内容提要:就个人信息上是否有抽象个人信息权的问题,存在分析路径和观点的争论。采取民法传统的权利分析路径,立足解释论自下而上地分析可以发现,我国民法典、个人信息保护法针对个人信息的内容层,实际规定了三类具体权利:决定他人是否有处理权限的利用性权利、他人没有处理权限时的防御性权利和他人有合法权限时的权利。其中,前两项具体权利向上统辖于个人信息保护法第44条规定的个人信息决定权,个人信息决定权就是在利益归属描述上采取排他策略、具有相当追及效力的非典型支配权。个人信息权利体系包括指向个人信息初次分配秩序的个人信息决定权和指向个人信息交换处理秩序的知情权、携带权。
关键词:个人信息权;支配权;权利束;个人信息决定权;个人信息权利体系
一、个人信息保护中的权利分析问题
在个人信息保护的相关研究中,普遍存在这样一个问题,即个人信息受保护的状态是否构成一项权利?民法典人格权编第六章的标题,明确提出“隐私权”但却没有使用“个人信息权”的概念,而是代之以非权利化的“个人信息保护”的表述。有学者结合民法典的立法资料,认为立法没有对个人信息保护采取权利规则模式。也有学者立足个人信息的特殊属性,认为在个人信息保护上无法采取权利化的处理方式。问题是,如果个人信息受保护的状态不构成权利,那么个人信息保护法中规定的个人在个人信息处理活动中所享有的各种权利,又当如何理解,这些规定难道不是明确显示出个人信息受保护状态的权利化吗?
(一)权利分析的核心问题:是否存在抽象的个人信息权
有学者提出,个人信息保护法中规定的权利仅是个人信息处理活动中的具体权利,这些具体权利在根本上保护的并非绝对性的“个人信息权”,而是“个人信息本权权益”。该观点承认存在“抽象权益统辖具体权利”的内在体系结构,但认为个人信息保护法对具体权利的规定和承认,并不等同于承认个人享有如同物权等抽象支配权一般的统辖具体权利的“个人信息权”。
认为不存在抽象个人信息权的理解,在解释上似乎也比较契合个人信息保护法的规定。该法在第一章“总则”中,仅使用“个人信息权益”概念来抽象描述自然人个人信息受保护的总体状态,而没有使用“个人信息权”的表述。不过,就此也存在反对观点。有学者认为,个人信息保护法规定的具体权利,实际上已经使个人享有了针对个人信息处理行为的有限的自主控制,这种控制虽然不是对客体的圆满控制,但与知识产权一样,事实上仍然构成抽象的支配权。也有学者提出,虽然没有个人信息权的抽象权利界定,但民法典第111条“个人信息受保护”的法律规定,已使个人信息受保护的法律效果与“个人信息权”没有差别。
可见,在个人信息保护的相关研究中,权利分析的核心问题是在个人信息保护法规定的各项具体权利之上,是否存在一项如同抽象支配权一般的“个人信息权”。如果存在,这一抽象权利向下衍生的具体权利有哪些,这些具体权利之间又是什么关系?
(二)权利分析问题的意义
前述分析问题绝不是无意义的逻辑游戏,而是涉及对个人信息保护法中个人受保护状态的根本认识和不同理解,对具体法律纠纷的解决有明显的实际影响。在“微信读书案”中,北京互联网法院特别强调,个人信息不仅涉及人格尊严和人格自由价值,而且涉及信息利用、流通价值,因此“个人信息是受法律保护的法益,尚未上升至权利”。这实际上是认为在具体的个人信息权利之上仅存在抽象的“个人信息权益”,而不存在“个人信息权”,其在侵权法上受保护的强度不应同于物权等支配权,而应与“利益”相当。
法院正是从这一判断和概念分析出发,以“场景化”这样一种更倾向于处理者一方的标准,来特别权衡、认定具体的个人信息处理行为是否具有违法性、侵权责任是否成立。可见,抽象权利存在与否的定位,影响侵权责任认定标准等一系列具体法律问题的处理。是采取更接近于支配权的处理规则,还是采取更接近于非支配权的处理规则,对于个人信息保护与个人信息利用及行为自由的价值协调来说,显然是不同的。
因此,有关个人信息的权利分析问题,根本上是价值判断问题,对该问题的不同回答,既体现了不同分析者对个人信息保护法中立法原意的不同理解,也体现了分析者自身所秉持的不同认识理念和价值判断,而这种价值判断又会系统性地影响具体法律问题的处理立场。自分析哲学诞生以来,人们就已经认识到,分析和描述是根本性的问题,因为不同分析所采用的概念语言、方法本身,就深层次地体现了分析者所持有的认识论和价值观,抛开对分析语言、方法的解析,就无法清楚地意识到相关认识的基础,无法展开客观的讨论。
由此,对个人信息保护中的上述权利分析问题予以深入梳理和阐明,就是要厘清立法者究竟采取了何种认识论和价值观,是否确实采取了不存在抽象“个人信息权”、更倾斜于个人信息利用及行为自由的价值立场?对该问题的回答,可以为个人信息保护中具体法律问题的处理,提供一个较为客观和坚实的认识基础。
就个人信息保护中具体权利之间的相互关系、是否存在抽象权利统辖具体权利的描述问题,目前的研究存在两种不同的路径:一种路径采取民法传统的权利分析概念和方法,要么认为存在“个人信息权”这样一种抽象权利统辖具体权利的自上而下的体系,要么认为只存在“个人信息权益”统辖具体权利的结构;另一种路径则认为不能用传统的民法权利分析路径来解决前述分析问题,而应当使用“权利束”的分析概念和方法。采取该路径的研究,有的认为存在抽象的个人信息权或权益,有的则反对这种体系化的论述,甚至认为根本不存在抽象权利或者权益统辖具体权利的结构体系。
(三)既有分析观点的不足
无论是采取民法传统权利分析路径还是批判这些分析路径的研究,实际上都不是建立在民法传统权利分析路径中的基本概念类型上,甚至也没有对民法中的“权利”概念本身予以抽丝剥茧的阐释,而更多是对民法上所有权、用益物权、绝对权、框架权等抽象权利概念的理解、应用和反思。宏观的“定焦”视角,也使得该路径下的既有研究常常缺少对民法典、个人信息保护法中个人具体权利的细化解释,没有深入阐明它们如何与抽象权益或者权利产生统辖关系。
另一方面,采取权利束分析路径的大多数研究,其实也很少使用权利束分析方法中的八个元概念。这些研究更多停留在宏观的分析观念上:推崇权利束分析方法下非整全式的、可拆解的、可锻造的分析思维,以至于忽视了权利束分析方法下,由其基本概念的特点而带来的一些弊端。此外,完全摒弃这些元概念的权利束分析,不仅缺少微观描述工具,也缺乏对实证法上具体权利、法律关系的细化解释和全面分析,最终使得个人信息保护中具体的“权利束”“权利块”与“框架权”概念一样,成为模糊不清的“黑箱”“青囊”。
