| 北大法学院 设为首页
当前位置: 首页 > 理论研究 > 研究成果

张翔:个人信息权的宪法(学)证成 ——基于对区分保护论和支配权论的反思

浏览字号:    作者:

  《个人信息保护法》的立法材料表明,立法者在个人信息保护的权利基础上存在困惑与犹疑。虽然在该法的草案说明中已有表述:“在编纂民法典中,将个人信息受法律保护作为一项重要民事权利作出规定”,但在相关立法过程中一直存在个人信息是权利还是利益、个人信息保护应采支配权模式还是行为导向模式等争论。《个人信息保护法》在三审稿中纳入“根据宪法”条款,似乎表征着个人信息保护在底层逻辑上的更动,但相关立法材料并未提供充分的说明。

  立法并不能解决一切问题。法律治理目标的实现,需要法学学术的支撑。新法已立,继续阐释新法的宪法基础,使新法妥帖融贯于合宪性法秩序,是宪法学的基本学术任务。本文尝试对《个人信息保护法》做合宪性解释,反思既有的争论,证成宪法(学)层面的个人信息权,阐释其规范目标,并据此对《个人信息保护法》的若干规范作出分析与评价。

  一、“根据宪法”之惑

  《个人信息保护法》直到草案三次审议稿才写入“根据宪法,制定本法”,其中意味值得深思。有学者基于细致的法律史考察,指出“‘根据宪法’条款在一部法律中是否出现,是规范、政治、传统三方面因素共同作用的结果”,“它并非规范的必要,而是历史的沉积”。考诸立法史也会发现,写或者不写“根据宪法”往往只具有形式性、标志性或者宣告性意义。

  但是,观察近年来全国人大及其常委会的立法实践,会发现“根据宪法”条款的实质性、规范性意涵在明显增强。“根据宪法”条款的作用从形式性走向实质性的重要标志,是2018年宪法修改将全国人大的“法律委员会”更名为“宪法和法律委员会”。在新的宪法和法律委员会正式设立后,其统一审议法律草案的功能,与推动宪法实施、开展宪法解释、推进合宪性审查的功能迅速结合,这集中体现在法律草案审议中更为普遍和显明的合宪性审查(或者说合宪性控制)。宪法和法律委员会首次审议的法律案是《监察法》草案,针对《监察法》的宪法依据,宪法和法律委员会在审议报告中说明:“党中央决定启动宪法修改工作后,监察法立法与宪法修改相衔接、相统一。在本次全国人民代表大会会议上,先表决通过宪法修正案,从而为监察法立法提供有力宪法依据。” 之后,在对《人民法院组织法(修订草案)》和《人民检察院组织法(修订草案)》的审议中,宪法和法律委员会专门就合宪性问题作出了说明,内容涉及全国人大常委会修改全国人大制定的基本法律的权力行使的合宪性。

  在抽象的宪法依据宣告和立法权限说明之外,宪法和法律委员会对于法律草案的审议也愈加关注立法的具体和实质的宪法依据。例如,2021年对于《人口与计划生育法》的修正,涉及人口政策从“控制人口数量”向“调控人口数量”的巨大转变。此种“颠覆性”的修法,其宪法依据如何,在宪法解释上素有争议。为回应此争议,宪法和法律委员会在审议报告中对此次修正的合宪性问题作了大段说明,核心论证如下:“宪法和法律委员会、法制工作委员会经研究认为,我国宪法有关计划生育的规定,特别是第二十五条关于‘国家推行计划生育,使人口的增长同经济和社会发展计划相适应’的规定,体现了问题导向与目标导向相统一、指向性与方向性相统一,具有相当的包容性和适应性,可以涵盖不同时期实行的生育政策、相关工作及配套措施。修改人口与计划生育法,落实优化生育政策、促进人口长期均衡发展的决策部署,是与时俱进理解和把握宪法规定和精神的具体体现,也是与时俱进通过立法推动和保证宪法实施的生动实践,符合宪法规定和精神。” 对法律草案合宪性这样大篇幅的论证在以往的立法活动中是少见的。而且,此种论证并非抽象、宏观地宣示“根据宪法”,而是结合具体宪法条款展开的比较充分的解释和说理。其为法律草案确立宪法实质性依据的意图至为明显,体现着《中共中央关于全面推进依法治国若干重大问题的决定》中“使每一项立法都符合宪法精神”的指导思想。

  在普遍强化对法律草案的合宪性审查(控制)的背景下,以及不在形式上写明“根据宪法”或将伴随实质性违宪争议的历史经验下,《个人信息保护法》的立法工作却仍迟至三审才纳入“根据宪法”条款。这个形式性问题,正说明立法机关在实质性宪法依据上的困惑与犹疑。这体现在宪法和法律委员会在《个人信息保护法》草案审议报告中的表述:“有的常委委员和社会公众、专家提出,我国宪法规定,国家尊重和保障人权;公民的人格尊严不受侵犯;公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义,建议在草案二次审议稿第一条中增加规定‘根据宪法’制定本法。宪法和法律委员会经研究,赞同上述意见,建议予以采纳。”这段表述首先当然表明,立法机关愈加重视立法的具体宪法依据问题,而不是轻率地写入形式性的“根据宪法”而实际上罔顾法律草案的合宪性。其同时也表明,立法机关并非只从民事权利的角度来理解个人信息保护,而是从基本权利高度来定位;但对于个人信息保护的实质性宪法根据,特别是基本权利基础,又没有明确而聚焦的判断。审议报告将个人信息保护关联到三个基本权利条款,分别是宪法第33条第3款“国家尊重和保障人权”,第38条第1句“中华人民共和国公民的人格尊严不受侵犯”,以及第40条第1句“中华人民共和国公民的通信自由和通信秘密受法律保护”。于此仍需追问:个人信息保护究竟落入哪个条款的保护范围;各条款表述的不同所蕴含的保护强度差异应如何在个人信息保护的具体规则上落实;如果以对整个法体系都具有辐射效力的基本权利作为个人信息保护的基础,应如何对个人信息私法保护和公法保护机制进行协调。所有这些追问,会凝结为个人信息保护立法中的终极性宪法问题:是否能成立基本权利位阶的个人信息权?以及,如果成立个人信息权,国家对其承担怎样的宪法义务,其与宪法同样保护的其他主体的权利是何种关系。这些问题,并未随着《个人信息保护法》的颁布实施而得到明晰,需要法教义学上的继续诠释。

