數(shù)字時(shí)代個(gè)人信息保護(hù)的中國(guó)方案*

■ 吳燁 公保端知

蘭州大學(xué)法學(xué)院 蘭州 730000

1 個(gè)人信息保護(hù)的中國(guó)問(wèn)題

隨著互聯(lián)網(wǎng)技術(shù)的普及，越來(lái)越多的人傾向于通過(guò)網(wǎng)絡(luò)獲取和分享信息。我國(guó)龐大的人口基數(shù)和網(wǎng)民群體，必然催生出巨大的用戶體量及龐大的互聯(lián)網(wǎng)平臺(tái)。以微信（WeChat）為例，截至2022 年12 月31 日，該應(yīng)用程序的合并月活躍用戶數(shù)已超過(guò)13 億[1]。為注冊(cè)和使用此類平臺(tái)，用戶往往需要提供的手機(jī)號(hào)碼、地理位置、銀行卡號(hào)等諸多信息一般被存儲(chǔ)在公司服務(wù)器中。這意味著人們?cè)谙硎芑ヂ?lián)網(wǎng)便利的同時(shí)，海量的個(gè)人信息被相關(guān)機(jī)構(gòu)收集及利用，這關(guān)系著公民利益及社會(huì)公共利益能否得到應(yīng)有的保護(hù)。

在上述背景下，我國(guó)個(gè)人信息泄露和濫用問(wèn)題尤為突出，主要體現(xiàn)在個(gè)人信息的非法采集和濫用等方面。部分信息處理者未盡數(shù)據(jù)安全保障義務(wù)，數(shù)據(jù)治理手段不完善且技術(shù)手段落后，導(dǎo)致大范圍的信息泄漏事件時(shí)有發(fā)生。此外，部分企業(yè)基于商業(yè)利益，傾向于過(guò)度收集甚至倒賣用戶信息。作為我國(guó)首部關(guān)于保護(hù)個(gè)人信息權(quán)益的系統(tǒng)性專門法律，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)保法》）于2021 年11 月1日起實(shí)施。《個(gè)保法》立足我國(guó)實(shí)際情況并借鑒國(guó)際經(jīng)驗(yàn)，從個(gè)人信息處理的原則和規(guī)則以及權(quán)利義務(wù)等方面，建立具有中國(guó)特色的規(guī)范體系。然而，僅靠一部法律并不能夠解決所有的個(gè)人信息保護(hù)問(wèn)題，更何況其在實(shí)際實(shí)施中仍然存在諸多不足之處。尤其是《個(gè)保法》對(duì)于個(gè)人信息的定義、采集、使用、共享、公開(kāi)等方面的規(guī)定比較籠統(tǒng)，不僅缺乏具體的實(shí)施細(xì)則和明確的監(jiān)管措施，而且在司法實(shí)踐中，往往還會(huì)涉及《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱《民法典》）有關(guān)規(guī)則適用、國(guó)家介入的正當(dāng)性基礎(chǔ)問(wèn)題、公民維權(quán)意識(shí)等。

為解決上述問(wèn)題，本文在剖析個(gè)人信息的法律內(nèi)涵和構(gòu)成要素之基礎(chǔ)上，以我國(guó)個(gè)人信息保護(hù)的實(shí)定法規(guī)則作為基本框架，以司法案例、域外立法等作為參考，構(gòu)建符合中國(guó)式現(xiàn)代化的個(gè)人信息保護(hù)法律方案。

2 數(shù)字時(shí)代個(gè)人信息保護(hù)的機(jī)理與特征

2.1 個(gè)人信息保護(hù)的機(jī)理

數(shù)字時(shí)代，個(gè)人信息被廣泛地收集、使用和交換，這使用戶的個(gè)人隱私面臨著各種風(fēng)險(xiǎn)。安置于街頭四處采集各種數(shù)據(jù)的云計(jì)算系統(tǒng)，以各種名目獲取“人臉識(shí)別”信息的App，通過(guò)AR、VR 技術(shù)建立的各種虛擬現(xiàn)實(shí)應(yīng)用……這些原本旨在使人們生活更美好的技術(shù)，現(xiàn)在卻成了窺探生活隱私、盜取個(gè)人信息的工具[2]。唯有在個(gè)人信息得到有效保護(hù)的前提之下，用戶才能更放心地使用互聯(lián)網(wǎng)服務(wù)，進(jìn)而促進(jìn)技術(shù)創(chuàng)新和數(shù)字社會(huì)的發(fā)展。

首先，個(gè)人信息與隱私權(quán)密切相關(guān)。隱私與個(gè)人信息的聯(lián)系之處在于兩者之間的權(quán)利主體都是自然人，權(quán)利客體有一定的交錯(cuò)性，侵害后果具有競(jìng)合性[3]。正因如此，《民法典》在人格權(quán)編中將隱私權(quán)和個(gè)人信息保護(hù)放到同一章節(jié)予以規(guī)定，說(shuō)明立法者也可能認(rèn)為兩者之間存在一定的關(guān)聯(lián)性[4]。此外，在《個(gè)保法》出臺(tái)之前，我國(guó)的司法實(shí)踐中將大量既屬于隱私權(quán)客體又是個(gè)人信息的侵權(quán)案件納入隱私權(quán)保護(hù)的范疇。因此，雖然個(gè)人信息和隱私的保護(hù)并不完全相同，但是以往能夠用隱私權(quán)理論實(shí)現(xiàn)對(duì)部分個(gè)人信息保護(hù)的經(jīng)驗(yàn)表明，加強(qiáng)個(gè)人信息的保護(hù)也有助于保護(hù)個(gè)人隱私。