总体而言,个人信息权利分析的既有研究,不论是采取民法传统的分析路径还是权利束的分析路径,大多存在与基本概念相脱离的现象。这一方面导致对相关分析方法的误解,另一方面则使得既有描述仍然局限于较为宏观的层面,对实证法规定的、较为微观的个人权利及具体法律关系缺少关照和全面分析,导致相关描述可能更多体现了“前见”,而对立法者的原意即立法者所秉持的认识论和价值观,分析、阐释得不够。
要进一步明晰和克服上述问题,首先需要对民法传统权利分析框架和权利束分析路径有一个系统性的深入阐释,由此才能选择恰当的权利分析框架和分析路径,为后文展开分析奠定坚实的基础。
二、个人信息权的分析路径选择
(一)民法传统的权利分析路径
1.民法上的权利概念:利益归属效能和权利关系的指向性
在民法传统理论中,权利被认为是由主体意思决定特定事项、得到法律强制力支持、以保护主体特定利益的法律关系。这一理解承认权利同时具有意志论和利益论两个面向。
权利的利益论强调权利具有利益归属效能,事前在一定的主体间关系中将确定的利益归属于特定主体,因此处于该关系中的主体侵害权利时,即具有违法性;而单纯的利益一般不具有确定的事前归属效能,所以侵害利益并不一定具有违法性,而是需要在个案中特别权衡。我国侵权法虽然没有以利益归属效能来划分权利和利益,明确设置不同的违法性认定规则,但司法实践中区分权利和利益来认定行为违法性的思维仍普遍存在,特别是在个人信息保护案件中,这种思路体现得尤为明显,前述“微信读书案”即为适例。
权利要发挥利益归属效能,自然应有关于利益归属的描述,指明是在哪些主体的相互关系中、将何种利益归属给了特定主体。该项描述既可能十分具体、清晰,采取精细的治理描述策略;也可能十分宽泛,围绕客体大致框定所归属的利益范围,采取抽象的排他描述策略;还可能采取介于两种策略清晰度之间的方案。同时,权利的利益归属效能并不绝对,即使是所有权,相邻关系、紧急避险、正当防卫、征收等,也都会使所有人负担法定容忍义务,导致权利归属效能受到限制。正因如此,权利归属效能被认为仅产生“违法性征引”的效果,仍可基于特别的限制规定推翻违法认定,但加害人应承担举证责任。
上述理解对权利分析有两点启示:第一,权利的利益归属描述不能过分模糊而不知边界,至少应当在事前给定利益归属的大致范围,否则难以发挥归属效能;第二,权利的归属效能主要体现为“推定违法”的效果,所以即使侵害权利最终因存在抗辩事由而不具有违法性,也不能就此认为权利没有归属效能。
权利与利益的区别还应当考虑权利概念的意志论面向,即归属给权利主体的利益要发生变动,原则上应当基于该主体的意思。而且,对于违背权利主体意思、妨害利益归属关系的行为或状态,也只有在权利主体主张的情况下,法律保护机制才会启动。这一特征也被表述为权利关系的指向性。正因如此,权利关系中的义务都是指向性义务:处于权利关系中的主体违反义务时,只有权利人可以要求履行该义务或者赔偿,同时权利人也可以选择宽恕。没有权利而仅存在受保护的利益时,虽然也能导致相对人负担义务,但该义务却是非指向性的,没有特定私人主体可以主张履行义务或者宽宥义务的违反。
这样,个人有意思能力、具有民事主体资格是权利构成上的内在必备要素。由此,死者名誉、肖像等保护才被认为并不是有关权利的保护,而成为权利与利益相区分的典型事例。
2.“请求权—形成权—抗辩权”的分析框架:可“变焦”的元概念
基于权利的意志论面向,从主体间关系的角度出发,围绕权利具体内容、效力的差别,形成了“请求权—形成权—抗辩权”的分析框架。其中,请求权是请求义务人为或者不为特定行为的权利,该权利指向的积极利益需要通过请求义务主体,在义务主体对其自身行为的支配中得到实现;形成权是指权利主体依单方意思就可以变动主体间既有法律关系的权利,相对人需要予以服从;抗辩权则是权利人依单方意思阻却相对人的请求权主张的权利,但抗辩权也可以针对相对人的形成权,理论上认为存在形成抗辩权。
请求权概念是描述主体间权利关系的元概念,不仅可以用来描述微观的具体主体间的关系,也可以对较为抽象的、体系性的宏观法律关系予以描述,例如对世的或者指向特定范围内主体“不得干涉”的抽象请求权,从而是一个可“变焦”的概念。正是在这个意义上,物权等支配权被认为是对世的请求权,请求权由此成为物权、债权等权利关系的公因式。同时,变动请求权关系的形成权和对抗请求权的抗辩权与请求权具有对应关系,所以与请求权一样也具有“变焦”功能,也是构建主体间关系的元概念,是与请求权并列的“第二类型的权利”。
与此不同,支配权概念并非描述主体间法律关系的元概念,该概念最初就代表了一种理解和描述权利关系的抽象立场。
3.支配权:从抽象控制效果到抽象的利益归属描述
同样是基于权利的意志论面向,萨维尼从“主体—客体”关系的视角出发,提出权利关系的本质是“意志所支配的领域”,其中“支配”是比较抽象的“控制”含义,而“领域”主要体现为不同类型的客体,包括特定物和他人的特定行为等。按照这一理解,构成权利的关键在于相关法律关系安排能否实现主体意思控制特定客体的效果。这种按照“主体—客体”的关系结构,基于主体对客体的抽象控制效果所理解的权利,就是广义的支配权(Herschaftsrechte),也被译为“控制权”。根据客体类型不同,广义支配权可以划分为控制特定物的物权(Sachenrechte)、控制他人特定行为和财产的债权(Forderungen)、控制无形财产的知识产权以及控制人身的人格权等。
广义支配权立足主体对客体的抽象控制效果界定权利,但对于控制效果得以产生的具体内在机理以及指向客体的关系如何转化为主体间关系,缺少细致阐释,其权利观念也就难免过于抽象、宽泛。特别是在请求权等描述主体间关系的元概念被发现以后,大而化之的支配权概念逐渐退出历史舞台,取而代之的是狭义的支配权概念。
狭义的支配权概念在坚持“主体—客体”关系的基础上,对控制效果的实现机制予以了一定的细化描述和限制,要求权利主体在客体上直接实现控制,而不需要他人意思的积极协助。这种理解一方面使得支配权与请求权被严格区分开来,另一方面也导致以请求权为核心内容的债权被排除出支配权的范畴。民法典第114条第2款正是采取这种狭义的支配权理解,将物权界定为“直接支配”特定物的权利,这种理解也被称为“直接支配”教义。
然而,直接支配教义忽视了对客体关系的构建最终还是要回到解决主体间关系的问题上,而且,在密切关联的社会生活中,对客体的控制也无法绝对不需要他人意思的协助。正因如此,学者对直接支配教义提出批评,指出其既没有揭示出支配权作为法律关系的本质,也与定限物权等支配权实际上需要义务人意思积极协助、权利主体无法直接控制客体的现实相矛盾,进而认为支配权的本质不是“直接支配”,而是物等客体在法律上归属于权利主体、不归属于其他主体的法律关系状态。但这样一种客体归属理解忽视了支配权在利益归属描述上的特殊策略,没能清晰揭示出从客体归属转化为主体间关系的内在逻辑。