  二、个人信息权作为基本权利

  必须承认,对个人信息保护的私法理解,特别是从《民法总则》到《民法典》的个人信息保护条文的设置,对我国个人信息保护法体系起到了奠基性的作用。但在《个人信息保护法》出台后,相关的法教义学建构应该具备更为开放的视野。周汉华认为,最终纳入“根据宪法”条款,意味着《个人信息保护法》是个人信息保护领域的基本法,而不是民法的特别法。王锡锌也认为,应该放弃个人信息保护的民事权利基础论,而以作为宪法基本权利的“个人信息受保护权”作为个人信息保护法律体系的基础。笔者赞同周、王二位的立场,但希望从个人信息作为“权利”抑或“利益”的民法争议开始,继续讨论在宪法上证立个人信息权的教义学方案。

  (一)超越私法思维下的权利与利益二分

  在既有讨论中,对于个人信息保护的权利基础应如何诠释,民法学界长期存在争议。核心争点在于:个人信息到底是权利还是利益。主张“权利保护”、认为可以成立民法上“个人信息权”的代表性观点认为:“从法律所保护的客体即个人身份信息的独立性、社会实践保护个人身份信息的必要性,以及从比较法的基础上进行分析,对于个人身份信息的保护,一是不能用法益保护方式,因为其显然不如用权利保护为佳;二是不宜以隐私权保护方式予以保护,因为隐私权保护个人身份信息确有不完全、不完善的问题。”主张“法益保护”而非“权利保护”的观点则认为,“自然人对个人信息并不享有绝对权和支配权,而只享有应受法律保护的利益”,以防止对个人信息保护过度、从而遏制数据流通与技术创新。从实定法上观察,《民法典》1034条与《个人信息保护法》第2条分别使用了“个人信息受法律保护”和“个人信息权益”的概念,《个人信息保护法》第4章又使用了“个人在个人信息处理活动中的权利”的表述。从民法角度看,对个人信息的保护既可能是作为权利,也可能是作为利益,从法律解释上并无法得出唯一解。因此,在《个人信息保护法》出台后,民法学者仍在此种区分基础上对个人信息保护进行规范诠释。

  然而,即使考诸民法的规范与学说史也会发现,权利与利益二分的法益区分保护思想自始就存在争议,并非当然之理,更非不可质疑之绝对教义。德国民法典采纳了区分保护原理,而更早的法国民法典并未强调法益的区分保护。区分保护论认为:“权利的本质不是利益,权利只是保护利益的工具之一。法律的目的确实是保护利益(个人的、集体的或者社会的),但是法律保护利益并非只有权利这一种工具,立法者可以通过单纯设定义务的方式保护他人的利益。”“新类型的利益未必确定到能够通过权利工具予以保护的程度,或者是还没有必要上升到运用权利工具予以保护的程度。” 朱虎对区分保护论的争议进行了系统梳理:德国民法典制定时,就存在生命、身体、健康、自由能否被规定为权利的争议,而立法的处理是将其作为利益,却给予其与所有权同等程度的侵权法保护。然而在司法实务中,区分权利和利益并给予不同强度保护的方案,不断受到挑战。对于被规定为利益而又被认为保护不足的,实务和理论上不断创造出新的“润滑机制”或者“补丁”去加以修正。尽管区分保护说“有助于通过社会典型公开性妥当协调行为自由和法益保护的价值,具有体系理性和价值理性的基础”,但却无法排除基于“充分而正当的理由”而对利益给予等同于权利的侵权法保护。在出现偏离以所有权为典范的民事权利形象的新兴权利(例如人格权),以及出现更多需要高强度保护的利益的现代社会条件下,权利和利益二分的基础已经发生了松动,个人信息保护只是对这种区分的一次较新的冲击而已。

  更值得注意的是,现代社会情景中的个人信息处理,已经超出了传统的平等主体间的私人间关系。基于个人与信息处理者之间关系的高度不对称性、处理频率的大规模性、处理风险的外溢性,个人信息保护问题具备天然的“公共化”形态, 个人信息保护已然成为一个多部门法综合处理、共同着力的领域,民法思维未必能剀切适用。从宪法角度看,不同类型的个人信息承载、关联着不同类型的法益,在现代社会大规模处理个人信息的背景下,对个人信息权益的保护需要展开场景化与社群主义的理解, 对不同场景下不同内容的个人信息保护进行利益权衡。民法学上把个人信息作为民法上的“权利”还是“利益”的定位,并不先在地决定其在整个宪法秩序下受保护强度的高低。在《个人信息保护法》明确探寻宪法基本权利依据的规范意图下,对“个人信息权益”也应在宪法原理下予以新的诠释。

  (二)指向国家的个人信息权及其公私法兼容性

  在更易受到关注的私人机构与平台之外,个人信息首先需要排除的其实是来自国家的侵害,表现为其作为指向国家的基本权利的主观防御权面向。在立法层面,联邦德国在1977年出台《联邦德国数据保护法》(Bundesdatenschutzgesetz),很大程度上是出于公众对行政机关建立大规模数据库的警惕。在合宪性审查层面,在1983年的人口普查案中,德国联邦宪法法院便立足于《基本法》(Grundgesetz)第1条人格尊严条款和第2条第1款的人格自由发展条款,推导出个人享有“信息自决权”(das Recht auf “informationelle Selbstbestimmung”)。我们知道,《基本法》第1条人格尊严和第2条第1款的人格自由发展同样是德国民法上一般人格权的规范基础, 但从中导出的“信息自决权”首先当然是宪法上的基本权利,直接针对的是来自国家的干预。近年来,渐有国家直接在宪法中将个人信息权明确规定为基本权利。《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)第8条和《欧盟运行条约》(Treaty on the Functioning of the European Union)第16条也规定了“个人数据保护权”(the right to the protection of personal data)。在国家大规模处理个人信息的频率日渐增长、技术愈发成熟的背景下,在宪法层面确立个人信息权的首要意义便是对国家作出有效的防御和约束。《个人信息保护法》第二章第三节“国家机关处理个人信息的特别规定”也在一定程度上表明立法者对于个人信息防御国家侵害的公法权利属性的认识。无论个人信息在民事权益体系中如何定位,都不排斥将个人信息保护上升为宪法基本权利。

