小
中
大
摘 要:数字时代具有的复杂性与风险性,令个人所享有的权利呈现出多维特征,涉及人权、宪法权利及公私法交融视域下的具体权利等系列权利。中国在制定《个人信息保护法》的过程中,既考虑到个体权利创设中的利益平衡,同时又将制定法植系于中国个人信息保护的历史脉络与所处国际场域。在此基础上,中国个人信息主体权利体系呈现为“三阶构造”特征:“决定权”是一种典型的“理念贯穿式”权利模式与立法模式;知情权是权利体系的核心与基础;散射交叉的系列权能是知情权的具体外在表现。在当下以及未来的法律实施中,法律规定的个人享有的一系列权利如何行使以及如何实现,仍存争论,应致力于权利保护与权利救济并重,从而实现对个人信息主体权益的充分保护。
关键词:个人信息保护法 个人信息主体 权利创设 决定权 知情权
中国于2021年8月通过《个人信息保护法》,开启了以专门立法保护个人信息的时代。这部法律围绕着如何保护个人信息、如何加强个体的“信息自决”、规范个人信息处理活动等内容进行了系统规定。尤其在个人信息主体的权利方面更构建了既符合个人信息保护的一般规律又突出这部立法的价值选择的权利体系。如何理解这些权利既涵括国家对个人利益的保护同时又使个体的权利诉求始终面向“实现”向度,是衡量一个权利体系科学与否以及人的意志自由与否的关键之点。因此,对于《个人信息保护法》上的权利体系,如何认识其生发的基础、来源以及最终选择,将直接关系到《个人信息保护法》的价值实现与功能彰显,对法律实施具有重要作用,殊值研判。
一、数字时代的个体权利
“权利”这一命题,在数字时代变得愈发重要和复杂。相较于以前的工业社会,个体向雇主、国家或其他侵害其权利的主体主张权利之时,相应法律责任的认定遵循既有法律规则,其间虽也存在复杂情况,但其实并未超出法律责任理论或法律适用的范畴。至数字时代,个体逐渐趋于“原子化”,人与人之间的客观物理联系日渐式微,技术应用的渗透却无孔不入,人们可能在毫无察觉之下被技术“超轻推”,可能改变人们的行为方式,甚至可能在“聚集效应”之下产生风险。诚如有学者所言,在大数据时代,除非我们能回避所有数据收集,否则我们将无法拒绝成为大数据技术的预测对象。在数字时代,重视与强调从权利角度维护正义、自由、效率、秩序、人权、人文精神等法律价值的立法,是讨论个体权利的起点与基础。
(一)个体权利的多维性
科技发展对社会关系的调整和个体权利的保护产生重要影响。在人与科技的关系渗化至人与人之间的关系之时,人们不无疑问,究竟公民或个体应享有何种权利以及传统权利应否升级迭代。数字时代对个体权利的影响体现在人权、宪法上的基本权利以及具体权利等多层次与多维度。
第一,人权的发展。数字时代“嵌入”人们生活的方方面面,“工业+互联网”、5G技术、人工智能、万物互联等技术的发展,在给人们带来高效、便捷的同时,也带来了诸多风险与损害。隐私侵害与个人信息泄露、人脸识别技术的滥用、平台的强势地位、算法黑箱、信息鸿沟、侵权的复杂化与广覆盖性,导致人类必须面对数字时代带来的深层次问题。有学者提出,在面对如此多样的风险与威胁的同时,在人权保护方面,也突破了前三代人权所受到的物理时空和生物属性的限制,实现自由平等权利、经济社会文化权利、生存发展权利的转型升级。亦有学者认为,从权利的角度来看,将对数字科技的掌握和运用奉为“权利”并将其归属于“人权”,提炼出“数字人权”概念,既十分必要、甚为迫切,也顺理成章、水到渠成,即“无数字,不人权”。同时,以互联网为主的科技发展也带来了人们的网络心理依赖、疏离现实等问题,尤其对于未成年人,诸多互联网产品也给他们的成长带来了一定负面影响。可见,科技的正向作用是明显的,但同时,科技的负面作用也显而易见。如何更好发挥其正向作用又同时抑制或减少其负面作用,就成为各领域所共同关心的问题。从维护人的尊严、财产等角度出发,数字时代的人权保护无疑是后续系列权利图谱中的基底层,殊值关注与强调。
第二,宪法上的基本权利。一国宪法确认公民在政治、经济、文化、人身等方面享有基本权利。宪法上确认的基本权利,系凸显此项权利对于公民而言所具有的广泛性、平等性与重要性等特征。科技存在被滥用的风险,加之由来已久的滥用公权可能侵害公民基本权利的现实仍然存在,这就导致人们可能在智能化时代面临“隐私全无”的危险境地。比如,通话记录作为通信秘密的保护对象,人们的通信自由和通信秘密可能会被侵害,通信权这一基本权利亟须在智能化时代获得更好保障。数据、算法的多向运用,也可能会对公民的基本权利造成侵害。有学者认为,数据偏误与算法歧视会招致对现代宪法原则的抵制,削弱对公民基本权利的保障。对于算法带来的侵害,人们应享有“免于歧视的权利”。对于个人信息保护而言,也有学者认为从我国《宪法》文本之中也可以解释出隐私权、个人信息权系公民的基本权利。虽然对于这些观点,学界也存在争论,但足可见人们对于数字时代基本权利的重视与渴望。在我国《个人信息保护法》的立法过程中,最终在草案三审稿第1条立法目的之中增加了“根据宪法,制定本法”这一表述,这也是立法权法定(包括权源法定和法源法定)原则的规范要求。但是,至少从法律文本来看,这一规定并未明示关于个人信息的权利是否属于宪法上的基本权利,能否推导或证成“个人信息权”属于基本权利,仍留待学界继续探讨。
