编者按:
为了切实落实中共中央宣传部等部门《关于推动学术期刊繁荣发展的意见》,创新期刊传播形式和方法手段,有效发挥期刊在学术质量等方面的引领作用,加快融合发展、提升国内国际传播能力,推动学术期刊在数字经济时代的转型升级,《政法论坛》将秉持创新发展与严格把关并重的原则,探索实施网络首发制度,从2022年第1期于中国知网陆续推出网络首发文章,并于政法论坛微信公众号同步推出,敬请关注!
个人信息可携带权在国家机关间的实现
罗英 澳门威尼克斯人官网网址副教授
本文将发表于《政法论坛》2023年第6期
摘要:学界关于个人信息可携带权的研究很少涉及其在国家机关间实现的情形,但个人信息可携带权具有在国家机关间实现的规范基础和现实需要。从法教义学角度分析,宜将个人信息保护法第33条理解为一种特殊立法技术,即该条使得个人信息保护法中的规范具有公私法双重属性,第45条第3款规定的个人信息可携带权亦具有“公私法兼容性”。但公法上的个人信息可携带权并非宪法上个人信息权的保护核心,而是处于立法者的形成空间中,主要体现为要求国家机关作出具体行为的行政法上的请求权,其解释需要受其宪法规范的辐射效果。应从权能要素、客体范围和技术标准等维度明确公法上的可携带权的权利内容,基于公共利益和第三人保护厘定其外在限制,勾勒公法上的可携带权的最终保障范围,从而更好地发挥其促进数据流通、构建互联互通数字政府的积极作用。
关键词:个人信息保护法;个人信息可携带权;公法权利;基本权利的形成
目录
一、问题的提出二、个人信息可携带权在国家机关间行使的法律属性三、个人信息可携带权在国家机关间行使的理据四、公法上的可携带权之权利内容五、公法上的可携带权之外在限制结语
一、问题的提出
我国信息数据资源80%以上集中于各级政府及其部门中,政府已然成为最大的数据平台。虽然“一网通办”“跨省通办”等数据共享技术层出迭生,但行政相对人为办理业务或开具证明而反复奔波于国家机关间的现象屡见不鲜,数字政府建设中“信息孤岛”和“数据烟囱”等贬损公共数据价值的现象仍大量存在,这既造成了公共资源的极大浪费,也降低了政府公共服务的满意度,成为数字政府建设过程中亟待破解的难题。对此既需要“自上而下”地系统构建政府公共数据开放、共享机制,也需要“自下而上”地完善相对人的公共数据权益体系。就后者而言,我国个人信息保护法第45条第3款所确立的可携带权提供了一种可能的解决方案。根据立法参与者对个人信息保护法的解释,个人信息可携带权是指“在符合一定的条件下,个人有请求将个人信息处理者处理的其个人信息转移至其他个人信息处理者的权利。”根据该权利内容,它调整了现实中存在的个人信息主体与处理者之间的不对称权力结构,赋予个人信息主体选择流通和替代的能力,进而打破“锁定效应”,在“数治”时代对促进公共数据价值的实现具有积极意义。正如有学者所言,在公权力主体之间积极运用可携带权可以有效破解“信息孤岛”,促进公共数据共享。
需要注意的是,个人信息保护法在立法草案第三次审议时才加入“个人信息可携带权”,由于未经过前两次立法草案审议的充分讨论,个人信息可携带权的条文规定相对简单,其他法律规范也暂未作出明确细化的规定。学界在关注“个人信息可携带权”时,更多是在非国家机关个人信息处理者之间对其进行讨论,对其在国家机关间的实现场景着墨颇少,甚至部分学者基于比较法的考察,将个人信息可携带权的行权目的局限于纯粹经济效益,明确排除其在国家机关间的行使。然而,根据个人信息保护法第45条第3款的文义,个人信息可携带权的义务主体并未明确限定为非国家机关,按照个人信息保护法“一体调整”的立法模式,个人信息可携带权只要“符合国家网信部门规定的条件”,也具备在国家机关间实现的规范基础。就当下而言,在个人信息保护法第45条已确立此项个人信息权益的前提下,研究重心将转向如何解释和适用该条款。与此同时,本轮国务院机构改革对该条款的适用亦将产生一定影响。我国已在中央层面设立专门的大数据管理机构——国家数据局,并将“协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通”等职能划入该局;中共中央国务院2022年底发布的《关于构建数据基础制度更好发挥数据要素作用的意见》亦明确提出,要“充分保护数据来源者合法权益......保障数据来源者享有获取或复制转移由其促成产生数据的权益”,这既表明我国政府解决数据要素流通不畅、“数据孤岛”等难题的决心,亦勾勒出信息资源互联互通的一体化设计蓝图。鉴于此,有必要对个人信息可携带权能否以及如何在国家机关间实现展开讨论,并为该项权利在国家机关间行使的法律属性、内容和限制作进一步的分析与解释。
二、个人信息可携带权在国家机关间行使的法律属性
在公法与私法相区分的背景下,个人信息可携带权在不同类型主体之间行使的差异性成为一个值得说明的前提性问题。以下将首先就个人信息可携带权的公法属性展开分析。
(一)国家机关间行使的个人信息可携带权是一种公法权利
