個人信息有序共享的法理言說與制度構建

夏 偉

一、 問題緣起:個人信息保護與共享的制度平衡困境

傳統社會向現代社會的轉型變遷對個人信息保護體系建構具有極強的內在塑造力。信息網絡化與科技跨越式發展重塑了個體之間、個體與社會之間的關系,并使個人信息領域的舊問題與新問題“共時態”地存在于現代社會。在數字經濟時代,以數據為主要存在形式的個人信息,一方面需要受到法律的全面保護,另一方面作為資源要素的個人信息如何被“高效流通使用、賦能實體經濟”(1)蒲實:《加快構建數據基礎制度體系》,《學習時報》2022年7月11日,第1版。以充分釋放生產潛能,亦成為當今最鮮明的主題。以往個人信息的核心主題是如何保護,而現在人們更多地談論如何對個人信息進行資源化共享,甚至在某種意義上,共享和使用“個人信息已經成為人們生活的組成部分……沒有個人信息的透露就沒有現代化的生活方式”。(2)劉艷紅:《共空間運用大規模監控的法理邏輯及限度——基于個人信息有序共享之視角》,《法學論壇》2020年第2期。

然而,作為私權利的個人信息保護邏輯與作為公共資源的個人信息共享邏輯之間存在著難以彌合的張力關系,它體現了從傳統社會邁向現代社會的“時代裂隙”,“網絡與數字技術的發展,摧毀了先前私域與公域之間的物理性邊界,由此面臨如何重建二者之間界線的時代命題”。(3)勞東燕:《個人信息法律保護體系的基本目標與歸責機制》,《政法論壇》2021年第6期。在個人信息權利保護與資源共享之間的緊張關系過于激烈的一些領域,人們可能下意識地將與傳統決裂視為必經之路,認為削減個人信息作為私權利的保護力度與保護范圍,適度犧牲個人信息的私權價值以維護公共利益具有實質正當性,進而淡化個人信息的私權利色彩并試圖在該領域建立相對單一的資源共享秩序。例如,有學者指出,刑法中侵犯公民個人信息罪的保護法益“應該從私法角度轉向公法角度,刑法保護個人信息的目的不是確權,而是規避風險”。(4)歐陽本祺:《侵犯公民個人信息罪的法益重構:從私法權利回歸公法權利》,《比較法研究》2021年第3期。這種做法“將中國傳統與現代性之間的關系,描述為兩種相互排斥的力量之間的關系,它們可以相互替代,但卻無法真正交融在一起”,(5)[德]多明尼克·薩赫森邁爾、[德]任斯·理德爾、[以]S.N.艾森斯塔德:《多元現代性的反思:歐洲、中國及其他的闡釋》,郭少棠、王為理譯,北京:商務印書館,2017年,第68頁。具有鮮明的獨斷主義色彩并值得警惕與反思。

在數字經濟時代對個人信息進行合理定位,必須兼顧國家層面的數字經濟戰略、產業層面的科技發展與個體層面的權利保護,在權利保護與資源共享之間尋求平衡。然而,個人信息的保護與共享之間原本就并非處于各安其位的和諧狀態,加之在具體運作中又受到個體價值立場、數據技術發展與公共秩序塑造等因素影響,兩者在許多場景中反而呈現出非此即彼的競爭乃至對抗狀態。例如,無論算法多么精細、科學和嚴謹,利用網絡爬蟲技術獲取網絡數據都不可避免地搜集到個人信息,此時,要么堅守同意規則保護個人信息而禁止網絡爬蟲,要么適度降低個人信息保護標準、允許在算法合規情況下未經個人信息主體同意搜集個人信息,兩者只能居其一。換言之,在現有的體系框架下,個人信息之保護和共享的平衡恐怕難以形成可操作的制度基礎。

為了滿足個人信息保護的時代需求,我國進入了個人信息立法的活躍化時期,有關個人信息的立法數量與制度供給均呈現爆發式增長,快速建立起了個人信息保護的法律法規制度體系?；仡檪€人信息保護立法與制度的發展歷程,我國自2003年著手部署個人信息保護立法,在2005年初完成《個人信息保護法》專家建議稿,中間經歷了2009年《刑法修正案(七)》將非法提供、非法獲取公民個人信息的行為犯罪化(2015年《刑法修正案(九)》進一步將其修改完善為《刑法》第253條之一“侵犯公民個人信息罪”)、2013年通過《電信和互聯網用戶個人信息保護規定》首次界定了“公民個人電子信息”概念、2017年通過《網絡安全法》明確了“公民個人信息”概念及初步規則、2020年《民法典》規定個人信息權利及一般性規則,直到2018年全國人大常委會才將《個人信息保護法》(草案)納入第一類立法規劃項目,即“條件比較成熟、任期內擬提請審議,爾后經多次調研、討論、修改等形成正式提請審議的草案”,此間十多年里個人信息保護立法進展緩慢、幾近停滯。換言之,我國個人信息保護相關立法與制度構建主要是近五年完成的,據統計,從2017年至2022年10月,國家機關及相關部門頒布的法律文件中出現“個人信息”關鍵詞的法律有33部、行政法規與規范性文件50部、司法解釋105部、部門規章936部,如此高頻度地頒布實施與“個人信息”有關的法律規范,意在全面加快個人信息保護法律體系的建設進程。(6)數據來自“北大法寶”,統計日期為2022年9月20日。這種“壓縮式”的立法建構利弊共存,它使得長期以來的個人信息保護立法的“赤字”得到了快速消解,促進個人信息保護立法緊跟時代步伐,又使得個人信息有關制度構建未經充分考量和理性權衡,反而陷入制度供給越多秩序卻越少的尷尬境地,加劇了個人信息之保護與共享的制度性失衡。這主要體現在三個方面:

