《个人信息保护法律体系的宪法基础.docx》由会员分享,可在线阅读,更多相关《个人信息保护法律体系的宪法基础.docx(12页珍藏版)》请在第一文库网上搜索。
1、信息保护法雌系的宪现础本文由王锡锌教授提出基本框架(四步论证结构)与核心立场(个人信息保护法律体系以宪法上个人信息受保护权为基点),由彭藩助理教授细化对民事权利基础说的反思和对个人信息受保护权基础说的论证,由两位作者多次讨论修改完成。一、问题的提出:探寻个人信息保护法律体系的概念基础随着数字时代的深入发展,个人信息的法律保护巳成全球共识。在我国,网络安全法电子商务法民法典相继实施,数据安全法个人信息保护法即将出台,个人信息保护法律体系已初具规模。在此背景下,探寻何为该体系的概念基础(COnCePtUa1Foundation),对充分解稀和有效规范该体系的核心概念,具有承前启后的重要意义。“承前
2、”意义在于从恰当的概念基础出发,可以推导出一幅内部逻辑协调的“就念地图”,为既存的个人信息保护规范提供系统化说明;“启后1意义则在于揭示现行立法与实践之不足,为下一步改进完善提供查漏补缺的指引。对此,学界目前的主流观点有二:首先,应以法律权利作为我国个人信息保护法律体系的慨念基础。尽管有学者提出个人信息处理规制的行为主义进路,试图绕开个人信息赋权的难题,(1)参见梅夏英:在分享和控制之间:数据保护的私法局限和公共秩序构建,栽中外法学2019年第4期,第845-870页:冯果、薛亦飒:从权利规范模式”走向“行为控制模式的数据信托一数据主体权利保护机制构建的另一种思路,栽法学评论2023年第3期,
3、第7073页。但这是绕不开的,因为对信息处理者特定行为是否规制、如何规制,归根结底取决于信息主体对个人信息是否享有、享有何种值得法律保护的利益。只有在确定个人信息权益究竟属于何种法律权利的基础上,才能进一步推演相应的法律义务、责任和规范,达至1套个人信息保护法律体系。其次,在此前提下,学界主流观点认为我国个人信息保护法律体系的概念基础是作为民事权利的个人信息权,据此推导出信息处理者负有不得侵害个人信息的民法义务,民事责任是个人信息保护的基本手段,民法典是个人信息保护领域的基本规范,同其它个人信息保护立法(如个人信息保护法)属于1般法和特别法的关系。(2)对此下文将评述。本文赞同我国个人信息保护
4、法律体系应以法律权利为概念基础,但认为恰当的选择并非作为民事权利的个人信息权,而是作为宪法基本权利的个人信息受保护权。具体论证分三步展开:第一,梳理民事权利基础论的理路,剖析其三项核心命题,并展开反思;第二,论证个人信息保护能在我国宪法上获得安顿,并应以个人信息受保护权1的概念来表达;第三,在宪法上个人信息受保护权的视野下,通过展开其内容、功能与限制,速构我国个人信息保护法律体系。二、重省民事权利基础论(-)民事权利基础论之理路民事权利基础论包含以下三项核心命题:第一,主张个人信息本身是民事权利客体。理由如下:基于民法典3第111条,认为若个人信息不是民事权利,则“立法者不可能在作为民商事领域
5、基本法的民法典中做出规定,更不会在其总则编的民事权利章中加以规定”。(3)程啸:论我国民法典中个人信息权益的性质,栽政治与法律2023年第8期,第3-4页。认为个人信息权本质上是一种对世.排他、绝对的个人信息自决权,保护自然人对个人信息的自我占有和支配。(4)杨立新:个人信息:法益抑或民事权利一对民法总则第111条规定的“个人信息”之解读,载法学论坛2018年第1期,第41页O认为个人信息权是新型、独立的人格权,除传统人格权消极防御的特性外,还有积极控制的面向,派生出信息知情、同意、查询、修改、更正、删除等权能。(5)王利明:论个人信息权在人格权法中的地位,载苏州大学学报(哲学社会科学版”20
