個人信息保護(hù)模式的建構(gòu)

◇許 娟 秦登峰

一、問題的提出

隨著《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）的頒布實(shí)施，個人信息法律保護(hù)體系已經(jīng)建成。梳理有關(guān)個人信息的法律法規(guī)，可以發(fā)現(xiàn)我國關(guān)于個人信息保護(hù)的立法次序走的是“逆常規(guī)路線”，即刑事立法先行，其他部門法陸續(xù)展開，最后進(jìn)行專門立法。在立法內(nèi)容上，亦是公法先行，輔以私法規(guī)制，最后以專門立法完善個人信息保護(hù)的具體規(guī)則細(xì)節(jié)。本文圍繞當(dāng)前個人信息保護(hù)立法中的相關(guān)問題展開討論。

（一）個人信息立法的法律位階不明

個人信息法律保護(hù)體系已經(jīng)建成，但法律與法律間的位階與關(guān)系卻不明確。以《個人信息保護(hù)法》與《中華人民共和國民法》（以下簡稱《民法典》）的關(guān)系為例，不同學(xué)者有不同的看法。第一種觀點(diǎn)認(rèn)為，就個人信息保護(hù)而言，《民法典》屬于基本法，具有普通法的地位?！秱€人信息保護(hù)法》作為全面規(guī)制個人信息處理行為的單行法，則具有特別法的屬性[1]。第二種觀點(diǎn)認(rèn)為，《個人信息保護(hù)法》是保護(hù)個人信息的基本立法，屬于旨在保護(hù)新型權(quán)利的公法，《民法典》屬于旨在確立民事基本制度的私法，在法律體系中分別發(fā)揮不同的作用[2]。第三種觀點(diǎn)認(rèn)為應(yīng)該以全新的視角看待《個人信息保護(hù)法》的規(guī)范屬性，有學(xué)者對此提出超越傳統(tǒng)部門法的領(lǐng)域法概念，以“保護(hù)法”命名的其他法律為例對領(lǐng)域法概念作了進(jìn)一步說明，并認(rèn)為用一般法與特別法描述個人信息保護(hù)法與民法之間的關(guān)系并不妥當(dāng)。第四種觀點(diǎn)認(rèn)為《個人信息保護(hù)法》中的民事規(guī)范應(yīng)當(dāng)作為民法的特別法來看待[3]。

上述觀點(diǎn)各有一定的道理。自然人的個人信息權(quán)益不限于民事權(quán)益，還包括人格尊嚴(yán)和人身自由等憲法上的基本權(quán)利，但主要集中在民事權(quán)益尤其是人格權(quán)益上。《民法典》中的很多規(guī)范也當(dāng)然適用于個人信息保護(hù)。此外，根據(jù)目前法律的規(guī)定，收集和使用個人信息應(yīng)當(dāng)遵循“合法、正當(dāng)、必要”原則，經(jīng)個人同意，并且與公共利益、個人權(quán)利和社會經(jīng)濟(jì)發(fā)展相平衡。因此法院在裁判時擁有較大的自由裁量權(quán)，有時面對同一類型的隱私權(quán)和個人信息案件時，綜合各種因素后甚至?xí)鞒鼋厝幌喾吹呐袥Q。故如果不確定個人信息相關(guān)法律保護(hù)的層級就會導(dǎo)致司法實(shí)踐中面臨很多問題[4]。不同的個人信息保護(hù)法律位階會產(chǎn)生不同的權(quán)利保護(hù)內(nèi)涵，個人信息立法的保護(hù)體系應(yīng)進(jìn)行進(jìn)一步的明確與細(xì)化。

（二）個人信息權(quán)益屬性不清

關(guān)于個人信息權(quán)益的性質(zhì)，有民事權(quán)利說與合法利益說兩種不同的看法。從最抽象的意義講，權(quán)利為人自然擁有，法律確認(rèn)并且記錄權(quán)利。個人信息的具體規(guī)定與隱私權(quán)并列，規(guī)定于《民法典》分則人格權(quán)編。但是，《民法典》總則同時也規(guī)定了自然人的個人信息受法律保護(hù)，這種編排表明個人信息并不限于人格權(quán)和不排除個人信息的財產(chǎn)權(quán)性質(zhì)，并且為法律以后對數(shù)據(jù)保護(hù)另行規(guī)定留白。對此，民事權(quán)利說認(rèn)為自然人對個人信息享有的是民事權(quán)利，即個人信息權(quán)[5]。民事利益說認(rèn)為，自然人對個人信息享有的只是受法律保護(hù)的利益。張新寶教授從《民法典》和《個人信息保護(hù)法》的制定過程出發(fā)論證了個人信息權(quán)益不具有權(quán)利屬性，并結(jié)合憲法上的基本權(quán)利和民法上的人格權(quán)說明了個人信息權(quán)益受到多個部門法保護(hù)，《個人信息保護(hù)法》是為已經(jīng)被其他法律承認(rèn)的利益提供保護(hù)[6]。

《中華人民共和國刑法》將個人信息保護(hù)置于保護(hù)具有規(guī)模性、整體性的個人信息的社會信息管理秩序范疇[7]，《民法典》將個人信息在法律規(guī)范層面納入人格權(quán)范疇，《個人信息保護(hù)法》開篇強(qiáng)調(diào)保護(hù)個人信息權(quán)益，但個人信息究竟是一種具有絕對權(quán)屬性的權(quán)利，還是一種僅具有防御性質(zhì)的利益并未得到確認(rèn)。與此同時，長期以來的諸多理論問題也并未在立法中得到澄清，比如:自然人對其個人信息是否具有自主、自決的權(quán)利？自然人對個人信息是否享有獨(dú)立于其他民事權(quán)利之外的具體化利益內(nèi)容？自然人對其個人信息是否享有財產(chǎn)性利益？這些問題不但引發(fā)理論思考，更進(jìn)一步反饋在司法實(shí)踐之中，亟待分析與解決。

（三）研究目的和意義

1.完善個人信息保護(hù)相關(guān)法律的司法解釋路徑。

《個人信息保護(hù)法》的頒布意味著我國個人信息保護(hù)的法律體系已經(jīng)建成。但《個人信息保護(hù)法》中存在大量不確定的法律概念，個人信息保護(hù)法律規(guī)定位階不清晰，為法官自由裁量留下了空間。較之于學(xué)術(shù)論文的多元化研究方法，裁判文書是規(guī)范適用的過程，對法律規(guī)則的理解與解釋是將案件事實(shí)涵攝到法律規(guī)則中的前提，相關(guān)的理論認(rèn)知和價值判斷也必須融貫在法律適用之中。由此，對個人信息保護(hù)模式的研究不但是對法律實(shí)踐效果的檢驗(yàn)，更是發(fā)現(xiàn)和彌合理論與現(xiàn)實(shí)鴻溝的橋梁。隨著尋求個人信息保護(hù)民事案件的不斷出現(xiàn)，通過對個人信息保護(hù)模式的研判，將有助于澄清基本概念的內(nèi)涵與外延、探明法律規(guī)則的解釋路徑、尋找制度規(guī)范的改進(jìn)空間。

2.明確后續(xù)個人信息保護(hù)立法方向。

我國個人信息保護(hù)法律體系需要一個兼具解釋和規(guī)范價值的核心概念作為基礎(chǔ)[8]。個人信息保護(hù)的法律體系建構(gòu)是開啟數(shù)字經(jīng)濟(jì)時代的首要難題。我國個人信息的法律保護(hù)模式如何理解，邊界如何確定，相關(guān)制度框架如何發(fā)揮作用，這些都依賴于對個人信息處理法律關(guān)系的本質(zhì)進(jìn)行深入研究和闡述，以指導(dǎo)相關(guān)制度建設(shè)與法律實(shí)踐。本文認(rèn)為，在個人信息處理涉及的法律關(guān)系中，法律關(guān)系客體具有利益的多重性，法律關(guān)系主體存在實(shí)質(zhì)不平等性，法律關(guān)系的內(nèi)容具有社群性。個人信息保護(hù)應(yīng)當(dāng)從基本權(quán)利的角度出發(fā)，協(xié)調(diào)多種利益沖突，劃分權(quán)利義務(wù)。個人信息受保護(hù)權(quán)強(qiáng)調(diào)國家保護(hù)義務(wù)，要求國家承擔(dān)“不侵犯”個人信息的消極義務(wù)、建立個人信息保護(hù)基本制度、組織和程序的保護(hù)義務(wù)以及風(fēng)險防范和司法救濟(jì)的給付義務(wù)，進(jìn)而形成個人信息基本權(quán)利保護(hù)體系，有效維護(hù)個人信息權(quán)益。

