返回上一页 文章阅读 登录

王锡锌:个人信息国家保护义务及展开

更新时间:2021-03-04 13:39:25
作者: 王锡锌  

   第三,评价作用。国家权力的参与虽然有服务于个体权益与公共福祉的一面,但同时也意味着国家对社会和市场的干预。因此需要从宪法层面确保国家权力在理性化、法治化的轨道上运行。一方面,需要明确宪法上的规范要求,避免国家权力消极不作为;另一方面,也需要防止国家以保护为名侵害公民的基本权利。这便要求相关国家权力的行使具有正当理由和合理界限,避免滑向国家控制过度及对社会的侵蚀。个人信息国家保护义务正是评价相关国家权力活动的宪法标尺,违反或未尽到国家保护义务的国家机关将承担相应的法律责任与政治责任。也即是说,国家权力应当接受合宪性审查机构的审查与监督。其中的审查重点则在于立法者是否通过立法妥善地尽到了实现个人信息受保护权的职责。例如,在2016年的Tele2SverigeAB案中,欧盟法院明确指出:《宪章》第8条所保障的是个人“获得国家保护个人信息的权利”,因此“剥夺由独立机构审查国家立法是否遵守欧盟法律所保障的个人信息保护水平的救济方式,将影响到个人信息权利的实质。”又如,在2015年的Schrems案中,欧盟法院认为,《宪章》第8条要求欧盟成员国必须确保个人数据在欧盟境内外都得到高水平的保护,因此需要对相关的数据处理立法规定进行严格的审查。可以说,欧盟权力机关和成员国权力机关都有实现《宪章》第8条的国家保护义务的职责。与其他主权国家仅由国内合宪性审查机构进行合宪性评价与纠偏的单层国家保护义务机制不同,这是欧盟特殊主权结构下的双层国家保护义务。

  

   三、个人信息国家保护义务的内涵

   “个人信息受保护权—国家保护义务”是一体两面的概念,本质上是“基本权利—国家义务”体系在个人信息保护领域的运用。个人享有的个人信息受保护权必然要求国家对个人在信息处理领域中的个人进行保护与支援。在此语境下,确立与澄清个人信息国家保护义务的内涵,便需要对个人信息受保护权的价值基础、主要类型与权利结构进行识别与辨析。

   (一)个人信息国家保护义务的两种类型

   传统“基本权利—国家义务”结构的理论根据是自由主义和个体主义。但从信息流通普遍化的非个体主义视角看,要全面理解个人信息国家保护义务的规范内涵,还必须考虑其客观功能和整体社会效益。因此,可以将个人信息国家保护义务分为消极义务与积极义务两种类型,并结合欧盟经验考察其成因与具体内容。

   1.国家的消极义务与个人信息受保护权的防御权功能

   基本权利最原始的机能是防御权,即公民对抗国家不当干预其自由和侵害其财产的权利。当国家试图侵害被基本权利所保障之法益时,公民可以直接按照基本权利规范来请求国家不得干预或侵害。该种要求停止干预或侵害的请求权机能,反射至国家一方,也就是国家身负不得侵犯的禁止作为义务。

   自《欧洲人权公约》公布实施以来,欧洲人权机构长期将个人信息处理问题纳入《公约》第8条对于私人生活的古典自由权保护框架中,强调个人信息受保护权的防御权面向。在1997年的Zv.Finland案、2000年的Rotaruv.Romania案中,欧洲人权法院均认为:“个人信息的处理需要受到保护,以确保个人享有私人生活受尊重的防御权利。”正如欧洲人权法院在其发布的《欧洲人权公约第8条适用指南》中所指出的,在这一阶段,国家主要负有消极保护义务,其角色主要是尊重私人生活的安宁,避免侵害与干预,以一种静态观念厘清国家权力与个人自由的边界、让个人安然独处即可。此时信息处理者即使在处理过程中对私人生活造成了侵害往往也是单独、分散、非持续性的;法院的审查亦着眼于单次的侵入。这主要体现的是立宪主义立场下人性尊严的“不可冒犯性主张”。

