李 芊

(中國人民大學(xué) 法學(xué)院,北京 100089)

一、問題的提出

隱私與個人信息的相關(guān)問題一直以來都是理論界與實踐中爭論的重點問題,專家學(xué)者莫衷一是。《民法典》第四編《人格權(quán)》第六章專門對隱私權(quán)與個人信息保護(hù)做出了規(guī)定。對于隱私權(quán)與個人信息保護(hù)關(guān)系的相關(guān)闡述包括兩部分:第一,在條文中規(guī)定了隱私權(quán)與個人信息保護(hù)的概念及其內(nèi)容。在權(quán)利設(shè)置上,《民法典》并未對個人信息采取權(quán)利式的保護(hù),沒有形成相應(yīng)的“個人信息權(quán)”(1)詳情可參見《民法典》第一千零三十二～一千零三十五條。。第二,第一千零三十四條規(guī)定“個人信息中的私密信息,適用有關(guān)隱私權(quán)的規(guī)定;沒有規(guī)定的,適用有關(guān)個人信息保護(hù)的規(guī)定”。由此可以得出以下兩個基本解釋:第一,我國對個人信息保護(hù)并非權(quán)利式的保護(hù),沒有明確“個人信息權(quán)”,《民法典》采用隱私與個人信息交叉說(2)有關(guān)隱私權(quán)與個人信息保護(hù)的關(guān)系有三種觀點:隱私與個人信息獨立說、隱私與個人信息重合說、隱私與個人信息交叉說。;第二,當(dāng)私密信息同時適用于隱私權(quán)保護(hù)與個人信息保護(hù)時,隱私權(quán)保護(hù)具有優(yōu)先適用性。

《民法典》的出臺把個人信息推向了在基本法層面予以保護(hù)的高度。但是,《民法典》對隱私權(quán)與個人信息權(quán)益關(guān)系與保護(hù)模式的相關(guān)規(guī)定僅做了簡單的表述,在實施中還需要進(jìn)一步解釋與調(diào)和。一方面,隱私權(quán)與個人信息保護(hù)之間的關(guān)系影響兩者的制度安排,需要進(jìn)行有效的界分與銜接,在這個過程中主要存在以下問題:第一,《民法典》規(guī)定的是平等主體之間的民事法律關(guān)系,而《個人信息保護(hù)法》有一定的傾斜性,給予信息處理者更多義務(wù)。在這種情況下,隱私權(quán)與個人信息保護(hù)如何有效地進(jìn)行界分與銜接?第二,《個人信息保護(hù)法》兼顧公法與私法的內(nèi)容,是否應(yīng)該作為《民法典》的特別法存在?第三,隱私權(quán)包含更多的消極性權(quán)利,權(quán)利請求需要滿足侵權(quán)法要件,而《個人信息保護(hù)法》包含更多積極性的權(quán)益內(nèi)容,那么《民法典》隱私權(quán)章節(jié)規(guī)定的個人信息保護(hù)的內(nèi)容屬于何種性質(zhì),應(yīng)該被如何看待?另一方面,由于《民法典》對于整個個人信息保護(hù)制度是至關(guān)重要的,特別是其中的個人信息保護(hù)條款在整個個人信息保護(hù)制度中起到了關(guān)鍵作用,因此需要明晰以下內(nèi)容:一則,《民法典》中的個人信息保護(hù)條款是作為宣誓性法條存在還是作為實質(zhì)的法(為個人信息保護(hù)提供行為依據(jù))存在?二則,在構(gòu)建個人信息保護(hù)制度過程中,隱私權(quán)保護(hù)與個人信息權(quán)保護(hù)的內(nèi)容如何安排才符合邏輯?

本文嘗試從原理層面與制度層面對兩者關(guān)系進(jìn)行解釋與研究,尋求研究隱私權(quán)與個人信息保護(hù)的新視角。在原理層面,分別從權(quán)利的內(nèi)容、法律的性質(zhì)與法律主體的組成三方面展開論述,對隱私權(quán)與個人信息保護(hù)的發(fā)展與關(guān)系進(jìn)行梳理與研究;在制度層面,運用比較法,通過對比歐洲“防守型”與美國“矯正型”的個人信息保護(hù)制度的異同,理解權(quán)利設(shè)置的功用,為解決我國制度設(shè)計問題提供素材與借鑒。

二、隱私權(quán)與個人信息權(quán)益的界分

探究隱私權(quán)與個人信息權(quán)益的關(guān)系與界分,需要溯及隱私權(quán)的發(fā)展環(huán)境與發(fā)展特點。隱私權(quán)內(nèi)容的不確定性導(dǎo)致法律具有開放性特點,并隨著社會經(jīng)濟與科技發(fā)展不斷變化與完善[1]。

(一)法律權(quán)利:從消極性權(quán)利到積極性權(quán)利

傳統(tǒng)的工業(yè)社會對于隱私權(quán)的定義限于個人獨處、不被打擾的權(quán)利。此規(guī)定具有消極意義。隨著信息時代的發(fā)展,隱私權(quán)發(fā)展出了個人享有對自己信息控制的權(quán)利,這種發(fā)展使得個人信息受保護(hù)權(quán)開始轉(zhuǎn)向積極意義。

第一,隱私權(quán)作為人格權(quán)的組成部分,具有時代性的積極延伸。人格權(quán)的消極屬性來源于大陸法系的理論實踐,深受天賦人權(quán)影響。然而,天賦人權(quán)理論的目的是防御國家政府干預(yù),并非刻意使人格權(quán)消極化。在歐美實踐中,伴隨著隱私權(quán)在民主社會中重要性的提升,一方面,隱私權(quán)內(nèi)容不斷豐富,開始融入自主權(quán)與控制權(quán)等積極性的利益,例如:選擇權(quán)、訪問權(quán)、糾正權(quán)以及被遺忘權(quán)等;另一方面,特別是對于信息隱私而言,公眾不斷變化的需求使得隱私逐漸成為個人積極選擇問題,而非僅僅消極防御?！睹穹ǖ洹钒讶烁駲?quán)獨立成編的一個重要意義在于承認(rèn)獨立的人格權(quán)請求權(quán)獨立于侵權(quán)損害賠償權(quán),這種“分離模式”為人格權(quán)的積極發(fā)展注入了活力[2]。換句話說,自然人可以基于人格權(quán)請求權(quán)對抗任何人,這賦予人格權(quán)絕對性與對世性,基于這種屬性,權(quán)利人對其人格利益享有自由支配的權(quán)利。至此,我國的人格權(quán)設(shè)置不再單純是一種防止受到侵害的消極防御性權(quán)利,而逐漸向積極權(quán)利開放。

