论文:《个人信息权利束及个人信息处理自主决定权论析》(二)
宋才发
凤凰新闻社讯
(续前)(四)“个人信息删除权”的法律规制与私法救济
法律通常所论及的“删除权”,“是指在符合规定条件时,作为信息主体的个人所享有的请求个人信息处理者删除所处理的个人信息的权利。”“个人信息删除权”在性质上属于个人信息的一项权能,是信息权利人对其个人信息处理活动享有决定权的体现,它不同于自然人“撤回同意”以及网络侵权责任中的“通知删除”规则。信息权利人启动删除权的一个直接动因,是由于个人信息权益遭遇到违法行为的严重侵害,或者事实上超越了事先约定的范围,信息权利人因之而要求信息处理者停止对信息的处理并予以删除。信息处理者“拒不删除”的,必须依法承担侵权法律责任。信息处理者对信息权利人个人信息“超期保存”,未履行删除义务的也构成法律侵权责任。《个人信息保护法》所保护的信息权利人的合法权利和权益,不只是关注信息隐私和信息主体的可识别性权利,还关注个人信息作为评判信息主体的功能。在《个人信息保护法》“个人信息删除权”的法律规制中,行使个人信息删除权的权利主体是信息权利人,义务主体是个人信息处理者。符合《个人信息保护法》第四十七条规定的情形之一的,“个人信息处理者应当主动删除个人信息”。删除权也适用于“搜索引擎”,但要区分不同情形并做出必要的限制。《个人信息保护法》第四十七条第二款规定了信息权利人不得行使删除权的两种具体情形:一是属于“法律、行政法规规定的保存期限未届满”,个人不得行使删除权,但法律规定“处理者应当停止除存储和采取必要的安全保护措施之外的处理”活动。二是属于“删除个人信息从技术上难以实现的”,个人不得行使删除权,但“可以采取停止除存储和采取必要的安全保护措施之外的处理,以实现删除个人信息旨在达到的目标。”在数字化和数字经济时代,应当允许信息处理者根据情势变更原则改变或增加新的处理目的,但是“应当重新取得个人同意”。建议在未来法律修改时对“不同意就不提供服务”,强行“取得个人同意”等违反自愿原则的效力给予否定评价。“个人信息删除权”作为信息权利人的一项极为重要的民事权利,尽管它确实具有公法的属性,但不宜将其认定为公法上的权利,因为它是由《民法典》所确认的一项民事权益。当信息权利人遭受的侵害无法在《个人信息保护法》中找到法律依据进行救济的时候,可以通过适用《民法典》有关规定予以救济,因为个人信息删除权“受到私法规范的全面保护”。
三、信息权利人对个人信息的自主决定权
(一)“个人信息公开”是信息处理者处理个人信息的基础
这里论及的“个人信息公开”,以信息权利人的个人信息处于客观公开状态为前提,并不限定于特定的利益保护目的。《个人信息保护法》规定的“已公开的个人信息”范围,既包括信息权利人按照本人意愿自行公开的个人信息,也包括依法被“行政公开”“司法公开”等其他以合法方式公开的个人信息。已公开的个人信息以及取得信息权利人同意、允许被合理利用的个人信息,是信息处理者合理利用和处理个人信息的前提和基础。《个人信息保护法》第十三条规定,在知情同意的主体框架之外,列举了五项可豁免于同意规则的合法处理情形及一项兜底规则,明确把“已公开的个人信息”列为可豁免于同意规则的合法处理事由。中共中央、国务院发布的《关于构建数据基础制度更好发挥数据要素作用的意见》,从数据产权、流通交易、收益分配、安全治理四方面系统性地构建了数据要素基础制度,为新时代新阶段实现经济社会高质量稳健发展,凸显数字应用创新的数字生态奠定了坚实基础。可以说《“十四五”数字经济发展规划》《关于加快建设全国统一大市场的意见》等重大部署,都是围绕数据要素市场培育、促进数字经济高质量发展、营造良好的数字生态环境而展开的。当然信息处理者对已公开个人信息的处理,毕竟是《个人信息保护法》规定的“知情同意规则”的一种例外。