内容提要:个人信息权益的权益构造,包括内部构造和对外部其他主体相关权益的支配关系两个部分,由个人信息保护法治的价值取向所决定。个人信息权益的内部构造由“本权权益”与保护“本权权益”的权利构成。个人信息权益之“本权权益”主要包括人格尊严、人身财产安全以及通信自由和通信秘密等利益,但不包括财产利益;保护“本权权益”的权利主要包括同意(或拒绝)的权利以及知情、查阅、复制、转移、更正、补充、删除、请求解释说明等权利。个人信息权益对处理者和国家机关获得的个人信息数据同时具有外部约束力。处理者对合法处理所得的个人信息数据享有财产利益,但该数据受到个人一定程度的支配,除非其已经过匿名化处理。国家机关获得的个人信息数据同样受制于个人信息权益,但是国家机关对个人信息数据不享有财产利益,并且应当依法依规向社会积极开放其控制的数据资源,释放政府数据红利。
关 键 词:个人信息权益 个人信息数据 内部构造 外部约束力 “两头强化,三方平衡” Rights and Interests relating to Personal Information Personal Information Data Internal Structure External Control "Strengthening Two Sides and Balancing Three Parts"
我国个人信息保护法已经颁布。法律使用了“个人信息权益”“个人在个人信息处理活动中的权利”等概念,《中华人民共和国民法典》(以下简称《民法典》)也明确保护个人信息,同时规定网络虚拟财产和数据作为财产性质的权利(权益)受到法律保护。从理论上深刻揭示个人信息权益的权利和利益构造,澄清个人对其个人信息在人格尊严、人身财产安全以及通信自由和通信秘密等方面的利益及其个人信息的非财产性,个人对一般个人信息处理者①因处理个人信息而获取的相关个人信息数据的财产利益之约束力,以及国家机关对其处理的个人信息之非财产利益和公共属性,对于我们正确理解我国个人信息保护法的价值取向和实施相关规定,保护个人的个人信息权益、界定个人信息处理者相关财产权益的性质、促进国家机关依法依规处理个人信息及开放公共数据,都具有重要意义。
一、基于“两头强化,三方平衡”理论的个人信息权益构造
在个人信息保护法治中,存在一组需要相互平衡的利益关系:一方面,个人信息的处理可能给个人的人格尊严等利益带来一定风险;另一方面,个人信息的合理利用和数据的自由流动是发展数字经济和提升政府治理能力的重要推动力。基于此,世界各国普遍将平衡个人、信息业者②(一般个人信息处理者)与国家三者之间的关系作为个人信息保护立法的主要目的。欧盟《通用数据保护条例》第1条第1款规定:“本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。”其“前言”部分第2条也明确指出:“本条例意在促进创立一个自由、安全与正义的领域和经济联盟、推动经济和社会进步、加强欧盟内部市场的经济融合,以及维护自然人的福祉。”印度、菲律宾、南非、日本等国家的个人信息保护立法也作出了与此相类似的规定。③同时,以识别性为判断标准的个人信息范围非常广。为了妥善实现这组利益关系的平衡,法律有必要对个人信息作出适当分类,并为不同类型个人信息的处理制定相应的规则。世界各国普遍采取的分类方式是将个人信息划分为敏感个人信息与一般个人信息,并对前者进行特殊保护。④例如,欧盟《通用数据保护条例》第9条对特殊类别个人数据的处理作出了特别规定。美国加利福尼亚州于2020年11月3日通过的《加州隐私权法案》在《加州消费者隐私法案》的基础上,对敏感个人信息进行了单独归类、定义并设定了专门的保护条款。⑤由此可见,构建以“两头强化,三方平衡”⑥为理论基础的个人信息保护法律制度已成为世界趋势。个人信息保护法治的价值取向不是单一的,而是多元、兼容并包的;其追求的不是个人、信息业者(一般个人信息处理者)或者国家某一方利益的全部实现,而是三方利益的相互平衡。各方主体在其核心利益得到法律充分保护的前提下,应当将其非核心利益让渡给其他主体,从而实现“多赢”和“共和”。
与国际趋势相适应,我国的个人信息保护法律制度也遵循“两头强化,三方平衡”的理念。《关于〈中华人民共和国个人信息保护法(草案)〉的说明》指出:“应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进信息数据依法合理有效利用,推动数字经济持续健康发展。”⑦基于此,自草案一审稿以来,个人信息保护法始终将保护个人信息权益、规范个人信息处理活动与促进个人信息合理利用作为其立法目的。⑧《数据安全法》第7条规定:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”在私法领域,《民法典》第111条和第127条对个人信息和数据的私法保护分别作出规定,将前者作为人格权益予以保护,将后者作为财产权益予以保护,以平衡不同民事主体之间的利益关系。2021年7月6日颁布的《深圳经济特区数据条例》同样遵循了前述价值取向,其第二章、第三章和第四章分别对个人数据、⑨公共数据以及数据要素市场作出规定,展现了数据的不同价值维度。依照《深圳经济特区数据条例》第9条、第37条、第58条以及其他相关条文的规定,其既保护自然人与个人数据相关的各项合法权益,也保护公共管理和服务机构对数据享有的社会管理利益,同时保护市场主体对数据产品和服务享有的经济利益。法学界也有观点认为,个人信息保护必须结合本国政治、经济、文化等社会环境,提炼社会的共同认知,形成既保护个人尊严和自由,又能够促进个人信息合法使用的规则。⑩要实现大数据利用与个人信息保护之间的协调发展,离不开信息主体、信息控制者、管理者三者之间的多维治理结构。(11)
为了实现个人、信息业者(一般个人信息处理者)与国家三方利益的平衡,《个人信息保护法》确立了多层级、多维度的个人信息保护规范体系。从《个人信息保护法》的体例来看,其确立的法律规范大致可以划分为三个层级:第一个层级是个人的个人信息权益。《个人信息保护法》第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”该条文位于立法目的条文之后,规定个人信息是一项个人享有的权益,将个人信息对于个人的人格尊严等价值作为立法中首要考虑的因素,(12)同时也是其他个人信息保护法律规范展开的基石。第二个层级是个人信息处理活动中各方的权利义务关系。首先,《个人信息保护法》第5-9条规定了个人信息处理的基本原则,构成有机、完整、统一的价值体系,为法律解释与规范续造提供了相应的依据;其次,《个人信息保护法》第二章规定了个人信息处理的一般规则与特别规则,构建起个人信息处理活动规范化的基本框架;最后,《个人信息保护法》第四章、第五章和第六章分别对个人在个人信息处理活动中的权利、个人信息处理者的义务以及履行个人信息保护职责的部门作出规定,从个人、信息业者(一般个人信息处理者)与国家三个维度出发,明确三方主体在个人信息处理活动中所扮演的不同角色。第三个层级是违法行为的法律责任,其中既包括处理者违法处理个人信息的民事责任、刑事责任和行政责任,也包括国家机关不履行个人信息保护义务而应当承担的行政系统内部责令改正、给予处分等公法上的责任,为个人信息权益提供法律上的综合保护。
在个人信息保护规范体系中,个人信息权益是一个基础性、关键性的概念。个人信息权益的内涵决定了个人的何种利益在个人信息处理活动中能够得到保护,其外延决定了个人对其个人信息的支配力能够延伸到何处。“两头强化,三方平衡”理论作为个人信息保护法的一种基础理论,在个人信息权益构造的教义学阐释中发挥着决定作用。“两头强化,三方平衡”理论强化敏感个人信息的保护表明,个人信息权益的核心利益在于人格尊严以及人身财产安全等利益,法律对个人信息权益的保护应当围绕此等利益的保护展开;强化一般个人信息的利用表明,个人应当将其非核心利益让渡给信息业者(一般个人信息处理者)与国家,此等非核心利益不属于个人信息权益的范畴。个人信息权益的构造服务于个人、信息业者(一般个人信息处理者)与国家之间的利益平衡,因此有必要识别三方主体在个人信息处理活动中的利益需求,并对权利和利益进行适当配置,以促进三方平衡的实现。