学界对个人信息保护法公私法属性的探讨始终存在。基于个人信息保护与隐私权保护的密切联系,以及民法典人格权编中大量的个人信息保护条款,个人信息保护法对个人信息的保护也基本上是围绕民法典的规则而展开的,两者关系相当紧密。然而个人信息保护法亦具有公法面向,囊括个人信息可携带权等的个人信息保护制度呈现出一种公私法融合特征。一方面,个人信息保护法是作为立法者履行作为宪法基本权利的个人信息权保护义务的产物,对大量处理个人信息的国家机关自然具有适用余地。另一方面,适用于国家机关的和适用于私人之间的个人信息保护规范体系存在差异,前者是一种公法规范。从法教义学角度分析,个人信息保护法第33条规定存在两种可能的解释方式。一是将此处的规定理解为注意规范,该法规范本身即平等适用于各类主体。在此理解下,由于法规范并不特别适用于公权力主体,故个人信息保护法中的规范为私法规范,国家机关处理个人信息的行为为私法行为。二是将此处的规范理解为一种特殊立法技术,即该条使得个人信息保护法中的规范具有公私法的双重属性。在适用于私人之间时,个人信息保护法的规范应置于民法典等私法规范构筑的体系下进行理解,而在适用于公权力主体与私人之间时,个人信息保护法应与第2章第3节相结合,置于宪法构筑的公法体系下进行理解。
笔者认为将个人信息保护法视为具有公私法双重属性的规范更为妥当。第一,从规范结构而言,在个人信息保护法适用于私人之间时,该节之外规范本身即属完全性规范,不需与第3节的规范同时适用。而当其适用于国家机关和私人之间关系时,第3节的规范需要与其他规范相结合后推导出行政机关处理个人信息的合法性要件,第3节中的第34条将需要结合适用的规范推广到了法律和行政法规。该法第3节之外的规范甚至可被视为用于补充公法规范的私法规范。在此种意义上,适用于国家机关处理个人信息的完整的规范体系,是第3节与其他规范的结合,是仅适用于公权力主体的规范,属于一种公法规范。第二,国家机关处理个人信息的行为多为事实行为,而事实行为即使有规范依据,亦因其仅凭实力为之,并非国家机关单方课予私人义务,是否具有高权属性并不易分辨,故就其定位易生困难。从对公权力行为的一体性拘束而言,国家机关处理个人信息的活动本身往往服务于行政机关的其他高权行为,将国家机关的个人信息处理行为作为高权行为,进而使得个人信息处理活动和其服务的高权行为一体受到公法调整更为妥当。这亦契合德国联邦法院采取的密切关系说,从事实行为的目的及与其他行为的关联出发进行判断。由此,不仅基本权利的主观面向可以被适用,依法律行政、正当程序、合法预期保护等行政法上的各原则可以当然适用于行政机关处理个人信息的行为。第三,将国家机关处理个人信息的活动原则作为公法上的高权行为,并不排除国家机关进行私法活动时处理个人信息的行为属于私法行为,即国家作为私法主体进行国库行为等各类私法活动时,处理个人信息的行为仍可适用私法面向个人信息保护法。
此外,从公法层面观察个人信息可携带权,其既可能是受公法保护的私益,也可以使得公共利益经由私益保护而得到促进。其不仅仅关注个人信息主体与处理者之间的纵向关系,同时也在推动个人信息主体权利转向更为民主的数据治理。总之,在个人信息权项下的个人信息可携带权当然是一项私法权利,但它也是一项指向国家的权利,是一项公法上的权利,具有“公私法兼容性”。
(二)公法上的可携带权属于立法者形成的基本权保护范围
在说明个人信息可携带权具有的公法属性后,其在公法权利体系中如何定位便成为需要进一步说明的问题。具体包括公法上的个人信息可携带权与基本权利的关系如何,其在行政法权利谱系中又应当被如何定位两个问题。
第一,公法上的个人信息可携带权并非宪法上个人信息权的保护核心,而处于立法者的形成空间中。个人信息权作为宪法上的基本权利束,其规范基础在于人权条款笼罩下的通信权和人格尊严等条款,其保护范围的形成方式存在差异。基本权利包括事实形成部分和法律形成部分,个人信息权利束中,“不依赖于国家的认可,甚至在国家产生之前就已经存在的权利”属于事实形成部分,其主观面向往往指向国家的消极义务。而需“经国家创设才能形成的权利,离开了国家行为,尤其是立法确认,该权利就不能或者不能有效地行使”的权利多属法律形成部分。公法上的个人信息可携带权的实现依赖于国家的作为,而不具有国家消极义务的面向,应归入个人信息权利束中法律形成部分。在立法者基于个人尊严和人权条款形成个人信息保护权时,首先需要确认其权利核心部分,即其本质内涵。在核心部分的保护上,立法者并无自主形成空间。有观点认为公法上的个人信息可携带权并不当然是作为基本权利的个人信息受保护权的组成部分,也不是个人对信息数据享有的查阅权利的必然延伸。此即指出了个人信息可携带权不能从前述宪法规范上理所当然导出,不处于个人信息权的核心。从宪法作为框架秩序的视角观察,前述核心部分是宪法为立法者形塑个人信息权设定的不可逾越的边界,而核心内容之外的部分,则留给立法者进行权衡。于此,立法者一方面将个人信息可携带权归入作为基本权利的个人信息权利束中,另一方面将权利行使的具体要件委托给网信部门规定。因此,国家机关间行使的个人信息可携带权,是立法者在形塑个人信息权具体内容时,进行立法裁量的产物,属于基本权利的保护范围内,对其限制的合法性要件的分析适用于基本权利的审查框架。
