■ 吳燁 公保端知

蘭州大學(xué)法學(xué)院 蘭州 730000

1 個人信息保護(hù)的中國問題

隨著互聯(lián)網(wǎng)技術(shù)的普及，越來越多的人傾向于通過網(wǎng)絡(luò)獲取和分享信息。我國龐大的人口基數(shù)和網(wǎng)民群體，必然催生出巨大的用戶體量及龐大的互聯(lián)網(wǎng)平臺。以微信（WeChat）為例，截至2022 年12 月31 日，該應(yīng)用程序的合并月活躍用戶數(shù)已超過13 億[1]。為注冊和使用此類平臺，用戶往往需要提供的手機(jī)號碼、地理位置、銀行卡號等諸多信息一般被存儲在公司服務(wù)器中。這意味著人們在享受互聯(lián)網(wǎng)便利的同時，海量的個人信息被相關(guān)機(jī)構(gòu)收集及利用，這關(guān)系著公民利益及社會公共利益能否得到應(yīng)有的保護(hù)。

在上述背景下，我國個人信息泄露和濫用問題尤為突出，主要體現(xiàn)在個人信息的非法采集和濫用等方面。部分信息處理者未盡數(shù)據(jù)安全保障義務(wù)，數(shù)據(jù)治理手段不完善且技術(shù)手段落后，導(dǎo)致大范圍的信息泄漏事件時有發(fā)生。此外，部分企業(yè)基于商業(yè)利益，傾向于過度收集甚至倒賣用戶信息。作為我國首部關(guān)于保護(hù)個人信息權(quán)益的系統(tǒng)性專門法律，《中華人民共和國個人信息保護(hù)法》（以下簡稱《個保法》）于2021 年11 月1日起實施?！秱€保法》立足我國實際情況并借鑒國際經(jīng)驗，從個人信息處理的原則和規(guī)則以及權(quán)利義務(wù)等方面，建立具有中國特色的規(guī)范體系。然而，僅靠一部法律并不能夠解決所有的個人信息保護(hù)問題，更何況其在實際實施中仍然存在諸多不足之處。尤其是《個保法》對于個人信息的定義、采集、使用、共享、公開等方面的規(guī)定比較籠統(tǒng)，不僅缺乏具體的實施細(xì)則和明確的監(jiān)管措施，而且在司法實踐中，往往還會涉及《中華人民共和國民法典》（以下簡稱《民法典》）有關(guān)規(guī)則適用、國家介入的正當(dāng)性基礎(chǔ)問題、公民維權(quán)意識等。

為解決上述問題，本文在剖析個人信息的法律內(nèi)涵和構(gòu)成要素之基礎(chǔ)上，以我國個人信息保護(hù)的實定法規(guī)則作為基本框架，以司法案例、域外立法等作為參考，構(gòu)建符合中國式現(xiàn)代化的個人信息保護(hù)法律方案。

2 數(shù)字時代個人信息保護(hù)的機(jī)理與特征

2.1 個人信息保護(hù)的機(jī)理

數(shù)字時代，個人信息被廣泛地收集、使用和交換，這使用戶的個人隱私面臨著各種風(fēng)險。安置于街頭四處采集各種數(shù)據(jù)的云計算系統(tǒng)，以各種名目獲取“人臉識別”信息的App，通過AR、VR 技術(shù)建立的各種虛擬現(xiàn)實應(yīng)用……這些原本旨在使人們生活更美好的技術(shù)，現(xiàn)在卻成了窺探生活隱私、盜取個人信息的工具[2]。唯有在個人信息得到有效保護(hù)的前提之下，用戶才能更放心地使用互聯(lián)網(wǎng)服務(wù)，進(jìn)而促進(jìn)技術(shù)創(chuàng)新和數(shù)字社會的發(fā)展。

首先，個人信息與隱私權(quán)密切相關(guān)。隱私與個人信息的聯(lián)系之處在于兩者之間的權(quán)利主體都是自然人，權(quán)利客體有一定的交錯性，侵害后果具有競合性[3]。正因如此，《民法典》在人格權(quán)編中將隱私權(quán)和個人信息保護(hù)放到同一章節(jié)予以規(guī)定，說明立法者也可能認(rèn)為兩者之間存在一定的關(guān)聯(lián)性[4]。此外，在《個保法》出臺之前，我國的司法實踐中將大量既屬于隱私權(quán)客體又是個人信息的侵權(quán)案件納入隱私權(quán)保護(hù)的范疇。因此，雖然個人信息和隱私的保護(hù)并不完全相同，但是以往能夠用隱私權(quán)理論實現(xiàn)對部分個人信息保護(hù)的經(jīng)驗表明，加強(qiáng)個人信息的保護(hù)也有助于保護(hù)個人隱私。

