亚洲综合图片20p,欧美一级黄片视频免费,天天干天天日天天干天天日天天日,亚洲av最新版本天堂在线,电影人妻和服诱惑之,日韩人妻一区二区三区不卡,97超碰大香蕉久久草,亚洲无码专区中文字幕专区,最近日韩av一区二区

作者簡介：王錫鋅：教育部人文社會(huì)科學(xué)重點(diǎn)研究基地北京大學(xué)憲法與行政法研究中心教授

內(nèi)容提要：個(gè)人信息保護(hù)法體系建構(gòu)的基礎(chǔ)是國家在憲法上所負(fù)有的保護(hù)義務(wù)，該義務(wù)對(duì)應(yīng)著“個(gè)人信息受保護(hù)權(quán)”，而不是“個(gè)人信息權(quán)”。將個(gè)人信息作為私權(quán)客體的權(quán)利保護(hù)模式，在規(guī)范邏輯、制度功能等方面存在局限；應(yīng)以“個(gè)人信息受保護(hù)權(quán)—國家保護(hù)義務(wù)”框架建構(gòu)個(gè)人信息的權(quán)力保護(hù)模式。在數(shù)字時(shí)代，個(gè)人信息國家保護(hù)義務(wù)意味著國家不僅應(yīng)履行尊重私人生活、避免干預(yù)個(gè)人安寧的消極義務(wù)，還應(yīng)通過積極保護(hù)，支援個(gè)人對(duì)抗個(gè)人信息處理中尊嚴(yán)減損的風(fēng)險(xiǎn)�；�于控制“數(shù)據(jù)權(quán)力”這一侵害風(fēng)險(xiǎn)源的需要，國家一方面應(yīng)避免過度侵入個(gè)人信息領(lǐng)域；另一方面應(yīng)通過制度性保障、組織與程序保障以及侵害防止義務(wù)的體系化，營造個(gè)人信息保護(hù)的制度生態(tài)。

關(guān)鍵詞：個(gè)人信息受保護(hù)權(quán)  國家保護(hù)義務(wù)  工具性權(quán)利  個(gè)人信息保護(hù)

目　錄

一、問題提出及界定

二、個(gè)人信息國家保護(hù)義務(wù)的概念提煉

（一）個(gè)人信息保護(hù)的兩種基本模式

（二）個(gè)人信息國家保護(hù)義務(wù)溯源

三、個(gè)人信息國家保護(hù)義務(wù)的內(nèi)涵

（一）個(gè)人信息國家保護(hù)義務(wù)的兩種類型

（二）個(gè)人信息國家保護(hù)義務(wù)的規(guī)范結(jié)構(gòu)

四、個(gè)人信息國家保護(hù)義務(wù)的展開

（一）消極保護(hù)義務(wù)的落實(shí)

（二）積極保護(hù)義務(wù)的落實(shí)

結(jié) 論

一、問題提出及界定

個(gè)人信息保護(hù)法體系建構(gòu)是大數(shù)據(jù)時(shí)代重要命題。在我國，伴隨著已頒布實(shí)施的《民法典》《網(wǎng)絡(luò)安全法》以及即將出臺(tái)的《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的立法進(jìn)程，圍繞個(gè)人信息處理中相關(guān)主體的權(quán)利義務(wù)配置，學(xué)界從不同角度進(jìn)行了探討。觀察現(xiàn)有討論可以發(fā)現(xiàn)，對(duì)個(gè)人信息保護(hù)的必要性問題已有共識(shí)；討論的爭點(diǎn)聚焦在什么是個(gè)人信息保護(hù)的權(quán)利基礎(chǔ)，以及通過何種法律路徑進(jìn)行保護(hù)。具體而言，爭論點(diǎn)集中于兩個(gè)方面：一是在權(quán)利基礎(chǔ)上，私法上的“個(gè)人信息權(quán)利（益）”是否成立；二是在保護(hù)路徑上，個(gè)人信息應(yīng)通過私法保護(hù)還是公法保護(hù)抑或綜合保護(hù)。目前來看，有論者側(cè)重于從民法保護(hù)路徑展開探討，有論者則側(cè)重于公法與消費(fèi)者法保護(hù)路徑的探討，也有論者敏銳地提出綜合保護(hù)路徑的主張。

上述兩個(gè)問題在邏輯上是緊密聯(lián)系的：個(gè)人信息保護(hù)的權(quán)利基礎(chǔ)，是討論該種權(quán)利（利益）保護(hù)路徑或方式的邏輯前提，是建構(gòu)個(gè)人信息保護(hù)法律制度體系的基石。個(gè)人信息保護(hù)的權(quán)利基礎(chǔ)為何？為何保護(hù)？誰來保護(hù)？針對(duì)何種威脅而提供保護(hù)？只有在厘清這些問題的基礎(chǔ)上，方可更好地回答如何保護(hù)的問題。

本文認(rèn)為，個(gè)人信息保護(hù)的憲法基礎(chǔ)是國家所負(fù)有的保護(hù)義務(wù)。國家負(fù)有對(duì)公民人格尊嚴(yán)和隱私、安寧進(jìn)行保護(hù)的義務(wù)；隨著信息時(shí)代的來臨，該種義務(wù)擴(kuò)展到對(duì)個(gè)人信息相關(guān)權(quán)益的保護(hù)。個(gè)人信息國家保護(hù)義務(wù)對(duì)應(yīng)著“個(gè)人信息受保護(hù)權(quán)”這一基本權(quán)利，但此種權(quán)利并非民法意義上的權(quán)利，而是國家履行其保護(hù)義務(wù)的價(jià)值基礎(chǔ)與憲法依據(jù)，其功能主要在于對(duì)抗和緩解“數(shù)據(jù)權(quán)力”對(duì)個(gè)人信息造成的侵害風(fēng)險(xiǎn)。這種權(quán)利并不等于公民對(duì)其個(gè)人信息擁有排他性的、支配性的權(quán)利。從功能上講，相比于“個(gè)人信息權(quán)”的保護(hù)路徑，“個(gè)人信息受保護(hù)權(quán)”通過強(qiáng)調(diào)國家保護(hù)義務(wù)及其落實(shí)，更有利于個(gè)人信息保護(hù)的目標(biāo)實(shí)現(xiàn)，因?yàn)槊鎸?duì)數(shù)據(jù)平臺(tái)和國家機(jī)關(guān)所擁有的強(qiáng)大“數(shù)據(jù)權(quán)力”（data power）,通過私法路徑和方式，很難為個(gè)人信息提供充分、全面和有效的保護(hù)。

二、個(gè)人信息國家保護(hù)義務(wù)的概念提煉

（一）個(gè)人信息保護(hù)的兩種基本模式在既有研究中，不少論述將“個(gè)人信息權(quán)益”作為個(gè)人信息保護(hù)法體系的概念起點(diǎn)，而個(gè)人信息權(quán)益的法律定性，本質(zhì)上又是應(yīng)采用何種模式進(jìn)行保護(hù)的邏輯起點(diǎn)。如何進(jìn)行個(gè)人信息保護(hù)？對(duì)此問題的回答可類型化為“權(quán)利保護(hù)”與“權(quán)力保護(hù)”兩種基本模式�！皺�(quán)利保護(hù)”模式將個(gè)人信息視作私權(quán)客體，試圖構(gòu)建一種對(duì)抗不特定主體的個(gè)人信息權(quán)；“權(quán)力保護(hù)”模式則強(qiáng)調(diào)在個(gè)人信息處理活動(dòng)中，國家負(fù)有保護(hù)個(gè)人合法權(quán)益的義務(wù)；相應(yīng)地，個(gè)人信息保護(hù)制度倚重的并非賦予個(gè)人針對(duì)其信息的私人權(quán)利，而是國家設(shè)定的監(jiān)管與合規(guī)框架及配套執(zhí)法機(jī)制。

主張“權(quán)利保護(hù)”模式的觀點(diǎn)在我國民法典編纂過程中達(dá)到一個(gè)高峰。諸多論者嘗試結(jié)合域外經(jīng)驗(yàn)，證成個(gè)人針對(duì)個(gè)人信息的民事權(quán)利。其中一種被許多學(xué)者接受的觀點(diǎn)認(rèn)為，歐盟與歐洲國家的立法與司法實(shí)踐將個(gè)人信息保護(hù)建立在個(gè)人享有的民事權(quán)利基礎(chǔ)上，即“個(gè)人信息權(quán)”或“個(gè)人信息自決權(quán)”這一排他性的、帶有人格屬性的私權(quán)，進(jìn)而主張我國應(yīng)以民法權(quán)利的框架展開個(gè)人信息保護(hù)的規(guī)則設(shè)計(jì)。在此基礎(chǔ)上，持這一觀點(diǎn)的學(xué)者又進(jìn)一步針對(duì)原《民法總則》第111條以及《民法典》第1034條規(guī)定的究竟是民事主體針對(duì)個(gè)人信息享有的權(quán)利還是利益、此種權(quán)益的屬性究竟是人格權(quán)、財(cái)產(chǎn)權(quán)、前兩者的復(fù)合還是新型民事權(quán)利展開了探討，并將信息處理者的義務(wù)理解為不得侵犯私法主體享有的個(gè)人信息民事權(quán)益的體現(xiàn)。由此，上述研究形成了“個(gè)人信息民事權(quán)—個(gè)人信息處理者義務(wù)”這一民事權(quán)利義務(wù)結(jié)構(gòu)的分析框架。

然而，從規(guī)范邏輯、制度功能、域外經(jīng)驗(yàn)等維度觀察，將個(gè)人信息私權(quán)化的路徑缺乏相應(yīng)的支撐。首先，從權(quán)利本身的規(guī)范邏輯上看，基于個(gè)人信息交互性、分享性、公共性的特點(diǎn)，其難以成為民法所有權(quán)邏輯下一個(gè)排他性的個(gè)人控制的客體。一旦認(rèn)為個(gè)人可以“基于自己意思自主地決定個(gè)人信息能否被他人收集、儲(chǔ)存并利用”，將妨礙基本的社會(huì)交往，也無法釋放信息的公共價(jià)值。同時(shí)，個(gè)人信息具有動(dòng)態(tài)性、場景性的特征。隨著大數(shù)據(jù)技術(shù)的發(fā)展，個(gè)人信息可識(shí)別性和相關(guān)性標(biāo)準(zhǔn)的邊界不斷擴(kuò)張。靜態(tài)的民事權(quán)利客體的理念無法有效回應(yīng)這一趨勢(shì)，強(qiáng)行將個(gè)人信息私權(quán)化也會(huì)造成民法的體系混亂。

其次，從制度功能上看，依托于意思自治、主體平等基礎(chǔ)的私權(quán)保護(hù)路徑無法應(yīng)對(duì)強(qiáng)大的私人機(jī)構(gòu)以及國家機(jī)構(gòu)處理個(gè)人信息時(shí)的非對(duì)稱權(quán)力結(jié)構(gòu)。認(rèn)為“無論國家機(jī)關(guān)處理自然人的個(gè)人信息，還是非國家機(jī)關(guān)處理自然人的個(gè)人信息，也無論處理者處理自然人個(gè)人信息的目的是行政管理、公共服務(wù)還是營利目的，處理者與自然人都屬于平等的民事主體”的觀點(diǎn)，忽視了個(gè)人與信息處理者之間明顯的不平衡關(guān)系。正如張新寶指出，面對(duì)強(qiáng)大的個(gè)人信息處理者，抽象的民事權(quán)利規(guī)定容易被虛化，淪為“紙面上的權(quán)利”；個(gè)人信息保護(hù)的有效性必然有賴于國家規(guī)制，實(shí)踐中站在維權(quán)第一線的其實(shí)往往是監(jiān)管者而非個(gè)人。

