论宪法视域个人信息保护的公法路径

徐子航

(哈尔滨商业大学法学院，黑龙江 哈尔滨 150000)

伴随互联网技术在社会生活中的普及应用和信息化程度在私人空间和公共领域的日益加深，出现了许多传统法学研究和法律法规所没有规制的法律问题。有的学者指出，“18 世纪工业革命以来围绕能量与物质构建的法律秩序，正面临向围绕信息与网络构建的法律秩序的全面转型。”[1]其中个人信息作为个体在社会群体中明确身份的重要要素，如果被泄露和滥用会直接危害公民的财产安全，并导致电信网络诈骗、恶意人身骚扰等诸多问题的发生。为回应现实法律问题的需要，实现对个人信息的有效保护已经成为大数据时代法学需要解决的重大课题。

一、个人信息保护中相关理论辨析

近年来《民法典》《网络安全法》的颁布，推动了网络交易和数据安全等领域法治化发展，但关于个人信息保护的权利基础和保护路径上依旧没有一个确定的答案。二者逻辑的理清是新时代个人信息保护体系建设的关键，只有明确个人信息保护的权利基础，才能解决保护主体、保护范围和保护方式等重要问题，实现对个人信息相关权益全面而充分的保护。

(一)个人信息保护的内涵阐释

“个人信息是指可直接或间接识别特定自然人的一切数据。”[2]最早在欧盟的《数据保护指令》中提出相关概念，相继挪威、罗马尼亚和德国等欧洲国家纷纷进行立法。各国对个人信息的称谓上不尽相同，包括有个人隐私、个人数据、个人识别信息等诸多表达，但从其信息内容来看，这些概念指涉的概念大体相同，皆为可以识别个人的信息和数据。我国《网络安全法》将其概括为以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。从理论框架来看，个人信息保护可以分为消极的个人信息防御性保护和积极的个人信息表达性自由，后者将个人信息视为言论表达自由的一部分。我国《宪法》所规定的公民享有基本权利的人权和《民法典》中人格权部分规定的隐私权和个人信息保护则更侧重于前者个人信息安全的保护，将个人信息安全作为公民进行正常社会生活中的一项基本条件。确保公民个人信息受到有效保护，不受他人非法侵害。

(二)个人信息保护的权利基础

许多学者采取传统私法的权利理论，将个人信息视为公民所享有的一项权益，作为私权客体来加以保护，并设置一套能够对抗不特定主体的私法制度。该观点也因为有欧洲国家司法实践的域外经验被广泛接受，主张我国个人信息保护也应作为一种具有人格属性的私权，只需在民法法律体系下进行规则设计。首先，将个人信息视为一种权利或利益放在民事权利义务框架下研究。但个人信息作为一种抽象的概念，同时具有作为公民自身的个体性和社会成员的公共流通性双重属性，如果个人享有完全的权利去自主决定其个人信息是否让他人收集和使用，在实践中将遭遇法律与道德的空白地带以及法律制度的瓶颈。一方面，从社会实际的角度不具有可行性，使个人信息保护成为一个没有切实权力保障的空泛概念。另一方面，有可能妨碍社会的信息运转，对人际交流造成困难。个人信息的范围和内容也在公民活动中随时变化，其动态性也导致单一静态的民事权利保护无法化解这一矛盾，反而导致有限的司法资源无法被限制于庞杂的信息确认中。其次，从权力体系对比中可以发现，基于公民意思自治基础上的私权保护在面对庞大的公司企业和国家机构时天然处于劣势。相比具有专门法务团队的信息收集和处理方，公民考虑到成本消耗和收益率等因素，无法充分而全面的保护自身利益。这种不平衡的对比也违背了我国民事法律体系的平等原则。正如张新宝指出，“面对强大的个人信息处理者，抽象的民事权利规定容易被虚化，沦为‘纸面上的权利’；个人信息保护的有效性必然有赖于国家规制，实践中站在维权第一线的其实往往是监管者而非个人。”[3]最后，《民法典》和《个人信息保护法(草案)》的相关规定中并没有将个人信息解释为一种公民享有的民事权利，而是表述为其受到法律的保护。

(三)个人信息保护的相关理论

目前，我国关于个人信息保护理论研究的主要观点：周汉华等学者提出的建立个人信息多元治理机制，完善公法范畴内的个人信息等理论观点，但这些观点更多聚焦于立法和司法方面，并没有对个人信息保护的权利来源进行探究。王锡锌教授主张“个人信息保护的宪法基础是国家所负有的保护义务，国家负有对公民人格尊严和隐私、安宁进行保护的义务。随着信息时代的来临，该种义务扩展到对个人信息相关权益的保护。”[4]将个人信息保护解释为国家对公民履行其保护义务的一部分。通过国家和公法提供保护路径来为公民的个人信息安全提供权利保障，有效震慑数量繁多且类型复杂的侵害危险源，预防个人信息泄露、滥用等侵害行为的发生，切实保障公民个人信息安全。

