趙宏,法學博士,中國政法大學法學院教授。
目錄
一、信息權的保護路徑與復雜屬性
二、信息權公法保護的基本架構和國家的雙重義務
三、消極義務下的數據公法保護規則與問題
四、“用戶—平臺—國家”三邊關系下的國家積極義務
五、結語
引言
為因應大數據時代下對個人信息的保護,2020年5月28日頒布的《中華人民共和國民法典》(下稱《民法典》)在第111條中明確申明,“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息”。這一規定對此前散見于《中華人民共和國刑法修正案(七)》《中華人民共和國侵權責任法》《中華人民共和國消費者權益保護法》《中華人民共和國網絡安全法》(下稱《網絡安全法》)與《全國人民代表大會常務委員會關于加強網絡信息保護的決定》等法律規范中的信息保護規定進行了階段性匯總,也將個人信息保護提升到全新高度。
但《民法典》僅申明“自然人的個人信息受法律保護”,而并未像前款“隱私權”一樣,將個人信息保護作權利化處理。因此很多學者指出,《民法典》對于個人信息的保護仍舊有所保留。仔細品讀《民法典》的立法說明和背景資料大致可得,《民法典》采用上述處理方式的用意主要在于:其一,信息權作為一類新型權利,其范疇、意涵與定位至今都存有較大爭論,因此不宜在《民法典》中過早框定,而應交由專門的個人信息保護法處理;其二,如果將個人信息予以權利化處理,在此項權利邊界未明的情況下,容易導致個人的信息獨占影響數據流通。
盡管未將個人信息予以權利化處理,但《民法典》卻已搭建起個人信息保護的基本制度框架,包括個人信息的界定,處理個人信息的原則要件、信息主體與信息處理者之間的權利義務關系等。尤其值得一提的是,因為《民法典》在第111條指出,個人信息保護指向“任何組織與個人”,“任何組織或者個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息”,此處的“任何組織或者個人”當然包含國家公權機關,故《民法典》雖然是私權的匯總,卻同樣納入了對個人信息的公法保護。從這個意義上說,上述規定填補了此前我國法制整體對于個人信息公法保護的缺漏。
新近提交第十三屆全國人民代表大會常務委員會第二十二次會議審議的《中華人民共和國個人信息保護法(草案)》(下稱《個人信息保護法(草案)》)中,同樣在“總則”第11條寫明,“國家建立健全個人信息保護制度”。其第二章“個人信息處理規則”專節處理“國家機關處理個人信息的特別規定”,第六章更細致規定“履行個人信息保護職責的部門”。這些規定與《個人信息保護法(草案)》中有關私人信息處理主體的規定相互并置,可說確立了我國在個人信息保護領域公私協力、合作共治的基本格局,也徹底化解了此前有關“數據立法的公私之爭”。
在私法保護之外,強調個人信息的公法保護固然重要,但如何確立個人信息權公法保護的圭臬,卻存在諸多難題。個人信息的公法保護首先涉及對國家無限度收集和不當使用個人信息的防堵,但在處理這一命題時,又需要在數據流通、數據開發所追求的公益與個人信息權所維護的私益之間進行權衡,這一難題在大數據時代下并無法輕易化解。在此次抗擊新冠肺炎疫情中,該點表現得尤為突出。從最初個別地方政府為阻卻疫情傳播曝光返鄉人員名單而引發眾怒,至后來政府在公布確診患者的住址信息和行蹤信息時的詳盡程度之爭,再至學者們對健康碼被泛化使用的擔憂,以及對個別地區啟動人臉識別技術后引發的詰難,本質上反映的都是這一問題。《民法典》在規范信息主體與信息處理者之間的權利義務關系時指出,如果是“為維護公共利益”而處理個人信息,則行為人不承擔民事責任,其目的是通過這一免責條款來達到對“保護個人信息與維護公共利益之間關系”的合理平衡。但“公共利益”一詞可說是公法中最大的概念謎團,其在一定程度上可以正當化國家公權機關收集和使用個人信息的行為,卻很難對此種數據處理行為予以有效規制,更不容易調控信息保護與數據流通之間的矛盾。因此,對于國家公權機關可因何種公益追求而對個人信息予以收集和使用需要更細致的分析,對這種行為的限度也需更深入的挖掘。此外,個人信息權的公法保護所強調的并不只是對國家無限度收集和不當使用個人信息的防御,還包含個人信息權在面臨同為私主體的第三人侵害時國家的積極介入義務。但國家對此積極義務的履行,本質上又是對原本應由私法調整的以“用戶—平臺”為代表的民事關系的干預和滲透。公權介入的正當性基礎何在,國家此時又如何選擇監管手段,如何調配私人自治與國家干預之間的比重與關系,這些問題亦須在個人信息權公法保護的整體框架下予以思考。
基于上述思考,筆者首先從個人信息權的傳統保護路徑和復雜屬性出發,嘗試在將個人信息權塑造成基本權利的基礎上,以基本權利教義學為參考,廓清個人信息權公法保護的基本框架,進而以《民法典》和《個人信息保護法(草案)》為規范基礎,探討這一保護框架下所涉及的具體問題。筆者嘗試在《民法典》時代下,梳理出個人信息權公法保護所涉及的核心問題和思考難點。
一、信息權的保護路徑與復雜屬性
在數據時代,個人信息是個體在社會中標識自己,并與他人建立關聯的必要工具。個人信息若被不當收集和使用,將嚴重危及個體由信息所組成的數據人格,進而貶損其人性尊嚴。正是基于上述共識,各國都已普遍展開對個人信息的嚴格保護。但值得關注的是,與同時興起的其他權利保護需求不同,盡管人們對信息權的保護必要并無異議,但對信息權的屬性判定卻自始都存在認識分歧。
(一)信息權的屬性與保護路徑之爭