  而基本权利的宪法原理,并不预先地将个人值得保护的行为、利益或者状态像民法理论那样区分为权利(绝对权)与非权利的其他法益,并给予强度不同的侵权法保护。相反,在基本权利的保护范围上通常会采取宽泛的理解,避免过早将可能属于基本权利内涵的事项排除出去,以保证最大化保障基本权利的效果。并且,基本权利保护范围的确定,还会引入基本权利主体的自我理解(Selbstverst?ndnis), 而不只是从社会大众的视角去观察。尊重基本权利主体的自我理解,是尊重个人自治的要求。宪法总是预设一个能够自己作出决定并实现自我发展的人的形象。因而,何者对于人格发展具有重大意义、何时以及如何行使基本权利,自然也应尊重个体的理解。由此,民法上以“受保护法益的价值”和“社会典型公开性”的高低强弱为标准而为的权利和利益的区分保护论, 在宪法基本权利的领域是难以适用的。

  需要注意的是,在宪法层面证立基本权利性质的个人信息权,是对权利与利益二分的民法思维的超越,但绝非取消。换言之,并不是宪法学替民法学在区分保护论和等同保护论之间做出了倾向后者的选择。实际上,在基本权利教义学上,对于落入基本权利保护范围的行为、利益和状态,也自有差异化处理的方案,并且这一方案可以支撑既有的民法方案,以及容纳民法对既有方案的可能调整和发展。其基础是基本权利作为主观权利和客观价值秩序的双重性质原理。

  基于基本权利的双重性质原理,作为基本权利的个人信息权首先表现为防御国家不当侵害的主观防御权面向。同时,基本权利还作为客观价值秩序科以国家客观法上的义务,要求国家以一切可能的手段和方式,为基本权利的实现排除干扰和提供实质性的前提条件。基本权利作为客观价值秩序,要求国家承担排除第三人侵害的保护义务。就个人信息权而言,这意味着国家有义务保护个人免于数据企业和平台等在个人信息处理中的侵害行为。个人与信息处理者之间存在组织、信息、技术、权力上的不对称结构,将基本权利引入私法关系来对抗数据企业和平台等具有准公权力性质的个人信息处理者,有其宪法上的正当性。国家对个人信息权的保护义务同样及于国家立法权,具体表现为国家建构个人信息保护的法律体系。在此意义上,《个人信息保护法》在“总则”第11条写明 “国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境”,以及在第六章规定“履行个人信息保护职责的部门”,乃至制定《个人信息保护法》的整个立法活动,都可以看作是国家保护义务的履行。国家通过个人信息保护立法,为个人信息的实现提供制度、组织、程序上的保障,同时也为私主体之间的个人信息处理提供私法性质的规范。由此,基本权利位阶的个人信息权,对一切法领域产生辐射效力。

  尽管立法者受到基本权利保护义务的拘束,但其仍拥有广阔的立法空间,来具体形成个人信息保护的私法规范。在这个层次,立法者完全可以在区分保护说和等同保护说之间作出选择。如果仍采区分保护说,立法者以及私法规范的解释者,仍然可以以“受保护法益的价值高低”和“社会典型公开性强弱”为标准来作出民事权利和其他民事法益的差异化构造。宪法维度的个人信息保护并不会取消包括民法在内的部门法在立法中的形成空间,宪法保护与民法保护可以实现兼容与协调。民法学的固有原理和教义,在宪法基本权利的价值辐射下,依然可以发挥作用。正如谢鸿飞所言:“即使将个人信息权上升为宪法上的‘个人信息受保护权’,也不能否定个人信息权益完全可以同时成为一种民事权益,因为两者的规范目的、义务人等均存在根本差异。” 在此意义上,证成基本权利位阶的个人信息权,并不会取消个人信息的民法保护。其意义毋宁在于,将整个个人信息保护的法律体系建构在宪法的基础上。一方面,个人信息权作为主观防御权,指向对于国家侵害的排除;另一方面,个人信息权作为客观价值秩序,又要求国家恪尽一切手段,为个人信息提供制度、组织与程序保障,并排除他人的侵害。在此意义上,基本权利位阶的个人信息权可以辐射和勾连公法、私法的各个领域,并协调个人信息保护的公法机制和私法机制。个人信息法律体系的建构任务,是在多元化、大规模的个人信息处理活动中对公民展开全面、有效的保护,牵涉个人自治、私人生活安宁、平等对待等横跨公私法不同领域的价值。个人信息保护法属于“领域法”, 需要统合行政法、民法、刑法等不同保护工具。此种整合性任务的落实,需要以宪法位阶的个人信息权作为我国个人信息保护法律体系的“概念基础”。

  (三)个人信息权作为基本权利束

  前文只是概要说明了在宪法层面证成个人信息权的必要性,以及相应的学理建构可以超越既有的权利/利益二分的民法思维,而纳入基本权利双重性质的宪法思维之下。但是,教义学上的真正任务在于,如何根据现有的基本权利条款,诠释出宪法上的个人信息权,并明确其保护范围。宪法和法律委员会在审议意见中,将个人信息保护连接人权条款、人格尊严条款和通信权条款的表述,已经提供了一种体系化诠释的思路。也就是说,此项权利的证成,并不一定落入某一项权利条款之下,而是可能基于多项权利条款。分述如下:

  第一,通信自由与通信秘密。个人信息有可能落入《宪法》第40条通信自由和通信秘密条款的保护范围。按照日常语义,个人的通信活动所形成的信息当然是个人信息,《法治社会建设实施纲要(2020-2025年)》中也有“严格规范收集使用用户身份、通信内容等个人信息行为”的表述。但在笔者看来,个人通信信息仍应归入通信权。个人通信信息,无论是通话的内容信息,还是通话记录等非内容信息,都属于通信权中通信秘密的保护范围, 可以直接在《宪法》第40条之下予以规范保护,无需再结合其他基本权利条款。这一点与欧盟的规则有区别。在欧盟法上,通信权和个人数据保护权各自有独立的规范基础,个人通信数据的处理往往涉及二者的竞合。从《欧洲人权公约》(European Convention on Human Rights)的角度观察,除了可以被私人生活利益所涵盖,个人通信数据亦可被《欧洲人权公约》第8条规定的通信权利所涵盖。而《欧盟基本权利宪章》的第7条与第8条分别对通信权和个人信息保护权作出了规定,对个人通信信息的处理既受到个人数据保护权的约束,也属于通信权的防御对象。例如,在爱尔兰通信权利组织等诉爱尔兰通信部等政府部门一案中,被诉的《2006/24/EC号指令》(Directive 2006/24/EC)要求公开提供电子通信服务或公共通信网络的运营者有义务保留通信数据,以便在必要时向国家主管当局提供这些数据。该案便同时涉及违反《欧盟基本权利宪章》第7条规定的尊重通信的权利和第8条规定的个人数据保护权,出现了基本权利竞合。而在我国宪法的规范条件下,通信权具备宪法上的明确规范基础,个人信息权则属于宪法未明确规定而有待证成的权利。对个人通信信息的处理是否合宪的审查,应当径行适用《宪法》第40条通信权。在笔者看来,能在既有权利体系中解决的问题,没有必要诉诸未列举权利。以我国宪法文本为依据,将个人通信信息直接纳入《宪法》第40条的保护范围的方案,可以避免欧盟方案下论证个人通信信息同时受到两项基本权利保护所增加的解释负担。当然,《宪法》第40条内部的规范构造,包括通信自由与通信秘密的区分,通信内容信息与非内容信息的区分,通信“检查”的概念界定及其他干预方式的允许性,等等,都是宪法学上非常困难的议题。其关键是,如何在互联网时代重新理解《宪法》第40条极为严苛的加重法律保留。宪法学界当下正在展开密集的讨论。上引拙文中也有讨论,本文不赘。

