摘要:确定《个人信息保护法》第四十五条规定的信息可携权的地位和作用,对于保护个人信息自决、实现个人信息可携利益、促进信息流动和传输具有重大意义。个人信息内部是“权”和“益”有机组合的权益束构造,信息自决权是其“束点”。信息可携权在个人信息权益内部处于中间的地位,起到的是承上启下的作用。信息可携权对上承接信息自决权,对下以复制和传输权作为权利本身的权能,重点在于信息的“可携”。信息可携权是个人信息权中的积极权益,可以采用人格权请求权和侵权请求权的方式予以保护。
关键词:个人信息权益;信息自决;信息可携权;复制权;传输权
中图分类号:D923 文献标识码:A
文章编号:1005-3492(2022)09-0097-16
《个人信息保护法》第四十五条规定了个人信息可携权。事实上,早在2016年的新浪微博诉脉脉案中,就已经凸显了信息可携权的重要地位和作用。这是因为,虽然本案以《反不正当竞争法》作为裁判依据,表面上讨论的是涉案企业竞争行为的正当性与否,但是实则暗喻了一个非常重要的内容——企业可以通过对海量用户信息进行分析以获得巨大商业价值,从而有利于提升自己的产品和服务,甚至可以发现深刻的洞见和预测。而其中决定大数据发展的关键,就在于数据的“流动性”和“可获取性”。因此,《个人信息保护法》规定了信息可携权,目的就是为了充分尊重人格尊严、体现个人信息自决、实现信息可携利益,以加强用户对个人信息的控制力,平衡个人信息处理者和个人之间的力量对比。对于信息可携权的地位和作用,论者如云,见仁见智,本文仅就其在个人信息权益中的地位和作用表达个人见解。
一、信息可携权及其在个人信息权益中的地位
(一)信息可携权的概念
信息可携权也被称为个人信息可携带权、数据迁移权、数据可携权等。究竟使用哪一个称谓为好,应当斟酌。就权利的对象而言,我国一直称为信息或者个人信息,加拿大、韩国亦以“信息”为对象进行保护,欧美则称为“数据”,上述概念的内涵基本相同;就权利的名称而言,可携权、迁移权亦为表述不同而内容相同,使用可携权者众,故本文从之。由于我国的《个人信息保护法》直接使用个人信息的概念,因此称为个人信息可携权最为妥当,简称信息可携权亦可。
对于信息可携权的概念定义,多有不同见解。有学者依托欧盟《一般数据保护条例》(General Data Protection Regulation,后文简称GDPR)的规定,认为数据可携权是数据主体有权以结构化的、技术可行的、机器可以自动识别的方式获取提供给数据控制者的与之相关的个人数据,并有权将个人数据自由传输到其他控制者处,且先前已经获得该信息的数据控制者不应设置障碍。也有学者从实现多元主体之间的利益分配正义入手,认为信息可携权是在具体的信息处理场景中,个人有权请求信息处理者将信息传输给指定的新的信息处理者的权利。还有学者认为,信息可携权从本质上来说更是一种软权利或一种方向性的目标。
上述对信息可携权的概念界定,都有可斟酌之处。本文认为,信息可携权是个人作为信息主体,基于信息自决基础,有权请求信息处理者获取本人的个人信息副本,或将本人的个人信息副本直接、无障碍地传输给另一信息处理者的权利。其重点在于强调个人信息的“可携”性,目的是为了实现个人对其个人信息的控制。
(二)信息可携权存在的环境:个人信息权益的权益束结构
信息可携权是个人信息权益的内容,而不是独立的民事权利。因而分析信息可携权在个人信息权益中的地位与作用,必须首先明确个人信息权益的内部结构。
1.对权利束概念的借鉴
值得关注的是,《民法典》并未使用个人信息权益的概念,而是使用“个人信息”,因而存在个人信息权还是个人信息利益之争。《个人信息保护法》合而为之,称为“个人信息权益”,使其概括的范围扩大,不仅包括“权”,也包括“益”,故谓之个人信息权益为一权利束。笔者认为,权利的结构复杂者很多,并非一定要称为“权益”,因而疑似画蛇添足之说。对此不论,本文赞同个人信息权作为人格权的一种,也不失为一个权利束或者权益束,借以界定其复杂的内容和结构。
权益束是对权利束(bundle of rights)理论进行类推适用的结果,即不将权利作为普遍和绝对意义上的概念,而是强调个人信息处理的过程、特定的应用场合和对人类的制度价值。权利束来源于制度经济学,其制度意义在于在确认权利边界的前提下,避免割裂分析单个权利造成的视角偏差。由于个人信息权既是“权”,也有“益”,因而具有适用权利束概念的正当性。
2.个人信息权益内部存在共同指向的“束点”
构成权利束应该具备以下几个条件:主体与权利类型多元、利益目标一致、以束点为核心、构成要素须是可以享有利益的权利等。所谓“束点”,是各项权利的共同点或一致的利益趋向,这是研究权利集合的基础。
在个人信息权的内部,无论是哪一项权能,都是以信息自决权的实现、保护主体的信息人格利益作为交汇点,成为各项具体权能的聚合点,这就满足了权利束的本质特征。
