丁晓东:个人信息公私法融合保护的多维解读
时间:2022-09-07作者简介
丁晓东,中国人民大学法学院教授、博士生导师、未来法治研究院副院长
文章导读
·摘要:
个人信息保护制度在多个层面呈现了公私法融合特征。其法律渊源同时包括宪法与民法;其调整关系为持续性不平等的处理关系;其保护群体同时囊括个体与群体;其保护法益兼具公益与私益;其告知同意制度具有合同的表面特征,但与合同具有本质性区别;其损害救济需要面对大规模、微型、不确定性的伤害,与违约责任和侵权救济具有很大区别;其监管采取了合作治理模式,很多措施介于政府监管与自我规制之间。公私法本身是一种人为想象,其二元划分也并非历史必然。从公私法融合的角度出发,不仅有利于深化对个人信息保护法的研究,而且可以为传统公法与私法提供新的制度想象。
·目录:
一、法律渊源的公私法融合
二、调整关系的公私法融合
三、保护群体的公私法融合
四、保护法益的公私法融合
五、告知同意制度的公私法融合
六、损害救济的公私法融合
七、监管制度的公私法融合
八、结语:个人信息保护公私法融合的法理意义
文章来源:《法治研究》2022年第5期
随着我国《个人信息保护法》的通过与实施,围绕这部法律的部门法属性再次引起了学界的关注与讨论。区别于传统公法与私法,《个人信息保护法》首先是一部“领域性立法”,是专门针对个人信息处理而进行的立法,其中包含了大量的公法要素与私法要素。再加上这一领域吸引了公法、私法以及社会法、法理学等不同学科学者的深度参与,不同领域的学者又更倾向从自身的学术背景与知识传统切入这一领域的研究,更使得这部法律的部门法属性成为一个争议性议题。
《个人信息保护法》到底是公法还是私法?或者更具公法属性还是更具有私法属性?这一问题有多种讨论方式。一种讨论方式是通过讨论将《个人信息保护法》划入某个学科,例如宪法行政法、民商法或者社会法、法理学学科。而另一种讨论方式是,通过讨论深化对这部法律的认识。在本文看来,前一种讨论方式不仅没有意义,而且还可能对学术风气造成重大伤害,导致学科本位主义或“饭碗法学”。而后一类讨论虽然已经很多,但仍然有进一步拓展的必要。一旦超越学科利益之争,将《个人信息保护法》的部门法属性讨论转化为个人信息保护的一般理论与制度问题,可以大大深化对这部法律的认识。
本文在已有研究的基础上对《个人信息保护法》的公私法属性进行进一步研究,同时也指出,公私法是一种人为拟制,并不存在绝对的公法或私法。即使看上去最“纯正”的公法,也蕴含了私法因素;反之亦然,即使看上去最“纯正”的私法,也离不开公法的介入。公私法的二元划分本身就是一种历史想象。同时,法律制度的拟制最终是为了实现法律的良法善治,而非为了制度想象的完美。因此在法理层面,公私法融合研究指向了面向生活、具有马克思主义认识论与实用主义特征的法学研究。这种法学研究进路要求研究者避免将既有公法或私法框架简单套用在个人信息保护法上。相反,研究者应像马克思主义所教导的那样,采取直面真实世界和棘手问题的研究态度对待公私法的协调与配合问题,并在实践中检验理论的解释力与指导性。从面相真实世界的研究方法出发,可以深化对个人信息保护法相关制度的认识,也可以为公法研究与私法研究提供创新与突破的历史契机,促进传统公私法研究的突破。
一、法律渊源的公私法融合
就法律渊源而言,《个人信息保护法》既具有宪法等公法性渊源,又具有民事法律渊源。在《个人信息保护法》的制定过程与学术讨论中,早期学界比较聚焦的是《个人信息保护法》与《民法典》的关系。这其中原因之一在于,个人信息保护与隐私权保护有着千丝万缕的联系,早期介入个人信息保护研究的学者,除了一部分公法学者从规制的角度切入,更多学者都从隐私权研究切入,对个人信息保护进行研究。此外,我国《民法典》刚好在《个人信息保护法》之前制定,而且《民法典》人格权编独立成编,在其中纳入了大篇幅的个人信息保护条款,这就使得《个人信息保护法》与《民法典》具有极为密切的关系。
相较之下,《个人信息保护法》的宪法渊源在制定过程中长期未得到明确,《个人信息保护法》的一二审稿草案都没有写入“根据宪法,制定本法”的表述。但在2021年6月24-25日举行的内部专家讨论会上,《个人信息保护法》的宪法渊源得到了专家学者和起草者们的认可。在最终通过的正式版本中,“根据宪法,制定本法”也出现在法律文本中。因此从法律文本来看,《个人信息保护法》的公法渊源已逐渐明确。