从权利的利益论面向来看,支配权在根本上就是要回答,在对世的主体间关系中,到底谁有权使用客体、享有相应的收益,以完成对客体用益利益(use)归属的描述。该任务不是通过事前一一列举归属于权利人的具体用益利益来完成,而是围绕客体说明支配范围的大致边界,将边界内各种未阐明的用益利益都“打包”归属于权利人,并要求所有不特定他人均不得越界,从而定分止争,完成主体间法律关系的抽象界定。这种独特的描述策略也被称为“排他策略”(exclusion strategy)。
4.支配权的追及效力及其层级构架
支配权蕴含的上述利益归属描述,在事前为主体间具体法律关系的构建设定了目标和基准,划定了抽象的客体归属秩序。该秩序在事后的实现和贯彻,则遵循了以客体为中介的追及效力逻辑,即以客体之所在界定具体法律关系的主体,并利用描述主体间法律关系的元概念,有针对性地演绎出具体的请求权关系或形成权关系:一旦其他主体有具体越界行为,支配权人就可以“追及”到客体所在之处,请求排除妨害,形成具体的请求权关系,也可以选择不排他,允许他人利用和开发客体资源,即依单方意思特别授予或者终止他人越界实施特定行为的权限,形成具体的形成权关系。
可见,支配权本身就包含了请求权、形成权等权限(Befugnisse),以具体实现支配权所设定的客体归属秩序。正因如此,作为支配权权限的请求权、形成权等权利在与支配权的关系中,也被描述为衍生权利(sekünd?ren Rechte),与支配权形成了“原生权利(prim?ren Rechte)—衍生权利”的层级关系。
不过,支配权在采取排他策略和产生追及效力上并不绝对。比如,法定容忍义务或者禁止权利滥用原则等,都可能导致特定他人对于支配权人的请求享有相应的抗辩权,从而限制了支配权的追及效力,导致该他人可以例外阻却违法、越界获取特定用益利益,但该他人需就抗辩权的成立承担举证责任。
(二)权利束的分析路径
“权利束”概念的提出,主要来自霍菲尔德的分析法学体系。依此分析路径,许多传统的权利类型都可以被描述为“权利束”,合同债权也是某种权利束。
1.放弃“主体—客体”的结构观念和抽象描述策略
权利束理论认为不存在对客体的支配关系,在权利的分析上完全摒弃了“主体—客体”关系的逻辑。所谓对物权,实际上仅是特定主体与其他主体之间一系列具体法律关系的集合。这一立场和观点根本上是反对采取排他策略,因为这种策略预先全无全有式地、大而化之地认为边界内的用益利益原则上都应当归属于权利人,不仅缺少灵活性,而且忽视了具体主体之间在具体事项、场景下具体用益利益的归属判断。
然而,这种摒弃对物权理解和排他策略的做法,必然导致财产权丧失其内在本质。也正因为如此,权利束理论认为,是否将特定权利束所对应的法律关系集合称为“财产权”,仅是实在法的历史性决断,具有明显的唯名论特征。按照权利束理论的观点,任何法律关系都应当是具体的主体间关系。权利束所指向的具体法律关系,是由八个基本法律概念构成的关联关系或者相反关系。这八个基本法律概念包括:权利(right)、无权利(no-right)、义务(duty)、特权(privilege/no-duty)、权力(power)、责任(liability)、豁免(immunity)、无能力(disablity)。这些元概念在内容上呈现出高精度的特点。
2.高精度的权利分析概念以及法律关系描述策略
权利束理论反对抽象的利益归属描述,使得霍菲尔德反对使用以抽象的“不得干涉”为内容的权利、义务概念,其所提出的“权利”(right)概念,实际指向的是内容非常具体、特定的请求(claim)事项,是对特定用益利益在具体主体之间归属的高精度描述。例如,X有请求Y不得吃某一特定的小虾沙拉的权利。可见,权利束中的“权利”概念虽然与民法权利分析路径中的“请求权”概念类似但不相同,其在内容上有更高的精度要求,使用这些概念来描述权利关系,可以实现高确定性的利益归属效能。
由于权利束中的义务与权利相对应,所以权利束中的义务概念也仅指以精确事项为内容的义务,而不包括“不得干涉”这种抽象义务。特权概念与义务概念相对应,两者形成矛盾关系,精度也就相同。权力指特定主体依一方的意思就可以决定自己和他人或者他人和他人之间法律关系的资格。其中被决定的法律关系主要就是由权利、义务、特权所构成的精确法律关系,因此权力概念所指向的内容也是非常具体、特定的事项,从而与民法传统权利分析路径中的形成权概念相区分。责任、豁免概念与权力概念分别形成关联关系和矛盾关系,相互对应,精度也就相当。
权利束分析路径下,高精度的元概念模式与其摒弃对物观念的做法,都是为了避免事前出现抽象的利益归属描述,而试图通过高精度的元概念,在指向客体的权利关系上,对特定用益利益的具体归属清晰表述、一一列举。这种高精度的利益归属描述方法也被称为“治理策略”(governance strategy)。治理策略与排他策略构成了描述权利关系时清晰度谱系的两端,传统的物权等支配权倾向于排他策略,而著作权和具体的合同债权则倾向于治理策略。
3.小结
综上,权利束分析路径坚持对权利现象予以更精细、具体而非抽象的描述,形成了有关权利现象的独特结构观念和高精度的描述分析概念,提供了一种描述权利关系的“显微镜模式”,具有精细、清晰并为利益协调提供更多灵活处理空间的优点。但这种原子式的描述强调,未明确考虑和说明的利益归属关系不能由抽象目标推演生成,而必须一一具体阐明和分析,呈现出“决疑式”的思维特点,存在只见树木、不见森林的缺陷,常常被当作掏空权利价值内核的武器,成为一种解构而非建构的理论。不仅如此,事前对法律关系背后的利益归属予以精细化描述,实际也存在“不胜枚举”的巨大信息成本,而且并非一概都可以被相应收益正当化。
(三)分析路径选择
1.民法传统的权利分析路径可适应不同的策略需求
如前所述,既有研究对民法传统权利分析路径的批评,主要立足于对支配权的反思,但该反思将支配权理解为一种全面支配、边界清晰的权利,这种反思并不公允。如前所述,支配权在事前只是大致明确了支配的内容和边界,事后还可以通过抗辩权法律关系的构建,对特定用益利益的归属予以特别调整。
支配权在利益归属的描述上,只是采取了倾向于排他策略的立场,在事前明确了法律关系界定应当遵循的一般内在目标和边界范围,以此作为事后具体法律关系推演、构建的基础,提供了大致预期。另一方面,又可以依照追及效力的逻辑,在客体所在之处演绎形成具体的请求、形成法律关系。既有从大处着眼的整体描述,又有从小处着手的处理路径。
