劳东燕:个人信息法律保护体系的基本目标与归责机制|本期推荐
点击上方“政法论坛”关注我们
摘要:为避免在个人信息法律保护体系的目标设定上出现认知偏差,有必要结合外部观察视角,考察网络社会的到来究竟产生何种客观需求,从而对法律系统提出个人信息保护方面的期待。网络与数字技术的发展,摧毁了先前私域与公域之间的物理性边界,由此面临如何重建二者之间界线的时代命题。匿名性是作为公域与私域之间的新的分界线而存在,保护个体的匿名性因而在政治与社会秩序层面具有重要意义。我国个人信息法律保护体系的基本目标,宜界定为通过保障个体的匿名性存在而确保私域与公域之间的界分。为实现前述目标,法律中既有的风险分配与归责机制需作相应调整。为解决风险分配中的结构性不公平,在归责机制的构建上应当遵循三个基本理念,并实现三大转变;以此对照《个人信息保护法》,其在取得重要成效的同时也存在一些值得反思之处。与此相应,侵犯公民个人信息罪的保护法益,需要立足于个人的匿名性存在来解读,其内容具有一体两面性:在个体权利层面,是要保障具体个人的与匿名性存在相关的权益;在社会权利层面,旨在确保匿名性所代表的将私域与公域相区分的政治社会秩序安排。
关键词:个人信息保护;匿名性;私域自主;归责机制;侵犯公民个人信息罪
目录一、个人信息保护与公域-私域的界分二、个人信息法律保护体系的基本目标三、对个人信息保护中归责机制的反思四、个人信息保护归责机制的转型构想结语
毋庸置疑,前述相关研究在力求对实务需求做出积极回应的同时,对侵犯公民个人信息罪本身展开个罪内部的理论建构,这样的学术努力具有重要的意义。然而,由于现有文献基本上将视野局限于刑法内部甚或是个罪内部,这使得相关研究多少存在只见树木不见森林的问题,相应的教义学建构也容易陷于盲目而丧失基本的方向感。就个罪的研究而言,适用从法益到构成要件的范式无可厚非,本文也并非是要否认现有相关研究的意义。问题在于,法益并非个罪研究中思考与论证的逻辑基点。作为将外部的规范需求传递进入刑法体系的媒介,法益承担着沟通刑法体系与外部环境的功能,是刑法体系应变性机制中的重要组成部分,也因此,法益本身具有被影响的一面,而构成要件类型的确定及其解读更是受到法益内容的制约。尤其是,在涉及像侵犯公民个人信息罪这样的新罪名与新兴的犯罪领域,保护法益需要如何合目的地界定,构成要件的类型应当如何合理地勾勒,怎样理解相应构成要件要素才算妥当,诸如此类的问题,均难以仅着眼于个罪的内部来获得解决,而必须认真审视与观察外部社会环境所提出的规范性需求。换言之,在对侵犯公民个人信息罪的教义学理论展开之前,需要先行解决一个前提性问题:如何构建该罪的教义学理论,才能既满足外部社会环境对刑法规范的期待,又使得对所涉各方主体在风险与归责的分配上合乎公平的基本要求。
就此而言,现有关于个人信息犯罪的研究存在明显的不足。受观察视野所限,此种只注重在个罪内部进行教义学推演的做法,不仅在方法论上未能完全遵循体系性思考的基本要求,而且对外部社会环境的规范性需求流于简单化的解读。由此至少导致两个后果:一是由于缺乏整体框架的审视与观照,当前有关侵犯公民个人信息罪的教义学探讨呈现众说纷纭的局面,难以形成基本的共识,在理论发展的推动上也缺乏必要的自觉;二是相关研究形成类似于孤岛的局面,始终只能停留于具体个罪,无法向上推进体系性的构建工作,为网络时代中观层面刑法理论的发展贡献智识。正是由于将视野局限于个罪层面,现有相关研究也未能合理回答教义学层面的一些疑问。例如,侵犯公民个人信息罪为什么需要以“违反国家有关规定”为前提?个人同意与“违反国家相关规定”之间究竟是什么关系?“个人信息”为什么应当以可识别性而非私密性作为判断标准?本文试图对这些问题做出回答。
在网络与数据技术深刻地影响与改变全社会系统的情况下,侵犯个人信息的违法犯罪作为由此而产生的系统性社会风险,显然难以通过头痛医头脚痛医脚的方法来解决,而需要整个法律系统做出合理而有效的反应。因而,有必要采取系统性、整体性的视野,考察与探讨当前社会的发展对个人信息保护在法律层面提出什么样的期待,以及怎样在所涉各方主体之间公平分配风险与进行归责。在个人信息保护法颁布后,这样的考察与探讨尤其成为当务之急。基于此,本文试图立足于个人信息的整体法律保护框架,来探讨个人信息法律保护框架的基本目标应当如何理解与定位,以及在个人信息/数据的领域如何合理构建风险分配与刑法归责机制,以期为刑法学界对个人信息犯罪的教义学构建奠定相应的理论基础。
基于体系性思考的基本要求,有关个罪的法教义学建构,不仅必须处理刑法内部相关条文之间的关系,也需要确保刑法规范与其他部门法规范相协调。侵犯公民个人信息罪既然是作为当前我国个人信息法律保护体系的内在组成部分,在整体上确定其基本目标便至为重要;因为所谓的体系性,不只意味着逻辑上的无冲突,也意味着目标指向上的一致性。那么,个人信息的法律保护究竟指向什么目标呢?对此,显然不能仅着眼于法律系统的内部视角来进行观察,也需要立足于社会外部环境的变化,来审视相应的需求为什么会出现。有鉴于此,本部分先交待引入外部观察视角的必要性,确保在思考法教义学问题时保持认知上的开放,在此基础上进一步论述个人信息保护与公域-私域之间界分的关系问题。
(一)引入外部观察视角的必要性
被寄予厚望的《个人信息保护法》,于2021年8月20日在万众瞩目中正式通过。可以说,在个人信息保护法颁布之后,我国已形成较为完整的个人信息法律保护体系。该保护体系不仅包括民事性规定与行政性规定,也包括刑事性规定,由此而形成民事责任、行政责任与刑事责任的三重责任保护机制。有关个人信息保护的民事性法律,主要由民法典中有关隐私权与个人信息保护的专章规定与消费者权益保护法的相关规定共同构成;个人信息保护方面的行政性法律,主要体现在个人信息保护法、数据安全法、网络安全法与关于加强网络信息保护的决定的相关规定中;个人信息保护领域的刑事性法律,则由以侵犯公民个人信息罪、侵犯通讯自由罪与非法获得计算机信息系统数据罪等为代表的罪名体系所组成。除此之外,信息安全技术个人信息安全规范(GB/T 35273—2020)作为行业性规范,也发挥着补充现有个人信息法律保护体系的作用。