  第二,人权条款。我国《宪法》在2004年修改时纳入“国家尊重和保障人权”,是一种新的国家价值观的注入,为整个基本权利章的解释提供了新的评价关联。人权条款可以看作一个概括性条款而容纳未列举的权利。姚岳绒认为,“作为一项未列举的基本权利,我国宪法第33条的人权条款有足够的空间容纳信息自决权。” 但是,宪法上的人权条款过于抽象,把个人信息权定义为人权,无法为实践提供明确的具体化指引。GDPR在其第1条也宣告“本条例保护自然人的基本权利与自由”,但这一表述显然无法为具体适用提供参照。尽管可以抽象地说,保护个人信息是保护个人的基本人权,但其难以为个人信息处理行为划定标尺、为利益衡量提供具体的教义指引。在笔者看来,在人权条款的价值辐射下,还应该结合更为具体的基本权利条款来探寻更加具有操作性的解释方案。

  第三,人格尊严。当下多数的主张,都将《宪法》第38条人格尊严作为个人信息权的宪法基础。现代社会的个人信息处理活动,核心是对个人进行识别。处理者处理个人信息的过程同时也是不断识别特定个人的过程,这种识别又服务于与个人权益相关的研究、调查、分析、决策。由此,个人面临被“数字化”“客体化”的风险。张新宝认为个人信息处理“可能将个人自治置于危险之中”“可能导致个人的信息化形象与其真实人格不符”“可能引发针对特定个人或者群体的歧视”“可能导致个人的私密信息遭受刺探、侵扰、泄露或公开,对个人隐私构成侵害”,并据此将个人信息类型化为四种权益,其围绕的核心就是个人的人格尊严。高富平指出,“个人信息保护发端于个人基本权利(人权)保护,保护的是人的尊严所派生出的个人自治、身份利益、平等利益。” 王锡锌和彭錞也将“个人信息受保护权”的宪法基础明定为《宪法》第38条人格尊严,并展开了细致的体系化建构。我国学界普遍的认识是,个人信息保护指向的是对个体“数字人格”的保护,个体应当具有在个人信息处理活动中免遭窥探、压迫、控制、歧视、剥削等侵害的主体性。以保护个人自治和个人主体性为内容的人格尊严条款作为个人信息权的基础,应无争议。

  可以作出如下总结:依循《个人信息保护法》立法材料之提示,参酌学界既有之论证,可以借由人权条款笼罩下的《宪法》38条人格尊严及40条通信自由和通信秘密解释出个人信息权。在具体保护范围的厘定上,个人通信信息应被纳入第40条,而其他个人信息应纳入第38条。在此意义上,个人信息权固然不是我国宪法明定的基本权利,但可以通过宪法学来证成,其并非实证法概念,而是法教义学概念。此法学概念,并不指向实证宪法上的单一基本权利条款,而是作为“权利束”存在。“权利束”的方案,与将个人信息保护直接纳入某一项基本权利的思考有所不同。也就是,在宪法学理上可明确个人信息权的基本权利地位,但在具体保护上则应纳入不同基本权利条款分别讨论。在此意义上,个人信息权的宪法证成,实际上是宪法学证成。

  作为“基本权利束”的个人信息权,内容可能不限于立法材料中所提示的人格尊严和通信权。在互联网、大数据的时代,或许并不是产生了新的“互联网基本权利”“数据权利”或者“个人信息权”,而是所有的基本权利都面临互联网化、数据化或者信息化的场景。传统的基本权利,包括表达、人身、住宅乃至婚姻、家庭等在内,都会进入信息处理的情景,而可能因信息处理而被干预。也就是说,各项基本权利都可能被动地在信息化场景下与宪法教义学上建构起来的个人信息权发生关联。这意味着,作为“权利束”的个人信息权具有一种扩容的可能性,由不断“信息化”的各项权利捆扎而成。例如通常认为,个人针对个人信息并不享有财产权,只有平台或数据企业将个人信息数据化并整合、归集和挖掘后,才创造出财产利益;个人哪怕可以在部分个人信息处理活动中分享个人信息的商业利用价值,但这种利益只是有限、局部和稀薄的。承认个人对个人数据的财产权对解决个人信息侵害问题、适用多元保护手段并无增益,反而可能对数据产业的发展造成阻碍。但在层出不穷的新业态、新情景下,财产、数据、信息等因素可能出现更加纠缠互融的样态,使得个人信息权的项下仍有容纳财产因素的可能性。又如,在自动化决策、算法推荐等场景下(如《个人信息保护法》第24条),差别对待的存在可能又需要将平等权引入考量。在此意义上,个人信息权作为一个基本权利教义学建构出来的概念,在实证宪法的规范上,指向多项基本权利。作为“权利束”,经由立法机关的明示,其在当下被普遍认知的内容可能只是人格尊严与通信权,但其他权利被纳入的可能性仍然存在。

  作为“权利束”的个人信息权,存在内部的可区分性和差异性,要避免因为权利概念的整体构造而将保护的强度一律化。我国《宪法》第40条关于通信自由和通信秘密的限制存在单纯法律保留和加重法律保留两种不同强度的要求,不能通过将个人通信信息纳入个人信息权而轻易逃避加重法律保留的可能适用,导致掏空《宪法》第40条。此外,《宪法》第38条第2句“禁止用任何方法对公民进行侮辱、诽谤和诬告陷害”,只是以“宪法保留”的方式对针对人格尊严的最为激烈的侵害行为予以了排除,而对于可能影响人格尊严的其他干预行为应以何种标准进行合宪性审查,宪法学上并无定论。人格尊严以及通信自由和通信秘密条款在保护强度上的多层次性提示我们注意,作为整体概念的个人信息权在内部必然是差异化构造的,并且应当在个人信息处理的具体规则上得到落实。如果此“权利束”进一步扩容,必然意味着进一步的差异化构造。《个人信息保护法》第二章第二节对敏感个人信息处理设定特殊规则,应该说体现了差异化构造的思维,但其效果如何还有待观察。需要注意的是,此种差异化构造无法仅依靠对个别条款的观察而获得,而是有赖基于整个宪法文本的中国化的法律保留学理体系的建构。

