摘要: 数字时代的到来,赋能经济发展和社会变革的同时也使公民个人信息成为数字时代的巨大商机。随着而来的是一系列矛盾和问题,尤其是个人信息泄露、滥用事件层出不穷。公民作为信息主体却失去了对个人信息的控制和使用的权利,在数字时代,保护个人信息已成为社会共识,越来越多人期望确立个人信息权利,给予其民事权利的地位,更全面、更好地保护公民关于个人信息的相关权益。本文将从个人信息的概念、个人信息权的法律含义等理论基础出发,围绕个人信息权的权利构造,树立“两头强化,三方平衡”的理论,并此理论指导下进一步厘清个人信息权的权利构成的三项必备要素,即义务主体、客体和权利内容。
Abstract: The arrival of the digital age, while empowering economic development and social change, has also turned citizens’ personal information into a huge business opportunity in the digital era. Accompanying this are a series of contradictions and issues, particularly the frequent occurrences of personal information leaks and misuse. Citizens, as information subjects, have lost the rights to control and use their personal information. In the digital age, protecting personal information has become a social consensus. More and more people hope to establish personal information rights, granting them the status of civil rights, to more comprehensively and better protect citizens’ related rights and interests regarding personal information. This article will start from the theoretical foundations of the concept of personal information and the legal implications of personal information rights, focusing on the rights structure of personal information rights. It will establish the theory of “strengthening both ends, balancing three parties,” and under this theory, further clarify the three essential elements of the rights structure of personal information rights, namely the obligated party, the object, and the content of the rights.
1. 问题的提出
随着数字科技的蓬勃发展与智能革命的不断深化,人类社会正逐步发展成为一个以高度智能化、全面信息化及网络化为核心特征的数字社会。数字社会时代为人类生活带来的影响是双面的,数字科技抓取信息并使得海量的个人信息和商业资料在互联网流动[1],极大地便利了人们的生活也为经济社会的发展赋予了新动能。但另一方面,数字鸿沟、算法黑箱、算法歧视的迅速发展,海量的数字信息实际上都处于被企业复制、限制和控制的状态[2],而公民作为信息来源的主体却失去了对个人信息的控制和使用的权利。
