1. 个人信息权的概念界定
首先我国宪法并没有直接规定“个人信息权”这个概念。周汉华教授认为,《个人信息保护法》是个人信息保护领域的基本法,而不是民法的特别法1。王锡锌教授也认为,作为宪法基本权利的“个人信息受保护权”是个人信息保护法律体系的基础[1]。根据现有的基本权利条款,解释宪法上的个人信息权并明确其保护范围是一个非常重要的问题。个人信息权可以作为“权利束”存在的理由如下:
(一) 关于人的基本权利条款
宪法对人的基本权利保护的总括性规定,为个人信息保护提供了最广泛的宪法基础。总括性条款意味着可以众多权利被容纳其中并未被列举[2]。各国对于人的基本权利的表述各有不同。一是直接表达:直接在宪法文本中规定人的基本权利的字眼;二是间接表达:不在宪法文本中直接出现,但解释上表现为基本权利或基本权,比如日本宪法第三章章名是国民的权利与义务,第11条中使用了该概念,并在宪法文本中解释为本宪法所保障的国民的基本人的基本权利,为不可侵犯的永久权利,现在及将来均赋予国民[3]。那么我国对于“人的基本权利”这个概念如何解释呢?通说认为,人的基本权利是作为人应当享有的自由或资格。在具体的宪法体系上,个人信息关乎公民自身的相关利益,其保护自然属于人的基本权利保障的范畴。因此,该条款为个人信息保护提供了最根本的宪法依据。但是关于人的基本权利条款过于抽象,并不能为个人信息保护提供具体适用参考。
(二) 人格尊严
人格尊严是公民作为人所应享有的最基本、最重要的权利之一。个人信息作为个人身份和特征的体现,直接关系到公民的人格尊严。宪法为保护个人信息免受非法侵害且不受侵犯提供了宪法支持。张新宝教授认为,个人信息权益的核心就是个人的人格尊严[4]。高富平教授指出,人的尊严所派生出的权利包括个人自治、身份利益、平等利益等就是关于个人信息的保护[5]。个人自治和主体性是人格尊严的核心内容。在信息社会,个体应当有权自主决定其个人信息的使用方式、范围及目的,避免被他人窥探、压迫、控制、歧视或剥削。这一条款不仅为个人信息权的设立提供了正当性依据,还明确了个人信息处理活动的基本原则和界限。它要求信息处理者在收集、使用、处理个人信息时,必须尊重个体的意愿和权利,确保个人信息的安全和隐私不受侵犯。
(三) 通信自由与通信秘密
虽然通信自由条款的主要针对对象是通信自由和通信秘密,但通信信息中往往包含了大量的个人信息,但是在一定程度上可以理解为保护公民的通信自由和通信秘密就是在保护个人信息,该条款也在一定意义上为个人信息保护提供了间接的宪法依据。
总结上述三种观点,在宪法框架内,通过对宪法相关条款(第三十八条人格尊严和第四十条通信自由和通信秘密)的解释来间接证明个人信息权的宪法地位。个人信息权可以作为“权利束”存在[6]。在个人信息保护领域,权利束表现为一组由法律赋予个人信息主体的权利集合体,包括但不限于知情权、决定权、查询权、更正权、复制权、删除权等。正如我国关于个人信息的立法借鉴欧盟《一般数据保护条例》(GDPR)模式,在立法表达中将权利束整合于“个人在个人信息处理活动中的权利”这一概念中。
个人信息权不仅是关于人的基本权利、人格尊严以及通信自由与通信秘密的“权利束”存在,在实践中个人信息也有其作为“权力束”的意义存在,其一可以强化对于个人信息的保护。将个人信息权视为“权利束”,有助于从多个角度和层面加强对个人信息的保护。拥有个人信息的主体可以依法行使各项权能,维护自己的合法权益。其二可以规范信息处理行为。个人信息权作为“权利束”存在,可以对信息处理者的行为进行有效的规制。信息处理者在处理个人信息时,必须遵守相关法律法规,尊重信息主体的权利,不得滥用或泄露个人信息。其三,可以促进信息的合理利用。在保障个人信息权益的同时,个人信息权作为“权利束”还可以促进信息的合理利用。信息主体可以在保障自身权益的前提下,授权信息处理者合理使用个人信息,推动社会经济的发展和进步。
2. 国内现状及挑战
在当今数字时代的潮流中,技术进步的同时也带来了法律规制上的落后,法律制定并出台这一过程性需要足够的时间成本,而社会的发展一如既往向前,具有前瞻性这一要求并不适用于法律。目前数字时代的到来给既有法律带来了严峻的考验,公民以及公民的个人信息流动于网络空间中会带来一系列问题,比如数据泄露、数据滥用更甚导致非官方平台对于数据的垄断,造成不正当竞争等。身处互联网时代中,“数据泄露事件屡见不鲜,同时给相关联的主体带来极为严重的经济与法律后果”,面对诸多问题,厘清这些个人数据的性质及其在宪法中基本权利的地位非常迫切,并在此基础上借鉴国外关于个人信息立法的相关经验,比较并完善对于公民个人信息的保护措施。特别是对于在公共平台中泄露的公民个人信息的保护,政府对于第三方平台的监管以及第三方在使用个人数据过程中受到的政府约束等方面还需要努力。“政务数据出让事件”2让许多人担忧政务数据资源在出让过程中,可能出现数据泄露、数据滥用甚至是个人隐私被侵害的风险。那么会产生以下疑问:这些政务数据的性质是什么?政府转让这些公共数据是合法合宪吗?公共数据的使用和流通通过特许经营权的交易转让给第三方平台,但是第三方平台在使用这些公共数据的过程中是否应当受到规制?
