作者簡介:王錫鋅:教育部人文社會科學重點研究基地北京大學憲法與行政法研究中心教授
內容提要:個人信息保護法體系建構的基礎是國家在憲法上所負有的保護義務,該義務對應著“個人信息受保護權”,而不是“個人信息權”。將個人信息作為私權客體的權利保護模式,在規范邏輯、制度功能等方面存在局限;應以“個人信息受保護權—國家保護義務”框架建構個人信息的權力保護模式。在數字時代,個人信息國家保護義務意味著國家不僅應履行尊重私人生活、避免干預個人安寧的消極義務,還應通過積極保護,支援個人對抗個人信息處理中尊嚴減損的風險。基于控制“數據權力”這一侵害風險源的需要,國家一方面應避免過度侵入個人信息領域;另一方面應通過制度性保障、組織與程序保障以及侵害防止義務的體系化,營造個人信息保護的制度生態。
關鍵詞:個人信息受保護權 國家保護義務 工具性權利 個人信息保護
目 錄
一、問題提出及界定
二、個人信息國家保護義務的概念提煉
(一)個人信息保護的兩種基本模式
(二)個人信息國家保護義務溯源
三、個人信息國家保護義務的內涵
(一)個人信息國家保護義務的兩種類型
(二)個人信息國家保護義務的規范結構
四、個人信息國家保護義務的展開
(一)消極保護義務的落實
(二)積極保護義務的落實
結 論
一、問題提出及界定
個人信息保護法體系建構是大數據時代重要命題。在我國,伴隨著已頒布實施的《民法典》《網絡安全法》以及即將出臺的《數據安全法》《個人信息保護法》的立法進程,圍繞個人信息處理中相關主體的權利義務配置,學界從不同角度進行了探討。觀察現有討論可以發現,對個人信息保護的必要性問題已有共識;討論的爭點聚焦在什么是個人信息保護的權利基礎,以及通過何種法律路徑進行保護。具體而言,爭論點集中于兩個方面:一是在權利基礎上,私法上的“個人信息權利(益)”是否成立;二是在保護路徑上,個人信息應通過私法保護還是公法保護抑或綜合保護。目前來看,有論者側重于從民法保護路徑展開探討,有論者則側重于公法與消費者法保護路徑的探討,也有論者敏銳地提出綜合保護路徑的主張。
上述兩個問題在邏輯上是緊密聯系的:個人信息保護的權利基礎,是討論該種權利(利益)保護路徑或方式的邏輯前提,是建構個人信息保護法律制度體系的基石。個人信息保護的權利基礎為何?為何保護?誰來保護?針對何種威脅而提供保護?只有在厘清這些問題的基礎上,方可更好地回答如何保護的問題。
本文認為,個人信息保護的憲法基礎是國家所負有的保護義務。國家負有對公民人格尊嚴和隱私、安寧進行保護的義務;隨著信息時代的來臨,該種義務擴展到對個人信息相關權益的保護。個人信息國家保護義務對應著“個人信息受保護權”這一基本權利,但此種權利并非民法意義上的權利,而是國家履行其保護義務的價值基礎與憲法依據,其功能主要在于對抗和緩解“數據權力”對個人信息造成的侵害風險。這種權利并不等于公民對其個人信息擁有排他性的、支配性的權利。從功能上講,相比于“個人信息權”的保護路徑,“個人信息受保護權”通過強調國家保護義務及其落實,更有利于個人信息保護的目標實現,因為面對數據平臺和國家機關所擁有的強大“數據權力”(data power),通過私法路徑和方式,很難為個人信息提供充分、全面和有效的保護。
二、個人信息國家保護義務的概念提煉
(一)個人信息保護的兩種基本模式在既有研究中,不少論述將“個人信息權益”作為個人信息保護法體系的概念起點,而個人信息權益的法律定性,本質上又是應采用何種模式進行保護的邏輯起點。如何進行個人信息保護?對此問題的回答可類型化為“權利保護”與“權力保護”兩種基本模式。“權利保護”模式將個人信息視作私權客體,試圖構建一種對抗不特定主體的個人信息權;“權力保護”模式則強調在個人信息處理活動中,國家負有保護個人合法權益的義務;相應地,個人信息保護制度倚重的并非賦予個人針對其信息的私人權利,而是國家設定的監管與合規框架及配套執法機制。
主張“權利保護”模式的觀點在我國民法典編纂過程中達到一個高峰。諸多論者嘗試結合域外經驗,證成個人針對個人信息的民事權利。其中一種被許多學者接受的觀點認為,歐盟與歐洲國家的立法與司法實踐將個人信息保護建立在個人享有的民事權利基礎上,即“個人信息權”或“個人信息自決權”這一排他性的、帶有人格屬性的私權,進而主張我國應以民法權利的框架展開個人信息保護的規則設計。在此基礎上,持這一觀點的學者又進一步針對原《民法總則》第111條以及《民法典》第1034條規定的究竟是民事主體針對個人信息享有的權利還是利益、此種權益的屬性究竟是人格權、財產權、前兩者的復合還是新型民事權利展開了探討,并將信息處理者的義務理解為不得侵犯私法主體享有的個人信息民事權益的體現。由此,上述研究形成了“個人信息民事權—個人信息處理者義務”這一民事權利義務結構的分析框架。
然而,從規范邏輯、制度功能、域外經驗等維度觀察,將個人信息私權化的路徑缺乏相應的支撐。首先,從權利本身的規范邏輯上看,基于個人信息交互性、分享性、公共性的特點,其難以成為民法所有權邏輯下一個排他性的個人控制的客體。一旦認為個人可以“基于自己意思自主地決定個人信息能否被他人收集、儲存并利用”,將妨礙基本的社會交往,也無法釋放信息的公共價值。同時,個人信息具有動態性、場景性的特征。隨著大數據技術的發展,個人信息可識別性和相關性標準的邊界不斷擴張。靜態的民事權利客體的理念無法有效回應這一趨勢,強行將個人信息私權化也會造成民法的體系混亂。
其次,從制度功能上看,依托于意思自治、主體平等基礎的私權保護路徑無法應對強大的私人機構以及國家機構處理個人信息時的非對稱權力結構。認為“無論國家機關處理自然人的個人信息,還是非國家機關處理自然人的個人信息,也無論處理者處理自然人個人信息的目的是行政管理、公共服務還是營利目的,處理者與自然人都屬于平等的民事主體”的觀點,忽視了個人與信息處理者之間明顯的不平衡關系。正如張新寶指出,面對強大的個人信息處理者,抽象的民事權利規定容易被虛化,淪為“紙面上的權利”;個人信息保護的有效性必然有賴于國家規制,實踐中站在維權第一線的其實往往是監管者而非個人。
最后,從比較法的經驗觀察,認為歐洲確立了民法上的個人信息權的觀點,其實屬于對域外經驗的誤讀。實際上,歐盟個人數據保護的權利來源是憲法性權利,而非民事權利。歐盟數據保護專員公署(European Data Protection Supervisor)亦明確指出:歐盟數據保護規則并非賦予個人針對其個人信息排他性的民法權利,那種認為個人針對其個人信息享有“所有權”或“決定權”的觀念是一種誤讀。而在美國法上,雖然個人信息保護在學理上被納入“信息隱私保護”的范圍,但主要的保護路徑依然是國家在教育、醫療等特定領域直接立法保護,以及允許企業制定隱私政策但經由監管機構在個案中調查審核的模式。這些規則主要針對商業或專業處理機構,并不適用于一般的私主體。可見,美國亦不存在通過立法將個人信息私權化的現象。實際上,我國立法者對個人信息保護私權化的態度也是極其審慎的。不論是《民法典》還是《個人信息保護法(草案)》,均未規定個人針對個人信息享有民事權利,而是強調“個人信息受法律保護”。