第二,個人信息兼容人格屬性和財產(chǎn)屬性。隨著市場經(jīng)濟的發(fā)展與觀念的進(jìn)步,越來越多的人格權(quán)具有了一定的財產(chǎn)屬性,被稱為“物質(zhì)性人格權(quán)”[3]。一方面,大數(shù)據(jù)時代,算法的日益精細(xì)化可以快速捕捉大量信息并分析利用,建立信息庫,進(jìn)行個性化推送,發(fā)掘信息經(jīng)濟價值,使得個人信息逐漸被最大化流通與利用,具有了財產(chǎn)屬性。另一方面,由于政府與企業(yè)對信息的收集與分析,個人信息主體開始主張自己享有控制自己信息流向的權(quán)利,例如:個人可以享有對信息的支配權(quán)、訪問權(quán)和分享權(quán)等。在這種發(fā)展態(tài)勢下,人格權(quán)必然會產(chǎn)生類似于物權(quán)中的利用與支配權(quán)能。

第三,對信息的利用程度發(fā)生變化,信息的公共屬性日益顯現(xiàn)。隱私權(quán)產(chǎn)生伊始即深深植根于西方自由主義與民主實踐,自由主義信奉者極力主張脫離政府的控制與媒體的窺探。在這種背景下,隱私權(quán)更多地體現(xiàn)為自然人不受侵害的權(quán)利[4]。在工業(yè)時代,信息主要是有限傳播與人工傳播,利用范圍比較狹窄。到了信息社會,社會環(huán)境開始從物理時空進(jìn)階到物理與數(shù)字相融,人們的生活交往方式發(fā)生了翻天覆地的變化[5]。一方面,信息社會豐富了人們利用信息的途徑與方式,除了私密信息被公開之外,個人的公開信息也可能被反復(fù)分析組合,進(jìn)而侵?jǐn)_到人格尊嚴(yán)與生活安定。另一方面,互聯(lián)網(wǎng)的發(fā)展使得信息交互與自由流通不可避免,導(dǎo)致個人信息的利用率明顯增高[6]。個人信息一旦出現(xiàn)在網(wǎng)絡(luò)空間,便從私人領(lǐng)域進(jìn)入公共領(lǐng)域,面臨無限制復(fù)制、利用、重組的風(fēng)險,信息相應(yīng)地開始具有一定的社會屬性,流通于公共領(lǐng)域。

綜上,社會因素與法律因素讓人格權(quán)逐漸從消極性權(quán)利演變成積極性權(quán)利,隱私權(quán)作為人格權(quán)之一同樣如此,并且在大數(shù)據(jù)時代逐漸發(fā)展出了更具體的保護(hù)——對于個人信息的保護(hù)?！睹穹ǖ洹吠ㄟ^列舉侵害隱私權(quán)行為表達(dá)了隱私權(quán)的對世性與自主決定性(3)《民法典》第一千零三十二條規(guī)定:“自然人享有隱私權(quán)。任何組織或者個人不得以刺探、侵?jǐn)_、泄露、公開等方式侵害他人的隱私權(quán)。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息?！盵7]。

(二)法律主體:從面向所有人到針對信息處理者

盧梭認(rèn)為,人類一切不平等起源于文明,文明帶來最直接的變化是強者與弱者的劃分,在經(jīng)濟上體現(xiàn)為生產(chǎn)資料占有者與非占有者之分。歷史上,富人通過推動和主張“形式平等”,利用優(yōu)勢地位獲取更多的財富。但是,隨著社會問題的突顯,貧富主體之間巨大的懸殊使得人們關(guān)注平等的真正含義,開始追求實質(zhì)平等,認(rèn)真對待每一項權(quán)利。政府開始嘗試制定一系列經(jīng)濟法與社會法來實現(xiàn)傾斜保護(hù),維護(hù)實質(zhì)平等,提升社會整體的幸福感。

工業(yè)時代,隱私被侵犯的方式主要是被窺探與非法公開,侵犯隱私的群體包括自然人與組織在內(nèi)的所有人,所以其作為隱私權(quán)的主要內(nèi)容可以通過平等主體之間的侵權(quán)法得到保護(hù)[4]。信息時代,一方面,信息的收集與利用變得無差別,包括對象的無差別、信息種類的無差別、信息交互的無差別;另一方面,信息收集逐漸成為專業(yè)性或商業(yè)性主體的職業(yè)活動,信息收集者與處理者(包括企業(yè)與公共部門)作為掌握技術(shù)服務(wù)、掌握資本的資料信息占有者,在收集、使用、出售信息時享有得天獨厚的優(yōu)勢,例如,知情同意原則之下,企業(yè)為了獲取用戶的信息會使用調(diào)整產(chǎn)品、服務(wù)或者訪問權(quán)限等各種方式取得用戶的同意[8]。區(qū)別于偶然的、個別的信息收集活動,他們更依賴儲存與利用實現(xiàn)對信息持續(xù)持有。隨著信息隱私與個人信息保護(hù)的發(fā)展,私法無法完全解決個人信息主體與信息處理者之間持續(xù)不平等關(guān)系所產(chǎn)生的新問題,法律開始通過設(shè)置一些新型權(quán)利來實現(xiàn)保護(hù)的目的,并對信息處理者做出新的制度安排,要求其承擔(dān)更多的義務(wù)。

不同國家立法也進(jìn)行了相關(guān)的實踐。例如,歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)在適用范圍上首先排除了自然人之間的信息收集與處理,其次排除了“有權(quán)機構(gòu)為了預(yù)防、調(diào)查、偵查或起訴犯罪,進(jìn)行的個人數(shù)據(jù)處理”(4)GDPR第2(2)條(c)規(guī)定:“自然人在純粹個人家庭活動中所進(jìn)行的個人數(shù)據(jù)處理不屬于GDPR的調(diào)整范圍?！钡?(2)條(d):“有權(quán)機構(gòu)為了預(yù)防、調(diào)查、偵查或起訴犯罪,為了進(jìn)行犯罪懲罰,包括為了保證公共安全和預(yù)防對公共安全的威脅而進(jìn)行的個人數(shù)據(jù)處理?！?。這就使得GDPR的適用范圍僅限于信息收集者與處理者。美國的個人信息立法也有相同的處理:國家層面上,1974年《隱私權(quán)法案》的規(guī)制對象是美國聯(lián)邦機構(gòu),《家庭教育權(quán)利與隱私法案》規(guī)制對象是公共機構(gòu)等;州層面上,2020年1月1日生效的《加州消費者隱私法案》(CCPA)規(guī)制對象是商業(yè)主體與企業(yè)(5)加州消費者隱私法案[EB/OL].(2019-12-30)[2021-05-15].https:∥mp.weixin.qq.com/s/DzoLEdigySrVwiIiaUn8cQ.。雖然規(guī)制對象有差別,但是兩部具有代表性的個人信息立法針對的都是具有專業(yè)性與商業(yè)性的組織。

綜上所述,鑒于個人信息保護(hù)主要針對的是持續(xù)的不平等的權(quán)利與義務(wù),只訴諸民法的人格權(quán)保護(hù)是有一定局限的,因此,個人信息相關(guān)權(quán)益基于自身特有的屬性需要尋求新的保護(hù)模式。

(三)法律性質(zhì):從侵權(quán)法到混合法保護(hù)