数字科技发展至今,已经与社会大众的生活密不可分,越来越多公民个人信息不可避免地数字化成为巨大的商机。数据信息蕴含着庞大的经济利益,在数据信息开发、处理与流动的过程中也催生了一系列复杂且棘手的矛盾与问题。其中,个人信息泄露与滥用现象频发尤为引人关注,其严重侵犯了人民群众生活安宁、生命健康权益以及财产安全,构成了不容忽视的社会隐患。鉴于此,加强对个人信息的保护已成为历史发展的必然趋势。然而,关于个人信息究竟应被视为权利还是利益的问题,自2017年《民法总则》颁布以来便一直存在争议,且在后续的《民法典》与《个人信息保护法》中仍未得到明确解决。但是,个人信息究竟是权利抑或是利益,这一争议存在已久,至今仍未得到解决。现今,立足于民法典的条文,从文义解释与教义学分析的角度进行分析,也无法明确知悉民法究竟是将个人信息作为一项民事权利,还是一项民事权益进行保护[3]。
在数字时代背景下,个人信息保护的重要程度已然为社会公众所知悉,越来越多的人希望法律加强对个人信息的保护。然而,法律为何未能明确赋予个人信息以权利的地位予以保护?部分观点主张,确立个人信息权可能会妨碍公共利益的实现,尤其是在个人信息处理方面会受到限制。然而,这一担忧或许过于片面。事实上,个人信息权的确立,并不意味着权利主体可以无限制地行使权利,从而排斥信息处理者基于合法劳动所享有的权益。相反,合理的个人信息权制度设计,应当能够平衡个人权利保护与公共利益实现之间的关系。
本文尝试建构数字时代个人信息权的权利构造,以期推动个人信息权确立能够实现个人信息权权利主体与个人信息处理者之间利益的平衡。
2. 数字时代个人信息权概念明晰及属性辨析
我国法关于个人信息保护的相关规范,散见于《民法典》《个人信息保护法》以及各层级行政法规、部门规章、规范性文件等规范之中。上述规范中都未对个人信息权作出明确规定,而在学术界和司法实践中,也存在对个人信息的法律属性认识不一的问题。
(一) 数字时代个人信息的概念明晰
从比较法上对个人信息的界定来看,主要存在有两个界定标准:“识别说”标准和“关联说”标准。“识别说”标准下个人数据是指与一个已识别或能够被识别的自然人相关的所有信息。通过这些信息被直接或间接地识别出某个具体的自然人,那这些信息就可以界定为个人信息。这些信息涵盖了个人的姓名、身份证号码,以及一系列与个人紧密相关的其他信息,包括但不限于生理特征、基因数据、心理状态、经济状况、文化背景和社会身份等。在比较法领域中,还存在一种被称为“关联说”的理论观点,用于界定个人信息的范围。该观点主张,任何与特定个人存在关联的信息,无论其形式如何,均应被视为个人信息。由于个人信息外延丰富,无法通过列举法将其全部外延予以概括,因此比较法采取了灵活开放的界定方式。
在我国立法层面,我国于2021年11月施行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)对个人信息作出了明确的规定:“个人信息是以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。在数字时代,个人信息大多通过数字技术进行数据转化,并以电子数据的形式在互联网空间存储或加以应用,因此个人信息也应同时受到《中华人民共和国数据安全法》(以下简称《数据安全法》)的保护。
基于我国法律对个人信息概念的界定,再结合比较法上的“识别说”和“关联说”,可将个人信息界定为,特定自然人通过电子或其他形式所记录,能够反映其个性特征,并具有个人身份识别性的,能够单独或者与其他信息结合即可直接识别特定自然人身份有关的所有信息[4]。在该定义下,个人信息具备两个关键特质,分别是可识别性和关联性。可识别性是指信息处理者能够通过信息所传递的内涵,明确地将之与某个自然人对应起来,从而建立起个人信息与主体之间的稳定联系[5]。关联性,是界定个人信息与非信息之间界限的关键标准,指的是信息与某一特定自然人的身份之间存在着紧密联系,能够准确地描述和反映该自然人的个体特征,从而使之成为能够特定化指向该自然人的数据。
(二) 数字时代个人信息权的概念明晰
