宋才發(fā)

(廣西民族大學(xué) 法學(xué)院，廣西 南寧 530006)

2022年6月22日，習(xí)近平總書記在中央全面深化改革委員會第二十六次會議上強調(diào)，要維護國家數(shù)據(jù)安全、保護公民個人信息數(shù)據(jù)安全，加快構(gòu)建數(shù)據(jù)基礎(chǔ)制度體系[1]。在“十四五”規(guī)劃實施期間乃至更長的一段時期內(nèi)，我國要建立健全個人數(shù)據(jù)分類管理和分級確權(quán)授權(quán)使用制度體系，建立數(shù)據(jù)資源共享和數(shù)據(jù)產(chǎn)權(quán)制度體系，建立健全個人信息數(shù)據(jù)保護法規(guī)體系，完善數(shù)據(jù)全流程合規(guī)和監(jiān)管法律體系，把維護個人信息保護貫穿數(shù)據(jù)治理全過程。

一、個人信息及信息權(quán)保護制度釋義

(一)建立對個人信息嚴(yán)密保護的數(shù)據(jù)共享機制

數(shù)據(jù)是信息的主要表現(xiàn)和轉(zhuǎn)換形式。數(shù)據(jù)中囊括了大量“個人的信息和隱私，甚至涉及個人的敏感信息和核心隱私”[2]?！吨腥A人民共和國民法典》(以下簡稱“《民法典》”)第1032條規(guī)定：“自然人享有隱私權(quán)。任何組織或者個人不得以刺探、侵?jǐn)_、泄露、公開等方式侵害他人的隱私權(quán)”；第1034條規(guī)定：“……個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息……”(1)《民法典》第1034條規(guī)定：“自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！蔽覈駛€人信息受《中華人民共和國憲法》(以下簡稱“《憲法》”)等法律保護。人們通常所說的“數(shù)據(jù)分享”，是指“數(shù)據(jù)控制者將自己所收集的信息與他人進行分享，在數(shù)據(jù)控制者與分享者之間形成的一種合同關(guān)系”[2]。我國已進入互聯(lián)網(wǎng)、大數(shù)據(jù)的新時代，數(shù)據(jù)共享已成為個人信息開發(fā)利用的一種極為快捷便利的有效方式。由于相關(guān)法律和行業(yè)規(guī)范還適應(yīng)不了迅猛發(fā)展的大數(shù)據(jù)發(fā)展需要，實踐中個人信息被不正當(dāng)使用甚至發(fā)生隱秘信息泄露事故，侵害信息權(quán)人隱私權(quán)和信息權(quán)益，包括不應(yīng)有的經(jīng)濟損失和精神傷害。這表明，數(shù)據(jù)共享在對個人數(shù)據(jù)資料有效利用和推動知識創(chuàng)新的同時，也對個人信息保護帶來嚴(yán)峻的挑戰(zhàn)。數(shù)據(jù)共享是21世紀(jì)對個人信息數(shù)據(jù)收集、儲存和利用的渠道，也是不同機構(gòu)、平臺之間進行信息數(shù)據(jù)交換的便捷方式。在互聯(lián)網(wǎng)上任何對數(shù)據(jù)的收集、傳輸行為一旦失控，都將導(dǎo)致大量的個人隱私和信息遭到不正當(dāng)使用抑或泄露。在市場經(jīng)濟條件下數(shù)據(jù)共享的過程，實質(zhì)上就是對個人信息的再利用過程。對公民個人信息數(shù)據(jù)的開發(fā)利用，必須以個人信息數(shù)據(jù)的有效保護和合法處理為前提。大數(shù)據(jù)時代所開展的數(shù)據(jù)共享活動，在法律上是一種數(shù)據(jù)的開發(fā)與利用行為，屬于數(shù)據(jù)財產(chǎn)的合法利用和正當(dāng)使用行為。因而數(shù)據(jù)共享既包括“有償共享”，也包括“無償共享”。依法依規(guī)維護信息權(quán)人對其合法信息的支配權(quán)，在本質(zhì)上就是維護私法自治權(quán)、維護公民個人的人格尊嚴(yán)。依據(jù)現(xiàn)行法律規(guī)定，凡屬于已經(jīng)向社會公開了的個人信息數(shù)據(jù)，他人抑或組織在共享和利用的時候，一般不應(yīng)受到法律和有償?shù)闹萍s；各級政府向社會公開的各種信息數(shù)據(jù)，任何個人和組織都可以無償?shù)睾侠砝茫蛏鐣峁┬畔⒎?wù)是其行政職責(zé)。在政府?dāng)M公開的信息中，凡涉及需要對公民個人隱私權(quán)和信息數(shù)據(jù)予以保密的事項，政府有責(zé)任履行相應(yīng)的法定保密義務(wù)，采取可靠的防護和安全保障措施，以防止個人保密信息發(fā)生不應(yīng)有的泄露。同時還由于政府向社會公開的信息數(shù)據(jù)不涉及財產(chǎn)權(quán)的讓與問題，故政府不對所公開數(shù)據(jù)享有獨占性的權(quán)利[2]。

