王锡锌:北京大学法学院宪法与行政法研究中心教授,法学博士。
摘 要:个人信息保护之目的并非保护个人对其个人信息的控制性权益,而是为了规制个人信息处理风险,防范与救济个人数据处理与利用活动可能产生的侵害后果。个人信息权益是工具性权利与目的性法益的集合。在内容构成上,个人信息权益体现为三层构造:第一,在宪法维度,基于侵害风险的不同类型,个人信息权益包含了以尊严为核心的基本权利所对应的个人自治、生活安宁、公正对待、信息安全四类法益;第二,在民法维度,个人信息权益包含民法上的隐私、名誉等个人信息关联权益,主要对应的是个人信息处理导致的现实损害;第三,在行政法维度,个人在个人信息处理活动中的权利是国家主导构建的“法秩序”的构成要素,作为国家规制的产物由公共监管积极型塑与保障。相应地,在个人信息保护的手段匹配方面,对个人信息处理风险的规制及对尊严法益的维护,应主要以公共监管与执行机制为中心展开,并在民事实体权益损害现实发生时激活民事责任机制;以此为基础,形成防范各类风险、辐射信息处理全流程、公法和私法多元手段协同的个人信息保护机制。
关键词:个人信息权益;个人信息受保护权;风险规制;个人信息保护法
本文载《现代法学》2021年第5期
一、问题界定
个人信息保护之目的,在于保护与个人信息相关的权益。无论是《民法典》,还是《个人信息保护法》乃至《刑法》中有关个人信息保护的规范,都不可避免地需要链接到一个基本概念问题:什么是“个人信息权益”?界定这一概念的内涵并明确其范围,是个人信息保护法律体系构建与适用的基础。《个人信息保护法》将“保护个人信息权益”置于首要立法目的;第2条又规定“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”这凸显了“个人信息权益”在法律适用与解释中的提纲挈领与原则指引作用,也对“个人信息权益”的界定及适用提出了紧迫要求。
将视野延伸到相关法律,可以观察到,“个人信息权益”在不同法律文本中主要呈现出三种不同的规则表达方式:一是为《个人信息保护法》《民法典》所采取的直接规定“个人信息权益”概念的方式;二是从特定法律中的个人信息保护规定推导出“个人信息权益”的方式。例如,《消费者权益保护法》第14条规定“消费者享有……个人信息依法得到保护的权利”,并在第28-29条中规定经营者处理消费者信息的基本原则,显然这是将“个人信息权益”作为该法所保障“消费者权益”的一部分。又如,《刑法》第253条设立的“侵犯公民个人信息罪”,显然预设了“个人信息权益”这一受刑法保护的法益所在;三是虽没有直接体现保护个人信息的条文,但可从相关制度设计中解读出保障个人信息权益的要求。例如,《数据安全法》第1条规定的立法目的中“保护个人、组织的合法权益”,虽未直接针对个人信息权益,但该法对作为个人信息载体的数据的保护,可以对个人信息实现间接保护。这也表明,个人信息保护涉及个人信息和数据治理语境中具有整合性、交叉性、复杂性的法律现象,无法为某一部门法或单一制度设计所涵括。
目前,学界虽然对个人信息权益概念的内涵、构成等问题已进行了一定的探讨,但这些研究仍存在明显不足。一是对个人信息权益性质定位、内在结构以及内容组成问题仍然争议巨大;个人信息权益可以分解为哪些权益,其中涉及的公法权益与私法权益的关系是什么,需进一步澄清。二是既有研究缺乏将“个人信息权益”与具体的保护机制、保护手段相结合的系统性梳理,对不同保护工具的论证各得一隅;宪法与行政法保护、民法保护、刑法保护等不同方式之间如何统合与协调,尚不清晰。这两个问题本质上相互联系:如果不能明确个人信息权益的概念和内涵,个人信息保护工具的适用也会失去价值指引,进而会造成保护手段与目的的错配。因此,从个人信息保护法的体系构建及制度实践看,形成一个既具有规范统合功能,又可指导个人信息保护法律实践的“个人信息权益”概念,已是个人信息保护法理论和实践的急迫需求。
二、个人信息权益的法律性质
民法学者围绕“个人信息权益”到底是民事“权利”还是“利益”,进行了不少争论。这两类观点主要围绕民法对个人信息的保护强度高低进行论证;但本文所探讨的个人信息权益的法律性质,旨在追问一个更为基本的问题,即:个人信息权益到底是什么性质的权益?具体而言,此处要讨论的关键问题是:自然人的个人信息权益,究竟是按照民事权益逻辑所理解的那样,属于自然人(主体)针对个人信息(客体)所享有的人格权(益),还是一种不同于传统民事权利(益)的新型权利(益)之集合?
(一)个人信息人格权益说及其问题
《民法典》在第四编“人格权编”的第六章“隐私权和个人信息保护”中使用了“个人信息权益”概念。在法解释上,民法学界大多将个人信息权益界定为人格权益的范畴。在个人信息权益的性质与构成上,又存在单层内容说与双层内容说两种不同的解释路径。单层内容说的观点认为,个人信息权益是一种主动性人格权,主要是指对个人信息的支配和自主决定。包括个人信息主体知情、决定、查询、更正、复制、删除等权能在内的个人信息权利束就是个人信息权益的具体内容。在这类观点看来,个人信息权益表现为一种单层的权利结构;保护个人信息权益就是保护个人对个人信息的自主控制、支配与决定。双层内容说的观点认为,个人信息权益是指自然人享有的防止因个人信息被非法收集、泄露、买卖或利用进而导致人身财产权益遭受侵害或人格尊严、个人自由受到损害的利益。也就是说,个人信息是保护其他民事实体权益的手段性权利。此种观点认为应区分民法上自然人对个人信息的自主利益、防御性利益与作为最终保护目的的民法人格权、财产权。为实现对目的性法益的保护,民法需要明确个人的自主控制利益并进行有效保护,即将民法赋权作为保护基础。倘若自然人不能基于自己意思自主地决定个人数据能否被他人收集、储存并利用,亦即行使个人信息权利束中的诸项权利,则个人之人格自由发展与人格尊严就无从谈起。与之相应,个人信息保护规则的构建应当以自然人对个人信息的自主控制利益为中心展开,为自然人既存的包括人格权、财产权等在内的各种其他民事权益建立一道权利保护屏障。这样的话,保障个人信息权益也就形成了“保障个人自主控制、自主决定的人格利益——进而保障其他民事权益(其他人格权、财产权)”的双层内容结构。也有学者明确将个人信息权益构造分为内部构造和对外部其他主体相关权益的支配关系两个部分。个人信息权益的内部构造由“本权权益”与“保护本权权益的权利”构成;与此同时,个人信息权益对处理者和国家机关获得的个人信息数据同时产生外部约束力。不过,这种分析框架主要仍然是在民法框架中对个人信息权益内容进行的展开。
