盧艷玲,楊 震

(黑龍江大學(xué) 法學(xué)院,哈爾濱 150080)

個人信息涵蓋個人價值(人格尊嚴(yán))與公共價值(包括商業(yè)價值、公共管理價值),于個人和社會而言意義重大。新興技術(shù)交疊推動了個人信息處理能力飛躍,個人信息法律保護(hù)已成為共識,但問題在于如何保護(hù)。數(shù)字時代的個人信息究竟是權(quán)利還是利益?如果是權(quán)利,基于何種理論和標(biāo)準(zhǔn)作出權(quán)利和義務(wù)的認(rèn)定?個人信息又是怎樣的權(quán)利?個人信息主體的不同信息利益需求能否通過一項稱之為“個人信息權(quán)”的權(quán)利來實現(xiàn)?抑或是需要不同的具體權(quán)利來實現(xiàn)?如果需要不同的權(quán)利來保護(hù),應(yīng)當(dāng)包含哪些具體權(quán)利?學(xué)界對上述問題爭論不休?！睹穹ǖ洹泛汀秱€人信息保護(hù)法》的出臺亦未能使這些問題得以定論,反而還帶來了新的困惑。

本文力圖對當(dāng)前學(xué)界關(guān)于個人信息法律性質(zhì)的爭論進(jìn)行梳理和反思,以提出個人信息權(quán)利化的初步構(gòu)想,借助“權(quán)利利益論”對個人信息作為具體權(quán)利進(jìn)行證成,即借助權(quán)利理論來論證哪些個人信息利益基于何種理由應(yīng)當(dāng)成為權(quán)利,并嘗試描畫數(shù)字時代作為權(quán)利簇的個人信息權(quán)的權(quán)利構(gòu)造,以期推進(jìn)個人信息權(quán)的體系化和法定化。

一、對個人信息法律性質(zhì)的檢視與反思

對于個人信息的法律性質(zhì),理論界爭議較大,實證法語焉不詳?！皞€人信息權(quán)”和“個人信息權(quán)益”交織使用使得個人信息究竟是權(quán)利還是利益、究竟是何種權(quán)利(利益)等問題成為人言言殊的謎題。

第一,公權(quán)益與私權(quán)益之爭。公權(quán)益說主張將個人信息權(quán)作為基本權(quán)利加以保護(hù),而私權(quán)益說主張個人信息屬于民法權(quán)益,公權(quán)益與私權(quán)益兼?zhèn)湔f則主張個人信息作為憲法權(quán)益和民法權(quán)益,需公私法協(xié)同保護(hù)。基于公私融合治理理念,公私兩類法益和秩序緊密銜接,兼?zhèn)湔f更能滿足數(shù)字時代個人信息全面保護(hù)的需求。但兼?zhèn)湔f既有研究存在以下問題:一是對于民法權(quán)益與憲法(公法)權(quán)益的關(guān)系沒有進(jìn)一步探討;二是個人信息需要憲法、民法、行政法和刑法等不同保護(hù)方式統(tǒng)合與協(xié)調(diào),而不同保護(hù)的論證各自為政,如何協(xié)調(diào)尚不清晰。

第二,權(quán)利說與利益說之辨。權(quán)利說主張確認(rèn)個人信息為權(quán)利,并從基本范疇、民法人格權(quán)等不同角度闡釋了個人信息權(quán)。利益說主張個人信息僅是受法律保護(hù)的利益,自然人對個人信息不享有絕對權(quán)和支配權(quán)。利益說存在以下三個方面的不足:一是將個人信息權(quán)等同于絕對權(quán),以個人信息無法支配為理由反對個人信息權(quán)利化,忽視了“權(quán)利”和“絕對權(quán)”的差別。二是未充分回應(yīng)數(shù)字時代個人信息權(quán)益強保護(hù)的現(xiàn)實需求,以犧牲個人利益為代價換取數(shù)據(jù)流通和利用。保障數(shù)據(jù)流通并非一定要以阻止個人信息權(quán)利化的方式實現(xiàn),還可以通過限制個人信息權(quán)利的方式來實現(xiàn),兩者相較,后者對個人信息利益損害更小。能否權(quán)利化、應(yīng)否權(quán)利化以及如何權(quán)利化,要通過權(quán)利理論論證和闡釋。三是未糾偏信息主體與處理者之間在信息能力方面存在實質(zhì)不平等。在“數(shù)字共同體”中,處理者多為經(jīng)濟實力雄厚、處理能力強大的公司或企業(yè),信息主體處于最弱勢地位,極易受到侵害。為避免出現(xiàn)社會達(dá)爾文主義的弱肉強食,應(yīng)通過法律賦予信息主體特別權(quán)利,對處理者苛以特別義務(wù),以實現(xiàn)實質(zhì)平等。

第三,何種民事權(quán)益之論。人格權(quán)說主張個人信息是(新型的)具體人格權(quán),保護(hù)個人信息主要是保護(hù)其中涵蓋的人格尊嚴(yán)。財產(chǎn)權(quán)說則主張自然人對其個人信息兼有人格利益和財產(chǎn)利益訴求,應(yīng)對個人信息所呈現(xiàn)的商業(yè)價值給予財產(chǎn)權(quán)保護(hù),并將財產(chǎn)權(quán)路徑體現(xiàn)在立法中。新型民事權(quán)利說主張單一化利益確認(rèn)無法回應(yīng)多元利益平衡需求,個人信息權(quán)既不是公法權(quán)利,也不是人格權(quán)、財產(chǎn)權(quán),而是一種新型民事權(quán)利。