第一,制度規范“交錯重疊”。我國個人信息保護的立法體系,大致呈現出一種金字塔結構,自上而下分別是基本法律規范即《民法典》中關于個人信息的有關規定、專門性立法即《個人信息保護法》及關聯性立法、各級部委規章、地方規范文件等,層次結構分明。然而,審查這些規范的具體內容,有關個人信息的制度規范普遍存在“交錯重疊”現象,它表現在兩個方面:一是下位規范對上位規范的復刻,產生了規范的重疊冗余。例如,目前很多地方規范文件中有關個人信息的規定,與個人信息保護法等上位法的內容并無二致,實質是對上位法的復刻和重述,缺乏體現地方立法獨特性的創新內容。二是同級規范之間的交錯,制造了規范的競合與沖突。例如,個人信息常常以數據的形式呈現,此時,相關問題的處理需要同時考慮《個人信息保護法》與《數據安全法》,這導致兩法在調整具體事項時可能存在交錯乃至沖突。制度規范的“交錯重疊”反映了個人信息保護體系構建中存在“重立法數量而輕立法質量”的現象,由此導致某些新增立法的實效性不彰。

第二,法律部門“漸生罅隙”。目前,我國個人信息保護體系建構主要遵循“一法一部門”的邏輯,有的制度設計雖然也涵括了不同法律部門,但是尚未來得及進行系統的跨部門法整合,因此,個人信息主題下的各部門法之間還存在銜接不暢之處。例如,《刑法》第253條之一侵犯公民個人信息罪僅處罰三種行為,分別是非法出售、非法提供與非法獲取,其中,非法獲取是前端的不法行為,非法出售、非法提供是末端的不法行為,欠缺對中間層次的非法使用行為的有效規制。與之相對,《個人信息保護法》所規范的大量不法行為其實出現在非法使用環節,該法還系統規定了個人信息合法合理使用的要件,對個人信息中間層次的使用行為投入了大量立法資源。顯然,兩法對個人信息使用環節的規制存在明顯的銜接錯位。又如,與《個人信息保護法》第4條定義的“個人信息”相比,2017年5月8日最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《侵犯個人信息刑事解釋》)第1條規定的“公民個人信息”限于可識別“自然人身份或者特定自然人活動情況”的信息,概念內涵明顯更為狹窄。部門法銜接不暢可能導致司法過程中的“同案不同判”現象,累及公平正義。

第三,制度立場“搖擺難定”?！秱€人信息保護法》雖然被冠以“保護法”之名,但是其中仍然有不少“促進法”成分。個人信息保護的一般原則是“知情同意”,然而,根據《個人信息保護法》第13條規定,“為訂立、履行個人作為一方當事人的合同”、“為履行法定職責或者法定義務”、“為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息”以及“在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”等情況下即使未經信息主體同意處理個人信息,也都屬于合法行為。以上條文的設立,顯然是為了促進個人信息的流動共享,帶有明顯的“促進法”色彩?！秱€人信息保護法》以“保護法”為名同時又納入“促進法”內容,反映了立法者既希望加強個人信息保護又擔憂保護過度抑制個人信息資源化共享的矛盾心態。然而,在個人信息保護的司法實踐中,相關司法判決則更加傾向于構建“促進法”的裁判規則,與“保護法”的定位逐漸疏離。2022年8月杭州互聯網法院發布“個人信息保護十大典型案例”,有9項判決都支持了未經同意或未經特別授權而使用他人個人信息的行為,包括國家機關依法公開的個人征信信息,可以進行商業化利用,(7)杭州互聯網法院(2018)浙0192民初302號民事判決書。平臺事前取得個人概括性同意,可視為個人知情同意(8)杭州互聯網法院(2020)浙0192民初4252號民事判決書。,等等。以上判決對個人信息知情同意原則的解釋適用均采取相對限縮的立場,其目的是最大化激發個人信息的流通共享價值,“保護法”的邏輯在司法實踐中頻繁被突破。

綜上所述,盡管目前個人信息保護體系已經初步建成,然而,過于快節奏的立法難以形成平衡個人信息私法權利保護與公共資源共享的規范秩序。建立契合數字經濟時代需求的個人信息保護體系,需要深刻反思個人信息保護的制度性失衡問題,尋求個人信息保護與共享的平衡路徑?；谠搯栴}意識,本文的基本觀點是:數字經濟時代的個人信息兼具私權屬性與公共價值,由此個人信息系防御權而非自決權;科學建構個人信息法律制度,應當在對個人信息進行分類分級的基礎上,進一步形成核心層、中間層與外圍層的差序保護格局,促進個人信息有序共享。