6、12年第6期,第74页:同上注,杨立新文,第42页;另见张里安、韩旭至:大数据时代下个人信息权的私法属性,载法学论坛2016年第3期,第128129页;张红:民法典(人格权编)一般规定的体系构建,栽武汉大学学报(哲学社会科学版)2023年第5期,第155173页。第二,主张个人信息权益不具有公法权利属性。理由如下:认为作为民法权利的个人信息权可对抗任何组织或个人的侵害。公权力机关侵害个人信息权,私权利主体同样可要求其承担法律责任。(6)同前注(3),程啸文,第6页。认为“尽管实践中对个人信息采用刑法、行政法等多重保护机制,但并不影响个人信息权为民事权利的基本属性。为了全面保护民事主体的利益,在
7、民法之外,通过刑法、行政法乃至社会法来保护民事权利,是法律保护的常态表现工(7)同前注(5),王利明文,第69页。认为处理个人信息的公、私主体虽然“在处理目的、合法性基础等方面存在不同,但不因此导致自然人与处理者之间关系的区别。信息处理者与自然人之问的法律地位是平等的。国家机关与非国家机关,均负有不得侵害自然人民事权益的义务。在私权利保护的问题上,不存在公权力机关比非公权力机关处于更优越地位的情况(8)同前注(3),程啸文,第56页。“尽管个人信息受保护权的使用、收集过程中存在着行政管理部门的公法行为,但这只需要规定政府部门在信息管理过程中的职责与责任即可,个人信息保护法的核心内容应是民法规范
8、,政府部门的公权在个人信息领域不宜膨胀。”(9)严鸿雁:论个人信息权拉的民事权利性质与立法路径兼评个人信息保护法)(专家袋议稿)的不足,载情报理论与实践2013年第4期,第46页。第三,主张从信息主体的个人信息权出发,以“信息结理者民法义务一侵权者民法责任一民法典规范”的逻辑,建构个人信息保护法律体系。理由如下:认为包含公权力机构在内的所有社会主体均负有不侵犯个人信息权的民法义务。(10)同前注(5),王利明文,第69页。认为“只有民事责任能真正弥补信息主体的损害,因为其主要形式是赔偿损失,以恢复被侵害人的权益为目的,(11)同前注(9),严鸿雁文,第46页。主张“我国民法典人格权编对个人信息
9、保护的规定,并非简单的一部法御对个人信息保护的规定,而是具有如同欧盟基本权利宪章第8条关千个人信息保护规定相同法律地位的规定”。“只有在民法典中确认个人信息权后,才能为个人信息保护的特别立法提供民事基本法依据.(12)同前注(5),王利明文,第70页;另见王利明:民法人格权堵(草案室内稿)的亮点及改进思路,载中国政法大学学报2018年第4期,第121页;程啸:民法典编纂视野下的个人信息保护,载中国法学2019年笫4期,第33页。公允地讲,上述观点并非囿于学科门户之见,而是具有深刻现实背景和重大历史意义。随着信息技术商速推进,个人信息面临巨大风险,传统隐私保护捉襟见肘,亟需新的法律解决方案。以2
10、000年全国人大常委会关于维护互联网安全的决定为起点,我国的个人信息保护法律制度逐步完善,但直到2023年民法典出台,才一改此前间接、零散的立法进路,在民事基本法的高度规定个人信息受法律保护。相较于行政法、刑法等其它部门法,在该领域,确实是民法提供了迄今最有力、最全面的法律回应。这正是众多学者强调民事权利、义务、责任和规范在个人信息保护法律体系中基础性地位的现实背景。而民法保护体现了对个人信息所承载的尊严、人格、隐私、财产等重大利益的关照,对一个私权保障仍在途中的国家,具有不可否认的历史意义。然而,民事权利基础论内含的三项命题在理论和实践层面均值得反思。(二)民事权利基础论之反思第一,将个人信
11、息作为民事权利客体与民法既有慨念体系存在张力。理由如下:民法典第111条并未明确规定“个人信息权,有别于第110条规定“姓名权、肖像权、名誉权、荣誉权、隐私权,早在民法总则起草时,个人信息是不是民事权利就有争议,(13)参见张新宝:(民法总则个人信息保护条文研究,载中外法学2019年第1期,第65-67页。但民法典最终没有规定个人信息权。这并非立法机关的无心之失,而是基于对个人信息特性的深刻洞察。与传统的人格、财产权客体不同,个人信息没有特定性、独立性,也非无形物,不能归入表彰民事权利的客体。(14)参见梅夏英:数据的法御属性及其民法定位,载中国社会科学2016年第9期,第164页。更重要的是
