高级检索

学术资源

行政法学

当前位置: 首页 -> 学术资源 -> 行政法学前沿 -> 行政法学 -> 正文

何晓斌:论个人信息权的正当程序面相

信息来源:《国家检察官学院学报》2024年第3期 发布日期:2025-02-25

摘要:尽管我国立法规定了告知同意、更正、删除、携带等权利内容,但对于是否应当赋予信息主体权利以及赋予何种权利却始终未能达成一致意见。对个人信息赋权的担忧,主要源于实体性权利视角下信息主体绝对控制的信息流通阻碍以及对应保护模式的失效。因此,应当从正当程序角度理解并设计个人信息权,以程序赋权平衡信息处理者与信息主体之间的不平等关系,并通过平等、透明、合作等程序价值激励信息主体、处理者以及相关第三方形成技术化、标准化、契约化的程序性权利保障制度。个人信息权确立的正当程序,一方面遵循以权利制约权力的公法逻辑以有效预防强势信息处理者的非法处理;另一方面,由于正当程序以法律明文列举为限,避免了信息主体滥用权利而阻碍信息流动,实现信息保护与信息利用的平衡。

关键词:个人信息权;正当程序;权力制约;程序价值


尽管我国立法从未明确规定“个人信息权”,但告知同意、更正、删除、携带等已经形成了一套相对完整的权利体系。理论上对于是否应当赋予信息主体权利以及赋予其何种权利一直存在分歧。反对者认为,个人信息具有公共性和社会性,赋予信息主体权利容易导致个人信息的私权化,阻碍信息流动。就具体权利内容而言,告知同意等权利内容缺乏必要性,阻碍数字经济的创新和发展。即使在个人信息权利内容得到法律确认的情况下,理论界仍然存在个人信息属于权利还是利益,属于财产权、人格权还是新型公法权利或宪法基本权利等论争。个人信息赋权分歧的本质是什么?个人信息权意味着信息主体对个人信息的绝对控制吗?赋予信息主体个人信息权是否必然阻碍信息流动?对上述问题的回答,不但关系个人信息保护法律体系的完善,而且涉及作为理论和话语的“权利”在回应数字技术风险时是否仍具有解释力。本文意图提出个人信息权的正当程序面相这一理论命题,并以此对上述问题进行反思和分析。

一、个人信息赋权分歧的来源

保护个人信息是社会共识,但对于是否应当以权利形式实现个人信息保护存在争议。个人信息赋权的分歧主要存在两种表现形式:一是是否应当赋予信息主体个人信息权。由于个人信息保护理念脱胎于民法上的隐私权,隐私权主体对隐私的绝对控制成为个人信息权发展的历史负担。二是个人信息权属于哪一类权利类型。权利保护模式与权利类型密切相关,个人信息权的保护在一定程度上延续民事权利的保护机制,但传统侵权保护机制却在个人信息权利救济中失灵,进一步加剧了对个人信息赋权的担忧。

(一)隐私权主体绝对控制理念的历史影响

作为一项新兴的权利,个人信息权首先需要回答的是其何以成为权利,以及为何能成为一项独立的权利。从我国早期的研究来看,个人信息权的证成存在利益论和意志论两种主张。前者提出,信息主体“对个人信息资料准确、完整、隐秘而享有的利益无疑是人格利益的一种”。后者则认为,信息主体对个人信息的控制体现了人格尊严和意志自由。上述两种理论从权利内部出发围绕其道德正当性进行论证,意在回答信息主体对其个人信息是否享有权利。答案均指向了“人格”这一核心要素,并使人产生信息主体对个人信息进行绝对控制的印象。人格权论者认为个人信息塑造的数字化人格是现实世界在数字空间的延伸,个人信息权与德国法上的“信息自决权”相联系,即“自行决定在何时且在何种限制内公开个人生活事实的权利”。美国法上的信息隐私权同样强调权利主体的控制,由信息主体“自我决定在何时、如何以及在何种程度上将自己的信息传递给他人”。而财产权论者,无论基于人格的利益,抑或基于财产的利益,都强调信息主体对个人信息的控制。

