王锡锌 彭錞:个人信息保护法律体系的宪法基础

选择字号:   本文共阅读 1825 次 更新时间:2021-07-13 09:25:57

进入专题: 宪法基本权利   个人信息   民法典  

王锡锌   彭錞  
面临人格尊严贬损的巨大风险。[64]为扭转这一局面,有必要让每时每刻都在被“处理”的信息主体在此过程中重拾主体地位,确保其个人信息以合乎人格尊严的方式被处理。这既是我国《宪法》第38条“人格尊严不受侵犯”的题中之义,也是个人信息受保护权的根本目标,即通过控制个人信息处理活动,在不限制个人信息自由流动和利用的前提下,确保个人信息处理不逾越人格尊严底线。《个人保信息保护法草案(二审稿)》第1条规定“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,制定本法”,正体现了这一目标。为了彰明其宪法基础,建议在“制定本法”前添加“根据宪法”。

   第二,个人信息受保护权中“个人信息”的定义决定该项宪法权利的范围。对此,《民法典》第1034条表述为:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”《个人信息保护法草案(一审稿)》《个人信息保护法草案(二审稿)》第4条表述为:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。”二者都是对宪法上个人信息受保护权范围给出的形成性定义。两相对比,《民法典》采用“识别”标准,个人信息保护法草案则采用“识别+关联”标准。前者是“从信息到个人”,由信息本身的特殊性识别出特定自然人,凡有助于识别出特定个人的信息都是个人信息;后者则还要加上“从个人到信息”,在识别出特定自然人后,该特定个人在其活动中产生的信息均为个人信息。[65]后者的范围大于前者。事实上,从2012年《全国人大常委会关于加强网络信息保护的决定》,到2016年《网络安全法》第76条,再到2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,个人信息的认定标准从“直接识别”到“直接识别+间接识别”再到“识别+关联”,范围渐趋扩大。在《民法典》退回到“识别”标准后,个人信息保护法草案又回归“识别+关联”标准。这标志着立法者在立法形成空间内,不断调适个人信息的认定标准。但问题是:何种标准才能更好地落实宪法上的个人信息受保护权?这就涉及如何判断基本权利的内在限制,即其本身所固有的、非外在的限制。这种内在限制不应过大,否则会不当限缩宪法保护的范围。因此,学理上一般认为基本权利的内在限制包括“禁止明显危害社会的行为”“暴力禁止”“尊重第三方财产”“禁止权利滥用”“恶意禁止”。[66]在此视角下,与《民法典》的“识别”标准相比,个人信息保护法草案的“识别+关联”标准虽更宽泛,但并未突破个人信息受保护权的内在限制。更重要的是,与被识别后的特定个人关联的信息,如个人位置信息、通话记录、浏览记录等,无疑会对个人尊严产生影响,也应纳入宪法基本权利的保护范围。因此,个人信息保护法草案对个人信息的定义更加符合宪法上个人信息受保护权的内涵。为避免法律冲突,对《民法典》第1034条第2款的解释应参照该定义。这也再次说明民法规范不能作为我国个人信息保护法律体系的基本法。

   第三,个人信息受保护权中“受保护”的定义决定该项宪法权利的权能。根据前述个人信息受保护权的根本目标,其所保护的并非信息主体对个人信息占有、使用、收益、处分,而是个人在信息处理过程中的主体尊严。为达到这一目的,当个人与信息处理者之间存在不平等关系时,通过赋予个人知情、决定、查询、复制、更正、携带、删除等一系列工具性、中介性、程序性的权利,以实现其与信息处理者之间的制衡结构,[67]避免其沦为客体。此一工具性的“权利束”无法从作为民事权利的个人信息权那里派生而出,而只能是宪法上个人信息受保护权落实之结果。这正是个人信息保护法草案一审稿、二审稿第四章以“个人在个人信息处理活动中的权利”,而非“个人信息权”为标题的关键原因。当然,个人信息受保护权派生出工具性权利束,不代表一套固定的权利能“包打天下”。不同场景下,公民因个人信息被处理而面临的尊严减损风险不尽相同,工具性权利束也须相应调整。后文对此将详述。