第二,公法上的个人信息可携带权主要体现为要求国家机关作出具体行为的行政法上的请求权,其解释需要受其宪法规范的辐射效果。首先,由于个人信息可携带权落入了立法形成空间内,属于立法裁量的产物,其主客观面向均由立法所形塑,故其作为基本权利直接对抗立法的空间较小。其次,在具体行为层面,个人信息可携带权是一种行政法请求权。行政机关是大量处理个人信息的主要国家机关,其处理个人信息的行为属于行政当无疑义,而在与抽象规则制定和具体纠纷解决无关时,行政机关之外的国家机关传输个人信息的行为尽管不存在通过行政诉讼进行救济的可能,但仍属于实质意义上的行政,亦可参照行政法学理。同时,此种积极权能面向之下的个人信息请求权只能向国家机关信息处理者提出,具有指向的特定性,且个人信息可携带权效用的实现还需要国家机关信息处理者的积极履职。再次,个人信息保护法第45条第3款起到了前述形塑作为基本权利的个人信息权的具体内容的作用,此种形塑仍需基于个人信息权利束的宪法基础上。而立法对基本权利的形塑对包括行政机关在内各国家机关都产生效力,成为个人信息权主体请求国家机关作出特定具体行为的请求权,这是前述处于基本权利保护范围内的可携带权的主要表现形式。在对作为行政法请求权的个人信息可携带权进行解释时,仍需要在个人信息权的宪法规范的笼罩下进行。最后,此时的个人信息可携带权将以个人信息权益的重要权能形式向外表征,也即个人信息可携带权可被视作“权益”中的“工具性权能”。其“工具性”即体现在行使内涵上:个人信息可携带权革新了以往通过“占有”实现控制的方式,其是以权利人的“请求”对信息数据进行控制,具备请求权的权利外观。这就表明个人信息可携带权在权利的规范构造上将“请求”作为触发点,以保障个人在与其相关的个人信息处理活动中的参与、选择等行为自由,并抑制个人信息处理者的恣意和滥权。
三、个人信息可携带权在国家机关间行使的理据
因讨论场景被置于公权力主体之间,个人信息可携带权在国家机关间是否具有实现的必要性与可能性,需要进一步探讨。
(一)个人信息可携带权在国家机关间行使的必要性
第一,提高行政效率与政务服务满意度。推动政府公共数据开放共享,已在数字政府实践中形成共识。2020年9月,国务院办公厅印发《关于加快推进政务服务“跨省通办”的指导意见》,提出要依托全国一体化政务服务平台和各级政务服务机构,着力打通业务链条和数据共享堵点,推动更多政务服务事项“跨省通办”。《“十四五”国家信息化规划》也明确指出要深化推进“一网通办”“跨省通办”“一网统管”。部分省份也在政务应用中设置了区域跨省通办专栏,由部分临近地区以某些常见、常办的事项组合形成,以最大限度提供跨区域的便民政务服务。例如,泛珠三角区域“跨省通办”服务专区中明确表示支持多省证照互认,个人用户选择相应跨省通办事项和办理区域后,如涉及身份证、结婚证、营业执照、居住户口簿等电子证照则可直接实现互信互认。然而,政府公共数据的盲区与真空地带却普遍存在。有学者将这一现象分析和归因为“有些部门将信息视为权力和资源的来源,不愿将自己的信息和同级其他部门共享。一些部门甚至不知道其他单位到底有哪些可供本部门使用的信息,即缺少‘关于信息的信息’。”这在一定的程度上形成了政府公共数据共享的障碍与壁垒,不利于行政效率的提升,也严重降低了公共服务的满意度。目前数字政府建设实践中,公共数据共享能力的提升主要依赖上级国家机关“最多跑一次”类型的自上而下的政府改革,以内生动力来驱动数据流通和共享。重新观察“公民—国家机关”这一对关系主体,可以发现,如果通过赋予公民主导其个人信息等数据在国家机关间流动的权利,搭建起自下而上的数据携带、转移行为链条,将是破除流动阻滞、手续重繁困境的有效途径。换言之,以防止个人信息可携带权被虚置为切入,充分发挥该权利对公共数据共建共享的“倒逼”功能,这也是个人信息可携带权在国家机关间行使的最大必要性。
第二,促进公共数据的根本价值之实现。个人信息可携带权的雏形首先来源于经济市场之中的携号转网,人们往往把目光聚焦于个人信息可携带权能够为市场经济效应带来什么,包括个人信息可携带权能否促进企业良性竞争、发展和创新等等,而容易忽视其中更为根本的价值——促进数据流通。数据在流通之中便意味着分析利用的循环前进、不断流通,个人信息数据才会在这一过程中充分发挥其价值。在某种意义上,没有数据的流通,就没有数据价值的实现。个人信息可携带权的行使即意味着过程中会有数据副本在不同信息处理者之间移转,源于个人用户发起的数据共享最终形成了数据流通。有学者指出,“个人数据的自由流通与共享也可能为市场提供数据这一公共基础设施。对于这一点,无论是数据携带权的支持意见还是反对意见都没有提及。”这种很少被提及的数据流通意义亦是个人信息可携带权在国家机关间行使时的根本价值,其已然成为现代社会生产中的基本要素,是数字经济赖以维系的根基。个人信息可携带权在国家机关间的行使加速了公共数据流通与共享,其价值同样将体现在政府部门间对数据自愿的整合与贯通当中,数据互联互通程度不断深化,数据壁垒、数据孤岛现象不断消除,从而解决数据“深藏闺中”的现实难题,提高公共数据的利用率。