在“權利保護”模式難以證成的情況下,已有學者就“權力保護”模式下的制度構建展開了探討。例如,丁曉東提出,應當從行為主義與場景主義的角度對個人信息處理展開規制。又如,周漢華提出,應當強化公法上的個人信息控制權,建立權利控制與激勵機制并行的多元治理機制。但這些研究更多集中在立法和執法的操作層面,忽視了在作為法秩序基礎的憲法層面上對國家的角色與義務進行理論建構。個人信息保護權屬基礎不明、法律關系模糊的問題依然存在。如何對“個人信息權益”這一支點進行概念演繹以編排《個人信息保護法(草案)》中“個人在個人信息處理活動中的權利”“個人信息處理者的義務”“履行個人信息保護職責的部門”等關鍵概念間的邏輯關系,是個人信息保護法體系建構必須回應的問題。此時,對憲法上“個人信息國家保護義務”這一概念展開探討顯得尤為必要。
(二)個人信息國家保護義務溯源
從比較法視角看,在憲法層面確立個人信息國家保護義務的做法來源于歐盟。1953年生效的《歐洲人權公約》第8條為歐洲國家的個人信息保護提供了初步規范依據。之后,歐洲委員會通過了第(73)22號和第(74)29號決議,提出了保護私營部門和公共部門自動化數據庫中的個人數據的原則。但這兩項決議只具有倡導性,并未直接對各國設定法律上的國家保護義務。直到1981年,《有關個人數據自動化處理中的個體保護公約》即《第108號公約》成為全球范圍內有關個人信息保護的第一份具有法律約束力的國際性文件。《第108號公約》建立了有關個人數據保護的基本原則以及各締約國之間的基本義務,并將對個人基本自由與權利的保護作為締約國履行條約規定的國家義務的出發點。隨后,葡萄牙、奧地利、西班牙等歐盟成員國紛紛在憲法中確立了個人信息受保護的基本權利。
步入21世紀后,在憲法層面確立個人信息受保護的基本權利與國家相應的保護義務,漸成歐盟成員國的價值共識。2000年制定、2009年生效的《歐盟基本權利憲章》(以下簡稱《憲章》)第8條第1款規定:“任何人都享有對關乎自身的個人信息的受保護權利”。《歐盟運作條約》第16條第1款亦采用了“個人信息受保護權”(the right to the protection of personal data)的表述。從規范邏輯上看,由于《憲章》和《歐盟運作條約》對所有歐盟國家都具有法律拘束力,個人信息受保護權在歐盟層面作為一項基本權利,調整的是個人與國家之間的法權關系。在法權結構上,這彰顯了憲法層面對國家提出的規范要求,而非旨在建構個人針對其信息的“個人信息權”(the right to personal data)。
由此,個人信息受保護權成為歐盟成員國履行個人信息國家保護義務的憲法依據與價值基礎,個人信息國家保護義務則成為個人信息受保護權的功能體現與其所導向的規范要求。國家有義務最大化地實現憲法的規范意圖——即促進個人信息受保護權的實現。“個人信息受保護權—國家保護義務”的法權結構能夠有效促進國家履行其在個人信息處理中對個人的保護義務,具體表現為以下三個方面:
第一,指引作用。個人信息國家保護義務凸顯和強化了國家的任務、目的和理念。相關國家權力的配置和運行,都應當有利于個人信息受保護權這一憲法的價值決定得到保障和實現。即使沒有賦予個人針對個人信息的支配權,國家也可以通過立法將個人信息保護規則具體化,對個人進行周延的保護。例如,1995年歐盟議會與歐盟理事會通過的《關于涉及個人數據處理的個人保護以及此類數據自由流動的指令》(第95/46/EC號歐盟指令,下文簡稱《指令》)直接以指令而非條約的形式要求各國完善數據保護立法,以落實數據處理領域的國家保護義務。2018年生效的GDPR則更進一步對歐盟各成員國具有直接適用效力,無需成員國再自行轉化為國內法。GDPR同時建立了一個強有力的統一解釋機制,以確保各國適用GDPR時均能最大化地實現個人信息受保護權,因此更為直接地貫徹了個人信息國家保護義務的要求。
第二,整合作用。個人信息國家保護義務可以整合和控制國家公權力的各種作用方式,使個體基本權利在相互協調之下達到整體效用的最大化,維護社會共同體的整體法益。相較于將個人信息作為私權客體的“紙面上的權利”而言,國家可以對個人采取消費者保護、行政法保護、刑法保護等多種方式,綜合運用不同工具開展個人信息保護。同時,由于個人信息具有交互性、分享性的特點,國家在履行個人信息保護義務時亦需要在不同的利益、權利和基本自由之間保持謹慎的平衡。正如《指令》立法目的所顯示的,除了保護個人信息之外,也有促進數據市場統一與數據流通的目的,這體現了歐盟立法者嘗試在個人信息處理中兼顧個人保護與信息自由流通的努力。
第三,評價作用。國家權力的參與雖然有服務于個體權益與公共福祉的一面,但同時也意味著國家對社會和市場的干預。因此需要從憲法層面確保國家權力在理性化、法治化的軌道上運行。一方面,需要明確憲法上的規范要求,避免國家權力消極不作為;另一方面,也需要防止國家以保護為名侵害公民的基本權利。這便要求相關國家權力的行使具有正當理由和合理界限,避免滑向國家控制過度及對社會的侵蝕。個人信息國家保護義務正是評價相關國家權力活動的憲法標尺,違反或未盡到國家保護義務的國家機關將承擔相應的法律責任與政治責任。也即是說,國家權力應當接受合憲性審查機構的審查與監督。其中的審查重點則在于立法者是否通過立法妥善地盡到了實現個人信息受保護權的職責。例如,在2016年的Tele2 Sverige AB案中,歐盟法院明確指出:《憲章》第8條所保障的是個人“獲得國家保護個人信息的權利”,因此“剝奪由獨立機構審查國家立法是否遵守歐盟法律所保障的個人信息保護水平的救濟方式,將影響到個人信息權利的實質。”又如,在2015年的Schrems案中,歐盟法院認為,《憲章》第8條要求歐盟成員國必須確保個人數據在歐盟境內外都得到高水平的保護,因此需要對相關的數據處理立法規定進行嚴格的審查。可以說,歐盟權力機關和成員國權力機關都有實現《憲章》第8條的國家保護義務的職責。與其他主權國家僅由國內合憲性審查機構進行合憲性評價與糾偏的單層國家保護義務機制不同,這是歐盟特殊主權結構下的雙層國家保護義務。
三、個人信息國家保護義務的內涵
