趙 宏

信息自決權在我國的保護現(xiàn)狀及其立法趨勢前瞻

趙 宏＊

“信息自決權”的概念肇始于德國，其本質在于保障公民可自我決定于何時以及在何種范圍內對外公開生活事實，尤其是向政府披露個人信息的權利。這一概念的提出是為了有效避免信息化時代下監(jiān)控國家產生的風險。而德國法也以此為起點，構建了系統(tǒng)的個人信息公法保護體制。我國盡管在私法領域已開始重視對他人侵擾個人信息的防御，但在公法領域對國家的不當干預和操控個人信息的行為卻缺乏警醒。因此，我們有必要在私法保護之外，同樣重視對個人信息的公法保護。也正是在這一意義上，德國經驗對我國有相當啟示，而對其基礎理論的細致考察也有助于我們在未來《個人信息保護法》上的立法判斷和制度選擇。

信息自決權 個人信息保護法

目 次

一、信息自決權在德國法上的型塑完成與嗣后發(fā)展

（一）“人口調查案”與“信息自決權”概念的提出

（二）信息自決權的限制及其合憲性理由

（三）德國聯(lián)邦《個人信息保護法》與“在線搜查案”判決

二、我國學理對信息自決權的吸收及其憲法證成

（一）我國學者對“信息自決權”理念的吸納

（二）信息自決權在我國憲法上的證成

三、我國信息自決權保護的制度現(xiàn)狀及其問題

（一）刑法和民法領域的信息保護規(guī)范及其局限

（二）《政府信息公開條例》中的信息保護端倪與問題

四、未來《個人信息保護法》的核心問題及其趨勢前瞻

（一）個人信息保護的立法模式選擇：統(tǒng)一立法還是分散立法？

（二）《個人信息保護法》的基本定位：公法保護還是民法保護？

（三）在個人信息保護中實現(xiàn)利益：平衡高標準還是低要求？

結論

“信息自決權”的概念肇始于德國，其本質在于保障公民可自我決定于何時以及在何種范圍內對外公開生活事實，尤其是向政府披露個人信息的權利。這一概念的提出，“是對國家因現(xiàn)代信息技術的急劇發(fā)展而獲得的對個人生活極大監(jiān)控可能性的回應”1［德］艾伯哈特·施密特-阿斯曼：《通過基本權利及憲法保障所進行的權利保護》，載《中德法律研討——對行政的法律約束和對個人權利的保護》，第270頁；轉引自劉飛宇：《行政信息公開與個人資料保護的銜接——以我國行政公開第一案為視角》，載《法學》2005年第4期。；德國法也以此為起點，構建了系統(tǒng)嚴密的個人信息公法保護機制。相較于德國，因為“人肉搜索”“電信詐騙”等種種社會惡狀的頻發(fā)，我國在私法領域已經開始對他人不當侵犯個人信息的行為有所防御；但在公法領域，既往針對公民信息權的理論研究和制度實踐卻主要集中于政府信息公開，而鮮少涉及個人信息保護。事實上，在信息化時代下，國家才是個人信息處理方面真正的“老大哥”：國家和政府所擁有的信息處理技術，已使其能夠輕易就將個人信息予以迅速整合，并由此完整描摹出個人的私生活圖像。但與信息泄露和數據操縱在私法領域引發(fā)的熱議和關注相比，人們對于國家對個人信息的無限度搜集以及不當使用卻缺乏足夠的警醒。也正是在這個意義上，德國法上的信息自決權理論對我國有相當的借鑒價值，其個人信息公法保護制度同樣為我國未來立法提供有益啟發(fā)。基于上述思考，本文首先嘗試對德國法上的信息自決權予以闡釋，并在此基礎上對我國公法領域的個人信息保護制度予以評析，而文章的最后則聚焦于未來《個人信息保護法》的核心問題。

一、信息自決權在德國法上的型塑完成與嗣后發(fā)展

信息自決權并未明確規(guī)定在德國憲法文本中，對這一權利的確認始自德國聯(lián)邦憲法法院于1983年12月15日對“人口普查案”（史稱“第二人口調查案”）2德國于1983年頒布《聯(lián)邦人口調查法》，規(guī)定對德國的人口和社會結構收集全面數據。該法不僅要求公民提供基本的個人信息，還要求公民填寫詳細表格，包括收入來源、職業(yè)、教育背景、工作時數以及交通方式等事物。該法還授權將這些統(tǒng)計數據移交于地方政府，以幫助其進行區(qū)域規(guī)劃、調查、環(huán)境保護和選區(qū)劃分等事物。該法頒布后，一百多位公民提起憲法訴訟，聯(lián)邦憲法法院也臨時中止了《聯(lián)邦人口調查法》的實施，并在審查后要求議會修正某些規(guī)定，防止因法律漏洞所導致的在收集、儲存、使用和轉移個人信息過程中的權力濫用。這一案件在德國法上被稱為“人口調查第二案”。所作的判決。

（一）“人口調查案”與“信息自決權”概念的提出

在這一判決中，聯(lián)邦憲法法院除中止了嘗試詳盡搜集公民個人信息的《聯(lián)邦人口調查法》的施行，還創(chuàng)設性地提出了“信息自決權”的概念。

聯(lián)邦憲法法院在本案中，首先重申“《基本法》所建立的秩序核心在于個人的價值和尊嚴”3BverfGE 65,1.，而這種“個人價值和尊嚴”又主要體現(xiàn)為“自由的自主決定”（freiwillige Selbstbestimmung）。這種自由決定得以“保證個人作為自由社會的成員而發(fā)揮作用”。在信息化時代下，“基于自決理念（Selbstbestimmung）的‘個性自由’包括了個人具備權利，以自行決定何時并在何種限度內披露其個人生活的事實”4BverfGE 65,1.。據此，德國聯(lián)邦憲法法院通過訴諸《基本法》第1條第1款之“人性尊嚴”以及第2條第1款之“一般人格權”條款而導出了“信息自決權”。這樣的推導技術是從概括性條款中推導出憲法未列舉權利的另一典型范例。

在接下來的判決中，聯(lián)邦憲法法院同樣闡釋了對信息自決權予以保障的必要性。“從自動數據處理的現(xiàn)行和未來發(fā)展狀態(tài)來看，這一權利需要特別保護。由于儲存高度私人化信息的技術手段在今天已經是無限的，這些數據在自動數據處理技術的幫助下又可在數秒內被調取，這項權利也因此受到嚴重威脅。此外，在建立集成信息系統(tǒng)時，如這些數據和其他數據相互結合，就會產生部分的甚至是完全的個性輪廓。相反，受到影響的個人則缺乏足夠手段，來控制這些信息的使用及其真實性。（國家）獲得信息并施加影響的可能性已增加到前所未有的程度，國家也完全可能通過公共意識對個人產生心理壓力來影響個人行為”5BverfGE 65,1.。在強調信息自決權的保護必要性后，聯(lián)邦憲法法院更清晰地揭示了公民信息自決權的保護要旨和保護內容：“作為在數據處理的現(xiàn)代條件下自由發(fā)展個性的前提，個人必須被保護免受個人數據的無限收集、儲存、使用和傳遞”6BverfGE 65,1.。據此，聯(lián)邦憲法法院在本案中不僅明確提出了信息自決權的概念，還清晰勾勒出這一權利的基本輪廓。

