个人信息保护的立法逻辑、权利实质与发展路径

郭亮 王晨曦

歷经数载，《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”）于2021年8月20日表决通过，并于11月1日正式施行，这是我国加强个人信息保护的重大事件，具有里程碑式的意义。近年来，伴随数字信息技术飞速发展，移动互联网、物联网、无人驾驶、面部识别等新模式引发的隐私保护和数据安全问题凸显。个人信息被随意收集、违法获取、过度使用以及非法买卖日趋严重，大数据杀熟、电商平台广告骚扰事件频发，严重侵犯了用户的合法权益，造成了不同程度的社会不良影响。据《2020年度数据泄漏态势分析报告》显示，个人信息泄漏事件占所有数据泄漏事件的60%。个人信息保护法旨在规范个人信息处理活动，规制个人信息处理行为，实现保护个人信息权益和促进个人信息合理利用的双重目的。它的出台与实施，彻底终结了个人信息“裸奔”的时代，必将为我国个人信息的合法合规处理提供法律指引，为我国数字社会治理与数字经济发展注入更强大的动力，为维护个人信息安全和网络空间安全发出“中国声音”。

一、个人信息保护立法的逻辑理路

自2003年开始，国务院信息化工作办公室便开始部署个人信息保护法立法研究工作，经过长期实践与科学探索，个人信息保护法终于从雏形到成形，可谓“千呼万唤始出来”。个人信息保护立法进程中蕴含着清晰的理论逻辑、制度逻辑和现实逻辑。

（一）以“权利”为核心的理论逻辑

“我们的时代是一个迈向权利的时代，是一个权利备受关注和尊重的时代，是一个权利话语越来越彰显和张扬的时代。”法治社会奉行权利本位，“权利神圣不可侵犯”是现代公民普遍的信念和共识，“为权利而斗争”也成为法律人的担当和使命。网络空间是一种特殊的人类社会活动空间，在这个新场域内，个人信息泄露和滥用成为广大人民群众最关心的利益问题。例如，2016年8月发生的山东姑娘徐玉玉因个人信息泄露导致被骗自杀身亡案件，令人触目惊心。个人信息保护法系统地建立了权责明确、保护有效的个人信息保护的基本原则和个人信息处理规则，保障了个人信息主体的合法权益。例如，个人信息保护法确立了以“告知—知情—同意”为核心的个人信息处理的一系列规则，只有在被告知者充分知情并自愿、明确做出同意的前提下，个人信息处理者才能处理个人信息。同时，该法还赋予了被告知者撤回其同意的权利，并要求个人信息处理者提供便捷的撤回同意的方式，不得以不同意或撤回同意为由拒绝提供产品或者服务。又如，个人信息保护法专节设置了“敏感个人信息的处理规则”，对其采取“概括+列举”式的立法技术，对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的敏感个人信息等进行单独规定。敏感个人信息的特殊处理规则，体现了该法对隐私权以及与人格尊严或人身、财产安全密切相关的个人信息的倾斜保护，“在价值上申言了数字科技必须以人为本，必须把人的权利及尊严作为其最高目的，并以人权作为其根本的划界尺度和评价标准。”习近平总书记指出：“网信事业发展必须贯彻以人民为中心的发展思想，把增进人民福祉作为信息化发展的出发点和落脚点，让人民群众在信息化发展中有更多获得感、幸福感、安全感。”个人信息保护法应运而生、恰逢其时，丰富和发展了公民权利，折射出网络时代的人性光辉，体现了法治建设为了人民、依靠人民、造福人民、保护人民的根本立场。

