王锡锌 彭錞:个人信息保护法律体系的宪法基础

选择字号:   本文共阅读 1795 次 更新时间:2021-07-13 09:25:57

进入专题: 宪法基本权利   个人信息   民法典  

王锡锌   彭錞  

  

   摘要:  我国个人信息保护法律体系需要一个兼具解释和规范价值的核心概念作为基础。学界主流观点以个人信息民事权利为此基础,该种观点虽具有相当的合理性,但在理论和实践层面均存在需要反思的问题。从宪法基本权利的维度分析,个人信息保护法律体系建构的基础应是《宪法》第38条人格尊严条款内蕴的个人信息受保护权。以该项基本权利为基点,以其主观权利和客观法面向所对应的国家消极与积极保护义务为主线,可建构出一套基础更稳固、内容更完整、结构更合理的个人信息保护法律体系。这一体系既能对现有个人信息保护规范进行系统解释,厘清诸多部门法、执法手段之间的关系;也可对未来个人信息保护制度和实践提出规范要求,使我国宪法上的个人信息受保护权更好地形成并落实。

   关键词:  宪法基本权利;个人信息受保护权;法律体系 民法典;个人信息保护法

  

   一、问题的提出:探寻个人信息保护法律体系的概念基础

   随着数字时代的深入发展,个人信息的法律保护已成全球共识。在我国,《网络安全法》《电子商务法》《民法典》相继实施,《数据安全法》《个人信息保护法》即将出台,个人信息保护法律体系已初具规模。在此背景下,探寻何为该体系的概念基础(Conceptual Foundation),对充分解释和有效规范该体系的核心概念,具有承前启后的重要意义。“承前”意义在于从恰当的概念基础出发,可以推导出一幅内部逻辑协调的“概念地图”,为既存的个人信息保护规范提供系统化说明;“启后”意义则在于揭示现行立法与实践之不足,为下一步改进完善提供查漏补缺的指引。

   对此,学界目前的主流观点有二:首先,应以法律权利作为我国个人信息保护法律体系的概念基础。尽管有学者提出个人信息处理规制的行为主义进路,试图绕开个人信息赋权的难题,[1]但这是绕不开的,因为对信息处理者特定行为是否规制、如何规制,归根结底取决于信息主体对个人信息是否享有、享有何种值得法律保护的利益。只有在确定个人信息权益究竟属于何种法律权利的基础上,才能进一步推演相应的法律义务、责任和规范,达至一套个人信息保护法律体系。其次,在此前提下,学界主流观点认为我国个人信息保护法律体系的概念基础是作为民事权利的个人信息权,据此推导出信息处理者负有不得侵害个人信息的民法义务,民事责任是个人信息保护的基本手段,《民法典》是个人信息保护领域的基本规范,同其它个人信息保护立法(如《个人信息保护法》)属于一般法和特别法的关系。[2]

   本文赞同我国个人信息保护法律体系应以法律权利为概念基础,但认为恰当的选择并非作为民事权利的个人信息权,而是作为宪法基本权利的个人信息受保护权。具体论证分三步展开:第一,梳理民事权利基础论的理路,剖析其三项核心命题,并展开反思;第二,论证个人信息保护能在我国宪法上获得安顿,并应以“个人信息受保护权”的概念来表达;第三,在宪法上个人信息受保护权的视野下,通过展开其内容、功能与限制,建构我国个人信息保护法律体系。

   二、重省民事权利基础论

   (一)民事权利基础论之理路

   民事权利基础论包含以下三项核心命题:

   第一,主张个人信息本身是民事权利客体。理由如下:①基于《民法典》第111条,认为若个人信息不是民事权利,则“立法者不可能在作为民商事领域基本法的《民法典》中做出规定,更不会在其总则编的‘民事权利’章中加以规定”。[3]②认为个人信息权本质上是一种对世、排他、绝对的个人信息自决权,保护自然人对个人信息的自我占有和支配。[4]③认为个人信息权是新型、独立的人格权,除传统人格权消极防御的特性外,还有积极控制的面向,派生出信息知情、同意、查询、修改、更正、删除等权能。[5]

