個人信息權立法完善的路徑與選擇

王 璨

(中南財經政法大學刑事司法學院 武漢 430073)

我國互聯網絡信息中心于2022年8月發布的第50次《中國互聯網絡發展狀況統計報告》顯示,截至2022年6月,個人信息泄露占網民遭遇的網絡安全問題的比例最大.因而,個人信息權的保護成為我國近年來關注的問題.盡管《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)將我國對個人信息權的立法保護提升到新的高度,但是由于我國對信息權保護的相關立法起步較晚,仍需進一步完善.而以美國為代表的國家較早地關注到信息開發與保護的博弈,積累了更多的經驗與教訓.本文將從我國個人信息權保護的立法現狀入手,分析其主要問題,接著引入美國在個人信息權保護方面的優勢和不足,對我國個人信息權保護的立法路徑提供建議,以期完善我國對個人信息權的立法保護.

1 個人信息權的涵義

關于個人信息權的涵義,學界存在不同的見解:一種見解是將個人信息權理解為與個人信息收集、使用和處理等相關的權利[1];另一種見解將個人信息權理解為個人信息自決權[2];還一種見解將個人信息權理解為個人信息受保護權[3].本文認為,無論從實踐情況出發(1)在實踐中,由于信息主體與信息處理者地位的不對等性,信息主體鮮有機會行使個人信息自決權.因而相較于個人信息自決權,個人信息受保護權才是信息主體所需要的.,還是從我國的立法取向出發(2)《民法典》《消費者權益保護法》第14條、《網絡安全法》第64條、《個人信息保護法》第2條等法律內容都是將個人信息權解釋為個人信息受保護權的體現.,都應當將個人信息權理解為個人信息受保護權.就性質而言,其兼備私人性與公共性、人格屬性與財產屬性[4].

個人信息權的保護對象為個人信息,因而對個人信息權的保護體現為對個人信息的保護.《中華人民共和國民法典》(以下簡稱《民法典》)第1034條第2款、《個人信息保護法》第4條與《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)第76條第5項都規定了個人信息的定義,將“可識別性”作為個人信息的核心.

然而,個人信息權與隱私權常常被混為一談,有必要厘清二者之間的關系.根據《民法典》第1032條的規定,隱私權的保護對象包括私密空間、私密活動和私密信息;根據《民法典》第1034條的規定,個人信息被劃分為私密信息和一般信息.根據《個人信息保護法》,個人信息則被分為敏感個人信息和普通個人信息.這兩部法律為個人信息權與隱私權的界分提供了指引,因此,在本文看來,個人信息權與隱私權是交叉關系,而非包含關系.就保護規則的適用而言,隱私權的保護規則有時會與個人信息權的保護規則發生競合,應當區分不同的情形選擇保護規則.當個人信息屬于私密信息時,應當適用隱私權保護的相關規則.當個人信息屬于非私密信息時適用個人信息保護規則.

2 我國對個人信息權的立法保護現狀及其問題

2.1 我國對個人信息權的立法保護現狀

我國就個人信息權保護的相關立法數量較多,種類豐富,涵蓋多個特殊領域.相關立法不僅包括法律、行政法規、地方性法規、行政規章等不同性質的規范性文件,而且為多個特殊領域的個人信息權提供保護.《個人信息保護法》的出臺標志著我國對個人信息權的法律保護上升到新的臺階,幾乎將個人信息權的權利基礎提升至基本權利范疇[5],向個人信息權立法保護的體系化、統一化邁進,并走向公私法協同保護的局面.具體而言,保護信息權的私法主要為《民法典》《中華人民共和國消費者權益保護法》等,公法主要為《個人信息保護法》(關于《個人信息保護法》的屬性,學界存在爭議,本文采用公法屬性說),《網絡安全法》,《中華人民共和國國家情報法》,《中華人民共和國數據安全法》,《中華人民共和國反壟斷法》等.據此,有學者認為,我國就個人信息權已形成公私法協同保護的局面[6].然而,盡管我國有關個人信息權保護的相關立法已取得較大成就,但仍存在進步空間.

2.2 我國對個人信息權立法保護存在的問題

2.2.1 相關規范性文件未能有效銜接

一方面,我國在近年才開始重視個人信息權保護問題,因而在以往的立法中有關個人信息權保護的規定并不細致謹慎,由此產生了銜接上的問題.例如,《中華人民共和國政府信息公開條例》第15條與《中華人民共和國行政處罰法》第50條僅對個人隱私權作了特別保護的規定.另一方面,盡管《個人信息保護法》凝結著近年來我國有關個人信息權保護的先進成果,其他法律、法規的內容卻并未及時根據其規定進行相應調整,因而也存在銜接上的問題.例如,某些法律規范就個人信息分類、個人信息處理者義務等的規定并不統一,導致在適用過程中不可避免地發生競合或沖突.

