王锡锌:作为规制工具的个人信息权利束

选择字号:   本文共阅读 135 次 更新时间:2021-12-30 16:39:59

进入专题: 个人信息权利束  

王锡锌  
任何组织、个人不得侵害自然人的个人信息权益。”如何理解权利束与“个人信息受法律保护”及“个人信息权益”这两个基础概念之间的逻辑关系?对这一问题的回答,需结合第1条中“规范个人信息处理活动”的表述进行理解。也即是说,需要厘清在个人信息处理活动中,国家为何要保护?要保护什么?明确这两个问题,才能更好地回答“保护法”定位下如何进行保护的问题,这就是目的—手段逻辑。

  

   应该看到,随着信息搜集、储存、整合、传播、处理方式和技术的迭代革新,加之个人参加社会信息网络场景,尤其是各类电子化场景的普遍性,作为个人与社会互动介质的“个人信息”,不仅是“个人的”,也是“社会的”;个人信息的“可被处理性”及可利用性不断增强。一言以蔽之,在信息化时代,国家没有必要、也没有可能去保护个人对其个人信息的独占性控制和支配。

  

   实际上,在个人信息和数据处理过程中,真正需要国家积极介入的原因在于:个人面临着受平台权力或数据权力(data power)支配、压迫甚至奴役的现实风险,容易因为“被工具化”及“数字化”而丧失作为人的主体性地位。例如,信息处理者可以通过挖掘信息形成特定的“人格画像”,侵入个人隐私并对私人决策形成支配和操纵;以无数个人信息集聚为基础的“大数据”结合算法自动化决策,对公民就业权、受教育权以及一些政治权利带来不可忽视的歧视风险等。进一步看,基于数据处理的累积效果,数据处理者对个人带来的风险和损害将具有连锁效应:在数据处理的不同环节都有可能发生数据滥用与安全风险,导致与个人信息相关法益的“次生性”损害。例如,数据伪造导致的数据低质量可能引发个人经济机会减损及财产损失;消费者欺诈导致不公平契约的订立与履行;信息不当公布与泄露引发名誉权等人格权益受损害;等等。

  

   这些广泛存在于各种处理场景下的系统性损害风险,往往具有复合的、多层次的形态,需要立法者与执法者予以充分评估与管控,并展开预防性、全环节的保护,其核心要素在于对平台为代表的数据权力进行约束。因此,个人信息保护制度良好运行的关键并不在于赋予个人多么完备、强力的控制权,而在于国家制定并维护一套公平的个人信息处理规则,支援个人与数据处理者展开谈判并对其进行监督。只有在国家主导的规制框架与治理网络中,才能充实“知情—同意”等信息处理规则所蕴含的规范性力量,缓解个人面对数据权力压迫的无力感,从结果上切实提高个人数据保护的程度。

  

   与私权视角下个人自主控制的目标相比,国家建构个人信息保护规则的主要目的是保障数据处理活动全环节的公平性、合理性和谨慎性,追求个人信息处理风险与流通收益的均衡,而不是限制或禁止信息处理活动。在国家主导的规制网络中,个人信息权利束成为了个人发挥积极力量、制衡数据权力的重要工具,其作用在于充实(empower)个人信息受保护权,促进信息处理行为的规范化,从而有效地保护个人信息所承载或关联的各种法益——包括以尊严为核心的基本权利以及人格、财产等民事权利或利益。在这个意义上,试图建构一项民法上的个人信息权,并将权利束作为其具体权能的观点,其实是混淆了个人信息保护中手段与目的、工具理性与价值理性的关系。

  