“個人信息受保護權—國家保護義務”是一體兩面的概念,本質上是“基本權利—國家義務”體系在個人信息保護領域的運用。個人享有的個人信息受保護權必然要求國家對個人在信息處理領域中的個人進行保護與支援。在此語境下,確立與澄清個人信息國家保護義務的內涵,便需要對個人信息受保護權的價值基礎、主要類型與權利結構進行識別與辨析。
(一)個人信息國家保護義務的兩種類型
傳統“基本權利—國家義務”結構的理論根據是自由主義和個體主義。但從信息流通普遍化的非個體主義視角看,要全面理解個人信息國家保護義務的規范內涵,還必須考慮其客觀功能和整體社會效益。因此,可以將個人信息國家保護義務分為消極義務與積極義務兩種類型,并結合歐盟經驗考察其成因與具體內容。
1. 國家的消極義務與個人信息受保護權的防御權功能基本權利最原始的機能是防御權,即公民對抗國家不當干預其自由和侵害其財產的權利。當國家試圖侵害被基本權利所保障之法益時,公民可以直接按照基本權利規范來請求國家不得干預或侵害。該種要求停止干預或侵害的請求權機能,反射至國家一方,也就是國家身負不得侵犯的禁止作為義務。
自《歐洲人權公約》公布實施以來,歐洲人權機構長期將個人信息處理問題納入《公約》第8條對于私人生活的古典自由權保護框架中,強調個人信息受保護權的防御權面向。在1997年的Z v. Finland案、2000年的Rotaruv. Romania案中,歐洲人權法院均認為:“個人信息的處理需要受到保護,以確保個人享有私人生活受尊重的防御權利。”正如歐洲人權法院在其發布的《歐洲人權公約第8條適用指南》中所指出的,在這一階段,國家主要負有消極保護義務,其角色主要是尊重私人生活的安寧,避免侵害與干預,以一種靜態觀念厘清國家權力與個人自由的邊界、讓個人安然獨處即可。此時信息處理者即使在處理過程中對私人生活造成了侵害往往也是單獨、分散、非持續性的;法院的審查亦著眼于單次的侵入。這主要體現的是立憲主義立場下人性尊嚴的“不可冒犯性主張”。
依循這一理念,即使是個人信息受保護權被確立為一項獨立的基本權利后,在消極義務的面向上,歐洲人權法院與歐盟法院也常常將個人信息受保護權與保護私人生活結合起來理解,強調國家機構應避免在個人信息處理的過程中侵害私人生活,并嚴格限定基于公共利益需要收集和使用個人信息的范圍。亦即,國家一旦對個人信息進行處理就意味著對個人生活的干預,增加了監控的風險并引發公民的恐懼感。因此,國家機關處理個人信息的活動需要受到法律保留原則、法律明確性原則、比例原則等法治國原則的拘束。此時個人信息受保護權的主觀面向往往會與憲法上的隱私權、通信秘密產生競合。個人信息受保護權主觀防御權功能的運用更多是體現出了數據處理活動相較于其他國家干預方式的特殊性,但在具體案件中一般需要結合其他基本權利進行理解和適用。
2. 國家的積極義務與個人信息受保護權的客觀法功能
雖然個人信息國家保護義務曾長期以消極義務為主要呈現姿態,但隨著時間的推移,尤其是進入21世紀后,歐洲人權法院也開始了一定程度的轉向,開始強調“在歐洲人權公約第8條的框架下,國家負有確保尊重私人生活的目的得以實現的積極義務”。其背后反映的變化,乃是現代社會中隨著信息搜集、儲存、整合、傳播及處理方式的迭代革新,個人基本上難以從信息網絡,尤其是電子化場景中抽身退出。傳統“私人生活保護”所遵循的“權利具有絕對性質,信息獲取便推定違法”的古典自由權邏輯在許多場景下已不再適用。相較而言,個人信息受保護權在大數據時代的基本假設是,個人信息本身便具有一定的交互性與公共性,個人信息處理在現代社會中是必要的。盡管應考慮到某些條件和保障措施,但對個人信息的基本推定是“可以被處理”。而真正需要國家介入的關鍵在于:個人此時面對的不是普通的私人主體,而是強大的、組織化的信息處理機構;加之信息時代下個人信息處理往往是動態化、復雜化、風險不確定的過程,因此個人難以在參與及做出選擇的過程中保持清醒、警惕、知情及自治。為使個人免于受到信息處理機構的支配,就需要國家積極保護相關個人。由此,個人信息受保護權變成了一項積極的權利,具備了客觀價值秩序(客觀法)的功能, 即國家必須創造和維護有利于實現個人信息保護的制度環境。在大數據時代,個體只有通過國家的積極保護才能充分實現其個人信息受保護的權利。該種權利的實現要求國家積極保護,提供有效的制度供給,幫助個人對抗大規模、持續化數據處理中人格尊嚴減損的風險。這也是個人信息受保護權在歐盟層面作為一項獨立基本權利的真正價值所在。
歐洲數據保護專員公署于2015年出臺的《邁向新的數字倫理:數據、尊嚴和技術》報告在評析這一權利邏輯變化時亦明確指出:“個人信息保護與個人的個性發展有著內在的聯系。更好地尊重和保障人的尊嚴,可以制衡現在個人所面臨的無處不在的監視和權力不對稱,這是新時期歐盟數據道德的核心。”該報告進一步確認“個人信息受保護權的主要目的是作為防御大規模個人信息處理對尊嚴潛在侵蝕的補充力量”。從這個意義上看,個人信息保護規則所保護的并非個人信息本身,也非個人針對信息享有的民法人格權,而是個人信息處理活動中可能受到威脅的相關個人的合法權益,亦即《憲章》第1條規定的“人性尊嚴不可侵犯”所具體指向的個人自治以及隨之得到保障的不歧視(平等)、身份識別(信息的正確與完整性)、安全與財產利益以及社會信任等附加的實體價值與其他基本權利。個人信息權益就是基于個人信息受保護權實現而獲得保障的各種相關法益。因此,在大數據時代,個人信息國家保護義務的價值基礎便在于:在政府或商業組織積累和使用大量數據的場景下,面對個人與信息處理者之間存在的持續性的不平等關系,需要國家轉變消極的“守夜人”角色,通過強有力的規制手段保護處于弱勢地位的個人,避免個人由于被工具化而喪失主體性地位。個人信息受保護權聯結的是對以尊嚴為核心的基本權利與實質價值的保護。
同時需要注意的是,在歐盟法體系內,基于以尊嚴為核心的基本權利規范還有其他重要的側面(如言論自由與公眾知情權),國家保護義務的履行必須符合《憲章》的整體價值秩序。國家在保護個人在信息處理過程中免于受支配的同時,亦需協調言論自由、公眾知情權等其他基本權利和數據自由流通、技術創新、建立統一的數據市場等重要目的。
3. 個人信息受保護權在我國憲法上的安頓
個人信息國家保護義務在我國憲法上的首要根據便是《憲法》第33條第3款規定的“國家尊重和保障人權”。對應前述兩種類型的國家義務,“尊重”側重國家對私人生活的不得侵犯,是個人信息受保護權主觀防御功能與國家消極義務的體現;“保障”則更側重個人信息受保護權的客觀方面功能,其中就包含了要求國家積極通過立法和其他公權力行為,以保護基本權利主體在個人信息處理中免于受支配或陷入信息處理者制造的危險或風險的含義。這兩種類型的義務又可以被統攝于《憲法》第38條對公民人格尊嚴的保護之中。
