夏 偉

一、 問題緣起:個(gè)人信息保護(hù)與共享的制度平衡困境

傳統(tǒng)社會向現(xiàn)代社會的轉(zhuǎn)型變遷對個(gè)人信息保護(hù)體系建構(gòu)具有極強(qiáng)的內(nèi)在塑造力。信息網(wǎng)絡(luò)化與科技跨越式發(fā)展重塑了個(gè)體之間、個(gè)體與社會之間的關(guān)系,并使個(gè)人信息領(lǐng)域的舊問題與新問題“共時(shí)態(tài)”地存在于現(xiàn)代社會。在數(shù)字經(jīng)濟(jì)時(shí)代,以數(shù)據(jù)為主要存在形式的個(gè)人信息,一方面需要受到法律的全面保護(hù),另一方面作為資源要素的個(gè)人信息如何被“高效流通使用、賦能實(shí)體經(jīng)濟(jì)”(1)蒲實(shí):《加快構(gòu)建數(shù)據(jù)基礎(chǔ)制度體系》,《學(xué)習(xí)時(shí)報(bào)》2022年7月11日,第1版。以充分釋放生產(chǎn)潛能,亦成為當(dāng)今最鮮明的主題。以往個(gè)人信息的核心主題是如何保護(hù),而現(xiàn)在人們更多地談?wù)撊绾螌€(gè)人信息進(jìn)行資源化共享,甚至在某種意義上,共享和使用“個(gè)人信息已經(jīng)成為人們生活的組成部分……沒有個(gè)人信息的透露就沒有現(xiàn)代化的生活方式”。(2)劉艷紅:《共空間運(yùn)用大規(guī)模監(jiān)控的法理邏輯及限度——基于個(gè)人信息有序共享之視角》,《法學(xué)論壇》2020年第2期。

然而,作為私權(quán)利的個(gè)人信息保護(hù)邏輯與作為公共資源的個(gè)人信息共享邏輯之間存在著難以彌合的張力關(guān)系,它體現(xiàn)了從傳統(tǒng)社會邁向現(xiàn)代社會的“時(shí)代裂隙”,“網(wǎng)絡(luò)與數(shù)字技術(shù)的發(fā)展,摧毀了先前私域與公域之間的物理性邊界,由此面臨如何重建二者之間界線的時(shí)代命題”。(3)勞東燕:《個(gè)人信息法律保護(hù)體系的基本目標(biāo)與歸責(zé)機(jī)制》,《政法論壇》2021年第6期。在個(gè)人信息權(quán)利保護(hù)與資源共享之間的緊張關(guān)系過于激烈的一些領(lǐng)域,人們可能下意識地將與傳統(tǒng)決裂視為必經(jīng)之路,認(rèn)為削減個(gè)人信息作為私權(quán)利的保護(hù)力度與保護(hù)范圍,適度犧牲個(gè)人信息的私權(quán)價(jià)值以維護(hù)公共利益具有實(shí)質(zhì)正當(dāng)性,進(jìn)而淡化個(gè)人信息的私權(quán)利色彩并試圖在該領(lǐng)域建立相對單一的資源共享秩序。例如,有學(xué)者指出,刑法中侵犯公民個(gè)人信息罪的保護(hù)法益“應(yīng)該從私法角度轉(zhuǎn)向公法角度,刑法保護(hù)個(gè)人信息的目的不是確權(quán),而是規(guī)避風(fēng)險(xiǎn)”。(4)歐陽本祺:《侵犯公民個(gè)人信息罪的法益重構(gòu):從私法權(quán)利回歸公法權(quán)利》,《比較法研究》2021年第3期。這種做法“將中國傳統(tǒng)與現(xiàn)代性之間的關(guān)系,描述為兩種相互排斥的力量之間的關(guān)系,它們可以相互替代,但卻無法真正交融在一起”,(5)[德]多明尼克·薩赫森邁爾、[德]任斯·理德爾、[以]S.N.艾森斯塔德:《多元現(xiàn)代性的反思:歐洲、中國及其他的闡釋》,郭少棠、王為理譯,北京:商務(wù)印書館,2017年,第68頁。具有鮮明的獨(dú)斷主義色彩并值得警惕與反思。

在數(shù)字經(jīng)濟(jì)時(shí)代對個(gè)人信息進(jìn)行合理定位,必須兼顧國家層面的數(shù)字經(jīng)濟(jì)戰(zhàn)略、產(chǎn)業(yè)層面的科技發(fā)展與個(gè)體層面的權(quán)利保護(hù),在權(quán)利保護(hù)與資源共享之間尋求平衡。然而,個(gè)人信息的保護(hù)與共享之間原本就并非處于各安其位的和諧狀態(tài),加之在具體運(yùn)作中又受到個(gè)體價(jià)值立場、數(shù)據(jù)技術(shù)發(fā)展與公共秩序塑造等因素影響,兩者在許多場景中反而呈現(xiàn)出非此即彼的競爭乃至對抗?fàn)顟B(tài)。例如,無論算法多么精細(xì)、科學(xué)和嚴(yán)謹(jǐn),利用網(wǎng)絡(luò)爬蟲技術(shù)獲取網(wǎng)絡(luò)數(shù)據(jù)都不可避免地搜集到個(gè)人信息,此時(shí),要么堅(jiān)守同意規(guī)則保護(hù)個(gè)人信息而禁止網(wǎng)絡(luò)爬蟲,要么適度降低個(gè)人信息保護(hù)標(biāo)準(zhǔn)、允許在算法合規(guī)情況下未經(jīng)個(gè)人信息主體同意搜集個(gè)人信息,兩者只能居其一。換言之,在現(xiàn)有的體系框架下,個(gè)人信息之保護(hù)和共享的平衡恐怕難以形成可操作的制度基礎(chǔ)。

為了滿足個(gè)人信息保護(hù)的時(shí)代需求,我國進(jìn)入了個(gè)人信息立法的活躍化時(shí)期,有關(guān)個(gè)人信息的立法數(shù)量與制度供給均呈現(xiàn)爆發(fā)式增長,快速建立起了個(gè)人信息保護(hù)的法律法規(guī)制度體系?；仡檪€(gè)人信息保護(hù)立法與制度的發(fā)展歷程,我國自2003年著手部署個(gè)人信息保護(hù)立法,在2005年初完成《個(gè)人信息保護(hù)法》專家建議稿,中間經(jīng)歷了2009年《刑法修正案(七)》將非法提供、非法獲取公民個(gè)人信息的行為犯罪化(2015年《刑法修正案(九)》進(jìn)一步將其修改完善為《刑法》第253條之一“侵犯公民個(gè)人信息罪”)、2013年通過《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》首次界定了“公民個(gè)人電子信息”概念、2017年通過《網(wǎng)絡(luò)安全法》明確了“公民個(gè)人信息”概念及初步規(guī)則、2020年《民法典》規(guī)定個(gè)人信息權(quán)利及一般性規(guī)則,直到2018年全國人大常委會才將《個(gè)人信息保護(hù)法》(草案)納入第一類立法規(guī)劃項(xiàng)目,即“條件比較成熟、任期內(nèi)擬提請審議,爾后經(jīng)多次調(diào)研、討論、修改等形成正式提請審議的草案”,此間十多年里個(gè)人信息保護(hù)立法進(jìn)展緩慢、幾近停滯。換言之,我國個(gè)人信息保護(hù)相關(guān)立法與制度構(gòu)建主要是近五年完成的,據(jù)統(tǒng)計(jì),從2017年至2022年10月,國家機(jī)關(guān)及相關(guān)部門頒布的法律文件中出現(xiàn)“個(gè)人信息”關(guān)鍵詞的法律有33部、行政法規(guī)與規(guī)范性文件50部、司法解釋105部、部門規(guī)章936部,如此高頻度地頒布實(shí)施與“個(gè)人信息”有關(guān)的法律規(guī)范,意在全面加快個(gè)人信息保護(hù)法律體系的建設(shè)進(jìn)程。(6)數(shù)據(jù)來自“北大法寶”,統(tǒng)計(jì)日期為2022年9月20日。這種“壓縮式”的立法建構(gòu)利弊共存,它使得長期以來的個(gè)人信息保護(hù)立法的“赤字”得到了快速消解,促進(jìn)個(gè)人信息保護(hù)立法緊跟時(shí)代步伐,又使得個(gè)人信息有關(guān)制度構(gòu)建未經(jīng)充分考量和理性權(quán)衡,反而陷入制度供給越多秩序卻越少的尷尬境地,加劇了個(gè)人信息之保護(hù)與共享的制度性失衡。這主要體現(xiàn)在三個(gè)方面:

