“个人信息受保护权—国家保护义务”是一体两面的概念,本质上是“基本权利—国家义务”体系在个人信息保护领域的运用。个人享有的个人信息受保护权必然要求国家对个人在信息处理领域中的个人进行保护与支援。在此语境下,确立与澄清个人信息国家保护义务的内涵,便需要对个人信息受保护权的价值基础、主要类型与权利结构进行识别与辨析。
(一)个人信息国家保护义务的两种类型
1.国家的消极义务与个人信息受保护权的防御权功能。
基本权利最原始的机能是防御权,即公民对抗国家不当干预其自由和侵害其财产的权利。当国家试图侵害被基本权利所保障之法益时,公民可以直接按照基本权利规范来请求国家不得干预或侵害。该种要求停止干预或侵害的请求权机能,反射至国家一方,也就是国家身负不得侵犯的禁止作为义务。
2.国家的积极义务与个人信息受保护权的客观法功能。
虽然个人信息国家保护义务曾长期以消极义务为主要呈现姿态,但随着时间的推移,尤其是进入21世纪后,传统“私人生活保护”所遵循的“权利具有绝对性质,信息获取便推定违法”的古典自由权逻辑在许多场景下已不再适用。相较而言,个人信息受保护权在大数据时代的基本假设是,个人信息本身便具有一定的交互性与公共性,个人信息处理在现代社会中是必要的。尽管应考虑到某些条件和保障措施,但对个人信息的基本推定是“可以被处理”。而真正需要国家介入的关键在于:个人此时面对的不是普通的私人主体,而是强大的、组织化的信息处理机构;加之信息时代下个人信息处理往往是动态化、复杂化、风险不确定的过程,因此个人难以在参与及做出选择的过程中保持清醒、警惕、知情及自治。为使个人免于受到信息处理机构的支配,就需要国家积极保护相关个人。由此,个人信息受保护权变成了一项积极的权利,具备了客观价值秩序(客观法)的功能,即国家必须创造和维护有利于实现个人信息保护的制度环境。
3.个人信息受保护权在我国宪法上的安顿。
个人信息国家保护义务在我国宪法上的首要根据便是宪法第三十三条第3款规定的“国家尊重和保障人权”。对应前述两种类型的国家义务,“尊重”侧重国家对私人生活的不得侵犯,是个人信息受保护权主观防御功能与国家消极义务的体现;“保障”则更侧重个人信息受保护权的客观方面功能,其中就包含了要求国家积极通过立法和其他公权力行为,以保护基本权利主体在个人信息处理中免于受支配或陷入信息处理者制造的危险或风险的含义。这两种类型的义务又可以被统摄于宪法第三十八条对公民人格尊严的保护之中。
(二)个人信息国家保护义务的规范结构
基于个人信息受保护权实现的宪法规范要求,个人信息国家保护义务的规范逻辑结构由“侵害来源”和“保护方式”两部分构成,也就是针对何种侵害源的保护、如何进行保护的问题。
1.个人信息国家保护所针对的侵害风险源。
在现代社会,信息处理活动很大程度上决定了人们的选择空间与可能获得的结果。亦即,数据权力(data power)已经成为一种广泛而普遍的社会事实。当下诸多具备大数据挖掘能力的专业或商业机构具有以下特征:“掌握庞大的数据量、超乎常人想象的收集速度、多元的数据种类、潜在的详尽范围以及强人工智能技术下的数据关联与整合能力。”可以说,在金融、教育、医疗、社会保障等各个领域都已形成“数据依赖”的时代,个人信息的利用与保护不仅关涉个体,还与整个社会的权力结构及运行机制相关联。
可以说,面对这些来自数据权力的侵害风险,希望通过象征性的、形式化的个人自主决定和支配来进行个人信息保护的私法机制,看似体现了对个人主体地位的尊重,实际上是将个人的选择置于数据权力的控制之下,缺乏制衡能力与信息资源的个人并无法凭借“信息自决”来实现对上述侵害风险的防御与保护,以事后救济为主的“权利模式”对于控制大规模、持续性的信息处理风险而言显得捉襟见肘。只有通过国家保护义务这一兼具公共强制与理性治理的机制,才能有效防范数据处理风险,使个人与个人信息处理者之间构成合理的制衡状态,从而避免个人时刻处于被数据权力支配的恐惧之中。这构成了国家落实个人信息保护义务的必要和正当理由。