  在证立宪法(学)上意义上、“基本权利束”意义上的个人信息权之后,如果欲其承担个人信息保护法律体系的权利基础功能,还需要对其规范内涵进行阐释。个人信息权乃至整个基本权利体系的终极价值目标都是实现个人的自治、自决和主体性。但在以个人信息处理为基本场景的个人信息权的建构上,这一目标的实现方式与古典的基本权利应有所差异。财产权、住宅自由等古典基本权利的规范建构,是通过明确权利客体并赋予权利主体以排他性的支配权来实现的。而个人信息权的规范建构,或许要回到更为根本的人格发展的层面。

  三、个人信息权的规范目标:人格自由发展

  (一)个人信息支配权思维的局限

  在既有讨论中,部分民法学者将个人信息构想为个人私权的客体,得由个人支配。王利明认为,信息权利人对其个人信息享有独占性的支配权,信息的收集、利用行为原则上都应当经过信息权利人的同意,权利人有权决定其哪些个人信息可以被收集、哪些个人信息可以被利用以及在何种范围内以何种方式利用。杨立新认为,个人信息权的权利要求是,以自我决定权作为其权利基础;自然人对于自己的个人信息自我占有、自我控制、自我支配,他人不得非法干涉,不得非法侵害;因而个人信息权是排他的自我支配权,是绝对权。对于纳入了“个人信息权益”的民法人格权的理解也有类似认识。例如,“新时代的人格权必须在立法上突出支配性权能,明确哪些权利能够由自然人自行支配处分。” “权利的内容是主体对客体的支配方式,非主体之利益。离开支配关系谈论权利内容,必然言不及义。” 在《个人信息保护法》出台后的学者解读中,仍或多或少体现着个人对其信息拥有支配力的思维。例如张新宝认为,“当处理者基于个人同意处理个人信息时,个人享有同意(或拒绝)处理者处理其个人信息的权利,体现出对其个人信息的支配力。”

  以“所有权”为原型的民事权利强调权利主体对于客体的排他支配。法国《民法典》第544条“所有权是对于物有绝对无限制地使用、收益及处分的权利”是经典表达。作为财产性权利的所有权指向外在于权利主体的明确客体。而通过将人格利益理解为类似财产的客体,民法理论又构造了符合权利主客体区分范式的人格权。以所有权为原型的民事权利,强调权利的“归属功能”和“排他功能”,“归属功能和排他功能是侵权保护的最佳基础。如果权利或者利益主体基于法律规定能够对这些权利和利益进行任意处分,这就意味着法秩序为他提供了一个固定而明确的保护范围,并在该范围内保护其免受第三人侵害;并且,如果他能够排除任何他人的任何干涉,则显而易见的是,他人一般应当对其地位予以尊重。”在以“归属功能”和“排他功能”为基石的民事权利观中,支配权思维具有核心的地位。《个人信息保护法》以告知同意模式作为核心规则,并设置删除权、查阅复制权、可携带权等,也还体现着将个人信息视为标的物,而个人可依据其意志占有、使用或者处分的支配权思维。

  然而,支配权思维在个人信息保护领域的适用性是存在疑问的。个人信息保护的基本场景是个人信息的数据化及其利用,个人数据在流通和利用的过程中为个人、企业和社会带来便利与福利。个人数据本身便是社会事实的写照,一旦流动而走上社会化利用之路,便很难保持其支配性或独占性。纪海龙指出,认为个人信息“属于”权利主体的观点是不正确的;无论个人信息储存在哪里,这个条信息都是属于社会的;所谓个人信息“权”,其客体指向并不是个人信息本身,而是与个人信息相关的人格利益。以一种支配权的思维,由个人完全控制个人相关数据的收集和流动,在技术上和经济成本上都不是最优方案,容易导致对个人和社会不利的选择,可能根本性地破坏个人信息利用的生态。在经典的财产权理论下,个人是基于劳动把自己的意志和能力等主观性添加到对象物之上而取得占有与支配的合法权利。也就是说,所有物本身就来自个人的创造,其支配权就是自然而然的权利。然而,正如胡凌所提示的,在个人信息保护的场域,应当反思个人信息是为何以及如何被生产出来:“现有个人信息保护立法倾向于将个人信息视为自然生成的或者既有的、固定不变的东西,而‘处理’涵盖了从收集、储存到使用的诸多行为,但缺乏对信息创制维度的思考,也就是一种生产性视角的思考。实际上,个人信息是在特定法律关系中不断生产和再生产出来的,其生产和处理都依赖于市场基础设施和特定技术条件,从而不断变得有效率。”也就是说,个人信息从其生产的一开始就是具有公共性的,其值得保护的价值并不完全来自于个人的主观能动性创造,因而以所有权式的支配思维来思考个人信息并不符合事物的本质。

  个人信息保护领域中告知同意模式的式微在一定程度上反映了支配权思维的难以适用。“使用个人信息须经信息主体‘同意’,暗含着法律认可个人信息由个人支配或控制。” 告知同意规则看似彰显了个人的控制力和支配力,但实践效果有限。理论上假设个人可以针对所有潜在的民事主体、在任何场景下对其个人信息进行自主支配,但实际上却缺乏权利行使的针对性与必要性。缺乏制衡能力与信息资源的个人无法单纯凭借“支配权”来实现对个人信息权益侵害风险的防御。个人一方面不得不面对“要么放弃服务,要么放弃隐私”的困境,从而缺乏实质性的拒绝权;另一方面,个人也缺乏足够的知识、资源和能力对个人信息处理的风险进行有效评估,即便个人能够意识到个别信息被处理的直接风险,也很难全面评判信息处理的间接风险以及大量信息被整合挖掘的累积性、动态化风险。在实践中,告知同意模式主要表现为大型平台发布隐私声明,由用户阅读后作出同意,作为对个人信息收集利用的授权,以此实现个人信息的控制权的转让。然而,随着隐私声明日渐冗长和复杂性、模糊性不断增强,在缺乏有效制衡和约束机制的情况下,个人很难凭借告知同意机制真正做出科学、审慎的选择。告知同意模式已很难实现个人借由对自身信息的支配而实现个人自决的目标。尽管我国《个人信息保护法》的立法仍然坚持以告知同意为核心设定了一系列个人信息处理规则,但伴随立法过程的,是众多学者对于这一模式“异化” “日益流于形式” “不适应现代信息处理的发展,难以实现其原有功能” 的担忧和批评。而且,此种困境似难根本性扭转。在当下,虽然尚难找出告知同意模式的根本性替代方案,但规制模式的转变已不可避免。《个人信息保护法》第13条并未将告知同意作为个人信息处理的唯一合法性基础,也部分体现了此种趋势。

