王锡锌 彭錞:个人信息保护法律体系的宪法基础

选择字号:   本文共阅读 1825 次 更新时间:2021-07-13 09:25:57

进入专题: 宪法基本权利   个人信息   民法典  

王锡锌   彭錞  
民法学者期待《民法典》充任《欧盟基本权利宪章》那样的宪法角色,用心可谓良苦。但“以民法代宪法”发生于近现代欧洲国家动荡、宪法缺乏实效性的特殊历史情境下,平移至我国具有“反历史性”。[29]更重要的是,《个人信息保护法》的义务主体、调整范围、执行机制等均不同于《民法典》,并非后者的特别法。[30]

   须澄清的是,论证个人信息不是民事权利的客体,不代表个人信息与民事权利无关。2020年,全国人大常委会法工委在《关于〈中华人民共和国个人信息保护法(草案)〉的说明》中指出:“在编纂民法典中,将个人信息受法律保护作为一项重要民事权利作出规定。”这里的措辞极其精准,表明《民法典》确立的并非个人信息权,而是个人信息受保护权,前者指向信息主体对个人信息的自决与控制,后者指向信息主体在个人信息处理过程中应得的保护。《民法典》之所以确立个人信息受保护权,是因为个人信息承载了重大人格、财产民事利益,须通过对信息主体提供保护来予以维护。正如《民法典》开宗明义地点明“根据宪法,制定本法”,该项民事权利根源在于我国宪法上的个人信息受保护权,是后者在具体法律中的表述。[31]

   三、作为宪法基本权利的个人信息受保护权

   随着个人信息法律保护的全球扩张,在宪法层面确立相关权益的必要性已成学界共识。[32]早在十余年前,我国就有学者提出个人信息保护“体现基本权利核心内容,即人性尊严与人格独立”,但在我国宪法上属于一项未列举基本权利,应通过宪法判例“写进”宪法。[33]这一主张遭遇了两种批评:一是批评这“要求宪法法院或宪法裁判空间,并不符合我国当前国情”;[34]二是批评将保护个人信息提高到基本权利的地位“有过度强化个人信息保护之嫌,在与信息自由流通以及信息产业发展间容易产生摩擦”。[35]但这些批评均不成立。一方面,随着合宪性审查工作推进,宪法基本权利不再是空中楼阁,确立个人信息保护基本权利的制度性障碍亦不复存在。另一方面,基本权利不等于绝对权利,不会对个人信息提供毫无限制的保护,也不许诺遗世独立的“鲁滨逊式自由”。[36]因此,当下亟待学理澄清的问题不再是“为何”要确立该项基本权利,而是“如何”确立,具体包括规范依据和概念表达两大任务。

   (一)个人信息保护基本权利的规范依据

   如何在宪法上安顿个人信息保护基本权利?各国实践遵循两条路径:宪法肯认(Constitutional Entrenchment)和宪法解释(Constitutional Interpretation)。前者是指成文宪法明确写入个人信息保护。目前,全球已有三十多个法域将个人信息保护列为基本权利。[37]最典型的如《欧盟基本权利宪章》第8条和《欧盟运行条约》第16条规定“个人信息受保护权”。

   更多国家是以宪法解释将个人信息保护纳入基本权利范围。20世纪60、70年代以来,由于计算机系统和自动化处理的推广,西方国家率先开始关注个人信息保护,但此时其成文宪法已定型,宪法解释成为更优选择,典型代表如美国和德国。1977年的“华伦诉罗伊”案(Whalen v. Roe)中,美国联邦最高法院基于宪法第四修正案,首次确立“信息隐私权”(Right to Informational Privacy),即“个人、团体或机构要求自主决定何时、如何以及在多大程度上向他人传达有关他们的信息”的权利。[38]1983年的“第二人口调查案”判决中,德国联邦宪政法院根据《基本法》第1条第1款的人格尊严条款和第2条第1款的一般人格权条款,推导出个人拥有“信息自决权”(Informationelle Selbstbestimmung),即“有权自己决定何时以及在什么范围内将有关其私人生活的信息传达给他人”,[39]并指出“作为在数据处理的现代条件下自由发展个性的前提,个人必须被保护免受个人数据的无限收集、储存、使用和传递”。[40]

