因计算机技术革命和大数据发展,我国个人信息保护原理研究在近十年逐步升温,伴随着《个人信息保护法》(以下简称《个保法》)的出台,实务界和理论界对此问题的研讨已进入白热化。《民法典》先已作出个人信息保护规定,《民法典》与《个保法》、私法与公法之间的关系,应如何解释?有学者认为,个人信息保护“难以在单一部门法中完全实现,故需要民法与行政法的结合来进行保护,这就产生了《个人信息保护法》,它本质上属于领域立法”。①但如何协同公法、私法保护模式?具体的个人信息保护规则又何以为公,何以为私? 本文主张,从“过程保护”模式和“结果保护”模式这两个视角,诠释和理解我国的个人信息保护原理。“过程保护”模式指,个人参与乃至主导信息处理过程,对具有人格利益的个人信息是否可被收集、如何被利用、是否可公开等事项具有一定的知情和决定权,从而确保个人得以自由地发展和培育独立人格。以告知同意规则为核心的民法保护模式是典型的过程保护,通过赋予个人知情、同意、撤回同意、信息携带、信息删除等权利,使其可深度参与、决定和控制信息处理过程。相对地,“结果保护”模式指国家权力代替个人决定,径直限定个人信息可被处理的广度和深度以防止过度开采,从而个体的人格尊严价值在结果意义上获得保障,或人格尊严因公共利益之维护,反射性地获得保护。因为结果保护模式需要公权力机关在抽象意义上划定个人信息处理的边界和深度,因而主要是公法保护。 “过程保护”模式和“结果保护”模式是对个人信息保护制度两种可能目的、侧重点的概括与阐释,但这不妨碍两者在一定范围获致相同结果。事实上,这两个保护模式处于理论坐标的两极,中间是一段连续的光谱,通过调整两者的构成比,可形成无数种可能的、复合型的个人信息保护进路。无论是立法还是学理研究中关于个人信息保护问题的讨论,基本可在此光谱中思考。 本文首先以过程保护模式为分析对象,进而转向与之争锋的结果保护模式。通过对这两个理论视角的分析与反思,以《个保法》为对象,辨析过程保护模式和结果保护模式在个人信息保护立法中的结合与互动方式。 一、个人信息的“过程保护”模式 (一)基础版:民法保护 民法保护指以尊重个人意思自治为核心的、以形式平等为基本观念的私法自治,可拓展出人格权径路、财产权径路、人格权与财产权复合保护径路。其中,人格权径路又可细分为:广义隐私权保护、人格利益保护和具体人格权保护。总体上,个人本位是这些民法保护模式的共通理念,也即个人信息利益原则上归属于私人,不同之处在于个人对个人信息应享有的控制能力,以及由此形成的个人在信息处理过程中的主导程度和参与深度上的差异。落实到具体制度设计上,告知同意规则成为个人本位下的私法自治、信息自决理念的具象表达,并衍生出若干特定原则(如目的限制原则)、具体规则(如向第三方披露的规则)和个人权利(如同意权)。 因广义隐私权保护径路在我国日渐衰微,故此不再多论。以下简要对其余民法理论如何在信息处理过程中,安置个人权利,进行归纳分析:第一,人格权径路、财产权径路的理念差异在于个人信息财产价值与人格价值的构成比;反映在法律规则上的区别是,个人信息可否作为商品被完全让渡。当个人信息之于人的人格尊严、人格自由发展价值被渐次肯定,法律规则从充分尊重市场交易自由逐渐向维护信息主体人格尊严倾斜,即在个人信息处理过程中,个人可参与的信息处理环节得以增加,同时个人对每一环节的控制力度也相应增强。②当前,在美国较为盛行的财产权径路在我国遭遇水土不服,尤其是《民法典》已对此理论进行了阻滞。我国民法学者通过构造“财产性的人格利益”“人格权商品化”这一复合性通道,基本完成了在人格权项下保存个人信息财产价值的理论建构。 第二,人格权理论内部主要划分出人格利益保护说和具体人格权保护说,③但仅具体人格权保护说才属于典型的过程保护。一些学者主张应基于德国法上的信息自决理论,确立个人信息权,以充分保证个人享有控制、支配、利用个人信息的权利。④王利明教授将这种控制权表述为,“个人信息的权利人有权排斥他人非法收集、处理和利用。未经法律的许可,任何机构不得非法收集个人信息,更不得对这些信息进行非法利用。即使有关机构掌握了个人信息,也不能将个人信息任意向社会公开。”⑤其中,信息主体的同意表示是信息处理最重要的合法性基础,⑥可拓展出信息决定权、知情权、更正权、锁定权、被遗忘权等一系列丰富的保障权利实现的权能体系。 相较而言,利益保护说几乎位于过程保护的最低点。个人仅能因个人信息被侵害而导致其他民事权利被侵害时,才能获得侵权法上的事后救济,且救济范围较狭窄,如需具有过错、违反法律规定或公序良俗,除非法律另有规定。⑦依循此逻辑,个人也不作为积极角色参与信息处理过程,仅因法律上对信息处理者的行为规范,反射性享有防御性的、有限的受保护利益。⑧ (二)改良规则 1.补强型规则 补强型规则是对以告知同意规则为核心的民法保护模式在实践中出现的失灵现象所进行的反思和改进。称之为补强型规则,是因其欲确保个人对于个人信息处理过程具有一定的知情和决定权。只是补强型规则意识到:囿于现实中消费者有限理性、信息过载、市场垄断等一系列知识、信息和权力偏差问题,遵循形式意义上的平等对待理念已无法确保一个公平自主的决策环境。⑨这将过度放任信息挖掘、无限制地拓宽利用场景,减损个人尊严。由此,消费者权益保护、信息信义义务等为个人提供倾斜保护的规则被提出,以矫正告知同意规则在运行中出现的实质不平等问题,也就是思维上由“强式意义上的平等对待”转向“弱式意义上的平等对待”。⑩
