论《民法典》中个人信息保护的国家义务

周 超

(贵州大学 法学院，贵州 贵阳 550025)

引言

2020年5月通过的《中华人民共和国民法典》，具有划时代的意义，不仅是我国法律法典化的开山之作，同时也是一部在私法领域关系到老百姓从生到死的基础性法律。《民法典》在《民法总则》的基础上，整合了原《物权法》《合同法》《侵权责任法》等相关民事单行法规，并将其系统化、完整化。《民法典》还新增了不少亮点内容，其中最引人注目和具有争议的便是人格权独立成编。这也体现了《宪法》中“国家尊重和保障人权”的精神，而作为人格权篇中规定的关于个人信息保护的内容，更是前所未有。有数据指出，截至 2020 年 12 月,我国网民规模达 9.89 亿[1]，2012年大数据时代的到来，更是尤为凸显个人信息保护的问题。随着数字时代的深入发展，各国开始注重加强对个人信息的法律保护，科技技术的飞速发展也使得碎片化信息的高效能处理变为可能，海量的个人信息处理及运用不仅影响着个人的生活，更影响着整个社会的安定与发展。人肉搜索、黑客入侵窃取数据、违规采集信息、大数据杀熟等侵犯公民个人信息的行为时有发生。在网络信息时代，个人俨然成为了无处遁形的透明人，互联网虽然减少了人与人之间信息不对等的问题，但也使得资本和公权力更容易掌控普通人的一举一动。在资本和公权力揭下最后一块遮羞布之前，加强对个人信息采集处理的法律规制迫在眉睫。

如上所述，对于个人信息数据的处理和应用，不仅体现在私主体之间，更是广泛应用在公共管理之中。由于个人信息保护是首次呗规定在民事基础性法律中，学界对此也产生了很多的讨论。其一，既然个人信息保护被规定了在《民法典》中，那么是否可以赋予私主体个人信息权？个人信息权是为物权还是债权？如果为物权，那么是否具有占有、使用、收益、处分这四个传统物权所具有的权能？如果为债权，那么能够请求相对人为或不为何种行为？其二，公权力机关在个人信息保护中的身份，究竟只有一个消极等待事后救济的裁决者，还是积极行动的保护者？如果公权力机关侵犯了个人信息的合法权益，仅能适用私法进行有效保护吗？

上述问题看似烦杂，其实质可以分为两个方面：一是对个人信息的确权方面，一是个人信息保护中的政府责任或国家义务。本文认为，个人信息保护是具有宪法基础的。具体论述除了以上两个方面以外，还将阐述《民法典》中个人信息保护在法治政府建设中的体现。

一、个人信息权利化的探究

有学者以民事权利基础理论来确认个人信息权。第一，将个人信息认为是一项具体民事权利并加以保护，有学者认为，依照《民法典》总则“民事权利”一章第111条的规定，个人信息受法律保护，据此可以认定个人信息是民事权利的客体[2]。当然，个人信息权不属于物权债权中的任何一种，而是一种新型独立的人格权[3]，体现了自然人对个人信息的占有和支配[4]，具有排他性。人格权篇中第1034条至第1039条，规定了个人信息的范围、处理原则、法律责任等内容，也对上述观点进行了补强。对于个人自我信息，还从其基础权能中派生出其余的权能，如自然人对自我信息有知情权，他人处理个人信息应当得到当事人同意，当事人有权对自我信息进行删改、查询等。第二，认为个人信息权益纯粹是私法领域的内容，不论是私权利主体侵害了个人信息权益，还是公权力机关侵害了个人信息权益，都可以以作为民事权利的个人信息权，要求侵权主体承担相应的法律责任，至于刑法、行政法中对保护个人信息的规定，只是作为更好的、全面的保护民事权利的补充。在这个基础上，国家公权力机关也可以作为民事诉讼主体，和其余民事主体一样具有平等的法律地位。另外，公法中对个人信息处理行政监管的要求不过是对政府行为进行规范，不影响个人信息成为民事权利。因此，民法学者根据“信息处理者民法义务——侵权者民法责任——民法规范”[5]的逻辑，认为包括公权利机关在内的所有主体都负有不侵犯个人信息权的义务，以赔偿损失，恢复原状为责任承担形式[6]，从而在民法典确认个人信息权，并为个人信息保护的特别立法提供民法基础。

