个人信息保护法律体系的宪法基础.docx
信息保护法雌系的宪现础本文由王锡锌教授提出基本框架(四步论证结构)与核心立场(个人信息保护法律体系以宪法上个人信息受保护权为基点),由彭藩助理教授细化对民事权利基础说的反思和对个人信息受保护权基础说的论证,由两位作者多次讨论修改完成。一、问题的提出:探寻个人信息保护法律体系的概念基础随着数字时代的深入发展,个人信息的法律保护巳成全球共识。在我国,网络安全法电子商务法民法典相继实施,数据安全法个人信息保护法即将出台,个人信息保护法律体系已初具规模。在此背景下,探寻何为该体系的概念基础(COnCePtUalFoundation),对充分解稀和有效规范该体系的核心概念,具有承前启后的重要意义。“承前”意义在于从恰当的概念基础出发,可以推导出一幅内部逻辑协调的“就念地图”,为既存的个人信息保护规范提供系统化说明;“启后1意义则在于揭示现行立法与实践之不足,为下一步改进完善提供查漏补缺的指引。对此,学界目前的主流观点有二:首先,应以法律权利作为我国个人信息保护法律体系的慨念基础。尽管有学者提出个人信息处理规制的行为主义进路,试图绕开个人信息赋权的难题,(1)参见梅夏英:在分享和控制之间:数据保护的私法局限和公共秩序构建,栽中外法学2019年第4期,第845-870页:冯果、薛亦飒:从"权利规范模式”走向“行为控制模式"的数据信托一数据主体权利保护机制构建的另一种思路,栽法学评论2020年第3期,第7073页。但这是绕不开的,因为对信息处理者特定行为是否规制、如何规制,归根结底取决于信息主体对个人信息是否享有、享有何种值得法律保护的利益。只有在确定个人信息权益究竟属于何种法律权利的基础上,才能进一步推演相应的法律义务、责任和规范,达至L套个人信息保护法律体系。其次,在此前提下,学界主流观点认为我国个人信息保护法律体系的概念基础是作为民事权利的个人信息权,据此推导出信息处理者负有不得侵害个人信息的民法义务,民事责任是个人信息保护的基本手段,民法典是个人信息保护领域的基本规范,同其它个人信息保护立法(如个人信息保护法)属于L般法和特别法的关系。(2)对此下文将评述。本文赞同我国个人信息保护法律体系应以法律权利为概念基础,但认为恰当的选择并非作为民事权利的个人信息权,而是作为宪法基本权利的个人信息受保护权。具体论证分三步展开:第一,梳理民事权利基础论的理路,剖析其三项核心命题,并展开反思;第二,论证个人信息保护能在我国宪法上获得安顿,并应以个人信息受保护权1的概念来表达;第三,在宪法上个人信息受保护权的视野下,通过展开其内容、功能与限制,速构我国个人信息保护法律体系。二、重省民事权利基础论(一)民事权利基础论之理路民事权利基础论包含以下三项核心命题:第一,主张个人信息本身是民事权利客体。理由如下:基于民法典3第111条,认为若个人信息不是民事权利,则“立法者不可能在作为民商事领域基本法的民法典中做出规定,更不会在其总则编的民事权利'章中加以规定”。(3)程啸:论我国民法典中个人信息权益的性质,栽政治与法律2020年第8期,第3-4页。认为个人信息权本质上是一种对世.排他、绝对的个人信息自决权,保护自然人对个人信息的自我占有和支配。(4)杨立新:个人信息:法益抑或民事权利一对民法总则第111条规定的“个人信息”之解读,载法学论坛2018年第1期,第41页O认为个人信息权是新型、独立的人格权,除传统人格权消极防御的特性外,还有积极控制的面向,派生出信息知情、同意、查询、修改、更正、删除等权能。(5)王利明:论个人信息权在人格权法中的地位,载苏州大学学报(哲学社会科学版”2012年第6期,第74页:同上注,杨立新文,第42页;另见张里安、韩旭至:大数据时代下个人信息权的私法属性,载法学论坛2016年第3期,第128129页;张红:民法典(人格权编)一般规定的体系构建,栽武汉大学学报(哲学社会科学版)2020年第5期,第155173页。第二,主张个人信息权益不具有公法权利属性。理由如下:认为作为民法权利的个人信息权可对抗任何组织或个人的侵害。公权力机关侵害个人信息权,私权利主体同样可要求其承担法律责任。(6)同前注(3),程啸文,第6页。认为“尽管实践中对个人信息采用刑法、行政法等多重保护机制,但并不影响个人信息权为民事权利的基本属性。