■ 吴烨 公保端知

兰州大学法学院 兰州 730000

1 个人信息保护的中国问题

随着互联网技术的普及，越来越多的人倾向于通过网络获取和分享信息。我国庞大的人口基数和网民群体，必然催生出巨大的用户体量及庞大的互联网平台。以微信（WeChat）为例，截至2022 年12 月31 日，该应用程序的合并月活跃用户数已超过13 亿[1]。为注册和使用此类平台，用户往往需要提供的手机号码、地理位置、银行卡号等诸多信息一般被存储在公司服务器中。这意味着人们在享受互联网便利的同时，海量的个人信息被相关机构收集及利用，这关系着公民利益及社会公共利益能否得到应有的保护。

在上述背景下，我国个人信息泄露和滥用问题尤为突出，主要体现在个人信息的非法采集和滥用等方面。部分信息处理者未尽数据安全保障义务，数据治理手段不完善且技术手段落后，导致大范围的信息泄漏事件时有发生。此外，部分企业基于商业利益，倾向于过度收集甚至倒卖用户信息。作为我国首部关于保护个人信息权益的系统性专门法律，《中华人民共和国个人信息保护法》（以下简称《个保法》）于2021 年11 月1日起实施。《个保法》立足我国实际情况并借鉴国际经验，从个人信息处理的原则和规则以及权利义务等方面，建立具有中国特色的规范体系。然而，仅靠一部法律并不能够解决所有的个人信息保护问题，更何况其在实际实施中仍然存在诸多不足之处。尤其是《个保法》对于个人信息的定义、采集、使用、共享、公开等方面的规定比较笼统，不仅缺乏具体的实施细则和明确的监管措施，而且在司法实践中，往往还会涉及《中华人民共和国民法典》（以下简称《民法典》）有关规则适用、国家介入的正当性基础问题、公民维权意识等。

为解决上述问题，本文在剖析个人信息的法律内涵和构成要素之基础上，以我国个人信息保护的实定法规则作为基本框架，以司法案例、域外立法等作为参考，构建符合中国式现代化的个人信息保护法律方案。

2 数字时代个人信息保护的机理与特征

2.1 个人信息保护的机理

数字时代，个人信息被广泛地收集、使用和交换，这使用户的个人隐私面临着各种风险。安置于街头四处采集各种数据的云计算系统，以各种名目获取“人脸识别”信息的App，通过AR、VR 技术建立的各种虚拟现实应用……这些原本旨在使人们生活更美好的技术，现在却成了窥探生活隐私、盗取个人信息的工具[2]。唯有在个人信息得到有效保护的前提之下，用户才能更放心地使用互联网服务，进而促进技术创新和数字社会的发展。

首先，个人信息与隐私权密切相关。隐私与个人信息的联系之处在于两者之间的权利主体都是自然人，权利客体有一定的交错性，侵害后果具有竞合性[3]。正因如此，《民法典》在人格权编中将隐私权和个人信息保护放到同一章节予以规定，说明立法者也可能认为两者之间存在一定的关联性[4]。此外，在《个保法》出台之前，我国的司法实践中将大量既属于隐私权客体又是个人信息的侵权案件纳入隐私权保护的范畴。因此，虽然个人信息和隐私的保护并不完全相同，但是以往能够用隐私权理论实现对部分个人信息保护的经验表明，加强个人信息的保护也有助于保护个人隐私。

其次，个人信息的保护和数字身份的构建密切相关。数字时代的到来，使越来越多的个人信息得以电子化的形式存在，从而构成了个人的数字化身份。与传统的身份相比，数字身份拓展了人际交往的时间和空间。与此同时，技术的发展也给人们带来了在虚拟世界中的种种“身份危机”。例如，在比特币的交易中，当事人通过区块链密钥系统可以实现“身份”识别，而这与现实身份截然不同[5]。智能合约具有跨国界性，难以识别对方当事人的真实身份，其容易成为当事人逃避监管的技术工具[6]。个人信息是构成数字身份的基础，对此加强保护，有助于数字身份构建的自主性和完整性。

