薛祀光、陈顾远、居正、张晋藩、武树臣、马小红都不同程度地肯定道德至上作为中华法系的根本特征,杨鸿烈甚至于将此作为中华旧法系的定义。
例如,我国《宪法》第8、130条分别规定,参加农村集体经济组织的劳动者,有权在法律规定的范围内经营自留地、自留山、家庭副业和饲养自留畜,被告人有权获得辩护,其中的权具体指称的虽是权利,却是在权利权力共同体意义使用的,是以可指称权利权力共同体的名词,具体指称作为其组成部分的权利。这应该算是我国法学界众所周知的状况,此处就不做援引、论证了。
提出法学是权之学,意在修正将法学看作权利之学或权利义务之学、把权力结构性排除在基本研究对象之外的传统法学基本研究对象观的偏颇。相对而言,表现出这种学派倾向的日本法学家数量显得最多,奥田义人和更晚一些在汉语法学界很有影响的美浓部达吉的有代表性的基础性法学著作或教材,采用的都是以权利义务为核心范畴的体系。再如,一些脱离法治原则,片面贬权力褒权利的提法应修正。无论如何,权力是当代中国以宪法为基础的法律制度和法律实践中理论、逻辑地位与权利平行,实际地位和经济政治功能甚至比权利显得更为突出的客观事实。法学实质上应是研究如何通过制定和实施法规则以实现权及其体现的利益、财产的公平分配,并促进权的总量进而利益总量、财产总量最大限度的保存和增殖的学问。
当代中国法学应以什么为基本研究对象和相应核心范畴?对上述问题,我国法学界可谓自20世纪初年以来就一直众说纷纭、莫衷一是。[27] 邱汉平:《法学通论》,商务印书馆1937年版第87—116页。第五,即便按照民事权利的逻辑由个人行使人格权请求权提起民事诉讼,在国家机关为履行法定职责而处理个人信息的情况下,个人并不能针对国家机关处理个人信息的行为提起民事诉讼。
欧盟2018年实施的《通用数据保护条例》(以下简称GDPR),正是欧盟为了落实《宪章》第8条规定的个人信息受保护权而进行的具体立法。我国个人信息保护法第70条规定:个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。民事诉讼救济机制对同一种权利在不同场景下的差别对待,在逻辑上难以自圆其说。其次,将个人信息权利束理解为个人信息权益的权能,同样值得商榷。
人人均有权查询其被处理的信息,并有权更正其个人信息。从个人信息处理活动的合规视角观察,可以进一步理解个人信息权利束的规制工具属性和功能。
此处所讲的一般人格权,主要指宪法层面作为基本权利的个人信息自决权,而宪法基本权利的请求权,并不必然是民事请求权。例如,个人可以依法向负有个人信息保护职责的部门投诉举报,如果监管部门不履行法定职责,或者个人对监管机构的处理不服,个人有权依照行政诉讼法等法律向法院提起行政诉讼。据统计,2018年5月GDPR实施以来,截至2022年5月,各国监管机构对GDPR框架下的违规行为实施了至少1093次行政罚款,罚款金额总计超过16.35亿欧元。结语 现代社会的个人信息处理行为都具有大规模、系统化、持续性的特点。
这些工具性权利与个人信息处理规则在内容上同构,二者共同构成个人信息保护的规制秩序。其实,已有民法学者注意到上述问题。如果将个人信息权利束理解为个人信息权益的权能,首先需要分析个人信息权益的构造。如果个人信息处理活动既违反了权利束对应的合规要求,也给个人民事实体权益造成了实际损害,个人可以提起民事诉讼请求损害赔偿。
以行政监管为中心,并不排斥民事诉讼等私法救济途径。因此,个人信息保护法第50条中的依法,指的就是依照个人信息保护法行政监管和保护的逻辑,由负有个人信息保护职责的部门对违反合规义务、侵害个人信息权利束的处理活动进行监督和处理。
《宪章》第8条规定了个人信息之保护,其第1款至第3款分别规定:(1)人人均享有个人信息受保护之权利。在规范适用上,从GDPR的规定来看,个人信息保护的救济权包括向监管机构投诉的权利(第77条)、对监管机构提起行政诉讼的权利(第78条)、对数据处理者提起诉讼的权利(第79条),以及主张损害赔偿的权利(第82条)。