其次，個人信息的保護(hù)和數(shù)字身份的構(gòu)建密切相關(guān)。數(shù)字時代的到來，使越來越多的個人信息得以電子化的形式存在，從而構(gòu)成了個人的數(shù)字化身份。與傳統(tǒng)的身份相比，數(shù)字身份拓展了人際交往的時間和空間。與此同時，技術(shù)的發(fā)展也給人們帶來了在虛擬世界中的種種“身份危機(jī)”。例如，在比特幣的交易中，當(dāng)事人通過區(qū)塊鏈密鑰系統(tǒng)可以實現(xiàn)“身份”識別，而這與現(xiàn)實身份截然不同[5]。智能合約具有跨國界性，難以識別對方當(dāng)事人的真實身份，其容易成為當(dāng)事人逃避監(jiān)管的技術(shù)工具[6]。個人信息是構(gòu)成數(shù)字身份的基礎(chǔ)，對此加強(qiáng)保護(hù)，有助于數(shù)字身份構(gòu)建的自主性和完整性。

最后，個人信息的保護(hù)對維護(hù)公共利益具有重要意義。數(shù)據(jù)作為一種新型生產(chǎn)要素的重要性地位正日益凸顯。個人信息是數(shù)據(jù)的基礎(chǔ)，如果個人信息得到妥善保護(hù)，那么公眾將更愿意積極參與數(shù)字世界的活動。這種信任的建立有利于促進(jìn)數(shù)字經(jīng)濟(jì)和信息產(chǎn)業(yè)的健康發(fā)展，為國家經(jīng)濟(jì)增長和創(chuàng)新提供有力支持。

2.2 個人信息保護(hù)的特征

個人信息的收集、使用、交換雖然不是現(xiàn)代社會獨有的現(xiàn)象，但是傳統(tǒng)社會受制于緩慢的人員和信息流動，當(dāng)時并不存在保護(hù)個人信息的迫切需求。19 世紀(jì)末期以來，隨著大眾新聞傳媒的迅速發(fā)展，個人信息的處理愈發(fā)和個人私生活的安寧密切相關(guān)，因此，國際上的個人信息保護(hù)，分別出現(xiàn)了以美國為代表的隱私權(quán)保護(hù)思路下的“信息隱私權(quán)”，以及以德國為代表的一般人格權(quán)保護(hù)思路下的“信息自主或者信息自決權(quán)”[7]。進(jìn)入數(shù)字時代，個人信息的保護(hù)和以往相比又呈現(xiàn)出以下3 個方面的特征。

第一，數(shù)字時代的個人信息保護(hù)具有外部性特征。傳統(tǒng)的隱私權(quán)保護(hù)法律制度側(cè)重于強(qiáng)調(diào)保護(hù)個人隱私權(quán)，較少考慮個人信息的保護(hù)與利用問題，僅在涉及公眾人物或者公眾利益的情況下才有例外規(guī)則[8]。數(shù)字時代借助于個人信息處理技術(shù)，一方面，可以對用戶的行為進(jìn)行更精確的評價和預(yù)測，這使個人面臨成為“透明人”的風(fēng)險；另一方面，又可以廣泛地應(yīng)用于商業(yè)運(yùn)營和公共管理優(yōu)化等方面，給人們帶來更便捷的服務(wù)，這使個人信息無法也不應(yīng)被個人獨占。

第二，數(shù)字時代的個人信息保護(hù)處理的是不平等主體之間的關(guān)系。相較于信息主體，信息處理者在信息、技術(shù)等方面具有明顯的優(yōu)勢，可以對信息主體的行為進(jìn)行一定程度的控制和施加影響，而信息主體往往對此缺乏充分的認(rèn)知。正因如此，個人信息的保護(hù)不能單純地依靠個人維權(quán)，而是需要通過一系列特殊的制度安排，矯正兩者之間在事實上的不平等。