从2012年12月28日全国人大常委会通过《关于加强网络信息保护的决定》开始,我国个人信息法律保护体系从萌生到基本框架的初步形成,只花了不到九年的时间。个人信息保护法将该法的立法目的界定为“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。这样的界定,大体上也适用于我国个人信息法律保护体系中的其他规定,故而它完全可视为整个体系的立法目的。不难发现,这是立足于法律的角度所作的界定,是从法律系统的视野进行观察所得出的单向认知。其不足之处在于,立法者基于目的理性而对个人信息法律保护体系想要保护什么的主观设定,未必与网络化数字化的社会客观上期待法律系统保护什么的需求相重合。一旦两者之间发生疏离或存在认知偏差的现象,必然导致基于回应社会问题而出台的相应立法难以发挥预期的效果。这也是为什么经济学中要区分意向性因果关系与系统性因果关系的缘由所在:意向性因果建立在目的性行为的基础上,关注人们主观上的意愿是什么;系统性因果则以系统的相互作用为基础,关注最终会发生什么样的现实结果。正是由于意向性因果有别于系统性因果,在有关法律实效的问题上,采取社科法学进路的后果考察研究有其现实意义。它可以作为一种反思性控制的机制而存在,揭示一项法律的意向性目标在现实层面究竟是否获得了实现。
在个人信息保护的问题上,想要防止发生意向性因果与系统性因果相疏离的现象,只弄清相应法律体系的保护目的显然不够。尤其是在新兴的领域,若仅停留于关注法律的意向性目标,而不去考察外部社会环境相应领域中的规范性需求,可能会导致社会对法律系统的期待的落空,相关法律的实效如何自然无从谈起。为此,有必要立足于外部社会环境的角度,来考察网络社会的到来究竟出现什么样的问题,产生什么样的客观需求,以致社会要对法律提出个人信息保护方面的期待。只有将法律系统的观察视角与外部社会环境的观察视角相结合,目光在二者之间往返流转,才能合理确定个人信息法律保护体系的基本目标,真正弄清需要解决的社会问题与亟待保护的利益所在。也只有这样,才能为刑法中侵犯公民个人信息罪保护法益的界定指明方向,从而为该罪构成要件范围的边界的厘清奠定基础。
(二)公域与私域之间的传统界分
可以确定的是,网络与数据技术的推广与普及,正在创造和生成一种新的社会秩序。这种新生的社会秩序,在诸多领域都带来新的问题,并对现有的法律体系形成重大挑战。其中之一的问题,便是对个人私域的重大影响。
公域与私域之间的界分,在古希腊时期即已出现。根据阿伦特的考证,彼时对二者所作的界分有别于现代,私域即家庭领域,主要受需求驱使,用以解决生存问题。公域则指向城邦的政治领域,是在解决生存的基础上摆脱统治关系中的不平等,去参与政治生活并由此彰显个性与卓越。因此,私域属于受必然性强制的领域,公域则是既没有统治也没有被统治的自由空间。按这样的界分标准,西欧封建制时期世俗领域的家天下的治理特点,意味着私人领域的不断扩张,世俗领域彻底变成私人领域,其标志是一切活动都被纳入家庭场所,只具有私人的重要性,真正的公共领域荡然无存了。
古代这种对公域与私域的界分,随着现代社会的到来而成为历史。现代对公域与私域的界分,主要是依据社会契约论的逻辑,没有委托给主权者行使而专门保留给个人自主处理的领域,便属于私域。这种意义上的私域,从制度与秩序安排的角度来看,首先是为了制约政治权力的无端侵入。这是从个人与国家之间的二元关系角度所作的观察。随着“社会”的崛起,私域的存在,主要被用于对抗社会对个人的支配与压制。社会领域的出现是一个相当新的现象,它在起源上与现代同时出现,并在民族国家中获得了它的政治形式。对狄骥的社会连带主义法律思想的研究也表明,“社会”作为一个特殊的自然领域的兴起,是19世纪晚期以来越加发达的国家治理术的产品。20世纪中后期以来,由于认识到社会对个人的压制面向,个人时常面临服从的巨大压力,私域的存在之于反抗社会性压制的意义得到更多的关注。
这种来自社会的压制面向,福柯称之为规训,认为现代社会是通过对个人进行从肉体到灵魂的规训,从而完成对主体的塑造与生产;阿伦特则以顺从主义命名,指出现代平等以内在于社会的顺从主义为基础,社会性中蕴含削平一切的要求,通过施加无数各式各样的规则,社会使其成员趋于“规范化”与整齐划一,从而排除了行动与彰显个性的可能性。人是社会性动物的事实决定,我们的生活要处于个人价值取向与社会要求遵从的价值取向的紧张状态之中。私域的存在,则有助于人们反抗来自于社会的“规范化”压力,勇于表达对顺从和整齐划一的拒绝。社会心理学的研究表明,留给个人的私密性越大,人们出现从众的可能性越小。正是基于此,阿伦特特别强调,与其说现代的隐私与政治领域相对,不如说与社会领域相对。这里决定性的事实是,现代的隐私就其最重要的功能是庇护私密性而言,不是作为政治领域的对立面,而是作为社会领域的对立面被发现的,从而它与后者有着更紧密更真实的联系。
私域之于个人对社会性压制与国家权力干预的反抗所具有的意义,使得现代法律体系将对私域的保护当作重要的目标,并努力在公域与私域之间划定明确的界线。通过推行私域自治,保护与身体、私密处所和社会交往相关的人身财产权益免受外来的侵害,现代法律为个人构筑起一个在物理上可实现自主支配的空间,并以此与公共空间相区分。法律层面对隐私与个人自主权的承认,正是为了使个人在私域空间之内的自由支配成为可能。严格说来,隐私与个人自主权并不相同,隐私是一种自由,它是个人(Individual)的自由,而非团体或者组织;个人自主权则是个人与他人的关系的一个特征,它决定着个人争取和保护自由的机会。隐私可分为三个类型,即身体隐私、关系隐私与信息隐私。身体隐私涉及选择性亲密的权利,这适用于身体的不可侵犯与人类对亲密需求的满足;关系隐私涉及不被观察和侵入的选择接触权,它是关于个人在家庭、工作场所、某种交通工具和其他保留空间里的(半)私人生活的关系和行为;信息隐私是对信息进行选择性披露的权利,它是关于个人对其个人数据和基于这些数据的信息或决定所保有的控制。
在网络与数据技术获得发展以前,人们之所以一直享有较高的隐私保护水平,是由客观的实际情况所决定,而不是由法律所决定。因而,想要维持公域与私域之间的界分,只要确保二者在物理上能实现分离即可。由于私人空间与公共空间之间在事实上就存在有形的边界,这使得法律只需要辅助性地发挥作用即可。为此,法律体系主要采取以下策略:一是采取分而治之的思路,只保护私人空间的隐私,法律对于公共空间中的隐私不提供任何保护,因公共空间被认为无隐私可言。二是对私人空间实行自治,依靠知情同意机制,让个人自主决定与负责私域内相关信息的发布与相关事项的处理。三是通过明确赋权的机制,承认个人对涉及自身的身体、人格、住宅与财产享有支配的权能,同时让个人之外的他人承担不得施加侵害的消极义务。