然而，事实上随着信息时代网络技术的高速发展，传统隐私权保护已经捉襟见肘，对于个人信息的保护，简单的私法保护模式早已无法满足时代的需求。我国关于个人信息的法律保护由来已久，早在2000年全国人大常委会就发布了《关于维护互联网安全的决定》，根据立法精神，对个人信息的法律保护最早是以刑事惩戒为主，如《刑法修正案(七)》中增设非法获取，提供个人信息的相关罪名，《刑法修正案(九)》又在此基础上扩大了主体范围和行为方式。之后，在其他部门法之中也出现了零散的规定，如《居民身份证法》《护照法》《统计法》《消费者权益保护法》《网络安全法》《电子商务法》等前后二十余部法律中，规定了包括且不限于个人信息处理的范围、个人信息主体权利、行政主体义务以及侵权责任等内容，其中最新的《网络安全法》《电子商务法》还分门别类地将互联网服务提供者、网络运营者、电子商务经营者作为规范对象，分别予以规制。可见，我国个人信息保护以分散立法为主，形成了多层次、多领域、内容交叉、体系庞杂的法律规范体系[7]。《民法典》只是作为最全面的法律回应，但这并不代表着可以仅将个人信息保护纳入民法保护的范围，在理论和实践层面，这些都是值得推敲的。下面将从个人信息的具体内涵出发来具体分析。

二、个人信息保护的具体内涵

关于个人信息保护的定义，《民法典》第1034条表述为：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”，与《刑法》中相关表述类似，最近新发布的《个人信息保护法草案(二审稿)》(以下简称《二审稿》)表述为：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。”可见，《民法典》是以“识别”为标准来认定个人信息，但《二审稿》则突破了这个标准，扩大范围，将“关联”也纳入至标准中，由此可见后者对于个人信息的保护更为宽泛，也使得民法规范并不足以成为个人信息保护法律体系的基础。另外，个人信息虽然具有巨大的价值，但这只能在经过处理之后才体现，个人并不能从对自我信息的占有来获得收益，保护个体占有并不具有现实意义；个人信息具有天然地具有公共性、交互性，它既不特定，也非独立，更不属于无形物，与传统的人格权、财产权也不尽相同，同时，个人信息的非排他性和非损耗性使得数字社会得以纵深发展，不应成为排他、对世的权利对象[8]，作为民事权利的客体也无法表彰[9]。《二审稿》第十三条第二到七款的规定使个人支配自我信息的权利受到很大的限制，如果依照民法路径来保护个人信息权，那么在很多情况下，诸如公开的个人信息是无法被有效保护的。既然个人信息需要经过处理才能发挥出其相应的价值，那么关于个人信息保护的核心问题应当是个人与信息处理之间的“非对称权力结构”[10]。个人信息保护的是其流转价值，所派生出的知情、查询、修改、保密、删除等在本质上是在实现有效阻止个人信息被非法滥用的特定立法目的，不能认为其具有民法属性。因此，对于个人信息权利化，应当确认“个人信息保护权”，并且以请求权能为基础，请求相对人在处理个人信息为或不为一定行为。

个人信息权益兼具私法权利与公法权利的属性，其请求权能已经超出了民法的请求权，不仅仅局限于请求数据处理人为或不为一定行为，还可以请求国家公权力机关予以保护，因为纯粹的民事权利实际上无力对抗公权力机关。由于信息主体与信息处理者之间的高度不平等，将个人信息权益赋予公法私法的双重属性，采取多重保护机制，不仅可以使国家负担起保护个人信息权益的义务，同时，当公权力机关分处平等主体和国家机器两种不同身份的时候，可以依据不同法律属性对于个人信息权益加以保护，若笼统地将公权力机关与私人处理者认定为私权利主体，那么可能会造成“公法遁入私法”，使公权力机关逃脱公法约束。因此，个人信息权益应当具有更为丰富的内涵，而不仅限于民事属性。

