返回上一页 文章阅读 登录

王锡锌:个人信息国家保护义务及展开

更新时间:2021-03-04 13:39:25
作者: 王锡锌  

  

   内容提要:个人信息保护法体系建构的基础是国家在宪法上所负有的保护义务,该义务对应着“个人信息受保护权”,而不是“个人信息权”。将个人信息作为私权客体的权利保护模式,在规范逻辑、制度功能等方面存在局限;应以“个人信息受保护权—国家保护义务”框架建构个人信息的权力保护模式。在数字时代,个人信息国家保护义务意味着国家不仅应履行尊重私人生活、避免干预个人安宁的消极义务,还应通过积极保护,支援个人对抗个人信息处理中尊严减损的风险。基于控制“数据权力”这一侵害风险源的需要,国家一方面应避免过度侵入个人信息领域;另一方面应通过制度性保障、组织与程序保障以及侵害防止义务的体系化,营造个人信息保护的制度生态。

   关键词:个人信息受保护权;国家保护义务;工具性权利;个人信息保护

  

   一、问题提出及界定

   个人信息保护法体系建构是大数据时代重要命题。在我国,伴随着已颁布实施的《民法典》《网络安全法》以及即将出台的《数据安全法》《个人信息保护法》的立法进程,围绕个人信息处理中相关主体的权利义务配置,学界从不同角度进行了探讨。观察现有讨论可以发现,对个人信息保护的必要性问题已有共识;讨论的争点聚焦在什么是个人信息保护的权利基础,以及通过何种法律路径进行保护。具体而言,争论点集中于两个方面:一是在权利基础上,私法上的“个人信息权利(益)”是否成立;二是在保护路径上,个人信息应通过私法保护还是公法保护抑或综合保护。目前来看,有论者侧重于从民法保护路径展开探讨,有论者则侧重于公法与消费者法保护路径的探讨,也有论者敏锐地提出综合保护路径的主张。

   上述两个问题在逻辑上是紧密联系的:个人信息保护的权利基础,是讨论该种权利(利益)保护路径或方式的逻辑前提,是建构个人信息保护法律制度体系的基石。个人信息保护的权利基础为何?为何保护?谁来保护?针对何种威胁而提供保护?只有在厘清这些问题的基础上,方可更好地回答如何保护的问题。

   本文认为,个人信息保护的宪法基础是国家所负有的保护义务。国家负有对公民人格尊严和隐私、安宁进行保护的义务;随着信息时代的来临,该种义务扩展到对个人信息相关权益的保护。个人信息国家保护义务对应着“个人信息受保护权”这一基本权利,但此种权利并非民法意义上的权利,而是国家履行其保护义务的价值基础与宪法依据,其功能主要在于对抗和缓解“数据权力”对个人信息造成的侵害风险。这种权利并不等于公民对其个人信息拥有排他性的、支配性的权利。从功能上讲,相比于“个人信息权”的保护路径,“个人信息受保护权”通过强调国家保护义务及其落实,更有利于个人信息保护的目标实现,因为面对数据平台和国家机关所拥有的强大“数据权力”(data power),通过私法路径和方式,很难为个人信息提供充分、全面和有效的保护。

  

   二、个人信息国家保护义务的概念提炼

   (一)个人信息保护的两种基本模式

   在既有研究中,不少论述将“个人信息权益”作为个人信息保护法体系的概念起点,而个人信息权益的法律定性,本质上又是应采用何种模式进行保护的逻辑起点。如何进行个人信息保护?对此问题的回答可类型化为“权利保护”与“权力保护”两种基本模式。“权利保护”模式将个人信息视作私权客体,试图构建一种对抗不特定主体的个人信息权;“权力保护”模式则强调在个人信息处理活动中,国家负有保护个人合法权益的义务;相应地,个人信息保护制度倚重的并非赋予个人针对其信息的私人权利,而是国家设定的监管与合规框架及配套执法机制。