（二）信息自決權的限制及其合憲性理由

盡管德國聯(lián)邦憲法法院明確肯定對個人信息自決權的保護必要，但卻未將這一權利絕對化。在闡釋了對這一權利保護的必要性后，聯(lián)邦憲法法院同樣申明，“信息自決權利并非無限。對于其‘自身’信息，個人并不具有任何絕對或無限的控制”7BverfGE 65,1.，其理由是，“個人是在社會共同體之下發(fā)展其個性。因此，即使是個人信息，也同樣是社會事實的反映，而并非純粹地與個人相聯(lián)”8BverfGE 65,1.。這一認知與聯(lián)邦憲法法院在此前諸多判決中的思路一脈相承。盡管《基本法》將個體的“人性尊嚴”作為最高價值，但《基本法》對“人”的定位卻深受人本主義和社團主義的影響；由此描畫出來的個人圖像并非原子化的個人，而是與“共同體相關，并受共同體約束的個人”。因而，“為了迫切的公共利益（gemeinwohl），個人在原則上必須接受對其信息自決權的某種限制（Beschraenkung）。如果某些信息對政府計劃有所必要，作為社會一員的每個人就有責任回答官方人口調查及有關自身的某些問題”9BverfGE 65,1.。

但一旦允許國家可對公民的基本權利予以限制，就極有可能出現(xiàn)國家藉由“限制”而徹底掏空或是排除公民基本權的潛在危險。為防止國家藉由“限制”而破壞個人信息自決權利的本質，聯(lián)邦憲法法院同樣在本案判決中明確列舉了限制此項權利的“合憲性理由”（Rechtsfertigung）10德國《基本法》有關基本權限制條款的規(guī)定特點也在于，它除了允許國家可基于公共利益等事由對基本權利予以限制，還特別規(guī)定了對這些限制的限制（Schranken-Schranken）。這些限制要件也因此成為限制基本權利的“合憲性理由”（Rechtsfertigung）。參見Bodo Pieroth & Bernhard Schlink,GrundrechteⅡ,2004,S.62。。這些合憲性理由具體包括：

1.合目的性原則

合目的性原則要求，“議會必須注明所有官方數據收集程度的目的和條件，以使公民可清晰知道自身的何種信息基于何種理由而被收集”。而國家“強迫（個人）提供涉及人身之資料，是以立法者于特定范圍內且詳盡確定使用目的，并且該資料對該目的而言是適合且必須為前提的”11BverfGE 65,1.。合目的性原則本質上包含兩個方面：目的明確和受目的約束。首先，法律必須明確規(guī)定搜集、使用人民信息之目的，禁止為供未來不特定目的使用而搜集公民個人信息；其次，國家對信息的使用同樣受上述目的的限制，國家不得將所搜集之信息作法定目的外之使用。12Spiros Simitis,Die informationelle Selbstbestimmung-Grundbedingung einer verfassungskonformen Informationsordnung, NJW1984,s.395.“惟有使人民事先知悉其個人資料所以被搜集之目的，并使國家之信息使用受搜集目的所拘束，方能正當化國家之取得人民個人信息，并防止國家濫用所取得之人民個人信息，而憲法對人民信息隱私權之保障才不會落空”13臺灣地區(qū)“司法院”大法官釋字第603號解釋許宗力、曾有田大法官協(xié)同意見書。。

2.比例原則

比例原則可以說是德國公法領域的帝王條款，其內涵主要是通過國家行為“手段”與“目的”的關聯(lián)性考察，來檢視國家行為是否具備正當性和合憲性。在本案中，聯(lián)邦憲法法院同樣指出，“在制定這些法律時，議會還必須遵從比例原則。這項原則來自基本權利的特殊屬性，且被提高至憲法規(guī)范的高度。只有在對保護公共利益有所必要的程度內，國家才能對公民的信息自決權予以限制”14BverfGE 65,1.。

3.法律保留和法的明確性原則

7.牛腺病毒病。感染率高達30%以上，病毒通過糞便、呼吸道、眼等的分泌物傳播，以直接或間接接觸經口及呼吸道感染，潛伏期約2周，也可垂直感染，發(fā)病程度取決于飼養(yǎng)管理條件、運輸以及是否有其它病原的混合感染等。寒冷天氣及其它致病因子，如病毒性腹瀉病毒，可以促進牛

對基本權利的限制只能由法律作出，行政對基本權的干預必須具有法律的明確授權，這項要求是《基本法》對于基本權限制的基本模式。但法律保留原則不僅要求限制公民基本權需有“法律”的形式要件，還包含“授權明確性”的誡命，即“對基本權的影響強度越大，法律就應越明確具體”15BverfGE 49,168（181）; 59,104（114）; 86,288（311）.。在本案中，議會通過《人口調查法》對公民的信息自決權予以限制，這一點并未違反法律保留原則；但聯(lián)邦憲法法院在判決中同樣申明，“這類法律授權必須遵從法治國原則，且具備清楚構架以避免因過于模糊而違憲”，“考慮到國家在使用自動數據處理中所涉及的危險，立法應比此前任何時期都更有責任去采納組織和程序措施，以保護個人免受對其人格自由開展的侵犯”16BverfGE 65,1.。換言之，涉及公民信息自決權的立法必須足夠明確具體，由此才能讓人們獲知個人信息的搜集范圍、搜集目的、使用目的以及國家為此進行的安全防護。

（三）德國聯(lián)邦《個人信息保護法》與“在線搜查案”判決

自此，信息自決權成為德國個人信息保護的憲法基礎；而德國法也在此概念下，對此前頒行的《個人信息保護法》（Bundesdatenschutzgesetz）進行了大幅修改。德國在1977年頒行的《個人信息保護法》深受美國隱私權理論的影響，但信息技術的疾速發(fā)展已使這部法律凸顯嚴重不足。為因應信息技術的現(xiàn)代化發(fā)展以及貫徹歐盟發(fā)布的個人信息保護指令，德國于2003年在“個人信息自決”的概念下，對這部法律進行了大幅修改和重新編排。

修改后的《個人信息保護法》將保障對象確定為“個人信息”；所謂個人信息，包含所有能夠直接或是間接識別個人身份的信息，而并不僅限于具有敏感性、私密性的隱私信息。聯(lián)邦憲法法院在2012年的判決中更申明，“由于存在數據處理和聯(lián)系的可能，因此，無論數據使用條件如何，都不存在毫無疑義的個人信息”17BverfGE 65,1.。德國《個人信息保護法》共計6章60條，從整體架構而言，其承繼了歐盟法的“統(tǒng)一立法”模式；其中既包含了對行政機關信息處理的規(guī)定，也囊括了非公務組織信息處理的規(guī)定。經由《個人信息保護法》的進一步型塑，信息自決權成為體系化的權利整體；其內容包含了個人在數據收集、處理和利用這些動態(tài)過程下所享有的完整權能：個人信息告知權、個人信息更正權、個人信息封鎖權以及個人信息刪除權。此外，《個人信息保護法》同樣從“人口調查案”中的限制合憲性理由出發(fā)，總結歸納出一系列個人信息保護和數據處理的原則，如限制匯總原則、內容完整正確原則、目的明確原則、限制利用原則、安全原則、公開原則以及個人參與原則。

