丁晓东:个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础 | 前沿
中国民商法律网
社会需要从隐私权保护过渡到个人信息保护,这已是共识。2020年,全国人大常委会更是将制定《个人信息保护法》提上日程。就个人信息权利保护的适用前提与法益基础而言,若对这一问题缺少深入讨论,就可能造成对个人信息权利保护原理与制度的误解。对此,中国人民大学法学院丁晓东副教授在《个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础》一文中,从个人信息权利保护的适用前提切入,归纳了侵权隐私、执法隐私与信息隐私(个人信息保护)三种不同的法律框架,指出当前以公平信息实践为基础的个人信息保护框架不能应用于侵权隐私与执法隐私。
一、持续性不平等信息关系:个人信息权利保护的适用前提
分析个人信息权利保护问题,有个前提性问题需要我们思考:个人信息权利保护是否可以针对所有活动中的所有主体?个人信息权利中的知情权、选择权、访问权、纠正权、删除权、携带权等权利,都只能对具有专业性或商业性收集能力的主体进行主张,这些权利既不能对日常活动中的个人信息收集与处理进行主张,也不能针对国家执法中的个人信息收集与处理进行主张。这至少可以从三个方面进行证明:
第一,不同国家和地区的法律都表明了这一点,包括欧盟的《一般数据保护条例》和美国的个人信息权利保护法律制度。第二,个人信息权利保护或所谓的信息隐私的思想框架起源于阿兰·威斯丁对于个人信息控制的主张,其明确地指向了具有专业性或商业性信息收集特征的主体,尤其是利用数据库等现代科技大规模收集个人信息的主体。第三,全球通行的个人信息权利保护的制度框架起源于“公平信息实践”原则,而该原则处理的是不平等的信息关系,所规制的对象要么是具有专业性信息收集能力的公共机构,要么是具有商业性或专业性信息收集能力的企业或类似主体。
综上所述,不论将个人信息视为何种权利和类型,此类权利都只能针对形成持续性不平等信息关系的收集者与处理者。在这个意义上,可以说个人信息权利保护中的相关权利既非统民法权利,也非传统宪法权利,属于特定信息关系中的新型权利。
二、侵犯隐私、执法隐私与信息隐私
个人信息权利保护为何只能针对信息不平等关系中的专业或商业信息收集者与处理者?以侵权隐私、执法隐私与信息隐私的法律框架进行进一步分析:
首先,在侵权隐私的框架中,法律只对个人信息做非常有限的保护,而且依赖于侵权法这一被动性的保护方式。法律之所以对个人信息进行限定性保护与被动性保护,其原因在于个人信息具有很强的流通属性。如果赋予个人对于其信息的积极性权利,要求获取个人信息都必须获取个人同意,这将导致人们日常交往的失效与社会运转的失灵,导致打听他人信息也属违法的结果。个人信息的访问权、纠正权和删除权亦是如此,赋予个人以针对他人或平等主体的信息权利,既不合理,也不现实。
其次,在执法隐私的框架中,个人信息权利保护框架也不能简单适用于作为公权力机构的执法机关。这其中的原因不仅在于公权力机构的执法目的是为了公共利益,因而区别于商业机构对于个人信息的收集和利用。更为重要的原因是,公权力机构在执法过程中和个体形成的关系,并不存在持续性的信息关系。因此,个人相对于执法机构的权利仍然限定于传统核心隐私的范畴。对于政府在执法或搜查过程中所合法获得的个人信息,个人一般不具有知情选择权、访问权、纠正权、删除权等权利。
最后回到信息隐私法即个人信息权利保护法的框架。个人信息的收集者与处理者介于公权力与私主体之间,与个人之间形成了一种不平等的持续性法律关系,这种关系既不同于平等主体之间的民事法律关系,也不同于个人与国家公权力之间形成的关系,区别于侵权隐私中的信息能力平等之间的关系,也区别于执法隐私中的非持续性信息关系。对于这样一种关系,以公平信息实践为基础的个人信息权利保护制度采取了多种法律部门综合保护的进路,包括知情同意的民法框架,针对商家的消费者权利保护框架,以及对违反相关信息权利进行处罚的行政法框架。综合而言,个人信息权利保护法采取了一种“二元治理”结构,将个人正当程序权利与合作治理方法结合起来。