从以上归纳可见,无论是单层内容说还是双层内容说,都将个人信息主体的知情、决定、查询、更正、复制、可携带、删除等权能视为个人人格权益的体现,将个人信息认定为现有民法人格要素之外的新型人格要素,并强调通过民法赋予个人针对个人信息的控制性权利来实现保护个人信息权益的目标。相应地,民法学者认为,个人信息处理者负有尊重个人信息人格权益、不得侵害之义务;个人信息处理规则是围绕个体人格权益展开的规则。在侵权行为上,违反个人信息处理规则侵犯个人在民法上的自主控制利益的行为,就是侵犯人格权益的行为,个人对此可通过司法途径自行维权救济。
将个人信息权利束所指向的法益视为人格权益,这种观点对我国近来个人信息保护的立法与司法实践产生了一定影响。例如,《深圳经济特区数据条例》第3条规定“自然人对载有其个人信息的数据享有法律、行政法规及本条例规定的人格权益”。又如,最高人民法院于2021年8月1日实施的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条将信息处理者违反知情同意、正当必要原则、安全保障等个人信息处理规则的行为,一概视为侵犯个体民法上人格权益的行为。与之相应,在民事司法实践当中,人格权视角下“个人信息控制权”,“个人信息权益的主要内容是权利人对个人信息的支配与自主决定”等表述也开始在裁判文书中出现。
然而,赋予个人对其个人信息的人格权益,将其作为个人信息保护制度尤其是个人信息处理规则的构建起点,并由此确立个人信息保护法的“民法特别法”之立法定位,不仅会造成个人信息保护法内在逻辑的混乱,也会对个人信息保护法律实践带来诸多问题。
首先,从规范逻辑观察,个人信息人格权益说很难清晰界定个人信息处理关系中“个人信息”的法律属性。个人与作为社会事实的个人信息的连接点是:这些信息指向特定个人,因此该信息与个人相关联;但是个人信息虽与个体有关联,却产生于社会主体之间的互动,亦是社会事实之写照,仅依据个人人格权保护的需要,并不能推导出个人对其个人信息都具有控制性的权利。近来,虽然有一些学者敏锐观察到了这一逻辑缺陷,试图通过限定自主控制利益的范围、限度与义务主体来展开回应,然而,这一路径本质上的内在逻辑,仍是透过财产权式的主客体范式来构造赋予某种权利形式的人格利益,因而始终难以摆脱支配权的路径依赖,从而带来高昂的解释与适用成本。总的来说,个人信息权益必须在个体主义的基础上作社会化的理解,而不应成为“为控制而控制”的自由观,更不能被物化为财产观。这需要我们重新厘清个人信息保护的保护目的,并在“自由观”“财产观”之外,超越传统权利主义与私法主义路径依赖,寻找更加匹配的法律观念。
其次,从体系效应来看,个人信息自主控制利益的观念很难完整、系统地解释个人信息保护法体系中的诸多制度设计,具体可从三个方面分析。
第一,个人信息处理规则最初的功能定位,便是国家主导的规制与治理策略。从《民法典》个人信息保护规定的形成源流与定位来看,《民法典》第1035-1038条关于个人信息权利束及其他个人信息处理规则的规定,实际上来源于《网络安全法》第41-43条的规定;《信息安全技术——个人信息安全规范》(GB/T35273-2017)则在此基础上,根据个人信息处理风险产生的可能性,区分不同的内容进行了细化规定。从比较法视角观察,欧盟个人数据保护的核心目的也并非保护个人对其个人数据的控制,而是为了防范个人数据处理活动的风险及可能产生的侵害后果,这就需要公法规制的介入,其理念可以理解为“全面预防”。例如,欧盟《一般数据保护条例》(即General Data Protection Regulation,下文简称GDPR)在多个场合明确提到“对自然人权利和自由的风险”。又如,欧洲理事会早在1989年出台的《关于保护用于就职目的的个人数据的第(89)2号建议》便明确将数据保护视为通过创设一系列原则来减轻这一数据处理方式对权利和自由带来的风险。可以说,欧盟对个人数据保护的初始认知和目的,是防范新型处理技术和广泛的信息处理活动给个人尊严和自由带来的风险;因此便需要国家提供积极保护,通过设定处理规则,建构一套保护性的法秩序,来防范信息处理过程中的诸多风险,从而使个人权益获得保护。这种风险规制手段显然并不是民法人格保护所派生的产物。
第二,根据我国《个人信息保护法》的规定,即便个人信息处理过程完全符合个人的意愿和预期,个人信息处理者仍需履行常态化的风险评估、采取安全技术措施、自动化决策前的影响评估等义务,这很难在人格权视角下得到整全阐释。个人信息人格权益的观点很难完整地引导、推演这些制度和保护规则的功能。
第三,在侵犯个人信息的刑事责任方面,我国刑法经由《刑法修正案(七)》与《刑法修正案(九)》设置了侵犯公民个人信息罪。如果将个人对其信息的自主控制利益理解为该罪名设置所保护的人格法益,将面临以下质疑:一是侵犯公民个人信息罪最高法定刑为七年,远高于具备更明确权利基础的侮辱罪、诽谤罪、侵犯通信自由罪等罪名,为何要赋予自主控制利益如此高的保护强度?二是侵犯公民个人信息罪的立法目的即在于打击关联性犯罪,抑制住侵犯公民个人信息下游犯罪的源头。在这个意义上,人格权视角难以打通上游的侵犯公民个人信息罪所保护法益,与下游盗窃罪、诈骗罪、伪造证件罪等罪名所保护的多元法益之间的逻辑关系,无法充分解释刑法进行安全风险规制的功能。
最后,从制度功能来看,将个人其信息的控制作为制度设计的基点与主线,未必有利于实现保护个人权益的效果。面对强大的信息处理者,将个人形式上的同意、决定置于制度设计与法益保护的中心,不仅无法有效保护信息隐私,甚至可能增加个人信息被处理的频率和程度,在结果上引致个人相关权益受到损害。即便寄希望于理想情况下设置规则对个人进行倾斜保护、优化程序设计、进而充分实现信息自治,也很难单凭个人的选择自由实现对信息处理风险的全方位控制。在一般情形下,个人的知情、决定,仅表明“我知道你在使用我的数据”,而非“我充分判断了处理收益和风险并愿意接受”。在保护机制的适用上,如果将个人自主控制作为个人信息权益的核心,在个人信息权益保护机制上,必然指向市场化的、分散的、主要依赖司法的私人执行机制。这种私人执行机制无法有效应对高度组织化、大规模化、普遍化的信息处理活动所带来的风险,因此很难真正有效地保护个人信息权益。
(二)保障个人信息权益的价值目标
