柯金妍

（華東政法大學 法律學院，上海 200050）

一、防范與思考：“半強制條款”下個人信息安全新挑戰(zhàn)

2020年7月，江西省南昌市人民檢察院發(fā)現(xiàn)，本地部分手機APP存在嚴重侵犯公民個人隱私和違規(guī)收集使用用戶個人信息的問題。2021年7月，國家互聯(lián)網信息辦公室又通報了“滴滴出行”APP嚴重違法違規(guī)收集使用個人信息的情況，這兩起事件無疑折射出一個嚴重的社會問題：公民個人信息的“半強制泄露”。越來越多的個人信息處理者為了得到更多的個人信息和數(shù)據，采取類似于“半強制”的方式：如各類手機APP，如用戶不同意APP獲取其位置、通訊信息及其他個人信息資料，則用戶無法安裝或運行該APP。絕大部分用戶出于使用該APP的需要，大多會選擇“同意”。因此，部分APP的信息獲取條款在本質上其實是一種“半強制條款”，如果用戶有使用APP的需求，那么他們除了同意沒有其他路徑可以選擇。雖然從表面上看，網絡用戶仍享有同意繼續(xù)、拒絕退出的選擇權。但是這種選擇權并不是一種真正的“唯意愿主義”，用戶在披露什么信息，將個人信息應用于哪些用途，多大程度地披露信息等問題上并沒有選擇權，絕大多數(shù)的網絡用戶是“非自愿地”、“被動消極”或者“無意識”地透露著自己的個人信息。這種信息地位的嚴重不平等，導致用戶在網絡上實際處于劣勢地位，個人信息處理者則憑借著自己的優(yōu)勢地位隨意地獲得自己認為是有價值的信息數(shù)據，由此導致的結果是用戶個人信息的泄露有不斷擴大之勢，公民隱私權侵犯的案例也是層出不窮。因此，如何從法律層面上撘建起公民個人信息保護的權利框架，如何改變網絡用戶個人數(shù)據的“半強制泄露”狀態(tài)，如何在大數(shù)據時代更好地保障公民個人信息權利不被侵犯等，這些都是本文重在思考和論證的問題。

二、應對“半強制條款”的權利構建

（一）加強個人信息隱私權的多重保護

在網絡空間中，我們需要加強對公民個人隱私權的多重保護。所謂多重保護，主要指的是除了受憲法規(guī)范意旨調整之外，還需要加強個人信息隱私權的刑法保護、民法保護、行政保護等，多管齊下，為個人信息隱私權不受侵犯奠定堅實基礎。一般認為，隱私權是公民享有的私人生活安寧與私人信息依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開等的一種人格權。［1］隱私權的內容包括（1）個人信息的保密；（2）個人生活不受干擾的權利；（3）個人私事決定的自由。［2］我國對隱私權的保護間接體現(xiàn)在《憲法》第三十八條、第三十九條、第四十條當中。這三個條文雖然只是分別規(guī)定了人格尊嚴、住宅、通信秘密權不受侵犯，但是如果我們從其實質性內涵來理解，人格尊嚴、住宅、通信秘密都是直接關涉公民最隱私、最私密的部分，是公民不愿將其公之于眾的私人生活部分，因此，從廣義上來說，完完全全可以歸于公民隱私權的范疇。此外，從目的解釋的角度上來說，這三個條文雖然只規(guī)定了人格尊嚴、住宅、通信秘密權受到保障，但是其目的是保障公民的生活安寧以及個人私密部分不受他人侵犯?；诖耍瑥摹稇椃ā废嚓P條文的制定目的上來看，隱私權得到了憲法間接的保障與認可，這完全符合目的解釋的邏輯。其次，要應對“半強制條款”，加強公民網絡空間中隱私權的保護，除了要從《憲法》的意旨出發(fā)，民事保護、刑事保護、行政保護也需要同步推進，從而構建多重保護屏障。