一般而言,一项具有“对世性”的权利(权益)由“本权权益”与保护“本权权益”的权利两个方面构成。一方面,法律规定权益主体享有某项权益必然表明其享有受法律保护的特定利益,(13)而“本权权益”即是此等利益的类型化集合。在部分情况下,法律会对某项权益之“本权权益”的内容作出明确规定。例如,依照《民法典》第240条的规定,所有权人对自己的不动产或者动产,依法享有占有、使用、收益和处分的权利。所有权人享有的此等权利即属于所有权的“本权权利”。在部分情况下,法律仅规定权益主体享有某项权益,但对其“本权权益”的内容未作出规定,此时需要通过法律解释对“本权权益”的内容予以明确。例如,《民法典》第1032条仅规定自然人享有隐私权,但未规定自然人对其隐私具体享有何种利益。学理上一般认为,隐私权之“本权权利”的内容是自然人有权根据其自主意愿维护其隐私的私密状态,或者以某种方式利用、公开其隐私。(14)另一方面,某项权益经由法律规范予以确认后即受到法律保护,其他主体不得非法侵害。例如,依照《民法典》第3条的规定,民事主体的合法权益受法律保护,任何组织或者个人不得侵犯。当“本权权益”遭受非法侵害时,法律在多数情况下会赋予权益主体相应的救济措施,由此产生权益主体保护“本权权益”的权利。例如,依照《民法典》第235条和第236条的规定,当物权遭受非法侵害时,权利人可以主张返还原物、排除妨害或者消除危险等物权请求权。此等请求权本身不产生或者包含任何实际的人身和财产利益,因而并非物权的“本权权利”,而是权利人保护其“本权权利”的法律手段。
与典型的民事权益相比,《个人信息保护法》所规定的个人信息权益在权益构造方面存在一定的特殊之处。个人信息权益的构造取决于个人信息处理活动中个人、信息业者(一般个人信息处理者)以及国家三方主体之间的利益关系,因此在对个人信息权益的构造作教义学阐释时,不仅应当探讨其内部构造,还应当探讨其对处理者和国家机关的外部约束力,由此才能清晰地界定个人信息权益的内涵与外延。
就内部构造而言,个人信息权益同样由“本权权益”与保护“本权权益”的权利构成。虽然《个人信息保护法》未对个人信息“本权权益”的具体内容作出明确规定,但可通过法教义学的方法对相关利益进行类型化分析和揭示,进而确定其具体内容。在《个人信息保护法》颁布前,法学界对个人信息“本权权益”的民事权益性质已有较为充分的认识,(15)《民法典》第111条以及第1034-1039条也将个人信息规定为一项民事权益。在对个人信息保护法草案二审稿进行审议的过程中,有的常委委员和社会公众、专家提出,我国宪法规定,国家尊重和保障人权;公民的人格尊严不受侵犯;公民的通信自由和通信秘密受法律保护。制定实施个人信息保护法对于保障公民的人格尊严和其他权益具有重要意义。(16)基于此,正式通过的《个人信息保护法》第1条增加规定了“根据宪法”制定本法的内容,彰显出个人信息“本权权益”的宪法权益性质。
由于个人信息“本权权益”兼具公法与私法双重性质,其保护不仅需要个人积极参与,同时还有赖于国家规制。(17)作为宪法权益,个人信息权益的保护需要国家落实“个人信息国家保护义务”,(18)主动介入并防范个人信息处理活动中可能存在的风险。作为民事权益,个人信息权益的保护需要其他民事主体履行相应的民事义务,并在不法侵害此等权益时承担相应的民事责任。此外,个人信息权益的保护还涉及刑法、消费者权益保护法等诸多法律。作为主要规范个人信息处理活动的法律,《个人信息保护法》第六章对“履行个人信息保护职责的部门”作出规定,要求国家主动介入个人信息处理活动并积极履行相应职责,有利于营造良好的外部制度环境,促使处理者更好地保护个人信息权益。与此同时,《个人信息保护法》第四章还规定了个人在个人信息处理活动中享有的权利,为个人信息权益的保护提供了特别的法律手段。此等权利归属于特定个人,可由个人主动行使,在个人信息“本权权益”的保护方面发挥直接作用。由此可见,个人信息权益的保护需要整个法体系的协同配合,而在《个人信息保护法》的框架下,个人信息权益的内部构造依然由“本权权益”与保护“本权权益”的权利构成。
就外部约束力而言,个人信息经过处理者或者国家机关处理后成为“个人信息数据”。一方面,个人信息数据属于处理者和国家机关所控制的数据的组成部分,二者对处理个人信息而获得的个人信息数据是否享有某种权益,应当予以探讨和揭示;另一方面,个人信息数据承载着个人信息,处理者或者国家机关处理个人信息数据包含数据处理和个人信息处理两个维度,后者应当受到个人信息权益的制约。个人信息权益的外部约束力,即表现为个人对处理者和国家机关获得的个人信息数据的支配力。
综上,本文将从“本权权益”与保护“本权权益”的权利两个方面解析个人信息权益的内部构造,并在此基础上分别讨论个人信息权益对处理者和国家机关处理个人信息获得的个人信息数据的外部约束力,由此形成本文第二至第五部分。
二、个人信息权益的“本权权益”
(一)个人信息“本权权益”的具体内容
我国《宪法》第33条第3款规定:“国家尊重和保障人权。”在大数据时代,数字科技的不断发展对人权保障提出了新的要求。有观点认为,目前人类社会正在迎来第四代人权,而数字人权是其中最显赫、最重要的新兴权利。(19)由于个人信息具有可识别性,其连接着作为主体的人与作为客体的信息,处理者处理个人信息的过程同时也是不断识别特定个人的过程。但是,以算法为代表的分析工具在处理个人信息时并未考虑其承载的人格因素,由此导致个人面临在个人信息处理活动中被客体化的风险。“在数字科技面前,我们必须警惕和防范数字科技的滥用,杜绝数字科技对人权的侵害。”(20)故此,国家有必要以人权保障为价值取向,通过立法形式确立对个人信息权益的保护,从而确保个人在个人信息处理活动中重拾主体地位。《个人信息保护法》第1条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”其中“根据宪法”的措辞表明,个人信息权益保护对于人权保障具有重要意义。具体而言,个人信息权益所涵盖的个人利益大致可以分为以下三类。
1.个人的人格尊严
《宪法》第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”《民法典》第109条规定:“自然人的人身自由、人格尊严受法律保护。”通过规范个人信息处理活动,在不限制个人信息自由流动和利用的前提下,确保个人信息处理不逾越人格尊严底线,是我国宪法和民法的共同要求。(21)此等利益具体而言又可分为四个方面:
其一,个人信息处理可能将个人自治置于危险之中,因为它可能妨碍个人在没有通过扭曲或外力操纵的情况下自主选择并自由生活的能力。(22)例如,在商业领域,企业通过收集和分析个人的浏览记录、购买记录、交易方式等信息,可以对网络用户进行用户画像和精准营销。(23)基于大数据的个性化服务可以提升商业效率,但同时也会导致个人困于信息茧房,使其只能接受到有限的、定制化的信息,限制其对世界的认知,(24)并进一步影响与引导个人的观点和行为,减少其作出自主选择的可能性。当大数据技术被滥用时,企业甚至会借个性化之名对个人进行强迫、说服或操纵。此种负面效应还有可能不断累积并导致连锁反应,对个人生活及其人格的自我发展产生持久的影响。(25)个人作为独立主体,对其个人事务应当有权自主决定,而不是在个人信息处理活动中“被决定”。(26)
其二,个人信息处理可能导致个人的“信息化形象”与其真实人格不符。在信息社会,个人的“信息化形象”是其人格的外在标志,也是他人认识的重要媒介。但是,个人信息作为处理活动所依赖的原材料可能不准确、不完整,或者处理者采用的处理方式可能存在缺陷,个人信息处理所勾勒出的“信息化形象”与个人的真实人格可能存在一定偏差,进而导致个人的人格尊严遭受侵害。只有消除个人对“信息化形象”被他人操控的疑虑和恐慌,保持其信息化人格与其自身的一致性而不被扭曲,个人才能有自尊并受到他人尊重地生存与生活。(27)
其三,个人信息处理可能引发针对特定个人或者群体的歧视,制造或者加剧社会不平等。一方面,处理者可能会利用技术手段有意地追求某种歧视性目的。例如,部分商家滥用市场支配地位,利用大数据分析、算法等技术手段分析客户的个人信息,基于成本或正当营销策略之外的因素,对同一商品或服务在同等交易条件下设置不同价格,进而侵害消费者的公平交易权与知情权等合法权益。另一方面,个人信息处理可能会成为社会中原本存在的隐性歧视得以再次表达的新载体。个体层面的内隐偏见和社会层面的结构性不平等会不断诱导算法输出否定个人尊严、错配社会资源的歧视性结果,缓慢但持续地侵蚀社会关于平等的基本共识。(28)例如,谷歌公司的某种搜索引擎算法可能导致非洲裔美国人的相关名称与犯罪相关的信息被更多地联系在一起,尽管程序员在设计算法时并未主动追求此种结果。(29)个人信息处理所带来的隐性歧视在大数据时代普遍存在,个人在很大程度上也很难察觉或者证明自己正在遭受歧视。而算法等大数据技术理应有更多社会担当,在法律治理的框架下消除或减少歧视,促进社会平等的实现。(30)