人格權(quán)說已得到實證法支持,而財產(chǎn)權(quán)說和新型民事權(quán)利說仍是爭論焦點。個人信息的財產(chǎn)利益實質(zhì)上是個人信息數(shù)據(jù)的財產(chǎn)利益,個人信息與個人信息數(shù)據(jù)在本質(zhì)上存在差別,前者是內(nèi)容,后者是載體,而個人信息數(shù)據(jù)財產(chǎn)利益是否應(yīng)當(dāng)保護(hù)以及如何保護(hù)并不是本文研究的個人信息權(quán)涵蓋的內(nèi)容。新型民事權(quán)利說實質(zhì)上并未澄清個人信息權(quán)究竟是何種權(quán)利,因為新型民事權(quán)利屬于“民事主體的某些現(xiàn)實利益轉(zhuǎn)化為法定權(quán)利的過渡狀態(tài)”[1],該學(xué)說并沒有深入到權(quán)利的本質(zhì)論證層面。

個人信息利益多元化、動態(tài)化,個人信息類型、處理階段和應(yīng)用場景差異化,以及各種處理活動交互衍生的不確定系統(tǒng)性風(fēng)險[2],都導(dǎo)致不同個人信息利益被法律保護(hù)的現(xiàn)實需求并不一致,甚至同一個人信息利益在不同處理活動和場景中應(yīng)有的保護(hù)強度也不一致,動態(tài)利益衡量必然會產(chǎn)生不同的保護(hù)模式。個人信息利益的內(nèi)核無疑是人格利益,但又不限于此,個人信息的人格利益表現(xiàn)為不同的利益形態(tài),實際對應(yīng)著不同的具體個人信息權(quán)利。易言之,個人信息權(quán)并非單一權(quán)利,而是以保護(hù)人格利益為核心目標(biāo)的動態(tài)框架性權(quán)利,應(yīng)通過權(quán)利理論證成特定個人信息利益對應(yīng)的信息主體權(quán)利,并闡釋清楚具體個人信息權(quán)利所組成的權(quán)利簇的構(gòu)造。

第四,實證法規(guī)定之語焉不詳。對于個人信息是權(quán)利還是利益,《民法典》和《個人信息保護(hù)法》均采取了回避的立法態(tài)度。實證法對個人信息法律性質(zhì)界定的語焉不詳,可歸結(jié)為三方面原因:一是個人信息界定標(biāo)準(zhǔn)的語義模糊性?！睹穹ǖ洹穼ⅰ翱勺R別性”作為個人信息界定的理論標(biāo)準(zhǔn),而可識別性本身亦是一個含混不清的用語,應(yīng)用到復(fù)雜的個人信息處理場景中,具體的權(quán)利客體很難明確。二是個人信息范圍的廣泛性。對全部個人信息統(tǒng)一賦予信息主體以完全相同的個人信息權(quán)不符合實踐需求,個人信息利益在基于場景化的合理分類基礎(chǔ)上差別化賦權(quán)方為合理。三是個人信息法律保護(hù)經(jīng)驗不足。個人信息權(quán)益侵害的樣態(tài)、類型以及損害影響力目前都不是很確定,當(dāng)現(xiàn)實經(jīng)驗不足以充分支撐立法的具體規(guī)范表述時,應(yīng)予留白,以防過早定性可能導(dǎo)致的負(fù)外部性影響。

實證法語焉不詳導(dǎo)致民法教義學(xué)解釋存在爭議,對于《民法典》第111條,既有學(xué)者主張是確權(quán)性規(guī)定,也有學(xué)者認(rèn)為該規(guī)定并沒有將個人信息作為一項具體人格權(quán)利。(1)權(quán)利說的解釋路徑,參見楊立新主編:《中華人民共和國民法總則要義與案例解讀》,中國法制出版社2017年版,第413頁;陳甦主編:《民法總則評注(下冊)》,法律出版社2017年版,第785頁。利益說的解釋路徑,參見王利明主編:《中華人民共和國民法總則詳解》,中國法制出版社2017年版,第465頁?；谖牧x解釋,《民法典》中“個人信息受法律保護(hù)”和《個人信息保護(hù)法》中“個人信息權(quán)益”的表述似乎更傾向于利益說的弱保護(hù)模式。而基于體系解釋,根據(jù)《個人信息保護(hù)法》“個人在個人信息處理活動中的權(quán)利”一章明確列舉的各項權(quán)利及其體系框架,將個人信息界定為權(quán)利亦有解釋空間。由此,這樣的規(guī)定使得個人信息究竟是民事權(quán)利還是民事權(quán)益更令人迷惑。從法律發(fā)展和實踐需求看,個人信息權(quán)利化是時代發(fā)展的趨勢。首先,個人信息權(quán)利化的條件已具備。刑事領(lǐng)域已經(jīng)可以為個人信息保護(hù)案件精準(zhǔn)地規(guī)定定罪量刑標(biāo)準(zhǔn),劃定他人行為的禁區(qū)[3],個人信息的內(nèi)涵界定和分類也日趨明晰,這些都為個人信息權(quán)利化提供了可行條件。其次,個人信息權(quán)利化不會產(chǎn)生數(shù)據(jù)壁壘,權(quán)利和絕對權(quán)為包含與被包含的邏輯關(guān)系,權(quán)利化與絕對權(quán)化不能等同視之,更何況即使是絕對權(quán),在涉及重大公共利益時也有被限制的例外性規(guī)定。最后,個人信息保護(hù)的終極目的是維護(hù)自然人的合法權(quán)益,權(quán)利化保護(hù)模式使特定個人信息利益的歸屬和界限更為明確,進(jìn)而給予法律上的強保護(hù)。