二、個人信息處理法律關(guān)系的審視與探討

隨著計(jì)算機(jī)技術(shù)變得越來越先進(jìn)和復(fù)雜，大量個人信息被保存在各種數(shù)據(jù)庫中。許多互聯(lián)網(wǎng)公司建立了與他們有業(yè)務(wù)往來的自然人個人信息數(shù)據(jù)庫。由此產(chǎn)生了諸多問題：他們是否有權(quán)收集此類個人信息，他們應(yīng)當(dāng)如何處理這些個人信息，個人信息的安全性如何得到保障，以及個人信息可以交易給誰或與誰共享。上述場景中在個人信息收集、處理過程中發(fā)生的社會關(guān)系就是本文討論的對象。

（一）個人信息處理法律關(guān)系的考察

鑒于大數(shù)據(jù)時代個人信息處理技術(shù)的特性，法律保護(hù)的范圍應(yīng)限制在個人信息自動化處理領(lǐng)域。作為法律保護(hù)對象的個人信息處理關(guān)系，是指個人信息主體與個人信息處理者之間在個人信息處理過程中發(fā)生的，一方提供個人信息，另一方提供個人信息持續(xù)性收集、處理服務(wù)的法律關(guān)系[9]。筆者認(rèn)為個人信息處理法律關(guān)系主要具備三個方面的特點(diǎn)。

1.個人信息處理法律關(guān)系的客體具備利益多重性。

個人信息處理法律關(guān)系的客體是個人信息。基于個人信息處理的知情同意制度，個人信息處理關(guān)系可以被視為私法上合同的關(guān)系。然而個人信息處理關(guān)系于合同的財產(chǎn)要素之外，實(shí)含有身份的人格要素。在大西洋兩岸，歐盟和美國都側(cè)重于個人信息的人格要素保護(hù)，但側(cè)重點(diǎn)不同，美國側(cè)重于保護(hù)人格自由，而歐盟則側(cè)重于保護(hù)人格尊嚴(yán)[10]。個人信息所附著的財產(chǎn)利益隨著計(jì)算機(jī)數(shù)據(jù)挖掘技術(shù)的發(fā)展而不斷被發(fā)掘?；ヂ?lián)網(wǎng)企業(yè)所擁有的個人信息數(shù)據(jù)在司法裁判中被認(rèn)定為競爭利益。從當(dāng)前個人信息應(yīng)用情況來看，個人信息能夠產(chǎn)生直接經(jīng)濟(jì)價值少，而間接經(jīng)濟(jì)價值則比較明顯，例如利用個人信息所實(shí)現(xiàn)的精準(zhǔn)營銷、市場分析等經(jīng)濟(jì)活動都是通過間接方式釋放個人信息所附著的財產(chǎn)性利益。對于此類復(fù)合財產(chǎn)與人格的個人信息利益，我國《個人信息保護(hù)法》第一條描述為個人信息權(quán)益。

個人信息是具有公共效用的客體，即標(biāo)識自己和識別個人，這也是社會群體的必然現(xiàn)象[11]。個人信息處理法律關(guān)系的內(nèi)容實(shí)際上就是個人信息主體持續(xù)性地向個人信息處理者交付個人信息的過程，這個過程也可以被視作“自我披露”的過程。在這個過程中個人信息的交互連接著社會關(guān)系，因此具有社會性與公共性。例如在公共管理領(lǐng)域和個人征信領(lǐng)域，國家職能部門需要利用流入公共領(lǐng)域的個人信息碎片進(jìn)行數(shù)據(jù)分析以維護(hù)良好的公共秩序。我國《個人信息保護(hù)法》第十三條規(guī)定了為公共利益在合理的范圍內(nèi)處理個人信息等一系列不需取得個人同意的個人信息處理行為，該法條是對個人信息流通的公共利益以及企業(yè)對個人信息正當(dāng)利益的立法認(rèn)同。

2.個人信息處理法律關(guān)系的主體存在地位不平等性。

個人信息處理活動本身的特點(diǎn)導(dǎo)致了個人信息處理法律關(guān)系主體地位的不平等性。個人信息主體與個人信息處理者的信息能力存在顯著差異，收集個人信息的機(jī)構(gòu)（大型互聯(lián)網(wǎng)公司與國家）和公民之間存在權(quán)力失衡的風(fēng)險。信息時代數(shù)字鴻溝現(xiàn)象不斷加劇，個人信息處理者和個人信息主體之間形成一個新的局面，即個人信息處理者相對個人信息主體而言具有巨大技術(shù)優(yōu)勢[12]。個人信息處理者履行了關(guān)于信息收集、處理的告知義務(wù)，但個人信息主體卻僅能憑借生活常識或者提供者的說明來了解信息處理的過程。此外，與個人信息處理者專營某領(lǐng)域信息處理業(yè)務(wù)不同，個人信息主體為生存發(fā)展需要而提供的個人信息種類和范圍非常廣泛。兩相對比，個人信息主體欠缺對個人信息處理活動的了解成為必然。在這個過程中個人信息主體與個人信息處理者的權(quán)利義務(wù)關(guān)系難以通過私法自治、意思自由來達(dá)到實(shí)質(zhì)平等，這種從數(shù)據(jù)權(quán)利到數(shù)據(jù)權(quán)力優(yōu)勢地位轉(zhuǎn)變的核心在于某些私主體相對于其他私主體在技術(shù)、平臺和信息等方面的優(yōu)勢[13]。

個人信息處理者和個人信息主體之間體量的懸殊對比加劇了個人信息處理法律關(guān)系主體地位的不平等現(xiàn)象。隨著現(xiàn)代市場經(jīng)濟(jì)的發(fā)展，個人信息主體弱者地位被強(qiáng)化。無論個人信息處理者是以互聯(lián)網(wǎng)企業(yè)的形式出現(xiàn)，還是以國家職能部門的形式出現(xiàn)，均可以倚仗其“大體量”的優(yōu)勢地位影響個體選擇。而個人信息主體卻缺乏有效的組織，往往難以借助團(tuán)體的力量與個人信息處理者對抗，以致形成要么不接受服務(wù)要么被動接受個人信息處理者的信息服務(wù)條款的“二選一”局面。以知情同意為例，在數(shù)字時代“知情同意”被定義為個人信息處理者收集使用個人信息主體的合法性基礎(chǔ)，但個人信息處理者往往以混淆“同意豁免”的方式使他們的用戶面對“二選一”的局面，即如果用戶想要使用該計(jì)算機(jī)或手機(jī)應(yīng)用服務(wù)，用戶就不得不放棄用戶的個人信息權(quán)益，“知情同意”變成了不知情、不客觀、不自愿的同意，甚至是被迫的同意。

3.個人信息處理法律關(guān)系中的權(quán)利義務(wù)具有社群性。

個人信息附著利益的多元性決定了個人信息處理法律關(guān)系中權(quán)利義務(wù)的社群性。個人信息處理法律關(guān)系的內(nèi)容是主體之間的基于信息處理的識別利益或目的而形成的具體權(quán)利義務(wù)，因此在個人信息處理的法律關(guān)系保護(hù)中不能忽視社會連帶關(guān)系或者社會相互依賴的重大事實(shí)。從個人與社會參與的關(guān)系而言，人們對于信息隱私或個人信息保護(hù)的渴望從來就不是絕對的，對于社會的參與具有同等的渴望。個體與他人的信息交流也總是不完整的，即個體通過“相互保留”創(chuàng)造了“心理距離”來保護(hù)人格。這種心理距離的產(chǎn)生是一種“社會距離”概念的變體，它表達(dá)了個人對隱瞞或披露信息的選擇，這也是社群場景中個人信息控制力度的動態(tài)選擇。個人內(nèi)部的這種張力介于“自我披露和自我保留”之間，在社會內(nèi)部則介于“侵犯和自由裁量權(quán)”之間[14]。在現(xiàn)代信息化社會由強(qiáng)勢主體主導(dǎo)的個人信息處理環(huán)境中，個人要求在不同社群場景下保留“自我”的方式以及個人信息處理者對個體“自我”尊重的程度，是個人信息處理關(guān)系中權(quán)利義務(wù)劃定的核心。

