个人信息与隐私及个人信息权益与隐私权的关系是个人信息保护制度构建的起点,也是研究《民法典》和《个人信息保护法》(以下简称《个保法》)关系问题的基础,对于我国2021年8月20日通过的《个保法》的规范理论厘清与规则实践引导而言至关重要。《民法典》第1034条第3款将个人信息与隐私的关系理解为以“私密信息”为交集的交叉关系,这受到了以王利明教授为代表的大量学术同仁的影响并得到支持。简要而言,个人信息以识别性为标准,任何可直接或间接识别到自然人的信息都是个人信息,其范围宽广不定;而隐私则是那些具有私密性的空间、活动和信息。这是一对同属于人格权的、位阶基本相同的权利客体或利益,当且仅当信息同时具有私密性且可识别到个人时发生交集。在客体界分的基础上,二者在权利性质、内容、保护强度、侵害方式、保护方式、损害证明等方面均有不同。但也有学者认为,个人信息本身不是值得保护的人格利益,如“民法不是为了保护个人信息而保护个人信息,个人信息本身也不是需要得到法律保护的利益。但是,个人信息上附着了其他需要法律保护的利益。”个人信息保护只是保护相关权益的工具和抓手。更有论者提出,个人信息权是由法律所创设的新型公法权利而非民法人格权,法律通过确认信息主体权利从而确定信息控制者的公法义务和责任。
在我国的个人信息保护问题研究中,欧盟法律制度一直是比较法上重要的、甚至是最重要的研究借鉴对象,理论界和实务界尤其重视对《通用数据保护条例》(General Data Protection Regulation,以下简称为“GDPR”)的研读。但只有溯源到该制度的基础权利——《欧盟基本权利宪章》(The European Union Charter of Fundamental Rights,以下简称《宪章》)第8条“个人数据受保护权”,才能准确理解欧盟的制度构建原理和实践思路。《宪章》基本权利在欧盟法律制度体系中的地位类似于我国的宪法基本权利,欧盟立法或关于欧盟事务的成员国立法不得与之抵触。实践中,只有依据《宪章》精神,“被遗忘权”才得以确立;也正因违反了《宪章》,欧盟法院(European Court of Justice)才两度废止了欧美间的数据流通协议——《安全港协议》(Schrems I)和《隐私盾协议》(Schrems II)。遗憾的是,我国多数文献只是简单地提及《宪章》中的这一权利,零星的专项研究偏重于从法政策视角分析欧盟确立该权利的政治意图,对权利的理解局限于法条的字面规定。从法教义学角度剖析欧盟这一基本权利的规范内涵,将有助于推进我国准确了解比较法智识,构建既立足于本国又交互于域外的个人信息保护法律制度体系。
本文重点研究个人数据受保护权的内涵、属性、功能定位和保障方式,这主要是通过与第7条基本权利“尊重私人的和家庭的生活”对比展开——该权利在欧盟被简称为“隐私权”。研究材料主要是欧盟法院2010年至2020年的判决。通过域外基础理论研究,最后一部分回归检视我国当下热议的个人信息权利概念表达问题——“个人信息受保护权”和“个人信息权(益)”之间的关系,进而厘清《民法典》与《个保法》的定位,以及《个保法》中若干个人权利的性质。
一、个人数据受保护权的体系定位问题
《宪章》中个人数据受保护权与隐私权的关系与我国《民法典》的处理方式相当不同。第7条隐私权继受了欧洲人权法院的大隐私权概念,这种继受关系规定于《宪章》第52条第3款:《宪章》中与《欧洲人权公约(European Convention on Human Rights)》对应的基本权利在内涵和适用范围上应与《人权公约》保持一致,即“一致性”要求。根据《宪章》的官方解释,第7条隐私权正是对应了《人权公约》第8条隐私权,故应根据后者来解释前者。而根据欧洲人权法院颁布的指南,第8条“隐私权”的保护范围宽泛不定。例如,在警局利用窃听设备记录嫌疑人声音、将个人的姓名收录进国家的性犯罪者数据库都是对第8条隐私权的侵犯,甚至处理公开的个人信息也可能侵犯该权利。那么,根据《宪章》的“一致性”要求,绝大部分个人数据也应当属于第7条隐私权的保护范畴。囿于此传递链条,新兴的第8条个人数据受保护权,很难像我国一样成为一个与隐私权存在部分重叠、但相对独立的权益。
在大隐私权概念的笼罩下,欧盟法院极难脱离隐私权话语处理个人数据保护问题。通过观察欧盟法院2010年至2020年的判决,有以下两点发现:第一,在形式上,欧盟法院在绝大多数判决中会同时分析某一数据处理行为是否侵犯了个人数据受保护权与隐私权,且结论是同时侵犯或未侵犯两者,尚未出现只侵犯个人数据受保护权而明确不侵犯隐私权的情形。例如,2010年Volker案争议的是公开接受农业补助金的受助者姓名及受助金额是否合法。德国法院认为公开行为构成对《宪章》个人数据受保护权的不正当侵犯,未提及第7条。但欧盟法院主动提出,个人数据受保护权“与《宪章》第7条规定的私生活受尊重的权利紧密联系”。类似地,Digital Rights Ireland的判决使欧盟2006年颁布的《数据留存指令》归于无效。法院在裁判中直言,“值得注意的是,规定于《宪章》第8条第1款的保护个人数据的义务对《宪章》第7条私生活受尊重的权利而言特别重要。”可见,法院十分主动地、有意识地将两者关联。第二,在表述上,Volker案的法院直接将第7条和第8条的基本权利合二为一,创造了“在个人数据处理方面私生活受尊重的权利(The right to respect for private life with regard to the processing of personal data)”,该案判决直接认定数据处理行为侵犯了此融合性权利。此后的判决也反复采用这一表述,如2020年Schrems II案的法院认为,数据保护法旨在保护个人的基本权利和自由,特别是“在个人数据处理方面的隐私权。”