（二）明確規(guī)定和落實個人信息權

民法典第九百九十條第二款規(guī)定，除前款規(guī)定的人格權外，自然人享有基于人身自由、人格尊嚴產生的其他人格權益。在網絡空間中，基于該條款可以引申出一種非常重要的權利——個人信息權。全球已經有90多個國家制定了個人信息保護法，確立了個人信息權?，F(xiàn)行《憲法》雖并沒有直接將個人信息權列入公民的基本權利之中，但是一般來說人們均將個人信息權作為公民人格權的重要組成部分。［3］個人信息權是公民基本權利得以具體落實的應有之義，是公民的人身自由、人格尊嚴在網絡空間的延伸和拓展，是在網絡空間中公民的人身自由、人格尊嚴權得到保障的切實需要。因此，在我國個人信息權利保護框架中，個人信息權應被更好地明確和落實。但是就我國現(xiàn)階段而言，個人信息權被提及甚少，大部分公民也對這項權利不甚了解，應通過加強對《個人信息保護法》的立法解釋、司法解釋來明確個人信息權的內涵和保護路徑。

（三）將人格權作為網絡空間中其他權利的兜底和基礎

不管公民在網絡空間中的權利如何變化和延伸，都應該恪守《憲法》第三十八條的規(guī)定，在個人信息權利保障存有漏洞時也可以用《憲法》第三十八條作為權利兜底?！稇椃ā返谌藯l規(guī)定的人格尊嚴、人身自由的實質之意為公民的人身和行動受自己支配，即對自身的支配權，那么建立在人身自由基礎之上的相關信息權利也應有此之義，人格權應作為網絡空間中其他權利的基礎。

三、關于網絡信息權保障之國外立法模式借鑒

（一）我國網絡信息權保障之現(xiàn)狀

在個人信息保護領域，因為我國網絡發(fā)展起步晚、信息權意識淡薄，相關法律保障也不盡完善。目前我國正式出臺的《個人信息保護法》雖然是我國個人信息領域邁出的一個大步，但是我國的個人信息保護領域尚且沒有形成一個統(tǒng)一、完善的法律體系。除了《個人信息保護法》之外，只有相關零散的規(guī)定分布在一些法律法規(guī)規(guī)章以及相應的司法解釋當中，規(guī)定網絡用戶個人信息的規(guī)范主要體現(xiàn)于《互聯(lián)網電子公告服務管理規(guī)定》的第12條、第19條；2007年《關于促進電子商務規(guī)范發(fā)展的意見》以及2014年生效的《消費者權益保護法》第29條、《網絡交易管理辦法》第18條；2015年的《刑法修正案（九）》以及2017年施行的《網絡安全法》等?？梢?，在個人信息保護領域除了《個人信息保護法》之外，采取的主要是分散性的立法模式，在許多重要領域或者特殊環(huán)節(jié)都缺少系統(tǒng)完善的法律規(guī)定。

（二）個人信息權利保障之域外立法考查

1.美國模式

美國早在1997年就制定和發(fā)布了《全球電子商務政策框架》，意在加強電子商務環(huán)境下個人信息權利的保障，該框架突出亮點是提出了兩項保護公民個人信息權的重要原則即告知原則和選擇權原則。但是美國缺少個人信息保護的一般性立法，僅對于不滿十三歲的兒童等特殊對象頒布了一些法令和措施，例如《兒童在線隱私政策保護法案》。此外，2012年的《全球數(shù)字經濟下隱私保護的創(chuàng)新推動的框架》可以說是美國在電子商務環(huán)境下完善公民個人信息保護制度的重要舉措，推動了美國網絡個人信息權及網絡經濟的發(fā)展。

但是美國對個人信息的保護更重在行業(yè)自律模式，意在通過電子商務行業(yè)的行業(yè)規(guī)范以及行業(yè)自律來規(guī)范網絡信息處理者對公民個人信息的使用、收集行為。具體而言，美國電子商務行業(yè)主要采用三種方式保護消費者個人數(shù)據：一是通過非強制性的商業(yè)指引，為電子商務企業(yè)保護消費者個人信息提供示范性指導；二是利用技術保護，有代表性的是互聯(lián)網協(xié)會提出的個人隱私偏好性平臺技術（P3P）；三是網絡隱私認證機制，例如TRUSTe、BBBONLine、Web Trust等。［4］在法律規(guī)范調整和行業(yè)自律這兩條路徑之前，行業(yè)自律模式則是美國進行個人信息保護的特色和主要方式。