最后，个人信息的保护对维护公共利益具有重要意义。数据作为一种新型生产要素的重要性地位正日益凸显。个人信息是数据的基础，如果个人信息得到妥善保护，那么公众将更愿意积极参与数字世界的活动。这种信任的建立有利于促进数字经济和信息产业的健康发展，为国家经济增长和创新提供有力支持。

2.2 个人信息保护的特征

个人信息的收集、使用、交换虽然不是现代社会独有的现象，但是传统社会受制于缓慢的人员和信息流动，当时并不存在保护个人信息的迫切需求。19 世纪末期以来，随着大众新闻传媒的迅速发展，个人信息的处理愈发和个人私生活的安宁密切相关，因此，国际上的个人信息保护，分别出现了以美国为代表的隐私权保护思路下的“信息隐私权”，以及以德国为代表的一般人格权保护思路下的“信息自主或者信息自决权”[7]。进入数字时代，个人信息的保护和以往相比又呈现出以下3 个方面的特征。

第一，数字时代的个人信息保护具有外部性特征。传统的隐私权保护法律制度侧重于强调保护个人隐私权，较少考虑个人信息的保护与利用问题，仅在涉及公众人物或者公众利益的情况下才有例外规则[8]。数字时代借助于个人信息处理技术，一方面，可以对用户的行为进行更精确的评价和预测，这使个人面临成为“透明人”的风险；另一方面，又可以广泛地应用于商业运营和公共管理优化等方面，给人们带来更便捷的服务，这使个人信息无法也不应被个人独占。

第二，数字时代的个人信息保护处理的是不平等主体之间的关系。相较于信息主体，信息处理者在信息、技术等方面具有明显的优势，可以对信息主体的行为进行一定程度的控制和施加影响，而信息主体往往对此缺乏充分的认知。正因如此，个人信息的保护不能单纯地依靠个人维权，而是需要通过一系列特殊的制度安排，矫正两者之间在事实上的不平等。

第三，数字时代的个人信息保护具有跨区域、跨国界特征。当前，随着互联网的全球普及，个人信息保护不再是一个国家或者地区独有的工作，这主要体现在以下2 个方面。一方面，世界各国（地区）都可能面临着个人信息的不当处理对本国（地区）公民的人身财产权利，甚至国家（地区）安全和社会稳定造成负面影响的困境。全球多数国家目前已经制定了数据隐私保护的法律[9]。另一方面，在全球化背景下，个人信息往往会跨越国（边）界进行收集、使用和存储，这使个人信息保护面临着如何协调不同立法之间的差异问题。因此，研究数字时代的个人信息保护，既需要立足于中国的国情，重视包括司法判例在内本土经验的总结；也要善于借鉴国际上的有益经验，以弥补我国个人信息保护中存在的不足。

3 个人信息的双重内涵：个体属性与社会属性

个人信息是可以识别特定自然人特征的信息，不仅包括姓名、出生日期等静态的个人属性信息，还包括互联网上的社交人设、网络评价等动态的社会属性信息。因此，个人信息具有个体属性与社会属性之双重性质。虽然这两种属性并不相同，但往往相互交织作用，形成了个人信息的多重面向。

3.1 个人信息的个体属性及其保护模式

个人信息的个体属性通常是指姓名、住址、健康状况等个人特征。这类信息既属于个人信息，也有可能是个人隐私。《民法典》基于权利不得减损和人格尊严高于私法自治的保护原则，规定个人信息中的私密信息，应该优先适用隐私保护规则[10]。对于具有个体属性的私密信息，当隐私权的有关法律规则缺失时，需要适用个人信息保护的相关规则。对于具有个体属性的个人信息，其保护模式可以分为以下3 个方面。

第一，从个人信息的收集角度而言，为使个人充分知情，信息处理者应当以完整的形式告知信息主体。同时，为了增加告知内容的可读性，应当以通俗易懂的方式对拟收集的个人信息范围和目的、与哪些第三方共享个人信息、会对信息主体造成哪些影响（如有）等重要内容承担提示说明义务[11]。此外，个人信息的收集，还应当根据不同场景获得个人的明示，以及单独或书面的同意。