   第二,主张个人信息权益不具有公法权利属性。理由如下:①认为作为民法权利的个人信息权可对抗任何组织或个人的侵害。公权力机关侵害个人信息权,私权利主体同样可要求其承担法律责任。[6]②认为“尽管实践中对个人信息采用刑法、行政法等多重保护机制,但并不影响个人信息权为民事权利的基本属性。为了全面保护民事主体的利益,在民法之外,通过刑法、行政法乃至社会法来保护民事权利,是法律保护的常态表现”。[7]③认为处理个人信息的公、私主体虽然“在处理目的、合法性基础等方面存在不同,但不因此导致自然人与处理者之间关系的区别。信息处理者与自然人之间的法律地位是平等的。国家机关与非国家机关,均负有不得侵害自然人民事权益的义务。在私权利保护的问题上,不存在公权力机关比非公权力机关处于更优越地位的情况”。[8]“尽管个人信息受保护权的使用、收集过程中存在着行政管理部门的公法行为,但这只需要规定政府部门在信息管理过程中的职责与责任即可,个人信息保护法的核心内容应是民法规范,政府部门的公权在个人信息领域不宜膨胀。”[9]

   第三,主张从信息主体的个人信息权出发,以“信息处理者民法义务—侵权者民法责任—《民法典》规范”的逻辑,建构个人信息保护法律体系。理由如下:①认为包含公权力机构在内的所有社会主体均负有不侵犯个人信息权的民法义务。[10]②认为“只有民事责任能真正弥补信息主体的损害”,因为其“主要形式是赔偿损失,以恢复被侵害人的权益为目的”。[11]③主张“我国民法典人格权编对个人信息保护的规定,并非简单的一部法律对个人信息保护的规定,而是具有如同《欧盟基本权利宪章》第8条关于个人信息保护规定相同法律地位的规定”。“只有在民法典中确认个人信息权后,才能为个人信息保护的特别立法提供民事基本法依据。”[12]

   公允地讲,上述观点并非囿于学科门户之见,而是具有深刻现实背景和重大历史意义。随着信息技术高速推进,个人信息面临巨大风险,传统隐私保护捉襟见肘,亟需新的法律解决方案。以2000年全国人大常委会《关于维护互联网安全的决定》为起点,我国的个人信息保护法律制度逐步完善,但直到2020年《民法典》出台,才一改此前间接、零散的立法进路,在民事基本法的高度规定个人信息受法律保护。相较于行政法、刑法等其它部门法,在该领域,确实是民法提供了迄今最有力、最全面的法律回应。这正是众多学者强调民事权利、义务、责任和规范在个人信息保护法律体系中基础性地位的现实背景。而民法保护体现了对个人信息所承载的尊严、人格、隐私、财产等重大利益的关照,对一个私权保障仍在途中的国家,具有不可否认的历史意义。然而,民事权利基础论内含的三项命题在理论和实践层面均值得反思。

   (二)民事权利基础论之反思

   第一,将个人信息作为民事权利客体与民法既有概念体系存在张力。理由如下:①《民法典》第111条并未明确规定“个人信息权”,有别于第110条规定“姓名权、肖像权、名誉权、荣誉权、隐私权”。早在《民法总则》起草时,个人信息是不是民事权利就有争议,[13]但《民法典》最终没有规定个人信息权。这并非立法机关的无心之失,而是基于对个人信息特性的深刻洞察。②与传统的人格、财产权客体不同,个人信息没有特定性、独立性,也非无形物,不能归入表彰民事权利的客体。[14]更重要的是,它具有非排他性、非损耗性,兼具流通和控制双重价值,不能也不应成为绝对、排他、对世的权利对象,否则将阻碍数字社会的纵深发展。[15]即使赋予信息主体此种民事权利,也远非最佳保护手段,因为个人信息保护要解决的核心问题是个人与信息处理者之间的“非对称权力结构”。[16]个体主义权利进路下,个人信息权极易沦为“纸面上的权利”。[17]可以说,立法者正是洞察到上述问题,才选择不在《民法典》中明文规定“个人信息权”。③实事求是地讲,对个人信息权的上述局限,民法学者早有认识,故提出新型人格权说,试图缓和传统人格权独占、排他的性质,以顺应信息时代之巨变。然而,这是以突破传统民法教义为代价的。如所周知,民法的经典叙事是:人格权不得转让,但民事主体可将部分人格利益以许可使用的方式允许他人利用。[18]人格权以占有、保护为原则,以流转、交易为例外。但个人信息并非如此,在现代社会,其保护和流转价值并重,不存在孰为前提、孰为例外。这也能解释为什么《民法典》第993条在设定人格利益许可使用制度时,只列举了姓名、名称、肖像,而没有提及个人信息,因为个人信息的流转、交易与传统民法上的人格利益许可使用并不相同。[19]这意味着要把个人信息保护塞入民法人格权框架,很大程度上必须破坏其原有结构。[20]当然,民法学者可回应道:为了与时俱进,突破传统民法是应付的代价。但更难应对的问题是:个人信息权无法派生出知情、查询、修改、保密、删除等权能,因为它们本质上是在“服务一种特定的立法目的,即有效地阻止个人信息被非法滥用,而非使信息为个人所独占”。[21]

