返回上一页 文章阅读 登录

王锡锌:作为规制工具的个人信息权利束

更新时间:2021-12-30 16:39:59
作者: 王锡锌  
例如,GDPR实施一年后,欧盟各国监管机构处理的投诉、数据泄露通知等行政案件总数突破28万件,成为维护个人信息受保护权利的最主要机制。

  

   再次,将权利束理解为民事权利,无法对国家机关处理个人信息的情形进行合理的解释。国家机关处理个人信息在性质上属于国家机关的职权行为,国家机关与个人之间形成的是公法上的权利义务关系;相应地,权利束中的具体权利也往往表现为个人在公权力活动过程中的程序性权利,其内涵取决于调整具体公法活动的法律规则。这表明,个人信息权利束并不是先在的民事权利集合。一个典型的例证是,在司法机关对刑事案件嫌疑人进行调查的程序中,相应的法律规范是《刑事诉讼法》以及相关证据规则;面对侦查机关处理个人信息的侦查行为,个人并不能以个人信息权对抗侦查机关,而只能以刑事诉讼中的程序性权利对侦查活动进行制衡;同时,很难想象个人对此可享有限制处理权和删除权,否则个人完全可能利用这些权利干扰执法信息(证据)的收集,侵蚀国家机关的执法能力。实际上,国家机关处理个人信息时,个人往往无法启动权利束中的诸多具体权能,原因在于:在公法领域,国家机关处理个人信息的行为是职权行为,具有高权性、强制性、公益性的特点;个人则负有配合义务,不享有自主决定权以及基于私法权益的补偿请求权。在这个意义上,若是将个人信息作为个人控制的权利客体,将导致国家机关处理个人信息的逻辑和实践陷入矛盾之中。

  

   最后,将权利束中具体权利理解为民事权利,还将导致个人信息保护监管和执法机制在逻辑上陷入混乱。比如,对个人信息处理者违反知情权、决定权的要求而处理个人信息的行为,GDPR第83条、我国《个人信息保护法》第66条均规定了巨额罚款。但是,信息处理者违法处理信息并侵害个人信息权利,为何要由监管机构处以巨额罚款?这种罚款的功能是什么?是用来对个人受侵害的民事权利提供救济吗?如果是对个人的民事信息权利予以救济,逻辑上这些罚款就应该归于个人,而非上缴国库。事实上,在各国监管实践中,个人信息处理者的义务以及个人在信息处理中的权利,都是被当作信息处理机构的“合规义务”;违背合规要求,构成对公法上秩序的侵害,而这正是个人信息保护的立法中设定国家监管和行政执法的逻辑。在这一逻辑中,个人信息权利束的具体权能,与个人信息处理者的义务一起,构成了国家所要求的个人信息处理的“法秩序”。国家通过对权利束具体权能的保护,直接目的是要求个人信息处理者“合规”,而非对私权损害的救济。

  

  

   (二)国家保护义务与权利束的性质界定

  

  

   1.国家保护义务作为个人信息权利束的宪法基础

   面对民事权利解释框架在逻辑和经验上存在的问题,有必要对个人信息权利束的法理基础及其性质进行再界定。应当指出,个人信息保护并不等于个人自我保护,因此也并非必然需要赋予个人针对其信息的支配权。个人信息保护是大数据时代所呼唤的一种能够适应个人保护和数据利用双重目标的“法秩序”格局;构造并且维系这个法秩序格局的主体只能是国家,而非个人。在国家主导的规制框架与治理网络中,国家运用多种保护机制和手段进行的协同保护,相比于通过民事权利和个人本位的“权利保护”模式而言,更加全面、系统及有效。

  