對“信息自決權”的嗣后發(fā)展起到關鍵作用的，還包括德國聯(lián)邦憲法法院于2008年所作的“在線調查案”18本案的起因是北萊茵—威斯特法倫州在《憲法保衛(wèi)法》中規(guī)定，“為收集信息，作為情報手段，憲法保衛(wèi)局可采取以下措施：……對因特網進行秘密監(jiān)視和其他調查，尤其是秘密潛入他們的通信設備或者對其進行搜索，以及秘密存取IT系統(tǒng)上的數據，包括采用技術手段”。而這部法律發(fā)布的目的則是回應使用因特網進行通信聯(lián)系的犯罪策劃和犯罪實施，這些技術手段使傳統(tǒng)偵查方法已經無法因應反恐的需要。因此該部法律授權行政機關進行所謂的“在線調查”。判決。在該份判決中，聯(lián)邦憲法法院認為，“因特網的互聯(lián)產生了危及人格的新的危險類型”?！巴ㄟ^提取或使用計算機中儲存的數據就可大體上推斷出計算機用戶的人格直至形成人的全貌。而借助因特網的互聯(lián)更加深了這種危險，因為一方面基于網絡通信數據可以獲取用戶人格方面的信息；另一方面也給第三方提供了技術上窺探或控制系統(tǒng)上所存數據的可能”19BverfGE 115,166.。鑒于對此危險的防御，聯(lián)邦憲法法院主張，應將“一般人格權的保障范圍擴大到對IT系統(tǒng)的保護上”20BverfGE 115,166.。據此，國家不僅不能基于了解個人基本生活方式或獲取對個人有表現(xiàn)力的圖像的目的，而對個人電腦的單個通信過程或存儲數據進行存取，同樣不能對IT系統(tǒng)的整個數據進行存取。對于IT系統(tǒng)私密性和完整性的保障（Schutz auf Vertraulichkeit und Integritaet informationstechnishcer Systeme）使信息自決權的范疇大幅度擴張。此前，盡管聯(lián)邦憲法法院確認，信息自決權所保障的對象“不僅包括因類型而較為敏感并因此需要保護的信息，還包括通過處理和聯(lián)系才能影響到當事人基本權利的信息”；但“信息自決權卻不可能考慮因使用IT系統(tǒng)而產生的危及人格的所有危險，因為在這樣一種系統(tǒng)上存取數據能夠獲得一個有表現(xiàn)力的數據存量，而無需采取其他數據提取和數據處理措施。在影響當事人人格的程度方面，這種存取遠遠超過了信息自決權保護所針對的數據的個別提取”21BverfGE 115,183.。從這個意義上說，對個人IT系統(tǒng)私密性和完整性權利的確認，同樣也“彌補了信息自決權的保護漏洞，回應了因信息技術的發(fā)展而產生的新的保護需求”22伯陽：《一般人格權之具體體現(xiàn)：新創(chuàng)設的保障IT系統(tǒng)私密性和完整性的基本權利》，載《中德法學論壇》（第6輯），第37頁。。

綜上，信息自決權經德國聯(lián)邦憲法法院在判決中提出，而被貫徹于《個人信息保護法》，并因此成為德國個人信息公法保護的理論基礎。這是因為，首先，它自肇始之初就被明確定位為憲法基本權利，其意涵也因此被塑造為個人數據免受國家無限度收集、儲存、使用和傳遞；而其功能也在于防堵國家在信息化時代下，藉由數據調取和數據整合技術，產出部分或是幾乎完整的“個人輪廓”，并由此對公民的私人空間和自決能力予以削減。權利屬性的清晰定位使信息自決權得以分享德國基本權利法教義學上的智識成果，而信息自決權嗣后的型塑在很大程度上正是依循基本權利法教義學的思考框架。其次，這一理論的提出突破了傳統(tǒng)隱私保護將保護對象僅限于隱私信息的窠臼，而將保護范圍拓展至“所有能夠直接或是間接識別自然人的信息資料”，因此有效回應了信息時代下普遍且廣泛的信息保護需求。最后，德國法盡管強調了信息自決權作為一項新型基本權利的保護必要，卻未將其予以絕對化，聯(lián)邦憲法法院確認基于“重大且明顯的公益需要”，國家仍能夠對此項權利予以限制。這種做法也將信息自決權納入了公益考量的空間。但開放國家對此項權利的限制可能，就有可能導致國家藉由限制而徹底排除或掏空這項基本權利；為防止國家的過度和違憲干預，聯(lián)邦憲法法院在允許國家可對此項權利予以限制后，同樣對限制此項權利的合憲性理由進行了細致歸納，而這些合憲性理由嗣后又成為《個人信息保護法》系統(tǒng)提煉信息保護和數據處理基本原則的基礎。從上述三個方面可以看出，德國法邏輯嚴密、理路井然的思考都為我們系統(tǒng)建構妥當適宜的個人信息公法保護體制提供啟示。

二、我國學理對信息自決權的吸收及其憲法證成

如序言所述，在我國私法領域，如何有效防御他人對個人信息的不當搜集和濫用，已成為理論研究的重要議題；有關這一問題的公法研究和制度實踐卻仍舊只現(xiàn)端倪，而學理探究和制度實踐的滯后也已經與國家藉由信息技術過度干預個人生活的現(xiàn)實嚴重不符。事實上，因為城市化的疾速發(fā)展，為控制社會穩(wěn)定、打擊犯罪、強化治安等目的，我國政府早已開始大量采集公民個人信息，而身份登記、視頻監(jiān)控、實名注冊等管理手段也開始越來越多地充斥于我們的生活。政府所擁有的信息處理技術，已使這些個人信息極有可能被迅速整合，并由此完整描摹出個人圖像和個人行蹤。因此，為避免在信息化時代下現(xiàn)代國家滑向“監(jiān)控國家”的風險和可能，在私法保護體制外，我們同樣應重視對公民信息權的公法保護，重視對國家不當搜集和濫用公民信息行為的覺察和防御。

（一）我國學者對“信息自決權”理念的吸納

因為受私法研究的影響，在有限的關于個人信息保護的公法研究文獻中，學者大多都將個人信息公法保護的理論基礎與淵源訴諸隱私概念，而且為凸顯公法隱私保護與私法隱私保護的差異，諸多學者都援用了美國法上的“憲法隱私權”（the constitutional right to privacy）理論23例如，李曉明：《公共視頻監(jiān)控系統(tǒng)與隱私保護的法律規(guī)制——以上海世博會為視角》，載《法學論壇》2009年第1期；胡建淼：《論公共攝像監(jiān)視——以隱私權為中心》，載《法律科學（西北政法大學學報）》2008年第4期；張紅：《指紋隱私保護：公、私法二元維度》，載《法學評論》2015年第1期。此外，專門針對憲法隱私權的研究同樣開始出現(xiàn)，例如，張軍：《憲法隱私權研究》，中國社會科學出版社2007年版；王秀哲：《隱私權的憲法保護》，社會科學文獻出版社2007年版；屠振宇：《憲法隱私權研究——一項未列舉基本權利的理論論證》，法律出版社2008年版；楊開湘：《憲法隱私權導論》，中國法制出版社2010年版。。盡管憲法隱私權的保護范圍在美國法上已覆蓋至信息隱私，但因其保護對象受制于“必須屬于隱私”的限制，憲法隱私權所提供的保護與信息化時代下所要求的普遍廣泛的個人信息保護仍有相當距離。事實上，美國法也開始糾正“隱私保護”所導致的保護對象偏狹的弊端，并嘗試將1974年頒布的《隱私法》的保護對象拓展至所有“個人被政府所掌控的記錄系統(tǒng)”24齊愛民：《拯救信息社會中的人格：個人信息保護法總論》，北京大學出版社2009年版，第45頁。。從這個意義上說，訴諸“隱私”概念，已無法為數據時代下的信息保護提供充分的學理支持。

