互聯網時代個人信息憲法保護路徑研究

于 茜，陳 震

(1.中國人民公安大學 研究生院，北京 100038；2.北京市第一中級人民法院，北京 100040)

在互聯網時代，如何保護個人信息成為全社會關注的問題。從社會層面來看，互聯網時代的個人信息被濫用，個人信息保護已成為社會共識；從法律層面來看，《個人信息保護法》的出臺回應了社會關切，但在立法體系中居于統帥地位的憲法如何回應尚未可知；從學術研究層面看，個人信息保護已成為最熱的議題之一，學界對個人信息保護的學術論爭持續進行，但憲法層面的研究和討論還處于初級階段，如何從憲法層面進行保護成為至關重要的問題。

一、我國個人信息憲法保護立法現狀

2004年，國務院委托最早在個人信息保護領域開展立法研究的兩位專家——齊愛民教授和周漢華教授分別牽頭，起草國內首份《個人信息保護法》專家意見草案。周漢華教授建議采取個人信息保護入憲的立法模式，在建議稿第一條就明確該法的立法依據是《憲法》，提出個人信息屬于憲法基本權利范疇。[1]周教授認為，此種立法模式既能夠體現個人信息權的公共利益權利屬性，也能為后續個人信息立法保護體系的建立提供法理依據。齊愛民教授建議，對個人信息權的保護應與國家安全、公共安全聯系起來，將個人信息權視為公民個人基本權利的一部分并予以保護。[2]

隨著個人信息保護立法研究的不斷深入，我國逐漸形成“公法保護”與“私法保護”齊頭并進的“公私并行”立法保護模式。其中，“公法保護”強調公安、網信、市監等政府主管部門依據《個人信息保護法》《網絡安全法》等法律法規，通過行政執法專項行動，保護公民的個人信息權益；“私法保護”強調個人信息主體的自主性，主張個人信息主體依據《民法典》《侵權責任法》等民商事法律法規，針對侵害個人信息的行為通過訴訟等方式維護自己的合法權益。

通過梳理可以發現，國內個人信息保護模式主要存在以下幾個突出問題：首先，立法分散，缺乏憲法依據。目前，各相關領域陸續出臺各種法律法規，但作為國家根本大法的《憲法》并未對個人信息保護進行規定，使個人信息保護缺乏上位法依據。其次，執法不統一，缺乏專門的個人信息保護機關。目前我國保護個人信息的執法權散落于各個與之相關的執法部門，缺乏統一性和連貫性；且執法所依據的法律法規多數具有強制性特點，監管部門的教育引導相對較少，難以形成自發保護的社會氛圍。最后，邊界模糊，核心概念界定不清。學者們對如何確定“個人信息權利屬性”的概念爭論不休，保護范圍缺乏核心概念支撐，保護邊界很難確定。

二、美、德兩國關于個人信息憲法保護的經驗

從20世紀60年代起，歐美學界陸續開始研究個人信息憲法保護問題。經過幾十年的發展，其憲法保護體系已經相當完善。基于英美法系與大陸法系對個人信息保護的立法模式差異，逐漸衍生出以美國(英美法系)為代表的“個人隱私權”理論和以德國(大陸法系)為代表的“個人信息自決權”理論。

(一)美國“個人隱私權”保護模式

美國的“個人隱私權”理論源于哈佛大學法學院沃倫教授與布蘭代斯教授合撰的《論隱私權》(《哈佛法律評論》1890年第5期)一文。文中首提“隱私權”這一法律概念，并將其描述為“獨處的權利”。文章認為，私人的生活領域受到法律保護，私人的信息事物是否披露由自己決定，二者均屬個人隱私權的組成部分，且該權利與人格權存在交叉關系。這是通過法律保護隱私權的主張首次被提出。

