摘 要：《個人信息保護法》不僅奠定了我國個人信息保護的新法基礎(chǔ)，而且也成為數(shù)字化背景下的一部基礎(chǔ)性立法。要真正理解和實施好這部新法，必須準確把握其體系邏輯以及與其他基本法律的關(guān)系。從實證角度而論，可依據(jù)雙重基礎(chǔ)觀來解讀這部新法的體系形成基礎(chǔ)與主要訴求。一個是將該法作為與刑民基本法具有并存交叉地位的領(lǐng)域基本法而設(shè)計的基礎(chǔ)視角。由此入手可正確理解其作為新興領(lǐng)域基本法的規(guī)范意義及與相關(guān)基本法特別是《民法典》的適用關(guān)系。另一個是為實現(xiàn)保護功能而預(yù)設(shè)的基礎(chǔ)視角。數(shù)字化背景下興起的個人信息保護問題具有前所未有的復(fù)雜性，不能簡單通過既有部門法路徑加以因應(yīng)，需要建立更加復(fù)雜的超越自主管理的多元治理保護系統(tǒng)，尤其需要針對自主管理失靈進行體系改進和提升，包括加強和完善具體行為治理規(guī)范，在必要范圍內(nèi)引入有強度的積極管理和嚴厲的特殊法律責(zé)任等外部治理新機制。通過上述雙重視角，才能夠更加全面地認識這部新法的基礎(chǔ)意義和獨特作用，確保在該法的實施和解釋中把握住其內(nèi)核和精髓。

關(guān)鍵詞：個人信息保護法;雙重基礎(chǔ);基本法;保護功能;自主管理

中圖分類號：DF529文獻標(biāo)志碼：A

DOI：10.3969/ j. issn.1001-2397.2021.05.06 開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

一、導(dǎo)言：《個人信息保護法》作為數(shù)字化時代重要的現(xiàn)實立法

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）于2021年8月20日頒布，貼合了我國數(shù)字化發(fā)展背景下每個人最直接最現(xiàn)實的利益保護需要。個人信息本身是網(wǎng)絡(luò)信息化時代開始凸顯的一種新型的頗具基礎(chǔ)性的重要個人利益。早在2020年10月13日提請首次審議時，《關(guān)于〈中華人民共和國個人信息保護法（草案）〉的說明》（以下簡稱《關(guān)于〈個人信息保護法（草案）〉的說明》）就指出，“在信息化時代，個人信息保護已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實的利益問題之一”，“制定一部個人信息保護方面的專門法律，將廣大人民群眾的個人信息權(quán)益實現(xiàn)好、維護好、發(fā)展好，具有重要意義”。① 可見，《個人信息保護法》是我國置身數(shù)字化時代不可或缺的一項基礎(chǔ)性立法。

《個人信息保護法》在整個網(wǎng)絡(luò)信息法律體系中占據(jù)最基礎(chǔ)的位置，個人信息保護在網(wǎng)絡(luò)領(lǐng)域應(yīng)優(yōu)先受到關(guān)注，是網(wǎng)絡(luò)信息領(lǐng)域法律形成和發(fā)展的重要體現(xiàn)。我國在《個人信息保護法》出臺之前就制定了《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《數(shù)據(jù)安全法》等法律，這些法律體現(xiàn)了網(wǎng)絡(luò)信息空間不同的規(guī)范重點，但都沒有成為網(wǎng)絡(luò)信息領(lǐng)域法律的體系基礎(chǔ)，《個人信息保護法》的出臺才填補了這個空白。雖然對網(wǎng)絡(luò)信息空間的言論自由、網(wǎng)絡(luò)安全、知識產(chǎn)權(quán)、電子商務(wù)等利益的保護和規(guī)制也應(yīng)是網(wǎng)絡(luò)空間的規(guī)范重點，②但從人本主義角度出發(fā)，由于個人信息保護的需要最為基礎(chǔ)，所以《個人信息保護法》是最重要、最必要的法律。③

認識《個人信息保護法》的基礎(chǔ)意義，必須緊貼數(shù)字化時代背景，把握其蘊含的最基本需求和根本矛盾。近十年來，隨著網(wǎng)絡(luò)信息科技的顛覆性發(fā)展，互聯(lián)網(wǎng)從簡單信息化階段過渡到復(fù)雜數(shù)字化階段，大數(shù)據(jù)成為了我們世界最主要的特點之一。④早期互聯(lián)網(wǎng)追求的是信息交互意義上的互聯(lián)互通，當(dāng)下互聯(lián)網(wǎng)則更加追求基于移動手機、大數(shù)據(jù)、云計算、人工智能、物聯(lián)網(wǎng)等新技術(shù)的數(shù)字資源化實踐演化出的數(shù)字經(jīng)濟、數(shù)字社會和數(shù)字管理的繁榮前景。一方面，數(shù)據(jù)變得極其重要，世界大國開始圍繞數(shù)據(jù)展開博弈，數(shù)據(jù)資源成為新的戰(zhàn)略資源，大數(shù)據(jù)戰(zhàn)略上升為國家戰(zhàn)略，⑤ 我國也不例外;⑥另一方面，大數(shù)據(jù)戰(zhàn)略驅(qū)動下的網(wǎng)絡(luò)和數(shù)字的創(chuàng)新和應(yīng)用，也衍生出層出不窮的問題，其中顯著問題之一就是數(shù)字化發(fā)展和個人信息保護日益陷入復(fù)雜的矛盾關(guān)系。個人信息因數(shù)字化發(fā)展得以大量顯現(xiàn)和形成，并因其具有極高數(shù)據(jù)化價值而備受產(chǎn)業(yè)和管理機構(gòu)的青睞，但同時也伴生了大量的對個人的負面效應(yīng)，特別是未經(jīng)同意的個人信息處理和愈演愈烈的濫用行為對個人帶來的損害或風(fēng)險。著名隱私和個人信息法專家丹尼爾·索羅夫（Daniel J. Solove）和保羅·斯瓦茨（Paul M. Schwartz）指出，“我們生活在一個由技術(shù)形塑和信息推動的世界，技術(shù)設(shè)備——如移動電話、視頻和音頻記錄設(shè)備、計算機和互聯(lián)網(wǎng)——已經(jīng)徹底改變了我們捕捉世界信息和相互溝通的能力。信息是當(dāng)今社會的生命線。我們的日?；顒釉絹碓蕉嗟厣婕靶畔⒌膫鬟f和記錄。政府在與個人出生、婚姻、財產(chǎn)、法院訴訟、機動車輛、投票活動、犯罪違規(guī)、專業(yè)許可和其他活動中記錄并收集了大量的個人信息。私營部門還建立了龐大的個人信息數(shù)據(jù)庫，用于營銷或準備信用記錄……這些新技術(shù)，加上政府和企業(yè)越來越多地使用個人信息，對隱私保護提出了新的挑戰(zhàn)?！雹贀Q言之，個人信息對個人具有越來越重大的利益，個人信息也因此需要一種全新的保護。

在此背景下，重視個人信息保護，將個人信息保護立法確立為一種新型領(lǐng)域立法，并系統(tǒng)性地加以規(guī)定，逐漸成為數(shù)字化時代法律的新發(fā)展趨勢。據(jù)不完全統(tǒng)計，從上世紀70年代至今，有關(guān)國際組織和歐盟等先后出臺了關(guān)于個人信息保護的準則、指導(dǎo)原則和法規(guī)，全世界有140多個國家或地區(qū)出臺了關(guān)于個人信息保護的法律。其中，歐盟、日本、美國的個人信息保護立法最受關(guān)注，影響較大。歐盟②和日本呈現(xiàn)出制定個人信息保護綜合基本法的趨勢，而美國個人信息保護的立法發(fā)展雖然也非常顯著，但是從制定法而言，美國聯(lián)邦層面因受到自身立法體制影響，目前仍然是碎片化地推進，③不過州法出現(xiàn)了制定綜合基本法的趨勢。④與相關(guān)國家或地區(qū)相比，我國《個人信息保護法》似乎有些姍姍來遲。究其原因，不是我們忽視個人信息保護的重要性，而是我國更追求水到渠成的效果。正如全國人民代表大會憲法和法律委員會在《關(guān)于〈中華人民共和國個人信息保護法（草案）〉審議結(jié)果的報告》（以下簡稱《關(guān)于〈個人信息保護法（草案）〉審議結(jié)果報告》）中所言：“為加強個人信息保護，維護人民群眾在網(wǎng)絡(luò)空間的合法權(quán)益，并促進信息合理利用，制定本法是必要的，草案經(jīng)過兩次審議修改，已經(jīng)比較成熟?！雹?此前，我國也存在應(yīng)對數(shù)字經(jīng)濟采取謹慎立法的呼聲，希望以包容創(chuàng)新、漸進規(guī)范的做法，給予網(wǎng)絡(luò)和數(shù)字創(chuàng)新必要的窗口期。一種頗具代表性的觀點認為，盡管加強個人信息保護已經(jīng)成為社會共識，但個人信息保護極具爭議，其基本理論問題難以定論，因此應(yīng)當(dāng)保持立法上的謹慎。① 上述呼聲反映到個人信息保護上，就是希望立法不要過于嚴格，而應(yīng)當(dāng)在充分甚至優(yōu)先支持網(wǎng)絡(luò)數(shù)字化快速繁榮的條件下處理個人信息保護的需求。②

此次《個人信息保護法》的面世，意味著我國對數(shù)字化背景下個人信息保護的要求、范圍、方式等做出了重要且系統(tǒng)的立法決斷。當(dāng)然，此前在對個人信息保護系統(tǒng)立法存在猶豫的情況下，我國仍針對現(xiàn)實突出的、亟待解決的個人信息保護問題不斷適時修改或者制定相關(guān)法律，階段性地跟進，在刑法、民法等基本法方面，都作出了相應(yīng)的規(guī)定。刑事立法方面，2009年通過的《刑法修正案（七）》增加了第253條之一，規(guī)定了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪兩個罪名;2015年通過的《刑法修正案（九）》第17條對刑法第253條之一再次修改，取消了原來的兩個罪名，確立了侵犯公民個人信息罪。民事立法方面，2020年5月28日出臺的《民法典》，在第一編“總則”第111條明確規(guī)定個人信息受法律保護，同時在第四編“人格權(quán)”第六章專章規(guī)定“隱私權(quán)和個人信息保護”，確立了個人信息保護的基本私法制度。比較重要的涉及個人信息保護的專門立法，則包括2012年《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》、2016年《網(wǎng)絡(luò)安全法》、2018年《電子商務(wù)法》、2021年《數(shù)據(jù)安全法》等。

新出臺的《個人信息保護法》具有劃時代的意義，其與此前階段性的努力存在重要差異?！蛾P(guān)于〈個人信息保護法（草案）〉的說明》第一部分“制定本法的必要性”第三點對此進行了充分說明。詳言之，即不再只突出支持數(shù)字化創(chuàng)新發(fā)展，而是明確以“促進數(shù)字經(jīng)濟健康發(fā)展”為目標(biāo)，要求“應(yīng)當(dāng)統(tǒng)籌個人信息保護與利用，通過立法建立權(quán)責(zé)明確、保護有效、利用規(guī)范的制度規(guī)則，在保障個人信息權(quán)益的基礎(chǔ)上，促進信息數(shù)據(jù)依法合理有效利用”，實現(xiàn)了從促進數(shù)字化創(chuàng)新發(fā)展到個人信息保護與利用并重的重要跨越。那么，應(yīng)當(dāng)如何解讀這部立法做出的重要跨越呢？或者說如何準確認識它的基本體系和主要制度呢？與過去比較，有哪些重要的發(fā)展和變化？與其他國家比較又存在哪些重要的相同和不同之處呢？就此可謂仁者見仁，智者見智。本文擬從《個人信息保護法》的定位、功能預(yù)設(shè)等角度對其加以審視，旨在彰顯其主要體系的基礎(chǔ)，并借此反映法律體系及其功能正在發(fā)生的急劇演化歷程。

二、 《個人信息保護法》的基本法定位及其與《民法典》的關(guān)系

（一）作為與其他基本法具有并存地位的新型領(lǐng)域基本法

《個人信息保護法》第1條開宗明義地規(guī)定了自己的基本宗旨和制定根據(jù)，“為了保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用，根據(jù)憲法，制定本法”。這一宣示明確將《個人信息保護法》定位為個人信息新型領(lǐng)域的專門法暨基本法。

