个人信息保护的立法逻辑、权利实质与发展路径
作者: 郭亮 王晨曦历经数载,《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)于2021年8月20日表决通过,并于11月1日正式施行,这是我国加强个人信息保护的重大事件,具有里程碑式的意义。近年来,伴随数字信息技术飞速发展,移动互联网、物联网、无人驾驶、面部识别等新模式引发的隐私保护和数据安全问题凸显。个人信息被随意收集、违法获取、过度使用以及非法买卖日趋严重,大数据杀熟、电商平台广告骚扰事件频发,严重侵犯了用户的合法权益,造成了不同程度的社会不良影响。据《2020年度数据泄漏态势分析报告》显示,个人信息泄漏事件占所有数据泄漏事件的60%。[1]个人信息保护法旨在规范个人信息处理活动,规制个人信息处理行为,实现保护个人信息权益和促进个人信息合理利用的双重目的。它的出台与实施,彻底终结了个人信息“裸奔”的时代,必将为我国个人信息的合法合规处理提供法律指引,为我国数字社会治理与数字经济发展注入更强大的动力,为维护个人信息安全和网络空间安全发出“中国声音”。
一、个人信息保护立法的逻辑理路
自2003年开始,国务院信息化工作办公室便开始部署个人信息保护法立法研究工作,经过长期实践与科学探索,个人信息保护法终于从雏形到成形,可谓“千呼万唤始出来”。个人信息保护立法进程中蕴含着清晰的理论逻辑、制度逻辑和现实逻辑。
(一)以“权利”为核心的理论逻辑
“我们的时代是一个迈向权利的时代,是一个权利备受关注和尊重的时代,是一个权利话语越来越彰显和张扬的时代。”[2]法治社会奉行权利本位,“权利神圣不可侵犯”是现代公民普遍的信念和共识,“为权利而斗争”也成为法律人的担当和使命。网络空间是一种特殊的人类社会活动空间,在这个新场域内,个人信息泄露和滥用成为广大人民群众最关心的利益问题。例如,2016年8月发生的山东姑娘徐玉玉因个人信息泄露导致被骗自杀身亡案件,令人触目惊心。个人信息保护法系统地建立了权责明确、保护有效的个人信息保护的基本原则和个人信息处理规则,保障了个人信息主体的合法权益。例如,个人信息保护法确立了以“告知—知情—同意”为核心的个人信息处理的一系列规则,只有在被告知者充分知情并自愿、明确做出同意的前提下,个人信息处理者才能处理个人信息。同时,该法还赋予了被告知者撤回其同意的权利,并要求个人信息处理者提供便捷的撤回同意的方式,不得以不同意或撤回同意为由拒绝提供产品或者服务。又如,个人信息保护法专节设置了“敏感个人信息的处理规则”,对其采取“概括+列举”式的立法技术,对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的敏感个人信息等进行单独规定。敏感个人信息的特殊处理规则,体现了该法对隐私权以及与人格尊严或人身、财产安全密切相关的个人信息的倾斜保护,“在价值上申言了数字科技必须以人为本,必须把人的权利及尊严作为其最高目的,并以人权作为其根本的划界尺度和评价标准。”[3]习近平总书记指出:“网信事业发展必须贯彻以人民为中心的发展思想,把增进人民福祉作为信息化发展的出发点和落脚点,让人民群众在信息化发展中有更多获得感、幸福感、安全感。”[4]个人信息保护法应运而生、恰逢其时,丰富和发展了公民权利,折射出网络时代的人性光辉,体现了法治建设为了人民、依靠人民、造福人民、保护人民的根本立场。
(二)以“体系”为根本的制度逻辑
党的十八大以来,党中央、国务院高度重视网络与信息领域立法,从2012年全国人大常委会出台《关于加强网络信息保护的决定》、2013修订的消费者权益保护法、2015年出台的刑法第九修正案,再到2017年实施的网络安全法、2019年实施的电子商务法,我国个人信息保护制度规则不断完善。特别是2020年颁布并于2021年1月1日正式实施的民法典,更是将个人信息受法律保护作为一项重要民事权利写入总则编,并在人格权编明确了个人信息处理的原则和条件。但这种分散立法也面临着体系性和操作性欠缺、权利救济和监管措施不足的困境。[5]相较于前述立法活动,个人信息保护法进一步明确了个人信息保护规则、个人信息主体在个人信息处理活动中的权利、个人信息处理者的义务以及主管机关的职权范围,并对个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及敏感个人信息处理、个人信息跨境提供等特定场景进行了体系化的规定。