#推薦引言#信息技術的發展與應用使我們身處信息化時代的大潮中，個人信息保護無疑是時代之需求。然而，個人信息保護的法律框架如何構建？個人信息保護與人的尊嚴、人性自主又有什么關系？本文從個人信息權的憲法規范基礎出發，通過分析個人信息權的確立與權利體系、討論《個人信息保護法》與《民法典》的銜接，從而得出《個人信息保護法》對公私主體的適用，引導我們走向個人信息權利的時代。

#思維導圖#

轉自《環球法律評論》公眾號

汪慶華，北京師范大學法學院教授。

本文系《個人信息權的體系化解釋——兼論〈個人信息保護法〉的公法屬性》一文的正文，注釋從略，全文發表于《環球法律評論》2022年第1期，原文請參見環球法律評論網站：http://www.globallawreview.org，或點擊文末左下角“閱讀原文”。

內容提要：《個人信息保護法》是數字時代個人信息保護的基本法。它采取了將個人信息權作為新興公法權利的思路，確立了完整的個人信息權利保護體系，在個人信息保護問題上和《民法典》一起形成了公私法共同協力的進路?！秱€人信息保護法》以權利束的方式規定了個人信息主體的知情權、決定權、查閱權、復制權、更正權、刪除權、可攜帶權和信息權利救濟權等。《個人信息保護法》從立法依據、權利體系、條文設計和規制措施上都體現出鮮明的公法屬性，這也可以從基本權利的雙重面向和個人信息國家保護義務得到理論上的證成。這部法律是數字時代公法秩序的基石，它對公法邊界的形塑仍需通過其實施來確立。

關鍵詞：個人控制　個人信息權　國家保護義務　公法屬性

在《個人信息保護法》通過前，我國學界就個人信息保護達成了廣泛的共識，但在具體進路上存在一定分歧。部分學者主張采取私法的模式，另有學者主張采取公法的模式，也有學者倡導公私法共同協力的綜合進路。持私法保護進路的學者或主張將個人信息保護置于一般人格權之下，或認同個人信息商品化的實踐將個人信息財產權化，在救濟方式上采取侵權救濟的模式。這一觀點最終為《民法典》所吸收，“人格權編”專章規定了“隱私權和個人信息保護”。持公法保護模式的學者認為，個人信息保護的私法模式存在困境，需借助公法機制才能夠實現超越。個人信息保護的規范基礎是“八二憲法”確立的人格尊嚴條款。應確立公法意義上的個人信息權利，建立與數字時代發展相兼容的風險管理導向、激勵相容的個人信息保護制度?；诠ㄒ曇暗膫€人信息權利，在救濟模式上可以采取多元化的方式，在個案侵權救濟之外，更需要結合風險規制的手段，綜合采取行政執法、公益訴訟等其他方式。此外，個人信息保護公法進路帶來的最大意義在于，它不僅約束私人主體的信息處理行為，更進一步約束政府行為，從而構成個人信息保護的周密全面的體系。

一、個人信息權的憲法規范基礎

中華人民共和國第十三屆全國人大常委會第三十次會議于2021年8月20日通過了《中華人民共和國個人信息保護法》，在立法上對上述個人信息保護模式的爭論進行了回應。《個人信息保護法》第1條規定，“……根據憲法，制定本法?！薄秱€人信息保護法》的法源在于《憲法》，而并不在于《民法典》，這一條款是《個人信息保護法（三審稿）》增加進去的，《個人信息保護法》之前的《網絡安全法》和《數據安全法》都沒有采用這一表述。2021年8月13日，全國人大常委會法工委發言人在介紹有關立法工作的記者會上詳細說明了增加這一規定的理由：“我國憲法規定，國家尊重和保障人權，公民的人格尊嚴不受侵犯，公民的通信自由和通信秘密受法律保護。制定實施本法對于保障公民的人格尊嚴和其他權益具有重要意義。據此，擬在草案第一條中增加規定‘根據憲法’制定本法?！边@一說明可以被理解成《個人信息保護法》第1條的原意解釋。全國人大常委會法工委的上述說明明確了《個人信息保護法》的憲法規范基礎：人權條款、人格尊嚴條款、通信自由和通信秘密條款。在法律性質上，《個人信息保護法》是公法。在法律位階上，其為個人信息保護的基本法。這三個條款構成了公民個人信息權的規范基礎，個人信息權也從未經列舉權利成為實證法意義上具有基本權利屬性的公法權利。在公法權利保護進路上，采取的是和憲法隱私權相區分的個人信息權保護模式。

