個人信息保護的立法邏輯、權利實質與發展路徑

郭亮 王晨曦

歷經數載，《中華人民共和國個人信息保護法》（以下簡稱“個人信息保護法”）于2021年8月20日表決通過，并于11月1日正式施行，這是我國加強個人信息保護的重大事件，具有里程碑式的意義。近年來，伴隨數字信息技術飛速發展，移動互聯網、物聯網、無人駕駛、面部識別等新模式引發的隱私保護和數據安全問題凸顯。個人信息被隨意收集、違法獲取、過度使用以及非法買賣日趨嚴重，大數據殺熟、電商平臺廣告騷擾事件頻發，嚴重侵犯了用戶的合法權益，造成了不同程度的社會不良影響。據《2020年度數據泄漏態勢分析報告》顯示，個人信息泄漏事件占所有數據泄漏事件的60%。個人信息保護法旨在規范個人信息處理活動，規制個人信息處理行為，實現保護個人信息權益和促進個人信息合理利用的雙重目的。它的出臺與實施，徹底終結了個人信息“裸奔”的時代，必將為我國個人信息的合法合規處理提供法律指引，為我國數字社會治理與數字經濟發展注入更強大的動力，為維護個人信息安全和網絡空間安全發出“中國聲音”。

一、個人信息保護立法的邏輯理路

自2003年開始，國務院信息化工作辦公室便開始部署個人信息保護法立法研究工作，經過長期實踐與科學探索，個人信息保護法終于從雛形到成形，可謂“千呼萬喚始出來”。個人信息保護立法進程中蘊含著清晰的理論邏輯、制度邏輯和現實邏輯。

（一）以“權利”為核心的理論邏輯

“我們的時代是一個邁向權利的時代，是一個權利備受關注和尊重的時代，是一個權利話語越來越彰顯和張揚的時代。”法治社會奉行權利本位，“權利神圣不可侵犯”是現代公民普遍的信念和共識，“為權利而斗爭”也成為法律人的擔當和使命。網絡空間是一種特殊的人類社會活動空間，在這個新場域內，個人信息泄露和濫用成為廣大人民群眾最關心的利益問題。例如，2016年8月發生的山東姑娘徐玉玉因個人信息泄露導致被騙自殺身亡案件，令人觸目驚心。個人信息保護法系統地建立了權責明確、保護有效的個人信息保護的基本原則和個人信息處理規則，保障了個人信息主體的合法權益。例如，個人信息保護法確立了以“告知—知情—同意”為核心的個人信息處理的一系列規則，只有在被告知者充分知情并自愿、明確做出同意的前提下，個人信息處理者才能處理個人信息。同時，該法還賦予了被告知者撤回其同意的權利，并要求個人信息處理者提供便捷的撤回同意的方式，不得以不同意或撤回同意為由拒絕提供產品或者服務。又如，個人信息保護法專節設置了“敏感個人信息的處理規則”，對其采取“概括+列舉”式的立法技術，對生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡以及不滿十四周歲未成年人的敏感個人信息等進行單獨規定。敏感個人信息的特殊處理規則，體現了該法對隱私權以及與人格尊嚴或人身、財產安全密切相關的個人信息的傾斜保護，“在價值上申言了數字科技必須以人為本，必須把人的權利及尊嚴作為其最高目的，并以人權作為其根本的劃界尺度和評價標準。”習近平總書記指出：“網信事業發展必須貫徹以人民為中心的發展思想，把增進人民福祉作為信息化發展的出發點和落腳點，讓人民群眾在信息化發展中有更多獲得感、幸福感、安全感。”個人信息保護法應運而生、恰逢其時，豐富和發展了公民權利，折射出網絡時代的人性光輝，體現了法治建設為了人民、依靠人民、造福人民、保護人民的根本立場。

