内容摘要:个人信息保护制度在多个层面呈现了公私法融合特征。其法律渊源同时包括
宪法与民法;其调整关系为持续性不平等的处理关系;其保护群体同时囊括个体与群体;其保护法益兼具公益与私益;其告知同意制度具有合同的表面特征,但与合同具有本质性区别;其损害救济需要面对大规模、微型、不确定性的伤害,与违约责任和侵权救济具有很大区别;其监管采取了合作治理模式,很多措施介于政府监管与自我规制之间。公私法本身是一种人为想象,其二元划分也并非历史必然。从公私法融合的角度出发,不仅有利于深化对
个人信息保护法的研究,而且可以为传统公法与私法提供新的制度想象。
关键词:个人信息;公法;私法;民法;
宪法;合作治理
随着我国《
个人信息保护法》的通过与实施,围绕这部法律的部门法属性再次引起了学界的关注与讨论。区别于传统公法与私法,《
个人信息保护法》首先是一部“领域性立法”,是专门针对个人信息处理而进行的立法,其中包含了大量的公法要素与私法要素。再加上这一领域吸引了公法、私法以及社会法、法理学等不同学科学者的深度参与,不同领域的学者又更倾向从自身的学术背景与知识传统切入这一领域的研究,更使得这部法律的部门法属性成为一个争议性议题。
《
个人信息保护法》到底是公法还是私法?或者更具公法属性还是更具有私法属性?这一问题有多种讨论方式。一种讨论方式是通过讨论将《
个人信息保护法》划入某个学科,例如
宪法行政法、民商法或者社会法、法理学学科。而另一种讨论方式是,通过讨论深化对这部法律的认识。在本文看来,前一种讨论方式不仅没有意义,而且还可能对学术风气造成重大伤害,导致学科本位主义或“饭碗法学”。
[1]而后一类讨论虽然已经很多,但仍然有进一步拓展的必要。一旦超越学科利益之争,将《
个人信息保护法》的部门法属性讨论转化为个人信息保护的一般理论与制度问题,可以大大深化对这部法律的认识。
本文在已有研究的基础上对《
个人信息保护法》的公私法属性进行进一步研究,同时也指出,公私法是一种人为拟制,并不存在绝对的公法或私法。即使看上去最“纯正”的公法,也蕴含了私法因素;反之亦然,即使看上去最“纯正”的私法,也离不开公法的介入。公私法的二元划分本身就是一种历史想象。同时,法律制度的拟制最终是为了实现法律的良法善治,而非为了制度想象的完美。因此在法理层面,公私法融合研究指向了面向生活、具有马克思主义认识论与实用主义特征的法学研究。这种法学研究进路要求研究者避免将既有公法或私法框架简单套用在
个人信息保护法上。相反,研究者应像马克思主义所教导的那样,采取直面真实世界和棘手问题的研究态度对待公私法的协调与配合问题,并在实践中检验理论的解释力与指导性。从面相真实世界的研究方法出发,可以深化对
个人信息保护法相关制度的认识,也可以为公法研究与私法研究提供创新与突破的历史契机,促进传统公私法研究的突破。
一、法律渊源的公私法融合
就法律渊源而言,《
个人信息保护法》既具有
宪法等公法性渊源,又具有民事法律渊源。在《
个人信息保护法》的制定过程与学术讨论中,早期学界比较聚焦的是《
个人信息保护法》与《
民法典》的关系。这其中原因之一在于,个人信息保护与隐私权保护有着千丝万缕的联系,早期介入个人信息保护研究的学者,除了一部分公法学者从规制的角度切入,
[2]更多学者都从隐私权研究切入,对个人信息保护进行研究。
[3]此外,我国《
民法典》刚好在《
个人信息保护法》之前制定,而且《
民法典》人格权编独立成编,在其中纳入了大篇幅的个人信息保护条款,这就使得《
个人信息保护法》与《
民法典》具有极为密切的关系。
相较之下,《
个人信息保护法》的
宪法渊源在制定过程中长期未得到明确,《
个人信息保护法》的一二审稿草案都没有写入“根据
宪法,制定本法”的表述。但在2021年6月24-25日举行的内部专家讨论会上,《
个人信息保护法》的
宪法渊源得到了专家学者和起草者们的认可。在最终通过的正式版本中,“根据
宪法,制定本法”也出现在法律文本中。
[4]因此从法律文本来看,《
个人信息保护法》的公法渊源已逐渐明确。
[5]
从比较法的角度看,
个人信息保护法在有些国家和地区也呈现了公私法的双重渊源。以欧盟为例,欧盟的个人数据保护法具有更显著的公法渊源。例如《一般数据保护条例》第1条即明确,“本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利”,其“重述”又进一步明确其法律渊源:“在处理个人数据方面保护自然人是一项基本权利。《欧盟基本权利宪章》(‘宪章’)第8(1)条和《欧盟运作条约》(TFEU)第16(1)条规定,每个人都有权保护自己的个人数据”。