即使有时支配权倾向于排他策略的处理,成本巨大,不宜适用,也可以采取民法传统权利分析理论下的请求权、形成权、抗辩权来细化描述具体法律关系,走向治理策略。而且“请求—形成—抗辩”概念在权利关系理解上具有“变焦”功能:既可以对具体的、非体系的微观法律关系予以描述,也可以对较为抽象的、体系性的宏观法律关系予以描述。因此,通过这三个概念的“变焦”使用,可以实现清晰度介于排他策略和治理策略之间的描述方案。
因此,民法传统的权利分析路径,可以既见树木又见森林,还可以只见树木或者只见森林,能够满足描述、构建权利关系之不同精度和不同策略的需求。
2.权利束分析路径过于精细的问题
权利束分析路径所奉行的针对单一具体法律关系作原子式描述、不对权利关系的内在目标和客体归属作整体抽象界定的治理策略,虽然高度精细化,但也必然高度碎片化,信息成本巨大,常常难以完全列举。特别是在对权利关系予以整全式系统描述时,采取这种“决疑式”方法基本是不可能的。
权利束理论的前述特征,在本质上与抽象的成文法立法模式、思维存在冲突。实际上,个人信息立法也不是在权利束的概念体系下理解和使用权利概念的。例如,个人信息保护法第47条规定的删除请求权,仍然是一种高度抽象的请求权,而非权利束分析路径中主体、内容都高度精确、具体的请求概念。因此,在对个人信息权利的系统性全面描述中,采取权利束的分析路径并不妥当。
依权利束理论一一列举主体间法律关系而不作兜底概括描述的做法,与既有的民法责任体制也不相协调。从权利束分析理论来看,主体间的法律关系主要围绕行为要求展开,形成了一种行为规制模式,法律责任的构成似乎必须基于具体的不法行为。但实际上,法律上的责任并非仅来源于不法行为,也可能产生于单纯的、与具体行为无关的抽象不法状态,民法上的妨害人责任(St?rerhaftung)、不当得利责任等,都包含了典型的由不法状态引起的责任。
3.应当采取自下而上的外在视角
民法传统权利分析框架的应用可能存在两种不同的视角。一是,预设存在特定的原生权利,然后据此向下演绎、构建为保护和实现原生权利的衍生权利,即自上而下推演的内在视角;二是,不预设存在特定的“原生权利—衍生权利”的层级结构,而是围绕实在法的规定,总结分析具体法律关系中的权利类型,并判断这些具体权利关系的构建和生成是否围绕抽象利益归属的排他策略和追及效力逻辑衍生得出,是否向上统辖于作为原生权利的支配权,即一种自下而上的外在视角。
在既有研究中,有的采取了自上而下推演的内在视角,先预设存在个人排他控制其个人信息的目标和原生权利即支配权,再按照排他策略和追及效力的思维向下演绎出保护和实现支配权的具体衍生权利。但问题是,个人在权利分配秩序上是否享有支配权般的个人信息权,本就争议极大,应当作为考察的对象,而非分析演绎的起点。
因此,应当采取一种自下而上的外在视角,不预设存在抽象目标和支配权统辖其他权利的层级结构,而是结合实证法的规定来观察、总结、判断:个人信息法律关系中存在哪些具体权利,这些具体权利是否基于抽象的倾向于排他策略的描述和追及效力而推演生成,能否向上统辖于作为原生权利的支配权。
三、个人信息保护中的底层具体权利
(一)个人信息之界定
采取民法传统的权利分析路径,对个人信息权利作自下而上的全面分析,首先需要对“个人信息”概念予以明晰。这首先是因为个人信息概念与个人信息权利关系的利益归属描述密切相关,如果不能明确个人信息是什么,就无法在事前界定个人信息权利关系所归属的利益范围,从而影响权利归属效能的有无和权利地位的判断。其次,个人信息概念本身存在界定问题。由于信息的多种类别、多层结构,当我们使用“个人信息”概念时,容易产生混淆。
1.信息的外在类型和内在结构
根据认识论角度下主体与信息关系的不同状态,形成了自在信息、自为信息、再生信息三种信息类型。其中,自在信息是没有被主体认识的客观信息,例如人类发现和了解DNA之前,DNA就一直在传递着的遗传信息。自为信息是被主体主观认识和记忆存储的信息,例如人类发现和了解DNA后,被认识到并被大脑记忆存储的DNA遗传信息。再生信息则是在自为信息基础上,经主体推理、想象而产生的信息,例如人类认识到DNA传递的遗传信息后,推理出特定遗传信息与特定疾病之关系的信息。
从符号学的角度看,在主体认识信息的过程中,信息本身还存在三个层面的内在结构,即物理层、符号层以及内容层。其中,物理层指物质载体承载符号表达的物理结构。符号层指文字等社会或者自然符号的特定编排方式,例如纸张上记载的文字有哪些,是如何组合在一起的。内容层则指符号表达的语义和语用。这种层级结构被知识产权学者引入法学,以区分作为客体的物、数据和信息,并认为知识产权的客体在根本上是作为内容层的信息。有学者进一步研究认为,作为知识产权客体的内容层信息应当是被客观表达出来的、具有创造性的再生信息。
2.个人信息保护法中的个人信息
个人信息保护法第4条与民法典第1034条都要求个人信息“以电子或者其他方式记录”。这意味着,个人信息应当被客观表达出来,存在物理层、符号层的底层结构。因此,纯粹未表达出来的、在客观世界无迹可寻、仅停留在大脑中的主观内容,不构成个人信息。“记录”要求还表明,个人信息与“作品”一样,其载体应当是固化载体而非瞬时载体,可以持续存在。
个人信息保护法第4条还要求个人信息与识别出来的特定自然人“有关”,被称为“关联说”。民法典第1034条则要求个人信息应当“识别特定自然人”,被称为“识别说”。两说在个人信息的构成上都强调信息的内容层面。因为是否“识别”、是否相“关联”,显然与信息所表达的语义、语用相关,只有基于信息的语义和背景,才能判断该信息是否具有识别出特定个人或者关联到特定个人的语用。
“关联”“识别”要求同时意味着,还未被主体了解和认识的自在信息,不构成个人信息,因为这些信息尚未与主体产生关系,不可能有含义,更不可能有“关联”“识别”的语用效果。例如,人类掌握DNA知识之前,DNA所记录下来的遗传信息就不是个人信息。人类掌握DNA知识、具备解读DNA的能力之后,DNA遗传信息才演变为自为信息,才可以构成个人信息。
综上,个人信息保护法界定的个人信息,应当是具有特定语用、被客观表达出来、可以持续存在的自为信息或者再生信息,具有物理层、符号层和内容层的三层结构。
3.个人信息权利指向信息的内容层
按照民法典和个人信息保护法对“个人信息处理”概念的界定,处理活动中的“个人信息”应当“可被存储”“可被传输”。而个人信息的物理层作为一种物质载体的特定物理结构,本身就是存储的结果、方式而非存储的对象,并不具有可被存储的特征。另外,这样一种有形的物理结构可以被复制,却难以通过电学信号予以直接无形传输。因此,作为权利客体或者对象的个人信息不应包括个人信息的物理层。那么,个人信息保护下的权利指向的个人信息是符号层还是内容层?
