论大数据时代个人信息权法律保障的完善
——以“半强制条款”现象的应对为分析视角

柯金妍

（华东政法大学 法律学院，上海 200050）

一、防范与思考：“半强制条款”下个人信息安全新挑战

2020年7月，江西省南昌市人民检察院发现，本地部分手机APP存在严重侵犯公民个人隐私和违规收集使用用户个人信息的问题。2021年7月，国家互联网信息办公室又通报了“滴滴出行”APP严重违法违规收集使用个人信息的情况，这两起事件无疑折射出一个严重的社会问题：公民个人信息的“半强制泄露”。越来越多的个人信息处理者为了得到更多的个人信息和数据，采取类似于“半强制”的方式：如各类手机APP，如用户不同意APP获取其位置、通讯信息及其他个人信息资料，则用户无法安装或运行该APP。绝大部分用户出于使用该APP的需要，大多会选择“同意”。因此，部分APP的信息获取条款在本质上其实是一种“半强制条款”，如果用户有使用APP的需求，那么他们除了同意没有其他路径可以选择。虽然从表面上看，网络用户仍享有同意继续、拒绝退出的选择权。但是这种选择权并不是一种真正的“唯意愿主义”，用户在披露什么信息，将个人信息应用于哪些用途，多大程度地披露信息等问题上并没有选择权，绝大多数的网络用户是“非自愿地”、“被动消极”或者“无意识”地透露着自己的个人信息。这种信息地位的严重不平等，导致用户在网络上实际处于劣势地位，个人信息处理者则凭借着自己的优势地位随意地获得自己认为是有价值的信息数据，由此导致的结果是用户个人信息的泄露有不断扩大之势，公民隐私权侵犯的案例也是层出不穷。因此，如何从法律层面上撘建起公民个人信息保护的权利框架，如何改变网络用户个人数据的“半强制泄露”状态，如何在大数据时代更好地保障公民个人信息权利不被侵犯等，这些都是本文重在思考和论证的问题。

二、应对“半强制条款”的权利构建

（一）加强个人信息隐私权的多重保护

在网络空间中，我们需要加强对公民个人隐私权的多重保护。所谓多重保护，主要指的是除了受宪法规范意旨调整之外，还需要加强个人信息隐私权的刑法保护、民法保护、行政保护等，多管齐下，为个人信息隐私权不受侵犯奠定坚实基础。一般认为，隐私权是公民享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权。［1］隐私权的内容包括（1）个人信息的保密；（2）个人生活不受干扰的权利；（3）个人私事决定的自由。［2］我国对隐私权的保护间接体现在《宪法》第三十八条、第三十九条、第四十条当中。这三个条文虽然只是分别规定了人格尊严、住宅、通信秘密权不受侵犯，但是如果我们从其实质性内涵来理解，人格尊严、住宅、通信秘密都是直接关涉公民最隐私、最私密的部分，是公民不愿将其公之于众的私人生活部分，因此，从广义上来说，完完全全可以归于公民隐私权的范畴。此外，从目的解释的角度上来说，这三个条文虽然只规定了人格尊严、住宅、通信秘密权受到保障，但是其目的是保障公民的生活安宁以及个人私密部分不受他人侵犯。基于此，从《宪法》相关条文的制定目的上来看，隐私权得到了宪法间接的保障与认可，这完全符合目的解释的逻辑。其次，要应对“半强制条款”，加强公民网络空间中隐私权的保护，除了要从《宪法》的意旨出发，民事保护、刑事保护、行政保护也需要同步推进，从而构建多重保护屏障。

（二）明确规定和落实个人信息权

民法典第九百九十条第二款规定，除前款规定的人格权外，自然人享有基于人身自由、人格尊严产生的其他人格权益。在网络空间中，基于该条款可以引申出一种非常重要的权利——个人信息权。全球已经有90多个国家制定了个人信息保护法，确立了个人信息权。现行《宪法》虽并没有直接将个人信息权列入公民的基本权利之中，但是一般来说人们均将个人信息权作为公民人格权的重要组成部分。［3］个人信息权是公民基本权利得以具体落实的应有之义，是公民的人身自由、人格尊严在网络空间的延伸和拓展，是在网络空间中公民的人身自由、人格尊严权得到保障的切实需要。因此，在我国个人信息权利保护框架中，个人信息权应被更好地明确和落实。但是就我国现阶段而言，个人信息权被提及甚少，大部分公民也对这项权利不甚了解，应通过加强对《个人信息保护法》的立法解释、司法解释来明确个人信息权的内涵和保护路径。

（三）将人格权作为网络空间中其他权利的兜底和基础

不管公民在网络空间中的权利如何变化和延伸，都应该恪守《宪法》第三十八条的规定，在个人信息权利保障存有漏洞时也可以用《宪法》第三十八条作为权利兜底。《宪法》第三十八条规定的人格尊严、人身自由的实质之意为公民的人身和行动受自己支配，即对自身的支配权，那么建立在人身自由基础之上的相关信息权利也应有此之义，人格权应作为网络空间中其他权利的基础。

