该说不但在应对行政协议、行政指导、行政规划等传统行政活动时难以自圆其说,而且在需要有效解释私人行政、失信惩戒、行政约谈等新的执法方式时难以释放解释力。
[43]新《行政处罚法》关于委托依据的规定没有变化,全国人大常委会法工委的态度也没有变化。该行政委托显然是一种行政机关对社会组织的委托。
[88]参见《全国人民代表大会常务委员会关于授权最高人民法院组织开展四级法院审级职能定位改革试点工作的决定》(人大常会字〔2021〕38号)及其说明。基于行政机关间的代理仅产生实施行政行为的代理权,本文将代理称为事务委托。[67]人格化的行政机关的权利即权力、职责、义务的统一体,都指向作为或不作为。行政案件的可诉性早在新中国初期的法律中就有规定,[4]但真正的发展却源于改革开放的激发。[19]第二,特别法依据是否存在。
[48]参见门中敬:《论宪法与行政法意义上的法律保留之区分——以我国行政保留理论的构建为取向》,载《法学杂志》2015年第12期,第24页。《行政许可法》《行政处罚法》等法律在规定委托时,并没有明确行政职权的转移。由此,再次展现了个人信息权与个人数据所有权之间的区别和联系。
而从个人数据所有权的角度观察,则是通过信息的个人关涉性为个人数据所有权提供归属依据。与此不同,《民法典》第127条关于数据的规定并未处于人格权的规范脉络,而且将数据与虚拟财产并列等同以观,由此便为数据成为财产权的客体提供了规范依据。个人信息兼具私密性与社会性,后者在信息时代表现更为显著,而隐私只具有私密性。为此,本文首先分析此三者在权利话语中混乱无序的由来,并指明由此产生的规制难题及化解方向。
以此为基础,现行法关于个人信息和数据的定义,则进一步指明了二者之间的区别所在:《个人信息保护法》第4条第1款等规定个人信息应以电子或者其他方式记录为形式要件,而《数据安全法》第3条第1款将数据界定为以电子或者其他方式对信息的记录。二是个人信息权只是一种框架性权利,个案中仍然可以通过权衡的途径将特定的利用行为排除在权利侵害之外。
其中,最为重要也是最为基础的问题莫过于,究竟应当如何在隐私、信息与数据这三者之间作出清晰的界分?进一步而言,隐私、信息与数据之上究竟承载着何种权利,其彼此之间的联系与区别又究竟何在?面对这些传统法秩序面临的重大挑战,计算法学应当锐意进取,积极建构数字时代个人权利的规范体系,以利于数字时代法律的妥当适用。其实,将个人信息从隐私中独立出来,不意味着不保护,只是不再按照隐私的标准去保护,同样要在个人信息自决权下得到信息主体的同意才能对个人信息进行利用。如此,从作为权利客体的信息与数据的层次区分,便形成了数字时代信息与数据上个人权利的二元构造。与此不同,个人信息并不等同于事实状态本身,而是以对事实进行表达的信息形式存在。
具体而言,隐私、信息、与数据分别处于事实层、描述/内容层和符号层,三者之上分别成立以消极防御为内容且保护相对严格的隐私权、兼具消极防御的保护与积极利用的信息人格权和数据所有权。若以此层次区分作为基础和分析工具,可以积极应对数字时代兴起的诸多疑难法律问题,推动数字经济健康有序发展的同时,实现计算法学理论的科学化。比如在头腾大战的民事裁定书中,同时出现了个人信息个人数据敏感信息用户数据用户信息用户个人信息等数据用户个人信息等多个术语指称同一内容的混淆。据此便可以将隐私、信息、数据划归权利客体,而三者之上存在或者可能存在的隐私权、个人信息权与个人数据权则属于权利本身。
以知情同意权能为例,同意行为究竟是行使个人信息权还是个人数据所有权,取决于所授予权限的具体内容。二、数字时代权利话语中隐私、信息与数据的混序 信息技术的迭代发展引发了经济社会的深刻变迁,影响了几乎所有活动领域和所有人的日常生活,隐私、信息与数据已成为理论界持续关注和反复讨论的重要议题。
但必须特别强调,个人数据所有权虽名曰所有权,但并非存于有体物之上具有绝对支配、排他效力的传统所有权,在结构上与个人信息权具有同构性,也属于一种框架性权利。2017年的《民法总则》则从正面确认了隐私权这一具体人格权类型,随后2020年的《民法典》人格权编又对隐私权细化为1+3模式。