典型的代表性意見之一是將信息權作為財產權來處理。“像保護私有財產一樣保護個人數據”反映的就是這種呼聲。這種意見的支持理由除了信息數據的確可以銷售并帶來經濟收益外,還包含了學者希望經由“個人數據的財產化”(propertization of personal data),以通過財產侵權模式來保護個人數據的考慮。支持個人信息權屬于新型財產權的學者,在我國最初不在少數,但這種觀點很快被數據人格權的觀點所替代。其思考脈絡在于,現代數據技術已經將個人降格為硬盤中可被隨時調取且分析的數據,通過獲得、匯集和整合人們在日常生活中所留存的種種生活軌跡,數據技術已完全能夠在短期內描摹出與個人實際人格相似的數字人格。既然數據已然成為個體完整人格的投射,人格權保護就應拓展至個人的數據人格。對個人信息的保護,也成為數據時代下對個體人格權保護的延伸。這種將數據權人格權化的處理為德國首創,之后在歐盟獲得普遍認可。數據人格權的處理為個人信息權提供了人性尊嚴、個人自治(自我確定和自我展開)的憲法教義學支持,也一舉將個人信息權從最初的私權提升至基本權利的位階序列。
在被提升為基本權利后,個人信息權被描述為個人基于自我確定(Selbstbestimmung)和自我展開(Selbstentfaltung)的自我決定權,其概念和意涵又主要凝結于德國法上的“個人信息自決權”,即“個人具備權利,以自行決定何時并在何種限度內披露其個人生活的事實”。在被提升為基本權利后,信息權具有了對抗國家的面向,其不僅可以防堵私主體,同樣可以防御國家借由對個人信息的無限度收集和違法使用,而對個人生活軌跡予以巨細靡遺的描繪。
與德國的保護路徑不同,美國的信息保護雖然也從私人領域擴張至公共領域,卻一直是在隱私權的框架下展開。伴隨時間演進,德美之間的差異已經漸次相對化。由美國聯邦最高法院諸多判決所確認的“憲法隱私權”,本質上就是德國法上“個人信息自決權”的對應,這一概念同樣直指國家對個人信息的搜集、儲存、利用和公開等行為的合法與正當,隱私權也自此擺脫了私權的偏狹格局,同樣被提升至憲法高度。此外,因為美國修訂《隱私法》時,將“隱私”的保護對象拓展至“個人被政府機關所掌控的記錄系統”,“憲法隱私權”的保障范圍也與信息權幾無差異。
(二)“信息權”權利化處理的問題
但無論是將信息權形塑為私法上的財產權還是人格權,抑或按照信息自決權或憲法隱私權的基本權路徑對其予以保護,因為受制于傳統權利建構模式的影響,信息權都被或多或少地賦予絕對化和個體化的色彩。而這又與數據時代下基于數據自由流通所欲追求的公益和其他法益之間形成張力。以信息自決權為例,其意涵是“個人對其一切具有識別性的個人信息的收集、處理和利用均享有決定權和控制權”,也因此要求信息主體要對數據的獲取、處理過程完全知情和充分參與。這就導致個人對數據的自決與控制自始就包含一種絕對化的趨向。知情同意最初作為調控信息保護的首要原則,也正是基于個人對信息的控制要求。德國聯邦憲法法院在最初提出信息自決權概念時,已經意識到這一問題,并嘗試通過指出“信息自決權并非無限,對其自身信息,個人并不具有任何絕對或無限的控制”,“為了迫切的公共利益,個人在原則上必須接受對其信息自決權的某種限制”,來對其絕對化趨向予以緩解。與德國信息自決權思路一脈相承的歐盟《通用數據保護條例》(GDPR)同樣申明,“保護個人數據的權利不是一項絕對權利,應考慮其在社會的作用,并根據比例原則與其他基本權利保持平衡”。
因為信息自決權的推導是從個體的人格自治出發,這就導致其從根本上還是帶有傳統權利個體化的、排他的和積極的支配屬性。但在數據時代,一方面能夠對個體身份和個性特征予以識別的信息海量產生,數據技術的疾速發展也使對個體的識別更加便利、精準和全面;另一方面數據時代的紅利,也確須盡可能多地鼓勵數據處理者對信息進行分析識別,推進數據流通和數據交易,進而實現社會發展。據此,如果沿用傳統權利的思考框架和保護模式,強調個人對于數據的絕對支配和過高的同意要求,顯然就會妨礙數據處理和數據流通,并最終喪失數據時代的紅利。這一問題反映于法學領域就表現為:越來越多的學者開始主張,“個人信息只是一種可以識別某個人的事實或記錄,并不當然地應該由個人擁有或控制”,即數據本身具有“公共性和可共享性”。這種公共性表現為:“目前個人數據在定義上幾乎被視為公共領域的組成部分,是可以廣泛獲得和使用的,無論是從實踐還是從法律目的上,個人數據均處于公共領域。”而且,在個人信息之上所附著的不僅有自然人的私益訴求,還有公共管理、國家安全等公益屬性。如果僅因數據和個人存在聯系或具有識別性,就賦予個人對個人數據的排他性控制權,為私人所專有獨斷,不僅與共享要求不符,也有失法律正當。其最終結果只能是產生“數據壁壘”和“信息孤島”。如何調試大數據發展與個人信息保護,是數據時代下的最大挑戰。如序言所述,《民法典》僅對個人信息保護進行框架化處理,并未如部分學者所主張的直接將個人信息進行權利化處理,反映的也正是“合理平衡保護個人信息與維護公共利益”的難題。
綜上,信息權的復雜性要求我們不能用傳統權利的觀點去認識和框定這一新興權利;但反過來,如果我們僅因這一原因就刻意回避權利話語,在未來仍舊還是以此前數據安全、風險防范的思維方式去思考數據保護的問題,也無法因應數據時代下數據保護的需要。正是基于這一背景,盡管《民法典》對信息保護未作權利化處理,但新近提交審議的《個人信息保護法(草案)》卻是在借鑒歐盟的經驗基礎上,“以全面構建個人數據治理體系為原則,以防范個人信息安全風險為目標,明確引入公法意義上的個人信息控制權概念,并在收集、使用、轉移、存儲、跨境傳輸、銷毀、查詢、更正等個人信息處理的全過程,明確信息主體的知情權、同意權、選擇權、變更權、刪除權、撤回權等各權項,使信息主體能夠真正參與到個人信息保護之中”。在有關《個人信息保護法(草案)》的立法說明中,“制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求”,被排在所有立法目的之前予以強調。該法第2條已明確出現“個人信息權益”的提法,第四章則體系化地列舉“個人在個人信息處理活動中的權利”,包括個人對其信息處理的知情權、決定權、查閱權、復制權、更正權、補充權、刪除權等,上述規定對應第五章“個人信息處理者的義務”,塑造出個人信息權作為“權利束”的完整圖像。但同時值得玩味的是,《個人信息保護法(草案)》第四章的標題為“個人在個人信息處理活動中的權利”,而非“個人信息權利”,此處的表達差異和對權利的前綴限定,同樣反映出立法者基于“維護網絡空間良好生態”“促進數字經濟健康發展”等其他法益考慮,而對信息權所作的區別于傳統權利的差異化處理。