3.个人信息权益的内部构造形成权益束
所有的民事权利都有其具体的内部构造,通过内部的构造而形成权利的整体结构。即使简单的民事权利,也并非只是一个单一结构,都会形成自己的内部构造。例如在人格权中,最简单的当属荣誉权,但是其也有荣誉保持权、荣誉支配权,甚至还有荣誉物质利益获得权和支配权。
个人信息权是一个具体人格权,由内部的各项权益构成,形成个人信息权的内部构造。构造成个人信息权的各种权或者益,有的具有柔性,有的具有相当的刚性,在法律适用上都具有独特的作用和意义,构成权利构造的多样性。这符合权利束的基本特点,即构成独立权利的各个权利之间,既是相对独立的个体,又有组合成一个整体的可能。
在个人信息权益的构造中,既包括权,也包括益,以权为主,以益为辅,都有自己的独立性,又都依附于个人信息权益的整体。
首先,个人信息权益内部为“权”的部分,具有相对独立性的权能,将其称之为权亦为不可。原因有如下几点:
第一,在个人信息权益的内部,适用权利的保护模式保护某种利益,能对个人信息权益提供更好的保障。例如被遗忘权,原本就是个人信息权人享有的对过时的、长期保存对自己不利的信息的删除权,这是个人信息权的内容之一,将其称为权,在保护上就会有更好的效果。
第二,在个人信息权的内部,能够称为“权”的,在具体性质、行使方式和保护方法上都具有相对的独立性,能够进行归类。例如,有学者认为,应该以《个人信息保护法》第四章为依据,具体来说,个人信息权的权能可以分为知情决定权、获取权、异议更正权、删除权和拒绝权。欧盟GDPR对于数据主体的权利,就分为第一部分透明性原则,第二部分个人的对数据的访问,第三部分更正和擦除。把这些个人信息权中的具有相对独立性的权能称之为权,更能够清晰地表达个人信息权的构造和构成内容。
第三,明确个人信息内部构造为“权”的部分,还有以下优势:一是,有利于抓住适用上的共性,做到“同种类型同种对待”。个人信息权益内部看似每个权益都有各自的使命和功能,但并不是一个扁平式的结构,仍旧可以依据不同标准使其聚合。例如,从权利的行使方式来说,个人信息权内部大致可以分为积极权利和被动防御权利两种类型,前者主要指知情权、信息携带权等,后者包含删除权、异议更正权等。二是,利于了解内部不同权益集合的共同效用,从而厘清与《民法典》之间的关系,最终有利于法律适用。例如,在《个人信息保护法》出台之后,就产生了《民法典》第九百九十五条和个人信息权益内部人格权请求权的适用顺位问题。有学者认为,信息处理者违法处理个人信息造成侵害的,个人信息自己的防御权具有优先适用的地位。毫无疑问,这是对作为整体的个人信息请求权进行归纳分析之后得出的普遍性结论。《个人信息保护法》的私法规范是《民法典》的特别法,只有厘清各项权益及其集合的性质和功能,才能使其不负“特别法”之名,从而使个人信息权益得到更好的保护、更好的实现。
其次,所谓的个人信息权益内部的“益”,是内部一些不具有相对的独立性,但是亦须予以法律保护的部分。原因是:在个人信息权的内部,有些利益不具有相对的独立性,不能脱离个人信息权益而独立存在。
一方面,这些“益”与其他相关的民事权利所保护的利益不能明确区分。换言之,不同的权利代表了不同的利益、主张、资格、力量和自由,权利之间应该有明确的边界,不具有这个特征的,难以称之为权利。个人信息权内部的一些具体构成,不能脱离个人信息保护而独立存在,其本身未成为一种具有独立自洽性的重要利益,是个人信息的固有内容和自然延伸,或者在功能和内容上对其他各种权能都有所涉及。
另一方面,个人信息权益内部这些不具有相对独立性的构成部分,对于个人信息权益具有相当强的依附性。例如,信息在处理中需保证完整、准确,信息主体有权防止图像采集设备肆意搜集个人图像等,这些权益都不具有相对的独立性,但却都是个人信息权益的组成部分,不可或缺。将这些个人信息权的内部构造作为“益”,不仅区别了那些被遗忘权、信息可携权等“权”,也能够将其作为个人信息权益的构造部分一并加以保护。
所以,可以认为,个人信息权益内部的“权”和“益”,在功能上彼此交织在一起,互相影响、不可或缺。二者共同在个人信息权益的权利束中,构成了一个动态的、系统的整体,也就是构成了“权”和“益”构成的权益束。
4.个人信息权的权益束与一般的权利束的区别
在通常使用权利束的场合,对应的基本上是较为松散的权利结构,是依据人为的需要将其组合在一起进行研究,欧美法将其常用于财产权利分析的方法。我国法律很少使用权利束或者权益束的概念,只是《民法典》和《个人信息保护法》规定个人信息权的内容过于复杂,因而借鉴权利束的概念,将个人信息权所概括的不同权利和利益,称之为权益束。所以,即使将个人信息权益的构造称之为权益束,个人信息权益也不是一个松散的权利组合,而是一个独立的人格权。对此,绝不能因为使用了权利束的概念,而否认个人信息权的独立权利的属性和地位,更不能将个人信息权中的构造部分视为独立的民事权利,它们都是个人信息权这个具体人格权构造的组成部分。