第三，數(shù)字時代的個人信息保護(hù)具有跨區(qū)域、跨國界特征。當(dāng)前，隨著互聯(lián)網(wǎng)的全球普及，個人信息保護(hù)不再是一個國家或者地區(qū)獨有的工作，這主要體現(xiàn)在以下2 個方面。一方面，世界各國（地區(qū)）都可能面臨著個人信息的不當(dāng)處理對本國（地區(qū)）公民的人身財產(chǎn)權(quán)利，甚至國家（地區(qū)）安全和社會穩(wěn)定造成負(fù)面影響的困境。全球多數(shù)國家目前已經(jīng)制定了數(shù)據(jù)隱私保護(hù)的法律[9]。另一方面，在全球化背景下，個人信息往往會跨越國（邊）界進(jìn)行收集、使用和存儲，這使個人信息保護(hù)面臨著如何協(xié)調(diào)不同立法之間的差異問題。因此，研究數(shù)字時代的個人信息保護(hù)，既需要立足于中國的國情，重視包括司法判例在內(nèi)本土經(jīng)驗的總結(jié)；也要善于借鑒國際上的有益經(jīng)驗，以彌補(bǔ)我國個人信息保護(hù)中存在的不足。

3 個人信息的雙重內(nèi)涵：個體屬性與社會屬性

個人信息是可以識別特定自然人特征的信息，不僅包括姓名、出生日期等靜態(tài)的個人屬性信息，還包括互聯(lián)網(wǎng)上的社交人設(shè)、網(wǎng)絡(luò)評價等動態(tài)的社會屬性信息。因此，個人信息具有個體屬性與社會屬性之雙重性質(zhì)。雖然這兩種屬性并不相同，但往往相互交織作用，形成了個人信息的多重面向。

3.1 個人信息的個體屬性及其保護(hù)模式

個人信息的個體屬性通常是指姓名、住址、健康狀況等個人特征。這類信息既屬于個人信息，也有可能是個人隱私?！睹穹ǖ洹坊跈?quán)利不得減損和人格尊嚴(yán)高于私法自治的保護(hù)原則，規(guī)定個人信息中的私密信息，應(yīng)該優(yōu)先適用隱私保護(hù)規(guī)則[10]。對于具有個體屬性的私密信息，當(dāng)隱私權(quán)的有關(guān)法律規(guī)則缺失時，需要適用個人信息保護(hù)的相關(guān)規(guī)則。對于具有個體屬性的個人信息，其保護(hù)模式可以分為以下3 個方面。

第一，從個人信息的收集角度而言，為使個人充分知情，信息處理者應(yīng)當(dāng)以完整的形式告知信息主體。同時，為了增加告知內(nèi)容的可讀性，應(yīng)當(dāng)以通俗易懂的方式對擬收集的個人信息范圍和目的、與哪些第三方共享個人信息、會對信息主體造成哪些影響（如有）等重要內(nèi)容承擔(dān)提示說明義務(wù)[11]。此外，個人信息的收集，還應(yīng)當(dāng)根據(jù)不同場景獲得個人的明示，以及單獨或書面的同意。

第二，從個人信息的利用及共享的角度而言，原則上應(yīng)當(dāng)禁止未經(jīng)同意的信息處理。在確有收集需要的情況下，一方面，在向用戶履行告知義務(wù)的過程中，應(yīng)該明確約定共享方的義務(wù)和責(zé)任，且個人信息的共享應(yīng)當(dāng)遵循《個保法》所確定的合法、正當(dāng)、必要原則之限制；另一方面，除非經(jīng)過個人的特別授權(quán)，否則被共享方處理個人信息的權(quán)利范圍，僅局限于信息主體的初次授權(quán)，不得隨意擴(kuò)大授權(quán)范圍[12]。

第三，從個人信息存儲的角度而言，應(yīng)當(dāng)采取和有關(guān)風(fēng)險相匹配的技術(shù)保障。例如，使用加密、分開存儲等方式確保個人信息的保密性、完整性和可用性；在個人信息的處理目的實現(xiàn)時，合理的期限內(nèi)刪除或者做匿名化處理；不幸發(fā)生個人信息的安全事件的，應(yīng)及時以適當(dāng)途徑向個人告知安全事件的基本情況、已采取和將采取的措施、個人可自主防范的建議等。

3.2 個人信息的社會屬性及其保護(hù)模式

個人信息的社會屬性是指個人在社會中的背景、人際關(guān)系、經(jīng)濟(jì)狀況等外在的、變動的屬性。與個體屬性相比，社會屬性的保護(hù)更多考慮的是社會公共利益，而非個人控制。以“被遺忘權(quán)”為例，當(dāng)歐盟引入“被遺忘權(quán)”后，諸多美國學(xué)者認(rèn)為允許他人刪除不利于自身的信息，會極大地削弱言論自由的價值[13]。因此，對于具有社會屬性的個人信息，其保護(hù)模式可以分為以下2 個方面。

