論憲法視域個人信息保護的公法路徑

徐子航

(哈爾濱商業(yè)大學法學院，黑龍江 哈爾濱 150000)

伴隨互聯網技術在社會生活中的普及應用和信息化程度在私人空間和公共領域的日益加深，出現了許多傳統(tǒng)法學研究和法律法規(guī)所沒有規(guī)制的法律問題。有的學者指出，“18 世紀工業(yè)革命以來圍繞能量與物質構建的法律秩序，正面臨向圍繞信息與網絡構建的法律秩序的全面轉型。”[1]其中個人信息作為個體在社會群體中明確身份的重要要素，如果被泄露和濫用會直接危害公民的財產安全，并導致電信網絡詐騙、惡意人身騷擾等諸多問題的發(fā)生。為回應現實法律問題的需要，實現對個人信息的有效保護已經成為大數據時代法學需要解決的重大課題。

一、個人信息保護中相關理論辨析

近年來《民法典》《網絡安全法》的頒布，推動了網絡交易和數據安全等領域法治化發(fā)展，但關于個人信息保護的權利基礎和保護路徑上依舊沒有一個確定的答案。二者邏輯的理清是新時代個人信息保護體系建設的關鍵，只有明確個人信息保護的權利基礎，才能解決保護主體、保護范圍和保護方式等重要問題，實現對個人信息相關權益全面而充分的保護。

(一)個人信息保護的內涵闡釋

“個人信息是指可直接或間接識別特定自然人的一切數據。”[2]最早在歐盟的《數據保護指令》中提出相關概念，相繼挪威、羅馬尼亞和德國等歐洲國家紛紛進行立法。各國對個人信息的稱謂上不盡相同，包括有個人隱私、個人數據、個人識別信息等諸多表達，但從其信息內容來看，這些概念指涉的概念大體相同，皆為可以識別個人的信息和數據。我國《網絡安全法》將其概括為以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。從理論框架來看，個人信息保護可以分為消極的個人信息防御性保護和積極的個人信息表達性自由，后者將個人信息視為言論表達自由的一部分。我國《憲法》所規(guī)定的公民享有基本權利的人權和《民法典》中人格權部分規(guī)定的隱私權和個人信息保護則更側重于前者個人信息安全的保護，將個人信息安全作為公民進行正常社會生活中的一項基本條件。確保公民個人信息受到有效保護，不受他人非法侵害。

(二)個人信息保護的權利基礎

許多學者采取傳統(tǒng)私法的權利理論，將個人信息視為公民所享有的一項權益，作為私權客體來加以保護，并設置一套能夠對抗不特定主體的私法制度。該觀點也因為有歐洲國家司法實踐的域外經驗被廣泛接受，主張我國個人信息保護也應作為一種具有人格屬性的私權，只需在民法法律體系下進行規(guī)則設計。首先，將個人信息視為一種權利或利益放在民事權利義務框架下研究。但個人信息作為一種抽象的概念，同時具有作為公民自身的個體性和社會成員的公共流通性雙重屬性，如果個人享有完全的權利去自主決定其個人信息是否讓他人收集和使用，在實踐中將遭遇法律與道德的空白地帶以及法律制度的瓶頸。一方面，從社會實際的角度不具有可行性，使個人信息保護成為一個沒有切實權力保障的空泛概念。另一方面，有可能妨礙社會的信息運轉，對人際交流造成困難。個人信息的范圍和內容也在公民活動中隨時變化，其動態(tài)性也導致單一靜態(tài)的民事權利保護無法化解這一矛盾，反而導致有限的司法資源無法被限制于龐雜的信息確認中。其次，從權力體系對比中可以發(fā)現，基于公民意思自治基礎上的私權保護在面對龐大的公司企業(yè)和國家機構時天然處于劣勢。相比具有專門法務團隊的信息收集和處理方，公民考慮到成本消耗和收益率等因素，無法充分而全面的保護自身利益。這種不平衡的對比也違背了我國民事法律體系的平等原則。正如張新寶指出，“面對強大的個人信息處理者，抽象的民事權利規(guī)定容易被虛化，淪為‘紙面上的權利’；個人信息保護的有效性必然有賴于國家規(guī)制，實踐中站在維權第一線的其實往往是監(jiān)管者而非個人。”[3]最后，《民法典》和《個人信息保護法(草案)》的相關規(guī)定中并沒有將個人信息解釋為一種公民享有的民事權利，而是表述為其受到法律的保護。

(三)個人信息保護的相關理論

目前，我國關于個人信息保護理論研究的主要觀點：周漢華等學者提出的建立個人信息多元治理機制，完善公法范疇內的個人信息等理論觀點，但這些觀點更多聚焦于立法和司法方面，并沒有對個人信息保護的權利來源進行探究。王錫鋅教授主張“個人信息保護的憲法基礎是國家所負有的保護義務，國家負有對公民人格尊嚴和隱私、安寧進行保護的義務。隨著信息時代的來臨，該種義務擴展到對個人信息相關權益的保護。”[4]將個人信息保護解釋為國家對公民履行其保護義務的一部分。通過國家和公法提供保護路徑來為公民的個人信息安全提供權利保障，有效震懾數量繁多且類型復雜的侵害危險源，預防個人信息泄露、濫用等侵害行為的發(fā)生，切實保障公民個人信息安全。