在个人信息权的历史发展中,隐私权扮演了双重角色。它既为个人信息权的证成提供价值基础,又成为个人信息权独立需要摆脱的对象。在权利发展初期,个人信息被视为隐私权的客体,信息主体对个人信息享有的权利属于隐私权的组成部分。由于隐私信息属于隐私权的保护对象,作为民事人格权的隐私权在很长一段时间内承担着个人信息保护的功能。但随着个人信息收集、处理与应用场景的普遍化和多样化,隐私权已经难以满足个人信息保护的需要。因此,理论界提出了个人信息权独立于隐私权的主张。尽管个人信息权已经成为一项独立的权利,但隐私权中主体对隐私绝对控制的理念印记,却成为反对个人信息赋权的重要依据。

(二)个人信息权利保护的实效性考量

个人信息权在权利类型上的归类意味对不同权利保护模式的选择。将个人信息权界定为财产权或人格权,就会采用与该权利类型相匹配的财产制度或侵权责任制度。网络法专家莱斯格教授认为,个人信息保护中的财产制度通过为信息主体创设许可,对个人化的价值观加以保护,而责任制度则意味着对方只要支付国家规定的价格,尽管可能与信息主体自己的估价有出入,也可以获得个人信息这一资源。经过对比后,莱斯格教授认为,为了实现隐私价值观的个人化并加大隐私保护力度,应通过财产权来保护个人数据。维拉·伯格森教授同样认为,美国法已经明确或隐含地将个人信息视为财产,以往侵权法实践的教训表明其不能提供一致且可行的机制来保护个人信息。

事实上,无论将个人信息权归为人格权还是财产权,均无法回避传统私权保护模式对个人信息保护的实效性缺失。有学者认为,民事人格权侵权赔偿机制存在不足——侵权责任法定构成要件对实际损害和举证责任的要求难以在网络环境下实现,“将个人信息作为民事权利客体与民法既有概念体系存在张力”。尽管可以从新型损害认定、归责原则体系、因果关系推定等侵权责任要件出发对侵权法保护模式予以完善,或以人格权禁令及时制止、停止侵权信息传播,但解决方案仍延续传统人格权的个别化保护模式,导致虽然“能够纠正对个体造成的具体损害,但无法适应计算机和网络中的数据监管需要”。数字化环境中的信息处理与传统的隐私侵权存在巨大差异,以即时拍照技术等第二次工业革命技术为预设塑造的人格权保护体系无法回应数字技术革命带来的挑战,在保护模式上延续民事纠纷个案式、事后性的司法化保护,亦无法满足个人信息保护的实效性要求。

此外,正如反对赋权者所说,如果赋予信息主体私权性质的个人信息权,并采取与之对应的保护模式,将进一步激化个人信息绝对控制与其公共性价值之间的冲突。个人信息在社会交往、信息服务、公共卫生、国家安全等领域具有不可替代的价值,个人信息保护的法律制度设计应当考虑其公共价值的实现。无论人格权保护模式还是财产权保护模式均无力应对这一挑战:其既不能撼动作为民事规范根基的私主体关系,因为这将打破民事权利以私人利益为核心的制度预设;也无法平衡个人信息处理中的多元价值紧张,因为私法保护机制对于公共利益的衡量欠缺专业性和灵活性。

二、个人信息权:通过正当程序的权力平衡

从维护人的尊严、保障意志自由和利益的角度对权利进行正当性论证似乎是最具说服力的,但其功能也仅此而已。从意志论和利益论出发将个人信息权归类为民事人格权或财产权,并无法获得个人信息权应当如何保障的启示,反而引发了对赋予信息主体权利的担忧。