最后，從比較法的經(jīng)驗(yàn)觀察，認(rèn)為歐洲確立了民法上的個(gè)人信息權(quán)的觀點(diǎn)，其實(shí)屬于對(duì)域外經(jīng)驗(yàn)的誤讀。實(shí)際上，歐盟個(gè)人數(shù)據(jù)保護(hù)的權(quán)利來源是憲法性權(quán)利，而非民事權(quán)利。歐盟數(shù)據(jù)保護(hù)專員公署（European Data Protection Supervisor）亦明確指出：歐盟數(shù)據(jù)保護(hù)規(guī)則并非賦予個(gè)人針對(duì)其個(gè)人信息排他性的民法權(quán)利，那種認(rèn)為個(gè)人針對(duì)其個(gè)人信息享有“所有權(quán)”或“決定權(quán)”的觀念是一種誤讀。而在美國法上，雖然個(gè)人信息保護(hù)在學(xué)理上被納入“信息隱私保護(hù)”的范圍，但主要的保護(hù)路徑依然是國家在教育、醫(yī)療等特定領(lǐng)域直接立法保護(hù)，以及允許企業(yè)制定隱私政策但經(jīng)由監(jiān)管機(jī)構(gòu)在個(gè)案中調(diào)查審核的模式。這些規(guī)則主要針對(duì)商業(yè)或?qū)�業(yè)處理機(jī)構(gòu)，并不適用于一般的私主體。可見，美國亦不存在通過立法將個(gè)人信息私權(quán)化的現(xiàn)象。實(shí)際上，我國立法者對(duì)個(gè)人信息保護(hù)私權(quán)化的態(tài)度也是極其審慎的。不論是《民法典》還是《個(gè)人信息保護(hù)法（草案）》，均未規(guī)定個(gè)人針對(duì)個(gè)人信息享有民事權(quán)利，而是強(qiáng)調(diào)“個(gè)人信息受法律保護(hù)”。

在“權(quán)利保護(hù)”模式難以證成的情況下，已有學(xué)者就“權(quán)力保護(hù)”模式下的制度構(gòu)建展開了探討。例如，丁曉東提出，應(yīng)當(dāng)從行為主義與場景主義的角度對(duì)個(gè)人信息處理展開規(guī)制。又如，周漢華提出，應(yīng)當(dāng)強(qiáng)化公法上的個(gè)人信息控制權(quán)，建立權(quán)利控制與激勵(lì)機(jī)制并行的多元治理機(jī)制。但這些研究更多集中在立法和執(zhí)法的操作層面，忽視了在作為法秩序基礎(chǔ)的憲法層面上對(duì)國家的角色與義務(wù)進(jìn)行理論建構(gòu)。個(gè)人信息保護(hù)權(quán)屬基礎(chǔ)不明、法律關(guān)系模糊的問題依然存在。如何對(duì)“個(gè)人信息權(quán)益”這一支點(diǎn)進(jìn)行概念演繹以編排《個(gè)人信息保護(hù)法（草案）》中“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”“個(gè)人信息處理者的義務(wù)”“履行個(gè)人信息保護(hù)職責(zé)的部門”等關(guān)鍵概念間的邏輯關(guān)系，是個(gè)人信息保護(hù)法體系建構(gòu)必須回應(yīng)的問題。此時(shí)，對(duì)憲法上“個(gè)人信息國家保護(hù)義務(wù)”這一概念展開探討顯得尤為必要。

（二）個(gè)人信息國家保護(hù)義務(wù)溯源

從比較法視角看，在憲法層面確立個(gè)人信息國家保護(hù)義務(wù)的做法來源于歐盟。1953年生效的《歐洲人權(quán)公約》第8條為歐洲國家的個(gè)人信息保護(hù)提供了初步規(guī)范依據(jù)。之后，歐洲委員會(huì)通過了第(73)22號(hào)和第(74)29號(hào)決議，提出了保護(hù)私營部門和公共部門自動(dòng)化數(shù)據(jù)庫中的個(gè)人數(shù)據(jù)的原則。但這兩項(xiàng)決議只具有倡導(dǎo)性，并未直接對(duì)各國設(shè)定法律上的國家保護(hù)義務(wù)。直到1981年，《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)體保護(hù)公約》即《第108號(hào)公約》成為全球范圍內(nèi)有關(guān)個(gè)人信息保護(hù)的第一份具有法律約束力的國際性文件�！兜�108號(hào)公約》建立了有關(guān)個(gè)人數(shù)據(jù)保護(hù)的基本原則以及各締約國之間的基本義務(wù)，并將對(duì)個(gè)人基本自由與權(quán)利的保護(hù)作為締約國履行條約規(guī)定的國家義務(wù)的出發(fā)點(diǎn)。隨后，葡萄牙、奧地利、西班牙等歐盟成員國紛紛在憲法中確立了個(gè)人信息受保護(hù)的基本權(quán)利。

步入21世紀(jì)后，在憲法層面確立個(gè)人信息受保護(hù)的基本權(quán)利與國家相應(yīng)的保護(hù)義務(wù)，漸成歐盟成員國的價(jià)值共識(shí)。2000年制定、2009年生效的《歐盟基本權(quán)利憲章》（以下簡稱《憲章》）第8條第1款規(guī)定：“任何人都享有對(duì)關(guān)乎自身的個(gè)人信息的受保護(hù)權(quán)利”�！稓W盟運(yùn)作條約》第16條第1款亦采用了“個(gè)人信息受保護(hù)權(quán)”（the right to the protection of personal data）的表述。從規(guī)范邏輯上看，由于《憲章》和《歐盟運(yùn)作條約》對(duì)所有歐盟國家都具有法律拘束力，個(gè)人信息受保護(hù)權(quán)在歐盟層面作為一項(xiàng)基本權(quán)利，調(diào)整的是個(gè)人與國家之間的法權(quán)關(guān)系。在法權(quán)結(jié)構(gòu)上，這彰顯了憲法層面對(duì)國家提出的規(guī)范要求，而非旨在建構(gòu)個(gè)人針對(duì)其信息的“個(gè)人信息權(quán)”（the right to personal data）。

由此，個(gè)人信息受保護(hù)權(quán)成為歐盟成員國履行個(gè)人信息國家保護(hù)義務(wù)的憲法依據(jù)與價(jià)值基礎(chǔ)，個(gè)人信息國家保護(hù)義務(wù)則成為個(gè)人信息受保護(hù)權(quán)的功能體現(xiàn)與其所導(dǎo)向的規(guī)范要求。國家有義務(wù)最大化地實(shí)現(xiàn)憲法的規(guī)范意圖——即促進(jìn)個(gè)人信息受保護(hù)權(quán)的實(shí)現(xiàn)�！皞�(gè)人信息受保護(hù)權(quán)—國家保護(hù)義務(wù)”的法權(quán)結(jié)構(gòu)能夠有效促進(jìn)國家履行其在個(gè)人信息處理中對(duì)個(gè)人的保護(hù)義務(wù)，具體表現(xiàn)為以下三個(gè)方面：

第一，指引作用。個(gè)人信息國家保護(hù)義務(wù)凸顯和強(qiáng)化了國家的任務(wù)、目的和理念。相關(guān)國家權(quán)力的配置和運(yùn)行，都應(yīng)當(dāng)有利于個(gè)人信息受保護(hù)權(quán)這一憲法的價(jià)值決定得到保障和實(shí)現(xiàn)。即使沒有賦予個(gè)人針對(duì)個(gè)人信息的支配權(quán)，國家也可以通過立法將個(gè)人信息保護(hù)規(guī)則具體化，對(duì)個(gè)人進(jìn)行周延的保護(hù)。例如，1995年歐盟議會(huì)與歐盟理事會(huì)通過的《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的指令》（第95/46/EC號(hào)歐盟指令，下文簡稱《指令》）直接以指令而非條約的形式要求各國完善數(shù)據(jù)保護(hù)立法，以落實(shí)數(shù)據(jù)處理領(lǐng)域的國家保護(hù)義務(wù)。2018年生效的GDPR則更進(jìn)一步對(duì)歐盟各成員國具有直接適用效力，無需成員國再自行轉(zhuǎn)化為國內(nèi)法。GDPR同時(shí)建立了一個(gè)強(qiáng)有力的統(tǒng)一解釋機(jī)制，以確保各國適用GDPR時(shí)均能最大化地實(shí)現(xiàn)個(gè)人信息受保護(hù)權(quán)，因此更為直接地貫徹了個(gè)人信息國家保護(hù)義務(wù)的要求。

第二，整合作用。個(gè)人信息國家保護(hù)義務(wù)可以整合和控制國家公權(quán)力的各種作用方式，使個(gè)體基本權(quán)利在相互協(xié)調(diào)之下達(dá)到整體效用的最大化，維護(hù)社會(huì)共同體的整體法益。相較于將個(gè)人信息作為私權(quán)客體的“紙面上的權(quán)利”而言，國家可以對(duì)個(gè)人采取消費(fèi)者保護(hù)、行政法保護(hù)、刑法保護(hù)等多種方式，綜合運(yùn)用不同工具開展個(gè)人信息保護(hù)。同時(shí)，由于個(gè)人信息具有交互性、分享性的特點(diǎn)，國家在履行個(gè)人信息保護(hù)義務(wù)時(shí)亦需要在不同的利益、權(quán)利和基本自由之間保持謹(jǐn)慎的平衡。正如《指令》立法目的所顯示的，除了保護(hù)個(gè)人信息之外，也有促進(jìn)數(shù)據(jù)市場統(tǒng)一與數(shù)據(jù)流通的目的，這體現(xiàn)了歐盟立法者嘗試在個(gè)人信息處理中兼顧個(gè)人保護(hù)與信息自由流通的努力。

第三，評(píng)價(jià)作用。國家權(quán)力的參與雖然有服務(wù)于個(gè)體權(quán)益與公共福祉的一面，但同時(shí)也意味著國家對(duì)社會(huì)和市場的干預(yù)。因此需要從憲法層面確保國家權(quán)力在理性化、法治化的軌道上運(yùn)行。一方面，需要明確憲法上的規(guī)范要求，避免國家權(quán)力消極不作為；另一方面，也需要防止國家以保護(hù)為名侵害公民的基本權(quán)利。這便要求相關(guān)國家權(quán)力的行使具有正當(dāng)理由和合理界限，避免滑向國家控制過度及對(duì)社會(huì)的侵蝕。個(gè)人信息國家保護(hù)義務(wù)正是評(píng)價(jià)相關(guān)國家權(quán)力活動(dòng)的憲法標(biāo)尺，違反或未盡到國家保護(hù)義務(wù)的國家機(jī)關(guān)將承擔(dān)相應(yīng)的法律責(zé)任與政治責(zé)任。也即是說，國家權(quán)力應(yīng)當(dāng)接受合憲性審查機(jī)構(gòu)的審查與監(jiān)督。其中的審查重點(diǎn)則在于立法者是否通過立法妥善地盡到了實(shí)現(xiàn)個(gè)人信息受保護(hù)權(quán)的職責(zé)。例如，在2016年的Tele2 Sverige AB案中，歐盟法院明確指出：《憲章》第8條所保障的是個(gè)人“獲得國家保護(hù)個(gè)人信息的權(quán)利”，因此“剝奪由獨(dú)立機(jī)構(gòu)審查國家立法是否遵守歐盟法律所保障的個(gè)人信息保護(hù)水平的救濟(jì)方式，將影響到個(gè)人信息權(quán)利的實(shí)質(zhì)�！庇秩�，在2015年的Schrems案中，歐盟法院認(rèn)為，《憲章》第8條要求歐盟成員國必須確保個(gè)人數(shù)據(jù)在歐盟境內(nèi)外都得到高水平的保護(hù)，因此需要對(duì)相關(guān)的數(shù)據(jù)處理立法規(guī)定進(jìn)行嚴(yán)格的審查�？梢哉f，歐盟權(quán)力機(jī)關(guān)和成員國權(quán)力機(jī)關(guān)都有實(shí)現(xiàn)《憲章》第8條的國家保護(hù)義務(wù)的職責(zé)。與其他主權(quán)國家僅由國內(nèi)合憲性審查機(jī)構(gòu)進(jìn)行合憲性評(píng)價(jià)與糾偏的單層國家保護(hù)義務(wù)機(jī)制不同，這是歐盟特殊主權(quán)結(jié)構(gòu)下的雙層國家保護(hù)義務(wù)。