从比较法的角度看,个人信息保护法在有些国家和地区也呈现了公私法的双重渊源。以欧盟为例,欧盟的个人数据保护法具有更显著的公法渊源。例如《一般数据保护条例》第1条即明确,“本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利”,其“重述”又进一步明确其法律渊源:“在处理个人数据方面保护自然人是一项基本权利。《欧盟基本权利宪章》(‘宪章’)第8(1)条和《欧盟运作条约》(TFEU)第16(1)条规定,每个人都有权保护自己的个人数据”。当然,《一般数据保护条例》也将很多具体制度的法律渊源追溯到民事法律制度上。例如对于因为违反本《条例》而受到物质或非物质性伤害,其赔偿需要通过各国的民事法律制度进行判断。
相较之下,美国个人信息保护法的私法渊源相对明显。需要指出,美国的法律一般不在其法律文本中标明其法律渊源,因为美国法一般认为其效力渊源来自美国人民或州公民。但从其文本与相关特征来看,仍然可以看到美国个人信息保护法的市场调整法的特征。在美国的信息隐私法体系中,除了《隐私法》(ThePrivacyActof1974)规制联邦规制机构,以及《家庭教育权利与隐私法》(FamilyEducationalRightsandPrivacyActof1974)规制公共性机构之外,美国联邦和州层面的大多数信息隐私法都主要针对市场,具有市场矫正法的特征。例如《公平信用报告法》(FairCreditReportingAct)具有针对信用市场的特征;联邦有线通讯政策法案(CableCommunicationsPolicyAct)、视频隐私保护法(VideoPrivacyProtectionAct)具有分别保护特定领域市场的特征。至于《加州消费者隐私保护法》和《弗吉尼亚州消费者隐私保护法》,则更是具有非常明显的消费者保护法特征,而且前者还被编撰在《加州民法典》中。因此,美国的个人信息保护法可以被视为消费者保护法或者特殊类型的消费者隐私保护法。这些法律具有明显私法属性,但也具有显著的公法特征。
欧美个人信息保护法法律渊源的区别,其实也反应了欧美法律制度的特点。在欧洲,公法私法化在不少民事权利保护中扮演了重要角色。例如对于隐私权保护,德国就是以其基本法中的人格尊严条款作为渊源,在“读者来信案”“骑士案”“伊朗王后案”等案件中最终确立了民法上的隐私权保护。对于与个人信息保护密切相关的“个人信息自决权”,德国宪法法院也是从宪法层面寻求法律渊源。至于在欧盟层面,由于欧盟是一个人为通过宪法而建构的共同体,则更是经常通过公法的私法化而寻求欧盟人权与统一市场的建构。相反,美国的法律模式没有公私法的严格区分。美国的宪法模式以消极权利保护为主,对立法与政府规制保持防范的立场。在这样的背景下,美国的很多立法与规制机构所进行的规则制定(rulemaking)与案例裁判(adjudication),往往具备市场调整法的特征。这些法律常常会被认为是矫正或完善市场的一部分,但又在实质上具备公法介入的特征。如果说欧洲的法律更多为公法的私法化,那么美国的立法则更多为私法的公法化。
对比欧美,我国的《个人信息保护法》更为偏向公法私法化还是私法公法化?从文本上看,我国与欧盟更为接近,因此或许可以被视为公法的私法化。但无论是文化背景还是关注重点,我国的《个人信息保护法》与欧盟的《一般数据保护条例》都存在较大区别。正如笔者在其他地方论述,我国的个人信息保护法并没有欧盟那么显著的意识形态特征。如果说欧盟将个人信息处理视为本身即对个人产生威胁的活动,那么我国则相对更为实用主义,更多关注伴随个人信息处理活动的各类风险与问题,特别是企业与市场主体收集与处理个人信息带来的问题。因此,我国的《个人信息保护法》具有较为显著的消费者保护目的。从公私法特征来看,可以说我国的《个人信息保护法》虽然在文本上具有公法私法化的特征,但在实质上也具有显著的私法公法化特征。
二、调整关系的公私法融合
就调整关系而言,个人信息保护法所针对的是一种“持续性不平等关系”。一方面,各国都将平等主体排除在个人信息保护法之外。例如中欧这样采取统一立法的国家和地区,都在其法律条文中明确排除了“因个人或家庭事务而处理个人信息”。而美国《加州消费者隐私保护法》和《弗吉尼亚消费者隐私法》则把中小企业或非专业化商家排除在外。可见,个人信息保护法所调整的法律关系具有不平等性,只有对那些具有专业化或商业化信息处理能力的主体,才能被认定为法律上的“控制者”或“处理者”,成为个人信息保护法所防范和治理的对象。