个人信息人格权益说所面临的问题,本质上源于该种主张在逻辑上没有厘清个人信息保护法体系所指向的究竟是何种法益,也没有明确保障个人信息权益的价值目标,只是从纯粹的民事权益视角出发来定位个人信息保护的权利基础。为何要保护个人信息?在现代社会大规模、持续化个人信息处理的活动中,个人面临各种权益受侵害的风险。这种风险并非个人仅依靠分散化、个体化的决策与判断便能进行有效控制。因此,寄希望于确立民法上自主控制、自主决定的人格权益,并通过私人维权机制进行保障,从而避免个人信息处理行为对目的性法益造成损害的保护机制,在很大程度上只是一种个人信息保护的“乌托邦”设想。
如果将视角聚焦到个人在个人信息处理过程中可能遭受到的侵害风险,那么,防控风险才是核心任务。面对这一任务,个人对信息的自主控制并不是个人信息保护的充分条件,更不是价值目标。换句话说,对个人的“赋权”及其他保护手段,只是实现最终目的的工具。在既有研究中,已经有学者意识到了这一点,例如,丁晓东指出,通过个人信息这样一个工具和抓手,法律可以对个人信息所承载的相关权益进行较为全面的保护。梅夏英指出,个人信息本身并不存在问题,而是因为现代电子系统大规模的收集、利用和流通造成了信息泄露和滥用,个人信息保护的立法目的正在于有效地阻止个人信息被非法滥用。不过,理论界虽对个人信息的工具性、媒介性质有所关注,也强调通过个人信息这一抓手防范风险,保护个人的相关重要权益,但对于个人信息权益究竟应定位在何种保护框架内、具备怎样的权益结构等问题,还缺乏系统性的阐释。具有代表性的民法学界的“双层内容说”虽然注意到了个人信息相关权益中,有些权益是手段性、工具性的,有些权益是目的性的,但“个人信息自主控制利益——因个人信息滥用而受损的民事权益”的框架,对于回应个人信息保护的系统性问题而言仍存在逻辑上的局限性。
在信息化时代,个人信息处理活动所带来的风险既具有“个体性”,更具有“公共性”。例如,个人信息的社会性、信息的流通利用、信息安全等因素,所指向的不仅仅是个体性利益,而是具有极强的公共性色彩。在这种背景下,保障个人信息权益的价值目标并不仅仅是为个人提供事后的自我保护与维权机制,而应由国家提供预防性、前置性的法益保护屏障,并积极对个人信息相关权益的保护程度进行担保,综合运用国家规制与个人参与的机制,展开对个人信息上实体权益的保障。具体可从以下三个方面展开分析。
第一,从保护目的角度来看,个人信息权益是通过国家设置的前置保护规范而获得保障的法益,是前置保护规范进行预防性保护的对象。在数字时代,对个人信息的侵害风险往往造成对多种价值的破坏,是一种系统性、综合性的、超越个人控制范围的公共风险。个人信息被滥用、信息安全问题已使得这一领域的私人自治丧失了谈判基础与博弈平台,几乎所有个体都暴露在个人信息侵害风险当中。为此,国家需要运用以法律为中心的多种手段和工具,在个人信息处理与利用的全流程中,持续性地对个人信息处理活动中的各种风险进行有效控制,进而防止数据处理的损害后果。可以说,个人信息处理规则便是为应对大规模侵害风险而产生的一套公法上的强行性、预防性保护规则。例如,美国政府部门在20世纪70年代的研究报告中便指出,要建立更为广泛的预防性法律框架,来避免大规模、普遍性的个人数据处理过程中带来的对隐私权、公民自由与正当程序权利带来的影响。这套个人信息处理规则所预设的前提其实是,当信息处理者并未完全遵守信息处理合规义务时,处理过程对给信息主体的“权利、自由或利益可能造成负面影响”;并且,信息处理者的合规程度越低,给信息主体的基本权利造成损害的风险就越高。信息处理者有责任避免采用任何损害有关个人实体权利或利益的数据处理方法,有责任对失衡关系和秩序进行矫正。相较于个人控制视角,在风险视角下,风险控制的目标在于将技术和产业的发展与其可能产生的危害隔离开来,在个人信息保护中不仅关照对个人信息损害后果的控制,还要兼顾数据利用价值的开发。因而,风险规制框架可以更清楚地展现手段—目的之间的关系,有利于塑造国家的规制理性及提升规制效果。
第二,从保护水平角度来看,个人信息法益的安顿和保护,是一种国家担保下的结果保障。自主控制利益的人格权视角,看似强化了个人的角色,却没有为风险防范的实效与危害结果的避免提供有效担保。实际上,个人信息指向信息主体在个人信息处理行为中应得到的保护,但这并不是一种对个人控制资格和控制状态的保护,而是对有效控制风险与避免危害结果的担保。应该看到,在新形态的社会权力结构下,私权保护所预设的自由市场的经济理性、交易机制与市民伦理的机制,很大程度上已遭遇“保护失灵”的困境。现实中,对个人信息的侵害行为,往往具有累积性、间接性与结构性三个特征,个人往往缺乏足够的能力来预测、判断、控制信息处理行为可能带来的损害。这便要求立法者从过程导向或资格导向转向一种“结果导向”的制度设计。这种“结果导向”的保护,要求国家积极对个人信息处理的广度和深度进行调控,运用一组规制策略来应对信息化时代人的生存困境,保护人格和自由的全面发展。
第三,从保护的理念与方式看,国家对个人信息权益的保护并不意味着国家对个人信息处理秩序进行完全的控制和管理,而是积极彰显个人的角色与作用,在立法中赋予个人在个人信息处理活动中的权利,从而在公共监管的规制网络中形成国家保护与个人参与的协力。这一“个人信息权利束”对个人信息相关的实体权益的保障具有工具价值,前者与后者共同构成了个人信息权益。因此,个人信息权益具有复合的法律性质,既包括了国家规制网络中,个人信息权利束所蕴含的知情、参与、发言等工具性、程序性的利益或价值;也囊括了个人信息上承载的、可能在个人信息处理中遭受侵害的、需要国家预防保护与担保的相关实体性、目的性权益,下文将对此展开讨论。
三、个人信息权益的内容构成
前述分析表明,个人信息保护并非是保护个人对其个人信息的控制性人格权益,而是为了规制个人信息处理风险,防范与救济个人数据处理与利用活动可能产生的侵害。明晰了个人信息保护法律体系保障个人信息权益的价值目标后,可以从三个维度进一步界定个人信息权益的内容构成及相应的权益类型:第一,从风险预防的角度,分析大规模、公共性的个人信息处理风险的具体种类及其对应的法益保护类型,明晰规制个人信息处理风险所需要考量的宪法法益;第二,从风险现实化、损害结果实际发生的角度,分析特定个人遭遇现实损害时对应的民事实体权益类型,这也是民事侵权机制所直接指向的法益;第三,从制衡个人信息处理者,保护目的性、实体性权益的角度看,国家赋予了个人对抗信息处理者的手段性的权利工具——即个人信息权利束,这是通过国家规制而形成的法秩序中个人所拥有的行政法上的权利。从上述宪法维度、民法维度和行政法维度分析个人信息权益的构成,有利于对个人信息权益的内涵形成整全、体系、精确的理解。
(一)宪法维度:基于风险种类的法益类型
