从新兴权利到法定权利,个人信息权需要跨越立法的决断这道鸿沟。显然,个人信息权至今未能跨过这道鸿沟。在数字时代,保护个人信息已成为社会共识,没有人否认保护个人信息的重要性。然而,为什么人们只能被动地接受或等待法律的保护?法律为什么不能“名正言顺”地赋予人们个人信息权?是什么阻碍个人信息权成为一项法定权利?这些问题的答案可能要部分地归结于近年来在国内学界占据强势地位的个人信息利益保护论,该理论的核心观点是,确立个人信息权会阻碍个人信息公共利益的实现。
相应地,个人信息利益保护论至少存在以下几个问题:第一,个人信息利益保护论以经济利益或公共利益为第一性目标,否认个人信息中蕴含的人格利益,漠视数字时代公民个人信息中蕴含的人的尊严和自主性,加剧了个人在与平台权力、政府公权力的力量对比中的不平等。第二,个人信息利益保护论以后果主义的公共利益和社会效用最大化为标准,简单地将个人信息权与公共利益的实现对立起来。这种经验性预测缺乏必要的实证根据。第三,个人信息利益保护论集中关注实现个人信息中蕴含的公共价值,以及使个人信息的社会效用最大化,但对于效用最大化后产生的利益应如何分配,则缺乏应有的关注和重视,最后的结果很可能是处于强势地位的政府和企业平台获取了更多的利益,而公民个人信息成为被剥夺的“剩余价值”。第四,个人信息利益保护论将个人信息权描述为“个人信息受保护权”,表现了其内在矛盾与纠结。当人们的个人信息权受到侵害时,相关论者却说个人信息受保护权受到了侵犯,试图以此限制个人信息权的积极权能,在逻辑上混乱且无意义,实乃“名不正则言不顺”。
权利具有不同于利益的特殊规范力(normative force)。个人信息利益保护论主张对个人信息采取利益保护的方式,将在后果上造成不同于权利保护的“实践差异”(practice difference)。
第一,个人信息权是一种存在于数据处理过程中的权利。一方面,个人信息权是自然人在个人数据处理过程中所享有的权利,这意味着个人信息权主要不是一种静态的绝对权利,而是自然人在与数据控制者互动的过程中,在参与到数据处理活动中时所触发和享有的一系列权利。个人数据处理活动即数据控制者对数据的收集、记录、存储、分析、使用、修改、披露、删除或销毁等活动。如果一个人完全不参与(主动地或被动地)任何数据处理活动,不使用任何网络服务或者应用程序,那么个人信息权对这个人的实际意义将非常有限。另一方面,个人信息权是一种存在于数据处理过程中的权利。这同时意味着,个人信息权并非一种排除他人占有和使用的绝对权,而是兼顾个人信息的所有方与使用方双方需求和利益的包容性权利。
第二,个人信息权是一种对个人数据的有限控制权。基于个人信息权,自然人可以在一定程度上自主决定是否参与数据收集、使用、分析等数据处理活动,享有同意权、访问权、删除权、更正权、拒绝权等数据控制权。作为一种数据控制权,个人信息权经常遭到误解或批判:一方面,个人信息的实际控制权在数据控制者一方,自然人无法真正掌控个人信息处理的各个环节;另一方面,在数字时代强调个人对个人信息的控制,将可能阻碍个人信息经济价值或所含公共利益的实现。本文认为,个人信息权作为一种数据控制权,并非同传统物权一样,意味着对物圆满状态的占有和实际控制,而是一种建立在数据处理实践中的、有限的数据控制权。也就是说,个人虽然不能实际控制对个人信息进行收集、存储、使用、分析的各个环节,但是至少可以自主决定是否同意相关服务提供者进行数据收集活动,在数据处理过程中享有访问权、删除权、修改权、拒绝权等对个人数据的部分控制权。在这个意义上,权利人对个人信息权的具体行使有赖数据控制者的积极配合。