追溯美國的歷史發(fā)現(xiàn),對于隱私權(quán)與個人信息的保護(hù)是沿著私法到公私混合方向演化的。隱私權(quán)的概念自布蘭代斯與沃倫提出便被《侵權(quán)法案》保護(hù),被侵權(quán)者可以基于侵權(quán)構(gòu)成要件尋求救濟。在之后的案例判決中,隱私權(quán)的概念被廣泛運用。直到19世紀(jì)六七十年代,聯(lián)邦法院及各州法院形成了三百個有關(guān)隱私權(quán)的判決,在注重自由主義與市場經(jīng)濟的氛圍下,Alan Westin具體化了隱私權(quán)并提出了“信息隱私”的概念,主張個體對于信息的控制[4]。至此,美國開始嘗試通過各種方式保護(hù)隱私與個人信息。20世紀(jì)末21世紀(jì)初,以“告知—同意”為核心的公平信息實踐原則開始成為個人信息保護(hù)的核心制度,隱私政策以新型合同的方式開始發(fā)揮隱私保護(hù)的重要作用[9](6)企業(yè)是主要的推動者,對他們來說,合同保護(hù)模式有諸多益處。比如,隱私條款可以保證企業(yè)以安全的方式免于責(zé)任,企業(yè)與平臺總有辦法能夠讓隱私條款的利益更偏向自己。而且,企業(yè)通過合同方式向用戶承諾隱私保護(hù)責(zé)任可以吸引用戶。在我國的實踐中,企業(yè)會在合規(guī)的過程中羅列許多信息用以告知對用戶的承諾?？傊?對于企業(yè)、平臺來說,合同是性價比最高的選擇。。但是,也有學(xué)者認(rèn)為單純合同法的保護(hù)范圍非常狹窄。自從美國聯(lián)邦貿(mào)易委員會(FTC)介入消費者保護(hù)之后,就開始承擔(dān)實際的監(jiān)管與保護(hù)職能[10]。自此,美國關(guān)于隱私的立法與執(zhí)行開始豐富起來,設(shè)置了私法保護(hù)與聯(lián)邦監(jiān)管法規(guī),實踐公平信息的內(nèi)容(7)《美國憲法第四修正案》:“人民的人身、住宅、文件和財產(chǎn)不受無理搜查和扣押的權(quán)利,不得侵犯。除依照合理根據(jù),以宣誓或代誓宣言保證,并具體說明搜查地點和扣押的人或物,不得發(fā)出搜查和扣押狀?！??？茖W(xué)技術(shù)的發(fā)展與收集信息方式的變化使得美國越來越重視個人信息保護(hù)。美國國會與政府開始制定一系列針對特定主體的法律。最重要的是2020年美國州一級立法CCPA,使得個人信息保護(hù)立法帶有明顯的民法與社會法傾向的消費者保護(hù)特色。

歐洲各國隱私權(quán)與個人信息保護(hù)的發(fā)展也是沿著私法到混合法的路徑展開的,最為典型的是德國個人信息保護(hù)的演進(jìn)。經(jīng)歷過第二次世界大戰(zhàn)洗禮的德國深知建立人格權(quán)的重要性,提倡尊重人格尊嚴(yán),并通過聯(lián)邦法院創(chuàng)設(shè)了一般人格權(quán)。之后,聯(lián)邦法院判決1983年人口普查法違憲,繼而創(chuàng)設(shè)了信息自決權(quán)。20世紀(jì)70年代,以德國為代表的大陸法系國家迎來了制定數(shù)據(jù)保護(hù)法的高潮,先后制定了州層面的《德國聯(lián)邦數(shù)據(jù)保護(hù)法》、國家層面的《防止數(shù)據(jù)處理過程中濫用數(shù)據(jù)法》等。這些法律通過規(guī)制信息收集者與處理者起到保護(hù)個人信息的作用,具有公法與社會法規(guī)制的特色。同時期,瑞典、奧地利、丹麥等國先后在公法層面與消費者保護(hù)層面加強了個人信息保護(hù)?？傊?從私法保護(hù)轉(zhuǎn)變到混合法保護(hù)最直接的原因在于個人信息保護(hù)從隱私權(quán)保護(hù)之中逐漸分離。

綜上分析,各個國家與地區(qū)對于傳統(tǒng)的隱私權(quán)一般是在私法層面保護(hù),但是由此發(fā)展出來的個人信息通常會選擇公法與私法混合保護(hù)的模式。我國《民法典》規(guī)定了個人信息保護(hù)的基本概念與內(nèi)容,這是對個人信息保護(hù)的現(xiàn)實問題的一種回應(yīng)與重視。由于個人信息相關(guān)問題具有復(fù)雜性,既涉及人格權(quán)的問題,又涉及個人信息處理規(guī)范的問題,還涉及數(shù)據(jù)流通的問題,這就需要《民法典》與個人信息保護(hù)制度實踐保持一定程度的開放性,能夠兼容并包地不斷迎合新的發(fā)展。

三、域外經(jīng)驗:個人信息保護(hù)的法律框架

隱私權(quán)的流變與演化逐漸發(fā)展出了個人信息權(quán)益保護(hù)的內(nèi)容,并且在保護(hù)方式上呈現(xiàn)出混合法保護(hù)的模式。本部分主要通過域外經(jīng)驗對逐漸發(fā)展出來的個人信息保護(hù)制度進(jìn)行梳理與分析,為我國《民法典》《個人信息保護(hù)法》及相關(guān)法的實施與銜接提供借鑒。

(一)歐洲經(jīng)驗——以二元治理展開的個人信息保護(hù)實踐(8)在討論數(shù)據(jù)治理問題時,美國律師與歐洲律師運用的是不同的話語系統(tǒng)。歐洲將有關(guān)個人信息的法規(guī)稱之為“數(shù)據(jù)保護(hù)”法律,美國稱之為“隱私信息保護(hù)”法律。為了討論方便,本文將他們約等于我國的“個人信息保護(hù)”概念。

歐盟鮮有直接通過私法設(shè)置隱私權(quán)保護(hù)的法律。即使冠有隱私權(quán)保護(hù)之名,歐盟司法實踐也基本立足于規(guī)制個人數(shù)據(jù)與個人信息。雖然《歐盟基本權(quán)利憲章》明確了個人信息權(quán)與個人數(shù)據(jù)權(quán),但是這種權(quán)利的設(shè)立實際上是為保護(hù)個人數(shù)據(jù)提供正當(dāng)程序,最終依托聯(lián)盟的監(jiān)督實現(xiàn),而并非傳統(tǒng)意義上的私法保護(hù)。

1980年歐洲理事會制定了供成員國參照和選擇適用的《個人數(shù)據(jù)自動化處理保護(hù)公約》,1995年制定了《歐盟數(shù)據(jù)保護(hù)指令》,2016年歐盟又通過了GDPR并于2018年開始實施。這種覆蓋整個歐洲(包括政府與私營部門)的數(shù)據(jù)立法模式在世界個人信息保護(hù)范圍內(nèi)產(chǎn)生了廣泛的影響。一方面,歐盟的政策鼓勵成員國之間的商業(yè)與數(shù)據(jù)流動,制定了《歐盟數(shù)據(jù)保護(hù)指令》,到20世紀(jì)80年代后期許多成員國,例如德國、瑞典、法國和英國,頒布并根據(jù)此類數(shù)據(jù)保護(hù)法展開運作。另一方面,這種措施對隱私全球化的影響是巨大的。在歐盟運營的跨國公司,如要跨境傳輸歐盟境內(nèi)的數(shù)據(jù)必須符合歐盟制定的數(shù)據(jù)保護(hù)制度或特殊程序,否則不能將個人信息轉(zhuǎn)移出境。因此,國際上一些國家(例如加拿大)為了更好地傳輸數(shù)據(jù),建立了歐盟標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)規(guī)則。