(二)建立以數(shù)據(jù)為核心的數(shù)據(jù)所有權(quán)保護制度

建立符合我國國情的數(shù)據(jù)所有權(quán)基本制度。中央全面深化改革委員會第二十六次會議強調(diào)指出：“數(shù)據(jù)作為新型生產(chǎn)要素，是數(shù)字化、網(wǎng)絡(luò)化、智能化的基礎(chǔ)，已快速融入生產(chǎn)、分配、流通、消費和社會服務(wù)管理等各個環(huán)節(jié)，深刻改變著生產(chǎn)方式、生活方式和社會治理方式?！盵1]這就需要完善數(shù)據(jù)要素市場化配置機制，建立體現(xiàn)效率、促進公平的數(shù)據(jù)要素收益分配制度，加強重點領(lǐng)域執(zhí)法司法，把必須管住的堅決管到位[1]。數(shù)據(jù)是數(shù)字經(jīng)濟的關(guān)鍵性要素，數(shù)據(jù)信息是經(jīng)濟社會發(fā)展的新動能，催生了新產(chǎn)業(yè)新業(yè)態(tài)的發(fā)展新模式。我國要在“十四五”期間建立“雙循環(huán)”新發(fā)展格局，須臾離不開以數(shù)據(jù)為核心的資源要素的新循環(huán)與新配置(2)“數(shù)據(jù)要素有助于提升資源配置效率，實現(xiàn)‘雙循環(huán)’新發(fā)展格局的供應(yīng)均衡，構(gòu)建和完善數(shù)字場景下的現(xiàn)代化全周期自主型生態(tài)產(chǎn)業(yè)鏈?！?參見王益民：《關(guān)于建立中國特色社會主義數(shù)據(jù)共有制的研究》，《行政管理改革》2022年第5期，第16-22頁)。《關(guān)于新時代加快完善社會主義市場經(jīng)濟體制的意見》提出，要“加強數(shù)據(jù)有序共享，依法保護個人信息”(3)中共中央國務(wù)院《關(guān)于新時代加快完善社會主義市場經(jīng)濟體制的意見》提出要“加快培育發(fā)展數(shù)據(jù)要素市場，建立數(shù)據(jù)資源清單管理機制，完善數(shù)據(jù)權(quán)屬界定、開放共享、交易流通等標(biāo)準(zhǔn)和措施，發(fā)揮社會數(shù)據(jù)資源價值。推進數(shù)字政府建設(shè)，加強數(shù)據(jù)有序共享，依法保護個人信息”。(參見中共中央國務(wù)院：《關(guān)于新時代加快完善社會主義市場經(jīng)濟體制的意見》，《人民日報》2020年5月19日第1版)。數(shù)據(jù)信息作為與國際社會交流發(fā)展的關(guān)鍵要素，“正在超越土地、勞動力、資本成為核心的生產(chǎn)驅(qū)動力，成為經(jīng)濟社會高質(zhì)量發(fā)展的關(guān)鍵生產(chǎn)要素”[3]。《中華人民共和國數(shù)據(jù)安全法》(以下簡稱“《數(shù)據(jù)安全法》”)第7條規(guī)定，國家保護個人數(shù)據(jù)有關(guān)權(quán)益，保障數(shù)據(jù)依法有序自由流動(4)《數(shù)據(jù)安全法》第7條規(guī)定：“國家保護個人、組織與數(shù)據(jù)有關(guān)的權(quán)益，鼓勵數(shù)據(jù)依法合理有效利用，保障數(shù)據(jù)依法有序自由流動，促進以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟發(fā)展?！?。在數(shù)據(jù)保護權(quán)益體系領(lǐng)域內(nèi)，個人信息是個人在社會里標(biāo)識自己、保護自己，建立自己與他人正當(dāng)合法聯(lián)系的重要工具，也是社會組織了解和識別每一個具體個體開展活動的依據(jù)[4]。法律規(guī)定信息主體對自己的信息數(shù)據(jù)，享有占有、使用、收益和處分等權(quán)能，享有信息數(shù)據(jù)的人格權(quán)、知情權(quán)和控制權(quán)。法律同時還規(guī)定，收集和使用他人數(shù)據(jù)信息，必須獲得信息所有權(quán)人的許可或同意，否則就要承擔(dān)相應(yīng)的違法侵權(quán)責(zé)任。凡違反法律、行政法規(guī)、部門規(guī)章有關(guān)公民個人信息保護的規(guī)定的，即為“違反國家有關(guān)規(guī)定”。我國已成為世界上第一個明確“將數(shù)據(jù)作為獨立生產(chǎn)要素納入國家發(fā)展戰(zhàn)略”的國家，傳統(tǒng)的財產(chǎn)權(quán)體系已經(jīng)不適合移植用來規(guī)范數(shù)據(jù)市場秩序。近年來不斷發(fā)生和出現(xiàn)的數(shù)據(jù)安全問題，既侵害了數(shù)據(jù)權(quán)人和消費者的合法權(quán)益，也危及了國家安全和社會公共利益。因而依據(jù)《民法典》和《數(shù)據(jù)安全法》規(guī)定，建立符合我國國情的數(shù)據(jù)所有權(quán)基本制度即“數(shù)據(jù)共有制度”刻不容緩。要通過數(shù)據(jù)共有制度明確數(shù)據(jù)確權(quán)和數(shù)據(jù)權(quán)利邊界，建立數(shù)據(jù)權(quán)利規(guī)則、規(guī)范數(shù)據(jù)交易過程，規(guī)制數(shù)據(jù)流通、數(shù)據(jù)許可行為；要建立一個合作、共治、負(fù)責(zé)任的數(shù)據(jù)規(guī)則體系，尤其要通過稅收手段和數(shù)據(jù)管理解決數(shù)據(jù)濫用問題，維護數(shù)據(jù)市場的公正和效率；要完善數(shù)據(jù)所有權(quán)保護制度、個人隱私權(quán)和個人信息權(quán)保護制度、數(shù)據(jù)生產(chǎn)要素按照貢獻大小參與分配制度。與此緊密相關(guān)的“禁止數(shù)據(jù)濫用”制度，是《民法典》第132條規(guī)定的一項民事權(quán)利規(guī)則(5)《民法典》第132條規(guī)定：“民事主體不得濫用民事權(quán)利損害國家利益、社會公共利益或者他人合法權(quán)益?！?。凡個人數(shù)據(jù)處理者和使用者違背“禁止數(shù)據(jù)濫用”規(guī)則，造成數(shù)據(jù)權(quán)利人損害的，必須承擔(dān)侵權(quán)責(zé)任。

