《民法典》时代个人信息权的国家保护义务
作者:
赵宏,法学博士,中国政法大学法学院教授。
引言
为因应大数据时代下对个人信息的保护,2020年5月28日颁布的《中华人民共和国民法典》(下称《民法典》)在第111条中明确申明,“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。这一规定对此前散见于《中华人民共和国刑法修正案(七)》《中华人民共和国侵权责任法》《中华人民共和国消费者权益保护法》《中华人民共和国网络安全法》(下称《网络安全法》)与《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律规范中的信息保护规定进行了阶段性汇总,也将个人信息保护提升到全新高度。
但《民法典》仅申明“自然人的个人信息受法律保护”,而并未像前款“隐私权”一样,将个人信息保护作权利化处理。因此很多学者指出,《民法典》对于个人信息的保护仍旧有所保留。仔细品读《民法典》的立法说明和背景资料大致可得,《民法典》采用上述处理方式的用意主要在于:其一,信息权作为一类新型权利,其范畴、意涵与定位至今都存有较大争论,因此不宜在《民法典》中过早框定,而应交由专门的个人信息保护法处理;其二,如果将个人信息予以权利化处理,在此项权利边界未明的情况下,容易导致个人的信息独占影响数据流通。
尽管未将个人信息予以权利化处理,但《民法典》却已搭建起个人信息保护的基本制度框架,包括个人信息的界定,处理个人信息的原则要件、信息主体与信息处理者之间的权利义务关系等。尤其值得一提的是,因为《民法典》在第111条指出,个人信息保护指向“任何组织与个人”,“任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,此处的“任何组织或者个人”当然包含国家公权机关,故《民法典》虽然是私权的汇总,却同样纳入了对个人信息的公法保护。从这个意义上说,上述规定填补了此前我国法制整体对于个人信息公法保护的缺漏。
新近提交第十三届全国人民代表大会常务委员会第二十二次会议审议的《中华人民共和国个人信息保护法(草案)》(下称《个人信息保护法(草案)》)中,同样在“总则”第11条写明,“国家建立健全个人信息保护制度”。其第二章“个人信息处理规则”专节处理“国家机关处理个人信息的特别规定”,第六章更细致规定“履行个人信息保护职责的部门”。这些规定与《个人信息保护法(草案)》中有关私人信息处理主体的规定相互并置,可说确立了我国在个人信息保护领域公私协力、合作共治的基本格局,也彻底化解了此前有关“数据立法的公私之争”。
基于上述思考,笔者首先从个人信息权的传统保护路径和复杂属性出发,尝试在将个人信息权塑造成基本权利的基础上,以基本权利教义学为参考,廓清个人信息权公法保护的基本框架,进而以《民法典》和《个人信息保护法(草案)》为规范基础,探讨这一保护框架下所涉及的具体问题。笔者尝试在《民法典》时代下,梳理出个人信息权公法保护所涉及的核心问题和思考难点。
一、信息权的保护路径与复杂属性
(一)信息权的属性与保护路径之争
典型的代表性意见之一是将信息权作为财产权来处理。“像保护私有财产一样保护个人数据”反映的就是这种呼声。这种意见的支持理由除了信息数据的确可以销售并带来经济收益外,还包含了学者希望经由“个人数据的财产化”(propertizationofpersonaldata),以通过财产侵权模式来保护个人数据的考虑。支持个人信息权属于新型财产权的学者,在我国最初不在少数,但这种观点很快被数据人格权的观点所替代。其思考脉络在于,现代数据技术已经将个人降格为硬盘中可被随时调取且分析的数据,通过获得、汇集和整合人们在日常生活中所留存的种种生活轨迹,数据技术已完全能够在短期内描摹出与个人实际人格相似的数字人格。既然数据已然成为个体完整人格的投射,人格权保护就应拓展至个人的数据人格。对个人信息的保护,也成为数据时代下对个体人格权保护的延伸。这种将数据权人格权化的处理为德国首创,之后在欧盟获得普遍认可。数据人格权的处理为个人信息权提供了人性尊严、个人自治(自我确定和自我展开)的宪法教义学支持,也一举将个人信息权从最初的私权提升至基本权利的位阶序列。
