个人信息权立法完善的路径与选择

王 璨

(中南财经政法大学刑事司法学院 武汉 430073)

我国互联网络信息中心于2022年8月发布的第50次《中国互联网络发展状况统计报告》显示,截至2022年6月,个人信息泄露占网民遭遇的网络安全问题的比例最大.因而,个人信息权的保护成为我国近年来关注的问题.尽管《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)将我国对个人信息权的立法保护提升到新的高度,但是由于我国对信息权保护的相关立法起步较晚,仍需进一步完善.而以美国为代表的国家较早地关注到信息开发与保护的博弈,积累了更多的经验与教训.本文将从我国个人信息权保护的立法现状入手,分析其主要问题,接着引入美国在个人信息权保护方面的优势和不足,对我国个人信息权保护的立法路径提供建议,以期完善我国对个人信息权的立法保护.

1 个人信息权的涵义

关于个人信息权的涵义,学界存在不同的见解:一种见解是将个人信息权理解为与个人信息收集、使用和处理等相关的权利[1];另一种见解将个人信息权理解为个人信息自决权[2];还一种见解将个人信息权理解为个人信息受保护权[3].本文认为,无论从实践情况出发(1)在实践中,由于信息主体与信息处理者地位的不对等性,信息主体鲜有机会行使个人信息自决权.因而相较于个人信息自决权,个人信息受保护权才是信息主体所需要的.,还是从我国的立法取向出发(2)《民法典》《消费者权益保护法》第14条、《网络安全法》第64条、《个人信息保护法》第2条等法律内容都是将个人信息权解释为个人信息受保护权的体现.,都应当将个人信息权理解为个人信息受保护权.就性质而言,其兼备私人性与公共性、人格属性与财产属性[4].

个人信息权的保护对象为个人信息,因而对个人信息权的保护体现为对个人信息的保护.《中华人民共和国民法典》(以下简称《民法典》)第1034条第2款、《个人信息保护法》第4条与《中华人民共和国网络安全法》(以下简称《网络安全法》)第76条第5项都规定了个人信息的定义,将“可识别性”作为个人信息的核心.

然而,个人信息权与隐私权常常被混为一谈,有必要厘清二者之间的关系.根据《民法典》第1032条的规定,隐私权的保护对象包括私密空间、私密活动和私密信息;根据《民法典》第1034条的规定,个人信息被划分为私密信息和一般信息.根据《个人信息保护法》,个人信息则被分为敏感个人信息和普通个人信息.这两部法律为个人信息权与隐私权的界分提供了指引,因此,在本文看来,个人信息权与隐私权是交叉关系,而非包含关系.就保护规则的适用而言,隐私权的保护规则有时会与个人信息权的保护规则发生竞合,应当区分不同的情形选择保护规则.当个人信息属于私密信息时,应当适用隐私权保护的相关规则.当个人信息属于非私密信息时适用个人信息保护规则.

2 我国对个人信息权的立法保护现状及其问题

2.1 我国对个人信息权的立法保护现状

我国就个人信息权保护的相关立法数量较多,种类丰富,涵盖多个特殊领域.相关立法不仅包括法律、行政法规、地方性法规、行政规章等不同性质的规范性文件,而且为多个特殊领域的个人信息权提供保护.《个人信息保护法》的出台标志着我国对个人信息权的法律保护上升到新的台阶,几乎将个人信息权的权利基础提升至基本权利范畴[5],向个人信息权立法保护的体系化、统一化迈进,并走向公私法协同保护的局面.具体而言,保护信息权的私法主要为《民法典》《中华人民共和国消费者权益保护法》等,公法主要为《个人信息保护法》(关于《个人信息保护法》的属性,学界存在争议,本文采用公法属性说),《网络安全法》,《中华人民共和国国家情报法》,《中华人民共和国数据安全法》,《中华人民共和国反垄断法》等.据此,有学者认为,我国就个人信息权已形成公私法协同保护的局面[6].然而,尽管我国有关个人信息权保护的相关立法已取得较大成就,但仍存在进步空间.

2.2 我国对个人信息权立法保护存在的问题

2.2.1 相关规范性文件未能有效衔接

一方面,我国在近年才开始重视个人信息权保护问题,因而在以往的立法中有关个人信息权保护的规定并不细致谨慎,由此产生了衔接上的问题.例如,《中华人民共和国政府信息公开条例》第15条与《中华人民共和国行政处罚法》第50条仅对个人隐私权作了特别保护的规定.另一方面,尽管《个人信息保护法》凝结着近年来我国有关个人信息权保护的先进成果,其他法律、法规的内容却并未及时根据其规定进行相应调整,因而也存在衔接上的问题.例如,某些法律规范就个人信息分类、个人信息处理者义务等的规定并不统一,导致在适用过程中不可避免地发生竞合或冲突.

