首页 >> 社科基金 >> 基金管理 >> 成果发布
自然人信息权利的风险与救济
2020年07月22日 09:35 来源:中国社会科学网-中国社会科学报 作者:王海明 字号

内容摘要:

关键词:

作者简介:

  自然人对其个人信息享有支配、控制并排除他人侵害的权利。当前,随着网络技术和数字技术叠加发展,信息留痕技术日渐隐蔽,信息挖掘技术日渐渗透,信息处理技术日渐强大。这些信息技术不断强劲地嵌入社会生活,自然人对其个人信息享有的支配、控制并排除他人侵害的权利面临着诸多风险。

  “失能风险”与信息权的衡平保护

  随着智能终端的普及,网络日渐成为自然人日常生活的第二公共空间,自然人的个人信息在网络公共空间中留痕无数;而网站服务、移动互联网应用程序的控制主体在促成社会合作、社会服务过程中收集、掌控着公众方方面面的个人信息。随着控制主体服务技术的专业化、复杂化和离域化发展,作为信息主体的个人与控制主体之间私法关系所具有的相互制约、相互平衡的情势日渐失衡。自然人作为一个整体,明显处于弱势:自然人虽然获得了信息传递的便利,但其个人信息留痕、收集、使用、处分等各种处理方式所涉及的信息范围、数量,所涉及的信息处理路径、方式、形式、技术等方面,完全失去了与控制主体相互制约、相互制衡的可能。

  自然人陷入“失能风险”,自然人与控制主体之间信息处理失衡的私法关系,需要着眼于信息权的衡平保护确立一定的法律框架:如规定收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意(如我国《民法典》第1035条第一款第一项、我国2016年《移动互联网应用程序信息服务管理规定》),如规定用户同意必须是自由的、特定的、知晓的以及明确的、不含糊的接受(如欧洲委员会2012年《108号公约》修订版),如规定收集儿童数据时需要获得其监护人同意(如我国《民法典》第1035条第一款第一项、2018年欧盟《通用数据保护条例》),强化自然人对个人信息享有的自治、自决的权利;规定信息访问、收集的范围仅限于为实现同意条款所列明的目的之必要的最小数据量,明确控制主体收集个人信息应遵循合目的原则、必要原则和最小收集原则(如我国《民法典》第1035条、2018年欧盟《通用数据保护条例》);确立禁止处理的法律框架,对于个人敏感信息,即使自然人明确同意处理,也不能处理之例外(如2018年欧盟《通用数据保护条例》)。通过此类规定,为自然人信息权利提供衡平保护。

  “失治风险”与格式条款规制

  控制主体获得信息主体的明确同意,主要通过缔结明确同意条款,该条款大多是格式化条款。明确同意条款的内容、结构、形式、用语都是由控制主体事先确定的,信息主体无法事先参与条款制定;信息主体面对明确同意条款,要么选择接受,要么选择离开。整体上,信息主体的信息处理意思自治是极为微弱的。由于明确同意条款的格式化,信息主体几乎不可避免地面临着“失治风险”:虽然法律赋予信息主体以意思自治权利,但明确同意条款格式化,信息主体意思自治因此受到根本的限制。

  整体来看,鉴于控制主体在格式条款方面居于强势,法律救济的基本方向是明确要求控制主体承担更多的强制性义务。如规定控制主体提供明确同意条款内容上应具有合法性;形式上应当简洁、透明、易懂和容易获取;语言上应使用清晰和平白的语言(如2018年欧盟《通用数据保护条例》)。通过对明确同意条款的内容、使用形式、使用语言作出明确的要求,确保陷于“失治风险”的信息主体与控制主体在明确同意方面权益配置不至于显失公平。如规定提供格式条款的控制主体承担提示义务和说明义务,以确保信息主体有机会更好地了解条款内容,权衡利弊(如我国《民法典》第496条第二款规定提供格式条款的一方应当采取合理的方式提示对方注意免除或者减轻其责任等与对方有重大利害关系的条款,按照对方的要求,对该条款予以说明)。对信息控制主体明确赋予提示义务和说明义务,有助于信息主体理解格式条款中责任条款、重大利害关系条款内容,一定程度上有助于衡平“失治风险”带来的问题。