其四,个人信息处理可能导致个人的私密信息遭受刺探、侵扰、泄露或公开,对个人隐私构成侵害。依照《民法典》第1032条第2款以及第1034条第3款的规定,私密信息属于个人信息与隐私的重合部分。随着侵入性技术的发展,处理者可以发掘更多涉及私人生活的个人信息。当私密信息被不受限制地收集和分析时,个人会感受到自己被窥探或监视,并丧失以私人和舒适的方式行动的自由,以及减少社会化关注、使其个性分支得以生长的自由。(31)私密信息的曝光还可能构成对个人人格的欺辱,导致其遭受精神上的痛苦。为了维护个人作为社会成员的受尊重地位,法律应当保护其私密信息不为他人所知或干预的利益。
2.个人的人身财产安全
作为社会交往的工具,个人信息本身没有社会危害性。但是,个人信息具有识别特定个人的功能,如果其被用于从事违法犯罪活动,就有可能危害到个人安全。(32)例如,犯罪分子掌握的个人信息越多,就越容易描绘出信息主体的个人特征,进而利用其实施网络攻击、精准诈骗、身份盗窃、敲诈勒索等犯罪行为。(33)尤其是敏感个人信息的泄露很有可能引发社会中存在的固有歧视,使得个人的人格尊严受损,或者导致个人的人身财产安全遭受下游违法行为的严重威胁。在《中华人民共和国民法总则》的制定过程中,徐玉玉被电信诈骗案(34)以及清华大学教授被骗案(35)等电信诈骗案件使得个人信息保护问题受到立法机关的高度重视。(36)近年来,诸如Facebook数据泄露事件等数据安全事件的频繁发生也不断激起社会公众对个人信息安全的普遍担忧。(37)
严格来说,当个人信息被非法利用进而导致个人的人身财产安全面临威胁时,个人信息在其中仅起到媒介或者手段的作用,最终遭受侵害的往往是个人的其他人身财产权益。(38)但是,个人信息在保护个人的人身财产安全方面具有“闸口效应”。只要个人信息这一“闸口”能够得到良好的控制,个人遭受侵害的后续风险便会显著降低,故此有必要将个人的人身财产安全类型化为一种个人信息承载的个人利益。通过个人权利的制衡,可以有效防止处理者对个人信息进行过度处理,确保其处理活动在收集、存储等环节符合目的原则的限制。例如,个人可通过不同意处理者收集其个人信息或者请求处理者删除其个人信息等方式降低其个人信息被非法利用的风险。在此意义上,个人对其个人信息享有的人身财产安全利益在一定程度上具有人格自决权的性质:个人的安全应当由自己决定,而非由处理者决定。
3.个人的通信自由和通信秘密
《宪法》第40条规定:“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”通信自由指人与人之间通过媒介进行信息交流与传递的自由,而通信秘密则指通信内容和其他通信信息不为其他人知悉或获取的权利。在个人信息处理活动中,个人的通信自由与通信秘密可能以多种形式遭受其他主体的非法侵害。例如,处理者以个人不同意处理其个人信息或者撤回同意为由拒绝提供通信服务,可能构成对通信自由的侵害;手机App等互联网应用擅自收集用户通讯录、短信内容、通话记录等信息,可能构成对通信秘密的侵害。(39)此外,处理者应当建立并完善个人信息安全保护制度,防止个人信息泄露事件的发生,《个人信息保护法》第9、51、56、59条等条文以及《数据安全法》《网络安全法》《深圳经济特区数据条例》等法律法规都对此作出了细致的规定。如处理者未能尽到保护个人信息安全的义务,遭到泄露的个人信息中可能包含与个人通信相关的个人信息,进而导致个人的通信秘密遭受侵害。故此,通信自由和通信秘密也属于个人信息权益所涵盖的个人利益。
(二)个人信息“本权权益”的权益定位
作为“本权权益”的个人信息权益承载着个人的人格尊严、人身财产安全以及通信秘密和通信自由等诸多利益,但其在保护方式上的“非主导性”或者“非直接性”决定了它会被界定为权益而不是权利,具体理由可分为如下三个方面:
第一,作为客体的个人信息无法为个人所单独控制。一方面,信息是人与人交流的产物,也仅在交流中才有意义和价值。(40)虽然个人信息与个人存在人格上的关联,但个人无法阻止他人在交流的过程中获取此等信息;相反,他人获取并使用其个人信息是其进行社会交往的必要工具。“一个人要进入社会或参加社会活动,就需要向他人披露、公开身份。封闭个人信息就意味着与世隔绝。从社会的角度出发,社会也需要利用个人提供的个人信息和散落于各处的、可被搜集掌握到的相关个人信息来了解、判断某个人。”(41)此外,数据化的个人信息往往由处理者收集、存储并加以利用,对于此等个人信息,处理者相较于个人享有更强的事实上的控制力。因此,个人信息客观上无法为个人所单独支配。另一方面,信息具有“公共品”的核心特征,即非竞争性和非排他性。一人对信息的使用不影响他人对其使用,信息也不会像其他物质产品一样随着使用而有所耗损,导致价值减少,(42)且信息可以同时被多人使用而互不排斥。(43)将信息分享给更多的人几乎不会给正在使用该信息的人带来额外成本,而阻止他人获取并使用特定信息的成本却非常高昂。因此,个人信息本质上具有公共性,不应当被个人所独占。(44)习近平总书记指出:“网络信息是跨国界流动的,信息流引领技术流、资金流、人才流,信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志。”(45)在信息时代,促进和保障个人信息的使用是发展数字经济,释放数据红利的前提。(46)如仅因为处于公共领域的个人信息与个人存在联系或具有识别性,即赋予个人对个人信息的排他控制权,使个人信息“私有化”,有失法律正当性,甚至与人类社会进步发展的制度基础相悖。(47)由此可见,对于个人信息权益,法律保护的不是个人信息本身,而是其背后的个人利益。将作为客体的个人信息置于个人完全的控制之下,在事实与理论上均缺乏可行性。这也导致法律不应当在个人信息上建构一项由个人享有的绝对性权利。
第二,只有在个人信息处理活动中,个人对其个人信息才享有法律应当保护的利益。个人信息保护要解决的核心问题是个人与处理者之间的“非对称权力结构”(48)或“持续性不平等信息关系”。(49)如此等关系不存在,个人信息权益之“本权权益”也将丧失存在的基础。《个人信息保护法》第72条第1款规定:“自然人因个人或者家庭事务处理个人信息的,不适用本法。”欧盟《通用数据保护条例》“前言”部分第18条也规定:“本条例不适用于自然人为与职业或商业活动无关的纯粹私人或家庭活动对个人数据进行的处理。私人或家庭活动可能包括通信往来及持有地址,或在该等活动的背景下进行的社交和网络活动。”由此可见,法律对个人信息的保护仅限于个人信息处理给个人利益带来威胁的特定情形,(50)不具有普遍性。正因如此,个人仅在个人信息处理活动中享有保护其“本权权益”的权利,且在多数情形下只能针对处理者,具有“对人权”的性质。(51)这也使得个人信息权益的性质与权利的绝对性相悖。
第三,个人对其个人信息享有的利益应当与其他主体的利益相平衡,并受到相应的限制。基于“两头强化,三方平衡”的价值取向,法律对个人信息的保护需要识别多方主体的利益需求,“承认与确保其核心利益的实现,让渡自身非核心利益而使他方的核心利益得以实现”。(52)欧盟《通用数据保护条例》“前言”部分第4条规定:“个人数据处理应以服务人类为要旨。个人数据保护权不属于绝对权利,应结合其社会功能考虑并根据比例原则与其他基本权利相互权衡。”因此,个人对其个人信息享有的利益必然会受到诸多法定限制。依照《个人信息保护法》第13条的规定,处理者虽然原则上应当基于个人同意而处理个人信息,但同时也存在较多的例外情形。如处理者依照该条第1款第2-7项处理个人信息,个人无权拒绝此等处理。欧盟《通用数据保护条例》第6条对此也作出了类似的规定。此外,《个人信息保护法》第四章以列举形式而非概括形式规定了个人在个人信息处理活动中的权利,其中第44条和第45条第1款还规定了权利行使的例外情形。这表明个人对其个人信息享有的控制较为有限且存在较多例外,其排他性尚未达到足以形成一项权利的程度。
(三)个人对其个人信息不具有财产利益
