论文:《个人信息权利束及个人信息处理自主决定权论析》(一)
宋才发
凤凰新闻社讯
我国民事法律制度把个人“信息权利束”定位于国家履行积极保护义务,通过“加快构建数据基础制度体系”的法治路径,保障个人自主控制范式下的个人信息权能实现。个人“信息权利束”是一个特定的法律概念,是国家制定法为公民个人设置的、在个人信息处理全周期内由个人合法行使的一组权利的集合。个人“信息权利束”具有宪法权利属性,需要强化个人信息主体权利体系的法治保障。信息保护法是规制个人信息权利的基本法,“告知同意”是体现个人人格自由的法律规制,查阅复制权、可携带权、个人信息删除权等,都是体现个人信息自主决定权的法律规制。“个人信息公开”是信息处理者处理个人信息的基础,“信息主体同意”是体现权利人自主决定的关键,“信息侵权救济”是维护权利人合法权益的举措。由中华人民共和国教育部主管、武汉理工大学主办的中国人文社会科学学报核心期刊、RCCSE中国学术核心期刊、全国高校社科精品期刊、湖北省优秀期刊、全国理工农医院校优秀社会科学学报《武汉理工大学学报(社会科学版)》,2023年第3期辟“本刊特稿”专栏,发表宋才发教授《个人信息权利束及个人信息处理自主决定权论析》论文。《武汉理工大学学报(涩会科学版)》主编谢科范,执行主编韩文革,副主编文道贵。
宋才发教授系中央民族大学法学院首任院长、二级教授,湖北省有突出贡献专家、国务院政府特殊津贴专家、国家民委首届有突出贡献专家。广西民族大学特聘“相思湖讲席教授”、博士生导师;贵州民族大学特聘教授、民族法学学科团队领衔人、博士生导师;内蒙古财经大学特聘教授。
个人信息权利束及
个人信息处理自主决定权论析
宋才发
习近平在党的二十大报告中强调要“提高公共安全治理水平”“加强个人信息保护”。我国民事法律制度把保护个人“信息权利束”,定位于国家履行积极保护义务,通过“加快构建数据基础制度体系”的法治路径,依法保护个人信息、保障个人自主控制范式下的个人信息权能的实现。从法的本质上看,“个人信息权利束”是信息权利人对个人信息自我控制、自我保护、自主决定的重要手段,是民事主体对个人信息享有的法定权利。由《中华人民共和国民法典》(以下简称《民法典》)《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)规制的个人“信息权利束”,是国家制定法为公民个人设置的、在个人信息处理全周期范围内由个人合法行使的一组权利的集合。
一、个人“信息权利束”及民事权利体系释义
(一)“信息权利束”的基础概念是“权利束”
“权利束”是个外来词汇,也是近年来在我国被广泛使用的一种新的权利研究范式,即把一组权利边界界定清楚、权利内容规范清晰的权利,通过固定的“束点”,将其归集、组成为一束权利。对于“权利束”的研究,不仅要找到财产利益的根源,还要弄清楚“权利束”中的排他性。只有这样,才能做到有共同的“束点”,有清晰明了的“边界”。每一组权利只要是以“权利束”的形式出现,那么,这个“权利束”就必然有一个共同的“束点”,“束点”在本质上就是这组权利的“共同性”。“权利束”的核心要义在于“主体多元”,反映在权利的形式上,就形成为“权利种类多样化”。“权利种类多样化”的特性,又是由权利主体的多元性和利益性决定的。正是由于体现权利所具有的“利益性”特点,才促成和使得这一资源上的多样化权利,能够相互捆绑在一起而成为一组“权利束”。如果权利主体诉求的权利内容,不是彼此关心的“利益”问题,那就无法形成具有法律意义的“权利束”。“权利束”原本是“制度经济学”(抑或“产权经济学”)的概念,自十九世纪末期以来,对“权利束”的应用就已经与“产权”的应用相比肩。总之,“权利束”的内涵既是多元的、又是多样的,不仅涵盖了权利主体的多元化,同时也包含了权利类型的多样化。就“内涵多元”而言,它主要体现为一种资源的主体多元,如有个人的、集体的、国家的,还有少数不明确主体的。就其“种类多样”而言,它主要表现为财产固有的权利,包括使用权、交易权、抵押权、租赁权、赠与权与准入权,以及拒绝使用这些权利的权利。从法律意义上阐释和应用“权利束”概念,最广泛、最典型的要算土地“权利束”,它包括了土地的所有权、用益物权、担保权以及相邻关系权。