首先,需要界定的是这些政务数据资源是属于哪个领域范畴。个人信息是与自然人本身密切相关的信息,个人信息与自然人关联性高,具有高度人身相关性,因此该类信息应当由自然人本人对此作出相关处理。相反的是,个人隐私更多指向自然人私密的空间与活动,由此可知,个人隐私与个人信息存在交叉重叠的关系。其一,个人信息不同于个人隐私,需要通过特别立法加以规制和保护。其二,两者的范围有所差异。个人信息更偏向于自然人本身的信息,包括敏感信息。而个人隐私中除了私密信息涉及到个人信息外,私密空间和私密活动完全不涉及个人信息。当然,若是权利人选择公开自己的私密信息,使之不再具有私密性,但是依旧保留属于个人信息的性质。其三,个人信息可以进行相应地处理,比如收集、存储、使用等等,因此个人信息具有可处理性;个人隐私并不具有处理性,相反,个人隐私需要进行保护。为了避免个人隐私被侵犯,需要制定相关性的法律对其进行保护。
其次,在厘清个人数据的性质后,我们可以得知这些数据性质属于个人信息。个人信息在宪法中的地位主要体现在宪法对公民基本权利的保障上,尽管宪法条文中可能并未直接提及“个人信息”这一概念,但可以通过对相关条款的解读,可以明确宪法对个人信息保护的重视和保障。《个人信息保护法》中总则部分提出本法是“根据宪法,制定本法”,不仅强调了该法是在宪法精神和原则的指导下制定的,体现了对宪法权威的尊重和维护;而且是更具有实质性的意义。宪法和法律委员会也支持这一观点,因为在《个人信息保护法》草案审议报告中有这样的表述:“建议在草案二次审议稿第一条中增加规定‘根据宪法’制定本法。宪法和法律委员会经研究,赞同上述意见,建议予以采纳3。这表明立法机关不仅仅从民事权利的角度出发来理解个人信息保护,而是从更为基础和广泛的基本权利高度来定位这一问题。与个人信息保护相关联的基本权利条款、人格尊严条款、通信自由条款以及基本权利条款4。这些条款分别体现了国家对公民人格尊严、人的基本权利以及通信自由的尊重和法律保护。那么个人信息保护究竟划入哪个条款的保护范围?是否能将个人信息权作为宪法的基本权利?以及,如果成立个人信息权,国家应当对其如何保护?
