此頁面上的內容需要較新版本的 Adobe Flash Player。

獲取 Adobe Flash Player

高級搜索
請輸入檢索內容:

當前位置: 首頁 >> 學術資源 >> 憲法學 >> 正文

王錫鋅 彭錞:個人信息保護法律體系的憲法基礎

| 時間: 2021-06-09 11:55:50 | 文章來源: 《清華法學》2021年第3期

摘要:我國個人信息保護法律體系需要一個兼具解釋和規范價值的核心概念作為基礎。學界主流觀點以個人信息民事權利為此基礎,該種觀點雖具有相當的合理性,但在理論和實踐層面均存在需要反思的問題。從憲法基本權利的維度分析,個人信息保護法律體系建構的基礎應是《憲法》第38條人格尊嚴條款內蘊的個人信息受保護權。以該項基本權利為基點,以其主觀權利和客觀法面向所對應的國家消極與積極保護義務為主線,可建構出一套基礎更穩固、內容更完整、結構更合理的個人信息保護法律體系。這一體系既能對現有個人信息保護規范進行系統解釋,厘清諸多部門法、執法手段之間的關系;也可對未來個人信息保護制度和實踐提出規范要求,使我國憲法上的個人信息受保護權更好地形成并落實。

關鍵詞:憲法基本權利;個人信息受保護權;法律體系;民法典;個人信息保護法


一、問題的提出:探尋個人信息保護法律體系的概念基礎


隨著數字時代的深入發展,個人信息的法律保護已成全球共識。在我國,《網絡安全法》《電子商務法》《民法典》相繼實施,《數據安全法》《個人信息保護法》即將出臺,個人信息保護法律體系已初具規模。在此背景下,探尋何為該體系的概念基礎(Conceptual Foundation),對充分解釋和有效規范該體系的核心概念,具有承前啟后的重要意義。承前意義在于從恰當的概念基礎出發,可以推導出一幅內部邏輯協調的概念地圖,為既存的個人信息保護規范提供系統化說明;啟后意義則在于揭示現行立法與實踐之不足,為下一步改進完善提供查漏補缺的指引。

對此,學界目前的主流觀點有二:首先,應以法律權利作為我國個人信息保護法律體系的概念基礎。盡管有學者提出個人信息處理規制的行為主義進路,試圖繞開個人信息賦權的難題,但這是繞不開的,因為對信息處理者特定行為是否規制、如何規制,歸根結底取決于信息主體對個人信息是否享有、享有何種值得法律保護的利益。只有在確定個人信息權益究竟屬于何種法律權利的基礎上,才能進一步推演相應的法律義務、責任和規范,達至一套個人信息保護法律體系。其次,在此前提下,學界主流觀點認為我國個人信息保護法律體系的概念基礎是作為民事權利的個人信息權,據此推導出信息處理者負有不得侵害個人信息的民法義務,民事責任是個人信息保護的基本手段,《民法典》是個人信息保護領域的基本規范,同其它個人信息保護立法(如《個人信息保護法》)屬于一般法和特別法的關系。

本文贊同我國個人信息保護法律體系應以法律權利為概念基礎,但認為恰當的選擇并非作為民事權利的個人信息權,而是作為憲法基本權利的個人信息受保護權。具體論證分三步展開:第一,梳理民事權利基礎論的理路,剖析其三項核心命題,并展開反思;第二,論證個人信息保護能在我國憲法上獲得安頓,并應以“個人信息受保護權”的概念來表達;第三,在憲法上個人信息受保護權的視野下,通過展開其內容、功能與限制,建構我國個人信息保護法律體系。


二、重省民事權利基礎論


(一)民事權利基礎論之理路

民事權利基礎論包含以下三項核心命題:

第一,主張個人信息本身是民事權利客體。理由如下:①基于《民法典》第111條,認為若個人信息不是民事權利,則立法者不可能在作為民商事領域基本法的《民法典》中做出規定,更不會在其總則編的民事權利章中加以規定。認為個人信息權本質上是一種對世、排他、絕對的個人信息自決權,保護自然人對個人信息的自我占有和支配。認為個人信息權是新型、獨立的人格權,除傳統人格權消極防御的特性外,還有積極控制的面向,派生出信息知情、同意、查詢、修改、更正、刪除等權能。

第二,主張個人信息權益不具有公法權利屬性。理由如下:①認為作為民法權利的個人信息權可對抗任何組織或個人的侵害。公權力機關侵害個人信息權,私權利主體同樣可要求其承擔法律責任。②認為“盡管實踐中對個人信息采用刑法、行政法等多重保護機制,但并不影響個人信息權為民事權利的基本屬性。為了全面保護民事主體的利益,在民法之外,通過刑法、行政法乃至社會法來保護民事權利,是法律保護的常態表現”。③認為處理個人信息的公、私主體雖然“在處理目的、合法性基礎等方面存在不同,但不因此導致自然人與處理者之間關系的區別。信息處理者與自然人之間的法律地位是平等的。國家機關與非國家機關,均負有不得侵害自然人民事權益的義務。在私權利保護的問題上,不存在公權力機關比非公權力機關處于更優越地位的情況”?!氨M管個人信息受保護權的使用、收集過程中存在著行政管理部門的公法行為,但這只需要規定政府部門在信息管理過程中的職責與責任即可,個人信息保護法的核心內容應是民法規范,政府部門的公權在個人信息領域不宜膨脹?!?/p>

第三,主張從信息主體的個人信息權出發,以“信息處理者民法義務—侵權者民法責任—《民法典》規范”的邏輯,建構個人信息保護法律體系。理由如下:①認為包含公權力機構在內的所有社會主體均負有不侵犯個人信息權的民法義務。②認為“只有民事責任能真正彌補信息主體的損害”,因為其“主要形式是賠償損失,以恢復被侵害人的權益為目的”。③主張“我國民法典人格權編對個人信息保護的規定,并非簡單的一部法律對個人信息保護的規定,而是具有如同《歐盟基本權利憲章》第8條關于個人信息保護規定相同法律地位的規定。只有在民法典中確認個人信息權后,才能為個人信息保護的特別立法提供民事基本法依據?!?/p>