其次，個(gè)人信息的保護(hù)和數(shù)字身份的構(gòu)建密切相關(guān)。數(shù)字時(shí)代的到來(lái)，使越來(lái)越多的個(gè)人信息得以電子化的形式存在，從而構(gòu)成了個(gè)人的數(shù)字化身份。與傳統(tǒng)的身份相比，數(shù)字身份拓展了人際交往的時(shí)間和空間。與此同時(shí)，技術(shù)的發(fā)展也給人們帶來(lái)了在虛擬世界中的種種“身份危機(jī)”。例如，在比特幣的交易中，當(dāng)事人通過(guò)區(qū)塊鏈密鑰系統(tǒng)可以實(shí)現(xiàn)“身份”識(shí)別，而這與現(xiàn)實(shí)身份截然不同[5]。智能合約具有跨國(guó)界性，難以識(shí)別對(duì)方當(dāng)事人的真實(shí)身份，其容易成為當(dāng)事人逃避監(jiān)管的技術(shù)工具[6]。個(gè)人信息是構(gòu)成數(shù)字身份的基礎(chǔ)，對(duì)此加強(qiáng)保護(hù)，有助于數(shù)字身份構(gòu)建的自主性和完整性。

最后，個(gè)人信息的保護(hù)對(duì)維護(hù)公共利益具有重要意義。數(shù)據(jù)作為一種新型生產(chǎn)要素的重要性地位正日益凸顯。個(gè)人信息是數(shù)據(jù)的基礎(chǔ)，如果個(gè)人信息得到妥善保護(hù)，那么公眾將更愿意積極參與數(shù)字世界的活動(dòng)。這種信任的建立有利于促進(jìn)數(shù)字經(jīng)濟(jì)和信息產(chǎn)業(yè)的健康發(fā)展，為國(guó)家經(jīng)濟(jì)增長(zhǎng)和創(chuàng)新提供有力支持。

2.2 個(gè)人信息保護(hù)的特征

個(gè)人信息的收集、使用、交換雖然不是現(xiàn)代社會(huì)獨(dú)有的現(xiàn)象，但是傳統(tǒng)社會(huì)受制于緩慢的人員和信息流動(dòng)，當(dāng)時(shí)并不存在保護(hù)個(gè)人信息的迫切需求。19 世紀(jì)末期以來(lái)，隨著大眾新聞傳媒的迅速發(fā)展，個(gè)人信息的處理愈發(fā)和個(gè)人私生活的安寧密切相關(guān)，因此，國(guó)際上的個(gè)人信息保護(hù)，分別出現(xiàn)了以美國(guó)為代表的隱私權(quán)保護(hù)思路下的“信息隱私權(quán)”，以及以德國(guó)為代表的一般人格權(quán)保護(hù)思路下的“信息自主或者信息自決權(quán)”[7]。進(jìn)入數(shù)字時(shí)代，個(gè)人信息的保護(hù)和以往相比又呈現(xiàn)出以下3 個(gè)方面的特征。

第一，數(shù)字時(shí)代的個(gè)人信息保護(hù)具有外部性特征。傳統(tǒng)的隱私權(quán)保護(hù)法律制度側(cè)重于強(qiáng)調(diào)保護(hù)個(gè)人隱私權(quán)，較少考慮個(gè)人信息的保護(hù)與利用問(wèn)題，僅在涉及公眾人物或者公眾利益的情況下才有例外規(guī)則[8]。數(shù)字時(shí)代借助于個(gè)人信息處理技術(shù)，一方面，可以對(duì)用戶的行為進(jìn)行更精確的評(píng)價(jià)和預(yù)測(cè)，這使個(gè)人面臨成為“透明人”的風(fēng)險(xiǎn)；另一方面，又可以廣泛地應(yīng)用于商業(yè)運(yùn)營(yíng)和公共管理優(yōu)化等方面，給人們帶來(lái)更便捷的服務(wù)，這使個(gè)人信息無(wú)法也不應(yīng)被個(gè)人獨(dú)占。

第二，數(shù)字時(shí)代的個(gè)人信息保護(hù)處理的是不平等主體之間的關(guān)系。相較于信息主體，信息處理者在信息、技術(shù)等方面具有明顯的優(yōu)勢(shì)，可以對(duì)信息主體的行為進(jìn)行一定程度的控制和施加影響，而信息主體往往對(duì)此缺乏充分的認(rèn)知。正因如此，個(gè)人信息的保護(hù)不能單純地依靠個(gè)人維權(quán)，而是需要通過(guò)一系列特殊的制度安排，矯正兩者之間在事實(shí)上的不平等。

