作者简介:苏成慧,女,云南大理人,西南政法大学国家安全学院讲师,法学博士,西南政法大学总体国家安全观研究院研究人员,研究方向:数据安全法治、国家安全法治。
摘要:安全保障义务本质上是一种危险、风险防免义务,其保障的安全权益包括国家安全、公共安全和个人安全。法律在风险防范中的价值追求为信息处理者安全保障义务的承担提供正当性基础。数字技术条件下,“信息处理者”的主体范围并不限于机构主体,还应包括自然人主体。信息处理者安全保障义务包括积极义务和消极义务,其具体内容体现在不同领域、性质、等级的法规范中,以强制性规范为主要表达方式。信息处理者安全保障义务的体系展开应以宪法规定的基本权利为基点,在以强制性规范为主的公法体系中设置具体行为规范,《民法典》中相关引致条款和转介条款具有实现安全保障义务规范在公、私法体系中的衔接功能,使得作为保护性规范的安全保障义务规范在个人信息权益受损时的私法救济体系中能发挥“违法推定过失”的规范效果。
关键词:数据安全保护;信息处理者;数据安全保障义务;数据安全风险;数据安全法治
引言
数据要素的流通是支撑数字社会发展的基础,而保障数据安全是数据流通的前提。随着数智化的不断深入,信息数据安全的脆弱性与易受攻击性等问题随之凸显,数字安全问题愈发突出。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》指出,数据治理体系的完善要“统筹安全和发展”“强化数据安全保障体系建设”“把安全贯穿数据治理全过程”等。目前学界关于数据流通法律治理的相关成果主要从数据权属配置、数据权利体系设置、公私法何者在数据法律治理中居主导地位等问题展开,集中于从权利分析的视角构建数据流通法律制度,鲜有从义务规范的视角阐述数据安全保障的制度建设。
信息处理者的安全保障义务是数据安全保障法律制度建设的重要组成部分。我国目前有关数据安全保障义务的规范体现在《网络安全法》《数据安全法》《个人信息保护法》《民法典》等法律中,不仅在公法中有所规定,在私法中也有相关规范。法律规范的体系化关涉法律价值的实现,为实现数据流通法律制度的安全价值,有必要从体系的视角分析分散在不同法律中的信息处理者安全保障义务规范之间的价值一贯性、逻辑统一性、考量整体性和结构层次性。
对信息处理者安全保障义务的分析首先应对安全保障义务的制度内涵有一个整体的把握。从整体法秩序的角度而言,有必要从规则体体系的视角厘清“安全保障义务”规则体与“信息处理者安全保障义务”这一子规则体之关系,以增强安全保障义务在法律规范中的体系性之理解。因此,本文尝试以“安全保障义务”这一基础理论的阐明为基点,从体系的视角分析我国制定法中涉及信息处理者安全保障义务的法规范,阐释信息处理者安全保障义务的主体范围、内容体系、规范体系及适用衔接等问题。
一、安全保障义务:传统到现代的扩张
言及“安全保障义务”,私法研究者大多首先直观地将其定位于侵权责任法领域有关特定场所管理者、组织者的安全保障义务,公法研究者则首先将其定位于国家对公民的安全保护义务。近年来,学界有关“安全保障义务”这一法概念的论述语境,不仅仅局限于《民法典》第1198条(原《侵权责任法》第37条)关于特定场所管理者、组织者的安全保障义务,还包括论述网络服务提供者的安全保障义务、网上银行等金融机构对客户的安全保障义务、网络运营者对虚拟财产的安全保障义务、网络交易平台提供商的交易安全保障义务、生产者的产品安全保障义务、共享单车模式下的安全保障义务、信息安全保障义务、数据安全保障义务等等。而在制定法层面,“安全保障义务”这一法概念仅存在于特定法规范中。对此,则不免引发关于安全保障义务的产生基础为何、在学理层面的制度体系为何等疑问。
(一)安全保障义务及其产生基础
制定法层面,我国相关法律法规、司法解释、部门规章和行业规定的具体条款中,明确使用“安全保障义务”这一法概念的适用领域主要包括五个方面:一是宾馆、商场、银行、车站、机场、体育场馆、娱乐场所、高速公路等经营场所、公共场所的经营者、管理者或者群众性活动的组织者、场地空间提供方对其提供或管理的场地范围内活动的主体承担安全保障义务;二是物业服务企业等建筑物管理人对从建筑物中抛置、坠落物品的行为以及基于物业服务合同承担的安全保障义务;三是旅游经营者、旅游辅助服务者对旅游者在旅游过程中的人身、财产安全承担安全保障义务;四是快递业务中快递经营者与寄件人双方的安全保障义务;五是电子商务平台、网络交易平台、网络直播营销平台、专网及定向传播视听节目服务单位等的网络服务提供者对消费者、网络用户的安全保障义务。这些类型的安全保障义务本质都是为了避免“以义务主体的行为而开启、维持或主导的对相关主体的人身、财产产生相关危险的可能性”的发生而产生的义务。