在比较法视域内,个人信息保护基本权利的概念表达存在多种形式,其在国内理论研究中也存在不同的表达。第一种是个人信息自决权与个人信息控制权[6]。该表达强调个人对其个人信息享有近似所有权的支配权。第二种是个人信息权,它是指与个人信息收集、使用和处理等相关的权利束[7]。该权利束包含知情同意、查阅复制、异议更正、拒绝和删除等权利,它们赋予个人在信息处理过程中有限的自主决策和控制的权利。这些权利基于个人的自由意志,使个人能够参与信息处理的决策过程,从而保护其个人信息[8]。这种概念表述聚焦于权利的本质,不仅覆盖了权利所针对的对象,即个人信息,还涉及到对个人信息处理的规范和约束。此外,这种表述为进一步的解释和探讨留下了空间,使得这一概念具有足够的灵活性和发展性。第三种是个人信息受保护权。该种表述并非以个人信息为客体,摒弃了个人独占、控制信息的观点,而是直接指出个人在信息处理过程中应当获得的保护。上述三种概念表达方式的区别主要体现在个人信息处理过程中,对个人信息的保护程度及方式上的不同侧重。具体而言,个人信息自决权与信息控制权着重强调个人对其信息所享有的支配性权利,这包括个人在信息处理流程中的决策参与度以及对个人信息行使的自主决定权。相较之下,个人信息受保护权则更注重国家对个人在信息处理过程中应提供保护的义务。
综上所述,个人信息权是自然人在数据处理过程中所享有的权利,其实质上是赋予了个体一定程度的数据控制权。这种控制权具体表现为,个人有权对其个人信息的收集、使用、分析及其他数据处理活动的决定权。个人信息权并非单一权利,而是由一系列具体权利所构成的,包括知情权、访问权、删除权、更正权、拒绝权和可携权等。这些具体权利共同构成了个人信息权的“权利簇”,为个人在数据处理过程中提供了全面的保护[9]。
3. 个人信息权的权利构造
从人格权法的角度来说,自然人对其个人信息享有民事权利,这是一种具体的新兴人格权类型。在权利构造层面,首先应当确立“两头强化,三方平衡”的理论原则,基于“两头强化,三方平衡”理论原则进行个人信息权的权利构造,进一步厘清个人信息权的权利和义务主体、客体和权利内容,这也是权利构成的三项必备要素。
(一) 基于“两头强化,三方平衡”理论的个人信息权的权利构造
在个人信息保护领域里,存在一组需要平衡的利益关系。个人信息的合理利用与数据的自由流通对于推动数字经济的蓬勃发展以及提升政府治理效能具有不可忽视的重要意义;另一方面,个人信息的收集、整合与应用过程中潜藏着侵犯人格尊严的风险。因此,在全球范围内,个人信息保护立法的主要目标普遍聚焦于个人、信息业者及国家三者之间的利益平衡问题。以欧盟的《通用数据保护条例》第9条为例,该条款特别针对特殊类别的个人数据的处理作出了特殊规定。而在美国加利福尼亚州,立法者通过了《加州隐私权法案》,该法案在先前《加州消费者隐私法案》的基础上,进一步对敏感个人信息进行了细致的分类与定义,并配套制定了专门的保护条款,以确保这些敏感信息得到更为周全的法律保障[10]。可见,以“两头强化,三方平衡”[11]为理论基础的个人信息保护法律制度已经逐渐成为全球的趋势。这种法律制度的价值取向并非单一的,而是多元化和包容性的。其目标并不是单方面地追求个人、信息业者或国家某一方的利益最大化,而是力求在三者之间实现利益的平衡。在确保各方的核心利益得到法律充分保护的前提下,各方应愿意将非核心利益让渡给其他主体,从而实现各方共赢和共同发展的目标。
顺应世界个人信息保护的趋势,也为了为了促进大数据利用与个人信息保护之间的利益平衡,我国的个人信息保护法律制度应当确立“两头强化,三方平衡”的原则。个人信息保护不仅需要维护个人的尊严和自由,同时也要确保个人信息能够合法使用。基于“两头强化,三方平衡”理论进行个人信息权的权利构造,需要我们对个人信息权的权利与义务主体、权利客体以及具体的权利内容进行更为深入的厘清与界定。
(二) 个人信息权的权利主体和义务主体
个人信息权的权利主体应仅限于自然人而不包括法律拟制的民事主体。因为个人信息权作为一种新兴的人格权其核心价值基础在于人格尊严和人的自主性,其主要目的是在智能时代中维护人的内在价值和尊严,确保自然人数字人格的完整性。法人等法律拟制民事主体不具备人格尊严,自然没有维护其内在价值和尊严的需求,因此不能成为个人信息权的权利主体。从我国民事法律规范来看,我国《民法典》第110条明确规定法人人格权界仅包括名称权、名誉权和荣誉权。因此,法人类主体仅享有除“名称权、名誉权和荣誉权”,而不适宜认为其享有除以上三种具体人格权以外的其他具体人格权,故此法人类主体不能成为个人信息权的权利主体。
对于个人信息权的义务主体,应明确界定为除自然人本人以外的所有信息处理者。特别强调的是,国家也在此范畴之内,同为个人信息权的义务主体。根据《民法典》第1035条第3款和《个人信息保护法》第4条第2款的规定,个人信息的处理活动涵盖了信息的收集、存储、使用、加工、传输、提供、公开以及删除等一系列行为。因此,将个人信息权的义务主体界定为信息处理者,能够全面覆盖个人信息处理流程中的各个环节,包括但不限于收集、存储与使用等关键步骤。
