个人信息公法保护模式的构建.pdf

第 24 卷 第 1 期2023 年 1 月北华大学学报(社会科学版)JOURNAL OF BEIHUA UNIVERSITY(Social Sciences)Vol 24 No 1Jan.2023个人信息公法保护模式的构建王 勇 孟宪政摘 要 个人信息权益兼具私人属性和公共属性,其规范基础体现在宪法、民法及行政法等法律规范。传统的法律保护模式下,基于个人本位和事后救济形式的私法保护表现出明显的局限性。在大数据广泛应用的背景下,公法保护模式成为个人信息权益保护的必要形式。个人信息公法保护模式的构建,要在明确个人信息权的宪法依据及基本权利属性的基础上,从国家积极义务和消极义务入手,构建全面高效的公法保护制度,实现个人保护与国家保护的结合。关键词 个人信息权;公法保护;国家保护中图分类号 D922 16;D923 文献标识码 A 文章编号 1009-5101(2023)01-0098-07收稿日期 2022-11-05DOI 10 19669/j issn 1009-5101 2023 01 011作者简介 王勇,大连海事大学法学院教授,博士生导师,博士,主要从事法社会学研究;孟宪政,大连海事大学法学院硕士研究生,主要从事法社会学研究。(大连 116026)引引 言言个人信息是自然人的一项重要权益。近年来,个人信息的泄漏及信息权益被侵犯等行为时有发生,除了技术层面的因素之外,这些状况的发生与公众对个人信息及个人信息法律保护认识不足密切相关,从法律方面看,更为深层的原因在于个人信息的法律保护方式有待改善。2021 年 8 月,中华人民共和国个人信息保护法(以下简称 个人信息保护法)正式颁布,这是我国首部专门规定个人信息保护的法律,是个人信息保护领域的“基本法”。个人信息保护法 不仅调整私主体之间的法律关系,同时也涉及公法领域,规范公权力对自然人个人信息的干预活动。基于此,需要超越传统的私法保护模式,构建个人信息保护的公法模式,从而形成完善的法律保护模式。本文正是在分析个人信息私法保护不足的基础上,分析个人信息的权利属性,提出强化个人信息的公法保护,构建个人信息“基本权利国家义务”对应关系的公法保护模式。一一、个个人人信信息息私私法法保保护护的的局局限限传统私法权利理论下,许多学者认为个人信息是一项权益。张新宝认为个人信息权益的核心在于人格尊严及人身财产安全等利益,法律对个人信息权益的保护应当围绕此等利益的保护展开。1王利明认为个人信息是人格权益的组成部分,保护个人信息就是保护个人在数字化时代的民事权益,个人信息权利派生出来的知情权、决定权等实质上是个人信息自决权的展开,体现了民法私法自治的理念。2程啸则提出自然人对个人信息享有的是民事权益,是一种新型89的人格权益。3在保护路径上,学者们大多聚焦于解决“知情同意”规则的困境来进行研究。个人信息私法保护路径采用个人本位的价值取向,以个人对信息的自主控制为中心,充分赋予个人对信息支配的权利。其核心规则“知情同意”虽然强调了个人的尊严与自由,但实际上却缺乏可操作性。大数据时代,个人信息利益的社会性极强,其交互、动态的属性使得个人信息实际上无法处于“真空”状态。在实践中,个人由于技术、知识、资源等原因往往不能及时对抗可能存在的侵害风险,即使能意识到直接风险,也难以全面评判信息聚合后所产生的累积性风险。私法保护主要强调自然人对个人信息的处分意愿和能力,但个人信息权益与其他人格和财产类权益之间存在着显著的差异,私法层面救济个人信息权益的效果有其限度。(一)个人本位与公共利益之间的关系个人信息所有权并非个人独占的绝对所有权,大部分个人信息与网络经营平台是共生的,大量用户信息依托互联网平台而存在,在信息的产生、管理、存储和使用中,经营者也付出了巨大的人力物力。根据权利与义务相一致原则,经营者对个人信息应当享有一定的权利。公权力机关以大数据平台为依托,排除安全隐患和风险,提供优质服务。