返回上一页 文章阅读 登录

张翔:个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思

更新时间:2022-02-13 10:17:03
作者: 张翔  

   摘要:  《个人信息保护法》最终纳入“根据宪法”条款,表征着个人信息保护法律体系在底层逻辑上的更动。民法学上权利与利益的区分保护原理,难以适用于整个合宪性法秩序。应将个人信息权确立为宪法位阶的基本权利,并以基本权利作为针对国家的主观防御权和辐射一切法领域的客观价值秩序的原理,协调个人信息保护的私法机制和公法机制。通过对人权条款笼罩下的通信权和人格尊严条款的解释,可以在学理上证立“基本权利束”性质的个人信息权。但其具体保护则应分别归入不同基本权利条款,作出区分化、差异化的多层次构造。个人信息保护的支配权思维有其局限,告知同意模式的式微是重要表现。应将个人信息权的规范目标调整为人格的自由发展,指向免于他人的人格干预。从支配权到人格发展权的思维转换,有助于规制对已收集信息的不当利用、破除“信息茧房”、缓和个人信息保护与利用之间的紧张,以及在“个人—平台—国家”的三方关系中有效保护个人的自决,同时为数据产业保留发展空间。

   关键词:  个人信息保护 基本权利的双重性质 支配权 人格发展 国家保护义务

   《个人信息保护法》的立法材料表明,立法者在个人信息保护的权利基础上存在困惑与犹疑。在相关立法过程中一直存在个人信息是权利还是利益、个人信息保护应采支配权模式还是行为导向模式等争论;《个人信息保护法》在三审稿中纳入“根据宪法”条款,似乎表征着个人信息保护在底层逻辑上的更动,但相关立法材料并未提供充分的说明。立法并不能解决一切问题。法律治理目标的实现,需要法学学术的支撑。新法已立,继续阐释新法的宪法基础,使新法妥帖融贯于合宪性法秩序,是宪法学的基本学术任务。本文尝试对《个人信息保护法》做合宪性解释,反思既有的争论,证成宪法(学)层面的个人信息权,阐释其规范目标,并据此对《个人信息保护法》的若干规范作出分析与评价。

  

   一、“根据宪法”之惑

  

   《个人信息保护法》直到草案三次审议稿才写入“根据宪法,制定本法”,其中意味值得深思。考诸立法史或许可以发现,写或不写“根据宪法”往往只具有形式性、标志性或者宣告性意义,但是观察近年来全国人大及其常委会的立法实践,会发现“根据宪法”条款的实质性、规范性意涵在明显增强。“根据宪法”条款的作用从形式性走向实质性的重要标志,是2018年宪法修改将全国人大的“法律委员会”更名为“宪法和法律委员会”。其在正式设立后统一审议法律草案的功能,与推动宪法实施、开展宪法解释、推进合宪性审查的功能迅速结合,这集中体现在法律草案审议中更为普遍和显明的合宪性审查(或者说合宪性控制)。宪法和法律委员会首次审议的法律案是《监察法》草案,在审议报告中对《监察法》立法的宪法依据作了说明。之后,在对《人民法院组织法(修订草案)》和《人民检察院组织法(修订草案)》的审议中,宪法和法律委员会专门就全国人大常委会修改全国人大制定的基本法律的权力行使的合宪性作了说明。在抽象的宪法依据宣告和立法权限说明之外,宪法和法律委员会对于法律草案的审议也愈加关注立法的具体和实质的宪法依据。例如,2021年对于《人口与计划生育法》的修正,涉及人口政策从“控制人口数量”向“调控人口数量”的巨大转变。为回应相关争议,宪法和法律委员会在审议报告中围绕《宪法》第25条的规定作了大段解释,论证了此次修法的合宪性。对法律草案合宪性这样大篇幅的、结合具体宪法条款展开的较为充分的说理,在以往的立法活动中是少见的。其为法律草案确立宪法实质性依据的意图至为明显,体现着《中共中央关于全面推进依法治国若干重大问题的决定》中“使每一项立法都符合宪法精神”的指导思想。

