編者按:
為了切實落實中共中央宣傳部等部門《關于推動學術期刊繁榮發展的意見》,創新期刊傳播形式和方法手段,有效發揮期刊在學術質量等方面的引領作用,加快融合發展、提升國内國際傳播能力,推動學術期刊在數字經濟時代的轉型升級,《政法論壇》将秉持創新發展與嚴格把關并重的原則,探索實施網絡首發制度,從2022年第1期于中國知網陸續推出網絡首發文章,并于政法論壇微信公衆号同步推出,敬請關注!
個人信息可攜帶權在國家機關間的實現
羅英 2003网站太阳集团副教授
本文将發表于《政法論壇》2023年第6期
摘要:學界關于個人信息可攜帶權的研究很少涉及其在國家機關間實現的情形,但個人信息可攜帶權具有在國家機關間實現的規範基礎和現實需要。從法教義學角度分析,宜将個人信息保護法第33條理解為一種特殊立法技術,即該條使得個人信息保護法中的規範具有公私法雙重屬性,第45條第3款規定的個人信息可攜帶權亦具有“公私法兼容性”。但公法上的個人信息可攜帶權并非憲法上個人信息權的保護核心,而是處于立法者的形成空間中,主要體現為要求國家機關作出具體行為的行政法上的請求權,其解釋需要受其憲法規範的輻射效果。應從權能要素、客體範圍和技術标準等維度明确公法上的可攜帶權的權利内容,基于公共利益和第三人保護厘定其外在限制,勾勒公法上的可攜帶權的最終保障範圍,從而更好地發揮其促進數據流通、構建互聯互通數字政府的積極作用。
關鍵詞:個人信息保護法;個人信息可攜帶權;公法權利;基本權利的形成
目錄
一、問題的提出二、個人信息可攜帶權在國家機關間行使的法律屬性三、個人信息可攜帶權在國家機關間行使的理據四、公法上的可攜帶權之權利内容五、公法上的可攜帶權之外在限制結語
一、問題的提出
我國信息數據資源80%以上集中于各級政府及其部門中,政府已然成為最大的數據平台。雖然“一網通辦”“跨省通辦”等數據共享技術層出疊生,但行政相對人為辦理業務或開具證明而反複奔波于國家機關間的現象屢見不鮮,數字政府建設中“信息孤島”和“數據煙囪”等貶損公共數據價值的現象仍大量存在,這既造成了公共資源的極大浪費,也降低了政府公共服務的滿意度,成為數字政府建設過程中亟待破解的難題。對此既需要“自上而下”地系統構建政府公共數據開放、共享機制,也需要“自下而上”地完善相對人的公共數據權益體系。就後者而言,我國個人信息保護法第45條第3款所确立的可攜帶權提供了一種可能的解決方案。根據立法參與者對個人信息保護法的解釋,個人信息可攜帶權是指“在符合一定的條件下,個人有請求将個人信息處理者處理的其個人信息轉移至其他個人信息處理者的權利。”根據該權利内容,它調整了現實中存在的個人信息主體與處理者之間的不對稱權力結構,賦予個人信息主體選擇流通和替代的能力,進而打破“鎖定效應”,在“數治”時代對促進公共數據價值的實現具有積極意義。正如有學者所言,在公權力主體之間積極運用可攜帶權可以有效破解“信息孤島”,促進公共數據共享。
需要注意的是,個人信息保護法在立法草案第三次審議時才加入“個人信息可攜帶權”,由于未經過前兩次立法草案審議的充分讨論,個人信息可攜帶權的條文規定相對簡單,其他法律規範也暫未作出明确細化的規定。學界在關注“個人信息可攜帶權”時,更多是在非國家機關個人信息處理者之間對其進行讨論,對其在國家機關間的實現場景着墨頗少,甚至部分學者基于比較法的考察,将個人信息可攜帶權的行權目的局限于純粹經濟效益,明确排除其在國家機關間的行使。然而,根據個人信息保護法第45條第3款的文義,個人信息可攜帶權的義務主體并未明确限定為非國家機關,按照個人信息保護法“一體調整”的立法模式,個人信息可攜帶權隻要“符合國家網信部門規定的條件”,也具備在國家機關間實現的規範基礎。就當下而言,在個人信息保護法第45條已确立此項個人信息權益的前提下,研究重心将轉向如何解釋和适用該條款。與此同時,本輪國務院機構改革對該條款的适用亦将産生一定影響。我國已在中央層面設立專門的大數據管理機構——國家數據局,并将“協調國家重要信息資源開發利用與共享、推動信息資源跨行業跨部門互聯互通”等職能劃入該局;中共中央國務院2022年底發布的《關于構建數據基礎制度更好發揮數據要素作用的意見》亦明确提出,要“充分保護數據來源者合法權益......保障數據來源者享有獲取或複制轉移由其促成産生數據的權益”,這既表明我國政府解決數據要素流通不暢、“數據孤島”等難題的決心,亦勾勒出信息資源互聯互通的一體化設計藍圖。鑒于此,有必要對個人信息可攜帶權能否以及如何在國家機關間實現展開讨論,并為該項權利在國家機關間行使的法律屬性、内容和限制作進一步的分析與解釋。
二、個人信息可攜帶權在國家機關間行使的法律屬性
在公法與私法相區分的背景下,個人信息可攜帶權在不同類型主體之間行使的差異性成為一個值得說明的前提性問題。以下将首先就個人信息可攜帶權的公法屬性展開分析。
(一)國家機關間行使的個人信息可攜帶權是一種公法權利