第三，數(shù)字時(shí)代的個(gè)人信息保護(hù)具有跨區(qū)域、跨國(guó)界特征。當(dāng)前，隨著互聯(lián)網(wǎng)的全球普及，個(gè)人信息保護(hù)不再是一個(gè)國(guó)家或者地區(qū)獨(dú)有的工作，這主要體現(xiàn)在以下2 個(gè)方面。一方面，世界各國(guó)（地區(qū)）都可能面臨著個(gè)人信息的不當(dāng)處理對(duì)本國(guó)（地區(qū)）公民的人身財(cái)產(chǎn)權(quán)利，甚至國(guó)家（地區(qū)）安全和社會(huì)穩(wěn)定造成負(fù)面影響的困境。全球多數(shù)國(guó)家目前已經(jīng)制定了數(shù)據(jù)隱私保護(hù)的法律[9]。另一方面，在全球化背景下，個(gè)人信息往往會(huì)跨越國(guó)（邊）界進(jìn)行收集、使用和存儲(chǔ)，這使個(gè)人信息保護(hù)面臨著如何協(xié)調(diào)不同立法之間的差異問(wèn)題。因此，研究數(shù)字時(shí)代的個(gè)人信息保護(hù)，既需要立足于中國(guó)的國(guó)情，重視包括司法判例在內(nèi)本土經(jīng)驗(yàn)的總結(jié)；也要善于借鑒國(guó)際上的有益經(jīng)驗(yàn)，以彌補(bǔ)我國(guó)個(gè)人信息保護(hù)中存在的不足。

3 個(gè)人信息的雙重內(nèi)涵：個(gè)體屬性與社會(huì)屬性

個(gè)人信息是可以識(shí)別特定自然人特征的信息，不僅包括姓名、出生日期等靜態(tài)的個(gè)人屬性信息，還包括互聯(lián)網(wǎng)上的社交人設(shè)、網(wǎng)絡(luò)評(píng)價(jià)等動(dòng)態(tài)的社會(huì)屬性信息。因此，個(gè)人信息具有個(gè)體屬性與社會(huì)屬性之雙重性質(zhì)。雖然這兩種屬性并不相同，但往往相互交織作用，形成了個(gè)人信息的多重面向。

3.1 個(gè)人信息的個(gè)體屬性及其保護(hù)模式

個(gè)人信息的個(gè)體屬性通常是指姓名、住址、健康狀況等個(gè)人特征。這類信息既屬于個(gè)人信息，也有可能是個(gè)人隱私。《民法典》基于權(quán)利不得減損和人格尊嚴(yán)高于私法自治的保護(hù)原則，規(guī)定個(gè)人信息中的私密信息，應(yīng)該優(yōu)先適用隱私保護(hù)規(guī)則[10]。對(duì)于具有個(gè)體屬性的私密信息，當(dāng)隱私權(quán)的有關(guān)法律規(guī)則缺失時(shí)，需要適用個(gè)人信息保護(hù)的相關(guān)規(guī)則。對(duì)于具有個(gè)體屬性的個(gè)人信息，其保護(hù)模式可以分為以下3 個(gè)方面。

第一，從個(gè)人信息的收集角度而言，為使個(gè)人充分知情，信息處理者應(yīng)當(dāng)以完整的形式告知信息主體。同時(shí)，為了增加告知內(nèi)容的可讀性，應(yīng)當(dāng)以通俗易懂的方式對(duì)擬收集的個(gè)人信息范圍和目的、與哪些第三方共享個(gè)人信息、會(huì)對(duì)信息主體造成哪些影響（如有）等重要內(nèi)容承擔(dān)提示說(shuō)明義務(wù)[11]。此外，個(gè)人信息的收集，還應(yīng)當(dāng)根據(jù)不同場(chǎng)景獲得個(gè)人的明示，以及單獨(dú)或書(shū)面的同意。

第二，從個(gè)人信息的利用及共享的角度而言，原則上應(yīng)當(dāng)禁止未經(jīng)同意的信息處理。在確有收集需要的情況下，一方面，在向用戶履行告知義務(wù)的過(guò)程中，應(yīng)該明確約定共享方的義務(wù)和責(zé)任，且個(gè)人信息的共享應(yīng)當(dāng)遵循《個(gè)保法》所確定的合法、正當(dāng)、必要原則之限制；另一方面，除非經(jīng)過(guò)個(gè)人的特別授權(quán)，否則被共享方處理個(gè)人信息的權(quán)利范圍，僅局限于信息主體的初次授權(quán)，不得隨意擴(kuò)大授權(quán)范圍[12]。

第三，從個(gè)人信息存儲(chǔ)的角度而言，應(yīng)當(dāng)采取和有關(guān)風(fēng)險(xiǎn)相匹配的技術(shù)保障。例如，使用加密、分開(kāi)存儲(chǔ)等方式確保個(gè)人信息的保密性、完整性和可用性；在個(gè)人信息的處理目的實(shí)現(xiàn)時(shí)，合理的期限內(nèi)刪除或者做匿名化處理；不幸發(fā)生個(gè)人信息的安全事件的，應(yīng)及時(shí)以適當(dāng)途徑向個(gè)人告知安全事件的基本情況、已采取和將采取的措施、個(gè)人可自主防范的建議等。

3.2 個(gè)人信息的社會(huì)屬性及其保護(hù)模式

個(gè)人信息的社會(huì)屬性是指?jìng)€(gè)人在社會(huì)中的背景、人際關(guān)系、經(jīng)濟(jì)狀況等外在的、變動(dòng)的屬性。與個(gè)體屬性相比，社會(huì)屬性的保護(hù)更多考慮的是社會(huì)公共利益，而非個(gè)人控制。以“被遺忘權(quán)”為例，當(dāng)歐盟引入“被遺忘權(quán)”后，諸多美國(guó)學(xué)者認(rèn)為允許他人刪除不利于自身的信息，會(huì)極大地削弱言論自由的價(jià)值[13]。因此，對(duì)于具有社會(huì)屬性的個(gè)人信息，其保護(hù)模式可以分為以下2 個(gè)方面。

