个人信息处置及财产权厘定法律规制研究(二)
宋才发教授
凤凰新闻社讯
(接续)(三)处理个人信息贯彻“公私二分”的规范依据
《民法典》与《个人信息保护法》划定了“个人信息保护”与“共享利用”的界限,实现了个人信息权益与其他法益的协调发展,规制了对个人信息合理利用的原则,包括诚实信用、权利不得滥用、正当、必要原则等。通过由“一般原则”到“具体规定”的体系和制度安排,科学地规制了个人信息合理利用制度,为信息处理主体合理利用个人信息提供了制度遵循。《民法典》以个人信息“处理”的表述方式,替代了对个人信息“收集和使用”,继续沿袭并坚持以“个人同意”为前提。但是《民法典》第一千零三十五条第一款,明确了“个人同意”的法定例外情形,并在《民法典》第一千零三十六条规定了“免责情形”。《个人信息保护法》第十三条借鉴《欧盟一般数据保护条例》第六条第一款的“公私二分”法,规定规范处理个人信息的适用主体,既包括公共部门,也包括私营部门。在大数据时代,无论是“公共部门”的公法信息处理活动,还是“私营部门”的私法信息处理活动,都必须遵循“法无授权即禁止”,以及“法无禁止即自由”的原则。这个原则不仅决定着处理个人信息的自由幅度和范围,而且是信息处理者处理个人信息的根本依据。数据主体所享有的一切权利,无一例外都源自于《宪法》规制的公民的基本权利,数据主体的“个人同意”,并不是对这些基本权利的处分或让渡。《民法典》所规定的“个人同意”,不能理解为人格要素的“许可”抑或“授权使用”,民法对个人信息处理的合法性,同样不能仅看成是否获得“个人同意”。规范依据涉及到个人信息数据可否被处理,属于对个人信息处理者自由处理个人信息范围的制度表达。尽管个人信息处理者包含公共部门和私营部门,但是这两类主体的个人信息处理行为,在性质上具有实质性差异。在“公私二分”的思路下,应当把《个人信息保护法》第十三条理解为:“公共部门”只能适用部分规范,并且以“禁止处理个人信息”为原则,仅因“履行法定职责、维护公共利益”的需要才能处理个人信息。而“私营部门”则可以适用全部规范,总体上以“允许处理个人信息”为原则,但是《宪法》第五十一条规定,“公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利”。按照合宪性解释的要求,“私营部门”仅因违反《宪法》上述“三类禁止性规定”,才能禁止其处理个人信息行为。即是说《个人信息保护法》第十三条不仅规定了规范依据,还规定了个人信息处理的风险控制制度。“风险控制制度”具体体现为一整套个人信息处理的行为规范以及配套的监督制度,无论是公共部门还是私营部门,处理个人信息都要遵守风险控制制度,有效控制风险。
三、侵害个人信息权的救济路径
(一)信息处理者泄露个人信息必须承担损害赔偿责任
需要从正当程序视角理解并设计个人信息权。《个人信息保护法》第一条明确规定“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。但它没有界定什么是个人信息权益?相关法律条款如第四十四条规定了“知情权、决定权”,第四十五条规定了“查阅权、复制权与个人信息可携带权”,第四十六条规定了“更正权、补充权”,第四十七条规定了“删除权”,第四十八条规定了“解释说明权”。法学理论界和事务界把这些个人在个人信息处理活动中的具体权利,称之为“个人信息权利束”。然而在当下智能设备的应用场景中,如何准确识别个人信息处理者,却是一个非常棘手的难题。依据《个人信息保护法》第二十条“合作处理个人信息”和第七十二条“对本法适用范围的特别规定”,尽管用户在一定程度上对信息处理拥有自决权,存在可以访问数据的开放型制造商和用户共同作为个人信息处理者的可能性,但这种自决不应被视为对个人信息的真正控制。数据开放型制造商无法避开其作为个人信息处理者的法律责任,而封闭型制造商尽管无法直接访问数据,却能够通过其设备中的人工智能程序实质影响处理方式和目的,因此不应将其排除在个人信息处理者的范畴之外。明确封闭型制造商的处理者责任,有助于减少数据泄露的外部性,促使其采取更有效的安全措施,填补现有体系中对数据处理责任界定不清的漏洞,减少责任追究中的混乱与不确定性。人们对个人信息赋权的担忧,除了因《个人信息保护法》没有明确界定何为个人信息权益外,还源自于信息主体绝对控制的信息流通阻碍以及对应保护模式的失效,需要从正当程序视角理解并设计个人信息权。如果能以程序赋权来平衡信息处理者与信息主体之间的关系,则可以通过平等、透明、合作等程序价值,激励信息主体、处理者以及相关第三方形成技术化、标准化、契约化的程序性权利保障体系。