三、個(gè)人信息國家保護(hù)義務(wù)的內(nèi)涵

“個(gè)人信息受保護(hù)權(quán)—國家保護(hù)義務(wù)”是一體兩面的概念，本質(zhì)上是“基本權(quán)利—國家義務(wù)”體系在個(gè)人信息保護(hù)領(lǐng)域的運(yùn)用。個(gè)人享有的個(gè)人信息受保護(hù)權(quán)必然要求國家對(duì)個(gè)人在信息處理領(lǐng)域中的個(gè)人進(jìn)行保護(hù)與支援。在此語境下，確立與澄清個(gè)人信息國家保護(hù)義務(wù)的內(nèi)涵，便需要對(duì)個(gè)人信息受保護(hù)權(quán)的價(jià)值基礎(chǔ)、主要類型與權(quán)利結(jié)構(gòu)進(jìn)行識(shí)別與辨析。

（一）個(gè)人信息國家保護(hù)義務(wù)的兩種類型

傳統(tǒng)“基本權(quán)利—國家義務(wù)”結(jié)構(gòu)的理論根據(jù)是自由主義和個(gè)體主義。但從信息流通普遍化的非個(gè)體主義視角看，要全面理解個(gè)人信息國家保護(hù)義務(wù)的規(guī)范內(nèi)涵，還必須考慮其客觀功能和整體社會(huì)效益。因此，可以將個(gè)人信息國家保護(hù)義務(wù)分為消極義務(wù)與積極義務(wù)兩種類型，并結(jié)合歐盟經(jīng)驗(yàn)考察其成因與具體內(nèi)容。

1. 國家的消極義務(wù)與個(gè)人信息受保護(hù)權(quán)的防御權(quán)功能基本權(quán)利最原始的機(jī)能是防御權(quán)，即公民對(duì)抗國家不當(dāng)干預(yù)其自由和侵害其財(cái)產(chǎn)的權(quán)利。當(dāng)國家試圖侵害被基本權(quán)利所保障之法益時(shí)，公民可以直接按照基本權(quán)利規(guī)范來請(qǐng)求國家不得干預(yù)或侵害。該種要求停止干預(yù)或侵害的請(qǐng)求權(quán)機(jī)能，反射至國家一方，也就是國家身負(fù)不得侵犯的禁止作為義務(wù)。

自《歐洲人權(quán)公約》公布實(shí)施以來，歐洲人權(quán)機(jī)構(gòu)長期將個(gè)人信息處理問題納入《公約》第8條對(duì)于私人生活的古典自由權(quán)保護(hù)框架中，強(qiáng)調(diào)個(gè)人信息受保護(hù)權(quán)的防御權(quán)面向。在1997年的Z v. Finland案、2000年的Rotaruv. Romania案中，歐洲人權(quán)法院均認(rèn)為：“個(gè)人信息的處理需要受到保護(hù)，以確保個(gè)人享有私人生活受尊重的防御權(quán)利。”正如歐洲人權(quán)法院在其發(fā)布的《歐洲人權(quán)公約第8條適用指南》中所指出的，在這一階段，國家主要負(fù)有消極保護(hù)義務(wù)，其角色主要是尊重私人生活的安寧，避免侵害與干預(yù)，以一種靜態(tài)觀念厘清國家權(quán)力與個(gè)人自由的邊界、讓個(gè)人安然獨(dú)處即可。此時(shí)信息處理者即使在處理過程中對(duì)私人生活造成了侵害往往也是單獨(dú)、分散、非持續(xù)性的；法院的審查亦著眼于單次的侵入。這主要體現(xiàn)的是立憲主義立場下人性尊嚴(yán)的“不可冒犯性主張”。

依循這一理念，即使是個(gè)人信息受保護(hù)權(quán)被確立為一項(xiàng)獨(dú)立的基本權(quán)利后，在消極義務(wù)的面向上，歐洲人權(quán)法院與歐盟法院也常常將個(gè)人信息受保護(hù)權(quán)與保護(hù)私人生活結(jié)合起來理解，強(qiáng)調(diào)國家機(jī)構(gòu)應(yīng)避免在個(gè)人信息處理的過程中侵害私人生活，并嚴(yán)格限定基于公共利益需要收集和使用個(gè)人信息的范圍。亦即，國家一旦對(duì)個(gè)人信息進(jìn)行處理就意味著對(duì)個(gè)人生活的干預(yù)，增加了監(jiān)控的風(fēng)險(xiǎn)并引發(fā)公民的恐懼感。因此，國家機(jī)關(guān)處理個(gè)人信息的活動(dòng)需要受到法律保留原則、法律明確性原則、比例原則等法治國原則的拘束。此時(shí)個(gè)人信息受保護(hù)權(quán)的主觀面向往往會(huì)與憲法上的隱私權(quán)、通信秘密產(chǎn)生競合。個(gè)人信息受保護(hù)權(quán)主觀防御權(quán)功能的運(yùn)用更多是體現(xiàn)出了數(shù)據(jù)處理活動(dòng)相較于其他國家干預(yù)方式的特殊性，但在具體案件中一般需要結(jié)合其他基本權(quán)利進(jìn)行理解和適用。

2. 國家的積極義務(wù)與個(gè)人信息受保護(hù)權(quán)的客觀法功能

雖然個(gè)人信息國家保護(hù)義務(wù)曾長期以消極義務(wù)為主要呈現(xiàn)姿態(tài)，但隨著時(shí)間的推移，尤其是進(jìn)入21世紀(jì)后，歐洲人權(quán)法院也開始了一定程度的轉(zhuǎn)向，開始強(qiáng)調(diào)“在歐洲人權(quán)公約第8條的框架下，國家負(fù)有確保尊重私人生活的目的得以實(shí)現(xiàn)的積極義務(wù)”。其背后反映的變化，乃是現(xiàn)代社會(huì)中隨著信息搜集、儲(chǔ)存、整合、傳播及處理方式的迭代革新，個(gè)人基本上難以從信息網(wǎng)絡(luò)，尤其是電子化場景中抽身退出。傳統(tǒng)“私人生活保護(hù)”所遵循的“權(quán)利具有絕對(duì)性質(zhì)，信息獲取便推定違法”的古典自由權(quán)邏輯在許多場景下已不再適用。相較而言，個(gè)人信息受保護(hù)權(quán)在大數(shù)據(jù)時(shí)代的基本假設(shè)是，個(gè)人信息本身便具有一定的交互性與公共性，個(gè)人信息處理在現(xiàn)代社會(huì)中是必要的。盡管應(yīng)考慮到某些條件和保障措施，但對(duì)個(gè)人信息的基本推定是“可以被處理”。而真正需要國家介入的關(guān)鍵在于：個(gè)人此時(shí)面對(duì)的不是普通的私人主體，而是強(qiáng)大的、組織化的信息處理機(jī)構(gòu)；加之信息時(shí)代下個(gè)人信息處理往往是動(dòng)態(tài)化、復(fù)雜化、風(fēng)險(xiǎn)不確定的過程，因此個(gè)人難以在參與及做出選擇的過程中保持清醒、警惕、知情及自治。為使個(gè)人免于受到信息處理機(jī)構(gòu)的支配，就需要國家積極保護(hù)相關(guān)個(gè)人。由此，個(gè)人信息受保護(hù)權(quán)變成了一項(xiàng)積極的權(quán)利，具備了客觀價(jià)值秩序（客觀法）的功能, 即國家必須創(chuàng)造和維護(hù)有利于實(shí)現(xiàn)個(gè)人信息保護(hù)的制度環(huán)境。在大數(shù)據(jù)時(shí)代，個(gè)體只有通過國家的積極保護(hù)才能充分實(shí)現(xiàn)其個(gè)人信息受保護(hù)的權(quán)利。該種權(quán)利的實(shí)現(xiàn)要求國家積極保護(hù)，提供有效的制度供給，幫助個(gè)人對(duì)抗大規(guī)模、持續(xù)化數(shù)據(jù)處理中人格尊嚴(yán)減損的風(fēng)險(xiǎn)。這也是個(gè)人信息受保護(hù)權(quán)在歐盟層面作為一項(xiàng)獨(dú)立基本權(quán)利的真正價(jià)值所在。

歐洲數(shù)據(jù)保護(hù)專員公署于2015年出臺(tái)的《邁向新的數(shù)字倫理：數(shù)據(jù)、尊嚴(yán)和技術(shù)》報(bào)告在評(píng)析這一權(quán)利邏輯變化時(shí)亦明確指出：“個(gè)人信息保護(hù)與個(gè)人的個(gè)性發(fā)展有著內(nèi)在的聯(lián)系。更好地尊重和保障人的尊嚴(yán)，可以制衡現(xiàn)在個(gè)人所面臨的無處不在的監(jiān)視和權(quán)力不對(duì)稱，這是新時(shí)期歐盟數(shù)據(jù)道德的核心。”該報(bào)告進(jìn)一步確認(rèn)“個(gè)人信息受保護(hù)權(quán)的主要目的是作為防御大規(guī)模個(gè)人信息處理對(duì)尊嚴(yán)潛在侵蝕的補(bǔ)充力量”。從這個(gè)意義上看，個(gè)人信息保護(hù)規(guī)則所保護(hù)的并非個(gè)人信息本身，也非個(gè)人針對(duì)信息享有的民法人格權(quán)，而是個(gè)人信息處理活動(dòng)中可能受到威脅的相關(guān)個(gè)人的合法權(quán)益，亦即《憲章》第1條規(guī)定的“人性尊嚴(yán)不可侵犯”所具體指向的個(gè)人自治以及隨之得到保障的不歧視（平等）、身份識(shí)別（信息的正確與完整性）、安全與財(cái)產(chǎn)利益以及社會(huì)信任等附加的實(shí)體價(jià)值與其他基本權(quán)利。個(gè)人信息權(quán)益就是基于個(gè)人信息受保護(hù)權(quán)實(shí)現(xiàn)而獲得保障的各種相關(guān)法益。因此，在大數(shù)據(jù)時(shí)代，個(gè)人信息國家保護(hù)義務(wù)的價(jià)值基礎(chǔ)便在于：在政府或商業(yè)組織積累和使用大量數(shù)據(jù)的場景下，面對(duì)個(gè)人與信息處理者之間存在的持續(xù)性的不平等關(guān)系，需要國家轉(zhuǎn)變消極的“守夜人”角色，通過強(qiáng)有力的規(guī)制手段保護(hù)處于弱勢(shì)地位的個(gè)人，避免個(gè)人由于被工具化而喪失主體性地位。個(gè)人信息受保護(hù)權(quán)聯(lián)結(jié)的是對(duì)以尊嚴(yán)為核心的基本權(quán)利與實(shí)質(zhì)價(jià)值的保護(hù)。

同時(shí)需要注意的是，在歐盟法體系內(nèi)，基于以尊嚴(yán)為核心的基本權(quán)利規(guī)范還有其他重要的側(cè)面（如言論自由與公眾知情權(quán)），國家保護(hù)義務(wù)的履行必須符合《憲章》的整體價(jià)值秩序。國家在保護(hù)個(gè)人在信息處理過程中免于受支配的同時(shí)，亦需協(xié)調(diào)言論自由、公眾知情權(quán)等其他基本權(quán)利和數(shù)據(jù)自由流通、技術(shù)創(chuàng)新、建立統(tǒng)一的數(shù)據(jù)市場等重要目的。

3. 個(gè)人信息受保護(hù)權(quán)在我國憲法上的安頓

個(gè)人信息國家保護(hù)義務(wù)在我國憲法上的首要根據(jù)便是《憲法》第33條第3款規(guī)定的“國家尊重和保障人權(quán)”。對(duì)應(yīng)前述兩種類型的國家義務(wù)，“尊重”側(cè)重國家對(duì)私人生活的不得侵犯，是個(gè)人信息受保護(hù)權(quán)主觀防御功能與國家消極義務(wù)的體現(xiàn)；“保障”則更側(cè)重個(gè)人信息受保護(hù)權(quán)的客觀方面功能，其中就包含了要求國家積極通過立法和其他公權(quán)力行為，以保護(hù)基本權(quán)利主體在個(gè)人信息處理中免于受支配或陷入信息處理者制造的危險(xiǎn)或風(fēng)險(xiǎn)的含義。這兩種類型的義務(wù)又可以被統(tǒng)攝于《憲法》第38條對(duì)公民人格尊嚴(yán)的保護(hù)之中。

