徐子航

(哈爾濱商業(yè)大學(xué)法學(xué)院，黑龍江 哈爾濱 150000)

伴隨互聯(lián)網(wǎng)技術(shù)在社會生活中的普及應(yīng)用和信息化程度在私人空間和公共領(lǐng)域的日益加深，出現(xiàn)了許多傳統(tǒng)法學(xué)研究和法律法規(guī)所沒有規(guī)制的法律問題。有的學(xué)者指出，“18 世紀(jì)工業(yè)革命以來圍繞能量與物質(zhì)構(gòu)建的法律秩序，正面臨向圍繞信息與網(wǎng)絡(luò)構(gòu)建的法律秩序的全面轉(zhuǎn)型?！盵1]其中個人信息作為個體在社會群體中明確身份的重要要素，如果被泄露和濫用會直接危害公民的財產(chǎn)安全，并導(dǎo)致電信網(wǎng)絡(luò)詐騙、惡意人身騷擾等諸多問題的發(fā)生。為回應(yīng)現(xiàn)實法律問題的需要，實現(xiàn)對個人信息的有效保護(hù)已經(jīng)成為大數(shù)據(jù)時代法學(xué)需要解決的重大課題。

一、個人信息保護(hù)中相關(guān)理論辨析

近年來《民法典》《網(wǎng)絡(luò)安全法》的頒布，推動了網(wǎng)絡(luò)交易和數(shù)據(jù)安全等領(lǐng)域法治化發(fā)展，但關(guān)于個人信息保護(hù)的權(quán)利基礎(chǔ)和保護(hù)路徑上依舊沒有一個確定的答案。二者邏輯的理清是新時代個人信息保護(hù)體系建設(shè)的關(guān)鍵，只有明確個人信息保護(hù)的權(quán)利基礎(chǔ)，才能解決保護(hù)主體、保護(hù)范圍和保護(hù)方式等重要問題，實現(xiàn)對個人信息相關(guān)權(quán)益全面而充分的保護(hù)。

(一)個人信息保護(hù)的內(nèi)涵闡釋

“個人信息是指可直接或間接識別特定自然人的一切數(shù)據(jù)。”[2]最早在歐盟的《數(shù)據(jù)保護(hù)指令》中提出相關(guān)概念，相繼挪威、羅馬尼亞和德國等歐洲國家紛紛進(jìn)行立法。各國對個人信息的稱謂上不盡相同，包括有個人隱私、個人數(shù)據(jù)、個人識別信息等諸多表達(dá)，但從其信息內(nèi)容來看，這些概念指涉的概念大體相同，皆為可以識別個人的信息和數(shù)據(jù)。我國《網(wǎng)絡(luò)安全法》將其概括為以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。從理論框架來看，個人信息保護(hù)可以分為消極的個人信息防御性保護(hù)和積極的個人信息表達(dá)性自由，后者將個人信息視為言論表達(dá)自由的一部分。我國《憲法》所規(guī)定的公民享有基本權(quán)利的人權(quán)和《民法典》中人格權(quán)部分規(guī)定的隱私權(quán)和個人信息保護(hù)則更側(cè)重于前者個人信息安全的保護(hù)，將個人信息安全作為公民進(jìn)行正常社會生活中的一項基本條件。確保公民個人信息受到有效保護(hù)，不受他人非法侵害。

(二)個人信息保護(hù)的權(quán)利基礎(chǔ)

