返回上一页 文章阅读 登录

王锡锌:个人信息权利束的公私法同频保护

更新时间:2022-10-04 20:41:39
作者: 王锡锌  
将不利于对违法处理个人信息活动所侵害的客观法秩序进行修复或矫正。这是因为,依照民事诉讼法上的“当事人处分”原则,作为原告的个人可能基于私人利益而和解、撤诉。第四,调查、判定信息处理活动是否合规,离不开专业的监管技术和法定的调查职权,而法院作为裁判机构并不具有专业和职权优势,难以专业、高效地履行监督者的职责,也难以作出裁判。第五,即便按照民事权利的逻辑由个人行使人格权请求权提起民事诉讼,在国家机关为履行法定职责而处理个人信息的情况下,个人并不能针对国家机关处理个人信息的行为提起民事诉讼。民事诉讼救济机制对同一种权利在不同场景下的差别对待,在逻辑上难以自圆其说。

   二、个人信息权利束的“受保护权”性质

   有民法学者提出,个人信息保护法是民法典的特别法,属于民事法律规范体系。但是,个人信息保护场景中的法律关系,仅仅依赖民事权利的保护逻辑,很难得到有效调整;适用于平等主体之间的民事权利义务模式,很难有效应对组织化、大规模、持续性的个人信息处理活动。因此,立法机关对个人信息保护法的定位,并不是民法特别法,而是根据宪法制定的,旨在保护个人信息权益、规范个人信息处理行为的个人信息保护基本法。个人信息保护法的基本逻辑,是以“国家保护”为中心,为“个人—信息处理者”关系中的个人提供倾斜性保护。这意味着,国家要通过制度、组织和程序保障等方式,对个人信息处理活动进行规制,而不是将这些问题完全交由个人与个人信息处理者进行自主处理。

   (一)从受保护权角度理解个人信息权利束

   通过国家的介入来保护个人信息的规制路径,在欧盟个人信息保护立法的发展过程中体现得非常明显。欧盟2018年实施的《通用数据保护条例》(以下简称GDPR),正是欧盟为了落实《宪章》第8条规定的个人信息受保护权而进行的具体立法。在中国的个人信息保护立法进程中,不少民法学者都尝试以欧盟相关立法为借鉴,提出引入“个人信息权”概念作为个人信息保护的民事权利基础。然而,欧盟法上并没有“个人信息权”这一概念,其个人信息保护的逻辑也不是民法逻辑,而是以国家保护和行政规制为主的逻辑。

   通过国家的介入来保护个人信息的规制路径,在欧盟个人信息保护立法的发展过程中体现得非常明显。欧盟2018年实施的《通用数据保护条例》(以下简称GDPR),正是欧盟为了落实《宪章》第8条规定的个人信息受保护权而进行的具体立法。在中国的个人信息保护立法进程中,不少民法学者都尝试以欧盟相关立法为借鉴,提出引入“个人信息权”概念作为个人信息保护的民事权利基础。然而,欧盟法上并没有“个人信息权”这一概念,其个人信息保护的逻辑也不是民法逻辑,而是以国家保护和行政规制为主的逻辑。

   《宪章》第8条规定了“个人信息之保护”,其第1款至第3款分别规定:(1)人人均享有个人信息受保护之权利;(2)个人信息应仅基于具体、明确之目的,且基于个人之同意或其他法律规定之正当基础,并以公平方式处理。人人均有权查询其被处理的信息,并有权更正其个人信息;(3)应由独立主管机构监督这些规则之遵守。不难发现,该条第1款规定的“个人信息受保护之权利”,以“受保护”为核心目标。第2款进一步规定了“受保护”的具体内容,包括个人的知情、同意、查询、更正等,构成了受保护权的具体权利。第3款进一步明确了,应当由独立的主管机构监督上述受保护权规则的遵守,即由行政机构对处理者活动是否合规进行监督。总之,《宪章》以个人信息“受保护”为核心目标,确立了个人信息受保护权这一宪法层面的基本权利。这一基本权利反射到国家一方,意味着国家应当履行个人信息保护义务。《宪章》所规定的个人信息受保护权,在欧盟立法中承上启下。欧盟议会与欧盟理事会1995年通过的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》,曾要求各国完善个人信息保护立法,以落实国家的个人信息保护义务。2018年生效的GDPR则对欧盟成员国具有直接适用效力,更直接地贯彻了个人信息国家保护义务的要求。

