数字经济时代个人信息的公法保护
来源:用户上传
作者:
摘 要:数字经济时代,“严于控制,疏于利用”的个人信息私法保护理论无法充分适应开放共享的数字市场环境,并有可能加剧个人信息控制与使用的矛盾。数据共享话语下,个人信息具有一定的公共属性,个人信息保护同样关涉公益保障和公权控制问题,这在一定意义上奠定了个人信息公法保护的合理性。公法保护视野之下,个人信息保护遵循利益平衡理念和谦抑控制的实践方向,有效地回应了个人信息在共享背景下的保护问题。但证成公法保护不代表放弃私法保护,多数个人信息保护实践需要公私法并行发挥保障合力,故应通过构建分层式权义规则、复合型责任体系、多元化监管模式以及综合性保障方法构筑个人信息保护的公私法耦合之路。
关键词:数字经济;个人信息保护;公法保护;私法保护;公私合治
中图分类号:D923.04
文献标志码:A文章编号:1002-7408(2020)03-0086-07
基金项目:2018年度国家社科基金重大项目“互联网经济的法治保障”(18ZDA150)。
作者简介:闫静(1994-),女,河南南阳人,西南政法大学经济法学院研究生,中国市场经济法治研究中心研究人员,研究方向:经济法、网络法;吴太轩(1972-),女,重庆人,西南政法大学经济法学院副院长,副教授,法学博士,研究方向:经济法、网络法。
信息技术的飞速发展将人类社会带入了数字化、智能化、网络化的大数据时代,“信息”一跃成为数字经济时代社会财富持续生产的动力与源泉。在此期间,最富价值与创造力的数据是具有可标识作用的个人信息,不管是以“注意力”夺取为目的的市场竞争活动,还是更好服务社会公众的政府管理活动,都建立在科学合理收集、贮存、整理、分析、加工、传递个人信息的基础上。然而,数字经济时代的个人信息背靠网络环境,技术的不成熟、规范的不完善使个人信息利用包含了权益损害的风险,作为信息“宿主”的个人很可能遭受不当侵害。这使得规范个人信息使用、保护个人信息成为数字经济时代法学理论研究与实践探索的重要方向。当前,法学界对于个人信息保护的研究更多遵循传统的私法保障理路,但事实上,在提倡数据共享、强调信息使用的今天,个人信息的私法保护具有一定的局限性与不适应性。纯粹的个人信息私法保护框架下,信息共享与信息保护似乎被割裂开来,二者不仅缺乏内在的互联沟通甚至产生了一定程度的矛盾。理当转换研究视角,探寻公法视野下个人信息保护的理论与制度以适应信息开放共享的时代要求。本文拟在揭示个人信息私法保护局限的前提下证成公法保护的合理性,在明晰个人信息公法保护应然取向的基础上,兼顾公法保护与私法保护的耦合之道,力求实现数字经济时代的个人信息法律保护机制的系统建构。
一、数字经济时代个人信息私法保护的理论检视
(一)数字经济时代个人信息私法保护的學理考察
当前,个人信息私法保护的学理研究多建立在个人信息法律属性的探讨上,形成了基于具体人格权、财产权、隐私权、新型权利的保护理论。
1.基于具体人格权的保护理论。将个人信息上升为人格权的保护客体很大程度上体现了学界对我国传统人格权利立法模式的路径依赖,力求保证个人信息保护契合我国人格权利立法理论与制度体系[1]。具体人格权保护理论下,个人信息权是一种新型人格权利,获得了独立于隐私权之外的法律保护。其主张尊重个人信息自由,实现个人信息自决,保障每个民事主体可以自主控制个人信息。当然,随着社会主体数字经济生活参与度的提高,人的交流将更多被视作信息的交流,这种交流创造了财富,赋予个人信息以财产价值。个人信息权也因此带上一定的财产性人格色彩,被视为非完全意义的精神型人格权[2]。
