摘要:個人信息權(quán)利束指包括個人信息主體知情���、決定�����、查詢���、更正�、復(fù)制�����、刪除等權(quán)能在內(nèi)的一組權(quán)利集合����。我國民法學(xué)界通常將權(quán)利束的性質(zhì)理解為個人自主控制范式下的民事權(quán)利��,并將其解釋為個人信息權(quán)的具體權(quán)能����。這種理解對個人信息權(quán)利束的性質(zhì)和功能存在一定的誤讀�。從權(quán)利性質(zhì)看,個人信息權(quán)利束是國家履行積極保護(hù)義務(wù)���、通過制度性保障對個人進(jìn)行賦權(quán)的結(jié)果�,本質(zhì)是國家在“保護(hù)法”理念下賦予個人的保護(hù)手段和工具��;從功能上看����,個人信息權(quán)利束既是個人制衡信息處理者的工具,也是國家對數(shù)據(jù)處理者的規(guī)制策略���。從國家保護(hù)和規(guī)制策略視角理解權(quán)利束的性質(zhì)和功能���,有助于更好地建構(gòu)“保護(hù)法”理念下公正、透明���、理性的數(shù)據(jù)治理公法秩序��,促進(jìn)數(shù)據(jù)治理體系的結(jié)構(gòu)優(yōu)化和能力提升�。作為國家規(guī)制策略中的工具性權(quán)利,個人信息權(quán)利束的實踐展開��,首先需要注重程序正義下個體的知情����、參與和雙方的交涉促進(jìn),同時在分配正義下合理配置個人與信息處理者之間的權(quán)利義務(wù)��,不斷發(fā)展和提升國家的規(guī)制理性���。
關(guān)鍵詞:保護(hù)法 國家保護(hù)義務(wù) 工具性權(quán)利 個人信息權(quán)利束 規(guī)制策略
作者王錫鋅,北京大學(xué)法學(xué)院教授(北京100871)����。
責(zé)任編輯:李樹民 王博
來源:《中國社會科學(xué)》2021年第11期P115-P134
個人信息保護(hù)中的“權(quán)利束”指通過制定法為個人配置的、在個人信息處理全周期由個人行使的一組權(quán)利的集合����。在個人信息保護(hù)法體系中,該組權(quán)利集合主要包括知情權(quán)���、決定權(quán)����、查詢權(quán)、更正權(quán)���、復(fù)制權(quán)��、攜帶權(quán)��、刪除權(quán)等權(quán)利���。對權(quán)利束進(jìn)行立法表達(dá)的一個典型文本是歐盟《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,下文簡稱GDPR)�����。我國《個人信息保護(hù)法》借鑒GDPR模式�����,在立法表達(dá)中將權(quán)利束整合于“個人在個人信息處理活動中的權(quán)利”這一概念中����。值得注意的是,《個人信息保護(hù)法》此處的概念表達(dá)和對該類權(quán)利的“前綴限定”,并非立法中的語詞游戲�����,而是立法者深思熟慮后的選擇��。究其要義�,其一,這一概念似乎申明�,這些權(quán)利只是在“個人信息處理活動中”被賦予的,而不是先定的�����;其二�����,這些權(quán)利所指向的客體并非個人信息����,而是信息處理者處理個人信息的活動�����;其三�,這些權(quán)利是個人信息處理特定場景和過程中的權(quán)利���,而非普遍的、絕對化的權(quán)利�。
在這一背景中,有必要提出的問題是:在個人信息立法強(qiáng)調(diào)“保護(hù)個人信息權(quán)益”的“保護(hù)法”面向下��,如何理解這些權(quán)利的法律性質(zhì)�?立法者配置這些權(quán)利目的何在?這些權(quán)利在實踐中如何行使與保障���?這三個問題涉及個人信息保護(hù)法體系的理論基礎(chǔ)�����,影響到個人信息保護(hù)法在整個法律體系中的定位��,也關(guān)系到個人信息的保護(hù)手段及救濟(jì)機(jī)制�,并最終對個人信息保護(hù)和數(shù)據(jù)治理中的“國家—數(shù)據(jù)處理者—個人”間關(guān)系結(jié)構(gòu)產(chǎn)生決定性的影響��。
在信息技術(shù)和數(shù)字化浪潮的席卷之下�����,個人已不可避免地置身于各種“數(shù)字化生存”的場景之中。不論是傳統(tǒng)的公共和私人機(jī)構(gòu)還是新興的網(wǎng)絡(luò)平臺���,都通過對個人信息的采集��、分析�����、處理���、決策等方式深刻影響甚至決定個人的生活,對個人的人格尊嚴(yán)�����、安寧���、隱私�、財產(chǎn)等權(quán)益帶來各種潛在風(fēng)險�����。面對這些大規(guī)模��、持續(xù)性處理個人信息的機(jī)構(gòu)�����,個人往往處在被動的����、受壓制的處境。個人信息處理者——特別是一些超大型平臺�,在技術(shù)、資源和話語等維度都具有相對于個人而言的巨大勢能�,因而形成一種事實上的“平臺權(quán)力”。在個人信息處理場景中���,這種權(quán)力又衍生出平臺的“數(shù)據(jù)權(quán)力”��?��?刂茢?shù)據(jù)權(quán)力濫用的風(fēng)險,正是個人信息保護(hù)法律制度的核心使命�。實踐中,機(jī)構(gòu)和平臺對個人信息的過度采集�����、過度挖掘、算法驅(qū)動的自動化決策�、個人信息泄露及非法流通利用等情形時有發(fā)生,這些本質(zhì)上都是數(shù)據(jù)權(quán)力濫用的表現(xiàn)�。面對數(shù)據(jù)權(quán)力的濫用,僅僅寄希望于個人對其信息進(jìn)行自我保護(hù)顯然是不夠的��;國家必須在個人信息保護(hù)和數(shù)據(jù)治理體系中扮演重要的規(guī)制者角色�。
為此,本文從國家保護(hù)視角��,結(jié)合比較法經(jīng)驗和我國實踐����,梳理個人信息權(quán)利束的理論脈絡(luò),重思權(quán)利束的法理基礎(chǔ)與法律性質(zhì)����;以此為基點,嘗試?yán)迩鍣?quán)利束在個人信息保護(hù)法律制度中的功能定位��,進(jìn)而對權(quán)利束的設(shè)定��、行使�、保障等規(guī)則進(jìn)行提煉。
一����、個人信息權(quán)利束的法律性質(zhì)重思探究個人信息權(quán)利束的性質(zhì),在邏輯上需要回歸權(quán)利束的法理基礎(chǔ)�。在個人信息保護(hù)法規(guī)范中對權(quán)利束進(jìn)行設(shè)定與建構(gòu)的基礎(chǔ)與目的是什么?這種基礎(chǔ)如何展開并表現(xiàn)為構(gòu)成權(quán)利束的具體權(quán)利�?只有在厘清這些問題的前提下,方可探知并界定權(quán)利束的法律性質(zhì)���。
(一)個人信息權(quán)利束私權(quán)化路徑的局限在既有關(guān)于權(quán)利束性質(zhì)的探討中�����,具有代表性的觀點認(rèn)為�����,權(quán)利束是個人對個人信息進(jìn)行控制并展開自我保護(hù)的具體手段�����,是民事主體享有的對其個人信息的權(quán)利���。這種觀點所反映的,其實是將對個人信息的自我控制�、自我保護(hù)作為路徑的個人數(shù)據(jù)治理模式����。在權(quán)利類型的討論上���,這一模式具體可分為人格權(quán)保護(hù)����、財產(chǎn)權(quán)保護(hù)等不同進(jìn)路���;在保護(hù)強(qiáng)度上����,將個人信息作為權(quán)利還是利益進(jìn)行保護(hù)亦眾說紛紜���。概括而言��,盡管存在體系定位上的差異���,這些研究基本都分享下列共識:自然人對其個人信息享有民事權(quán)益,應(yīng)當(dāng)采取由民法賦權(quán)的邏輯���,保護(hù)自然人對其個人信息被他人收集����、存儲、轉(zhuǎn)讓和使用過程中的自主決定的利益�����,具體表現(xiàn)為知情權(quán)���、決定權(quán)、刪除權(quán)等權(quán)項的行使��。也即是說���,這些研究者普遍將個人信息權(quán)利束作為個人信息民事權(quán)(益)衍生出的具體權(quán)項�,將“個人信息民事權(quán)利束—個人信息處理者義務(wù)”框架作為個人數(shù)據(jù)治理的基本框架�����。由此形成的理論范式可歸納為:在價值層面將個人對個人信息的自主控制作為基本立場���;在保護(hù)手段上依靠對個人賦權(quán)及其自我保護(hù)�����;在救濟(jì)途徑上以事后的民事侵權(quán)責(zé)任為主展開����。
這種私權(quán)視角下將權(quán)利束納入民事權(quán)利體系的理論構(gòu)想,一方面可以從美國“隱私—財產(chǎn)”脈絡(luò)下強(qiáng)調(diào)私權(quán)神圣的排他性所有權(quán)理念中尋得蹤跡���;另一方面也受到高揚(yáng)個人自主決定的歐陸人格權(quán)學(xué)說的影響��。這兩大理論淵源雖在權(quán)利的法哲學(xué)基礎(chǔ)上存在差異��,但在交互影響��、發(fā)展與合流中�,均提出了為個體設(shè)置信息控制權(quán)的主張�。這些主張被引入我國并本土化之后,“構(gòu)建以信息主體自我控制為基礎(chǔ)的個人信息權(quán)利體系����,并在此之上形成個人信息保護(hù)秩序”的理解漸被民法學(xué)者所接受并提倡。