在被提升为基本权利后,个人信息权被描述为个人基于自我确定(Selbstbestimmung)和自我展开(Selbstentfaltung)的自我决定权,其概念和意涵又主要凝结于德国法上的“个人信息自决权”,即“个人具备权利,以自行决定何时并在何种限度内披露其个人生活的事实”。在被提升为基本权利后,信息权具有了对抗国家的面向,其不仅可以防堵私主体,同样可以防御国家借由对个人信息的无限度收集和违法使用,而对个人生活轨迹予以巨细靡遗的描绘。
(二)“信息权”权利化处理的问题
但无论是将信息权形塑为私法上的财产权还是人格权,抑或按照信息自决权或宪法隐私权的基本权路径对其予以保护,因为受制于传统权利建构模式的影响,信息权都被或多或少地赋予绝对化和个体化的色彩。而这又与数据时代下基于数据自由流通所欲追求的公益和其他法益之间形成张力。以信息自决权为例,其意涵是“个人对其一切具有识别性的个人信息的收集、处理和利用均享有决定权和控制权”,也因此要求信息主体要对数据的获取、处理过程完全知情和充分参与。这就导致个人对数据的自决与控制自始就包含一种绝对化的趋向。知情同意最初作为调控信息保护的首要原则,也正是基于个人对信息的控制要求。德国联邦宪法法院在最初提出信息自决权概念时,已经意识到这一问题,并尝试通过指出“信息自决权并非无限,对其自身信息,个人并不具有任何绝对或无限的控制”,“为了迫切的公共利益,个人在原则上必须接受对其信息自决权的某种限制”,来对其绝对化趋向予以缓解。与德国信息自决权思路一脉相承的欧盟《通用数据保护条例》(GDPR)同样申明,“保护个人数据的权利不是一项绝对权利,应考虑其在社会的作用,并根据比例原则与其他基本权利保持平衡”。
二、信息权公法保护的基本架构和国家的双重义务
以德国基本权利教义学为参考,公法对于基本权利的保护主要通过如下方式展开:首先是国家的消极义务。消极义务的基础在于基本权利的防御权(Abwehrsrecht)功能,即所有的基本权利构筑出一个私人生活领域,在此领域中排除国家的不当干预,而国家为此所承担的义务也仅是对此私人自由和自治空间予以尊重、保持克制、不予犯进。其次是国家的积极义务。积极义务要求国家必须积极作为以帮助和促进个人基本权利的实现,积极义务先是通过个人的给付请求权获得表现,此外在个人基本权利受到第三方影响时,国家还负有义务为其提供保护。后者在德国法中被归纳为国家的保护义务(StaatlicheSchutzpflichtung)。概言之,国家对基本权利的积极义务主要由给付与保护来构成。上述法教义框架对于我国宪法学同样影响深远,我国在2004年修宪时,将“国家尊重和保障人权”规定于《中华人民共和国宪法》第33条第3款中。这一条款不仅被宪法学者延伸解释为我国基本权利的概念性条款,宪法学者还比对德国基本权利教义的上述结构,从“尊重”和“保障”用语的差异与并置中推演出国家对于基本权利的双重任务,即“尊重”代表了国家对基本权利的消极义务,而“保护”则对应国家的积极义务。
(一)国家对于信息权的双重义务
既然信息权已被提升至基本权序列,那么将上述思考模式适用于信息权的公法保护,国家为此承担的义务就同样可拆分为两个方面:首先是消极义务。这种义务在信息权保护中表现为个人基于信息自决免受国家对其信息的无限度收集和不当使用。消极义务的目标在于防堵国家在数据时代下,借由数据调取和数据整合技术,产出部分或是几乎完整的“个人轮廓”,并由此对公民的私人空间和自决能力予以削减。其次是积极义务。在积极义务方面,因为对信息权的保护几乎并不需要国家的积极给付,这一部分就着重体现为个人作为信息主体,面对与其地位不对等的其他信息控制者时,国家须承担的介入和保护义务。
上述公法保护的基本架构如图1所示。
图1公法保护的基本架构
回溯至《个人信息保护法》的起草过程,公法保护和私法保护对于数据权的全面保护虽都不可或缺,但在立法过程中,还是出现过个人信息保护的重心究竟落脚于行政法保护还是民法保护的争论。这一争议又延伸出个人信息的保护模式以及政府与个人责任分配之争。但大数据时代下的数据保护难题却证明,个人信息保护已经远远超出了公私法二分的传统格局,单独倚重任何一个方面都会有所欠缺,而真正有效的治理模式必然是一种多元并行的综合框架。
(二)《民法典》与《个人信息保护法(草案)》中的双重保护架构
三、消极义务下的数据公法保护规则与问题