第二，从个人信息的利用及共享的角度而言，原则上应当禁止未经同意的信息处理。在确有收集需要的情况下，一方面，在向用户履行告知义务的过程中，应该明确约定共享方的义务和责任，且个人信息的共享应当遵循《个保法》所确定的合法、正当、必要原则之限制；另一方面，除非经过个人的特别授权，否则被共享方处理个人信息的权利范围，仅局限于信息主体的初次授权，不得随意扩大授权范围[12]。

第三，从个人信息存储的角度而言，应当采取和有关风险相匹配的技术保障。例如，使用加密、分开存储等方式确保个人信息的保密性、完整性和可用性；在个人信息的处理目的实现时，合理的期限内删除或者做匿名化处理；不幸发生个人信息的安全事件的，应及时以适当途径向个人告知安全事件的基本情况、已采取和将采取的措施、个人可自主防范的建议等。

3.2 个人信息的社会属性及其保护模式

个人信息的社会属性是指个人在社会中的背景、人际关系、经济状况等外在的、变动的属性。与个体属性相比，社会属性的保护更多考虑的是社会公共利益，而非个人控制。以“被遗忘权”为例，当欧盟引入“被遗忘权”后，诸多美国学者认为允许他人删除不利于自身的信息，会极大地削弱言论自由的价值[13]。因此，对于具有社会属性的个人信息，其保护模式可以分为以下2 个方面。

第一，从个人信息收集角度而言，信息处理者在履行告知义务时，虽然同样需要明确说明数据收集、使用的目的和范围，但是在获取信息主体的同意时，可以依据不同场景构建灵活应用概括式授权、默示同意等具有差异化的同意模式。对此，实践中一种常见的具体应用形式是“告知-退出”机制。在“朱烨诉百度公司隐私权纠纷”（南京市中级人民法院2014 宁民终字第5028 号判决书）、“郭某某诉淘宝公司案”（杭州互联网法院2021 浙0192 民初5626 号判决书）中，法院都认可该机制的合法性。

第二，从个人信息的利用及共享的角度而言，为促进数据要素的自由流动，应当在个体利益、公共利益和商业利益之间寻求平衡。例如，在合理的利用范围内，数据利用的第三方只需得到信息处理者的同意即可。对此，在司法实践中亦体现出该利益平衡思维。譬如，在“大众点评诉百度案”（上海知识产权法院2016 沪73 民终242号判决书）中，法院认为，“百度地图”向用户提供来自“大众点评”的餐饮类信息，并不违反Robots 协议，但这并不意味着其可以任意使用个人信息，应以公认的商业道德和诚实信用原则为限。

3.3 个体属性与社会属性的联动关系

个人信息的个体属性与社会属性存在区别和联系。两者的区别在于，前者主要涉及个人内在的特征和差异，具有专属性、固有性、唯一性的特点，不会轻易随着时间的改变而发生动态的变化；后者则主要涉及个人在社会中所处的位置和角色，是人在社会活动的过程中获得的属性。同时，个人信息的个体属性和社会属性也具有密切的关系，前者对后者具有一定的制约作用，而后者也会影响前者的发展和变化。

如上所述，虽然在个人信息保护措施方面，无论个体属性还是社会属性都遵循相同的基本原则和标准，如知情同意、目的明确、处理方式公开透明等，但是在实践中，其权利保护和利益平衡却存在不同之处。个体属性更多的是关注个人隐私权、自由选择权等方面的保护，而社会属性更多的是关注公共利益、公平正义等方面的保护。因此，对于不同类型的个人信息，需要采取不同的保护措施和管理机制：对于偏向于个体属性的个人信息，应该采取更为严格的保护措施；而对于偏向于社会属性的个人信息，则需要考虑更多的利益平衡和公共利益的原则。

4 个人信息保护的中国法框架：私法路径与公法路径

依托我国的法律框架，个人信息保护路径可以区分为私法路径和公法路径。其中，私法路径是指个人通过民事诉讼等途径，依据《民法典》等相关法律规定，追究有关主体的法律责任。公法路径是指公权力机关通过行政干预的方式，对违反个人信息处理规定的网络运营者或其他相关方进行监管和处罚。私法路径和公法路径是相辅相成的关系，两者共同推动个人信息保护的深入开展。

