• <table id="yayw4"><noscript id="yayw4"></noscript></table>
  • 此页面上的内容需要较新版本的 Adobe Flash Player。

    获取 Adobe Flash Player

    高级搜索
    请输入检索内容:

    当前位置: 首页 >> 学术资源 >> 行政法学 >> 正文

    王锡锌:个人信息国家?;ひ逦窦罢箍?b>

    王锡锌| 时间: 2021-06-02 00:05:32 | 文章来源: 《中国法学》2021年第1期

    [摘 要]个人信息?;しㄌ逑到ü沟幕∈枪以谙芊ㄉ纤河械谋;ひ逦?,该义务对应着个人信息受?;と?span lang="EN-US">”,而不是个人信息权。将个人信息作为私权客体的权利?;つJ?,在规范逻辑、制度功能等方面存在局限;应以个人信息受?;と?span lang="EN-US">—国家?;ひ逦?span lang="EN-US">”框架建构个人信息的权力?;つJ?。在数字时代,个人信息国家?;ひ逦褚馕蹲殴也唤鲇β男凶鹬厮饺松?、避免干预个人安宁的消极义务,还应通过积极?;?,支援个人对抗个人信息处理中尊严减损的风险?;诳刂?span lang="EN-US">“数据权力这一侵害风险源的需要,国家一方面应避免过度侵入个人信息领域;另一方面应通过制度性保障、组织与程序保障以及侵害防止义务的体系化,营造个人信息?;さ闹贫壬?。

    [关键词]个人信息受?;と?;国家?;ひ逦?;工具性权利;个人信息?;?/span>


    一、问题提出及界定

    个人信息?;しㄌ逑到ü故谴笫菔贝匾?。在我国,伴随着已颁布实施的《民法典》《网络安全法》以及即将出台的《数据安全法》《个人信息?;しā返牧⒎ń?,围绕个人信息处理中相关主体的权利义务配置,学界从不同角度进行了探讨。观察现有讨论可以发现,对个人信息?;さ谋匾晕侍庖延泄彩?;讨论的争点聚焦在什么是个人信息?;さ娜ɡ?,以及通过何种法律路径进行?;?。具体而言,争论点集中于两个方面:一是在权利基础上,私法上的个人信息权利(益)是否成立;二是在?;ぢ肪渡?,个人信息应通过私法?;せ故枪ū;ひ只蜃酆媳;?。目前来看,有论者侧重于从民法?;ぢ肪墩箍教?,有论者则侧重于公法与消费者法?;ぢ肪兜奶教?,也有论者敏锐地提出综合?;ぢ肪兜闹髡?。

    上述两个问题在逻辑上是紧密联系的:个人信息?;さ娜ɡ?,是讨论该种权利(利益)?;ぢ肪痘蚍绞降穆呒疤?,是建构个人信息?;し芍贫忍逑档幕?。个人信息?;さ娜ɡ∥??为何?;??谁来?;??针对何种威胁而提供?;??只有在厘清这些问题的基础上,方可更好地回答如何?;さ奈侍?。

    本文认为,个人信息?;さ南芊ɑ∈枪宜河械谋;ひ逦?。国家负有对公民人格尊严和隐私、安宁进行?;さ囊逦?;随着信息时代的来临,该种义务扩展到对个人信息相关权益的?;?。个人信息国家?;ひ逦穸杂ψ?span lang="EN-US">“个人信息受?;と?span lang="EN-US">”这一基本权利,但此种权利并非民法意义上的权利,而是国家履行其?;ひ逦竦募壑祷∮胂芊ㄒ谰?,其功能主要在于对抗和缓解数据权力对个人信息造成的侵害风险。这种权利并不等于公民对其个人信息拥有排他性的、支配性的权利。从功能上讲,相比于个人信息权的?;ぢ肪?,个人信息受?;と?span lang="EN-US">”通过强调国家?;ひ逦窦捌渎涫?,更有利于个人信息?;さ哪勘晔迪?,因为面对数据平台和国家机关所拥有的强大数据权力data power,通过私法路径和方式,很难为个人信息提供充分、全面和有效的?;?。


    二、个人信息国家?;ひ逦竦母拍钐崃?/span>

    (一)个人信息?;さ牧街只灸J?/span>

    在既有研究中,不少论述将个人信息权益作为个人信息?;しㄌ逑档母拍钇鸬?,而个人信息权益的法律定性,本质上又是应采用何种模式进行?;さ穆呒鸬?。如何进行个人信息?;??对此问题的回答可类型化为权利?;?span lang="EN-US">”权力?;?span lang="EN-US">”两种基本模式。权利?;?span lang="EN-US">”模式将个人信息视作私权客体,试图构建一种对抗不特定主体的个人信息权;权力?;?span lang="EN-US">”模式则强调在个人信息处理活动中,国家负有?;じ鋈撕戏ㄈㄒ娴囊逦?;相应地,个人信息?;ぶ贫纫兄氐牟⒎歉秤韪鋈苏攵云湫畔⒌乃饺巳ɡ?,而是国家设定的监管与合规框架及配套执法机制。

    主张权利?;?span lang="EN-US">”模式的观点在我国民法典编纂过程中达到一个高峰。诸多论者尝试结合域外经验,证成个人针对个人信息的民事权利。其中一种被许多学者接受的观点认为,欧盟与欧洲国家的立法与司法实践将个人信息?;そ⒃诟鋈讼碛械拿袷氯ɡ∩?,即个人信息权个人信息自决权这一排他性的、带有人格属性的私权,进而主张我国应以民法权利的框架展开个人信息?;さ墓嬖蛏杓?。在此基础上,持这一观点的学者又进一步针对原《民法总则》第111条以及《民法典》第1034条规定的究竟是民事主体针对个人信息享有的权利还是利益、此种权益的属性究竟是人格权、财产权、前两者的复合还是新型民事权利展开了探讨,并将信息处理者的义务理解为不得侵犯私法主体享有的个人信息民事权益的体现。由此,上述研究形成了个人信息民事权个人信息处理者义务这一民事权利义务结构的分析框架。

    然而,从规范逻辑、制度功能、域外经验等维度观察,将个人信息私权化的路径缺乏相应的支撑。首先,从权利本身的规范逻辑上看,基于个人信息交互性、分享性、公共性的特点,其难以成为民法所有权逻辑下一个排他性的个人控制的客体。一旦认为个人可以基于自己意思自主地决定个人信息能否被他人收集、储存并利用,将妨碍基本的社会交往,也无法释放信息的公共价值。同时,个人信息具有动态性、场景性的特征。随着大数据技术的发展,个人信息可识别性和相关性标准的边界不断扩张。静态的民事权利客体的理念无法有效回应这一趋势,强行将个人信息私权化也会造成民法的体系混乱。

    其次,从制度功能上看,依托于意思自治、主体平等基础的私权?;ぢ肪段薹ㄓΧ郧看蟮乃饺嘶挂约肮一勾砀鋈诵畔⑹钡姆嵌猿迫峁?。认为无论国家机关处理自然人的个人信息,还是非国家机关处理自然人的个人信息,也无论处理者处理自然人个人信息的目的是行政管理、公共服务还是营利目的,处理者与自然人都属于平等的民事主体的观点,忽视了个人与信息处理者之间明显的不平衡关系。正如张新宝指出,面对强大的个人信息处理者,抽象的民事权利规定容易被虚化,沦为纸面上的权利;个人信息?;さ挠行员厝挥欣涤诠夜嬷?,实践中站在维权第一线的其实往往是监管者而非个人。

    最后,从比较法的经验观察,认为欧洲确立了民法上的个人信息权的观点,其实属于对域外经验的误读。实际上,欧盟个人数据?;さ娜ɡ丛词窍芊ㄐ匀ɡ?,而非民事权利。欧盟数据?;ぷㄔ惫穑?span lang="EN-US">European Data Protection Supervisor)亦明确指出:欧盟数据?;す嬖虿⒎歉秤韪鋈苏攵云涓鋈诵畔⑴潘缘拿穹ㄈɡ?,那种认为个人针对其个人信息享有所有权决定权的观念是一种误读。而在美国法上,虽然个人信息?;ぴ谘Ю砩媳荒扇?span lang="EN-US">“信息隐私?;?span lang="EN-US">”的范围,但主要的?;ぢ肪兑廊皇枪以诮逃?、医疗等特定领域直接立法?;?,以及允许企业制定隐私政策但经由监管机构在个案中调查审核的模式。这些规则主要针对商业或专业处理机构,并不适用于一般的私主体??杉?,美国亦不存在通过立法将个人信息私权化的现象。实际上,我国立法者对个人信息?;に饺ɑ奶纫彩羌渖笊鞯?。不论是《民法典》还是《个人信息?;しǎú莅福?,均未规定个人针对个人信息享有民事权利,而是强调个人信息受法律?;?span lang="EN-US">”。