   从功能维度看,个人信息权利束本身并非实体性、目的性的法益。国家并非要保护个人对其信息的支配与控制,而是赋予个人各种“手段和工具”,在个人与信息处理者之间形成工具理性的制衡结构与行为模式,进而保障个人免受数据权力的支配、减少数据处理风险,相应地也就保护了与个人信息相关的个人尊严、隐私、财产等实体价值。这些实体价值才是个人信息保护制度中具有价值性、实体性、目的性的法益。换言之,从个人信息立法最终所保护法益的角度观察,对个人信息权益的界定,需要回归到个人信息承载的与个人有关的实体权利和法益,而不只是个人在个人信息处理中的权利。“个人信息权益”这一概念实际上具有双层结构,既包括工具层面的个人信息权利束;也包括目的层面,个人信息上所承载的、可能在个人信息处理中遭受侵害的相关实体性权益。个人信息保护法规范的建构不应将这两者混淆。

  

  

   (二)公法秩序下的工具性权利

  

   个人信息权利束既是个人制衡信息处理者的工具,也是国家规制网络中的重要策略手段。国家在“个人—信息处理者”关系上,从法律层面赋予了个人制衡信息处理者的一些基本工具,这就好比国家作为基本权利的守护者,将“护身符”赋予个人,使其在数据处理的场景中能够全环节制衡信息处理者。与之相应,信息处理者应当建立个人行使权利的申请受理和处理机制,同时需要遵守对个人信息使用方式的既定义务与程序要求,从而形成有利于保障相对人权益的稳定的、可预期的个人信息处理行为规范。由此,国家主导下的个人信息保护的“法秩序”得以初步建立。

  

   但国家通过规则表达进行赋权和建立法秩序之后,并非“退场”,而是以维护法秩序为支点,对个人提供组织与程序保障、监管和执法的支援,以不断调控、监督处理者的个人信息处理活动。这也正是《个人信息保护法》在权利束规定之外,亦详细设计了“履行个人信息保护职责的部门”“法律责任”等相应制度的原因所在。在监管层面,国家可将权利束作为工具,推进个人信息保护规范实施中的策略选择和具体部署,形塑不同行业、不同场景下信息处理者的行为模式,在提高个人信息保护水平的同时兼顾对产业发展的引导和推动。从欧盟GDPR实施过程的实践看,情形正是如此。例如,欧盟数据保护委员会围绕GDPR条文出台了近30份指南、推荐、最佳实践等,且持续不断修订,以在技术创新、商业实践、个人权利保护等因素之间做出适时动态调整,从而为信息处理者提供了合规指引与行为准则。

  

   相较于私法赋权模式的事后维权机制,公法秩序下工具性权利的定位,一方面可以将平台责任前置,使监管者可以要求数据处理者在数据处理前便对权利束的行使与受理机制进行妥善规定,以实现事前防范与主动防护,在风险性信息处理行为尚未规模化发生时便设计、反思与完善更合理的用户规则,促进隐私政策的民主性、合理性、公平性;另一方面,国家设定数据处理的“游戏规则”并“巡逻监管”的保护模式,对数据聚集的“不可见”趋势以及个人与数据处理者之间的权力不对称具有抑制和监督作用,保护力度更强。

  

   以前文提及的“知情—同意”困境为例,这种国家保护的模式可以有效缓解“同意的乌托邦”困境。首先,国家可以设定这一处理规则的最低保护标准,并建立直接针对处理规则合理性的投诉举报与程序响应机制。例如,监管者可以根据调查评估情况,要求企业提升隐私政策的告知透明度与友好度,强化个体的风险认知与决策能力,提升个人选择和同意的质量,避免个人信息隐私保护政策因为过于冗长、烦琐而变异为一种严苛的私人负担及公共损失。其次,信息处理者可在国家引导与外部监管的合力中,激活“自我规制”的机制,增强其内部的组织控制和行为控制,审查和反思其“知情—同意”的处理规则与隐私政策是否满足国家法秩序下的保护标准;在此基础上,数据处理者完全可以在国家的政策激励与责任约束的合力之下,将其个人信息保护水准作为企业竞争策略,从而可持续地优化企业内部的隐私治理体系,创造更有效的合规文化与隐私友好政策。最后,国家可提供各种渠道和途径引入社会参与和监督,这既可降低监管和执法成本,也可促进大规模、可持续的社会数据治理的公共理性。

  