（二）以“体系”为根本的制度逻辑

党的十八大以来，党中央、国务院高度重视网络与信息领域立法，从2012年全国人大常委会出台《关于加强网络信息保护的决定》、2013修订的消费者权益保护法、2015年出台的刑法第九修正案，再到2017年实施的网络安全法、2019年实施的电子商务法，我国个人信息保护制度规则不断完善。特别是2020年颁布并于2021年1月1日正式实施的民法典，更是将个人信息受法律保护作为一项重要民事权利写入总则编，并在人格权编明确了个人信息处理的原则和条件。但这种分散立法也面临着体系性和操作性欠缺、权利救济和监管措施不足的困境。相较于前述立法活动，个人信息保护法进一步明确了个人信息保护规则、个人信息主体在个人信息处理活动中的权利、个人信息处理者的义务以及主管机关的职权范围，并对个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及敏感个人信息处理、个人信息跨境提供等特定场景进行了体系化的规定。同时，法律制度也是国际网络空间走出“丛林法则”和恶性相争泥潭，构建和平、安全、开放、合作的全球治理体系的基本遵循。个人信息保护法在借鉴欧盟《一般数据保护条例》（GDPR）、美国加州隐私法等域外立法智慧基础上，融入了中国的创新文化、人本文化、和谐文化，回应了中国政治、产业、文化、社会治理实践的发展需求，体现了发展与安全并重的立法观。例如，该法扩展了域外适用效力，但适度有限;在规制跨境数据流动方面优先考量发展中国家对于数据安全的需要。作为第三代个人信息保护立法的制度范本，个人信息保护法体现了中国在当前全球数字治理中的制度贡献，这对于“携手共建网络空间命运共同体”具有重大意义。

（三）以“时代”为基点的现实逻辑

当今世界正经历百年未有之大变局，新一轮科技革命与产业变革正加速演进，信息技术领域全球供应链产业链安全风险增大，不稳定性、不确定性明显增加，网络安全问题凸显。公民作为个人信息主体对信息的控制能力减弱，个人信息不当处理的风险无处不在。个人信息保护法明确了处理个人信息应当遵循合法、正当、必要和诚信原则，并将“采取对个人权益影响最小的方式”“限于实现处理目的的最小范围”作为个人信息处理应遵循的两大核心原则。这有利于解决当下普遍存在的“大数据杀熟”“算法推荐”“用户画像”等涉及不当自动化决策之类的问题，遏制个人信息的滥用和过度收集。根据该法规定，个人信息处理者利用个人信息进行自动化决策，“应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇”“应提供不针对其个人特征的选项或提供便捷的拒绝方式”。其次，个人信息保护法还对互联网平台的“守门人”义务进行了规定。鉴于重要互联网平台掌握海量用户数据，一旦发生信息泄露或滥用，可能导致严重后果，该法第五十八条规定了平台企业个人信息保护的特殊义务，包括“按照国家规定建立健全个人信息保护合规制度体系”“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”“制定平台用户处理个人信息的规则”“定期发布个人信息保护社会责任报告，接受社会监督”。再次，针对当前个人信息跨境流动频繁但风险更难以控制的现实，个人信息保护法构建了一套完整、清晰的个人信息跨境流动规则，以满足保障个人信息权益和安全的客观要求，适应国际经贸往来。例如，该法明确要求个人信息处理者采取必要措施保障境外接收方的处理活动达到法律规定的保护标准;对跨境输出个人信息确立了更加严格的知情同意要求。鉴于个人信息流动的不可逆性，个人信息保护法采取的是“列举+兜底”的规定，就个人信息传输活动设置了个人信息处理者需要满足的前置性条件，采用了事前监管模式。总之，个人信息保护法为个人信息跨境流动提出了一个风险可控、平等互惠的法治框架，筑牢了信息安全防火墙。

二、個人在个人信息处理活动中的权利实质

“自然人的个人信息受法律保护”已成为社会各界共识，但对个人信息的权利性质却众说纷纭，莫衷一是。长期以来，学者们围绕“自然人对其个人信息享有的是新型公法上的权利还是民事权利？”“是民事权利中的人格权利还是个人信息权益？”“是采取人格权保护模式还是财产权保护模式？”“是基于个人信息的私法保护视角还是国家保护视角？”等问题展开了激烈的争论，形成了“宪法人权说（基本人权说）”“物权说（所有权说）”“财产权说”“隐私权说”“一般人格权说”“具体人格权说”“法益说”等不同理论观点。我国刚实施的民法典无论是“总则编”还是“人格权编”中的法律条文，均未采纳“个人信息权”或“个人信息权利”的表述，而是围绕着自然人对其个人信息享有的人格权益展开。按照权利优先于利益的规则，原则上除一些特殊的敏感个人信息适用于隐私权保护外，个人信息权益在民事权利体系中的位阶最低。其后颁布的个人信息保护法也基本遵循了此种立法模式。