第一,制度規(guī)范“交錯重疊”。我國個(gè)人信息保護(hù)的立法體系,大致呈現(xiàn)出一種金字塔結(jié)構(gòu),自上而下分別是基本法律規(guī)范即《民法典》中關(guān)于個(gè)人信息的有關(guān)規(guī)定、專門性立法即《個(gè)人信息保護(hù)法》及關(guān)聯(lián)性立法、各級部委規(guī)章、地方規(guī)范文件等,層次結(jié)構(gòu)分明。然而,審查這些規(guī)范的具體內(nèi)容,有關(guān)個(gè)人信息的制度規(guī)范普遍存在“交錯重疊”現(xiàn)象,它表現(xiàn)在兩個(gè)方面:一是下位規(guī)范對上位規(guī)范的復(fù)刻,產(chǎn)生了規(guī)范的重疊冗余。例如,目前很多地方規(guī)范文件中有關(guān)個(gè)人信息的規(guī)定,與個(gè)人信息保護(hù)法等上位法的內(nèi)容并無二致,實(shí)質(zhì)是對上位法的復(fù)刻和重述,缺乏體現(xiàn)地方立法獨(dú)特性的創(chuàng)新內(nèi)容。二是同級規(guī)范之間的交錯,制造了規(guī)范的競合與沖突。例如,個(gè)人信息常常以數(shù)據(jù)的形式呈現(xiàn),此時(shí),相關(guān)問題的處理需要同時(shí)考慮《個(gè)人信息保護(hù)法》與《數(shù)據(jù)安全法》,這導(dǎo)致兩法在調(diào)整具體事項(xiàng)時(shí)可能存在交錯乃至沖突。制度規(guī)范的“交錯重疊”反映了個(gè)人信息保護(hù)體系構(gòu)建中存在“重立法數(shù)量而輕立法質(zhì)量”的現(xiàn)象,由此導(dǎo)致某些新增立法的實(shí)效性不彰。

第二,法律部門“漸生罅隙”。目前,我國個(gè)人信息保護(hù)體系建構(gòu)主要遵循“一法一部門”的邏輯,有的制度設(shè)計(jì)雖然也涵括了不同法律部門,但是尚未來得及進(jìn)行系統(tǒng)的跨部門法整合,因此,個(gè)人信息主題下的各部門法之間還存在銜接不暢之處。例如,《刑法》第253條之一侵犯公民個(gè)人信息罪僅處罰三種行為,分別是非法出售、非法提供與非法獲取,其中,非法獲取是前端的不法行為,非法出售、非法提供是末端的不法行為,欠缺對中間層次的非法使用行為的有效規(guī)制。與之相對,《個(gè)人信息保護(hù)法》所規(guī)范的大量不法行為其實(shí)出現(xiàn)在非法使用環(huán)節(jié),該法還系統(tǒng)規(guī)定了個(gè)人信息合法合理使用的要件,對個(gè)人信息中間層次的使用行為投入了大量立法資源。顯然,兩法對個(gè)人信息使用環(huán)節(jié)的規(guī)制存在明顯的銜接錯位。又如,與《個(gè)人信息保護(hù)法》第4條定義的“個(gè)人信息”相比,2017年5月8日最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》(以下簡稱《侵犯個(gè)人信息刑事解釋》)第1條規(guī)定的“公民個(gè)人信息”限于可識別“自然人身份或者特定自然人活動情況”的信息,概念內(nèi)涵明顯更為狹窄。部門法銜接不暢可能導(dǎo)致司法過程中的“同案不同判”現(xiàn)象,累及公平正義。

第三,制度立場“搖擺難定”。《個(gè)人信息保護(hù)法》雖然被冠以“保護(hù)法”之名,但是其中仍然有不少“促進(jìn)法”成分。個(gè)人信息保護(hù)的一般原則是“知情同意”,然而,根據(jù)《個(gè)人信息保護(hù)法》第13條規(guī)定,“為訂立、履行個(gè)人作為一方當(dāng)事人的合同”、“為履行法定職責(zé)或者法定義務(wù)”、“為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個(gè)人信息”以及“在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息”等情況下即使未經(jīng)信息主體同意處理個(gè)人信息,也都屬于合法行為。以上條文的設(shè)立,顯然是為了促進(jìn)個(gè)人信息的流動共享,帶有明顯的“促進(jìn)法”色彩。《個(gè)人信息保護(hù)法》以“保護(hù)法”為名同時(shí)又納入“促進(jìn)法”內(nèi)容,反映了立法者既希望加強(qiáng)個(gè)人信息保護(hù)又擔(dān)憂保護(hù)過度抑制個(gè)人信息資源化共享的矛盾心態(tài)。然而,在個(gè)人信息保護(hù)的司法實(shí)踐中,相關(guān)司法判決則更加傾向于構(gòu)建“促進(jìn)法”的裁判規(guī)則,與“保護(hù)法”的定位逐漸疏離。2022年8月杭州互聯(lián)網(wǎng)法院發(fā)布“個(gè)人信息保護(hù)十大典型案例”,有9項(xiàng)判決都支持了未經(jīng)同意或未經(jīng)特別授權(quán)而使用他人個(gè)人信息的行為,包括國家機(jī)關(guān)依法公開的個(gè)人征信信息,可以進(jìn)行商業(yè)化利用,(7)杭州互聯(lián)網(wǎng)法院(2018)浙0192民初302號民事判決書。平臺事前取得個(gè)人概括性同意,可視為個(gè)人知情同意(8)杭州互聯(lián)網(wǎng)法院(2020)浙0192民初4252號民事判決書。,等等。以上判決對個(gè)人信息知情同意原則的解釋適用均采取相對限縮的立場,其目的是最大化激發(fā)個(gè)人信息的流通共享價(jià)值,“保護(hù)法”的邏輯在司法實(shí)踐中頻繁被突破。

綜上所述,盡管目前個(gè)人信息保護(hù)體系已經(jīng)初步建成,然而,過于快節(jié)奏的立法難以形成平衡個(gè)人信息私法權(quán)利保護(hù)與公共資源共享的規(guī)范秩序。建立契合數(shù)字經(jīng)濟(jì)時(shí)代需求的個(gè)人信息保護(hù)體系,需要深刻反思個(gè)人信息保護(hù)的制度性失衡問題,尋求個(gè)人信息保護(hù)與共享的平衡路徑?；谠搯栴}意識,本文的基本觀點(diǎn)是:數(shù)字經(jīng)濟(jì)時(shí)代的個(gè)人信息兼具私權(quán)屬性與公共價(jià)值,由此個(gè)人信息系防御權(quán)而非自決權(quán);科學(xué)建構(gòu)個(gè)人信息法律制度,應(yīng)當(dāng)在對個(gè)人信息進(jìn)行分類分級的基礎(chǔ)上,進(jìn)一步形成核心層、中間層與外圍層的差序保護(hù)格局,促進(jìn)個(gè)人信息有序共享。