  

   在普遍强化对法律草案的合宪性审查(控制)的背景下,以及不在形式上写明“根据宪法”或将伴随实质性违宪争议的历史经验下,《个人信息保护法》却仍迟至三审才纳入“根据宪法”条款,正说明立法机关在实质性宪法依据上的困惑与犹疑。这体现在宪法和法律委员会在《个人信息保护法》草案审议报告中的表述:“有的常委委员和社会公众、专家提出,我国宪法规定,国家尊重和保障人权;公民的人格尊严不受侵犯;公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义,建议在草案二次审议稿第一条中增加规定‘根据宪法’制定本法。宪法和法律委员会经研究,赞同上述意见,建议予以采纳。”[i]这段表述首先当然表明,立法机关愈加重视立法的具体宪法依据问题,而不是轻率地写入形式性的“根据宪法”而实际上罔顾法律草案的合宪性。其同时也表明,立法机关并非只从民事权利的角度来理解个人信息保护,而是从基本权利高度来定位;但对于个人信息保护的实质性宪法根据,特别是基本权利基础,又没有明确而聚焦的判断。审议报告将个人信息保护关联到三个基本权利条款,分别是《宪法》第33条第3款“国家尊重和保障人权”、第38条第1句“中华人民共和国公民的人格尊严不受侵犯”以及第40条第1句“中华人民共和国公民的通信自由和通信秘密受法律保护”。于此仍需追问:个人信息保护究竟落入哪个条款的保护范围;各条款表述的不同所蕴含的保护强度差异应如何在个人信息保护的具体规则上落实;如果以对整个法体系都具有辐射效力的基本权利作为个人信息保护的基础,应如何对个人信息私法保护和公法保护机制进行协调。所有这些追问,会凝结为个人信息保护立法中的终极性宪法问题:是否能成立基本权利位阶的个人信息权?以及,如果成立个人信息权,国家对其承担怎样的宪法义务,其与宪法同样保护的其他主体的权利又是何种关系?这些问题,并未随着《个人信息保护法》的颁布实施而变得明晰,需要法教义学上的继续诠释。

  

   二、个人信息权作为基本权利

  

   必须承认,对个人信息保护的私法理解,特别是从《民法总则》到《民法典》的个人信息保护条文的设置,对我国个人信息保护法体系起到了奠基性的作用。但在《个人信息保护法》出台后,相关的法教义学建构应该具备更为开放的视野。周汉华认为,最终纳入“根据宪法”条款,意味着《个人信息保护法》是个人信息保护领域的基本法,而不是民法的特别法。[ii]王锡锌也认为,应该放弃个人信息保护的民事权利基础论,而以作为宪法基本权利的“个人信息受保护权”作为个人信息保护法律体系的基础。[iii]笔者赞同周、王二位的立场,但希望从个人信息作为“权利”抑或“利益”的民法争议开始,继续讨论在宪法上证立个人信息权的教义学方案。

  

   (一)超越私法思维下的权利与利益二分

  

   在既有讨论中,对于个人信息保护的权利基础应如何诠释,民法学界长期存在争议。核心争点在于:个人信息到底是权利还是利益。[iv]主张“权利保护”、认为可以成立民法上“个人信息权”的代表性观点认为,基于个人身份信息的独立性、保护的必要性等,对其“一是不能用法益保护方式,因为其显然不如用权利保护为佳;二是不宜以隐私权保护方式予以保护,因为隐私权保护个人身份信息确有不完全、不完善的问题。”[v]主张“法益保护”而非“权利保护”的观点则认为,“自然人对个人信息并不享有绝对权和支配权,而只享有应受法律保护的利益”,[vi]以防止对个人信息保护过度、从而遏制数据流通与技术创新。从实定法上观察,《民法典》1034条与《个人信息保护法》第2条分别使用了“个人信息受法律保护”和“个人信息权益”的概念,《个人信息保护法》第四章又使用了“个人在个人信息处理活动中的权利”的表述。从民法角度看,对个人信息的保护既可能是作为权利,也可能是作为利益,从法律解释上并无法得出唯一解。[vii]因此,在《个人信息保护法》出台后,民法学者仍在此种区分基础上对个人信息保护进行规范诠释。[viii]

