正文
第二,个人信息权益不仅具有民事权利属性,也具有公法权利属性。理由如下:①作为民事权利的个人信息权无法对抗公权力机关。一个法学常识是:民事权利和公法权利的核心差异在于前者对抗平等民事主体,后者对抗国家。这当然不是说公权力机关可以不尊重民事权利,而是说当公权力机关以平等民事主体身份处理个人信息时,需要尊重其所承载的民事权益。一旦公权力机关履行公共管理职责而处理个人信息,则需尊重个人信息公法权利。在《民法典》之前,早有一系列法律规定了对抗国家的个人信息公法权利,包括《护照法》第12条、《居民身份证法》第6条、《国家情报法》第19条等。《民法典》不会覆盖或推翻这些先在立法。事实上,就连《民法典》第1039条要求“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的个人信息应当保密”,也是在规定一项公法权利。②对个人信息的多重保护机制无法从作为民事权利的个人信息权中导出,原因有二:一方面,国家运用行政法、刑法等手段来保护个人信息,并非为了实现信息主体对个人信息的独占,也不是在协调作为平等民事主体的信息主体和信息处理者之关系。之所以要在民法之外引入其它部门法的多重保护,恰恰是因为信息主体和处理者之间高度不平等,以个体维权、诉讼为核心的民法机制无力“纠偏”,亟需公共监管、执法和处罚为核心的行政法、刑法机制来“驰援”。另一方面,对抗私主体的民事权利无法派生对抗公主体的公法权利及配套的公法保护机制。③当然,民法学者意识到国家早已成为个人信息的处理者,也承认公法保护的重要性,但因担心承认个人信息公法权利会导致公权机关优位和公权膨胀,仍坚持个人信息仅仅是民事权利客体。在以“管理法”为核心的公法挤压私法的现象并不鲜见的今天,这种担心值得理解与同情。但现代公法权利的本意是“主观公权利”,反映了约束公权、张扬人权的政治哲学,与民法私权神圣、私法自治的价值导向若合符节。因此,承认个人信息权益的公法权利属性,不会膨胀公权,而能限制公权。若对公权与私人信息处理者一视同仁,反会造成“公法遁入私法”,使公权机关假借民事主体身份逃脱公法约束,以表面平等掩盖实质不平等。
第三,“信息处理者民法义务—侵权者民事责任—《民法典》规范”的逻辑难以完整覆盖个人信息保护法律体系。理由如下:①仅有民法义务无法约束公权机关高权性、强制性、公益性的信息处理行为。这些行为只能对应公法义务。②仅有民事责任不足以完成个人信息保护重任。个体侵权诉讼在因果关系认定和赔偿确定上存在极大困难,GDPR主要是通过高额罚款来阻吓侵权行为,并没有涉及任何私法救济方式。更何况公权机关依职权处理个人信息的行为违法,应承担行政赔偿责任,根据《行政诉讼法》《国家赔偿法》来救济。③在我国个人信息保护法律制度尚不完善的语境下,民法学者期待《民法典》充任《欧盟基本权利宪章》那样的宪法角色,用心可谓良苦。但“以民法代宪法”发生于近现代欧洲国家动荡、宪法缺乏实效性的特殊历史情境下,平移至我国具有“反历史性”。更重要的是,《个人信息保护法》的义务主体、调整范围、执行机制等均不同于《民法典》,并非后者的特别法。
须澄清的是,论证个人信息不是民事权利的客体,不代表个人信息与民事权利无关。2020年,全国人大常委会法工委在《关于〈中华人民共和国个人信息保护法(草案)〉的说明》中指出:“在编纂民法典中,将个人信息受法律保护作为一项重要民事权利作出规定。”这里的措辞极其精准,表明《民法典》确立的并非个人信息权,而是个人信息受保护权,前者指向信息主体对个人信息的自决与控制,后者指向信息主体在个人信息处理过程中应得的保护。《民法典》之所以确立个人信息受保护权,是因为个人信息承载了重大人格、财产民事利益,须通过对信息主体提供保护来予以维护。正如《民法典》开宗明义地点明“根据宪法,制定本法”,该项民事权利根源在于我国宪法上的个人信息受保护权,是后者在具体法律中的表述。