因个人数据受保护权与隐私权关联过于紧密,融合性权利是法院采用的便捷性表达方式,不是另一基本权利。但在此表述中,个人数据受保护权与隐私权存在两种可能的关系:(1)个人数据受保护权与隐私权属于同一类型的权利,个人数据是隐私在信息系统、在数字化场景中的子类,隐私权与个人数据受保护权是“一般—具体”的关系,类似于隐私权和通信秘密;(2)个人数据受保护权与隐私权是两种不同性质的基本权利,即使大隐私权可以包含个人数据,该权利本身仍有独立的、额外的价值。2010年的Volker判决采用的是前一种“一般—具体”的解释,法院认为将农业补助信息公开侵犯了受助者普遍意义上的私生活受尊重的权利,特别是其个人数据受保护权。但经过多年摸索,法院转向了第二种解释。欧盟法院在2016年Tele2 Sverige判决中正式表明,“《宪章》第8条的基本权利不同于《宪章》第7条的基本权利,而且《人权公约》中没有同等权利。”但法院没有具体论述个人数据受保护权到底有何不同之处。
二、个人数据受保护权的程序属性
尽管2016年欧盟法院提出个人数据受保护权与隐私权是两个不同的权利,但对如何界分两者却没有提供官方答案,而且多数判决中两者紧密互随,这加深了区分的难度。本部分通过系统分析欧盟法院的判决,发现在司法实践中,个人数据受保护权是程序性权利。
(一)规范对象:数据处理行为
通过整理、分析法院如何适用个人数据受保护权,本文发现:欧盟法院将个人数据处理行为拆分为“个人数据”和“数据处理行为”两部分分别处理,以第7条隐私权来判断个人数据之于个体人格的价值,再通过第8条个人数据受保护权规范数据处理行为。值得注意的是,个人数据和数据处理行为是某一个人数据处理行为的内容和过程,侵犯个人数据必然意味着数据处理行为不规范,而不规范的个人数据处理行为也必然侵犯了数据隐私利益,这就是为何在欧盟法院的判决中,两个权利总是同时被侵犯或者未被侵犯。
比如Volker案的法院认为:一方面,公开受益者的姓名和补助金额将使受益者的收入为人所知,这侵犯了隐私权;另一方面,对外公开这些个人数据属于数据处理行为,侵犯了个人数据受保护权。Digital Rights Ireland的裁判遵循了同样的分析思路。法院首先认为,留存的数据可以准确推断出数据主体的私人生活内容,如生活习惯、行踪轨迹、社会关系等,这侵犯了第7条所保护的利益。接着,法院一笔带过地提到,数据留存行为属于第8条规定的个人数据处理行为。
以上判决均在2016年Tele2 Sverige案裁判之前,彼时法院对个人数据受保护权尚处于摸索阶段。在2016年明确宣誓了个人数据受保护权不同于隐私权后,法院在次年的EU-Canada PNR案件中提出,个人数据受保护权的实质内容是“确保数据的安全性、机密性和完整性,并保护这些数据免受非法访问和处理。”无疑,此权利实质内容不是围绕个人数据之于主体的人格尊严、人格自由发展这些实质价值展开,而是围绕着数据处理活动的安全、可靠、准确等相对技术性的问题展开。最新的Schrems II案印证了本文的判断。法院认为,“获取自然人的个人数据以留存或使用会影响到《宪章》第7条所保障的私生活受尊重的权利,这一权利是关于任何已识别或可识别个人的信息。”这一论述乍看十分怪异,法院将“识别性”而非“私密性”作为隐私数据的判断标准,识别性却是欧盟法上个人数据的判断标准。这一表述有架空第8条之嫌,遵照此标准,所有个人数据都可以归入隐私。但本文的两分视角可以为此提供解释:本案中不正当的数据留存和使用行为在行为对象上违反了第7条,在行为过程上违反了第8条。
只有以“处理行为”为焦点,方可理解《宪章》第8条非常复杂的结构——第1款是确权条款,第2款前半部分规定了数据处理条件,后半部分确定了数据主体的访问权和修正权,第3款则提出数据处理应受独立机构监督。第8条后两款正是围绕数据处理行为而设,目的是明确数据处理行为需满足何种条件,才可被认定为具有基本正当性。《宪章》以基本权利的形式确保这些处理条件不可被任意减损,这些处理条件——而非对个人数据核心价值的维护——才是个人数据受保护权的实质内容。换言之,第8条并不关注处理的个人数据具体为何,姓名、行踪轨迹、网页浏览记录、医疗信息等不同类别的个人数据在第8条之下原则上可以获得同等对待,但它们对数据主体的敏感程度和重要性是不同的,其所体现的人格尊严价值也是不同的,只是这需诉诸第7条隐私权规则来判断。
