王锡锌:超越民法——个人信息权利束的法理重构

选择字号:   本文共阅读 549 次 更新时间:2022-02-03 20:52:07

进入专题: 保护法   国家保护义务   工具性权利   个人信息权利束  

王锡锌  

  

   摘要:个人信息权利束指包括个人信息主体知情、决定、查询、更正、复制、删除等权能在内的一组权利集合。我国民法学界通常将权利束的性质理解为个人自主控制范式下的民事权利,并将其解释为个人信息权的具体权能。这种理解对个人信息权利束的性质和功能存在一定的误读。从权利性质看,个人信息权利束是国家履行积极保护义务、通过制度性保障对个人进行赋权的结果,本质是国家在“保护法”理念下赋予个人的保护手段和工具;从功能上看,个人信息权利束既是个人制衡信息处理者的工具,也是国家对数据处理者的规制策略。从国家保护和规制策略视角理解权利束的性质和功能,有助于更好地建构“保护法”理念下公正、透明、理性的数据治理公法秩序,促进数据治理体系的结构优化和能力提升。作为国家规制策略中的工具性权利,个人信息权利束的实践展开,首先需要注重程序正义下个体的知情、参与和双方的交涉促进,同时在分配正义下合理配置个人与信息处理者之间的权利义务,不断发展和提升国家的规制理性。

   关键词:保护法  国家保护义务  工具性权利  个人信息权利束  规制策略

  

   引言

   个人信息保护中的“权利束”指通过制定法为个人配置的、在个人信息处理全周期由个人行使的一组权利的集合。在个人信息保护法体系中,该组权利集合主要包括知情权、决定权、查询权、更正权、复制权、携带权、删除权等权利。对权利束进行立法表达的一个典型文本是欧盟《一般数据保护条例》(General Data Protection Regulation,下文简称GDPR)。我国《个人信息保护法》借鉴GDPR模式,在立法表达中将权利束整合于“个人在个人信息处理活动中的权利”这一概念中。值得注意的是,《个人信息保护法》此处的概念表达和对该类权利的“前缀限定”,并非立法中的语词游戏,而是立法者深思熟虑后的选择。究其要义,其一,这一概念似乎申明,这些权利只是在“个人信息处理活动中”被赋予的,而不是先定的;其二,这些权利所指向的客体并非个人信息,而是信息处理者处理个人信息的活动;其三,这些权利是个人信息处理特定场景和过程中的权利,而非普遍的、绝对化的权利。

   在这一背景中,有必要提出的问题是:在个人信息立法强调“保护个人信息权益”的“保护法”面向下,如何理解这些权利的法律性质?立法者配置这些权利目的何在?这些权利在实践中如何行使与保障?这三个问题涉及个人信息保护法体系的理论基础,影响到个人信息保护法在整个法律体系中的定位,也关系到个人信息的保护手段及救济机制,并最终对个人信息保护和数据治理中的“国家—数据处理者—个人”间关系结构产生决定性的影响。

   在信息技术和数字化浪潮的席卷之下,个人已不可避免地置身于各种“数字化生存”的场景之中。不论是传统的公共和私人机构还是新兴的网络平台,都通过对个人信息的采集、分析、处理、决策等方式深刻影响甚至决定个人的生活,对个人的人格尊严、安宁、隐私、财产等权益带来各种潜在风险。面对这些大规模、持续性处理个人信息的机构,个人往往处在被动的、受压制的处境。个人信息处理者——特别是一些超大型平台,在技术、资源和话语等维度都具有相对于个人而言的巨大势能,因而形成一种事实上的“平台权力”。在个人信息处理场景中,这种权力又衍生出平台的“数据权力”。控制数据权力滥用的风险,正是个人信息保护法律制度的核心使命。实践中,机构和平台对个人信息的过度采集、过度挖掘、算法驱动的自动化决策、个人信息泄露及非法流通利用等情形时有发生,这些本质上都是数据权力滥用的表现。面对数据权力的滥用,仅仅寄希望于个人对其信息进行自我保护显然是不够的;国家必须在个人信息保护和数据治理体系中扮演重要的规制者角色。

