個(gè)人信息保護(hù)法律體系的憲法基礎(chǔ)

2021-12-01 13:31:38王錫鋅

清華法學(xué) 2021年3期

王錫鋅彭錞

本文由王錫鋅教授提出基本框架(四步論證結(jié)構(gòu))與核心立場(個(gè)人信息保護(hù)法律體系以憲法上個(gè)人信息受保護(hù)權(quán)為基點(diǎn))，由彭錞助理教授細(xì)化對民事權(quán)利基礎(chǔ)說的反思和對個(gè)人信息受保護(hù)權(quán)基礎(chǔ)說的論證，由兩位作者多次討論修改完成。

一、問題的提出：探尋個(gè)人信息保護(hù)法律體系的概念基礎(chǔ)

隨著數(shù)字時(shí)代的深入發(fā)展，個(gè)人信息的法律保護(hù)已成全球共識(shí)。在我國，《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《民法典》相繼實(shí)施，《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》即將出臺(tái)，個(gè)人信息保護(hù)法律體系已初具規(guī)模。在此背景下，探尋何為該體系的概念基礎(chǔ)(Conceptual Foundation)，對充分解釋和有效規(guī)范該體系的核心概念，具有承前啟后的重要意義?！俺星啊币饬x在于從恰當(dāng)?shù)母拍罨A(chǔ)出發(fā)，可以推導(dǎo)出一幅內(nèi)部邏輯協(xié)調(diào)的“概念地圖”，為既存的個(gè)人信息保護(hù)規(guī)范提供系統(tǒng)化說明；“啟后”意義則在于揭示現(xiàn)行立法與實(shí)踐之不足，為下一步改進(jìn)完善提供查漏補(bǔ)缺的指引。

對此，學(xué)界目前的主流觀點(diǎn)有二：首先，應(yīng)以法律權(quán)利作為我國個(gè)人信息保護(hù)法律體系的概念基礎(chǔ)。盡管有學(xué)者提出個(gè)人信息處理規(guī)制的行為主義進(jìn)路，試圖繞開個(gè)人信息賦權(quán)的難題，(1)參見梅夏英：《在分享和控制之間：數(shù)據(jù)保護(hù)的私法局限和公共秩序構(gòu)建》，載《中外法學(xué)》2019年第4期，第845-870頁；馮果、薛亦颯：《從“權(quán)利規(guī)范模式”走向“行為控制模式”的數(shù)據(jù)信托——數(shù)據(jù)主體權(quán)利保護(hù)機(jī)制構(gòu)建的另一種思路》，載《法學(xué)評論》2020年第3期，第70-73頁。但這是繞不開的，因?yàn)閷π畔⑻幚碚咛囟ㄐ袨槭欠褚?guī)制、如何規(guī)制，歸根結(jié)底取決于信息主體對個(gè)人信息是否享有、享有何種值得法律保護(hù)的利益。只有在確定個(gè)人信息權(quán)益究竟屬于何種法律權(quán)利的基礎(chǔ)上，才能進(jìn)一步推演相應(yīng)的法律義務(wù)、責(zé)任和規(guī)范，達(dá)至一套個(gè)人信息保護(hù)法律體系。其次，在此前提下，學(xué)界主流觀點(diǎn)認(rèn)為我國個(gè)人信息保護(hù)法律體系的概念基礎(chǔ)是作為民事權(quán)利的個(gè)人信息權(quán)，據(jù)此推導(dǎo)出信息處理者負(fù)有不得侵害個(gè)人信息的民法義務(wù)，民事責(zé)任是個(gè)人信息保護(hù)的基本手段，《民法典》是個(gè)人信息保護(hù)領(lǐng)域的基本規(guī)范，同其它個(gè)人信息保護(hù)立法(如《個(gè)人信息保護(hù)法》)屬于一般法和特別法的關(guān)系。(2)對此下文將詳述。

本文贊同我國個(gè)人信息保護(hù)法律體系應(yīng)以法律權(quán)利為概念基礎(chǔ)，但認(rèn)為恰當(dāng)?shù)倪x擇并非作為民事權(quán)利的個(gè)人信息權(quán)，而是作為憲法基本權(quán)利的個(gè)人信息受保護(hù)權(quán)。具體論證分三步展開：第一，梳理民事權(quán)利基礎(chǔ)論的理路，剖析其三項(xiàng)核心命題，并展開反思；第二，論證個(gè)人信息保護(hù)能在我國憲法上獲得安頓，并應(yīng)以“個(gè)人信息受保護(hù)權(quán)”的概念來表達(dá)；第三，在憲法上個(gè)人信息受保護(hù)權(quán)的視野下，通過展開其內(nèi)容、功能與限制，建構(gòu)我國個(gè)人信息保護(hù)法律體系。

二、重省民事權(quán)利基礎(chǔ)論

(一)民事權(quán)利基礎(chǔ)論之理路

民事權(quán)利基礎(chǔ)論包含以下三項(xiàng)核心命題：

第一，主張個(gè)人信息本身是民事權(quán)利客體。理由如下：①基于《民法典》第111條，認(rèn)為若個(gè)人信息不是民事權(quán)利，則“立法者不可能在作為民商事領(lǐng)域基本法的《民法典》中做出規(guī)定，更不會(huì)在其總則編的‘民事權(quán)利’章中加以規(guī)定”。(3)程嘯：《論我國民法典中個(gè)人信息權(quán)益的性質(zhì)》，載《政治與法律》2020年第8期，第3-4頁。②認(rèn)為個(gè)人信息權(quán)本質(zhì)上是一種對世、排他、絕對的個(gè)人信息自決權(quán)，保護(hù)自然人對個(gè)人信息的自我占有和支配。(4)楊立新：《個(gè)人信息：法益抑或民事權(quán)利——對〈民法總則〉第111條規(guī)定的“個(gè)人信息”之解讀》，載《法學(xué)論壇》2018年第1期，第41頁。③認(rèn)為個(gè)人信息權(quán)是新型、獨(dú)立的人格權(quán)，除傳統(tǒng)人格權(quán)消極防御的特性外，還有積極控制的面向，派生出信息知情、同意、查詢、修改、更正、刪除等權(quán)能。(5)王利明：《論個(gè)人信息權(quán)在人格權(quán)法中的地位》，載《蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2012年第6期，第74頁；同上注，楊立新文，第42頁；另見張里安、韓旭至：《大數(shù)據(jù)時(shí)代下個(gè)人信息權(quán)的私法屬性》，載《法學(xué)論壇》2016年第3期，第128-129頁；張紅：《〈民法典(人格權(quán)編)〉一般規(guī)定的體系構(gòu)建》，載《武漢大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2020年第5期，第155-173頁。

第二，主張個(gè)人信息權(quán)益不具有公法權(quán)利屬性。理由如下：①認(rèn)為作為民法權(quán)利的個(gè)人信息權(quán)可對抗任何組織或個(gè)人的侵害。公權(quán)力機(jī)關(guān)侵害個(gè)人信息權(quán)，私權(quán)利主體同樣可要求其承擔(dān)法律責(zé)任。(6)同前注〔3〕，程嘯文，第6頁。②認(rèn)為“盡管實(shí)踐中對個(gè)人信息采用刑法、行政法等多重保護(hù)機(jī)制，但并不影響個(gè)人信息權(quán)為民事權(quán)利的基本屬性。為了全面保護(hù)民事主體的利益，在民法之外，通過刑法、行政法乃至社會(huì)法來保護(hù)民事權(quán)利，是法律保護(hù)的常態(tài)表現(xiàn)”。(7)同前注〔5〕，王利明文，第69頁。③認(rèn)為處理個(gè)人信息的公、私主體雖然“在處理目的、合法性基礎(chǔ)等方面存在不同，但不因此導(dǎo)致自然人與處理者之間關(guān)系的區(qū)別。信息處理者與自然人之間的法律地位是平等的。國家機(jī)關(guān)與非國家機(jī)關(guān)，均負(fù)有不得侵害自然人民事權(quán)益的義務(wù)。在私權(quán)利保護(hù)的問題上，不存在公權(quán)力機(jī)關(guān)比非公權(quán)力機(jī)關(guān)處于更優(yōu)越地位的情況”。(8)同前注〔3〕，程嘯文，第5-6頁?！氨M管個(gè)人信息受保護(hù)權(quán)的使用、收集過程中存在著行政管理部門的公法行為，但這只需要規(guī)定政府部門在信息管理過程中的職責(zé)與責(zé)任即可，個(gè)人信息保護(hù)法的核心內(nèi)容應(yīng)是民法規(guī)范，政府部門的公權(quán)在個(gè)人信息領(lǐng)域不宜膨脹?！?9)嚴(yán)鴻雁：《論個(gè)人信息權(quán)益的民事權(quán)利性質(zhì)與立法路徑——兼評〈個(gè)人信息保護(hù)法〉(專家建議稿)的不足》，載《情報(bào)理論與實(shí)踐》2013年第4期，第46頁。

第三，主張從信息主體的個(gè)人信息權(quán)出發(fā)，以“信息處理者民法義務(wù)—侵權(quán)者民法責(zé)任—《民法典》規(guī)范”的邏輯，建構(gòu)個(gè)人信息保護(hù)法律體系。理由如下：①認(rèn)為包含公權(quán)力機(jī)構(gòu)在內(nèi)的所有社會(huì)主體均負(fù)有不侵犯個(gè)人信息權(quán)的民法義務(wù)。(10)同前注〔5〕，王利明文，第69頁。②認(rèn)為“只有民事責(zé)任能真正彌補(bǔ)信息主體的損害”，因?yàn)槠洹爸饕问绞琴r償損失，以恢復(fù)被侵害人的權(quán)益為目的”。(11)同前注〔9〕，嚴(yán)鴻雁文，第46頁。③主張“我國民法典人格權(quán)編對個(gè)人信息保護(hù)的規(guī)定，并非簡單的一部法律對個(gè)人信息保護(hù)的規(guī)定，而是具有如同《歐盟基本權(quán)利憲章》第8條關(guān)于個(gè)人信息保護(hù)規(guī)定相同法律地位的規(guī)定”?！爸挥性诿穹ǖ渲写_認(rèn)個(gè)人信息權(quán)后，才能為個(gè)人信息保護(hù)的特別立法提供民事基本法依據(jù)?！?12)同前注〔5〕，王利明文，第70頁；另見王利明：《民法人格權(quán)編(草案室內(nèi)稿)的亮點(diǎn)及改進(jìn)思路》，載《中國政法大學(xué)學(xué)報(bào)》2018年第4期，第121頁；程嘯：《民法典編纂視野下的個(gè)人信息保護(hù)》，載《中國法學(xué)》2019年第4期，第33頁。

公允地講，上述觀點(diǎn)并非囿于學(xué)科門戶之見，而是具有深刻現(xiàn)實(shí)背景和重大歷史意義。隨著信息技術(shù)高速推進(jìn)，個(gè)人信息面臨巨大風(fēng)險(xiǎn)，傳統(tǒng)隱私保護(hù)捉襟見肘，亟需新的法律解決方案。以2000年全國人大常委會(huì)《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》為起點(diǎn)，我國的個(gè)人信息保護(hù)法律制度逐步完善，但直到2020年《民法典》出臺(tái)，才一改此前間接、零散的立法進(jìn)路，在民事基本法的高度規(guī)定個(gè)人信息受法律保護(hù)。相較于行政法、刑法等其它部門法，在該領(lǐng)域，確實(shí)是民法提供了迄今最有力、最全面的法律回應(yīng)。這正是眾多學(xué)者強(qiáng)調(diào)民事權(quán)利、義務(wù)、責(zé)任和規(guī)范在個(gè)人信息保護(hù)法律體系中基礎(chǔ)性地位的現(xiàn)實(shí)背景。而民法保護(hù)體現(xiàn)了對個(gè)人信息所承載的尊嚴(yán)、人格、隱私、財(cái)產(chǎn)等重大利益的關(guān)照，對一個(gè)私權(quán)保障仍在途中的國家，具有不可否認(rèn)的歷史意義。然而，民事權(quán)利基礎(chǔ)論內(nèi)含的三項(xiàng)命題在理論和實(shí)踐層面均值得反思。