同样地,只有数据处理行为这一视角才可以解释确立了被遗忘权的Google Spain案。该案的争议焦点是数据主体可否请求搜索引擎或原始网站删除有关于他的过时的房屋拍卖信息。裁判结果是:谷歌应当在以该人的姓名为关键词的搜索结果中移除原始网站的链接,但原始网站无须删除该数据。参照本部分的研究结论,分析可得:如若侵权的是涉案数据本身,那么侵权主体应该是原始数据的刊载网址,救济方式是删除该数据;只有通过数据处理行为的视角,才可发现,本案中是谷歌的数据处理行为不符合原始目的,违反了个人数据受保护权的要求,相应地,救济方式是限制数据处理而非删除数据。
简言之,在欧盟的司法实践中,个人数据的类型(是否具有私密性)不是界分隐私权和个人数据受保护权的标准。两者最关键的差异在于适用域上的分野——隐私权保护的是数据处理的对象,即个人数据;而个人数据受保护权是对数据处理这一过程性行为的规范。个人数据受保护权更准确的名称应当是“个人在个人数据处理过程中受保护的权利”。欧盟在个人信息、隐私以及个人数据受保护权与隐私权的界分方式上,与我国《民法典》的相应思路迥然不同。
(二)程序导向的权利属性
个人数据受保护权的程序价值是适用域分割的必然结果。个人数据黏附、展现着实质的人格利益,作为过程的数据处理却与人格利益无直接关联。因此,在欧盟法院的裁判逻辑中,基于个人数据所形成的私人领域的范围应当由隐私权规则来确定,也即,隐私权的作用是分割私人领域和国家权力、他人行为自由,具有维护和保障个体自主和人格尊严的价值。而个人数据受保护权的作用就在于,在隐私权划定了界限后,确保数据处理过程具有基本的公正性,该权利自身则并不划定私人领域、不增添实质自由,这正是程序性权利的意涵。正如Bavarian Lager案判决所言明,“授予数据主体保护其个人数据的权利构成保护基本权利和自由的规则。”2013年的X案件直接提出,《宪章》第8条第2款规定的个人数据访问权、修正权等是对第7条隐私权的保护。换而言之,针对个人数据处理行为,隐私权和上位的人格尊严、人格自由发展等基本权利和自由将为个人提供实体保护,而个人数据受保护权则通过规范数据处理过程为个人提供程序保护,典型如《宪章》第8条第3款要求数据处理受独立第三方监督。
从反面而言,因不提供实质自由,个人数据受保护权的减损限度亦需回溯到隐私权。此推论可在Tele2 Sverige案得到印证,法院认为,在欧盟层面,尊重私人生活的基本权利要求对个人数据保护的减损和限制限于绝对必要的范围内。此言包含两个要点:第一,个人数据受保护权的作用是保护隐私权;第二,以隐私权为标准来确定减损和限制个人数据受保护权的绝对必要范围。
只有个人数据受保护权是程序性权利,这一命题才可以解释司法判决中反复出现的“疏忽”。当出现基本权利冲突问题时,如知情权、言论自由与个人数据保护发生冲突,法院将适用比例原则判断数据处理行为是否符合《宪章》规定。在适用第三阶“狭义比例原则”时,理应将冲突的权利放置于两端进行权衡。吊诡的是,个人数据受保护权往往未能进入权衡公式。例如,2015年Schrems I案的法院认为,为了在个人数据处理领域为个体提供保护,“国家监管机构应特别确保:一方面尊重隐私权这一基本权利,另一方面也保障个人数据自由流通的利益。”另一更加显著的例证是,法院认为,数据保护机构独立性之保障是为了在隐私保护和数据流通之间达到利益均衡。监管机构应具有独立性规定于《宪章》第8条第3款,但法院却将此制度设计认定为是对第7条隐私权的保护。如此,只有程序属性才可解释在利益平衡过程中,个人数据受保护权反复被忽略的现象。既然个人数据受保护权只是保护其他基本权利和自由的工具,自身不增添实质价值、不扩展自由之维,自然就无须进入实质的利益平衡过程之中。
个人数据受保护权是程序性权利这一观点若得成立,必须回应、澄清GDPR中以数据访问权、修正权为代表所构筑的数据主体的“权利簇(权能)”的性质。尽管有观点认为,GDPR赋予了数据主体类似于财产权的控制性权利,但仔细辨别这些实定法上的权利的适用场景和法律效果可发现,这些权利基本上是确保数据主体得以参与数据处理过程的程序性权利,典型如访问权、修正权、限制处理权。而且,1980年经济与社会合作组织发布的《关于隐私保护和个人数据跨境流通指南》将权利簇定位在“个体参与原则”之下,“参与”一词意味着个人只是作为某一角色加入数据处理过程之中,对该过程并不具有绝对的、主导性的控制力。
可能产生争议的是GDPR新近规定的“被遗忘权”与“数据携带权”,两者赋予了数据主体更为积极的控制个人数据的能力。上文已澄清,被遗忘权在法律效果上只是对数据公开范围的限制,而非对数据本身的控制,难点在于“数据携带权”。基于这一权利,数据主体可要求数据控制者将其控制的、由数据主体本人提供的个人数据以结构化、普遍使用的、机器可读的形式“复制黏贴”给数据主体或者其他数据控制者。首先需注意,数据携带权是GDPR新创的实定法上的权利,以该权利反驳《宪章》“个人数据受保护权”的属性在时间和经验维度上并不充分。其次,根据欧盟数据保护委员会颁布的指南,数据携带权是数据访问权的补强、升级版,关键是对数据访问的形式作出了特殊规定。从访问、知情的角度而言,数据携带权的程序属性仍在,而且数据携带权的行使并不影响数据控制者使用、占有这些数据,数据控制者和数据主体在原始个人数据上的权利义务关系仍然保持不变。因而将数据携带权定性为数据主体对个人数据的控制性权利,尚有相当的争论空间。但也需承认,这一权利具有财产分享的实质效果,权利创设的初衷是帮助用户更轻易地完成平台转移以舒缓互联网平台的“锁定效应”。但纵观整个权利簇,这种控制面向的发展是个别化的而非全局性的,是些微的而非显著的,未动摇到个人数据受保护权的本质属性。