應(yīng)當(dāng)承認(rèn)��,依實體性權(quán)利的定性��,在私法上設(shè)計個人信息權(quán)利束的邏輯,為理解權(quán)利束的法律性質(zhì)提供了一個重要視角�����,其在個人信息保護(hù)制度尚未健全的階段亦具有重要的實踐功能��。在這個意義上��,從《民法總則》到《民法典》的個人信息保護(hù)條文設(shè)置�����,為個人信息民事權(quán)益保障機(jī)制的建構(gòu)起到了奠基性作用����,也體現(xiàn)了民法的人文關(guān)懷����。然而,在個人與個人信息處理者之間的不對稱權(quán)力結(jié)構(gòu)中����,面對信息處理者大規(guī)模處理個人信息帶來的風(fēng)險,試圖依靠個體化的自主控制來制約信息處理者濫用權(quán)力����、避免遭受侵害的私法保護(hù)模式���,在很大程度上卻可能淪為個人信息保護(hù)的烏托邦��。
首先�����,個體主義的自主控制范式難以規(guī)范不對稱權(quán)力結(jié)構(gòu)下的個人信息處理關(guān)系。應(yīng)該看到�����,在防范對象上�,個人信息保護(hù)所針對的侵害來源,實際上主要是與普通個體之間存在持續(xù)性不對稱關(guān)系����、可能對個人信息處理中的相關(guān)個人進(jìn)行支配或壓迫的組織,例如高度組織化的平臺和機(jī)構(gòu)����。面對當(dāng)代信息化社會的現(xiàn)實,個人對其信息的“自主控制”將導(dǎo)致權(quán)利行使的兩種尷尬����。其一是“保護(hù)過度”���。強(qiáng)調(diào)個人自主控制信息將無法為信息處理者的規(guī)則設(shè)計與適用預(yù)留必要空間,可能導(dǎo)致對信息流通和數(shù)據(jù)利用的過度抑制����;其二是“保護(hù)不足”。當(dāng)個人試圖以民事權(quán)利(益)去對抗具有明顯不對稱優(yōu)勢的信息處理者時�����,往往陷入深深的“無力感”���,缺乏制衡能力和技術(shù)資源的個人無法單憑“信息自決”下的諸項權(quán)利來有效對抗組織化的侵害風(fēng)險��。由于個人與信息處理者之間力量失衡,很難寄希望于通過個人與信息處理者之間的反復(fù)博弈而自發(fā)地生成公平合理的數(shù)據(jù)治理秩序�。如果國家不對個人數(shù)據(jù)處理活動進(jìn)行規(guī)制,將會出現(xiàn)個人信息的“有效保護(hù)”與“有效利用”的雙重失范�,動搖數(shù)據(jù)治理和善治的基石。以“知情—同意”規(guī)則為例����,在實踐中,個人知情權(quán)對應(yīng)著企業(yè)的隱私保護(hù)政策告知義務(wù);但由于信息處理者在技術(shù)��、知識�、資源等方面對個人具有壓倒性的不對稱優(yōu)勢,知情權(quán)在實踐中往往大打折扣��,甚至形同虛設(shè)�。例如,隱私保護(hù)政策的文本具有高度的專業(yè)性���、復(fù)雜性�����,而個人往往缺乏時間與能力對涉及方方面面的隱私政策條文進(jìn)行有效理解�。面對這種情形�����,知情權(quán)的質(zhì)量和效果非常有限�;相應(yīng)地,在知情權(quán)面臨空洞化和形式化的情景中��,個人決定權(quán)的有效性也將不可避免地落空��,因為決定權(quán)的有效性是以充分、有效的知情為基礎(chǔ)的���。個體為了獲得企業(yè)和平臺的服務(wù)往往只能被迫選擇同意����。這種情況下的“同意”��,如果非要用民法的“意思自治”來解釋���,未免會顯得牽強(qiáng)���。即便在一些情況下,個人的確是基于自由意志而同意信息處理者處理其某項信息�����,也難以意識到各種信息聚合之后所產(chǎn)生的風(fēng)險�����,亦無法應(yīng)對個人信息被侵害的“集體性質(zhì)”問題�??梢哉f�,在缺乏來自國家保護(hù)和支援的情況下�����,個人自主控制的知情—同意規(guī)則往往淪落為對個人的象征性賦權(quán)�����;在極端意義上���,個人“自主控制”甚至造成“個人自主地選擇被支配”的困境����。
實際上�,正是意識到上述困境,在域外個人信息保護(hù)的實踐中���,自主控制范式不斷遭到質(zhì)疑和批判���。例如,保羅·施瓦茨(Paul Schwartz)提出����,不應(yīng)將隱私自我管理作為信息隱私保護(hù)的核心�����。他進(jìn)而指出���,國家在個人信息保護(hù)中發(fā)揮著雙重作用:其一,創(chuàng)造與維持運行良好的隱私市場���;其二����,創(chuàng)制隱私法規(guī)則���,以避免信息偏好的扭曲��。又如���,伊萊克特拉·比蒂(Elettra Bietti)指出,在缺乏國家主導(dǎo)的有力監(jiān)管的情形下�,個體視角下的同意只是一張“免費通行證”(free pass),無法有效防范平臺權(quán)力(platform power)所帶來的結(jié)構(gòu)性傷害�。在近年來的制度實踐中,無論是GDPR為預(yù)防數(shù)據(jù)處理風(fēng)險所作的長達(dá)99條的監(jiān)管和合規(guī)要求及其執(zhí)法活動���,還是美國聯(lián)邦貿(mào)易委員會對企業(yè)隱私政策的個案審查和規(guī)制����,都體現(xiàn)出國家主導(dǎo)下企業(yè)內(nèi)部規(guī)制與行政外部規(guī)制的結(jié)構(gòu)耦合�����。國家應(yīng)當(dāng)對個人信息的保護(hù)程度進(jìn)行擔(dān)保�,對市場保護(hù)機(jī)制的失靈展開糾偏。
其次�����,自我保護(hù)模式在個人信息遭受侵害的救濟(jì)與監(jiān)督機(jī)制上力有不逮����。私權(quán)保護(hù)框架寄希望于個人積極地展開維權(quán)與訴訟,但這種機(jī)制是個體化的����、事后的且低效的,無法應(yīng)對大規(guī)模����、持續(xù)性�、累積性的個人信息處理風(fēng)險�����?��!斑@種機(jī)制的執(zhí)行依賴于眾多個體不協(xié)調(diào)的獨立行動�����,其有效性取決于這些個人對信息隱私的重視程度�、通過司法行動保護(hù)信息隱私的意愿�����,以及司法系統(tǒng)是否有能力來回應(yīng)個人的侵權(quán)請求���。如果其中任何一個因素缺失����,例如個人不行使自己的權(quán)利或司法系統(tǒng)不能確保對這些權(quán)利主張作出一致的裁決�,那么建立在個人支配權(quán)利基礎(chǔ)上的治理機(jī)制就會落空,成為象征性治理?���!痹跉W洲�,看似耀眼的“信息支配權(quán)”“信息所有權(quán)”等理念與通過司法對這些權(quán)利進(jìn)行保障效果極其有限的現(xiàn)實之間,形成了鮮明的反差?��,F(xiàn)實情況是���,這些圍繞權(quán)利束的維權(quán),主要并非依靠個人的自我控制與訴訟��,而是依靠國家主導(dǎo)下監(jiān)管機(jī)構(gòu)的有效監(jiān)管�����。例如���,GDPR實施一年后��,歐盟各國監(jiān)管機(jī)構(gòu)處理的投訴�、數(shù)據(jù)泄露通知等行政案件總數(shù)突破28萬件���,成為維護(hù)個人信息受保護(hù)權(quán)利的最主要機(jī)制�����。
再次�,將權(quán)利束理解為民事權(quán)利,無法對國家機(jī)關(guān)處理個人信息的情形進(jìn)行合理的解釋��。國家機(jī)關(guān)處理個人信息在性質(zhì)上屬于國家機(jī)關(guān)的職權(quán)行為����,國家機(jī)關(guān)與個人之間形成的是公法上的權(quán)利義務(wù)關(guān)系;相應(yīng)地����,權(quán)利束中的具體權(quán)利也往往表現(xiàn)為個人在公權(quán)力活動過程中的程序性權(quán)利,其內(nèi)涵取決于調(diào)整具體公法活動的法律規(guī)則�。這表明,個人信息權(quán)利束并不是先在的民事權(quán)利集合���。一個典型的例證是��,在司法機(jī)關(guān)對刑事案件嫌疑人進(jìn)行調(diào)查的程序中���,相應(yīng)的法律規(guī)范是《刑事訴訟法》以及相關(guān)證據(jù)規(guī)則�����;面對偵查機(jī)關(guān)處理個人信息的偵查行為���,個人并不能以個人信息權(quán)對抗偵查機(jī)關(guān),而只能以刑事訴訟中的程序性權(quán)利對偵查活動進(jìn)行制衡��;同時�����,很難想象個人對此可享有限制處理權(quán)和刪除權(quán)�,否則個人完全可能利用這些權(quán)利干擾執(zhí)法信息(證據(jù))的收集��,侵蝕國家機(jī)關(guān)的執(zhí)法能力�����。實際上�,國家機(jī)關(guān)處理個人信息時,個人往往無法啟動權(quán)利束中的諸多具體權(quán)能���,原因在于:在公法領(lǐng)域�,國家機(jī)關(guān)處理個人信息的行為是職權(quán)行為,具有高權(quán)性�����、強(qiáng)制性�、公益性的特點;個人則負(fù)有配合義務(wù)��,不享有自主決定權(quán)以及基于私法權(quán)益的補(bǔ)償請求權(quán)����。在這個意義上,若是將個人信息作為個人控制的權(quán)利客體�����,將導(dǎo)致國家機(jī)關(guān)處理個人信息的邏輯和實踐陷入矛盾之中�。