二、信息權公法保護的基本架構和國家的雙重義務
以德國基本權利教義學為參考,公法對于基本權利的保護主要通過如下方式展開:首先是國家的消極義務。消極義務的基礎在于基本權利的防御權(Abwehrsrecht)功能,即所有的基本權利構筑出一個私人生活領域,在此領域中排除國家的不當干預,而國家為此所承擔的義務也僅是對此私人自由和自治空間予以尊重、保持克制、不予犯進。其次是國家的積極義務。積極義務要求國家必須積極作為以幫助和促進個人基本權利的實現,積極義務先是通過個人的給付請求權獲得表現,此外在個人基本權利受到第三方影響時,國家還負有義務為其提供保護。后者在德國法中被歸納為國家的保護義務(Staatliche Schutzpflichtung)。概言之,國家對基本權利的積極義務主要由給付與保護來構成。上述法教義框架對于我國憲法學同樣影響深遠,我國在2004年修憲時,將“國家尊重和保障人權”規定于《中華人民共和國憲法》第33條第3款中。這一條款不僅被憲法學者延伸解釋為我國基本權利的概念性條款,憲法學者還比對德國基本權利教義的上述結構,從“尊重”和“保障”用語的差異與并置中推演出國家對于基本權利的雙重任務,即“尊重”代表了國家對基本權利的消極義務,而“保護”則對應國家的積極義務。
(一)國家對于信息權的雙重義務
既然信息權已被提升至基本權序列,那么將上述思考模式適用于信息權的公法保護,國家為此承擔的義務就同樣可拆分為兩個方面:首先是消極義務。這種義務在信息權保護中表現為個人基于信息自決免受國家對其信息的無限度收集和不當使用。消極義務的目標在于防堵國家在數據時代下,借由數據調取和數據整合技術,產出部分或是幾乎完整的“個人輪廓”,并由此對公民的私人空間和自決能力予以削減。其次是積極義務。在積極義務方面,因為對信息權的保護幾乎并不需要國家的積極給付,這一部分就著重體現為個人作為信息主體,面對與其地位不對等的其他信息控制者時,國家須承擔的介入和保護義務。
在實踐中,除國家為公共利益和平衡其他法益而收集、使用個人信息外,個人數據的另一重要收集和控制者還包括以互聯網平臺為代表的私主體。對于這些私人信息控制者,數據就是生產要素和行動指引,其可通過數據揭示的相關性,提前預測信息主體和社會的各種需要,從而獲得巨大的經濟收益,這也是私主體收集和使用個人信息的最大動因。但因為這些私人信息控制者在數據技術上的絕對優勢,作為個人的信息主體幾乎很難通過傳統的私法侵權模式予以對抗,由此便要求國家通過行業監管、執法威懾、責任追究等方式,積極介入以“用戶—平臺”為代表的私法關系中,以確保個人信息同樣免受其他私人的非法收集和不當使用。
上述公法保護的基本架構如圖1所示。
圖1 公法保護的基本架構
回溯至《個人信息保護法》的起草過程,公法保護和私法保護對于數據權的全面保護雖都不可或缺,但在立法過程中,還是出現過個人信息保護的重心究竟落腳于行政法保護還是民法保護的爭論。這一爭議又延伸出個人信息的保護模式以及政府與個人責任分配之爭。但大數據時代下的數據保護難題卻證明,個人信息保護已經遠遠超出了公私法二分的傳統格局,單獨倚重任何一個方面都會有所欠缺,而真正有效的治理模式必然是一種多元并行的綜合框架。
(二)《民法典》與《個人信息保護法(草案)》中的雙重保護架構
上述觀念也已在《民法典》中呈現端倪。但從《民法典》的具體規定來看,其雖納入了信息權的公法保護,其中規定的信息處理的核心法則,例如“合法、正當、必要原則,不得過度處理”,以及相關的條件性指引包括知情同意原則、公開原則、目的明確與受目的限制等,卻都同樣適用于作為數據控制者的國家和私主體。從這個意義上說,除了提供了個人信息保護的基本制度框架外,《民法典》對于公法保護和私法保護如何并置發展,尤其是國家和私主體在信息收集和處理方面雖然遵守同樣的原則指引,但具體適用時是否存在差異,并未作更詳盡的說明和提示。
最近提交審議的《個人信息保護法(草案)》除延續了《民法典》公私并置的保護格局外,在具體展開上顯然是汲取了德國與歐盟的有益經驗,因此,國家在數據保護中的雙重義務構造同樣呈現于這部草案中。《個人信息保護法(草案)》在第一章“總則”第4條列舉了個人信息的一般范疇,第5~9條列舉了信息收集處理的基本原則后,在第二章“個人信息處理規則”中系統描畫了個人信息處理的一般規則,本章第三節則專門規定“國家機關處理個人信息的特別規定”,由此突出對國家機關的特殊規制。此外,《個人信息保護法(草案)》明確吸收了歐盟《通用數據保護條例》的模式,在第六章確立了專門的信息保護機構。根據該法第56條的規定,我國專門負責統籌協調個人信息保護工作并履行相應監督職能的部門為國家網信辦。本章還對網信部門在此領域的基本職責、權限劃分、作用手段和處理機制等問題進行了細致規定。由此可見,我國的《個人信息保護法(草案)》最終還是在強調行業自律的基礎上,明確納入了公法保護的框架和內容。因此,上述由德國基本權利教義學所延伸出的信息權公法保護架構,對我們思考個人信息的公法保護問題無疑具有重要參考價值。下文就以此架構為思考基礎,以《民法典》和《個人信息保護法(草案)》為規范線索,并以數據法的一般原理和域外經驗為借鑒,對國家在履行數據保護方面的雙重義務時所涉及的核心問題進行討論和總結。