第一，從個(gè)人信息收集角度而言，信息處理者在履行告知義務(wù)時(shí)，雖然同樣需要明確說(shuō)明數(shù)據(jù)收集、使用的目的和范圍，但是在獲取信息主體的同意時(shí)，可以依據(jù)不同場(chǎng)景構(gòu)建靈活應(yīng)用概括式授權(quán)、默示同意等具有差異化的同意模式。對(duì)此，實(shí)踐中一種常見(jiàn)的具體應(yīng)用形式是“告知-退出”機(jī)制。在“朱燁訴百度公司隱私權(quán)糾紛”（南京市中級(jí)人民法院2014 寧民終字第5028 號(hào)判決書(shū)）、“郭某某訴淘寶公司案”（杭州互聯(lián)網(wǎng)法院2021 浙0192 民初5626 號(hào)判決書(shū)）中，法院都認(rèn)可該機(jī)制的合法性。

第二，從個(gè)人信息的利用及共享的角度而言，為促進(jìn)數(shù)據(jù)要素的自由流動(dòng)，應(yīng)當(dāng)在個(gè)體利益、公共利益和商業(yè)利益之間尋求平衡。例如，在合理的利用范圍內(nèi)，數(shù)據(jù)利用的第三方只需得到信息處理者的同意即可。對(duì)此，在司法實(shí)踐中亦體現(xiàn)出該利益平衡思維。譬如，在“大眾點(diǎn)評(píng)訴百度案”（上海知識(shí)產(chǎn)權(quán)法院2016 滬73 民終242號(hào)判決書(shū)）中，法院認(rèn)為，“百度地圖”向用戶提供來(lái)自“大眾點(diǎn)評(píng)”的餐飲類信息，并不違反Robots 協(xié)議，但這并不意味著其可以任意使用個(gè)人信息，應(yīng)以公認(rèn)的商業(yè)道德和誠(chéng)實(shí)信用原則為限。

3.3 個(gè)體屬性與社會(huì)屬性的聯(lián)動(dòng)關(guān)系

個(gè)人信息的個(gè)體屬性與社會(huì)屬性存在區(qū)別和聯(lián)系。兩者的區(qū)別在于，前者主要涉及個(gè)人內(nèi)在的特征和差異，具有專屬性、固有性、唯一性的特點(diǎn)，不會(huì)輕易隨著時(shí)間的改變而發(fā)生動(dòng)態(tài)的變化；后者則主要涉及個(gè)人在社會(huì)中所處的位置和角色，是人在社會(huì)活動(dòng)的過(guò)程中獲得的屬性。同時(shí)，個(gè)人信息的個(gè)體屬性和社會(huì)屬性也具有密切的關(guān)系，前者對(duì)后者具有一定的制約作用，而后者也會(huì)影響前者的發(fā)展和變化。

如上所述，雖然在個(gè)人信息保護(hù)措施方面，無(wú)論個(gè)體屬性還是社會(huì)屬性都遵循相同的基本原則和標(biāo)準(zhǔn)，如知情同意、目的明確、處理方式公開(kāi)透明等，但是在實(shí)踐中，其權(quán)利保護(hù)和利益平衡卻存在不同之處。個(gè)體屬性更多的是關(guān)注個(gè)人隱私權(quán)、自由選擇權(quán)等方面的保護(hù)，而社會(huì)屬性更多的是關(guān)注公共利益、公平正義等方面的保護(hù)。因此，對(duì)于不同類型的個(gè)人信息，需要采取不同的保護(hù)措施和管理機(jī)制：對(duì)于偏向于個(gè)體屬性的個(gè)人信息，應(yīng)該采取更為嚴(yán)格的保護(hù)措施；而對(duì)于偏向于社會(huì)屬性的個(gè)人信息，則需要考慮更多的利益平衡和公共利益的原則。

4 個(gè)人信息保護(hù)的中國(guó)法框架：私法路徑與公法路徑

依托我國(guó)的法律框架，個(gè)人信息保護(hù)路徑可以區(qū)分為私法路徑和公法路徑。其中，私法路徑是指?jìng)€(gè)人通過(guò)民事訴訟等途徑，依據(jù)《民法典》等相關(guān)法律規(guī)定，追究有關(guān)主體的法律責(zé)任。公法路徑是指公權(quán)力機(jī)關(guān)通過(guò)行政干預(yù)的方式，對(duì)違反個(gè)人信息處理規(guī)定的網(wǎng)絡(luò)運(yùn)營(yíng)者或其他相關(guān)方進(jìn)行監(jiān)管和處罰。私法路徑和公法路徑是相輔相成的關(guān)系，兩者共同推動(dòng)個(gè)人信息保護(hù)的深入開(kāi)展。

