丁晓东：个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础

更新时间：2020-05-13 00:03:06

作者： 丁晓东

　　摘要: 社会需要从隐私权保护过渡到个人信息保护，这已是共识，但学界缺乏对个人信息保护适用前提的研究。个人信息权利保护的适用前提是存在持续性的信息不平等关系，因此知情权、选择权、访问权、纠正权、删除权等权利不能针对信息能力平等的主体，也不能针对国家执法过程中产生的非持续性信息收集与处理行为。个人信息保护即信息隐私保护，区别于侵权隐私保护与执法隐私保护，其制度也不是传统部门法的简单叠加。此外，个人信息权利保护的法益基础具有多元性，有的信息权利可能对自身、他人、企业、市场与公众都有负面影响。因此，个人信息保护是为了实现“合理与正当的信息实践”，应当在具体场景的信息关系中确定个人信息权利的边界。

　　关键词: 个人信息适用前提法益公平信息实践不平等信息关系

　　 一、问题的提出

　　个人信息保护在中国已经提上日程。2012年，全国人大常委会审议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》，开启了个人信息的法律保护之路。2015年，《刑法修正案(九)》规定了侵犯公民信息罪，将“违反国家有关规定，向他人出售或者提供公民个人信息”的所有主体都纳入刑法调整范围。2016年，《网络安全法》对个人信息保护作出了规定，规定网络运营者收集个人信息应当遵循合法、正当、必要的原则，而且应当获得个人的知情同意。2017年，《民法总则》又在第 111 条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”2020年，全国人大常委会将制定《个人信息保护法》，可以预见在不久的将来，就会有专门的《个人信息保护法》出台。

　　伴随着国家的立法进程，围绕着个人信息权利的理论探讨也成为热点，学术界从不同角度对其进行了讨论。例如就个人信息权是否成立的问题，有的学者主张个人信息可以成为一种权利；[1]有的学者认为个人信息是一种利益，不足以成为一种权利；[2]还有的学者则主张一种个人信息被保护权或个人信息相关权益被保护权，认为个人信息是一种保护相关权益的工具。[3]有的讨论则关注个人信息权利或利益的属性问题，例如有的学者认为个人信息所要保护的是个人的人格性利益，[4]有的学者认为个人信息所要保护的是个人的财产性利益，[5]有的学者则指出个人信息所保护的是个人的安全利益，[6]有的学者指出个人信息上还附着了他人利益与公共利益。[7]此外，还有的讨论则从部门法的角度对个人信息进行探讨，就部门法性质而言，有的学者主张个人信息权利是一种宪法性权利或基本权利，[8]有的学者则认为个人信息权利是一种私法性权利。[9]就部门法保护手段而言，有的学者重点从公法的角度对个人信息保护进行阐述，[10]有的学者重点从私法角度对个人信息保护进行分析。[11]学者们的共识是：传统的隐私权已经不足以保护公民的合法权益，法律需要从隐私权保护转向个人信息权利或权益的保护。[12]

　　本文分享此种共识，并且从参与上述讨论获得了很多有益的洞见。但本文将关注一个更基础性的问题：个人信息权利保护的适用前提与法益基础。在本文看来，这一问题仍然讨论不足。尤其是个人信息权利保护的适用前提，尽管个人信息权利保护的中文文献已经浩如烟海，但中文文献对这一问题的讨论仍然处于空白。对这一问题不进行深入讨论，就可能造成对个人信息权利保护原理与制度的误解。

　　本文从个人信息权利保护的适用前提切入，指出全球通行的个人信息权利保护制度只能适用于具有持续性信息不平等的关系，个人信息权利只能针对商业性或专业性收集个人信息的主体。无论是欧洲、美国还是国际组织的个人信息权利保护制度，都排除了纯粹个人或家庭活动中的个人信息收集与处理，也排除了执法过程中的信息收集与处理。离开这一前提谈论个人信息权利保护，就无法正确认识个人信息权利保护的法益基础和基本原理，也无法正确设计个人信息权利保护的法律框架。