为了全面保护民事主体的利益,在民法之外,通过刑法、行政法乃至社会法来保护民事权利,是法律保护的常态表现工(7)同前注(5),王利明文,第69页。认为处理个人信息的公、私主体虽然“在处理目的、合法性基础等方面存在不同,但不因此导致自然人与处理者之间关系的区别。信息处理者与自然人之问的法律地位是平等的。国家机关与非国家机关,均负有不得侵害自然人民事权益的义务。在私权利保护的问题上,不存在公权力机关比非公权力机关处于更优越地位的情况(8)同前注(3),程啸文,第56页。“尽管个人信息受保护权的使用、收集过程中存在着行政管理部门的公法行为,但这只需要规定政府部门在信息管理过程中的职责与责任即可,个人信息保护法的核心内容应是民法规范,政府部门的公权在个人信息领域不宜膨胀。”(9)严鸿雁:论个人信息权拉的民事权利性质与立法路径兼评个人信息保护法)(专家袋议稿)的不足,载情报理论与实践2013年第4期,第46页。第三,主张从信息主体的个人信息权出发,以“信息结理者民法义务一侵权者民法责任一民法典规范”的逻辑,建构个人信息保护法律体系。理由如下:认为包含公权力机构在内的所有社会主体均负有不侵犯个人信息权的民法义务。(10)同前注(5),王利明文,第69页。认为“只有民事责任能真正弥补信息主体的损害",因为其"主要形式是赔偿损失,以恢复被侵害人的权益为目的,(11)同前注(9),严鸿雁文,第46页。主张“我国民法典人格权编对个人信息保护的规定,并非简单的一部法御对个人信息保护的规定,而是具有如同欧盟基本权利宪章第8条关千个人信息保护规定相同法律地位的规定”。“只有在民法典中确认个人信息权后,才能为个人信息保护的特别立法提供民事基本法依据."(12)同前注(5),王利明文,第70页;另见王利明:民法人格权堵(草案室内稿)的亮点及改进思路,载中国政法大学学报2018年第4期,第121页;程啸:民法典编纂视野下的个人信息保护,载中国法学2019年笫4期,第33页。公允地讲,上述观点并非囿于学科门户之见,而是具有深刻现实背景和重大历史意义。随着信息技术商速推进,个人信息面临巨大风险,传统隐私保护捉襟见肘,亟需新的法律解决方案。以2000年全国人大常委会关于维护互联网安全的决定为起点,我国的个人信息保护法律制度逐步完善,但直到2020年民法典出台,才一改此前间接、零散的立法进路,在民事基本法的高度规定个人信息受法律保护。相较于行政法、刑法等其它部门法,在该领域,确实是民法提供了迄今最有力、最全面的法律回应。这正是众多学者强调民事权利、义务、责任和规范在个人信息保护法律体系中基础性地位的现实背景。而民法保护体现了对个人信息所承载的尊严、人格、隐私、财产等重大利益的关照,对一个私权保障仍在途中的国家,具有不可否认的历史意义。然而,民事权利基础论内含的三项命题在理论和实践层面均值得反思。(二)民事权利基础论之反思第一,将个人信息作为民事权利客体与民法既有慨念体系存在张力。理由如下:民法典第111条并未明确规定“个人信息权",有别于第110条规定“姓名权、肖像权、名誉权、荣誉权、隐私权,早在民法总则起草时,个人信息是不是民事权利就有争议,(13)参见张新宝:(民法总则个人信息保护条文研究,载中外法学2019年第1期,第65-67页。但民法典最终没有规定个人信息权。这并非立法机关的无心之失,而是基于对个人信息特性的深刻洞察。与传统的人格、财产权客体不同,个人信息没有特定性、独立性,也非无形物,不能归入表彰民事权利的客体。(14)参见梅夏英:数据的法御属性及其民法定位,载中国社会科学2016年第9期,第164页。更重要的是,它具有非排他性、非损耗性,兼具流通和控制双重价值,不能也不应成为绝对、排他、对世的权利对象,否则将阻碍数字社会的纵深发展。(15)这一点早已为众多民法、公法学者反曳阐明。参见吴伟光:大数据技术下个人数据信息私权保护论批判,我政治与法律2016年第7期,第129页:丁晓东:个人信息私法保护的困境与出路,俄法学研究2018年第6期,第194206页;同前注(1),梅夏英文,笫848849页。即使赋予信息主体此种民事权利,也远非最佳保护手段,因为个人信息保护要解决的核心问题是个人与信息处理者之间的“非对称权力结构(16)王锡锌:个人信息国家保护义务及展开,载中国法学2021年第1期,第147页。