个人信息保护法所调整的不平等关系还具有持续性与支配性特征。在信息处理者与个人所形成的关系中,双方的不平等不仅仅是大企业与个人、专业化信息处理者与个体之间的能力不平等问题,也不仅仅是信息不对称所引起的信息不平等。相比传统市场中产品的信息不对称,个人信息一旦被信息处理者收集,就可能长期为信息处理者利用甚至操纵。这就使得个人信息保护中的不平等关系与一般的信息不对称具有重大区别。正如巴尔金所言:“除了信息不对称和缺乏透明度外,还存在权力不对称,因为一方控制应用程序的设计,另一方必须在该设计内操作。收集数据后,总有被操纵的危险。但在接口和服务的设计中,也存在着操纵,以鼓励数据共享并隐藏我们的选择和行动的后果。”信息不对称可以通过信息披露矫正,而支配性的不平等则很难仅通过信息机制来解决。
从部门法属性看,个人信息保护法所调整的不平等主体关系呈现了公私法高度融合的特征,区别于传统公法或私法。就私法而言,传统私法强调主体平等性,且以平等原则拟制所调整主体的关系。例如我国《民法典》第2条规定:“民法调整平等主体的自然人、法人和非法人组织之间的人身关系和财产关系。”第4条规定:“民事主体在民事活动中的法律地位一律平等。”这就使个人信息保护法的制度设计与传统私法存在较大区别。在消费者保护、劳动者保护的法律制度中,私法中就嵌入了很多公法因素,以实现法律的倾斜保护。在个人信息保护的法律制度中,这种倾斜保护特征更为明显。无论是我国还是欧美,全球个人的信息保护法都以公平信息实践为基础,一方面赋予个人以知情选择权、访问权、删除权、携带权等多项权利,另一方面对信息处理者施加相应义务和其他责任。
就公法而言,个人信息保护法所调整的关系也与传统的公权力与个人关系不同。无论是我国的《个人信息保护法》还是欧盟、日本等国的法律,都以“处理”为前提,只针对那些采取了自动化、半自动化或大规模存档行为的国家机关。正如欧盟《一般数据保护条例》所述,“本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理”。因此,个人信息保护法所调整的国家机关与个人之间的关系更接近于国家机关雇佣个人所形成的劳动关系,而非传统国家权力与公民之间的关系。如果国家机关对于个人的信息并不存在自动化或半自动化的处理行为,也不存在大规模的手动存档行为,则此类行为并不构成处理,不属于个人信息保护法所调整的范畴。例如国家执法机关的工作人员在日常执法中进行的偶发性的查证、问询,但不对信息进行系统化存储与处理,则此类行为不受《个人信息保护法》调整,而受其他宪法性法律或《民法典》隐私权规则的调整。在学术研究的划分中,由国家执法监控所导致的个人信息保护问题也常常被划入其他领域的研究范畴,例如监控研究(surveillance)或宪法隐私(constitutionalprivacy)研究。
从历史角度看,个人信息保护所调整的主体关系也呈现了公私法融合的特征。个人信息保护的产生背景是行政规制机构大规模收集与处理个人信息,因此很多早期立法都针对政府机构,具有显著的公法特征。例如美国于1974年制定的首部具有正式个人信息保护法特征的《隐私法》,就以联邦政府规制机构为对象,将私营主体排除在外。在立法听证过程中,以威斯丁为代表的专家明确主张,虽然私营企业也开始收集个人信息,但其规模和风险还不足以需要法律对其进行规制。欧洲大陆首部个人信息保护法——德国的《黑森州数据保护法》——也同样针对行政机关。这一法律明确从分权制衡原则出发,将监管机构设立在黑森州议会之下。但随着时代的发展与信息科技的进步,大规模收集与处理个人信息的主体发生了变化,企业开始收集越来越多的个人信息,并进行深度挖掘与处理。在这样的背景下,原先被适用于规制机构的个人信息保护制度开始广泛应用于私营主体。