在這一過程中，也有學者嘗試對這兩個概念進行仔細區(qū)辯。例如，在《論信息自決權作為一項基本權利在我國的證成》一文中，作者姚岳絨首先援引德國法的界定方式將信息自決權定義為“信息主體對自身信息的控制權與選擇，即由公民決定自身信息何時、何地、以何種方式被收集、儲存、處理以及利用的權利”。在嘗試通過對我國憲法文本的重新解釋而證成公民信息自決權的同時，作者指出，盡管已有諸多學者從隱私權的角度論證公民個人的信息控制權，但她卻認為這一方式并不可取。其支持理由在于，“隱私權是否為憲法權利尚處于學術論證的時期，借用一個尚未在憲法上正式承認的基本權利還證明另一基本權利，不但缺乏證明的可信度，而且也是一種不科學的論證方法”。此外，“……隱私權的憲法屬性在美國也已由聯(lián)邦最高法院通過憲法解釋的方式加以認可。但我國卻不具備這樣的情況”。據此，作者認為，“在我國要從規(guī)范上證明信息自決權的存在，必須以現(xiàn)行憲法涉及公民權利的條款為基礎，在這些既有條款內容中，通過學理式的解釋方法進行合理的解讀以及合乎邏輯的方法才能得到證成”。26姚岳絨：《論信息自決權作為一項基本權利在我國的證成》，載《政治與法律》2012年第4期。從文章整體論證來看，盡管作者將公民信息自決權無法從隱私權中獲得論證，歸因于隱私權本身在我國憲法上未獲正式承認的邏輯，仍舊值得商榷；但文章將隱私權與信息自決權適度區(qū)分，并特別強調信息自決權作為憲法基本權的屬性的做法卻值得肯定。

綜上，盡管我國已有公法學者在美國的“憲法隱私權”之外，借鑒德國法上的“信息自決權”概念來論證防堵“監(jiān)控國家”的必要，但對于“信息自決權”的生成過程、發(fā)展脈絡和意涵要素，我們仍需更細致的考察和探究，由此才能更完整且妥適地汲取德國法在個人信息公法保護方面的有益經驗。

（二）信息自決權在我國憲法上的證成

而要以信息自決權為理論基礎和思考起點，來系統(tǒng)構筑我國的個人信息保護體系，首先需要在憲法上對信息自決權予以證成。如德國法一樣，我國憲法同樣不包含信息自決權的列舉。但憲法未明文列舉的權利并非就不具有憲法上的基本權利屬性，通過憲法解釋技術，完全能夠合邏輯地推導出憲法未列舉的基本權利，并為其提供憲法保障，這一點已為現(xiàn)代憲法學理所普遍承認。

從域外經驗來看，從概括性條款中推導出憲法未列舉的新型基本權利，無疑是最為常見的憲法論證技術。如上文所述，德國聯(lián)邦憲法法院對于公民信息自決權的創(chuàng)設，使用的正是回溯至憲法的概括性條款，對新興權利予以證成和型塑的方法。德國《基本法》第1條為“人性尊嚴條款”，這一條款被視為憲法的最高價值，當然也最具涵括性、抽象性和開放性。在“人性尊嚴條款”之下，德國法將公民權利按照傳統(tǒng)習慣區(qū)分為自由權和平等權。而第2條第1款則作為自由權的一般性條款。在一般自由權條款之后，《基本法》詳盡列數了公民的信仰自由、言論自由、在婚姻家庭、學校中的自由、集會自由、結社自由、通信秘密、住宅不受侵犯等諸項特別自由權。從法條邏輯而言，“如果公民的某項行為自由不能納入其他基本權的特別保護領域，都可援引第2條第1款”27BverfGE 30,282（236）; 58,358（363）.。德國《基本法》中的基本權規(guī)范凸顯體系化的精細設計，而在其體系建構中，概括性條款無疑具有構架搭建的基礎性作用。它揭示出基本權規(guī)范的核心價值和意義關聯(lián)，是理解所有基本權條款的思考起點，同時又使基本權規(guī)范具備了面向未來的調試和擴展可能。

我國憲法在基本權規(guī)范上雖然未體現(xiàn)出如德國《基本法》一般的體系完整和邏輯縝密，但2004年憲法修正案增加的“人權條款”，卻在規(guī)范意義上涵括了“非完全列舉主義精神”28林來梵、季彥敏：《人權保障：作為原則的意義》，載《法商研究》2005年第4期。，也因此能夠成為推導出憲法未列舉權利的概括性權利條款。人權條款的這一功能被漸次挖掘后，很快獲得諸多學者認同，他們對這一功能不斷予以背書。例如，有學者將人權條款描述為“憲法未列舉權利的安身之所”29張薇薇：《“人權條款”：憲法未列舉權利的“安身之所”》，載《法學評論》2011年第1期。；或者認為“從價值理念上，人權條款與未列舉權利的保護價值是相同的”30秦強：《我國憲法人權條款研究》，中國人民大學2009年博士學位論文，第55—61頁。。迄今，認為從人權條款中可以推導出憲法未列舉的基本權利，幾乎成為我國憲法學者的一般共識。既然人權條款能夠作為憲法未列舉權利的文本基礎，那么作為新興權利之一的信息自決權同樣能夠從這一條款中獲得憲法上的證成。

除能夠回溯至憲法人權條款中獲得依據外，我國憲法第38條同樣能夠為信息自決權的導出提供幫助，第38條規(guī)定：“中華人民共和國公民的人格尊嚴不受侵犯。禁止用任何方法對公民進行侮辱、誹謗和誣告陷害。”盡管此條中的“人格尊嚴”與德國《基本法》中的“人性尊嚴”相比，在范圍和意涵上都明顯偏窄，但以林來梵教授為代表的學者也嘗試對這一條文進行“雙重規(guī)范意義上的解讀”，并借此將德國法和日本法中的“人性尊嚴”保障內容同時融入我國憲法。這種雙重意義上的解讀將第38條分解為兩個部分：第一部分為該條第1款，“中華人民共和國公民的人格尊嚴不受侵犯”，在林教授看來，此處的“人格尊嚴”應類同于“人性尊嚴”獲得解釋，因此這一條不僅是憲法權利，同樣是基礎性的憲法原則；第二部分為該條第2款，“禁止用任何方法對公民進行侮辱、誹謗和誣告陷害”，本條表達的是個別性權利的保障內容，它大致相當于憲法上的人格權。既然憲法第38條第1款被解釋為具有保護人性尊嚴功能的憲法性原則，那么憲法中未明確列舉和規(guī)定的權利，如生命、健康、姓名、名譽、肖像等，甚至是新興的環(huán)境權、隱私權等都能夠被囊括其中。31參閱林來梵：《人的尊嚴與個人尊嚴——兼論我國憲法第38條的解釋方案》，載《浙江社會科學》2008年第3期。盡管這種解讀方法同樣遭致學者反對，認為憲法第38條無論從位置安排還是意涵內容上，都“只是憲法上的基本權利，并不能構成一項基本原則”32謝立斌：《中德比較憲法視野下的人格尊嚴——兼與林來梵教授商榷》，載《證法論壇》2010年第4期。；但如果我們能夠吸納這一方案中的積極內容，將我國憲法中的“人格尊嚴”擴張解釋為類似于德國法中的一般人格權，那么信息自決權同樣能夠從這一權利中獲得證成基礎。由此，我們不僅可借鑒從概括性條款中導出憲法未列舉權利的解釋技術，同樣可運用美國法上“基本權利的暈影理論”33這一理論認為，指憲法除保障憲法修正案中明確列舉的權利外，還保護這些權利的邊緣性權利，相對于那些明示的權利，這些邊緣性權利就仿佛“暈影”一樣的存在，惟有對這些邊緣性權利同樣提供保護，對憲法明示權利的保障才是充分的。參閱［美］阿麗塔·L.艾倫、理查德·C.托克音頓：《美國隱私法：學說、判例與立法》，馮建妹等譯，中國民主法制出版社2004年版，第30頁。，將信息自決權作為“一般人格權”的邊緣性權利，是如暈影一般的必要構成而加以保護。而這種解釋同樣為伴隨社會變遷而出現(xiàn)的新型人格法益提供了空間，我國憲法規(guī)范對于人格權的保障，也因此升級為如德國法一般的“一般人格權+具體人格權”34石畢凡：《作為基本權利的人格尊要及其規(guī)范意涵——以“賣淫女示眾”事件為例》，載《現(xiàn)代法學》2008年第5期。的模式。

