论个人信息权益的构造

【案例】

《中外法学》2021年第5期 ▏张新宝：论个人信息权益的构造

论个人信息权益的构造 

张新宝

中国人民大学法学院教授

摘要：个人信息权益的权益构造，包括内部构造和对外部其他主体相关权益的支配关系两个部分，由个人信息保护法治的价值取向所决定。个人信息权益的内部构造由“本权权益”与保护“本权权益”的权利构成。个人信息权益之“本权权益”主要包括人格尊严、人身财产安全以及通信自由和通信秘密等利益,但不包括财产利益；保护“本权权益”的权利主要包括同意(或拒绝)的权利以及知情、查阅、复制、转移、更正、补充、删除、请求解释说明等权利。个人信息权益对处理者和国家机关获得的个人信息数据同时具有外部约束力。处理者对合法处理所得的个人信息数据享有财产利益，但该数据受到个人一定程度的支配，除非其已经过匿名化处理。国家机关获得的个人信息数据同样受制于个人信息权益，但是国家机关对个人信息数据不享有财产利益，并且应当依法依规向社会积极开放其控制的数据资源，释放政府数据红利。

关键词：个人信息权益  个人信息数据  内部构造  外部约束力  “两头强化，三方平衡”

目录：

一、基于“两头强化，三方平衡”理论的个人信息权益构造

二、个人信息权益的“本权权益”

三、保护个人信息“本权权益”的权利

四、个人信息权益对处理者获得的个人信息数据的约束力

五、个人信息权益对国家机关获得的个人信息数据的约束力与公共数据开放

六、结论

我国个人信息保护法已经颁布。法律使用了“个人信息权益”“个人在个人信息处理活动中的权利”等概念，《中华人民共和国民法典》（以下简称《民法典》）也明确保护个人信息，同时规定网络虚拟财产和数据作为财产性质的权利（权益）受到法律保护。从理论上深刻揭示个人信息权益的权利和利益构造，澄清个人对其个人信息在人格尊严、人身财产安全以及通信自由和通信秘密等方面的利益及其个人信息的非财产性，个人对一般个人信息处理者[1]因处理个人信息而获取的相关个人信息数据的财产利益之约束力，以及国家机关对其处理的个人信息之非财产利益和公共属性，对于我们正确理解我国个人信息保护法的价值取向和实施相关规定，保护个人的个人信息权益、界定个人信息处理者相关财产权益的性质、促进国家机关依法依规处理个人信息及开放公共数据，都具有重要意义。

一、基于“两头强化，三方平衡”理论的个人信息权益构造

在个人信息保护法治中，存在一组需要相互平衡的利益关系：一方面，个人信息的处理可能给个人的人格尊严等利益带来一定风险；另一方面，个人信息的合理利用和数据的自由流动是发展数字经济和提升政府治理能力的重要推动力。基于此，世界各国普遍将平衡个人、信息业者[2]（一般个人信息处理者）与国家三者之间的关系作为个人信息保护立法的主要目的。欧盟《通用数据保护条例》第1条第1款规定：“本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。”其“前言”部分第2条也明确指出：“本条例意在促进创立一个自由、安全与正义的领域和经济联盟、推动经济和社会进步、加强欧盟内部市场的经济融合，以及维护自然人的福祉。”印度、菲律宾、南非、日本等国家的个人信息保护立法也作出了与此相类似的规定。[3]同时，以识别性为判断标准的个人信息范围非常广。为了妥善实现这组利益关系的平衡，法律有必要对个人信息作出适当分类，并为不同类型个人信息的处理制定相应的规则。世界各国普遍采取的分类方式是将个人信息划分为敏感个人信息与一般个人信息，并对前者进行特殊保护。[4]例如，欧盟《通用数据保护条例》第9条对特殊类别个人数据的处理作出了特别规定。美国加利福尼亚州于2020年11月3日通过的《加州隐私权法案》在《加州消费者隐私法案》的基础上，对敏感个人信息进行了单独归类、定义并设定了专门的保护条款。[5]由此可见，构建以“两头强化，三方平衡”[6]为理论基础的个人信息保护法律制度已成为世界趋势。个人信息保护法治的价值取向不是单一的，而是多元、兼容并包的；其追求的不是个人、信息业者（一般个人信息处理者）或者国家某一方利益的全部实现，而是三方利益的相互平衡。各方主体在其核心利益得到法律充分保护的前提下，应当将其非核心利益让渡给其他主体，从而实现“多赢”和“共和”。

