摘要: 对于个人信息保护,当前主要存在是否设立权利和如何设立权利的重大分歧。无论是试图通过扩大隐私权保护个人信息,还是通过权益保护个人信息,抑或是主张基于场景实行行为主义规制,都难以全面应对信息风险社会的严峻现实。《民法典》《个人信息保护法》将个人信息作为权益保护,但却均为个人设立了一些具体权利。为了制约数字时代如影相随的“数据权力”,提高基于场景的行为主义规制的正当性与实效性,实现个人信息保护和合理利用的平衡,有必要设立个人信息保护的基础性权利。个人信息权、个人信息控制权、个人信息自决权均存在难以克服的弊端,应以新兴积极权利和公私主体义务的视角设立个人信息受保护权。个人信息受保护权同时内含“权利保护请求权”和“本权请求权”,包括消极防御和积极受益两个面向,为公私主体设定了个人信息保护的双重义务。
关键词: 个人信息 隐私权 个人信息受保护权 积极权利 数字经济
科学合理设立个人信息权利,是数字时代个人信息保护法治建设中无法回避的重大问题。《个人信息保护法》沿袭了《民法典》的思路,仍然保护的是个人信息权益,但却为个人设立了一些具体权利,如知情权、决定权、查阅权、复制权、删除权、可携带权。既然保护的是个人信息权益,又何来具体权利?个人在个人信息处理活动中的权利并非权能,其对应的基础性权利又是什么呢?“权利束”可以“包打天下”吗?个人信息保护基础性权利的缺失,导致个人信息难以得到公私法体系的融贯性保护,使个人信息保护的具体权利与义务难以及时跟上数字科技日新月异的发展节奏。只有在确定个人信息权益究竟属于何种法律权利的基础上,才能进一步推演相应的法律义务、责任和规范,达至一套科学完备的个人信息保护法律体系。[1]
保护个人信息权益的法律定位,并没有消除个人信息保护权利化的争议,也没有有效解决个人信息保护实践的难题。对于个人信息保护的权利化,当前主要存在是否设立权利和如何设立权利的重大分歧。私法学者对个人信息权利进行了相对较多的研究。很多学者认为,为了提升个人信息保护预期的稳定性,防止科技与商业的非理性发展,实现人民对美好生活需要的“共同善”,应当设立个人信息权。[2]应当“完善《民法典》人格权编中关于个人信息保护的规定,明确个人信息权作为独立人格权的权利属性。”我国在修订《民法典》时,“应当明确赋予自然人以个人信息权”。[3]另有学者则认为,《民法典》中的个人信息保护综合运用了义务性规则和授权性规则,“‘个人信息权’已经蕴含在《民法典》个人信息保护规则之中”。[4]《民法典》确立了个人信息权的基本框架,《个人信息保护法》进一步细化了个人信息权的主体、客体、效力、行使条件、救济手段,“我国已然构建了一套以个人信息权为核心的个人信息保护法律制度”。[5]然而,我国至今没有任何法律直接使用“个人信息权”一词。
少数公法学者则认为,以传统民事权利话语来界定个人信息保护最终难免出现各种矛盾,应确立个人信息控制权,将其作为一项新型公法权利。[6]另有学者认为,个人信息保护法体系建构的基础是国家在宪法上所负有的保护义务,该义务对应着“个人信息受保护权”。[7]反对赋权的学者则认为个人信息具有社会属性,如果把个人信息看作一种可以对抗他人的权利,将不利于个人信息的流通利用。为了解决个人同数据控制者之间不平衡的权力关系,确保数据隐私和安全,应建立数据信托制度。[8]
当前研究无论是对个人信息权利的理论构建,还是对实定法的解释,都存在很大的分歧。数字时代是否以及如何设立个人信息权利,不仅直接关系国家义务的科学配置,涉及私主体的责任承担,还会影响数字经济的高质量发展。本文将首先考察当前个人信息保护权利化与否的路径分歧,对个人信息权、个人信息控制权、个人信息自决权等权利设立的流行观点进行全面反思,然后提出应以新兴积极权利和公私主体义务的视角设立个人信息受保护权,并对该权利的内容、规范对象、价值、可行性等进行系统探讨,以期为《个人信息保护法》的实施和完善提供一定的理论依据与学术支撑。
一、个人信息保护权利化与否的争论
个人信息保护的重要性不言而喻,但对于是否应当设立新型权利以更好地保护个人信息并未达成一致,《个人信息保护法》的颁布也没有消除相关争议。反对设立新型权利的典型观点,包括主张通过传统的隐私权保护个人信息、通过权益保护个人信息、基于信息处理场景实行行为主义规制等典型学说。
(一)通过隐私权保护个人信息
数字时代的隐私权日益岌岌可危。一些国家和地区试图通过不断扩大传统隐私权的内涵,来应对数字时代信息风险的新挑战,“大隐私”或信息隐私权的概念应时而生。有学者认为,我国信息隐私法发展面临重要的“宪法时刻”,技术巨变重构了社会图景,应从信息论和社会理论视角再造隐私,重构信息隐私权的规范基础。[9]应重新认识隐私与个人信息的关系,从宪法教义学上进行解释更新,“将隐私扩展到个人信息之上”。[10]
在隐私保护实践中,以美国为代表的一些国家和地区,一直以来主要通过隐私权保护个人信息。1890年美国学者沃伦和布兰代斯在《论隐私权》一文中,首次提出“隐私权”概念,将其定义为生活不受干涉的权利。个人拥有隐私权,可以防止肖像被不当公开,保护私人事务不被新闻报刊不当描写、议论。[11]1965年,美国联邦最高法院在判决中提出,个人享有宪法性的隐私权。[12]1974年,美国颁布《隐私法》。随着互联网技术的不断发展,单靠传统的隐私权已无法有效保护个人的信息权利,隐私权的内涵不断扩张,信息性隐私权(information privacy)得以产生。2018年颁布的《加州消费者隐私法》拓展了隐私权,赋予消费者对个人信息的知情权、访问权、删除权和拒绝权等多项权利。在日本,《个人信息保护法》主要是通过隐私权保护个人信息,隐私权从传统的“个人生活安宁不受干扰”的消极权利,演变成为具有积极意义的“信息隐私权”。[13]我国台湾地区,也将隐私权作了扩大化理解,包括保护私生活不受干扰和信息自主两大方面。[14]
