我國(guó)個(gè)人信息權(quán)的立法保護(hù)

雷婉璐

【關(guān)鍵詞】利益沖突 ?信息自由 ?私權(quán)至上 ?以私權(quán)保護(hù)為中心

【中圖分類號(hào)】D90 ? ? ? ? ? ? ? ? ? ? ? ? 【文獻(xiàn)標(biāo)識(shí)碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2018.23.011

至今為止，我國(guó)學(xué)界對(duì)個(gè)人信息權(quán)的研究已有十幾年，形成了值得肯定的研究成果，但個(gè)人信息保護(hù)法律關(guān)系中的利益分析一直未能引起足夠的重視。十三屆全國(guó)人大常委會(huì)于2018年將個(gè)人信息保護(hù)法的制定提上了立法日程。其中，個(gè)人信息保護(hù)的立法理念和價(jià)值取向問題值得研究。這個(gè)問題總體表現(xiàn)為信息自由利益與私權(quán)保護(hù)利益的沖突，這既是個(gè)人信息保護(hù)法律關(guān)系中的基本矛盾，也是個(gè)人信息保護(hù)法的立法困境。對(duì)此，世界各國(guó)依據(jù)不同的衡量原則和價(jià)值取向選擇了不同的方案，主要形成了以美國(guó)為代表的信息自由模式和以歐盟為代表的私權(quán)至上模式。有鑒于此，本文采用比較研究的方法，對(duì)美國(guó)與歐盟有關(guān)個(gè)人信息保護(hù)的最新進(jìn)展進(jìn)行比較分析。在此基礎(chǔ)上，結(jié)合我國(guó)現(xiàn)有的法律體系、立法傳統(tǒng)和司法環(huán)境，提出我國(guó)應(yīng)當(dāng)如何處理個(gè)人信息保護(hù)與開發(fā)利用這對(duì)基本矛盾的基本構(gòu)想，為個(gè)人信息保護(hù)法立法中的某些問題提供可能的解決方案。

信息自由模式

在信息自由和私權(quán)保護(hù)的利益衡量上，美國(guó)傾向于前者，從而形成了個(gè)人信息保護(hù)的信息自由模式。美國(guó)國(guó)會(huì)在進(jìn)行有關(guān)個(gè)人信息保護(hù)立法時(shí)，首先考慮立法是否會(huì)產(chǎn)生阻礙信息自由流通或扼殺新興產(chǎn)業(yè)創(chuàng)新和經(jīng)濟(jì)發(fā)展的風(fēng)險(xiǎn)，傾向于保護(hù)信息自由帶來的利益。這種傾向體現(xiàn)在公共部門和私營(yíng)部門兩個(gè)方面。

美國(guó)的立法實(shí)踐。美國(guó)在公共部門中有關(guān)個(gè)人信息保護(hù)的綜合性法案主要是1966年的《信息自由法案》（Freedom of Information Act）和1974年的《隱私法案》（Privacy Act）?！缎畔⒆杂煞ò浮芬?guī)定了在聯(lián)邦層面，除商業(yè)秘密和一些明顯侵犯?jìng)€(gè)人隱私的政府記錄之外，任何人均可獲得包含個(gè)人信息的公共記錄。[1]州層面對(duì)個(gè)人信息的保護(hù)則更為薄弱，有的如聯(lián)邦法一樣只對(duì)明顯侵犯隱私的記錄提供保護(hù)，有的根本沒有提供隱私保護(hù)的條款。[2]這反映了美國(guó)在開放政府上的傳統(tǒng)觀念，將信息公開視作民主社會(huì)的重要標(biāo)志，對(duì)信息自由流通的價(jià)值給予肯定。與《信息自由法案》相伴而生的《隱私法案》雖然是為了規(guī)范聯(lián)邦政府機(jī)構(gòu)收集、處理、利用個(gè)人信息的行為，但存在很大的局限性。首先，它只適用于聯(lián)邦機(jī)構(gòu)。其次，《隱私法案》中例外條款的廣泛使用極大地削弱了其在限制聯(lián)邦政府披露個(gè)人信息方面的義務(wù)，因而未能為個(gè)人信息保護(hù)提供有效的作為。如聯(lián)邦政府機(jī)構(gòu)向人口統(tǒng)計(jì)局等各種聯(lián)邦政府機(jī)關(guān)進(jìn)行信息披露均屬無須信息主體同意的例外情況。[3]再如聯(lián)邦機(jī)構(gòu)通過引用“例行使用（Routine Use）”條款幾乎證成了任何不經(jīng)個(gè)人同意而披露信息的行為的合法性。[4]可見，美國(guó)在公共領(lǐng)域并沒有為個(gè)人提供私權(quán)上的有力保護(hù)，以對(duì)抗公權(quán)力，而是更為重視公共記錄這種信息類型的自由流通。