根本上,只有《宪章》第8条第2款规定的数据访问权和修正权才是个人在个人数据受保护权下不可被任意减损的权能,其他权能是实定法基于实用主义考虑所增添和额外赋予的。而两个基本法上的权能是用以确保主体得以参与数据处理过程的最低限度的程序性权能,目的是促进数据处理的透明度和准确性,从而提升、强化数据处理的正当性。此种权能可类比为,在行政行为实施过程中,行政相对人所享有的陈述和申辩的权利。
三、个人数据受保护权的功能定位
在上文揭示了个人数据受保护权的程序属性后,这一部分从理论上剖析,为何欧盟会创设这一程序性权利。本文赞同Paul De Hert和Serge Gutwirth教授的观点,主张个人数据受保护权的功能是通过提升数据处理行为的透明度,规范非对称权力结构下的处理行为,而非禁止数据处理。两位学者的研究基本奠定了欧洲学者对这一问题的讨论框架,影响甚为深远。他们提出,现代民主国家存在两种限制权力的方式:第一种是在国家和个人之间划分出属于私人自主和自决的领域,个人对私人领域拥有抵抗国家和他人侵扰的权利,典型如隐私权、住宅不受侵犯权,此种限制权力侵入的权利被称为“限制权力的模糊性工具”(limiting power through opacity tools),即在私人领域中,个人的思想、偏好和行动对国家而言是“面目模糊”的;与之对应的一类是“疏导权力的透明性工具”(channeling power through transparency tools),这类权利或制度主要是通过将政府决策或政府行为公开透明化,迫使权力良善运行。据其研究,隐私权的功能是限制权力;相对地,个人数据受保护权则用作疏导权力。本文赞同此观点。
就隐私权而言,1980年布兰戴斯和沃伦大法官提出这一概念时,称之为“独处权”(the right to be let alone),主张为了保护人格自由发展,个体应有权抵抗外界窥探,对抗国家权力和他人行为渗透入得由私人自主决定之领域。欧洲人权法院亦认为隐私权最显著的功能是防御权力入侵。
但个人数据受保护权并不具有阻隔权力的效果。根据《宪章》和GDPR的规定,数据处理行为只要符合一定的处理条件就认定为具有合法性,这些条件基本上是程序性的而非实质禁止性的。此结论的推导重在厘清《宪章》中有关个人数据受保护权的两个限制性条款之间的关系,即第8条后两款和第52条第1款之间的关系。这可经由两步骤推演获得:
第一,在欧盟,数据处理行为符合第8条后两款所列条件后,无须再经过第52条第1款规定的合宪性审查,即通过法律保留、比例原则和实质内容三个实质的审查标准。Volker案的法院认为,在满足特定条件后,《宪章》第8条第2款就因此准许处理个人数据。同样,在GDPR中,如欲处理特殊类别的或可能产生高风险的个人数据,经充分的信息披露和风险提示后,数据主体的明示同意就可推动数据处理进程,无须再经过严苛的合宪性论证。
第二也是难点,第8条后两款到底是实质限制还是程序限制。根据第8条后两款,数据处理应满足四个条件:(1)取得数据主体的同意或者具有其他合法性基础;(2)数据被公正地处理;(3)数据主体享有访问权和修正权;(4)数据处理受到独立机关的监督。后两个条件是比较清晰的程序性权利或程序要求,需重点解释的是前两个条件:
第一个条件是数据处理的合法性基础。《宪章》只确定了同意作为合法性基础之一,问题是“其他合法性基础”是否同样将启动或阻却数据处理进程的权利配置给数据主体,或仅作为个人同意的例外规定?这需转介到GDPR第6(1)条所罗列的六个合法性基础,其中第一个便是数据主体的同意。此处首先需明确,根据欧盟数据保护委员会发布的指南,这六个合法性基础之间是并列而非“原则—例外”关系,在适用上亦不存在先后次序要求,所以个人同意不是唯一,也不是首选的合法性基础。其次,同意之外的其他五个合法性基础不包含数据主体的意志因素,这些合法性基础包括“为了第三人利益”或者“履行法律义务”等。最值得注意的是第六个合法性基础——“合法利益”,当数据控制者或第三方因数据处理所能获得的合法利益大于数据主体损失的利益时,数据可径直处理。合法利益包括经济利益,如行为广告收益。所以,设置数据处理合法性基础的根本原理是利益衡量,个人在数据处理过程中并不拥有类似于财产权或人格权的绝对控制性权利。相比之下,《民法典》《网络安全法》《个保法》,或推荐性国标《个人信息安全规范》中,“合法利益”都未成为我国个人信息处理的合法性基础之一,这对我国个人信息权益性质的解释具有相当影响。
