就部门法性质而言,此类积极性权利并非针对平等主体的传统民法性权利,也非针对国家执法的传统宪法性权利。
本文系国家社科基金一般项目大数据背景下的个人信息保护与企业数据权属研究(项目编号:18BFX198)的阶段性成果。(d)处理对于保护数据主体或另一个自然人的核心利益所必要的。
谢琳、李旭婷:个人信息财产权之证成,《电子知识产权》2018年第6期,第54-61页。[41]正如我国《民法典人格权编(草案)》所规定的:个人信息中的私密信息,同时适用隐私权保护的有关规定。个人信息的合理使用首先对于公权力机构具有重要作用,特别是对于一些具有公共治理功能的公权力机构,个人信息的收集与处理是其治理能力的基础。邢会强:大数据交易背景下个人信息财产权的分配与实现机制,《法学评论》2019年第6期,第98-110页。如果执法机构获取个人信息都需要获得个人同意,那么个人就会有足够的时间与机会藏匿或删除执法所需信息,同样,如果个人对于自身信息具有访问权、纠正权、删除权等权利,那么个人就能利用这些权利破坏执法所需要的信息与证据。
第一,有些信息权利看起来有可能保护个人权益,但实际上个人却无法有效行使这些权利,造成个人信息相关权利保护的落空,或者给个人带来其他风险。[64]例如,脸部识别信息在线下场景的信息收集中,可能是非敏感信息甚至是公开信息,但在线上场景,此类信息就可能成为敏感信息。⑤任何创设、保存、使用、散播个人可识别数据的机构在因为特定目的而使用数据时,都必须确保数据的可靠性,必须采取措施避免数据被滥用。
以美国的领域立法为例,美国的《家庭教育权利与隐私法》(Family Educational Rights and Privacy Act of 1974)的规制对象是公共机构,如潜在雇主、公共资助的教育机构和外国政府。对于这样一种关系,赋予个体以对抗性的信息权利,很难对个人信息形成有效保护,也难以对信息收集者与处理者施加应尽的义务,提供信息收集和使用的有效空间。相反,个人信息权利保护中的部门法之间相互交叉,使得每个部门法都区别于传统的部门法框架。同时,大数据与人工智能发展的需要又使得数据的二次利用成为必要,对个人信息权利保护中的目的限制信息最小化等原则也形成挑战。
[32] 其次,在执法隐私的框架中,个人信息权利保护框架也不能简单适用于作为公权力机构的执法机关。伴随着国家的立法进程,围绕着个人信息权利的理论探讨也成为热点,学术界从不同角度对其进行了讨论。
只有大型企业、商场或商家才有可能在线上购买广告投放流量,或者在线下占据人们的注意力市场。这种治理框架既区别于传统私法,也区别于传统公法。更为重要的原因是,公权力机构在执法过程中和个体形成的关系,并不存在持续性的信息关系。但尼森鲍姆也指出,公私领域的划分只是场景分类的一种。
例如以国内学界越来越熟悉的海伦·尼森鲍姆(Helen Nissenbaum)的场景理论为例,场景理论的核心就是批判脱离场景与信息关系谈论个人信息权利保护。无论是沃伦、布兰代斯、普罗斯等人所提的隐私权,还是大陆法系基于人格权的隐私保护,都建立在侵权法的思想基础之上的,都预设了侵权方与被侵权方的防范关系与平等主体关系。四、个人信息权利保护的法益基础 在分析了个人信息权利保护的适用前提及其原因之后,现在可以进一步分析个人信息权利保护的法益基础或保护目的,此种分析将为我们思考个人信息权利保护的制度框架奠定基础。当我们谈论一般性权利,例如财产权、人身权甚至隐私权,这些权利即使有争议,也大致有一个共识性的范围。
例如,就个人信息的信托法保护而言,此类研究者的关注点在于,信息收集者与处理者与个人之间形成了非常不平等的信息关系,而且此类关系是持续性和互相依赖性的。另一方面,它借鉴了合作治理中的意思自治与国家监管。
[23]这些法律都将个人信息权利保护的范围限定在具有持续性不平等信息关系的主体之间,既排除了个人日常活动中的信息收集与处理,也排除了政府执法中的个人信息收集与处理。赋予个人以针对他人或平等主体的信息权利,既不合理,也不现实。