(三)信息可携权在个人信息权益中的中间性地位
毫无疑问,信息可携权是个人信息权的构成部分,是个人信息权益束中的一个“权利”。其具体地位,应当处于个人信息权益束的中间地位。
在《个人信息保护法》第四章规定的个人享有的个人信息权利中,信息可携权并不是处于个人信息权益束的顶尖位置,换言之,也就不是权益束的束点。如前所述,个人信息权益束的束点是信息自决权,其他个人信息权益中的“权”,如知情权、可携权、删除权等,都不过是信息自决权的具体展开,成为了个人信息权的权能。例如,知情权虽然具有实然上和功能上的前置性作用,是信息主体不可或缺的权利,但是,它也是被信息自决权统领的具体权能。欠缺了基于理性的信息自决权,信息主体便无法提出希望知情了解的主张,更无法行使具体的知情权内容,其他的“权”或“益”更是如此。因此,它们都是个人信息权的重要组成部分,而信息自决权是一种提纲挈领式的“抽象权利”,是作为人格权的个人信息权的真实表彰。基于此,有学者将个人信息权益分为自决权、知情权和其他散射交叉的系列权能的三阶段构造,不是没有道理的。
信息可携权就是在个人信息权益束中,在束点的指引下,具体落实或者实现信息自决权的具体工具性权利。可见,信息可携权的地位在信息自决权之下。
此外,信息可携权也不是终局性的权益。《个人信息保护法》第三条规定了个人信息处理活动的适用范围,自然也是信息可携权的适用范围。因此,若要实现信息可携权,一方面,主体的个人信息请求权和积极权能只能向信息处理者提出,不能向一般主体提出。提出后,还有待信息处理者的进一步处理和配合,否则无法实现信息可携权的效用。另一方面,当信息处理活动终止后,便没有内部各项权益的适用空间,只能向一般义务主体提出请求。因此,信息可携权的具体内容又有所区分,“可携”的“携”,一是复制,二是传输,因而信息可携权又分为复制权和传输权,构成信息可携权的整体。可见,信息可携权也不是个人信息权益束中的最底层权利。
由于信息可携权的客体是信息可携带的利益,从实现个人信息的转移和传输这一意义入手,复制权和传输权都要纳入信息可携权的范畴。因而在个人信息权的整体构造上,信息可携权处于个人信息权益束的中间地位,上承信息自决权,下启复制权和传输权,形成了信息可携权在个人信息权中的具体地位。
二、承上:信息可携权在实现个人信息自决的承接作用
信息可携权在个人信息权益束中的地位,决定其具有承上启下的具体作用。所谓承上,是信息可携权作为个人信息权益束中的中间性权能,肩负着实现信息自决权的作用。
(一)信息可携权的本质是信息自决
信息可携权具有多元的制度意义。正如佐治亚理工学院法律与伦理学Peter Swire教授认为,信息可携权的制度意义是开放的,它与数字经济竞争、数据流发展、用户隐私保护、其他用户关闭或开放自身数据流等都密切相关。因此,若制度设计和适用得当,这项权利不仅有利于打破信息垄断、破除数据封锁、实现数字经济的良性发展,也有利于信息主体重新“夺回”对信息的控制权,实现个人信息的再利用,从而对国家实现数字中国战略目标的实现产生积极影响。问题是,如果将信息可携权的所有制度意义以一种扁平式的线性结构铺展开来,意图在同一阶段同时达到,那就会陷入首尾不能兼顾的不利境地。为了实现保障私权、促进经济发展和打破数据垄断的目标,学者们无外乎试图采用两种方式予以解决:要么降低权利的预期,以弱化其效用的方式来实现简单化的信息可携;要么将其扩展为多部门法交叉的权利,借助其他部门法的规定和力量解决权利实现的难题。这样做的弊端不言自明:效果的弱化性期待会影响法律本身的权威性,借助其他部门法的规范不利于直接有效地平衡信息主体和信息处理者之间的力量关系,容易进一步忽视对信息主体的权利保护。
对此,本文认为,上述观点产生的主要原因是未对信息可携权的本质进行正确认识。应当明确,私法中的信息自决正是信息可携权的本质,具有确认和保护人格意志上的重要意义。这正是在个人信息权益束中,信息可携权作为中间性权利所具有的本质,也就是将权益束中的束点在信息可携方面的具体展开。对此,本文展开以下论述。
1.信息自决以自由为法哲学依据
我国信息自决权的《民法典》依据是第一百三十条。古罗马西塞罗曾说,为了自由,我们才服从法律。康德认为,法秩序构建在主体的自由之上,是以主体的自我决定为前提的。虽然个人信息的确具有社会属性,但不能否认的是,正是因为个人的存在和活动,个人信息才随之产生,这意味着,个人对个人信息如何使用、支配,都可以自我决定。但是,私法自治只能在法秩序提供的类型范围内进行设权活动,私法自治的形式和内容也是由法秩序决定的。《个人信息保护法》第四十四条规定“法律、行政法规另有规定的除外”,就表明了个人信息权不是毫无边界的绝对权利,信息可携权亦应坚守此项规定,在行使权利时,不能影响他人的权利、不能损害社会公共利益。
