【摘 要】通过权利方式保护个人信息是一种世界趋势。立法宜以“人格”要素、“人格性”要素、“非人格性”要素作为客观分类标准,构建以公法为依托,私法为主干,社会法为补充的权利话语体系。按照权利客体的层次,在基本权利和人格权法中解决“人格”要素的精神利益保护问题;在人格权法法定主义放松条件下的财产权法中赋予个人信息财产性利益,解决“非人格性”要素的财产性利益保护问题;在基本权利和社会法中赋予个人保护“人格性”要素的个人信息特权。在合同法中修正“同意”的构成要件;在侵权法中发展个人信息侵权类型;运用权能扩展机制、公法转介技术、风险预防原则,构建个人信息保护的权利话语体系。
【关键词】个人信息保护;权利;中国话语
引言
第十三届全国人民代表大会常务委员会已将“个人信息保护法”列入立法规划第一类项目。这表明立法机关认为制定统一的“个人信息保护法”的条件比较成熟,同时也说明立法机关认为分散立法方式已不足以有效保护个人信息。无论是基于立法需要,还是基于法学发展,系统梳理学术研究成果都具有重要价值。
个人信息是社会信息的源泉,社会信息是个人信息的转化形式,保护和利用个人信息是信息社会的基本矛盾。在解决基本矛盾过程中,一般观点认为既要保护个人信息,又要利用个人信息,法律应实现保护和利用的平衡,通常表达为利益衡量原则。但利益衡量原则不是一个本体论命题,无法完整描述个人信息保护的逻辑结构和规范形式。通过权利方式保护个人信息是一种世界趋势,世界上较为成熟的模式是美国模式和欧盟模式。美国采用隐私权+行业自治模式,欧盟采用基本权利+国家监管模式,但“脸书”个人信息泄露事件既冲破了现代生活的两条底线(民主选举和隐私权保护),也挣脱了美国模式和欧盟模式编织的法网。面对美国和欧盟编织的法网,信息技术及其复杂算法和计算能力随时都能破网,形成技术对法律的反制。鉴于美国模式的不足,“脸书”创始人扎克伯格呼吁在世界范围内以欧盟模式为基础建立多元主体参与的互联网治理体系。无论是否建立互联网全球治理体系,中国都必须构建自己的个人信息保护权利话语体系。
一、思路、方法与框架
信息科学是通过技术手段实现信息有序流动的科学,当信息高速流动并广泛渗透到社会结构和人们的生活方式中,就进入了信息社会,理论上可称之为信息主义。因一部分个人信息与人格不可分离,一部分个人信息可经济利用,都需要通过法律调整。法律调整的方式有权利和规制两种进路,权利进路侧重个人自我保护的主体性地位,规制进路突出规制主体的保护职责。
(一)思路
信息高速流动意味着工业时代促进社会进步的体制、机制和行为模式处于不断变化之中,变化产生不确性风险,改变了权利义务配置的基础条件、具体内容和计算方式。贝克认为,风险社会使“财富—分配”的社会转化为“风险—分配”的社会,“这意味着,科学和法律制度建立起来的风险计算方法崩溃了。以惯常的方法来处理这些现代的生产和破坏的力量,是一种错误的但同时又使这些力量有效合法化的方法。”法学必须针对个人信息所处的环境和场景进行制度化思考,为个人信息保护提供理论基础。
以个人权利为基础组织社会是人类告别传统走向现代,用以处理复杂问题的基本方法,后现代理论也没有动摇这个信念。中国现行法采用政府管理为中心的思路,采取分散立法方式保护个人信息安全,表明立法者对信息社会的风险有着清醒认识。中国虽在民法总则中将个人信息纳入民事权利范围,而对自然人是否拥有排他性的个人信息权利则没有明确规定。
个人信息保护是信息社会的制度基础,研究个人信息权利应把握其在信息社会中的多种形态。个人信息具有二象性,化而为“象”。个人信息与人格权、个人信息与财产权、现实人格与数字人格在信息流动空间中表现出不同形态。这些形态超出了传统个人主义权利理论的预设,如果我们按照传统个人主义权利理论分析个人信息权利会出现理论失败,照此立法出现法律失灵。因此,必须根据个人信息流动的不同形态赋予个人多项权能,以满足个人信息保护和利用的需要。欧美国家不断强化个人自决权、控制权、知情权、信息产权、被遗忘权,探索剩余分配权、剩余索取权和剩余控制权等权能,都是为了加强自然人的个人信息保护能力。个人信息保护的重心已从上世纪70年代以抽象权利为中心的立法模式转向以确认具体权能为中心的立法模式。
法律引导个人信息权能创生的基本方法是司法创制。由于中国宪制排除司法创制,某些寄存着我们思维结构、行为准则以及生活方式的看似偶然的事件就会从司法管道溜走,从而增加理论创新的负担,迫使我们在理论创新之初不得不依赖比较法和对分散的法律进行规范分析,而这两种方法有时会遮蔽理论对现实的中介功能,给构建个人信息权利话语体系造成困难。
(二)方法