确立个人信息权的合法正当程序,必须遵循以权利制约权力的公法逻辑,以有效预防和约束强势信息处理者的非法处理行为,避免信息主体滥用权利而阻碍信息流动,实现信息保护与信息利用动态平衡。《民法典》和《个人信息保护法》在不同的条款中,规制了个人信息侵权责任认定及法律效果评价方法,强调以“过错”作为法官进行利益权衡的考量因素而发挥作用。对于过错在法律效果评价方法中展现出来的规范作用,需要在现行法秩序内外体系协调的背景下予以理解,即当侵害行为违反关于个人信息保护性法律规定时,若能通过构成要件认定侵权责任成立,则过错为责任成立的构成要件,此时经由保护性法律规定清晰界定的事实构成可以推定过错;对于不在保护性法律规定调整范围的侵害行为,因为并不存在可以预先清晰界定的事实构成,于此只能通过利益权衡方法综合诸多考量因素认定侵权责任,其中过错是作为必备的考量因素发挥规范作用的。信息泄露在信息处理实践中,是最常见的个人信息侵权行为。在大数据、人工智能、区块链等新兴技术迅猛发展的背景下,个人信息处理日趋常态化、复杂化。在尽可能地满足个人和社会信息处理需求的同时,把信息安全风险控制在一定的合理范围内,是追求信息安全秩序价值的题中应有之义。个人信息权益作为自然人享有的重要人格权益,依法免受因泄露或非法处理个人信息所带来的人身、财产安全的损害威胁,信息处理者必须对因泄露个人信息的行为承担损害赔偿责任。侵权责任理论上的损害概念,其解释力足以应对所谓的“风险性损害”,在个人信息权益损害的救济问题上,不宜把法律上的损害过于泛化,直至与事实意义上的损害相等同。
(二)信息处理者侵害个人信息权益要承担民事责任
个人信息侵权颠覆了传统侵权法赖以建立的社会场景。尽管《个人信息保护法》对侵害个人信息权益民事责任作出了特别规定,但是对侵害个人信息民事责任的规定比较零细分散,只有整理后才能展现民事责任保护个人信息权益的规则和职能。《个人信息保护法》第六十九条规定,“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。这条规定在阐明对个人信息进行民事责任保护价值定位的同时,还表明行政机关处理个人信息应当接受精细严格的法律约束。个人信息事实上构成了行政机关履行职能的基础,行政机关开展的任何一项涉及民生的行政事务,都离不开对相关个人信息的收集与处理。借助先进的监控设备与智能算法等技术手段,行政机关得以突破传统程序限制“翻墙而入”,高频次、高密度地获取个人在日常社会生活中产生的各类信息。从户籍登记、纳税记录到出入境管理、违法犯罪防控等,行政机关通过向互联网平台等私主体调取数据、跨部门信息共享等方式,使得个人信息数据更能脱离原始收集场景而尽收囊中。这种处理范围的急剧扩张与处理方式的深刻转型,在行政机关提升行政效能的同时,也对公民个人权利保障构成严峻威胁。尽管《民法典》《个人信息保护法》已将国家机关个人信息处理活动纳入规范范围,但是相关规定在实践中执行的实际效果欠佳。尤其是在司法实践中,行政机关处理个人信息的行为,经常被不加检视地认定为并不影响当事人权利,从而被排除在行政诉讼受案范围之外。即使行政机关的行为违反了法律法规的规定,也难于通过有效的监督救济机制获得矫正。这种困境源于传统行政法理论的认知局限,即未将行政机关处理个人信息的行为视作具有权利限制属性的行为,这种认知不仅影响司法实践对相关行为性质的判断,也阻碍法律保护机制的制度完善与升级,甚至造成公民对政府和司法机关的不满情绪。未来应当把行政机关和政府职能部门具有较高权利侵害风险的信息处理行为,认定为具有权利限制属性的行为,在法律、行政法规中明确规定这种处理行为的目的、范围和方式等,通过单行法的具体授权为信息处理确立合法性基础。行政权需妥善承接基本权利保护义务,对于侵扰性较低抑或难以标准化的信息处理活动,可以基于行政职责推导信息处理权限,再通过行政自我规范、适用“告知—同意”规则、强化程序与组织保障等,弥补法律明确性不足可能导致的权利保护漏洞。既要防止行政活动成为个人信息保护的“法外之地”,又要避免过度繁琐的授权要求,导致行政活动动辄得咎、影响行政执法的效率与灵活性。
(三)擅自处理他人公开的个人信息要承担刑事责任