（一）人權條款是個人信息權作為公法權利的理論基石

“八二憲法”制定之時，將“公民基本權利和義務”一章提到“國家機構”一章的前面，在公民基本權利保護問題上采取了列舉式規定，規定了公民的平等權、言論自由、宗教信仰自由、人格尊嚴、人身自由、勞動權、教育權等具體權利。2004年憲法修改增加了“國家尊重和保障人權”的內容，人權條款入憲使得我國憲法公民基本權利保護從列舉式的保護變成了“概括+列舉式”的保護。人權是人之為人所應當享有的權利。從這一定義出發，人權條款具有自然法的意涵。尊重和保障人權成為憲法規范，則意味著人權的實證化?；谝幏督Y構，除了《憲法》明確列舉的權利之外，人權條款賦予了理論上主張憲法上未列舉基本權利的空間。但是在主張憲法未列舉權利或者新興權利之時，需要在作為基本權利一般條款的人權條款之外，尋找其他的憲法規范基礎。以人權條款作為未列舉權利的單一基礎，將使得人權條款的實質內容被抽空，從而失去其規范效力，導致權利泛化。而個人信息權的憲法規范除了人權條款之外，直接關聯的條款是《憲法》第38條的規定。

（二）人格尊嚴是個人信息權作為積極權利的規范依據

“八二憲法”第38條規定了公民的人格尊嚴不受侵犯，這一條款是公民個人信息權的內在根據。在人權條款入憲之前，這一條也被認為具有憲法基本權利一般條款的地位，《德國聯邦基本法》（Grundgesetz）人的尊嚴條款往往作為理解其在憲法基本權利體系所具有功能的參照。2004年人權條款入憲之后，“八二憲法”的人格尊嚴成為了具體的憲法權利，不再承擔基本權利一般條款的使命。但這一憲法規范在數字時代具有了新的內涵和外延。由于個人信息可以直接或者間接辨識個人身份，其濫用和盜用將會對個人的人格形成極大的傷害，而生物特征信息、行蹤信息、金融信息、敏感個人信息更是涉及個人的主體性的建構，對其保護必須要采取一種更為嚴格的模式。個人信息保護的客體是個人信息，但其目的在于實現基于個人信息建構的個人身份的自治、自主和自足。個人尊嚴作為個人信息權的規范依據，夯實了以個人數字身份建構社會秩序的憲法基礎。

由于信息通訊技術的發展，個人信息被廣泛地采集、利用、分析和共享，大規模的信息處理成為平臺經濟的日常實踐，可以說整個互聯網經濟的運行模式就是建立在個人信息的商業化之上的。人們利用互聯網或應用程序點播歌曲、觀看視頻、購買商品服務、刷朋友圈，日常生活普遍地嵌入到網絡世界中。由于網絡效應，用戶越多的平臺越能夠吸引用戶，而用戶要退出平臺則承擔著巨大的不方便和不利益。在個人信息被商品化的同時，個人和平臺之間的地位產生了極大的落差。

用戶和平臺之間存在著三個方面的“不均衡”：信息收集能力不均衡、信息處理能力不均衡、社會影響力不均衡。平臺基于個人信息對用戶進行畫像描繪，并對個人進行個性化的商品、服務和新聞信息的推送，數據、算法和平臺共同形塑了用戶的認知，常規性、持久和普遍地影響用戶的行為，平臺成為了用戶選擇的架構，用戶的自主性受到一定程序的限制和侵蝕。

大規模信息處理背景下個人和平臺等信息處理者關系的不均衡是個人信息保護法要回應的基本事實。要打破個人和平臺之間的這種不均衡，必須要恢復個人信息主體在信息關系中的能動的主體地位，使得個人在算法決策的時代能夠具有自主性，而不是成為算法決策的被動對象。個人信息的處理必須要在個人信息主體知曉和控制的閉環中?！秱€人信息保護法》關于個人信息權的具體規定體現了個人對于信息的控制和自我決定，這使得個人信息權具有鮮明的積極權利的色彩。這一積極權利的向度無法單純由民法保護的方式來實現，它決定了個人信息保護權的內在公法屬性。

不寧唯是，在數字經濟條件下，個人和平臺的不均衡藉由以個人控制為中心的賦權體系仍嫌不足，需要在“個人—平臺”之外增加政府的維度，由其直接介入個人平臺的信息關系；個人信息權利不僅為個人信息處理者和控制者設定義務，而且從具有社會意涵的積極權利的功能出發，為國家設定了保護義務。在國家保護義務理論之外，平臺也被看成社會公權力的新興形態，平臺成為了政府監管的重要工具，獲得政府的授權或委托，事實上行使著一定的公權力，監管平臺并通過平臺監管成為平臺經濟中的常態。此外，平臺在資本、信息、資源等方面相對于用戶的支配力意味著平臺不能被看作一般意義上的私主體。有必要重構傳統的國家—個人二元的公法分析框架，形成“國家—個人—平臺”這樣的三維分析框架。更有學者認為，平臺成為社會公權力主體，基本權可以對其發生直接效力。這類理論假設具有非常重要的實踐意義，對于數字領域的立法、數據要素市場的設立、知情同意的建構、個人信息保護的國家角色都將帶來新的理解和突破。為了回應互聯網平臺的社會控制力和支配力，實現平臺治理的有效性，《個人信息保護法》為大型互聯網平臺設定了個人信息保護的特別義務。