    权利?;?span lang="EN-US">”模式难以证成的情况下,已有学者就权力?;?span lang="EN-US">”模式下的制度构建展开了探讨。例如,丁晓东提出,应当从行为主义与场景主义的角度对个人信息处理展开规制。又如,周汉华提出,应当强化公法上的个人信息控制权,建立权利控制与激励机制并行的多元治理机制。但这些研究更多集中在立法和执法的操作层面,忽视了在作为法秩序基础的宪法层面上对国家的角色与义务进行理论建构。个人信息?;とㄊ艋〔幻?、法律关系模糊的问题依然存在。如何对个人信息权益这一支点进行概念演绎以编排《个人信息?;しǎú莅福分?span lang="EN-US">“个人在个人信息处理活动中的权利”“个人信息处理者的义务”“履行个人信息?;ぶ霸鸬牟棵?span lang="EN-US">”等关键概念间的逻辑关系,是个人信息?;しㄌ逑到ü贡匦牖赜Φ奈侍?。此时,对宪法上个人信息国家?;ひ逦?span lang="EN-US">”这一概念展开探讨显得尤为必要。

    (二)个人信息国家?;ひ逦袼菰?/span>

    从比较法视角看,在宪法层面确立个人信息国家?;ひ逦竦淖龇ɡ丛从谂访?。1953年生效的《欧洲人权公约》第8条为欧洲国家的个人信息?;ぬ峁┝顺醪焦娣兑谰?。之后,欧洲委员会通过了第(73)22号和第(74)29号决议,提出了?;に接棵藕凸膊棵抛远菘庵械母鋈耸莸脑?。但这两项决议只具有倡导性,并未直接对各国设定法律上的国家?;ひ逦?。直到1981年,《有关个人数据自动化处理中的个体?;す肌芳础兜?span lang="EN-US">108号公约》成为全球范围内有关个人信息?;さ牡谝环菥哂蟹稍际Φ墓市晕募??!兜?span lang="EN-US">108号公约》建立了有关个人数据?;さ幕驹蛞约案鞯拊脊涞幕疽逦?,并将对个人基本自由与权利的?;ぷ魑拊脊男刑踉脊娑ǖ墓乙逦竦某龇⒌?。随后,葡萄牙、奥地利、西班牙等欧盟成员国纷纷在宪法中确立了个人信息受?;さ幕救ɡ?。

    步入21世纪后,在宪法层面确立个人信息受?;さ幕救ɡ牍蚁嘤Φ谋;ひ逦?,渐成欧盟成员国的价值共识。2000年制定、2009年生效的《欧盟基本权利宪章》(以下简称《宪章》)第8条第1款规定:任何人都享有对关乎自身的个人信息的受?;とɡ?span lang="EN-US">”?!杜访嗽俗魈踉肌返?span lang="EN-US">16条第1款亦采用了个人信息受?;と?span lang="EN-US">”(the right to the protection of personal data)的表述。从规范逻辑上看,由于《宪章》和《欧盟运作条约》对所有欧盟国家都具有法律拘束力,个人信息受?;とㄔ谂访瞬忝孀魑幌罨救ɡ?,调整的是个人与国家之间的法权关系。在法权结构上,这彰显了宪法层面对国家提出的规范要求,而非旨在建构个人针对其信息的个人信息权the right to personal data)。

    由此,个人信息受?;とǔ晌访顺稍惫男懈鋈诵畔⒐冶;ひ逦竦南芊ㄒ谰萦爰壑祷?,个人信息国家?;ひ逦裨虺晌鋈诵畔⑹鼙;とǖ墓δ芴逑钟肫渌枷虻墓娣兑?。国家有义务最大化地实现宪法的规范意图——即促进个人信息受?;とǖ氖迪?。个人信息受?;と?span lang="EN-US">—国家?;ひ逦?span lang="EN-US">”的法权结构能够有效促进国家履行其在个人信息处理中对个人的?;ひ逦?,具体表现为以下三个方面:

    第一,指引作用。个人信息国家?;ひ逦裢瓜院颓炕斯业娜挝?、目的和理念。相关国家权力的配置和运行,都应当有利于个人信息受?;とㄕ庖幌芊ǖ募壑稻龆ǖ玫奖U虾褪迪?。即使没有赋予个人针对个人信息的支配权,国家也可以通过立法将个人信息?;す嬖蚓咛寤?,对个人进行周延的?;?。例如,1995年欧盟议会与欧盟理事会通过的《关于涉及个人数据处理的个人?;ひ约按死嗍葑杂闪鞫闹噶睢罚ǖ?span lang="EN-US">95/46/EC号欧盟指令,下文简称《指令》)直接以指令而非条约的形式要求各国完善数据?;ち⒎?,以落实数据处理领域的国家?;ひ逦?。2018年生效的GDPR则更进一步对欧盟各成员国具有直接适用效力,无需成员国再自行转化为国内法。GDPR同时建立了一个强有力的统一解释机制,以确保各国适用GDPR时均能最大化地实现个人信息受?;と?,因此更为直接地贯彻了个人信息国家?;ひ逦竦囊?。

    第二,整合作用。个人信息国家?;ひ逦窨梢哉虾涂刂乒夜Φ母髦肿饔梅绞?,使个体基本权利在相互协调之下达到整体效用的最大化,维护社会共同体的整体法益。相较于将个人信息作为私权客体的纸面上的权利而言,国家可以对个人采取消费者?;?、行政法?;?、刑法?;さ榷嘀址绞?,综合运用不同工具开展个人信息?;?。同时,由于个人信息具有交互性、分享性的特点,国家在履行个人信息?;ひ逦袷币嘈枰诓煌睦?、权利和基本自由之间保持谨慎的平衡。正如《指令》立法目的所显示的,除了?;じ鋈诵畔⒅?,也有促进数据市场统一与数据流通的目的,这体现了欧盟立法者尝试在个人信息处理中兼顾个人?;び胄畔⒆杂闪魍ǖ呐?。

    第三,评价作用。国家权力的参与虽然有服务于个体权益与公共福祉的一面,但同时也意味着国家对社会和市场的干预。因此需要从宪法层面确保国家权力在理性化、法治化的轨道上运行。一方面,需要明确宪法上的规范要求,避免国家权力消极不作为;另一方面,也需要防止国家以?;の趾竦幕救ɡ?。这便要求相关国家权力的行使具有正当理由和合理界限,避免滑向国家控制过度及对社会的侵蚀。个人信息国家?;ひ逦裾瞧兰巯喙毓胰疃南芊ū瓿?,违反或未尽到国家?;ひ逦竦墓一亟械O嘤Φ姆稍鹑斡胝卧鹑?。也即是说,国家权力应当接受合宪性审查机构的审查与监督。其中的审查重点则在于立法者是否通过立法妥善地尽到了实现个人信息受?;とǖ闹霸?。例如,在2016年的Tele2 Sverige AB案中,欧盟法院明确指出:《宪章》第8条所保障的是个人获得国家?;じ鋈诵畔⒌娜ɡ?span lang="EN-US">”,因此剥夺由独立机构审查国家立法是否遵守欧盟法律所保障的个人信息?;に降木燃梅绞?,将影响到个人信息权利的实质。又如,在2015年的Schrems案中,欧盟法院认为,《宪章》第8条要求欧盟成员国必须确保个人数据在欧盟境内外都得到高水平的?;?,因此需要对相关的数据处理立法规定进行严格的审查??梢运?,欧盟权力机关和成员国权力机关都有实现《宪章》第8条的国家?;ひ逦竦闹霸?。与其他主权国家仅由国内合宪性审查机构进行合宪性评价与纠偏的单层国家?;ひ逦窕撇煌?,这是欧盟特殊主权结构下的双层国家?;ひ逦?。