（二）以“體系”為根本的制度邏輯

黨的十八大以來，黨中央、國務院高度重視網絡與信息領域立法，從2012年全國人大常委會出臺《關于加強網絡信息保護的決定》、2013修訂的消費者權益保護法、2015年出臺的刑法第九修正案，再到2017年實施的網絡安全法、2019年實施的電子商務法，我國個人信息保護制度規則不斷完善。特別是2020年頒布并于2021年1月1日正式實施的民法典，更是將個人信息受法律保護作為一項重要民事權利寫入總則編，并在人格權編明確了個人信息處理的原則和條件。但這種分散立法也面臨著體系性和操作性欠缺、權利救濟和監管措施不足的困境。相較于前述立法活動，個人信息保護法進一步明確了個人信息保護規則、個人信息主體在個人信息處理活動中的權利、個人信息處理者的義務以及主管機關的職權范圍，并對個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等多個環節以及敏感個人信息處理、個人信息跨境提供等特定場景進行了體系化的規定。同時，法律制度也是國際網絡空間走出“叢林法則”和惡性相爭泥潭，構建和平、安全、開放、合作的全球治理體系的基本遵循。個人信息保護法在借鑒歐盟《一般數據保護條例》（GDPR）、美國加州隱私法等域外立法智慧基礎上，融入了中國的創新文化、人本文化、和諧文化，回應了中國政治、產業、文化、社會治理實踐的發展需求，體現了發展與安全并重的立法觀。例如，該法擴展了域外適用效力，但適度有限;在規制跨境數據流動方面優先考量發展中國家對于數據安全的需要。作為第三代個人信息保護立法的制度范本，個人信息保護法體現了中國在當前全球數字治理中的制度貢獻，這對于“攜手共建網絡空間命運共同體”具有重大意義。

（三）以“時代”為基點的現實邏輯

當今世界正經歷百年未有之大變局，新一輪科技革命與產業變革正加速演進，信息技術領域全球供應鏈產業鏈安全風險增大，不穩定性、不確定性明顯增加，網絡安全問題凸顯。公民作為個人信息主體對信息的控制能力減弱，個人信息不當處理的風險無處不在。個人信息保護法明確了處理個人信息應當遵循合法、正當、必要和誠信原則，并將“采取對個人權益影響最小的方式”“限于實現處理目的的最小范圍”作為個人信息處理應遵循的兩大核心原則。這有利于解決當下普遍存在的“大數據殺熟”“算法推薦”“用戶畫像”等涉及不當自動化決策之類的問題，遏制個人信息的濫用和過度收集。根據該法規定，個人信息處理者利用個人信息進行自動化決策，“應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇”“應提供不針對其個人特征的選項或提供便捷的拒絕方式”。其次，個人信息保護法還對互聯網平臺的“守門人”義務進行了規定。鑒于重要互聯網平臺掌握海量用戶數據，一旦發生信息泄露或濫用，可能導致嚴重后果，該法第五十八條規定了平臺企業個人信息保護的特殊義務，包括“按照國家規定建立健全個人信息保護合規制度體系”“成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督”“制定平臺用戶處理個人信息的規則”“定期發布個人信息保護社會責任報告，接受社會監督”。再次，針對當前個人信息跨境流動頻繁但風險更難以控制的現實，個人信息保護法構建了一套完整、清晰的個人信息跨境流動規則，以滿足保障個人信息權益和安全的客觀要求，適應國際經貿往來。例如，該法明確要求個人信息處理者采取必要措施保障境外接收方的處理活動達到法律規定的保護標準;對跨境輸出個人信息確立了更加嚴格的知情同意要求。鑒于個人信息流動的不可逆性，個人信息保護法采取的是“列舉+兜底”的規定，就個人信息傳輸活動設置了個人信息處理者需要滿足的前置性條件，采用了事前監管模式。總之，個人信息保護法為個人信息跨境流動提出了一個風險可控、平等互惠的法治框架，筑牢了信息安全防火墻。

二、個人在個人信息處理活動中的權利實質

“自然人的個人信息受法律保護”已成為社會各界共識，但對個人信息的權利性質卻眾說紛紜，莫衷一是。長期以來，學者們圍繞“自然人對其個人信息享有的是新型公法上的權利還是民事權利？”“是民事權利中的人格權利還是個人信息權益？”“是采取人格權保護模式還是財產權保護模式？”“是基于個人信息的私法保護視角還是國家保護視角？”等問題展開了激烈的爭論，形成了“憲法人權說（基本人權說）”“物權說（所有權說）”“財產權說”“隱私權說”“一般人格權說”“具體人格權說”“法益說”等不同理論觀點。我國剛實施的民法典無論是“總則編”還是“人格權編”中的法律條文，均未采納“個人信息權”或“個人信息權利”的表述，而是圍繞著自然人對其個人信息享有的人格權益展開。按照權利優先于利益的規則，原則上除一些特殊的敏感個人信息適用于隱私權保護外，個人信息權益在民事權利體系中的位階最低。其后頒布的個人信息保護法也基本遵循了此種立法模式。