傳統理論認為，個人信息屬于個人隱私權的一部分，僅限于侵權范疇的普通法保護，并未上升到憲法層面。二戰后，電子信息產業引領人類進入信息社會，加之政府權力的不斷擴張，損害了公民對個人信息的自主權，引發全社會對個人信息權利的重視。但基于隱私權司法保護的理論相對滯后，無法回應公民對個人信息保護越來越大的需求，從憲法解釋角度進行保護的模式呼之欲出[3]

美國是判例法國家，憲法中并未對個人信息保護進行規定，但其聯邦最高法院通過分批分類總結經典案例的形式，將個人信息納入憲法解釋范圍。然而，美國首次從憲法角度保護個人信息的標志是20世紀60年代葛里斯伍德訴康涅狄格案件。審理該案的道格拉斯大法官認為，《權利法案》中的各項條文以及聯邦憲法第一、第三、第四、第五、第九修正案都充分體現了公民個人信息權益，由此奠定了個人信息權憲法保護的基礎。1973年的羅伊訴韋德禁止墮胎案件則讓個人信息權保護具有真正的憲法意義。根據葛里斯伍德訴康涅狄格案件確立的基本原則，布萊克曼大法官在審理該案時認為，婦女終止妊娠與否是其個人權利，且隸屬于個人信息權范疇，但該權利并非沒有限制，需要與州所保護的重大利益進行參照。[4]此后，美國聯邦最高法院終于承認個人信息權作為憲法基本權利的地位。羅伯特·H·博克法官評論道，葛里斯伍德案說明，“即使憲法沒有規定也可以通過憲法判例解釋來保護籠統的個人信息權”。

另一個經典案例是沃倫訴羅伊案。該案實現了個人信息的人身權益屬性到隱私利益屬性的巨大跨越，進一步強化了隱私權的憲法保護。大法官史蒂芬認為，案件爭議的焦點是在中央計算機中記錄紐約州病人的個人信息是否違法。假如承認其合法性，可能侵害病人的個人信息隱私權益，也可能侵害病人的獨立決策權；但與之相矛盾的是，紐約州的法令并未從內容上危害上述利益而達到違憲的限度。從判決結果來看，哪怕是國家行為記錄產生的個人信息，依然不能逃脫隱私權的規制范圍。該案判決首次確認了“個人信息隱私”概念，首次闡明了政府非法獲取個人信息行為的違憲性。更重要的是，這是美國首次承認個人信息和個人自決均屬憲法隱私權內容，由此確立了通過不斷擴張隱私權構建個人信息憲法保護路徑的立法模式。[5]

(二)德國“個人信息自決權”保護模式

德國在經歷第二次世界大戰洗禮后，更加追求個人自由，更加強調公民個人信息保護。德國是世界上最早將“人性尊嚴”作為憲法規范進行確定的國家，強調將人本身作為目的進行對待，倡導自治自決自由，這為個人信息自決權的產生奠定了良好的法律基礎。1970年，《數據保護法》在德國黑森州誕生，成為世界上首部個人信息保護立法。隨后，首部聯邦層面的立法——《防止數據處理過程中濫用數據法》在德國出臺。后經多次修訂，個人信息保護立法得到統一規范。[6]

德國從憲法層面保護個人信息，起源于1983年德國人口普查案。1982年，聯邦議會通過《聯邦人口普查法》。該法規定，從1983年4月27日開始，在全國范圍內大規模統計個人信息。由此，個人信息通過計算機載體被廣泛收集，且該法律賦予行政機關使用被收集人信息的合法權限。該法在社會上引起巨大爭議，民眾認為其個人信息安全受到政府行為威脅。民眾代表將該法起訴到聯邦憲法法院，要求確認該法違反聯邦《基本法》。德國《基本法》規定，每個人都有發展人格權利的自由，但須以不侵害憲法秩序、他人權利以及道德規范為前提。個人信息受保護權慢慢成為人格權衍生出的特別情形。《聯邦人口普查法》的相關規定最終被聯邦憲法法院判決違憲。[7]該案的核心要點是：人人皆有控制自身信息的權利，且法律保護個人的知情權、選擇權；個人信息如若被收集，須經本人同意；如個人在不知情或者明確拒絕的條件下被收集信息，收集信息者即可認定侵犯個人信息自決權。[8]

