一般说来,欧陆的思想传统倾向于理性主义,英伦的思想传统倾向于经验主义。
在这个意义上,自治位居法治和德治之前,并统筹法治和德治。(75)该论述深刻揭示了社会主义法治和德治的内在统一性。
中国特色社会主义法治理论是中国特色社会主义法治体系的理论指导和学理支撑,是全面推进依法治国的行动指南。⑧现代社会公共理性和社会整体利益是法律与政治在逻辑与事实上的联结点。因此,政治与法治之间的差异,首先反映在政策和法律之间的差别。程序思维是法治思维的重要内核。(80)打破党法关系对立思维,破解权大还是法大难题的关键,是要运用程序思维和程序方法,在法治建设中找到法治与政治的逻辑连接点,在具体法治实践中将法治与党的领导有机结合起来。
(83)中共中央文献研究室编:《习近平关于全面从严治党论述摘编》,中央文献出版社2016年版,第202页。习近平总书记就法治和德治的关系论述到:法律是准绳,任何时候都必须遵循。但这无疑将会给个人信息保护实践带来诸多负面效应:首先,从制度成本上看,面对大规模、普遍化、日常化、环节多元、方式多样的个人信息处理活动,个人就权利束中的权利而展开的单独、分散的诉讼,将耗费巨大司法资源,甚至引发诉讼爆炸。
这些广泛存在于各种处理场景下的系统性损害风险,往往具有复合的、多层次的形态,需要立法者与执法者予以充分评估与管控,并展开预防性、全环节的保护,其核心要素在于对平台为代表的数据权力进行约束。个人信息处理者——特别是一些超大型平台,在技术、资源和话语等维度都具有相对于个人而言的巨大势能,因而形成一种事实上的平台权力。(37)See Dennis D.Hirsch,"Going Dutch? Collaborative Dutch Privacy Regulation and the Lessons It Holds for U.S.Privacy Law," Michigan State Law Review,vol.2013,no.1,2013,pp.148-157. (38)参见高秦伟:《个人信息保护中的企业隐私政策及政府规制》,《法商研究》2019年第2期。④概括而言,尽管存在体系定位上的差异,这些研究基本都分享下列共识:自然人对其个人信息享有民事权益,应当采取由民法赋权的逻辑,保护自然人对其个人信息被他人收集、存储、转让和使用过程中的自主决定的利益,具体表现为知情权、决定权、删除权等权项的行使。
2.交涉促进功能 在保障个体知情参与、实现程序保护与防御功能之外,程序正义还内蕴了沟通理性的要求。消费者欺诈导致不公平契约的订立与履行。
④权利说的论证,如杨立新:《个人信息:法益抑或民事权利——对〈民法总则〉第111条规定的个人信息之解读》,《法学论坛》2018年第1期。从功能上看,个人信息权利束既是个人制衡信息处理者的工具,也是国家对数据处理者的规制策略。(17) 再次,将权利束理解为民事权利,无法对国家机关处理个人信息的情形进行合理的解释。现实情况是,这些围绕权利束的维权,主要并非依靠个人的自我控制与诉讼,而是依靠国家主导下监管机构的有效监管。
在此基础上,数据处理者完全可以在国家的政策激励与责任约束的合力之下,将其个人信息保护水准作为企业竞争策略,从而可持续地优化企业内部的隐私治理体系,创造更有效的合规文化与隐私友好政策。从国家规制视角探寻个人信息权利束的法理基础,不能将视野局限于规制层面,而需要从更高层次的宪法维度寻求答案。已经有学者从国家规制视角对个人信息保护制度构建展开了探讨。而在私法责任方面,民法框架下的侵权责任,主要是在与信息处理活动相关的个人的人格权、财产权遭受侵害或面临侵害危险时才可适用,且须经由司法途径展开。
(39)由此,在权利束制衡功能下的博弈、对话可以使相应的信息处理机制得以形成和不断改进,在提高个人信息保护水平的同时,也可进一步增强信息处理活动的公平性、正当性。(21)归结而言,个人信息权利束法理基础不明晰、法律关系模糊的问题依然很突出。
二、作为工具性权利的个人信息权利束 在个人信息国家保护框架下,可进一步分析个人信息权利束的功能。除了信息披露机制外,更正权、异议权、要求说明权等权利规则所对应的理由说明与对话机制,对于促进信息处理活动的规范化也具有重要作用。
实际上,如果我们回溯权利束的理论渊源与宪法基础,可以发现,在个人行使权利制衡信息处理者的背后,是国家设定并维系了权利束的基本内涵、外延、操作规则及保护标准。个人信息国家保护义务要求国家出场对个人进行积极保护,而《民法典》是典型的权利法而非保护法。(19)不过,这一观点虽然主张权利控制与激励机制并行的多元治理机制,但依然将个人对信息的控制权作为制度构建的起点,难以消解民事权利解释框架所存在的不足。在救济途径上以事后的民事侵权责任为主展开。然而,在个人与个人信息处理者之间的不对称权力结构中,面对信息处理者大规模处理个人信息带来的风险,试图依靠个体化的自主控制来制约信息处理者滥用权力、避免遭受侵害的私法保护模式,在很大程度上却可能沦为个人信息保护的乌托邦。具体而言,这些权利的启动要件基本集中在违法处理、超出原定目的处理、违反约定处理等情形。