二、個人信息保護公法制度的優(yōu)化

個人信息的保護對象除了人格權和人的尊嚴以外，還包括個人信息關聯的個人合法權益。為了避免商業(yè)組織在處理大量個人信息時所造成的潛在基本權利和實質價值造成的損害，國家需要建立完善的制度體系來保護作為弱勢一方的個人。

(一)國家在個人信息保護中的角色

基于個人信息具有雙重屬性，國家在其保護領域同時扮演著雙重角色。一方面，基于個人信息的個人屬性，公民的防御權要求國家在公權力的行使中履行消極義務，避免其不當行使侵害公民基本權利。這種觀點很早就在歐盟國家的司法實踐中有大量體現，在《歐洲個人數據處理中的個人保護公約》中明確個人信息保護不得妨礙信息自由、公眾知情等基本權利，賦予公民包括數據訪問權、更正權、拒絕權等諸多權利，以保障公民能夠有權支配自身的個人信息。歐洲人權法院強調國家應尊重私人生活的安寧，理清國家權力與個人自由的邊界。國家機構在公民個人信息的收集上堅持保留性等抑制公權的原則。嚴格避免國家機構以公共利益的需要為由侵犯公民的個人信息。另一方面，伴隨信息時代的發(fā)展，大量現代移動電子設備的應用和信息收集、整理和分析的更新迭代導致個人信息泄露的渠道大幅增加，大數據系統(tǒng)個人信息的重要程度日益突顯。傳統(tǒng)為防止國家公權而設定的法律體系無法應對個人信息保護所面臨的新風險。個人面對具有組織化和專業(yè)化的信息處理機構和紛繁復雜的信息處理場景顯得無力。國家應履行保護個人信息的積極義務的觀點被越發(fā)倡導。公民個體需要借助國家制定的完善公法體系來實現對自身權益的保護。例如歐盟在2000年頒布的《歐盟基本權利憲章》中規(guī)定各成員國應設置專門監(jiān)管機構來保障個人數據安全。此基礎上制定了《通用數據保護條例》(GDPR)，規(guī)定數據控制者和管理者的行為若違反有關條例，相關機構可自行行使行政執(zhí)法權，對違法者采取行政處罰等措施。2015年歐洲數據保護專員公署發(fā)布的報告指出，個人信息受保護權的主要目的是作為個人尊嚴面對個人處理時可能風險的補充力量。

(二)侵害個人信息的風險主體

伴隨大數據產業(yè)的發(fā)展，個人信息成為一種生產資料，其經濟價值越發(fā)突顯。除了政府外，大量的互聯網企業(yè)擁有龐大的用戶群體和多元的信息收集途徑，能夠大規(guī)模收集個人信息，并通過算法來發(fā)揮自身競爭優(yōu)勢，這一現象在金融、醫(yī)療等各社會領域都有所體現。因此，個人信息已經成為社會治理中的重要組成部分。大型互聯網企業(yè)通過大數據和算法，在獲取大量個人信息后形成精準的個人畫像，并通過有選擇性的推送信息數據來控制個體對信息的獲取，最終潛移默化地影響個人決策。在此過程中，個體甚至無法判斷風險是何時發(fā)生的，準確判斷自己的何種權益是如何被侵害的，因此實現私力救濟極為困難。面對具有復雜性和隱蔽性的信息泄露，僅靠需要制衡能力和信息資源的個人自主防衛(wèi)是不現實的，采取事后救濟不僅大量消耗了司法資源，更因為個體條件的限制導致不能實現其預設效果。而國家履行保護義務需要先明確所針對的侵害個人信息的風險主體。

首先是以互聯網企業(yè)為代表的私營商業(yè)組織，不同于傳統(tǒng)和消費者交易的企業(yè)，互聯網企業(yè)多呈現為平臺模式，“往往借由其平臺為其他經營者和消費者提供交易場所，發(fā)揮著市場的資源配置功能，表現出企業(yè)與市場的二重性。”[5]將消費者的需求和銷售者的供應通過算法來匹配結合，能夠某種范圍內管理市場，在一定程度上具有“準公共權力”。其次是以國家機關為代表的公權力機構，國家機關和組織在履行公共服務和公共管理的職能中，出于工作需要也會大量收集公民的個人信息，但這過程中也可能侵害個人信息安全。如江西省樂安縣人民檢察院督促規(guī)范政府信息公開行政公益訴訟案中，樂安縣農業(yè)農村局在官網上公開的補貼名單中，對相關公民身份證號碼、家庭住址和手機號碼等個人信息公開，泄露了不應公開的公民信息。因此，公權力機構在處理公民個人信息時應堅持審慎態(tài)度，正確處理好政府信息公開職能和保護個人信息義務間的關系，對個人信息收集的范圍和內容自發(fā)加以約束。

