返回上一页 文章阅读 登录

张勇:敏感个人信息的公私法一体化保护

更新时间:2022-06-24 09:18:39
作者: 张勇  

   (三)敏感个人信息法益的多元化

  

   民法典对个人信息的界定采取了“个人信息权益”的表述方式,表明“个人信息权”仍然只是一种新型人格权,其内容涵盖人格权利和利益,而非法定权利。〔19 〕正如有学者所说,权利和法益具有同源性,都是法规范所确证的利益。〔20 〕有学者将个人信息权益分为“本权权益”与保护“本权权益”的权利:前者主要包括人格尊严、人身财产安全以及通信自由和通信秘密等利益,但不包括财产利益。后者主要包括同意(或拒绝)的权利以及知情、查阅、复制、转移、更正、补充、删除、请求解释说明等权利。〔21 〕必须指出的是,个人信息法益主体并非仅指“个人”,“个人信息仅在概念上关联到个人,并不意味着该种信息的权益也完全归属于个人” 〔22 〕,那种认为个人针对其个人信息享有所有权或决定权的观点其实是一种误读。

  

   个人信息作为权利客体或行为对象,其所蕴含的法益具有多元属性,具有权利、权益和利益三种形态,包括个人法益、公共法益和国家法益三个层次,即一是个人信息初始权利主体、个人信息处理主体的人格权益(隐私权、名誉权等)、财产权益(人格权衍生的财产权益),二是社会秩序和公共利益,三是国家安全利益,以及个人、公共或国家法益的复合体。“个人信息权利保护的法益既包括防御性的隐私权益,也包括人格尊严、财产权益、安全权益以及增强个人便利或个人信息能力的信息控制权”。具体来说,个人信息法益包括私法益与公法益两种类型,公法益其实是私法益的集合体,“个人只有作为公民共同体的部分才具有价值” 〔23 〕,在两者的关系上,公法益必须能够还原为私法益,包括刑法在内的公法才能予以保护。就敏感个人信息来说,从法益保护角度,判断某种个人信息的敏感程度及其是否应当纳入法律保护范围,应着重考量其所蕴含的人格权属性、与之关联的财产权属性。有学者指出,隐私权、个人信息权与个人数据权存在权利竞合,并呈现出人身属性逐次弱化、其他属性强化的态势。比较来说,敏感个人信息所蕴含的法益性质与一般个人信息并无不同,主要是公民个人的人格、财产权益和人身安全。两者的区别主要体现在风险程度上,即权益侵害程度和风险概率。〔24 〕有学者指出,民法典第1034条规定的个人信息权涉及身体的信息,如生物识别信息、健康信息、行踪信息等,与身体权有交叉和重叠。个人信息所蕴含的“身体信息权”属于公民个人的基本权利。〔25 〕作为一种权利客体或行为对象,个人信息只是映射某种法益的客观存在 〔26 〕,因此,敏感个人信息的分类只是判断信息处理行为是否侵犯法益的前提。以个人生物识别信息为例,其所涉及的社会利益关系不限于公民个体,已经不能仅仅用传统民法上的某种单一权利加以限定。个人生物识别信息天然地具备快捷、直接识别公民个人身份的效果,因而被广泛用于社会公共管理领域。政府部门基于维护公共安全的目的,在公共场所安装人脸识别系统,强制性地采集个人生物识别信息,并且发挥着跟踪公民个人行动轨迹的监控功能。这使得个人生物识别信息不仅具有自身的人格权益和财产价值,而且还具有极强的公共管理利益属性。〔27 〕随着生物信息资源的跨境转移和利用,一些国家通过多种途径收集个人生物信息,进行人类遗传信息资源的控制与争夺,输出国遗传信息资源流失的风险不断增大,个人生物识别信息也被赋予了公共秩序和国家安全的法益属性。

  

   三、公私法融合与敏感个人信息保护一体化

  

