我国《政府信息公开条例》自2008年起开始实施迄今已逾八年。《政府信息公开条例》的施行不仅对依法行政的贯彻形成了有效的倒逼机制,同样使知情权在我国获得制度落实。但信息公开所保障的只是公民不受阻隔地获取政府所掌握的公共信息的权利,并未覆盖公民可自我决定在何时以及在何种范围内对外公开个人生活事实,尤其是向政府披露个人信息的权利。后者在德国法中被概括为公民的信息自决权(Informationelle Selbstbestimmung),并被置于数据保护(Datenschutz)的主题下获得广泛讨论。如果说知情权的落实是为了强化公众对政府政务的参与和监督,那么信息自决权的确立则是为了防堵在信息化时代下,政府无限度地攫取个人信息并加以不当整合,从而使私人生活图像无所遁形的可能。知情权与信息自决权,一个指向公共信息的公开,另一个则强调私人信息的保护,二者共同构成了作为集合性权利的公民信息权。但相较通过《政府信息公开条例》的颁行而获得广泛落实的知情权,公民的信息自决和信息保护无论是研究还是立法在我国都处于萌发阶段:不仅学者对这一领域的学理探讨明显较少,有关信息保护的制度实践同样只见端倪。而既有的信息保护研究又主要集中于私法领域,个人信息的公法保护则鲜少被深入触及。研究视角的局限表明,人们对私法领域中他人不当侵犯个人的信息的行为已经有所防御,但对于国家对个人信息的无限度搜集以及不当使用却缺乏足够警醒。事实上,信息技术的飞速发展所带来的不仅包括个人信息为他人所滥用的恶症,还包括政府无限度地搜集和使用个人信息,从而蜕化为监控国家的风险。这一风险提示我们应强化对信息保护的公法研究,相应地,在公法领域,无论是公民信息权的理论研究还是制度建构,其风向也应实现从信息公开到信息保护的风向流转。基于上述思考,本文在简要铺陈当下我国信息权研究与立法的“跛足”态势后,着重阐释和分析个人信息的公法保护在我国的理论研究和制度保护现状,并尝试对其中存在的核心问题予以剖解。 一、作为集合性权利的信息权与我国学理和立法的“跛足” 作为个人识别标示的“个人信息”,自公民出生时起就与之形影相随,但在信息化时代到来之前,人们并未察觉将“个人信息”作为区别于名誉、荣誉、姓名等一般人格权客体而予以单独归纳和处理的必要。彼时人们关注的只是不欲为他人所知的隐私信息的保护,人们也同样认为,隐私保护已足够为自己构筑起阻挡他人和国家窥视和介入的坚固屏障。但电脑、信息技术的飞速发展将人类无法逆转地带入“信息化时代”。信息化时代下,信息搜集、储存、整合、传播及处理方式的彻底革新,使人们再无法遁于“隐私”之下获得完整隐秘的个人空间。通过获取、汇集和整合人们在日常生活中所留下的种种生活痕迹,数据技术完全能够在短期内描摹出与个人的实际人格相似的“数字人格”(computer persona)①,从而使私人图像一览无余地暴露于他人的窥视之下。学者也因此感慨,“科技发展已经在人类审慎思考是否同意之前,就已经将神圣的‘人’降格为硬盘里可随时调取并分析的‘1/0’”②。信息时代下个人生活被广泛干预的极大风险,警醒人们开始注重对个人信息的保护,而世界范围内个人信息保护制度的勃兴,也正肇始于人类进入“信息时代”的20世纪中期以后。 信息保护的需求不仅催生了大量个人信息保护制度,同样扩张了信息权的保护领域。传统信息权主要在于保障个人不受阻隔地获取政府所掌握的公共信息,由此来促进公众对公共事务的有效参与和对政府活动的有效监督。这项权利在美国法中被具体概括为知情权(the right to know),在德国宪法中则被标注“信息权”(Informationsfreiheit)③。但信息时代下个人因数据处理技术而被“透明化”、“数据化”甚至“物化”④的极大风险却要求,不仅个人不受阻隔地从政府获取公共信息的权利应予保护,信息权的保护内容还应囊括公民可自我决定在多大范围内对外公开生活事实,尤其是向政府披露个人信息的权利。这一内容在德国法中被归纳为公民的信息自决权(Informationelle Selbstbestimmung),并被置于“数据保护”(Datenschutz)的框架下获得广泛讨论⑤。正如施密特·阿瑟曼所言,公民信息自决和数据保护要求的提出,“是对国家因现代信息技术的急剧发展而获得的对个人生活极大监控可能性的回应”⑥。如果说知情权所欲达到的目标是为了通过促进公众对政治生活的有效参与和监督,由此来塑造运行良好的民主社会的话;那么信息自决权则是为了避免现代国家通过信息技术而滑向监控国家,从而无限度地侵扰和积压私人领域。事实上,从“信息的个人自决”⑦这样的宣示性表述中,我们就已经能够强烈地感受到,这一权利对于信息时代下个人仍旧享有行动自由,个人仍旧是自身信息主体的强调,以及针对信息时代下可能产生的个人数据为他人以及国家操控的反击。因为信息自决内容的加入,传统信息权逐渐被拓展为内涵丰富、面向多维的集合性权利。欧盟曾在1995年颁布的《关于个人数据处理及自由流通个人保护指令》对个人信息权进行了详尽罗列,个人作为信息主体的权利包含:第一,拒绝权,即信息主体有权拒绝他人对个人信息的处理;第二,知情权,即信息主体有权获取与其个人数据处理相关的信息;第三,修改权,即信息主体有权要求修改、增删个人信息,保障信息记录真实完整;第四,删除权,即信息主体在个人信息作为记录的目的不再必要或相关时,有权要求删除;第五,质询评价权,即对个人的评价完全是基于个人信息处理的结果时,可以不受约束地对评价进行质询。而德国在1990年颁布的《联邦个人数据保护法》中,同样归纳出了个人在数据收集、处理和利用这些动态过程下所享有的完整的信息自决权,这些权利具体包含:个人信息告知权、个人信息更正权、个人信息封锁权以及个人信息删除权。这些内容拓展都使信息权成为多面向、多维度的体系化的权利整体。