随着数字时代的全面到来,社会治理也呈现出向数字化转型的态势,在这一趋势下我国也出台了数字政府建设意见。数字政府的建设不可避免地会在行政过程中对公民个人数据进行频繁的处理活动,在这一过程中就潜藏着数据侵权的风险,因此国家也是个人信息权的义务主体。
(三) 个人信息权的权利内容
个人信息权与其权能是部分与整体的关系。个人信息权各项权能组成了个人信息权这一整体。个人信息的权能包括积极权能和消极权能两个部分。个人信息权的积极权能是指权利主体对其个人信息的各种可能实施的支配行为,该支配行为的目的在于实现权利、享有利益。积极权能主要是个人信息权主体通过实施主动行为来实现自身权益。个人信息权的消极权能是指权利主体为保护权利免受侵犯而实施的排除他人具体干涉以及禁止他人实施具体的侵害行为的行为。个人信息权的积极权能与消极权能共同构成了完整的个人信息权,二者相互独立又相辅相成。
个人信息权的积极权能主要有:1) 个人信息使用许可权,即同意权。《民法典》第993、1035条第1款第1项明确规定自然人可以许可他人使用其个人信息,处理个人信息应当以征得自然人或其监护人同意为原则。2) 知情权。第1035条第1款第2、3项规定个人信息处理须符合“公开处理信息的规则”“明示处理信息的目的、方式和范围”。个人信息权的知情权与同意权构成了其最显著的积极权能。知情权是信息主体拥有对其信息的持有和使用的权利,而这是自然人行使个人信息同意权的基础。在大数据时代,个人信息的财产价值利益越来越突出,自然人对其个人信息财产价值的支配就体现为个人信息权的决定权和处分权。因此,个人信息权的知情权、决定权和处分权在个人信息保护中具有非常重要的地位。个人信息权的消极权能主要有:1) 更正权。第1037条规定自然人“发现信息有错误的,有权提出异议并请求及时采取更正等必要措施”。个人信息权中的更正权体现在当个体发现其个人信息存在错误记录时,有权要求对这些信息进行修正。这种错误有时可能对个人生活产生重大影响。2) 删除权,即当信息控制者收集、处理个人信息不符合法律规定或者约定时,自然人有权要求信息控制者及时删除其个人信息。
(四) 个人信息权的权利客体范围
个人信息满足民事权利客体的要求,具备成为人格权的资格[5]。个人信息权的权利客体为个人信息。但是个人信息与隐私信息之间存在交叉,某些信息可能具备隐私信息和个人信息的双重属性,因此需要理清个人信息权和隐私权的权利客体范围。纯粹的个人隐私是个人生活最私密、最直接关系个人人格尊严的部分,自然属于隐私权的保护范围[12]。根据《民法典》第1034条和《个人信息保护法》第4条的规定,个人信息是以电子或其他方式记录的与已识别或可识别的自然人相关的各种信息,但不包括经过匿名化处理的信息。这种个人信息是一种纯粹的个人信息,不涉及隐私和隐私信息,属于个人信息权的客体。同时,匿名化信息并不属于个人信息权的保护范围,即匿名化信息不属于个人信息权的客体。
此外,《个人信息保护法》第28条所规定的敏感个人信息属于个人信息权的客体范围。这些信息包括生物识别、宗教信仰、特定身份、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。个人信息权的保护对象是自然人愿意被他人知晓但不愿意被滥用的信息,旨在保护个人的意愿和控制自己信息的权利[13]。这类信息的敏感程度较高但尚未达到隐私和隐私信息的程度,因此可作为个人信息的客体进行保护。综上,宜将个人信息权的客体范围界定为纯粹的个人信息和敏感个人信息。
4. 结语
数字时代的到来,赋能经济发展和社会变革的同时也使公民个人信息成为数字时代的巨大商机。随着而来的是一系列矛盾和问题,尤其是个人信息泄露、滥用事件层出不穷。公民作为信息主体却失去了对个人信息的控制和使用的权利,无法保护自身个人信息相关权益,越来越多的公民迫切的要求享有并捍卫其个人信息权益。如何构建个人信息权利,实现个人信息保护衡平个人、信息业者和国家利益的平衡是数字时代个人信息保护领域内的关键问题。这要求厘清数字时代个人信息权概念及其属性,为个人信息权的权利构造奠定理论基础;树立“两头强化,三方平衡”理论,为个人信息权的权利构造提供原则指引。但是必须明确的是个人信息权的构建无法一蹴而就,必须从理论基础出发,一步一步稳扎稳打,破除理论争议,构建内在和谐、统一、协调、严密的个人信息权权利体系。