三、我國信息自決權保護的制度現(xiàn)狀及其問題

在理論上厘清了有關信息保護的思考步驟和核心問題后，接下來面臨的則是具體的制度建構和規(guī)范落實。相比在信息保護領域已有專門法律的德國和美國，我國對于公民個人信息保護的立法目前僅限于刑法和民法領域。有關公民相對于國家的信息自決權保障，盡管在《政府信息公開條例》中初現(xiàn)端倪，但由于缺乏專門立法，這一方面仍凸顯嚴重的規(guī)范供給不足。

（一）刑法和民法領域的信息保護規(guī)范及其局限

為因應個人信息保護呼聲的高漲，我國刑法領域和民法領域都納入了有關信息保護的規(guī)范，而這些規(guī)范也成為我國信息保護立法的發(fā)端。

在刑法領域，2009年通過的《刑法修正案（七）》對《刑法》第253條的內容進行了拓充，并增加了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”兩項罪名。35《刑法修正案（七）》對于第253條增加的內容：“國家機關或者金融、電信、交通、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息出售，或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰?！痹诿穹I域，2009年頒行的《侵權責任法》在第2條率先納入了“隱私”的概念，第62條又明確指出，“醫(yī)療機構及其醫(yī)務人員應當對患者的隱私保密。泄漏患者隱私或者未經患者同意公開其病歷資料，造成患者損害的，應當承擔侵權責任”。

盡管刑法和民法領域對于個人信息保護都作了相關努力和嘗試，但由于在信息保護領域缺乏對諸多基礎性問題的一般共識，這些規(guī)范不僅意涵不清，邊界不明，在保護效果上也嚴重不足。例如，《刑法》新增加的“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”都以“個人信息”為客體，但《刑法》和司法解釋卻缺乏對何謂“個人信息”的解釋；此外，無論是“出售、非法提供公民個人信息罪”還是“非法獲取公民個人信息罪”，都以“違反國家規(guī)定”為定罪的前提，但在信息保障領域，我國本來就缺乏相應的規(guī)定，這一前提要件的寫入也因此弱化了對相關行為的裁罰力度；最后，上述兩種罪名只是約束《刑法》所明確列舉的“國家機關或者金融、電信、交通、醫(yī)療等單位的工作人員”，責罰的行為也僅限于“出售”“非法提供”和“非法獲取”個人信息，從約束對象和責罰行為上看都明顯過窄。而從《侵權責任法》和《民法總則（草案）》的相關規(guī)定看，民法對于個人信息的保護仍舊受制于“隱私權”的思考框架，而未拓展至一般意義上的個人信息。

（二）《政府信息公開條例》中的信息保護端倪與問題

刑法和民法領域的信息保護制度所針對的仍舊主要是他人侵犯公民信息法益的行為，而并未直接涉及國家過度搜集、不當儲存和非法傳播與使用個人信息的行為。公法領域對于公民信息自決權的保護目前僅出現(xiàn)于《政府信息公開條例》。盡管這部條例的核心要旨在于推動政府對于其掌控的公共信息的公開，鑒于信息公開與信息保護之間的可能沖突，以及信息公開與信息更正之間的密切關聯(lián)，該條例中仍舊包含了為數不多的信息保護條款。

涉及信息保護的首先是《政府信息公開條例》第23條。該條規(guī)定，“行政機關認為申請公開的政府信息涉及商業(yè)秘密、個人隱私，公開后可能損害第三方合法權益的，應當書面征求第三方的意見；第三方不同意公開的，不得公開”。這一條一直被視為處理我國信息公開和信息保護的核心法則。在政府信息普遍公開的原則之下，商業(yè)秘密和個人隱私被作為例外事項予以明確列舉。

上述規(guī)定盡管以保護他人個人信息為要旨，但卻同樣存在邊界模糊、意涵不明的問題。首先，除上文提到的《侵權責任法》外，我國現(xiàn)有法律規(guī)范中并無“個人隱私”的規(guī)定，對于何謂“個人隱私”更沒有權威性的法律界定，而《反不正當競爭法》中對于商業(yè)秘密的界定同樣模糊。這就導致行政實踐和司法實務無法在信息公開和信息保護之間進行有序界分。36實踐中“行政機關對于哪些信息屬于經濟信息、經營信息、保密措施還是一頭霧水。為了避免糾紛，甚至為不公開政府信息找擋箭牌，只要涉及企業(yè)的信息，只要有企業(yè)數據，就以商業(yè)秘密為由不予公開”。參見李廣宇：《政府信息公開判例百選》，人民法院出版社2013年版，第222頁。其次，商業(yè)秘密和個人隱私的公開以“個人同意”為前提要件，除非“行政機關認為不公開可能對公共利益造成重大影響的，應當予以公開”。但“個人同意”作為公開要件，在制度實踐中同樣會引發(fā)問題：其一，由于我國在信息保護領域并未引入德國法中的目的明確和限制原則，行政機關在搜集個人信息時也并不區(qū)分搜集目的和使用目的，那么個人在搜集信息時的“同意”就極有可能被不當擴張為“一攬子式的同意”，從而導致國家對個人信息的濫用；其二，以“個人同意”作為商業(yè)秘密和個人隱私公開的唯一要件，亦有可能造成個人對信息的獨攬。事實上，在信息社會下的個人信息，不僅與個人相關，具有個人性，同樣具有社會性，如果在處理個人信息是否公開的問題上，完全不考慮個人信息的社會關聯(lián)，將個人信息的處理決定權全部交由個人決定，就會徹底阻卻數據的自由流轉，這也相當于徹底放棄信息技術為社會和個人所帶來的福利。37郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第99頁。最后，即使我們認為這一條文中包含了立法者對于個人信息保護的考慮，但條文所涉及的內容也僅限于“商業(yè)秘密和個人隱私”，與“信息自決權”中廣泛的“個人信息”仍舊相去甚遠。

