行政法视角下个人信息权利束的保障

行政法视角下个人信息权利束的保障

董佳伟

西北政法大学

【摘 要】自2021年11月1日《个人信息保护法》实行以来，我国在个人信息保护领域迈出了巨大的一步，为了进一步更好的保护个人信息相关事项，进一步推动个保法的充实与发展，在此有必要了解“个人信息权力束”的概念、界定其法律性质，厘清侵害权利束的法律责任、统一私法保护手段与公法规制。传统意义上的个人信息受到侵害的保护主要依赖于私法救济，需要依靠受到侵害的当事人向法院提起诉讼。对于个人信息权利束来说，在界定清楚其不属于传统意义上的民事权利或者权益之后，就需要探究如何才能寻找到保护其最适合的方法，这也是本文想要以公法视角下所要寻求的突破口。

【关键词】个人信息；个人信息权利束；法律性质；私法救济；行政监管

一、引言

根据《民法典》1034条的规定：个人信息指的是以电子或者其他方式记录的能够单独或者与其他信息结合起来的能够识别特定自然人的各种信息，例如自然人的姓名、身份证件号码、电话、住址等信息。对于个人信息的处理必须遵循合法、正当、必要原则，不得过度处理。对于个人信息的侵害，可以使用侵权责任编的规范来最终追责个人信息处理者的责任。对于个人信息权利束来说，其与个人信息的关系就好比物权这一本权与物权受到侵害时所衍生出来的物权请求权一样，它们二者之间是原权与次生权利的关系。如上述所说，个人信息最主要的特点就是可以单独或者结合起来去识别一个特定自然人，其包括各种各样的信息。而个人信息权利束好比就是个人信息所延申出来，在面对“个人信息处理活动中”所自动激发的诸如知情权、决定权、查询权、更正权、复制权、携带权、删除权等权利。面对侵犯个人信息行为的时候，我们可以采用私法救济的手段去维护自己的权利，但是在面对侵犯我们个人信息处理活动的权利的时候，我们应该采取什么办法维护自己的权利呢？对于这一问题来说，摆在我们面前的第一个问题就是如何去界定个人信息权利束的性质。只有界定清楚其性质何为的时候，才能在救济手段中有所反映。根据《个人信息保护法》第66条的规定：违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。上述适用的都是行政法上的行政处罚措施。同时根据《民事诉讼法》第50条的规定：个人信息处理者拒绝个人行使权利请求的，个人可以依法向法院提起诉讼。对于上述所说的侵害个人在个人信息处理活动中的权利的保障机制的适用最终是要回归到对于权利束的性质界定上来，只有明晰了这一问题之后，才可以探求出一种行之有效的保护机制。

二、个人信息权利束法律性质的界定

对于法律规范来说，概括其特征大致可以分为如下几类。第一种，强制法。即对于某一领域或者某一类法律关系来说，法律在此构建了事先的强制性规范，在某一领域或者某种法律关系中完全不容当事人意思自治。第二种，权利法。在这种类型的法律规范中，其奉行的就是尊重当事人意思自治，只要法律不禁止的，当事人就有自由处置的权利。第三种，保护法。在这类法律规范中，其主要发挥的就是最大程度保障当事人的权利不受侵害并在遭受侵害的时候可以及时的得到国家、社会或者其它组织的救济，这类规范就如我们耳熟能详的《消费者权益保护法》、《个人信息保护法》等。对于“保护法”性质的个保法来说，其既然属于这一框架之下，自然而然的要遵循这一规范的大前提，就是发挥好国家、社会或者组织对于个人信息保护的救济机制。对于本文所要说明的个人信息权利束的保护机制也不例外，同样需要依“保护法”的规范来构建。