在西方传统法学研究中,不平等关系曾经一直处于边缘地位。在大陆法系,平等原则一直被认为是民法的奠基性原则,直至现代民法,才出现了消费者保护、劳动者保护对“弱而愚”的人的关注。在美国,由于美国对于市场制度的崇尚,消费者保护、劳动者保护等问题经常被转换为信息不对称等市场不完善问题。但在反就业歧视等领域,社会性的不平等与社会权利也开始凸显。特别是随着网络平台的兴起,一些学者指出,社会与市场领域已经出现了大量的“平台权力”“数据权力”“算法权力”。在这样的背景下,有学者指出,西方社会的很多问题都不宜再用公私二元的框架进行分析,而应当采取国家——社会主体——个人的三元框架。在我国,这一三元分析框架很早就在劳动法、社会法等领域被接受。随着个人信息保护法的讨论深入,这一法律所调整的不平等关系也开始逐渐成为立法者与学术界的共识。
三、保护群体的公私法融合
就保护群体而言,个人信息所保护的既有个体权益,又有集体权益。个人信息保护首先与个人信息权利或权益密切相关,无论是威斯丁所说的“个人、群体或机构对自身信息在何时、如何以及在什么程度与他人沟通的主张”,还是上文提到的德国语境下的个人信息自决权,都从个体权益的角度出发;个人信息保护法制度中的各种个人信息权利,也都反映了典型的个体权益的思维。但个人信息保护法也对作为集体的个人信息权益进行保护。例如,各国法律一般都要求信息处理者遵守目的限定(purposelimit)、数据最小化(dataminimizaiton)、隐私设计(privacybydesign)、隐私影响评估(privacyimpactassessments),雇佣数据保护官(dataprotectionofficer)、企业审计(audit),遵守行业行为准则(codeofconduct)。要求信息处理者满足这些原则,可以对集体性的个人信息权益进行保护。
需要指出,个人信息所保护个体权益与集体权益经常互相转化。正如各类官方文件与学术研究指出,个人信息被保护权并非一种绝对性权利,个人信息兼具个体属性与公共流通属性。这使得法律对个人信息的过度保护和保护不足都会带来外部性问题,从而影响集体性权益。一方面,如果对个人信息过度保护,赋予个体以绝对化的个人信息权利,阻碍或不允许企业与公共机构对个人信息的合理正当利用,则个人信息的正外部性特征就会丧失,所谓的大数据优势也就无从谈起。另一方面,如果对个人信息保护不足,那么个人信息就会产生“数据污染”(datapollution),引起类似环境法中的副外部性问题。当个人信息保护不足的风险产生聚焦效应,由此产生的系统性风险就会对集体性权益产生重大影响,因为个人信息往往可以交互联系,某一个体的个人信息很可能会被用于识别、分析和支配其他个体。
集体权益保护也会对个人信息权益保护的边界产生影响。近年来,数据信托、数据治理等概念成为热门概念。数据信托或数据治理的重要特征之一就在于,需要超越个体信息权益保护,对数据生态进行综合治理。当一个国家和地区的数据生态呈现良好状态,由个人信息收集与处理所导致的相关风险得以良好治理,则个人信息保护与合理利用的天平就可以向后者倾斜;相反,当相关数据生态遭到破坏,各类数据黑产、数据不规范交易猖獗,则个人信息就需要更多保护与限制。否则,不但个人将面临相关无法承受的风险,整个行业的数据信任也将遭到破坏,反噬数字经济的发展。
从部门法的角度看,个体权益与集体权益的融合也说明了个人信息保护法的公私法融合特征。在传统法学体系中,一般而言私法倾向于调整个体权益;公法倾向于调整集体权益。以西方的劳动法为例,一般认为调整个体劳动法的雇佣法(employmentlaw)更偏向私法;调整集体劳动关系的劳动法(laborlaw)则更偏向公法。但这种二元划分也受到了很多批判,因为包括劳动法在内的很多制度,其对个体权益与集体权益的保护往往高度交叉。个人信息保护法更是具有收益与风险的外溢型特征。因此,不少学者将其与环境法类比,阐述个人信息保护法中同时蕴含的私人权益与集体性权益的融合。
四、保护法益的公私法融合
保护法益与上一部分所探讨的保护群体具有一定重合性,但也有较大不同。个体权益可能具有公共属性,反之,集体性权益也可能是一部分私人权益的集合。