　　在此基础上，本文归纳了侵权隐私、执法隐私与信息隐私(个人信息保护)三种不同的法律框架，指出当前以公平信息实践为基础的个人信息保护框架不能应用于侵权隐私与执法隐私。个人信息保护实际上采取了一种二元治理的框架，将个人正当程序权利与合作治理方法结合起来。这种治理框架既区别于传统私法，也区别于传统公法。由于个人信息权利总是针对信息能力不平等的关系性主体，因此个人信息权利的法益具有多元性，分析个人信息权利，也必须将其还原到具体场景的信息关系中，在信息关系中确定个人信息权利的边界。

　　 二、持续性不平等信息关系：个人信息权利保护的适用前提

　　在中文学术界，对于个人信息的保护往往会回溯和参照隐私保护的框架。众所周知，沃伦(Smauel Warren)与布兰代斯(Louis Brandeis)于1890年发表了《隐私权》，提出了隐私权的概念。[13]其后，这一权利分别被英美法系与大陆法系所继承和发展。在美国，威廉姆·普罗斯(William Prosser)在侵权法重述中进行了归纳，将隐私侵权归纳为四种类型：对于独处的侵犯(intrusion upon seclusion)；未经他人同意公开私人事实(disclosure of private facts)；公开扭曲他人形象致误解(false light)；擅自利用他人姓名或肖像为自身牟利(appropriation)。[14]在德国、中国等大陆法系国家，隐私权被归入人格权的范畴，侵犯隐私主要以侵犯人格权的案由进行立案和救济。[15]

　　当个人信息权利保护被提上议程，很多研究自然而然地以侵权法的框架来分析个人信息权利保护问题，探讨个人信息的权利类型、法益基础与制度设计。但这里却实际上有个前提性问题需要我们思考：个人信息权利保护是否可以针对所有活动中的所有主体？分析这一问题，可以发现个人信息权利中的知情权、选择权、访问权、纠正权、删除权、携带权等权利，都只能对具有专业性或商业性收集能力的主体进行主张，这些权利既不能对日常活动中的个人信息收集与处理进行主张，也不能针对国家执法中的个人信息收集与处理进行主张。个人信息权利保护的这一前提性问题，至少可以从三个方面的论据进行证明。

　　第一，不同国家和地区的法律都表明了这一点。以欧盟《一般数据保护条例》为例，其适用首先排除了平等主体之间的信息收集与处理。第2条第2款(c)项规定：“自然人在纯粹个人或家庭活动中所进行的个人数据处理”不属于《一般数据保护条例》的调整范围。[16]《一般数据保护条例》“重述”进一步指出：“本条例不适用于自然人在纯粹个人或家庭活动中与专业或商业活动无关的个人数据处理。个人或家庭活动包括：通信和持有地址，或在此类活动范围内进行的社交活动和在线活动。”只有对于“为此类个人或家庭活动提供处理个人数据手段的控制者或处理者”，《一般数据保护条例》才能适用。[17]其次，《一般数据保护条例》还将“有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理”排除在外，[18]此类个人数据或个人信息的收集与处理也受法律规制，但其规制方式与《一般数据保护条例》以及通行的个人信息权利保护制度有很大区别。[19]因为此类个人信息收集的主体虽然和个人之间也具有不平等的信息能力，但二者不具有持续性的信息关系。