    三、个人信息国家?;ひ逦竦哪诤?/span>

    个人信息受?;と?span lang="EN-US">—国家?;ひ逦?span lang="EN-US">”是一体两面的概念,本质上是基本权利国家义务体系在个人信息?;ち煊虻脑擞?。个人享有的个人信息受?;とū厝灰蠊叶愿鋈嗽谛畔⒋砹煊蛑械母鋈私斜;び胫г?。在此语境下,确立与澄清个人信息国家?;ひ逦竦哪诤?,便需要对个人信息受?;とǖ募壑祷?、主要类型与权利结构进行识别与辨析。

    (一)个人信息国家?;ひ逦竦牧街掷嘈?/span>

    传统基本权利国家义务结构的理论根据是自由主义和个体主义。但从信息流通普遍化的非个体主义视角看,要全面理解个人信息国家?;ひ逦竦墓娣赌诤?,还必须考虑其客观功能和整体社会效益。因此,可以将个人信息国家?;ひ逦穹治逦裼牖逦窳街掷嘈?,并结合欧盟经验考察其成因与具体内容。

    1. 国家的消极义务与个人信息受?;とǖ姆烙üδ?/span>

    基本权利最原始的机能是防御权,即公民对抗国家不当干预其自由和侵害其财产的权利。当国家试图侵害被基本权利所保障之法益时,公民可以直接按照基本权利规范来请求国家不得干预或侵害。该种要求停止干预或侵害的请求权机能,反射至国家一方,也就是国家身负不得侵犯的禁止作为义务。

    自《欧洲人权公约》公布实施以来,欧洲人权机构长期将个人信息处理问题纳入《公约》第8条对于私人生活的古典自由权?;た蚣苤?,强调个人信息受?;とǖ姆烙嫦?。在1997年的Z v. Finland案、2000年的Rotaruv. Romania案中,欧洲人权法院均认为:个人信息的处理需要受到?;?,以确保个人享有私人生活受尊重的防御权利。正如欧洲人权法院在其发布的《欧洲人权公约第8条适用指南》中所指出的,在这一阶段,国家主要负有消极?;ひ逦?,其角色主要是尊重私人生活的安宁,避免侵害与干预,以一种静态观念厘清国家权力与个人自由的边界、让个人安然独处即可。此时信息处理者即使在处理过程中对私人生活造成了侵害往往也是单独、分散、非持续性的;法院的审查亦着眼于单次的侵入。这主要体现的是立宪主义立场下人性尊严的不可冒犯性主张。

    依循这一理念,即使是个人信息受?;とū蝗妨⑽幌疃懒⒌幕救ɡ?,在消极义务的面向上,欧洲人权法院与欧盟法院也常常将个人信息受?;とㄓ氡;に饺松罱岷掀鹄蠢斫?,强调国家机构应避免在个人信息处理的过程中侵害私人生活,并严格限定基于公共利益需要收集和使用个人信息的范围。亦即,国家一旦对个人信息进行处理就意味着对个人生活的干预,增加了监控的风险并引发公民的恐惧感。因此,国家机关处理个人信息的活动需要受到法律保留原则、法律明确性原则、比例原则等法治国原则的拘束。此时个人信息受?;とǖ闹鞴勖嫦蛲嵊胂芊ㄉ系囊饺?、通信秘密产生竞合。个人信息受?;とㄖ鞴鄯烙üδ艿脑擞酶嗍翘逑殖隽耸荽砘疃嘟嫌谄渌腋稍し绞降奶厥庑?,但在具体案件中一般需要结合其他基本权利进行理解和适用。

    2. 国家的积极义务与个人信息受?;とǖ目凸鄯üδ?/span>

    虽然个人信息国家?;ひ逦裨て谝韵逦裎饕氏肿颂?,但随着时间的推移,尤其是进入21世纪后,欧洲人权法院也开始了一定程度的转向,开始强调在欧洲人权公约第8条的框架下,国家负有确保尊重私人生活的目的得以实现的积极义务。其背后反映的变化,乃是现代社会中随着信息搜集、储存、整合、传播及处理方式的迭代革新,个人基本上难以从信息网络,尤其是电子化场景中抽身退出。传统私人生活?;?span lang="EN-US">”所遵循的权利具有绝对性质,信息获取便推定违法的古典自由权逻辑在许多场景下已不再适用。相较而言,个人信息受?;とㄔ诖笫菔贝幕炯偕枋?,个人信息本身便具有一定的交互性与公共性,个人信息处理在现代社会中是必要的。尽管应考虑到某些条件和保障措施,但对个人信息的基本推定是可以被处理。而真正需要国家介入的关键在于:个人此时面对的不是普通的私人主体,而是强大的、组织化的信息处理机构;加之信息时代下个人信息处理往往是动态化、复杂化、风险不确定的过程,因此个人难以在参与及做出选择的过程中保持清醒、警惕、知情及自治。为使个人免于受到信息处理机构的支配,就需要国家积极?;は喙馗鋈?。由此,个人信息受?;とū涑闪艘幌罨娜ɡ?,具备了客观价值秩序(客观法)的功能, 即国家必须创造和维护有利于实现个人信息?;さ闹贫然肪?。在大数据时代,个体只有通过国家的积极?;げ拍艹浞质迪制涓鋈诵畔⑹鼙;さ娜ɡ?。该种权利的实现要求国家积极?;?,提供有效的制度供给,帮助个人对抗大规模、持续化数据处理中人格尊严减损的风险。这也是个人信息受?;とㄔ谂访瞬忝孀魑幌疃懒⒒救ɡ恼嬲壑邓?。

    欧洲数据?;ぷㄔ惫鹩?span lang="EN-US">2015年出台的《迈向新的数字伦理:数据、尊严和技术》报告在评析这一权利逻辑变化时亦明确指出:个人信息?;び敫鋈说母鲂苑⒄褂凶拍谠诘牧?。更好地尊重和保障人的尊严,可以制衡现在个人所面临的无处不在的监视和权力不对称,这是新时期欧盟数据道德的核心。该报告进一步确认个人信息受?;とǖ闹饕康氖亲魑烙蠊婺8鋈诵畔⒋矶宰鹧锨痹谇质吹牟钩淞α?span lang="EN-US">”。从这个意义上看,个人信息?;す嬖蛩;さ牟⒎歉鋈诵畔⒈旧?,也非个人针对信息享有的民法人格权,而是个人信息处理活动中可能受到威胁的相关个人的合法权益,亦即《宪章》第1条规定的人性尊严不可侵犯所具体指向的个人自治以及随之得到保障的不歧视(平等)、身份识别(信息的正确与完整性)、安全与财产利益以及社会信任等附加的实体价值与其他基本权利。个人信息权益就是基于个人信息受?;とㄊ迪侄竦帽U系母髦窒喙胤ㄒ?。因此,在大数据时代,个人信息国家?;ひ逦竦募壑祷”阍谟冢涸谡蛏桃底橹酆褪褂么罅渴莸某【跋?,面对个人与信息处理者之间存在的持续性的不平等关系,需要国家转变消极的守夜人角色,通过强有力的规制手段?;ごτ谌跏频匚坏母鋈?,避免个人由于被工具化而丧失主体性地位。个人信息受?;と岬氖嵌砸宰鹧衔诵牡幕救ɡ胧抵始壑档谋;?。

    同时需要注意的是,在欧盟法体系内,基于以尊严为核心的基本权利规范还有其他重要的侧面(如言论自由与公众知情权),国家?;ひ逦竦穆男斜匦敕稀断苷隆返恼寮壑抵刃?。国家在?;じ鋈嗽谛畔⒋砉讨忻庥谑苤涞耐?,亦需协调言论自由、公众知情权等其他基本权利和数据自由流通、技术创新、建立统一的数据市场等重要目的。