实际上,安全保障义务产生的基础源于义务主体对义务相对人人身、财产等的“安全状态”的维护,这种维护义务相对人的人身、财产“安全状态”的保障义务可源于法律规定,也可源于合同约定。法律上对安全的理解应当是一种客观的安全状态,而非主观的安全感。中文中的“安全”概念在英文中对应着“safety”和“security”两个不同的词。日本学者森英树通过比较研究认为,“safety”可视为作为人的具体权利的“安全”,是与客观现实危险相对应的具体安全;“security”可视为作为政府的制度化的“安全”,是通过有组织地提供安全以备将来不安的安心体系。基于此,有学者将“safety”称为个体性安全,将“security”称为概括性安全。与个体安全相对应,概括性安全指向公共安全、国家安全。基于这一视角,安全保障义务在我国安全法制体系中则表现为不同的层次:一是以国家安全为指向的安全保障义务,比如关键信息基础设施运营者的国家安全保障义务;二是以公共安全为指向的安全保障义务,比如我国《消防法》规定的机关、团体、企业、事业等单位的消防安全保障义务,既维护公共安全,也保障公民的人身、财产安全;三是以个人安全为指向的安全保障义务,比如《民法典》侵权责任编规定的特定场所管理者、组织者的安全保障义务。这三个层次的安全状态并非绝对区分,在特定场景中存在着互相影响、相互转化的情况。此外,从安全状态存在的领域来划分,则存在着针对不同领域主体的安全保障义务,比如物业服务企业等建筑物管理人对从建筑物中抛置、坠落物品的行为以及基于物业服务合同承担的安全保障义务,网络服务提供者对网络用户的安全保障义务,旅游经营者对旅游者的安全保障义务等。
综上所述,就“安全保障义务”这一法概念本身的内涵和外延而言,其范围并不应局限于前述制定法相关领域的主体范围。就其内涵来说,安全保障义务本质上是义务主体承担的对特定危险、风险防范或免除的义务,这种危险、风险由安全保障义务人开启、维持或主导,为保障处于危险、风险可能性中的相关主体的人身、财产等合法权益,安全保障义务人应积极采取适当与合理的措施对其开启、维持或主导的危险、风险予以控制或尽可能地降低危险、风险发生的可能性,以维持义务相对人的安全状态。就其外延范围来说,因安全表现为不同的层次,存在于社会生产生活的各领域,不仅包括物理空间范围内开启、维持或主导危险可能性的主体的安全保障义务,而且包括网络空间开启、维持或主导的网络、数据、信息安全危险可能性的主体的安全保障义务。这也决定了从安全法制体系的视角而言,安全保障义务作为其制度体系的核心组成部分,构成其制度体系的规范不仅体现在公法规范中,而且体现在私法规范中。
(二)大数据时代下安全保障义务之扩张
伴随大数据时代的到来,对数据安全的需求成为数字经济时代的核心要求。为因应时代发展需求,防范数据安全风险,保障数据相关主体的合法权益,规定数据处理者承担特定安全保障义务,具有正当性。
1.数字时代的自反性风险危机凸显
如贝克所言:“今天的现代化正在消解工业社会,而另一种现代性正在形成之中。”当前时代的现代性表现为以数字技术为核心的技术化的现代性,它产生于自发性现代化的势不可挡的运动之中。这种自发性的现代化进程伴随着自反性的风险危机,无论我们接受与否,发展与危机并存。按照吉登斯关于社会风险的分类,以数字技术为核心的数字社会现代化进程伴随的自反性风险为“被制造出来的风险”,即人类社会不断发展的数字技术对这个世界的影响所产生的风险。