大數(shù)據(jù)時代下個人信息自動化批量處理的技術(shù)特征是個人信息處理法律關(guān)系中權(quán)利義務(wù)呈現(xiàn)社群性的重要原因。數(shù)字技術(shù)的獨(dú)特性不僅在于其非物理性質(zhì)，還在于其所能容納的信息量和廣度。個人信息處理者往往在沒有預(yù)先確定的目標(biāo)或目的的情況下收集大量關(guān)于不特定自然人的數(shù)據(jù)，然后通過使用統(tǒng)計(jì)相關(guān)性在數(shù)據(jù)聚合或分組運(yùn)算的基礎(chǔ)上處理這些數(shù)據(jù)。在大數(shù)據(jù)自動化處理個人信息過程中，個人信息處理者往往并不關(guān)注特定的個人，而是關(guān)注大群體的人。許多基于大數(shù)據(jù)技術(shù)的個人信息處理過程和應(yīng)用都是針對大群體或整個社會的一般性、大規(guī)模的數(shù)據(jù)挖掘，而與個人以及個人利益的聯(lián)系卻越來越模糊。此外，小數(shù)據(jù)時代的個人信息侵害事件具有孤立性、個體性、靜態(tài)性，而大數(shù)據(jù)時代的個人信息侵權(quán)以群體性侵權(quán)為主[15]，因此對于個人信息處理法律關(guān)系的保護(hù)也應(yīng)帶入具體的社群場景去考量。

（二）個人信息處理法律關(guān)系保護(hù)模式的理論探討

圍繞個人信息處理法律關(guān)系中相關(guān)核心問題，學(xué)者們展開了豐富的探討。個人信息處理法律關(guān)系的客體是否可以成為一種權(quán)利客體，這種個人信息處理法律關(guān)系的性質(zhì)又是如何？如何從部門法出發(fā)保護(hù)個人信息處理法律關(guān)系？個人信息法律關(guān)系的保護(hù)應(yīng)當(dāng)歸屬私法領(lǐng)域還是公法領(lǐng)域？許多學(xué)者提出很多深刻的觀點(diǎn)回答上述問題，例如基于利益保護(hù)的強(qiáng)化國家與個人兩頭利益的利益保護(hù)立法模式、基于民事權(quán)利的立法模式、基于基本權(quán)利的統(tǒng)一立法模式，也有學(xué)者提出行為規(guī)制立法模式，將個人信息保護(hù)當(dāng)作一種保護(hù)相關(guān)權(quán)益的工具。本文對上述學(xué)者的理論觀點(diǎn)進(jìn)行梳理分析，并探討個人信息保護(hù)的最優(yōu)路徑。

1.個人信息處理法律關(guān)系保護(hù)的邏輯起點(diǎn)。

在個人信息處理法律關(guān)系保護(hù)領(lǐng)域，個體主義的立場表現(xiàn)為擁抱個人信息的自由流動，呈現(xiàn)的是一種不受干涉的狀態(tài)。在信息化社會的發(fā)展背景下，將個人隱私視為“控制與自己相關(guān)信息的權(quán)利”的觀念得到了許多國家的認(rèn)可，例如日本的自我信息控制權(quán)說和德國的信息自我決定權(quán)說都以人格權(quán)為基礎(chǔ)，重視個人信息處理的自我決定權(quán)利。美國和歐盟現(xiàn)行個人信息保護(hù)制度所提供的保護(hù)同樣依賴于自我調(diào)節(jié)和個人選擇。該立場依賴于市場競爭下的原子人、理性人、經(jīng)濟(jì)人假設(shè)：消費(fèi)者將在其所認(rèn)可的保護(hù)個人信息程度上選擇個人信息處理者的服務(wù)和產(chǎn)品，個體可以將他們的信息控制程度設(shè)置為他們選擇的水平。

法律領(lǐng)域的社群主義者強(qiáng)調(diào)對整體利益的維護(hù)。社群主義的立場是試圖在相互沖突的訴求之間找到某種平衡，而不是假設(shè)一方利益訴求總是勝過另一方。在個人信息處理法律關(guān)系保護(hù)領(lǐng)域，社群主義者認(rèn)為個人信息是由文化和社會關(guān)系部分構(gòu)成的，所以不存在從社會語境中抽象地表達(dá)個人對其個人信息權(quán)利或利益的獨(dú)立方式。美國大法官波斯納認(rèn)為個人信息不是一種“個人針對好奇和侵?jǐn)_性社會的要求所主張的價值，而是與他人關(guān)系的一個必要方面”[16]。我國學(xué)者從社群主義出發(fā)探究個人信息保護(hù)的路徑，提出了許多深刻的觀點(diǎn)，例如有學(xué)者提出個人信息保護(hù)應(yīng)從個人控制走向社會控制，以社會控制論指導(dǎo)個人信息保護(hù)立法[17]。與該觀點(diǎn)類似，有學(xué)者提出個人信息的保護(hù)由個人本位轉(zhuǎn)向社會本位[18]。他們認(rèn)為公眾的個人信息利益需求必須與公眾對國家安全、公共衛(wèi)生以及其他公共物品的利益需求相平衡，而不是任何未經(jīng)許可使用個人信息的行為都違反法律。

本文認(rèn)為社群主義的價值取向更符合大數(shù)據(jù)時代下個人信息立法保護(hù)目標(biāo)。首先，個體主義側(cè)重于賦予個人權(quán)利，而不是協(xié)調(diào)群體利益，這將產(chǎn)生個人決定必須選擇加入或退出的孤立狀態(tài)。雖然美國和歐洲的個人數(shù)據(jù)保護(hù)法律都提供了幫助個人理解和控制與其直接相關(guān)的信息的工具，但這種傳統(tǒng)的方式缺乏協(xié)調(diào)群體間個人信息利益沖突的路徑，而且缺乏對個人信息溢出效應(yīng)產(chǎn)生利益的保護(hù)。社群主義所追求的公共利益可以被視作對個體主義理論的修補(bǔ)[19]，更加符合個人信息多元利益的保護(hù)需求。其次，個人信息法律關(guān)系保護(hù)的目的在于設(shè)立個人信息在社群共同體中流動的“社會規(guī)范”或“文明規(guī)則”。人們在社群共同生活中“自我披露”個人信息以實(shí)現(xiàn)共同的需要，如果放棄洛克與康德式的個體主義權(quán)利觀，代之以人的社會性與公共性視角來進(jìn)行分析，社群主義的個人信息觀更符合個人信息保護(hù)的需求。最后，就個人信息處理的法律關(guān)系而言，社群主義的觀點(diǎn)使個人信息保護(hù)中權(quán)利義務(wù)關(guān)系得到鮮明表現(xiàn)，賦予了社群主義價值觀念以便于操作的形式。

2.個人信息處理法律關(guān)系保護(hù)的路徑。

保護(hù)個人信息處理法律關(guān)系的一種進(jìn)路是將個人信息權(quán)益進(jìn)行“權(quán)利化”。許多學(xué)者對個人信息權(quán)益的權(quán)利化方向進(jìn)行了探討，本文認(rèn)為主要有以下幾種:其一，人格權(quán)說。不少學(xué)者認(rèn)為個人信息權(quán)應(yīng)屬于一般人格權(quán)的范疇[20]。也有學(xué)者認(rèn)為應(yīng)將個人信息權(quán)利視為一種獨(dú)立的人格權(quán)，將個人信息權(quán)確立并歸入人格權(quán)法保護(hù)的新型權(quán)利類型[21]。其二，財產(chǎn)權(quán)說。持此類觀點(diǎn)的學(xué)者認(rèn)為需要賦予個人信息財產(chǎn)權(quán)[22]。其三，類知識產(chǎn)權(quán)說。也有學(xué)者以借鑒無形財產(chǎn)權(quán)的代表——知識產(chǎn)權(quán)證成個人信息權(quán)[23]。知識產(chǎn)權(quán)授予信息所有權(quán)，使個人信息處理者訪問個人信息專有內(nèi)容有了限制。第四，新型權(quán)利說。有學(xué)者主張個人信息控制權(quán)是需要通過個人信息保護(hù)法確立的一項(xiàng)新型公法權(quán)利。[2]