歐盟采取的是非常嚴(yán)格的個人數(shù)據(jù)監(jiān)管措施。歐盟GDPR要求企業(yè)獲得的同意必須是“有效的同意”,是“特定、真實的同意”,并向用戶提供其個人數(shù)據(jù)的副本,在72小時內(nèi)報告情況,要讓用戶真正明白企業(yè)收集用戶信息的意圖。實踐中,GDPR的要求受到了詬病,這種嚴(yán)格的數(shù)據(jù)保護(hù)措施被認(rèn)為不利于數(shù)據(jù)流通與保護(hù),但是在事實層面,全球已經(jīng)有約120個國家實踐了歐洲數(shù)據(jù)保護(hù)模式。盡管它有一定的漏洞與弊端,但是GDPR的存在具有較強的合理性并通過制度自洽的方式對數(shù)據(jù)展開管理。歐盟GDPR針對個人信息保護(hù)形成的二元治理模式的基本框架為“個人權(quán)利+嚴(yán)格問責(zé)制”(以下簡稱“歐洲模式”)[11]。

1.個人權(quán)利的程序性再生

GDPR對于個人數(shù)據(jù)收集處理遵循著公平信息實踐的框架,例如透明性原則、目的限制原則、數(shù)據(jù)最小化原則、限期儲存原則等。除此之外,GDPR主張賦權(quán)于個人,包括知情選擇權(quán)、訪問權(quán)、刪除權(quán)、攜帶權(quán)等,這體現(xiàn)了對人格的尊重與保護(hù)。2014年,歐盟法院在西班牙谷歌案中確立了被遺忘權(quán),確認(rèn)了公民在特定條件下有權(quán)要求網(wǎng)站刪除其網(wǎng)上的個人信息[12]。除此之外,這種類型化的權(quán)利設(shè)置在程序上有自己獨特的價值:一方面,這種模式方便個人通過類型化權(quán)利直接向信息收集者主張權(quán)利,一定程度上減輕國家的司法負(fù)擔(dān)[9];另一方面,GDPR賦權(quán)于個人的最終目的并非通過私法上的權(quán)利控制來保護(hù)個人信息,而是依靠個人權(quán)利來為算法決策過程提供標(biāo)準(zhǔn)與界限,并為當(dāng)局監(jiān)管提供程序正當(dāng)性基礎(chǔ)。換句話說,當(dāng)算法決策對個人產(chǎn)生巨大影響時(無論是否進(jìn)入司法程序),GDPR可以基于個人權(quán)利的設(shè)置以符合形式的方式或過程對不合法行為進(jìn)行監(jiān)管。所以,雖然賦權(quán)個人在私法領(lǐng)域舉步維艱,但是卻能以“程序性再生”的方式在規(guī)制領(lǐng)域?qū)?shù)據(jù)保護(hù)起到關(guān)鍵作用。

2.嚴(yán)格問責(zé)的工具性效用

歐洲的二元治理模式主要體現(xiàn)在公私之間、各個組織之間的協(xié)作上,其中嚴(yán)格的問責(zé)制在整個制度中起到工具性的作用。它側(cè)重于評估算法決策事前、事中與事后的風(fēng)險,并監(jiān)督信息處理者的行為。這對監(jiān)管機構(gòu)提出兩個要求:一是權(quán)威性強,二是能夠與企業(yè)保持持續(xù)的對話。例如,歐盟在數(shù)據(jù)治理過程中有一個很重要的任務(wù)是防止算法偏見與歧視,但是GDPR中并沒有詳細(xì)規(guī)定如何防止。相反,歐盟數(shù)據(jù)保護(hù)委員會(EDPB)在《自動化個人決策和分析指南》(ADM指南)中規(guī)定,企業(yè)應(yīng)該定期檢查數(shù)據(jù)歧視設(shè)置、定期審查準(zhǔn)確性等決策,并進(jìn)行周期性的部署。歐盟問責(zé)的方式并非通過GDPR明確地告訴信息收集者具體如何實現(xiàn)監(jiān)管,而是通過數(shù)據(jù)監(jiān)督與執(zhí)行機構(gòu)、信息處理者共同合作就問題找出適當(dāng)可行的方案并加以解決[11]。

綜上,歐洲倡導(dǎo)的是數(shù)據(jù)綜合治理的模式,提倡私法與公法混合治理。這種合作治理的模式被描述為一個更好的治理快速變化的、具有高度技術(shù)復(fù)雜性風(fēng)險系統(tǒng)的形式。有效的合作治理需要個人權(quán)利設(shè)置與問責(zé)制雙管齊下,在這種模式下,監(jiān)管與管理體系才能兼得合法與高效。

(二)美國經(jīng)驗——以消費者保護(hù)展開的個人信息保護(hù)實踐

美國個人信息保護(hù)大致可以劃分為兩個時期:1961—1990年的信息隱私初步發(fā)展期與1990年至今的信息隱私高速發(fā)展期。1960年之前,美國隱私權(quán)的內(nèi)容是非常寬泛與模糊的,基本任由市場主導(dǎo)發(fā)展。1890年布蘭代斯與沃倫提出的隱私權(quán)概念并沒有在實踐中得到廣泛應(yīng)用,隱私權(quán)也并不能作為一項獨立的訴因而存在。直到20世紀(jì)60年代,隱私權(quán)的概念才得到具體化適用。Alan Westin于1967年具體化了隱私權(quán)的概念,指出隱私權(quán)是人們可以自由進(jìn)入或者退出社會的權(quán)利,并且強調(diào)個人對于自己個人信息的控制[4](9)同時代的研究還有:William L.Prosser在司法案例中歸結(jié)出了隱私權(quán)在侵權(quán)法領(lǐng)域的四種分類具體化了隱私權(quán)的司法適用。Edward T.Hall于1966年發(fā)表的《隱藏的維度》(The Hidden Dimension)通過實證研究的方式,深入了解了這個時代美國的隱私態(tài)度和政策偏好,為隱私相關(guān)研究奠定了實證基礎(chǔ)。。至此,伴隨著科學(xué)技術(shù)與信息收集技術(shù)的進(jìn)步,美國的個人信息保護(hù)步入發(fā)展的黃金期。