一方面,个人信息所保护的法益可能是私益,例如个体的自主利益。对此,学术界已有大量论述。例如,查尔斯·弗雷德(CharlesFried)指出,法律不仅仅需要保护个人隐私不被窥探,还需要保护“我们对于自身信息的控制”,以维护自身的自主利益。阿瑟·米勒(ArthurR.Miller)主张,法律应保护个体“对于自身对于相关信息流通的控制能力,这种能力对于维持社会关系以及自身自由都至关重要”。朱丽叶·科恩(JulieE.Cohen)指出,个人信息保护可以“让人们有喘息的空间”,让个体免受同侪压力(peer-pressure)以及来自商业社会所激发的欲望。丹尼尔·索洛夫(DanielSolove)也曾提出,个人信息保护可以“为人们提供通知、访问和控制其数据的能力”,这可以在“越来越多地使用个人数据对他们做出决定的世界中促进某种自主性”。
但个体信息权益也可以同时成为一种公益。在过去数十年的数据隐私研究中,学者大概从不同方面对数据隐私的公益性进行阐述。首先有学者指出,数据隐私有利于作为公民主体的权益发展,从而保护公共利益。例如科恩教授指出,个人信息保护同时具有社会价值,可以“促进与自由民主公民身份、创新和人类繁荣相关的基本公共政策目标”。索洛夫教授也指出,个人信息保护可以保护个体避免“社会的压迫性”,从而保护公共利益。其次,有学者认为个人信息保护有利于保护社会信任,从而促进社会性利益。例如早在侵权隐私研究中,罗伯特·波斯特(RobertPost)教授就曾论述过隐私保护对于文明规则(civilityrule)的意义,到了个人信息保护研究,又有众多学者提出信任在其中的重要意义,即个人信息保护有利于建构信任关系,督促信息处理者特别是大型企业对于社会承担相应的社会责任。再次,有学者分析了个人信息对于公民参与公共生活和民主自治的重要意义。例如保罗·葛维宝(PaulGewirtz)曾指出,隐私与个人信息权益的保护不足会让人们不敢参与公共讨论和公共生活,从而导致民主生活的失败。保罗施瓦茨教授也指出,信息隐私是“公民社会的一个组成部分”,缺乏个人信息保护,这将妨碍人们“参与协商民主”与“发展和维持个人自治能力”。最后,还有学者阐述了个人信息保护可能涉及歧视、社会不平等、社会分配等民主治理问题。例如斯科特·斯金纳·汤普森(ScottSkinner-Thompson)指出,个人信息保护对于反歧视至关重要,个人信息保护不足可能导致边缘人群受到伤害,因此应当采取一种反屈从(antisurbordination)的保护进路。萨洛梅·维尔琼(SaloméViljoe)指出,由于个人信息的汇集可能导致“整体人群层面(population-level)利益”受到威胁,因此,个人信息保护不能仅仅关注个人与信息处理者之间的纵向关系,而必须“实现数据社会关系的民主化,从个人数据主体权利转向更民主的数据治理”。
从比较法的角度看,欧盟在认可个人信息权益的私益属性的同时,更突出其公益属性。除了上文提到的宪法性原因,更为根本的原因在于欧盟的文化背景。笔者曾经指出,欧盟对于其纳粹历史有着深刻的文化记忆,尤其警惕基于个人信息的自动化、半自动化与大规模个人信息存档行为,因为此类信息在纳粹识别并屠杀犹太人的罪行中扮演了重要角色。基于此类文化背景,欧盟各国很早就开始将个人信息处理视为对人格尊严的威胁。例如德国的《联邦数据保护法》的立法目的是为了防止对“个人完整性(personalintegrity)”的威胁。法国也将“信息计算”视为对“人类身份、人权、隐私,和个人或公共自由”的威胁。相较之下,美国的立法主要集中于少部分风险较高领域和消费者隐私领域,其制度更强调信息披露、监管不公平与欺诈行为,以及数据泄露(databreach)。因此,美国的个人信息保护制度的法益保护主要体现为市场监管与风险预防,没有像欧盟那样将法益上升为具有政治属性的基本权利。
五、告知同意制度的公私法融合
告知同意构成了个人信息保护制度的核心。但无论是我国还是欧盟,告知同意都并非传统私法上的合同制度。以我国《个人信息保护法》为例,第13条将个人同意作为个人信息处理者处理个人信息的合法性基础。此外,其第15条规定:“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式”;第16条规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务”。此外,收集个人信息还受到合法、正当、必要、诚信原则的限制。从这些规定中可以看出,告知同意制度更接近于一种基于个人信息被保护权利的授权和许可。我国《个人信息保护法》在草案制定阶段,曾经以“意思表示”来表述个人同意,但在正式文本中,这一表达得到了纠正。这一立法过程也表明,告知同意与合同制度存在根本性区别。