2.基于财产权的保护理论。数字经济时代,个人信息在流通中表现出明显的财产价值,数量庞大的个人信息通过数据收集技术汇集成信息流,且经过分析、利用创造出之于经济发展强大的驱动力。个人信息的财产权保护理论蕴含一定的法经济学哲思色彩,较好地反映了数字经济时代法律对个人信息财产属性的重视,强调在对个人信息予以经济性使用时,赋予其如同新型财产权的独立保护[3]。该理论发端于个人信息流转、使用的客观经济环境,在凸显个人信息的财产价值的同时,引导信息主体对其行使占有、使用、收益、处分等权能,使个人信息权与民事法上物的所有权极为相似[4]。
3.基于隐私权的保护理论。在个人信息权与隐私权之间画等号的做法,很大程度上是受域外个人信息保护立法模式影响的结果。有观点认为,不管是美国意在个人自由实现的信息保护理论,还是欧盟旨在维护个人尊严的数据保护理论,都根植于保护个人隐私的立法源流[5]。当下所言及的个人信息保护,更多是个人隐私保护理论历经发展后扩展适用范畴的结果,以隐私权保护为起点,逐渐扩张解释为个人信息权的保护,是世界上大多数国家的通行做法。但随着研究的深入,将个人信息等同于隐私的权利保护理论逐渐受到更多反思与批判,多数学者认为个人信息与隐私应有所区别[6]。
4.基于复合权利的保护理论。事实上,不管是当前关于个人信息的人格权保护理论,还是财产权保护理论,大多不是孤立存在的。很多时候都将个人信息的二重价值属性结合起来予以探讨,避免出现分离二者,特别是过分凸显个人信息财产属性而忽视其精神价值的情况。故而,个人信息权是数字经济时代的复合型权利,兼具人格属性与财产属性。有学者分而述之,强调仅当个人信息处于商用环境中时方体现财产属性[7]。也有学者总览性地将其描述为,保障个人信息免于不法收集和利用并实现信息主体自主决定利益的权利,且指明该权利只在遭受侵害时才具有被动防御的机会[8]。但有学者认为该种复合型权利具有积极权能,更多情形下需要权利主体主动表达、积极作为[9]。
(二)数字经济时代个人信息私法保护的局限
众说纷纭的个人信息私法保护理论虽从不同视角分析了个人信息的价值功能,并依此赋予个人信息权各异的权利属性,但本质上都将个人信息权视为依附于私主体的权利,并主张赋予信息主体控制个人信息的能力。诚然,个人信息因来自于信息主体,故不可避免地具有私法保护的合理意义,但私法保护并非完美无缺,其具有一定的局限性。 1.严苛的控制观念。数字经济时代,个人信息与个人关系极为密切,任一社会主体都可被拟制成“信息人”,通过“信息”形塑个人形象。个人与个人信息不可分割的联系是个人信息私法保护理论形成的基础要素之一,但也因此将个人信息“圈禁”在了个人权益严格保护的羽翼下,失去自由流通的可能。为保障个人信息,私法保护理论多主张信息主体或信息控制者对个人信息享有支配权和控制权,有资格决定个人信息的是否公开、如何公开、是否使用、如何使用等。网络空间内“知情—同意”机制的普遍实践以及《网络安全法》个人信息收集告知义务的设置都在一定意义上表明,信息主体对个人信息具有支配和控制地位。而信息控制者更是基于此,以保护信息主体权益为由限制个人信息共享。尽管承认上述种种皆在于使信息主体的信息自决意志得以自由表达,但同样不容忽视的是,在数字经济时代个人信息流通不可避免,也只有流通才能发挥信息的价值。若不加限制地使信息主体享有对个人信息的绝对控制,必然会影响社会资源合理利用和配置。应当注意的是,私法保护理论下,过于严苛的信息控制将诱发个人信息控制与使用的矛盾。
2.有限的实施举措。个人信息私法保护理论的另一局限在于,在信息共享状态下其不能使个人信息获得具体的、行之有效的保护。从理论层面来讲,当前的私法保护理论不能为流通状态下的个人信息保护提供有效指引。以私法保护方式规避个人信息损害风险,可能会使制度设计者以近乎全景式视角考察个人信息流转过程中面临的风险因子,这不仅需要付出巨大制度成本,还可能因过于详细的私法保护而限制信息流通。因此,当前的私法理论不能提供过于细化的个人信息保护规则,而仅能提供原则性的方法指引,而该种原则性指引往往缺乏一定程度的可操作性。从实践层面来讲,私法保护规则实质上并不能应对复杂多变的市场环境所带来的挑战。个人信息保护的环境并非发展相对缓慢的传统经济时代,而是飞速变革的数字经济时代,信息技术的运用使个人信息传播较之以往更为便捷、迅速,但也使侵权事件更易发生,私人维权更加困难,在大规模的个人信息泄露事故面前,纯粹的私法救济往往难以为继[10]。故而应当明确的是,数据共享时代的个人信息保护,难以从私法理论中获得有效制度供给。