4.1 私法路徑：“可問(wèn)責(zé)”的權(quán)利救濟(jì)模式

4.1.1 《民法典》與《個(gè)保法》的關(guān)系及區(qū)別 個(gè)人信息權(quán)益，是利益束而非單一的權(quán)利?！睹穹ǖ洹肥且徊亢w了所有民事權(quán)利及民事權(quán)益的基礎(chǔ)法，個(gè)人信息權(quán)益屬于該法調(diào)整的范疇；《個(gè)保法》是個(gè)人信息保護(hù)的專門性法律，是《民法典》有關(guān)規(guī)定的延伸?！睹穹ǖ洹返?034 ～1039 條關(guān)于個(gè)人信息的條款，是立法者對(duì)個(gè)人信息的內(nèi)涵、個(gè)人信息的解釋、個(gè)人信息的收集使用邊界做出的相對(duì)完善的規(guī)范[14]。《個(gè)保法》對(duì)《民法典》有關(guān)個(gè)人信息的內(nèi)容進(jìn)行了更具體的規(guī)定。譬如，《民法典》第1035 條“處理個(gè)人信息的，除非法律、行政法規(guī)另有規(guī)定，應(yīng)當(dāng)征得自然人或者監(jiān)護(hù)人的同意”是信息處理者處理個(gè)人信息的原則性條款，《個(gè)保法》第13 條則對(duì)同意的例外情形從“三個(gè)必須”和“兩個(gè)合理范圍”做了細(xì)化。另外，《民法典》上對(duì)個(gè)人信息保護(hù)作出規(guī)定，表明了法律對(duì)人格尊嚴(yán)和自由的尊重，以及應(yīng)當(dāng)關(guān)注自然人民事權(quán)益和與信息自由之間權(quán)衡的立法考量[15]?！秱€(gè)保法》是保護(hù)個(gè)人信息權(quán)益的具體法律，是人格權(quán)保護(hù)的重要組成部分。

《民法典》和《個(gè)保法》之間也存在一些差異。一方面，是功能定位的不同。《民法典》是一部權(quán)利為核心的法律，在有關(guān)規(guī)定中確認(rèn)了個(gè)人信息權(quán)益受到法律保護(hù)。而《個(gè)保法》作為專門法，以通過(guò)細(xì)化和新增的方式，對(duì)如何收集、使用、存儲(chǔ)個(gè)人信息做了一系列具體規(guī)定，所以更強(qiáng)調(diào)“具體保護(hù)”。另一方面，是法律層級(jí)的不同。當(dāng)《個(gè)保法》中民事行為規(guī)范與《民法典》的行為規(guī)范發(fā)生沖突的時(shí)候，前者的民事行為規(guī)范應(yīng)被視為后者的特別條款，根據(jù)“特別法優(yōu)于一般法”的原則，應(yīng)當(dāng)先根據(jù)《個(gè)保法》判斷行為的不法性，只有在其沒(méi)有明文規(guī)定時(shí)，才適用民法的一般條款[16]。

4.1.2 “實(shí)體法+程序法”二元并濟(jì) 《個(gè)保法》第69 條明確規(guī)定了侵犯?jìng)€(gè)人信息權(quán)益造成損害的受到侵權(quán)法上的保護(hù)。針對(duì)個(gè)人信息權(quán)益的侵權(quán)問(wèn)題，可以從實(shí)體和程序兩個(gè)層面構(gòu)建一套行之有效的綜合救濟(jì)機(jī)制。

在實(shí)體法層面，主要是個(gè)人信息權(quán)益的侵權(quán)問(wèn)題，可以從侵權(quán)責(zé)任主體、構(gòu)成要件和歸責(zé)原則方面展開(kāi)。首先，由于《個(gè)保法》調(diào)整的是個(gè)人信息處理者和個(gè)人權(quán)益主體之間的法律關(guān)系，所以個(gè)人信息侵權(quán)糾紛的責(zé)任主體一般是信息處理者。非個(gè)人信息處理者侵害他人個(gè)人信息權(quán)益，應(yīng)當(dāng)依照《民法典》的規(guī)定，確認(rèn)其為一般侵權(quán)行為[17]。其次，根據(jù)當(dāng)前的相關(guān)司法案例整理，個(gè)人信息侵權(quán)行為的類型主要分為以下三類：①未經(jīng)告知同意收集個(gè)人信息；②個(gè)人信息的泄漏或者非法篡改；③查閱、復(fù)制個(gè)人信息權(quán)利受阻。再次，侵犯?jìng)€(gè)人信息權(quán)益造成的損害結(jié)果，既包括物質(zhì)性損害，也包括非物質(zhì)性損害。其中，與前者相反，后者主要是指難以通過(guò)金錢衡量或者加以計(jì)算。實(shí)踐中侵犯?jìng)€(gè)人信息權(quán)益造成的非物質(zhì)性損害，主要表現(xiàn)為權(quán)益侵犯所導(dǎo)致的精神上的焦慮和不安全感等反?，F(xiàn)象。由于這種精神損害等往往難以量化，而且難以舉證，當(dāng)前的司法實(shí)踐中采取何種判斷標(biāo)準(zhǔn)亦有所不同。有法院認(rèn)為，需要對(duì)此進(jìn)行類型化區(qū)分：①當(dāng)侵犯?jìng)€(gè)人信息權(quán)益的同時(shí)侵犯具體人格權(quán)的，一般可以認(rèn)定構(gòu)成精神損害，是否需要承擔(dān)精神撫慰賠償，則要結(jié)合具體情形而定，但應(yīng)該降低“嚴(yán)重”的判斷標(biāo)準(zhǔn)；②沒(méi)有侵害其他人格權(quán)造成的具體損害，應(yīng)該考慮受侵害個(gè)人信息類型、風(fēng)險(xiǎn)發(fā)生的蓋然性、風(fēng)險(xiǎn)可能導(dǎo)致的危害及其影響范圍等綜合因素，酌情認(rèn)定（薛某訴淘寶公司隱私權(quán)糾紛案，杭州互聯(lián)網(wǎng)法院2022浙0192民初4259號(hào)判決書(shū)）。最后，《個(gè)保法》對(duì)個(gè)人信息處理者的損害賠償使用過(guò)錯(cuò)推定原則。在個(gè)人信息處理活動(dòng)中，個(gè)人信息處理情況和相關(guān)證據(jù)一般掌握在處理者手里，要求個(gè)人承擔(dān)存在過(guò)錯(cuò)的舉證責(zé)任存在較大困難。