在数字科技高度发达的数字时代,单纯靠传统的隐私权,无法有效保护个人信息。隐私权侧重于保护个人的生活安宁与行为秘密不受侵犯,具有消极性、防御性的特征,而个人信息权利具有积极性、公共性的面向。个人信息的主要价值在于社会交往的可识别性,发挥着个人与他人及社会的媒介作用,“对其保护不意味着像隐私一样不为人知晓”。[15]在外延上,隐私与个人信息存在交叉,隐私不限于信息形态,个人信息不必然属于隐私,一切可以直接或间接识别个人的信息都可以称为个人信息。在黄某诉某读书软件案中,法院认为,该读书软件在未获用户有效同意的情况下获取通讯录好友关系,并自动关注通讯录好友,还向其默认开放读书信息,虽然没有侵犯原告的隐私权,但侵犯了其个人信息权益。[16]不论是强行将个人信息保护纳入隐私权的范畴,还是为了个人信息保护来调整隐私权,在结果上要么会导致隐私权在理念上所追求的绝对自主空间的崩塌,要么会导致个人信息在运用上的困难以及与现实的背离,并且导致二者在内容上的互相侵害与恣意解构。[17]
(二)通过权益保护个人信息
此种路径将个人信息作为权益加以保护。《民法典》总则编第111条、人格权编第六章“隐私权与个人信息”,都只是使用了“个人信息”,明确将其界定为人格权益而非权利。《个人信息保护法》受到《民法典》的影响,仍然将个人信息作为权益保护,第1条的立法目的明确表述为“为了保护个人信息权益”。正如《关于〈中华人民共和国个人信息保护法(草案)〉的说明——2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上》所表明:“把握权益保护的立法定位,与民法典等有关法律规定相衔接,细化、充实个人信息保护制度规则。”然而,《个人信息保护法》第四章专门规定了“个人在个人信息处理活动中的权利”,赋予个人知情权、决定权、查阅权、复制权、删除权、可携带权等多项具体权利,显然存在逻辑体系上的矛盾。既然个人只享有个人信息权益,又何来具体权利?其上位的基础性权利是什么?而且,只是简单列举个人信息保护的一些具体权利,难免“挂一漏万”,导致无法推导出更多的新型具体权利,从而难以适应数字科技飞速发展带来的挑战。工具性的“权利束”无法“包打天下”,不同场景下公民因个人信息被处理而面临的尊严减损风险不尽相同,工具性权利也须相应调整。此外,同一套工具性权利难以同等适用于国家机关。[18]
相比于个人信息权益而言,权利被侵害时,在加害行为的违法性认定和过错判断上对个人更有利,所提供的保护力度也更大。只将个人信息作为一种权益进行保护,“存在模糊性的弊端,会影响各方主体的行为预期”。[19]更为糟糕的是,如果只是保护个人信息权益,个人就难以全面有效地向国家和私主体主张积极的个人信息保护义务。赋予个人对其个人信息的人格权益,将其作为个人信息保护制度尤其是个人信息处理规则的构建起点,“不仅会造成个人信息保护法内在逻辑的混乱,也会对个人信息保护法律实践带来诸多问题”。[20]
(三)基于信息处理场景的行为主义规制
个人信息保护的行为主义规制论认为,不同的信息处理行为会造成不同的损害,应转向对信息处理行为的场景化规制。如有学者认为,由于地位不平等、交易成本巨大等因素,赋权路径无法解决个人举证难问题,也不能提高个人信息处理的违法成本,应重点规范信息处理行为。[21]规制信息处理行为的必要性与合理性往往取决于不同的场景,应根据“尊重场景”原则实行差别化的行为主义规制,“突破传统强化个人信息赋权的进路”。[22]在基于场景的风险管理理论下,需要根据具体场景中的风险评估采取不同的保护措施,实现从信息处理前的静态合规遵循,到信息使用中的动态风险控制的转变。[23]诚然,个人信息处理行为确实是高度场景化的,个人信息保护规制不宜“一刀切”。然而,基于场景的信息处理行为主义规制论者,并没有很好地回答究竟该如何根据具体场景保护个人信息、如何防范由于过于强调场景而导致的规制权滥用等问题。
在数字时代,无论是试图通过扩大隐私权保护个人信息,还是通过权益保护个人信息,抑或是主张基于信息处理场景实行行为主义规制,都不足以全面有效地保护个人信息,难以应对信息风险社会的严峻现实。个人信息保护的权利化刻不容缓。
二、个人信息保护权利化的必要性及其困境
数字科技发展的极化效应很可能会使个体在技术进步中面临困境,国家治理现代化的终极理想应是保障每个个体都能实现自由、全面、充分地发展。[24]通过赋予个人以新兴信息权利,可以制约数字时代如影相随的“数据权力”,可以提高信息风险规制的正当性与实效性,从而有利于最大程度减少无处不在的信息风险,个人信息保护“不能也不应该”回避权利话语。[25]
(一)个人信息保护权利化的必要性
其一,个人信息保护的权利化,有利于矫正信息处理中的权力不对等和信息不对称,可以为个人对抗个人信息处理者提供武器。无论是私主体还是国家机关处理个人信息,即便存在告知同意机制,但日益流于形式,个人始终处于弱势地位。数字时代的意思自治与契约自由面临严峻挑战,[26]个人很难自主做出明智的选择,往往无法有效保护自身信息,尤其是在个人很难评估其信息处理会造成潜在风险的严重性的情形下。由于个人信息处理者的权力与信息优势地位,导致意思自治难以实现,明显不利于个人同信息处理者进行讨价还价,个人主张私法责任也无法有效实现。[27]为了一时便利而无视风险,不知道风险的存在或严重性,对于风险无可奈何而放任不管,种种情形都表明数字时代的个人属于弱者,个人理性是有限的。“源于小数据时代的告知同意机制步入困境,逐渐失去了其本来面目。”[28]而且,个人信息保护的告知同意机制存在大量例外情形,《个人信息保护法》第13条似乎有模糊“告知同意规则”作为核心规则的嫌疑,确立了“告知同意”作为一般规则及其法定例外的规范结构。[29]为订立或履行合同所必需、为实施人力资源管理所必需、为履行法定职责或者法定义务所必需、为保护自然人的生命健康和财产安全所必需等情形,都无须获得同意而可直接处理个人信息。
法治实践反复证明,保护处于弱势地位的个人,最有效的方式就是赋予权利。权利之功能的重点在于,向社会其他主体表达权利性行为的“不受侵犯性”和“可获帮助性”。[30]权利的更迭史就是新兴权利不断涌现的历程。数字科技的发展使得个人信息极易被侵犯,导致个人处于不可知的信息风险状态之中。掌握“技术霸权”的信息处理者,拥有巨大的地位优势,事实上行使着私权力,极易滥用个人信息谋取自身利益最大化。“权利不是单纯的思想,而是活生生的力量。”[31]只有确立个人信息新兴权利,才能为个人提供强大的能动工具,使其可以有效对抗信息处理者和公共机构的“数据权力”。如果我们始终不赋予个人信息以权利地位,一则不能给个人信息明确的名分,会使“公地悲剧”愈演愈烈;二则使个人信息的利用长期处于无序状态,谁事实上掌握信息多,谁就能不断扩大其信息利用优势的“丛林法则”大行其道。[32]个人信息保护必须体现国家对个人的赋权和支援,而不是听任和观望处于弱势一方的个人与强势的信息处理者进行“空手”博弈。[33]