值得注意的是，個人信息保護法第四章規定的“個人在個人信息處理活動中的權利”與上述言及的“個人信息權利”或“個人信息權益”是兩回事，立法者添加了諸多“前綴限定”，配置這些權利有著特殊的意義。

（一）設權目的：平衡個人信息保護與合理利用

個人信息保護法調整對象是個人信息處理者，通過合理配置個人信息處理活動中各主體的權利義務關系，最終實現對個人信息的保護，促進個人信息合理利用。立法者通過在個人與個人信息處理者之間形成一系列權利義務規則，有效制衡個人信息處理者這一強勢主體的行為，從而保護弱勢一方免遭傷害和控制，保障個人尊嚴及相關法益。顯見，個人賦權的目的并非直接讓個人控制和支配信息，而是制約個人信息處理者的行為，實現個人信息處理活動的合規要求。

立法者之所以要將立法重心從“賦權”轉向“合規”，源于個人信息保護與合理利用并重的立法初衷。數據信息被稱為數字經濟時代的“石油”，伴隨個人參與信息社會的場景增多，個人信息不僅是個人的，也是社會的。一方面，個人信息是具有自由意志的個體所擁有的源自人格尊嚴的一種利益，個人信息保護法賦予個人在個人信息處理中的權利，體現了法律的平等、自由、自治等價值理性。高富平教授指出，“個人信息保護法實質上保護的是個人權利（主體權利），而不是個人信息本身。”這些必須依附于個人信息主體而存在的主體性權利與保護個人信息權益息息相關，是個人信息權益的固有內容和自然延伸。另一方面，個人信息保護法順應了數字經濟發展趨勢，不僅將匿名化的個人信息作為其商業利用的合法性基礎，同時還在知情同意規則下，另行規定了“合同履行所必需”的6種例外情況。個人信息經企業合規處理后形成數據參與市場流通，這種制度框架實現了數據紅利與個人信息保護之平衡，否則會形成信息壟斷，阻礙數據流通，數字產業化、產業數字化發展將受到極大限制。

（二）設權實質：個人信息處理活動中的個人權利性質及定位

個人信息保護法第四章以“告知-知情-同意”為基本規范框架，初步建構起個人在個人信息處理活動中的權利體系。但此項權利并非個人自主控制范式下的民事權利，事實上，將其理解為個人信息權益的具體權能更為貼切。程嘯教授認為：“個人在個人信息處理活動中的權利屬于手段性權利或救濟性權利，旨在保護包括個人信息權益在內的個人權益。”將個人在個人信息處理活動中的權利界定為一種救濟性權利，體現了個人信息保護法的保護法功能定位，折射出 “工具性權利”和“防御性權利”的特色。

一是個人在個人信息處理活動中的權利主體是信息主體，義務主體是個人信息處理者，適用場景僅限于個人信息處理活動中。換言之，信息主體只在個人信息處理活動中對個人信息處理者享有該系列權利，而不能像隱私權一樣針對不特定的第三人。盡管法律賦予了個人制衡信息處理者的一些基本手段，維護個人信息處理活動的公平性和合理性，但同時規定了信息處理者的既定義務和程序要求。在“個人—信息處理者”這對關系中，國家并未“退場”，而是“以維護法秩序為支點，對個人提供組織與程序保障、監管和執法的支援，以不斷調控、監督處理者的個人信息處理活動。” 可見，與普通民事權利不同，侵害個人在個人信息處理活動中的權利并不必然導致民事侵權，相反，個人信息保護更多奉行國家保護義務邏輯，個人信息處理規則折射出較濃厚的公法色彩。