從個人信息保護(hù)與利用的基本矛盾中既可以推導(dǎo)出權(quán)利化路徑，也可以推導(dǎo)出管理模式或公共物品模式的行為規(guī)制路徑。行為規(guī)制是法律在個人信息處理活動各個環(huán)節(jié)的具象化，具體而言主要是針對信息處理主體的行為控制，圍繞著個人信息流通的收集、處理等環(huán)節(jié)，解決事前審查、過程監(jiān)管和事后救濟(jì)責(zé)任三個階段可能產(chǎn)生的法律問題。根據(jù)保護(hù)個人信息處理行為規(guī)制涉及的法域，行為規(guī)制的路徑可以分為公法介入與私法進(jìn)路：有學(xué)者認(rèn)為國家有責(zé)任為公民提供信息安全這一公共產(chǎn)品，應(yīng)在公法監(jiān)管的框架下采取消費(fèi)者法化的公法路徑[24]；有學(xué)者提出從個人控制到數(shù)據(jù)控制者信義義務(wù)。根據(jù)個人信息控制的主體不同以及控制強(qiáng)度的差異，行為規(guī)制可以分為管理模式或公共物品模式：有學(xué)者提出個人信息應(yīng)當(dāng)由個人控制走向社會控制、由個人本位轉(zhuǎn)向社會本位等行為規(guī)制路徑[17]；也有學(xué)者認(rèn)為可以將個人信息數(shù)據(jù)視作“公共物”，在確立“分享”作為數(shù)據(jù)法基本價值取向下構(gòu)建公法上系統(tǒng)的個人信息流通的公共秩序[25]。

個人信息權(quán)利化的路徑存在頗多局限。首先，個人信息權(quán)益不適宜被定性為所有權(quán)，尋求一種具有確定性邊界的個人信息權(quán)利阻礙個人信息在具體場景中的合理流通，不符合個人信息保護(hù)的立法目標(biāo)。本文不贊同賦予個人信息主體所有權(quán)的做法，通過財產(chǎn)權(quán)授予個人對其個人數(shù)據(jù)近乎絕對的控制權(quán)，未能在個人對其個人數(shù)據(jù)的權(quán)利與其他行為者對這些數(shù)據(jù)的權(quán)益之間取得適當(dāng)?shù)钠胶?。不否認(rèn)個人信息具有一定的財產(chǎn)利益，但因?yàn)閭€人信息的特殊性，其大量包含了個人隱私，使其具有一定的人格屬性，如果單純地將其視為商品，賦予財產(chǎn)權(quán)，存在對人格尊嚴(yán)的冒犯。行為規(guī)制的路徑亦存在天然的不足。由于行為規(guī)制方案的實(shí)施需要修改三大程序法及創(chuàng)制新法，很多學(xué)說難以通過立法創(chuàng)制進(jìn)行挖掘轉(zhuǎn)化，其私法研究難以協(xié)調(diào)數(shù)據(jù)市場化利用中的法律結(jié)構(gòu)優(yōu)化，其公法監(jiān)管缺乏場景化流轉(zhuǎn)機(jī)制，不能形成個人信息數(shù)據(jù)利用維度的再平衡。

（三）個人信息基本權(quán)利保護(hù)的路徑發(fā)掘與論證

通過對上述理論的考察，本文認(rèn)為現(xiàn)有的理論路徑存在一定的局限性，綜合上述學(xué)理探討，可以將個人信息權(quán)益作為一種基本權(quán)利進(jìn)行保護(hù)?；緳?quán)利是一種更廣泛的權(quán)利，直接約束立法權(quán)、執(zhí)行權(quán)與司法權(quán)。我國現(xiàn)行的基本權(quán)利體系帶有濃厚的群體主義價值取向，從社群主義出發(fā)保護(hù)個人信息更充分地體現(xiàn)了馬克思關(guān)于“自由人”的主體地位?；緳?quán)利的定位更符合個人信息保護(hù)的法律目標(biāo)。

1.個人信息基本權(quán)利保護(hù)模式的優(yōu)勢。

個人信息基本權(quán)利保護(hù)模式兼具“行為規(guī)制路徑”和“民事權(quán)利化路徑”的優(yōu)勢?；緳?quán)利最初是從“縱向”的角度來設(shè)計(jì)的，是公民對抗國家的防衛(wèi)權(quán)，當(dāng)前學(xué)界對基本權(quán)利效力的認(rèn)識以“間接效力說”為通說?；緳?quán)利不直接適用于私法關(guān)系，而是作為客觀價值秩序的表現(xiàn)形式“輻射”到私法領(lǐng)域。因此，它們可以通過對開放性規(guī)范的解釋間接影響個人信息處理者與個人信息主體之間的法律關(guān)系。在德國的憲法理論中，基本權(quán)利被認(rèn)為具有“主觀權(quán)利”與“客觀法”的雙重性質(zhì)[26]。個人信息基本權(quán)利可以在部門法中細(xì)化為各類具體內(nèi)容，其“間接適用”的特性在理論邏輯和實(shí)踐效果上可以滿足當(dāng)前個人信息保護(hù)的特殊要求。

基本權(quán)利保護(hù)模式符合數(shù)字時代的保護(hù)需求。數(shù)字時代，個人信息處理者主體相對于個人信息主體在技術(shù)、平臺和信息等方面的優(yōu)勢已經(jīng)形成了一種“準(zhǔn)權(quán)力”。采用基本權(quán)利保護(hù)個人信息的實(shí)質(zhì)是平衡個人信息權(quán)利與信息權(quán)力間的法權(quán)結(jié)構(gòu)，即平衡個人信息權(quán)利與政府收集、使用個人信息權(quán)力以及個人信息權(quán)利與企業(yè)收集、使用個人信息“準(zhǔn)權(quán)力”間的法律關(guān)系[27]。例如歐盟在《一般數(shù)據(jù)保護(hù)條例》（GDPR）中將個人數(shù)據(jù)保護(hù)定位為個人基本權(quán)利與自由的保護(hù)，可見基本權(quán)利說較為符合信息時代“數(shù)據(jù)人”的發(fā)展要求。

2.個人信息基本權(quán)利保護(hù)路徑的合理性與可行性。

“基本權(quán)利”一詞被用來定義通過法律秩序賦予特殊地位的權(quán)利，是當(dāng)前時代背景下人權(quán)在一國的理性科學(xué)化、習(xí)俗化和制度化。對此，有學(xué)者提出基本權(quán)利的判定標(biāo)準(zhǔn)主要包括形式標(biāo)準(zhǔn)和實(shí)質(zhì)標(biāo)準(zhǔn)。從“形式”的角度來看，基本權(quán)利的概念是指在“更高層次”的法律文件中確立的權(quán)利，因此在法律規(guī)范的層次結(jié)構(gòu)中具有更高的地位。相比之下，從“實(shí)質(zhì)性”的觀點(diǎn)來看，基本權(quán)利的概念涵蓋了支撐法律秩序的價值觀和原則，而不論這些價值觀和原則是體現(xiàn)在憲法文件中還是體現(xiàn)在普通法律中。本文從相關(guān)標(biāo)準(zhǔn)出發(fā)論述個人信息權(quán)利作為基本權(quán)利對待的可行性。

個人信息權(quán)利具備基本權(quán)利的重要特征。人格自由和其他基本權(quán)利都不斷受到歷史進(jìn)程、文化革新和文明進(jìn)程的影響，這導(dǎo)致了它們不斷被重新定義。明確個人信息權(quán)益的基本權(quán)利定位是人權(quán)在新歷史時期的新發(fā)展，是技術(shù)發(fā)展的狀況、現(xiàn)行制度安排和社會政治結(jié)構(gòu)的必然要求。首先，技術(shù)發(fā)展的狀況是個人信息權(quán)利產(chǎn)生的最初誘因。與以往利用手工編輯的紙質(zhì)檔案和文件收集個人信息的方式不同，自動化決策下的數(shù)據(jù)處理運(yùn)作幾乎沒有任何物理?xiàng)l件的限制。數(shù)據(jù)挖掘可以在未經(jīng)有關(guān)主體知情同意的情況下，將碎片數(shù)據(jù)集成到個人的部分或全部信息中。數(shù)據(jù)處理技術(shù)的發(fā)展迫使國家修改向個人提供的信息安全保障，以保護(hù)個人自由形成其人格的權(quán)利。其次，現(xiàn)行法律制度對于實(shí)現(xiàn)個人信息權(quán)利至關(guān)重要。保障隱私和實(shí)施個人信息保護(hù)的法律必須不斷發(fā)展，以適應(yīng)技術(shù)和社會政治的發(fā)展，從而解決對個人人格“自我發(fā)展”能力產(chǎn)生的新威脅。