2.2.2 相關規范性文件位階不明

在保護個人信息權的諸多規范性文件中,《全國人民代表大會常務委員會關于加強網絡信息保護的決定》的性質十分特殊,是屬于有關法律問題和重大問題的決定.該決定第5條規定網絡服務提供者發現法律、法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施.《網絡安全法》第47條規定針對法律、行政法規禁止發布或者傳輸的信息采取消除等措施.部分學者認為,有關法律問題和重大問題的決定其效力位階低于法律,還有部分學者認為情況不宜一概而論[7].

2.2.3 特殊領域的個人信息權立法保護不成體系

從現行法律來看,我國著意對特殊領域的個人信息權進行保護.例如,在經濟法領域,對個人信息權的保護以金融業態為分類依據,制定的相關法律包括《中華人民共和國商業銀行法》《中華人民共和國反洗錢法》《中華人民共和國證券法》《中華人民共和國銀行業監督管理法》《中華人民共和國保險法》《中華人民共和國消費者權益保護法》等.盡管某些法律較為全面地涵蓋了相關領域的個人信息權保護,但并未形成以某部法律為中心的特殊領域信息權保護體系.

2.2.4 部分地方缺乏立法能動性

我國地方就個人信息權保護的相關立法存在2方面的問題:一方面,就個人信息權保護進行創制性立法的地區數量少.就地方立法現狀來看,我國僅有少部分地區就個人信息權保護進行了創制性立法,這與我國的行政區域數量是不成比例的.另一方面,中央立法與地方性立法未能形成良好互動.盡管我國部分地區早在《個人信息保護法》頒布之前就針對本地區的實際情況對個人信息權的立法保護作了探索,如《浙江省信息化促進條例》《河北省信息化條例》《天津市社會信用條例》等,但自《個人信息保護法》頒布之后,地方有關個人信息保護的立法陷入停滯局面.具體而言,已頒布地方立法的地區有些未能根據《個人信息保護法》作出及時調整,而尚未頒布本地區個人信息權保護創制性立法的地區有些未能跟進立法.

2.2.5 公權力主體對個人信息權的保護存在監管漏洞

關于國家機關這一公權力主體對個人信息權的保護,相關規定并不具體.一方面,我國部分法律對收集個人信息的授權規定不夠清晰,在部分事宜上以內部文件為執法依據,導致個人信息收集過程不透明,無助于對個人信息權的保護[8].此外,某些法律僅規定某些公權力主體有保護個人信息的職責,但既未對其保護方式作具體規定,也未對個人信息的使用過程作到全程監管.另一方面,相關法律對監管主體的規定不甚明確,即使有法律明確指出了監管主體,但沒有進一步的細化規則,缺乏操作性.

3 美國對個人信息權立法的優勢和不足

與我國不同,美國并未區分個人信息權與隱私權,因而與個人信息權保護相關的立法大多冠以隱私權的名稱.作為較早關注個人信息權并對其進行立法保護的國家之一[9],美國就個人信息權的立法保護積累了豐富的經驗和教訓,有助于我國選擇性參考借鑒.

3.1 美國個人信息權保護的優勢

其一,就特殊領域的個人信息權保護立法較為完善.美國為特殊領域的個人信息權保護通過了一系列法案,包括《信息自由法案》《公平信用報告法》《隱私權法案》《家庭教育權利和隱私權法案》《電子資金轉移法》《金融隱私權法案》《隱私保護法》《電纜通信政策法案》《電子通信隱私法》《視頻隱私保護法案》《電話消費者保護法》《司機隱私保護法案》《兒童在線隱私保護法案》《金融現代法案》以及《公平和準確信用交易法》等,基本形成了相應特殊領域的個人信息權保護均有法可依的局面[10].

其二,各州具有立法能動性,使聯邦立法與各州立法形成了良性互動.美國對個人信息權的保護不僅體現在美國憲法中,還體現在各州的法律中.美國憲法第4、第5和第14條修正案都體現了對個人信息權的保護.而各州則通過了適用于本州的個人信息權保護法規.由于發展水平的差異,各州對個人信息保護的力度不同,例如,馬薩諸塞州、紐約州、加利福尼亞州對本州的個人信息權進行了強有力的保護.值得一提的是,加利福尼亞州在個人信息權保護方面較為出色,其出臺的《加州在線隱私法案》對美國個人信息權保護法律框架的構建起到了重要作用[11].由此,美國各州立法與聯邦立法形成了良性互動,共同助力美國對個人信息權的保護.