这样的一种法律体系,主要借助对来自特定第三人的外部干预力量进行防御,来实现对私域的保护。因而,私域内个人的自由主要是一种消极意义上的自由。这也是为什么人们对隐私的定义,习惯于采取“免于……被侵扰/侵入/闯入”的表述方式。它属于消极自由范畴内的权利。公域与私域界分中的物理隔离特性,导致传统的隐私概念内在地蕴含空间与信息的维度,并因此深刻地影响了法律体系的治理策略。就隐私的定义而言,比较典型的说法是,“一个人免于被闯入自己没有明确或暗中向他人开放的生活领域的自由”,它是关于特定区域的空间隔离(Spatial Seclusion),始于不受干扰的身体和它的直接环境(私人生活)。不难发现,就私域与公域的界分而言,这样一种消极防御导向的法律体系,完全以对线下社会的想象作为基础。只要个人不积极主动地披露自身的相关信息,只要有可能实施外部干预的第三人被禁止性的法律规定成功予以阻击,个人便可放心无忧地在物理上被隔离的私人空间内实现自主的支配。与此相应,法律保护体系也无需做太过复杂的制度构建,即足以确保公域与私域之间实现物理性的分隔。因为此种物理性的分隔,客观上就构成对私域的天然保护屏障,在法律层面根本不用专门考虑个人信息的保护问题。这正是先前的法律体系对个人信息保护根本不予关注的缘由所在。
如果公域与私域之间的物理性分隔状态能一直得以维续,法律体系上的既有安排也不至于面临重大挑战。关键在于,网络与数字技术的发展,不只是单纯改变了人们之间进行沟通与交流的媒介,而是成为社会的组织基础,全方位地重构了现有的社会领域。形象地说,网络之于社会犹如神经系统之于人体,它连接了社会上的所有层次,也弥合了私人领域与公共领域之间的物理界线。物理界线的崩溃,导致对私域自主的天然屏障荡然无存,法律体系中对私域保护的既有安排也显得杯水车薪。私域自主的保护如何可能,至此成为网络社会中极其突显的问题。既然难以再仰赖物理性屏障所提供的保护,如何借助法律手段来重构私域的屏障,便成为新的时代背景下的重大命题。
(一)公域与私域之间的区分危机
当前国内法学界有关个人信息保护的研究,往往忽视对一个前提问题的探讨,即有关隐私保护或私域保护的传统法律体系为什么会变得无效?这并非想当然就能做出回答。对私域的侵犯出现新的行为方式或是表现出新的特点,不一定意味着之前的法律规制框架就会难以应对。事实上,网络时代侵犯财产的行为也表现出新的特点,但传统的财产保护体系基本上还能应对,至少尚未到需要将整个体系推倒重来的地步。总体而言,当前的个人信息法律保护体系乃另起炉灶而建立起来。从中可推断得出,必定是先前的法律难以实现对私域的有效保护,难以维持公域与私域之间的传统界分。不然,以法律固有的保守性,不至于要大费周章另行构建一套保护体系。那么,就公域与私域的分界而言,究竟发生了什么新的情况,导致先前的法律保护体系变得难以应对?对这一问题的探讨,有助于我们更为合理地理解当前个人信息法律保护体系的基本目标,也有助于更具针对性更富成效地解决相应的社会问题。正如论者所言,“在大数据时代,我们越深入地了解隐私问题,就越能够拥有塑造和影响数据隐私政策、标准与规范的力量。”
说到底,线下社会对于公域与私域的界分,主要依靠的是二者之间实际上存在的物理性界线。在网络与数字技术推广之前,所谓的公共空间,本身就与特定的地点或领地结合在一起。公共空间的这种物理场所特性,使得公与私之间的分界较为容易,也相对清晰。因此,在线下社会中,对隐私与私域的保护算不上是多大的难题,只需要法律偶尔地介入,在承认个人在人格与住宅安宁方面权利的同时,对实施外部侵扰的第三人施以惩处即足矣。然而,随着网络社会的到来,这样的物理性界线,迅速被不断发展的网络与数据技术所摧跨。
当互联网成为工作与生活的中心,随时随地的互联,总是处于线上状态,意味着我们所做的一切都会在数字世界中留下踪迹,会事无巨细被数字化地加以捕捉。问题还不仅仅是对线上活动的跟踪,而是对在所拥有的任何有形硬件设备里面进行的活动的跟踪,并且还能在未经用户许可的情况下对设备进行远程控制。这给隐私保护带来致命的打击。数据挖掘与依据数据对人所做的社会分类,追踪科技无处不在并遍及生活中的每一部分,以及生物和物理追踪的使用(比如公共区域的摄像头),不仅使得个人的信息隐私受到严重的威胁,而且进一步危及个人的关系隐私与身体隐私,个人生活的空间与身体领域也被迫全面开放。政府与科技企业对于海量信息的掌控,也使得人们对于个人活动的控制权转移到前两者手中。个人数据的指数级增长以及它的永不消逝性,进一步加剧了对私域自主的威胁。归结而言,正是互联网创造了个体对私域控制的丧失。传统上依靠物理性手段而对公域与私域所作的界分,被网络与数据科技彻底地摧毁。
不止如此,风险社会再加上网络连接的特性,导致任何私人事务都具有潜在的公共性,公与私之间的边界荡然无存。正如论者所指出的,风险社会最大的特点是,传统中局限于私领域的私人决定,如今可能演化为公共事件,具有很强的公共性,或者说因为个体决定而带来“剧场效应”,科技进步、互联网和信息社会的发展更是放大了这一特点。我们生活在前所未有的高度互联与透明的世界中。在这样的世界,只有开放的公共空间,只有持续扩张的社会领域,个人对自身领域的支配几乎丧失殆尽。丧失的程度,甚至超过历史上以狩猎与采集为主的原始部落时期,也超过传统的农业社会时期。以物理性分离为现实基础的相关法律保护体系,也因此显得捉襟见肘而沦为无用的老古董。可以肯定,当下社会若要实现对个人私域的有效保护,不可能依靠对既有法律手段的强化或升级,单纯的修补难以解决问题。
(二)公域与私域之间的界线重构
在网络使得公与私之间的传统界限日益模糊的情况下,直面“隐私已死”的现实,会有两种方案可供选择:一是索性放弃对公域与私域的界分,二是重新构建公域与私域之间的界线。前一方案并不可取。理由在于:一则,私域的存在具有制约政治性权力与社会性压制的重要功能。无论是对于民主制度本身,还是推动创新与发展而言,都需要独立思考判断并敢于表达异议的个体,而不是只知顺从与因循守旧的社会成员。二则,若要避免个体单纯沦为种族繁衍环节中的一员,势必得承认个性的价值与自由选择的重要性,惟有如此方能彰显其作为人存在的意义。大数据的预测之所以饱受批判,正是因为它“否定了我们之所以为人的重要组成部分—自由选择的能力和行为责任自负。”三则,数字化的追踪自带监视的效果,如果放弃对公域与私域的界分,走向全面监控的社会怕是指日可待,这显然并非可欲的目标。