   主张“权利保护”模式的观点在我国民法典编纂过程中达到一个高峰。诸多论者尝试结合域外经验,证成个人针对个人信息的民事权利。其中一种被许多学者接受的观点认为,欧盟与欧洲国家的立法与司法实践将个人信息保护建立在个人享有的民事权利基础上,即“个人信息权”或“个人信息自决权”这一排他性的、带有人格属性的私权,进而主张我国应以民法权利的框架展开个人信息保护的规则设计。在此基础上,持这一观点的学者又进一步针对原《民法总则》第111条以及《民法典》第1034条规定的究竟是民事主体针对个人信息享有的权利还是利益、此种权益的属性究竟是人格权、财产权、前两者的复合还是新型民事权利展开了探讨,并将信息处理者的义务理解为不得侵犯私法主体享有的个人信息民事权益的体现。由此,上述研究形成了“个人信息民事权—个人信息处理者义务”这一民事权利义务结构的分析框架。

   然而,从规范逻辑、制度功能、域外经验等维度观察,将个人信息私权化的路径缺乏相应的支撑。首先,从权利本身的规范逻辑上看,基于个人信息交互性、分享性、公共性的特点,其难以成为民法所有权逻辑下一个排他性的个人控制的客体。一旦认为个人可以“基于自己意思自主地决定个人信息能否被他人收集、储存并利用”,将妨碍基本的社会交往,也无法释放信息的公共价值。同时,个人信息具有动态性、场景性的特征。随着大数据技术的发展,个人信息可识别性和相关性标准的边界不断扩张。静态的民事权利客体的理念无法有效回应这一趋势,强行将个人信息私权化也会造成民法的体系混乱。

   其次,从制度功能上看,依托于意思自治、主体平等基础的私权保护路径无法应对强大的私人机构以及国家机构处理个人信息时的非对称权力结构。认为“无论国家机关处理自然人的个人信息,还是非国家机关处理自然人的个人信息,也无论处理者处理自然人个人信息的目的是行政管理、公共服务还是营利目的,处理者与自然人都属于平等的民事主体”的观点,忽视了个人与信息处理者之间明显的不平衡关系。正如张新宝指出,面对强大的个人信息处理者,抽象的民事权利规定容易被虚化,沦为“纸面上的权利”;个人信息保护的有效性必然有赖于国家规制,实践中站在维权第一线的其实往往是监管者而非个人。

   最后,从比较法的经验观察,认为欧洲确立了民法上的个人信息权的观点,其实属于对域外经验的误读。实际上,欧盟个人数据保护的权利来源是宪法性权利,而非民事权利。欧盟数据保护专员公署(European Data Protection Supervisor)亦明确指出:欧盟数据保护规则并非赋予个人针对其个人信息排他性的民法权利,那种认为个人针对其个人信息享有“所有权”或“决定权”的观念是一种误读。而在美国法上,虽然个人信息保护在学理上被纳入“信息隐私保护”的范围,但主要的保护路径依然是国家在教育、医疗等特定领域直接立法保护,以及允许企业制定隐私政策但经由监管机构在个案中调查审核的模式。这些规则主要针对商业或专业处理机构,并不适用于一般的私主体。可见,美国亦不存在通过立法将个人信息私权化的现象。实际上,我国立法者对个人信息保护私权化的态度也是极其审慎的。不论是《民法典》还是《个人信息保护法(草案)》,均未规定个人针对个人信息享有民事权利,而是强调“个人信息受法律保护”。

   在“权利保护”模式难以证成的情况下,已有学者就“权力保护”模式下的制度构建展开了探讨。例如,丁晓东提出,应当从行为主义与场景主义的角度对个人信息处理展开规制。又如,周汉华提出,应当强化公法上的个人信息控制权,建立权利控制与激励机制并行的多元治理机制。但这些研究更多集中在立法和执法的操作层面,忽视了在作为法秩序基础的宪法层面上对国家的角色与义务进行理论建构。个人信息保护权属基础不明、法律关系模糊的问题依然存在。如何对“个人信息权益”这一支点进行概念演绎以编排《个人信息保护法(草案)》中“个人在个人信息处理活动中的权利”“个人信息处理者的义务”“履行个人信息保护职责的部门”等关键概念间的逻辑关系,是个人信息保护法体系建构必须回应的问题。此时,对宪法上“个人信息国家保护义务”这一概念展开探讨显得尤为必要。