第一，從個人信息收集角度而言，信息處理者在履行告知義務(wù)時，雖然同樣需要明確說明數(shù)據(jù)收集、使用的目的和范圍，但是在獲取信息主體的同意時，可以依據(jù)不同場景構(gòu)建靈活應(yīng)用概括式授權(quán)、默示同意等具有差異化的同意模式。對此，實踐中一種常見的具體應(yīng)用形式是“告知-退出”機(jī)制。在“朱燁訴百度公司隱私權(quán)糾紛”（南京市中級人民法院2014 寧民終字第5028 號判決書）、“郭某某訴淘寶公司案”（杭州互聯(lián)網(wǎng)法院2021 浙0192 民初5626 號判決書）中，法院都認(rèn)可該機(jī)制的合法性。

第二，從個人信息的利用及共享的角度而言，為促進(jìn)數(shù)據(jù)要素的自由流動，應(yīng)當(dāng)在個體利益、公共利益和商業(yè)利益之間尋求平衡。例如，在合理的利用范圍內(nèi)，數(shù)據(jù)利用的第三方只需得到信息處理者的同意即可。對此，在司法實踐中亦體現(xiàn)出該利益平衡思維。譬如，在“大眾點評訴百度案”（上海知識產(chǎn)權(quán)法院2016 滬73 民終242號判決書）中，法院認(rèn)為，“百度地圖”向用戶提供來自“大眾點評”的餐飲類信息，并不違反Robots 協(xié)議，但這并不意味著其可以任意使用個人信息，應(yīng)以公認(rèn)的商業(yè)道德和誠實信用原則為限。

3.3 個體屬性與社會屬性的聯(lián)動關(guān)系

個人信息的個體屬性與社會屬性存在區(qū)別和聯(lián)系。兩者的區(qū)別在于，前者主要涉及個人內(nèi)在的特征和差異，具有專屬性、固有性、唯一性的特點，不會輕易隨著時間的改變而發(fā)生動態(tài)的變化；后者則主要涉及個人在社會中所處的位置和角色，是人在社會活動的過程中獲得的屬性。同時，個人信息的個體屬性和社會屬性也具有密切的關(guān)系，前者對后者具有一定的制約作用，而后者也會影響前者的發(fā)展和變化。

如上所述，雖然在個人信息保護(hù)措施方面，無論個體屬性還是社會屬性都遵循相同的基本原則和標(biāo)準(zhǔn)，如知情同意、目的明確、處理方式公開透明等，但是在實踐中，其權(quán)利保護(hù)和利益平衡卻存在不同之處。個體屬性更多的是關(guān)注個人隱私權(quán)、自由選擇權(quán)等方面的保護(hù)，而社會屬性更多的是關(guān)注公共利益、公平正義等方面的保護(hù)。因此，對于不同類型的個人信息，需要采取不同的保護(hù)措施和管理機(jī)制：對于偏向于個體屬性的個人信息，應(yīng)該采取更為嚴(yán)格的保護(hù)措施；而對于偏向于社會屬性的個人信息，則需要考慮更多的利益平衡和公共利益的原則。

4 個人信息保護(hù)的中國法框架：私法路徑與公法路徑

依托我國的法律框架，個人信息保護(hù)路徑可以區(qū)分為私法路徑和公法路徑。其中，私法路徑是指個人通過民事訴訟等途徑，依據(jù)《民法典》等相關(guān)法律規(guī)定，追究有關(guān)主體的法律責(zé)任。公法路徑是指公權(quán)力機(jī)關(guān)通過行政干預(yù)的方式，對違反個人信息處理規(guī)定的網(wǎng)絡(luò)運(yùn)營者或其他相關(guān)方進(jìn)行監(jiān)管和處罰。私法路徑和公法路徑是相輔相成的關(guān)系，兩者共同推動個人信息保護(hù)的深入開展。

4.1 私法路徑：“可問責(zé)”的權(quán)利救濟(jì)模式

4.1.1 《民法典》與《個保法》的關(guān)系及區(qū)別 個人信息權(quán)益，是利益束而非單一的權(quán)利?！睹穹ǖ洹肥且徊亢w了所有民事權(quán)利及民事權(quán)益的基礎(chǔ)法，個人信息權(quán)益屬于該法調(diào)整的范疇；《個保法》是個人信息保護(hù)的專門性法律，是《民法典》有關(guān)規(guī)定的延伸?！睹穹ǖ洹返?034 ～1039 條關(guān)于個人信息的條款，是立法者對個人信息的內(nèi)涵、個人信息的解釋、個人信息的收集使用邊界做出的相對完善的規(guī)范[14]。《個保法》對《民法典》有關(guān)個人信息的內(nèi)容進(jìn)行了更具體的規(guī)定。譬如，《民法典》第1035 條“處理個人信息的，除非法律、行政法規(guī)另有規(guī)定，應(yīng)當(dāng)征得自然人或者監(jiān)護(hù)人的同意”是信息處理者處理個人信息的原則性條款，《個保法》第13 條則對同意的例外情形從“三個必須”和“兩個合理范圍”做了細(xì)化。另外，《民法典》上對個人信息保護(hù)作出規(guī)定，表明了法律對人格尊嚴(yán)和自由的尊重，以及應(yīng)當(dāng)關(guān)注自然人民事權(quán)益和與信息自由之間權(quán)衡的立法考量[15]?！秱€保法》是保護(hù)個人信息權(quán)益的具體法律，是人格權(quán)保護(hù)的重要組成部分。

