徐子航

(哈爾濱商業(yè)大學(xué)法學(xué)院，黑龍江 哈爾濱 150000)

伴隨互聯(lián)網(wǎng)技術(shù)在社會生活中的普及應(yīng)用和信息化程度在私人空間和公共領(lǐng)域的日益加深，出現(xiàn)了許多傳統(tǒng)法學(xué)研究和法律法規(guī)所沒有規(guī)制的法律問題。有的學(xué)者指出，“18 世紀(jì)工業(yè)革命以來圍繞能量與物質(zhì)構(gòu)建的法律秩序，正面臨向圍繞信息與網(wǎng)絡(luò)構(gòu)建的法律秩序的全面轉(zhuǎn)型。”[1]其中個人信息作為個體在社會群體中明確身份的重要要素，如果被泄露和濫用會直接危害公民的財產(chǎn)安全，并導(dǎo)致電信網(wǎng)絡(luò)詐騙、惡意人身騷擾等諸多問題的發(fā)生。為回應(yīng)現(xiàn)實法律問題的需要，實現(xiàn)對個人信息的有效保護已經(jīng)成為大數(shù)據(jù)時代法學(xué)需要解決的重大課題。

一、個人信息保護中相關(guān)理論辨析

近年來《民法典》《網(wǎng)絡(luò)安全法》的頒布，推動了網(wǎng)絡(luò)交易和數(shù)據(jù)安全等領(lǐng)域法治化發(fā)展，但關(guān)于個人信息保護的權(quán)利基礎(chǔ)和保護路徑上依舊沒有一個確定的答案。二者邏輯的理清是新時代個人信息保護體系建設(shè)的關(guān)鍵，只有明確個人信息保護的權(quán)利基礎(chǔ)，才能解決保護主體、保護范圍和保護方式等重要問題，實現(xiàn)對個人信息相關(guān)權(quán)益全面而充分的保護。

(一)個人信息保護的內(nèi)涵闡釋

“個人信息是指可直接或間接識別特定自然人的一切數(shù)據(jù)。”[2]最早在歐盟的《數(shù)據(jù)保護指令》中提出相關(guān)概念，相繼挪威、羅馬尼亞和德國等歐洲國家紛紛進行立法。各國對個人信息的稱謂上不盡相同，包括有個人隱私、個人數(shù)據(jù)、個人識別信息等諸多表達，但從其信息內(nèi)容來看，這些概念指涉的概念大體相同，皆為可以識別個人的信息和數(shù)據(jù)。我國《網(wǎng)絡(luò)安全法》將其概括為以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。從理論框架來看，個人信息保護可以分為消極的個人信息防御性保護和積極的個人信息表達性自由，后者將個人信息視為言論表達自由的一部分。我國《憲法》所規(guī)定的公民享有基本權(quán)利的人權(quán)和《民法典》中人格權(quán)部分規(guī)定的隱私權(quán)和個人信息保護則更側(cè)重于前者個人信息安全的保護，將個人信息安全作為公民進行正常社會生活中的一項基本條件。確保公民個人信息受到有效保護，不受他人非法侵害。

(二)個人信息保護的權(quán)利基礎(chǔ)