3. 关于个人信息权的国外宪法立法比较
(一) 各国关于个人数据的宪法立法状况
明晰宪法视野下个人数据的权利范畴对于理解个人数据以及保护个人数据至关重要。首先要根据典型的几个国家对于个人数据的宪法立法术语,来界定个人数据的宪法地位。由于法律体系、文化传统、价值观念以及技术发展水平的不同,加上不同国家和地区在法律和理论层面上的不同侧重点和概念使用习惯,各个国家各有不同。比如欧洲国家,使用“个人数据”这一概念更加侧重,并将其作为法律保护的核心。这主要体现在欧盟的《一般数据保护条例》(GDPR)中,该条例旨在确保个人数据在处理过程中的合法性、透明度和安全性。在欧洲的法律体系中,“数据”与“信息”往往被视为可互换的概念,因为两者在保护个人权益的语境下具有相似的法律意义。相比之下,美国法律体系在保护个人隐私方面更为宽泛和灵活,不仅关注个人数据的保护,还涵盖了更广泛的隐私权益。美国法律中,“个人隐私”的概念更为综合,它不仅仅局限于个人数据的保护,还包括了个人在私人生活、思想、情感和通信等方面的自主权和隐私权。这种差异反映了美国对自由和个人权利的重视,以及对隐私保护的多元化理解。考察我国相关研究可以发现,学者们普遍倾向于使用“个人信息”这个术语[7]。考察不同国家关于个人信息的宪法保护对象,可以总结出关于个人信息保护共性的特征。这些特征的核心在于“可识别性”,这些信息是和自然人本身存在非常紧密联系的。可识别性是个人信息保护的核心特征。所谓“可识别性”,指的是通过某种方式(无论是直接还是间接)能够将某条信息与特定的自然人联系起来。这种识别可能是直接的,如通过身份证号、姓名等直接指向个体;也可能是间接的,如通过一系列行为数据、位置信息等综合分析得出。在不同国家的宪法和法律体系中,个人数据保护权的概念表达形态确实存在差异。这些差异主要源于各国对个人数据、隐私等基本权利的不同理解和保护需求。下文将以各国对于个人数据保护权宪法权利表达形态展开:
1、个人信息自决权[8]
这个概念在德国和日本的法律体系中得到了显著的体现和发展。这个概念最早的提出者是德国学者施泰穆(Steinmüller),并在标志性的案件——“第二次人口普查案”后逐渐成熟。该案件得出了在收集和处理个人信息时必须尊重公民的自主决定权的重要结论,并推动了个人信息的受重视程度以及宪法保护途径进程,确认了个人信息自决权的重要性。在德国,个人信息自决权作为人格权的一项子权利,其核心理念在于强调公民有权决定其个人信息的公开范围与程度。日本在个人信息保护方面,受到了美国隐私权理论和德国个人信息自决权理论的双重影响。日本宪法隐私权的主流观点逐渐转变为“自我信息控制权理论”,进而为日本个人信息立法提供了宪法依据[9]。这一理论同德国一样,重点强调个人对其隐私生活的自主决定权。这种转变使得日本的隐私权保护从传统的消极防御模式(即防止他人侵犯个人隐私)转变为更加积极的自我控制模式(即个人有权决定其个人信息的处理和使用)。
2、信息隐私权
信息隐私权这一概念在美国法律体系中得到了显著的发展,与美国宪法中的隐私权原则紧密相连。由于美国是英美法系国家,其对于发展信息隐私权的途径是通过宪法判例不断增加相关案例条款,因此个人信息是在宪法层面上得到了相关的保护。作为行政公权力保护公民个人信息立法的先驱,美国的《隐私法案》虽然名称上包含“隐私”,但其核心内容实际上是围绕公民个人信息保护展开的。该法案要求政府机构在收集、使用、披露个人信息时必须遵循一系列严格的程序和规则,以确保个人信息的准确性和安全性,防止信息滥用和侵犯个人隐私。
3、个人信息受保护权
当今正处于科技飞速发展的历史进程中,科技不断进步出现了新的法律漏洞,要求对个人信息保护需求进行回应。个人信息受保护权是对德国宪法中的信息决定权思想的继承和创新。例如,《欧盟基本权利宪章》中关于个人信息的相关规定旨在确保公民数据在信息处理活动中得到有效保护,防止数据泄露、滥用和非法处理。除此之外,法国对于个人信息保护的权利被称为“个人资料保护权”(法语为“protection des données”),这一权利由法国宪法委员会基于《法国宪法》第66条5的诠释得以确立。
(二) 各国关于个人数据权利保护的理论不同
1、美国和德国关于个人数据权利保护的理论的差异