第三,公私法交融视域下的具体权利。在当下信息科技时代,人们享有的权利呈现出跨公私法域的特征,非单一部门法所能涵盖。有学者认为,基于数据和信息资源的经济价值和社会作用,生成了前所未有的大量社会利益和新型社会关系,进而不断转换成现实生活中的新兴权利,比如,概括的数据权或权利束,包括知情同意权、数据采集权、数据修改权、数据可携权、数据被遗忘权(删除权)、数据管理权、数据支配权、数据使用权、数据收益权等。世界范围内的个人信息或个人数据保护立法,也基本上规定了类似权利。中国《民法典》第1037条规定了个人信息主体所享有的一系列权利,使得这些权利具有请求权等基本特征。《个人信息保护法》明确规定了知情权、决定权以及个人享有的一系列权利,这些权利在一定程度上脉承于《民法典》中的系列权利。割裂《民法典》与《个人信息保护法》在中国制定法体系内的关系,或不承认二者之间存在一定联系,完全不符合成文法的特质与要求。对于这些权利的救济与保护,需要公法与私法多向度配合,这一点已形成共识,并使个人信息保护法体现出比较显著的“领域法”特色。
(二)个体权利创设中的利益平衡
从社会整体视域观察,隐私保护的观念亦在不断容纳其他价值。在创设个体权利之时,既要考虑所保护的利益之于该个体的价值与意义,同时也应始终将个体权利置于与他人利益、社会利益的平衡与协调之中,这样的权利创设才能真正发挥作用。
其一,权利理论本质的本身就包含不同方式的利益考量。或许人们在讨论权利创设的利益平衡问题之时,通常会径直考虑权利人与其他主体的利益平衡,但这一点并不符合权利理论学说上的争论。在讨论权利理论之时,拉兹的观点与以权利人为中心的权利理论的区别并非是赋予个人的而非权利人的利益的力度或重量上的区别,而是这些利益在道德或法律考量的框架中运作方式上的区别。只有某些特定类型的理由在证成权利的过程中才能被使用,以权利人为中心的权利理论认为只有权利人的利益才是内在理由;而拉兹则认为,只有当使权利人受益是使其他人受益的一种方式,而通过使他们受益,权利人也得到利益的时候,其他人的利益在证成权利时才算重要。内在理由与外在理由事实上存在二分。因此,目前关于个人信息主体保护与社会发展平衡的观点,实际上只着重于其他人受益,而忽视了个人信息主体本身利益的强调与保护,类似于“隐私付费”“以隐私换便利”的观点如若无法把握边界,则是极其危险的。只有以“二分”维度观察,才能真正实现权利创设的初衷。
其二,个人信息权利的创设应始终着重保护个人利益。在上述“二分”视角下,个人信息权利的创设首先是基于个人信息权益的保护。世界范围内过去数十年科技与数字经济发展迅速,但同时产业的“野蛮生长”也在相当程度上侵蚀个人信息保护理念。因此,强调个人信息权利是基于个人信息权益的保护至关重要,这也就是为何个人信息保护进入《民法典》,作为人格权益予以保护的正当性与合理性。个人信息权利当且仅当其立基于个体权利保护,个人信息保护立法才具有正当价值与意义,这也就是为何《个人信息保护法》原本在一审稿第1条中规定了“保障个人信息依法有序自由流动”这一表述,但在二审稿之后就予以删除,体现了立法意旨。
其三,个人信息权利的创设应与外在的其他主体的利益保持平衡。对于上述权利创设的外在理由,就是当下讨论较多的个人信息权利与产业发展、社会发展如何平衡的问题。中国数字经济的发展在世界范围内处于较为领先的地位,但个人信息保护绝非阻碍数字经济发展的因素。此前学界和业界对于欧盟《一般数据保护条例》(GDPR)规定趋严的批评也并不完全客观。《个人信息保护法》第1条中也规定了“促进个人信息合理利用”的内容,同时在第4条规定了个人信息“不包括匿名化处理后的信息”,为后续个人信息合理利用在成文法层面预留了空间。可见,个人信息权利的创设在立法层面已在体系化考虑利益平衡的问题,当前面临的是如何实施等问题。
(三)个体权利保护的技术驱动
数字时代以技术发展为主要驱动力,也决定了个人权利创设过程中除需考虑利益平衡之外,还可以在技术发展中寻求出路。比如,有学者认为,过度强调隐私会限制个人数据的收集和应用,使人工智能难以迅速进化;反之,则会造成机器官僚主义的独裁、问责机制的瓦解——这是当今宪法学的一个悖论。把集权式的人工智能算法与分权式的区块链协议结合起来进行合理的机制设计,有可能成为新时代宪法秩序变迁的方向。因此,如何在法律上保护个人信息,同时又如何在法律之外利用多种方式与途径保护个人信息,成为当下和未来人们所共同探索的领域。