基于此,重构公域与私域之间的界线成为惟一现实的选择。网络社会的最重要特征就是边界的消失,包括社会生活的宏观、中观和微观层次之间的边界,公共和私人领域之间的边界,生活、工作、学习、娱乐和旅行之间的边界;然而,传统边界的模糊并不意味着它们的消失,只是说明我们需要新的界限,公共和私人领域的界限依然是重要的。无论如何,“人类的未来必须保留部分的空间,允许我们按照自己的意愿进行塑造。否则,大数据会扭曲人类最本质的东西,即理性思维和自由选择。”这意味着,在隐私的问题上,新技术并没有改变“私人空间”的隐私的期望值。
如果物理上与公域处于分离状态的私域,因网络与数据技术的发展而在实际上变得不可能,那就只能想方设法去探索新的分界线,并通过法律来捍卫这样的分界。事实上,网络社会的结构充满了对立的趋势,公共和私人领域之间的传统区分既在消失,又在以新的方式被重建。正是在这样的背景下,个体的“匿名性”存在,在社会秩序的安排中获得了前所未有的重要性。借助对“匿名性”的保障,拟制性地隔离出一个想象的空间出来,个体保有自主支配的私域因而得以成为可能。这意味着,“匿名性”是作为公域与私域之间的新的分界线而存在。按照这样的分界,公域与私域不再指向相互分离的物理空间,而是指向想象的空间。通过“匿名性”而形成的私域,是一种被想象的创造物,与民族主义理论家安德森以“想象的共同体”来定义民族概念有类似之处。
不难发现,“匿名性”之于网络社会的正常运转至关重要。缺乏对“匿名性”的保障,大数据时代的到来,无论是对个人还是对社会来说,都将是巨大的灾难。由于“匿名性”并不指向现实的物理空间,法律体系对隐私的保护自然也难以采取先前分而治之的思路,即只保护私人物理空间中的隐私,而对公共物理空间中的隐私不予保护。因监视无处不在无时不在,公共物理空间中同样会涉及隐私保护的问题,这有助于说明,为什么当前各国对个人信息或隐私的保护,都未采取私密性的标准。私密性的概念与先前以物理性分离为基础的私域概念具有内在的逻辑关联性,一旦后者无法维续,自然就产生“皮之不存,毛将焉附”的后果,导致私密性概念也连带着失去原有的意义。与“匿名性”相对应的概念,无疑不是私密性,而是可识别性。相应地,法律上对个人信息采取可识别性标准也就容易得到理解,尽管这一标准本身正不断受到大数据的挑战。可以说,正是由于可识别的个人信息直接关涉网络社会中公域与私域的界线重构,对这样的个人信息进行法律保护,不仅对个人而言意义重大,在政治与社会层面也是兹事体大。
综上可见,我国当前有关个人信息的法律保护体系,其基本目标需要放在私域与公域之间的界线如何重构的语境中来理解。无论是对个人信息权益的保护,还是对个人信息处理活动的规范,抑或是对个人信息合理利用的促进,只有结合网络社会中私域与公域之间的界线重构,才能为利益衡量提供相对明确的判断标准,从而对冲突利益做出合理的安排。就个人信息法律保护体系而言,如果将内部观察视角与外部观察视角相融合,其基本目标可界定为通过保障个体的匿名性存在而确保私域与公域之间的界分。如此界定其基本目标,意味着个人信息法律保护体系涉及对国家、社会与个人之间三元结构关系的处理。李忠夏教授在考察风险社会治理中宪法的功能转型时指出,在风险社会中,个体、社会与国家之间形成了互相依存和互相制约的三重性交互关系,与之相应,宪法有必要从处理个体(社会)—国家的平面化关系,转变为处理个体—社会—国家的立体化关系。同样地,个人信息法律保护体系也会涉及到对四个层面关系的处理,即个体与个体的关系、个体与社会的关系、个体与国家的关系以及国家与社会的关系。由于需要处理这四层关系,个人信息法律保护体系必然不可能限于私法或公法之内,而是会同时跨越公法与私法。这有助于解释,为什么个人信息保护法具有公私法混合的性质并表现出浓重的公法底色,为什么侵犯公民个人信息罪的成立以“违反国家相关规定”为必要,而不是单纯地未经被害人的同意。
如前所述,有关个人信息的法律保护体系需要处理的核心命题是,在一个日益透明的世界里,保障私域的自主如何可能?只厘清个人信息法律保护体系的基本目标显然不够,随之而来待解决的是,为实现通过保障个体的匿名性存在而确保私域与公域之间的界分的基本目标,个人信息法律保护体系需要怎样一种风险分配与归责机制?由于先前的法律框架是以公域与私域在空间上的物理性分离为基础而形成,当相应的物理性基础丧失而需要以匿名性作为新的构建基础时,势必面临风险如何分配与相应的归责机制应当如何构建的问题。基于此,有必要先对现有的归责机制进行审视与反思。
(一)既有归责机制的显失公平性
伴随网络与数据科技的发展而来的,不只是汹涌而来的风险还有巨大的经济社会效益。事实上,数据已日益被认为是比石油更加珍贵的资源,而指数级的海量数据大多都源于个人或与个人的活动相关,主要由众多的个人来贡献。个人数据在商业、社会与政治多个层面的有用性,使得有关个人信息法律保护的命题变得复杂。复杂的根源在于,在个人数据上不仅汇集了各方主体不同类型与性质的利益诉求,各类风险也相应伴生于各方主体的活动之中。先前保护私域的法律框架所采取的三大策略,即只保护私人物理空间的隐私而对公共物理空间中的隐私不予保护,对私人空间实行自治并依靠知情同意机制,对个人明确赋权的同时让他人承担不得侵害的消极义务,不仅无力应对与化解对个人私域的各种威胁,而且客观上纵容了不平等的支配关系的生成,从而加剧了社会结构中的不平等。
