利束制衡功能下的博弈、对话可以使相应的信息处理机制得以形成和不断改进,在提高个人信息保护水平的同时,也可进一步增强信息处理活动的公平性、正当性。正如玛格特·卡明斯基(Margot Kaminskic)所言:“这些权利有可能在个人和公司之间创造类似于对话的机会,讨论算法决策和其他形式的个人特征分析和数据处理背后的理由。这些权利对于数据处理的公平准确起到了工具性的作用,特别是在纠正事实和推断错误方面。”工具性权利在国家保障下的行使,可以使信息处理者持续感受到个人信息受保护权规范性力量的作用;可以对数据处理中不平衡关系和秩序进行矫正,增进沟通理性;可以在保障个人相关法益的同时,让信息处理者也可合理使用数据,促进两者间形成相互制衡、理解乃至信任的程序结构。
在程序正义的基础上,还应当看到,个人数据处理关系涉及多个互动博弈的权利与权力主体间关系,既囊括了数字经济时代公民个人、企业的利益与公共福祉的增进,也涉及高度策略化的主权安全和国际博弈问题;在利益形态上,既包括立法者对商业创新和个人保护的权衡取舍,也涉及在既有数字产业现状下对市场竞争优势、经济长期发展、社会目标实现以及主权竞争策略的综合考量。为此,需要确保国家对个人数据治理中权利义务配置的负责性、审慎性与平衡性。在权利束规则的设计与适用上,分配正义观要求国家在对个人进行倾斜保护、全环节支援的同时,也需在数据治理中权衡多元利益,避免滑向对个人信息过度保护的误区,这重点表现在以下几个方面:
第一,对知情权、查询权、更正权等参与性制度的程序和方式应进行合理设计,在确保程序参与的基础上避免给企业造成过多的合规成本,同时防范权利滥用现象。这里的关键是维系个人与数据处理者之间的均衡关系。此时,从工具有效性而非自主支配的民事权利角度进行理解,更有利于形成灵活的程序框架,合理配置双方的权责。国外实践中已意识到这一问题,例如,在Rijkeboer案中,欧盟法院指出:“欧盟成员国应为信息查询与获取确定内容范围与时限,这构成了两者之间权利义务关系的合理平衡。一方面,考虑数据主体的利益,特别是在处理数据不符合指令的情况下,以查询为基础,进而其纠正,删除和阻止数据处理的权利,以及反对信息处理和提起法律诉讼的权利;另一方面,存储、配合查询该信息的义务对数据控制人造成的负担。”
第二,审慎对待可携带权的功能。一方面,可携带权这一工具性权利允许用户将在某一平台所存储的数据转移到同类平台,降低了用户的平台转换成本,进而可缓解平台对数据的垄断以及由此造成用户被锁定的情况。但另一方面,数据可携带权在技术上往往存在一定难度,可能增加企业合规成本,也可能导致某些企业的竞争优势丧失,毕竟个人信息是数据企业取得竞争优势的关键要素;数据可携带权还可能引起各企业之间利用这一权利抢夺数据,加大不正当竞争和大企业垄断的趋势,挤压后发企业的发展空间。如何有效预防这些风险,在用户个人信息权益、平台数据权益、数据市场竞争以及数据安全等多维视角下设定可携带权的内涵及行使方式,避免权利束由个人权利异化为数据处理者的扩张工具,这些还需要在数据治理实践中进行动态评估和优化。《个人信息保护法》第45条第3款对可携带权作出规定时,既规定了“个人信息处理者应当提供转移的途径”这一合规义务,但同时也设定了“符合国家网信部门规定条件”这一弹性前置要件,这也反映了国家对可携带权实践中的分配正义考量。实践中需要监管部门通过持续的规制策略调整,不断进行成本收益分析与规制方式匹配,限定、调整与完善可携带权的适用场景及条件。
第三,理性设计个人信息权利束中的“进攻性权能”。除了基本的程序保护外,个人在特定条件下还可以行使撤回同意权、限制处理权、删除权等积极的权利,进而对数据处理活动施加某种主动性的影响,乃至阻隔或退出数据处理活动,因而可谓之“进攻性权能”。这些权利的配置需要根据功能适当原则展开:在数据处理的特定节点,由个人进行“发言”“对抗”乃至“退出”,对于制衡信息处理者具有较大作用,因而需要国家合理、均衡地配置这些权能。具体而言,这些权利的启动要件基本集中在违法处理、超出原定目的处理、违反约定处理等情形。也即是说,其判断核心要素在于:个人信息处理行为是否已背离信息处理的本意,超出信息主体所能容忍的限度与基本预期,并可能或事实上对信息主体的人格或财产权益造成侵害。这反映了个人与数据处理者之间的关系失衡、风险加大,必须予以纠偏。因此,个人在此情况下有权退出或部分退出数据处理过程。但需要注意的是,此类进攻性权能并不意味着个人对信息处理活动具备“自决权”;这一类型的权能是立法者进行立法裁量后确定的结果,基本属于立法者的形成自由与裁量空间,而非不言自明的、绝对的权利。例如,不同行业领域赋予个人信息主体信息处理介入权程度是不同的,这也是个人信息权益的多元性与场景性所决定的;再如,监管者审查信息处理者是否尽到删除义务时需要权衡考虑不删除的风险、删除的成本、其他替代措施的可行性等诸多制度因素。可以说,相较于以程序正义为核心的防御性权能而言,进攻性权能对数据处理活动的干预性更强,对处理者义务设定与履行成本的要求更高,因而更应强调双方权责合理配置的分配正义。