知识产权的相关理论已经表明,权利可以直接指向作为内容层的信息。但问题是,既然内容层必然以符号层为基础,那么对内容层信息的控制,难道一定得指向内容层本身,而不能通过指向符号层来实现吗?有研究提出,既然通过控制符号层就可以控制符号所传递的内容,那么将知识产权的客体界定到符号层就可以了。也有学者从激励问题、信息悖论、数据信息公开等提高财产利用效率的视角认为,一般而言没有必要将权利直接指向内容层。但这些观点并不妥当。首先,建立在财产利用效率基础上的论证,显然不能直接应用于个人信息保护领域,毕竟个人信息还特别涉及个人人格尊严的实现。其次,个人信息权利指向内容层而非符号层,符合个人信息保护的目的。作为个人信息权利价值基础的自决理念,根本上就是要使得个人可以控制自己在他人以及社会生活中的形象呈现,即具有社会交往意义的特定语用,指向的是内容层,而不是特定的符号。再次,个人信息权利指向内容层、数据权利指向符号层的分置方案,能够较好地协调个人信息权利和数据权利的关系。一方面,一旦数据权利的行使涉及对数据承载的个人信息内容的利用,个人信息权利就优先于数据权利,可以排除或者限制数据权人在符号层上实施特定的行为。另一方面,在该种分置方案下,个人信息权人并不能直接向特定的符号层、物理层主张非排除性的自用权利,例如不能主张复制数据权人的原始数据。目前,个人信息查询复制权的实现,也是向个人提供自然语言编制的信息表,以让其查看、复制数据最终呈现的个人信息内容,而不是让个人直接查看、复制原始的数据代码。
接下来的问题是,根据个人信息保护法上的各项权利规定,是否存在抽象的以内容层个人信息为客体的支配关系?还是仅存在一个个未被支配权统辖的、以内容层个人信息为对象的请求权/形成权/抗辩权?从民法典、个人信息保护法的规定来看,个人在个人信息处理中指向内容层个人信息的具体权利主要有三类:决定他人是否有处理权限的利用性权利、他人没有处理权限时的防御性权利,以及他人有处理权限时个人享有的权利。
(二)决定他人是否有处理权限的利用性权利
个人信息保护法、民法典要求处理个人信息前取得明确同意并在同意范围内处理的规则,被认为是同意权的体现。
1.同意权
要求在个人信息处理前一般应取得明确同意的规则,实际上指向的是阻却违法性的可单方撤回的同意,该同意本质上是授予相对人一项意定权限:其在明确同意的范围内所实施的处理行为不具有违法性,进而不会产生民事责任。同意的该种效力,意味着同意者享有一种形成权,可以基于自己的单方意思改变与他人之间的法律关系,使得他人享有在特定范围内处理其个人信息的合法权限。
因此,同意权是由个人决定特定他人有无合法处理其内容层个人信息意定权限的形成权,以实现对个人信息上特定用益利益的处置。如前所述,在民法传统的权利分析理论下,支配权不仅向下衍生出了消极防御的权利,而且包含了授予他人权限以越界实施特定行为的形成权。
2.撤回权
同意权作为形成权的反向效力,就是权利人可以撤回相关授权,再次根据单方意思改变与相对人之间的法律关系。正因如此,最高人民法院的释义书认为同意权本身涵盖了撤回权。但实际上,反向撤回的效力应当受限于单方允诺不得反悔的诚信原则,所以不能认为作为形成权的撤回权直接包含于同意权之中。因此,个人信息保护法规定的撤回权有其独立意义,明确了前述形成权行使后可以任意反悔、突破诚信原则的限制。撤回权显然与同意权具有核心相似性,最终都是决定他人是否有意定处理权限的一种利用性的形成权,只是其效力不是单方授予意定权限,而是单方撤回意定权限。
3.拒绝权
对于多元合法基础所承认的法定权限,个人实际上也享有类似任意撤回权的、终止法定权限的形成权,此即个人信息保护法第44条规定的拒绝权。
最高人民法院的释义书认为,拒绝权主要是指个人信息保护法第16条“禁止强迫同意”的规定被违反时,个人根据民法典第150条享有的撤销权。但违反意思自治保护规则导致授权行为有瑕疵、个人因而获得的撤销形成权,并不能认为是个人信息保护中的拒绝权,因为我国既有的民法理论和实践从来没有使用“拒绝权”的概念来表述撤销权。实际上,从个人信息保护法第44条对于拒绝权的一般规定,该法第24条第3款、第27条规定的两种具体拒绝权,以及公私法上拒绝概念的内涵来看,拒绝权就是在选择退出的逻辑下,由个人享有的针对法定权限的、无溯及效力的终止形成权。这种内涵也与比较法上个人信息拒绝权的内涵特征相契合。
(三)他人没有处理权限时的防御性权利
民法典与个人信息保护法不仅承认个人享有一定的、决定他人处理行为是否有合法权限的利用性权利,而且明确规定了个人在他人没有处理权限时享有的一系列防御性权利。
1.限制权
个人信息保护法第44条规定了个人享有限制权。学者一般认为,该限制权主要体现为个人信息保护法第47条第2款,是在无法删除信息时要求处理者停止除存储和必要安全保护措施之外其他处理行为的请求权。此外,最高人民法院的释义书认为,限制权还可能是指部分同意下授权范围“有所限制”的同意行为,以及发生法律争议时采取临时性限制措施的权利。但部分同意从逻辑上说是同意权行使的特别情形,应当纳入同意权的范围,将之认定为独立于同意权的限制权并不妥当。而采取临时性限制措施的权利,从内容来看也是请求停止非存储行为,因此与前述限制权并无根本区别。从比较法来看,GDPR第18条专门规定了限制权,GDPR式的限制权是具有形成效力和请求效力的复合型权利,但该种限制权在欧盟法域外没有得到普遍承认和接受。
综合考虑,应当以个人信息保护法第47条第2款为典型情形,认为我国法上的限制权就是在处理者缺乏相应权限时,请求处理者停止实施非存储行为的防御性权利,进而排除他人对自己个人信息的利用。
