内容提要:“个人信息权益的法律性质为何”“对个人信息应给予何种强度的法律保护”以及“多种个人信息保护法律机制之间是何关系”,这是我国个人信息保护法治建设面临的三大难题。传统部门法视角陷入个人信息权益是公法权利还是私法权利、是权利还是法益、是人身权还是财产权、是以民法保护还是公法保护为基础的争论,难以有效回应这些难题。只有认识到个人信息受保护权是一项宪法基本权利,才能摒弃部门法视角导致的无谓争论,转而在宪法视角下,采用领域理论、比例原则以及基本权利双重性质等分析工具,场景化地区分个人信息,开展利益衡量,明确不同场景下的国家消极和积极义务,协调统合多个法律部门,对个人信息提供更加合理、高效和全面的保护。
关 键 词:民法典 个人信息保护法 宪法基本权利 个人信息受保护权 领域法
一、问题的提出
2020年5月28日,第十三届全国人民代表大会第三次会议通过《中华人民共和国民法典》,其一改此前零散、碎片化的立法进路,首次在法律层面系统确立了个人信息保护制度,①以“适应信息化社会的要求”。②2021年11月1日,《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)生效实施。短短一年半间,民法典与个人信息保护法相继推出,为我国的个人信息保护搭建起了法律框架。③但即便有了基本框架,法学界对于个人信息的法律性质、法律保护的强度以及机制仍然有争议,就三个关键问题依旧是言人人殊:第一,个人信息权益的法律性质为何?第二,对个人信息应当给予何种强度的法律保护?第三,多种个人信息保护法律机制之间是何关系?这些争议并未因民法典或个人信息保护法出台而平息,若不从学理上予以澄清和解决,就无法确切地回答个人信息保护究竟“保护什么”“保护多少”以及“如何保护”。
针对上述问题,既有研究从部门法视角出发展开讨论,形成了针锋相对的观点。然而,这些讨论很大程度上是一种无谓争论,无法有效回应上述难题。本文从宪法视角出发,揭示部门法视角的局限与不足,并在此基础上明确个人信息权益的法律性质,分析个人信息法律保护强度的设定,探讨多种个人信息保护法律机制的协调。
二、个人信息权益的法律性质
(一)个人信息权益的公法权利和私法权利二重属性
个人信息权益的法律性质决定了个人信息保护法律制度的基本性质,也影响其保护强度和机制。在此问题上,基于部门法视角的既有研究形成了两种观点:一是民法学者普遍主张的“排他性的私法权利说”,认为民法典第111条规定“自然人的个人信息受法律保护”,该条位于民法典第一编“总则”第五章“民事权利”,故个人信息属于一种民事权利或权益殆无疑义,④“自然人对个人信息享有的是民事权益,而非公法上的权利”。⑤二是行政法学者提出“排他性的公法权利说”,认为“人格权是一项传统的民事权利”,而个人信息受保护权“是随着计算机大规模采用才出现的新事物”,“个人信息保护是信息时代的一项全新挑战,个人信息控制权是需要通过个人信息保护法确立的一项新型公法权利”,其目的在于将“信息主体的权利转变为信息控制者的相应法律义务”,“违反法律义务就等于是对信息主体权利的侵犯”,从而使“信息主体对抗信息控制者信息处理行为”。拥有了作为新型公法权利的个人信息受保护权,“信息主体不但可以对抗平等的民事主体,也可以对抗公权力部门,国家机关同样要尊重和保护个人的信息控制权”。同时,“违反公法义务会导致公法上的法律责任,同时导致权利人损害的,当然也要承担民事侵权责任”。⑥个人信息保护法在第二章“个人信息处理规则”辟专节确立“国家机关处理个人信息的特别规定”,可视为肯认个人信息的公法权利属性。
那么,个人信息到底指向的是一种私法权利还是公法权利?归结起来,民法学者秉持的“排他性的私法权利说”主要基于以下五点理由:第一,立法确认论。如有学者指出若个人信息不是民事权利,则“立法者不可能在作为民商事领域基本法的《民法典》中做出规定,更不会在其总则编的‘民事权利’章中加以规定”。⑦第二,市场交易论。如有学者认为“需要将个人信息权益规定为民事权利,只有民事权利可以遵循市场经济的基本法律——合同法而进行交易”。⑧第三,限制公权论。如有学者批评此前发表的《中华人民共和国个人信息保护法(专家建议稿)》“将个人信息受保护权利定性为公法上的权利,导致过于强调个人信息保护法的行政法乃至刑法规范”,主张“尽管个人信息受保护权的使用、收集过程中存在着行政管理部门的公法行为,但这只需要规定政府部门在信息管理过程中的职责与责任即可,个人信息保护法的核心内容应是民法规范,政府部门的公权在个人信息领域不宜膨胀,而对信息主体私法权利的承认本身就是对公权的一种限制”。⑨第四,追责救济论。如有学者认为“只有民事责任是违法行为人向受害人承担的,民事责任主要形式是赔偿损失,以恢复被侵害人的权益为目的,只有民事责任能真正弥补信息主体的损害”。⑩第五,法律关系论。如有学者强调“个人信息的处理者主要分为两类,一是行政机关、司法机关等国家机关,另一类是非国家机关的其他民事主体。二者在处理目的、合法性基础等方面存在不同,但不因此导致自然人与处理者之间关系的区别。信息处理者与自然人之间的法律地位是平等的。国家机关与非国家机关,均负有不得侵害自然人民事权益的义务。作为民事权益的个人信息权益,可以对抗来自权利主体之外的任何组织或个人的侵害和损害。在私权利保护的问题上,不存在公权力机关比非公权力机关处于更优越地位的情况,否则违背法治国家的原则”。(11)
上述五点理由均难以成立。第一,立法确认论的问题在于,虽然民法典确实把个人信息规定为一种民事权利,但这并未排除其同时作为一种公法权利。在民法典之前,早已有一系列法律将个人信息作为一项可以对抗国家公权力侵犯的公法权利,包括刑法(第253条)、护照法(第12条)、居民身份证法(第6条)、国家情报法(第19条)等。(12)民法典既不能覆盖也不会推翻这些已经存在的法律规定。第二,限制交易论正确指出了个人信息只有作为民事权利才能进行市场交易,但这同样不妨碍个人信息也同时具有公法权利的性质。正如宪法第13条把公民的合法私有财产界定为公法上的基本权利,并不影响物权法第64条规定公民的私人财产所有权,更不会阻碍私人财产作为民事权利参与市场流通。第三,限制公权论误解了公法权利,后者从学理上讲本意是指“主观公权利”,处理的是“个人在法秩序之下的‘基本位置’问题”,其出现恰恰反映了限制国家权力、张扬私人权利的政治哲学。(13)将个人信息界定为公法权利,非但不会带来公权在个人信息领域的膨胀,反而正是为了扎牢控制公权侵犯个人信息的“笼子”。第四,追责救济论突出了民事责任和救济的价值,但偏废了公法责任和救济的功能。即便是主张个人信息仅仅是民事权利的学者,也不得不承认“公权力机关侵害私权利,私权利主体同样可以要求其承担法律责任”,但并非通过民事诉讼的途径,而是根据行政诉讼法和国家赔偿法来获得保护。(14)第五,法律关系论不区分公权机关和民事主体这两种不同性质的信息处理者,认为所有“信息处理者与自然人之间的法律地位是平等的”,其出发点在于避免“公权力机关比非公权力机关处于更优越地位的情况”。这固然无可厚非,但没有考虑“公法遁入私法”的风险,即公权机关假借民事主体的身份来逃脱公法限制,以形式平等掩盖实质不平等。事实上,在多个领域,这种风险早已成为现实。(15)