   基于敏感个人信息所蕴含法益的多元性,从法秩序统一性角度实行公私法一体化保护,是十分必要的。有学者指出:“个人信息保护法中设置了大量的私法规范,确立了知情同意的原则性架构、过错推定侵权责任及公益诉讼等私法性救济机制,体现了公私法融合的立法趋势。” 〔28 〕相关法律法规也针对敏感个人信息规定了强化保护规则和分类分级保护制度。以下从公私法保护一体化的角度予以探讨。

  

   (一)公私法融合与一体化保护理念

  

   在一国法律体系中,根据所调整法律关系的不同、保护法益的差别等标准,部门法可分为公法与私法。随着社会发展和法律关系日益复杂,公法与私法交错融合,出现了“公法私法化”和“私法公法化”两种趋势。〔29 〕有的学者主张,公法和私法之间应有明确的界限,“公法的归公法,私法的归私法”,两者各自独立,互不介入。〔30 〕也有学者认为,公法与私法的界分并非绝对的,而是相对的、多元的,不能将两者完全割裂开来, 〔31 〕私法规范渗入公法领域也不是无条件、无原则的,公法不能被私法规模化渗入。〔32 〕公私法的交叉融合仍然是私法体系内部的一种局部调整,并不影响两者仍具有各自独立的法域。〔33 〕我国过去的个人信息保护立法因缺少统一的单行法,采取公私法并行模式,各部门法之间不可避免地存在矛盾冲突,难以实现法律体系的整体功能。在法秩序的统一性观念下,在某种程度上打破公私法二元化划分的传统观念,让公私法之间走向交叉融合发展的趋势, 〔34 〕这既是法秩序统一性原理的内在要求,又是个人信息多元化法益保护的现实需要。另外,所谓“私法公法化”和“公法私法化”并非是相互替代,而是带有强制性的公法规范渗入私法领域,对私法自治进行适当限制。反过来,具有合同契约性质的私法规范融入公法领域,运用民事手段调整行政关系或发挥刑法的前置性规范作用。在私法或公法领域,仍属于个别现象,私法与公法的分立仍是基础和根本,各部门法都是法律体系的有机组成部分,公私法分立更有利于部门法的分工和协作,共同实现自治和管制的双重目标。因此,要防止将过多的带有公法性质的强制性法律条款植入私法体系,应确保私法体系既能运行自治有序,又能免遭过度强制。

  

   个人信息保护涉及信息的收集、储存、处理、使用、传递、标注、封存、删除、披露、泄露等一系列行为的法律规制,传统立法对于个人信息的保护主要侧重于个人的人身权和财产权,通过认定非法收集和利用个人信息行为对公民个体权益所造成的实际侵害,追究其民事侵权或行政违法责任,或者认定其是否构成犯罪及其所承担刑事责任大小。然而,由于个人信息具有天然的公共价值属性,个人信息的私法保护显得限制有余而保护不足。相对于个人信息的私法保护,个人信息保护的公法规范相对较少,主要涉及国家保护义务、国家机关处理个人信息的特别规定、个人信息跨境提供的规则及相关法律责任等条款。公共利益是公法秩序赖以建立和形成的核心价值基础, 〔35 〕为了应对大数据时代信息安全风险,出于管控国家网络信息安全、维护承载于个人信息上的公共利益的需要,公法介入个人信息数据保护势在必行。

  