(二)“信息权利束”是一个特定的法律概念
个人信息权是信息化时代产生的一种新型权利,个人信息权具有独立人格权的法律属性。法律保护信息权利人对个人信息自主控制、自我保护、自主决定的独立意志,具体地表现为保护信息权利人的知情权、决定权、保密权、封锁权、查询权、更正权、复制权、删除权和报酬权等项权能的独立行使。因而国家通过民事立法方式设置个人“信息权利束”,既是国家保护信息权利人合法权利、制衡信息处理者的法律规制,也是国家保护公民个人信息权益不受侵犯必不可少的救济机制。《民法典》“人格权编”的法律规范,采取概括、列举的方式界定个人信息权的内涵,这种对个人信息定义“可识别”的界定方式,体现了法律规制具体化、明示化的规范要求。随后出台的《个人信息保护法》,在界定个人信息定义的时候,还对个人信息规定了“匿名化”的处置方式。对个人信息采取不能复原的“匿名化”处理,能够达到无法识别特定个人的目的。法律之所以做出这样严格的法律规定,根本目的在于保护自然人对其个人信息所拥有的自主支配和自主决定权。当然做出这样的法律规制,并不意味着个人信息就不能被他人收集和使用。与“个人信息权”相适应的个人“信息权利束”,是指包括个人信息权利人知情、决定、保密、封锁、查询、更正、复制、删除、报酬等权能在内的一组权利集合。它既是信息权利人依法制衡信息处理者的法律工具,更是国家介入其中尤其是规制网络健康运行的法治手段。“信息权利束”是信息权利人对个人信息进行“自主控制”“自我保护”的重要举措,也是《民法典》《个人信息保护法》赋予民事主体的、依法享有对其个人信息的自主支配权。我国在大数据和数字经济的背景下,对个人信息数据的处理和开发利用,已经由原来的“个人信息处理者”发展演变为“信息数据处理平台”机构。通过对个人信息的采集、分析、处理、决策等程序,进而深刻地影响和制约人们的生产生活方式。现代化的、先进的信息处理功能与手段,往往使个人信息权利人陷入被动的、受压制的境地,个人事实上无法单凭“信息自决”下的诸项权能来抵御侵害风险。由于我国对公民个人信息数据保护立法起步较晚,加之法律法规体系不够健全和完善,因而个人信息泄露以及非法流通利用等情形时有发生,给个人信息权利人的人格尊严、财产等合法权益带来现实的和潜在的风险。其实“个人信息权利束并不是先在的民事权利集合”,也不是当下最佳的个人信息保护方式。简单地把公民“信息权利束”表述为民事权利,实际上“无法对国家机关处理个人信息的情形进行合理的解释”,也容易“导致个人信息保护监管和执法机制在逻辑上陷入混乱”。国家把个人“信息权利束”的权能与个人信息处理者的义务揉合在一起,构成了国家数据共享和对个人信息保护双重目标的“法秩序”。国家对个人“信息权利束”权能采取多种保护机制,相对于通过民事权利和个人本位的保护方式来说更加全面有效。这里需要指出的是国家公权力对个人信息进行保护,其出发点和主要目的不是对公民个人私权损害进行救济,而是规制和约束个人信息处理者必须合法“合规”地处理和利用个人信息。
(三)个人“信息权利束”具有宪法权利属性
从法律规制的视角看,信息权利人行使“信息权利束”的法定权利与个人信息处理者履行法定义务,是国家对个人信息处理活动予以规制的产物,两者的契合与共同发挥功能作用,构成了公民个人信息处理的法治规则。《宪法》第三十三条规定:“国家尊重和保障人权。”这条规定是在大数据时代,随着数字经济的快速发展而对人权保障提出的新要求。《宪法》第三十八条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”这条《宪法》规定,事实上就是个人“信息权利束”的宪法基础,正是在此基础上构建了一套“基础稳固、内容完整、结构合理的个人信息保护法律体系”。国家构建公民个人信息处理的制度框架体系,在个人信息权利人与个人信息处理者之间形成清晰的信息处理权利义务关系,通过彼此制衡最终达到和实现公民个人尊严保障及相关法益保护的目的。即是说依据《宪法》保护规定,任何人任何机构对个人信息处理不得逾越“人格尊严”的法律底线,这是我国宪法和民法的最基本的共同要求。