随着数字时代的到来以及数字经济的兴起,大数据蕴含的巨大经济价值得到激发,如何在法律上妥善安置此等利益并保护相关主体的合法权益,已成为法学界讨论的焦点问题。虽然作为海量数据集合的大数据具有可观的潜在经济价值,但可否由此推断出个人对其个人信息具有财产利益,存有疑问。对此,有观点认为,应当对个人信息中蕴含的商业价值给予财产权保护;(53)有观点认为,应当为用户配置基于个人信息的人格权和财产权的双重性权利;(54)也有观点认为,应当对数据的原发者(包括个人)赋予数据所有权。(55)前述观点均直接或间接地肯定个人对其个人信息具有一定的财产利益。本文认为,个人对其个人信息不具有财产利益,理由有如下两点:
第一,个人信息的经济价值存在“稀薄效应”。大数据蕴含巨大经济价值的原因之一在于数据具有“外部性”。数据的作用完全可能超出最初收集者的想象,也完全可能超越最初的处理目的。同一组数据可以在不同的维度上产生不同的价值和效用,如处理者能够不断发现、开拓新的使用维度,数据的能量和价值就将层层放大。(56)因此,只有当数据集合达到一定规模的时候,才能产生经济价值。(57)普通人的个人数据除非与其他来自相近社会经济类别的个人数据汇总在一起加以利用,否则并不值钱。真正蕴涵巨大经济价值的是政府以及数据企业所收集和存储的海量个人数据。(58)Facebook在2009年至2011年间收集了2万亿条能够“获利”的个人信息。通过比较Facebook公司的“账面价值”与“市场价值”,可得出每条个人信息都有约4美分的价值,这表明每个Facebook用户提供的个人信息的价值平均约为100美元。(59)考虑到数据的“外部性”,如每个Facebook用户将其个人信息单独出售,每条个人信息的价值还要远远低于4美分。由此可见,如将大数据整体的经济价值分散至个体层面,每个单独个人的个人信息的经济价值会被严重稀释,几乎可以忽略不计。此外,财产权益和经济利益之间不存在必然的对应关系,从大数据具有较高经济价值这一前提不能必然推断出个人对其个人信息具有财产利益。(60)
第二,给个人配置财产利益将带来一系列问题。其一,赋予个人以财产利益,将导致个人之间人格的不平等。个人对其个人信息享有的主要是人格利益,如承认个人同时还具有财产利益,则表明此等人格利益可被估值,由此导致普通人和名人的人格具有不平等的价值。此种思路也与我国一贯采取的人格权一元保护模式相冲突。我国的人格权制度可以同时实现对精神利益和经济利益的保护,因此只要明确个人对其个人信息享有人格权益,即可将经济利益也纳入保护范围,无需叠床架屋地另行赋予个人以财产利益。(61)例如,自然人可通过许可他人使用其肖像获得经济利益,但肖像权却不是一项财产权而是一项人格权。侵权人如侵害肖像权中蕴含的经济利益,被侵权人可依照《民法典》1182条的规定行使损害赔偿请求权。《个人信息保护法》第69条同样规定了与此相似的内容。我国采取的人格权一元保护模式将经济利益纳入人格权的范畴,人格权中的精神利益可以对经济利益的利用形成天然的限制,防止人格权的过度商业化利用给人格权造成损害。(62)由此可见,虽然不同个人对个人信息加以利用后产生的经济利益之间可能存在差别,但是其对个人信息享有的人格利益是平等的,而给个人配置财产利益将导致此等人格利益被“物化”,破坏我国人格权制度所彰显的人格平等的价值理念。(63)其二,赋予个人以财产利益,将引发蝇头小利的全社会争夺,对已经形成的个人信息处理行业模式产生不利影响,阻碍信息产业的发展。目前互联网行业普遍存在的个人信息处理基础模式是个人以其个人信息换取处理者提供的“免费”服务。(64)赋予个人以财产利益,可能导致个人为了获取此等利益而不同意处理者进行个人信息处理,或者极大地提高谈判成本,结果是数据无法有效地汇集在一起产生集体性价值,引发“反公地悲剧”。(65)因此,如法律承认个人对其个人信息具有财产利益,反而会使得一些人滥用此等利益来阻碍信息技术和信息产业的发展,最终损害社会的整体福利。(66)
三、保护个人信息“本权权益”的权利
(一)概述
出于维护自身人格尊严、人身财产安全以及通信自由和通信秘密等利益之必要,个人对其个人信息应当享有一定程度的控制。但是,个人信息处理对个人利益的侵害事前不易防范、事中无法制止、事后难以查找,个人与技术、商业主体以及公权力之间的力量严重失衡,没有天然对抗后者的手段,几乎不存在任何私力救济的途径。(67)因此,赋予并保障个人在个人信息处理活动中的权利逐渐走向世界各国个人信息保护立法的中心。(68)经济合作与发展组织于1980年发布的《隐私保护和个人数据跨境流通指南》提出了8项基本原则,其中第7项原则为个人参与原则,并规定了个人享有的4项具体权利。(69)近年来,欧盟制定的《通用数据保护条例》与美国加利福尼亚州制定的《加州消费者隐私法案》以及《加州隐私权法案》均对个人在个人信息处理活动中享有的权利作出体系化规定。(70)个人控制自己信息不被处理者违法处理或滥用的权利,是个人信息保护制度运行的基石。(71)我国《个人信息保护法》对个人保护“本权权益”的权利同样作出了相应的规定,具体可分为以下两大类。
(二)作为支配性权利的同意
当处理者基于个人同意处理个人信息时,个人享有同意(或拒绝)处理者处理其个人信息的权利,体现出对其个人信息的支配力。依照《个人信息保护法》第13条的规定,当不存在其他合法事由时,处理者在取得个人的同意后方可处理个人信息。其第44条规定:“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。”将前述两个条文结合起来理解,其实际上规定了当不存在其他合法事由时,个人同意或者拒绝处理者处理其个人信息的权利。这不仅体现了对个人自决的尊重与维护,还使得个人可以限制处理者的处理行为,防止其进行过度处理,从而维护自身合法权益。基于“两头强化”的规则设计,为了强化一般个人信息的利用,《个人信息保护法》第13条第1款第1项所规定的同意,既包括单独同意,也包括概括同意;为了强化敏感个人信息的保护,《个人信息保护法》第29条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”
同时,依照《个人信息保护法》第5条的规定,处理者取得个人同意应当遵循诚信原则,不得通过误导、欺诈、胁迫等方式获取个人同意。例如,处理者可能故意欺瞒、掩饰收集使用个人信息的真实目的,以拒绝提供产品或者服务为后果获取个人同意,或者以捆绑授权方式获取个人同意等,处理者以此等方式获取的个人同意无效。针对部分物业服务企业在小区门禁中不当使用人脸识别技术的问题,2021年7月27日发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释[2021]15号)第10条第1款明确规定业主享有拒绝的权利,物业服务企业不得强迫取得业主的同意:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”实践中也有法院认为,当网络平台的用户拒绝作出同意时,处理者应当提供合理的替代措施,或说明其不提供替代措施的合理理由。(72)此外,依照《个人信息保护法》第24条的规定,个人有权拒绝处理者通过自动化决策方式进行信息推送、商业营销,且有权拒绝处理者仅通过自动化决策的方式作出决定。依照《个人信息保护法》第15条的规定,基于个人同意处理个人信息的,个人在作出同意之后有权撤回其同意。由此可见,同意(或拒绝)的权利是个人在个人信息处理活动中享有的最基础、最重要的权利。
(三)作为救济性权利的删除等
个人在个人信息处理活动中享有知情、查阅、复制、转移、更正、补充、删除以及请求解释说明的权利,此等权利规定于《个人信息保护法》第四章。不论处理者是否基于个人同意而处理个人信息,个人在个人信息处理活动中均可行使此等权利。前述权利具体而言又可分为三类:
第一类是知情、查阅和请求解释说明的权利。其中,《个人信息保护法》第44条规定的知情权与处理者的告知义务相对应,是个人作出自主决定以及行使其他权利的前提,也是个人信息处理公开透明原则的要求。为了保障个人知情权的实现,《个人信息保护法》第45条、第48条以及第50条分别规定了个人查阅其个人信息的权利、个人请求处理者对其个人信息处理规则进行解释说明的权利以及处理者建立个人行使权利的申请受理和处理机制的义务。但是,依照《个人信息保护法》第18条第1款的规定,个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,个人知情权等权利的行使应当受到限制。