   第二,个人信息权益不仅具有民事权利属性,也具有公法权利属性。理由如下:①作为民事权利的个人信息权无法对抗公权力机关。一个法学常识是:民事权利和公法权利的核心差异在于前者对抗平等民事主体,后者对抗国家。这当然不是说公权力机关可以不尊重民事权利,而是说当公权力机关以平等民事主体身份处理个人信息时,需要尊重其所承载的民事权益。一旦公权力机关履行公共管理职责而处理个人信息,则需尊重个人信息公法权利。在《民法典》之前,早有一系列法律规定了对抗国家的个人信息公法权利,包括《护照法》第12条、《居民身份证法》第6条、《国家情报法》第19条等。《民法典》不会覆盖或推翻这些先在立法。事实上,就连《民法典》第1039条要求“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的个人信息应当保密”,也是在规定一项公法权利。②对个人信息的多重保护机制无法从作为民事权利的个人信息权中导出,原因有二:一方面,国家运用行政法、刑法等手段来保护个人信息,并非为了实现信息主体对个人信息的独占,也不是在协调作为平等民事主体的信息主体和信息处理者之关系。之所以要在民法之外引入其它部门法的多重保护,恰恰是因为信息主体和处理者之间高度不平等,[22]以个体维权、诉讼为核心的民法机制无力“纠偏”,亟需公共监管、执法和处罚为核心的行政法、刑法机制来“驰援”。[23]另一方面,对抗私主体的民事权利无法派生对抗公主体的公法权利及配套的公法保护机制。③当然,民法学者意识到国家早已成为个人信息的处理者,也承认公法保护的重要性,[24]但因担心承认个人信息公法权利会导致公权机关优位和公权膨胀,仍坚持个人信息仅仅是民事权利客体。在以“管理法”为核心的公法挤压私法的现象并不鲜见的今天,这种担心值得理解与同情。[25]但现代公法权利的本意是“主观公权利”,反映了约束公权、张扬人权的政治哲学,[26]与民法私权神圣、私法自治的价值导向若合符节。因此,承认个人信息权益的公法权利属性,不会膨胀公权,而能限制公权。若对公权与私人信息处理者一视同仁,反会造成“公法遁入私法”,使公权机关假借民事主体身份逃脱公法约束,以表面平等掩盖实质不平等。

第三,“信息处理者民法义务—侵权者民事责任—《民法典》规范”的逻辑难以完整覆盖个人信息保护法律体系。理由如下:①仅有民法义务无法约束公权机关高权性、强制性、公益性的信息处理行为。这些行为只能对应公法义务。②仅有民事责任不足以完成个人信息保护重任。个体侵权诉讼在因果关系认定和赔偿确定上存在极大困难,GDPR主要是通过高额罚款来阻吓侵权行为,并没有涉及任何私法救济方式。[27]更何况公权机关依职权处理个人信息的行为违法,应承担行政赔偿责任,根据《行政诉讼法》《国家赔偿法》来救济。[28]③在我国个人信息保护法律制度尚不完善的语境下,(点击此处阅读下一页)

    进入专题: 宪法基本权利   个人信息   民法典  

本文责编:admin
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/127413.html

2 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2021 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统