[6]当然,《一般数据保护条例》也将很多具体制度的法律渊源追溯到民事法律制度上。例如对于因为违反本《条例》而受到物质或非物质性伤害,其赔偿需要通过各国的民事法律制度进行判断。
[7]
相较之下,美国个人信息保护法的私法渊源相对明显。需要指出,美国的法律一般不在其法律文本中标明其法律渊源,因为美国法一般认为其效力渊源来自美国人民或州公民。但从其文本与相关特征来看,仍然可以看到美国个人信息保护法的市场调整法的特征。在美国的信息隐私法体系中,除了《隐私法》(
The Privacy Act of 1974)规制联邦规制机构,以及《家庭教育权利与隐私法》(
Family Educational Rights and Privacy Act of 1974)规制公共性机构之外,美国联邦和州层面的大多数信息隐私法都主要针对市场,具有市场矫正法的特征。例如《公平信用报告法》(
Fair Credit Reporting Act)具有针对信用市场的特征;联邦有线通讯政策法案(
Cable Communications Policy Act)、视频隐私保护法(
Video Privacy Protection Act)具有分别保护特定领域市场的特征。
[8]至于《加州消费者隐私保护法》和《弗吉尼亚州消费者隐私保护法》,则更是具有非常明显的消费者保护法特征,而且前者还被编撰在《加州
民法典》中。
[9]因此,美国的
个人信息保护法可以被视为消费者保护法或者特殊类型的消费者隐私保护法。这些法律具有明显私法属性,但也具有显著的公法特征。
欧美
个人信息保护法法律渊源的区别,其实也反应了欧美法律制度的特点。在欧洲,公法私法化在不少民事权利保护中扮演了重要角色。例如对于隐私权保护,德国就是以其基本法中的人格尊严条款作为渊源,在“读者来信案”“骑士案”“伊朗王后案”等案件中最终确立了民法上的隐私权保护。
[10]对于与个人信息保护密切相关的“个人信息自决权”,德国宪法法院也是从
宪法层面寻求法律渊源。
[11]至于在欧盟层面,由于欧盟是一个人为通过
宪法而建构的共同体,则更是经常通过公法的私法化而寻求欧盟人权与统一市场的建构。
[12]相反,美国的法律模式没有公私法的严格区分。美国的
宪法模式以消极权利保护为主,对立法与政府规制保持防范的立场。在这样的背景下,美国的很多立法与规制机构所进行的规则制定(rulemaking)与案例裁判(adjudication),往往具备市场调整法的特征。
[13]这些法律常常会被认为是矫正或完善市场的一部分,但又在实质上具备公法介入的特征。如果说欧洲的法律更多为公法的私法化,那么美国的立法则更多为私法的公法化。
对比欧美,我国的《
个人信息保护法》更为偏向公法私法化还是私法公法化?从文本上看,我国与欧盟更为接近,因此或许可以被视为公法的私法化。但无论是文化背景还是关注重点,我国的《
个人信息保护法》与欧盟的《一般数据保护条例》都存在较大区别。正如笔者在其他地方论述,我国的
个人信息保护法并没有欧盟那么显著的意识形态特征。如果说欧盟将个人信息处理视为本身即对个人产生威胁的活动,那么我国则相对更为实用主义,更多关注伴随个人信息处理活动的各类风险与问题,特别是企业与市场主体收集与处理个人信息带来的问题。
[14]因此,我国的《
个人信息保护法》具有较为显著的消费者保护目的。从公私法特征来看,可以说我国的《
个人信息保护法》虽然在文本上具有公法私法化的特征,但在实质上也具有显著的私法公法化特征。
[15]
二、调整关系的公私法融合
就调整关系而言,
个人信息保护法所针对的是一种“持续性不平等关系”。一方面,各国都将平等主体排除在
个人信息保护法之外。例如中欧这样采取统一立法的国家和地区,都在其法律条文中明确排除了“因个人或家庭事务而处理个人信息”。
[16]而美国《加州消费者隐私保护法》和《弗吉尼亚消费者隐私法》则把中小企业或非专业化商家排除在外。可见,
个人信息保护法所调整的法律关系具有不平等性,只有对那些具有专业化或商业化信息处理能力的主体,才能被认定为法律上的“控制者”或“处理者”,成为
个人信息保护法所防范和治理的对象。
个人信息保护法所调整的不平等关系还具有持续性与支配性特征。在信息处理者与个人所形成的关系中,双方的不平等不仅仅是大企业与个人、专业化信息处理者与个体之间的能力不平等问题,也不仅仅是信息不对称所引起的信息不平等。相比传统市场中产品的信息不对称,个人信息一旦被信息处理者收集,就可能长期为信息处理者利用甚至操纵。