公允地講,上述觀點并非囿于學科門戶之見,而是具有深刻現實背景和重大歷史意義。隨著信息技術高速推進,個人信息面臨巨大風險,傳統隱私保護捉襟見肘,亟需新的法律解決方案。以2000年全國人大常委會《關于維護互聯網安全的決定》為起點,我國的個人信息保護法律制度逐步完善,但直到2020年《民法典》出臺,才一改此前間接、零散的立法進路,在民事基本法的高度規定個人信息受法律保護。相較于行政法、刑法等其它部門法,在該領域,確實是民法提供了迄今最有力、最全面的法律回應。這正是眾多學者強調民事權利、義務、責任和規范在個人信息保護法律體系中基礎性地位的現實背景。而民法保護體現了對個人信息所承載的尊嚴、人格、隱私、財產等重大利益的關照,對一個私權保障仍在途中的國家,具有不可否認的歷史意義。然而,民事權利基礎論內含的三項命題在理論和實踐層面均值得反思。

(二)民事權利基礎論之反思

第一,將個人信息作為民事權利客體與民法既有概念體系存在張力。理由如下:①《民法典》第111條并未明確規定個人信息權,有別于第110條規定姓名權、肖像權、名譽權、榮譽權、隱私權。早在《民法總則》起草時,個人信息是不是民事權利就有爭議,但《民法典》最終沒有規定個人信息權。這并非立法機關的無心之失,而是基于對個人信息特性的深刻洞察。與傳統的人格、財產權客體不同,個人信息沒有特定性、獨立性,也非無形物,不能歸入表彰民事權利的客體。更重要的是,它具有非排他性、非損耗性,兼具流通和控制雙重價值,不能也不應成為絕對、排他、對世的權利對象,否則將阻礙數字社會的縱深發展。即使賦予信息主體此種民事權利,也遠非最佳保護手段,因為個人信息保護要解決的核心問題是個人與信息處理者之間的“非對稱權力結構”。個體主義權利進路下,個人信息權極易淪為“紙面上的權利”??梢哉f,立法者正是洞察到上述問題,才選擇不在《民法典》中明文規定“個人信息權”。③實事求是地講,對個人信息權的上述局限,民法學者早有認識,故提出新型人格權說,試圖緩和傳統人格權獨占、排他的性質,以順應信息時代之巨變。然而,這是以突破傳統民法教義為代價的。如所周知,民法的經典敘事是:人格權不得轉讓,但民事主體可將部分人格利益以許可使用的方式允許他人利用。人格權以占有、保護為原則,以流轉、交易為例外。但個人信息并非如此,在現代社會,其保護和流轉價值并重,不存在孰為前提、孰為例外。這也能解釋為什么《民法典》第993條在設定人格利益許可使用制度時,只列舉了姓名、名稱、肖像,而沒有提及個人信息,因為個人信息的流轉、交易與傳統民法上的人格利益許可使用并不相同。這意味著要把個人信息保護塞入民法人格權框架,很大程度上必須破壞其原有結構。當然,民法學者可回應道:為了與時俱進,突破傳統民法是應付的代價。但更難應對的問題是:個人信息權無法派生出知情、查詢、修改、保密、刪除等權能,因為它們本質上是在“服務一種特定的立法目的,即有效地阻止個人信息被非法濫用,而非使信息為個人所獨占”。

第二,個人信息權益不僅具有民事權利屬性,也具有公法權利屬性。理由如下:①作為民事權利的個人信息權無法對抗公權力機關。一個法學常識是:民事權利和公法權利的核心差異在于前者對抗平等民事主體,后者對抗國家。這當然不是說公權力機關可以不尊重民事權利,而是說當公權力機關以平等民事主體身份處理個人信息時,需要尊重其所承載的民事權益。一旦公權力機關履行公共管理職責而處理個人信息,則需尊重個人信息公法權利。在《民法典》之前,早有一系列法律規定了對抗國家的個人信息公法權利,包括《護照法》第12條、《居民身份證法》第6條、《國家情報法》第19條等?!睹穹ǖ洹凡粫采w或推翻這些先在立法。事實上,就連《民法典》第1039條要求國家機關、承擔行政職能的法定機構及其工作人員對于履行職責過程中知悉的個人信息應當保密,也是在規定一項公法權利。對個人信息的多重保護機制無法從作為民事權利的個人信息權中導出,原因有二:一方面,國家運用行政法、刑法等手段來保護個人信息,并非為了實現信息主體對個人信息的獨占,也不是在協調作為平等民事主體的信息主體和信息處理者之關系。之所以要在民法之外引入其它部門法的多重保護,恰恰是因為信息主體和處理者之間高度不平等,以個體維權、訴訟為核心的民法機制無力“糾偏”,亟需公共監管、執法和處罰為核心的行政法、刑法機制來“馳援”。另一方面,對抗私主體的民事權利無法派生對抗公主體的公法權利及配套的公法保護機制。③當然,民法學者意識到國家早已成為個人信息的處理者,也承認公法保護的重要性,但因擔心承認個人信息公法權利會導致公權機關優位和公權膨脹,仍堅持個人信息僅僅是民事權利客體。在以“管理法”為核心的公法擠壓私法的現象并不鮮見的今天,這種擔心值得理解與同情。但現代公法權利的本意是“主觀公權利”,反映了約束公權、張揚人權的政治哲學,與民法私權神圣、私法自治的價值導向若合符節。因此,承認個人信息權益的公法權利屬性,不會膨脹公權,而能限制公權。若對公權與私人信息處理者一視同仁,反會造成“公法遁入私法”,使公權機關假借民事主體身份逃脫公法約束,以表面平等掩蓋實質不平等。

第三,“信息處理者民法義務—侵權者民事責任—《民法典》規范”的邏輯難以完整覆蓋個人信息保護法律體系。理由如下:①僅有民法義務無法約束公權機關高權性、強制性、公益性的信息處理行為。這些行為只能對應公法義務。②僅有民事責任不足以完成個人信息保護重任。個體侵權訴訟在因果關系認定和賠償確定上存在極大困難,GDPR主要是通過高額罰款來阻嚇侵權行為,并沒有涉及任何私法救濟方式。更何況公權機關依職權處理個人信息的行為違法,應承擔行政賠償責任,根據《行政訴訟法》《國家賠償法》來救濟。在我國個人信息保護法律制度尚不完善的語境下,民法學者期待《民法典》充任《歐盟基本權利憲章》那樣的憲法角色,用心可謂良苦。但“以民法代憲法”發生于近現代歐洲國家動蕩、憲法缺乏實效性的特殊歷史情境下,平移至我國具有“反歷史性”。更重要的是,《個人信息保護法》的義務主體、調整范圍、執行機制等均不同于《民法典》,并非后者的特別法。