随着个人信息法律保护的全球扩张,在宪法层面确立相关权益的必要性已成学界共识。早在十余年前,我国就有学者提出个人信息保护“体现基本权利核心内容,即人性尊严与人格独立”,但在我国宪法上属于一项未列举基本权利,应通过宪法判例“写进”宪法。这一主张遭遇了两种批评:一是批评这“要求宪法法院或宪法裁判空间,并不符合我国当前国情”;二是批评将保护个人信息提高到基本权利的地位“有过度强化个人信息保护之嫌,在与信息自由流通以及信息产业发展间容易产生摩擦”。但这些批评均不成立。一方面,随着合宪性审查工作推进,宪法基本权利不再是空中楼阁,确立个人信息保护基本权利的制度性障碍亦不复存在。另一方面,基本权利不等于绝对权利,不会对个人信息提供毫无限制的保护,也不许诺遗世独立的“鲁滨逊式自由”。因此,当下亟待学理澄清的问题不再是“为何”要确立该项基本权利,而是“如何”确立,具体包括规范依据和概念表达两大任务。
(一)个人信息保护基本权利的规范依据
如何在宪法上安顿个人信息保护基本权利?各国实践遵循两条路径:宪法肯认(Constitutional Entrenchment)和宪法解释(Constitutional Interpretation)。前者是指成文宪法明确写入个人信息保护。目前,全球已有三十多个法域将个人信息保护列为基本权利。最典型的如《欧盟基本权利宪章》第8条和《欧盟运行条约》第16条规定“个人信息受保护权”。
更多国家是以宪法解释将个人信息保护纳入基本权利范围。20世纪60、70年代以来,由于计算机系统和自动化处理的推广,西方国家率先开始关注个人信息保护,但此时其成文宪法已定型,宪法解释成为更优选择,典型代表如美国和德国。1977年的“华伦诉罗伊”案(Whalen v. Roe)中,美国联邦最高法院基于宪法第四修正案,首次确立“信息隐私权”(Right to Informational Privacy),即“个人、团体或机构要求自主决定何时、如何以及在多大程度上向他人传达有关他们的信息”的权利。1983年的“第二人口调查案”判决中,德国联邦宪政法院根据《基本法》第1条第1款的人格尊严条款和第2条第1款的一般人格权条款,推导出个人拥有“信息自决权”(Informationelle Selbstbestimmung),即“有权自己决定何时以及在什么范围内将有关其私人生活的信息传达给他人”,并指出“作为在数据处理的现代条件下自由发展个性的前提,个人必须被保护免受个人数据的无限收集、储存、使用和传递”。
与美、德类似,我国宪法没有明文肯认个人信息保护。那么,能否通过宪法解释将其纳入基本权利?既有研究给出了肯定的答案,但就所依据的宪法条文有三种不同观点:一是《宪法》第33条“国家尊重和保障人权”;二是第38条规定的人的尊严;三是第38条规定的一般人格权。观点一通过把个人信息定义为人权来论证其基本权利属性,有循环论证之嫌。观点二、三的宪法条文依据相同,都是第38条“公民的人格尊严不受侵犯”,但具体解释方案不同。前者基于“人格尊严条款双重规范意义说”,认为该条的“人格尊严”不仅指诸如名誉、肖像等具体权利,也是一种“原则性的概括条款,为此体现了整个人权保障体系的基础性价值”,类似于《德国基本法》第1条规定的“人的尊严”,由此推导出个人信息应受保护。后者则拒绝把第38条类比于《德国基本法》第1条,认为中国宪法上的“人格尊严”是一种“公民作为具有独立意志的主体享有的得到尊重的权利,包括但不限于不受侮辱、诽谤和诬告陷害的人格权”,即宪法上的一般人格权,个人信息受保护是作为一般人格权内容的个人自我决定权之产物。显然,两种观点都认为个人信息保护与尊严、人格相关,差别在于如何解释第38条。但区分该条指向的到底是人的尊严还是一般人格权,对于把个人信息保护纳入我国宪法基本权利而言,意义并不大。这是因为在德国基本法上,人的尊严和一般人格权的主要差异是前者不可干预,而后者可被干预,我国宪法则没有这个差别,因为根据《宪法》第51条,两者都应受公共利益和他人权利限制。因此,在个人信息保护问题上,两种解释方案可以共存互补:人的尊严是个人信息保护的最终价值依归,一般人格权则是其具体权利基础,后者具有中间性(Intermediate)和工具性(Instrumental),目的是为了保障前者。无论采哪种解释方案,个人信息保护都可依据《宪法》第38条纳入基本权利范围。
(二)个人信息保护基本权利的概念表达