2.信息自决是人格上的意志自决
信息自决由德国学者施泰姆勒提出,并于随后的“小普查案”和“人口普查案”中完善,使其成为德国一般人格权的重要组成部分。德国联邦法院在审判中,以基本法为依据,确立了“人格尊严和人格自由→一般人格权→信息自决”的逻辑导向。人格尊严和人格自由是人权的重要组成部分,尊重和保障人权是世界各国通行的重要宪法原则和精神价值。对此,我国《宪法》不仅在第三十三条明确规定“国家尊重和保障人权”,而且还在第三十八条、第四十条等条文规定公民享有人格自由、通信秘密和通信自由,这些都是个人信息权的“本权权益”源流的体现。
信息自决源于宪法层面的人格尊严和人格自由,这一关系是不言自明的,为此,一些学者主张信息自决权是宪法上的一项基本权利。
可是,“源于”和“是”不是一回事。信息自决权源于宪法,但却不是一个宪法上的公权利,而是民事权利。信息自决是基于人格意志的自我控制、自我发展的精神追求,信息自决权是维护这种精神追求,保护这种精神追求的抽象人格权的具体内容。人格由内向外分别是意志、内在人格和外在人格,为了体现“尊重他人为人”的价值追求,应该对每一部分都予以立法上的保护。我国民法对具体人格权的制度设计,已经实现了对内在和外在人格的较为充盈的保护,作为抽象人格权的自我决定权以及信息自决权,就是对人的核心意志(或者说理性)的保护,所以抽象人格权就有了存在的必要性。而信息自决,是主体基于意志得以塑造和改变内在与外在人格的自由,是一种向上的、积极的、发展的权益与愿望。换言之,它是一种有利于主体自己甚至他人和社会的自由,而不是消极、不负责任的任意。信息自决权体现的正是这种自我决定的自由。
信息可携权就此而言,就是信息自决权的表达工具,其全部内容体现的都是信息自决的要求。信息可携权表达的是,对于自己的个人信息支配和使用,自己可以自主进行决定,而且就算是在个人信息处理者处理的个人信息中,个人信息权人也享有自我决定的权利。
在个人信息的可携方面,既要求自我决定以实现个人的发展需求,也能够加强信息流通实现数字经济的沟通发展,二者相比,强调信息自决的私法属性更为必要。这并不是说个人信息处理者的数据权益不受保障,而是立法具有一定的倾向性和针对性,以平衡现实中相差悬殊的力量对比。信息主体的私权是必须要被保护的,所以,通过信息可携权来实现信息自决,不仅不违反公平原则,而且有利于服务现实需要、回应人民期待。申言之,立法必须实现分配正义,不仅要追求社会利益最大化的实现,同时应该倾向于保护弱者,以更好地维护社会公平正义,让每一个人活得更有尊严。
为此,作为一种更侧重于私法领域的规范,信息人格利益之内核是人格意志,即信息自决,由此生发了直接保护它的抽象的信息自决权,也诞生了具化和实现意志自决的手段性的信息可携权等权利。无论是个人信息权益束中的何种“权”和“益”,都集中表达了对信息主体资格、意志和自由的承认。只有在这样认识的基础上,才可以进一步讨论信息可携权的承上作用。
(二)信息可携权的承上作用是承接信息自决权
信息可携权的承上作用,是承接个人信息权的权益束的束点即信息自决权,使信息携带权在个人信息的可携利益中起到统领性作用,成为其他涉及信息携带权能的起点与基础。
1.全面承接信息自决权
信息自决权作为第一位阶的权利,保护着信息权人的信息自决。信息可携权对自决权的顺承关系可以在权益的目标、客体和内容中得到充分体现。
第一,信息可携权与信息自决权的价值紧密关联。信息可携权不是个人信息权的消极保护权,而是一种积极权利。正义是法律的重要价值,它强调法律应是合乎理性的,需要在现实的规范中确定下来。信息自决权强调信息主体对理性与意志的运用,从形态上看是一种积极的自由而非消极的任意。从引发机制上看,也必然含有主体认知上的理性参与。例如,只有用户转移到新平台的收益和效用大于原平台,且补偿效用大于最低效用时,用户才会行使信息可携权。所以,从信息可携权博弈论和信息自决权的角度来看,信息可携权不是任意的,而是认识富含理性、易于实现正义和个人发展的。
第二,信息可携权与信息自决权的客体特征一脉相承。新制度经济学强调,交易和交易成本是决定制度设立的重要依据,而交易是人与人之间的行为。个人行使信息自决权,无论决定允许还是拒绝与他人建立信息交易关系,都需要把自己的意愿表示于外。纯粹的思想由于不能被外人所知,因此无法体现个人信息自决,也无法作为信息可携权的支配对象。因为法律上的信息是需要被表达出来的,将信息等于一切相当于什么都没说。
第三,信息可携权与信息自决权的功能一脉相通。抽象人格权可能与具体人格权于功能上产生竞合,在重合的范围,实现了信息可携权的内容,也就是实现了信息自决权的功能。例如,主体可以基于理性选择,将信息复制、传输用以商业化利用、公益活动或者服务于日常生活的需要等。这是因为,虽然《个人信息保护法》没有规定信息可携权的具体用途和行使方式,但是基于“法无禁止即自由”的信息自决与理性自由,上述内容都可以是信息可携权的范围。