《民法典》是我国典型的“权利法”,但它不是完全意义上的个人信息“保护法”,也不是个人“信息权利束”的确认者。《民法典》第一千零三十四条至第一千零三十九条规定的个人信息保护,只是个人信息国家保护义务在《民法典》中的投影而已。《个人信息保护法》开启了专门立法保护个人信息的新时代。《个人信息保护法》第一条开宗明义地指出:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”这既是立法权法定原则的规范要求,也是对个人信息权益保护的《宪法》定位,有利于认识和证成个人信息权是具有《宪法》性质的基本权利。它一方面表明《个人信息保护法》对《宪法》的遵循和依从关系,另一方面致力于构建“国家保护个人信息义务”的框架,赋予国家对个人“信息权利束”保护义务,既维护信息权利人个人信息的合法权益,又保障信息处理者和信息开发者合法利用有效信息资源,推进信息资源共建、共治、共享,降低信息监管和执法成本、提升国家数据治理水平。尽管《民法典》与《个人信息保护法》在保护个人信息权能和功能上存在显著区别,但是《民法典》与《个人信息保护法》规定的权利结构却基本相同。譬如,《民法典》在第一千零三十七条规定了个人信息主体的查阅权、复制权、异议权和删除权;《个人信息保护法》在第四十四条至第四十七条则规定了个人信息主体的知情权、决定权、查阅权、复制权、异议权、删除权与可携带权。国家构建个人信息保护法律体系的目的,不是要禁止个人信息的流通和运用,而是要保障数据处理活动全过程、全链条的公平性、合理性和谨慎性,以求达到和实现个人信息处理风险与流通效益的均衡。即是说《个人信息保护法》规定了个人信息处理的一般规则与特别规则,构建起个人信息处理活动规范化的基本框架;对个人在个人信息处理活动中的权利、个人信息处理者的义务以及履行个人信息保护职责的部门也做出了规定。个人“信息权利束”作为公法工具性权利的界定,表明任何侵害个人“信息权利束”的行为,将不只是单纯的民事侵权,而是公然抑或直接侵犯公法上的“法秩序”。尽管《民法典》规定的民事侵权责任机制,已经在围绕个人信息侵权损害展开民事赔偿和法律救济;但国家仍不忘规制信息权人秉持权利规则、信息处理者恪守义务规则,这是国家权力机关履行“个人信息受保护——国家保护义务”的体现。
(四)强化个人信息主体权利体系的法治保障
尽管《民法典》和《个人信息保护法》都具有保护个人信息主体(即个人信息权利人)的法律规定,但是《民法典》和《个人信息保护法》毕竟是两部性质和功能不同的法律。譬如,《民法典》在第一千零三十七条中,概括性地规定了个人信息主体所享有的一系列民事权利,并且使这些权利具有“请求权”的基本特征。即是说《民法典》从立法价值到规定基本原则、具体制度均体现了时代性;《个人信息保护法》则从保护信息权利人合法信息权益,支持信息处理者合法利用和开发数据资源的视角,对个人信息处理者泄露、毁损和窃取信息权利人信息的行为进行规制,回应了当下以及未来人们对于个人信息权利保护的重点,凸显了前瞻个人信息保护的前景。再从法的延续性和继承关系看,《个人信息保护法》所规定的知情权、决定权等系列权利,正是对《民法典》相关民事权利的延续、继承和发展。因而无论现在抑或将来,任何割裂、否认《个人信息保护法》和《民法典》内在联系的观点和做法,都是不符合我国成文法特质要求和脱离我国立法实际的。正在修订中的《电信和互联网用户个人信息保护规定》,将是一份对公民个人信息保护予以规制的规范性法律文件,也是强化应用程序责任链管理、健全个人信息保护的制度规范。之所以需要尽快修订曾起过开先河作用的《电信和互联网用户个人信息保护规定》,是因为它对网络运营主体收集、使用个人信息的规范比较粗糙、缺乏明确的指引,事后救济不足以保护个人信息的需要。为了遏制对个人信息权益的侵害并加大处罚力度,《中华人民共和国刑法修正案(九)》专门增设了侵犯个人信息罪、拒不履行信息网络安全管理罪等罪名。《中华人民共和国网络安全法》也规定了网络运营者收集、使用个人信息的一般原则和保护义务,规定了违反相关义务的行政处罚规范。我国推出的《信息安全技术个人信息安全规范》(GB/T35273-2017)等标准,已成为衡量和认定网络运营者是否落实主体义务的主要依据。为了加强对个人信息主体民事权利体系的制度构建,建议在“十四五”规划期间乃至更长的时间内,由最高人民法院针对个人网络信息保护做出专门的司法解释,对侵权违约责任构成要件予以明确规范,对侵权违约责任的赔偿计算方式、赔偿标准予以明确厘定,将大规模个人网络信息泄露事件纳入公益诉讼案件受理范围。