學界對個人信息保護法公私法屬性的探讨始終存在。基于個人信息保護與隐私權保護的密切聯系,以及民法典人格權編中大量的個人信息保護條款,個人信息保護法對個人信息的保護也基本上是圍繞民法典的規則而展開的,兩者關系相當緊密。然而個人信息保護法亦具有公法面向,囊括個人信息可攜帶權等的個人信息保護制度呈現出一種公私法融合特征。一方面,個人信息保護法是作為立法者履行作為憲法基本權利的個人信息權保護義務的産物,對大量處理個人信息的國家機關自然具有适用餘地。另一方面,适用于國家機關的和适用于私人之間的個人信息保護規範體系存在差異,前者是一種公法規範。從法教義學角度分析,個人信息保護法第33條規定存在兩種可能的解釋方式。一是将此處的規定理解為注意規範,該法規範本身即平等适用于各類主體。在此理解下,由于法規範并不特别适用于公權力主體,故個人信息保護法中的規範為私法規範,國家機關處理個人信息的行為為私法行為。二是将此處的規範理解為一種特殊立法技術,即該條使得個人信息保護法中的規範具有公私法的雙重屬性。在适用于私人之間時,個人信息保護法的規範應置于民法典等私法規範構築的體系下進行理解,而在适用于公權力主體與私人之間時,個人信息保護法應與第2章第3節相結合,置于憲法構築的公法體系下進行理解。
筆者認為将個人信息保護法視為具有公私法雙重屬性的規範更為妥當。第一,從規範結構而言,在個人信息保護法适用于私人之間時,該節之外規範本身即屬完全性規範,不需與第3節的規範同時适用。而當其适用于國家機關和私人之間關系時,第3節的規範需要與其他規範相結合後推導出行政機關處理個人信息的合法性要件,第3節中的第34條将需要結合适用的規範推廣到了法律和行政法規。該法第3節之外的規範甚至可被視為用于補充公法規範的私法規範。在此種意義上,适用于國家機關處理個人信息的完整的規範體系,是第3節與其他規範的結合,是僅适用于公權力主體的規範,屬于一種公法規範。第二,國家機關處理個人信息的行為多為事實行為,而事實行為即使有規範依據,亦因其僅憑實力為之,并非國家機關單方課予私人義務,是否具有高權屬性并不易分辨,故就其定位易生困難。從對公權力行為的一體性拘束而言,國家機關處理個人信息的活動本身往往服務于行政機關的其他高權行為,将國家機關的個人信息處理行為作為高權行為,進而使得個人信息處理活動和其服務的高權行為一體受到公法調整更為妥當。這亦契合德國聯邦法院采取的密切關系說,從事實行為的目的及與其他行為的關聯出發進行判斷。由此,不僅基本權利的主觀面向可以被适用,依法律行政、正當程序、合法預期保護等行政法上的各原則可以當然适用于行政機關處理個人信息的行為。第三,将國家機關處理個人信息的活動原則作為公法上的高權行為,并不排除國家機關進行私法活動時處理個人信息的行為屬于私法行為,即國家作為私法主體進行國庫行為等各類私法活動時,處理個人信息的行為仍可适用私法面向個人信息保護法。
此外,從公法層面觀察個人信息可攜帶權,其既可能是受公法保護的私益,也可以使得公共利益經由私益保護而得到促進。其不僅僅關注個人信息主體與處理者之間的縱向關系,同時也在推動個人信息主體權利轉向更為民主的數據治理。總之,在個人信息權項下的個人信息可攜帶權當然是一項私法權利,但它也是一項指向國家的權利,是一項公法上的權利,具有“公私法兼容性”。
(二)公法上的可攜帶權屬于立法者形成的基本權保護範圍
在說明個人信息可攜帶權具有的公法屬性後,其在公法權利體系中如何定位便成為需要進一步說明的問題。具體包括公法上的個人信息可攜帶權與基本權利的關系如何,其在行政法權利譜系中又應當被如何定位兩個問題。
第一,公法上的個人信息可攜帶權并非憲法上個人信息權的保護核心,而處于立法者的形成空間中。個人信息權作為憲法上的基本權利束,其規範基礎在于人權條款籠罩下的通信權和人格尊嚴等條款,其保護範圍的形成方式存在差異。基本權利包括事實形成部分和法律形成部分,個人信息權利束中,“不依賴于國家的認可,甚至在國家産生之前就已經存在的權利”屬于事實形成部分,其主觀面向往往指向國家的消極義務。而需“經國家創設才能形成的權利,離開了國家行為,尤其是立法确認,該權利就不能或者不能有效地行使”的權利多屬法律形成部分。公法上的個人信息可攜帶權的實現依賴于國家的作為,而不具有國家消極義務的面向,應歸入個人信息權利束中法律形成部分。在立法者基于個人尊嚴和人權條款形成個人信息保護權時,首先需要确認其權利核心部分,即其本質内涵。在核心部分的保護上,立法者并無自主形成空間。有觀點認為公法上的個人信息可攜帶權并不當然是作為基本權利的個人信息受保護權的組成部分,也不是個人對信息數據享有的查閱權利的必然延伸。此即指出了個人信息可攜帶權不能從前述憲法規範上理所當然導出,不處于個人信息權的核心。從憲法作為框架秩序的視角觀察,前述核心部分是憲法為立法者形塑個人信息權設定的不可逾越的邊界,而核心内容之外的部分,則留給立法者進行權衡。于此,立法者一方面将個人信息可攜帶權歸入作為基本權利的個人信息權利束中,另一方面将權利行使的具體要件委托給網信部門規定。因此,國家機關間行使的個人信息可攜帶權,是立法者在形塑個人信息權具體内容時,進行立法裁量的産物,屬于基本權利的保護範圍内,對其限制的合法性要件的分析适用于基本權利的審查框架。