除第23條外，《政府信息公開條例》第25條同樣被認為是對個人信息權的保護。根據該條，“……公民、法人或者其他組織有證據證明行政機關提供的與其自身相關的政府信息記錄不準確的，有權要求該行政機關予以更正。該行政機關無權更正的，應當轉送有權更正的行政機關處理，并告知申請人”。根據德國法關于信息自決權的界定，個人對信息的控制權能包含四個方面：個人信息的告知權、個人信息的更正權、個人信息的封鎖權以及個人信息的刪除權。38德國《聯(lián)邦個人信息保護法》第3條。如果以此為衡量標尺，那么第25條至少確認了公民對于個人信息的獲取權與更正權，但其局限性同樣明顯。首先，在《政府信息公開條例》以信息公開作為主要目的的背景下，這一規(guī)定只是個人信息保護的“搭車之舉”39李廣宇：《政府信息公開訴訟：理念、方法與案例》，法律出版社2009年版，第171頁。；其次，本條只是在部分程度上肯定了公民對其自身信息的獲取權與更正權，同樣與完整系統(tǒng)的信息自決權保護之間存在相當的距離。

綜上，盡管在刑法、民法以及行政法領域，我國均已初現(xiàn)信息保護的端倪，也進行了相當有益的嘗試，但上述努力卻都效果有限。從域外經驗來看，要對公民的信息自決權予以系統(tǒng)嚴密的保護，除需在憲法上對其作為基本權利的屬性予以肯定外，還須依賴專門的信息保護立法。制定專門的信息保護法的必要，除在于遏制和防堵日益嚴重的信息濫用，還在于信息保護不僅橫跨公法和私法兩個法域，并無法單獨交由民法、刑法或是行政法單獨處理，且其涉及的內容也具有相當的科學性和技術性。這些都使制定專門的信息保護法律在信息化技術疾速發(fā)展的今天顯得急迫且必要。

四、未來《個人信息保護法》的核心問題及其趨勢前瞻

事實上，我國政府早在2003年就已將制定個人信息保護法列入立法計劃，迄今也已有兩部專家建議稿問世40參見齊愛民：《中華人民共和國個人信息保護法示范法草案學者建議稿》，載《河北法學》2005年第6期；周漢華：《個人信息保護法（專家建議稿）及立法研究報告》，法律出版社2006年版。，其中以中國社會科學院周漢華教授領銜制定的《中華人民共和國個人信息保護法（專家建議稿）》已提交國務院審議。雖然醞釀的時間已久，但由于理論界對該法制定中的一些核心問題分歧嚴重，該法目前仍舊停留于討論階段，“短期內也恐難出臺”41郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第99頁。?！秱€人信息保護法》在制定中所面臨的關鍵分歧主要集中于以下方面：

（一）個人信息保護的立法模式選擇：統(tǒng)一立法還是分散立法？

統(tǒng)一立法和分散立法是最典型的兩種有關個人信息保護的立法模式，而其代表國家又分別是德國和美國。統(tǒng)一立法模式是由國家制定專門法律，統(tǒng)一規(guī)范國家機關和民事主體收集、儲存、處理和利用個人信息的法律規(guī)則。統(tǒng)一立法模式由歐盟所倡導，以德國為典型代表。歐盟最初的個人信息保護只是針對政府，但此后個人數據保護應針對所有數據處理者的觀念逐漸成為共識，因此1995年的歐盟指令也將公共機構和私人機構一起納入調整范圍，統(tǒng)一立法模式由此形成。42郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第98頁。統(tǒng)一立法的優(yōu)勢在于：首先，它在保障“信息自決權”的核心觀念之下，將國家責任與公民責任、行政義務與民事義務均囊括其中，由此為公民的信息自決權提供了系統(tǒng)完整的保護；其次，統(tǒng)一立法還能夠為個人信息保護提供統(tǒng)一的標準，避免了法律寬嚴有別、執(zhí)行無序。43齊愛民：《拯救信息社會中的人格：個人信息保護法總論》，北京大學出版社2009年版，第177頁。盡管具有全面系統(tǒng)、易于執(zhí)行的優(yōu)點，但統(tǒng)一性立法缺乏對不同數據處理，以及不同數據處理者的差異性考慮的缺陷也同樣突出。

分散立法模式是全國并無統(tǒng)一的個人信息保護法，個人信息立法區(qū)分不同領域和不同主體分別進行。作為分散立法的典型，美國有關信息隱私保護的立法可謂五花八門。針對聯(lián)邦政府處理個人信息隱私的行為，美國于1974年頒布了《隱私法》，這部法律可以說是美國信息隱私領域的基礎法案。此外，針對政府行為的還有《聯(lián)邦信息自由法》，這部法律將隱私作為公開的例外事項予以列舉。在頒布了針對政府機構的上述法案后，美國發(fā)現(xiàn)一些商業(yè)部門也在大規(guī)模地使用和處理個人信息，因此又將信息隱私的立法范圍擴展至商業(yè)機構，先后出臺《金融隱私權利法》《錄像隱私保護法》《駕駛員隱私保護法》《電腦資料比對與隱私權保護法》。44參閱齊愛民：《拯救信息社會中的人格：個人信息保護法總論》，北京大學出版社2009年版，第182—183頁。這些立法的進行并無統(tǒng)一籌劃，基本是“發(fā)現(xiàn)一個規(guī)范一個”45郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第185頁。。其優(yōu)點是考慮到了不同主體、不同領域對個人信息處理的差異性，通過個別立法為信息保護和信息處理提供了更多元的保障；但缺點卻是立法“支離破碎”，信息保護的標準繁多復雜，甚至相互沖突，不僅信息保護的立法成本和立法難度因此提高，個人信息也無法獲得有序高效的保障。

我國也是考慮到在信息保護問題上既應規(guī)范國家，又應規(guī)范民事主體，且應在信息保護領域提供統(tǒng)一的保護標準和普遍性的行為規(guī)則，才決定采用統(tǒng)一立法模式，將專門的《個人信息保護法》的立法首先列入立法計劃。但因為理論儲備不足，實務經驗匱乏，統(tǒng)一的《個人信息保護法》遲至今日都未出臺。統(tǒng)一立法的難度似乎提示我們：當下或許可以考慮在特別必要的部門，或是特別必要的領域首先進行單獨立法，累積了一定經驗后，再制定統(tǒng)一的《個人信息保護法》，規(guī)范所有的個人數據處理者都需遵守的普遍性規(guī)則。概言之，從局部的分散到統(tǒng)一，或許是緩解立法困難、推動立法早日出臺的穩(wěn)妥路徑。事實上，由于全國性的個人信息保護立法遲遲未能出臺，一些地方已經開始嘗試制定地方性的法律規(guī)范，例如，深圳市就已經開始積極籌措頒行保護個人信息的地方性法規(guī)。這在某種程度上也證明，從分散到統(tǒng)一似乎也能夠成為我國在信息保護領域的立法路徑。

（二）《個人信息保護法》的基本定位：公法保護還是民法保護？

導致《個人信息保護法》遲遲不能出臺的另一原因在于，我國學者對于個人信息保護的重心究竟應是行政法保護還是民法保護，同樣存在嚴重分歧。統(tǒng)一的《個人信息保護法》會橫跨公、私法兩大領域，這一點是不爭的事實。但其重心應放在行政法保護上還是民法保護上，又會在相當程度上決定了個人信息的保護模式以及政府和個人的責任分配。

