首页 > 中国人权研究会 > 《人权》杂志 > 最新一期 >
作为宪法权利的个人数据受保护权

2022-01-20 13:52:18   来源:《人权》2021年第5期   作者:戴激涛
  内容提要:个人数据受保护权是大数据时代的重要人权,也是基于国家保护义务和人性尊严理论而产生的宪法权利,对于实现数字社会的公民身份具有特殊意义。考察世界各国的宪法文本,作为宪法权利的个人数据受保护权具有丰富的规范内涵,而实现个人数据受保护权的关键法治环节,在于国家立法机关根据宪法规范的委托积极履行对个人数据受保护权进行形塑和具体化的义务。结合基本权利保护的宪法原理,以制度性保障方式实现个人数据受保护权作为基本权利的宪法地位,首先应坚持立法机关遵循数据保护立法的合宪性原则。其次,应建立多层次的以个人数据受保护权为中心的数据保护法律体系。最后,应通过宪法解释方式不断完善个人数据受保护权的制度保障机制。

  关键词:个人数据受保护权 宪法权利 制度性保障 合宪性原则 宪法解释

  一、问题的提出


  2021年10月6日,一篇包含海外流媒体直播平台Twitch可公开下载的125G数据文件种子链接泄密贴被发布在网络论坛4Chan中,文件内容包含历代Twitch平台源代码、主播收入清单及亚马逊游戏工作室尚未发布的Steam平台竞品Vapor等。其实,早在2021年8月,Twitch平台母公司亚马逊就因数据泄露问题遭到卢森堡国家数据保护委员会(CNPD)的调查和高达7.46亿欧元的罚款。随着数字社会和人工智能的飞速发展,“数据泄露事件的数量正在上升,并已经给受影响的组织带来了极为严重的财政和法律问题”。目前,越来越多的人赞同,人类社会发展的数字化带来的“首要风险是,在防止其他侵权行为的过程中,使用数据可能会导致进一步的侵犯人权行为。而且,采集和使用某些数据的行为本身可能就侵犯了人权,特别是隐私权和知情权”。鉴于个人数据之于数字社会发展的重要价值,而宪法作为法治国家的人权根本保障书对个人数据受保护权具有优位性(“宪法的优位性即先于立法者及所有的其他国家权力,且使宪法成为所有国家活动之准则”),更重要的是,宪法肩负着“确定国家发展方向”、保持“国家整体秩序的安定性与稳定性”的特殊任务与重要使命,因此,从宪法层面探讨个人数据受保护权具有特殊意义。

  二、个人数据受保护权作为宪法权利的理论基础

  (一)基于宪法委托的基本权利国家保护义务

  根据现代立宪主义人权保障理论,国家制定宪法的目的就是通过国家组织法实现对其内部结构的制约和平衡,通过基本权利为其划定外部外界,从而保障社会的自我调控能够顺利进行。“制宪权属于作为所有公权力主体的国民,而宪定权属于人民通过立宪行为设定的机构。这些机构根据人民的委托并在人民于宪法中所规定的各种条件下行为,因此,它们不能擅自更改这些条件,否则就有可能导致整个制度格局的落空。这些机构只能以宪法为依据,并在宪法规定的范围内活动,因此,只有当其活动与宪法的规定相一致时,才能主张其行为具有法律约束力。”国家是公民权利保护的基本义务主体,“国家的行动就是维护各种权利”,国家存在和运作的根本目的,就是让生活在其中的每一个个体的权利和自由都能平等地得到以国家强制力为后盾的全方位制度性保障。满足人民的意愿和需求是国家存在的正当性基础,“国家是人民的事务。人民不是偶然汇集一处的人群,而是为数众多的人们依据公认的法律和共同的利益聚合起来的共同体”。特别是当公民权利面临威胁或遭受侵犯时,国家作为维护和捍卫人权的义务主体,必须承担起藉由国家权力确立的强制性秩序来实现公民权利保护的目的。正是在这个意义上,国家成为政治共同体成员所共享的法律秩序,“国家是一套约束个人之间彼此行为的规则,一种可以用下列要点来表明的秩序,它是一种强制的秩序,那就是说,它企图用强制措施来制裁所不期望的人类行为,从而实现所期望的人类行为。那就意味着这个秩序是一个法律秩序”。在这个法律秩序当中,国家权力通过合法化的路径确立和构建起共同体成员必须遵循、共同维护的规则体系,同时,国家履行保护人权的义务也必须仰赖制度化的、运转良好的公共秩序,“现代的人权本质上已不再是过去追求理想的指标或高挂壁上的标语,而是必须由国家权力、全体法秩序具体保障与实践的对象,这才是目前人权的重要本质与意义”。由此可见,现代国家负有保护作为独立个体的人之全部权利的义务,这既是国家存在的重要价值,也是国家行为的逻辑起点和终极目标。