究其原因,人格权或财产权等理论及其对应的权利保护模式倾向于将社会成员间的平等关系作为逻辑前提,在个人信息保护领域则将个人信息权界定为处理平等主体之间关系的民事权利,容易陷入虚幻的平等陷阱——将理论上的平等假设误认为事实上的平等,其预设的权利保护机制也因功能错配而难以发挥功效。因此,应当直面个人信息处理中信息主体与处理者之间的权力支配关系,从正当程序角度出发理解并构建个人信息权利。

(一)信息处理中的权力生成

个人信息处理中,信息处理者相对于信息主体的强势地位,是个人信息权区别于民事权利的重要特征。除作为信息处理者的国家机关以外,大量数字平台成为信息处理者,二者都呈现出支配——命令的权力特有形态。

第一,信息处理者凭借自身技术优势和规模效应,在市场中形成“赢者通吃”的竞争格局,剥夺了信息主体的自主选择权。信息处理者在市场竞争中地位的强化,使其与信息主体之间形成了完整的权力架构与运行体系,集制定规则、解释规则、解决纠纷等多项权力于一身。按照传统的自由竞争市场理论,市场主体会在市场机制的作用下优胜劣汰。但数字服务市场规模经济效应明显,信息处理者与信息主体难以按照自由市场规则进行平等协商。

第二,现代社会的复杂性使得政府难以在技术和经济领域持续具有治理优势,社会组织乃至企业承接了部分政府公共职能。公权力不再仅指以政府为代表的传统国家权力形态,还包含了诸多贯彻公法上的政策或目标,并在一定范围或一定程度上接受公法调整的组织或企业。数字经济打破了传统企业、市场与政府在经营、交易与调控上的分工边界,作为信息处理者的大型平台企业,在理论上被视为提供公共服务的公用事业或数字时代公民行使基本权利的基础设施,承担了原属政府的调控功能,运行也不再仅仅遵循市场逻辑。

第三,由于金融、交通、医疗等社会各领域的全面数字化,个人信息处理产生了系统性社会公共风险。个人信息权的损害后果往往不是个体化的。对信息处理者而言,信息收集、存储、传输、处理、应用等环节集合了诸多上游和下游信息处理者,信息泄露、非法交易等行为的损害呈现多链条式传递。对信息主体而言,某一信息处理环节的安全风险,意味着所有接受服务的信息主体普遍面临风险,从而产生信息主体的社交死亡,危及社会信任机制。平台的专业优势和跨域特性使其成为个人信息保护的核心环节,需要借助其以符合复杂网络系统结构特征的方式对信息处理风险予以防控。

基于上述原因,个人信息权遵循“以权利制约权力”的理论逻辑,成为实现权力平衡的重要环节,以正当程序权利约束强势的信息处理者,也成为个人信息保护实效的保证。

(二)通过正当程序进行权力平衡的规范前提

信息主体之所以享有要求信息处理者为或不为一定行为的资格,正是由于信息主体与信息处理者之间的“非对称权力结构”。为明确信息主体与信息处理者之间的不平等关系,立法从信息处理者资格出发设置了适用正当程序权利的前提。

一方面,法律明确排除个人信息权适用于平等自然人的情形。个人信息权的适用前提在于信息主体与信息处理者持续性的不平等信息关系,只有利用信息能力的不平等收集、处理个人信息的行为,才是法律真正要调整的对象。我国《个人信息保护法》规定,“自然人因个人或者家庭事务而处理个人信息的,不适用本法。”同样的规定还可见于欧盟《通用数据保护条例》第2条第2款。之所以作出上述规定,并非个人或家庭事务处理中信息主体的信息权利不应得到保护,而是因为此类情形中的个人信息处理不存在信息能力的显著不平等,不存在权力平衡的需要,如果赋予个人信息权,将产生新的权利义务不对等。