二、權(quán)利利益論:個人信息利益作為權(quán)利的證成理由

耶林的權(quán)利利益理論指出,“權(quán)利構(gòu)造的本質(zhì)在于,法律保護(hù)或促進(jìn)某人的利益,以對抗特定人或一般地對世,手段是課予后者以義務(wù)、無能力或責(zé)任”[4]?；跈?quán)利利益論證成個人信息權(quán)利,能夠正面回應(yīng)新興科技給法律帶來的各種復(fù)雜問題,“在權(quán)利認(rèn)定和證成時反映權(quán)利的‘動態(tài)性’特征以及實際存在的實質(zhì)性關(guān)系狀態(tài)”[5],深入實質(zhì)利益衡量的現(xiàn)實層面進(jìn)行理論證成,促進(jìn)法益上升為權(quán)利,發(fā)生法益間的效力轉(zhuǎn)換[6]。

根據(jù)權(quán)利利益論,(2)利益論可以被表述為:假定X負(fù)有一項做φ的義務(wù)。只有在這一條件下,即Y處于一種從X做φ當(dāng)中受益的被認(rèn)可的地位時,Y才擁有一項要求X做φ的請求權(quán)。相關(guān)文獻(xiàn)參見劉小平:《為何選擇“利益論”?——反思“宜興冷凍胚胎案”一、二審判決之權(quán)利論證路徑》,《法學(xué)家》2019年第2期;張峰銘:《論權(quán)利作為要求——超越利益論與選擇論之爭》,《法制與社會發(fā)展》2021年第2期。權(quán)利構(gòu)成要件包括以下內(nèi)容:其一,存在某種利益,且該利益需要他人采取某種行動方能滿足;其二,該利益構(gòu)成了課予他人從事此行動之義務(wù)的充足理由[7]?；谏鲜鰳?gòu)成要件,本文將檢視并證成特定個人信息利益在利益衡量后生成信息主體的何種權(quán)利、對應(yīng)處理者的何種義務(wù)。

(一)存在需要他人采取行動滿足的個人信息利益

欲證成個人信息權(quán)利,首先要分析存在何種個人信息利益,并證成特定個人信息利益需要他人采取某種行動方能滿足。

1.個人信息利益的多元化。傳統(tǒng)民法通過立法技術(shù),實現(xiàn)了對不同人格利益的分割保護(hù):對于邊界清晰的人格利益以及歷史演進(jìn)過程中逐漸類型化的人格利益,通過肖像權(quán)、姓名權(quán)、隱私權(quán)等具體人格權(quán)保護(hù);對于邊界不清晰、尚未類型化的其他人格利益,通過“一般人格權(quán)”保護(hù)[8]。在大數(shù)據(jù)、人工智能等技術(shù)應(yīng)用前,個人信息保護(hù)可隱匿于肖像、姓名、隱私等人格利益之下實現(xiàn),主要原因在于彼時個人信息數(shù)據(jù)化和數(shù)字化并不普及,假他種利益之手可實現(xiàn)保護(hù)目的。

當(dāng)前,技術(shù)發(fā)展推動了處理場景及活動的復(fù)雜化和多樣化,個人信息中需要法律保護(hù)的利益日趨多元。個人信息法律保護(hù)的客體不是個人信息本身,而是個人信息承載的多元化利益,主要包括表現(xiàn)利益、隱私利益和自決利益。表現(xiàn)利益是指“個人希望公眾對其進(jìn)行符合其自身形象的描述的利益”[9],可通過姓名權(quán)、名譽權(quán)、肖像權(quán)等權(quán)利實現(xiàn)保護(hù)。隱私利益是指他人私密空間、私密信息的維護(hù),私密個人信息可通過隱私權(quán)實現(xiàn)保護(hù)。自決利益是指在個人信息處理活動中,信息主體享有的對處理過程進(jìn)行介入和干預(yù)的利益[10],這一利益是大數(shù)據(jù)時代個人信息保護(hù)指向的核心利益。德國學(xué)者克里普將個人信息保護(hù)法保護(hù)的“個人利益”訴求類型化為“隱私利益、知悉個人信息被處理的利益、個人信息正確和完整的利益、個人信息處理需符合特定目的的利益”,(3)1977年德國第一部《個人信息保護(hù)法》出臺后不久,德國學(xué)者克里普( Klippel)指出,個人信息保護(hù)法的保護(hù)客體包括文中所述四種利益。轉(zhuǎn)引自楊芳:《個人信息保護(hù)法保護(hù)客體之辨——兼論個人信息保護(hù)法和民法適用上之關(guān)系》,《比較法研究》2017年第5期。后三項利益都是個人信息自決利益的具體表現(xiàn),個人信息自決利益還可能包括“決定個人信息如何被處理的利益”“拒絕個人信息被處理的利益”以及其他未盡的可能存在卻未被發(fā)現(xiàn)的利益。筆者主要將克里普類型化的個人信息利益作為權(quán)利證成對象,以達(dá)至見微知著的目的。

2.需要他人行動滿足的個人信息利益。利益往往表現(xiàn)為人們的某種需求,這種需求要他人作為或不作為才能滿足。接下來,要檢視和證成克里普類型化的個人信息利益是否需要他人采取某種行動方能滿足。