欧美等国家和地区的告知同意制度同样表现出公私法融合的特征。以欧盟为例,《一般数据保护条例》明确将同意作为处理个人信息的合法性基础,同时对告知同意施加了“目的限制”“数据最小化”等多种限制。例如根据目的限制原则,“个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的”;根据数据最小化原则,“个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的”。这些规定表明,欧盟本质上采取了一种“隐私禁易”(privacyInalienability)规则来看待个人数据保护,将告知同意视为个体的授权机制,而非合同制度中的意思表示。正如上文对欧盟《一般数据保护条例》的分析与论述,欧盟将附着于个人数据上的被保护权视为具有公法渊源与公益属性,因此虽然同意可以由个体作出,但这种授权或许可具有很强的公法特征。
美国由于采取更为市场化的进路,因此其告知同意制度较为复杂。在联邦层面进行立法的领域与加州、弗吉尼亚州、科罗拉多州的立法制度中,其告知同意制度与消费者领域的强制披露(mandatorydisclosure)有一定的相似性,但相比其他消费者保护领域,这些立法中的告知同意往往要求信息处理者以更为显著和清晰的方式披露信息。在其他未进行个人信息保护立法的领域和州,美国的告知同意政策往往由信息处理者自愿设置。但不论何种模式,美国法院在大多数案例中仍拒绝将企业的隐私政策视为合同。
告知同意制度区别于传统合同法,在原理层面也与个体维权效果的有限性有关。在关于告知同意的研究中,有大量的研究对告知-同意制度提出了批评。其核心内容包括:个人不太可能有时间、兴趣、能力阅读隐私政策,企业或信息处理者总是有办法让个人同意其隐私政策,因此告知同意制度更像是个人信息收集与使用的“直通车”;个人与信息处理者之间无法形成传统合同制度中的平等沟通与缔约。告知同意制度要发挥其作用,必须同时依赖企业自我规制与政府规制的力量,融入公法监管的因素。克林顿政府时期担任首席隐私顾问的彼得·斯怀尔(PeterSwire)指出,尽管个人较难通过隐私政策而监督企业,但隐私政策却常常构成企业进行自我规制的章程,并且为社会监督与政府监管提供抓手。因此从告知同意的实施落地层面,也可以看到告知同意既具有私法的形式性特征,也融入了公法内涵。
六、损害救济的公私法融合
个人信息的不当利用可能给个人带来财产、人身、风险等各类伤害,但从伤害救济的角度看,无论是合同救济还是侵权救济,都呈现了公私法融合等趋势。首先,违约救济与侵权救济的范围非常有限。当个人发现企业违反其隐私政策所做的承诺,的确可以依据合同法提起违约之诉。无论是我国的《个人信息保护法》,欧盟的《一般数据保护条例》,还是美国的消费者保护法,都允许个体在受到损害的情形下寻求救济。但问题在于,在个人信息违约或违规的情形中,能够确定损害的案例只占非常少的部分;在绝大多数案件中,个人都很难证明其受到了具体伤害。其原因有多个方面,例如在有的情形中,企业可能利用个人信息对个人进行广告推送,这类个人信息的收集与利用尽管对消费者造成时间与心理上的困扰,但却非常难以证明。
个人信息的违约之诉与侵权之诉已经成为全球共同的难题。以美国为例,如上文所述,企业的隐私政策很难被确认为合同或获得救济。而且即使隐私政策在少数案例中被确认为合同,法院也一般认定,原告提起违反合同之诉的主张,必须证明被告“违反合同导致了损失”,仅仅证明被告违反了原告预期,不足以成立违约。而就侵权之诉而言,美国尽管在不少联邦信息隐私法中规定了法定侵权之诉,即个人可以在相关主体违法的情形下提起诉讼,而不必证明存在伤害,但美国法院仍然通过宪法解释而否定了国会立法。根据美国联邦法院对美国宪法第3条的解释,司法权只能受理“案例”或“争议”,因此要提起个人侵权之诉,就必须证明受到了实际伤害。在个人信息保护领域,经过2016年的Spokeo,Inc.v.Robins案和2021年的TransUnionLLCv.Ramirez,如今个人信息侵权之诉在美国可谓困难重重。虽然美国的侵权之诉受到了包括索洛夫在内很多学者的批评,但在原理层面,美国联邦最高法院的谨慎立场仍有其自身的逻辑。