另一方面,为确保个人信息权保护的实效性,立法对对应的义务承受方规定了特殊的标准。我国《个人信息保护法》在信息主体信息权利之后规定了“个人信息处理者的义务”,信息处理者在组织架构、技术保障、合规审计、评估能力等方面必须符合特定要求,从规范上确认了信息处理者的组织和技术优势。此外,第52条规定,只有处理个人信息达到国家网信部门规定数量的个人信息处理者需要指定个人信息保护负责人。第58条规定的建立合规制度体系,制定平台规则,发布社会责任报告等严格义务,也仅限于提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者。美国加州《消费者隐私保护法》对信息处理者也设置了较高的标准。比如,年收入超过2500万美元、为商业目的处理50000条以上消费者的个人信息、销售消费者个人信息收入占其年收入的50%以上。

因此,并非所有的主体都可以成为个人信息权的对应义务主体,也并非所有的义务主体都需要履行同等标准的保护义务。从具体的制度设计来看,在组织、技术、资金、市场等要素上优势明显的信息处理者才需要履行个人信息权对应的信息保护义务,信息处理者的优势越明显,其需要履行的保护义务越严格。

在国家机关作为信息处理者的情形下,同样存在信息主体与信息处理者之间的权力关系,但这种不平等与平台企业和信息主体之间的不平等存在较大差别。作为信息处理者的平台企业属于民事主体,基于其在技术和市场上的优势形成与信息主体之间的不平等,属于事实上的不平等。对国家机关而言,其优势的形成是基于其公共利益目的而被赋予在组织机构和职能划分上的诸多特权,上述特权均须得到法律的确认,因而属于法律确认的不平等。总体来看,法律赋予信息主体个人信息权,是一种平衡强势的信息处理者权力的机制。但由于两类不同的信息处理者在权力滥用风险上存在差异,法律对国家机关处理个人信息设置了更为严格的要求。国家机关的信息处理,既需要遵守《个人信息保护法》所列的条件限制,也要接受行政合法性和行政合理性原则的约束,严格遵守信息处理的法定性,处理范围以履行法定职责为限,遵循法定程序和权限。相比较而言,平台可以在获得信息主体重新同意的情况下变更信息处理目的、处理方式和处理的个人信息种类。

三、个人信息权正当程序面相的制度展开

作为一项古老的权利,正当程序源于普通法上的自然正义理念,是处理具有不平等地位的国家权力与公民关系的重要准则。“程序主持者因为行使特定权力而负有的程序义务使程序中的相对方当事人享有相应的程序权利,这些程序权利是制约程序主持者权力的手段。”个人信息权所作的程序设定,通过约束信息处理者的权力恣意保障弱势的信息主体利益。

(一)个人信息权正当程序面相的表现形式

由于信息处理过程集合诸多异质性主体,存在多样化的非线性作用关系、持续的适应性演化和非均衡动力学过程,不同处理阶段面临的信息处理者类型、风险等级、权力样态均存在差异。因此,从权利内容来看,个人信息权利的行使与信息处理流程紧密关联,在信息处理的不同阶段,信息主体行使的权利内容也具有差异。信息主体通过在不同的处理阶段行使不同类型的权利,以确保信息处理的合法性。

按照不同信息处理阶段的特点,个人信息权所设置的正当程序可以分为三部分。起始阶段主要表现为知情权、知情基础上的决定权以及撤回同意的权利。知情权要求信息处理过程是公开的,而公开是正当程序的核心要求。个人信息权之所以强调信息处理的透明度和知情权,是因为它们成为制约信息处理者的“阳光法案”。欧盟《通用数据保护条例》第12-14条详细规定了个人信息处理活动透明以及处理过程中信息主体与处理者的沟通,包括告知的形式、内容和时限。我国《个人信息保护法》也明确信息主体对其个人信息的处理享有知情权,并进一步规定个人有权要求信息处理者对信息处理规则进行解释说明。在基于告知同意的信息处理中,告知信息处理情况和获得信息主体同意,是主体参与信息处理过程的前置程序,未告知、告知不充分、未获得同意、超出同意范围等情形,均属于未经正当程序进行的个人信息处理。