個人信息權具有兩個層面的積極權利屬性。道德哲學層面上，個人信息權屬于伯林（Isaiah Berlin）的消極自由和積極自由劃分中的積極自由。個人信息權源于個人成為自己主人的愿望。個人是個人信息的主體，而不是客體。個人信息主體受自身理性的、有意識的目的驅動，而不是為影響到信息主體的外在動因所驅動。這一積極自由是個人自我實現、自我成就的權利，是個人信息權形塑人格的功能。此外，基于憲法權利分類上的自由權利和經濟社會文化權利的二分法，個人信息權又接近于需要政府提供設施和支持框架的積極權利。

個人信息主體權利的實現必須要借助政府設定的網絡信息法律架構。這是個人信息個人控制和社會控制爭論的起源。在個人信息社會控制面向上存在兩種觀點：一種認為信息的價值在于流通，為此目的，在個人信息控制問題上，存在著個人和平臺這兩個主要的主體，要承認平臺的控制權力以及這種控制所帶來的商業上的價值。這仍然側重于個人信息的財產權保護路徑，只是在此基礎上強調平臺處理者對于企業數據的財產權擁有權利；另一種觀點則認為基于大數據技術條件，個人對于數據的收集和利用無法有效實施控制，因此私法保護無法對其作出有效回應，應當由政府專門機構將個人信息作為公共物品來規制，其法律性質是公法而不是私法。個人信息個人控制更偏向于基本權利進路，社會控制則傾向于功利主義的市場進路。有學者認為應當根據數字技術的發展，超越這種二元主義的劃分，提出基于風險的數據規則和場景化的企業合規規范。

（三）個人信息權進一步豐富通信自由和通信秘密內涵

“八二憲法”第40條規定了公民的通信自由和通信秘密，這一條款為個人信息處理劃定了外部邊界和底線。通信包括郵政通信和電子通信，具體指書信、電報、電話、傳真、電子郵件、即時通訊等。憲法上的通信最初僅限于郵政通信，并不包括電子通信。隨著技術的發展，基于合目的性解釋，通信自由和通信秘密所指向的通信權應當同時包括電子通信、即時通訊等當代最常見的通信方式。個人通信的內容信息，不僅作為一般私人主體的平臺無權收集，即便是公權力機關也必須按照憲法明確的方式、由憲法指定的機構才可以進行檢查。通信自由和通信秘密在我國憲法列舉的公民基本權利中受高位階的保護，對于公民通信自由和通信秘密的限制性措施屬于特別法律保留。在憲法明確列舉的基本權利中，如果只是泛泛地規定依據法律可以進行限制，屬于一般法律保留。對于公民通信自由和通信秘密的限制，則是在憲法上明確了限制的主體、理由和方式，因此屬于特別法律保留。除國家安全機關和公安機關為了國家安全或者追查犯罪的需要，依法對通信進行檢查外，任何組織和個人不得以任何理由侵犯公民的通信自由和通信秘密。而在現實中，限制的主體、條件和方式這三個要件，有一個不能滿足就有違憲之虞?！鞍硕椃ā钡?0條的規定特別具體、明確，與憲法條款的普遍、抽象和概括形成了鮮明對比。

隨著技術的發展，公民通信的樣態已經發生了根本性的變化。智能手機是具有強大存儲功能的微型電腦，對于手機的搜索扣押、電子取證必須要符合正當程序、比例原則等公法原則的約束。手機中的信息包含短信、彩信、通訊錄、各種社交軟件中的交流內容、相片、網絡瀏覽記錄、各種文件。對于手機存儲信息的不當獲取將會對個人的通信權構成極其嚴重的侵犯。憲法關于公民隱私權的規定如何回應新的技術發展，是各國憲法在新的信息通訊技術條件下面臨的普遍問題。美國在卡朋特訴美國一案中認定，關于公民手機通話時的位置、通話次數、通話時長以及具體的通話時點等通訊記錄屬于美國憲法保護的隱私權的內容。而通話記錄等元數據是否數據通信自由和通信秘密保護的范疇，在我國學界引發了一定的爭論。由于通信元數據的信息要遠遠超過紙面信封所能提供的信息，通話記錄本身就是通信內容的一部分，而手機實時定位信息是個人行蹤信息的表現形式，它們都應當受通信自由和通信秘密的保護。

