《個人信息保護法》的基本法定位與保護功能

摘 要：《個人信息保護法》不僅奠定了我國個人信息保護的新法基礎，而且也成為數字化背景下的一部基礎性立法。要真正理解和實施好這部新法，必須準確把握其體系邏輯以及與其他基本法律的關系。從實證角度而論，可依據雙重基礎觀來解讀這部新法的體系形成基礎與主要訴求。一個是將該法作為與刑民基本法具有并存交叉地位的領域基本法而設計的基礎視角。由此入手可正確理解其作為新興領域基本法的規(guī)范意義及與相關基本法特別是《民法典》的適用關系。另一個是為實現保護功能而預設的基礎視角。數字化背景下興起的個人信息保護問題具有前所未有的復雜性，不能簡單通過既有部門法路徑加以因應，需要建立更加復雜的超越自主管理的多元治理保護系統(tǒng)，尤其需要針對自主管理失靈進行體系改進和提升，包括加強和完善具體行為治理規(guī)范，在必要范圍內引入有強度的積極管理和嚴厲的特殊法律責任等外部治理新機制。通過上述雙重視角，才能夠更加全面地認識這部新法的基礎意義和獨特作用，確保在該法的實施和解釋中把握住其內核和精髓。

關鍵詞：個人信息保護法;雙重基礎;基本法;保護功能;自主管理

中圖分類號：DF529文獻標志碼：A

DOI：10.3969/ j. issn.1001-2397.2021.05.06 開放科學（資源服務）標識碼（OSID）：

一、導言：《個人信息保護法》作為數字化時代重要的現實立法

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）于2021年8月20日頒布，貼合了我國數字化發(fā)展背景下每個人最直接最現實的利益保護需要。個人信息本身是網絡信息化時代開始凸顯的一種新型的頗具基礎性的重要個人利益。早在2020年10月13日提請首次審議時，《關于〈中華人民共和國個人信息保護法（草案）〉的說明》（以下簡稱《關于〈個人信息保護法（草案）〉的說明》）就指出，“在信息化時代，個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一”，“制定一部個人信息保護方面的專門法律，將廣大人民群眾的個人信息權益實現好、維護好、發(fā)展好，具有重要意義”。① 可見，《個人信息保護法》是我國置身數字化時代不可或缺的一項基礎性立法。

《個人信息保護法》在整個網絡信息法律體系中占據最基礎的位置，個人信息保護在網絡領域應優(yōu)先受到關注，是網絡信息領域法律形成和發(fā)展的重要體現。我國在《個人信息保護法》出臺之前就制定了《網絡安全法》《電子商務法》《數據安全法》等法律，這些法律體現了網絡信息空間不同的規(guī)范重點，但都沒有成為網絡信息領域法律的體系基礎，《個人信息保護法》的出臺才填補了這個空白。雖然對網絡信息空間的言論自由、網絡安全、知識產權、電子商務等利益的保護和規(guī)制也應是網絡空間的規(guī)范重點，②但從人本主義角度出發(fā)，由于個人信息保護的需要最為基礎，所以《個人信息保護法》是最重要、最必要的法律。③

認識《個人信息保護法》的基礎意義，必須緊貼數字化時代背景，把握其蘊含的最基本需求和根本矛盾。近十年來，隨著網絡信息科技的顛覆性發(fā)展，互聯網從簡單信息化階段過渡到復雜數字化階段，大數據成為了我們世界最主要的特點之一。④早期互聯網追求的是信息交互意義上的互聯互通，當下互聯網則更加追求基于移動手機、大數據、云計算、人工智能、物聯網等新技術的數字資源化實踐演化出的數字經濟、數字社會和數字管理的繁榮前景。一方面，數據變得極其重要，世界大國開始圍繞數據展開博弈，數據資源成為新的戰(zhàn)略資源，大數據戰(zhàn)略上升為國家戰(zhàn)略，⑤ 我國也不例外;⑥另一方面，大數據戰(zhàn)略驅動下的網絡和數字的創(chuàng)新和應用，也衍生出層出不窮的問題，其中顯著問題之一就是數字化發(fā)展和個人信息保護日益陷入復雜的矛盾關系。個人信息因數字化發(fā)展得以大量顯現和形成，并因其具有極高數據化價值而備受產業(yè)和管理機構的青睞，但同時也伴生了大量的對個人的負面效應，特別是未經同意的個人信息處理和愈演愈烈的濫用行為對個人帶來的損害或風險。著名隱私和個人信息法專家丹尼爾·索羅夫（Daniel J. Solove）和保羅·斯瓦茨（Paul M. Schwartz）指出，“我們生活在一個由技術形塑和信息推動的世界，技術設備——如移動電話、視頻和音頻記錄設備、計算機和互聯網——已經徹底改變了我們捕捉世界信息和相互溝通的能力。信息是當今社會的生命線。我們的日?；顒釉絹碓蕉嗟厣婕靶畔⒌膫鬟f和記錄。政府在與個人出生、婚姻、財產、法院訴訟、機動車輛、投票活動、犯罪違規(guī)、專業(yè)許可和其他活動中記錄并收集了大量的個人信息。私營部門還建立了龐大的個人信息數據庫，用于營銷或準備信用記錄……這些新技術，加上政府和企業(yè)越來越多地使用個人信息，對隱私保護提出了新的挑戰(zhàn)?！雹贀Q言之，個人信息對個人具有越來越重大的利益，個人信息也因此需要一種全新的保護。

在此背景下，重視個人信息保護，將個人信息保護立法確立為一種新型領域立法，并系統(tǒng)性地加以規(guī)定，逐漸成為數字化時代法律的新發(fā)展趨勢。據不完全統(tǒng)計，從上世紀70年代至今，有關國際組織和歐盟等先后出臺了關于個人信息保護的準則、指導原則和法規(guī)，全世界有140多個國家或地區(qū)出臺了關于個人信息保護的法律。其中，歐盟、日本、美國的個人信息保護立法最受關注，影響較大。歐盟②和日本呈現出制定個人信息保護綜合基本法的趨勢，而美國個人信息保護的立法發(fā)展雖然也非常顯著，但是從制定法而言，美國聯邦層面因受到自身立法體制影響，目前仍然是碎片化地推進，③不過州法出現了制定綜合基本法的趨勢。④與相關國家或地區(qū)相比，我國《個人信息保護法》似乎有些姍姍來遲。究其原因，不是我們忽視個人信息保護的重要性，而是我國更追求水到渠成的效果。正如全國人民代表大會憲法和法律委員會在《關于〈中華人民共和國個人信息保護法（草案）〉審議結果的報告》（以下簡稱《關于〈個人信息保護法（草案）〉審議結果報告》）中所言：“為加強個人信息保護，維護人民群眾在網絡空間的合法權益，并促進信息合理利用，制定本法是必要的，草案經過兩次審議修改，已經比較成熟?！雹?此前，我國也存在應對數字經濟采取謹慎立法的呼聲，希望以包容創(chuàng)新、漸進規(guī)范的做法，給予網絡和數字創(chuàng)新必要的窗口期。一種頗具代表性的觀點認為，盡管加強個人信息保護已經成為社會共識，但個人信息保護極具爭議，其基本理論問題難以定論，因此應當保持立法上的謹慎。① 上述呼聲反映到個人信息保護上，就是希望立法不要過于嚴格，而應當在充分甚至優(yōu)先支持網絡數字化快速繁榮的條件下處理個人信息保護的需求。②

此次《個人信息保護法》的面世，意味著我國對數字化背景下個人信息保護的要求、范圍、方式等做出了重要且系統(tǒng)的立法決斷。當然，此前在對個人信息保護系統(tǒng)立法存在猶豫的情況下，我國仍針對現實突出的、亟待解決的個人信息保護問題不斷適時修改或者制定相關法律，階段性地跟進，在刑法、民法等基本法方面，都作出了相應的規(guī)定。刑事立法方面，2009年通過的《刑法修正案（七）》增加了第253條之一，規(guī)定了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪兩個罪名;2015年通過的《刑法修正案（九）》第17條對刑法第253條之一再次修改，取消了原來的兩個罪名，確立了侵犯公民個人信息罪。民事立法方面，2020年5月28日出臺的《民法典》，在第一編“總則”第111條明確規(guī)定個人信息受法律保護，同時在第四編“人格權”第六章專章規(guī)定“隱私權和個人信息保護”，確立了個人信息保護的基本私法制度。比較重要的涉及個人信息保護的專門立法，則包括2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、2016年《網絡安全法》、2018年《電子商務法》、2021年《數據安全法》等。

新出臺的《個人信息保護法》具有劃時代的意義，其與此前階段性的努力存在重要差異。《關于〈個人信息保護法（草案）〉的說明》第一部分“制定本法的必要性”第三點對此進行了充分說明。詳言之，即不再只突出支持數字化創(chuàng)新發(fā)展，而是明確以“促進數字經濟健康發(fā)展”為目標，要求“應當統(tǒng)籌個人信息保護與利用，通過立法建立權責明確、保護有效、利用規(guī)范的制度規(guī)則，在保障個人信息權益的基礎上，促進信息數據依法合理有效利用”，實現了從促進數字化創(chuàng)新發(fā)展到個人信息保護與利用并重的重要跨越。那么，應當如何解讀這部立法做出的重要跨越呢？或者說如何準確認識它的基本體系和主要制度呢？與過去比較，有哪些重要的發(fā)展和變化？與其他國家比較又存在哪些重要的相同和不同之處呢？就此可謂仁者見仁，智者見智。本文擬從《個人信息保護法》的定位、功能預設等角度對其加以審視，旨在彰顯其主要體系的基礎，并借此反映法律體系及其功能正在發(fā)生的急劇演化歷程。

二、 《個人信息保護法》的基本法定位及其與《民法典》的關系

（一）作為與其他基本法具有并存地位的新型領域基本法

《個人信息保護法》第1條開宗明義地規(guī)定了自己的基本宗旨和制定根據，“為了保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法”。這一宣示明確將《個人信息保護法》定位為個人信息新型領域的專門法暨基本法。