第四,个人信息权的核心在于对人的主体性和自主性的尊重,其在本质上是一种人格权。在大数据时代的裹挟之下,我们每一个人几乎都是“数字人”。在我们无法真正实际控制对个人数据的各种数据处理活动的情势之下,我们唯一能做的就是赋予个人一些有限的、有时候也是别无选择的自主决定权,使我们有权利知道谁在收集我们的数据、收集我们的数据用来做些什么,使我们可以自主决定是否同意数据收集活动、是否要删除或修改相关数据。正是这些在实践中面临诸多挑战的自主决定权,体现了法律对人的主体性和自主性的尊重,这是个人信息权的意义和价值所在,也决定了个人信息权主要是一种人格权。申言之,个人信息权并非要求排除数据控制者的处理活动,而是要求数据控制者在数据处理活动中适当尊重个人的主体意愿,这既有利于建立数字经济的信任基础,也符合我们的道德直觉——数据控制者不能未经允许就收集使用我们的个人数据并以此牟利。
本文采用哈勒尔的权利证成框架,分别对个人信息权进行内在证成与外在证成。个人信息权的内在证成是对个人信息权的独立证成。作为个人信息权的内在理由,人的尊严与自主性可以独立证成个人信息权是一项独立的权利。个人信息权的外在证成是对个人信息权内在证成的补充。本文先对个人信息权进行内在证成,将外在证成留待下一部分讨论。
表1 “共同善”权利观的两个版本与权利证成之间的关系 导出到EXCEL
“共同善”权利观的两个版本
与权利证成的关系
强版本
“共同善”(作为权利证成的独立理由)
弱版本
权利人的利益(内在理由)+“共同善”(作为外在理由,为权利证成提供辩护)
个人信息利益保护论者反对个人信息权的核心论点是,确立个人信息权会阻碍个人信息“共同善”的实现。本文认为,在个人信息权与“共同善”之间存在一种和谐共生关系而非对立关系。个人信息利益保护论者强行将个人信息权与数字经济的发展对立起来,人为地制造了从法律上确认个人信息权的理论障碍。
图1 个人信息权的构造层次直观图 下载原图
从域外的立法实践来看,欧盟《一般数据保护条例》和美国加利福尼亚州《消费者隐私法案》均规定了救济个人信息权的私人诉权。欧盟《一般数据保护条例》第79条规定了自然人针对个人信息控制者或处理者获得有效司法救济的权利,同时规定了个人向监管机构申诉的权利,以及个人针对监管机构获得有效司法救济的权利。美国加利福尼亚州《消费者隐私法案》规定了针对某些数据泄露行为的私人诉讼权,当个人信息在未经授权的情况下被访问、泄露、窃取或披露时,法律允许消费者在与州总检察长协调后起诉索赔。比较而言,我国近日颁布的《个人信息保护法》第65条仅仅简要规定了个人向履行个人信息保护职责的部门进行投诉、举报的权利,第70条则规定了当个人信息处理者违反规定处理个人信息时的公益诉讼机制。立法者未来应当开放针对个人信息侵权的私人诉权以及个人针对监管机构的相关决议获得有效救济的权利。
在数字时代,法律确立个人信息权,体现了对人的尊严与自主性的尊重,是对数字科技异化发展的边际约束,也是实现人民对美好生活需要的“共同善”的必然要求。我国应将对个人信息权的保护作为整个法秩序的共同使命,以《宪法》上的个人信息权作为构建个人信息法律保护体系的基础,通过将其主观防御功能和客观价值秩序功能作用于整个法律体系,最终形成公法和私法的双重保护进路。《民法典》和《个人信息保护法》的颁布,并不意味着法律对个人信息采取权利保护抑或利益保护的“盖棺定论”。日后,有权机关可以通过立法解释或司法解释对个人信息权的权利属性进行确认,为个人信息权“正名”,不能也不应回避关于个人信息的权利话语。