實際上,我國憲法基本權利規范體系中的諸多內容都可能在個人信息處理過程中遭受信息處理者的侵害。例如,大規模信息泄露導致的財產損失、名譽損害的風險;算法自動化決策下,公民勞動權、受教育權所面對的歧視風險;網絡平臺運營者和服務提供者對通信自由與秘密的監測與傳播風險等等。這些個人信息處理活動中所蘊含的、超出傳統信息流時代的系統性風險,均需要立法者予以充分評估與管控。
我們需要注意,基本權利的保障與實現有賴于具體的社會政治條件,在大數據、云計算、人工智能技術不斷迭代更新的時代,社會本身已經變成諸多信息技術的真實演練室,公民個人也直接置身于信息技術宰制的風險之中。因此,在我們這個觀念上強調國家對人民積極扶助、救濟與保障的社會主義國家,以憲法為基礎,建立個人信息受保護的法律框架與國家保護義務體系,是保障公民免于被支配,促進人格發展的應有之義。由此而言,即使我國《憲法》并未對個人信息保護作出明確的規則表達,但基于基本權利條款的上述規范要求,從《憲法》第33條第3款以及38條延伸出個人信息受保護權的內涵并確立憲法上的個人信息國家保護義務,進而對國家權力進行妥當的指引與評價,對于保障公民人格尊嚴與相關基本權利具有現實的必要性。
(二)個人信息國家保護義務的規范結構
基于個人信息受保護權實現的憲法規范要求,個人信息國家保護義務的規范邏輯結構由“侵害來源”和“保護方式”兩部分構成,也就是針對何種侵害源的保護、如何進行保護的問題。以下就國家應當針對哪些侵害來源承擔保護義務、通過哪些途徑展開保護義務進行扼要分析,以充實個人信息國家保護義務的法理框架。
1. 個人信息國家保護所針對的侵害風險源
在現代社會,信息處理活動很大程度上決定了人們的選擇空間與可能獲得的結果。亦即,數據權力(data power)已經成為一種廣泛而普遍的社會事實。當下諸多具備大數據挖掘能力的專業或商業機構具有以下特征:“掌握龐大的數據量、超乎常人想象的收集速度、多元的數據種類、潛在的詳盡范圍以及強人工智能技術下的數據關聯與整合能力。”可以說,在金融、教育、醫療、社會保障等各個領域都已形成“數據依賴”的時代,個人信息的利用與保護不僅關涉個體,還與整個社會的權力結構及運行機制相關聯。
大數據一方面增進了個人生活便利和社會福祉,另一方面也導致了社會權力結構的變化。以國家機關、其他履行公共職能的組織、國內外大型平臺等“準官僚化”機構為代表的數據權力主體大規模地集聚并利用個人信息來塑造與調整個人的行為,成為最主要的侵害風險源。首先,這些機構的信息處理行為往往伴隨著監控、歧視、支配個人的風險,信息處理者可以通過挖掘信息形成特定的“人格畫像”,從而對私人的決策進行隱形的控制與干預。其次,個人信息的聚沙成塔導向了“數據壟斷”下信息處理者與個體之間高度不對稱的權力結構,這使得信息處理機構對個體造成的壓迫感愈發強烈,增加了個人的無力感,甚至引發“寒蟬效應”。再次,這種數據累積性效應不僅導致個人無法判斷風險發生的時間點、危害程度與后續效應,也使得事后的損害認定愈發困難、個人往往難以獨自開展私法救濟。最后,在制度環境與技術條件不完善的現下,數據處理活動中的疏失、泄露等信息安全風險及伴隨的衍生損害亦日益加劇,個體的不安全感不斷上升。
可以說,面對這些來自數據權力的侵害風險,希望通過象征性的、形式化的個人自主決定和支配來進行個人信息保護的私法機制,看似體現了對個人主體地位的尊重,實際上是將個人的選擇置于數據權力的控制之下,缺乏制衡能力與信息資源的個人并無法憑借“信息自決”來實現對上述侵害風險的防御與保護,以事后救濟為主的“權利模式”對于控制大規模、持續性的信息處理風險而言顯得捉襟見肘。只有通過國家保護義務這一兼具公共強制與理性治理的機制,才能有效防范數據處理風險,使個人與個人信息處理者之間構成合理的制衡狀態,從而避免個人時刻處于被數據權力支配的恐懼之中。這構成了國家落實個人信息保護義務的必要和正當理由。
因此,個人信息國家保護并非旨在支援個人對抗所有社會主體,而是有針對性地防范特定風險源。無論是GDPR所規定的“數據控制者”和“數據處理者”,或是我國《個人信息保護法(草案)》規定的“個人信息處理者”,都排除了“純粹個人與家庭生活中的信息處理活動”。個人信息保護所針對的侵害來源,是與普通個體之間存在持續性不對稱關系、可能對個人信息處理中的相關個人進行支配或壓迫的數據權力,其中既包括直接控制個人信息的主體,也包括接受委托處理個人信息的主體。具體包括以下幾種類型。
首先,企業等商業性組織代表的“準數據權力”。私營部門的規模化個人信息處理活動是最主要的侵害風險源之一。正如Jack Balkin所指出的,大型平臺和企業對個體尊嚴構成了巨大的威脅,個體既無法單獨抵抗,也無法在這個依賴信息流通帶來便利與福利的環境下抽身而出。因此,掌握大數據運用能力與算法技術的商業組織是一種“準公共權力”性質的機構。這種風險源可結合企業的收入、信息收集量、信息挖掘能力進行界定。例如,美國《加州消費者隱私法》便將受管轄的企業范圍限定在年收入超過2500萬美元,或者為了商業目的而收集50000條以上個人信息以及年收入的50%以上為銷售消費者個人信息所得的公司。
需要注意的是,個人一般情況下無法成為侵害風險源。這是因為,個人信息受保護權的規范目的是,在承認數據技術對于信息分享的積極意義上,試圖抵消或糾正不正當的數據利用方式帶來的沖擊,而非通過控制數據流動去影響數據的分享。此時如果把個人直接納入到法律規定的信息處理者中,就會導致執法對象的泛濫、信息流通受限,偏離制度設計的初衷。所以,原則上國家保護義務所針對的主體不應包括個人,除非有跡象表明其擁有大規模、持續性數據處理的能力。
其次,履行公共職能的主體所代表的“公共數據權力”,其中除了國家機關外還包括所有提供公共服務或從事公共管理的組織。對于國家機關處理個人信息,我國《個人信息保護法(草案)》進行了初步規定。然而,公共企事業單位和國家機關一樣,也是管理國家經濟、文化、社會事務的重要平臺。許多具備資金、人員、技術的公共企事業單位基于公共服務或管理之需,也可能展開大規模、持續化的個人信息處理活動,因此不應被排除出個人信息保護法的監管范圍。此外,其他并非公共企事業單位,但具有公共性或者公益性的組織,如慈善組織,也應被納入監管范圍。
最后,域外組織處理個人信息的風險。由于個人信息處理規則適用于一國主權范圍內所有自然人以及信息處理活動,因此個人信息國家保護義務在現實中所需處理的問題不僅包括如何規范國內各種個人信息處理活動,還包括日益廣泛的跨國數據傳輸和處理中的保護。《個人信息保護法(草案)》與GDPR都針對個人信息跨境傳輸作了特別規定,這也是國家積極保護義務在制度層面的投影,也即是說,國家保護義務實際上具有了某種意義上的域外效力。
2. 控制侵害風險的基本路徑