其二,个人信息保护的权利化,有利于国家义务的合理配置,促进政府规制的有效展开。欲正当化基于信息处理场景的行为主义规制并提升其效果,个人信息保护权利设置不容回避。通过设立统一的个人信息保护基础性权利,各部门法再根据其领域特点制定明确具体的保护规则,有利于形成融贯的个人信息保护法治体系。
在私法上,个人信息保护权利设置涉及私法责任追究;在行政法上,个人信息保护权利设置直接关乎行政规制的正当性及其效果;在刑法上,个人信息保护权利设置直接关系相关罪名的构成要件解释。当前刑法学界对于“个人信息”的法益属性存在较大争议,对个人信息的保护存在经济秩序保护、人格权保护、物权保护与公共秩序保护四种模式。对于侵犯个人信息的定罪,罪名适用混乱,存在侵犯公民个人信息罪、非法获取计算机信息系统数据罪、盗窃罪、职务侵占罪甚至侵犯著作权罪等多种情形。[34]个人信息保护的权利化,可以为部门法提供有效的实施依据,减轻个人信息保护的论证负担,增强执法合力,最终有利于更好地进行信息风险治理。为了更加体系化地保护个人信息,并不断适应环境变化对新型具体权利的需求,应当设立具有统合性的个人信息保护基础性权利。
事实上,我国立法机关已经认识到设立个人信息权利的重要性,只是对于设立何种权利还存在分歧。《全国人民代表大会法律委员会关于〈中华人民共和国民法总则(草案)〉修改情况的汇报》指出:“个人信息权利是公民在现代信息社会中享有的重要权利,明确对个人信息的保护对于保护公民的人格尊严,使公民免受非法侵扰,维护正常的社会秩序具有现实意义。”《关于〈中华人民共和国个人信息保护法(草案)〉的说明——2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上》提出:“在编纂民法典中,将个人信息受法律保护作为一项重要民事权利作出规定。”可见,立法机关曾经尝试过设定个人信息保护的基础性权利。
(二)个人信息保护权利化的种类争议
个人信息保护具有权利化的必要性,但是对于如何设立个人信息权利,私法与公法学者们并没有达成一致意见。主张设立个人信息权、个人信息控制权和个人信息自决权三种类型的权利最具有代表性。
1.个人信息权
在《民法通则》实施期间,我国就有学者提出设立个人信息权。如王利明认为,将新型的具体人格权个人信息权作为独立的民事权利,不仅具有宣示作用,而且还可以为个人行使和维护信息权利提供明确的指引。[35]在立法上,《民法总则草案(2015年8月28日民法室室内稿)》《民法总则草案(一审稿)》都没有个人信息保护的条款,由于学界、社会舆论中存在较高的呼声,二审稿中增加了个人信息保护的内容。[36]2017年生效的《民法总则》第111条规定了个人信息受法律保护,虽然并没有明确规定个人信息权,但有学者坚持认为,该条款规定了个人信息权,而不是个人信息利益。[37]在2017年全国人大会议上,有代表在《个人信息保护法(草案)》议案中提出了“个人信息权”。在《民法典》制定过程中,人格权编草案对个人信息权的规定存在争论,不断有学者主张通过私权制度保护个人信息,使其成为民事权利的客体。“我国应当正面规定作为独立民事权利的个人信息权”,以更好地保护个人信息,使人格权编体系更和谐。[38]个人信息权应“融入民事权利体系中的绝对权大家庭”,应完善个人信息权的权能体系。[39]也有公法学者认为,应将个人信息权确立为宪法位阶的基本权利,并以基本权利作为针对国家的主观防御权和辐射一切法领域的客观价值秩序的原理,协调个人信息保护的私法机制和公法机制。人权条款是个人信息权作为公法权利的理论基石,人格尊严是个人信息权作为积极权利的规范依据。[40]
对于个人信息权的性质,大多数学者认为属于人格权,但也有学者认为具有财产权属性。个人信息具有人格属性和潜在的商业价值,应分别给予人格权保护和财产权保护。无论是基于传统的私法正义理论,还是依据现代的法律经济学方法,都应确立个人信息的人格权和财产权。[41]个人信息的人格权归属于个人,基本个人信息的财产权为个人所独有,伴生个人信息和预测个人信息的财产权为个人与信息企业所共有。[42]还有观点认为,个人信息权类似于知识产权,“出售”个人信息应视为类似于知识产权的使用许可,应参照著作权规则设置一定的保护期限、保护范围及合理使用条件。[43]不同的观点则认为,普通的个人信息财产价值不大,人格权商品化理论足可解决信息财产利益保护问题。[44]还有观点认为,个人信息权为财产权,其保护的是信息处理者合法获得并转化为信息的个人数据,个人数据权才是人格权,其保护的是数据主体的个人数据。[45]实际上,不应将个人信息权仅仅作为人格权。人格权重在保护人格尊严,强调消极防御;而财产权重在实现利用价值,强调积极流通。个人信息中既有不可转让和继承的人格利益,也有可以交易和继承的财产利益。
设立个人信息权并赋予个人强大的权能,似乎能够有效保护个人信息,但会引发一些新问题。首先,设立个人信息权不利于个人信息的流通利用。个人信息同时具有个体属性与社会流通属性,如果把个人信息权看作一种可以对抗他人的私人权利,“每个人都将成为一座孤岛”,会妨害信息的“平行开发”。[46]不应将个人信息的使用视为完全由个人控制的自由,而应将个人信息作为社会的共同资源,应以社会控制论指导个人信息保护立法。[47]其次,个人无法独占个人信息,个人信息权难以有效实现。个人信息具有无形性、可无限复制性等特点,不同于传统的有形物可以独自占有、使用、收益和处分,无法成为民事权利的客体。个人信息权忽视了数据本身的分享和流动的惯常性存在,以及数据排他性占有的现实困难。[48]最后,个人信息权内涵过宽,很容易引起误解让人与传统的物权相比较,将其等同于个人信息所有权。