第二,公法上的個人信息可攜帶權主要體現為要求國家機關作出具體行為的行政法上的請求權,其解釋需要受其憲法規範的輻射效果。首先,由于個人信息可攜帶權落入了立法形成空間内,屬于立法裁量的産物,其主客觀面向均由立法所形塑,故其作為基本權利直接對抗立法的空間較小。其次,在具體行為層面,個人信息可攜帶權是一種行政法請求權。行政機關是大量處理個人信息的主要國家機關,其處理個人信息的行為屬于行政當無疑義,而在與抽象規則制定和具體糾紛解決無關時,行政機關之外的國家機關傳輸個人信息的行為盡管不存在通過行政訴訟進行救濟的可能,但仍屬于實質意義上的行政,亦可參照行政法學理。同時,此種積極權能面向之下的個人信息請求權隻能向國家機關信息處理者提出,具有指向的特定性,且個人信息可攜帶權效用的實現還需要國家機關信息處理者的積極履職。再次,個人信息保護法第45條第3款起到了前述形塑作為基本權利的個人信息權的具體内容的作用,此種形塑仍需基于個人信息權利束的憲法基礎上。而立法對基本權利的形塑對包括行政機關在内各國家機關都産生效力,成為個人信息權主體請求國家機關作出特定具體行為的請求權,這是前述處于基本權利保護範圍内的可攜帶權的主要表現形式。在對作為行政法請求權的個人信息可攜帶權進行解釋時,仍需要在個人信息權的憲法規範的籠罩下進行。最後,此時的個人信息可攜帶權将以個人信息權益的重要權能形式向外表征,也即個人信息可攜帶權可被視作“權益”中的“工具性權能”。其“工具性”即體現在行使内涵上:個人信息可攜帶權革新了以往通過“占有”實現控制的方式,其是以權利人的“請求”對信息數據進行控制,具備請求權的權利外觀。這就表明個人信息可攜帶權在權利的規範構造上将“請求”作為觸發點,以保障個人在與其相關的個人信息處理活動中的參與、選擇等行為自由,并抑制個人信息處理者的恣意和濫權。
三、個人信息可攜帶權在國家機關間行使的理據
因讨論場景被置于公權力主體之間,個人信息可攜帶權在國家機關間是否具有實現的必要性與可能性,需要進一步探讨。
(一)個人信息可攜帶權在國家機關間行使的必要性
第一,提高行政效率與政務服務滿意度。推動政府公共數據開放共享,已在數字政府實踐中形成共識。2020年9月,國務院辦公廳印發《關于加快推進政務服務“跨省通辦”的指導意見》,提出要依托全國一體化政務服務平台和各級政務服務機構,着力打通業務鍊條和數據共享堵點,推動更多政務服務事項“跨省通辦”。《“十四五”國家信息化規劃》也明确指出要深化推進“一網通辦”“跨省通辦”“一網統管”。部分省份也在政務應用中設置了區域跨省通辦專欄,由部分臨近地區以某些常見、常辦的事項組合形成,以最大限度提供跨區域的便民政務服務。例如,泛珠三角區域“跨省通辦”服務專區中明确表示支持多省證照互認,個人用戶選擇相應跨省通辦事項和辦理區域後,如涉及身份證、結婚證、營業執照、居住戶口簿等電子證照則可直接實現互信互認。然而,政府公共數據的盲區與真空地帶卻普遍存在。有學者将這一現象分析和歸因為“有些部門将信息視為權力和資源的來源,不願将自己的信息和同級其他部門共享。一些部門甚至不知道其他單位到底有哪些可供本部門使用的信息,即缺少‘關于信息的信息’。”這在一定的程度上形成了政府公共數據共享的障礙與壁壘,不利于行政效率的提升,也嚴重降低了公共服務的滿意度。目前數字政府建設實踐中,公共數據共享能力的提升主要依賴上級國家機關“最多跑一次”類型的自上而下的政府改革,以内生動力來驅動數據流通和共享。重新觀察“公民—國家機關”這一對關系主體,可以發現,如果通過賦予公民主導其個人信息等數據在國家機關間流動的權利,搭建起自下而上的數據攜帶、轉移行為鍊條,将是破除流動阻滞、手續重繁困境的有效途徑。換言之,以防止個人信息可攜帶權被虛置為切入,充分發揮該權利對公共數據共建共享的“倒逼”功能,這也是個人信息可攜帶權在國家機關間行使的最大必要性。
第二,促進公共數據的根本價值之實現。個人信息可攜帶權的雛形首先來源于經濟市場之中的攜号轉網,人們往往把目光聚焦于個人信息可攜帶權能夠為市場經濟效應帶來什麼,包括個人信息可攜帶權能否促進企業良性競争、發展和創新等等,而容易忽視其中更為根本的價值——促進數據流通。數據在流通之中便意味着分析利用的循環前進、不斷流通,個人信息數據才會在這一過程中充分發揮其價值。在某種意義上,沒有數據的流通,就沒有數據價值的實現。個人信息可攜帶權的行使即意味着過程中會有數據副本在不同信息處理者之間移轉,源于個人用戶發起的數據共享最終形成了數據流通。有學者指出,“個人數據的自由流通與共享也可能為市場提供數據這一公共基礎設施。對于這一點,無論是數據攜帶權的支持意見還是反對意見都沒有提及。”這種很少被提及的數據流通意義亦是個人信息可攜帶權在國家機關間行使時的根本價值,其已然成為現代社會生産中的基本要素,是數字經濟賴以維系的根基。個人信息可攜帶權在國家機關間的行使加速了公共數據流通與共享,其價值同樣将體現在政府部門間對數據自願的整合與貫通當中,數據互聯互通程度不斷深化,數據壁壘、數據孤島現象不斷消除,從而解決數據“深藏閨中”的現實難題,提高公共數據的利用率。