政府与以科技企业为代表的社会主体,利用掌握数字与信息技术的便利,获得前所未有的支配地位与能力,在社会结构中占尽优势。做出相关决策的政府部门(比如以建设智慧城市为名而安装摄像头与推行网络实名制等),以及作为技术开发者、使用者与控制者的科技企业,是社会中最主要的风险制造主体,正是他们的相关决策和对个人数据的收集与处理,引发了众多难以控制的社会性风险。同时,作为信息技术反噬效应的根源,政府部门的相应决策与科技企业对技术的开发与使用,也为信息技术的滥用提供了现实可能,并由此导致持续扩张的反噬效应,使得社会性压制出现日益加重的趋势。就像有论者指出的,被滥用的信息技术有的异化了信息优化的社会结构,选择性呈现出价更高、质量更低的商品或服务资讯,导致“逆向淘汰”效应;有的异化了信息监控的社会结构,选择性呈现不愿为人所知的私人言论或私人行为,导致“全景敞视”效应;有的异化了信息传播的社会结构,选择性呈现大V、大号、营销号的意见,导致“加剧排除”效应;有的异化了信息交互的社会结构,选择性呈现“朋友圈”容易共同接受的观点,导致“异议阻却”效应。与此相对,除了极少数精英借助信息与传播技术使自身的话语权力有所扩大,大多数普通个人均处于绝对弱势的地位,无力摆脱受支配甚或遭排斥的命运。前述四种信息技术的反噬效应,本质上体现的都是社会性的压制。在这样一种双重支配与压制的秩序安排中,普通个人几乎逃无可逃,沦为在大数据预测之下易于被操控的对象。可以说,一种三重的网络社会结构正在初现雏形,它由相对较少的信息精英,多少有所参与的大多数人,以及相对较大的被排斥人群所组成;而这会创造出第一等、第二等和第三等的公民、工人、学生和消费者。
在当下的中国社会,造成这样的局面,自然有各种复杂的原因,不能完全归咎于法律的无力。然而,现有的法律归责机制不尽合理,将在线下社会发展起来的法律规制方式照搬套用到线上社会,显然也是促成局面恶化的重要原因。因为正是这样的归责机制,客观上使得恃强凌弱的“丛林规则”在全社会畅行无阻,导致绝大多数的普通个人处于软弱可欺的位置,对社会结构中占据支配地位的政府与科技企业毫无防守之力。在此,有必要对通行的法律归责机制的特点展开分析,揭示为何其部分地需要为社会结构中不断加剧的不平等负责。
其一,现行法律在价值取向上将保护经济发展、产业利益与社会安全放在绝对优先的地位,导致作为风险制造主体的企业与政府相关部门,很少被要求在法律上来负责。与此同时,现行的归责标准客观上也难以让政府部门与科技企业为其行为的后果来负责。因为法律对于因果关联的标准,基本上还停留于19世纪的还原主义立场。由于要求将相应主体的行为从其他作用因素的关系网络中分离出来,单独检讨其与危险现实化后产生的结果之间的必要条件关系,这样的归责标准在遇到复杂的因果性现象时完全束手无策。就科技企业与政府在个人信息方面的相关决策与活动而言,其对私域的侵犯以及由此所制造的风险,不仅与现实化的结果之间距离遥远,因果流程本身也极为复杂,按现行的归责机制很难对其进行归责。
其二,现行法律以知情同意作为归责机制的核心基础,将个人信息的被收集与处理主要交由个人的同意来决定,个人信息处理者除了征得同意的义务外,在个人私域的保障上不承担任何的积极义务,这导致对个人信息的保护义务几乎完全落在个人身上。只要对信息收集与处理活动表示同意,个人便需要对后续的风险及其现实化的结果自我答责。与此同时,在法律适用中对同意标准的无限降低与对合法、正当、必要原则的宽泛解读,进一步让个人成为整个领域的冤大头。一方面,概括同意、被迫同意与缺乏知情的同意等,均被归入有效同意的范围;另一方面,由于缺乏具体的标准与举措,合法、正当、必要原则几乎没有什么存在感,作为个人信息处理者的企业与政府部门轻易便能越过。此外,还有同意机制被彻底虚置的现象的普遍化,更是让众多的个人沦于“人为刀俎,我为鱼肉”的境地。
其三,现行法律在利益衡量时秉持社会功利主义立场,将个人隐私与其他涉及私域的权益单纯当作一种利益,并没有真正当作权利来对待,致使个人的私域权益易于被其他利益所超越。在个人信息保护法出台之前,我国相关法律并未根据与个人人格尊严的密切程度做必要的分类,而是笼统地加以处理。诚然,“两高”在2017年6月施行的关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释第5条在涉及追诉标准时,将个人信息分为三类,第一类是行踪轨迹、通信内容、征信信息与财产信息,第二类是住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的个人信息,第三类是前两类之外的其他个人信息,并相应规定50条、500条与5000条的入罪标准。但这样的分类只影响是否达到“情节严重”的数量标准,并不涉及对个人的赋权与否。法律上这种对个人信息笼统加以处理的方式,使得对个人赋权变得困难与不可想象;毕竟,个人信息不仅内容庞杂而且范围很广,难以做一体化的赋权。人脸识别在近年来得以广泛推行,显然与法律上对个人信息未作分类有关,生物识别信息在法律地位上与其他一般的个人信息并无差异,尽管它对个人与社会造成的影响与一般的个人信息大不相同。也因此,个人的私域权益或是隐私权不仅难以获得优先的保护,任何加强保护的呼吁都可能面临质疑。既然只涉及特定个人的利益,个人信息其他方面的显性效益看起来会重要得多,在进行利益权衡时,自然很容易就被超越。
其四,现行法律将对个人信息问题的规制重心放在收集环节,对后续的使用环节则基本上放任不管,这使得滥用行为得不到应有的追究。虽然法律上要求信息处理者改变对个人信息的用途时,应当征求相应个人的同意,但由于信息处理者如何使用个人信息往往不为外界所知晓,而对于指数级的海量数据,要求在改变用途时征求每个个人的同意,客观上也根本不具备可行性。更何况,同意机制在适用层面本身就存在被架空的问题。如此一来,在收集环节轻易通过法律所设的第一个关口,也是惟一的关口之后,个人信息处理者几乎可以不受任何妨碍地使用所获得的数据,而由此产生的泄露和滥用等各式风险及相应后果却基本不需要负责,而主要由相应的个人自己去承受。这种只规制收集环节而不规制使用环节的跛脚式的法律,就等于纵容个人信息处理者可以肆无忌惮地使用个人信息,并将相应的风险转嫁到其他主体身上,由此加剧了在个人信息问题上风险分配的不公平。
归结而言,在当前的归责机制下,尽管相关规定仍作为现行有效的法律规范而残留于法律系统之内,但毫无疑问,它们已经难以适应互联网时代私域保护的客观需要。并且,从风险分配角度来看,现有的归责机制造成了结构性的不公平。塔勒布在论及金融市场的运行机制时指出,脱离“决策者承担后果”的风险匹配原则,使得市场的受益者、决策者和参与者可以脱离“风险共担”,在不承担风险的情况下做出决定并攫取利益。这样的不公平现象,同样存在于个人信息的领域。
(二)合理分配风险应遵循的理念