当下,将个人信息权利束理解为实体性民事权益的观念,在法律实践中仍具主导性影响,存在将个人信息权利束直接视为民法人格权益予以司法保护的态势。由此,《个人信息保护法》所属的保护法的定位,决定了其在立法内容与逻辑上的特点:国家需要落实积极保护义务,在个人—信息处理者之间形成良性的制衡关系,通过一系列规制策略保障个人在数字化时代免受信息处理者的支配,实现人的全面发展。
国家通过对权利束具体权能的保护,直接目的是要求个人信息处理者合规,而非对私权损害的救济。例如,不同行业领域赋予个人信息主体信息处理介入权程度是不同的,这也是个人信息权益的多元性与场景性所决定的。
个人信息保护法规范的建构不应将这两者混淆。正如玛格特·卡明斯基(Margot Kaminskic)所言:这些权利有可能在个人和公司之间创造类似于对话的机会,讨论算法决策和其他形式的个人特征分析和数据处理背后的理由。
例如,欧盟数据保护委员会围绕GDPR条文出台了近30份指南、推荐、最佳实践等,且持续不断修订,以在技术创新、商业实践、个人权利保护等因素之间做出适时动态调整,从而为信息处理者提供了合规指引与行为准则。例如,GDPR实施一年后,欧盟各国监管机构处理的投诉、数据泄露通知等行政案件总数突破28万件,成为维护个人信息受保护权利的最主要机制。以此为基点,尝试厘清权利束在个人信息保护法律制度中的功能定位,进而对权利束的设定、行使、保障等规则进行提炼。综上而言,相较于抽象、形式化地基于保护需要而赋予个人对信息的实体性控制权而言,工具性权利的理解有助于引导立法者与监管者不断反思:权利束的内涵及标准是否合理?是否可改进?通过哪些主体的参与来完善权利束的具体权能、进行合作规制?由此,以工具性权利束为支点,可以撬动多方社会力量、信息处理者与个人一同开展数据治理中的合作博弈,共同建构并维护一套公正、透明、理性的公法秩序,切实提升国家的数据治理水平。
同时需要注意的是,将个人信息权利束定性为公法权利与通过公法机制予以保障,并不会阻隔个人通过民事途径获取相应救济的渠道。如果国家不对个人数据处理活动进行规制,将会出现个人信息的有效保护与有效利用的双重失范,动摇数据治理和善治的基石。
如果其中任何一个因素缺失,例如个人不行使自己的权利或司法系统不能确保对这些权利主张作出一致的裁决,那么建立在个人支配权利基础上的治理机制就会落空,成为象征性治理。③人格权保护的论证,如张新宝:《〈民法总则〉个人信息保护条文研究》,《中外法学》2019年第1期。
(38) 三、个人信息权利束的功能展开 个人信息权利束的工具性价值在实践中如何落实与完善?这需要我们明确工具性权利束的法律适用理念:一方面,权利束应当保障个人在信息处理过程中的参与和全环节在场,并通过程序机制促进个人与信息处理者理性交涉,这是权利束蕴含的程序正义功能的体现。我国民法学界通常将权利束的性质理解为个人自主控制范式下的民事权利,并将其解释为个人信息权的具体权能。
最后,从个人信息保护的手段和方式协同关系看,提前入场的司法救济将与公法规制手段之间产生适用冲突,造成两种保护手段的适用错位。最后,将权利束中具体权利理解为民事权利,还将导致个人信息保护监管和执法机制在逻辑上陷入混乱。在管理法中,基于维护重要公益与社会基本秩序的需要,国家采取全方位介入与强力管制,个人的自主空间与权利主张则相对被忽视。其次,从制度的救济效果上看,对个人来说,此类民事诉讼成本高、取证难、信息资源不对称、损失后果难以认定和量化,胜诉难度很高,也无法切实解决个人的权益保护需求。
权利束可以促进个人与信息处理者理性交涉,设定双方进行理性对话和博弈的制度性条件。(12)在近年来的制度实践中,无论是GDPR为预防数据处理风险所作的长达99条的监管和合规要求及其执法活动,(13)还是美国联邦贸易委员会对企业隐私政策的个案审查和规制,(14)都体现出国家主导下企业内部规制与行政外部规制的结构耦合。
这些实体价值才是个人信息保护制度中具有价值性、实体性、目的性的法益。(45)但需要注意的是,此类进攻性权能并不意味着个人对信息处理活动具备自决权。
权利束的具体操作规则与合规要求也可以衔接民法上的侵权责任构成、不同责任承担方式的选择、证明责任分配等内容。面对当代信息化社会的现实,个人对其信息的自主控制将导致权利行使的两种尴尬。