在程序法層面，不同國(guó)家對(duì)個(gè)人信息的司法救濟(jì)采取不同的方式，主要體現(xiàn)在是否賦予個(gè)人信息權(quán)益的直接可訴性。例如，歐盟要求在一般情況下個(gè)人應(yīng)當(dāng)先向監(jiān)管機(jī)構(gòu)提起申訴，同時(shí)也賦予了個(gè)人可以向法院提起訴訟的最終救濟(jì)機(jī)制；美國(guó)則采取了準(zhǔn)司法的民事救濟(jì)制度，通過(guò)美國(guó)聯(lián)邦貿(mào)易委員會(huì)（Federal Trade Commission，F(xiàn)TC）對(duì)個(gè)人信息進(jìn)行“普通法”保護(hù)，但是對(duì)于個(gè)人信息權(quán)利的直接可訴性則較為謹(jǐn)慎[18]。與此相比，我國(guó)的《個(gè)保法》從以下3 個(gè)方面體現(xiàn)出了中國(guó)特色。首先，我國(guó)法院更強(qiáng)調(diào)信息處理者的義務(wù)，但并未將尋求行政救濟(jì)作為訴訟的前置程序。信息主體在行使個(gè)人信息權(quán)利請(qǐng)求權(quán)時(shí)能否向法院徑行起訴，存在一定的分歧。在典型案例“杜某訴某網(wǎng)絡(luò)公司個(gè)人信息保護(hù)糾紛案”（杭州互聯(lián)網(wǎng)法院2022浙0192民初4330號(hào)裁定書(shū)）中，法院指出，個(gè)人信息主體行使“個(gè)人信息權(quán)利請(qǐng)求權(quán)”應(yīng)以“信息處理者拒絕個(gè)人行使權(quán)利的請(qǐng)求”為前提。其次，公益訴訟應(yīng)當(dāng)成為我國(guó)個(gè)人信息糾紛的重要救濟(jì)途徑。由于信息處理者和信息主體之間存在天然的信息不對(duì)稱，公益訴訟起訴人則可以利用其在調(diào)查、取證能力、效率等方面的優(yōu)勢(shì)，彌補(bǔ)這種不足。個(gè)人信息侵權(quán)是一種大規(guī)模侵權(quán)行為，這樣的侵權(quán)雖然對(duì)社會(huì)而言具有“范圍廣、程度深”的特點(diǎn)，但對(duì)于個(gè)人來(lái)講，實(shí)質(zhì)上造成的損失可能并不大。大多數(shù)人考慮到訴訟成本和維權(quán)效果之間的失衡，往往怠于行使權(quán)利。因此，通過(guò)公益訴訟的方式維權(quán)，既有利于節(jié)約司法資源，也有利于更好地維護(hù)公共利益。最后，我國(guó)法院對(duì)個(gè)人信息糾紛的解決，可以充分利用“糾紛調(diào)解”機(jī)制。調(diào)解結(jié)案的優(yōu)點(diǎn)在于，一方面，使法院更加高效地處理案件，優(yōu)化司法資源配置，更好地服務(wù)當(dāng)事人和社會(huì)；另一方面，在調(diào)解中，當(dāng)事人也可以更直接地了解對(duì)方的需求，更加準(zhǔn)確地評(píng)估利益和風(fēng)險(xiǎn)。

4.2 公法路徑：確立“個(gè)人信息受保護(hù)權(quán)”的國(guó)家保護(hù)義務(wù)

4.2.1 個(gè)人信息保護(hù)的公法基礎(chǔ) 個(gè)人信息保護(hù)法與《中華人民共和國(guó)憲法》（以下簡(jiǎn)稱《憲法》）也有密切的聯(lián)系?！稇椃ā肥菄?guó)家制度和其他法律的基礎(chǔ)，是根本大法，《個(gè)保法》的制定同樣應(yīng)當(dāng)符合《憲法》的基本原則和要求，以確保公民實(shí)現(xiàn)《憲法》所賦予的基本權(quán)利。保護(hù)個(gè)人信息免受國(guó)家和數(shù)據(jù)企業(yè)等信息處理者的侵犯，是個(gè)人信息保護(hù)研究的重要議題，前者因?yàn)槭堑湫偷墓▎?wèn)題，不存在較大的爭(zhēng)議，后者卻因?yàn)樾畔⒅黧w和數(shù)據(jù)企業(yè)均是私主體，似乎應(yīng)該屬于私法調(diào)整的范圍，然而，由于數(shù)據(jù)企業(yè)可以對(duì)信息主體實(shí)施隱性的強(qiáng)制和支配，因此，將數(shù)據(jù)企業(yè)的信息處理行為納入公法調(diào)整的范圍也具有正當(dāng)性，這為從私法和公法不同的視角建構(gòu)理論提供了可能[19]。