首先,知悉個人信息被處理的利益。信息主體只有知曉其個人信息被他人處理,才能干涉處理者的處理行為,“只有知曉處理者在處理過程中是否存在違反個人信息保護(hù)規(guī)則的行為,才能主張損害賠償”[11]。知悉個人信息被處理的利益需要處理者采取告知、披露其處理活動的行為方能得到滿足。其次,個人信息正確和完整的利益。在個人信息處理活動中,信息主體未經(jīng)查詢無從知曉個人信息是否正確,而查詢需要處理者提供查詢端口。當(dāng)查詢到個人信息記載不準(zhǔn)確、不正確或殘缺不全時,信息主體更改、刪除、轉(zhuǎn)移其個人信息需求的實現(xiàn)需要處理者提供一定的技術(shù)或組織保障,如提供更改鏈接、轉(zhuǎn)移途徑等。個人信息正確和完整的利益必須要處理者采取一定的行動等方能滿足。再次,個人信息處理需符合特定目的利益。在允許(意定或法定)以特定目的處理個人信息后,處理者的所有后續(xù)處理行為都不得超出原定的特定目的。保證個人信息所有處理行為都符合原定的特定目的,需要處理者的不作為(不將個人信息用于其他處理目的)或作為(采取特定技術(shù)或組織措施防止個人信息被用于其他處理目的)才能實現(xiàn)。最后,隱私利益。涉及隱私利益的個人信息可稱為私密個人信息,諸如患者病歷、生物識別、行蹤軌跡等個人信息一般都屬于私密個人信息。對于私密個人信息一般嚴(yán)格限制收集、利用和分析等處理活動,僅例外情況下才被允許處理,個人信息隱私利益毋庸置疑要求處理者不打擾、不侵入、不公開、不泄露,并采取必要安全保障措施方能得以滿足。

(二)該利益構(gòu)成要求他人從事某種行動之義務(wù)的充足理由

即使特定利益需要他人采取某種行動方能滿足,也不意味著他人必然負(fù)有采取行動的義務(wù)。被保護(hù)的利益構(gòu)成權(quán)利的前提是,該利益應(yīng)當(dāng)比因此受到限制的其他利益更為重要。在個人信息處理場景中,只有當(dāng)信息主體的某種利益比處理者所要維護(hù)或?qū)崿F(xiàn)的某種利益更重要時,信息主體的特定權(quán)利才能成立。在利益判準(zhǔn)的過程中,包含“利益的重要性判定”和“利益的重要性比較”兩個環(huán)節(jié)[7],下面以克里普類型化的個人信息利益為依據(jù),判定信息主體需要被滿足的利益的重要性,以及是否證立了處理者的義務(wù)和處理者應(yīng)承擔(dān)何種義務(wù)。

1.個人信息利益的重要性判定。根據(jù)阿列克西的利益重要性判定標(biāo)準(zhǔn),(4)某利益的抽象重要性越高、受干涉的程度越大,該利益就越重要。參見羅伯特·阿列克西:《法:作為理性的制度化》,雷磊編譯,中國法制出版社2012年版,第172頁。個人信息利益的重要性與“個人信息利益的抽象重要性”和“利益的受干涉程度”兩個因素成正相關(guān),其中前者是個人信息利益重要性判定的核心要素,后者是個人信息利益重要性判定的輔助要素。

第一,個人信息利益的抽象重要性判斷。“利益的抽象重要性有三個要素:一是利益對個人生活的重要性;二是利益受公共利益支持的程度;三是利益是否明顯不道德?！盵12]228以上述三個要素為基準(zhǔn),可分析出個人信息利益具有很高的抽象重要性。

首先,個人信息利益對個人生活的重要性,此為決定性因素。構(gòu)成利益的需求不勝枚舉,但個體并非對所有需求都有同等程度的期待,對個人而言重要的利益需具有“底線性”,所謂“底線性”是指此種利益需為個人生產(chǎn)、生活所必須具有的最低要求,如生存、身體完整、人身自由、精神自由和物質(zhì)財產(chǎn)等。個人信息處理不符合特定目的、過度的算法分析以及基于不準(zhǔn)確的個人信息作出的算法決策等,都可能侵害個人的生存品質(zhì)以及人格尊嚴(yán),個人信息被泄露可能造成個人財產(chǎn)的巨大損失乃至精神重創(chuàng)。歐盟、美國皆承認(rèn)個人信息關(guān)乎個人的基本人權(quán)、人格尊嚴(yán)和自由,是個人的基本權(quán)利。數(shù)字時代,個體對知悉其個人信息被處理、保障個人信息正確性和完整性、個人信息處理符合特定目的以及隱私信息受保護(hù)的需求極高,屬于自然人數(shù)字人格完整的根本需求,是“底線性”利益需求。

其次,個人信息利益受公共利益支持的程度,此為強化性因素。個人信息作為數(shù)據(jù)的基礎(chǔ)質(zhì)料,其合理利用和流通對于社會生活和經(jīng)濟發(fā)展而言至關(guān)重要[13]21。充分保障自然人的個人信息利益有利于提升人們對數(shù)字社會、數(shù)字服務(wù)和數(shù)字法治的信任,對于保障數(shù)字社會安全和秩序等公共利益具有正向激勵作用。而且,公共利益是一種表現(xiàn)為共同的內(nèi)我和共同的形式的私人利益[14]176,個人信息私益的不斷聚合會凝聚成為需要保護(hù)的社會公益[15],信息主體的利益與社會公共利益是互相補足、支持和融入的關(guān)系。

最后,個人信息利益是否明顯不道德,此為否定性因素。如果某種利益無論從何種角度看都明顯不道德,違背最基本的人性和倫理,就應(yīng)當(dāng)完全否定該利益的抽象重要性,如器官買賣的交易自由利益。“道德性”對于利益抽象重要性而言具有一票否決的作用。個人信息利益旨在維護(hù)和保障人之為人該有的尊嚴(yán)和自由,保障數(shù)字時代人的自由全面發(fā)展,既無損德,也無敗俗,且有利于數(shù)字人格的塑造和保護(hù),其具有道德性是毋庸置疑的。