實(shí)際上，我國憲法基本權(quán)利規(guī)范體系中的諸多內(nèi)容都可能在個(gè)人信息處理過程中遭受信息處理者的侵害。例如，大規(guī)模信息泄露導(dǎo)致的財(cái)產(chǎn)損失、名譽(yù)損害的風(fēng)險(xiǎn)；算法自動(dòng)化決策下，公民勞動(dòng)權(quán)、受教育權(quán)所面對(duì)的歧視風(fēng)險(xiǎn)；網(wǎng)絡(luò)平臺(tái)運(yùn)營者和服務(wù)提供者對(duì)通信自由與秘密的監(jiān)測與傳播風(fēng)險(xiǎn)等等。這些個(gè)人信息處理活動(dòng)中所蘊(yùn)含的、超出傳統(tǒng)信息流時(shí)代的系統(tǒng)性風(fēng)險(xiǎn)，均需要立法者予以充分評(píng)估與管控。

我們需要注意，基本權(quán)利的保障與實(shí)現(xiàn)有賴于具體的社會(huì)政治條件，在大數(shù)據(jù)、云計(jì)算、人工智能技術(shù)不斷迭代更新的時(shí)代，社會(huì)本身已經(jīng)變成諸多信息技術(shù)的真實(shí)演練室，公民個(gè)人也直接置身于信息技術(shù)宰制的風(fēng)險(xiǎn)之中。因此，在我們這個(gè)觀念上強(qiáng)調(diào)國家對(duì)人民積極扶助、救濟(jì)與保障的社會(huì)主義國家，以憲法為基礎(chǔ)，建立個(gè)人信息受保護(hù)的法律框架與國家保護(hù)義務(wù)體系，是保障公民免于被支配，促進(jìn)人格發(fā)展的應(yīng)有之義。由此而言，即使我國《憲法》并未對(duì)個(gè)人信息保護(hù)作出明確的規(guī)則表達(dá)，但基于基本權(quán)利條款的上述規(guī)范要求，從《憲法》第33條第3款以及38條延伸出個(gè)人信息受保護(hù)權(quán)的內(nèi)涵并確立憲法上的個(gè)人信息國家保護(hù)義務(wù)，進(jìn)而對(duì)國家權(quán)力進(jìn)行妥當(dāng)?shù)闹敢�與評(píng)價(jià)，對(duì)于保障公民人格尊嚴(yán)與相關(guān)基本權(quán)利具有現(xiàn)實(shí)的必要性。

（二）個(gè)人信息國家保護(hù)義務(wù)的規(guī)范結(jié)構(gòu)

基于個(gè)人信息受保護(hù)權(quán)實(shí)現(xiàn)的憲法規(guī)范要求，個(gè)人信息國家保護(hù)義務(wù)的規(guī)范邏輯結(jié)構(gòu)由“侵害來源”和“保護(hù)方式”兩部分構(gòu)成，也就是針對(duì)何種侵害源的保護(hù)、如何進(jìn)行保護(hù)的問題。以下就國家應(yīng)當(dāng)針對(duì)哪些侵害來源承擔(dān)保護(hù)義務(wù)、通過哪些途徑展開保護(hù)義務(wù)進(jìn)行扼要分析，以充實(shí)個(gè)人信息國家保護(hù)義務(wù)的法理框架。

1. 個(gè)人信息國家保護(hù)所針對(duì)的侵害風(fēng)險(xiǎn)源

在現(xiàn)代社會(huì)，信息處理活動(dòng)很大程度上決定了人們的選擇空間與可能獲得的結(jié)果。亦即，數(shù)據(jù)權(quán)力（data power）已經(jīng)成為一種廣泛而普遍的社會(huì)事實(shí)。當(dāng)下諸多具備大數(shù)據(jù)挖掘能力的專業(yè)或商業(yè)機(jī)構(gòu)具有以下特征：“掌握龐大的數(shù)據(jù)量、超乎常人想象的收集速度、多元的數(shù)據(jù)種類、潛在的詳盡范圍以及強(qiáng)人工智能技術(shù)下的數(shù)據(jù)關(guān)聯(lián)與整合能力�！笨梢哉f，在金融、教育、醫(yī)療、社會(huì)保障等各個(gè)領(lǐng)域都已形成“數(shù)據(jù)依賴”的時(shí)代，個(gè)人信息的利用與保護(hù)不僅關(guān)涉?zhèn)�體，還與整個(gè)社會(huì)的權(quán)力結(jié)構(gòu)及運(yùn)行機(jī)制相關(guān)聯(lián)。

大數(shù)據(jù)一方面增進(jìn)了個(gè)人生活便利和社會(huì)福祉，另一方面也導(dǎo)致了社會(huì)權(quán)力結(jié)構(gòu)的變化。以國家機(jī)關(guān)、其他履行公共職能的組織、國內(nèi)外大型平臺(tái)等“準(zhǔn)官僚化”機(jī)構(gòu)為代表的數(shù)據(jù)權(quán)力主體大規(guī)模地集聚并利用個(gè)人信息來塑造與調(diào)整個(gè)人的行為，成為最主要的侵害風(fēng)險(xiǎn)源。首先，這些機(jī)構(gòu)的信息處理行為往往伴隨著監(jiān)控、歧視、支配個(gè)人的風(fēng)險(xiǎn)，信息處理者可以通過挖掘信息形成特定的“人格畫像”，從而對(duì)私人的決策進(jìn)行隱形的控制與干預(yù)。其次，個(gè)人信息的聚沙成塔導(dǎo)向了“數(shù)據(jù)壟斷”下信息處理者與個(gè)體之間高度不對(duì)稱的權(quán)力結(jié)構(gòu)，這使得信息處理機(jī)構(gòu)對(duì)個(gè)體造成的壓迫感愈發(fā)強(qiáng)烈，增加了個(gè)人的無力感，甚至引發(fā)“寒蟬效應(yīng)”。再次，這種數(shù)據(jù)累積性效應(yīng)不僅導(dǎo)致個(gè)人無法判斷風(fēng)險(xiǎn)發(fā)生的時(shí)間點(diǎn)、危害程度與后續(xù)效應(yīng)，也使得事后的損害認(rèn)定愈發(fā)困難、個(gè)人往往難以獨(dú)自開展私法救濟(jì)。最后，在制度環(huán)境與技術(shù)條件不完善的現(xiàn)下，數(shù)據(jù)處理活動(dòng)中的疏失、泄露等信息安全風(fēng)險(xiǎn)及伴隨的衍生損害亦日益加劇，個(gè)體的不安全感不斷上升。

可以說，面對(duì)這些來自數(shù)據(jù)權(quán)力的侵害風(fēng)險(xiǎn)，希望通過象征性的、形式化的個(gè)人自主決定和支配來進(jìn)行個(gè)人信息保護(hù)的私法機(jī)制，看似體現(xiàn)了對(duì)個(gè)人主體地位的尊重，實(shí)際上是將個(gè)人的選擇置于數(shù)據(jù)權(quán)力的控制之下，缺乏制衡能力與信息資源的個(gè)人并無法憑借“信息自決”來實(shí)現(xiàn)對(duì)上述侵害風(fēng)險(xiǎn)的防御與保護(hù)，以事后救濟(jì)為主的“權(quán)利模式”對(duì)于控制大規(guī)模、持續(xù)性的信息處理風(fēng)險(xiǎn)而言顯得捉襟見肘。只有通過國家保護(hù)義務(wù)這一兼具公共強(qiáng)制與理性治理的機(jī)制，才能有效防范數(shù)據(jù)處理風(fēng)險(xiǎn)，使個(gè)人與個(gè)人信息處理者之間構(gòu)成合理的制衡狀態(tài)，從而避免個(gè)人時(shí)刻處于被數(shù)據(jù)權(quán)力支配的恐懼之中。這構(gòu)成了國家落實(shí)個(gè)人信息保護(hù)義務(wù)的必要和正當(dāng)理由。

因此，個(gè)人信息國家保護(hù)并非旨在支援個(gè)人對(duì)抗所有社會(huì)主體,而是有針對(duì)性地防范特定風(fēng)險(xiǎn)源。無論是GDPR所規(guī)定的“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”，或是我國《個(gè)人信息保護(hù)法（草案）》規(guī)定的“個(gè)人信息處理者”，都排除了“純粹個(gè)人與家庭生活中的信息處理活動(dòng)”。個(gè)人信息保護(hù)所針對(duì)的侵害來源，是與普通個(gè)體之間存在持續(xù)性不對(duì)稱關(guān)系、可能對(duì)個(gè)人信息處理中的相關(guān)個(gè)人進(jìn)行支配或壓迫的數(shù)據(jù)權(quán)力，其中既包括直接控制個(gè)人信息的主體，也包括接受委托處理個(gè)人信息的主體。具體包括以下幾種類型。

首先，企業(yè)等商業(yè)性組織代表的“準(zhǔn)數(shù)據(jù)權(quán)力”。私營部門的規(guī)�；瘋�(gè)人信息處理活動(dòng)是最主要的侵害風(fēng)險(xiǎn)源之一。正如Jack Balkin所指出的，大型平臺(tái)和企業(yè)對(duì)個(gè)體尊嚴(yán)構(gòu)成了巨大的威脅，個(gè)體既無法單獨(dú)抵抗，也無法在這個(gè)依賴信息流通帶來便利與福利的環(huán)境下抽身而出。因此，掌握大數(shù)據(jù)運(yùn)用能力與算法技術(shù)的商業(yè)組織是一種“準(zhǔn)公共權(quán)力”性質(zhì)的機(jī)構(gòu)。這種風(fēng)險(xiǎn)源可結(jié)合企業(yè)的收入、信息收集量、信息挖掘能力進(jìn)行界定。例如，美國《加州消費(fèi)者隱私法》便將受管轄的企業(yè)范圍限定在年收入超過2500萬美元，或者為了商業(yè)目的而收集50000條以上個(gè)人信息以及年收入的50%以上為銷售消費(fèi)者個(gè)人信息所得的公司。

需要注意的是，個(gè)人一般情況下無法成為侵害風(fēng)險(xiǎn)源。這是因?yàn)椋瑐�(gè)人信息受保護(hù)權(quán)的規(guī)范目的是，在承認(rèn)數(shù)據(jù)技術(shù)對(duì)于信息分享的積極意義上，試圖抵消或糾正不正當(dāng)?shù)臄?shù)據(jù)利用方式帶來的沖擊，而非通過控制數(shù)據(jù)流動(dòng)去影響數(shù)據(jù)的分享。此時(shí)如果把個(gè)人直接納入到法律規(guī)定的信息處理者中，就會(huì)導(dǎo)致執(zhí)法對(duì)象的泛濫、信息流通受限，偏離制度設(shè)計(jì)的初衷。所以，原則上國家保護(hù)義務(wù)所針對(duì)的主體不應(yīng)包括個(gè)人，除非有跡象表明其擁有大規(guī)模、持續(xù)性數(shù)據(jù)處理的能力。

其次，履行公共職能的主體所代表的“公共數(shù)據(jù)權(quán)力”，其中除了國家機(jī)關(guān)外還包括所有提供公共服務(wù)或從事公共管理的組織。對(duì)于國家機(jī)關(guān)處理個(gè)人信息，我國《個(gè)人信息保護(hù)法（草案）》進(jìn)行了初步規(guī)定。然而，公共企事業(yè)單位和國家機(jī)關(guān)一樣，也是管理國家經(jīng)濟(jì)、文化、社會(huì)事務(wù)的重要平臺(tái)。許多具備資金、人員、技術(shù)的公共企事業(yè)單位基于公共服務(wù)或管理之需，也可能展開大規(guī)模、持續(xù)化的個(gè)人信息處理活動(dòng)，因此不應(yīng)被排除出個(gè)人信息保護(hù)法的監(jiān)管范圍。此外，其他并非公共企事業(yè)單位，但具有公共性或者公益性的組織，如慈善組織，也應(yīng)被納入監(jiān)管范圍。

最后，域外組織處理個(gè)人信息的風(fēng)險(xiǎn)。由于個(gè)人信息處理規(guī)則適用于一國主權(quán)范圍內(nèi)所有自然人以及信息處理活動(dòng)，因此個(gè)人信息國家保護(hù)義務(wù)在現(xiàn)實(shí)中所需處理的問題不僅包括如何規(guī)范國內(nèi)各種個(gè)人信息處理活動(dòng)，還包括日益廣泛的跨國數(shù)據(jù)傳輸和處理中的保護(hù)�！秱�(gè)人信息保護(hù)法（草案）》與GDPR都針對(duì)個(gè)人信息跨境傳輸作了特別規(guī)定，這也是國家積極保護(hù)義務(wù)在制度層面的投影，也即是說，國家保護(hù)義務(wù)實(shí)際上具有了某種意義上的域外效力。

