如何看待大数据时代个人信息的使用与保护,是当下法学研究与法律实践的最大热点与难点问题之一,并在不同的国家形成了不同的基本立场。近期,随着《个人信息保护法(草案)》(以下简称《草案》)的公开发布,又形成了一股新的讨论热潮。随着讨论的日益深入,以及更多利益相关方的介入,不同的立场和观点日益浮现。虽然有些观点难免极端,但兼听则明,对于我国建设成熟、理性的个人信息法律制度,从长远上是有益的。《草案》说明中表明要确立一种“平衡的”法律制度框架。从字面意义上理解,估计大部分人都不会拒绝对个人信息进行平衡的法律治理。但是,何谓平衡的,则是仁者见仁,智者见智。本文从法理而非规范的视角,谈谈对个人信息保护的利益平衡的看法。
个人信息虽然是个人的信息,但是背后有很多利益相关者。这些利益相关者大致可以归纳为三大类:个人、政府和企业。
无论如何定义,个人是自己信息的利益相关者,也是最大的利益相关者。其中的利益既包括隐私以及相对应的人格权,也包括经济利益以及相对应的财产权利,还有“我想静静”及其相对应的个人自由或者自决权。在现代社会,个人针对自己的信息不仅仅有实然上的利益,还有广泛的被私法和公法所保护的个人法定权利。当然,在个人范畴层面,还有其他利益相关者,比如配偶和监护人等针对个人信息的处置,也是一个值得认真对待的个人信息权利问题。为了避免问题的复杂化,本文不讨论其他个人针对本人信息的实然或者应然利益。值得明确的是,本人对个人信息享有的利益不仅仅是实然上的利益,其中的大部分已经或者应该成为法律上的权利。
除了个人以外,政府也是个人信息的当然利益相关者。在诸如人口统计、户籍管理、交通处罚、疫情防控、定罪量刑等社会治理领域,政府都需要掌握一定程度的公民个人信息,并在特定场合无需个人同意而进行使用和处置。政府针对公民个人信息的核心利益是代表全体国民建构并维持社会秩序,其中部分已经或者应当成为法律所明确赋予的权力。
在上述个人的私人利益(很大部分为法定“权利”所保障)和政府的公共利益(仅限于法定“权力”所设定)之外,以数据公司为代表的企业也是个人信息的重大利益相关者。但是,企业并非是个人信息的当然权益享有者。从实然层面看,数据公司是目前开发和使用个人信息的巨大商业受益者。没有对个人信息的采集,基于个人信息进行经营的数据公司以及与之相关的行业,就失去了存在的基础。所以,从实然看,数据公司是个人信息的利益相关者,其核心利益是商业利益,最终受益者是企业的投资人。但是,从应然层面看,数据公司是否对个人信息享有应然的权利,却并无确凿的法定理由,这也是争议比较大的地方。
那么,我们是否应当给予数据公司实然的利益以应然的法律保护?如果是的话,应该给予何种法律上的权利保护?先简要回答第一个问题,答案是肯定的。这里有两个原因。其一,只要“人畜无害”,即便纯粹是为了企业及其投资人的自身利益,我们也应当支持企业的商业利益。其二,基于个人信息的开发和使用而形成的数据产业关乎国家“智慧治理”的前景,也决定着人类社会能否更好地进入数字时代,因此数据公司的商业利益在很大程度上也是社会发展的动力源泉。但随之而来问题是:如何在尊重个人权利、政府权力的基础上,同时保护数据公司的利益,并使得三者能够在未来的法律架构下实现利益平衡?