三、消極義務下的數據公法保護規則與問題
上文論及數據時代下私主體在信息收集和使用方面的經濟動因,對于國家而言,數據收集和處理作為治理手段同樣重要且極富吸引力。從我國的既有實踐看,如果說最初國家利用采集指紋、身份登記、視頻監控、實名注冊等數據處理技術,所欲追求的只是在城市化疾速發展的背景下,保障社會穩定、打擊犯罪、強化治安等目的,那么現在的數據處理技術早已使數據躍升為國家基礎性的戰略資源,大數據發展也成為國家發展戰略的重要構成。2015年國務院發布的《促進大數據發展行動綱要》就指出,大數據成為推動經濟轉型發展的新動力,重塑國家競爭優勢的新機遇,提升政府治理能力的新途徑。以此次抗疫為例,數據收集、整理和排查自始就是政府抗疫工作的關鍵,其適用也大大提升了抗疫工作的針對性和實效性。因此,我們在數據技術疾速發展的背景下,論及數據流通所要維護的“公共利益”,其內涵除了傳統的公共安全外,還直指“數字中國”“數字政府”這些提法背后所倡導的全新公共治理技術,以及借由數據治理所欲達到的“推動政府治理精準化、推進商事服務便捷化、加快民生服務普惠化”的公共目標。
因為政府治理與數據技術結合的不斷拓展,由“物盡其用”延伸出的“數盡其用”,便成為支配政府“數據治理”的基本準則。反映在近年的公共政策推進上,我國最早推行電子政務時就著力于數據庫建設。之后伴隨政府信息公開的深入,又提出政務部門不僅要“主動為企業和公眾提供公益性信息服務”,還要“積極發展信息資源市場,發揮市場對信息資源配置的基礎性作用”。這些早期的政策探索都為此后政府進一步開放政府數據,制定大數據戰略,推進數據產業發展奠定了基礎。迄今,“政府數據開放共享、數據產業創新發展和安全保證”更被總結為政府大數據發展的三大任務。
“數盡其用”強調的是在公共政策上國家對數據技術的積極利用和對數據治理的持續推進,但將這些舉措放在法教義的框架下檢視,所涉及的首要問題卻是:國家的數據治理最終都會落腳于每項具體的數據收集和處理行為,而當國家公權機關以“公共利益”為名去收集和處理個人信息時,其法定界限何在?尤其是當我們用數據法中的一般原則去約束國家的信息收集和處理行為時,又會面臨何種問題,需要作出何種調試?《民法典》和《個人信息保護法(草案)》在規定個人信息的處理原則時,都納入了合法正當、必要(比例)、有限使用、知情同意、目的明確與目的限制等數據法的核心原則。下文就對這些原則對于公權機關的具體適用問題進行逐項討論,并從中歸納出國家在履行信息保護的消極義務時所涉及的問題。
(一)合法正當
“合法正當”既針對數據收集和處理的目的,也針對其手段。這一要求除規定于《民法典》第1035條第1款中,“處理個人信息的,應當遵循合法、正當……原則”,還在本款第4項中被強調,處理個人信息應“不違反法律、行政法規的規定和雙方的約定”。在《個人信息保護法(草案)》第13條中同樣包含了更細致的國家機關處理和利用個人信息的“合法正當”說明。合法正當原則的納入以及正當理由的列舉也排除了自《網絡安全法》生效以來,“知情同意”作為信息收集唯一合法性基礎的操作準則。
一般而言,國家公權機關收集和處理個人信息的合法正當目的主要在于公益維護。上文所具體列舉的“履行法定職責或者法定義務”“為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全”等規范表述,都可被列入此類范疇。但從數據實踐來看,如果僅是概觀的、抽象的“公共利益”,并無法正當化公權機關所有的數據收集行為,因為概括性的公益目的幾乎無法為限制公權機關不當收集和使用個人信息劃定任何界限。而且,抽象的“公益需求”也不能在與個人的數據權衡量時被賦予絕對的、永恒的優先性。據此,如果公權機關在公共利益和個人的數據私益發生沖突時,以公益為由要求對個人私權予以合理限制,國家機關則應承擔對“公共利益”予以具體化框定和說明的義務。唯有對所欲追求的“公益”在具體個人私權中予以詳細說明,才便于對公權機關是否濫用數據、是否違反合法正當的要求進行評鑒,也唯有“公益”目的本身是足夠清晰和特定的,公權機關才能從這些特定目的出發進行數據收集和使用。
事實上,從歐盟的數據實踐來看,合法正當作為單獨的原則對于防堵公權機關無限度收集和不當使用個人信息其實作用有限,而必須輔以其他原則。因此,即使《個人信息保護法(草案)》將“履行法定職責或者法定義務”“為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全”等列舉為收集個人信息的正當目的,但在規范表達上同樣會附加“所必需”表達對其限度的限制。而在《個人信息保護法(草案)》第27條關于在“公共場所安裝圖像采集、個人身份識別設備”的規定中,除要求此類行為必須是“為維護公共安全所必需”,還規定必須“遵守國家有關規定,并設置顯著的提示標識”。
(二)目的明確與目的限制
“目的明確與目的限制”一直也是數據保護的核心原則。這一原則首先要求數據控制者明確收集、使用個人信息的目的,禁止其為未來不特定的目的考慮收集、使用個人信息;其次則是約束信息控制者對信息的使用受所明示的目的限制,而不得將所搜集的信息作法定目的外使用。