从正当程序面相出发,我们也可以理解为何告知内容冗长、阅读成本高等程序设置具有较高的运行成本,但法律仍坚持将知情权和决定权作为个人信息保护体系的核心。低效率和高成本本就是正当程序的固有弊病。正当程序通过一系列复杂的制度设计以实现中立、平等且理性的沟通协商,相较于权力独断而言,程序繁琐,且耗费较大。但历史实践表明,程序是抵御专制决断和权力滥用的可靠方式,并且是可选择的方式中成本最低的一种。否则,信息处理的合法性就要依赖信息处理者的道德自觉或更高成本的监管机制。

第二个阶段表现为在信息处理中信息主体享有的查阅、复制、更正、删除、免受自动化决策等权利。信息主体通过上述权利介入信息处理流程,并对个人信息进行有限干预。此类权利表明,个人信息权不止于信息处理的初期,为防止信息处理过程中信息处理者的权力恣意,信息主体的参与也延伸至后续的信息处理流程:通过查阅和复制知悉并监督个人信息处理情况,当信息处理者掌握的数据失真或进行非法处理,信息主体有权要求其更正或删除。由于社会分工的细化和数字技术的阻隔,信息主体并不直接决定信息的处理技术和应用场景,信息处理过程中的程序性参与只是为了确保最低限度的信息准确与处理合法。

最后阶段则表现为信息处理过程中的救济性程序保障,旨在强化对前述个人信息权利的保障。在前述两个阶段的程序权利保障基础上,《个人信息保护法》另外设置了两种权利存在受侵犯之虞的救济程序。一种程序是请求国家有关机关或独立监管机构介入。政府或独立监管机构以监督者身份介入,既可以通过接受信息主体的投诉举报或应信息主体要求提供信息、展开调查;也可以通过动态的监管机制防范对个人信息权的侵害。另一种程序是信息主体得向信息处理者主张的程序救济,信息处理者有义务提供单独的权利救济和保障渠道。信息处理者和监管者对上述程序的违反,同样需要承担法律责任。

(二)个人信息权正当程序面相的制度特征

除了传统民事权利司法救济程序以外,民法企图通过人格权禁令这一包含程序性内容的权利临时救济方式实现个人信息的预防性保护。人格权禁令将个人信息保护程序前移,反映了通过程序设置实现个人信息预防性保护的发展趋势。与个人信息权确立的正当程序相比,民事权利的上述程序性设置在价值取向与保护机制上均存在明显差异。

第一,权利的行使方式不同。个人信息权所确立的正当程序是一种不充分授权规则,个人信息权的内容是法定而非任意的。法律虽然赋予信息主体权利,但权利行使方式仅限法律设定的同意、删除、更正、携带等内容。个人信息权秉持底线思维,其目的在于确保信息处理基本秩序,对于除此之外的权利主张,信息处理者有权置之不理。相较而言,民事权利的程序内容可以意定或酌定。民事人格权或财产权并未规定权利主体的具体行为方式,赋予权利主体较大的自由空间。在权利范围内主体可以自由支配,甚至可以做出于己不利的决定。从法律后果来看,除了违反公序良俗等个别情况外,民事人格权或财产权的权利义务双方只要达成一致,法律就不会对其行为作出负面评价。

第二,程序是否具有独立价值。个人信息权是法律交由信息主体发动、以权利形式参与并监督个人信息处理过程的程序设置,既非赋予信息主体自主控制并完全支配个人信息的权利,也无法借此提出进行实体利益分配的权利主张,功能在于保障信息处理的程序正义。民事权利以利益分配为核心,即使人格权禁令这种类司法的救济程序,也需要以权利受到不法损害并将造成难以弥补的损害作为程序启动的基础。此类程序性规定依附于实体利益的实现,并不存在独立价值。