二、数字经济时代个人信息公法保护的理性证成
主张对个人信息予以“权利化”保护的私法理论,虽有利于澄清个人信息属性、维护信息主体权益,但当个人信息进入到公共领域,传统私权保护理论却表现出了明显的局限性。严苛控制观念和有限的保障举措导致其无法缓释个人信息控制与使用的紧张关系,并解决个人信息在数据共享时代的保护问题。而尝试以公法理论保护个人信息,在一定程度上弥补私法保护的不足,究其原因在于个人信息的公法保护具有其必然的合理性。
(一)个人信息的社会公共属性使然
數字经济时代的个人信息具有明显的公共属性、社会属性,这从根本上决定了个人信息公法保护的合理性。一方面,开放的信息环境塑造了个人信息的社会性品格。个人信息具有价值已毋庸讳言,但彰显信息价值却并非是将其牢牢控制在个人手中,形成封闭的“信息孤岛”;而是将个人信息投入经济洪流,借助市场配置资源的决定性作用,最大化其使用价值。对于身处激烈竞争中的市场主体而言,个人信息就是潜在的财富,获取个人信息就意味着赢得商机。在整个社会对信息极度渴望的状态下,被分享的个人信息可能流向不同的信息控制者,如政府、信息中介、信息消费者等,甚至在不同信息控制者之间来回辗转。若一味凸显个人信息的私法属性,强调对其予以排他性和独占性控制,则会很大程度上限制个人信息流通,阻碍其价值实现。另一方面,以宪法理论为基础的个人信息保护直接表明了个人信息的公共属性。在欧洲,以人格尊严维护为目的的个人信息保护理论,通过《欧洲人权公约》《个人数据自动化处理中的个人保护公约》等公法规范将个人信息保护定位到了公民基本权利实现层面,部分国家甚至在宪法条文中规定了个人信息保护权[11]。在宪法学者的眼光中,个人信息是当然的公共物品,且对社会经济发展具有巨大的推动作用[12]。德国联邦宪法法院“人口普查案”的判决也表明,个人信息不具有完全的排他性,保护个人信息并非完全意义上实现个人信息自决与控制[13]。理论探索和实践考察的结果均表明,数字经济时代的个人信息表现出了明显的社会性、公共性,简单将严苛的私法保护理论套用于个人信息保护并不适合,而应探索个人信息保护的公法之道。
(二)维护数字市场公共利益的需要
数字经济时代的个人信息保护不仅是私益问题,更是公益问题,这从现实上表明了个人信息公法保护的合理性。一方面,个人信息的保护关涉数字市场开放竞争,需要通过公法实施规范市场并消除妨碍信息共享的壁垒,为个人信息保护创造自由公平的市场环境。当前,互联网巨头企业以平台为依托通过多样化的网络服务吸引了众多消费者,并利用垂直搜索技术获取了海量的用户行为信息。受网络效应影响,控制大量个人信息的网络巨擘往往以“保护”个人信息为借口拒绝信息共享,使个人信息更多集中于少部分互联网企业手中,但这反而难以保证在信息市场具有支配地位的网络企业不会滥用支配地位,在非价格竞争要素的个人信息保护方面不当削减服务水平[14]。另一方面,个人信息保护关涉数字资源共享安全,需要通过公法实施排除个人信息共享与使用过程中的风险,为个人信息保护营造安全健康的市场环境。信息的生命在于流转,但流转过程中的个人信息总是面临信息泄露的安全隐患,任何一家网络寡头的安全疏漏都可能导致数千亿字节的重要用户信息被窃取。从个人信息泄露的原因来看,其不只是信息控制者缺乏网络安全防控设施建设,疏于企业合规经营教育的问题;从更深层次来讲,其在一定意义上反映了当前的数字经济治理欠缺系统化的网络安全保护理念、模式以及方法建构。若放任个人信息面临安全保护纷扰,势必会减损公众对数字经济的期待与信任,阻碍数字经济发展。上述情形下,个人信息保护便不是简单的私益问题,而是典型的公益问题——数字市场开放与安全的问题,只能借助公法实施消除有碍个人信息保护的市场因素以实现社会公共利益。 (三)优化政府数字经济治理能力的选择