    3. 个人信息受?;とㄔ谖夜芊ㄉ系陌捕?/span>

    个人信息国家?;ひ逦裨谖夜芊ㄉ系氖滓荼闶恰断芊ā返?span lang="EN-US">33条第3款规定的国家尊重和保障人权。对应前述两种类型的国家义务,尊重侧重国家对私人生活的不得侵犯,是个人信息受?;とㄖ鞴鄯烙δ苡牍蚁逦竦奶逑?;保障则更侧重个人信息受?;とǖ目凸鄯矫婀δ?,其中就包含了要求国家积极通过立法和其他公权力行为,以?;せ救ɡ魈逶诟鋈诵畔⒋碇忻庥谑苤浠蛳萑胄畔⒋碚咧圃斓奈O栈蚍缦盏暮?。这两种类型的义务又可以被统摄于《宪法》第38条对公民人格尊严的?;ぶ?。

    实际上,我国宪法基本权利规范体系中的诸多内容都可能在个人信息处理过程中遭受信息处理者的侵害。例如,大规模信息泄露导致的财产损失、名誉损害的风险;算法自动化决策下,公民劳动权、受教育权所面对的歧视风险;网络平台运营者和服务提供者对通信自由与秘密的监测与传播风险等等。这些个人信息处理活动中所蕴含的、超出传统信息流时代的系统性风险,均需要立法者予以充分评估与管控。

    我们需要注意,基本权利的保障与实现有赖于具体的社会政治条件,在大数据、云计算、人工智能技术不断迭代更新的时代,社会本身已经变成诸多信息技术的真实演练室,公民个人也直接置身于信息技术宰制的风险之中。因此,在我们这个观念上强调国家对人民积极扶助、救济与保障的社会主义国家,以宪法为基础,建立个人信息受?;さ姆煽蚣苡牍冶;ひ逦裉逑?,是保障公民免于被支配,促进人格发展的应有之义。

    由此而言,即使我国《宪法》并未对个人信息?;ぷ鞒雒魅返墓嬖虮泶?,但基于基本权利条款的上述规范要求,从《宪法》第33条第3款以及38条延伸出个人信息受?;とǖ哪诤⑷妨⑾芊ㄉ系母鋈诵畔⒐冶;ひ逦?,进而对国家权力进行妥当的指引与评价,对于保障公民人格尊严与相关基本权利具有现实的必要性。

    (二)个人信息国家?;ひ逦竦墓娣督峁?/span>

    基于个人信息受?;とㄊ迪值南芊ü娣兑?,个人信息国家?;ひ逦竦墓娣堵呒峁褂?span lang="EN-US">“侵害来源?;し绞?span lang="EN-US">”两部分构成,也就是针对何种侵害源的?;?、如何进行?;さ奈侍?。以下就国家应当针对哪些侵害来源承担?;ひ逦?、通过哪些途径展开?;ひ逦窠卸笠治?,以充实个人信息国家?;ひ逦竦姆ɡ砜蚣?。

    1. 个人信息国家?;に攵缘那趾Ψ缦赵?/span>

    在现代社会,信息处理活动很大程度上决定了人们的选择空间与可能获得的结果。亦即,数据权力(data power)已经成为一种广泛而普遍的社会事实。当下诸多具备大数据挖掘能力的专业或商业机构具有以下特征:掌握庞大的数据量、超乎常人想象的收集速度、多元的数据种类、潜在的详尽范围以及强人工智能技术下的数据关联与整合能力。可以说,在金融、教育、医疗、社会保障等各个领域都已形成数据依赖的时代,个人信息的利用与?;げ唤龉厣娓鎏?,还与整个社会的权力结构及运行机制相关联。

    大数据一方面增进了个人生活便利和社会福祉,另一方面也导致了社会权力结构的变化。以国家机关、其他履行公共职能的组织、国内外大型平台等准官僚化机构为代表的数据权力主体大规模地集聚并利用个人信息来塑造与调整个人的行为,成为最主要的侵害风险源。首先,这些机构的信息处理行为往往伴随着监控、歧视、支配个人的风险,信息处理者可以通过挖掘信息形成特定的人格画像,从而对私人的决策进行隐形的控制与干预。其次,个人信息的聚沙成塔导向了数据垄断下信息处理者与个体之间高度不对称的权力结构,这使得信息处理机构对个体造成的压迫感愈发强烈,增加了个人的无力感,甚至引发寒蝉效应。再次,这种数据累积性效应不仅导致个人无法判断风险发生的时间点、危害程度与后续效应,也使得事后的损害认定愈发困难、个人往往难以独自开展私法救济。最后,在制度环境与技术条件不完善的现下,数据处理活动中的疏失、泄露等信息安全风险及伴随的衍生损害亦日益加剧,个体的不安全感不断上升。

    可以说,面对这些来自数据权力的侵害风险,希望通过象征性的、形式化的个人自主决定和支配来进行个人信息?;さ乃椒ɑ?,看似体现了对个人主体地位的尊重,实际上是将个人的选择置于数据权力的控制之下,缺乏制衡能力与信息资源的个人并无法凭借信息自决来实现对上述侵害风险的防御与?;?,以事后救济为主的权利模式对于控制大规模、持续性的信息处理风险而言显得捉襟见肘。只有通过国家?;ひ逦裾庖患婢吖睬恐朴肜硇灾卫淼幕?,才能有效防范数据处理风险,使个人与个人信息处理者之间构成合理的制衡状态,从而避免个人时刻处于被数据权力支配的恐惧之中。这构成了国家落实个人信息?;ひ逦竦谋匾驼崩碛?。

    因此,个人信息国家?;げ⒎侵荚谥г鋈硕钥顾猩缁嶂魈?span lang="EN-US">,而是有针对性地防范特定风险源。无论是GDPR所规定的数据控制者数据处理者,或是我国《个人信息?;しǎú莅福饭娑ǖ?span lang="EN-US">“个人信息处理者,都排除了纯粹个人与家庭生活中的信息处理活动。个人信息?;に攵缘那趾丛?,是与普通个体之间存在持续性不对称关系、可能对个人信息处理中的相关个人进行支配或压迫的数据权力,其中既包括直接控制个人信息的主体,也包括接受委托处理个人信息的主体。具体包括以下几种类型。

    首先,企业等商业性组织代表的准数据权力。私营部门的规?;鋈诵畔⒋砘疃亲钪饕那趾Ψ缦赵粗?。正如Jack Balkin所指出的,大型平台和企业对个体尊严构成了巨大的威胁,个体既无法单独抵抗,也无法在这个依赖信息流通带来便利与福利的环境下抽身而出。因此,掌握大数据运用能力与算法技术的商业组织是一种准公共权力性质的机构。这种风险源可结合企业的收入、信息收集量、信息挖掘能力进行界定。例如,美国《加州消费者隐私法》便将受管辖的企业范围限定在年收入超过2500万美元,或者为了商业目的而收集50000条以上个人信息以及年收入的50%以上为销售消费者个人信息所得的公司。

    需要注意的是,个人一般情况下无法成为侵害风险源。这是因为,个人信息受?;とǖ墓娣赌康氖?,在承认数据技术对于信息分享的积极意义上,试图抵消或纠正不正当的数据利用方式带来的冲击,而非通过控制数据流动去影响数据的分享。此时如果把个人直接纳入到法律规定的信息处理者中,就会导致执法对象的泛滥、信息流通受限,偏离制度设计的初衷。所以,原则上国家?;ひ逦袼攵缘闹魈宀挥Πǜ鋈?,除非有迹象表明其拥有大规模、持续性数据处理的能力。

    其次,履行公共职能的主体所代表的公共数据权力,其中除了国家机关外还包括所有提供公共服务或从事公共管理的组织。对于国家机关处理个人信息,我国《个人信息?;しǎú莅福方辛顺醪焦娑?。然而,公共企事业单位和国家机关一样,也是管理国家经济、文化、社会事务的重要平台。许多具备资金、人员、技术的公共企事业单位基于公共服务或管理之需,也可能展开大规模、持续化的个人信息处理活动,因此不应被排除出个人信息?;しǖ募喙芊段?。此外,其他并非公共企事业单位,但具有公共性或者公益性的组织,如慈善组织,也应被纳入监管范围。

    最后,域外组织处理个人信息的风险。由于个人信息处理规则适用于一国主权范围内所有自然人以及信息处理活动,因此个人信息国家?;ひ逦裨谙质抵兴璐淼奈侍獠唤霭ㄈ绾喂娣豆诟髦指鋈诵畔⒋砘疃?,还包括日益广泛的跨国数据传输和处理中的?;??!陡鋈诵畔⒈;しǎú莅福酚?span lang="EN-US">GDPR都针对个人信息跨境传输作了特别规定,这也是国家积极?;ひ逦裨谥贫炔忝娴耐队?,也即是说,国家?;ひ逦袷导噬暇哂辛四持忠庖迳系挠蛲庑Я?。