如果沒有了信息安全的保障，通信自由和通信秘密都將無從實現，這一憲法基本權利將成為一種空洞的希望。在數字時代，信息安全是通信自由權得以實現的技術前提。尤其要關注個人信息安全已經躍遷到網絡安全和算法安全，公民通信自由和通信秘密是在這樣的一個三重安全架構之下展開的基本權。

二、個人信息權的確立與權利體系

《個人信息保護法》第四章專章規定了個人信息主體在信息處理活動中具有的各項具體權利，確立了完整的個人信息權利體系，個人信息權也從實然權利轉變成應然權利，從背景性權利轉變成制度性權利。《個人信息保護法》以權利束（bundle of rights）的方式賦予個人信息主體對于個人信息的全面的控制權。就此而言，《個人信息保護法》是以個人控制為中心的立法。個人信息的合法利用則是建立在個人信息保護前提上的。

當然，個人信息控制模式、社會功能、正外部性的討論并不會因為立法對這個問題予以回應就歸于沉寂。有學者認為在“后《個人信息保護法》時代”，需要關注個人信息的社會性，數字社會的發展建立在個人信息自由流動的基礎上。也有學者指出，個人信息除了個人控制、社會控制之外，還有更重要的資本控制，要關注資本控制之下的個人控制的變異。無論是個人控制、社會控制還是資本控制，個人信息的本質在于可以通過識別性和相關性關聯到具體個人。所以在個人信息控制的位階上，個人控制是原初的，社會控制是派生的，而資本控制是異化的。就此而言，并不存在從個人控制到社會控制這種直線演化的進路，但需要考慮個人信息上承載的其他利益。所有信息處理的主體，無論是私人性質的信息控制者，還是公權力性質的政府和公共企業，其處理個人信息的前提仍然主要是個人信息主體的知情同意。需要特別指出的是，基本權利的規范效力意味著對于它的限制不能簡單地基于功利主義或管理便利的目的?！秱€人信息保護法》中的個人信息主體權利主要包括以下幾個方面。

（一）知情權、決定權是個人信息權的基礎

知情決定是個人信息權的起點，其目的在于確立個人信息主體對于自身人格形塑的自主控制。知情決定意味著信息主體對個人信息的收集、使用、分析、共享、刪除的全生命周期的把握、選擇和決定。知情權作為個人信息權利體系的理論基礎具有指向明確、功能清晰、權利內容完整等優勢。德國聯邦憲法法院在1983年數據保護判決中就曾指出，在一個法律秩序中，如果民眾無法知曉其個人信息被何人知悉、為何被知悉，以及在何種情形下被知悉，這樣的社會秩序以及其所賴以存在的法律秩序，將和個人信息自決的意旨相沖突。

個人信息保護法中的知情同意機制設計正是基于知情決定而生，將個人的同意作為信息流通和使用的合法性基礎。就同意的實質意涵而言，用戶的同意必須是在充分告知的前提下，自由、明確地作出的，是用戶清楚而不含糊的意思表示。在移動互聯網時代，用戶在面對具有市場優勢地位的應用程序，往往沒有選擇的余地，只能選擇同意；而平臺的隱私協議與用戶規則繁瑣不堪，用戶往往不假思索地點選同意。信息過載和信息不對稱是知情同意機制普遍面臨的情形。為了讓用戶的同意變得具有實質意義，各國法律為知情設定了增強同意、書面同意與額外同意等情形。《個人信息保護法》對敏感信息的處理也采取了增強同意的立法思路，規定個人信息處理者處理敏感信息需要取得個人單獨同意。《個人信息保護法》在個人知情同意機制的設計上體現了個人自治和政府規制相結合、強化個人信息處理者責任、兼顧事后風險防范的特點，形成了權利建構為主、行政監管協同的個人信息同意機制。就此而言，知情同意不僅具有私法上的合意的效果，它更是一項個人信息保護的公法制度。

（二）查閱權、復制權是個人信息權的核心

《個人信息保護法》第45條規定了個人信息主體對于信息的查閱權和復制權。這一權利的具體內涵仍有待立法機關的解釋以及監管部門在執法中的進一步明確。查閱、復制權可以說是個人信息權利束的核心內容，是落實個人信息保護原則的重要手段。個人信息主體經由查閱復制權的行使可以清晰了解到個人信息控制者所掌握的數據是否滿足了個人信息收集中的知情同意規則，可以衡量數據最小化、目的特定等個人信息保護原則是否得到了遵守。查閱復制權具有核校數據處理者是否遵守了《個人信息保護法》所確立的系列原則的功能。