在私營(yíng)部門，美國(guó)采用根據(jù)不同領(lǐng)域特別立法的“分散立法”模式。這種模式的保護(hù)范圍比較狹窄，不利于企業(yè)建立其對(duì)個(gè)人信息保護(hù)的責(zé)任意識(shí)。同時(shí)，美國(guó)的公司和行業(yè)群體強(qiáng)烈支持通過行業(yè)自律來保護(hù)個(gè)人信息，形成了自我規(guī)制的主導(dǎo)模式。但是，“自我規(guī)制”經(jīng)常導(dǎo)致消費(fèi)者無法控制其個(gè)人信息而被企業(yè)濫用，且企業(yè)逐利性的不斷膨脹會(huì)不斷擠壓個(gè)人信息的安全空間”。同時(shí)，美國(guó)在個(gè)人信息保護(hù)方面沒有統(tǒng)一的監(jiān)管與執(zhí)法機(jī)構(gòu)。美國(guó)最有影響力的執(zhí)法機(jī)構(gòu)是聯(lián)邦貿(mào)易委員會(huì)（FTC），但它在性質(zhì)上并不是保護(hù)個(gè)人數(shù)據(jù)的專門機(jī)構(gòu)，因而只能在企業(yè)違反了《聯(lián)邦貿(mào)易委員會(huì)法》第五條構(gòu)成不正當(dāng)或欺騙性行為時(shí)才能有所作為，故在個(gè)人信息的保護(hù)上能做的十分有限。最后，除了一些敏感信息之外，美國(guó)采用“選出制度”——只要消費(fèi)者沒有作出相反的意思表示即視為同意。如一般來說，美國(guó)企業(yè)在反垃圾郵件法的調(diào)整下被允許向任何人發(fā)送商業(yè)郵件，只要接收者沒有選擇不接受該公司的類似郵件。[5]“美國(guó)選擇的選出制度雖然對(duì)信息主體不利，因?yàn)樗扇〉淖龇ńo信息主體科以嚴(yán)格的作為義務(wù)，但是此制度對(duì)信息的自由流動(dòng)和有效利用有利?！盵6]

美國(guó)信息自由模式的成因分析。信息自由模式的優(yōu)勢(shì)在于極大地促進(jìn)了科技創(chuàng)新和經(jīng)濟(jì)發(fā)展，這種模式的形成主要有兩個(gè)原因。第一，美國(guó)以隱私權(quán)作為個(gè)人信息保護(hù)的權(quán)利基礎(chǔ)，個(gè)人信息值得保護(hù)的原因在于其包含的隱私價(jià)值。因此，美國(guó)只為涉及隱私內(nèi)容的個(gè)人信息提供較為嚴(yán)厲的保護(hù)，對(duì)于一般信息則側(cè)重于自由流通。第二，美國(guó)的憲法結(jié)構(gòu)強(qiáng)調(diào)不受干涉的消極自由，隱私保護(hù)的重要性在于免受政府的侵害。美國(guó)政府傾向于充當(dāng)守夜人的角色，尤其對(duì)經(jīng)濟(jì)市場(chǎng)，更多地依靠市場(chǎng)這只看不見的手自身調(diào)節(jié)。因此，企業(yè)很大程度上依靠自我規(guī)制，政府只針對(duì)特定行業(yè)進(jìn)行必要監(jiān)管，為個(gè)人信息的自由流通留下了很大的空間。