与国际趋势相适应，我国的个人信息保护法律制度也遵循“两头强化，三方平衡”的理念。《关于〈中华人民共和国个人信息保护法（草案）〉的说明》指出：“应当统筹个人信息保护与利用，通过立法建立权责明确、保护有效、利用规范的制度规则，在保障个人信息权益的基础上，促进信息数据依法合理有效利用，推动数字经济持续健康发展。”[7]基于此，自草案一审稿以来，个人信息保护法始终将保护个人信息权益、规范个人信息处理活动与促进个人信息合理利用作为其立法目的。[8]《数据安全法》第7条规定：“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。”在私法领域，《民法典》第111条和第127条对个人信息和数据的私法保护分别作出规定，将前者作为人格权益予以保护，将后者作为财产权益予以保护，以平衡不同民事主体之间的利益关系。2021年7月6日颁布的《深圳经济特区数据条例》同样遵循了前述价值取向，其第二章、第三章和第四章分别对个人数据、[9]公共数据以及数据要素市场作出规定，展现了数据的不同价值维度。依照《深圳经济特区数据条例》第9条、第37条、第58条以及其他相关条文的规定，其既保护自然人与个人数据相关的各项合法权益，也保护公共管理和服务机构对数据享有的社会管理利益，同时保护市场主体对数据产品和服务享有的经济利益。法学界也有观点认为，个人信息保护必须结合本国政治、经济、文化等社会环境，提炼社会的共同认知，形成既保护个人尊严和自由，又能够促进个人信息合法使用的规则。[10]要实现大数据利用与个人信息保护之间的协调发展，离不开信息主体、信息控制者、管理者三者之间的多维治理结构。[11]

为了实现个人、信息业者（一般个人信息处理者）与国家三方利益的平衡，《个人信息保护法》确立了多层级、多维度的个人信息保护规范体系。从《个人信息保护法》的体例来看，其确立的法律规范大致可以划分为三个层级：第一个层级是个人的个人信息权益。《个人信息保护法》第2条规定：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”该条文位于立法目的条文之后，规定个人信息是一项个人享有的权益，将个人信息对于个人的人格尊严等价值作为立法中首要考虑的因素，[12]同时也是其他个人信息保护法律规范展开的基石。第二个层级是个人信息处理活动中各方的权利义务关系。首先，《个人信息保护法》第5-9条规定了个人信息处理的基本原则，构成有机、完整、统一的价值体系，为法律解释与规范续造提供了相应的依据；其次，《个人信息保护法》第二章规定了个人信息处理的一般规则与特别规则，构建起个人信息处理活动规范化的基本框架；最后，《个人信息保护法》第四章、第五章和第六章分别对个人在个人信息处理活动中的权利、个人信息处理者的义务以及履行个人信息保护职责的部门作出规定，从个人、信息业者（一般个人信息处理者）与国家三个维度出发，明确三方主体在个人信息处理活动中所扮演的不同角色。第三个层级是违法行为的法律责任，其中既包括处理者违法处理个人信息的民事责任、刑事责任和行政责任，也包括国家机关不履行个人信息保护义务而应当承担的行政系统内部责令改正、给予处分等公法上的责任，为个人信息权益提供法律上的综合保护。

