信息的数字化使得几乎所有人类的活动及与其相关的场景都可以转化成数据,其体量几乎趋于无限。而数据本身作为一种新的生产要素,直接参与到生产过程中,改变了以往价值的产生过程。个人数据是对数据主体在数字空间进行活动的数字化记录,数据主体对其产生的数据应享有充分的个人数据权利。
数据权利集人身、财产权利于一体,具有复合宪法价值。首先,个人数据中蕴含着丰富的自然人信息,包括且不限于自然人的姓名、肖像、住址、人际交往关系、个人职业与收入,这些内容与个人人格尊严紧密相关联,倘若自然人不能基于自己意思自主地决定个人数据能否被他人收集、储存并利用,无权禁止他人在违背自己意志的情形下获得并利用个人数据,则个人之人格自由发展与人格尊严就无从谈起。
此外,个人数据权利涉及财产权的问题。数据本身可以作为客体经由数据收集、处理公司借助交易平台进行交易,在当下数据交易已经成为一种产业。公司通过获取潜在用户数据分析其偏好,挖掘需求进行定向营销和有针对性的战略调整,进而降低企业经营成本和风险、创造新的价值。个人数据也并非只有在进行加工成为大数据后才有价值,社交媒体平台通过收集用户数据精准推送提高平台日活量,社会名人的个人数据本身更是蕴含着较大的经济价值,由此可以成为财产权利的一部分。
将个人数据权利作为公民基本权利进行保护,一方面有利于保护公民的个人数据权利不受国家公权力的侵犯,另一方面能够督促国家为保障公民个人数据权利积极作为,通过立法、行政监管等手段避免其他个人和组织对公民个人数据权利的侵犯。
探析宪法对个人数据的保护,首先要确定个人数据的宪法保护范畴。对于个人主动公开在数字空间的信息,毋庸置疑可以划入不受宪法保护的一般个人数据范围。在不触犯公法相关规定的前提下,个体有权利在数字空间自主、自愿分享个人数据,这部分数据基于数据主体的主观意愿被公开,在其具有行为自由与相应的认知能力的前提下不受宪法性规定的特殊保护。
与个人隐私最为相关的数据则需要纳入宪法对个人数据的保护范围之内,同时应当认识到受到宪法保护的隐私数据内部也能根据宪法的保护强度划分为不同层次。结合我国《宪法》第三十九条和第四十条对个人隐私权的相关规定,可以认为,与公民通信相关的隐私数据应当受到宪法最为严格的保护,而与公民住宅隐私相关的个人数据则受到宪法一般性的保护。
与通信隐私相关的个人数据的界定,涉及对在数字时代的通信进行重新解释。通信隐私所保护的是私人间进行信息交换的价值,而随着人们交流方式的多元化,通信与信息发布的边缘更加模糊,一对多的邮件发送、群聊、有进入限制的网络社区内成员之间的相互交流所产生的数据突破了传统通信中的一对一模式,进而进入了相对具有公共性的场域,也使得此类数据的隐私保护更加困难。此外,同样值得探讨的是关于通信记录数据是否属于通信隐私数据。当人们在数字空间进行交流时,其交流对象、时间的数据对平台运营商而言非常易得,有学者认为,在此种情况下对于基本权利的保护范围的确定,需要考察权利主体的主观认知,也就是权利人对于自己的生活领域应受基本权利保护的期待。
住宅隐私往往与现实的物理空间相关联,从表面上说,住宅不受侵犯的权利,是指公民的居所、生活或休息的场所不受非法侵入或者搜查的权利,而在数字时代,与住宅不受侵犯相关的个人数据权利包含个人住宅位置非经数据生产者同意不被收集的权利,也包含在使用智能设备时在个人住宅内进行的活动不被非法获取、记录、传播的权利。或许随着个人人格进入数字空间程度的加深,住宅不受侵犯相关的数据权利会扩展到在虚拟数字空间中的住宅之上。
可能侵犯个人隐私的数据和一般个人数据之间存在流动的可能性,需要结合个人数据泄露可能造成的后果与其私密程度进行具体判断。关于私密程度的判断,不宜由数据主体的主观观念决定,而是可以借助刑法理论中社会一般人通常认识的概念,判断数据本身的私密程度。由此,通过宪法对个人数据的保护程度与保护与否的判断,形成了个人数据保护的层次性划分,只有与个人隐私有足够相关性的个人数据才能进入宪法的保护范围之内。
个人数据作为基本权利被宪法保护也受到一定程度的限制。我国《宪法》第五十一条为基本权利的概括性限制条款,其意味着当基本权利的行使可能使国家社会利益受损时会受到相应的限制。但国家公权力不能以此为手段对公民权利进行无限度的限制,其作出的限制应当符合一定的条件才能被视为合理的限制。具体到个人数据保护领域,即公权力对数据主体权利的限制应当符合比例原则的要求。对个人数据宪法保护中比例原则运用的具体考察,其目的在于探究当政府手段构成了对个人数据权利的限制时,在何种情况下此种限制能够被正当化,这是当公民个人数据权利与社会、国家安全之间存在矛盾时在宪法下如何进行平衡的探索。
数据安全与国家公共利益紧密相连。2021年,我国颁布《数据安全法》,其在第一条中提到,为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。这深刻体现了数字时代数据安全对国家安全的重要价值。一方面,与国家战略相关的重要数据或一些组织、国家通过非法手段获取、处理的大数据可能导致国家关键信息的泄露,进而为国家安全带来隐患;另一方面个体在数字空间的活动如果完全处于非监管状态,可能被不法分子利用从事破坏社会稳定、国家安定的工具。然而,这也从侧面反映出了公权力对个人数据权利造成侵犯的可能性。
对于通信隐私数据这类宪法明文规定了加重法律保留的隐私数据,应当从其特别规定,除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信秘密。而其他应当受到宪法保护的隐私数据,则在适用一般法律保留,依照法定程序,在法律明确规定的范围内进行处理,并作符合比例原则的审查。因此,公权力机关在没有正当理由的情况下,不得对公民的个人隐私数据进行收集、储存、公开、加工利用。
《个人信息保护法》中已有规定,以公益目的报道新闻,或进行舆论监督时,可以在合理的范围内处理个人信息;此外对个人自行公开或已经合法公开的个人信息,应当在合理的范围内进行处理,这为个人数据领域的探索提供了借鉴。至于合理的范围如何界定,还应当在具体的案件中结合所要保护的公共法益和个人法益进行平衡,而对个人隐私数据造成侵害的国家公权力,应当对其行为的合理性进行说明论证。
(作者系中国人民大学法学院硕士研究生)