数字经济时代的个人信息保护不仅是私权维护问题,更是限制公权以及提高政府数字经济治理能力的问题,这从客观上体现了个人信息公法保护的合理性。一方面,个人信息的控制者之一为政府,为防止政府在个人信息控制过程中权力运行失当,应从限制公权角度发挥公法的保护功能。诚如前文所述,个人信息的公共属性以及个人信息保护中涌现的公共问题赋予公法保障个人信息的义务。但在监管市场之余,为了提供更好的公共服务,公权力机关自身也不可避免要收集、分析、使用公民个人信息。在个人信息公用化过程中,理想状态是在“政府—个人”之间形成积极的信息运用和反馈机制,保證信息来自公众,信息分析结果服务于公众。但实际情况却是,个人信息很有可能因为不当的公权行使,如不透明的信息收集与使用、不完备的信息保护机制等而遭到侵犯[15]。为防范公权力不当行使所造成的个人信息权益损害,需要公法介入个人信息保护。另一方面,以经济社会发展的全局性视角观之,个人信息保护要求政府具备更高的数字经济治理能力,这需要公法制度培育之。个人信息是数字经济时代最具活力与价值的资源,个人信息保护问题是数字经济治理不容忽视的关键问题。公权机关介入个人信息保护的前提是什么,如何介入个人信息保护,如何缓和个人信息共享与控制的紧张关系等问题都向政府治理提出了挑战,如何在共享中实现个人信息保护更是巨大考验。而这些问题远非有限的私法理论与制度所能回答,需要通过公法制度的建构来强化政府的数字经济治理能力,实现个人信息的公法保护。
三、数字经济时代个人信息公法保护的应然取向
随着个人信息逐渐从私人领域渗入公共领域,对于个人信息公法保护的需求日益迫切。实现个人信息的公法保护归根结底来讲,是要处理好个人信息在共享背景下的保护问题,在开放式保护与封闭式保护之间、个人信息控制与使用之间作出平衡。
(一)理念取向:实现多元主体利益平衡
表面看来,公法视野下的个人信息保护最核心问题在于如何处理好个人信息控制与使用的关系,但从深层次来看,其反映了个人信息保护面临的利益纠葛,乃利益冲突的化解问题。数字经济时代,个人信息一旦开始共享便意味着其将如同一滴水汇入汪洋大海一般,会融入社会的庞大信息流,流转到可能的任何地方,在此期间经手若干信息控制者并实现其流转价值。对处于信息源头的信息主体而言,个人信息保护预示着其将获得人格尊严和自由的维护,甚至一定程度的财产利益的实现。对市场经营主体而言,个人信息是数字市场的“黄金”,通过分析、使用个人信息可以形成个性化的经营策略,有效沟通生产经营与消费,释放数字市场红利。就公共管理者而言,个人信息是实现更为优质公共服务的基础性资源,掌握公民个人信息同时也是建设智慧政府、数字政府的需要。总之,个人信息是价值的象征,其承载了多元主体的利益诉求[16]。但也因此导致个人信息保护面临多元主体利益冲突问题,譬如个人利益与市场利益的分歧、个体利益与公共利益的对峙[17]。故而,实现个人信息的公法保护需要解决多元主体利益的矛盾与纷争,以利益平衡为理念取向。