除《民法典》第1035條明確列舉目的明確與目的限制原則外,這一原則雖然未單獨落實于《個人信息保護法(草案)》的具體條款中,但其要求卻貫穿于第二章“個人信息處理規則”中,例如第18條規定,“個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言向個人告知下列事項:……(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;……”;第22條規定,“個人信息處理者委托處理個人信息的,應當與受托方約定委托處理的目的、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托方的個人信息處理活動進行監督。受托方應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息……”;第24條第1款規定,“個人信息處理者向第三方提供其處理的個人信息的,應當向個人告知第三方的身份、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收個人信息的第三方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。第三方變更原先的處理目的、處理方式的,應當依照本法規定重新向個人告知并取得其同意”。
目的明確與目的限制在適用于國家和私人主體上并無明顯差異,但這一原則在數據實踐中卻常常被國家公權機關突破。以此次抗疫為例,盡管2020年中央網絡安全和信息化委員會辦公室印發的《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》中強調,“為疫情防控、疾病防治收集的個人信息,不得用于其他用途”,但從各地的健康碼的使用情況來看,卻都存在不同程度上超越最初的目的設定而被逐漸泛化使用的趨向。很多政府甚至將簡單的健康評價與公眾本應享有的公共服務建立關聯,并將其作為是否對相對人予以賦權或設限的依據,這顯然背離了目的限制的基本要求。避免上述做法的首要手段在于,應盡可能禁止公權機關使用模糊、寬泛的語詞表述其約定目的,進而為其未來擴大收集和使用個人信息提供可能。以歐盟GDPR為鑒,其在規定目的明確時專門設定了三項判定基準:其一,特定(specified),所謂特定即目的應當在不遲于收集個人信息時確定下來,而且對目的的描述必須提供足夠的細節,使之具有辨識度;其二,明確(explicit),即目的特定化后,還應當明白無誤地展現出來,應盡力確保信息主體、信息控制主體以及利用個人信息的第三方都能夠對該目的具有一致理解;其三,合法(legitimate),即公權機關對個人信息的處理必須公平且依法進行,不得以非法目的收集個人信息。這種對于“目的明確”的細致要求在很大程度上避免了放任目的的空泛化。
在目的明確與目的限制原則的公法適用上,還涉及如何平衡個人信息保護與基于公益目的的大數據開發利用之間的矛盾問題。單個信息的交換價值微乎其微,唯有信息聚合和數據利用才能產生出強大的分析價值。此外,因為網絡技術的迅疾發展,信息主體和信息控制主體在信息收集時可能都無法充分預見信息在未來的可能價值。此時如果一律禁止個人信息用于其他目的,勢必會造成資源浪費。由此,就要求在嚴格的“目的限制”之下應留存一定的例外。歐盟GDPR將“為公共利益、科學或歷史研究或者統計目的而(對數據進行的)進一步處理”,作為“目的限制”的例外。歐盟指令也同時允許基于其他“額外目的”而對個人信息的“適當性使用”。對“適當性使用”的判斷依賴于如下標準:其一,信息收集目的與預期進一步處理目的之間的關聯;其二,個人信息被收集時的情形,尤其是信息主體與控制者之間的關系;其三,個人信息的性質;其四,預期進一步處理給信息主體可能造成的后果;其五,加密或匿名化保障措施的存在。但歐盟的上述做法同樣引發爭議。反對者認為,額外目的使用的允許,會通過功能漸變逐漸掏空目的限制原則。這種隱憂也的確提示了放寬目的限制的可能問題。
在《個人信息保護法(草案)》出臺前,亦有學者呼吁將“為防止危害國家安全和公共安全所必要的;為反恐怖活動、反恐怖融資和反洗錢等所必要的;偵查機關進行刑事偵查所必要的;稅務機關為防止逃稅、騙稅等行為損害國家稅收利益所必要的;為支持學術研究工作或統計項目而進行的個人信息比對;為得到統計資料……”等,作為國家公權機關可進行信息比對的理由,由此從另一側面規定了“目的限制”的例外。但最終提交審議的草案中并未包含突破目的限制使用個人信息的例外。因此,從目前的《個人信息保護法(草案)》來看,其并未允諾在收集目的之外的其他延伸目的的使用。無論是公權機關還是私人主體如果嗣后欲突破目的限制,都必須重新獲得信息主體的同意。但由此產生的為因應數據開發利用的需要,而對“為統計分析、檔案管理與新聞報道、學術研究、藝術表達、文學創作等目的處理個人信息的活動”,豁免或克減適用目的限制原則的問題,就有待于國務院相關部門再出臺細則予以規范。
(三)知情同意
在歐盟和德國有關信息權的保護框架下,信息權被視為人格權的延伸,是基于個人自治對個人信息的自我控制,因此,“知情同意”一直被作為信息收集和處理的首要法則,這一原則確保了信息主體對于個人信息收集和使用過程的完全知情和充分參與,也體現了個人對于信息的自決與控制。
歐盟早在1995年的《關于個人數據處理保護與自由流動指令》(95/46/EC,下稱95指令)中就將“數據主體同意”視為個人數據處理取得合法性的首要基礎,而且“同意要求”的廣泛存在,不僅及于作為數據控制者的私人機構,也及于公共機構;不僅及于對數據的采集,也及于對數據的傳播、加工或其他處理行為。但將“知情同意”作為數據處理的首要法則,并貫穿于數據采集處理的全部過程,勢必會抬高數據處理門檻,阻礙數據自由流通。鑒于此,歐盟GDPR盡管同樣以“知情同意”為基礎,建構了用戶的訪問、查詢、更正、刪除、撤回、限制、拒絕等個人信息自決權體系,但同時也規定了廣泛的例外情形,由此在很大程度上緩和了嚴苛適用這一原則所帶來的負面效果。從研究現狀看,對知情同意原則的反思與改進一直都是數據法的重點,其目標也基本積聚于如何破除數據實踐中知情同意的簡單化、概括化與機械化偏差,并在提升這一原則的有效性之余,同樣為信息流通和再利用預留空間。