二、 立場辨正:個(gè)人信息有序共享的法理基礎(chǔ)

基于個(gè)人信息既是私法權(quán)利又是公共資源的雙重屬性,數(shù)字經(jīng)濟(jì)時(shí)代個(gè)人信息法律制度設(shè)計(jì)的基礎(chǔ)理念應(yīng)定位為有序共享。共享是個(gè)人信息客觀價(jià)值的現(xiàn)實(shí)路徑,有序是個(gè)人信息主觀權(quán)利的法治保障。個(gè)人信息從自主支配轉(zhuǎn)向有序共享,需要從法理上對個(gè)人信息的基本屬性進(jìn)行重新定位,并在立法對個(gè)人信息進(jìn)行分類分級的基礎(chǔ)上,根據(jù)個(gè)人信息對信息主體的重要程度進(jìn)行差序化的分層保護(hù)。

(一) 個(gè)人信息的法律定位:從自決權(quán)到防御權(quán)

傳統(tǒng)觀點(diǎn)認(rèn)為,個(gè)人信息乃自決權(quán)之范疇,個(gè)人同意是個(gè)人信息處理行為合法化的前提和根據(jù)?！肮駛€(gè)人有權(quán)積極利用其個(gè)人信息,‘同意’構(gòu)筑了信息自由與刑法介入之間的分界”,(9)冀洋:《法益自決權(quán)與侵犯公民個(gè)人信息罪的司法邊界》,《中國法學(xué)》2019年第4期。由此,只要未經(jīng)個(gè)人同意而收集、存儲、使用、加工、傳輸、提供、公開個(gè)人信息的行為皆屬違法,達(dá)到一定程度,即構(gòu)成犯罪。(10)劉雙陽:《論個(gè)人信息自決權(quán)刑事司法保護(hù)的邊界——以已公開個(gè)人信息為中心的分析》,《人權(quán)》2021年第5期。從為個(gè)人信息提供最優(yōu)保護(hù)之視角,自決權(quán)理論無疑符合私法自由自治的理性考量。然而,個(gè)人信息在現(xiàn)代社會中的法律定位,不能僅局限于純粹理性建構(gòu),還需要立足實(shí)踐邏輯,科學(xué)的制度構(gòu)建“不可能完全依據(jù)建構(gòu)理性而為,而必定基于經(jīng)驗(yàn)理性的探索試驗(yàn)漸進(jìn)形成”,(11)錢大軍:《當(dāng)代中國法律體系構(gòu)建模式之探究》,《法商研究》2015年第2期。將實(shí)踐經(jīng)驗(yàn)與理性建構(gòu)有機(jī)整合,是保持個(gè)人信息保護(hù)制度科學(xué)性的重要路徑。

在現(xiàn)代社會,個(gè)人信息早已超出個(gè)人自決之范疇,而在很多方面表現(xiàn)出共治共享的鮮明特色。黨的二十大報(bào)告提出,要“健全共建共治共享的社會治理制度”,數(shù)字社會共建共治共享格局的形成,需要加強(qiáng)包括個(gè)人信息數(shù)據(jù)在內(nèi)的數(shù)據(jù)資源共享。盡管《民法典》將個(gè)人信息規(guī)定在總則第五章“民事權(quán)利”中,確認(rèn)個(gè)人信息的私權(quán)屬性,然而,根據(jù)中國人大網(wǎng)最新公布的按照法律部門分類的現(xiàn)行有效法律,《個(gè)人信息保護(hù)法》被歸入“行政法”部門,(12)中國人大網(wǎng):《現(xiàn)行有效法律目錄(298件)》,http://www.npc.gov.cn/npc/c2/c30834/202309/t20230905_431560.html,2023-09-21。這意味著該法具有鮮明的公法色彩。事實(shí)上,考察《個(gè)人信息保護(hù)法》的具體內(nèi)容,該法以大量篇幅規(guī)定了個(gè)人信息的國家保護(hù)義務(wù),還設(shè)專章規(guī)定了行政法律責(zé)任。由此可見,個(gè)人信息兼具私法與公法屬性。從刑法角度來看,侵犯公民個(gè)人信息罪的保護(hù)法益即公民個(gè)人信息,也越來越被認(rèn)為具有公私混合法的屬性,本罪也被理解為自然犯法定犯化或混合犯的立法體現(xiàn),(13)劉艷紅:《民法編纂背景下侵犯公民個(gè)人信息罪的保護(hù)法益:信息自決權(quán)——以刑民一體化及〈民法總則〉第111條為視角》,《浙江工商大學(xué)學(xué)報(bào)》2019年第6期。它既不是純粹的自然犯又不是純粹的法定犯,而是兼具兩種犯罪的成分。(14)R.A.Duff,“Crime,prohibition,and punishment”,Journal of Applied Philosophy,Vol.19,No.2,2002,pp.97-108.基于法秩序統(tǒng)一性原理,由于刑法是其他部門法的保障法,刑法對侵犯公民個(gè)人信息罪中個(gè)人信息的理解與定位來源于《民法典》《個(gè)人信息保護(hù)法》等前置法規(guī)定,同時(shí),侵犯公民個(gè)人信息罪的混合犯屬性也表明了刑法中的公民個(gè)人信息兼具私人與公共成分。