基于對數據權力這一侵害風險源進行控制的需要,國家應從不同路徑展開其保護義務。
一方面,國家需要意識到,其自身也是一個侵害風險源,應盡可能減少和避免對公民私人生活的干預與監控。在大數據時代,主要挑戰是如何將“監控國家”之實踐(surveillance state)納入法治框架。“監控國家”表現為政府基于國家安全、預防犯罪與社會管制的考慮,通過通訊技術、攝像頭監控、網絡流量監測等方式,對個人的生物、行為等信息進行采集與處理,并用于執法、監管和風險控制。例如,公共區域圖像采集、人臉識別、行程軌跡追蹤等就是典型的監控工具。雖然監控技術的應用和大數據驅動的數字化治理有助于精準、智能化地預防和應對不確定風險,但同時也會帶來過度監控風險。如果不能在法律上明確和強調國家的消極義務,濫用監控工具的風險就會成為現實危險。落實國家消極保護義務,需要厘清國家進行個人信息收集與處理的負面清單。在這方面,《民法典》第1039條禁止國家機關、承擔行政職能的法定機構及其工作人員非法提供個人信息、《個人信息保護法(草案)》第27條關于“在公共場所安裝圖像采集、個人身份識別設備”等規定,都體現了國家在個人信息保護方面的消極保護義務。
另一方面,《個人信息保護法》的制定過程更多貫徹了個人信息受保護權的客觀法功能所指向的積極義務,這要求國家針對數據權力這一侵害風險源而提供積極保護。例如,《個人信息保護法(草案)》第11條要求“國家建立健全個人信息保護制度, 預防和懲治侵害個人信息權益的行為”;第58條規定“國家網信部門和國務院有關部門按照職責權限組織制定個人信息保護相關規則、標準,推進個人信息保護社會化服務體系建設”等,都是國家積極義務的明確體現。若是從體系化視角觀察國家積極義務的實現途徑,基于客觀法功能導出的國家義務包括制度性保障、組織與程序保障、保護公民免受第三人侵害的義務(侵害的防止義務)這三項基本要求。也就是說,國家權力需要對大數據時代下的個體人格和尊嚴提供制度性保障和秩序擔保。
在這個意義上,個人信息國家保護義務不僅構成立法機關建構個人信息保護法體系的原則,也構成行政權和司法權在執行和解釋法律時的上位指導原則。從國家不同權力分支的任務來看,個人信息國家保護義務的不同面向并非彼此獨立、互不聯系,而是需要國家在立法、執法與司法中進行統籌協調。首先,個人信息國家保護義務直接約束立法者,國家需要綜合不同的部門法工具來制定專門的法律,注重具體立法技術與制度選擇的多元化、靈活性與體系性,以有效提供個人信息受保護權得以充分實現的諸項條件,并為數據技術和產業發展的政策目標提供廣闊的容納空間與統籌可能。其次,國家保護義務也約束行政權和司法權。具體來說,第一,監管者在履行保護職責、進行職權裁量的過程中應時刻以個人信息受保護權作為其考量因素,運用各種監管手段來促進和保障基本權利的實現,并在日常執法中實現精細化調整與理性治理,兼顧對產業發展的引導和推動。第二,司法機關對監管部門的相關行為(如監管機構不履行保護職責或履行保護職責不適當)進行審查時,也應依據基本權利保護的標準來監督保護義務是否有效履行,控制“保護不足”或“保護過度”的情形。第三,在對非國家機關侵犯個人信息的活動進行審查時,裁判者在適用法律的過程中也應著眼于個人信息處理過程中不對稱權力存在的事實,不能簡單地將民法所設想的主體平等、意思自治的民事主體關系直接套用到個人與信息處理者的關系結構之中。
上述關于國家保護義務規范結構的分析,有助于我們對《民法典》和《個人信息保護法(草案)》中相關概念及其關系進行符合邏輯的詮釋。從基礎概念看,《民法典》第1034條規定的“自然人的個人信息受法律保護”并非確立一項私法權利,而是憲法上個人信息國家保護義務在具體法律中的規范表述,因為制定與實施法律是國家保護義務履行的主要方式。“個人信息權益”,其實是個人信息處理活動中可能受到數據權力威脅的、需要國家保護的合法權益;“個人信息權益不受侵害”,則意味著與個人信息受保護權相關的各種法益受國家保護。從具體規定觀察,“個人在個人信息處理活動中的權利”“個人信息處理者的義務”“履行個人信息保護職責的部門”等概念,則來源于國家保護義務履行的不同方式,對此,下文將結合國家保護義務的具體落實途徑而展開。
四、個人信息國家保護義務的展開
個人信息國家保護義務的展開和落實,是一個綜合不同法律技術與制度工具的系統過程,需要國家統籌協調不同部門法工具,吸納多元主體參與,兼顧對個人信息的消極保護和積極保護。
(一)消極保護義務的落實
在傳統上,消極保護義務所指向的個人防御權要求國家不得侵入個人信息領域。但在以大數據和信息技術廣泛應用的“信息國”時代,以對個人數據的采集和處理為核心的“監控”已成為一個普遍事實。在這個背景下,落實國家消極保護義務的關鍵,并非禁止國家使用監控等數據處理技術,而在于強調監控手段運用的價值理性和工具理性。監控(surveillance)是在傳統安全觀念和治理手段基礎上,為回應復雜、多樣的安全風險而孕育的權力和技術工具,在反恐、傳染病監控、自然災害和市場風險、公共安全等領域已普遍使用。但數據監控工具如果不能被有效控制在以憲法為根基的法秩序之內,則極易被濫用,甚至導致工具的“反噬效應”。因此,不能僅關注監控的有效性,應當在消極保護義務的價值規范要求下,考慮工具有效性和私人生活安寧之間的平衡,具體可從立法規則表達、過程控制與救濟機制三個層面進行落實。
在規則表達層面,應對公共監控的權限設定進行嚴格控制。對哪些事項可以監控?哪些主體有權監控?這涉及到監控權限設定和配置。應根據不同信息與私人生活安寧之間的接近程度(敏感度),將個人信息的采集和處理區分為絕對法律保留與相對法律保留事項,并依此進行設定權的配置,逐步清理超越設定權限的法規范。同時,規范完善的過程中需要對“為履行法定職責處理個人信息”“公共安全需要”等不確定法律概念進行要素的列舉、提煉及類型化界定,避免監控權擴張。例如,在Marper案中,歐洲人權法院以“相關立法中‘預防犯罪’的措辭相當籠統,可能引起寬泛解釋”為由,判定英國立法沒有履行消極保護義務。
在過程控制層面,應注重將與個人信息監控和處理相關的政府決策和決定透明化。尤其是在處理技術復雜、處理流程持續的場景下,單純依靠抽象的法律規定難以使人產生穩定預期,故監控信息處理的透明度和說明理由顯得尤為必要。具體而言,可以要求政府在啟動監控行為前履行一定的信息披露和解釋義務;在監控行為實施后履行報告、評估、糾正與刪除義務,這既有利于監控權力的審慎行使,也有利于公共問責機制的展開。