个体主义权利进路下,个人信息权极易沦为纸面上的权利,(17)丁晓东:个人信息的双重属性与行为主义规制,载法学家2020年第1期,第70页;另见张新宝:我国个人信息保护法立法主要矛盾研讨,裁吉林大学社会科学学报2018年第5期,第50页。可以说,立法者正是洞察到上述问题,才选择不在民法典中明文规定“个人信息权”。实事求是地讲,对个人信息权的上述局限,民法学者早有认识,故提出新型人格权说,试图缓和传统人格权独占、排他的性质,以顺应信息时代之巨变。然而,这是以突破传统民法教义为代价的。如所周知,民法的经典叙事是:人格权不得转让,但民事主体可将部分人格利益以许可使用的方式允许他人利用。(18)参见民法典第992、993条。人格权以占有、保护为原则,以流转、交易为例外。但个人信息并非如此,在现代社会,其保护和流转价值并重,不存在孰为前提、孰为例外。这也能解释为什么民法典第993条在设定人格利益许可使用制度时,只列举了姓名、名称、肖像,而没有提及个人信息,因为个人信息的流转、交易与传统民法上的人格利益许可使用并不相同。(19)有学者指出,寥见民法典第993条在列举这三类人格要素后使用了"等"字,表明列举是不完全的,个人信息也可以许可他人使用。程啸:我国民法典对人格要素商业化利用的规范,载人民法院报2020年12月17日,第5版。但这无法解卷为什么民法典第993条在设定合理使用人格利益制度时,除了姓名、名称、肖像,迁明文列举了个人信息。这意味着要把个人信息保护塞入民法人格权框架,很大程度上必须破坏其原有结构。(20)部分民法学者提出的个人信息新型财产权说也面临相同的挑战。参见龙卫球:数据新型财产权构速及其体系研究,载政法论坛2017年第4期,笫70-73页;刘德良:个人信息的财产权保护,载法学研究2007年笫3期,第80页。当然,民法学者可回应道:为了与时俱进,突破传统民法是应付的代价。但更难应对的问题是:个人信息权无法派生出知情、查询、修改、保密、删除等权能,因为它们本质上是在“服务一种特定的立法目的,即有效地阻止个人信息被非法灌用,而非使信息为个人所独占,(21)同前注(1),梅夏英文,第849页。第二,个人信息权益不仅具有民事权利属性,也具有公法权利属性。理由如下:作为民事权利的个人信息权无法对抗公权力机关。一个法学常识是:民事权利和公法权利的核心差异在于前者对抗平等民事主体,后者对抗国家。这当然不是说公权力机关可以不尊重民事权利,而是说当公权力机关以平等民事主体身份於理个人信息时,需要琮重其所承栽的民事权益。一旦公权力机关履行公共管理职责而处理个人信息,则需尊重个人信息公法权利。在民法典之前,早有一系列法律规定了对抗国家的个人信息公法权利,包括护照法第12条、居民身份证法第6条、国家情报法第19条等。民法典不会覆盖或推翻这些先在立法。事实上,就连民法典第1039条要求1国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的个人信息应当保密”,也是在规定一项公法权利。对个人信息的多重保护机制无法从作为民事权利的个人信息权中导出,原因有二:一方面,国家运用行政法、刑法等手段来保护个人信息,并非为了实现信息主体对个人信息的独占,也不是在协调作为平等民事主体的信息主体和信息处理者之关系。之所以要在民法之外引入其它部门法的多重保护,恰恰是因为信息主体和处理者之间高度不平等,(22)这也是GDPR和个人信息保护法草案均把因个人或者家庭事务而处理个人信息的情形棒除在适用范围之外的原因。以个体维权、诉讼为核心的民法机制无力纠偏”,亟需公共监管、执法和处罚为核心的行政法、刑法机制来“驰援工(23)同前注(16),王锡锌文,第149页。另一方面,时抗私主体的民事权利无法派生对杭公主体的公法权利及配套的公法保护机制。当然,民法学者意识到国家早巳成为个人信息的处理者,也承认公法保护的重要性,(24)参见张新宝:从隐私到个人信息:利登再衡量的理论与制度安排,载中国法学2015年第3期,第46-47页;张彤:论民法典编纂视角下的个人信息保护立法,载行政管理改革2020年第2期,第31页。但因担心承认个人信息公法权利会导致公权机关优位和公权膨胀,仍坚持个人信息仅仅是民事权利客体。在以“管理法”为核心的公法挤压私法的现象并不鲜见的今天,这种担心值得理解与同情。(25)参见林来梵:民法典编纂的宪法学透析,载法学研究2016年第4期,第108页。