在个人信息保护的问题上,现有的法律归责机制一方面让无辜而缺乏预防能力的个人承担主要的保护义务,另一方面又让真正制造风险的主体在获取巨大收益的同时得以逃避对风险的责任,由此导致对潜在的侵犯个人私域的违法犯罪行为缺乏起码的威慑。这样的归责机制既不公平,也缺乏有效性。在个人信息的领域,向无辜者或弱势群体转嫁风险显然并非没有成本,而是蕴含着严重的危害。以“风险共担”为核心的对称性始终是有组织社会的主要规则,如果各方参与者所承担的风险—收益极不匹配,风险在不同的承担主体中呈现极强的非对称性,久而久之会导致系统不平衡,进而可能导致“系统性风险”的爆发。更何况,容许将风险随意转嫁给无辜者和弱势群体的做法,也有违法律体系的基本价值观。这意味着,风险分配上的不公平并非无关痛痒,它不仅攸关数字经济的健康发展,也与人们对未来的社会秩序应当如何安排的构想密切相关。
21世纪以来由更为精深的网络、数字与生物技术所引发的社会变革,一般被称为第四次工业革命。这次工业革命带来三大迫在眉睫的挑战:一是如何确保公平分配第四次工业革命的效益;二是如何管理第四次工业革命的外部性效应,控制风险和伤害;三是如何确保第四次工业革命由人类主导并以人为本,由人类主导意味着必须尊重人类价值观而不是只考虑经济价值,以人为本意味着赋能于人而不是支配人类的命运。应当说,这样的断言切中要旨且极富洞察力,为社会治理模式的转型指明了应然的发展方向。不难发现,这三大挑战在个人数据/信息领域,都有相应的呈现。
就第一个挑战而言,需要处理围绕个人数据的利益分配与赋权问题。在个人数据上,既存在特定个人的隐私或相关权益,又存在一般公众作为公民在网络公共领域的言论自由与获取真实信息权、作为消费者的知情权与选择权以及其他的社会经济权益,也涉及作为收集者与处理者的企业、产业界的经济性利益,还关涉国家与政府在国家安全、宏观经济与社会治理方面的利益。就第二个挑战来说,涉及的是在各方主体之间如何分配风险与进行归责的问题。由于网络社会中公私之间的边界消失,任何主体的活动都可能引发公共性的风险。公共风险是现代社会的内生性风险,与私人风险受到或明或暗的紧密社会关系纽带的制约不同,公共风险具有广泛的扩散性、蔓延性,其影响力远远超越紧密社会关系纽带的限制,并跨越时空界限和人类代际边界。对于公共风险,显然难以简单依靠传统的私人自治或市场机制来防控,故而会面临如何合理有效地分配风险的问题。至于第三个挑战,等于是为如何分配利益与风险指出判断标准,即在利益与风险的分配问题上需要遵循当代的基本价值观,要赋能于人而避免使人沦于被支配的命运。
由此可见,在个人信息的领域,将相应风险在各方主体之间进行公平而合理的分配兹事体大。这一问题当然并非单独依靠法律所能解决,更难以依靠某个部门法来完成。在此种意义上,莱斯格教授所倡导的构建一种结合法律、社群规范、市场与架构(代码)在内的四元规制框架,可谓富于启发性。同时,基于网络社会中的各类风险往往具有公共性,而公共风险作为社会发展的反向力,对现代社会的挑战属于系统性挑战,法律作为风险控制的重要工具,也必须系统性地加以应对,而不应“各自为政”。对于网络与数据技术所引发的各类风险,应当如何公平合理进行分配的问题,无疑不应采取躺平的态度听之任之,或者放弃网络空间而全线回归至早先的状态。在代码威胁自由的21世纪,我们固然可以阻碍代码的发展以保留这个世界,可以通过宪法或法律来制止这个世界的转变,或者我们也可以带着基本的价值理念去寻找适应新时代的办法。笔者赞同带着基本价值理念去寻找新方法的方案。
在个人信息保护的问题上,为使得通过保障个体的匿名性存在而确保私域与公域之间的界分成为可能,在法律归责机制的构建上应当遵循三个基本理念。
首先,要在认识到私域之于制约公权力与对抗社会性压制所具有的重要意义的基础上,来考虑风险分配与归责机制的构建。对个人信息的法律保护与对私域自主的追求,不仅要有助于促进对国家借助网络数据技术而推行的新型权力运作的制约,而且要有助于抗击技术的反噬性效应所带来的社会性压制。简言之,要将归责机制的构建与对私域自主的维护,提升到重构合理的政治与社会秩序的高度。为此,需要尽最大努力避免政府与科技企业之间基于共同利益的“合谋”,依靠调动社会的力量,向政府施加监管信息技术的责任;若是科技企业的信息收集、保存、分析、传播、监控技术有助于巩固政治支配,政府更可能倾向于借此提升自身的社会控制能力,同时考虑到科技企业的巨大盈利空间,追求“绩效合法性”的政府也可能会屈从于财税增长的诱惑而放任其“非法崛起”。
其次,对风险的公平合理分配,必须将决策者与风险制造者纳入归责主体的范围,让其承担对风险的责任,同时需要进一步与效益分配、预防能力之间保持合比例关系。既然个人信息领域牵涉多方主体,那就应当立足于系统性思维,关注主体之间相互作用的关系,在此基础上,对各方主体如何分担风险的问题进行整体性的思考并做出相应安排。具体而言,在归责机制的构建上,需要着重考虑如下四方面的因素:一是相应的风险基于何者的决策而产生,是由谁制造或参与制造。谁制造风险,谁原则上就应当对相应风险及其后果进行负责。二是效益分配比例的大小。就整个领域而言,谁从中获得了最大收益或较大收益,谁就应当对由此产生的风险及其后果合比例地负起责任。三是预防能力的高低。基于能力越高责任越大的原则,在所涉各方主体中,对风险的预防能力越高者,就越需要对风险及其后果负起责任。四是政策效果的考察。将风险归由谁来承担最能起到预防效果,谁就可能需要对风险及其后果负责。前述四种因素对归责的重要性程度呈现由强到弱的排列,在归责判断时需要综合予以考虑。
最后,应当考虑对个人私域内与个人信息相关的生活利益度进行分类,对于与人性尊严密切相关的重要生活利益要进行积极的赋权,并确保相应的权利不被相对化,不随意为其他的利益所超越。基于此,在有关个人信息究竟属于财产范畴还是基本人权的争议上,需要慎重做出选择。如果个人信息属于财产范畴,那么个人可以用它来交换一切可交换的东西,并且一旦这样做,就不能再期望这些信息仍具有私密性;反之,如果它属于一种基本人权,便不能就与它有关的很多事留有商量的余地。总体而言,美国倾向于使用财产模式,而欧盟则采纳人权模式。从我国的情况来看,将个体在个人信息方面的权益或隐私权按财产权模式一体性地加以保护,根本无助于扭转不断扩张的社会领域与政治领域对私域的严重威胁。正如论者所言,考虑到隐私也许是网络传播中最受威胁的价值,它应该被视作诸多自由之下的一项基本自由,不应与安全轻易地形成对立或为之牺牲。考虑到个人信息在内容与性质上的多元性,统一地赋予个体以绝对权利可能并不现实,因为这会妨碍对于个人数据的合理使用与数字经济的发展。妥当且可行的做法,是对个人信息予以分类,对属于敏感信息的个人信息进行赋权,作为基本权利来对待,以此对抗公权力的滥用与来自社会领域的压制。凡是涉及将人予以客体化的敏感个人信息的处理,无论涉及公权力部门还是来自一般的社会主体,都不应当被允许。这是因为,利益衡量的适用有其确定的边界,对人性尊严的违反无论如何不是保护利益的适当手段。据此,在利益的层次结构中,法治国的基础利益构成利益衡量的支点与根基,禁止对其核心部分作相对化的处理,即不允许为其他任何利益所逾越。