上文论及数据时代下私主体在信息收集和使用方面的经济动因,对于国家而言,数据收集和处理作为治理手段同样重要且极富吸引力。从我国的既有实践看,如果说最初国家利用采集指纹、身份登记、视频监控、实名注册等数据处理技术,所欲追求的只是在城市化疾速发展的背景下,保障社会稳定、打击犯罪、强化治安等目的,那么现在的数据处理技术早已使数据跃升为国家基础性的战略资源,大数据发展也成为国家发展战略的重要构成。2015年国务院发布的《促进大数据发展行动纲要》就指出,大数据成为推动经济转型发展的新动力,重塑国家竞争优势的新机遇,提升政府治理能力的新途径。以此次抗疫为例,数据收集、整理和排查自始就是政府抗疫工作的关键,其适用也大大提升了抗疫工作的针对性和实效性。因此,我们在数据技术疾速发展的背景下,论及数据流通所要维护的“公共利益”,其内涵除了传统的公共安全外,还直指“数字中国”“数字政府”这些提法背后所倡导的全新公共治理技术,以及借由数据治理所欲达到的“推动政府治理精准化、推进商事服务便捷化、加快民生服务普惠化”的公共目标。
因为政府治理与数据技术结合的不断拓展,由“物尽其用”延伸出的“数尽其用”,便成为支配政府“数据治理”的基本准则。反映在近年的公共政策推进上,我国最早推行电子政务时就着力于数据库建设。之后伴随政府信息公开的深入,又提出政务部门不仅要“主动为企业和公众提供公益性信息服务”,还要“积极发展信息资源市场,发挥市场对信息资源配置的基础性作用”。这些早期的政策探索都为此后政府进一步开放政府数据,制定大数据战略,推进数据产业发展奠定了基础。迄今,“政府数据开放共享、数据产业创新发展和安全保证”更被总结为政府大数据发展的三大任务。
“数尽其用”强调的是在公共政策上国家对数据技术的积极利用和对数据治理的持续推进,但将这些举措放在法教义的框架下检视,所涉及的首要问题却是:国家的数据治理最终都会落脚于每项具体的数据收集和处理行为,而当国家公权机关以“公共利益”为名去收集和处理个人信息时,其法定界限何在?尤其是当我们用数据法中的一般原则去约束国家的信息收集和处理行为时,又会面临何种问题,需要作出何种调试?《民法典》和《个人信息保护法(草案)》在规定个人信息的处理原则时,都纳入了合法正当、必要(比例)、有限使用、知情同意、目的明确与目的限制等数据法的核心原则。下文就对这些原则对于公权机关的具体适用问题进行逐项讨论,并从中归纳出国家在履行信息保护的消极义务时所涉及的问题。
(一)合法正当
“合法正当”既针对数据收集和处理的目的,也针对其手段。这一要求除规定于《民法典》第1035条第1款中,“处理个人信息的,应当遵循合法、正当……原则”,还在本款第4项中被强调,处理个人信息应“不违反法律、行政法规的规定和双方的约定”。在《个人信息保护法(草案)》第13条中同样包含了更细致的国家机关处理和利用个人信息的“合法正当”说明。合法正当原则的纳入以及正当理由的列举也排除了自《网络安全法》生效以来,“知情同意”作为信息收集唯一合法性基础的操作准则。
一般而言,国家公权机关收集和处理个人信息的合法正当目的主要在于公益维护。上文所具体列举的“履行法定职责或者法定义务”“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全”等规范表述,都可被列入此类范畴。但从数据实践来看,如果仅是概观的、抽象的“公共利益”,并无法正当化公权机关所有的数据收集行为,因为概括性的公益目的几乎无法为限制公权机关不当收集和使用个人信息划定任何界限。而且,抽象的“公益需求”也不能在与个人的数据权衡量时被赋予绝对的、永恒的优先性。据此,如果公权机关在公共利益和个人的数据私益发生冲突时,以公益为由要求对个人私权予以合理限制,国家机关则应承担对“公共利益”予以具体化框定和说明的义务。唯有对所欲追求的“公益”在具体个人私权中予以详细说明,才便于对公权机关是否滥用数据、是否违反合法正当的要求进行评鉴,也唯有“公益”目的本身是足够清晰和特定的,公权机关才能从这些特定目的出发进行数据收集和使用。
事实上,从欧盟的数据实践来看,合法正当作为单独的原则对于防堵公权机关无限度收集和不当使用个人信息其实作用有限,而必须辅以其他原则。因此,即使《个人信息保护法(草案)》将“履行法定职责或者法定义务”“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全”等列举为收集个人信息的正当目的,但在规范表达上同样会附加“所必需”表达对其限度的限制。而在《个人信息保护法(草案)》第27条关于在“公共场所安装图像采集、个人身份识别设备”的规定中,除要求此类行为必须是“为维护公共安全所必需”,还规定必须“遵守国家有关规定,并设置显著的提示标识”。
(二)目的明确与目的限制