同时,法律制度也是国际网络空间走出“丛林法则”和恶性相争泥潭,构建和平、安全、开放、合作的全球治理体系的基本遵循。个人信息保护法在借鉴欧盟《一般数据保护条例》(GDPR)、美国加州隐私法等域外立法智慧基础上,融入了中国的创新文化、人本文化、和谐文化,回应了中国政治、产业、文化、社会治理实践的发展需求,体现了发展与安全并重的立法观。例如,该法扩展了域外适用效力,但适度有限;在规制跨境数据流动方面优先考量发展中国家对于数据安全的需要。作为第三代个人信息保护立法的制度范本,个人信息保护法体现了中国在当前全球数字治理中的制度贡献,这对于“携手共建网络空间命运共同体”具有重大意义。
(三)以“时代”为基点的现实逻辑
当今世界正经历百年未有之大变局,新一轮科技革命与产业变革正加速演进,信息技术领域全球供应链产业链安全风险增大,不稳定性、不确定性明显增加,网络安全问题凸显。公民作为个人信息主体对信息的控制能力减弱,个人信息不当处理的风险无处不在。个人信息保护法明确了处理个人信息应当遵循合法、正当、必要和诚信原则,并将“采取对个人权益影响最小的方式”“限于实现处理目的的最小范围”作为个人信息处理应遵循的两大核心原则。这有利于解决当下普遍存在的“大数据杀熟”“算法推荐”“用户画像”等涉及不当自动化决策之类的问题,遏制个人信息的滥用和过度收集。根据该法规定,个人信息处理者利用个人信息进行自动化决策,“应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”“应提供不针对其个人特征的选项或提供便捷的拒绝方式”。其次,个人信息保护法还对互联网平台的“守门人”义务进行了规定。鉴于重要互联网平台掌握海量用户数据,一旦发生信息泄露或滥用,可能导致严重后果,该法第五十八条规定了平台企业个人信息保护的特殊义务,包括“按照国家规定建立健全个人信息保护合规制度体系”“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”“制定平台用户处理个人信息的规则”“定期发布个人信息保护社会责任报告,接受社会监督”。再次,针对当前个人信息跨境流动频繁但风险更难以控制的现实,个人信息保护法构建了一套完整、清晰的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来。例如,该法明确要求个人信息处理者采取必要措施保障境外接收方的处理活动达到法律规定的保护标准;对跨境输出个人信息确立了更加严格的知情同意要求。鉴于个人信息流动的不可逆性,个人信息保护法采取的是“列举+兜底”的规定,就个人信息传输活动设置了个人信息处理者需要满足的前置性条件,采用了事前监管模式。总之,个人信息保护法为个人信息跨境流动提出了一个风险可控、平等互惠的法治框架,筑牢了信息安全防火墙。
二、个人在个人信息处理活动中的权利实质
“自然人的个人信息受法律保护”已成为社会各界共识,但对个人信息的权利性质却众说纷纭,莫衷一是。长期以来,学者们围绕“自然人对其个人信息享有的是新型公法上的权利还是民事权利?”“是民事权利中的人格权利还是个人信息权益?”“是采取人格权保护模式还是财产权保护模式?”“是基于个人信息的私法保护视角还是国家保护视角?”等问题展开了激烈的争论,形成了“宪法人权说(基本人权说)”“物权说(所有权说)”“财产权说”“隐私权说”“一般人格权说”“具体人格权说”“法益说”等不同理论观点。我国刚实施的民法典无论是“总则编”还是“人格权编”中的法律条文,均未采纳“个人信息权”或“个人信息权利”的表述,而是围绕着自然人对其个人信息享有的人格权益展开。按照权利优先于利益的规则,原则上除一些特殊的敏感个人信息适用于隐私权保护外,个人信息权益在民事权利体系中的位阶最低。其后颁布的个人信息保护法也基本遵循了此种立法模式。
值得注意的是,个人信息保护法第四章规定的“个人在个人信息处理活动中的权利”与上述言及的“个人信息权利”或“个人信息权益”是两回事,立法者添加了诸多“前缀限定”,配置这些权利有着特殊的意义。
(一)设权目的:平衡个人信息保护与合理利用