1960—1990年是美國隱私權(quán)初步發(fā)展時期,公眾開始在生活各個方面警惕自己的信息隱私是否受到侵犯。政府和私營企業(yè)逐漸建立數(shù)據(jù)庫等項目,數(shù)據(jù)收集成本的降低與科技的進(jìn)步使得其在組織決策與管理方面得到了較大的改進(jìn)。政府與組織在系統(tǒng)中設(shè)立了許多種族、宗教、政治和性別歧視的模式,使得個人開始動搖對于政府部門的信任(10)另外,政治上最直接的表現(xiàn)為聯(lián)邦調(diào)查局、中央情報局和尼克松政府的濫用職權(quán)行為降低了公眾對機構(gòu)的普遍信任,民權(quán)斗爭、反戰(zhàn)、竊聽、水門事件等使得大眾對信息隱私的擔(dān)憂以一種社會問題發(fā)展。。在這種緊張的環(huán)境下,美國的衛(wèi)生、教育和福利部門合力制定了公平信息實踐(FIP)框架,成為美國接下來三十年的保護(hù)個人信息的主要方法。這一時期通過了大量聯(lián)邦立法與州立法,包括通過公平信息實踐框架規(guī)范新技術(shù)應(yīng)用、政府活動與各種不平等行為(11)例如1980年的《隱私保護(hù)法》與一些系列規(guī)制法;1986年的《電子通信隱私法》,將1968年的竊聽法院命令和控制程序擴展到數(shù)字語音數(shù)據(jù)和視頻通信;1984年的《有線通信政策法案》,要求有線電視公司將信息收集做法告知訂戶并提供訂戶訪問權(quán)限;1988年的《視頻隱私保護(hù)法》,禁止視頻商店披露其客戶的姓名和地址以及他們租用或購買的視頻。此外,在雇主與雇員關(guān)系上,基于平等革命、對新型社會的寬容和爭取人才引進(jìn),政府和企業(yè)開始取消對雇員的監(jiān)督。美國國會在1988年通過了《雇員測謊保護(hù)法案》(Employee Polygraph Protection Act),禁止雇主通過測謊儀對雇員進(jìn)行撒謊測試。。這些部門立法大部分指向政府不合理的竊聽行為、雇主侵害雇員隱私行為與侵害消費者知情權(quán)與隱私權(quán)的行為。

自1990年至今,隨著互聯(lián)網(wǎng)興起、無線通信技術(shù)發(fā)展與大數(shù)據(jù)的應(yīng)用,“信息隱私”問題逐漸成為美國政治與社會最重要的問題之一。最突出的方面是美國的消費行業(yè)從工業(yè)時代的大眾營銷轉(zhuǎn)變?yōu)樾畔r代的個性化營銷,企業(yè)需要不斷獲取個人的消費記錄與消費偏好。從1990年開始,政府開始重點關(guān)注公司隱私政策中的不公平與欺騙性交易行為,但是由于缺乏判例與依據(jù),多數(shù)以和解結(jié)束。隨著FTC的發(fā)展,美國的隱私判例得到極大豐富,并出現(xiàn)了一些具體的執(zhí)行標(biāo)準(zhǔn),這使得美國隱私保護(hù)的實踐逐漸完善起來?？梢哉f,美國個人信息保護(hù)制度完善的過程就是具有民法與社會法性質(zhì)的法律不斷矯正和具體化監(jiān)督的過程,在這個過程中,當(dāng)局通過消費者保護(hù)法與判例來具體化公平信息實踐中寬泛的原則與準(zhǔn)則,同時為市場活動設(shè)立底線(以下簡稱“美國模式”)。最具有代表性的是2020年加州實施的CCPA,把美國個人信息保護(hù)推向全新的平臺與高度。

(三)歐美模式之間的“信息爭奪戰(zhàn)”以及形成的制度差異

有觀點認(rèn)為,歐盟開創(chuàng)了國際隱私法,美國加州立法CCPA是歐盟立法GDPR的延續(xù)以及精簡[13]。也有觀點認(rèn)為,雖然CCPA借鑒了歐洲立法技術(shù),但它是在美國領(lǐng)土上重新建立的個人信息保護(hù)框架[14]。以GDPR為代表的歐洲模式與以CCPA為代表的美國模式在全球范圍內(nèi)形成了個人信息保護(hù)的“割據(jù)之勢”。兩種制度主要在以下三個方面存在差異:

第一,兩種模式的立法背景不同。歐洲采取二元治理模式歸根于歐洲數(shù)據(jù)發(fā)展背景:一方面,歐盟的人權(quán)保護(hù)傳統(tǒng)使得歐洲分外注重人的尊嚴(yán)和權(quán)利保護(hù),加大個人控制與賦權(quán)立法的傳統(tǒng)可以為歐洲數(shù)據(jù)立法提供正當(dāng)性并助力歐洲數(shù)據(jù)保護(hù);另一方面,歐洲沒有大型的互聯(lián)網(wǎng)企業(yè),在世界范圍“數(shù)據(jù)爭奪戰(zhàn)”中處于弱勢地位,因此,他們在數(shù)據(jù)戰(zhàn)爭中會選擇加大“防守”,采取貿(mào)易保護(hù)主義的態(tài)度,這也是防止數(shù)據(jù)流失的一個關(guān)鍵舉措。在這種模式的影響下,世界范圍內(nèi)形成了著名的布魯塞爾效應(yīng):歐洲通過單邊或者談判的方式,向世界輸出歐洲標(biāo)準(zhǔn),繼而歐洲的信息收集市場準(zhǔn)入標(biāo)準(zhǔn)成為全球標(biāo)準(zhǔn)[15]。反觀美國是全球互聯(lián)網(wǎng)“大廠”聚集地,例如臉書、亞馬遜、推特、蘋果、微軟等,他們的立法模式大多積極促進(jìn)數(shù)據(jù)市場流通,目的是使數(shù)據(jù)能夠沒有阻礙地進(jìn)入美國。在此實踐下,FTC作為消費者保護(hù)的主要監(jiān)管機構(gòu)逐漸發(fā)展成為美國數(shù)據(jù)保護(hù)的執(zhí)行機構(gòu)[1]。美國立法更多關(guān)注消費者領(lǐng)域的維權(quán),選擇在必要的領(lǐng)域?qū)π畔⑦M(jìn)行嚴(yán)格管制。

第二,兩種模式的立法主體不同。歐盟采取的是統(tǒng)一綜合立法習(xí)慣,而美國采用的是具體部門立法習(xí)慣。作為世界兩大經(jīng)濟實體,歐盟是作為一個組織對數(shù)據(jù)進(jìn)行立法,而美國是作為一個國家對信息隱私進(jìn)行立法。兩個經(jīng)濟實體立法的手段與目的不同,最終導(dǎo)致立法產(chǎn)生的結(jié)果不同。歐盟作為管理者與監(jiān)督者,一般會通過公法與國際法對成員國的不合法行為進(jìn)行規(guī)制與管理。對于美國而言,一方面,其作為一個國家進(jìn)行立法的目的是解決本國民生切要的問題,所以通常會聚焦社會最突出的問題,例如前文提到的“企業(yè)與消費者”之間的沖突;另一方面,判例法傳統(tǒng)使得美國更加注重積累實踐經(jīng)驗,歸納總結(jié)出本國最突出的問題,從而進(jìn)行立法保護(hù),例如,FTC通過豐富隱私判例與制定細(xì)化的隱私保護(hù)實踐標(biāo)準(zhǔn),矯正美國原先對于消費者保護(hù)寬泛的立法與標(biāo)準(zhǔn)。如此來看,美國通過民法與社會法實現(xiàn)對自由市場中消費隱私領(lǐng)域立法與標(biāo)準(zhǔn)的矯正。