許多學(xué)者采取傳統(tǒng)私法的權(quán)利理論，將個人信息視為公民所享有的一項權(quán)益，作為私權(quán)客體來加以保護，并設(shè)置一套能夠?qū)共惶囟ㄖ黧w的私法制度。該觀點也因為有歐洲國家司法實踐的域外經(jīng)驗被廣泛接受，主張我國個人信息保護也應(yīng)作為一種具有人格屬性的私權(quán)，只需在民法法律體系下進行規(guī)則設(shè)計。首先，將個人信息視為一種權(quán)利或利益放在民事權(quán)利義務(wù)框架下研究。但個人信息作為一種抽象的概念，同時具有作為公民自身的個體性和社會成員的公共流通性雙重屬性，如果個人享有完全的權(quán)利去自主決定其個人信息是否讓他人收集和使用，在實踐中將遭遇法律與道德的空白地帶以及法律制度的瓶頸。一方面，從社會實際的角度不具有可行性，使個人信息保護成為一個沒有切實權(quán)力保障的空泛概念。另一方面，有可能妨礙社會的信息運轉(zhuǎn)，對人際交流造成困難。個人信息的范圍和內(nèi)容也在公民活動中隨時變化，其動態(tài)性也導(dǎo)致單一靜態(tài)的民事權(quán)利保護無法化解這一矛盾，反而導(dǎo)致有限的司法資源無法被限制于龐雜的信息確認(rèn)中。其次，從權(quán)力體系對比中可以發(fā)現(xiàn)，基于公民意思自治基礎(chǔ)上的私權(quán)保護在面對龐大的公司企業(yè)和國家機構(gòu)時天然處于劣勢。相比具有專門法務(wù)團隊的信息收集和處理方，公民考慮到成本消耗和收益率等因素，無法充分而全面的保護自身利益。這種不平衡的對比也違背了我國民事法律體系的平等原則。正如張新寶指出，“面對強大的個人信息處理者，抽象的民事權(quán)利規(guī)定容易被虛化，淪為‘紙面上的權(quán)利’；個人信息保護的有效性必然有賴于國家規(guī)制，實踐中站在維權(quán)第一線的其實往往是監(jiān)管者而非個人?！盵3]最后，《民法典》和《個人信息保護法(草案)》的相關(guān)規(guī)定中并沒有將個人信息解釋為一種公民享有的民事權(quán)利，而是表述為其受到法律的保護。

(三)個人信息保護的相關(guān)理論

目前，我國關(guān)于個人信息保護理論研究的主要觀點：周漢華等學(xué)者提出的建立個人信息多元治理機制，完善公法范疇內(nèi)的個人信息等理論觀點，但這些觀點更多聚焦于立法和司法方面，并沒有對個人信息保護的權(quán)利來源進行探究。王錫鋅教授主張“個人信息保護的憲法基礎(chǔ)是國家所負有的保護義務(wù)，國家負有對公民人格尊嚴(yán)和隱私、安寧進行保護的義務(wù)。隨著信息時代的來臨，該種義務(wù)擴展到對個人信息相關(guān)權(quán)益的保護?！盵4]將個人信息保護解釋為國家對公民履行其保護義務(wù)的一部分。通過國家和公法提供保護路徑來為公民的個人信息安全提供權(quán)利保障，有效震懾數(shù)量繁多且類型復(fù)雜的侵害危險源，預(yù)防個人信息泄露、濫用等侵害行為的發(fā)生，切實保障公民個人信息安全。

二、個人信息保護公法制度的優(yōu)化

個人信息的保護對象除了人格權(quán)和人的尊嚴(yán)以外，還包括個人信息關(guān)聯(lián)的個人合法權(quán)益。為了避免商業(yè)組織在處理大量個人信息時所造成的潛在基本權(quán)利和實質(zhì)價值造成的損害，國家需要建立完善的制度體系來保護作為弱勢一方的個人。