許多學(xué)者采取傳統(tǒng)私法的權(quán)利理論，將個人信息視為公民所享有的一項權(quán)益，作為私權(quán)客體來加以保護(hù)，并設(shè)置一套能夠?qū)共惶囟ㄖ黧w的私法制度。該觀點(diǎn)也因為有歐洲國家司法實踐的域外經(jīng)驗被廣泛接受，主張我國個人信息保護(hù)也應(yīng)作為一種具有人格屬性的私權(quán)，只需在民法法律體系下進(jìn)行規(guī)則設(shè)計。首先，將個人信息視為一種權(quán)利或利益放在民事權(quán)利義務(wù)框架下研究。但個人信息作為一種抽象的概念，同時具有作為公民自身的個體性和社會成員的公共流通性雙重屬性，如果個人享有完全的權(quán)利去自主決定其個人信息是否讓他人收集和使用，在實踐中將遭遇法律與道德的空白地帶以及法律制度的瓶頸。一方面，從社會實際的角度不具有可行性，使個人信息保護(hù)成為一個沒有切實權(quán)力保障的空泛概念。另一方面，有可能妨礙社會的信息運(yùn)轉(zhuǎn)，對人際交流造成困難。個人信息的范圍和內(nèi)容也在公民活動中隨時變化，其動態(tài)性也導(dǎo)致單一靜態(tài)的民事權(quán)利保護(hù)無法化解這一矛盾，反而導(dǎo)致有限的司法資源無法被限制于龐雜的信息確認(rèn)中。其次，從權(quán)力體系對比中可以發(fā)現(xiàn)，基于公民意思自治基礎(chǔ)上的私權(quán)保護(hù)在面對龐大的公司企業(yè)和國家機(jī)構(gòu)時天然處于劣勢。相比具有專門法務(wù)團(tuán)隊的信息收集和處理方，公民考慮到成本消耗和收益率等因素，無法充分而全面的保護(hù)自身利益。這種不平衡的對比也違背了我國民事法律體系的平等原則。正如張新寶指出，“面對強(qiáng)大的個人信息處理者，抽象的民事權(quán)利規(guī)定容易被虛化，淪為‘紙面上的權(quán)利’；個人信息保護(hù)的有效性必然有賴于國家規(guī)制，實踐中站在維權(quán)第一線的其實往往是監(jiān)管者而非個人?！盵3]最后，《民法典》和《個人信息保護(hù)法(草案)》的相關(guān)規(guī)定中并沒有將個人信息解釋為一種公民享有的民事權(quán)利，而是表述為其受到法律的保護(hù)。

(三)個人信息保護(hù)的相關(guān)理論

目前，我國關(guān)于個人信息保護(hù)理論研究的主要觀點(diǎn)：周漢華等學(xué)者提出的建立個人信息多元治理機(jī)制，完善公法范疇內(nèi)的個人信息等理論觀點(diǎn)，但這些觀點(diǎn)更多聚焦于立法和司法方面，并沒有對個人信息保護(hù)的權(quán)利來源進(jìn)行探究。王錫鋅教授主張“個人信息保護(hù)的憲法基礎(chǔ)是國家所負(fù)有的保護(hù)義務(wù)，國家負(fù)有對公民人格尊嚴(yán)和隱私、安寧進(jìn)行保護(hù)的義務(wù)。隨著信息時代的來臨，該種義務(wù)擴(kuò)展到對個人信息相關(guān)權(quán)益的保護(hù)?！盵4]將個人信息保護(hù)解釋為國家對公民履行其保護(hù)義務(wù)的一部分。通過國家和公法提供保護(hù)路徑來為公民的個人信息安全提供權(quán)利保障，有效震懾數(shù)量繁多且類型復(fù)雜的侵害危險源，預(yù)防個人信息泄露、濫用等侵害行為的發(fā)生，切實保障公民個人信息安全。

二、個人信息保護(hù)公法制度的優(yōu)化

個人信息的保護(hù)對象除了人格權(quán)和人的尊嚴(yán)以外，還包括個人信息關(guān)聯(lián)的個人合法權(quán)益。為了避免商業(yè)組織在處理大量個人信息時所造成的潛在基本權(quán)利和實質(zhì)價值造成的損害，國家需要建立完善的制度體系來保護(hù)作為弱勢一方的個人。