最后,將權(quán)利束中具體權(quán)利理解為民事權(quán)利�����,還將導(dǎo)致個人信息保護(hù)監(jiān)管和執(zhí)法機(jī)制在邏輯上陷入混亂����。比如���,對個人信息處理者違反知情權(quán)、決定權(quán)的要求而處理個人信息的行為����,GDPR第83條、我國《個人信息保護(hù)法》第66條均規(guī)定了巨額罰款�。但是,信息處理者違法處理信息并侵害個人信息權(quán)利���,為何要由監(jiān)管機(jī)構(gòu)處以巨額罰款��?這種罰款的功能是什么?是用來對個人受侵害的民事權(quán)利提供救濟(jì)嗎�?如果是對個人的民事信息權(quán)利予以救濟(jì),邏輯上這些罰款就應(yīng)該歸于個人����,而非上繳國庫。事實上��,在各國監(jiān)管實踐中���,個人信息處理者的義務(wù)以及個人在信息處理中的權(quán)利���,都是被當(dāng)作信息處理機(jī)構(gòu)的“合規(guī)義務(wù)”��;違背合規(guī)要求�,構(gòu)成對公法上秩序的侵害���,而這正是個人信息保護(hù)的立法中設(shè)定國家監(jiān)管和行政執(zhí)法的邏輯�����。在這一邏輯中�����,個人信息權(quán)利束的具體權(quán)能��,與個人信息處理者的義務(wù)一起�����,構(gòu)成了國家所要求的個人信息處理的“法秩序”�。國家通過對權(quán)利束具體權(quán)能的保護(hù)����,直接目的是要求個人信息處理者“合規(guī)”���,而非對私權(quán)損害的救濟(jì)。
(二)國家保護(hù)義務(wù)與權(quán)利束的性質(zhì)界定1.國家保護(hù)義務(wù)作為個人信息權(quán)利束的憲法基礎(chǔ)面對民事權(quán)利解釋框架在邏輯和經(jīng)驗上存在的問題�,有必要對個人信息權(quán)利束的法理基礎(chǔ)及其性質(zhì)進(jìn)行再界定。應(yīng)當(dāng)指出����,個人信息保護(hù)并不等于個人自我保護(hù),因此也并非必然需要賦予個人針對其信息的支配權(quán)�。個人信息保護(hù)是大數(shù)據(jù)時代所呼喚的一種能夠適應(yīng)個人保護(hù)和數(shù)據(jù)利用雙重目標(biāo)的“法秩序”格局;構(gòu)造并且維系這個法秩序格局的主體只能是國家�,而非個人。在國家主導(dǎo)的規(guī)制框架與治理網(wǎng)絡(luò)中�����,國家運用多種保護(hù)機(jī)制和手段進(jìn)行的協(xié)同保護(hù)����,相比于通過民事權(quán)利和個人本位的“權(quán)利保護(hù)”模式而言��,更加全面��、系統(tǒng)及有效�����。
已經(jīng)有學(xué)者從國家規(guī)制視角對個人信息保護(hù)制度構(gòu)建展開了探討。例如��,有觀點認(rèn)為必須明確信息主體的個人信息控制權(quán)���。只有確立了這種權(quán)利�,才能要求信息控制者履行相應(yīng)的法律義務(wù)并確立有效的執(zhí)法監(jiān)督機(jī)制���。不過���,這一觀點雖然主張權(quán)利控制與激勵機(jī)制并行的多元治理機(jī)制,但依然將個人對信息的控制權(quán)作為制度構(gòu)建的起點���,難以消解民事權(quán)利解釋框架所存在的不足���。又如,還有學(xué)者提出��,應(yīng)當(dāng)從場景化與行為主義的視角理解權(quán)利束的內(nèi)涵���,以執(zhí)法案例的匯編與完善勾勒個人信息保護(hù)的邊界�。這一觀點從具體執(zhí)法操作層面對權(quán)利束的行使提供了指引,但并未對權(quán)利束性質(zhì)提供整全的理解��。此外���,也有民法學(xué)者開始意識到權(quán)利束并不是民事權(quán)利���,而是基于國家規(guī)制所形成,但對規(guī)制背后的國家角色與具體規(guī)制方式仍缺乏理論詮釋���。歸結(jié)而言���,個人信息權(quán)利束法理基礎(chǔ)不明晰、法律關(guān)系模糊的問題依然很突出����。
從國家規(guī)制視角探尋個人信息權(quán)利束的法理基礎(chǔ),不能將視野局限于規(guī)制層面��,而需要從更高層次的憲法維度尋求答案���。實際上,如果我們回溯權(quán)利束的理論淵源與憲法基礎(chǔ)��,可以發(fā)現(xiàn),在個人行使權(quán)利制衡信息處理者的背后����,是國家設(shè)定并維系了權(quán)利束的基本內(nèi)涵、外延��、操作規(guī)則及保護(hù)標(biāo)準(zhǔn)���。在比較法上��,不論是歐盟采取的在憲法層面明確規(guī)定“個人信息受保護(hù)權(quán)”——而非個人信息權(quán)的做法��,還是美國公平信息實踐中國家參與隱私規(guī)則建構(gòu)與維護(hù)的行動��,其實都將權(quán)利束理解為國家為了矯正信息處理者與個人之間的權(quán)力不對稱結(jié)構(gòu)�����、防止個人信息被濫用���,而通過立法賦予個人一系列權(quán)利的制度性安排。這一制度安排與國家對先在的�����、普遍的民法人格權(quán)進(jìn)行立法確認(rèn)與事后救濟(jì)不同,是國家基于規(guī)范個人信息處理行為的需要����,積極、主動進(jìn)行規(guī)則建構(gòu)的結(jié)果�。在我國法上,個人信息受保護(hù)權(quán)可依據(jù)《憲法》第38條納入基本權(quán)利范圍�����,以其主觀權(quán)利和客觀法面向所對應(yīng)的國家消極保護(hù)與積極保護(hù)義務(wù)為主線��,建構(gòu)出一套基礎(chǔ)穩(wěn)固�����、內(nèi)容完整���、結(jié)構(gòu)合理的個人信息保護(hù)法律體系����?��!秱€人信息保護(hù)法》第1條“根據(jù)憲法����,制定本法”的表述��,正體現(xiàn)出該法對于保障公民在憲法上的人格尊嚴(yán)和其他權(quán)益的重要目標(biāo)�,也表明了“個人信息受保護(hù)權(quán)—國家保護(hù)義務(wù)”框架對于個人信息保護(hù)法規(guī)范建構(gòu)的基礎(chǔ)性功能。在這個意義上�����,個人在信息處理活動中的權(quán)利規(guī)則以及信息處理者的義務(wù)規(guī)則��,乃是國家響應(yīng)個人信息受保護(hù)權(quán)這一憲法權(quán)利的要求���,履行其積極保護(hù)義務(wù)的結(jié)果�,而不是通過私法上的個人信息權(quán)邏輯演繹的結(jié)果��。
2.“保護(hù)法”理念下的權(quán)利結(jié)構(gòu)在國家保護(hù)義務(wù)框架下��,國家通過制度性保障積極建構(gòu)信息處理的基本制度�,在個人與個人信息處理者之間形成一系列信息處理權(quán)利義務(wù)規(guī)則,以確保個人能夠?qū)嵸|(zhì)性參與信息處理的過程��,并對信息處理者形成制衡,從而達(dá)成個人尊嚴(yán)保障及相關(guān)法益保護(hù)之目標(biāo)�����。這正是《個人信息保護(hù)法》采用“保護(hù)法”的概念指稱與模式定位的核心邏輯之所在�����。