[17]这就使得个人信息保护中的不平等关系与一般的信息不对称具有重大区别。正如巴尔金所言:“除了信息不对称和缺乏透明度外,还存在权力不对称,因为一方控制应用程序的设计,另一方必须在该设计内操作。收集数据后,总有被操纵的危险。但在接口和服务的设计中,也存在着操纵,以鼓励数据共享并隐藏我们的选择和行动的后果。”
[18]信息不对称可以通过信息披露矫正,而支配性的不平等则很难仅通过信息机制来解决。
从部门法属性看,
个人信息保护法所调整的不平等主体关系呈现了公私法高度融合的特征,区别于传统公法或私法。就私法而言,传统私法强调主体平等性,且以平等原则拟制所调整主体的关系。例如我国《
民法典》第
2条规定:“民法调整平等主体的自然人、法人和非法人组织之间的人身关系和财产关系。”第4条规定:“民事主体在民事活动中的法律地位一律平等。”这就使
个人信息保护法的制度设计与传统私法存在较大区别。在消费者保护、劳动者保护的法律制度中,私法中就嵌入了很多公法因素,以实现法律的倾斜保护。
[19]在个人信息保护的法律制度中,这种倾斜保护特征更为明显。
[20]无论是我国还是欧美,全球个人的信息保护法都以公平信息实践为基础,一方面赋予个人以知情选择权、访问权、删除权、携带权等多项权利,另一方面对信息处理者施加相应义务和其他责任。
就公法而言,
个人信息保护法所调整的关系也与传统的公权力与个人关系不同。无论是我国的《
个人信息保护法》还是欧盟、日本等国的法律,都以“处理”为前提,只针对那些采取了自动化、半自动化或大规模存档行为的国家机关。正如欧盟《一般数据保护条例》所述,“本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理”。因此,
个人信息保护法所调整的国家机关与个人之间的关系更接近于国家机关雇佣个人所形成的劳动关系,而非传统国家权力与公民之间的关系。如果国家机关对于个人的信息并不存在自动化或半自动化的处理行为,也不存在大规模的手动存档行为,则此类行为并不构成处理,不属于
个人信息保护法所调整的范畴。例如国家执法机关的工作人员在日常执法中进行的偶发性的查证、问询,但不对信息进行系统化存储与处理,则此类行为不受《
个人信息保护法》调整,而受其他
宪法性法律或《
民法典》隐私权规则的调整。在学术研究的划分中,由国家执法监控所导致的个人信息保护问题也常常被划入其他领域的研究范畴,例如监控研究(surveillance)或
宪法隐私(constitutional privacy)研究。
[21]
从历史角度看,个人信息保护所调整的主体关系也呈现了公私法融合的特征。个人信息保护的产生背景是行政规制机构大规模收集与处理个人信息,因此很多早期立法都针对政府机构,具有显著的公法特征。例如美国于1974年制定的首部具有正式
个人信息保护法特征的《隐私法》,
[22]就以联邦政府规制机构为对象,将私营主体排除在外。在立法听证过程中,以威斯丁为代表的专家明确主张,虽然私营企业也开始收集个人信息,但其规模和风险还不足以需要法律对其进行规制。
[23]欧洲大陆首部
个人信息保护法——德国的《黑森州数据保护法》——也同样针对行政机关。这一法律明确从分权制衡原则出发,将监管机构设立在黑森州议会之下。
[24]但随着时代的发展与信息科技的进步,大规模收集与处理个人信息的主体发生了变化,企业开始收集越来越多的个人信息,并进行深度挖掘与处理。在这样的背景下,原先被适用于规制机构的个人信息保护制度开始广泛应用于私营主体。
在西方传统法学研究中,不平等关系曾经一直处于边缘地位。在大陆法系,平等原则一直被认为是民法的奠基性原则,直至现代民法,才出现了消费者保护、劳动者保护对“弱而愚”的人的关注。
[25]在美国,由于美国对于市场制度的崇尚,消费者保护、劳动者保护等问题经常被转换为信息不对称等市场不完善问题。但在反就业歧视等领域,社会性的不平等与社会权利也开始凸显。特别是随着网络平台的兴起,一些学者指出,社会与市场领域已经出现了大量的“平台权力”“数据权力”“算法权力”。
[26]在这样的背景下,有学者指出,西方社会的很多问题都不宜再用公私二元的框架进行分析,而应当采取国家——社会主体——个人的三元框架。
[27]在我国,这一三元分析框架很早就在
劳动法、社会法等领域被接受。随着
个人信息保护法的讨论深入,这一法律所调整的不平等关系也开始逐渐成为立法者与学术界的共识。
[28]
三、保护群体的公私法融合
就保护群体而言,个人信息所保护的既有个体权益,又有集体权益。个人信息保护首先与个人信息权利或权益密切相关,无论是威斯丁所说的“个人、群体或机构对自身信息在何时、如何以及在什么程度与他人沟通的主张”