2.控制侵害风险的基本路径。
个人信息保护法的制定过程更多贯彻了个人信息受保护权的客观法功能所指向的积极义务,这要求国家针对数据权力这一侵害风险源而提供积极保护。若是从体系化视角观察国家积极义务的实现途径,基于客观法功能导出的国家义务包括制度性保障、组织与程序保障、保护公民免受第三人侵害的义务(侵害的防止义务)这三项基本要求。也就是说,国家权力需要对大数据时代下的个体人格和尊严提供制度性保障和秩序担保。
个人信息国家保护义务的展开
个人信息国家保护义务的展开和落实,是一个综合不同法律技术与制度工具的系统过程,需要国家统筹协调不同部门法工具,吸纳多元主体参与,兼顾对个人信息的消极保护和积极保护。
(一)消极保护义务的落实
在传统上,消极保护义务所指向的个人防御权要求国家不得侵入个人信息领域。但在以大数据和信息技术广泛应用的“信息国”时代,以对个人数据的采集和处理为核心的“监控”已成为一个普遍事实。在这个背景下,落实国家消极保护义务的关键,并非禁止国家使用监控等数据处理技术,而在于强调监控手段运用的价值理性和工具理性。监控(surveillance)是在传统安全观念和治理手段基础上,为回应复杂、多样的安全风险而孕育的权力和技术工具,在反恐、传染病监控、自然灾害和市场风险、公共安全等领域已普遍使用。但数据监控工具如果不能被有效控制在以宪法为根基的法秩序之内,则极易被滥用,甚至导致工具的“反噬效应”。因此,不能仅关注监控的有效性,应当在消极保护义务的价值规范要求下,考虑工具有效性和私人生活安宁之间的平衡,具体可从立法规则表达、过程控制与救济机制三个层面进行落实。
(二)积极保护义务的落实
1.制度性保障。
国家首先需要建构个人信息处理的基本制度,设定个人与个人信息处理者之间的权利义务关系结构,确保个人实质性参与信息处理过程,对信息处理者形成制衡,以充分实现权益保障目标,这便是个人信息国家保护义务的制度性保障面向。制度性保障课予国家建构和维护一套关于个人信息处理基本制度的“客观”义务。基于支援个人对抗数据权力的需要,立法机关有必要通过制度建构,赋予个人在信息处理中的工具性权利,同时设定信息处理者的相应义务与行为模式,从而建立起个人与信息处理者之间的制衡结构。由于数据处理者与个人在资源、技术等方面的明显不对称地位,个人单凭其自身力量将无法对抗数据权力的压迫和支配,因此,个人信息国家保护义务必然要求国家介入,提供一套制衡性的个人信息处理权利义务规则。
2.组织与程序保障。
制度性保障重点关注的是“个人—信息处理者”之间的权利义务关系结构;组织与程序保障则主要指:在基本的权利义务关系结构之外,需要通过组织和程序设计,为国家保护义务之落实提供担保性和辅助性制度,以促进个人信息受保护权之实现。这具体涉及到三个方面:首先,负有保护职责的组织系统如何设计;其次,信息处理者组织结构如何优化;最后,面向个人提供哪些基本的法律程序保护。
3.侵害防止义务。
在制度性保障、组织与程序保障之外,国家保护义务的落实还指向侵害防止义务。国家需要综合运用多重工具,通过构建预防机制和协同法律责任来营造个人不受数据权力侵害的法秩序环境。由于单一部门法所提供的责任机制无法独自完成国家保护个人信息的任务,因此,应从整体的国家保护义务框架来思考和建构个人信息保护法律责任体系。在这个意义上,宪法、民法、行政法、消费者法、刑法都可以为个人信息保护提供有针对性的法律责任机制,这意味着个人信息保护法是一个典型的“领域法”。我们应当摆脱部门法本位主义的路径依赖,考虑多元法律责任机制的协同。