2. 控制侵害風(fēng)險(xiǎn)的基本路徑

基于對(duì)數(shù)據(jù)權(quán)力這一侵害風(fēng)險(xiǎn)源進(jìn)行控制的需要，國家應(yīng)從不同路徑展開其保護(hù)義務(wù)。

一方面，國家需要意識(shí)到，其自身也是一個(gè)侵害風(fēng)險(xiǎn)源，應(yīng)盡可能減少和避免對(duì)公民私人生活的干預(yù)與監(jiān)控。在大數(shù)據(jù)時(shí)代，主要挑戰(zhàn)是如何將“監(jiān)控國家”之實(shí)踐（surveillance state）納入法治框架�！氨O(jiān)控國家”表現(xiàn)為政府基于國家安全、預(yù)防犯罪與社會(huì)管制的考慮，通過通訊技術(shù)、攝像頭監(jiān)控、網(wǎng)絡(luò)流量監(jiān)測等方式，對(duì)個(gè)人的生物、行為等信息進(jìn)行采集與處理，并用于執(zhí)法、監(jiān)管和風(fēng)險(xiǎn)控制。例如，公共區(qū)域圖像采集、人臉識(shí)別、行程軌跡追蹤等就是典型的監(jiān)控工具。雖然監(jiān)控技術(shù)的應(yīng)用和大數(shù)據(jù)驅(qū)動(dòng)的數(shù)字化治理有助于精準(zhǔn)、智能化地預(yù)防和應(yīng)對(duì)不確定風(fēng)險(xiǎn)，但同時(shí)也會(huì)帶來過度監(jiān)控風(fēng)險(xiǎn)。如果不能在法律上明確和強(qiáng)調(diào)國家的消極義務(wù)，濫用監(jiān)控工具的風(fēng)險(xiǎn)就會(huì)成為現(xiàn)實(shí)危險(xiǎn)。落實(shí)國家消極保護(hù)義務(wù)，需要厘清國家進(jìn)行個(gè)人信息收集與處理的負(fù)面清單。在這方面，《民法典》第1039條禁止國家機(jī)關(guān)、承擔(dān)行政職能的法定機(jī)構(gòu)及其工作人員非法提供個(gè)人信息、《個(gè)人信息保護(hù)法（草案）》第27條關(guān)于“在公共場所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備”等規(guī)定，都體現(xiàn)了國家在個(gè)人信息保護(hù)方面的消極保護(hù)義務(wù)。

另一方面，《個(gè)人信息保護(hù)法》的制定過程更多貫徹了個(gè)人信息受保護(hù)權(quán)的客觀法功能所指向的積極義務(wù)，這要求國家針對(duì)數(shù)據(jù)權(quán)力這一侵害風(fēng)險(xiǎn)源而提供積極保護(hù)。例如，《個(gè)人信息保護(hù)法（草案）》第11條要求“國家建立健全個(gè)人信息保護(hù)制度, 預(yù)防和懲治侵害個(gè)人信息權(quán)益的行為”；第58條規(guī)定“國家網(wǎng)信部門和國務(wù)院有關(guān)部門按照職責(zé)權(quán)限組織制定個(gè)人信息保護(hù)相關(guān)規(guī)則、標(biāo)準(zhǔn)，推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè)”等，都是國家積極義務(wù)的明確體現(xiàn)。若是從體系化視角觀察國家積極義務(wù)的實(shí)現(xiàn)途徑，基于客觀法功能導(dǎo)出的國家義務(wù)包括制度性保障、組織與程序保障、保護(hù)公民免受第三人侵害的義務(wù)（侵害的防止義務(wù)）這三項(xiàng)基本要求。也就是說，國家權(quán)力需要對(duì)大數(shù)據(jù)時(shí)代下的個(gè)體人格和尊嚴(yán)提供制度性保障和秩序擔(dān)保。

在這個(gè)意義上，個(gè)人信息國家保護(hù)義務(wù)不僅構(gòu)成立法機(jī)關(guān)建構(gòu)個(gè)人信息保護(hù)法體系的原則，也構(gòu)成行政權(quán)和司法權(quán)在執(zhí)行和解釋法律時(shí)的上位指導(dǎo)原則。從國家不同權(quán)力分支的任務(wù)來看，個(gè)人信息國家保護(hù)義務(wù)的不同面向并非彼此獨(dú)立、互不聯(lián)系，而是需要國家在立法、執(zhí)法與司法中進(jìn)行統(tǒng)籌協(xié)調(diào)。首先，個(gè)人信息國家保護(hù)義務(wù)直接約束立法者，國家需要綜合不同的部門法工具來制定專門的法律，注重具體立法技術(shù)與制度選擇的多元化、靈活性與體系性，以有效提供個(gè)人信息受保護(hù)權(quán)得以充分實(shí)現(xiàn)的諸項(xiàng)條件，并為數(shù)據(jù)技術(shù)和產(chǎn)業(yè)發(fā)展的政策目標(biāo)提供廣闊的容納空間與統(tǒng)籌可能。其次，國家保護(hù)義務(wù)也約束行政權(quán)和司法權(quán)。具體來說，第一，監(jiān)管者在履行保護(hù)職責(zé)、進(jìn)行職權(quán)裁量的過程中應(yīng)時(shí)刻以個(gè)人信息受保護(hù)權(quán)作為其考量因素,運(yùn)用各種監(jiān)管手段來促進(jìn)和保障基本權(quán)利的實(shí)現(xiàn)，并在日常執(zhí)法中實(shí)現(xiàn)精細(xì)化調(diào)整與理性治理，兼顧對(duì)產(chǎn)業(yè)發(fā)展的引導(dǎo)和推動(dòng)。第二，司法機(jī)關(guān)對(duì)監(jiān)管部門的相關(guān)行為（如監(jiān)管機(jī)構(gòu)不履行保護(hù)職責(zé)或履行保護(hù)職責(zé)不適當(dāng)）進(jìn)行審查時(shí)，也應(yīng)依據(jù)基本權(quán)利保護(hù)的標(biāo)準(zhǔn)來監(jiān)督保護(hù)義務(wù)是否有效履行，控制“保護(hù)不足”或“保護(hù)過度”的情形。第三，在對(duì)非國家機(jī)關(guān)侵犯個(gè)人信息的活動(dòng)進(jìn)行審查時(shí)，裁判者在適用法律的過程中也應(yīng)著眼于個(gè)人信息處理過程中不對(duì)稱權(quán)力存在的事實(shí)，不能簡單地將民法所設(shè)想的主體平等、意思自治的民事主體關(guān)系直接套用到個(gè)人與信息處理者的關(guān)系結(jié)構(gòu)之中。

上述關(guān)于國家保護(hù)義務(wù)規(guī)范結(jié)構(gòu)的分析，有助于我們對(duì)《民法典》和《個(gè)人信息保護(hù)法（草案）》中相關(guān)概念及其關(guān)系進(jìn)行符合邏輯的詮釋。從基礎(chǔ)概念看，《民法典》第1034條規(guī)定的“自然人的個(gè)人信息受法律保護(hù)”并非確立一項(xiàng)私法權(quán)利，而是憲法上個(gè)人信息國家保護(hù)義務(wù)在具體法律中的規(guī)范表述，因?yàn)橹贫ㄅc實(shí)施法律是國家保護(hù)義務(wù)履行的主要方式�！皞�(gè)人信息權(quán)益”，其實(shí)是個(gè)人信息處理活動(dòng)中可能受到數(shù)據(jù)權(quán)力威脅的、需要國家保護(hù)的合法權(quán)益；“個(gè)人信息權(quán)益不受侵害”，則意味著與個(gè)人信息受保護(hù)權(quán)相關(guān)的各種法益受國家保護(hù)。從具體規(guī)定觀察，“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”“個(gè)人信息處理者的義務(wù)”“履行個(gè)人信息保護(hù)職責(zé)的部門”等概念，則來源于國家保護(hù)義務(wù)履行的不同方式，對(duì)此，下文將結(jié)合國家保護(hù)義務(wù)的具體落實(shí)途徑而展開。

四、個(gè)人信息國家保護(hù)義務(wù)的展開

個(gè)人信息國家保護(hù)義務(wù)的展開和落實(shí)，是一個(gè)綜合不同法律技術(shù)與制度工具的系統(tǒng)過程，需要國家統(tǒng)籌協(xié)調(diào)不同部門法工具，吸納多元主體參與，兼顧對(duì)個(gè)人信息的消極保護(hù)和積極保護(hù)。

（一）消極保護(hù)義務(wù)的落實(shí)

在傳統(tǒng)上，消極保護(hù)義務(wù)所指向的個(gè)人防御權(quán)要求國家不得侵入個(gè)人信息領(lǐng)域。但在以大數(shù)據(jù)和信息技術(shù)廣泛應(yīng)用的“信息國”時(shí)代，以對(duì)個(gè)人數(shù)據(jù)的采集和處理為核心的“監(jiān)控”已成為一個(gè)普遍事實(shí)。在這個(gè)背景下，落實(shí)國家消極保護(hù)義務(wù)的關(guān)鍵，并非禁止國家使用監(jiān)控等數(shù)據(jù)處理技術(shù)，而在于強(qiáng)調(diào)監(jiān)控手段運(yùn)用的價(jià)值理性和工具理性。監(jiān)控（surveillance）是在傳統(tǒng)安全觀念和治理手段基礎(chǔ)上，為回應(yīng)復(fù)雜、多樣的安全風(fēng)險(xiǎn)而孕育的權(quán)力和技術(shù)工具,在反恐、傳染病監(jiān)控、自然災(zāi)害和市場風(fēng)險(xiǎn)、公共安全等領(lǐng)域已普遍使用。但數(shù)據(jù)監(jiān)控工具如果不能被有效控制在以憲法為根基的法秩序之內(nèi)，則極易被濫用，甚至導(dǎo)致工具的“反噬效應(yīng)”。因此，不能僅關(guān)注監(jiān)控的有效性，應(yīng)當(dāng)在消極保護(hù)義務(wù)的價(jià)值規(guī)范要求下，考慮工具有效性和私人生活安寧之間的平衡，具體可從立法規(guī)則表達(dá)、過程控制與救濟(jì)機(jī)制三個(gè)層面進(jìn)行落實(shí)。

在規(guī)則表達(dá)層面，應(yīng)對(duì)公共監(jiān)控的權(quán)限設(shè)定進(jìn)行嚴(yán)格控制。對(duì)哪些事項(xiàng)可以監(jiān)控？哪些主體有權(quán)監(jiān)控？這涉及到監(jiān)控權(quán)限設(shè)定和配置。應(yīng)根據(jù)不同信息與私人生活安寧之間的接近程度（敏感度），將個(gè)人信息的采集和處理區(qū)分為絕對(duì)法律保留與相對(duì)法律保留事項(xiàng)，并依此進(jìn)行設(shè)定權(quán)的配置，逐步清理超越設(shè)定權(quán)限的法規(guī)范。同時(shí)，規(guī)范完善的過程中需要對(duì)“為履行法定職責(zé)處理個(gè)人信息”“公共安全需要”等不確定法律概念進(jìn)行要素的列舉、提煉及類型化界定，避免監(jiān)控權(quán)擴(kuò)張。例如，在Marper案中，歐洲人權(quán)法院以“相關(guān)立法中‘預(yù)防犯罪’的措辭相當(dāng)籠統(tǒng)，可能引起寬泛解釋”為由，判定英國立法沒有履行消極保護(hù)義務(wù)。 

在過程控制層面，應(yīng)注重將與個(gè)人信息監(jiān)控和處理相關(guān)的政府決策和決定透明化。尤其是在處理技術(shù)復(fù)雜、處理流程持續(xù)的場景下，單純依靠抽象的法律規(guī)定難以使人產(chǎn)生穩(wěn)定預(yù)期，故監(jiān)控信息處理的透明度和說明理由顯得尤為必要。具體而言，可以要求政府在啟動(dòng)監(jiān)控行為前履行一定的信息披露和解釋義務(wù)；在監(jiān)控行為實(shí)施后履行報(bào)告、評(píng)估、糾正與刪除義務(wù)，這既有利于監(jiān)控權(quán)力的審慎行使，也有利于公共問責(zé)機(jī)制的展開。