首先，該法的基本宗旨明確了其是個人信息領域的專門法，即屬于“為了保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用”的法律。個人信息領域是否具有制定專門法的必要，過去并非沒有爭議。① 網絡立法早期，美國曾經出現過所謂的“馬法之爭”，以知名學者因斯布魯克（Frank H. Easterbrook）為代表的一種觀點認為，對網絡領域像勞動法那樣進行專門立法毫無必要，無論是從調整對象還是調整手段上看，網絡法都不具備成為獨立法律部門的條件，所謂網絡法不過是將相關部門法的某些部分合起來罷了。② 這種觀點遭到了網絡法領域學者的反對，后者更有力地論證了網絡法單獨立法的必要性。后種觀點認為，網絡空間是一個正在快速成長的特殊空間，涌現出許多傳統(tǒng)領域所不具有但又經常出現的法律問題，傳統(tǒng)法律并不能調整，因此應該將網絡法創(chuàng)設為一個新的有機整體，而不能是憲法、民事訴訟法、合同法以及行政法等法律法規(guī)中的相關內容的簡單混合。③ 隨著大數據背景下信息化、數字化的不斷發(fā)展，個人信息保護等問題作為需要規(guī)制的新型問題顯示出越來越迫切而重大的獨立立法需求，上述爭議才逐漸消失了?，F在，各國已不再猶豫是否出臺包括個人信息保護法在內的網絡信息立法，需要考慮的已變成應該如何確保相關專門立法具有適時性和合理性等新問題。歐盟在2000年的《基本權利憲章》專門設定第8條，賦予個人數據保護具有獨立基本權利的品格，甚至為個人信息保護確立了憲法上的直接依據，④并在此基礎上制定了專門的《歐盟一般數據保護條例》（以下簡稱GDPR）。美國聯邦和州的法律實踐則采取了積極解釋憲法并將其作為個人信息保護基礎的做法，主流觀點和判例認為美國聯邦憲法第四修正案體現的隱私權應當包括對個人信息的保護，可以將個人信息歸入信息隱私的范疇。⑤ 我國2020年出臺的《民法典》，以追求合乎“時代性”為要求，在第四編“人格權”第六章創(chuàng)設“個人信息保護”，確立了有關個人信息保護的基本私法制度，但很快發(fā)現依靠部門法對個人信息保護進行調整存在巨大不足，無論是從調整對象還是調整方法上看，都有必要針對個人信息保護制定一部專門的更加系統(tǒng)的法律，為此我國又出臺了《個人信息保護法》?？梢姡秱€人信息保護法》是對個人信息保護這一新型領域獨立立法需求的積極回應。

其次，該條明確規(guī)定“根據憲法，制定本法”，這是我國現行網絡法律中唯一一部直接表明“根據憲法”制定的法律。此處“根據憲法”的表述，不僅具有程序意義，而且也具有實質意義。全國人民代表大會憲法和法律委員在《關于〈個人信息保護法（草案）〉審議結果報告》中做出了說明，指出個人信息保護法直接依據于《憲法》所確立的保障公民的人格尊嚴和其他權益的要求，即國家尊重和保障人權、公民的人格尊嚴不受侵犯、公民的通信自由和通信秘密受法律保護三項規(guī)定。① 這表明，該法不僅是個人信息保護領域的基本法，也是整個網絡信息法律體系的基本法，同時也是與刑法、民法等基本法具有并存地位的基本法。在立法過程中，有過關于個人信息保護法與現行刑法、民法關系的討論。有觀點建議將之設計為民法典的單行法，作為《民法典》中有關個人信息保護基本私法制度的具體化法律。② 但相反的觀點認為，個人信息保護法是嶄新的法律部門，作為正在興起的網絡信息法的核心組成部分，不能將《個人信息保護法》簡單地理解為《民法典》的下位法，個人信息保護與人格權保護是兩個不同的問題，“將傳統(tǒng)的人格權理論和制度套用到個人信息保護領域，必然出現各種不適配問題”，“只有科學認識這兩部法律的關系，才能使個人信息保護法針對信息時代個人信息保護所面臨的現實問題，設計相應有針對性的制度，而不是被傳統(tǒng)民事法律制度所束縛”。③《個人信息保護法》放棄了作為《民法典》下位單行法的定位，通過直接標示“根據憲法，制定本法”，將自身設定為與刑法、民法基本法具有同等地位的個人信息保護領域的基本法。由此，《個人信息保護法》和刑民基本法形成一種并存交叉關系，而非隸屬關系?！秱€人信息保護法》與刑民基本法之間的相互關系，不能通過一般法和特殊法的模式來處理，而應通過相互的轉介條款來進行指引或銜接。

在此意義上，《個人信息保護法》對現行法律體系具有一種不可忽視的新的體系建構作用，并形成了重要的體系發(fā)展。首先，這意味著在數字化時代，我們既有的法律體系發(fā)展出一個新的獨立部分，即個人信息保護法以及以之為基礎的網絡法。在該獨立法域，《個人信息保護法》居于最基礎的地位，比《網絡安全法》《電子商務法》《數據安全法》等其他網絡法律具有更高的地位，其不僅僅是個人信息保護領域的基本法，也是整個網絡信息法或者網絡空間法的基本法。作為領域基本法，它與其他網絡法律的關系，既有一般法與特殊法的關系，也有新法與舊法的關系，還存在上位法與下位法的關系。其次，這也意味著在數字化時代，個人信息保護法作為本領域基本法，具有獨立地位，與刑民基本法具有平等的法律地位，不能被看成是這些基本法的下位法。它雖然與刑法、民法難免發(fā)生交叉關系，但是其作為獨立法律的核心內容，即體現在《個人信息保護法》中的主要制度，卻是根源于自身領域的特殊規(guī)范需求，體現著自身特殊的調整特點，有自己獨立的范疇和邏輯訴求。

（二）作為新型領域基本法與《民法典》相關規(guī)定的體系關系

《民法典》作為我國當前法律體系中唯一一部冠以“法典”之名的民事基本法，《個人信息保護法》必須對其予以充分尊重。這不僅是法律之間必須保持基本協(xié)調之要求，也是由《民法典》“固根本、穩(wěn)預期、利長遠的基礎性法律”④地位所決定的。事實上，《個人信息保護法》在起草過程中，就已經與《民法典》的相關規(guī)定進行了一定程度的協(xié)調。①但是又應當注意，《個人信息保護法》是“根據憲法”制定的具有基本法地位的法律，應當維護其獨立地位，在充分尊重民法典而對相關規(guī)定進行協(xié)調的同時，也必須明確這種尊重是有限度的，不得違背并存關系的基本要求。

首先，作為并存的基本法，兩部法律在適用于相同主題事項上時應該保持體系融貫。這種融貫的基礎不是依據一般法與特殊單行法的關系，而是以二者之間的并存地位為基礎，二者的立法與適用應平等協(xié)調、互為補充?！睹穹ǖ洹穼€人信息保護作出了基本規(guī)定，我們可以將之定性為關于個人信息保護的基本民事制度，主要體現在第一編“總則”第五章“民事權利”的第111條、第127條和第四編“人格權”第六章“隱私權和個人信息保護”的有關規(guī)定。《民法典》原本計劃從人格權益角度確立個人信息保護制度，但在“個人信息保護”名義下，第六章第1034條到1039條的規(guī)范內容卻包括了關于個人信息的權利、個人信息處理者的義務以及相關處理行為規(guī)范、免責事由和國家機關等具有公共職能主體的特殊義務。從體系角度而言，《民法典》第六章相關基礎規(guī)范沒有特殊規(guī)定的，都要回溯到人格權和民事權利的一般規(guī)定加以補全，相關民事責任和保護方式沒有特殊規(guī)范的，則要與侵權責任編相關規(guī)定和民事責任的一般規(guī)定相銜接。具體而言：

其一，應注意《民法典》提出了將個人信息保護和數據保護并置的原則思路（第111條和第127條）。② 這些在《個人信息保護法》中并沒有被排除，在適用中也應該成為個人信息保護的更高體系架構?！睹穹ǖ洹返?11條第一句話宣示個人信息受法律保護，第二句話對需要獲取他人個人信息的任何組織或個人的活動設定了行為規(guī)范，可以將其解釋為個人信息獲取者的三項行為義務，包括一項“應為”的作為義務（應當依法取得并確保信息安全）和兩項“禁止”的不作為義務（不得非法收集、使用、加工、傳輸他人的個人信息，不得非法買賣、提供或者公開他人個人信息）?！睹穹ǖ洹返?27條與第111條并存而立，規(guī)定“法律對數據、網絡虛擬財產的保護有規(guī)定的，依照其規(guī)定”，明確了數據與個人信息具有保護上的并置關系。立法部門在未來也有制定數據保護法的可能。

其二，應注意《民法典》區(qū)分規(guī)定了隱私權和個人信息保護?！睹穹ǖ洹返谒木幍诹旅鞔_將隱私權和個人信息保護區(qū)分開來。這種做法形式上與歐盟相似，而不同于美國將個人信息納入隱私權的信息隱私范疇加以保護的做法?！睹穹ǖ洹返?032條確立隱私權及隱私范疇，第1034條則確立個人信息保護及個人信息范疇。這里，作為隱私權保護對象的隱私，指向的是私人生活安寧和相關私密領域，顯然不僅僅是私密信息，其既有物理意義的身體隱私和社會意義的空間隱私，也有信息意義的隱私。而作為個人信息保護對象的個人信息，則被界定為可識別個人的各種信息?？梢钥吹?，兩者既有明顯的區(qū)分，同時也有交叉，在信息隱私領域，個人信息涵蓋了信息隱私。也就是說，個人不愿為他人知曉的私密信息雖然應當劃入隱私權的范疇，但同時也屬于個人信息保護的對象?！睹穹ǖ洹返?034條第3款明確二者的法律適用關系是，將隱私權規(guī)定視為特殊規(guī)定，個人信息保護規(guī)定視為一般規(guī)定，沒有特殊規(guī)定的，適用個人信息保護的規(guī)定。上述區(qū)分隱私權和個人信息以及處理二者交叉關系的規(guī)則當然也應該為《個人信息保護法》所尊重。

其三，《個人信息保護法》和《民法典》有意通過設計相關不完全規(guī)定或引介規(guī)定，連接相互體系，對接各自的規(guī)定。比如，《個人信息保護法》第69條規(guī)定，“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任”。除了將過錯推定作為歸責原則外，該條還通過指向侵權責任的方式使自己與《民法典》有關侵權責任的規(guī)定聯系起來。《民法典》也有類似的規(guī)定，例如，第1037條第2款規(guī)定：“自然人發(fā)現信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權請求信息處理者及時刪除?！逼渲?，“法律”當然也包括現在出臺的《個人信息保護法》。另外，《個人信息保護法》不僅通過引介規(guī)定與《民法典》相關規(guī)定對接，也通過引介規(guī)定與刑法、治安管理處罰法或行政法對接。例如，《個人信息保護法》第71條直接將違法責任與《治安管理處罰法》和《刑法》對接起來。