第二类是复制和转移的权利。依照《个人信息保护法》第45条的规定,个人有权向处理者复制其个人信息,且在符合国家网信部门规定条件的情况下,个人可以请求将个人信息转移至其指定的处理者,处理者应当提供转移的途径。欧盟《通用数据保护条例》第20条以及“前言”部分第68条规定,数据主体在特定情形下有权要求以有序排列的、通常使用的、机器可读取的且可互相操作的格式接收其之前提供给控制者的个人数据,并将其传输给其他控制者,且在技术上可行的情况下有权要求个人数据在控制者之间进行直接传输。此等权利有利于强化个人对其个人信息的控制,打破数据锁定,促进企业竞争,推动科技创新,从而增进消费者福利。(73)
第三类是更正、补充以及删除的权利。依照《个人信息保护法》第46和第47条的规定,个人发现其个人信息不准确或者不完整的,有权请求处理者更正、补充;在个人信息与处理目的无关、个人撤回同意等特定情形下,个人还有权请求处理者删除其个人信息。此等权利使得个人可以直接参与到个人信息处理活动中,与处理者共同决定其个人信息是否以及以何种方式被处理。通过更正权、补充权的行使,个人可以纠正被处理的个人信息中存在的错误,避免个人信息处理活动得出侵害其个人信息权益的处理结果。而个人行使删除权将导致相应个人信息处理活动的停止,对处理者的利益可能产生较大影响,因此《个人信息保护法》第47条第1款对个人行使删除权的情形作出了明文规定。此外,更正权、补充权以及删除权的行使,也可起到与民法上停止侵害、排除妨害、消除危险等请求权相似的作用。
除前述权利外,个人还享有向处理者或者国家机关投诉、举报的权利。《深圳经济特区数据条例》第31条规定:“数据处理者应当建立自然人行使相关权利和投诉举报的处理机制,并以易获取的方式提供有效途径。数据处理者收到行使权利要求或者投诉举报的,应当及时受理,并依法采取相应处理措施;拒绝要求事项或者投诉的,应当说明理由。”《个人信息保护法》第65条规定:“任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。”此等权利不限于在个人信息处理活动中行使,有利于促进个人信息处理活动社会监督合力的形成,具有维护社会公共利益的功能。
四、个人信息权益对处理者获得的个人信息数据的约束力
(一)个人信息数据与数据财产
1.个人信息经过处理者处理后成为“个人信息数据”,以三种形态存在
《数据安全法》第3条第1款规定:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”数据作为信息的载体,以其承载的信息是否具有可识别性为判断标准,可分为个人信息数据与非个人信息数据。其中,个人信息数据一般由处理者通过处理个人信息的方式获取,并以三种形态存在:实名制(原始形态)的个人信息数据、去标识化的个人信息数据以及匿名化的个人信息数据。依照《个人信息保护法》第73条第3项的规定,去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。去标识化的个人信息数据虽然经过处理者的特殊处理,但依然保留一定程度的可识别性。依照《个人信息保护法》第73条第4项的规定,匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。匿名化的个人信息数据已不再具有可识别性,其承载的信息严格来说已经脱离个人信息的范畴。
2.个人信息数据的财产性质
大数据时代到来之后,数字经济飞速发展,第十三届全国人民代表大会第四次会议批准通过的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》(以下简称《纲要》)提出了加快推动数字产业化、推进传统产业数字化转型升级的战略目标。“发展数字经济,离不开一批有竞争力的网信企业。”(74)企业通过新的数据技术,可以收集大量有价值的数据并加以利用,大数据被演化成为创造巨大价值的新型资源和方法,数据不断发展为新型资产,同时也越来越被市场赋予巨大的商业价值。(75)在经济利益的驱动下,处理者存在处理大量数据、不断发展数据技术的意愿和动力,但其前提条件是处理者对数据享有的合法利益能够得到充分、合理和有效的法律保护。(76)2020年3月30日中共中央、国务院出台《关于构建更加完善的要素市场化配置体制机制的意见》,明确要“研究根据数据性质完善产权性质”,由此引出处理者的数据权益保护问题。其中,处理者对个人信息数据享有何种权益与个人信息权益的构造紧密相关。
基于《民法典》第111条和第127条对个人信息和数据的区分保护,处理者对个人信息本身不享有任何权益。处理者只有在处理个人信息,使其成为数据资源之后,才对个人信息数据享有财产权益。尽管在保护模式的选择上学界目前存有争议,但是处理者对其合法处理个人信息所得的个人信息数据无疑享有法律应当保护的正当利益。洛克的财产权劳动理论指出:“我们可以说,他(每个人)的身体从事的劳动和双手做的工作严格意义上归他所有。因而,只要他使任何东西脱离了自然存在的状态,并加入了自己的劳动,即附加了他自己的东西,那么它们就变成了他的所有物。”(77)“数据并非自在天然之物,其聚合、存储和价值实现有赖于大量的人工干预和资本投入。”(78)随着个人信息处理活动的不断进行,处理者拥有的个人信息数据逐渐形成具有一定规模的“数据池”,并产生相应的财产价值。由于个人信息是一种流动性资源,“数据池”的形成需要处理者利用电子技术、服务器以及其他人力物力资源将弥散的个人信息固定化,(79)在此过程中处理者付出了劳动并改变了个人信息的自然状态,使其成为易于读取且可被反复利用的个人信息数据。此外,处理者只有在不断地付出成本、持续地向个人提供服务的情况下,才能换取个人的同意。(80)处理者如在对基础个人信息数据进行分析利用的基础上创造出更大的财产价值,也需要付出相应的劳动。由此可见,承认并保护处理者对于个人信息数据的财产权益,符合劳动创造财产的基本逻辑。此外,与典型的知识产权相似,保护处理者对个人信息数据的财产权益的主要目的在于实现整体数据经济的繁荣和福利的增进,(81)促进数据共享,(82)并避免大数据领域可能出现的市场失败,(83)此等目的也无法通过对个人信息权益进行保护而实现。故此,处理者对其合法处理所得的个人信息数据享有独立的财产权益。实践中,处理者对个人信息数据的财产权益也得到了法院的承认与保护。(84)由于个人对其个人信息不具有财产利益,处理者对个人信息数据的财产权益并非从个人处继受取得,而是基于合法的处理行为而原始取得。(85)
明确处理者对个人信息数据的财产利益,有利于促进其对数据资源的多维度利用,进而实现个人信息数据的经济价值。对于收集得到的个人信息数据,在不侵害个人信息权益的情况下,处理者可以通过数据交易的方式获得收益;(86)通过对个人信息数据进行大数据分析,处理者可以优化财务管理、人力资源管理、供应链管理、客户管理等业务流程,提升其核心竞争力;(87)处理者还可以利用客户的个人信息数据研发数据产品,实现技术创新,以满足客户和市场的需求。(88)依照《个人信息保护法》第20条和第21条的规定,处理者既可以自行处理个人信息数据,也可以与其他处理者共同处理,还可以委托其他处理者进行处理。将个人信息数据作为处理者的财产权益予以保护,能充分调动处理者在数据开发利用和流通中的积极性,使静态的个人信息数据资源在动态流转中跃变为具有经济价值和竞争意义的资产,从而为数据产业发展奠定坚实基础。(89)
(二)个人信息权益对处理者数据财产的制约
处理者对于个人信息数据的财产权益并非绝对性的权利。(90)虽然个人信息经过处理者处理后已成为处理者的数据财产,但是其依然受个人一定程度的支配,并受到个人信息权益的相应限制。原因在于,个人信息权益所涵盖的利益主要是人格利益,其在位阶上要高于处理者对于个人信息数据的财产权益,当二者存在冲突时法律原则上应当优先保护前者。(91)在个人信息处理活动中,如个人行使保护其个人信息“本权权益”的权利,处理者应当依法履行相应的义务,一般不得以其对个人信息数据享有财产权益为由进行抗辩。此外,处理者取得个人信息数据财产权益的前提条件是其实施的个人信息处理行为是合法行为,且具备《个人信息保护法》所规定的合法性基础,不得侵害个人的个人信息权益。