(二)民事權(quán)利基礎(chǔ)論之反思

第一，將個(gè)人信息作為民事權(quán)利客體與民法既有概念體系存在張力。理由如下：①《民法典》第111條并未明確規(guī)定“個(gè)人信息權(quán)”，有別于第110條規(guī)定“姓名權(quán)、肖像權(quán)、名譽(yù)權(quán)、榮譽(yù)權(quán)、隱私權(quán)”。早在《民法總則》起草時(shí)，個(gè)人信息是不是民事權(quán)利就有爭議，(13)參見張新寶：《〈民法總則〉個(gè)人信息保護(hù)條文研究》，載《中外法學(xué)》2019年第1期，第65-67頁。但《民法典》最終沒有規(guī)定個(gè)人信息權(quán)。這并非立法機(jī)關(guān)的無心之失，而是基于對個(gè)人信息特性的深刻洞察。②與傳統(tǒng)的人格、財(cái)產(chǎn)權(quán)客體不同，個(gè)人信息沒有特定性、獨(dú)立性，也非無形物，不能歸入表彰民事權(quán)利的客體。(14)參見梅夏英：《數(shù)據(jù)的法律屬性及其民法定位》，載《中國社會(huì)科學(xué)》2016年第9期，第164頁。更重要的是，它具有非排他性、非損耗性，兼具流通和控制雙重價(jià)值，不能也不應(yīng)成為絕對、排他、對世的權(quán)利對象，否則將阻礙數(shù)字社會(huì)的縱深發(fā)展。(15)這一點(diǎn)早已為眾多民法、公法學(xué)者反復(fù)闡明。參見吳偉光：《大數(shù)據(jù)技術(shù)下個(gè)人數(shù)據(jù)信息私權(quán)保護(hù)論批判》，載《政治與法律》2016年第7期，第129頁；丁曉東：《個(gè)人信息私法保護(hù)的困境與出路》，載《法學(xué)研究》2018年第6期，第194-206頁；同前注〔1〕，梅夏英文，第848-849頁。即使賦予信息主體此種民事權(quán)利，也遠(yuǎn)非最佳保護(hù)手段，因?yàn)閭€(gè)人信息保護(hù)要解決的核心問題是個(gè)人與信息處理者之間的“非對稱權(quán)力結(jié)構(gòu)”。(16)王錫鋅：《個(gè)人信息國家保護(hù)義務(wù)及展開》，載《中國法學(xué)》2021年第1期，第147頁。個(gè)體主義權(quán)利進(jìn)路下，個(gè)人信息權(quán)極易淪為“紙面上的權(quán)利”。(17)丁曉東：《個(gè)人信息的雙重屬性與行為主義規(guī)制》，載《法學(xué)家》2020年第1期，第70頁；另見張新寶：《我國個(gè)人信息保護(hù)法立法主要矛盾研討》，載《吉林大學(xué)社會(huì)科學(xué)學(xué)報(bào)》2018年第5期，第50頁?？梢哉f，立法者正是洞察到上述問題，才選擇不在《民法典》中明文規(guī)定“個(gè)人信息權(quán)”。③實(shí)事求是地講，對個(gè)人信息權(quán)的上述局限，民法學(xué)者早有認(rèn)識(shí)，故提出新型人格權(quán)說，試圖緩和傳統(tǒng)人格權(quán)獨(dú)占、排他的性質(zhì)，以順應(yīng)信息時(shí)代之巨變。然而，這是以突破傳統(tǒng)民法教義為代價(jià)的。如所周知，民法的經(jīng)典敘事是：人格權(quán)不得轉(zhuǎn)讓，但民事主體可將部分人格利益以許可使用的方式允許他人利用。(18)參見《民法典》第992、993條。人格權(quán)以占有、保護(hù)為原則，以流轉(zhuǎn)、交易為例外。但個(gè)人信息并非如此，在現(xiàn)代社會(huì)，其保護(hù)和流轉(zhuǎn)價(jià)值并重，不存在孰為前提、孰為例外。這也能解釋為什么《民法典》第993條在設(shè)定人格利益許可使用制度時(shí)，只列舉了姓名、名稱、肖像，而沒有提及個(gè)人信息，因?yàn)閭€(gè)人信息的流轉(zhuǎn)、交易與傳統(tǒng)民法上的人格利益許可使用并不相同。(19)有學(xué)者指出，參見《民法典》第993條在列舉這三類人格要素后使用了“等”字，表明列舉是不完全的，個(gè)人信息也可以許可他人使用。程嘯：《我國民法典對人格要素商業(yè)化利用的規(guī)范》，載《人民法院報(bào)》2020年12月17日，第5版。但這無法解釋為什么《民法典》第993條在設(shè)定合理使用人格利益制度時(shí)，除了姓名、名稱、肖像，還明文列舉了個(gè)人信息。這意味著要把個(gè)人信息保護(hù)塞入民法人格權(quán)框架，很大程度上必須破壞其原有結(jié)構(gòu)。(20)部分民法學(xué)者提出的個(gè)人信息新型財(cái)產(chǎn)權(quán)說也面臨相同的挑戰(zhàn)。參見龍衛(wèi)球：《數(shù)據(jù)新型財(cái)產(chǎn)權(quán)構(gòu)建及其體系研究》，載《政法論壇》2017年第4期，第70-73頁；劉德良：《個(gè)人信息的財(cái)產(chǎn)權(quán)保護(hù)》，載《法學(xué)研究》2007年第3期，第80頁。當(dāng)然，民法學(xué)者可回應(yīng)道：為了與時(shí)俱進(jìn)，突破傳統(tǒng)民法是應(yīng)付的代價(jià)。但更難應(yīng)對的問題是：個(gè)人信息權(quán)無法派生出知情、查詢、修改、保密、刪除等權(quán)能，因?yàn)樗鼈儽举|(zhì)上是在“服務(wù)一種特定的立法目的，即有效地阻止個(gè)人信息被非法濫用，而非使信息為個(gè)人所獨(dú)占”。(21)同前注〔1〕，梅夏英文，第849頁。

第二，個(gè)人信息權(quán)益不僅具有民事權(quán)利屬性，也具有公法權(quán)利屬性。理由如下：①作為民事權(quán)利的個(gè)人信息權(quán)無法對抗公權(quán)力機(jī)關(guān)。一個(gè)法學(xué)常識(shí)是：民事權(quán)利和公法權(quán)利的核心差異在于前者對抗平等民事主體，后者對抗國家。這當(dāng)然不是說公權(quán)力機(jī)關(guān)可以不尊重民事權(quán)利，而是說當(dāng)公權(quán)力機(jī)關(guān)以平等民事主體身份處理個(gè)人信息時(shí)，需要尊重其所承載的民事權(quán)益。一旦公權(quán)力機(jī)關(guān)履行公共管理職責(zé)而處理個(gè)人信息，則需尊重個(gè)人信息公法權(quán)利。在《民法典》之前，早有一系列法律規(guī)定了對抗國家的個(gè)人信息公法權(quán)利，包括《護(hù)照法》第12條、《居民身份證法》第6條、《國家情報(bào)法》第19條等?！睹穹ǖ洹凡粫?huì)覆蓋或推翻這些先在立法。事實(shí)上，就連《民法典》第1039條要求“國家機(jī)關(guān)、承擔(dān)行政職能的法定機(jī)構(gòu)及其工作人員對于履行職責(zé)過程中知悉的個(gè)人信息應(yīng)當(dāng)保密”，也是在規(guī)定一項(xiàng)公法權(quán)利。②對個(gè)人信息的多重保護(hù)機(jī)制無法從作為民事權(quán)利的個(gè)人信息權(quán)中導(dǎo)出，原因有二：一方面，國家運(yùn)用行政法、刑法等手段來保護(hù)個(gè)人信息，并非為了實(shí)現(xiàn)信息主體對個(gè)人信息的獨(dú)占，也不是在協(xié)調(diào)作為平等民事主體的信息主體和信息處理者之關(guān)系。之所以要在民法之外引入其它部門法的多重保護(hù)，恰恰是因?yàn)樾畔⒅黧w和處理者之間高度不平等，(22)這也是GDPR和《個(gè)人信息保護(hù)法草案》均把因個(gè)人或者家庭事務(wù)而處理個(gè)人信息的情形排除在適用范圍之外的原因。以個(gè)體維權(quán)、訴訟為核心的民法機(jī)制無力“糾偏”，亟需公共監(jiān)管、執(zhí)法和處罰為核心的行政法、刑法機(jī)制來“馳援”。(23)同前注〔16〕，王錫鋅文，第149頁。另一方面，對抗私主體的民事權(quán)利無法派生對抗公主體的公法權(quán)利及配套的公法保護(hù)機(jī)制。③當(dāng)然，民法學(xué)者意識(shí)到國家早已成為個(gè)人信息的處理者，也承認(rèn)公法保護(hù)的重要性，(24)參見張新寶：《從隱私到個(gè)人信息：利益再衡量的理論與制度安排》，載《中國法學(xué)》2015年第3期，第46-47頁；張彤：《論民法典編纂視角下的個(gè)人信息保護(hù)立法》，載《行政管理改革》2020年第2期，第31頁。但因擔(dān)心承認(rèn)個(gè)人信息公法權(quán)利會(huì)導(dǎo)致公權(quán)機(jī)關(guān)優(yōu)位和公權(quán)膨脹，仍堅(jiān)持個(gè)人信息僅僅是民事權(quán)利客體。在以“管理法”為核心的公法擠壓私法的現(xiàn)象并不鮮見的今天，這種擔(dān)心值得理解與同情。(25)參見林來梵：《民法典編纂的憲法學(xué)透析》，載《法學(xué)研究》2016年第4期，第108頁。但現(xiàn)代公法權(quán)利的本意是“主觀公權(quán)利”，反映了約束公權(quán)、張揚(yáng)人權(quán)的政治哲學(xué)，(26)參見趙宏：《主觀公權(quán)利的歷史嬗變與當(dāng)代價(jià)值》，載《中外法學(xué)》2019年第3期，第666頁。與民法私權(quán)神圣、私法自治的價(jià)值導(dǎo)向若合符節(jié)。因此，承認(rèn)個(gè)人信息權(quán)益的公法權(quán)利屬性，不會(huì)膨脹公權(quán)，而能限制公權(quán)。若對公權(quán)與私人信息處理者一視同仁，反會(huì)造成“公法遁入私法”，使公權(quán)機(jī)關(guān)假借民事主體身份逃脫公法約束，以表面平等掩蓋實(shí)質(zhì)不平等。