    2. 控制侵害风险的基本路径

    基于对数据权力这一侵害风险源进行控制的需要,国家应从不同路径展开其?;ひ逦?。

    一方面,国家需要意识到,其自身也是一个侵害风险源,应尽可能减少和避免对公民私人生活的干预与监控。在大数据时代,主要挑战是如何将监控国家之实践(surveillance state)纳入法治框架。监控国家表现为政府基于国家安全、预防犯罪与社会管制的考虑,通过通讯技术、摄像头监控、网络流量监测等方式,对个人的生物、行为等信息进行采集与处理,并用于执法、监管和风险控制。例如,公共区域图像采集、人脸识别、行程轨迹追踪等就是典型的监控工具。虽然监控技术的应用和大数据驱动的数字化治理有助于精准、智能化地预防和应对不确定风险,但同时也会带来过度监控风险。如果不能在法律上明确和强调国家的消极义务,滥用监控工具的风险就会成为现实危险。落实国家消极?;ひ逦?,需要厘清国家进行个人信息收集与处理的负面清单。在这方面,《民法典》第1039条禁止国家机关、承担行政职能的法定机构及其工作人员非法提供个人信息、《个人信息?;しǎú莅福返?span lang="EN-US">27条关于在公共场所安装图像采集、个人身份识别设备等规定,都体现了国家在个人信息?;し矫娴南;ひ逦?。

    另一方面,《个人信息?;しā返闹贫ü谈喙岢沽烁鋈诵畔⑹鼙;とǖ目凸鄯üδ芩赶虻幕逦?,这要求国家针对数据权力这一侵害风险源而提供积极?;?。例如,《个人信息?;しǎú莅福返?span lang="EN-US">11条要求国家建立健全个人信息?;ぶ贫?span lang="EN-US">, 预防和惩治侵害个人信息权益的行为;第58条规定国家网信部门和国务院有关部门按照职责权限组织制定个人信息?;は喙毓嬖?、标准,推进个人信息?;ど缁峄裉逑到ㄉ?span lang="EN-US">”等,都是国家积极义务的明确体现。若是从体系化视角观察国家积极义务的实现途径,基于客观法功能导出的国家义务包括制度性保障、组织与程序保障、?;す衩馐艿谌饲趾Φ囊逦瘢ㄇ趾Φ姆乐挂逦瘢┱馊罨疽?。也就是说,国家权力需要对大数据时代下的个体人格和尊严提供制度性保障和秩序担保。

    在这个意义上,个人信息国家?;ひ逦癫唤龉钩闪⒎ɑ亟ü垢鋈诵畔⒈;しㄌ逑档脑?,也构成行政权和司法权在执行和解释法律时的上位指导原则。从国家不同权力分支的任务来看,个人信息国家?;ひ逦竦牟煌嫦虿⒎潜舜硕懒?、互不联系,而是需要国家在立法、执法与司法中进行统筹协调。首先,个人信息国家?;ひ逦裰苯釉际⒎ㄕ?,国家需要综合不同的部门法工具来制定专门的法律,注重具体立法技术与制度选择的多元化、灵活性与体系性,以有效提供个人信息受?;とǖ靡猿浞质迪值闹钕钐跫?,并为数据技术和产业发展的政策目标提供广阔的容纳空间与统筹可能。其次,国家?;ひ逦褚苍际姓ê退痉ㄈ?。具体来说,第一,监管者在履行?;ぶ霸?、进行职权裁量的过程中应时刻以个人信息受?;とㄗ魑淇剂恳蛩?span lang="EN-US">,运用各种监管手段来促进和保障基本权利的实现,并在日常执法中实现精细化调整与理性治理,兼顾对产业发展的引导和推动。第二,司法机关对监管部门的相关行为(如监管机构不履行?;ぶ霸鸹蚵男斜;ぶ霸鸩皇实保┙猩蟛槭?,也应依据基本权利?;さ谋曜祭醇喽奖;ひ逦袷欠裼行男?,控制?;げ蛔?span lang="EN-US">”或?;す?span lang="EN-US">”的情形。第三,在对非国家机关侵犯个人信息的活动进行审查时,裁判者在适用法律的过程中也应着眼于个人信息处理过程中不对称权力存在的事实,不能简单地将民法所设想的主体平等、意思自治的民事主体关系直接套用到个人与信息处理者的关系结构之中。

    上述关于国家?;ひ逦窆娣督峁沟姆治?,有助于我们对《民法典》和《个人信息?;しǎú莅福分邢喙馗拍罴捌涔叵到蟹下呒内故?。从基础概念看,《民法典》第1034条规定的自然人的个人信息受法律?;?span lang="EN-US">”并非确立一项私法权利,而是宪法上个人信息国家?;ひ逦裨诰咛宸芍械墓娣侗硎?,因为制定与实施法律是国家?;ひ逦衤男械闹饕绞?。个人信息权益,其实是个人信息处理活动中可能受到数据权力威胁的、需要国家?;さ暮戏ㄈㄒ?;个人信息权益不受侵害,则意味着与个人信息受?;とㄏ喙氐母髦址ㄒ媸芄冶;?。从具体规定观察,个人在个人信息处理活动中的权利”“个人信息处理者的义务”“履行个人信息?;ぶ霸鸬牟棵?span lang="EN-US">”等概念,则来源于国家?;ひ逦衤男械牟煌绞?,对此,下文将结合国家?;ひ逦竦木咛迓涫低揪抖箍?。


    四、个人信息国家?;ひ逦竦恼箍?/span>

    个人信息国家?;ひ逦竦恼箍吐涫?,是一个综合不同法律技术与制度工具的系统过程,需要国家统筹协调不同部门法工具,吸纳多元主体参与,兼顾对个人信息的消极?;ず突;?。

    (一)消极?;ひ逦竦穆涫?/span>

    在传统上,消极?;ひ逦袼赶虻母鋈朔烙ㄒ蠊也坏们秩敫鋈诵畔⒘煊?。但在以大数据和信息技术广泛应用的信息国时代,以对个人数据的采集和处理为核心的监控已成为一个普遍事实。在这个背景下,落实国家消极?;ひ逦竦墓丶?,并非禁止国家使用监控等数据处理技术,而在于强调监控手段运用的价值理性和工具理性。监控(surveillance)是在传统安全观念和治理手段基础上,为回应复杂、多样的安全风险而孕育的权力和技术工具,在反恐、传染病监控、自然灾害和市场风险、公共安全等领域已普遍使用。但数据监控工具如果不能被有效控制在以宪法为根基的法秩序之内,则极易被滥用,甚至导致工具的反噬效应。因此,不能仅关注监控的有效性,应当在消极?;ひ逦竦募壑倒娣兑笙?,考虑工具有效性和私人生活安宁之间的平衡,具体可从立法规则表达、过程控制与救济机制三个层面进行落实。

    在规则表达层面,应对公共监控的权限设定进行严格控制。对哪些事项可以监控?哪些主体有权监控?这涉及到监控权限设定和配置。应根据不同信息与私人生活安宁之间的接近程度(敏感度),将个人信息的采集和处理区分为绝对法律保留与相对法律保留事项,并依此进行设定权的配置,逐步清理超越设定权限的法规范。同时,规范完善的过程中需要对为履行法定职责处理个人信息”“公共安全需要等不确定法律概念进行要素的列举、提炼及类型化界定,避免监控权扩张。例如,在Marper案中,欧洲人权法院以相关立法中预防犯罪的措辞相当笼统,可能引起宽泛解释为由,判定英国立法没有履行消极?;ひ逦?。

    在过程控制层面,应注重将与个人信息监控和处理相关的政府决策和决定透明化。尤其是在处理技术复杂、处理流程持续的场景下,单纯依靠抽象的法律规定难以使人产生稳定预期,故监控信息处理的透明度和说明理由显得尤为必要。具体而言,可以要求政府在启动监控行为前履行一定的信息披露和解释义务;在监控行为实施后履行报告、评估、纠正与删除义务,这既有利于监控权力的审慎行使,也有利于公共问责机制的展开。