个人信息保护和利用需要研究信息社会的复杂事物和复杂环境。法学必须把个人信息保护置于复杂性分析之中,通过规范法学的简约思维与信息社会的复杂思维相结合的方式,形成理解信息社会的新范式。风险与控制是个人信息保护的核心问题,个人信息保护的研究属于复杂性理论的范畴,个人主义权利法学无法妥善解决个人信息中的私益与公益关系,是否能将个人信息的信状概念化是构建个人信息权利话语最基础的问题。
法学概念刻画不准确是制约中国构建个人信息权利话语的重要原因。目前,中国主要采用比较法学和规范法学的方法描述个人信息权利。比较法学方法自近代以来就是中国获得法学知识的重要途径。它侧重于对同一时间点上不同空间中的同一法律问题进行对比研究,所获一般性知识能为比较者提供某种参照。但比较法学方法所获知识缺乏时空统一性,容易出现概念空洞化,必须进行属地化改造。某些研究试图通过证明个人的自决权、控制权、知情权、被遗忘权、信息产权、剩余分配权、剩余索取权、剩余控制权等权能的存在而证成个人信息权利在中国的正当性,存在逻辑颠倒问题;某些研究忽视域外个人信息权利概念背后的观念史、制度史和社会史,存在空洞化倾向。
规范分析是法学的基本方法,但规范分析的前提是法律概念。某些研究试图通过提升个人信息权利在法律体系中位阶的方式赋予其统揽诸权的地位,实际上“这样”的法律概念在中国的现行法中并没有得到承认;某些研究试图通过将域外个人信息保护规范填充到中国的规范分析框架之中来构建中国的个人信息保护法律体系,忽视了厘清规范背后的个人信息权利概念与相关概念在知识体系中的功能分派,增加了规范实施的解释负担。
无论是比较法学方法,还是规范法学方法,作为一种思维工具,要保证其有效性,都离不开中国以关系为基础,以知行合一为中心的思维方式。这种思维方式影响到个人信息权利概念的界定,也预设了个人信息权利概念在中国的逻辑结构和功能分派。因此,在中国证成一项权利最有效的方法是理论与实践相结合的方法。权利的证成一般会经过潜能发现、功能定位、权能运用到权利化过程,这一过程符合中国人的思维方式和实践风格,易于达成共识,实践证明是一条构建个人信息权利话语的有效途径。
个人权利创生能力是权利适应复杂环境的自我进化力,它取决于法律系统向下因果关系中某些权能对复杂环境的适应性进化力。个人信息不是一开始就具备完整权利形态的,它是通过权能行使创生出某种社会功能而被权利化的。当某项权能具备相对独立性时,就取得了权利化资格,法律概念才能被理论刻画出来。这一规律可以在美国公开权制度的发展史中得到检验,也可以在欧盟的“被遗忘权”制度中得到检验。因此,研究个人信息权利的关键是打开个人信息的结构,丰富个人信息的权能,让各项权能在与复杂的信息环境交换中形成由一束权能构成的个人信息权利。
(三)框架
个人信息权利并不是一项不证自明的权利,而是一项需要证明的权利。从个人信息保护与利用的基本矛盾中既可以推导出权利模式,也可以推导出管理模式或公共物品模式。当前,中国的个人信息保护法律规范是以安全为首要目标,以政府管理为主导的保护模式。公共物品模式视个人信息为公共物品,重在考察由个人信息转化的信息池的经济价值。尽管中国将个人信息纳入法律保护范围,但并没有明确规定个人信息上的权利专属于自然人。
值得注意的是,由于个人信息客观上表现为个人在信息环境中的一种存在或运动信状,主观上表现为个人对这种信状有目的的支配,因而个人、个人信息、他人之间形成的是三维关系。以自由意志为基础的主体性法哲学和以自由意志间的协调为基础的主体间性法哲学都没有向下因果力直接指向这种三维关系。个人信息只有在这种三维关系的场域中才能确定化。故个人信息的权利话语必须指向个人信息在现实环境与网络环境构成的交互结构中的“际遇”或“处境”构成的“事件”。对于信息流动这种不同于以前行为模式的新模式,必须找到恰当的权利表达方式。如果有一个原则性的立法框架或者可以进行司法创制,则可以通过下位阶立法或法律解释提炼出以“事件”为中心的权利话语。现实的情形是:中国个人信息保护在立法上只有分散的法律规范,且不是以“事件”为中心进行法律构造。中国宪制又不允许司法创制,这就给理论的中介功能设置了屏障,迫使学术界不得不转入他径寻求知识。方法论的局限使得个人信息权利的证论漂浮在自明性与证明性之间,难以形成稳定的法律概念作为研究个人信息权利的基础。我们将按照下述框架描述个人信息保护的中国权利话语:
第一,权利论命题。现代法学基于人的尊严和自由在自然人上设定权利,自然人既是人格体也是权利主体。在自然人的个人信息上设定权利必须基于保护自然人的尊严和自由。假设损害自然人的个人信息等同于损害自然人的尊严和自由,则在自然人的个人信息上设定专属权利就不证自明。问题是,不是所有个人信息都与自然人的尊严和自由不可分离,故在自然人的个人信息上设定权利就需要正当性证明。