经过长期的学术争论和漫长的立法过程,个人信息权最终没能写入2020年通过的《民法典》,2021年颁布的《个人信息保护法》也未设立该权利,这或许表明个人信息权的概念本身存在一定的问题。但当前仍有观点认为,应当修改《民法典》,“明确个人信息权作为独立人格权的权利属性”。[49]数字时代的个人信息保护,不只是或不主要属于私法问题。单纯从私法上探讨个人信息权利,存在难以避免的理论局限和信息利用的实践挑战。将个人信息作为私权客体的权利保护模式,在规范逻辑、制度功能等方面存在局限。“试图建构一项民法上的个人信息权,并将权利束作为其具体权能的观点,其实是混淆了个人信息保护中手段与目的、工具理性与价值理性的关系。”[50]
2.个人信息控制权
一些公法学者提出应设立个人信息控制权。如有学者认为,以传统民事权利话语体系界定个人信息权利,将个人信息保护纳入私法人格权范畴,必然会出现逻辑矛盾与实践冲突。其根源在于权利定性错位,私法中的人格权保护与公法中的个人信息保护存在根本不同。“个人信息保护是信息时代的一项全新挑战,个人信息控制权是需要通过个人信息保护法确立的一项新型公法权利。”[51]在内涵上,一些观点将个人信息控制权等同于个人信息权,实际上属于误解。控制个人信息只是个人信息权的一个方面,个人信息控制权属于个人信息权的下位概念,强调个人控制。
设立个人信息控制权固然可以防止个人信息的滥用,但可能产生以下问题:首先,容易导致个人信息的私权化,个人信息控制权同个人信息的公共性不符。如政府进行宏观的科学决策,实施具体的行政规制和个案调查,都可能需要大量的个人信息。[52]其次,导致个人信息使用由个人决定的泛化和绝对化,个人信息控制权不利于个人信息的流通利用。最后,个人信息控制权无法有效实现,数字科技的发展导致个人完全控制个人信息不再具有现实性,单靠个人力量无法维护自身的信息人格尊严。[53]
3.个人信息自决权
有学者认为,个人信息自决权赋予个人自我决定公开和使用个人信息的权利,应将其写入《个人信息保护法》,明确权利客体、内容和救济方式。[54]另有学者区分了个人信息的种类,提出对于隐私利益由侵权责任予以保护,对于自决利益则通过自决权在“数据隐私”与“数字便利”间作出选择,适用违约责任保护。[55]个人信息自决权不等同于个人信息权。尽管个人信息权中包括知情权、同意权等子权利,但不同于更强调个人自由意志、体现更强烈人格权特征、内涵稍窄的个人信息自决权。
个人信息自决权实质上是通过赋予个人自我决定自己的个人信息处理范围与方式的权利,以塑造自己的社会形象,最终实现自身人格的自由发展。个人信息自决权发源于德国,最初用于对抗国家公权力。早在1971年,德国学者施泰姆勒在联邦个人信息保护法草案起草说明中,就提出了“信息自决权”,认为人们有权自由决定在何种程度上公开自己的信息。[56]1983年,德国“人口普查案”将个人信息自决权确立为宪法基本权利。1982年颁布的《人口普查法》要求在全国范围内全面收集人口信息,有公民不服提起诉讼。联邦宪法法院认为,在当今信息处理的背景下,应保护个人信息免受无限制地收集、存储、使用和传输。德国《基本法》第1条第1款规定了“人的尊严不受侵犯”,第2条第1款规定了的“人人有自由发展其人格的权利”。个人原则上有权决定自己信息的公开或使用,法律应保障个人知道何人、因何事、何时、根据何种依据处理个人信息。最终,联邦宪法法院判决《人口普查法》违宪。[57]近些年,个人信息自决权的适用范围不断扩张,但其并不适合作为个人信息保护的基础性权利。个人信息自决权陷入困境。一方面,个人信息自决权可能难以完全有效实现;另一方面,个人信息自决权极易被滥用。
其一,个人信息自决权对于个人信息的保护效果极其有限。个人信息自决权产生于20世纪70年代,如今网络技术已经发生了突飞猛进的变化,尤其是移动互联网、人工智能、大数据的快速发展,使得个人信息自决权存在的社会基础发生了重大改变。网络信息系统实时记录生成大量个人信息,由于信息不对称、知识缺陷、时间精力有限等众多现实因素,个人往往无法总能作出正确的自我决定。个人信息自决权实质上异化为个人信息他决权,信息处理者成为个人信息处理范围与方式的最终决定者。“信息自决”本身易被架空,基于“信息自决”的个人信息保护也就成为空中楼阁。[58]
其二,设立个人信息自决权,不利于数据要素市场的培育和数字产业的发展。个人信息自决权不区分个人信息的种类与级别,认为一切个人信息都与人格尊严相关,必须由自己决定是否公开。个人信息自决权的功用主要在于维护人格权,对于个人信息财产价值的发挥作用不大,甚至起到了阻碍作用。如果承认个人信息自决权,“整个法律秩序将陷入多么可怕的境地”。[59]
其三,个人信息自决权不利于维护社会公共利益。个人一般都不愿公开自己的负面信息,而有些负面信息的公开有益于公共利益。如个人信用信息的公开,有利于社会信用体系建设。尽管个人信息自决权不属于绝对权利,但极易异化为对个人信息的极端控制。“个人信息自决权明显有些理想化了”,它将信息控制无限地扩大到个人对自身信息的全面控制,形成了“超级基本权利”。[60]
综上,在数字时代,设立新型的个人信息权利刻不容缓。但无论是主张设立个人信息权还是个人信息控制权,抑或是个人信息自决权,均存在一些无法克服的弊端,都不适合作为个人信息保护的基础性权利。
三、个人信息受保护权的证成
数字时代的权利观念应发生变化。当今信息革命颠覆了工商业时代的生产方式和生活样态,传统的权利保护方式日渐尴尬,需要确立全新的数字人权观,拓展人的自主性,实现权利的品质升级。[61]个人信息保护的权利化,不应仅仅基于单一的私法或公法视角,应摆脱传统私法中的“物权思维”和“隐私权思维”,以新兴积极权利的视角设立个人信息权利。
(一)个人信息保护的权利化思路
首先,个人信息保护的权利化应摆脱“物权思维”。个人信息不同于普通物,通过物权无法有效保护个人信息。传统物权保护强调权利人对物的占有、使用、收益和处分,有体性的物在被侵犯后一般很容易被发现并可以通过侵权法予以有效救济。在交易规则上,物权一经同意转让,即权利用尽,受让人再利用时无须受制于原权利人。但对于个人信息这种特殊物而言,个人基本上无法独占,即使进行交易后也可以被多个主体同时占有而反复利用。经过个人同意的信息处理,如果信息处理者改变原初目的或扩大使用范围时需要获得再次同意,而且个人还可以依法享有更正、删除等多项权能。[62]大数据技术下的个人信息具有数量大、价值密度低、智能处理等特征,“决定了个人无法以私权为制度工具对个人信息处理行为进行符合自己意志的控制”。[63]另外,尽管个人信息具有社会价值,但也不应将其视为公物,否则将导致个人利益严重受损。传统的“以物设权”模式无法适用于个人信息保护,应通过“以用设权”模式力求平衡个人信息的利用和保护。[64]