在救濟(jì)監(jiān)督層面，個(gè)人得請(qǐng)求司法機(jī)關(guān)介入以審查公權(quán)力主體是否履行了消極保護(hù)義務(wù)，這是防御權(quán)的核心要求。這一要求在我國既有的法體系建設(shè)中還有待進(jìn)一步完善。例如，《數(shù)據(jù)安全法（草案）》第22條規(guī)定：“國家建立數(shù)據(jù)安全審查制度，對(duì)影響或者可能影響國家安全的數(shù)據(jù)活動(dòng)進(jìn)行國家安全審查。依法作出的安全審查決定為最終決定�！边@不僅明確排除司法救濟(jì)，而且在審查主體、審查標(biāo)準(zhǔn)、審查程序上也不夠清晰，可能導(dǎo)致安全審查權(quán)過度。又如，《個(gè)人信息保護(hù)法（草案）》第67條針對(duì)國家機(jī)關(guān)處理個(gè)人信息并未明確規(guī)定司法救濟(jì)和國家賠償，只籠統(tǒng)規(guī)定了國家機(jī)關(guān)內(nèi)部監(jiān)督。這些規(guī)定可能對(duì)個(gè)人防御權(quán)的行使構(gòu)成過度限制，應(yīng)在法體系建設(shè)中予以完善。

（二）積極保護(hù)義務(wù)的落實(shí)

1. 制度性保障

國家首先需要建構(gòu)個(gè)人信息處理的基本制度，設(shè)定個(gè)人與個(gè)人信息處理者之間的權(quán)利義務(wù)關(guān)系結(jié)構(gòu)，確保個(gè)人實(shí)質(zhì)性參與信息處理過程，對(duì)信息處理者形成制衡，以充分實(shí)現(xiàn)權(quán)益保障目標(biāo)，這便是個(gè)人信息國家保護(hù)義務(wù)的制度性保障面向。制度性保障課予國家建構(gòu)和維護(hù)一套關(guān)于個(gè)人信息處理基本制度的“客觀”義務(wù)�；�于支援個(gè)人對(duì)抗數(shù)據(jù)權(quán)力的需要，立法機(jī)關(guān)有必要通過制度建構(gòu)，賦予個(gè)人在信息處理中的工具性權(quán)利，同時(shí)設(shè)定信息處理者的相應(yīng)義務(wù)與行為模式，從而建立起個(gè)人與信息處理者之間的制衡結(jié)構(gòu)。由于數(shù)據(jù)處理者與個(gè)人在資源、技術(shù)等方面的明顯不對(duì)稱地位，個(gè)人單憑其自身力量將無法對(duì)抗數(shù)據(jù)權(quán)力的壓迫和支配，因此，個(gè)人信息國家保護(hù)義務(wù)必然要求國家介入，提供一套制衡性的個(gè)人信息處理權(quán)利義務(wù)規(guī)則。

歐盟的數(shù)據(jù)保護(hù)立法以及我國《個(gè)人信息保護(hù)法（草案）》正是以制衡數(shù)據(jù)處理者權(quán)力為目標(biāo)，通過賦予個(gè)人在信息處理中的知情權(quán)、訪問權(quán)、攜帶權(quán)、更正權(quán)等具體權(quán)利，保障其在數(shù)據(jù)處理全流程，包括信息收集、存儲(chǔ)、使用、傳播、更正、刪除等各個(gè)環(huán)節(jié)都可深度參與，以緩解個(gè)人面對(duì)信息處理者的無力感。相應(yīng)地，信息處理者應(yīng)當(dāng)建立個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制，同時(shí)需要遵守對(duì)個(gè)人信息處理的既定義務(wù)與程序要求。例如，確保信息準(zhǔn)確、完整，處理信息需符合法定或約定目的，保證自動(dòng)化決策滿足公平合理等合規(guī)要求，從而形成有助于保障個(gè)人權(quán)益的行為模式。

可以說，制度性保障的實(shí)質(zhì)是國家針對(duì)組織化、官僚化的信息處理者所建構(gòu)的一套工具理性框架，其目的在于形成有效的制衡結(jié)構(gòu)。正如歐洲數(shù)據(jù)保護(hù)專員公署所指出的那樣，GDPR第三章規(guī)定的“數(shù)據(jù)主體的權(quán)利”實(shí)際上是在個(gè)人信息國家保護(hù)義務(wù)下，面向促進(jìn)個(gè)人信息受保護(hù)權(quán)實(shí)現(xiàn)之目的，國家通過制定規(guī)則與采取監(jiān)管措施“賦予個(gè)人對(duì)抗數(shù)據(jù)處理者的手段和工具”。在歐盟監(jiān)管機(jī)關(guān)看來，這些權(quán)利有助于使數(shù)據(jù)處理者可持續(xù)地、合乎道德（即保障個(gè)體尊嚴(yán)）地使用數(shù)據(jù)，是保障個(gè)人不受數(shù)據(jù)權(quán)力支配的手段，因此具有工具價(jià)值。與此類似，我國《個(gè)人信息保護(hù)法（草案）》在第二章“個(gè)人信息處理規(guī)則”及第四章“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”中所規(guī)定的知情權(quán)、訪問權(quán)、更正權(quán)、刪除權(quán)、自動(dòng)化決策拒絕權(quán)等，也是調(diào)整個(gè)人與信息處理者之間關(guān)系結(jié)構(gòu)的工具性權(quán)利。

這些工具性權(quán)利與傳統(tǒng)民事權(quán)利在邏輯上存在顯著區(qū)別。首先，在權(quán)利的發(fā)生機(jī)制上，工具性權(quán)利并非由個(gè)人對(duì)其個(gè)人信息的占有和控制衍生而來，而是國家履行保護(hù)義務(wù)的結(jié)果；其次，在權(quán)利功能方面，工具性權(quán)利并非私權(quán)邏輯下以保障個(gè)人對(duì)其個(gè)人信息的占有、支配為目的，而是為了在數(shù)據(jù)處理中制衡數(shù)據(jù)處理者；最后，在權(quán)利保障方面，國家統(tǒng)籌多種法律責(zé)任機(jī)制，包括行政處罰、刑事追責(zé)以及民事追責(zé)，來延伸和落實(shí)國家保護(hù)義務(wù)。

應(yīng)當(dāng)指出，雖然賦予個(gè)人這些工具性權(quán)利的目的在于對(duì)信息處理者進(jìn)行制衡，但這并不意味著個(gè)人享有針對(duì)其個(gè)人信息處理的排他性決定權(quán)。也就是說，這些權(quán)利并不等于“信息自決權(quán)”。立法者只是通過特定的制度設(shè)計(jì)保障個(gè)人在與其相關(guān)的個(gè)人信息處理活動(dòng)中的發(fā)言、參與和選擇，以抑制個(gè)人信息處理者的恣意和濫權(quán)，但并非賦予個(gè)人對(duì)其個(gè)人信息的實(shí)體性控制權(quán)。 

從立法論的角度看，這些工具性“權(quán)利簇”，范圍究竟多大、具體如何操作、例外理由如何設(shè)置（如同意的例外情形）、是否可以設(shè)定經(jīng)濟(jì)激勵(lì)機(jī)制等問題，都需要由立法者加以界定，這屬于立法者的形成自由，而非不言自明的、絕對(duì)的權(quán)利。事實(shí)上，在《憲章》起草的過程中，采用信息自決權(quán)概念的建議最終被否決，一個(gè)重要的理由便是擔(dān)心這種權(quán)利定位會(huì)產(chǎn)生個(gè)人對(duì)信息處理具有絕對(duì)決定權(quán)的誤解，阻礙信息的流通與分享。Robert Post教授亦指出：“《憲章》第8條指向的通過一系列個(gè)人信息操作規(guī)則賦予個(gè)人針對(duì)個(gè)人信息的‘控制權(quán)’，必須是在針對(duì)與龐大的、密不透風(fēng)的官僚組織（large bureaucratic organizations）作斗爭的境況中才具有意義，不能適用于公共交流、媒體報(bào)道等溝通型語境中�！币虼�，必須對(duì)國家制度性保障義務(wù)下所派生的此種工具性的“控制權(quán)”的行使進(jìn)行必要限定，不能將憲法上的個(gè)人信息受保護(hù)權(quán)直接轉(zhuǎn)化為個(gè)人對(duì)個(gè)人信息所享有的排他的、積極的支配權(quán)。

那么，個(gè)人信息處理制度中的操作規(guī)則應(yīng)達(dá)到什么樣的質(zhì)量標(biāo)準(zhǔn)？結(jié)合上文分析，個(gè)人信息處理操作規(guī)則應(yīng)滿足充分實(shí)現(xiàn)對(duì)數(shù)據(jù)權(quán)力的制衡以及促進(jìn)個(gè)人信息受保護(hù)權(quán)實(shí)現(xiàn)等規(guī)范性要求。具體而言，第一，操作規(guī)則必須滿足明確性、透明性的要求。由于這些操作規(guī)則發(fā)揮著個(gè)人信息處理方式具體化的功能，直接關(guān)涉到個(gè)人的信息權(quán)益能否得到充分保障，因此必須制定明確、透明的操作規(guī)則。例如，GDPR第12條規(guī)定，在提供信息傳達(dá)數(shù)據(jù)主體如何行使其權(quán)利方面，數(shù)據(jù)控制者應(yīng)承擔(dān)廣泛的義務(wù)。相關(guān)信息必須簡潔、透明、清晰易懂，且必須以特定的書面形式提供。信息處理者根據(jù)立法要求進(jìn)行措施細(xì)化時(shí)，例如《個(gè)人信息保護(hù)法（草案）》第47條規(guī)定的“個(gè)人信息處理者應(yīng)當(dāng)建立個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制”時(shí)，也應(yīng)該滿足這些要求。第二，操作規(guī)則還需要結(jié)合特定場景進(jìn)行理解。除了避免對(duì)個(gè)人在信息處理活動(dòng)中的權(quán)利做絕對(duì)化、實(shí)質(zhì)化理解外，由于個(gè)人信息保護(hù)高度依賴特定信息處理場景，因此還需要結(jié)合特定場景對(duì)操作規(guī)則適用進(jìn)行細(xì)化。例如，通過判例、執(zhí)法機(jī)構(gòu)的闡釋以及企業(yè)自行制定的行業(yè)準(zhǔn)則不斷具體化。國家既可以直接制定、細(xì)化操作規(guī)則，也可以對(duì)企業(yè)、行業(yè)自行出臺(tái)的操作規(guī)則予以審核、承認(rèn)、維護(hù)。應(yīng)該注意到，操作規(guī)程制定者的核心任務(wù)是保證這些規(guī)則在不同情境下始終圍繞維護(hù)個(gè)人信息保護(hù)和人格尊嚴(yán)等價(jià)值基礎(chǔ)展開。解釋者也應(yīng)當(dāng)作出符合個(gè)人信息受保護(hù)權(quán)意旨的解釋，盡可能在不同場景下實(shí)現(xiàn)權(quán)利保障的最優(yōu)化與整體價(jià)值的協(xié)調(diào)，故無需也不應(yīng)強(qiáng)求立法者制定普遍適用、固定不變的操作規(guī)程。第三，這些規(guī)則本身還應(yīng)當(dāng)具備便捷性、可操作性。一方面，立法應(yīng)當(dāng)避免信息處理制度過度復(fù)雜化，應(yīng)對(duì)個(gè)人信息處理者的責(zé)任清單進(jìn)行必要界定，對(duì)操作制度的功能進(jìn)行細(xì)化說明，以避免不合理地增加信息處理者成本、影響數(shù)據(jù)自由流通等情形。另一方面，也應(yīng)充分意識(shí)到個(gè)人在面對(duì)信息處理者時(shí)所遭遇的資源和能力匱乏的現(xiàn)實(shí)。比如，個(gè)人往往難以有效評(píng)估信息處理行為對(duì)自己可能構(gòu)成的威脅，對(duì)冗長復(fù)雜的個(gè)人信息保護(hù)條款缺乏足夠的分析及適用能力，因此，立法更應(yīng)強(qiáng)調(diào)操作規(guī)則的清晰性、簡明性、可理解性，構(gòu)建“個(gè)人友好型”的信息處理操作規(guī)則。