首先，該法的基本宗旨明確了其是個人信息領(lǐng)域的專門法，即屬于“為了保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用”的法律。個人信息領(lǐng)域是否具有制定專門法的必要，過去并非沒有爭議。① 網(wǎng)絡(luò)立法早期，美國曾經(jīng)出現(xiàn)過所謂的“馬法之爭”，以知名學(xué)者因斯布魯克（Frank H. Easterbrook）為代表的一種觀點認為，對網(wǎng)絡(luò)領(lǐng)域像勞動法那樣進行專門立法毫無必要，無論是從調(diào)整對象還是調(diào)整手段上看，網(wǎng)絡(luò)法都不具備成為獨立法律部門的條件，所謂網(wǎng)絡(luò)法不過是將相關(guān)部門法的某些部分合起來罷了。② 這種觀點遭到了網(wǎng)絡(luò)法領(lǐng)域?qū)W者的反對，后者更有力地論證了網(wǎng)絡(luò)法單獨立法的必要性。后種觀點認為，網(wǎng)絡(luò)空間是一個正在快速成長的特殊空間，涌現(xiàn)出許多傳統(tǒng)領(lǐng)域所不具有但又經(jīng)常出現(xiàn)的法律問題，傳統(tǒng)法律并不能調(diào)整，因此應(yīng)該將網(wǎng)絡(luò)法創(chuàng)設(shè)為一個新的有機整體，而不能是憲法、民事訴訟法、合同法以及行政法等法律法規(guī)中的相關(guān)內(nèi)容的簡單混合。③ 隨著大數(shù)據(jù)背景下信息化、數(shù)字化的不斷發(fā)展，個人信息保護等問題作為需要規(guī)制的新型問題顯示出越來越迫切而重大的獨立立法需求，上述爭議才逐漸消失了?，F(xiàn)在，各國已不再猶豫是否出臺包括個人信息保護法在內(nèi)的網(wǎng)絡(luò)信息立法，需要考慮的已變成應(yīng)該如何確保相關(guān)專門立法具有適時性和合理性等新問題。歐盟在2000年的《基本權(quán)利憲章》專門設(shè)定第8條，賦予個人數(shù)據(jù)保護具有獨立基本權(quán)利的品格，甚至為個人信息保護確立了憲法上的直接依據(jù)，④并在此基礎(chǔ)上制定了專門的《歐盟一般數(shù)據(jù)保護條例》（以下簡稱GDPR）。美國聯(lián)邦和州的法律實踐則采取了積極解釋憲法并將其作為個人信息保護基礎(chǔ)的做法，主流觀點和判例認為美國聯(lián)邦憲法第四修正案體現(xiàn)的隱私權(quán)應(yīng)當(dāng)包括對個人信息的保護，可以將個人信息歸入信息隱私的范疇。⑤ 我國2020年出臺的《民法典》，以追求合乎“時代性”為要求，在第四編“人格權(quán)”第六章創(chuàng)設(shè)“個人信息保護”，確立了有關(guān)個人信息保護的基本私法制度，但很快發(fā)現(xiàn)依靠部門法對個人信息保護進行調(diào)整存在巨大不足，無論是從調(diào)整對象還是調(diào)整方法上看，都有必要針對個人信息保護制定一部專門的更加系統(tǒng)的法律，為此我國又出臺了《個人信息保護法》?？梢?，《個人信息保護法》是對個人信息保護這一新型領(lǐng)域獨立立法需求的積極回應(yīng)。

其次，該條明確規(guī)定“根據(jù)憲法，制定本法”，這是我國現(xiàn)行網(wǎng)絡(luò)法律中唯一一部直接表明“根據(jù)憲法”制定的法律。此處“根據(jù)憲法”的表述，不僅具有程序意義，而且也具有實質(zhì)意義。全國人民代表大會憲法和法律委員在《關(guān)于〈個人信息保護法（草案）〉審議結(jié)果報告》中做出了說明，指出個人信息保護法直接依據(jù)于《憲法》所確立的保障公民的人格尊嚴和其他權(quán)益的要求，即國家尊重和保障人權(quán)、公民的人格尊嚴不受侵犯、公民的通信自由和通信秘密受法律保護三項規(guī)定。① 這表明，該法不僅是個人信息保護領(lǐng)域的基本法，也是整個網(wǎng)絡(luò)信息法律體系的基本法，同時也是與刑法、民法等基本法具有并存地位的基本法。在立法過程中，有過關(guān)于個人信息保護法與現(xiàn)行刑法、民法關(guān)系的討論。有觀點建議將之設(shè)計為民法典的單行法，作為《民法典》中有關(guān)個人信息保護基本私法制度的具體化法律。② 但相反的觀點認為，個人信息保護法是嶄新的法律部門，作為正在興起的網(wǎng)絡(luò)信息法的核心組成部分，不能將《個人信息保護法》簡單地理解為《民法典》的下位法，個人信息保護與人格權(quán)保護是兩個不同的問題，“將傳統(tǒng)的人格權(quán)理論和制度套用到個人信息保護領(lǐng)域，必然出現(xiàn)各種不適配問題”，“只有科學(xué)認識這兩部法律的關(guān)系，才能使個人信息保護法針對信息時代個人信息保護所面臨的現(xiàn)實問題，設(shè)計相應(yīng)有針對性的制度，而不是被傳統(tǒng)民事法律制度所束縛”。③《個人信息保護法》放棄了作為《民法典》下位單行法的定位，通過直接標(biāo)示“根據(jù)憲法，制定本法”，將自身設(shè)定為與刑法、民法基本法具有同等地位的個人信息保護領(lǐng)域的基本法。由此，《個人信息保護法》和刑民基本法形成一種并存交叉關(guān)系，而非隸屬關(guān)系?！秱€人信息保護法》與刑民基本法之間的相互關(guān)系，不能通過一般法和特殊法的模式來處理，而應(yīng)通過相互的轉(zhuǎn)介條款來進行指引或銜接。

在此意義上，《個人信息保護法》對現(xiàn)行法律體系具有一種不可忽視的新的體系建構(gòu)作用，并形成了重要的體系發(fā)展。首先，這意味著在數(shù)字化時代，我們既有的法律體系發(fā)展出一個新的獨立部分，即個人信息保護法以及以之為基礎(chǔ)的網(wǎng)絡(luò)法。在該獨立法域，《個人信息保護法》居于最基礎(chǔ)的地位，比《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《數(shù)據(jù)安全法》等其他網(wǎng)絡(luò)法律具有更高的地位，其不僅僅是個人信息保護領(lǐng)域的基本法，也是整個網(wǎng)絡(luò)信息法或者網(wǎng)絡(luò)空間法的基本法。作為領(lǐng)域基本法，它與其他網(wǎng)絡(luò)法律的關(guān)系，既有一般法與特殊法的關(guān)系，也有新法與舊法的關(guān)系，還存在上位法與下位法的關(guān)系。其次，這也意味著在數(shù)字化時代，個人信息保護法作為本領(lǐng)域基本法，具有獨立地位，與刑民基本法具有平等的法律地位，不能被看成是這些基本法的下位法。它雖然與刑法、民法難免發(fā)生交叉關(guān)系，但是其作為獨立法律的核心內(nèi)容，即體現(xiàn)在《個人信息保護法》中的主要制度，卻是根源于自身領(lǐng)域的特殊規(guī)范需求，體現(xiàn)著自身特殊的調(diào)整特點，有自己獨立的范疇和邏輯訴求。

（二）作為新型領(lǐng)域基本法與《民法典》相關(guān)規(guī)定的體系關(guān)系

《民法典》作為我國當(dāng)前法律體系中唯一一部冠以“法典”之名的民事基本法，《個人信息保護法》必須對其予以充分尊重。這不僅是法律之間必須保持基本協(xié)調(diào)之要求，也是由《民法典》“固根本、穩(wěn)預(yù)期、利長遠的基礎(chǔ)性法律”④地位所決定的。事實上，《個人信息保護法》在起草過程中，就已經(jīng)與《民法典》的相關(guān)規(guī)定進行了一定程度的協(xié)調(diào)。①但是又應(yīng)當(dāng)注意，《個人信息保護法》是“根據(jù)憲法”制定的具有基本法地位的法律，應(yīng)當(dāng)維護其獨立地位，在充分尊重民法典而對相關(guān)規(guī)定進行協(xié)調(diào)的同時，也必須明確這種尊重是有限度的，不得違背并存關(guān)系的基本要求。

首先，作為并存的基本法，兩部法律在適用于相同主題事項上時應(yīng)該保持體系融貫。這種融貫的基礎(chǔ)不是依據(jù)一般法與特殊單行法的關(guān)系，而是以二者之間的并存地位為基礎(chǔ)，二者的立法與適用應(yīng)平等協(xié)調(diào)、互為補充?！睹穹ǖ洹穼€人信息保護作出了基本規(guī)定，我們可以將之定性為關(guān)于個人信息保護的基本民事制度，主要體現(xiàn)在第一編“總則”第五章“民事權(quán)利”的第111條、第127條和第四編“人格權(quán)”第六章“隱私權(quán)和個人信息保護”的有關(guān)規(guī)定。《民法典》原本計劃從人格權(quán)益角度確立個人信息保護制度，但在“個人信息保護”名義下，第六章第1034條到1039條的規(guī)范內(nèi)容卻包括了關(guān)于個人信息的權(quán)利、個人信息處理者的義務(wù)以及相關(guān)處理行為規(guī)范、免責(zé)事由和國家機關(guān)等具有公共職能主體的特殊義務(wù)。從體系角度而言，《民法典》第六章相關(guān)基礎(chǔ)規(guī)范沒有特殊規(guī)定的，都要回溯到人格權(quán)和民事權(quán)利的一般規(guī)定加以補全，相關(guān)民事責(zé)任和保護方式?jīng)]有特殊規(guī)范的，則要與侵權(quán)責(zé)任編相關(guān)規(guī)定和民事責(zé)任的一般規(guī)定相銜接。具體而言：

其一，應(yīng)注意《民法典》提出了將個人信息保護和數(shù)據(jù)保護并置的原則思路（第111條和第127條）。② 這些在《個人信息保護法》中并沒有被排除，在適用中也應(yīng)該成為個人信息保護的更高體系架構(gòu)?！睹穹ǖ洹返?11條第一句話宣示個人信息受法律保護，第二句話對需要獲取他人個人信息的任何組織或個人的活動設(shè)定了行為規(guī)范，可以將其解釋為個人信息獲取者的三項行為義務(wù)，包括一項“應(yīng)為”的作為義務(wù)（應(yīng)當(dāng)依法取得并確保信息安全）和兩項“禁止”的不作為義務(wù)（不得非法收集、使用、加工、傳輸他人的個人信息，不得非法買賣、提供或者公開他人個人信息）?！睹穹ǖ洹返?27條與第111條并存而立，規(guī)定“法律對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財產(chǎn)的保護有規(guī)定的，依照其規(guī)定”，明確了數(shù)據(jù)與個人信息具有保護上的并置關(guān)系。立法部門在未來也有制定數(shù)據(jù)保護法的可能。

其二，應(yīng)注意《民法典》區(qū)分規(guī)定了隱私權(quán)和個人信息保護?！睹穹ǖ洹返谒木幍诹旅鞔_將隱私權(quán)和個人信息保護區(qū)分開來。這種做法形式上與歐盟相似，而不同于美國將個人信息納入隱私權(quán)的信息隱私范疇加以保護的做法?！睹穹ǖ洹返?032條確立隱私權(quán)及隱私范疇，第1034條則確立個人信息保護及個人信息范疇。這里，作為隱私權(quán)保護對象的隱私，指向的是私人生活安寧和相關(guān)私密領(lǐng)域，顯然不僅僅是私密信息，其既有物理意義的身體隱私和社會意義的空間隱私，也有信息意義的隱私。而作為個人信息保護對象的個人信息，則被界定為可識別個人的各種信息?？梢钥吹剑瑑烧呒扔忻黠@的區(qū)分，同時也有交叉，在信息隱私領(lǐng)域，個人信息涵蓋了信息隱私。也就是說，個人不愿為他人知曉的私密信息雖然應(yīng)當(dāng)劃入隱私權(quán)的范疇，但同時也屬于個人信息保護的對象。《民法典》第1034條第3款明確二者的法律適用關(guān)系是，將隱私權(quán)規(guī)定視為特殊規(guī)定，個人信息保護規(guī)定視為一般規(guī)定，沒有特殊規(guī)定的，適用個人信息保護的規(guī)定。上述區(qū)分隱私權(quán)和個人信息以及處理二者交叉關(guān)系的規(guī)則當(dāng)然也應(yīng)該為《個人信息保護法》所尊重。

其三，《個人信息保護法》和《民法典》有意通過設(shè)計相關(guān)不完全規(guī)定或引介規(guī)定，連接相互體系，對接各自的規(guī)定。比如，《個人信息保護法》第69條規(guī)定，“處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任”。除了將過錯推定作為歸責(zé)原則外，該條還通過指向侵權(quán)責(zé)任的方式使自己與《民法典》有關(guān)侵權(quán)責(zé)任的規(guī)定聯(lián)系起來?！睹穹ǖ洹芬灿蓄愃频囊?guī)定，例如，第1037條第2款規(guī)定：“自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權(quán)請求信息處理者及時刪除?！逼渲?，“法律”當(dāng)然也包括現(xiàn)在出臺的《個人信息保護法》。另外，《個人信息保護法》不僅通過引介規(guī)定與《民法典》相關(guān)規(guī)定對接，也通過引介規(guī)定與刑法、治安管理處罰法或行政法對接。例如，《個人信息保護法》第71條直接將違法責(zé)任與《治安管理處罰法》和《刑法》對接起來。