須澄清的是,論證個人信息不是民事權利的客體,不代表個人信息與民事權利無關。2020年,全國人大常委會法工委在《關于〈中華人民共和國個人信息保護法(草案)〉的說明》中指出:在編纂民法典中,將個人信息受法律保護作為一項重要民事權利作出規定。這里的措辭極其精準,表明《民法典》確立的并非個人信息權,而是個人信息受保護權,前者指向信息主體對個人信息的自決與控制,后者指向信息主體在個人信息處理過程中應得的保護?!睹穹ǖ洹分源_立個人信息受保護權,是因為個人信息承載了重大人格、財產民事利益,須通過對信息主體提供保護來予以維護。正如《民法典》開宗明義地點明“根據憲法,制定本法”,該項民事權利根源在于我國憲法上的個人信息受保護權,是后者在具體法律中的表述。


三、作為憲法基本權利的個人信息受保護權


隨著個人信息法律保護的全球擴張,在憲法層面確立相關權益的必要性已成學界共識。早在十余年前,我國就有學者提出個人信息保護“體現基本權利核心內容,即人性尊嚴與人格獨立”,但在我國憲法上屬于一項未列舉基本權利,應通過憲法判例“寫進”憲法。這一主張遭遇了兩種批評:一是批評這“要求憲法法院或憲法裁判空間,并不符合我國當前國情”;二是批評將保護個人信息提高到基本權利的地位“有過度強化個人信息保護之嫌,在與信息自由流通以及信息產業發展間容易產生摩擦”。但這些批評均不成立。一方面,隨著合憲性審查工作推進,憲法基本權利不再是空中樓閣,確立個人信息保護基本權利的制度性障礙亦不復存在。另一方面,基本權利不等于絕對權利,不會對個人信息提供毫無限制的保護,也不許諾遺世獨立的“魯濱遜式自由”。因此,當下亟待學理澄清的問題不再是“為何”要確立該項基本權利,而是“如何”確立,具體包括規范依據和概念表達兩大任務。

(一)個人信息保護基本權利的規范依據

如何在憲法上安頓個人信息保護基本權利?各國實踐遵循兩條路徑:憲法肯認(Constitutional Entrenchment)和憲法解釋(Constitutional Interpretation)。前者是指成文憲法明確寫入個人信息保護。目前,全球已有三十多個法域將個人信息保護列為基本權利。最典型的如《歐盟基本權利憲章》第8條和《歐盟運行條約》第16條規定個人信息受保護權。

更多國家是以憲法解釋將個人信息保護納入基本權利范圍。20世紀60、70年代以來,由于計算機系統和自動化處理的推廣,西方國家率先開始關注個人信息保護,但此時其成文憲法已定型,憲法解釋成為更優選擇,典型代表如美國和德國。1977年的華倫訴羅伊案(Whalen v. Roe)中,美國聯邦最高法院基于憲法第四修正案,首次確立信息隱私權Right to Informational Privacy),即個人、團體或機構要求自主決定何時、如何以及在多大程度上向他人傳達有關他們的信息的權利。1983年的第二人口調查案”判決中,德國聯邦憲政法院根據《基本法》第1條第1款的人格尊嚴條款和第2條第1款的一般人格權條款,推導出個人擁有信息自決權Informationelle Selbstbestimmung),即有權自己決定何時以及在什么范圍內將有關其私人生活的信息傳達給他人,并指出作為在數據處理的現代條件下自由發展個性的前提,個人必須被保護免受個人數據的無限收集、儲存、使用和傳遞。

與美、德類似,我國憲法沒有明文肯認個人信息保護。那么,能否通過憲法解釋將其納入基本權利?既有研究給出了肯定的答案,但就所依據的憲法條文有三種不同觀點:一是《憲法》第33國家尊重和保障人權;二是第38條規定的人的尊嚴;三是第38條規定的一般人格權。觀點一通過把個人信息定義為人權來論證其基本權利屬性,有循環論證之嫌。觀點二、三的憲法條文依據相同,都是第38公民的人格尊嚴不受侵犯,但具體解釋方案不同。前者基于人格尊嚴條款雙重規范意義說,認為該條的人格尊嚴不僅指諸如名譽、肖像等具體權利,也是一種“原則性的概括條款,為此體現了整個人權保障體系的基礎性價值”,類似于《德國基本法》第1條規定的人的尊嚴,由此推導出個人信息應受保護。后者則拒絕把第38條類比于《德國基本法》第1條,認為中國憲法上的人格尊嚴是一種公民作為具有獨立意志的主體享有的得到尊重的權利,包括但不限于不受侮辱、誹謗和誣告陷害的人格權,即憲法上的一般人格權,個人信息受保護是作為一般人格權內容的個人自我決定權之產物。顯然,兩種觀點都認為個人信息保護與尊嚴、人格相關,差別在于如何解釋第38條。但區分該條指向的到底是人的尊嚴還是一般人格權,對于把個人信息保護納入我國憲法基本權利而言,意義并不大。這是因為在德國基本法上,人的尊嚴和一般人格權的主要差異是前者不可干預,而后者可被干預,我國憲法則沒有這個差別,因為根據《憲法》第51條,兩者都應受公共利益和他人權利限制。因此,在個人信息保護問題上,兩種解釋方案可以共存互補:人的尊嚴是個人信息保護的最終價值依歸,一般人格權則是其具體權利基礎,后者具有中間性(Intermediate)和工具性(Instrumental),目的是為了保障前者。無論采哪種解釋方案,個人信息保護都可依據《憲法》第38條納入基本權利范圍。