综上,“排他性的私法权利说”并不成立——承认个人信息是私法/民事权利,既不排斥其同时是公法权利,也不排除对其进行公法保护。(16)但这不能导出行政法学者提倡的“排他性的公法权利说”就自然成立。事实上,承认个人信息的公法权利属性,同样不能否定其私法权利性质。有学者认为“无论以隐私权还是以财产权来对个人信息的使用进行规制都使得相关方无法准确计算和有效率地行使该私权,从而使得私权制度失去其功能”,对于个人信息,应当“超越私权观念而作为公共物品加以保护和规制”。(17)这一观点固然揭示了传统的隐私权和财产权保护进路不足以充分保障个人信息,但忽视了个人信息中的“私密个人信息”仍然具有隐私权面向(民法典第1034条)以及个人信息可以依法作为财产受到保护(民法典第127条)。(18)个人信息保护法第69条规定侵害个人信息受保护权益的侵权损害赔偿责任,便可视为个人信息私法权利性质的体现。全国人大常委会法工委在《关于〈中华人民共和国个人信息保护法(草案)〉的说明》中也承认:“在编纂民法典中,将个人信息受法律保护作为一项重要民事权利作出规定。”
(二)个人信息权益的宪法基本权利性质
上文分析表明:个人信息既是一种公法权利,也是一种私法权利。这种二重性从何而来?追根溯源,在于个人信息权益的宪法基本权利属性。纵观全球,将个人信息受保护作为宪法基本权利有两种方式:一种是宪法肯认,另一种是宪法解释。前者是指成文宪法直接写明个人信息保护。目前,全球已有分布于各大洲至少三十多个国家将个人信息受保护明文列为基本权利。(19)例如希腊宪法第9条规定:“任何人就其个人信息的收集、处理和使用,尤其是通过电子手段为之的,都受到法律保护。个人信息保护由法律规定的独立机构负责。”墨西哥宪法第16条规定:“所有人都享有个人信息受保护权,以及访问、更正和删除此类信息的权利,并依法享有反对公开其个人信息的权利”。阿尔及利亚宪法第46条规定:“所有人在其个人信息被处理时受到保护是法律保障的一项基本权利;侵犯应受处罚。”泰国宪法第32条规定:“除非基于公共利益的必要且依据法律规定,禁止以任何方式滥用个人信息。”斐济宪法第24条规定:“所有人享有个人隐私权,其中包括:个人信息的秘密性受保护的权利。”此外,《欧盟基本权利宪章》第8条和《欧盟运行条约》第16条也规定了“个人信息受保护权”。值得注意的是,此类宪法条文基本都是21世纪后制定或修改而来。(20)
与上述情形不同,更多国家是借由宪法解释来将个人信息保护纳入基本权利,即宪法文本保持不变,但通过解释使其内涵改变以适应社会生活的变化和要求。(21)典型代表如德国“第二人口普查案”确立的“信息自决权”(22)和美国在“华伦诉罗伊案”确立的“信息隐私权”。(23)我国宪法虽未明文肯认“个人信息受法律保护”,只是在第37条、第39条和第40条中确立了人身、住宅和通信的隐私权,(24)但从学理上仍可论证基于宪法第38条人格尊严条款所蕴含的一般人格权,个人信息受保护权属于我国宪法上的一项基本权利。(25)更重要的是,这一学术观点已经获得立法者认同。2021年8月13日,全国人大常委会法工委发言人在通报个人信息保护法草案修改情况时指出:“我国宪法规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。据此,拟在草案第一条中增加规定‘根据宪法’制定本法。”这进一步夯实了个人信息保护法律制度的宪法基础,明确了个人信息受保护权的基本权利属性。基于此基本权利,作为信息主体的公民可同时对抗来自公权机关和私人主体的不法侵害,实现个人信息风险源的全覆盖。
需要说明的是,论证个人信息受保护权属于宪法基本权利,并不表示其宪(公)法权利面向可混同于其民(私)法权利面向,或后者只是前者的照搬照抄。近年来,我国学者对源自域外的“宪法的第三人效力”理论展开批评。该理论有两种版本:一种是美式的“合宪限定解释”,另一种是德式的“宪法导向性解释”。前者意图排除法律的违宪可能,是任何宪法体制的题中应有之义,几无争议;后者试图将宪法的价值、精神融入普遍的法律解释,其中也包括对民法的解释,饱受批评。批评者的核心理由在于宪法基本权利传统上仅处理公民与国家之间的关系,若搬来解决公民与公民之间的关系(即所谓“第三人效力”),不仅逻辑上有矛盾,也存在根本性的错配,甚至会对私人自治构成威胁,因为宪法权利和民法权利在调整对象、规范强度、权利内容、权利目的等方面迥然相异。(26)本文赞同这些批评,因为把公民用以对抗国家的宪法基本权利直接适用于解决公民与公民之间的纠纷,显然是不合适的。但本文仍然认为宪法上的基本权利构成一种“客观价值秩序”,对国家课以保护义务,尽管这种保护义务的具体内容不需要也不应当完全遵循公法权利保护的要求,而是有赖于民主政治和立法过程来形成。(27)正如有学者所指出的,“国家保护义务在某种程度上否定了第三者效力,因为它坚持基本权利是约束国家,尤其是约束立法机关”,而非“在私法关系中约束私人”。(28)以财产权为例,我国宪法第13条规定:“公民的合法的私有财产不受侵犯。国家依照法律规定保护公民的私有财产权和继承权。”这首先当然是奠定了作为公法权利的财产权,公民可以之对抗来自国家的侵害,比如违法征收。而物权法第66条所规定的作为私法权利的财产权对抗的是来自私人的“侵占、哄抢、破坏”,两者显然不同,不可混淆。公民不能也无须以作为公法权利的财产权为依据来主张免受其他公民的侵害。但这并不能否认作为宪法基本权利的财产权给国家施加了对公民财产权的保护义务,要求国家通过制定物权法、侵权责任法、继承法等法律来保护公民的财产权。这些法律所保护的不是用来对抗国家的作为公法权利的财产权,而是作为私法权利的财产权。两者内容不应也没有混同,但都源于作为宪法基本权利的财产权。同理,作为宪法基本权利的个人信息受保护权既有公法权利面向,也有私法权利面向,两者同源但不混同。