(三)構(gòu)建個人信息“權(quán)利束”保護的工具性體系

個人信息保護體系是個人信息的“權(quán)利束”。由《民法典》《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)規(guī)制的個人信息保護體系，本質(zhì)上就是一個受法律保護的個人信息“權(quán)利束”。這個“權(quán)利束”是指“包括個人信息主體知情、決定、查詢、更正、復(fù)制、刪除等權(quán)能在內(nèi)的一組權(quán)利集合”[5]?！皺?quán)利束”實質(zhì)上是民事主體對個人享有的信息權(quán)利，依法進行自我控制、自我保護、自主決定的一種手段?！秱€人信息保護法》這種“權(quán)利束”的科學(xué)設(shè)計體現(xiàn)出鮮明的公法屬性，因而被稱為“數(shù)字時代公法秩序的基石”[6]。在科技迅猛發(fā)展和知識大爆炸的21世紀(jì)，信息的產(chǎn)生和再生成本很低，應(yīng)當(dāng)將信息視為一種新型公共資源。一經(jīng)進入“公知領(lǐng)域”“共享領(lǐng)域”的個人信息數(shù)據(jù)，就成為任何人均可以合法使用的公共資源，這就從客觀上決定了個人數(shù)據(jù)信息具有公共性和共享性。然而問題也就來了：個人數(shù)據(jù)信息究竟是否應(yīng)當(dāng)由個人來控制？沒有經(jīng)過信息權(quán)人同意是否就一律不得使用？否則就構(gòu)成對個人信息保護權(quán)的侵權(quán)？其實“個人控制在世界范圍內(nèi)并沒有上升為法律上的權(quán)利”[4]。因而單純靠個人的自我控制和自我保護是行不通的，“構(gòu)造并且維系這個法秩序格局的主體只能是國家”[5]。權(quán)利束并不是一項先在的民事權(quán)利集合[5]，有必要對個人信息權(quán)利束的法理基礎(chǔ)進行合理的界定。依據(jù)實體性權(quán)利的定性處置原則，《民法典》在私法上所設(shè)計的個人信息“權(quán)利束”，就從“規(guī)制工具”上為個人信息民事權(quán)益保障機制的構(gòu)建，尤其是從司法救濟途徑上為信息侵權(quán)的事后處置發(fā)揮了奠基性作用。國家賦予個人信息所有者制衡信息處理者的“規(guī)制工具”，有利于促使信息處理者正當(dāng)傳輸和合規(guī)使用數(shù)據(jù)信息?！秱€人信息保護法》把個人信息權(quán)作為新興公法權(quán)利的思路，確立了完整的個人信息權(quán)利保護體系[6]。個人信息“權(quán)利束”作為公法上的“工具性權(quán)利”，意味著國家通過法律規(guī)制進行賦權(quán)和建立法秩序。“權(quán)利束”公法保障的基本權(quán)能，是為信息權(quán)利人提供基礎(chǔ)性的、防御性的程序保護，有利于形成個人信息的公法保護與民法保護機制協(xié)同，從體制機制上彌補民法個案救濟模式的不足。