    在救济监督层面,个人得请求司法机关介入以审查公权力主体是否履行了消极?;ひ逦?,这是防御权的核心要求。这一要求在我国既有的法体系建设中还有待进一步完善。例如,《数据安全法(草案)》第22条规定:国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。依法作出的安全审查决定为最终决定。这不仅明确排除司法救济,而且在审查主体、审查标准、审查程序上也不够清晰,可能导致安全审查权过度。又如,《个人信息?;しǎú莅福返?span lang="EN-US">67条针对国家机关处理个人信息并未明确规定司法救济和国家赔偿,只笼统规定了国家机关内部监督。这些规定可能对个人防御权的行使构成过度限制,应在法体系建设中予以完善。

    (二)积极?;ひ逦竦穆涫?/span>

    1. 制度性保障

    国家首先需要建构个人信息处理的基本制度,设定个人与个人信息处理者之间的权利义务关系结构,确保个人实质性参与信息处理过程,对信息处理者形成制衡,以充分实现权益保障目标,这便是个人信息国家?;ひ逦竦闹贫刃员U厦嫦?。制度性保障课予国家建构和维护一套关于个人信息处理基本制度的客观义务?;谥г鋈硕钥故萑Φ男枰?,立法机关有必要通过制度建构,赋予个人在信息处理中的工具性权利,同时设定信息处理者的相应义务与行为模式,从而建立起个人与信息处理者之间的制衡结构。由于数据处理者与个人在资源、技术等方面的明显不对称地位,个人单凭其自身力量将无法对抗数据权力的压迫和支配,因此,个人信息国家?;ひ逦癖厝灰蠊医槿?,提供一套制衡性的个人信息处理权利义务规则。

    欧盟的数据?;ち⒎ㄒ约拔夜陡鋈诵畔⒈;しǎú莅福氛且灾坪馐荽碚呷ξ勘?,通过赋予个人在信息处理中的知情权、访问权、携带权、更正权等具体权利,保障其在数据处理全流程,包括信息收集、存储、使用、传播、更正、删除等各个环节都可深度参与,以缓解个人面对信息处理者的无力感。相应地,信息处理者应当建立个人行使权利的申请受理和处理机制,同时需要遵守对个人信息处理的既定义务与程序要求。例如,确保信息准确、完整,处理信息需符合法定或约定目的,保证自动化决策满足公平合理等合规要求,从而形成有助于保障个人权益的行为模式。

    可以说,制度性保障的实质是国家针对组织化、官僚化的信息处理者所建构的一套工具理性框架,其目的在于形成有效的制衡结构。正如欧洲数据?;ぷㄔ惫鹚赋龅哪茄?,GDPR第三章规定的数据主体的权利实际上是在个人信息国家?;ひ逦裣?,面向促进个人信息受?;とㄊ迪种康?,国家通过制定规则与采取监管措施赋予个人对抗数据处理者的手段和工具。在欧盟监管机关看来,这些权利有助于使数据处理者可持续地、合乎道德(即保障个体尊严)地使用数据,是保障个人不受数据权力支配的手段,因此具有工具价值。与此类似,我国《个人信息?;しǎú莅福吩诘诙?span lang="EN-US">“个人信息处理规则及第四章个人在个人信息处理活动中的权利中所规定的知情权、访问权、更正权、删除权、自动化决策拒绝权等,也是调整个人与信息处理者之间关系结构的工具性权利。

    这些工具性权利与传统民事权利在逻辑上存在显著区别。首先,在权利的发生机制上,工具性权利并非由个人对其个人信息的占有和控制衍生而来,而是国家履行?;ひ逦竦慕峁?;其次,在权利功能方面,工具性权利并非私权逻辑下以保障个人对其个人信息的占有、支配为目的,而是为了在数据处理中制衡数据处理者;最后,在权利保障方面,国家统筹多种法律责任机制,包括行政处罚、刑事追责以及民事追责,来延伸和落实国家?;ひ逦?。

    应当指出,虽然赋予个人这些工具性权利的目的在于对信息处理者进行制衡,但这并不意味着个人享有针对其个人信息处理的排他性决定权。也就是说,这些权利并不等于信息自决权。立法者只是通过特定的制度设计保障个人在与其相关的个人信息处理活动中的发言、参与和选择,以抑制个人信息处理者的恣意和滥权,但并非赋予个人对其个人信息的实体性控制权。

    从立法论的角度看,这些工具性权利簇,范围究竟多大、具体如何操作、例外理由如何设置(如同意的例外情形)、是否可以设定经济激励机制等问题,都需要由立法者加以界定,这属于立法者的形成自由,而非不言自明的、绝对的权利。事实上,在《宪章》起草的过程中,采用信息自决权概念的建议最终被否决,一个重要的理由便是担心这种权利定位会产生个人对信息处理具有绝对决定权的误解,阻碍信息的流通与分享。Robert Post教授亦指出:《宪章》第8条指向的通过一系列个人信息操作规则赋予个人针对个人信息的控制权,必须是在针对与庞大的、密不透风的官僚组织(large bureaucratic organizations)作斗争的境况中才具有意义,不能适用于公共交流、媒体报道等沟通型语境中。因此,必须对国家制度性保障义务下所派生的此种工具性的控制权的行使进行必要限定,不能将宪法上的个人信息受?;とㄖ苯幼鋈硕愿鋈诵畔⑺碛械呐潘?、积极的支配权。

    那么,个人信息处理制度中的操作规则应达到什么样的质量标准?结合上文分析,个人信息处理操作规则应满足充分实现对数据权力的制衡以及促进个人信息受?;とㄊ迪值裙娣缎砸?。具体而言,第一,操作规则必须满足明确性、透明性的要求。由于这些操作规则发挥着个人信息处理方式具体化的功能,直接关涉到个人的信息权益能否得到充分保障,因此必须制定明确、透明的操作规则。例如,GDPR12条规定,在提供信息传达数据主体如何行使其权利方面,数据控制者应承担广泛的义务。相关信息必须简洁、透明、清晰易懂,且必须以特定的书面形式提供。信息处理者根据立法要求进行措施细化时,例如《个人信息?;しǎú莅福返?span lang="EN-US">47条规定的个人信息处理者应当建立个人行使权利的申请受理和处理机制时,也应该满足这些要求。第二,操作规则还需要结合特定场景进行理解。除了避免对个人在信息处理活动中的权利做绝对化、实质化理解外,由于个人信息?;じ叨纫览堤囟ㄐ畔⒋沓【?,因此还需要结合特定场景对操作规则适用进行细化。例如,通过判例、执法机构的阐释以及企业自行制定的行业准则不断具体化。国家既可以直接制定、细化操作规则,也可以对企业、行业自行出台的操作规则予以审核、承认、维护。应该注意到,操作规程制定者的核心任务是保证这些规则在不同情境下始终围绕维护个人信息?;ず腿烁褡鹧系燃壑祷≌箍?。解释者也应当作出符合个人信息受?;とㄒ庵嫉慕馐?,尽可能在不同场景下实现权利保障的最优化与整体价值的协调,故无需也不应强求立法者制定普遍适用、固定不变的操作规程。第三,这些规则本身还应当具备便捷性、可操作性。一方面,立法应当避免信息处理制度过度复杂化,应对个人信息处理者的责任清单进行必要界定,对操作制度的功能进行细化说明,以避免不合理地增加信息处理者成本、影响数据自由流通等情形。另一方面,也应充分意识到个人在面对信息处理者时所遭遇的资源和能力匮乏的现实。比如,个人往往难以有效评估信息处理行为对自己可能构成的威胁,对冗长复杂的个人信息?;ぬ蹩钊狈ψ愎坏姆治黾笆视媚芰?,因此,立法更应强调操作规则的清晰性、简明性、可理解性,构建个人友好型的信息处理操作规则。

    2. 组织与程序保障

    前文所谈的制度性保障重点关注的是个人信息处理者之间的权利义务关系结构;组织与程序保障则主要指:在基本的权利义务关系结构之外,需要通过组织和程序设计,为国家?;ひ逦裰涫堤峁┑1P院透ㄖ灾贫?,以促进个人信息受?;とㄖ迪?。这具体涉及到三个方面。首先,负有?;ぶ霸鸬淖橹低橙绾紊杓?;其次,信息处理者组织结构如何优化;最后,面向个人提供哪些基本的法律程序?;?。