三、个人信息法律保护的强度设定
在澄清个人信息受保护权是宪法基本权利、具有私法权利和公法权利两重属性之后,接下来的问题是:对其应当给予何种强度的法律保护?传统部门法视角下,法学界,尤其是民法学界对此长期存在争议,主要体现为对个人信息到底指向权利还是法益、是人格权还是财产权有不同看法。这些争论看似是关于个人信息权益在民法上的属性,实则指向其法律保护的强度,因为在民法学者看来,不同属性代表不同保护强度,确定了属性也就能推导出相应的保护强度。本节的分析将表明这种思路并不成立。
(一)保护权利还是保护法益
多年来,民法学界对究竟是把个人信息作为权利还是法益来保护聚讼纷纭,出现了“法益说”“权利说”和“折中说”三种立场。“法益说”认为,沿袭《民法总则》第111条的做法,民法典第111条并未明确规定“个人信息受保护权”,这显然区别于同一章前后众多条款的表述,比如第110条规定的“生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权”,第112条规定的“因婚姻家庭关系等产生的人身权利”以及第113条规定的“财产权利”等。据此,有学者主张:“本条只是规定了个人信息应当受到法律保护,而没有使用个人信息受保护权这一表述,表明民法总则并没有将个人信息作为一项具体人格权利。”(29)与此不同,“权利说”则认为民法典虽没有在个人信息之后加上“权”或“权利”的字词,但本质上仍然是确立了个人信息受保护权,理由在于“从法律所保护的客体即个人身份信息的独立性、社会实践保护个人身份信息的必要性,以及从比较法的基础上进行分析,对于个人身份信息的保护,一是不能用法益保护方式,因为其显然不如用权利保护为佳;二是不宜以隐私权保护方式予以保护,因为隐私权保护个人身份信息确有不完全、不完善的问题”,更何况民法典第109条规定“自然人的人身自由、人格尊严受法律保护”,同样没有使用“人身自由权、人格尊严权”的表述,但恐怕没有人会认为这不是两项重要的民事权利。(30)“折中说”回避正面回答民法典中的个人信息从法律上讲到底是权利还是法益,具体又分为两类:一类观点认为民法典“事实上承认”“个人信息权”这一新型权利,只不过在法律上没有明确表述;(31)另一类观点则指出“考虑到个人信息的复杂性,(《民法总则》及其后的民法典)没有简单以单纯民事权利特别是一种人格权的形式加以规定,而是笼统规定个人信息受法律保护,为未来个人信息如何在利益上兼顾财产化,以及与数据经济的发展的关系配合预留了一定的解释空间”。(32)个人信息保护法第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”相较于民法典,在个人信息之后加上了“权益”二字,则似乎是在确认个人信息具有权利和法益双重属性。
事实上,根据民法理论,无论是权利抑或法益,本质上都指向对特定民事利益的法律保护。(33)之所以区分二者,是因为“民事主体的利益范围具有无限多样的特征”,单靠已经法定化、类型化的具体、有名权利,并不足以保护所有值得法律保护的民事利益。(34)故在法定权利之外,有必要一定程度地承认“法律识别的正当利益”。(35)民法典第126条规定:“民事主体享有法律规定的其他民事权利和利益。”有学者指出,在德国民法上,“‘利益’中应当受到法律保护的部分,是‘法益’;具有归属效能、排除效能和社会典型公开性并被立法明文规定的‘法益’是权利”。(36)可见,民事权利或民事法益外观上看存在是否法定化、类型化的差别,但实质上没有根本性差异,只是程度之别,即一般认为对法益的保护总体上要弱于对权利的保护。(37)个人信息既已被写入民法典,便不存在未法定化、类型化的障碍,将其界定为权利或法益,无非影响其保护程度高低。法益论者看似采用文本主义的立场反对把个人信息视为法律权利,实则是担心把个人信息“作为客体排他性地归属于信息主体的做法”,会使得“个人对其一切具有识别性的个人信息(不区分重要和非重要的个人信息)的收集、处理和利用享有决定权和控制权,这无异于保护一种漫无边际的个人意志……忽视了人类社会的存在和个人活动的展开所仰赖的信息交流这个前提”。(38)简言之,之所以不能把个人信息当作权利,是防止保护过度。相反,权利论者意在强化对个人信息的保护,因为“将其作为民事权利保护,比作为隐私权的组成部分予以保护,以及用个人信息法益保护,都更为妥善和周到”。(39)折中论者则在两种目的之间摇摆,既希望强化保护,又担心过度保护。可见,三种价值立场背后的真正冲突在于:何为个人信息法律保护的恰切程度?要回答这个问题,首先必须解决一个前提性的问题——判断保护程度高低的参照系是什么?从体系解释的角度看,民法典总则第五章和人格权编均把生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权等具体人格权利规定于个人信息之前,似乎是在表明两者有区别。但民法典第1034条又明确规定“个人信息中的私密信息,适用有关隐私权的规定”,这就意味着至少有一部分个人信息应当同作为具体人格权的隐私权受到同等保护。(40)同时,民法典第185条规定“侵害英雄烈士等的姓名、肖像、名誉、荣誉,损害社会公共利益的,应当承担民事责任”,则把英雄烈士的人格法益视作“已转化社会公共利益”,即便其没有近亲属或近亲属不向人民法院提起诉讼,检察机关也可依法起诉。(41)对这种法益的保护程度既可以说比人格权利更高,因为公民个人的人格权利受损不会引起公益诉讼,也高于个人信息保护的程度,因为根据个人信息保护法第70条的规定,“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”,这表明只有众多个人的信息受到侵害时,方能提起公益诉讼。
上述分析表明,从实定法规范来看,对个人信息的保护程度有时等于对人格权利的保护(即涉及私密个人信息时),有时又低于对人格法益的保护(即涉及英烈人格法益时)。这貌似会导致一种“吊诡”的局面,即个人信息的保护强度“忽高忽低”,但其实不存在任何矛盾或混乱,只不过是参照系调整导致的结果——同英烈的人格法益相比,所有个人信息的法律保护程度都较低;同隐私权利相比,私密个人信息的法律保护程度相同。因此,把个人信息放进“权利”或者“法益”的“筐子”,并不天然地、先在地决定其保护强度是高还是低。(42)真正的决定因素还在于个人信息的具体内容及其所代表的值得法律保护的利益。这里的难点就在于:私密个人信息以外的个人信息到底应当给予何种程度的法律保护?