如果我們用“國家控制”和“個人自主”作為坐標(biāo)系的兩個維度�,可以按國家控制與個人自主的變量關(guān)系,將經(jīng)濟(jì)社會領(lǐng)域的法律規(guī)范大致分為“管理法” “促進(jìn)法”“權(quán)利法”“保護(hù)法”四個類型���。這四種類型的立法在內(nèi)容設(shè)置與功能定位上存在較大區(qū)別:第一�����,“管理法”以禁止性�、限制性規(guī)定為主要內(nèi)容���,國家主要充當(dāng)強(qiáng)制者�、懲戒者的角色����,通過國家強(qiáng)制力維護(hù)特定領(lǐng)域的社會管理秩序���,代表性立法如《疫苗管理法》《治安管理處罰法》等。第二��,“促進(jìn)法”以倡導(dǎo)性規(guī)定�����、激勵性規(guī)定為主要內(nèi)容����,國家扮演的是經(jīng)濟(jì)產(chǎn)業(yè)或社會事務(wù)發(fā)展的引導(dǎo)者��、推動者的角色��,代表性立法如《電影產(chǎn)業(yè)促進(jìn)法》《就業(yè)促進(jìn)法》等�����。第三���,“權(quán)利法”以私權(quán)的賦予或確認(rèn)為主要內(nèi)容���,國家依據(jù)尊重私主體意思自治�、維護(hù)私法交易秩序的主線展開制度建構(gòu)����,以各類民商事立法為代表。第四���,“保護(hù)法”這種法律規(guī)范類型����,針對的則是市場和社會中形式上平等主體之間的不對稱權(quán)力結(jié)構(gòu)�����,如個人與數(shù)據(jù)處理平臺之間�、個人與大型企業(yè)之間。此時��,國家承擔(dān)的是弱勢一方的支援者和法秩序監(jiān)督維護(hù)者的角色���,通過特定的規(guī)制模式����,來約束某些具備權(quán)力特征的強(qiáng)勢主體的行為�,平衡主體間的權(quán)力落差��,從而保護(hù)弱勢個體免遭壓迫����、傷害與控制�,代表性立法如《消費者權(quán)益保護(hù)法》《未成年人保護(hù)法》等。由此��,《個人信息保護(hù)法》所屬的“保護(hù)法”的定位����,決定了其在立法內(nèi)容與邏輯上的特點:國家需要落實積極保護(hù)義務(wù)�����,在“個人—信息處理者”之間形成良性的制衡關(guān)系��,通過一系列規(guī)制策略保障個人在數(shù)字化時代免受信息處理者的支配����,實現(xiàn)人的全面發(fā)展。
進(jìn)一步說�����,“保護(hù)法”的功能定位,對應(yīng)著個人信息權(quán)利束獨特的權(quán)利結(jié)構(gòu):在“個人—信息處理者”這一關(guān)系中����,既有國家直接設(shè)定處理者義務(wù)進(jìn)行的直接規(guī)制,亦存在國家通過對個人賦權(quán)從而制約數(shù)據(jù)處理行為的間接規(guī)制���。相應(yīng)地��,只有在國家保護(hù)與個體理性相結(jié)合的視角中�,才能還原權(quán)利束的本質(zhì)屬性�����。也正因此��,“保護(hù)法”下的“權(quán)利—權(quán)力”結(jié)構(gòu)關(guān)系與其他類型的立法并不相同:“促進(jìn)法”中國家權(quán)力的強(qiáng)制色彩較淡����,主要以政策倡導(dǎo)、公共資源投入與發(fā)展環(huán)境營造為主���;個體權(quán)利與主體利益分配也并不處于主要位置����,特定產(chǎn)業(yè)或事業(yè)的發(fā)展則被作為首要目標(biāo)?!皺?quán)利法”的重心在于立法確認(rèn)個體權(quán)利、明確利益分配格局后自發(fā)形成內(nèi)生秩序�����,因此強(qiáng)調(diào)個體與市場的自治��,對國家權(quán)力的介入較為審慎乃至排斥����。在“管理法”中,基于維護(hù)重要公益與社會基本秩序的需要����,國家采取全方位介入與強(qiáng)力管制��,個人的自主空間與權(quán)利主張則相對被忽視���?��!氨Wo(hù)法”則基于調(diào)整權(quán)力不對稱結(jié)構(gòu)的需要,采取個體賦權(quán)與國家規(guī)制相輔相成的策略。反映到個人信息處理領(lǐng)域���,國家一方面采取全方位的規(guī)制來規(guī)范信息處理活動���,同時也對個人賦予一系列旨在制衡信息處理者權(quán)力、促進(jìn)處理活動規(guī)范化的權(quán)利���?����!皣乙?guī)制—個人權(quán)利”在“保護(hù)法”秩序下的結(jié)合���,形成了個人信息保護(hù)的“處理規(guī)則”,這些處理規(guī)則確立了個人信息處理的基本標(biāo)準(zhǔn)和合規(guī)要求����,構(gòu)成了個人信息保護(hù)法規(guī)則表達(dá)的主體內(nèi)容。
以“個人信息受保護(hù)權(quán)—國家保護(hù)義務(wù)”框架及“保護(hù)法”理念對權(quán)利束進(jìn)行理解����,也與比較法上個人信息保護(hù)立法例對權(quán)利束規(guī)則表達(dá)的經(jīng)驗相符。在國際文件與各國個人信息保護(hù)立法中�����,權(quán)利束的立法表達(dá)存在以下三種基本模式:第一,專章規(guī)定模式���。如我國���、巴西、印度等國家參照GDPR模式��,對權(quán)利束進(jìn)行專章規(guī)定���,進(jìn)而充分保障自然人在數(shù)據(jù)處理過程中的深度參與以及積極行動����,并由行政監(jiān)管和執(zhí)法作為后盾和支援�����。第二�����,嵌入規(guī)定模式��。如日本《個人信息保護(hù)法》并未專章規(guī)定權(quán)利束�����,而是將其配置在“個人信息處理者的義務(wù)等”這一章�����,并融入信息處理者所需遵循的操作規(guī)則中����。這也表明,個人信息權(quán)利束與信息處理者義務(wù)的設(shè)定�����,本質(zhì)上都是國家規(guī)制的策略和方式����。“賦權(quán)”的本質(zhì)并不是讓個人控制信息����,而是建構(gòu)合理的處理規(guī)則并規(guī)范數(shù)據(jù)處理行為。第三�,原則規(guī)定模式����。例如�,1980年經(jīng)合組織(OECD)發(fā)布的《關(guān)于隱私保護(hù)和個人數(shù)據(jù)跨境流通指南》,將權(quán)利束定位在“個體參與原則”之下����,反映了國家對個體參與信息處理過程的擔(dān)保,而非賦予個人對其信息的實體性支配權(quán)�����。歸納可見����,雖然在不同的個人信息保護(hù)法文本中,權(quán)利束可能以不同結(jié)構(gòu)進(jìn)行規(guī)則表達(dá)�,但都體現(xiàn)為一套制衡性的處理規(guī)則及“個人—信息處理者”間權(quán)利義務(wù)關(guān)系的配置,不同立法模式并不影響對其權(quán)利性質(zhì)的界定��。
二���、作為工具性權(quán)利的個人信息權(quán)利束在個人信息國家保護(hù)框架下���,可進(jìn)一步分析個人信息權(quán)利束的功能。這需要從目的—工具邏輯進(jìn)行展開�,具體而言需要回答兩個基本問題:個人信息權(quán)利束服務(wù)于何種目的?通過何種工具機(jī)制來實現(xiàn)其目的�����?
《個人信息保護(hù)法》第1條將“保護(hù)個人信息權(quán)益”置于首要立法目的�;第2條又規(guī)定:“自然人的個人信息受法律保護(hù),任何組織���、個人不得侵害自然人的個人信息權(quán)益��?���!比绾卫斫鈾?quán)利束與“個人信息受法律保護(hù)”及“個人信息權(quán)益”這兩個基礎(chǔ)概念之間的邏輯關(guān)系��?對這一問題的回答���,需結(jié)合第1條中“規(guī)范個人信息處理活動”的表述進(jìn)行理解����。也即是說����,需要厘清在個人信息處理活動中���,國家為何要保護(hù)?要保護(hù)什么����?明確這兩個問題,才能更好地回答“保護(hù)法”定位下如何進(jìn)行保護(hù)的問題��,這就是目的—手段邏輯����。
應(yīng)該看到,隨著信息搜集����、儲存、整合����、傳播、處理方式和技術(shù)的迭代革新��,加之個人參加社會信息網(wǎng)絡(luò)場景���,尤其是各類電子化場景的普遍性�����,作為個人與社會互動介質(zhì)的“個人信息”��,不僅是“個人的”���,也是“社會的”;個人信息的“可被處理性”及可利用性不斷增強(qiáng)���。一言以蔽之���,在信息化時代,國家沒有必要���、也沒有可能去保護(hù)個人對其個人信息的獨占性控制和支配���。
實際上,在個人信息和數(shù)據(jù)處理過程中����,真正需要國家積極介入的原因在于:個人面臨著受平臺權(quán)力或數(shù)據(jù)權(quán)力(data power)支配����、壓迫甚至奴役的現(xiàn)實風(fēng)險�,容易因為“被工具化”及“數(shù)字化”而喪失作為人的主體性地位。例如�,信息處理者可以通過挖掘信息形成特定的“人格畫像”,侵入個人隱私并對私人決策形成支配和操縱����;以無數(shù)個人信息集聚為基礎(chǔ)的“大數(shù)據(jù)”結(jié)合算法自動化決策,對公民就業(yè)權(quán)��、受教育權(quán)以及一些政治權(quán)利帶來不可忽視的歧視風(fēng)險等��。進(jìn)一步看���,基于數(shù)據(jù)處理的累積效果�����,數(shù)據(jù)處理者對個人帶來的風(fēng)險和損害將具有連鎖效應(yīng):在數(shù)據(jù)處理的不同環(huán)節(jié)都有可能發(fā)生數(shù)據(jù)濫用與安全風(fēng)險�����,導(dǎo)致與個人信息相關(guān)法益的“次生性”損害��。例如���,數(shù)據(jù)偽造導(dǎo)致的數(shù)據(jù)低質(zhì)量可能引發(fā)個人經(jīng)濟(jì)機(jī)會減損及財產(chǎn)損失�����;消費者欺詐導(dǎo)致不公平契約的訂立與履行����;信息不當(dāng)公布與泄露引發(fā)名譽(yù)權(quán)等人格權(quán)益受損害���;等等。