为了保护个人信息权益在个人信息处理活动中不受侵害,个人对经过处理者处理后的个人信息数据依然具有一定的支配力,其程度随着可识别性的降低而不断减弱直至消亡。对于实名制(原始形态)的个人信息数据,其与个人的关联程度最高,个人可以充分行使保护个人信息“本权权益”的权利,对其享有最高程度的支配。去标识化的个人信息数据具有较低的可识别性,因此与实名制(原始形态)的个人信息数据相比,其受个人支配的程度较低。去标识化技术可以使得个人信息不能对应到特定个人,实践中往往要求一条去标识化的个人信息可能对应到的人数超过一定阈值,故处理者对去标识化的个人信息数据的处理给个人带来负面影响的可能性较低。只有在处理者未能控制标识风险,例如处理者未能采取合适的去标识化模型和技术,或将去标识化的个人信息数据用于预期目的之外的目的等情况下,个人信息权益可能面临遭受侵害的风险,此时个人方可行使保护个人信息“本权权益”的权利。而匿名化的个人信息数据不具有可识别性,处理者对其进行处理不会给个人带来风险,故其成为处理者不受个人支配的数据财产。有观点认为,个人信息的完全匿名化不具有现实可行性,(92)并可能导致个人信息丧失其原本具有的价值,因而匿名化只是一个“破碎的承诺”。(93)理论上来说,完全匿名化的个人信息数据并不存在。“只要有足够的时间和资源,人们可以从无数公开的信息中识别出某个特定个人,并使得这些信息全部成为具有可识别性的个人信息,但这是私家侦探的工作模式,而非法律的运作模式。”(94)欧盟《通用数据保护条例》“前言”部分第26条也规定:“在确定某一方式是否可能被合理用于识别某自然人时,应考虑所有客观因素,例如识别所需的成本和时间,以及处理数据时可以采用的技术和技术的不断发展。”因此,匿名化个人信息的判断标准为,“在现有的技术水平条件下,耗费合理的成本与时间,该信息本身或结合其他一切可获取的信息均无法识别出特定的个人”。(95)匿名化的个人信息数据不再受个人信息保护法的规范,个人也无法针对此等数据的处理主张保护个人信息“本权权益”的权利。(96)
五、个人信息权益对国家机关获得的个人信息数据的约束力与公共数据开放
(一)国家机关处理个人信息获得的个人信息数据的性质
在个人信息处理活动中发挥主体作用的国家机关可以分为两类:一类是履行个人信息保护职责的国家机关,例如国家网信部门。此类国家机关本身不处理个人信息,其职能在于对处理者的个人信息处理活动进行监督和管理,并维护各方主体权利义务关系的平衡和持续;另一类是作为特殊个人信息处理者的国家机关,例如财政税收、文化、教育、卫生等行政部门,其在履行法定职责的过程中生成、采集和保存了海量的个人信息数据,成为社会主要的个人信息数据保有者。(97)作为特殊个人信息处理者的国家机关对其获得的个人信息数据是否享有某种权益,由此成为一个重要问题。
国家机关并非自然人,对个人信息数据不享有人格权益。而国家机关对个人信息数据是否享有财产权益,学界目前存在争议。《深圳经济特区数据条例(征求意见稿)》第21条曾规定:“公共数据属于新型国有资产,其数据权归国家所有。”该条规定在征求意见的过程中存在较大争议,(98)正式通过的《深圳经济特区数据条例》删除了此等内容。与处理者对其合法处理所得的个人信息数据享有财产权益不同,国家机关对其获得的个人信息数据不具有财产利益,(99)理由可分为以下三个方面:其一,依照《个人信息保护法》第34条和《数据安全法》第38条的规定,国家机关处理个人信息、收集并使用数据的目的是“为履行法定职责”,而非获得或者增加财产,其对个人信息数据自然不具有财产利益;其二,给处理者获得的个人信息数据配置财产利益的主要原因在于为其提供经济上的激励,促使其投入成本处理大量数据并不断发展数据技术,而国家机关获得的个人信息数据是其使用纳税人资金,在履行公共服务过程中处理个人信息而获得的数据,(100)故不需要为国家机关提供经济上的激励;其三,国家机关获得的个人信息数据蕴含着与民生密切相关的重要信息和丰富知识,能够反映我国经济社会运行规律,为公众从事社会和市场活动提供必要的指导和帮助,甚至已成为大数据时代公众有计划地进行日常活动的必需品。(101)因此,国家机关获得的个人信息数据属于公共资源,(102)给国家机关配置财产利益可能会阻碍社会公众对此等数据的充分利用。国家机关将其获得的个人信息数据依法依规向社会公众开放的本质是向公众提供公共服务,不涉及财产权益的让与。(103)
(二)个人对国家机关处理个人信息获得的个人信息数据的约束力
对于国家机关获得的个人信息数据,个人同样具有一定的支配力,但其程度可能因国家机关处理个人信息的特殊性而受到限制。依照《个人信息保护法》第13条的规定,国家机关为履行法定职责处理个人信息,不需取得个人同意。在此种情况下,个人对国家机关获得的个人信息数据的支配力较弱,仅能依法行使查阅、复制、更正、补充、请求解释说明等权利,个人删除权的行使主要集中在国家机关违反目的原则处理个人信息等情形。关于个人可否对国家机关获得的个人信息数据行使转移权,存在不同观点。欧盟《通用数据保护条例》第20条第3款规定:“该权利不适用于为公共利益执行任务或行使赋予控制者的职权时进行的必要的数据处理。”其“前言”部分第68条规定:“如果控制者是为履行其公职而对数据进行处理,则数据主体不得向控制者行使该权利,因此,如果数据处理对于履行控制者应尽的法律义务或为了公共利益或行使授予控制者的职权而执行任务来说是必要的,数据主体不得向控制者行使该权利。”也有观点认为,允许个人在一定情况下对国家机关获得的个人信息数据行使转移权,有助于促进我国政府和事业单位打破部门藩篱,消除“数据孤岛”,促进数据的共享与便民化服务。(104)同时,由于个人无权拒绝国家机关进行个人信息处理,欧盟《通用数据保护条例》“前言”部分第69条还规定个人有权反对与其特殊状况相关的个人数据的处理,在此等情况下国家机关有义务证明其处理利益优先于个人利益。
此外,国家机关还有可能基于个人同意处理个人信息。《个人信息保护法》第29条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”因此,在国家机关处理敏感个人信息等情形,其依然需要取得个人同意。在此等情况下,个人对国家机关获得的个人信息数据的支配力较强。除前述权利外,个人还可依法行使同意(或拒绝)国家机关处理其个人信息的权利。
(三)国家机关开放个人信息数据
在数字时代,依法依规有序开放国家机关控制的数据资源,释放政府数据红利,(105)已成为激活数据要素潜能、推进政府治理能力现代化的必然选择。由于国家机关在数据利用上往往效率较低,实现政府数据价值最好的办法是允许企业和社会公众访问此等数据。(106)《纲要》提出,应当加强公共数据开放共享,“扩大基础公共信息数据安全有序开放,探索将公共数据服务纳入公共服务体系,构建统一的国家公共数据开放平台和开发利用端口,优先推动企业登记监管、卫生、交通、气象等高价值数据集向社会开放。开展政府数据授权运营试点,鼓励第三方深化对公共数据的挖掘利用”。李克强总理指出:“目前我国信息数据资源80%以上掌握在各级政府部门手里,‘深藏闺中’是极大浪费。”(107)基于此,《数据安全法》第41条规定:“国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。”《深圳经济特区数据条例》第46条规定:“公共数据开放应当遵循分类分级、需求导向、安全可控的原则,在法律、法规允许范围内最大限度开放。”由于国家机关对个人信息数据不具有财产利益,与政府信息公开一致,国家机关开放个人信息数据应当遵循无偿开放原则。《深圳经济特区数据条例》第47条规定:“依照法律、法规规定开放公共数据,不得收取任何费用。法律、行政法规另有规定的,从其规定。”
个人信息权益对国家机关开放个人信息数据同样具有制约作用。国家机关开放个人信息数据属于对个人信息的处理,其前提条件应当是对个人的个人信息权益不构成侵害。依照《个人信息保护法》第29条的规定,国家机关原则上不应当开放个人敏感数据,除非取得个人的单独同意。《深圳经济特区数据条例》第48条将公共数据开放分为无条件开放、有条件开放和不予开放三类,其中涉及国家安全、商业秘密和个人隐私的公共数据原则上不予开放。如国家机关开放的数据涉及一般个人信息,原则上应当对其作匿名化处理,(108)使其不再具有个人属性,以确保此等数据的开放不会对个人构成侵害。国家机关应当依照法律法规的规定,对个人信息数据的类型和内容进行甄别,在加强安全保障和隐私保护的前提下,实现公共数据有序开放。
六、结论