三、关于网络信息权保障之国外立法模式借鉴

（一）我国网络信息权保障之现状

在个人信息保护领域，因为我国网络发展起步晚、信息权意识淡薄，相关法律保障也不尽完善。目前我国正式出台的《个人信息保护法》虽然是我国个人信息领域迈出的一个大步，但是我国的个人信息保护领域尚且没有形成一个统一、完善的法律体系。除了《个人信息保护法》之外，只有相关零散的规定分布在一些法律法规规章以及相应的司法解释当中，规定网络用户个人信息的规范主要体现于《互联网电子公告服务管理规定》的第12条、第19条；2007年《关于促进电子商务规范发展的意见》以及2014年生效的《消费者权益保护法》第29条、《网络交易管理办法》第18条；2015年的《刑法修正案（九）》以及2017年施行的《网络安全法》等。可见，在个人信息保护领域除了《个人信息保护法》之外，采取的主要是分散性的立法模式，在许多重要领域或者特殊环节都缺少系统完善的法律规定。

（二）个人信息权利保障之域外立法考查

1.美国模式

美国早在1997年就制定和发布了《全球电子商务政策框架》，意在加强电子商务环境下个人信息权利的保障，该框架突出亮点是提出了两项保护公民个人信息权的重要原则即告知原则和选择权原则。但是美国缺少个人信息保护的一般性立法，仅对于不满十三岁的儿童等特殊对象颁布了一些法令和措施，例如《儿童在线隐私政策保护法案》。此外，2012年的《全球数字经济下隐私保护的创新推动的框架》可以说是美国在电子商务环境下完善公民个人信息保护制度的重要举措，推动了美国网络个人信息权及网络经济的发展。

但是美国对个人信息的保护更重在行业自律模式，意在通过电子商务行业的行业规范以及行业自律来规范网络信息处理者对公民个人信息的使用、收集行为。具体而言，美国电子商务行业主要采用三种方式保护消费者个人数据：一是通过非强制性的商业指引，为电子商务企业保护消费者个人信息提供示范性指导；二是利用技术保护，有代表性的是互联网协会提出的个人隐私偏好性平台技术（P3P）；三是网络隐私认证机制，例如TRUSTe、BBBONLine、Web Trust等。［4］在法律规范调整和行业自律这两条路径之前，行业自律模式则是美国进行个人信息保护的特色和主要方式。

2.欧盟模式

欧盟国家则更加注重各式法律文件的规范作用。欧盟个人信息保护法律体系是由一系列的指令、原则、准则、指南等法律文件组成的。［5］欧盟将网络用户的数据隐私权置于与基本人权并驾齐驱的高度，并基于影响深远的人格权理论，于1995年颁布了《关于涉及个人信息处理的个人保护以及此类数据自由流动的指令》，详细规定了个人资料权的具体内容以及个人数据管理者的义务和责任；此外，还有2013年《欧盟数据保护基本条例》，该条例则规定数据控制人可以行使“删除权”或者向专门监督机关或者司法机构提起控诉或者起诉的方式来行使救济；以及2016年通过的《一般数据保护条例》等。欧盟通过构建系统完善的法律文件规范，并辅之以信息处理者、公民双方权利、义务、责任的明确，有力地保障公民个人信息权不受侵犯。

综上，相较于美国的行业自律模式，基于我国电子商务行业发展得相对不成熟以及相关协会发挥的作用极其有限之现状，笔者认为欧盟的立法模式更值得我们学习和借鉴。我国应重视各式法律文件的规范作用，提升个人信息权的权利高度，建设统一完善的信息权保障法律体系，可以尝试在《个人信息保护法》之外再完善专门领域的立法，采取“1＋n”的立法模式，以此来应对我国网络信息权保障之困境。

四、应对与完善：“半强制条款”下个人信息权法律保护的制度构建

（一）在《个人信息保护法》中明确个人信息权的内涵、性质及内容

《个人信息保护法》第四条对个人信息作出了明确的界定，而同样作为核心概念的个人信息权却没有得到清楚和明确的界定，个人信息权的性质尚且存在争议。对于个人信息权属于何种性质的权利，理论界主要存在“基本人权说”、“所有权说”、“隐私权说”、“人格权说”以及“混合权利说”等主张，目前尚无一个清晰的定论。此外，关于个人信息权究竟包含哪些权利内容，在《个人信息保护法》中也找不出明确的回答，其具体的权利内容大多只停留在学术层面上的讨论，而没有在法律规范层面上被明确界定。个人信息权是什么？个人信息权包含哪些权利内容？作为反击“半强制条款”的个人信息决定权是否属于个人信息权的范畴？在第一章总则部分将此明确，才可以成为个人信息处理规则的法律依据和理论出发点。如此，针对“半强制条款”的合宪与否、合法与否我们不仅能从是否违反《个人信息保护法》有关规定的角度进行探讨，同样还能从总则基本规定的角度进行思考，即使是法律没有规范的死角，也能根据个人信息权的内容和性质进行原则性理解，从而在一定程度上提高对公民权利的保障力度。