(二)個人信息可攜帶權在國家機關間行使的可行性
第一,“多元說”為個人信息可攜帶權在國家機關間實現提供學理支撐。歐盟《一般數據保護條例》(以下簡稱《條例》)第20條規定,“控制者為公共利益或為行使其被授權的官方權威,而進行必要處理時,個人信息可攜帶權并不适用。”個人信息保護法沒有類似的明确規定,而是寄希望于國家網信部門出台相關規定予以回應,但目前尚處于規範空白狀态。鑒于《條例》的立法先例,有學者提出在履行法定職責或者法定義務、應對突發公共衛生事件等其他依據法律、行政法規規定的情形而處理個人信息的場合,不适用可攜帶權。若按部分學者的目的論觀點,國家機關處理、使用個人信息數據的目的在于履職而非獲益,那麼将複制《條例》對于個人信息可攜帶權在國家機關間情境下的限制路徑,其行使将會被完全否定。筆者認為,應當以國家機關處理個人信息的合法性基礎為切入點來分析上述問題。對于合法性基礎的理解大緻可以分為“一元說”“疊加說”和“多元說”。“一元說”是将“依法定職責”作為國家機關處理個人信息的惟一合法性基礎;“疊加說”是将“依法定職責”作為合法性基礎必要的前提條件。在這兩種觀點下,個人信息可攜帶權在國家機關間的行使路徑将被阻斷。“多元說”則主張合法性基礎的多樣性,認為“依法定職責”隻是合法性基礎中的部分,并且不屬于必要前提。“多元性”的合法性基礎并非簡單疊加,其為國家機關在實踐中處理個人信息提供了豐富進路,為個人信息可攜帶權在國家機關間實現提供了理論可能性。
第二,“一體行政原則”為個人信息可攜帶權在國家機關間實現提供邏輯依據。一體行政原則原為憲法上行政組織之基本原則,傳統觀點将其内涵概括為“組織一體”,後又延伸出“責任一體”與“功能一體”兩個維度。在權力結構上,我國遵循一體行政原則,國務院對下屬各部委及全國地方各級國家行政機關工作具有統領作用,地方各級政府領導所屬部門與下級人民政府開展工作。從外觀上來看,整個行政體系即為一個整體。一體行政原則為個人信息可攜帶權在此組織架構下的運行提供了形式邏輯。現代代議制民主理論認為,國家本身應承擔民主權利“傳送帶”的角色,“責任一體才是行政一體的根本指向”。個人信息可攜帶權在國家機關間實現時,主體對其個人信息數據移轉請求的另一面,即是單個或多個信息數據控制者的處理責任。當個人信息已經被國家機關收集并占有時,發揮一體行政原則的制度約束功能,允許個人信息可攜帶權在國家機關間實現與行使,避免個人信息重複收集,在某種意義上就是行政任務多元化趨勢下,對“減負”與“效率”的主動選擇。
第三,“數字政府建設”為個人信息可攜帶權在國家機關間實現提供技術基礎。由于國家機關間更多是協同關系,公平競争秩序的維護并非公法上個人信息可攜帶權的首要價值目标,是否具備相對成熟的技術基礎成為此時的首要考量。在《條例》實施過程中,由于未能統一數據格式,且構建具有互通性的數據遷移系統并非強制性義務,個人信息可攜帶權的适用範圍被極大限制。但在我國數字政府建設實踐中,早已在頂層設計上為個人信息可攜帶權的實現進行了謀劃和部署,包括開放政務平台實時數據接口、制定數據流動通用标準等具體舉措。如國務院辦公廳2022年9月28日公布的《關于複制推廣營商環境創新試點改革舉措的通知》(國辦發〔2022〕35号)明确指出,“各地區要将複制推廣工作作為進一步打造市場化法治化國際化營商環境的重要舉措......向地方開放系統接口和授權數據使用的,要抓緊按程序辦理,确保2022年底前落實到位。”部分試點領域和地區已經在有意識地逐步築牢數字政府技術基礎,即使目前未必能形成全國範圍内的統一技術标準,但個人信息可攜帶權所要求的現實基礎将在打造協同高效的數字政府服務體系中不斷深化。
四、公法上的可攜帶權之權利内容
個人信息可攜帶權在内容層面體現了對于個人信息主體選擇、控制、支配其信息數據的支持,以下将具體分析其在公權力運行的場景下的具體内容。
(一)公法上的可攜帶權之權能要素
從比較法角度來看,歐盟《條例》對個人信息可攜帶權的内容要素主要劃定在兩個方面:一是“獲取副本”,該權利允許個人信息主體對經處理後形成的子集、副本,予以接收、存儲、使用。這項權利在提高個人主體對既有信息數據利用之便捷性的同時,也對數據控制者或處理者科加一定的配合義務,也即要以符合規定的格式或形式将個人主體的此部分數據提供出來,不能違背其意志而拒絕提供。從這個角度而言,個人信息可攜帶權補充了訪問權的内容,為主體提供了一種簡單的方法來管理和重複使用個人數據;二是“不受阻礙”,該權利可以使個人信息主體不受阻礙地将個人數據從一個數據處理者轉移到其他數據處理者處。《條例》的序言雖然未為個人數據處理者設置技術上的義務,如采用或維護兼容的處理系統等,但禁止控制者設置傳輸障礙。