二、 立場辨正:個人信息有序共享的法理基礎

基于個人信息既是私法權利又是公共資源的雙重屬性,數字經濟時代個人信息法律制度設計的基礎理念應定位為有序共享。共享是個人信息客觀價值的現實路徑,有序是個人信息主觀權利的法治保障。個人信息從自主支配轉向有序共享,需要從法理上對個人信息的基本屬性進行重新定位,并在立法對個人信息進行分類分級的基礎上,根據個人信息對信息主體的重要程度進行差序化的分層保護。

(一) 個人信息的法律定位:從自決權到防御權

傳統觀點認為,個人信息乃自決權之范疇,個人同意是個人信息處理行為合法化的前提和根據?！肮駛€人有權積極利用其個人信息,‘同意’構筑了信息自由與刑法介入之間的分界”,(9)冀洋:《法益自決權與侵犯公民個人信息罪的司法邊界》,《中國法學》2019年第4期。由此,只要未經個人同意而收集、存儲、使用、加工、傳輸、提供、公開個人信息的行為皆屬違法,達到一定程度,即構成犯罪。(10)劉雙陽:《論個人信息自決權刑事司法保護的邊界——以已公開個人信息為中心的分析》,《人權》2021年第5期。從為個人信息提供最優保護之視角,自決權理論無疑符合私法自由自治的理性考量。然而,個人信息在現代社會中的法律定位,不能僅局限于純粹理性建構,還需要立足實踐邏輯,科學的制度構建“不可能完全依據建構理性而為,而必定基于經驗理性的探索試驗漸進形成”,(11)錢大軍:《當代中國法律體系構建模式之探究》,《法商研究》2015年第2期。將實踐經驗與理性建構有機整合,是保持個人信息保護制度科學性的重要路徑。

在現代社會,個人信息早已超出個人自決之范疇,而在很多方面表現出共治共享的鮮明特色。黨的二十大報告提出,要“健全共建共治共享的社會治理制度”,數字社會共建共治共享格局的形成,需要加強包括個人信息數據在內的數據資源共享。盡管《民法典》將個人信息規定在總則第五章“民事權利”中,確認個人信息的私權屬性,然而,根據中國人大網最新公布的按照法律部門分類的現行有效法律,《個人信息保護法》被歸入“行政法”部門,(12)中國人大網:《現行有效法律目錄(298件)》,http://www.npc.gov.cn/npc/c2/c30834/202309/t20230905_431560.html,2023-09-21。這意味著該法具有鮮明的公法色彩。事實上,考察《個人信息保護法》的具體內容,該法以大量篇幅規定了個人信息的國家保護義務,還設專章規定了行政法律責任。由此可見,個人信息兼具私法與公法屬性。從刑法角度來看,侵犯公民個人信息罪的保護法益即公民個人信息,也越來越被認為具有公私混合法的屬性,本罪也被理解為自然犯法定犯化或混合犯的立法體現,(13)劉艷紅:《民法編纂背景下侵犯公民個人信息罪的保護法益:信息自決權——以刑民一體化及〈民法總則〉第111條為視角》,《浙江工商大學學報》2019年第6期。它既不是純粹的自然犯又不是純粹的法定犯,而是兼具兩種犯罪的成分。(14)R.A.Duff,“Crime,prohibition,and punishment”,Journal of Applied Philosophy,Vol.19,No.2,2002,pp.97-108.基于法秩序統一性原理,由于刑法是其他部門法的保障法,刑法對侵犯公民個人信息罪中個人信息的理解與定位來源于《民法典》《個人信息保護法》等前置法規定,同時,侵犯公民個人信息罪的混合犯屬性也表明了刑法中的公民個人信息兼具私人與公共成分。

由此觀之,個人信息的法律定位應當跳出純粹自決權邏輯,而被塑造為兼具私人與公共色彩的防御權。個人信息的受保護性最初源于人格尊嚴,系(準)人格權,立法規定了一般性的人格權防御條款,其受侵犯時可依法排除妨礙,這種具有排除妨礙功能的權利在理論上被定性為“消極權利”或防御權。據此,將個人信息作為資源進行共享時不能侵害個人信息主體的權益,并且,對個人信息處理不需要授權的情形需要法定化,這樣既可以促進數據產業發展,也尊重了個人信息權利主體的合理預期。(15)王利明:《數據共享與個人信息保護》,《現代法學》2019年第1期。個人信息的天然屬性決定了它是防御權,由此在立法上確立其排除妨礙功能具有正當性。防御權的實現并不要求他人履行積極行為,其核心功能在于排除他人侵害。其實,在基本制度框架層面,作為個人信息保護核心的同意制度的運作,也有賴于公共力量的介入,融入公法監管因素。(16)丁曉東:《個人信息公私法融合保護的多維解讀》,《法治研究》2022年第5期。因為在現代社會,個人已經逐漸喪失真實的自決權,不太可能也沒有足夠能力對平臺的個人信息保護條款進行實質審查。(17)F.Aldhouse,“Data protection in Europe:Some thoughts on reading the academic manifesto”,Computer Law and Security Report,Vol.29,No.3,2022,pp.289-292.公權力的介入,彌補了個人在數字社會的能力短板,使同意制度得以真正落地?！霸谝话阋饬x上,人身性或財產性的消極權利僅僅意味著他者不得侵害我們的權利,而不是要求他人必須為我們的人身或財產權提供積極保護”。(18)I.Persson,“The act-omission doctrine and negative rights”,The Journal of Value Inquiry ,Vol.41,No.1,2007,pp.15-29.按照傳統自由主義的觀點,所有權利都可以說具備著消極屬性,權利概念可以一般性地表達為個人“自由行為與別人行為的自由的關系”,“任何人妨礙我完成這個行為,或者妨礙我保持這種狀況,他就侵犯了我”的權利。(19)[德]康德:《法的形而上學原理——權利的科學》,沈叔平譯,北京:商務印書館,1991年,第40—41頁。這一自由主義的權利觀道出了消極權利的形式一般性,即個人自由與他人自由協調并存的同時排除他人侵害。個人信息的人格屬性決定了立法對其保護是以禁止侵害或排除妨礙為主,防御條款的設立正是以此為基礎的。