二、個人信息權(quán)保護的法律規(guī)制

(一)個人信息私法保護的法律規(guī)制

個人信息的屬性需要有一個明確的法律定位，非此便無法從私法上予以規(guī)制?！睹穹ǖ洹返?11條保留了原《民法總則》的規(guī)定，體現(xiàn)了《民法典》對個人信息私法保護的延續(xù)性。針對《民法典》確立的信息主體基本權(quán)益，應(yīng)當(dāng)對那些未明確的公共場所中的個人信息權(quán)益，特別是“無意入境者”的個人信息權(quán)益作出區(qū)別界定[7]?！睹穹ǖ洹芬?guī)定自然人對個人信息的利用有知情同意權(quán)，對個人信息享有依法查閱和復(fù)制權(quán)。當(dāng)發(fā)現(xiàn)個人信息有錯誤時，有向信息處理者提出異議、更正乃至刪除等權(quán)利。盡管《民法典》沒有使用“個人信息權(quán)”的法律用語，沒有像對待隱私權(quán)那樣苛刻嚴(yán)厲，但把它表述為“隱私權(quán)和個人信息保護”，這就從定性和定位上明確了個人信息的“權(quán)益”地位。這個規(guī)定不僅對個人信息保護具有里程碑意義，而且為《個人信息保護法》的制定出臺奠定了基礎(chǔ)?！秱€人信息保護法》規(guī)定了加密技術(shù)在個人信息保護中的作用，密碼的主要作用在于保護個人信息在網(wǎng)絡(luò)傳播中，免受截取、攻擊、篡改和冒用，我國已經(jīng)形成密碼領(lǐng)域的法律體系框架[8]。其實信息主體的許多損害是日積月累的結(jié)果。盡管信息主體無法指控每一個特定的損害者，但信息主體確實感受到個人隱私和個人信息遭受損害的苦惱以及危險性，事實上阻礙了社會成員之間的相互信賴和互動意愿，導(dǎo)致信息損害制度無法有效地實現(xiàn)應(yīng)有的預(yù)防功能。《個人信息保護法》擴張了《民法典》個人信息的保護范圍，譬如，《個人信息保護法》第28條就比《民法典》第1034條擴張了許多新的內(nèi)容，增加了“生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡”等，體現(xiàn)了習(xí)近平“以人民為中心”的發(fā)展思想。在大數(shù)據(jù)時代，由于數(shù)字技術(shù)將個人信息數(shù)據(jù)化，個人信息與數(shù)據(jù)的關(guān)系在數(shù)字時代幾成一體[9]。因而信息權(quán)利人在日益喪失對自己信息的自主掌控和自主決定，信息控制者和信息處理者變得越來越具有權(quán)威性，需要盡快“構(gòu)建個人信息權(quán)的完整體系”[10]。建議未來在相關(guān)法律修正的時候，確立抑或明確“個人信息權(quán)”的法律地位，給“個人信息權(quán)”一個確定的法律名分，這樣規(guī)制有利于加強法律對個人信息的保護力度和有效利用，使人民群眾在數(shù)字經(jīng)濟發(fā)展中享受更多的獲得感、幸福感、安全感[11]。

(二)個人信息正當(dāng)處置的法律規(guī)制

全國人大常委會在《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》中，正式使用和規(guī)定了“合法、正當(dāng)、必要原則”。隨后，不僅《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《網(wǎng)絡(luò)安全法》做出了類似的規(guī)定，就連《民法典》和《個人信息保護法》也都做出了具體的法律規(guī)定。至此，“合法、正當(dāng)、必要原則”，便成為個人信息處理的基本原則。其中，“合法原則”屬于信息處理的形式合法性范疇，“正當(dāng)原則”屬于信息處理的合目的性原則，“必要原則”包括禁止過度損害和禁止保障兩個方面。在“十四五”規(guī)劃實施乃至更長的時期內(nèi)，要嚴(yán)格適用“合法、正當(dāng)、必要原則”，即使是政府也不能以抽象的公共利益為名，隨意進行個人信息處理[12]。這樣做有利于彌補意思自治與契約自由的某些缺陷, 矯正個人信息處理者同信息所有者之間失衡的不平等態(tài)勢[12]，有效保護信息權(quán)人對其個人信息的“自主決定”權(quán)。《民法典》第1035條盡管沒有使用“知情權(quán)”“有權(quán)知悉”的表述，但是規(guī)定了處理個人信息的基本原則。隨后出臺的《個人信息保護法》第44條就對此做出了明確的法律規(guī)定：“個人對其個人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對其個人信息進行處理。”第7條、第8條則更具體地規(guī)定：“處理個人信息應(yīng)當(dāng)遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍?！薄睹穹ǖ洹泛汀秱€人信息保護法》的這些規(guī)制，都是為了“保護個人對其個人信息的自主決定”[13]。 “隱私權(quán)”與“個人信息保護”的本質(zhì)區(qū)別在于：隱私權(quán)為了保護個人生活的安寧而拒絕外人知曉自己的隱私，個人信息保護的目的不是為了拒絕外人知曉、不為人用，而是通過法律規(guī)定的“知情同意”途徑促進信息的融合利用。