  由于规范国家行为的宪法往往具有抽象性和原则性,对细节性、特定性的问题一般通过赋予立法者以法律形成的权力,即宪法与立法者之间的“宪法委托”关系,要求立法者履行按照宪法设定的路径和目标去创设和继续形成新的法律的义务,并借由对宪法的体系化解释来确定所要制定的法律的具体内容,实现立法对于对宪法规范的充分阐释之“内容形成”的功能。这就意味着,国家作为公民基本权利保护的义务主体,必须通过国家立法行为有效应对和及时解决数字社会出现的权力异化现象,明确其规范内涵与行使方式,确保该权力能够在法治轨道内运作并为公民权利发展和个人自由选择保留一定空间。有学者认为,国家履行对个人信息(数据)保护义务“功能主要在于对抗和缓解‘数据权力’对个人信息造成的侵害风险”。“是指政府对其辖区内数据生成、传播、管理、控制、利用和保护的权力,呈现公权属性”。数据权力天然地具有公权力的特点,因此通过国家立法实现对数据权力进行有效规制是现代国家应对数字社会风险、平衡复杂数据主体之间多元权益的重要途径。作为一种持续运转的强制性政治组织,国家是现代社会应对不确定风险而能够合法使用暴力、具有决定性的政治实体,也是合法地垄断使用暴力的宪法权力主体,国家应当义不容辞地对数据权力行使所可能带来的风险进行全面规制,“保护义务有助于正确掌握风险规定的行动方法和多元法律关系,以及为规范多元法律关系而运用的复杂决定形式”。同时,国家应履行维护有普遍意义的法律秩序的义务,特别是以受保护权为基点建构的主观权利论国家保护义务,有助于化解客观价值论国家保护义务的理论困境,展示了国家法秩序之下如何实现善治目标的国家价值,有助于为数字社会运转和发展提供可预期的法律环境,促进数据主体间的利益共享与互惠合作,以更好地实现宪法所规定的国家各项任务与目的。

  当下互联网信息技术的发展态势迅猛。“我们正迈入一个新时代,在这个新时代里,出现了新的架构,使我们规制的权力达到前所未有的高度。因此,我们有必要知道应当用这种权力去做些什么,并且更为重要的是,我们应当不用这种权力去做什么”。面对大数据时代的数据平台及国家机关所拥有的强大的“数据权力”,面对“数据权力”的行使者相较于公民个人对数据处理的优势地位,如果没有国家权力的积极介入并充分发挥其保护公民权利的重要价值,很难想象个人数据受保护权可以得到全面而有效的保护。“这样的权力结构,像不像站在一只望远镜两头对视的人:一方看到了对方无限放大清晰的像,另一方则只能看到一个极度缩小的黑点?”故此,实现个人数据受保护权与数据权力的大致平衡,对数据权力进行合理约束和审慎控制成为数字时代国家基于宪法委托履行人权保护义务的必然要求。

  (二)作为宪法权利体系核心的人性尊严

  人性尊严是作为独立个体的人之全部权利的核心,“人是第一重要的,其他的一切都是人的劳动成果”。同时,人性尊严也是构成一国宪法秩序的价值基础。“‘人权’——人民的基本权利,是表征人民拥有‘人性尊严’之谓。一个没有人权的人民,没有‘人类尊严’的人民,……是一个只是具有生命力之生物罢了。”理性主义是生命尊严的理论基础,“人可以基于理性而独立地自我规范、自我发展,形成及实现自己的生活及生命。这种能力就是人性尊严”。德国哲学家康德深刻而系统地论述了人性尊严:“一个有价值的东西能被其他东西所替代,这是等价;与此相反,超越于一切价值之上,没有等价物可替代,才是尊严。”康德非常强调人性尊严中的自治自决意涵,将个人的自治作为人性和一切有理性事物有尊严的基础,这就是“人是永远的终极目的”之本质含义。因为人具有理性的特质,所以在任何时候,人都必须是受尊重的对象。故此,作为宪法秩序价值基础的人性尊严的基本内涵是,人永远不能成为客体、工具或手段,“国家不能把人民(只是)当成其作用中之一种工具、手段或物品,人民要遂行其目的时,有其自治的‘自由空间’,尊严由此而生。”秉持“人本身即是目的”的价值理念,在宪法构建的公民与国家的公共秩序中,人先于国家而存在,人是国家存在的目的,也是国家运作与发展的终极价值追求,“共和国作为政治统治一个明确无误的客体,一直在热心于提高一种有价值的或令人称羡的人类生活质量”。为了使每一个个体都能够获得有尊严的体面的生活,国家应积极履行人权保护义务,使每一个个体都能不被作为客体、工具和手段,而是自始至终都能够被平等地视为有人性尊严的、独立自主的、不可替代的存在。“个人尊严具有最高价值,系人权保障的根据。凡是人,不论强者或弱者,其尊严皆应予尊重。”质言之,现代国家的全部法律制度都应从尊重和保护人性尊严开始,唯有如此,才能深刻理解认识国家存在的全部目的就是尊重和实现以人性尊严为核心的基本人权体系,“不论是被形容为上位之价值、规范或原则,人性尊严正以其一般化、抽象化之人权实质,有别于藉由具体之契约法及法律关系所形成之个别权利,成为社会生活、国家生活成立是否具有正当性之价值判断基点”。由此可见,维护和实现人性尊严是证成个人数据受保护权作为宪法权利的重要理论基础。