个人信息的私法保护理论以保护信息主体的个人尊严和自由为首要利益取向,这种富有私权保护主义色彩的观念极易阻滞个人信息流通,加重个人利益与公共利益、市场利益间的对峙,故不可取。公法视野下的利益平衡理念并不预设利益保护先后序位,而是主张通过多方主体利益的权衡比较,选择最有益于个人信息保护的行为举措[18]。践行个人信息公法保护的利益平衡理念需要以比例原则为支撑,要求利益的实现符合正当性、必要性和相称性原则。以有利于实现市场利益和公共利益的个人信息共享行为为例,个人信息的共享首先应有助于实现市场利益、公共利益,个人信息共享与市场利益、公共利益之间具有“手段—目的”上的契合性。其次,个人信息共享没有超越必要限度,也即对于个人信息的分享是绝对必要的,不存在能够实现市场利益、公共利益且对个人利益损害更小的方法。最后,因共享个人信息所减损的个人利益不应多于其从正当目的实现中获取的利益,因个人信息共享所造成的利益增减应保持在均衡的状态。如此,才能保证个人信息的公法保护实现多元主体利益的均衡协调,确保个人信息在共享环境下亦能获得最优保护。
(二)实践取向:实现个人信息谦抑控制
公法话语下的个人信息保护背靠数据开放的经济环境,乃是一种开放式而非封闭式的保护,如此便意味着个人信息的公法保护将遵循“共享为原则,控制为例外”的实践方向,实现对个人信息的谦抑控制。选择对个人信息予以谦抑控制,一方面在于彰显个人信息共享的价值,回应信息共享的时代要求。在传统私法保护观念影响下,个人信息保护通常以把控信息流通的方式进行,似乎将信息关进“私权笼子”就可以防范权益不被损害。但事实是,完全的制约式保护不仅不必要地加重了信息主体的维权成本,还消灭了个人信息的共享价值,甚至遏制数字经济持续发展。个人信息是数字经济焕发生命力的关键,在对个人信息的保护问题上,不宜轻易怀有保守主义心态阻碍其流通,而应对其予以谦抑控制,充分响应信息共享的号召并发挥其流通价值。另一方面,个人信息的公法保护并不否认信息不当利用的风险,谦抑控制也不代表不控制,而是主张有条件、有限度地进行控制。对于因不当利用个人信息而造成他人合法权益、社会公共利益损害的行为,特别是破坏数字市场竞争秩序、信息安全的行为,理所当然需要公法介入进行规制。但公法控制不代表回归到私法式的封闭保护环境中,而是在信息共享的大环境下关注个人信息利用行为,并制止违法违规利用个人信息的行为,更多是从行为规制角度保护个人信息[19]。
以谦抑控制作为个人信息公法保护的实践方向,一方面,应对个人信息的共享与使用持肯定态度,不得随意干预个人信息自由流通。其一,既不能以法律法规、行业规则等明文规定方式为个人信息流通制造不合理的市场壁垒,肆意介入数字市场信息交流;也不得以默示条款、隐形干预等方式为个人信息流转设置不合理的条件。其二,市场监管主体应当关注滥用市场支配地位排除、限制个人信息流通的行为。特别是在个人信息符合必要基础设施基本条件的情况下,拒绝数据抓取行为很有可能成为反垄断法的规制对象。另一方面,应当明确控制个人信息的条件,换言之,应对个人信息使用的禁止性情形做具体清晰的说明。可以通过“概括式+列举式”相结合的立法模式构建个人信息使用的禁止性规范,明文规制有碍数字经济市场秩序建构、数字安全维护,以及其他有损社会公共利益实现的个人信息使用行为。如此,既能保证执法、司法工作获得具体法律依据,又能通过对概括性条款的解读保持规范的适用弹性。概言之,数字经济时代的立法、执法、司法应对个人信息利用价值予以肯定和认同,但也应当保持警醒,防范不当利用个人信息所造成的损害。 四、数字经济时代个人信息公法保护和私法保护的耦合
选择个人信息公法保护之道不代表完全放弃私法保护,而是将二者有机结合贯通在一起。数字经济时代,个人信息兼具公私权属性且很多时候同时关涉公益与私益,在解决公法问题的过程中也离不开对基本私法问题的探讨。理应通过构建分层式的权义规则、复合型的责任体系、多元化的监管模式以及综合性的保障方法,将公私合治精神贯穿于个人信息保护法治体系建设当中,塑造数字经济时代个人信息保护的公私法耦合之路。
(一)创设分层式的权义规则