第二,权属论命题。假设应当在自然人的个人信息上设定权利,那么,这种权利属于哪一种类型的权利,又应归属于谁,或者这些权利属于哪几种类型的权利,又应归属于哪些人。这是在自然人的个人信息上设定权利后,进一步思考该权利属于何种类型的权利,还是一组何种类型的权利以及应该属于谁的命题。
第三,规范论命题。中国个人信息的既存权利话语并不是建立在严格界定个人、个人信息、他人三维关系上的权利话语。在权利话语的制度化路径中存在个人的尊严等价于个人信息的假设,在此假设前提下,个人信息保护的权利进路是以个人(个人信息)与他人的关系为基础建立起来的。
本文尝试展示的观点是:个人信息保护的中国权利话语不能脱离个人存在或运动信状的中国情境;网络时代在自然人的个人信息上设定权利具有正当性;个人信息保护的基本范畴是个人、个人信息、他人。个人、信息业者、国家是第二层次的关系;个人信息并不都是自然人人格的等价物或圣物。实际上,部分个人信息与人格不可分离、部分个人信息与人格密切相关、部分个人信息与人格没有直接关系;敏感信息与非敏感信息的分类标准是主观信息分类标准,不能作为个人信息保护法的法定分类标准,否则会强化信息霸权,鼓励网络表演型人格自损。应以个人信息与人格关系的客观信息分类为基准,在客观信息分类标准放松条件下适当安排主观信息分类的法律地位;中国个人信息保护法宜构建以公法为依托,私法为主干,社会法为补充的权利话语体系。
二、个人信息的权利话语
个人信息权利论指如何证成在个人信息上设定权利的正当性。当代西方权利理论较少从权利论角度论证权利的存在,这并不表明西方语境中权利的不证自明,而是西方国家的权利文化比较发达,新型权利一般能归入某一类型或视为某一项权利予以保护。但在中国这样一个权利还没有稳定根基的国家,如果不予证明,权利就缺乏正当性。
(一)个人信息权利说
一般观点认为,个人信息指自然人的姓名、出生、身份证、户籍、住址、特征、指纹、婚姻、家庭、教育、职业、健康、疾病、经济状况、活动轨迹及其他可以识别该个人属性的信息,针对是否应当确认或设立个人信息权利的正当性问题,形成了自然权利说、法定权利说和国家赋权说等学说。
自然权利说是隐私权与人的尊严观念相结合的产物。它从应然角度论证在自然人的个人信息上设定权利的正当性。该学说以德国宪法法院的判例为参照,认为个人信息自决权属于隐私权的内容,与人的自由密不可分,属于一项自然权利,我国的基本权利说与这种观点具有一致性。从美国公开权的论证逻辑来看,有学者认为公开权的权利本质源于个人付出了精神、时间、劳力,使其姓名、肖像等个人形象具有一定的财产价值,故属于一种不证自明的财产权。自然权利说肯定的是个人信息与个人劳动的关系。
法定权利说以个人信息控制权理论为基础,从法律规范角度论证在自然人的个人信息上设定权利的正当性。该观点认为个人信息权利是个人依照法律控制自己的个人信息并决定是否被收集和利用的权利。中国个人信息权利观念最早在程序法中成为“阴私权”,后来扩展到民事实体法中称为隐私权,在消费者权利保护法中称为个人信息。随后,法律广泛使用个人信息概念,但没有明确规定个人信息权利概念。
对于国家是否应该赋予自然人个人信息权利的问题,公法学者的意见比较一致。有学者认为,由于政府和社会在信息时代大规模收集、处理、储存和利用个人信息,个人正在丧失对个人信息的控制和支配。为有效防御政府和社会对个人信息的威胁,国家应确认个人信息权利为一项基本权利,以利于通过统一立法进行全面保护。在民法领域,立法者的模糊处理与民法学者的解释之间存在差异。《民法总则》将自然人的个人信息纳入民事权利范围,但没有直接规定个人信息权利,这种模糊处理表现出个人信息未完全权利化的特征。民法学者在解释该条文时,多数认为这项民事权利确认了自然人的个人信息权利或者法益。但这种学理解释是否符合立法本意仍然存在探讨空间。
(二)理论反思
自然权利说、法定权利说和国家赋权说试图通过与传统个人主义权利理论相勾连的方式证成在个人信息上设定权利的正当性,但没有以信息社会作为创生个人信息权利的场域,属于简约化论证方式。这种简约化论证方式不能与复杂的信息社会完全匹配。自然权利的自明性通常是一种引起关注的话语而不是理论,现代人权理论突出的是自然权利的证明性,尤其是新型权利的正当性必须证明。法定权利说的前提条件是法律明确规定了自然人拥有个人信息权利。在法律没有规定自然人拥有个人信息权利的条件下,域外个人信息权利的存在只能作为辅助性例证。国家赋权说在中国是最有效的证明方式,但必须配合实证分析的方法才能证成自然人个人信息权利的存在。