第二,利益的受干涉程度分析。利益主張總是表現(xiàn)為主張者要求他人采取一定行動(作為或者不作為),該行動必然對雙方的利益都有一定干涉(保障或侵害)。將“實際被主張的行動”與“可適用于此語境的其他行動”進(jìn)行比較,能判斷出行動對利益的干涉程度,干涉力度越大、速度越快、幾率越高、持續(xù)時間越長,利益的受干涉程度越高[16]107。利益的受干涉程度越高,表明該利益越重要。個人信息利益整體上具有極高的抽象重要性,那么不同類型個人信息、不同處理場景中的個人信息利益的重要程度是否存在差別?利益的受干涉程度可以用來細(xì)化分析不同類型個人信息、不同個人信息處理場景中特定利益的重要性程度,并以此與之匹配相應(yīng)的處理者行動。譬如,處理者可通過默示、明示、口頭、單獨和書面等多種告知方式滿足信息主體知悉個人信息被處理的利益,這些告知方式中,明示、單獨和書面告知對處理者處理自由產(chǎn)生的侵害逐步增強,對信息主體知悉個人信息被處理的利益則給予了逐步增強的保障。對于敏感個人信息的知悉利益而言,單獨告知比明示告知構(gòu)成了更強的保護(hù),也更能說明敏感個人信息知悉利益的重要性更高。

2.個人信息利益的重要性比較。為強化對特定個人信息利益的保障,處理者采取的行動必然對其自身利益造成一定侵害,如改進(jìn)技術(shù)的時間成本、組織措施完備的人力成本以及停止處理個人信息的經(jīng)濟減損等。個人信息利益的重要性確定后需比較衡量,被滿足的個人信息利益在重要性上能否超過被侵害的他人利益,只有欲保護(hù)利益在道德或其他價值上更具優(yōu)勢地位,方可證立特定權(quán)利。在特定個人信息權(quán)利證立基礎(chǔ)上,與之相匹配的處理者義務(wù)的確定還應(yīng)當(dāng)符合比例原則。

以信息主體知悉其個人信息被處理的利益為例,與之相對應(yīng)的處理者利益是處理信息自由以及處理信息產(chǎn)生的經(jīng)濟利益。個人信息與人格尊嚴(yán)、人身自由、身份隱私和財產(chǎn)等重要內(nèi)容息息相關(guān),信息主體知悉個人信息被處理的利益訴求,比處理者減損的處理自由利益(告知并取得同意方能處理)更為重要,故而證立了信息主體的“知情同意權(quán)”。正如拉茲所說,“權(quán)利總是證成他人義務(wù)的存在”[17],但權(quán)利與義務(wù)并非一一對應(yīng),信息主體知悉其個人信息被處理的利益能證立的義務(wù)不止一個,而是對應(yīng)處理者的多種義務(wù),如“告知義務(wù)”“取得同意義務(wù)”“信息泄露時的通知義務(wù)”等積極作為義務(wù),以及“不得變相強制個人作出同意”等消極不作為義務(wù)。結(jié)合個人信息具體類型進(jìn)一步分析,為保障信息主體的“知情同意權(quán)”,是要求處理一般個人信息的處理者“取得同意”和“取得單獨同意”還是“取得書面同意”,則需要進(jìn)一步衡量。相對于一般個人信息的重要性而言,“取得同意”即可滿足信息主體的需求,后兩種同意方式對處理者利益的減損超出了必要限度且有損公共利益,故而僅能證立處理者“取得同意”的義務(wù)。

以個人信息正確和完整的利益為例,處理者為保證實現(xiàn)信息主體的此種利益,需要提供查詢、更改、封存、刪除(錯誤個人信息)以及告知信息來源與信息接收者等技術(shù)和服務(wù),支出相當(dāng)?shù)难邪l(fā)時間與成本。承載人格利益的個人信息利益為底線性利益,其抽象重要性顯然高于處理者的處理自由及其經(jīng)濟利益,但兩者相較還要分析相關(guān)行動的干涉程度對利益重要性的影響。查詢、更改行為對處理者的自由與財產(chǎn)利益侵害較小,信息主體的查詢權(quán)、更改權(quán)皆可證立,刪除行為會給處理者的信息存儲和流轉(zhuǎn)帶來一系列連鎖風(fēng)險,造成的經(jīng)濟減損比查詢和更改更大,但如果不允許刪除,則直接貶損了更為重要的個人人格尊嚴(yán),刪除權(quán)可證立。同時,為降低創(chuàng)設(shè)權(quán)利給他人造成的負(fù)外部性影響,刪除權(quán)適用應(yīng)有更為嚴(yán)格的限制條件,以此兼顧處理者利益。攜帶行為會給處理者帶來沉重的義務(wù)負(fù)擔(dān)和高昂的成本支出,故而,攜帶權(quán)的證立還需實證考量處理者的利益減損程度后進(jìn)行比較。在具有實證調(diào)研成果前,可通過“倡導(dǎo)性規(guī)范的軟性方式,對攜帶權(quán)前瞻性地做出指引式規(guī)定”[18],以鼓勵個人參與數(shù)字社會發(fā)展。

綜上,共同善才是最終決定權(quán)利存在和保護(hù)程度的重要因素,絕不能為保護(hù)某一特定利益使其他社會主體的利益乃至公共利益受到超出合理、正當(dāng)和必要程度的損害。不同具體權(quán)利對特定個人信息利益保護(hù)的強度存在差異,考量到他者利益和公共利益,應(yīng)通過場景化賦權(quán)和交往安全利益原則對權(quán)利有所限制,從而盡力縮減權(quán)利的負(fù)外部性影響。

