来源:中国法治宣传维权网
宋才发教授发表论文《个人信息处置及财产权厘定法律规制研究》
北京3月30日电 信息数据是维系人们社会生产生活的基本要素,具有非竞争性、非排他性以及零损耗性特征,是催生新型数字产业、形成新质生产力的核心资源,个人信息保护是《宪法》所负有的保护义务。数据知识产权登记是财产权确权的依据,数据确权是数据权利法律制度的根本内核,是推进数字经济和数据财产发展的重要路径。信息流动使用的过程是数据财产生成的过程,合法处理个人信息是享有数据财产权的前提,处理个人信息以尊重和保护数据发展权为原则,处理个人信息应具有明确、合理的目的,处理个人信息贯彻“公私二分”的规范依据。侵害个人信息权的救济路径是:信息处理者泄露个人信息必须承担损害赔偿责任,侵害个人信息权益要承担民事责任,擅自处理他人公开的个人信息要承担刑事责任,构造超越数据确权的信息处理双重公法制约机制。由中华人民共和国教育部主管、武汉理工大学主办的中国人文社会科学学报核心期刊、RCCSE中国学术核心期刊、全国高校社科精品期刊、湖北省优秀期刊、全国理工农医院校优秀社会科学学报《武汉理工大学学报(社会科学版)》,2026年第1期“法学”栏目首篇发表宋才发教授《个人信息处置及财产权厘定法律规制研究》论文。《武汉理工大学学报(社会科学版)》主编朱喆,执行主编韩文革,论文责任编辑韩文革。
(标准参考文献:宋才发.个人信息处置及财产权厘定法律规制研究[J].武汉理工大学学报(社会科学版),2026(1):94-102.)
宋才发教授系中央民族大学法学院首任院长、二级教授,湖北省有突出贡献专家、国务院政府特殊津贴专家、国家民委首届有突出贡献专家,广西民族大学特聘“相思湖讲席教授”,博士生导师,内蒙古财经大学特聘教授。
个人信息处置及财产权厘定法律规制研究
党的二十届四中全会“关于制定国民经济和社会发展第十五个五年规划的建议”第十四条指出,要“深入推进数字中国建设”,全面实施“人工智能+”行动,“加快人工智能等数智技术创新,突破基础理论和核心技术,强化算力、算法、数据等高效供给。”以此推动生产要素创新性配置,发展以高技术、高效能、高质量为基本特征的新质生产力。作为数字社会的新型生产要素,数据具有非竞争性、非排他性以及零损耗性特征,是催生新型数字产业、形成新质生产力的核心资源。研究如何构建数据产权制度框架,是规范信息数据流通交易制度的基本前提。反思数据确权困境的根源,是由于过去在较长一段时期内,无论是法律实务界还是法学理论界,都忽视了数字社会是数据价值存在的前提,不适当地混淆了数据权利的内在本质和外部效力,未能科学揭示数据权益构造的复合法律属性。
一、个人信息数据财产权厘定
(一)公民个人信息数据权益与国家保护义务
信息数据是维系人们社会生产生活的基本要素。民法规制的“个人信息自由”的核心要义,就是个人信息数据在不受公权力干预的情况下,可以依法自主地决定通过何种方式,获取何种信息权益和享有信息财产权利。《中华人民共和国宪法》(以下简称为《宪法》)第三十五条规定,“中华人民共和国公民有言论、出版”等方面的自由。“个人信息自由”是公民“基本政治自由”的重要方面,应当把个人信息自由纳入其规范领域加以保障。《宪法》第五十一条对公民行使自由和权利的限度划定了界限,即“公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利”,这也是对国家公权力限制公民信息自由的法律约束。“个人信息自由”条款载入《宪法》所产生的价值和效力,使得“个人信息自由”的规范需求,成为推动社会法治变迁的一种重要力量。个人信息之于信息主体,是因为它能够作为公民个人信息而具有财产价值。在促进人类社会发展进步的诸多要素中,信息数据是一种社会化程度极高的新型生产要素。在“数据确权”的过程中,通常会涉及到各级各类政府机关的自身利益,这也对宪法制度与理论提出了更新更高的要求。