如果說個人信息自然屬性塑造了其防御性,那么社會屬性的融入則進一步強化了這種消極防御性。因為個人信息要實現流通共享價值,必須適度抑制信息主體積極主張權利,否則在自由自治的市場關系中,完全由個人自決的個人信息不僅無法發揮其助力數字經濟的社會價值,反而可能由于個人信息權利頻繁被積極主張而抑制產業創新與科技發展。通常情況下,行為人只有妨礙了個人信息主體實現其權益時,才構成對其私法屬性的侵害。當然,盡管個人信息是防御權,但是防御權并不排斥積極保護。任何權利的有效運行均需法律為之提供積極保護,對防御權而言,法律的積極保護仍然有其必要性,因為權利效力的實現要求法律“適用其強制性資源(coercive resources)來保障或限制私人自由”。(20)[英]哈特:《法律的概念》,許家馨、李冠宜譯,北京:法律出版社,2011年,第236頁。只不過,在依靠法律與市場運行規律共同規范的市場秩序中,法律對個人信息的保護應以行為造成個人信息對應的人格尊嚴受侵犯的危險升高即增加自然人被識別的可能性為限。具體而言:在個人信息未被識別的場合,信息處理者應當盡到利用該信息時不被識別的合規保護義務;在個人信息已被識別的場合,信息處理者僅需盡到利用該信息時不被擴大識別的合規管理義務,這是個人信息作為防御權的當然邏輯設定。

(二) 個人信息的層次結構:基于分類分級視角

個人信息的法律概念具有確定的內涵,也有不確定的外延。姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼等信息雖然都冠以“個人信息”之名,然而,不同的個人信息的可識別性及其對個人與社會的價值往往存在極大差異,在法律評價的過程中難以等同視之。在傳統社會向現代社會轉型的過程中,個人信息的內涵發生了深刻變化,它源于人的自然屬性,原本專屬于個人,但是在復雜而深刻的社會發展中拓展出了內涵豐富的社會屬性,20世紀70年代后,“計算機技術的不斷發展和交流機制的根本性變革改變了信息產生、獲得、使用、傳播的方式……信息分享和利用已成為常態。個人信息因此具有社會屬性,其現實基礎在于信息由個人生產卻脫離其控制?！?21)申衛星:《數字權利體系再造:邁向隱私、信息與數據的差序格局》,《政法論壇》2022年第3期。因而,數字經濟時代的個人信息較之以往具有更強的開放性與包容性。

由于不同類型的個人信息對個人人身、財產等狀況識別的影響存在較大差異,可用于流通共享的條件與范圍也有所不同,因此,對個人信息進行必要的分類分級是開展有序共享的重要前提。根據《侵犯個人信息刑事解釋》第5條規定,行蹤軌跡信息、通信內容、征信信息、財產信息是最為敏感的個人信息,住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的個人信息的敏感程度次之,除此之外都是普通個人信息,值得刑法保護的程度依次遞減?！秱€人信息保護法》區分了敏感個人信息與非敏感個人信息,并對敏感個人信息處理作出特別規定。該法第28條規定,生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息均屬于敏感信息;第29條規定,處理敏感個人信息需要個人的單獨同意甚至書面同意。此外,對敏感個人信息還規定了嚴格的監管措施。非敏感信息的處理遵循《個人信息保護法》的知情同意原則,但并不要求單獨同意或書面同意,監管措施相對寬松。個人信息的分類分級,初步確立了個人信息保護的差序化規則。然而,無論是《侵犯個人信息刑事解釋》還是《個人信息保護法》都采取“列舉+兜底”的方式規定不同類型和級別個人信息的范圍,即先列舉若干類型,再以“等”作為兜底。盡管“等”的解釋可以參照前述列舉的個人信息類型進行同質解釋,但其解釋空間相對有限,這兩部規范并沒有抽象出具有共通性的歸類標準。