(一)國家在個人信息保護(hù)中的角色

基于個人信息具有雙重屬性，國家在其保護(hù)領(lǐng)域同時扮演著雙重角色。一方面，基于個人信息的個人屬性，公民的防御權(quán)要求國家在公權(quán)力的行使中履行消極義務(wù)，避免其不當(dāng)行使侵害公民基本權(quán)利。這種觀點(diǎn)很早就在歐盟國家的司法實踐中有大量體現(xiàn)，在《歐洲個人數(shù)據(jù)處理中的個人保護(hù)公約》中明確個人信息保護(hù)不得妨礙信息自由、公眾知情等基本權(quán)利，賦予公民包括數(shù)據(jù)訪問權(quán)、更正權(quán)、拒絕權(quán)等諸多權(quán)利，以保障公民能夠有權(quán)支配自身的個人信息。歐洲人權(quán)法院強(qiáng)調(diào)國家應(yīng)尊重私人生活的安寧，理清國家權(quán)力與個人自由的邊界。國家機(jī)構(gòu)在公民個人信息的收集上堅持保留性等抑制公權(quán)的原則。嚴(yán)格避免國家機(jī)構(gòu)以公共利益的需要為由侵犯公民的個人信息。另一方面，伴隨信息時代的發(fā)展，大量現(xiàn)代移動電子設(shè)備的應(yīng)用和信息收集、整理和分析的更新迭代導(dǎo)致個人信息泄露的渠道大幅增加，大數(shù)據(jù)系統(tǒng)個人信息的重要程度日益突顯。傳統(tǒng)為防止國家公權(quán)而設(shè)定的法律體系無法應(yīng)對個人信息保護(hù)所面臨的新風(fēng)險。個人面對具有組織化和專業(yè)化的信息處理機(jī)構(gòu)和紛繁復(fù)雜的信息處理場景顯得無力。國家應(yīng)履行保護(hù)個人信息的積極義務(wù)的觀點(diǎn)被越發(fā)倡導(dǎo)。公民個體需要借助國家制定的完善公法體系來實現(xiàn)對自身權(quán)益的保護(hù)。例如歐盟在2000年頒布的《歐盟基本權(quán)利憲章》中規(guī)定各成員國應(yīng)設(shè)置專門監(jiān)管機(jī)構(gòu)來保障個人數(shù)據(jù)安全。此基礎(chǔ)上制定了《通用數(shù)據(jù)保護(hù)條例》(GDPR)，規(guī)定數(shù)據(jù)控制者和管理者的行為若違反有關(guān)條例，相關(guān)機(jī)構(gòu)可自行行使行政執(zhí)法權(quán)，對違法者采取行政處罰等措施。2015年歐洲數(shù)據(jù)保護(hù)專員公署發(fā)布的報告指出，個人信息受保護(hù)權(quán)的主要目的是作為個人尊嚴(yán)面對個人處理時可能風(fēng)險的補(bǔ)充力量。

(二)侵害個人信息的風(fēng)險主體

伴隨大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，個人信息成為一種生產(chǎn)資料，其經(jīng)濟(jì)價值越發(fā)突顯。除了政府外，大量的互聯(lián)網(wǎng)企業(yè)擁有龐大的用戶群體和多元的信息收集途徑，能夠大規(guī)模收集個人信息，并通過算法來發(fā)揮自身競爭優(yōu)勢，這一現(xiàn)象在金融、醫(yī)療等各社會領(lǐng)域都有所體現(xiàn)。因此，個人信息已經(jīng)成為社會治理中的重要組成部分。大型互聯(lián)網(wǎng)企業(yè)通過大數(shù)據(jù)和算法，在獲取大量個人信息后形成精準(zhǔn)的個人畫像，并通過有選擇性的推送信息數(shù)據(jù)來控制個體對信息的獲取，最終潛移默化地影響個人決策。在此過程中，個體甚至無法判斷風(fēng)險是何時發(fā)生的，準(zhǔn)確判斷自己的何種權(quán)益是如何被侵害的，因此實現(xiàn)私力救濟(jì)極為困難。面對具有復(fù)雜性和隱蔽性的信息泄露，僅靠需要制衡能力和信息資源的個人自主防衛(wèi)是不現(xiàn)實的，采取事后救濟(jì)不僅大量消耗了司法資源，更因為個體條件的限制導(dǎo)致不能實現(xiàn)其預(yù)設(shè)效果。而國家履行保護(hù)義務(wù)需要先明確所針對的侵害個人信息的風(fēng)險主體。