个人信息流动的复杂结构既不能单纯地用传统法学的行为与结果的线性因果关系来描述,也不能单纯地用功能主义的社会行为理论来描述,而是要把个人信息置于现实环境与虚拟环境交互作用的网络结构中去把握。个人信息在信息社会中“遭遇”的是风险,形成的是由“际遇”或“境遇”构成的“事件”。“事件”是行为与环境的“相遇”,有些会脱离线性的“行为—结果”关系的原因力控制,挣脱个人“同意”的约束范围,被信息流裹挟到个人未知的地方,也就打破了传统法学所筹划的“行为—因果关系—结果—责任”的规范结构。
按照复杂性理论的观点,必须把在个人信息上设定权利置于信息社会的复杂环境中去考察。中国现行法律没有确定个人信息权利概念,也没有确定个人信息权利的权能清单,但这也不能证明立法者对个人信息权利的否定。制度沉默的社会背景可能是我们还没有从理论上把握个人信息在流动过程中的多样形态,以及为了适应信息社会的变化该赋予个人何种权利以及哪些权能,也没有准备好到底是采取权利化进路,还是政府管理进路来设计个人信息保护制度。同时,我国信息化高速发展阶段与经济社会急剧转型期相重合也增加了立即赋权的困难。究其原因:一是中国改革进入深水区和攻坚期,信息管理被赋予更多国家安全和公共安全含义,如果国家赋予内容丰富的个人信息权及权能,是否有利于国家安全和公共安全在政策上尚无确切把握。二是中国经济发展进入新常态,迫切需要通过信息流动促进经济发展方式的转型升级,促进信息流动的需求急于个人信息保护。三是如何对与个人信息权相关的隐私权、人格权、通讯自由、言论自由、人格尊严和人权等概念在中国法律体系中的关系作出制度安排尚不清晰。这种局面持续到2018年9月10日,由于个人信息泄露事件的重大影响,立法机关开始将制定个人信息保护法列入第一类立法规划。
研究个人信息保护权利话语的一个根本问题是个人信息权利的客体问题。现行法律和技术规范将个人信息界定为以电子或其他记录方式记录的一切能够直接或间接识别个人身份、行踪、轨迹的信息。这个定义是关于个人信息法律关系客体的表达,其功能是在信息环境中将个人与他人区分开。但按照个人信息法律关系客体的表达方式,个人信息权利并不能与隐私权、人格权、通讯自由、言论自由、人格尊严和人权等个体权利分开,它们的法律关系客体是相同的。如果按照法律关系客体表达方式定义个人信息权利,要么个人信息权利成为统合一切个人及个人事务的综合性权利,要么个人信息权利没有类型学意义。
由于个人信息有的与人格等值、有的与人格不可分离、有的与人格相关、有的与人格无直接关联,呈现出多样形态,在个人信息上设定权利不是要取代原有的权利类型,而是为了防止个人信息在互联网环境下的流动性损害(保护)或流动性障碍(利用)。故个人信息权利的研究应以人的尊严为基准,在权利关系客体层面进行定义,并通过自决权、控制权、知情权、被遗忘权、信息产权、剩余分配权、剩余索取权、剩余控制权等权能予以表达。即,在个人信息上设定权利的根据不是法律关系客体而是权利关系客体,权利关系客体是从法律关系客体的向下原因力中获得确定性根据的。
三、个人信息的权属话语
个人信息的权属指在个人信息上设定的权利属于何种权利以及归属于谁的问题。在此问题上存在隐私权说、人格权说、基本权利说和新型权利说。
(一)权属学说
个人信息权利化的早期研究多将个人信息保护归属于自然人的隐私权。一种观点认为,个人信息保护只是防范人格权或财产权受到侵害的一种机制,不是一项独立的具体权利。另一种观点认为,可以将隐私权与包含经济价值的公开权纳入资讯自决权范围。事实上,公开权是为了解决公众人物人格中的经济利益而设立的制度,把个人信息纳入广义的隐私权范围难以把握个人信息控制与自决这样的积极功能。
人格权说认为,个人信息权利属于人格权家族中的一项不同于隐私权的独立的具体人格权。除了个人信息的经济价值不能被隐私权完全涵摄以外,更重要的理由是个人信息保护所必需的自我控制和自我决定功能无法纳入隐私权保护范围。如果将个人信息权利确立为一项独立的具体人格权,并将其法益归属于自然人,不仅能反映个人信息权利的实际情况,还能够与人格权体系相协调,救济上也可以按照人格权保护的侵权原则进行处理。
基本权利说有实质主义和规范主义两种形式。实质主义权利说认为,现代意义的隐私权不仅具有防御功能,而且具有支配权特征。支配权表现为决定权、自由权和受益权。规范主义权利说认为,中国宪法的人权条款和人格尊严条款能够证成个人信息权利属于基本权利。这种规范实证主义的方法难以直接推导出具有确切涵义的个人信息权利。例证化研究必须建立规则、范式、例证和实证之间的内在联系,形成相互印证的链条,而规范实证主义的论证方式只具有指针性作用,尚需严密论证。