其次，《個人信息保護法》與《民典法》作為并存基本法，在個人信息保護制度設(shè)計上存在明顯差異，對此應(yīng)當(dāng)從維護《個人信息保護法》作為具有獨立并存地位的基本法的角度來處理這些差異規(guī)定的適用問題，對差異規(guī)定應(yīng)適用功能評價原則進行區(qū)分。鑒于《個人信息保護法》屬于本領(lǐng)域新法，相較于《民法典》，如果屬于修補的差異，應(yīng)優(yōu)先適用修補規(guī)定;如果不屬于修補的差異，則互補適用。兩部法律的差異，很大部分是由二者的功能差異決定的，筆者將在后文展開具體研究。《個人信息保護法》不僅在調(diào)整方法上具有綜合立法的特點，而且在具體規(guī)則設(shè)計上也存在較為明顯的功能差異面向。從調(diào)整方法上看，相比作為部門法的民法，個人信息保護法融合了多種不同性質(zhì)的調(diào)整方法，其保護制度不只是民事的，而是多種面向的，包括行政的、刑事的甚至訴訟程序方面的保護制度，也包括涉外的保護規(guī)則。從功能差異來看，《個人信息保護法》的保護制度顯然不是相關(guān)部門法規(guī)則的具體化和特殊化，而是基于自身復(fù)雜的特殊調(diào)整功能進行的新的體系規(guī)則建構(gòu)。比如，針對個人信息處理者的義務(wù)，《個人信息保護法》除規(guī)定了私法義務(wù)外，還增加了管理義務(wù);并涉及履行個人信息保護職責(zé)的部門規(guī)范（涉及部門分工、職責(zé)、管理、執(zhí)法等管理規(guī)定），這實際上屬于《個人信息保護法》為充分體現(xiàn)其管理保護功能的增強制度。這些都旨在建構(gòu)個人信息保護的新機制，是《民法典》所沒有的。對此，當(dāng)然應(yīng)從功能評價的角度加以適用，不能因為《民法典》沒有規(guī)定就予以否定。

當(dāng)然，有些差異可能與功能預(yù)設(shè)無關(guān)，而純屬于兩部法律之間的體系矛盾。對此，原則上應(yīng)該首先堅持并存協(xié)調(diào)的原則加以調(diào)和，如果確實存在難以調(diào)和的矛盾，則宜采取新法優(yōu)于舊法的原則（而非特別法優(yōu)于一般法或上位法優(yōu)于下位法的規(guī)則）進行體系平衡。在此，《個人信息保護法》即為新法。

三、《個人信息保護法》對《民法典》個人信息保護私法制度的重要修補

立法者從《個人信息保護法》是與刑民基本法具有并存地位的領(lǐng)域基本法這一定位出發(fā)，結(jié)合現(xiàn)實需求，對《個人信息保護法》作出了兩方面的建構(gòu)：一方面，從領(lǐng)域法的全功能體系出發(fā)，建立了系統(tǒng)化的個人信息保護制度;另一方面，對《民法典》中個人信息保護的相關(guān)私法制度作出了更加完善的規(guī)定。如果發(fā)現(xiàn)《民法典》的規(guī)定存在不足應(yīng)當(dāng)修補的，就果斷予以修補。具體而言，《個人信息保護法》無論是在個人信息等概念上，還是在相關(guān)權(quán)利和義務(wù)的規(guī)定上都對《民法典》的相關(guān)規(guī)定進行了重要的修補，而不只是簡單細化和補充。這些修補不能被視為是對《民法典》的違反或抵觸，而應(yīng)該被視為是有效的合理的修改和完善。

（一）關(guān)于個人信息等概念的修補

《民法典》通過第1034條第2款闡釋了個人信息的內(nèi)涵，即“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”。《個人信息保護法》第4條第1款也對“個人信息”進行了界定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！毕噍^而言，后者不僅表述更加簡潔，而且在范圍上也有明顯變化，明確排除了“匿名化處理后的信息”，也就是說匿名化處理后的信息不再屬于個人信息的范疇，自然也就不再適用《個人信息保護法》。關(guān)于匿名化，《個人信息保護法》第73條第3項作了嚴格界定，“匿名化，是指個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程”，與程度較低的第4項規(guī)定的“去標(biāo)識化”相區(qū)別，“去標(biāo)識化，是指個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程”。可見，《個人信息保護法》關(guān)于個人信息的概念界定，對《民法典》個人信息的定義做出了不可忽略的修補。

由于《個人信息保護法》對個人信息的概念界定僅僅進行抽象說明而沒有采取列舉加概括的定義方式，此項修補一方面與《民法典》相比顯得更為模糊;但另一方面，明確將匿名化處理后的信息排除在個人信息的保護范圍外，對執(zhí)行匿名化的個人信息處理者是極大的利好，鼓勵了他們積極開發(fā)和應(yīng)用符合要求的匿名化處理技術(shù)?！秱€人信息保護法》第4條第2款還重新界定了個人信息的處理范圍，包括“個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等”，對比《民法典》第1035條第2款的界定，即“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等”，明顯增加了對“刪除”的列舉，這就使得“刪除”明確進入應(yīng)當(dāng)受到規(guī)范的個人信息處理活動的范圍。

（二）關(guān)于對自然人個人信息的權(quán)利的修補和增加

《民法典》第1037條規(guī)定了自然人對其個人信息享有的相關(guān)權(quán)利，其中第1款規(guī)定了查閱或者復(fù)制的權(quán)利、針對錯誤信息提出異議并請求及時更正的權(quán)利;第2款規(guī)定了在信息處理者違法或違反約定處理個人信息情形下的請求刪除的權(quán)利。對比而言，《個人信息保護法》規(guī)定的個人信息的權(quán)利范圍有了明顯的擴展。一方面，《個人信息保護法》通過第45條第1款和第2款（查閱權(quán)、復(fù)制權(quán)）、第46條第1款和第2款（從更正權(quán)發(fā)展為更正補充權(quán)）和第47條（刪除權(quán)）的規(guī)定，確認《民法典》已經(jīng)明確的有關(guān)個人信息的權(quán)利，并且做出了進一步完善;另一方面，還通過第44條增加規(guī)定了知情權(quán)、決定權(quán)、限制和拒絕他人處理權(quán)，通過第45條第3款增加了可攜帶權(quán)，通過第48條增加了請求解釋權(quán)?！吨腥A人民共和國個人信息保護法（草案）》（二次審議稿）[以下簡稱為《個人信息保護法（草案）》（二次審議稿）]還規(guī)定了對死者個人信息的保護，《中華人民共和國個人信息保護法（草案）》（三次審議稿）[以下簡稱為《個人信息保護法（草案）》（三次審議稿）]完善為自然人死后個人信息由其近親屬在一定范圍獲得保護，并尊重死者生前的安排。值得說明的是可攜帶權(quán)，《個人信息保護法（草案）》（三次審議稿）才對該項權(quán)利的增設(shè)做出決斷，《關(guān)于〈個人信息保護法（草案）〉審議結(jié)果報告》第七項對確立可攜帶權(quán)的由來進行了詳細說明。立法過程曲折的主要原因是學(xué)界和產(chǎn)業(yè)界對是否引入歐美國家的可攜帶權(quán)存在疑慮，其中反對觀點認為如果引入會給我國個人信息處理者帶來巨大負擔(dān)，不利于產(chǎn)業(yè)發(fā)展。①立法者最終決定引入數(shù)據(jù)可攜帶權(quán)，這對于維護數(shù)據(jù)市場的公平競爭具有積極意義。數(shù)據(jù)企業(yè)特別是頭部企業(yè)任意進行數(shù)據(jù)封鎖，阻斷數(shù)據(jù)流通，甚至進行數(shù)據(jù)壟斷，從反不當(dāng)競爭和反壟斷的角度看業(yè)已成為一種現(xiàn)實危害。國家市場監(jiān)督管理總局于2021年8月17日發(fā)布了《禁止網(wǎng)絡(luò)不正當(dāng)競爭行為規(guī)定（公開征求意見稿）》，對互聯(lián)網(wǎng)經(jīng)營者利用技術(shù)手段影響用戶選擇，包括實施平臺封禁、大數(shù)據(jù)殺熟、向用戶頻繁彈窗等新型網(wǎng)絡(luò)不正當(dāng)競爭行為進行了分類規(guī)制，以期增強《反不正當(dāng)競爭法》的適用性。② 從司法實踐來看，目前一些典型判決也確立了結(jié)合數(shù)據(jù)封鎖來分析是否構(gòu)成不正當(dāng)競爭的觀點。③ 可攜帶權(quán)有利于破除這種封鎖，所以極有必要對其進行規(guī)定。④

關(guān)于個人信息保護的性質(zhì)及其基礎(chǔ)，一直存在爭議。從比較法上看，不一而論。有觀點從人格尊嚴與自由的角度出發(fā)，支持個人信息自決權(quán)理論。⑤ 但也有學(xué)者兼從社會功能角度出發(fā)，認為個人信息的權(quán)利不是絕對的，而應(yīng)該結(jié)合其社會功能來理解，⑥ 這種觀點支持個人信息相關(guān)權(quán)利的分叉和具體功能化，⑦ 傾向兼顧人格價值和社會功能，從維護個人在數(shù)字化時代的必要人格尊嚴和自由以及維護公平實踐⑧等角度，綜合設(shè)定和理解個人信息權(quán)利。目前后一種觀點逐漸占據(jù)優(yōu)勢。在美國，2018年《加利福尼亞州消費者隱私保護法》和2021年的《弗吉尼亞州消費者數(shù)據(jù)保護法》甚至把個人信息權(quán)利的重心轉(zhuǎn)移到了公平實踐之上。在這種情況下，個人就個人信息應(yīng)受保護的權(quán)益體現(xiàn)為在合理范圍內(nèi)不受干涉和應(yīng)受公平利用對待的各種利益，既包括對相關(guān)處理活動的必要知情權(quán)、同意權(quán)或自主決定權(quán)等與尊嚴自由相關(guān)的一般人格利益，也包括應(yīng)受公平和平等對待等的特殊人格利益，甚至還包括因個人信息的經(jīng)濟功能產(chǎn)生的財產(chǎn)化、可公開化的合理要求。⑨

（三）關(guān)于個人信息處理者義務(wù)的修補和增加

《民法典》第1038條設(shè)定了個人信息處理者的一般私法義務(wù)，該條第1款規(guī)定了個人信息處理者的兩項不作為義務(wù)，即禁止泄露或篡改的義務(wù)和禁止未經(jīng)同意向他人非法提供的義務(wù);第2款規(guī)定了兩項作為義務(wù)，即應(yīng)當(dāng)采取必要措施確保個人信息安全的義務(wù)，以及在發(fā)生或者可能發(fā)生個人信息損害時應(yīng)當(dāng)及時采取補救措施并按規(guī)定告知和報告的義務(wù)。相比《民法典》這一規(guī)定，《個人信息保護法》關(guān)于個人信息處理者義務(wù)的規(guī)定，顯然有了巨大的完善，具有相當(dāng)范圍的增量，既有私法義務(wù)規(guī)范，也有《民法典》未規(guī)定的管理義務(wù)規(guī)范，形成了一個更加復(fù)雜的與處理場景和安全風(fēng)險密切結(jié)合的多組不同性質(zhì)義務(wù)相配合的體系，體現(xiàn)出義務(wù)人自主管理和非自主管理的雙重性。