個人信息流通利用制度的缺失,可以說是整部《個人信息保護法》的缺憾,但是總體而言,《個人信息保護法》的相關法條也為個人信息流通利用的合理化提供了基礎性規范,由此可以開展進一步的制度續造。(22)高富平:《個人信息流通利用的制度基礎:以信息識別性為視角》,《環球法律評論》2022年第1期。為了促進有序共享理念以具體制度形式貫徹,有必要在分類分級基礎上,根據個人信息的可識別性大小及其與信息主體的親疏遠近關系進行再分層。影響個人信息有序共享評價的基本要素有兩點:一是個人信息的可識別性大小。有的個人信息能夠直接識別個人人身、財產等狀況,因而需要重點保護;有的個人信息需要組合起來增加可識別性才能夠有效識別個人人身、財產等狀況,因而受保護程度有所降低。二是個人信息本身的重要程度即與個人的親疏關系。在個人信息的雙重屬性中,社會屬性是個人信息流通共享的支持性要素,限制流通共享的主要是個人屬性,立法應當在多大程度上限制個人信息的流通共享其實主要由個人屬性決定。具言之,個人信息的敏感性越高,其流通共享也越要受到限制。對個人信息的可識別性與敏感程度進行統一考量,可以對個人信息進行差異化分層:

第一,核心層的個人信息是具有高度可識別性的生物信息、隱私信息、身份信息等個人信息,如基因序列、私人生活影像、身份證件號碼等,這些信息的可識別性最高,對個人而言敏感性、私密性也最高,其流通共享條件最嚴格。(23)顧理平:《面子里的人格尊嚴:智媒時代公民的隱私保護》,《南京師大學報》(社會科學版)2022年第4期。

第二,中間層的個人信息是具有相對可識別性的身份信息、財產信息及其他信息,如交易信息、電話號碼、住宿記錄等,這些信息的敏感性、私密性次之,且在自然狀態下,他人無法單純通過這些信息準確識別個人狀況,需要查證或者與其他個人信息組合在一起增加可識別性,才能夠準確識別。

第三,外圍層的個人信息有兩種類型:一種是不具有獨立可識別性的個人信息,其處理對個人而言沒有直接影響。有學者稱之為間接個人信息,“與直接個人信息相比,間接個人信息并非不具備可識別性,而是不具有直接識別的可能性。某種單個信息可能不能識別特定自然人身份及其活動情況,將不同信息組合起來就具有可識別性”。(24)張勇:《敏感個人信息的公私法一體化保護》,《東方法學》2022年第1期。另一種是已公開的個人信息,包括自行公開的個人信息與其他依法公開的個人信息。已公開的個人信息之所以歸入到外圍層,是由于這類信息處于“法律不設禁”的狀態,通常情況下允許收集和處理?？疾臁睹穹ǖ洹返?036條及《個人信息保護法》的規范目的,立法者鼓勵對已公開的個人信息進行合理利用,在一般情形下,個人信息的公開應當成為一般的民事免責事由。(25)程嘯:《論公開的個人信息處理的法律規制》,《中國法學》2022年第3期。其中,自行公開的個人信息之所以不設禁,是由于個人通過自行公開的行為已經放棄了對個人信息匿名性的保護;而其他依法公開的個人信息,可能是國家機關依法收集公開、出于公共利益或者信息主體利益考量而公開等情形。

三、 路徑選擇:個人信息有序共享的制度安排

數字經濟時代的社會結構變遷引起了個人信息法律制度的更迭變化,法律調整著變化過程并促進了新制度的生成。在個人信息法律制度中嵌入有序共享理念,一方面需要根據個人信息的內在層次結構形成個人信息的核心層、中間層、外圍層的差序保護格局,另一方面需要基于整體法秩序視角引入合規制度,進一步規范個人信息從誕生到消亡的全生命周期的處理活動。

(一) 個人信息差序保護格局的制度設計

學界有力觀點認為,同意是個人信息處理活動合法化的基礎,應當作為個人信息處理的核心原則。(26)張新寶:《個人信息收集:告知同意原則適用的限制》,《比較法研究》2019年第6期。由于“個人信息不僅關涉個人利益,而且關涉他人和整個社會利益”,(27)高富平:《個人信息保護:從個人控制到社會控制》,《法學研究》2018年第3期。因而同意的適用需要受到適度限制?；谶@種考量,《個人信息保護法》并沒有將同意作為總則中個人信息處理的核心原則,而僅將其作為下位的規則。當然,這并不意味著同意的地位發生根本變化,構建個人信息有序共享制度,其核心連接點仍然是同意。根據個人信息所處的層次位置不同,其流通共享對同意程度的要求也應當有所差異,由此可構建個人信息核心層、中間層、外圍層的差序保護格局。

1. 核心層的個人信息保護與授權同意

核心層的個人信息由于觸及個人生活的最私密領域,關乎人格尊嚴,因而這類信息接近于人格權且具有高度的排他性,相應的信息主體具有高度的自決權。從尊重私人領域及個人信息高度自決權的角度來看,核心層的個人信息僅有少量流通共享的空間,這類個人信息的流通共享應當遵守最嚴格的同意規則即授權同意。例如,身份證號碼、基因序列、個人在家庭中的影像資料等,信息處理者處理這些個人信息時,必須征得信息主體的授權同意,沒有授權同意的處理行為即屬違法。