风险,表现为危险发生的可能性。“每个时代的科技风险都有其不同的表现形式。”数字时代伴随信息技术、数字处理技术应用发展的自反性风险较为多元,不仅包括技术本体伴随的安全风险,而且包括因技术本体发展伴随的社会与文化面向的风险。从技术本体论视角而言,主要表现为以网络安全、数据信息安全、技术产品的应用安全为主的技术安全风险;从社会与文化面向的视角分析,则表现为伴随技术应用发展带来的道德伦理风险、经济风险、政治风险以及社会风险等系列风险。与工业社会化时期的现代性风险相比,这些风险同样具备技术本体的安全风险与社会、文化风险之间的相关性,但风险的系统性和规模性更大。究其原因:物理时空下的社会个体之间具备独立性,而互联网技术、现代数字信息技术的应用,使得个体在网络空间、数字空间的关联有所增强。以数字为载体的“个体”在数字空间中因网络的互联性及数据分析技术的发展要求,而具备更强的关联性,甚至表现为“融合”的状态。正是这种客观状态的存在,强化了数字社会技术安全风险的系统性和规模性。
数据是支撑数字社会发展的基础原材料,物理空间中无论是作为主体的人,还是作为客体的物,均能够以数据的形式在数字空间被记录和表达,且在互联网技术的加持下,强化了实时数据的流通性,使得流通中的数据呈现出产生数据的主体不一定持有数据、数据生产者与数据持有者相分离、数据在不同主体之间交叉持有的状态。这一客观样态使得数据信息安全风险成为信息技术、数字处理技术应用发展的自反性风险中最为核心的风险。其具备以下几个特征:其一,由于网络的流通性以及数据来源的广泛性,使得数据安全风险具备系统性、规模性的特征。其二,风险感知的技术依赖性,表现为个体作为风险承担者对于技术导致的风险无法通过感官去了解。其三,数据安全风险的发生对实体空间具有一定的反噬性,个人数据信息泄漏导致的个人财产安全风险、隐私泄漏风险则为典型。
2.以安全保障为目的的法律预防性功能之扩张
贝克指出,“风险社会对应的规范蓝图是安全,这也是风险社会的基础和动力之所在”。法律对社会风险的防范即是对社会安全的保障。正如霍布斯所言,人民的安全是法律追求的至高无上的目的。因此,对开启、维持或主导风险的主体配置法律上的安全保障义务,有助于防范风险的发生,彰显法律的预防性功能。
数字社会背景下,安全保障义务应从实体空间扩展至数字空间。在互联网技术、数据处理技术、算法技术的作用下,人类社会与物质世界中的任何主体、客体均能被以数据的形式在数字空间表达,实现了人类社会生产活动在数字空间的同步化。在信息技术的现代化进程中,数字空间以网络运营者、信息处理者、算法设计者为核心的新的社会阶层不断兴起。由于数字空间的运转主要依赖网络、数据、算法等现代信息科技,因而这些主体成为现代数字社会新兴的治理主体,同时因其开启或持续了数据安全风险,故其也是数字空间承担安全保障义务的主体。数字空间安全利益主要表现为网络安全利益、数据安全利益和信息安全利益以及智能产品安全利益,由于网络安全保障最终落脚点在于保障数据安全,智能产品安全的核心亦在于数据安全,因此数字空间的安全保障主要在于保障数据安全。
数据安全保障义务对应的人身、财产安全利益与实体空间安全利益存在较大区别。就财产安全而言,数据安全保障义务保障的财产利益包括以数据资产为形态的直接财产利益,最为典型的是企业对其自主产生的数据享有的财产权益;也包括通过保障数据安全来实现对社会主体资金账户安全的保护,即对数字化密码的安全保障有助于保护社会主体银行账户资金安全。就人格安全而言,数据安全保障义务保障的人格权益以隐私、个人信息安全为主,而实体空间对人格安全的保障则以生命权、身体权、健康权为主。
目前我国关于数据安全保障义务的规范,并未在制定法层面直接采用“安全保障义务”这一术语,而是使用“安全保护义务”这一概念,尤其体现在以网络安全和数据安全保护为核心的公法规范中,比如《数据安全法》第8条、第27条、第40条、第45条、第49条等关于“数据安全保护义务”内容及责任的规定,以及《网络安全法》第10条、第23条、第36条、第61条、第74条关于“网络安全保护义务”等规定。《个人信息保护法》则根据具体法规范的语义场景分别使用“保护”与“保障”这两个概念。这似乎是立法者有意将以公法规范为主的网络、数据、信息安全保障义务与传统侵权法领域探讨的安全保障义务范围进行区分而采用不同的语词。笔者认为,无论是侵权法领域探讨的安全保障义务,抑或是现代社会背景下新兴的网络、数据、信息安全保护义务,其本质都是为了避免“以义务主体的行为而开启、维持或主导的对相关主体的人身、财产产生相关危险或风险的可能性”的发生而产生的义务。
二、信息处理者安全保障义务的主体范围
