一、问题的提出 2020年5月28日,第十三届全国人民代表大会第三次会议通过《中华人民共和国民法典》,其一改此前零散、碎片化的立法进路,首次在法律层面系统确立了个人信息保护制度,①以“适应信息化社会的要求”。②2021年11月1日,《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)生效实施。短短一年半间,民法典与个人信息保护法相继推出,为我国的个人信息保护搭建起了法律框架。③但即便有了基本框架,法学界对于个人信息的法律性质、法律保护的强度以及机制仍然有争议,就三个关键问题依旧是言人人殊:第一,个人信息权益的法律性质为何?第二,对个人信息应当给予何种强度的法律保护?第三,多种个人信息保护法律机制之间是何关系?这些争议并未因民法典或个人信息保护法出台而平息,若不从学理上予以澄清和解决,就无法确切地回答个人信息保护究竟“保护什么”“保护多少”以及“如何保护”。 针对上述问题,既有研究从部门法视角出发展开讨论,形成了针锋相对的观点。然而,这些讨论很大程度上是一种无谓争论,无法有效回应上述难题。本文从宪法视角出发,揭示部门法视角的局限与不足,并在此基础上明确个人信息权益的法律性质,分析个人信息法律保护强度的设定,探讨多种个人信息保护法律机制的协调。 二、个人信息权益的法律性质 (一)个人信息权益的公法权利和私法权利二重属性 个人信息权益的法律性质决定了个人信息保护法律制度的基本性质,也影响其保护强度和机制。在此问题上,基于部门法视角的既有研究形成了两种观点:一是民法学者普遍主张的“排他性的私法权利说”,认为民法典第111条规定“自然人的个人信息受法律保护”,该条位于民法典第一编“总则”第五章“民事权利”,故个人信息属于一种民事权利或权益殆无疑义,④“自然人对个人信息享有的是民事权益,而非公法上的权利”。⑤二是行政法学者提出“排他性的公法权利说”,认为“人格权是一项传统的民事权利”,而个人信息受保护权“是随着计算机大规模采用才出现的新事物”,“个人信息保护是信息时代的一项全新挑战,个人信息控制权是需要通过个人信息保护法确立的一项新型公法权利”,其目的在于将“信息主体的权利转变为信息控制者的相应法律义务”,“违反法律义务就等于是对信息主体权利的侵犯”,从而使“信息主体对抗信息控制者信息处理行为”。拥有了作为新型公法权利的个人信息受保护权,“信息主体不但可以对抗平等的民事主体,也可以对抗公权力部门,国家机关同样要尊重和保护个人的信息控制权”。同时,“违反公法义务会导致公法上的法律责任,同时导致权利人损害的,当然也要承担民事侵权责任”。⑥个人信息保护法在第二章“个人信息处理规则”辟专节确立“国家机关处理个人信息的特别规定”,可视为肯认个人信息的公法权利属性。 那么,个人信息到底指向的是一种私法权利还是公法权利?归结起来,民法学者秉持的“排他性的私法权利说”主要基于以下五点理由:第一,立法确认论。如有学者指出若个人信息不是民事权利,则“立法者不可能在作为民商事领域基本法的《民法典》中做出规定,更不会在其总则编的‘民事权利’章中加以规定”。⑦第二,市场交易论。如有学者认为“需要将个人信息权益规定为民事权利,只有民事权利可以遵循市场经济的基本法律——合同法而进行交易”。⑧第三,限制公权论。如有学者批评此前发表的《中华人民共和国个人信息保护法(专家建议稿)》“将个人信息受保护权利定性为公法上的权利,导致过于强调个人信息保护法的行政法乃至刑法规范”,主张“尽管个人信息受保护权的使用、收集过程中存在着行政管理部门的公法行为,但这只需要规定政府部门在信息管理过程中的职责与责任即可,个人信息保护法的核心内容应是民法规范,政府部门的公权在个人信息领域不宜膨胀,而对信息主体私法权利的承认本身就是对公权的一种限制”。⑨第四,追责救济论。如有学者认为“只有民事责任是违法行为人向受害人承担的,民事责任主要形式是赔偿损失,以恢复被侵害人的权益为目的,只有民事责任能真正弥补信息主体的损害”。⑩第五,法律关系论。如有学者强调“个人信息的处理者主要分为两类,一是行政机关、司法机关等国家机关,另一类是非国家机关的其他民事主体。二者在处理目的、合法性基础等方面存在不同,但不因此导致自然人与处理者之间关系的区别。信息处理者与自然人之间的法律地位是平等的。国家机关与非国家机关,均负有不得侵害自然人民事权益的义务。作为民事权益的个人信息权益,可以对抗来自权利主体之外的任何组织或个人的侵害和损害。在私权利保护的问题上,不存在公权力机关比非公权力机关处于更优越地位的情况,否则违背法治国家的原则”。(11) 上述五点理由均难以成立。第一,立法确认论的问题在于,虽然民法典确实把个人信息规定为一种民事权利,但这并未排除其同时作为一种公法权利。在民法典之前,早已有一系列法律将个人信息作为一项可以对抗国家公权力侵犯的公法权利,包括刑法(第253条)、护照法(第12条)、居民身份证法(第6条)、国家情报法(第19条)等。(12)民法典既不能覆盖也不会推翻这些已经存在的法律规定。第二,限制交易论正确指出了个人信息只有作为民事权利才能进行市场交易,但这同样不妨碍个人信息也同时具有公法权利的性质。正如宪法第13条把公民的合法私有财产界定为公法上的基本权利,并不影响物权法第64条规定公民的私人财产所有权,更不会阻碍私人财产作为民事权利参与市场流通。第三,限制公权论误解了公法权利,后者从学理上讲本意是指“主观公权利”,处理的是“个人在法秩序之下的‘基本位置’问题”,其出现恰恰反映了限制国家权力、张扬私人权利的政治哲学。(13)将个人信息界定为公法权利,非但不会带来公权在个人信息领域的膨胀,反而正是为了扎牢控制公权侵犯个人信息的“笼子”。第四,追责救济论突出了民事责任和救济的价值,但偏废了公法责任和救济的功能。即便是主张个人信息仅仅是民事权利的学者,也不得不承认“公权力机关侵害私权利,私权利主体同样可以要求其承担法律责任”,但并非通过民事诉讼的途径,而是根据行政诉讼法和国家赔偿法来获得保护。(14)第五,法律关系论不区分公权机关和民事主体这两种不同性质的信息处理者,认为所有“信息处理者与自然人之间的法律地位是平等的”,其出发点在于避免“公权力机关比非公权力机关处于更优越地位的情况”。这固然无可厚非,但没有考虑“公法遁入私法”的风险,即公权机关假借民事主体的身份来逃脱公法限制,以形式平等掩盖实质不平等。事实上,在多个领域,这种风险早已成为现实。(15)