《個人信息保護法》第51條涉及的是私法義務(wù)規(guī)范，對《民法典》第1038條的規(guī)定進行了一定的擴充，但不僅僅是《民法典》第1038條的具體化、明確化?！秱€人信息保護法》第51條規(guī)定，個人信息處理者應(yīng)當(dāng)根據(jù)個人信息處理的具體情況，采取確定的六項措施來確保個人信息處理活動合法合規(guī)，并防止未經(jīng)授權(quán)的訪問和個人信息泄露、篡改、丟失?！秱€人信息保護法》第52條到58條都是關(guān)于管理義務(wù)的規(guī)定，是《民法典》所沒有的，體現(xiàn)了《個人信息保護法》超出一般私法治理的綜合治理的義務(wù)配置特點?！秱€人信息保護法》第52條規(guī)定，規(guī)模化的個人信息處理者具有設(shè)置個人信息保護負責(zé)人并進行報送備案的義務(wù)，這顯然是一項旨在強化個人信息處理者自主管理的管理義務(wù)，不僅有利于保護個人信息權(quán)益，而且也兼具公共治理屬性，防范規(guī)模數(shù)據(jù)的安全風(fēng)險。第53條對符合本法規(guī)定的境外個人信息處理者設(shè)定了應(yīng)在中國設(shè)立個人信息保護專門機構(gòu)或指定代表并報送備案的義務(wù)。第54條規(guī)定，個人信息處理者對其個人信息處理活動具有定期進行合規(guī)審計的義務(wù)。第55條和第56條規(guī)定，對處理敏感個人信息、利用自動化決策、委托他人處理、向他人提供或公開、向境外提供等其他對個人權(quán)益有重大影響的個人信息處理活動，個人信息處理者具有事先進行影響評估和記錄處理結(jié)果的義務(wù)。第57條規(guī)定，個人信息處理者在個人信息發(fā)生泄露或可能泄露時，具有補救和通知義務(wù)。第58條規(guī)定，重要互聯(lián)網(wǎng)平臺作為個人信息處理者，具有引入外部監(jiān)管、正確制定平臺規(guī)則、有效管控平臺內(nèi)違法違規(guī)產(chǎn)品和服務(wù)、定期發(fā)布社會責(zé)任報告和接受社會監(jiān)督的加強內(nèi)部管理和防范風(fēng)險的義務(wù)。其中，關(guān)于重要互聯(lián)網(wǎng)平臺作為個人信息處理者的嚴格管理和防范義務(wù)，是《個人信息保護法（草案）》（二次審議稿）增加的，《個人信息保護法（草案）》（三次審議稿）進一步增加了應(yīng)正確制定平臺規(guī)則以更好明確平臺產(chǎn)品和服務(wù)處理個人信息活動規(guī)范的管理義務(wù)。這是對現(xiàn)實中要求大互聯(lián)網(wǎng)平臺應(yīng)當(dāng)對個人信息保護承擔(dān)更大責(zé)任的社會呼聲的回應(yīng)，也順應(yīng)了國際上平臺治理規(guī)范的發(fā)展趨勢，《關(guān)于〈個人信息保護法（草案）〉審議結(jié)果報告》第九項對此進行了詳細說明。第59條規(guī)定，接受委托處理個人信息的受托人具有保障個人信息安全等協(xié)助義務(wù)。上述義務(wù)都是針對不具有公共職能的個人信息處理者設(shè)定的。政府機關(guān)等承擔(dān)公共職能的機構(gòu)及其工作人員則存在特殊性，《民法典》第1039條規(guī)定，其作為個人信息處理者時，應(yīng)承擔(dān)對隱私和個人信息的保密義務(wù)，以及禁止泄露或非法向他人提供的義務(wù)。

（四）關(guān)于個人信息處理者對個人信息處理規(guī)則的修補

《民法典》對個人信息保護的設(shè)計，突出了“權(quán)利—義務(wù)—行為規(guī)范”的三層私法保護體系，也就是說，在規(guī)定權(quán)利、義務(wù)的同時，還設(shè)定了個人信息處理者從事處理活動的行為規(guī)范。這種設(shè)計的復(fù)雜性已經(jīng)不同于傳統(tǒng)人格權(quán)或者其他絕對權(quán)的保護模式?！睹穹ǖ洹返?035條屬于積極規(guī)范，規(guī)定了處理行為的原則和條件等。其中，原則為“處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理”。條件有四：除法律法規(guī)有例外規(guī)定，應(yīng)征得該自然人或者其監(jiān)護人同意;公開處理信息的規(guī)則;明示處理信息的目的、方式和范圍;不違反法律、行政法規(guī)的規(guī)定和雙方的約定。《民法典》第1036條屬于消極規(guī)范，規(guī)定了行為免責(zé)事項，即在三種情況下個人信息處理者可以不承擔(dān)民事責(zé)任：在自然人或者其監(jiān)護人同意范圍內(nèi)合理實施的行為;合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;為維護公共利益或者該自然人合法權(quán)益，合理實施的其他行為。

對《民法典》的個人信息處理行為規(guī)則，《個人信息保護法》基于自身更加系統(tǒng)的設(shè)計優(yōu)勢，做出了細化發(fā)展，也進行了明顯的修補。《個人信息保護法》注意原則與規(guī)則的區(qū)分，第一章“總則”規(guī)定了有關(guān)個人信息處理的原則，即通過第5條到第10條宣示了個人信息處理的六項原則。第5條為遵循合法、正當(dāng)、必要、誠信原則，第6條為遵循目的限制和影響最小化原則（處理個人信息應(yīng)符合明確、合理目的，需與信息處理的目的直接相關(guān)并采取對個人權(quán)益影響最小的方式），第7條為遵循公開、透明原則（公開處理規(guī)則以及明示處理的目的、方式和范圍），第8條為保障個人信息質(zhì)量原則（處理個人信息應(yīng)當(dāng)保障個人信息的質(zhì)量，避免因個人信息不準確、不完整對個人權(quán)益造成不利影響）①，第9條為處理者應(yīng)對活動負責(zé)和采取必要措施保障安全的原則，第10條為禁止從事違法和危害國家安全、公共利益的個人信息處理活動的原則。上述原則應(yīng)該通過“原則+規(guī)則”的解釋架構(gòu)，一并融入第二章“個人信息處理規(guī)則”加以適用。第二章不僅區(qū)分了《民法典》沒有注意區(qū)分的一般信息和敏感信息，對處理個人信息的活動建立了雙層行為標(biāo)準，而且還關(guān)注了《民法典》雖做出了義務(wù)配置，但在行為規(guī)范上卻失之考慮的國家機關(guān)，增加了其處理個人信息時的相應(yīng)行為規(guī)范要求。相關(guān)行為規(guī)則，具體可作如下理解。

首先，關(guān)于個人信息處理者對一般個人信息的處理行為規(guī)范，《個人信息保護法》第二章第一節(jié)“一般規(guī)定”作出了全面規(guī)定。第13條設(shè)定了可以處理他人個人信息的七種情形，除這七種情形外不得處理他人的個人信息。這七種情形實際暗含了處理個人信息需以同意為條件，但是比《民法典》的規(guī)定更加具體，除了第1項為取得他人同意，其他六項均反向列舉了不需要同意的具體情形，包括：為訂立、履行個人作為一方當(dāng)事人的合同或人力資源管理所必需;②為履行法定職責(zé)或者法定義務(wù)所必需;為應(yīng)對突發(fā)公共衛(wèi)生事件或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需;③合理范圍處理個人自行公開或已經(jīng)合法公開的信息，為公共利益實施新聞報道、輿論監(jiān)督等在合理范圍處理個人信息;法律、行政法規(guī)規(guī)定的其他情形。

《個人信息保護法》第14條到第17條是對同意的具體要件、撤回、效力、知情告知要求與豁免等的規(guī)定，這些在《民法典》上鮮有涉及，因此是重要的細化和完善。第14條規(guī)定了基于個人同意處理個人信息的情形，即須以充分知情和明確作出為基本要求，必要時，法律、行政法規(guī)可以規(guī)定單獨同意或書面同意。此外，個人信息處理發(fā)生重要變更，還應(yīng)重新取得同意。第15條規(guī)定同意的撤回條件、方式和效果。第16條規(guī)定個人信息處理者不得以個人不同意或撤回同意為由，拒絕提供產(chǎn)品或服務(wù)，除非信息處理屬于必需。這一條具有很大的現(xiàn)實意義，目前許多網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者為了收集個人信息，采取強制個人同意的辦法，否則就不提供產(chǎn)品或服務(wù)，有了這一規(guī)定，就明確了這種行為的違法性。第17條規(guī)定同意要件中充分知情的具體要求，即個人信息處理者必須以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知本條列舉的必要事項?！秱€人信息保護法（草案）》（三次審議稿）相比《個人信息保護法（草案）》（二次審議稿），添加了“真實、準確、完整”幾個詞，更加明確了其嚴格保護個人信息的立場，防止不充分知情的濫用。第18條規(guī)定告知（充分知情）的豁免，包括兩種情形，即法律、行政法規(guī)規(guī)定不需要告知的情況和出現(xiàn)緊急情況（但消除后仍然要及時告知）。第19條規(guī)定了個人信息的保存期限，從有利于個人出發(fā)，應(yīng)為實現(xiàn)處理目的所必要的最短時間。

《個人信息保護法》第20條到第23條是關(guān)于共同處理、委托處理、因主體變更需要轉(zhuǎn)移、向第三方提供處理的特殊行為規(guī)則。第20條規(guī)定了多人共同處理個人信息時的行為規(guī)則和責(zé)任承擔(dān)，即內(nèi)部可以約定如何處理，但對外不改變個人對其個人信息的權(quán)利，出現(xiàn)損害時，信息處理者應(yīng)承擔(dān)連帶責(zé)任。第21條規(guī)定委托處理時的行為規(guī)則和相應(yīng)責(zé)任?？傮w上，委托人仍然是個人信息處理者，應(yīng)承擔(dān)行為責(zé)任，受托人作為協(xié)助者承擔(dān)相應(yīng)行為的責(zé)任。具體而言，委托人對受委托人的信息處理活動進行監(jiān)督;受托人依據(jù)合同處理個人信息;合同不生效、無效、被撤銷或者終止，受托人則應(yīng)當(dāng)將個人信息返還個人信息處理者，或者予以刪除，不得保留;受托人未經(jīng)個人信息處理者授權(quán)，不得再轉(zhuǎn)委托。第22條規(guī)定因合并、分立、解散、被宣告破產(chǎn)等需要轉(zhuǎn)移個人信息時的行為規(guī)則。個人信息原則上允許轉(zhuǎn)移，但應(yīng)當(dāng)告知個人，并由接收者繼續(xù)履行個人信息處理者的義務(wù)。接收方變更原先處理事項，則需要取得重新同意。這一規(guī)定一方面注意與營業(yè)轉(zhuǎn)讓的合理需要相適應(yīng)，另一方面也強調(diào)避免濫用加害情況的發(fā)生。第23條規(guī)定了向第三方提供處理的個人信息的一般規(guī)則，即采取告知加取得單獨同意的嚴格要求。

《個人信息保護法》第24條規(guī)定了個人信息處理者利用個人信息進行自動化決策時的特殊行為規(guī)則，針對處理者規(guī)定了正當(dāng)公平使用的嚴格義務(wù)，并賦予個人信息應(yīng)受保護的法律地位。這一條在立法中備受關(guān)注，該條立法規(guī)范基礎(chǔ)究竟為何存在疑惑，立法者最終將之落到了個人應(yīng)受公平實踐對待的要求上。其一，保證決策透明和結(jié)果公平公正，《個人信息保護法（草案）》（三次審議稿）開始明確禁止價格歧視，《關(guān)于〈個人信息保護法（草案）〉審議結(jié)果報告》第二項說明了在涉及利用個人信息進行自動化決策時這種公平理念的權(quán)利義務(wù)化和行為規(guī)范化，“利用個人信息進行自動化決策，不得對個人在交易價格等交易條件上實行不合理的差別待遇”;其二，通過自動化決策向個人進行信息推送、商業(yè)營銷，要求應(yīng)當(dāng)同時提供不針對其個人特征的選項，或者提供拒絕的方式;其三，個人信息處理者通過自動化決策作出對個人權(quán)益有重大影響的決定時，個人有權(quán)要求解釋并有權(quán)拒絕僅通過自動化決策作出決定。

對比GDPR，后者是在“數(shù)據(jù)畫像”語境意義下看待對個人數(shù)據(jù)進行自動化處理的行為要求，將其放在第三章“數(shù)據(jù)主體權(quán)利”項下的第四節(jié)“反對權(quán)和自動化決策”之下，與個人信息主體的反對權(quán)聯(lián)系在一起，體現(xiàn)反對權(quán)的運用。GDPR第4條之（4）規(guī)定：“‘?dāng)?shù)據(jù)畫像是指對個人數(shù)據(jù)進行任何自動化處理，包括利用個人數(shù)據(jù)評估與自然人有關(guān)的特定方面，特別是針對與自然人的工作表現(xiàn)、經(jīng)濟狀況、健康狀況、個人偏好、興趣、信譽、行為習(xí)慣、位置或行蹤相關(guān)的分析和預(yù)測?！痹诖苏Z境下，GDPR第22條對“自動化決策，包括數(shù)據(jù)畫像”予以具體化規(guī)定，明確規(guī)定了數(shù)據(jù)主體原則上不受不利于自己的自動化決策限制，數(shù)據(jù)控制者運用時應(yīng)當(dāng)保護數(shù)據(jù)主體的權(quán)利、自由和合法利益等規(guī)則。GDPR通過反對權(quán)，綜合了權(quán)利、自由和合法利益等因素，對以個人信息自動化決策為基礎(chǔ)的行為規(guī)則的適用基礎(chǔ)進行了評價。其中，所謂合法利益，自然也包括應(yīng)受公平對待的利益。①