我们可以借此反观立法在数据携带权上的复杂态度。欧盟《通用数据保护条例》在数据携带权问题上数易其稿,并不断限缩其适用范围。我国《个人信息保护法》对是否规定数据携带权也非常审慎。对数据携带权的犹疑,在很大程度上源于其与其他个人信息权在权利性质上的差异。数据携带权赋予信息主体转移个人信息的权利,被认为是信息主体借此“直接参与数据利益的分配”的过程。但事实上,数据并非民法上的物,对数据携带权的上述认识仍然以物权等支配权为原型。从正当程序面相出发,数据携带权可以获得与其他个人信息权利内容相一致的解释方案,即数据携带权的目的非为信息主体获取经济利益,而是便利信息主体在不同信息处理者之间的自由选择与流动,通过确保信息主体自主选择与平等协商确保数字服务市场中的自由竞争秩序。

第三,程序的目的不同。个人信息权的程序保障旨在促进信息主体参与信息处理流程并增进与信息处理者的沟通,以信任为基础对作为弱势方的信息主体进行倾斜性保护。由于个人信息权确立的正当程序是一种旨在促进合作协商的制度设计,程序启动并无严格的形式要求。人格权禁令则与此相反,它是一种对抗性程序——权利主体向法院主张权利,并要求法院命令对方停止侵害、排除妨碍、消除危险。由于该程序向对方设置了严格的义务,并产生实体利益上的零和竞争,法律对程序启动规定了诸多形式要件以及事实、证据、法律依据等实质要件。因此,人格权禁令本质仍属于民事司法的个案救济。

(三)个人信息权正当程序面相的制度实现

在个人信息保护制度的发展过程中,正当程序传递的平等、透明、协商、合作等价值理念,成为信息处理者改进处理技术、加强内部管理、扩展对外交流的指导原则。

1.基于技术的正当程序实现

在个人信息保护的制度设计中,由事后补救到事前预防和事中控制的转变成为大数据时代预防信息处理风险的理论共识。为了适应这一需要,“基于风险的保护”“通过设计的隐私”等制度设计应运而生,并被视为对以信息主体自主控制的“基于权利的保护”的替代。这种认识忽视了个人信息权的正当程序面相为信息处理者提供的价值引导和制度空间。个人信息权加深了信息处理设计者以用户为中心的设计理念,并将程序性权利保障措施内置于技术设计、信息处理、结果应用等全部生命周期,比如隐私保护嵌入设计、隐私默认设置、隐私政策明示等。

为此,《通用数据保护条例》第25条规定,信息处理者在确定处理方式和在进行处理过程中,需要考虑信息处理给信息主体权利带来的影响,实施适当的技术性和组织性措施,如匿名化和数据最小化。我国的个人信息保护法律制度也在一定程度上吸收借鉴了技术要求的规定。《民法典》第1038条明确规定信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。《网络安全法》和《数据安全法》也有类似规定。相比较而言,我国立法中的技术保障主要集中于信息处理中的信息安全价值,“隐私作为默认机制”“将隐私融入设计之中”等核心原则依然处于空白状态,未与个人信息权中的多项正当程序设置配适。

2.经由合作的正当程序实现

正当程序的核心是实现法律代码编写与运行过程中裁判的分离,通过正当程序实现信息处理中算法设计方、信息处理方与输出应用方的相互制约与平衡互动。不同于信息自决权中信息主体对个人信息的绝对控制理念,个人信息权的正当程序面相使其呈现开放性,为信息主体和信息处理者以外的监管机关、行业协会、评估机构等主体介入个人信息保护预留了空间,而多元合作是确保个人信息保护实效的重要保障。