為了充分保護核心層的個人信息,在授權同意的場景下,信息處理者有義務審查信息主體授權意思的真實性并保障流程的合法合規性。例如,信息處理者采集他人身份證號碼時,必須由信息主體本人錄入,并且核對身份證原件照片及人臉識別信息,確認無誤后才能被認為已經獲得授權同意。單純錄入身份證號碼,沒有身份證原件照片及人臉識別信息等比對確認的,不能推定得到信息主體本人授權,由此對信息主體產生不良影響的,信息處理者應當承擔責任。

基于核心層個人信息具有高度私密性特征,處理這類信息應當將用途特定化,遵循“一用途一授權”的原則。為了防止信息處理者在獲得授權同意后在平臺或一定范圍內隨意處理個人信息,應當根據用途來鎖定個人信息的使用范圍,實現對核心層個人信息的精準保護,這一模式在相關立法規范中也有所體現。例如,2013年1月21日《征信業管理條例》第42條規定,超過約定用途使用征信方面的個人信息屬違法行為,應當承擔民事、行政乃至刑事責任;2022年9月2日《反電信網絡詐騙法》第16條也規定,銀行有義務按照國家規定提供開戶情況和有關信息,這些風險信息不能用于反電信詐騙網絡之外的其他用途。將核心層的個人信息按照“一用途一授權”的模式處理,嚴格限定其流通共享,體現了對這類個人信息中個人自決權的尊重。

2. 中間層的個人信息保護與知情同意

中間層的個人信息是信息主體自主提供最頻繁的個人信息,其私密性相對不高。在數字經濟時代,頻繁進行的經濟、社會活動加劇了個人信息泄露,如網購中需要提供姓名、電話號碼等,這些個人信息雖然專屬于個人,但是在自然狀態下,中間層次的個人信息不足以識別個人的人身、財產等狀況,需要組合起來提高可識別性,才能準確識別。而中間層次的個人信息流通共享是數字經濟有序運轉的重要基礎,因此,其同意規則相對于核心層的個人信息而言應當有所緩和。

基于有序共享理念,中間層的個人信息同意規則應當是一般意義上的知情同意,其不需要明確的書面同意,在多數情況下僅需要作出概括同意。例如,App在信息主體使用時會彈出隱私條款,獲取位置信息、個人手機號碼等,通常情況下信息主體點擊“同意使用”,并且App提供了可以拒絕的方式,該App的處理行為即可正當化。為了促進中間層次的個人信息的流通共享,對這類信息宜實行“一領域一同意”原則,信息處理者在獲得同意之后,有權在平臺領域內處理該個人信息而不僅限于特定用途。

3. 外圍層的個人信息保護與推定同意

外圍層的個人信息的個人屬性被大幅度剝離,因而流通共享受限程度最低。這類個人信息的可識別性極低,對個人的影響最小。單純根據這類個人信息一般不能識別個人的人身、財產狀況,因此,其雖然是由個人所產生,且與個人活動有一定關聯,但是由于其與個人過于疏遠因而導致受保護性較低。在個人信息保護實踐中,這類個人信息的處理大多隨中間層的個人信息一并授權,采取概括同意規則。不過,這種做法可能并不符合數字社會的既定規則。例如,由于App或網頁產生的信息是在信息主體使用之后產生的,與其說是在事前進行了概括同意,毋寧說當新的信息產生之后,根據平臺規則推定信息主體同意,平臺處理此類個人信息的行為由此具備合法性。因此,對于私密性最低的外圍層個人信息,沒有必要采取概括同意規則,僅需采取推定同意規則即可。第二種類型的個人信息是已公開的個人信息。由于這類信息由信息主體自行公開或者其他情形依法公開,因此,處理這類個人信息時只要在公開的范圍內、符合公開的目的即可阻卻違法性。在此意義上說,在公開范圍內、符合公開目的處理已公開的個人信息的行為實質上遵循著推定同意規則。

(二) 個人信息全生命周期合規制度的民行刑一體化構建

個人信息處理風險存在于個人信息從產生到消亡的全生命周期,個人信息相關制度設計應以此為邏輯起點,對個人信息全生命周期的關鍵節點問題作出個性化回應。為了避免傳統“一法一部門”模式下民法、行政法、刑法之間的銜接障礙,還應當對個人信息領域的制度規范進行民行刑一體化的垂直整合。

1. 個人信息全生命周期的風險類型與流程控制

首先,個人信息搜集風險與控制。搜集個人信息通常有三種方式,分別是用戶提供、從第三方搜集以及通過公開網絡獲取。在用戶提供場景下,平臺的主要義務是告知,在履行充分告知義務后用戶仍然提供的,則應當認為已取得用戶同意;在從第三方搜集場景下,根據既往的裁判規則,原則上應當經過“三重授權”,(28)所謂“三重授權”,是指在相對開放的平臺,信息處理者收集個人信息需要經過“用戶+平臺(企業)+用戶”三重授權才具有合法性。具體來說,平臺(企業)對用戶首次收集數據需要用戶授權,這是第一重授權;信息處理者通過第三方應用間接獲取用戶數據,需要該第三方應用對應的平臺(企業)授權,這是第二重授權,并且還需要獲得用戶授權,這是第三重授權。參見北京知識產權法院(2016)京73民終588號民事判決書、杭州鐵路運輸法院(2017)浙8601民初4034號民事判決書。但是,在為了維護信息主體或者公共利益的場合,即使未得到個人信息主體同意的,其搜集行為也不違法;在通過公開網絡獲取的場景下,信息主體在一定程度上已經放棄了個人信息權利。由于個人信息已經公開,通常情況下獲取已公開的個人信息并不違法。