(二)個人信息保護基本權利的概念表達

如何在概念上表達個人信息保護基本權利?既有研究提出三種方案:個人信息權、個人信息自決/控制權、個人信息受保護權。有學者指出:個人信息權是指與個人信息收集、使用和處理等相關的權利。這種界定無疑過于含混,因為不清楚相關權利是個人獨有,還是與信息處理者或更多主體分享。有學者進一步把權利主體限于個人,明確個人信息權是信息主體對其信息享有占有、使用、收益、處分,并防止他人侵害的權利,這使個人信息權變成個人信息自決/控制權的縮寫。如前所言,德國憲法法院就使用了這個概念。然而,個人信息自決/控制權在歐洲早已飽受批判:第一,德國學者指出個人信息保護法不是保護數據主體對其信息自決/控制,而是一種針對個人信息自動化處理方式給個人人格或財產帶來之加害危險的事先防御機制。之所以如此,是因為個人信息自決/控制承認一種近似乎所有權的支配權,制造個人信息的稀缺性,無疑于禁錮思想,阻嚇交流。第二,歐洲學者敏銳地提醒:在占有性個人主義大行其道的背景下,在私有財產和市場法則被認為是最有效的權利分配方式的時代,信息自決權日益被解讀為在暗示個人對其個人信息具有某種可轉讓的財產權,即個人信息是個人的財產。然而,信息無法先于其‘表達’或‘披露’存在,而總是以某種方式而被建構出來——邏輯上,個人對與其有關的信息并不擁有某種‘自然’的原始權利?!钡谌?,德國學者稱信息自決/控制權為一種烏托邦,因為歐盟GDPR針對個人自決/控制創設的例外太多,使之無法成為有意義的原則。但這無可厚非,因為自決/控制本來既不現實,也無必要——個人就其信息如何處理有一定發言權,但不是最終發言權。

正因如此,“個人信息受保護權”(Right to Protection of Personal Data),而非信息自決/控制權Right to Data Self-determination/control),成為歐盟立法的選擇。信息保護Datenschutz)一詞源于1970年德國黑塞州的信息保護法,這是世界上該領域的首部專門法律,后經1981年歐洲理事會《數據自動化處理的個人保護公約》正式轉譯為英語中的data protection(法語為protection des données),進入國際法律文本,對歐洲各國的后續立法產生深遠影響。比如英國1984年通過的相關法律就命名為《信息保護法案》(Data Protection Act),而非此前在英語世界更為流行的隱私法案(例如美國1974年《隱私法案》)。該傳統為歐盟1995年數據保護指令、《歐盟基本權利憲章》以及GDPR所延續。相較于信息自決/控制權,個人信息受保護權一詞擯棄了個人獨占、控制信息之意味,不以個人信息本身為客體,而是指向個人在信息處理過程中應當獲得的保護。具體如何保護,則有賴于國家履行對該項基本權利的保護義務。許多國家憲法明文規定的也正是個人信息受保護權。例如《希臘憲法》第9條規定:任何人就其個人信息的收集、處理和使用,尤其是通過電子手段為之的,受到法律保護。《墨西哥憲法》第16條規定:所有人都享有個人信息受保護以及訪問、更正和刪除此類信息的權利。《阿爾及利亞憲法》第46條規定:所有人在其個人信息被處理時受到保護是法律保障的一項基本權利。有鑒于此,我國應當采用個人信息受保護權這一概念。

事實上,立法者早已做此選擇。如前所言,《民法典》確立了作為民事權利的個人信息受保護權。此外,2013年修改的《消費者權益保護法》第14條規定:消費者在購買、使用商品和接受服務時,享有個人信息依法得到保護的權利。”2016年《網絡安全法》第64條規定:網絡運營者、網絡產品或者服務的提供者侵害個人信息依法得到保護的權利的,由有關主管部門責令改正。”20214月公布的《個人信息保護法(草案)》(以下簡稱個保法草案)二審稿第2條規定:自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益?!贝颂幍摹皞€人信息權益”指的就是“基于個人信息受保護權實現而獲得保障的各種相關法益”。這些橫跨民法、經濟法、行政法等領域的立法不約而同地規定個人信息受保護權,正體現出我國的個人信息保護法律體系是以作為憲法基本權利的個人信息受保護權為概念基礎。


四、憲法基本權利視野下的個人信息保護法律體系建構


正如本文開頭所言,我國個人信息保護法律體系應置于一個能充分解釋和有效規范該體系的核心概念之上。前文已論證作為民事權利的個人信息權難以獨自擔此重任,本節基于憲法基本權利教義學,以個人信息受保護權為出發點,從其內容(“保護什么”)、功能(“如何保護”)和限制(“保護多少”)三個角度,嘗試建構我國個人信息保護法律體系。

(一)我國憲法上個人信息受保護權的內容

憲法上個人信息受保護權的內容,決定其保護范圍,因為,基本權利的內容決定了權利主體可以就何種客體提出何種主張。在確定我國憲法上個人信息受保護權的內容時,應注意以下三點:

第一,個人信息受保護權的根本目標決定該項基本權利的內容。進入數字時代,個人信息天然具有公共性、交互性,其自由流動與利用具有巨大社會和經濟價值,保護個體占有既無可能,也不必要。因此,個人信息受保護權并不意在實現信息主體對個人信息絕對、排他的控制。然而,隨著信息高速流動和廣泛利用,原本零散、偶發的個人信息處理,日漸具有規模性和持續性,經由“馬賽克效應”(Mosaic Effect),將信息主體置于前所未有的被操控、侵擾或歧視之境地,使其因數字化客體化,面臨人格尊嚴貶損的巨大風險。為扭轉這一局面,有必要讓每時每刻都在被“處理”的信息主體在此過程中重拾主體地位,確保其個人信息以合乎人格尊嚴的方式被處理。這既是我國《憲法》第38人格尊嚴不受侵犯的題中之義,也是個人信息受保護權的根本目標,即通過控制個人信息處理活動,在不限制個人信息自由流動和利用的前提下,確保個人信息處理不逾越人格尊嚴底線。個保法草案二審稿第1條規定為了保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用,制定本法,正體現了這一目標。為了彰明其憲法基礎,建議在制定本法前添加根據憲法。