新型权利说意指个人信息权利不同于现行法的任何一项权利,而是基本权利项下可以自成体系的权利类型。法学界研究欧美模式中的自决权、控制权、知情权、信息产权、被遗忘权等制度,并引入场景与风险管理理念。经济学界研究剩余分配权、剩余索取权和剩余控制权等问题,侧面于个人信息权的经济价值。尽管这些知识分散在不同领域,且法学界主要指的是一项独立的具体人格权,但已显示出个人信息权利具有多项权能。这些权能能否构成个人新的权利类型,则取决于个人信息的信状及其权利化的可能性。
(二)理论反思
权属问题是个人信息的核心,目前表现为不可归类的剩余性范畴。剩余性范畴指不能纳入确定性的逻辑结构而又是从确定性的逻辑结构中延伸出来的一种“半逻辑”的事物,理论上表现为未完全概念化和未完全理论化的知识,法律上表现为未完全具体化和未完全类型化的规范。剩余性范畴在事物进化过程中起着关键性推动作用。这类事物在与环境进行交换时,就会通过一系列事件的作用实现逻辑化、理论化、具体化和类型化。
公开权是隐私权在市场经济扩张时期人格具有经济价值的剩余性范畴。公开权设立之初是为特定人设立的特权,并不具有权利主体的一般性。互联网的发展为人人都能成为公开权的权利主体提供了技术条件。但公开权仍然难以容纳个人信息权利的所有权能,这说明隐私权在信息社会已难以涵摄个人信息权利的全部内容,隐私权的解释体系已不可能廓清个人信息权利的权属。
基本权利说在中国是必要但不充分的:“必要”指如果立法机关设立个人信息权利及权能,只要它与基本权利不抵触,就视为通过了基本权利的合宪性检验,这是基本权利的消极防御功能,也是基本权利消极赋予具体权利以正当性的依据。“不充分”指我们不能从基本权利中推导出设立个人信息权利的必要性。在权利设立方面,基本权利只是为了给个人信息权利这种“半逻辑”状态的权利一个正当化的理由和逻辑推导的起点,而不规定一项具体权利的权利义务关系。基本权利是一个待完成的权利形态,属于未完全具体化的不确定法律概念,本身就需要通过法律具体化。中国宪制拒绝基本权利通过司法途径具体化,基本权利就只能通过立法具体化,这就决定了在中国不可能通过基本权利界定个人信息权利的权属。
人格权说是个人信息权利在民法中不断调整的结果。从隐私权说、公开权说、人格商品化说、独立的具体人格权说到新型权利说,民法试图通过变换归类或丰富权能的方式解决个人信息权利的权属问题。但传统民法难以解决个人信息的二象性难题。为解决此难题,民法在区分敏感信息与一般信息基础上提出了人格商品化理论,它要求在敏感信息转化为数据时必须征得个人同意或对个人信息匿名化,一般个人信息交换必须满足合同法的要求。实际上,个人信息包含人格要素与财产要素,或者说包含精神要素与经济要素,并不是其必然归属于人格权的理由。按照拉伦茨的解释,人格权是一个规定“功能”的法概念,它是对外保障人的固有范围的权利。按照这种理解,包含人格要素的权利是否归属人格权取决于立法者的价值选择。也就是说,包含人格利益和财产利益的个人信息权利是归类于人格权还是财产权,还必须考察该个人信息的人格利益与财产利益的分量以及权能行使的一般规律。
对上述学说的反思也不能推导出个人信息权利应属于一种自成体系的新型权利。新型权利说建立在个人信息权利完全概念化和完全理论化的预设基础上。到目前为止,个人信息权利仍然属于具有不可归类性的剩余范畴,但并不是说我们只能消极地面对个人信息可能面临的风险。除了必须形成风险可控的法律观念外,我们还必须发展出行之有效的原则来确定个人、政府和信息业者的行动范围。
由于个人信息包含人格要素,其流动必须以人的尊严为底线,这是个人信息流动必须坚持的不可接受原则。对于个人而言,人的尊严不可放弃、不可转让。对于政府和信息业者而言,人的尊严不可侵犯且由法律保障。循此原则,个人信息权利的归属必须以人的尊严为判准,其类型可以根据需要分为与人格等值的个人信息、与人格不可分离的个人信息、与人格密切关联的个人信息、与人格间接关联的个人信息,与人格无关联的个人信息。
这里还存在“人格”与“人格性”的概念区分。按照人的尊严要求,“人格”属于不可或缺、不得放弃、不得转让、不得侵犯的法律概念,这个法律概念只有客观结构,没有主观结构,没有自由意志作用的空间。但“人格性”利益是否必须绝对服从人的尊严标准而不得放弃,则是个人信息权利的核心问题。如果法律允许某些类型的“人格性”利益可以通过交换方式流动,则信息社会所必需的信息流动就能保证。我们可以通过人格权法定主义松动下的“人格性”利益交换制度实现各方利益的均衡,以促进信息的有序流动,但必须明确各方利益平衡是附属于人的尊严之下的原则。