第二个条件是数据处理应当具有公正性,此时亦需转介到GDPR的制度规则来认定怎样的数据处理行为被推定为具有公正性。有研究将GDPR的规则分为“质化的门槛”(qualitative thresholds)和“程序性保障”(procedural safeguards)。“质化的门槛”指那些用以保证数据处理符合基本公平正义观的原则,如合法、公正和透明原则,目的限制原则和数据质量原则等。这些原则并不具有强烈的禁止数据处理的效果。如数据主体一旦同意在某一电话簿公开其个人信息,其他所有公司印刷电话簿时都无须再获得同意,这符合目的限制原则。“程序性保障”指那些细密的数据处理形式或程序,如取得同意的形式、数据影响性评估、经由设计的数据保护等。这些程序或制度设置的目的也不是禁止数据处理,而是认为数据处理行为若遵守这些规则,将更加安全可控,此乃从风险控制维度保障数据处理的成本和收益更加均衡、稳定。
因而,《宪章》和GDPR所规定的数据处理条件并非实质的、具有禁止效果的限制,而是程序性规范。由此言之,个人数据受保护权也不具有禁止个人数据处理的法律效果,此权利之功能在于规范数据处理过程。而之所以选择以赋予个体基本权利的形式规范数据处理行为,最主要的动因是意识到数据处理过程中的权力要素。以预防和打击犯罪、监控社会风险等公共利益为目的,由国家权力机关发动的数据处理活动是无须多言的权力行为。而数字经济环境中诞生的大型互联网平台也掌握了“来源于市场或技术的经济性权力”,因信息不对称、谈判力量不均衡以及同意的虚置和失灵,数据主体与数据处理者之间的“权利—权利”关系逐渐演化为“权利—私权力”关系。确立作为基本权利的个人数据受保护权的意义就在于,以程序条件规范非对称权力结构下的数据处理行为,使之透明、准确、公正、应责,从而调整数据主体和处理者之间的不对等关系。
更深层地,个人数据受保护权的功能定位揭示和对照的是欧盟法上个人数据保护制度的双重目的——既通过规范数据处理行为以保护数据主体利益,又借此将数据处理行为合法化。前者更加显性,后者虽较为隐性,但却是《1995年数据保护指令》和GDPR的初衷:通过适用统一的数据处理规则,各成员国的数据保护水平基本达到一致,如此个别成员国就不能以保护基本权利为由,阻碍数据在成员国间自由流通,欧盟便可构建统一的数据流通市场。这可以追溯到《欧洲联盟运作条约》第16条第2款,该条款授权欧盟制定个人数据保护规则的同时,又授权其制定个人数据自由流通规则,《条约》中个人数据受保护权与个人数据自由流通的联结间接地影响了对《宪章》第8条的解释。因此,仅以赋权进路或者数据保护视角审视欧盟制度是不充分的,其背后所隐含的正当化数据处理的目的也应受到重视。
四、个人数据受保护权的保障方式
权利的保障方式可以从权利的权能和义务的履行两个互相照应的维度上观察。大陆法系的基本权利兼具主观权利和客观法双重属性:主观权利指,个人享有要求国家作为或不作为的请求权,包含防御权功能和受益权功能,分别对应国家消极义务和积极给付义务;客观法指,基本法所确立的价值秩序约束着立法、行政、司法行为,产生的是基本权利的客观价值秩序功能,对应积极的国家保护义务。虽然多数基本权利都具有这两个属性、三个功能,但其在现实中的作用力可能是不均衡的。本文认为:个人数据受保护权的实现更加偏重客观法属性中的客观价值秩序功能,也即国家应承担积极保护义务;对比之下,隐私权的实现较依靠主观权利属性中的防御权功能,国家负担的是消极不侵犯义务。此观点不是否认、抹杀隐私权的客观法属性以及个人数据受保护权的主观权利属性,只是强调不同性质的权利应有符合其特质的、差异化的实现和保障方式。
这种差异最直观地反映在权利名称上,《宪章》第7条隐私权的全称是“尊重私人的和家庭的生活”,第8条则是“个人数据受保护”。于前者隐私权而言,国家首要负担的是“尊重义务”,即不能处理可能干扰私人生活的个人数据,回应的是权利的防御权功能。相对地,“保护义务”则要求国家积极地在法律制度中确保个人数据处理具有正当性,回应的是权利的客观价值秩序功能。
个人数据受保护权之保障特别依赖国家积极履行保护义务,是其程序属性的逻辑延伸。这是因为,由数据主体基于防御权所形成的数据处理规则往往是事后的、个别化的,无法形成周密而成体系的规范用以统摄数据处理全流程。而且,有效行使防御权能的前提条件是数据主体可以较低成本发现侵权行为,但数据处理所产生的侵害往往具有延迟效果,行为和侵害后果之间的因果关系较难确定。所以,于个人数据受保护权而言,防御权能在权利保障上存在相当缺陷。相反,国家积极履行保护义务才是该权利的主要保障方式。国家应以促进数据处理透明、准确、公正、应责为目标,确定一整套统一周延的、具有可预期性的、成本收益均衡的数据处理规则,同时合理配置数据主体和数据处理者在此过程中的权利义务,以推动和巩固此目标。再者,也正是国家保护义务这一支点可将基本权利价值以间接效力的形式辐射至私人关系,通过要求立法、行政、司法部门积极地履行保护义务,调整数据主体和私人数据处理者间不对等的“权利—私权力”关系。
