王锡锌 彭錞:个人信息保护法律体系的宪法基础

选择字号:   本文共阅读 1794 次 更新时间:2021-07-13 09:25:57

进入专题: 宪法基本权利   个人信息   民法典  

王锡锌   彭錞  
建议尽快制定一部针对公权信息处理者的专门立法,就信息处理原则、义务、信息主体的工具性权利、违法侵权责任等作出系统性规定,并畅通行政复议、诉讼和国家赔偿等监督救济渠道,弥补我国个人信息保护法律体系的重大缺失。

   第二,以个人信息受保护权的客观法功能来对抗私人和域外个人信息侵害风险源。作为客观法的基本权利有三种功能:一是“制度性保障功能”,即“立法者必须建构相关法律制度以形塑基本权利之内涵,为基本权利的保障提供制度性支持”;[76]二是“组织和程序保障功能”,即“设立适当的组织机构和程序来落实基本权利的保障”;[77]三是“侵害防止功能”,即“建立具体制度,通过这些制度的运行,保护个人免受第三人的侵害”。[78]林林总总的现行个人信息保护立法皆可在这些功能下获得解释,兹举几例:

   制度性保障功能下,早在2012年,全国人大常委会《关于加强网络信息保护的决定》就开宗明义地指出“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。随后,无论是《刑法》《民法典》,还是《网络安全法》《数据安全法》《个人信息保护法》,都是在为个人信息受保护权提供制度性支持。《个人信息保护法草案(二审稿)》第11条更是明确承诺:“国家建立健全个人信息保护制度。”组织和程序保障功能下,《个人信息保护法草案(二审稿)》第59条确定由“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作”。这虽有多头监管之嫌,但本意是为了建立组织机构来保障个人信息受保护权。侵害防止功能下,个人信息保护领域已建立起的民法侵权、行政监管以及刑事处罚制度,都旨在保护个人信息免受他人侵害。《个人信息保护法草案(二审稿)》第3条规定域外效力、第12条规定国家促进个人信息保护方面的国际交流与合作、第38-43条规定个人信息跨境提供规则,则是在落实国家保护境内信息主体免受域外侵害的义务。

   当然,宪法上个人信息受保护权的客观法功能如何具体落实,立法机关自有形成空间,但总体上应遵从基本权利教义学,把握如下三点:

   首先,坚持宪法权利与部门法权利的互动性。这是基本权利间接第三人效力(Mittelbare Drittwirkung der Grundrechte)所要求的。[79]如前所言,我国宪法上的个人信息受保护权,经由客观法面向的制度性保障功能,落实到民法、经济法、行政法上,就成为相应部门法上的个人信息受保护权。在此意义上,后者是前者的具体化。但这并不表示后者就是前者的原样照抄。近年来,有学者对基本权利第三人效力展开批评,核心理由是基本权利传统上仅处理公民与国家之关系,若搬来解决公民与公民之关系,将造成错配,甚至会威胁私人自治,因为宪法权利和民法权利在调整对象、规范强度、权利内容、权利目的等方面迥异。[80]这印证了前文关于区分对抗私人主体的个人信息受保护权和对抗公权主体的个人信息受保护权、对后者作特别规定的主张,但并不取消宪法上个人信息受保护权的客观法功能,因为其本身具有“一阶价值”,[81]可通过价值辐射对私法关系产生间接第三人效力,在尊重民法等部门法独立形成空间的前提下,要求部门法在宪法框架内行使形成自由,从而使宪法和部门法上的个人信息受保护权实现“和而不同”。

   其次,实现个人信息侵害风险源覆盖的整全性。这是部门法保护基本权利的不足禁止(Untermaßverbot)原则所要求的。[82]如前所言,唯有宪法上的个人信息受保护权才能对抗各类个人信息侵害风险源,具体落实有赖于部门法形成。就侵害风险源而言,除前文提及的公权和域外主体,还包括私人主体,根据其与信息主体的关系可分为三类:

   一是“不平等关系”下的私人处理者,例如作为雇主的私人处理者,其对作为雇员的信息主体不仅拥有“数据权力”(Data Power),[83]还有因雇佣关系而生的支配地位。例如根据《劳动合同法》第8条,“用人单位招用劳动者时,有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明”。《个人信息保护法草案(二审稿)》第13条也规定“为订立或者履行个人作为一方当事人的合同所必需”的,可不经同意处理个人信息。尽管如此,为了确保雇员在雇主处理其个人信息过程中的尊严地位,劳动法上也对雇员个人信息保护做出了专门规定。例如《就业服务与就业管理规定》第13条就要求:“用人单位应当对劳动者的个人资料予以保密。公开劳动者的个人资料信息和使用劳动者的技术、智力成果,须经劳动者本人书面同意。”但目前我国劳动法缺乏对雇员个人信息保护的系统规定,须进一步完善。

   二是“准平等关系”下的私人处理者,例如提供产品或服务的私人处理者(典型的如平台),其对作为消费者的信息主体具有数据权力,但不具有其他支配地位。个人信息保护法草案正是通过赋予个人工具性权利束,来平衡这种场景下的“非对称权力结构”。同时,传统上旨在调节市场不平等关系的经济法在此也有用武之地,例如《电子商务法》《消费者权益保护法》对特定语境中的个人信息保护作出规定。

   上述两种情形下,私人处理者和信息主体之间都存在“持续不平等信息关系”,既有研究认为这是个人信息保护法律制度适用的前提。[84]但这是不完整的,因为还有第三类个人信息侵害风险源,即“平等关系”下的私人处理者,其对信息主体并无系统、持续的数据权力,但仍可能侵害个人信息,典型的如黑客、因职务而处理个人信息的人员等。此类私人主体并不构成《个人信息保护法草案(二审稿)》第72条规定的“个人信息处理者”,即“自主决定处理目的、处理方式等个人信息处理事项的组织、个人”,故不适用《个人信息保护法》,信息主体对其也不享有工具性权利。但这并不意味着此类私人主体逃逸出我国个人信息保护法律体系。例如《刑法》第253条规定的侵犯公民个人信息罪的行为主体,就从刑法修正案(七)的“国家机关或者金融、电信、交通、教育、医疗等单位工作人员”,经刑法修正案(九)扩展到一切主体。但该罪的保护范围局限于信息收集环节,未对信息收集之后的侵害个人信息行为提供刑法观照,[85]距离侵害风险源全覆盖之要求仍有差距。

   以上分析表明:为落实基本权利保护的不足禁止原则,我国个人信息保护法律体系应全面覆盖各类个人信息侵害风险主体和行为。不同部门法须在这一共同目标下各安其位、各负其责,协力形成和保障宪法上个人信息受保护权,不存在孰为基本法的问题。

   第三,追求个人信息保护手段的适当性。这是功能适当(Funktionsgerechte Organstruktur)原则所要求的。该原则指向国家决策的正确性和理性化,使国家运作更有效率,更妥当地实现国家的各项任务。[86]个人信息受保护权的客观法面向要求国家履行积极保护义务,功能适当原则要求国家理性、高效地履行这种义务。上文提及的针对不同个人信息侵害风险源,配以不同部门法保护,正是在落实该原则。个人信息保护立法的三种执行手段也应符合该原则:

   一是公共执行(Public Enforcement),即公权机关的监管、执法、处罚等。由于私人信息处理者的技术、资本优势,信息主体个人维权难以应对,故行政监管部门的公共执行应成为个人信息保护立法的主要执行手段。这也是为什么《个人信息保护法草案(二审稿)》第五章详细列举个人信息处理者的义务,其目的正在于从公法上对信息处理者提出合规要求,为高额罚款、停产停业等公共执行手段奠定基础。当然,公共执行毕竟资源有限,个人信息处理者也往往借助其技术优势逃逸监管。由此,基于行政法上的“元规制”(Meta-regulation)或“内部管理型规制”(Management-based Regulation)理念,[87]个人信息保护法草案第57条增设“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”(所谓“守门人”)的特殊合规义务,正是为了提高监管效能,体现了功能适当原则。此外,与GDPR建立“一站式监管机制”(One-stop-shop Mechanism)不同,《个人信息保护法草案(二审稿)》第59条采用了国家网信部门统筹协调、其他有关部门在职责范围内负责个人信息保护工作的“多头治理”模式,未能清晰、细致地明确各监管部门之间的权责分工与界限,难以避免权限重叠冲突、执法尺度不一等问题,不利于个人信息保护监管执法的高效开展,有违功能适当原则,亟待改善。

   二是私人执行(Private Enforcement),即个人维权诉讼。相较于公共执行,面对拥有数据权力的个人信息侵权者,私人执行面临取证难、成本高、赔偿低的困境。[88]《个人信息保护法草案(二审稿)》第68条明确规定个人信息侵权的过错推定责任,正是为了强化私人执行,落实功能适当原则。但如前所言,个人信息侵害主体并不一定具有数据权力。对“平等关系”下的侵害主体适用过错推定责任并无必要。因此,民法学界提出个人信息侵权的二元归责原则体系,区分采用和未采用自动化系统的侵权者,前者适用过错推定责任,后者适用一般过错责任。[89]这同样体现了功能适当原则。除民法侵权诉讼外,个人信息保护立法的私人执行还应包括刑事自诉。根据2020年修订的《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》第1条,侮辱、诽谤案属于刑事自诉案件,严重危害社会秩序和国家利益的除外。鉴于个人信息侵权和侮辱、诽谤一样都可能严重危害公民个人尊严,建议将严重侵害个人信息受保护权,民事责任不足应对,但还未达到严重危害社会秩序和国家利益程度的情形纳入刑事自诉案件范围,以进一步提高个人信息保护立法的执行效率。

   三是社会执行(Social Enforcement),即公权机关和公民个人以外的社会组织来执行个人信息保护法律。较之公权监管,它成本更低;较之私人维权,它更集中有力。以社会执行来补充公权监管、私人维权,符合功能适当原则。据此,《个人信息保护法草案(二审稿)》第69条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,国家网信部门确定的组织可以依法向人民法院提起诉讼。”当然,哪些组织在何种条件下可以提起此种公益诉讼,还有待细化规定。

   (三)我国宪法上个人信息受保护权的限制

   如前所言,个人信息受保护权并非绝对权,而是受到限制的,但这种限制本身也要受到限制。根据基本权利教义学,对基本权利限制的限制包括形式和实质两方面,前者指法律保留原则,后者指比例原则。[90]据此,个人信息受保护权并不禁止处理个人信息,而是要求处理活动符合法定条件和比例原则,由此确保个人尊严。在此视野下,既有个人信息保护立法可得到解释:

首先,《民法典》第1035条规定处理个人信息应当遵循合法原则。《个人信息保护法草案(二审稿)》第5条也规定处理个人信息应当采用合法方式,第10条要求“任何组织、个人不得违反法律、行政法规的规定处理个人信息”,第13条明文列举了七项个人信息处理的合法性基础。《网络安全法》第41条要求网络运营者依照法律、行政法规的规定处理其保存的个人信息。这些规范均表明处理个人信息必须符合法定条件。其次,《民法典》第1035条规定处理个人信息应当遵循正当、必要原则,不得过度处理。《个人信息保护法草案(二审稿)》第6条规定,“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理”;第13条要求处理个人信息应限定在为履行法定职责、订立合同、应对突发公共卫生事件等合法目的所必需的范围内;第27条规定,“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需”。这些规范都是在落实“过度禁止”(übermaßverbot)要求,(点击此处阅读下一页)

    进入专题: 宪法基本权利   个人信息   民法典  

本文责编:admin
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/127413.html

2 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2021 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统