(二)个人信息可携带权在国家机关间行使的可行性
第一,“多元说”为个人信息可携带权在国家机关间实现提供学理支撑。欧盟《一般数据保护条例》(以下简称《条例》)第20条规定,“控制者为公共利益或为行使其被授权的官方权威,而进行必要处理时,个人信息可携带权并不适用。”个人信息保护法没有类似的明确规定,而是寄希望于国家网信部门出台相关规定予以回应,但目前尚处于规范空白状态。鉴于《条例》的立法先例,有学者提出在履行法定职责或者法定义务、应对突发公共卫生事件等其他依据法律、行政法规规定的情形而处理个人信息的场合,不适用可携带权。若按部分学者的目的论观点,国家机关处理、使用个人信息数据的目的在于履职而非获益,那么将复制《条例》对于个人信息可携带权在国家机关间情境下的限制路径,其行使将会被完全否定。笔者认为,应当以国家机关处理个人信息的合法性基础为切入点来分析上述问题。对于合法性基础的理解大致可以分为“一元说”“叠加说”和“多元说”。“一元说”是将“依法定职责”作为国家机关处理个人信息的惟一合法性基础;“叠加说”是将“依法定职责”作为合法性基础必要的前提条件。在这两种观点下,个人信息可携带权在国家机关间的行使路径将被阻断。“多元说”则主张合法性基础的多样性,认为“依法定职责”只是合法性基础中的部分,并且不属于必要前提。“多元性”的合法性基础并非简单叠加,其为国家机关在实践中处理个人信息提供了丰富进路,为个人信息可携带权在国家机关间实现提供了理论可能性。
第二,“一体行政原则”为个人信息可携带权在国家机关间实现提供逻辑依据。一体行政原则原为宪法上行政组织之基本原则,传统观点将其内涵概括为“组织一体”,后又延伸出“责任一体”与“功能一体”两个维度。在权力结构上,我国遵循一体行政原则,国务院对下属各部委及全国地方各级国家行政机关工作具有统领作用,地方各级政府领导所属部门与下级人民政府开展工作。从外观上来看,整个行政体系即为一个整体。一体行政原则为个人信息可携带权在此组织架构下的运行提供了形式逻辑。现代代议制民主理论认为,国家本身应承担民主权利“传送带”的角色,“责任一体才是行政一体的根本指向”。个人信息可携带权在国家机关间实现时,主体对其个人信息数据移转请求的另一面,即是单个或多个信息数据控制者的处理责任。当个人信息已经被国家机关收集并占有时,发挥一体行政原则的制度约束功能,允许个人信息可携带权在国家机关间实现与行使,避免个人信息重复收集,在某种意义上就是行政任务多元化趋势下,对“减负”与“效率”的主动选择。
第三,“数字政府建设”为个人信息可携带权在国家机关间实现提供技术基础。由于国家机关间更多是协同关系,公平竞争秩序的维护并非公法上个人信息可携带权的首要价值目标,是否具备相对成熟的技术基础成为此时的首要考量。在《条例》实施过程中,由于未能统一数据格式,且构建具有互通性的数据迁移系统并非强制性义务,个人信息可携带权的适用范围被极大限制。但在我国数字政府建设实践中,早已在顶层设计上为个人信息可携带权的实现进行了谋划和部署,包括开放政务平台实时数据接口、制定数据流动通用标准等具体举措。如国务院办公厅2022年9月28日公布的《关于复制推广营商环境创新试点改革举措的通知》(国办发〔2022〕35号)明确指出,“各地区要将复制推广工作作为进一步打造市场化法治化国际化营商环境的重要举措......向地方开放系统接口和授权数据使用的,要抓紧按程序办理,确保2022年底前落实到位。”部分试点领域和地区已经在有意识地逐步筑牢数字政府技术基础,即使目前未必能形成全国范围内的统一技术标准,但个人信息可携带权所要求的现实基础将在打造协同高效的数字政府服务体系中不断深化。
四、公法上的可携带权之权利内容
个人信息可携带权在内容层面体现了对于个人信息主体选择、控制、支配其信息数据的支持,以下将具体分析其在公权力运行的场景下的具体内容。
(一)公法上的可携带权之权能要素
从比较法角度来看,欧盟《条例》对个人信息可携带权的内容要素主要划定在两个方面:一是“获取副本”,该权利允许个人信息主体对经处理后形成的子集、副本,予以接收、存储、使用。这项权利在提高个人主体对既有信息数据利用之便捷性的同时,也对数据控制者或处理者科加一定的配合义务,也即要以符合规定的格式或形式将个人主体的此部分数据提供出来,不能违背其意志而拒绝提供。从这个角度而言,个人信息可携带权补充了访问权的内容,为主体提供了一种简单的方法来管理和重复使用个人数据;二是“不受阻碍”,该权利可以使个人信息主体不受阻碍地将个人数据从一个数据处理者转移到其他数据处理者处。《条例》的序言虽然未为个人数据处理者设置技术上的义务,如采用或维护兼容的处理系统等,但禁止控制者设置传输障碍。
