中图分类号:DF3 文献标识码:A 文章编号:1005-9512-(2018)04-0002-13 一、问题的提出 随着我国《民法总则》的制定与实施,对个人信息的法律保护呈现出刑事、民事与行政并进的状态,并开始走向体系化。然而,纵观现行法律规范,仍可发现其明显短板,即集中于规制对个人信息的获取和暴露两个环节,强烈体现出立法特别关注以信息主体对个人信息的自我控制,而对信息的使用环节不甚关注,尤其是关于公共部门对个人信息的使用问题,法律基本上是“留白”的。 《刑法修正案(七)》和《刑法修正案(九)》所规定的侵犯公民个人信息犯罪打击的只是信息的非法暴露,即出售、提供、获取和泄露等行为。我国《侵权责任法》第36条规定了网络侵权责任,从此后《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》的相关解释来看,其所调整的网络侵犯个人信息行为所指也仅限于信息的暴露环节。《全国人大常委会关于加强网络信息保护的决定》以及我国《消费者权益保护法》《网络安全法》虽然对个人信息的使用有所提及,却并未予以单独规定,而是与个人信息的收集规定在一起,且没有与个人信息的获取、暴露两个环节一样规定受害人的举报、控告、起诉权和主管部门的监管职责,或者详细规定信息获取、保管者的具体义务。更为重要的是,这三部法律文件所规范的可能侵害个人信息相关权利的主体是“网络服务提供者”“网络运营者”“经营者”“其他企业事业单位”等,并不涉及行政机关,这几部法律文件给行政机关的定位均是纯粹的监管者、保护者角色,而非信息的获取者和使用者。至于2017年施行的我国《民法总则》,虽然其第111条规定“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,也就是将个人信息的非法使用与非法收集、加工、传输、买卖、提供、公开一并规定,并将调整对象扩大为“任何组织和个人”,把行政机关也涵盖在内,但这仅仅是一个比较粗糙的原则性规定,其既未指明何为“使用”——使用一词的含义显然比收集、加工、传输、买卖、提供、公开等复杂得多,从而需要更精细的表述,也未指出何为“非法”——违反了何种位阶的法律规范以及是否包括违反约定。总的来看,我国《民法总则》第111条的宣示意义大于操作价值。 在私主体(主要是网络运营商和其他经营者)作为个人信息使用者的情况下,对个人信息使用环节的规制路径并不十分复杂。在现行法的“知情同意”框架之下,私主体收集、使用个人信息应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。①因此,私主体对个人信息的不当使用首先表现为违反其公开的使用规则及在此规则下与用户的约定,进而可以在此框架下寻求解决。即使突破了这一框架,不当使用的结果也必因侵犯用户的其他合法权益而需另行承担侵权责任;一旦涉及刑事法律,也必然触犯既有的其他罪名,并无另立罪名对不当使用行为予以单独评价的必要,因为“非法获取信息的行为,侵犯了公民个人信息权,构成侵犯公民个人信息罪;利用信息的行为则构成财产犯罪、人身犯罪等”。②总之,即使在民法或刑法上单独规定私主体不当使用个人信息的法律责任,这种责任也将被使用者的目的行为或使用的违法结果所导致的法律责任所吸收。 然而,当公共部门(主要是行政机关)成为个人信息的使用者时,上述逻辑便无用武之地了。首先,行政机关收集和使用个人信息并非基于和管理对象的约定,而是基于法定职权。可是,传统的职权法定原则又难以解决这一问题,因为随着大数据等信息技术的高速发展,个人信息的公共用途急剧扩展,政府依靠个人信息所开发出来的管理工具日益丰富,没有任何立法者具备足够的理性去前瞻性地穷尽这些用途,从而事先做出限定。其次,行政法不仅评价行政活动的目的和结果,还要评价其过程和手段,行政机关基于正当目的使用个人信息且结果无损于个人利益时,并不当然意味着其过程和手段的合法性,仍需法律给予单独的规制。再次,政府信息公开法制也无法将行政机关使用个人信息的行为完全加以规范,尽管在个人信息保护法制缺失的情况下时常通过政府信息公开中的相关条款“搭便车”地解决个别问题。③因为,将包含个人信息的内容予以公开来实现某种行政目的——例如公开对特定人的行政处罚决定以达到教育和警示目的——早已不是行政机关使用个人信息的主要方式了,在当初收集个人信息的目的之外对信息加以增值利用,特别是凭借大数据技术不断挖掘其潜在价值,才是当前行政机关利用个人信息的主要方向。总之,行政机关对个人信息利用的广度和强度一点都不亚于商业机构,但我国既有的个人信息保护规范体系却严重忽视了这一点。 社会风险治理是政府对个人信息进行增值利用最为典型和活跃的领域,无论是宏观上对短、中、长期社会风险形势的预测和研判,还是微观上对某种或某件社会安全事件的动态监测和预警,乃至于对某些社会风险源(通常是某些群体或个人)的搜索定位,行政机关都越来越依赖于综合利用政府信息库中存储的大量个人信息来丰富其管理工具箱。探究个人信息在社会风险治理中的利用及其限度,对于提炼公共领域个人信息保护的一般规则,并完善个人信息保护的法律体系,颇具意义。 二、个人信息的公共性 个人信息的支配、使用等利益和行为可能无论是在名称上直呼其为“个人信息权”,还是像我国《消费者权益保护法》一样将其拗口地表述为“个人信息依法得到保护的权利”,也无论我国在具体的权利类型上将其界定为人格权还是财产权,还是两者兼而有之,我国法学界尤其是民法学界的学者已基本形成个人信息保护是一项独立民事权利的通说,④我国《民法总则》第111条也已经为此提供了实定法上的依据。还有部分学者进一步提出,应当将个人信息权确立为宪法上的一项基本权利。⑤不过,无论给予何种定位,大多数人都认可这种权利的核心在于信息主体对其个人信息的控制,包括控制这些信息的占有和使用,从而使信息对于权利主体而言具备自主价值和使用价值。⑥这是一种控制理论框架下的权利中心主义,建立在信息的个人属性之上,其有效性的前提在于个人确实能够实现对其个人信息的控制,并在理性判断的基础上行使各项相关权利。随着互联网时代的发展,人们变得越来越关心个人信息的商业价值,大量互联网新兴产业都将个人信息作为最重要的生产资料之一,并创造出惊人的商业价值,社会整体和每个社会成员都因此不同程度地受益。由此,放松对个人信息利用规制的呼声日涨,而个人信息的公共价值似乎也因此获得了证明。笔者对此种呼声持不同观点:仅仅由于某种个人资源具有商业价值,且经过商业开发之后能够促进社会及个人福祉,便承认其公共性,进而要求个人对其相关权利必须有所让渡,以降低使用者的获得成本,这样的逻辑在正当性上有所不足。“凡是关系到别人权利的行为而其准则与公共性不能一致的,都是不正义的。”⑦只有人们能够证明对个人信息的某种利用本来就具有直接促进社会公共福祉的价值——这种价值未必需要通过商业方式来实现,而且为信息主体本身所必需,同时对信息加以利用所伴生的风险是有限或可控的,人们才能够真正证成个人信息的公共性,才能够在法律上对信息主体的自主控制权作出必要限制。否则,他人对个人信息利用的正当性仍然只能来源于信息主体在自主决定基础上的同意,无论这种同意在实际操作中的真实性已经被削弱到何种地步。
