• <table id="yayw4"><noscript id="yayw4"></noscript></table>
  • 此页面上的内容需要较新版本的 Adobe Flash Player。

    获取 Adobe Flash Player

    高级搜索
    请输入检索内容:

    当前位置: 首页 >> 学术资源 >> 宪法学 >> 正文

    王锡锌 彭錞:个人信息?;し商逑档南芊ɑ?b>

    | 时间: 2021-06-09 11:55:50 | 文章来源: 《清华法学》2021年第3期

    摘要:我国个人信息?;し商逑敌枰桓黾婢呓馐秃凸娣都壑档暮诵母拍钭魑?。学界主流观点以个人信息民事权利为此基础,该种观点虽具有相当的合理性,但在理论和实践层面均存在需要反思的问题。从宪法基本权利的维度分析,个人信息?;し商逑到ü沟幕∮κ恰断芊ā返?span lang="EN-US">38条人格尊严条款内蕴的个人信息受?;と?。以该项基本权利为基点,以其主观权利和客观法面向所对应的国家消极与积极?;ひ逦裎飨?,可建构出一套基础更稳固、内容更完整、结构更合理的个人信息?;し商逑?。这一体系既能对现有个人信息?;す娣督邢低辰馐?,厘清诸多部门法、执法手段之间的关系;也可对未来个人信息?;ぶ贫群褪导岢龉娣兑?,使我国宪法上的个人信息受?;とǜ玫匦纬刹⒙涫?。

    关键词:宪法基本权利;个人信息受?;と?;法律体系;民法典;个人信息?;し?/p>


    一、问题的提出:探寻个人信息?;し商逑档母拍罨?/p>


    随着数字时代的深入发展,个人信息的法律?;ひ殉扇蚬彩?。在我国,《网络安全法》《电子商务法》《民法典》相继实施,《数据安全法》《个人信息?;しā芳唇鎏?,个人信息?;し商逑狄殉蹙吖婺?。在此背景下,探寻何为该体系的概念基?。?span lang="EN-US">Conceptual Foundation),对充分解释和有效规范该体系的核心概念,具有承前启后的重要意义。承前意义在于从恰当的概念基础出发,可以推导出一幅内部逻辑协调的概念地图,为既存的个人信息?;す娣短峁┫低郴得?;启后意义则在于揭示现行立法与实践之不足,为下一步改进完善提供查漏补缺的指引。

    对此,学界目前的主流观点有二:首先,应以法律权利作为我国个人信息?;し商逑档母拍罨?。尽管有学者提出个人信息处理规制的行为主义进路,试图绕开个人信息赋权的难题,但这是绕不开的,因为对信息处理者特定行为是否规制、如何规制,归根结底取决于信息主体对个人信息是否享有、享有何种值得法律?;さ睦?。只有在确定个人信息权益究竟属于何种法律权利的基础上,才能进一步推演相应的法律义务、责任和规范,达至一套个人信息?;し商逑?。其次,在此前提下,学界主流观点认为我国个人信息?;し商逑档母拍罨∈亲魑袷氯ɡ母鋈诵畔⑷?,据此推导出信息处理者负有不得侵害个人信息的民法义务,民事责任是个人信息?;さ幕臼侄?,《民法典》是个人信息?;ち煊虻幕竟娣?,同其它个人信息?;ち⒎ǎㄈ纭陡鋈诵畔⒈;しā罚┦粲谝话惴ê吞乇鸱ǖ墓叵?。

    本文赞同我国个人信息?;し商逑涤σ苑扇ɡ拍罨?,但认为恰当的选择并非作为民事权利的个人信息权,而是作为宪法基本权利的个人信息受?;と?。具体论证分三步展开:第一,梳理民事权利基础论的理路,剖析其三项核心命题,并展开反思;第二,论证个人信息?;つ茉谖夜芊ㄉ匣竦冒捕?,并应以“个人信息受?;とā钡母拍罾幢泶?;第三,在宪法上个人信息受?;とǖ氖右跋?,通过展开其内容、功能与限制,建构我国个人信息?;し商逑?。


    二、重省民事权利基础论


    (一)民事权利基础论之理路

    民事权利基础论包含以下三项核心命题:

    第一,主张个人信息本身是民事权利客体。理由如下:①基于《民法典》第111条,认为若个人信息不是民事权利,则立法者不可能在作为民商事领域基本法的《民法典》中做出规定,更不会在其总则编的民事权利章中加以规定。认为个人信息权本质上是一种对世、排他、绝对的个人信息自决权,?;ぷ匀蝗硕愿鋈诵畔⒌淖晕艺加泻椭?。认为个人信息权是新型、独立的人格权,除传统人格权消极防御的特性外,还有积极控制的面向,派生出信息知情、同意、查询、修改、更正、删除等权能。

    第二,主张个人信息权益不具有公法权利属性。理由如下:①认为作为民法权利的个人信息权可对抗任何组织或个人的侵害。公权力机关侵害个人信息权,私权利主体同样可要求其承担法律责任。②认为“尽管实践中对个人信息采用刑法、行政法等多重?;せ?,但并不影响个人信息权为民事权利的基本属性。为了全面?;っ袷轮魈宓睦?,在民法之外,通过刑法、行政法乃至社会法来?;っ袷氯ɡ?,是法律?;さ某L硐帧?。③认为处理个人信息的公、私主体虽然“在处理目的、合法性基础等方面存在不同,但不因此导致自然人与处理者之间关系的区别。信息处理者与自然人之间的法律地位是平等的。国家机关与非国家机关,均负有不得侵害自然人民事权益的义务。在私权利?;さ奈侍馍?,不存在公权力机关比非公权力机关处于更优越地位的情况”?!熬」芨鋈诵畔⑹鼙;とǖ氖褂?、收集过程中存在着行政管理部门的公法行为,但这只需要规定政府部门在信息管理过程中的职责与责任即可,个人信息?;しǖ暮诵哪谌萦κ敲穹ü娣?,政府部门的公权在个人信息领域不宜膨胀?!?/p>

    第三,主张从信息主体的个人信息权出发,以“信息处理者民法义务—侵权者民法责任—《民法典》规范”的逻辑,建构个人信息?;し商逑?。理由如下:①认为包含公权力机构在内的所有社会主体均负有不侵犯个人信息权的民法义务。②认为“只有民事责任能真正弥补信息主体的损害”,因为其“主要形式是赔偿损失,以恢复被侵害人的权益为目的”。③主张“我国民法典人格权编对个人信息?;さ墓娑?,并非简单的一部法律对个人信息?;さ墓娑?,而是具有如同《欧盟基本权利宪章》第8条关于个人信息?;す娑ㄏ嗤傻匚坏墓娑?span lang="EN-US">”。只有在民法典中确认个人信息权后,才能为个人信息?;さ奶乇鹆⒎ㄌ峁┟袷禄痉ㄒ谰??!?/p>