二、个人信息保护公法制度的优化

个人信息的保护对象除了人格权和人的尊严以外，还包括个人信息关联的个人合法权益。为了避免商业组织在处理大量个人信息时所造成的潜在基本权利和实质价值造成的损害，国家需要建立完善的制度体系来保护作为弱势一方的个人。

(一)国家在个人信息保护中的角色

基于个人信息具有双重属性，国家在其保护领域同时扮演着双重角色。一方面，基于个人信息的个人属性，公民的防御权要求国家在公权力的行使中履行消极义务，避免其不当行使侵害公民基本权利。这种观点很早就在欧盟国家的司法实践中有大量体现，在《欧洲个人数据处理中的个人保护公约》中明确个人信息保护不得妨碍信息自由、公众知情等基本权利，赋予公民包括数据访问权、更正权、拒绝权等诸多权利，以保障公民能够有权支配自身的个人信息。欧洲人权法院强调国家应尊重私人生活的安宁，理清国家权力与个人自由的边界。国家机构在公民个人信息的收集上坚持保留性等抑制公权的原则。严格避免国家机构以公共利益的需要为由侵犯公民的个人信息。另一方面，伴随信息时代的发展，大量现代移动电子设备的应用和信息收集、整理和分析的更新迭代导致个人信息泄露的渠道大幅增加，大数据系统个人信息的重要程度日益突显。传统为防止国家公权而设定的法律体系无法应对个人信息保护所面临的新风险。个人面对具有组织化和专业化的信息处理机构和纷繁复杂的信息处理场景显得无力。国家应履行保护个人信息的积极义务的观点被越发倡导。公民个体需要借助国家制定的完善公法体系来实现对自身权益的保护。例如欧盟在2000年颁布的《欧盟基本权利宪章》中规定各成员国应设置专门监管机构来保障个人数据安全。此基础上制定了《通用数据保护条例》(GDPR)，规定数据控制者和管理者的行为若违反有关条例，相关机构可自行行使行政执法权，对违法者采取行政处罚等措施。2015年欧洲数据保护专员公署发布的报告指出，个人信息受保护权的主要目的是作为个人尊严面对个人处理时可能风险的补充力量。

(二)侵害个人信息的风险主体

伴随大数据产业的发展，个人信息成为一种生产资料，其经济价值越发突显。除了政府外，大量的互联网企业拥有庞大的用户群体和多元的信息收集途径，能够大规模收集个人信息，并通过算法来发挥自身竞争优势，这一现象在金融、医疗等各社会领域都有所体现。因此，个人信息已经成为社会治理中的重要组成部分。大型互联网企业通过大数据和算法，在获取大量个人信息后形成精准的个人画像，并通过有选择性的推送信息数据来控制个体对信息的获取，最终潜移默化地影响个人决策。在此过程中，个体甚至无法判断风险是何时发生的，准确判断自己的何种权益是如何被侵害的，因此实现私力救济极为困难。面对具有复杂性和隐蔽性的信息泄露，仅靠需要制衡能力和信息资源的个人自主防卫是不现实的，采取事后救济不仅大量消耗了司法资源，更因为个体条件的限制导致不能实现其预设效果。而国家履行保护义务需要先明确所针对的侵害个人信息的风险主体。

首先是以互联网企业为代表的私营商业组织，不同于传统和消费者交易的企业，互联网企业多呈现为平台模式，“往往借由其平台为其他经营者和消费者提供交易场所，发挥着市场的资源配置功能，表现出企业与市场的二重性。”[5]将消费者的需求和销售者的供应通过算法来匹配结合，能够某种范围内管理市场，在一定程度上具有“准公共权力”。其次是以国家机关为代表的公权力机构，国家机关和组织在履行公共服务和公共管理的职能中，出于工作需要也会大量收集公民的个人信息，但这过程中也可能侵害个人信息安全。如江西省乐安县人民检察院督促规范政府信息公开行政公益诉讼案中，乐安县农业农村局在官网上公开的补贴名单中，对相关公民身份证号码、家庭住址和手机号码等个人信息公开，泄露了不应公开的公民信息。因此，公权力机构在处理公民个人信息时应坚持审慎态度，正确处理好政府信息公开职能和保护个人信息义务间的关系，对个人信息收集的范围和内容自发加以约束。