私權(quán)至上模式

歐盟有關(guān)個(gè)人信息保護(hù)的最新進(jìn)展體現(xiàn)在2018年5月生效的《歐盟條例》。該條例以保護(hù)信息主體的信息權(quán)為主線，表現(xiàn)為典型的“私權(quán)至上”模式，這意味著歐盟在信息自由流通和私權(quán)保護(hù)二者的價(jià)值衡量中，傾向于保護(hù)信息主體個(gè)人信息權(quán)所蘊(yùn)含的價(jià)值。

歐盟個(gè)人信息保護(hù)的立法實(shí)踐。相比美國(guó)的分散式立法，《歐盟條例》適用于各行各業(yè)涉及的個(gè)人數(shù)據(jù)的收集、使用與處理，為個(gè)人信息權(quán)提供相對(duì)明確、統(tǒng)一且系統(tǒng)的保護(hù)。同時(shí)，歐盟要求各成員國(guó)建立統(tǒng)一、獨(dú)立、權(quán)威的數(shù)據(jù)監(jiān)管機(jī)構(gòu)。[7]這體現(xiàn)了歐盟堅(jiān)決捍衛(wèi)個(gè)人信息權(quán)的明確態(tài)度，將個(gè)人信息權(quán)的保護(hù)從文本落到實(shí)處。同時(shí)，歐盟十分重視信息主體對(duì)其個(gè)人信息的控制權(quán)?！稓W盟條例》第七條第1款明確指出：“處理以同意為基礎(chǔ)，數(shù)據(jù)控制者應(yīng)當(dāng)能夠證明數(shù)據(jù)主體已經(jīng)同意處理他/她的個(gè)人數(shù)據(jù)。”“同意”必須是在自由知情的前提下作出的明確清晰的意思表示[8]，且賦予數(shù)據(jù)主體撤回權(quán)[9]，并將“同意”的證明責(zé)任施加給數(shù)據(jù)控制主體。這也意味著在個(gè)人信息的二次使用上，歐盟傾向于“選入制度”，即只有信息主體明確同意，信息處理者才可以進(jìn)行相應(yīng)的信息行為。這對(duì)數(shù)據(jù)控制主體提出了更高的要求，也為數(shù)據(jù)主體提供了更有力的保護(hù)。另外，《歐盟條例》第三章賦予數(shù)據(jù)主體數(shù)據(jù)更改權(quán)、被遺忘權(quán)、限制處理權(quán)、數(shù)據(jù)可攜帶權(quán)及拒絕權(quán)，為數(shù)據(jù)主體提供完整的權(quán)利保護(hù);第四章和第八章通過向數(shù)據(jù)控制者、處理者施加嚴(yán)格的義務(wù)和責(zé)任為數(shù)據(jù)主體提供有效的救濟(jì)。