“目的明确与目的限制”一直也是数据保护的核心原则。这一原则首先要求数据控制者明确收集、使用个人信息的目的,禁止其为未来不特定的目的考虑收集、使用个人信息;其次则是约束信息控制者对信息的使用受所明示的目的限制,而不得将所搜集的信息作法定目的外使用。
除《民法典》第1035条明确列举目的明确与目的限制原则外,这一原则虽然未单独落实于《个人信息保护法(草案)》的具体条款中,但其要求却贯穿于第二章“个人信息处理规则”中,例如第18条规定,“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项:……(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;……”;第22条规定,“个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息……”;第24条第1款规定,“个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意”。
在目的明确与目的限制原则的公法适用上,还涉及如何平衡个人信息保护与基于公益目的的大数据开发利用之间的矛盾问题。单个信息的交换价值微乎其微,唯有信息聚合和数据利用才能产生出强大的分析价值。此外,因为网络技术的迅疾发展,信息主体和信息控制主体在信息收集时可能都无法充分预见信息在未来的可能价值。此时如果一律禁止个人信息用于其他目的,势必会造成资源浪费。由此,就要求在严格的“目的限制”之下应留存一定的例外。欧盟GDPR将“为公共利益、科学或历史研究或者统计目的而(对数据进行的)进一步处理”,作为“目的限制”的例外。欧盟指令也同时允许基于其他“额外目的”而对个人信息的“适当性使用”。对“适当性使用”的判断依赖于如下标准:其一,信息收集目的与预期进一步处理目的之间的关联;其二,个人信息被收集时的情形,尤其是信息主体与控制者之间的关系;其三,个人信息的性质;其四,预期进一步处理给信息主体可能造成的后果;其五,加密或匿名化保障措施的存在。但欧盟的上述做法同样引发争议。反对者认为,额外目的使用的允许,会通过功能渐变逐渐掏空目的限制原则。这种隐忧也的确提示了放宽目的限制的可能问题。
(三)知情同意
在欧盟和德国有关信息权的保护框架下,信息权被视为人格权的延伸,是基于个人自治对个人信息的自我控制,因此,“知情同意”一直被作为信息收集和处理的首要法则,这一原则确保了信息主体对于个人信息收集和使用过程的完全知情和充分参与,也体现了个人对于信息的自决与控制。
欧盟早在1995年的《关于个人数据处理保护与自由流动指令》(95/46/EC,下称95指令)中就将“数据主体同意”视为个人数据处理取得合法性的首要基础,而且“同意要求”的广泛存在,不仅及于作为数据控制者的私人机构,也及于公共机构;不仅及于对数据的采集,也及于对数据的传播、加工或其他处理行为。但将“知情同意”作为数据处理的首要法则,并贯穿于数据采集处理的全部过程,势必会抬高数据处理门槛,阻碍数据自由流通。鉴于此,欧盟GDPR尽管同样以“知情同意”为基础,建构了用户的访问、查询、更正、删除、撤回、限制、拒绝等个人信息自决权体系,但同时也规定了广泛的例外情形,由此在很大程度上缓和了严苛适用这一原则所带来的负面效果。从研究现状看,对知情同意原则的反思与改进一直都是数据法的重点,其目标也基本积聚于如何破除数据实践中知情同意的简单化、概括化与机械化偏差,并在提升这一原则的有效性之余,同样为信息流通和再利用预留空间。
将视线再转向欧盟GDPR,该条例在规定“知情同意”时,仅将其作为数据处理合法化的一种情形。与此相对,如果数据处理是“为了保护数据主体或其他自然人的重要利益”“是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要”,“知情同意”就不再适用,其也不再是数据处理的合法前提。从这个意义上说,欧盟法的一般观点也是,作为数据控制者的公权机关如在履行既定的公务职权,原则上就不再受制于“知情同意”原则。这也意味着,“同意”并非是公权机关进行数据处理的唯一合法性事由,“为履行法定义务或法定职责”同样会为其合法正当性提供证成。