目前已提交國務院審議的《個人信息保護法（專家建議稿）》由中國社會科學院周漢華教授牽頭，而其作為公法教授的背景，也使專家建議稿更傾向于對個人信息主要提供行政法保護。周漢華教授自己也認為，“公民的信息權是一項憲法權利，而不是民事權利”46周漢華：《個人信息保護法（專家建議稿）及立法研究報告》，法律出版社2006年版，第65頁。。對信息權的屬性界定，當然決定了于個人信息的保護模式。如果肯定信息權是憲法權利，那么個人信息保護法當然主要涉及公法問題，其保護方式也主要表現(xiàn)為行政規(guī)制。對于這一點，有學者作了更詳盡的說明，“在本質上說，個人信息保護制度是有關個人信息的管理法，或有關個人信息處理者的管理法，是通過行政許可、行政處罰等確保只有合格的個人信息處理者進行收集、處理、利用、傳遞個人信息，并督促個人信息處理者合法且妥當地處理個人信息”47田禾主編：《亞洲信息法研究》，中國人民公安大學出版社2007年版，第153頁。。

事實上，以歐盟為代表的個人信息保護體現(xiàn)的正是行政法保護模式。這種保護模式的特點在于以下兩個方面：其一，獨立的個人數據保護機構作為數據保護的執(zhí)行機關。歐盟在1995年指令中，就要求各成員國應當確定一個或是多個公共機構負責個人數據保護的執(zhí)行，這些機構行使職權時完全獨立，并應配備調查權、有效干預權和參加訴訟的能力。其二，對信息處理的主要規(guī)制方式為“申報”（notification）制度。申報制度是歐盟信息保護立法框架的核心。在1995年的指令中，歐盟要求各成員國應當規(guī)定，在實施任何意圖滿足某一目的或是若干相關目的的全部或部分自動化數據處理操作或成套此類操作之前，數據處理控制人或其代表，都必須向本國的數據保護機構申報。申報的內容包括：數據處理控制人和其代表的姓名、地址，數據處理的目的、對數據主體種類以及與其相關的數據或數據種類的描述、數據接收者或接受者的類型、將向第三國傳輸數據等。申報登記制度一直被認為是歐盟加強個人數據管理的核心手段，而上述兩個方面的規(guī)定也使歐盟的管理模式帶有強烈的“公法色彩”。歐盟的“公法保護”模式為我國已提交審議的《個人信息保護法（專家建議稿）》所完全吸納。這份建議稿中不僅主張各級政府設立或是確認專門的信息資源主管部門來負責數據工作，同樣引入了歐盟的申報制度，要求“其他個人信息處理者在開始進行個人信息收集之前，必須向政府信息資源主管部門進行登記。以個人信息處理為主要業(yè)務或通過個人信息處理營利的公民、法人或其他組織，在開始進行個人信息收集之前，須經政府信息資源主管部門行政許可”48周漢華：《個人信息保護法（專家建議稿）及立法研究報告》，法律出版社2006年版，第66頁。。

但也正是這種強化行政監(jiān)管的做法遭致很多民法學者反對，他們認為對于信息保護不應以公法保護，而應以民法保護為主。其支持理由首先在于，即使是歐盟的申報制度已經遭遇諸多批評，因為“普遍而復雜的登記申報勞民傷財，不僅加重了個人數據處理者的負擔，對歐盟公司的正常經營造成了不良影響，而且也造成了數據泄露的額外途徑”49Christopher Kuner：《歐盟的隱私與數據保護》，溫珍奎譯，載周漢華主編：《個人信息保護前沿問題研究》，法律出版社2006年版，第46頁。。反對借鑒歐盟模式的學者將對個人信息的公法保護機制評價為，“反映了依賴管理的國家主義視角……”50Joel R.Reidenberg,"Rules of the Road for Global Electronic Highways:Merging the Trade and Technical Paradigms",Harvard Journal of Law ＆Technology,Vol.6,1993.他們認為“個人數據保護法的主體應是民商法”，而個人數據保護法也“不應被塑造為個人數據處理的管理法，而應當是個人數據處理的權利法、交易法，屬于民商法范疇”51郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第245頁。。在這種私法保護模式下，個人信息保護法應包含的制度規(guī)則也應與歐盟法和德國法迥然不同：首先，個人信息保護法應主要是任意性而非強制性規(guī)則。該法應首先確認個人對信息的權利，但在絕大多數情況下，個人可選擇放棄其信息權，只有在當事人之間對于信息處理沒有約定時，信息保護法的規(guī)則才能予以適用。其次，個人信息保護法調整的主要是個人數據主體與個人數據處理者之間圍繞個人數據處理而產生的民事權利義務關系。盡管個人數據處理者除民事處理者之外，還包含政府機構，但政府機構應準用與民事主體同樣的規(guī)則。最后，個人信息保護法主要依靠民事救濟機制實現(xiàn)，行政手段和刑罰處罰都只是補充。52參見郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第244—245頁。

事實上，上述反對意見更多地是受美國模式的影響。美國沒有類似于德國專門的《個人信息保護法》，未設專門的個人信息保護機構，沒有申報登記程序，對違反個人信息保護的行為也主要依賴民事訴訟解決。相比之下，歐盟國家將信息保護視為公法范疇，美國的路徑則建立在“私權和自由主義管理的原則基礎之上”53Joel R.Reidenberg,"Rules of the road for Global Electronic Highways:Merging the Trade and Technical Paradigms",Harvard Journal of Law ＆Technology,Vol.6,1993.。在美國，信息權并未被確認為普遍性的人權，美國法也認為對于個人信息的保護，只有在存在不能避免的風險，且市場的確無法自我糾正時，國家才有介入的權力。54郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第52頁。此外，美國在信息保護領域“輕管制”的特點，還尤其體現(xiàn)于對“行業(yè)自律”的倚重上。對于那些未被單項信息保護立法涉及的行業(yè)、組織，美國一般采取行業(yè)自律的方式，即通過自我約束來達到對個人信息的保護；美國法也確信，“從事個人數據處理的行業(yè)本身有足夠的能力和動力來加強個人數據保護”55郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第52頁。，“如果過度限制數據采集和傳播，將會抑制經濟活動”56郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第53頁。，企業(yè)因此被賦予相當的自主權，可自主采取個人數據保護措施。

