大数据背景下个人信息保护的公私法衔接.docxVIP

?

?

大数据背景下个人信息保护的公私法衔接

?

?

张力黄鑫

摘要：当前立法规范所呈现的个人信息权利化路径面临着过度保护与保护不足的双重困境，同时也难以回应大数据时代系统性的信息安全风险。个人信息本质上是由一些具体人格权权利内容和其他人格性利益糅杂而成的综合体。内容上的复杂性要求私法采取“权利”与“法益”相区分的保护路径。属于“法益”部分的个人信息，承载了更多的社会公共利益，无法由具体人格权所覆盖，但可通过“违反保护他人的法律的侵权责任”进行保护，从解释论的角度以《侵权责任法》第6条第1款作为转介条款，将公法域的个人信息保护性规定引入私法体系，增强法律适用的确定性，实现公私法保护的有效衔接。

关键词：个人信息保护;数据保护;公私衔接

：D923

：A

：1673-8268（2021）01-0047-09

大数据时代，个人信息的海量收集与大规模处理引发的社会问题比比皆是，加强个人信息保护已成为社会共识。但法律究竟该以何种路径进行保护，目前仍存在争议。主流观点认为，应采取个体主义的立场，将个人信息作为私权客体通过私法路径加以全面保护，其内部包括具体人格权说[1]、一般人格权说[2]、人格权兼财产权说[3]等。新晋观点主张，个人信息天然具有易于流通和分享的特性，难以成为私权客体，我国未来的个人信息保护立法应当侧重消费者法保护和公法保护的路径[4]。

笔者认为，这两种观点都偏向于某种极端。鉴于个人信息天然的公共价值属性，传统私权化保护模式的确存在明显的局限性。而且，面对大数据时代系统化的信息安全风险，出于管控国家网络信息安全、维护承载于个人信息上的公共利益的需要，公法介入个人信息保护势在必行。但这种介入不能矫枉过正，不能完全采取以公法為主导的保护模式，私法并非毫无用武之地。在公、私领域相互交错的背景下，单一私法保护和完全公法规制之间仍存在折衷地带——建构公私法整合保护模式。为此，应当跳脱权利思维定式，重新厘定个人信息的私法属性，采取“权利”和“法益”相区分的保护模式。宜将具体人格权射程范围之外的个人信息定性为“法益”，通过“违反保护他人的法律的侵权责任”进行保护，进而以《侵权责任法》第6条第1款作为转介工具，将公法上的个人信息保护性规定源源不断地转介入私法，以它们所确立的行为标准作为个人信息侵权判断的依据，实现公私法规范的接轨汇流，达致个人信息保护整体法秩序的和谐。

一、个人信息私权化保护的困境

（一）当前立法规范所呈现的个人信息权利化倾向

近年来，我国对公民的个人信息保护日益重视，自2012年全国人大常委会通过《关于加强网络信息保护的决定》以来，颁布了大量有关个人信息保护的法律规范，例如，《中华人民共和国网络安全法》（以下简称《网络安全法》）《信息安全技术个人信息安全规范》《电信和互联网用户个人信息保护规定》等，初步构建了个人信息保护体系。2020年5月28日，《中华人民共和国民法典》（以下简称《民法典》）正式颁行。这部“社会生活的百科全书”也在人格权编中专章规定了“隐私权和个人信息保护”，并依据总则第111条的精神进行了具体的制度安排，构成了个人信息保护的制度基础。

通过梳理上述法律规范的体系和内容可以看出，目前关于个人信息保护的法律规范呈现出以下两个特点。其一，将所有个人信息统一保护，适用同样的保护规则。以《民法典》人格权编为例，第1034条第2款采用了比较法上通行的“可识别性”规则，总结了《网络安全法》第76条的立法经验，明确了个人信息的内涵和外延。关于个人信息的抽象定义和具体列举，《民法典》和《网络安全法》都未区分不同属性、不同类型的个人信息，所有个人信息在逻辑体系上都适用一致的保护规则。其二，把个人“选择”或“同意”作为收集个人信息的合法性要件，并确立信息更正权等一系列信息权利。《民法典》第1035条确立了个人信息处理的合法性、正当性、必要性原则，将当事人“同意”视为收集、处理自然人个人信息的唯一的合法性前提，仅在第1036条规定了有限的作为例外情况的免责条件。第1037条规定了信息主体的查阅、复制、更正、删除等系列权能，与第1035条相结合，赋予了信息主体在个人信息公开前后对信息收集和信息处理活动的“决定权”。

纵观其规范架构不难发现，当前的立法规范是以“信息自决”这一基本理念作为基础并构建起相关权能体系，将所有的个人信息无差别地视为私权的客体，并且沿袭了以“用户同意”为主要授权手段的传统路径，试图赋予信息主体对与之相关的个人信息以“控制权”。然而，“一刀切”地将所有个人信息作为私权客体给予统一保护是否符合个人信息的复杂属性？能否应对多样化的社会现实？上述制度构建所呈现的“信息自决”这一制度目标以及所确立的“控制权”是否现实可行？

（二）个人信息私权化保护路径的困境

上述以“信息自决”为基础的立法规范，本质上