企业利用互联网技术为个人提供便捷服务,改善人们的生活品质和提升服务效率,但由于角色的多元性和复杂性,在信息利用的过程中,往往会产生利益冲突。包括个人信息的保护与表达自由权相矛盾、与信息控制者的合法权益发生冲突,以及与信息主体或他人人身权等重大利益相冲突等。由此,个人信息不仅与个体有关,而且其利益也不能全部归属于个人。由于个人信息同时具有私人属性和公共属性,因而在各主体之间引发了对信息控制权的竞争,但由于社会发展的需要,权力的一方逐渐转向社会控制,知情同意原则不再是个人行使支配权的必然依据。首先,个人本位的先决条件在于信息主体能够对个人信息进行充分决策和控制。信息主体在其人格尊严和自由的基础上,有权对涉及自身的直接利益进行管理,确定披露的方式和时间,给予信息主体决策的空间和自由。在社会实践中,由于网络交互的多样性,容易导致自然人对个人信息的控制,在大量复杂的应用场景中,无法确保个体意志的完全实现,由此,需要在公法层面,为个人信息保护的方式和效果提供新的模式。其次,完全的社会控制会产生高昂的社会成本。当前的知情同意原则过于强调信息的私人属性,要求个人对其信息拥有绝对控制权,进而限制了其在经济上的使用价值。为取得他人的承诺,信息控制者必须预先告知。若信息处理过程中只需对少量的个人信息进行加工并告知,就不会耗费大量的成本。但是,在数据聚合背景下,数以万计的个人信息等待着被处理,信息控制者需投入大量资金来推动企业的正常运转,在隐私协议的选择上花费更多的资源,使得信息控制者需要为此支付高额的费用。最后,在某些情况下,个人本位的信息保护理念不利于个人信息价值的开发与利用。在明确知情同意原则的基础上,建立了特定的权利制度,使个人的信息权利私权化,信息主体在个体信息中占有主导地位。但若获取公益信息的同意成本太高,则会造成数据经济的资源短缺,不利于社会经济的发展。(二)私法保护路径在救济与监督方面存在的局限在以个人本位为价值取向的私法保护路径中,侵害个人信息权主要使用一般的民事纠纷机99王 勇等 个人信息公法保护模式的构建相关代表性成果有:吕炳斌个人信息保护的“同意”困境及其出路(法商研究2021 年第 2 期)、韩旭至个人信息保护中告知同意的困境与出路 兼论个人信息保护法(草案)相关条款(经贸法律评论2021 年第 1 期)、万方个人信息处理中的“同意”与“同意撤回”(中国法学2021 年第 1 期)等。制,由个人主动进行维权与诉讼。但在实际操作中,个人(被侵权人)在侵权诉讼中由于技术、资源等原因,往往难以去收集、汇总、保留证据,民事责任制度难以发挥预期作用。在“谁主张,谁举证”的原则下,一方面,受害人由于维权能力不足难以进行因果关系的证明;另一方面,由于违法认定标准模糊,一般当信息处理者利用信息技术优势证明为了更好地服务其已尽注意义务时,被侵权人难以再提供充分的证据支持其诉求。即便通过诉讼请求赔偿,一般也仅以停止侵害、排除妨害、消除危险、赔礼道歉等形式实现。另外,民事责任保护具有事后性,往往在损害已经发生后才可以启动诉讼程序,且司法流程较为繁琐,进而导致花费大量时间和精力后,救济效果并不显著,信息主体会选择放弃主动维权,个人信息保护也就无法实现。同时,国家公权力机关在处理个人信息时,由于其正当性基础是基于国家机构的法定职责,行为规范、责任承担都与私法关系具有本质不同,作为民事权利的个人信息权益无法对抗国家,也无法调整其与国家的关系,私法保护路径无法为其提供足够保障,只能沦为“纸上的权利”。二二、个个人人信信息息保保护护的的公公法法基基础础个人信息保护法 对个人信息的保护不仅局限于民事权利,而且更多地站在基本权利的高度。启用公法路径进行个人信息保护是社会发展的必然趋势。个人信息保护的基本权利基础需要具有清晰的判断。在当代宪法理论中,基本权利一般被认为具有“主观权利”和“客观法”的双重性质。4本文以基本权利规范建构理论为立足点,分析个人信息保护的基本权利基础和其所对应的国家保护义务。