如果我们承认个人、政府和企业都是个人信息的合理利益相关者,那么传统以个人利益为重心的私法保护模式,或者以公共利益为核心的公法规制模式,虽然都有重要的法理依据,但都会有失偏颇。为了避免读者会误解本文的立场,本人首先要明确 :对个人信息的私法保护,无论是最狭义的财产权保护,还是更加宽泛的人格权保护,甚至上升到人的自由与尊严的宪法权利,都是必要的。在我们国家,对于个人信息的私法保护,无论是科学立法还是严格执法,都是不够的。但是,加强个人信息的私法保护,不等于确立以私法为中心的个人信息法律治理模式。同理,对基于公共利益和社会秩序的个人信息利用,当前对政府的法律授权也不够科学,在个别领域力度不够。
有很多政府行为的批评者认为,当前法律对政府的授权太多,导致政府滥用个人信息的现象时有发生。本人不太同意这种看法。当前导致政府滥用个人信息的制度原因不是公法授权太多,而是公法授权不明和私法保护不力的双重原因导致的。由于公法和私法的双重原因,不仅导致在一些领域中,政府侵犯公民个人信息的行为时有发生,还导致在另一些场合,政府应当合理使用、分享个人信息的时候,又裹足不前。所以,对于政府和公民在个人信息上的关系,要同时看到上述硬币的两面,否则就会发生误解。考虑到不仅仅要加大对公民个人信息的权益保护,也要一定程度上加大并规范对政府的授权,同时要适度考虑企业的利益,那么如何在一个法律治理体系中实现“既要......又要”?本文认为,在法理上,最核心的问题是对三类主体现实和潜在的利益进行合理分类,通过利益类型化来实现法律上权利 / 权力的规范化。
下图 1 对上述三类主体个人信息的立场与关系进行了初步的类型化。图示中的三个圆圈分别表示了个人、政府和企业针对个人信息已经有的或者可能有的法律权利(权力)。
对于个人而言,区域 1 表示法定的、排他性的个人信息权利——这主要体现为个人的隐私权利。另外,区域 4、5、7 部分表示可以经过个人同意而分别由政府或/ 和企业采集、使用、流转或者公开的个人信息,这主要体现在个人读书、就业、消费、旅游等具有一定的身份识别性,但不太涉及到隐私的信息,有些甚至是不直接具有身份识别性的个人行为信息。
对于政府而言,区域 2 是法定的排他性权力,主要体现在维护社会秩序和特定的公共利益方面,比如合乎法律程序的为调查犯罪、维护国家安全所进行的监控等,政府可以不经个人和企业的同意,直接采集、调取、使用,并且必要时公开个人信息。同理,区域 4、6、7 表示,在征得个人或 / 和企业的同意之后,政府可以使用和开发个人信息数据。相对而言,区域 2 的政府权力主要是为了实现维护国家安全和基本社会秩序的“托底性”功能,而区域 4、6、7 则是为了优化、创新国家治理的“服务性”功能。
在图 1 的基础上,本文提出如下“三位一体”的个人信息法律治理架构:对公民个人信息的采集、使用、流转、公开和保护等活动,应该围绕公民、政府和企业这三类利益相关者的权益,建构起同时纳入多种法律规范(民法、商法、行政法、刑法和宪法等)的整体性法律治理架构。
其中,对于“第一体”的个人之于自身信息权益的治理,应当以“私权 + 保护”为中心,重点是明确个人信息权益绝对不应被侵犯的领域(图示中的区域 1),这相当于给政府和企业使用公民个人信息设立了一个“负面清单”。对于“第二体”的政府之于个人信息权力的治理,应当以“公法 + 规制”为中心,重点是明确政府可以使用个人信息的权力边界(图示中的区域2),相当于为政府设定一个“正面清单”。而对于“第三体”的企业之于个人信息权益的治理,其重心是在上述“负面清单”和“正面清单”之外,引导企业和个人 / 政府进行规则博弈和利益商谈,尽可能实现商业利益和社会发展的最大公约数。
从法理上看,上述“三位一体”的治理架构是能够对公民个人信息保护和使用实现“利益平衡”的方案。当然,这个“三位一体”法律治理架构也只是在法理层面探讨的,其具体的制度设计应当如何开展,还有待规范法学的检讨和验证。为了面对潜在的批评,本文就公民个人信息是否保护以及如何保护,再补充两点看法:
其一,本文一直用的是法律治理而不是法律保护,是想提醒理论界和实务界,针对公民个人信息,保护固然是基石,但是不能只关注保护,否则会让我们失去一次领航数字时代的机会。在过去几百年的几次工业化和现代化浪潮中,我们失去了先机,希望这次能够把握。所以,未来的法律治理架构应是平衡保护和使用的治理架构。
其二,对于可识别性的公民个人信息,我们要坚持以保护为中心的立场。但是也要同时注意到,在大数据时代,已经有越来越多的、由公民个人形成的信息,不再具有直接的可识别性,或者很容易通过数据清洗工作使其不再与公民个人的身份挂钩。因此,对于信息开发和使用而言,法律治理的重心应当是正面引导和激励企业从事数据的开发和加工,而不是简单通过对个人信息采集和交易而盈利。只有这样,对公民个人信息的使用才会有更多“正能量”。