第二,個人信息受保護權中“個人信息”的定義決定該項憲法權利的范圍。對此,《民法典》第1034條表述為:個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息。個保法草案一審稿、二審稿第4條表述為:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。二者都是對憲法上個人信息受保護權范圍給出的形成性定義。兩相對比,《民法典》采用識別標準,個保法草案則采用識別+關聯標準。前者是從信息到個人,由信息本身的特殊性識別出特定自然人,凡有助于識別出特定個人的信息都是個人信息;后者則還要加上“從個人到信息”,在識別出特定自然人后,該特定個人在其活動中產生的信息均為個人信息。后者的范圍大于前者。事實上,從2012年《全國人大常委會關于加強網絡信息保護的決定》,到2016年《網絡安全法》第76條,再到2017年《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,個人信息的認定標準從直接識別直接識別+間接識別再到識別+關聯,范圍漸趨擴大。在《民法典》退回到識別標準后,個保法草案又回歸識別+關聯標準。這標志著立法者在立法形成空間內,不斷調適個人信息的認定標準。但問題是:何種標準才能更好地落實憲法上的個人信息受保護權?這就涉及如何判斷基本權利的內在限制,即其本身所固有的、非外在的限制。這種內在限制不應過大,否則會不當限縮憲法保護的范圍。因此,學理上一般認為基本權利的內在限制包括“禁止明顯危害社會的行為”“暴力禁止”“尊重第三方財產”“禁止權利濫用”“惡意禁止”。在此視角下,與《民法典》的“識別”標準相比,個保法草案的“識別+關聯標準雖更寬泛,但并未突破個人信息受保護權的內在限制。更重要的是,與被識別后的特定個人關聯的信息,如個人位置信息、通話記錄、瀏覽記錄等,無疑會對個人尊嚴產生影響,也應納入憲法基本權利的保護范圍。因此,個保法草案對個人信息的定義更加符合憲法上個人信息受保護權的內涵。為避免法律沖突,對《民法典》第1034條第2款的解釋應參照該定義。這也再次說明民法規范不能作為我國個人信息保護法律體系的基本法。

第三,個人信息受保護權中“受保護”的定義決定該項憲法權利的權能。根據前述個人信息受保護權的根本目標,其所保護的并非信息主體對個人信息占有、使用、收益、處分,而是個人在信息處理過程中的主體尊嚴。為達到這一目的,當個人與信息處理者之間存在不平等關系時,通過賦予個人知情、決定、查詢、復制、更正、攜帶、刪除等一系列工具性、中介性、程序性的權利,以實現其與信息處理者之間的制衡結構,避免其淪為客體。此一工具性的“權利束”無法從作為民事權利的個人信息權那里派生而出,而只能是憲法上個人信息受保護權落實之結果。這正是個保法草案一審稿、二審稿第四章以“個人在個人信息處理活動中的權利”,而非“個人信息權”為標題的關鍵原因。當然,個人信息受保護權派生出工具性權利束,不代表一套固定的權利能“包打天下”。不同場景下,公民因個人信息被處理而面臨的尊嚴減損風險不盡相同,工具性權利束也須相應調整。后文對此將詳述。

(二)我國憲法上個人信息受保護權的功能

憲法上個人信息受保護權的功能,決定其保護方式,即個人信息保護所針對的侵害風險源以及所采用的保護手段。數字社會中,隨著數據跨境流動,來自國內外的公私主體均已成為個人信息侵害的風險源。如前所言,個人信息民事權利無法對抗公權信息處理者。要實現“全方位、無死角”的保護,必須引入作為憲法基本權利的個人信息受保護權。這是因為憲法基本權利具有雙重性質,既是一種“主觀權利”,也是一種“客觀法”。在“主觀權利”面向下,基本權利主要具有防御權功能,即對抗公權主體,國家負有避免侵害基本權利的消極(不作為)義務。此種功能下,個人信息受保護權處理國家和個人的雙方關系,在二者之間樹起屏障,防御國家在處理個人信息過程中侵害個體尊嚴。而在“客觀法”面向下,基本權利則要求國家幫助和促進基本權利實現,尤其是在基本權利受到第三方影響時,國家有為其提供保護的積極(作為)義務。此種功能下,個人信息受保護權處理的是國家—個人—第三方的三邊關系,國家為使個人尊嚴免受第三方侵害而積極提供保護。這里的第三方包括來自外國的侵害者??梢?,唯有憲法上的個人信息受保護權能同時對抗公權、私人和域外的侵害風險源。當《民法典》第111條和個保法草案二審稿第2條規定任何組織和個人”不得侵害個人信息權益時,它們并非在規定一項民事權利,而是在落實憲法基本權利。關于個人信息受保護權所對應的國家消極和積極義務如何展開,以往研究已有細致討論。此處從宏觀角度,勾勒出憲法上個人信息受保護權統攝我國個人信息保護法律體系的兩條路徑。

第一,以個人信息受保護權的主觀權利功能來對抗公權侵害個人信息的風險。無論是公權主體處理個人信息的基本原則,抑或相關具體規范,都可在此功能下得到解釋。一方面,根據《民法典》第1035條第1款,處理個人信息應征得信息主體同意,除非法律、行政法規另有規定。但這一邏輯并不適用于公權主體。一項法學常識是:私法領域奉行意思自治,以合意為行動原則,法無禁止即自由;公法領域則追求有限政府,以法定為行動原則,法無授權不可為。因此,對私人信息處理者而言,信息主體的知情同意是信息處理的基本原則,除非立法有例外規定。相反,對公權信息處理者來說,其個人信息處理活動是以法律授權而非信息主體的知情—同意為基本原則。即使信息主體同意,若無法律授權,公權主體也不能處理個人信息。這正是為什么個保法草案一審稿、二審稿第34條規定國家機關為履行法定職責處理個人信息,應當依照法律、行政法規規定的權限、程序進行,不得超出履行法定職責所必需的范圍和限度。當然,第35條還進一步規定:國家機關為履行法定職責處理個人信息,應當依照本法規定向個人告知并取得其同意。但這只是在法定的基礎上額外增加同意的要求,對公權主體處理個人信息科以高于私人處理者的標準。