然而，主張私法保護的學者顯然忽略了如下問題：首先，主張個人信息保護的主體是公法保護，并非要強化政府在此領域的管制，弱化信息的自由流通。事實上，歐盟國家之所以強調個人信息保護的公法屬性，原因就在于相對于私人機構，政府機構才是數據處理的“老大哥”，是可能侵犯公民信息自決的最大危險。也正因如此，歐盟國家的信息保護立法都首先從規(guī)范和限制政府搜集和使用數據開始，之后才將規(guī)范對象慢慢拓展至私人機構。以德國法為例，即使信息保護法同時覆蓋政府和私人機構，但政府和私人機構在信息處理方面適用的規(guī)則也不盡相同。57德國《聯(lián)邦信息保護法》在第一編中規(guī)定了對公、私機構都適用的數據處理原則，在第二編和第三編中分別規(guī)定了“公共機構的數據處理”和“非公共機構和參與競爭的公法企業(yè)的數據處理”，針對公、私機構數據處理中進行了不同安排。這種區(qū)別處理并非是給予政府優(yōu)待，相反是對政府的信息處理行為施加了相較于私人更為嚴格的管制。58但在這點上，我國的《專家建議稿》給予了錯誤的示范，《專家建議稿》對政府機關的約束明顯少于對私人機構的約束，并認為“政府機關處理個人信息是履行法定職責、實施行政管理的必然要求，從法律性質上看屬于行政法律關系。相反，其他個人信息處理者處理個人信息時是一種民事主體的自主活動，從法律性質上看屬于民事法律關系”。鑒于我國對個人信息公法保護的制度闕如，如果未來的《個人信息保護法》被定位為民法，政府會因此仍舊游離于法律的約束和控制之外，個人信息保護的系統(tǒng)規(guī)制也會因此凸顯重大缺失。其次，主張私法保護的學者雖然也認為信息自決權是“一般人格權”的延伸，但卻將作為信息自決權基礎的憲法“人格權”錯誤地與民法上的“一般人格權”混同，因此得出信息自決權作為民事權利的一種，應主要由民法保護的結論。事實上，信息自決權從肇始之初就被定位為憲法基本權，其功能主要用以對抗國家的不當干預，盡管憲法基本權的實現(xiàn)也要依賴于民事立法，但這并不意味著其主要通過民事立法來實現(xiàn)。最后，對行政申報、許可和登記制度的反對也無法成為反對使用公法手段進行個人信息保護的合理理由。如果說僵化嚴苛的許可和申報可能會阻滯信息的自由流通，那么未來在具體管制模式的選擇上也可進行寬嚴有別的多樣化和差異性處理。以歐盟各成員國為例，盡管它們依照歐盟指令均已規(guī)定了相應的申報程序和審查程序，但具體的實施方法卻差別很大。德國就用企業(yè)隱私管來替代強制登記制度，而且還規(guī)定了種種豁免。而現(xiàn)代公法也已發(fā)展出了諸多更柔軟、更多元的規(guī)制方式，“公私合作”“公私協(xié)力”也已成為現(xiàn)代公法的流行趨勢，這些方式都可靈活運用于信息保護領域。相反，美國在信息保護領域的“輕管制”模式也在相當程度上依賴于其成熟的市場機制以及在此機制下培育出的自律的市場主體；這也使美國經驗帶有較強的地域性，因此，其是否能為我國借鑒仍需仔細斟酌。

綜上，為遏制國家對于個人信息的濫用以及防堵監(jiān)控國家的出現(xiàn)，未來的《個人信息保護法》絕不應僅被定位為處理數據擁有者與數據使用者的民事法律規(guī)范。盡管在立法模式上，我國或許同樣可效仿歐盟和德國的立法模式，對國家機關和民事主體收集、儲存、處理和利用個人信息的法律規(guī)則予以統(tǒng)一規(guī)范，但國家責任和行政義務仍舊應成為這部立法的核心內容。

（三）在個人信息保護中實現(xiàn)利益：平衡高標準還是低要求？

個人信息保護的目的在于實現(xiàn)信息主體對于個人信息的控制，但值得注意的是，我們已生活在信息化時代之下，如果對于個人信息實施過度的控制，勢必會限制個人數據的自由流轉，放棄信息技術為經濟和個人發(fā)展所帶來的福利。正因如此，才有學者論斷說，“個人數據保護法的成功，取決于在數據保護與數據流動這兩種利益之間如何實現(xiàn)恰當平衡”59齊愛民：《拯救信息社會中的人格：個人信息保護法總論》，北京大學出版社2009年版，第207頁。。

然而，“恰當平衡”只是法律人的一種美好構想。從各國的實踐來看，在信息保護立法中，無一不是根據本國特點，或是更偏重于信息保護，或是更強調信息流通，而這兩種趨向同樣以歐盟和美國為代表。從趨向的價值來看，“歐盟對于個人信息權利的保護更嚴格，而美國則對數據的自由流動更關切”60郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第53頁。。歐盟將個人信息自決確認為一種憲法權利，因此給予最高強度的保障，即使政府基于國家安全、國防防務以及犯罪追究的原因，也不能當然地違反個人信息保護原則。而美國即使同樣主張尊重個人隱私、提倡數據保護，但卻并未因此犧牲信息經濟和信息技術所帶來的利益。實踐中，為了“反恐”、新聞自由，甚至商業(yè)效率，個人數據保護規(guī)則在美國可以被輕易突破。此外，對大多數企業(yè)而言，美國法均未施以信息保護的限制，而是高度倚重行業(yè)自律。從這個意義上說，歐盟對于個人信息保護采取的是“高標準”，而美國顯然是“低要求”。

上述高標準和低要求同樣呈現(xiàn)出明顯的優(yōu)缺點。歐盟模式盡管對公民的信息自決予以高度保障，卻造成高昂的數據保護成本，同時也嚴重限制了信息的流通。有學者因此批評說，“歐盟高估了信息技術帶來的潛在隱私風險，卻又低估了信息技術給個人帶來的福利”，有學者甚至斷言，“歐洲的數據保護法正處于與全球網絡商務的現(xiàn)實相脫節(jié)的危險之中”61［德］Christopher Kuner：《歐洲數據保護法——公司遵守與管制》，曠野、楊會永等譯，法律出版社2008年版。。而美國模式雖然有助于信息流通，卻在很多時候都凸顯個人信息保護的嚴重不足。

鑒于歐盟的高標準和美國的低要求各自突出的優(yōu)點和劣勢，我國學者基本都建議未來的《個人信息保護法》的保護標準應“取法其中”，在歐盟和美國之間取“中間數”；簡言之，就是比美國嚴、比歐盟寬。62齊愛民：《拯救信息社會中的人格：個人信息保護法總論》，北京大學出版社2009年版，第209頁。但具體如何操作才能兼收兩者的優(yōu)點，又避免兩者的缺陷，目前的研究仍舊略顯粗放。事實上，究竟采高標準還是取低要求，與一國既往的信息保護水平、信息技術的發(fā)展、政府與企業(yè)和自律能力、行業(yè)的管制標準等諸項因素密切相關。因此，我國究竟應如何確定最終的標準，還需對相關因素進行系統(tǒng)評估后穩(wěn)妥安排。在既有研究中，也有學者粗略地指出了未來確定保護標準時應予考慮的因素：例如，是否對公共機構和商業(yè)機構在數據保護方面進行區(qū)別對待？是否應對政府進行嚴格約束，但對商業(yè)機構則降低標準，強化行業(yè)自律？在對商業(yè)機構進行約束時，是否同樣應考慮信息技術的經濟利益，避免對信息產業(yè)造成嚴重沖擊？63郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第100頁。上述因素都值得我們在最終確定信息保護標準時認真思考，并在妥善籌劃的基礎上盡可能地對信息保護和信息流通進行利益平衡。

結論

信息自決權的實質在于信息主體自由地決定其個人信息何時、何地、以何種方式被收集、儲存、處理以及利用。這一權利經由德國聯(lián)邦憲法法院所提出，迄今已成為德國法關于個人信息公法保護制度的理論基礎。信息自決權概念的提出與個人信息的公法保護，都在于防堵和避免信息化時代下“監(jiān)控國家”的可能與風險，而這一點對于我國同樣重要。為保障個人在數據化時代下的完整人格，防止國家藉由信息技術對私人領域的侵擾和擠壓，我們同樣須在私法保護之外，重視和納入對個人信息的公法保護。也正是在這個意義上，德國經驗對我們系統(tǒng)構建個人信息公法保護制度帶來有益啟示。這些經驗同樣為我們未來《個人信息保護法》的制定提供多樣化參考。

*中國政法大學教授，德國慕尼黑大學、科隆大學訪問學者。