正是在这一点上,前文得出的个人信息受保护权是宪法基本权利的结论能够超越传统民法视角带来新的启发。在基本权利教义学中,德国联邦宪法法院就宪法上一般人格权的保护程度提出了“领域理论”(Sphrentheorie)。该理论将私人生活领域模拟为一个同心圆,依其距离中间核心部分的远近,区分不同圈层给予不同程度的法律保护。(43)具体而言,受保护的人格领域由里到外分为私密领域(Intimsphre)、隐私领域(Geheimsphre)及个人领域(Indivdualsphre)。其中,私密领域涉及“个人内在思想或者内在感受的外在表现以及根据事物本质应该处于保密状态的行为或者信息”,例如“私人信件、日记、健康信息、性生活”等,其处于“同心圆”的最核心地带,受法律的绝对保护,任何形式的干预都当然违法。隐私领域则涉及“根据社会一般观念,只有得到当事人的同意,第三人或者公众才能进入的生活领域,特别是个人在家居范围内、家庭生活中的行为”,位于“同心圆”的第二圈层,其保护强度要弱于私密领域、高于个人领域,如何保护取决于利益衡量。个人领域涉及“个人能够在社会生活和工作中展现自我”,位于“同心圆”最靠外的第三圈层,其法律保护程度最低,有时候甚至不受保护。(44)这一宪法上的领域理论,虽然面临着如何准确划分不同圈层以及应否给予私密领域绝对保护的实践和理论争议,并因此被德国宪法法院所放弃,(45)但其区分不同性质的人格利益并通过利益衡量给予不同程度保护的思路,对于个人信息法律保护强度的设定至今仍然具有重要的借鉴价值。(46)相较于通过机械、简单地把个人信息归类为“权利”或“法益”来确定其法律保护程度,领域理论显然更加灵活、精细,也更符合对隐私权益的“场景化与社群主义理解”。(47)事实上,早在十余年前,民法学家王泽鉴教授就已经注意到并介绍了该理论。(48)个人信息保护法沿袭了《信息安全技术个人信息安全规范》,区分“敏感个人信息”和“个人信息”,对前者提供更高程度的保护,比如要求取得信息主体的单独同意。就其内容来看,敏感个人信息有一部分属于私密个人信息,比如个人信息保护法第28条列举的“医疗健康”“金融账户”等,也有一部分不属于私密个人信息,但同样要比非敏感个人信息受到更高保护。之所以如此,不是因为敏感个人信息的权利属性要强于法益属性,而是因为敏感个人信息位于隐私领域,甚至部分触及私密领域。可见,有必要尽快平息个人信息指向权利还是法益这一很大程度没有意义的争论,把学术注意力引向更有价值的问题,借助宪法理论对不同场景下不同内容的个人信息保护进行利益权衡。
(二)保护人格权还是保护财产权
保护人格权还是保护财产权也是我国民法学界争论多年的一个问题,目前形成了“人格权说”“财产权说”及“混合说”三种观点。持人格权说的学者主张:民法典第990条第2款明确规定“除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益”,因此,可以将自然人的个人信息受保护权益归入自然人基于人身自由、人格尊严而产生的其他人格权益。以此为基础,民法典第993条、第1035条、第1036条、第1182条、第1183条设定了一系列保障人格权中经济利益的制度,“无须叠床架屋地针对个人信息的人格利益和经济利益分别设立单独的人格权和财产权”。(49)持财产权说的学者则认为,把个人信息仅仅视作一种人格权,“并不能适应复杂的现实调整的需要,特别是在大数据现象以及数据经济旋即得到前所未有的爆发之后,其局限性越加明显”,“数据经济及其数据资产化趋势,推动了数据财产化的发展”,故有必要把个人信息界定为“一种新型财产权形态”。(50)持混合说的学者试图兼顾个人信息上的两类利益,承认“个人信息上承载的自然人的利益是多元的,既包括自然人的人格利益,也包括经济利益或财产利益,因此,对于自然人个人信息的人格利益,应当通过人格权给予保护,对于自然人个人信息的财产利益,则通过财产权保护。若同时体现人格利益和财产利益,就给予人格权和财产权的双重保护”。(51)民法学者之所以会有上述分歧,背后的实质原因在于“对这一问题的不同认识,会直接影响对于整个个人信息保护法律架构建立的认识。强调人格利益,则势必强调信息主体对于其个人信息的‘支配性’,留给信息业者‘利用’个人信息的空间就较小;反之,如果较为强调财产利益,则势必要在一定程度上限制信息主体对其个人信息的‘支配程度’。支配程度与利用空间之间如何平衡,会直接决定个人信息收集、处理和使用者的义务内容”。(52)可见,民法学界通常将“人格权”与“强支配/控制”相绑定,把“财产权”同“弱支配/控制”相绑定,由此出现了个人信息定性的两难选择。追根溯源,这是基于传统民法对于人格权和财产权的划分,即“人格权不具财产性(即不包含财产性内容),而财产权也不具人格性(即不包含精神性内容)。人格权系以人的精神利益为其保护内容,是一种非财产性权利,其不具有转让性和继承性”。(53)
然而,在宪法视角下,上述区别以及由此带来的“绑定”并不成立。作为一项宪法基本权利的个人信息受保护权,如前所言,植根于宪法上的人格尊严条款及其所蕴含的一般人格权,(54)从来就不指向个人的绝对控制,更不代表毫无保留的法律保护。事实上,德国联邦最高法院早已在“医疗保险公司文件案”判决中指出:“由于一般人格权具有一般条款的特征,因此具有不确定性。正如人格本身具有开放性一样,一般人格权的内容也不可能被终局性地确定。一般人格权并没有开启这么一种可能性:个人的利益可以不受限制地获得实现。情况也不可能如此:只要人们觉得自己的诉求和期望被他人妨碍时,就一定存在损害赔偿请求权和停止侵害请求权……一个人的一般人格权和他人的一般人格权具有同样的位阶,人格的自由发展正是意味着超出自身领域而行事,这两点都表明存在冲突的可能性,此时需要划定界限,对于划定界限而言,利益衡量起着决定性作用。”据此,该法院进一步指出,信息自决权必须“建立在外界可识别的具体表现形式上”,且“具有应该受到法律保护的利益”。(55)上文提及的领域理论也并未对作为人格权的个人信息提供绝对保护。反过来,从宪法角度看,财产权也绝非与人格利益无关,更不存在不受限制的自由处分。比如德国联邦宪法法院就在“汉堡洪水控制案”判决中明确指出,作为基础性宪法权利之财产权的核心,目的并不是经济意义上的,而在于对人格和道德性的维护;“为保障财产权的基础性宪法权利之地位,必须将之置于维护个人自由的关系中进行审视。