其次，《個人信息保護法》與《民典法》作為并存基本法，在個人信息保護制度設計上存在明顯差異，對此應當從維護《個人信息保護法》作為具有獨立并存地位的基本法的角度來處理這些差異規(guī)定的適用問題，對差異規(guī)定應適用功能評價原則進行區(qū)分。鑒于《個人信息保護法》屬于本領域新法，相較于《民法典》，如果屬于修補的差異，應優(yōu)先適用修補規(guī)定;如果不屬于修補的差異，則互補適用。兩部法律的差異，很大部分是由二者的功能差異決定的，筆者將在后文展開具體研究?！秱€人信息保護法》不僅在調整方法上具有綜合立法的特點，而且在具體規(guī)則設計上也存在較為明顯的功能差異面向。從調整方法上看，相比作為部門法的民法，個人信息保護法融合了多種不同性質的調整方法，其保護制度不只是民事的，而是多種面向的，包括行政的、刑事的甚至訴訟程序方面的保護制度，也包括涉外的保護規(guī)則。從功能差異來看，《個人信息保護法》的保護制度顯然不是相關部門法規(guī)則的具體化和特殊化，而是基于自身復雜的特殊調整功能進行的新的體系規(guī)則建構。比如，針對個人信息處理者的義務，《個人信息保護法》除規(guī)定了私法義務外，還增加了管理義務;并涉及履行個人信息保護職責的部門規(guī)范（涉及部門分工、職責、管理、執(zhí)法等管理規(guī)定），這實際上屬于《個人信息保護法》為充分體現其管理保護功能的增強制度。這些都旨在建構個人信息保護的新機制，是《民法典》所沒有的。對此，當然應從功能評價的角度加以適用，不能因為《民法典》沒有規(guī)定就予以否定。

當然，有些差異可能與功能預設無關，而純屬于兩部法律之間的體系矛盾。對此，原則上應該首先堅持并存協(xié)調的原則加以調和，如果確實存在難以調和的矛盾，則宜采取新法優(yōu)于舊法的原則（而非特別法優(yōu)于一般法或上位法優(yōu)于下位法的規(guī)則）進行體系平衡。在此，《個人信息保護法》即為新法。

三、《個人信息保護法》對《民法典》個人信息保護私法制度的重要修補

立法者從《個人信息保護法》是與刑民基本法具有并存地位的領域基本法這一定位出發(fā)，結合現實需求，對《個人信息保護法》作出了兩方面的建構：一方面，從領域法的全功能體系出發(fā)，建立了系統(tǒng)化的個人信息保護制度;另一方面，對《民法典》中個人信息保護的相關私法制度作出了更加完善的規(guī)定。如果發(fā)現《民法典》的規(guī)定存在不足應當修補的，就果斷予以修補。具體而言，《個人信息保護法》無論是在個人信息等概念上，還是在相關權利和義務的規(guī)定上都對《民法典》的相關規(guī)定進行了重要的修補，而不只是簡單細化和補充。這些修補不能被視為是對《民法典》的違反或抵觸，而應該被視為是有效的合理的修改和完善。

（一）關于個人信息等概念的修補

《民法典》通過第1034條第2款闡釋了個人信息的內涵，即“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”。《個人信息保護法》第4條第1款也對“個人信息”進行了界定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息?！毕噍^而言，后者不僅表述更加簡潔，而且在范圍上也有明顯變化，明確排除了“匿名化處理后的信息”，也就是說匿名化處理后的信息不再屬于個人信息的范疇，自然也就不再適用《個人信息保護法》。關于匿名化，《個人信息保護法》第73條第3項作了嚴格界定，“匿名化，是指個人信息經過處理無法識別特定自然人且不能復原的過程”，與程度較低的第4項規(guī)定的“去標識化”相區(qū)別，“去標識化，是指個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程”?？梢?，《個人信息保護法》關于個人信息的概念界定，對《民法典》個人信息的定義做出了不可忽略的修補。

由于《個人信息保護法》對個人信息的概念界定僅僅進行抽象說明而沒有采取列舉加概括的定義方式，此項修補一方面與《民法典》相比顯得更為模糊;但另一方面，明確將匿名化處理后的信息排除在個人信息的保護范圍外，對執(zhí)行匿名化的個人信息處理者是極大的利好，鼓勵了他們積極開發(fā)和應用符合要求的匿名化處理技術。《個人信息保護法》第4條第2款還重新界定了個人信息的處理范圍，包括“個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等”，對比《民法典》第1035條第2款的界定，即“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等”，明顯增加了對“刪除”的列舉，這就使得“刪除”明確進入應當受到規(guī)范的個人信息處理活動的范圍。

（二）關于對自然人個人信息的權利的修補和增加

《民法典》第1037條規(guī)定了自然人對其個人信息享有的相關權利，其中第1款規(guī)定了查閱或者復制的權利、針對錯誤信息提出異議并請求及時更正的權利;第2款規(guī)定了在信息處理者違法或違反約定處理個人信息情形下的請求刪除的權利。對比而言，《個人信息保護法》規(guī)定的個人信息的權利范圍有了明顯的擴展。一方面，《個人信息保護法》通過第45條第1款和第2款（查閱權、復制權）、第46條第1款和第2款（從更正權發(fā)展為更正補充權）和第47條（刪除權）的規(guī)定，確認《民法典》已經明確的有關個人信息的權利，并且做出了進一步完善;另一方面，還通過第44條增加規(guī)定了知情權、決定權、限制和拒絕他人處理權，通過第45條第3款增加了可攜帶權，通過第48條增加了請求解釋權。《中華人民共和國個人信息保護法（草案）》（二次審議稿）[以下簡稱為《個人信息保護法（草案）》（二次審議稿）]還規(guī)定了對死者個人信息的保護，《中華人民共和國個人信息保護法（草案）》（三次審議稿）[以下簡稱為《個人信息保護法（草案）》（三次審議稿）]完善為自然人死后個人信息由其近親屬在一定范圍獲得保護，并尊重死者生前的安排。值得說明的是可攜帶權，《個人信息保護法（草案）》（三次審議稿）才對該項權利的增設做出決斷，《關于〈個人信息保護法（草案）〉審議結果報告》第七項對確立可攜帶權的由來進行了詳細說明。立法過程曲折的主要原因是學界和產業(yè)界對是否引入歐美國家的可攜帶權存在疑慮，其中反對觀點認為如果引入會給我國個人信息處理者帶來巨大負擔，不利于產業(yè)發(fā)展。①立法者最終決定引入數據可攜帶權，這對于維護數據市場的公平競爭具有積極意義。數據企業(yè)特別是頭部企業(yè)任意進行數據封鎖，阻斷數據流通，甚至進行數據壟斷，從反不當競爭和反壟斷的角度看業(yè)已成為一種現實危害。國家市場監(jiān)督管理總局于2021年8月17日發(fā)布了《禁止網絡不正當競爭行為規(guī)定（公開征求意見稿）》，對互聯網經營者利用技術手段影響用戶選擇，包括實施平臺封禁、大數據殺熟、向用戶頻繁彈窗等新型網絡不正當競爭行為進行了分類規(guī)制，以期增強《反不正當競爭法》的適用性。② 從司法實踐來看，目前一些典型判決也確立了結合數據封鎖來分析是否構成不正當競爭的觀點。③ 可攜帶權有利于破除這種封鎖，所以極有必要對其進行規(guī)定。④

關于個人信息保護的性質及其基礎，一直存在爭議。從比較法上看，不一而論。有觀點從人格尊嚴與自由的角度出發(fā)，支持個人信息自決權理論。⑤ 但也有學者兼從社會功能角度出發(fā)，認為個人信息的權利不是絕對的，而應該結合其社會功能來理解，⑥ 這種觀點支持個人信息相關權利的分叉和具體功能化，⑦ 傾向兼顧人格價值和社會功能，從維護個人在數字化時代的必要人格尊嚴和自由以及維護公平實踐⑧等角度，綜合設定和理解個人信息權利。目前后一種觀點逐漸占據優(yōu)勢。在美國，2018年《加利福尼亞州消費者隱私保護法》和2021年的《弗吉尼亞州消費者數據保護法》甚至把個人信息權利的重心轉移到了公平實踐之上。在這種情況下，個人就個人信息應受保護的權益體現為在合理范圍內不受干涉和應受公平利用對待的各種利益，既包括對相關處理活動的必要知情權、同意權或自主決定權等與尊嚴自由相關的一般人格利益，也包括應受公平和平等對待等的特殊人格利益，甚至還包括因個人信息的經濟功能產生的財產化、可公開化的合理要求。⑨

（三）關于個人信息處理者義務的修補和增加

《民法典》第1038條設定了個人信息處理者的一般私法義務，該條第1款規(guī)定了個人信息處理者的兩項不作為義務，即禁止泄露或篡改的義務和禁止未經同意向他人非法提供的義務;第2款規(guī)定了兩項作為義務，即應當采取必要措施確保個人信息安全的義務，以及在發(fā)生或者可能發(fā)生個人信息損害時應當及時采取補救措施并按規(guī)定告知和報告的義務。相比《民法典》這一規(guī)定，《個人信息保護法》關于個人信息處理者義務的規(guī)定，顯然有了巨大的完善，具有相當范圍的增量，既有私法義務規(guī)范，也有《民法典》未規(guī)定的管理義務規(guī)范，形成了一個更加復雜的與處理場景和安全風險密切結合的多組不同性質義務相配合的體系，體現出義務人自主管理和非自主管理的雙重性。

《個人信息保護法》第51條涉及的是私法義務規(guī)范，對《民法典》第1038條的規(guī)定進行了一定的擴充，但不僅僅是《民法典》第1038條的具體化、明確化?！秱€人信息保護法》第51條規(guī)定，個人信息處理者應當根據個人信息處理的具體情況，采取確定的六項措施來確保個人信息處理活動合法合規(guī)，并防止未經授權的訪問和個人信息泄露、篡改、丟失。《個人信息保護法》第52條到58條都是關于管理義務的規(guī)定，是《民法典》所沒有的，體現了《個人信息保護法》超出一般私法治理的綜合治理的義務配置特點?！秱€人信息保護法》第52條規(guī)定，規(guī)?；膫€人信息處理者具有設置個人信息保護負責人并進行報送備案的義務，這顯然是一項旨在強化個人信息處理者自主管理的管理義務，不僅有利于保護個人信息權益，而且也兼具公共治理屬性，防范規(guī)模數據的安全風險。第53條對符合本法規(guī)定的境外個人信息處理者設定了應在中國設立個人信息保護專門機構或指定代表并報送備案的義務。第54條規(guī)定，個人信息處理者對其個人信息處理活動具有定期進行合規(guī)審計的義務。第55條和第56條規(guī)定，對處理敏感個人信息、利用自動化決策、委托他人處理、向他人提供或公開、向境外提供等其他對個人權益有重大影響的個人信息處理活動，個人信息處理者具有事先進行影響評估和記錄處理結果的義務。第57條規(guī)定，個人信息處理者在個人信息發(fā)生泄露或可能泄露時，具有補救和通知義務。第58條規(guī)定，重要互聯網平臺作為個人信息處理者，具有引入外部監(jiān)管、正確制定平臺規(guī)則、有效管控平臺內違法違規(guī)產品和服務、定期發(fā)布社會責任報告和接受社會監(jiān)督的加強內部管理和防范風險的義務。其中，關于重要互聯網平臺作為個人信息處理者的嚴格管理和防范義務，是《個人信息保護法（草案）》（二次審議稿）增加的，《個人信息保護法（草案）》（三次審議稿）進一步增加了應正確制定平臺規(guī)則以更好明確平臺產品和服務處理個人信息活動規(guī)范的管理義務。這是對現實中要求大互聯網平臺應當對個人信息保護承擔更大責任的社會呼聲的回應，也順應了國際上平臺治理規(guī)范的發(fā)展趨勢，《關于〈個人信息保護法（草案）〉審議結果報告》第九項對此進行了詳細說明。第59條規(guī)定，接受委托處理個人信息的受托人具有保障個人信息安全等協(xié)助義務。上述義務都是針對不具有公共職能的個人信息處理者設定的。政府機關等承擔公共職能的機構及其工作人員則存在特殊性，《民法典》第1039條規(guī)定，其作為個人信息處理者時，應承擔對隱私和個人信息的保密義務，以及禁止泄露或非法向他人提供的義務。