具體至公法保護領域,此處須討論的是,國家作為信息權的公共義務主體和私人的信息控制者在適用“知情同意”原則時具有何種差異。一種典型意見認為,知情同意作為個人信息保護準則并不能直接適用于公權機關。公權機關在執法過程中所獲取的個人信息屬于“執法隱私”,其并非基于用戶與平臺這類典型的持續性的非對等的信息關系所產生,也不受知情同意原則的約束。理由是,“如果執法機構獲取個人信息都需要個人同意,那么個人就會有足夠時間與機會藏匿或刪除執法所需信息;同樣,如果個人對于自身信息具有訪問權、糾正權、刪除權等權利,那么個人就能利用這些權利破壞執法所需要的信息與證據”,并最終“破壞國家的執法能力”。還有意見認為,知情同意只能在平等關系下適用,如果“個人在權力失衡與權力依賴情況下很難保障同意的真實、自愿與自由,只有擁有控制力,能夠在不損害個人利益的前提下自由做出并真實表達同意與否的決定,且此決定可以隨時撤回時,同意才可成為合法性基礎”,因此,同意原則并不適用于公權機關。
將視線再轉向歐盟GDPR,該條例在規定“知情同意”時,僅將其作為數據處理合法化的一種情形。與此相對,如果數據處理是“為了保護數據主體或其他自然人的重要利益”“是為了執行公共利益領域的任務或行使控制者既定的公務職權之必要”,“知情同意”就不再適用,其也不再是數據處理的合法前提。從這個意義上說,歐盟法的一般觀點也是,作為數據控制者的公權機關如在履行既定的公務職權,原則上就不再受制于“知情同意”原則。這也意味著,“同意”并非是公權機關進行數據處理的唯一合法性事由,“為履行法定義務或法定職責”同樣會為其合法正當性提供證成。
在提交審議的《個人信息保護法(草案)》中,同樣能夠明顯看到“知情同意”原則在個人信息處理中的優位性。其第二章“個人信息處理規則”中,第13條第1項明確將“取得個人的同意”作為個人信息處理者處理個人信息的一項合法要件,第14條至第17條則細致規定了有關“同意”的具體意涵。除個人信息處理中的“知情同意”外,第26條和第28條同樣將“同意”作為個人信息處理者公開個人信息以及超出公開目的使用合法信息的合法性前提。而在涉及敏感個人信息時,“同意”的要求更會提高,如第30條要求取得個人的單獨同意。概言之,《個人信息保護法(草案)》也的確如其說明所說,是“確立以‘告知—同意’為核心的個人信息處理一系列規則”。
但對權重增加的“知情同意”原則是否會同等程度地適用于公權機關,《個人信息保護法(草案)》作了特別規定,其第35條申明,“國家機關為履行法定職責處理個人信息,應當依照本法規定向個人告知并取得其同意;法律、行政法規規定應當保密,或者告知、取得同意將妨礙國家機關履行法定職責的除外”。據此,“告知+同意”仍舊是公權機關處理個人信息的首要法則,其對公權機關的適用與私主體在原則上并無不同。又根據《個人信息保護法(草案)》的說明,強調“知情同意”對于國家機關的適用,其目的也在于提高國家機關在處理個人信息上的透明度,凸顯個人在數據處理中的自主地位。但國家機關在履職中對此原則的適用存有明確的例外,包括“法律、行政法規規定應當保密”以及“告知、取得同意將妨礙國家機關履行法定職責的除外”等情形。從這個意義上說,《個人信息保護法(草案)》雖然在規范構造上將同意同樣作為公權機關處理個人信息的法則,但在適用效果上,卻如歐盟GDPR一樣,削弱了知情同意原則對于公權機關履職行為的約束。
但《個人信息保護法(草案)》第35條的規定也引出如下問題,是否所有的執法信息都要在“知情同意”原則下豁免,是否公權機關進行的所有公職行為都無須再接受“知情同意”的檢驗,而僅依賴部門職權或是法律授權即可獲得合法性基礎。此外,在考慮知情同意原則的公法適用時,除了要對從知情同意中豁免的“執法信息”的邊界范圍進一步廓清外,私法領域中有關改變傳統“強同意”構造,“在明示同意之外增加擬制同意,以綜合的情境合理判斷替代單一的告知前提,從而縮減信息自決空間、降低同意生效標準、增強適用靈活性”等,用以解決這一原則適用所引發的數據保護和數據利用矛盾的思路,同樣也應被吸納于公法保護的制度構建中。
(四)比例原則與數據最小化
個人信息并非為個人所獨占,在個人數據之上同時承載了個人利益、社會利益和公共利益;對個人信息的保護,也不能放棄數據流通的目的,而兩者的平衡又須在對個人利益、他人利益、企業利益、市場利益和公共利益全面權衡的基礎上實現。很多時候,為了滿足公共利益的保護需求,個人都須讓渡其部分乃至全部的信息權利。但依據基本權利教義,基于公共利益而對個人權利的克減又必須遵守限度、合乎比例,否則就會造成對此種權利的徹底否定和排除。
相比美國是采取個案權衡和“場景理論”就公共利益對個人信息權的限制邊界進行具體化判定,歐盟主要采用比例原則來處理個人數據權與公共利益之間的沖突。歐盟GDPR第5條規定的“個人數據應:(c)充分、相關及以個人數據處理目的之必要為限度進行處理”正是比例原則。這一原則在數據法領域又常被總結為“數據最小化”原則,也同樣被納入我國《民法典》中。除《民法典》外,《個人信息保護法(草案)》中同樣對比例原則和數據最小化予以具體規定,其第20條規定,“個人信息的保存期限應當為實現處理目的所必要的最短時間”,體現的也是比例原則的要求。而在《個人信息保護法(草案)》“國家機關處理個人信息的特別規定”一節中,比例原則對國家機關同樣適用且被特別強調。