2.删除权
虽然有观点认为同意权涵盖了删除权,但实际上删除权与作为形成权的同意权有明显差异。民法典第1037条第2款“有权请求删除”以及个人信息保护法第47条“主动删除......有权请求”的表述,都体现了删除权作为一种请求权的特征。从这些条文所列举的删除权的适用情形来看,主要是在处理者没有任何处理权限的情况下,通过请求删除来彻底制止处理者对其个人信息的处理,从而预防和排除处理者对他人个人信息的越界妨害。正因如此,最高人民法院的释义书认为,删除权接近于侵权责任法上不以过错为前提、以排除妨害为目的的停止侵害请求权。
结合民法典第1037条第2款的规定来看,删除权指向的相对人并不限于与个人有直接同意关系的个人信息处理者。凡是没有意定或者法定处理权限而处理个人信息的处理者,都在删除权的射程之内。基于这一观察,可以认为删除权更接近于民法典第236条下不以过错为前提的排除妨害、消除危险的物权请求权。
3.更正权
与删除权类似,个人信息保护法第46条规定的更正权也是一种与排除妨害、消除危险相关的请求权。无论是意定权限还是法定权限,都内含了应当准确、完整处理个人信息的要求。一旦个人信息处理出现了错误或不完整的情况,处理者的处理行为实际上就超出了相应的权限范围,构成违法处理。就此,当然可以要求删除,但也可以通过请求更正、补充,使得处理行为重新恢复到有权限的状态。这种通过更正、补充来排除妨害、消除危险的请求权,相较于直接删除而言,使得个人信息仍然可以被存储和利用。因此,在个人信息存储、利用对个人来说具有积极利益或者是法定义务的强制要求时,更正、补充请求权显然较直接请求删除的排除妨害、消除危险方式来说更为有利。
综上,个人信息保护法第47条、第46条规定的删除权和更正权均是防御性请求权,他们的最终功能都是通过请求处理者实施删除或者更正补充等行为来排除妨害、消除危险,体现了支配权的排他性。
(四)他人有处理权限时个人享有的权利
合法实施处理行为后,处理者有说明、报告或向个人提供查询、复制的义务,这类义务对应了个人的具体请求权,这些请求权并不是要解决取得同意时的信息不对称问题,而是要解决他人基于合法权限已经实施处理行为后(即交换处理场合),处理者与个人之间的代理成本控制问题,以回应个人对他人处理自己个人信息的信任期待。
1.知情权
个人信息处理与个人人格发展存在天然的密切关联,对个人有巨大影响,具有管理他人事务的内在特征。且这种管理高度依赖于处理者的专业能力,在“一目的一告知一同意”的授权模式下,处理者还拥有一定的自由裁量空间,因此存在明显的代理成本。而长期以来控制代理成本的一个重要思路就是消除事后的信息不对称。民法典第912、913、924、982、983条以及公司法第33条的规定,都体现了通过事后报告义务、查询复制权的配置来控制代理成本的精神。个人信息保护法第18条第2款下的报告义务对应的请求权(紧急处理时的报告请求权)、第24条第3款下的说明义务对应的请求权(自动化决策时的说明请求权),就是这样一种针对既有处理行为、控制代理成本、消除信息不对称的知情请求权。不仅如此,第45条下的查询复制请求权,也具有消除信息不对称的知情请求权的核心特征。
个人信息保护法第45条规定了查询复制和请求转移的权利。这两项权利的实现都依赖于处理者意思的配合,因此属于请求权。有观点认为,这两项权利共同构成了可携带权,是可携带权的权能。但主流观点认为,查询复制权并不以将内容层个人信息转移到其他处理者处为目的,而是要使个人充分知晓和理解他人处理行为的实际状况。这种理解的重要例证在于,查询复制的对象并不限于内容层个人信息,还包括与处理行为相关的其他信息。查询复制权作为具有知情保障功能的权利,在比较法上对应的是处理者获得处理权限后,个人对相关处理信息的访问权。该种理解清楚地揭示了,作为具有知情功能的查询复制权并不是为了解决取得同意阶段的“平等自愿”问题,而是为了保障个人信息处理过程中个人对处理行为的充分知情,消除信息不对称。但不可否认,查询复制权确实也可以指向内容层个人信息本身,特别是复制请求的目的也许就是为了将特定的内容层个人信息携带到他处,因此查询复制权确实可能具有携带的作用。
2.携带权
个人信息具有非竞争性,其查询、复制、转移原则上并不会导致原来的处理者不能再实施处理行为,而查询、复制、转移也为其他人利用特定内容层信息提供了可能的通道,具有非竞争性的再利用功能。但这种再利用必须考虑到,特定内容层个人信息的形成和具体表达也融入了处理者的心血、技术和资本,让他人肆意再利用、“搭便车”,不仅可能有违公平,而且可能无法有效激励信息的生成和利用。因此,是否允许个人查询、复制或转移内容层个人信息,涉及特定内容层个人信息的再利用与既有处理者利益保护的平衡。
我国个人信息保护法第45条规定,个人对处理者合法处理的个人信息,有查询复制请求权和转移请求权,在该价值协调问题上采取了倾向于个人与他人再利用的立场,支持了对内容层个人信息的非竞争性再利用,肯定了个人享有具有携带作用的权利。而这些携带权作为新型权利,同时还具有控制代理成本的宏观间接效果。
当个人不再信任处理者时,代理成本的控制要求个人能够有效退出。但如果相关服务对个人来说必不可少,而特定处理者又垄断了该服务的提供,那么个人可能陷入“锁定效应”,事实上无法退出。指向内容层个人信息的查询复制请求权和转移请求权具有携带和再利用的作用,可以突破服务垄断和“锁定效应”,让其他处理者也可以处理特定内容层个人信息,形成替代选择,以让个人能够真正解决特定处理者的代理成本问题。