（四）關于個人信息處理者對個人信息處理規(guī)則的修補

《民法典》對個人信息保護的設計，突出了“權利—義務—行為規(guī)范”的三層私法保護體系，也就是說，在規(guī)定權利、義務的同時，還設定了個人信息處理者從事處理活動的行為規(guī)范。這種設計的復雜性已經不同于傳統(tǒng)人格權或者其他絕對權的保護模式?！睹穹ǖ洹返?035條屬于積極規(guī)范，規(guī)定了處理行為的原則和條件等。其中，原則為“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理”。條件有四：除法律法規(guī)有例外規(guī)定，應征得該自然人或者其監(jiān)護人同意;公開處理信息的規(guī)則;明示處理信息的目的、方式和范圍;不違反法律、行政法規(guī)的規(guī)定和雙方的約定。《民法典》第1036條屬于消極規(guī)范，規(guī)定了行為免責事項，即在三種情況下個人信息處理者可以不承擔民事責任：在自然人或者其監(jiān)護人同意范圍內合理實施的行為;合理處理該自然人自行公開的或者其他已經合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;為維護公共利益或者該自然人合法權益，合理實施的其他行為。

對《民法典》的個人信息處理行為規(guī)則，《個人信息保護法》基于自身更加系統(tǒng)的設計優(yōu)勢，做出了細化發(fā)展，也進行了明顯的修補。《個人信息保護法》注意原則與規(guī)則的區(qū)分，第一章“總則”規(guī)定了有關個人信息處理的原則，即通過第5條到第10條宣示了個人信息處理的六項原則。第5條為遵循合法、正當、必要、誠信原則，第6條為遵循目的限制和影響最小化原則（處理個人信息應符合明確、合理目的，需與信息處理的目的直接相關并采取對個人權益影響最小的方式），第7條為遵循公開、透明原則（公開處理規(guī)則以及明示處理的目的、方式和范圍），第8條為保障個人信息質量原則（處理個人信息應當保障個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響）①，第9條為處理者應對活動負責和采取必要措施保障安全的原則，第10條為禁止從事違法和危害國家安全、公共利益的個人信息處理活動的原則。上述原則應該通過“原則+規(guī)則”的解釋架構，一并融入第二章“個人信息處理規(guī)則”加以適用。第二章不僅區(qū)分了《民法典》沒有注意區(qū)分的一般信息和敏感信息，對處理個人信息的活動建立了雙層行為標準，而且還關注了《民法典》雖做出了義務配置，但在行為規(guī)范上卻失之考慮的國家機關，增加了其處理個人信息時的相應行為規(guī)范要求。相關行為規(guī)則，具體可作如下理解。

首先，關于個人信息處理者對一般個人信息的處理行為規(guī)范，《個人信息保護法》第二章第一節(jié)“一般規(guī)定”作出了全面規(guī)定。第13條設定了可以處理他人個人信息的七種情形，除這七種情形外不得處理他人的個人信息。這七種情形實際暗含了處理個人信息需以同意為條件，但是比《民法典》的規(guī)定更加具體，除了第1項為取得他人同意，其他六項均反向列舉了不需要同意的具體情形，包括：為訂立、履行個人作為一方當事人的合同或人力資源管理所必需;②為履行法定職責或者法定義務所必需;為應對突發(fā)公共衛(wèi)生事件或者緊急情況下為保護自然人的生命健康和財產安全所必需;③合理范圍處理個人自行公開或已經合法公開的信息，為公共利益實施新聞報道、輿論監(jiān)督等在合理范圍處理個人信息;法律、行政法規(guī)規(guī)定的其他情形。

《個人信息保護法》第14條到第17條是對同意的具體要件、撤回、效力、知情告知要求與豁免等的規(guī)定，這些在《民法典》上鮮有涉及，因此是重要的細化和完善。第14條規(guī)定了基于個人同意處理個人信息的情形，即須以充分知情和明確作出為基本要求，必要時，法律、行政法規(guī)可以規(guī)定單獨同意或書面同意。此外，個人信息處理發(fā)生重要變更，還應重新取得同意。第15條規(guī)定同意的撤回條件、方式和效果。第16條規(guī)定個人信息處理者不得以個人不同意或撤回同意為由，拒絕提供產品或服務，除非信息處理屬于必需。這一條具有很大的現實意義，目前許多網絡產品和服務的提供者為了收集個人信息，采取強制個人同意的辦法，否則就不提供產品或服務，有了這一規(guī)定，就明確了這種行為的違法性。第17條規(guī)定同意要件中充分知情的具體要求，即個人信息處理者必須以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知本條列舉的必要事項?！秱€人信息保護法（草案）》（三次審議稿）相比《個人信息保護法（草案）》（二次審議稿），添加了“真實、準確、完整”幾個詞，更加明確了其嚴格保護個人信息的立場，防止不充分知情的濫用。第18條規(guī)定告知（充分知情）的豁免，包括兩種情形，即法律、行政法規(guī)規(guī)定不需要告知的情況和出現緊急情況（但消除后仍然要及時告知）。第19條規(guī)定了個人信息的保存期限，從有利于個人出發(fā)，應為實現處理目的所必要的最短時間。

《個人信息保護法》第20條到第23條是關于共同處理、委托處理、因主體變更需要轉移、向第三方提供處理的特殊行為規(guī)則。第20條規(guī)定了多人共同處理個人信息時的行為規(guī)則和責任承擔，即內部可以約定如何處理，但對外不改變個人對其個人信息的權利，出現損害時，信息處理者應承擔連帶責任。第21條規(guī)定委托處理時的行為規(guī)則和相應責任?？傮w上，委托人仍然是個人信息處理者，應承擔行為責任，受托人作為協(xié)助者承擔相應行為的責任。具體而言，委托人對受委托人的信息處理活動進行監(jiān)督;受托人依據合同處理個人信息;合同不生效、無效、被撤銷或者終止，受托人則應當將個人信息返還個人信息處理者，或者予以刪除，不得保留;受托人未經個人信息處理者授權，不得再轉委托。第22條規(guī)定因合并、分立、解散、被宣告破產等需要轉移個人信息時的行為規(guī)則。個人信息原則上允許轉移，但應當告知個人，并由接收者繼續(xù)履行個人信息處理者的義務。接收方變更原先處理事項，則需要取得重新同意。這一規(guī)定一方面注意與營業(yè)轉讓的合理需要相適應，另一方面也強調避免濫用加害情況的發(fā)生。第23條規(guī)定了向第三方提供處理的個人信息的一般規(guī)則，即采取告知加取得單獨同意的嚴格要求。

《個人信息保護法》第24條規(guī)定了個人信息處理者利用個人信息進行自動化決策時的特殊行為規(guī)則，針對處理者規(guī)定了正當公平使用的嚴格義務，并賦予個人信息應受保護的法律地位。這一條在立法中備受關注，該條立法規(guī)范基礎究竟為何存在疑惑，立法者最終將之落到了個人應受公平實踐對待的要求上。其一，保證決策透明和結果公平公正，《個人信息保護法（草案）》（三次審議稿）開始明確禁止價格歧視，《關于〈個人信息保護法（草案）〉審議結果報告》第二項說明了在涉及利用個人信息進行自動化決策時這種公平理念的權利義務化和行為規(guī)范化，“利用個人信息進行自動化決策，不得對個人在交易價格等交易條件上實行不合理的差別待遇”;其二，通過自動化決策向個人進行信息推送、商業(yè)營銷，要求應當同時提供不針對其個人特征的選項，或者提供拒絕的方式;其三，個人信息處理者通過自動化決策作出對個人權益有重大影響的決定時，個人有權要求解釋并有權拒絕僅通過自動化決策作出決定。

對比GDPR，后者是在“數據畫像”語境意義下看待對個人數據進行自動化處理的行為要求，將其放在第三章“數據主體權利”項下的第四節(jié)“反對權和自動化決策”之下，與個人信息主體的反對權聯系在一起，體現反對權的運用。GDPR第4條之（4）規(guī)定：“‘數據畫像是指對個人數據進行任何自動化處理，包括利用個人數據評估與自然人有關的特定方面，特別是針對與自然人的工作表現、經濟狀況、健康狀況、個人偏好、興趣、信譽、行為習慣、位置或行蹤相關的分析和預測。”在此語境下，GDPR第22條對“自動化決策，包括數據畫像”予以具體化規(guī)定，明確規(guī)定了數據主體原則上不受不利于自己的自動化決策限制，數據控制者運用時應當保護數據主體的權利、自由和合法利益等規(guī)則。GDPR通過反對權，綜合了權利、自由和合法利益等因素，對以個人信息自動化決策為基礎的行為規(guī)則的適用基礎進行了評價。其中，所謂合法利益，自然也包括應受公平對待的利益。①

《個人信息保護法》第25條規(guī)定了個人信息處理者禁止公開的行為規(guī)則，除非取得個人單獨同意，否則不得公開其處理的個人信息。第26條對在公共場所安裝圖像采集、個人身份識別設備的個人信息處理行為建立基本準則，采取了限制立場：首先，應當為維護公共安全所必需;其次，應遵守國家有關規(guī)定，并設置顯著的提示標志;最后，收集的信息只能用于維護公共安全目的，不得他用，此項僅可以通過個人單獨同意改變。第27條規(guī)定了對已經公開的個人信息進行處理的行為規(guī)則。原則上允許在合理范圍處理自愿公開和合法公開的個人信息，但有兩個例外，即個人明確拒絕和處理對個人權益有重大影響的已公開的個人信息。