(一)國家在個人信息保護中的角色

基于個人信息具有雙重屬性，國家在其保護領(lǐng)域同時扮演著雙重角色。一方面，基于個人信息的個人屬性，公民的防御權(quán)要求國家在公權(quán)力的行使中履行消極義務(wù)，避免其不當(dāng)行使侵害公民基本權(quán)利。這種觀點很早就在歐盟國家的司法實踐中有大量體現(xiàn)，在《歐洲個人數(shù)據(jù)處理中的個人保護公約》中明確個人信息保護不得妨礙信息自由、公眾知情等基本權(quán)利，賦予公民包括數(shù)據(jù)訪問權(quán)、更正權(quán)、拒絕權(quán)等諸多權(quán)利，以保障公民能夠有權(quán)支配自身的個人信息。歐洲人權(quán)法院強調(diào)國家應(yīng)尊重私人生活的安寧，理清國家權(quán)力與個人自由的邊界。國家機構(gòu)在公民個人信息的收集上堅持保留性等抑制公權(quán)的原則。嚴(yán)格避免國家機構(gòu)以公共利益的需要為由侵犯公民的個人信息。另一方面，伴隨信息時代的發(fā)展，大量現(xiàn)代移動電子設(shè)備的應(yīng)用和信息收集、整理和分析的更新迭代導(dǎo)致個人信息泄露的渠道大幅增加，大數(shù)據(jù)系統(tǒng)個人信息的重要程度日益突顯。傳統(tǒng)為防止國家公權(quán)而設(shè)定的法律體系無法應(yīng)對個人信息保護所面臨的新風(fēng)險。個人面對具有組織化和專業(yè)化的信息處理機構(gòu)和紛繁復(fù)雜的信息處理場景顯得無力。國家應(yīng)履行保護個人信息的積極義務(wù)的觀點被越發(fā)倡導(dǎo)。公民個體需要借助國家制定的完善公法體系來實現(xiàn)對自身權(quán)益的保護。例如歐盟在2000年頒布的《歐盟基本權(quán)利憲章》中規(guī)定各成員國應(yīng)設(shè)置專門監(jiān)管機構(gòu)來保障個人數(shù)據(jù)安全。此基礎(chǔ)上制定了《通用數(shù)據(jù)保護條例》(GDPR)，規(guī)定數(shù)據(jù)控制者和管理者的行為若違反有關(guān)條例，相關(guān)機構(gòu)可自行行使行政執(zhí)法權(quán)，對違法者采取行政處罰等措施。2015年歐洲數(shù)據(jù)保護專員公署發(fā)布的報告指出，個人信息受保護權(quán)的主要目的是作為個人尊嚴(yán)面對個人處理時可能風(fēng)險的補充力量。

(二)侵害個人信息的風(fēng)險主體

伴隨大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，個人信息成為一種生產(chǎn)資料，其經(jīng)濟價值越發(fā)突顯。除了政府外，大量的互聯(lián)網(wǎng)企業(yè)擁有龐大的用戶群體和多元的信息收集途徑，能夠大規(guī)模收集個人信息，并通過算法來發(fā)揮自身競爭優(yōu)勢，這一現(xiàn)象在金融、醫(yī)療等各社會領(lǐng)域都有所體現(xiàn)。因此，個人信息已經(jīng)成為社會治理中的重要組成部分。大型互聯(lián)網(wǎng)企業(yè)通過大數(shù)據(jù)和算法，在獲取大量個人信息后形成精準(zhǔn)的個人畫像，并通過有選擇性的推送信息數(shù)據(jù)來控制個體對信息的獲取，最終潛移默化地影響個人決策。在此過程中，個體甚至無法判斷風(fēng)險是何時發(fā)生的，準(zhǔn)確判斷自己的何種權(quán)益是如何被侵害的，因此實現(xiàn)私力救濟極為困難。面對具有復(fù)雜性和隱蔽性的信息泄露，僅靠需要制衡能力和信息資源的個人自主防衛(wèi)是不現(xiàn)實的，采取事后救濟不僅大量消耗了司法資源，更因為個體條件的限制導(dǎo)致不能實現(xiàn)其預(yù)設(shè)效果。而國家履行保護義務(wù)需要先明確所針對的侵害個人信息的風(fēng)險主體。