在宪法权利的一般体系中,财产权的功能在于通过维护权利人的经济自由,从而实现其自我统治”。(56)德国联邦《基本法》第14条第2款规定“所有权负有义务”,即所谓“所有权的社会义务”。这种社会义务的轻重取决于财产的性质。德国联邦宪法法院“将宪法所保障的财产区分为主要体现个人自由的财产和有着较强社会关联和社会功能的财产”,并明确指出,“如果财产的使用更多体现的是个人自由地形成自我负责的生活层面,则宪法对其的保护就更强;与此相对,如果财产有着更多的社会关联性,承担着更多的社会功能,则通过法律对其进行的限制就应该更强”。(57)据此,若某种财产更多代表了人格性利益,则其法律保护程度就较高,个人自由支配、控制的空间就更大;若其更多代表了财产性利益,则法律保护程度较低,个人自由支配、处分的空间就更小。比如在德国,多数人依靠租赁他人所有的房屋作为住宅,立法因此对于租赁房屋作为住宅的租赁人的权利给予区别于一般租赁的特殊保护,设置了此类房屋所有权人的特别义务。这就是基于社会福利的考虑来限制财产权的行使,所有者的行为受到法律约束,且不会获得补偿。(58)
由此可见,在宪法视野中,人格权不一定代表权利主体的“强支配/控制”,财产权也不必然指向权利主体的“弱支配/控制”,二者其实同处于一道“光谱”,权利主体本身支配或控制的强度取决于客体权利所代表的利益。事实上,已经有民法学者认识到:“人格权与财产权之间在理论源头上并不存在传统的人格权非财产性与财产权非人格性理论中那样不可逾越的天然鸿沟,二者之间并无绝对的边界。事实上,不论是以意志者本人为作用对象的人格权,还是以外部世界为作用对象的物权和债权,其保护的利益均兼具精神利益和财产利益。”(59)在现实中,完全可能出现特定财产权的人格利益大于特定人格权的人格利益,法律上允许的个人对前者的支配程度要小于后者;反过来,特定人格权的财产利益也完全可能大于特定财产权的财产利益,法律上允许的个人对前者的支配程度要大于后者。比如《人体器官移植条例》第3条规定“任何组织或者个人不得以任何形式买卖人体器官,不得从事与买卖人体器官有关的活动”,(60)而民法典第993条规定“民事主体可以将自己的姓名、名称、肖像等许可他人使用”。(61)而作为宪法基本权利的个人信息受保护权,既具有人格利益,也具有财产利益,前者的典型代表,如公开程度较低、个人性较强、可以直接识别个人或者公开后会对信息主体造成不利影响的私密个人信息和敏感个人信息,比如健康、医疗信息等;后者的典型代表,如公开程度较高、社会性较强、只能间接识别个人的一般个人信息,比如学历、职务信息等。(62)信息主体对个人信息的控制程度和法律保护强度如何,并非简单地由人格权或财产权的归属来决定,而是端赖场景化的利益衡量来确定国家保护义务履行的方式和强度。在这方面,宪法上的比例原则(特别是包含目的正当性的“四阶层版本”(63))可以提供有益的思维框架和分析工具。
综上,民法学界试图通过明确个人信息的权利或法益、人格权或财产权属性来推导其法律保护强度的进路,在理论和实践上均不能成立。唯有基于个人信息受保护权的宪法基本权利定位,引入领域理论、比例原则进行场景化的利益衡量,方能更为精细、准确地设定个人信息的法律保护强度。
四、个人信息法律保护的机制协调
如前所言,在民法典和个人信息保护法已经生效的今天,我国的个人信息法律保护的基本框架已经搭建完成。加上此前的一系列相关法律、法规,个人信息保护已经配备了多种法律机制。近年来,关于这些不同法律机制之间的关系,基于部门法视角的既有研究形成了两派观点,可总结为民法学者支持的“民法典+”模式和行政法学者支持的“+民法典”模式。
“民法典+”模式主张民法典才是个人信息保护领域的基本法,其与已经出台的刑法相关条文、网络安全法等以及即将出台的数据安全法,特别是个人信息保护法之间属于一般法和特别法的关系,我国的个人信息保护法律体系是由“民事基本法与行政单行法构筑的”。(64)其理由主要有三点:第一,民事权利基础论认为,“从比较法上来看,德国是在宪法中首先引入了个人信息权利,然后才在私法关系中,给予个人信息以保护。而在我国,由于宪法并没有可诉性,所以为了在私法关系中保护个人信息的相关权利,必须首先在民法中加以明确,此后,民事特别法中才能够给予补充规定,这样才能够为个人信息权提供全面的保护”。(65)“我国民法典人格权编对个人信息保护的规定,并非简单的一部法律对个人信息保护的规定,而是具有如同《欧盟基本权利宪章》第8条关于个人信息保护规定相同法律地位的规定。如果民法典不对个人信息的保护作出规定,那么无论是行政法对个人信息的规制,还是刑法对侵害个人信息行为的处罚,都将因此缺乏民事权益上的正当性基础与民事基本法的依据。”(66)第二,民法规定基础论认为,民法典“为后续的《个人信息保护法》《数据安全法》的制定提供了基本的根据”,其“对个人信息保护的基本原则与规则(如自然人就个人信息享有的各项权利、收集和使用个人信息应遵循的基本原则,侵害个人信息的侵权责任构成要件、归责原则、免责事由及侵权责任的承担方式等)作出相应的规定,可以为《个人信息保护法》《数据安全法》等法律的制定提供基本的依据”。(67)民法典关于个人信息保护的规定更为总体、抽象,而个人信息保护法的规定则更加具体和技术化。“只有在民法典中确认个人信息受保护权之后,才能为个人信息保护的特别立法提供民事基本法依据”,“特别法应当在民法典规定的基础上,对个人信息的保护作更具体的规定”,“个人信息保护的一些程序性和技术性的规定,可以交由单行法或者行政法规来规定”。(68)第三,民事责任基础论认为,个人信息保护违法责任的基本形式由民法典规定,个人信息保护法等“行政单行法”只是在违法程度较高时介入、兜底。比如有学者就指出,个人信息保护“属于民法范畴,当个人信息受到侵犯时,可以通过法院起诉,以制止侵权行为或者获得赔偿。但是对个人信息受保护权利侵犯严重到一定程度时,就构成了对公共秩序的违反,需要行政权力介入并加以防范”。(69)