正当程序的平等、公开、中立价值要求必须形成多元主体参与的组织架构,个人信息权创设的正当程序也在处理者与信息主体的互动制度中予以实现。第一,信息处理者,特别是平台企业设置合规人员和合规审查程序等管理机制改革,是实现程序权利的重要保障。信息主体是纠正信息处理错误、偏见和歧视的核心,通过合规程序完成对信息主体提出质疑、获得解释、知晓相关方情况等程序权利的保障。第二,正当程序提供了对信息处理者进行全面审查的理由,从而形成对信息处理流程中所有处理者的全面的问责制。个人信息权提供了对信息处理者所制定的信息处理规则进行审查和判断的标准,不但狭义上的处理者需要接受其审查,收集、存储、应用以及其他相关方都应当接受该标准的审查。这正是赋予信息主体权利,而非规定处理者义务所产生的溢出效益。第三,在规制工具选择上,个人信息权的程序性与政府规制、自我规制、元规制深度契合,更多非正式且灵活的合作将程序权利契约化、标准化,为正当程序提供了多样的制度保障形式。

四、个人信息权正当程序面相的价值功能

(一)个人信息权正当程序面相的实践价值

尽管理论上普遍认为个人信息承载公共价值,但由于对个人信息权利性质认识误解,不但产生赋予信息主体权利会导致信息绝对控制的担忧,而且由于将信息处理视为仅关涉信息处理双方的事务,个人信息承载的公共价值难以实现。从正当程序面相出发,个人信息权不但可以承载公共价值,其权利保护方式也是实现信息处理公共价值的有效途径。

一方面,正当程序具有增加透明度以增进信任的功能。数字社会信息稀缺和信息过载同时存在,由于技术阻碍,获取高质量信息的成本增加。特别是在信息自动化处理过程中,算法黑箱在技术和知识产权保护的双重保护下难以打破,信息处理过程缺乏透明度。正当程序的功能在于绕过算法黑箱,从信息处理的输入端和输出端控制信息收集和信息使用。为此,《通用数据保护条例》要求信息处理者应当以简洁、易获取和易理解的方式,并以清晰朴实的语言告知。上述规定旨在通过信息处理一定程度上的公开增进社会普遍信任,而信任是促进信息流动以实现信息处理价值最大化的基础。

另一方面,正当程序具有防止权力(利)恣意以提高效率的价值。在现代法治视野中,程序是减少权力专断并促进沟通的重要机制。由于合理与正当的程序可以将一些不必要甚至适得其反的规定予以清理或纠正,也具有提高效率并降低相关成本的功能。个人信息权确立的正当程序具有双重限制功能,既可以制约强势的信息处理者,以防止其滥用他人的个人信息以满足自身利益;又能够限制信息主体的权利滥用,信息主体仅能行使法律规定的权利内容,而无法无限支配信息处理者的信息处理活动。程序权利筛选并过滤了无关紧要且耗费巨大的争议,成为缓解信息主体与信息处理者对抗的缓冲层。

(二)个人信息权正当程序面相的规范价值

个人信息权属于何种权利之所以重要,是因为它不但关系对个人信息权利本身性质的认识,还影响个人信息保护立法的体系结构。以2012年全国人大常委会制定《关于加强网络信息保护的决定》为标志,我国加快推进《网络安全法》《民法典》《数据安全法》《个人信息保护法》等立法以完善个人信息保护法律制度。这些法律分别使用针对信息处理者的禁止性规范和义务性规范以及针对信息主体的授权性规范三种规范形式对个人信息保护制度加以规定。在较早的《关于加强网络信息保护的决定》中,仅在要求网络服务提供者删除有关信息和向有关主管部门举报控告两处使用了授权性规范。《网络安全法》在删除和更正两处使用授权性规范,其余均采用禁止性规范和义务性规范。《民法典》人格权编谨慎地将授权性规范增加到查阅、复制、更正、删除四项内容。《个人信息保护法》明确使用“权利”概念,而且大规模使用授权性规范确立知情权、决定权、限制处理权、查阅复制权、更正补充权、删除权、携带权、免受自动化决策权、救济权等个人信息权利内容。个人信息保护规范在内容和形式上的变化,对个人信息保护的法律适用带来挑战。《立法法》确立的上位法优于下位法、新法优于旧法、特别法优于一般法等规则,难以解决个人信息保护立法的法律适用问题。