在个人信息保护规范体系中，个人信息权益是一个基础性、关键性的概念。个人信息权益的内涵决定了个人的何种利益在个人信息处理活动中能够得到保护，其外延决定了个人对其个人信息的支配力能够延伸到何处。“两头强化，三方平衡”理论作为个人信息保护法的一种基础理论，在个人信息权益构造的教义学阐释中发挥着决定作用。“两头强化，三方平衡”理论强化敏感个人信息的保护表明，个人信息权益的核心利益在于人格尊严以及人身财产安全等利益，法律对个人信息权益的保护应当围绕此等利益的保护展开；强化一般个人信息的利用表明，个人应当将其非核心利益让渡给信息业者（一般个人信息处理者）与国家，此等非核心利益不属于个人信息权益的范畴。个人信息权益的构造服务于个人、信息业者（一般个人信息处理者）与国家之间的利益平衡，因此有必要识别三方主体在个人信息处理活动中的利益需求，并对权利和利益进行适当配置，以促进三方平衡的实现。

一般而言，一项具有“对世性”的权利（权益）由“本权权益”与保护“本权权益”的权利两个方面构成。一方面，法律规定权益主体享有某项权益必然表明其享有受法律保护的特定利益，[13]而“本权权益”即是此等利益的类型化集合。在部分情况下，法律会对某项权益之“本权权益”的内容作出明确规定。例如，依照《民法典》第240条的规定，所有权人对自己的不动产或者动产，依法享有占有、使用、收益和处分的权利。所有权人享有的此等权利即属于所有权的“本权权利”。在部分情况下，法律仅规定权益主体享有某项权益，但对其“本权权益”的内容未作出规定，此时需要通过法律解释对“本权权益”的内容予以明确。例如，《民法典》第1032条仅规定自然人享有隐私权，但未规定自然人对其隐私具体享有何种利益。学理上一般认为，隐私权之“本权权利”的内容是自然人有权根据其自主意愿维护其隐私的私密状态，或者以某种方式利用、公开其隐私。[14]另一方面，某项权益经由法律规范予以确认后即受到法律保护，其他主体不得非法侵害。例如，依照《民法典》第3条的规定，民事主体的合法权益受法律保护，任何组织或者个人不得侵犯。当“本权权益”遭受非法侵害时，法律在多数情况下会赋予权益主体相应的救济措施，由此产生权益主体保护“本权权益”的权利。例如，依照《民法典》第235条和第236条的规定，当物权遭受非法侵害时，权利人可以主张返还原物、排除妨害或者消除危险等物权请求权。此等请求权本身不产生或者包含任何实际的人身和财产利益，因而并非物权的“本权权利”，而是权利人保护其“本权权利”的法律手段。

与典型的民事权益相比，《个人信息保护法》所规定的个人信息权益在权益构造方面存在一定的特殊之处。个人信息权益的构造取决于个人信息处理活动中个人、信息业者（一般个人信息处理者）以及国家三方主体之间的利益关系，因此在对个人信息权益的构造作教义学阐释时，不仅应当探讨其内部构造，还应当探讨其对处理者和国家机关的外部约束力，由此才能清晰地界定个人信息权益的内涵与外延。

就内部构造而言，个人信息权益同样由“本权权益”与保护“本权权益”的权利构成。虽然《个人信息保护法》未对个人信息“本权权益”的具体内容作出明确规定，但可通过法教义学的方法对相关利益进行类型化分析和揭示，进而确定其具体内容。在《个人信息保护法》颁布前，法学界对个人信息“本权权益”的民事权益性质已有较为充分的认识，[15]《民法典》第111条以及第1034-1039条也将个人信息规定为一项民事权益。在对个人信息保护法草案二审稿进行审议的过程中，有的常委委员和社会公众、专家提出，我国宪法规定，国家尊重和保障人权；公民的人格尊严不受侵犯；公民的通信自由和通信秘密受法律保护。制定实施个人信息保护法对于保障公民的人格尊严和其他权益具有重要意义。[16]基于此，正式通过的《个人信息保护法》第1条增加规定了“根据宪法”制定本法的内容，彰显出个人信息“本权权益”的宪法权益性质。