第三，“信息處理者民法義務(wù)—侵權(quán)者民事責(zé)任—《民法典》規(guī)范”的邏輯難以完整覆蓋個(gè)人信息保護(hù)法律體系。理由如下：①僅有民法義務(wù)無法約束公權(quán)機(jī)關(guān)高權(quán)性、強(qiáng)制性、公益性的信息處理行為。這些行為只能對應(yīng)公法義務(wù)。②僅有民事責(zé)任不足以完成個(gè)人信息保護(hù)重任。個(gè)體侵權(quán)訴訟在因果關(guān)系認(rèn)定和賠償確定上存在極大困難，GDPR主要是通過高額罰款來阻嚇侵權(quán)行為，并沒有涉及任何私法救濟(jì)方式。(27)同前注〔1〕，梅夏英文，第849頁。更何況公權(quán)機(jī)關(guān)依職權(quán)處理個(gè)人信息的行為違法，應(yīng)承擔(dān)行政賠償責(zé)任，根據(jù)《行政訴訟法》《國家賠償法》來救濟(jì)。(28)同前注〔3〕，程嘯文，第6頁。③在我國個(gè)人信息保護(hù)法律制度尚不完善的語境下，民法學(xué)者期待《民法典》充任《歐盟基本權(quán)利憲章》那樣的憲法角色，用心可謂良苦。但“以民法代憲法”發(fā)生于近現(xiàn)代歐洲國家動(dòng)蕩、憲法缺乏實(shí)效性的特殊歷史情境下，平移至我國具有“反歷史性”。(29)同前注〔25〕，林來梵文，第109-110頁。更重要的是，《個(gè)人信息保護(hù)法》的義務(wù)主體、調(diào)整范圍、執(zhí)行機(jī)制等均不同于《民法典》，并非后者的特別法。(30)參見周漢華：《個(gè)人信息保護(hù)的法律定位》，載《法商研究》2020年第3期，第47-54頁。

須澄清的是，論證個(gè)人信息不是民事權(quán)利的客體，不代表個(gè)人信息與民事權(quán)利無關(guān)。2020年，全國人大常委會(huì)法工委在《關(guān)于〈中華人民共和國個(gè)人信息保護(hù)法(草案)〉的說明》中指出：“在編纂民法典中，將個(gè)人信息受法律保護(hù)作為一項(xiàng)重要民事權(quán)利作出規(guī)定?！边@里的措辭極其精準(zhǔn)，表明《民法典》確立的并非個(gè)人信息權(quán)，而是個(gè)人信息受保護(hù)權(quán)，前者指向信息主體對個(gè)人信息的自決與控制，后者指向信息主體在個(gè)人信息處理過程中應(yīng)得的保護(hù)?！睹穹ǖ洹分源_立個(gè)人信息受保護(hù)權(quán)，是因?yàn)閭€(gè)人信息承載了重大人格、財(cái)產(chǎn)民事利益，須通過對信息主體提供保護(hù)來予以維護(hù)。正如《民法典》開宗明義地點(diǎn)明“根據(jù)憲法，制定本法”，該項(xiàng)民事權(quán)利根源在于我國憲法上的個(gè)人信息受保護(hù)權(quán)，是后者在具體法律中的表述。(31)同前注〔16〕，王錫鋅文，第157頁。

三、作為憲法基本權(quán)利的個(gè)人信息受保護(hù)權(quán)

隨著個(gè)人信息法律保護(hù)的全球擴(kuò)張，在憲法層面確立相關(guān)權(quán)益的必要性已成學(xué)界共識(shí)。(32)有學(xué)者指出：“在當(dāng)下的互聯(lián)網(wǎng)時(shí)代，在民法典、個(gè)人信息保護(hù)法等眾多立法全方位快速推進(jìn)的背景下，對相關(guān)權(quán)益的憲法基礎(chǔ)的論證是極為迫切的憲法學(xué)任務(wù)?！睆埾瑁骸锻ㄐ艡?quán)的憲法釋義與審查框架——兼與杜強(qiáng)強(qiáng)、王鍇、秦小建教授商榷》，載《比較法研究》2021年第1期，第41頁。早在十余年前，我國就有學(xué)者提出個(gè)人信息保護(hù)“體現(xiàn)基本權(quán)利核心內(nèi)容，即人性尊嚴(yán)與人格獨(dú)立”，但在我國憲法上屬于一項(xiàng)未列舉基本權(quán)利，應(yīng)通過憲法判例“寫進(jìn)”憲法。(33)參見孫平：《政府巨型數(shù)據(jù)庫時(shí)代的公民隱私權(quán)保護(hù)》，載《法學(xué)》2007年第7期，第41頁；屠振宇：《憲法隱私權(quán)研究——一項(xiàng)未列舉基本權(quán)利的理論論證》，法律出版社2008年版，第五章；姚岳絨：《論信息自決權(quán)作為一項(xiàng)基本權(quán)利在我國的證成》，載《政治與法律》2012年第4期，第73-75頁。這一主張?jiān)庥隽藘煞N批評：一是批評這“要求憲法法院或憲法裁判空間，并不符合我國當(dāng)前國情”；(34)同前注〔5〕，張里安、韓旭至文，第124頁。二是批評將保護(hù)個(gè)人信息提高到基本權(quán)利的地位“有過度強(qiáng)化個(gè)人信息保護(hù)之嫌，在與信息自由流通以及信息產(chǎn)業(yè)發(fā)展間容易產(chǎn)生摩擦”。(35)徐美：《再談個(gè)人信息保護(hù)路徑——以〈民法總則〉第111條為出發(fā)點(diǎn)》，載《中國政法大學(xué)學(xué)報(bào)》2018年第5期，第89頁。但這些批評均不成立。一方面，隨著合憲性審查工作推進(jìn)，憲法基本權(quán)利不再是空中樓閣，確立個(gè)人信息保護(hù)基本權(quán)利的制度性障礙亦不復(fù)存在。另一方面，基本權(quán)利不等于絕對權(quán)利，不會(huì)對個(gè)人信息提供毫無限制的保護(hù)，也不許諾遺世獨(dú)立的“魯濱遜式自由”。(36)Serge Gutwirth et al.eds., Reinventing Data Protection?, Springer, 2009, p.57.因此，當(dāng)下亟待學(xué)理澄清的問題不再是“為何”要確立該項(xiàng)基本權(quán)利，而是“如何”確立，具體包括規(guī)范依據(jù)和概念表達(dá)兩大任務(wù)。

(一)個(gè)人信息保護(hù)基本權(quán)利的規(guī)范依據(jù)

如何在憲法上安頓個(gè)人信息保護(hù)基本權(quán)利？各國實(shí)踐遵循兩條路徑：憲法肯認(rèn)(Constitutional Entrenchment)和憲法解釋(Constitutional Interpretation)。前者是指成文憲法明確寫入個(gè)人信息保護(hù)。目前，全球已有三十多個(gè)法域?qū)€(gè)人信息保護(hù)列為基本權(quán)利。(37)2020年11月12日在比較憲法項(xiàng)目數(shù)據(jù)庫(www.constituteproject.org)以“personal data”為關(guān)鍵詞做全文檢索，可得現(xiàn)行有效憲法26部；以“personal information”做檢索，可得13部。最典型的如《歐盟基本權(quán)利憲章》第8條和《歐盟運(yùn)行條約》第16條規(guī)定“個(gè)人信息受保護(hù)權(quán)”。

更多國家是以憲法解釋將個(gè)人信息保護(hù)納入基本權(quán)利范圍。20世紀(jì)60、70年代以來，由于計(jì)算機(jī)系統(tǒng)和自動(dòng)化處理的推廣，西方國家率先開始關(guān)注個(gè)人信息保護(hù)，但此時(shí)其成文憲法已定型，憲法解釋成為更優(yōu)選擇，典型代表如美國和德國。1977年的“華倫訴羅伊”案(Whalenv.Roe)中，美國聯(lián)邦最高法院基于憲法第四修正案，首次確立“信息隱私權(quán)”(Right to Informational Privacy)，即“個(gè)人、團(tuán)體或機(jī)構(gòu)要求自主決定何時(shí)、如何以及在多大程度上向他人傳達(dá)有關(guān)他們的信息”的權(quán)利。(38)Alan Westin, Privacy and Freedom, Atheneum Press, 1967, p.7; Daniel Solove, Conceptualizing Privacy, 90 California Law Review 1087, 1110 (2002).1983年的“第二人口調(diào)查案”判決中，德國聯(lián)邦憲政法院根據(jù)《基本法》第1條第1款的人格尊嚴(yán)條款和第2條第1款的一般人格權(quán)條款，推導(dǎo)出個(gè)人擁有“信息自決權(quán)”(Informationelle Selbstbestimmung)，即“有權(quán)自己決定何時(shí)以及在什么范圍內(nèi)將有關(guān)其私人生活的信息傳達(dá)給他人”，(39)Christian Bumke & Andreas Vo?kuhle, German Constitutional Law: Introduction, Cases and Principles, Oxford University Press, 2019, pp.110-111.并指出“作為在數(shù)據(jù)處理的現(xiàn)代條件下自由發(fā)展個(gè)性的前提，個(gè)人必須被保護(hù)免受個(gè)人數(shù)據(jù)的無限收集、儲(chǔ)存、使用和傳遞”。(40)趙宏：《從信息公開到信息保護(hù)：公法上信息權(quán)保護(hù)研究的風(fēng)向流轉(zhuǎn)與核心問題》，載《比較法研究》2017年第1期，第41頁。

與美、德類似，我國憲法沒有明文肯認(rèn)個(gè)人信息保護(hù)。那么，能否通過憲法解釋將其納入基本權(quán)利？既有研究給出了肯定的答案，但就所依據(jù)的憲法條文有三種不同觀點(diǎn)：一是《憲法》第33條“國家尊重和保障人權(quán)”；(41)同前注〔33〕，姚岳絨文，第77-78頁。二是第38條規(guī)定的人的尊嚴(yán)；(42)同前注〔33〕，孫平文，第41頁。三是第38條規(guī)定的一般人格權(quán)。(43)參見王鍇：《論憲法上的一般人格權(quán)及其對民法的影響》，載《中國法學(xué)》2017年第3期，第115頁。觀點(diǎn)一通過把個(gè)人信息定義為人權(quán)來論證其基本權(quán)利屬性，有循環(huán)論證之嫌。觀點(diǎn)二、三的憲法條文依據(jù)相同，都是第38條“公民的人格尊嚴(yán)不受侵犯”，但具體解釋方案不同。前者基于“人格尊嚴(yán)條款雙重規(guī)范意義說”，認(rèn)為該條的“人格尊嚴(yán)”不僅指諸如名譽(yù)、肖像等具體權(quán)利，也是一種“原則性的概括條款，為此體現(xiàn)了整個(gè)人權(quán)保障體系的基礎(chǔ)性價(jià)值”，類似于《德國基本法》第1條規(guī)定的“人的尊嚴(yán)”，(44)林來梵：《人的尊嚴(yán)與人格尊嚴(yán)——兼論中國憲法第38條的解釋方案》，載《浙江社會(huì)科學(xué)》2008年第3期，第53頁。由此推導(dǎo)出個(gè)人信息應(yīng)受保護(hù)。(45)同前注〔33〕，姚岳絨文，第74頁。后者則拒絕把第38條類比于《德國基本法》第1條，認(rèn)為中國憲法上的“人格尊嚴(yán)”是一種“公民作為具有獨(dú)立意志的主體享有的得到尊重的權(quán)利，包括但不限于不受侮辱、誹謗和誣告陷害的人格權(quán)”，(46)謝立斌：《中德比較憲法視野下的人格尊嚴(yán)——兼與林來梵教授商榷》，載《政法論壇》2010年第4期，第62-63頁。即憲法上的一般人格權(quán)，個(gè)人信息受保護(hù)是作為一般人格權(quán)內(nèi)容的個(gè)人自我決定權(quán)之產(chǎn)物。(47)同前注〔43〕，王鍇文，第115-116頁。顯然，兩種觀點(diǎn)都認(rèn)為個(gè)人信息保護(hù)與尊嚴(yán)、人格相關(guān)，差別在于如何解釋第38條。但區(qū)分該條指向的到底是人的尊嚴(yán)還是一般人格權(quán)，對于把個(gè)人信息保護(hù)納入我國憲法基本權(quán)利而言，意義并不大。這是因?yàn)樵诘聡痉ㄉ?，人的尊?yán)和一般人格權(quán)的主要差異是前者不可干預(yù)，而后者可被干預(yù)，(48)同上注，第110-111頁。我國憲法則沒有這個(gè)差別，因?yàn)楦鶕?jù)《憲法》第51條，兩者都應(yīng)受公共利益和他人權(quán)利限制。(49)同前注〔46〕，謝立斌文，第63頁。因此，在個(gè)人信息保護(hù)問題上，兩種解釋方案可以共存互補(bǔ)：人的尊嚴(yán)是個(gè)人信息保護(hù)的最終價(jià)值依歸，一般人格權(quán)則是其具體權(quán)利基礎(chǔ)，后者具有中間性(Intermediate)和工具性(Instrumental)，目的是為了保障前者。(50)同前注〔36〕，Serge Gutwirth等編書，第53-54頁。無論采哪種解釋方案，個(gè)人信息保護(hù)都可依據(jù)《憲法》第38條納入基本權(quán)利范圍。