三、个人信息保护公法路径的法理解析

伴随《民法典》《网络安全法》的出台，我国个人信息保护依然是当前立法的重要方向。但关于个人信息保护权力基础的认知尚未达成共识，这导致无法形成合理的权利义务结构框架。国家和公法作为个人信息保护的决定性力量，其需要同时履行积极义务和消极义务两个方面。在公法保护个人信息安全的体系设计上，需要在法理上理清信息领域各方关系，通过法律授权公民所享有的权利，维护其人格尊严不受损害。借鉴个人信息保护制度的域外经验，建立有效的监管机制来保护个人信息安全。

(一)构建法律制度框架，明确法律责任

首先，国家需要在法理上明确个人与信息收集处理者二者之间的权利义务关系，通过法律条文明示公民在其个人信息上的权利及具体行使途径，划清信息收集处理者的权限。可在借鉴欧美国家域外经验的基础上，通过制定《个人信息保护法》来从法理上明确公民个人信息的知情权、更正权、删除权等一系列权利。在个人信息领域构建合理的权利制衡机制，使得公民个体在面对强势的信息收集处理者时，能够捍卫个人自由和尊严。其次，构建个人收集和处理备案制度。“我国现行立法并未要求个人信息处理者对其关于个人信息保护法定义务的履行情况进行强制备案，这给行政监督和执法带来巨大成本和不便，也不利于促进企业乃至行业提高个人信息保护自律水平。”[6]因此，在立法时应规定信息收集处理者应当履行的法定义务，其要向社会明确公开自己的信息收集领域和处理算法逻辑，并在有权机构进行登记备案，监管机构定期对其执行情况进行复审。还应明确信息收集处理者法律责任，通过民法、行政法和刑法所构建的多元法律责任机制来有效遏制侵害行为的发生。最后，在事后救济方面，立法应当尽可能确保个人信息保护制度简单便捷，确保个体当个人信息权益受损时能够易于使用救济渠道， 通过诉讼等途径获得有效保护和赔偿。

(二)建立专门监管机构，统筹监管力量

目前，我国个人信息保护具有鲜明的部门区隔特征，具有相关职能的部门包括有电信管理机构、网信办、公安部门在内分属不同部门的多个机构，由于没有明确的监管职责规划，在实践中暴露出相互推诿责任、监管职能冲突等问题。这也导致出现监管空缺和公民个人信息安全受到较低程度侵害维权难等现象。此外，各监管机构大多采取专项整治活动的手段来实现监管，其监管效果不具有持续性和稳定性。因此，设立独立的专门监管机构，统筹规划各领域信息监管工作极为重要。“世界上主要国家和地区的立法和实践表明，只有坚持个人信息保护监管机构的独立性和全局视野，才能有效地防止和排除其他组织和个人的干预，进而履行法定的监管职能。”[7]我国可参考GDPR关于数据监管机构及机制的设置，通过行使行政执法权来维持社会信息秩序。《个人信息保护法(草案)》规定由网信部门负责个人信息保护的统筹协调。但具体工作仍属各部门职责范围。此外，考虑到个人信息隐秘性和不确定性的特点，监管机构还需具有专业性。因此，进一步完善个人信息监管部门的独立性和专业性将是我国个人信息保护制度未来发展的方向。

(三)完善行政监管措施，增加监管手段

目前，我国个人信息保护监管机构的监管措施有警告、没收违法所得、罚款、限期改正等。总的来看，这些监管措施介入阶段滞后、惩治效果不足。基于信息产业发展等要素的考虑，我国当前尚没有信息收集处理行业准入条件的法律规定，无需经由监管机构审查许可，就可以自行进行大数据收集和算法分析。这也导致侵害公民个人信息安全的事件发生时，监管机构不能迅速理清案件情况和及时采取保护措施。因此，可以设定信息收集处理者的准入资格，要求其具有基本的组织结构框架，以及《个人信息保护法(草案)》第五十条规定的内部管理制度和内部活动制度。通过设置一定主体要件来提高信息收集和处理主体的资质。此外，当前监管机构往往采取约谈当事企业负责人的方式，“然而，这种被广泛运用的‘行政约谈’手段，其主要功能在于警示、告诫或指导，缺乏相应的强制力。”[8]且监管机构采取行动往往在侵害行为已发生且产生较大的社会影响后才介入。因此，针对体量庞大的互联网企业等监管对象，我国监管措施在多样性和惩罚性方面尚需进一步加强。