   (二)个人信息国家保护义务溯源

   从比较法视角看,在宪法层面确立个人信息国家保护义务的做法来源于欧盟。1953年生效的《欧洲人权公约》第8条为欧洲国家的个人信息保护提供了初步规范依据。之后,欧洲委员会通过了第(73)22号和第(74)29号决议,提出了保护私营部门和公共部门自动化数据库中的个人数据的原则。但这两项决议只具有倡导性,并未直接对各国设定法律上的国家保护义务。直到1981年,《有关个人数据自动化处理中的个体保护公约》即《第108号公约》成为全球范围内有关个人信息保护的第一份具有法律约束力的国际性文件。《第108号公约》建立了有关个人数据保护的基本原则以及各缔约国之间的基本义务,并将对个人基本自由与权利的保护作为缔约国履行条约规定的国家义务的出发点。随后,葡萄牙、奥地利、西班牙等欧盟成员国纷纷在宪法中确立了个人信息受保护的基本权利。

   步入21世纪后,在宪法层面确立个人信息受保护的基本权利与国家相应的保护义务,渐成欧盟成员国的价值共识。2000年制定、2009年生效的《欧盟基本权利宪章》(以下简称《宪章》)第8条第1款规定:“任何人都享有对关乎自身的个人信息的受保护权利”。《欧盟运作条约》第16条第1款亦采用了“个人信息受保护权”的表述。从规范逻辑上看,由于《宪章》和《欧盟运作条约》对所有欧盟国家都具有法律拘束力,个人信息受保护权在欧盟层面作为一项基本权利,调整的是个人与国家之间的法权关系。在法权结构上,这彰显了宪法层面对国家提出的规范要求,而非旨在建构个人针对其信息的“个人信息权”(the right to personal data)。

   由此,个人信息受保护权成为欧盟成员国履行个人信息国家保护义务的宪法依据与价值基础,个人信息国家保护义务则成为个人信息受保护权的功能体现与其所导向的规范要求。国家有义务最大化地实现宪法的规范意图——即促进个人信息受保护权的实现。“个人信息受保护权—国家保护义务”的法权结构能够有效促进国家履行其在个人信息处理中对个人的保护义务,具体表现为以下三个方面:

   第一,指引作用。个人信息国家保护义务凸显和强化了国家的任务、目的和理念。相关国家权力的配置和运行,都应当有利于个人信息受保护权这一宪法的价值决定得到保障和实现。即使没有赋予个人针对个人信息的支配权,国家也可以通过立法将个人信息保护规则具体化,对个人进行周延的保护。例如,1995年欧盟议会与欧盟理事会通过的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(第95/46/EC号欧盟指令,下文简称《指令》)直接以指令而非条约的形式要求各国完善数据保护立法,以落实数据处理领域的国家保护义务。2018年生效的GDPR则更进一步对欧盟各成员国具有直接适用效力,无需成员国再自行转化为国内法。GDPR同时建立了一个强有力的统一解释机制,以确保各国适用GDPR时均能最大化地实现个人信息受保护权,因此更为直接地贯彻了个人信息国家保护义务的要求。

第二,整合作用。个人信息国家保护义务可以整合和控制国家公权力的各种作用方式,使个体基本权利在相互协调之下达到整体效用的最大化,维护社会共同体的整体法益。相较于将个人信息作为私权客体的“纸面上的权利”而言,国家可以对个人采取消费者保护、行政法保护、刑法保护等多种方式,综合运用不同工具开展个人信息保护。同时,由于个人信息具有交互性、分享性的特点,国家在履行个人信息保护义务时亦需要在不同的利益、权利和基本自由之间保持谨慎的平衡。正如《指令》立法目的所显示的,除了保护个人信息之外,也有促进数据市场统一与数据流通的目的,这体现了欧盟立法者尝试在个人信息处理中兼顾个人保护与信息自由流通的努力。(点击此处阅读下一页)


爱思想关键词小程序
本文责编:admin
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/125403.html
收藏