其次,個人信息存儲、管理風險與控制。個人信息處理者應當采取安全保障措施,包括特別聲明、技術保護措施等,以確保個人信息不被非法使用、泄露。個人信息處理者未采取安全保護措施的,可能構成行政違法;因未采取安全保護措施,造成個人信息泄露的,還可能構成刑事犯罪。在該環節,個人信息處理者的合規義務主要體現在三個方面:一是設立管理機構、配置處理權限以及加強對企業內部管理;二是采取技術保護措施等防范網絡爬蟲等技術侵入風險;三是采取合規措施仍然無法避免個人信息泄露的,在發現個人信息泄露之后應當及時采取補救措施以防止風險蔓延。

再次,個人信息使用風險與控制。個人信息使用環節具有場景多元化特征,如個人信息數據共享、自動化決策、跨境流動等?！缎谭ā返?53條之一侵犯公民個人信息罪只處罰3種行為,分別是非法獲取、非法提供、非法出售公民個人信息。非法獲取個人信息入罪,規制對象是非法的信息流入,非法提供、非法出售公民個人信息入罪,規制對象是非法的信息流出,中間層的非法使用個人信息行為并未完全涵括。這意味著平臺依法搜集個人信息之后,其使用行為原則上不構成犯罪。例如,個人信息處理者將個人信息用于自動化決策,按照現行刑法規定不構成侵犯公民個人信息罪。不過,這種非法使用行為在《個人信息保護法》中仍然被禁止,故平臺使用合法渠道搜集個人信息時仍要履行合規義務,這種意義上的合規義務并非刑事合規,而應當歸屬于民事、行政合規之范疇。

最后,第三方關聯責任風險與控制。在《個人信息保護法》確立的全生命周期保護模式下,企業不僅要對自身處理個人信息進行合規化管理,還應當負有對關聯第三方的合規監管義務。在合法的框架下允許個人信息在不同主體間進行流動,讓個人信息在合規治理中創造公共價值,是個人信息有序共享的重要體現。個人信息處理平臺對關聯第三方的合規監管義務既源于科技倫理與行業規則的共同要求,也是構建行之有效的合規體系的重要課題?？疾旌弦幍囊话惴ㄐЧ?管理好關聯第三方是個人信息平臺合規之應有內容,個人信息處理平臺將個人信息提供給關聯第三方,導致個人信息泄露的,或者有其他侵犯個人信息權益行為的,應當與關聯第三方共同承擔責任。為了避免陷入第三方關聯責任之中,信息處理者應當就與合作方的合作事項進行合規監管,除了在合同中明確作出禁止未經授權泄露個人信息的聲明之外,還應當對合作方在合作事項中的不合規行為進行審查,在對合作方履行充分合規監管義務仍然無法避免合作方的不法行為時,信息處理者可以免責,由合作方就個人信息非法泄露、非法使用等行為承擔責任。

2. 個人信息全生命周期的民行刑一體化合規方案

在《個人信息保護法》頒布之前,我國有關個人信息的立法散布于民法、刑法及其他規范之中,并且總體上表現為“一法一部門”,即一個法律規范僅涵蓋民事、行政或刑事規范之一,立法的碎片化特征明顯。當《個人信息保護法》實施之后,面對民法、刑法以及其他規范中的碎片化現象,還需要進行第二次的規范整合,消除法法之間的沖突與銜接困境,以民行刑一體化理念促進個人信息在全生命周期中的有序共享與合規建設。

一方面,基于法秩序統一性原理,立法者在制定部門法時既要考慮部門法獨立性,也要考慮部門法在整體法秩序中的地位尤其是該部門法與其他部門法之間的關系,消除部門法之間的沖突?！罢麄€法律秩序,也就是大量有效的具體規范與所有法律部門的法律的綜合,形成一個統一體、一個‘體系’”,(29)[德]伯恩·魏德仕:《法理學》,丁曉春、吳越譯,北京:法律出版社,2013年,第316頁。由于我國個人信息立法存在刑事立法先行的客觀事實,而《民法典》與《個人信息保護法》一前一后已經進行協調,并無矛盾之處,因此,個人信息領域法秩序不統一、法法不協調問題主要在于刑法層面。具體而言:首先,關于個人信息概念,《刑法》第253條之一侵犯公民個人信息罪中的“公民個人信息”應當以《民法典》與《個人信息保護法》中的“個人信息”為參照進行適當擴容,涵蓋生物識別信息、宗教信仰信息等,從而確保個人信息概念在不同部門法中的協調一致。其次,根據《侵犯個人信息刑事解釋》第2條規定,侵犯公民個人信息罪構成要件中的“違反國家有關規定”,包括違反法律、行政法規與部門規章,這顯然是立法者在個人信息有關法律、行政法規較為緊缺的時期,對《刑法》第96條不得已作出的擴張解釋。在個人信息立法體系健全的前提下,應當修改該司法解釋,將部門規章從國家規定中去除。最后,現行《刑法》第253條之一侵犯公民個人信息罪對中間環節的非法使用行為規制存在明顯空白,而《民法典》《個人信息保護法》均重點規制非法使用行為,加上非法使用行為較之非法獲取、非法提供、出售等行為具有等質甚至更高的危害性,因此,刑事立法宜將非法使用個人信息行為犯罪化,以填補立法漏洞,提升制裁的實效性。