综上,信息可携权作为个人信息权益束中的中间性权利,在全面承接信息自决权中,负责自己的那一部分领域,在保护信息可携领域中,全面保护权利人对个人信息的自决。
2.管领自己作为中间性权利对信息自决的领域
在个人信息权益束中,包括很多中间性权益,例如知情权、删除权、拒绝权、更正权等。这些中间性权益都具有实现信息自决的基本功能。但是,法律规定个人信息权益中的这些中间性权利并不是杂乱无章地表达法律调整个人信息关系中的信息自决利益,而是能起到有序分工,各自管理自己作为中间性权利对信息自决保护领域的作用。
例如,知情权是体现信息自决观念的重要的基础性、核心性权利。它在维护个人信息自决权的分工中,负责的领域是对个人信息处理者的“知”的部分,因为只有知道个人信息处理者所处理的有关个人的信息的内容,才有可能实现对这些个人信息的自决。
信息可携权同样作为个人信息权益束中的中间性权利,它只负责管领自己的可携信息的信息自决,也就是“携”的部分。而信息可携权强调对个人信息的支配和利用,主体行使可携权,可能是为了商业化使用,也可能是为了满足自身精神需求,目的是复杂而多样的。
3.通过分工合作全面实现信息自决
信息可携权在个人信息权益中对这一独立领域支配并非绝对,而是彼此协助、互相配合,从而使信息自决得以全面实现。
同样以知情权为例,可以发现它与信息可携权之间存在着紧密的联系。信息可携权不仅涉及个人信息权人的精神利益,还是实现信息经济利益的主要方式。无论是以哪种目的、无论是将信息传输给个人还是个人指定的其他信息处理者,信息可携权都需要一定的技术知识、目的意识和操作成本才可以实现。这也需要在“知”的基础上,即需要知晓信息可携的范围、途径、行使方式和费用等方面的内容。力量对比不平衡是个人信息保护的前提,因此,信息处理者在信息可携的过程中应该履行更多的告知义务。其基本原则是,信息处理者的充分告知贯穿于信息处理的全过程,无论是事前、事中还是事后,信息处理者都需要明确告知,从而节约交易成本,为信息可携权的信息自决实现提供保障。
经过上文两方面的比较和说明,“知”的权利和“携”的权利的联系与区别就比较清晰了。质言之,在个人信息权益中,各个中间性权益既分工负责,又相互协调成为一个整体,就能够全面实现个人信息的自决,保护好个人信息权人的个人信息。正是信息可携权对信息自决的承接和分工,在自己领域中实现对信息可携利益的自主支配,才能够完成立法赋予个人信息权益的主体信息自决的立法目的。
三、启下:信息可携权对个人可携信息利益自决的统领作用
信息可携权的核心在于个人信息的“可携”。信息可携作为个人信息的复制权和直接传输权两个功能性权益的“束点”,使信息可携权在个人信息权益束中,具有“启下”的功能,通过自己对可携信息保障信息自决,统领复制权和传输权对信息自决的实现。
(一)信息可携权的内容
我国《个人信息保护法》在具体权益的建构中,将信息可携权对应复制权和传输权。这借鉴了欧盟GDPR第二十条规定的数据可携权拥有两项权能即副本获取权(right to obtain a copy)和副本传输权(right to data transfer)。
1.复制权
复制权就是信息主体有权以主动申请的方式从信息处理者处下载个人信息副本的权利。有学者认为,复制权是知情权的具体体现,查询复制权已经包含了信息可携权。这种观点可能是基于我国法律文本而直接得出的:《民法典》第一千零三十七条规定,自然人可以依法向信息处理者查阅或复制个人信息;《个人信息保护法》第四十五条第1款也作出了类似的规定,只不过将“或”改为了顿号。依据语义学的常用解释,顿号往往分隔同类和并列的事物,并用作语句上的停顿。国内有学者据此将二者等同,甚至在表述中省略顿号,直接以查阅复制权来进行表述。这种说法有利于阐释知情权和可携权的紧密联系,不过笔者认为这是不对的,理由如下:
首先,从比较法的角度来看,GDPR于第二部分“信息对个人数据的访问”中的第十五条规定了访问权,赋予了主体有权访问、了解信息处理的目的、相关个人数据的类别、已知的数据接收者及其分类等权利。反观复制权,是被规定在第三部分“更正与擦除”的第二十条“数据可携权”中,二者并不存在于同一条文,甚至不在同一部分中。相类似的,加拿大《个人信息保护法》于第三部分规定了同意知情规则、第七部分第二十三条规定了个人信息获取权。可见,欧盟和加拿大有意将二者区分开来,并不认为二者是同一类型的权能或发挥了一致的作用,并有意在条文顺序的安排上强调了知情权的地位。因此,不能将访问权、查询权等知情权的内容融入信息可携权中。
其次,本文赞同查阅权是对透明度原则的落实和保障,是其他具体权能的前提,但是复制权并没有这样的作用,基于法律和事实功能上的理解,其他权能也可以脱离复制权而独立存在。所以,“查询复制权”这一说法存在功能上的内在矛盾。