二、公民个人“信息权利束”的法律规制
(一)信息保护法是规制个人信息权利的基本法
在世界百年未有之大变局的时代,怎样有效实现对个人信息处理的知情权、自主决定权,已成为世界范围内个人信息保护最具认同的权利,且大多已转化为实证法上的权利。由于个人信息处理存在着不可预测性、不可预见性和难于防范的风险,易于导致规制失灵、秩序失调,以致出现失控、失序甚至危及公民权利、社会福祉、公共秩序的严重态势,集中地体现和暴露出社会某些领域、某些方面“治理赤字”。尽管人们从人权、宪法权利以及公私法域等多角度提出自身对于权利的诉求,但实证法只能框定在某些具有最大共识的权利诉求上面。我国是历史悠久、底藴深厚的成文法国家,法律规范是公民行使个人权利的基本依据。信息数据权利涉及公民基本权利,理应给予绝对权利的法律保护效力。我国现行的《民法典》与《个人信息保护法》,就是个人行使相应请求权的基本法律。个人信息权利人在理解和适用决定权、知情权和可携带权等公民个人信息权利的时候,可以同时适用这两部法律的相关规定。由于“信息”只是数据的表征形式,唯有“数据”才是信息的真实载体。因而这里所论及的“决定权”“知情权”,实际上只是个人信息权利人权利体系的基础,而查阅权、复制权、异议权、删除权和可携带权等具体权利,体现出来的才是散射交叉的系列权能,法律指向的是信息权利人个人“信息权利束”的实际内容,它是法律规制个人信息主体权利体系的核心。与此同时,个人信息处理者在理解和运作查阅权、复制权、异议权和删除权等信息权利的时候,同样可以同时适用这两部法律的相关规定。可以说我国个人信息权益保护立法,在本质上就是“以大规模、高度组织化的个人信息处理者为规制原型”的。对信息处理者所承担法定义务的规定,可以说《个人信息保护法》比《民法典》更为全面、细致和具体。凡属于《民法典》没有规定的具体适用的情形,个人信息权利人可以依据《个人信息保护法》的规定,请求个人信息处理者履行相应义务。《民法典》并没有专门规定个人信息处理者的民事责任,《个人信息保护法》则在第六十九条规定了个人信息处理者的“过错推定责任”。信息处理者的法定义务和应尽责任,贯穿个人信息权益保护的全过程。在未来的实践中对民事责任的法律适用,应当优先适用《个人信息保护法》的规定。如果信息权利人能够证明自己因之而受到精神损害的,还可请求相应的精神损害赔偿。
(二)“告知同意”是体现个人人格自由的法律规制
个人“信息权利束”中的数据权利,包含法律规定的“人格权”,以体现《民法典》对信息权利人自由与尊严的法律保护。“告知同意”是民事法律制度确立的个人信息保护的核心规则,也是体现和维护信息权利人信息权利的重要规则,更是明晰和确认信息权利人与信息处理者之间权利义务关系的“合同规则”。《民法典》第一千零三十五条规定,处理个人信息需要“征得该自然人或者其监护人同意”;第一千零三十六条还规定,“合理处理该自然人自行公开的或者其他已经合法公开的信息”,不承担民事责任。需要指出的是,《民法典》在这里只是把信息已被“合法公开”,视为未经信息权利人同意而处理信息的“免责事由”,并没有把它作为处理个人信息“正当化”的合法基础。相应的《个人信息保护法》第十三条规定,个人信息处理者处理个人信息必须“取得个人的同意”。即是说在《个人信息保护法》里,“取得个人的同意”是对个人信息处理者的一项硬性规定。这两部法律的两条规定,被法学界视为“对告知同意规则地位的确立”。同时还需要指出的是这里“同意”的本质含义,是指在信息权利人“知晓”“知情”的前提下,对自己个人信息享有的决定权。民事权利意义上的“同意”和“约定”既有区别、又有联系,有时分立、有时合并。“同意”作为侵权法上的“免责事由”,必须是个人信息权利人合法、真实的意愿,不得违反法律的强制性、禁止性规定,也不得违反《民法典》规定的公序良俗原则。