2.歐盟模式

歐盟國家則更加注重各式法律文件的規(guī)范作用。歐盟個人信息保護法律體系是由一系列的指令、原則、準則、指南等法律文件組成的。［5］歐盟將網絡用戶的數(shù)據隱私權置于與基本人權并駕齊驅的高度，并基于影響深遠的人格權理論，于1995年頒布了《關于涉及個人信息處理的個人保護以及此類數(shù)據自由流動的指令》，詳細規(guī)定了個人資料權的具體內容以及個人數(shù)據管理者的義務和責任；此外，還有2013年《歐盟數(shù)據保護基本條例》，該條例則規(guī)定數(shù)據控制人可以行使“刪除權”或者向專門監(jiān)督機關或者司法機構提起控訴或者起訴的方式來行使救濟；以及2016年通過的《一般數(shù)據保護條例》等。歐盟通過構建系統(tǒng)完善的法律文件規(guī)范，并輔之以信息處理者、公民雙方權利、義務、責任的明確，有力地保障公民個人信息權不受侵犯。

綜上，相較于美國的行業(yè)自律模式，基于我國電子商務行業(yè)發(fā)展得相對不成熟以及相關協(xié)會發(fā)揮的作用極其有限之現(xiàn)狀，筆者認為歐盟的立法模式更值得我們學習和借鑒。我國應重視各式法律文件的規(guī)范作用，提升個人信息權的權利高度，建設統(tǒng)一完善的信息權保障法律體系，可以嘗試在《個人信息保護法》之外再完善專門領域的立法，采取“1＋n”的立法模式，以此來應對我國網絡信息權保障之困境。

四、應對與完善：“半強制條款”下個人信息權法律保護的制度構建

（一）在《個人信息保護法》中明確個人信息權的內涵、性質及內容

《個人信息保護法》第四條對個人信息作出了明確的界定，而同樣作為核心概念的個人信息權卻沒有得到清楚和明確的界定，個人信息權的性質尚且存在爭議。對于個人信息權屬于何種性質的權利，理論界主要存在“基本人權說”、“所有權說”、“隱私權說”、“人格權說”以及“混合權利說”等主張，目前尚無一個清晰的定論。此外，關于個人信息權究竟包含哪些權利內容，在《個人信息保護法》中也找不出明確的回答，其具體的權利內容大多只停留在學術層面上的討論，而沒有在法律規(guī)范層面上被明確界定。個人信息權是什么？個人信息權包含哪些權利內容？作為反擊“半強制條款”的個人信息決定權是否屬于個人信息權的范疇？在第一章總則部分將此明確，才可以成為個人信息處理規(guī)則的法律依據和理論出發(fā)點。如此，針對“半強制條款”的合憲與否、合法與否我們不僅能從是否違反《個人信息保護法》有關規(guī)定的角度進行探討，同樣還能從總則基本規(guī)定的角度進行思考，即使是法律沒有規(guī)范的死角，也能根據個人信息權的內容和性質進行原則性理解，從而在一定程度上提高對公民權利的保障力度。

（二）限縮《個人信息保護法》第十七條“所必需”的范圍

《個人信息保護法》第十七條規(guī)定：個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外。筆者贊同前半句話，但是對該條的后半句持質疑態(tài)度。提供何種產品或者服務的選擇權應保留給網絡用戶，而不是由個人信息處理者自由選擇。網絡用戶要使用一款軟件，是簡單地觀看瀏覽，還是登陸使用該款APP的部分功能或全部功能，應該交由網絡用戶來決定和選擇。究其原因主要是因為公民個人信息權內在地包含了公民個人信息自決權，網絡用戶本就對其個人信息享有選擇、處分等權利。而從另一個角度來說，此條文的但書規(guī)定容易被個人信息處理者濫用，如果他們想要收集網絡用戶更多的信息資料，那么個人信息處理者可能會將APP或者網絡項目的邊角功能都囊括進來，而號稱其全方位地收集網絡用戶信息資料的行為為“所必需”，從而進一步擴大不平等。因此，“所必需”這個詞就非常容易被個人信息處理者曲解和濫用，成為個人信息處理者半強制獲取公民個人信息的手段和借口。