其次，關于個人信息處理者對敏感個人信息的處理行為規(guī)范?！秱€人信息保護法》第二章第二節(jié)“敏感個人信息”專門就此作出嚴格的行為規(guī)范。個人信息處理者處理敏感個人信息，先要遵循本節(jié)規(guī)范，本節(jié)沒有規(guī)定的則適用一般規(guī)定和相關原則。第28條第1款界定了何為敏感個人信息，即“敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”。該條采取列舉加抽象的規(guī)定模式。抽象上的界定，是指一旦泄露或非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害，這里強調的是“容易”兩個字。列舉上的界定，《個人信息保護法（草案）》（三次審議稿）和前面幾稿不完全一致，最終綜合討論意見，列舉了生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息?！秱€人信息保護法（草案）》（三次審議稿）還特別將 “不滿十四周歲未成年人的個人信息”歸入敏感個人信息，旨在回應關于強化保護未成年人個人信息的社會呼聲，《關于〈個人信息保護法（草案）〉審議結果報告》第五項對此做出了相關說明。第28條第2款規(guī)定了處理敏感個人信息的兩個特殊前提：一是具有特定的目的和充分的必要性;二是《個人信息保護法（草案）》（三次審議稿）新增的一項要求，即采取嚴格保護措施。否則，不得處理敏感個人信息。第29條規(guī)定敏感個人信息處理須遵循嚴格同意條件，而不是一般個人信息的同意條件。這種嚴格同意體現為“應當取得個人的單獨同意”，“如果法律、行政法規(guī)規(guī)定應當取得書面同意，還要取得書面同意”。第30條規(guī)定處理敏感個人信息，除了存在法律法規(guī)等規(guī)定應當保密等不需要告知的情形外，原則上還應履行告知的義務，告知內容包括處理的必要性和對個人權益的影響等。第31條規(guī)定了處理不滿十四周歲未成年人的個人信息的特殊規(guī)則，即應當取得未成年人的父母或其他監(jiān)護人的同意，該條第2款還要求個人信息處理者應當制定專門的處理規(guī)則。第32條規(guī)定法律、行政法規(guī)對敏感個人信息處理有特殊限制的，還應取得相關許可或遵循限制規(guī)定。

最后，關于國家機關作為個人信息處理者的行為規(guī)范?！秱€人信息保護法》第二章第三節(jié)是關于“國家機關作為個人信息處理者的特別規(guī)定”?！睹穹ǖ洹返?039條規(guī)定了國家機關等作為個人信息處理者應承擔的義務，但未具體規(guī)定其行為規(guī)范，《個人信息保護法》對此作出了完善。第34條規(guī)定了國家機關處理個人信息應受法定職責限制，這一規(guī)定是《民法典》所沒有的，從而為國家機關能否從事個人信息處理活動以及在什么范圍從事限定了前提、范圍和程序。國家機關為履行法定職責處理個人信息，必須依照法律、行政法規(guī)規(guī)定的權限、程序進行，不得超出履行法定職責所必需的范圍限度。第35條規(guī)定國家機關還應當履行告知義務，但此項要求可因法律、行政法規(guī)的保密規(guī)定而排除，或者因告知會導致履職妨礙而排除。第36條規(guī)定國家機關對其掌握的個人信息應為國內存儲的要求，如確需向境外提供，則應做安全評估。第37條規(guī)定本節(jié)關于國家機關的特殊規(guī)定也適用于法律法規(guī)授權的具有管理公共事務職能的組織為履職處理個人信息的活動。

四、《個人信息保護法》的保護功能預設及其綜合治理保護體系

（一） 《個人信息保護法》的保護功能預設及其背景

目前各國的個人信息規(guī)范體系的一個突出的共同特點是在“保護法”的功能取向下展開其內部體系，無一例外冠以“保護”之名，我國也不例外?！秱€人信息保護法》明確宣示以個人信息保護為功能預設。該法第1條是對立法宗旨的宣示，即“為了保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用”，明確把“保護”放在首位。也就是說，這部法律的根本定性是保護法，重在保護“個人信息權益”。相較于“保護”，“規(guī)范”和“促進”則是手段和方法，是以“保護”這一基本功能為前提的“規(guī)范”和“促進”。《個人信息保護法》第2條明確宣示自然人的個人信息具有受法律保護的地位，即“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益”，繼續(xù)強化了該法作為保護法的設計理念和基本追求。

《個人信息保護法》第2條也顯示本法的保護對象是“個人信息權益”。不過，這一表述與傳統(tǒng)民事權利概念相比，具有模糊性。“個人信息權益”其實是指稱存在于“個人信息受法律保護”語境中的法益，歐盟GDPR甚至稱之為個人信息保護權。在《民法總則》的制定和《民法典》編纂過程中，有觀點建議使用“個人信息權”的表述。①但無論是《民法總則》《民法典》還是現在的《個人信息保護法》都沒有使用“個人信息權”概念，而是采取了“個人信息保護”的框架表述。這是因為，個人因個人信息處理而涉及到的個人相關利益，反映到法律上比較復雜，不宜簡單表述為“個人信息權”?！皞€人信息受保護的權利與其他人格權在考量因素上有所不同，個人信息的保護要恰當平衡信息的利益與數據共享利用之間的關系?！雹谖覀冏⒁獾剑瑲W盟雖然在基本權利的高度上看待個人信息保護，但同樣也沒有確立“個人數據權”這樣的簡單概念。首先，GDPR序言的第（1）項宣稱，“自然人在個人數據處理過程中獲得保護是一項基本權利”，這一表述其實呼應了《歐盟基本權利憲章》第8條第1款和《歐盟運行條約》第16條第1款關于個人信息保護的表述，即“人人均有權就其個人數據獲得保護的權利”。其次，該法序言第（4）項明確指出，個人數據的處理應服務于人類，保護個人數據的權利不是絕對權利，需要綜合考慮其社會功能并依據比例原則與其他基本權利保持平衡。也就是說，盡管個人信息保護是必要的，但也不能簡單將其認定為是個人信息權，或者說是絕對的個人信息權利。個人信息保護不僅涉及個人法益確定的微妙性，還涉及個人利益與其他基本權利以及社會功能的平衡問題。美國雖然將個人信息保護視為隱私權的一部分，并通過“信息隱私”（Information Privacy）概念將其納入，但也是在原本就多樣化的隱私權概念基礎上進行謹慎而有區(qū)別的保護?！靶畔㈦[私”與以美國憲法第四修正案和普通法實踐為依據而獲得保護的隱私有所區(qū)別，后者諸如有形隱私（比如身體隱私、空間隱私）、財產隱私以及決定隱私。“信息隱私”作為一個更加微妙的動態(tài)領域，必須對其進行差異化對待，進而使其可以歸入廣義“信息法”（Information Law）的范疇，成為一個更加需要平衡“私人與公共”（the Private and the Public）關系的復雜領域。①

《個人信息保護法》作為保護法面世，源于個人信息處理時呈現的個人權益的微妙性和復雜性，正是這種權益的微妙性和復雜性導致了保護的微妙性和復雜性，體現為一種獨特的系統(tǒng)保護機制，這不僅區(qū)別于部門法的單一機制，也區(qū)別于不同部門法機制的簡單疊加?！秱€人信息保護法》作為保護法，以維護個人利益為立足點，這一點與民法類似，因為民法就是以保護個人利益為目的的法律。但是從保護法角度立法，重點不僅僅在于保護對象的微妙和復雜，也在于需要確立與這種保護要求相適應的規(guī)范手段和體系。這種復雜的規(guī)范機制和體系導致《個人信息保護法》與《民法典》之間存在巨大差異，從而使其不能作為民法典的下位單行法，而應具備領域基本法的獨立價值。2020年出臺的《民法典》為了體現時代性，彰顯對新型領域的及時關注，努力將個人信息保護納入進來，就個人信息保護設立相關私法制度。但是，立法者發(fā)現難以使用“個人信息權”的概念來統(tǒng)括民法上的個人信息保護。因而，在個人信息保護規(guī)范語境中采用了“自然人關于個人信息的權利+個人信息處理者的義務+處理行為規(guī)范”的復雜架構。即使這樣，我們也不難發(fā)現，因受到民法規(guī)范體系和機制的限制，將個人信息納入民法典進行保護并不能充分滿足個人信息保護需要。如《關于〈個人信息保護法（草案）〉的說明》所言，《民法典》出臺之后，我國社會各方面仍然“廣泛呼吁出臺專門的個人信息保護法”，以便“增強法律規(guī)范的系統(tǒng)性、針對性和可操作性，在個人信息保護方面形成更加完備的制度、提供更加有力的法律保障”?！秱€人信息保護法》的制定正是為了回應對更加完備、更加有效的個人信息保護規(guī)范體系的需求。

（二）《個人信息保護法》作為保護法的體系展開

由于受到傳統(tǒng)民法觀念或者簡單自由主義觀念的影響，早期信息隱私或個人信息保護提倡依靠個人信息主體自我管理的模式，希望通過明確設定私法意義的權利、義務和行為規(guī)范，引導權利、義務或行為主體自主自覺，進而達成個人信息保護的善治。這里的關鍵是鼓勵個人信息權利主體積極行權和主張保護。首先，明確設定的相關權利，如知情權、同意權、查閱權、異議更正權、刪除權、可攜帶權等，為個人提供可自主控制自己信息的個人信息權利體系。其次，針對個人信息處理者設定相應的私法保護義務和行為規(guī)范，希望借此形成一種約束。一方面鼓勵義務人和行為人自覺，另一方面通過民事責任和行為否定效果來保障這種自覺。②但事實證明這種模式是失靈的，相關權利義務乃至行為規(guī)則經常形同虛設，因為作為自主管理機制的關鍵主體即個人信息權利主體，除了面臨認知困境（隱私政策的信息不對稱），也面臨著結構問題（規(guī)模問題、結合問題、評估損害問題等）①，往往處于一種無知無力的困局，因此很難達到法律設計的預期。

《個人信息保護法》針對這一失靈加以重點改進，希望提供一個更加充分、更加有效的保護體系，其最終確立起來的保護規(guī)范體系體現了新型法律體系以保護為目的的鮮明特點和趨勢。即自主管理和外部管理相協(xié)同、一般責任和特殊責任相配合的多元促進和保障的綜合保護體系，體現為“自然人關于個人信息的權利+個人信息處理者的義務+處理行為規(guī)范+管理保護規(guī)范+特殊法律責任”的綜合治理保護邏輯結構。一方面，以問題為導向，結合對個人信息保護自主管理的實踐悖論的認知，對相關基本私法制度及其自主管理體系進行了極大完善，在私法結構上更加復雜化，且更加突出以建構行為規(guī)范為重心。如此，個人信息保護自主管理的“權利—義務—具體行為規(guī)范”的邏輯體系才更加完整。另一方面，以保護為目的引入個人信息保護的外部管理機制和特殊法律責任機制，通過針對性的管理和嚴厲的特殊責任重點防治這一領域個人信息處理者追求贏者通吃的現象。