综上,个人信息保护法第18条第2款、第24条第3款、第45条所规定的报告请求权、说明请求权、查询复制请求权和转移请求权,都可以被统合到以控制代理成本为目标的权利之下,他们是指向具有合法处理权限的处理者的法定请求权,是他人有处理权限时个人享有的权利。
前文所述三类权利中,前两类权利指向个人信息的初次分配秩序,第三类权利则指向个人信息的交换处理秩序。接下来需要回答的问题是,前两类权利是否实际上源自个人对内容层个人信息享有的抽象支配权;特别是,个人信息保护法第44条规定的决定权作为一种概括性的抽象权利,是否就是对这样一种支配权的承认和表述。
四、作为上层权利的个人信息决定权
(一)个人信息决定权既有研究评述
有观点认为,决定权不是抽象支配权,而是针对处理行为给个人人格或财产带来加害危险的事先防御机制。但这种判断似乎与该研究认为决定权就是“对个人信息如何收集、存储、使用、加工、传输、提供、公开、删除的自主决定权”的内涵界定相矛盾,因为这样界定的决定权显然不是一种单纯防御性的权利,而是明显具有利用性权利的特征。
有学者强调,个人信息保护法第44条的决定权不等于个人对其个人信息的排他支配。其理由是,决定权仅是个人在个人信息处理活动中的权利,不能脱离个人信息处理活动来认识决定权,更不能简单地将决定权理解为个人对其个人信息享有“绝对的、排他的支配权”。但在决定权内容的界定上,该研究又特别肯定决定权就是“个人自由决定其个人信息被何人所处理,以何种目的、何种方式、在何种范围内被处理,除非法律、行政法规另有规定”,显然又认为决定权就是个人信息上的、效力范围十分宽泛、可以追及到内容层个人信息任何所在之处的抽象权利。
也有学者认为,决定权是在法律上承认了“个体能够决定其他主体对自身信息的使用,即产生一种对自身信息的控制”,且该种控制“并非是一种请求权意义上的控制,而更多的是一种信息自决理念的体现”。这一研究正确地指出了决定权的价值内涵,也提出决定权并非一项具体请求权,而是理念型的、抽象的有关控制的权利,但似乎又有意避免将这种抽象控制的权利理解为民法上传统的抽象支配权,认为决定权仅是对信息自决理念的强调,似有意将决定权的“权利”定位加以弱化。这一弱化理解似与第44条之“决定权”的明确文义相冲突。而且如前所述,民法上的权利指向的就是法律强制力保障下、个人意思可以决定相关事项、具有利益归属效能的法律关系。如果将权利弱化为理念宣示,也会削减权利的实践意义,冲击权利概念的内涵。
也有观点认为,决定权就是支配权。例如,最高人民法院的释义书认为,个人信息保护法第44条的决定权是“个人对其个人信息所享有的支配性利益的本质体现”,正因如此,才不能将决定权理解为“选择权”。这种观点基本上就是将决定权理解为抽象的支配权。不过,该观点并未详细解释为什么对决定权采取这样一种理解,既缺乏对支配权构成要素的分析,也没有说明决定权的具体内容,以及其与指向初次分配秩序的利用性权利和防御性权利的关系。
要判断个人信息决定权是否构成支配权,关键要明晰决定权在利益归属的描述上是否采取了排他策略,以及与前述利用性权利和防御性权利之间是否基于追及的逻辑衍生形成了层级关系,从而具有追及效力。
(二)个人信息决定权的优先、排他内涵
个人信息保护法第44条规定,“个人对其个人信息的处理享有......决定权,有权限制或者拒绝他人对其个人信息进行处理”。这一规定即是个人信息决定权的立法表达。其中,“决定权”指明了该权利的名称与核心内涵,而“限制和拒绝”则点出了该权利的效力外延。
从字义来看,“决定”作为动词主要指对如何行动作出主张,或者成为另一事物的先决条件、发挥主导作用。结合这两层意思来看,决定作为人之行为时,通常应是强调该行为表达的意思、主张对于某一事项的实施起主导作用。主导意味着:存在多个意思主张的情况下,某一意思优先,可以排除其他意思。因此,“决定”概念含有优先和排他的意蕴。
从民法典第35、81、106、188、261、278、1006、1012、1013条等对“决定”概念的使用来看,“决定”也基本上是为了表达在可能存在多个意思的情况下,应当以特定主体或者机构、集体的意思为准,根据其单方意思直接决定相关事项这种不受干涉的优先、排他的法律地位。个人信息保护法第44条规定的“有权限制或者拒绝他人对其个人信息进行处理”,也进一步强化了决定权的排他内涵。因此,个人信息保护法第44条所指的“决定权”,可以认为就是指依单方意思决定有关事项、排除他人意思的权利。由于没有明确可以依单方意思决定的事项范围,以及可以被排除意思的他人范围和方式,这种权利既可能是具体或者抽象的形成权,也可能是能够衍生出形成权与请求权的抽象支配权。区分两者的关键,在于是否采取了排他策略的抽象描述,是否存在围绕客体之所在向下衍生出具体形成权和请求权的层级架构,从而具有追及效力。
(三)个人信息决定权采取了倾向于排他策略的描述
“决定权”之优先和排他的内涵,并不等同于采取了排他策略。判断是否采取了排他策略,关键在于分析是否以客体为中介来大致描述“边界”,然后将边界内即客体上的用益利益都“打包”归属于决定权主体。
从个人信息保护法第44条的内容来看,个人信息决定权指向的是“个人信息处理”,而非“个人信息”,因此该权利似乎仅将“个人信息处理”的用益利益而非个人信息上的用益利益“打包”归属于个人,也就没有采取支配权那种以客体为中心的排他策略。但问题是,如何理解“个人信息处理”指向的用益利益?