明确信息处理者安全保障义务的主体范围,有助于降低法律适用中的不确定性。毫无疑问,信息处理者安全保障义务的主体为“信息处理者”,但这一概念在既有法规范中仅呈现在《民法典》和《个人信息保护法》中,那么信息处理者的范围是否只限于个人信息处理者,处理企业、政府等机构的非个人信息处理者是否包括其中?对上述问题的理解,需从体系视角综合分析《民法典》《个人信息保护法》《数据安全法》《网络安全法》中的相关规范,厘清以下几组概念之间的关系,才能进一步阐明信息处理者的本质内涵及其在制定法体系内的适用范围。
首先,以《民法典》为基调奠定的信息处理者与一般民事主体的关系,即个人信息保护的义务主体范围之确定。我国《民法典》总则编第111条规定个人信息受保护的义务主体为“任何组织或者个人”,人格权编第1035条—1038条明确“信息处理者”是个人信息受法律保护的义务主体,第1039条特别强调“国家机关及其工作人员”对个人信息的保密义务。《个人信息保护法》遵循民法典中“信息处理者”的概念,明确个人信息保护的义务主体为“个人信息处理者”。对此,有学者认为个人信息保护的义务主体是特定义务主体,而非一般义务主体,并且通常不可能是个人。实则不然,一方面,个人信息本质上具有人格属性,这一属性决定其权益性质具有一定程度的对世性;另一方面,实践中并不乏个人侵犯个人信息的案例,这些案例集中表现为个人通过网络购买、网络入侵等方式非法获取、非法利用个人信息。因此,将《民法典》总则编第111条规定的个人信息受保护的义务主体界定为一般民事主体更具合理性,并且《个人信息保护法》第73条第1款也明确个人信息处理者的范围包括个人主体。
其次,信息处理者与数据处理者的关系。与权益保护相对应,《民法典》人格权编、《个人信息保护法》已明确个人信息保护的义务主体为“个人信息处理者”,而《数据安全法》虽然只在第31条使用“数据处理者”这一概念,但从其第1条关于立法目的的规定来看,该法调整所有“数据处理活动”,即明确数据安全保护义务的主体为“数据处理者”。可见,具有典型公法性质的《数据安全法》与具有典型私法性质的《民法典》采用的概念不同。为避免“数据安全法律保护”这一法体系内部规范性矛盾与评价性矛盾的产生,有必要厘清“信息处理者”与“数据处理者”之间的关系。由于数据与信息的关系本质上为“载体与内容”的关系,并且在数字技术条件下,数据与信息在形式上具备共生性和共通性,二者已全然不可分离,仅仅存在“读取”与否的差别,因而对其二者做概念的区分没有绝对的意义,而是在“数据问题”和“信息问题”的区分上存在意义。从这一角度而言,数字技术条件下的数据处理者与信息处理者的概念可等同视之。需要说明的是,因我国《个人信息保护法》规范的个人信息处理行为并不局限于数字技术条件下的处理行为,因而非数字技术条件下的个人信息处理行为的个人信息处理者并非等同于数字技术条件下的个人数据处理者。即只有在数字技术条件下对电子化的个人信息处理时,因个人信息实为个人数据的内容,而个人数据本质上属于个人信息在计算机系统中的载体,是数据的一种类型,此时数据处理者的范围才包括个人信息处理者;而在非数字技术条件下对非电子化的个人信息处理时,数据处理者的范围则不包括个人信息处理者。
最后,信息处理者与网络运营者、网络产品或服务的提供者、关键信息基础设施运营者的关系。我国《网络安全法》中的网络安全义务主体包括网络运营者、网络产品或服务的提供者、关键信息基础设施运营者,其中多个条款涉及这些主体作为信息处理者时对个人数据、非个人数据的安全负有积极和消极的安全保障义务。根据《网络安全法》第78条第1项关于“网络”的界定,网络安全义务主体的业务范围涉及对个人数据、非个人数据的“收集、存储、传输、交换、处理”等,将“数据处理”与“数据的收集、存储、传输、交换”并列,采狭义的“数据处理”概念;而后出台的《民法典》《数据安全法》《个人信息保护法》基于明确“数据/信息处理者”这一概念的需求,从立法技术上进行了统一,将“数据/信息处理”的范围界定为包括“收集、存储、使用、加工、传输、提供、公开、删除等”行为范畴,虽然扩大了《网络安全法》中关于“处理”的概念范畴,但在很大程度上实现了这一概念在体系上的统一。