二是這些權利是為個人信息權益發揮效用而產生的，故必須依附于個人信息權益而不能單獨行使。通常地，一項“對世性”的權利（權益）由“本權權益”“本權權益之保護”即“權能”兩方面構成。在個人信息保護中，前者體現為民法典中界定的“個人信息權益”，包括但不限于人格尊嚴、人身財產安全以及通信自由和通信秘密等利益，但將財產利益排除在外;后者體現為個人信息保護法第四章規定的“個人在個人信息保護中的權利”，包括但不限于同意（或拒絕）的權利以及知情、查閱、復制、轉移、更正、補充、刪除、請求解釋說明等權利，旨在保護“本權權益”。例如，信息主體有權決定其個人信息在何時、何地及以何種方式被何人收集、使用、加工和傳輸;有權在認為自動化決策對其有重大影響的情況下，要求個人信息處理者予以說明并拒絕其僅通過自動化決策方式作出決定;有權在認為個人信息處理規則表達不清楚時要求個人信息處理者對處理規則進行解釋說明等等。這些權利集中反映了“本權權益”的人格權屬性和個人信息主體維護自身精神利益的合理訴求。

三、我國個人信息保護的發展趨勢和路徑

“徒法不足以自行”，法律的生命力在于不斷完善并有效實施。個人信息保護法的出臺只是一個起點，個人信息保護法治實踐仍任重道遠，只有立法、執法、司法與守法協同并進，法律才不至于淪為一紙空文。

（一）以基本原則為導向，完善個人信息保護法律制度和配套措施

個人信息保護法確立了個人信息處理者在處理個人信息時應當遵循的原則，主要包括合法、正當、必要、誠信原則，目的明確及最小必要原則，公開透明原則，質量原則，責任和安全保護原則，禁止非法處理原則，協同治理原則等。這些原則貫穿于個人信息處理活動的各個環節，也是我們進一步完善個人信息保護法律制度的重要指引。個人信息保護法雖然確立了個人在個人信息處理活動中的權利體系，但對于權利的內容、權利的行使條件等仍缺乏操作性，還需進一步細化或作出具體說明。例如，可攜帶權賦予個人主動在企業間流轉個人信息的權利，旨在強化主體對其數據的支配，促進數據自由流動激發互聯網領域的創新活力，破除大平臺的數據壟斷，促進市場良性競爭。但如何運用創新技術探索個人信息可攜帶權新模式卻值得深入探討。因此有必要在基本原則的框架下，出臺相應的監督檢查、合規評估、操作規范等落地措施，確保法律的嚴格有效執行。不僅如此，個人信息保護法中的某些概念和細節也需進一步界定。以“匿名化”為例，如何在法律上區分匿名化、數據脫敏、加密、假名化、去標識化等概念，如何實現匿名化，這些需要進一步界定。

（二）以共治理念為指引，厘清個人信息保護的監管責任和權力邊界

個人信息保護是一項綜合性、系統性、全方位的工程，涉及面廣，利益關系復雜，需要進一步健全個人信息保護工作體制機制，從法律制度、標準規范、支撐技術等方面廓清數字治理路徑，最終形成政府、社會組織、企業、公眾等多元主體共治共建共享的良好局面。個人信息保護法明確規定，國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作，國家網信部門還負有統籌協調職責。在國家層面，個人信息保護涵蓋各個領域，涉及多個部門、多項法規，如何整合、修改和補充現有法律規范，加大現行機構分工合作、相互配合力度，建立起穩定性和開放性兼備的合規體系，是個人信息保護法有效實施的必要前提;在地方層面，個人信息保護法并未對地方網信部門和有關部門的個人信息保護職責做出規定，故接下來亦有必要明確地方職能部門依法履職義務，構建權責義相統一的個人信息保護治理機制，提高事前事中事后全鏈條全領域監管效能。