在救濟監督層面,個人得請求司法機關介入以審查公權力主體是否履行了消極保護義務,這是防御權的核心要求。這一要求在我國既有的法體系建設中還有待進一步完善。例如,《數據安全法(草案)》第22條規定:“國家建立數據安全審查制度,對影響或者可能影響國家安全的數據活動進行國家安全審查。依法作出的安全審查決定為最終決定。”這不僅明確排除司法救濟,而且在審查主體、審查標準、審查程序上也不夠清晰,可能導致安全審查權過度。又如,《個人信息保護法(草案)》第67條針對國家機關處理個人信息并未明確規定司法救濟和國家賠償,只籠統規定了國家機關內部監督。這些規定可能對個人防御權的行使構成過度限制,應在法體系建設中予以完善。
(二)積極保護義務的落實
1. 制度性保障
國家首先需要建構個人信息處理的基本制度,設定個人與個人信息處理者之間的權利義務關系結構,確保個人實質性參與信息處理過程,對信息處理者形成制衡,以充分實現權益保障目標,這便是個人信息國家保護義務的制度性保障面向。制度性保障課予國家建構和維護一套關于個人信息處理基本制度的“客觀”義務。基于支援個人對抗數據權力的需要,立法機關有必要通過制度建構,賦予個人在信息處理中的工具性權利,同時設定信息處理者的相應義務與行為模式,從而建立起個人與信息處理者之間的制衡結構。由于數據處理者與個人在資源、技術等方面的明顯不對稱地位,個人單憑其自身力量將無法對抗數據權力的壓迫和支配,因此,個人信息國家保護義務必然要求國家介入,提供一套制衡性的個人信息處理權利義務規則。
歐盟的數據保護立法以及我國《個人信息保護法(草案)》正是以制衡數據處理者權力為目標,通過賦予個人在信息處理中的知情權、訪問權、攜帶權、更正權等具體權利,保障其在數據處理全流程,包括信息收集、存儲、使用、傳播、更正、刪除等各個環節都可深度參與,以緩解個人面對信息處理者的無力感。相應地,信息處理者應當建立個人行使權利的申請受理和處理機制,同時需要遵守對個人信息處理的既定義務與程序要求。例如,確保信息準確、完整,處理信息需符合法定或約定目的,保證自動化決策滿足公平合理等合規要求,從而形成有助于保障個人權益的行為模式。
可以說,制度性保障的實質是國家針對組織化、官僚化的信息處理者所建構的一套工具理性框架,其目的在于形成有效的制衡結構。正如歐洲數據保護專員公署所指出的那樣,GDPR第三章規定的“數據主體的權利”實際上是在個人信息國家保護義務下,面向促進個人信息受保護權實現之目的,國家通過制定規則與采取監管措施“賦予個人對抗數據處理者的手段和工具”。在歐盟監管機關看來,這些權利有助于使數據處理者可持續地、合乎道德(即保障個體尊嚴)地使用數據,是保障個人不受數據權力支配的手段,因此具有工具價值。與此類似,我國《個人信息保護法(草案)》在第二章“個人信息處理規則”及第四章“個人在個人信息處理活動中的權利”中所規定的知情權、訪問權、更正權、刪除權、自動化決策拒絕權等,也是調整個人與信息處理者之間關系結構的工具性權利。
這些工具性權利與傳統民事權利在邏輯上存在顯著區別。首先,在權利的發生機制上,工具性權利并非由個人對其個人信息的占有和控制衍生而來,而是國家履行保護義務的結果;其次,在權利功能方面,工具性權利并非私權邏輯下以保障個人對其個人信息的占有、支配為目的,而是為了在數據處理中制衡數據處理者;最后,在權利保障方面,國家統籌多種法律責任機制,包括行政處罰、刑事追責以及民事追責,來延伸和落實國家保護義務。
應當指出,雖然賦予個人這些工具性權利的目的在于對信息處理者進行制衡,但這并不意味著個人享有針對其個人信息處理的排他性決定權。也就是說,這些權利并不等于“信息自決權”。立法者只是通過特定的制度設計保障個人在與其相關的個人信息處理活動中的發言、參與和選擇,以抑制個人信息處理者的恣意和濫權,但并非賦予個人對其個人信息的實體性控制權。
從立法論的角度看,這些工具性“權利簇”,范圍究竟多大、具體如何操作、例外理由如何設置(如同意的例外情形)、是否可以設定經濟激勵機制等問題,都需要由立法者加以界定,這屬于立法者的形成自由,而非不言自明的、絕對的權利。事實上,在《憲章》起草的過程中,采用信息自決權概念的建議最終被否決,一個重要的理由便是擔心這種權利定位會產生個人對信息處理具有絕對決定權的誤解,阻礙信息的流通與分享。Robert Post教授亦指出:“《憲章》第8條指向的通過一系列個人信息操作規則賦予個人針對個人信息的‘控制權’,必須是在針對與龐大的、密不透風的官僚組織(large bureaucratic organizations)作斗爭的境況中才具有意義,不能適用于公共交流、媒體報道等溝通型語境中。”因此,必須對國家制度性保障義務下所派生的此種工具性的“控制權”的行使進行必要限定,不能將憲法上的個人信息受保護權直接轉化為個人對個人信息所享有的排他的、積極的支配權。
那么,個人信息處理制度中的操作規則應達到什么樣的質量標準?結合上文分析,個人信息處理操作規則應滿足充分實現對數據權力的制衡以及促進個人信息受保護權實現等規范性要求。具體而言,第一,操作規則必須滿足明確性、透明性的要求。由于這些操作規則發揮著個人信息處理方式具體化的功能,直接關涉到個人的信息權益能否得到充分保障,因此必須制定明確、透明的操作規則。例如,GDPR第12條規定,在提供信息傳達數據主體如何行使其權利方面,數據控制者應承擔廣泛的義務。相關信息必須簡潔、透明、清晰易懂,且必須以特定的書面形式提供。信息處理者根據立法要求進行措施細化時,例如《個人信息保護法(草案)》第47條規定的“個人信息處理者應當建立個人行使權利的申請受理和處理機制”時,也應該滿足這些要求。第二,操作規則還需要結合特定場景進行理解。除了避免對個人在信息處理活動中的權利做絕對化、實質化理解外,由于個人信息保護高度依賴特定信息處理場景,因此還需要結合特定場景對操作規則適用進行細化。例如,通過判例、執法機構的闡釋以及企業自行制定的行業準則不斷具體化。國家既可以直接制定、細化操作規則,也可以對企業、行業自行出臺的操作規則予以審核、承認、維護。應該注意到,操作規程制定者的核心任務是保證這些規則在不同情境下始終圍繞維護個人信息保護和人格尊嚴等價值基礎展開。解釋者也應當作出符合個人信息受保護權意旨的解釋,盡可能在不同場景下實現權利保障的最優化與整體價值的協調,故無需也不應強求立法者制定普遍適用、固定不變的操作規程。第三,這些規則本身還應當具備便捷性、可操作性。一方面,立法應當避免信息處理制度過度復雜化,應對個人信息處理者的責任清單進行必要界定,對操作制度的功能進行細化說明,以避免不合理地增加信息處理者成本、影響數據自由流通等情形。另一方面,也應充分意識到個人在面對信息處理者時所遭遇的資源和能力匱乏的現實。比如,個人往往難以有效評估信息處理行為對自己可能構成的威脅,對冗長復雜的個人信息保護條款缺乏足夠的分析及適用能力,因此,立法更應強調操作規則的清晰性、簡明性、可理解性,構建“個人友好型”的信息處理操作規則。