  在我国现行宪法文本中,无论是第33条所规定的“国家尊重和保障人权”、第37条规定的“中华人民共和国公民的人身自由不受侵犯”、第38条规定的“中华人民共和国公民人格尊严不受侵犯”,还是第39条规定的“中华人民共和国公民的住宅不受侵犯”、第40条规定的“中华人民共和国公民的通信自由和通信秘密受法律的保护”,均表明国家对公民的基本人权及作为公民基本权利的人格尊严既具有消极的不干预义务,同时也负有积极的保护义务,“在人类团体(国家)中,人性尊严与价值的自我实现和满足,是国家的任务之一,国家对人性尊严和人性价值有保障(消极)和促进实现(积极)的任务”。通过宪法的“人格尊严”条款,个人数据受保护权可“联结平等权、人权条款、人身自由、住宅、通信、社会经济文化权利等个人信息处理中涉及的基本权利……联结了宪法规范中的多种权益,难以为单一基本权利范畴所涵盖”。同时,强调个人数据受保护权是实现和维护人性尊严的内在要求,首先应充分认识到作为主体的人对与其相关的数据具有自主决定与自由选择的能力,国家对于实现和保障个人数据受保护权则具有义不容辞的责任。“‘尊重人的尊严’之原则并无例外可言,任何人均具有完全相同之尊严,而且无论在何时皆属平等,无质、量等差之分。”当数字社会中的数据权力运作可能对公民权利造成威胁时,就需要国家以制定法律的方式,以人性尊严为价值内核构建起个人数据保护的法律制度体系。

  (三)数字社会的公民身份

  随着数字时代的到来,公民权利保护作为数字社会治理应当首要考虑的目标追求,也是构成活跃在数字社会的独特个体即“数字公民”权利体系的价值基础。“当今信息革命的一个直接后果,就是人们的社会行为和日常交往都在不断地数字化,我们已不再是单一的‘生物人类’,而是赋有了‘数字人类’的新属性;人们每天、每时、每刻都会留下一串串的身份数据、关系数据、行为数据和言语数据,获得了新型的‘生物(数字)’二维面向”。数据不仅是人工智能与算法系统最基本的质料,是数字经济发展的生产要素,而且是多元社会异质主体实现信息共享的传播媒介,是“数字公民”彼此被识别、被验证、被追踪的独特代码和信息符号。数字公民不仅应审慎包容地应对数字产业发展带来的风险,而且应熟悉和理解国家数据法律体系,履行法律规定的相关义务以实现其公民身份。“数字公民用来描述那些在使用数字技术的过程中,能遵守相应规定并表现出适合且负责任的行为的人。”遵守相关规定并表现出负责任的行为是数字公民的基本要求,特别是行政机关、网络平台与信息技术公司等数据处理者可以通过数据挖掘和数据分析处理技术对人们进行精准识别,对个人的基本情况、活动规律和习惯偏好进行分析,进而提供个性化信息推送、专门订制和智能化服务,进而极大推动数字社会的高效治理。但与此同时,对个人信息、隐私权和知情权的侵犯带来的后果是非常严重的,甚至“在绝大多数的情况下,被数据技术所监视的对象甚至对整个过程毫不知情,他们不会感到‘被监视’,也不会觉察到自己的隐私被侵犯”。这种全然不知地被侵权,无疑将导致社会治理目的的异化,进而影响到国家法治秩序的平衡。因此,个人享有与其相关的数据受保护的权利应作为公民基本权利受到国家的保护,这既是数字时代个人自由自主意志的集中体现,也是实现个人获得自由全面发展的前提条件。

  首先,个人数据受保护权的本质是基于其公民身份的信息自决权。个人数据受保护权,简单来说,就是独立自主的人对于具有“可识别性”的数据进行完全支配和自由使用应得到保护的权利。根据欧盟《通用数据保护条例》对个人数据的界定,个人数据指的是任何已识别或可被识别的自然人的所有信息;一个可以被识别的自然人是指能够被直接或间接通过识别要素识别的个体,尤其是通过姓名、身份证编号、定位数据、在线身份等识别数据,或者通过该自然人的物理、生理、遗传、心理、经济、文化性或社会身份的一项或多项要素而得以识别。由此可见,个人数据与个人信息存在密切关联,对个人数据受保护权尤其应关注对个人信息的收集、使用和传播的控制问题。这是因为,个人数据受保护权的本质是个人由于其公民身份对基于其数据所形成的信息自决权应受到保护的权利,这种信息自决权对于实现自我价值和自我发展具有决定性意义。“倘若自然人不能基于自己意思自主地决定个人数据能否被他人收集、储存并利用,无权禁止他人在违背自己意志的情形下获得并利用个人数据,则个人之人格自由发展与人格尊严就无从谈起。”《欧盟基本权利宪章》第8条规定:“每个人都享有与其本人有关的个人数据受到保护的权利。这些数据必须因有明确具体的目的、获得相关人员的同意或在法律规定的其他合法事由的基础上得到公正处理。每个人都有权访问被收集的关于其本人的数据,并有权改正。这些规定被遵从情况的监管应由独立机构实施。”上述规定就鲜明地体现了个人数据受保护权衍生于独立个体的个人自主决定权之特质。