(二)個(gè)人信息保護(hù)基本權(quán)利的概念表達(dá)

如何在概念上表達(dá)個(gè)人信息保護(hù)基本權(quán)利？既有研究提出三種方案：個(gè)人信息權(quán)(51)參見孫平：《系統(tǒng)構(gòu)筑個(gè)人信息保護(hù)立法的基本權(quán)利模式》，載《法學(xué)》2016年第4期，第67頁；李偉民：《“個(gè)人信息權(quán)”性質(zhì)之辨與立法模式研究——以互聯(lián)網(wǎng)新型權(quán)利為視角》，載《上海師范大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2018年第3期，第67頁。、個(gè)人信息自決/控制權(quán)(52)同前注〔33〕，姚岳絨文，第73頁；另見周漢華：《探索激勵(lì)相容的個(gè)人數(shù)據(jù)治理之道——中國個(gè)人信息保護(hù)法的立法方向》，載《法學(xué)研究》2018年第2期，第21頁；王澤鑒：《人格權(quán)的具體化及其保護(hù)范圍·隱私權(quán)篇(中)》，載《比較法研究》2009年第1期，第10頁。、個(gè)人信息受保護(hù)權(quán)(53)參見石佳友：《網(wǎng)絡(luò)環(huán)境下的個(gè)人信息保護(hù)立法》，載《蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2012年第6期，第86頁。。有學(xué)者指出：“個(gè)人信息權(quán)是指與個(gè)人信息收集、使用和處理等相關(guān)的權(quán)利?！?54)同前注〔51〕，孫平文，第67頁。這種界定無疑過于含混，因?yàn)椴磺宄嚓P(guān)權(quán)利是個(gè)人獨(dú)有，還是與信息處理者或更多主體分享。有學(xué)者進(jìn)一步把權(quán)利主體限于個(gè)人，明確個(gè)人信息權(quán)是“信息主體對其信息享有占有、使用、收益、處分，并防止他人侵害的權(quán)利”，(55)同前注〔51〕，李偉民文，第67頁。這使個(gè)人信息權(quán)變成個(gè)人信息自決/控制權(quán)的縮寫。如前所言，德國憲法法院就使用了這個(gè)概念。然而，個(gè)人信息自決/控制權(quán)在歐洲早已飽受批判：第一，德國學(xué)者指出個(gè)人信息保護(hù)法不是保護(hù)數(shù)據(jù)主體對其信息自決/控制，而是一種“針對個(gè)人信息自動(dòng)化處理方式給個(gè)人人格或財(cái)產(chǎn)帶來之加害危險(xiǎn)的事先防御機(jī)制”。(56)Regina Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Personlichkeitsschutzes, unter besonderer Berücksichtigung der Rechtslage in der Schweiz und in Deutschland, 2005, S.295，轉(zhuǎn)引自楊芳：《個(gè)人信息自決權(quán)理論及其檢討——兼論個(gè)人信息保護(hù)法之保護(hù)客體》，載《比較法研究》2015年第6期，第32頁。之所以如此，是因?yàn)閭€(gè)人信息自決/控制“承認(rèn)一種近似乎所有權(quán)的支配權(quán)”，“制造個(gè)人信息的稀缺性，無疑于禁錮思想，阻嚇交流”。(57)Vgl.Alois Troller, Immaterialgüterrecht, Bd.1, 3.Aufl., 1983, S.118 ff.，轉(zhuǎn)引自同上注，楊芳文，第29頁。第二，歐洲學(xué)者敏銳地提醒：“在占有性個(gè)人主義大行其道的背景下，在私有財(cái)產(chǎn)和市場法則被認(rèn)為是最有效的權(quán)利分配方式的時(shí)代，‘信息自決權(quán)’日益被解讀為在暗示個(gè)人對其個(gè)人信息具有某種可轉(zhuǎn)讓的財(cái)產(chǎn)權(quán)，即個(gè)人信息是個(gè)人的財(cái)產(chǎn)。然而，‘信息’無法先于其‘表達(dá)’或‘披露’存在，而總是以某種方式而被建構(gòu)出來——邏輯上，個(gè)人對與其有關(guān)的信息并不擁有某種‘自然’的原始權(quán)利。”(58)同前注〔36〕，Serge Gutwirth等編書，第51頁。第三，德國學(xué)者稱信息自決/控制權(quán)為一種“烏托邦”，因?yàn)闅W盟GDPR針對個(gè)人自決/控制創(chuàng)設(shè)的例外太多，使之無法成為有意義的原則。但這無可厚非，因?yàn)樽詻Q/控制本來既不現(xiàn)實(shí)，也無必要——個(gè)人就其信息如何處理有一定發(fā)言權(quán)，但不是最終發(fā)言權(quán)。(59)Winfried Veil, The GDPR: The Emperor’s New Clothes-On the Structural Shortcomings of Both the Old and the New Data Protection Law, 10 Neue Zeitschrift für Verwaltungsrecht 686 (2018).

正因如此，“個(gè)人信息受保護(hù)權(quán)”(Right to Protection of Personal Data)，而非“信息自決/控制權(quán)”(Right to Data Self-determination/control)，成為歐盟立法的選擇?！靶畔⒈Ｗo(hù)”(Datenschutz)一詞源于1970年德國黑塞州的《信息保護(hù)法》，這是世界上該領(lǐng)域的首部專門法律，后經(jīng)1981年歐洲理事會(huì)《數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》正式轉(zhuǎn)譯為英語中的data protection(法語為protection des données)，進(jìn)入國際法律文本，對歐洲各國的后續(xù)立法產(chǎn)生深遠(yuǎn)影響。比如英國1984年通過的相關(guān)法律就命名為《信息保護(hù)法案》(Data Protection Act)，而非此前在英語世界更為流行的“隱私法案”(例如美國1974年《隱私法案》)。(60)González Fuster, The Emergence of Personal Data Protection as a Fundamental Right of the EU, Springer, 2014, pp.88-89, 92-93.該傳統(tǒng)為歐盟1995年數(shù)據(jù)保護(hù)指令、《歐盟基本權(quán)利憲章》以及GDPR所延續(xù)。(61)據(jù)曾任歐盟數(shù)據(jù)監(jiān)察專員(European Data Protection Supervisor)的Peter Hustinx介紹，《歐盟基本權(quán)利憲章》起草時(shí)有意放棄使用源自德國法的個(gè)人信息自決權(quán)，而采用個(gè)人信息受保護(hù)權(quán)。Marise Cremona et al.eds., New Technologies and EU Law, Oxford University Press, 2017, p.140.相較于“信息自決/控制權(quán)”，“個(gè)人信息受保護(hù)權(quán)”一詞擯棄了個(gè)人獨(dú)占、控制信息之意味，不以個(gè)人信息本身為客體，而是指向個(gè)人在信息處理過程中應(yīng)當(dāng)獲得的保護(hù)。具體如何保護(hù)，則有賴于國家履行對該項(xiàng)基本權(quán)利的保護(hù)義務(wù)。(62)同前注〔16〕，王錫鋅文，第150-153頁。許多國家憲法明文規(guī)定的也正是個(gè)人信息受保護(hù)權(quán)。例如《希臘憲法》第9條規(guī)定：“任何人就其個(gè)人信息的收集、處理和使用，尤其是通過電子手段為之的，受到法律保護(hù)?！薄赌鞲鐟椃ā返?6條規(guī)定：“所有人都享有個(gè)人信息受保護(hù)以及訪問、更正和刪除此類信息的權(quán)利?！薄栋柤袄麃啈椃ā返?6條規(guī)定：“所有人在其個(gè)人信息被處理時(shí)受到保護(hù)是法律保障的一項(xiàng)基本權(quán)利?！庇需b于此，我國應(yīng)當(dāng)采用個(gè)人信息受保護(hù)權(quán)這一概念。

事實(shí)上，立法者早已做此選擇。如前所言，《民法典》確立了作為民事權(quán)利的個(gè)人信息受保護(hù)權(quán)。此外，2013年修改的《消費(fèi)者權(quán)益保護(hù)法》第14條規(guī)定：“消費(fèi)者在購買、使用商品和接受服務(wù)時(shí)，享有個(gè)人信息依法得到保護(hù)的權(quán)利?！?016年《網(wǎng)絡(luò)安全法》第64條規(guī)定：“網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者……侵害個(gè)人信息依法得到保護(hù)的權(quán)利的，由有關(guān)主管部門責(zé)令改正?！?021年4月公布的《個(gè)人信息保護(hù)法草案(二審稿)》第2條規(guī)定：“自然人的個(gè)人信息受法律保護(hù)，任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益?！贝颂幍摹皞€(gè)人信息權(quán)益”指的就是“基于個(gè)人信息受保護(hù)權(quán)實(shí)現(xiàn)而獲得保障的各種相關(guān)法益”。(63)同上注，第152頁。為與前期立法保持一致，建議改為“任何組織、個(gè)人不得侵害自然人個(gè)人信息依法得到保護(hù)的權(quán)利”。這些橫跨民法、經(jīng)濟(jì)法、行政法等領(lǐng)域的立法不約而同地規(guī)定個(gè)人信息受保護(hù)權(quán)，正體現(xiàn)出我國的個(gè)人信息保護(hù)法律體系是以作為憲法基本權(quán)利的個(gè)人信息受保護(hù)權(quán)為概念基礎(chǔ)。

四、憲法基本權(quán)利視野下的個(gè)人信息保護(hù)法律體系建構(gòu)

正如本文開頭所言，我國個(gè)人信息保護(hù)法律體系應(yīng)置于一個(gè)能充分解釋和有效規(guī)范該體系的核心概念之上。前文已論證作為民事權(quán)利的個(gè)人信息權(quán)難以獨(dú)自擔(dān)此重任，本節(jié)基于憲法基本權(quán)利教義學(xué)，以個(gè)人信息受保護(hù)權(quán)為出發(fā)點(diǎn)，從其內(nèi)容(“保護(hù)什么”)、功能(“如何保護(hù)”)和限制(“保護(hù)多少”)三個(gè)角度，嘗試建構(gòu)我國個(gè)人信息保護(hù)法律體系。

(一)我國憲法上個(gè)人信息受保護(hù)權(quán)的內(nèi)容

憲法上個(gè)人信息受保護(hù)權(quán)的內(nèi)容，決定其保護(hù)范圍，因?yàn)?，基本?quán)利的內(nèi)容決定了權(quán)利主體可以就何種客體提出何種主張。在確定我國憲法上個(gè)人信息受保護(hù)權(quán)的內(nèi)容時(shí)，應(yīng)注意以下三點(diǎn)：