三、个人信息权利保护的法益基础
首先,个人信息权利保护的法益包含了防御性隐私权益。传统侵权隐私所包含的法益,仍然是个人信息权利保护的共识与起点。如果信息收集者与处理者在个人不知情的情形下收集和处理个人秘密或私密信息,此时个人既可以选择以个人信息权利保护法的框架进行救济,也可以选择传统侵权隐私法的框架进行救济。
其次,个人信息权利保护的法益还包含了针对信息控制者与处理者的信息自主控制权益,例如知情权、选择权、访问权、纠正权、删除权、反对用户画像与自动化处理权和携带权等权利。在更多的情况下,这些权利往往是多种不同类型权益的集合。需要指出的是,相比起防御性的隐私权利,个人针对信息收集者与处理者的信息自决权更具争议性。这其中的原因有以下几点:第一,有些信息权利看起来有可能保护个人权益,但实际上个人却无法有效行使这些权利,造成个人信息相关权利保护的落空,或者给个人带来其他风险。第二,个人信息虽然关乎个人,但常常包含他人信息,当个人行使个人权利时,就很可能会影响到他人的信息权利。第三,有些个人信息权利可能给企业施加不合理的影响,影响企业的正当权益。第四,有些个人信息权利可能影响市场机制,损害平台经济和数字经济的发展。第五,有些个人信息权利还可能影响公共利益。
因此,个人针对信息收集者与控制者的信息控制权必然无法成为绝对性的权利,或者至少面临很多例外。
四、在具体场景与信息关系中思考信息权利
个人信息权利保护的法益基础之所以如此复杂,而个人信息权利又可能和如此多的利益相冲突,根本原因在于个人信息权利保护高度依赖于具体场景中个人与信息收集者与处理者之间的关系。
在具体场景与信息关系中思考权利关系,这不仅是前沿理论的共识,也是不可避免的实践真理。从个人信息权利保护的“初心”或预期目的来说,当前很多个人信息权利保护制度对于“公平信息实践”的继承仅仅是形式性的,这些制度是否能够真正实现“公平信息实践”的初心,即实现的是信息收集者或处理者与个人之间的公平或合理的信息关系,仍然取决于相应制度是否能够在具体场景与信息关系中确立个人信息权利的合理边界。而要实现这一点,首要的任务就在于破除脱离具体场景与信息关系的权利思维和形式主义思维。
在具体场景与信息关系中思考个人信息权利,看上去与法治的基本原理背道而驰。因为法治的基本原则恰巧要求普遍性的规则之治,要求脱离人为关系来设计规则。但需要指出的是,在关系中思考个人信息权利,并不排斥类型化的个人信息权利主张与规则治理,只是这种权利主张与规则治理更多依赖于从具体场景出发,通过自下而上的规则制定来勾勒和确定权利与规则。同时,这种类型化的规则治理更多从信息关系出发,通过信息关系中的合理信息实践或信息伦理来确定权利与规则。
五、结语:重构大数据时代的个人信息权利保护
分析个人信息权利保护首先应当认清其适用前提。首先应当区分侵权隐私、执法隐私与信息隐私,对于现行以公平信息实践为基础的个人信息权利保护,应当明确这种保护只能针对具有持续性信息不平等关系的信息收集者与处理者,即只能应用在信息隐私的情形中。其次,个人信息保护的目的在于实现信息的合理实践或合理流通。因此个人信息权利不是绝对性权利,不能用静态的形式主义的观念去理解和确定个人信息的边界。相反,我们应当在具体场景和信息关系中重新勾勒和确定个人信息权利。
在大数据时代,以识别为基础的个人信息范围大大扩展,造成了个人信息权利保护管辖范围变得非常宽泛;同时,大数据与人工智能发展的需要又使得数据的二次利用成为必要,对个人信息权利保护中的“目的限制”“信息最小化”等原则也形成挑战。解决此类问题,更需要我们突破传统强化个人信息赋权的进路,从信息信托、代表制等公私法混合的思路重新设计个人信息权利保护制度。
推荐阅读
张新宝谈民法典:网络侵权越发复杂,应强化个人信息侵权责任 | 前沿王成:《民法总则》的体系检讨与个人信息民法定位的再反思
近期好文
实习编辑:王雨霏
责任编辑:朱雅文
图片编辑:金今、张凌波、林嘉悦