《個人信息保護法》第25條規(guī)定了個人信息處理者禁止公開的行為規(guī)則，除非取得個人單獨同意，否則不得公開其處理的個人信息。第26條對在公共場所安裝圖像采集、個人身份識別設(shè)備的個人信息處理行為建立基本準則，采取了限制立場：首先，應(yīng)當(dāng)為維護公共安全所必需;其次，應(yīng)遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)志;最后，收集的信息只能用于維護公共安全目的，不得他用，此項僅可以通過個人單獨同意改變。第27條規(guī)定了對已經(jīng)公開的個人信息進行處理的行為規(guī)則。原則上允許在合理范圍處理自愿公開和合法公開的個人信息，但有兩個例外，即個人明確拒絕和處理對個人權(quán)益有重大影響的已公開的個人信息。

其次，關(guān)于個人信息處理者對敏感個人信息的處理行為規(guī)范?！秱€人信息保護法》第二章第二節(jié)“敏感個人信息”專門就此作出嚴格的行為規(guī)范。個人信息處理者處理敏感個人信息，先要遵循本節(jié)規(guī)范，本節(jié)沒有規(guī)定的則適用一般規(guī)定和相關(guān)原則。第28條第1款界定了何為敏感個人信息，即“敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”。該條采取列舉加抽象的規(guī)定模式。抽象上的界定，是指一旦泄露或非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害，這里強調(diào)的是“容易”兩個字。列舉上的界定，《個人信息保護法（草案）》（三次審議稿）和前面幾稿不完全一致，最終綜合討論意見，列舉了生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息?！秱€人信息保護法（草案）》（三次審議稿）還特別將 “不滿十四周歲未成年人的個人信息”歸入敏感個人信息，旨在回應(yīng)關(guān)于強化保護未成年人個人信息的社會呼聲，《關(guān)于〈個人信息保護法（草案）〉審議結(jié)果報告》第五項對此做出了相關(guān)說明。第28條第2款規(guī)定了處理敏感個人信息的兩個特殊前提：一是具有特定的目的和充分的必要性;二是《個人信息保護法（草案）》（三次審議稿）新增的一項要求，即采取嚴格保護措施。否則，不得處理敏感個人信息。第29條規(guī)定敏感個人信息處理須遵循嚴格同意條件，而不是一般個人信息的同意條件。這種嚴格同意體現(xiàn)為“應(yīng)當(dāng)取得個人的單獨同意”，“如果法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意，還要取得書面同意”。第30條規(guī)定處理敏感個人信息，除了存在法律法規(guī)等規(guī)定應(yīng)當(dāng)保密等不需要告知的情形外，原則上還應(yīng)履行告知的義務(wù)，告知內(nèi)容包括處理的必要性和對個人權(quán)益的影響等。第31條規(guī)定了處理不滿十四周歲未成年人的個人信息的特殊規(guī)則，即應(yīng)當(dāng)取得未成年人的父母或其他監(jiān)護人的同意，該條第2款還要求個人信息處理者應(yīng)當(dāng)制定專門的處理規(guī)則。第32條規(guī)定法律、行政法規(guī)對敏感個人信息處理有特殊限制的，還應(yīng)取得相關(guān)許可或遵循限制規(guī)定。

最后，關(guān)于國家機關(guān)作為個人信息處理者的行為規(guī)范。《個人信息保護法》第二章第三節(jié)是關(guān)于“國家機關(guān)作為個人信息處理者的特別規(guī)定”。《民法典》第1039條規(guī)定了國家機關(guān)等作為個人信息處理者應(yīng)承擔(dān)的義務(wù)，但未具體規(guī)定其行為規(guī)范，《個人信息保護法》對此作出了完善。第34條規(guī)定了國家機關(guān)處理個人信息應(yīng)受法定職責(zé)限制，這一規(guī)定是《民法典》所沒有的，從而為國家機關(guān)能否從事個人信息處理活動以及在什么范圍從事限定了前提、范圍和程序。國家機關(guān)為履行法定職責(zé)處理個人信息，必須依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進行，不得超出履行法定職責(zé)所必需的范圍限度。第35條規(guī)定國家機關(guān)還應(yīng)當(dāng)履行告知義務(wù)，但此項要求可因法律、行政法規(guī)的保密規(guī)定而排除，或者因告知會導(dǎo)致履職妨礙而排除。第36條規(guī)定國家機關(guān)對其掌握的個人信息應(yīng)為國內(nèi)存儲的要求，如確需向境外提供，則應(yīng)做安全評估。第37條規(guī)定本節(jié)關(guān)于國家機關(guān)的特殊規(guī)定也適用于法律法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織為履職處理個人信息的活動。

四、《個人信息保護法》的保護功能預(yù)設(shè)及其綜合治理保護體系

（一） 《個人信息保護法》的保護功能預(yù)設(shè)及其背景

目前各國的個人信息規(guī)范體系的一個突出的共同特點是在“保護法”的功能取向下展開其內(nèi)部體系，無一例外冠以“保護”之名，我國也不例外。《個人信息保護法》明確宣示以個人信息保護為功能預(yù)設(shè)。該法第1條是對立法宗旨的宣示，即“為了保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用”，明確把“保護”放在首位。也就是說，這部法律的根本定性是保護法，重在保護“個人信息權(quán)益”。相較于“保護”，“規(guī)范”和“促進”則是手段和方法，是以“保護”這一基本功能為前提的“規(guī)范”和“促進”?！秱€人信息保護法》第2條明確宣示自然人的個人信息具有受法律保護的地位，即“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權(quán)益”，繼續(xù)強化了該法作為保護法的設(shè)計理念和基本追求。

《個人信息保護法》第2條也顯示本法的保護對象是“個人信息權(quán)益”。不過，這一表述與傳統(tǒng)民事權(quán)利概念相比，具有模糊性。“個人信息權(quán)益”其實是指稱存在于“個人信息受法律保護”語境中的法益，歐盟GDPR甚至稱之為個人信息保護權(quán)。在《民法總則》的制定和《民法典》編纂過程中，有觀點建議使用“個人信息權(quán)”的表述。①但無論是《民法總則》《民法典》還是現(xiàn)在的《個人信息保護法》都沒有使用“個人信息權(quán)”概念，而是采取了“個人信息保護”的框架表述。這是因為，個人因個人信息處理而涉及到的個人相關(guān)利益，反映到法律上比較復(fù)雜，不宜簡單表述為“個人信息權(quán)”。“個人信息受保護的權(quán)利與其他人格權(quán)在考量因素上有所不同，個人信息的保護要恰當(dāng)平衡信息的利益與數(shù)據(jù)共享利用之間的關(guān)系?！雹谖覀冏⒁獾剑瑲W盟雖然在基本權(quán)利的高度上看待個人信息保護，但同樣也沒有確立“個人數(shù)據(jù)權(quán)”這樣的簡單概念。首先，GDPR序言的第（1）項宣稱，“自然人在個人數(shù)據(jù)處理過程中獲得保護是一項基本權(quán)利”，這一表述其實呼應(yīng)了《歐盟基本權(quán)利憲章》第8條第1款和《歐盟運行條約》第16條第1款關(guān)于個人信息保護的表述，即“人人均有權(quán)就其個人數(shù)據(jù)獲得保護的權(quán)利”。其次，該法序言第（4）項明確指出，個人數(shù)據(jù)的處理應(yīng)服務(wù)于人類，保護個人數(shù)據(jù)的權(quán)利不是絕對權(quán)利，需要綜合考慮其社會功能并依據(jù)比例原則與其他基本權(quán)利保持平衡。也就是說，盡管個人信息保護是必要的，但也不能簡單將其認定為是個人信息權(quán)，或者說是絕對的個人信息權(quán)利。個人信息保護不僅涉及個人法益確定的微妙性，還涉及個人利益與其他基本權(quán)利以及社會功能的平衡問題。美國雖然將個人信息保護視為隱私權(quán)的一部分，并通過“信息隱私”（Information Privacy）概念將其納入，但也是在原本就多樣化的隱私權(quán)概念基礎(chǔ)上進行謹慎而有區(qū)別的保護?！靶畔㈦[私”與以美國憲法第四修正案和普通法實踐為依據(jù)而獲得保護的隱私有所區(qū)別，后者諸如有形隱私（比如身體隱私、空間隱私）、財產(chǎn)隱私以及決定隱私?！靶畔㈦[私”作為一個更加微妙的動態(tài)領(lǐng)域，必須對其進行差異化對待，進而使其可以歸入廣義“信息法”（Information Law）的范疇，成為一個更加需要平衡“私人與公共”（the Private and the Public）關(guān)系的復(fù)雜領(lǐng)域。①

《個人信息保護法》作為保護法面世，源于個人信息處理時呈現(xiàn)的個人權(quán)益的微妙性和復(fù)雜性，正是這種權(quán)益的微妙性和復(fù)雜性導(dǎo)致了保護的微妙性和復(fù)雜性，體現(xiàn)為一種獨特的系統(tǒng)保護機制，這不僅區(qū)別于部門法的單一機制，也區(qū)別于不同部門法機制的簡單疊加?！秱€人信息保護法》作為保護法，以維護個人利益為立足點，這一點與民法類似，因為民法就是以保護個人利益為目的的法律。但是從保護法角度立法，重點不僅僅在于保護對象的微妙和復(fù)雜，也在于需要確立與這種保護要求相適應(yīng)的規(guī)范手段和體系。這種復(fù)雜的規(guī)范機制和體系導(dǎo)致《個人信息保護法》與《民法典》之間存在巨大差異，從而使其不能作為民法典的下位單行法，而應(yīng)具備領(lǐng)域基本法的獨立價值。2020年出臺的《民法典》為了體現(xiàn)時代性，彰顯對新型領(lǐng)域的及時關(guān)注，努力將個人信息保護納入進來，就個人信息保護設(shè)立相關(guān)私法制度。但是，立法者發(fā)現(xiàn)難以使用“個人信息權(quán)”的概念來統(tǒng)括民法上的個人信息保護。因而，在個人信息保護規(guī)范語境中采用了“自然人關(guān)于個人信息的權(quán)利+個人信息處理者的義務(wù)+處理行為規(guī)范”的復(fù)雜架構(gòu)。即使這樣，我們也不難發(fā)現(xiàn)，因受到民法規(guī)范體系和機制的限制，將個人信息納入民法典進行保護并不能充分滿足個人信息保護需要。如《關(guān)于〈個人信息保護法（草案）〉的說明》所言，《民法典》出臺之后，我國社會各方面仍然“廣泛呼吁出臺專門的個人信息保護法”，以便“增強法律規(guī)范的系統(tǒng)性、針對性和可操作性，在個人信息保護方面形成更加完備的制度、提供更加有力的法律保障”?！秱€人信息保護法》的制定正是為了回應(yīng)對更加完備、更加有效的個人信息保護規(guī)范體系的需求。

（二）《個人信息保護法》作為保護法的體系展開

由于受到傳統(tǒng)民法觀念或者簡單自由主義觀念的影響，早期信息隱私或個人信息保護提倡依靠個人信息主體自我管理的模式，希望通過明確設(shè)定私法意義的權(quán)利、義務(wù)和行為規(guī)范，引導(dǎo)權(quán)利、義務(wù)或行為主體自主自覺，進而達成個人信息保護的善治。這里的關(guān)鍵是鼓勵個人信息權(quán)利主體積極行權(quán)和主張保護。首先，明確設(shè)定的相關(guān)權(quán)利，如知情權(quán)、同意權(quán)、查閱權(quán)、異議更正權(quán)、刪除權(quán)、可攜帶權(quán)等，為個人提供可自主控制自己信息的個人信息權(quán)利體系。其次，針對個人信息處理者設(shè)定相應(yīng)的私法保護義務(wù)和行為規(guī)范，希望借此形成一種約束。一方面鼓勵義務(wù)人和行為人自覺，另一方面通過民事責(zé)任和行為否定效果來保障這種自覺。②但事實證明這種模式是失靈的，相關(guān)權(quán)利義務(wù)乃至行為規(guī)則經(jīng)常形同虛設(shè)，因為作為自主管理機制的關(guān)鍵主體即個人信息權(quán)利主體，除了面臨認知困境（隱私政策的信息不對稱），也面臨著結(jié)構(gòu)問題（規(guī)模問題、結(jié)合問題、評估損害問題等）①，往往處于一種無知無力的困局，因此很難達到法律設(shè)計的預(yù)期。

《個人信息保護法》針對這一失靈加以重點改進，希望提供一個更加充分、更加有效的保護體系，其最終確立起來的保護規(guī)范體系體現(xiàn)了新型法律體系以保護為目的的鮮明特點和趨勢。即自主管理和外部管理相協(xié)同、一般責(zé)任和特殊責(zé)任相配合的多元促進和保障的綜合保護體系，體現(xiàn)為“自然人關(guān)于個人信息的權(quán)利+個人信息處理者的義務(wù)+處理行為規(guī)范+管理保護規(guī)范+特殊法律責(zé)任”的綜合治理保護邏輯結(jié)構(gòu)。一方面，以問題為導(dǎo)向，結(jié)合對個人信息保護自主管理的實踐悖論的認知，對相關(guān)基本私法制度及其自主管理體系進行了極大完善，在私法結(jié)構(gòu)上更加復(fù)雜化，且更加突出以建構(gòu)行為規(guī)范為重心。如此，個人信息保護自主管理的“權(quán)利—義務(wù)—具體行為規(guī)范”的邏輯體系才更加完整。另一方面，以保護為目的引入個人信息保護的外部管理機制和特殊法律責(zé)任機制，通過針對性的管理和嚴厲的特殊責(zé)任重點防治這一領(lǐng)域個人信息處理者追求贏者通吃的現(xiàn)象。