三、作為權(quán)利簇的個人信息權(quán)的權(quán)利構(gòu)造

基于權(quán)利利益論證成,不同個人信息利益對應(yīng)著信息主體的不同權(quán)利和處理者的不同義務(wù)。由此,個人信息權(quán)并非是單一權(quán)利,而是一個完整、動態(tài)的權(quán)利簇,該權(quán)利簇由滿足信息主體不同利益需求的不同權(quán)利共同構(gòu)成。

(一)權(quán)利簇:個人信息權(quán)的權(quán)利本質(zhì)

個人信息利益是多元的,價值層面表現(xiàn)為信息主體的人格尊嚴(yán)與自由,內(nèi)容層面包含豐富的子集利益,對子集利益進(jìn)行類型化可明確個人信息權(quán)利的具體構(gòu)成?？死锲疹愋突膫€人信息利益均有其獨特的內(nèi)涵和特點,無法彼此涵蓋,無法通過一個權(quán)利實現(xiàn),通過權(quán)利利益論證立了存在滿足信息主體不同利益需求的不同個人信息權(quán)利?！熬哂心硞€法條依據(jù)的權(quán)利能夠成為一項獨立的權(quán)利,來自多個具體法條規(guī)定的多個具體權(quán)利的組合,則應(yīng)判斷為權(quán)利束,如消費者權(quán)、股東權(quán)。”[19]根據(jù)該區(qū)分標(biāo)準(zhǔn),個人信息權(quán)本質(zhì)類似于消費者權(quán),是由來自不同具體法條規(guī)定的多個關(guān)于信息主體的具體權(quán)利組成的集合型權(quán)利簇。

個人信息權(quán)的核心是保護(hù)個人信息自決,捍衛(wèi)自然人對其個人信息的自主決定和控制。按照威爾曼提出的權(quán)利核心之外還有若干保護(hù)性外緣權(quán)利的觀點,隨著時代發(fā)展,克里普類型化的個人信息利益之外還將產(chǎn)生其他前所未有的需要保護(hù)的新型個人信息利益,多種具體、明確和發(fā)展的利益訴求共同構(gòu)成了個人信息利益集合。新的個人信息處理方式、處理場景和信息主體需要被保護(hù)的合理利益訴求難以被完全預(yù)見,權(quán)利證立的義務(wù)也就無法被窮盡?？杀蛔C成的知情權(quán)、查閱權(quán)、更改權(quán)、決定權(quán)、刪除權(quán)等具體個人信息權(quán)利已在《民法典》《個人信息保護(hù)法》中明確列出。因應(yīng)科技進(jìn)步,在不同處理場景和活動中,將出現(xiàn)諸多未被發(fā)現(xiàn)或有待被證成和確認(rèn)的新型個人信息利益,以生成新的外緣性權(quán)利。由于法律相較于科技進(jìn)步和社會發(fā)展具有滯后性,個人信息權(quán)這一具有動態(tài)性的權(quán)利簇有待于在經(jīng)驗積累和司法實踐中不斷完善。

(二)權(quán)利簇的基礎(chǔ)權(quán)利:憲法層面的個人信息基本權(quán)利

綜觀國際個人信息保護(hù)立法,立法之初的意旨均在于使個人免受國家權(quán)力干涉。在歐洲,個人數(shù)據(jù)保護(hù)權(quán)是公民的基本權(quán)利,德國聯(lián)邦個人資料保護(hù)法(BDSG)以個人信息自決權(quán)為憲法基礎(chǔ)、一般人格權(quán)為民法基礎(chǔ),對個人信息給予保護(hù)。在美國,個人信息保護(hù)的權(quán)利基礎(chǔ)是隱私權(quán),信息隱私權(quán)因應(yīng)社會對個人信息保護(hù)的需求而產(chǎn)生,公民個人信息保護(hù)融入彰顯公民自由的公民隱私,被歸入個人自由、尊嚴(yán)等基本人權(quán)價值。可見,對于個人信息權(quán)益的保護(hù),域外立法和司法實踐都傾向于從“人權(quán)或基本權(quán)利保護(hù)的角度”[20]3出發(fā),通過規(guī)范個人數(shù)據(jù)處理行為來實現(xiàn),即個人信息(數(shù)據(jù))保護(hù)的真正源頭是對公民基本權(quán)利的保護(hù)。

全球數(shù)字化時代,我國個人信息保護(hù)權(quán)利構(gòu)造和制度設(shè)計應(yīng)當(dāng)集東西方法治優(yōu)點于一身,既傳承我國政治、經(jīng)濟、文化和法律制度特色,表現(xiàn)出中國特色性[21]284,又同國際接軌,順應(yīng)全球立法趨勢。我國僅以《民法典》規(guī)定的“個人信息保護(hù)”作為個人信息保護(hù)法律制度的基礎(chǔ)欠缺理論支撐、價值依據(jù)和邏輯根基。首先,《民法典》是私法領(lǐng)域基本法,主要功能是保證自然人的個人信息不被私主體處理者侵害,而個人信息處理活動中,處理者既有私主體也有公主體,對于公主體處理者侵害個人信息權(quán)益應(yīng)如何救濟的問題,《民法典》無法給出理論支撐。其次,《民法典》和《個人信息保護(hù)法》的個人信息保護(hù)價值理念存在差異。前者是私法,在價值權(quán)衡中以個人權(quán)益保障為絕對優(yōu)先價值追求;后者是公私兼?zhèn)涞念I(lǐng)域法,重視保障個人權(quán)益的同時更要在個人信息保護(hù)和利用之間尋求一種動態(tài)的價值平衡。兩部法在適用時如果產(chǎn)生價值判斷沖突,難以找到共同的價值根基。