由此觀之,個(gè)人信息的法律定位應(yīng)當(dāng)跳出純粹自決權(quán)邏輯,而被塑造為兼具私人與公共色彩的防御權(quán)。個(gè)人信息的受保護(hù)性最初源于人格尊嚴(yán),系(準(zhǔn))人格權(quán),立法規(guī)定了一般性的人格權(quán)防御條款,其受侵犯時(shí)可依法排除妨礙,這種具有排除妨礙功能的權(quán)利在理論上被定性為“消極權(quán)利”或防御權(quán)。據(jù)此,將個(gè)人信息作為資源進(jìn)行共享時(shí)不能侵害個(gè)人信息主體的權(quán)益,并且,對個(gè)人信息處理不需要授權(quán)的情形需要法定化,這樣既可以促進(jìn)數(shù)據(jù)產(chǎn)業(yè)發(fā)展,也尊重了個(gè)人信息權(quán)利主體的合理預(yù)期。(15)王利明:《數(shù)據(jù)共享與個(gè)人信息保護(hù)》,《現(xiàn)代法學(xué)》2019年第1期。個(gè)人信息的天然屬性決定了它是防御權(quán),由此在立法上確立其排除妨礙功能具有正當(dāng)性。防御權(quán)的實(shí)現(xiàn)并不要求他人履行積極行為,其核心功能在于排除他人侵害。其實(shí),在基本制度框架層面,作為個(gè)人信息保護(hù)核心的同意制度的運(yùn)作,也有賴于公共力量的介入,融入公法監(jiān)管因素。(16)丁曉東:《個(gè)人信息公私法融合保護(hù)的多維解讀》,《法治研究》2022年第5期。因?yàn)樵诂F(xiàn)代社會,個(gè)人已經(jīng)逐漸喪失真實(shí)的自決權(quán),不太可能也沒有足夠能力對平臺的個(gè)人信息保護(hù)條款進(jìn)行實(shí)質(zhì)審查。(17)F.Aldhouse,“Data protection in Europe:Some thoughts on reading the academic manifesto”,Computer Law and Security Report,Vol.29,No.3,2022,pp.289-292.公權(quán)力的介入,彌補(bǔ)了個(gè)人在數(shù)字社會的能力短板,使同意制度得以真正落地?！霸谝话阋饬x上,人身性或財(cái)產(chǎn)性的消極權(quán)利僅僅意味著他者不得侵害我們的權(quán)利,而不是要求他人必須為我們的人身或財(cái)產(chǎn)權(quán)提供積極保護(hù)”。(18)I.Persson,“The act-omission doctrine and negative rights”,The Journal of Value Inquiry ,Vol.41,No.1,2007,pp.15-29.按照傳統(tǒng)自由主義的觀點(diǎn),所有權(quán)利都可以說具備著消極屬性,權(quán)利概念可以一般性地表達(dá)為個(gè)人“自由行為與別人行為的自由的關(guān)系”,“任何人妨礙我完成這個(gè)行為,或者妨礙我保持這種狀況,他就侵犯了我”的權(quán)利。(19)[德]康德:《法的形而上學(xué)原理——權(quán)利的科學(xué)》,沈叔平譯,北京:商務(wù)印書館,1991年,第40—41頁。這一自由主義的權(quán)利觀道出了消極權(quán)利的形式一般性,即個(gè)人自由與他人自由協(xié)調(diào)并存的同時(shí)排除他人侵害。個(gè)人信息的人格屬性決定了立法對其保護(hù)是以禁止侵害或排除妨礙為主,防御條款的設(shè)立正是以此為基礎(chǔ)的。

如果說個(gè)人信息自然屬性塑造了其防御性,那么社會屬性的融入則進(jìn)一步強(qiáng)化了這種消極防御性。因?yàn)閭€(gè)人信息要實(shí)現(xiàn)流通共享價(jià)值,必須適度抑制信息主體積極主張權(quán)利,否則在自由自治的市場關(guān)系中,完全由個(gè)人自決的個(gè)人信息不僅無法發(fā)揮其助力數(shù)字經(jīng)濟(jì)的社會價(jià)值,反而可能由于個(gè)人信息權(quán)利頻繁被積極主張而抑制產(chǎn)業(yè)創(chuàng)新與科技發(fā)展。通常情況下,行為人只有妨礙了個(gè)人信息主體實(shí)現(xiàn)其權(quán)益時(shí),才構(gòu)成對其私法屬性的侵害。當(dāng)然,盡管個(gè)人信息是防御權(quán),但是防御權(quán)并不排斥積極保護(hù)。任何權(quán)利的有效運(yùn)行均需法律為之提供積極保護(hù),對防御權(quán)而言,法律的積極保護(hù)仍然有其必要性,因?yàn)闄?quán)利效力的實(shí)現(xiàn)要求法律“適用其強(qiáng)制性資源(coercive resources)來保障或限制私人自由”。(20)[英]哈特:《法律的概念》,許家馨、李冠宜譯,北京:法律出版社,2011年,第236頁。只不過,在依靠法律與市場運(yùn)行規(guī)律共同規(guī)范的市場秩序中,法律對個(gè)人信息的保護(hù)應(yīng)以行為造成個(gè)人信息對應(yīng)的人格尊嚴(yán)受侵犯的危險(xiǎn)升高即增加自然人被識別的可能性為限。具體而言:在個(gè)人信息未被識別的場合,信息處理者應(yīng)當(dāng)盡到利用該信息時(shí)不被識別的合規(guī)保護(hù)義務(wù);在個(gè)人信息已被識別的場合,信息處理者僅需盡到利用該信息時(shí)不被擴(kuò)大識別的合規(guī)管理義務(wù),這是個(gè)人信息作為防御權(quán)的當(dāng)然邏輯設(shè)定。

(二) 個(gè)人信息的層次結(jié)構(gòu):基于分類分級視角

個(gè)人信息的法律概念具有確定的內(nèi)涵,也有不確定的外延。姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼等信息雖然都冠以“個(gè)人信息”之名,然而,不同的個(gè)人信息的可識別性及其對個(gè)人與社會的價(jià)值往往存在極大差異,在法律評價(jià)的過程中難以等同視之。在傳統(tǒng)社會向現(xiàn)代社會轉(zhuǎn)型的過程中,個(gè)人信息的內(nèi)涵發(fā)生了深刻變化,它源于人的自然屬性,原本專屬于個(gè)人,但是在復(fù)雜而深刻的社會發(fā)展中拓展出了內(nèi)涵豐富的社會屬性,20世紀(jì)70年代后,“計(jì)算機(jī)技術(shù)的不斷發(fā)展和交流機(jī)制的根本性變革改變了信息產(chǎn)生、獲得、使用、傳播的方式……信息分享和利用已成為常態(tài)。個(gè)人信息因此具有社會屬性,其現(xiàn)實(shí)基礎(chǔ)在于信息由個(gè)人生產(chǎn)卻脫離其控制?！?21)申衛(wèi)星:《數(shù)字權(quán)利體系再造:邁向隱私、信息與數(shù)據(jù)的差序格局》,《政法論壇》2022年第3期。因而,數(shù)字經(jīng)濟(jì)時(shí)代的個(gè)人信息較之以往具有更強(qiáng)的開放性與包容性。

由于不同類型的個(gè)人信息對個(gè)人人身、財(cái)產(chǎn)等狀況識別的影響存在較大差異,可用于流通共享的條件與范圍也有所不同,因此,對個(gè)人信息進(jìn)行必要的分類分級是開展有序共享的重要前提。根據(jù)《侵犯個(gè)人信息刑事解釋》第5條規(guī)定,行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息是最為敏感的個(gè)人信息,住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的個(gè)人信息的敏感程度次之,除此之外都是普通個(gè)人信息,值得刑法保護(hù)的程度依次遞減?！秱€(gè)人信息保護(hù)法》區(qū)分了敏感個(gè)人信息與非敏感個(gè)人信息,并對敏感個(gè)人信息處理作出特別規(guī)定。該法第28條規(guī)定,生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息均屬于敏感信息;第29條規(guī)定,處理敏感個(gè)人信息需要個(gè)人的單獨(dú)同意甚至?xí)嫱?。此?對敏感個(gè)人信息還規(guī)定了嚴(yán)格的監(jiān)管措施。非敏感信息的處理遵循《個(gè)人信息保護(hù)法》的知情同意原則,但并不要求單獨(dú)同意或書面同意,監(jiān)管措施相對寬松。個(gè)人信息的分類分級,初步確立了個(gè)人信息保護(hù)的差序化規(guī)則。然而,無論是《侵犯個(gè)人信息刑事解釋》還是《個(gè)人信息保護(hù)法》都采取“列舉+兜底”的方式規(guī)定不同類型和級別個(gè)人信息的范圍,即先列舉若干類型,再以“等”作為兜底。盡管“等”的解釋可以參照前述列舉的個(gè)人信息類型進(jìn)行同質(zhì)解釋,但其解釋空間相對有限,這兩部規(guī)范并沒有抽象出具有共通性的歸類標(biāo)準(zhǔn)。