在现代社会，随着互联网、物联网、5G技术、数字科技等产业的快速发展，可以说我们每个人的日常生活都与信息息息相关，现代社会就是一个由信息所构建的社会。在这一社会中谁控制了信息，谁就可以取得超越常人的财富与社会地位，因此这也就催生出了很多违法收集个人信息，滥用个人信息的行为而且个体为了在这一信息社会生存下去势必多少都会让渡自己的部分个人信息出去。长此以往下去必然就会导致信息收集者一方处于绝对优势地位，而信息享有主体处于绝对弱势地位。鉴于此种情况的出现，《个人信息保护法》就应运而生。究其本质来说，此法的立法目的一开始就是在于纠偏这种不公平现象的出现，发挥“保护法”的效用，让监管部门、国家在个人信息保护领域扮演重要的规制角色。

首先，可以简略谈一下从民事权利角度看待个人信息权利束的弊端。从民事权利角度来看，既然是权利其就是私主体所必须享有的，不能被任何组织、机构、个人非法剥夺。既如此，此种民事权利下构建的个人信息权利束将会影响到有关信息处理者、收集者对于信息处理规则的制订从而导致信息流通的阻碍。普通民众在面对对于民事权利下的个人信息权利束的侵害，往往由于双方实质不对等的地位不能切实有效的拿起法律武器来维护自己的合法权益。而且就算拿起法律武器通过民事诉讼去维护自己的合法权益，其诉讼周期长、取证困难等因素也会进一步加重受到侵害的当事人的负担。况且在实践中，当事人对于知情权、删除权、复制权受到侵害为由去单独提起一个诉讼，是很难想象的。就算有这样的诉讼存在，其都是个案化的处理，并不能从根源上解决侵害行为的发生，不足以应对在信息社会持续性存在的各类侵害个人信息权利束的行为。从基础来说，在民法上也没有个人信息权这一概念的出现，其规定的也就只是个人信息受法律保护这样的字眼。而且在《个人信息保护法》中，也规定了监管机关对于一些侵害个人信息的处理活动来进行处理并没有说到由司法机关来介入处理。退一步来讲，就算其为一种民事权利，可以向法院提起诉讼，那么诉的利益何在？是否可以自由处分，是否可以适用和解、司法资源的配置如何都是需要进一步考虑的问题。综上所述，对于以民事权利视角来看待个人信息权利束会遭遇到许多力所不逮的情况。

其次，对于以民事权利视角看待个人信息权利束的弊端，必然需要从一个新的视角来界定其性质。从公权力视角来看待问题就是一个不错的选择。就如从前述“保护法”规范来看，《个人信息保护法》的制定目的就是在于去平衡信息收集者与个人之间的矛盾，保护处于弱势的普通公民一方，防止个人信息被收集者不当收集并滥用，造成个人的合法权益受损。正如前述所说，对于个人信息的保护，依赖于个人对于民事权利的维护无论是从个人维权意识的不同还是司法资源的配置方面亦或是个案处理结果不能延申到整个个人信息保护领域来说都是不现实的。在这样的一个信息化的社会中，“授人以鱼不如授人以渔”，让公权力去发挥其应尽的义务，而不是寄希望于通过个人对其权利的维护来达到一种普适性的保障手段（上述说的弊端的展现）。对于个人信息权利束的保障之所以需要公权力来规制其原因就在于，个人与信息收集者之间天生的不平等的地位，就需要国家制定并维护一个切实有效的信息规则，对个人提供组织与程序的保障、监管与执法的保障。

最后，对于个人信息权利束的界定意义不仅在于厘清其法律性质为何更重要的是提出了其工具权利的性质。正是因为我们普通民众在面对个人信息处理的时候具备工具性的权利（可用可不用，随时隐而待发），才可以反推立法者与监管者去如何保障这一工具性权利的最大效用的发挥，维护个人信息处理过程中的透明、合法、公正、适度。在一定程度上公权力的提前介入，面对这一权利束引起的一系列问题都可以对其起到公正、快速、普世的解决。例如，相比较于个人维权难的问题，公权力的介入可以极大程度省去个人的时间与成本，启动快速应对机制，还可以通过构建先验性的规则来预防个人信息风险，从源头治理，正本清源。

