人之所以是人在于能群。
区分党内法规和党导法规有利于构建以宪法为统领的完整统一的中国特色社会主义法律体系——中国共产党依据党内法规管党治党、依据国家法律治国理政、依据党导法规领导国家和人民。一生都在全心全意为人民服务,毛泽东将党与人民的关系比作鱼与水的关系和种子与大地的关系。
作为领导党的中国共产党在国家法律之上是否就不受约束呢?否。法家能够实现集权动员的高效性和君主集权,君主集权之势成,则为君主专制独裁创造了条件。国民政府以三民主义为指导思想建国,居正是国民政府要员,自然要接受三民主义。党的领导的大一统是社会主义大一统,君主专制的大一统是封建主义大一统。他认为,若以诸法系之历史比较,则中国法系延长数千余年,较最古之埃及、美塞不达米亚等法系之寿命而犹过之,且影响于东亚诸国如朝鲜、日本、琉球、安南、西域者尤非埃及、美塞不达米亚等之局促一隅者可比,故谓中国法系为世界最大法系之一,谁曰不宜?[5]中华旧法系的地位是不容置疑的,正像中华古文明曾经长期领先于其他文明一样。
礼治的功用在于借其不同以显示贵贱、尊卑、长幼、亲疏的分别。以家庭为例,在封建家长专制式家庭中,家长遵守一套有特权的规则,天经地义可以以父为子纲,夫为妻纲来决定家庭成员的生活。正如有学者指出的,信息自决权不是法学意义上的权利,毋宁说是一种保护人格尊严的理念。
个人信息权利束的规制工具性质,以及个人信息权利束与个人信息处理规则的同构性,决定了对个人信息权利束的保障,应主要通过行政监管和执法机制展开,形成以行政监管为中心的保障机制。以个人的知情权为例,个人信息保护法第44条规定,个人对其个人信息的处理享有知情权、决定权。我国个人信息保护法专章规定了履行个人信息保护职责的部门,这既是国家积极履行保护义务的体现,也反映出个人信息处理活动中的关系结构所具有的行政监管特质。损害的扩容一旦成立,作为制度性保障的权利束也就当然应被纳入民事责任的视野中,这也是各类个人信息保护民法调整路径所隐含的逻辑。
将个人信息处理规则与个人信息保护权利束结合起来观察,不难发现二者之间具有内在的一致性。在欧盟监管机关看来,这些权利有助于使数据处理者可持续地、合乎道德(即保障个体尊严)地使用数据,有利于保障个人不受数据权力的支配。
在欧盟和美国有关个人信息的立法中,也都不存在具有独占性、排他性、支配性的个人信息权之概念。(一)从受保护权角度理解个人信息权利束 通过国家的介入来保护个人信息的规制路径,在欧盟个人信息保护立法的发展过程中体现得非常明显。《欧盟基本权利宪章》(以下简称《宪章》)第8条规定的是个人信息受保护权,其逻辑也正是从受保护的角度,而非自我决定的角度来规定相关权利的。GDPR和我国个人信息保护法所规定的个人信息权利束,都是围绕受保护权的落实而进行的赋权,是国家规制策略的组成部分,将这些权利称为个人信息受保护权利束,或许更为恰当。
这种受保护权所强调的国家保护机制,与民事权利行使主要依赖的平等协商、自治等机制有所区别。从权利的性质看,个人信息权利束是个人信息受保护权的具体化。个人信息承载的权益的性质,需要根据个人信息的内容来确定。相较而言,履行个人信息保护职责的机构所进行的监管和执法,无论事前事中监管,还是事后处罚,都可以在保护个人信息权益的同时,产生监管的规模效应。
王利明认为,从性质上看,删除权是基于个人信息权益而产生的权利,个人信息本身是由删除权、查阅权、复制权、携带权、更正权、补充权等一系列权能所组成的‘权能束,各项权能分别承担个人信息保护的特定功能,发挥着不同的作用。我国个人信息保护法第70条规定:个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
个人信息保护法第17条第1款规定:个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式。这种通过民事诉讼途径请求法院对个人信息权利束中的权利提供司法保障和救济的实践,在理论层面预设了个人信息权利束中的权利属于民事权益,在规则层面以个人信息保护法第50条为依据。