  (二)以人格自由发展为目标的个人信息权

  在个人信息保护领域,对物的直接占有意义上的支配权思维难以适用,并不当然意味着对支配权思维的根本颠覆或者放弃。法教义学有其创新功能,从而避免推倒重来的制度成本和对法安定性的冲击。在民事权利理论的发展中,支配权的客体也早已逐渐摆脱有体物的经典图景,支配权包括对物的支配权(如所有权),对无体财产、精神产品的支配权(如知识产权),对自身人格的支配权等。支配权不必然意味着事实支配(直接占有),也包括法律支配,表现为对客体的间接占有,以及对客体的处分等权能。如果将个人信息权看作是主体对自身人格而非个人信息的权利,也就是将人格利益客体化的思维,仍能在支配权思维下展开规范内涵的建构。例如王泽鉴就直陈,“人格权是一种具支配性的绝对权……人格权人得直接享受其人格利益(支配性),并禁止他人的侵害(排他性),就此点而言,人格权类似于物权。”

  但是,对于人格权是否具有支配属性,从来都是存在争议的。支配权思维是建立在权利主体与权利客体二分的基础上的,将人格权看作支配权,就会产生主体将自身作为客体支配的悖论。对此,民法学上已多有批评和反思。朱虎在论证人格权何以成为民事权利时指出:“作为道德权利的人格权可能会认为,在民法中,所有权利都是以支配权作为原型,而其分类恰恰是以支配客体的不同作为依据,而人格的客体化却可能会损害人格权的伦理价值。在发生学意义上,权利客体具有权利区分工具和体系构建工具的意义,……但是,在当代民法中,权利客体所具有的上述意义逐渐丧失,转而将权利效力作为工具。如果转换视角,不以支配权作为视角,转换传统的权利观,似乎可能找寻到另外一种出路。” 如果将个人自决作为民事权利所追求的目标,实现此目标并不当然意味着为权利主体设定权利客体,并赋予其支配权。借由支配权,确乎可以实现个人自决,这充分体现在财产法领域。但个人自决的实现,并非必须通过支配权,这在人格权领域就有体现。“人格权就是一种受尊重权或自决权,具有排他性,但并非支配权因而不具有支配性。” 那么,如果不以支配权利客体为目标,个人信息权又指向什么,其规范的目标是什么?“权利在实践推理中的规范力,也可进一步通过权利所蕴含的“指向性义务”(directed duty)得以解释。” 也就是,没有必要围绕个人(权利主体)与个人信息或者人格利益(权利客体)的关系来建构个人信息权的内涵,而应转向“权利人对他人所负有的指向性义务的控制”, 分析权利主体如何对其他个体的特定行为展开制约。

  在关于个人信息保护的讨论中,许可、梅夏英提倡一种“行为导向”模式,认为对于人格权除了作支配意义上的理解外,也可以表现为权利主体对其他个体特定行为的制约。这是从义务人视角来理解人格权的内涵。此外,从权利人所享有利益的范围观察,也有学者将个人对个人信息的控制性利益表述为“信息处理中的自主利益(或自决利益)”, 以此说明这种利益仅仅适用于不对称的信息处理关系中;表明其并不具有普遍性支配与决定的特征,对个人信息处理中人格权益的保护不意味着普遍、先在、排他性的控制权。

  如果不以对客体即对个人信息或人格利益的支配作为人格权的内容,那么个人信息权的规范目标是什么?这里就涉及对于作为个人信息权宪法基础的人格尊严,及其所内在蕴含的个人人格的自由发展的理解。我们知道,在民法人格权的证立过程中,宪法起到了关键性的作用。德国民法上的一般人格权,是以《民法典》第823 条第1 款结合《基本法》第1 条第一款“人的尊严”和第2 条第1款“人格自由发展权”导出的。德国《基本法》第2条第1款规定,“人人享有人格自由发展的权利,只要其不侵害他人权利、不违反合宪性法秩序与道德法则”。基于此规定,德国基本法确立的人的形象就是“自我负责的、在社会共同体中自由发展人格的人”。在1957年的“艾尔弗斯案”中,德国联邦宪法法院将“人格的自由发展”作了极为开放的的理解,将其解释为“一般行为自由”和“兜底基本权利”。宪法法院认为:“基本法使用‘人格的自由发展’并非只意味着人格的核心内容的发展,也就是作为精神性、伦理性的人的本质的形塑。因为很难理解,内在于人格核心内容的发展,怎么会与社会道德、他人权利或者合宪性秩序相冲突。而这些限制性规定显然是指向作为社会生活的参与者的个人,这说明《基本法》第2条第1款意味着非常广泛的行为自由。” 由于人格自由发展权的范围极为宽广,应该置于广阔的社会生活情景和社会生活关系中去思考,所以人格尊严和人格的自由发展权就不意味着对于个人人格利益的排他性支配,而更可能指向对他人特定的对人格发展的干扰和限制行为的禁止。例如,在著名的雷巴赫案中,宪法法院认为,对一般人格权的保护并不意味着以一项一般性的支配权来禁止对针对人格的一切信息披露和评价,在新闻自由和人格权之间的权衡的决定性标准始终是:相关新闻报道对于人格发展的妨碍到了什么程度。

  不将权利指向客体支配,而是指向干预行为,是宪法基本权利的典型思维。而作为“宪法原则在民法体系中的衍生物” 的人格权的规范形塑,就可能摆脱传统民法的对物的支配权思维而作“指向性义务”的思考。也就是作出绝对权项下对物支配和人格自由的二分,将人格权理解为“受尊重权”, 指向他人的特定行为。对个人信息权的理解也应该建立在人格权的社会面向的基础上,也就是要透过人格的概念,转介个人信息的公共性和社会连带性,理解个人信息权极为宽泛的内涵所带来的行使方式、限制基础上的特点。在数字时代,个人信息本身便具有公共性与交互性的特征,是个人参与政治、经济、社会事务的自然产物。从社会和共同体的面向来理解个人人格利益的保护,核心便不再是对个人信息或者人格利益的控制和支配,而是个人能否信任信息处理环境的公平与安全,以及能否有效防御他人可能的人格干预,从而能够自由参与社会生活,实现人格的自由发展。在此意义上,个人信息权的规范目标,就是保护个人自主参与社会生活的安全环境,保护个体免于工具化、客体化,实现个人自由与个人自决。个人信息权所针对的,毋宁是可能严重妨碍到个人发展的他人行为。由此,支配和控制就不再是个人信息权的核心规范目标。