4.1 私法路径：“可问责”的权利救济模式

4.1.1 《民法典》与《个保法》的关系及区别 个人信息权益，是利益束而非单一的权利。《民法典》是一部涵盖了所有民事权利及民事权益的基础法，个人信息权益属于该法调整的范畴；《个保法》是个人信息保护的专门性法律，是《民法典》有关规定的延伸。《民法典》第1034 ～1039 条关于个人信息的条款，是立法者对个人信息的内涵、个人信息的解释、个人信息的收集使用边界做出的相对完善的规范[14]。《个保法》对《民法典》有关个人信息的内容进行了更具体的规定。譬如，《民法典》第1035 条“处理个人信息的，除非法律、行政法规另有规定，应当征得自然人或者监护人的同意”是信息处理者处理个人信息的原则性条款，《个保法》第13 条则对同意的例外情形从“三个必须”和“两个合理范围”做了细化。另外，《民法典》上对个人信息保护作出规定，表明了法律对人格尊严和自由的尊重，以及应当关注自然人民事权益和与信息自由之间权衡的立法考量[15]。《个保法》是保护个人信息权益的具体法律，是人格权保护的重要组成部分。

《民法典》和《个保法》之间也存在一些差异。一方面，是功能定位的不同。《民法典》是一部权利为核心的法律，在有关规定中确认了个人信息权益受到法律保护。而《个保法》作为专门法，以通过细化和新增的方式，对如何收集、使用、存储个人信息做了一系列具体规定，所以更强调“具体保护”。另一方面，是法律层级的不同。当《个保法》中民事行为规范与《民法典》的行为规范发生冲突的时候，前者的民事行为规范应被视为后者的特别条款，根据“特别法优于一般法”的原则，应当先根据《个保法》判断行为的不法性，只有在其没有明文规定时，才适用民法的一般条款[16]。

4.1.2 “实体法+程序法”二元并济 《个保法》第69 条明确规定了侵犯个人信息权益造成损害的受到侵权法上的保护。针对个人信息权益的侵权问题，可以从实体和程序两个层面构建一套行之有效的综合救济机制。

在实体法层面，主要是个人信息权益的侵权问题，可以从侵权责任主体、构成要件和归责原则方面展开。首先，由于《个保法》调整的是个人信息处理者和个人权益主体之间的法律关系，所以个人信息侵权纠纷的责任主体一般是信息处理者。非个人信息处理者侵害他人个人信息权益，应当依照《民法典》的规定，确认其为一般侵权行为[17]。其次，根据当前的相关司法案例整理，个人信息侵权行为的类型主要分为以下三类：①未经告知同意收集个人信息；②个人信息的泄漏或者非法篡改；③查阅、复制个人信息权利受阻。再次，侵犯个人信息权益造成的损害结果，既包括物质性损害，也包括非物质性损害。其中，与前者相反，后者主要是指难以通过金钱衡量或者加以计算。实践中侵犯个人信息权益造成的非物质性损害，主要表现为权益侵犯所导致的精神上的焦虑和不安全感等反常现象。由于这种精神损害等往往难以量化，而且难以举证，当前的司法实践中采取何种判断标准亦有所不同。有法院认为，需要对此进行类型化区分：①当侵犯个人信息权益的同时侵犯具体人格权的，一般可以认定构成精神损害，是否需要承担精神抚慰赔偿，则要结合具体情形而定，但应该降低“严重”的判断标准；②没有侵害其他人格权造成的具体损害，应该考虑受侵害个人信息类型、风险发生的盖然性、风险可能导致的危害及其影响范围等综合因素，酌情认定（薛某诉淘宝公司隐私权纠纷案，杭州互联网法院2022浙0192民初4259号判决书）。最后，《个保法》对个人信息处理者的损害赔偿使用过错推定原则。在个人信息处理活动中，个人信息处理情况和相关证据一般掌握在处理者手里，要求个人承担存在过错的举证责任存在较大困难。