个人信息主体受保护的利益,与个人信息的侵害风险存在内在关联。针对潜在的侵害风险源展开规制时,国家保护所指向的个人信息主体权益有哪些类型?按照这一分析进路,下文结合个人信息处理中的侵害风险,从风险规制角度对个人信息相关权益进行界分。
前文分析已指出,在数字时代,个人信息处理风险并非完全属于个体化风险,而是具有公共维度,其对应的权益结构无法实现完全的私人化,需要从公共维度进行考量。从本质上讲,个人信息处理的“公共风险”,所威胁的价值主要是“个人的尊严以及群体和整个社会的尊严”。在个人信息处理风险下,尊严具有集体价值(collective value)属性,需要在共同体视角下展开保障。基于尊严所联结的基本权利的客观价值秩序面向,国家需要通过积极保护,支援公民对抗大规模个人信息处理中尊严减损的风险。《个人信息保护法》在三审稿中增加“根据宪法,制定本法”的规定,其核心关怀也正是在于“制定与实施本法对于保障公民的人格尊严与其他权益具有重要意义”。
在价值论上,公民在宪法上的人格尊严减损的风险,所对应的价值与法益类型主要表现在四个方面:一是免于支配的价值及其对应的个人自治法益;二是免于歧视与错误评判的价值及其对应的获得公正对待的法益;三是免于冒犯与窥探的价值及其对应的生活安宁法益;四是免于恐惧的价值及其对应的信息安全法益。这些权益只有在与之对应的具体风险中才可得到明确的界分。
1. 个人自治的法益
保障个体的个人信息权益,首要目标是对抗来自信息处理者的支配风险。与这种侵害风险相对应的就是个人独立性、主体性的自治法益。何为支配风险?在个人信息处理场景中,支配风险主要表现为:数据采集、集聚、挖掘与交易利用等过程中,信息处理者与个人之间所存在的高度不对称权力结构。数据处理者拥有事实上的“数据权力”(data power),这种数据权力对个人造成结构性的压迫,而个人信息处理过程中大量技术性的操作或黑箱程序,进一步加剧了个人面对数据权力的无力感。在这种结构中,个人的知情权、决定权很可能流于形式,取而代之的是“被决定”“被隐瞒”“被操纵”的现实状态,这种状态在相当程度上对个人在宪法上的人格尊严构成巨大而明显的威胁。例如,被迫执行不愿执行的操作、无法选择接受信息的类别,被蓄意推送影响价值观的信息等,都会令个人自主选择的可能性受到大幅度挤压。由此,最终导致的结果是,一方面是公民的人格无法得到充分的自我决定与发展;另一方面,分享、参与和表达的行为空间受到挤压。此时,明确个人自治法益,保护个体数字人格和主体性,对于彰显与保护数字化时代自由和自主的公民人格具有战略性的价值,能够“肯定人对自我生活反思、选择与评价的理性能力”,避免公民被工具化和客体化。
2. 生活安宁的法益
个人信息处理者的处理活动还可能带来针对个人的窥探风险,侵害公民的私人生活和安宁。信息社会普遍发生的现象是,个人信息处理者可以通过运行算法或分析工具的挖掘预测,揭示出个人行为事实、社会关系网络、个人偏好和身份特性等,并通过精准推送、短信推销等“信息喂养”等方式侵扰私人生活;同时,监控(Surveillance)技术使得个人信息处理者可以通过自动化监测技术实现数据聚合,在此基础上的数据整合挖掘则可能导致公民成为“透明人”,丧失防御社会系统与外部主体凝视的阻隔空间。个人信息的不当公开、披露等情形,加剧了外部世界对个人内心世界不断入侵和窥探这一令人焦虑的态势。
3. 获得公正对待的法益
个人信息作为个人与社会联结的符号标志与事实写照,往往会被用于对个体的分类、筛选、判别与评价。因而,在个人信息保护中,还需面对的一项重大风险就是被歧视与被错误认知或评判的风险。对应于宪法性法益,尊严作为宪法价值要求社会中的个人应当受到平等对待,并得到其所应得的评价与待遇,这就是获得公正对待的法益。这主要表现在两个方面:一是个人不因外在因素而被不合理地分类对待,其依据是宪法上的平等权规范。通过对每个用户进行数据画像,信息处理者在商务领域可能采取个性化定价、价格歧视、大数据杀熟,因而侵害用户获得平等对待的权益,并可能导致个人财产利益损失的衍生风险;在教育、就业、社会保障领域,信息处理者及采用信息处理结果的各类相关主体也可能基于信息的筛选采取各类歧视措施,侵害个人的劳动权、受教育权等基本权利。因此,国家需要采取措施防止个人在信息处理中被污名化、遭遇不合理差别对待的风险。二是个人不因信息错误或处理方法缺陷而遭到不公正的识别、判断与对待。个人数据处理的准确性是公平、合理地处理个人信息的基础;身份识别的正确与完整对个人而言至关重要,错误的数据可能会在后续处理中导致错误的识别、判断与归类,进而减少个人的福祉与便利,增加各种不利于个人的风险。这类错误认知与判断的风险一方面可能来自信息处理者的疏失或某项客观原因,例如,收集存储的大量个人数据不完整或者已经过时、分析程序存在客观缺陷,其所得出的结论就不能正确反映数据主体的真实身份特性,导致用户群体的数字化人格与现实人格不符。另一方面,信息处理者可能出于某种公共目的(如运用声誉工具)或营利目的(如促进用户交流)而积极主动地进行“人格画像”,设定个人的“数字身份”。因此,防止个人在自我形象的构建与呈现中遭受不合理的限制,防止个人被片面地、错误地界定,从而导致其身份、人格被误判后遭受社会系统方方面面的误读、侵扰与损害,是一项重要的宪法性权益。《个人信息保护法》第8条规定:“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”此处的“个人权益”即表明个人信息的质量保证对应的是个人受到公正对待的宪法法益。
4. 信息安全的法益
信息安全是个人信息保护的应有之义。大数据时代,个人信息处理活动的疏失、信息泄露等安全风险及衍生损害亦不断加剧,已经成为数字化时代中个人内心不安和焦虑的根源。在这一背景中,基于国家对公民人身和财产的安全保护义务(如我国《宪法》第33条第4款对公民生命和健康的保护、第37条对人身自由的保护、第39条对住宅权的保护等),要求国家积极保障个人信息安全法益。例如,《个人信息保护法》第9条规定:“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。”这反映了国家通过设定信息处理者的行为模式,从而落实对公民安全的保护义务。具体而言,个人信息安全法益所遭受的风险主要可分为以下两种类型。
一是疏忽导致的安全风险。信息处理者正当处理信息的情景中,需要防范因疏忽而导致信息泄露、系统破坏等信息安全风险。此时个人信息所预设的是“可被处理”,具有正当利用之目的,但信息处理者负有安全保障义务,保护个人信息在存储、运营和利用过程中的客观上的状态安全。例如,当含有巨量个人敏感数据的数据集被泄露,其波及的受害者范围可成千万计,随之发生的身份盗窃与人身伤害等问题所造成的严重影响也不可估量。