第三,兩種模式的法律框架不同。有學(xué)者總結(jié)歐洲為“權(quán)利話語體系”,而美國為“市場話語體系”[16],不同原則引導(dǎo)建立的個人信息保護(hù)框架最終產(chǎn)生不同的結(jié)果。歐盟沿襲歐洲立法的“權(quán)利體系”傳統(tǒng),認(rèn)為信息處理行為是否合法必須有相應(yīng)的法律規(guī)定[15],也就是說除非有法律明確規(guī)定,否則不能處理個人信息。此外,歐洲還為收集信息設(shè)置了很多限制,比如用戶在一定情況下可以選擇撤銷同意,用戶有被遺忘權(quán)等。相比之下,美國屬于“市場體系”,其對于數(shù)據(jù)信息的收集是自由開放的,市場上允許信息自由流通,除了涉及醫(yī)療、金融、教育、兒童等特殊領(lǐng)域需要單獨立法規(guī)制。消費者與企業(yè)可以進(jìn)行信息交易,法律的作用是監(jiān)管不公平的交易行為。美國的個人信息保護(hù)制度主要集中于對消費者的保護(hù),尤其注重保護(hù)不同信息市場中的消費者。

綜上所述,由于立法背景、立法主體與立法框架不同,歐洲與美國形成了兩種不同的個人信息保護(hù)制度,最終在國際上形成了“防守型”的歐洲數(shù)據(jù)保護(hù)陣營與“矯正型”的美國信息隱私保護(hù)陣營。歐洲的數(shù)據(jù)收集與使用的原則為“法無授權(quán)即禁止”,個人有權(quán)利控制自己的信息,非法律允許與個人同意,數(shù)據(jù)不可被收集或者使用。美國模式為“法無禁止即可為”,法律默認(rèn)企業(yè)可以收集信息并可以在交易中與消費者討價還價,除非有法律明令禁止[17]117。

雖然歐洲和美國對于個人信息保護(hù)的法律框架不完全相同,但是最終均采用了公法與私法混合的保護(hù)模式,其中對我國最具有借鑒意義的是如何實現(xiàn)法律之間的銜接。歐洲通過設(shè)置個人權(quán)利為整個數(shù)據(jù)收集與保護(hù)過程提供程序性依據(jù),并依賴嚴(yán)格問責(zé)制為其保駕護(hù)航。美國在自由的市場中不斷發(fā)掘值得保護(hù)的信息隱私利益,以判例的方式矯正寬泛的監(jiān)管標(biāo)準(zhǔn)。對于個人信息保護(hù)制度來講,歐洲是“權(quán)利前置型”的,而美國是“保護(hù)后置型”的。所以,每個國家或地區(qū)對于個人信息保護(hù)立法是有選擇傾向的。雖然這兩個法域的經(jīng)驗具有借鑒意義,但是我國立法與實施的背景與歐美完全不同,既不同于歐洲的權(quán)利體系,也不同于美國的市場體系,需要從我國立場與實踐上進(jìn)行解釋與選擇。

四、進(jìn)一步解釋與制度設(shè)計

如前所述,隱私權(quán)與個人信息權(quán)益存在交叉關(guān)系,個人信息保護(hù)的內(nèi)容在隱私權(quán)保護(hù)模式基礎(chǔ)上逐漸發(fā)展。這不僅是歷史的趨勢,也是我國隱私權(quán)發(fā)展的必然結(jié)果。本文對《民法典》進(jìn)行重新解釋的目的在于更好地調(diào)和隱私權(quán)與個人信息保護(hù)之間的關(guān)系。這種調(diào)和并非否定《民法典》的規(guī)定,而是在理論層面論證兩者之間銜接的必要性與正當(dāng)性,豐富實踐的應(yīng)用。

(一)《民法典》在個人信息保護(hù)制度中的地位

首先,《民法典》對于個人信息保護(hù)的意義重大。第一,《民法典》在民事基本法的高度上給予個人信息保護(hù)高度重視,為其進(jìn)一步細(xì)化提供了基礎(chǔ)。相比之前的民事立法,《民法典》對個人信息保護(hù)做出了一些基本的規(guī)定,例如,規(guī)定了個人信息的概念與類型、原則、與隱私權(quán)之間的關(guān)系、信息處理者的義務(wù)、個人信息合理使用等。第二,《民法典》區(qū)分隱私權(quán)與個人信息保護(hù),在基本法的高度上確認(rèn)兩者關(guān)系,有利于司法實踐。同時,民法的規(guī)定能夠為個人信息保護(hù)提供正當(dāng)性基礎(chǔ),為數(shù)據(jù)流通與利用劃出法律底線。第三,《民法典》在民法上承認(rèn)對個人信息相關(guān)權(quán)益的保護(hù),體現(xiàn)了我國對人格尊嚴(yán)與自由的關(guān)懷,目的是維護(hù)人民的權(quán)利與利益。所以,《民法典》中有關(guān)個人信息保護(hù)的條款并非僅僅具有宣誓性意義,更具有與隱私權(quán)區(qū)分并進(jìn)行實質(zhì)性保護(hù)的意義。

其次,分析《民法典》條文可知,個人信息保護(hù)的內(nèi)容既沒有通過權(quán)利設(shè)置式的保護(hù)路徑,也沒有完全使用隱私權(quán)的保護(hù)路徑,而是以特殊的方式存在。除此之外,我國《個人信息保護(hù)法》對信息處理的過程進(jìn)行了較為完整的規(guī)定,既與民事法律存在關(guān)聯(lián),又具有一定的規(guī)制法特色?！秱€人信息保護(hù)法》中多處存在公私合作的影子(12)《個人信息保護(hù)法》第六十二條規(guī)定:“國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)本法推進(jìn)下列個人信息保護(hù)工作……”第六十四條規(guī)定:“履行個人信息保護(hù)職責(zé)的部門在履行職責(zé)中,發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的,可以按照規(guī)定的權(quán)限和程序?qū)υ搨€人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談,或者要求個人信息處理者委托專業(yè)機構(gòu)對其個人信息處理活動進(jìn)行合規(guī)審計。個人信息處理者應(yīng)當(dāng)按照要求采取措施,進(jìn)行整改,消除隱患。”這些規(guī)定體現(xiàn)了一定程度的合作精神。,而《民法典》與《個人信息保護(hù)法》的銜接對于個人信息保護(hù)治理體系的建設(shè)起著至關(guān)重要的作用。