值得注意的是，个人信息保护法第四章规定的“个人在个人信息处理活动中的权利”与上述言及的“个人信息权利”或“个人信息权益”是两回事，立法者添加了诸多“前缀限定”，配置这些权利有着特殊的意义。

（一）设权目的：平衡个人信息保护与合理利用

个人信息保护法调整对象是个人信息处理者，通过合理配置个人信息处理活动中各主体的权利义务关系，最终实现对个人信息的保护，促进个人信息合理利用。立法者通过在个人与个人信息处理者之间形成一系列权利义务规则，有效制衡个人信息处理者这一强势主体的行为，从而保护弱势一方免遭伤害和控制，保障个人尊严及相关法益。显见，个人赋权的目的并非直接让个人控制和支配信息，而是制约个人信息处理者的行为，实现个人信息处理活动的合规要求。

立法者之所以要将立法重心从“赋权”转向“合规”，源于个人信息保护与合理利用并重的立法初衷。数据信息被称为数字经济时代的“石油”，伴随个人参与信息社会的场景增多，个人信息不仅是个人的，也是社会的。一方面，个人信息是具有自由意志的个体所拥有的源自人格尊严的一种利益，个人信息保护法赋予个人在个人信息处理中的权利，体现了法律的平等、自由、自治等价值理性。高富平教授指出，“个人信息保护法实质上保护的是个人权利（主体权利），而不是个人信息本身。”这些必须依附于个人信息主体而存在的主体性权利与保护个人信息权益息息相关，是个人信息权益的固有内容和自然延伸。另一方面，个人信息保护法顺应了数字经济发展趋势，不仅将匿名化的个人信息作为其商业利用的合法性基础，同时还在知情同意规则下，另行规定了“合同履行所必需”的6种例外情况。个人信息经企业合规处理后形成数据参与市场流通，这种制度框架实现了数据红利与个人信息保护之平衡，否则会形成信息垄断，阻碍数据流通，数字产业化、产业数字化发展将受到极大限制。

（二）设权实质：个人信息处理活动中的个人权利性质及定位

个人信息保护法第四章以“告知-知情-同意”为基本规范框架，初步建构起个人在个人信息处理活动中的权利体系。但此项权利并非个人自主控制范式下的民事权利，事实上，将其理解为个人信息权益的具体权能更为贴切。程啸教授认为：“个人在个人信息处理活动中的权利属于手段性权利或救济性权利，旨在保护包括个人信息权益在内的个人权益。”将个人在个人信息处理活动中的权利界定为一种救济性权利，体现了个人信息保护法的保护法功能定位，折射出 “工具性权利”和“防御性权利”的特色。

一是个人在个人信息处理活动中的权利主体是信息主体，义务主体是个人信息处理者，适用场景仅限于个人信息处理活动中。换言之，信息主体只在个人信息处理活动中对个人信息处理者享有该系列权利，而不能像隐私权一样针对不特定的第三人。尽管法律赋予了个人制衡信息处理者的一些基本手段，维护个人信息处理活动的公平性和合理性，但同时规定了信息处理者的既定义务和程序要求。在“个人—信息处理者”这对关系中，国家并未“退场”，而是“以维护法秩序为支点，对个人提供组织与程序保障、监管和执法的支援，以不断调控、监督处理者的个人信息处理活动。” 可见，与普通民事权利不同，侵害个人在个人信息处理活动中的权利并不必然导致民事侵权，相反，个人信息保护更多奉行国家保护义务逻辑，个人信息处理规则折射出较浓厚的公法色彩。