比例原則和數據最小化首先強調的是在數據收集方面的“有限原則”,即“無必要不收集”;其次還旨在防堵數據控制者對于所收集數據的深度分析和過度適用。本質上,比例原則和前文所說的數據戰略中所倡導的“數盡其用”之間存在根本性矛盾。就數據庫本身而言,其天然具有自我膨脹的本能,而且數據信息和數據資料越詳盡越全面,其價值也會越高。因為數據與個人之間的匹配度越高,其所包裹的利益就越大。因此,無論是作為數據控制者的公權機關還是私主體,都會存在過度收集和深度分析數據的趨向。在私法領域,對數據的過度收集和深度分析,會導致個人因數據人格被貶損而徹底客體化;在公法領域,如果對于政府收集和分析數據的行為不加限度限制,也很容易就引發政府通過對數據的廣泛采集和深度分析,而對人群進行“數據監控”。這種數據監控不僅會造成公民生活的透明化,會屏蔽異見和反對聲音,也會誘使政府根據數據對人群進行“數據歧視”和“數據操控”。此外,數據的大量聚集,亦會為數據安全帶來隱患,這些因素都成為比例原則發生作用的原因。
比例原則和數據最小化原則雖然在約束公權機關無限度收集個人信息方面至關重要,但在實踐中很容易被突破。例如2011年修訂的《計算機信息網絡國際聯網安全保護管理辦法》第8條規定,“從事國際聯網業務的單位和個人應當接受公安機關的安全監督、檢查和指導,如實向公安機關提供有關安全保護的信息、資料及數據文件,協助公安機關查處通過國際聯網的計算機信息網絡的違法犯罪行為”。實踐中,部分公安機關要求企業提供用戶的詳細注冊信息和登錄日志信息的事件頻頻爆出。因此,究竟何種信息屬于“履行法定職責所必需的范圍和限度”,比例原則在數據權的公法保護中又如何具體展開仍需要進一步細化。
四、“用戶—平臺—國家”三邊關系下的國家積極義務
國家在數據保護中所承擔的消極義務在于防堵國家對于個人信息的無限度收集和不當使用。但除國家公權機關外,個人作為信息主體的信息保護和數據安全還同時面臨其他私人主體的威脅。在數據時代,信息主體與信息控制者之間的矛盾又主要呈現于“用戶—平臺”的私法關系中。
互聯網平臺迄今已逐漸蛻變為市場經濟和社會生活的全新資源配置與組織方式。平臺化使現實世界中的親緣、地緣關系幾乎都轉化為平臺關系,用戶和平臺也不復傳統經濟模式下的消費者與生產者。二者雖然都參與平臺,但用戶是平臺數據的生產者,客戶則為數據買單;而平臺又通過將“用戶”與“客戶”予以連接,從而產生出一種可持續的盈利模式。在此,“算法成為統合平臺的邏輯,數據成為平臺發展的基礎,而用戶則被徹底降格為數據”。平臺的盈利基礎在于用戶所提供的信息,用戶在產出這些信息時又幾乎并未耗費任何成本。但當海量信息匯集于平臺時,數據安全和信息保護問題就會凸顯。
(一)國家介入的必要
在此前相當長的一段時間,我國都是從信息安全的角度處理上述問題,此種信息安全又主要集中于計算機系統安全或運行安全。信息安全觀念所導出的信息保護,也由此主要依賴于“權限管理、病毒查殺、設立防火墻、VPN、入侵檢測”等技術路徑,其主要突出計算機的“運行安全和系統安全”,而并未包含對個人信息權的保護。因為主要依賴技術處理,法律的作用也在很大程度上被排除。在《民法典》納入對個人信息的保護,且《個人信息保護法(草案)》也明確將個人信息予以權利化處理后,上述信息安全的傳統觀念也被漸次放棄。對用戶信息的保護不僅是公共政策的要求,也是權利保護以及法律適用的結果。但如上文所述,因為數據技術上的云泥之別,用戶和平臺之間的關系不能僅依賴私法調整,此時必須強調國家介入,而這也成為國家在個人信息保護中所應負擔的積極義務。
國家對信息主體和數據控制者私法關系的介入,同樣可在歐盟GDPR中找到依據。歐盟曾在95指令中倡導各成員國確立一個或多個公共機構,負責個人數據保護的執行,這些機構不僅獨立行使職權,而且被配備以調查權、有效干預權和參與訴訟的權利。95指令的倡導后來被吸收入GDPR中。除吸納這種模式外,GDPR還對數據保護官的地位、職能進行了相當充分的規定。數據保護官制度被認為是歐盟“信息公法保護”模式的典型表現。與這種制度相連,GDPR對于私人的數據處理還規定了相應的申報制度,即數據控制者及其代表在“實施任何意圖滿足某一目的或是若干相關目的的全部,或部分自動化數據處理操作或成套此類操作前,都須向本國的數據保護機構申報”。以“數據官”和“數據申報制度”為代表的公法保護模式曾遭諸多民法學者反對,被認為“加重了個人數據處理者的負擔”,也“反映除依賴管理的國家主義視角……”,但迄今卻被認為為“完善信息控制者內部治理機制”,“構建數據合作治理”奠定了基礎,且為諸多國家效仿。
事實上,要求國家介入的原因除了在于信息主體與數據處理者之間的不對等地位外,還在于數據控制者本質上并無動力去保護個人數據,因為數據濫用直接的受害者只是信息主體,而并非數據控制者。而且在網絡環境下,因為數據的“隨時產生、多點存儲、多次開發、跨場景應用、多人經手、跨國境傳輸、收集與處理分離、生命周期短”等原因,數據控制者若對個人數據加以高密度保護,不僅在技術上有很大難度,也會產生較高成本,這些因素都決定了其不可能自發地保護個人信息,外部監管和國家介入也因此變得必要。
因為歐盟GDPR的影響,此次的《個人信息保護法(草案)》明確確立了公共數據機構對于私人主體數據收集和處理行為的監管模式。依據該法第56條,在我國負責履行個人信息保護職責的主要部門為國家網信部門,此外“國務院有關部門”,主要包括工業和信息化部、公安部、中國人民銀行等,在各自職權范圍內負責個人信息的保護和管理工作。這一規定在相對集中的個人信息監管體系基礎上,兼顧了各部門和各行業的差異。但本條并未涉及國家網信部門和國務院相關部門的監管職責劃分。此外,上述規定僅涉及中央層面,《個人信息保護法(草案)》在地方層面僅明確了縣級以上地方人民政府有關部門履行個人信息保護和監督管理職責。由此,在未來的數據實踐中,如何廓清各部門之間的職責界限,如何塑建涵括中央和地方的信息監管體制,仍有待探索。
(二)國家如何介入?