   依循这一理念,即使是个人信息受保护权被确立为一项独立的基本权利后,在消极义务的面向上,欧洲人权法院与欧盟法院也常常将个人信息受保护权与保护私人生活结合起来理解,强调国家机构应避免在个人信息处理的过程中侵害私人生活,并严格限定基于公共利益需要收集和使用个人信息的范围。亦即,国家一旦对个人信息进行处理就意味着对个人生活的干预,增加了监控的风险并引发公民的恐惧感。因此,国家机关处理个人信息的活动需要受到法律保留原则、法律明确性原则、比例原则等法治国原则的拘束。此时个人信息受保护权的主观面向往往会与宪法上的隐私权、通信秘密产生竞合。个人信息受保护权主观防御权功能的运用更多是体现出了数据处理活动相较于其他国家干预方式的特殊性,但在具体案件中一般需要结合其他基本权利进行理解和适用。

   2.国家的积极义务与个人信息受保护权的客观法功能

   虽然个人信息国家保护义务曾长期以消极义务为主要呈现姿态,但随着时间的推移,尤其是进入21世纪后,欧洲人权法院也开始了一定程度的转向,开始强调“在欧洲人权公约第8条的框架下,国家负有确保尊重私人生活的目的得以实现的积极义务”。其背后反映的变化,乃是现代社会中随着信息搜集、储存、整合、传播及处理方式的迭代革新,个人基本上难以从信息网络,尤其是电子化场景中抽身退出。传统“私人生活保护”所遵循的“权利具有绝对性质,信息获取便推定违法”的古典自由权逻辑在许多场景下已不再适用。相较而言,个人信息受保护权在大数据时代的基本假设是,个人信息本身便具有一定的交互性与公共性,个人信息处理在现代社会中是必要的。尽管应考虑到某些条件和保障措施,但对个人信息的基本推定是“可以被处理”。而真正需要国家介入的关键在于:个人此时面对的不是普通的私人主体,而是强大的、组织化的信息处理机构;加之信息时代下个人信息处理往往是动态化、复杂化、风险不确定的过程,因此个人难以在参与及做出选择的过程中保持清醒、警惕、知情及自治。为使个人免于受到信息处理机构的支配,就需要国家积极保护相关个人。由此,个人信息受保护权变成了一项积极的权利,具备了客观价值秩序(客观法)的功能,即国家必须创造和维护有利于实现个人信息保护的制度环境。在大数据时代,个体只有通过国家的积极保护才能充分实现其个人信息受保护的权利。该种权利的实现要求国家积极保护,提供有效的制度供给,帮助个人对抗大规模、持续化数据处理中人格尊严减损的风险。这也是个人信息受保护权在欧盟层面作为一项独立基本权利的真正价值所在。欧洲数据保护专员公署于2015年出台的《迈向新的数字伦理:数据、尊严和技术》报告在评析这一权利逻辑变化时亦明确指出:“个人信息保护与个人的个性发展有着内在的联系。更好地尊重和保障人的尊严,可以制衡现在个人所面临的无处不在的监视和权力不对称,这是新时期欧盟数据道德的核心。”该报告进一步确认“个人信息受保护权的主要目的是作为防御大规模个人信息处理对尊严潜在侵蚀的补充力量”。从这个意义上看,个人信息保护规则所保护的并非个人信息本身,也非个人针对信息享有的民法人格权,而是个人信息处理活动中可能受到威胁的相关个人的合法权益,亦即《宪章》第1条规定的“人性尊严不可侵犯”所具体指向的个人自治以及随之得到保障的不歧视(平等)、身份识别(信息的正确与完整性)、安全与财产利益以及社会信任等附加的实体价值与其他基本权利。个人信息权益就是基于个人信息受保护权实现而获得保障的各种相关法益。因此,在大数据时代,个人信息国家保护义务的价值基础便在于:在政府或商业组织积累和使用大量数据的场景下,面对个人与信息处理者之间存在的持续性的不平等关系,需要国家转变消极的“守夜人”角色,通过强有力的规制手段保护处于弱势地位的个人,避免个人由于被工具化而丧失主体性地位。个人信息受保护权联结的是对以尊严为核心的基本权利与实质价值的保护。