作为一项未完全类型化和未完全具体化的个人信息权利,是否能通过具体制度的运作对其进行有效保护是一个法律实践问题。判例法传统证明未完全类型化和未完全具体化的权利并不影响规范的有效性。互联网平台上的分享经济形态证明可以通过法律的运作实现权利保护。大陆法系国家也可以通过宪法法院进行保护。中国没有司法创制和宪法法院的保护机制,但对于不可归类的个人信息权利仍然可以运用最密切联系原则在具体个案中将其“暂时”归类为人格权法、财产权法、合同法或其他部门法的保护范围。法律技术上可以运用“视为”“推定”等法律拟制方法。在个人信息权利的具体内容和权能还没有成熟定型的条件下,探讨其归属于人格权法、财产权法、合同法、侵权法或其他部门法的可能性是必要的,但主要精力应放在研究其权能上。通过对控制权、自决权、信息产权、知情权、被遗忘权、剩余分配权、剩余索取权、剩余控制权等权能的研究,去发现个人信息权利行使的轨迹和功能创生规律,并透过其运行轨迹和功能创生规律去发现个人信息权利的内在规定与基本属性。
四、个人信息保护权利进路的制度观
个人信息保护的权利进路指根据一定原则在权利体系中对个人信息进行有效保护。在原则方面存在立法衡量论、裁量论与二阶衡量论三种观念。在模式方面存在统一保护模式、公法优先模式和私法中心模式三种模式。
(一)个人信息保护原则
立法衡量论认为,立法的根本原则是按照公平正义要求进行利益衡量,以实现各方利益平衡。按照立法衡量论的主张,有学者提出了“两头强化、三方平衡”的理论模型。“两头强化”指强化对个人敏感信息的特别保护,强化对个人一般信息的合法利用。“三方平衡”指对个人利益、公共利益和信息业者利益进行平衡。即,个人在不损害公共利益条件下让渡非核心信息作为他方利益的前提和基础。立法衡量有利于防止信息社会中的“信息孤岛”与“信息滥用”现象,促进个人信息流动。
裁量论认为,由于立法计算不精准,在法律实施时需要对利益进行再衡量。裁量可能是未完全类型化或未完全具体化导致的立法不能造成的,也可能是立法者有意留给法律实施者的空间。裁量论的学术重心集中于正当程序条款,讨论的核心问题是法律实施主体的信息公开职责,公众的知情权、参与权和监督权与个人信息保护的关系。因公共利益、国家利益、商业秘密、个人隐私、个人信息等概念属于不确定法律概念,各方利益权界不清,故在法律实施时必须对个案所涉利益进行再衡量。裁量论有利于促进关涉个人信息保护的不确定法律概念的确定化,维护各方权益。
二阶衡量论认为,个人信息保护与信息流动是同等重要的价值,从社会中获得信息也是每个人的权利。国家创设个人信息权利的目的不只是为了保护个人信息,而是要建立平衡个人利益、公共利益和信息业者利益的法律框架。而立法在衡量三方利益时只能作出原则性规定,并通过其他途径具体化。具体而言,就是自然人让渡一部分个人信息给国家或信息业者,以实现公共福祉;法律对个人信息权利进行适当限制,以实现个人信息流动;在个案中通过比例原则平衡各方利益。中国宪制没有法官造法的空间,宪法规范也不能直接适用,法律一般条款的规定只能在具体个案中通过比例原则再次进行利益衡量,才能实现三方的具体利益平衡,实现人格利益与信息自由的平衡。二阶平衡论以立法的一般条款为逻辑起点,致力于在个案中实现具体利益平衡。
(二)个人信息保护权利模式
德国模式以基本权利为基础,以个人信息的控制权和自决权为中心,建立了一种具有构造功能的权利体系。美国模式以隐私权为基础,以个人信息的自决权为中心,建立了一种具有解释功能的权利体系。中国参酌了这两种模式的优点,形成了以安全为基础,以民事权利为中心的保护框架。
统一保护模式认为,政府部门和社会机构掌握着不同的个人信息,同时,中国的立法又分散在不同法律之中,未能形成协调一致的系统化法律保护机制。这不仅不适应信息社会的要求,还会使个人信息受到严重威胁,迫切需要建立统一保护的法律机制。统一保护模式的正当性和有效性毋庸置疑,关键问题是其必须具备相应的社会条件和知识体系。
公法优先模式认为,信息工具的使用是现代政府提高决策和管理能力的重要手段,政府越来越依赖信息工具并按照公共安全优先和效能原则的逻辑进行社会治理。但政府在采集、储存、交流、使用和公开信息时会出现不当采集、滥用、泄漏甚至威慑等情形,侵犯个人权益。现行法律设计了规制政府信息公开的制度,其以公众的知情权和监督权为基础,与个人信息保护的要求极不相称。信息时代的政府负有保护个人信息的义务,故个人信息保护最紧迫的任务是以立法方式规制政府的信息活动。