   为此,本文从国家保护视角,结合比较法经验和我国实践,梳理个人信息权利束的理论脉络,重思权利束的法理基础与法律性质;以此为基点,尝试厘清权利束在个人信息保护法律制度中的功能定位,进而对权利束的设定、行使、保障等规则进行提炼。

   一、个人信息权利束的法律性质重思

   探究个人信息权利束的性质,在逻辑上需要回归权利束的法理基础。在个人信息保护法规范中对权利束进行设定与建构的基础与目的是什么?这种基础如何展开并表现为构成权利束的具体权利?只有在厘清这些问题的前提下,方可探知并界定权利束的法律性质。

   (一)个人信息权利束私权化路径的局限

   在既有关于权利束性质的探讨中,具有代表性的观点认为,权利束是个人对个人信息进行控制并展开自我保护的具体手段,是民事主体享有的对其个人信息的权利。这种观点所反映的,其实是将对个人信息的自我控制、自我保护作为路径的个人数据治理模式。在权利类型的讨论上,这一模式具体可分为人格权保护、财产权保护等不同进路;在保护强度上,将个人信息作为权利还是利益进行保护亦众说纷纭。概括而言,尽管存在体系定位上的差异,这些研究基本都分享下列共识:自然人对其个人信息享有民事权益,应当采取由民法赋权的逻辑,保护自然人对其个人信息被他人收集、存储、转让和使用过程中的自主决定的利益,具体表现为知情权、决定权、删除权等权项的行使。也即是说,这些研究者普遍将个人信息权利束作为个人信息民事权(益)衍生出的具体权项,将“个人信息民事权利束—个人信息处理者义务”框架作为个人数据治理的基本框架。由此形成的理论范式可归纳为:在价值层面将个人对个人信息的自主控制作为基本立场;在保护手段上依靠对个人赋权及其自我保护;在救济途径上以事后的民事侵权责任为主展开。

   这种私权视角下将权利束纳入民事权利体系的理论构想,一方面可以从美国“隐私—财产”脉络下强调私权神圣的排他性所有权理念中寻得踪迹;另一方面也受到高扬个人自主决定的欧陆人格权学说的影响。这两大理论渊源虽在权利的法哲学基础上存在差异,但在交互影响、发展与合流中,均提出了为个体设置信息控制权的主张。这些主张被引入我国并本土化之后,“构建以信息主体自我控制为基础的个人信息权利体系,并在此之上形成个人信息保护秩序”的理解渐被民法学者所接受并提倡。

   应当承认,依实体性权利的定性,在私法上设计个人信息权利束的逻辑,为理解权利束的法律性质提供了一个重要视角,其在个人信息保护制度尚未健全的阶段亦具有重要的实践功能。在这个意义上,从《民法总则》到《民法典》的个人信息保护条文设置,为个人信息民事权益保障机制的建构起到了奠基性作用,也体现了民法的人文关怀。然而,在个人与个人信息处理者之间的不对称权力结构中,面对信息处理者大规模处理个人信息带来的风险,试图依靠个体化的自主控制来制约信息处理者滥用权力、避免遭受侵害的私法保护模式,在很大程度上却可能沦为个人信息保护的乌托邦。