另一方面,基于民行刑一體化理念下民事、行政、刑事制裁的梯度關系,對侵犯公民個人信息行為的治理宜以必要性為限度。具體而言:一是堅持先私法后公法,對侵犯公民個人信息的行為宜盡可能控制在私法范圍內,民進行退、民先刑后。根據現代法治國比例原則的適合性(Geeigne??ig)原則,社會關系的調整應以私法為優先,超出私法調整范疇的社會關系,不得已需要以公權力介入時,也應當以對私權利的影響最小為限度,同時,還應當考慮消除公權力介入后的不良影響。(30)須騰陽子:《比例原則の現代的意義と機能》,東京:法律文化社,2010年,第23—29頁。例如,短視頻博主在平臺上傳的視頻中包含了大量陌生人的人臉識別信息,其事實上也不可能取得個人信息主體同意。而如果完全根據《個人信息保護法》及《刑法》規定,這種行為不僅涉嫌個人信息侵權,還可能構成侵犯公民個人信息罪,若如此認定,勢必引起全民違法現象及大規模犯罪化,不符合數字社會個人信息有序共享規則,應當予以適當調整。行政法與刑法作為公法,原本就是在涉及公共利益等重大事項時才應當介入,個人信息首先作為私法權利而存在,不得未經同意侵害個人信息權利是信息處理者需要遵循的第一重合規義務,當信息主體與信息處理者之間產生糾紛時,優先考慮通過民法中的合同、侵權等制度加以規范調整。二是堅持先行政后私法,行進刑退?！皬娜w法秩序的視角出發,違法性存在量和質的區別,對法益侵害極其輕微的行為將由于欠缺可罰的違法性而阻卻實質不法?！?31)中山研一、淺田和茂、松宮孝明:《レヴィジオン刑法3:構成要件·違法性·責任》,東京:成文堂,2009年,第136頁。侵犯公民個人信息罪兼具自然犯和法定犯的特性,這意味著本罪可罰的違法性判斷需要同時考慮民法與行政法。(32)姜濤:《新罪之保護法益的證成規則——以侵犯公民個人信息罪的保護法益論證為例》,《中國刑事法雜志》2021年第3期?！秱€人信息保護法》大量規定的個人信息國家保護義務與信息處理者義務,構成了信息處理者行政合規的基本要求,違反此項義務優先承擔行政責任。三是窮盡替代政策才可啟動刑法。根據刑法謙抑主義,“刑法介入剝奪社會成員的身體、自由、財產等重要法益的場合,必須是刑罰以外的其他社會管控手段無法起到合適效果時,刑法的啟動才有正當性”。(33)關哲夫:《講義刑法總論》,東京:成文堂,2015年,第21頁。刑法在個人信息領域之所以容易被濫用,一個重要原因是個人信息作為數字經濟時代最核心的資源要素,往往伴隨著新技術新業態而生,而新技術新業態誕生之初由于欠缺管制,會經歷一段時間的“野蠻生長”時期,在一定時空范圍內造成社會的失序,面對這種狀況,刑法作為最直接有效的手段成為首要考慮對象,網絡爬蟲技術、自動化決策技術、區塊鏈技術等領域侵犯公民個人信息罪的過度擴張盡皆源于此?；诖?刑事立法通過修改司法解釋適度提高侵犯公民個人信息罪的入罪標準,或許是可行的方案。當然,最為穩妥的做法是,個人信息處理者履行好個人信息權益保護及合規管理方面的義務,配合網信等部門的行政監管調控,從而有效抑制違法行為的產生以及防止輕微違法行為演變為嚴重犯罪行為。

四、 結 語

個人信息從自主支配向有序共享的理念轉換與制度構建,是傳統社會轉向現代社會尤其是數字經濟時代的自然演化結果。有序共享理念立足于個人信息作為私法權利與公共資源的雙重屬性,貫徹該理念必須在制度層面扎牢根基。數字經濟時代的個人信息在內容上極具開放性和包容性,相關制度建構必須穿透“個人信息”的表象,在對個人信息分類分級基礎上進行二次分層,構建根據信息與個人的親疏遠近關系分別配置保護規則的差序格局。個人信息領域層出不窮的新技術新業態,無力通過單純立法實現有序共享和有效規制,立足信息處理者視角的合規制度建設,是解決該問題的首選策略。合規制度的契入,賦予個人信息有序共享體系更高的科學性與更強的生命力。