  其次,个人数据受保护权体现了数字时代个人作为“新的人性形态”的公民身份。宪法权利是个人作为一国公民,即国家宪法主体地位的直接体现,“宪法上的权利包含宪法所列举的人权、由概括性权利保障条款导出的人权,以及其他权利。人权范围界定容有广狭之分,惟当代一般将人权观念建立在‘个人尊严’或‘人性尊严’的基础上,强调人权乃人之为人当然享有的权利”。对于个人数据受保护权的宪法基本权利属性,有学者认为,“对欧盟法院判例法的考察表明,个人数据受保护基本权利的实质是一个比隐私权的实质更难以捉摸的概念”,其实这主要因为个人数据受保护权集中体现了数字社会时代“新的人性形态”的特征。根据国际标准化组织(ISO)的界定,“数据是以适合通信、解释或处理形式表现的可复制的信息”。我国《数据安全法》第3条规定,数据“是指任何以电子或者其他方式对信息的记录”。“从信息的本质来看,个人数据的概念包括关于一个人的任何种类信息的陈述。它涵盖了‘客观’信息,例如存在某种血液中的物质。它还包括某些‘主观’信息、意见或评估。”换言之,数据是形成个人信息的前提和基础,是数字社会人与人之间相互交往、实现沟通的新型媒介,更是社会治理共同体共建共享彼此信息的黏合剂。对于作为宪法主体的公民个人而言,要实现其在社会生活中的数据主体身份,既要求国家消极不干预公民对其数据权的支配和使用,还有权请求国家立法机关、司法机关和行政机关彼此合作、协力完成保障公民个人数据受保护权不被侵犯的宪法职责。尤其是当数据成为自然人通过人工智能、算法系统和互联网技术发展出的“新的人性形态”的身份识别要素时,如果不能确保其绝对的准确性,一旦出错,“造成的后果就很可能是骇人听闻的”。可想而知,国家如果遭遇数据治理困境,那么数字社会中被人工智能和算法系统所桎梏的“数据人”之个人自由和自我发展显然难以得到实现和有效保障。

  最后,明确个人数据受保护权的宪法权利属性是实现算法公平、数字正义和防范国家公权力滥用的客观要求。“对个人的最终保护必须建立在隐私权、数据保护和信息自决权的制度基础上。”一般说来,普通公民作为海量数据的生产者和使用者,既没有专业能力掌握信息技术,也没有对自我数据的绝对控制权和处理权,更谈不上对算法自动化决策施加任何影响。“如果要避免价值和权力落到少数人手中,我们就必须设法平衡数字平台(包括行业平台)的效益和风险,确保其开放性,并为协作式创新提供机会。”根据法治国家的法律保留原则,所有的数据保护活动都应由特定的法律进行规范。因此,国家有义务在法治框架下通过立法、行政、司法权的配置,明确个人数据受保护权作为宪法权利,并在此基础上公正合理地确定数据权利义务,确保数据使用者规范使用数据,防范数据垄断,以实现个人数据受保护权、信息权、隐私权和知情权之间的平衡保护。“多数统治并不值得特别的政治国家或立宪政体奉为圭臬,除非其与平等的人性尊严及与个体自主性的价值真正一致。”要实现和保障作为公民身份、集中体现数字社会人性尊严的个人数据受保护权,塑造共建共享的数字社会新型治理秩序,维护数字社会治理的制度正义,就必然要从宪法的高度统合各部门法对个人数据保护的差异性规定,突破传统部门法保护的狭隘壁垒,全面回应个人数据保护的现实风险和法律难题。

  三、个人数据受保护权的宪法意涵:基于域外宪法文本的考察

  随着网络化、信息化和数字化社会的飞速发展,数据越来越被广泛地应用于社会的各行各业,日常生活中的大量决策都离不开为算法系统运作所不可或缺的数据。对于个人数据受保护权最直接的法律保护,就是将其作为法定权利明确规定本国的法律体系之中。迄今为止,在全世界范围内,有多达32个国家在制定和修改宪法时,将数据、信息(个人数据权、信息权)明确写入宪法,并规定为公民基本权利之一。通过对各国宪法文本的系统梳理,可以发现,域外宪法文本对个人数据受保护权的规定大致包括确认公民的宪法权利和规定国家的宪法义务两种方式,一般是直接、明确宣告和规定个人数据受保护权作为公民基本权利的宪法地位,或者从国家作为宪法义务主体的角度,通过对国家立法机关、行政机关和司法机关应如何履行保护公民个人数据的职责进行具体规定。