  

   然而考诸民法的规范与学说史会发现,权利与利益二分的法益区分保护思想自始就存在争议,并非当然之理,更非不可质疑之绝对教义。德国民法典采纳了区分保护原理,而更早的法国民法典并未强调法益的区分保护。区分保护论认为:“权利的本质不是利益,权利只是保护利益的工具之一……立法者可以通过单纯设定义务的方式保护他人的利益。”“新类型的利益未必确定到能够通过权利工具予以保护的程度,或者是还没有必要上升到运用权利工具予以保护的程度。”[ix]德国民法典制定时,就存在生命、身体、健康、自由能否被规定为权利的争议,而立法的处理是将其作为利益,却给予其与所有权同等程度的侵权法保护。然而在司法实务中,区分权利和利益并给予不同强度保护的方案不断受到挑战。对于被规定为利益而又被认为保护不足的,实务和理论上不断创造出新的“润滑机制”或“补丁”加以修正。[x]在出现偏离以所有权为典范的民事权利形象的新兴权利(例如人格权),以及出现更多需要高强度保护的利益的现代社会条件下,权利和利益二分的基础已经发生了松动,个人信息保护只是对这种区分的一次较新的冲击而已。

  

   更值得注意的是,现代社会情景中的个人信息处理,已经超出了传统的平等主体间的私人间关系。基于个人与信息处理者之间关系的高度不对称性、处理频率的大规模性、处理风险的外溢性,个人信息保护问题具备天然的“公共化”形态,[xi]个人信息保护已然成为一个多部门法综合处理、共同着力的领域,民法思维未必能剀切适用。从宪法角度看,不同类型的个人信息承载、关联着不同类型的法益,对个人信息权益的保护需要展开场景化与社群主义的理解,[xii]对不同场景下不同内容的个人信息保护进行利益权衡。民法学上把个人信息作为民法上的“权利”还是“利益”的定位,并不先在地决定其在整个宪法秩序下受保护强度的高低。在《个人信息保护法》明确探寻宪法基本权利依据的规范意图下,对“个人信息权益”也应在宪法原理下予以新的诠释。

  

   (二)指向国家的个人信息权及其公私法兼容性

  

   在更易受到关注的私人机构与平台之外,个人信息首先需要排除的其实是来自国家的侵害,表现为其作为指向国家的基本权利的主观防御权面向。[xiii]在立法层面,联邦德国在1977年出台《联邦德国数据保护法》(Bundesdatenschutzgesetz),很大程度上是出于公众对行政机关建立大规模数据库的警惕。在合宪性审查层面,在1983年的人口普查案中,德国联邦宪法法院便立足于《基本法》(Grundgesetz)第1条人格尊严条款和第2条第1款的人格自由发展条款,推导出个人享有“信息自决权”。[xiv]我们知道,《基本法》第1条人格尊严和第2条第1款的人格自由发展同样是德国民法上一般人格权的规范基础,[xv]但从中导出的“信息自决权”首先当然是宪法上的基本权利,直接针对的是来自国家的干预。《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)第8条和《欧盟运行条约》(Treaty on the Functioning of the European Union)第16条也规定了“个人数据保护权”。在国家大规模处理个人信息的频率日渐增长、技术愈发成熟的背景下,在宪法层面确立个人信息权的首要意义便是对国家作出有效的防御和约束。无论个人信息在民事权益体系中如何定位,都不排斥将个人信息保护上升为宪法基本权利。

  

而基本权利的宪法原理,并不预先将个人值得保护的行为、利益或者状态像民法理论那样区分为权利与非权利的其他法益。(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/131470.html
收藏