由于个人信息“本权权益”兼具公法与私法双重性质，其保护不仅需要个人积极参与，同时还有赖于国家规制。[17]作为宪法权益，个人信息权益的保护需要国家落实“个人信息国家保护义务”, [18]主动介入并防范个人信息处理活动中可能存在的风险。作为民事权益，个人信息权益的保护需要其他民事主体履行相应的民事义务，并在不法侵害此等权益时承担相应的民事责任。此外，个人信息权益的保护还涉及刑法、消费者权益保护法等诸多法律。作为主要规范个人信息处理活动的法律，《个人信息保护法》第六章对“履行个人信息保护职责的部门”作出规定，要求国家主动介入个人信息处理活动并积极履行相应职责，有利于营造良好的外部制度环境，促使处理者更好地保护个人信息权益。与此同时，《个人信息保护法》第四章还规定了个人在个人信息处理活动中享有的权利，为个人信息权益的保护提供了特别的法律手段。此等权利归属于特定个人，可由个人主动行使，在个人信息“本权权益”的保护方面发挥直接作用。由此可见，个人信息权益的保护需要整个法体系的协同配合，而在《个人信息保护法》的框架下，个人信息权益的内部构造依然由“本权权益”与保护“本权权益”的权利构成。

就外部约束力而言，个人信息经过处理者或者国家机关处理后成为“个人信息数据”。一方面，个人信息数据属于处理者和国家机关所控制的数据的组成部分，二者对处理个人信息而获得的个人信息数据是否享有某种权益，应当予以探讨和揭示；另一方面，个人信息数据承载着个人信息，处理者或者国家机关处理个人信息数据包含数据处理和个人信息处理两个维度，后者应当受到个人信息权益的制约。个人信息权益的外部约束力，即表现为个人对处理者和国家机关获得的个人信息数据的支配力。

综上，本文将从“本权权益”与保护“本权权益”的权利两个方面解析个人信息权益的内部构造，并在此基础上分别讨论个人信息权益对处理者和国家机关处理个人信息获得的个人信息数据的外部约束力，由此形成本文第二至第五部分。

二、个人信息权益的“本权权益”

（一）个人信息“本权权益”的具体内容

我国《宪法》第33条第3款规定：“国家尊重和保障人权。”在大数据时代，数字科技的不断发展对人权保障提出了新的要求。有观点认为，目前人类社会正在迎来第四代人权，而数字人权是其中最显赫、最重要的新兴权利。[19]由于个人信息具有可识别性，其连接着作为主体的人与作为客体的信息，处理者处理个人信息的过程同时也是不断识别特定个人的过程。但是，以算法为代表的分析工具在处理个人信息时并未考虑其承载的人格因素，由此导致个人面临在个人信息处理活动中被客体化的风险。“在数字科技面前，我们必须警惕和防范数字科技的滥用，杜绝数字科技对人权的侵害。”[20]故此，国家有必要以人权保障为价值取向，通过立法形式确立对个人信息权益的保护，从而确保个人在个人信息处理活动中重拾主体地位。《个人信息保护法》第1条规定：“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。”其中“根据宪法”的措辞表明，个人信息权益保护对于人权保障具有重要意义。具体而言，个人信息权益所涵盖的个人利益大致可以分为以下三类。

1.个人的人格尊严

《宪法》第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”《民法典》第109条规定：“自然人的人身自由、人格尊严受法律保护。”通过规范个人信息处理活动，在不限制个人信息自由流动和利用的前提下，确保个人信息处理不逾越人格尊严底线，是我国宪法和民法的共同要求。[21]此等利益具体而言又可分为四个方面：