（三）完善自主管理體系與作為重點的個人信息處理行為規(guī)范機制

《個人信息保護法》注重完善個人信息自主管理體系，首先體現(xiàn)為對相關(guān)權(quán)利、義務(wù)、具體行為規(guī)范做出更加合理的配置，其次體現(xiàn)為對自主管理的失靈做出必要修補。比如，對一些權(quán)利義務(wù)的條件或行使規(guī)則作出了更加細化的規(guī)定，對一些易于濫用或規(guī)避的方面明確規(guī)定了不得濫用或規(guī)避的情形，等等。相比《民法典》，《個人信息保護法》對個人信息的相關(guān)權(quán)利、義務(wù)和行為規(guī)范的規(guī)定所做的修補是體系化、細節(jié)化的。

《個人信息保護法》修補和完善的重點之一，就是設(shè)置了一套嚴密的個人信息處理行為規(guī)范。對于個人信息處理，盡管個人信息權(quán)利義務(wù)設(shè)定本身很重要，但在規(guī)范路徑的精準施策方面卻存在不足，“規(guī)范個人信息處理活動”最重要的是對處理行為的規(guī)制，通過具體行為規(guī)制，可以更好解決個人信息保護中各種矛盾關(guān)系。目前各國個人信息保護的規(guī)范體系共同特點都是在“個人信息保護”的框架下突出強調(diào)對個人信息處理者的行為進行規(guī)范的重要性，而不是依賴相關(guān)個人信息的權(quán)利義務(wù)設(shè)定。我國《個人信息保護法》也不例外。按照第1條揭示，《個人信息保護法》保護功能的實現(xiàn)途徑是“規(guī)范個人信息處理活動”。顯然，重點落在對處理活動的規(guī)范。當(dāng)然，這種規(guī)范設(shè)計有兩個額外要求：其一，應(yīng)該是積極的，即同時“促進個人信息合理利用”，這意味著規(guī)范個人信息活動，不能因噎廢食，而應(yīng)同時符合數(shù)字化社會的發(fā)展需要，保持必要的數(shù)據(jù)流動、共享，促進數(shù)字經(jīng)濟發(fā)展;其二，這種規(guī)范設(shè)計最終需要服務(wù)于保護“個人信息權(quán)益”這一根本目的?？傮w而言，《個人信息保護法》通過“行為原則+行為規(guī)則”的模式，融貫相關(guān)權(quán)利義務(wù)規(guī)定，在“一般個人信息”“敏感個人信息”“國家機關(guān)作為個人信息處理者”三項區(qū)分的基礎(chǔ)上，建立了一個極其繁復(fù)的處理行為規(guī)范體系。

《個人信息保護法》保護功能的發(fā)揮，重點應(yīng)落在對行為規(guī)范體系的執(zhí)行和監(jiān)督。行為規(guī)范體系既是個人信息處理者的具體行為指引，也是當(dāng)事人和管理者據(jù)以判斷處理活動是否合法合規(guī)的具體標(biāo)準。個人信息處理行為的合法合規(guī)，首先體現(xiàn)為是對具體行為規(guī)范的遵循。傳統(tǒng)人格權(quán)，比如生命權(quán)、身體權(quán)、健康權(quán)等，雖然也隨著醫(yī)療等社會體系的發(fā)展，在保護上已經(jīng)比較復(fù)雜，但是尚無重點設(shè)計具體行為規(guī)范的必要，通過確定基本人格權(quán)范疇以及他人不得干涉的絕對義務(wù)，通常就可以發(fā)揮規(guī)范保護的效果。此后，隨著名譽權(quán)、姓名權(quán)、肖像權(quán)、隱私權(quán)（美國把姓名和肖像也納入隱私權(quán)保護范疇，視為可公開權(quán)化中的信息隱私）等逐漸發(fā)展，情況就變得有些不同，這些權(quán)利本身的邊界存在模糊性，難以通過確定權(quán)利和規(guī)定他人不得干涉的絕對義務(wù)達到規(guī)范保護效果。因此，有必要引入一些行為規(guī)范，使原有規(guī)范具有更加精確的指引性，但通常體現(xiàn)為一些禁止行為規(guī)范，此外也可以規(guī)定減免責(zé)任的行為情形，這在一定程度上是平衡保護思想的體現(xiàn)。但是，到個人信息保護出現(xiàn)和發(fā)展起來，情況就不一樣了，由于個人信息保護體現(xiàn)的相關(guān)權(quán)利和義務(wù)具有明顯的模糊性和多樣分叉的特點，依靠傳統(tǒng)的權(quán)利義務(wù)規(guī)范模式顯然難以起到精確規(guī)范和指引的效果，因此，有必要突出對個人信息處理行為的規(guī)范，以實現(xiàn)法律保護的明確和具體，從而體現(xiàn)出由權(quán)利義務(wù)規(guī)范向行為規(guī)范遷移的顯著變化。

（四）《個人信息保護法》外部治理保護體系及其積極管理和特殊法律責(zé)任機制

《個人信息保護法》反思了在復(fù)雜的數(shù)字化背景下，個人信息保護僅僅依靠自我管理模式的重要不足。現(xiàn)實中，個人信息處理者具有極強的逐利需求，同時又處于數(shù)字權(quán)力和信息不對稱的絕對優(yōu)勢地位，容易因巨大利益誘惑而背離保護的要求。所以，除了對相關(guān)自主管理規(guī)則做完善之外，還應(yīng)從切實保障個人信息保護有效性的角度，建立更加合理、科學(xué)和合乎實際的治理保護體系。其中，重點引入外部治理保護體系，通過外部加壓，打造個人信息保護的堅固防護網(wǎng)，主要機制包括確立積極管理制度和特殊法律責(zé)任。其中“積極管理”制度主要體現(xiàn)在第六章“履行個人信息保護職責(zé)的部門”，“特殊法律責(zé)任”制度則體現(xiàn)在第七章“法律責(zé)任”。

首先，引入強有力的積極管理制度。對個人信息保護是否應(yīng)當(dāng)以及如何引入外部的積極管理制度，理論上存在對家長式規(guī)范可行性的疑慮。我們注意到，即使是奉行自由經(jīng)濟的歐盟，也在這方面果斷采取贊成的立場，GDPR確立有強度的積極管理制度，建立專門監(jiān)管機構(gòu)，賦予強大的管理權(quán)、執(zhí)法權(quán)和問責(zé)權(quán)，形成了一種通過積極管理而達成個人信息保護的治理示范。我國立法過程中對于是否應(yīng)當(dāng)引入這一模式也爭議不大，有爭議的是強度問題，諸如應(yīng)該在自主管理和外部管理之間保持怎樣的平衡？如何更好配合？授予誰來管理？賦予多大管理職權(quán)以及哪些職權(quán)？采取何種措施保障管理職權(quán)落在實處？這些方面的決斷取決于很多條件和因素，既有數(shù)字化特定發(fā)展階段個人信息治理的規(guī)律性因素，也有國情習(xí)慣因素?！秱€人信息保護法》第六章“履行個人信息保護職責(zé)的部門”，立足中國管理體制及其發(fā)展的實際特點，吸收歐盟和有關(guān)國家專門化監(jiān)管的經(jīng)驗，在合理化的基礎(chǔ)上構(gòu)建了一套專門化的明顯體現(xiàn)外部強力的管理保護制度，其呈現(xiàn)出以下三個方面的內(nèi)容特點：

一是確立統(tǒng)籌協(xié)調(diào)與分工負責(zé)的多元管理體系。我國并未建立新的個人信息保護專門管理機構(gòu)，而是采取對現(xiàn)有管理主體賦權(quán)的管理方式?！秱€人信息保護法》第60條規(guī)定了管理主體及其地位，其中第1款規(guī)定中央層面由國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)，國務(wù)院其他有關(guān)部門依法分工負責(zé)，第2款規(guī)定地方政府有關(guān)部門的職責(zé)由國家有關(guān)規(guī)定確定。

二是確立了以防治為重點的積極管理模式。主要體現(xiàn)為賦予保護部門包括防治職權(quán)在內(nèi)的強管理職責(zé)，從預(yù)防的角度布局管理保護?！秱€人信息保護法》第61條規(guī)定了管理主體的一般職責(zé)，適用于所有管理主體，共五項，包括開展宣傳教育、指導(dǎo)監(jiān)督，接受處理投訴舉報，調(diào)查處理違法活動，法律、行政法規(guī)規(guī)定的其他職責(zé)等?！秱€人信息保護法（草案）》（三次審議稿）才開始增加其中第三項重要職責(zé)，即“組織對應(yīng)用程序等個人信息保護情況進行測評，并公布測評結(jié)果”，這是為了回應(yīng)現(xiàn)實生活中應(yīng)用程序濫用權(quán)限侵害個人信息的亂象而提出的一項職責(zé)。近年來，包括國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)督管理總局等在內(nèi)的有關(guān)部門，針對應(yīng)用程序違法違規(guī)大量收集個人信息的情況，多次組織對APP侵害用戶權(quán)益行為的專項治理行動，特別是對網(wǎng)絡(luò)平臺上的各種應(yīng)用程序進行測試檢查，發(fā)揮了較好的預(yù)防和治理效果，對于保護個人信息起到明顯效果。①? 《個人信息保護法》出臺前，治理APP運營者違法違規(guī)收集使用個人信息，重點依據(jù)《網(wǎng)絡(luò)安全法》《關(guān)于印發(fā)〈App違法違規(guī)收集使用個人信息行為認定方法〉的通知》（國信辦秘字[2019]191號）、《關(guān)于印發(fā)〈常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定〉的通知》（國信辦秘字[2021]14號）、《App違法違規(guī)收集使用個人信息自評估指南》（App專項治理工作組2019年3月編制）等相關(guān)法律和規(guī)定，但是由于管理授權(quán)不夠清晰，其適用存在合法性疑慮?！秱€人信息保護法》明確了管理部門可以依據(jù)第61條對APP實施監(jiān)管，在此條規(guī)定下，管理部門實施了監(jiān)管APP的行為不用擔(dān)心合法性問題，反之如果不實施監(jiān)管倒要擔(dān)心是否構(gòu)成不作為。

《個人信息保護法》第62條規(guī)定了專屬于國家網(wǎng)信部門的五項職責(zé)，為其開展相關(guān)工作提供了法律依據(jù)。這些工作兼具統(tǒng)籌協(xié)調(diào)的功能，但同時更是其具體職責(zé)，包括制定個人信息保護的具體規(guī)則、標(biāo)準，制定針對特殊方面的個人信息保護規(guī)則、標(biāo)準，推進網(wǎng)絡(luò)身份認證公共服務(wù)建設(shè)，推進個人信息保護社會化服務(wù)體系建設(shè)等。《個人信息保護法（草案）》（三次審議稿）增加了第5項“完善個人信息保護的投訴舉報工作機制”②，這項職權(quán)對于網(wǎng)信部門及時發(fā)現(xiàn)問題提供了重要的信息途徑，屬于信息監(jiān)管的前提機制。當(dāng)然也要注意投訴舉報的濫用，尤其要避免基于惡意競爭和報復(fù)的投訴舉報問題。

三是賦予一定范圍的調(diào)查權(quán)和處置權(quán)，相當(dāng)于準司法權(quán)或執(zhí)法權(quán)。法律在一些專業(yè)性很強、存在重要利益需要保護的領(lǐng)域，為了增強管理或監(jiān)管的效率和權(quán)威，最大程度保證保護的可能性和及時性，往往會給管理部門配置必要調(diào)查和處置權(quán)，使其在特定范圍內(nèi)可以采取一些類似司法機關(guān)才可以采取的措施，《個人信息保護法》也不例外。第63條規(guī)定，履行個人信息保護職責(zé)的部門在履行職責(zé)時可采取的措施有四項：詢問和調(diào)查情況;查閱、復(fù)制資料;實施現(xiàn)場檢查;檢查、查封或扣押設(shè)備物品。而且當(dāng)事人應(yīng)當(dāng)協(xié)助，不得拒絕阻撓。第64條還規(guī)定了約談和合規(guī)審計以及移送犯罪嫌疑人③等特殊處置的權(quán)力，但限于履行職責(zé)中發(fā)現(xiàn)存在較大風(fēng)險或發(fā)生安全事故的情形。

其次，確立嚴厲的特殊法律責(zé)任制度?！秱€人信息保護法》第七章“法律責(zé)任”從保護治理的角度，針對個人信息保護規(guī)定了嚴格的特殊法律責(zé)任。其中有三個值得注意的地方：一是出現(xiàn)許多新的行政處罰形式;二是高昂的罰款數(shù)額前所未有，這也是國際趨勢，但相比之下，仍低于歐美的數(shù)額規(guī)定;三是對違法進行信息處理的有關(guān)負責(zé)人員也施加了責(zé)任。