在程序法层面，不同国家对个人信息的司法救济采取不同的方式，主要体现在是否赋予个人信息权益的直接可诉性。例如，欧盟要求在一般情况下个人应当先向监管机构提起申诉，同时也赋予了个人可以向法院提起诉讼的最终救济机制；美国则采取了准司法的民事救济制度，通过美国联邦贸易委员会（Federal Trade Commission，FTC）对个人信息进行“普通法”保护，但是对于个人信息权利的直接可诉性则较为谨慎[18]。与此相比，我国的《个保法》从以下3 个方面体现出了中国特色。首先，我国法院更强调信息处理者的义务，但并未将寻求行政救济作为诉讼的前置程序。信息主体在行使个人信息权利请求权时能否向法院径行起诉，存在一定的分歧。在典型案例“杜某诉某网络公司个人信息保护纠纷案”（杭州互联网法院2022浙0192民初4330号裁定书）中，法院指出，个人信息主体行使“个人信息权利请求权”应以“信息处理者拒绝个人行使权利的请求”为前提。其次，公益诉讼应当成为我国个人信息纠纷的重要救济途径。由于信息处理者和信息主体之间存在天然的信息不对称，公益诉讼起诉人则可以利用其在调查、取证能力、效率等方面的优势，弥补这种不足。个人信息侵权是一种大规模侵权行为，这样的侵权虽然对社会而言具有“范围广、程度深”的特点，但对于个人来讲，实质上造成的损失可能并不大。大多数人考虑到诉讼成本和维权效果之间的失衡，往往怠于行使权利。因此，通过公益诉讼的方式维权，既有利于节约司法资源，也有利于更好地维护公共利益。最后，我国法院对个人信息纠纷的解决，可以充分利用“纠纷调解”机制。调解结案的优点在于，一方面，使法院更加高效地处理案件，优化司法资源配置，更好地服务当事人和社会；另一方面，在调解中，当事人也可以更直接地了解对方的需求，更加准确地评估利益和风险。

4.2 公法路径：确立“个人信息受保护权”的国家保护义务

4.2.1 个人信息保护的公法基础 个人信息保护法与《中华人民共和国宪法》（以下简称《宪法》）也有密切的联系。《宪法》是国家制度和其他法律的基础，是根本大法，《个保法》的制定同样应当符合《宪法》的基本原则和要求，以确保公民实现《宪法》所赋予的基本权利。保护个人信息免受国家和数据企业等信息处理者的侵犯，是个人信息保护研究的重要议题，前者因为是典型的公法问题，不存在较大的争议，后者却因为信息主体和数据企业均是私主体，似乎应该属于私法调整的范围，然而，由于数据企业可以对信息主体实施隐性的强制和支配，因此，将数据企业的信息处理行为纳入公法调整的范围也具有正当性，这为从私法和公法不同的视角建构理论提供了可能[19]。

随着个人信息法律保护的全球扩张，以及我国的《民法典》和《个保法》等众多立法的多方位迅速推进，在宪法层面确立相关权益的必要性成为学界的共识[20]。我国《宪法》的基本权利规范体系中，虽然没有明文规定个人信息的权利形态，但是第33 条、第38 条、第39 条、第40条等条文涉及的概括性人权条款以及人格权、居住权、通信自由和秘密等具体权利均与个人信息有关。

新型权利进入《宪法》，一般遵循2 种路径：一是以宪法修正案的方式写进成文《宪法》；二是运用《宪法》解释技术，通过未列举的权利的证成的方式获得《宪法》的保护。我国《宪法》并没有明确规定个人信息的保护，如何通过《宪法》解释的方式将其纳入基本权利的保护范畴，根据所依据《宪法》条文的区别，学界存在以下几种代表性观点：一是第33 条的“人权保障”条款[21]；二是第38 条的“人格尊严”条款[22]；三是多个条文整合式的《宪法》解释路径。学者认为，“人权保障”或者“人格尊严”条款均不足以单独做出明确的解释，故应该实现上述两个条款之间的体系关联[23]；还进一步提出，既要通过“人格尊严”“人权保障”与“社会保障制度”条款的体系勾连解释出新型数据自决权，也要结合具体的权利条款导引出传统基本权利向数字世界的移植内容，最终统合在个人数据权利的框架秩序中[24]。对此，本文赞同依据《宪法》第38 条“人格尊严”条款对个人信息的宪法保护依据进行解释。