（二）限缩《个人信息保护法》第十七条“所必需”的范围

《个人信息保护法》第十七条规定：个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。笔者赞同前半句话，但是对该条的后半句持质疑态度。提供何种产品或者服务的选择权应保留给网络用户，而不是由个人信息处理者自由选择。网络用户要使用一款软件，是简单地观看浏览，还是登陆使用该款APP的部分功能或全部功能，应该交由网络用户来决定和选择。究其原因主要是因为公民个人信息权内在地包含了公民个人信息自决权，网络用户本就对其个人信息享有选择、处分等权利。而从另一个角度来说，此条文的但书规定容易被个人信息处理者滥用，如果他们想要收集网络用户更多的信息资料，那么个人信息处理者可能会将APP或者网络项目的边角功能都囊括进来，而号称其全方位地收集网络用户信息资料的行为为“所必需”，从而进一步扩大不平等。因此，“所必需”这个词就非常容易被个人信息处理者曲解和滥用，成为个人信息处理者半强制获取公民个人信息的手段和借口。

因此，《个人信息保护法》第十七条要想突破此种困境有两种路径可供选择，一是修改《个人信息保护法》第十七条，将处理个人信息“所必需”的产品和服务范围限定在开发该款APP或其他网络项目产品或服务的主要目的、用途和关键功能中，加上“主要”、“关键”这些限定词来防止网络用户提供者擅自将非主要服务和功能也囊括其中；二是在不修改《个人信息保护法》第十七条的情况下对该条文进行限缩解释，将“所必需”解释为运行该核心产品或主要服务而不得不处理用户个人信息，这样解释就排除了信息处理者在非关键功能和用途方面半强制收集信息的可能。这两路径概括说来是“一个目的两种路径”，均是将个人信息处理者收集产品或服务的范围限定在主要目的和关键功能的范围之内，只是一个采取的是修改法律的形式，另一个采取的是保持法稳定前提下的法解释路径，形不同而质同。

（三）将个人信息归于财产权保护

目前有专家指出要确立个人信息财产权属性，学者刘德良也曾在《个人信息的财产权保护》一文中指出，“在信息时代，个人信息具有潜在的商业价值故而都应该受到财产权的保护。”［6］但是个人信息财产权却没有在法律上确立起来。随着大众传媒和科技的发展，个人信息的经济价值被很大程度地凸显，个人信息自决权不再只局限于人格尊严或人身自由等精神利益，而在更大程度上转为对个人信息经济价值的保护，这是由网络世界的商业化和个人信息的经济性所决定的。受资本驱利的影响，个人信息处理者在订立“半强制条款”时更看重的是个人信息的商业价值，因此个人信息早已超出了人格权的范畴。将个人信息归于个人信息财产权来保护可以加强用户对自身数据信息的控制力，提升用户对个人信息的处分、收益意识，打破传统的个人信息隐私权保护无力的困境。

（四）确立个人信息保护与利用的个案衡量机制

《个人信息保护法》第十三条规定实质上蕴含了利益衡量的原则，也体现了《个人信息保护法》追求的不单单是用户个人权利的的保障和实现，同时关注的是一种利益的平衡，即信息利用和个人信息权保障之间的平衡，是关乎个人利益、社会利益与国家利益之间的一种平衡，因此，个人信息需要从利用与保护两个层面予以考量。

大数据时代个人信息的处理和利用实际上是具有很强的变动性的，个人信息飞速流转，大数据突破了一元单方联系。［7］而法律规范具有一定的滞后性，它只能根据变化发展着的实际作出相应的变化和调整，正因为法律规范立足于社会实际而又滞后于社会实际的现实，使得法律的变化调整总是赶不上网络世界飞速发展的变化。因此我们不能完全依靠法律规范来对多方利益进行简单而刻板的衡量，我们必须将各方利益放在具体的个案中予以衡量，而个案的衡量又要置于整个社会环境中进行。立法上的利益衡量要达到的目的是“多赢”和“共和”。［8］虽然目前网络用户面临着诸多“半强制条款”，但在线下实际生活中，公民其实也面临着不少“强制条款”。比如在疫情常态化背景下，政府使用“健康码”来采集公民个人信息实质上就体现了其“强制”的属性，但是这种强制收集的做法其合法性和正当性是受认可的，因为在公共健康、国家安全和公民个人信息权的天平上，毫无疑问，公共健康、国家安全对于防控疫情更为紧要。因此，不是“半强制条款”甚至“强制条款”其本身侵犯公民个人的权利，也不是个人信息处理者一定不能用“半强制条款”收集公民个人信息，需要明确的是“半强制条款”在使用之前需要遵从“优先原则”的要求，并在个案中予以精准衡量。