个人信息保护法调整对象是个人信息处理者,通过合理配置个人信息处理活动中各主体的权利义务关系,最终实现对个人信息的保护,促进个人信息合理利用。立法者通过在个人与个人信息处理者之间形成一系列权利义务规则,有效制衡个人信息处理者这一强势主体的行为,从而保护弱势一方免遭伤害和控制,保障个人尊严及相关法益。显见,个人赋权的目的并非直接让个人控制和支配信息,而是制约个人信息处理者的行为,实现个人信息处理活动的合规要求。
立法者之所以要将立法重心从“赋权”转向“合规”,源于个人信息保护与合理利用并重的立法初衷。数据信息被称为数字经济时代的“石油”,伴随个人参与信息社会的场景增多,个人信息不仅是个人的,也是社会的。一方面,个人信息是具有自由意志的个体所拥有的源自人格尊严的一种利益,个人信息保护法赋予个人在个人信息处理中的权利,体现了法律的平等、自由、自治等价值理性。高富平教授指出,“个人信息保护法实质上保护的是个人权利(主体权利),而不是个人信息本身。”[6]这些必须依附于个人信息主体而存在的主体性权利与保护个人信息权益息息相关,是个人信息权益的固有内容和自然延伸。[7]另一方面,个人信息保护法顺应了数字经济发展趋势,不仅将匿名化的个人信息作为其商业利用的合法性基础,同时还在知情同意规则下,另行规定了“合同履行所必需”的6种例外情况。个人信息经企业合规处理后形成数据参与市场流通,这种制度框架实现了数据红利与个人信息保护之平衡,否则会形成信息垄断,阻碍数据流通,数字产业化、产业数字化发展将受到极大限制。
(二)设权实质:个人信息处理活动中的个人权利性质及定位
个人信息保护法第四章以“告知-知情-同意”为基本规范框架,初步建构起个人在个人信息处理活动中的权利体系。但此项权利并非个人自主控制范式下的民事权利,事实上,将其理解为个人信息权益的具体权能更为贴切。程啸教授认为:“个人在个人信息处理活动中的权利属于手段性权利或救济性权利,旨在保护包括个人信息权益在内的个人权益。”[8]将个人在个人信息处理活动中的权利界定为一种救济性权利,体现了个人信息保护法的保护法功能定位,折射出 “工具性权利”和“防御性权利”的特色。
一是个人在个人信息处理活动中的权利主体是信息主体,义务主体是个人信息处理者,适用场景仅限于个人信息处理活动中。换言之,信息主体只在个人信息处理活动中对个人信息处理者享有该系列权利,而不能像隐私权一样针对不特定的第三人。尽管法律赋予了个人制衡信息处理者的一些基本手段,维护个人信息处理活动的公平性和合理性,但同时规定了信息处理者的既定义务和程序要求。在“个人—信息处理者”这对关系中,国家并未“退场”,而是“以维护法秩序为支点,对个人提供组织与程序保障、监管和执法的支援,以不断调控、监督处理者的个人信息处理活动。” [9]可见,与普通民事权利不同,侵害个人在个人信息处理活动中的权利并不必然导致民事侵权,相反,个人信息保护更多奉行国家保护义务逻辑,个人信息处理规则折射出较浓厚的公法色彩。
二是这些权利是为个人信息权益发挥效用而产生的,故必须依附于个人信息权益而不能单独行使。通常地,一项“对世性”的权利(权益)由“本权权益”“本权权益之保护”即“权能”两方面构成。在个人信息保护中,前者体现为民法典中界定的“个人信息权益”,包括但不限于人格尊严、人身财产安全以及通信自由和通信秘密等利益,但将财产利益排除在外;后者体现为个人信息保护法第四章规定的“个人在个人信息保护中的权利”,包括但不限于同意(或拒绝)的权利以及知情、查阅、复制、转移、更正、补充、删除、请求解释说明等权利,旨在保护“本权权益”。[10]例如,信息主体有权决定其个人信息在何时、何地及以何种方式被何人收集、使用、加工和传输;有权在认为自动化决策对其有重大影响的情况下,要求个人信息处理者予以说明并拒绝其仅通过自动化决策方式作出决定;有权在认为个人信息处理规则表达不清楚时要求个人信息处理者对处理规则进行解释说明等等。这些权利集中反映了“本权权益”的人格权属性和个人信息主体维护自身精神利益的合理诉求。
三、我国个人信息保护的发展趋势和路径
“徒法不足以自行”,法律的生命力在于不断完善并有效实施。个人信息保护法的出台只是一个起点,个人信息保护法治实践仍任重道远,只有立法、执法、司法与守法协同并进,法律才不至于沦为一纸空文。