這些廣泛存在于各種處理場景下的系統(tǒng)性損害風(fēng)險,往往具有復(fù)合的�����、多層次的形態(tài)���,需要立法者與執(zhí)法者予以充分評估與管控���,并展開預(yù)防性�、全環(huán)節(jié)的保護(hù)���,其核心要素在于對平臺為代表的數(shù)據(jù)權(quán)力進(jìn)行約束�����。因此���,個人信息保護(hù)制度良好運行的關(guān)鍵并不在于賦予個人多么完備�����、強(qiáng)力的控制權(quán)�,而在于國家制定并維護(hù)一套公平的個人信息處理規(guī)則,支援個人與數(shù)據(jù)處理者展開談判并對其進(jìn)行監(jiān)督�����。只有在國家主導(dǎo)的規(guī)制框架與治理網(wǎng)絡(luò)中,才能充實“知情—同意”等信息處理規(guī)則所蘊(yùn)含的規(guī)范性力量�����,緩解個人面對數(shù)據(jù)權(quán)力壓迫的無力感���,從結(jié)果上切實提高個人數(shù)據(jù)保護(hù)的程度���。
與私權(quán)視角下個人自主控制的目標(biāo)相比,國家建構(gòu)個人信息保護(hù)規(guī)則的主要目的是保障數(shù)據(jù)處理活動全環(huán)節(jié)的公平性��、合理性和謹(jǐn)慎性�����,追求個人信息處理風(fēng)險與流通收益的均衡�,而不是限制或禁止信息處理活動。在國家主導(dǎo)的規(guī)制網(wǎng)絡(luò)中��,個人信息權(quán)利束成為了個人發(fā)揮積極力量����、制衡數(shù)據(jù)權(quán)力的重要工具,其作用在于充實(empower)個人信息受保護(hù)權(quán)�,促進(jìn)信息處理行為的規(guī)范化,從而有效地保護(hù)個人信息所承載或關(guān)聯(lián)的各種法益——包括以尊嚴(yán)為核心的基本權(quán)利以及人格�、財產(chǎn)等民事權(quán)利或利益。在這個意義上�����,試圖建構(gòu)一項民法上的個人信息權(quán)���,并將權(quán)利束作為其具體權(quán)能的觀點,其實是混淆了個人信息保護(hù)中手段與目的、工具理性與價值理性的關(guān)系����。
從功能維度看����,個人信息權(quán)利束本身并非實體性、目的性的法益�����。國家并非要保護(hù)個人對其信息的支配與控制����,而是賦予個人各種“手段和工具”����,在個人與信息處理者之間形成工具理性的制衡結(jié)構(gòu)與行為模式,進(jìn)而保障個人免受數(shù)據(jù)權(quán)力的支配、減少數(shù)據(jù)處理風(fēng)險�����,相應(yīng)地也就保護(hù)了與個人信息相關(guān)的個人尊嚴(yán)��、隱私���、財產(chǎn)等實體價值�����。這些實體價值才是個人信息保護(hù)制度中具有價值性��、實體性�、目的性的法益��。換言之����,從個人信息立法最終所保護(hù)法益的角度觀察,對個人信息權(quán)益的界定�����,需要回歸到個人信息承載的與個人有關(guān)的實體權(quán)利和法益���,而不只是個人在個人信息處理中的權(quán)利����。“個人信息權(quán)益”這一概念實際上具有雙層結(jié)構(gòu)�,既包括工具層面的個人信息權(quán)利束;也包括目的層面�����,個人信息上所承載的、可能在個人信息處理中遭受侵害的相關(guān)實體性權(quán)益�。個人信息保護(hù)法規(guī)范的建構(gòu)不應(yīng)將這兩者混淆。
個人信息權(quán)利束既是個人制衡信息處理者的工具����,也是國家規(guī)制網(wǎng)絡(luò)中的重要策略手段。國家在“個人—信息處理者”關(guān)系上���,從法律層面賦予了個人制衡信息處理者的一些基本工具�,這就好比國家作為基本權(quán)利的守護(hù)者�����,將“護(hù)身符”賦予個人����,使其在數(shù)據(jù)處理的場景中能夠全環(huán)節(jié)制衡信息處理者。與之相應(yīng)��,信息處理者應(yīng)當(dāng)建立個人行使權(quán)利的申請受理和處理機(jī)制�,同時需要遵守對個人信息使用方式的既定義務(wù)與程序要求,從而形成有利于保障相對人權(quán)益的穩(wěn)定的、可預(yù)期的個人信息處理行為規(guī)范��。由此�,國家主導(dǎo)下的個人信息保護(hù)的“法秩序”得以初步建立����。
但國家通過規(guī)則表達(dá)進(jìn)行賦權(quán)和建立法秩序之后���,并非“退場”,而是以維護(hù)法秩序為支點,對個人提供組織與程序保障��、監(jiān)管和執(zhí)法的支援,以不斷調(diào)控����、監(jiān)督處理者的個人信息處理活動。這也正是《個人信息保護(hù)法》在權(quán)利束規(guī)定之外���,亦詳細(xì)設(shè)計了“履行個人信息保護(hù)職責(zé)的部門”“法律責(zé)任”等相應(yīng)制度的原因所在��。在監(jiān)管層面����,國家可將權(quán)利束作為工具,推進(jìn)個人信息保護(hù)規(guī)范實施中的策略選擇和具體部署����,形塑不同行業(yè)、不同場景下信息處理者的行為模式�,在提高個人信息保護(hù)水平的同時兼顧對產(chǎn)業(yè)發(fā)展的引導(dǎo)和推動�����。從歐盟GDPR實施過程的實踐看����,情形正是如此����。例如����,歐盟數(shù)據(jù)保護(hù)委員會圍繞GDPR條文出臺了近30份指南���、推薦、最佳實踐等�,且持續(xù)不斷修訂,以在技術(shù)創(chuàng)新、商業(yè)實踐����、個人權(quán)利保護(hù)等因素之間做出適時動態(tài)調(diào)整��,從而為信息處理者提供了合規(guī)指引與行為準(zhǔn)則��。
相較于私法賦權(quán)模式的事后維權(quán)機(jī)制��,公法秩序下工具性權(quán)利的定位�,一方面可以將平臺責(zé)任前置����,使監(jiān)管者可以要求數(shù)據(jù)處理者在數(shù)據(jù)處理前便對權(quán)利束的行使與受理機(jī)制進(jìn)行妥善規(guī)定,以實現(xiàn)事前防范與主動防護(hù)����,在風(fēng)險性信息處理行為尚未規(guī)模化發(fā)生時便設(shè)計����、反思與完善更合理的用戶規(guī)則,促進(jìn)隱私政策的民主性����、合理性��、公平性�����;另一方面����,國家設(shè)定數(shù)據(jù)處理的“游戲規(guī)則”并“巡邏監(jiān)管”的保護(hù)模式,對數(shù)據(jù)聚集的“不可見”趨勢以及個人與數(shù)據(jù)處理者之間的權(quán)力不對稱具有抑制和監(jiān)督作用,保護(hù)力度更強(qiáng)���。
以前文提及的“知情—同意”困境為例��,這種國家保護(hù)的模式可以有效緩解“同意的烏托邦”困境�����。首先����,國家可以設(shè)定這一處理規(guī)則的最低保護(hù)標(biāo)準(zhǔn)����,并建立直接針對處理規(guī)則合理性的投訴舉報與程序響應(yīng)機(jī)制����。例如���,監(jiān)管者可以根據(jù)調(diào)查評估情況�,要求企業(yè)提升隱私政策的告知透明度與友好度,強(qiáng)化個體的風(fēng)險認(rèn)知與決策能力��,提升個人選擇和同意的質(zhì)量�,避免個人信息隱私保護(hù)政策因為過于冗長�����、煩瑣而變異為一種嚴(yán)苛的私人負(fù)擔(dān)及公共損失���。其次�����,信息處理者可在國家引導(dǎo)與外部監(jiān)管的合力中,激活“自我規(guī)制”的機(jī)制���,增強(qiáng)其內(nèi)部的組織控制和行為控制��,審查和反思其“知情—同意”的處理規(guī)則與隱私政策是否滿足國家法秩序下的保護(hù)標(biāo)準(zhǔn)����;在此基礎(chǔ)上����,數(shù)據(jù)處理者完全可以在國家的政策激勵與責(zé)任約束的合力之下��,將其個人信息保護(hù)水準(zhǔn)作為企業(yè)競爭策略�����,從而可持續(xù)地優(yōu)化企業(yè)內(nèi)部的隱私治理體系�,創(chuàng)造更有效的合規(guī)文化與隱私友好政策。最后�����,國家可提供各種渠道和途徑引入社會參與和監(jiān)督�����,這既可降低監(jiān)管和執(zhí)法成本�,也可促進(jìn)大規(guī)模、可持續(xù)的社會數(shù)據(jù)治理的公共理性�。
綜上而言��,相較于抽象����、形式化地基于保護(hù)需要而賦予個人對信息的實體性控制權(quán)而言�,工具性權(quán)利的理解有助于引導(dǎo)立法者與監(jiān)管者不斷反思:權(quán)利束的內(nèi)涵及標(biāo)準(zhǔn)是否合理��?是否可改進(jìn)?通過哪些主體的參與來完善權(quán)利束的具體權(quán)能��、進(jìn)行合作規(guī)制?由此����,以工具性權(quán)利束為支點�,可以撬動多方社會力量����、信息處理者與個人一同開展數(shù)據(jù)治理中的合作博弈,共同建構(gòu)并維護(hù)一套公正、透明�����、理性的“公法秩序”�,切實提升國家的數(shù)據(jù)治理水平���。