如何在概念上表达个人信息保护基本权利?既有研究提出三种方案:个人信息权、个人信息自决/控制权、个人信息受保护权。有学者指出:“个人信息权是指与个人信息收集、使用和处理等相关的权利。”这种界定无疑过于含混,因为不清楚相关权利是个人独有,还是与信息处理者或更多主体分享。有学者进一步把权利主体限于个人,明确个人信息权是“信息主体对其信息享有占有、使用、收益、处分,并防止他人侵害的权利”,这使个人信息权变成个人信息自决/控制权的缩写。如前所言,德国宪法法院就使用了这个概念。然而,个人信息自决/控制权在欧洲早已饱受批判:第一,德国学者指出个人信息保护法不是保护数据主体对其信息自决/控制,而是一种“针对个人信息自动化处理方式给个人人格或财产带来之加害危险的事先防御机制”。之所以如此,是因为个人信息自决/控制“承认一种近似乎所有权的支配权”,“制造个人信息的稀缺性,无疑于禁锢思想,阻吓交流”。第二,欧洲学者敏锐地提醒:“在占有性个人主义大行其道的背景下,在私有财产和市场法则被认为是最有效的权利分配方式的时代,‘信息自决权’日益被解读为在暗示个人对其个人信息具有某种可转让的财产权,即个人信息是个人的财产。然而,‘信息’无法先于其‘表达’或‘披露’存在,而总是以某种方式而被建构出来——逻辑上,个人对与其有关的信息并不拥有某种‘自然’的原始权利。”第三,德国学者称信息自决/控制权为一种“乌托邦”,因为欧盟GDPR针对个人自决/控制创设的例外太多,使之无法成为有意义的原则。但这无可厚非,因为自决/控制本来既不现实,也无必要——个人就其信息如何处理有一定发言权,但不是最终发言权。
正因如此,“个人信息受保护权”(Right to Protection of Personal Data),而非“信息自决/控制权”(Right to Data Self-determination/control),成为欧盟立法的选择。“信息保护”(Datenschutz)一词源于1970年德国黑塞州的信息保护法,这是世界上该领域的首部专门法律,后经1981年欧洲理事会《数据自动化处理的个人保护公约》正式转译为英语中的data protection(法语为protection des données),进入国际法律文本,对欧洲各国的后续立法产生深远影响。比如英国1984年通过的相关法律就命名为《信息保护法案》(Data Protection Act),而非此前在英语世界更为流行的“隐私法案”(例如美国1974年《隐私法案》)。该传统为欧盟1995年数据保护指令、《欧盟基本权利宪章》以及GDPR所延续。相较于“信息自决/控制权”,“个人信息受保护权”一词摈弃了个人独占、控制信息之意味,不以个人信息本身为客体,而是指向个人在信息处理过程中应当获得的保护。具体如何保护,则有赖于国家履行对该项基本权利的保护义务。许多国家宪法明文规定的也正是个人信息受保护权。例如《希腊宪法》第9条规定:“任何人就其个人信息的收集、处理和使用,尤其是通过电子手段为之的,受到法律保护。”《墨西哥宪法》第16条规定:“所有人都享有个人信息受保护以及访问、更正和删除此类信息的权利。”《阿尔及利亚宪法》第46条规定:“所有人在其个人信息被处理时受到保护是法律保障的一项基本权利。”有鉴于此,我国应当采用个人信息受保护权这一概念。
事实上,立法者早已做此选择。如前所言,《民法典》确立了作为民事权利的个人信息受保护权。此外,2013年修改的《消费者权益保护法》第14条规定:“消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利。”2016年《网络安全法》第64条规定:“网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正。”2021年4月公布的《个人信息保护法(草案)》(以下简称“个保法草案”)二审稿第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”此处的“个人信息权益”指的就是“基于个人信息受保护权实现而获得保障的各种相关法益”。这些横跨民法、经济法、行政法等领域的立法不约而同地规定个人信息受保护权,正体现出我国的个人信息保护法律体系是以作为宪法基本权利的个人信息受保护权为概念基础。