私法中心模式认为,统一立法模式优于分散立法模式,统一立法模式应以私法为中心,不宜以政府管理为中心。这是因为:第一,将个人信息权利作为私权对待,就能从根本上保护个人信息权利,保护私权就是保护最大的公共利益。第二,私法途径有利于维护信息控制权和自决权,实现个人信息自我管理,节约法律资源。第三,个人信息私权化的对应物就是给他人设定相应义务,这有利于建立法律秩序。第四,有利于形成保护私权的责任体系,使民事责任、行政责任和刑法责任相协调。在宪法基本权利必须通过立法具体化的条件下,以私权为基础,以私法为中心构建个人信息保护的权利体系是适合中国的理性选择。
(三)理论反思
利益平衡是社会科学的基本主张,也是法学的逻辑起点,但法律必须把正义的要求通过制度转化为公正。法治作为一种非工具化的共同体联合模式意味着在作自我决定时还必须承诺受共同义务的约束。故利益平衡的重心不是理念,而是实现理念的法律制度。
立法衡量论需要进一步明确的问题是:非核心利益以何种形态存在以及个人以何种方式“让渡”非核心利益。即,个人信息是以附义务的权利形式存在,还是按照社会法的方式作为公共资源进行分配和管理,或者是按照合同法方式进行转让,各方将如何分配信息流动收益、剩余索取权和剩余控制权。“让渡”是一个公法概念,前提是承认人民的本源性权利,必须通过民主化和法律化方式才能使“让渡”具有正当性与合法性。借用“让渡”观念将部分个人信息“让渡”给政府具有一定程度的正当性。“让渡”部分个人信息给信息业者以便提供公共服务也具有等值的正当性。但涉及个人信息的“人格性”和“非人格性”财权利益问题时则不宜采用“让渡”观念,而是必须探讨个人信息流动的方式、收益分配、剩余索取权的分配以及剩余控制权的分配。在交换领域,阿罗不可能定律证明通过“让渡”方式不可能实现利益最优化,也就不存在“让渡”与“最优化”的必然联系。只有尊重每个人的自主选择权,为每个人提供交换权利的条件,才可能实现利益最优化。故最好的立法衡量方式就是个人信息的权利化。
裁量论需要进一步明确的问题是:以满足公共利益、公众的知情权和监督权为原则的信息公开制度是否能经受住民主的不可接受原则的审视。民主的不可接受原则是指任何人都必须尊重个人的人格,国家不仅负有尊重个人人格的消极义务,还有保障个人人格的积极义务。公共利益和公众知情权不是不证自明的,个人在具有不确定特征的公共利益和公众的知情权面前必须有摆脱沦为民粹主义消费盛宴的权利。裁量论必须是基于宪法约束下的法律论证而不是基于政策的论证。政府信息公开的程序性职权并没有优越于个人实质权利。裁量必须确定客观化的裁量基准,并通过程序保证其正当性。裁量并不产生影响个人法律地位和权利义务的法律效果,但“处分性”裁量是嵌入行政行为之中的,而行政行为会对行政相对人产生法律效果。裁量行为是通过行政行为发生作用的,行政机关并不能以裁量作为抗辩个人信息权利的理由,裁量不具备平衡各方利益的法定地位,其只是行政机关提高行政能力的手段。
二阶平衡论需要进一步明确的问题是:信息流动并没有优越于个人信息权利。采用“让渡”部分信息给政府的方式必须符合宪法和法律规定,政府并没有任意取得个人信息的权力。将“信息孤岛”问题归结为赋予个人信息权利,暗含着公民无理性的假设,而这一假设与民主法治社会的基本前提相冲突。试图通过强制公民“让渡”部分个人信息的方式满足公共利益或公众知情权,乃是对个人信息权利的限制或剥夺。事实上,将比例原则作为限制行政机关侵犯个人信息的原则,本质上是将个人信息自决权转化成了政府的裁量权。
个人信息保护的权利进路是构建权利保护的法律框架。统一保护模式从整体角度关注个人信息面临的风险与安全威胁,侧重于从宏观层面为系统保护个人信息提供基本法律框架。公法优先模式从问题角度关注政府信息行为对个人信息安全的威胁,侧重于通过公法方式优先解除个人信息的安全威胁。私法中心模式从构造角度关注个人的信息控制权和自决权,侧重于个人信息保护制度权利化建构的可行性。三种模式其实不是同一层次、同一标准的分类,可以彼此相容。
信息渗入社会结构和人们的生活方式,改变了社会的运行方式和人们的行为方式,分散立法无法适应个人信息保护的要求,统一立法势在必行。但采用统一保护模式必须具备三个条件:一是形成了明晰的概念、规范和标准的理论体系。二是公法和私法领域在理论和实践上具备足够的成熟度。三是公法和私法共治的协调机制基本建立。中国采取以信息安全为首要目标,政府管理为基础,分散立法为主导的立法方式反映了立法的基本经验。统一保护模式已列入立法规划,首要任务是总结分散立法的经验并进行理论提炼,奠定立法的理论基础。
现行法律对政府侵犯个人信息规制不力,法律对政府保护个人信息的不作为行为缺乏有效的规制措施,个人又没有相应的救济手段。面对公法保护制度上的缺陷与信息社会政府对个人信息高度依赖的矛盾,个人信息受到政府威胁的程度越来越高,相对于比较成熟的私法保护机制而言,在个人信息保护统一立法之前,以政府的信息建设为切入点撬动公法立法是一条重要途径。