基于“新法优于旧法适用”的原则,司法实践中在“数据/信息安全法律保护”这一法规则体系内,对“数据/信息处理者”的概念宜采广义概念,即包括“收集、存储、使用、加工、传输、提供、公开、删除等”行为范畴。因此,网络运营者、网络产品和服务的提供者等网络安全的主体,在处理网络数据时,同时也属于信息处理者。综上,“数据/信息处理者”这一概念的本质要素是“数据/信息”和“处理”。在数字技术条件下,基于信息与数据之间“内容与载体”的本质关系,“信息处理者”与“数据处理者”的概念可等同视之。从立法技术和体系协调的角度而言,“数据/信息处理”的行为包括“收集、存储、使用、加工、传输、提供、公开、删除等”。正是由于“处理”是界定“数据/信息处理者”的核心要素,因而“数据/信息处理者”的主体范围并不限于机构主体,还应包括自然人主体。为避免文字表达的繁琐,下文统一采用“信息处理者”这一表述。
三、信息处理者安全保障义务的内容体系
数据安全保障义务是数字社会中信息处理者的核心义务,其法律规范不仅体现在以民事权利保护为主的《民法典》及专门保护个人信息权益的《个人信息保护法》中,还体现在以“数据安全”为视角的《数据安全法》中,同时也体现在以“网络安全”为视角的《网络安全法》中。以信息处理者是否“作为”为标准,可将信息处理者安全保障义务分为积极义务和消极义务。
(一)信息处理者安全保障义务之积极义务
信息处理者安全保障义务之积极义务要求信息处理者积极采取特定措施保障数据安全,即“应当采取技术措施和其他必要措施,确保其收集、存储的数据信息安全,防止信息泄露、篡改、丢失;发生或者可能发生数据信息泄露、篡改、丢失的,应当及时采取补救措施”。具体可分为以下三类:
一是,采取技术措施,保障信息处理者收集、存储的数据信息安全。技术措施是保障数据信息安全最主要的直接措施,主要用于防范因软件、硬件、系统集成缺陷等原因直接导致的数据安全风险。主要包括:(1)依据《网络安全法》第23条,为保障网络数据的安全,网络运营者、网络产品和服务的提供者(因其提供的网络服务功能在于“数据传输”,故其同时也是信息处理者)以及关键信息基础设施运营者(重点行业和重要领域网络设施、信息系统的运营涉及对数据信息的处理,故关键信息基础设施运营者在特定情形下也属信息处理者)应当采取防范计算机病毒和网络攻击、网络侵入等危害网络数据安全的技术措施,采取监测、记录网络运行状态、网络安全事件的技术措施,采取重要数据备份和加密技术措施;(2)依据《个人信息保护法》第51条,处理个人信息的,应采取相应的加密、去标识化等安全技术措施,保障个人数据安全。
二是,采取“其他必要措施”,保障信息处理者收集、存储的数据信息安全。信息处理者安全保障义务还表现为以“安全管理”为核心的义务,目的在于防范因信息处理者安全管理不当、人为泄漏数据等导致数据安全风险的发生。即信息处理者应依照法律、行政法规的规定,建立健全内部数据安全管理制度和操作规程,制度内容既涉及(网络服务提供者、关键信息基础设施运营者等)对网络数据安全的管理,也涉及非网络数据安全的管理。制定法规范表现在《网络安全法》第23条、第25条、第27条、第35条、第36条、第38—42条、第50条、第55条,《个人信息保护法》第21条第1款、第31条第2款、第36—38条、第40条、第51—55条、第58条,《数据安全法》第30条第1款。核心制度内容包括明确数据安全负责人、依法对数据分级分类管理、数据安全相关设施设备的质量安全和安全维护管理、数据安全评估及合规审计、从业人员的技术培训和安全教育等。
三是,信息处理者应按照规定对数据泄露、违规传输、流量异常等安全风险进行监测,发现网络安全风险、数据信息泄漏时,应及时采取补救措施。制定法规范表现在我国《网络安全法》第24条、第27条,《个人信息保护法》第57条,《数据安全法》第29条等规范中。
(二)信息处理者安全保障义务之消极义务
信息处理者安全保障义务之消极义务要求信息处理者以不作为或禁止作为的方式保障其处理的数据信息安全。数据安全的内容集中体现为保障数据的机密性、真实性、完整性,即要求信息处理者不得泄漏,不得非法提供,不得篡改其收集、存储的数据信息,以及不得实施其他法律禁止实施的危及数据信息安全的行为。