    1)对监管机构的组织要求

    在个人与个人信息处理者之间关系结构明确之后,国家?;ひ逦裥枰ü喙茏橹吞逯贫徊铰涫?。这要求建立权威、有效的监管机构,即履行个人信息?;ぶ霸鸬牟棵?span lang="EN-US">”,并在此基础上构筑统一、协作的监管和执法威慑体系。

    一方面,组织保障要求确立稳定、一致、高效的监管机制。以管辖权配置上的统一性要求为例,由于数据处理具有明显的电子化场景性、跨区域性、空间不确定性,传统上按照行政区域和违法行为发生地来确定管辖权的规则,已难以适应个人信息?;ぶ【?。欧盟在Weltimmo s.r.o.案及后续立法中,逐步确立了一站式组织机制,旨在改善欧盟数据?;しㄔ诓煌厍涞耐骋皇视眯?,这既增强了个人与企业的法律预期,也有利于监管机构更高效地解决纠纷。我国目前个人信息?;と源τ诜稚⒘⒎ń锥?,规范体系较为零碎,相应的监管组织设置和职权配置也牵涉网信、工信、公安、市场监管、一行三会(央行、保监会、银监会、证监会)、商务部、邮政、文化与旅游部等多个部门,不同监管机关之间的冲突协调困难重重,容易出现负有监管义务的机关相互推诿、逃避职责以及部分行业或领域的多头监管等情形,尚需基于统一性要求进行优化。

    另一方面,在个人信息?;ぜ喙芑疃?,多元监管机构应明确各自权限并在必要时开展合作,满足协作性要求。例如,个人信息?;ば枰赫喙懿棵?、消费者?;せ购褪荼;せ沟男?。正如欧洲数据?;ぷㄔ惫鹬赋觯?span lang="EN-US">“欧盟消费者?;し?、竞争法和数据?;しǖ墓餐勘晔蔷勒畔⒑褪谐×α康牟黄胶?,随着数字市场的迅速发展和集中,这种不平衡已变得越来越严重。然而,在2016年之前,欧洲竞争网络、消费者?;ず献魍缫约笆菁喙芑怪葱信访斯嬖虻那榭龇浅K槠?,产生了许多实质性重叠的情形。在此背景下,欧盟委员会在2016年的决议中敦促不同方面负责维护数字社会和经济中的个人权益的监管机构进行更多对话和信息共享,并努力加强消费者监管框架、反托拉斯和数据?;ぶ涞男?span lang="EN-US">”。之后,欧盟委员会提出成立一个专门机构,向调查数字市场案件的监管机构提供技术支持,并协调竞争、消费者?;?、产业发展、数据?;さ炔煌棵诺闹捶ㄐ枨?,以促进各自领域的监管机构之间的一致性。相较而言,我国相关立法与实践还处于相对空白阶段。

    2)对数据处理者的组织要求

    组织保障的另一个面向是针对进行个人信息处理活动的机构提出组织结构要求。例如,《个人信息?;しǎú莅福返?span lang="EN-US">50条要求个人信息处理者制定内部管理制度和开展内部培训;第51条要求个人信息处理者指定个人信息?;じ涸鹑?,都是组织保障要求延伸到信息处理者组织架构的体现。欧盟GDPR也要求数据控制者需采取有效的组织管理措施,包括适当频次的审计、任命数据?;す?、制定有利于信息?;さ哪诓抗芾碇贫?、事先与数据管理局协商等。这些组织措施有助于从结构上完善信息处理者?;じ鋈诵畔⒌淖橹逑?,进而改变其行为方式,使个人信息?;こ晌橹哪谏?,在降低外部执法成本的同时,也强化信息处理者开展个人信息?;さ哪谏?。

    具体而言,国家在立法和监管中可从数据处理者的问责机制、人员组成、部门与机构设置等方面提出相应的组织要求。第一,问责制是激发信息处理者审慎、理性?;じ鋈诵畔⒌闹匾?。例如,GDPR和我国《个人信息?;しǎú莅福范脊娑诵畔⒋碚呋蚱浯肀匦氡A羝涫荽砘疃募锹?,以便于监督,这就是一种内置的压力机制。第二,关于人员组成,个人信息?;さ牧⒎ㄍ家筇囟ㄈ嗽钡H渭喙芑?、个人和信息处理者之间的中介。例如,GDPR37-39条对DPO(数据?;す伲┑闹霸鸾辛讼昃」娑?,其中有两项核心内容:其一,DPO需要及时参与任何与个人数据?;び泄氐幕疃?。例如,对履行处理者义务的公司和员工提出建议,并通过执行审计和培训来监督数据?;す嬖虻淖袷厍榭?。DPO还必须与监管机构合作,并在与数据处理有关的重要事务(例如数据泄露)上充当监管机构的联络点。其二,信息处理者需要为DPO提供必要的财务、设备、资讯等资源以及专业支持,同时确保其在履职过程中不会受到解雇或处分的影响。相较之下,我国《个人信息?;し?span lang="EN-US">(草案)》只是粗略地在第51条提及个人信息?;じ涸鹑烁涸鸲愿鋈诵畔⒋砘疃约安扇〉谋;ご胧┑冉屑喽?span lang="EN-US">”,并未对其职能与履职保障作具体规定,有必要进一步完善细化。第三,个人信息?;す嬖蛞不岫允荽碚吣诓炕股柚貌跋?。例如,《个人信息?;し?span lang="EN-US">(草案)》第49条要求个人信息处理者应当建立个人行使权利的申请受理和处理机制,这就要求信息处理者设置相应的负责申请处理的职能部门或机构;再如,信息处理者内部安全部门、法务部门、产业部门等不同部门之间的相互关系亦会影响其履行处理者义务的效率与方式,从而间接影响到个人信息受?;とǖ穆涫?。

    3)程序保障的具体内涵

    在宪法理论上,国家?;ひ逦竦某绦虮U洗成现饕杆痉ň燃贸绦?,后又逐步拓展至行政程序,并在德国、日本以及我国台湾地区出现了与英美法中的正当法律程序交互运用的趋势。具体到个人信息?;ち煊?,程序保障的内涵主要有以下两个方面:第一,个人能获得有效救济途径,这是国家需要提供的首要程序保障。首先,个人可以在诉讼中针对信息处理者提出停止侵害、消除影响、要求赔偿的途径;其次,个人应当有途径委托特定的组织开展集体诉讼;最后,从权利救济的一般法理来看,个人应有途径要求监管机构履行?;ひ逦?,并针对监管机构不作为提起诉讼。就此而言,我国《个人信息?;しǎú莅福返?span lang="EN-US">61条只是简单提及举报途径与回复要求,并未明确规定个人可针对履行个人信息?;ぶ霸鸬牟棵诺∮诼男斜;ぶ霸鹦形鹚?。第二,程序保障还要求,国家机关作为信息处理者时,其作出对个人不利的决定时,个人能够获得公平公正的行政程序保障。例如,《个人信息?;しǎú莅福返?span lang="EN-US">34条规定国家机关为履行法定职责处理个人信息, 应当依照法律、行政法规规定的权限、程序进行。国家机关作为个人信息处理者与个人之间的权利义务关系结构应如何设定,程序保障应如何落实,这也是当前我国个人信息?;ち⒎ㄖ行枰赜Φ闹卮笪侍?。

    3. 侵害防止义务

    在制度性保障、组织与程序保障之外,国家?;ひ逦竦穆涫祷怪赶蚯趾Ψ乐挂逦?。国家需要综合运用多重工具,通过构建预防机制和协同法律责任来营造个人不受数据权力侵害的法秩序环境。

    1)预防机制的构建

    在大数据时代,个体其实难以对个人信息流通的风险进行预判,而风险所带来的后果有可能是极其严重的。以个人信息泄露的情形为例,其呈现出一个从直接化向间接化、从简单化向复杂化、从显性信息泄露向隐性信息泄露转变的趋势,且规模愈发庞大。再如消费者?;ち煊蚋鋈诵畔⒈焕挠梦侍?,随着人工智能技术发展,数据平台通过信息挖掘、分类、自动化处理所导向的对消费者的歧视、剥削、欺诈的风险愈发难以控制。这使得预防原则变得尤为必要,国家必须采取措施强化信息处理者的风险控制义务。