最后,虽然从形式上看复制权涉及两方主体,信息传输权涉及三方主体,但本质上仍是信息主体和信息处理者之间的关系。这是因为,从行使方式来看,复制和传输权都以信息主体为导向;从目的来看,二者都服务于信息自决和信息再利用;从权利义务关系来看,无论是信息传输者还是接收者,都是信息处理者,都是《个人信息保护法》规定的义务主体。例如,开放银行的服务模式可以分为三种类型:一是由前述三方主体达成合同协议的数据可携。二是以银行为中心的数据携带,此时个人与第三方无关,信息传输方在经过授权之后可以将个人信息共享给第三方。三是以用户为中心,传输方和接收方之间没有合同关系,传输方根据用户的需要把个人信息开放、共享给第三方,而第三种情况是典型的信息可携模式。以此为例,本文认为,所谓两方主体或三方主体影响的更多是责任承担和主体数量的不同。虽然传输者和接收者有着不同的义务,但他们都于信息可携权这一个权利产生对应的信息可携法律关系,在一个权利框架内运行。
由此产生的忧虑是,从一般意义上来说,信息可携权的目的是为了促进信息的交流和利用,以促进数字市场的繁荣服务的。如果用户仅行使复制权而不传输,是否就无法促进信息流通、无法实现这一目的了呢?本文认为,可以从以下角度来思考这一问题:一是,主体行使复制和传输权,是为了实现信息自决。而加强信息共享、交流和利用,更多的是为了实现信息财产效用,促进数字经济的繁荣。不同的民事权益位阶的份量是不同的,人格权益对比财产权益应被优先保护,因此在制度设计中应首先满足主体对信息自决的需要。二是,信息可携权强调以“可携”方式实现对信息的再利用。信息主体复制信息,无外乎是供本人或其他信息处理者分析使用,这都是利用信息的方式,是可以满足信息可携权有利于信息可携带式再利用的制度意义的。三是,信息处理不是一件简单的过程,个人往往欠缺进行信息处理的能力。大数据时代的信息处理技术包括且不限于储存技术、安全技术、数据收集和传播技术、加工和传输技术等。正如密尔所说:行为规划所具有的特性和色彩必定得自其从属的目的。从功利主义角度出发,对于信息数据复杂的情况,如果信息主体获得信息副本之后无法自行处理且不能传输给信息处理者的话,复制权对于主体便是没有意义、不能创造价值的,它也就没有了存在的必要。因此信息主体行使复制权,不仅可以实现个人对信息的控制,而且也不会影响信息的交流和利用。从某种意义上说,复制权和传输权有着天然的共生性。
2.传输权
信息的传输,可以分为直接传输和间接传输,前者是经由信息主体的直接指定,由信息传输者直接将个人信息传输给信息接收方的权利;后者指主体先行使复制权,后再将信息传输给信息处理者。传输权是信息可携权的核心权能,欧盟委员会在2015年对数据保护改革的意见中指出,数据可携权允许个人数据在不同的服务提供商之间传输和提供,目的就是为了实现信息自决,加强用户对个人数据的控制力。
信息的直接传输会面临着更大的安全风险,可能会面临中间人攻击、拒绝服务攻击、非授权接入等安全问题,因此需要进一步加强和完善传输中的信息安全。另外,传输的信息应该保证能被信息接收方无障碍使用,以实现信息流动和再利用的要求,从而防止信息价值减损和信息滥用的风险。鉴于此,在技术可行条件下的安全和无障碍传输、利用,是对信息处理者主要的义务要求。
GDPR对技术可行下的数据传输有着结构上的要求,即“结构化、机器可读和常用”,不过,它并非是严格的统一标准。欧盟委员会认为,在未规定通用格式时,可以使用有利于二次利用的常用开放格式(如XML、JSON、CSV等)进行。我国没有对数据格式进行规定,也没有规定技术可行或技术互通的要求,而是以“国家网信部门的规定”作为限制性条件。一般认为,信息传输者传输给其他信息处理者的,应以常用、可读的数据格式为最低要求,信息处理者之间有额外协议利于信息安全、信息传输互通和再利用的、或部分行业有特殊要求的,可以设立更复杂、更安全的格式形式。传输给个人的(即个人行使复制权的),应以一般用户能读取的格式为标准(即最低要求),必要时还应附加相关的说明以方便信息主体了解信息的内容与各文件的作用,以落实信息自决权的要求。
为了保障信息传输安全,《个人信息保护法》第四章第四十五条和第五章共同规定了相应的信息处理者的义务。主要包括在符合网信部门规定情况下的途径提供义务、事前安全措施义务、设立个人信息保护人义务(部分信息处理者)、影响评估义务等。除国家层面的立法外,我国部分大数据先行地区也对信息传输的安全保护义务进行了立法尝试,例如《贵州省大数据安全保障条例》第十三条、第十五条和第十九条的规定。对比而言,所呈现出的共同点是,以维护信息安全为红线要求,只有在充分安全保障下的信息传输,才能落实信息自决权的目的要求。
(二)信息可携权的主体