    公允地讲,上述观点并非囿于学科门户之见,而是具有深刻现实背景和重大历史意义。随着信息技术高速推进,个人信息面临巨大风险,传统隐私?;ぷ浇蠹?,亟需新的法律解决方案。以2000年全国人大常委会《关于维护互联网安全的决定》为起点,我国的个人信息?;し芍贫戎鸩酵晟?,但直到2020年《民法典》出台,才一改此前间接、零散的立法进路,在民事基本法的高度规定个人信息受法律?;?。相较于行政法、刑法等其它部门法,在该领域,确实是民法提供了迄今最有力、最全面的法律回应。这正是众多学者强调民事权利、义务、责任和规范在个人信息?;し商逑抵谢⌒缘匚坏南质当尘?。而民法?;ぬ逑至硕愿鋈诵畔⑺性氐淖鹧?、人格、隐私、财产等重大利益的关照,对一个私权保障仍在途中的国家,具有不可否认的历史意义。然而,民事权利基础论内含的三项命题在理论和实践层面均值得反思。

    (二)民事权利基础论之反思

    第一,将个人信息作为民事权利客体与民法既有概念体系存在张力。理由如下:①《民法典》第111条并未明确规定个人信息权,有别于第110条规定姓名权、肖像权、名誉权、荣誉权、隐私权。早在《民法总则》起草时,个人信息是不是民事权利就有争议,但《民法典》最终没有规定个人信息权。这并非立法机关的无心之失,而是基于对个人信息特性的深刻洞察。与传统的人格、财产权客体不同,个人信息没有特定性、独立性,也非无形物,不能归入表彰民事权利的客体。更重要的是,它具有非排他性、非损耗性,兼具流通和控制双重价值,不能也不应成为绝对、排他、对世的权利对象,否则将阻碍数字社会的纵深发展。即使赋予信息主体此种民事权利,也远非最佳?;な侄?,因为个人信息?;ひ饩龅暮诵奈侍馐歉鋈擞胄畔⒋碚咧涞摹胺嵌猿迫峁埂?。个体主义权利进路下,个人信息权极易沦为“纸面上的权利”??梢运?,立法者正是洞察到上述问题,才选择不在《民法典》中明文规定“个人信息权”。③实事求是地讲,对个人信息权的上述局限,民法学者早有认识,故提出新型人格权说,试图缓和传统人格权独占、排他的性质,以顺应信息时代之巨变。然而,这是以突破传统民法教义为代价的。如所周知,民法的经典叙事是:人格权不得转让,但民事主体可将部分人格利益以许可使用的方式允许他人利用。人格权以占有、?;の?,以流转、交易为例外。但个人信息并非如此,在现代社会,其?;ず土髯壑挡⒅?,不存在孰为前提、孰为例外。这也能解释为什么《民法典》第993条在设定人格利益许可使用制度时,只列举了姓名、名称、肖像,而没有提及个人信息,因为个人信息的流转、交易与传统民法上的人格利益许可使用并不相同。这意味着要把个人信息?;と朊穹ㄈ烁袢蚣?,很大程度上必须破坏其原有结构。当然,民法学者可回应道:为了与时俱进,突破传统民法是应付的代价。但更难应对的问题是:个人信息权无法派生出知情、查询、修改、保密、删除等权能,因为它们本质上是在“服务一种特定的立法目的,即有效地阻止个人信息被非法滥用,而非使信息为个人所独占”。

    第二,个人信息权益不仅具有民事权利属性,也具有公法权利属性。理由如下:①作为民事权利的个人信息权无法对抗公权力机关。一个法学常识是:民事权利和公法权利的核心差异在于前者对抗平等民事主体,后者对抗国家。这当然不是说公权力机关可以不尊重民事权利,而是说当公权力机关以平等民事主体身份处理个人信息时,需要尊重其所承载的民事权益。一旦公权力机关履行公共管理职责而处理个人信息,则需尊重个人信息公法权利。在《民法典》之前,早有一系列法律规定了对抗国家的个人信息公法权利,包括《护照法》第12条、《居民身份证法》第6条、《国家情报法》第19条等?!睹穹ǖ洹凡换岣哺腔蛲品庑┫仍诹⒎?。事实上,就连《民法典》第1039条要求国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的个人信息应当保密,也是在规定一项公法权利。对个人信息的多重?;せ莆薹ù幼魑袷氯ɡ母鋈诵畔⑷ㄖ械汲?,原因有二:一方面,国家运用行政法、刑法等手段来?;じ鋈诵畔?,并非为了实现信息主体对个人信息的独占,也不是在协调作为平等民事主体的信息主体和信息处理者之关系。之所以要在民法之外引入其它部门法的多重?;?,恰恰是因为信息主体和处理者之间高度不平等,以个体维权、诉讼为核心的民法机制无力“纠偏”,亟需公共监管、执法和处罚为核心的行政法、刑法机制来“驰援”。另一方面,对抗私主体的民事权利无法派生对抗公主体的公法权利及配套的公法?;せ?。③当然,民法学者意识到国家早已成为个人信息的处理者,也承认公法?;さ闹匾?,但因担心承认个人信息公法权利会导致公权机关优位和公权膨胀,仍坚持个人信息仅仅是民事权利客体。在以“管理法”为核心的公法挤压私法的现象并不鲜见的今天,这种担心值得理解与同情。但现代公法权利的本意是“主观公权利”,反映了约束公权、张扬人权的政治哲学,与民法私权神圣、私法自治的价值导向若合符节。因此,承认个人信息权益的公法权利属性,不会膨胀公权,而能限制公权。若对公权与私人信息处理者一视同仁,反会造成“公法遁入私法”,使公权机关假借民事主体身份逃脱公法约束,以表面平等掩盖实质不平等。

    第三,“信息处理者民法义务—侵权者民事责任—《民法典》规范”的逻辑难以完整覆盖个人信息?;し商逑?。理由如下:①仅有民法义务无法约束公权机关高权性、强制性、公益性的信息处理行为。这些行为只能对应公法义务。②仅有民事责任不足以完成个人信息?;ぶ厝?。个体侵权诉讼在因果关系认定和赔偿确定上存在极大困难,GDPR主要是通过高额??罾醋柘徘秩ㄐ形?,并没有涉及任何私法救济方式。更何况公权机关依职权处理个人信息的行为违法,应承担行政赔偿责任,根据《行政诉讼法》《国家赔偿法》来救济。在我国个人信息?;し芍贫壬胁煌晟频挠锞诚?,民法学者期待《民法典》充任《欧盟基本权利宪章》那样的宪法角色,用心可谓良苦。但“以民法代宪法”发生于近现代欧洲国家动荡、宪法缺乏实效性的特殊历史情境下,平移至我国具有“反历史性”。更重要的是,《个人信息?;しā返囊逦裰魈?、调整范围、执行机制等均不同于《民法典》,并非后者的特别法。