在设计可以促进数据生产要素获得充分利用的法制框架过程中,《宪法》促进法制整体协调发展的功能也面临着新的挑战。规范性数据权利体系的建立,依赖于对权利的内在本质和外部效力具有清晰的认知和区分。数据是个人信息的载体,个人信息又是数据的内容,来源于个人信息的数据,是信息社会非常重要的一类数据类型。从一定的意义上说,“个人信息权”就是《中华人民共和国民法典》(以下简称为《民法典》)第三条规制的“财产权”,以及《中华人民共和国个人信息保护法》(以下简称为《个人信息保护法》)第一条规制的“个人信息权益”。“个人信息权益”是一个新概念,譬如在编纂《民法典》的时候,曾有立法者提出在“人格权编”规定个人信息权,但最终没有在《民法典》中采用“个人信息权”这个概念,使用了“个人信息保护”的规范表述。《个人信息保护法》规制的“个人信息权益”,说到底是民事权益中的“人格权益”,但不同于隐私权、名誉权、肖像权等其他具体人格权,它所保护的核心利益是自然人免于因个人信息被非法处理,遭受人身权益、财产权益上的损害抑或人格尊严、人身自由被侵害的风险。《个人信息保护法》第四十四条还规定,个人“有权限制或者拒绝他人对其个人信息进行处理”,肯定“个人信息决定权”会向下衍生出“限制权”和“拒绝权”两项权利。“个人信息拒绝权”是指个人在意定权限的授予上,有不同意、不授予意定权限的实质自由。个人数据之于数据主体,不是因为它具有财产价值,而是由于信息主体与数据主体的关系都为民事法律关系,个人数据与数据主体须臾不可分离,个人数据权不是财产权而是人格权。
个人信息保护是《宪法》所负有的保护义务。《宪法》和民法所规制的“人格权”,是一项绝对权。从《宪法》基本权利的视角看,个人信息保护法律体系建构的基础,是《宪法》第三十八条的规定,“中华人民共和国公民的人格尊严不受侵犯”,“人格尊严”条款内蕴“个人信息受保护权”。以公民基本权利为基点,以其主观权利和客观面向所对应的国家消极与积极保护义务为主线,可建构起一套基础稳固、内容完整、结构合理的个人信息保护体系。《宪法》保护义务对应的是“个人信息受保护权”,而不是个人信息权。个人信息受保护权与个人信息权,是两个不同的法律概念,两者看似相似含义却大相径庭。个人信息作为主要的数据来源,被整合到数据财产权益的构造中,数据企业使用个人信息是以服务作为对价换取数据的结果,“个人同意”因之被解读为个人承诺缔结合同的意思表示,从而使个人信息具有经济价值和财产权益属性。数据所具有的非排他性和非竞争性特征,决定了数据的获取并不会消灭原有的权益,数据利用方应当承接保护数据权益的义务。数据财产权利与信息数据安全始终是联系在一起的,安全控制数据是享有权利的前提,无论持有状态能否使用抑或带来利益,数据持有者所承担和履行的数据安全义务,是维护数据利用秩序的法定义务。从权利本身的规范逻辑上看,由于个人信息所具有的交互性、分享性和公共性特点,使之难于成为民法所有权逻辑下排他性的个人控制的客体。面对庞大而强势的信息处理者群体和机构,抽象的民事权利规定往往沦为“纸面上的权利”。鉴于国家负有保护公民个人合法权益的义务,个人信息保护最终只能仰赖于以《宪法》为核心的法律制度。人们通常所说的“个人信息受保护权—国家保护义务”,原本就是一个一体两面的概念,本质就是《宪法》规制的“基本权利—国家义务”体系,在个人信息保护领域的具体运用和再现。
(二)数据知识产权登记是财产权确权的依据
数据知识产权登记是推进数据财产确权、发展的重要途径。作为新时代一项全新的社会生产要素,数据具备了与劳动、土地、资本、技术等传统要素相同的社会生产功能,初步展现出远超传统要素的市场价值潜力。正在推进之中的数据产权登记制度,是明确数据财产属性、促进数据流通交易的关键法治举措。在现有数据知识产权登记的基础上,进一步展开数据知识产权登记规则的体系化建构,能够最大限度地保证制度规范构造的合理性。