只有自然人才享有个人信息权,进而享有信息可携权。因此,自然人是个人信息可携权的权利主体。
需要讨论的问题是,是否应该对信息处理者进行区别对待。有学者认为,信息可携权的义务主体应该局限于具有市场力量的大型网络公司。本文不赞同这样的观点,一是,如何确定具有市场力量欠缺恰当的标准。如果参照反垄断法,确定具有市场支配地位的大型企业才是信息可携权的主体的话,不仅会过于限制义务主体的范围,而且用户实施信息可携权后的效果,也只是从一家大公司跳转到另一家大公司而已,无法起到对中小企业的激励作用,更无法实现用户“用脚投票”的权利。二是,数据本身的价值也难以认定。一些新兴公司是凭借创新技术或先进性的思维占据一定市场份额的,它们没有庞大的固定资产,如何鉴定元数据和衍生数据的价值,还有待技术和法律的进一步发展。三是,区别对待不利于实现主体的信息自决权。信息自决权是基于主体尊严和意志而产生的控制权、决定权,对信息处理者的限制实质上是人为地局限了合法信息自决的范围,不利于实现对个人信息权益的保护。因此,对于个人信息处理者不应当区别对待,只要是个人信息处理者,就应当保障个人信息权利主体的信息可携权。
(三)个人信息处理者保障信息可携权的原则
《个人信息保护法》规定了个人信息处理的原则,这些原则是保障个人信息自决的必要措施,也是保证信息可携权实现对个人可携信息自决的必要保障。个人信息处理者只有在个人信息处理中遵守这些原则,才能够保障个人信息可携权对复制权和传输权的统领作用。
1.目的原则
处理个人信息的目的原则,包括目的性原则、必要性原则和最小范围原则。它要求信息处理应该有明确合理的目的,并采取对个人影响最小的方式进行,近似于公法上的“比例原则”。它强调信息处理应该明确合理并坚持使用限制,也强调信息处理不应给信息主体带来较高的风险,不为个人造成过高的负担。有记者对我国主流APP进行了信息可携权的申请测试,发现一些APP是没有达到目的性要求的。有些平台需要用户详细填写“用户个人信息副本申请”表单作为信息可携的前置条件,而其中有大量一般用户难以常记于心的内容,如果用户不能提交符合要求的表单,可能就会影响信息可携权的实现,也就形成了对信息自决权的变相限制。因此,基于目的性原则,信息处理者应该充分保障用户的知情权和自决权,以便于用户操作的方式提供简易的复制或信息直接传输的手段,降低用户的操作成本。
2.诚信原则
前文提到的“新浪微博诉脉脉一案”,脉脉表示“十分被动”。这是因为,新浪一方面设置了普通和高级两个信息访问权限,权限的适用需要信息接收方主动申请并支付一定的费用,而且可以不经与合作方协商,自行修改API的相关设置。对此,一审法院在裁判文书中明确表示,“处于相对优势地位的互联网经营者应该诚信经营”,“互联网经营者应该遵循自愿、平等、公平和诚实信用原则”。信息传输方和信息接收方诚实、互信的良好合作是实现信息直接传输的关键,如果信息接收方是中小企业且受到了不公平对待的话,势必会进一步限制中小企业的积极性、增加经营成本,也会使网络用户即个人信息权人成为最终的受害者。
3.公开透明原则
公开透明原则要求信息处理保持公开、合法,能够被他人所知悉。国内部分互联网运营商对数据可携权的重视程度不够,在《个人信息保护法》出台之后,有的网络运营商对信息可携权只字未提,另一些网络平台的“隐私政策协议”中虽然写入了相关内容,但是后续的描述并没有涉及主体行使可携权的方式、期限、风险分配等内容,这显然不符合公开透明原则的要求。知情权是个人行使信息可携权的必要前提,如果用户的知情权不能保障,个人就会不敢、不便、不能行使信息可携权,自然也会影响信息自决权的实现。
4.保证质量原则
质量原则的两大要求分别是准确性和完整性,在信息可携中,欧盟第29条工作组(The Article 29 Working Party,简称WP29)鼓励数据控制者对申请主体以外的其他用户进行身份识别上的剔除,从而保证最低限度地涉及第三方身份。但是,一味地对个人信息的内容进行去标识化,会出现以下两个问题:一是,影响信息的整体性和内容的完整性,从而导致个人信息碎片化。信息自决权的效力会随着个人信息与自然人之间联系的减弱而减弱,若信息的碎片化达到了会影响可识别性的程度,自然是对个人信息自决权的破坏。二是,对信息内容的筛选必然需要一套高质量的算法,否则无法保证结果的准确性,这无疑进一步提高了企业的经营成本。所以,如何在尽最大可能保证信息完整价值的情况下实现信息可携权,是应当解决的重点问题。
(四)信息可携权的行使条件
1.须以请求的方式对本人的信息提出主张
权利主体可以对自身享有的人格利益进行有限处分,这种处分的前提应当是针对本人的人格利益。因此,信息主体只能对具有关联性的本人信息提出复制和传输的请求。换言之,如果是已经被匿名化的或被删除的个人信息,信息主体无权主张要求复制和传输。只有本人信息,才是信息可携权指向的对象。
