2020年10月13日,十三届全国人大常委会第二十二次会议首次审议了《个人信息保护法(草案)》,这是一部关涉全民利益和人格尊严的重要立法,也是一部影响中国数字经济发展的关键立法,殊值关注。如何在权益保护与信息开发利用之间取得恰当的平衡?这有赖于个人信息保护模式的选择。目前国际上主要有两种立法模式:一是针对个人信息主体的积极确权模式;二是针对信息开发利用者的行为规范模式。中国的“个人信息保护法”该如何抉择?这是当下亟需回应的问题。为此,紫金传媒智库高级研究员宋亚辉教授撰文,系统比较个人信息的私法保护模式及其优劣差异,以此为中国立法提供理论参考。
一、西方早期的积极确权模式及其“丛林逻辑”
美国和德国早期均采用积极确权模式来保护个人信息,德国确立了一项具有排他效力的“个人信息自决权”,美国则是借用防御性的隐私权来保护网络时代的个人信息。两国的价值取向虽然迥异,但立法技术上却走向趋同——均属积极确权模式。作为权利立法的反推效果,德国的个人信息自决权和美国的隐私权在划定权益保护范围的基础上,间接划定了信息收集利用之行为界限,其基本逻辑为:通过确认权利来反推他人的行为自由。这不仅解决了个人信息的权利性质以及排他性范围,而且为法益保护提供了弹性化的裁量平台,法院可透过法益保护范围的限缩或扩张解释,相对灵活地调整信息开发利用者的行为空间。德国和美国的分野由此产生,正是由于支配性的个人信息自决权和防御性的隐私权和在排他性效力上的差异,造就了两国截然不同的个人信息保护水平和互联网产业。
积极确权立法的上述功能,使之成为西方国家早期普遍采纳的简约型立法模式,立法者可借助权利排他性范围的灵活设置来扩大或限缩信息开发利用的自由空间。但实践表明,积极确权模式存在结构性缺陷:(1)法律上的确权和支配不等于事实上的确权和支配。个人信息的收集、处理和交易是以不可视的方式在虚拟空间瞬时完成,网络公司可通过技术手段轻而易举地操纵信息处理过程。信息的无限复制与快速传播使得个人信息在脱离人身之后几乎不具有事实上的可支配性,个人不仅无力阻止未经授权的信息传播,而且被排除在个人信息的商业交易之外,个人信息虽被界定为私有,但权利人却无法实际支配它,法律保护效果因此大打折扣。(2)积极确权模式无法给相对人提供清晰的合规指引和行为预期。权利立法通常以抽象概念界定权利,或通过“事后诸葛亮”式的判例于事后定分止争,这两种确权方式都会导致权利边界模糊,无法给相对人提供清晰稳定的合规指引。由此导致的结果是,个人信息保护在实践中仍停留于“丛林地带”。
二、美欧经验:积极确权与行为规范模式的互动
积极确权模式的内在丛林逻辑迫使人们不得不寻找更好的立法模式,行为规范模式在此背景下应运而生,其总体思路是从权利界定转向行为规制,通过评估信息开发利用行为对个人信息主体的影响来设定行为规范,以此为信息开发利用提供合规指引并间接保护个人信息。《德国联邦数据保护法》《美国儿童在线隐私保护法》《欧盟个人信息保护指令》以及欧盟GDPR均以大量篇幅构建信息开发利用的行为规范体系,例如信息收集利用的透明度规则、目的拘束规则等。相较于积极确权模式,行为规范的设计直接以信息收集利用行为作为规制对象,这为信息开发利用者提供了相对清晰的合规指引。但在立法技术上,行为规范的设定不可能“因案设法”,故难以精确对待样态各异的信息开发利用行为,为平衡行为自由与权益保护的二元价值,行为规范立法不得不设置大量一般规则与例外条款,如欧盟GDPR列举的各种适用除外和豁免事由。但即便如此,行为规范立法仍无法摆脱弹性不足的问题。在行为规范无法穷尽列举或难以通过“原则+例外”条款进行精确的价值平衡和区别对待的领域,积极确权立法将隆重登场,弹性化的权利立法可作为兜底机制,由法院在事后针对个案情形,通过灵活解读法益保护范围来调整行为自由之界限,以此缓解行为规范的列举负担与僵化难题。
行为规范不只是行政执法的依据,同时也为民事司法提供了裁量基准。个人信息侵权的认定离不开过错、违法性等要件,在缺乏行为规范立法时,违法性的判断完全由法官自由裁量,这难以为市场提供准确的行为预期。一旦有了行为规范立法,违反成文法明示的行为规范,通常可直接判定侵权法上的违法性要件的成就。这有助于加强公、私法两种保护机制的配合,例如《德国联邦数据保护法》中的某些行为规范在性质上已被视为《德国民法典》第823条第2款中的保护性规范,违反者,通常意味着侵权责任构成要件的成就。美国法同样如此,联邦法优先原则使得普通法的隐私侵权之诉往往要优先考虑联邦制定法的个人信息保护规范及其被遵守情况。与此同时,清晰确定的行为规范立法在实践中可能会因对策行为而被规避,此时侵权法又可发挥查漏补缺作用,这正是学界主张否认合规抗辩的理由,即不违反行为规范的致害行为仍可能构成侵权。