但现代公法权利的本意是主观公权利”,反映了约束公权、张扬人权的政治哲学,(26)叁见赵宏:主观公权利的历史娘变与当代价值,载中外法学2019年第3期,第666页。与民法私权神圣、私法自治的价值导向若合符节。因此,承认个人信息权益的公法权利属性,不会膨胀公权,而能限制公权。若对公权与私人信息处理者一视同仁,反会造成“公法通入私法,使公权机关假借民事主体身份逃脱公法约束,以表面平等掩盖实质不平等。第三,1信息处理者民法义务一侵权者民事责任一民法典3规范”的逻辑难以完整覆盖个人信息保护法律体系。理由如下:仅有民法义务无法约束公权机关高权性、强制性、公益性的信息处理行为。这些行为只能对应公法义务。仅有民事责任不足以完成个人信息保护重任。个体侵权诉讼在因果关系认定和赔偿确定上存在极大困难,GDPR主要是通过高额罚款来咀吓侵权行为,并没有涉及任何私法救济方式。(27)同前注(1),梅夏英文,第849页。更何况公权机关依职权处理个人信息的行为违法,应承担行政赔偿责任,根据©行政诉讼法国家赔偿法来救济。(28)同前注(3),程啸文,第6页。在我国个人信息保护法律制度尚不完善的语境下,民法学者期待民法典充任欧盟基本权利宪章那样的宪法角色,用心可谓良苦。但“以民法代宪法”发生于近现代欧洲国家动荡、宪法缺乏实效性的特殊历史情境下,平移至我国具有"反历史性"0(29)同前注(25),林来梵文,第109-110页。更重要的是,©个人信息保护法的义务主体、调整范围、执行机制等均不同于G民法典,并非后者的特别法。(30)参见周汉华:个人信息保护的法律定位,载法商研究2020年第3期,第4754页。须澄清的是,论证个人信息不是民事权利的客体,不代表个人信息与民事权利无关。2020年,全国人大常委会法工委在关于中华人民共和国个人信息保护法(草案)的说明中指出:.在编纂民法典中,将个人信息受法律保护作为一项重要民事权利作出规定。"这里的措辞极其精准,表明民法典确立的并非个人信息权,而是个人信息受保护权,前者指向信息主体对个人信息的自决与控制,后者指向信息主体在个人信息处理过程中应得的保护。民法典之所以确立个人信息受保护权,是因为个人信息承栽了重大人格、财产民事利益,须通过对信息主体提供保护来予以维护。正如民法典开宗明义地点明“根据宪法,制定本法”,该项民事权利根源在于我国宪法上的个人信息受保护权,是后者在具体法律中的表述。(31)同前注(16),王锡锌文,第157页。三、作为宪法基本权利的个人信息受保护权随着个人信息法律保护的全球扩张,在宪法层面确立相关权益的必要性已成学界共识.(32)有学者指出:"在当下的互联网时代,在民法典、个人信息保护法等众多立法全方位快速推进的背景下,对相关权益的宪法基础的论证是极为迫切的宪法学任务。"张翔:通信权的宪法释义与审杳框架一兼与杜强强、王锯、秦小建教授商榷,载比较法研究2021年第1期,第41页。早在十余年前,我国就有学者提出个人信息保护体现基本权利核心内容,即人性算严与人格独立,但在我国宪法上届千一项未列举基本权利,应通过宪法判例"写进"宪法。(33)叁见孙平:政府巨型数据库时代的公民隐私权保护,载G法学2007年第7期,第41页:屠振字:宪法隐私权研究一项未列举基本权利的理论论证,法律出版社2008年版,第五章;姚岳绒:论信息自决权作为一项基本权利在我国的证成,载政治与法律2012年第4期,第7375页。这一主张逋遇了两种批评:一是批评这"要求宪法法院或宪法裁判空间,并不符合我国当前国情”:(34)同前注(5),张里安、韩旭至文,第124页。二是批评将保护个人信息提高到基本权利的地位有过度强化个人信息保护之嫌,在与信息自由流通以及信息产业发展间容易产生摩藻(35)徐美:再谈个人信息保护路径一以民法总则第111条为出发点,裁中国政法大学学报2018年第5期,第89页。但这些批评均不成立。一方面,随着合宪性审查工作推进,宪法基本权利不再是空中楼阁,确立个人信息保护基本权利的制度性障碍亦不复存在。另一方面,基本权利不等于地对权利,不会对个人信息提供毫无限制的保护,也不许诺遗世独立的“鲁滨逊式自由7(36)SergeGutwirthetal.eds.,ReinventingDataProtection?,Springer,2009,p.57.因此.当下亟待学理澄清的问题不再是“为何”要确立该项基本权利,而是“如何”确立,具体包括规范依据和概念表达两大任务。