2022年12月党中央发布《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称为《数据二十条》),提出“研究数据产权登记新方式”以及“建立健全数据要素登记及披露机制”,确立了登记机制在数据财产保护中的重要地位和基础性规范作用,涉及数据产权登记模式如何选择、数据产权登记效力如何认定,以及数据产权登记规则如何设置等一系列问题。数据基础制度建设事关国家发展和安全大局,《数据二十条》提出要“建立公共数据、企业数据、个人数据的分类分级确权授权制度”。在《数据二十条》的政策指引下,全国多数省份开启了数据知识产权登记试点实践。基于数据市场运营中产权明晰化的强烈诉求,立足确权效果而进行数据知识产权登记是非常必要的。数据知识产权确权登记的适格客体标的,应当是具备实用价值与合法来源的衍生性公开数据集合,在获准登记后将呈现出以持有、使用、经营为核心权能,且有一定时间性、地域性限制的专有性排他效力。在流程设计上,可以参照专利授权和商标注册的确权登记模式,从登记申请的“审核”和“复议”两个维度入手,对登记的主管机构以及登记的具体步骤予以明确设定。
数据确权是数据权利法律制度的根本内核。为获取更多的竞争优势,信息数据处理者不再囿于从自身产品抑或服务中获取用户数据,而选择在法律允许的范围内积极寻求第三方数据来源。“用户同意+平台授权+用户同意”的三重授权原则,既是对《个人信息保护法》第二十三条的积极回应,也是对第三方数据获取行为是否构成不正当竞争的裁判规则。数据交易隶属于网络数据访问和流动体系的数字技术,应当归入派生于网络技术体系的新理论范畴。应当从信息服务的附属性抑或劳务性,以及数据服务的控制性、流动性和结合匹配性角度来理解数据交易行为,以便从理论上消弥数据“服务”和数据“交易”之间的观念冲突。数据要素化是数据交易和数据流动的基础条件,因而数据交易仰赖于互联网运作系统,通过特定的平台中介以撮合的方式进行。从一定意义上说,数据交易平台从事的数据交易,只是通常网络数据分享的一种特殊形式。数据交易是建立在将大数据确定为单独的生产要素抑或客体的基础上,大数据交易不只是生活领域中的常规权利让渡,本质上是派生于互联网技术体系的一种独立现象,它不仅受网络技术体系的支配,而且受网络空间数据自我发展规律的制约。在主体上,《个人信息保护法》第二十三条规定的“提供方”为非国家机关处理者或国家机关处理者,三重授权的平台方限于非国家机关处理者,这里的“三重授权”指用户对平台初始授权、平台对第三方授权以及用户对第三方的再次授权。在客体上,《个人信息保护法》第二十三条规定,适用于“处理的个人信息”,三重授权限于平台方生产并享有财产性权益的个人数据集合与个人数据报告。在法律后果上,在数据交易实践中的“同意”并不等于“授权”,未经三重授权也不一定就是侵权,经三重授权也不绝对免责,用户同意与平台授权有条件地相互替代。为有效控制行政机关的个人信息处理行为,《个人信息保护法》第三十四条作为行政法基本原则的“法律保留”进行了重申和具体化,规定“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”。这条规定事实上缺乏对“法律保留原则”的规则性转化,难以直接适用并指导实践。行政机关收集个人信息究竟在何时须由法律授权,何时又可由行政法规授权?必须有明确的规范授权抑或概括性的组织规范授权才行,这在实质上构成“法律保留原则”在个人信息保护领域发挥作用的前提。
(三)合法处理个人信息是享有数据财产权的前提