二是破坏导致的安全风险。这指向的场景是信息处理者基于不正当目的,非法利用个人信息,造成对个人信息安全的破坏。此时预设的前提是信息“不应被处理”(主要是收集、提供、公开),因为个人信息有可能被用于危害个人的人身安全和财产安全,侵害个人的安全利益。在实践中,非法流通的相关信息往往不受控制地进入各类网络黑灰产业链,大量个人很容易陷入“量身定制”的圈套,人身安全和财产安全等利益极易受到侵害或威胁。在这一方面,国家需要积极保护人们对个人信息安全制度的信赖,避免个人信息安全事件给社会带来安全和信任恐慌。
5. 小结:个人信息权益的宪法维度
这四种类型的与公民尊严相联结的法益展示了个人信息权益的宪法维度。这些权益并非静态的、固定化的;由于个人信息处理风险的规模性、持续性与延展性,这些法益具有公共性、动态性、外溢性特征。例如,人格画像、对个人心理的窥探及在此基础上的针对个人的“自动化决策”,涉及《宪法》第38条人格尊严条款所指向的个人自治与生活安宁法益;若将个人数据用于通信目的,对通讯信息的侵犯则涉及《宪法》第40条通信自由与通信秘密条款;对个人生物信息、位置信息的侵犯涉及《宪法》第37条人身自由条款和第39条住宅自由条款;个人信息处理引发的歧视与不公正对待涉及《宪法》第32条第2款平等权条款等。这些宪法性法益的类型化分析,有助于我们认识“个人信息权益”的宪法基础;不难发现,主张“如果民法典不对个人信息的保护作出规定,那么无论是行政法对个人信息的规制,还是刑法对侵害个人信息行为的处罚,都将因此缺乏民事权益上的正当性基础与民事基本法的依据”的观点,实际上忽略了宪法法益的根本及其价值引领作用。
整体而言,对这些个人信息处理风险所指向的实体性权益的保障,可以通过宪法上的“个人信息受保护权”得到统摄。在规范依据上,以我国《宪法》上第38条规定的人格尊严为中心,可推导出“个人信息受保护权”这一宪法权利,并通过联结平等权、人权条款、人身自由、住宅、通信、社会经济文化权利等个人信息处理中涉及的基本权利,与后者发生更大范围的价值关联,使国家能够充分支援公民抵御诸多个人信息侵害风险,最大限度地实现保障上述相关宪法权益的目标。在这个意义上,相较于其他基本权利而言,个人信息受保护权联结了宪法规范中的多种权益,难以为单一基本权利范畴所涵盖。
(二)民法维度:现实损害对应的实体权益
上文从侵害风险防范角度分析了个人信息权益的在宪法维度上的法益。为了明晰个人信息权益作为法益集合的内涵构成与多元维度展开,还需要从损害后果角度对个人信息权益内容进行分析。如果个人信息处理活动中的侵害风险(risk)成为现实危险(danger)并导致损害(damage),便形成了确定的私人权益损害,即个人信息上所承载的人格、财产等民事实体法益的损害。换言之,宪法上国家对以尊严核心的基本权利的保护,在直接激活风险规制机制的同时也投射到了民法的相关规定中,即在事后环节激活了相关民事实体权益的救济机制。具体而言,个人信息有关的民事实体法益可分为以下类型。
一是隐私权。通过数据挖掘,数据处理可以描绘个人的人格画像,并进行信息自动化推送和“饲喂”,例如骚扰短信、定向推送广告和新闻,这些都是对个人私密领域和内心世界侵入的表现。即使没有运用数据挖掘技术,一些个人性较强、可以直接识别个人或者公开后会对个人造成不利影响的私密个人信息和敏感个人信息,比如健康、医疗信息等,如果不当公开,也会造成对隐私权的侵害。司法实践也表明,这些个人信息的披露、使用等行为是否构成侵犯隐私权,应当视行为人对这些信息的取得方式、披露方式、披露范围、披露目的及披露后果等因素综合认定。”
二是名誉权及相关标识型的人格权益。这主要是由系统性的歧视与错误认知风险最终现实化所导致。如果个人在信息处理后被标签化、人为分类或被不当标识,往往导致名誉、信誉及相关人格权益的损害。例如,如果关于个人的信息不准确,或者信息处理者利用自动化分析工具进行了错误处理,都可能损害个人的名誉(例如,被归入到信用较低的群体、被归入到某类平台自主划分的负面标签并得到传播);即使未达到名誉侵权的程度,也往往会妨害个人对外的自我呈现与社会交往,对其标识自我的人格利益产生侵害。
同时,上述隐私、名誉等人格权益的损害往往也会带来衍生的个体财产损失。例如,个人征信中心将错误的个人不良信用记录传递给金融机构,则可能使当事人失去本可以获得的商业机会;将错误的人格特征与个人特点传递给雇主,可能使当事人失去相关的薪酬乃至工作机会。又如,个人信息处理者通过数据挖掘了解消费者的性格特征与心理弱点,对消费者实施欺诈或者剥削,“大数据杀熟”就是一例。
三是人身安全与财产安全。例如,如果个人信息储存者未尽到信息安全义务,泄漏了个人信息,可能为犯罪分子对该当事人实施诈骗等提供了便利,引发金融欺诈,账务盗刷的财产安全损害;在极少数情况下,由于数据保护的不足,也可能会发生人身伤害,例如跟踪、窃听及后续人身犯罪。这些下游违法犯罪活动带来的人身财产安全损失,既可能激活刑事制裁机制,也会引发民法上生命权、健康权、人身自由等权益所对应的损害赔偿责任。
至于个人信息之上是否承载了信息主体积极的经济利益、商业利益,这部分利益是否可以被纳入个人信息权益的框架,目前仍存在一定的模糊性。从比较法经验观察,个人虽然可以在部分个人信息处理活动中分享个人信息的商业利用价值,例如,美国在将经济激励机制作为同意的促成机制时,数据处理者需要积极地向用户支付对价、允许用户更多分享数据利用所产生收益与便利,在此基础上才可以适当突破最小必要原则、在风险预防上适当放松。不过,这种利益仍只是有限的和局部的,个人信息权益的界定与保障,主要仍是服务于风险规制的需求和对目的性法益保障的需要。以此为前提,个人与信息处理者可以在法律允许的动态范围与权衡空间内,依照特定的形式分享收益、调控风险幅度,促进处理风险防范与利用收益分配的均衡。因此,我们也不应采用单一权属视角,把个人信息直接当作个人实体权利的客体进而界定个人数据的权属。目前,由个人信息权利束乃至整套个人信息处理规则的设定,并不能推导出个人信息归属上的“所有权”“占有权”或“支配权”等私法权利,《民法典》《个人信息保护法》也未规定个人信息上是否承载了个人享有的经济与商业利益。对于这一类型利益的界定与规范方式,仍有待实践和理论的进一步展开。
(三)行政法维度:行政法秩序下的权利束