   在欧盟个人数据保护的法律体系构建逻辑中,并不存在一种个人对其信息具有支配性、控制性的“个人信息权”。个人信息具有交互性、社会性、公共性等特点,难以在民法所有权逻辑下成为具有排他性的、由个人支配的权利客体。然而,现代社会“数字化生存”的现实,以及国家机关和私人机构对个人信息日益增长的“胃口”,使得保护个人信息具有重要性和紧迫性。由于个人信息既需要被保护,也需要被利用,公共权威就需对保护和利用之间的各种利益进行平衡,个人信息的处理活动就理应由国家出场进行规制。《宪章》第8条围绕个人信息受保护之目标建构的个人信息受保护权,以及GDPR关于个人信息保护权利束的规定,都体现了国家应当履行个人信息保护义务的逻辑。欧洲数据保护专员公署曾明确指出,欧盟数据保护规则并未赋予个人针对其个人数据排他性的民事权利,那种认为个人针对其个人数据享有“所有权”或“决定权”的观念是一种误读;GDPR第三章规定的“数据主体的权利”,实际上是国家为促进个人信息受保护权实现之目的,通过制定规则与采取监管措施“赋予个人对抗数据处理者的手段和工具”。在欧盟监管机关看来,这些权利有助于使数据处理者可持续地、合乎道德(即保障个体尊严)地使用数据,有利于保障个人不受数据权力的支配。个人信息权利束中的各项权利,与个人信息处理行为的合规要求相对应,是国家赋予个人参与个人信息保护任务的工具性、手段性权利。

   (二)个人信息权利束是受保护权的具体化

   个人信息权利束中的工具性权利与传统民事权利存在显著区别。从权利的发生机制看,工具性权利并非由个人对其个人信息的占有和控制衍生而来,而是国家履行保护义务的结果;从权利的性质看,个人信息权利束是个人信息受保护权的具体化。

   就欧盟立法而言,《宪章》第8条规定的“人人均享有个人信息受保护之权利”,既是对个人信息受保护权这项基本权利的宣告,也是对该项基本权利的内容及保护机制的要求。为落实《宪章》规定的个人信息受保护权这一基本权利,GDPR从充实个人信息受保护权的角度对数据主体进行了赋权。我国个人信息保护法第四章规定的是“个人在个人信息处理活动中的权利”,在概念限定上体现了立法者的深思熟虑:这些权利并不是个人对其信息的支配和控制权,而是个人对个人信息处理者及其处理行为进行制约的工具和手段。国家对个人信息处理活动中的个人进行赋权,目的是使个人参与到国家所建构的个人信息保护的法秩序中,共同实现个人信息保护的目标。GDPR和我国个人信息保护法所规定的个人信息权利束,都是围绕受保护权的落实而进行的赋权,是国家规制策略的组成部分,将这些权利称为个人信息“受保护权利束”,或许更为恰当。

   这种受保护权所强调的国家保护机制,与民事权利行使主要依赖的平等协商、自治等机制有所区别。民事权利也需要国家保护,但这种保护是在权利主体自由、自主地行使权利受到影响,或者当权利受侵害后,由国家提供救济,而不是由国家通过事先设定权利行使规则的方式进行过程性保护;而进行过程性保护,正是“保护法”作为一种规范类型,不同于民事权利法的重要特征。无论GDPR,还是我国个人信息保护法,都在法律文件名称中突出了“保护”这一关键概念。“保护法”所体现的国家保护,目的就在于通过国家规制,确立不对称关系结构中的行为规则和权利义务配置。国家通过设定个人信息处理规则,可以对处理个人信息的行为进行规范,对个人信息权益提供保护。在这个意义上,“保护法”必然要体现国家对特定关系结构的调控,在保护路径上必然以国家规制为主,在保护机制上也要求“以监管为中心”。