无独有偶,《个人信息保护法》上规定个人信息“不包括匿名化处理后的信息”,给匿名化信息在法律上预留了利用空间,但事实上绝对匿名化的信息在技术领域几乎是不可能实现的。如有学者所言,个人数据或者是有用的,或者是被完全匿名化的,但绝不可能二者兼得。对此,诸如多方安全计算(Secure Multi-party Computation, MPC)、联邦学习(Federated Learning, FL)、差分隐私(Differential Privacy)等技术就具有相当的运用空间,以此在技术上充分保护个人信息,意在在更广的范围内超越制度意义上的个人信息保护与个人信息利用的平衡,而在制度力所不逮之处通过技术而实现。因此,在权利创设中除制度上的利益平衡之外,数字时代更呈现出通过技术寻找出路的特征,这一特征既能保证法律或制度实现,同时又能弥补法律或制度漏洞,毫无疑问,这也是数字时代不容忽视的优势之一。
二、实证法上个人信息主体的权利
个人信息主体的权利内生于中国法体系脉络之内,借鉴于欧盟个人数据立法。中国国家层面始终重视个人信息保护,分别在多领域对个人信息保护加强立法,分别在刑法、消费者权益保护法、网络安全法以及民法典中规定了个人信息保护,构成一个系统的规范群,同时又在一系列规范性文件以及推荐性标准中予以细化指引。同时期的世界立法动态,美国和欧盟自1990年代起持续推动本地区或本国的隐私与信息立法,二者也形成了立法竞争的局面。但如格林里夫(Graham Greenleaf)所指出的,“欧洲标准”的数据隐私法正在逐渐成为世界其他国家数据隐私法的标准。中国在制定个人信息保护法的过程中,也在一定程度上借鉴了欧盟立法。在内驱与外引的双重作用下,中国个人信息保护法上的权利体系逐渐形成并趋于完善,始终面向实施向度发挥作用与功能。
(一)如何创设实证法上的权利
自然法与实证法之间关系的经典命题,使“权利”始终在应然与实然——“应当有”与“实际有”之间徘徊。拉兹提出创设权利的法律分为三类,即赋权性法律、除权性法律和构成性法律。威尔曼(Carl Wellman)对拉兹的这一创设权利的法律分类方法评价道:“这一分类方法确实很好地区分了界定任何权利内容的构成性法律,以及决定谁拥有或被除去权利的赋权性法律和除权性法律。”在前述对于社会多维视角观察下的权利以及考虑其内生与外在价值,并且在意识到数字时代的风险已对社会结构发生潜在影响的基础上,聚焦于个体隐私与信息保护之时,就越发体现出其重要性与复杂性。这也就给人们提出一个难题——在此复杂情势下,如何在一部“单独的法律”或“更为复杂法律的一部分”规定这些权利。申言之,数字时代尽管人们主张的权利众多,但能够进入“个别化法律”视野的“权利”却较为有限。因此,在个人信息保护领域,实证法上的权利创设大致遵循以下标准。
第一,典型性。个人以自然人、公民等资格身份居于社会生活和政治国家中,在经济领域、政治领域、社会领域中分别具象化为不同主体。在不同领域,个人以不同主体身份或“法律意义上”的形象出现,差异化的资格、身份或“形象”在一定程度上框定了权利的表现方式与范围。在个人信息保护领域,“个人”虽然在正式文本中都被表达为“个人”,但有些情况下也会概括称为“个人信息主体”等概念,以表示与个人信息处理者相对应。针对“个人信息主体”这样一个在特定领域中的主体,其权利创设就紧紧围绕个人信息处理活动中可能涉及的权益保护与风险等方面内容。因此,实证法上的权利首先是这一领域中最需要保护的法益,进而形成具有典型性的权利,包括但不限于体现“信息自决”以及实现个人对信息的控制等系列权利,以突出就个人信息保护事项而言的典型意义。
第二,重要性与最大共识。人类社会进入万物互联与智能社会之后,人们除享受高效与便捷之外,也深陷危机感之中,不得不面对多重风险与挑战。风险引致的规制失灵、秩序失调集中表现为“治理赤字”,即现行的治理体系、治理规则、治理能力、治理技术已不能有效应对现代智能科技的全方位挑战,以致出现失控、失序甚至危及公民权利、社会福祉、公共秩序、国家安全、全球和平的严重态势。尽管人们面对诸多风险,从人权、宪法权利以及公私法域各项权利等多角度提出自身对于权利的诉求,但实证法的容纳毕竟有限,只能框定在最具重要性,并且在世界范围内同类问题上具有最大共识的权利诉求之上。从重要性、紧迫性与比较法视域来看,关于如何实现个人对个人信息处理活动的知情以及延伸外化的查询、异议、限制处理、拒绝处理以及删除等系列权利,则成为世界范围内的个人信息保护法以及个人数据保护法所最具认同的权利,也大多转化为实证法上的权利。同时,相同或类似的权利也使得各国或各地区的法律适用等更加相通,降低法律解释与沟通的成本。