    在欧盟,预防原则明确进入了立法。GDPR在序言第75-77条便对个人信息处理者提出了对信息处理风险进行评估以及采取应对措施的要求。一方面,在?;で慷壬?,不同的处理风险对应了不同强度的?;す嬖?,GDPR在此列举了信息的可识别程度、自然人易受伤害的程度、信息处理的规模等多项评判风险的标准。风险的定性对组织的反应、缓解和纠正措施起着重要作用。另一方面,在介入方式上,国家需要采用不同方法主导风险规制的过程。其一,可以通过立法明确要求信息处理者具备相应的风险处理能力,如GDPR32条要求数据处理者保证自身处理系统具备持续保密、完整、可用、快速恢复的能力;其二,可以通过官方批准的行为规范、认证以及监管机构制定的指南或说明来为信息处理者提供风险预防指引。

    相较而言,我国《个人信息?;しǎú莅福诽岢龅?span lang="EN-US">“个人信息处理者制定并组织实施个人信息安全事件应急预案以及对信息处理者进行事前风险评估的要求也是预防原则的规范体现。但如何将预防原则进一步进行制度构建和细化,仍需进一步的经验总结与规则表达。

    2)多元法律责任机制的协同

    在法律责任机制的建构方面,个人信息?;げ捎昧硕嘀址稍鹑涡穆肪?,包括了民法框架与消费者法框架下的损害赔偿责任、违反个人信息处理合规要求的行政法责任乃至最为严厉的刑事责任等等。由于单一部门法所提供的责任机制无法独自完成国家?;じ鋈诵畔⒌娜挝?,因此,应从整体的国家?;ひ逦窨蚣芾此伎己徒ü垢鋈诵畔⒈;し稍鹑翁逑?。在这个意义上,宪法、民法、行政法、消费者法、刑法都可以为个人信息?;ぬ峁┯姓攵孕缘姆稍鹑位?,这意味着个人信息?;しㄊ且桓龅湫偷?span lang="EN-US">“领域法。我们应当摆脱部门法本位主义的路径依赖,考虑多元法律责任机制的协同。

    第一,针对消费者法与民法框架下的损害赔偿责任,国家可以采取针对个人的倾向?;?。具体而言有四种路径可供选择:其一是针对损害赔偿的范围与数额,可以根据法院的判例,以充分?;じ鋈诵畔⒌姆绞浇杏欣诟鋈说慕馐?;其二是归责机制,如GDPR82条第4款要求造成权益侵害的多个数据处理者之间承担连带责任,以避免个人经历多个昂贵且漫长的诉讼程序;其三是在立法上明确非物质损失即精神损害赔偿责任的设置;其四是举证责任上的倾斜?;?。尽管如此,单纯依靠个人提起损害赔偿之诉,其效果依然是有限的。在欧盟层面,个人直接针对信息处理者的诉讼案件成本高昂,往往还需依赖掌握经验、技术知识的行政监管部门作出违法情况调查认定作为先决条件。其根本原因在于,损害赔偿诉讼只是整个数据治理中的一个环节,个人信息?;ぶ贫鹊挠行愿嗷剐杞岷细咝У闹捶ㄍ寤?、企业治理结构和行业自律生态。在我国,既有研究也表明,现有司法实践中个人通过私法上的损害赔偿制度获取有效救济的情形少之又少,且面临举证、诉讼成本上的诸多难题。综合而言,私法救济提供了一个必要、但远非充分的路径;该路径虽仍有完善的空间,但不宜过分强调其自足功能。

    第二,在行政责任方面,履行个人信息?;ぶ霸鸬牟棵趴刹扇《嘀执泶胧?。首先,监管部门可以发布责令停止、责令限制处理、责令改正、责令删除、责令消除影响与赔礼道歉等行政命令,或采用约谈等柔性措施及时制止违规活动;其次,可以使用发布风险提示、列入信用档案并公示等声誉工具进行监管;最后,监管机构还可以通过大额???、吊销个人信息处理登记证或许可证等行政处罚手段,产生强烈的威慑效果??梢运?,行政机关拥有的工具是多元的。但面对社会舆论压力、政治压力、执法能力不足等情形,监管机构也可能出现形式化的要求和一刀切的规制过度,这不仅未必能真正提高个人信息?;に?,而且对行业发展、营业自由的保障可能构成潜在威胁。因此,监管者一方面需要遵循比例原则的要求,在选择制裁方式与幅度时充分考虑不同场景;另一方面,还需考量行政措施与信息处理者治理结构的优化以及同消费者法责任、民法责任等其他机制之间的衔接,实现多个部门法工具之间的协调,以积极促成数字经济发展与个人信息?;ぶ涞钠胶?,而非片面追求严苛的执法效应。

    第三,在刑事责任方面,衡诸刑法的最后手段性谦抑性原则,国家若要采取刑事手段进行制裁,必须是为了?;?span lang="EN-US">“重大且根本性的法益免于受到侵害,而且必须在没有其他有效?;ご胧┣樾蜗?,始得为之。由此原则看,我国刑法经由刑法修正案(七)与(九)修正后设置的侵犯公民个人信息罪,虽正式确立了个人信息的刑法?;ぢ肪?,但该罪的适用需满足全环节?;ず颓质褂玫囊?,避免由于法律规范的模糊和空白在部分环节上?;げ蛔?,而在特定信息处理环节和场景中?;す鹊那樾?。


    结 论

    个人信息?;ぴ诜ㄈɑ∩纤鱿值恼?,源于对个人信息?;とɡ∪现哪:?,而后者又源于个人信息国家?;ひ逦?span lang="EN-US">”此一宪法支点的缺失,因而无法形成清晰的法权结构。在个人信息受?;と?span lang="EN-US">—国家?;ひ逦?span lang="EN-US">”框架下,国家不仅要保持审慎、理性的克制态度以履行其消极义务,同时还须为个人提供积极?;?,以支援个人对抗大规模、持续化数据处理中人格尊严减损的风险。在大数据时代,个人信息受?;とú唤鲆蠊衣涫捣烙ǖ枷蛳碌南;ひ逦?,更要求其在客观法导向下落实制度性保障、组织与程序保障、侵害防止等积极?;ひ逦?。个人信息?;ち⒎ㄓσ源宋愣箍逑祷ü?。

    个人信息受?;と?span lang="EN-US">—国家?;ひ逦?span lang="EN-US">”框架有助于我们超越部门法本位主义,在领域法理念的引导下检索可资援用的?;な侄?,在此意义上,民法?;?、消费者法?;?、行政法?;?、刑法?;さ裙ぞ叨加衅湎嘤Φ氖视每占?。在规范意义上,国家通过多种途径、多元手段为个人提供协同?;?,是落实国家?;ひ逦竦哪谠谝?,可以增强个人对信息处理者的制衡能力,缓解权利行使的无力感。因此,对于数据时代的个人信息?;ざ?,上述框架实际上可以充实empower)个人信息受?;と?。在功能意义上,个人信息受?;とㄖ荚谥坪庑畔⒋碚叩?span lang="EN-US">“数据权力,但不是赋予个人对其信息的排他性控制权,这种权利结构在?;じ鋈嗣馐苁萑ρ蛊群椭涞耐?,也为数据技术和产业发展内置了空间。个人信息?;び胄畔⒗昧魍ǖ钠胶?,数据安全与产业发展的平衡等命题,也只有在国家统筹?;さ目蚣苤?,方得有效求解。


    版权所有:法治政府研究院北京市海淀区西土城路25号邮编:100088

    站长统计 联系我们

    日本laurenphilips,亚洲国产AV玩弄放荡人妇系列,在线播放无码成动漫视频 亚欧乱色国产精品免费九库| 男女做爰高清免费观看视频| 老汉老妇姓交视频| 亚洲国产AV美女网站| 免费A级毛片AV无码| 国产精品原创巨作AV无遮挡| 18禁勿入网站入口永久| SAO精品视频免费观看| 亚洲欧美日韩高清一区| 亚洲处破女 WWW|