三、个人信息权利束保障机制的适用

根据上文所述，对于个人信息受到侵害与个人信息权利束受到侵害的保障机制是截然不同的，前者侧重于民事权利的救济，而后者在《个人信息保护法》中更侧重于公权力的救济。根据立法，在《个人信息保护法》中规定了第六章“履行个人信息保护职责的部门”与第七章“法律责任”。透过这两章我们就可以看出作为规制主体的行政机关在此法中所发挥的巨大作用。但同时我们也需要了解，目前对于个人信息保护的立法大多数条文还是框架性的，我们需要在现有条文的基础上去进行法律体系的解释才可以更好的发挥行政机关监管个人信息的作用。

个保法第2条明确说明：自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。在这里我们就要去思考，该条文是否包括政府机关。在面对诸如一些突发事件的时候为了公共利益的需要是否可以去适当的收集个人的相关信息。按照条文字面意思理解，其是包含国家公权力机关。还有就是再看到第二章中规定了“国家机关处理个人信息的特别规定”，这也就可以从侧面反映出对于公权力机关来说首先要遵循第2条的规定，但是在面对诸如一些突发公共事件的时候，就可以援引第二章的相关规定来支持自己公权力的行使行为。但是既然是政府公权力的行使，在行政法控权的大前提下就要遵循比例原则与正当程序原则，不能滥用公权力去过度侵害个人信息乃至个人信息权利束下的知情权、复制权、删除权、查询权等相关权利。所谓比例原则讲的就是如何将公权力的行使控制在一个适度、必要的范围内，不能让其肆意侵害民众本不应该被侵害的正当权益。按照现在通说的观点，比例原则最主要的三个内涵就是：手段的适当性、必要性、最小损害。将其适用到个人信息权利束的保障领域，就是要求行政机关在行使涉及个人信息相关职权的时候必须去考虑这样的行为是否是必要的，是否有其它手段可以替代。在有多种手段可供选择时候，要选择最优解的那个手段。最后还要考虑这样的行为一定要将损害降到最低。在如今这样的一个大数据、大信息时代，更需要有关机关在行使职权的时候将比例原则考虑在内。还有一个需要考虑的就是正当程序原则。所谓正当程序原则就是说在行使诸如这里提到的有关涉及个人信息权利束的相关行为的时候，一定要遵循有关程序例如有的行为要经过集体讨论、征求社会意见、有关机关批准等不能直接就作出决定。遵循正当程序的意义就在于程序的正当最终在一定程度上可以保障实体的正当，使得处理结果可以符合民众的合理预期。

目前，对于权利束的保障没有太多条文可以适用，但是从法解释学上来说个保法中的相关条文是可以类推适用的，这并不影响法律条文的构造性。就如个保法第32条规定的那样：法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其它限制、从其规定。对于权利束来说，其是个人信息在“信息处理活动”中的衍生品。其所包含的知情权、查询权、复制权等都可能与有关敏感信息相关联，对于处理这些敏感信息过程中产生的权利束更需要公权力的规制（保障个体对于敏感信息的知情权、查询权、复制权等）。就如我们经常使用的APP微信来说，在我们首次登陆微信的时候其会有一个隐私政策协议，我们需要同意之后才能正常使用微信。微信里面有着我们每一个人的日常交往所存储的相关信息，可以说很大一部分都是涉及到敏感信息。在此腾讯公司想要正常的收集、存储、传输这些敏感信息以及相关权利束的配置问题就需要取得相关的行政许可，这也会在其隐私协议中有所体现。对于行政许可来讲，其一个特性就是具有授益性。对被许可的行政相对人来说，其就可以在某一领域从事某种特定的行为，在一定程度上获得了某种“特权”。因此，无论是对于任何一个领域的许可还是这里所讲的“敏感信息”的许可，都需要严格审查行政相对人的申请，在公平、公正、合理的基础上做到严格把控行政许可的批准。