二是这些权利是为个人信息权益发挥效用而产生的，故必须依附于个人信息权益而不能单独行使。通常地，一项“对世性”的权利（权益）由“本权权益”“本权权益之保护”即“权能”两方面构成。在个人信息保护中，前者体现为民法典中界定的“个人信息权益”，包括但不限于人格尊严、人身财产安全以及通信自由和通信秘密等利益，但将财产利益排除在外;后者体现为个人信息保护法第四章规定的“个人在个人信息保护中的权利”，包括但不限于同意（或拒绝）的权利以及知情、查阅、复制、转移、更正、补充、删除、请求解释说明等权利，旨在保护“本权权益”。例如，信息主体有权决定其个人信息在何时、何地及以何种方式被何人收集、使用、加工和传输;有权在认为自动化决策对其有重大影响的情况下，要求个人信息处理者予以说明并拒绝其仅通过自动化决策方式作出决定;有权在认为个人信息处理规则表达不清楚时要求个人信息处理者对处理规则进行解释说明等等。这些权利集中反映了“本权权益”的人格权属性和个人信息主体维护自身精神利益的合理诉求。

三、我国个人信息保护的发展趋势和路径

“徒法不足以自行”，法律的生命力在于不断完善并有效实施。个人信息保护法的出台只是一个起点，个人信息保护法治实践仍任重道远，只有立法、执法、司法与守法协同并进，法律才不至于沦为一纸空文。

（一）以基本原则为导向，完善个人信息保护法律制度和配套措施

个人信息保护法确立了个人信息处理者在处理个人信息时应当遵循的原则，主要包括合法、正当、必要、诚信原则，目的明确及最小必要原则，公开透明原则，质量原则，责任和安全保护原则，禁止非法处理原则，协同治理原则等。这些原则贯穿于个人信息处理活动的各个环节，也是我们进一步完善个人信息保护法律制度的重要指引。个人信息保护法虽然确立了个人在个人信息处理活动中的权利体系，但对于权利的内容、权利的行使条件等仍缺乏操作性，还需进一步细化或作出具体说明。例如，可携带权赋予个人主动在企业间流转个人信息的权利，旨在强化主体对其数据的支配，促进数据自由流动激发互联网领域的创新活力，破除大平台的数据垄断，促进市场良性竞争。但如何运用创新技术探索个人信息可携带权新模式却值得深入探讨。因此有必要在基本原则的框架下，出台相应的监督检查、合规评估、操作规范等落地措施，确保法律的严格有效执行。不仅如此，个人信息保护法中的某些概念和细节也需进一步界定。以“匿名化”为例，如何在法律上区分匿名化、数据脱敏、加密、假名化、去标识化等概念，如何实现匿名化，这些需要进一步界定。

（二）以共治理念为指引，厘清个人信息保护的监管责任和权力边界

个人信息保护是一项综合性、系统性、全方位的工程，涉及面广，利益关系复杂，需要进一步健全个人信息保护工作体制机制，从法律制度、标准规范、支撑技术等方面廓清数字治理路径，最终形成政府、社会组织、企业、公众等多元主体共治共建共享的良好局面。个人信息保护法明确规定，国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，国家网信部门还负有统筹协调职责。在国家层面，个人信息保护涵盖各个领域，涉及多个部门、多项法规，如何整合、修改和补充现有法律规范，加大现行机构分工合作、相互配合力度，建立起稳定性和开放性兼备的合规体系，是个人信息保护法有效实施的必要前提;在地方层面，个人信息保护法并未对地方网信部门和有关部门的个人信息保护职责做出规定，故接下来亦有必要明确地方职能部门依法履职义务，构建权责义相统一的个人信息保护治理机制，提高事前事中事后全链条全领域监管效能。