第一，個(gè)人信息受保護(hù)權(quán)的根本目標(biāo)決定該項(xiàng)基本權(quán)利的內(nèi)容。進(jìn)入數(shù)字時(shí)代，個(gè)人信息天然具有公共性、交互性，其自由流動(dòng)與利用具有巨大社會(huì)和經(jīng)濟(jì)價(jià)值，保護(hù)個(gè)體占有既無可能，也不必要。因此，個(gè)人信息受保護(hù)權(quán)并不意在實(shí)現(xiàn)信息主體對個(gè)人信息絕對、排他的控制。然而，隨著信息高速流動(dòng)和廣泛利用，原本零散、偶發(fā)的個(gè)人信息處理，日漸具有規(guī)模性和持續(xù)性，經(jīng)由“馬賽克效應(yīng)”(Mosaic Effect)，將信息主體置于前所未有的被操控、侵?jǐn)_或歧視之境地，使其因“數(shù)字化”而“客體化”，面臨人格尊嚴(yán)貶損的巨大風(fēng)險(xiǎn)。(64)Orla Lynskey, Deconstructing Data Protection: The “Added-value” of a Right to Data Protection in the EU Legal Order, 63 International and Comparative Law Quarterly 569, 592 (2014); David Pozen, The Mosaic Theory, National Security, and the Freedom of Information Act, 115 Yale Law Journal 628, 630 (2005).為扭轉(zhuǎn)這一局面，有必要讓每時(shí)每刻都在被“處理”的信息主體在此過程中重拾主體地位，確保其個(gè)人信息以合乎人格尊嚴(yán)的方式被處理。這既是我國《憲法》第38條“人格尊嚴(yán)不受侵犯”的題中之義，也是個(gè)人信息受保護(hù)權(quán)的根本目標(biāo)，即通過控制個(gè)人信息處理活動(dòng)，在不限制個(gè)人信息自由流動(dòng)和利用的前提下，確保個(gè)人信息處理不逾越人格尊嚴(yán)底線?！秱€(gè)人保信息保護(hù)法草案(二審稿)》第1條規(guī)定“為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，制定本法”，正體現(xiàn)了這一目標(biāo)。為了彰明其憲法基礎(chǔ)，建議在“制定本法”前添加“根據(jù)憲法”。

第二，個(gè)人信息受保護(hù)權(quán)中“個(gè)人信息”的定義決定該項(xiàng)憲法權(quán)利的范圍。對此，《民法典》第1034條表述為：“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息?！薄秱€(gè)人信息保護(hù)法草案(一審稿)》《個(gè)人信息保護(hù)法草案(二審稿)》第4條表述為：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息?！倍叨际菍椃ㄉ蟼€(gè)人信息受保護(hù)權(quán)范圍給出的形成性定義。兩相對比，《民法典》采用“識(shí)別”標(biāo)準(zhǔn)，個(gè)人信息保護(hù)法草案則采用“識(shí)別+關(guān)聯(lián)”標(biāo)準(zhǔn)。前者是“從信息到個(gè)人”，由信息本身的特殊性識(shí)別出特定自然人，凡有助于識(shí)別出特定個(gè)人的信息都是個(gè)人信息；后者則還要加上“從個(gè)人到信息”，在識(shí)別出特定自然人后，該特定個(gè)人在其活動(dòng)中產(chǎn)生的信息均為個(gè)人信息。(65)參見《信息安全技術(shù)個(gè)人信息安全規(guī)范》附錄A“個(gè)人信息示例”。后者的范圍大于前者。事實(shí)上，從2012年《全國人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，到2016年《網(wǎng)絡(luò)安全法》第76條，再到2017年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，個(gè)人信息的認(rèn)定標(biāo)準(zhǔn)從“直接識(shí)別”到“直接識(shí)別+間接識(shí)別”再到“識(shí)別+關(guān)聯(lián)”，范圍漸趨擴(kuò)大。在《民法典》退回到“識(shí)別”標(biāo)準(zhǔn)后，個(gè)人信息保護(hù)法草案又回歸“識(shí)別+關(guān)聯(lián)”標(biāo)準(zhǔn)。這標(biāo)志著立法者在立法形成空間內(nèi)，不斷調(diào)適個(gè)人信息的認(rèn)定標(biāo)準(zhǔn)。但問題是：何種標(biāo)準(zhǔn)才能更好地落實(shí)憲法上的個(gè)人信息受保護(hù)權(quán)？這就涉及如何判斷基本權(quán)利的內(nèi)在限制，即其本身所固有的、非外在的限制。這種內(nèi)在限制不應(yīng)過大，否則會(huì)不當(dāng)限縮憲法保護(hù)的范圍。因此，學(xué)理上一般認(rèn)為基本權(quán)利的內(nèi)在限制包括“禁止明顯危害社會(huì)的行為”“暴力禁止”“尊重第三方財(cái)產(chǎn)”“禁止權(quán)利濫用”“惡意禁止”。(66)王鍇：《基本權(quán)利保護(hù)范圍的界定》，載《法學(xué)研究》2020年第5期，第119-121頁。在此視角下，與《民法典》的“識(shí)別”標(biāo)準(zhǔn)相比，個(gè)人信息保護(hù)法草案的“識(shí)別+關(guān)聯(lián)”標(biāo)準(zhǔn)雖更寬泛，但并未突破個(gè)人信息受保護(hù)權(quán)的內(nèi)在限制。更重要的是，與被識(shí)別后的特定個(gè)人關(guān)聯(lián)的信息，如個(gè)人位置信息、通話記錄、瀏覽記錄等，無疑會(huì)對個(gè)人尊嚴(yán)產(chǎn)生影響，也應(yīng)納入憲法基本權(quán)利的保護(hù)范圍。因此，個(gè)人信息保護(hù)法草案對個(gè)人信息的定義更加符合憲法上個(gè)人信息受保護(hù)權(quán)的內(nèi)涵。為避免法律沖突，對《民法典》第1034條第2款的解釋應(yīng)參照該定義。這也再次說明民法規(guī)范不能作為我國個(gè)人信息保護(hù)法律體系的基本法。

第三，個(gè)人信息受保護(hù)權(quán)中“受保護(hù)”的定義決定該項(xiàng)憲法權(quán)利的權(quán)能。根據(jù)前述個(gè)人信息受保護(hù)權(quán)的根本目標(biāo)，其所保護(hù)的并非信息主體對個(gè)人信息占有、使用、收益、處分，而是個(gè)人在信息處理過程中的主體尊嚴(yán)。為達(dá)到這一目的，當(dāng)個(gè)人與信息處理者之間存在不平等關(guān)系時(shí)，通過賦予個(gè)人知情、決定、查詢、復(fù)制、更正、攜帶、刪除等一系列工具性、中介性、程序性的權(quán)利，以實(shí)現(xiàn)其與信息處理者之間的制衡結(jié)構(gòu)，(67)同前注〔16〕，王錫鋅文，第158-160頁。避免其淪為客體。此一工具性的“權(quán)利束”無法從作為民事權(quán)利的個(gè)人信息權(quán)那里派生而出，而只能是憲法上個(gè)人信息受保護(hù)權(quán)落實(shí)之結(jié)果。這正是個(gè)人信息保護(hù)法草案一審稿、二審稿第四章以“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”，而非“個(gè)人信息權(quán)”為標(biāo)題的關(guān)鍵原因。當(dāng)然，個(gè)人信息受保護(hù)權(quán)派生出工具性權(quán)利束，不代表一套固定的權(quán)利能“包打天下”。不同場景下，公民因個(gè)人信息被處理而面臨的尊嚴(yán)減損風(fēng)險(xiǎn)不盡相同，工具性權(quán)利束也須相應(yīng)調(diào)整。后文對此將詳述。

(二)我國憲法上個(gè)人信息受保護(hù)權(quán)的功能

憲法上個(gè)人信息受保護(hù)權(quán)的功能，決定其保護(hù)方式，即個(gè)人信息保護(hù)所針對的侵害風(fēng)險(xiǎn)源以及所采用的保護(hù)手段。數(shù)字社會(huì)中，隨著數(shù)據(jù)跨境流動(dòng)，來自國內(nèi)外的公私主體均已成為個(gè)人信息侵害的風(fēng)險(xiǎn)源。如前所言，個(gè)人信息民事權(quán)利無法對抗公權(quán)信息處理者。要實(shí)現(xiàn)“全方位、無死角”的保護(hù)，必須引入作為憲法基本權(quán)利的個(gè)人信息受保護(hù)權(quán)。這是因?yàn)閼椃ɑ緳?quán)利具有雙重性質(zhì)，既是一種“主觀權(quán)利”，也是一種“客觀法”。(68)張翔：《基本權(quán)利的雙重性質(zhì)》，載《法學(xué)研究》2005年第3期，第21頁。在“主觀權(quán)利”面向下，基本權(quán)利主要具有防御權(quán)功能，即對抗公權(quán)主體，國家負(fù)有避免侵害基本權(quán)利的消極(不作為)義務(wù)。此種功能下，個(gè)人信息受保護(hù)權(quán)處理國家和個(gè)人的雙方關(guān)系，在二者之間樹起屏障，防御國家在處理個(gè)人信息過程中侵害個(gè)體尊嚴(yán)。而在“客觀法”面向下，基本權(quán)利則要求國家?guī)椭痛龠M(jìn)基本權(quán)利實(shí)現(xiàn)，尤其是在基本權(quán)利受到第三方影響時(shí)，國家有為其提供保護(hù)的積極(作為)義務(wù)。此種功能下，個(gè)人信息受保護(hù)權(quán)處理的是國家—個(gè)人—第三方的三邊關(guān)系，國家為使個(gè)人尊嚴(yán)免受第三方侵害而積極提供保護(hù)。這里的第三方包括來自外國的侵害者。(69)參見張翔：《基本權(quán)利的規(guī)范建構(gòu)》，高等教育出版社2008年版，第120-121頁?？梢姡ㄓ袘椃ㄉ系膫€(gè)人信息受保護(hù)權(quán)能同時(shí)對抗公權(quán)、私人和域外的侵害風(fēng)險(xiǎn)源。當(dāng)《民法典》第111條和《個(gè)人信息保護(hù)法草案(二審稿)》第2條規(guī)定“任何組織或者個(gè)人”不得侵害個(gè)人信息權(quán)益時(shí)，它們并非在規(guī)定一項(xiàng)民事權(quán)利，而是在落實(shí)憲法基本權(quán)利。關(guān)于個(gè)人信息受保護(hù)權(quán)所對應(yīng)的國家消極和積極義務(wù)如何展開，以往研究已有細(xì)致討論。(70)同前注〔16〕，王錫鋅文，第157-165頁；趙宏：《〈民法典〉時(shí)代個(gè)人信息權(quán)的國家保護(hù)義務(wù)》，載《經(jīng)貿(mào)法律評論》2021年第1期，第6-19頁。此處從宏觀角度，勾勒出憲法上個(gè)人信息受保護(hù)權(quán)統(tǒng)攝我國個(gè)人信息保護(hù)法律體系的兩條路徑。