另一方面,大量具體規范設定了公權主體的個人信息保護公法義務和責任。例如《民法典》第1039條規定國家機關、承擔行政職能的法定機構及其工作人員應對履職過程中知悉的個人信息保密;刑法修正案(七)對國家機關或者金融、電信、交通、教育、醫療等單位工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人以及單位犯此罪的,規定了刑事責任;個保法草案二審稿第67條規定國家機關不履行本法規定的個人信息保護義務的,由其上級機關或者履行個人信息保護職責的部門責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分”。在一些具體的行政管理領域,也有此類規范。例如《居民身份證法》第13條規定:有關單位及其工作人員對履行職責或者提供服務過程中獲得的居民身份證記載的公民個人信息,應當予以保密。《出口管制法》第29條規定:有關國家機關及其工作人員對調查中知悉的……個人信息依法負有保密義務?!毒W絡安全法》第45條規定:依法負有網絡安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。此外,《電子商務法》第25條、《契稅法》第13條、《社會保險法》第92條、《醫療保障基金使用監督管理條例》第32條、《戒毒條例》第7條等也有類似規定。然而,既有立法在落實憲法上個人信息受保護權之主觀權利面向上仍有三點缺陷:

其一,覆蓋范圍不足。重點領域立法對公權主體個人信息保護義務缺乏觀照。最典型的如2019年修訂的《政府信息公開條例》第15條維持2008年原條例將個人隱私作為公開例外的規定,對個人信息保護只字未提。2021年修訂的《行政處罰法》第50條也有此問題。同時,個保法草案未能囊括全部公權信息處理者,后者包括如下三類:國家機關、準國家機關(即行使公權力的非國家機關)以及相關工作人員。個保法草案一審稿第四章僅涉及國家機關,二審稿第37條增加了法律、法規授權的具有管理公共事務職能的組織,但均未涵蓋相關工作人員。而且根據《行政訴訟法》第2條,規章授權組織也屬于準國家機關,理應反映在個保法草案中。

其二,規范密度過低。除個保法草案外,既有立法大多只是設定了公權主體的個人信息保密義務,對其收集、存儲、使用、加工、提供、公開個人信息等活動疏于規范。即使是個保法草案,也只是辟出一小節、五個條文來設立“國家機關處理個人信息的特別規定”,對許多問題依舊語焉不詳。例如個保法草案一審稿第36條曾規定:國家機關不得公開或者向他人提供其處理的個人信息,法律、行政法規另有規定或者取得個人同意的除外。這一條在二審稿中被刪去,國家機關公開、提供個人信息的活動由此失去明確的法律規范。

其三,特別規定缺位。既有立法未能充分反映公權主體在個人信息保護方面的特殊性。一方面,針對公權和私人處理者,信息主體享有的工具性權利是不同的。個保法草案一審稿、二審稿第四章確立一系列“個人在個人信息處理活動中的權利”,包括知情權、決定權、查閱權、復制權、更正權、補充權、刪除權等。草案第33條進一步規定:國家機關處理個人信息的活動適用本法,除非有特別規定。征諸國家機關處理個人信息的特別規定一節,并無關于個人面對國家機關處理者所享有工具性權利的特別安排。這無疑是一種缺漏,因為不能以同一套工具性權利束同等適用于國家機關。例如美國《隱私法案》就只規定公民對聯邦政府的信息處理活動享有知情權、查閱權、復制權、更正權、補充權,而未規定刪除權。英國2018年《數據保護法案》(Data Protection Act)設定了專門針對刑事執法、司法(Law Enforcement)機關和情報(intelligence)部門的信息主體工具性權利束,包括查閱權、更正權、刪除權、限制處理權,但不包括GDPR規定的可攜權。即便是同一工具性權利,對公權處理者和私人處理者的要求也不一樣。以刪除權為例,根據個保法草案一審稿、二審稿第47條第3項,個人撤回同意是信息處理者刪除個人信息的正當事由,但這只對私人處理者適用,無法適用于公權處理者。另一方面,針對公權和私人處理者,個人信息保護機制也應有所區別。個保法草案二審稿第七章規定了個人信息處理活動違法侵權的法律責任,但其中大部分內容只適用于私主體,例如第65、70條規定的行政處罰,以及第68條規定的侵權損害賠償責任,因為該條遵循的過錯推定原則與《國家賠償法》上的違法責任原則大相徑庭。個保法草案專門為公權主體個人信息違法侵權設定的法律責任僅有第67條規定的行政系統內部責令改正和處分,缺乏包括行政復議、訴訟和國家賠償在內的監督救濟機制。

綜上所述,現有立法未能有效落實憲法上個人信息受保護權的主觀權利功能。建議盡快制定一部針對公權信息處理者的專門立法,就信息處理原則、義務、信息主體的工具性權利、違法侵權責任等作出系統性規定,并暢通行政復議、訴訟和國家賠償等監督救濟渠道,彌補我國個人信息保護法律體系的重大缺失。

第二,以個人信息受保護權的客觀法功能來對抗私人和域外個人信息侵害風險源。作為客觀法的基本權利有三種功能:一是“制度性保障功能”,即“立法者必須建構相關法律制度以形塑基本權利之內涵,為基本權利的保障提供制度性支持”;二是“組織和程序保障功能”,即“設立適當的組織機構和程序來落實基本權利的保障”;三是“侵害防止功能”,即“建立具體制度,通過這些制度的運行,保護個人免受第三人的侵害”。林林總總的現行個人信息保護立法皆可在這些功能下獲得解釋,茲舉幾例:

制度性保障功能下,早在2012年,全國人大常委會《關于加強網絡信息保護的決定》就開宗明義地指出國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。隨后,無論是《刑法》《民法典》,還是《網絡安全法》《數據安全法》《個人信息保護法》,都是在為個人信息受保護權提供制度性支持。個保法草案二審稿第11條更是明確承諾:國家建立健全個人信息保護制度。組織和程序保障功能下,個保法草案二審稿第59條確定由國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作”。這雖有多頭監管之嫌,但本意是為了建立組織機構來保障個人信息受保護權。侵害防止功能下,個人信息保護領域已建立起的民法侵權、行政監管以及刑事處罰制度,都旨在保護個人信息免受他人侵害。個保法草案二審稿第3條規定域外效力、第12條規定國家促進個人信息保護方面的國際交流與合作、第38-43條規定個人信息跨境提供規則,則是在落實國家保護境內信息主體免受域外侵害的義務。

當然,憲法上個人信息受保護權的客觀法功能如何具體落實,立法機關自有形成空間,但總體上應遵從基本權利教義學,把握如下三點:

首先,堅持憲法權利與部門法權利的互動性。這是基本權利間接第三人效力(Mittelbare Drittwirkung der Grundrechte)所要求的。如前所言,我國憲法上的個人信息受保護權,經由客觀法面向的制度性保障功能,落實到民法、經濟法、行政法上,就成為相應部門法上的個人信息受保護權。在此意義上,后者是前者的具體化。但這并不表示后者就是前者的原樣照抄。近年來,有學者對基本權利第三人效力展開批評,核心理由是基本權利傳統上僅處理公民與國家之關系,若搬來解決公民與公民之關系,將造成錯配,甚至會威脅私人自治,因為憲法權利和民法權利在調整對象、規范強度、權利內容、權利目的等方面迥異。這印證了前文關于區分對抗私人主體的個人信息受保護權和對抗公權主體的個人信息受保護權、對后者作特別規定的主張,但并不取消憲法上個人信息受保護權的客觀法功能,因為其本身具有“一階價值”,可通過價值輻射對私法關系產生間接第三人效力,在尊重民法等部門法獨立形成空間的前提下,要求部門法在憲法框架內行使形成自由,從而使憲法和部門法上的個人信息受保護權實現“和而不同”。

其次,實現個人信息侵害風險源覆蓋的整全性。這是部門法保護基本權利的不足禁止(Unterma?verbot)原則所要求的。如前所言,唯有憲法上的個人信息受保護權才能對抗各類個人信息侵害風險源,具體落實有賴于部門法形成。就侵害風險源而言,除前文提及的公權和域外主體,還包括私人主體,根據其與信息主體的關系可分為三類:

一是“不平等關系”下的私人處理者,例如作為雇主的私人處理者,其對作為雇員的信息主體不僅擁有“數據權力”(DataPower),還有因雇傭關系而生的支配地位。例如根據《勞動合同法》第8條,用人單位招用勞動者時,有權了解勞動者與勞動合同直接相關的基本情況,勞動者應當如實說明。個保法草案二審稿第13條也規定為訂立或者履行個人作為一方當事人的合同所必需的,可不經同意處理個人信息。盡管如此,為了確保雇員在雇主處理其個人信息過程中的尊嚴地位,勞動法上也對雇員個人信息保護做出了專門規定。例如《就業服務與就業管理規定》第13條就要求:用人單位應當對勞動者的個人資料予以保密。公開勞動者的個人資料信息和使用勞動者的技術、智力成果,須經勞動者本人書面同意。但目前我國勞動法缺乏對雇員個人信息保護的系統規定,須進一步完善。

二是“準平等關系”下的私人處理者,例如提供產品或服務的私人處理者(典型的如平臺),其對作為消費者的信息主體具有數據權力,但不具有其他支配地位。個保法草案正是通過賦予個人工具性權利束,來平衡這種場景下的“非對稱權力結構”。同時,傳統上旨在調節市場不平等關系的經濟法在此也有用武之地,例如《電子商務法》《消費者權益保護法》對特定語境中的個人信息保護作出規定。

上述兩種情形下,私人處理者和信息主體之間都存在“持續不平等信息關系”,既有研究認為這是個人信息保護法律制度適用的前提。但這是不完整的,因為還有第三類個人信息侵害風險源,即“平等關系”下的私人處理者,其對信息主體并無系統、持續的數據權力,但仍可能侵害個人信息,典型的如黑客、因職務而處理個人信息的人員等。此類私人主體并不構成個保法草案二審稿第72條規定的個人信息處理者,即自主決定處理目的、處理方式等個人信息處理事項的組織、個人,故不適用《個人信息保護法》,信息主體對其也不享有工具性權利。但這并不意味著此類私人主體逃逸出我國個人信息保護法律體系。例如《刑法》第253條規定的侵犯公民個人信息罪的行為主體,就從刑法修正案(七)的國家機關或者金融、電信、交通、教育、醫療等單位工作人員,經刑法修正案(九)擴展到一切主體。但該罪的保護范圍局限于信息收集環節,未對信息收集之后的侵害個人信息行為提供刑法觀照,距離侵害風險源全覆蓋之要求仍有差距。

以上分析表明:為落實基本權利保護的不足禁止原則,我國個人信息保護法律體系應全面覆蓋各類個人信息侵害風險主體和行為。不同部門法須在這一共同目標下各安其位、各負其責,協力形成和保障憲法上個人信息受保護權,不存在孰為基本法的問題。

第三,追求個人信息保護手段的適當性。這是功能適當(Funktionsgerechte Organstruktur)原則所要求的。該原則指向國家決策的正確性和理性化,使國家運作更有效率,更妥當地實現國家的各項任務。個人信息受保護權的客觀法面向要求國家履行積極保護義務,功能適當原則要求國家理性、高效地履行這種義務。上文提及的針對不同個人信息侵害風險源,配以不同部門法保護,正是在落實該原則。個人信息保護立法的三種執行手段也應符合該原則:

一是公共執行(Public Enforcement),即公權機關的監管、執法、處罰等。由于私人信息處理者的技術、資本優勢,信息主體個人維權難以應對,故行政監管部門的公共執行應成為個人信息保護立法的主要執行手段。這也是為什么個保法草案二審稿第五章詳細列舉個人信息處理者的義務,其目的正在于從公法上對信息處理者提出合規要求,為高額罰款、停產停業等公共執行手段奠定基礎。當然,公共執行畢竟資源有限,個人信息處理者也往往借助其技術優勢逃逸監管。由此,基于行政法上的元規制Meta-regulation)或內部管理型規制”(Management-based Regulation)理念,個保法草案第57條增設提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者(所謂守門人)的特殊合規義務,正是為了提高監管效能,體現了功能適當原則。此外,與GDPR建立一站式監管機制Onestop-shop Mechanism)不同,個保法草案二審稿第59條采用了國家網信部門統籌協調、其他有關部門在職責范圍內負責個人信息保護工作的多頭治理模式,未能清晰、細致地明確各監管部門之間的權責分工與界限,難以避免權限重疊沖突、執法尺度不一等問題,不利于個人信息保護監管執法的高效開展,有違功能適當原則,亟待改善。