其中，《個人信息保護法》第66條最為重要，規(guī)定了違反本法的特殊行政責(zé)任。即只要違反本法規(guī)定處理個人信息或者處理個人信息未按照規(guī)定采取必要安全措施的，就可能產(chǎn)生特殊行政責(zé)任。這是一種新型治理式的行政責(zé)任，體現(xiàn)出與傳統(tǒng)行政責(zé)任不同的特點，突破了傳統(tǒng)責(zé)任原理，具有嚴厲性或加重懲罰性。第66條區(qū)分一般情況和嚴重情況，一般情況，由履行保護責(zé)任部門責(zé)令改正，給予警告，沒收違法所得?！秱€人信息保護法（草案）》（三次審議稿）針對性地增加了“對違法處理個人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)”;拒不改正的，并處一百萬元以下罰款;對直接負責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。嚴重情況是指情節(jié)嚴重的情形，由省級以上履行保護職責(zé)的部門責(zé)令改正、沒收違法所得，并處五千萬元以下或上一年度營業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照;對直接負責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責(zé)人。①

《個人信息保護法》第67條建立違法信用檔案記錄制度。第68條規(guī)定國家機關(guān)不履行本法規(guī)定的個人信息保護義務(wù)的特殊行政責(zé)任，包括責(zé)令改正和予以行政處分。此外，還規(guī)定了與刑法相關(guān)責(zé)任的關(guān)系。第69條規(guī)定個人信息處理者對個人信息造成損害的，以過錯推定作為承擔(dān)侵權(quán)責(zé)任的基礎(chǔ)，并明確損害賠償責(zé)任的標(biāo)準，即按照個人所受損失或個人信息處理者獲得利益確定，難以確定的則根據(jù)實際情況確定賠償數(shù)額。第70條規(guī)定公益訴訟。第71條規(guī)定與治安管理責(zé)任和刑事責(zé)任對接。

五、結(jié)論：把握《個人信息保護法》體系理解和適用的雙重基礎(chǔ)

《個人信息保護法》作為領(lǐng)域新法體現(xiàn)了立法上的一種“創(chuàng)新”，這種“創(chuàng)新”的必要性在于勇敢地迎接個人信息保護的現(xiàn)實挑戰(zhàn)，滿足了當(dāng)下“數(shù)字人格”安身立命的需求。個人信息保護問題是新時代的產(chǎn)物，個人信息本身并非當(dāng)然是個人利益，只有當(dāng)網(wǎng)絡(luò)信息社會發(fā)展到一定階段之后，當(dāng)個人信息收集、利用和各種處理活動的發(fā)展和蔓延導(dǎo)致個人卷入其中，個人信息逐漸成為個人利益的牽引抑或載體，此時才產(chǎn)生了與個人信息處理相關(guān)的個人利益保護要求。然而這種保護要求，與以往相比，呈現(xiàn)了不同的問題，與現(xiàn)今法律體系既有的保護要求相比，可謂差異顯著。個人信息保護，體現(xiàn)了個人利益保護的微妙性和復(fù)雜性，因而保護制度的設(shè)計也需要作出與之相適應(yīng)的創(chuàng)新。這種創(chuàng)新極為不易，對此需要努力認識、發(fā)現(xiàn)、把握和形塑，才可能收入法律行囊。

新時代的新法里藏著獨特的密碼，《個人信息保護法》當(dāng)然不會例外。初始打量，我們可能感覺其體系似乎有點凌亂，與刑法、民法、行政法等任何單一部門法的體系都極為不同。但是只要用心體會，便能發(fā)現(xiàn)這些貌似凌亂的規(guī)范部落之間其實存在某種緊密聯(lián)系。本文所做的正是這種體系解碼的努力。通過上述分析，我們注意到《個人信息保護法》確立在雙重基礎(chǔ)之上。一個是其作為基本法的定位，它作為領(lǐng)域基本法及與民法、刑法等基本法并立的法律，對法律體系做出了重要的擴展。在新時代的法律系統(tǒng)中，居于新發(fā)展的體系位置，與傳統(tǒng)法律體系形成互為補充、守護相望的關(guān)系。另一個則是它的功能預(yù)設(shè)，它立足于個人信息保護利益的復(fù)雜性，同時基于超越自我管理局限的需要，以個人信息保護為基本功能設(shè)定，追求一種更加有效而全面的保護策略，構(gòu)建了一套自主管理和外部治理互為配合的綜合保護規(guī)范體系。這兩大基礎(chǔ)構(gòu)成了《個人信息保護法》全部體系和內(nèi)容建構(gòu)的雙核，成為理解《個人信息保護法》的重要前提。總之，只有認識了雙重基礎(chǔ)，才能夠真正領(lǐng)略《個人信息保護法》作為領(lǐng)域新法的基本價值和體系特點，其未來實施也必定會在這兩個方面的融合中獲得圓滿。

The Basic Law Position and Protection Function of Personal

Information Protection Law

long wei-qiu

（Law School， Beihang University， Beijing 100191， China）

Abstract：The Personal Information Protection Law has not only laid a new legal foundation for the protection of personal information in China， but also become a basic legislation under the background of digitization. To truly understand and implement this new law， we must accurately grasp the logical basis and connotation of its system. From an empirical point of view， we can interpret the basic ideas and main demands of this new law system according to the concept of dual foundation. One is the basic perspective designed for the basic law in the field of coexistence with the criminal and civil basic law. Starting from this， we can correctly understand its normative significance as a basic law in an emerging field and its application relationship with relevant basic laws， especially the Civil code. The other is the basic perspective preset to realize the protection function. The problem of personal information protection emerging in the digital context has unprecedented complexity， which can not be simply responded to through the path of existing departmental laws. It is necessary to establish a more complex multi governance protection system beyond independent management， especially to improve and enhance the system for the failure of independent management， including strengthening and perfecting specific behavior governance norms and introducing them to the necessary scope， increasing new mechanisms for external pressure governance， such as strong active management and strict special legal responsibilities. Through the above dual perspectives， we can have a more comprehensive understanding of the significance and role of the new law and ensure to grasp its core and essence in interpretation and implementation.

Key Words： personal information protection law; dual foundation; basic law; protection function; independent management

本文責(zé)任編輯：黃匯

本文青年編輯：孫瑩

收稿日期：2021-09-07

基金項目：國家社會科學(xué)基金重大項目“信息法基礎(chǔ)”（16ZDA075）

作者簡介：龍衛(wèi)球（1968），男，江西吉水人，法學(xué)博士，北京航空航天大學(xué)法學(xué)院教授，教育部長江學(xué)者特聘教授。

①? ? 全國人大常委會法制工作委員會：《關(guān)于〈中華人民共和國個人信息保護法（草案）〉的說明——2020年10月13日在第十三屆全國人民代表大會常務(wù)委員會第二十二次會議上》，載中國人大網(wǎng)，http：//www.npc.gov.cn/npc/c30834/202108/fbc9ba044c2449c9bc6b6317b94694be.shtml。

②? ? 參見[美]勞倫斯·萊斯格：《代碼2.0：網(wǎng)絡(luò)空間中的法律》，李旭、沈偉偉譯，清華大學(xué)出版社2009年版，第十至十二章以及第十四至十五章。萊斯格較早闡述了網(wǎng)絡(luò)空間發(fā)展導(dǎo)致必須納入特殊規(guī)制的隱私（個人信息）、言論自由、知識產(chǎn)權(quán)、網(wǎng)絡(luò)主權(quán)競爭等重點問題。但其當(dāng)時并未觸及電子商務(wù)，電子商務(wù)是進入20世紀若干年之后才迅速發(fā)展起來的，并因其具有特殊性而成為新的規(guī)制重點。

③? ? 參見龍衛(wèi)球：《我國網(wǎng)絡(luò)安全管制的基礎(chǔ)、架構(gòu)與限定問題——兼論我國〈網(wǎng)絡(luò)安全法〉的正當(dāng)化基礎(chǔ)和適用界限》，載《暨南大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2017年第5期，第8-9頁。

④? ? 參見趙國棟、易歡歡、糜萬軍、鄂維南：《大數(shù)據(jù)時代的歷史機遇：產(chǎn)業(yè)變革與數(shù)據(jù)科學(xué)》，清華大學(xué)出版社2013年版，第6頁。本書在我國較早指出大數(shù)據(jù)時代即將到來，并提出了數(shù)據(jù)資產(chǎn)、數(shù)據(jù)要素等概念。

⑤? ? 歐盟最早圍繞開放數(shù)據(jù)制定大數(shù)據(jù)相關(guān)戰(zhàn)略，2010年11月，歐盟通信委員會向歐洲議會提交了“開放數(shù)據(jù)：創(chuàng)新、增長和透明治理的引擎”研究報告，2011年11月“歐盟開放數(shù)據(jù)戰(zhàn)略” 被歐盟數(shù)字議程采納，2012年9月歐盟委員會公布“ 釋放歐洲云計算服務(wù)潛力”戰(zhàn)略，此后相關(guān)戰(zhàn)略不斷推進，到2020 年2 月19 日，歐盟委員會又以數(shù)字經(jīng)濟發(fā)展為主要視角，公布了《歐盟數(shù)據(jù)戰(zhàn)略》，提出數(shù)據(jù)核心政策措施和未來5 年的投資計劃。美國2012年3月公布了《大數(shù)據(jù)研究和發(fā)展計劃》，2016年5月美國白宮發(fā)布《聯(lián)邦大數(shù)據(jù)研發(fā)戰(zhàn)略計劃》，更新美國下一步的大數(shù)據(jù)發(fā)展戰(zhàn)略，2019年12月23日，美國白宮再次發(fā)布《聯(lián)邦數(shù)據(jù)戰(zhàn)略與2020 年行動計劃》。

⑥? ? ?我國在2015年十八屆五中全會就提出“國家大數(shù)據(jù)戰(zhàn)略”，國務(wù)院同年9月印發(fā)《促進大數(shù)據(jù)發(fā)展行動綱要》，2016年又印發(fā)《政務(wù)信息資源共享管理暫行辦法》，工業(yè)和信息化部2016年12月印發(fā)《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃（2016-2020年）》，旨在落實行動綱要，對大數(shù)據(jù)產(chǎn)業(yè)發(fā)展戰(zhàn)略作出全面部署。2020年4月9日，中共中央、國務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》，明確將數(shù)據(jù)列舉為五大要素之一，提出加快培育數(shù)據(jù)要素市場。

①? ? Daniel J. Solove & Paul M. Schwartz， Information Privacy Law，? Wolters Kluwer， 2018， p.2-3.

②? ? 歐盟在1995年曾經(jīng)出臺《歐盟數(shù)據(jù)保護指令》（EU Data Protection Directive），2016年4月27日又以第2016/679號法規(guī)的名義正式發(fā)布《歐盟一般數(shù)據(jù)保護條例》， 是全新的可直接適用于歐盟所有成員國的法律，該法自2018年5月25日開始適用。關(guān)于歐盟相關(guān)立法的介紹，可參見高富平主編：《個人數(shù)據(jù)保護和利用國際規(guī)則：源流與趨勢》，法律出版社2016年版;中國信息通信研究院互聯(lián)網(wǎng)法律研究中心等編：《歐盟數(shù)據(jù)保護法規(guī)匯編》，中國法制出版社2019年版。

③? ? 美國聯(lián)邦層面在早期就根據(jù)自己的立法權(quán)限，基于對隱私概念的擴展，逐步制定了一些具體的可適用于某些特定方面的個人信息保護單行法。美國聯(lián)邦個人信息保護立法情況，可參見阿麗塔·L.艾倫、理查德·C. 托克音頓：《美國隱私法：學(xué)說、判例與立法》，馮建妹、石宏、郝倩、劉相文、徐開辰譯，中國民主法制出版社2019年版，第225-248頁。

④? ? 近來，美國在州法層面加快了個人信息保護立法，而不是像早期那樣依賴普通法的判例法發(fā)展作為其法律演化基礎(chǔ)。但不同州發(fā)展不一，保護范圍和程度也有明顯差異。數(shù)字化程度較高的加利福尼亞州在2018年6月28日率先通過了第一部系統(tǒng)的個人信息保護法，即著名的《加利福尼亞州消費者隱私保護法》（2020年1月開始實施）;弗吉尼亞州在2021年3月2日也通過了該州的《消費者數(shù)據(jù)保護法》，成為美國第二個通過立法機構(gòu)系統(tǒng)推動個人信息保護立法的州。

⑤? ? 《全國人民代表大會憲法和法律委員會關(guān)于〈中華人民共和國個人信息保護法（草案）〉審議結(jié)果的報告》，載中國人大網(wǎng)，http：//www.npc.gov.cn/npc/c30834/202108/a528d76d41c44f33980eaffe0e329ffe.shtml。

①? ?參見周漢華：《中華人民共和國個人信息保護法（專家建議稿）及立法研究報告》，法律出版社2006年版，第39-48頁;王利明：《論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心》，載《現(xiàn)代法學(xué)》2013年第4期，第62、64頁;張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學(xué)》2015年第3期，第38頁;丁曉東：《個人信息保護：原理與實踐》，法律出版社2021年版，第1頁。

②? ?參見薛軍：《數(shù)字經(jīng)濟立法當(dāng)審慎執(zhí)法應(yīng)包容》，載法制網(wǎng)，http：//www.legaldaily.com.cn/commentary/content/2019-03/20/content_7805164.htm。

①? ?劉品新：《網(wǎng)絡(luò)法是“馬法”嗎？》，載《檢察日報》2007年9月5日，第006版;戴昕：《超越“馬法”？——網(wǎng)絡(luò)法研究的理論推進》，載《地方立法研究》2019年第4期，第2頁;余盛峰：《從馬的法律到黑箱之法》，載《讀書》2019年第3期，第18頁;于志剛、唐磊：《網(wǎng)絡(luò)法作為獨立部門法的正當(dāng)性研究——從法理和實證的統(tǒng)合視角再議“馬法之爭”》，載《江漢論壇》2020年第2期，第130-131頁。

②? ? Frank H. Easterbrook， Cyberspace and the Law of the Horse，1996 University Chicago Legal Forum 207， https：//chicagounbound.uchicago.edu/uclf/Vol1996/iss1/7; David R. Johnson & David G. Post， Law and Borders：the Rise of Law in Cyberspace， Stanford Law Review，Vol.48，1996， p.1367.

