【副标题】以应对突发公共卫生事件为视角
【作者】高志宏(南京航空航天大学人文与社会科学学院教授)
关键词:个人信息;公共利益;利益平衡;行政公益诉讼;个人信息保护法;公共卫生
目次一、个人信息保护的现实困境二、公共利益限制个人信息权益的法理基础三、公共利益限制个人信息权益的制度反思四、公共利益限制个人信息权益的原则释义五、个人信息保护中公共利益考量规则的优化路径结语
一
个人信息保护的现实困境
在互联网时代向大数据时代迈进过程中,我国个人信息保护立法面临两难选择:一方面,加强个人信息保护已成为全面推进依法治国的必然要求,尤其是随着大数据应用场景的不断拓展以及数字贸易规则的不断探索,公众对个人信息保护的呼声愈发强烈,“个人信息安全焦虑”亟待纾解。另一方面,发展数字经济成为我国重要战略,大数据产业链条不断延展,新经济业态不断涌现,迫切需要通过数据运用促进产业转型、提升政务效能、助力公共服务。从现实情况看,我国个人信息保护面临着个人利益、企业利益、公共利益等多种利益形态复杂交织的现实图景。
(一)个人利益:个人信息保护的逻辑起点
“人们奋斗所争取的一切,都同他们的利益有关。”法律作为重要的利益调节器,以分配、确认、保护利益为旨归,并主要体现在法律条款的创设和法律规范的表达方面。“法律是社会中各种利益冲突的表现,是人们对各种冲突的利益进行评价后制定出来的,实际上是利益的安排和平衡。”个人信息保护首先涉及的是个人利益,维护个人利益是个人信息保护的逻辑起点。
(二)公共利益:个人信息保护的考量因素
争论在于,企业、社会组织、政府等对个人信息大量的收集、加工后的数据是否享有权利以及享有什么权利?当前,数据已经与资本、技术、土地、劳动等一并成为重要的生产要素和稀缺资源,但由此引发了个人信息权属争议,即个人信息权益是归个人信息指向的自然人所有还是归信息收集利用者所有?前者事关自然人的人格利益,后者事关信息产业发展和社会公共利益。我国民法典第127条承继了民法总则第127条之规定,确立了个人信息和数据二元保护体系,即经过匿名化(去个人化和去可识别化)处理的个人信息所形成的(大)数据,可以成为财产权益的客体而被法人或非法人组织享有。现代社会建立在大量个人信息基础上的大数据,无论是对于企业发展、行业进步还是对于社会治理、国家管理而言,都具有重要意义。这些数据信息的所有权应当归收集者所有,属于个人信息所衍生出的企业利益、国家利益、公共利益。“个人信息衍生出来的社会公共利益,主要是社会治理方面的利益,更不直接归属于个人而为国家或社会所享有。”譬如,通过大数据处理,可以有效地防控疫情、打击犯罪、预警危机等等,这也正是个人信息的公共管理价值所在。
(三)利益冲突:个人信息保护的复杂图景
(四)救济不力:个人信息保护的司法困境
当前,我国当前个人信息保护救济机制呈现出“重追责轻管理”“刑先民(行)后”“重刑轻民(行)”等特点,存在个人信息权益保护面临实体法保护乏力的立法困境、政府部门监督制约机制阙如的执法困境以及民事诉讼作用难以有效发挥的司法困境。个人信息司法保护的突出问题,一方面表现为个人信息侵权行为具有的行为分散、成本低、维权难导致司法实践中侵犯主体认定难、取证举证难、侵权责任认定难等司法救助机制不完善问题;另一方面表现为政府机构滥用“公共利益”而侵犯个人信息权益但缺乏监督和救济问题。对于国家机关等承担行政职能的法定机构而言,其收集和处理个人信息不同于自然人、企业、社会组织等其他社会主体,是基于法定职责和公共利益需要,其行为具有强制性。一旦滥用这种公权力,给信息主体造成的威胁或危害更大,因此,需要更强更完善的监督制度和责任制度。
二
公共利益限制个人信息权益的法理基础
“法益论有两个思考方向:一是往理念、价值性方向思考,二是往事实性、因果性方向把握。”个人信息保护中,为何受到公共利益的限制?其法律依据是什么?这种限制本身有无限制或边界?需要梳理个人信息保护立法中的公共利益条款,并进一步分析制度设计背后的利益考量。
(一)法律依据:公共利益限制个人信息权益的立法表达