其一，个人信息处理可能将个人自治置于危险之中，因为它可能妨碍个人在没有通过扭曲或外力操纵的情况下自主选择并自由生活的能力。[22]例如，在商业领域，企业通过收集和分析个人的浏览记录、购买记录、交易方式等信息，可以对网络用户进行用户画像和精准营销。[23]基于大数据的个性化服务可以提升商业效率，但同时也会导致个人困于信息茧房，使其只能接受到有限的、定制化的信息，限制其对世界的认知，[24]并进一步影响与引导个人的观点和行为，减少其作出自主选择的可能性。当大数据技术被滥用时，企业甚至会借个性化之名对个人进行强迫、说服或操纵。此种负面效应还有可能不断累积并导致连锁反应，对个人生活及其人格的自我发展产生持久的影响。[25]个人作为独立主体，对其个人事务应当有权自主决定，而不是在个人信息处理活动中“被决定”。[26]

其二，个人信息处理可能导致个人的“信息化形象”与其真实人格不符。在信息社会，个人的“信息化形象”是其人格的外在标志，也是他人认识的重要媒介。但是，个人信息作为处理活动所依赖的原材料可能不准确、不完整，或者处理者采用的处理方式可能存在缺陷，个人信息处理所勾勒出的“信息化形象”与个人的真实人格可能存在一定偏差，进而导致个人的人格尊严遭受侵害。只有消除个人对“信息化形象”被他人操控的疑虑和恐慌，保持其信息化人格与其自身的一致性而不被扭曲，个人才能有自尊并受到他人尊重地生存与生活。[27]

其三，个人信息处理可能引发针对特定个人或者群体的歧视，制造或者加剧社会不平等。一方面，处理者可能会利用技术手段有意地追求某种歧视性目的。例如，部分商家滥用市场支配地位，利用大数据分析、算法等技术手段分析客户的个人信息，基于成本或正当营销策略之外的因素，对同一商品或服务在同等交易条件下设置不同价格，进而侵害消费者的公平交易权与知情权等合法权益。另一方面，个人信息处理可能会成为社会中原本存在的隐性歧视得以再次表达的新载体。个体层面的内隐偏见和社会层面的结构性不平等会不断诱导算法输出否定个人尊严、错配社会资源的歧视性结果，缓慢但持续地侵蚀社会关于平等的基本共识。[28]例如，谷歌公司的某种搜索引擎算法可能导致非洲裔美国人的相关名称与犯罪相关的信息被更多地联系在一起，尽管程序员在设计算法时并未主动追求此种结果。[29]个人信息处理所带来的隐性歧视在大数据时代普遍存在，个人在很大程度上也很难察觉或者证明自己正在遭受歧视。而算法等大数据技术理应有更多社会担当，在法律治理的框架下消除或减少歧视，促进社会平等的实现。[30]

其四，个人信息处理可能导致个人的私密信息遭受刺探、侵扰、泄露或公开，对个人隐私构成侵害。依照《民法典》第1032条第2款以及第1034条第3款的规定，私密信息属于个人信息与隐私的重合部分。随着侵入性技术的发展，处理者可以发掘更多涉及私人生活的个人信息。当私密信息被不受限制地收集和分析时，个人会感受到自己被窥探或监视，并丧失以私人和舒适的方式行动的自由，以及减少社会化关注、使其个性分支得以生长的自由。[31]私密信息的曝光还可能构成对个人人格的欺辱，导致其遭受精神上的痛苦。为了维护个人作为社会成员的受尊重地位，法律应当保护其私密信息不为他人所知或干预的利益。

2.个人的人身财产安全

作为社会交往的工具，个人信息本身没有社会危害性。但是，个人信息具有识别特定个人的功能，如果其被用于从事违法犯罪活动，就有可能危害到个人安全。[32]例如，犯罪分子掌握的个人信息越多，就越容易描绘出信息主体的个人特征，进而利用其实施网络攻击、精准诈骗、身份盗窃、敲诈勒索等犯罪行为。[33]尤其是敏感个人信息的泄露很有可能引发社会中存在的固有歧视，使得个人的人格尊严受损，或者导致个人的人身财产安全遭受下游违法行为的严重威胁。在《中华人民共和国民法总则》的制定过程中，徐玉玉被电信诈骗案[34]以及清华大学教授被骗案[35]等电信诈骗案件使得个人信息保护问题受到立法机关的高度重视。[36]近年来，诸如Facebook数据泄露事件等数据安全事件的频繁发生也不断激起社会公众对个人信息安全的普遍担忧。[37]