与“民法典+”模式相对,“+民法典”模式否认个人信息保护法是民法典的特别法,而是认为“个人信息保护法是保护个人信息的基本立法,任务是明确个人信息保护的基本原则和制度,明确实体规范与程序规范,然后再由相关单行立法根据不同行业领域的特点制定相应的规定,构成个人信息保护的完备法律体系”。(70)其主要理由也有三点:第一,公私权利异质论,认为民法典和个人信息保护法的规定不是抽象和具体的关系,而是在处理不同性质的问题,前者指向的人格权(隐私权)保护与后者指向的个人信息保护是“根本不同的两项制度”。(71)具体言之,“人格权是一项传统的民事权利,个人信息受保护权则是完全独立的一项新型公法权利”,因为“个人信息保护的客体是个人信息,而个人信息的范围非常广,通常包括任何已识别或者可识别特定个人的信息,范围远远大于个人不愿为人所知、披露后会导致社会评价降低的私密信息(隐私)”。(72)第二,公法规定基础论提出,“个人信息保护法的义务主体具有特殊性,不是‘任何组织或者个人’这样的一般主体,而是数据控制者、处理者这样的特殊主体”,故应“首先由个人信息保护法界定其权利基础,再由包括民法典在内的相关法律追究侵权行为应该承担的法律责任”。(73)第三,公法责任基础论主张,个人信息保护不能只依赖事后损害赔偿救济,而是要求“为数据控制者规定广泛的法律义务,并通过设立专门、独立、权威的个人信息保护执法机构来提供有效的保护”。因此,“个人信息保护法的义务主体、调整范围、执行机制等均明显不同于民法典,不能将个人信息保护法视为民法特别法。只有违反个人信息保护法的行为造成权利人民事权益损害的,民法典才从民事责任追究方面进行衔接”。(74)
公允地讲,上述分歧并非不同部门法学者之间关于孰主孰客的门户之争,也不是凌空蹈虚的理论遐思,而是触及个人信息的多种法律保护机制之间究竟如何协调的现实问题。没有人会认为个人信息的私法保护和公法保护必须择一,真正的争议焦点在于二者之间谁更为基本。然而,基于以下三点理由,这本身就是一个“伪问题”。
第一,民法典和个人信息保护法规定的是同一种个人信息,都能对抗“任何组织和个人”,且同时具有公法权利和私法权利属性。比如民法典第1034条规定“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”;个人信息保护法第4条规定“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。二者对个人信息的定义基本一致。(75)民法典第111条规定“任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息”;个人信息保护法第2条规定“任何组织、个人不得侵害自然人的个人信息权益”。民法典第1039条规定“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供”;个人信息保护法第69条规定“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。第二,民法典和个人信息保护法关于个人信息保护的规定在抽象程度上没有明显差别,而是多有交叉,并非互为基础。比如民法典第1035条和个人信息保护法第5条至第9条均明确了个人信息处理基本原则,且二者的规定总体类似。第三,民法典和个人信息保护法所规定的侵犯个人信息的私法责任和公法责任之间在归责原则、构成要件、免责事由以及责任承担方式上均有不同,二者并行不悖,而非互为基础。
之所以出现上述局面,根本原因在于前文所揭示的,个人信息受保护权同时具有公法权利和私法权利两种属性。这意味着其所对应的公法和私法两种法律保护机制之间,既不能非此即彼,更无须厚此薄彼,而应统合在宪法基本权利框架下,各负其责,达致合力。诚然,我国仍不允许公民个人直接提起宪法诉讼,但这并不意味着宪法基本权利就是“空中楼阁”,也不代表民法典就可以或应当成为其他部门法律的规范基础或价值源泉。相反,民法典开宗明义就规定“根据宪法,制定本法”,在价值体系与规范体系上民法受宪法的制约,其虽“被寄寓了发挥宪法性功能的雄心,但该功能只具有限定性的内容,可理解为一种‘准宪法性’的社会建构功能,不应被刻意夸大”。(76)反过来,个人信息保护法也只是较为系统地规定相关制度的一部法律,其最终价值依凭和规范根据仍归于宪法。(77)
具体而言,宪法基本权利具有双重性质,既是一种“主观权利”,也是一种“客观法”。(78)在“主观权利”面向下,基本权利最主要具有防御权功能,即对抗国家侵犯,比如民法典第1039条禁止国家机关、承担行政职能的法定机构及其工作人员非法提供个人信息、刑法修正案(七)就相应刑事责任的规定,以及个人信息保护法第68条关于国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分的规定,都体现了作为宪法基本权利的个人信息受保护权对抗国家的防御权功能。这可谓国家在个人信息保护方面的消极(不作为)义务。而在“客观法”面向下,基本权利主要具有三种功能:一是“制度性保障功能”,即“宪法所保障之各种基本权利,国家均负有使之实现之任务。为达成此项任务,国家自应就各个权利之性质,依照社会生活之现实及国家整体发展之状况,提供适当之制度的保障”;(79)二是“组织和程序保障功能”,即“设立适当的组织机构和程序来落实基本权利的保障”;三是“国家保护义务功能”,即“立法建立具体制度,通过这些制度的运行,保护个人免受第三人的侵害”。(80)这意味着国家在个人信息保护方面负有积极(作为)义务。首先,无论是民法典,还是刑法,抑或网络安全法、数据安全法、个人信息保护法等,这些旨在保护个人信息免受侵害并促进个人信息自由流通的法律,都是在落实国家对于作为宪法基本权利的个人信息受保护权的“制度性保障功能”。个人信息保护法第11条更是明确承诺:“国家建立健全个人信息保护制度,预防和惩治侵害个人信息受保护权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。”第12条规定:“国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认。”其次,个人信息保护法第60条确定由“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作”。这是在履行国家对个人信息受保护权的“组织和程序保障功能”,个人信息保护法第六章对此作了较为详细的规定。再次,个人信息领域的“国家保护义务功能”体现于消费者权益保护法、社会保险法、地图管理条例、征信管理条例等一系列法律、法规保护个人信息免受他人侵害的规定。(81)