據(jù)此,在個人信息權(quán)益民法保護(hù)和個人信息處理行為公法規(guī)制的雙重路徑下,能為個人信息權(quán)利框架建構(gòu)提供堅實理論基礎(chǔ)和價值根基的只有憲法。首先,在理論體系維度,憲法是構(gòu)建個人信息保護(hù)理論體系的邏輯起點,個人信息權(quán)利簇的發(fā)展應(yīng)以憲法層面公民個人信息基本權(quán)利為根基,該基本權(quán)利延展于《憲法》規(guī)定的“國家尊重和保障人權(quán)”和“公民的人格尊嚴(yán)不受侵犯”。其次,在法律體系性維度,根據(jù)凱爾森的“金字塔理論”,(5)根據(jù)奧地利學(xué)者凱爾森的“金字塔理論”,憲法是法律秩序的基礎(chǔ)規(guī)范,維系著法律秩序的統(tǒng)一性。參見凱爾森:《純粹法理論與分析法學(xué)》,張書友譯,中國法制出版社2008年版。憲法是法律秩序的基礎(chǔ)規(guī)范,是形式上法律的效力來源和實在法律體系的效力終點,在基本權(quán)利層面確立個人信息受法律保護(hù),能為“其他部門法對個人信息保護(hù)的規(guī)范提供根本性的法律依據(jù)和上位法支撐”[22]。最后,在價值統(tǒng)合維度,憲法價值化為基本價值秩序的產(chǎn)生提供了實質(zhì)理由[23],在基本權(quán)利層面確立個人信息受保護(hù)的價值,為個人信息保護(hù)基本價值秩序統(tǒng)一和平衡提供了支點,能夠統(tǒng)合關(guān)于個人信息保護(hù)的公私法價值,化解公私法的理念沖突。

(三)權(quán)利簇的具體權(quán)利:私法層面的個人信息權(quán)利

私法層面的個人信息權(quán)利表現(xiàn)為雙層架構(gòu),包括基于自決權(quán)益、隱私權(quán)益等本權(quán)權(quán)益形成的“本權(quán)權(quán)利”(6)“本權(quán)權(quán)利”是指法律規(guī)定的特定權(quán)益的主體所享有的受法律保護(hù)的特定利益。參見王利明:《民法總則研究》,中國人民大學(xué)出版社2018年版,第401頁。和為保護(hù)本權(quán)權(quán)益形成的“工具性權(quán)利”。

1.基于個人信息本權(quán)權(quán)益的權(quán)利。個人信息中最重要的本權(quán)權(quán)益是隱私利益和自決利益,《民法典》和《個人信息保護(hù)法》通過確認(rèn)上述利益實現(xiàn)了對個人信息的周延保護(hù)。

第一,個人信息自決權(quán)。自然人支配、決定自己的人格要素不是要將其當(dāng)作工具,也不是要像財產(chǎn)權(quán)一樣利用、處置和支配,而是自己決定自己人格尊嚴(yán)如何被尊重的具體表現(xiàn)。實踐中存在自決權(quán)徒有虛名、流于形式的客觀事實,如個人的知情、決定僅表明我知道你在使用我的數(shù)據(jù),而非我充分判斷了處理收益和風(fēng)險并愿意接受[24]。但是,正因為個人信息自決實現(xiàn)困難,才要為之斗爭,而不是就此放棄。將個人信息自決利益作為上位概念,進(jìn)一步拆解為其他更為具象化的利益,將個人信息自決權(quán)具體化為不同的具體權(quán)利,形成以個人信息自決權(quán)為核心的權(quán)利框架就是可行路徑。個人信息保護(hù)法保護(hù)的本權(quán)權(quán)益主要是自決利益,既可以通過公法提供的保護(hù)規(guī)則加以實現(xiàn),也可以通過私人救濟來實現(xiàn),處理者侵害信息主體自決利益造成損害的,應(yīng)以《個人信息保護(hù)法》第69條為請求權(quán)基礎(chǔ)。

第二,隱私權(quán)。法律應(yīng)當(dāng)保護(hù)自然人的私密信息不被他人所知或干預(yù)的利益,以保護(hù)其作為社會成員的尊嚴(yán)和自由。并不是所有的個人信息都具有隱私利益,只有信息主體不愿為他人知曉的個人信息才具有隱私利益,如生物識別、金融賬戶、行蹤軌跡等信息,這些個人信息承載的隱私利益主要通過隱私權(quán)保護(hù)。隱私權(quán)是一種消極權(quán)利,司法實踐表明,個人信息的披露、使用等行為是否構(gòu)成侵犯隱私權(quán),應(yīng)當(dāng)視行為人對這些信息的取得方式、披露方式、披露范圍、披露目的及披露后果等因素綜合認(rèn)定。個人信息隱私不同于一般個人隱私之處在于,私密個人信息的隱私利益同時是個人信息權(quán)益的一部分,因此,一般隱私利益的侵權(quán)損害賠償以《民法典》第1165條為請求權(quán)基礎(chǔ),而侵害私密個人信息隱私利益造成損害的,應(yīng)以《個人信息保護(hù)法》第69條為請求權(quán)基礎(chǔ)。