从个人信息保护法第4条的规定来看,个人信息处理是指“个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”,这一界定具有利益归属的意义,明确了个人信息上的哪些用益利益需要“打包”归属于享有决定权的个人。而这些描述性概念显然非常抽象、宽泛,与专利法第11条倾向于排他策略的描述相当,而不像著作权法第10条的描述那么具体、明确。更何况,“个人信息处理”概念在界定时还特别加上“等”字,为个人信息上新型用益利益的剩余归属提供了基础。
由此来看,“个人信息处理”概念所描述的利益归属,仍然以个人信息为核心,是对个人信息“边界”内也即个人信息上的用益利益予以抽象“分类打包”,以便指示在个人信息的生命全周期内,可能有哪些用益利益归属于个人。这与民法典第240条对所有权“占有、使用、收益、处分”的抽象描述一样。因此,个人信息决定权在利益归属上仍然采取了倾向于排他策略的描述。
但即便采取了倾向于排他策略的描述,若该个人信息决定权并不能追及客体所在、向下衍生出具体的请求权关系和形成权关系,无法形成具体的权利保护和实现秩序,那么排他策略下的抽象描述就根本没有被贯彻落实,个人信息决定权也就难以成为名副其实的支配权。
(四)个人信息决定权具有追及效力
1.可以追及客体所在衍生出请求权和形成权
从个人信息保护法第44条对决定权“有权限制或者拒绝他人对个人信息进行处理”的表述来看,决定权至少可以衍生出限制权和拒绝权这两种权利。如前所述,限制权就是权利保护秩序下的防御请求权,而拒绝权正是权利实现秩序下的利用形成权。而且按照一般理解,个人信息决定权作为一种抽象权利,其向下衍生出的权利并不限于限制权和拒绝权。与限制权和拒绝权性质相当、在其他条文中已经被明确规定的具体利用性权利和防御性权利,也应当统辖于个人信息决定权。这样,个人信息决定权就应当向下衍生出指向权利保护和实现秩序的具体请求权和形成权,前者包括删除权、更正权、限制权,后者包括同意权、撤回权、拒绝权。
个人信息决定权可以向下衍生出请求权和形成权,还不足以证成存在追及效力,必须分析这种请求权和形成权关系的构建是否遵循了追及客体所在之处的逻辑。关键要判断,对于个人信息所在之处的任何他人,决定权人是否原则上都可以向他们主张决定权衍生的请求权和形成权。
首先,决定权下具体权利指向的义务主体被描述为“个人信息处理者”,根据个人信息保护法第73条第1项的规定,个人信息处理者是在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。其中,如前所述,“个人信息处理”概念是对个人信息上用益利益的“打包”描述,因此围绕该概念所界定的个人信息处理者,就指向在个人信息所在之处实际享有个人信息上各种用益利益的人。可见,“个人信息处理者”这一对义务主体的宽泛描述,采取了追及客体所在之处的追及效力逻辑。
其次,个人信息保护法第69条明确规定,处理个人信息造成个人信息权益损害的,处理者要承担较为严格的“过错推定”责任。这等于承认个人信息决定权具有“社会典型公开性”,可以追及客体所在之处,对任何损害个人信息利益归属关系的处理者主张过错和主观违法。在保护与自由的协调上,并没有采取侵害债权等非支配权的严格过错要求、限制侵权责任成立的做法。
2.个人信息决定权的追及效力受到一定限制
个人信息决定权的追及效力也受到一定的限制,个人信息所在之处的他人可能享有较多的抗辩权。首先,在个人信息处理多元合法基础的框架下,即使与个人意思相违背,他人也并非不能合法处理个人信息,在其有法定权限的情况下,决定权主体的意思原则上并不优先,不能向他们主张防御请求权和任意撤回权。
其次,根据个人信息保护法第73条处理者“自主决定”的要求,决定权指向的义务人并不包括那些非自主处理的主体。例如,因他人委托而实施处理行为的受托人,不属于个人信息处理者的范畴,一般不是决定权指向的义务人。因此,个人不能追及到这类主体行使防御请求权。
再次,一般认为,支配权追及效力的典型体现是破产程序中的取回。就破产取回而言,个人信息保护法第22条明确规定,个人信息处理者因被宣告破产等原因,需要转移个人信息给其他自主处理者的,仅需向个人告知相关信息,其他自主处理者继续履行相应义务即可。只有在变更处理目的、方式的情况下,才需要重新取得个人同意。可见,个人信息决定权人原则上不可以在处理者破产时自动“取回”其个人信息,追及效力受到额外限制。
3.个人信息决定权仍然具有相当的追及效力
即便如此,个人信息决定权还是具有相当的追及效力。首先,多元合法基础的框架仅仅表明,追及效力产生的推定违法效果可以基于其他合法基础的满足而被推翻。但在处理者未经同意处理个人信息时,仍应推定其违法,其需要通过证明和援引其他合法基础来阻却违法。因此,不能基于多元合法基础的框架就否定追及效力的存在,这与不能因为所有权人负担法定容忍义务,就认为所有权不具有追及效力的道理一样。
委托处理下的受托人虽然不属于个人信息处理者,但仍然受到个人信息决定权追及效力的限制。首先,受托人处理个人信息时,要承担证明受托地位以阻却违法的举证责任,否则仍然可以直接对其主张防御性请求权。其次,按照《信息安全技术个人信息安全规范》(GB/T 35273—2020)第9.1条第c款第3项的规定,决定权人向委托人主张权利时,受托人仍然要承担协助义务。另外,在个人行使撤回权、拒绝权,终止委托人既有的合法处理权限或者委托人处理个人信息存在错误、违反义务要求的情况时,受托人继续处理超出了既有的委托权限和目的,并很可能脱离了委托人的控制,此时个人也可以直接向受托人主张防御性请求权。
对于破产取回来说,不需要额外请求同意,仅仅意味着决定权人不能以未额外取得同意为由径直主张删除或限制,但决定权人仍然可以向接收个人信息的主体主张撤回权或者拒绝权,在终止意定或者法定权限后,再向其主张删除权、限制权;在个人信息存在错误时,当然也可以径直主张更正权。另外,全国人大法工委也强调,不需要额外请求同意应当以接收方与原处理者业务类似、能力相当为前提,否则个人仍然可以主张“取回”。因此,决定权衍生出来的权利仍然可以追及到破产后接收个人信息的处理者处。
综上,个人信息决定权的追及效力虽然受到限制,但该权利仍然具有相当的追及效力,同时在利益归属上也采取了倾向于排他策略的描述,与所有权等典型支配权具有核心相似性,特别是在承认知识产权属于非典型支配权的情况下,也应当肯定个人信息决定权构成非典型的支配权。之所以“非典型”,是因为个人信息决定权在客体以及追及效力的限制方面,与典型支配权有一定差别。
(五)小结
个人信息决定权作为非典型支配权的结论具有四个方面的意义。首先,法院不能再以个人信息上不存在支配权为由,对侵权行为违法性的认定任意采取“场景化”的权衡方法。他人未经同意处理个人信息的行为,通常应当推定具有违法性,除非处理者证明其处理行为具有其他明确规定的合法基础或者符合其他法定的抗辩事由,享有相应的抗辩权。其次,个人信息决定权作为支配权的界定,以及“个人信息保护”位于民法典人格权编的安排,为人格权规则(例如第995条)在个人信息决定权中的适用提供了依据,也为部分知识产权、物权规则的类推适用提供了可能的空间。再次,个人信息决定权非典型支配权的界定,实证性地揭示了民法传统的权利分析概念、思维以及描述策略在权利的实际立法构建上仍然有相当重要的范式影响,也为其他权利分析问题的解决提供了借鉴。最后,个人信息决定权作为一种非典型支配权,展现了极具特点的支配权构建方案,为深入理解利益归属的排他描述策略提供了生动实例,为支配权理论的更新和发展提供了新的研究样本。
结 论
个人信息决定权作为非典型支配权,实质上发挥着抽象的“个人信息权”的作用,其向下统辖、衍生出作为形成权的同意权、撤回权、拒绝权,以及作为请求权的删除权、更正权、限制权,确立了个人对内容层个人信息的原初支配秩序,形成了个人信息权的独特体系。在他人有处理权限的交换处理场合,个人也享有指向内容层个人信息的知情权和携带权。原初支配秩序和交换处理秩序中的两大权利系统,构成了个人信息权利的基本脉络。
作者:萧鑫,中国社会科学院法学研究所助理研究员。
来源:《法学研究》2023年第6期。