《民法典》和《個保法》之間也存在一些差異。一方面，是功能定位的不同?！睹穹ǖ洹肥且徊繖?quán)利為核心的法律，在有關(guān)規(guī)定中確認(rèn)了個人信息權(quán)益受到法律保護(hù)。而《個保法》作為專門法，以通過細(xì)化和新增的方式，對如何收集、使用、存儲個人信息做了一系列具體規(guī)定，所以更強(qiáng)調(diào)“具體保護(hù)”。另一方面，是法律層級的不同。當(dāng)《個保法》中民事行為規(guī)范與《民法典》的行為規(guī)范發(fā)生沖突的時候，前者的民事行為規(guī)范應(yīng)被視為后者的特別條款，根據(jù)“特別法優(yōu)于一般法”的原則，應(yīng)當(dāng)先根據(jù)《個保法》判斷行為的不法性，只有在其沒有明文規(guī)定時，才適用民法的一般條款[16]。

4.1.2 “實體法+程序法”二元并濟(jì) 《個保法》第69 條明確規(guī)定了侵犯個人信息權(quán)益造成損害的受到侵權(quán)法上的保護(hù)。針對個人信息權(quán)益的侵權(quán)問題，可以從實體和程序兩個層面構(gòu)建一套行之有效的綜合救濟(jì)機(jī)制。

在實體法層面，主要是個人信息權(quán)益的侵權(quán)問題，可以從侵權(quán)責(zé)任主體、構(gòu)成要件和歸責(zé)原則方面展開。首先，由于《個保法》調(diào)整的是個人信息處理者和個人權(quán)益主體之間的法律關(guān)系，所以個人信息侵權(quán)糾紛的責(zé)任主體一般是信息處理者。非個人信息處理者侵害他人個人信息權(quán)益，應(yīng)當(dāng)依照《民法典》的規(guī)定，確認(rèn)其為一般侵權(quán)行為[17]。其次，根據(jù)當(dāng)前的相關(guān)司法案例整理，個人信息侵權(quán)行為的類型主要分為以下三類：①未經(jīng)告知同意收集個人信息；②個人信息的泄漏或者非法篡改；③查閱、復(fù)制個人信息權(quán)利受阻。再次，侵犯個人信息權(quán)益造成的損害結(jié)果，既包括物質(zhì)性損害，也包括非物質(zhì)性損害。其中，與前者相反，后者主要是指難以通過金錢衡量或者加以計算。實踐中侵犯個人信息權(quán)益造成的非物質(zhì)性損害，主要表現(xiàn)為權(quán)益侵犯所導(dǎo)致的精神上的焦慮和不安全感等反?，F(xiàn)象。由于這種精神損害等往往難以量化，而且難以舉證，當(dāng)前的司法實踐中采取何種判斷標(biāo)準(zhǔn)亦有所不同。有法院認(rèn)為，需要對此進(jìn)行類型化區(qū)分：①當(dāng)侵犯個人信息權(quán)益的同時侵犯具體人格權(quán)的，一般可以認(rèn)定構(gòu)成精神損害，是否需要承擔(dān)精神撫慰賠償，則要結(jié)合具體情形而定，但應(yīng)該降低“嚴(yán)重”的判斷標(biāo)準(zhǔn)；②沒有侵害其他人格權(quán)造成的具體損害，應(yīng)該考慮受侵害個人信息類型、風(fēng)險發(fā)生的蓋然性、風(fēng)險可能導(dǎo)致的危害及其影響范圍等綜合因素，酌情認(rèn)定（薛某訴淘寶公司隱私權(quán)糾紛案，杭州互聯(lián)網(wǎng)法院2022浙0192民初4259號判決書）。最后，《個保法》對個人信息處理者的損害賠償使用過錯推定原則。在個人信息處理活動中，個人信息處理情況和相關(guān)證據(jù)一般掌握在處理者手里，要求個人承擔(dān)存在過錯的舉證責(zé)任存在較大困難。