（三）完善自主管理體系與作為重點的個人信息處理行為規(guī)范機制

《個人信息保護法》注重完善個人信息自主管理體系，首先體現為對相關權利、義務、具體行為規(guī)范做出更加合理的配置，其次體現為對自主管理的失靈做出必要修補。比如，對一些權利義務的條件或行使規(guī)則作出了更加細化的規(guī)定，對一些易于濫用或規(guī)避的方面明確規(guī)定了不得濫用或規(guī)避的情形，等等。相比《民法典》，《個人信息保護法》對個人信息的相關權利、義務和行為規(guī)范的規(guī)定所做的修補是體系化、細節(jié)化的。

《個人信息保護法》修補和完善的重點之一，就是設置了一套嚴密的個人信息處理行為規(guī)范。對于個人信息處理，盡管個人信息權利義務設定本身很重要，但在規(guī)范路徑的精準施策方面卻存在不足，“規(guī)范個人信息處理活動”最重要的是對處理行為的規(guī)制，通過具體行為規(guī)制，可以更好解決個人信息保護中各種矛盾關系。目前各國個人信息保護的規(guī)范體系共同特點都是在“個人信息保護”的框架下突出強調對個人信息處理者的行為進行規(guī)范的重要性，而不是依賴相關個人信息的權利義務設定。我國《個人信息保護法》也不例外。按照第1條揭示，《個人信息保護法》保護功能的實現途徑是“規(guī)范個人信息處理活動”。顯然，重點落在對處理活動的規(guī)范。當然，這種規(guī)范設計有兩個額外要求：其一，應該是積極的，即同時“促進個人信息合理利用”，這意味著規(guī)范個人信息活動，不能因噎廢食，而應同時符合數字化社會的發(fā)展需要，保持必要的數據流動、共享，促進數字經濟發(fā)展;其二，這種規(guī)范設計最終需要服務于保護“個人信息權益”這一根本目的?？傮w而言，《個人信息保護法》通過“行為原則+行為規(guī)則”的模式，融貫相關權利義務規(guī)定，在“一般個人信息”“敏感個人信息”“國家機關作為個人信息處理者”三項區(qū)分的基礎上，建立了一個極其繁復的處理行為規(guī)范體系。

《個人信息保護法》保護功能的發(fā)揮，重點應落在對行為規(guī)范體系的執(zhí)行和監(jiān)督。行為規(guī)范體系既是個人信息處理者的具體行為指引，也是當事人和管理者據以判斷處理活動是否合法合規(guī)的具體標準。個人信息處理行為的合法合規(guī)，首先體現為是對具體行為規(guī)范的遵循。傳統(tǒng)人格權，比如生命權、身體權、健康權等，雖然也隨著醫(yī)療等社會體系的發(fā)展，在保護上已經比較復雜，但是尚無重點設計具體行為規(guī)范的必要，通過確定基本人格權范疇以及他人不得干涉的絕對義務，通常就可以發(fā)揮規(guī)范保護的效果。此后，隨著名譽權、姓名權、肖像權、隱私權（美國把姓名和肖像也納入隱私權保護范疇，視為可公開權化中的信息隱私）等逐漸發(fā)展，情況就變得有些不同，這些權利本身的邊界存在模糊性，難以通過確定權利和規(guī)定他人不得干涉的絕對義務達到規(guī)范保護效果。因此，有必要引入一些行為規(guī)范，使原有規(guī)范具有更加精確的指引性，但通常體現為一些禁止行為規(guī)范，此外也可以規(guī)定減免責任的行為情形，這在一定程度上是平衡保護思想的體現。但是，到個人信息保護出現和發(fā)展起來，情況就不一樣了，由于個人信息保護體現的相關權利和義務具有明顯的模糊性和多樣分叉的特點，依靠傳統(tǒng)的權利義務規(guī)范模式顯然難以起到精確規(guī)范和指引的效果，因此，有必要突出對個人信息處理行為的規(guī)范，以實現法律保護的明確和具體，從而體現出由權利義務規(guī)范向行為規(guī)范遷移的顯著變化。

（四）《個人信息保護法》外部治理保護體系及其積極管理和特殊法律責任機制

《個人信息保護法》反思了在復雜的數字化背景下，個人信息保護僅僅依靠自我管理模式的重要不足?，F實中，個人信息處理者具有極強的逐利需求，同時又處于數字權力和信息不對稱的絕對優(yōu)勢地位，容易因巨大利益誘惑而背離保護的要求。所以，除了對相關自主管理規(guī)則做完善之外，還應從切實保障個人信息保護有效性的角度，建立更加合理、科學和合乎實際的治理保護體系。其中，重點引入外部治理保護體系，通過外部加壓，打造個人信息保護的堅固防護網，主要機制包括確立積極管理制度和特殊法律責任。其中“積極管理”制度主要體現在第六章“履行個人信息保護職責的部門”，“特殊法律責任”制度則體現在第七章“法律責任”。

首先，引入強有力的積極管理制度。對個人信息保護是否應當以及如何引入外部的積極管理制度，理論上存在對家長式規(guī)范可行性的疑慮。我們注意到，即使是奉行自由經濟的歐盟，也在這方面果斷采取贊成的立場，GDPR確立有強度的積極管理制度，建立專門監(jiān)管機構，賦予強大的管理權、執(zhí)法權和問責權，形成了一種通過積極管理而達成個人信息保護的治理示范。我國立法過程中對于是否應當引入這一模式也爭議不大，有爭議的是強度問題，諸如應該在自主管理和外部管理之間保持怎樣的平衡？如何更好配合？授予誰來管理？賦予多大管理職權以及哪些職權？采取何種措施保障管理職權落在實處？這些方面的決斷取決于很多條件和因素，既有數字化特定發(fā)展階段個人信息治理的規(guī)律性因素，也有國情習慣因素。《個人信息保護法》第六章“履行個人信息保護職責的部門”，立足中國管理體制及其發(fā)展的實際特點，吸收歐盟和有關國家專門化監(jiān)管的經驗，在合理化的基礎上構建了一套專門化的明顯體現外部強力的管理保護制度，其呈現出以下三個方面的內容特點：

一是確立統(tǒng)籌協(xié)調與分工負責的多元管理體系。我國并未建立新的個人信息保護專門管理機構，而是采取對現有管理主體賦權的管理方式?！秱€人信息保護法》第60條規(guī)定了管理主體及其地位，其中第1款規(guī)定中央層面由國家網信部門負責統(tǒng)籌協(xié)調，國務院其他有關部門依法分工負責，第2款規(guī)定地方政府有關部門的職責由國家有關規(guī)定確定。

二是確立了以防治為重點的積極管理模式。主要體現為賦予保護部門包括防治職權在內的強管理職責，從預防的角度布局管理保護?！秱€人信息保護法》第61條規(guī)定了管理主體的一般職責，適用于所有管理主體，共五項，包括開展宣傳教育、指導監(jiān)督，接受處理投訴舉報，調查處理違法活動，法律、行政法規(guī)規(guī)定的其他職責等?！秱€人信息保護法（草案）》（三次審議稿）才開始增加其中第三項重要職責，即“組織對應用程序等個人信息保護情況進行測評，并公布測評結果”，這是為了回應現實生活中應用程序濫用權限侵害個人信息的亂象而提出的一項職責。近年來，包括國家互聯網信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)督管理總局等在內的有關部門，針對應用程序違法違規(guī)大量收集個人信息的情況，多次組織對APP侵害用戶權益行為的專項治理行動，特別是對網絡平臺上的各種應用程序進行測試檢查，發(fā)揮了較好的預防和治理效果，對于保護個人信息起到明顯效果。①? 《個人信息保護法》出臺前，治理APP運營者違法違規(guī)收集使用個人信息，重點依據《網絡安全法》《關于印發(fā)〈App違法違規(guī)收集使用個人信息行為認定方法〉的通知》（國信辦秘字[2019]191號）、《關于印發(fā)〈常見類型移動互聯網應用程序必要個人信息范圍規(guī)定〉的通知》（國信辦秘字[2021]14號）、《App違法違規(guī)收集使用個人信息自評估指南》（App專項治理工作組2019年3月編制）等相關法律和規(guī)定，但是由于管理授權不夠清晰，其適用存在合法性疑慮?！秱€人信息保護法》明確了管理部門可以依據第61條對APP實施監(jiān)管，在此條規(guī)定下，管理部門實施了監(jiān)管APP的行為不用擔心合法性問題，反之如果不實施監(jiān)管倒要擔心是否構成不作為。

《個人信息保護法》第62條規(guī)定了專屬于國家網信部門的五項職責，為其開展相關工作提供了法律依據。這些工作兼具統(tǒng)籌協(xié)調的功能，但同時更是其具體職責，包括制定個人信息保護的具體規(guī)則、標準，制定針對特殊方面的個人信息保護規(guī)則、標準，推進網絡身份認證公共服務建設，推進個人信息保護社會化服務體系建設等。《個人信息保護法（草案）》（三次審議稿）增加了第5項“完善個人信息保護的投訴舉報工作機制”②，這項職權對于網信部門及時發(fā)現問題提供了重要的信息途徑，屬于信息監(jiān)管的前提機制。當然也要注意投訴舉報的濫用，尤其要避免基于惡意競爭和報復的投訴舉報問題。

三是賦予一定范圍的調查權和處置權，相當于準司法權或執(zhí)法權。法律在一些專業(yè)性很強、存在重要利益需要保護的領域，為了增強管理或監(jiān)管的效率和權威，最大程度保證保護的可能性和及時性，往往會給管理部門配置必要調查和處置權，使其在特定范圍內可以采取一些類似司法機關才可以采取的措施，《個人信息保護法》也不例外。第63條規(guī)定，履行個人信息保護職責的部門在履行職責時可采取的措施有四項：詢問和調查情況;查閱、復制資料;實施現場檢查;檢查、查封或扣押設備物品。而且當事人應當協(xié)助，不得拒絕阻撓。第64條還規(guī)定了約談和合規(guī)審計以及移送犯罪嫌疑人③等特殊處置的權力，但限于履行職責中發(fā)現存在較大風險或發(fā)生安全事故的情形。

其次，確立嚴厲的特殊法律責任制度?！秱€人信息保護法》第七章“法律責任”從保護治理的角度，針對個人信息保護規(guī)定了嚴格的特殊法律責任。其中有三個值得注意的地方：一是出現許多新的行政處罰形式;二是高昂的罰款數額前所未有，這也是國際趨勢，但相比之下，仍低于歐美的數額規(guī)定;三是對違法進行信息處理的有關負責人員也施加了責任。