表1:域外宪法关于个人数据受保护权的主要规定
\
\
\
\
\
\

  通过考察世界各国宪法文本中,可以发现,晚近制定或修改宪法的国家中,对“个人享有与其相关的数据受到保护的权利”进行明确规定的有:波兰、土耳其、葡萄牙、瑞士、希腊、墨西哥、奥利地、西班牙等,它们大多将对公民个人数据受保护权放在宪法的“公民基本自由和权利”“人权和自由”“权利、自由及其保障”“个人的权利与自由”“人权和少数人权利、自由”等部分进行明确规定,主要内容则大致包括对个人数据受保护权的明确宣告和对国家保护个人数据义务的具体规定。

  (一)个人数据受保护权是公民的宪法权利

  作为公民基本权利体系的重要组成部分,个人数据受保护权需要被加以明确的规定。上述各国宪法文本对个人数据受保护权的规定或直接宣告个人数据受保护权应得到宪法保障,或规定每个人都享有个人数据受到国家保护的权利。由此可见,个人数据保护权正成为现代国家宪法所明文规定的公民基本权利。不仅如此,考察对个人数据受保护权进行明确规定的国家的宪法,还可以发现,个人数据受保护权其实有着非常丰富的内涵。根据各国宪法的规定,个人数据受保护权的内涵至少包括以下内容:(1)每个人都有得到保护免于使其个人数据受到收集、处理和使用的权利,特别是通过电子途径对个人数据的收集、处理和使用应受到特别保护。(2)每个人都有权知悉与其有关的数据,并有权要求改正或删除不真实或不完整的数据信息,或者以非法手段获得的个人数据信息。这就意味着,收集、使用和使公众了解一个人的信息要获得其同意,每个人都有权被告知收集到的关于他/她的数据,除非法律另有规定;且每个人都有权要求更正或删掉不真实或不完整的数据或违法收集的数据。(3)收集、保留、加工和使用个人数据应当符合法律保留原则、比例原则和最小侵害原则,并通过国家制定法律的方式予以规范。如国家立法机关除了应制定有关记录和公布个人数据的法律,还应制定个人有权询问其被记录下的数据、数据的使用情况以及这些数据的修正情况等方面的法律。(4)当个人数据受保护权被滥用和遭遇侵犯时,应被禁止并且可以根据法律进行处罚,个人有提起司法诉讼实现救济的权利。换言之,在遇到错误数据或数据歧视时,个人有权通过诉讼途径要求停止、修正、保密并更新其数据。由是观之,个人数据受保护权具有主观公权利和客观价值秩序的双重属性:作为主观公权利的个人数据受保护权既赋予了公民对抗国家权力机关恣意侵犯的防御权,即排除国家公权力的不当干涉和不法侵害;作为客观价值秩序的的个人数据受保护权以人性尊严在社会共同体中的实现和发展为中心,能够有效适用于各个部门法领域,即在更宽泛的意义上形成了一个客观法秩序,基于这个客观法秩序为立法机关、行政机关和司法机关提供了普遍的价值引导和行动指南。

  (二)保护个人数据是国家的宪法义务

  同时,不少国家在其宪法文本中还对国家机关应当履行保护个人数据的宪法义务进行了明确规定。就国家保护个人数据的宪法义务而言,至少包括消极保护义务和积极保护义务两方面的内容。就消极保护义务而言,主要是国家不得随意采集和处理个人数据,且当个人数据受保护权被侵犯时,可以请求司法机关介入,通过诉讼途径实现权利救济。这就要求,除非基于法律,国家不得强迫任何人公开其个人数据;国家机关不得获取、收集或公开公民信息,除非这些信息对于国家治理是必需的;任何人可就获得自己个人档案中的数据权利被侵犯提起诉讼,实现对权利的及时救济。就积极保护义务而言,国家应构建起个人数据受保护权的基本法律制度,设定个人与个人数据收集处理者之间的权利义务关系结构,建立数据多元主体之间的权益平衡机制,有效调整个人与多元数据搜集处理者之间的矛盾冲突,实现对数据的规范、高效而稳定的监管。