(一)个人信息保护基本权利的规范依据如何在宪法上安顿个人信息保护基本权利?各国实践遵循两条路径:宪法肯认(ConStitMonalEMrenChment)和宪法解释(ConStitUtionalInterPretation)。前者是指成文宪法明确写入个人信息保护。目前,全球已有三十多个法域将个人信息保护列为基本权利。(37)2020年11月12日在比较宪法项目数据库(WWW.constituteproject.org)以,"personaldata"为关键词做全文检索,可得现行有效宪法26部;以-PerSOnalinfOrmatiOrH故检索,可得13部。最典型的如欧盟基本权利宪章第8条和欧盟运行条约第16条规定"个人信息受保护权"。更多国家是以宪法解释将个人信息保护纳入基本权利范围。20世纪60、70年代以来,由于计算机系统和自动化处理的推广,西方国家率先开始关注个人信息保护,但此时其成文宪法巳定型,宪法解释成为更优选择,典型代表如美国和德国。1977年的"华伦诉罗伊”案(WhaIenV.Roe)中,美国联邦最高法院基于宪法第四修正案,首次确立"信息隐私权”(RighttOInfOrmationalPriVacy),即-个人、团体或机构要求自主决定何时、如何以及在多大程度上向他人传达有关他们的信息”的权利。(38)AlanWestin1PrivacyandFreedom,AtheneumPress,1967,p.7;DanielSolove,ConceptualizingPrivacy,90CaliforniaLawReview1087,1110(2002).1983年的“第二人口调查案"判决中,德国联邦宪政法院根据基本法第1条第1款的人格尊严条款和第2条第1款的一般人格权条款,推导出个人拥有“信息自决权"(InformationelleSelbstbestimmung),即“有权自己决定何时以及在什么范围内将有关其私人生活的信息传达给他人”,(39)ChriStianBumke&AndreasVoBkuhIe1GermanConstitutionalLaw:Introduction,CasesandPrinciples,OxfordUniversityPress,2019,pp.110111.并指出“作为在数据处理的现代条件下自由发展个性的前提,个人必须被保护免受个人数据的无限收集、储存、使用和传递(40)赵宏:从信息公开到信息保护:公法上信息权保护研究的风向流转与核心问题,载比较法研究2017年第1期,第41页。与美、德类似,我国宪法没有明文肯认个人信息保护。那么,能否通过宪法解释将其纳入基本权利?既有研究给出了肯定的答案,但就所依据的宪法条文育三种不同观点:一是宪法第33条“国家尊重和保障人权”;(41)同前注(33),姚岳绒文,第77-78页。二是第38条规定的人的尊严;(42)同的注(33),孙平文,第41页。三是第38条规定的一般人格权。(43)参见王镐:论宪法上的一般人格权及其对民法的影响,载中国法学2017年第3期,第115页。观点一通过把个人信息定义为人权来论证其基本权利属性,有循环论证之嫌。观点二、三的宪法条文依据相同,都是第38条"公民的人格尊严不受侵犯”,但具体解释方案不同。前者基于“人格尊严条款双重规范意义说",认为该条的“人格尊严”不仅指诸如名誉、肖像等具体权利,也是一种"原则性的就括条款,为此体现了整个人权保障体系的基础性价值",类似于德国基本法第1条规定的“人的尊产”,(44)林来梵:人的算严与人格尊严一兼论中国宪法第38条的解稀方案,栽浙江社会科学2008年第3期,第53页。由此推导出个人信息应受保护。(45)同前注(33),姚岳缄文,第74页。后者则拒绝把第38条类比于德国基本法第1条,认为中国宪法上的-人格尊严”是一种"公民作为具有独立意志的主体享有的得到尊重的权利,包括但不限于不受侮辱、漆谤和诬告陷害的人格权,(46)谢立斌:中德比较宪法视野下的人格尊严一兼与林来梵教授商榷,我政法论坛2010年第4期,第62-63页。即宪法上的一般人格权,个人信息受保护是作为一段人格权内容的个人自我决定权之产物。(47)同前注(43),王错文,第115-116页。显然,两种观点梆认为个人信息保护与算严、人格相关,差别在于如何解释第38条。