第三,时代性。“在经济全球化、政治多极化、文化多样化、社会信息化的‘我们的时代’,究竟蕴含着怎样的时代性的特征与趋向?对这种时代性的特征与趋向应当作出怎样的概括和表达?”这是哲学领域对人类提出的时代发展与终极发展之问。这也意味着在实现人们的诉求以形成法律之时,应聚焦于如何回应时代之问以及前瞻未来。在个人信息保护领域,回应个人信息主体权利的成文法首推《民法典》。作为体现时代性的代表之作,《民法典》从立法价值到基本原则、具体制度等均成体系地体现了时代性。其中专门规定了个人信息保护,在世界私法史上可圈可点,意在因应充分保护个人信息权益之时代难题。在《个人信息保护法》作为单行法创设个人信息主体的权利之时,也进一步回应当下以及未来对于个人信息权利保护的重要之点,包括规定个人对自身权利的决定权与知情权以及一系列权利,以前瞻个人信息保护的前景与未来。
(二)个人信息主体权利:《民法典》与《个人信息保护法》之对比
个人信息保护进入《民法典》,在世界私法史上可圈可点,但也同时引发如何定位民法与个人信息保护法之间关系的问题。自20世纪80年代以来,个人信息保护法或个人数据保护法在世界范围内基本上以公法面貌出现,尤以1995年欧盟《个人数据保护指令》 至2016年《一般数据保护条例》等一系列规定为典型代表。世界范围内的个人数据保护立法此起彼伏。传统上即便征信业本身一定程度上具有准公共性的特征,但这并未排斥征信机构在信息使用与保护方面的民事责任,即征信机构侵害信息主体权益之时,信息主体有权请求司法救济。类比而言,个人信息保护法虽然主要集中于规制个人信息处理活动,但同时也并未排斥个人信息处理者在侵害信息主体权利之时的民事责任。
高度组织化的个人信息处理者大规模、持续地处理个人信息的行为,更需要立体化的规制与多元救济体系。就欧盟而言,其在立法上始终寻求较为全面地规定各种救济方式。1995年《指令》第22条、第23条规定了对于个人给予除公法救济以外的其他救济方式。第22条中最后半句规定,成员国应规定每个人都有权因违反规定了处理规则的国内法所保障的权利而获得司法救济。第23.1条也规定,成员国应规定,因非法处理或任何不符合根据本指令通过的、国家规定的行为而遭受损害的任何人,有权从控制者处获得损害赔偿。这一多维救济的理念延续至《一般数据保护条例》,第82.1条规定,任何因为违反本条例而受到物质或非物质损害的人都有权从控制者或处理者处获得损害赔偿。第82.2条规定,任何涉及信息处理的控制者都应对因违反本条例的处理而受到的损害承担责任。对于处理者,当其没有遵守本条例明确规定的对处理者的要求,或者当其违反控制者的合法指示时,其应当对处理所造成的损害负责。可见,在欧盟个人数据立法的体系内,除公法救济以外,始终对个人的私法救济予以规定,只不过根据欧盟立法的特点,“指令”(Directive)依赖于各国国内法的转化,而“条例”(Regulation)则在欧盟境内具有直接实施的效力。
理想的立法需顺应社会发展与世界发展潮流。抽象平等而实质不平等的个人与个人信息处理者之间,实力相差悬殊,加之域外已有立法经验,中国借《民法典》编纂契机,将个人信息保护规定至人格权编之中。诚如日本学者穗积陈重在其《法典论》一书中讨论“更新策略的法典编纂”时所言,“在如此社会事物发生激变之时,亦有必要制定顺应时势之法律是自不待言的”。有鉴于此,之所以在上文讨论个人信息保护在域外以及中国法项下的私法救济模式,意在阐明中国《民法典》规定个人信息保护系基于社会发展实践,而非凭空臆定。毋庸置疑,个人信息保护并非私法所一力独担,必然需要与其他法律共同协力,方能实现总体保护效果。
《民法典》第1037条规定了个人信息主体对个人信息享有查阅权、复制权、异议权、更正权与删除权等几项权利,《个人信息保护法》在第四章“个人在个人信息处理活动中的权利”中在前述几项权利的基础上又增加了知情权、决定权以及可携带权等几项权利。两部法律规定的权利的解释与衔接主要包括以下三个方面。
一是权利性质。《民法典》第1037条规定的个人信息主体的权利当属民事权利,此点并无疑义。而《个人信息保护法》第四章之中规定的个人在个人信息处理活动中的权利是属于民事权利还是公法上的权利,在中国学界引发较大争论。这种争论实则又进一步触及个人信息保护法的性质是公法还是私法这一问题。至少从《个人信息保护法》的条文安排来看,该法实则容纳了公法规范、私法规范以及民事、行政、刑事责任等整个责任体系,因此,以概括的公法或私法而单向度定义这部法律的性质,实则并不客观,也与中国个人信息保护法立法意旨与民众期待相去甚远,个人信息保护理应公私法协力并进。个人信息主体的权利在世界范围内的立法之中都是可以通过诉讼请求救济的,中国法也仍然循此模式。个人信息主体享有的权利非绝对权,属请求权,而这些权利在个人有权行使的基础上又需要国家予以保护,类似于“消费者权利”的性质。消费者权利本质上仍属私法上的权利,但这种权利实际上也同时需要国家更多干预保护。因此,《个人信息保护法》上的权利可在消费者权利的向度进行解释与理解。