   在我国个人信息保护法律领域,过去一直没有专门制定个人信息保护法,各部门法采取“散在式”立法模式,专门化、板块化、碎片化问题突出,司法机关只能从相关法律法规及司法解释中找法,由于公私法规范的立法目的、法益保护内容与方式大相径庭,相互之间的交叉竞合与冲突在所难免。同时,也存在公私法融合的现象和趋势。例如,我国民法典第1035条、第1038条、第1039条等具有行政法属性的条款赋予了个人对抗信息处理者、国家机关及工作人员的手段和途径,充分体现了“公法私法化”的特点。刑法第253条之一侵犯公民个人信息罪以及《刑案解释》对“公民个人信息”的界定,与民法中个人信息的内涵及法益属性保持了一致性。我国个人信息保护法,主要通过约束信息处理者的行为对个人信息权益进行保护。〔36 〕个人信息保护法同时包含公法规范与私法规范,具有公法与私法的“混合法”属性。从性质来看,个人信息保护法不是私法,但也不完全属于公法,而是专门规范个人信息处理活动和权益保护的单行法,属于民法与行政法的“交叉型法律”。其主要是私法规范,兼具公法规范,具有公私法融合的特点。〔37 〕公法介入个人信息保护不能矫枉过正,不能完全采取以公法为主导的保护模式。在公私法领域相互交错的背景下,单一私法保护和完全公法规制之间仍存在折衷地带——建构公私法一体化保护模式。〔38 〕近年来,有学者提出“行业法”的概念,认为我国“拼盘式”单行立法具有行业属性,“如果说部门法是法律体系的‘块’,那么行业法就是法律体系的‘条’”,一国法律体系应当做到“条”“块”结合。〔39 〕个人信息保护法就是这样一部保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用的行业法、单行法和综合法。从系统论角度,某一行业领域的法律法规都是由各个部门法组成的,并且形成多元层次。公私法规范以一定的结构形式形成一个整体。〔40 〕就个人信息保护立法来说,个人信息保护法本身是其整个个人信息保护法律体系的子系统,既以其自身独有的规范结构,又同民法、刑法、行政法,以及行业规范等相关联,既有内部封闭性,又有外部开放性,而个人信息保护法在个人信息保护法律规范体系中居于“基本法”的地位,可以发挥内外部衔接协调的体系功能。在个人信息保护法颁布实施的背景下,立足于体系解释,使其与民法典、数据安全法、网络安全法、刑法以及其他法律法规相衔接协调,从法律规范体系内部到外部,从立法到司法,实现法秩序统一和个人信息公私法一体化保护。

  

   (二)敏感个人信息的强化保护规则

  

   从国外立法来看,许多国家立法都以禁止处理敏感个人信息为原则,但禁止范围及法律效力存在差别。例如,欧盟相关立法所禁止的范围覆盖从信息收集到信息处理的全过程,最大限度地保护消费者个人信息的安全。然而,这样就使得消费者和经营者处于不对等的地位,对消费者敏感信息的严格保护也显得比较困难,在個人信息权利保护方面设置了一个“真空地带”。美国消费者隐私权利法案(草案)(CPBR)也从个人信息的动态管理过程中,一方面扩大消费者的相关权利,另一方面加重经营者的保护义务,强化消费者对个人信息的控制。〔41 〕

  

无论国外或国内立法,较一般个人信息而言,对敏感个人信息的法律保护力度更大,也更为全面。有学者主张“两头强化”理论,分别强化对个人敏感隐私信息的保护和对个人一般信息的利用,协调个人信息保护与利用的之间的利益冲突。〔42 〕在我国,除了民法典、网络安全法、个人信息保护法等法律法规之外,《生物信息保护要求》《个人信息安全规范》等行业规范文件对于敏感个人信息的强化保护发挥着重要的参考作用。例如,《个人信息安全规范》第5.4条规定,网络运营者收集个人生物识别信息应征得个人信息主体的明示同意。即使已取得个人信息主体的同意,网络运营者仍应仅收集达到目的所需的最少个人生物识别信息,以最大限度降低损害风险。第9.2条对个人金融信息特定类别作了特殊规定:网络运营者确因业务需要,确需共享、转让的,应单独向个人信息主体告知目的并征得其明示同意、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等。可见,《个人信息安全规范》以“不应共享、转让”为原则,只有当出现业务需要或满足“告知同意”要求的例外情形时,网络运营者方可进行个人生物识别信息的共享或转让,且应当采取加密安全措施或进行安全评估。《生物信息保护要求》第5.1条提出了“强化保护”的三项原则:一是保密性。在生物特征数据的存储和传输过程中,应当使用SM2或SM4加密算法对信息数据进行保密处理,未经信息主体授权不得访问或披露。二是完整性。生物特征识别系统应通过访问控制来实现数据的完整性保护,防止未经授权访问生物特征数据,或通过使用加密技术进行完整性检查。三是可更新性与可撤销性。如果攻击者非法获取、泄露或未经授权访问生物特征参考样本、模板或模型,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/134879.html
文章来源:东方法学 2022年1期
收藏