其次,个人信息保护的权利化应摆脱“隐私权思维”。如果以隐私权保护个人信息,不仅无法涵盖日益多样的个人信息,还会妨碍个人信息的流通利用。隐私权重在防御,强调隐私不被违法窥探与披露,而个人信息尤其是非私密信息具有日益重要的社会公共价值。《民法典》界定的隐私包括私密空间、私密活动和私密信息,其已明确将隐私权同个人信息权益相并列。《个人信息保护法》并没有使用《民法典》中的“隐私”“私密信息”等词语,平行适用个人信息保护与隐私权的特点鲜明,可以避免交叉适用带来的法律关系交织与冲突,降低执法与守法成本,增强法律实施的可预期性。[65]在我国试图以扩大隐私权的内涵来保护个人信息的路径已被摒弃。
最后,应以积极权利的视角设立个人信息权利。传统权利主要建立在古典自由主义的基础上,奉行“最小国家主义”理念,强调权利的消极防御功能,大多属于消极权利。[66]消极权利意味着不需要他人积极的行为就可实现,而积极权利则需要依赖他人的积极行为才能实现。[67]1966年联合国颁布的《经济、社会及文化权利国际公约》确立了多种积极权利,如工作权、休息权、适当的生活水准权、受教育权等。我国《宪法》规定了劳动权、休息权、获得物质帮助权、受教育权、同工同酬权等多项具有积极属性的权利。随着社会的不断发展,各种新兴积极权利必将越来越多。在信息风险社会,由于个人信息主体同信息处理者的身份分离导致了权力不对等与信息不对称,如果个人只能消极防御个人信息不被侵犯,就无法全面应对信息处理行为造成的风险。从积极权利视角设立个人信息权利,要求个人信息处理者积极履行相应义务,才能最大限度地保护个人信息。个人信息保护需要国家机关积极作为,更需要个人信息处理者努力履行保护义务。需要从积极权利视角,同时以公私主体为义务对象,系统构建个人信息受保护权。
(二)个人信息受保护权:新兴积极权利
为了有效应对信息风险,应设立个人信息受保护权。个人信息受保护权,是指自然人享有国家和个人信息处理者保护自身信息的权利,也可称为个人信息保护权。个人信息受保护权的主体为自然人,内容包括“权利保护请求权”和“本权请求权”,规范对象为个人信息处理行为。个人信息受保护权赋予了个人对国家和个人信息处理者的积极请求权,对国家机关和私主体同时提出了双重保护义务要求。个人信息受保护权属于数字时代的新兴积极权利,是国家尊重和保障人权的内在要求。设立个人信息受保护权可以避免不必要的误解,不仅有利于保护个人信息,而且还能够促进数字产业的发展。
1.个人信息受保护权的内容
个人信息受保护权同时内含“权利保护请求权”和“本权请求权”。任何权利都存在请求权,无论是消极权利还是积极权利受到侵犯时,权利人都可行使“权利保护请求权”,即权利人可请求相关主体采取保护措施恢复权利的圆满状态,并请求国家机关追究相关人员的责任。但积极权利还内含“本权请求权”,即权利人可以要求“履行给付或特定作为之义务”。[68]“权利保护请求权”一般建立在具体侵害的基础上,而“本权请求权”要求相关义务主体积极作为实现权利的内容。
个人信息受保护权同任何其他权利的共通之处在于,权利受侵犯时都可以请求相关主体予以保护,即行使“权利保护请求权”。不同之处在于,权利人可以根据个人信息受保护权,请求相关主体积极履行有效保护个人信息的义务,即行使“本权请求权”。即使没有发生具体的侵害,但如果存在抽象的信息风险,个人也可以根据个人信息受保护权,请求相关主体保护个人信息。个人信息受保护权中的“本权请求权”,赋予了个人请求相关主体积极作为的权利。如果国家机关和个人信息处理者没有积极采取必要措施保护个人信息,就是对个人信息受保护权的侵犯。个人信息受保护权包括消极防御和积极受益两个面向,一方面要求任何主体不得恣意侵犯个人信息,另一方面要求国家和私主体积极履行个人信息保护义务。
因此,对于国家而言,个人信息受保护权既要求一切国家机关不得随意处理个人信息,又要求国家积极构建各种制度,主动规范个人信息处理行为。对于作为私主体的个人信息处理者而言,个人信息受保护权要求其不得违法处理个人信息,并积极履行保护义务,事前事中主动预防信息风险,努力采取必要的技术与组织措施,使个人信息处于合法利用和有效保护的状态。无论是恣意处理个人信息,还是不积极作为主动保护个人信息,都是对个人信息受保护权的侵犯。
2.个人信息受保护权的规范对象
个人信息受保护权的规范对象为个人信息处理行为,并非个人信息。个人信息处理并不必然侵犯个人信息,但侵犯个人信息的行为一定是不规范的个人信息处理行为。不同于个人信息权、个人信息控制权、个人信息自决权等权利对个人信息单方支配或控制的强调,个人信息受保护权聚焦于调整个人信息处理行为。个人信息受保护权更加重视个人信息的流通利用价值,它要求个人信息处理者在利用个人信息时,必须尽到必要的保护义务。个人信息受保护权并不是建立在个人信息归个人绝对所有的基础上,而是建基于处理个人信息会造成抽象风险,不仅可能引发诈骗、敲诈勒索、盗窃等违法犯罪活动,导致个人财产甚至生命受威胁,而且还可能导致个人人格尊严受损害。
3.个人信息受保护权的价值
设立个人信息受保护权,有利于突出权利的积极性,为个人信息主体配置“本权请求权”,可以更好地于保护个人信息,而且个人信息受保护权的设立并不妨碍个人信息的流通利用,还有利于数字经济的高质量发展。
第一,设立个人信息受保护权,有利于强调公私主体对个人信息的双重保护义务。面对强大的国家和商业力量,确立个人信息受保护权既可以用来对抗不平等的公权力,也可以用来对抗强势的私主体。就个人与国家关系而言,个人信息受保护权源于国家法律规定;就个人与私主体关系而言,个人信息受保护权不仅源于国家法律规定,还源于契约。在数字时代,主张设立个人信息权、个人信息控制权、个人信息自决权等权利,片面强调个人对自己信息的单方支配与控制,不仅与信息风险社会现实不符难以实现,而且无法最大限度保护个人信息。个人通过向公私主体的个人信息处理者主张个人信息受保护权,既可以保护个人信息中不可转让与继承的人格利益,也可以保护个人信息中可交易与继承的财产利益。