其中，《個人信息保護法》第66條最為重要，規(guī)定了違反本法的特殊行政責任。即只要違反本法規(guī)定處理個人信息或者處理個人信息未按照規(guī)定采取必要安全措施的，就可能產生特殊行政責任。這是一種新型治理式的行政責任，體現出與傳統(tǒng)行政責任不同的特點，突破了傳統(tǒng)責任原理，具有嚴厲性或加重懲罰性。第66條區(qū)分一般情況和嚴重情況，一般情況，由履行保護責任部門責令改正，給予警告，沒收違法所得?！秱€人信息保護法（草案）》（三次審議稿）針對性地增加了“對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務”;拒不改正的，并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。嚴重情況是指情節(jié)嚴重的情形，由省級以上履行保護職責的部門責令改正、沒收違法所得，并處五千萬元以下或上一年度營業(yè)額百分之五以下罰款，并可以責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。①

《個人信息保護法》第67條建立違法信用檔案記錄制度。第68條規(guī)定國家機關不履行本法規(guī)定的個人信息保護義務的特殊行政責任，包括責令改正和予以行政處分。此外，還規(guī)定了與刑法相關責任的關系。第69條規(guī)定個人信息處理者對個人信息造成損害的，以過錯推定作為承擔侵權責任的基礎，并明確損害賠償責任的標準，即按照個人所受損失或個人信息處理者獲得利益確定，難以確定的則根據實際情況確定賠償數額。第70條規(guī)定公益訴訟。第71條規(guī)定與治安管理責任和刑事責任對接。

五、結論：把握《個人信息保護法》體系理解和適用的雙重基礎

《個人信息保護法》作為領域新法體現了立法上的一種“創(chuàng)新”，這種“創(chuàng)新”的必要性在于勇敢地迎接個人信息保護的現實挑戰(zhàn)，滿足了當下“數字人格”安身立命的需求。個人信息保護問題是新時代的產物，個人信息本身并非當然是個人利益，只有當網絡信息社會發(fā)展到一定階段之后，當個人信息收集、利用和各種處理活動的發(fā)展和蔓延導致個人卷入其中，個人信息逐漸成為個人利益的牽引抑或載體，此時才產生了與個人信息處理相關的個人利益保護要求。然而這種保護要求，與以往相比，呈現了不同的問題，與現今法律體系既有的保護要求相比，可謂差異顯著。個人信息保護，體現了個人利益保護的微妙性和復雜性，因而保護制度的設計也需要作出與之相適應的創(chuàng)新。這種創(chuàng)新極為不易，對此需要努力認識、發(fā)現、把握和形塑，才可能收入法律行囊。

新時代的新法里藏著獨特的密碼，《個人信息保護法》當然不會例外。初始打量，我們可能感覺其體系似乎有點凌亂，與刑法、民法、行政法等任何單一部門法的體系都極為不同。但是只要用心體會，便能發(fā)現這些貌似凌亂的規(guī)范部落之間其實存在某種緊密聯系。本文所做的正是這種體系解碼的努力。通過上述分析，我們注意到《個人信息保護法》確立在雙重基礎之上。一個是其作為基本法的定位，它作為領域基本法及與民法、刑法等基本法并立的法律，對法律體系做出了重要的擴展。在新時代的法律系統(tǒng)中，居于新發(fā)展的體系位置，與傳統(tǒng)法律體系形成互為補充、守護相望的關系。另一個則是它的功能預設，它立足于個人信息保護利益的復雜性，同時基于超越自我管理局限的需要，以個人信息保護為基本功能設定，追求一種更加有效而全面的保護策略，構建了一套自主管理和外部治理互為配合的綜合保護規(guī)范體系。這兩大基礎構成了《個人信息保護法》全部體系和內容建構的雙核，成為理解《個人信息保護法》的重要前提。總之，只有認識了雙重基礎，才能夠真正領略《個人信息保護法》作為領域新法的基本價值和體系特點，其未來實施也必定會在這兩個方面的融合中獲得圓滿。

The Basic Law Position and Protection Function of Personal

Information Protection Law

long wei-qiu

（Law School， Beihang University， Beijing 100191， China）

Abstract：The Personal Information Protection Law has not only laid a new legal foundation for the protection of personal information in China， but also become a basic legislation under the background of digitization. To truly understand and implement this new law， we must accurately grasp the logical basis and connotation of its system. From an empirical point of view， we can interpret the basic ideas and main demands of this new law system according to the concept of dual foundation. One is the basic perspective designed for the basic law in the field of coexistence with the criminal and civil basic law. Starting from this， we can correctly understand its normative significance as a basic law in an emerging field and its application relationship with relevant basic laws， especially the Civil code. The other is the basic perspective preset to realize the protection function. The problem of personal information protection emerging in the digital context has unprecedented complexity， which can not be simply responded to through the path of existing departmental laws. It is necessary to establish a more complex multi governance protection system beyond independent management， especially to improve and enhance the system for the failure of independent management， including strengthening and perfecting specific behavior governance norms and introducing them to the necessary scope， increasing new mechanisms for external pressure governance， such as strong active management and strict special legal responsibilities. Through the above dual perspectives， we can have a more comprehensive understanding of the significance and role of the new law and ensure to grasp its core and essence in interpretation and implementation.

Key Words： personal information protection law; dual foundation; basic law; protection function; independent management

本文責任編輯：黃匯

本文青年編輯：孫瑩

收稿日期：2021-09-07

基金項目：國家社會科學基金重大項目“信息法基礎”（16ZDA075）

作者簡介：龍衛(wèi)球（1968），男，江西吉水人，法學博士，北京航空航天大學法學院教授，教育部長江學者特聘教授。

①? ? 全國人大常委會法制工作委員會：《關于〈中華人民共和國個人信息保護法（草案）〉的說明——2020年10月13日在第十三屆全國人民代表大會常務委員會第二十二次會議上》，載中國人大網，http：//www.npc.gov.cn/npc/c30834/202108/fbc9ba044c2449c9bc6b6317b94694be.shtml。

②? ? 參見[美]勞倫斯·萊斯格：《代碼2.0：網絡空間中的法律》，李旭、沈偉偉譯，清華大學出版社2009年版，第十至十二章以及第十四至十五章。萊斯格較早闡述了網絡空間發(fā)展導致必須納入特殊規(guī)制的隱私（個人信息）、言論自由、知識產權、網絡主權競爭等重點問題。但其當時并未觸及電子商務，電子商務是進入20世紀若干年之后才迅速發(fā)展起來的，并因其具有特殊性而成為新的規(guī)制重點。

③? ? 參見龍衛(wèi)球：《我國網絡安全管制的基礎、架構與限定問題——兼論我國〈網絡安全法〉的正當化基礎和適用界限》，載《暨南大學學報（哲學社會科學版）》2017年第5期，第8-9頁。

④? ? 參見趙國棟、易歡歡、糜萬軍、鄂維南：《大數據時代的歷史機遇：產業(yè)變革與數據科學》，清華大學出版社2013年版，第6頁。本書在我國較早指出大數據時代即將到來，并提出了數據資產、數據要素等概念。

⑤? ? 歐盟最早圍繞開放數據制定大數據相關戰(zhàn)略，2010年11月，歐盟通信委員會向歐洲議會提交了“開放數據：創(chuàng)新、增長和透明治理的引擎”研究報告，2011年11月“歐盟開放數據戰(zhàn)略” 被歐盟數字議程采納，2012年9月歐盟委員會公布“ 釋放歐洲云計算服務潛力”戰(zhàn)略，此后相關戰(zhàn)略不斷推進，到2020 年2 月19 日，歐盟委員會又以數字經濟發(fā)展為主要視角，公布了《歐盟數據戰(zhàn)略》，提出數據核心政策措施和未來5 年的投資計劃。美國2012年3月公布了《大數據研究和發(fā)展計劃》，2016年5月美國白宮發(fā)布《聯邦大數據研發(fā)戰(zhàn)略計劃》，更新美國下一步的大數據發(fā)展戰(zhàn)略，2019年12月23日，美國白宮再次發(fā)布《聯邦數據戰(zhàn)略與2020 年行動計劃》。

⑥? ? ?我國在2015年十八屆五中全會就提出“國家大數據戰(zhàn)略”，國務院同年9月印發(fā)《促進大數據發(fā)展行動綱要》，2016年又印發(fā)《政務信息資源共享管理暫行辦法》，工業(yè)和信息化部2016年12月印發(fā)《大數據產業(yè)發(fā)展規(guī)劃（2016-2020年）》，旨在落實行動綱要，對大數據產業(yè)發(fā)展戰(zhàn)略作出全面部署。2020年4月9日，中共中央、國務院發(fā)布《關于構建更加完善的要素市場化配置體制機制的意見》，明確將數據列舉為五大要素之一，提出加快培育數據要素市場。

①? ? Daniel J. Solove & Paul M. Schwartz， Information Privacy Law，? Wolters Kluwer， 2018， p.2-3.

②? ? 歐盟在1995年曾經出臺《歐盟數據保護指令》（EU Data Protection Directive），2016年4月27日又以第2016/679號法規(guī)的名義正式發(fā)布《歐盟一般數據保護條例》， 是全新的可直接適用于歐盟所有成員國的法律，該法自2018年5月25日開始適用。關于歐盟相關立法的介紹，可參見高富平主編：《個人數據保護和利用國際規(guī)則：源流與趨勢》，法律出版社2016年版;中國信息通信研究院互聯網法律研究中心等編：《歐盟數據保護法規(guī)匯編》，中國法制出版社2019年版。

③? ? 美國聯邦層面在早期就根據自己的立法權限，基于對隱私概念的擴展，逐步制定了一些具體的可適用于某些特定方面的個人信息保護單行法。美國聯邦個人信息保護立法情況，可參見阿麗塔·L.艾倫、理查德·C. 托克音頓：《美國隱私法：學說、判例與立法》，馮建妹、石宏、郝倩、劉相文、徐開辰譯，中國民主法制出版社2019年版，第225-248頁。

④? ? 近來，美國在州法層面加快了個人信息保護立法，而不是像早期那樣依賴普通法的判例法發(fā)展作為其法律演化基礎。但不同州發(fā)展不一，保護范圍和程度也有明顯差異。數字化程度較高的加利福尼亞州在2018年6月28日率先通過了第一部系統(tǒng)的個人信息保護法，即著名的《加利福尼亞州消費者隱私保護法》（2020年1月開始實施）;弗吉尼亞州在2021年3月2日也通過了該州的《消費者數據保護法》，成為美國第二個通過立法機構系統(tǒng)推動個人信息保護立法的州。

⑤? ? 《全國人民代表大會憲法和法律委員會關于〈中華人民共和國個人信息保護法（草案）〉審議結果的報告》，載中國人大網，http：//www.npc.gov.cn/npc/c30834/202108/a528d76d41c44f33980eaffe0e329ffe.shtml。

①? ?參見周漢華：《中華人民共和國個人信息保護法（專家建議稿）及立法研究報告》，法律出版社2006年版，第39-48頁;王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，載《現代法學》2013年第4期，第62、64頁;張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期，第38頁;丁曉東：《個人信息保護：原理與實踐》，法律出版社2021年版，第1頁。

②? ?參見薛軍：《數字經濟立法當審慎執(zhí)法應包容》，載法制網，http：//www.legaldaily.com.cn/commentary/content/2019-03/20/content_7805164.htm。

①? ?劉品新：《網絡法是“馬法”嗎？》，載《檢察日報》2007年9月5日，第006版;戴昕：《超越“馬法”？——網絡法研究的理論推進》，載《地方立法研究》2019年第4期，第2頁;余盛峰：《從馬的法律到黑箱之法》，載《讀書》2019年第3期，第18頁;于志剛、唐磊：《網絡法作為獨立部門法的正當性研究——從法理和實證的統(tǒng)合視角再議“馬法之爭”》，載《江漢論壇》2020年第2期，第130-131頁。

②? ? Frank H. Easterbrook， Cyberspace and the Law of the Horse，1996 University Chicago Legal Forum 207， https：//chicagounbound.uchicago.edu/uclf/Vol1996/iss1/7; David R. Johnson & David G. Post， Law and Borders：the Rise of Law in Cyberspace， Stanford Law Review，Vol.48，1996， p.1367.