信息流动使用的过程是数据财产生成的过程。《个人信息保护法》设置了大量复杂的程序机制,构成了现代风险管理的法律机制。《个人信息保护法》中的风险防范规制,重在确定监管机构所要承担的管理风险,而不是要求对受监管主体如何强制执行所有规则。数据处理者在处理个人信息数据上的合法性一旦出现瑕疵,就会导致其处理结果在面临巨大风险的同时,还丧失了获得数据财产权的可能性,更谈不上数据集合的财产权能获得法律的认可和保护。于是立法机构将个人信息作为一项“独立的绝对权利”来建构,这就是法律教科书所说的“绝对权利路径”,“绝对权利”是理解个人信息保护机制的一种法治思维。个人信息作为一种与自然人有关的交流资源,被利用的方式随着网络应用实名制日渐普遍,个人信息资源转化为一种事实上的财产,成为各类信息控制者竞相争夺的对象。从识别特征的方向将个人信息的身份类识别信息和行为活动类识别信息的价值予以区分,对身份类识别信息加强保护,在避免身份再识别的前提下,可以进行个人信息数据的合理流通,发挥其数据资产的作用。在技术加入的基础上,信息数据不再只是人们实践活动的副产品,而是具有价值性、财产性的客体。在数据类型化的基础上,如果考虑数据来源、数据生成等多重要素,数据相关主体则可享有数据权益。把个人信息保护作为企业数据权益保护的前提,不仅在整体上符合数据法治的基本布局和体系建构,而且对个人的赋权与对数据处理者行为的规范,恰恰是《个人信息保护法》的基本要求,体现了“双管齐下”的治理目标和效能,有利于促进数字经济的发展和社会价值的发挥。然而在数据信息处理存在不合法的情形下,其处理结果仍然可能受到法律保护,这或许是一个不可思议的悖论。数据处理者的不合法处理行为,也有可能导致其加工处理结果的数据财产权的产生,因而数据产权制度在体系上应当保持一定的协调性。如果仅仅因为部分个人信息乃至个别个人信息处理上的违法,就从整体上否定企业的数据产权,这会导致比例上的失衡,在个人信息数据保护制度上应当有容错机制。
二、个人信息数据处理法律规制
(一)处理个人信息以尊重和保护数据发展权为原则
公民个人数据资源规模化开发利用,受限于个人信息保护、数据安全管理等用途管控措施。“数据发展权”是从“数据所有权”中派生和分离出来的,通过“数据确权”的途径和方式,促进数据资源得到合规高效的流通与开发利用,最终实现调整数据资源用途变更、开发利用和增值收益分配关系的独有权利。尽管个人信息数据属于何种性质的资源暂无统一定论,但作为基础性战略资源的地位已经明确,成为当下发展新质生产力的关键要素。对公民个人数据资源严格遵循合理利用原则,是《数据二十条》和《公共数据开发利用意见》对数据资源开发利用作出的系统部署。《数据二十条》明确要求,“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”,这种数据产权“三权分置”的运作模式,恰好与农地“三权分置”的方案不谋而合。即是说“数据发展权”概念,源于“土地发展权”理论及其制度架构,土地发展权最初就是从土地所有权中分离出来、具有“准物权”性质的土地财产权。由于土地发展权在我国主要表现为农地非农化抑或变更为建设用地的权利,所以它又被称之为农地发展权。其创设具有新型土地财产权的物权意义,为物权法中土地财产权的延伸,以及土地资源的发展性利益配置提供了可能。借鉴农地发展权制度逻辑,从数据产权中分离出数据发展权,调整数据资源开发利用中的多元关系,确实具有一定的理论和实践可行性。数据发展权实际操作和运行可以借鉴农民土地权利配置方式,区分数据所有权与他物权来实现利益平衡。数据发展权指向数据资源管理和数据财产配置的关系调适,具有衔接数据财产权与人格权,健全数据权利体系的作用,可推动政府履行数据资源管理、保护和合理利用的职责。能够在平衡各方数据利益中,实现数字生态环境保护与数字经济社会发展的协调,统合数据财产利益分配与数据安全风险治理。为了协调数据资源用途管控与开发利用间的良性互动,当下迫切需要构建一种既能满足数据管理、治理要求,又能切实保障数据开发、利用需求,且能均衡分配数据增值收益,妥善处理多元复杂利益关系的新型数据权利。作为计算法学秩序概念的隐私、信息与数据,具有体系构造与规范适用的双重价值。以个人隐私权、个人信息权为标志的人格权,在法律位阶上事实上高于作为财产权的个人数据所有权。这种数字时代个人数据权利的差序格局,不仅可以为数字经济的有序发展提供制度保障,而且能够完善和充实计算法学的基本范畴并推动其科学化进程。