第二,设立个人信息受保护权,可以实现个人信息的私人利益和社会价值的平衡。数据产业发展需要大量个人信息,《民法典》之所以没有使用“个人信息权”,一个很重要的原因就是担心确定“个人信息权”会导致自然人对其个人信息享有过于绝对的支配权和控制权,以致影响信息自由流动,不利于网络信息社会和数字经济的发展。[69]信息只有流通才有价值,只有在处理时才需要被保护。不同于个人信息权、个人信息控制权、个人信息自决权等权利可能妨碍个人信息的流通利用,个人信息受保护权要求只要信息处理者尽到了必要的保护义务,就可以合理利用个人信息。个人信息受保护权是在肯定个人信息使用的前提下,通过权利设置提供规范底线,恰恰可以提高个人信息的公共价值。[70]
(三)设立个人信息受保护权的可行性
在我国设立个人信息受保护权具有可行性。当前我国虽然没有明确设立个人信息受保护权,但《个人信息保护法》《民法典》《网络安全法》等法律实际上已经确立了多项个人信息具体权利,这为上位权利的设立打下了很好的基础。
《个人信息保护法》第四章专门规定“个人在个人信息处理活动中的权利”,明确了个人的知情权、决定权、查阅权、复制权、更正权、补充权、删除权、可携带权八大权利。一些学者认为这些权利“是调整个人与信息处理者之间关系结构的工具性权利”,目的在于对信息处理者进行制衡。[71]另有学者认为,个人信息权益的内部构造包括“本权权益”和保护“本权权益”的权利两个方面构成。个人信息权益之“本权权益”主要包括人格尊严、人身财产安全以及通信自由和通信秘密等利益。同意(或拒绝)的权利以及知情、查阅、复制、转移、更正、补充、删除、请求解释说明等权利,属于保护“本权权益”的权利。[72]还有一些学者认为知情权、决定权等不具有独立性,它们不是权利而是权能,虽名之为“权”,实则只是为了称呼方便而已,“均为个人信息权的权能”。[73]实际上,个人在个人信息处理活动中知情权、决定权等权利,不仅具有权利之“名”,而且具有权利之“实”。《个人信息保护法》第50条明确要求“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制”;如果拒绝个人行使权利的请求的,“应当说明理由”,而且“个人可以依法向人民法院提起诉讼”。
个人信息处理中的知情权、决定权等具体权利,属于个人信息受保护权中的“权利保护请求权”,个人通过积极行使这些权利,可以更好地保护个人信息。然而,数字时代的个人信息保护,更需要依赖国家和个人信息处理者积极作为从而预防风险。个人仅仅通过行使知情权、决定权等具体权利,不足以有效保护个人信息,必须进一步确立个人信息保护的“本权请求权”,赋予个人请求相关主体积极保护个人信息的权利。个人信息受保护权正好契合数字时代信息风险社会的新特点,同时内含“权利保护请求权”和“本权请求权”,适合作为个人信息保护的基础性权利。
实际上,有关国家和地区设立的个人信息受保护权已得到了较好的实施。欧盟专门确立了个人数据受保护权(the right to the protection of personal data),将其作为一项新兴的基本权利加以严格保护。欧盟一直以来认为个人隐私事关人格尊严,对其加以严格保护。例如,1995年的《数据保护指令》规定,“成员国应根据本指令保护自然人的基本权利和自由,尤其是有关个人数据处理中的隐私权”。但随着数字时代的来临,单纯依靠隐私权无法有效保护日益增多的个人数据。2000年公布的《欧盟基本权利宪章》明确将个人数据受保护权作为欧盟公民的一项新的基本权利,其第8条第1项明确规定:“人人都享有个人数据受保护权。”2010年公布的《欧盟运行条约》第16条第1项作了相同的规定。然而,在《欧盟基本权利宪章》生效之前和之后的一段时间,欧盟法院一直认为,个人数据受保护权不过是隐私权的一个方面。
直到2018年欧盟《通用数据保护条例》生效,个人数据受保护权才更加体系化,并具备了得以实现的制度基础。《通用数据保护条例》将《数据保护指令》中的隐私权直接替换为个人数据受保护权,其序言第1项规定:“自然人在其个人数据处理过程中获得保护是一项基本权利。”正文第1条规定:“本条例保护自然人的基本权利和自由,尤其是自然人的个人数据受保护权。”在权利内容上,个人数据受保护权包括一系列子权利,如同意权、访问权、更正权、被遗忘权、限制处理权、可携带权、反对权等。同隐私权相比,个人数据受保护权使个人对更多数据具有更多的控制权,一是可以促进来自个人人格权的信息自决,二是能够纠正数据主体同数据处理者之间有害的权力与信息不对称问题。[74]为了保障个人数据受保护权的有效实现,《通用数据保护条例》设定了“长臂管辖”原则和重罚机制。对于究竟什么是个人数据受保护权,欧盟并没有进行明确的界定。
欧盟之所以设立个人数据受保护权,一是为了适应数字时代有效保护个人数据的现实需要,反映了内置于欧盟法律秩序中的关键价值:隐私、透明、自主和非歧视。[75]二是有利于促进欧盟数据产业的发展。长期以来,以谷歌(Google)、脸书(Facebook)为代表的美国网络产业巨头,在欧盟一直占有主导地位。欧盟设立个人数据受保护权,一个很重要的目的就是遏制美国的“网络霸主”,促进和发展欧盟本土数字产业,并维护欧盟数据主权。[76]欧盟建立严格的个人数据保护制度,并非要禁止个人数据的流通利用,而是为数字科技和数字经济的发展提供安全保障。此外,我国澳门特别行政区设立了个人资料保护权,属于特别人格权,《澳门民法典》将其置入总则的“人格权”一节。[77]
在我国确立个人信息受保护权符合数字时代的要求,并不是简单照搬照抄欧盟法的概念。欧盟的个人数据受保护权属于《欧盟基本权利宪章》所确立的基本权利,并被《通用数据保护条例》进一步作了详细规定。人格尊严是个人信息保护的最终价值依归,我国《宪法》第38条的人格尊严条款为个人信息受保护权的规范基础。《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法(草案)〉审议结果的报告》指出,“制定实施本法对于保障公民的人格尊严和其他权益具有重要意义”,所以在草案二次审议稿第一条中增加规定“根据宪法”制定本法。设立个人信息受保护权具有充分的宪法基础,是落实国家尊重和保障人权的体现,有利于从消极和积极两个面向更好地保障公民的人格尊严不受侵犯。设立个人信息权、个人信息控制权或个人信息自决权,已被我国立法实践或理论证明不具有可行性。无论是欧盟的个人数据受保护权,还是以美国为代表的日益扩张的信息隐私权,都表明权利化是数字时代有效保护个人信息的最佳方式。设立个人信息受保护权符合我国国情,不仅有利于更好地实现国家机关对信息风险的预防和惩治义务,而且还可以为个人向私主体主张个人信息保护义务提供更加充分的法理基础。