2. 組織與程序保障

前文所談的制度性保障重點(diǎn)關(guān)注的是“個(gè)人—信息處理者”之間的權(quán)利義務(wù)關(guān)系結(jié)構(gòu)；組織與程序保障則主要指：在基本的權(quán)利義務(wù)關(guān)系結(jié)構(gòu)之外，需要通過組織和程序設(shè)計(jì)，為國家保護(hù)義務(wù)之落實(shí)提供擔(dān)保性和輔助性制度，以促進(jìn)個(gè)人信息受保護(hù)權(quán)之實(shí)現(xiàn)。這具體涉及到三個(gè)方面。首先，負(fù)有保護(hù)職責(zé)的組織系統(tǒng)如何設(shè)計(jì)；其次，信息處理者組織結(jié)構(gòu)如何優(yōu)化；最后，面向個(gè)人提供哪些基本的法律程序保護(hù)。

（1）對(duì)監(jiān)管機(jī)構(gòu)的組織要求

在個(gè)人與個(gè)人信息處理者之間關(guān)系結(jié)構(gòu)明確之后，國家保護(hù)義務(wù)需要通過監(jiān)管組織和體制而進(jìn)一步落實(shí)。這要求建立權(quán)威、有效的監(jiān)管機(jī)構(gòu)，即“履行個(gè)人信息保護(hù)職責(zé)的部門”，并在此基礎(chǔ)上構(gòu)筑統(tǒng)一、協(xié)作的監(jiān)管和執(zhí)法威懾體系。

一方面，組織保障要求確立穩(wěn)定、一致、高效的監(jiān)管機(jī)制。以管轄權(quán)配置上的統(tǒng)一性要求為例，由于數(shù)據(jù)處理具有明顯的電子化場景性、跨區(qū)域性、空間不確定性，傳統(tǒng)上按照行政區(qū)域和違法行為發(fā)生地來確定管轄權(quán)的規(guī)則，已難以適應(yīng)個(gè)人信息保護(hù)之場景。歐盟在Weltimmo s.r.o.案及后續(xù)立法中，逐步確立了“一站式”組織機(jī)制，旨在改善歐盟數(shù)據(jù)保護(hù)法在不同地區(qū)之間的統(tǒng)一適用性，這既增強(qiáng)了個(gè)人與企業(yè)的法律預(yù)期，也有利于監(jiān)管機(jī)構(gòu)更高效地解決糾紛。我國目前個(gè)人信息保護(hù)仍處于分散立法階段，規(guī)范體系較為零碎，相應(yīng)的監(jiān)管組織設(shè)置和職權(quán)配置也牽涉網(wǎng)信、工信、公安、市場監(jiān)管、一行三會(huì)（央行、保監(jiān)會(huì)、銀監(jiān)會(huì)、證監(jiān)會(huì)）、商務(wù)部、郵政、文化與旅游部等多個(gè)部門，不同監(jiān)管機(jī)關(guān)之間的沖突協(xié)調(diào)困難重重，容易出現(xiàn)負(fù)有監(jiān)管義務(wù)的機(jī)關(guān)相互推諉、逃避職責(zé)以及部分行業(yè)或領(lǐng)域的多頭監(jiān)管等情形，尚需基于統(tǒng)一性要求進(jìn)行優(yōu)化。

另一方面，在個(gè)人信息保護(hù)監(jiān)管活動(dòng)中，多元監(jiān)管機(jī)構(gòu)應(yīng)明確各自權(quán)限并在必要時(shí)開展合作，滿足協(xié)作性要求。例如，個(gè)人信息保護(hù)需要競爭法監(jiān)管部門、消費(fèi)者保護(hù)機(jī)構(gòu)和數(shù)據(jù)保護(hù)機(jī)構(gòu)的協(xié)作。正如歐洲數(shù)據(jù)保護(hù)專員公署指出：“歐盟消費(fèi)者保護(hù)法、競爭法和數(shù)據(jù)保護(hù)法的共同目標(biāo)是糾正信息和市場力量的不平衡，隨著數(shù)字市場的迅速發(fā)展和集中，這種不平衡已變得越來越嚴(yán)重。”然而，在2016年之前，歐洲競爭網(wǎng)絡(luò)、消費(fèi)者保護(hù)合作網(wǎng)絡(luò)以及數(shù)據(jù)監(jiān)管機(jī)構(gòu)執(zhí)行歐盟規(guī)則的情況非常碎片化，產(chǎn)生了許多實(shí)質(zhì)性重疊的情形。在此背景下，歐盟委員會(huì)在2016年的決議中敦促“不同方面負(fù)責(zé)維護(hù)數(shù)字社會(huì)和經(jīng)濟(jì)中的個(gè)人權(quán)益的監(jiān)管機(jī)構(gòu)進(jìn)行更多對(duì)話和信息共享，并努力加強(qiáng)消費(fèi)者監(jiān)管框架、反托拉斯和數(shù)據(jù)保護(hù)之間的協(xié)同”。之后，歐盟委員會(huì)提出成立一個(gè)專門機(jī)構(gòu)，向調(diào)查數(shù)字市場案件的監(jiān)管機(jī)構(gòu)提供技術(shù)支持，并協(xié)調(diào)競爭、消費(fèi)者保護(hù)、產(chǎn)業(yè)發(fā)展、數(shù)據(jù)保護(hù)等不同部門的執(zhí)法需求，以促進(jìn)“各自領(lǐng)域的監(jiān)管機(jī)構(gòu)之間的一致性”。相較而言，我國相關(guān)立法與實(shí)踐還處于相對(duì)空白階段。

（2）對(duì)數(shù)據(jù)處理者的組織要求

組織保障的另一個(gè)面向是針對(duì)進(jìn)行個(gè)人信息處理活動(dòng)的機(jī)構(gòu)提出組織結(jié)構(gòu)要求。例如，《個(gè)人信息保護(hù)法（草案）》第50條要求個(gè)人信息處理者制定內(nèi)部管理制度和開展內(nèi)部培訓(xùn)；第51條要求個(gè)人信息處理者指定個(gè)人信息保護(hù)負(fù)責(zé)人，都是組織保障要求延伸到信息處理者組織架構(gòu)的體現(xiàn)。歐盟GDPR也要求數(shù)據(jù)控制者需采取有效的組織管理措施，包括適當(dāng)頻次的審計(jì)、任命數(shù)據(jù)保護(hù)官、制定有利于信息保護(hù)的內(nèi)部管理制度、事先與數(shù)據(jù)管理局協(xié)商等。這些組織措施有助于從結(jié)構(gòu)上完善信息處理者保護(hù)個(gè)人信息的組織體系，進(jìn)而改變其行為方式，使個(gè)人信息保護(hù)成為組織的內(nèi)生機(jī)制，在降低外部執(zhí)法成本的同時(shí)，也強(qiáng)化信息處理者開展個(gè)人信息保護(hù)的內(nèi)生動(dòng)力。

具體而言，國家在立法和監(jiān)管中可從數(shù)據(jù)處理者的問責(zé)機(jī)制、人員組成、部門與機(jī)構(gòu)設(shè)置等方面提出相應(yīng)的組織要求。第一，問責(zé)制是激發(fā)信息處理者審慎、理性保護(hù)個(gè)人信息的重要?jiǎng)恿�機(jī)制。例如，GDPR和我國《個(gè)人信息保護(hù)法（草案）》都規(guī)定了信息處理者或其代表必須保留其數(shù)據(jù)處理活動(dòng)的記錄，以便于監(jiān)督，這就是一種內(nèi)置的“壓力機(jī)制”。第二，關(guān)于人員組成，個(gè)人信息保護(hù)的立法往往都要求特定人員擔(dān)任監(jiān)管機(jī)構(gòu)、個(gè)人和信息處理者之間的中介。例如，GDPR第37-39條對(duì)DPO（數(shù)據(jù)保護(hù)官）的職責(zé)進(jìn)行了詳盡規(guī)定，其中有兩項(xiàng)核心內(nèi)容：其一，DPO需要及時(shí)參與任何與個(gè)人數(shù)據(jù)保護(hù)有關(guān)的活動(dòng)。例如，對(duì)履行處理者義務(wù)的公司和員工提出建議，并通過執(zhí)行審計(jì)和培訓(xùn)來監(jiān)督數(shù)據(jù)保護(hù)規(guī)則的遵守情況。DPO還必須與監(jiān)管機(jī)構(gòu)合作，并在與數(shù)據(jù)處理有關(guān)的重要事務(wù)（例如數(shù)據(jù)泄露）上充當(dāng)監(jiān)管機(jī)構(gòu)的聯(lián)絡(luò)點(diǎn)。其二，信息處理者需要為DPO提供必要的財(cái)務(wù)、設(shè)備、資訊等資源以及專業(yè)支持，同時(shí)確保其在履職過程中不會(huì)受到解雇或處分的影響。相較之下，我國《個(gè)人信息保護(hù)法(草案)》只是粗略地在第51條提及“個(gè)人信息保護(hù)負(fù)責(zé)人負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督”，并未對(duì)其職能與履職保障作具體規(guī)定，有必要進(jìn)一步完善細(xì)化。第三，個(gè)人信息保護(hù)規(guī)則也會(huì)對(duì)數(shù)據(jù)處理者內(nèi)部機(jī)構(gòu)設(shè)置產(chǎn)生影響。例如,《個(gè)人信息保護(hù)法(草案)》第49條要求個(gè)人信息處理者應(yīng)當(dāng)建立個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制，這就要求信息處理者設(shè)置相應(yīng)的負(fù)責(zé)申請(qǐng)?zhí)幚淼穆毮懿块T或機(jī)構(gòu)；再如，信息處理者內(nèi)部安全部門、法務(wù)部門、產(chǎn)業(yè)部門等不同部門之間的相互關(guān)系亦會(huì)影響其履行處理者義務(wù)的效率與方式，從而間接影響到個(gè)人信息受保護(hù)權(quán)的落實(shí)。

（3）程序保障的具體內(nèi)涵

在憲法理論上，國家保護(hù)義務(wù)的程序保障傳統(tǒng)上主要指司法救濟(jì)程序，后又逐步拓展至行政程序，并在德國、日本以及我國臺(tái)灣地區(qū)出現(xiàn)了與英美法中的“正當(dāng)法律程序”交互運(yùn)用的趨勢(shì)。具體到個(gè)人信息保護(hù)領(lǐng)域，程序保障的內(nèi)涵主要有以下兩個(gè)方面：第一，“個(gè)人能獲得有效救濟(jì)途徑，這是國家需要提供的首要程序保障”。首先，個(gè)人可以在訴訟中針對(duì)信息處理者提出停止侵害、消除影響、要求賠償?shù)耐緩�；其次，個(gè)人應(yīng)當(dāng)有途徑委托特定的組織開展集體訴訟；最后，從權(quán)利救濟(jì)的一般法理來看，個(gè)人應(yīng)有途徑要求監(jiān)管機(jī)構(gòu)履行保護(hù)義務(wù)，并針對(duì)監(jiān)管機(jī)構(gòu)不作為提起訴訟。就此而言，我國《個(gè)人信息保護(hù)法（草案）》第61條只是簡單提及舉報(bào)途徑與回復(fù)要求，并未明確規(guī)定個(gè)人可針對(duì)履行個(gè)人信息保護(hù)職責(zé)的部門怠于履行保護(hù)職責(zé)行為起訴。第二，程序保障還要求，國家機(jī)關(guān)作為信息處理者時(shí)，其作出對(duì)個(gè)人不利的決定時(shí)，個(gè)人能夠獲得公平公正的行政程序保障。例如，《個(gè)人信息保護(hù)法（草案）》第34條規(guī)定“國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息， 應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行”。國家機(jī)關(guān)作為個(gè)人信息處理者與個(gè)人之間的權(quán)利義務(wù)關(guān)系結(jié)構(gòu)應(yīng)如何設(shè)定，程序保障應(yīng)如何落實(shí)，這也是當(dāng)前我國個(gè)人信息保護(hù)立法中需要回應(yīng)的重大問題。

3. 侵害防止義務(wù)