严格来说，当个人信息被非法利用进而导致个人的人身财产安全面临威胁时，个人信息在其中仅起到媒介或者手段的作用，最终遭受侵害的往往是个人的其他人身财产权益。[38]但是，个人信息在保护个人的人身财产安全方面具有“闸口效应”。只要个人信息这一“闸口”能够得到良好的控制，个人遭受侵害的后续风险便会显著降低，故此有必要将个人的人身财产安全类型化为一种个人信息承载的个人利益。通过个人权利的制衡，可以有效防止处理者对个人信息进行过度处理，确保其处理活动在收集、存储等环节符合目的原则的限制。例如，个人可通过不同意处理者收集其个人信息或者请求处理者删除其个人信息等方式降低其个人信息被非法利用的风险。在此意义上，个人对其个人信息享有的人身财产安全利益在一定程度上具有人格自决权的性质：个人的安全应当由自己决定，而非由处理者决定。

3.个人的通信自由和通信秘密

《宪法》第40条规定：“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”通信自由指人与人之间通过媒介进行信息交流与传递的自由，而通信秘密则指通信内容和其他通信信息不为其他人知悉或获取的权利。在个人信息处理活动中，个人的通信自由与通信秘密可能以多种形式遭受其他主体的非法侵害。例如，处理者以个人不同意处理其个人信息或者撤回同意为由拒绝提供通信服务，可能构成对通信自由的侵害；手机App等互联网应用擅自收集用户通讯录、短信内容、通话记录等信息，可能构成对通信秘密的侵害。[39]此外，处理者应当建立并完善个人信息安全保护制度，防止个人信息泄露事件的发生，《个人信息保护法》第9、51、56、59条等条文以及《数据安全法》《网络安全法》《深圳经济特区数据条例》等法律法规都对此作出了细致的规定。如处理者未能尽到保护个人信息安全的义务，遭到泄露的个人信息中可能包含与个人通信相关的个人信息，进而导致个人的通信秘密遭受侵害。故此，通信自由和通信秘密也属于个人信息权益所涵盖的个人利益。

（二）个人信息“本权权益”的权益定位

作为“本权权益”的个人信息权益承载着个人的人格尊严、人身财产安全以及通信秘密和通信自由等诸多利益，但其在保护方式上的“非主导性”或者“非直接性”决定了它会被界定为权益而不是权利，具体理由可分为如下三个方面：

第一，作为客体的个人信息无法为个人所单独控制。一方面，信息是人与人交流的产物，也仅在交流中才有意义和价值。[40]虽然个人信息与个人存在人格上的关联，但个人无法阻止他人在交流的过程中获取此等信息；相反，他人获取并使用其个人信息是其进行社会交往的必要工具。“一个人要进入社会或参加社会活动，就需要向他人披露、公开身份。封闭个人信息就意味着与世隔绝。从社会的角度出发，社会也需要利用个人提供的个人信息和散落于各处的、可被搜集掌握到的相关个人信息来了解、判断某个人。”[41]此外，数据化的个人信息往往由处理者收集、存储并加以利用，对于此等个人信息，处理者相较于个人享有更强的事实上的控制力。因此，个人信息客观上无法为个人所单独支配。另一方面，信息具有“公共品”的核心特征，即非竞争性和非排他性。一人对信息的使用不影响他人对其使用，信息也不会像其他物质产品一样随着使用而有所耗损，导致价值减少，[42]且信息可以同时被多人使用而互不排斥。[43]

鲜花

握手

雷人

路过

鸡蛋