3.2 美國個人信息權保護的不足

其一,美國對個人信息權的保護采取分散立法的形式,缺乏“單一的、總體的隱私法”[12],導致其對個人信息權的保護既不系統,也不全面.分散的立法形式和特定行業保護系統決定了其具有狹窄的信息權保護范圍.同時,分散立法模式引發了多頭監管的困境,因而美國在很大程度上依賴特定行業的自我監管[13].然而,當個人信息利用帶來巨大價值而個人信息保護要付出高昂成本時,行業通常會選擇最大限度地利用個人信息,導致個人信息權無法得到有力保障.

其二,相關立法模糊公權力主體收集信息與侵犯個人信息權的邊界.在1976年的美國訴米勒案中,法官根據多數意見得出結論稱:“當(個人)選擇使用銀行時,就是選擇自愿將私人金融活動暴露于銀行及政府之下”.然而,這一判決招致了公眾的不滿[14].作為回應,美國于1978年通過了《金融隱私權法案》.該法案雖然禁止金融機構在未通知客戶和未征得其同意的情況下披露客戶記錄,卻允許金融機構在對搜查令、傳票或政府當局的書面請求作出響應時,披露客戶記錄.因而,雖然該法案在一定程度上保護了個人金融信息,但它仍未消除公權力恣意侵犯個人信息權的風險[15].為加強政府對個人信息的監管,美國在法律規范和判例中承認政府有權干預個人信息,給公民的個人信息權保護帶來了風險．例如,美國于2001年頒布的《愛國者法案》中規定:金融機構之間或金融機構與政府間可以以國家安全的名義共享消費者的個人金融信息,而不必通知消費者、法院或公眾,這無疑為政府不經個人同意而收集個人信息提供了法律背書.

4 我國對個人信息權立法路徑的建議

構建具有中國特色的個人信息權保護法律體系道阻且長,可以在汲取美國立法經驗的基礎之上,根據我國實際的國情進行相應調整.

4.1 注重諸法之間的銜接

為形成保護個人信息權的合力,應當注重諸法之間的銜接.例如,針對相關法律,立法機關可以將個人信息納入保密職責范圍之內,使諸法更好地銜接.此外,還要注重諸法與《個人信息保護法》之間的銜接.例如,關于《民法典》與《個人信息保護法》之間的關系,學界存在分歧:一種觀點認為二者是一般法與特別法的關系,應當優先適用《個人信息保護法》[16];另一種觀點認為二者的關系較為復雜,不能一概而論[17].本文傾向于后者.同時認為,適用時應根據實際情況,秉持并存協調原則,采取得當方法處理二者之間的關系[18].

4.2 明確相關規范性文件的法律位階

應當盡快出臺法律解釋,以明確相關規范性文件的法律性質,厘清其法律位階,構建完善的個人信息立法保護體系.此外,我國與個人信息權保護相關的法律處于不同的效力位階,并未形成以某一部或者某幾部法律為中心的統一法律體系,缺乏體系性.應當遵循統一立法模式,注重同位法之間的互補關系、上位法與下位法之間的協調關系.最終就個人信息權保護形成以《個人信息保護法》為中心、其他相關法律為輔助支撐的體系,并力求做到各領域法律與個人信息權相關的術語概念、保護原則、立法目的等一以貫之,從而使每部法律各司其職,最大限度地發揮作用[19].

4.3 就特殊領域個人信息形成完善的法律保護體系

應當就特殊領域的個人信息權保護形成專門的法律文件,這樣既便于公眾洞悉某領域的個人信息權保護情況,又便于司法者、執法者開展司法、執法活動.但同時,分散性的立法會使個人信息權的保護范圍狹窄,同時存在監管不力的問題.因此,應在對特殊領域個人信息權進行立法保護的同時,明確《個人信息保護法》在個人信息權保護領域的基本法地位,使立法模式從分散趨向于統一.例如,就個人金融信息的保護而言,應當注重使用類型化思維使不同金融業態有關個人金融信息保護的法律規定相互協調.

4.4 充分發揮地方立法的能動性

我國應當充分發揮地方立法的能動性,使中央和地方立法形成良性互動[20].地方可以結合自身經濟發展情況,充分發揮創制性立法的優勢以及地方立法的能動性,出臺符合地方實際情況的、與個人信息權保護相關的法律法規,促進本地區對個人信息權的保護.

4.5 在立法中完善對公權力主體的監督

必須在立法中明確公權力主體對個人信息權的監管義務以及具體的監管主體.就我國的立法而言,對義務內容的規定要同《網絡安全法》《個人信息保護法》相協調,并且處理個人信息要遵循合法、正當、必要的原則.同時,個人信息收集要有明確的法律授權.

5 結 語

我國近年來對個人信息權的立法保護已取得長足的進步[21].不過,我國對個人信息權的保護起步較晚,在立法上仍有諸多不足.但只要立足我國國情,充分借鑒先進經驗,就一定能走出一條具有中國特色的個人信息權立法保護之路.