首先是以互聯(lián)網(wǎng)企業(yè)為代表的私營商業(yè)組織，不同于傳統(tǒng)和消費者交易的企業(yè)，互聯(lián)網(wǎng)企業(yè)多呈現(xiàn)為平臺模式，“往往借由其平臺為其他經(jīng)營者和消費者提供交易場所，發(fā)揮著市場的資源配置功能，表現(xiàn)出企業(yè)與市場的二重性?！盵5]將消費者的需求和銷售者的供應(yīng)通過算法來匹配結(jié)合，能夠某種范圍內(nèi)管理市場，在一定程度上具有“準(zhǔn)公共權(quán)力”。其次是以國家機關(guān)為代表的公權(quán)力機構(gòu)，國家機關(guān)和組織在履行公共服務(wù)和公共管理的職能中，出于工作需要也會大量收集公民的個人信息，但這過程中也可能侵害個人信息安全。如江西省樂安縣人民檢察院督促規(guī)范政府信息公開行政公益訴訟案中，樂安縣農(nóng)業(yè)農(nóng)村局在官網(wǎng)上公開的補貼名單中，對相關(guān)公民身份證號碼、家庭住址和手機號碼等個人信息公開，泄露了不應(yīng)公開的公民信息。因此，公權(quán)力機構(gòu)在處理公民個人信息時應(yīng)堅持審慎態(tài)度，正確處理好政府信息公開職能和保護個人信息義務(wù)間的關(guān)系，對個人信息收集的范圍和內(nèi)容自發(fā)加以約束。

三、個人信息保護公法路徑的法理解析

伴隨《民法典》《網(wǎng)絡(luò)安全法》的出臺，我國個人信息保護依然是當(dāng)前立法的重要方向。但關(guān)于個人信息保護權(quán)力基礎(chǔ)的認(rèn)知尚未達成共識，這導(dǎo)致無法形成合理的權(quán)利義務(wù)結(jié)構(gòu)框架。國家和公法作為個人信息保護的決定性力量，其需要同時履行積極義務(wù)和消極義務(wù)兩個方面。在公法保護個人信息安全的體系設(shè)計上，需要在法理上理清信息領(lǐng)域各方關(guān)系，通過法律授權(quán)公民所享有的權(quán)利，維護其人格尊嚴(yán)不受損害。借鑒個人信息保護制度的域外經(jīng)驗，建立有效的監(jiān)管機制來保護個人信息安全。

(一)構(gòu)建法律制度框架，明確法律責(zé)任

首先，國家需要在法理上明確個人與信息收集處理者二者之間的權(quán)利義務(wù)關(guān)系，通過法律條文明示公民在其個人信息上的權(quán)利及具體行使途徑，劃清信息收集處理者的權(quán)限?？稍诮梃b歐美國家域外經(jīng)驗的基礎(chǔ)上，通過制定《個人信息保護法》來從法理上明確公民個人信息的知情權(quán)、更正權(quán)、刪除權(quán)等一系列權(quán)利。在個人信息領(lǐng)域構(gòu)建合理的權(quán)利制衡機制，使得公民個體在面對強勢的信息收集處理者時，能夠捍衛(wèi)個人自由和尊嚴(yán)。其次，構(gòu)建個人收集和處理備案制度。“我國現(xiàn)行立法并未要求個人信息處理者對其關(guān)于個人信息保護法定義務(wù)的履行情況進行強制備案，這給行政監(jiān)督和執(zhí)法帶來巨大成本和不便，也不利于促進企業(yè)乃至行業(yè)提高個人信息保護自律水平。”[6]因此，在立法時應(yīng)規(guī)定信息收集處理者應(yīng)當(dāng)履行的法定義務(wù)，其要向社會明確公開自己的信息收集領(lǐng)域和處理算法邏輯，并在有權(quán)機構(gòu)進行登記備案，監(jiān)管機構(gòu)定期對其執(zhí)行情況進行復(fù)審。還應(yīng)明確信息收集處理者法律責(zé)任，通過民法、行政法和刑法所構(gòu)建的多元法律責(zé)任機制來有效遏制侵害行為的發(fā)生。最后，在事后救濟方面，立法應(yīng)當(dāng)盡可能確保個人信息保護制度簡單便捷，確保個體當(dāng)個人信息權(quán)益受損時能夠易于使用救濟渠道， 通過訴訟等途徑獲得有效保護和賠償。