三、個人信息保護公法路徑的法理解析

伴隨《民法典》《網絡安全法》的出臺，我國個人信息保護依然是當前立法的重要方向。但關于個人信息保護權力基礎的認知尚未達成共識，這導致無法形成合理的權利義務結構框架。國家和公法作為個人信息保護的決定性力量，其需要同時履行積極義務和消極義務兩個方面。在公法保護個人信息安全的體系設計上，需要在法理上理清信息領域各方關系，通過法律授權公民所享有的權利，維護其人格尊嚴不受損害。借鑒個人信息保護制度的域外經驗，建立有效的監(jiān)管機制來保護個人信息安全。

(一)構建法律制度框架，明確法律責任

首先，國家需要在法理上明確個人與信息收集處理者二者之間的權利義務關系，通過法律條文明示公民在其個人信息上的權利及具體行使途徑，劃清信息收集處理者的權限。可在借鑒歐美國家域外經驗的基礎上，通過制定《個人信息保護法》來從法理上明確公民個人信息的知情權、更正權、刪除權等一系列權利。在個人信息領域構建合理的權利制衡機制，使得公民個體在面對強勢的信息收集處理者時，能夠捍衛(wèi)個人自由和尊嚴。其次，構建個人收集和處理備案制度。“我國現行立法并未要求個人信息處理者對其關于個人信息保護法定義務的履行情況進行強制備案，這給行政監(jiān)督和執(zhí)法帶來巨大成本和不便，也不利于促進企業(yè)乃至行業(yè)提高個人信息保護自律水平。”[6]因此，在立法時應規(guī)定信息收集處理者應當履行的法定義務，其要向社會明確公開自己的信息收集領域和處理算法邏輯，并在有權機構進行登記備案，監(jiān)管機構定期對其執(zhí)行情況進行復審。還應明確信息收集處理者法律責任，通過民法、行政法和刑法所構建的多元法律責任機制來有效遏制侵害行為的發(fā)生。最后，在事后救濟方面，立法應當盡可能確保個人信息保護制度簡單便捷，確保個體當個人信息權益受損時能夠易于使用救濟渠道， 通過訴訟等途徑獲得有效保護和賠償。

(二)建立專門監(jiān)管機構，統(tǒng)籌監(jiān)管力量

目前，我國個人信息保護具有鮮明的部門區(qū)隔特征，具有相關職能的部門包括有電信管理機構、網信辦、公安部門在內分屬不同部門的多個機構，由于沒有明確的監(jiān)管職責規(guī)劃，在實踐中暴露出相互推諉責任、監(jiān)管職能沖突等問題。這也導致出現監(jiān)管空缺和公民個人信息安全受到較低程度侵害維權難等現象。此外，各監(jiān)管機構大多采取專項整治活動的手段來實現監(jiān)管，其監(jiān)管效果不具有持續(xù)性和穩(wěn)定性。因此，設立獨立的專門監(jiān)管機構，統(tǒng)籌規(guī)劃各領域信息監(jiān)管工作極為重要。“世界上主要國家和地區(qū)的立法和實踐表明，只有堅持個人信息保護監(jiān)管機構的獨立性和全局視野，才能有效地防止和排除其他組織和個人的干預，進而履行法定的監(jiān)管職能。”[7]我國可參考GDPR關于數據監(jiān)管機構及機制的設置，通過行使行政執(zhí)法權來維持社會信息秩序。《個人信息保護法(草案)》規(guī)定由網信部門負責個人信息保護的統(tǒng)籌協調。但具體工作仍屬各部門職責范圍。此外，考慮到個人信息隱秘性和不確定性的特點，監(jiān)管機構還需具有專業(yè)性。因此，進一步完善個人信息監(jiān)管部門的獨立性和專業(yè)性將是我國個人信息保護制度未來發(fā)展的方向。

(三)完善行政監(jiān)管措施，增加監(jiān)管手段

目前，我國個人信息保護監(jiān)管機構的監(jiān)管措施有警告、沒收違法所得、罰款、限期改正等。總的來看，這些監(jiān)管措施介入階段滯后、懲治效果不足。基于信息產業(yè)發(fā)展等要素的考慮，我國當前尚沒有信息收集處理行業(yè)準入條件的法律規(guī)定，無需經由監(jiān)管機構審查許可，就可以自行進行大數據收集和算法分析。這也導致侵害公民個人信息安全的事件發(fā)生時，監(jiān)管機構不能迅速理清案件情況和及時采取保護措施。因此，可以設定信息收集處理者的準入資格，要求其具有基本的組織結構框架，以及《個人信息保護法(草案)》第五十條規(guī)定的內部管理制度和內部活動制度。通過設置一定主體要件來提高信息收集和處理主體的資質。此外，當前監(jiān)管機構往往采取約談當事企業(yè)負責人的方式，“然而，這種被廣泛運用的‘行政約談’手段，其主要功能在于警示、告誡或指導，缺乏相應的強制力。”[8]且監(jiān)管機構采取行動往往在侵害行為已發(fā)生且產生較大的社會影響后才介入。因此，針對體量龐大的互聯網企業(yè)等監(jiān)管對象，我國監(jiān)管措施在多樣性和懲罰性方面尚需進一步加強。