首先,基于数据安全的数据机密性要求,信息处理者不得泄露,亦不得向他人非法提供其收集、存储的数据信息。信息处理者对其合法收集、存储的数据具有依据数据安全等级分类的法定要求提供不同层次的安全保障义务,并对具有保密性质的数据负有不得泄漏及非法提供的不作为义务。
其次,基于数据安全的数据真实性和完整性要求,信息处理者不得篡改其收集、存储的数据信息。“数据篡改”即通过非授权的方式对网络数据或特定数据库的数据进行修改、增加、删除的行为,较为常见的是通过网络漏洞进入程序后台对数据进行篡改。需要说明的是,“数据篡改”不同于“数据加工”。“数据加工”是基于对大量的、杂乱无章的数据进行抽取、清洗、转换、加载的过程,其目的在于抽取并导出具有特定价值和意义的衍生数据,是经过授权的数据处理行为。
最后,信息处理者不得实施相关法律禁止的其他危及数据信息安全的行为。信息处理包括信息的收集、存储、使用、加工、传输、提供、公开、删除等系列行为,信息处理者除不得泄漏、不得非法提供、不得篡改其收集、存储的数据之外,还应当履行“不得非法收集、违规存储、非法使用、非法加工、违法传输、非法公开、违规删除”等法律规定的消极义务。
违反上述禁止性义务的人员一般为直接负责数据处理、网络安全维护的技术人员及其他对数据具有管理、控制职能的人,因此强化对这些人员的数据安全保障义务及技术合规培训是数据处理者保障数据安全的重要措施。
四、信息处理者安全保障义务的规范体系
“保障安全是法律对于生命的价值”。安全保障义务的设置是法律保障安全最直接的方式。我国现阶段有关数据安全保障义务的规定体现在各领域、各层级的法律规范中,以强制性规范为主要表达形式,不仅体现在典型私法的《民法典》中,而且主要体现在具备公法性质的《个人信息保护法》《网络安全法》《数据安全法》等法律及系列行政法规中。对此,有必要从体系的视角阐明在不同性质的法律中信息处理者安全保障义务各规范之间的关系,以促进对这一规范体系的理解和适用的协调性。
(一)信息处理者安全保障义务的制度基点
义务与权利存在对应关系,只有厘清信息处理者安全保障义务对应的权利基础,才能以此为基础推演相应的义务内容。数字社会的每一社会主体都无时无刻不在产生数据,而产生数据的主体不一定持有其自主产生的数据(尤其是自然人),这一客观状态使得法律上关于数据的权利配置问题成为当前数字空间亟待解决的核心法律难题,尤其是个人数据受保护的权利依据问题成为解锁数据权利体系的关键。
目前学界关于“个人数据受保护”的权利基础及保护路径存在较大争议。一种观点认为,个人数据受保护的权利基础为自然人对其个人信息享有的民事权益,而非公法上的权利。甚至认为“无论国家机关处理自然人的个人信息,还是非国家机关(如企业、事业单位等)处理自然人的个人信息,也无论处理者处理自然人个人信息的目的是行政管理、公共服务还是营利,处理者与自然人都属于平等的民事主体。他们之间的权利义务关系属于民事权利义务关系。”另一种观点通过重新解释《宪法》第38条,将个人信息受保护作为基本权利,并以此为出发点,衍生出与“个人信息受保护权”对应的国家保护义务,构建基于“基本权利—国家义务”框架下的个人信息法律保护体系。此外,也有学者在证成个人信息自决权为一项宪法的基本权利时,认为除《宪法》第38条外,第33条也是不可或缺的条款,并且《宪法》第37条、第39条、第40条、第41条等条款也具有辅助证明的作用。
相较而言,以《宪法》第33条第3款(国家尊重和保障人权)以及第38条(公民的人格尊严不受侵犯)为基础展开对个人信息保护规范的体系解释之模式较为合理。理由在于:“宪法基本权利是构建民事权利体系的依据与基础”,我国法律对个人信息的保护衍生于《宪法》第33条第3款、第38条公民人格尊严与相关基本权利的规定,《民法典》第1034条规定的“个人信息受法律保护”是宪法规定在具体法律中的规范表述,《刑法》第253条之一规定的“侵犯公民个人信息罪”、《个人信息保护法》《数据安全法》《网络安全法》等有关个人信息保护的法律均是以宪法关于人权保障、人格尊严的保护为基础的体系展开。唯有如此,才能从体系协调的角度解决当下个人数据被不同法律性质的处理者处理时的权利义务关系。