二是私人執行(Private Enforcement),即個人維權訴訟。相較于公共執行,面對擁有數據權力的個人信息侵權者,私人執行面臨取證難、成本高、賠償低的困境。個保法草案二審稿第68條明確規定個人信息侵權的過錯推定責任,正是為了強化私人執行,落實功能適當原則。但如前所言,個人信息侵害主體并不一定具有數據權力。對平等關系下的侵害主體適用過錯推定責任并無必要。因此,民法學界提出個人信息侵權的二元歸責原則體系,區分采用和未采用自動化系統的侵權者,前者適用過錯推定責任,后者適用一般過錯責任。這同樣體現了功能適當原則。除民法侵權訴訟外,個人信息保護立法的私人執行還應包括刑事自訴。根據2020年修訂的《最高人民法院關于適用〈中華人民共和國刑事訴訟法〉的解釋》第1條,侮辱、誹謗案屬于刑事自訴案件,嚴重危害社會秩序和國家利益的除外。鑒于個人信息侵權和侮辱、誹謗一樣都可能嚴重危害公民個人尊嚴,建議將嚴重侵害個人信息受保護權,民事責任不足應對,但還未達到嚴重危害社會秩序和國家利益程度的情形納入刑事自訴案件范圍,以進一步提高個人信息保護立法的執行效率。

三是社會執行(Social Enforcement),即公權機關和公民個人以外的社會組織來執行個人信息保護法律。較之公權監管,它成本更低;較之私人維權,它更集中有力。以社會執行來補充公權監管、私人維權,符合功能適當原則。據此,個保法草案二審稿第69條規定:個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,國家網信部門確定的組織可以依法向人民法院提起訴訟。當然,哪些組織在何種條件下可以提起此種公益訴訟,還有待細化規定。

(三)我國憲法上個人信息受保護權的限制

如前所言,個人信息受保護權并非絕對權,而是受到限制的,但這種限制本身也要受到限制。根據基本權利教義學,對基本權利限制的限制包括形式和實質兩方面,前者指法律保留原則,后者指比例原則。據此,個人信息受保護權并不禁止處理個人信息,而是要求處理活動符合法定條件和比例原則,由此確保個人尊嚴。在此視野下,既有個人信息保護立法可得到解釋:

首先,《民法典》第1035條規定處理個人信息應當遵循合法原則。個保法草案二審稿第5條也規定處理個人信息應當采用合法方式,第10條要求任何組織、個人不得違反法律、行政法規的規定處理個人信息,第13條明文列舉了七項個人信息處理的合法性基礎?!毒W絡安全法》第41條要求網絡運營者依照法律、行政法規的規定處理其保存的個人信息。這些規范均表明處理個人信息必須符合法定條件。其次,《民法典》第1035條規定處理個人信息應當遵循正當、必要原則,不得過度處理。個保法草案二審稿第6條規定,處理個人信息應當具有明確、合理的目的,并應當限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式,不得進行與處理目的無關的個人信息處理”;第13條要求處理個人信息應限定在為履行法定職責、訂立合同、應對突發公共衛生事件等合法目的所必需的范圍內;第27條規定,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需。這些規范都是在落實過度禁止überma?verbot)要求,防止個人信息處理突破比例原則的邊界。

然而,實踐中仍存在違反法律保留原則和比例原則限制個人信息受保護權的現象。例如20209月,蘇州政府推出蘇城文明碼,意在作為警示和懲戒綜合文明指數低于下限人員的電子憑證以及外來人口積分入戶志愿服務電子憑證,但這一個人信息處理行為并無法律、行政法規依據。即便有法定依據,某些信息處理行為也不符合比例原則,具體包括兩種情形:第一,缺乏正當目的。比例原則首先要求限制基本權利具有目的正當性,即目的本身合憲。以我國的人事檔案制度為例。根據《干部檔案工作條例》第31條和《企業職工檔案工作管理規定》第17條,任何個人不得查閱本人檔案。人事檔案包含大量個人信息,個人理應擁有查閱權。上述規定剝奪這種查閱權,源于革命運動年代查驗、考核干部、保障組織和國家安全的需要。時至今日,這種人身依附性濃重的制度安排,在國家尊重和保障人權的憲法誡命下,已然失去目的正當性,亟待改變。第二,超出必要范圍。比例原則要求限制基本權利是為了達到正當目的所必需。自2019年底新冠疫情爆發后,各地政府紛紛建立個人健康碼系統,作為數字化疫情監控的重要工具。但隨著疫情防控進入常態,各地都在考慮如何常態化使用健康碼。杭州就曾提出改造健康碼,來集成電子病歷、健康體檢、生活方式管理的相關數據,建立個人健康指數排行榜,甚至對樓道、社區、企業等健康群體進行評價。這種個人信息的收集和使用已經遠超防疫所必需,違反比例原則。因此,有必要根據憲法上個人信息受保護權的要求,對疫情防控常態化后的健康碼制度展開系統反思與改造。


五、結語


2000年全國人大常委會《關于維護互聯網安全的決定》以降,我國的個人信息保護法律制度已發展二十余載,形成了一套橫跨民法、行政法、刑法、經濟法、勞動法等部門法的規范體系。其中,《民法典》首次從民事基本法的高度確認個人信息受法律保護,歷史意義非凡。民法學者多年的深入討論和扎實積累,也為推動我國個人信息保護法制發展做出了不可磨滅的貢獻。然而,以民事權利為個人信息保護法律體系概念基礎的主流觀點,在理論和實踐上都值得反思,民事權利難以獨擔統率我國個人信息保護法律體系之重任。因此,有必要將視野提升至憲法層面,以域外經驗為鏡鑒,重新解釋我國《憲法》第38條,發現作為基本權利的個人信息受保護權。較之民事權利基礎論,以憲法上的個人信息受保護權為概念基礎,對建構我國個人信息保護法律體系具有三方面的優化意義。第一,厚基礎,即作為基本權利的個人信息受保護權可以為民法、行政法、刑法等具體領域的個人信息權益提供憲法依托;第二,全覆蓋,即個人信息受保護權的主觀權利和客觀法面向要求國家承擔消極與積極保護義務,由此能充分覆蓋各類個人信息侵害風險源;第三,規范化,即基本權利間接第三人效力、不足禁止、功能適當、法律保留、比例原則等憲法教義,能為進一步完善個人信息保護法律制度和實踐提供規范指引??傊?,以憲法上個人信息受保護權為基礎,能建構出一套基礎更穩固、內容更完整、結構更合理的個人信息保護法律體系。該體系可由下圖來直觀展示:



版權所有:法治政府研究院北京市海淀區西土城路25號郵編:100088

站長統計 聯系我們

麻豆画精品