最后需要谈的也就是文章开头所提及的《个人信息保护法》第66条所规定的一系列行政处罚措施。其规定了对于违反规定处理个人信息的可以给予责令改正、给予警告、没收违法所得等多种行政处罚措施。相比较于传统意义上的侵权责任的救济，采取行政处罚毫无疑问可以在最大范围内规制社会层面一系列违法处理个人信息的活动，提高违法成本，实现法律的威慑作用。之所以法律在这里如此规定肯定是与保障的法益相关。就如上文界定的那样，权利束并不是传统意义上的民事权益，其更多发挥的是国家对于个人信息处理活动所构建的“规制秩序”的组成部分。因此其在某种程度上就需要发挥一定的强制法作用，对于权利束的侵害行为，在某种意义上来说就是侵害公法秩序的行为，必须要有公权力介入来规制。但是在目前，在实践中对于权利束性质的认识仍然是停留在私法性质上的认识，对于很多案件都是按照民事诉讼来解决。若是长此以往下去势必会导致该66条条款的边缘化适用，其规定出来也就不再具有现实的意义。除66条之外，该法69条还规定：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。第50条：个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。这两处条文的存在并不是为了与66条相互矛盾而是为了可以与66条相互融合。对于权利束侵权的问题，一直就有着私法与公法的两种不同处理意见。在个保法中，同时规定50条、69条与66条，其目的还是要从保护法的视角来看。在个保法中规定了立法的目的、对于公法秩序的维护、履行保护职责的组织、行政程序、执法措施与相关行政法律责任，那么就要发挥其公法规制作用。在面对具体情况的时候，首先肯定是要适用66条规定的一系列行政处罚措施，在穷尽可能的行政法上处罚措施之后，若是还有损害不能填平的，就要将69条与50条结合起来进行兜底，切不可认为50条的存在就是为了将对于权利束的侵害直接连接到民事侵权诉讼上。50条的存在目的就是在69条的作用下，起到最后的保障机制，符合立法救济的目的，保障行政监管措施的更好发挥。若是对于66条之下的权利束的侵害还导致了具体个人信息权益的损害，则就需要69条与50条一起发挥作用。其实也就是相当于在立法之中衔接了多种救济措施，来保障个人信息信息权利束以及个人信息权益不受侵犯。

四、结语

对于权利束的定义，其是在国家保障个人信息处理活动的产物，不仅要保障具体的个人信息权益不受侵害，还要保障其延申出来的，可以追溯到信息处理活动的权利不受侵害。相比于私法规制下的对于个人信息遭受侵害后的事后救济，对于权利束的救济相当程度上就是事前救济，因为在公法规制的作用下，完全可以事前就去通过一系列条文的完善，去平衡信息收集者与个体之间的紧张关系，提前做好预案，当然即便是在受到侵害之后，也比单纯的适用私法救济那一套事后救济来的更加具有效率与普遍使用。相比于私法救济的事后性、个案性、制度成本高、司法资源紧张与诉求不断增多的特点。在个保法中构建公法救济无疑可以最大限度地降低接近司法正义的成本、缓解案多人少的局面、提高法律适用性、更好地维护个体的权益，平衡信息收集者与个人之间紧张地关系，为未来制度的探索打好坚实的基础。最终在综合上述因素之后，结合个保法立法目的，我们在未来的个保法法律适用实践中一定要坚持行政先行的救济手段辅之私法救济手段来切实落实好个人信息保护的相关举措

参考文献：

[1]王锡锌.国家保护视野中的个人信息权利束[J].中国社会科学，2021，（11）

[2]蒋红珍.《个人信息保护法》中的行政监管[J].中国法律评论，2021，（05）