二是权利行使。《个人信息保护法》在《民法典》规定的个人信息主体享有的查阅权、复制权、异议权、更正权、删除权的基础上又增加了知情权、决定权以及可携带权等几项权利。个人有权请求信息处理者履行相关查阅、复制、更正、可携带、删除等义务。《个人信息保护法》第50条第2款规定:“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”可见,两部法律均保障了个人信息主体有权行使相应请求权的权利。司法实践中则认为,《个人信息保护法》中的私法规范与《民法典》属于特别法和一般法的关系,只有将两部法律相关规定结合起来,才能形成完备的个人信息保护的原则、规则体系。不过,对于知情权、决定权,如何界定其内涵以及解释,尚存探讨空间,本文将在后文详述。因此,从权利行使的角度而言,《民法典》与《个人信息保护法》的规定存在一致性,个人信息主体可基于法定权利请求个人信息处理者履行相应行为义务。
三是对权利侵害的救济。学界对于个人信息主体权利的争论实际上分为不同层面的问题,对于权利性质争论较大,在权利行使上更是趋缓,而在对权利侵害的救济上却殊途同归,呈现为一种“梯度趋同”的现象。侵害个人信息主体的系列权利,并不产生侵权损害赔偿责任,其最终侵害的是一种防御性利益意义上的个人信息权益,即防止自身的个人信息被非法处理而致人身财产权益遭受损害,甚至人格尊严与人格自由受到侵害或损害的利益。而即便是“将个人信息权利束定性为公法权利以及通过公法机制予以保障,也并不会阻隔个人通过民事途径获取相应救济的渠道。这些民事实体权益的私法保障及个人自我保护的诉讼方式,可以结合权利束被侵犯的情形得到类型化”。如若个人信息主体的系列权利被侵害,则有权请求个人信息处理者履行相应的行为义务或承担相应损害赔偿责任。在《个人信息保护法》第69条规定了个人信息处理者的损害赔偿责任的基础上,会与《民法典》人格权编、侵权责任编等进行体系解释与协调适用。
(三)个人信息主体权利:《个人信息保护法》与欧盟《一般数据保护条例》(GDPR)之对比
中国《个人信息保护法》在一定程度上参考借鉴了欧盟《一般数据保护条例》,包括一些基本规则和权利义务体系等方面。从权利体系而言,二者具有较大程度的相似性。在暂且忽略各自体系脉络的前提下,从直观描述归纳来看,具体对应关系如下:知情权→知情权(Right to be informed);决定权→限制处理权(Right to restriction of processing)、拒绝权 (Right to object);查询权、复制权→访问权 (Right of access);更正权→更正权(Right to rectification);删除权→删除权(或“被遗忘权”,Right to erasure, or right to be forgotten);可携带权→可携带权(或迁移权,Right to data portability)。直观来看,中国《个人信息保护法》与GDPR在个人信息权利的表述上存在较多一致之处,也在相当程度上具有一定对应关系,但二者也在各自法体系之内存在相当大的差异。大致包括以下三个方面。
一是权利体系的观念基础不同。GDPR中关于个人信息主体权利的规定,系在欧盟法的脉络下,与人格自由、信息自决、个人信息主体对个人信息的控制以及信息控制者与信息处理者的区分等几者之间存在观念上与逻辑上的紧密联系,即观念基础与制度脉络先于实证法。而中国个人信息保护法相对而言,并不存在较为固有的人格自由、信息自决等观念,实际上在《民法典》编纂之际才更加强调个人信息与人格尊严之间的关系,信息自决观念也是在制定《个人信息保护法》之时,以及尝试在权利体系中的决定权、知情权等一系列权利之中构建与贯穿,即实证法先于观念与理念构建。
二是权利体系的脉络与构成不同。中国个人信息主体的权利体系在不同权利之间自成体系。比如,决定权包括但不限于GDPR中的限制处理权与拒绝权,同时决定权也肩负着构建信息自决理念等任务;知情权则是后续系列权能的核心与基础,同时知情权与一系列权利的实现也横跨公私法,当然在相当程度上以相应请求权为基础。GDPR中数据主体的权利体系中,其权利之间的关系似相对独立,由于欧盟法与成员国法之间关系的特殊性,总体上其更是在欧盟层面的指令、条例等范围内建立一定体系与联系,而各成员国在适用条例之时,也相对而言并不会特别体现跨公私法域等特征,而是直接指向相应的监管或私法,以实现对侵害个人信息主体系列权利的救济。
三是权利内容与行使方式存在差异。如前所述,《个人信息保护法》中规定的权利与GDPR中所规定的权利内容基本对应,权利内容较为相似,不过立法模式与体例却不尽相同。《个人信息保护法》对个人信息主体的权利采“集中列举”模式,对各项权利内涵的解释需置于个人信息保护法、民法典、规范性文件与一系列技术规范等体系之中。而GDPR对个人信息主体的权利的规定,则聚焦于如何促进信息透明度,增强个人信息主体与信息控制者之间的交流,尤其是如何保证个人信息主体在个人信息控制者收集、使用以及自动化决策等一系列信息处理活动中加强自主决定等方面进行详尽规定,基本上对每个权利的规定都涵盖目的、适用场景以及限制等内容。对于侵害信息主体权益的行为,中国《个人信息保护法》与GDPR均规定了损害赔偿、行政罚款等法律责任。另外,关于个人信息主体的投诉等权利,在GDPR项下,数据主体如果认为对其个人数据的处理违反了GDPR,其有权向监管机构申诉,在不影响其申诉权利的情况下,亦有权获得司法救济;中国《个人信息保护法》上,规定个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报,同时亦有权获得司法救济。