正如奥赫绪所言,法律文化赋予法以共识性、独立性,兼具规范性与解释性[10]。比如美国法律深受近代自由主义哲学,特别是约翰·斯图亚特·密尔(John Stuart Mill)的个人主义思想影响。密尔强调个人自由的重要性,认为个人是自己身体和心智的最高主权者,有权决定自己的生活方式和个人信息的使用。这种思想在美国法律文化中体现为对个人隐私权的强烈保护,以确保个人在信息处理活动中的自主权和控制权,即将个人信息纳入隐私权的范畴,此外,美国法律文化中的“独善其身”主观思想也促使公民更加注重个人空间的保护和个人权利的维护。在这种背景下,个人信息作为个人身份和隐私的重要组成部分,自然成为法律保护的重点对象。相比之下,德国在个人信息保护方面更注重公共性和人性尊严。德国法律文化中的这种倾向,反映在其将个人信息保护范围的判断标准设定为人格权。美国和德国在个人信息保护方面的不同法律文化,源于其各自深厚的哲学基础和社会价值观。美国法深受个人主义思想影响,强调个人信息作为隐私权的保护;而德国法则更注重人性尊严和公共性,将个人信息保护视为人格权的一部分。这两种不同的法律文化不仅体现在个人信息保护的具体制度设计上,还深刻影响着两国公民对于个人信息权利的认知和态度。
2、我国关于个人数据权利保护的理论
对比分析了美国和德国,我国对于个人信息的立法保护最凸显在《个人信息保护法》中。该法旨在保护个人信息权益,确保个人信息得到合法、合规的处理和利用。个人数据是指在网络世界里用以指称特定主体的数据资料。数据共享中的个人信息仍然属于信息权利人的权利,与个人信息的收集、利用行为一样,数据共享也应当获得信息权利人的授权[11]。中国《关于加强网络信息保护的决定》也明确规定,“网络服务提供者和其他企事业单位在业务活动中搜集、使用公民个人电子信息,应当遵守合法、正当、必要的原则……并经被搜集者同意……”[12]可见,我国对于个人数据权利的保护与个人信息自决权理论相契合。根据个人信息自决权理论,政府作为国家机关履行行政管理职能时,在其业务范围内搜集和使用个人数据确实是一种常态行为。这些数据的搜集方式多种多样,主要包括以下几种:1) 登记。这是最常见的收集信息的方式之一,与我们的生活息息相关,比如婚姻登记(记录登记人的婚姻情况)、户籍登记(关乎个人出生、死亡等相关信息)、房产登记(房屋所有权的转移情况)等等。2) 许可。最常见的许可比如律师资格、会计师资格等的取得。3) 统计。统计是为了给决策部门提供制定政策的依据。国家有关机关在行使管理职能时,经常对关系到国家利益与国计民生的公民个人数据进行统计并分析。常见的统计数据包括人口普查(了解人口结构、分布等)、经济数据(反映经济发展状况)、消费方式(了解市场趋势)、物价变化(反映通货膨胀情况等) [13]。这些数据的搜集和使用对于政府来说至关重要,因为它们有助于政府更好地了解社会状况、制定政策、提供公共服务以及进行行政管理。在大数据时代,数据的收集方式早就已经不止前面所提的三种方式,收集数据的方式越来越多样化。可见,政府在大数据时代是非常重要的角色,既是个人数据的主要搜集者和使用者,也是数据安全和隐私保护的守护者。一方面,政府需要确保所采集的个人数据的安全性和隐私性;另一方面,政府还需要制定合理的政策和法规,规范个人数据的使用和管理,防止数据滥用和泄露。
国家机关在从事上述几种方式搜集公民个人数据时,并没有征得公民个人的同意,而人们似乎也不会认为未经公民同意有什么不正当。也就是说,在公法领域公民并不享有个人数据的完整自决权,或者说,其自决权具有有限性。而衡阳市公共资源交易中心以网上竞价的方式出让“衡阳市政务数据资源和智慧城市特许经营权出让项目”,无疑将公民的个人信息安全置于危险境地,且按照个人信息自决权理论,在收集和处理个人信息时必须尊重公民的自主决定权,因此衡阳市公共资源交易中心越过公民自主决定直接将数据资源出让给第三方平台显然不妥。
4. 个人信息权的保护途径
在前文所提的案例中的政务数据应当属于个人信息。当前网络大环境下,个人信息在不断地流通使用,政务数据作为公共资源的一部分,其转让和使用同样需要严格的规制,以确保数据的安全、合法和有效利用。当政府部门通过特许经营权交易将政务数据授权给第三方平台时,以下几点是确保被授权主体合规使用这些数据的关键:
(一) 平衡数据自决权与国家公权力的冲突