  “权利化过程总是不断在变动。它的步调将随着人类为恶的能力而变。它是一段永无止境的历程,罕能产生静态的完美永恒权利。我们必须致力从事的,不是使权利臻于完美,而是不断地提出实用的权利,使之跟上人类创造新一轮恐怖恶行的能力。”尽管较早制定宪法的国家比如美国和德国更多采用的是在司法实践中通过解释来实现对个人数据信息的保护,但从各国宪法文本中对个人数据受保护权的明确规定可以看出,越来越多的国家选择将个人数据受保护权作为一项明确的宪法权利进行规定,这既是为了促进公民个人作为宪法权利主体的自我决定和自由发展的实现,又是防范和监督国家权力机关等数据控制者、数据处理者滥用权力侵犯公民人格尊严的需要。尤其是在大数据时代,只有通过国家积极履行义务才能维护和实现个人数据受保护权。该种权利的实现要求国家努力作为,提供有效的制度保障,帮助个人抗衡大规模、持续化数据处理中减损人格尊严的风险。这也是个人数据受保护权在欧盟层面作为一项独立的公民基本权利的真正价值。对于当下的数字社会治理而言,国家治理者应从宪法的高度建构确保个人数据的安全性、保密性和完整性的法律制度体系,“每一部理性宪法的意义在于,它要建立一个组织性的体系,这个组织性的体系使得国家的意志建构”,故此,国家的立法机关应积极履行制定保护个人数据法律的宪法义务,各数据控制、收集、使用和传播主体应遵从国家法律规定的对个人数据处理的合法性、公正性原则和目的限制原则,司法机关应有效平衡数据法律关系中的各种主体之间的法益,从而最大限度地促进数据的合法流动与有序分享,实现数字社会发展与多元异质主体的和谐共赢。

  四、通过制度性保障实现个人数据受保护权的思考

  (一)制度性保障的宪法权利解释功能

  制度性保障作为现代宪法解释学的重要理论,在长期以来的人权保护实践中显示出无与伦比的优越性。我国台湾地区学者许志雄认为,原初意义上的所谓消极的“制度性保障”内涵包括:“制度性保障之目的在于保障特定的法律制度,而非保障宪法所规定的基本权利,且该制度为现行宪法制定之前即已存在;制度性保障的前提要件是相关法律制度必须有宪法连接点;制度性保障的内容是立法者不能对已经纳入宪法范畴的法律制度之典型特征加以侵害,亦即制度性保障的范围仅限于保障既存法律制度的核心、本质部分。”积极的“制度性保障”要求国家立法者积极形塑并落实公民基本权利的保护义务,“立法机关必须通过制定法律来建构制度,以进一步明确宪法上基本权利的具体内涵,保障基本权利的实现。基本权利所具备的这种积极要求立法者建立和维护制度,以促进基本权利实现的功能,就是所谓制度性保障 ( Institutionelle Garantien) 的功能,国家对此负有制度性保障的义务”。对何谓制度性保障学术界尚未完全达成共识,学界也仍然有诸多质疑。但是,制度性保障对法律秩序的维护及公民权利的保护之效果意义重大。特别是在防范立法者废除或取消某些宪法规范所涵括的基本权利的核心价值方面,制度性保障提供了一种特殊的保障机制来防控立法权的滥用,以维护国家基本法秩序。

  由此可见,制度性保障实则是一种以宪法实施为基础,以宪法为中心评判国家的立法行为、行政行为是否违宪,从而捍卫国家宪法权威、维持国家宪法秩序的基本权利保障方式。但在基本权利保护的实践中,制度性保障与基本权利的受益权功能、保护义务功能以及程序保障功能会产生一定程度的功能重叠,且制度性保障、组织与程序保障、国家保护公民免受来自第三方的侵害的保障等实际上很难界分清楚。故此,学术界对制度性保障又进行了狭义与广义的解释:狭义的制度性保障单指组织与程序保障;广义的制度性保障则包含了现代意义上国家保护公民基本权利应履行的组织与程序保障、国家的给付义务、受益权功能等所有义务。制度性保障对于公民基本权利保障的重要价值在于,通过为宪法文本的实施提供解释路径,区分并强化宪法与法律不同位阶的观念及推动宪法实施,使处于宪法位阶的制度机制有效运作,实现对公民基本权利的保护。“近几十年来技术变革的惊人速度正在推动社会变革,而现代自由社会生活的基础是集体主义的道德、政治和宪法价值观,如果无法从制度层面对此进行充分的保障,人类社会的道德、文化和政治基础即共同价值就会受到侵蚀,继而给民主政治制度带来毁灭性打击,而我们建立的社会文化体制想要培育和保护的个体自由、自治和自决能力也难免日暮穷途。……什么才是好的数字生活?我们应关注重要的集体价值观和对于公平正义的承诺,只有这样,我们才能确定数字技术为我们提供的良好数字生活愿景是否是我们愿意接受的理想图景,如果不是,我们可以重新定位我们所需的社会治理机制,以及在数字驱动时代如何培养和维持对个人自由及社区繁荣至关重要的基本价值观。”故此,在国家具有成熟的宪法理论及完备的宪法实施机制的前提下,按照国家的宪法设计进行全面、系统、严谨的法律制度建构,合理规范国家立法权、行政权和司法权的行使,是实现对公民基本权利全面、充分、有效保护的基本路径。