四、结语
在数据成为关键生产要素的数字时代,个人信息保护权利设置不容回避。“恶行激起权利”,权利化的过程应当随着人类作出恶行的能力而作出调整。[78]主张设立个人信息权、个人信息控制权、个人信息自决权,均存在难以克服的弊端。仅仅将个人信息作为权益而非权利予以保护存在局限,不利于个人主张个人信息保护,难以有效应对数字时代日益增多的信息风险。个人信息权利束无法“包打天下”,难以及时跟上数字科技日新月异的发展节奏。为了制约数字时代如影相随的“数据权力”,提高基于场景的行为主义规制的正当性与实效性,实现个人信息保护和合理利用的平衡,应设立个人信息保护的基础性权利。应摆脱传统的“物权思维”和“隐私权思维”,以新兴积极权利视角设立个人信息受保护权。个人信息受保护权为国家和私主体设定了个人信息保护的双重义务,不仅要求消极不侵犯个人信息,而且要求积极保护个人信息。设立同时具有公法与私法、政治与经济等多重属性的个人信息受保护权,不仅可以有效预防信息风险,而且有助于实现个人信息保护和利用的平衡,最终有利于促进数字经济的规范健康持续发展。
注释:
[1]参见王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,载《清华法学》2021年第3期。
[2]参见王利明:《论个人信息权在人格权法中的地位》,载《苏州大学学报(哲学社会科学版)》2012年第6期;吕炳斌:《个人信息权作为民事权利之证成:以知识产权为参照》,载《中国法学》2019年第4期;付新华:《个人信息权的权利证成》,载《法制与社会发展》2021年第5期。
[3]参见郑维炜:《个人信息权的权利属性、法理基础与保护路径》,载《法制与社会发展》2020年第6期;饶雅文、张力:《从“权益”到“权利”:〈民法典〉个人信息保护模式的反思与完善》,载《岭南学刊》2021年第6期。
[4]参见吕炳斌:《论〈民法典〉个人信息保护规则蕴含的权利——以分析法学的权利理论为视角》,载《比较法研究》2021年第3期。
[5]参见申卫星:《论个人信息权的构建及其体系化》,载《比较法研究》2021年第5期。
[6]参见周汉华:《个人信息保护的法律定位》,载《法商研究》2020年第3期。
[7]参见王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,载《清华法学》2021年第3期;蔡培如:《欧盟法上的个人数据受保护权研究——兼议对我国个人信息权利构建的启示》,载《法学家》2021年第5期。
[8]参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期;翟志勇:《论数据信托:一种数据治理的新方案》,载《东方法学》2021年第4期。
[9]参见余成峰:《信息隐私权的宪法时刻:规范基础与体系重构》,载《中外法学》2021年第1期。
[10]李忠夏:《数字时代隐私权的宪法建构》,载《华东政法大学学报》2021年第3期。
[11]See Samuel D. Warren & Louis D. Brandeis, The Right to Privacy, Harv. L. Rev., Vol.4, p.193(1890).
[12]See Griswold v. Connecticut, 381 U. S.479(1965).
[13]参见张红:《大数据时代日本个人信息保护法探究》,载《财经法学》2020年第3期。
[14]参见王泽鉴:《人格权的具体化及其保护范围·隐私权篇》(中),载《比较法研究》2009年第1期。
[15]申卫星:《论个人信息保护与利用的平衡》,载《中国法律评论》2021年第5期。
[16]黄某诉某讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任案,参见北京互联网法院(2019)京0491民初16142号民事判决书。
[17]参见齐延平、李旭:《个人数据保护论争中的隐私权:反思、还原与再定位》,载《山东大学学报(哲学社会科学版)》2021年第4期。
[18]参见王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,载《清华法学》2021年第3期。
[19]吕炳斌:《个人信息权作为民事权利之证成:以知识产权为参照》,载《中国法学》2019年第4期。
[20]王锡锌:《个人信息权益的三层构造及保护机制》,载《现代法学》2021年第5期。
[21]参见冯果、薛亦飒:《从“权利规范模式”走向“行为控制模式”的数据信托——数据主体权利保护机制构建的另一种思路》,载《法学评论》2020年第3期。
[22]丁晓东:《个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础》,载《中外法学》2020年第2期。
[23]参见范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期。
[24]参见高奇琦:《智能革命与国家治理现代化初探》,载《中国社会科学》2020年第7期。
[25]周汉华:《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》,载《法学研究》2018年第2期。
[26]参见刘权:《网络平台的公共性及其实现——以电商平台的法律规制为视角》,载《法学研究》2020年第2期。
[27]See Orla Lynskey, Deconstructing Data Protection: The Added-Value of a Right to Data Protection in the EU Legal Order, Int'l & Comp. L. Q., Vol.63, p.592-593(2014).