个人信息侵权具有“大规模微型侵权”的特征,个人所遭受的法益侵害往往非常微小,但涉及人数众多;个人信息侵权诉讼中因果关系与损害结果常常难以确定。如果大量的案例可以在没有确定损害的前提下进入法院,美国的信息隐私诉讼将呈现爆炸性的增长,同时给法院带来很大的裁判压力。尽管这些压力可能通过技术性方法进行一定程度回应,但传统侵权法在个人信息保护中的困境,已经非常明显。
与传统合同违约救济或侵权救济不同,美国联邦贸易委员会(FTC)在个人信息救济中扮演了主导角色,而这一救济方式具有显著的公私法融合特征。从上世纪九十年代中期开始,美国联邦贸易委员会(FTC)开始逐渐介入个人信息保护领域,成为事实上的重要保护机构。与私人诉讼不同,美国联邦贸易委员会可以对“不公平或欺骗”贸易行为的案件进行调查,而不需要证明个体是否遭受了伤害;同时,联邦贸易委员会也排除了私人提起申诉救济。因此,美国联邦贸易委员会的救济具有非常显著的公法化特征。但另一方面,美国联邦贸易委员会的救济并未完全公法化。例如美国联邦贸易委员会主要依赖于案件发生后的调查与裁判,较少依赖事前的规则制定,这使得其救济更近似于司法活动或“普通法”。美国联邦贸易委员会没有一般的罚款权力,其对个人信息案例的监管主要通过和解协议来完成,企业也可以对规制提起诉讼。这些特征都使得美国联邦贸易委员会的救济具有一定的私法诉讼特征。
相比美国,我国《个人信息保护法》规定了多元救济方式。目前,我国《个人信息保护法》为个体维权同时提供了投诉、举报、诉讼等权利。其中第50条提供了个人信息权利直接起诉制度,第65条提供了向有关部门投诉举报的权利,第70条规定了公益诉讼制度。但就损害救济而言,这些救济都与传统侵权法有较大差别。个体投诉与举报自不必说,这一权利的行使更多是促使相关部门发起对个人信息的公权力调查,并非侵权之诉。而第50条的直接起诉制度也与传统侵权法有较大差别。这一制度并不以损害作为要件,而且法院也经常衡量个体利益与社会利益的平衡,这使得个人信息的侵权之诉具有明显的申诉特征,法院常常在具体案件中进行个案和利益裁量,而对于法定权利的考虑相对较少。至于第70条规定的公益诉讼,则更具有显著的公法特征,与个体侵权之诉以及西方的集体诉讼(classaction)都有较大差别。
七、监管制度的公私法融合
从监管的角度看,个人信息监管也与传统公法采取的“命令与控制”模式存在较大区别。在传统监管理论中,对于私营企业与社会机构的监管主要通过制定法律、法规或相关规则,并通过命令与惩罚的方式来直接控制监管对象。但正如有关文献指出,传统监管模式存在众多障碍:例如监管机构可能行政资源有限,无法实现有效监管;监管机构可能没有专业技能对相关技术问题进行监管;有的领域技术和产业发展过快,监管部门常常无法实现与时俱进的监管。出于这些原因,偏向新自由主义的有关理论主张在很多产业领域进行自我规制,即让企业进行自我规制。在个人信息保护领域,也有学者主张,企业常常能够通过产品设计、设立隐私官、企业合规制度等方式而实现“新治理”。综观各国的个人信息保护制度,可以发现各国的法律制度都以公平信息实践为基础,其中虽然存在若干“命令与控制”式的行政监管,但更多采取了合作治理的模式。
以我国与欧盟等国家和地区的法律制度为例,一方面,此类法律制度对个体赋予的信息权利都并非绝对性权利。无论是较为传统的个人信息知情选择权、访问权、更正权,还是与被遗忘权、携带权以及与算法相关的权利,这些权利的行使都需要监管机构或法院在具体场景中界定其边界。就此而言,个体所提起的各项权利诉求具有显著的程序性特征,其诉求往往构成政府监管的触发机制,而非刚性的处罚依据。
另一方面,个人信息保护制度对信息处理者施加的企业合规制度建设、合规审计、影响性评估、个人信息泄露等情形中的补救措施、大型平台的守门员责任,很多责任都需要企业的自我监管,或需要企业与政府部门的合作监管。在这些制度中,很多条款具有授权性、技术性、变动性与宽泛性等特征,因此其具体落地往往需要企业在日常实践中主动落实(例如合规制度建设),或者参考相关技术标准进行解释,或者引入第三方评估与影响性评估,或者通过数据合规官的内部控制而建构持续性的风险控制机制。
八、结语:个人信息保护公私法融合的法理意义