但是《民法典》和《个人信息保护法》没有对“告知同意规则”予以明确设定;规范的内容也没有考虑为信息权利人保留博弈的机会。实事求是地说,“告知同意规则”关于“理性人”的设定有悖于现实情况。从另一方面考察分析,由于信息主体单方面享有决定、变更等项权利,信息主体一旦单方面行使变更权(单方面变更权原本是针对信息主体利益受损而设定的事后救济权),势必违背信息处理者的预期并致使其利益受损。这些现实问题的客观存在,不仅有违民法公平公正原则,而且与“告知同意规则”在个人信息保护中的重要地位不相称。鉴于“告知同意规则”在实践中存在诸多现实问题,建议未来法律修改在保持现有“告知同意规则”的制度框架下引入激励机制,即“在对信息处理者激励的层面上,赋予告知同意规则以排除管理性强制性规定的功能,并限制信息主体单方变更权的行使范围。”我国个人信息保护的激励机制来源于两个方面:一方面是来源于国家对信息处理者的激励,即通过国家对信息处理者施以激励措施,促使信息处理者以自我调节的方式实现自律,这种“软法之治”可以减少个人信息侵权的可能性。另一方面是来源于信息处理者对信息主体的经济激励,即通过信息处理者给予丧失博弈机会的信息主体经济补偿或经济激励,激发信息主体畅通信息交流渠道和激发信息交易积极性,实现信息权利人与信息处理者之间的利益平衡。从理论分析和实践效应上讲,引入激励机制既有利于实现个人信息保护与个人信息流通的有效平衡,有利于信息处理者高质量地履行告知义务,也有利于提升信息权利人提供高质量的“同意”。
(三)“查阅复制权”与“可携带权”的法律规制
“查阅复制权”是信息权利人在个人信息处理活动中的一项重要权利,个人信息权利人向信息处理者请求“查阅”抑或“复制”的是自己过去的信息,“查阅复制权”是个人信息“查阅权”和“复制权”的综合统称。法律赋予信息权利人“查阅复制权”的权能,是法律保护信息权利人个人享有“知情权”的具体体现。依法实施法律规定的“查阅复制权”,不仅有利于拒绝或防止他人对个人信息的有害性处理,而且有利于实现信息权利人的个人信息“决定权”。即使已经去世了的人,也可以通过近亲属维护其合法正当的权益,其查阅复制权便是非常重要一项维权手段。《个人信息保护法》第七条规定,“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。”如果个人信息处理者违背“公开透明”原则,故意采取隐秘的、暗箱操作等途径和方式,那就属于侵害“个人信息知情权”的非法行为,必将受到应有的法律制裁。我国的个人信息“查阅权”“复制权”“可携带权”“更正权”和“补充权”,是由《个人信息保护法》在第四十五条和第四十六条明文规制的。依据《个人信息保护法》第四十六条的规定,信息权利人请求更正、补充其个人信息的,个人信息处理者必须在核实其个人信息的前提下,予以及时更正和补充,这是法律对个人信息处理者规制的法定义务。需要指出的是《个人信息保护法》视域下的“查阅复制权”,不同于其他法律规定的“查阅复制权”,它以实施《宪法》规定的“人格尊严”、“通信秘密”以及“人身自由”为目的,体现了公民个人信息国家保护义务的制度性保障。“数据可携带权”是由欧盟《一般数据保护条例》第二十条规定的“一种新型的数据主体权利”。即信息权利人对已经同意信息处理者处理的数据信息,“有权要求该控制者提供结构化的、通用的、机器可读的、能共同操作的以格式形式加以提供的权利”。我国现行网络安全和个人信息保护的法律,只是将信息主体同意作为数据处理的合法性依据,目前尚未规定任何例外情况。审议通过《个人信息保护法》的第一次“草案”和第二次“审议稿”,均没有列入“数据可携带权”。全国人民代表大会宪法和法律委员会经过反复研究,建议增加规定“个人请求将其信息转移至其指定的个人信息处理者,符合国家网信部门规定的条件的,个人信息处理者应当提供转移的途径”。于是才有了现行《个人信息保护法》第四十五条关于“个人可携带权”的法律规制。《个人信息保护法》第四十五条第三款“符合国家网信部门规定条件”的法律表述,实质上是在授权国家网信部门依法做出具体细则,以促成信息权利人实现对其个人信息活动的决定权,促进平台信息交流规范有序创新发展。(待续)
责任编辑 檄文