傳統上,國家對私法關系的介入主要通過責任追究(包括刑事責任和行政責任)來進行,這種方式同樣被應用于數據保護領域。從域外經驗來看,信息保護法的一項重要目的在于通過構建有效的外部執法機制,借由制裁威脅和責任追究來敦促信息控制者履行個人信息保護的法律責任。事實上,即使如美國這樣在信息保護中強調“行業自律”的國家,也會借助強大的外部執法機制來約束信息控制者的行為。而歐盟GDPR也針對95指令缺乏有效的執法威懾和責任追究的問題,通過確立牽頭數據管理局,加強各國執法合作,提高罰款幅度,增加個人信息泄露后分別通知數據管理局和信息主體的義務,大大強化了外部威懾機制。
我國此前對信息控制者的責任追究方式主要在于2015年《中華人民共和國刑法修正案(九)》中所規定的“侵犯個人信息罪”和“拒不履行信息網絡安全義務罪”,行政處罰則在后來規定于《網絡安全法》第59條至第75條的“法律責任”一章中。但從實踐效果來看,上述責任規定卻存在過于倚重刑事制裁、刑事制裁與行政處罰無法有效銜接、行政處罰部分責任規范與行為規范相互脫節等問題。即使是看似嚴苛和寬泛的刑事制裁,因為帶有象征性立法的頑疾,實際作用效果也相當有限。《民法典》也僅僅是搭建了信息保護的基本制度框架,并未包含責任承擔和追究的體系安排。因此,就需要專門的《個人信息保護法》在綜合治理的框架內,通過納入責任要求、明確行為規范、完善行政責任和刑事責任的有效銜接、加大違法成本、提高違法行為被發現的可能性等方式,構筑有效的責任追究和執法威懾的外部機制。
從目前提交審議的《個人信息保護法(草案)》來看,國家對于平臺的監管同樣遵循了“常規執法+責任追究”的模式。從常規執法來看,因為草案明確了國家網信部門對于信息保護的統籌協調和監管職能,因此,信息監管手段也被作為其“履行個人信息保護職責”的基本舉措而予以規定,具體樣態包括“……(一)詢問有關當事人,調查與個人信息處理活動有關的情況;(二)查閱、復制當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料;(三)實施現場檢查,對涉嫌違法個人信息處理活動進行調查;(四)檢查與個人信息處理活動有關的設備、物品;對有證據證明是違法個人信息處理活動的設備、物品,可以查封或者扣押”。此外,《個人信息保護法(草案)》第60條延續了《網絡安全法》的一般做法,在信息監管中納入了約談制度。“約談”一直以來被作為一種軟性的行政方式,它具有一定的威懾性,但同時也側重于行政部門與相對人的溝通協調,將其運用于個人信息處理的風險防御與安全控制,有助于促成信息管理的合作治理格局。與《網絡安全法》不同的是,《個人信息保護法(草案)》所規定的約談事項已經不限于“網絡存在較大安全風險或者發生安全事件的”,而是擴張至“個人信息處理活動存在較大風險或者發生個人信息安全事件的”。從責任規定來看,《個人信息保護法(草案)》第62條顯然是汲取了歐盟GDPR的監管思路,相較《網絡安全法》大幅提高了處罰幅度,還規定違反信息保護法的行為需同時適用信用聯合懲戒。這些責任規定在很大程度上提高了個人信息的違法成本,由此將信息保護的外部壓力通過嚴厲的制裁威懾而傳導至信息控制者內部。
對歐盟GDPR的經驗吸收還包括對行業自律和行業治理的強調,這一點與嚴厲的違法制裁一起構成了國家多元的介入方法。強調行業自律是為了彌補此前政府在平臺治理中暴露出的局促與不足。因為在技術處理中的巨大優勢,平臺除了存在僭越個人信息、過度操縱市場的問題外,還一再構成對政府市場治理能力的削減。因為數據資源與處理能力的差異,政府已無力再通過傳統的治理機制,作用于平臺市場以大數據為基礎的算法型運作過程,由此便產生這一領域的治理失靈或監管真空,這就使激勵型的行業自治成為平臺治理的重要途徑。
在此思路下,《個人信息保護法(草案)》第五章專門加入“個人信息處理者的義務”,作為第四章“個人在個人信息處理活動中的權利”的對應。在第五章中,草案不僅詳盡列舉了個人信息處理者所應采取的必要措施,還存在對事前的風險評估和信息泄露后報告義務的規定。前者強調個人信息處理者在進行個人信息處理活動前應對“個人信息的處理目的、處理方式等是否合法、正當、必要;對個人的影響及風險程度;所采取的安全保護措施是否合法、有效并與風險程度相適應”等問題進行評估;后者則要求個人信息處理者在發現個人信息泄露時,除立即采取補救措施外,還須及時通知履行個人信息保護職責的部門和個人。在外部的責任追究基礎上,再輔以企業內部的自律治理機制,其目的都是促成《個人信息保護法(草案)》第11條所申明的“推動形成政府、企業、相關行業組織、社會公眾共同參與個人信息保護的良好環境”,由此構建一種“權利控制與激勵機制并行的多元治理機制”。
五、結語
綜上,《民法典》除將個人信息保護提升至全新高度外,更在私權保障基礎上,納入了對個人信息權的公法保護。但因為《民法典》并未對個人信息予以權利化處理,也未對個人信息的公私法保護如何展開進行細致規定,因此,在《民法典》時代如何構建和完善個人信息權的公法保護,就有賴于未來《個人信息保護法》的出臺。
從目前已公布的《個人信息保護法(草案)》來看,其已著眼于建構一種包括公私在內的合作治理機制,而且在公法保護領域,有關國家消極義務和積極義務的框架結構也初現端倪。這一框架符合信息權作為個人基本權利的定位,也有助于我們對繁雜的數據保護問題予以體系化把握。借助這一框架,可對個人信息公法保護所涉及的核心問題予以定位,再通過對《個人信息保護法》的規范闡釋和數據法的原理分析,對其內容進行明晰和填充,并在此基礎上漸次完成我國個人信息公法保護的整體制度構建。