  “制度性保障的功能正是要求国家立法者积极立法、型塑制度,行政机关依法行使行政权力,司法机关依法受案、裁判以保障基本权利的实现。”通过制度性保障作为宪法解释基本权利条款的意义在于,可以围绕宪法对于公民基本权利的规定构建产生国家的客观法秩序与基本权利的制度保护体系,“基本权不只是个人主观的权利,亦是一种制度性保障。……国家立法机关应制定出一套制度来‘形成’基本权内涵并‘保障’该基本权实现,因此制度性保障功能具有积极要求立法者应朝向何种方向立法之积极功能,如果立法者反其道而行,以致丧失‘建立制度’、‘保障’基本权之意义者,即属违宪性法律。”根据现代法治国家人权保护的实践,完成对公民基本人权的保护大多是通过国家立法机关来实现的。一方面,立法机关可以在人性尊严宪法价值的指引下,通过立法活动对公民基本人权的规范领域进行设定;另一方面,立法机关通过制定法律可以实现对基本人权的具体化立法,充分实现和保护公民基本权利,完成基本人权的具体化。由于宪法规定的基本权利大多较为抽象和原则,因此通过国家立法机关对基本权利进行具体化规定,方能在部门法层面实现基本权利的有效保护。“立法对于基本权利的作用可以在多个维度展开,立法机关既能够廓清和界定基本权利的规范领域和保障范围,在自由形成空间的作用领域形塑基本权利的样态,也能够通过具体化的法案落实宪法中的基本权利条款,同时,立法也能够基于合理的和正当化的理由限制和规制基本权利的行使方式。”从域外国家宪法文本对个人数据受保护权的规定亦可以看出,选择制度性保障的宪法进路是大多数国家保护个人数据的普遍立场,这也是当代立宪国家要求立法机关积极履行保护个人数据保护的宪法义务,规范多元异质主体的数据处理活动,促进数据作为生产要素在数字经济发展中的开放流动、开发利用和合作共赢的应有之义。

  (二)以制度性保障实现个人数据受保护权的宪法路径

  首先,国家立法机关在运用制度性保障原理对个人数据受保护权进行立法活动时,应当遵循合宪性原则。作为评价国家公权力是否合理运用的重要准则,合宪性原则具体包括合乎人权保护价值、法律保留、比例原则和明确性原则。尤其在当下的数字社会治理过程中,应时刻强调个人数据受保护权是公民人格尊严的重要内容,防范国家公权力可能对个人数据的滥用与侵犯。如果公民对于与其相关的数据难以得到法律的保护,就不可能享有人格权。我国宪法虽然没有明确规定个人数据受保护权,但根据《数据安全法》的规定,国家有保护个人、组织与数据有关的权益的义务;公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行。上述规定就鲜明地体现了合宪性原则。于2021年11月1日起实施的《个人信息保护法》第1条明确规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”其中,“根据宪法,制定本法”的表述就集中体现了国家立法行为应遵循合宪性原则的要求。就国家履行个人数据保护的立法义务而言,应重点围绕数据处理及使用是否具有正当性目的,数据处理及使用的目的应当是具体明确的,具有可实施性和结果上的可预见性;数据处理及使用者所采取的手段,应当与数据处理及使用可能给公民个人带来的损害的性质、程度和范围相适应;在能够实现数据处理及使用目的之前提下,数据处理者及使用者对公民权利受到的损害应保持在最小范围内;同时,数据处理者、使用者在实现数据处理及使用目的层面,对公民权利造成的侵害不得超过实现数据处理目的所带来的收益。

  其次,根据我国宪法规定的“国家尊重和保护人权”原则,立法机关应当以个人数据受保护权为中心建构多层级的法律规范体系,使个人数据受保护权充分获得国家立法的认可与保护。“自然人对个人数据的权利属于基本人权,个人数据保护被视为具有宪法意义,因而相对于经济利益要优先保护。”如前所述,制度性保障理论主要是拘束立法者,防止立法者以立法形式破坏国家的法治秩序。立法机关担负起个人数据受保护权的制度性保障之基本途径,就是通过国家立法的形式建立起一套有关个人数据受保护权的法律制度体系,使个人数据受保护权所体现的人性尊严价值和数字社会的公民身份得以实现。目前,全国人大及其常委会围绕个人数据受保护权先后制定了《网络安全法》《电子商务法》《民法典》《数据安全法》和《个人信息保护法》,通过对个人数据的收集、存储、使用、加工、传输、提供、公开等进行规范,确保个人数据处于有效保护和合法利用的状态。在地方立法层面,2021年6月29日由深圳市人大常委会通过的《深圳经济特区数据条例》是我国首部专章对个人数据进行明确规定的地方立法,该条例的第10条规定:“处理个人数据应当符合下列要求:(一)处理个人数据的目的明确、合理,方式合法、正当;(二)限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人数据处理;(三)依法告知个人数据处理的种类、范围、目的、方式等,并依法征得同意;(四)保证个人数据的准确性和必要的完整性,避免因个人数据不准确、不完整给当事人造成损害;(五)确保个人数据安全,防止个人数据泄露、毁损、丢失、篡改和非法使用。”2021年11月25日,上海市人大常委会通过的《上海市数据条例》第10条规定:“自然人、法人和非法人组织可以通过合法、正当的方式收集数据。收集已公开的数据,不得违反法律、行政法规的规定或者侵犯他人的合法权益。法律、行政法规对数据收集的目的和范围有规定的,应当在法律、行政法规规定的目的和范围内收集。”第17条规定:“自然人、法人和非法人组织开展数据处理活动、行使相关数据权益,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德,诚实守信,不得危害国家安全和公共利益,不得损害他人的合法权益。”上述规定对于规范个人数据处理活动、遏止个人数据侵权行为,维护个人数据主体的合法权益具有重要价值,也将为未来我国进一步完善个人数据受保护权法律体系提供经验参考。