就具体的权能要素而言,个人信息可携带权主要涵盖三个方面,即获取个人信息、转移个人信息以及衍射的信息转移请求。获取个人信息即个人信息主体无障碍地从控制者处重获其个人信息的取回权利。这一权利内容可以被视作是一种特殊的访问权利:一方面,信息数据格式具有特殊性,其获取的是一种“结构化、通用化和机器可读的格式”,与《条例》所描述的访问权有重要区别;另一方面,信息数据内容具有特殊性,根据欧盟第29条工作组(WP29)的解释,这里的信息数据不仅包括直接数据,还包括观测数据。转移个人信息则是个人信息主体将其获取的上述数据转移至其他数据控制者的自由权利。这一权能要素与信息转移请求的区别在于是否已获取信息数据,后者主要产生于主体在不获取信息数据的前提下,直接请求控制者履行转移义务的场景。需要说明的是,虽然从形式上看,获取个人信息将涉及两方主体,而转移个人信息会涉及三方主体,但本质上仍是在一个效力框架下的“主体—处理者”关系。因为不论是从效力运行方式,还是从效力运行目的来看,两者具有同向性,均是在信息主体导向下的信息自决和信息再利用,此时的区别仅在于责任承担和主体数量。
(二)公法上的可携带权之客体范围
根据个人信息保护法第4条、第45条等之规定,个人信息可携带权的客体范围似乎已经明晰,但实践中数据处理者所拥有的个人数据种类繁多,清晰界定可携带权的客体范围,可避免可携带权的行使陷入各方利益纷争的泥潭。针对这一问题,可以从两个悬而未决的问题进一步思考:一是个人信息可携带权的行使范围是否包括数据处理者的观测数据及衍生的推测数据等;二是是否应当排除涉他数据。
从比较法角度来看,根据欧盟第29条工作组(WP29)的解释,个人信息可携带权所指的数据主要包括个人信息主体主动提供的与其相关的个人信息,以及数据控制者的观测数据,但不包括推测数据。学界对个人信息可携带权客体范围的探讨则呈现截然相反的观点。对于观测数据,持肯定说的学者认为,将这些不含或仅含有少量数据处理者智力成果的数据纳入移转的范围,有利于促进个人数据的流通,避免个人信息价值的碎片化,获取衍生数据的对价则可由数据接收者与用户合理分担。且观测数据仍然具有较高的人身依附性,在利益权衡时应当对个人权益的保护有所侧重,因而其亦应当纳入移转的范围。此外,当观测数据成为新进数据处理者的必要设施,而其无法以合理的价格或条件获得这些数据时,亦有必要将其纳入权利客体的范围,以打破优势数据处理者的数据封锁和垄断。持反对说的学者则认为,包含用户行为痕迹的观测数据并未纳入个人信息的范畴,将其纳入客体范围将导致个人数据与平台数据边界的模糊;且这些数据在收集和整合过程中,更多体现的是企业的技术和财力优势,不应继续将其视为个人数据的范畴。对于推测数据,由于数据处理者在其中投入了较多的财力,且可能蕴含了数据处理者的分析模型、算法等商业秘密,贸然将其纳入可携带权的客体范围将与数据处理者的权益产生冲突,因而学界在反对推测数据的移转上达成共识。
笔者认为,个人信息保护法对于个人信息可携带权客体范围的立法态度是比较宽松的,不应作过于狭隘的解释。将该问题放置于国家机关作为信息处理者的情况下考虑,则更应从宽泛的角度来理解。理由在于,国家机关处理数据往往是基于法定职责和公共利益,并且各部门间一般是协作互助而非市场竞争的关系,信息数据客体范围越广,越有利于国家机关作出更为科学的决策。因此,国家机关作为信息处理者时,不必过多考虑数据种类背后存在的市场秩序问题或知识产权问题,应降低个人信息可携带权在国家机关间行使时的受限性。
随着信息网络不断发展,数据处理者所收集和存储的个人数据与他人的个人数据或隐私不可避免地产生粘连。因此,个人信息数据移转时如何保护涉他数据也应当纳入考量。欧盟第29条工作组(WP29)提出,应鼓励数据控制者对用户数据进行剔除,以保证尽可能最小限度涉及第三方数据,或要求获得其他个人信息数据主体的同意。但是也有相反意见指出,这样的做法过于理想化,无论是剔除第三方数据还是获得其他个人信息数据主体的同意,似乎都存在很大难度,在适当的保障措施下应容许涉他数据的转移才是更具现实意义的做法,如果对此作过于严格的限制,显然会在实践中阻滞个人信息可携带权的行使。而且涉他数据所涉第三方主体数量可能十分庞大,若要求个人信息可携带权每一次行使都需获得第三方主体的同意,将大幅提高行权成本。对于涉他数据的移转可考虑引入隐私期待的考量标准,即在利益衡量的基础上进行分类规制,可以在充分考虑第三方于涉他数据上的隐私期待的基础上,对于数据移转不影响第三方隐私期待的数据应允许其移转;对于可能超出第三方隐私期待的数据移转,可以对其进行风险评估,在采取适当的保障措施和平衡方案后进行移转。如以“白名单”的指导形式对涉他数据进行分级分类处理,为数据处理者相应行权请求提供指引。