就个人信息保护立法而言,亦存在诸多公共利益条款。这些条款或者将公共利益视为民事责任免责的事由之一,譬如民法典第1036条;或将公共利益视为法律特殊保护的对象,譬如网络安全法第31条、数据安全法第2条、个人信息保护法第10条;或将公共利益视为处理个人信息的法定情形,譬如个人信息保护法第13条;或将公共利益视为个人信息跨境流动的禁止事项,譬如个人信息保护法第42条。
整体而言,民法典首先通过隐私权、个人信息权益等方式保护个人信息,然后通过个人信息收集和处理以及数据权益等方式体现个人信息保护的例外。个人信息保护法承继了这一立法理念,在确立个人信息私益保护基本原则的同时,也规定了国家机关在“为维护国家安全、公共安全或增进社会公共利益”时,可以收集、处理或利用个人信息。这彰显出个人信息的多元价值及其立法诉求——有序共享——主张维护个人信息权益的同时发挥个人信息的社会公共价值。
如果说个人信息立法为公共利益限制个人信息权益提供了合法性基础,那么,就需要进一步分析这一立法背后的价值考量,即公共利益限制个人信息权益的正当性基础。这涉及个人利益与公共利益乃至个人与社会之间的关系问题。个人信息保护中利益主体众多,利益冲突情境复杂,利益衡量因素多元。公共利益限缩个人信息权益的根基在于在利益价值位阶中,公共利益处于相对优先位置。
归根结底,公共利益与个人利益的关系问题属于价值衡量问题。正如德国著名法学家拉伦茨所言,法官于个案中进行的利益衡量不过是根据个案具体情况赋予不同法益不同的“重要性”。与个人利益相比,公共利益具有相对优位性,这是限制个人信息权益的理由。个人信息保护不仅涉及个人的合法权益即个人利益,而且涉及国家安全、公众健康、经济发展等不特定多数人的合法权益即公共利益。根据公共利益相对优位的基本法理,不难得出为了公共利益可以适当限制个人信息权益的结论。从实际来看,行政机关限缩个人信息权益通常是为了应对突发事件等紧急情况,符合行政应急原则。公共行政以维护和增进公共利益为旨归,在疫情防控等突发公共卫生事件应对中,行政机关为了公共利益可以采取包括限制个人信息权益在内的行政应急措施,以及时控制和消除突发事件带来的危害。换言之,由于突发公共卫生事件的紧急性、公共性、危害性等特点,决定了国家公权力可以合理扩张,及时启动应急处置程序,采取应急处置措施。与此相对应,公民私权利应当限缩或者克减,并对行政机关采取的防控措施负有容忍和服从义务。
(三)利益平衡:大数据时代个人信息权益保护的应然追求
合理适度是科学立法的题中应有之义,个人信息保护时利益衡量必不可少。“简单化的利益位阶排序,不能为冲突关系的解决提供最终答案”“应当是在考量不同情境的基础上,对各异质利益的利益本质及其冲突关系解释与调和,以实现紧张关系的缓和乃至消解。”健全的个人信息保护法律制度,尤其要考虑到合理适度,既要避免法律缺失、信息被滥用也要避免防护过度,从而在个人利益与公共利益之间达到某种平衡。问题在于,如何判断在个人信息保护的框架下是否达到了利益平衡?笔者认为,应当坚持以下基本立场:公共利益具有相对优位性,即公共利益的优位是相对的,而不是绝对的、无条件的。对此,可以从以下四个方面理解:
其一,从社会优先于个人这一现代文明社会基本原则出发,公共利益优先于个人利益。公共利益与个人利益相比,公共利益是更高层次的根本性的重大利益,理应具有更重要的地位。从现实看,规定“公共利益优于个人利益”也是现代立法的普遍做法。具体到宪法文本方面,大致有两种确立公共利益价值优位的规范:一种是个人利益的实现不得侵害公共利益,这是社会个体的消极义务;另一种是为了公共利益的需要可以限制个人利益,这是社会个体的积极义务。对此,在分析公共利益限制个人信息权益的正当性时已有涉及,此不赘述。
三
公共利益限制个人信息权益的制度反思
前已述及,大数据时代的个人信息具有价值多元性,个人信息保护要兼顾自然人、企业、政府等多方利益,从而在个人信息的人格价值与公共管理价值之间、个人信息利用与保护之间实现平衡。问题的难点在于,个人在整个信息处理过程中始终处于被动境地,传统私权救济手段难以抗衡企业和政府管理部门处理个人信息的强大动力,而限制个人信息的合法理由——“公共利益”又时常因为内涵外延模糊、代表机制缺失、行使规则滞后而陷入困境之中。
(一)公共利益内涵外延的模糊