但区分该条指向的到底是人的算严还是一般人格权,对于把个人信息保护纳入我国宪法基本权利而言,意义并不大。这是因为在徙国基本法上,人的尊严和一般人格权的主要差异是前者不可干预,而后者可被干预,(48)同上注,第IIo-IIl页。我国宪法则没有这个差别,因为根据宪法第51条,两者景应受公共利益和他人权利限制。(49)同前注(46),母立斌文,第63页。因此,在个人信息保护问题上,两种解春方案可以共存互补:人的尊严是个人信息保护的最终价值依归,一般人格权则是其具体权利基础,后者具有中间性(Intermediate)和工具性(InStnJmentaI),目的是为了保障前者。(50)同前注(36),SergeGirtwirth等编书,第53-54页。无论采哪种解释方案,个人信息保护都可依据宪法笫38条纳入基本权利范围。(一)个人信息保护基本权利的概念表达如何在概念上表达个人信息保护基本权利?既有研究提出三种方案:个人信息权(51)参见孙平:系统构筑个人信息保护立法的基本权利模式,载法学2016年第4期,第67页;李伟民:个人信息权"性质之辨与立法模式研究一以互联网新型权利为视角,载上海师范大学学报(哲学社会科学版)2018年第3期,第67页。、个人信息自决/控制权(52)同前注(33),姚岳绒文,第73页;另见周汉华:探索激励相容的个人数据治理之道中国个人信息保护法的立法方向,载法学研究2018年第2期,第21页;王泽鉴:人格权的具体化及其保护范围隐私权编(中),载比较法研究2009年笫1期,第10页。、个人信息受保护权(53)参见石佳友:网络环境下的个人信息保护立法,载苏州大学学报(哲学社会科学版)2012年第6期,第86页。.有学者指出:"个人信息权是指与个人信息收集、使用和处理等相关的权利。"(54)同前注(51),孙平文,第67页。这种界定无疑过于含混,因为不清楚相关权利是个人独有,还是与信息处理者或更多主体分享。有学者进一步把权利主体限于个人,明确个人信息权是"信息主体对其信息享有占有、使用、收益、处分,并防止他人侵害的权利",(55)同前注(51),李伟民文,第67页。这使个人信息权变成个人信息自决/控制权的缩写。如前所言,德国宪法法院就使用了这个概念。然而,个人信息自决/控制权在欧洲早已饱受批判:第一,德国学者指出个人信息保护法不是保护数据主体对其信息自决/控制,而是一种“针对个人信息自动化处理方式给个人人格或财产带来之加害危险的事先防御机制:(56)ReginaAebi-Muller,PersonenbezogeneInformationenimSystemdesZivilrechtlichenPersonlichkeitsschutzes,unterbesondererBerucksichtigungderRechtslageinderSchweizundinDeutschland,2005,S.295,转弓I自杨芳:个人信息自决权理论及其检讨一兼论个人信息保护法之保护客体,载比较法研究2015年第6期,笫32页。之所以如此,是因为个人信息自决/控制"承认一种近似乎所有权的支配权","制造个人信息的稀缺性,无疑于禁锢思想,限吓交流工(57)Vgl.AloisTroller1Immaterialguterrecht1Bd.1,3.Aufl.,1983,S.118ff.,转引自同上注,杨芳文,第29页。第二,欧洲学者敏锐地提醒:"在占有性个人主义大行其道的背景下,在私有财产和市场法则被认为是最有效的权利分配方式的时代,信息自决权日益被解读为在暗示个人对其个人信息具有某种可转让的财产权,即个人信息是个人的财产。然而,信息无法先于其表达'或'披露存在,而总是以某种方式而被速构出来一逻辑上,个人对与其有关的信息并不拥有某种'自然的原始权利.”(58)同前注(36),SergeGLrtWirth等编书,第51页。第三,德国学者称信息自决/控制权为L种“乌托邦",因为欧盟GDPR针对个人自决/控制创设的例外太多,使之无法成为有意义的原则。但这无可厚非,因为自决/控制本来既不现实,也无必要个人就其信息如何处理有一定发言权,但不是戢终发言权。(59)WinfriedVeil,TheGDPR:TheEmperor'sNewClothes-OntheStructuralShortcomingsofBoththeOldandtheNewDataProtectionLaw,10NeueZeitschriftfurVerwaltungsrecht686(2018).