   (二)我国宪法上个人信息受保护权的功能

   宪法上个人信息受保护权的功能,决定其保护方式,即个人信息保护所针对的侵害风险源以及所采用的保护手段。数字社会中,随着数据跨境流动,来自国内外的公私主体均已成为个人信息侵害的风险源。如前所言,个人信息民事权利无法对抗公权信息处理者。要实现“全方位、无死角”的保护,必须引入作为宪法基本权利的个人信息受保护权。这是因为宪法基本权利具有双重性质,既是一种“主观权利”,也是一种“客观法”。[68]在“主观权利”面向下,基本权利主要具有防御权功能,即对抗公权主体,国家负有避免侵害基本权利的消极(不作为)义务。此种功能下,个人信息受保护权处理国家和个人的双方关系,在二者之间树起屏障,防御国家在处理个人信息过程中侵害个体尊严。而在“客观法”面向下,基本权利则要求国家帮助和促进基本权利实现,尤其是在基本权利受到第三方影响时,国家有为其提供保护的积极(作为)义务。此种功能下,个人信息受保护权处理的是国家—个人—第三方的三边关系,国家为使个人尊严免受第三方侵害而积极提供保护。这里的第三方包括来自外国的侵害者。[69]可见,唯有宪法上的个人信息受保护权能同时对抗公权、私人和域外的侵害风险源。当《民法典》第111条和《个人信息保护法草案(二审稿)》第2条规定“任何组织或者个人”不得侵害个人信息权益时,它们并非在规定一项民事权利,而是在落实宪法基本权利。关于个人信息受保护权所对应的国家消极和积极义务如何展开,以往研究已有细致讨论。[70]此处从宏观角度,勾勒出宪法上个人信息受保护权统摄我国个人信息保护法律体系的两条路径。

   第一,以个人信息受保护权的主观权利功能来对抗公权侵害个人信息的风险。无论是公权主体处理个人信息的基本原则,抑或相关具体规范,都可在此功能下得到解释。一方面,根据《民法典》第1035条第1款,处理个人信息应征得信息主体同意,除非法律、行政法规另有规定。但这一逻辑并不适用于公权主体。一项法学常识是:私法领域奉行意思自治,以合意为行动原则,法无禁止即自由;公法领域则追求有限政府,以法定为行动原则,法无授权不可为。[71]因此,对私人信息处理者而言,信息主体的知情—同意是信息处理的基本原则,除非立法有例外规定。相反,对公权信息处理者来说,其个人信息处理活动是以法律授权而非信息主体的知情—同意为基本原则。即使信息主体同意,若无法律授权,公权主体也不能处理个人信息。这正是为什么个人信息保护法草案一审稿、二审稿第34条规定“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”。当然,第35条还进一步规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意。”但这只是在法定的基础上额外增加同意的要求,对公权主体处理个人信息科以高于私人处理者的标准。

   另一方面,大量具体规范设定了公权主体的个人信息保护公法义务和责任。例如《民法典》第1039条规定国家机关、承担行政职能的法定机构及其工作人员应对履职过程中知悉的个人信息保密;刑法修正案(七)对“国家机关或者金融、电信、交通、教育、医疗等单位工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人”以及单位犯此罪的,规定了刑事责任;《个人信息保护法草案(二审稿)》第67条规定“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分”。在一些具体的行政管理领域,也有此类规范。例如《居民身份证法》第13条规定:“有关单位及其工作人员对履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,应当予以保密。”《出口管制法》第29条规定:“有关国家机关及其工作人员对调查中知悉的……个人信息依法负有保密义务”。《网络安全法》第45条规定:“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”此外,《电子商务法》第25条、《契税法》第13条、《社会保险法》第92条、《医疗保障基金使用监督管理条例》第32条、《戒毒条例》第7条等也有类似规定。然而,既有立法在落实宪法上个人信息受保护权之主观权利面向上仍有三点缺陷:

   其一,覆盖范围不足。重点领域立法对公权主体个人信息保护义务缺乏观照。最典型的如2019年修订的《政府信息公开条例》第15条维持2008年原条例将个人隐私作为公开例外的规定,对个人信息保护只字未提。[72]2021年修订的《行政处罚法》第50条也有此问题。同时,个人信息保护法草案未能囊括全部公权信息处理者,后者包括如下三类:国家机关、准国家机关(即行使公权力的非国家机关)以及相关工作人员。个人信息保护法草案一审稿第四章仅涉及国家机关,二审稿第37条增加了“法律、法规授权的具有管理公共事务职能的组织”,但均未涵盖相关工作人员。而且根据《行政诉讼法》第2条,规章授权组织也属于准国家机关,理应反映在个人信息保护法草案中。

   其二,规范密度过低。除个人信息保护法草案外,既有立法大多只是设定了公权主体的个人信息保密义务,对其收集、存储、使用、加工、提供、公开个人信息等活动疏于规范。即使是个人信息保护法草案,也只是辟出一小节、五个条文来设立“国家机关处理个人信息的特别规定”,对许多问题依旧语焉不详。例如《个人信息保护法草案》(一审稿)第36条曾规定:“国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。”这一条在二审稿中被删去,国家机关公开、提供个人信息的活动由此失去明确的法律规范。

   其三,特别规定缺位。既有立法未能充分反映公权主体在个人信息保护方面的特殊性。一方面,针对公权和私人处理者,信息主体享有的工具性权利是不同的。个人信息保护法草案一审稿、二审稿第四章确立一系列“个人在个人信息处理活动中的权利”,包括知情权、决定权、查阅权、复制权、更正权、补充权、删除权等。草案第33条进一步规定:国家机关处理个人信息的活动适用本法,除非有特别规定。征诸“国家机关处理个人信息的特别规定”一节,并无关于个人面对国家机关处理者所享有工具性权利的特别安排。这无疑是一种缺漏,因为不能以同一套工具性权利束同等适用于国家机关。例如美国《隐私法案》就只规定公民对联邦政府的信息处理活动享有知情权、查阅权、复制权、更正权、补充权,而未规定删除权。[73]英国2018年《数据保护法案》(Data Protection Act)设定了专门针对刑事执法、司法(Law Enforcement)机关和情报(intelligence)部门的信息主体工具性权利束,包括查阅权、更正权、删除权、限制处理权,但不包括GDPR规定的可携权。[74]即便是同一工具性权利,对公权处理者和私人处理者的要求也不一样。以删除权为例,根据个人信息保护法草案一审稿、二审稿第47条第3项,“个人撤回同意”是信息处理者删除个人信息的正当事由,但这只对私人处理者适用,无法适用于公权处理者。另一方面,针对公权和私人处理者,个人信息保护机制也应有所区别。《个人信息保护法草案(二审稿)》第七章规定了个人信息处理活动违法侵权的法律责任,但其中大部分内容只适用于私主体,例如第65、70条规定的行政处罚,以及第68条规定的侵权损害赔偿责任,因为该条遵循的过错推定原则与《国家赔偿法》上的违法责任原则大相径庭。[75]个人信息保护法草案专门为公权主体个人信息违法侵权设定的法律责任仅有第67条规定的行政系统内部责令改正和处分,缺乏包括行政复议、诉讼和国家赔偿在内的监督救济机制。

综上所述,现有立法未能有效落实宪法上个人信息受保护权的主观权利功能。(点击此处阅读下一页)

    进入专题: 宪法基本权利   个人信息   民法典  

本文责编:admin
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/127413.html

2 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2021 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统