从信息关系上来说,个人和信息收集者与处理者之间构成了一种持续性的信息不平等关系,区别于侵权隐私中的信息能力平等之间的关系,也区别于执法隐私中的非持续性信息关系。[17]《一般数据保护条例》重述第18条,https://gdpr-info.eu/recitals/,最后访问日期:2019年12月15日。[8]参见孙平:系统构筑个人信息保护立法的基本权利模式,《法学》2016年第4期,第67-80页。[14]在德国、中国等大陆法系国家,隐私权被归入人格权的范畴,侵犯隐私主要以侵犯人格权的案由进行立案和救济。[5]参见刘德良:论个人信息的财产权保护,《法学研究》2007年第3期,第80-91页。个人信息的保密关系法保护具有同样的特点,也强调在具体场景与信息关系中确定个人信息权利的边界,而非事先确定个人信息的权利边界,然后再将其应用在具体场景中。
因此,信托法保护的路径主张对个人和信息收集者与处理者分别施加信息信托权利与信息信义义务。[51]因为在个人行使访问权或携带权之前,个人信息可能位于陌生人的场景,很难被陌生人识别。
但是这种分析只是理论上的,全球通行的个人信息权利保护都认可了个人针对信息收集者与处理者的访问权、纠正权、删除权等个人信息权利。首先,在侵权隐私的框架中,法律只对个人信息做非常有限的保护,而且依赖于侵权法这一被动性的保护方式。
参见叶名怡:个人信息的侵权法保护,《法学研究》2018年第4期,第83-102页。参见杨芳:我国个人信息保护法适用范围之思考——隐私权救济困境下的个人信息保护法,《社会科学家》2016年第10期,第112-115页。
[2]参见程啸:民法典编纂视野下的个人信息保护,《中国法学》2019年第4期,第26-43页。六、结语:重构大数据时代的个人信息权利保护 2020年,伴随着《加州消费者隐私法》的生效,面对欧盟以《一般数据保护条例》为代表的个人信息保护制度的强大影响,[75]信息隐私的两位学者伍德罗·哈特佐格(Woodrow Hartzog)与尼尔·里查德(Neil Richards)大声疾呼,当前正是美国信息隐私重构的宪法性时刻。公开扭曲他人形象致误解(false light)。另一个例子是个人信息访问权、携带权等权利,此类权利虽然赋予了个体以访问和获取相关信息的权利,有利于维护公民相关权利,但此类权利也同时给个体带来了很多风险。
事实上,在现代法治实践中,这种基于具体场景和个案演化的规则制定方式并不少见,例如在行政规制中,很多前沿学术研究已经认识到,基于具体情境的正当性判断,反而比形式主义法治更可能符合法治的基本精神。2020年,全国人大常委会将制定《个人信息保护法》,可以预见在不久的将来,就会有专门的《个人信息保护法》出台。
2015年,《刑法修正案(九)》规定了侵犯公民信息罪,将违反国家有关规定,向他人出售或者提供公民个人信息的所有主体都纳入刑法调整范围。2012年,全国人大常委会审议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》,开启了个人信息的法律保护之路。
(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的。[1]参见吕炳斌:个人信息权作为民事权利之证成:以知识产权为参照,《中国法学》2019年第4期,第44-65页。
[35] 对于这样一种关系,以公平信息实践为基础的个人信息权利保护制度采取了多种法律部门综合保护的进路。但这里却实际上有个前提性问题需要我们思考:个人信息权利保护是否可以针对所有活动中的所有主体?分析这一问题,可以发现个人信息权利中的知情权、选择权、访问权、纠正权、删除权、携带权等权利,都只能对具有专业性或商业性收集能力的主体进行主张,这些权利既不能对日常活动中的个人信息收集与处理进行主张,也不能针对国家执法中的个人信息收集与处理进行主张。美国的个人信息权利保护法律制度同样表明了这一点。如果信息收集者与处理者在个人不知情的情形下收集和处理个人秘密或私密信息,此时个人既可以选择以个人信息权利保护法的框架进行救济,也可以选择传统侵权隐私法的框架进行救济。
从形式上说,当前欧盟等国家和地区的个人信息权利保护制度很好地继承了公平信息实践所开创的制度,因为公平信息实践的最初版本中,的确包含了大量的个人信息权利。[34]对于政府在执法或搜查过程中所合法获得的个人信息,个人一般不具有知情选择权、访问权、纠正权、删除权等权利。
相反,我们应当在具体场景和信息关系中重新勾勒和确定个人信息权利。就此类关系的法律性质而言,此类关系更类似于劳动法与消费者保护法等社会法的关系。
因此,分析与界定个人信息权利的边界,就必须把个人信息重新放置在信息关系中加以思考。如果将其纳入民法权利的范畴,也必须突破传统民法权利的平等法律关系,以不平等的民法权利关系来看待个人信息权利保护。