事实上,《民法典》中的个人信息规范并非科学理性设计,而是在迫切需要加强个人信息保护情形下的应急反应。全国人大法工委民法室起草的《民法总则草案》(2015年8月民法室室内稿)、2016年全国人大法工委向有关单位发送的《民法总则草案》(征求意见稿)、甚至2016年《民法总则》(草案一次审议稿),均未对个人信息保护作出规定。但在征求意见的过程中,发生了徐某某电信诈骗案和清华教授电信诈骗案,引起立法机关对个人信息保护的高度重视。人格权编中的个人信息保护规范,一方面承继《民法总则》第111条的规定,并实现人格权独立成编后在结构和体例上的均衡性,另一方面也尽可能凝聚共识,仅规定最基础且没有争议的查阅、复制、更正、删除四项权利内容。《民法典》中的个人信息权利规范并不具备充分的形式理性,也未能建立与信息处理流程相匹配的程序权利体系。相比较而言,《个人信息保护法》第一次全面确立了覆盖信息处理流程的正当程序权利体系,是个人信息保护的权利宪章。在与其他法律的关系上,作为领域法的《个人信息保护法》并非民法的特别法,而是个人信息保护的基本法。其他部门法中的个人信息保护规范,比如《消费者权益保护法》第14条和第29条、《网络安全法》第40-45条、《数据安全法》第7条和第32条,均可视为个人信息保护的特别法。

《民法典》与《个人信息保护法》的适用关系也应该从两方面来理解。一是由于《个人信息保护法》规定了相对完整的个人信息权利内容,应当用《个人信息保护法》补齐《民法典》在个人信息权利内容上的遗漏。二是《个人信息保护法》在义务主体、调整范围、监管机制、法律责任等问题上具有明显的公法特征,并确立起一整套动态高效的公法保护机制,从而形成民法保护机制与公法保护机制并行的二元个人信息保护机制。与此同时,《个人信息保护法》第69条成为公法与私法保护接轨的“引致条款”。一方面,行政机关对于个人信息权的保障,并不会阻碍信息主体的私法请求权;另一方面,《个人信息保护法》确立的权利内容,特别是相对于《民法典》补充设立的限制处理、数据携带、免受自动化决策等权利,都可以成为侵权责任请求权基础的补充性构成要件。

结语

个人信息的正当程序面相提供了一个反思新兴权利赋权的契机。在个人信息权概念产生之初,脱胎于隐私权的信息主体对信息绝对支配理念,使得理论界对信息主体赋权高度紧张。这种担忧并非没有道理。以类人格权或类财产权赋予信息主体对个人信息的绝对控制,不但阻碍了数字时代社会生活的正常交往和沟通,也不利于数字化信息集聚带来的技术创新和变革。但现实情况是,个人信息保护立法对信息主体的赋权并没有阻碍信息处理和信息流动,在多样化的个人信息处理和应用场景中,个人信息权在一定程度上实现了权利保障与信息流动的平衡。究其原因,法律所赋之个人信息权并非实体性权利,而是程序权利。个人信息权确立的正当程序,以法律明文列举为限,规避了实体性权利赋权状态下权利主体的权利恣意。与此同时,正当程序面相也为个人信息权利内容的更新预留了空间,立法者可以根据信息处理技术的发展确立新的正当程序以防范数据风险。事实上,当社会对于个人信息的实体利益分配规则存在争议时,一种审慎且务实的方案是通过程序权利防范风险,而非在通过产权明晰减少不确定性以促进数据流动这一假设基础上推动数据确权。程序权利并不天然与效率为敌,反而通过公开透明的程序建立以信任为基础的信息处理架构,促进信息的流动。