與美國將個人信息保護作為個人隱私權擴張的產物不同，以德國為代表的歐洲國家確定了個人信息受保護權的獨立性，并與個人隱私權相區分。德國憲法法院首創“信息自決權”概念，該權利具有憲法權利屬性。信息自決權是指每個信息主體都有決定是否將個人信息提供給國家機關、社會組織或個人使用、利用的權利。[9]信息自決權有以下三個特點：其一，建立在憲法中的一般人格權基礎之上。這主要是由于當時的德國基本法中對個人信息保護缺乏明確規定，在立法解釋時，與之關聯較大的人格自由條款和人格尊嚴條款被適用；其二，限制公民個人信息權必須有法律的明確規定，防止個人信息權利受到公權力和私權力的隨意侵害；其三，收集個人信息須受到嚴格、明確的限制，防止個人信息被輕易采集。“信息自決權”概念的創立將公民個人信息保護提升到憲法保護高度，從而使公民個人信息保護成為立法、執法、司法等國家機關的共同責任和義務，進一步提升了全社會保護公民信息的意識，為德國立法機關制定個人信息保護法律提供了憲法依據。

三、我國個人信息憲法保護路徑

從憲法角度構建我國個人信息保護路徑，首先應明確憲法依據，即將憲法基本權利的范圍擴大到包括個人信息；再明確“個人信息受保護權”這一核心概念，以民法典等法律保護體系逐漸健全為契機，建立與之配套的個人信息專門保護機構，進一步加強個人信息憲法保護力度。

(一)確定個人信息保護的憲法依據

近年來，隨著個人信息法律保護體系的日益完善，學界對在憲法層面確定個人信息的基本權利地位已達成共識。[10]關于個人信息憲法保護模式，目前學界主要存在兩種觀點：一種是通過憲法肯認，即在成文《憲法》中明確寫入個人信息保護相關條款，將個人信息保護作為憲法基本權利，典型代表是《歐洲基本權利憲章》第8條對“個人信息受保護權”的規定；另一種是通過憲法解釋方式，將個人信息保護納入公民基本權利范疇，典型代表是美國聯邦最高法院通過判決首次確立“信息隱私權”。

我國學界對個人信息保護的憲法基礎也進行了多次探討和研究，主流思想是通過解釋憲法的方式，將個人信息納入憲法基本權利章節，但不同學者對具體條款的不同理解衍生出兩種觀點。有的學者認為，可以依據《憲法》第33條對個人信息保護進行解釋，將個人信息權解釋為“國家尊重和保障人權”中的一種新的人權，以論證其基本權利的屬性；還有學者認為，應該依據《憲法》第38條對個人信息保護進行解釋，將個人信息視為“中華人民共和國公民的人格尊嚴不受侵犯”中的憲法上的人格權進行保護，從而體現個人信息保護對人的尊嚴的價值追求，并將一般人格權作為基本權利的基礎。

我國個人信息憲法保護的核心在于賦予公民個人獲得請求國家機關作為或不作為的權利，包括在公民個人信息受到侵害或威脅時請求國家提供救濟的受益權，也包括國家未經授權不得侵犯公民個人信息的被動防御權，從而使人的價值和尊嚴得到重視。正因如此，國家有義務通過創立相關法律法規、創設相關執法機構、賦予執法機構相應職責權限，對作為公民基本權利的個人信息權利進行保護。筆者認為，對個人信息進行憲法保護的最直接、最有效方式，是在《憲法》第二章明確規定個人信息受保護權，將其明確為公民基本權利。考慮到現行憲法的穩定性和立法的延續性，在暫時無法對憲法進行修改的背景下，我國《憲法》第38條規定的人格尊嚴權確保了公民作為獨立主體的權利得到尊重，這與公民個人信息所具有的自主決定權相契合。故應將個人信息保護納入《憲法》第38條的基本權利范圍并予以解釋，保護公民的個人信息不受任何侵犯。[11]