就具體的權能要素而言,個人信息可攜帶權主要涵蓋三個方面,即獲取個人信息、轉移個人信息以及衍射的信息轉移請求。獲取個人信息即個人信息主體無障礙地從控制者處重獲其個人信息的取回權利。這一權利内容可以被視作是一種特殊的訪問權利:一方面,信息數據格式具有特殊性,其獲取的是一種“結構化、通用化和機器可讀的格式”,與《條例》所描述的訪問權有重要區别;另一方面,信息數據内容具有特殊性,根據歐盟第29條工作組(WP29)的解釋,這裡的信息數據不僅包括直接數據,還包括觀測數據。轉移個人信息則是個人信息主體将其獲取的上述數據轉移至其他數據控制者的自由權利。這一權能要素與信息轉移請求的區别在于是否已獲取信息數據,後者主要産生于主體在不獲取信息數據的前提下,直接請求控制者履行轉移義務的場景。需要說明的是,雖然從形式上看,獲取個人信息将涉及兩方主體,而轉移個人信息會涉及三方主體,但本質上仍是在一個效力框架下的“主體—處理者”關系。因為不論是從效力運行方式,還是從效力運行目的來看,兩者具有同向性,均是在信息主體導向下的信息自決和信息再利用,此時的區别僅在于責任承擔和主體數量。
(二)公法上的可攜帶權之客體範圍
根據個人信息保護法第4條、第45條等之規定,個人信息可攜帶權的客體範圍似乎已經明晰,但實踐中數據處理者所擁有的個人數據種類繁多,清晰界定可攜帶權的客體範圍,可避免可攜帶權的行使陷入各方利益紛争的泥潭。針對這一問題,可以從兩個懸而未決的問題進一步思考:一是個人信息可攜帶權的行使範圍是否包括數據處理者的觀測數據及衍生的推測數據等;二是是否應當排除涉他數據。
從比較法角度來看,根據歐盟第29條工作組(WP29)的解釋,個人信息可攜帶權所指的數據主要包括個人信息主體主動提供的與其相關的個人信息,以及數據控制者的觀測數據,但不包括推測數據。學界對個人信息可攜帶權客體範圍的探讨則呈現截然相反的觀點。對于觀測數據,持肯定說的學者認為,将這些不含或僅含有少量數據處理者智力成果的數據納入移轉的範圍,有利于促進個人數據的流通,避免個人信息價值的碎片化,獲取衍生數據的對價則可由數據接收者與用戶合理分擔。且觀測數據仍然具有較高的人身依附性,在利益權衡時應當對個人權益的保護有所側重,因而其亦應當納入移轉的範圍。此外,當觀測數據成為新進數據處理者的必要設施,而其無法以合理的價格或條件獲得這些數據時,亦有必要将其納入權利客體的範圍,以打破優勢數據處理者的數據封鎖和壟斷。持反對說的學者則認為,包含用戶行為痕迹的觀測數據并未納入個人信息的範疇,将其納入客體範圍将導緻個人數據與平台數據邊界的模糊;且這些數據在收集和整合過程中,更多體現的是企業的技術和财力優勢,不應繼續将其視為個人數據的範疇。對于推測數據,由于數據處理者在其中投入了較多的财力,且可能蘊含了數據處理者的分析模型、算法等商業秘密,貿然将其納入可攜帶權的客體範圍将與數據處理者的權益産生沖突,因而學界在反對推測數據的移轉上達成共識。
筆者認為,個人信息保護法對于個人信息可攜帶權客體範圍的立法态度是比較寬松的,不應作過于狹隘的解釋。将該問題放置于國家機關作為信息處理者的情況下考慮,則更應從寬泛的角度來理解。理由在于,國家機關處理數據往往是基于法定職責和公共利益,并且各部門間一般是協作互助而非市場競争的關系,信息數據客體範圍越廣,越有利于國家機關作出更為科學的決策。因此,國家機關作為信息處理者時,不必過多考慮數據種類背後存在的市場秩序問題或知識産權問題,應降低個人信息可攜帶權在國家機關間行使時的受限性。
随着信息網絡不斷發展,數據處理者所收集和存儲的個人數據與他人的個人數據或隐私不可避免地産生粘連。因此,個人信息數據移轉時如何保護涉他數據也應當納入考量。歐盟第29條工作組(WP29)提出,應鼓勵數據控制者對用戶數據進行剔除,以保證盡可能最小限度涉及第三方數據,或要求獲得其他個人信息數據主體的同意。但是也有相反意見指出,這樣的做法過于理想化,無論是剔除第三方數據還是獲得其他個人信息數據主體的同意,似乎都存在很大難度,在适當的保障措施下應容許涉他數據的轉移才是更具現實意義的做法,如果對此作過于嚴格的限制,顯然會在實踐中阻滞個人信息可攜帶權的行使。而且涉他數據所涉第三方主體數量可能十分龐大,若要求個人信息可攜帶權每一次行使都需獲得第三方主體的同意,将大幅提高行權成本。對于涉他數據的移轉可考慮引入隐私期待的考量标準,即在利益衡量的基礎上進行分類規制,可以在充分考慮第三方于涉他數據上的隐私期待的基礎上,對于數據移轉不影響第三方隐私期待的數據應允許其移轉;對于可能超出第三方隐私期待的數據移轉,可以對其進行風險評估,在采取适當的保障措施和平衡方案後進行移轉。如以“白名單”的指導形式對涉他數據進行分級分類處理,為數據處理者相應行權請求提供指引。