個人信息權(quán)利具備作為基本權(quán)利的法律保護(hù)需求。個人信息法律關(guān)系的法律保護(hù)具有部門法的交叉性和公私法的融合性，應(yīng)從憲法上的基本權(quán)利義務(wù)框架出發(fā)來保護(hù)相關(guān)的法律關(guān)系。首先，個人信息處理法律關(guān)系的保護(hù)屬于公私法綜合保護(hù)的社會法模式，應(yīng)從個人信息處理法律關(guān)系的具體內(nèi)容出發(fā)，建構(gòu)公私融合的社會法責(zé)任體系。其次，在廣義的個人信息法律關(guān)系保護(hù)層面上，各部門法都可以為個人信息保護(hù)提供有針對性的法律責(zé)任機(jī)制。民法在個人信息保護(hù)中占據(jù)著基礎(chǔ)性地位，作為個人信息保護(hù)法保護(hù)對象的個人信息利益也源自屬于傳統(tǒng)民法保護(hù)對象的隱私權(quán)益，但《民法典》保護(hù)的是權(quán)能的具體形態(tài),而不是完全結(jié)構(gòu)化的個人信息權(quán)[28]。個人信息處理法律關(guān)系的保護(hù)規(guī)范碎片化地存在于行政法、消費(fèi)者法、刑法等部門法中。單一部門法或法域的保護(hù)模式必然存在各種不足，因此應(yīng)從保護(hù)基本權(quán)利的角度對個人信息處理法律關(guān)系保護(hù)規(guī)則在各部門法的細(xì)化提出要求。

個人信息權(quán)利具有作為基本權(quán)利對待的豐富實(shí)踐佐證。個人信息保護(hù)通過其與隱私的耦合并最終從隱私中分離而獲得了歐盟基本權(quán)利的法律地位。個人信息保護(hù)從誕生開始就帶著相當(dāng)?shù)娜藱?quán)色彩，個人信息數(shù)據(jù)保護(hù)的概念于1968 年《世界人權(quán)宣言》發(fā)布20 周年的“國際人權(quán)會議”上首次被提出。在該次會議的影響下，個人信息權(quán)利作為標(biāo)示個人信息主體人格獨(dú)立的基本權(quán)利，成為各國個人信息保護(hù)立法的根據(jù)。例如1989 年匈牙利修訂了其憲法，通過了一項(xiàng)將個人資料保護(hù)權(quán)納入基本權(quán)利和自由的條款。斯洛伐克共和國、捷克共和國、立陶宛等國家也紛紛在憲法中明確了對個人信息權(quán)利這一人權(quán)的保護(hù)。個人信息權(quán)利的基本權(quán)利地位也得到了國際協(xié)議承認(rèn)。2009 年修訂生效的《歐洲聯(lián)盟基本權(quán)利憲章》第八條規(guī)定明確宣示了個人數(shù)據(jù)受保護(hù)權(quán)。這一基本權(quán)利的定位也為數(shù)據(jù)保護(hù)立法提供了法律依據(jù)，從而提高了歐盟數(shù)據(jù)保護(hù)法的合法性，使個人信息數(shù)據(jù)的流通擺脫了內(nèi)部市場規(guī)則的制約，以基本權(quán)利保護(hù)實(shí)現(xiàn)相關(guān)權(quán)力與權(quán)利的傾斜性配置。

三、個人信息基本權(quán)利保護(hù)模式的理論建構(gòu)

基本權(quán)利的現(xiàn)代概念是國家權(quán)力所確立的對國家權(quán)力的限制和對法律本身合法的限制，個人信息基本權(quán)利保護(hù)目的也在于補(bǔ)強(qiáng)個人信息處理利益關(guān)系中較弱的一方，維護(hù)最基本的利益。個人信息基本權(quán)利的存在本身并非其終極的目的，而是為了人類更為美好、幸福、安全有序而舒適的生活。

（一）個人信息基本權(quán)利的法教義學(xué)分析

《個人信息保護(hù)法》開篇宣示“根據(jù)憲法，制定本法”闡明了憲法與個人信息保護(hù)法之間的內(nèi)在聯(lián)系，為個人信息保護(hù)明確了我國法律體系中的功能定位，指引了個人信息平衡協(xié)同治理的路徑。保障人格尊嚴(yán)與人格自由發(fā)展是將個人信息受保護(hù)權(quán)作為基本權(quán)利對待的邏輯起點(diǎn)，現(xiàn)行《中華人民共和國憲法》（以下簡稱《憲法》）第38 條的“人格尊嚴(yán)”條款、第33 條的“國家尊重和保障人權(quán)”條款以及第40 條通信自由與通信秘密受法律保護(hù)條款提供了個人信息權(quán)利作為一項(xiàng)未列舉基本權(quán)利的生存空間。個人信息權(quán)不是我國憲法明定的基本權(quán)利，但可以通過憲法學(xué)來證成，其并非實(shí)證法概念，而是法教義學(xué)概念。具體的保護(hù)模式為在憲法學(xué)理上可明確個人信息權(quán)的基本權(quán)利地位，但在保護(hù)上則應(yīng)納入不同基本權(quán)利條款分別討論[29]。

1.《憲法》第33 條“尊重和保障人權(quán)”條款。

“生物人”和“信息人”共存于數(shù)字化時代，人類的生存形態(tài)具有了嶄新的數(shù)據(jù)屬性[30]。它是由人類社會關(guān)系的數(shù)字化發(fā)展而來，由信息、數(shù)據(jù)和代碼所描繪、表達(dá)和建構(gòu)的，也是社會關(guān)系、人格尊嚴(yán)和個體價值的數(shù)字化表達(dá)。在這個AI 技術(shù)飛速發(fā)展的信息時代，伴隨著個人信息的海量收集與數(shù)據(jù)挖掘，數(shù)字世界和真實(shí)世界正在逐漸融合。個人信息的整合形成個人的數(shù)字身份或數(shù)字人格，使自然人產(chǎn)生了自己的副本“數(shù)據(jù)人”，即產(chǎn)生人格的云化現(xiàn)象。對于這種數(shù)據(jù)人格，從保護(hù)人權(quán)的觀念來看，主觀權(quán)利的賦予是必要的。

數(shù)字時代碎片化的個人信息也與人權(quán)概念相聯(lián)系。個人信息是個人身份識別的總和，個人信息中可能包含關(guān)于人類生活中一些最親密方面的信息：宗教、健康、財務(wù)、政治信仰、活動蹤跡等等。個人信息中不僅包含大量的交易信息和其他個人信息，數(shù)據(jù)挖掘者還可以通過應(yīng)用人工智能預(yù)測人們的思維、感覺和行為方式，從這些個人碎片化信息中推論出一個完整的個人。鑒于此，歐盟在個人數(shù)據(jù)保護(hù)指令中將個人信息權(quán)利設(shè)定為基本人權(quán)，這為我國以《憲法》“人權(quán)條款”保護(hù)個人信息權(quán)做出了示范。

2.《憲法》第38 條“人格尊嚴(yán)”條款。

個人信息保護(hù)與保障人格自由發(fā)展高度相關(guān)。人性尊嚴(yán)的神圣不容侵犯，作為最上位階的憲法價值，其主要內(nèi)涵為人的主體性及人的自由意志應(yīng)受尊重這兩項(xiàng)原則。所謂人的主體性，即強(qiáng)調(diào)人并非是國家統(tǒng)治下的客體，人的人格如被視為一個物體，則人將不再獨(dú)特，人跟人之間亦無差別可言。因此，國家應(yīng)給予人格不受干擾與發(fā)展的自由。如此的自由，使人具有吸收信息、自我定位及自我組織的可能性[31]。個人信息處理可能將個人自治置于危險之中[6]，在這個意義上，個人信息基本權(quán)利是保護(hù)個人人格自由的堡壘，是確保在生活中建立個人道路的自由，以及抵抗對這種自由的干擾的能力。個人信息權(quán)利不僅僅是將國家和人民的私生活分開的界限，更是保護(hù)個人免受國家權(quán)力任意性侵?jǐn)_的保障。

在服務(wù)于實(shí)現(xiàn)個人自身生存發(fā)展的意義上，個人信息權(quán)與人的尊嚴(yán)概念密切聯(lián)系，因?yàn)槿说淖饑?yán)必須以承認(rèn)某種程度的自決為前提。當(dāng)個人對于自身信息得以有所保留時，個人才得以展現(xiàn)自我、扮演自我，而不受外界的干涉和影響。因此，個人的意志自由取決于個人得否對于自身事務(wù)的信息有自主決定權(quán)。當(dāng)個人無法了解自己信息會在何時被他人窺視與利用時，個人將無法充分展現(xiàn)自我，個人人格易受扭曲而不再是自我人格。也因此，所謂意志的自由并非只是形式上的自由，而是個人不受他人拘束，得以依自我意志選擇出來的自由，如此方才得以確保人格的核心領(lǐng)域不受侵害。