第一，以個(gè)人信息受保護(hù)權(quán)的主觀權(quán)利功能來對抗公權(quán)侵害個(gè)人信息的風(fēng)險(xiǎn)。無論是公權(quán)主體處理個(gè)人信息的基本原則，抑或相關(guān)具體規(guī)范，都可在此功能下得到解釋。一方面，根據(jù)《民法典》第1035條第1款，處理個(gè)人信息應(yīng)征得信息主體同意，除非法律、行政法規(guī)另有規(guī)定。但這一邏輯并不適用于公權(quán)主體。一項(xiàng)法學(xué)常識(shí)是：私法領(lǐng)域奉行意思自治，以合意為行動(dòng)原則，法無禁止即自由；公法領(lǐng)域則追求有限政府，以法定為行動(dòng)原則，法無授權(quán)不可為。(71)參見童之偉：《“法無授權(quán)不可為”的憲法學(xué)展開》，載《中外法學(xué)》2018年第3期，第570頁。因此，對私人信息處理者而言，信息主體的知情—同意是信息處理的基本原則，除非立法有例外規(guī)定。相反，對公權(quán)信息處理者來說，其個(gè)人信息處理活動(dòng)是以法律授權(quán)而非信息主體的知情—同意為基本原則。即使信息主體同意，若無法律授權(quán)，公權(quán)主體也不能處理個(gè)人信息。這正是為什么個(gè)人信息保護(hù)法草案一審稿、二審稿第34條規(guī)定“國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍和限度”。當(dāng)然，第35條還進(jìn)一步規(guī)定：“國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照本法規(guī)定向個(gè)人告知并取得其同意。”但這只是在法定的基礎(chǔ)上額外增加同意的要求，對公權(quán)主體處理個(gè)人信息科以高于私人處理者的標(biāo)準(zhǔn)。

另一方面，大量具體規(guī)范設(shè)定了公權(quán)主體的個(gè)人信息保護(hù)公法義務(wù)和責(zé)任。例如《民法典》第1039條規(guī)定國家機(jī)關(guān)、承擔(dān)行政職能的法定機(jī)構(gòu)及其工作人員應(yīng)對履職過程中知悉的個(gè)人信息保密；刑法修正案(七)對“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者非法提供給他人”以及單位犯此罪的，規(guī)定了刑事責(zé)任；《個(gè)人信息保護(hù)法草案(二審稿)》第67條規(guī)定“國家機(jī)關(guān)不履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的，由其上級機(jī)關(guān)或者履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正；對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分”。在一些具體的行政管理領(lǐng)域，也有此類規(guī)范。例如《居民身份證法》第13條規(guī)定：“有關(guān)單位及其工作人員對履行職責(zé)或者提供服務(wù)過程中獲得的居民身份證記載的公民個(gè)人信息，應(yīng)當(dāng)予以保密?！薄冻隹诠苤品ā返?9條規(guī)定：“有關(guān)國家機(jī)關(guān)及其工作人員對調(diào)查中知悉的……個(gè)人信息依法負(fù)有保密義務(wù)”?！毒W(wǎng)絡(luò)安全法》第45條規(guī)定：“依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對在履行職責(zé)中知悉的個(gè)人信息、隱私和商業(yè)秘密嚴(yán)格保密，不得泄露、出售或者非法向他人提供?！贝送?，《電子商務(wù)法》第25條、《契稅法》第13條、《社會(huì)保險(xiǎn)法》第92條、《醫(yī)療保障基金使用監(jiān)督管理?xiàng)l例》第32條、《戒毒條例》第7條等也有類似規(guī)定。然而，既有立法在落實(shí)憲法上個(gè)人信息受保護(hù)權(quán)之主觀權(quán)利面向上仍有三點(diǎn)缺陷：

其一，覆蓋范圍不足。重點(diǎn)領(lǐng)域立法對公權(quán)主體個(gè)人信息保護(hù)義務(wù)缺乏觀照。最典型的如2019年修訂的《政府信息公開條例》第15條維持2008年原條例將個(gè)人隱私作為公開例外的規(guī)定，對個(gè)人信息保護(hù)只字未提。(72)這當(dāng)然不是說所有個(gè)人信息都應(yīng)當(dāng)不公開，但如果某些個(gè)人信息“公開會(huì)對第三方合法權(quán)益造成損害”，至少應(yīng)按照《政府信息公開條例》第32條，要求行政機(jī)關(guān)在公開前書面征求第三方意見。2021年修訂的《行政處罰法》第50條也有此問題。同時(shí)，個(gè)人信息保護(hù)法草案未能囊括全部公權(quán)信息處理者，后者包括如下三類：國家機(jī)關(guān)、準(zhǔn)國家機(jī)關(guān)(即行使公權(quán)力的非國家機(jī)關(guān))以及相關(guān)工作人員。個(gè)人信息保護(hù)法草案一審稿第四章僅涉及國家機(jī)關(guān)，二審稿第37條增加了“法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織”，但均未涵蓋相關(guān)工作人員。而且根據(jù)《行政訴訟法》第2條，規(guī)章授權(quán)組織也屬于準(zhǔn)國家機(jī)關(guān)，理應(yīng)反映在個(gè)人信息保護(hù)法草案中。

其二，規(guī)范密度過低。除個(gè)人信息保護(hù)法草案外，既有立法大多只是設(shè)定了公權(quán)主體的個(gè)人信息保密義務(wù)，對其收集、存儲(chǔ)、使用、加工、提供、公開個(gè)人信息等活動(dòng)疏于規(guī)范。即使是個(gè)人信息保護(hù)法草案，也只是辟出一小節(jié)、五個(gè)條文來設(shè)立“國家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定”，對許多問題依舊語焉不詳。例如《個(gè)人信息保護(hù)法草案》(一審稿)第36條曾規(guī)定：“國家機(jī)關(guān)不得公開或者向他人提供其處理的個(gè)人信息，法律、行政法規(guī)另有規(guī)定或者取得個(gè)人同意的除外?！边@一條在二審稿中被刪去，國家機(jī)關(guān)公開、提供個(gè)人信息的活動(dòng)由此失去明確的法律規(guī)范。

其三，特別規(guī)定缺位。既有立法未能充分反映公權(quán)主體在個(gè)人信息保護(hù)方面的特殊性。一方面，針對公權(quán)和私人處理者，信息主體享有的工具性權(quán)利是不同的。個(gè)人信息保護(hù)法草案一審稿、二審稿第四章確立一系列“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”，包括知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、更正權(quán)、補(bǔ)充權(quán)、刪除權(quán)等。草案第33條進(jìn)一步規(guī)定：國家機(jī)關(guān)處理個(gè)人信息的活動(dòng)適用本法，除非有特別規(guī)定。征諸“國家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定”一節(jié)，并無關(guān)于個(gè)人面對國家機(jī)關(guān)處理者所享有工具性權(quán)利的特別安排。這無疑是一種缺漏，因?yàn)椴荒芤酝惶坠ぞ咝詸?quán)利束同等適用于國家機(jī)關(guān)。例如美國《隱私法案》就只規(guī)定公民對聯(lián)邦政府的信息處理活動(dòng)享有知情權(quán)、查閱權(quán)、復(fù)制權(quán)、更正權(quán)、補(bǔ)充權(quán)，而未規(guī)定刪除權(quán)。(73)5 U.S.C.§552a (d) (1) (2) e (3).英國2018年《數(shù)據(jù)保護(hù)法案》(Data Protection Act)設(shè)定了專門針對刑事執(zhí)法、司法(Law Enforcement)機(jī)關(guān)和情報(bào)(intelligence)部門的信息主體工具性權(quán)利束，包括查閱權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)，但不包括GDPR規(guī)定的可攜權(quán)。(74)2018 Data Protection Act, Chapter 3, Part 3, Chapter 3, Part 4. 參見英國政府網(wǎng)站，https://www.legislation.gov.uk/ukpga/2018/12，2021年5月2日訪問。即便是同一工具性權(quán)利，對公權(quán)處理者和私人處理者的要求也不一樣。以刪除權(quán)為例，根據(jù)《個(gè)人信息保護(hù)法草案(一審稿、二審稿)》第47條第3項(xiàng)，“個(gè)人撤回同意”是信息處理者刪除個(gè)人信息的正當(dāng)事由，但這只對私人處理者適用，無法適用于公權(quán)處理者。另一方面，針對公權(quán)和私人處理者，個(gè)人信息保護(hù)機(jī)制也應(yīng)有所區(qū)別?！秱€(gè)人信息保護(hù)法草案(二審稿)》第七章規(guī)定了個(gè)人信息處理活動(dòng)違法侵權(quán)的法律責(zé)任，但其中大部分內(nèi)容只適用于私主體，例如第65、70條規(guī)定的行政處罰，以及第68條規(guī)定的侵權(quán)損害賠償責(zé)任，因?yàn)樵摋l遵循的過錯(cuò)推定原則與《國家賠償法》上的違法責(zé)任原則大相徑庭。(75)正因如此，有民法學(xué)者提出應(yīng)擴(kuò)張民法上的個(gè)人信息侵權(quán)歸責(zé)原則體系，對公權(quán)主體適用無過錯(cuò)責(zé)任，由此同《國家賠償法》接軌。參見葉名怡：《個(gè)人信息的侵權(quán)法保護(hù)》，載《法學(xué)研究》2018年第4期，第94頁。個(gè)人信息保護(hù)法草案專門為公權(quán)主體個(gè)人信息違法侵權(quán)設(shè)定的法律責(zé)任僅有第67條規(guī)定的行政系統(tǒng)內(nèi)部責(zé)令改正和處分，缺乏包括行政復(fù)議、訴訟和國家賠償在內(nèi)的監(jiān)督救濟(jì)機(jī)制。

綜上所述，現(xiàn)有立法未能有效落實(shí)憲法上個(gè)人信息受保護(hù)權(quán)的主觀權(quán)利功能。建議盡快制定一部針對公權(quán)信息處理者的專門立法，就信息處理原則、義務(wù)、信息主體的工具性權(quán)利、違法侵權(quán)責(zé)任等作出系統(tǒng)性規(guī)定，并暢通行政復(fù)議、訴訟和國家賠償?shù)缺O(jiān)督救濟(jì)渠道，彌補(bǔ)我國個(gè)人信息保護(hù)法律體系的重大缺失。

第二，以個(gè)人信息受保護(hù)權(quán)的客觀法功能來對抗私人和域外個(gè)人信息侵害風(fēng)險(xiǎn)源。作為客觀法的基本權(quán)利有三種功能：一是“制度性保障功能”，即“立法者必須建構(gòu)相關(guān)法律制度以形塑基本權(quán)利之內(nèi)涵，為基本權(quán)利的保障提供制度性支持”；(76)歐愛民：《德國憲法制度性保障的二元結(jié)構(gòu)及其對中國的啟示》，載《法學(xué)評論》2008年第2期，第120頁。二是“組織和程序保障功能”，即“設(shè)立適當(dāng)?shù)慕M織機(jī)構(gòu)和程序來落實(shí)基本權(quán)利的保障”；(77)于文豪：《基本權(quán)利》，江蘇人民出版社2016年版，第47頁。三是“侵害防止功能”，即“建立具體制度，通過這些制度的運(yùn)行，保護(hù)個(gè)人免受第三人的侵害”。(78)同上注，第48頁。林林總總的現(xiàn)行個(gè)人信息保護(hù)立法皆可在這些功能下獲得解釋，茲舉幾例：

制度性保障功能下，早在2012年，全國人大常委會(huì)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》就開宗明義地指出“國家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息”。隨后，無論是《刑法》《民法典》，還是《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，都是在為個(gè)人信息受保護(hù)權(quán)提供制度性支持?！秱€(gè)人信息保護(hù)法草案(二審稿)》第11條更是明確承諾：“國家建立健全個(gè)人信息保護(hù)制度?！苯M織和程序保障功能下，《個(gè)人信息保護(hù)法草案(二審稿)》第59條確定由“國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作”。這雖有多頭監(jiān)管之嫌，但本意是為了建立組織機(jī)構(gòu)來保障個(gè)人信息受保護(hù)權(quán)。侵害防止功能下，個(gè)人信息保護(hù)領(lǐng)域已建立起的民法侵權(quán)、行政監(jiān)管以及刑事處罰制度，都旨在保護(hù)個(gè)人信息免受他人侵害。《個(gè)人信息保護(hù)法草案(二審稿)》第3條規(guī)定域外效力、第12條規(guī)定國家促進(jìn)個(gè)人信息保護(hù)方面的國際交流與合作、第38-43條規(guī)定個(gè)人信息跨境提供規(guī)則，則是在落實(shí)國家保護(hù)境內(nèi)信息主體免受域外侵害的義務(wù)。