2.2.2 相关规范性文件位阶不明

在保护个人信息权的诸多规范性文件中,《全国人民代表大会常务委员会关于加强网络信息保护的决定》的性质十分特殊,是属于有关法律问题和重大问题的决定.该决定第5条规定网络服务提供者发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施.《网络安全法》第47条规定针对法律、行政法规禁止发布或者传输的信息采取消除等措施.部分学者认为,有关法律问题和重大问题的决定其效力位阶低于法律,还有部分学者认为情况不宜一概而论[7].

2.2.3 特殊领域的个人信息权立法保护不成体系

从现行法律来看,我国着意对特殊领域的个人信息权进行保护.例如,在经济法领域,对个人信息权的保护以金融业态为分类依据,制定的相关法律包括《中华人民共和国商业银行法》《中华人民共和国反洗钱法》《中华人民共和国证券法》《中华人民共和国银行业监督管理法》《中华人民共和国保险法》《中华人民共和国消费者权益保护法》等.尽管某些法律较为全面地涵盖了相关领域的个人信息权保护,但并未形成以某部法律为中心的特殊领域信息权保护体系.

2.2.4 部分地方缺乏立法能动性

我国地方就个人信息权保护的相关立法存在2方面的问题:一方面,就个人信息权保护进行创制性立法的地区数量少.就地方立法现状来看,我国仅有少部分地区就个人信息权保护进行了创制性立法,这与我国的行政区域数量是不成比例的.另一方面,中央立法与地方性立法未能形成良好互动.尽管我国部分地区早在《个人信息保护法》颁布之前就针对本地区的实际情况对个人信息权的立法保护作了探索,如《浙江省信息化促进条例》《河北省信息化条例》《天津市社会信用条例》等,但自《个人信息保护法》颁布之后,地方有关个人信息保护的立法陷入停滞局面.具体而言,已颁布地方立法的地区有些未能根据《个人信息保护法》作出及时调整,而尚未颁布本地区个人信息权保护创制性立法的地区有些未能跟进立法.

2.2.5 公权力主体对个人信息权的保护存在监管漏洞

关于国家机关这一公权力主体对个人信息权的保护,相关规定并不具体.一方面,我国部分法律对收集个人信息的授权规定不够清晰,在部分事宜上以内部文件为执法依据,导致个人信息收集过程不透明,无助于对个人信息权的保护[8].此外,某些法律仅规定某些公权力主体有保护个人信息的职责,但既未对其保护方式作具体规定,也未对个人信息的使用过程作到全程监管.另一方面,相关法律对监管主体的规定不甚明确,即使有法律明确指出了监管主体,但没有进一步的细化规则,缺乏操作性.

3 美国对个人信息权立法的优势和不足

与我国不同,美国并未区分个人信息权与隐私权,因而与个人信息权保护相关的立法大多冠以隐私权的名称.作为较早关注个人信息权并对其进行立法保护的国家之一[9],美国就个人信息权的立法保护积累了丰富的经验和教训,有助于我国选择性参考借鉴.

3.1 美国个人信息权保护的优势

其一,就特殊领域的个人信息权保护立法较为完善.美国为特殊领域的个人信息权保护通过了一系列法案,包括《信息自由法案》《公平信用报告法》《隐私权法案》《家庭教育权利和隐私权法案》《电子资金转移法》《金融隐私权法案》《隐私保护法》《电缆通信政策法案》《电子通信隐私法》《视频隐私保护法案》《电话消费者保护法》《司机隐私保护法案》《儿童在线隐私保护法案》《金融现代法案》以及《公平和准确信用交易法》等,基本形成了相应特殊领域的个人信息权保护均有法可依的局面[10].

其二,各州具有立法能动性,使联邦立法与各州立法形成了良性互动.美国对个人信息权的保护不仅体现在美国宪法中,还体现在各州的法律中.美国宪法第4、第5和第14条修正案都体现了对个人信息权的保护.而各州则通过了适用于本州的个人信息权保护法规.由于发展水平的差异,各州对个人信息保护的力度不同,例如,马萨诸塞州、纽约州、加利福尼亚州对本州的个人信息权进行了强有力的保护.值得一提的是,加利福尼亚州在个人信息权保护方面较为出色,其出台的《加州在线隐私法案》对美国个人信息权保护法律框架的构建起到了重要作用[11].由此,美国各州立法与联邦立法形成了良性互动,共同助力美国对个人信息权的保护.