（三）以信息倫理為基礎，將信息技術與個人信息保護相結合

近年來，互聯網、大數據、云計算、人工智能、區塊鏈等信息技術加速創新和運用。一方面，信息技術一直按摩爾定律發展，盡管成就舉世矚目，但基礎理論和馮·諾依曼體系結構并未得到根本突破，仍遠遠落后于數據的指數級增長。另一方面，信息技術深刻改變著人類的生存方式、思維方式和價值觀念，人格尊嚴、隱私和自由、人身安全與財產安全受到嚴重威脅，數字壁壘、數字鴻溝、算法黑箱、價格歧視等問題愈演愈烈。正如有學者指出的，“自由、平等、權利、公平等價值訴求及其現實利益也隨之面臨著變革與重建”。如何處理技術創新與個人信息保護的關系，應對數字時代帶來的風險和挑戰，是我們當下面對的一個重大考驗。個人信息保護必須遵循科技向善、以人為本、安全可靠等原則，以信息倫理為基礎，以法治為保障，以管理為基礎。同時，技術帶來的風險最終也必須依靠技術去解決，個人信息保護尤其離不開信息關鍵核心技術的自主創新。要積極探索數據脫敏、數據匿名化以及區塊鏈等新興信息技術，攻關隱私計算、國產密碼等關鍵技術，不斷完善數據加密、數據防泄漏、敏感信息識別等重要防護能力。

（四）以數字正義為核心，兼顧個人信息保護與大數據產業發展

習近平總書記指出：“數字經濟發展速度之快、輻射范圍之廣、影響程度之深前所未有，正在成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量。” 個人信息保護法與民法典、網絡安全法、數據安全法等法律制度一道構筑起數字法治體系，支撐和保障了我國數字經濟良性發展。個人信息保護法的立法初衷便是平衡個人信息保護與大數據產業發展之關系，通過為個人信息處理者劃定紅線，保障數據合規和有序利用，支撐和促進數字經濟健康發展。如何把握好這個度，進而提高我國數字經濟治理體系和治理能力現代化水平，這就涉及更深層次的價值評判問題——正義。傳統正義觀在解釋數字時代潮流時越發顯得力不從心，數字正義理論又未能形成有張力的理論闡釋體系。我們通向未來、了解未來、掌握未來的指令與代碼還不明了，數字正義的實現仍需要我們每個人去實踐、去參與、去努力。

基金項目：重慶市教育委員會2019年人文社會科學研究一般項目“數字經濟時代網絡版權產業協同治理研究”（項目編號：19SKGH056），中共重慶市委網信辦委托項目“重慶市‘十四五’時期網絡法治建設研究”階段性研究成果。

參考文獻：

[1]閃捷信息安全與戰略研究中心.2020年度數據泄漏態勢分析報告[R]. 浙江：閃捷信息安全與戰略研究中心，2021-03-20.

[2]張文顯，姚建宗.權利時代的理論景象[J].法制與社會發展，2005（05）：3.

[3]張文顯.“數字人權”這個概念有著堅實的法理基礎、現實需要和重大意義——“無數字不人權”[N].北京日報，2019-09-02（015）.

[4]習近平.在全國網絡安全和信息化工作會議上的講話[R].習近平關于網絡強國論述摘編[C].中央文獻出版社，2021：25.

[5]許可.個人信息保護法的深遠意義：中國與世界[EB/OL].中國人大網，[2021-09-14].http：//www.npc.gov.cn/npc/c30834/202108/1fee8d19bae14f9f9766c50ab1e53c0f.shtml.

[6]高富平.論個人信息處理中的個人信息權益保護——“個保法”立法定位[J].學術月刊，2021（02）：119.

[7]申衛星.論個人信息權的構建及其體系化[J].比較法研究，2021（05）：4.

[8]程嘯.個人信息保護法理解與運用[M].中國法制出版社，2021：327.

[9]王錫鋅.國家保護視野中的個人信息權利束[J].中國社會科學，2021（11）：126.

[10]張新寶.論個人信息權益的構造[J].中外法學，2021（05）：1156.

[11]葉名怡.論個人信息權的基本范疇[J].清華法學，2018（05）：154.

[12]馬長山.數字社會的治理邏輯及其法治化展開[J].法律科學（西北政法大學學報），2020（05）：11.

[13]習近平.不斷做強做優做大我國數字經濟[J].求是，2022（02）.

[14][美]伊森·凱什.[以色列]奧娜·拉比諾維奇·艾尼.數字正義——當糾紛解決遇見互聯網科技[M].趙蕾，趙精武，曹建峰譯.法律出版社，2019年版.

作??者：郭亮，重慶郵電大學網絡空間安全與信息法學院副教授，碩士生導師

王晨曦，重慶郵電大學網絡空間安全與信息法學院碩士研究生

責任編輯：劉小僑