  “失控风险”与后续权利义务强化

  自然人个人信息可以作为法律关系的客体,但它不同于作为法律关系客体的物和行为。个人信息具有极为特殊的属性。其一,个人信息源自信息主体,它是主体各种情况的信息化结晶,具有派生性。派生性决定了个人信息与主体人格、主体行为、主体生存状态紧密关联。毫无疑问,自然人个人敏感信息状态、隐私信息状态深刻地影响着自然人的生存状态。其二,个人信息具有工具属性。一方面,个人信息同其他信息一样,具有作为信息产品、信息资源的社会价值。另一方面,个人信息日渐成为商业化信息管理的俘获目标,个人信息处理越来越具有社会影响力和社会权力的鲜明特征。个人信息的派生性,意味着信息主体的个人情况能够被信息技术载体化;信息的工具性,意味着控制主体有内在动力去处理自然人信息,自然人个人信息派生后,有可能在很长远的时间内都将对信息主体产生深刻的影响。自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、通信方式、通信记录与内容、账号密码、财产信息、信用信息、行踪轨迹、住宿信息、健康信息、交易信息等这些个人情况一旦信息化,个人信息就脱离了信息主体的支配和控制,转而由控制主体控制和处理。个人信息客观上脱离信息主体的控制,这种脱离控制很有可能是极为技术、隐蔽和机巧的。

  法律应如何回应个人信息脱离信息主体控制的“失控风险”?大体有两种路径。一是对控制主体信息处理权予以特别的限制。明确规定控制主体对信息处理的法定义务:控制主体不得泄露、篡改、毁损其收集的个人信息;未经信息主体的同意,不得向他人提供个人信息;控制主体应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失;在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告(如我国《民法典》第1038条和第1039条、我国2017年实施的《网络安全法》)。二是通过强化信息主体信息权来应对个人信息失控带来的风险,明确赋予信息主体更多的信息权利:如个人信息的访问权、涂改权、删除权、限制处理权等(如我国《民法典》第1037条、2018年欧盟《通用数据保护条例》)。

  “失济风险”与信息维权救济

  当前,自然人信息权益的侵权主体日渐组织化、链条化,侵权技术日渐专业化、离域化,侵权方式日渐隐秘,自然人作为个体,其个人信息权益受到侵害后,在发现侵权、追责侵权、举证侵权方面,往往难以凭借一己之力应对发现困难、追责困难和举证困难。可以说,处于弱势的自然人,凭借个人的力量通过司法救济来捍卫其个人信息上的合法利益,困难重重,根本无法对抗信息侵权。作为信息主体的自然人,其信息权受到侵害后面临着维权难的“失济风险”。

  在侵害行为发现、维权程序、举证责任配置等环节,法律需要注意到自然人可能遭受的“失济风险”,对信息维权予以综合救济。这种综合救济,既包括行政性的前置程序,也包括司法性的保护制度。如设定前置程序,规定控制主体处理信息必须前置实施隐私影响评估(如2018年欧盟《通用数据保护条例》);如规定对个人敏感信息进行处理必须前置设置数据保护专员(如2018年欧盟《通用数据保护条例》);如为了保护自然人在处理过程中的基本权利,设立独立的公共机构,并明确独立公共机构有权将侵权的控制主体诉诸司法机构,在合适的情形下可以提起或参与法律诉讼(如2018年欧盟《通用数据保护条例》),为自然人信息维权提供公共机构的帮助与救济。

 

  (本文系国家社科基金年度项目“环境导因社会风险及其精准化治理研究”(19BSH021)阶段性成果)

  (作者系浙江省社会科学院研究员)

作者简介

姓名:王海明 工作单位:

转载请注明来源:中国社会科学网 (责编:齐泽垚)
W020180116412817190956.jpg
用户昵称:  (您填写的昵称将出现在评论列表中)  匿名
 验证码 
所有评论仅代表网友意见
最新发表的评论0条,总共0 查看全部评论

回到频道首页
QQ图片20180105134100.jpg
jrtt.jpg
wxgzh.jpg
777.jpg
内文页广告3(手机版).jpg
中国社会科学院概况|中国社会科学杂志社简介|关于我们|法律顾问|广告服务|网站声明|联系我们