公开的个人信息是指信息主体个人自行公开抑或其他已经合法公开的个人信息。在信息化数字化时代,数据不仅是一种重要的信息资源,更是技术创新和商业模式变革的重要推动力。个人的公开数据不同于开放的数据,也不同于公共数据,数据保护措施属于个人信息系统安全防范和保护措施,避开抑或突破这道数据保护防线的行为,就属于“超越授权”信息犯罪中的“侵入”行为。擅自处理公民公开的个人信息行为,属于《中华人民共和国刑法》(以下简称为《刑法》)第二百五十三条之一规定的“向他人出售或者提供公民个人信息”的构成要件,不仅侵犯了信息主体私域自主权益,而且构成了侵犯公民个人信息罪。依据《民法典》第一千零三十六条第二项的规定,信息处理者擅自处理公开的个人信息的行为,只要是没有侵害个人的重大利益,可以依据《民法典》的上述规定免除民事责任。但如果使个人的重大利益遭受侵害,那就违反了《民法典》与《个人信息保护法》中的相关规定,就要依据《刑法》第二百五十三条之一的构成要件,追究擅自进行信息处理者和信息提供者的刑事责任。侵犯公民个人信息罪的行为方式包括获取、出售和提供,单纯收集已公开的个人信息行为并不具有非法性,收集的个人信息仅供个人学习研究之用,只要是没有超出信息主体合理的预期范围, 既然不会对信息主体的信息权益造成侵害,那就不应当承担刑事责任。作为资源的个人信息数据具有再生性与非竞争性的特点。再生性使得个人数据的规模呈现不断扩张的态势,而非竞争性则使得个人数据可以被反复使用,并且供不同的主体共享。这不仅侵犯了公民个人隐私、财产抑或其他信息权益,而且可能侵犯公共安全与国家安全等方面的利益。随着刑事立法对网络服务提供者刑事责任的扩张,网络空间中违法信息的泛滥逐渐成为网络犯罪治理的焦点,把如何惩戒网络服务提供者为用户传播、发布违法信息的问题提上了议事日程。随着2015年“刑法修正案(九)”的普遍实施,学界研究的重点逐渐集中到对网络服务提供者刑事责任的归责模式上来。网络服务提供者不同于普通的经营主体,他通常兼具经营者和特定条件下的管理者双重身份。尽管提供网络服务本身是一种业务行为,但是在网站等管理、运营者放任违法信息传播而不予删除的情况下,如果网络服务提供者未对违法信息采取适当措施,那么其行为就会产生不作为的刑事责任。在大多数情况下,由于数据治理的整体法律体系尚未完全完善,加之网络空间主体的匿名性特点,很难确定违法信息发布者的身份,网络用户数量庞大,普通用户发布、传播违法信息可能并未达到法定量刑标准,这就导致正犯的发现和处罚变得相当困难。《刑法》是按所侵害的“法益类型”来安排相应罪名的,《刑法》主要关注的是对非法获取数据行为的处罚,但数据流动中的真正危害是对数据的非法滥用,必须实现从非法获取数据的行为到滥用数据行为的转变。未来在法律规制的重心上,应当根据个人数据的类型采取不同的治理进路,对普通的个人信息,可以采取利益衡量的进路;对敏感信息特别是生物数据,应当考虑采纳法权进路,适用主要由控制者与处理者来对相应风险及结果负责的归责原理。
(四)构造超越数据确权的信息处理双重公法制约机制
数据确权需要确立一个合法的数据处理秩序。曾有学者认为,个人对其个人信息不具有财产利益,处理者对个人信息数据的财产权益,也并不是从个人处继受取得的,而是基于合法的处理行为而原始取得的。数据财产权益本体论则认为,法律应当对个人信息中蕴含的商业价值给予财产权保护。因而《民法典》第一百二十七条规定,“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。完善数据财产权的实体规范,保护公民个人与数据有关的财产权益,国家将其提升到公民基本权利的高度,突出强调数字人权保障的极端重要性。构造个人数据确权和数据处理秩序的公法框架,必须具备两个最基本的条件:第一个是数据处理的规制体系,第二个是公共数据的开放利用。数据处理的双重公法构造,不仅能够超越数据确权本身的价值和意义,而且能够促进数据要素流动和价值分配秩序的完善,提供数字经济和数字政务服务持续发展的法律支撑。个人、企业、党政机关和企事业单位,如何有效地利用和使用公共数据?其实公共数据的公益属性,本能地决定了其确权与运行的严格限制。即是说在法理构造层面,公共数据是国家所有的公共财产,具有“宪法上国家所有和民法上国家所有权”的双重意蕴,二者分别构成产权分配和授权运营的《宪法》依据。在权利构造层面,应当依据“三权分置”的治理框架,围绕持有权、使用权和经营权三者之间的关系,构建开放共享与要素流通并重的权利体系。在制度建构层面,应当通过适用类型化区分的登记确权制度明确权属,对政务公共数据和加工公共数据,分别适用非营利的限制制度和有限盈利的运营制度,以遏制行政垄断、释放数据价值,保障公共数据产权规范运行。完整的公共数据产权制度,包括公共数据产权界定制度、公共数据产权配置制度和公共数据产权流通制度、产权保障制度几大块。公共数据产权流通和保护制度的建构,始终以产权界定和产权配置制度为基础依据。(完)
责任编辑 檄文