个人信息保护的目的在于保护个人信息权益,规范个人信息处理活动,并促进个人信息的合理利用,而权利或利益的适当配置是实现这一目的的关键。个人对其个人信息享有的“本权权益”主要包括人格尊严、人身财产安全以及通信自由和通信秘密等利益。法律应当为个人配置此等“本权权益”以及保护“本权权益”的相应权利,这就是“个人在个人信息处理活动中的权利”(《个人信息保护法》第四章),以实现对个人承载于个人信息的“本权权益”的保护。单个个人的个人信息中仅存在稀薄的经济价值,将财产利益配置给个人将带来较高的社会成本。而处理者在处理大量个人信息后获得的“数据池”具有较高经济价值,保护处理者对个人信息数据享有的财产利益有利于数字产业的发展,因此应当将财产利益配置给处理者,但此等财产利益依然受个人信息权益的制约。国家机关处理个人信息的目的在于履行法定职责,而非获得或者增加财产,故对国家机关获得的个人信息数据不应当配置财产利益。为了更好地履行公共服务职能,提升社会治理水平,国家机关还应当在不侵害个人信息权益的前提下,依法依规积极开放数据,促进数据要素的全社会流动和开发利用,助力我国数字经济的蓬勃发展。
注释:
①个人信息处理者可以以不同标准进行分类,一般个人信息处理者是指国家机关之外的其他个人信息处理者,主要是指处理个人信息的企业。《个人信息保护法》还将个人信息处理者分为大型在线平台个人信息处理者(提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者——第58条)、普通个人信息处理者、小型个人信息处理者(第62条)等。
②在专家建议的《个人信息保护法(草案)》中使用了“信息业者”的概念,是指以营利为目的的商业性个人信息处理者,不包括国家机关和以个人或者家庭目的进行处理的个人信息处理者。参见张新宝、葛鑫:《个人信息保护法(专家建议稿)及立法理由书》,中国人民大学出版社2021年版。本文也是在这个意义上使用“信息业者”,在《个人信息保护法》中的对应概念是国家机关之外的个人信息处理者,即“一般个人信息处理者”。
③前述立法例的中文译本,参见张继红、姚约茜主编:《“一带一路”沿线国家数据保护与网络安全法律指南》,知识产权出版社2020年版。
④参见何渊主编:《数据法学》,北京大学出版社2020年版,第54页。
⑤参见张继红、文露:“美国《加州隐私权法案》评述”,《中国信息安全》2021年第3期,第75-76页。
⑥关于“两头强化,三方平衡”理论探讨,参见张新宝:“从隐私到个人信息:利益再衡量的理论与制度安排”,《中国法学》2015年第3期,第38-59页。
⑦《关于〈中华人民共和国个人信息保护法(草案)〉的说明》,载北大法宝网,https://www.pkulaw.com/protocol/85f9202330bfd1d4f0f652acf77231b3bdfb.html,最后访问日期:2021年8月25日。
⑧《个人信息保护法(草案一审稿)》第1条所规定的立法目的还包括保障个人信息依法有序自由流动,但实现此等目的应当是数据立法的目标,故在二审稿中被删除。
⑨数据和信息为不同的概念,但是“个人数据”与“个人信息”则是内涵和外延相同的概念。欧盟《通用数据保护条例》保护的是个人数据或者说个人信息;《深圳经济特区数据条例》所保护的个人数据也就是我国《个人信息保护法》所规定的“个人信息”。
⑩参见高富平:“个人信息保护:从个人控制到社会控制”,《法学研究》2018年第3期,第100页。
(11)参见周汉华:“探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向”,《法学研究》2018年第2期,第20页。
(12)参见张新宝,见前注⑥,第45页。
(13)参见王利明:《民法总则研究》(第3版),中国人民大学出版社2018年版,第401页。
(14)参见王利明、程啸:《中国民法典释评·人格权编》,中国人民大学出版社2020年版,第399页。
(15)参见王利明:“论个人信息权在人格权法中的地位”,《苏州大学学报(哲学社会科学版)》2012年第6期,第68-70页;程啸:“论我国民法典中个人信息权益的性质”,《政治与法律》2020年第8期,第4-7页。
(16)参见《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法(草案)〉审议结果的报告》,载北大法宝网,https://www.pkulaw.com/protocol/85f9202330bfd1d416293206208bd50bbdfb.html,最后访问日期:2021年8月25日。
(17)参见张新宝:“我国个人信息保护法立法主要矛盾研讨”,《吉林大学社会科学学报》2018年第5期,第49-50页。
(18)参见王锡锌:“个人信息国家保护义务及展开”,《中国法学》2021年第1期,第145-166页。
(19)参见张文显:“新时代的人权法理”,《人权》2019年第3期,第22页;马长山:“智慧社会背景下的‘第四代人权’及其保障”,《中国法学》2019年第5期,第16-19页。
(20)张文显,同上注,第21页。
(21)参见王锡锌、彭錞:“个人信息保护法律体系的宪法基础”,《清华法学》2021年第3期,第15-16页;王利明,见前注(15),第70-71页。
(22)参见(荷)玛农·奥斯特芬:《数据的边界:隐私与个人数据保护》,曹博译,上海人民出版社2020年版,第45页。
(23)参见丁晓东:“用户画像、个性化推荐与个人信息保护”,《环球法律评论》2019年第5期,第82页。
(24)参见丁晓东:“论算法的法律规制”,《中国社会科学》2020年第12期,第139页。
(25)参见奥斯特芬,见前注(22),第47页。
(26)参见高富平:“论个人信息保护的目的——以个人信息保护法益区分为核心”,《法商研究》2019年第1期,第97页。
(27)参见张新宝,见前注⑥,第45页。
(28)参见李成:“人工智能歧视的法律治理”,《中国法学》2021年第2期,第146-147页。
(29)参见郑智航、徐昭曦:“大数据时代算法歧视的法律规制与司法审查——以美国法律实践为例”,《比较法研究》2019年第4期,第113页。
(30)参见张玉宏、秦志光、肖乐:“大数据算法的歧视本质”,《自然辩证法研究》2017年第5期,第82页。
(31)参见(美)特蕾莎·M.佩顿、(美)西奥多·克莱普尔:《大数据时代的隐私》,郑淑红译,上海科学技术出版社2017年版,第9页。
(32)参见高富平,见前注(26),第101页。
(33)参见叶名怡:“个人信息的侵权法保护”,《法学研究》2018年第4期,第88页。
(34)参见《“徐玉玉被电信诈骗案”追踪》,载央视网,http://tv.cctv.com/2017/06/27/VIDEfhAd4lnMfYN7e88qizgU170627.shtml,最后访问日期:2021年8月25日。
(35)参见孔令晗:“台警方通报清华教授被骗案细节”,载《北京青年报》2017年2月18日,第A05版。
(36)参见杨立新:“个人信息:法益抑或民事权利——对《民法总则》第111条规定的‘个人信息’之解读”,《法学论坛》2018年第1期,第36页。
(37)参见何渊,见前注④,第193-194页。
(38)参见高富平,见前注(26),第102-103页。
(39)参见张新宝:“个人信息收集:告知同意原则适用的限制”,《比较法研究》2019年第6期,第5页。
(40)参见程啸:“民法典编纂视野下的个人信息保护”,《中国法学》2019年第4期,第36页。
(41)高富平,见前注⑩,第93页。
(42)参见(英)维克托·迈尔·舍恩伯格、(英)肯尼思·库克耶:《大数据时代》,盛杨燕、周涛译,浙江人民出版社2013年版,第132页。
(43)参见梅夏英:“在分享和控制之间——数据保护的私法局限和公共秩序构建”,《中外法学》2019年第4期,第853页。
(44)参见吕炳斌:“个人信息权作为民事权利之证成:以知识产权为参照”,《中国法学》2019年第4期,第53页。
(45)中共中央党史和文献研究院编:《习近平关于网络强国论述摘编》,中央文献出版社2021年版,第129页。
(46)高富平:“个人信息使用的合法性基础——数据上利益分析视角”,《比较法研究》2019年第2期,第78页。
(47)参见高富平,见前注⑩,第95页。
(48)参见王锡锌,见前注(18),第147页。
(49)参见丁晓东:“个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础”,《中外法学》2020年第2期,第341-345页。
(50)参见高富平:“个人信息处理:我国个人信息保护法的规范对象”,《法商研究》2021年第2期,第76-77页。