  最后,以宪法解释方式不断完善个人数据受保护权的制度保障体制机制。需要明确的是,“忠实地解释宪法需要我们对宪法原则如何能最好地被理解作出道德哲学的判断……宪法的解释应该使宪法得到最好地适用”。以促进宪法适用为目的,通过宪法解释推动个人数据受保护权的落实,需要在充分理解宪法精神和原则的基础上,对公民权利进行道德哲学层面的解释和阐述。如德国法上的个人数据受保护权就是通过对1983年的“人口普查案”的解释而产生的,联邦法院根据《德国基本法》的第1条“人性尊严不可侵犯,尊重及保护此项尊严为所有国家机关之义务”和第2条“人人有自由发展其人格之权利,但以不侵害他人之权利或不违犯宪法秩序或道德规范者为限”的规定,认为个人数据权即个人“信息自决权”(Recht auf informationelle Selbstbestimung)而产生的“一般人格权”(Das Allgemeine Persoenlichkeitsrecht)的具体化,属于宪法上的基本权利。众所周知,宪法由于其语言的抽象性与开放性,如果要准确把握其原则和精神,必然需要一个权威机构按照符合现代法治精神的程序进行说明与阐释。故此,宪法解释的制度价值在于维护宪法规范的确定性,使宪法规范在实际生活中能够准确和有效地发挥行为规范的指引作用。尤其是目前我国正处于全面深化改革过程中,多元价值带来的法治实用主义诱惑及实践的多元引发了法治整合能力的下降,有必要建立一个以宪法解释为核心的合宪性控制机制。根据我国现行《宪法》第67条的规定,全国人民代表大会常务委员会行使宪法解释权。这意味着,在我国是由兼具立法职能的最高权力机关的常设机关行使宪法解释的职能。既然宪法明确授权唯有全国人大常委会才能够行使最终的宪法解释权,就意味着其他任何国家机关、组织和个人都无权对宪法作出具有法律效力的解释。即便是在宪法实施过程中,其他国家机关因其所负有的保障宪法实施的职责而对宪法作出的解释,也必须从属于并服从全国人大常委会的解释。而且,充分发挥宪法解释的制度功能,有利于树立全国人大常委会作为释宪机关的宪法权威,实现个人数据保护与公共利益的平衡,促进数据作为生产要素开放流动和开发利用,加快建设数字经济、数字社会、数字政府。因此,在构建与个人数据受保护权相关的法律体系中,应当充分发挥全国人大常委会的宪法解释功能,以实现维护国家安全、社会公共利益和个人合法权益目的,并基于数据的不同特点建构、发展和完善差异化的数据保护法律制度机制。

  五、结语

  在当下的大数据时代,“只有每个人都拥有健全有力的法感,国家才会有丰富的力量源泉,才会在国内外具有最可靠的保障。法感就如同整棵大树的根,如果树根发挥不了作用,大树就会在岩石与沙砾中枯死,所有其他一切都会成为泡影。一旦暴风雨来临,整棵大树将会被连根拔起。”个人数据受保护权作为数字经济发展的重要的“根”,理应得到宪法的保护,同时,也只有在宪法的保护下,才能实现数字社会个人数据保护各部门法之间的统合协调与多元主体之间的和谐共赢、互惠合作。“或许最重要的是,一个共和国,或者至少是一个异质性的共和国,需要拥有一个‘舞台’,各种各样的经验、视野及对是非对错持有不同观点的公民们,能够在这里彼此相遇并且相互协商”。唯有如此,在宪法引领的数据法律框架下才能实现大数据的规范的开发、开放、共享与监管,并逐步建构起制度化的数据确权与利益分配机制。

  (戴激涛,广东财经大学人权研究院研究员、法学院教授。)

  (责任编辑 郭锐)

上一篇:我国手语和盲文的法律地位:发展进程与制度进路
下一篇:我国民事诉权司法保障的实证考察与完善路径