   与美、德类似,我国宪法没有明文肯认个人信息保护。那么,能否通过宪法解释将其纳入基本权利?既有研究给出了肯定的答案,但就所依据的宪法条文有三种不同观点:一是《宪法》第33条“国家尊重和保障人权”;[41]二是第38条规定的人的尊严;[42]三是第38条规定的一般人格权。[43]观点一通过把个人信息定义为人权来论证其基本权利属性,有循环论证之嫌。观点二、三的宪法条文依据相同,都是第38条“公民的人格尊严不受侵犯”,但具体解释方案不同。前者基于“人格尊严条款双重规范意义说”,认为该条的“人格尊严”不仅指诸如名誉、肖像等具体权利,也是一种“原则性的概括条款,为此体现了整个人权保障体系的基础性价值”,类似于《德国基本法》第1条规定的“人的尊严”,[44]由此推导出个人信息应受保护。[45]后者则拒绝把第38条类比于《德国基本法》第1条,认为中国宪法上的“人格尊严”是一种“公民作为具有独立意志的主体享有的得到尊重的权利,包括但不限于不受侮辱、诽谤和诬告陷害的人格权”,[46]即宪法上的一般人格权,个人信息受保护是作为一般人格权内容的个人自我决定权之产物。[47]显然,两种观点都认为个人信息保护与尊严、人格相关,差别在于如何解释第38条。但区分该条指向的到底是人的尊严还是一般人格权,对于把个人信息保护纳入我国宪法基本权利而言,意义并不大。这是因为在德国基本法上,人的尊严和一般人格权的主要差异是前者不可干预,而后者可被干预,[48]我国宪法则没有这个差别,因为根据《宪法》第51条,两者都应受公共利益和他人权利限制。[49]因此,在个人信息保护问题上,两种解释方案可以共存互补:人的尊严是个人信息保护的最终价值依归,一般人格权则是其具体权利基础,后者具有中间性(Intermediate)和工具性(Instrumental),目的是为了保障前者。[50]无论采哪种解释方案,个人信息保护都可依据《宪法》第38条纳入基本权利范围。

   (二)个人信息保护基本权利的概念表达

   如何在概念上表达个人信息保护基本权利?既有研究提出三种方案:个人信息权[51]、个人信息自决/控制权[52]、个人信息受保护权[53]。有学者指出:“个人信息权是指与个人信息收集、使用和处理等相关的权利。”[54]这种界定无疑过于含混,因为不清楚相关权利是个人独有,还是与信息处理者或更多主体分享。有学者进一步把权利主体限于个人,明确个人信息权是“信息主体对其信息享有占有、使用、收益、处分,并防止他人侵害的权利”,[55]这使个人信息权变成个人信息自决/控制权的缩写。如前所言,德国宪法法院就使用了这个概念。然而,个人信息自决/控制权在欧洲早已饱受批判:第一,德国学者指出个人信息保护法不是保护数据主体对其信息自决/控制,而是一种“针对个人信息自动化处理方式给个人人格或财产带来之加害危险的事先防御机制”。[56]之所以如此,是因为个人信息自决/控制“承认一种近似乎所有权的支配权”,“制造个人信息的稀缺性,无疑于禁锢思想,阻吓交流”。[57]第二,欧洲学者敏锐地提醒:“在占有性个人主义大行其道的背景下,在私有财产和市场法则被认为是最有效的权利分配方式的时代,‘信息自决权’日益被解读为在暗示个人对其个人信息具有某种可转让的财产权,即个人信息是个人的财产。然而,‘信息’无法先于其‘表达’或‘披露’存在,而总是以某种方式而被建构出来——逻辑上,个人对与其有关的信息并不拥有某种‘自然’的原始权利。”[58]第三,德国学者称信息自决/控制权为一种“乌托邦”,因为欧盟GDPR针对个人自决/控制创设的例外太多,使之无法成为有意义的原则。但这无可厚非,因为自决/控制本来既不现实,也无必要——个人就其信息如何处理有一定发言权,但不是最终发言权。[59]