   一些民法学者也注意到了个人信息立法的“保护法”属性,并从民法角度对保护法领域中权利保障机制的选择作出了解释,提出了“损害扩容”命题来寻求民法教义的更新。谢鸿飞认为,在个人信息保护、环境生态保护等领域,有条件地承认预期侵权制度,肯定未来被侵权的风险构成法律上的损害,并基于精算规则予以赔偿,能使侵权责任法动态适应现代风险社会和复杂社会的需求。李昊认为,从个人信息被非法收集伊始,信息主体就会因对收集用途概不知情而陷于无尽的恐慌之中,精神上遭受极大痛苦,此类侵害权利束的行为直接导致了对个人信息自主价值和使用价值的侵害,这证成了个人启动权利束之权能的必要。刘云指出,“当外部风险引发的损失具备显著性和客观性时,该风险就应当认定为个人信息损害赔偿救济中的损失”,当这种普遍性可以特定化到个人时,风险就等同于损害的发生。

   在上述民法学者的观念里,“损害”这一概念的扩容,可有效应对个人信息遭受严重侵害的风险。他们把个人信息权利束视为一项能够激活民事责任的手段,并将其纳入民事权益体系与民事诉讼处理范围,主张以个人行权与诉讼的方式来控制风险,进而缓解个人的恐惧不安。此类支持民事责任论的观点所展现的逻辑是:个人信息处理者侵害权利束的行为,虽没有直接导致现实损害,但增大了个人的心理焦虑、后续侵害结果的发生可能性,以及个人信息处理者操纵个人的几率,即存在某种预期损害,因而也应该承担侵权责任。“损害”的扩容一旦成立,作为制度性保障的权利束也就当然应被纳入民事责任的视野中,这也是各类个人信息保护民法调整路径所隐含的逻辑。

   公允地说,“损害扩容”命题认识到个人信息权利束的行使是为了控制权益受侵害的风险,以及降低个人对此种风险的担忧和焦虑,但其可能忽视了风险规制的路径与民事责任路径在底层逻辑上的差异。对于未来被侵权的风险及其衍生损害的担忧,是现代社会中个人普遍存在的感受,如交通安全、食品安全、空气污染等风险,都会导致人们的风险焦虑。但是,这并不意味着应当将这种具有抽象性、概括性、模糊性的风险控制任务,交由私人来直接执行。面对具有公共性、普遍性的风险,由国家通过立法建构风险控制规则,并通过后续的监管、巡逻、执法来维护秩序,这是一种应然选择。从政治哲学层面看,正是为了消除私人执法的不确定性、模糊性和低效率,人们才选择把私人执行权交给国家,以避免付出巨大的制度性成本。在现代国家,维护人民的“和平、安全和公众福利”属于国家目的范畴。要完成控制公共风险的任务,需要国家积极履行保护义务,而非仅仅通过“自主支配”观念和分散化的私法救济机制对个人进行武装。

   在组织和程序保障层面,司法机构及民事诉讼程序,难以有效应对大规模的风险控制任务。民法学者在主张“损害扩容”命题时,或许也忽视了我国宪法、法院组织法、民事诉讼法对民事审判的功能定位。风险规制有赖于特定的组织形态,而法院显然不是在相关领域建构风险规制策略的专家。面对兼具不确定性、专业性和高度技术化的数据治理政策所引发的权利束侵害争议,法院往往难以通过复杂的成本收益分析,在一定时空内作出一致的、具有高度政策性的解释。面对涉及风险规制和调控的行政规制活动,法院会受到角色、专业、资源等方面的限制,即便其作出裁判,裁判结果也难以具有规模化的监管效应。相较而言,履行个人信息保护职责的机构所进行的监管和执法,无论事前事中监管,还是事后处罚,都可以在保护个人信息权益的同时,产生监管的规模效应。这不但可以避免民事诉讼“一事一诉”的低效和判决效果的局限性问题,还可以通过形成一般性规则来对同类问题进行整体规制,实现对个人信息保护的效率优化。此外,监管者还可以要求个人信息处理者在信息处理前对权利束的行使和相关请求受理机制进行妥善规定,以实现事前防范与主动防护,提升隐私政策的民主性、合理性、公平性。

   三、个人信息权利束与信息处理规则的同构

个人信息权利束,是国家为了落实个人信息保护义务,而对个人信息处理活动进行风险规制的产物,是个人信息受保护权的具体化。这些权利对应着个人信息处理活动的“合规”要求,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:admin
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/136964.html
文章来源:《法学研究》2022年第5期
收藏