12、,它具有非排他性、非损耗性,兼具流通和控制双重价值,不能也不应成为绝对、排他、对世的权利对象,否则将阻碍数字社会的纵深发展。(15)这一点早已为众多民法、公法学者反曳阐明。参见吴伟光:大数据技术下个人数据信息私权保护论批判,我政治与法律2016年第7期,第129页:丁晓东:个人信息私法保护的困境与出路,俄法学研究2018年第6期,第194206页;同前注(1),梅夏英文,笫848849页。即使赋予信息主体此种民事权利,也远非最佳保护手段,因为个人信息保护要解决的核心问题是个人与信息处理者之间的“非对称权力结构(16)王锡锌:个人信息国家保护义务及展开,载中国法学2023年第1期,第147页。个
13、体主义权利进路下,个人信息权极易沦为纸面上的权利,(17)丁晓东:个人信息的双重属性与行为主义规制,载法学家2023年第1期,第70页;另见张新宝:我国个人信息保护法立法主要矛盾研讨,裁吉林大学社会科学学报2018年第5期,第50页。可以说,立法者正是洞察到上述问题,才选择不在民法典中明文规定“个人信息权”。实事求是地讲,对个人信息权的上述局限,民法学者早有认识,故提出新型人格权说,试图缓和传统人格权独占、排他的性质,以顺应信息时代之巨变。然而,这是以突破传统民法教义为代价的。如所周知,民法的经典叙事是:人格权不得转让,但民事主体可将部分人格利益以许可使用的方式允许他人利用。(18)参见民法典
14、第992、993条。人格权以占有、保护为原则,以流转、交易为例外。但个人信息并非如此,在现代社会,其保护和流转价值并重,不存在孰为前提、孰为例外。这也能解释为什么民法典第993条在设定人格利益许可使用制度时,只列举了姓名、名称、肖像,而没有提及个人信息,因为个人信息的流转、交易与传统民法上的人格利益许可使用并不相同。(19)有学者指出,寥见民法典第993条在列举这三类人格要素后使用了等字,表明列举是不完全的,个人信息也可以许可他人使用。程啸:我国民法典对人格要素商业化利用的规范,载人民法院报2023年12月17日,第5版。但这无法解卷为什么民法典第993条在设定合理使用人格利益制度时,除了姓名
15、、名称、肖像,迁明文列举了个人信息。这意味着要把个人信息保护塞入民法人格权框架,很大程度上必须破坏其原有结构。(20)部分民法学者提出的个人信息新型财产权说也面临相同的挑战。参见龙卫球:数据新型财产权构速及其体系研究,载政法论坛2017年第4期,笫70-73页;刘德良:个人信息的财产权保护,载法学研究2007年笫3期,第80页。当然,民法学者可回应道:为了与时俱进,突破传统民法是应付的代价。但更难应对的问题是:个人信息权无法派生出知情、查询、修改、保密、删除等权能,因为它们本质上是在“服务一种特定的立法目的,即有效地阻止个人信息被非法灌用,而非使信息为个人所独占,(21)同前注(1),梅夏英文,第849页。第二,个人信息权益不仅具有民事权利属性,也具有公法权利属性。理由如下:作为民事权利的个人信息权无法对抗公权力机关。一个法学常识是:民事权利和公法权利的核心差异在于前者对抗平等民事主体,后者对抗国家。这当然不是说公权力机关可以不尊重民事权利,而是说当公权力机关以平等民事主体身份於理个人信息时,需要琮重其所承栽的民事权益。一旦公权力机关履行公共管理职责而处理个人信息,则需尊重个人信息公法权利。在民法典之前,早有一系列法律规定了对抗国家的个人信息公法权利,包括护照法第12条、居民身份证法第6条、国家情报法第19条等。民法典不会覆盖或推翻这些先在立法。事实上,就连民法典第1