③? ?美國學(xué)者大衛(wèi)·約翰遜和大衛(wèi)·波斯特認為，網(wǎng)絡(luò)空間挑戰(zhàn)了法律對領(lǐng)土邊界的傳統(tǒng)依賴，它是一個由屏幕和密碼（而非物理標(biāo)記）限制的“空間”，因此網(wǎng)絡(luò)空間需要一套規(guī)則體系，這套規(guī)則體系完全不同于管理地理上界定地理區(qū)域的法律，我們必須“認真對待網(wǎng)絡(luò)空間”，將其作為一個獨特的地方，這樣才可以促成明確的網(wǎng)上交易規(guī)則和有效的法律制度。參見David R. Johnson & David G. Post， Law and Borders：the Rise of Law in Cyberspace， Stanford Law Review， Vol.48， 1996， p.1367。同時期具有相近觀點的，還可參見 Lawrence Lessig， The Zone of Cyberspace， Stanford Law Review， Vol.48，1996， p.1403; Lawrence Lessig， The Law of the Horse：What Cyber law Might Teac，Harvard Law Review，1999，p.113。

④? ? 《歐盟基本權(quán)利憲章》第8條規(guī)定：“個人數(shù)據(jù)保護：1.人人享有與其相關(guān)的個人數(shù)據(jù)受到保護的權(quán)利;2.此類數(shù)據(jù)必須在特定目的下，并基于當(dāng)事人同意或法律規(guī)定的其他合法依據(jù)公正處理;3.這些規(guī)則的遵守應(yīng)由獨立機構(gòu)予以管制。”

⑤? ? 參見阿麗塔·L. 艾倫、理查德·C. 托克音頓：《美國隱私法：學(xué)說、判例與立法》，馮建妹等譯，中國民主法制出版社2019年版，第44頁。

①? ? 參見《關(guān)于〈個人信息保護法（草案）〉審議結(jié)果報告》第一項說明，載中國人大網(wǎng)，http：//www.npc.gov.cn/npc/c30834/202108/a528d76d41c44f33980eaffe0e329ffe.shtml。

②? ? 參見石佳友：《個人信息保護法與民法典如何銜接協(xié)調(diào)》，載《人民論壇》2021年第2期，第92頁。

③? ? 參見易明月：《民法典與個人信息保護法的關(guān)系》，載易明月律師網(wǎng)，http：//lawyers.66law.cn/s2107f9712447d_i879934.aspx。

④? ?參見王晨：《關(guān)于〈中華人民共和國民法典（草案）〉的說明——2020年5月22日在第十三屆全國人民代表大會第三次會議上》，載新華網(wǎng)，http：//www.xinhuanet.com/politics/2020lh/2020-05/22/c_1126021017.htm。

①? ? ?《關(guān)于〈個人信息保護法（草案）〉審議結(jié)果報告》第四項說明可為例證，該項指出，“一些常委會組成人員和地方、部門、企業(yè)、專家建議，進一步做好草案有關(guān)條款與民法典有關(guān)規(guī)定的銜接。憲法和法律委員會經(jīng)研究，建議對草案二次審議稿作以下修改：一是將第二十八條修改為，個人信息處理者可以在合理的范圍內(nèi)處理已合法公開的個人信息，個人明確拒絕的除外;對個人權(quán)益有重大影響的，應(yīng)當(dāng)取得個人同意。二是將第五十六條中的‘個人信息泄露修改為‘個人信息泄露、篡改、丟失。”

②? ? 參見龍衛(wèi)球：《數(shù)據(jù)新型財產(chǎn)權(quán)構(gòu)建及其體系研究》，載《政法論壇》2017年第4期，第74-77頁;龍衛(wèi)球：《再論企業(yè)數(shù)據(jù)保護的財產(chǎn)權(quán)化路徑》，載《東方法學(xué)》2018年第3期，第52-54頁。

①? ? 參見丁曉東：《論數(shù)據(jù)攜帶權(quán)的屬性、影響與中國應(yīng)用》，載《法商研究》2020年第1期，第74-76頁。近似觀點還可參見付新華：《數(shù)據(jù)可攜權(quán)的歐美法律實踐及本土化制度設(shè)計》，載《河北法學(xué)》2019年第8期，第162頁;尚海濤：《論我國數(shù)據(jù)可攜權(quán)的和緩化路徑》，載《科技與法律》2020年第1期，第86-90頁。

②? ? 參見《市場監(jiān)管總局關(guān)于〈禁止網(wǎng)絡(luò)不正當(dāng)競爭行為規(guī)定（公開征求意見稿）〉征求意見的通知》，載國家市場監(jiān)督管理總局官網(wǎng)，http：//www.samr.gov.cn/hd/zjdc/202108/t20210817_333683.html。

③? ? 參見余建華、陳若星：《“微信數(shù)據(jù)”引發(fā)數(shù)據(jù)權(quán)益之爭 群控軟件被判賠260萬元》，載《人民法院報》2020年6月4日，第03版。

④? ?吳斯旻：《個人信息保護法落地? 互聯(lián)網(wǎng)巨頭的數(shù)據(jù)壟斷破防》，載第一財經(jīng)，https：//finance.sina.com.cn/roll/2021-08-25/doc-ikqciyzm3406923.shtml。

⑤? ? ?參見賀栩栩：《比較法上的個人數(shù)據(jù)信息自決權(quán)》，載《比較法研究》2013年第2期，第73頁;劉金瑞：《個人信息與權(quán)利配置——個人信息自決權(quán)的反思和出路》，法律出版社2017年版，第33頁。

⑥? ? 參見Helen Nissenbaum， Privacy as Contextual Integrity， Washington Law Review， Vol.79， 2001， p.115; Daniel J. Solove， A Taxonomy of Privacy， University of Pennsylvania Law Review， Vol.154， 2006， p.477.

⑦? ? 參見劉金瑞：《個人信息與權(quán)利配置——個人信息自決權(quán)的反思和出路》，法律出版社2017年版，第108頁。

⑧? ? 參見Laise Bornico & Ian Walden， Ensuring Competitions in the Clouds： The Role of Competition Law？ ERA Forum ，Vol.12， 2011， p.282。 將可攜帶權(quán)的設(shè)定基礎(chǔ)理解為基于公平實踐的要求，提出其功能在于消除數(shù)據(jù)的“鎖定效應(yīng)”（Lock-in effect），以便促進網(wǎng)絡(luò)和數(shù)字市場中的競爭。

⑨? ? Richard S. Murphy， Property Rights in Personal Information： An Economic Defense of Privacy， Georgetown Law Journal，Vol.84，1996，p.2381; Lawrence Lessig，Privacy and Attention Span， Georgetown Law Journal， Vol.89， 2001，p.2063; Paul M. Schwartz， Property， Privacy， and Personal Data， Harvard Law Review， Vol.117，2004，p.2055.

①? ? 《個人信息保護法》自《個人信息保護法（草案）》（二次審議稿）以來開始確立此項原則，實際蘊含的是個人信息處理必須同時保障個人信息被處理時應(yīng)當(dāng)受到正當(dāng)和公平對待。

②? ? 此項是基于人力資源管理的需要可以處理個人信息的規(guī)定，該規(guī)定在《個人信息保護法（草案）》（三次審議稿）中才開始考慮，存有爭議，贊成的觀點認為適合我國存在大量非基于合同的人力資源管理情況，最終得到立法認同，但加上“必需”的限制。《關(guān)于〈個人信息保護法（草案）〉審議結(jié)果報告》第三項對此項添加予以了說明。

③? ?根據(jù)本項，基于疫情防控等理由無需個人同意而收集個人信息也應(yīng)該是有限制的，該項本身就蘊含了必需的要求，理解上應(yīng)該適用管理法上的比例原則。

①? ? 《歐盟一般數(shù)據(jù)保護條例》（GDPR）中反對權(quán)的設(shè)定基礎(chǔ)，與其第三章第二節(jié)中的“知情權(quán)”（國內(nèi)有學(xué)者翻譯為“獲得信息的權(quán)利”）和“訪問權(quán)”的設(shè)定基礎(chǔ)并不相同，后者的關(guān)注重點是避免對他人權(quán)利和自由產(chǎn)生不利影響，也就是說更側(cè)重體現(xiàn)基于個人的基本權(quán)利和自由對于個人信息保護提出的要求。參見GDPR第三章第二節(jié)關(guān)于知情權(quán)的相關(guān)內(nèi)容，特別是第15條“數(shù)據(jù)主體的數(shù)據(jù)訪問權(quán)”之4，明確提及“不得對他人權(quán)利和自由產(chǎn)生不利影響”。

①? ? 王利明：《論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心》，載《現(xiàn)代法學(xué)》2013年第4期，第69-71頁。

②? ? 參見黃薇主編：《中華人民共和國民法典解讀：人格權(quán)編·侵權(quán)責(zé)任編》，中國法制出版社2020年版，第200頁。

①? Raymond Wacks， Personal Information： Privacy and the Law， Clarendon Press， 1989， p.2-3，7-49;Ellen Alderman & Caroline Kennedy， The Right to Privacy， Vintage Books， A Division of Random House Inc.，1997，p.323-341.

②? ? 1973年美國衛(wèi)生教育福利部的“信息實踐公平原則”（Fair Information Practices Principle）報告最早提出了所謂的隱私自我管理模式。該模式要求：（1）個人數(shù)據(jù)記錄系統(tǒng)的透明化;（2）被記錄系統(tǒng)通知的權(quán)利;（3）在未經(jīng)同意情況下個人數(shù)據(jù)不得為新目的而使用的權(quán)利;（4）更正個人數(shù)據(jù)的權(quán)利;（5）個人數(shù)據(jù)保存者防止數(shù)據(jù)被不當(dāng)利用的義務(wù)。參見丁曉東、張吉豫主編：《隱私與數(shù)據(jù)的法律研究》，法律出版社2019年版，第214頁。

①? ? ?Daniel Solove， Privacy Self-Management and the Consent Dilemma， Harvard Law Review，Vol.26，2013，p.1880.

①? ? 參見《中央網(wǎng)信辦等四部門開展“App違法違規(guī)收集使用個人信息專項治理” 》，載網(wǎng)信中國，https：//mp.weixin.qq.com/s/ucC2d6gxczS4oACS4jYJjA;《APP違法違規(guī)收集使用個人信息專項治理報告（2019）》，載國家信息化辦公室網(wǎng)，http：//www.cac.gov.cn/2020-05/26/c_1592036763304447.htm; 《2020年App違法違規(guī)收集使用個人信息治理工作啟動會在京召開》，載國家信息化辦公室網(wǎng)，http：//www.cac.gov.cn/2020-07/25/c_1597240741055830.htm。

②? ? 《關(guān)于〈個人信息保護法（草案）〉審議結(jié)果報告》第十項對此作出說明。

③? ? 移送犯罪人特殊處置權(quán)力在《個人信息保護法（草案）》（三次審議稿）才開始增加，參見《關(guān)于〈個人信息保護法（草案）〉審議結(jié)果報告》第十項的相關(guān)說明。

①? ? 《個人信息保護法（草案）》（三次審議稿）開始加入可以決定禁止在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責(zé)人的規(guī)定，參見《關(guān)于〈個人信息保護法（草案）〉審議結(jié)果報告》第十項的相關(guān)說明。