隨著個(gè)人信息法律保護(hù)的全球擴(kuò)張，以及我國(guó)的《民法典》和《個(gè)保法》等眾多立法的多方位迅速推進(jìn)，在憲法層面確立相關(guān)權(quán)益的必要性成為學(xué)界的共識(shí)[20]。我國(guó)《憲法》的基本權(quán)利規(guī)范體系中，雖然沒(méi)有明文規(guī)定個(gè)人信息的權(quán)利形態(tài)，但是第33 條、第38 條、第39 條、第40條等條文涉及的概括性人權(quán)條款以及人格權(quán)、居住權(quán)、通信自由和秘密等具體權(quán)利均與個(gè)人信息有關(guān)。

新型權(quán)利進(jìn)入《憲法》，一般遵循2 種路徑：一是以憲法修正案的方式寫(xiě)進(jìn)成文《憲法》；二是運(yùn)用《憲法》解釋技術(shù)，通過(guò)未列舉的權(quán)利的證成的方式獲得《憲法》的保護(hù)。我國(guó)《憲法》并沒(méi)有明確規(guī)定個(gè)人信息的保護(hù)，如何通過(guò)《憲法》解釋的方式將其納入基本權(quán)利的保護(hù)范疇，根據(jù)所依據(jù)《憲法》條文的區(qū)別，學(xué)界存在以下幾種代表性觀點(diǎn)：一是第33 條的“人權(quán)保障”條款[21]；二是第38 條的“人格尊嚴(yán)”條款[22]；三是多個(gè)條文整合式的《憲法》解釋路徑。學(xué)者認(rèn)為，“人權(quán)保障”或者“人格尊嚴(yán)”條款均不足以單獨(dú)做出明確的解釋，故應(yīng)該實(shí)現(xiàn)上述兩個(gè)條款之間的體系關(guān)聯(lián)[23]；還進(jìn)一步提出，既要通過(guò)“人格尊嚴(yán)”“人權(quán)保障”與“社會(huì)保障制度”條款的體系勾連解釋出新型數(shù)據(jù)自決權(quán)，也要結(jié)合具體的權(quán)利條款導(dǎo)引出傳統(tǒng)基本權(quán)利向數(shù)字世界的移植內(nèi)容，最終統(tǒng)合在個(gè)人數(shù)據(jù)權(quán)利的框架秩序中[24]。對(duì)此，本文贊同依據(jù)《憲法》第38 條“人格尊嚴(yán)”條款對(duì)個(gè)人信息的憲法保護(hù)依據(jù)進(jìn)行解釋。

4.2.2 個(gè)人信息公法保護(hù)的實(shí)現(xiàn)路徑 有學(xué)者提出，運(yùn)用基本權(quán)利保護(hù)義務(wù)理論，通過(guò)“個(gè)人信息受保護(hù)權(quán)——國(guó)家保護(hù)義務(wù)”框架，建構(gòu)個(gè)人信息的公權(quán)力保護(hù)路徑[25]。該框架是個(gè)人信息保護(hù)的核心理念，也是國(guó)際社會(huì)普遍認(rèn)同的個(gè)人信息保護(hù)原則。個(gè)人信息受保護(hù)權(quán)是指?jìng)€(gè)人擁有對(duì)其個(gè)人信息的保護(hù)權(quán)利。隨著信息技術(shù)的發(fā)展，個(gè)人信息的泄露和濫用問(wèn)題越來(lái)越突出，因此，國(guó)家有義務(wù)保障個(gè)人信息受保護(hù)權(quán)。該框架明確規(guī)定了個(gè)人信息受保護(hù)的權(quán)利和國(guó)家保護(hù)個(gè)人信息的義務(wù)，強(qiáng)調(diào)了國(guó)家在個(gè)人信息保護(hù)中的重要作用。

“個(gè)人信息受保護(hù)權(quán)”是個(gè)人信息保護(hù)基本權(quán)利在《憲法》上的概念表達(dá)。至于如何圍繞該基本權(quán)利構(gòu)建相應(yīng)的國(guó)家保護(hù)義務(wù)，在大數(shù)據(jù)時(shí)代，鑒于國(guó)家為了履行必要的公共服務(wù)職能，在對(duì)個(gè)人信息進(jìn)行收集和處理之外，信息主體還需要面對(duì)“強(qiáng)大的、組織化”的信息處理機(jī)構(gòu)。為了充分地實(shí)現(xiàn)這項(xiàng)基本權(quán)利，國(guó)家不僅應(yīng)承擔(dān)尊重私人生活、避免干預(yù)個(gè)人安寧的義務(wù)，還應(yīng)通過(guò)積極保護(hù)，支援個(gè)人對(duì)抗個(gè)人信息處理中尊嚴(yán)減損的風(fēng)險(xiǎn)?；诳刂啤皵?shù)據(jù)權(quán)力”這一侵害風(fēng)險(xiǎn)源的需要，一方面，國(guó)家應(yīng)避免過(guò)度侵入個(gè)人信息領(lǐng)域；另一方面，應(yīng)通過(guò)制度性保障、組織與程序保障以及侵害防止義務(wù)的體系化，營(yíng)造個(gè)人信息保護(hù)的制度生態(tài)[26]。