  从支配权到人格自由发展权的逻辑转换,有助于处理个人信息“保护”与“利用”之间的紧张关系,也有助于在学理上重新定位和反思个人信息主体的知情、决定、查询、更正、复制、可携带、删除等权利。这些权利在构建时,还有很强的支配思维。如果从防御他人对个人人格过度妨碍的角度看,这些权利就可以看作是个人信息权的主体维护自身人格自由与个人自决的手段和方式。其指向的并非是对客体的占有和支配,而是约束平台和数据企业等个人信息处理者的行为,形塑公正有效的公共规制模式,为个人在公正、理性、透明的数字环境中生活、实现人格自由发展营造空间。

  我们可以在以下两个场景中理解此种思维转化的现实意义:1.对已收集信息的利用的规制。确立告知同意规则,是希望在未来从源头上限制对个人信息的过度收集。但是,对于既往已经被收集走的个人信息,支配权思维的意义非常有限。真正重要的毋宁是怎样防止已经被收集的信息被进一步利用来妨碍个人的自决和发展,而不是让个人重新获得对这些信息的支配和控制。在实现个人自决和个人发展上,查阅复制、更正补充、删除和携带等权利(《个人信息保护法》第44-47条)的意义,或许远不及加密、去标识化、匿名化(《个人信息保护法》第51、72条)等规制措施。2.信息茧房的破除。个性化选择本来是个人自由发展的基础,但算法推荐技术和互联网传播模式,却可能导致极端个人化和过度自主选择的信息茧房或者回音室效应。信息茧房效应的风险已经引起了普遍警觉。如果局限于支配权思维,将很难防范此种风险:《个人信息保护法》第4条基于“可识别性”标准,将匿名化信息排除在个人信息之外,也是认为单独使用这些信息乃至结合其他信息,都不能识别特定自然人,因此也就与自然人无关了,当然就不应该赋予其支配权;个人也就不能基于自身权利对抗平台在匿名化信息基础上的用户画像和个性化推荐。即使为了规制用户画像和个性化推荐而科以平台等以合规义务,也并非是个人信息权所对应的指向性义务。但是,如果采用人格发展权的思维,就可以将信息茧房看作是对人格发展的妨碍,从而要求国家承担客观法上的保护义务,建构规制框架来防止平台等对个人人格的支配,维护个人人格发展的空间。以人格发展权为中介,还可以在一定前提下将非指向义务转变成指向义务,使得个人在符合一定条件时得主张私法上的救济。于此,人格发展权的思维方式沟通私法和公法,连接权利规制和行为规制,所体现的正是宪法作为法秩序中最高法的价值和功能。

  四、对《个人信息保护法》的若干评述

  至此,本文在三个层次上作出了尝试:(1)在宪法(学)层次上,将个人信息权确立为具有主观权利和客观价值秩序的双重属性的基本权利;(2)明确个人信息权的“基本权利束”性质,以及其内在的差异化结构;(3)将个人信息权的规范目标从对权利客体的支配转向免于对人格发展的过度妨碍。在此基础上,笔者尝试对《个人信息保护法》的若干规范作学理评述。

  (一)防御国家的主观公权利

  将个人信息权确立为宪法上的基本权利,首先意味着个人信息权是防御国家公权力的主观防御权。要保障个人免于国家对个人信息的不当收集和使用,并特别警惕国家的信息处理对个人人格发展的妨碍。在强调数字化治理的现下,国家机关和法定授权组织是重要的个人信息处理者。在数据技术急速发展的背景下,国家的信息处理和挖掘极易对个人人格发展相关的私人生活安宁与行为自由形成压迫或侵扰,使个人降格为国家管理的手段;个人信息的不当公开更是会给个人带来人格的负面标记、声誉的损失及相关权益的减损。并且,国家机关搜集、利用个人信息的行为往往存在透明度不足、个体知情参与感薄弱的问题,长期不对称、不均衡的权力结构容易使信息被处理者产生不安全感,滋生寒蝉效应。《个人信息保护法》对国家机关处理个人信息的规则作出专门规定,体现了作为基本权利的个人信息权的应有之义。《个人信息保护法》第34条规定“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”,也是个人信息权的公法权利属性的表现。国家机关处理个人信息的行为,同样属于国家的高权行为,要受到法律保留、依法行政的一般原理约束。若无法律明示或默示的授权,即便有个人同意,国家机关也不得处理个人信息。也就是说,国家机关处理个人信息需要具备明确的正当化依据,应以履行法定职责为必要条件,具有严格的目的限定要求。

  但是,《个人信息保护法》对于个人信息权防御功能的制度落实是不足的。该法未能针对国家机关处理个人信息制定有足够针对性的体系化规则,第34条指向的“法律、行政法规规定的权限、程序”远未完善。例如,《居民身份证法》《出口管制法》等法律中有关个人信息保护的规定主要集中在国家机关及其工作人员的保密义务方面,对于个人信息处理全环节风险的防范缺乏细致的规定。此外,个人信息权作为主观防御权,必然指向救济机制的建构,使个人得通过司法程序主张权利。在此方面,《个人信息保护法》仅在第68条规定了对我国违反个人信息保护义务的责令改正和内部行政处分,在救济机制供给上严重不足,会直接导致个人信息权的防御功能的落空。未来对国家机关处理个人信息的权限及程序的规范完善,应该在防御国家对人格发展的不当干预理念下展开。