个人信息权益不仅包含宪法维度与民法维度的目的性、实体性的权益,还囊括了在个人信息处理过程中发挥制衡功能的、作为保护手段的个人信息权利束。从功能上看,这些权利有助于强化个人的发言与参与,对信息处理者形成制衡,使数据处理者可持续地、合乎道德(即保障个体尊严)地使用数据,因此具有工具价值。从性质上看,个人信息权利束虽然对于目的性权益的保障具有工具价值,但其本身却并不是民法上的人格权益,而是基于国家规制与积极保护而派生的行政法上的权利。例如,即便是诸多学者援引的自主决定、自主控制为中心的“信息自决权”的发源地——德国法上,包括个人信息权利束在内的个人信息保护规则也被视为其他法益的前置性规范,本身并不是私法上的一类人格权规范。世界最早的个人数据保护立法——德国黑塞州的《个人数据保护法》在第1条第2款明确,数据保护的目的在于防卫国家的宪制体制被自动化数据处理技术带来的风险所侵害。从功能主义的角度观察,公法上发展出“信息自决”恰恰体现的是对于国家操控信息的风险的体察。这既然是对风险的考察,也就体现出,这些个人信息权利束背后潜在的逻辑是功用主义的(以国家主导的风险控制为中心)而非目的主义(以个人基于人格的自主决定为中心)的。包括个人信息权利束在内的个人信息处理规则实际上是国家建构的一套“法秩序”,而不是民法人格权派生的产物。相应地,个人信息权利束的内涵型塑与效力保障,依靠的是监管部门积极履行保护职责,从个人信息处理的规范源头完善“游戏规则”并“巡逻执法”。作为行政法上的权利,如果个人信息处理者的处理活动违反了权利束对应的规则要求,也将直接激活行政处罚等行政法上的法律责任机制。
此处还需要回应的是,前述宪法上的实体价值与法益,与作为工具性、手段性权益的个人信息权利束之间是什么关系?从公法秩序维护的角度,个人信息权利束作为个人信息处理规则的组成部分,同时也是国家的重要规制策略。以权利束为抓手,可以通过公共监管机制的落实持续性风险规制的作用,进而保障宪法上的相关实体法益。也就是说,宪法法益对应的侵害风险,激活的是行政法上的监管机制,监管者在履行保护职责的过程中应以宪法上以尊严为核心的相关基本权利作为法益考量因素,运用包括权利束在内的相应规制手段实现对个人信息侵害风险的防范,促进和保障宪法法益的实现。同时,这样也有助于避免现实损害的发生,对个人信息上承载的民事权益进行间接的保护。
不过,面向不同的宪法法益与风险防范需求,作为工具性权利的个人信息权利束,其配置方式与相应“合规义务”的设定,也应有所侧重。第一,个人自治是最基础、最根本的法益,对这一法益的维护,要求个人信息权利束中的每一项权能都得到有效落实、强化个人对信息处理者的全方位制衡,尤其是在企业隐私政策的源头层面便通过良性的公法规制实现高质量、可操作的权利设定与保障。第二,就生活安宁法益而言,基于防止侵入与窥探的必要性,应突出信息个人在知情基础上撤回同意权、限制处理权、删除权等积极性、进攻性权能的行使。第三,对于公正对待的法益,则更应强调个人充分“知情”与“发言”。也就是说,信息处理者利用个人信息对特定个人进行画像,应充分保障个人的知情和参与,以促进信息对称,即“他知”与“自知”的一致性。这应当强调知情权、查询权、更正权、异议权以及自动化决策中的要求说明权与拒绝权的行使与保障。第四,针对信息安全法益,基于现代社会信息安全风险的严重性,且个人干预和介入面临技术和资源的限制,对这类重大且根本的法益的保护,主要依赖国家的其他规制手段。例如,强调监管机构全环节的检查、监督与指引,确保信息处理者实施适当的技术和组织措施,以保护个人数据免受意外或非法破坏或意外损失、更改、未经授权的披露或访问;对于信息处理者故意造成的安全破坏风险,则更加强源头治理及预防,并引入刑事制裁工具进行威慑。
行文至此,可以发现:个人信息权益这一法律概念具有丰富的内涵,广泛的外延,包含了个人信息上所承载的多层次、多类型的法益。个人信息权益呈现出一种概括性、框架性、集合性权益结构。在对个人信息权益的保障中,事前的风险规制是个人信息保护的核心任务,而风险规制主要由国家通过规制策略而展开,在这一方面,民法保护逻辑和框架力有不逮。个人信息权益不只是民事权益,而是目的——手段相结合的、具有多元多层级构造的权益集合。从目的性法益角度看,个人信息权益既包括风险预防层面宪法上公民尊严相关的权益,也包括损害救济层面隐私权、名誉权、财产权等民事法益;从手段性法益角度看,《个人信息保护法》所规定的“个人在个人信息处理活动中的权利”这一概念,即“个人信息权利束”,主要是国家落实个人信息积极保护义务对个人进行赋权的产物。“个人信息权利束”既是个人信息实体性法益的保护手段,也是“个人信息权益”的内容,是一种工具性、程序性的行政法权利。
四、个人信息权益的保护工具匹配
既然个人信息权益由宪法权益、民法权益、行政法权利等不同类型、不同维度的权益构成,对个人信息权益的保护,自然也需要不同的工具和手段,以实现目标——手段的有效匹配。不同的保护手段如何分工协作?从个人信息国家保护义务视角来看,这涉及公共监管部门、刑事制裁部门、民事审判部门等不同国家机关之间如何在立法引领下履行积极保护义务,分别运用不同保护工具,更好地分工合作、相互配合,实现个人信息权益保护的问题。
对上述保护手段的分工协作问题,本文从两个方面展开分析:第一,根据个人信息权益的内涵与类型,从功能最适的角度,匹配风险防范或损害救济所对应的保护工具。第二,从法解释与法律适用维度,个人信息保护相关的不同法律规范应按照功能匹配逻辑而展开适用。
(一)风险规制与损害救济的工具匹配
个人信息权益的保护工具匹配,核心是处理民法手段与行政法监管、刑法手段等公法手段之间的关系问题。这本质上也就是私人维权诉讼对应的私人执行(Private Enforcement)与公共监管与刑事制裁部门等采用的公共执行(Public Enforcement)机制间的协调问题。
对于事后发生的现实损害,由于其对应的是个体化、确定的民法实体权益的侵害,因而这些隐私、名誉、人格、财产等民事权益的损害,可直接激活民事诉讼机制,并根据受损害权益的具体定性,匹配《民法典》规定的人格权请求权、侵权责任承担等救济机制。
难点在于,对事先事中的个人信息处理活动违反“合规”要求的行为,是否应当引入民事诉讼机制?一些民法学者主张,为调动个人对其个人信息进行主动保护的积极性,通过人格权请求权与司法救济纠偏信息处理行为、恢复自身权益。但问题是:能否在个人信息处理关系中全环节引入私人执行机制,从而对应地在民法人格权体系中建构某种新型权益?若是这样,私人执行机制与我国《个人信息保护法》规定的对违规处理行为采取的高额罚款、责令改正等公法执行机制应如何协同?