4.2.2 个人信息公法保护的实现路径 有学者提出，运用基本权利保护义务理论，通过“个人信息受保护权——国家保护义务”框架，建构个人信息的公权力保护路径[25]。该框架是个人信息保护的核心理念，也是国际社会普遍认同的个人信息保护原则。个人信息受保护权是指个人拥有对其个人信息的保护权利。随着信息技术的发展，个人信息的泄露和滥用问题越来越突出，因此，国家有义务保障个人信息受保护权。该框架明确规定了个人信息受保护的权利和国家保护个人信息的义务，强调了国家在个人信息保护中的重要作用。

“个人信息受保护权”是个人信息保护基本权利在《宪法》上的概念表达。至于如何围绕该基本权利构建相应的国家保护义务，在大数据时代，鉴于国家为了履行必要的公共服务职能，在对个人信息进行收集和处理之外，信息主体还需要面对“强大的、组织化”的信息处理机构。为了充分地实现这项基本权利，国家不仅应承担尊重私人生活、避免干预个人安宁的义务，还应通过积极保护，支援个人对抗个人信息处理中尊严减损的风险。基于控制“数据权力”这一侵害风险源的需要，一方面，国家应避免过度侵入个人信息领域；另一方面，应通过制度性保障、组织与程序保障以及侵害防止义务的体系化，营造个人信息保护的制度生态[26]。

《个保法》规定了“个人信息保护负责人”制度、“履行个人信息保护职责的部门”的监管及救济等机制，但是由于无法满足个人信息保护的所有现实需要，所以对于《个保法》的一些原则性规定，可以包括但是不限于从以下几个方面进一步细化。首先，是个人信息保护负责人制度的完善。个人信息保护负责人承担着企业的个人信息保护工作和与行政监管机构之间的联络沟通的角色。在个人信息保护负责人设立条件方面，《个保法》仅规定以个人信息数量为标准，其任职条件、如何开展工作、如何与监管部门衔接等尚属于立法空白，需要网信部门细化具体的划分数量并发布实践指南等方式提供行为指引[27]。其次，是国家履行个人信息保护职责部门的权责完善。《个保法》没有采用类似于欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR） 中建立个人信息保护的专门机关的方式，而是规定国家网信部门负责统筹兼顾，其他有关部门在各自的职责范围内开展个人信息保护的监督管理工作。在这样的立法背景下，明确监管部门之间职责划分和协调机制，有助于提高监管的效率和处罚措施的一致性。最后，是行政救济机制的完善。根据《个保法》的规定，不履行法律规定的个人信息保护义务的国家机关，面临的后果主要是责令改正或者对责任人员予以处分。因此，学界对公权力机关责任的承担方式、如何诉讼和是否需要行政赔偿等仍然存在各种争议，需要进一步讨论。

5 结语

从中国式现代化的角度理解个人信息保护，需要考虑到中国社会发展的实际情况和特点。中国式现代化强调的是以人为本、和谐发展、可持续发展等理念，个人信息保护也应该基于这些理念进行思考和实践。个人信息保护的核心内容是协调保护和利用之间的关系。因此，如何寻找两者之间的平衡是重要课题。

首先，个人信息保护应该是以人为本。在中国式现代化的理念中，人是发展的主体和中心，应该尊重和保护每个人的基本权利和尊严。因此，个人信息保护不仅意味着保护个人的隐私和权益，更是保障人的尊严和自由的体现。为了平衡数据隐私保护和数据要素市场化，需要在贯彻落实个人信息保护法律制度的前提下，提升数据的处理能力和价值挖掘能力，从而促进数据要素的市场化，创造更多的数据价值。

其次，个人信息保护需要与和谐发展的理念相结合。在中国式现代化的理念中，和谐发展是指经济、社会和环境等方面的协调发展，个人信息保护也应该是在经济发展和社会进步的基础上进行。因此，个人信息保护需要综合考虑社会、经济和技术等因素，在保障信息安全的同时，不能阻碍信息的流通和利用。在个人信息保护和数据利用的基础上，建立行之有效的数据共享机制，是实现数据利用价值的最大化发挥的重要举措。

最后，个人信息保护需要与可持续发展的理念相结合。在中国式现代化的理念中，可持续发展是指经济、社会和环境等方面的发展，需要同时满足现代化和可持续性的要求，而个人信息保护也应该是在可持续发展的基础上进行的。因此，个人信息保护需要综合考虑信息利用的效益和风险，保障信息安全和促进信息的可持续利用。