個(gè)人信息流通利用制度的缺失,可以說是整部《個(gè)人信息保護(hù)法》的缺憾,但是總體而言,《個(gè)人信息保護(hù)法》的相關(guān)法條也為個(gè)人信息流通利用的合理化提供了基礎(chǔ)性規(guī)范,由此可以開展進(jìn)一步的制度續(xù)造。(22)高富平:《個(gè)人信息流通利用的制度基礎(chǔ):以信息識別性為視角》,《環(huán)球法律評論》2022年第1期。為了促進(jìn)有序共享理念以具體制度形式貫徹,有必要在分類分級基礎(chǔ)上,根據(jù)個(gè)人信息的可識別性大小及其與信息主體的親疏遠(yuǎn)近關(guān)系進(jìn)行再分層。影響個(gè)人信息有序共享評價(jià)的基本要素有兩點(diǎn):一是個(gè)人信息的可識別性大小。有的個(gè)人信息能夠直接識別個(gè)人人身、財(cái)產(chǎn)等狀況,因而需要重點(diǎn)保護(hù);有的個(gè)人信息需要組合起來增加可識別性才能夠有效識別個(gè)人人身、財(cái)產(chǎn)等狀況,因而受保護(hù)程度有所降低。二是個(gè)人信息本身的重要程度即與個(gè)人的親疏關(guān)系。在個(gè)人信息的雙重屬性中,社會屬性是個(gè)人信息流通共享的支持性要素,限制流通共享的主要是個(gè)人屬性,立法應(yīng)當(dāng)在多大程度上限制個(gè)人信息的流通共享其實(shí)主要由個(gè)人屬性決定。具言之,個(gè)人信息的敏感性越高,其流通共享也越要受到限制。對個(gè)人信息的可識別性與敏感程度進(jìn)行統(tǒng)一考量,可以對個(gè)人信息進(jìn)行差異化分層:

第一,核心層的個(gè)人信息是具有高度可識別性的生物信息、隱私信息、身份信息等個(gè)人信息,如基因序列、私人生活影像、身份證件號碼等,這些信息的可識別性最高,對個(gè)人而言敏感性、私密性也最高,其流通共享?xiàng)l件最嚴(yán)格。(23)顧理平:《面子里的人格尊嚴(yán):智媒時(shí)代公民的隱私保護(hù)》,《南京師大學(xué)報(bào)》(社會科學(xué)版)2022年第4期。

第二,中間層的個(gè)人信息是具有相對可識別性的身份信息、財(cái)產(chǎn)信息及其他信息,如交易信息、電話號碼、住宿記錄等,這些信息的敏感性、私密性次之,且在自然狀態(tài)下,他人無法單純通過這些信息準(zhǔn)確識別個(gè)人狀況,需要查證或者與其他個(gè)人信息組合在一起增加可識別性,才能夠準(zhǔn)確識別。

第三,外圍層的個(gè)人信息有兩種類型:一種是不具有獨(dú)立可識別性的個(gè)人信息,其處理對個(gè)人而言沒有直接影響。有學(xué)者稱之為間接個(gè)人信息,“與直接個(gè)人信息相比,間接個(gè)人信息并非不具備可識別性,而是不具有直接識別的可能性。某種單個(gè)信息可能不能識別特定自然人身份及其活動情況,將不同信息組合起來就具有可識別性”。(24)張勇:《敏感個(gè)人信息的公私法一體化保護(hù)》,《東方法學(xué)》2022年第1期。另一種是已公開的個(gè)人信息,包括自行公開的個(gè)人信息與其他依法公開的個(gè)人信息。已公開的個(gè)人信息之所以歸入到外圍層,是由于這類信息處于“法律不設(shè)禁”的狀態(tài),通常情況下允許收集和處理?？疾臁睹穹ǖ洹返?036條及《個(gè)人信息保護(hù)法》的規(guī)范目的,立法者鼓勵對已公開的個(gè)人信息進(jìn)行合理利用,在一般情形下,個(gè)人信息的公開應(yīng)當(dāng)成為一般的民事免責(zé)事由。(25)程嘯:《論公開的個(gè)人信息處理的法律規(guī)制》,《中國法學(xué)》2022年第3期。其中,自行公開的個(gè)人信息之所以不設(shè)禁,是由于個(gè)人通過自行公開的行為已經(jīng)放棄了對個(gè)人信息匿名性的保護(hù);而其他依法公開的個(gè)人信息,可能是國家機(jī)關(guān)依法收集公開、出于公共利益或者信息主體利益考量而公開等情形。

三、 路徑選擇:個(gè)人信息有序共享的制度安排

數(shù)字經(jīng)濟(jì)時(shí)代的社會結(jié)構(gòu)變遷引起了個(gè)人信息法律制度的更迭變化,法律調(diào)整著變化過程并促進(jìn)了新制度的生成。在個(gè)人信息法律制度中嵌入有序共享理念,一方面需要根據(jù)個(gè)人信息的內(nèi)在層次結(jié)構(gòu)形成個(gè)人信息的核心層、中間層、外圍層的差序保護(hù)格局,另一方面需要基于整體法秩序視角引入合規(guī)制度,進(jìn)一步規(guī)范個(gè)人信息從誕生到消亡的全生命周期的處理活動。

(一) 個(gè)人信息差序保護(hù)格局的制度設(shè)計(jì)

學(xué)界有力觀點(diǎn)認(rèn)為,同意是個(gè)人信息處理活動合法化的基礎(chǔ),應(yīng)當(dāng)作為個(gè)人信息處理的核心原則。(26)張新寶:《個(gè)人信息收集:告知同意原則適用的限制》,《比較法研究》2019年第6期。由于“個(gè)人信息不僅關(guān)涉?zhèn)€人利益,而且關(guān)涉他人和整個(gè)社會利益”,(27)高富平:《個(gè)人信息保護(hù):從個(gè)人控制到社會控制》,《法學(xué)研究》2018年第3期。因而同意的適用需要受到適度限制?；谶@種考量,《個(gè)人信息保護(hù)法》并沒有將同意作為總則中個(gè)人信息處理的核心原則,而僅將其作為下位的規(guī)則。當(dāng)然,這并不意味著同意的地位發(fā)生根本變化,構(gòu)建個(gè)人信息有序共享制度,其核心連接點(diǎn)仍然是同意。根據(jù)個(gè)人信息所處的層次位置不同,其流通共享對同意程度的要求也應(yīng)當(dāng)有所差異,由此可構(gòu)建個(gè)人信息核心層、中間層、外圍層的差序保護(hù)格局。

1. 核心層的個(gè)人信息保護(hù)與授權(quán)同意

核心層的個(gè)人信息由于觸及個(gè)人生活的最私密領(lǐng)域,關(guān)乎人格尊嚴(yán),因而這類信息接近于人格權(quán)且具有高度的排他性,相應(yīng)的信息主體具有高度的自決權(quán)。從尊重私人領(lǐng)域及個(gè)人信息高度自決權(quán)的角度來看,核心層的個(gè)人信息僅有少量流通共享的空間,這類個(gè)人信息的流通共享應(yīng)當(dāng)遵守最嚴(yán)格的同意規(guī)則即授權(quán)同意。例如,身份證號碼、基因序列、個(gè)人在家庭中的影像資料等,信息處理者處理這些個(gè)人信息時(shí),必須征得信息主體的授權(quán)同意,沒有授權(quán)同意的處理行為即屬違法。