将违反个人信息处理规则的行为等同于直接侵犯民法人格权益的行为,进而引入私人执行机制,在个人信息保护法制尚未完善、公共监管机制尚未健全的阶段,或可起到一定积极作用。但在逻辑上,这种做法将“个人在个人信息处理活动中的权利”直接视为民法人格权益,但却无法在民法框架中进行有效论证。私人执行机制应针对民事实体权益的损失及危害而展开,但个人信息处理规则本质上是国家建立的一套公法秩序,应主要通过监管和公共执行机制予以保障和纠偏。
现代社会的个人信息处理行为都是大规模、系统化、持续性的活动,因而,在规范设定的逻辑上,个人信息处理规则是针对“公共风险”的一套强行性规范,目的是保障具有公共性、社会性、关乎共同体基本价值秩序的宪法尊严法益。对违反个人信息处理规则,可能对诸多个体权益造成“系统性风险”的处理活动的纠偏,本质上是对国家建构的“法秩序”之维护。然而,私人执行与民法救济是围绕个人偏好和个体损失而设计的机制,具有分散化、个别化、差异化的特点,很难与维护个人信息处理秩序的系统性目标相匹配。关于这一点,个人信息处理的比较法相关经验也可佐证。例如,在欧盟,对个人数据处理活动的监管和执法,并不一定要证明数据处理者对私人生活的侵犯,其本身聚焦的是法秩序维护之目标,并不依赖于民事侵权体系。对非法处理个人数据的行为,也不能直接认定为对个体人格权造成损害的行为。代表德国政府参与欧盟GDPR立法的权威学者温弗里德·弗埃尔(Winfried Veil)亦明确指出,民法保护只适用于实际发生的权利侵犯或损害。在美国,既有的与信息隐私私人救济相关的裁判案例表明,仅仅有违反信息隐私规则的事实,并不足以证明个人具备诉讼主体资格;个人仍需证明因此受到“事实上的伤害”(injury in fact)。这背后的逻辑正在于:私人执行机制取决与个体自身的偏好及因人而异的利益考量;而对个人信息处理“法秩序”的维护,超越了当事人双方的损益权衡,涉及到社会结构性问题和对“数据权力”的控制,故应由专门负责公共执行的机构通过专业优势,确定社会最优规制标准,作出合理的公法制裁和纠偏行动。
相比较而言,在侵害风险并未现实化并产生损害后果之前,受限于个体不同的判断能力及利益偏好,民法的侵权责任机制并不能很好地发挥应对公共性问题的风险规制功能。只有当危害后果迫在眉睫或已经产生了实际损失时,围绕民事实体权益而展开的民事责任与请求权机制方能有效发挥作用。例如,在有明显证据表明数据处理行为将对隐私及其他人格权益造成重大损害时,适用人格权禁令、排除妨碍等防御机制;在信息主体遭受财产损失时请求判令停止侵害、赔偿损失、消除影响等,这些工具恰能与私人执行机制的双方对抗、自主权衡、损益自担的特点相匹配。同时,面对实际损害举证困难的问题,国家可针对个人进行倾向保护,如采取举证责任倾斜分配机制、对利益损失进行宽松化认定等。
综上,对个人信息处理活动中侵害风险的规制及对宪法尊严法益的维护,应以公共执行机制为中心展开;在事后的损害现实发生时,再相应地激活民法上的侵权责任机制。立足现实与本土,从个人信息保护制度实践的长期效应看,我国个人信息监管制度正处于关键的发展与完善阶段,过度前置化的、以私人执行为中心的私法救济机制,与个人信息保护的公共监管和执行机制有叠床架屋之虞,也会导致两种机制的适用冲突,甚至造成两种保护工具的适用错位。如果仅仅把个人信息权利束视为个体人格权益,将违反处理规则的行为等同于民事侵权行为,进而将民事侵权诉讼置于保护手段的核心,这将抑制与挤压正在构建的数据监管体系。与此同时,民事裁判与公法监管工具竞争甚至冲突,将带来数据治理策略的分裂,侵蚀行政监管的专业优势、执法能力与效率优势,最终不利于对个人信息权益的保护。
最后,还需要厘清刑法上的刑事制裁手段与行政监管、民事救济之间的关系。实际上,刑事制裁机制的适用,主要考虑的是法益侵害风险大小和危害后果。刑法的适用范围划定不是以调整领域为依据,而是以调整手段的妥适性为依据。“刑法以保护其他手段所不能保护的法益为目的。”在法益的正当性证立后,必须判断刑罚是不是达到合理目的的手段。这是比例原则中的适当性原则在刑事立法中的运用。一方面,在事前预防的宪法法益层面,刑法针对具备严重外溢性、公共性的个人信息侵害风险展开规制。因此,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),只有侵犯不同敏感程度的公民个人信息分别达到一定数量,或者违法所得五千元以上,亦或是提供特定类型信息被用于犯罪的,才达到本罪构成要件中“情节严重”的规定,这充分考量了侵犯个人信息的用途与风险大小。另一方面,在事后的民事权益救济与行为惩戒层面,如果个案中的现实损害还涉及个体的人身财产安全等重大法益的损害,如诈骗、冒用身份、人身伤害等,则还会激活治安管理处罚以及刑事制裁等强制性的公法制裁机制。
(二)基于保护工具匹配的法律适用逻辑
在以上分析基础上,笔者尝试结合具体法律文本的规则表达,对不同法律保护“个人信息权益”的方式侧重及其所对应的法律适用逻辑进行探讨。
首先,《个人信息保护法》第一条将“保障个人信息权益”作为立法目的之一。该法对个人信息权益的保护思路,主要是通过设立基本的个人信息处理规则、赋予个人在个人信息处理活动中的权利、设定行政监管机制,并联结各类执行机制与法律责任,从而对个人信息处理所涉及的个人自治、生活安宁、公正对待以及信息安全法益进行系统性的保护。由于个人信息处理规则主要是风险规制下的概念,对处理规则应从处理活动风险的角度进行理解与适用。例如,转变从形式上理解“目的限定”与“信息最小化”原则的观念,从而注重通过“风险限定”“风险最小化”,即要求信息处理者在信息的二次利用、转移、共享等情形中,应当将风险限定在不超过第一次使用时的风险,并将风险控制在“最小化”的程度。在风险理念下的规则重述,符合当下强调数据留存和再利用的时代背景和产业政策,能够为相关权益提供更加有效、均衡的保护。例如,《个人信息保护法》第6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”其中“对个人权益影响最小的方式”强调的便是个人信息处理风险的最小化。
