以数据要素共享为基础的数字经济,既创设了经济发展的新形态,也加大了以数据为载体的个人信息泄露风险,而且呈现出规模化的泄露趋势。面对海量个人信息泄露风险,基于权利的个人信息保护模式无力实现法治的预防功能,而基于风险的个人信息保护模式随之兴起。2025年2月12日,国家互联网信息办公室发布《个人信息保护合规审计管理办法》,从平台治理角度对信息保护义务作出详尽规定。然而,该办法中的个人信息保护,仍然延续了传统“义务群”构成的混合方案,个人信息主体在“义务群”中处于被决策地位而丧失真实的“自决权”,而且该办法存在大量无相应法律责任的条款,因而只能被称为个人信息保护的“未完成方案”。在数字经济时代,构建以风险预防为导向的个人信息保护体系,关键在于如何从事后的刑事保护逐步过渡到事前的民事和行政保护,形成扩张但不过度的保护体系,为此需要基于民行刑一体化对个人信息保护体系进行重新审视。 一、数字经济时代个人信息保护立法的衔接断层与法治困局 数字化的深刻转型变迁赋予了个人信息丰富的社会意义,削弱了个人信息的自主决定性,从根本上改变了个人“信息产生、获得、使用、传播的方式……信息分享和利用已成为常态,个人信息因此具有社会属性,其现实基础在于信息由个人生产却脱离其控制”①。在数字经济时代,以数据为主要存在形式的个人信息不再专属于个人。鉴于个人信息具备强大的生产潜能,因此促进个人信息的流通共享与资源化利用,是构建以数据为关键要素的数字经济的重要环节。这意味着,数字经济时代个人信息的合理定位,必须兼顾国家层面的数据安全、社会(经济)层面的产业发展与个体层面的权利保护,在个人信息的个人属性与社会(经济)属性之间寻求平衡,②拓展个人信息保护的法治格局,由此也引发了个人信息保护与利用的制度平衡问题。在当前个人信息保护立法已经初步成型、司法执法加速演进的数字经济时代,如何构建个人信息保护体系成为破题之关键。 (一)碎片化立法阻碍个人信息保护体系的标准塑造 在前数字经济时代,我国关于个人信息保护的立法规定散布于各种规范性文件之中,立法的碎片化特征明显。事实上,涉及个人信息保护的规范性文件的数量虽然不少,但是这些规范性文件或仅宣示性地提及个人信息应当受保护,或同质化地规定个人信息保护的一般规则,缺乏具体可操作的实体规则,导致个人信息保护面临规范供给不足的困境。在数字经济时代,受个人信息资源化利用与企业规范化改革双重压力的传导与推动,有关个人信息保护的立法快速完善,尤其是在《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)颁布实施之后,与之相配套的行政法规、部门规章、地方规范性文件等呈现出爆发式增长态势,这为个人信息保护提供了立法依据,也在某种程度上加剧了立法的碎片化趋势。 事实上,当前碎片化的立法规范使得个人信息保护体系中的标准难以有效确立,特别是当下的个人信息保护立法呈现出前数字经济时代与数字经济时代并存的特性,立法规范之间罅隙丛生,导致个人信息保护法律难成体系。从现行有效的立法规范来看,涉及“个人信息”这一关键词的法律有146部、行政法规有159部、司法解释及司法解释性质文件有225部、部门规章及部门规范性文件有2882部,诸多规范在内容上交错重叠甚至彼此冲突。③例如,2019年3月2日国务院《快递暂行条例》、2019年4月10日公安部《互联网个人信息安全保护指南》等,均将个人信息主体同意甚至授权同意作为个人信息处理的基本原则,而《个人信息保护法》总则中并未直接规定同意原则,仅在第13条中将取得个人信息主体同意作为个人信息处理的合法性基础之一。换言之,《个人信息保护法》没有将个人信息主体同意上升到基本原则层面,意在为个人信息的流通共享留下充足空间。在《个人信息保护法》的具体实践中,较低标准的“推定同意”在个人信息处理中得到广泛运用,比如在自动化决策中收集非敏感个人信息、④人脸识别身份认证、⑤已公开个人信息的处理等场合,⑥根据其使用场景和处理个人信息的目的即可推定个人信息主体同意而无须经过现实同意。所谓“推定同意”实质上是一种立法预设,只要满足某些条件就类型性地认为个人信息主体存在“同意”,事实上降低了“同意”的标准,扩张了个人信息流通共享的空间。在此意义上,基于数字经济时代特性并充分激活个人信息流通共享价值的《个人信息保护法》在基本理念层面与之前的立法规范存在较大分歧。尽管基于新法优于旧法、上位法优于下位法的法理规则,《个人信息保护法》的颁布实施极大地缓和了立法碎片化带来的规范冲突问题,但由于目前尚未完成对旧法的整合清理,加之司法执法实践不断续造新兴规则,规范重叠与规范冲突问题并没有得到实质解决。 (二)个人信息保护立法断层导致保护标准之间脱节 在体系性考察民行刑法律规范之后可以发现,我国个人信息保护立法存在明显的立法断层,导致具体的保护标准在司法实践应用中存在脱节现象。从立法流变来看,我国个人信息保护立法总体呈现出“逆规律”的演进态势,即在前置法没有颁布实施的前提下,采取刑事立法先行的方案,率先通过刑事制裁打击严重侵犯个人信息权益的行为,而与之相对应的民事和行政立法却长期阙如,⑦因此刑法与民法、行政法在保护标准上难以形成有效衔接。事实上,我国从2003年就着手部署《个人信息保护法》起草工作,其间经过多次摇摆停滞,直至2021年《个人信息保护法》才得以颁布实施。期间,刑事立法早已完成侵犯个人信息行为的犯罪化,其中,2009年《中华人民共和国刑法修正案(七)》将出售、非法提供公民个人信息行为犯罪化,2015年《中华人民共和国刑法修正案(九)》增加了非法获取类型,将该罪修改完善为侵犯公民个人信息罪。换言之,刑法在民法和行政法没有规定个人信息权利及个人信息国家保护义务的情况下,提前完成了个人信息刑事保护标准的构建,而在缺乏民法与行政法提供前置性参照的前提下的标准设置则容易引发争议。从立法路径分析,个人信息首先作为私权利存在,⑧个人信息保护立法宜遵循先私法后公法的基本逻辑,刑法作为最后序列的保障法,本应在民法、行政法完善之后再行建构个人信息保护制度。先确立保障法后确立前置法的立法路径,确实为遏制严重侵犯个人信息权益的行为提供有效保障,“为保护公民的人身、财产和个人隐私及正常的工作、生活不受侵害和干扰,保护公民个人信息不被泄露”⑨发挥了重要作用。然而,没有私法作为支撑的个人信息犯罪化立法,功绩与弊端并存,它使得刑法成为“在先的管理法”,不仅在司法适用中存在诸多问题,而且随着后来民法、行政法的相继完善,民法与刑法、行政法与刑法之间的立法断层问题越发明显。