在立法上,为履行《欧洲联盟运作条约》第16条所规定的欧盟议会和理事会的职责,欧盟制定了一系列个人数据处理领域的法律规范,诸如GDPR、《警察和刑事司法机构的数据保护条例》和《关于欧盟机关、组织和代理机构个人数据保护和数据自由流通的条例》。内容上,这些立法或限制欧盟和成员国公权力部门处理个人数据,或明确私主体间的数据处理规则。法律效果上,这些法律规范或可以在成员国直接发生法律效力,或需成员国转引入本国立法,未能转引的则需向欧盟承担未履行国家保护义务的法律责任。如在ASNFF案件中,西班牙将《1995年数据保护指令》转引入本国法律时,规定在未取得数据主体同意时,若需根据“合法利益”这一合法性基础进行数据处理,则只能处理那些处于公共资源中的个人数据,但《1995年数据保护指令》的“合法利益”基础并无此限制。欧盟法院认为,《1995年数据保护指令》的合法性基础条款应有直接适用的法律效力,西班牙法律违反了《宪章》和《1995年数据保护指令》的规定。
除立法外,行政机关保护义务的履行可以从组织法维度的监管权力配置和行为法维度的义务履行两方面观察。具体就GDPR而言:一方面,监管权力配置问题可从横纵两个视角解析。纵向视野是,如何在欧盟和各成员国之间合理配置监管权,构筑一个既能保证GDPR得以统一、连贯地实施,又能兼容各成员国特殊情况的监管体制。GDPR第六章和第七章致力于明确监管主体、监管职权以及配套的协调机制。横向视角则是在“国家—社会—市场”三场域配置监管力量。值得特别提及的是,GDPR充分调动了社会和市场主体加入监管中,如第三方可草拟行业性的数据处理“行为准则”(code of conduct),该行为准则虽仍需通过国家监管机构或欧盟委员会批准,但独立第三方可以监督数据控制者是否遵守行为准则,行使一定的中止和终止权。从GDPR第41条所列的第三方监管主体的资质条件判断,第三方应包括行业机构、数据保护组织等社会团体,甚至包括不具有利益冲突的市场主体。与之类似,数据保护水平认证权也下放到独立第三方。另一方面,保护义务履行问题主要讨论行政机关是否正确、恰当地履行了保护数据主体基本权利的义务,并且没有过度介入私人纠纷。典型如上文提到的Google Spain案,该案争议的是谷歌处理过时的个人数据的合法性问题,数据处理行为发生在私主体之间,但争讼的是西班牙数据保护机构责令谷歌删除数据的行为是否侵犯了谷歌权益。再如,Schrems II案件争议的跨境数据传输行为发生在Facebook和数据主体Schrems之间,但争讼的是爱尔兰的数据保护机构是否有义务根据Schrems的请求,禁止依据标准数据保护条款所进行的跨境数据传输行为。
最后,司法部门的保护义务主要是依据《宪章》的精神解释法律规范,或是对法律是否符合《宪章》进行审查。例如,Schrems II案的争议焦点之一是欧美的《隐私盾协议》是否满足了跨境数据传输的条件,这涉及如何解释GDPR第46(1)条,该条款要求跨境数据传输应具有“适当的安全保障”。法院声明,GDPR的目的是确保在个人数据处理领域,在欧盟境内的自然人的基本权利和自由能够获得统一的、高水平的保护,因此必须根据《宪章》所确立的基本权利保护水平来解释第46(1)条。又如欧盟2006年的《数据留存指令》因不符合《宪章》第8条而被判定无效,主要原因是其未能提供足够的安全保障以防止留存的个人数据被滥用或被不法获取、使用,而且数据处理未受到独立机构监管。
综上,个人数据受保护权之保障主要依赖其客观价值秩序功能,通过国家承担积极的保护义务,建立一整套由组织机制、行为规范和监督救济所构筑的公法保障体制,其中囊括了“欧盟—成员国—自然人”“立法—行政—司法”“国家—社会—市场”等多维度的权力与权利对峙问题。
五、我国个人信息保护制度中的权利辨析
我国个人信息保护问题的研究深受欧盟法影响,对欧盟个人数据保护制度中的基础权利的深度剖析,既能扫清我国比较法研究中存在的盲区和误解,也可为我国个人信息保护法律制度中的权利构建寻求有益思路。本部分在前文研究基础上,试图检视与反思我国所讨论的若干权利概念表达之间的关系,同时借此厘清《个保法》和《民法典》的关系。
(一)个人信息受保护权与个人信息权(益)的关系
关于个人信息保护的基础权利问题,既有研究的争论焦点是:个人信息保护制度的基础性权利应锚定为宪法基本权利还是民事权利,以及在概念表达上,应采用个人信息权(益)还是个人信息受保护权。总体上,法律制度应构筑于宪法基本权利已在《个保法》第1条获得认可,争议更多地落在了概念表达上。“个人信息权”突出强调权利主体对个人信息这一客体的支配能力;“个人信息受保护权”这一表述则是对《宪章》第8条更为直接和精准的借鉴,该词“摒弃了个人独占、控制信息之意味,不以个人信息本身为客体,而是指向个人在信息处理过程中应当获得的保护。”简言之,两个概念的主要差异是在信息处理过程中,个人应是积极主动的参与者甚至主导者,还是被动地享受个人信息被保护的利益。问题是,当前的话语论争似乎以二选一的斗争姿态讨论应采用哪一概念表述,背后暗涌的是私法自治和公法保护的理念斗争。但这两个权利是同一位阶的、非此即彼的吗?