值得注意的是,积极性权利、防御型权利与请求与否没有必然的联系,不能简单地认为凡是需要以请求的方式行使的权能,就是积极性权能,反之亦然。知情权和决定权是最显著的积极权能,拒绝权、更正权等是典型的消极权能。积极性权利和消极防御性权利的主要区别是个人信息权这一人格利益是否受到了损害。人格权的权能包括控制权、利用权、有限转让权和有限处分权。在信息主体行使积极权能的场合,人格权并未受到侵害,尤其对于利用权来说,它不仅彰显了主体区别于他人的个人价值,更是为了满足主体自身的需要。而消极权能主要是为了保障人格权的完整性和自决,是需要具备一定条件的。例如,《个人信息保护法》第四十六条规定,当个人信息不准确或者不完整时,个人发现后才有权请求补充或者更正。但是,无论积极还是消极的权能,二者的交汇之处都是为了保障作为“束点”的信息自决权。
2.权利行使的限制性因素
基于主体的信息自决,理论上应该所有具备关联性的个人信息都是信息可携权的范围。但是,法律上的自由并非漫无边际,它不仅要受到《民法典》规定的个人信息处理者的免责事由、人格权合理使用的限制,而且要受到知情权抗辩事由的限制,更应该考虑权利本身的抗辩事由。这三个方面共同构成了数据可携权的限制性条件。其标准是,不得侵犯公共利益和他人的自由。
3.直接传输应当符合国家网信部门的规定
国家网信部门的主要职责包括加强互联网建设与管理、构筑国家网络安全屏障、发挥信息驱动引领作用等。近年来,我国网信部门回应社会需要,出台了一系列网络安全和个人信息保护方面的管理规定,如《移动互联网应用程序信息服务管理规定》等,或许在不久的将来也会针对信息可携权进行规则制度上的进一步落实和完善。需要注意的是,只有主体在主张直接传输个人信息副本时才需要以国家网信部门的规定为依据,主体行使复制权无需满足此条件。这是因为,直接传输安全性更为堪忧、涉及主体更为复杂、权利义务关系更不明确,因此需要网信部门予以规定进一步细化。
(五)违反信息可携权义务的责任
个人信息权是精神性人格权,作为个人信息权益中重要权能的信息可携权自然蕴含着主体的精神利益。同时,信息符合传统标表型人格权的一般特征,具有经济价值,含有财产利益。违反信息可携权义务的,由于无法使用返还原物或者回复原状,需要对信息主体遭受的精神和财产损害承担损害赔偿的侵权责任。
1.信息可携权的人格权请求权保护
信息可携权的人格权请求方式有二:一是《个人信息保护法》规定的个人信息权益独有的请求权权能,二是《民法典》第九百九十五条规定的所有人格权都享有的固有请求权。信息主体可以根据实际需要予以请求,对于二者请求内容发生竞合的部分,应优先适用《个人信息保护法》的规定。
删除权是个人信息权益中的人格权请求权,信息复制、传输完成不代表信息主体一定要紧接着行使删除权。这是因为,复制传输可能只是信息处理的一部分,信息主体可能还需要原信息处理者提供的网络服务。只有基于个人的信息自决,在信息传输完毕且自愿、主动要求退出原网络服务或出现其他满足删除权行使条件的,信息处理者才有义务主动删除相关的个人信息,没有删除的,属于对个人信息权益的侵犯,信息主体可以依照《个人信息保护法》第四十七条行使删除权。
2.信息可携权的侵权请求权保护
(1)个人信息处理者侵害信息可携权造成财产利益损失的赔偿
《个人信息保护法》第六十九条是对侵害个人信息权益的侵权责任和赔偿数额方法的规定,是对《民法典》第一千一百八十二条的细化。信息处理者违反信息可携权义务,造成财产损失的,应适用过错推定原则,侵权人不能证明自己没有过错的,应该承担侵权责任。
(2)个人信息处理者侵害个人信息权造成权利人精神损害的赔偿
《个人信息保护法》没有明文规定侵害个人信息权益精神损害赔偿,应该根据《民法典》和《个人信息保护法》的基本法与特别法的关系,适用《民法典》第一千一百六十五条第1款和第一千一百八十三条第1款的规定确定精神损害赔偿责任,要点是,应该适用过错责任原则,而非过错推定原则;精神损害应该达到严重程度,信息处理者才应该承担精神损害赔偿责任。
四、结语
对个人信息权保护的所有出发点和落脚点,都是尊重和保障个人信息自决,这是个人信息权益的核心权益,也是信息可携权的权利正当性的基础和目的。信息可携权在个人信息权益束的构造中,是处于中间性地位的权利,具有一定独立性但又不能成为独立的民事权利。它对上紧密承接信息自决权,形成对个人可携信息利益意志支配和自决的保障,对下统领着复制权和传输权,集中彰显着个人信息可携利益,是对信息自决具体化和现实化的工具性权利。明确信息可携权在个人信息权中的地位与作用,不仅有利于实现信息主体对信息可携利益的自决支配,而且有利于发挥复制权与传输权的作用,实现个人信息的多样化利用,从而保障信息自决,平衡信息主体和信息处理者的力量对比,以实现自己的个人信息利益。这对建设数字中国、促进经济良好发展都有重要意义。