個人信息權(quán)利束作為公法上工具性權(quán)利的性質(zhì)界定�����,也意味著該種權(quán)利保障及救濟(jì)方式應(yīng)不同于民事權(quán)利��,有其特定的保障方式及體系。什么是侵害權(quán)利束的行為�?從行為表現(xiàn)看��,這實際上是指信息處理者違反權(quán)利束中某項或多項權(quán)利規(guī)則所要求的行為模式而處理個人信息的行為�����,例如未經(jīng)用戶同意就私自獲取信息、處理過程透明度不足��、不提供注銷賬號與刪除信息的功能等���。若轉(zhuǎn)換到監(jiān)管視角���,此種侵害行為實際上就是信息處理者違反“合規(guī)”義務(wù)的行為。此時,對權(quán)利束的保障��,核心在于確保其制衡效果的有效發(fā)揮��,維護(hù)數(shù)據(jù)處理活動的公平性與合理性���。對此,監(jiān)管機(jī)構(gòu)可以積極行使職權(quán)介入,針對未滿足特定個人信息保護(hù)標(biāo)準(zhǔn)的處理行為���,運用多種行政手段展開糾偏。
而在私法責(zé)任方面,民法框架下的侵權(quán)責(zé)任��,主要是在與信息處理活動相關(guān)的個人的人格權(quán)、財產(chǎn)權(quán)遭受侵害或面臨侵害危險時才可適用����,且須經(jīng)由司法途徑展開��。由于權(quán)利束的性質(zhì)并非民事權(quán)利,故侵害權(quán)利束之權(quán)項并不直接、必然地等于民事侵權(quán)�;民事侵權(quán)責(zé)任的認(rèn)定與承擔(dān),應(yīng)結(jié)合個案中個人民事權(quán)益受損情況��、加害行為的性質(zhì)以及相應(yīng)的利益衡量規(guī)則展開�����,只有在侵害權(quán)利束的行為同時也侵害了民事實體權(quán)益時��,才能激活民事侵權(quán)訴訟機(jī)制。也就是說�,包括權(quán)利束規(guī)則在內(nèi)的個人信息處理規(guī)則�����,具有類似于侵權(quán)法上的“保護(hù)性規(guī)范”的效果���,信息處理者違反權(quán)利束規(guī)則的行為并不必然導(dǎo)致民事責(zé)任����。
而在法解釋上���,我國《個人信息保護(hù)法》除了規(guī)定監(jiān)管執(zhí)法對個人信息權(quán)利束在內(nèi)的個人信息處理規(guī)則的保障外��,還在第50條第2款規(guī)定:“個人信息處理者拒絕個人行使權(quán)利的請求的,個人可以依法向人民法院提起訴訟��?�!辈贿^,這一規(guī)定并非將個人信息權(quán)利束當(dāng)作民事權(quán)利進(jìn)而直接鏈接到民事侵權(quán)訴訟���。實際上,該條文在比較法上對應(yīng)的淵源是GDPR第79條的規(guī)定:“數(shù)據(jù)主體認(rèn)為由于對其個人數(shù)據(jù)的處理不符合本條例而導(dǎo)致其在本條例項下的權(quán)利受到侵犯的���,其有權(quán)獲得有效的司法救濟(jì)���?���!钡跉W盟實踐中�,對該條文的理解與適用方式����,一般是個人首先經(jīng)由投訴舉報等機(jī)制交由具備功能優(yōu)勢的監(jiān)管機(jī)構(gòu)裁決、執(zhí)法,同時保障個人不服監(jiān)管機(jī)構(gòu)處理決定時,仍享有及時提起行政訴訟的最終補(bǔ)救權(quán)利,這符合“有效的司法救濟(jì)”的要求。從“有效性”(effectiveness)角度看,監(jiān)管效率要求行政監(jiān)管和執(zhí)法前置�,其他途徑只是作為監(jiān)管不足的最后補(bǔ)充手段。也就是說,無論是“可以依法向人民法院提起訴訟”還是“有權(quán)獲得有效的司法救濟(jì)”���,這些關(guān)于個人訴權(quán)的規(guī)定�����,都不應(yīng)被解釋為確立了一套直接針對權(quán)利束的民事訴訟機(jī)制����,而是強(qiáng)調(diào)個人信息保護(hù)法秩序內(nèi)在地具有保護(hù)個人權(quán)益的目標(biāo)和功能,因而在監(jiān)管執(zhí)法處理的前置性程序要求下��,個人依然可以主張保護(hù)請求權(quán)����,并享有在窮盡行政救濟(jì)途徑后提起訴訟的權(quán)利�。
同時需要注意的是��,將個人信息權(quán)利束定性為公法權(quán)利與通過公法機(jī)制予以保障����,并不會阻隔個人通過民事途徑獲取相應(yīng)救濟(jì)的渠道。這些民事實體權(quán)益的私法保障及個人自我保護(hù)的訴訟方式�,可以結(jié)合權(quán)利束被侵犯的情形得到類型化;權(quán)利束的具體操作規(guī)則與合規(guī)要求也可以銜接民法上的侵權(quán)責(zé)任構(gòu)成�、不同責(zé)任承擔(dān)方式的選擇、證明責(zé)任分配等內(nèi)容�����。這也意味著民法學(xué)和公法學(xué)需要加強(qiáng)對話,共同協(xié)作�����,形成個人信息公法保護(hù)與民法保護(hù)機(jī)制的協(xié)同����。
實際上�,如果從功能效果上看����,權(quán)利束的公法保障不僅不會削弱對個人的民法保護(hù)�,還可以彌補(bǔ)民法個案救濟(jì)模式的不足,共同回應(yīng)個人信息保護(hù)的系統(tǒng)性問題��。
第一����,私法責(zé)任一般聚焦于個案中民事實體權(quán)益損失的救濟(jì)與填補(bǔ)��,但在個人信息保護(hù)場景中��,個人面對的損害預(yù)期都不大;基于成本收益考量�,個人對通過訴訟方式追求民法責(zé)任的落實缺乏激勵。而且��,煩瑣的訴訟程序與舉證難度�,大量時間和精力消耗,都會令個人維權(quán)望而卻步����,不利于對惡意侵害事件作出快速有效的反應(yīng)。相比之下���,根據(jù)國家保護(hù)義務(wù)邏輯�,只要信息處理者違反權(quán)利束規(guī)則所對應(yīng)的行為模式與法定義務(wù)��,不論其是否造成信息主體實際損害����,都可認(rèn)定為違法;相應(yīng)地����,負(fù)有個人信息保護(hù)職責(zé)的機(jī)構(gòu)可以啟動執(zhí)法機(jī)制,維護(hù)個人信息處理的法秩序��。在此情況下,雖然個案中個人信息被違法處理并不必然導(dǎo)致個人遭受損害����,甚至可能會給其帶來利益,但執(zhí)法機(jī)構(gòu)仍可對違法的數(shù)據(jù)處理行為進(jìn)行糾偏和制裁��,這有利于克服個體私利驅(qū)動的“選擇性行動”��,增進(jìn)數(shù)據(jù)處理的公正性和應(yīng)責(zé)性����。
第二,私法責(zé)任對應(yīng)的個案救濟(jì)往往是分散化���、個別化的��,對單個主體的法益保障無法穿透個案而解決數(shù)據(jù)處理中內(nèi)在的��、系統(tǒng)性的問題��。例如���,在“黃某訴騰訊微信讀書案”中,法院判決被告解除原告的好友關(guān)系�����、刪除相應(yīng)信息、賠償損失���,但無法對被告的隱私政策展開進(jìn)一步的監(jiān)督與調(diào)整���。相比之下�,由專門的數(shù)據(jù)保護(hù)機(jī)構(gòu)通過執(zhí)法體制對個人信息權(quán)利束進(jìn)行保障,可將一次性的立法規(guī)則延伸到持續(xù)性的���、反復(fù)的合規(guī)監(jiān)管過程中���,這有助于有效應(yīng)對信息隱私生態(tài)系統(tǒng)中不斷變化的侵害風(fēng)險。在責(zé)任制裁方面�,監(jiān)管部門可采取約談、發(fā)布指導(dǎo)等柔性措施�����,以及聲譽(yù)監(jiān)管����、大額罰款為代表的行政處罰�����,還可以運用協(xié)商���、推薦性標(biāo)準(zhǔn)等新型規(guī)制方式,手段上也更加靈活豐富���。
個人信息權(quán)利束的工具性價值在實踐中如何落實與完善�?這需要我們明確工具性權(quán)利束的法律適用理念:一方面��,權(quán)利束應(yīng)當(dāng)保障個人在信息處理過程中的參與和全環(huán)節(jié)“在場”��,并通過程序機(jī)制促進(jìn)個人與信息處理者理性交涉��,這是權(quán)利束蘊(yùn)含的程序正義功能的體現(xiàn)����;另一方面,權(quán)利束的權(quán)能展開也將帶來一定的行權(quán)與合規(guī)成本�����,這需要國家建構(gòu)一套統(tǒng)一周延、權(quán)責(zé)均衡的操作規(guī)程��,這是權(quán)利束蘊(yùn)含的分配正義功能的體現(xiàn)���。
(一)個人信息權(quán)利束實踐的程序正義功能權(quán)利束的基本權(quán)能是保障個人的知情和參與����,為個人提供基礎(chǔ)性的、防御性的程序保護(hù)��,亦即確保數(shù)據(jù)處理過程中個人“保持清醒的在場”����。這一“防御性權(quán)能”主要表現(xiàn)為知情權(quán)�、查詢權(quán)、復(fù)制權(quán)所要求的信息披露機(jī)制以及說明理由�、更正與異議權(quán)等對應(yīng)的發(fā)言參與機(jī)制。