(二)相關(guān)規(guī)定的進(jìn)一步解釋

對《民法典》進(jìn)一步解釋之前,需要明晰民法與《個人信息保護(hù)法》之間的關(guān)系。對于民法與《個人信息保護(hù)法》的關(guān)系有以下兩種觀點:一種觀點認(rèn)為民法中規(guī)定了個人信息保護(hù)的內(nèi)容,所以個人信息保護(hù)具有民事屬性,應(yīng)作為民事特別法[18];另一種觀點認(rèn)為《個人信息保護(hù)法》兼具公法與私法屬性,應(yīng)該是一部綜合性的規(guī)范,而非民事特別法[6,19]。本文認(rèn)為我國的《個人信息保護(hù)法》并非《民法典》的民事特別法,屬于綜合法范疇,但是《個人信息保護(hù)法》中的民事規(guī)范部分具有特別法的特征。雖然學(xué)界對于《個人信息保護(hù)法》的性質(zhì)眾說紛紜,但可以確定的是,《個人信息保護(hù)法》中的民事規(guī)范與《民法典》隱私權(quán)部分存在多處銜接。例如《民法典》中對個人信息的定義與《個人信息保護(hù)法》中對個人信息的界定基本相同,這象征著一種銜接的關(guān)系。在此基礎(chǔ)上,本文對《民法典》第四編第六章做進(jìn)一步的解釋。

1.法律主體之間的銜接

《民法典》擬制民事法律關(guān)系是平等主體之間的發(fā)生的,而《個人信息保護(hù)法》大部分內(nèi)容針對的是信息處理者,并對弱勢群體予以傾斜性保護(hù)。雖然兩者針對的主體有差別,但是《民法典》與《個人信息保護(hù)法》中均規(guī)定了個人信息保護(hù)的內(nèi)容。《民法典》第四編第六章規(guī)定的是與隱私性權(quán)益相關(guān)的個人信息保護(hù)內(nèi)容,而《個人信息保護(hù)法》是對信息處理過程的規(guī)定,這看似存在矛盾,但是實際上體現(xiàn)了我國個人信息保護(hù)制度的特色。這種制度安排一方面說明《民法典》在《個人信息保護(hù)法》中起提綱挈領(lǐng)的作用,在私法層面強調(diào)了其重要性,另一方面為個人信息流通劃定了“權(quán)利”的底線——個人的人格尊嚴(yán)不容侵犯。當(dāng)信息處理過程中觸及隱私權(quán)等人格性利益,無論雙方主體是什么身份,兩者均處于隱私關(guān)系當(dāng)中,應(yīng)該依據(jù)隱私權(quán)優(yōu)先給予保護(hù),其中主要涉及與人格相關(guān)的救濟。所以說,相比于《個人信息保護(hù)法》,《民法典》雖然涉及的主體范圍更廣,但是保護(hù)的內(nèi)容更精準(zhǔn)、對人格的保護(hù)更嚴(yán)格。

2.私密信息與敏感信息的處理

《民法典》第一千零三十四條規(guī)定:“個人信息中的私密信息,適用有關(guān)隱私權(quán)的規(guī)定;沒有規(guī)定的,適用有關(guān)個人信息保護(hù)的規(guī)定?！边@說明兩者之間的重合點限定于私密信息,即自然人不愿為他人知曉的信息(例如婚姻信息、財產(chǎn)信息、健康信息、家庭信息、醫(yī)療信息等)。是否私密是劃分信息的一個標(biāo)準(zhǔn),私密信息屬于《民法典》保護(hù)的范圍,非私密信息屬于個人信息保護(hù)的范疇。由此來看,私密性標(biāo)準(zhǔn)與隱私掛鉤,所以信息的私密性程度越高,越關(guān)涉隱私保護(hù)程度與力度。另一個劃分信息的標(biāo)準(zhǔn)為敏感信息與非敏感信息,這是處理個人信息時的分級標(biāo)準(zhǔn)。《民法典》更關(guān)注的是與人格尊嚴(yán)相關(guān)的隱私信息,而非個人信息的敏感程度。換句話說,《民法典》在乎隱私性權(quán)利與利益,而《個人信息保護(hù)法》在乎的是具體操作與信息處理的過程是否合法,這個過程會涉及信息的分級處理問題。因此,自然人之間有關(guān)私密信息的糾紛適用于隱私權(quán)保護(hù),自然人與信息處理者之間的糾紛,更注重個人信息本身的性質(zhì)以及處理個人信息過程是否合法。

3.當(dāng)事人主張單個相關(guān)權(quán)利時的處理

民法規(guī)定平等主體之間的法律關(guān)系,權(quán)利與義務(wù)基本呈現(xiàn)對等的關(guān)系。而《個人信息保護(hù)法》的適用是具有一定前提的,一般針對的是商業(yè)化、專業(yè)化的大型企業(yè)或者公共機構(gòu),他們之間所形成的法律關(guān)系更呈現(xiàn)為持續(xù)的不平等的權(quán)利義務(wù)關(guān)系,體現(xiàn)在信息收集與利用的過程中。在這種法律關(guān)系中,信息主體享有更多的積極性權(quán)利,而信息收集者要承擔(dān)更多的義務(wù)。例如:當(dāng)事人基于訪問權(quán)、被遺忘權(quán)、刪除權(quán)、查詢權(quán)提出請求,這時需要《個人信息保護(hù)法》保護(hù)。所以,涉及自然人與信息處理者之間有關(guān)私密信息的糾紛,個人可以基于隱私權(quán)提起訴訟,也可以就個人信息保護(hù)提起訴訟,這取決于所主張權(quán)利的性質(zhì)。如果所主張的權(quán)利是人格性、消極的隱私權(quán)利的保護(hù),那么需要民法的保護(hù);如果主張的是積極性的權(quán)利,那么可以通過《個人信息保護(hù)法》保護(hù)。一方面,雖然隱私權(quán)開始向積極性權(quán)利開放,但是經(jīng)前文分析,《個人信息保護(hù)法》具有民事規(guī)范特色的部分屬于特別法?；谔貏e法優(yōu)于一般法的原則,在實際操作時還應(yīng)當(dāng)援用特別法加以保護(hù)。另一方面,積極性權(quán)利涉及信息處理的過程,需要更加嚴(yán)格的監(jiān)管,受《個人信息保護(hù)法》的特殊保護(hù)。

4.當(dāng)事人主張多個相關(guān)權(quán)利時的處理

如果個人信息保護(hù)糾紛涉及多種權(quán)利,勢必存在哪種權(quán)利優(yōu)先保護(hù)的問題。《民法典》第一千零三十四條規(guī)定私密信息優(yōu)先適用隱私法,實際上暗含個人信息保護(hù)中的一條原則:如果兩者相沖突,由于隱私性權(quán)益具有更重要的意義,所以依靠基本法優(yōu)先保護(hù)。所以,當(dāng)事人主張多種權(quán)利時,無論依賴哪部法律,隱私性權(quán)利或者利益總是能夠得到優(yōu)先關(guān)注與保護(hù)。