如果对公共利益的概念界定不清,必然会导致公共利益的虚化、泛化,从而成为侵害个人利益的“危险源”。实际上,在法治社会,清晰而合理地界定公共利益的内涵及外延,已不再仅仅是抽象的理论问题,而是一个关乎国家法律制度设计法治实践的重大现实问题。然而,公共利益作为一个“罗生门”式的概念,一直存在争议,至今尚未形成一个公认的可操作性定义。英国功利主义的代表人物边沁把公共利益界定为“最大多数人的最大的利益和幸福。”我国台湾地区学者王泽鉴把公共利益定义为“涉及的是不特定多数社会成员的利益”。可见,关于公共利益的概念,见仁见智。美国行政伦理学家库珀甚至认为,“要想给出一个能得到理论界或实际工作者公认的‘公共利益’定义,是不可能的”。因此,公共利益作为一种价值理念,是一个关涉政府合法性和政治正义性的基石性概念,但在事实层面却是一个充满争议性话题,立法层面也几乎没有对公共利益作出明确界定。公共利益内涵外延的模糊,必然会导致个人信息保护面临窘境。
(二)公共利益代表机制的缺失
问题的难点还在于,谁能代表公共利益?这涉及公共利益的代表机制问题。“其实,公共利益的关键并不在于共同体的不确定性,而在于谁来主张公共利益。”从某种程度上而言,国家就是基于保护公共利益而产生的,现代国家更是以增进、实现和维护公共利益为己任,国家机关也常常被视为公共利益的代表,增进和维护公共利益是其存在的主要目的乃至唯一目的。然而,国家机关在增进公共利益时存在“异化”倾向,即存在追求自身利益的动机。在公权力与私权利的关系中,公权力居于绝对主导地位,加上公权力的自我扩张性,公权力对私权利的限制、侵犯乃至剥夺普遍可见。具体到个人信息保护方面,由于公共利益边界不明,同时缺乏对公权力控制、监督和制约的有效机制,因而公共利益的虚化、弱化和泛化现象严重,导致政府机关、社会组织乃至企业以公共利益为由肆意侵犯个人信息,存在信息收集主体多元化的突出问题。
因此,公共利益经常固然表现为对全民或整体利益的维护和偏袒,但这绝不意味着把个人利益作为实现公共利益的“垫脚石”。大数据时代,个人被完全信息化,数据人格被深度塑造且无法被遗忘。建立在数据挖掘和整合基础上的碎片化的个人信息,可以形成对个人财富、身份、偏好、性格的精准分析和预测,企业以此进行精准营销,政府和社会组织以此进行有效治理。在强大公权力支配以及“公共利益”合法理由支撑下,个人信息保护面临重大挑战,需要反思和重构传统个人信息保护法律制度。
(三)公共利益行使规则的滞后
个人信息赋权保护已成学界共识,然而,现代信息技术的发展客观上增加了个人信息保护的难度甚至陷入了困境。一方面,个人信息的范围不断扩大。“可识别性”是判断个人信息的标准,即能够直接或间接“识别”出特定自然人的信息属于个人信息,但随着信息技术的进步,能识别的个人信息范围不断拓展。另一方面,个人信息保护的手段日渐不足。“知情——同意”规则和匿名化规则是被视为保护个人信息的有效手段,但公共利益行使规则的滞后使得这两个规则陷入僵化。
一是对于公共利益限制个人信息权益的程序性规定不足。仍以疫情防控等公共卫生事件为例,我国传染病防治法第38条第2款规定,公布传染病疫情信息应当及时、准确。但对于公布哪些信息、以什么方式公布、按什么途径公布以及公布的期限等程序性内容却均未作系统、明确规定,从而无法为疫情防控中的个人信息保护工作提供精确指引。
二是在隐私政策披露方面存在重大缺陷。隐私政策披露是个人信息保护领域对企业、政府、社会组织等个人信息收集主体尤其是网站、App运营者的基本要求。然而,从实践看,我国企业隐私政策披露自我规制机制仍处于初步建立阶段,政府隐私政策披露机制更是阙如,存在政府个人信息收集正当性基础薄弱、使用约束机制欠缺等一系列问题。譬如,在疫情防控期间,各地普遍通过“健康码”作为决定个人是否有权出行、是否获得复工复产的重要证明,而“健康码”是建立在获取个人行程轨迹基础上对个人健康风险等级的综合评判,“健康码”的形成构成“自动化行政”,理应属于行政行为,但能否审查健康码结果的合法性如何评判这一自动化决策的合法性?公民如何获得救济?对这些问题尚未有明确的制度设计。