三、中国选择:单一的行为规范模式
若以美欧的“积极确权+行为规范”模式作为参照系,中国的个人信息保护属于单一的“行为规范”模式。这源于中国《民法典》第111条及其转致的《网络安全法》的内容。《民法典》第111条并未从法益保护角度确认个人信息的权利性质和法益内容,而是在宣示“个人信息受法律保护”的基本立场基础上,从信息收集利用者一方切入,以行为约束的方式划定了信息收集利用之界限。在行为规范的构造上,现行法区分信息获取、利用、持有三个阶段分别设定了相应的行为规范体系,任何信息获取、利用、持有行为都必须遵守这些行为规范,否则属于《民法典》第111条中的“非法”,进而成立侵权法上的违法性。
(一)信息获取阶段的行为规范:“应当依法取得”
《民法典》第111条规定“任何组织和个人需要获取他人个人信息的,应当依法取得”,这里的“依法”必须同时满足法定要件和约定要件。首先,法定要件可表述为“信息收集的正当且必要性规则”。但我国网络公司大多以“为您提供更准确、更个性化的服务”这一开放理由收集多种个人信息,甚至涉及用户身份证、头像、定位、种族和健康信息,且往往在列举之后以“等”字收尾。这是否符合法定要件,值得怀疑。其次,约定要件要求信息收集目的、方式、范围必须公开透明并征得用户同意。不透明便无自由意志可言。如何确定公开透明和知情同意的标准?依现行法的规定,似应以信息收集者是否履行了披露义务为标准,但一方披露不等于对方知情,且同意的质量还受到同意方式的影响。例如国际上常见的“选择进入(opt-in)”和“选择退出(opt-out)”方式将带来截然不同的同意质量,这有待“个人信息保护法”加以细化。
(二)信息开发利用阶段的行为规范:“不得非法……”
《民法典》第111条规定“任何组织和个人……不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这里列举了信息开发利用阶段的行为规范,法律适用时可借助该条款中“不得非法”一词的转致功能,将民法典之外的个人信息保护规范导入该条款的适用轨道,以此缓解封闭式列举的包容性不足问题。所谓“不得非法”,包括“不得违反法律法规的规定”和“不得违反双方的约定”两部分,前者需在“个人信息保护法”中加以细化,后者取决于当事人的约定。另外,《民法典》第111条负面列举之外的领域,究竟属于信息开发利用者的行为自由?还是个人信息主体的权益范围?理论上称之为“剩余权利配置问题”,这也有待“个人信息保护法”加以明确。
(三)信息持有阶段的行为规范:“确保信息安全”
《民法典》第111条规定“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全”。“确保信息安全”之表述确立了一项法定的安全保障义务,适用于所有持有他人个人信息之人及整个持有过程。开启或维持特定危险之人通常也具有较强之能力来管控风险,这是安全保障义务的内在经济理性,也是其归责基础所在。就个人信息而言,正是信息收集利用行为开启并维持了信息泄露风险,个人信息所承载的各项权益内容也因此处于危险境地,安全保障义务由此产生。但安全是个相对概念,民法典仅确立了抽象意义上的安全保障义务,实践中如何判断义务是否履行?需根据个案情境在法益保护和行为自由之间进行权衡。我们期待正在制定的“个人信息保护法”能在这方面有所发展。
四、行为规范模式在解释适用中的僵化问题
积极确权与行为规范模式的结构性差异,决定了两种截然不同的法律适用逻辑。其中,积极确权模式是对个人信息的法益保护范围做正面界定,而行为规范模式则是直接对相对人的行为自由做出限定。前者便于合理划分法益保护范围,后者可为信息开发利用提供相对明确的合规指引。根据这一逻辑,美欧的“积极确权+行为规范”模式有助于以彼此互动的方式为法益保护与信息开发利用之二元价值提供双边裁量平台,法院可根据个案情境比较权衡涉案信息所承载的人格法益的重要性和数据开发利用价值,进而做出更灵活的判断。相较之下,中国单一的行为规范模式虽有助于为信息开发利用行为提供相对明确的合规指引,但个人信息主体的法益保护范围只能透过相对人的行为界限做反推,其法律适用逻辑为:凡不构成法律禁止的“非法”情形均属信息开发利用者的行为自由。这意味着,单一的行为规范模式不仅导致个人信息的保护范围受限,而且在保护水平上也缺乏必要的弹性,难以为敏感程度不同的个人信息提供差别化保护。
(一)不同类型个人信息的区别对待难题