同時,國家機關作為個人信息處理者所處理的個人信息數據存在不同類型,應根據其不同類型确定不同的數據攜帶客體範圍。對此,可以參照國務院2016年印發的《政務信息資源共享管理暫行辦法》第9條之規定,對于不宜提供給其他國家機關共享使用的信息數據資源,個人主體對個人信息可攜帶擁有弱請求;對于可提供給業務相關或歸口相同的國家機關共享使用的信息數據,或僅能夠将部分“脫敏數據”提供給其他國家機關共享使用的信息數據資源,個人主體的移轉請求程度則相對更強,但此時也在很大程度上有賴于個人信息可攜帶權所指向的國家機關的配合程度,這裡的個人信息可攜帶權将更加貼合柔性權利的特征;對于可提供給其他所有國家機關流通、共享使用的信息數據資源,個人主體享有強請求,控制、處理此部分數據的國家機關應盡到協助移轉的高度義務,如果存在信息數據開放、共享的法定職責,此時個人信息可攜帶權在國家機關間的行使将擺脫柔性特征而直接實現展開。
(三)公法上的可攜帶權之技術标準
關于個人信息數據在移轉時的數據格式和傳輸标準等技術要求,一直是實踐中難以回應的痛點。歐盟《條例》在規定個人信息可攜帶權時,雖然在一定程度上闡釋了何為“技術上可行”,即“不應給控制者帶來采用或維護技術上兼容的處理系統的義務”,并明确指出數據需“經過整理的、普遍使用的和機器可讀的”,且“處理是通過自動化方式的”,但在實踐上卻缺少一套具體可行的技術規範,兩方控制者之間如何達到“互操作性”也難以界定,導緻個人信息數據移轉過程中必然存在分歧與矛盾,大幅增加了個人信息可攜帶權行使的過程成本,給數據流通與共享設置了重重障礙。從域外經驗來看,技術标準仍是個人信息可攜帶權實現的前提,但我國個人信息保護法并沒有對數據傳輸的技術标準作出明确提示,個人信息主體存在無法便捷地在數據控制者之間實現個人信息數據直接移轉的風險,這似乎有架空個人信息可攜帶權制度之嫌疑。基于歐盟因未能構建統一格式标準以實現互操作性的前車之鑒,學界提議應盡快制定一套具有互操作性的傳輸标準和數據格式,使數據處理者之間的互聯互通水平至少滿足個人信息可攜帶權行使的最低要求。同時,也需要引入相應的監督機制,确保最低限度的個人信息可攜帶權強制性标準得到适用,避免這一權利因技術标準的缺位而被虛置。
這一問題在本文論域下并不難解決。我國正緻力于建設互聯互通的數字政府,規定統一的技術規範本就是打通政府部門間内部數據流動“堵點”的必然選擇。根據中央網信辦、發展和改革委、工業和信息化部聯合印發的《公共信息資源開放試點工作方案》,在已開展的公共信息資源開放試點工作中,已對數據完整性、機器可讀性、格式通用性等要求作出明确規定。國家機關作為信息處理者本就在主體地位上具有特殊性,個人信息可攜帶權在國家機關間行使時的數據傳輸格式等技術規範應作統一标準要求,并逐步從先行先試推廣為普遍适用,最終達到數據共享與數據流通的價值效果。此外,考慮數字政府建設的區域不平衡問題,在特定情形下,可以規定未達到技術标準的國家機關的個人信息轉移的豁免義務,并将這些國家機關列入不承擔攜轉義務的名單中。在國家機關間的場域下,更為重要的是個人信息數據的安全保障,需科學平衡數據安全風險及其安全保障措施的成本收益,注意對國家機關數據安全保障義務的設定與責任的配置。
五、公法上的可攜帶權之外在限制
厘清公法上的個人信息可攜帶權的權利内容,從内部明确了此項權利的構成,但要清晰勾勒出個人信息可攜帶權在國家機關間實現的“全景圖”,還需基于外部的視角對其權利限制問題予以闡明。
(一)外在限制亦決定公法上可攜帶權的最終保障範圍
如前所述,個人信息可攜帶權由立法者歸入作為基本權利的個人信息權利束中,其公法面向的行使也應受到限制,但限制本身亦有限制。一方面,就制度目的而言,外在限制與權利内容或構成的内部維度存在區别。前者是在确定基本權利的保護範圍後,“國家公權力對基本權利的幹預和禁止”。其與内在限制,即所謂權利的保護範圍相結合,框定了基本權利的最終保障範圍,二者殊途同歸。之所以要對公法上可攜帶權進行限制,是因為其行使存在損害公共利益和他人權利的可能,保護二者可以成為限制的正當化理由。另一方面,就權利限制理論的内在邏輯而言,“限制的限制”往往與之相伴相生、如影随形。權利限制理論的要義在于,為基本權利厘定邊界,需要在相互沖突的權利法益之間進行适當的調适,考慮公共利益等實質性社會因素,由國家公權力予以限制來平衡相關權利法益。從限權的一般共識,以及該理論在德國的發展和規範文本來看,對限制基本權利的公權力予以限制,亦是一種共識。德國近代憲法理論對公共利益條款的讨論,也出現将其作為限制基本權利的單一功能,向兼具抑制立法者限制基本權利的雙重功能轉變,亦即公共利益具有“雙向限制”的特點。因此,對公法上可攜帶權的外在限制不僅應着眼于對其權利行使設置限制,更應着眼于對這些限制本身進行限制,也即外在限制本身也存在限度與邊界的問題,以下的分析也将兼顧這兩個層面展開。根據我國憲法第51條的規定,關于基本權利的限制依據主要從以下兩個方面展開:一是需要通過限制個人權利的方式來追求秩序、安全、平等、正義等範圍更廣的公共利益。二是為了保障和諧穩定的權利秩序,在不同權利行使産生權利沖突時,權利限制是解決該問題的主要方式,從而使各個權利可以平穩地共存。前者涉及公共利益的限制,後者涉及第三人保護的限制,以下分述之。