（三）以信息伦理为基础，将信息技术与个人信息保护相结合

近年来，互联网、大数据、云计算、人工智能、区块链等信息技术加速创新和运用。一方面，信息技术一直按摩尔定律发展，尽管成就举世瞩目，但基础理论和冯·诺依曼体系结构并未得到根本突破，仍远远落后于数据的指数级增长。另一方面，信息技术深刻改變着人类的生存方式、思维方式和价值观念，人格尊严、隐私和自由、人身安全与财产安全受到严重威胁，数字壁垒、数字鸿沟、算法黑箱、价格歧视等问题愈演愈烈。正如有学者指出的，“自由、平等、权利、公平等价值诉求及其现实利益也随之面临着变革与重建”。如何处理技术创新与个人信息保护的关系，应对数字时代带来的风险和挑战，是我们当下面对的一个重大考验。个人信息保护必须遵循科技向善、以人为本、安全可靠等原则，以信息伦理为基础，以法治为保障，以管理为基础。同时，技术带来的风险最终也必须依靠技术去解决，个人信息保护尤其离不开信息关键核心技术的自主创新。要积极探索数据脱敏、数据匿名化以及区块链等新兴信息技术，攻关隐私计算、国产密码等关键技术，不断完善数据加密、数据防泄漏、敏感信息识别等重要防护能力。

（四）以数字正义为核心，兼顾个人信息保护与大数据产业发展

习近平总书记指出：“数字经济发展速度之快、辐射范围之广、影响程度之深前所未有，正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。” 个人信息保护法与民法典、网络安全法、数据安全法等法律制度一道构筑起数字法治体系，支撑和保障了我国数字经济良性发展。个人信息保护法的立法初衷便是平衡个人信息保护与大数据产业发展之关系，通过为个人信息处理者划定红线，保障数据合规和有序利用，支撑和促进数字经济健康发展。如何把握好这个度，进而提高我国数字经济治理体系和治理能力现代化水平，这就涉及更深层次的价值评判问题——正义。传统正义观在解释数字时代潮流时越发显得力不从心，数字正义理论又未能形成有张力的理论阐释体系。我们通向未来、了解未来、掌握未来的指令与代码还不明了，数字正义的实现仍需要我们每个人去实践、去参与、去努力。

基金项目：重庆市教育委员会2019年人文社会科学研究一般项目“数字经济时代网络版权产业协同治理研究”（项目编号：19SKGH056），中共重庆市委网信办委托项目“重庆市‘十四五’时期网络法治建设研究”阶段性研究成果。

参考文献：

[1]闪捷信息安全与战略研究中心.2020年度数据泄漏态势分析报告[R]. 浙江：闪捷信息安全与战略研究中心，2021-03-20.

[2]张文显，姚建宗.权利时代的理论景象[J].法制与社会发展，2005（05）：3.

[3]张文显.“数字人权”这个概念有着坚实的法理基础、现实需要和重大意义——“无数字不人权”[N].北京日报，2019-09-02（015）.

[4]习近平.在全国网络安全和信息化工作会议上的讲话[R].习近平关于网络强国论述摘编[C].中央文献出版社，2021：25.

[5]许可.个人信息保护法的深远意义：中国与世界[EB/OL].中国人大网，[2021-09-14].http：//www.npc.gov.cn/npc/c30834/202108/1fee8d19bae14f9f9766c50ab1e53c0f.shtml.

[6]高富平.论个人信息处理中的个人信息权益保护——“个保法”立法定位[J].学术月刊，2021（02）：119.

[7]申卫星.论个人信息权的构建及其体系化[J].比较法研究，2021（05）：4.

[8]程啸.个人信息保护法理解与运用[M].中国法制出版社，2021：327.

[9]王锡锌.国家保护视野中的个人信息权利束[J].中国社会科学，2021（11）：126.

[10]张新宝.论个人信息权益的构造[J].中外法学，2021（05）：1156.

[11]叶名怡.论个人信息权的基本范畴[J].清华法学，2018（05）：154.

[12]马长山.数字社会的治理逻辑及其法治化展开[J].法律科学（西北政法大学学报），2020（05）：11.

[13]习近平.不断做强做优做大我国数字经济[J].求是，2022（02）.

[14][美]伊森·凯什.[以色列]奥娜·拉比诺维奇·艾尼.数字正义——当纠纷解决遇见互联网科技[M].赵蕾，赵精武，曹建峰译.法律出版社，2019年版.

作  者：郭亮，重庆邮电大学网络空间安全与信息法学院副教授，硕士生导师

王晨曦，重庆邮电大学网络空间安全与信息法学院硕士研究生

责任编辑：刘小侨