(二)处理个人信息应具有明确、合理的目的
处理个人信息不得损害信息所有者的利益和社会公共利益。《个人信息保护法》第六条规定,“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式”。尽管过去的研究形成了告知同意进路、目的特定原则进路和目的正当性原则进路,但是告知同意进路因其自身缺陷而广受批评,目的特定原则和正当性原则进路又缺乏足够明确的释义,忽视了个人面临信息收集时难以冷静理性的事实前提。《民法典》和《个人信息保护法》似乎确立了个人信息处理“多元同意规则”,如《民法典》第一千零三十五条规定,个人信息处理者处理个人信息应当“征得该自然人或者其监护人同意”;《个人信息保护法》第十三条规定,个人信息处理者只有“取得个人的同意” 方可处理个人信息。包括《民法典》与《个人信息保护法》其他条款涉及的“个人同意”,似乎是对个人信息处理的“同意”做出了统一的严格要求。然而这些隶属于“多元同意规则”的规定,并非都能满足《个人信息保护法》第十四条的要求:“同意应当由个人在充分知情的前提下自愿、明确作出”,确实需要在深入探讨的基础上作出明确的实践回应。《数据二十条》强调,要“以促进数据合规高效流通使用、赋能实体经济为主线,以数据产权、流通交易、收益分配、安全治理为重点”,体现了以实现信息自由流动和经济高质量发展的目的要求。对于公民个人信息权益保护的诉求,在新时代确实具有基于人的尊严和自由的正当性、对社会发展及公共利益的重要价值与可欲性,这些诉求与其他各个主体利益之间的平衡,也确实具有必要性与可行性。2018年修正的《宪法》以及新出台的一系列民事法律,正是基于这种正当性在合理范围内给予相关诉求的合法性,为平衡各种利益关系作出调整。《个人信息保护法》第七十条还规定,“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益”,可以作为提起检察公益诉讼的条件。这里所说的“侵害众多个人的权益”,实质上就是通常所说的“损害社会公共利益”,要求信息处理者处理个人信息不得损害社会公共利益。
(三)处理个人信息贯彻“公私二分”的规范依据
《民法典》与《个人信息保护法》划定了“个人信息保护”与“共享利用”的界限,实现了个人信息权益与其他法益的协调发展,规制了对个人信息合理利用的原则,包括诚实信用、权利不得滥用、正当、必要原则等。通过由“一般原则”到“具体规定”的体系和制度安排,科学地规制了个人信息合理利用制度,为信息处理主体合理利用个人信息提供了制度遵循。《民法典》以个人信息“处理”的表述方式,替代了对个人信息“收集和使用”,继续沿袭并坚持以“个人同意”为前提。但是《民法典》第一千零三十五条第一款,明确了“个人同意”的法定例外情形,并在《民法典》第一千零三十六条规定了“免责情形”。《个人信息保护法》第十三条借鉴《欧盟一般数据保护条例》第六条第一款的“公私二分”法,规定规范处理个人信息的适用主体,既包括公共部门,也包括私营部门。在大数据时代,无论是“公共部门”的公法信息处理活动,还是“私营部门”的私法信息处理活动,都必须遵循“法无授权即禁止”,以及“法无禁止即自由”的原则。这个原则不仅决定着处理个人信息的自由幅度和范围,而且是信息处理者处理个人信息的根本依据。数据主体所享有的一切权利,无一例外都源自于《宪法》规制的公民的基本权利,数据主体的“个人同意”,并不是对这些基本权利的处分或让渡。《民法典》所规定的“个人同意”,不能理解为人格要素的“许可”抑或“授权使用”,民法对个人信息处理的合法性,同样不能仅看成是否获得“个人同意”。规范依据涉及到个人信息数据可否被处理,属于对个人信息处理者自由处理个人信息范围的制度表达。尽管个人信息处理者包含公共部门和私营部门,但是这两类主体的个人信息处理行为,在性质上具有实质性差异。在“公私二分”的思路下,应当把《个人信息保护法》第十三条理解为:“公共部门”只能适用部分规范,并且以“禁止处理个人信息”为原则,仅因“履行法定职责、维护公共利益”的需要才能处理个人信息。