以告知機(jī)制為例���,知情權(quán)��、查詢權(quán)���、復(fù)制權(quán)是個人行使權(quán)利的基礎(chǔ)���。與此類權(quán)利對應(yīng)的,是數(shù)據(jù)處理者需要建立信息披露機(jī)制與透明的操作規(guī)則���。首先�,良性的信息披露將給數(shù)據(jù)處理者帶來更大的合規(guī)壓力��,迫使處理者接受監(jiān)督���;其次����,信息披露也有助于信息主體了解信息的去向和使用目的��,便于個人作出理性決策����;最后,從風(fēng)險控制的角度觀察�����,信息披露也有利于相關(guān)個體及專業(yè)力量更加準(zhǔn)確地評估、識別數(shù)據(jù)集聚的動態(tài)化�、復(fù)雜性風(fēng)險并采取相應(yīng)風(fēng)險防控手段。
除了信息披露機(jī)制外���,更正權(quán)�����、異議權(quán)���、要求說明權(quán)等權(quán)利規(guī)則所對應(yīng)的理由說明與對話機(jī)制,對于促進(jìn)信息處理活動的規(guī)范化也具有重要作用�。其一,允許個人對數(shù)據(jù)處理活動中的操作提出質(zhì)疑���,并將決策系統(tǒng)的理由告知個人,這體現(xiàn)了對個人自主性的尊重�。其二,這一機(jī)制與信息披露機(jī)制相結(jié)合�����,可以迫使信息處理者不斷地說理和論證,反思�����、檢視信息處理過程與方式的妥當(dāng)性與準(zhǔn)確性�,進(jìn)而增強(qiáng)信息處理活動的理性化程度。例如����,《個人信息保護(hù)法》在第24條專門規(guī)定自動化決策的處理規(guī)則,并強(qiáng)調(diào)賦予個人充分的知情權(quán)�����、要求說明權(quán)與選擇權(quán)��,從而保障自動化決策的過程透明與理性���、促進(jìn)結(jié)果的公平合理���,正是體現(xiàn)了這樣的關(guān)懷。其三���,對理由說明與案例積累中相關(guān)要素的提煉和公布���,也可搭建一個數(shù)據(jù)處理理由展示和檢閱的“平臺”���,還可以為監(jiān)管機(jī)構(gòu)的執(zhí)法與審查提供線索。
在保障個體知情參與���、實現(xiàn)程序保護(hù)與防御功能之外���,程序正義還內(nèi)蘊(yùn)了溝通理性的要求。權(quán)利束可以促進(jìn)個人與信息處理者理性交涉���,設(shè)定雙方進(jìn)行理性對話和博弈的制度性條件��。這表現(xiàn)在����,權(quán)利束中的具體權(quán)能可以疏通個人在信息處理過程中的利益表達(dá)渠道�,通過出場、在場�����、發(fā)言等方式��,提高個人針對信息處理者的談判地位和籌碼�����,幫助個人爭取到對等交涉地位的主導(dǎo)權(quán)���。由此���,在權(quán)利束制衡功能下的博弈、對話可以使相應(yīng)的信息處理機(jī)制得以形成和不斷改進(jìn)�,在提高個人信息保護(hù)水平的同時,也可進(jìn)一步增強(qiáng)信息處理活動的公平性���、正當(dāng)性��。正如瑪格特·卡明斯基(Margot Kaminskic)所言:“這些權(quán)利有可能在個人和公司之間創(chuàng)造類似于對話的機(jī)會���,討論算法決策和其他形式的個人特征分析和數(shù)據(jù)處理背后的理由。這些權(quán)利對于數(shù)據(jù)處理的公平準(zhǔn)確起到了工具性的作用���,特別是在糾正事實和推斷錯誤方面��?�!惫ぞ咝詸?quán)利在國家保障下的行使�����,可以使信息處理者持續(xù)感受到個人信息受保護(hù)權(quán)規(guī)范性力量的作用�����;可以對數(shù)據(jù)處理中不平衡關(guān)系和秩序進(jìn)行矯正����,增進(jìn)溝通理性;可以在保障個人相關(guān)法益的同時�����,讓信息處理者也可合理使用數(shù)據(jù)��,促進(jìn)兩者間形成相互制衡�����、理解乃至信任的程序結(jié)構(gòu)���。
(二)個人信息權(quán)利束實踐的分配正義功能在程序正義的基礎(chǔ)上�����,還應(yīng)當(dāng)看到����,個人數(shù)據(jù)處理關(guān)系涉及多個互動博弈的權(quán)利與權(quán)力主體間關(guān)系�����,既囊括了數(shù)字經(jīng)濟(jì)時代公民個人��、企業(yè)的利益與公共福祉的增進(jìn)�,也涉及高度策略化的主權(quán)安全和國際博弈問題;在利益形態(tài)上����,既包括立法者對商業(yè)創(chuàng)新和個人保護(hù)的權(quán)衡取舍,也涉及在既有數(shù)字產(chǎn)業(yè)現(xiàn)狀下對市場競爭優(yōu)勢���、經(jīng)濟(jì)長期發(fā)展�����、社會目標(biāo)實現(xiàn)以及主權(quán)競爭策略的綜合考量�����。為此����,需要確保國家對個人數(shù)據(jù)治理中權(quán)利義務(wù)配置的負(fù)責(zé)性、審慎性與平衡性����。在權(quán)利束規(guī)則的設(shè)計與適用上,分配正義觀要求國家在對個人進(jìn)行傾斜保護(hù)��、全環(huán)節(jié)支援的同時���,也需在數(shù)據(jù)治理中權(quán)衡多元利益���,避免滑向?qū)€人信息過度保護(hù)的誤區(qū),這重點表現(xiàn)在以下幾個方面:
第一�����,對知情權(quán)�����、查詢權(quán)、更正權(quán)等參與性制度的程序和方式應(yīng)進(jìn)行合理設(shè)計����,在確保程序參與的基礎(chǔ)上避免給企業(yè)造成過多的合規(guī)成本,同時防范權(quán)利濫用現(xiàn)象��。這里的關(guān)鍵是維系個人與數(shù)據(jù)處理者之間的均衡關(guān)系�����。此時���,從工具有效性而非自主支配的民事權(quán)利角度進(jìn)行理解,更有利于形成靈活的程序框架����,合理配置雙方的權(quán)責(zé)。國外實踐中已意識到這一問題�,例如,在Rijkeboer案中�,歐盟法院指出:“歐盟成員國應(yīng)為信息查詢與獲取確定內(nèi)容范圍與時限,這構(gòu)成了兩者之間權(quán)利義務(wù)關(guān)系的合理平衡����。一方面��,考慮數(shù)據(jù)主體的利益���,特別是在處理數(shù)據(jù)不符合指令的情況下,以查詢?yōu)榛A(chǔ)�,進(jìn)而其糾正,刪除和阻止數(shù)據(jù)處理的權(quán)利�����,以及反對信息處理和提起法律訴訟的權(quán)利��;另一方面,存儲、配合查詢該信息的義務(wù)對數(shù)據(jù)控制人造成的負(fù)擔(dān)���?���!?/p>
第二,審慎對待可攜帶權(quán)的功能��。一方面���,可攜帶權(quán)這一工具性權(quán)利允許用戶將在某一平臺所存儲的數(shù)據(jù)轉(zhuǎn)移到同類平臺���,降低了用戶的平臺轉(zhuǎn)換成本�����,進(jìn)而可緩解平臺對數(shù)據(jù)的壟斷以及由此造成用戶被鎖定的情況�����。但另一方面,數(shù)據(jù)可攜帶權(quán)在技術(shù)上往往存在一定難度���,可能增加企業(yè)合規(guī)成本����,也可能導(dǎo)致某些企業(yè)的競爭優(yōu)勢喪失����,畢竟個人信息是數(shù)據(jù)企業(yè)取得競爭優(yōu)勢的關(guān)鍵要素;數(shù)據(jù)可攜帶權(quán)還可能引起各企業(yè)之間利用這一權(quán)利搶奪數(shù)據(jù)����,加大不正當(dāng)競爭和大企業(yè)壟斷的趨勢,擠壓后發(fā)企業(yè)的發(fā)展空間。如何有效預(yù)防這些風(fēng)險���,在用戶個人信息權(quán)益���、平臺數(shù)據(jù)權(quán)益、數(shù)據(jù)市場競爭以及數(shù)據(jù)安全等多維視角下設(shè)定可攜帶權(quán)的內(nèi)涵及行使方式���,避免權(quán)利束由個人權(quán)利異化為數(shù)據(jù)處理者的擴(kuò)張工具���,這些還需要在數(shù)據(jù)治理實踐中進(jìn)行動態(tài)評估和優(yōu)化?��!秱€人信息保護(hù)法》第45條第3款對可攜帶權(quán)作出規(guī)定時�,既規(guī)定了“個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”這一合規(guī)義務(wù)��,但同時也設(shè)定了“符合國家網(wǎng)信部門規(guī)定條件”這一彈性前置要件�����,這也反映了國家對可攜帶權(quán)實踐中的分配正義考量����。實踐中需要監(jiān)管部門通過持續(xù)的規(guī)制策略調(diào)整��,不斷進(jìn)行成本收益分析與規(guī)制方式匹配��,限定��、調(diào)整與完善可攜帶權(quán)的適用場景及條件�����。