當(dāng)然，憲法上個(gè)人信息受保護(hù)權(quán)的客觀法功能如何具體落實(shí)，立法機(jī)關(guān)自有形成空間，但總體上應(yīng)遵從基本權(quán)利教義學(xué)，把握如下三點(diǎn)：

首先，堅(jiān)持憲法權(quán)利與部門法權(quán)利的互動(dòng)性。這是基本權(quán)利間接第三人效力(Mittelbare Drittwirkung der Grundrechte)所要求的。(79)參見張善斌：《民法人格權(quán)和憲法人格權(quán)的獨(dú)立與互動(dòng)》，載《法學(xué)評論》2016年第6期，第57-58頁。如前所言，我國憲法上的個(gè)人信息受保護(hù)權(quán)，經(jīng)由客觀法面向的制度性保障功能，落實(shí)到民法、經(jīng)濟(jì)法、行政法上，就成為相應(yīng)部門法上的個(gè)人信息受保護(hù)權(quán)。在此意義上，后者是前者的具體化。但這并不表示后者就是前者的原樣照抄。近年來，有學(xué)者對基本權(quán)利第三人效力展開批評，核心理由是基本權(quán)利傳統(tǒng)上僅處理公民與國家之關(guān)系，若搬來解決公民與公民之關(guān)系，將造成錯(cuò)配，甚至?xí){私人自治，因?yàn)閼椃?quán)利和民法權(quán)利在調(diào)整對象、規(guī)范強(qiáng)度、權(quán)利內(nèi)容、權(quán)利目的等方面迥異。(80)參見黃宇驍：《論憲法基本權(quán)利對第三人無效力》，載《清華法學(xué)》2018年第3期，第189頁；姜峰：《民事權(quán)利與憲法權(quán)利：規(guī)范層面的解析——兼議人格權(quán)立法的相關(guān)問題》，載《浙江社會(huì)科學(xué)》2020年第2期，第15-16頁；李海平：《基本權(quán)利客觀價(jià)值秩序理論的反思與重構(gòu)》，載《中外法學(xué)》2020年第4期，第1062-1075頁。這印證了前文關(guān)于區(qū)分對抗私人主體的個(gè)人信息受保護(hù)權(quán)和對抗公權(quán)主體的個(gè)人信息受保護(hù)權(quán)、對后者作特別規(guī)定的主張，但并不取消憲法上個(gè)人信息受保護(hù)權(quán)的客觀法功能，因?yàn)槠浔旧砭哂小耙浑A價(jià)值”，(81)關(guān)于憲法是否具有一階價(jià)值的爭論，參見張翔：《憲法與部門法的三重關(guān)系》，載《中國法律評論》2019年第1期，第27-28頁；陳景輝：《憲法的性質(zhì)：法律總則還是法律環(huán)境？從憲法與部門法的關(guān)系出發(fā)》，載《中外法學(xué)》2021年第2期，第299頁?？赏ㄟ^價(jià)值輻射對私法關(guān)系產(chǎn)生間接第三人效力，在尊重民法等部門法獨(dú)立形成空間的前提下，要求部門法在憲法框架內(nèi)行使形成自由，從而使憲法和部門法上的個(gè)人信息受保護(hù)權(quán)實(shí)現(xiàn)“和而不同”。

其次，實(shí)現(xiàn)個(gè)人信息侵害風(fēng)險(xiǎn)源覆蓋的整全性。這是部門法保護(hù)基本權(quán)利的不足禁止(Unterma?verbot)原則所要求的。(82)參見陳征：《論部門法保護(hù)基本權(quán)利的義務(wù)及其待解決的問題》，載《中國法律評論》2019年第1期，第53-55頁。如前所言，唯有憲法上的個(gè)人信息受保護(hù)權(quán)才能對抗各類個(gè)人信息侵害風(fēng)險(xiǎn)源，具體落實(shí)有賴于部門法形成。就侵害風(fēng)險(xiǎn)源而言，除前文提及的公權(quán)和域外主體，還包括私人主體，根據(jù)其與信息主體的關(guān)系可分為三類：

一是“不平等關(guān)系”下的私人處理者，例如作為雇主的私人處理者，其對作為雇員的信息主體不僅擁有“數(shù)據(jù)權(quán)力”(Data Power)，(83)同前注〔16〕，王錫鋅文，第154頁。還有因雇傭關(guān)系而生的支配地位。例如根據(jù)《勞動(dòng)合同法》第8條，“用人單位招用勞動(dòng)者時(shí)，有權(quán)了解勞動(dòng)者與勞動(dòng)合同直接相關(guān)的基本情況，勞動(dòng)者應(yīng)當(dāng)如實(shí)說明”。《個(gè)人信息保護(hù)法草案(二審稿)》第13條也規(guī)定“為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需”的，可不經(jīng)同意處理個(gè)人信息。盡管如此，為了確保雇員在雇主處理其個(gè)人信息過程中的尊嚴(yán)地位，勞動(dòng)法上也對雇員個(gè)人信息保護(hù)做出了專門規(guī)定。例如《就業(yè)服務(wù)與就業(yè)管理規(guī)定》第13條就要求：“用人單位應(yīng)當(dāng)對勞動(dòng)者的個(gè)人資料予以保密。公開勞動(dòng)者的個(gè)人資料信息和使用勞動(dòng)者的技術(shù)、智力成果，須經(jīng)勞動(dòng)者本人書面同意?！钡壳拔覈鴦趧?dòng)法缺乏對雇員個(gè)人信息保護(hù)的系統(tǒng)規(guī)定，須進(jìn)一步完善。

二是“準(zhǔn)平等關(guān)系”下的私人處理者，例如提供產(chǎn)品或服務(wù)的私人處理者(典型的如平臺(tái))，其對作為消費(fèi)者的信息主體具有數(shù)據(jù)權(quán)力，但不具有其他支配地位。個(gè)人信息保護(hù)法草案正是通過賦予個(gè)人工具性權(quán)利束，來平衡這種場景下的“非對稱權(quán)力結(jié)構(gòu)”。同時(shí)，傳統(tǒng)上旨在調(diào)節(jié)市場不平等關(guān)系的經(jīng)濟(jì)法在此也有用武之地，例如《電子商務(wù)法》《消費(fèi)者權(quán)益保護(hù)法》對特定語境中的個(gè)人信息保護(hù)作出規(guī)定。

上述兩種情形下，私人處理者和信息主體之間都存在“持續(xù)不平等信息關(guān)系”，既有研究認(rèn)為這是個(gè)人信息保護(hù)法律制度適用的前提。(84)參見丁曉東：《個(gè)人信息權(quán)利的反思與重塑：論個(gè)人信息保護(hù)的適用前提與法益基礎(chǔ)》，載《中外法學(xué)》2020年第2期，第341-345頁。但這是不完整的，因?yàn)檫€有第三類個(gè)人信息侵害風(fēng)險(xiǎn)源，即“平等關(guān)系”下的私人處理者，其對信息主體并無系統(tǒng)、持續(xù)的數(shù)據(jù)權(quán)力，但仍可能侵害個(gè)人信息，典型的如黑客、因職務(wù)而處理個(gè)人信息的人員等。此類私人主體并不構(gòu)成《個(gè)人信息保護(hù)法草案(二審稿)》第72條規(guī)定的“個(gè)人信息處理者”，即“自主決定處理目的、處理方式等個(gè)人信息處理事項(xiàng)的組織、個(gè)人”，故不適用《個(gè)人信息保護(hù)法》，信息主體對其也不享有工具性權(quán)利。但這并不意味著此類私人主體逃逸出我國個(gè)人信息保護(hù)法律體系。例如《刑法》第253條規(guī)定的侵犯公民個(gè)人信息罪的行為主體，就從刑法修正案(七)的“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位工作人員”，經(jīng)刑法修正案(九)擴(kuò)展到一切主體。但該罪的保護(hù)范圍局限于信息收集環(huán)節(jié)，未對信息收集之后的侵害個(gè)人信息行為提供刑法觀照，(85)參見勞東燕：《個(gè)人數(shù)據(jù)的刑法保護(hù)模式》，載《比較法研究》2020年第5期，第43頁。距離侵害風(fēng)險(xiǎn)源全覆蓋之要求仍有差距。

以上分析表明：為落實(shí)基本權(quán)利保護(hù)的不足禁止原則，我國個(gè)人信息保護(hù)法律體系應(yīng)全面覆蓋各類個(gè)人信息侵害風(fēng)險(xiǎn)主體和行為。不同部門法須在這一共同目標(biāo)下各安其位、各負(fù)其責(zé)，協(xié)力形成和保障憲法上個(gè)人信息受保護(hù)權(quán)，不存在孰為基本法的問題。

第三，追求個(gè)人信息保護(hù)手段的適當(dāng)性。這是功能適當(dāng)(Funktionsgerechte Organstruktur)原則所要求的。該原則指向國家決策的正確性和理性化，使國家運(yùn)作更有效率，更妥當(dāng)?shù)貙?shí)現(xiàn)國家的各項(xiàng)任務(wù)。(86)參見張翔：《我國國家權(quán)力配置原則的功能主義解釋》，載《中外法學(xué)》2018年第2期，第293頁；張翔：《國家權(quán)力配置的功能適當(dāng)原則——以德國法為中心》，載《比較法研究》2018年第3期，第149-150頁。個(gè)人信息受保護(hù)權(quán)的客觀法面向要求國家履行積極保護(hù)義務(wù)，功能適當(dāng)原則要求國家理性、高效地履行這種義務(wù)。上文提及的針對不同個(gè)人信息侵害風(fēng)險(xiǎn)源，配以不同部門法保護(hù)，正是在落實(shí)該原則。個(gè)人信息保護(hù)立法的三種執(zhí)行手段也應(yīng)符合該原則：

一是公共執(zhí)行(Public Enforcement)，即公權(quán)機(jī)關(guān)的監(jiān)管、執(zhí)法、處罰等。由于私人信息處理者的技術(shù)、資本優(yōu)勢，信息主體個(gè)人維權(quán)難以應(yīng)對，故行政監(jiān)管部門的公共執(zhí)行應(yīng)成為個(gè)人信息保護(hù)立法的主要執(zhí)行手段。這也是為什么《個(gè)人信息保護(hù)法草案(二審稿)》第五章詳細(xì)列舉個(gè)人信息處理者的義務(wù)，其目的正在于從公法上對信息處理者提出合規(guī)要求，為高額罰款、停產(chǎn)停業(yè)等公共執(zhí)行手段奠定基礎(chǔ)。當(dāng)然，公共執(zhí)行畢竟資源有限，個(gè)人信息處理者也往往借助其技術(shù)優(yōu)勢逃逸監(jiān)管。由此，基于行政法上的“元規(guī)制”(Meta-regulation)或“內(nèi)部管理型規(guī)制”(Management-based Regulation)理念，(87)參見程瑩：《元規(guī)制模式下的數(shù)據(jù)保護(hù)與算法規(guī)制——以歐盟〈通用數(shù)據(jù)保護(hù)條例〉為研究樣本》，載《法律科學(xué)》2019年第4期，第48頁；譚冰霖：《論政府對企業(yè)的內(nèi)部管理型規(guī)制》，載《法學(xué)家》2019年第6期，第75頁。個(gè)人信息保護(hù)法草案第57條增設(shè)“提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者”(所謂“守門人”)的特殊合規(guī)義務(wù)，正是為了提高監(jiān)管效能，體現(xiàn)了功能適當(dāng)原則。此外，與GDPR建立“一站式監(jiān)管機(jī)制”(One-stop-shop Mechanism)不同，《個(gè)人信息保護(hù)法草案(二審稿)》第59條采用了國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)、其他有關(guān)部門在職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)工作的“多頭治理”模式，未能清晰、細(xì)致地明確各監(jiān)管部門之間的權(quán)責(zé)分工與界限，難以避免權(quán)限重疊沖突、執(zhí)法尺度不一等問題，不利于個(gè)人信息保護(hù)監(jiān)管執(zhí)法的高效開展，有違功能適當(dāng)原則，亟待改善。