分层式的权义规则表明,个人信息保护不是无差别的笼统保护,而是区分对象与情境的具体化保护,其根据个人信息的不同类别及其不同流向設置不同的权义规范。首先,明确个人信息的保护类型,根据个人信息不同类别确定框架式的保护规则[20]。由于个人信息的敏感度不同,故可有区别地将个人信息划分为一般信息、重要信息和关键信息。其一,对于涉密程度较低或者说基本不涉密的一般个人信息,可以将之归入一般保护的范畴,不得轻易限制其流通。其二,对于具有一定隐秘性的重要个人信息,因其大多具有流通价值,需要经过信息主体允许方能被公开使用,故应针对此类个人信息利用建立完善的义务规则。其三,对于可能触及隐私的个人信息,应当通过法律明文规定的方式予以权利化保护,对此类个人信息的开放与使用应持审慎态度。其次,在明确个人信息类型化保护的一般规则之后,针对其不同流向制定不同权义规范。一方面,对于倾向“利用为主、控制为辅”的一般个人信息与重要个人信息,应重点以行为规制式的公法义务规范保护之。既要个人信息控制者以积极态度履行信息保护职责,如主动建立开放透明的信息收集机制、规范合理的信息利用机制、充分完备的信息风险防控机制;又要禁止信息控制者滥用控制资格,制止过度收集个人信息行为以及不当利用个人信息行为,如大数据杀熟、拒绝信息共享、未做“去个人化”处理等。另一方面,对于侧重“控制为主、利用为辅”的关键个人信息,应侧重以私法赋权规则保护之。不仅需要完善宪法、民法、行政法、诉讼法等既有法规对个人信息权作概览性的规定和认可;还需通过具体规则构建个人信息权利体系,如依靠《个人信息保护法》对个人信息权予以精细化解构,以知情权、同意权、删除权、变更权、收益权等子权利丰富个人信息权的内涵,并设置权利行使的例外规则[21]。
(二)构建复合型的责任体系
个人信息保护是周期性、全局性的过程,在此期间关联多方主体并涉及多种情境,由此导致责任体系的建设不得不充分考虑责任主体的多元性、责任类型的多样性以及追责情况的多变性,最终形成复合型的个人信息保护责任体系。确立复合型的责任体系,首先需要准确界定多元主体的责任等级。在个人信息流通使用的过程中,信息控制者是最为重要的责任主体,但细究之下不难发现,信息控制者可被细化为信息收集者、处理者、加工者、管理者等,且不同主体的信息控制职责不同。确定上述主体的个人信息保护责任不宜笼统规定了之,而应通过个人信息风险评估系统量化各个主体职权行使的风险大小,并对照风险等级设置差异化的主体责任等级[22]。职权越大,风险越大,责任等级便越高。其次,促进个人信息保护责任序列化、层次化配置,构建民事责任、行政责任、刑事责任混溶的责任体系。信息控制者责任类型的配置应与责任等级相匹配,以确保罚则谦抑、罪责相当。对于能够通过消除影响、赔礼道歉、纠正不当等予以化解的不再通过财产罚、行为罚予以追究,对于能够通过一般民事处罚解决的不再动用刑事重罚以兹威慑,但同时触及多方利益的,需要多种责任类型并处。最后,根据个人信息保护个案的具体情况,在责任等级序列下灵活选取追责类型。由于责任主体所处责任等级不同,故而各个等级的追责起点有所差异;但在同一责任等级之内,不同个案情况仍旧导致不同程度的责任承担。明确个人信息保护责任,应当充分考虑个人信息控制者违法行为的具体表现与构成、危害程度及社会影响等内容,综合权衡之下做出最适宜的处罚。
(三)确立多元化的监管模式
个人信息公私法保护的实现离不开多元化的监管机制,需要广泛联合各方群体发挥监管合力,通过个人监管、企业自我监管、政府监管等构建起一体化的个人信息保护监管机制。其一,实现个人信息保护私人监管。一方面,强化公民信息安全意识,通过宣传、教育等方式引导信息主体依法维权;另一方面,开放网络平台、热线电话等渠道,允许信息主体针对个人信息保护违法行为进行投诉、申诉、举报,鼓励个人就信息保护工作提出意见和建议。必要时可辅助以社会监管,通过消费者权益保护机构或者建立专门的个人信息保护组织监管个人信息保护和利用活动。