因而在“一定范围内”和“一定条件下”,弱化对已公开的个人信息的保护力度,是数字经济时代倡导个人信息共建、共治、共享机制的现实需要,也是我国保护个人信息权益司法实践的传统做法。譬如,《关于维护互联网安全的决定》就明确规定,公民个人信息安全特指公民的通信自由、通信秘密,不包括公民已公开的个人信息;《关于加强网络信息保护的决定》第一条,强调要“保护网络信息安全,保障公民、法人和其他组织的合法权益”,但没有认定收集已被合法公开的个人信息属于非法。《个人信息保护法》增设了“个人信息的公开状态”标准,将处理不同类型的个人信息的准入门槛分为三级:(1)在处理敏感个人信息等特定情形的时候,要求获得个人单独同意方可处理。(2)在处理普通个人信息的时候,需基于法定合法性基础才行。(3)在处理已公开的个人信息的时候,则无任何准入的限制性规定。为此,就需要对个人已公开的个人信息予以明确规范。已公开的个人信息“应限于向不特定多数人发布、无需借助特殊手段即可从公开渠道合法获得的信息。若信息处理将对信息主体权益有重大影响,需适用告知同意规则。”但是这里所论及的“一定范围内”“一定条件下”抑或“合理处理范围”,应当基于个人信息权利人的主观意愿予以界定,除非该处理是《民法典》第一百一十七条所规定的“为了公共利益的需要”的情形。信息权利人一旦向社会公开自己的个人信息,此时的公民个人信息即转化或转变为社会公知领域的信息,信息处理者既不必局限于信息被公开时的用途,也无需契合信息主体公开该信息时的意图,完全可根据自己的意愿处理信息。如果在这种情势下,法律规范不能够规定或界定已公开的个人信息的“合理处理范围”,必将影响到信息权利人对个人信息的自主决定意愿,也必将“削弱个人信息保护制度的制度意义和私法意涵,减损对个人信息自助决定权的有效保障。”值得肯定的是《个人信息保护法》与《民法典》相比较,从立法上明确对已公开的个人信息实施弱化保护。使得已公开的个人信息可以被合理处理的原则,不失为平衡信息保护负担的务实之举。因而信息处理者哪怕使用了个人信息“公开之外的”其他非常手段,诸如对个人信息进行分析、改编、再使用等行为手段亦不构成侵权。
(二)“信息主体同意”是体现权利人自主决定权的关键
信息权利人能够以“同意”的方式行使和实现自主决定权,其根据就在于《宪法》规定的个人尊严、自由以及由主体地位推演而来的个人事项自主决定权。信息处理者只有获得“信息主体同意”,才能使自己对信息权利人的信息处理合法化、正当化。《民法典》第一千零三十五条、《个人信息保护法》第十三条,都规定了个人信息处理者要取得信息权利人的同意,确立了“信息主体同意”这个体现权利人自主决定权的合法性地位。我国法学界对“信息主体同意”涵义的理解,事实上存在着几种不同的看法,有必要进一步从理论上予以辨析和辩证。譬如,“敏感个人信息说”认为,同意规则仅适用于敏感个人信息,由于这种观点违背了《个人信息保护法》“个人信息处理规则”的“一般规定”,因而在未来的司法实践中不宜被采纳运用。“全部个人信息说”认为,同意规则适用于全部个人信息,由于它不利于实现《个人信息保护法》“促进个人信息合理利用”的规定,因而在未来的司法实践中也不宜被采纳运用。“全部个人信息+匿名信息说”认为,同意规则适用于《个人信息保护法》规定的“个人信息”与“匿名信息”,由于它不符合《个人信息保护法》第四条“不包括匿名化处理后的信息”的规定,因而在未来的司法实践中仍然不宜被采纳运用。现代社会是一个充分尊重他人不同观念和不同选择的社会,法律允许与特定个人没有社会关系的人收集、储存、传输、使用该特定个人的信息,但限于收集、使用结合识别个人信息,不得在分析特征的过程中分析出乃至暴露信息主体的真实身份,这就是个人信息领域陌生人的行为规范。