二是私人執(zhí)行(Private Enforcement)，即個(gè)人維權(quán)訴訟。相較于公共執(zhí)行，面對擁有數(shù)據(jù)權(quán)力的個(gè)人信息侵權(quán)者，私人執(zhí)行面臨取證難、成本高、賠償?shù)偷睦Ь场?88)同前注〔13〕，張新寶文，第72-73頁。《個(gè)人信息保護(hù)法草案(二審稿)》第68條明確規(guī)定個(gè)人信息侵權(quán)的過錯(cuò)推定責(zé)任，正是為了強(qiáng)化私人執(zhí)行，落實(shí)功能適當(dāng)原則。但如前所言，個(gè)人信息侵害主體并不一定具有數(shù)據(jù)權(quán)力。對“平等關(guān)系”下的侵害主體適用過錯(cuò)推定責(zé)任并無必要。因此，民法學(xué)界提出個(gè)人信息侵權(quán)的二元?dú)w責(zé)原則體系，區(qū)分采用和未采用自動(dòng)化系統(tǒng)的侵權(quán)者，前者適用過錯(cuò)推定責(zé)任，后者適用一般過錯(cuò)責(zé)任。(89)同前注〔75〕，葉名怡文，第94-95頁。這同樣體現(xiàn)了功能適當(dāng)原則。除民法侵權(quán)訴訟外，個(gè)人信息保護(hù)立法的私人執(zhí)行還應(yīng)包括刑事自訴。根據(jù)2020年修訂的《最高人民法院關(guān)于適用〈中華人民共和國刑事訴訟法〉的解釋》第1條，侮辱、誹謗案屬于刑事自訴案件，嚴(yán)重危害社會(huì)秩序和國家利益的除外。鑒于個(gè)人信息侵權(quán)和侮辱、誹謗一樣都可能嚴(yán)重危害公民個(gè)人尊嚴(yán)，建議將嚴(yán)重侵害個(gè)人信息受保護(hù)權(quán)，民事責(zé)任不足應(yīng)對，但還未達(dá)到嚴(yán)重危害社會(huì)秩序和國家利益程度的情形納入刑事自訴案件范圍，以進(jìn)一步提高個(gè)人信息保護(hù)立法的執(zhí)行效率。

三是社會(huì)執(zhí)行(Social Enforcement)，即公權(quán)機(jī)關(guān)和公民個(gè)人以外的社會(huì)組織來執(zhí)行個(gè)人信息保護(hù)法律。較之公權(quán)監(jiān)管，它成本更低；較之私人維權(quán)，它更集中有力。以社會(huì)執(zhí)行來補(bǔ)充公權(quán)監(jiān)管、私人維權(quán)，符合功能適當(dāng)原則。據(jù)此，《個(gè)人信息保護(hù)法草案(二審稿)》第69條規(guī)定：“個(gè)人信息處理者違反本法規(guī)定處理個(gè)人信息，侵害眾多個(gè)人的權(quán)益的，國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。”當(dāng)然，哪些組織在何種條件下可以提起此種公益訴訟，還有待細(xì)化規(guī)定。

(三)我國憲法上個(gè)人信息受保護(hù)權(quán)的限制

如前所言，個(gè)人信息受保護(hù)權(quán)并非絕對權(quán)，而是受到限制的，但這種限制本身也要受到限制。根據(jù)基本權(quán)利教義學(xué)，對基本權(quán)利限制的限制包括形式和實(shí)質(zhì)兩方面，前者指法律保留原則，后者指比例原則。(90)參見趙宏：《限制的限制：德國基本權(quán)利限制模式的內(nèi)在機(jī)理》，載《法學(xué)家》2011年第2期，第160-163頁。據(jù)此，個(gè)人信息受保護(hù)權(quán)并不禁止處理個(gè)人信息，而是要求處理活動(dòng)符合法定條件和比例原則，由此確保個(gè)人尊嚴(yán)。在此視野下，既有個(gè)人信息保護(hù)立法可得到解釋：

首先，《民法典》第1035條規(guī)定處理個(gè)人信息應(yīng)當(dāng)遵循合法原則?！秱€(gè)人信息保護(hù)法草案(二審稿)》第5條也規(guī)定處理個(gè)人信息應(yīng)當(dāng)采用合法方式，第10條要求“任何組織、個(gè)人不得違反法律、行政法規(guī)的規(guī)定處理個(gè)人信息”，第13條明文列舉了七項(xiàng)個(gè)人信息處理的合法性基礎(chǔ)。《網(wǎng)絡(luò)安全法》第41條要求網(wǎng)絡(luò)運(yùn)營者依照法律、行政法規(guī)的規(guī)定處理其保存的個(gè)人信息。這些規(guī)范均表明處理個(gè)人信息必須符合法定條件。其次，《民法典》第1035條規(guī)定處理個(gè)人信息應(yīng)當(dāng)遵循正當(dāng)、必要原則，不得過度處理?！秱€(gè)人信息保護(hù)法草案(二審稿)》第6條規(guī)定，“處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的所必要的最小范圍、采取對個(gè)人權(quán)益影響最小的方式，不得進(jìn)行與處理目的無關(guān)的個(gè)人信息處理”；第13條要求處理個(gè)人信息應(yīng)限定在為履行法定職責(zé)、訂立合同、應(yīng)對突發(fā)公共衛(wèi)生事件等合法目的所必需的范圍內(nèi)；第27條規(guī)定，“在公共場所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需”。這些規(guī)范都是在落實(shí)“過度禁止”(überma?verbot)要求，防止個(gè)人信息處理突破比例原則的邊界。

然而，實(shí)踐中仍存在違反法律保留原則和比例原則限制個(gè)人信息受保護(hù)權(quán)的現(xiàn)象。例如2020年9月，蘇州政府推出“蘇城文明碼”，意在作為“警示和懲戒綜合文明指數(shù)低于下限人員的電子憑證以及外來人口積分入戶志愿服務(wù)電子憑證”，但這一個(gè)人信息處理行為并無法律、行政法規(guī)依據(jù)。即便有法定依據(jù)，某些信息處理行為也不符合比例原則，具體包括兩種情形：第一，缺乏正當(dāng)目的。比例原則首先要求限制基本權(quán)利具有目的正當(dāng)性，即目的本身合憲。(91)參見劉權(quán)：《目的正當(dāng)性與比例原則的重構(gòu)》，載《中國法學(xué)》2014年第4期，第135-136、139-140頁。以我國的人事檔案制度為例。根據(jù)《干部檔案工作條例》第31條和《企業(yè)職工檔案工作管理規(guī)定》第17條，任何個(gè)人不得查閱本人檔案。人事檔案包含大量個(gè)人信息，個(gè)人理應(yīng)擁有查閱權(quán)。上述規(guī)定剝奪這種查閱權(quán)，源于革命運(yùn)動(dòng)年代查驗(yàn)、考核干部、保障組織和國家安全的需要。(92)參見陳潭：《單位身份的松動(dòng)：中國人事檔案制度研究》，南京大學(xué)出版社2007年版，第66-68頁。時(shí)至今日，這種人身依附性濃重的制度安排，在國家尊重和保障人權(quán)的憲法誡命下，已然失去目的正當(dāng)性，亟待改變。第二，超出必要范圍。比例原則要求限制基本權(quán)利是為了達(dá)到正當(dāng)目的所必需。自2019年底新冠疫情爆發(fā)后，各地政府紛紛建立個(gè)人健康碼系統(tǒng)，作為數(shù)字化疫情監(jiān)控的重要工具。但隨著疫情防控進(jìn)入常態(tài)，各地都在考慮如何常態(tài)化使用健康碼。杭州就曾提出改造健康碼，來集成電子病歷、健康體檢、生活方式管理的相關(guān)數(shù)據(jù)，建立個(gè)人健康指數(shù)排行榜，甚至對樓道、社區(qū)、企業(yè)等健康群體進(jìn)行評價(jià)。(93)徐超軼：《“漸變”的健康碼還是“變質(zhì)”的健康碼？》，載搜狐網(wǎng)，https://www.sohu.com/a/398210963_481285?_trans_=000019_hao123_pc，2021年5月3日訪問。這種個(gè)人信息的收集和使用已經(jīng)遠(yuǎn)超防疫所必需，違反比例原則。因此，有必要根據(jù)憲法上個(gè)人信息受保護(hù)權(quán)的要求，對疫情防控常態(tài)化后的健康碼制度展開系統(tǒng)反思與改造。

五、結(jié)語

自2000年全國人大常委會(huì)《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》以降，我國的個(gè)人信息保護(hù)法律制度已發(fā)展二十余載，形成了一套橫跨民法、行政法、刑法、經(jīng)濟(jì)法、勞動(dòng)法等部門法的規(guī)范體系。其中，《民法典》首次從民事基本法的高度確認(rèn)個(gè)人信息受法律保護(hù)，歷史意義非凡。民法學(xué)者多年的深入討論和扎實(shí)積累，也為推動(dòng)我國個(gè)人信息保護(hù)法制發(fā)展做出了不可磨滅的貢獻(xiàn)。然而，以民事權(quán)利為個(gè)人信息保護(hù)法律體系概念基礎(chǔ)的主流觀點(diǎn)，在理論和實(shí)踐上都值得反思，民事權(quán)利難以獨(dú)擔(dān)統(tǒng)率我國個(gè)人信息保護(hù)法律體系之重任。因此，有必要將視野提升至憲法層面，以域外經(jīng)驗(yàn)為鏡鑒，重新解釋我國《憲法》第38條，發(fā)現(xiàn)作為基本權(quán)利的個(gè)人信息受保護(hù)權(quán)。較之民事權(quán)利基礎(chǔ)論，以憲法上的個(gè)人信息受保護(hù)權(quán)為概念基礎(chǔ)，對建構(gòu)我國個(gè)人信息保護(hù)法律體系具有三方面的優(yōu)化意義。第一，厚基礎(chǔ)，即作為基本權(quán)利的個(gè)人信息受保護(hù)權(quán)可以為民法、行政法、刑法等具體領(lǐng)域的個(gè)人信息權(quán)益提供憲法依托；第二，全覆蓋，即個(gè)人信息受保護(hù)權(quán)的主觀權(quán)利和客觀法面向要求國家承擔(dān)消極與積極保護(hù)義務(wù)，由此能充分覆蓋各類個(gè)人信息侵害風(fēng)險(xiǎn)源；第三，規(guī)范化，即基本權(quán)利間接第三人效力、不足禁止、功能適當(dāng)、法律保留、比例原則等憲法教義，能為進(jìn)一步完善個(gè)人信息保護(hù)法律制度和實(shí)踐提供規(guī)范指引。總之，以憲法上個(gè)人信息受保護(hù)權(quán)為基礎(chǔ)，能建構(gòu)出一套基礎(chǔ)更穩(wěn)固、內(nèi)容更完整、結(jié)構(gòu)更合理的個(gè)人信息保護(hù)法律體系。該體系可由下圖來直觀展示：