為了充分保護(hù)核心層的個(gè)人信息,在授權(quán)同意的場景下,信息處理者有義務(wù)審查信息主體授權(quán)意思的真實(shí)性并保障流程的合法合規(guī)性。例如,信息處理者采集他人身份證號碼時(shí),必須由信息主體本人錄入,并且核對身份證原件照片及人臉識別信息,確認(rèn)無誤后才能被認(rèn)為已經(jīng)獲得授權(quán)同意。單純錄入身份證號碼,沒有身份證原件照片及人臉識別信息等比對確認(rèn)的,不能推定得到信息主體本人授權(quán),由此對信息主體產(chǎn)生不良影響的,信息處理者應(yīng)當(dāng)承擔(dān)責(zé)任。

基于核心層個(gè)人信息具有高度私密性特征,處理這類信息應(yīng)當(dāng)將用途特定化,遵循“一用途一授權(quán)”的原則。為了防止信息處理者在獲得授權(quán)同意后在平臺或一定范圍內(nèi)隨意處理個(gè)人信息,應(yīng)當(dāng)根據(jù)用途來鎖定個(gè)人信息的使用范圍,實(shí)現(xiàn)對核心層個(gè)人信息的精準(zhǔn)保護(hù),這一模式在相關(guān)立法規(guī)范中也有所體現(xiàn)。例如,2013年1月21日《征信業(yè)管理?xiàng)l例》第42條規(guī)定,超過約定用途使用征信方面的個(gè)人信息屬違法行為,應(yīng)當(dāng)承擔(dān)民事、行政乃至刑事責(zé)任;2022年9月2日《反電信網(wǎng)絡(luò)詐騙法》第16條也規(guī)定,銀行有義務(wù)按照國家規(guī)定提供開戶情況和有關(guān)信息,這些風(fēng)險(xiǎn)信息不能用于反電信詐騙網(wǎng)絡(luò)之外的其他用途。將核心層的個(gè)人信息按照“一用途一授權(quán)”的模式處理,嚴(yán)格限定其流通共享,體現(xiàn)了對這類個(gè)人信息中個(gè)人自決權(quán)的尊重。

2. 中間層的個(gè)人信息保護(hù)與知情同意

中間層的個(gè)人信息是信息主體自主提供最頻繁的個(gè)人信息,其私密性相對不高。在數(shù)字經(jīng)濟(jì)時(shí)代,頻繁進(jìn)行的經(jīng)濟(jì)、社會活動加劇了個(gè)人信息泄露,如網(wǎng)購中需要提供姓名、電話號碼等,這些個(gè)人信息雖然專屬于個(gè)人,但是在自然狀態(tài)下,中間層次的個(gè)人信息不足以識別個(gè)人的人身、財(cái)產(chǎn)等狀況,需要組合起來提高可識別性,才能準(zhǔn)確識別。而中間層次的個(gè)人信息流通共享是數(shù)字經(jīng)濟(jì)有序運(yùn)轉(zhuǎn)的重要基礎(chǔ),因此,其同意規(guī)則相對于核心層的個(gè)人信息而言應(yīng)當(dāng)有所緩和。

基于有序共享理念,中間層的個(gè)人信息同意規(guī)則應(yīng)當(dāng)是一般意義上的知情同意,其不需要明確的書面同意,在多數(shù)情況下僅需要作出概括同意。例如,App在信息主體使用時(shí)會彈出隱私條款,獲取位置信息、個(gè)人手機(jī)號碼等,通常情況下信息主體點(diǎn)擊“同意使用”,并且App提供了可以拒絕的方式,該App的處理行為即可正當(dāng)化。為了促進(jìn)中間層次的個(gè)人信息的流通共享,對這類信息宜實(shí)行“一領(lǐng)域一同意”原則,信息處理者在獲得同意之后,有權(quán)在平臺領(lǐng)域內(nèi)處理該個(gè)人信息而不僅限于特定用途。

3. 外圍層的個(gè)人信息保護(hù)與推定同意

外圍層的個(gè)人信息的個(gè)人屬性被大幅度剝離,因而流通共享受限程度最低。這類個(gè)人信息的可識別性極低,對個(gè)人的影響最小。單純根據(jù)這類個(gè)人信息一般不能識別個(gè)人的人身、財(cái)產(chǎn)狀況,因此,其雖然是由個(gè)人所產(chǎn)生,且與個(gè)人活動有一定關(guān)聯(lián),但是由于其與個(gè)人過于疏遠(yuǎn)因而導(dǎo)致受保護(hù)性較低。在個(gè)人信息保護(hù)實(shí)踐中,這類個(gè)人信息的處理大多隨中間層的個(gè)人信息一并授權(quán),采取概括同意規(guī)則。不過,這種做法可能并不符合數(shù)字社會的既定規(guī)則。例如,由于App或網(wǎng)頁產(chǎn)生的信息是在信息主體使用之后產(chǎn)生的,與其說是在事前進(jìn)行了概括同意,毋寧說當(dāng)新的信息產(chǎn)生之后,根據(jù)平臺規(guī)則推定信息主體同意,平臺處理此類個(gè)人信息的行為由此具備合法性。因此,對于私密性最低的外圍層個(gè)人信息,沒有必要采取概括同意規(guī)則,僅需采取推定同意規(guī)則即可。第二種類型的個(gè)人信息是已公開的個(gè)人信息。由于這類信息由信息主體自行公開或者其他情形依法公開,因此,處理這類個(gè)人信息時(shí)只要在公開的范圍內(nèi)、符合公開的目的即可阻卻違法性。在此意義上說,在公開范圍內(nèi)、符合公開目的處理已公開的個(gè)人信息的行為實(shí)質(zhì)上遵循著推定同意規(guī)則。

(二) 個(gè)人信息全生命周期合規(guī)制度的民行刑一體化構(gòu)建

個(gè)人信息處理風(fēng)險(xiǎn)存在于個(gè)人信息從產(chǎn)生到消亡的全生命周期,個(gè)人信息相關(guān)制度設(shè)計(jì)應(yīng)以此為邏輯起點(diǎn),對個(gè)人信息全生命周期的關(guān)鍵節(jié)點(diǎn)問題作出個(gè)性化回應(yīng)。為了避免傳統(tǒng)“一法一部門”模式下民法、行政法、刑法之間的銜接障礙,還應(yīng)當(dāng)對個(gè)人信息領(lǐng)域的制度規(guī)范進(jìn)行民行刑一體化的垂直整合。

1. 個(gè)人信息全生命周期的風(fēng)險(xiǎn)類型與流程控制

首先,個(gè)人信息搜集風(fēng)險(xiǎn)與控制。搜集個(gè)人信息通常有三種方式,分別是用戶提供、從第三方搜集以及通過公開網(wǎng)絡(luò)獲取。在用戶提供場景下,平臺的主要義務(wù)是告知,在履行充分告知義務(wù)后用戶仍然提供的,則應(yīng)當(dāng)認(rèn)為已取得用戶同意;在從第三方搜集場景下,根據(jù)既往的裁判規(guī)則,原則上應(yīng)當(dāng)經(jīng)過“三重授權(quán)”,(28)所謂“三重授權(quán)”,是指在相對開放的平臺,信息處理者收集個(gè)人信息需要經(jīng)過“用戶+平臺(企業(yè))+用戶”三重授權(quán)才具有合法性。具體來說,平臺(企業(yè))對用戶首次收集數(shù)據(jù)需要用戶授權(quán),這是第一重授權(quán);信息處理者通過第三方應(yīng)用間接獲取用戶數(shù)據(jù),需要該第三方應(yīng)用對應(yīng)的平臺(企業(yè))授權(quán),這是第二重授權(quán),并且還需要獲得用戶授權(quán),這是第三重授權(quán)。參見北京知識產(chǎn)權(quán)法院(2016)京73民終588號民事判決書、杭州鐵路運(yùn)輸法院(2017)浙8601民初4034號民事判決書。但是,在為了維護(hù)信息主體或者公共利益的場合,即使未得到個(gè)人信息主體同意的,其搜集行為也不違法;在通過公開網(wǎng)絡(luò)獲取的場景下,信息主體在一定程度上已經(jīng)放棄了個(gè)人信息權(quán)利。由于個(gè)人信息已經(jīng)公開,通常情況下獲取已公開的個(gè)人信息并不違法。