三、个人信息主体权利体系的“三阶构造”
在对个体权利进行多维观察并聚焦于世界范围内的个人信息主体法定权利生成机制的基础上,中国个人信息保护法上信息主体的权利独成一格,体现出自身特色——个人信息主体权利体系呈现为贯穿性理念、核心权利与散射权能等“三阶构造”。以个人信息保护法律规范群为基础,以《民法典》为规定个人信息主体权利的基础性规范,并接入延伸至《个人信息保护法》,二者均为集中规定个人信息主体权利的实证法规范。个人信息主体权利体系较为完整地规定在《个人信息保护法》之中,其中第44条至第47条为规范载体。尽管条文数量不多,但对于这几条的解释则将对个人信息保护法的实施产生重要影响,并能不断抽离检验立法预期与运行效果之间是否形成良性互动关系。
(一)第一阶构造:决定权的“理念贯穿式”权利模式与立法模式
在成文法国家的权利谱系中,以“决定权”为权利表达方式的情形极为鲜见。在已有的法律规范体系中,比较典型的是《宪法》中规定的人大及其常委会的重大事项决定权,但是这一权利也并未以“决定权”这一较为完整的表达而出现。而在《个人信息保护法》第44条,“决定权”以完整意义的权利表达方式出现,这就带来一定问题:这是一种什么性质的权利?这是否是中国立法的创新?如何适用此项权利?
个人信息中的“可识别性”为个人信息保护的基点所在,并使得个人信息处理者系列义务以及国家对个人信息保护的“开关”始终处于“打开”状态。因此,世界范围内的个人信息保护法与个人数据保护法均以个体能够决定其他主体对自身信息的使用,即产生一种对自身信息的“控制”。如有学者所指出的,在欧盟法的脉络中,立法已经为数据主体提供了对于他们自身数据使用的一种控制权。当然,笔者也同时认为,这种控制并非是一种请求权意义上的控制,而更多的是一种“信息自决”理念的体现。更为重要的是,“信息自决”也并不必然上升为“信息自决权”,即便是传统的以民族自决为典型的“自决权”系列内容,实则也意在表达一种有权决定某些事项的自由,意在表达意志自由价值,仍然是一种理念层面的内容。因此,《个人信息保护法》中的“决定权”在相当程度上旨在反映个人对于自身信息控制的自由,倾向于理念层面的定位。
纵观世界范围内的个人信息保护法与个人数据保护法,“决定权”系为一种新的权利模式与立法模式。欧盟和美国有关个人信息保护立法中的个人信息主体的权利,尽管均以加强个人对个人信息的控制自由为出发点与归宿,但并未明确规定“决定权”这一具体权利。或许是由于类似于欧盟模式的自决理念早已体现在较有影响力的成员国的法体系之内,并已形成较为深厚的历史传统,并在相当程度上影响了欧盟立法模式,而无须在立法中再具体体现,或许是由于这样的一种理念是个人信息保护法本身之理念基础,而无须再更多强调。中国立法之时试图通过规定此种决定权而创设一种信息自决理念,以弥补此前中国法体系中缺乏的理念基础。同时产生的一种效果就是,中国法恰好创设了一种新的权利模式与立法模式,并可能对世界范围内其他国家或地区的立法产生一定积极影响。
此项“决定权”又将如何实现?根据《个人信息保护法》第44条的文义解释,决定权基本上指向限制处理或拒绝他人处理个人信息,相当于GDPR中的限制处理权和拒绝权。但是根据本文的上述分析,如若进行此种文义解释,无疑过于限缩了决定权的价值与意义,限制处理与拒绝处理无疑是决定权的内容之一,但并非全部,更应在理念等宏观、微观结合的角度理解决定权,才能系统理解个人信息主体的系列权利,决定权系为权利体系的“第一阶构造”。
(二)第二阶构造:以知情权为核心的权利基础
从知情同意的本源来看,其根本上是一种主体交往之时设定法律关系的前提与基础行为,无论是政治权威的建立还是对他人的授权,始终具有拓展交往主体能力的功能与作用,同时知情同意还具有限权与自我义务设定之效果。“知情—同意”作为一种行为模式,其被应用于诸多社会关系构建之中,诸如政治国家、医疗领域、消费者保护与个人信息保护等。就行为外观而言,“知情”与“同意”大致相似甚至相同,而从知情与同意作出的时点来看,二者之间的“时间差”也并不明显;但由于个体所面对的事实、对象与场域不同,不同的“同意”内容,则可能会在产生一定法律效力的基础之上反射形成不同的法律效果与社会效果。尤其在当下社会中,科技迅速发展、社会急剧变革,人们身处诸多不确定性与风险之中。这些风险不仅笼统地存在于整个社会,更下沉至具体场景与行为之中。因此,知情同意或具体的告知同意规则更多是一种限制相对方具体行为的“闸口”。