    须澄清的是,论证个人信息不是民事权利的客体,不代表个人信息与民事权利无关。2020年,全国人大常委会法工委在《关于〈中华人民共和国个人信息?;しǎú莅福档乃得鳌分兄赋觯?span lang="EN-US">“在编纂民法典中,将个人信息受法律?;ぷ魑幌钪匾袷氯ɡ鞒龉娑?。这里的措辞极其精准,表明《民法典》确立的并非个人信息权,而是个人信息受?;と?,前者指向信息主体对个人信息的自决与控制,后者指向信息主体在个人信息处理过程中应得的?;??!睹穹ǖ洹分匀妨⒏鋈诵畔⑹鼙;と?,是因为个人信息承载了重大人格、财产民事利益,须通过对信息主体提供?;だ从枰晕?。正如《民法典》开宗明义地点明“根据宪法,制定本法”,该项民事权利根源在于我国宪法上的个人信息受?;と?,是后者在具体法律中的表述。


    三、作为宪法基本权利的个人信息受?;と?/p>


    随着个人信息法律?;さ娜蚶┱?,在宪法层面确立相关权益的必要性已成学界共识。早在十余年前,我国就有学者提出个人信息?;ぁ疤逑只救ɡ诵哪谌?,即人性尊严与人格独立”,但在我国宪法上属于一项未列举基本权利,应通过宪法判例“写进”宪法。这一主张遭遇了两种批评:一是批评这“要求宪法法院或宪法裁判空间,并不符合我国当前国情”;二是批评将?;じ鋈诵畔⑻岣叩交救ɡ牡匚弧坝泄惹炕鋈诵畔⒈;ぶ?,在与信息自由流通以及信息产业发展间容易产生摩擦”。但这些批评均不成立。一方面,随着合宪性审查工作推进,宪法基本权利不再是空中楼阁,确立个人信息?;せ救ɡ闹贫刃哉习嗖桓创嬖?。另一方面,基本权利不等于绝对权利,不会对个人信息提供毫无限制的?;?,也不许诺遗世独立的“鲁滨逊式自由”。因此,当下亟待学理澄清的问题不再是“为何”要确立该项基本权利,而是“如何”确立,具体包括规范依据和概念表达两大任务。

    (一)个人信息?;せ救ɡ墓娣兑谰?/p>

    如何在宪法上安顿个人信息?;せ救ɡ??各国实践遵循两条路径:宪法肯认(Constitutional Entrenchment)和宪法解释(Constitutional Interpretation)。前者是指成文宪法明确写入个人信息?;?。目前,全球已有三十多个法域将个人信息?;ち形救ɡ?。最典型的如《欧盟基本权利宪章》第8条和《欧盟运行条约》第16条规定个人信息受?;と?span lang="EN-US">”。

    更多国家是以宪法解释将个人信息?;つ扇牖救ɡ段?。20世纪60、70年代以来,由于计算机系统和自动化处理的推广,西方国家率先开始关注个人信息?;?,但此时其成文宪法已定型,宪法解释成为更优选择,典型代表如美国和德国。1977年的华伦诉罗伊案(Whalen v. Roe)中,美国联邦最高法院基于宪法第四修正案,首次确立信息隐私权Right to Informational Privacy),即个人、团体或机构要求自主决定何时、如何以及在多大程度上向他人传达有关他们的信息的权利。1983年的第二人口调查案”判决中,德国联邦宪政法院根据《基本法》第1条第1款的人格尊严条款和第2条第1款的一般人格权条款,推导出个人拥有信息自决权Informationelle Selbstbestimmung),即有权自己决定何时以及在什么范围内将有关其私人生活的信息传达给他人,并指出作为在数据处理的现代条件下自由发展个性的前提,个人必须被?;っ馐芨鋈耸莸奈尴奘占?、储存、使用和传递。

    与美、德类似,我国宪法没有明文肯认个人信息?;?。那么,能否通过宪法解释将其纳入基本权利?既有研究给出了肯定的答案,但就所依据的宪法条文有三种不同观点:一是《宪法》第33国家尊重和保障人权;二是第38条规定的人的尊严;三是第38条规定的一般人格权。观点一通过把个人信息定义为人权来论证其基本权利属性,有循环论证之嫌。观点二、三的宪法条文依据相同,都是第38公民的人格尊严不受侵犯,但具体解释方案不同。前者基于人格尊严条款双重规范意义说,认为该条的人格尊严不仅指诸如名誉、肖像等具体权利,也是一种“原则性的概括条款,为此体现了整个人权保障体系的基础性价值”,类似于《德国基本法》第1条规定的人的尊严,由此推导出个人信息应受?;?。后者则拒绝把第38条类比于《德国基本法》第1条,认为中国宪法上的人格尊严是一种公民作为具有独立意志的主体享有的得到尊重的权利,包括但不限于不受侮辱、诽谤和诬告陷害的人格权,即宪法上的一般人格权,个人信息受?;な亲魑话闳烁袢谌莸母鋈俗晕揖龆ㄈㄖ?。显然,两种观点都认为个人信息?;び胱鹧?、人格相关,差别在于如何解释第38条。但区分该条指向的到底是人的尊严还是一般人格权,对于把个人信息?;つ扇胛夜芊ɑ救ɡ?,意义并不大。这是因为在德国基本法上,人的尊严和一般人格权的主要差异是前者不可干预,而后者可被干预,我国宪法则没有这个差别,因为根据《宪法》第51条,两者都应受公共利益和他人权利限制。因此,在个人信息?;の侍馍?,两种解释方案可以共存互补:人的尊严是个人信息?;さ淖钪占壑狄拦?,一般人格权则是其具体权利基础,后者具有中间性(Intermediate)和工具性(Instrumental),目的是为了保障前者。无论采哪种解释方案,个人信息?;ざ伎梢谰荨断芊ā返?span lang="EN-US">38条纳入基本权利范围。