既有的风险分配与归责机制,其显失公平性与缺乏有效性,根源于相应的法律仍是以对线下社会的想象作为基础。同时,“大多数的新立法都是以碎片化的修正和(经常)矛盾的法理为特征,而没有整合性地再调整。”由于在个人信息保护方面,传统的归责机制是以私人空间与公共空间的物理性分离作为现实基础,一旦需要按“匿名性”的逻辑来进行构建,必然面临重大转型的问题。
(一)归责机制转型中的三大转变
大数据时代,对现有规范与理论的修修补补已然于事无补,也难以消解与应对大数据所带来的各类风险。我们需要全新的归责机制与全新的制度规范,而不是简单修改原有规范的适用范围,简单调整现有的法学理论。一个能适应于大数据时代的归责机制构想,至少需要实现三大转变。
其一,个人信息保护的主要义务人,应当实现从作为信息主体的个人到个人信息处理者的转变。这样的转变有着充分的理由:首先,诸多的风险本身就是由个人信息处理者的数据收集与处理活动所引发,个人信息处理者往往处于风险制造者的地位;其次,个人信息处理者作为从处理个人信息的活动中获益最大的一方,其承担的义务理应与所获收益相匹配;再次,个人信息处理者掌握相应的技术,在风险预防方面处于能力最强的位置;最后,只有让个人信息处理者承担主要的保护义务,才有助于有效减少各类风险。简而言之,让个人信息处理者成为主要义务人,既合乎公平性的要求,也合乎有效性的要求。正如论者所言,将责任从民众转移到数据使用者很有意义,也存在充分理由,因为数据使用者比任何人都明白他们想要如何利用数据;更为重要的是,数据使用者是数据二级应用的最大受益者,所以理所当然应该让他们对自己的行为负责。
其二,与前者相呼应,应当从倚重知情同意机制到倚重对个人信息处理者的合规的转变。在大数据时代,同意机制的失效有其必然性。大数据的价值并不单纯来源于它的基本用途,而更多源于对它的二次利用,而对于二次利用,很难通过事先的告知同意来获取使用上的许可;尤其是,很多数据在收集时并无意用作其他用途,企业无法告知个人尚未想到的用途,而个人亦无法同意尚属于未知的用途;同时,一开始时就要用户同意所有可能的用途也不可行,因为这样一来,“告知与许可”就完全没有意义;也因此,在大数据时代,告知与许可这个经过了考验并且可信赖的基石,要么太狭隘,限制了大数据潜在价值的挖掘,要么就太空泛而无法真正地保护个人隐私。诚如斯言。法律层面的关注重心,无疑应当放在如何合理设定个人信息处理者的法律义务,以及如何在实践层面让其实现合规上。在明文规定的义务之外,法律通过对个人信息主体进行赋权,也会相应创设个人信息处理者的义务。在如何敦促个人信息处理者合规方面,除了通过事后的惩罚机制倒逼其合规,同样重要的是,如何发展出一种激励机制,让个人信息处理者在合规方面拥有内在的驱动力。
确切地说,知情同意的获得当然还有一定的法律意义,不过,它只构成个人信息处理者众多的合规义务之一。由此,刑法中侵犯公民个人信息罪中的知情同意与“违反国家有关规定”的关系便一目了然。二者之间不构成并列关系或独立关系,而构成从属关系;知情同意应当作为“违反国家有关规定”的下位范畴来理解,它不只是对作为个人信息主体的个体所承担的义务,也是一种行政法上的义务。进一步而言,对于个人信息处理者而言,即便其收集与处理个人信息的行为取得个人信息主体的同意,也不意味着就一定不符合“违反国家有关规定”的要件。因为除了要求获得个人信息主体的知情同意,个人信息处理者对于相应的个人信息完全可能还需要承担其他的法定义务。
其三,应当从注重对收集/获取环节的规制到收集/获取与使用环节并重的转变。在现行的法律体系中,无论是反不正当竞争法还是刑法,都将规制的重心放在违法或违反约定而收集/获取数据的行为之上。对收集/获取个人信息的行为持严格态度无可厚非。毕竟,一旦数据被加以收集,个人便会彻底丧失对其个人信息的控制,包括被谁使用以及数据如何被使用。实际上,只要数据被收集,就会被以始料不及甚至祸患无穷的方式加以利用,没有任何州、国家或框架的法律、政策能改变这一事实。只是,法律仅规制收集/获取环节并不足够,当合法收集/获取的个人信息被改变用途而用于合理预期范围之外的事务,完全可能对个人的私域自主造成严重威胁。尤其是,在对个人数据的二次利用几乎无可避免的情况下,法律层面对滥用个人信息的行为进行惩治更是有其必要。
(二)《个人信息保护法》的得失
综上,实现前述三大转变,有利于法律层面构建合理的归责机制,从而实现对风险的公平分配。以此对照我国个人信息保护法的基本结构与相关规定,该法的得与失可谓一目了然。
作为一部综合性的保护个人信息的法律,个人信息保护法没有停留于对原有规范的修修补补,而是构建了全新的规制框架,这一点值得高度肯定。其所取得的重要成效包括:一是在落实收集环节的“知情—同意”方面,出台了比较切实的举措。通过对告知事项、各情形中的同意要求、撤回同意权等做出明确规定,“知情—同意”的保护机制有望借此得到落实。二是通过规定个体包括知情权、查阅复制权、更正权、删除权等在内的权利,该法强化了个人在信息处理环节的控制权能。三是该法在“知情—同意”的机制外,引入对个人信息处理者的合规要求机制。该法对个人信息处理者在各个方面的义务都做出明确规定,其中第13-27条涉及法律层面的一般义务,第28-32条涉及处理敏感个人信息时的法定义务,第51-58条则是关于企业内部的合规义务。具体的义务包括,对个人信息实行分级分类管理与采取相应的加密、去标识化等安全措施,以及在特定情形中要求进行事前的风险评估等。四是初步确立按个人信息类型提供分级保护的机制,对敏感个人信息施以更高程度的保护。
在各方利益激烈角逐的个人信息领域,能够出台这样一部法律,立法机关无疑做出了巨大的努力,但个人信息保护法也存在一些不足之处。