由于事实上没有办法保证个人信息处理者能够自觉地遵守法律规定和行为规则,这也就是国家之所以制定“禁止性规定”配套法律责任条款的根本原因。个人信息处理者在收集信息权利人个人信息之前,往往需要通过各种途径去查询和了解信息主体的身份,这就在客观上给信息处理者履行“取得同意义务”带来一定的困难。现代社会又被称之为“陌生人社会”,隐匿个人身份是陌生人社会的显著特点和普遍做法。尽管现代社会人的交往愈来愈频繁、关系愈来愈密切,社会交往需要身处社会中的每个人允许其他人了解自己,但是这种要求必须限制于与个人有交往关系的人之间。信息主体是否需要隐匿个人身份?便成为当今社会个人自主决定的重要事项。为此我国立法借鉴并吸纳了欧美国家“直接标识符”概念。“直接标识符”是指能够单独识别特定自然人身份的信息,如身份证号码、社会保险号码、指纹识别、人脸识别等信息,其“身份指向意味着存在直接标识符即足以识别信息主体真实身份。”因而“直接标识符”便成为当下信息主体最主要的风险源。这是因为个人信息与个人身份的勾连通常依赖“直接标识符”,个人信息处理最大的风险在于信息处理者有可能把信息主体的“直接标识符”,不适当地甚至违法地传导给其他具有特定身份的自然人。
(三)“信息侵权救济”是维护权利人合法权益的举措
无论是“查阅权”“复制权”“可携带权”抑或“删除权”,都是法律规定的个人信息权益的具体权能,而不属于独立的人格权益。同时“查阅权”“复制权”“可携带权”抑或“删除权”等各项权能的行使,又都是在个人信息处理活动中发生的,其指向均聚焦于个人信息处理者。当信息权利人向个人信息处理者请求“查阅”“复制”“可携带”“删除”其个人信息的时候,个人信息处理者没有任何理由拒绝信息权利人的正当请求。一旦信息权利人的正当请求遭到信息处理者拒绝之后,信息权利人有权向履行个人信息保护职责的部门予以举报和投诉。没有救济就没有权利,信息权利人也可以请求法院保护其正当的权利并获得司法救济。《个人信息保护法》在第七章“法律责任”中规定,采取行政责任、刑事责任和民事责任相结合的办法,为信息权益受害人提供全面的法律保护。依据《个人信息保护法》第五十条规定,“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制”。这条规定实质上为个人信息权利保护提供了一条新的救济渠道。在个人信息处理者拒绝个人行使权利请求时,信息权益受害人“可以依法向人民法院提起诉讼”。《民法典》“侵权责任编”,把“损害赔偿”作为侵权责任的核心功能,不仅意味着侵权责任法不仅回归传统债法,而且增强了《民法典》把“传统债法”分为“合同”与“侵权”两编的正当性。《个人信息保护法》不但在第六十九条把“损失”作为“侵害个人信息权益”侵权的前提,而且引入了“公益诉讼制度”,这是对“个人隐私”侵害和“个人信息”侵害予以救济的重大制度创新。个人信息权益保护适用公益诉讼的重大制度安排,从根本上解决了利用互联网进行个人信息侵权的治理难题,为规范非法处理个人信息侵害众多个人权益的行为提供了公益诉讼的法律依据。在“十四五”期间乃至更长的时间内,需要从救济程序上建立健全相应的投诉处理机制,逐渐形成多维并进的程序救济体系。尤其要从侵权责任角度思考有条件的承认“预期侵权制度”,正视和肯定被侵权的风险并予以赔偿,以此完善个人信息侵权损害救济。需要明确地提醒和慎重指出的是法律规定行政责任、刑事责任的着眼点,是制裁侵害个人信息权益的组织或者个人实施的违法行为。因而包括惩处性的罚款、罚金等,都不是对受到损害的权利人的个人给付,而是依法上缴国库。唯有“民事责任”既是为国家负责又为受害者负责的规定,所有通过制裁手段获得的财产赔款直接给予受害人,以救济和填补所遭受的财产损失和精神损害。(完)
责任编辑 檄文