而“私营部门”则可以适用全部规范,总体上以“允许处理个人信息”为原则,但是《宪法》第五十一条规定,“公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利”。按照合宪性解释的要求,“私营部门”仅因违反《宪法》上述“三类禁止性规定”,才能禁止其处理个人信息行为。即是说《个人信息保护法》第十三条不仅规定了规范依据,还规定了个人信息处理的风险控制制度。“风险控制制度”具体体现为一整套个人信息处理的行为规范以及配套的监督制度,无论是公共部门还是私营部门,处理个人信息都要遵守风险控制制度,有效控制风险。
三、侵害个人信息权的救济路径
(一)信息处理者泄露个人信息必须承担损害赔偿责任
需要从正当程序视角理解并设计个人信息权。《个人信息保护法》第一条明确规定“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。但它没有界定什么是个人信息权益?相关法律条款如第四十四条规定了“知情权、决定权”,第四十五条规定了“查阅权、复制权与个人信息可携带权”,第四十六条规定了“更正权、补充权”,第四十七条规定了“删除权”,第四十八条规定了“解释说明权”。法学理论界和事务界把这些个人在个人信息处理活动中的具体权利,称之为“个人信息权利束”。然而在当下智能设备的应用场景中,如何准确识别个人信息处理者,却是一个非常棘手的难题。依据《个人信息保护法》第二十条“合作处理个人信息”和第七十二条“对本法适用范围的特别规定”,尽管用户在一定程度上对信息处理拥有自决权,存在可以访问数据的开放型制造商和用户共同作为个人信息处理者的可能性,但这种自决不应被视为对个人信息的真正控制。数据开放型制造商无法避开其作为个人信息处理者的法律责任,而封闭型制造商尽管无法直接访问数据,却能够通过其设备中的人工智能程序实质影响处理方式和目的,因此不应将其排除在个人信息处理者的范畴之外。明确封闭型制造商的处理者责任,有助于减少数据泄露的外部性,促使其采取更有效的安全措施,填补现有体系中对数据处理责任界定不清的漏洞,减少责任追究中的混乱与不确定性。人们对个人信息赋权的担忧,除了因《个人信息保护法》没有明确界定何为个人信息权益外,还源自于信息主体绝对控制的信息流通阻碍以及对应保护模式的失效,需要从正当程序视角理解并设计个人信息权。如果能以程序赋权来平衡信息处理者与信息主体之间的关系,则可以通过平等、透明、合作等程序价值,激励信息主体、处理者以及相关第三方形成技术化、标准化、契约化的程序性权利保障体系。确立个人信息权的合法正当程序,必须遵循以权利制约权力的公法逻辑,以有效预防和约束强势信息处理者的非法处理行为,避免信息主体滥用权利而阻碍信息流动,实现信息保护与信息利用动态平衡。《民法典》和《个人信息保护法》在不同的条款中,规制了个人信息侵权责任认定及法律效果评价方法,强调以“过错”作为法官进行利益权衡的考量因素而发挥作用。对于过错在法律效果评价方法中展现出来的规范作用,需要在现行法秩序内外体系协调的背景下予以理解,即当侵害行为违反关于个人信息保护性法律规定时,若能通过构成要件认定侵权责任成立,则过错为责任成立的构成要件,此时经由保护性法律规定清晰界定的事实构成可以推定过错;对于不在保护性法律规定调整范围的侵害行为,因为并不存在可以预先清晰界定的事实构成,于此只能通过利益权衡方法综合诸多考量因素认定侵权责任,其中过错是作为必备的考量因素发挥规范作用的。信息泄露在信息处理实践中,是最常见的个人信息侵权行为。在大数据、人工智能、区块链等新兴技术迅猛发展的背景下,个人信息处理日趋常态化、复杂化。在尽可能地满足个人和社会信息处理需求的同时,把信息安全风险控制在一定的合理范围内,是追求信息安全秩序价值的题中应有之义。个人信息权益作为自然人享有的重要人格权益,依法免受因泄露或非法处理个人信息所带来的人身、财产安全的损害威胁,信息处理者必须对因泄露个人信息的行为承担损害赔偿责任。侵权责任理论上的损害概念,其解释力足以应对所谓的“风险性损害”,在个人信息权益损害的救济问题上,不宜把法律上的损害过于泛化,直至与事实意义上的损害相等同。