“知情权”这一概念传统上更多地被用于公法领域,意在表达公民对国家管理社会等事项享有知悉的权利。有学者也指出,知情权首先是个体了解公共机构权力运行的权利,是一种“知”的权利;同时也是一项公民用以参与公共生活、监督公共权利行使的权利,也是一种“行”的权利。个体行使知情权兼具自利性目的与复合性目的。除公法领域之外,其他规定“知情权”的主要包括股东知情权、患者知情权、消费者知情权等。《个人信息保护法》第44条规定了个人信息主体享有知情权,第14条规定在个人作出同意之时应在“充分知情的前提下自愿、明确作出”。《个人信息保护法》上的知情权实际上在相当程度上与消费者法上的知情权具有相似性。有学者也提出,个人信息保护应更加注重体现其消费者法的特征。但何为“充分知情”以及消费者法上的“充分的信息”,此类问题在消费者法上素来也是一个判断难题,人们通常预设经营者与消费者在智慧、理智与经验层面并不对等,因此对宏观或微观层面的“充分”可能都存在不同理解。此种“充分”好比是一个手风琴的风箱,它是可伸缩的,并且可能是渐次打开或甚至可能是关闭的。通常情况下,何为“充分”也是一种事后解释,对于消费者的知情权事实上缺乏一个相对客观的判断标准,这一问题也由来已久。再来看《个人信息保护法》上的知情权,此类知情权实际上与传统上消费者法的知情权的适用缺陷比较相似,只能依靠事前的必要、合理等标准进行判断,并依事后的个案情形予以判断。
知情权在个人信息主体权利体系中居于核心地位,辐射系列具体权能,理论上与系列权能可能存在一定交叉。知情权在决定权理念的基础上,与查阅权、复制权、异议权、更正权、删除权、可携带权等都可能存在交叉,即个人对自身信息的查阅、复制、异议、更正、删除与可携带,实际上都指向个人对于自身信息的知情权。总而言之,从一个体系化视角观察,决定权是一种偏理念性的信息自决基础,知情权则是整个信息主体权利体系的核心,辐射后续的系列权能,系为权利体系的“第二阶构造”。
(三)第三阶构造:散射交叉的系列权能
个人信息主体在信息处理活动中居于一种防御地位,系列权能也是一种基于防御的赋权。高度组织化的个人信息处理者与规模化、高频化的个人信息处理活动,使得个人在个人信息处理活动中居于劣势地位。个人信息主体即便是享有系列权利,对抗个人信息处理活动中的风险仍显捉襟见肘。因此,其行使权利维护个人信息权益也是一种基于被动化的主动。这几种权利是在个人信息处理活动中才享有的,性质上属于请求权,而非绝对权。以查阅权、复制权、异议权、更正权、删除权与可携带权为外在表现的权能呈散射状,但从语词与权利边界来看,几者似相互独立,但也不排除几者之间可能存在一定交叉,甚至个人信息主体可能会择一或择几而行使。同时,几者分别可能会与知情权存在一定交叉,在个人信息主体权益受侵害从而行使权利之时可能会请求行使多项权利。
由于个人信息处理活动呈规模化特征,理论上个人信息主体行使查阅权等系列权利也存在高频与反复的可能性。故此,个人信息主体行使系列权利也应参照征信业的相关规定,对一定期限内的行使次数以及如何行使权利等作出一定指引。在个人信息主体的系列权利受到侵害之时,可通过侵权责任予以救济,可请求个人信息处理者履行查阅、复制、更正、删除、可携带等行为义务,从而实现对个体权益的法律救济。可见,散射交叉的系列权能为个人信息主体权利体系的“第三阶构造”。
(四)个人信息主体权利的实现机制
当我们讨论“权利”时,我们在讨论什么?本文聚焦于个人信息主体的权利体系,通过多维序贯观察,渐次切入中国法上的个人信息主体权利体系构造。而权利面向实现之时,又将如何理解以及遇到怎么样的问题?这可能是本文在接近尾声之时需要予以回应的。如德沃金所言,“当我们说某人有权利做某件事的时候,我们的含义是,如果别人干预他做这件事,那么这种干预是错误的,或者至少表明,如果为了证明干涉的合理性,你必须提出一些特别的理由。”若此论非虚,某人“有权利”意味着,某人可以在不受干预的情况下行使这种“权利”。这是对权利内涵的最朴素的认识。在《个人信息保护法》明确规定个人信息主体享有系列权利的基础上,如何使这些权利获得有效实现,是个人信息保护法实施中的重中之重。
个人信息主体可依法律规定向个人信息处理者请求行使系列权利。无论是欧盟GDPR还是传统的征信法律法规,都规定个人信息主体有权行使相应法律或法规规定的权利。尽管在解释个人信息主体权利的理论基础与定位时,相较于个人信息权益概念而言,二者呈现为种属关系,即这一系列权利系个人信息主体权益的权能。而“权能”这一概念本身又受制于传统上其相对于所有权、定限物权之间关系的认识,因而可能理论界或者司法实践中会认为一旦解释为权能,则无法作为权利而行使。事实上,权能之根本功用在于“形诸外部者”,即权利或权益之外部表现形式。质言之,相对于个人信息主体的权益而言,其被解释为权能,但对于这一权能的实现,实证法上已规定为权利,是一种法定权利,个人信息主体有权依这些权利行使相应请求权。若用更加简单的方式再回至原点解释,即依循实证法自身的根本特质而言,既然法律规定个人信息主体享有系列权利,则其就有权依据法律规定(若没有其他限制)而行使相应权利。总而言之,无论是基于权能理论的解释还是法定权利的解释,二者殊途同归,个人信息主体均有权依法行使相应权利。