在《個人信息保護法》立法的過程中，有學者建議采用個人信息訪問權來代替個人信息查閱權和復制權，但最終的立法仍然保留了原來的措辭。比較而言，個人信息訪問權更符合數字經濟條件下信息主體對個人信息獲取的方式。從解釋論的角度，個人信息查閱權和復制權其實質就是個人信息訪問權。查閱權、復制權文義上充滿了前互聯網時代的意涵，信息主體并不會像查閱賬簿一樣去信息處理者那里查看自己的個人信息，一般情形下也不存在請求信息處理者向其提供關于其個人信息的復印件的需求。如果采取這樣的解釋，個人信息主體行使這一權利的方式成本高昂、費時較久，為權利義務雙方都施加了數字時代所不必要的麻煩，從而使這一權利失去實際意義。

就規范效力而言，這一權利等同于歐盟《一般數據保護條例》（General Data Protection Regulation）所規定的訪問權。個人信息主體基于這一權利可以發起獲取個人信息的請求，信息處理者應當提供結構化的、機器可讀的通用格式的個人數據包，并提供下載工具。除此之外，個人信息主體也可以請求紙質版本，并承擔因請求紙質版本而產生的合理費用。對個人信息查閱、復制權的這種解釋才使得個人能夠及時、便捷、數字化地獲取個人信息。在《加州消費者隱私法》（California Consumer Privacy Act）下，個人信息主體行使訪問權的方式就包括獲得郵寄紙本或者數字版本的個人信息，而且個人信息控制者和處理者應當免費提供，個人信息主體在一年內可以行使兩次請求權。這可以作為解釋《個人信息保護法》查閱、復制權的一個參考。個人信息查閱、復制權作為請求權基礎，其指向的不僅是一般的私人信息處理者，也可能是國家機關。在刑事訴訟領域，司法信息化浪潮之下辯方的閱卷權受到沖擊，個人信息查閱、復制權為取代閱卷權提供了可能性，可以從這一權利行使的方式、權利的限制等方面入手，實現該權利與刑事訴訟制度的協調。

（三）可攜帶權是個人信息自決的保障

個人信息可攜帶權為各國立法所普遍確認。歐盟、美國、印度、日本、新加坡等法域都引入了數據可攜帶權，它已經成為各國民眾普遍享有的一項個人信息權利。例如2021年美國《通過促進服務轉換實現兼容性和競爭性法案》（Augmenting Compatibility and Competition by Enabling Service Switching Act）規定，由該法所調整的平臺應保持一套透明的可由第三方訪問的接口（包括應用編程接口），以便能夠安全地將數據傳輸到另一用戶，或經用戶的明確同意，在用戶的指示下，以一個結構化、常用的、機器可讀的、符合該法發布標準的可讀格式傳遞給第三方商業用戶。在《個人信息保護法》通過之前，我國在規章和規范層面已經建構了數據可攜帶權的雛形，在攜號轉網中形成了數據可攜帶權的實踐?！秱€人信息保護法》在三審稿的基礎上最終確立了可攜帶權，響應了個人信息保護立法的世界性趨勢，使得我國個人信息保護的水平和個人信息保護高水位的法律區域不相上下。

個人信息可攜帶權的確立有利于數據競爭，在實質意義上實現個人的信息自決?！秱€人信息保護法》第45條第3款規定，“個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑?！钡@一權利對于互聯網產業的影響巨大，出于審慎的考量，立法者增加了個人信息主體行使該權利需要符合國家網信部門規定的條件，因此在《個人信息保護法》生效之后，需要網信辦出臺個人信息可攜帶權行使的細則，明確其范圍、行使方式和實施的條件。

歐盟《一般數據保護條例》盡管規定了個人數據可攜帶權，但對其進行了一定程度的限制，主要包括以下三個方面：可攜帶權在個人數據權利束中優先性靠后；對個人數據可攜帶權的范圍進行了限定；關于平臺互操作性僅僅是予以鼓勵，而不是課加強制性義務。

監管部門在落實個人信息可攜帶權的細則時，應當考慮我國數字經濟發展的實際，在上述問題上作出不同于歐盟的規定，明確個人信息可攜帶權相對刪除權的優先性，對于不同領域平臺之間的互操作性予以差別化的規定：對于政府等公共服務平臺，互聯互通是其法定義務；對于電商類平臺、社交類平臺，可以基于平臺性質而在互聯互通要求上有所區分，以拆除互聯網世界花園的高墻（walled garden）。國家市場監管總局2021年10月發布的《互聯網平臺分類分級指南（征求意見稿）》可以作為這種差別化互操作性規制的參考。

（四）刪除權體現了個人數字人格的完整性

《個人信息保護法》確立了個人信息主體對于錯誤信息的更正權以及刪除權，這是為了保證個人信息的完整性和個人數字人格的整全性。《征信業管理條例》對征信領域的刪除權予以了具體化，明確規定征信機構采集的個人不良信息的保存期限為自不良行為或者事件終止之日起5年。個人不良信息保存期限屆滿，征信機構應當將個人不良信息在對外服務和應用中刪除；作為樣本數據的，應當進行匿名化處理。