在提交审议的《个人信息保护法(草案)》中,同样能够明显看到“知情同意”原则在个人信息处理中的优位性。其第二章“个人信息处理规则”中,第13条第1项明确将“取得个人的同意”作为个人信息处理者处理个人信息的一项合法要件,第14条至第17条则细致规定了有关“同意”的具体意涵。除个人信息处理中的“知情同意”外,第26条和第28条同样将“同意”作为个人信息处理者公开个人信息以及超出公开目的使用合法信息的合法性前提。而在涉及敏感个人信息时,“同意”的要求更会提高,如第30条要求取得个人的单独同意。概言之,《个人信息保护法(草案)》也的确如其说明所说,是“确立以‘告知—同意’为核心的个人信息处理一系列规则”。
但对权重增加的“知情同意”原则是否会同等程度地适用于公权机关,《个人信息保护法(草案)》作了特别规定,其第35条申明,“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外”。据此,“告知+同意”仍旧是公权机关处理个人信息的首要法则,其对公权机关的适用与私主体在原则上并无不同。又根据《个人信息保护法(草案)》的说明,强调“知情同意”对于国家机关的适用,其目的也在于提高国家机关在处理个人信息上的透明度,凸显个人在数据处理中的自主地位。但国家机关在履职中对此原则的适用存有明确的例外,包括“法律、行政法规规定应当保密”以及“告知、取得同意将妨碍国家机关履行法定职责的除外”等情形。从这个意义上说,《个人信息保护法(草案)》虽然在规范构造上将同意同样作为公权机关处理个人信息的法则,但在适用效果上,却如欧盟GDPR一样,削弱了知情同意原则对于公权机关履职行为的约束。
(四)比例原则与数据最小化
个人信息并非为个人所独占,在个人数据之上同时承载了个人利益、社会利益和公共利益;对个人信息的保护,也不能放弃数据流通的目的,而两者的平衡又须在对个人利益、他人利益、企业利益、市场利益和公共利益全面权衡的基础上实现。很多时候,为了满足公共利益的保护需求,个人都须让渡其部分乃至全部的信息权利。但依据基本权利教义,基于公共利益而对个人权利的克减又必须遵守限度、合乎比例,否则就会造成对此种权利的彻底否定和排除。
比例原则和数据最小化首先强调的是在数据收集方面的“有限原则”,即“无必要不收集”;其次还旨在防堵数据控制者对于所收集数据的深度分析和过度适用。本质上,比例原则和前文所说的数据战略中所倡导的“数尽其用”之间存在根本性矛盾。就数据库本身而言,其天然具有自我膨胀的本能,而且数据信息和数据资料越详尽越全面,其价值也会越高。因为数据与个人之间的匹配度越高,其所包裹的利益就越大。因此,无论是作为数据控制者的公权机关还是私主体,都会存在过度收集和深度分析数据的趋向。在私法领域,对数据的过度收集和深度分析,会导致个人因数据人格被贬损而彻底客体化;在公法领域,如果对于政府收集和分析数据的行为不加限度限制,也很容易就引发政府通过对数据的广泛采集和深度分析,而对人群进行“数据监控”。这种数据监控不仅会造成公民生活的透明化,会屏蔽异见和反对声音,也会诱使政府根据数据对人群进行“数据歧视”和“数据操控”。此外,数据的大量聚集,亦会为数据安全带来隐患,这些因素都成为比例原则发生作用的原因。
四、“用户—平台—国家”三边关系下的国家积极义务
国家在数据保护中所承担的消极义务在于防堵国家对于个人信息的无限度收集和不当使用。但除国家公权机关外,个人作为信息主体的信息保护和数据安全还同时面临其他私人主体的威胁。在数据时代,信息主体与信息控制者之间的矛盾又主要呈现于“用户—平台”的私法关系中。
互联网平台迄今已逐渐蜕变为市场经济和社会生活的全新资源配置与组织方式。平台化使现实世界中的亲缘、地缘关系几乎都转化为平台关系,用户和平台也不复传统经济模式下的消费者与生产者。二者虽然都参与平台,但用户是平台数据的生产者,客户则为数据买单;而平台又通过将“用户”与“客户”予以连接,从而产生出一种可持续的盈利模式。在此,“算法成为统合平台的逻辑,数据成为平台发展的基础,而用户则被彻底降格为数据”。平台的盈利基础在于用户所提供的信息,用户在产出这些信息时又几乎并未耗费任何成本。但当海量信息汇集于平台时,数据安全和信息保护问题就会凸显。
(一)国家介入的必要
事实上,要求国家介入的原因除了在于信息主体与数据处理者之间的不对等地位外,还在于数据控制者本质上并无动力去保护个人数据,因为数据滥用直接的受害者只是信息主体,而并非数据控制者。而且在网络环境下,因为数据的“随时产生、多点存储、多次开发、跨场景应用、多人经手、跨国境传输、收集与处理分离、生命周期短”等原因,数据控制者若对个人数据加以高密度保护,不仅在技术上有很大难度,也会产生较高成本,这些因素都决定了其不可能自发地保护个人信息,外部监管和国家介入也因此变得必要。
(二)国家如何介入?