本部分主张,应与比较法区别,根据我国法律制度体系的发展趋势和积累,从宪法和民法的关系中,发展出作为宪法基本权利的个人信息受保护权和作为民事权益的个人信息权(益):
第一,确立宪法层面的个人信息受保护权的意义是:有且仅有宪法基本权利可以制约作为巨型信息处理者的国家机关所开展的信息处理行为;更重要的是,通过引介基本权利的客观价值秩序面向,可以启动和激发国家保护个人信息的义务,从而制衡在技术和谈判能力上占据优势地位的私人信息处理者,矫正私人关系中业已形成的非对称权力结构。因此,使用“个人信息受保护权”这一概念能更直观表达法体系建构背后的国家角色,以及在“公权力—权利”和“私权力—权利”关系中,国家对弱者所应承担的消极不侵犯义务和积极保护义务。
但即使个人信息受保护权在我国宪法上得能成立,此权利与欧盟《宪章》第8条“个人数据受保护权”不完全相同。根据上文研究,在欧盟的个人数据保护基本权利中,个人数据受保护权与隐私权是在程序和实体上相互配合的、共生性的一组权利。易言之,单独的“个人数据受保护权”难以承担法体系构建重任。但我国学者试图确立的个人信息受保护权是计算机技术发展下新近形成的、相对独立的基本权利。这一方面是因为我国《宪法》未载明隐私权,隐私权是否成立、以及如何通过法解释获致尚未达成共识,因而若将个人信息受保护权与另一个隐形的隐私权像欧盟一样组合,将致使基本权利体系过于抽象复杂;另一方面,正如上文所展示,欧盟之所以使用单一的隐私权条款完成实体权益确认,重要原因是欧洲人权法院对隐私权条款进行了拉张,间接导致《宪章》隐私权大范围包含了个人数据,欧盟法院为避免第7条与第8条之间大幅度重叠问题,才将个人数据受保护权定性为程序性权利。反观我国当前的立法和司法实践,隐私和个人信息已基本成为存在部分交集、但相对独立的概念,因此个人信息以及由此产生的个人信息受保护权,应当具有确认和维护个人信息之于个体人格利益的实质价值。一言蔽之,若能确立宪法上的个人信息受保护权,该权利将相当于欧盟《宪章》隐私权和个人数据受保护权的结合。
第二,宪法上的个人信息受保护权之确立并不阻碍个人在民法上对个人信息享有控制性权利。这首要涉及基本权利和民事权利——尤其是与民法人格权——的关系,分为横向关系论和纵向关系论。横向关系论认为,基本权利和民事权利因在调整对象、规范强度、权利内容、权利目的上均有不同,两者是相对独立而非“抽象—具体化”关系,即使具有相同的权利名称也具有不同的规范含义。在此学说下,宪法上针对国家权力机关的个人信息受保护权不应当替代自然人针对私人信息处理者的民事权利或利益。纵向关系论则认为,“民法加强人格权的保护是宪法基本权利的价值辐射作用的结果。”其中多数观点主张基本权利在私人关系上应具有间接而非直接效力,即基本权利是通过其客观价值秩序面向对民法产生影响,而不是通过主观权利面向。于此学说下,宪法关于基本权利的表述也不应僭越民事立法上关于民事权利的形成自由,“宪法上的人格权提供着将这种权利所蕴含的价值渗透到民法的前提和可能性,但其最终实现于民法,则需要民法内部的人格权制度相与衔接”。因此,无论采用横向或纵向关系论,宪法基本权利采用何种表达方式,均不能替代民事权利的概念表达,除非发生显著的、直接的冲突。
核心问题应是在私法关系上,个人是否对个人信息拥有控制性权利以及控制强度为何。也即个人所享有的是作为具体人格权的个人信息权,或是作为利益的个人信息权益。这是立法价值选择问题,而非合宪性控制下的法律技术问题。对此,《民法典》已作出了如下两个初步的价值判断:首先,因被写入人格权编,个人信息对自然人具有实质利益,而且主要是人格利益而非财产利益;其次,自然人对个人信息处理过程具有一定的控制权,这得益于告知同意规则在个人信息保护制度中业已形成的基础性地位——信息处理原则上需要取得个人同意,且信息处理的目的、方式和范围受此同意的约束。但个人控制强度不无争议,这应根据信息技术、社会需求、个人意愿、人格观念和文化变迁等因素,由立法或司法以历史性眼光确定和调整。此外,与宪法层面的个人信息受保护权相似,我国民法上的个人信息因与隐私概念平行,个人信息权益应承载着一定的、即使是微弱的人格利益,承担划定私人领域之作用,这与欧盟程序导向的个人数据受保护权是不同的。
(二)《个保法》中个人权利的性质