(二)基于公共利益的限制
公共利益具有雙重面相,一方面,它被視作國家公權力的正當性基礎,實現、維護和促進公共利益也被作為國家機關執行公務的依據和目标,進而它也肯定基本權利之價值;另一方面,它又被作為公權力限制基本權利的正當化理由。基于公共利益對基本權利予以限制已成為一種普遍的理由,并作為實質限定基準吸納入很多國家的憲法文本和法律規範之中。在個人信息和數據法治領域,公共利益亦是權利限制的正當性理由。歐盟《條例》對此作出了明确的限制性規定,即隻要數據控制者出于公共利益的目的,個人信息可攜帶權便不具有行使的空間。我國個人信息保護法第10條和數據安全法第8條分别限制了“危害國家安全、公共利益”的個人信息處理活動和數據處理活動。從地方立法層面來看,在各地的數據地方性法規中也存在類似的規定。如《四川省數據條例》第26條第3款、第38條均将公共利益明确作為數據處理活動的一項限制理由。公法上可攜帶權的行使往往需要國家機關開展個人信息數據處理行為,以實現個人信息數據的轉移和流動,這些規範中的公共利益條款都可能間接對該權利的行使構成限制。從規範内容和模式來看,上述規範文本與憲法第51條一緻,采用的都是一般公益條款或概括公益條款,即在明确将公共利益作為限制理由的同時,并未對何為公共利益、損害公共利益的認定标準予以闡明。在此種規範基礎之下,由于不确定法律概念“公共利益”存在擴大解釋的風險,且容易帶來“公共利益優位論”的簡單結論而犧牲少數人的利益,無疑會極大地限縮公法上可攜帶權的行使空間。因此,對這一限制條件必須予以限制,可遵循以下要求:
第一,借鑒區分式法律保留理論升級公共利益限制條款。為避免公共利益條款被泛化和濫用,明确應由立法機關制定法律後,公共利益才能成為限制公法上可攜帶權的理由,這是法律保留原則的基本要求,且此處的法須為具有民主正當性的立法機關所制定的法律,方可對公法上的可攜帶權形成限制。盡管個人信息保護法第10條和數據安全法第8條滿足此位階要求,但仍存在限制過于模糊的問題。一般而言,公共利益限制條款存在概括式立法例和區别式立法例兩種模式,我國已有規範文本多屬于前者,後者需要區分不同權利屬性采取差異化的限制規定,德國《基本法》即是采取此種立法體例,屬于更為精細化的立法模式。因公法上的可攜帶權屬于柔性權利,在不同場景下會随着公共數據的開放程度不同而具有不同的請求強度,因此不宜采取“一刀切式”的限制,而應引入區别式立法模式。建議在我國未來的個人信息和數據立法中對公共利益限制條款進行升級改造,摒棄一律采用“不得損害國家安全、公共利益”的概括式規範表述,借鑒區分式法律保留理論,對公共利益限制條款進行精細化設計。具體而言,針對“不予共享類”政府信息資源,由于此時公法上的可攜帶權處于相對“弱請求”狀态,規範密度也可相應減弱,可由立法進行概括性限制或授權下位法進行限制。針對“有條件共享類”和“無條件共享類”政府信息數據資源,公法上的可攜帶權則處于“較強請求”和“強請求”狀态,規範密度需提升,建議借鑒加重法律保留模式,由相關法律對于公共利益可否限制、限制的條件和方式作出明确規定,或在授權下位法進行規定時,借鑒憲法第34條、第37條第2款和第40條的模式,為下位法基于公共利益限制可攜帶權的規定進行限制。以明确在何種情形下公益優先于私益,做到“公共利益的具體化”。
第二,以比例原則優化公共利益限制條款及其适用。法律保留原則本質上是完成公共利益限制條款目的正當性的工具,也被視為公共利益的形式标準。這一工具的運用與權利限制目的實現之間是否妥當,需要引入比例原則予以調适,以實現公共利益限制條款“正當地限制基本權利”。按照比例原則的一般理論,在完成目的正當性的考察後,應從妥當性(合乎目的)、必要性及均衡性(未過度侵犯)三個步驟來完成比例原則的分析。引入比例原則後,對公法上可攜帶權的限制問題具有了一定的思考程序,且能夠有效避免過度限制基本權利。具體而言,比例原則可在立法裁量和行政裁量兩個層面對公共利益限制形成約束和限制。一方面,在涉及公法上可攜帶權的立法方面,公共利益限制條款本身對于立法目的實現的過程,應在目的與手段之間符合比例原則進行三重檢視。另一方面,在行政機關面對相對人行使公法上的可攜帶權時,适用公共利益限制條款限制該權利行使,對行政權力進行目的和手段的審視。在比例原則的三重檢驗中,妥當性和必要性較為客觀,也相對容易,價值衡量的重擔往往落在第三步均衡性判斷上,均衡性本身在性質上也具有價值判斷的特點。為了提高比例原則适用的可操作性,對公法上可攜帶權公共利益限制的合比例性判斷,可引入一般公益和絕對公益的分類标準,以明确均衡性的衡量标準。絕對公益是社會所普遍承認的公益,具有獨立的社會價值,面對社會變遷和國家任務的變化具有相對的穩定性,如國家安全、公共衛生、國民健康就屬于此種,一旦公法上的可攜帶權涉及絕對公益,對其限制就成為必要,反之則無必要。