(三)個人信息合法刪除的法律規(guī)制

“八二憲法”第38條規(guī)定“公民的人格尊嚴(yán)不受侵犯”[14]6，它事實上被賦予憲法基本權(quán)利一般條款的地位。我國人權(quán)條款于2004年入憲后，它便成為了基本的憲法權(quán)利，成為《個人信息保護法》“公民個人信息權(quán)的內(nèi)在根據(jù)”[6]。《民法典》第1037條規(guī)定“個人信息刪除權(quán)”，它既是人格權(quán)請求權(quán)的具體體現(xiàn)，也是實施目的限制原則的重要措施。如果屬于法律和行政法規(guī)規(guī)定的“保存期限”尚未屆滿，信息權(quán)人不得擅自行使刪除權(quán)，但信息處理者應(yīng)當(dāng)采取必要的安全保護措施；如果屬于信息處理者拒絕信息權(quán)利人行使刪除權(quán)請求的，信息權(quán)人可以向法院提起訴訟，以實現(xiàn)對刪除權(quán)的司法保護[15]。行使刪除權(quán)的主體是信息權(quán)利人，義務(wù)主體是個人信息處理者。有學(xué)者建議設(shè)置“個人信息遺忘權(quán)”，認(rèn)為這是國際社會通行的做法。筆者認(rèn)為在我國已經(jīng)設(shè)置“刪除權(quán)”的情勢下，沒有必要再規(guī)定“被遺忘權(quán)”[15]。盡管個人信息刪除權(quán)具有公法的屬性，侵害刪除權(quán)可能導(dǎo)致行政責(zé)任發(fā)生，但不宜據(jù)此將它認(rèn)定為是公法上的權(quán)利。個人信息刪除權(quán)是私法救濟的權(quán)利，當(dāng)信息權(quán)人遭受侵害時，可適用《民法典》的有關(guān)規(guī)定加以救濟[16]?！睹穹ǖ洹返?037條賦予信息權(quán)人“異議”和“更正”權(quán)，同樣是信息權(quán)人對其個人信息行使“自主決定”權(quán)的要素，也是當(dāng)今國際社會通行的做法。譬如，歐盟《通用數(shù)據(jù)保護條例》不僅規(guī)定了“更正權(quán)”的具體內(nèi)容，而且規(guī)定了“更正權(quán)”中數(shù)據(jù)處理者的“通知責(zé)任”。《通用數(shù)據(jù)保護條例》的適用范圍，包括位于歐盟并處理個人信息的企業(yè)和常設(shè)機構(gòu)，還包括在歐盟提供商品和服務(wù)并處理歐盟個人數(shù)據(jù)的非歐盟企業(yè)[10]。人們通常所說的個人信息“異議權(quán)”，是指信息權(quán)人對信息處理者所掌握的不正確、不全面的信息，有權(quán)提出異議并予以改正的權(quán)利[10]。從一定意義上說，個人信息異議、更正和刪除權(quán)的有效實現(xiàn)，既是合法處理和利用個人信息的先決條件，也是更好地、有效地維護個人合法權(quán)益的關(guān)鍵性要素。這里重點探討一下“個人數(shù)據(jù)刪除權(quán)”。信息權(quán)人啟動刪除權(quán)的一個最直接的動因，是個人信息權(quán)益遭遇到違法行為的嚴(yán)重侵害，或者事實上超越了事先約定的范圍，信息權(quán)人因之而要求信息處理者停止對信息的處理并予以刪除。信息處理者拒不刪除的，必須依法承擔(dān)侵權(quán)責(zé)任。信息處理者對信息權(quán)人個人信息超期保存，未履行刪除義務(wù)的也構(gòu)成侵權(quán)。《個人信息保護法》第45條之所以規(guī)定查閱權(quán)和復(fù)制權(quán)(6)《個人信息保護法》第45條規(guī)定：“個人有權(quán)向個人信息處理者查閱、復(fù)制其個人信息”，“個人請求查閱、復(fù)制其個人信息的，個人信息處理者應(yīng)當(dāng)及時提供。”，是因為查閱權(quán)和復(fù)制權(quán)的正當(dāng)行使，是信息權(quán)人決定是否對個人信息實施更正、修改乃至刪除的根據(jù)。該法第17條規(guī)定信息處理者的“告知”義務(wù)，即信息處理者應(yīng)當(dāng)將對個人信息的處理情況及時告知信息權(quán)人。在數(shù)字化和數(shù)字經(jīng)濟時代，應(yīng)當(dāng)允許信息處理者根據(jù)情勢變更原則改變或增加新的處理目的，但是“應(yīng)當(dāng)重新取得個人同意”[12]。建議在未來法律修改時對“不同意就不提供服務(wù)”，強行“取得個人同意”等違反自愿原則的效力給予否定評價[17]?？傊秱€人信息保護法》完善了《民法典》“刪除權(quán)的請求情形并補充了例外規(guī)定，同時要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機制，進一步完善了個人信息在信息處理中的權(quán)利”[13]。