《個(gè)保法》規(guī)定了“個(gè)人信息保護(hù)負(fù)責(zé)人”制度、“履行個(gè)人信息保護(hù)職責(zé)的部門”的監(jiān)管及救濟(jì)等機(jī)制，但是由于無(wú)法滿足個(gè)人信息保護(hù)的所有現(xiàn)實(shí)需要，所以對(duì)于《個(gè)保法》的一些原則性規(guī)定，可以包括但是不限于從以下幾個(gè)方面進(jìn)一步細(xì)化。首先，是個(gè)人信息保護(hù)負(fù)責(zé)人制度的完善。個(gè)人信息保護(hù)負(fù)責(zé)人承擔(dān)著企業(yè)的個(gè)人信息保護(hù)工作和與行政監(jiān)管機(jī)構(gòu)之間的聯(lián)絡(luò)溝通的角色。在個(gè)人信息保護(hù)負(fù)責(zé)人設(shè)立條件方面，《個(gè)保法》僅規(guī)定以個(gè)人信息數(shù)量為標(biāo)準(zhǔn)，其任職條件、如何開(kāi)展工作、如何與監(jiān)管部門銜接等尚屬于立法空白，需要網(wǎng)信部門細(xì)化具體的劃分?jǐn)?shù)量并發(fā)布實(shí)踐指南等方式提供行為指引[27]。其次，是國(guó)家履行個(gè)人信息保護(hù)職責(zé)部門的權(quán)責(zé)完善?！秱€(gè)保法》沒(méi)有采用類似于歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR） 中建立個(gè)人信息保護(hù)的專門機(jī)關(guān)的方式，而是規(guī)定國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌兼顧，其他有關(guān)部門在各自的職責(zé)范圍內(nèi)開(kāi)展個(gè)人信息保護(hù)的監(jiān)督管理工作。在這樣的立法背景下，明確監(jiān)管部門之間職責(zé)劃分和協(xié)調(diào)機(jī)制，有助于提高監(jiān)管的效率和處罰措施的一致性。最后，是行政救濟(jì)機(jī)制的完善。根據(jù)《個(gè)保法》的規(guī)定，不履行法律規(guī)定的個(gè)人信息保護(hù)義務(wù)的國(guó)家機(jī)關(guān)，面臨的后果主要是責(zé)令改正或者對(duì)責(zé)任人員予以處分。因此，學(xué)界對(duì)公權(quán)力機(jī)關(guān)責(zé)任的承擔(dān)方式、如何訴訟和是否需要行政賠償?shù)热匀淮嬖诟鞣N爭(zhēng)議，需要進(jìn)一步討論。

5 結(jié)語(yǔ)

從中國(guó)式現(xiàn)代化的角度理解個(gè)人信息保護(hù)，需要考慮到中國(guó)社會(huì)發(fā)展的實(shí)際情況和特點(diǎn)。中國(guó)式現(xiàn)代化強(qiáng)調(diào)的是以人為本、和諧發(fā)展、可持續(xù)發(fā)展等理念，個(gè)人信息保護(hù)也應(yīng)該基于這些理念進(jìn)行思考和實(shí)踐。個(gè)人信息保護(hù)的核心內(nèi)容是協(xié)調(diào)保護(hù)和利用之間的關(guān)系。因此，如何尋找兩者之間的平衡是重要課題。

首先，個(gè)人信息保護(hù)應(yīng)該是以人為本。在中國(guó)式現(xiàn)代化的理念中，人是發(fā)展的主體和中心，應(yīng)該尊重和保護(hù)每個(gè)人的基本權(quán)利和尊嚴(yán)。因此，個(gè)人信息保護(hù)不僅意味著保護(hù)個(gè)人的隱私和權(quán)益，更是保障人的尊嚴(yán)和自由的體現(xiàn)。為了平衡數(shù)據(jù)隱私保護(hù)和數(shù)據(jù)要素市場(chǎng)化，需要在貫徹落實(shí)個(gè)人信息保護(hù)法律制度的前提下，提升數(shù)據(jù)的處理能力和價(jià)值挖掘能力，從而促進(jìn)數(shù)據(jù)要素的市場(chǎng)化，創(chuàng)造更多的數(shù)據(jù)價(jià)值。

其次，個(gè)人信息保護(hù)需要與和諧發(fā)展的理念相結(jié)合。在中國(guó)式現(xiàn)代化的理念中，和諧發(fā)展是指經(jīng)濟(jì)、社會(huì)和環(huán)境等方面的協(xié)調(diào)發(fā)展，個(gè)人信息保護(hù)也應(yīng)該是在經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步的基礎(chǔ)上進(jìn)行。因此，個(gè)人信息保護(hù)需要綜合考慮社會(huì)、經(jīng)濟(jì)和技術(shù)等因素，在保障信息安全的同時(shí)，不能阻礙信息的流通和利用。在個(gè)人信息保護(hù)和數(shù)據(jù)利用的基礎(chǔ)上，建立行之有效的數(shù)據(jù)共享機(jī)制，是實(shí)現(xiàn)數(shù)據(jù)利用價(jià)值的最大化發(fā)揮的重要舉措。

最后，個(gè)人信息保護(hù)需要與可持續(xù)發(fā)展的理念相結(jié)合。在中國(guó)式現(xiàn)代化的理念中，可持續(xù)發(fā)展是指經(jīng)濟(jì)、社會(huì)和環(huán)境等方面的發(fā)展，需要同時(shí)滿足現(xiàn)代化和可持續(xù)性的要求，而個(gè)人信息保護(hù)也應(yīng)該是在可持續(xù)發(fā)展的基礎(chǔ)上進(jìn)行的。因此，個(gè)人信息保護(hù)需要綜合考慮信息利用的效益和風(fēng)險(xiǎn)，保障信息安全和促進(jìn)信息的可持續(xù)利用。