同时,国家机关作为个人信息处理者所处理的个人信息数据存在不同类型,应根据其不同类型确定不同的数据携带客体范围。对此,可以参照国务院2016年印发的《政务信息资源共享管理暂行办法》第9条之规定,对于不宜提供给其他国家机关共享使用的信息数据资源,个人主体对个人信息可携带拥有弱请求;对于可提供给业务相关或归口相同的国家机关共享使用的信息数据,或仅能够将部分“脱敏数据”提供给其他国家机关共享使用的信息数据资源,个人主体的移转请求程度则相对更强,但此时也在很大程度上有赖于个人信息可携带权所指向的国家机关的配合程度,这里的个人信息可携带权将更加贴合柔性权利的特征;对于可提供给其他所有国家机关流通、共享使用的信息数据资源,个人主体享有强请求,控制、处理此部分数据的国家机关应尽到协助移转的高度义务,如果存在信息数据开放、共享的法定职责,此时个人信息可携带权在国家机关间的行使将摆脱柔性特征而直接实现展开。
(三)公法上的可携带权之技术标准
关于个人信息数据在移转时的数据格式和传输标准等技术要求,一直是实践中难以回应的痛点。欧盟《条例》在规定个人信息可携带权时,虽然在一定程度上阐释了何为“技术上可行”,即“不应给控制者带来采用或维护技术上兼容的处理系统的义务”,并明确指出数据需“经过整理的、普遍使用的和机器可读的”,且“处理是通过自动化方式的”,但在实践上却缺少一套具体可行的技术规范,两方控制者之间如何达到“互操作性”也难以界定,导致个人信息数据移转过程中必然存在分歧与矛盾,大幅增加了个人信息可携带权行使的过程成本,给数据流通与共享设置了重重障碍。从域外经验来看,技术标准仍是个人信息可携带权实现的前提,但我国个人信息保护法并没有对数据传输的技术标准作出明确提示,个人信息主体存在无法便捷地在数据控制者之间实现个人信息数据直接移转的风险,这似乎有架空个人信息可携带权制度之嫌疑。基于欧盟因未能构建统一格式标准以实现互操作性的前车之鉴,学界提议应尽快制定一套具有互操作性的传输标准和数据格式,使数据处理者之间的互联互通水平至少满足个人信息可携带权行使的最低要求。同时,也需要引入相应的监督机制,确保最低限度的个人信息可携带权强制性标准得到适用,避免这一权利因技术标准的缺位而被虚置。
这一问题在本文论域下并不难解决。我国正致力于建设互联互通的数字政府,规定统一的技术规范本就是打通政府部门间内部数据流动“堵点”的必然选择。根据中央网信办、发展和改革委、工业和信息化部联合印发的《公共信息资源开放试点工作方案》,在已开展的公共信息资源开放试点工作中,已对数据完整性、机器可读性、格式通用性等要求作出明确规定。国家机关作为信息处理者本就在主体地位上具有特殊性,个人信息可携带权在国家机关间行使时的数据传输格式等技术规范应作统一标准要求,并逐步从先行先试推广为普遍适用,最终达到数据共享与数据流通的价值效果。此外,考虑数字政府建设的区域不平衡问题,在特定情形下,可以规定未达到技术标准的国家机关的个人信息转移的豁免义务,并将这些国家机关列入不承担携转义务的名单中。在国家机关间的场域下,更为重要的是个人信息数据的安全保障,需科学平衡数据安全风险及其安全保障措施的成本收益,注意对国家机关数据安全保障义务的设定与责任的配置。
五、公法上的可携带权之外在限制
厘清公法上的个人信息可携带权的权利内容,从内部明确了此项权利的构成,但要清晰勾勒出个人信息可携带权在国家机关间实现的“全景图”,还需基于外部的视角对其权利限制问题予以阐明。
(一)外在限制亦决定公法上可携带权的最终保障范围
如前所述,个人信息可携带权由立法者归入作为基本权利的个人信息权利束中,其公法面向的行使也应受到限制,但限制本身亦有限制。一方面,就制度目的而言,外在限制与权利内容或构成的内部维度存在区别。前者是在确定基本权利的保护范围后,“国家公权力对基本权利的干预和禁止”。其与内在限制,即所谓权利的保护范围相结合,框定了基本权利的最终保障范围,二者殊途同归。之所以要对公法上可携带权进行限制,是因为其行使存在损害公共利益和他人权利的可能,保护二者可以成为限制的正当化理由。另一方面,就权利限制理论的内在逻辑而言,“限制的限制”往往与之相伴相生、如影随形。权利限制理论的要义在于,为基本权利厘定边界,需要在相互冲突的权利法益之间进行适当的调适,考虑公共利益等实质性社会因素,由国家公权力予以限制来平衡相关权利法益。从限权的一般共识,以及该理论在德国的发展和规范文本来看,对限制基本权利的公权力予以限制,亦是一种共识。德国近代宪法理论对公共利益条款的讨论,也出现将其作为限制基本权利的单一功能,向兼具抑制立法者限制基本权利的双重功能转变,亦即公共利益具有“双向限制”的特点。因此,对公法上可携带权的外在限制不仅应着眼于对其权利行使设置限制,更应着眼于对这些限制本身进行限制,也即外在限制本身也存在限度与边界的问题,以下的分析也将兼顾这两个层面展开。根据我国宪法第51条的规定,关于基本权利的限制依据主要从以下两个方面展开:一是需要通过限制个人权利的方式来追求秩序、安全、平等、正义等范围更广的公共利益。二是为了保障和谐稳定的权利秩序,在不同权利行使产生权利冲突时,权利限制是解决该问题的主要方式,从而使各个权利可以平稳地共存。前者涉及公共利益的限制,后者涉及第三人保护的限制,以下分述之。