[29]还是上文提到的德国语境下的个人信息自决权,都从个体权益的角度出发;个人信息保护法制度中的各种个人信息权利,也都反映了典型的个体权益的思维。但
个人信息保护法也对作为集体的个人信息权益进行保护。例如,各国法律一般都要求信息处理者遵守目的限定(purpose limit)、数据最小化(data minimizaiton)、隐私设计(privacy by design)、隐私影响评估(privacy impact assessments),雇佣数据保护官(data protection officer)、企业审计(audit),遵守行业行为准则(code of conduct)。要求信息处理者满足这些原则,可以对集体性的个人信息权益进行保护。
[30]
需要指出,个人信息所保护个体权益与集体权益经常互相转化。正如各类官方文件与学术研究指出,个人信息被保护权并非一种绝对性权利,个人信息兼具个体属性与公共流通属性。
[31]这使得法律对个人信息的过度保护和保护不足都会带来外部性问题,从而影响集体性权益。一方面,如果对个人信息过度保护,赋予个体以绝对化的个人信息权利,阻碍或不允许企业与公共机构对个人信息的合理正当利用,则个人信息的正外部性特征就会丧失,所谓的大数据优势也就无从谈起。另一方面,如果对个人信息保护不足,那么个人信息就会产生“数据污染”(data pollution),引起类似环境法中的副外部性问题。
[32]当个人信息保护不足的风险产生聚焦效应,由此产生的系统性风险就会对集体性权益产生重大影响,因为个人信息往往可以交互联系,某一个体的个人信息很可能会被用于识别、分析和支配其他个体。
集体权益保护也会对个人信息权益保护的边界产生影响。近年来,数据信托、数据治理等概念成为热门概念。数据信托或数据治理的重要特征之一就在于,需要超越个体信息权益保护,对数据生态进行综合治理。当一个国家和地区的数据生态呈现良好状态,由个人信息收集与处理所导致的相关风险得以良好治理,则个人信息保护与合理利用的天平就可以向后者倾斜;相反,当相关数据生态遭到破坏,各类数据黑产、数据不规范交易猖獗,则个人信息就需要更多保护与限制。否则,不但个人将面临相关无法承受的风险,整个行业的数据信任也将遭到破坏,反噬数字经济的发展。
从部门法的角度看,个体权益与集体权益的融合也说明了
个人信息保护法的公私法融合特征。在传统法学体系中,一般而言私法倾向于调整个体权益;公法倾向于调整集体权益。以西方的
劳动法为例,一般认为调整个体
劳动法的雇佣法(employment law)更偏向私法;调整集体劳动关系的
劳动法(labor law)则更偏向公法。但这种二元划分也受到了很多批判,因为包括
劳动法在内的很多制度,其对个体权益与集体权益的保护往往高度交叉。
个人信息保护法更是具有收益与风险的外溢型特征。
[33]因此,不少学者将其与环境法类比,阐述
个人信息保护法中同时蕴含的私人权益与集体性权益的融合。
[34]
四、保护法益的公私法融合
保护法益与上一部分所探讨的保护群体具有一定重合性,但也有较大不同。个体权益可能具有公共属性,反之,集体性权益也可能是一部分私人权益的集合。
一方面,个人信息所保护的法益可能是私益,例如个体的自主利益。对此,学术界已有大量论述。例如,查尔斯·弗雷德(Charles Fried)指出,法律不仅仅需要保护个人隐私不被窥探,还需要保护“我们对于自身信息的控制”,以维护自身的自主利益。
[35]阿瑟·米勒(Arthur R.Miller)主张,法律应保护个体“对于自身对于相关信息流通的控制能力,这种能力对于维持社会关系以及自身自由都至关重要”
[36]。朱丽叶·科恩(Julie E.Cohen)指出,个人信息保护可以“让人们有喘息的空间”,让个体免受同侪压力(peer-pressure)以及来自商业社会所激发的欲望。
[37]丹尼尔·索洛夫(Daniel Solove)也曾提出,个人信息保护可以“为人们提供通知、访问和控制其数据的能力”,这可以在“越来越多地使用个人数据对他们做出决定的世界中促进某种自主性”。
[38]
但个体信息权益也可以同时成为一种公益。在过去数十年的数据隐私研究中,学者大概从不同方面对数据隐私的公益性进行阐述。首先有学者指出,数据隐私有利于作为公民主体的权益发展,从而保护公共利益。例如科恩教授指出,个人信息保护同时具有社会价值,可以“促进与自由民主公民身份、创新和人类繁荣相关的基本公共政策目标”。
[39]索洛夫教授也指出,个人信息保护可以保护个体避免“社会的压迫性”,从而保护公共利益。
[40]