    (二)个人信息?;せ救ɡ母拍畋泶?/p>

    如何在概念上表达个人信息?;せ救ɡ??既有研究提出三种方案:个人信息权、个人信息自决/控制权、个人信息受?;と?。有学者指出:个人信息权是指与个人信息收集、使用和处理等相关的权利。这种界定无疑过于含混,因为不清楚相关权利是个人独有,还是与信息处理者或更多主体分享。有学者进一步把权利主体限于个人,明确个人信息权是信息主体对其信息享有占有、使用、收益、处分,并防止他人侵害的权利,这使个人信息权变成个人信息自决/控制权的缩写。如前所言,德国宪法法院就使用了这个概念。然而,个人信息自决/控制权在欧洲早已饱受批判:第一,德国学者指出个人信息?;しú皇潜;な葜魈宥云湫畔⒆跃?span lang="EN-US">/控制,而是一种针对个人信息自动化处理方式给个人人格或财产带来之加害危险的事先防御机制。之所以如此,是因为个人信息自决/控制承认一种近似乎所有权的支配权,制造个人信息的稀缺性,无疑于禁锢思想,阻吓交流。第二,欧洲学者敏锐地提醒:在占有性个人主义大行其道的背景下,在私有财产和市场法则被认为是最有效的权利分配方式的时代,信息自决权日益被解读为在暗示个人对其个人信息具有某种可转让的财产权,即个人信息是个人的财产。然而,信息无法先于其‘表达’或‘披露’存在,而总是以某种方式而被建构出来——逻辑上,个人对与其有关的信息并不拥有某种‘自然’的原始权利?!钡谌?,德国学者称信息自决/控制权为一种乌托邦,因为欧盟GDPR针对个人自决/控制创设的例外太多,使之无法成为有意义的原则。但这无可厚非,因为自决/控制本来既不现实,也无必要——个人就其信息如何处理有一定发言权,但不是最终发言权。

    正因如此,“个人信息受?;とā保?span lang="EN-US">Right to Protection of Personal Data),而非信息自决/控制权Right to Data Self-determination/control),成为欧盟立法的选择。信息?;?span lang="EN-US">”(Datenschutz)一词源于1970年德国黑塞州的信息?;し?,这是世界上该领域的首部专门法律,后经1981年欧洲理事会《数据自动化处理的个人?;す肌氛阶胛⒂镏械?span lang="EN-US">data protection(法语为protection des données),进入国际法律文本,对欧洲各国的后续立法产生深远影响。比如英国1984年通过的相关法律就命名为《信息?;しò浮罚?span lang="EN-US">Data Protection Act),而非此前在英语世界更为流行的隐私法案(例如美国1974年《隐私法案》)。该传统为欧盟1995年数据?;ぶ噶?、《欧盟基本权利宪章》以及GDPR所延续。相较于信息自决/控制权,个人信息受?;と?span lang="EN-US">”一词摈弃了个人独占、控制信息之意味,不以个人信息本身为客体,而是指向个人在信息处理过程中应当获得的?;?。具体如何?;?,则有赖于国家履行对该项基本权利的?;ひ逦?。许多国家宪法明文规定的也正是个人信息受?;と?。例如《希腊宪法》第9条规定:任何人就其个人信息的收集、处理和使用,尤其是通过电子手段为之的,受到法律?;?。《墨西哥宪法》第16条规定:所有人都享有个人信息受?;ひ约胺梦?、更正和删除此类信息的权利。《阿尔及利亚宪法》第46条规定:所有人在其个人信息被处理时受到?;な欠杀U系囊幌罨救ɡ?。有鉴于此,我国应当采用个人信息受?;とㄕ庖桓拍?。

    事实上,立法者早已做此选择。如前所言,《民法典》确立了作为民事权利的个人信息受?;と?。此外,2013年修改的《消费者权益?;しā返?span lang="EN-US">14条规定:消费者在购买、使用商品和接受服务时,享有个人信息依法得到?;さ娜ɡ?。”2016年《网络安全法》第64条规定:网络运营者、网络产品或者服务的提供者侵害个人信息依法得到?;さ娜ɡ?,由有关主管部门责令改正。”20214月公布的《个人信息?;しǎú莅福罚ㄒ韵录虺?span lang="EN-US">“个保法草案)二审稿第2条规定:自然人的个人信息受法律?;?,任何组织、个人不得侵害自然人的个人信息权益?!贝舜Φ摹案鋈诵畔⑷ㄒ妗敝傅木褪恰盎诟鋈诵畔⑹鼙;とㄊ迪侄竦帽U系母髦窒喙胤ㄒ妗?。这些横跨民法、经济法、行政法等领域的立法不约而同地规定个人信息受?;と?,正体现出我国的个人信息?;し商逑凳且宰魑芊ɑ救ɡ母鋈诵畔⑹鼙;とㄎ拍罨?。


    四、宪法基本权利视野下的个人信息?;し商逑到ü?/p>


    正如本文开头所言,我国个人信息?;し商逑涤χ糜谝桓瞿艹浞纸馐秃陀行Ч娣陡锰逑档暮诵母拍钪?。前文已论证作为民事权利的个人信息权难以独自担此重任,本节基于宪法基本权利教义学,以个人信息受?;とㄎ龇⒌?,从其内容(“?;な裁础保?、功能(“如何?;ぁ保┖拖拗疲ā氨;ざ嗌佟保┤鼋嵌?,尝试建构我国个人信息?;し商逑?。

    (一)我国宪法上个人信息受?;とǖ哪谌?/p>

    宪法上个人信息受?;とǖ哪谌?,决定其?;し段?,因为,基本权利的内容决定了权利主体可以就何种客体提出何种主张。在确定我国宪法上个人信息受?;とǖ哪谌菔?,应注意以下三点:

    第一,个人信息受?;とǖ母灸勘昃龆ǜ孟罨救ɡ哪谌?。进入数字时代,个人信息天然具有公共性、交互性,其自由流动与利用具有巨大社会和经济价值,?;じ鎏逭加屑任蘅赡?,也不必要。因此,个人信息受?;とú⒉灰庠谑迪中畔⒅魈宥愿鋈诵畔⒕?、排他的控制。然而,随着信息高速流动和广泛利用,原本零散、偶发的个人信息处理,日渐具有规模性和持续性,经由“马赛克效应”(Mosaic Effect),将信息主体置于前所未有的被操控、侵扰或歧视之境地,使其因数字化客体化,面临人格尊严贬损的巨大风险。为扭转这一局面,有必要让每时每刻都在被“处理”的信息主体在此过程中重拾主体地位,确保其个人信息以合乎人格尊严的方式被处理。这既是我国《宪法》第38人格尊严不受侵犯的题中之义,也是个人信息受?;とǖ母灸勘?,即通过控制个人信息处理活动,在不限制个人信息自由流动和利用的前提下,确保个人信息处理不逾越人格尊严底线。个保法草案二审稿第1条规定为了?;じ鋈诵畔⑷ㄒ?,规范个人信息处理活动,促进个人信息合理利用,制定本法,正体现了这一目标。为了彰明其宪法基础,建议在制定本法前添加根据宪法。