在程序法層面，不同國家對個人信息的司法救濟(jì)采取不同的方式，主要體現(xiàn)在是否賦予個人信息權(quán)益的直接可訴性。例如，歐盟要求在一般情況下個人應(yīng)當(dāng)先向監(jiān)管機(jī)構(gòu)提起申訴，同時也賦予了個人可以向法院提起訴訟的最終救濟(jì)機(jī)制；美國則采取了準(zhǔn)司法的民事救濟(jì)制度，通過美國聯(lián)邦貿(mào)易委員會（Federal Trade Commission，F(xiàn)TC）對個人信息進(jìn)行“普通法”保護(hù)，但是對于個人信息權(quán)利的直接可訴性則較為謹(jǐn)慎[18]。與此相比，我國的《個保法》從以下3 個方面體現(xiàn)出了中國特色。首先，我國法院更強(qiáng)調(diào)信息處理者的義務(wù)，但并未將尋求行政救濟(jì)作為訴訟的前置程序。信息主體在行使個人信息權(quán)利請求權(quán)時能否向法院徑行起訴，存在一定的分歧。在典型案例“杜某訴某網(wǎng)絡(luò)公司個人信息保護(hù)糾紛案”（杭州互聯(lián)網(wǎng)法院2022浙0192民初4330號裁定書）中，法院指出，個人信息主體行使“個人信息權(quán)利請求權(quán)”應(yīng)以“信息處理者拒絕個人行使權(quán)利的請求”為前提。其次，公益訴訟應(yīng)當(dāng)成為我國個人信息糾紛的重要救濟(jì)途徑。由于信息處理者和信息主體之間存在天然的信息不對稱，公益訴訟起訴人則可以利用其在調(diào)查、取證能力、效率等方面的優(yōu)勢，彌補(bǔ)這種不足。個人信息侵權(quán)是一種大規(guī)模侵權(quán)行為，這樣的侵權(quán)雖然對社會而言具有“范圍廣、程度深”的特點，但對于個人來講，實質(zhì)上造成的損失可能并不大。大多數(shù)人考慮到訴訟成本和維權(quán)效果之間的失衡，往往怠于行使權(quán)利。因此，通過公益訴訟的方式維權(quán)，既有利于節(jié)約司法資源，也有利于更好地維護(hù)公共利益。最后，我國法院對個人信息糾紛的解決，可以充分利用“糾紛調(diào)解”機(jī)制。調(diào)解結(jié)案的優(yōu)點在于，一方面，使法院更加高效地處理案件，優(yōu)化司法資源配置，更好地服務(wù)當(dāng)事人和社會；另一方面，在調(diào)解中，當(dāng)事人也可以更直接地了解對方的需求，更加準(zhǔn)確地評估利益和風(fēng)險。

4.2 公法路徑：確立“個人信息受保護(hù)權(quán)”的國家保護(hù)義務(wù)

4.2.1 個人信息保護(hù)的公法基礎(chǔ) 個人信息保護(hù)法與《中華人民共和國憲法》（以下簡稱《憲法》）也有密切的聯(lián)系。《憲法》是國家制度和其他法律的基礎(chǔ)，是根本大法，《個保法》的制定同樣應(yīng)當(dāng)符合《憲法》的基本原則和要求，以確保公民實現(xiàn)《憲法》所賦予的基本權(quán)利。保護(hù)個人信息免受國家和數(shù)據(jù)企業(yè)等信息處理者的侵犯，是個人信息保護(hù)研究的重要議題，前者因為是典型的公法問題，不存在較大的爭議，后者卻因為信息主體和數(shù)據(jù)企業(yè)均是私主體，似乎應(yīng)該屬于私法調(diào)整的范圍，然而，由于數(shù)據(jù)企業(yè)可以對信息主體實施隱性的強(qiáng)制和支配，因此，將數(shù)據(jù)企業(yè)的信息處理行為納入公法調(diào)整的范圍也具有正當(dāng)性，這為從私法和公法不同的視角建構(gòu)理論提供了可能[19]。

隨著個人信息法律保護(hù)的全球擴(kuò)張，以及我國的《民法典》和《個保法》等眾多立法的多方位迅速推進(jìn)，在憲法層面確立相關(guān)權(quán)益的必要性成為學(xué)界的共識[20]。我國《憲法》的基本權(quán)利規(guī)范體系中，雖然沒有明文規(guī)定個人信息的權(quán)利形態(tài)，但是第33 條、第38 條、第39 條、第40條等條文涉及的概括性人權(quán)條款以及人格權(quán)、居住權(quán)、通信自由和秘密等具體權(quán)利均與個人信息有關(guān)。