(四)侵害個人信息權(quán)益的法律規(guī)制

《個人信息保護法》第73條規(guī)定的“個人信息處理者”，是指“在個人信息處理活動中自主決定處理目的、處理方式的組織、個人”?！扒趾€人信息權(quán)行為”，是指信息處理者侵害個人信息權(quán)益造成損害而應(yīng)承擔(dān)民事責(zé)任的違法行為[18]?！秱€人信息保護法》第69條規(guī)定了侵權(quán)責(zé)任，即信息處理者處理個人信息造成個人信息權(quán)益損害的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任(7)《個人信息保護法》第69條規(guī)定：“處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。”。然而《個人信息保護法》除了第69條是明文規(guī)定的民事責(zé)任條款外，其他條款似乎沒有明確提到個人信息權(quán)益的民事責(zé)任問題[18]。其實《個人信息保護法》第69條只是規(guī)定了“侵權(quán)損害賠償責(zé)任”，關(guān)于個人信息權(quán)益保護民事責(zé)任規(guī)定，事實上已貫穿于這部法律的始終，需要依據(jù)《民法典》的規(guī)定對其予以解讀和細(xì)分[18]?！睹穹ǖ洹返?164條規(guī)定，民事責(zé)任保護對應(yīng)的是權(quán)利人所享有的侵權(quán)請求權(quán)和人格請求權(quán)，主要是對個人信息權(quán)益遭受損失的經(jīng)濟賠償；人格請求權(quán)對應(yīng)的民事責(zé)任是停止侵害、排除妨礙、消除危險、消除影響、恢復(fù)名譽、賠禮道歉。設(shè)置侵權(quán)請求權(quán)保護個人信息權(quán)益的主要目的是救濟損害，它的最大優(yōu)勢和特點是恢復(fù)民事權(quán)益的完滿狀態(tài)[18]。侵權(quán)責(zé)任的歸責(zé)原則是侵權(quán)法的靈魂和核心，是保護私權(quán)利與保障民事主體利益平衡的校正器。依據(jù)《民法典》第1165條、第1166條的規(guī)定，民事責(zé)任的歸責(zé)原則主要包括“過錯責(zé)任原則”“過錯推定原則”和“無過錯責(zé)任原則”三種。適用“過錯責(zé)任原則”的是一般侵權(quán)民事責(zé)任，適用“過錯推定原則”或者“無過錯責(zé)任原則”的，必須依照法律的特別規(guī)定進行，法律沒有明確規(guī)定的不可以適用?！睹穹ǖ洹泛汀秱€人信息保護法》依據(jù)個人信息權(quán)益保護的特別需要，規(guī)定對侵權(quán)責(zé)任者適用“過錯推定原則”；行為人有證據(jù)證明自己“沒有過錯”的，可以減輕或者免除侵權(quán)責(zé)任。

三、個人信息權(quán)保護的法治路徑

(一)已經(jīng)公開的個人信息適用刑法保護

我國法律規(guī)定的公開的個人信息，是指作為信息主體的自然人自行公開的個人信息抑或其他以合法方式予以公開的個人信息[19]。在實踐中很難準(zhǔn)確地把握個人信息公開的合目的性。譬如，在過去的司法實務(wù)中，信息處理者通過某些公開渠道獲取公民個人信息，從中整理、篩選出個人信息加以出售的，常常被法院判決構(gòu)成侵犯公民個人信息罪[20]。隨著信息處理技術(shù)的快速發(fā)展和普遍應(yīng)用，從互聯(lián)網(wǎng)海量數(shù)據(jù)中收集、篩選、配對個人信息變得十分容易，被認(rèn)定為非法獲取和處理的個人信息，很可能在客觀上已處于被公開的狀態(tài)。如果在信息已經(jīng)公開的狀態(tài)下，繼續(xù)對信息處理者科以合目的性要求和義務(wù)規(guī)定，有可能壓縮信息自由的空間，因而合理地界定處理已公開個人信息行為刑事責(zé)任邊界十分重要[20]。對已公開個人信息的刑事處理，對保護公民個人信息權(quán)益固然重要；但是它關(guān)涉到能否營造一種自由獲取、處理、流通信息的良好社會氛圍[20]。這里需要指出的是，隨著《民法典》的實施，司法機關(guān)對這個問題所持的態(tài)度和立場，已經(jīng)開始發(fā)生重大轉(zhuǎn)變。《民法典》第1036條規(guī)定，“合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息”，“行為人不承擔(dān)民事責(zé)任”；“但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外”?！秱€人信息保護法》第27條對已公開個人信息的處理，也做出了同樣的法律規(guī)定，所有這些都是需要在未來的刑事責(zé)任判斷中加以考慮的。我國學(xué)術(shù)理論界認(rèn)為，在司法實踐中，權(quán)利人公開相關(guān)信息的目的不易確定，信息處理者獲取、提供、處理信息的目的也很難查明，要實現(xiàn)二者的契合更是難上加難[20]。即是說在個人信息已經(jīng)客觀公開的場合，是否需要對個人信息進行嚴(yán)格的實質(zhì)保護？是否需要繼續(xù)對這類行為進行嚴(yán)厲的刑事處罰？有必要依法弄清楚和回答，其侵犯了信息權(quán)人的何種法益[20]?因為信息公開不只是服務(wù)于某些公共利益，實際上也與信息自由緊密聯(lián)系在一起。在科學(xué)技術(shù)突飛猛進的大數(shù)據(jù)時代，公民個人信息實際上就是經(jīng)濟社會發(fā)展的核心競爭力。因此，不能過度壓縮其他公民自由獲取已公開信息的空間，對已公開信息的收集處理，客觀上帶來了很大的積極社會效益[20]。因而司法機關(guān)對侵犯公民個人信息罪的認(rèn)定，需要堅持隱私權(quán)標(biāo)準(zhǔn)、識別性標(biāo)準(zhǔn)和個人信息權(quán)標(biāo)準(zhǔn)并舉。“如果不確定統(tǒng)一標(biāo)準(zhǔn)，而是差異化對待獲取、處理、再次提供已公開個人信息等行為，可能會引發(fā)法律適用上的不統(tǒng)一?！盵20]司法機關(guān)判斷和處理已公開個人信息行為，到底是否構(gòu)成侵犯公民個人信息罪？關(guān)鍵在于弄清楚該處理行為是否具有“非法性”以及是否“違反國家有關(guān)規(guī)定”[20]。這并不是法律和司法機關(guān)給信息處理者和信息獲得者頒發(fā)“免責(zé)令”和“免罪符”，而是通過平衡保護個人信息權(quán)和公眾信息自由的方式，盡量妥善地界定“合理處理”的實質(zhì)性內(nèi)涵?！睹穹ǖ洹返?036條與《個人信息保護法》第13條、第27條，分別從免責(zé)事由與個人信息處理規(guī)則的角度，對公開的個人信息處理做出了具體的規(guī)范。處理者只有合理處理公開的個人信息，才能免于承擔(dān)民事責(zé)任；除非法律或行政法規(guī)另有規(guī)定，其告知義務(wù)并不當(dāng)然免除[19]。在“十四五”規(guī)劃實施期間乃至更長的時期內(nèi)，需要從個人層面、企業(yè)層面和社會層面多措并舉，創(chuàng)建打擊信息犯罪的新機制，增強針對性攻堅克難能力，以確保侵權(quán)救濟的實現(xiàn)[21]。