(二)建立專門監(jiān)管機構(gòu)，統(tǒng)籌監(jiān)管力量

目前，我國個人信息保護具有鮮明的部門區(qū)隔特征，具有相關(guān)職能的部門包括有電信管理機構(gòu)、網(wǎng)信辦、公安部門在內(nèi)分屬不同部門的多個機構(gòu)，由于沒有明確的監(jiān)管職責(zé)規(guī)劃，在實踐中暴露出相互推諉責(zé)任、監(jiān)管職能沖突等問題。這也導(dǎo)致出現(xiàn)監(jiān)管空缺和公民個人信息安全受到較低程度侵害維權(quán)難等現(xiàn)象。此外，各監(jiān)管機構(gòu)大多采取專項整治活動的手段來實現(xiàn)監(jiān)管，其監(jiān)管效果不具有持續(xù)性和穩(wěn)定性。因此，設(shè)立獨立的專門監(jiān)管機構(gòu)，統(tǒng)籌規(guī)劃各領(lǐng)域信息監(jiān)管工作極為重要?！笆澜缟现饕獓液偷貐^(qū)的立法和實踐表明，只有堅持個人信息保護監(jiān)管機構(gòu)的獨立性和全局視野，才能有效地防止和排除其他組織和個人的干預(yù)，進而履行法定的監(jiān)管職能?！盵7]我國可參考GDPR關(guān)于數(shù)據(jù)監(jiān)管機構(gòu)及機制的設(shè)置，通過行使行政執(zhí)法權(quán)來維持社會信息秩序。《個人信息保護法(草案)》規(guī)定由網(wǎng)信部門負責(zé)個人信息保護的統(tǒng)籌協(xié)調(diào)。但具體工作仍屬各部門職責(zé)范圍。此外，考慮到個人信息隱秘性和不確定性的特點，監(jiān)管機構(gòu)還需具有專業(yè)性。因此，進一步完善個人信息監(jiān)管部門的獨立性和專業(yè)性將是我國個人信息保護制度未來發(fā)展的方向。

(三)完善行政監(jiān)管措施，增加監(jiān)管手段

目前，我國個人信息保護監(jiān)管機構(gòu)的監(jiān)管措施有警告、沒收違法所得、罰款、限期改正等?？偟膩砜?，這些監(jiān)管措施介入階段滯后、懲治效果不足。基于信息產(chǎn)業(yè)發(fā)展等要素的考慮，我國當(dāng)前尚沒有信息收集處理行業(yè)準(zhǔn)入條件的法律規(guī)定，無需經(jīng)由監(jiān)管機構(gòu)審查許可，就可以自行進行大數(shù)據(jù)收集和算法分析。這也導(dǎo)致侵害公民個人信息安全的事件發(fā)生時，監(jiān)管機構(gòu)不能迅速理清案件情況和及時采取保護措施。因此，可以設(shè)定信息收集處理者的準(zhǔn)入資格，要求其具有基本的組織結(jié)構(gòu)框架，以及《個人信息保護法(草案)》第五十條規(guī)定的內(nèi)部管理制度和內(nèi)部活動制度。通過設(shè)置一定主體要件來提高信息收集和處理主體的資質(zhì)。此外，當(dāng)前監(jiān)管機構(gòu)往往采取約談當(dāng)事企業(yè)負責(zé)人的方式，“然而，這種被廣泛運用的‘行政約談’手段，其主要功能在于警示、告誡或指導(dǎo)，缺乏相應(yīng)的強制力?！盵8]且監(jiān)管機構(gòu)采取行動往往在侵害行為已發(fā)生且產(chǎn)生較大的社會影響后才介入。因此，針對體量龐大的互聯(lián)網(wǎng)企業(yè)等監(jiān)管對象，我國監(jiān)管措施在多樣性和懲罰性方面尚需進一步加強。