以监管为中心的个人信息权利束保障机制,并不排斥其他辅助性、补充性的保障机制。也就是说,在个人不能证明存在实际损害的情况下,仅仅因为个人信息处理者违反信息处理的程序性要求,个人不能获得起诉资格。在对这些条文的体系解释上,一般认为,针对侵犯权利束的行为,数据主体应当先通过投诉举报等方式,请求具备专业和功能优势的监管机构进行处理。为了监督监管机构切实履行保护个人信息的法定职责,个人也可以通过法定的投诉举报机制启动公共执行机制。个人信息保护法第47条关于删除权的规定,明显也是从行政规制的角度展开的。这些权利并非个人民事权利的逻辑延伸,而是国家为了履行个人信息保护义务,通过制度性保障赋予个人的工具性权利。
在调整个人—信息处理者不对称权力关系结构的保护法中,实现个人信息权益保护的目标,需要运用国家规制和民事救济等多元机制。正因如此,在个人信息保护的实践维度,无论对个人信息处理者的合规监管,还是对个人信息权利束的保障,都应以行政监管和执法为中心。
(3)违反合规义务的法律责任设计。真正意义上的自我决定的实现,有赖于规则、组织、程序等保障,而无法通过个人一己之力来落实。
例如,个人信息保护法第47条设定了个人信息处理者主动删除个人信息的法定要求,同时也规定个人有权要求处理者删除,这体现了合规监管和个人监督两种保护手段的功能互补。(2)个人信息应仅基于具体、明确之目的,且基于个人之同意或其他法律规定之正当基础,并以公平方式处理。
从规范逻辑角度看,个人信息权利束与个人信息处理规则具有内在同构性,个人信息处理者拒绝个人行使权利的请求的行为,同时也是违反个人信息处理规则的行为,故应当由履行个人信息保护职责的部门进行监督和追究行政法上的责任。保护法所体现的国家保护,目的就在于通过国家规制,确立不对称关系结构中的行为规则和权利义务配置。李昊认为,从个人信息被非法收集伊始,信息主体就会因对收集用途概不知情而陷于无尽的恐慌之中,精神上遭受极大痛苦,此类侵害权利束的行为直接导致了对个人信息自主价值和使用价值的侵害,这证成了个人启动权利束之权能的必要。进一步地,持本说的学者认为,对上述权利的保护,可直接依据人格权请求权提出请求或提起诉讼。
如果个人对监管机构作出的处理决定不服,或者监管机构对个人的请求未进行处理或回应,则个人享有提起行政诉讼的救济权利。国家通过设定个人信息处理规则,可以对处理个人信息的行为进行规范,对个人信息权益提供保护。
但是,这种宪法层面的理论,不宜直接作为个人信息保护法层面的个人绝对控制权之基础。这意味着,国家要通过制度、组织和程序保障等方式,对个人信息处理活动进行规制,而不是将这些问题完全交由个人与个人信息处理者进行自主处理。
应该承认,在个人信息保护法实施前,通过民事诉讼途径对个人信息权利束进行保护,有一定的现实原因,也发挥了相应的作用。个人信息具有交互性、社会性、公共性等特点,难以在民法所有权逻辑下成为具有排他性的、由个人支配的权利客体。
在规范逻辑上,违法处理个人信息(侵害权利束)的行为,可以直接激活公共监管和执法机制,监管部门应依法查处违法处理个人信息的行为。该条规定意味着,个人享有要求负有保护职责的部门履行法定职责的请求权,个人信息处理者对相应合规义务的履行,不仅要受到监管部门的主动监督,也可因个人向监管部门行使请求权而启动。个人针对侵害权利束的行为提起民事诉讼,应同时满足个人信息保护法第69条规定的侵权责任的成立要件,即个人信息处理行为不仅侵害个人信息权益,且已造成损害。这些处理规则直接回应了个人信息保护法第1条所设定的保护个人信息权益、规范个人信息处理活动之立法目标,构建了由国家主导、个人参与的个人信息处理活动的法秩序。
(二)对民事权利说的商榷 从保护个人信息权益的功能来看,将个人在个人信息处理活动中的权利理解为民事权益的权能,具有一定的合理性。个人信息权利束中的各项权利,与个人信息处理行为的合规要求相对应,是国家赋予个人参与个人信息保护任务的工具性、手段性权利。
首先,个人可以通过提起侵权责任之诉实现对权利束的间接保障。对于未来被侵权的风险及其衍生损害的担忧,是现代社会中个人普遍存在的感受,如交通安全、食品安全、空气污染等风险,都会导致人们的风险焦虑。
个人信息权益并非个人信息民事权利和利益的叠加,这不仅因为法律上并不存在个人信息权之概念,还因为个人信息利益最终要落实到个人信息所承载的人格利益和其他相关利益,如财产性利益。这一基本权利反射到国家一方,意味着国家应当履行个人信息保护义务。
留言0