(二)基于公共利益的限制
公共利益具有双重面相,一方面,它被视作国家公权力的正当性基础,实现、维护和促进公共利益也被作为国家机关执行公务的依据和目标,进而它也肯定基本权利之价值;另一方面,它又被作为公权力限制基本权利的正当化理由。基于公共利益对基本权利予以限制已成为一种普遍的理由,并作为实质限定基准吸纳入很多国家的宪法文本和法律规范之中。在个人信息和数据法治领域,公共利益亦是权利限制的正当性理由。欧盟《条例》对此作出了明确的限制性规定,即只要数据控制者出于公共利益的目的,个人信息可携带权便不具有行使的空间。我国个人信息保护法第10条和数据安全法第8条分别限制了“危害国家安全、公共利益”的个人信息处理活动和数据处理活动。从地方立法层面来看,在各地的数据地方性法规中也存在类似的规定。如《四川省数据条例》第26条第3款、第38条均将公共利益明确作为数据处理活动的一项限制理由。公法上可携带权的行使往往需要国家机关开展个人信息数据处理行为,以实现个人信息数据的转移和流动,这些规范中的公共利益条款都可能间接对该权利的行使构成限制。从规范内容和模式来看,上述规范文本与宪法第51条一致,采用的都是一般公益条款或概括公益条款,即在明确将公共利益作为限制理由的同时,并未对何为公共利益、损害公共利益的认定标准予以阐明。在此种规范基础之下,由于不确定法律概念“公共利益”存在扩大解释的风险,且容易带来“公共利益优位论”的简单结论而牺牲少数人的利益,无疑会极大地限缩公法上可携带权的行使空间。因此,对这一限制条件必须予以限制,可遵循以下要求:
第一,借鉴区分式法律保留理论升级公共利益限制条款。为避免公共利益条款被泛化和滥用,明确应由立法机关制定法律后,公共利益才能成为限制公法上可携带权的理由,这是法律保留原则的基本要求,且此处的法须为具有民主正当性的立法机关所制定的法律,方可对公法上的可携带权形成限制。尽管个人信息保护法第10条和数据安全法第8条满足此位阶要求,但仍存在限制过于模糊的问题。一般而言,公共利益限制条款存在概括式立法例和区别式立法例两种模式,我国已有规范文本多属于前者,后者需要区分不同权利属性采取差异化的限制规定,德国《基本法》即是采取此种立法体例,属于更为精细化的立法模式。因公法上的可携带权属于柔性权利,在不同场景下会随着公共数据的开放程度不同而具有不同的请求强度,因此不宜采取“一刀切式”的限制,而应引入区别式立法模式。建议在我国未来的个人信息和数据立法中对公共利益限制条款进行升级改造,摒弃一律采用“不得损害国家安全、公共利益”的概括式规范表述,借鉴区分式法律保留理论,对公共利益限制条款进行精细化设计。具体而言,针对“不予共享类”政府信息资源,由于此时公法上的可携带权处于相对“弱请求”状态,规范密度也可相应减弱,可由立法进行概括性限制或授权下位法进行限制。针对“有条件共享类”和“无条件共享类”政府信息数据资源,公法上的可携带权则处于“较强请求”和“强请求”状态,规范密度需提升,建议借鉴加重法律保留模式,由相关法律对于公共利益可否限制、限制的条件和方式作出明确规定,或在授权下位法进行规定时,借鉴宪法第34条、第37条第2款和第40条的模式,为下位法基于公共利益限制可携带权的规定进行限制。以明确在何种情形下公益优先于私益,做到“公共利益的具体化”。
第二,以比例原则优化公共利益限制条款及其适用。法律保留原则本质上是完成公共利益限制条款目的正当性的工具,也被视为公共利益的形式标准。这一工具的运用与权利限制目的实现之间是否妥当,需要引入比例原则予以调适,以实现公共利益限制条款“正当地限制基本权利”。按照比例原则的一般理论,在完成目的正当性的考察后,应从妥当性(合乎目的)、必要性及均衡性(未过度侵犯)三个步骤来完成比例原则的分析。引入比例原则后,对公法上可携带权的限制问题具有了一定的思考程序,且能够有效避免过度限制基本权利。具体而言,比例原则可在立法裁量和行政裁量两个层面对公共利益限制形成约束和限制。一方面,在涉及公法上可携带权的立法方面,公共利益限制条款本身对于立法目的实现的过程,应在目的与手段之间符合比例原则进行三重检视。另一方面,在行政机关面对相对人行使公法上的可携带权时,适用公共利益限制条款限制该权利行使,对行政权力进行目的和手段的审视。在比例原则的三重检验中,妥当性和必要性较为客观,也相对容易,价值衡量的重担往往落在第三步均衡性判断上,均衡性本身在性质上也具有价值判断的特点。为了提高比例原则适用的可操作性,对公法上可携带权公共利益限制的合比例性判断,可引入一般公益和绝对公益的分类标准,以明确均衡性的衡量标准。绝对公益是社会所普遍承认的公益,具有独立的社会价值,面对社会变迁和国家任务的变化具有相对的稳定性,如国家安全、公共卫生、国民健康就属于此种,一旦公法上的可携带权涉及绝对公益,对其限制就成为必要,反之则无必要。