其一,仍过于倚重知情同意机制来保护个人信息。该法对敏感个人信息的特殊保护,也主要体现在同意与告知要求的提高上,并未提供其他更为有效的保障措施。这导致其区分一般个人信息与敏感个人信息的分类保护机制,缺乏实在的意义。敏感个人信息的泄露或是滥用,往往会给个人权益造成严重的危害,尤其是其中的生物识别信息,基于其不可更改的特性,一旦泄露就是终身泄露,一般无法采取有效举措来恢复原状。将预防措施的重心放在知情—同意的机制之上,就等于将后续可能发生的风险主要分配给作为个人信息主体的个体来承担。这样的风险分配方式,难以有效遏制与预防对敏感个人信息的随意收集与滥用,也因此不足以对敏感个人信息提供足够的保护。
其二,责任条款较为薄弱,使得法律赋予个人信息主体的权利难以得到有效的救济。在明确个人在信息收集与处理环节享有诸多权利的同时,该法并未规定相应的法律责任条款与之配套,使得个人事实上难以对个人信息处理者提出权利主张。其中第69条规定的侵权责任条款,仍采取的是侵权法中的填平原则,并让个人承担举证责任(只在主观过错方面适用推定来解决)。相关权益受到侵犯的个人,若想向个人信息处理者主张赔偿,不仅要证明对方侵害自身的个人信息权益,还要证明自身存在损失或信息处理者因此获得利益,此外尚需进一步证明侵害行为与自身所受损失或信息处理者所获利益之间存在因果关系。这样的证明责任于个人而言,无疑是不可承受之重。如此一来,个人信息处理者即便存在侵害相应权益的行为,只要无法证明损失的存在或损失是由其所造成,往往便无需承担法律责任。
其三,公共安全例外条款缺乏明确的边界,且适用门槛较低,使得个人的相关权益很容易在与安全的利益衡量中被超越。该法第26条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。根据前述规定,只要具备目的上的正当性,同时遵守用途上的限制,即可不顾个人的相关权益而收集与处理个人信息。由于目的方面的要求非常易于满足,而用途上的限制也接近于不切实际的想象,因现有法律对个人信息的使用环节基本处于放任不管的状态;如此一来,第26条就犹如一个有膨胀潜力的大口袋,可能将该法对个人信息处理者所做的各种限制消弭于无形。
其四,该法虽然对国家机关处理个人信息做出专门的规定,但涉及制约性的规定,其内容相当之原则与概括,难以对国家机关收集与处理个人信息的行为进行有效的制约。国家机关作为社会治理的主体,本身也可能与科技企业一样,担任个人信息处理者的角色。相比于像企业这样的私主体,国家机关在处理个人信息方面无疑应当受到更多的制约,需要遵守公法上的比例原则。这不仅是因为公权力部门的执法活动只有取得法律的明确授权才可为之,也是因为公权力的滥用易于对个人、对社会造成更大程度的危害。尤其是,鉴于该法第26条所做的含混规定,公权力部门的滥权风险更是有可能加倍地提升。
本文的主体内容基本上没有涉及对侵犯公民个人信息罪的论述,这不意味着,相关的论述便与该罪的教义学构建没有关联。由于侵犯公民个人信息罪乃是作为个人信息法律保护体系的一个组成节点而存在,对这一组成节点的合理解读,势必需要着眼于整个体系框架来进行。因为个体组成节点所发挥的功能,不仅取决于节点本身的特性,也取决于节点在体系结构中的位置,以及该节点与其他节点之间的相互作用关系。简言之,跟基因与复杂细胞网络的关系相似,个体组成因素的功能性作用,需要放在相互作用的网络结构中才能显现。也因此,对个人信息法律保护体系在整体理解上的加深,无论是对其基本目标还是归责机制,都将有助于对侵犯公民个人信息犯罪的研究。组成节点本身的特性自然重要,所以需要关注该罪的罪状表述及其在刑法分则中的排列;同时,它又处于个人信息保护体系之中,需要与其他组成节点一起发挥作用,共同为基本目标的实现做出贡献。
因篇幅所限,有关侵犯公民个人信息罪作为个罪的教义学探讨,笔者只能在其他文章中再作展开。不过,对于本文论述主题与侵犯公民个人信息罪的教义学构建之间的内在关联,做简要的交待无疑有其必要,也便于与引言部分的问题意识形成呼应。不妨以该罪的保护法益为例来进行说明。
鉴于法益所指向的利益具有先于法律而存在的特性,对侵犯公民个人信息罪保护法益的界定,显然有必要先行搞清相应领域究竟需要刑法保护什么利益。按本文对个人信息法律保护体系的基本目标的界定,相应领域亟待保护的利益是通过保障个体的匿名性存在而确保私域与公域之间的重新界分。据此,该罪的保护法益必须立足于个人的“匿名性”存在来展开解读,具体内容为个人在“匿名性”存在方面的权益。由于“匿名性”是作为私域与公域之间新的分界线而存在,个人在“匿名性”存在方面的权益,便不能仅停留于个人层面,而应当同时放在社会秩序的层面来把握。这意味着,侵犯公民个人信息罪的保护法益具有一体两面性,类似于正当防卫中作为正当化根据的个人权利保护与法秩序确证原则之间的关系:个人在“匿名性”存在方面的权益,既指向个体权利层面又指向社会权利层面。亦即,侵犯公民个人信息罪的罪刑规范,不仅是要保护具体个人的与“匿名性”存在相关的权益,还要保护匿名性所代表的将私域与公域相区分的社会秩序安排,这两个面向均不可或缺。就二者之间的关系而言,后一面向类似于前一面向在社会秩序层面的反射,具有公法益的特性。归结而言,在侵犯公民个人信息罪的法益问题上,有必要超越当前的个体法益说与超个体法益说之争,而选择走第三条道路。
这样界定侵犯公民个人信息罪的法益,将有助于对该罪构成要件中的相关问题做出合理解读。由“匿名性”存在方面的权益入手,能够解释为什么对个人信息的判断要采取可识别性标准。而侵犯公民个人信息罪法益内在结构中的一体两面性,进一步说明,为什么该罪的成立需要以“违反国家有关规定”为前提,以及为什么知情同意只能作为“违反国家有关规定”的下位范畴存在。这与归责机制由以知情同意为基础转变为以合规为基础,也具有内在的逻辑一致性。既然涉及对将私域与公域相区分的社会秩序安排这一公法益的保护,并为此向个人信息处理者科以包括获取同意在内的各种法律义务,侵犯公民个人信息罪作为行政犯的特性,自然也变得容易理解。惟其作为行政犯,才能使侵犯公民个人信息罪的存在与个人信息法律保护体系的基本目标相契合,成为确保公域与私域之间界线重构得以实现的制度技术手段。
推荐阅读《政法论坛》2021年第6期目录及摘要
扫码关注政法论坛