新型權(quán)利進(jìn)入《憲法》，一般遵循2 種路徑：一是以憲法修正案的方式寫進(jìn)成文《憲法》；二是運(yùn)用《憲法》解釋技術(shù)，通過未列舉的權(quán)利的證成的方式獲得《憲法》的保護(hù)。我國《憲法》并沒有明確規(guī)定個人信息的保護(hù)，如何通過《憲法》解釋的方式將其納入基本權(quán)利的保護(hù)范疇，根據(jù)所依據(jù)《憲法》條文的區(qū)別，學(xué)界存在以下幾種代表性觀點：一是第33 條的“人權(quán)保障”條款[21]；二是第38 條的“人格尊嚴(yán)”條款[22]；三是多個條文整合式的《憲法》解釋路徑。學(xué)者認(rèn)為，“人權(quán)保障”或者“人格尊嚴(yán)”條款均不足以單獨做出明確的解釋，故應(yīng)該實現(xiàn)上述兩個條款之間的體系關(guān)聯(lián)[23]；還進(jìn)一步提出，既要通過“人格尊嚴(yán)”“人權(quán)保障”與“社會保障制度”條款的體系勾連解釋出新型數(shù)據(jù)自決權(quán)，也要結(jié)合具體的權(quán)利條款導(dǎo)引出傳統(tǒng)基本權(quán)利向數(shù)字世界的移植內(nèi)容，最終統(tǒng)合在個人數(shù)據(jù)權(quán)利的框架秩序中[24]。對此，本文贊同依據(jù)《憲法》第38 條“人格尊嚴(yán)”條款對個人信息的憲法保護(hù)依據(jù)進(jìn)行解釋。

4.2.2 個人信息公法保護(hù)的實現(xiàn)路徑 有學(xué)者提出，運(yùn)用基本權(quán)利保護(hù)義務(wù)理論，通過“個人信息受保護(hù)權(quán)——國家保護(hù)義務(wù)”框架，建構(gòu)個人信息的公權(quán)力保護(hù)路徑[25]。該框架是個人信息保護(hù)的核心理念，也是國際社會普遍認(rèn)同的個人信息保護(hù)原則。個人信息受保護(hù)權(quán)是指個人擁有對其個人信息的保護(hù)權(quán)利。隨著信息技術(shù)的發(fā)展，個人信息的泄露和濫用問題越來越突出，因此，國家有義務(wù)保障個人信息受保護(hù)權(quán)。該框架明確規(guī)定了個人信息受保護(hù)的權(quán)利和國家保護(hù)個人信息的義務(wù)，強(qiáng)調(diào)了國家在個人信息保護(hù)中的重要作用。

“個人信息受保護(hù)權(quán)”是個人信息保護(hù)基本權(quán)利在《憲法》上的概念表達(dá)。至于如何圍繞該基本權(quán)利構(gòu)建相應(yīng)的國家保護(hù)義務(wù)，在大數(shù)據(jù)時代，鑒于國家為了履行必要的公共服務(wù)職能，在對個人信息進(jìn)行收集和處理之外，信息主體還需要面對“強(qiáng)大的、組織化”的信息處理機(jī)構(gòu)。為了充分地實現(xiàn)這項基本權(quán)利，國家不僅應(yīng)承擔(dān)尊重私人生活、避免干預(yù)個人安寧的義務(wù)，還應(yīng)通過積極保護(hù)，支援個人對抗個人信息處理中尊嚴(yán)減損的風(fēng)險。基于控制“數(shù)據(jù)權(quán)力”這一侵害風(fēng)險源的需要，一方面，國家應(yīng)避免過度侵入個人信息領(lǐng)域；另一方面，應(yīng)通過制度性保障、組織與程序保障以及侵害防止義務(wù)的體系化，營造個人信息保護(hù)的制度生態(tài)[26]。