   综上而言,相较于抽象、形式化地基于保护需要而赋予个人对信息的实体性控制权而言,工具性权利的理解有助于引导立法者与监管者不断反思:权利束的内涵及标准是否合理?是否可改进?通过哪些主体的参与来完善权利束的具体权能、进行合作规制?由此,以工具性权利束为支点,可以撬动多方社会力量、信息处理者与个人一同开展数据治理中的合作博弈,共同建构并维护一套公正、透明、理性的“公法秩序”,切实提升国家的数据治理水平。

  

  

   (三)工具性权利的保障方式

  

   个人信息权利束作为公法上工具性权利的性质界定,也意味着该种权利保障及救济方式应不同于民事权利,有其特定的保障方式及体系。什么是侵害权利束的行为?从行为表现看,这实际上是指信息处理者违反权利束中某项或多项权利规则所要求的行为模式而处理个人信息的行为,例如未经用户同意就私自获取信息、处理过程透明度不足、不提供注销账号与删除信息的功能等。若转换到监管视角,此种侵害行为实际上就是信息处理者违反“合规”义务的行为。此时,对权利束的保障,核心在于确保其制衡效果的有效发挥,维护数据处理活动的公平性与合理性。对此,监管机构可以积极行使职权介入,针对未满足特定个人信息保护标准的处理行为,运用多种行政手段展开纠偏。

  

   而在私法责任方面,民法框架下的侵权责任,主要是在与信息处理活动相关的个人的人格权、财产权遭受侵害或面临侵害危险时才可适用,且须经由司法途径展开。由于权利束的性质并非民事权利,故侵害权利束之权项并不直接、必然地等于民事侵权;民事侵权责任的认定与承担,应结合个案中个人民事权益受损情况、加害行为的性质以及相应的利益衡量规则展开,只有在侵害权利束的行为同时也侵害了民事实体权益时,才能激活民事侵权诉讼机制。也就是说,包括权利束规则在内的个人信息处理规则,具有类似于侵权法上的“保护性规范”的效果,信息处理者违反权利束规则的行为并不必然导致民事责任。

  

   而在法解释上,我国《个人信息保护法》除了规定监管执法对个人信息权利束在内的个人信息处理规则的保障外,还在第50条第2款规定:“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”不过,这一规定并非将个人信息权利束当作民事权利进而直接链接到民事侵权诉讼。实际上,该条文在比较法上对应的渊源是GDPR第79条的规定:“数据主体认为由于对其个人数据的处理不符合本条例而导致其在本条例项下的权利受到侵犯的,其有权获得有效的司法救济。”但在欧盟实践中,对该条文的理解与适用方式,一般是个人首先经由投诉举报等机制交由具备功能优势的监管机构裁决、执法,同时保障个人不服监管机构处理决定时,仍享有及时提起行政诉讼的最终补救权利,这符合“有效的司法救济”的要求。从“有效性”(effectiveness)角度看,监管效率要求行政监管和执法前置,其他途径只是作为监管不足的最后补充手段。也就是说,无论是“可以依法向人民法院提起诉讼”还是“有权获得有效的司法救济”,这些关于个人诉权的规定,都不应被解释为确立了一套直接针对权利束的民事诉讼机制,而是强调个人信息保护法秩序内在地具有保护个人权益的目标和功能,因而在监管执法处理的前置性程序要求下,个人依然可以主张保护请求权,并享有在穷尽行政救济途径后提起诉讼的权利。

  

同时需要注意的是,将个人信息权利束定性为公法权利与通过公法机制予以保障,并不会阻隔个人通过民事途径获取相应救济的渠道。这些民事实体权益的私法保障及个人自我保护的诉讼方式,可以结合权利束被侵犯的情形得到类型化;权利束的具体操作规则与合规要求也可以衔接民法上的侵权责任构成、不同责任承担方式的选择、证明责任分配等内容。(点击此处阅读下一页)

    进入专题: 个人信息权利束  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/130616.html
文章来源:《中国社会科学》2021年第11期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统