面对大规模、持续性的个人信息处理侵权问题,以及信息保护和信息流通之利益平衡所需,私法关系上个体化的赋权、行权以及侵权救济模式已出现系统性困境。鉴于此,国家进一步在《个保法》确立个人信息处理规则,并通过为信息主体配置权利、向信息处理者施以义务、明确监管体制和监管责任等方式,积极调动立法、行政资源规范信息处理行为,而向个人赋权只是规范信息处理的手段之一。这一立法目的与欧盟是一致的——既为规范信息处理过程,也借此正当化和推进信息处理活动,激发数字经济活力。因此,《个保法》应是国家履行宪法层面的保护义务的结果,而不是以保护个人对个人信息的控制性权利为目的的、民法的特别法。当以规范信息处理行为为核心的《个保法》生效后,《民法典》中有关信息处理的行为规范应以“新法优于旧法”的规则被整体性替代,其所剩余的是确认个人信息之于人格权益的功能——类似于前文提出的欧盟《宪章》“隐私权”的作用;而《个保法》将承担着与欧盟“个人数据受保护权”以及GDPR相似的作用,着重体现的是规范信息处理过程的程序价值。
具体就《个保法》第四章而言,该章所规定的个人权利应解释为规范信息处理过程而配置的程序性权利(权能)。第四章的章节名称是“个人在个人信息处理活动中的权利”,这与前文提出的欧盟个人数据受保护权的精准表述“个人在个人数据处理过程中受保护的权利”高度相似。法规范用如此繁复的语言意在表明:本章中的个人权利并非产生于个人信息这一静态内容,而是因规范信息处理过程之需要而产生。换言之,个人信息可能因附着着人格尊严价值而在宪法或民法上具有固有的、先在的利益,但若此个人信息未被处理,个人则无法援引或曰不天然享有《个保法》上的个人权利。而一旦信息处理者试图合法地启动对包含隐私信息在内的任意个人信息的处理,信息主体将享有基本相同的、规定于第四章的程序性权利。在公法关系上,其所锚定的实体权利是宪法基本权利规范,此程序性权利之运行还将辅以行政法上的行政程序权利;在私法关系上,其所锚定的实体权益是《民法典》个人信息保护条款和隐私条款,而《民法典》实体权益和《个保法》程序性权利的衔接可通过《民法典》第1034条第1款“自然人的个人信息受法律保护”中的“法律”概念进行转介。
需要澄清和解释的是第44条规定的决定权。从上下文观察,此处决定权应指向个人同意、不同意以及撤回同意的自由,同意自由的幅度和强度仍应回溯到实体权利规范中解释。《个保法》中的决定权不适合被解释为个人对信息的完全控制,这既不符合此法律的定位,也将因过于刚性和泛化而冲击个人信息利益归属这一实体价值判断问题。
在功能上,第四章所规定的程序性权利解决的是疏导而非禁止权力运行的问题,即如何在各环节引入主体参与,从而提升信息处理的透明度和准确性,使具有权力要素的信息处理在过程和结果上对信息主体而言更具可接受性,符合基本的公平正义观。以“微信读书案”为例,关于在微信读书App中是否可迁移并默认开启用户的微信好友关系,法院认为,“若在用户能明确知晓并同意其信息处理方式的前提下,社交功能可以默认开启,但需要有清晰、便捷的关闭操作途径,确保用户的选择自由。”此案中,好友信息是个人信息而非私密信息,用户不具有绝对的支配性权利,法院认可该信息推定可处理,但需满足用户的知情权以保证信息处理过程透明、可预期,在此基础上赋予用户退出自由以保证其实质权益。
概而言之,欧盟法上的个人数据保护有两个主要源流——公平信息实践规则和《宪章》的基本权利。既有研究已对前一部分进行引荐,本文则对后者“个人数据受保护权”的内涵、属性、功能定位和保障方式进行了深度研究,力图补足后一源流。通过明晰欧盟《宪章》的隐私权与个人数据受保护权的关系,本文试图展示和分析新旧两个权利如何在保证法体系自洽的前提下,合力形成完整而周延的个人数据保护制度体系。更重要的是,从比较法研究中抽析出的“个人数据—处理行为”及对应的“实体权利—程序权利”两分思路,为构建和理解我国个人信息保护制度中的若干权利提供了有益资源。这包括确立作为基本权利的个人信息受保护权、作为民事权益的个人信息权(益)这一组实体权利,并建议将《个保法》中的个人权利(权能)解释为程序性权利。但欧盟个人数据受保护权的程序价值导向有其独特的法律制度背景和司法考量,这与我国的个人信息保护法律体系布局有相当不同,因而我国的权利体系研究更应在与欧盟区别的基础上进行。