由此可见,“民法典+”模式和“+民法典”模式都未能完整、准确地阐明诸多个人信息保护法律机制之间的关系。从根本上讲,民法典和个人信息保护法不存在谁更为基础的问题。民法典纵然是个人信息保护的民事法律基础,但不是唯一或最根本的基础,个人信息保护法亦然。在个人信息保护领域,二者都不是最终的基本法,而是形成和落实作为宪法基本权利的个人信息受保护权的不同规范。与其讨论二者哪个更根本,不如在宪法基本权利的统一框架下,讨论如何协调二者之间可能存在的张力,(82)明确二者各自发挥作用的场景,从而有效统合公、私法机制,为个人信息提供系统、整全的法律保护。
“社会不是以法律为基础的,那是法学家的幻想,相反地,法律应该以社会为基础。”(83)在大数据、人工智能高速发展的今天,个人信息保护已是涉及经济、社会和文化生活方方面面的综合性问题。与此相应,个人信息的法律保护也无法被单一进路、个别维度所涵盖。这意味着个人信息保护法的本质是一种“领域法”,涉及“重大社会领域中具有整合性、交叉性、复杂性的法律现象”,不能被简单切割进任一具体法律部门。(84)个人信息保护法学也由此构成一种“领域法学”,要求“以问题为导向,以特定社会领域内具有共性的法律现象为研究对象,综合运用人文社会科学方法对这些领域法现象进行归纳、解释与预测”。(85)本文通过论证个人信息受保护权是一项宪法上的基本权利,且同时具有公法权利和私法权利两种属性,为该领域法奠定规范和价值基础。在此基础上,不论是权利属性的厘清,还是保护强度的设定,抑或保护机制的协调,都应超越部门法视角的“门户之见”,摒弃以往关于个人信息权益是公法权利还是私法权利、是权利还是法益、是人身权还是财产权以及是民法保护机制还是公法保护机制更为基本的无谓争论,转而在宪法视角下,采用领域理论、比例原则以及基本权利双重性质等分析框架,场景化地区分个人信息,开展利益衡量,明确不同场景下的国家消极和积极义务,协调统合多个法律部门,对个人信息提供更加合理、高效和全面的保护。
①参见程啸:《我国〈民法典〉个人信息保护制度的创新与发展》,载《财经法学》2020年第4期。
②张鸣起:《〈中华人民共和国民法总则〉的制定》,载《中国法学》2017年第2期。
③本文不对“个人信息”和“个人数据”作区分。既有研究对二者作出的区分主要是理论性的,不具有实定法基础。参见周斯佳:《个人数据权与个人信息权关系的厘清》,载《华东政法大学学报》2020年第2期。
④吕炳斌:《个人信息权作为民事权利之证成:以知识产权为参照》,载《中国法学》2019年第4期。
⑤程啸:《论我国民法典中个人信息权益的性质》,载《政治与法律》2020年第8期。
⑥周汉华:《个人信息保护的法律定位》,载《法商研究》2020年第3期。
⑦前引⑤,程啸文。
⑧严鸿雁:《论个人信息权益的民事权利性质与立法路径——兼评〈个人信息保护法〉(专家建议稿)的不足》,载《情报理论与实践》2013年第4期。
⑨前引⑧,严鸿雁文。
⑩前引⑧,严鸿雁文。
(11)前引⑤,程啸文。
(12)除此之外,反恐怖主义法、反间谍法、统计法、出境入境管理法、《不动产登记暂行条例》等多部法律、法规均有类似规定。参见王秀哲:《我国个人信息立法保护实证研究》,载《东方法学》2016年第3期。
(13)参见赵宏:《主观公权利的历史嬗变与当代价值》,载《中外法学》2019年第3期。
(14)参见前引⑤,程啸文。
(15)参见张力:《国家所有权遁入私法:路径与实质》,载《法学研究》2016年第4期;胡改蓉:《论公共企业的法律属性》,载《中国法学》2017年第3期。
(16)参见丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018年第6期。
(17)吴伟光:《大数据技术下个人数据信息私权保护论批判》,载《政治与法律》2016年第7期。
(18)参见邢会强:《大数据交易背景下个人信息财产权的分配与实现机制》,载《法学评论》2019年第6期。
(19)参见孙平:《政府巨型数据库时代的公民隐私权保护》,载《法学》2007年第7期。2020年11月12日在比较宪法项目数据库以“personal data”为关键词做全文检索,可得现行有效宪法26部;以“personal information”做检索,可得13部。该数据库由美国得克萨斯大学和芝加哥大学的三位政治学、法学方向的教授联合创建,目前是全球最为全面、权威的宪法文本数据库。
(20)主要的例外在于1976年葡萄牙宪法第35条、1988年巴西宪法第5条。参见Gloria González Fuster."The Emergence of Personal Data Protection as a Fundamental Right of the EU",Springer International Publishing(2014).
(21)学理上称为“宪法变迁”。参见韩大元:《论宪法规范与社会现实的冲突》,载《中国法学》2000年第5期。
(22)BVerfGE 65,1.
(23)Whalen v.Roe,429 U.S.589(1977).需要说明的是,一些美国学者认为该判决只是“假设”而非系统证成了宪法上的信息隐私权,故在联邦宪法层面,该项权利仍然是“捉摸不定的”。参见Mary D.Fan "Constitutionalizing Informational Privacy by Assumption",University of Pennsylvania Journal of Constitutional Law(2012); Larry Pittman "The Elusive Constitutional Right to Informational Privacy",Nevada Law Journal 19,No.1(2018).然而,时至今日,美国多个联邦上诉法院和州法院已经在判决中正式肯认了信息隐私权。Elbert Lin."Prioritizing Privacy:A Constitutional Response to the Internet",Berkeley Technology Law Journal 17,No.3(2002).美国学界也在呼吁联邦最高法院向德国学习,正式明确该项权利。Timothy Azarchs."Informational Privacy:Lessons from Across the Atlantic",University of Pennsylvania Journal of Constitutional Law(2014).