   首先,个体主义的自主控制范式难以规范不对称权力结构下的个人信息处理关系。应该看到,在防范对象上,个人信息保护所针对的侵害来源,实际上主要是与普通个体之间存在持续性不对称关系、可能对个人信息处理中的相关个人进行支配或压迫的组织,例如高度组织化的平台和机构。面对当代信息化社会的现实,个人对其信息的“自主控制”将导致权利行使的两种尴尬。其一是“保护过度”。强调个人自主控制信息将无法为信息处理者的规则设计与适用预留必要空间,可能导致对信息流通和数据利用的过度抑制;其二是“保护不足”。当个人试图以民事权利(益)去对抗具有明显不对称优势的信息处理者时,往往陷入深深的“无力感”,缺乏制衡能力和技术资源的个人无法单凭“信息自决”下的诸项权利来有效对抗组织化的侵害风险。由于个人与信息处理者之间力量失衡,很难寄希望于通过个人与信息处理者之间的反复博弈而自发地生成公平合理的数据治理秩序。如果国家不对个人数据处理活动进行规制,将会出现个人信息的“有效保护”与“有效利用”的双重失范,动摇数据治理和善治的基石。以“知情—同意”规则为例,在实践中,个人知情权对应着企业的隐私保护政策告知义务;但由于信息处理者在技术、知识、资源等方面对个人具有压倒性的不对称优势,知情权在实践中往往大打折扣,甚至形同虚设。例如,隐私保护政策的文本具有高度的专业性、复杂性,而个人往往缺乏时间与能力对涉及方方面面的隐私政策条文进行有效理解。面对这种情形,知情权的质量和效果非常有限;相应地,在知情权面临空洞化和形式化的情景中,个人决定权的有效性也将不可避免地落空,因为决定权的有效性是以充分、有效的知情为基础的。个体为了获得企业和平台的服务往往只能被迫选择同意。这种情况下的“同意”,如果非要用民法的“意思自治”来解释,未免会显得牵强。即便在一些情况下,个人的确是基于自由意志而同意信息处理者处理其某项信息,也难以意识到各种信息聚合之后所产生的风险,亦无法应对个人信息被侵害的“集体性质”问题。可以说,在缺乏来自国家保护和支援的情况下,个人自主控制的知情—同意规则往往沦落为对个人的象征性赋权;在极端意义上,个人“自主控制”甚至造成“个人自主地选择被支配”的困境。

   实际上,正是意识到上述困境,在域外个人信息保护的实践中,自主控制范式不断遭到质疑和批判。例如,保罗·施瓦茨(Paul Schwartz)提出,不应将隐私自我管理作为信息隐私保护的核心。他进而指出,国家在个人信息保护中发挥着双重作用:其一,创造与维持运行良好的隐私市场;其二,创制隐私法规则,以避免信息偏好的扭曲。又如,伊莱克特拉·比蒂(Elettra Bietti)指出,在缺乏国家主导的有力监管的情形下,个体视角下的同意只是一张“免费通行证”(free pass),无法有效防范平台权力(platform power)所带来的结构性伤害。在近年来的制度实践中,无论是GDPR为预防数据处理风险所作的长达99条的监管和合规要求及其执法活动,还是美国联邦贸易委员会对企业隐私政策的个案审查和规制,都体现出国家主导下企业内部规制与行政外部规制的结构耦合。国家应当对个人信息的保护程度进行担保,对市场保护机制的失灵展开纠偏。

   其次,自我保护模式在个人信息遭受侵害的救济与监督机制上力有不逮。私权保护框架寄希望于个人积极地展开维权与诉讼,但这种机制是个体化的、事后的且低效的,无法应对大规模、持续性、累积性的个人信息处理风险。“这种机制的执行依赖于众多个体不协调的独立行动,其有效性取决于这些个人对信息隐私的重视程度、通过司法行动保护信息隐私的意愿,以及司法系统是否有能力来回应个人的侵权请求。如果其中任何一个因素缺失,例如个人不行使自己的权利或司法系统不能确保对这些权利主张作出一致的裁决,那么建立在个人支配权利基础上的治理机制就会落空,成为象征性治理。”在欧洲,看似耀眼的“信息支配权”“信息所有权”等理念与通过司法对这些权利进行保障效果极其有限的现实之间,形成了鲜明的反差。现实情况是,这些围绕权利束的维权,主要并非依靠个人的自我控制与诉讼,而是依靠国家主导下监管机构的有效监管。例如,GDPR实施一年后,欧盟各国监管机构处理的投诉、数据泄露通知等行政案件总数突破28万件,成为维护个人信息受保护权利的最主要机制。

再次,将权利束理解为民事权利,无法对国家机关处理个人信息的情形进行合理的解释。国家机关处理个人信息在性质上属于国家机关的职权行为,国家机关与个人之间形成的是公法上的权利义务关系;相应地,权利束中的具体权利也往往表现为个人在公权力活动过程中的程序性权利,其内涵取决于调整具体公法活动的法律规则。这表明,个人信息权利束并不是先在的民事权利集合。一个典型的例证是,在司法机关对刑事案件嫌疑人进行调查的程序中,相应的法律规范是《刑事诉讼法》以及相关证据规则;面对侦查机关处理个人信息的侦查行为,(点击此处阅读下一页)

    进入专题: 保护法   国家保护义务   工具性权利   个人信息权利束  

本文责编:admin
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/131317.html

2 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统