传统上,国家对私法关系的介入主要通过责任追究(包括刑事责任和行政责任)来进行,这种方式同样被应用于数据保护领域。从域外经验来看,信息保护法的一项重要目的在于通过构建有效的外部执法机制,借由制裁威胁和责任追究来敦促信息控制者履行个人信息保护的法律责任。事实上,即使如美国这样在信息保护中强调“行业自律”的国家,也会借助强大的外部执法机制来约束信息控制者的行为。而欧盟GDPR也针对95指令缺乏有效的执法威慑和责任追究的问题,通过确立牵头数据管理局,加强各国执法合作,提高罚款幅度,增加个人信息泄露后分别通知数据管理局和信息主体的义务,大大强化了外部威慑机制。
我国此前对信息控制者的责任追究方式主要在于2015年《中华人民共和国刑法修正案(九)》中所规定的“侵犯个人信息罪”和“拒不履行信息网络安全义务罪”,行政处罚则在后来规定于《网络安全法》第59条至第75条的“法律责任”一章中。但从实践效果来看,上述责任规定却存在过于倚重刑事制裁、刑事制裁与行政处罚无法有效衔接、行政处罚部分责任规范与行为规范相互脱节等问题。即使是看似严苛和宽泛的刑事制裁,因为带有象征性立法的顽疾,实际作用效果也相当有限。《民法典》也仅仅是搭建了信息保护的基本制度框架,并未包含责任承担和追究的体系安排。因此,就需要专门的《个人信息保护法》在综合治理的框架内,通过纳入责任要求、明确行为规范、完善行政责任和刑事责任的有效衔接、加大违法成本、提高违法行为被发现的可能性等方式,构筑有效的责任追究和执法威慑的外部机制。
对欧盟GDPR的经验吸收还包括对行业自律和行业治理的强调,这一点与严厉的违法制裁一起构成了国家多元的介入方法。强调行业自律是为了弥补此前政府在平台治理中暴露出的局促与不足。因为在技术处理中的巨大优势,平台除了存在僭越个人信息、过度操纵市场的问题外,还一再构成对政府市场治理能力的削减。因为数据资源与处理能力的差异,政府已无力再通过传统的治理机制,作用于平台市场以大数据为基础的算法型运作过程,由此便产生这一领域的治理失灵或监管真空,这就使激励型的行业自治成为平台治理的重要途径。
五、结语
综上,《民法典》除将个人信息保护提升至全新高度外,更在私权保障基础上,纳入了对个人信息权的公法保护。但因为《民法典》并未对个人信息予以权利化处理,也未对个人信息的公私法保护如何展开进行细致规定,因此,在《民法典》时代如何构建和完善个人信息权的公法保护,就有赖于未来《个人信息保护法》的出台。
从目前已公布的《个人信息保护法(草案)》来看,其已着眼于建构一种包括公私在内的合作治理机制,而且在公法保护领域,有关国家消极义务和积极义务的框架结构也初现端倪。这一框架符合信息权作为个人基本权利的定位,也有助于我们对繁杂的数据保护问题予以体系化把握。借助这一框架,可对个人信息公法保护所涉及的核心问题予以定位,再通过对《个人信息保护法》的规范阐释和数据法的原理分析,对其内容进行明晰和填充,并在此基础上渐次完成我国个人信息公法保护的整体制度构建。