刪除權的規定使得個人信息權的體系和信息生命周期得以匹配、同步保障。刪除權體現為個人信息主體對于信息控制者的請求權，用戶對于數據控制者所控制和處理的不必要、不相關和過時的個人信息可以行使該請求權。刪除權確保個人在線下線上一體化的數字化生存中可以避開“凝視的目光”。這也是它有時又被稱為被遺忘權的原因。它是個人信息在信息社會自由流動中的終止，是個人從信息社會中抽離的權利機制。

被遺忘權在權利建構、公共人物的例外情形、請求權的形式以及個人信息處理者的響應等方面仍然需要在司法實踐中進一步明確。個人信息的公共維度在刪除權的行使中表現突出，個人信息主體對刪除權的行使可能會妨礙具有同樣重要性的言論自由、新聞自由等權利，這時就需要進行利益衡量。在歐盟的司法中，已經有相關案例對這一問題作出回應。刪除權的行使應注意和言論自由等其他權利之間的相互性。

《個人信息保護法》中并沒有規定《加州消費者隱私法》中的退出信息處理權。這一權利實際上可以被刪除權所吸收和涵蓋，實定法上的刪除權包含了個人信息處理者得以請求退出信息處理的權利。在實踐中，個人賬戶的注銷可能只是切斷其他用戶的檢索，相關信息并沒有從數據庫中刪除，甚至也未必作了匿名化的處理。主動注銷的條件嚴格，而被動注銷形同虛設，賬號注銷成為難題。這些《個人信息保護法》實施中的問題仍然需要從規制上予以有效回應。

《個人信息保護法（三審稿）》中還增加了一個條款，“個人信息處理者拒絕個人行使權利的請求的，個人可以依法向人民法院提起訴訟”。這一條款最后成為第50條第2款。這使得個人信息主體在基于《個人信息保護法》所享有的列舉權利受到侵害時可以依照該法而獲得救濟，無需借助其他的規范。在實踐中，信息處理者的何種行為構成拒絕，還需要進一步的明確。這個條款強化了《個人信息保護法》作為數字時代個人信息基本法的法律地位，在實體法上和救濟功能上具有一定的自足性，但在涉及民事侵權時，仍然需要轉接到《民法典》中關于侵權行為及侵權責任的一般性規定。這體現了我國個人信息保護在憲法規范統攝下的公私法協同進路。在訴訟類型上，要根據信息處理者的身份來決定這一訴訟是民事訴訟還是行政訴訟。如果信息處理者是國家機關，這一訴訟屬于行政訴訟；如果信息處理者是平臺一類一般民事主體，則屬于民事訴訟。

個人信息權作為數字時代的人權，是人權觀念在數字時代的豐富?！秱€人信息保護法》建立了一個廣泛而全面的權利體系，而各項具體權利的結構、行使方式、信息控制者和處理者的義務、義務未履行的責任、相關訴訟的案由仍有待執法機構和司法部門通過立法解釋和司法個案的方式予以明確。人民法院應當通過司法解釋進一步明確個人信息權利司法救濟的條件、程序和方式方法。

三、《個人信息保護法》與《民法典》的銜接

（一）幾個概念的厘清：數據、信息與隱私

歐盟無論是在立法還是在理論上，一般并不嚴格區分數據和信息這兩個概念。歐盟《一般數據保護條例》中的“數據”完全可以用信息替換。而美國的立法目前呈現出個人信息和數據的區分，《加州消費者隱私法》采用了個人信息的概念，在功能上和我國的《個人信息保護法》相近，區別在于加州的這一立法是在消費者隱私權保護框架下進行的，美國聯邦層面的《澄清境外數據合法使用法》［The Clarifying Lawful Overseas Use of Data (CLOUD) Act］則采用了數據的概念，我國《數據安全法》的域外效力條款與該法接近。但在美國學者的研究和通常的討論中，并不作數據和信息的區分。我國的個人信息和數據區分保護的思路在《民法總則》中得以確立，《民法總則》第111條規定，自然人的個人信息受法律保護。第127條規定，法律對數據、網絡虛擬財產的保護有規定的，依照其規定。個人信息和數據二分的做法為此后立法所遵循，《數據安全法》和《個人信息保護法》前后出臺就延續了這一思路。在數據安全法的立法框架中，如果個人信息處理者處理個人信息達到一定數量，就會轉化成數據安全問題。當然，個人信息數據是網絡數據的一種形式，網絡數據還包括企業數據、政府數據。實際上，需要在理論上進一步厘清算法技術條件下的個人信息安全、網絡安全和數據安全。隱私和個人信息有重疊之處，比如個人病例、行蹤軌跡、網絡瀏覽記錄，既屬于個人隱私、也屬于個人信息。《民法典》將個人信息分為隱私信息、公開信息和一般信息，對隱私信息采取隱私權和個人信息權的雙重保護，但這一區分實非必要，反生困擾。隱私強調的是個人生活安寧不受打擾、個人私密情形不被披露，是一種消極的不被侵擾、不被公開的權利，而個人信息的核心在于可以經由信息識別到個人。有些隱私并不屬于個人信息，比如《憲法》第37條規定的個人住宅不受侵犯的權利，即屬于隱私權的一種表現，但這一權利卻與個人信息無關。個人的姓名、工作單位屬于個人信息，但它不具有隱私的成分。所以隱私和個人信息既有重合的地方，但又有不相隸屬的成分。在美國法上有信息隱私的概念，究其實質，它指向的是個人對于信息的知情控制權，類似于《個人信息保護法》中的知情、決定權。