　　美国的个人信息权利保护法律制度同样表明了这一点。以美国的领域立法为例，美国的《家庭教育权利与隐私法》（Family Educational Rights and Privacy Act of 1974)的规制对象是公共机构，如潜在雇主、公共资助的教育机构和外国政府。[20]美国的《1974年隐私法》(Priva-cy Act of 1974)的规制对象是美国联邦规制机构收集与处理个人信息，[21]美国的《健康保险可携带性和责任法》（Health Insurance Portability and Accountability Act)的规制对象是医疗保健提供方、提供或支付医疗费用的实体、医疗信息交换所、商业伙伴等实体。[22]美国的《儿童在线隐私保护法》(Children’s Online Privacy Protection Act)的规制对象是在线收集儿童信息的网站等主体。[23]这些法律都将个人信息权利保护的范围限定在具有持续性不平等信息关系的主体之间，既排除了个人日常活动中的信息收集与处理，也排除了政府执法中的个人信息收集与处理。对于政府执法中的个人信息权利保护，美国法律和欧盟一样，都以特殊的法律框架来加以规制，例如以宪法第四修正案以及相关联邦立法来规制。[24]美国州层面的立法更说明了这一点，例如2020年1月1日生效的《加州消费者隐私法》，顾名思义其规制对象主要是信息能力不平等的商家或企业，这一法律赋予个人的信息权利，也属于针对商主体的消费者权利。事实上，《加州消费者隐私法》不仅排除了一般自然人的信息收集与处理活动，而且排除了小微企业的信息收集与处理活动。《加州消费者隐私法》将受管辖的企业范围限定在年收入超过2500万美元，或者为了商业目的而接受50000条以上个人信息或者年收入的50%及以上为销售消费者个人信息所得的公司。[25]

　　第二，从个人信息权利保护的思想资源来看，也可以看到个人信息权利保护的适用前提。无论是沃伦、布兰代斯、普罗斯等人所提的隐私权，还是大陆法系基于人格权的隐私保护，都建立在侵权法的思想基础之上的，都预设了侵权方与被侵权方的防范关系与平等主体关系。但个人信息权利保护或所谓的信息隐私，其思想框架却起源于阿兰·威斯丁(Alan Westin)对于个人信息控制的主张。[26]这种主张具有明确的指向对象，明确了个人信息权利保护所针对的对象并非日常生活中的个体，而是具有专业性或商业性信息收集特征的主体，尤其是利用数据库等现代科技大规模收集个人信息的主体。[27]就此而言，尤其需要注意和澄清的是，虽然美国法上采取了“大隐私”的概念，将信息隐私也视为隐私保护的一种，但实际上美国的信息隐私与传统的侵权隐私具有结构性的差异。美国的信息隐私其实等同于欧盟和其他地区的个人信息权利保护，两者有着类似的针对对象和制度框架。

　　第三，从个人信息权利保护的制度框架来看，也可以看到个人信息权利保护的适用前提。全球通行的个人信息权利保护的制度框架起源于“公平信息实践”(fair information practices)原则，这一原则给个体赋予了一系列信息权利，给信息收集者与处理者施加了一系列义务。[28]但同样须注意的是，公平信息实践所处理的是不平等的信息关系，公平信息实践原则所规制的对象，要么是具有专业性信息收集能力的公共机构，要么是具有商业性或专业性信息收集能力的企业或类似主体。不可否认，欧盟和美国对于公平信息实践的继承和适用有一定的差异，例如欧盟《一般数据保护条例》以数据控制者和数据处理者的概念来概括政府、企业和专业信息收集者与处理者，而美国的《1974年隐私法案》和《加州消费者隐私法》则对政府规制机构和企业进行区别立法。[29]但二者的差异并不妨碍其共同之处。无论是欧盟还是美国，都排除了纯粹个人活动中的信息收集与处理，同时以不同的法律框架来规制政府执法中的个人信息权利保护问题。

综上所述，个人信息权利保护只能适用于特定的信息关系，个人信息权利保护不能像隐私权保护那样，可以针对不特定的第三人。探讨个人信息的权利类型与法益基础�(点击此处阅读下一页)

爱思想关键词小程序

本文责编：陈冬冬
发信站：爱思想（http://m.aisixiang.com）
本文链接：http://m.aisixiang.com/data/121272.html