其二,推进个人信息保护的企业自我监管。首先,应将个人信息保护纳入企业合规建设当中,增强企业对于个人信息保护的认同感和社会责任感。其次,组建专门的个人信息保护监管机构或人员,通过设立“个人信息保护官”制定企业内部个人信息保护规则,考察、分析、报告企业的个人信息保护状况并予以惩戒,甚至参与企业经营战略制定,提供个人信息保护的意见和建议[23]。最后,遵循“设计即隐私”的理念,充分利用智能技术监测个人信息从收集、利用到再分享过程中的风险,并采取与之相应的风险防范措施[24]。其三,落实个人信息保护的政府监管。一方面,建立专业化、技术化、体系化的个人信息保护监管部门,在维护个人信息境内流通安全的同时,增强保障公民个人信息跨国流通中合法权益的能力。另一方面,明确监管职责,细化监管措施。通过具化政府监管权责与措施,明确权力行使的方式、范围和责任以防止不当干预个人信息使用;同时,将监管权责的行使要求融入对个人信息控制者的审查、评估、检查以及追惩措施中[25]。
(四)践行综合性的保障方法
个人信息保护是全局性、长远性的时代命题,公私合治的实现仅仅依靠分层式权义保护规则、复合型责任体系以及多元化监管模式等法内制度建设并不足够,还应尝试融入法外元素,从技术、伦理角度夯实个人信息公私法保护的耦合之道。一方面,鼓励研发个人信息保护和利用技术,通过技术应用创新个人信息保护方式,提升个人信息保护水平。首先,构建基础性、公共性的信息安全网络,在家庭、企业、政府网络建设中嵌入个人信息保护通用指令,确保个人信息在用户端、企业端、政府端网络均得到保护。其次,强化信息控制者的信息安全网络建设。将身份认证、加密保护、泄露通知、监管共享等信息保护技术加入个人信息收集、使用、再分享、再使用系统当中,促使个人信息保护法律要求转换为安全代码[26]。最后,积极引导科技向善,杜绝利用cookie、爬虫技术等不当收集个人信息,并滥用“技术中立”抗辩规避法律处罚。另一方面,塑造数字经济时代个人信息保护的基本伦理。个人信息是个人身份的认证标示,兼具人格气质与经济价值。保护个人信息,维护信息主体意志自由与尊严并实现个人信息价值是个人信息保护立法所欲达致的目标,同时也是确保私人空间不被随意侵入的人伦义理和数字经济社会基本的商业道德,这份伦理道德与传统公私法的基本理论不谋而合。因此,个人信息保护并不是简单的法律问题,在一定程度上更融入了对经济伦理、社会公德的考量,实现个人信息公私法保护之耦合需要以个人信息保护伦理为基础,从根本上获得个人、社会与国家的认可与支持。 结语
个人信息保护是数字经济时代的重要命题,如何实现个人信息控制与利用的平衡是不容小觑的挑战。传统私法保护理论虽有一定的合理意义,但容易导致个人信息困于“偏重控制,弱化使用”的窘境;数字经济社会事实上更渴望以开放共享的心态变现个人信息的流通价值,增强信息经济的热情与活力。因而,个人信息保护应是数据共享话语环境下的保护,而非单纯的“封闭式”保护。必须正视个人信息的公共属性以及个人信息保护中的公益维护和公权规制问题,发挥公法保护个人信息效用,以利益平衡的理念导向和谦抑控制的实践方向担纲个人信息公法保护之重任。当然,个人信息保护是多重利益错综纠结的现实问题,私法保护、公法保护皆不应当偏废,理想路径当是实现个人信息公私法保护之耦合,通过构建分层式的权义规则、复合型的责任体系、多元化的监管模式以及综合性的保障方法,确保公权私权合理配置,公益私益均衡维护。如此,方能实现个人信息法律保护制度的规范化、系统化建构,弥合横亘于个人信息控制与使用之间的制度鸿沟,满足数字经济持续、健康发展的需要。
参考文献:
[1] 齐爱民.论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间[J].法学评论, 2011(3)∶37-44.