   正因如此,“个人信息受保护权”(Right to Protection of Personal Data),而非“信息自决/控制权”(Right to Data Self-determination/control),成为欧盟立法的选择。“信息保护”(Datenschutz)一词源于1970年德国黑塞州的信息保护法,这是世界上该领域的首部专门法律,后经1981年欧洲理事会《数据自动化处理的个人保护公约》正式转译为英语中的data protection(法语为protection des données),进入国际法律文本,对欧洲各国的后续立法产生深远影响。比如英国1984年通过的相关法律就命名为《信息保护法案》(Data Protection Act),而非此前在英语世界更为流行的“隐私法案”(例如美国1974年《隐私法案》)。[60]该传统为欧盟1995年数据保护指令、《欧盟基本权利宪章》以及GDPR所延续。[61]相较于“信息自决/控制权”,“个人信息受保护权”一词摈弃了个人独占、控制信息之意味,不以个人信息本身为客体,而是指向个人在信息处理过程中应当获得的保护。具体如何保护,则有赖于国家履行对该项基本权利的保护义务。[62]许多国家宪法明文规定的也正是个人信息受保护权。例如《希腊宪法》第9条规定:“任何人就其个人信息的收集、处理和使用,尤其是通过电子手段为之的,受到法律保护。”《墨西哥宪法》第16条规定:“所有人都享有个人信息受保护以及访问、更正和删除此类信息的权利。”《阿尔及利亚宪法》第46条规定:“所有人在其个人信息被处理时受到保护是法律保障的一项基本权利。”有鉴于此,我国应当采用个人信息受保护权这一概念。

   事实上,立法者早已做此选择。如前所言,《民法典》确立了作为民事权利的个人信息受保护权。此外,2013年修改的《消费者权益保护法》第14条规定:“消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利。”2016年《网络安全法》第64条规定:“网络运营者、网络产品或者服务的提供者……侵害个人信息依法得到保护的权利的,由有关主管部门责令改正。”2021年4月公布的《个人信息保护法草案(二审稿)》第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”此处的“个人信息权益”指的就是“基于个人信息受保护权实现而获得保障的各种相关法益”。[63]这些横跨民法、经济法、行政法等领域的立法不约而同地规定个人信息受保护权,正体现出我国的个人信息保护法律体系是以作为宪法基本权利的个人信息受保护权为概念基础。

   四、宪法基本权利视野下的个人信息保护法律体系建构

   正如本文开头所言,我国个人信息保护法律体系应置于一个能充分解释和有效规范该体系的核心概念之上。前文已论证作为民事权利的个人信息权难以独自担此重任,本节基于宪法基本权利教义学,以个人信息受保护权为出发点,从其内容(“保护什么”)、功能(“如何保护”)和限制(“保护多少”)三个角度,尝试建构我国个人信息保护法律体系。

   (一)我国宪法上个人信息受保护权的内容

   宪法上个人信息受保护权的内容,决定其保护范围,因为,基本权利的内容决定了权利主体可以就何种客体提出何种主张。在确定我国宪法上个人信息受保护权的内容时,应注意以下三点:

第一,个人信息受保护权的根本目标决定该项基本权利的内容。进入数字时代,个人信息天然具有公共性、交互性,其自由流动与利用具有巨大社会和经济价值,保护个体占有既无可能,也不必要。因此,个人信息受保护权并不意在实现信息主体对个人信息绝对、排他的控制。然而,随着信息高速流动和广泛利用,原本零散、偶发的个人信息处理,日渐具有规模性和持续性,经由“马赛克效应”(Mosaic Effect),将信息主体置于前所未有的被操控、侵扰或歧视之境地,使其因“数字化”而“客体化”,(点击此处阅读下一页)

    进入专题: 宪法基本权利   个人信息   民法典  

本文责编:admin
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/127413.html

2 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2021 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统