一、问题提出及界定 个人信息保护的权利基础为何?为何保护?谁来保护?针对何种威胁而提供保护?只有在厘清这些问题的基础上,方可更好地回答如何保护的问题。 本文认为,个人信息保护的宪法基础是国家所负有的保护义务。国家负有对公民人格尊严和隐私、安宁进行保护的义务;随着信息时代的来临,该种义务扩展到对个人信息相关权益的保护。个人信息国家保护义务对应着“个人信息受保护权”这一基本权利,但此种权利并非民法意义上的权利,而是国家履行其保护义务的价值基础与宪法依据,其功能主要在于对抗和缓解“数据权力”对个人信息造成的侵害风险。这种权利并不等于公民对其个人信息拥有排他性的、支配性的权利。从功能上讲,相比于“个人信息权”的保护路径,“个人信息受保护权”通过强调国家保护义务及其落实,更有利于个人信息保护的目标实现,因为面对数据平台和国家机关所拥有的强大“数据权力”(data power),通过私法路径和方式,很难为个人信息提供充分、全面和有效的保护。 二、个人信息国家保护义务的概念提炼 (一)个人信息保护的两种基本模式 如何进行个人信息保护?对此问题的回答可类型化为“权利保护”与“权力保护”两种基本模式。“权利保护”模式将个人信息视作私权客体,试图构建一种对抗不特定主体的个人信息权;“权力保护”模式则强调在个人信息处理活动中,国家负有保护个人合法权益的义务;相应地,个人信息保护制度倚重的并非赋予个人针对其信息的私人权利,而是国家设定的监管与合规框架及配套执法机制。 主张“权利保护”模式的观点在我国民法典编纂过程中达到一个高峰。诸多论者尝试结合域外经验,证成个人针对个人信息的民事权利。其中一种被许多学者接受的观点认为,欧盟与欧洲国家的立法与司法实践将个人信息保护建立在个人享有的民事权利基础上,即“个人信息权”或“个人信息自决权”这一排他性的、带有人格属性的私权,进而主张我国应以民法权利的框架展开个人信息保护的规则设计。 然而,从规范逻辑、制度功能、域外经验等维度观察,将个人信息私权化的路径缺乏相应的支撑。首先,从权利本身的规范逻辑上看,基于个人信息交互性、分享性、公共性的特点,其难以成为民法所有权逻辑下一个排他性的个人控制的客体。一旦认为个人可以“基于自己意思自主地决定个人信息能否被他人收集、储存并利用”,将妨碍基本的社会交往,也无法释放信息的公共价值。同时,个人信息具有动态性、场景性的特征。随着大数据技术的发展,个人信息可识别性和相关性标准的边界不断扩张。静态的民事权利客体的理念无法有效回应这一趋势,强行将个人信息私权化也会造成民法的体系混乱。 其次,从制度功能上看,依托于意思自治、主体平等基础的私权保护路径无法应对强大的私人机构以及国家机构处理个人信息时的非对称权力结构。认为“无论国家机关处理自然人的个人信息,还是非国家机关处理自然人的个人信息,也无论处理者处理自然人个人信息的目的是行政管理、公共服务还是营利目的,处理者与自然人都属于平等的民事主体”的观点,忽视了个人与信息处理者之间明显的不平衡关系。正如张新宝指出,面对强大的个人信息处理者,抽象的民事权利规定容易被虚化,沦为“纸面上的权利”;个人信息保护的有效性必然有赖于国家规制,实践中站在维权第一线的其实往往是监管者而非个人。 最后,从比较法的经验观察,认为欧洲确立了民法上的个人信息权的观点,其实属于对域外经验的误读。实际上,欧盟个人数据保护的权利来源是宪法性权利,而非民事权利。欧盟数据保护专员公署(European Data Protection Supervisor)亦明确指出:欧盟数据保护规则并非赋予个人针对其个人信息排他性的民法权利,那种认为个人针对其个人信息享有“所有权”或“决定权”的观念是一种误读。 (二)个人信息国家保护义务溯源 从比较法视角看,在宪法层面确立个人信息国家保护义务的做法来源于欧盟。1953年生效的《欧洲人权公约》第8条为欧洲国家的个人信息保护提供了初步规范依据。之后,欧洲委员会通过了第(73)22号和第(74)29号决议,提出了保护私营部门和公共部门自动化数据库中的个人数据的原则。 1981年,《有关个人数据自动化处理中的个体保护公约》即《第108号公约》成为全球范围内有关个人信息保护的第一份具有法律约束力的国际性文件。《第108号公约》建立了有关个人数据保护的基本原则以及各缔约国之间的基本义务,并将对个人基本自由与权利的保护作为缔约国履行条约规定的国家义务的出发点。 步入21世纪后,在宪法层面确立个人信息受保护的基本权利与国家相应的保护义务,渐成欧盟成员国的价值共识。《欧盟基本权利宪章》(以下简称《宪章》)第8条第1款规定:“任何人都享有对关乎自身的个人信息的受保护权利”。《欧盟运作条约》第16条第1款亦采用了“个人信息受保护权”(the right to the protection of personal data)的表述。 在法权结构上,这彰显了宪法层面对国家提出的规范要求,而非旨在建构个人针对其信息的“个人信息权”(the right to personal data)。