[2] 王利民.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学, 2013(4)∶62-72.
[3] 项定宜.论个人信息财产权的独立性[J].重庆大学学报(社会科学版),2018(6)∶169-180.
[4] 龍卫球.数据新型财产权构建及其体系研究[J].政法论坛, 2017(4)∶63-77.
[5] 齐爱民.拯救信息社会中的人格[M].北京大学出版社, 2009∶77 .
[6] 张里安,韩旭至.数据时代下个人信息权的私法属性[J].法学论坛, 2016(3)∶119-129.
[7] 刘德良.个人信息的财产权保护[J].法学研究, 2007(3)∶80-91.
[8] 程啸.论大数据时代的个人数据权利[J].中国社会科学, 2018(3)∶102-122+207-208.
[9] 张素华.个人信息商业运用的法律保护[J].苏州大学学报, 2005(2)∶36-39.
[10]王晓锦.人工智能对个人信息侵权法保护的挑战与应对[J].海南大学学报(人文社会科学版), 2019(5)∶126-134.
[11]高富平.个人信息保护:从个人控制到社会控制[J].法学研究, 2018(3)∶84-101.
[12] Edward J. Janger & Paul M.Schwartz. The GrammLeachBliley Act,Information Privacy,and the Limits of Default Rules[J]. Minnesota Law Review, 2002(86):1249-1261.
[13]王泽鉴.人格权法[M].北京大学出版社, 2013∶200.
[14]韩伟,李正.反垄断法框架下的数据隐私保护[J].中国物价, 2017(7)∶34-37.
[15]王学辉,赵昕.隐私权之公私法整合保护探索——以“大数据时代”个人信息隐私为分析视角[J].河北法学, 2015(5)∶63-71.
[16]高富平.个人信息使用的合法性基础——数据上利益分析视角[J].比较法研究,2019(2)∶72-85.
[17]王岩,叶明.人工智能时代个人数据共享与隐私保护之间的冲突与平衡[J].理论导刊,2019(1)∶99-106.
[18]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3)∶38-59.
[19]Thomas Hemnes. The Ownership and Exploitation of Personal Identity in the New Media Age[J].12 J.Marshall Rev. Intell. Prop. L.,2012(1)∶1-39.
[20]史为民.大数据时代个人信息保护的现实困境与路径选择[J].情报杂志,2013(12)∶155-159+154.
[21]王晓芬.个人信息的法律属性及私法保护模式探究[J].河南财经政法大学学报,2016(5)∶64-70.
[22]范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016(5)∶92-115.
[23]王楠. GDPR“数据保护官”制度探析——兼论其对中国的启示[J].电子知识产权,2019(6)∶16-26.
[24]周汉华.探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向[J].法学研究,2018(2)∶3-23.
[25]吴伟光.大数据技术下个人数据信息私权保护论批判[J].政治与法律,2016(7)∶116-132.
[26]邓志峰.通过设计的个人信息保护[J].华东政法大学学报,2018(6)∶51-66.
【责任编辑:张亚茹】
转载注明来源:https://www.xzbu.com/4/view-15130256.htm