其次,個(gè)人信息存儲、管理風(fēng)險(xiǎn)與控制。個(gè)人信息處理者應(yīng)當(dāng)采取安全保障措施,包括特別聲明、技術(shù)保護(hù)措施等,以確保個(gè)人信息不被非法使用、泄露。個(gè)人信息處理者未采取安全保護(hù)措施的,可能構(gòu)成行政違法;因未采取安全保護(hù)措施,造成個(gè)人信息泄露的,還可能構(gòu)成刑事犯罪。在該環(huán)節(jié),個(gè)人信息處理者的合規(guī)義務(wù)主要體現(xiàn)在三個(gè)方面:一是設(shè)立管理機(jī)構(gòu)、配置處理權(quán)限以及加強(qiáng)對企業(yè)內(nèi)部管理;二是采取技術(shù)保護(hù)措施等防范網(wǎng)絡(luò)爬蟲等技術(shù)侵入風(fēng)險(xiǎn);三是采取合規(guī)措施仍然無法避免個(gè)人信息泄露的,在發(fā)現(xiàn)個(gè)人信息泄露之后應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施以防止風(fēng)險(xiǎn)蔓延。

再次,個(gè)人信息使用風(fēng)險(xiǎn)與控制。個(gè)人信息使用環(huán)節(jié)具有場景多元化特征,如個(gè)人信息數(shù)據(jù)共享、自動化決策、跨境流動等?！缎谭ā返?53條之一侵犯公民個(gè)人信息罪只處罰3種行為,分別是非法獲取、非法提供、非法出售公民個(gè)人信息。非法獲取個(gè)人信息入罪,規(guī)制對象是非法的信息流入,非法提供、非法出售公民個(gè)人信息入罪,規(guī)制對象是非法的信息流出,中間層的非法使用個(gè)人信息行為并未完全涵括。這意味著平臺依法搜集個(gè)人信息之后,其使用行為原則上不構(gòu)成犯罪。例如,個(gè)人信息處理者將個(gè)人信息用于自動化決策,按照現(xiàn)行刑法規(guī)定不構(gòu)成侵犯公民個(gè)人信息罪。不過,這種非法使用行為在《個(gè)人信息保護(hù)法》中仍然被禁止,故平臺使用合法渠道搜集個(gè)人信息時(shí)仍要履行合規(guī)義務(wù),這種意義上的合規(guī)義務(wù)并非刑事合規(guī),而應(yīng)當(dāng)歸屬于民事、行政合規(guī)之范疇。

最后,第三方關(guān)聯(lián)責(zé)任風(fēng)險(xiǎn)與控制。在《個(gè)人信息保護(hù)法》確立的全生命周期保護(hù)模式下,企業(yè)不僅要對自身處理個(gè)人信息進(jìn)行合規(guī)化管理,還應(yīng)當(dāng)負(fù)有對關(guān)聯(lián)第三方的合規(guī)監(jiān)管義務(wù)。在合法的框架下允許個(gè)人信息在不同主體間進(jìn)行流動,讓個(gè)人信息在合規(guī)治理中創(chuàng)造公共價(jià)值,是個(gè)人信息有序共享的重要體現(xiàn)。個(gè)人信息處理平臺對關(guān)聯(lián)第三方的合規(guī)監(jiān)管義務(wù)既源于科技倫理與行業(yè)規(guī)則的共同要求,也是構(gòu)建行之有效的合規(guī)體系的重要課題?？疾旌弦?guī)的一般法效果,管理好關(guān)聯(lián)第三方是個(gè)人信息平臺合規(guī)之應(yīng)有內(nèi)容,個(gè)人信息處理平臺將個(gè)人信息提供給關(guān)聯(lián)第三方,導(dǎo)致個(gè)人信息泄露的,或者有其他侵犯個(gè)人信息權(quán)益行為的,應(yīng)當(dāng)與關(guān)聯(lián)第三方共同承擔(dān)責(zé)任。為了避免陷入第三方關(guān)聯(lián)責(zé)任之中,信息處理者應(yīng)當(dāng)就與合作方的合作事項(xiàng)進(jìn)行合規(guī)監(jiān)管,除了在合同中明確作出禁止未經(jīng)授權(quán)泄露個(gè)人信息的聲明之外,還應(yīng)當(dāng)對合作方在合作事項(xiàng)中的不合規(guī)行為進(jìn)行審查,在對合作方履行充分合規(guī)監(jiān)管義務(wù)仍然無法避免合作方的不法行為時(shí),信息處理者可以免責(zé),由合作方就個(gè)人信息非法泄露、非法使用等行為承擔(dān)責(zé)任。

2. 個(gè)人信息全生命周期的民行刑一體化合規(guī)方案

在《個(gè)人信息保護(hù)法》頒布之前,我國有關(guān)個(gè)人信息的立法散布于民法、刑法及其他規(guī)范之中,并且總體上表現(xiàn)為“一法一部門”,即一個(gè)法律規(guī)范僅涵蓋民事、行政或刑事規(guī)范之一,立法的碎片化特征明顯。當(dāng)《個(gè)人信息保護(hù)法》實(shí)施之后,面對民法、刑法以及其他規(guī)范中的碎片化現(xiàn)象,還需要進(jìn)行第二次的規(guī)范整合,消除法法之間的沖突與銜接困境,以民行刑一體化理念促進(jìn)個(gè)人信息在全生命周期中的有序共享與合規(guī)建設(shè)。

一方面,基于法秩序統(tǒng)一性原理,立法者在制定部門法時(shí)既要考慮部門法獨(dú)立性,也要考慮部門法在整體法秩序中的地位尤其是該部門法與其他部門法之間的關(guān)系,消除部門法之間的沖突。“整個(gè)法律秩序,也就是大量有效的具體規(guī)范與所有法律部門的法律的綜合,形成一個(gè)統(tǒng)一體、一個(gè)‘體系’”,(29)[德]伯恩·魏德仕:《法理學(xué)》,丁曉春、吳越譯,北京:法律出版社,2013年,第316頁。由于我國個(gè)人信息立法存在刑事立法先行的客觀事實(shí),而《民法典》與《個(gè)人信息保護(hù)法》一前一后已經(jīng)進(jìn)行協(xié)調(diào),并無矛盾之處,因此,個(gè)人信息領(lǐng)域法秩序不統(tǒng)一、法法不協(xié)調(diào)問題主要在于刑法層面。具體而言:首先,關(guān)于個(gè)人信息概念,《刑法》第253條之一侵犯公民個(gè)人信息罪中的“公民個(gè)人信息”應(yīng)當(dāng)以《民法典》與《個(gè)人信息保護(hù)法》中的“個(gè)人信息”為參照進(jìn)行適當(dāng)擴(kuò)容,涵蓋生物識別信息、宗教信仰信息等,從而確保個(gè)人信息概念在不同部門法中的協(xié)調(diào)一致。其次,根據(jù)《侵犯個(gè)人信息刑事解釋》第2條規(guī)定,侵犯公民個(gè)人信息罪構(gòu)成要件中的“違反國家有關(guān)規(guī)定”,包括違反法律、行政法規(guī)與部門規(guī)章,這顯然是立法者在個(gè)人信息有關(guān)法律、行政法規(guī)較為緊缺的時(shí)期,對《刑法》第96條不得已作出的擴(kuò)張解釋。在個(gè)人信息立法體系健全的前提下,應(yīng)當(dāng)修改該司法解釋,將部門規(guī)章從國家規(guī)定中去除。最后,現(xiàn)行《刑法》第253條之一侵犯公民個(gè)人信息罪對中間環(huán)節(jié)的非法使用行為規(guī)制存在明顯空白,而《民法典》《個(gè)人信息保護(hù)法》均重點(diǎn)規(guī)制非法使用行為,加上非法使用行為較之非法獲取、非法提供、出售等行為具有等質(zhì)甚至更高的危害性,因此,刑事立法宜將非法使用個(gè)人信息行為犯罪化,以填補(bǔ)立法漏洞,提升制裁的實(shí)效性。