    第二,个人信息受?;とㄖ小案鋈诵畔ⅰ钡亩ㄒ寰龆ǜ孟钕芊ㄈɡ姆段?。对此,《民法典》第1034条表述为:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。个保法草案一审稿、二审稿第4条表述为:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。二者都是对宪法上个人信息受?;とǚ段Ц龅男纬尚远ㄒ?。两相对比,《民法典》采用识别标准,个保法草案则采用识别+关联标准。前者是从信息到个人,由信息本身的特殊性识别出特定自然人,凡有助于识别出特定个人的信息都是个人信息;后者则还要加上“从个人到信息”,在识别出特定自然人后,该特定个人在其活动中产生的信息均为个人信息。后者的范围大于前者。事实上,从2012年《全国人大常委会关于加强网络信息?;さ木龆ā?,到2016年《网络安全法》第76条,再到2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,个人信息的认定标准从直接识别直接识别+间接识别再到识别+关联,范围渐趋扩大。在《民法典》退回到识别标准后,个保法草案又回归识别+关联标准。这标志着立法者在立法形成空间内,不断调适个人信息的认定标准。但问题是:何种标准才能更好地落实宪法上的个人信息受?;と??这就涉及如何判断基本权利的内在限制,即其本身所固有的、非外在的限制。这种内在限制不应过大,否则会不当限缩宪法?;さ姆段?。因此,学理上一般认为基本权利的内在限制包括“禁止明显危害社会的行为”“暴力禁止”“尊重第三方财产”“禁止权利滥用”“恶意禁止”。在此视角下,与《民法典》的“识别”标准相比,个保法草案的“识别+关联标准虽更宽泛,但并未突破个人信息受?;とǖ哪谠谙拗?。更重要的是,与被识别后的特定个人关联的信息,如个人位置信息、通话记录、浏览记录等,无疑会对个人尊严产生影响,也应纳入宪法基本权利的?;し段?。因此,个保法草案对个人信息的定义更加符合宪法上个人信息受?;とǖ哪诤?。为避免法律冲突,对《民法典》第1034条第2款的解释应参照该定义。这也再次说明民法规范不能作为我国个人信息?;し商逑档幕痉?。

    第三,个人信息受?;とㄖ小笆鼙;ぁ钡亩ㄒ寰龆ǜ孟钕芊ㄈɡ娜?。根据前述个人信息受?;とǖ母灸勘?,其所?;さ牟⒎切畔⒅魈宥愿鋈诵畔⒄加?、使用、收益、处分,而是个人在信息处理过程中的主体尊严。为达到这一目的,当个人与信息处理者之间存在不平等关系时,通过赋予个人知情、决定、查询、复制、更正、携带、删除等一系列工具性、中介性、程序性的权利,以实现其与信息处理者之间的制衡结构,避免其沦为客体。此一工具性的“权利束”无法从作为民事权利的个人信息权那里派生而出,而只能是宪法上个人信息受?;と涫抵峁?。这正是个保法草案一审稿、二审稿第四章以“个人在个人信息处理活动中的权利”,而非“个人信息权”为标题的关键原因。当然,个人信息受?;とㄅ缮龉ぞ咝匀ɡ?,不代表一套固定的权利能“包打天下”。不同场景下,公民因个人信息被处理而面临的尊严减损风险不尽相同,工具性权利束也须相应调整。后文对此将详述。

    (二)我国宪法上个人信息受?;とǖ墓δ?/p>

    宪法上个人信息受?;とǖ墓δ?,决定其?;し绞?,即个人信息?;に攵缘那趾Ψ缦赵匆约八捎玫谋;な侄?。数字社会中,随着数据跨境流动,来自国内外的公私主体均已成为个人信息侵害的风险源。如前所言,个人信息民事权利无法对抗公权信息处理者。要实现“全方位、无死角”的?;?,必须引入作为宪法基本权利的个人信息受?;と?。这是因为宪法基本权利具有双重性质,既是一种“主观权利”,也是一种“客观法”。在“主观权利”面向下,基本权利主要具有防御权功能,即对抗公权主体,国家负有避免侵害基本权利的消极(不作为)义务。此种功能下,个人信息受?;とù砉液透鋈说乃焦叵?,在二者之间树起屏障,防御国家在处理个人信息过程中侵害个体尊严。而在“客观法”面向下,基本权利则要求国家帮助和促进基本权利实现,尤其是在基本权利受到第三方影响时,国家有为其提供?;さ幕ㄗ魑┮逦?。此种功能下,个人信息受?;とù淼氖枪摇鋈恕谌降娜吖叵?,国家为使个人尊严免受第三方侵害而积极提供?;?。这里的第三方包括来自外国的侵害者??杉?,唯有宪法上的个人信息受?;と芡倍钥构?、私人和域外的侵害风险源。当《民法典》第111条和个保法草案二审稿第2条规定任何组织和个人”不得侵害个人信息权益时,它们并非在规定一项民事权利,而是在落实宪法基本权利。关于个人信息受?;とㄋ杂Φ墓蚁突逦袢绾握箍?,以往研究已有细致讨论。此处从宏观角度,勾勒出宪法上个人信息受?;とㄍ成阄夜鋈诵畔⒈;し商逑档牧教趼肪?。

    第一,以个人信息受?;とǖ闹鞴廴ɡδ芾炊钥构ㄇ趾Ω鋈诵畔⒌姆缦?。无论是公权主体处理个人信息的基本原则,抑或相关具体规范,都可在此功能下得到解释。一方面,根据《民法典》第1035条第1款,处理个人信息应征得信息主体同意,除非法律、行政法规另有规定。但这一逻辑并不适用于公权主体。一项法学常识是:私法领域奉行意思自治,以合意为行动原则,法无禁止即自由;公法领域则追求有限政府,以法定为行动原则,法无授权不可为。因此,对私人信息处理者而言,信息主体的知情同意是信息处理的基本原则,除非立法有例外规定。相反,对公权信息处理者来说,其个人信息处理活动是以法律授权而非信息主体的知情—同意为基本原则。即使信息主体同意,若无法律授权,公权主体也不能处理个人信息。这正是为什么个保法草案一审稿、二审稿第34条规定国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。当然,第35条还进一步规定:国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意。但这只是在法定的基础上额外增加同意的要求,对公权主体处理个人信息科以高于私人处理者的标准。

    另一方面,大量具体规范设定了公权主体的个人信息?;すㄒ逦窈驮鹑?。例如《民法典》第1039条规定国家机关、承担行政职能的法定机构及其工作人员应对履职过程中知悉的个人信息保密;刑法修正案(七)对国家机关或者金融、电信、交通、教育、医疗等单位工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人以及单位犯此罪的,规定了刑事责任;个保法草案二审稿第67条规定国家机关不履行本法规定的个人信息?;ひ逦竦?,由其上级机关或者履行个人信息?;ぶ霸鸬牟棵旁鹆罡恼?;对直接负责的主管人员和其他直接责任人员依法给予处分”。在一些具体的行政管理领域,也有此类规范。例如《居民身份证法》第13条规定:有关单位及其工作人员对履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,应当予以保密。《出口管制法》第29条规定:有关国家机关及其工作人员对调查中知悉的……个人信息依法负有保密义务?!锻绨踩ā返?span lang="EN-US">45条规定:依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。此外,《电子商务法》第25条、《契税法》第13条、《社会保险法》第92条、《医疗保障基金使用监督管理条例》第32条、《戒毒条例》第7条等也有类似规定。然而,既有立法在落实宪法上个人信息受?;とㄖ鞴廴ɡ嫦蛏先杂腥闳毕荩?/p>