私法中心模式可以为统一立法奠定基础。相对于以政府管理为中心的思路,以私法为中心的思路更贴近个人信息保护的目的,法律创制的条件也更成熟。在私法中将个人信息权利化,既落实了人的尊严和人权保障的宪法要求,也确定了政府和信息业者的行动边界,便于与统一立法相衔接。民法典编纂有必要形成个人信息保护的私法体系。民法总则已将自然人的个人信息纳入民事权利范围,接下来,可以在人格权法中解决个人信息中“人格”要素的权利法定问题;在财产权法中解决“非人格”要素在人格权法定主义放松下的个人信息交换问题。
统一立法在结构上宜以公法为依托,私法为主干,社会法为补充。以公法为依托就是要确立个人信息安全的优先地位,通过基本权利具体化保证个人信息安全。以私法为主干的优点是:避免纠结于个人信息在权属上陷入人格权说、财产权说、侵权说这样似是而非的争论,用个人信息的“人格”要素、“人格性”要素、“非人格”要素的客观分类标准,代替笼统模糊的“敏感信息”与“一般性信息”的主观分类标准。避免使用“人格权商品化”或“人格商品化”这样容易误导的概念,避免增加实施时的解释负担。以社会法为补充需要处理的对象是处于“人格”要素和“非人格”要素之间的“人格性”要素的个人信息保护问题。在这一领域应在基本权利和社会法中赋予个人保护“人格性”要素的个人信息特权。国家可以通过赋予个人主导剩余分配权、剩余索取权和剩余控制权的方式保证个人信息特权的实现。
除通过法定方式保障自然人对个人信息的控制外,还应建立以“同意”为基础,适当嵌入公法规范和社会法规范的行为模式。具体做法是:在“人格”要素的保护条款中确立个人放弃无效的原则,政府和信息业者侵权负责的原则,将这些原则转化为客观法规范,使个人、政府、信息业者都没有权能空间,使宪法确立的人格尊严和人权条款在个人信息保护立法中具体化;在“非人格”要素的保护制度中增加对个人“同意”的公法转介条款,使之成为一项受公法限制的权能。同时,为防止因个人的风险识别困难而导致的“同意瑕疵”,对重要信息交换活动应设立第三方风险评估制度,通过社会法机制确立第三方机构的权利和义务;在“人格性”要素的个人信息保护方面,为防止个人误判而造成不可逆转的人格损害,应赋予个人识别权、过程控制权、剩余分配权、剩余索取权和剩余控制权等特权。
结语
通过对个人信息保护权利话语的系统梳理,我们发现如下问题值得重视:第一,形成一种风险可控的个人信息保护观念。应将个人信息置于现实社会与虚拟世界的复杂性环境中去思考,导入过程哲学思想、引入复杂性理论、厘清风险种类、注重情景分析、重视“事件”构成,形成风险可以通过权利控制的观念,把权利的规范理论与权利的风险理论结合起来。通过权能创生功能逐步打开个人信息的结构,客观评估个人信息的存在和流动信状,发挥自然人的个人信息权利在信息社会中的基础作用。第二,发展一套行之有效的原则。以保护人的尊严为根本原则,发展出一套行之有效的原则体系。在人的尊严不可或缺、不可放弃、不可转让、不可侵犯的本质属性下发展出相应的不可接受原则,并通过制度安排保证人的尊严在信息流动过程中始终在场并有法律效力。确立人的尊严的基准原则,以人格为基准对个人信息进行客观分类,严格区分个人信息的“人格”要素、“人格性”要素、“非人格性”要素,运用不同法律规范有针对性地进行保护。第三,充实由一束权能保护的个人信息权利。按照实质主义权利观的思路,重点研究个人信息控制权、自决权、信息产权、知情权、被遗忘权、剩余分配权、剩余索取权、剩余控制权等权能,使之在与复杂的信息环境交互作用过程中不断充实个人信息权利的内容,直至个人信息权利完全类型化和具体化,为发展出智能时代的个人信息权利类型奠定基础。第四,重视行为与场景相互作用构成的事件。信息社会中的“事件”是现实个人与个人信息、现实人格与虚拟人格在二象性的网络结构中与环境交互作用的产物,其广延性和绵延性超出了传统行为理论的线性因果链条,进入复杂性因果关系网络,必须引入统计学意义的“新自然法则”,建立复杂性因果关系的分析框架。通过配置多项权能的方式防止因意外“事件”对个人人格造成不可逆转的损害。第五,构建一个适合中国国情的个人信息保护法律体系。根据潜能发现、功能定位、权能行使到权利化的发展规律,精准提炼分散立法取得的成果,在个人信息权利未完全类型化、未完全具体化阶段,可以采用统分结合的方式构建立一个适合中国国情的个人信息保护法律体系。即,建立一个以原则性框架法为统摄、以公法为依托、私法为主干、社会法为补充的权利话语体系;在私法上建立以人格权法为基点、财产权法为增长点、合同法为着力点、权能配置为重心、侵权法为保障的私法体系。