(二)信息处理者侵害个人信息权益要承担民事责任
个人信息侵权颠覆了传统侵权法赖以建立的社会场景。尽管《个人信息保护法》对侵害个人信息权益民事责任作出了特别规定,但是对侵害个人信息民事责任的规定比较零细分散,只有整理后才能展现民事责任保护个人信息权益的规则和职能。《个人信息保护法》第六十九条规定,“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。这条规定在阐明对个人信息进行民事责任保护价值定位的同时,还表明行政机关处理个人信息应当接受精细严格的法律约束。个人信息事实上构成了行政机关履行职能的基础,行政机关开展的任何一项涉及民生的行政事务,都离不开对相关个人信息的收集与处理。借助先进的监控设备与智能算法等技术手段,行政机关得以突破传统程序限制“翻墙而入”,高频次、高密度地获取个人在日常社会生活中产生的各类信息。从户籍登记、纳税记录到出入境管理、违法犯罪防控等,行政机关通过向互联网平台等私主体调取数据、跨部门信息共享等方式,使得个人信息数据更能脱离原始收集场景而尽收囊中。这种处理范围的急剧扩张与处理方式的深刻转型,在行政机关提升行政效能的同时,也对公民个人权利保障构成严峻威胁。尽管《民法典》《个人信息保护法》已将国家机关个人信息处理活动纳入规范范围,但是相关规定在实践中执行的实际效果欠佳。尤其是在司法实践中,行政机关处理个人信息的行为,经常被不加检视地认定为并不影响当事人权利,从而被排除在行政诉讼受案范围之外。即使行政机关的行为违反了法律法规的规定,也难于通过有效的监督救济机制获得矫正。这种困境源于传统行政法理论的认知局限,即未将行政机关处理个人信息的行为视作具有权利限制属性的行为,这种认知不仅影响司法实践对相关行为性质的判断,也阻碍法律保护机制的制度完善与升级,甚至造成公民对政府和司法机关的不满情绪。未来应当把行政机关和政府职能部门具有较高权利侵害风险的信息处理行为,认定为具有权利限制属性的行为,在法律、行政法规中明确规定这种处理行为的目的、范围和方式等,通过单行法的具体授权为信息处理确立合法性基础。行政权需妥善承接基本权利保护义务,对于侵扰性较低抑或难以标准化的信息处理活动,可以基于行政职责推导信息处理权限,再通过行政自我规范、适用“告知—同意”规则、强化程序与组织保障等,弥补法律明确性不足可能导致的权利保护漏洞。既要防止行政活动成为个人信息保护的“法外之地”,又要避免过度繁琐的授权要求,导致行政活动动辄得咎、影响行政执法的效率与灵活性。
(三)擅自处理他人公开的个人信息要承担刑事责任
公开的个人信息是指信息主体个人自行公开抑或其他已经合法公开的个人信息。在信息化数字化时代,数据不仅是一种重要的信息资源,更是技术创新和商业模式变革的重要推动力。个人的公开数据不同于开放的数据,也不同于公共数据,数据保护措施属于个人信息系统安全防范和保护措施,避开抑或突破这道数据保护防线的行为,就属于“超越授权”信息犯罪中的“侵入”行为。擅自处理公民公开的个人信息行为,属于《中华人民共和国刑法》(以下简称为《刑法》)第二百五十三条之一规定的“向他人出售或者提供公民个人信息”的构成要件,不仅侵犯了信息主体私域自主权益,而且构成了侵犯公民个人信息罪。依据《民法典》第一千零三十六条第二项的规定,信息处理者擅自处理公开的个人信息的行为,只要是没有侵害个人的重大利益,可以依据《民法典》的上述规定免除民事责任。但如果使个人的重大利益遭受侵害,那就违反了《民法典》与《个人信息保护法》中的相关规定,就要依据《刑法》第二百五十三条之一的构成要件,追究擅自进行信息处理者和信息提供者的刑事责任。