第三�����,理性設(shè)計個人信息權(quán)利束中的“進(jìn)攻性權(quán)能”����。除了基本的程序保護(hù)外��,個人在特定條件下還可以行使撤回同意權(quán)��、限制處理權(quán)���、刪除權(quán)等積極的權(quán)利,進(jìn)而對數(shù)據(jù)處理活動施加某種主動性的影響���,乃至阻隔或退出數(shù)據(jù)處理活動����,因而可謂之“進(jìn)攻性權(quán)能”。這些權(quán)利的配置需要根據(jù)功能適當(dāng)原則展開:在數(shù)據(jù)處理的特定節(jié)點���,由個人進(jìn)行“發(fā)言”“對抗”乃至“退出”����,對于制衡信息處理者具有較大作用���,因而需要國家合理�、均衡地配置這些權(quán)能�����。具體而言����,這些權(quán)利的啟動要件基本集中在違法處理、超出原定目的處理�����、違反約定處理等情形。也即是說����,其判斷核心要素在于:個人信息處理行為是否已背離信息處理的本意,超出信息主體所能容忍的限度與基本預(yù)期��,并可能或事實上對信息主體的人格或財產(chǎn)權(quán)益造成侵害���。這反映了個人與數(shù)據(jù)處理者之間的關(guān)系失衡��、風(fēng)險加大�,必須予以糾偏����。因此,個人在此情況下有權(quán)退出或部分退出數(shù)據(jù)處理過程��。但需要注意的是����,此類進(jìn)攻性權(quán)能并不意味著個人對信息處理活動具備“自決權(quán)”����;這一類型的權(quán)能是立法者進(jìn)行立法裁量后確定的結(jié)果���,基本屬于立法者的形成自由與裁量空間,而非不言自明的����、絕對的權(quán)利。例如�,不同行業(yè)領(lǐng)域賦予個人信息主體信息處理介入權(quán)程度是不同的,這也是個人信息權(quán)益的多元性與場景性所決定的�����;再如����,監(jiān)管者審查信息處理者是否盡到刪除義務(wù)時需要權(quán)衡考慮不刪除的風(fēng)險、刪除的成本�、其他替代措施的可行性等諸多制度因素?�?梢哉f�,相較于以程序正義為核心的防御性權(quán)能而言,進(jìn)攻性權(quán)能對數(shù)據(jù)處理活動的干預(yù)性更強(qiáng)���,對處理者義務(wù)設(shè)定與履行成本的要求更高����,因而更應(yīng)強(qiáng)調(diào)雙方權(quán)責(zé)合理配置的分配正義。
個人信息權(quán)利束是國家對個人信息處理活動進(jìn)行規(guī)制的產(chǎn)物����。個人信息權(quán)利束與個人信息處理者的義務(wù),共同構(gòu)成了個人信息的“處理規(guī)則”�����。在法律性質(zhì)上����,個人信息處理規(guī)則屬于公法秩序,是國家為了規(guī)范個人信息處理活動而選擇的規(guī)制策略����,其背后體現(xiàn)的是個人信息立法的“保護(hù)法”使命:基于個人與個人信息處理者之間的不對稱權(quán)力結(jié)構(gòu),個人信息保護(hù)必須體現(xiàn)國家對個人的賦權(quán)和支援��,而不是聽任和觀望處于弱勢一方的個人與強(qiáng)勢的信息處理者進(jìn)行“空手”博弈����。
個人信息權(quán)利束作為公法上工具性權(quán)利的性質(zhì)界定�����,意味著侵害權(quán)利束的行為,直接侵犯的是公法上的法秩序��,應(yīng)主要由行政監(jiān)管和執(zhí)法予以規(guī)制和糾偏�����。這也意味著�����,侵害個人信息權(quán)利束的行為并不必然等于民事侵權(quán)�;《民法典》規(guī)定的民事侵權(quán)責(zé)任機(jī)制仍應(yīng)圍繞民事實體權(quán)益的損失與危害展開。若是將傳統(tǒng)的人格權(quán)制度直接套用到個人信息權(quán)利束的適用上���,不僅會導(dǎo)致民法內(nèi)在的體系混亂����,也會引發(fā)個人信息保護(hù)法律適用難題�。
當(dāng)下,將個人信息權(quán)利束理解為實體性民事權(quán)益的觀念��,在法律實踐中仍具主導(dǎo)性影響,存在將個人信息權(quán)利束直接視為民法人格權(quán)益予以司法保護(hù)的態(tài)勢����。例如,最高人民法院于2021年8月1日實施的《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》��,在第2條中將信息處理者違反“知情—同意”規(guī)則的行為一概視為侵犯人格權(quán)益的行為���,可以提起民事訴訟�。若是按照該司法解釋的邏輯���,將人臉信息處理行為類推到所有個人信息處理行為���,則意味著:對個人信息處理者違反個人信息權(quán)利束所對應(yīng)的處理規(guī)則的行為,個人都可以直接提起民事訴訟����;法院也無須識別和判定實體的民事法益損害,可直接認(rèn)定民事侵權(quán)責(zé)任�。很明顯,這一司法解釋的基本邏輯��,就是將個人信息權(quán)利束界定為民法上的實體權(quán)益����,并直接通過民事訴訟途徑加以保障和救濟(jì)��。
公允地說,從司法的視角來看��,將侵犯個人信息權(quán)利束的行為一概視為直接侵犯民法人格權(quán)益的行為�����,進(jìn)而納入民事侵權(quán)責(zé)任體系之中���,這種司法實踐在個人信息保護(hù)法制不完善�����、行政監(jiān)管機(jī)制不健全的階段�����,其用心可以理解���。但這無疑將會給個人信息保護(hù)實踐帶來諸多負(fù)面效應(yīng):首先,從制度成本上看�����,面對大規(guī)模、普遍化���、日?�;?��、環(huán)節(jié)多元、方式多樣的個人信息處理活動��,個人就權(quán)利束中的權(quán)利而展開的單獨����、分散的訴訟,將耗費巨大司法資源��,甚至引發(fā)“訴訟爆炸”���。其次�����,從制度的救濟(jì)效果上看�����,對個人來說����,此類民事訴訟成本高、取證難��、信息資源不對稱�����、損失后果難以認(rèn)定和量化����,勝訴難度很高�,也無法切實解決個人的權(quán)益保護(hù)需求。再次�����,從司法的效果看�����,此類民事訴訟中,法院最多只能針對個人的人格權(quán)益作出個案化處理���,無法對信息處理活動的處理規(guī)則進(jìn)行源頭治理����,個案化�����、個別化�、碎片化的裁判對于解決個人信息處理的“公共風(fēng)險”而言無疑是杯水車薪。最后���,從個人信息保護(hù)的手段和方式協(xié)同關(guān)系看����,提前“入場”的司法救濟(jì)將與公法規(guī)制手段之間產(chǎn)生適用沖突���,造成兩種保護(hù)手段的適用錯位��。如果把個人信息權(quán)利束中的權(quán)利都界定為個體人格權(quán)益�,將違反個人信息處理規(guī)則的行為都視為民事侵權(quán)行為�,那么還需要行政監(jiān)管和執(zhí)法干什么呢���?個人信息保護(hù)法專門設(shè)計行政監(jiān)管和執(zhí)法體系豈不多此一舉?歸結(jié)而言���,對個人信息權(quán)利束保障策略和方式的選擇�����,還需回歸個人信息權(quán)利束的法律性質(zhì)和生成邏輯�。
落實到具體的法律適用順序與適用方式上�����,以國家保護(hù)為本位的《個人信息保護(hù)法》所適用的基本邏輯�����,與以私法自治為本位的《民法典》相關(guān)制度應(yīng)有所區(qū)別�����。雖然《民法典》人格權(quán)編對個人信息權(quán)利束中的知情權(quán)�����、查詢權(quán)�、更正權(quán)、刪除權(quán)進(jìn)行了規(guī)定���,但這并不意味著《民法典》確認(rèn)了個人信息權(quán)利束的民事權(quán)利屬性�����。事實上�����,《民法典》第1034—1039條中所規(guī)定的這些內(nèi)容�����,幾乎直接來自此前《網(wǎng)絡(luò)安全法》第41—43條關(guān)于網(wǎng)絡(luò)個人信息保護(hù)條款的規(guī)定���,這其實也表明,《民法典》的相關(guān)條文只是個人信息國家保護(hù)義務(wù)在《民法典》中的投影���。僅僅依據(jù)《民法典》的這些規(guī)定就將這些權(quán)利界定為民事權(quán)利��,邏輯上有倒果為因之嫌��。個人信息國家保護(hù)義務(wù)要求國家出場對個人進(jìn)行積極保護(hù)��,而《民法典》是典型的“權(quán)利法”而非“保護(hù)法”�����。個人信息保護(hù)法的制度實踐�����,需要以憲法上的人格尊嚴(yán)法益和民法上的實體性權(quán)益為保護(hù)目標(biāo)�,但在保護(hù)方式上,必須超越私法本位的路徑依賴�,以貫徹“國家保護(hù)”理念的《個人信息保護(hù)法》為基本法,建構(gòu)多層次��、多方式���、多手段的個人信息保護(hù)法律體系,落實國家的規(guī)制理性���。