正因如此,”个人信息受保护权”(RighttoProtectionofPersonalData),而非"信息自决/控制权"(RighttoDataSelf-determination/control),成为欧盟立法的选择。"信息保护"(Datenschutz)一词源于1970年德国黑塞州的信息保护法,这是世界上该领域的首部专门法律,后经1981年欧洲理事会数据自动化处理的个人保护公约正式转译为英语中的dataprotection(法语为ProteCtiOndeSdonn8s),进入国际法律文本,对欧洲各国的后续立法产生深远影响。比如英国1984年通过的相关法律就命名为信息保护法案(DataPrOteCtionAc%而非此前在英语世界更为流行的"隐私法案”(例如美国1974年隐私法案)。(60)GOnZaIeZFaster,TheEmergenceofPersonalDataProtectionasaFundamentalRightoftheEU,Springer,2014,pp.88-89,92-93.该传统为欧盟1995年数据保护指令、欧盟基本权利宪章以及GDPR所延续。(61)据曾任欧盟数据监察专员(EUroPeanDataProtectionSupervisor)PeterHUStinX介绍,欧盟基本权利宪章起草时有意放弃使用源自德国法的个人信息自决权,而采用个人信息受保护权。MariseCremonaetal.eds.,NewTechnologiesandEULaw,OxfordUniversityPress,2017,p.140.相较于“信息自决/控制权二"个人信息受保护权"一词揍弃了个人独占、控制信息之意味,不以个人信息本身为客体,而是指向个人在信息处理过程中应当获得的保护。具体如何保护,则有赖于国家履行对该项基本权利的保护义务。(62)同前注(16),王锡锌文,第150153页。许多国家宪法明文规定的也正是个人信息受保护权。例如希腊宪法第9条规定:“任何人就其个人信息的收集、处理和使用,尤其是通过电子手段为之的,受到法律保护。"墨西哥宪法第16条规定:"所有人都享有个人信息受保护以及访问、更正和删除此类信息的权利。”阿尔及利亚宪法第46条规定:“所有人在其个人信息被处理时受到保护是法律保障的L项基本权利。”有鉴于此,我国应当采用个人信息受保护权这一概念。事实上,立法者早已做此选择。如前所言,民法典确立了作为民事权利的个人信息受保护权。此外,2013年修改的消费者权益保护法第14条规定:"消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利。”2016年网络安全法第64条规定:“网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正。”2021年4月公布的个人信息保护法草案(二审稿)第2条规定:"自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。1此处的“个人信息权r指的就是"基于个人信息受保护权实现而获得保障的各种相关法益,(63)同上注,第152页。为与前期立法保持一致,速议改为"任何组织、个人不得侵害自然人个人信息依法得到保护的权利,这些横跨民法、经济法、行政法等领域的立法不约而同地规定个人信息受保护权,正体现出我国的个人信息保护法律体系是以作为宪法基本权利的个人信息受保护权为薪念基砒。四、宪法基本权利视野下的个人信息保护法律体系建构正如本文开头所言,我国个人信息保护法律体系应置于一个能充分解释和有效规范该体系的核心概念之上。前文已论证作为民事权利的个人信息权难以独自担此重任,本节基于宪法基本权利教义学,以个人信息受保护权为出发点,从其内容(“保护什么")、功能(“如何保护”)和限制(“保护多少。三个角度,尝试建构我国个人信息保护法律体系。(一)我国宪法上个人信息受保护权的内容宪法上个人信息受保护权的内容,决定其保护范围,因为,基本权利的内容决定了权利主体可以就何种客体提出何种主张。在确定我国宪法上个人信息受保护权的内容时,应注意以下三点:第一,个人信息受保护权的根本目标决定该项基本权利的内容。