    其一,覆盖范围不足。重点领域立法对公权主体个人信息?;ひ逦袢狈壅?。最典型的如2019年修订的《政府信息公开条例》第15条维持2008年原条例将个人隐私作为公开例外的规定,对个人信息?;ぶ蛔治刺?。2021年修订的《行政处罚法》第50条也有此问题。同时,个保法草案未能囊括全部公权信息处理者,后者包括如下三类:国家机关、准国家机关(即行使公权力的非国家机关)以及相关工作人员。个保法草案一审稿第四章仅涉及国家机关,二审稿第37条增加了法律、法规授权的具有管理公共事务职能的组织,但均未涵盖相关工作人员。而且根据《行政诉讼法》第2条,规章授权组织也属于准国家机关,理应反映在个保法草案中。

    其二,规范密度过低。除个保法草案外,既有立法大多只是设定了公权主体的个人信息保密义务,对其收集、存储、使用、加工、提供、公开个人信息等活动疏于规范。即使是个保法草案,也只是辟出一小节、五个条文来设立“国家机关处理个人信息的特别规定”,对许多问题依旧语焉不详。例如个保法草案一审稿第36条曾规定:国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。这一条在二审稿中被删去,国家机关公开、提供个人信息的活动由此失去明确的法律规范。

    其三,特别规定缺位。既有立法未能充分反映公权主体在个人信息?;し矫娴奶厥庑?。一方面,针对公权和私人处理者,信息主体享有的工具性权利是不同的。个保法草案一审稿、二审稿第四章确立一系列“个人在个人信息处理活动中的权利”,包括知情权、决定权、查阅权、复制权、更正权、补充权、删除权等。草案第33条进一步规定:国家机关处理个人信息的活动适用本法,除非有特别规定。征诸国家机关处理个人信息的特别规定一节,并无关于个人面对国家机关处理者所享有工具性权利的特别安排。这无疑是一种缺漏,因为不能以同一套工具性权利束同等适用于国家机关。例如美国《隐私法案》就只规定公民对联邦政府的信息处理活动享有知情权、查阅权、复制权、更正权、补充权,而未规定删除权。英国2018年《数据?;しò浮罚?span lang="EN-US">Data Protection Act)设定了专门针对刑事执法、司法(Law Enforcement)机关和情报(intelligence)部门的信息主体工具性权利束,包括查阅权、更正权、删除权、限制处理权,但不包括GDPR规定的可携权。即便是同一工具性权利,对公权处理者和私人处理者的要求也不一样。以删除权为例,根据个保法草案一审稿、二审稿第47条第3项,个人撤回同意是信息处理者删除个人信息的正当事由,但这只对私人处理者适用,无法适用于公权处理者。另一方面,针对公权和私人处理者,个人信息?;せ埔灿τ兴?。个保法草案二审稿第七章规定了个人信息处理活动违法侵权的法律责任,但其中大部分内容只适用于私主体,例如第65、70条规定的行政处罚,以及第68条规定的侵权损害赔偿责任,因为该条遵循的过错推定原则与《国家赔偿法》上的违法责任原则大相径庭。个保法草案专门为公权主体个人信息违法侵权设定的法律责任仅有第67条规定的行政系统内部责令改正和处分,缺乏包括行政复议、诉讼和国家赔偿在内的监督救济机制。

    综上所述,现有立法未能有效落实宪法上个人信息受?;とǖ闹鞴廴ɡδ?。建议尽快制定一部针对公权信息处理者的专门立法,就信息处理原则、义务、信息主体的工具性权利、违法侵权责任等作出系统性规定,并畅通行政复议、诉讼和国家赔偿等监督救济渠道,弥补我国个人信息?;し商逑档闹卮笕笔?。

    第二,以个人信息受?;とǖ目凸鄯üδ芾炊钥顾饺撕陀蛲飧鋈诵畔⑶趾Ψ缦赵?。作为客观法的基本权利有三种功能:一是“制度性保障功能”,即“立法者必须建构相关法律制度以形塑基本权利之内涵,为基本权利的保障提供制度性支持”;二是“组织和程序保障功能”,即“设立适当的组织机构和程序来落实基本权利的保障”;三是“侵害防止功能”,即“建立具体制度,通过这些制度的运行,?;じ鋈嗣馐艿谌说那趾Α?。林林总总的现行个人信息?;ち⒎ń钥稍谡庑┕δ芟禄竦媒馐?,兹举几例:

    制度性保障功能下,早在2012年,全国人大常委会《关于加强网络信息?;さ木龆ā肪涂诿饕宓刂赋?span lang="EN-US">“国家?;つ芄皇侗鸸窀鋈松矸莺蜕婕肮窀鋈艘降牡缱有畔?span lang="EN-US">”。随后,无论是《刑法》《民法典》,还是《网络安全法》《数据安全法》《个人信息?;しā?,都是在为个人信息受?;とㄌ峁┲贫刃灾С?。个保法草案二审稿第11条更是明确承诺:国家建立健全个人信息?;ぶ贫?。组织和程序保障功能下,个保法草案二审稿第59条确定由国家网信部门负责统筹协调个人信息?;すぷ骱拖喙丶喽焦芾砉ぷ?。国务院有关部门在各自职责范围内负责个人信息?;ず图喽焦芾砉ぷ鳌?。这虽有多头监管之嫌,但本意是为了建立组织机构来保障个人信息受?;と?。侵害防止功能下,个人信息?;ち煊蛞呀⑵鸬拿穹ㄇ秩?、行政监管以及刑事处罚制度,都旨在?;じ鋈诵畔⒚馐芩饲趾?。个保法草案二审稿第3条规定域外效力、第12条规定国家促进个人信息?;し矫娴墓式涣饔牒献?、第38-43条规定个人信息跨境提供规则,则是在落实国家?;ぞ衬谛畔⒅魈迕馐苡蛲馇趾Φ囊逦?。

    当然,宪法上个人信息受?;とǖ目凸鄯üδ苋绾尉咛迓涫?,立法机关自有形成空间,但总体上应遵从基本权利教义学,把握如下三点:

    首先,坚持宪法权利与部门法权利的互动性。这是基本权利间接第三人效力(Mittelbare Drittwirkung der Grundrechte)所要求的。如前所言,我国宪法上的个人信息受?;と?,经由客观法面向的制度性保障功能,落实到民法、经济法、行政法上,就成为相应部门法上的个人信息受?;と?。在此意义上,后者是前者的具体化。但这并不表示后者就是前者的原样照抄。近年来,有学者对基本权利第三人效力展开批评,核心理由是基本权利传统上仅处理公民与国家之关系,若搬来解决公民与公民之关系,将造成错配,甚至会威胁私人自治,因为宪法权利和民法权利在调整对象、规范强度、权利内容、权利目的等方面迥异。这印证了前文关于区分对抗私人主体的个人信息受?;とê投钥构ㄖ魈宓母鋈诵畔⑹鼙;と?、对后者作特别规定的主张,但并不取消宪法上个人信息受?;とǖ目凸鄯üδ?,因为其本身具有“一阶价值”,可通过价值辐射对私法关系产生间接第三人效力,在尊重民法等部门法独立形成空间的前提下,要求部门法在宪法框架内行使形成自由,从而使宪法和部门法上的个人信息受?;とㄊ迪帧昂投煌?。

    其次,实现个人信息侵害风险源覆盖的整全性。这是部门法?;せ救ɡ牟蛔憬梗?span lang="EN-US">Unterma?verbot)原则所要求的。如前所言,唯有宪法上的个人信息受?;とú拍芏钥垢骼喔鋈诵畔⑶趾Ψ缦赵?,具体落实有赖于部门法形成。就侵害风险源而言,除前文提及的公权和域外主体,还包括私人主体,根据其与信息主体的关系可分为三类:

    一是“不平等关系”下的私人处理者,例如作为雇主的私人处理者,其对作为雇员的信息主体不仅拥有“数据权力”(DataPower),还有因雇佣关系而生的支配地位。例如根据《劳动合同法》第8条,用人单位招用劳动者时,有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。个保法草案二审稿第13条也规定为订立或者履行个人作为一方当事人的合同所必需的,可不经同意处理个人信息。尽管如此,为了确保雇员在雇主处理其个人信息过程中的尊严地位,劳动法上也对雇员个人信息?;ぷ龀隽俗殴娑?。例如《就业服务与就业管理规定》第13条就要求:用人单位应当对劳动者的个人资料予以保密。公开劳动者的个人资料信息和使用劳动者的技术、智力成果,须经劳动者本人书面同意。但目前我国劳动法缺乏对雇员个人信息?;さ南低彻娑?,须进一步完善。

    二是“准平等关系”下的私人处理者,例如提供产品或服务的私人处理者(典型的如平台),其对作为消费者的信息主体具有数据权力,但不具有其他支配地位。个保法草案正是通过赋予个人工具性权利束,来平衡这种场景下的“非对称权力结构”。同时,传统上旨在调节市场不平等关系的经济法在此也有用武之地,例如《电子商务法》《消费者权益?;しā范蕴囟ㄓ锞持械母鋈诵畔⒈;ぷ鞒龉娑?。

    上述两种情形下,私人处理者和信息主体之间都存在“持续不平等信息关系”,既有研究认为这是个人信息?;し芍贫仁视玫那疤?。但这是不完整的,因为还有第三类个人信息侵害风险源,即“平等关系”下的私人处理者,其对信息主体并无系统、持续的数据权力,但仍可能侵害个人信息,典型的如黑客、因职务而处理个人信息的人员等。此类私人主体并不构成个保法草案二审稿第72条规定的个人信息处理者,即自主决定处理目的、处理方式等个人信息处理事项的组织、个人,故不适用《个人信息?;しā?,信息主体对其也不享有工具性权利。但这并不意味着此类私人主体逃逸出我国个人信息?;し商逑?。例如《刑法》第253条规定的侵犯公民个人信息罪的行为主体,就从刑法修正案(七)的国家机关或者金融、电信、交通、教育、医疗等单位工作人员,经刑法修正案(九)扩展到一切主体。但该罪的?;し段Ь窒抻谛畔⑹占方?,未对信息收集之后的侵害个人信息行为提供刑法观照,距离侵害风险源全覆盖之要求仍有差距。

    以上分析表明:为落实基本权利?;さ牟蛔憬乖?,我国个人信息?;し商逑涤θ娓哺歉骼喔鋈诵畔⑶趾Ψ缦罩魈搴托形?。不同部门法须在这一共同目标下各安其位、各负其责,协力形成和保障宪法上个人信息受?;と?,不存在孰为基本法的问题。

    第三,追求个人信息?;な侄蔚氖实毙?。这是功能适当(Funktionsgerechte Organstruktur)原则所要求的。该原则指向国家决策的正确性和理性化,使国家运作更有效率,更妥当地实现国家的各项任务。个人信息受?;とǖ目凸鄯嫦蛞蠊衣男谢;ひ逦?,功能适当原则要求国家理性、高效地履行这种义务。上文提及的针对不同个人信息侵害风险源,配以不同部门法?;?,正是在落实该原则。个人信息?;ち⒎ǖ娜种葱惺侄我灿Ψ细迷颍?/p>

    一是公共执行(Public Enforcement),即公权机关的监管、执法、处罚等。由于私人信息处理者的技术、资本优势,信息主体个人维权难以应对,故行政监管部门的公共执行应成为个人信息?;ち⒎ǖ闹饕葱惺侄?。这也是为什么个保法草案二审稿第五章详细列举个人信息处理者的义务,其目的正在于从公法上对信息处理者提出合规要求,为高额???、停产停业等公共执行手段奠定基础。当然,公共执行毕竟资源有限,个人信息处理者也往往借助其技术优势逃逸监管。由此,基于行政法上的元规制Meta-regulation)或内部管理型规制”(Management-based Regulation)理念,个保法草案第57条增设提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者(所谓守门人)的特殊合规义务,正是为了提高监管效能,体现了功能适当原则。此外,与GDPR建立一站式监管机制Onestop-shop Mechanism)不同,个保法草案二审稿第59条采用了国家网信部门统筹协调、其他有关部门在职责范围内负责个人信息?;すぷ鞯?span lang="EN-US">“多头治理模式,未能清晰、细致地明确各监管部门之间的权责分工与界限,难以避免权限重叠冲突、执法尺度不一等问题,不利于个人信息?;ぜ喙苤捶ǖ母咝Э?,有违功能适当原则,亟待改善。