三、个人信息保护的宪法基础

综上所述，在个人信息的保护路径上，应当进行公法和私法的双重保护。站在更宏观的层面上，只有将个人信息保护权作为宪法基础权利的延伸，才能将上述公私法的双重内涵囊括其中。从域外立法来看，欧盟个人数据保护的权利来源是宪法性权利，美国则将特定领域的个人信息保护直接立法，并且这些规制主要针对商业或专业机构，不适用一般的私主体，即便是我国也并未将个人信息保护完全私权化，仅仅强调个人信息保护应当受法律保护。对于可以描绘出自然人基本数据画像和行踪的个人信息，将其纳入到宪法保护的范围，并不是杀鸡焉用牛刀，而实际上欧盟也早已在宪法层面确立了个人信息保护的国家义务。从另一个角度讲，《刑法》《网络安全法》《电子商务法》对个人信息权益的保护均是直接以《宪法》为制定基础的，并未有相关的私法属性，而《民法典》也开宗明义地表示“根据宪法，制定本法”。随着个人信息保护的全球扩张，通过全方位、多角度的保护，在宪法层面确立相关权益，已成为学界共识，许多国家也将个人信息保护纳入基本权利范围，并且随着合宪性审查的工作推进，我国也将逐渐排除个人信息保护基本权利的制度障碍，宪法基本权利也不会再是纸面权利。但我国宪法中公民具体的基本权利并未明文规定个人信息受保护权，能否将其纳入基本权利保护？我国宪法中只有第33条规定的“国家尊重和保护人权”，以及38条规定的“公民人格尊严不不受侵犯”与个人信息保护有关。这里关于“人格尊严”，可以理解为其不仅包络具体的名誉权，肖像权，更深层次的内涵在于，作为一种原则性概括，是为了体现整个人权保障体系的基础价值[11]。“公民人格尊严不受侵犯”的实质是宪法保障公民作为独立意志主体，其人格尊严不受侵犯的一般人格权。人权、人格权、人格尊严，都体现了保护个人信息的最终价值依归。虽然对个人信息的保护范围广，其内容庞杂，但不论是何种个人信息，其违规处理以及滥用的最终结果都将扰乱了个人在社会生活的安定与安宁，诸如人肉搜索，疫情期间非法公开被感染者个人信息，大数据杀熟，歧视等，侵犯的都是人作为一个主体所应当具有的，本源性的人格权利。所以通过宪法的目的解释，个人信息应当被纳入《宪法》基本权利范围。

信息生产者是否作为个人信息保护的权利主体，在理论上尚有争议，作为个人信息保护的权利客体，学界在认识上也有些模糊。在概念上，个人信息除了上述民法学界所以表达的“个人信息权”，以及“个人信息保护权”，还有“个人信息控制权”。如果将个人信息主体限制为信息主体独有，那么就是肯定了“个人信息控制权”，等于重回了将个人信息私权化的老路子，承认了一种近乎所有权的支配权，会阻碍信息流通，禁锢思想。并且在逻辑上，个人信息从信息主体中产生并通过某种形式构建，个人对信息并不“天然”拥有某种原始权利，个人信息似乎也无法作为私人财产而进行处分，故“个人信息权”，“个人信息控制权”都是同样地将个人信息私权化而将保护范围变窄。个人固然对自我信息的处理有一定发言权，但并不意味可以有最终决策权。对此我国立法也作出了一些回应，不仅在《民法典》中确定了个人信息受保护权的民事权利，在《网络安全法》中也规定了相关主体的保护责任。同时，《二审稿》中规定了任何组织和个人都不侵害自然人的个人信息权益，这种“个人信息权益”实际上就是指为了基于保护个人信息的目的实现而产生的各种保障性权益。个人信息保护作为民行刑交叉的内容，横跨各个领域的部门法，只有将其纳入作为根本大法宪法的基本权利范围，才是个人信息保护概念的题中应有之义。

四、个人信息保护的国家义务确立及开展

以宪法作为根本大法的法律地位，以及法理学中法的基本作用，宪法在个人信息保护中主要体现出以下几点：一是指引作用。宪法作为效力最高的根本法，虽然没有明文规定个人信息受保护的相关权利，依旧可以依据宪法规范来指引立法者，通过立法将个人保护规则具体化，宪法精神凸显和强化了国家的任务、目标和理念。二是评价作用。国家义务包括国家对于市场的干预，这是宪法在个人信息保护中评价作用的体现，这就要求国家在不仅不能够消极应对应当承担的义务而不作为，同时要求国家不能滥用公权力而乱作为。三是协调作用。通过宪法确立国家义务，可以有效控制和整合国家公权力的各种作用方式，结合公法保护与私法保护，共同维护社会共同体的整体法益。同时，在公法保护中，还应当依据比例原则，平衡不同社会主体之间的利益，平衡个人信息保护与公共利益、私人利益之间的关系。