3.《憲法》第40 條通信自由與通信秘密受法律保護(hù)條款。

個人信息的交互過程也可視作一個通信的過程。所謂通信，于現(xiàn)代社會是指借由郵件、電話、電子郵件等通信手段，向特定的相對人進(jìn)行意見或信息的傳達(dá)，具有作為表達(dá)自由所保障的一環(huán)的意義。不過其主要目的在于保護(hù)特定人之間的意見溝通或傳達(dá)，因此秘密通信具有作為保護(hù)個人信息及個人隱私的一環(huán)的重要意義。除通信內(nèi)容外，通信秘密的保障范圍包含和通信存在有關(guān)的事項(xiàng)，如通信的發(fā)件人、收件人、住址、發(fā)出消息數(shù)、時間等。此外，該憲法條款保障的內(nèi)容則包含禁止公權(quán)力探知通信過程及內(nèi)容的行為，禁止泄露由職務(wù)上得知的信息，以及禁止通信服務(wù)從業(yè)者泄露由其在個人信息處理活動中獲取的信息。

在個人信息處理活動中，對個人信息以及自身優(yōu)勢地位的濫用進(jìn)而影響個人通信過程的行為也可視作侵犯個人通信自由與通信秘密的一種形式。在技術(shù)復(fù)雜、瞬息萬變的通信行業(yè)，個人信息主體與通信平臺之間往往存在信息不對稱、體量懸殊，這使得個人信息主體在個人信息處理活動中處于弱勢地位。例如誤導(dǎo)性的定價、不透明的條款，甚至對某些服務(wù)的非自愿訂閱。這不僅傷害了部分個人信息主體的利益，也會損害市場的經(jīng)營秩序。在我國的憲法中，通信權(quán)具有清晰的憲法依據(jù)，因此根據(jù)我國的《憲法》第40 條，可以將私人通信信息直接列入其保護(hù)范疇。

（二）個人信息基本權(quán)利的法律定位

個人信息基本權(quán)利最早被定性為個人信息自決權(quán)。鑒于時代的變遷，單純的“信息自決”原則已經(jīng)無法滿足當(dāng)代個人信息保護(hù)和信息產(chǎn)業(yè)發(fā)展的需要[32]。個人信息基本權(quán)利所展現(xiàn)的價值不僅在于筑起個人信息領(lǐng)域的防御堡壘，更在于在個人信息的交流與利用中個人得以處在作為與不作為的自我信息的主導(dǎo)位置上。針對個人信息基本權(quán)利的解讀，有學(xué)者提出“個人信息自決權(quán)—國家保護(hù)公民信息自決權(quán)的義務(wù)”這一規(guī)范框架，也有學(xué)者提出“個人信息受保護(hù)權(quán)—國家保護(hù)義務(wù)”這一保護(hù)框架[33]。本文認(rèn)為在個人信息保護(hù)法權(quán)結(jié)構(gòu)上，憲法層面對國家提出的規(guī)范要求旨在建構(gòu)“個人信息受保護(hù)權(quán)”，而非個人對其信息的排他性、支配性的“個人信息自決權(quán)”。原因在于個人信息自決權(quán)將保護(hù)對象確定為外界無法識別的“保密意志”，這種把人格權(quán)“去客體化”[34]的做法忽視了個人信息所具有的公共利益以及個人信息處理法律關(guān)系中權(quán)利義務(wù)的社群性。建構(gòu)個人信息受保護(hù)權(quán)目的在于確定具體場景的個人信息收集與利用的邊界，而非賦予個人排他性信息支配權(quán)。

個人信息基本權(quán)利應(yīng)詮釋為“個人信息受保護(hù)權(quán)”。當(dāng)前我國的個人信息立法取向也是構(gòu)建“個人信息受保護(hù)權(quán)”。我國《個人信息保護(hù)法》第四章標(biāo)題強(qiáng)調(diào)個人在個人信息處理活動中的權(quán)利，而非個人對于個人信息的權(quán)利?！睹穹ǖ洹返?11 條與《個人信息保護(hù)法》第2 條均強(qiáng)調(diào)“個人信息受法律保護(hù)”，而非個人信息主體對個人信息的排他性支配權(quán)，蓋因個人信息附著的公共利益與私人利益處于勢均力敵的位置?！秱€人信息保護(hù)法》立法思路和《民法典》一致。因此，個人信息基本權(quán)利詮釋為“個人信息受保護(hù)權(quán)”更為適宜。當(dāng)然強(qiáng)調(diào)個人信息受保護(hù)權(quán)并非否認(rèn)個人信息自決權(quán)，而是將個人信息自決權(quán)設(shè)定為個人信息受保護(hù)權(quán)的一部分，從整體規(guī)范出發(fā)重塑個人信息保護(hù)的目標(biāo)。

在構(gòu)思個人信息保護(hù)立法時應(yīng)考慮個人信息基本權(quán)利的賦權(quán)功能。個人信息受保護(hù)權(quán)應(yīng)有其具體樣態(tài)。我國學(xué)者以個人信息保護(hù)中的“權(quán)利束”代指個人在信息處理活動中的各種權(quán)利，具體指通過制定法為個人配置的、在個人信息處理全周期由個人行使的一組權(quán)利的集合[35]。在GDPR 中，有關(guān)個人信息權(quán)利的規(guī)定以控制個人信息的工具性維度呈現(xiàn)，這些規(guī)定也稱為工具性權(quán)利、數(shù)據(jù)主體的權(quán)利、主觀權(quán)利或控制權(quán)。數(shù)據(jù)主體這些權(quán)利當(dāng)然不是自給自足，而是與數(shù)據(jù)處理者的義務(wù)保持一致。當(dāng)然，利用工具性權(quán)利對數(shù)據(jù)主體權(quán)利進(jìn)行控制的想法不是絕對的，可以在情況需要時加以限制。

（三）個人信息受保護(hù)權(quán)——國家義務(wù)的法律結(jié)構(gòu)

《個人信息保護(hù)法》闡明了憲法與個人信息保護(hù)法之間的內(nèi)在聯(lián)系，也表明個人信息保護(hù)法不是規(guī)范部分主體個人信息處理活動的普通法律，而是起源于憲法、承接自民法，用以保護(hù)人格尊嚴(yán)、人格權(quán)利的基本法律，是同時具有公法與私法屬性的社會性法律。建立起憲法與個人信息保護(hù)法、人格尊嚴(yán)與個人信息保護(hù)權(quán)之間的聯(lián)系，可能意味著同時建立起個人利益與社會利益之間的聯(lián)系，任何個人信息處理活動均需權(quán)衡個人權(quán)利與社會公益，開啟個人與社會協(xié)同治理的新型個人信息保護(hù)模式[36]。

在當(dāng)代憲法理論中，基本權(quán)利被認(rèn)為具有“主觀權(quán)利”和“客觀法”的雙重性質(zhì)。[26]在這種層面上，基本權(quán)利并非嚴(yán)格意義上的權(quán)利，而是一個總體法律秩序的原則。本文以張翔教授的基本權(quán)利規(guī)范建構(gòu)理論為出發(fā)點(diǎn)，（見圖1）分析個人信息基本權(quán)利的功能與其相對應(yīng)的國家義務(wù)。

“個人信息受保護(hù)權(quán)”是一個偏正短語，權(quán)利語的前綴是權(quán)利的內(nèi)容，這類權(quán)利是享有特定利益的權(quán)利。個人信息受保護(hù)權(quán)在“個人的主張”的意義上是一項(xiàng)“主觀權(quán)利”，具有相應(yīng)的“防御權(quán)功能”。個人可以依據(jù)自己的意志要求國家不侵犯私人信息領(lǐng)域，而國家必須按此要求消極不作為。個人信息受保護(hù)權(quán)除了是個人的權(quán)利之外，還是個人信息處理活動的“客觀價值秩序”，這構(gòu)成立法機(jī)關(guān)建構(gòu)國家個人信息保護(hù)各種制度的義務(wù)，也構(gòu)成執(zhí)法、司法過程中國家組織保護(hù)個人信息處理法律關(guān)系的上位指導(dǎo)原則。此外，個人信息受保護(hù)權(quán)具有受益權(quán)功能，該功能是指要求國家在個人信息受保護(hù)權(quán)實(shí)現(xiàn)中承擔(dān)更為積極的角色，通過積極作為某種行為，從而幫助個人信息受保護(hù)權(quán)實(shí)現(xiàn)的功能。具體包括請求法院對個人信息侵權(quán)案件進(jìn)行審判活動，以及要求國家通過立法增加、保障和平衡利益等方式直接保護(hù)公民個人信息利益。

圖1 個人信息受保護(hù)權(quán)——國家義務(wù)的法律結(jié)構(gòu)示意圖

四、個人信息基本權(quán)利保護(hù)模式的實(shí)現(xiàn)