《個保法》規(guī)定了“個人信息保護(hù)負(fù)責(zé)人”制度、“履行個人信息保護(hù)職責(zé)的部門”的監(jiān)管及救濟(jì)等機(jī)制，但是由于無法滿足個人信息保護(hù)的所有現(xiàn)實需要，所以對于《個保法》的一些原則性規(guī)定，可以包括但是不限于從以下幾個方面進(jìn)一步細(xì)化。首先，是個人信息保護(hù)負(fù)責(zé)人制度的完善。個人信息保護(hù)負(fù)責(zé)人承擔(dān)著企業(yè)的個人信息保護(hù)工作和與行政監(jiān)管機(jī)構(gòu)之間的聯(lián)絡(luò)溝通的角色。在個人信息保護(hù)負(fù)責(zé)人設(shè)立條件方面，《個保法》僅規(guī)定以個人信息數(shù)量為標(biāo)準(zhǔn)，其任職條件、如何開展工作、如何與監(jiān)管部門銜接等尚屬于立法空白，需要網(wǎng)信部門細(xì)化具體的劃分?jǐn)?shù)量并發(fā)布實踐指南等方式提供行為指引[27]。其次，是國家履行個人信息保護(hù)職責(zé)部門的權(quán)責(zé)完善?！秱€保法》沒有采用類似于歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR） 中建立個人信息保護(hù)的專門機(jī)關(guān)的方式，而是規(guī)定國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌兼顧，其他有關(guān)部門在各自的職責(zé)范圍內(nèi)開展個人信息保護(hù)的監(jiān)督管理工作。在這樣的立法背景下，明確監(jiān)管部門之間職責(zé)劃分和協(xié)調(diào)機(jī)制，有助于提高監(jiān)管的效率和處罰措施的一致性。最后，是行政救濟(jì)機(jī)制的完善。根據(jù)《個保法》的規(guī)定，不履行法律規(guī)定的個人信息保護(hù)義務(wù)的國家機(jī)關(guān)，面臨的后果主要是責(zé)令改正或者對責(zé)任人員予以處分。因此，學(xué)界對公權(quán)力機(jī)關(guān)責(zé)任的承擔(dān)方式、如何訴訟和是否需要行政賠償?shù)热匀淮嬖诟鞣N爭議，需要進(jìn)一步討論。

5 結(jié)語

從中國式現(xiàn)代化的角度理解個人信息保護(hù)，需要考慮到中國社會發(fā)展的實際情況和特點。中國式現(xiàn)代化強(qiáng)調(diào)的是以人為本、和諧發(fā)展、可持續(xù)發(fā)展等理念，個人信息保護(hù)也應(yīng)該基于這些理念進(jìn)行思考和實踐。個人信息保護(hù)的核心內(nèi)容是協(xié)調(diào)保護(hù)和利用之間的關(guān)系。因此，如何尋找兩者之間的平衡是重要課題。

首先，個人信息保護(hù)應(yīng)該是以人為本。在中國式現(xiàn)代化的理念中，人是發(fā)展的主體和中心，應(yīng)該尊重和保護(hù)每個人的基本權(quán)利和尊嚴(yán)。因此，個人信息保護(hù)不僅意味著保護(hù)個人的隱私和權(quán)益，更是保障人的尊嚴(yán)和自由的體現(xiàn)。為了平衡數(shù)據(jù)隱私保護(hù)和數(shù)據(jù)要素市場化，需要在貫徹落實個人信息保護(hù)法律制度的前提下，提升數(shù)據(jù)的處理能力和價值挖掘能力，從而促進(jìn)數(shù)據(jù)要素的市場化，創(chuàng)造更多的數(shù)據(jù)價值。

其次，個人信息保護(hù)需要與和諧發(fā)展的理念相結(jié)合。在中國式現(xiàn)代化的理念中，和諧發(fā)展是指經(jīng)濟(jì)、社會和環(huán)境等方面的協(xié)調(diào)發(fā)展，個人信息保護(hù)也應(yīng)該是在經(jīng)濟(jì)發(fā)展和社會進(jìn)步的基礎(chǔ)上進(jìn)行。因此，個人信息保護(hù)需要綜合考慮社會、經(jīng)濟(jì)和技術(shù)等因素，在保障信息安全的同時，不能阻礙信息的流通和利用。在個人信息保護(hù)和數(shù)據(jù)利用的基礎(chǔ)上，建立行之有效的數(shù)據(jù)共享機(jī)制，是實現(xiàn)數(shù)據(jù)利用價值的最大化發(fā)揮的重要舉措。

最后，個人信息保護(hù)需要與可持續(xù)發(fā)展的理念相結(jié)合。在中國式現(xiàn)代化的理念中，可持續(xù)發(fā)展是指經(jīng)濟(jì)、社會和環(huán)境等方面的發(fā)展，需要同時滿足現(xiàn)代化和可持續(xù)性的要求，而個人信息保護(hù)也應(yīng)該是在可持續(xù)發(fā)展的基礎(chǔ)上進(jìn)行的。因此，個人信息保護(hù)需要綜合考慮信息利用的效益和風(fēng)險，保障信息安全和促進(jìn)信息的可持續(xù)利用。