在制度性保障、組織與程序保障之外，國家保護(hù)義務(wù)的落實(shí)還指向侵害防止義務(wù)。國家需要綜合運(yùn)用多重工具，通過構(gòu)建預(yù)防機(jī)制和協(xié)同法律責(zé)任來營造個(gè)人不受數(shù)據(jù)權(quán)力侵害的法秩序環(huán)境。

（1）預(yù)防機(jī)制的構(gòu)建

在大數(shù)據(jù)時(shí)代，個(gè)體其實(shí)難以對(duì)個(gè)人信息流通的風(fēng)險(xiǎn)進(jìn)行預(yù)判，而風(fēng)險(xiǎn)所帶來的后果有可能是極其嚴(yán)重的。以個(gè)人信息泄露的情形為例，其呈現(xiàn)出一個(gè)從直接化向間接化、從簡單化向復(fù)雜化、從顯性信息泄露向隱性信息泄露轉(zhuǎn)變的趨勢(shì)，且規(guī)模愈發(fā)龐大。再如消費(fèi)者保護(hù)領(lǐng)域個(gè)人信息被濫用問題，隨著人工智能技術(shù)發(fā)展，數(shù)據(jù)平臺(tái)通過信息挖掘、分類、自動(dòng)化處理所導(dǎo)向的對(duì)消費(fèi)者的歧視、剝削、欺詐的風(fēng)險(xiǎn)愈發(fā)難以控制。這使得預(yù)防原則變得尤為必要，國家必須采取措施強(qiáng)化信息處理者的風(fēng)險(xiǎn)控制義務(wù)。

在歐盟，預(yù)防原則明確進(jìn)入了立法。GDPR在序言第75-77條便對(duì)個(gè)人信息處理者提出了對(duì)信息處理風(fēng)險(xiǎn)進(jìn)行評(píng)估以及采取應(yīng)對(duì)措施的要求。一方面，在保護(hù)強(qiáng)度上，不同的處理風(fēng)險(xiǎn)對(duì)應(yīng)了不同強(qiáng)度的保護(hù)規(guī)則，GDPR在此列舉了信息的可識(shí)別程度、自然人易受傷害的程度、信息處理的規(guī)模等多項(xiàng)評(píng)判風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。風(fēng)險(xiǎn)的定性對(duì)組織的反應(yīng)、緩解和糾正措施起著重要作用。另一方面，在介入方式上，國家需要采用不同方法主導(dǎo)風(fēng)險(xiǎn)規(guī)制的過程。其一，可以通過立法明確要求信息處理者具備相應(yīng)的風(fēng)險(xiǎn)處理能力，如GDPR第32條要求數(shù)據(jù)處理者保證自身處理系統(tǒng)具備持續(xù)保密、完整、可用、快速恢復(fù)的能力；其二，可以通過官方批準(zhǔn)的行為規(guī)范、認(rèn)證以及監(jiān)管機(jī)構(gòu)制定的指南或說明來為信息處理者提供風(fēng)險(xiǎn)預(yù)防指引。

相較而言，我國《個(gè)人信息保護(hù)法（草案）》提出的“個(gè)人信息處理者制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案”以及對(duì)信息處理者進(jìn)行事前風(fēng)險(xiǎn)評(píng)估的要求也是預(yù)防原則的規(guī)范體現(xiàn)。但如何將預(yù)防原則進(jìn)一步進(jìn)行制度構(gòu)建和細(xì)化，仍需進(jìn)一步的經(jīng)驗(yàn)總結(jié)與規(guī)則表達(dá)。

（2）多元法律責(zé)任機(jī)制的協(xié)同

在法律責(zé)任機(jī)制的建構(gòu)方面，個(gè)人信息保護(hù)采用了多種法律責(zé)任協(xié)同的路徑，包括了民法框架與消費(fèi)者法框架下的損害賠償責(zé)任、違反個(gè)人信息處理合規(guī)要求的行政法責(zé)任乃至最為嚴(yán)厲的刑事責(zé)任等等。由于單一部門法所提供的責(zé)任機(jī)制無法獨(dú)自完成國家保護(hù)個(gè)人信息的任務(wù)，因此，應(yīng)從整體的國家保護(hù)義務(wù)框架來思考和建構(gòu)個(gè)人信息保護(hù)法律責(zé)任體系。在這個(gè)意義上，憲法、民法、行政法、消費(fèi)者法、刑法都可以為個(gè)人信息保護(hù)提供有針對(duì)性的法律責(zé)任機(jī)制，這意味著個(gè)人信息保護(hù)法是一個(gè)典型的“領(lǐng)域法”。我們應(yīng)當(dāng)擺脫部門法本位主義的路徑依賴，考慮多元法律責(zé)任機(jī)制的協(xié)同。

第一，針對(duì)消費(fèi)者法與民法框架下的損害賠償責(zé)任，國家可以采取針對(duì)個(gè)人的傾向保護(hù)。具體而言有四種路徑可供選擇：其一是針對(duì)“損害賠償”的范圍與數(shù)額，可以根據(jù)法院的判例，以充分保護(hù)個(gè)人信息的方式進(jìn)行有利于個(gè)人的解釋；其二是歸責(zé)機(jī)制，如GDPR第82條第4款要求造成權(quán)益侵害的多個(gè)數(shù)據(jù)處理者之間承擔(dān)連帶責(zé)任，以避免個(gè)人經(jīng)歷多個(gè)昂貴且漫長的訴訟程序；其三是在立法上明確非物質(zhì)損失即精神損害賠償責(zé)任的設(shè)置；其四是舉證責(zé)任上的傾斜保護(hù)。盡管如此，單純依靠個(gè)人提起損害賠償之訴，其效果依然是有限的。在歐盟層面，個(gè)人直接針對(duì)信息處理者的訴訟案件成本高昂，往往還需依賴掌握經(jīng)驗(yàn)、技術(shù)知識(shí)的行政監(jiān)管部門作出違法情況調(diào)查認(rèn)定作為先決條件。其根本原因在于，損害賠償訴訟只是整個(gè)數(shù)據(jù)治理中的一個(gè)環(huán)節(jié)，個(gè)人信息保護(hù)制度的有效性更多還需結(jié)合高效的執(zhí)法威懾機(jī)制、企業(yè)治理結(jié)構(gòu)和行業(yè)自律生態(tài)。在我國，既有研究也表明，現(xiàn)有司法實(shí)踐中個(gè)人通過私法上的損害賠償制度獲取有效救濟(jì)的情形少之又少，且面臨舉證、訴訟成本上的諸多難題。綜合而言，私法救濟(jì)提供了一個(gè)必要、但遠(yuǎn)非充分的路徑；該路徑雖仍有完善的空間，但不宜過分強(qiáng)調(diào)其自足功能。

第二，在行政責(zé)任方面，履行個(gè)人信息保護(hù)職責(zé)的部門可采取多種處理措施。首先，監(jiān)管部門可以發(fā)布責(zé)令停止、責(zé)令限制處理、責(zé)令改正、責(zé)令刪除、責(zé)令消除影響與賠禮道歉等行政命令，或采用約談等柔性措施及時(shí)制止違規(guī)活動(dòng)；其次，可以使用發(fā)布風(fēng)險(xiǎn)提示、列入信用檔案并公示等聲譽(yù)工具進(jìn)行監(jiān)管；最后，監(jiān)管機(jī)構(gòu)還可以通過大額罰款、吊銷個(gè)人信息處理登記證或許可證等行政處罰手段，產(chǎn)生強(qiáng)烈的威懾效果�？梢哉f，行政機(jī)關(guān)擁有的工具是多元的。但面對(duì)社會(huì)輿論壓力、政治壓力、執(zhí)法能力不足等情形，監(jiān)管機(jī)構(gòu)也可能出現(xiàn)形式化的要求和一刀切的“規(guī)制過度”，這不僅未必能真正提高個(gè)人信息保護(hù)水平，而且對(duì)行業(yè)發(fā)展、營業(yè)自由的保障可能構(gòu)成潛在威脅。因此，監(jiān)管者一方面需要遵循比例原則的要求，在選擇制裁方式與幅度時(shí)充分考慮不同場景；另一方面，還需考量行政措施與信息處理者治理結(jié)構(gòu)的優(yōu)化以及同消費(fèi)者法責(zé)任、民法責(zé)任等其他機(jī)制之間的銜接，實(shí)現(xiàn)多個(gè)部門法工具之間的協(xié)調(diào)，以積極促成數(shù)字經(jīng)濟(jì)發(fā)展與個(gè)人信息保護(hù)之間的平衡，而非片面追求嚴(yán)苛的執(zhí)法效應(yīng)。

第三，在刑事責(zé)任方面，衡諸刑法的“最后手段性”與“謙抑性”原則，國家若要采取刑事手段進(jìn)行制裁，必須是為了保護(hù)“重大且根本性的法益”免于受到侵害，而且必須在沒有其他有效保護(hù)措施情形下，始得為之。由此原則看，我國刑法經(jīng)由刑法修正案（七）與（九）修正后設(shè)置的侵犯公民個(gè)人信息罪，雖正式確立了個(gè)人信息的刑法保護(hù)路徑，但該罪的適用需滿足全環(huán)節(jié)保護(hù)和謙抑使用的要求，避免由于法律規(guī)范的模糊和空白在部分環(huán)節(jié)上保護(hù)不足，而在特定信息處理環(huán)節(jié)和場景中保護(hù)過度的情形。

結(jié)　論

個(gè)人信息保護(hù)在法權(quán)基礎(chǔ)上所出現(xiàn)的爭議，源于對(duì)個(gè)人信息保護(hù)權(quán)利基礎(chǔ)認(rèn)知的模糊性，而后者又源于“個(gè)人信息國家保護(hù)義務(wù)”此一憲法支點(diǎn)的缺失，因而無法形成清晰的法權(quán)結(jié)構(gòu)。在“個(gè)人信息受保護(hù)權(quán)—國家保護(hù)義務(wù)”框架下，國家不僅要保持審慎、理性的克制態(tài)度以履行其消極義務(wù)，同時(shí)還須為個(gè)人提供積極保護(hù)，以支援個(gè)人對(duì)抗大規(guī)模、持續(xù)化數(shù)據(jù)處理中人格尊嚴(yán)減損的風(fēng)險(xiǎn)。在大數(shù)據(jù)時(shí)代，個(gè)人信息受保護(hù)權(quán)不僅要求國家落實(shí)防御權(quán)導(dǎo)向下的消極保護(hù)義務(wù)，更要求其在客觀法導(dǎo)向下落實(shí)制度性保障、組織與程序保障、侵害防止等積極保護(hù)義務(wù)。個(gè)人信息保護(hù)立法應(yīng)以此為基點(diǎn)而展開體系化建構(gòu)。

“個(gè)人信息受保護(hù)權(quán)—國家保護(hù)義務(wù)”框架有助于我們超越部門法本位主義，在“領(lǐng)域法”理念的引導(dǎo)下檢索可資援用的保護(hù)手段，在此意義上，民法保護(hù)、消費(fèi)者法保護(hù)、行政法保護(hù)、刑法保護(hù)等工具都有其相應(yīng)的適用空間。在規(guī)范意義上，國家通過多種途徑、多元手段為個(gè)人提供協(xié)同保護(hù)，是落實(shí)國家保護(hù)義務(wù)的內(nèi)在要求，可以增強(qiáng)個(gè)人對(duì)信息處理者的制衡能力，緩解權(quán)利行使的“無力感”。因此，對(duì)于數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)而言，上述框架實(shí)際上可以“充實(shí)”（empower）個(gè)人信息受保護(hù)權(quán)。在功能意義上，個(gè)人信息受保護(hù)權(quán)旨在制衡信息處理者的“數(shù)據(jù)權(quán)力”，但不是賦予個(gè)人對(duì)其信息的排他性控制權(quán)，這種權(quán)利結(jié)構(gòu)在保護(hù)個(gè)人免受數(shù)據(jù)權(quán)力壓迫和支配的同時(shí)，也為數(shù)據(jù)技術(shù)和產(chǎn)業(yè)發(fā)展內(nèi)置了空間。個(gè)人信息保護(hù)與信息利用流通的平衡，數(shù)據(jù)安全與產(chǎn)業(yè)發(fā)展的平衡等命題，也只有在國家統(tǒng)籌保護(hù)的框架中，方得有效求解。