(二)我國個人信息保護(hù)路徑的設(shè)計與展望

我國有著獨特的法律與市場環(huán)境:第一,信息技術(shù)革命的興起使得人們的思想方式、交往方式、商業(yè)環(huán)境產(chǎn)生了翻天覆地的變化,個人信息收集與利用方式也逐漸翻新,傳統(tǒng)的私法保護(hù)方式無法應(yīng)對現(xiàn)實。第二,我國有著大陸法系的成文法習(xí)慣,在立法與實踐上習(xí)慣于綜合性立法。第三,我國政府在提倡營造良好營商環(huán)境的同時,也十分警惕數(shù)據(jù)泄露與非法跨境傳輸。我國擁有眾多大型互聯(lián)網(wǎng)企業(yè),例如阿里巴巴、騰訊、字節(jié)跳動、京東等,這就決定了我國在數(shù)據(jù)治理的過程中要權(quán)衡好數(shù)據(jù)保護(hù)與數(shù)據(jù)流通之間的關(guān)系。

結(jié)合相關(guān)背景與立法,我國對個人信息的保護(hù)有望采取國家主導(dǎo)、公法私法結(jié)合、社會力量多方參與的合作治理的方式。國家通過立法、執(zhí)法統(tǒng)一治理,發(fā)揮政府靈活能動的職能,對信息與數(shù)據(jù)的收集使用進(jìn)行監(jiān)管與保護(hù)。行業(yè)通過自律性制度形成行業(yè)共識與標(biāo)準(zhǔn)。公民通過參與共治了解企業(yè)運作模式,減少信息不對稱問題等。這種方式表現(xiàn)為一種不同于歐美的制度設(shè)置,本文稱之為“統(tǒng)籌兼顧型”設(shè)計。在這種治理模式當(dāng)中,一方面,應(yīng)當(dāng)對隱私權(quán)與個人信息保護(hù)進(jìn)行雙重關(guān)注,兼顧人格權(quán)與日常信息處理的程序性監(jiān)管;另一方面,在具體的監(jiān)管過程中采取更加靈活的方式來應(yīng)對復(fù)雜的數(shù)據(jù)風(fēng)險問題。

1.基本法層面的權(quán)利與權(quán)益設(shè)置

《民法典》中有關(guān)個人信息的規(guī)定在一定程度上是在基本法的層面確定了個人信息相關(guān)權(quán)益的重要意義。2021年8月20日通過的《個人信息保護(hù)法》在憲法層面對個人信息予以高度重視(13)2021年8月20日第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過了《個人信息保護(hù)法》,該法于2021年11月1日起實施。第一條:“為了保護(hù)個人信息權(quán)益,規(guī)范個人信息處理活動,促進(jìn)個人信息合理利用,根據(jù)憲法,制定本法?！薄＿@不僅為個人信息保護(hù)設(shè)置了底線——人的人格尊嚴(yán)不容侵犯,也為《個人信息保護(hù)法》的實施設(shè)置了銜接點。在這一點上,我國吸取歐盟立法的優(yōu)勢,注重權(quán)利的設(shè)置,其不僅以實體法的方式存在,而且以程序啟動的正當(dāng)性基礎(chǔ)獲得了新的生命力,為后續(xù)的信息處理過程提供了更多的原則性指導(dǎo)。除此之外,不同于歐洲的是,我國重視隱私權(quán)與個人信息保護(hù)之間更緊密的銜接,為具體適用提供了可供參考的依據(jù)。協(xié)調(diào)好隱私權(quán)與個人信息保護(hù)兩者之間的關(guān)系是建立我國自洽制度的前提與基礎(chǔ)。

2.信息處理過程中的信息分類與場景保護(hù)

信息分級管理是個人信息保護(hù)制度中的重要環(huán)節(jié)。根據(jù)主體的不同,信息可以分為個人信息、商業(yè)信息與公共信息等;根據(jù)敏感程度不同,信息可以分為敏感信息與非敏感信息;根據(jù)重要程度不同,信息可以分為普通信息、重要信息與核心信息;等等。信息分級與分類的目的是根據(jù)信息關(guān)系的不同進(jìn)行場景化保護(hù)。Nissenbaum[20]140提出的場景理論對此進(jìn)行了較為詳實的研究。個人信息要在不同場景與關(guān)系中予以保護(hù)。例如,法律對敏感信息做了更為嚴(yán)格的規(guī)定,我國《個人信息保護(hù)法》第二十九條規(guī)定:處理敏感個人信息應(yīng)當(dāng)取得個人的單獨同意;法律、行政法規(guī)規(guī)定處理敏感個人信息應(yīng)當(dāng)取得書面同意的,從其規(guī)定。我國《數(shù)據(jù)安全法》確定了數(shù)據(jù)分類保護(hù)制度,區(qū)分了重要數(shù)據(jù)與核心數(shù)據(jù)的概念,等等。對于信息和數(shù)據(jù)的分級和分類也需要行業(yè)與專業(yè)層面的參與和協(xié)助,這將會促進(jìn)合作治理的進(jìn)程。

3.風(fēng)險治理

個人信息保護(hù)的一個重要方面就是預(yù)防風(fēng)險、管控風(fēng)險。目前,我國關(guān)于風(fēng)險防控的法律包括《個人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《國家安全法》等。2021年7月10日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》,向社會公開征求意見(14)國家互聯(lián)網(wǎng)信息辦公室.國家互聯(lián)網(wǎng)信息辦公室關(guān)于《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》公開征求意見的通知[EB/OL].(2021-07-10)[2021-07-15].https:∥mp.weixin.qq.com/s/U17ju wADOhA5yZNle-bsSA.。這是具體落實風(fēng)險防控的關(guān)鍵舉措,也是個人信息保護(hù)制度的重要環(huán)節(jié)。個人信息風(fēng)險防控包含在信息收集、儲存、利用與共享的每個步驟中,由于技術(shù)性較強,需要進(jìn)行綜合治理,需要主管單位事前、事中與事后的多方位監(jiān)管,需要監(jiān)管與技術(shù)并行,行業(yè)與企業(yè)共同參與。

五、結(jié)語

世界范圍內(nèi)國家與地區(qū)乃至企業(yè)對個人信息與公共信息的保護(hù)都深受國家安全與政治安全所影響。從《個人信息保護(hù)法》的頒布可以看出,我國對于個人信息保護(hù)的態(tài)度十分堅定與明確,同時兼顧了個人信息流通的良性發(fā)展,這種統(tǒng)籌兼顧型的制度設(shè)計帶有鮮明共治共享的中國特色。

從國家層面來看,解決好隱私權(quán)保護(hù)與個人信息保護(hù)的協(xié)調(diào)問題有助于平衡個人信息保護(hù)與數(shù)據(jù)流通。我國的個人信息保護(hù)應(yīng)該從制度建設(shè)出發(fā),以合作治理作為抓手。治理并非簡單的部門法相加,而是要更注重公眾參與風(fēng)險防控。我國亟待建立完善個人信息保護(hù)與數(shù)據(jù)合作的治理體系,在制度與適用上做好安排,通過法律法規(guī)具體實施,進(jìn)一步細(xì)化,在《民法典》塑造的“共商共治共贏”環(huán)境中最終實現(xiàn)國家治理體系和治理能力現(xiàn)代化。