个人信息主体行使其权利时是否需要设置前置程序仍有待进一步的探讨。根据《个人信息保护法》第50条,“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”可见,在个人行使权利之时,至少有两个途径可行使和维护自身权利,一是可向个人信息处理者请求;二是在个人信息处理者拒绝履行相应义务之时,个人有权向法院提起诉讼。当下的争论焦点主要在于,是否需要在个人向法院提起诉讼之前设置一个向管理部门投诉或申诉的必要前置程序。对于这一点,至少GDPR以及征信业管理条例都未作明确规定,因此,可在《个人信息保护法》实施之后的一定时期内再斟酌是否需要设置此程序。但实践中目前又出现的一个情况是,个人信息主体可能在并未向个人信息处理者请求履行相应义务之时,就径直向法院起诉。这一点确有违背法理情理之嫌,这就好比在合同履行过程中或者侵权情形下,权利主体未曾向债务人或者侵权人请求履行或请求承担责任而直接起诉,其诉讼请求仍为请求债务人履行相应义务或者侵权人承担相应损害赔偿责任。此种情形似有“滥用诉权”之倾向。因为在个人信息主体向个人信息处理者提出行使权利的请求前,个人信息处理者不存在拒绝请求的余地,纠纷尚未发生,自然也没有通过实体审判来解决纠纷的必要。总而言之,个人信息主体起诉之前应向个人信息处理者主张行使相应权利,只有在个人信息处理者拒绝履行义务或者履行义务不符合个人信息主体所主张的内容之时,在产生纠纷的情形下,才得提起诉讼。
个人信息主体的系列权利应充分保证实现。根据《个人信息保护法》,个人信息主体有权依法行使相应权利,而不受相应条件限制,当然,应避免权利滥用。至于是否设置向管理部门申诉或投诉等诉前前置程序,则不宜强力推行,毕竟监管能否取得良好实效以及是否符合民众期待仍有待观察。从当下的情况来看,即便《个人信息保护法》已开始实施,但仍有相当数量的个人信息处理者存在一定规模的违法违规行为,可见法律实施和数据治理的效果难称理想。因此,在大众并未排斥甚至积极接纳国家干预与保护的基础上,充分赋予个人信息主体行使相应权利的自由,克服监管天然带有的弊端与短板,充分保护个人信息主体权利的实现,是为可取之道。
四、结 语
从世界范围来看,美国、欧盟与中国对个人信息保护立法呈现出不同的价值选择与立法体例选择,致力于求同存异,以促进实现个人信息保护的客观化与标准化。中国成文法意义上的个人信息保护法虽然直至2021年8月才完成,但中国多年来始终试图创设与构建符合中国发展实际的个人信息主体权利体系。其中,和而不同的“决定权”、以知情权为核心的权利基础以及系列权能,既需要完成保护个人信息权益的使命,同时又面临未来如何完成此项使命以及如何与个人信息处理者的利益实现平衡等诸多挑战。
中国问题的讨论应符合中国实际,更应与全球制度发展同步。同时,任何问题的讨论都离不开场域和视域,进而才能形成相应论域。但也由此引发了对于国内学界关于个人信息保护法究竟是公法还是私法,以及个人信息主体的系列权利属于公法上的权利还是民事权利等争论。事实上,此种争论在其他国家或地区并未产生,因为即便欧盟数据立法在形式上以管制法的面貌出现,但其也从未放弃过对个人的损害赔偿救济,因此并不存在所谓法律责任向度上的“非此即彼”。同时,在两大法系典型国家或地区,宪法与民事法律、消费者法以及民事制度的合宪性及其与公法制度的协调等都形成了较为系统的解释论与理论融贯。因此,或许从一种学术史的阶段观察与记录角度而言,此种争论是必要的,但也不宜进行大量“非此即彼式”的讨论。以“场域”为出发点,以“视域”为检验标准,进而确定相应有意义的“论域”,才是问题讨论的价值所在。
放眼全球范围内的信息立法与数据立法的博弈,诚如施瓦茨所言,在欧盟推出《一般数据保护条例》之后,在信息隐私方面的新冲突出现在美国与欧盟之间。当中国制定《个人信息保护法》之后,也同样面临世界范围内的立法竞争、博弈以及可能的潜在冲突。这又为如何实现个人信息主体的权利、如何保护个人信息权益带来更大的挑战。殊值重视的是,在更趋于技术化与客观化的个人信息保护领域,以个人信息为载体,以可识别性为切入角度的人格保护也日益变得更加关注技术。科技对人们行为的“超轻推”甚至科技可能陷入“塔西佗陷阱”,这些微妙变化与风险泛在都可能在某种程度上忽视人格尊严的重要意义以及人之为人的价值所在。是以,无论社会如何变迁,应始终重视人的价值,这才是真正意义上人的发展,切莫遗忘。
作者:姚佳,中国社会科学院大学教授、中国社会科学院法学研究所编审,法学博士。
来源:《华东政法大学学报》2022年第2期。