本文从法律渊源、调整关系、保护群体、保护法益、告知同意、损害救济、公法监管等多个角度阐述了个人信息法律保护的公私法融合特征。个人信息保护同时具有宪法与民法渊源;其调整关系为持续性不平等的处理关系;其保护群体同时囊括个体与群体;其保护的法益兼具公益与私益特征;其告知同意制度具有合同的表面特征,但与合同具有本质性区别;其损害救济需要面对大规模、微型、不确定性的伤害,与违约责任和侵权救济具有很大区别;其监管采取了合作治理模式,很多措施介于政府监管与自我规制之间。但需指出,本文所进行的七个维度的解读存在重合之处,也不能穷尽其他维度的解读。例如从风险预防与威慑的角度;从独立监管机构救济、法院救济、检察救济与行政救济的制度分工角度,都可以发现个人信息保护的公私法融合特征。就像观察一座雕像,上下前后左右和侧面的观察角度可以说是无限的,彼此也可能存在重合之处。
个人信息保护的公私法融合特征已经引起了一批学术反思。例如针对私法,不少学者指出传统合同法与侵权法在保护个人信息问题上的局限,主张引入信义法(fiduciarylaw)、保密之诉(breachofconfidentiality)等法律框架对个人信息进行保护。与传统合同法与侵权法相比,信义法与保密之诉的法律框架引入了更多公法因素。而针对传统监管制度所面临的问题,有学者提出引入合作治理的模式保护个体信息,以实现“个人正当程序权利体系与通过合作治理(利用公私伙伴关系)实现的系统性监管相结合”。相比传统行政监管,新的合作治理更强调个人特别是企业在个人信息保护中的作用,因此在一定程度上引入了更多私法因素。
在原理层面,个人信息的公私法融合保护还提出了深层次的法理问题:公私法的融合保护在方法论层面到底意味着什么?当我们说个人信息保护呈现公私法高度融合的时候,这一说法和个人信息保护的公私法叠加保护到底有何不同?这一问题与二十多年前美国法学界关于网络法的争论有类似之处。面对当年崭露头角的网络法研究,美国联邦法院的著名法官、学者伊斯特布鲁克曾质疑:网络法研究到底有何特殊性?在伊斯特布鲁克看来,网络法只不过是宪法、行政法、侵权法、财产法、合同法等各个部门法的拼盘。他认为,重要的仍然是部门法的学习与研究,网络法只不过是各个部门法在网络领域的应用。
如同伊斯特布鲁克一样,本文一样强调部门法研究与学习的重要意义,上文对于个人信息保护理念与制度的分析,离不开对部门法原理与制度的探讨。但本文提出的问题与意义在于:应该以何种视角看待部门法以及部门法与领域法的关系。一种进路是,将部门法所构建的体系视为先验的、完整的制度,所谓个人信息保护法等领域法的研究,就是将这些问题纳入到这个先验的体系中,以保持体系的完备性。另一种进路则认为,应将部门法本身视为人为构建与拟制的制度,其体系应根据真实世界与真实生活而不断调整。在本文看来,个人信息保护法等领域法的研究是为了实现更好的制度目标,而非为了维持原有公法或私法体系的完善性。因此,后一种进路无疑更具有说服力,如果脱离了从问题出发而陷入概念与体系的窠臼,则领域法研究就可能走向僵化,变成伊斯特布鲁克所说的拼盘型研究。
在认识论和方法论层面,从问题出发的研究方法也更符合马克思主义、实用主义的认识论与方法论。实用主义法学认为,理论的意义在于面向实践,应当从实践与问题导向反思理论,而非从本质主义的立场看待理论框架。而马克思主义的认识论则一直强调“理论联系实际”,强调理论必须从实践出发,在实践中提炼理论并在实践中对其进行检验。此外,马克思主义还特别强调整体性与联系性的视角:“世界是普遍联系的整体,事物之间都是相互联系的”。以事物整体性与联系性的视角看待部门法,将能够有效地对部门的协调与配合问题进行研究,避免陷入孤立部门法研究或部门法之间的不协调问题。
对于传统公法和私法来说,个人信息保护的公私法融合特征也提供了创新与突破的历史契机。正如昂格尔、肯尼迪等人所指出,无论是私法想象还是公法想象,其实都只是历史的偶然。这一想象能够维持,与二十世纪特别是二十世纪八十年代以来的全球政治意识形态密切相关。但随着互联网与大数据时代的到来,以平台、数据与算法为代表的社会权力在法律领域引起了史无前例的关注。个人信息保护法所呈现的独特理念与法律制度,正是这一时代的缩影,对公私法二元划分提出了更大的挑战。在这个意义上,分析与阐述个人信息保护法的公私法融合特征,不仅可以帮助我们更深刻地理解这部法律,而且可以为传统公法与私法提供新的制度想象。