2. 組織與程序保障
前文所談的制度性保障重點關注的是“個人—信息處理者”之間的權利義務關系結構;組織與程序保障則主要指:在基本的權利義務關系結構之外,需要通過組織和程序設計,為國家保護義務之落實提供擔保性和輔助性制度,以促進個人信息受保護權之實現。這具體涉及到三個方面。首先,負有保護職責的組織系統如何設計;其次,信息處理者組織結構如何優化;最后,面向個人提供哪些基本的法律程序保護。
(1)對監管機構的組織要求
在個人與個人信息處理者之間關系結構明確之后,國家保護義務需要通過監管組織和體制而進一步落實。這要求建立權威、有效的監管機構,即“履行個人信息保護職責的部門”,并在此基礎上構筑統一、協作的監管和執法威懾體系。
一方面,組織保障要求確立穩定、一致、高效的監管機制。以管轄權配置上的統一性要求為例,由于數據處理具有明顯的電子化場景性、跨區域性、空間不確定性,傳統上按照行政區域和違法行為發生地來確定管轄權的規則,已難以適應個人信息保護之場景。歐盟在Weltimmo s.r.o.案及后續立法中,逐步確立了“一站式”組織機制,旨在改善歐盟數據保護法在不同地區之間的統一適用性,這既增強了個人與企業的法律預期,也有利于監管機構更高效地解決糾紛。我國目前個人信息保護仍處于分散立法階段,規范體系較為零碎,相應的監管組織設置和職權配置也牽涉網信、工信、公安、市場監管、一行三會(央行、保監會、銀監會、證監會)、商務部、郵政、文化與旅游部等多個部門,不同監管機關之間的沖突協調困難重重,容易出現負有監管義務的機關相互推諉、逃避職責以及部分行業或領域的多頭監管等情形,尚需基于統一性要求進行優化。
另一方面,在個人信息保護監管活動中,多元監管機構應明確各自權限并在必要時開展合作,滿足協作性要求。例如,個人信息保護需要競爭法監管部門、消費者保護機構和數據保護機構的協作。正如歐洲數據保護專員公署指出:“歐盟消費者保護法、競爭法和數據保護法的共同目標是糾正信息和市場力量的不平衡,隨著數字市場的迅速發展和集中,這種不平衡已變得越來越嚴重。”然而,在2016年之前,歐洲競爭網絡、消費者保護合作網絡以及數據監管機構執行歐盟規則的情況非常碎片化,產生了許多實質性重疊的情形。在此背景下,歐盟委員會在2016年的決議中敦促“不同方面負責維護數字社會和經濟中的個人權益的監管機構進行更多對話和信息共享,并努力加強消費者監管框架、反托拉斯和數據保護之間的協同”。之后,歐盟委員會提出成立一個專門機構,向調查數字市場案件的監管機構提供技術支持,并協調競爭、消費者保護、產業發展、數據保護等不同部門的執法需求,以促進“各自領域的監管機構之間的一致性”。相較而言,我國相關立法與實踐還處于相對空白階段。
(2)對數據處理者的組織要求
組織保障的另一個面向是針對進行個人信息處理活動的機構提出組織結構要求。例如,《個人信息保護法(草案)》第50條要求個人信息處理者制定內部管理制度和開展內部培訓;第51條要求個人信息處理者指定個人信息保護負責人,都是組織保障要求延伸到信息處理者組織架構的體現。歐盟GDPR也要求數據控制者需采取有效的組織管理措施,包括適當頻次的審計、任命數據保護官、制定有利于信息保護的內部管理制度、事先與數據管理局協商等。這些組織措施有助于從結構上完善信息處理者保護個人信息的組織體系,進而改變其行為方式,使個人信息保護成為組織的內生機制,在降低外部執法成本的同時,也強化信息處理者開展個人信息保護的內生動力。
具體而言,國家在立法和監管中可從數據處理者的問責機制、人員組成、部門與機構設置等方面提出相應的組織要求。第一,問責制是激發信息處理者審慎、理性保護個人信息的重要動力機制。例如,GDPR和我國《個人信息保護法(草案)》都規定了信息處理者或其代表必須保留其數據處理活動的記錄,以便于監督,這就是一種內置的“壓力機制”。第二,關于人員組成,個人信息保護的立法往往都要求特定人員擔任監管機構、個人和信息處理者之間的中介。例如,GDPR第37-39條對DPO(數據保護官)的職責進行了詳盡規定,其中有兩項核心內容:其一,DPO需要及時參與任何與個人數據保護有關的活動。例如,對履行處理者義務的公司和員工提出建議,并通過執行審計和培訓來監督數據保護規則的遵守情況。DPO還必須與監管機構合作,并在與數據處理有關的重要事務(例如數據泄露)上充當監管機構的聯絡點。其二,信息處理者需要為DPO提供必要的財務、設備、資訊等資源以及專業支持,同時確保其在履職過程中不會受到解雇或處分的影響。相較之下,我國《個人信息保護法(草案)》只是粗略地在第51條提及“個人信息保護負責人負責對個人信息處理活動以及采取的保護措施等進行監督”,并未對其職能與履職保障作具體規定,有必要進一步完善細化。第三,個人信息保護規則也會對數據處理者內部機構設置產生影響。例如,《個人信息保護法(草案)》第49條要求個人信息處理者應當建立個人行使權利的申請受理和處理機制,這就要求信息處理者設置相應的負責申請處理的職能部門或機構;再如,信息處理者內部安全部門、法務部門、產業部門等不同部門之間的相互關系亦會影響其履行處理者義務的效率與方式,從而間接影響到個人信息受保護權的落實。
(3)程序保障的具體內涵
在憲法理論上,國家保護義務的程序保障傳統上主要指司法救濟程序,后又逐步拓展至行政程序,并在德國、日本以及我國臺灣地區出現了與英美法中的“正當法律程序”交互運用的趨勢。具體到個人信息保護領域,程序保障的內涵主要有以下兩個方面:第一,“個人能獲得有效救濟途徑,這是國家需要提供的首要程序保障”。首先,個人可以在訴訟中針對信息處理者提出停止侵害、消除影響、要求賠償的途徑;其次,個人應當有途徑委托特定的組織開展集體訴訟;最后,從權利救濟的一般法理來看,個人應有途徑要求監管機構履行保護義務,并針對監管機構不作為提起訴訟。就此而言,我國《個人信息保護法(草案)》第61條只是簡單提及舉報途徑與回復要求,并未明確規定個人可針對履行個人信息保護職責的部門怠于履行保護職責行為起訴。第二,程序保障還要求,國家機關作為信息處理者時,其作出對個人不利的決定時,個人能夠獲得公平公正的行政程序保障。例如,《個人信息保護法(草案)》第34條規定“國家機關為履行法定職責處理個人信息, 應當依照法律、行政法規規定的權限、程序進行”。國家機關作為個人信息處理者與個人之間的權利義務關系結構應如何設定,程序保障應如何落實,這也是當前我國個人信息保護立法中需要回應的重大問題。
3. 侵害防止義務
在制度性保障、組織與程序保障之外,國家保護義務的落實還指向侵害防止義務。國家需要綜合運用多重工具,通過構建預防機制和協同法律責任來營造個人不受數據權力侵害的法秩序環境。