3.2 美国个人信息权保护的不足

其一,美国对个人信息权的保护采取分散立法的形式,缺乏“单一的、总体的隐私法”[12],导致其对个人信息权的保护既不系统,也不全面.分散的立法形式和特定行业保护系统决定了其具有狭窄的信息权保护范围.同时,分散立法模式引发了多头监管的困境,因而美国在很大程度上依赖特定行业的自我监管[13].然而,当个人信息利用带来巨大价值而个人信息保护要付出高昂成本时,行业通常会选择最大限度地利用个人信息,导致个人信息权无法得到有力保障.

其二,相关立法模糊公权力主体收集信息与侵犯个人信息权的边界.在1976年的美国诉米勒案中,法官根据多数意见得出结论称:“当(个人)选择使用银行时,就是选择自愿将私人金融活动暴露于银行及政府之下”.然而,这一判决招致了公众的不满[14].作为回应,美国于1978年通过了《金融隐私权法案》.该法案虽然禁止金融机构在未通知客户和未征得其同意的情况下披露客户记录,却允许金融机构在对搜查令、传票或政府当局的书面请求作出响应时,披露客户记录.因而,虽然该法案在一定程度上保护了个人金融信息,但它仍未消除公权力恣意侵犯个人信息权的风险[15].为加强政府对个人信息的监管,美国在法律规范和判例中承认政府有权干预个人信息,给公民的个人信息权保护带来了风险．例如,美国于2001年颁布的《爱国者法案》中规定:金融机构之间或金融机构与政府间可以以国家安全的名义共享消费者的个人金融信息,而不必通知消费者、法院或公众,这无疑为政府不经个人同意而收集个人信息提供了法律背书.

4 我国对个人信息权立法路径的建议

构建具有中国特色的个人信息权保护法律体系道阻且长,可以在汲取美国立法经验的基础之上,根据我国实际的国情进行相应调整.

4.1 注重诸法之间的衔接

为形成保护个人信息权的合力,应当注重诸法之间的衔接.例如,针对相关法律,立法机关可以将个人信息纳入保密职责范围之内,使诸法更好地衔接.此外,还要注重诸法与《个人信息保护法》之间的衔接.例如,关于《民法典》与《个人信息保护法》之间的关系,学界存在分歧:一种观点认为二者是一般法与特别法的关系,应当优先适用《个人信息保护法》[16];另一种观点认为二者的关系较为复杂,不能一概而论[17].本文倾向于后者.同时认为,适用时应根据实际情况,秉持并存协调原则,采取得当方法处理二者之间的关系[18].

4.2 明确相关规范性文件的法律位阶

应当尽快出台法律解释,以明确相关规范性文件的法律性质,厘清其法律位阶,构建完善的个人信息立法保护体系.此外,我国与个人信息权保护相关的法律处于不同的效力位阶,并未形成以某一部或者某几部法律为中心的统一法律体系,缺乏体系性.应当遵循统一立法模式,注重同位法之间的互补关系、上位法与下位法之间的协调关系.最终就个人信息权保护形成以《个人信息保护法》为中心、其他相关法律为辅助支撑的体系,并力求做到各领域法律与个人信息权相关的术语概念、保护原则、立法目的等一以贯之,从而使每部法律各司其职,最大限度地发挥作用[19].

4.3 就特殊领域个人信息形成完善的法律保护体系

应当就特殊领域的个人信息权保护形成专门的法律文件,这样既便于公众洞悉某领域的个人信息权保护情况,又便于司法者、执法者开展司法、执法活动.但同时,分散性的立法会使个人信息权的保护范围狭窄,同时存在监管不力的问题.因此,应在对特殊领域个人信息权进行立法保护的同时,明确《个人信息保护法》在个人信息权保护领域的基本法地位,使立法模式从分散趋向于统一.例如,就个人金融信息的保护而言,应当注重使用类型化思维使不同金融业态有关个人金融信息保护的法律规定相互协调.

4.4 充分发挥地方立法的能动性

我国应当充分发挥地方立法的能动性,使中央和地方立法形成良性互动[20].地方可以结合自身经济发展情况,充分发挥创制性立法的优势以及地方立法的能动性,出台符合地方实际情况的、与个人信息权保护相关的法律法规,促进本地区对个人信息权的保护.

4.5 在立法中完善对公权力主体的监督

必须在立法中明确公权力主体对个人信息权的监管义务以及具体的监管主体.就我国的立法而言,对义务内容的规定要同《网络安全法》《个人信息保护法》相协调,并且处理个人信息要遵循合法、正当、必要的原则.同时,个人信息收集要有明确的法律授权.

5 结 语

我国近年来对个人信息权的立法保护已取得长足的进步[21].不过,我国对个人信息权的保护起步较晚,在立法上仍有诸多不足.但只要立足我国国情,充分借鉴先进经验,就一定能走出一条具有中国特色的个人信息权立法保护之路.