根據(jù)基本權(quán)利理論體系，個人信息基本權(quán)利功能的實(shí)現(xiàn)需要國家義務(wù)的輔助。這也是一個綜合不同法律技術(shù)與制度工具的系統(tǒng)過程[33]，需要國家統(tǒng)籌協(xié)調(diào)立法權(quán)、行政權(quán)、司法權(quán)，綜合運(yùn)用不同部門法工具，構(gòu)建制度、組織和程序，以充分實(shí)現(xiàn)個人信息基本權(quán)利的防御權(quán)功能、受益權(quán)功能、客觀秩序功能。根據(jù)前述個人信息受保護(hù)權(quán)——國家義務(wù)的法律結(jié)構(gòu)，本文對個人信息受保護(hù)權(quán)所對應(yīng)的國家保護(hù)義務(wù)、消極義務(wù)、給付義務(wù)的規(guī)范邏輯進(jìn)行演繹。

（一）客觀秩序功能——國家保護(hù)義務(wù)的實(shí)現(xiàn)

個人信息受保護(hù)權(quán)體現(xiàn)了一種客觀的價值秩序，適用于個人信息法律關(guān)系保護(hù)的所有領(lǐng)域，并為立法、行政和司法提供指導(dǎo)和動力。這不僅意味著國家對此承擔(dān)消極義務(wù)，還意味著國家在其領(lǐng)土內(nèi)有保護(hù)和保障基本權(quán)利實(shí)現(xiàn)的“固有”積極義務(wù)。在個人信息處理法律關(guān)系保護(hù)方面，國家的核心積極義務(wù)是提供適當(dāng)?shù)姆珊托姓贫葹閭€人信息處理行為提供指引，以及圍繞個人信息保護(hù)的基本制度進(jìn)行組織與程序建設(shè)。該價值秩序的規(guī)范邏輯結(jié)構(gòu)由這兩部分構(gòu)成，回應(yīng)怎樣進(jìn)行規(guī)范、由誰進(jìn)行規(guī)范的問題。

在數(shù)字經(jīng)濟(jì)時代，個人信息的內(nèi)涵與外延已經(jīng)不再局限于傳統(tǒng)范疇，而是逐步演進(jìn)為對貫穿信息收集、處理和使用全生命周期各環(huán)節(jié)可能造成的個人的人身、財產(chǎn)侵害以及個人被不公平對待等新風(fēng)險的預(yù)防與對抗。個人信息處理者作為對自然人主體信息進(jìn)行收集、存儲、使用、加工、傳輸?shù)葎幼鞯闹苯有袨橹黧w，理應(yīng)被列為重要規(guī)制對象，成為解決上述挑戰(zhàn)的切入點(diǎn)。在個人信息處理的基本制度建構(gòu)方面，個人信息和個人信息主體之間的脫節(jié)要求個人信息主體信任國家“家長式行為”對個人信息處理者的制度性監(jiān)督。制度性保障要求國家以“知情同意”為核心框架，圍繞個人信息處理全流程，包括信息收集、存儲、使用、傳播、更正、刪除等各個環(huán)節(jié)，建構(gòu)和維護(hù)一套對于個人信息處理者的基本規(guī)范要求，做好頂層設(shè)計(jì)。當(dāng)前我國以《個人信息保護(hù)法》為中心已經(jīng)完成個人信息保護(hù)基本制度體系的建構(gòu)?！秱€人信息保護(hù)法》的出臺也是我國個人信息保護(hù)法律基本制度建設(shè)的新起點(diǎn)，在此基礎(chǔ)上應(yīng)進(jìn)一步健全我國個人信息保護(hù)相關(guān)制度規(guī)則。

在個人信息保護(hù)基本制度運(yùn)行的組織與程序建構(gòu)方面，國家保護(hù)義務(wù)旨在通過程序保障和設(shè)立監(jiān)督機(jī)構(gòu)，將國家積極義務(wù)的部分內(nèi)容轉(zhuǎn)移到普通私主體的參與上來，以保障個人信息受保護(hù)權(quán)基本制度的落實(shí)和相關(guān)輔助性事項(xiàng)的解決，這也是國家通過組織運(yùn)作保障個人權(quán)利的重要體現(xiàn)[37]。對于我國而言，基本權(quán)利要求對個人信息保護(hù)的程序和組織形式制度化，這些對象包括從具體的司法和執(zhí)法程序到復(fù)雜的法律制度干預(yù)。法律必須以明確的措辭概述相關(guān)機(jī)構(gòu)的職能，闡明這些權(quán)力的輪廓，以及在超越權(quán)限執(zhí)法或?yàn)E用權(quán)利時可采取的補(bǔ)救措施。法律必須建立適用于這些組織實(shí)體的治理結(jié)構(gòu)，包括由誰行使日?？刂茩?quán)、有什么監(jiān)督措施、在什么情況下決策以及是否由外部審查、由誰審查。組織與程序建設(shè)的一個關(guān)鍵方面是透明度義務(wù)的落實(shí)，這包括定期報告?zhèn)€人信息處理的性質(zhì)和目的、分析的原因和方式以及使用個人信息的目的等內(nèi)容。

（二）防御權(quán)功能——國家消極義務(wù)的實(shí)現(xiàn)

如前所述，個人信息受保護(hù)權(quán)具備“防御權(quán)功能”，國家相應(yīng)地承擔(dān)“不侵犯”的消極義務(wù)。在大數(shù)據(jù)時代，利用數(shù)據(jù)挖掘處理個人信息的趨勢有增無減，政府掌握的公民信息比人類歷史上任何時候都要多得多。政府對個人信息的收集和處理提高了公共安全程度，簡化了日常通信和交易的過程。在這個社群場景下，國家消極保護(hù)義務(wù)的關(guān)鍵在于強(qiáng)調(diào)國家職能部門個人信息處理活動的適當(dāng)性。在考慮個人信息處理活動有效性和私人生活安寧之間的平衡前提下，本文在借鑒“公平信息實(shí)踐原則”的基礎(chǔ)上，從過程控制與相關(guān)責(zé)任機(jī)制兩個層面對國家消極義務(wù)進(jìn)行闡述。

在國家機(jī)關(guān)作為個人信息處理者時，個人信息處理活動體現(xiàn)出更為明顯的主體地位的不平等性和單向強(qiáng)制性，因此國家機(jī)關(guān)負(fù)有適當(dāng)處理個人信息的義務(wù)，來限制國家權(quán)力的行使。以域外立法來看，公平信息實(shí)踐原則（FIPPS）對政府機(jī)關(guān)個人信息處理過程的實(shí)體性內(nèi)容（例如數(shù)據(jù)質(zhì)量、使用限制）和程序性內(nèi)容（例如知情同意）等方面作出了詳細(xì)規(guī)定，這在一定程度上對個人信息開發(fā)利用的可接受方式做出了范例[38]。具體到我國國家機(jī)關(guān)進(jìn)行個人信息收集的過程而言，首先，應(yīng)要求包括國家在內(nèi)的個人信息處理機(jī)構(gòu)應(yīng)周期性公布相關(guān)事項(xiàng)以實(shí)現(xiàn)個人信息處理過程的公開化。應(yīng)當(dāng)公布的內(nèi)容包括：個人信息處理系統(tǒng)的名稱、性質(zhì)和目的，保存?zhèn)€人信息的人員類別和人數(shù)，保存的個人信息類別，本組織關(guān)于個人信息存儲的政策和做法，個人信息的保留期限和處置細(xì)節(jié)。其次，個人信息處理者應(yīng)在組織中指定負(fù)責(zé)個人信息處理的人員對每次訪問進(jìn)行完整準(zhǔn)確的記錄。個人信息的存儲應(yīng)保證其準(zhǔn)確性、完整性和時效性。我國《個人信息保護(hù)法》第5 條至第12 條也對此作了原則性規(guī)定，并設(shè)專節(jié)規(guī)定國家機(jī)關(guān)處理個人信息的規(guī)則。適當(dāng)處理個人信息的義務(wù)既有利于個人信息處理者信息權(quán)力的審慎行使，也有利于公共問責(zé)機(jī)制的展開。