个人信息权利束是国家对个人信息处理活动进行规制的产物。个人信息权利束与个人信息处理者的义务,共同构成了个人信息的“处理规则”。在法律性质上,个人信息处理规则属于公法秩序,是国家为了规范个人信息处理活动而选择的规制策略,其背后体现的是个人信息立法的“保护法”使命:基于个人与个人信息处理者之间的不对称权力结构,个人信息保护必须体现国家对个人的赋权和支援,而不是听任和观望处于弱势一方的个人与强势的信息处理者进行“空手”博弈。
个人信息权利束作为公法上工具性权利的性质界定,意味着侵害权利束的行为,直接侵犯的是公法上的法秩序,应主要由行政监管和执法予以规制和纠偏。这也意味着,侵害个人信息权利束的行为并不必然等于民事侵权;《民法典》规定的民事侵权责任机制仍应围绕民事实体权益的损失与危害展开。若是将传统的人格权制度直接套用到个人信息权利束的适用上,不仅会导致民法内在的体系混乱,也会引发个人信息保护法律适用难题。
当下,将个人信息权利束理解为实体性民事权益的观念,在法律实践中仍具主导性影响,存在将个人信息权利束直接视为民法人格权益予以司法保护的态势。例如,最高人民法院于2021年8月1日实施的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,在第2条中将信息处理者违反“知情—同意”规则的行为一概视为侵犯人格权益的行为,可以提起民事诉讼。若是按照该司法解释的逻辑,将人脸信息处理行为类推到所有个人信息处理行为,则意味着:对个人信息处理者违反个人信息权利束所对应的处理规则的行为,个人都可以直接提起民事诉讼;法院也无须识别和判定实体的民事法益损害,可直接认定民事侵权责任。很明显,这一司法解释的基本逻辑,就是将个人信息权利束界定为民法上的实体权益,并直接通过民事诉讼途径加以保障和救济。
公允地说,从司法的视角来看,将侵犯个人信息权利束的行为一概视为直接侵犯民法人格权益的行为,进而纳入民事侵权责任体系之中,这种司法实践在个人信息保护法制不完善、行政监管机制不健全的阶段,其用心可以理解。但这无疑将会给个人信息保护实践带来诸多负面效应:首先,从制度成本上看,面对大规模、普遍化、日常化、环节多元、方式多样的个人信息处理活动,个人就权利束中的权利而展开的单独、分散的诉讼,将耗费巨大司法资源,甚至引发“诉讼爆炸”。其次,从制度的救济效果上看,对个人来说,此类民事诉讼成本高、取证难、信息资源不对称、损失后果难以认定和量化,胜诉难度很高,也无法切实解决个人的权益保护需求。再次,从司法的效果看,此类民事诉讼中,法院最多只能针对个人的人格权益作出个案化处理,无法对信息处理活动的处理规则进行源头治理,个案化、个别化、碎片化的裁判对于解决个人信息处理的“公共风险”而言无疑是杯水车薪。最后,从个人信息保护的手段和方式协同关系看,提前“入场”的司法救济将与公法规制手段之间产生适用冲突,造成两种保护手段的适用错位。如果把个人信息权利束中的权利都界定为个体人格权益,将违反个人信息处理规则的行为都视为民事侵权行为,那么还需要行政监管和执法干什么呢?个人信息保护法专门设计行政监管和执法体系岂不多此一举?归结而言,对个人信息权利束保障策略和方式的选择,还需回归个人信息权利束的法律性质和生成逻辑。
落实到具体的法律适用顺序与适用方式上,以国家保护为本位的《个人信息保护法》所适用的基本逻辑,与以私法自治为本位的《民法典》相关制度应有所区别。虽然《民法典》人格权编对个人信息权利束中的知情权、查询权、更正权、删除权进行了规定,但这并不意味着《民法典》确认了个人信息权利束的民事权利属性。事实上,《民法典》第1034—1039条中所规定的这些内容,几乎直接来自此前《网络安全法》第41—43条关于网络个人信息保护条款的规定,这其实也表明,《民法典》的相关条文只是个人信息国家保护义务在《民法典》中的投影。仅仅依据《民法典》的这些规定就将这些权利界定为民事权利,逻辑上有倒果为因之嫌。个人信息国家保护义务要求国家出场对个人进行积极保护,而《民法典》是典型的“权利法”而非“保护法”。个人信息保护法的制度实践,需要以宪法上的人格尊严法益和民法上的实体性权益为保护目标,但在保护方式上,必须超越私法本位的路径依赖,以贯彻“国家保护”理念的《个人信息保护法》为基本法,建构多层次、多方式、多手段的个人信息保护法律体系,落实国家的规制理性。
王锡锌:用“个人信息受保护权—国家保护义务”框架重构中国个保法模式