(一)个人信息保护的权利属性作为基本权利的主观权利功能,以防御权功能为主,即在对抗公权主体时,国家履行消极的不侵犯义务。在特定条件下,也涵盖受益权功能,即国家的积极给付义务。作为基本权利的客观法功能,要求国家公权力自觉遵守和促进基本权利的实现,即国家的积极保护义务。个人信息的国家保护是“基本权利国家义务”在保护个人信息方面的应用。当国家公权力机关行使个人信息的收集和处理职责时,作为职权行为的国家公权力机关与自然人双方形成公法上的权利义务关系。此时主观权利维度下防御权的功能,要求防止国家公权力机关违法或不当收集、处理自然人个人信息,承担消极不侵犯义务。在个人与第三方之间的信息处理关系中,当个人信息受到侵犯时,第三方既可能是政府机构,也可以是个人信息处理者。此时作为客观法维度下国家积极保护义务的实现,要求国家提供实质性的物质和制度保障条件,包括对自然人信息权利的保护、组织和程序支持,使个人免受第三方侵害。也就是说,个人信息保护基本权利的实现,首先要求国家不干预,但更重要的是国家履行积极保护义务,在个人信息保护领域建构起“基本权利国家义务”的对应关系,让个人信息权利可以得到全方位的保障。(二)个人信息保护的宪法依据从域外立法来看,德国的“个人信息自决权”为个人信息的公法保护提供了启示。个人信息自决权被定位为由宪法人格尊严所衍生的公民基本权利,保护的范围是所有能直接或间接识别自然人的信息,同时国家承担保护此项权利的宪法义务。5美国主要通过宪法解释,将个人信息权赋予宪法属性,在司法裁判中确认了自然人对其信息的控制和支配权,以及国家公权力和私主体不得未经许可控制、处理他人的个人信息。6中华人民共和国宪法(以下简称为 宪法)中并没有以明文规定的形式将个人信息权列为基本权利,但在宪法基本权利的规范体系中存在个人信息保护的依据。个人信息保护可以001北华大学学报(社会科学版)2023 年第 1 期纳入不同基本权利条款分别讨论。宪法 第 33 条规定“国家尊重和保障人权”,人权条款可以在规范基础上作为“未列举的基本权利”的概括性条款。作为宪法基本权利的一般条款,“国家尊重和保障人权”不仅是对人权的实证化,而且是扩大基本权利范畴的理论基础,在理论上给予了对宪法中未列出基本权利进行辩护的空间。但由于人权概念的内容比较抽象,不能为其提供具体的价值指导,因此需要寻找其他的准则依据。7宪法 第 38 条关于“人格尊严”的条款可以作为个人信息保护的重要基础。基于算法的大数据决策下,个人的自主选择只能由自己的理性和自觉的目标驱动。个人信息保护的是人的尊严所派生出的身份利益、平等利益,是基于宪法基本权利的衍生权利。8第 38 条涵盖了与个人尊严、人格发展密切相关的、宪法未明文列举的保障内容。另外,宪法 第 40 条中“通信自由和通信秘密”应成为个人信息保护的外在底线。随着信息和通讯技术的发展,互联网的通讯方式和现实空间的生活方式有着密切联系。如将工作、学习、社交等多种功能结合在一起的微信,成为一种方便的通讯工具。通信自由所包含的个人信息保护问题日益复杂,如何理解“通信”“自由”“秘密”,需要对其进行多重价值判断。(三)个人信息公法保护的必要性立足于个人信息的公共属性,基于公法模式的个人信息保护,能够弥补私法保护的不足,充分实现个人信息的公共价值,与私法保护模式形成合力。首先,以网络化、智能化为特征的大数据时代,信息作为基础性资源受到广泛关注,信息处理技术能力的提升使得信息包括个人信息成为重要的公共资源,个人信息超越了个人权益属性,具有公共属性和价值,这是个人信息公法保护的逻辑起点。如前文所述强调个人本位的私法属性,会限制个人信息的流通,在公共层面不利于信息公共价值的实现。其次,个人信息具有公共价值与公共利益。一方面,个人具有公共价值。个人信息不仅停留于私密信息层面,更有大数据分析和数字经济发展的价值。另一方面,个人信息指向公共利益。信息作为一种重要资源,通过大数据分析共享,实现了低成本、高效率的精准快速决策分析,促进社会治理和科技创新能力的提高。最后,防范国家公权力对个人信息的侵