(1)預防機制的構建
在大數據時代,個體其實難以對個人信息流通的風險進行預判,而風險所帶來的后果有可能是極其嚴重的。以個人信息泄露的情形為例,其呈現出一個從直接化向間接化、從簡單化向復雜化、從顯性信息泄露向隱性信息泄露轉變的趨勢,且規模愈發龐大。再如消費者保護領域個人信息被濫用問題,隨著人工智能技術發展,數據平臺通過信息挖掘、分類、自動化處理所導向的對消費者的歧視、剝削、欺詐的風險愈發難以控制。這使得預防原則變得尤為必要,國家必須采取措施強化信息處理者的風險控制義務。
在歐盟,預防原則明確進入了立法。GDPR在序言第75-77條便對個人信息處理者提出了對信息處理風險進行評估以及采取應對措施的要求。一方面,在保護強度上,不同的處理風險對應了不同強度的保護規則,GDPR在此列舉了信息的可識別程度、自然人易受傷害的程度、信息處理的規模等多項評判風險的標準。風險的定性對組織的反應、緩解和糾正措施起著重要作用。另一方面,在介入方式上,國家需要采用不同方法主導風險規制的過程。其一,可以通過立法明確要求信息處理者具備相應的風險處理能力,如GDPR第32條要求數據處理者保證自身處理系統具備持續保密、完整、可用、快速恢復的能力;其二,可以通過官方批準的行為規范、認證以及監管機構制定的指南或說明來為信息處理者提供風險預防指引。
相較而言,我國《個人信息保護法(草案)》提出的“個人信息處理者制定并組織實施個人信息安全事件應急預案”以及對信息處理者進行事前風險評估的要求也是預防原則的規范體現。但如何將預防原則進一步進行制度構建和細化,仍需進一步的經驗總結與規則表達。
(2)多元法律責任機制的協同
在法律責任機制的建構方面,個人信息保護采用了多種法律責任協同的路徑,包括了民法框架與消費者法框架下的損害賠償責任、違反個人信息處理合規要求的行政法責任乃至最為嚴厲的刑事責任等等。由于單一部門法所提供的責任機制無法獨自完成國家保護個人信息的任務,因此,應從整體的國家保護義務框架來思考和建構個人信息保護法律責任體系。在這個意義上,憲法、民法、行政法、消費者法、刑法都可以為個人信息保護提供有針對性的法律責任機制,這意味著個人信息保護法是一個典型的“領域法”。我們應當擺脫部門法本位主義的路徑依賴,考慮多元法律責任機制的協同。
第一,針對消費者法與民法框架下的損害賠償責任,國家可以采取針對個人的傾向保護。具體而言有四種路徑可供選擇:其一是針對“損害賠償”的范圍與數額,可以根據法院的判例,以充分保護個人信息的方式進行有利于個人的解釋;其二是歸責機制,如GDPR第82條第4款要求造成權益侵害的多個數據處理者之間承擔連帶責任,以避免個人經歷多個昂貴且漫長的訴訟程序;其三是在立法上明確非物質損失即精神損害賠償責任的設置;其四是舉證責任上的傾斜保護。盡管如此,單純依靠個人提起損害賠償之訴,其效果依然是有限的。在歐盟層面,個人直接針對信息處理者的訴訟案件成本高昂,往往還需依賴掌握經驗、技術知識的行政監管部門作出違法情況調查認定作為先決條件。其根本原因在于,損害賠償訴訟只是整個數據治理中的一個環節,個人信息保護制度的有效性更多還需結合高效的執法威懾機制、企業治理結構和行業自律生態。在我國,既有研究也表明,現有司法實踐中個人通過私法上的損害賠償制度獲取有效救濟的情形少之又少,且面臨舉證、訴訟成本上的諸多難題。綜合而言,私法救濟提供了一個必要、但遠非充分的路徑;該路徑雖仍有完善的空間,但不宜過分強調其自足功能。
第二,在行政責任方面,履行個人信息保護職責的部門可采取多種處理措施。首先,監管部門可以發布責令停止、責令限制處理、責令改正、責令刪除、責令消除影響與賠禮道歉等行政命令,或采用約談等柔性措施及時制止違規活動;其次,可以使用發布風險提示、列入信用檔案并公示等聲譽工具進行監管;最后,監管機構還可以通過大額罰款、吊銷個人信息處理登記證或許可證等行政處罰手段,產生強烈的威懾效果。可以說,行政機關擁有的工具是多元的。但面對社會輿論壓力、政治壓力、執法能力不足等情形,監管機構也可能出現形式化的要求和一刀切的“規制過度”,這不僅未必能真正提高個人信息保護水平,而且對行業發展、營業自由的保障可能構成潛在威脅。因此,監管者一方面需要遵循比例原則的要求,在選擇制裁方式與幅度時充分考慮不同場景;另一方面,還需考量行政措施與信息處理者治理結構的優化以及同消費者法責任、民法責任等其他機制之間的銜接,實現多個部門法工具之間的協調,以積極促成數字經濟發展與個人信息保護之間的平衡,而非片面追求嚴苛的執法效應。
第三,在刑事責任方面,衡諸刑法的“最后手段性”與“謙抑性”原則,國家若要采取刑事手段進行制裁,必須是為了保護“重大且根本性的法益”免于受到侵害,而且必須在沒有其他有效保護措施情形下,始得為之。由此原則看,我國刑法經由刑法修正案(七)與(九)修正后設置的侵犯公民個人信息罪,雖正式確立了個人信息的刑法保護路徑,但該罪的適用需滿足全環節保護和謙抑使用的要求,避免由于法律規范的模糊和空白在部分環節上保護不足,而在特定信息處理環節和場景中保護過度的情形。
結 論
個人信息保護在法權基礎上所出現的爭議,源于對個人信息保護權利基礎認知的模糊性,而后者又源于“個人信息國家保護義務”此一憲法支點的缺失,因而無法形成清晰的法權結構。在“個人信息受保護權—國家保護義務”框架下,國家不僅要保持審慎、理性的克制態度以履行其消極義務,同時還須為個人提供積極保護,以支援個人對抗大規模、持續化數據處理中人格尊嚴減損的風險。在大數據時代,個人信息受保護權不僅要求國家落實防御權導向下的消極保護義務,更要求其在客觀法導向下落實制度性保障、組織與程序保障、侵害防止等積極保護義務。個人信息保護立法應以此為基點而展開體系化建構。
“個人信息受保護權—國家保護義務”框架有助于我們超越部門法本位主義,在“領域法”理念的引導下檢索可資援用的保護手段,在此意義上,民法保護、消費者法保護、行政法保護、刑法保護等工具都有其相應的適用空間。在規范意義上,國家通過多種途徑、多元手段為個人提供協同保護,是落實國家保護義務的內在要求,可以增強個人對信息處理者的制衡能力,緩解權利行使的“無力感”。因此,對于數據時代的個人信息保護而言,上述框架實際上可以“充實”(empower)個人信息受保護權。在功能意義上,個人信息受保護權旨在制衡信息處理者的“數據權力”,但不是賦予個人對其信息的排他性控制權,這種權利結構在保護個人免受數據權力壓迫和支配的同時,也為數據技術和產業發展內置了空間。個人信息保護與信息利用流通的平衡,數據安全與產業發展的平衡等命題,也只有在國家統籌保護的框架中,方得有效求解。