歐盟私權(quán)至上模式的成因分析。美國(guó)偏重于保障信息自由，歐洲則注重保護(hù)個(gè)人權(quán)利。這種傾向基于以下三方面原因。第一，歐盟將個(gè)人信息權(quán)看作一項(xiàng)基本人權(quán)，個(gè)人數(shù)據(jù)保護(hù)的重要性在于對(duì)基本人權(quán)的保護(hù)，對(duì)人格尊嚴(yán)的尊重。因此，歐盟積極展開立法，主動(dòng)承擔(dān)保護(hù)公民個(gè)人信息的責(zé)任。第二，在美國(guó)，有關(guān)隱私的大部分論述主要集中在作為個(gè)體的個(gè)人利益之上，如“個(gè)性、自治、尊嚴(yán)、情感釋放、自我評(píng)價(jià)以及人與人之間的戀愛關(guān)系、朋友關(guān)系和信任。也就是完成自我實(shí)現(xiàn)的個(gè)人目標(biāo)”[10]。相反，歐洲國(guó)家則將隱私看作一種更廣泛的社會(huì)需求。如法國(guó)在其立法目的的表述中說道：“信息技術(shù)應(yīng)當(dāng)為每個(gè)公民服務(wù)，它的發(fā)展應(yīng)當(dāng)在國(guó)際合作的背景下進(jìn)行。不得侵犯人的身份、人權(quán)、隱私或個(gè)人和公共自由?！盵11]這種價(jià)值不僅關(guān)乎個(gè)人，而且關(guān)乎全社會(huì)。因此，歐盟從人權(quán)保障角度出發(fā)，將對(duì)個(gè)人數(shù)據(jù)的保護(hù)看作對(duì)民主社會(huì)的維護(hù)。第三，在美國(guó)和歐洲社會(huì)，人們對(duì)權(quán)利可能受到侵犯的感知度不同，這源于它們不同的經(jīng)歷。美國(guó)社會(huì)（至少是大部分白人社會(huì)）缺少歐洲社會(huì)經(jīng)歷過的極權(quán)主義壓迫經(jīng)驗(yàn)所帶來的精神創(chuàng)傷，這些創(chuàng)傷給歐洲的立法政策施加了特殊的壓力和擔(dān)憂。[12]這讓歐洲國(guó)家在針對(duì)可能侵犯公民權(quán)利的立法上尤為謹(jǐn)慎。

我國(guó)個(gè)人信息立法保護(hù)的應(yīng)然路徑

在個(gè)人信息保護(hù)法的框架搭建上，我國(guó)應(yīng)當(dāng)合理借鑒歐盟的相關(guān)經(jīng)驗(yàn)，堅(jiān)持以私權(quán)保護(hù)為中心的立法原則，充分保護(hù)信息主體的信息控制權(quán)，加強(qiáng)信息利用主體的責(zé)任。

以私權(quán)保護(hù)為中心的立法原則。堅(jiān)持以私權(quán)保護(hù)為中心的立法原則是因?yàn)橐韵聨c(diǎn)。首先，個(gè)人信息權(quán)所保護(hù)的利益屬于人格利益，而人格利益具有價(jià)值位階上的普遍優(yōu)先性。因此，人格利益應(yīng)當(dāng)置于優(yōu)先保護(hù)的地位。其次，近年來，信息泄露事件不勝枚舉，造成了十分嚴(yán)重的后果，這種現(xiàn)象如果不加以嚴(yán)厲制止，公民的人格利益、財(cái)產(chǎn)利益乃至公共利益都將會(huì)遭受更為嚴(yán)重的損害。最后，從國(guó)際貿(mào)易角度來看，無論信息業(yè)者身在何處，只要涉及對(duì)歐盟內(nèi)數(shù)據(jù)主體數(shù)據(jù)的處理，就要受到《歐盟條例》的約束。我國(guó)個(gè)人信息權(quán)保護(hù)的標(biāo)準(zhǔn)如果明顯低于《歐盟條例》的要求，將嚴(yán)重影響我國(guó)與歐盟國(guó)家之間進(jìn)行的信息流通，從而影響到我國(guó)與歐盟國(guó)家間的貿(mào)易往來。

我國(guó)個(gè)人信息保護(hù)的具體措施。結(jié)合上述美歐沖突的經(jīng)驗(yàn)，我國(guó)應(yīng)當(dāng)從“充分保護(hù)信息主體的信息控制權(quán)”和“加強(qiáng)信息利用主體責(zé)任”兩個(gè)方面貫徹以私權(quán)保護(hù)為中心的立法原則。