(24)参见屠振宇:《宪法隐私权研究—— 一项未列举基本权利的理论论证》,法律出版社2008年版,第188-227页。
(25)详细论证,参见王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,载《清华法学》2021年第3期。
(26)参见李海平:《基本权利间接效力理论批判》,载《当代法学》2016年第4期;黄宇骁:《论宪法基本权利对第三人无效力》,载《清华法学》2018年第3期;姜峰:《民事权利与宪法权利:规范层面的解析——兼议人格权立法的相关问题》,载《浙江社会科学》2020年第2期。
(27)参见张翔:《基本权利的双重性质》,载《法学研究》2005年第3期。
(28)王锴:《论宪法上的一般人格权及其对民法的影响》,载《中国法学》2017年第3期。
(29)王利明主编:《中华人民共和国民法总则详解》,中国法制出版社2017年版,第465页。
(30)参见杨立新:《个人信息:法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》,载《法学论坛》2018年第1期。
(31)参见张文显:《民法典的中国故事和中国法理》,载《法制与社会发展》2020年第5期。
(32)龙卫球、刘保玉:《中华人民共和国民法总则释义与适用指导》,中国法制出版社2017年版,第404页。
(33)参见谢怀栻:《论民事权利体系》,载《法学研究》1996年第2期。
(34)参见张驰、韩强:《民事权利类型及其保护》,载《法学》2001年第12期。
(35)李建华、王国柱:《论民事权益——民法保护对象的立法和司法双重确认》,载《法学杂志》2011年第1期。
(36)孙山:《民法上“法益”概念的探源与本土化》,载《河北法学》2020年第4期。
(37)参见曹险峰:《在权利与法益之间——对侵权行为客体的解读》,载《当代法学》2005年第5期;葛云松:《〈侵权责任法〉保护的民事权益》,载《中国法学》2010年第3期。
(38)杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,载《比较法研究》2015年第6期。
(39)前引(30),杨立新文。
(40)有学者提出至少应对“个人敏感隐私信息”提供同隐私权一样的高强度保护。参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。
(41)参见王叶刚:《论侵害英雄烈士等人格权益的民事责任——以〈民法总则〉第185条为中心》,载《中国人民大学学报》2017年第4期;罗斌:《传播侵害公共利益维度下的“英烈条款”——〈民法总则〉第一百八十五条的理解与适用》,载《学术论坛》2018年第1期。
(42)事实上,早有学者指出,我国既有法律体系没有为“合法利益”提供配套的独立保护规范。参见王成:《个人信息民法保护的模式选择》,载《中国社会科学》2019年第6期。这就意味着区分法定权利和法定利益的保护程度更多是一种学理上的讨论,实际意义并不大。
(43)参见王毅纯:《论隐私权保护范围的界定》,载《苏州大学学报》(法学版)2016年第2期。
(44)参见杨芳:《德国一般人格权中的隐私保护——信息自由原则下对“自决”观念的限制》,载《东方法学》2016年第6期。
(45)参见65 BVerfGE 1(1984).
(46)事实上,令人满意的领域理论的替代者仍未出现,该理论也一直作为德国宪法法院思考不同程度隐私保护的背景性框架。参见Edward Eberle."Observations on the Development of Human Dignity and Personality in German Constitutional Law:An Overview",Liverpool Law Review(2012).
(47)前引(16),丁晓东文。
(48)参见王泽鉴:《人格权的具体化及其保护范围·隐私权篇(上)》,载《比较法研究》2008年第6期。
(49)前引⑤,程啸文。
(50)龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第4期。
(51)刘德良:《个人信息的财产权保护》,载《法学研究》2007年第3期。
(52)张彤:《论民法典编纂视角下的个人信息保护立法》,载《行政管理改革》2020年第2期。
(53)参见王泽鉴:《人格权法:法释义学、比较法、案例研究》,北京大学出版社2012年版,第46、252、253页。转引自姜福晓:《人格权财产化和财产权人格化理论困境的剖析与破解》,载《法学家》2016年第2期。
(54)参见前引(28),王锴文。
(55)BGHZ,24,72.转引自杨芳:《德国一般人格权中的隐私保护——信息自由原则下对“自决”观念的限制》,载《东方法学》2016年第6期。
(56)[美]G.S.亚历山大:《财产权是基础性权利吗?——以德国为比较项》,载《公法研究》2007年刊,第426页。
(57)张翔:《财产权的社会义务》,载《中国社会科学》2012年第9期;Rebecca Lubens."The Social Obligation of Property Ownership:A Comparison of German and U.S.Law",24 Arizona Journal of International and Comparative Law 389(2007).
(58)参见李泠烨:《土地使用的公共限制——以德国城市规划法为考察对象》,载《清华法学》2011年第1期。
(59)前引(53),姜福晓文。
(60)脱离人体的器官属于财产,但因其牵涉重大人格利益而不得买卖。参见彭志刚、许晓娟:《人体器官的法律属性及其权利归属》,载《科技与法律》2006年第3期。
(61)姓名、名称、肖像属于人格权保护对象,但法律上允许许可使用。
(62)项定宜:《个人信息的类型化分析及区分保护》,载《重庆邮电大学学报》(社会科学版)2017年第1期。
(63)刘权:《目的正当性与比例原则的重构》,载《中国法学》2014年第4期。
(64)前引(52),张彤文。
(65)王利明:《论个人信息权在人格权法中的地位》,载《苏州大学学报》(哲学社会科学版)2012年第6期。
(66)程啸:《民法典编纂视野下的个人信息保护》,载《中国法学》2019年第4期。
(67)前引(66),程啸文。
(68)王利明:《民法人格权编(草案室内稿)的亮点及改进思路》,载《中国政法大学学报》2018年第4期。
(69)马怀德:《民法典时代:行政法的发展与完善》,载《民主法制建设》2020年第7期。
(70)前引⑥,周汉华文。
(71)前引⑥,周汉华文。
(72)前引⑥,周汉华文。
(73)前引⑥,周汉华文。
(74)前引⑥,周汉华文。
(75)需要明确的是,个人信息保护法的定义由于采用“识别+关联”标准,要略宽于采用“识别”标准的民法典定义,但二者的核心内容相同。
(76)韩大元:《宪法与民法关系在中国的演变——一种学说史的梳理》,载《清华法学》2016年第6期;林来梵:《民法典编纂的宪法学透析》,载《法学研究》2016年第4期。
(77)这也是为什么个人信息保护法第1条最终明确了“根据宪法,制定本法”。
(78)前引(27),张翔文。
(79)参见台湾地区“司法院”释字第368号解释(1994年12月9日),吴庚语。
(80)于文豪:《基本权利》,江苏人民出版社2016年版,第47-48页。
(81)关于个人信息国家保护义务的详细分析,参见王锡锌:《个人信息国家保护义务及展开》,载《中国法学》2021年第1期;前引(25),王锡锌、彭錞文;赵宏:《〈民法典〉时代个人信息权的国家保护义务》,载《经贸法律评论》2021年第1期。
(82)比如分析民法典上的私密个人信息和个人信息保护法上的敏感个人信息到底有何异同。
(83)马克思:《对民主主义者莱茵区域委员会的审判》,载《马克思恩格斯全集》(第六卷),人民出版社1961年版,第291-292页。
(84)早已有学者指出:“网络法不可能是从宪法、民事诉讼法、合同法以及行政法等法律中剥离出来的一部分,而是一个有机的整体。”参见刘品新:《网络法学》,中国人民大学出版社2015年版,第8页。
(85)刘剑文:《论领域法学:一种立足新兴交叉领域的法学研究范式》,载《政法论丛》2016年第5期。