因此，《個人信息保護法》第十七條要想突破此種困境有兩種路徑可供選擇，一是修改《個人信息保護法》第十七條，將處理個人信息“所必需”的產品和服務范圍限定在開發(fā)該款APP或其他網絡項目產品或服務的主要目的、用途和關鍵功能中，加上“主要”、“關鍵”這些限定詞來防止網絡用戶提供者擅自將非主要服務和功能也囊括其中；二是在不修改《個人信息保護法》第十七條的情況下對該條文進行限縮解釋，將“所必需”解釋為運行該核心產品或主要服務而不得不處理用戶個人信息，這樣解釋就排除了信息處理者在非關鍵功能和用途方面半強制收集信息的可能。這兩路徑概括說來是“一個目的兩種路徑”，均是將個人信息處理者收集產品或服務的范圍限定在主要目的和關鍵功能的范圍之內，只是一個采取的是修改法律的形式，另一個采取的是保持法穩(wěn)定前提下的法解釋路徑，形不同而質同。

（三）將個人信息歸于財產權保護

目前有專家指出要確立個人信息財產權屬性，學者劉德良也曾在《個人信息的財產權保護》一文中指出，“在信息時代，個人信息具有潛在的商業(yè)價值故而都應該受到財產權的保護。”［6］但是個人信息財產權卻沒有在法律上確立起來。隨著大眾傳媒和科技的發(fā)展，個人信息的經濟價值被很大程度地凸顯，個人信息自決權不再只局限于人格尊嚴或人身自由等精神利益，而在更大程度上轉為對個人信息經濟價值的保護，這是由網絡世界的商業(yè)化和個人信息的經濟性所決定的。受資本驅利的影響，個人信息處理者在訂立“半強制條款”時更看重的是個人信息的商業(yè)價值，因此個人信息早已超出了人格權的范疇。將個人信息歸于個人信息財產權來保護可以加強用戶對自身數(shù)據信息的控制力，提升用戶對個人信息的處分、收益意識，打破傳統(tǒng)的個人信息隱私權保護無力的困境。

（四）確立個人信息保護與利用的個案衡量機制

《個人信息保護法》第十三條規(guī)定實質上蘊含了利益衡量的原則，也體現(xiàn)了《個人信息保護法》追求的不單單是用戶個人權利的的保障和實現(xiàn)，同時關注的是一種利益的平衡，即信息利用和個人信息權保障之間的平衡，是關乎個人利益、社會利益與國家利益之間的一種平衡，因此，個人信息需要從利用與保護兩個層面予以考量。

大數(shù)據時代個人信息的處理和利用實際上是具有很強的變動性的，個人信息飛速流轉，大數(shù)據突破了一元單方聯(lián)系。［7］而法律規(guī)范具有一定的滯后性，它只能根據變化發(fā)展著的實際作出相應的變化和調整，正因為法律規(guī)范立足于社會實際而又滯后于社會實際的現(xiàn)實，使得法律的變化調整總是趕不上網絡世界飛速發(fā)展的變化。因此我們不能完全依靠法律規(guī)范來對多方利益進行簡單而刻板的衡量，我們必須將各方利益放在具體的個案中予以衡量，而個案的衡量又要置于整個社會環(huán)境中進行。立法上的利益衡量要達到的目的是“多贏”和“共和”。［8］雖然目前網絡用戶面臨著諸多“半強制條款”，但在線下實際生活中，公民其實也面臨著不少“強制條款”。比如在疫情常態(tài)化背景下，政府使用“健康碼”來采集公民個人信息實質上就體現(xiàn)了其“強制”的屬性，但是這種強制收集的做法其合法性和正當性是受認可的，因為在公共健康、國家安全和公民個人信息權的天平上，毫無疑問，公共健康、國家安全對于防控疫情更為緊要。因此，不是“半強制條款”甚至“強制條款”其本身侵犯公民個人的權利，也不是個人信息處理者一定不能用“半強制條款”收集公民個人信息，需要明確的是“半強制條款”在使用之前需要遵從“優(yōu)先原則”的要求，并在個案中予以精準衡量。