另一方面,基于民行刑一體化理念下民事、行政、刑事制裁的梯度關(guān)系,對侵犯公民個(gè)人信息行為的治理宜以必要性為限度。具體而言:一是堅(jiān)持先私法后公法,對侵犯公民個(gè)人信息的行為宜盡可能控制在私法范圍內(nèi),民進(jìn)行退、民先刑后。根據(jù)現(xiàn)代法治國比例原則的適合性(Geeigne??ig)原則,社會關(guān)系的調(diào)整應(yīng)以私法為優(yōu)先,超出私法調(diào)整范疇的社會關(guān)系,不得已需要以公權(quán)力介入時(shí),也應(yīng)當(dāng)以對私權(quán)利的影響最小為限度,同時(shí),還應(yīng)當(dāng)考慮消除公權(quán)力介入后的不良影響。(30)須騰陽子:《比例原則の現(xiàn)代的意義と機(jī)能》,東京:法律文化社,2010年,第23—29頁。例如,短視頻博主在平臺上傳的視頻中包含了大量陌生人的人臉識別信息,其事實(shí)上也不可能取得個(gè)人信息主體同意。而如果完全根據(jù)《個(gè)人信息保護(hù)法》及《刑法》規(guī)定,這種行為不僅涉嫌個(gè)人信息侵權(quán),還可能構(gòu)成侵犯公民個(gè)人信息罪,若如此認(rèn)定,勢必引起全民違法現(xiàn)象及大規(guī)模犯罪化,不符合數(shù)字社會個(gè)人信息有序共享規(guī)則,應(yīng)當(dāng)予以適當(dāng)調(diào)整。行政法與刑法作為公法,原本就是在涉及公共利益等重大事項(xiàng)時(shí)才應(yīng)當(dāng)介入,個(gè)人信息首先作為私法權(quán)利而存在,不得未經(jīng)同意侵害個(gè)人信息權(quán)利是信息處理者需要遵循的第一重合規(guī)義務(wù),當(dāng)信息主體與信息處理者之間產(chǎn)生糾紛時(shí),優(yōu)先考慮通過民法中的合同、侵權(quán)等制度加以規(guī)范調(diào)整。二是堅(jiān)持先行政后私法,行進(jìn)刑退?！皬娜w法秩序的視角出發(fā),違法性存在量和質(zhì)的區(qū)別,對法益侵害極其輕微的行為將由于欠缺可罰的違法性而阻卻實(shí)質(zhì)不法?！?31)中山研一、淺田和茂、松宮孝明:《レヴィジオン刑法3:構(gòu)成要件·違法性·責(zé)任》,東京:成文堂,2009年,第136頁。侵犯公民個(gè)人信息罪兼具自然犯和法定犯的特性,這意味著本罪可罰的違法性判斷需要同時(shí)考慮民法與行政法。(32)姜濤:《新罪之保護(hù)法益的證成規(guī)則——以侵犯公民個(gè)人信息罪的保護(hù)法益論證為例》,《中國刑事法雜志》2021年第3期?！秱€(gè)人信息保護(hù)法》大量規(guī)定的個(gè)人信息國家保護(hù)義務(wù)與信息處理者義務(wù),構(gòu)成了信息處理者行政合規(guī)的基本要求,違反此項(xiàng)義務(wù)優(yōu)先承擔(dān)行政責(zé)任。三是窮盡替代政策才可啟動刑法。根據(jù)刑法謙抑主義,“刑法介入剝奪社會成員的身體、自由、財(cái)產(chǎn)等重要法益的場合,必須是刑罰以外的其他社會管控手段無法起到合適效果時(shí),刑法的啟動才有正當(dāng)性”。(33)關(guān)哲夫:《講義刑法總論》,東京:成文堂,2015年,第21頁。刑法在個(gè)人信息領(lǐng)域之所以容易被濫用,一個(gè)重要原因是個(gè)人信息作為數(shù)字經(jīng)濟(jì)時(shí)代最核心的資源要素,往往伴隨著新技術(shù)新業(yè)態(tài)而生,而新技術(shù)新業(yè)態(tài)誕生之初由于欠缺管制,會經(jīng)歷一段時(shí)間的“野蠻生長”時(shí)期,在一定時(shí)空范圍內(nèi)造成社會的失序,面對這種狀況,刑法作為最直接有效的手段成為首要考慮對象,網(wǎng)絡(luò)爬蟲技術(shù)、自動化決策技術(shù)、區(qū)塊鏈技術(shù)等領(lǐng)域侵犯公民個(gè)人信息罪的過度擴(kuò)張盡皆源于此?；诖?刑事立法通過修改司法解釋適度提高侵犯公民個(gè)人信息罪的入罪標(biāo)準(zhǔn),或許是可行的方案。當(dāng)然,最為穩(wěn)妥的做法是,個(gè)人信息處理者履行好個(gè)人信息權(quán)益保護(hù)及合規(guī)管理方面的義務(wù),配合網(wǎng)信等部門的行政監(jiān)管調(diào)控,從而有效抑制違法行為的產(chǎn)生以及防止輕微違法行為演變?yōu)閲?yán)重犯罪行為。

四、 結(jié) 語

個(gè)人信息從自主支配向有序共享的理念轉(zhuǎn)換與制度構(gòu)建,是傳統(tǒng)社會轉(zhuǎn)向現(xiàn)代社會尤其是數(shù)字經(jīng)濟(jì)時(shí)代的自然演化結(jié)果。有序共享理念立足于個(gè)人信息作為私法權(quán)利與公共資源的雙重屬性,貫徹該理念必須在制度層面扎牢根基。數(shù)字經(jīng)濟(jì)時(shí)代的個(gè)人信息在內(nèi)容上極具開放性和包容性,相關(guān)制度建構(gòu)必須穿透“個(gè)人信息”的表象,在對個(gè)人信息分類分級基礎(chǔ)上進(jìn)行二次分層,構(gòu)建根據(jù)信息與個(gè)人的親疏遠(yuǎn)近關(guān)系分別配置保護(hù)規(guī)則的差序格局。個(gè)人信息領(lǐng)域?qū)映霾桓F的新技術(shù)新業(yè)態(tài),無力通過單純立法實(shí)現(xiàn)有序共享和有效規(guī)制,立足信息處理者視角的合規(guī)制度建設(shè),是解決該問題的首選策略。合規(guī)制度的契入,賦予個(gè)人信息有序共享體系更高的科學(xué)性與更強(qiáng)的生命力。