   已经有学者从国家规制视角对个人信息保护制度构建展开了探讨。例如,有观点认为必须明确信息主体的个人信息控制权。只有确立了这种权利,才能要求信息控制者履行相应的法律义务并确立有效的执法监督机制。不过,这一观点虽然主张权利控制与激励机制并行的多元治理机制,但依然将个人对信息的控制权作为制度构建的起点,难以消解民事权利解释框架所存在的不足。又如,还有学者提出,应当从场景化与行为主义的视角理解权利束的内涵,以执法案例的汇编与完善勾勒个人信息保护的边界。这一观点从具体执法操作层面对权利束的行使提供了指引,但并未对权利束性质提供整全的理解。此外,也有民法学者开始意识到权利束并不是民事权利,而是基于国家规制所形成,但对规制背后的国家角色与具体规制方式仍缺乏理论诠释。归结而言,个人信息权利束法理基础不明晰、法律关系模糊的问题依然很突出。

  

   从国家规制视角探寻个人信息权利束的法理基础,不能将视野局限于规制层面,而需要从更高层次的宪法维度寻求答案。实际上,如果我们回溯权利束的理论渊源与宪法基础,可以发现,在个人行使权利制衡信息处理者的背后,是国家设定并维系了权利束的基本内涵、外延、操作规则及保护标准。在比较法上,不论是欧盟采取的在宪法层面明确规定“个人信息受保护权”——而非个人信息权的做法,还是美国公平信息实践中国家参与隐私规则建构与维护的行动,其实都将权利束理解为国家为了矫正信息处理者与个人之间的权力不对称结构、防止个人信息被滥用,而通过立法赋予个人一系列权利的制度性安排。这一制度安排与国家对先在的、普遍的民法人格权进行立法确认与事后救济不同,是国家基于规范个人信息处理行为的需要,积极、主动进行规则建构的结果。在我国法上,个人信息受保护权可依据《宪法》第38条纳入基本权利范围,以其主观权利和客观法面向所对应的国家消极保护与积极保护义务为主线,建构出一套基础稳固、内容完整、结构合理的个人信息保护法律体系。《个人信息保护法》第1条“根据宪法,制定本法”的表述,正体现出该法对于保障公民在宪法上的人格尊严和其他权益的重要目标,也表明了“个人信息受保护权—国家保护义务”框架对于个人信息保护法规范建构的基础性功能。在这个意义上,个人在信息处理活动中的权利规则以及信息处理者的义务规则,乃是国家响应个人信息受保护权这一宪法权利的要求,履行其积极保护义务的结果,而不是通过私法上的个人信息权逻辑演绎的结果。

  

  

   2.“保护法”理念下的权利结构

   在国家保护义务框架下,国家通过制度性保障积极建构信息处理的基本制度,在个人与个人信息处理者之间形成一系列信息处理权利义务规则,以确保个人能够实质性参与信息处理的过程,并对信息处理者形成制衡,从而达成个人尊严保障及相关法益保护之目标。这正是《个人信息保护法》采用“保护法”的概念指称与模式定位的核心逻辑之所在。

  

   如果我们用“国家控制”和“个人自主”作为坐标系的两个维度,可以按国家控制与个人自主的变量关系,将经济社会领域的法律规范大致分为“管理法” “促进法”“权利法”“保护法”四个类型。这四种类型的立法在内容设置与功能定位上存在较大区别:第一,“管理法”以禁止性、限制性规定为主要内容,国家主要充当强制者、惩戒者的角色,通过国家强制力维护特定领域的社会管理秩序,代表性立法如《疫苗管理法》《治安管理处罚法》等。第二,“促进法”以倡导性规定、激励性规定为主要内容,国家扮演的是经济产业或社会事务发展的引导者、推动者的角色,代表性立法如《电影产业促进法》《就业促进法》等。第三,“权利法”以私权的赋予或确认为主要内容,国家依据尊重私主体意思自治、维护私法交易秩序的主线展开制度建构,以各类民商事立法为代表。第四,“保护法”这种法律规范类型,针对的则是市场和社会中形式上平等主体之间的不对称权力结构,如个人与数据处理平台之间、个人与大型企业之间。此时,国家承担的是弱势一方的支援者和法秩序监督维护者的角色,通过特定的规制模式,来约束某些具备权力特征的强势主体的行为,平衡主体间的权力落差,从而保护弱势个体免遭压迫、伤害与控制,代表性立法如《消费者权益保护法》《未成年人保护法》等。由此,《个人信息保护法》所属的“保护法”的定位,决定了其在立法内容与逻辑上的特点:国家需要落实积极保护义务,在“个人—信息处理者”之间形成良性的制衡关系,通过一系列规制策略保障个人在数字化时代免受信息处理者的支配,实现人的全面发展。