[28]刘权:《论个人信息处理的合法、正当、必要原则》,载《法学家》2021年第5期。
[29]参见蒋红珍:《〈个人信息保护法〉中的行政监管》,载《中国法律评论》2021年第5期。
[30]参见张恒山:《论权利之功能》,载《法学研究》2020年第5期。
[31][德]鲁道夫·冯·耶林:《为权利而斗争》,刘权译,法律出版社2019年版,第1页。
[32]参见申卫星:《论个人信息权的构建及其体系化》,载《比较法研究》2021年第5期。
[33]参见王锡锌:《国家保护视野中的个人信息权利束》,载《中国社会科学》2021年第11期。
[34]参见劳东燕:《个人数据的刑法保护模式》,载《比较法研究》2020年第5期;张忆然:《大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩——以“数据财产权”与“信息自决权”的二分为视角》,载《政治与法律》2020年第6期。
[35]参见王利明:《〈民法总则〉的本土性与时代性》,载《交大法学》2017年第3期。
[36]参见张新宝:《〈民法总则〉个人信息保护条文研究》,载《中外法学》2019年第1期。
[37]杨立新:《个人信息:法益抑或民事权利对〈民法总则〉第111条规定的“个人信息”之解读》,载《法学论坛》2018年第1期。
[38]参见黄薇主编:《中华人民共和国民法典人格权编解读》,中国法制出版社2020年版,第213页;王成:《个人信息民法保护的模式选择》,载《中国社会科学》2019年第6期。
[39]吕炳斌:《个人信息权作为民事权利之证成:以知识产权为参照》,载《中国法学》2019年第4期。
[40]参见张翔:《个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思》,载《环球法律评论》2022年第1期。
[41]参见龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第4期。
[42]参见邢会强:《大数据交易背景下个人信息财产权的分配与实现机制》,载《法学评论》2019年第6期。
[43]参见吕炳斌:《个人信息权作为民事权利之证成:以知识产权为参照》,载《中国法学》2019年第4期。
[44]叶名怡:《论个人信息权的基本范畴》,载《清华法学》2018年第5期。
[45]参见周斯佳:《个人数据权与个人信息权关系的厘清》,载《华东政法大学学报》2020年第2期。
[46]参见丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018年第6期;纪海龙:《数据的私法定位与保护》,载《法学研究》2018年第6期。
[47]参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期。
[48]参见梅夏英:《在分享和控制之间:数据保护的私法局限和公共秩序构建》,载《中外法学》2019年第4期。
[49]郑维炜:《个人信息权的权利属性、法理基础与保护路径》,载《法制与社会发展》2020年第6期。
[50]王锡锌:《国家保护视野中的个人信息权利束》,载《中国社会科学》2021年第11期。
[51]周汉华:《个人信息保护的法律定位》,载《法商研究》2020年第3期。
[52]参见刘权:《论网络平台的数据报送义务》,载《当代法学》2019年第5期。
[53]参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期。
[54]参见贺栩栩:《比较法上的个人数据信息自决权》,载《比较法研究》2013年第2期。
[55]参见商希雪:《个人信息隐私利益与自决利益的权利实现路径》,载《法律科学》2020年第3期。
[56]参见杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,载《比较法研究》2015年第6期。
[57]Vgl. BVerfGE 65, 1(41).
[58]参见谢远扬:《〈民法典人格权编(草案)〉中“个人信息自决”的规范建构及其反思》,载《现代法学》2019年第6期。
[59]参见杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,载《比较法研究》2015年第6期。
[60]梅夏英:《在分享和控制之间:数据保护的私法局限和公共秩序构建》,载《中外法学》2019年第4期。
[61]参见马长山:《智慧社会背景下的“第四代人权”及其保障》,载《中国法学》2019年第5期。
[62]参见王洪亮:《〈民法典〉与信息社会——以个人信息为例》,载《政法论丛》2020年第4期。
[63]参见吴伟光:《大数据技术下个人数据信息私权保护论批判》,载《政治与法律》2016年第7期。
[64]参见何松威:《论领域法的私法研究范式——以〈个人信息保护法〉研究为例》,载《当代法学》2022年第4期。
[65]参见周汉华:《平行还是交叉——个人信息保护与隐私权的关系》,载《中外法学》2021年第5期。
[66]参见侯学宾、郑智航:《新兴权利研究的理论提升与未来关注》,载《求是学刊》2018年第3期。
[67]参见王建勋:《“积极自由(权利)”的迷思》,载《交大法学》2013年第2期。
[68]参见周刚志:《论“消极权利”与“积极权利”——中国宪法权利性质之实证分析》,载《法学评论》2015年第3期。
[69]参见王利明:《论人格权保护的全面性和方法独特性——以〈民法典〉人格权编为分析对象》,载《财经法学》2020年第4期;程啸:《论我国民法典中的个人信息合理使用制度》,载《中外法学》2020年第4期。
[70]参见齐延平、李旭:《个人数据保护论争中的隐私权:反思、还原与再定位》,载《山东大学学报(哲学社会科学版)》2021年第4期。
[71]王锡锌:《个人信息国家保护义务及展开》,载《中国法学》2021年第1期。
[72]参见张新宝:《论个人信息权益的构造》,载《中外法学》2021年第5期。
[73]参见申卫星:《论个人信息权的构建及其体系化》,载《比较法研究》2021年第5期。
[74]Orla Lynskey, Deconstructing Data Protection: The Added-Value of a Right to Data Protection in the EU Legal Order, Int'l & Comp. L. Q., Vol.63, p.595(2014).
[75]Yvonne McDermot, Conceptualising the Right to Data Protection in an Era of Big Data, Big Data & Society, Vol.1, p.1(2017).
[76]参见张金平:《欧盟个人数据权的演进及其启示》,载《法商研究》2019年第5期;项焱、陈曦:《大数据时代欧盟个人数据保护权初探》,载《华东理工大学学报(社会科学版)》2019年第2期。
[77]参见唐晓晴、吴奇琦:《澳门地区民法上个人信息保护权的体系定位》,载《国家检察官学院学报》2021年第5期。
[78]参见[美]艾伦·德肖维茨:《你的权利从哪里来?》,黄煜文译,北京大学出版社2014年版,第73—77页。
刘权,法学博士,中央财经大学法学院副教授。
来源:《中国法律评论》2022年第6期。