与之相比,个人提起民事诉讼的情形极为少见。因此,将个人信息权益仅仅理解为民事权益,并由此将个人信息权利束作为其权能,在逻辑上不够周延。目前,我国立法对于个人代表公共利益提起诉讼的私人执行机制,尚无明确、直接的规则表达,该问题还有待学理上的进一步讨论。个人信息保护法第47条关于删除权的规定,明显也是从行政规制的角度展开的。个人信息承载的权益的性质,需要根据个人信息的内容来确定。保护法所体现的国家保护,目的就在于通过国家规制,确立不对称关系结构中的行为规则和权利义务配置。
无论GDPR,还是我国个人信息保护法,都在法律文件名称中突出了保护这一关键概念。但是,个人信息保护场景中的法律关系,仅仅依赖民事权利的保护逻辑,很难得到有效调整。
也就是说,在个人不能证明存在实际损害的情况下,仅仅因为个人信息处理者违反信息处理的程序性要求,个人不能获得起诉资格。在组织和程序保障层面,司法机构及民事诉讼程序,难以有效应对大规模的风险控制任务。
从功能主义的视角观察,在行政监管保障机制之外,引入其他有助于促进个人信息处理活动合规的保障机制和方式,具有目标—手段意义上的合理性,也可以在实证法规范的体系解释中获得存在空间。其次,在社会组织维度,以公益诉讼为代表的社会执行机制,对于行政监管机制具有重要的补充作用。
在公益与私益联系日益紧密的现代社会中,在一些法律实施存在不足、所涉法益重要且紧密关涉个人权益的领域,允许个人提起超个人利益之诉来维护法秩序、促进法律执行,具有一定的正当性。无论GDPR,还是美国信息隐私执法的实践,其保护机制都是以行政监管的公共执行为中心,个人提起民事诉讼要受到各种限制。以个人的知情权为例,个人信息保护法第44条规定,个人对其个人信息的处理享有知情权、决定权。二、个人信息权利束的受保护权性质 有民法学者提出,个人信息保护法是民法典的特别法,属于民事法律规范体系。
(二)个人信息处理规则与个人信息权利束的功能互补 个人信息处理规则与个人信息权利束在内容上高度同构,但这并不意味着,在规定了处理规则后,就无需再规定个人信息权利束。考虑到信息的物理和社会特性,法律难以在信息上设定一种具有独占性、排他性的支配权。
国家与个人角色互补,更有利于个人信息保护目标的实现。不过,需要注意的是,个人维护规制秩序的私人行动,也可能受到利己动机的影响,故私人执行只能是公法秩序维护机制的例外,其需经法律条款明确授权方可创设,并应限定在特定领域、特定条件之下。
从权利的性质看,个人信息权利束是个人信息受保护权的具体化。这是因为,国家保护需要国家设定规则并进行巡逻执法。
以行政监管为中心对个人信息权利束进行保障,是个人信息保护法内在逻辑的必然要求,其能够更高效地规制个人信息处理活动,更有效地实现保障个人信息权益和规范信息处理活动的双重目标。已有民法学者关注到了个人信息自决权的适用边界,认为自决权的概念主要适用于公权力机关侵害个人信息上基本权利的情形,在民法层面的适用空间较狭窄,若将其一般化地作用于所有私主体,将会导致对个人自由的过度干涉。规范个人信息处理行为,预防侵害个人信息权益的风险,主要靠国家建构风险规制秩序,并通过公共执行机制对规制秩序进行维护和修复。《宪章》第8条围绕个人信息受保护之目标建构的个人信息受保护权,以及GDPR关于个人信息保护权利束的规定,都体现了国家应当履行个人信息保护义务的逻辑。
例如,确立针对算法解释的诉讼权利,以减轻行政机构的监管负担、弥补行政规制的现实空白。(二)个人信息权利束是受保护权的具体化 个人信息权利束中的工具性权利与传统民事权利存在显著区别。
例如,吴香香认为,个人信息的查阅、复制、更正、删除等,均可解释为停止侵害、排除妨碍、消除危险的具体化,相应的权利属于人格权请求权中的消极防御请求权。此外,检察机关也可以通过法律监督的方式对监管机构依法履职进行监督。
个人信息保护法第17条第1款规定:个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式。首先,在个人信息权利束框架中,个人是权利的主体。