  

   进一步说,“保护法”的功能定位,对应着个人信息权利束独特的权利结构:在“个人—信息处理者”这一关系中,既有国家直接设定处理者义务进行的直接规制,亦存在国家通过对个人赋权从而制约数据处理行为的间接规制。相应地,只有在国家保护与个体理性相结合的视角中,才能还原权利束的本质属性。也正因此,“保护法”下的“权利—权力”结构关系与其他类型的立法并不相同:“促进法”中国家权力的强制色彩较淡,主要以政策倡导、公共资源投入与发展环境营造为主;个体权利与主体利益分配也并不处于主要位置,特定产业或事业的发展则被作为首要目标。“权利法”的重心在于立法确认个体权利、明确利益分配格局后自发形成内生秩序,因此强调个体与市场的自治,对国家权力的介入较为审慎乃至排斥。在“管理法”中,基于维护重要公益与社会基本秩序的需要,国家采取全方位介入与强力管制,个人的自主空间与权利主张则相对被忽视。“保护法”则基于调整权力不对称结构的需要,采取个体赋权与国家规制相辅相成的策略。反映到个人信息处理领域,国家一方面采取全方位的规制来规范信息处理活动,同时也对个人赋予一系列旨在制衡信息处理者权力、促进处理活动规范化的权利。“国家规制—个人权利”在“保护法”秩序下的结合,形成了个人信息保护的“处理规则”,这些处理规则确立了个人信息处理的基本标准和合规要求,构成了个人信息保护法规则表达的主体内容。

  

   以“个人信息受保护权—国家保护义务”框架及“保护法”理念对权利束进行理解,也与比较法上个人信息保护立法例对权利束规则表达的经验相符。在国际文件与各国个人信息保护立法中,权利束的立法表达存在以下三种基本模式:第一,专章规定模式。如我国、巴西、印度等国家参照GDPR模式,对权利束进行专章规定,进而充分保障自然人在数据处理过程中的深度参与以及积极行动,并由行政监管和执法作为后盾和支援。第二,嵌入规定模式。如日本《个人信息保护法》并未专章规定权利束,而是将其配置在“个人信息处理者的义务等”这一章,并融入信息处理者所需遵循的操作规则中。这也表明,个人信息权利束与信息处理者义务的设定,本质上都是国家规制的策略和方式。“赋权”的本质并不是让个人控制信息,而是建构合理的处理规则并规范数据处理行为。第三,原则规定模式。例如,1980年经合组织(OECD)发布的《关于隐私保护和个人数据跨境流通指南》,将权利束定位在“个体参与原则”之下,反映了国家对个体参与信息处理过程的担保,而非赋予个人对其信息的实体性支配权。归纳可见,虽然在不同的个人信息保护法文本中,权利束可能以不同结构进行规则表达,但都体现为一套制衡性的处理规则及“个人—信息处理者”间权利义务关系的配置,不同立法模式并不影响对其权利性质的界定。

  

  

   二、作为工具性权利的个人信息权利束

  

   在个人信息国家保护框架下,可进一步分析个人信息权利束的功能。这需要从目的—工具逻辑进行展开,具体而言需要回答两个基本问题:个人信息权利束服务于何种目的?通过何种工具机制来实现其目的?

  

  

   (一)个人信息权利束的工具性

  

《个人信息保护法》第1条将“保护个人信息权益”置于首要立法目的;第2条又规定:“自然人的个人信息受法律保护,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/130616.html
文章来源:《中国社会科学》2021年第11期
收藏