第一，充分保護(hù)信息主體的信息控制權(quán)。我國(guó)的個(gè)人信息保護(hù)法應(yīng)當(dāng)保障信息主體對(duì)其信息的控制權(quán)。首先，限定“同意”的實(shí)質(zhì)性構(gòu)成要件，即同意應(yīng)當(dāng)是信息主體在知情的前提下，基于自由意志作出的清楚明確的意思表示。其次，賦予信息主體與信息控制權(quán)相關(guān)的一系列權(quán)利，包括信息保密權(quán)、信息查詢權(quán)、信息更正權(quán)、信息封鎖權(quán)、被遺忘權(quán)和報(bào)酬請(qǐng)求權(quán)等。最后，保障信息主體能夠獲得救濟(jì)和補(bǔ)償，這是信息主體能夠切實(shí)享有信息權(quán)利的程序性保障。

第二，加強(qiáng)信息利用主體的責(zé)任。責(zé)任以法定義務(wù)為前提，個(gè)人信息保護(hù)法應(yīng)當(dāng)明確信息利用者應(yīng)當(dāng)承擔(dān)的法定義務(wù)。首先，通知義務(wù)。數(shù)據(jù)處理主體應(yīng)當(dāng)切實(shí)保證信息主體充分知曉其信息何時(shí)被處理，由誰(shuí)處理以及如何處理。更為重要的是，法律應(yīng)當(dāng)就通知的形式作出規(guī)定，如通知應(yīng)當(dāng)以盡量明顯的方式作出，不應(yīng)隱藏在信息主體不易察覺到的地方;是否通知及獲得信息主體同意的證明責(zé)任應(yīng)當(dāng)施加給信息利用主體。其次，保密義務(wù)。信息利用者應(yīng)當(dāng)積極采用特定的信息保密技術(shù)履行保密義務(wù)，如P3P技術(shù)。再次，證明責(zé)任。應(yīng)當(dāng)在個(gè)人信息侵權(quán)案件中采用舉證責(zé)任倒置的證明原則，由信息利用主體承擔(dān)證明責(zé)任。這是因?yàn)樾畔⑿孤兜闹黧w通常為信息利用主體，信息主體本身難以獲知信息泄露的時(shí)間、方式和渠道，從而很難承擔(dān)個(gè)人信息被侵犯的證明責(zé)任。最后，應(yīng)當(dāng)明確信息利用主體違約責(zé)任或侵權(quán)責(zé)任的構(gòu)成要件和承擔(dān)方式，為信息主體提供切實(shí)的法律救濟(jì)。

（本文系國(guó)家社科基金青年項(xiàng)目“國(guó)家治理體系中的邊疆司法治理研究”的階段性成果，項(xiàng)目編號(hào)：17CFX003）

注釋

[1]5 U.S.C.§552（b）（4）（6）.

[2][4]See Paul M. S.， "Privacy and Participation： Personal Information and Public Sector Regulation in the United States"， Iowa Law Review， 1994， p. 605， p. 586.

[3]5 U.S.C.§552a（b） （4）-（12）.

[5]See Alan C.R.， The Privacy，Data Protection and Cybersecurity Law Review. Law Business Research Ltd.， 2014， p. 276.

[6]齊愛民：《個(gè)人信息開發(fā)利用與人格權(quán)保護(hù)之衡平——論我國(guó)個(gè)人信息保護(hù)法的宗旨》，《社會(huì)科學(xué)家》，2007年第2期，第9頁(yè)。

[7]General Data Protection Regulation， Art.51.1 & 52.1.

[8]General Data Protection Regulation， Art.4.11.

[9]General Data Protection Regulation， Art.4.3.

[10][11]See Lee A.B.， "Privacy and Data Protection in an International Perspective"， Scandinavian Studies in Law， 2010， p. 171， p. 173.

[12]James B. R.and Graham G.， Global Privacy Protection， p. 16.

責(zé) 編∕刁 娜