③? ?美國學者大衛(wèi)·約翰遜和大衛(wèi)·波斯特認為，網絡空間挑戰(zhàn)了法律對領土邊界的傳統(tǒng)依賴，它是一個由屏幕和密碼（而非物理標記）限制的“空間”，因此網絡空間需要一套規(guī)則體系，這套規(guī)則體系完全不同于管理地理上界定地理區(qū)域的法律，我們必須“認真對待網絡空間”，將其作為一個獨特的地方，這樣才可以促成明確的網上交易規(guī)則和有效的法律制度。參見David R. Johnson & David G. Post， Law and Borders：the Rise of Law in Cyberspace， Stanford Law Review， Vol.48， 1996， p.1367。同時期具有相近觀點的，還可參見 Lawrence Lessig， The Zone of Cyberspace， Stanford Law Review， Vol.48，1996， p.1403; Lawrence Lessig， The Law of the Horse：What Cyber law Might Teac，Harvard Law Review，1999，p.113。

④? ? 《歐盟基本權利憲章》第8條規(guī)定：“個人數據保護：1.人人享有與其相關的個人數據受到保護的權利;2.此類數據必須在特定目的下，并基于當事人同意或法律規(guī)定的其他合法依據公正處理;3.這些規(guī)則的遵守應由獨立機構予以管制?！?/p>

⑤? ? 參見阿麗塔·L. 艾倫、理查德·C. 托克音頓：《美國隱私法：學說、判例與立法》，馮建妹等譯，中國民主法制出版社2019年版，第44頁。

①? ? 參見《關于〈個人信息保護法（草案）〉審議結果報告》第一項說明，載中國人大網，http：//www.npc.gov.cn/npc/c30834/202108/a528d76d41c44f33980eaffe0e329ffe.shtml。

②? ? 參見石佳友：《個人信息保護法與民法典如何銜接協(xié)調》，載《人民論壇》2021年第2期，第92頁。

③? ? 參見易明月：《民法典與個人信息保護法的關系》，載易明月律師網，http：//lawyers.66law.cn/s2107f9712447d_i879934.aspx。

④? ?參見王晨：《關于〈中華人民共和國民法典（草案）〉的說明——2020年5月22日在第十三屆全國人民代表大會第三次會議上》，載新華網，http：//www.xinhuanet.com/politics/2020lh/2020-05/22/c_1126021017.htm。

①? ? ?《關于〈個人信息保護法（草案）〉審議結果報告》第四項說明可為例證，該項指出，“一些常委會組成人員和地方、部門、企業(yè)、專家建議，進一步做好草案有關條款與民法典有關規(guī)定的銜接。憲法和法律委員會經研究，建議對草案二次審議稿作以下修改：一是將第二十八條修改為，個人信息處理者可以在合理的范圍內處理已合法公開的個人信息，個人明確拒絕的除外;對個人權益有重大影響的，應當取得個人同意。二是將第五十六條中的‘個人信息泄露修改為‘個人信息泄露、篡改、丟失?！?/p>

②? ? 參見龍衛(wèi)球：《數據新型財產權構建及其體系研究》，載《政法論壇》2017年第4期，第74-77頁;龍衛(wèi)球：《再論企業(yè)數據保護的財產權化路徑》，載《東方法學》2018年第3期，第52-54頁。

①? ? 參見丁曉東：《論數據攜帶權的屬性、影響與中國應用》，載《法商研究》2020年第1期，第74-76頁。近似觀點還可參見付新華：《數據可攜權的歐美法律實踐及本土化制度設計》，載《河北法學》2019年第8期，第162頁;尚海濤：《論我國數據可攜權的和緩化路徑》，載《科技與法律》2020年第1期，第86-90頁。

②? ? 參見《市場監(jiān)管總局關于〈禁止網絡不正當競爭行為規(guī)定（公開征求意見稿）〉征求意見的通知》，載國家市場監(jiān)督管理總局官網，http：//www.samr.gov.cn/hd/zjdc/202108/t20210817_333683.html。

③? ? 參見余建華、陳若星：《“微信數據”引發(fā)數據權益之爭 群控軟件被判賠260萬元》，載《人民法院報》2020年6月4日，第03版。

④? ?吳斯旻：《個人信息保護法落地? 互聯網巨頭的數據壟斷破防》，載第一財經，https：//finance.sina.com.cn/roll/2021-08-25/doc-ikqciyzm3406923.shtml。

⑤? ? ?參見賀栩栩：《比較法上的個人數據信息自決權》，載《比較法研究》2013年第2期，第73頁;劉金瑞：《個人信息與權利配置——個人信息自決權的反思和出路》，法律出版社2017年版，第33頁。

⑥? ? 參見Helen Nissenbaum， Privacy as Contextual Integrity， Washington Law Review， Vol.79， 2001， p.115; Daniel J. Solove， A Taxonomy of Privacy， University of Pennsylvania Law Review， Vol.154， 2006， p.477.

⑦? ? 參見劉金瑞：《個人信息與權利配置——個人信息自決權的反思和出路》，法律出版社2017年版，第108頁。

⑧? ? 參見Laise Bornico & Ian Walden， Ensuring Competitions in the Clouds： The Role of Competition Law？ ERA Forum ，Vol.12， 2011， p.282。 將可攜帶權的設定基礎理解為基于公平實踐的要求，提出其功能在于消除數據的“鎖定效應”（Lock-in effect），以便促進網絡和數字市場中的競爭。

⑨? ? Richard S. Murphy， Property Rights in Personal Information： An Economic Defense of Privacy， Georgetown Law Journal，Vol.84，1996，p.2381; Lawrence Lessig，Privacy and Attention Span， Georgetown Law Journal， Vol.89， 2001，p.2063; Paul M. Schwartz， Property， Privacy， and Personal Data， Harvard Law Review， Vol.117，2004，p.2055.

①? ? 《個人信息保護法》自《個人信息保護法（草案）》（二次審議稿）以來開始確立此項原則，實際蘊含的是個人信息處理必須同時保障個人信息被處理時應當受到正當和公平對待。

②? ? 此項是基于人力資源管理的需要可以處理個人信息的規(guī)定，該規(guī)定在《個人信息保護法（草案）》（三次審議稿）中才開始考慮，存有爭議，贊成的觀點認為適合我國存在大量非基于合同的人力資源管理情況，最終得到立法認同，但加上“必需”的限制?！蛾P于〈個人信息保護法（草案）〉審議結果報告》第三項對此項添加予以了說明。

③? ?根據本項，基于疫情防控等理由無需個人同意而收集個人信息也應該是有限制的，該項本身就蘊含了必需的要求，理解上應該適用管理法上的比例原則。

①? ? 《歐盟一般數據保護條例》（GDPR）中反對權的設定基礎，與其第三章第二節(jié)中的“知情權”（國內有學者翻譯為“獲得信息的權利”）和“訪問權”的設定基礎并不相同，后者的關注重點是避免對他人權利和自由產生不利影響，也就是說更側重體現基于個人的基本權利和自由對于個人信息保護提出的要求。參見GDPR第三章第二節(jié)關于知情權的相關內容，特別是第15條“數據主體的數據訪問權”之4，明確提及“不得對他人權利和自由產生不利影響”。

①? ? 王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，載《現代法學》2013年第4期，第69-71頁。

②? ? 參見黃薇主編：《中華人民共和國民法典解讀：人格權編·侵權責任編》，中國法制出版社2020年版，第200頁。

①? Raymond Wacks， Personal Information： Privacy and the Law， Clarendon Press， 1989， p.2-3，7-49;Ellen Alderman & Caroline Kennedy， The Right to Privacy， Vintage Books， A Division of Random House Inc.，1997，p.323-341.

②? ? 1973年美國衛(wèi)生教育福利部的“信息實踐公平原則”（Fair Information Practices Principle）報告最早提出了所謂的隱私自我管理模式。該模式要求：（1）個人數據記錄系統(tǒng)的透明化;（2）被記錄系統(tǒng)通知的權利;（3）在未經同意情況下個人數據不得為新目的而使用的權利;（4）更正個人數據的權利;（5）個人數據保存者防止數據被不當利用的義務。參見丁曉東、張吉豫主編：《隱私與數據的法律研究》，法律出版社2019年版，第214頁。

①? ? ?Daniel Solove， Privacy Self-Management and the Consent Dilemma， Harvard Law Review，Vol.26，2013，p.1880.

①? ? 參見《中央網信辦等四部門開展“App違法違規(guī)收集使用個人信息專項治理” 》，載網信中國，https：//mp.weixin.qq.com/s/ucC2d6gxczS4oACS4jYJjA;《APP違法違規(guī)收集使用個人信息專項治理報告（2019）》，載國家信息化辦公室網，http：//www.cac.gov.cn/2020-05/26/c_1592036763304447.htm; 《2020年App違法違規(guī)收集使用個人信息治理工作啟動會在京召開》，載國家信息化辦公室網，http：//www.cac.gov.cn/2020-07/25/c_1597240741055830.htm。

②? ? 《關于〈個人信息保護法（草案）〉審議結果報告》第十項對此作出說明。

③? ? 移送犯罪人特殊處置權力在《個人信息保護法（草案）》（三次審議稿）才開始增加，參見《關于〈個人信息保護法（草案）〉審議結果報告》第十項的相關說明。

①? ? 《個人信息保護法（草案）》（三次審議稿）開始加入可以決定禁止在一定期限內擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人的規(guī)定，參見《關于〈個人信息保護法（草案）〉審議結果報告》第十項的相關說明。