《個人信息保護法》采取了一般信息和敏感信息的分類，將生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡、未滿十四周歲未成年人的信息認定為敏感個人信息。數據處理者必須是為了特定目的、充分必要而且采取保護措施的前提下才能處理敏感個人信息。敏感個人信息更容易和隱私重疊，但仍然無法完全等同。在司法實踐中，個人信息和隱私重疊，處理個人信息侵犯信息權和侵犯隱私權競合時，個人信息主體可以選擇基于個人信息權還是隱私權提起訴訟，從而解決部分個人信息兼具敏感個人信息和隱私二重性的問題。

（二）《個人信息保護法》與《民法典》在個人信息保護中的適用

《個人信息保護法》是個人信息領域的基本法，個人信息主體權利構成的解釋、信息權利受到侵犯時所需的救濟都應當以《個人信息保護法》為出發點，該法關于個人信息權的規定超越了私法意義的權利或者刑法上的法益，它是具有憲法規范基礎的新型公法權利。

《民法典》無法作為《個人信息保護法》的一般法基礎。個人信息除了個人維度之外，還具有公共的維度，個人信息并不會因為使用者的增加而受到損害，也不會因為被使用頻次增加而受到損害。個人信息主體同時面對公私兩種信息處理主體，信息處理者和信息主體在信息能力上高度不對稱。所以，無論是從個人信息法的屬性、權利構成、調整關系，還是從回應社會的能力等方面來說，《民法典》人格權編都無力單獨承擔這一使命。從經驗的角度而言，在《個人信息保護法》通過之前，通過侵權救濟的方式在司法中回應APP過度索權、超范圍索權等已經呈現出明顯不足。

《民法典》并不必然構成《個人信息保護法》的先前理解。就民法和憲法的一般關系而言，我國的民法并不是在社會發展演進中先于憲法而形成的調整市民關系的一般準則，它是我國近代國家建構的一部分。雖然我國《民法典》的通過在時間上先于《個人信息保護法》，對后者的制定產生了重要的影響，促進了個人信息保護單獨立法的共識，但《民法典》并不是《個人信息保護法》的一般法。它也不必然成為《個人信息保護法》的前理解；它是構成《個人信息保護法》前理解語境中的一個因素，但同樣重要甚至更重要的是時間上早于《民法典》、立法對象上更具重合性、交叉性的《網絡安全法》。

《民法典》和《個人信息保護法》規定不一致時，應當優先適用《個人信息保護法》。例如，兩部法律在個人信息定義的問題上就有所不同?！睹穹ǖ洹返?034條規定，個人信息是以電子或者其他方式記錄的能夠單獨或者和其他信息結合識別特定自然人的各種信息，其判斷標準為“可識別”。而《個人信息保護法》第4條規定，個人信息是以電子或其他方式記錄的與已識別或可識別的自然人有關的各種信息，不包括匿名化處理后的信息。《個人信息保護法》的規定更為周延，將匿名化信息排除在保護范圍之外。但其采取的是“可識別”加“相關性”的標準，個人信息的指向范圍更廣，個人信息處理者對此應先予遵守。監管部門需要在這兩個標準的基礎上對個人信息進行分級分類的風險規制，確保個人信息的范圍不因為過于寬泛而無法落到實處，同時為數字產業的發展提供有效激勵。

（三）《個人信息保護法》的行政執法體系

《個人信息保護法》在一定程度上吸收了之前個人信息保護行政執法政出多門的局面，確定了國家網信部門統籌協調個人信息保護工作和相關監督管理工作，國務院有關部門依法在各自職責范圍內負責個人信息保護和監督管理工作?！秱€人信息保護法》在此基礎上建立了完整的行政執法監管體系，對企業設定了約談、申誡、財產罰、行為罰等一系列行政處罰機制。對違法處理個人信息的應用程序，責令暫停或者終止提供服務，對于違法處理個人信息情節嚴重的，吊銷許可證或者吊銷營業執照，禁止相關責任人員在一定期限內擔任相關企業的董事監事等高級管理人員和個人信息保護負責人。