(51)参见周汉华:“个人信息保护的法律定位”,《法商研究》2020年第3期,第51页。
(52)张新宝,见前注⑥,第59页。
(53)参见刘德良:“个人信息的财产权保护”,《法学研究》2007年第3期,第87-91页。
(54)参见龙卫球:“数据新型财产权构建及其体系研究”,《政法论坛》2017年第4期,第74页。
(55)参见申卫星:“论数据用益权”,《中国社会科学》2020年第11期,第121-124页。
(56)参见涂子沛:《大数据》,广西师范大学出版社2015年版,第368页。
(57)参见梅夏英,见前注(43),第863页。
(58)参见程啸:“论大数据时代的个人数据权利”,《中国社会科学》2018年第3期,第114页。
(59)参见舍恩伯格等,见前注(42),第152-153页。
(60)参见梅夏英:“数据的法律属性及其民法定位”,《中国社会科学》2016年第9期,第176页。
(61)参见程啸,见前注(15),第9-10页。
(62)参见王叶刚:“人格权中经济价值法律保护模式探讨”,《比较法研究》2014年第1期,第167页。
(63)参见王利明,见前注(15),第71页。
(64)参见张新宝:“‘普遍免费+个别付费’:个人信息保护的一个新思维”,《比较法研究》2018年第5期。
(65)参见何渊,见前注④,第30页。
(66)参见程啸,见前注(58),第115页。
(67)参见王成:“个人信息民法保护的模式选择”,《中国社会科学》2019年第6期,第125-126页。
(68)参见齐爱民:“个人信息保护法研究”,《河北法学》2008年第4期,第29页;See Stuart L.Pardau,"The California Consumer Privacy Act:Towards a European-Style Privacy Regime in the United States",Journal of Technology Law & Policy,Vol.23,No.1,2018,p.89.
(69)See Article 13 of OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data,https://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm,last visited on 25 August 2021.
(70)See Article 12-23 of the Regulation(EU)2016/679 of the European Parliament and of the Council of 27 April 2016; Section 1798.100-1798.125 of The California Consumer Privacy Act of 2018; Section 5-11 of The California Privacy Rights Act of 2020.
(71)参见周汉华,见前注(51),第55页。
(72)参见北京互联网法院(2019)京0491民初23942号民事判决书。
(73)参见汪庆华:“数据可携带权的权利结构、法律效果与中国化”,《中国法律评论》2021年第3期,第199-200页。
(74)中共中央党史和文献研究院,见前注(45),第137页。
(75)参见龙卫球,见前注(54),第63页。
(76)参见龙卫球:“再论企业数据保护的财产权化路径”,《东方法学》2018年第3期,第51页。
(77)(英)洛克:《政府论》(下篇),丰俊功、张玉梅译,北京大学出版社2014年版,第36页。
(78)许可:“数据权属:经济学与法学的双重视角”,《电子知识产权》2018年第11期,第28页。
(79)参见许可:“数据权利:范式统合与规范分殊”,《政法论坛》2021年第4期,第94页。
(80)参见程啸,见前注(58),第118页。
(81)参见龙卫球,见前注(76),第59页。
(82)参见丁晓东:“论企业数据权益的法律保护——基于数据法律性质的分析”,《法律科学(西北政法大学学报)》2020年第2期,第97页。
(83)参见崔国斌:“大数据有限排他权的基础理论”,《法学研究》2019年第5期,第15-17页。
(84)典型案例可参见浙江省杭州铁路运输法院(2019)浙8601民初1987号民事判决书;浙江省杭州市中级人民法院(2018)浙01民终7312号民事判决书。
(85)参见程啸,见前注(58),第117-118页。
(86)参见李爱君:“数据权利属性与法律特征”,《东方法学》2018年第3期,第68页。
(87)参见(美)托马斯·H.达文波特、(美)珍妮·哈里斯:《大数据竞争力:如何成为真正的数据分析型企业》,邵旖旎译,人民邮电出版社2021年版,第73页以下。
(88)参见(美)拉塞尔·沃克:《从大数据到巨额利润》,王正林译,广东人民出版社2019年版,第323页以下。
(89)参见冯晓青:“数据财产化及其法律规制的理论阐释与构建”,《政法论丛》2021年第4期,第89页。
(90)参见周学峰:“网络平台对用户生成数据的权益性质”,《北京航空航天大学学报(社会科学版)》2021年第4期,第32-33页。
(91)参见许可:“数据保护的三重进路——评新浪微博诉脉脉不正当竞争案”,《上海大学学报(社会科学版)》2017年第6期,第25页。
(92)参见齐英程:“我国个人信息匿名化规则的检视与替代选择”,《环球法律评论》2021年第3期,第52-66页。
(93)See Paul Ohm,"Broken Promises of Privacy:Responding to the Surprising Failure of Anonymization",UCLA Law Review,Vol.57,No.6,2010,pp.1752-1755.
(94)Vladislav Arkhipov and Victor Naumov,"The legal definition of personal data in the regulatory environment of the Russian Federation:Between formal certainty and technological development",Computer Law & Security Review,Vol.32,No.6,2016,p.887.
(95)韩旭至:“大数据时代下匿名信息的法律规制”,《大连理工大学学报(社会科学版)》2018年第4期,第69页。
(96)参见王融:“数据匿名化的法律规制”,《信息通信技术》2016年第4期,第41-42页。
(97)参见郑磊:“开放政府数据研究:概念辨析、关键因素及其互动关系”,《中国行政管理》2015年第11期,第13页。
(98)参见《关于〈深圳经济特区数据条例(征求意见稿)〉的说明》,载北大法宝网https://www.pkulaw.com/protocol/9fd14d5ad74830fe614d4ae2cccf7c79bdfb.html,最后访问日期:2021年8月25日。
(99)参见冯晓青,见前注(89),第83页。
(100)参见邢会强:“政府数据开放的法律责任与救济机制”,《行政法学研究》2021年第4期,第42页。
(101)参见齐英程:“作为公物的公共数据资源之使用规则构建”,《行政法学研究》2021年第5期,第142页。
(102)参见高富平、张英、汤奇峰:《数据保护、利用与安全:大数据产业的制度需求和供给》,法律出版社2020年版,第67页;何渊,见前注④,第307页。
(103)参见王利明:“数据共享与个人信息保护”,《现代法学》2019年第1期,第46页。
(104)参见丁晓东:“论数据携带权的属性、影响与中国应用”,《法商研究》2020年第1期,第85页。
(105)参见刘权:“政府数据开放的立法路径”,《暨南学报(哲学社会科学版)》2021年第1期,第92页。
(106)参见舍恩伯格等,见前注(42),第149页。
(107)“李克强:信息数据‘深藏闺中’是极大浪费”,载中国政府网http://www.gov.cn/xinwen/2016-05/13/content_5073036.htm,最后访问日期:2021年8月25日。
(108)参见邢会强,见前注(100),第43页。