最需要明晰的是数据自决权和国家公权力的冲突。这个冲突究其本质是公民利益为本位还是国家利益为本位的选择问题。数据自决权是公民个人的重要权利之一,前文已证个人信息是关于人的基本权利、人格尊严以及通信自由与通信秘密的“权利束”,在宪法视野下应当对个人信息进行保护。如果以公民利益为本位,就必须保障公权力收集公民个人信息的合法性为前提,公民的个人信息在被收集前需要取得公民的授权和同意,在被收集后需要加以说明,这对于国家政府机关的管理工作带来不便利,无法满足信息时代政府机关的要求。如果以国家利益为本位,个人数据权中的权利因素就会被剥离,政府的行政手段就很容易被公权机关当作纯粹的管制手段[14]。因此,需要平衡好数据自决权和国家公权力之间的关系,应当在维护国家利益的大前提下,最大程度地保障公民个人信息。
(二) 明确被授权主体的权利和义务
针对政府公权力机构和被授权主体之间的关系,需要把握好以下几点。被授权的主体的目的是为了经济利益,但是经济利益的获取不能以个人信息的泄露为前提,必须在保障个人信息的基础上进行营利行为。
首先,明确被授权主体有资质方面的要求。资质的审查和考核应当以相应的技术实力和安全保障能力为标准,以确保能够安全、合法地开发和应用公共数据。这通常包括数据安全管理制度、技术防护措施、应急响应机制等方面的要求。其次,明确被授权主体应当享有相应的权利。被授权主体有权在法律和协议规定的范围内进行商业化运营,从而获得相应的经济收益。最后,明确被授权主体应当承担相应的义务。被授权主体应严格遵守协议约定,确保数据使用的合法性和安全性。在特许经营权合同中,应明确界定被授权主体使用政务数据的具体目的、范围、期限以及限制条件。还应当建立数据使用的透明度和可追溯性机制,记录数据使用的全过程,包括数据的来源、使用方式、处理结果等,以便在发生数据泄露或滥用时能够迅速定位问题并采取补救措施。
(三) 划分行政机关的特殊权利和义务
需要划分清楚行政机关的特殊权利和义务。首先,行政机关有权对授权运营协议的执行情况进行监督,并对被授权主体的具体执行措施进行必要的指挥和协调。其次,行政机关应对公共数据的开发和应用工作提供必要的支持和协助,提高公共数据的社会效益。最后,在符合法律规定的特定情况下,出于对公共利益的考量行政机关有权单方面变更或解除授权运营协议。然而,在行使这一权利时,行政机关应充分考虑被授权主体的合法权益,并给予适当的补偿或安排,以减少对被授权主体的不利影响。
综上所述,政府部门在将政务数据转让给第三方平台时,应制定严格的规制措施,确保数据的安全、合法和有效利用。同时,第三方平台也应积极履行自身责任,加强数据安全管理,遵守法律法规,共同维护网络环境的健康和安全。
5. 结语
国家通过宪法确定某项基本权利的目的在于确定该权利的不可或缺性。通过分析个人数据的基本范畴和定位来厘清个人信息权的概念。欧洲国家特别是欧盟成员国,倾向于使用“个人数据”这一概念,并将其作为法律保护的核心。而美国法律中更倾向于使用“个人隐私”这个概念,包括了个人在私人生活、思想、情感和通信等方面的自主权和隐私权。根据我国现有的基本权利条款,解释个人信息权是“权利束”已经在宪法中的位置。当政府部门通过特许经营权交易将政务数据授权给第三方平台时,确保被授权主体合规使用这些数据不仅需要被授权主体承担相应的义务,而且行政机关也需要对授权运营协议的执行情况进行必要的监督,确保数据的安全、合法和有效利用。
NOTES
1参见周汉华:《个人信息保护法借鉴国际经验、自身特色明显》,中国法学网,
http://iolaw.cssn.cn/jyxc/202108/t20210823_5354991.shtml。
22023年11月10日,衡阳市公共资源交易中心发布公告,以网上竞价的方式出让“衡阳市政务数据资源和智慧城市特许经营权出让项目”,项目起始价为18亿元。本次拍卖事件属于全国首次公开交易公共数据特许经营权,被一些业内人士认为是中国开启“数据财政”信号,引发广泛关注。
3《中华人民共和国个人信息保护法(草案)》,中国人大网,审议结果的报告,
http://www.npc.gov.cn/npc/c30834/202108/a528d76d41c44f33980eaffe0e329ffe.shtml。
4《宪法》第33条第3款:“国家尊重和保障人权。”
第38条第1句:“中华人民共和国公民的人格尊严不受侵犯。”
第40条第1句:“中华人民共和国公民的通信自由和通信秘密受法律的保护。”
5《法国宪法》第66条规定:“司法机关作为个人自由的保护人,保证依照法律规定的条件使此项原则获得遵守。”