三是以公共利益之名收集和利用个人信息缺乏有效约束。由于个人信息涉及多方利益,政府在收集和利用个人信息时既要满足公共治理的需要又要避免对过度侵占个人信息。但在实践中,统一的个人信息收集标准阙如,多头重复收集情况严重,滥采滥用问题突出,审查机制漏洞明显,因公共数据滥用或监管不力导致的个人信息泄露风险居高不下,各部门间个人信息数据库的壁垒极大地限制了公共数据的流通和整合。
四
公共利益限制个人信息权益的原则释义
(二)目的正当原则
(三)最小比例原则
(四)安全保障原则
五
个人信息保护中公共利益考量规则的优化路径
无论是从学理分析抑或是从法律规范来看,公共利益限缩个人信息权益都具有正当性。然而,目的的正当性并不意味着手段的任意性。相反,应当通过限定主体、确定原则、厘清范围、完善救济等法治举措确保公共利益限缩个人信息权益的正当性。因此,个人信息保护法的通过和实施,并非意味着个人信息保护立法的终结,相反需要通过实施细则、立法解释、司法案例等方式进一步优化规则。更何况,建立在主体平等、客体排他、意思自治基础之上的传统私法保护模式日益面临着个人信息保护不足和保护过度的两难窘境,应当采取公私法协同推进的多元化法治路径,充分发挥部门法功能,建立综合治理模式,并实现个人信息保护法制体系内部的统一和协调。
(一)公共利益内涵外延的界定
全面推进依法治国的时代背景下,无论是国家公权力还是公民私权利,都应当有明确的边界。体现在个人信息保护方面,重要的一点即是确立公共利益的范围。随着互联网、大数据、人工智能等技术手段在国家治理中的加速运用,政府在行政管理和提供公共服务中收集存储了大量的个人信息进而形成了公共数据资源。这些公共数据具有公共属性,属于公共产品,只能用于公共利益目的。此时,迫切需要通过立法明确界定公共利益的内涵范围。
(二)公共利益代表主体的明确
从域外立法实践看,各国纷纷设立统一的个人信息保护机构。欧盟GDPR将“有效的专业规制机构”作为满足“充分性认定”的基本条件,要求各成员国设立专门的个人数据监管机构以加强对个人信息的收集、利用、流通等环节的监控管理。根据这一要求,德国设立了个人数据保护联邦委员会,这是一个专司个人数据保护监督、解决个人数据保护纠纷、提出个人数据保护建议的独立机构。美国形成了行业监管模式,辅之以极强的执法机制、严厉的威慑机制、广泛的社会监督机制,较好地保障了个人信息权益免遭侵犯。日本为了加强个人信息保护的行政监管,于2017年成立了个人信息委员会,从而确立了个人信息保护集中监管体制。我国个人信息保护法提出了“网信部门统筹协调+有关部门各自监管”的模式,以区别于以欧盟为代表的跨行业统一监管模式和以美国为代表的行业监管模式。应当说,该模式是平衡域外两种主要模式利弊以及考虑我国行政管理传统模式的结果,对于构建我国个人信息多方共享共治模式意义重大。然而,不可忽视的是,个人信息保护法并未突破网络安全法在监管体制方面的设计,并未从根本上改变个人信息保护领域分散执法的局面,选择性执法、多头执法问题仍将普遍存在。
(三)知情同意原则例外的细化
(四)法律保护救济途径的健全
“在利用与保护个人数据激励失衡的大背景下”,国家“一项重要的立法任务就是构建有效的外部执法威慑,促使信息控制者积极履行法律责任,并对违法处理个人信息的行为予以制裁”。面对大数据时代个人信息安全面临的严峻挑战以及司法困境,笔者提出以下建议:
二是健全行政诉讼制度。行政机关基于公共利益收集和处理个人信息的行为属于行政管理和公共服务范畴,应当受到行政许可法、行政处罚法等实体法的约束,亦应当受到行政复议法、行政诉讼法等程序法的约束。即行政相对人因为行政机关的违法行为而侵害其个人信息权益,可以提起行政复议或行政诉讼,行政机关内部可以通过行政处分程序给予追究法律责任。从司法实践看,因个人信息纠纷引发的行政诉讼不断增多,并以“政府信息公开”案由最为集中,体现出行政主体的法益权衡能力及行为规范性有待增强。因此,应当进一步健全我国行政诉讼制度,加大政府机关基于公共利益需要收集和处理个人信息的司法监督。
四是加大行政赔偿责任。建议加大对个人信息侵权行政赔偿责任,通过修改国家赔偿法将行政机关侵犯公民个人信息权益行为纳入赔偿范围,并采用客观过错归责原则,即行政相对人只需证明行政机关在个人信息保护方面应尽自己的合理的义务而没有尽到的客观事实,从而减轻行政相对人的负担,保障其个人信息权益遭受侵害后行政救济的落实。