现行法上的个人信息包括可直接识别个人身份的信息和间接识别个人身份的信息,前者主要包括姓名、身份证号、指纹等敏感性身份信息,后者既包括一般身份信息,如邮政编码,也包括个人行为信息,如交易记录。不同类型的个人信息所承载的人格法益和数据开发价值不同,相应的保护水平理应有所区别。敏感性身份信息因其直接表征和彰显个人身份特质,使之蕴含重要的人格利益,现行法已通过具体人格权对部分身份信息提供特别保护;而行为信息只有与其它信息结合方可识别个人身份,其所承载的人格法益相对较弱,但它却是大数据开发利用的核心资源,只有区别对待这两类信息才能在法益保护与信息开发利用的二元价值之间维持平衡。但问题是,我们目前单一的行为规范立法难以区别对待不同类型的个人信息,差别化保护的期待因此落空。
(二)透明度的判断标准与知情同意的质量问题
透明度规则的目的旨在保护个人信息主体的自由意志,因而透明度的判断标准理应从个人信息主体的权益保护角度入手,以一般理性受众在具体场景下能否知情作为判断标准。根据现行法的规定,透明度的判断只能以信息收集利用者是否履行了披露义务为标准。但一方的披露不等于对方知情,网络公司有时确实披露了信息收集使用规则,但因冗繁的表述和专业的内容,几乎无人有时间、能力和决心浏览复杂的条款。而且,不同技术条件下的同意方式也影响知情同意的质量,如默示同意和明示同意。由此导致的问题是,法律虽以保障个人信息主体知情权为目的设定透明度和知情同意规则,但立法技术上却以信息收集利用者角度看其是否披露了信息收集使用规则,这实际上是以相对人的行为违法性评价取代了个人信息主体的法益保护评价,法律适用上已偏离立法初衷。
(三)行为规范的适用范围问题
《民法典》的行为规范立法适用于初次收集个人信息之人自无疑问,但从前手处获取信息之“后手”是否也需遵循同一规则?在实践中,个人信息的交易与二次开发利用极为普遍,侵犯个人信息的行为也越来越多地从信息收集者转向开发利用者,行为规范的适用对象自然也应向信息开发利用者扩张。此时,后手如何“依法”从前手获取个人信息就变得意义重大。若采用积极确权立法,问题将迎刃而解。个人信息主体对个人信息所享有的权利至少在人格利益方面是一种绝对权,绝对权对一切人产生对抗效力之性质,可彻底解决权利的排他性范围问题,不管是前手还是后手,获取个人信息均须征得个人信息主体同意。但行为规范立法回避了个人信息的权利性质界定,由此导致权利排他性范围的不确定。
(四)剩余权利的归属难题
更为棘手的问题是,行为规范立法负面列举之外的领域,究竟属于信息收集利用者的行为自由,还是个人信息主体的权益范围?从《民法典》第111条的文义来看,似应理解为“不得非法……”之外的领域皆属行为自由。毕竟,法条文义清晰地显示,法律禁止的只是封闭式列举所明示的行为,这恰似负面清单的管理模式,非属列举之事项,自然不在禁止之列。这样一来,剩余权利被一刀切地配置给了信息收集利用者。这为信息开发利用预留了巨大空间,但个人信息主体的法益保护水平却显著降低。随着信息开发利用模式的创新,有些看似无价值的信息资源也可能产生新的商业利用价值,各类剩余权利纠纷也将随之产生,法律上该如何配置这些剩余权利?这需要“个人信息保护法”做出回应。在立法技术上,“个人信息保护法”要给司法预留必要的裁量空间,授权法官基于个案进行自由裁量。这正是“积极确权+行为规范”模式的灵活性优势。
五、中国“个人信息保护法”的发展方向
上述法律适用难题最终都归因于一点:中国单一的行为规范立法刚性有余而弹性不足,对个人信息所承载的人格法益的保护缺乏必要的弹性空间和解释依据。《民法典》第111条所列举的行为规范及其引致的《网络安全法》中的行为规范体系,只能为信息收集利用行为的“违法性”判断提供基准,但无法为个人信息所承载的人格法益保护提供裁量平台。这不仅导致个人信息保护水平的弹性不足,而且难以在法益保护与数据开发利用的二元价值之间进行利益权衡。相较之下,美欧的“积极确权+行为规范”模式更为灵活,权利立法通常是以抽象概念对权利内容和法益保护范围做概括式描述,或者仅列举权利清单,这相当于法益保护的一般条款,法官可据此获得法益保护的解释依据和裁量平台。
面对纷繁复杂的个人信息类型和样态各异的信息收集利用行为,受案法院可通过“积极确权+行为规范”的比较权衡框架,在法益保护和信息开发利用的“天平”两端做比较权衡和相对灵活的价值判断,从而避免在个人信息保护问题上出现法益保护不足或过度限制信息开发利用空间之双重风险。从这个意义上看,中国现行法的核心缺陷是缺乏法益保护的裁量平台。问题之所在,同时也是答案之所藏。由此也决定了中国正在审议的“个人信息保护法”的矫正方向:即引入“法益保护”的裁量平台。有鉴于此,笔者建议正在审议的“个人信息保护法”明确承认“个人信息权”,为个人信息保护提供弹性化裁量平台,以此解决我国现行法所存在的刚性有余而弹性不足的问题。