(二)追究個人信息犯罪的刑事責(zé)任

侵犯公民個人信息罪是典型的法定犯，理解構(gòu)成侵犯公民個人信息罪的核心要素，是必須從概念上明晰侵犯的是“公民個人信息”。《中華人民共和國刑法》(以下簡稱“《刑法》”)第253條之一的規(guī)定，從犯罪行為的性質(zhì)上，認(rèn)定其為“向他人出售或者提供公民個人信息”[14]1589，使得侵犯公民個人信息犯罪的定性成為鐵板釘釘?shù)氖聦??！缎谭ā返?53條之一的規(guī)定，又依據(jù)犯罪行為情節(jié)的輕重規(guī)定了定罪量刑的處罰標(biāo)準(zhǔn)(8)《刑法》第253條之一規(guī)定：“違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金?！?。這里問題的要害在于：如何對公民個人信息犯罪對象予以合理的闡釋和準(zhǔn)確圈定？如何準(zhǔn)確理解“情節(jié)嚴(yán)重”的基本含義？最高人民法院和最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱“《解釋》”)，使這個問題得到初步解決。即是說《解釋》采取“混合認(rèn)定模式”，從信息類型、信息數(shù)量、信息流向及信息用途、違法所得數(shù)額、主體身份、主觀要素等方面，對“情節(jié)嚴(yán)重”做出了具體定性和定量的規(guī)定。《個人信息保護法》以保護信息權(quán)利人人格權(quán)益為目的，在該法第13條和第72條規(guī)定，無論信息處理者是國家機關(guān)、法人組織抑或個人，也無論處理活動是屬于收集、存儲、使用、加工，還是傳輸、提供、公開、刪除等，只要不屬于《個人信息保護法》規(guī)定的排除情形，都必須遵守相關(guān)法律規(guī)定，只有在合理的范圍內(nèi)處理公開的個人信息，才能依法免除刑事責(zé)任追究。個人信息保護、網(wǎng)絡(luò)安全立法和司法解釋，從法律體系上已經(jīng)比較完備了。但是要真正使用好這個銳利武器，還有諸多理論和實踐上的問題需要深入探討。譬如，需要把“公開信息”和“關(guān)聯(lián)信息”區(qū)分開，如果把“關(guān)聯(lián)信息”也一股腦地納入刑法追究范圍，就會認(rèn)定過寬而阻礙信息有效利用。又譬如，《刑法》第96條對“違反國家有關(guān)規(guī)定”的規(guī)制，明確規(guī)定其范圍為“違反全國人民代表大會及其常務(wù)委員會制定的法律和決定，國務(wù)院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令”[14]1567，但不包括部門規(guī)章。這就需要在司法實踐中，不斷加深對相關(guān)規(guī)制的理解、不斷完善定罪量刑標(biāo)準(zhǔn)[22]。如果繼續(xù)把部門規(guī)章也囊括進“國家有關(guān)規(guī)定”，勢必有違反《刑法》的謙抑性原則和罪刑法定原則之嫌[22]?！督忉尅穼⑦`法所得5 000元以上規(guī)定為“情節(jié)嚴(yán)重”；將“造成被害人死亡、重傷、精神失常或者綁架等嚴(yán)重后果”，“造成重大經(jīng)濟損失或者惡劣社會影響”規(guī)定為“情節(jié)特別嚴(yán)重”[23]。侵犯公民個人信息所得信息的用途抑或目的，也是構(gòu)成“情節(jié)嚴(yán)重”的重要要素，在一定范圍內(nèi)把主觀不法納入情節(jié)要素，有助于對刑法規(guī)范的解釋和適用[23]。