进入数字时代,个人信息天然具有公共性、交互性,其自由流动与利用具有巨大社会和经济价值,保护个体占有既无可能,也不必要。因此,个人信息受保护权并不意在实现信息主体对个人信息绝对、排他的控制。然而,随着信息高速流动和广泛利用,原本零散、偶发的个人信息处理,日渐具有规模性和持续性,经由“马赛克效应”(MOSaiCEffect),将信息主体置于前所未有的被操控、侵扰或歧视之境地,使其因"数字化"而"客体化,面临人格尊严贬损的巨大风险。(64)OrlaLynSkey,DeconstructingDataProtection:The"Added-value"ofaRighttoDataProtectionintheEULegalOrder,63InternationalandComparativeLawQuarterly569,592(2014);DavidPozen,TheMosaicTheory,NationalSecurity,andtheFreedomofInformationAct,115YaleLaWJOUmaI628,630(2005).为扭转这一局面,有必要让每时每刻都在被“处理”的信息主体在此过程中重拾主体地位,确保其个人信息以合乎人格尊严的方式被处理。这既是我国宪法第38条人格尊严不受侵犯的题中之义,也是个人信息受保护权的根本目标,即通过控制个人信息处理活动,在不限制个人信息自由流动和利用的前提下,确保个人信息处理不逾越人格尊严底线。个人保信息保护法草案(二审稿)第1条规定“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,制定本法,正体现了这一目标。为了彰明其宪法基础,建议在"制定本法"前添加根据宪法"。第二,个人信息受保护权中"个人信息”的定义决定该项宪法权利的范围。对此,民法典第1034条表述为:"个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”个人信息保护法草案(一审稿)个人信息保护法草案(二审稿)第4条表述为:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。"二者都是对宪法上个人信息受保护权范围给出的形成性定义。两相对比,民法典采用“识别"标准,个人信息保护法草案则采用"识别+关联”标准。前者是“从信息到个人”,由信息本身的特殊性识别出特定自然人,凡有助于识别出特定个人的信息都是个人信息;后者则还要加上"从个人到信息,在识别出特定自然人后,该特定个人在其活动中产生的信息均为个人信息。(65)参见信息安全技术个人信息安全规范附录A,个人信息示例工后者的范围大于前者。事实上,从2012年全国人大常委会关于加强网络信息保护的决定,到2016年网络安全法第76条,再到2017年最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释,个人信息的认定标准从直接识别"到1直接识别+间接识别”再到识别+关联”,范围渐趋扩大。在民法典退回到“识别”标准后,个人信息保护法草案又回归“识别+关联”标准。这标志着立法者在立法形成空间内,不断调适个人信息的认定标准。但问题是:何种标准才能更好地落实宪法上的个人信息受保护权?这就涉及如何判断基本权利的内在限制,即其本身所固有的、非外在的限制。这种内在限制不应过大,否则会不当限缩宪法保护的范围。因此,学理上一般认为基本权利的内在限制包括“禁止明显危害社会的行为”“暴力禁止""尊重第三方财产""禁止权利滥用""恶意禁止(66)王错:基本权利保护范围的界定,载法学研究2020年第5期,第119121页。在此视角下,与民法典的识另T标准相比,个人信息保护法草案的“识别+关联"标准虽更宽泛,但并未突破个人信息受保护权的内在限制。更重要的是,与被识别后的特定个人关联的信息,如个人位置信息、通话记录、浏览记录等,无疑会对个人尊严产生影嘀,也应纳入宪法基本权利的保护范围。因此,个人信息保护法草案对个人信息的定义更加符合宪法上个人信息受保护权的内涵。为避免法律冲突,对民法典第1034条第2款的解释应参照该定义。这也再次说明民法规范不能作为我国个人信息保护法律体系的基本法。第三,个人信息受保护权中"受保护”的定义决定该项宪法权利的权能。根据前述个人信息受保护权的根本目标