首先是以互聯(lián)網(wǎng)企業(yè)為代表的私營商業(yè)組織，不同于傳統(tǒng)和消費(fèi)者交易的企業(yè)，互聯(lián)網(wǎng)企業(yè)多呈現(xiàn)為平臺模式，“往往借由其平臺為其他經(jīng)營者和消費(fèi)者提供交易場所，發(fā)揮著市場的資源配置功能，表現(xiàn)出企業(yè)與市場的二重性?！盵5]將消費(fèi)者的需求和銷售者的供應(yīng)通過算法來匹配結(jié)合，能夠某種范圍內(nèi)管理市場，在一定程度上具有“準(zhǔn)公共權(quán)力”。其次是以國家機(jī)關(guān)為代表的公權(quán)力機(jī)構(gòu)，國家機(jī)關(guān)和組織在履行公共服務(wù)和公共管理的職能中，出于工作需要也會大量收集公民的個人信息，但這過程中也可能侵害個人信息安全。如江西省樂安縣人民檢察院督促規(guī)范政府信息公開行政公益訴訟案中，樂安縣農(nóng)業(yè)農(nóng)村局在官網(wǎng)上公開的補(bǔ)貼名單中，對相關(guān)公民身份證號碼、家庭住址和手機(jī)號碼等個人信息公開，泄露了不應(yīng)公開的公民信息。因此，公權(quán)力機(jī)構(gòu)在處理公民個人信息時應(yīng)堅持審慎態(tài)度，正確處理好政府信息公開職能和保護(hù)個人信息義務(wù)間的關(guān)系，對個人信息收集的范圍和內(nèi)容自發(fā)加以約束。

三、個人信息保護(hù)公法路徑的法理解析

伴隨《民法典》《網(wǎng)絡(luò)安全法》的出臺，我國個人信息保護(hù)依然是當(dāng)前立法的重要方向。但關(guān)于個人信息保護(hù)權(quán)力基礎(chǔ)的認(rèn)知尚未達(dá)成共識，這導(dǎo)致無法形成合理的權(quán)利義務(wù)結(jié)構(gòu)框架。國家和公法作為個人信息保護(hù)的決定性力量，其需要同時履行積極義務(wù)和消極義務(wù)兩個方面。在公法保護(hù)個人信息安全的體系設(shè)計上，需要在法理上理清信息領(lǐng)域各方關(guān)系，通過法律授權(quán)公民所享有的權(quán)利，維護(hù)其人格尊嚴(yán)不受損害。借鑒個人信息保護(hù)制度的域外經(jīng)驗，建立有效的監(jiān)管機(jī)制來保護(hù)個人信息安全。

(一)構(gòu)建法律制度框架，明確法律責(zé)任

首先，國家需要在法理上明確個人與信息收集處理者二者之間的權(quán)利義務(wù)關(guān)系，通過法律條文明示公民在其個人信息上的權(quán)利及具體行使途徑，劃清信息收集處理者的權(quán)限。可在借鑒歐美國家域外經(jīng)驗的基礎(chǔ)上，通過制定《個人信息保護(hù)法》來從法理上明確公民個人信息的知情權(quán)、更正權(quán)、刪除權(quán)等一系列權(quán)利。在個人信息領(lǐng)域構(gòu)建合理的權(quán)利制衡機(jī)制，使得公民個體在面對強(qiáng)勢的信息收集處理者時，能夠捍衛(wèi)個人自由和尊嚴(yán)。其次，構(gòu)建個人收集和處理備案制度。“我國現(xiàn)行立法并未要求個人信息處理者對其關(guān)于個人信息保護(hù)法定義務(wù)的履行情況進(jìn)行強(qiáng)制備案，這給行政監(jiān)督和執(zhí)法帶來巨大成本和不便，也不利于促進(jìn)企業(yè)乃至行業(yè)提高個人信息保護(hù)自律水平?！盵6]因此，在立法時應(yīng)規(guī)定信息收集處理者應(yīng)當(dāng)履行的法定義務(wù)，其要向社會明確公開自己的信息收集領(lǐng)域和處理算法邏輯，并在有權(quán)機(jī)構(gòu)進(jìn)行登記備案，監(jiān)管機(jī)構(gòu)定期對其執(zhí)行情況進(jìn)行復(fù)審。還應(yīng)明確信息收集處理者法律責(zé)任，通過民法、行政法和刑法所構(gòu)建的多元法律責(zé)任機(jī)制來有效遏制侵害行為的發(fā)生。最后，在事后救濟(jì)方面，立法應(yīng)當(dāng)盡可能確保個人信息保護(hù)制度簡單便捷，確保個體當(dāng)個人信息權(quán)益受損時能夠易于使用救濟(jì)渠道， 通過訴訟等途徑獲得有效保護(hù)和賠償。