个人信息保护的国家义务类型可以分为消极义务和积极义务。消极义务是指国家自身赋有不得侵犯的禁止作为义务，也即公民有权请求国家不得干预和侵犯个人信息权益；积极义务是指国家应当转变“守夜人”的身份，对个人信息处理采取积极保护的态度，主动规制和监管相关的信息处理机构。长期以来，各国主要强调国家的消极义务，强调个人信息保护的防御权，但随着时间的推移，大数据时代出现了越来越多的组织化的信息处理机构。他们具有强大的，个人无法抗拒的数据处理能力，个人难以在此过程中作出清醒的判断，这是就需要国家创造和维护制度环境，来促进对个人信息的保护和数据处理的监管。只有国家充分保护才有利于这一宪法意图的实现，保证个人对抗大规模持续化数据处理中人权不受侵犯；面对个人与信息处理组织之间的不平等地位，只有通过国家公权力对信息处理者强有力的规制，才能保护处于弱势地位的个人，避免其丧失主体地位而沦为工具。

确定了个人信息保护权的宪法基础，不仅可以明确《民法典》中个人信息保护的民事权利属性，更重要的确立了国家保护公民个人信息的义务。个人信息保护权以保护个人在处理信息过程中的人格尊严为目标，范围包括以识别与关联标准下的个人信息，权能包括知情权、决定权、查询权、复制权、删改权等。在此基础上，国家负有促进个人信息受保护的宪法意图实现的义务。公法上，宪法基本权利具有双重性质，它既是一种主观权利，也是一种客观法。[12]主观权利功能所对抗的是公权侵害个人信息的风险，其法学基础来源于：有限政府法无授权不可为[13]。《民法典》第1035条第1款规定了，处理个人信息应当得到信息主体的同意，但这仅仅是对平等主体的要求，对于国家机关应当以更高的标准。这也体现了《二审稿》中要求国家机关必须依照法律、行政法律的权限和程序，履行法定职责处理个人信息，还有大量具体的规范设定了国家机关在保护公民个人信息方面的义务和责任，如《民法典》《网络安全法》中的保密义务，以及不得出售和非法提供的义务，但依旧存在覆盖层面不足、规范密度低、缺乏特别规定等缺陷，目前亟待出台一部行政法律专门针对公权力机关的个人信息处理。客观法功能是以对抗私主体对个人信息权益的侵害，包括保障功能的制度支持，保障功能的组织和程序支持，其最终目的都在于防止个人信息权益免受第三人的侵害。这个第三人可以是国家机关，也可以私人信息处理者，但在监管下都是以民事主体的身份来看待。在这一点上无论是《刑法》《民法》等基本法律，还是《网络安全法》《个人信息保护法》等单行法律，都作出了相应的规定，并形成了一个整体完备的个人信息保护制度体系。为有效发挥客观法功能，应当坚持以宪法权利为基础，加强宪法权利向部门法权利的延伸，当部门法权利不足以覆盖所有个人信息侵害风险源时，反过来可以以宪法作为解释和弥补漏洞的基础。值得一提的是，个人信息保护手段应当适当，对于宪法个人信息保护权也应当作出一定的限制，而这种基本权利的限制本身也要受到限制，即在确保人格尊严的前提下，处理个人信息，遵循法律保留与比例原则。