  (二)保护与利用的协调

  个人信息权从支配权思维向免于人格发展被妨碍的观念转换,有助于协调个人信息在保护和利用两端之间的紧张关系。《个人信息保护法》第1条所列出的立法目的包括“保护个人信息权益,规范个人信息处理活动”与“促进个人信息合理利用”两个方面,二者之间存在明显张力。有观点认为,强调人格利益,则势必强调信息主体对于其个人信息的支配性,留给信息业者利用个人信息、促进数据流通与技术创新的空间就较小。但如果转换视角,从人格自由发展出发,就可以更为有效地化解这一矛盾。不过度强调个人对自身信息的支配权,就不会自始压缩信息处理者处理个人信息的空间。个人信息处理者的处理和利用行为不会从源头上被作“有罪推定”,而是从效果上考量处理和利用行为是否不合乎人类尊严地将个人客体化和工具化,是否过度而不当地妨害了个人人格的自由发展。这就需要场景化地区分不同类型的个人信息、多样化的个人信息处理情形,针对性地开展利益衡量,并不断根据技术发展与数字经济趋势来调整个人信息处理的规则,使宪法保护的多元利益得到协调。在此意义上,以人格自由发展为规范目标的个人信息权,将比支配权思维的个人信息保护,在利益衡量层面更加开放、包容和灵活。

  (三)国家对平台的介入

  将个人信息权的规范目标指向免于人格自由受到过度妨碍,而非源头上的控制和支配,意味着给予数据产业更多的发展可能性。对个人信息的保护与利用的协调,必然意味着国家对于“个人—平台”的私法关系的介入:国家基于其对于个人信息权的宪法上的保护义务,应当帮助个人免于平台的人格干预;同时,也应当在承认平台作为基本权利主体的前提下,避免监管措施不当干预平台的财产权和经营自由等权利。对于国家公权力介入的正当性和界限,也应作更为精细的思考。个人信息保护法制的建构,应当在“个人—平台—国家”的三方关系中妥当考量。

  在此三方关系中,不仅要考量个人信息权,同样也应当肯定平台等在个人信息处理场景中的基本权利主体地位。在既有的讨论中,学者们用“数据权力” “持续性不平等关系” 来描述平台相对个人的优势地位。不可否认,国内外大型商业平台可经由特定应用,汇聚海量的互联网用户,进而垄断、汲取与挖掘这些用户的历史数据和实时动态数据;在数字生活的方方面面持续性塑造乃至剥削消费者,甚至造成对个人人格发展的妨碍。但同时需要注意,个人信息经由信息处理者收集整合为数据后才产生财产性价值。企业对于数据的利用和交易活动,就可能落入《宪法》第13条财产权的保护范围。处理者在其中付出了相应的成本和劳动、向个人持续性地提供了服务,因此平台对于处理的数据享有财产权益,应从财产权角度确立信息处理者的权利主体地位。此外,《个人信息保护法》将“个人信息处理者”界定为“自主决定处理目的、处理方式等个人信息处理事项的组织、个人”,体现出数据平台对于个人信息处理活动享有一定的自主决定权,可以防御国家对企业经营活动的不当干预。结合《宪法》第11、16、17、18等条文,信息处理者与信息处理活动相关的自主经营权或者营业自由也应予肯定。对于信息处理者的财产权与营业自由的宪法保障,有利于实现个人信息保护与个人信息流通的均衡发展,避免个人信息保护法秩序的运行过度偏向于“保护”而遏制了“发展”。也就是在承认数据技术对于信息流通的积极意义上,防范不正当的数据利用方式对个人人格发展带来的妨碍,而非通过控制数据流动去影响数据的分享、损害数据处理者的经营空间。从基本权利教义学的视角,兼顾考量个人的人格发展及数据处理者的财产权和营业自由,能够更为精细、准确地确定个人信息的法律保护强度。

  个人在信息处理活动中对抗平台,首先是私主体之间的民事关系。但是,基于个人与平台之间实际力量上的结构性不平等,以及个人信息处理中风险的技术性、累积性、结构性特征,从防范个人信息处理给个人带来不利后果的角度,基本权利的规范效力辐射到原本应由私法调整的、以“用户—平台”为代表的民事关系中就有更强的正当性。在个人与平台的主体关系上,作为基本权利的个人信息权具备客观价值秩序功能,这导向了国家保护个人免于第三方侵害的积极义务,令国家得介入私法关系(例如《个人信息保护法》第六章)。当然,国家对私法关系的介入,在对一方予以保护的同时,也意味着对另一方的干预,因此当然要受到法律保留、合比例性等公法原则的约束。

  (四)公法和私法机制的协同

  出于保护个人信息权的宪法义务,国家可以介入私法关系,对平台和数据企业加以约束。此种从基本权利的客观价值秩序功能导出的国家义务,还包含了建构制度、程序、组织等侧面,意味着行政法、民法与刑法等不同部门法的不同机制的协同。《个人信息保护法》也体现了制度性保障层面的公私法协同,包括:第一,在行政法层面,《个人信息保护法》建立了“决策型监管”与“个案型监管”相结合的模式,并允许个人通过投诉举报方式反馈自身权益主张。这体现了国家对于个人信息权的制度与程序保障,有利于通过系统性的行政手段回应个人信息处理的公共风险;第二,国家为个人信息权的民事救济提供程序保障。例如《个人信息保护法》第69条的规定,在证明责任上采取了有利于个人的方式,缓解个人因技术劣势、举证困难而无法有效维权的困境;第三,在刑法层面,《个人信息保护法》第64条第2款将监管中发现违法处理个人信息涉嫌犯罪的,转介到《刑法》第253条“侵犯公民个人信息罪”,沟通行政监管与刑事制裁。在刑事层面,一方面应贯彻宪法统摄下 “法秩序统一性”要求,使之与民事责任机制、行政责任机制的违法认定标准保持协调,避免不同保护机制之间的判断结论冲突;另一方面,保持刑法的谦抑性,参酌基本权利规范来解释刑法上的个人信息法益概念,使侵犯个人信息犯罪的具体适用符合宪法要求,实现对刑罚权的有效控制。应该说,《个人信息保护法》作为领域性立法,已经以问题为导向,在努力实现公法机制与私法机制的协同。但是,在这方面仍有继续进行学理和实践探索的必要,例如《个人信息保护法》第50条第2款规定的司法救济路径与第六章规定的公共监管路径之间的分工配合。

  结语

  《个人信息保护法》的立法过程,反映出其从“民法特别法”向“领域法”的定位转移。相应地,个人信息保护的权利基础,也应该超越民事权利的固有思维,而作宪法基本权利层面的论证。基本权利作为主观防御权的功能,及其作为客观价值辐射一切法领域的规范效力,有助于整合个人信息保护的公法机制和私法机制,在“个人—平台—国家”的互动关系中建构个人信息保护的整体方案。而改变支配权思维,以人格自由发展作为个人信息权的规范目标,有利于更为包容和灵活地协调个人信息的保护与利用的关系,在保护个人自决的同时,为数据产业的发展保留空间。

  作者简介:张翔,北京大学法学院教授,博士生导师。

  文章来源:《环球法律评论》2022年第1期。