因此,“个人信息受保护”的法律体系应以宪法规定的基本权利为基点,基于基本权利具备的双重属性——主观权利和客观法——来合理配置与之对应的信息处理者的安全保障义务。即,基于人权和人格尊严受保护的“主观权利”属性,公民有权对抗和排除国家作为信息处理者时的公权力之侵害,以此可解决公权力机关在依职权使用个人信息时应当承担特定的个人信息安全保障义务;而基于人权和人格尊严受保护的“客观法”属性,则要求国家必须创造和维护有利于实现个人信息保护的制度环境,以此可解决以“私益”为目的的信息处理者安全保障义务规范在私法中的应用。
(二)规范路径的选择:公法与私法并行的综合路径
数字空间中的个人信息具有动态性、场景性的特征,客观上使得个人信息处理者的主体包括自然人、法人、非法人组织等法律主体。这些主体对个人信息的处理因主体性质、使用目的、应用场景的不同,而具有不同的法律属性——可概括为两大类:以“公益”为目的的个人信息处理者和以“私益”为目的的个人信息处理者。前者以各政府部门依托政务大数据平台依职权处理个人信息为典型,比如,疫情防控部门在疫情期间对个人数据依法合理使用;后者以企业主导的网络平台、数据平台等为典型,比如,淘宝、京东等线上购物平台对消费者消费数据的处理。以民法为主的私法难以设置具体规范来规制以“公益”为目的的个人信息处理行为,以宪法、行政法等为主的公法则难以解决以“私益”为目的的个人信息处理对自然人带来的损害赔偿问题。因此,个人信息处理法律行为性质的二元化决定了个人信息处理的法律规范兼具公法规制与私法自治的属性,需采公法与私法并行的路径。而信息处理者安全保障义务的设置是法律规制个人信息处理行为的关键,对此亦应遵循公私法并行的路径。
一方面,基于“基本权利—国家义务”的框架,以国家义务为基点,应在以强制性规范为主的公法体系中设置信息处理者安全保障义务内容的具体规范,以指引信息处理者保障数据安全的具体行为。首先,国家机关及其他行使公共职能的组织,根据社会管理职能的需求,可依法收集、处理、使用个人信息,在个人信息处理的各个环节需遵循特定的安全保障义务,该义务依托“个人信息受法律保护”之基本权利的主观权利属性,应以行政法等公法性质的法律予以规定之。其次,以科技企业为主的“准数据权力”主体亦为主要的信息处理者,在信息处理活动中与自然人处于非对称权力结构中。为有效保障自然人之个人信息的合法权益,基于“个人信息受法律保护”之基本权利的客观法属性,国家有义务制定相关安全保障义务规则,以确保个人信息免于“准数据权力”主体的侵害。此外,对信息处理者安全保障义务的规定多以命令性、禁止性规范为主,诸多细化规则宜放置于以强制性规范为主的行政法体系中,而不宜置于以任意性规范为主的民法体系中。
另一方面,《民法典》及《个人信息保护法》等法律中有关信息处理者安全保障义务的规范体系,在“个人信息受保护”的民事法益侵权救济中作为保护性规范发挥作用。我国《民法典》及《个人信息保护法》均明确“个人信息受保护”之民事权益,除规定了个人在个人信息处理活动中享有的知情、决定、查阅、复制、更正、补充、删除等权利外,还从信息处理者承担法定义务的视角规定信息处理者在信息处理活动中应承担的义务,并且明确了个人信息权益受侵害时的损害赔偿请求权基础规范(《个人信息保护法》第69条第1款)。安全保障义务规范是信息处理者义务性规范的重要组成部分,体现在《民法典》第1038条、1039条及《个人信息保护法》第21条第1款、第31条第2款、第36—38条、第40条、第51—55条、第57条、第58条等规范中。依据《个人信息保护法》第69条第1款之规定,个人信息处理者处理个人信息侵害个人权益造成损害的归责原则为过错推定归责原则,信息处理者安全保障义务规范作为保护性规范在过错推定中发挥“违法推定过失”的规范适用效果。
(三)信息处理者安全保障义务的公私法衔接机制
如前所述,公法和私法在明确信息处理者安全保障义务上并行不悖,共同发挥作用。从体系角度而言,《民法典》制定时已考虑到数据、信息安全法律保护的体系性问题,有意设置相关引致条款和转介条款,以实现《个人信息保护法》《数据安全法》《网络安全法》等相关法律与《民法典》在适用中的接轨,以此实现法律对数据、信息保护的统一性。具体而言,主要表现在以下几个方面:
一是以《民法典》总则编第111条、第127条为“桥梁”,从体系架构的视角连接《数据安全法》《个人信息保护法》《网络安全法》等法律中有关信息处理者处理数据的安全保障义务规范,以保障民事主体对数据享有的合法权益。数字空间流通中的数据不仅包括自然人产生的个人数据,而且包括其他社会主体产生的非个人数据。从体系解释的角度而言,《民法典》第111条所称“法律”应包括以《民法典》《个人信息保护法》《网络安全法》等相关法律所构建的个人信息法律保护体系,并且该条款直接规定了信息处理者的三项行为义务,即一项“应为义务”和两项“不作为的禁止义务”,此三项行为义务则为个人信息处理者安全保障义务的概括性规定。而《民法典》总则编第127条作为引致条款,则可对接非个人数据信息处理者的数据安全保障义务强制性规范,比如《数据安全法》中有关数据交易主体及数据交易平台在交易中的数据安全保障义务。
二是以《民法典》第153条、第497条、第506条为“桥梁”,连接《数据安全法》《个人信息保护法》中关于信息处理者安全保障义务,作为认定数据主体之间有关数据流通合同及其免责条款、格式条款的效力认定。无论是个人数据的流通,还是可交易数据的交易,均需以合同为媒介,将合同中涉及的有关数据安全保障、个人信息安全保障的法定最低义务作为审查个人信息流通、数据交易合同中免责条款、格式条款及合同本身效力的依据。
三是以《民法典》第1165条第2款为转介条款,连接《数据安全法》《个人信息保护法》等法律中有关信息处理者安全保障义务的规定,作为认定个人数据侵权责任归责的参考依据,以保障数据主体基于数据权益的侵权救济。侵权法之外对保护的主体及权益范围做出细致考量而设定的大量要求法律主体作为或不作为的命令或禁令之行为规范,可成为一般侵权责任归责认定的参照系。我国《民法典》第1165条第2款规定侵权责任的过错推定归责原则,《个人信息保护法》第69条第1款进一步明确了个人信息权益损害赔偿请求权适用过错推定归责原则,对此我国《个人信息保护法》中个人信息处理者安全保障义务规范可作为个人信息权益侵权损害赔偿认定中“违法推定过失”的认定基础。除此之外,《数据安全法》《网络安全法》等法律中设置的数据安全保障义务条款作为保护性法律规范,既能为企业等以追求私益为目的的信息处理者提供行为标准,亦能为其违反规定承担侵权责任时的过错认定提供参考依据。
结语
数字社会中数据安全风险的凸显,是信息处理者安全保障义务产生的社会基础。当前数字社会背景下,不同法律性质的主体实时产生的数据,在互联网的作用下实时流通,并被不同法律性质的主体交叉持有。这一客观现实使得围绕数据流通法律规范的内在价值冲突加剧,集中表现为安全和自由价值之间的冲突,具体表现为数据安全(各种法律性质的数据安全)与数据自由流通的冲突。而另一方面,因数据安全问题为伴随当前大数据时代而来的亟需法律予以规范的突出问题,数据安全规范的数量日益增多,公、私法规范中均涉及诸多条款。因此,数据流通安全规范的设置及既有规范法律适用的解释之体系问题已成为数据法学领域研究中的主要问题。
由于信息处理者的法律主体性质不同,持有的数据信息性质亦不同,数据安全规范的设置必然需要衡量不同数据持有主体及数据产生主体之间的合法权益。因此,需以公法、私法及其在法律适用中的对接之基础理论为依据,并从体系的视角综合分析《民法典》《个人信息保护法》《数据安全法》《网络安全法》等制定法规范中的相关具体条款来阐明:信息处理者安全保障义务与传统侵权责任法中的安全保障义务本质上均为危险防免义务,但其发生和适用的领域不同;应以“信息处理”为标准界定信息处理者安全保障义务的主体范围;其义务内容包括积极的作为义务和消极的不作为义务;我国关于信息处理者安全保障义务制定法规范路径为公私法并行的路径,其制度基点应以《宪法》第33条及第38条为解释的基础规范予以展开。
在“权利—义务—责任”的法律框架体系内,安全保障义务作为“上承”信息主体合法权益,“下接”信息处理者法律责任的“中间枢纽”,成为数据流通安全法律保障制度体系建设的核心内容。从体系视角展开对信息处理者安全保障义务的研究不仅有助于从理论上“反哺”数据权益体系的完善(权利与义务相对应),而且有助于为安全保障义务责任认定提供依据(义务与责任相一致)。但就法律实施的角度而言,信息处理者安全保障义务法律的实施及责任承担,需结合数据处理的特定场景来认定。
因篇幅限制,已省略注释及参考文献。
引注:苏成慧:《信息处理者安全保障义务的体系阐释》,载《河北法学》2026年第1期,第120页-138页。