   同时需要注意的是,在欧盟法体系内,基于以尊严为核心的基本权利规范还有其他重要的侧面(如言论自由与公众知情权),国家保护义务的履行必须符合《宪章》的整体价值秩序。国家在保护个人在信息处理过程中免于受支配的同时,亦需协调言论自由、公众知情权等其他基本权利和数据自由流通、技术创新、建立统一的数据市场等重要目的。

   3.个人信息受保护权在我国宪法上的安顿

   个人信息国家保护义务在我国宪法上的首要根据便是《宪法》第33条第3款规定的“国家尊重和保障人权”。对应前述两种类型的国家义务,“尊重”侧重国家对私人生活的不得侵犯,是个人信息受保护权主观防御功能与国家消极义务的体现;“保障”则更侧重个人信息受保护权的客观方面功能,其中就包含了要求国家积极通过立法和其他公权力行为,以保护基本权利主体在个人信息处理中免于受支配或陷入信息处理者制造的危险或风险的含义。这两种类型的义务又可以被统摄于《宪法》第38条对公民人格尊严的保护之中。

   实际上,我国宪法基本权利规范体系中的诸多内容都可能在个人信息处理过程中遭受信息处理者的侵害。例如,大规模信息泄露导致的财产损失、名誉损害的风险;算法自动化决策下,公民劳动权、受教育权所面对的歧视风险;网络平台运营者和服务提供者对通信自由与秘密的监测与传播风险等等。这些个人信息处理活动中所蕴含的、超出传统信息流时代的系统性风险,均需要立法者予以充分评估与管控。

   我们需要注意,基本权利的保障与实现有赖于具体的社会政治条件,在大数据、云计算、人工智能技术不断迭代更新的时代,社会本身已经变成诸多信息技术的真实演练室,公民个人也直接置身于信息技术宰制的风险之中。因此,在我们这个观念上强调国家对人民积极扶助、救济与保障的社会主义国家,以宪法为基础,建立个人信息受保护的法律框架与国家保护义务体系,是保障公民免于被支配,促进人格发展的应有之义。

   由此而言,即使我国《宪法》并未对个人信息保护作出明确的规则表达,但基于基本权利条款的上述规范要求,从《宪法》第33条第3款以及38条延伸出个人信息受保护权的内涵并确立宪法上的个人信息国家保护义务,进而对国家权力进行妥当的指引与评价,对于保障公民人格尊严与相关基本权利具有现实的必要性。

   (二)个人信息国家保护义务的规范结构

   基于个人信息受保护权实现的宪法规范要求,个人信息国家保护义务的规范逻辑结构由“侵害来源”和“保护方式”两部分构成,也就是针对何种侵害源的保护、如何进行保护的问题。以下就国家应当针对哪些侵害来源承担保护义务、通过哪些途径展开保护义务进行扼要分析,以充实个人信息国家保护义务的法理框架。

   1.个人信息国家保护所针对的侵害风险源

在现代社会,信息处理活动很大程度上决定了人们的选择空间与可能获得的结果。亦即,数据权力(data power)已经成为一种广泛而普遍的社会事实。当下诸多具备大数据挖掘能力的专业或商业机构具有以下特征:“掌握庞大的数据量、超乎常人想象的收集速度、多元的数据种类、潜在的详尽范围以及强人工智能技术下的数据关联与整合能力。”可以说,在金融、教育、医疗、社会保障等各个领域都已形成“数据依赖”的时代,个人信息的利用与保护不仅关涉个体,还与整个社会的权力结构及运行机制相关联。大数据一方面增进了个人生活便利和社会福祉,另一方面也导致了社会权力结构的变化。以国家机关、其他履行公共职能的组织、国内外大型平台等“准官僚化”机构为代表的数据权力主体大规模地集聚并利用个人信息来塑造与调整个人的行为,成为最主要的侵害风险源。首先,这些机构的信息处理行为往往伴随着监控、歧视、支配个人的风险,信息处理者可以通过挖掘信息形成特定的“人格画像”,从而对私人的决策进行隐形的控制与干预。其次,个人信息的聚沙成塔导向了“数据垄断”下信息处理者与个体之间高度不对称的权力结构,这使得信息处理机构对个体造成的压迫感愈发强烈,增加了个人的无力感,甚至引发“寒蝉效应”。(点击此处阅读下一页)


爱思想关键词小程序
本文责编:admin
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/125403.html
收藏