(二)界定個人信息受保護權的概念

在將個人信息保護權入憲并明確其憲法基本權利地位后，如何界定個人信息憲法保護范圍，厘清其基本概念，學界還存在不同看法。有學者認為，應該使用“個人信息權”概念，因為其與個人信息憲法基本權利的屬性定位最為接近，是個人信息收集、使用、處理等相關權利的總稱；有學者認為，應參照德國立法觀點，使用“個人信息自決權”概念，其主要指信息主體對個人信息享有的占有權、使用權、收益權、處分權；還有學者認為，應該使用“個人信息受保護權”的表述，因為其在歐盟立法中被廣泛使用，指公民在處理個人信息過程中所享有的受到國家法律保護的權利。

第一種觀點在概念界定上較為籠統，且未明確個人信息權是個人獨有還是與信息處理者或其他主體共同分享。第二種觀點近年來在歐洲廣受批判，主要原因是歐洲的個人信息保護法并非保護數據主體對其個人信息的自決權，而是“事先防御機制背景下可能因個人信息給個人的人格或財產帶來危險”[12]，與我國立法初衷存在較大差異。本文認為，“個人信息受保護權”的概念表述與我國個人信息保護的立意相契合，其以人格尊嚴保護為主體，摒棄了單獨將個人信息或個人信息產生的財產權作為保護對象的主體模式，實現了國家保護義務的擴張。此外，近年來相繼出臺的《民法典》《網絡安全法》《個人信息保護法》等貫穿民法、行政法、經濟法等領域的立法，幾乎都規定了個人信息受保護權，從側面印證了個人信息受保護權作為憲法基本權利的概念與我國立法方向的一致性。因此，個人信息受保護權是指信息主體享有的、受國家保護的對其個人信息進行支配、控制并排除他人侵害的權利。[13]

(三)設置個人信息保護的專門機構

近年來，我國行政執法部門開展了多次專項行動。侵害個人信息的違法行為受到進一步規制和打擊，保護個人信息的社會氛圍逐漸濃厚。《個人信息保護法》制定后，有學者認為，我國分散立法、多部門分頭執法的保護模式實現了對個人信息的精準保護，對保護公民個人信息產生了較好的效果。如2018年公安部開展全國大數據整治專項行動，2019年國家市場監管總局開展“守護消費”專項執法行動，2020年公安部開展“凈網2020”專項行動，對侵害公民信息的違法犯罪行為等進行重拳打擊，有效維護了公民的個人信息安全。[14]也有學者認為，現階段我國個人信息監管呈現出個人信息保護制度文件粗糙、監管部門林立等現象，各監管部門由于執法目標和目的的區別，容易產生互相推諉或重復監管等問題，從而使未受監管部門重視的個人信息領域處于監管空白地帶。國家應建立專門性、常態化個人信息保護執法機構，避免過度依賴臨時性專項行動解決信息泄漏問題。在國家根本大法《憲法》中，應將組建專門的、涉及個人信息保護的監管機構寫入其中，同時，在《民法典》《網絡安全法》《個人信息保護法》等法律框架下，突出獨立性和專業性特點，以便對個人信息進行全面持續的監管保護。此外，該機構還應作為個人信息聯合保護的牽頭部門，整合網信、公安、市監等部門的資源，在打擊侵害個人信息行為方面突出系統性和立體性，建構全方位保護體系。

四、結語

依托差異化法律文化背景和立法模式，美、德兩國走出了兩條不同的個人信息憲法保護道路。我國個人信息憲法保護路徑的選擇同樣應當立足于自身特殊的社情國情和文化背景，通過對現行憲法進行解釋的方式確定個人信息受憲法保護的基礎，對“個人信息受保護權”概念進行明確界定，設置專門的個人信息保護機構，構建具有中國特色的個人信息憲法保護路徑。