侵犯公民个人信息罪的行为方式包括获取、出售和提供,单纯收集已公开的个人信息行为并不具有非法性,收集的个人信息仅供个人学习研究之用,只要是没有超出信息主体合理的预期范围, 既然不会对信息主体的信息权益造成侵害,那就不应当承担刑事责任。作为资源的个人信息数据具有再生性与非竞争性的特点。再生性使得个人数据的规模呈现不断扩张的态势,而非竞争性则使得个人数据可以被反复使用,并且供不同的主体共享。这不仅侵犯了公民个人隐私、财产抑或其他信息权益,而且可能侵犯公共安全与国家安全等方面的利益。随着刑事立法对网络服务提供者刑事责任的扩张,网络空间中违法信息的泛滥逐渐成为网络犯罪治理的焦点,把如何惩戒网络服务提供者为用户传播、发布违法信息的问题提上了议事日程。随着2015年“刑法修正案(九)”的普遍实施,学界研究的重点逐渐集中到对网络服务提供者刑事责任的归责模式上来。网络服务提供者不同于普通的经营主体,他通常兼具经营者和特定条件下的管理者双重身份。尽管提供网络服务本身是一种业务行为,但是在网站等管理、运营者放任违法信息传播而不予删除的情况下,如果网络服务提供者未对违法信息采取适当措施,那么其行为就会产生不作为的刑事责任。在大多数情况下,由于数据治理的整体法律体系尚未完全完善,加之网络空间主体的匿名性特点,很难确定违法信息发布者的身份,网络用户数量庞大,普通用户发布、传播违法信息可能并未达到法定量刑标准,这就导致正犯的发现和处罚变得相当困难。《刑法》是按所侵害的“法益类型”来安排相应罪名的,《刑法》主要关注的是对非法获取数据行为的处罚,但数据流动中的真正危害是对数据的非法滥用,必须实现从非法获取数据的行为到滥用数据行为的转变。未来在法律规制的重心上,应当根据个人数据的类型采取不同的治理进路,对普通的个人信息,可以采取利益衡量的进路;对敏感信息特别是生物数据,应当考虑采纳法权进路,适用主要由控制者与处理者来对相应风险及结果负责的归责原理。
(四)构造超越数据确权的信息处理双重公法制约机制
数据确权需要确立一个合法的数据处理秩序。曾有学者认为,个人对其个人信息不具有财产利益,处理者对个人信息数据的财产权益,也并不是从个人处继受取得的,而是基于合法的处理行为而原始取得的。数据财产权益本体论则认为,法律应当对个人信息中蕴含的商业价值给予财产权保护。因而《民法典》第一百二十七条规定,“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。完善数据财产权的实体规范,保护公民个人与数据有关的财产权益,国家将其提升到公民基本权利的高度,突出强调数字人权保障的极端重要性。构造个人数据确权和数据处理秩序的公法框架,必须具备两个最基本的条件:第一个是数据处理的规制体系,第二个是公共数据的开放利用。数据处理的双重公法构造,不仅能够超越数据确权本身的价值和意义,而且能够促进数据要素流动和价值分配秩序的完善,提供数字经济和数字政务服务持续发展的法律支撑。个人、企业、党政机关和企事业单位,如何有效地利用和使用公共数据?其实公共数据的公益属性,本能地决定了其确权与运行的严格限制。即是说在法理构造层面,公共数据是国家所有的公共财产,具有“宪法上国家所有和民法上国家所有权”的双重意蕴,二者分别构成产权分配和授权运营的《宪法》依据。在权利构造层面,应当依据“三权分置”的治理框架,围绕持有权、使用权和经营权三者之间的关系,构建开放共享与要素流通并重的权利体系。在制度建构层面,应当通过适用类型化区分的登记确权制度明确权属,对政务公共数据和加工公共数据,分别适用非营利的限制制度和有限盈利的运营制度,以遏制行政垄断、释放数据价值,保障公共数据产权规范运行。完整的公共数据产权制度,包括公共数据产权界定制度、公共数据产权配置制度和公共数据产权流通制度、产权保障制度几大块。公共数据产权流通和保护制度的建构,始终以产权界定和产权配置制度为基础依据。
责任编辑 程东建 徐红春