(三)基于第三人保护的限制
由于基本权利之间不可避免会产生相互冲突的情形,为保障客观法秩序,除了增进公共利益之外,亦需防止个人信息可携带权妨碍第三人的权利和自由。相对于公共利益的抽象和不确定性而言,第三人保护的限制主要针对公法上可携带权与第三方之间的权利冲突,具有明确的指向性,更为具体,相关限制分析也将直接围绕具体权利法益冲突而展开。此外,由于个人信息可携权在国家机关间行使的场景既存在涉他数据中的第三方信息个体,也存在作为第三方的处理个人信息的国家机关,二者需要保护的权利法益亦存在内涵和类别的差异,在划定第三人保护限制的边界时也应予以考虑。总体而言,基于第三人保护的限制也应由法律予以规定,并对基于第三人保护的限制进行手段与目的的合比例性分析,以满足法律保留原则和比例原则的要求。具体而言,主要存在以下几个方面的限制。
第一,以不侵犯第三方信息主体的隐私权为限。公法上的可携带权极大提升了数据流通的价值,但个人信息主体一次性下载或移转个人所有信息数据中,不可避免会存在与第三方信息主体的个人信息数据的粘连,即前述大量被归入客体范围的涉他数据。为保证公法上可携带权行权的实现与效能,国家机关个人处理者难以针对涉他数据中的第三方逐一进行知情同意的确认,因此在个人信息携转过程中就可能会损害第三方信息主体的隐私权或数据权益。实践中,为规避由此产生的信息合规风险,个人信息处理者可能通过用户协议、隐私政策等方式来获取第三方对他人转移其个人信息数据的同意,这实质上削弱了个人对其数据的控制权,与个人信息可携带权的制度目的背道而驰。为有效平衡数据流通的便捷性与隐私保护之必要,可考虑引入目的拘束原则。即遵循法律保留原则,由法律明确规定若公法上的可携带权的行使并不改变数据收集的原始目的,便可不获得第三方的同意,反之则应取得第三方的同意。如此,既可以满足不得侵犯隐私权或个人数据权益的限制,又能合理地实现权利之间的兼容,也满足了法律保留原则和比例原则两个维度对限制的限制。
第二,不得对第三方信息主体的被遗忘权造成不利影响。在个人信息数据移转实践中,可携带权与被遗忘权之间也存在相当的张力。根据《条例》第20条第3款之规定,个人信息可携带权的行使不得对被遗忘权造成影响。根据该款规定,个人信息携转请求的提出,并不意味着自动触发个人信息数据从个人信息处理者的系统中的删除,并且也不会影响已经用于移转或传输的数据的原始保护期。如在个人面向国家机关发起个人信息数据移转情形下,之前收集、留存其身份证照信息数据的国家机关并不能直接删除个人信息数据,该国家机关必须继续保留数据,除非个人主体要求将其信息数据全部删除。为保证所有个人信息主体能够充分行使公法上的可携带权,个人数据与涉他数据不可分割的部分数据可能会被阻止删除,因为个人主体行使这一权利时,亦不得损害第三人的权利和自由。
第三,不得侵犯个人信息处理者的数据财产权。网络化数字化时代的个人信息兼具人格和财产的双重属性,个人信息权也是一种新型的综合性权利,对个人信息主体的人格利益和财产利益要予以综合保护。作为个人信息权利束中的个人信息可携带权也符合综合性权利的特征,有学者将其涉及财产利益保护的部分定位为一种对数据的准所有权,属于针对特定的个人信息数据持有者或处理者非对世权或非绝对权。根据张新宝教授所提出的数据财产权确权的“人财两分”理论,个人信息数据处理者通过大数据技术加工、规模处理等方式让个人信息数据实现无限增殖后,个人信息数据即具有再利用成本低而初试生产成本高的特点,应当确认其数据财产权,这是一种具有对世性和一定程度的支配性、排他性的权利。若衍生数据、观测数据已经具备相当的经济价值和商业价值,并确认为作为个人信息处理者的国家机关的数据财产权时,非对世性的个人信息可携带权在行使过程中应尊重此项权利,以不侵犯个人信息处理者的数据财产权为限。
结 语
有学者曾将个人信息可携带权比作数据孤岛之间的“一叶扁舟”,这一比喻形象地道出了该新型权利在数据共享、互联互通中的独特价值。面向我国数字政府建设进程中的数据孤岛问题,如何发挥这“一叶扁舟”矫正不平等信息权力关系、促进联结、互操作性的积极效用,对于构建互联互通的数字政府具有重大意义,值得特别关注和深入研讨。“现代社会与传统社会最大的区别就是对个人权利的保护,而个人信息又是个人权利的核心因素。”在数字技术飞速发展的当下,个人信息权利的研究意义深远,对个人信息权利束中的各项权利展开全面研究,尤其是在已有私法研究基础上拓展至公法研究视域非常必要。本文对公法上个人信息可携带权的研究只是一个初步的探索和尝试,希望本文能够展现出公法上可携带权的法治价值,进一步丰富该项新型权利的内涵,更期待它能够得到实际的运用,成为一项实实在在的公法权利。