在相關(guān)責(zé)任機(jī)制的構(gòu)建方面，保證國家主體相關(guān)義務(wù)的履行是個人信息受保護(hù)權(quán)的防御權(quán)功能實(shí)現(xiàn)的必然要求。因此，我國應(yīng)建立對國家機(jī)構(gòu)不履行個人信息保護(hù)義務(wù)的問責(zé)機(jī)制。在GDPR 中，“問責(zé)制”(accountability)是個人信息保護(hù)的核心原則之一，其中包括需要采取適當(dāng)?shù)陌踩夹g(shù)和組織管理措施、對數(shù)據(jù)受托方通過合同協(xié)議等方式確定責(zé)任、任命專門的數(shù)據(jù)保護(hù)負(fù)責(zé)人、記錄并在必要時報告?zhèn)€人信息泄露、對可能對個人利益造成高風(fēng)險的個人數(shù)據(jù)的使用開展個人信息保護(hù)影響評估并對數(shù)據(jù)處理活動進(jìn)行記錄和保存，個人信息控制者(GDPR 下的主要規(guī)制主體)通過履行這些義務(wù)以證明個人信息處理活動的合規(guī)性。[39]“問責(zé)制”一詞通常用于許多治理領(lǐng)域，是指對國家主體一系列行為或決定追究相應(yīng)的責(zé)任。根據(jù)問責(zé)的時間點(diǎn)，問責(zé)機(jī)制可以被分為“警察巡邏”和“火災(zāi)警報”兩種模式。前者主張進(jìn)行樣本調(diào)查，目的是發(fā)現(xiàn)和糾正錯誤的行為并通過監(jiān)督阻止這種行為。后者主張首先應(yīng)當(dāng)建立一個系統(tǒng)，相關(guān)團(tuán)體有權(quán)發(fā)出警報，從而啟動救濟(jì)響應(yīng)。本文認(rèn)為應(yīng)當(dāng)二者兼采，把問責(zé)重點(diǎn)放在個人信息處理過程上，通過考慮誰來問責(zé)、何時需要問責(zé)以及問責(zé)的內(nèi)容來實(shí)現(xiàn)問責(zé)的目標(biāo)。

（三）受益權(quán)功能——國家給付義務(wù)的實(shí)現(xiàn)

個人信息受保護(hù)權(quán)的受益權(quán)功能是指所具有的可以請求國家作為某種行為，從而享有個人信息利益的功能。國家個人信息保護(hù)給付義務(wù)的履行是維護(hù)人的尊嚴(yán)，旨在滿足人的生存發(fā)展需要，這里的生存不僅意味著活著，而且意味著有質(zhì)量地活著。在個人信息處理法律關(guān)系保護(hù)領(lǐng)域，國家應(yīng)當(dāng)積極運(yùn)用多種工具，通過構(gòu)建事前風(fēng)險預(yù)防機(jī)制和事后司法救濟(jì)機(jī)制來實(shí)現(xiàn)給付義務(wù)，維護(hù)個人的人格尊嚴(yán)和人格自由發(fā)展。

在個人信息保護(hù)風(fēng)險預(yù)防方面，公民基于特定需要而選擇接受個人信息處理所帶來的風(fēng)險，國家負(fù)有為個人提供援助和支持的明確義務(wù)。對于現(xiàn)代社會人為風(fēng)險的控制，要將注重外在的技術(shù)和制度轉(zhuǎn)變?yōu)橐詢?nèi)在的識別和應(yīng)變能力為基礎(chǔ)的控制[40]。在實(shí)踐層面，為了解決此類風(fēng)險，國家給付義務(wù)表現(xiàn)為通過立法對個人信息法律關(guān)系中的義務(wù)內(nèi)容界定使之具體化，即明確對于個人信息受保護(hù)權(quán)實(shí)現(xiàn)所需的物質(zhì)性條件和其他條件的范圍、內(nèi)容、數(shù)量、提供方式。風(fēng)險預(yù)防的概念在《歐盟一般數(shù)據(jù)保護(hù)條例》中有多處體現(xiàn)，序言第75~77 條規(guī)定了數(shù)據(jù)管理員的風(fēng)險預(yù)防義務(wù)，即要求個人信息控制者“考慮到數(shù)據(jù)處理的性質(zhì)、內(nèi)容、范圍和目的以及侵犯數(shù)據(jù)主體的權(quán)利的風(fēng)險”并提前采取適當(dāng)措施，條例中關(guān)于數(shù)據(jù)保護(hù)影響評估、設(shè)計(jì)數(shù)據(jù)保護(hù)、敏感數(shù)據(jù)安全以及提供給數(shù)據(jù)主體的信息的規(guī)定都要求個人信息處理者考慮個人信息主體的權(quán)利和自由所面臨的風(fēng)險?；谠摲N類義務(wù)的個人信息保護(hù)立法有利于減少個人信息主體和個人信息處理者之間的信息不對稱，進(jìn)而降低有形損害（例如大數(shù)據(jù)殺熟）和無形損害（例如知情同意機(jī)制“架空”）的風(fēng)險。我國《個人信息保護(hù)法》第55 條、第56 條對個人信息處理者作出個人信息保護(hù)影響評估義務(wù)和內(nèi)容要求，都是通過立法實(shí)現(xiàn)國家“個人信息保護(hù)風(fēng)險預(yù)防”給付義務(wù)的規(guī)范體現(xiàn)。

在個人信息司法救濟(jì)的國家給付義務(wù)實(shí)現(xiàn)方面，國家應(yīng)當(dāng)協(xié)調(diào)各類司法救濟(jì)機(jī)制。在個人信息權(quán)利受到侵犯后進(jìn)行司法救濟(jì)是法律職能之一，個人信息主體與個人信息處理者之間的爭端也需要司法干預(yù)來確定明確的邊界，這也是行政機(jī)關(guān)和司法機(jī)關(guān)的一項(xiàng)基本任務(wù)。當(dāng)前的法律體系系統(tǒng)性地說明了違反個人信息保護(hù)制度所觸發(fā)的行政責(zé)任、民事責(zé)任和刑事責(zé)任，并為個人信息權(quán)益保護(hù)引入了公益訴訟制度，但仍有諸多待完善之處。個人信息處理法律關(guān)系的保護(hù)也涉及多個法律領(lǐng)域，例如數(shù)據(jù)安全法、消費(fèi)者保護(hù)法、反不正當(dāng)競爭法以及網(wǎng)絡(luò)安全法。面對各類責(zé)任的競合，司法救濟(jì)應(yīng)當(dāng)考慮多元法律責(zé)任機(jī)制的協(xié)同，以最簡便的方式確立規(guī)則機(jī)制。綜合來看應(yīng)當(dāng)繼續(xù)完善以行政責(zé)任為中心、民事責(zé)任為輔、刑事責(zé)任為補(bǔ)充的追責(zé)梯度以平衡個人信息的私益保護(hù)和公益保護(hù)。在行政監(jiān)管方面，需要引入行政監(jiān)管等公法保護(hù)力量。在民事救濟(jì)方面，處理信息權(quán)利糾紛需明確侵權(quán)或違約責(zé)任制度。在刑事規(guī)制方面，由于侵犯公民個人信息犯罪系新型犯罪且前置法律法規(guī)供給相對不足，應(yīng)當(dāng)本著謙抑性原則明確非法使用個人信息行為的入罪邏輯與出罪路徑[41]。

結(jié) 語

互聯(lián)網(wǎng)極大地提高了個人信息的可利用性，數(shù)字時代的到來創(chuàng)造了前所未有的機(jī)會來分享和獲取自然人的個人信息。一方面，我們得益于通過數(shù)字通信技術(shù)輕松交換個人信息。另一方面，我們喪失了對這些信息在某種程度上的控制。信息社會背景下人對于生活安寧的基本價值訴求產(chǎn)生了個人信息處理法律關(guān)系合理保護(hù)要求。因此，當(dāng)務(wù)之急是需要明確個人信息保護(hù)模式，本文通過探索基本權(quán)利保護(hù)模式的建構(gòu)，明確國家主體的義務(wù)，打通公法與私法之間的壁壘。個人信息基本權(quán)利保護(hù)模式的核心之處也在于通過個人信息受保護(hù)權(quán)利功能和國家義務(wù)界定，構(gòu)建合理的個人信息流通秩序，以協(xié)調(diào)當(dāng)前存在的利益沖突。

利用大數(shù)據(jù)挖掘技術(shù)開發(fā)利用個人信息的潮流無法逆轉(zhuǎn)。信息時代從人格利益到財產(chǎn)利益到競爭利益，還有消費(fèi)者利益保護(hù)，這些都與個人信息的流通息息相關(guān)。個人信息保護(hù)是一個綜合性問題，需要從基本權(quán)利的角度出發(fā)進(jìn)行一系列立法、執(zhí)法以及司法活動，而不僅僅是一部《個人信息保護(hù)法》。