(二)建立專門監(jiān)管機(jī)構(gòu)，統(tǒng)籌監(jiān)管力量

目前，我國個人信息保護(hù)具有鮮明的部門區(qū)隔特征，具有相關(guān)職能的部門包括有電信管理機(jī)構(gòu)、網(wǎng)信辦、公安部門在內(nèi)分屬不同部門的多個機(jī)構(gòu)，由于沒有明確的監(jiān)管職責(zé)規(guī)劃，在實踐中暴露出相互推諉責(zé)任、監(jiān)管職能沖突等問題。這也導(dǎo)致出現(xiàn)監(jiān)管空缺和公民個人信息安全受到較低程度侵害維權(quán)難等現(xiàn)象。此外，各監(jiān)管機(jī)構(gòu)大多采取專項整治活動的手段來實現(xiàn)監(jiān)管，其監(jiān)管效果不具有持續(xù)性和穩(wěn)定性。因此，設(shè)立獨(dú)立的專門監(jiān)管機(jī)構(gòu)，統(tǒng)籌規(guī)劃各領(lǐng)域信息監(jiān)管工作極為重要?！笆澜缟现饕獓液偷貐^(qū)的立法和實踐表明，只有堅持個人信息保護(hù)監(jiān)管機(jī)構(gòu)的獨(dú)立性和全局視野，才能有效地防止和排除其他組織和個人的干預(yù)，進(jìn)而履行法定的監(jiān)管職能?！盵7]我國可參考GDPR關(guān)于數(shù)據(jù)監(jiān)管機(jī)構(gòu)及機(jī)制的設(shè)置，通過行使行政執(zhí)法權(quán)來維持社會信息秩序。《個人信息保護(hù)法(草案)》規(guī)定由網(wǎng)信部門負(fù)責(zé)個人信息保護(hù)的統(tǒng)籌協(xié)調(diào)。但具體工作仍屬各部門職責(zé)范圍。此外，考慮到個人信息隱秘性和不確定性的特點(diǎn)，監(jiān)管機(jī)構(gòu)還需具有專業(yè)性。因此，進(jìn)一步完善個人信息監(jiān)管部門的獨(dú)立性和專業(yè)性將是我國個人信息保護(hù)制度未來發(fā)展的方向。

(三)完善行政監(jiān)管措施，增加監(jiān)管手段

目前，我國個人信息保護(hù)監(jiān)管機(jī)構(gòu)的監(jiān)管措施有警告、沒收違法所得、罰款、限期改正等?？偟膩砜矗@些監(jiān)管措施介入階段滯后、懲治效果不足?；谛畔a(chǎn)業(yè)發(fā)展等要素的考慮，我國當(dāng)前尚沒有信息收集處理行業(yè)準(zhǔn)入條件的法律規(guī)定，無需經(jīng)由監(jiān)管機(jī)構(gòu)審查許可，就可以自行進(jìn)行大數(shù)據(jù)收集和算法分析。這也導(dǎo)致侵害公民個人信息安全的事件發(fā)生時，監(jiān)管機(jī)構(gòu)不能迅速理清案件情況和及時采取保護(hù)措施。因此，可以設(shè)定信息收集處理者的準(zhǔn)入資格，要求其具有基本的組織結(jié)構(gòu)框架，以及《個人信息保護(hù)法(草案)》第五十條規(guī)定的內(nèi)部管理制度和內(nèi)部活動制度。通過設(shè)置一定主體要件來提高信息收集和處理主體的資質(zhì)。此外，當(dāng)前監(jiān)管機(jī)構(gòu)往往采取約談當(dāng)事企業(yè)負(fù)責(zé)人的方式，“然而，這種被廣泛運(yùn)用的‘行政約談’手段，其主要功能在于警示、告誡或指導(dǎo)，缺乏相應(yīng)的強(qiáng)制力?！盵8]且監(jiān)管機(jī)構(gòu)采取行動往往在侵害行為已發(fā)生且產(chǎn)生較大的社會影響后才介入。因此，針對體量龐大的互聯(lián)網(wǎng)企業(yè)等監(jiān)管對象，我國監(jiān)管措施在多樣性和懲罰性方面尚需進(jìn)一步加強(qiáng)。