在行政監管體系之外，《個人信息保護法》還建立了個人信息保護公益訴訟制度?！秱€人信息保護法》建立了以事前事中執法為主、以公益訴訟和私人侵權救濟為輔助的體系完整的救濟機制。

四、《個人信息保護法》對公私主體的適用

個人信息主體在面對不同性質的信息處理者時，處于不同的法律地位。當他面對私人主體的時候，同意機制可以作為重要的保障當事人自主的合意機制；當處理者是政府的時候，一般意義上的同意機制可能并不夠充分。有學者提出，個人信息保護立法應當采取“總分總”的模式，總則部分明確基本概念、基本原則等，一體適用于公私領域。繼而分別規定國家機關和非國家機關在個人信息收集、存儲、處理和利用等方面的處理規則，最后規定統一的法律救濟模式。

我國《個人信息保護法》采取的是一種統合型的立法模式，比上述“總分總”的建議更能體現《個人信息保護法》適用的整體性。《個人信息保護法》規定，國家機關處理個人信息的活動適用該法，同時考慮到國家機關處理個人信息的特殊性，在第二章第三節對此進行了特別規定。對于特定領域的個人信息處理活動，比檔案、刑事訴訟等領域，應當有符合其特點的規則，實現個人信息保護和檔案利用、刑事司法的銜接。基于《個人信息保護法》規范的體系分析，《個人信息保護法》的公法性質毋庸置疑。

基于公法理論，憲法的規范對象一般為公權力行為，它調整是國家機關之間、國家機關與公民之間的關系，只在例外情形下才調整私法領域平等主體之間的關系。憲法在私法領域中的效力被稱之為憲法第三人效力。憲法基本權利既有防御權功能，還蘊含著客觀法價值，目的在于通過強化基本權利的作用，完成客觀價值秩序的建構。這一價值秩序就是將個人自治、人格自由發展、促進和實現作為社會共同體的核心價值，并將其適用于所有法律領域。基本權利的雙重性質，即面對國家的防御功能以及面對社會權力時國家的保護義務，成為了個人信息權利國家保護的理論基礎和基本框架。

憲法基本權利規范中，有一些規范采取的是絕對權的表述，比如作為個人信息權直接憲法基礎的“人格尊嚴”條款就屬于這類表述?！稇椃ā返?8條規定，“中華人民共和國公民的人格尊嚴不受侵犯”。這意味著它不僅直接約束公權力行為，也約束私人行為。這一條款為國家設定的保護義務意味著，國家在立法、行政、私法三個向度上對基本權利主體形成了公法上國家和個人信息主體的給付關系。

就國家保護義務而言，“公民人格尊嚴不受侵犯”的表述，從文義解釋的角度可以看成個人信息權利受國家保護的規范來源。基于國家保護義務，國家需要以一定的方式介入私人領域。但國家介入的具體方式是由一國的憲法體制、國家機構之間的權力配置及其具體權限而定。我國人大制度的政體以及憲法解釋權專屬全國人大及其常委會的制度安排，決定了法院不能直接適用這些條款，仍需借助全國人大及其常委會基于基本權利條款，通過具體化的立法來落實基本權利保護的目標。對此，全國人大及其常委會具有立法形成自由。全國人大基于憲法基本權利條款進行的立法，可以采取公法保護模式，也可以采取私法保護模式，對于個人信息保護則兼采公私法協同模式，分別體現在《個人信息保護法》和《民法典》?！秱€人信息保護法》確立了個人信息保護的一般性規則，是個人信息保護的基本法，而《民法典》是私法領域的基本法，就個人信息保護而言，并無優先適用的問題。從基本權利第三人效力理論出發，立法者制定民法上的概括性規定，以實現保護義務，法官在具體案件審理中參考國家保護義務之目的，適用該法規定，這是基本權利之間接第三人效力，實際上屬于國家保護義務理論適用的具體情形。

五、余論：走向個人信息權利的時代

信息技術的發展，推動了社會生產力的發展，也深刻地改變著生產關系。由于信息技術的廣泛運用以及對生產生活的深刻影響，我們的時代又被概稱為大數據時代、人工智能時代或算法時代。我們需要從憲法時刻的視角和公民權利的雙重面向構建個人信息保護的法律框架，讓人的尊嚴和人性自主的價值引領技術發展?！秱€人信息保護法》的公法屬性、立法宗旨、權利體系、規制措施都體現了這一價值目標，其是數字時代公法秩序變遷的重要產物，它對公法邊界的塑造仍需通過其實施來確立。