2.保護(hù)個人信息本權(quán)權(quán)益的權(quán)利。欲在司法實踐中真正實現(xiàn)信息主體的自決權(quán)益,必須賦予其相關(guān)輔助權(quán)利。近年來國內(nèi)外法律規(guī)范為個人信息自決權(quán)益的實現(xiàn)提供了一系列更為具體的權(quán)利,且這些權(quán)利在司法實踐中皆可訴,如知情權(quán)、查閱權(quán)、可攜帶權(quán)和刪除權(quán)等權(quán)利,此類衍生性權(quán)利與個人信息自決權(quán)這一“源權(quán)利”一脈相承。為保障個人信息本權(quán)權(quán)益中自決權(quán)益的實現(xiàn),《個人信息保護(hù)法》明確規(guī)定了信息主體在個人信息處理活動中的一系列權(quán)利,這些具體權(quán)利都是保證個人信息本權(quán)權(quán)利實現(xiàn)的法律手段。一是知情權(quán)、決定權(quán)、限制權(quán)、拒絕權(quán)。個人對其個人信息處理享有知情權(quán)、決定權(quán),有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理,包括信息主體在自動化決策中享有決定權(quán)和拒絕權(quán),個人在已公開個人信息的處理中享有拒絕權(quán)。二是查閱權(quán)、復(fù)制權(quán)、解釋說明權(quán)、可攜帶權(quán)。個人有權(quán)查閱、復(fù)制其個人信息,有權(quán)要求處理者解釋說明其個人信息處理規(guī)則、對個人權(quán)益有重大影響的自動化決策,有權(quán)請求將個人信息轉(zhuǎn)移至其指定的處理者。三是更正權(quán)、補充權(quán)、刪除權(quán)。權(quán)利人發(fā)現(xiàn)其個人信息不準(zhǔn)確或者不完整的,有權(quán)請求處理者更正、補充,作為救濟性權(quán)利,更正權(quán)、補充權(quán)和刪除權(quán)能保證自然人參與到個人信息處理活動中,糾正被處理的個人信息中存在的錯誤,避免出現(xiàn)侵害其合法權(quán)益的處理結(jié)果。刪除權(quán)對處理者的利益干涉較大,其行使存在限定條件。四是承繼權(quán)?！拔ㄓ挟?dāng)個人能夠信賴其生活形象于死后仍受維護(hù),不被重大侵害,并在此種期待中生活時,憲法所保障之人的尊嚴(yán)及個人在生存期間的自由發(fā)展始能獲得充分的實踐?！盵25]299《個人信息保護(hù)法》規(guī)定的自然人在個人信息處理活動中享有的權(quán)利,由死亡的自然人的近親屬行使。

無論處理者基于何種合法性基礎(chǔ)處理個人信息,個人均可行使上述以保護(hù)自決權(quán)益為目的形成的工具性權(quán)利。從功能上看,賦予信息主體類似于所有權(quán)權(quán)能的工具性權(quán)利,能夠保障信息主體“自決利益”的實現(xiàn),強化其對個人信息的控制力,推進(jìn)個人參與數(shù)字社會治理,使處理者可持續(xù)地、合乎道德地使用個人信息數(shù)據(jù)[26]。這些工具性權(quán)利旨在保障信息主體控制與自決的實現(xiàn),并非傳統(tǒng)民法意義上的支配權(quán),更傾向于為請求權(quán)性質(zhì)的權(quán)利,即霍菲爾德權(quán)利體系中的claim,與這些請求權(quán)相匹配的是處理者保障這些權(quán)利實現(xiàn)的義務(wù),即霍菲爾德權(quán)利體系中的duty。為保障具有“請求權(quán)”性質(zhì)的工具性權(quán)利實現(xiàn),《個人信息保護(hù)法》規(guī)定了一系列處理者的義務(wù)性規(guī)則。為兼顧處理者利益和公共利益,該法還對工具性權(quán)利進(jìn)行了必要限制,同時規(guī)定了處理者“建立個人行使權(quán)利的申請受理和處理機制的義務(wù)”和“拒絕請求的說明義務(wù)”,以保障信息主體順利行使工具性權(quán)利。這種逐層遞進(jìn)的制度設(shè)計模式既能保護(hù)個人信息利益,又能兼顧個人信息的合理使用需求,為處理者處理個人信息劃定了邊界[27]。當(dāng)處理者不履行法定義務(wù)時,信息主體可依《民法典》第995條規(guī)定的人格權(quán)請求權(quán)請求救濟,造成損害的,信息主體可同時適用《個人信息保護(hù)法》第69條請求損害賠償。

結(jié) 語

數(shù)字時代,確立個人信息權(quán)體現(xiàn)了對人的自主和尊嚴(yán)的尊重,體現(xiàn)了對信息主體與處理者之間存在的實質(zhì)不平等的糾偏?；跈?quán)利利益論,可從“存在需要他人采取行動滿足的個人信息利益”和“該利益構(gòu)成要求他人從事某種行動之義務(wù)的充足理由”兩方面,結(jié)合個人信息處理活動對自然人的具體個人信息權(quán)利進(jìn)行分析和證立,促進(jìn)個人信息權(quán)利生成。個人信息權(quán)是動態(tài)的個人信息權(quán)利簇,由滿足不同利益需求的不同個人信息權(quán)利共同構(gòu)成,個人信息權(quán)利簇的理論、價值和規(guī)范基礎(chǔ)是憲法層面的個人信息基本權(quán)利,個人信息權(quán)利簇的具體權(quán)利表現(xiàn)為《民法典》《個人信息保護(hù)法》以及其他法律規(guī)范中的不同個人信息權(quán)利。個人信息權(quán)利簇的建構(gòu)和發(fā)展對于統(tǒng)籌個人信息權(quán)益保護(hù)與合理利用、防范和規(guī)制數(shù)字風(fēng)險、推進(jìn)整個社會的權(quán)利保障、完善數(shù)字社會治理具有重要意義。