(三)基于第三人保護的限制
由于基本權利之間不可避免會産生相互沖突的情形,為保障客觀法秩序,除了增進公共利益之外,亦需防止個人信息可攜帶權妨礙第三人的權利和自由。相對于公共利益的抽象和不确定性而言,第三人保護的限制主要針對公法上可攜帶權與第三方之間的權利沖突,具有明确的指向性,更為具體,相關限制分析也将直接圍繞具體權利法益沖突而展開。此外,由于個人信息可攜權在國家機關間行使的場景既存在涉他數據中的第三方信息個體,也存在作為第三方的處理個人信息的國家機關,二者需要保護的權利法益亦存在内涵和類别的差異,在劃定第三人保護限制的邊界時也應予以考慮。總體而言,基于第三人保護的限制也應由法律予以規定,并對基于第三人保護的限制進行手段與目的的合比例性分析,以滿足法律保留原則和比例原則的要求。具體而言,主要存在以下幾個方面的限制。
第一,以不侵犯第三方信息主體的隐私權為限。公法上的可攜帶權極大提升了數據流通的價值,但個人信息主體一次性下載或移轉個人所有信息數據中,不可避免會存在與第三方信息主體的個人信息數據的粘連,即前述大量被歸入客體範圍的涉他數據。為保證公法上可攜帶權行權的實現與效能,國家機關個人處理者難以針對涉他數據中的第三方逐一進行知情同意的确認,因此在個人信息攜轉過程中就可能會損害第三方信息主體的隐私權或數據權益。實踐中,為規避由此産生的信息合規風險,個人信息處理者可能通過用戶協議、隐私政策等方式來獲取第三方對他人轉移其個人信息數據的同意,這實質上削弱了個人對其數據的控制權,與個人信息可攜帶權的制度目的背道而馳。為有效平衡數據流通的便捷性與隐私保護之必要,可考慮引入目的拘束原則。即遵循法律保留原則,由法律明确規定若公法上的可攜帶權的行使并不改變數據收集的原始目的,便可不獲得第三方的同意,反之則應取得第三方的同意。如此,既可以滿足不得侵犯隐私權或個人數據權益的限制,又能合理地實現權利之間的兼容,也滿足了法律保留原則和比例原則兩個維度對限制的限制。
第二,不得對第三方信息主體的被遺忘權造成不利影響。在個人信息數據移轉實踐中,可攜帶權與被遺忘權之間也存在相當的張力。根據《條例》第20條第3款之規定,個人信息可攜帶權的行使不得對被遺忘權造成影響。根據該款規定,個人信息攜轉請求的提出,并不意味着自動觸發個人信息數據從個人信息處理者的系統中的删除,并且也不會影響已經用于移轉或傳輸的數據的原始保護期。如在個人面向國家機關發起個人信息數據移轉情形下,之前收集、留存其身份證照信息數據的國家機關并不能直接删除個人信息數據,該國家機關必須繼續保留數據,除非個人主體要求将其信息數據全部删除。為保證所有個人信息主體能夠充分行使公法上的可攜帶權,個人數據與涉他數據不可分割的部分數據可能會被阻止删除,因為個人主體行使這一權利時,亦不得損害第三人的權利和自由。
第三,不得侵犯個人信息處理者的數據财産權。網絡化數字化時代的個人信息兼具人格和财産的雙重屬性,個人信息權也是一種新型的綜合性權利,對個人信息主體的人格利益和财産利益要予以綜合保護。作為個人信息權利束中的個人信息可攜帶權也符合綜合性權利的特征,有學者将其涉及财産利益保護的部分定位為一種對數據的準所有權,屬于針對特定的個人信息數據持有者或處理者非對世權或非絕對權。根據張新寶教授所提出的數據财産權确權的“人财兩分”理論,個人信息數據處理者通過大數據技術加工、規模處理等方式讓個人信息數據實現無限增殖後,個人信息數據即具有再利用成本低而初試生産成本高的特點,應當确認其數據财産權,這是一種具有對世性和一定程度的支配性、排他性的權利。若衍生數據、觀測數據已經具備相當的經濟價值和商業價值,并确認為作為個人信息處理者的國家機關的數據财産權時,非對世性的個人信息可攜帶權在行使過程中應尊重此項權利,以不侵犯個人信息處理者的數據财産權為限。
結 語
有學者曾将個人信息可攜帶權比作數據孤島之間的“一葉扁舟”,這一比喻形象地道出了該新型權利在數據共享、互聯互通中的獨特價值。面向我國數字政府建設進程中的數據孤島問題,如何發揮這“一葉扁舟”矯正不平等信息權力關系、促進聯結、互操作性的積極效用,對于構建互聯互通的數字政府具有重大意義,值得特别關注和深入研讨。“現代社會與傳統社會最大的區别就是對個人權利的保護,而個人信息又是個人權利的核心因素。”在數字技術飛速發展的當下,個人信息權利的研究意義深遠,對個人信息權利束中的各項權利展開全面研究,尤其是在已有私法研究基礎上拓展至公法研究視域非常必要。本文對公法上個人信息可攜帶權的研究隻是一個初步的探索和嘗試,希望本文能夠展現出公法上可攜帶權的法治價值,進一步豐富該項新型權利的内涵,更期待它能夠得到實際的運用,成為一項實實在在的公法權利。