(三)個人信息權(quán)益保護適用公益訴訟

“法益保護”原則是《刑法》的核心概念，它既是刑罰規(guī)范的正當(dāng)化基礎(chǔ)，也是刑法解釋的出發(fā)點。《刑法修正案(九)》以“侵犯公民個人信息罪”的罪名，取代原來的“出售或者提供公民個人信息罪”[14]1589和“非法獲取公民個人信息罪”[14]1589兩個罪名，進一步擴大了適用主體的范圍，這是我國立法在公民個人信息保護上的一大突破和跨越[24]。法益的《憲法》關(guān)聯(lián)性是說明《刑法》規(guī)范正當(dāng)性的基礎(chǔ)，把《刑法》保護法益的概念與《憲法》基本權(quán)利的保護聯(lián)系起來思考，進而把《刑法》保護法益根植于《憲法》基本權(quán)利的保護，在當(dāng)下是一種值得普遍提倡的方式。因為它“可以避免法益變成一個實定刑法下的概念，進而限制立法者對法益內(nèi)涵恣意創(chuàng)設(shè)的自由”[24]。個人信息權(quán)益兼具人格利益和財產(chǎn)利益、并存?zhèn)€人利益與公共利益，傳統(tǒng)的民事司法救濟方式很難解決這樣的棘手問題。于是《個人信息保護法》在第七章“法律責(zé)任”中，采取行政責(zé)任、刑事責(zé)任和民事責(zé)任相結(jié)合的辦法，為信息權(quán)益受害人提供全面的法律保護[25]。即是說，依據(jù)《個人信息保護法》第50條的規(guī)定，“個人信息處理者應(yīng)當(dāng)建立便捷的個人行使權(quán)利的申請受理和處理機制”。這條規(guī)定實質(zhì)上為個人信息權(quán)利保護，提供了一條新的救濟渠道。在個人信息處理者拒絕個人行使權(quán)利請求時，信息權(quán)益受害人“可以依法向人民法院提起訴訟”。在確定侵害個人信息的責(zé)任認(rèn)定問題上，依據(jù)“過錯責(zé)任推定”原則的規(guī)定，如果侵權(quán)行為人不能證明自己的行為實屬“沒有過錯”的，應(yīng)當(dāng)承擔(dān)侵權(quán)賠償責(zé)任。因此，《個人信息保護法》第69條規(guī)定：“處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任?！薄睹穹ǖ洹穼€人信息侵權(quán)也采取了“過錯責(zé)任推定”的原則。采取“過錯責(zé)任推定”原則有利于減輕受害人的舉證負(fù)擔(dān)，也有利于強化信息處理者的舉證義務(wù)?！秱€人信息保護法》還引入了“公益訴訟制度”(9)《個人信息保護法》第70條規(guī)定：“個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權(quán)益的，人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟?！保@是對個人隱私和個人信息侵權(quán)予以救濟的重大制度創(chuàng)新。個人信息權(quán)益保護適用公益訴訟的重大制度安排，提升了個人信息保護的力度，從根本上解決了利用互聯(lián)網(wǎng)進行個人信息侵權(quán)的治理難題，為規(guī)范非法處理個人信息侵害眾多個人權(quán)益的行為提供了公益訴訟的法律依據(jù)[26]。在“十四五”期間乃至更長的時期內(nèi)，需要從救濟程序上建立健全相應(yīng)的投訴處理機制，逐漸形成多維并進的程序救濟體系[27]。尤其要從侵權(quán)責(zé)任角度思考有條件承認(rèn)“預(yù)期侵權(quán)制度”，正視和肯定被侵權(quán)的風(fēng)險并予以賠償，以此完成個人信息侵權(quán)損害救濟[28]。需要明確地提醒和慎重指出的是行政責(zé)任、刑事責(zé)任的著眼點，是通過行政處罰抑或刑罰的途徑和方式，制裁實施違法行為侵害個人信息權(quán)益的組織或者個人，罰款、罰金等都不是對受到損害的個人的給付，而是依法上繳國庫。民事責(zé)任既為國家負(fù)責(zé)又為受害者負(fù)責(zé)，所有通過制裁手段獲得的財產(chǎn)賠償款直接給予受害人，以救濟和填補所遭受的財產(chǎn)損失和精神損害[18]。