如何落实国家保护义务也是一个重要的问题，有学者认为，个人信息保护难以在单一部门法中实现，属于民行结合的内容，因此产生了《个人信息保护法》，本质上是领域立法。[14]在个人信息处理中，不仅要实现“结果正义”，更重要的要实现“过程正义”，“过程正义”的实现要求个人参与乃至主导信息处理过程，享有可否被采集，能否被公开的知情权以以及信息处理者的告知义务，同时赋予信息主体同意、删除、更改、更正、携带信息等权利，以实现有效地深度参与，而“结果正义”要求实现宪法上保护个人信息的目的与意图，即人格尊严，这就要求国家公权力介入其中，帮助乃至代替个人决定。[15]“过程正义”的保护注重个人在信息处理中的自决权，是以民法意思自治为基础的。一方面个人主导在保护隐私，提升安全感方面具有重要意义，另一方面绝对的个人控制又会使得个人信息的流通与处理止步不前。同时由于个人在信息处理中的盲从性与专业处理机构的知识壁垒之间有巨大的矛盾，这就要求以“结果正义”予以补充，“结果正义”中以社会公共利益为本位诸如个人信息保护制度中，能够减少个人自决权在信息处理中的不良影响，但也会降低甚至否定个人参与的价值，这又需要通过“过程正义”来取长补短。海量的个人信息处理不仅应用于商业上，更多的体现在公共领域，虽然社会利益具有整体性，不能将其看做各个主体之间利益的简单相加，也不是某一群体的利益或所谓多数人的利益[16]，但这其中的不当处理所产生的侵害最终还是负担在个人的头上。因此，引入国家保护义务矫正信息处理者与个人之间的不对等关系，通过公权力强有力的引导和规制，才能保障个人享有参与个人信息处理的自由，同时保障信息流通和公共利益的实现。

综上所述，将“过程保护”和“结合保护”相结合是最为有效的方案，这一点也在《二审稿》中得到了体现。具体内容包括告知同意规则，即保障个人知情、参与、决定的权利;还包括自动化决策规则，即对于自动化决策对个人权益有重大影响的信息处理，个人有权要求作出说明或拒绝权，以及重点个人信息如身份信息的处理规则。

结语

在现代社会，信息处理活动影响着人们决定如何进行选择以及选择的结果，大数据时代数据已经不再是数据本身，而是成了一种权力。大数据在方便人们生活，增加社会福祉，以及减少信息差方面作出了巨大贡献，但也改变了社会权力结构。在风险来源方面，企业等商业机构所代表的“准数据权力”以及履行公共职能的主体所代表的“公共数据权力”，成为主要侵害风险源。在社会治理以及商业用途方面，个人信息处理面临着诸多风险点。首先个人信息可能会被违规采集，或者超出了法律规范所规定的采集范围，过度进行采集，这一点在手机App后台采集以及政府职能采集方面多有体现；其次个人信息可能会被违规加工，具体体现在对个人信息进行违法标注，企业主体可能会对根据标注对一些重点人群采取大数据杀熟、价格歧视的行为；在社会治理方面，政府也会对特定主体采取不当限制，在非刑侦侦查等重点领域过度加工数据，可能存在侵犯公民人权之嫌，政府采集的个人信息还有可能被滥用，如政府扩大个人行为责任，利用职权采集信息，为违法限制公民权利大开方便之门。

从个人信息保护的立法沿革来看，《民法典》的有力回应，只不过是在私法领域对个人信息保护进行了补充。规范公权是公法的主要任务，保障私权由私法来实现，似乎二者应当并行不悖，但实际上，只有通过私法确认和保障私权，才有依法行政的遵循。[17]《民法典》作为民事基本法，确立对个人信息权益的私法保护制度，并不意味着将个人信息权或个人信息保护权私法化，恰恰相反，由于过去对于个人信息的法律保护主要以公法保护为主，缺乏私法保护，《民法典》的规定正是对以往法律漏洞的补充。其中，《民法典》扩大了个人信息的保护范围，国家公权力机关不再仅仅是监管者，同时也成为了信息处理者，在监管他人的同时也负有自我监管的义务。公法私法保护相结合很好地满足了对个人信息保护这一宪法规范所要实现的目的。

值得一提的是，在平衡个人信息保护和利用方面，《民法典》确立合理使用规则，明确了合理使用的范围即“为维护公共利益及该自然人的合法权益”，并且明确了不同场景个人信息的使用内容及利用个人信息的方式，但在对行政机关和人员的规制方面却有些不足，还需要在公法上加以补充。另外由于《民法典》对个人信息定义为人格权益，可能导致面对国家公权力机关侵害个人信息权益时，无法适用《国家赔偿法》。因此，还需要相应的公法规范来完善国家保护义务。在落实国家保护义务上，以宪法为基础，从过程控制和司法救济出发，加强个人信息保护的事前预防与事后监管，保证信息处理过程的透明度和可参与度，以“过程正义”促进“结果正义”。至于如何以宪法保护的目的实现来搭建全方面、多角度的个人信息保护法律体系，还有待进一步的研究。