为此,学者不免花费大量笔墨和篇幅澄清主题与问题,由此所生观点可谓五花八门,难以达成共识。然而,个人信息权与隐私权的区别也至为明显。严格说来,数据是否具有个人关涉性并不取决于数据本身,而是取决于其所承载的信息,所以通常只有承载个人信息的数据才属于个人数据。据此,个人信息主要包括但不限于自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。而所谓信息(Information),依其字面意思是指某个客体给观察者所留下的印象。由此可见,某一受法律保护的地位要想成为权利往往并非易事,有着一个权利化的发展过程。
而在将私密信息以外的隐私定性为事实状态本身,并认为个人信息包括(但未必限于)对事实状态的描述以后,便不难发现,隐私与个人信息并非简单的平面式交叉关系,而是在立体上处于完全不同的层次。比如在《民法典》编纂过程中,便存在两种截然对立的观点。
所以第127条虽然看似单纯的宣示性规定,但其意义却不仅限于立法的有意留白,而是揭示了数据之上的财产利益及其受法律保护的地位,从而为在现行法上建构数据财产权的规范体系和将来的数据立法提供重要指引。如此一来,便无法为数据企业创设在适当范围内具有直接支配和排他效力的数据权利。
三是旨在对结论予以呈现和整理的表述问题,与此对应的是秩序概念(Ordnungsbegriffe),其通常是学术积累和建构的产物,但在例外情形下也会由立法者直接确立。尽管个人信息可以被商业化利用,但这不过是人格权所包含的财产性内容,并不改变其属于人格权的基本定位。
对于隐私和个人信息,因不同国家的传统和保护模式不同而存在不同的话语体系。但在《个人信息保护法》施行后,因为该法对于个人信息权的范围作有限定,而且增设不少强化保护的规定,那么《民法典》关于隐私权的规定能否优先适用,还应结合具体规定作进一步甄别。个人信息因此具有社会属性,其现实基础在于信息由个人生产却脱离其控制。这种将观察者引入定义的做法看似消解了信息的客观性,但若严格区分潜在信息与事实上的信息,并将信息的概念主要限于前者,便可以消除其中的矛盾。
(一)隐私、信息与数据三者混序的渐次生成 之所以产生隐私、信息与数据三者混用的乱序,其原因有二:一是,信息技术的迭代发展打破了以往只存在隐私及其权利保护的单一化秩序。《民法典》总则编第111条第1句和人格权编第1034条第1款均规定个人信息受法律保护,由此至少可以确定的是,个人信息之上存在一种受法律保护的地位。
简单讲,信息不是为了保护而存于世间的,相反恰恰是为了利用。只有隐私权规定在保护程度更强时才能优先适用,否则便应适用有关个人信息保护的规定。
就此而言,个人信息权与个人数据所有权的区分并不是对现实世界的单纯再现,而是以信息与数据的区分为基础对个人权利在规范世界的技术性建构。这一概念最先见于修改后的《妇女权益保障法》,而《侵权责任法》第2条第1款则首次在民事基本法层面从保护对象的角度规定了隐私权。
虽有学者注意到二者的概念区分,但对于法律理论与规范体系因此所受影响,却还应再作探究。第二阶段是直接承认隐私为一种独立的人格利益。再回到应否在个人信息上为个人设权的问题。将信息与数据不加区分地混为一谈,还导致在权利设计上顾此失彼,使得相关人格权益与财产权益纠缠不清,最终无法清晰回答数据能否成为财产权客体这一数据财产权构建的关键问题。
表1 隐私权、个人信息权、个人数据所有权的差序格局 作为计算法学的秩序概念,隐私、信息与数据三者均具有体系构造与规范适用的双重意义,其所涉论题并不限于数字时代个人权利的规范体系,还有更为广阔的应用空间。尤需回应的是,在个人信息上设权并不会对信息的利用造成阻碍。
主客体二分的世界观构成了整个法秩序的出发点,传统权利理论也由此展开。最后进入权利本身,对隐私、信息、数据三者之上所承载的个人权利加以证成,再造数字时代个人权利体系的差序格局。
私密活动也可以称为私密事务,属于动态隐私的范畴,指不愿为他人所知(隐)且与他人利益、社会利益无关(私)的活动,主要包括个人的家庭生活、社会交往等事务。对于此三者,使其各安其位,才能各展其才。