在《个人信息保护法》正式实施后,其中规定的体系性、全环节的个人信息处理规则将在所有个人信息处理活动中发挥约束力,并按照“新法优于旧法”的原则及专门法的优先适用规则,取代《网络安全法》《消费者权益保护法》《民法典》等相关法律中关于个人信息处理规则的基本规定。《个人信息保护法》将作为个人信息保护领域的“基本法”发挥作用。在此基础上,《网络安全法》将主要从网络安全维护的角度对《个人信息保护法》进行补充和支持,如通过强调负有网络安全监督管理职责的部门及其工作人员的保密义务、网络运营者对信息传输的管理义务来着重维护信息安全法益。类似的,《数据安全法》则主要从数据安全视角,通过强化数据安全保护责任与保障义务,对个人信息安全,尤其是防止载有个人信息的数据的泄露、窃取进行防范,与《个人信息保护法》相互补充,共同激活行政监管体制进行风险规制。
其次,在民法领域,《民法典》中虽然规定了“个人信息权益”与“个人信息受法律保护”,但这并不意味着民法直接确认了一项以个人信息为权利客体、以个人自主控制为中心的实体性民事权利。在个人信息保护法制定实施前,《民法典》第1034-1039条沿袭《网络安全法》对个人信息利用的规定,发挥着在过渡阶段进一步细化、发展与强化个人信息处理规则的功能。而在《个人信息保护法》的系统性规定落实后,《民法典》仍可从民法事后救济的角度为当事人提供民事侵权责任机制,当个人信息侵害风险已经高度现实化或现实的危害已经发生,人民法院可以综合具体的民事权益损失,来对侵权行为导致的危害后果发生进行填补与制止。在这方面,《民法典》和《个人信息保护法》所规定的侵犯个人信息的私法责任和公法责任之间在归责原则、构成要件、免责事由以及责任承担方式上均有不同,两者并行不悖、并不冲突。并且,公法责任上对处理行为违法性的认定与纠偏方式也可为事后侵权责任的认定与承担提供要件证明。此外,《消费者权益保护法》则主要从消费者公益诉讼这一社会执行机制的角度,与《个人信息保护法》第69条规定的公益诉讼机制进行对接,弥补个人单独提起侵权之诉的弱势与不足。
实定法的规定也可表明《个人信息保护法》与《民法典》的不同适用条件及相互衔接关系。例如,我国《个人信息保护法》第69条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”此处“侵害个人信息权益”与“造成损害”之间是何种逻辑关系?如果“侵害个人信息权益”就是侵害民事权益,那么为何还需要强调“造成损害”的要件?实际上,这一概念运用是立法者深思熟虑、细致考量的结果,两者分别指向的是不同维度的个人信息权益:“侵害个人信息权益”指的是个人信息处理行为违反了个人信息权利束对应的合规义务,应从行政法维度展开理解,通过《个人信息保护法》规定的公共监管机制进行执法保障;“造成损害”则意味着个人信息处理行为在违背合规义务的同时也造成了个人信息上承载的相关民事实体权益的损害,因而信息处理者需要根据《民法典》规定的具体的民事权益类型承担损害赔偿等侵权责任,这一概念应从民法维度展开理解。结合前述《个人信息保护法》第8条“个人权益”、第9条“个人信息的安全”等概念所对应的宪法法益,我们可以发现,个人信息保护法律体系中的“权益”“权利”等概念,实际上可能根据其所处的不同的体系定位和具体规范表述而存在不同含义,法律适用中需要准确找到其对应的维度,从而精准地阐释其内涵,实现保护工具的准确匹配。
最后,在刑法的适用上,应当根据刑事制裁的手段特性展开实践:其一,根据刑法的“最后手段性”与“谦抑性”原则,刑罚应当作为事前公法监管与事后损害处置的最终补充手段,不应出现“先刑后民”或“先刑后行”的逻辑错配。第二,基于“法秩序统一性”的原理,《解释》中关于入罪标准——个人信息数量与类别的规定,之后也应与《个人信息保护法》中的“敏感个人信息”保持一致。第三,从侵害风险全覆盖的角度,信息处理者“存储、使用、加工、传输”个人信息的行为也可能带来个人信息侵害风险,例如通过数据挖掘技术得出大量用户行为偏好、出行习惯、精神状态等信息,最后滋生乃至演变为规模性的下游犯罪行为,因而这几项环节中的信息安全风险也需要考虑得到刑法规制。当然,刑法规范所欲保护的利益,必须与宪法上的基本权或宪法秩序相联结,证成自身的正当性。因此侵犯公民个人信息罪这一罪名在规则完善与法律适用方面,应当从对“重大且根本性”的个人信息权益的维护角度出发,在宪法所设定的框架秩序内完善法益保护范围与具体设置方式。
五、结论
个人信息保护并非是保护个人对其个人信息的控制性人格权益,而是为了规制个人信息处理风险,防范与救济个人数据处理与利用活动可能产生的侵害后果。将个人信息处理规则所指向的法益视为个人信息人格权益的观点,在规范逻辑、体系效应、制度功能等维度存在不足,无法满足个人信息法体系建构与理论诠释的需要。从“工具——目的”结构观察,个人信息权益既包括了公法上的个人信息权利束所蕴含的知情、参与、发言等工具性、程序性的利益或价值;也囊括了个人信息上承载的、可能在个人信息处理中遭受侵害的、需要国家预防保护与担保的相关实体性、目的性权益,具有法律性质上的复合性。
在内容构成上,个人信息权益体现为三个维度的层次构造:第一,在宪法维度,基于侵害风险的不同类型,个人信息权益包含了以尊严为核心的基本权利所对应的个人自治、生活安宁、公正对待、信息安全四类法益;第二,在民法维度,个人信息权益则包含民法上的隐私、名誉等个人信息关联权益,主要对应的是个人信息处理导致的现实损害;第三,在行政法维度,个人在个人信息处理活动中的权利是国家主导构建的“法秩序”的构成要素,作为国家规制的产物由公共监管积极型塑与保障。因此,对个人信息保护法律体系中“个人权益”“个人信息权益”“个人在个人信息处理活动中的权利”等相关概念的理解,不应从单一法律部门视角片面、一刀切地展开,而是首先需要准确找到其分别对应的法律维度,进而精准的阐释其内涵、匹配妥适的保护工具,避免出现概念的混淆与保护工具的错配。
个人信息权益的多层次构造表明了个人信息保护体系的“领域法”特性,也对多元保护工具的匹配与协力提出了规范要求。现阶段个人信息权益的诸多保护工具的协调与统合问题,主要是处理私人执行机制与公共执行机制的适用范围与关系问题。从功能最适的角度,私人执行机制应围绕民事实体权益的损失与危害展开;个人信息处理规则的违反直接侵犯的是公法上的法秩序,应主要由公共监管通过公法执行机制进行“公共风险”的规制;刑事制裁工具则作为“最后手段”在个人信息处理全环节、全领域进行谦抑的补充运用。明确个人信息权益的概念和内涵,进而根据不同的保护对象而匹配相应的保护工具,有利于提升个人信息保护法律体系的科学性,完善《个人信息保护法》《刑法》《民法典》《网络安全法》《数据安全法》《消费者权益保护法》等相关法律的适用顺序与逻辑,最终形成一套覆盖数据处理全流程的风险可控、救济全面、工具协调、理性高效的保护机制。