    二是私人执行(Private Enforcement),即个人维权诉讼。相较于公共执行,面对拥有数据权力的个人信息侵权者,私人执行面临取证难、成本高、赔偿低的困境。个保法草案二审稿第68条明确规定个人信息侵权的过错推定责任,正是为了强化私人执行,落实功能适当原则。但如前所言,个人信息侵害主体并不一定具有数据权力。对平等关系下的侵害主体适用过错推定责任并无必要。因此,民法学界提出个人信息侵权的二元归责原则体系,区分采用和未采用自动化系统的侵权者,前者适用过错推定责任,后者适用一般过错责任。这同样体现了功能适当原则。除民法侵权诉讼外,个人信息?;ち⒎ǖ乃饺酥葱谢褂Πㄐ淌伦运?。根据2020年修订的《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》第1条,侮辱、诽谤案属于刑事自诉案件,严重危害社会秩序和国家利益的除外。鉴于个人信息侵权和侮辱、诽谤一样都可能严重危害公民个人尊严,建议将严重侵害个人信息受?;と?,民事责任不足应对,但还未达到严重危害社会秩序和国家利益程度的情形纳入刑事自诉案件范围,以进一步提高个人信息?;ち⒎ǖ闹葱行?。

    三是社会执行(Social Enforcement),即公权机关和公民个人以外的社会组织来执行个人信息?;し?。较之公权监管,它成本更低;较之私人维权,它更集中有力。以社会执行来补充公权监管、私人维权,符合功能适当原则。据此,个保法草案二审稿第69条规定:个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,国家网信部门确定的组织可以依法向人民法院提起诉讼。当然,哪些组织在何种条件下可以提起此种公益诉讼,还有待细化规定。

    (三)我国宪法上个人信息受?;とǖ南拗?/p>

    如前所言,个人信息受?;とú⒎蔷匀?,而是受到限制的,但这种限制本身也要受到限制。根据基本权利教义学,对基本权利限制的限制包括形式和实质两方面,前者指法律保留原则,后者指比例原则。据此,个人信息受?;とú⒉唤勾砀鋈诵畔?,而是要求处理活动符合法定条件和比例原则,由此确保个人尊严。在此视野下,既有个人信息?;ち⒎傻玫浇馐停?/p>

    首先,《民法典》第1035条规定处理个人信息应当遵循合法原则。个保法草案二审稿第5条也规定处理个人信息应当采用合法方式,第10条要求任何组织、个人不得违反法律、行政法规的规定处理个人信息,第13条明文列举了七项个人信息处理的合法性基础?!锻绨踩ā返?span lang="EN-US">41条要求网络运营者依照法律、行政法规的规定处理其保存的个人信息。这些规范均表明处理个人信息必须符合法定条件。其次,《民法典》第1035条规定处理个人信息应当遵循正当、必要原则,不得过度处理。个保法草案二审稿第6条规定,处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理”;第13条要求处理个人信息应限定在为履行法定职责、订立合同、应对突发公共卫生事件等合法目的所必需的范围内;第27条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。这些规范都是在落实过度禁止überma?verbot)要求,防止个人信息处理突破比例原则的边界。

    然而,实践中仍存在违反法律保留原则和比例原则限制个人信息受?;とǖ南窒?。例如20209月,苏州政府推出苏城文明码,意在作为警示和惩戒综合文明指数低于下限人员的电子凭证以及外来人口积分入户志愿服务电子凭证,但这一个人信息处理行为并无法律、行政法规依据。即便有法定依据,某些信息处理行为也不符合比例原则,具体包括两种情形:第一,缺乏正当目的。比例原则首先要求限制基本权利具有目的正当性,即目的本身合宪。以我国的人事档案制度为例。根据《干部档案工作条例》第31条和《企业职工档案工作管理规定》第17条,任何个人不得查阅本人档案。人事档案包含大量个人信息,个人理应拥有查阅权。上述规定剥夺这种查阅权,源于革命运动年代查验、考核干部、保障组织和国家安全的需要。时至今日,这种人身依附性浓重的制度安排,在国家尊重和保障人权的宪法诫命下,已然失去目的正当性,亟待改变。第二,超出必要范围。比例原则要求限制基本权利是为了达到正当目的所必需。自2019年底新冠疫情爆发后,各地政府纷纷建立个人健康码系统,作为数字化疫情监控的重要工具。但随着疫情防控进入常态,各地都在考虑如何常态化使用健康码。杭州就曾提出改造健康码,来集成电子病历、健康体检、生活方式管理的相关数据,建立个人健康指数排行榜,甚至对楼道、社区、企业等健康群体进行评价。这种个人信息的收集和使用已经远超防疫所必需,违反比例原则。因此,有必要根据宪法上个人信息受?;とǖ囊?,对疫情防控常态化后的健康码制度展开系统反思与改造。


    五、结语


    2000年全国人大常委会《关于维护互联网安全的决定》以降,我国的个人信息?;し芍贫纫逊⒄苟嘣?,形成了一套横跨民法、行政法、刑法、经济法、劳动法等部门法的规范体系。其中,《民法典》首次从民事基本法的高度确认个人信息受法律?;?,历史意义非凡。民法学者多年的深入讨论和扎实积累,也为推动我国个人信息?;しㄖ品⒄棺龀隽瞬豢赡ッ鸬墓毕?。然而,以民事权利为个人信息?;し商逑蹈拍罨〉闹髁鞴鄣?,在理论和实践上都值得反思,民事权利难以独担统率我国个人信息?;し商逑抵厝?。因此,有必要将视野提升至宪法层面,以域外经验为镜鉴,重新解释我国《宪法》第38条,发现作为基本权利的个人信息受?;と?。较之民事权利基础论,以宪法上的个人信息受?;とㄎ拍罨?,对建构我国个人信息?;し商逑稻哂腥矫娴挠呕庖?。第一,厚基础,即作为基本权利的个人信息受?;と梢晕穹?、行政法、刑法等具体领域的个人信息权益提供宪法依托;第二,全覆盖,即个人信息受?;とǖ闹鞴廴ɡ涂凸鄯嫦蛞蠊页械O牖;ひ逦?,由此能充分覆盖各类个人信息侵害风险源;第三,规范化,即基本权利间接第三人效力、不足禁止、功能适当、法律保留、比例原则等宪法教义,能为进一步完善个人信息?;し芍贫群褪导峁┕娣吨敢?。总之,以宪法上个人信息受?;とㄎ?,能建构出一套基础更稳固、内容更完整、结构更合理的个人信息?;し商逑?。该体系可由下图来直观展示:



    版权所有:法治政府研究院北京市海淀区西土城路25号邮编:100088

    站长统计 联系我们

    日本laurenphilips,亚洲国产AV玩弄放荡人妇系列,在线播放无码成动漫视频 自拍亚洲欧美在线成电影| 亚洲成A人片在线观看无码| 欧美日韩国产成人高清视频| 久久精品国产国产精品亚洲| 免费可看黄的视频网站| 男同桌把我腿打开丝袜内裤| 亚洲精品第一国产综合精品99| 天天躁日日躁狠狠躁超碰97| 综合色图| 粉嫩被两个粗黑疯狂进出|