摘 要：個人信息保護(hù)之目的并非保護(hù)個人對其個人信息的控制性權(quán)益，而是為了規(guī)制個人信息處理風(fēng)險，防范與救濟(jì)個人數(shù)據(jù)處理與利用活動可能產(chǎn)生的侵害后果。個人信息權(quán)益是工具性權(quán)利與目的性法益的集合。在內(nèi)容構(gòu)成上，個人信息權(quán)益體現(xiàn)為三層構(gòu)造：第一，在憲法維度，基于侵害風(fēng)險的不同類型，個人信息權(quán)益包含了以尊嚴(yán)為核心的基本權(quán)利所對應(yīng)的個人自治、生活安寧、公正對待、信息安全四類法益;第二，在民法維度，個人信息權(quán)益包含民法上的隱私、名譽等個人信息關(guān)聯(lián)權(quán)益，主要對應(yīng)的是個人信息處理導(dǎo)致的現(xiàn)實損害;第三，在行政法維度，個人在個人信息處理活動中的權(quán)利是國家主導(dǎo)構(gòu)建的“法秩序”的構(gòu)成要素，作為國家規(guī)制的產(chǎn)物由公共監(jiān)管積極型塑與保障。相應(yīng)地，在個人信息保護(hù)的手段匹配方面，對個人信息處理風(fēng)險的規(guī)制及對尊嚴(yán)法益的維護(hù)，應(yīng)主要以公共監(jiān)管與執(zhí)行機制為中心展開，并在民事實體權(quán)益損害現(xiàn)實發(fā)生時激活民事責(zé)任機制;以此為基礎(chǔ)，形成防范各類風(fēng)險、輻射信息處理全流程、公法和私法多元手段協(xié)同的個人信息保護(hù)機制。

關(guān)鍵詞：個人信息權(quán)益;個人信息受保護(hù)權(quán);風(fēng)險規(guī)制;個人信息保護(hù)法

中圖分類號：DF51文獻(xiàn)標(biāo)志碼：A

DOI：10.3969/ j. issn.1001-2397.2021.05.07 開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

一、問題界定

個人信息保護(hù)之目的，在于保護(hù)與個人信息相關(guān)的權(quán)益。無論是《民法典》，還是《個人信息保護(hù)法》乃至《刑法》中有關(guān)個人信息保護(hù)的規(guī)范，都不可避免地需要鏈接到一個基本概念問題：什么是“個人信息權(quán)益”？界定這一概念的內(nèi)涵并明確其范圍，是個人信息保護(hù)法律體系構(gòu)建與適用的基礎(chǔ)?！秱€人信息保護(hù)法》將“保護(hù)個人信息權(quán)益”置于首要立法目的;①第2條又規(guī)定“自然人的個人信息受法律保護(hù)，任何組織、個人不得侵害自然人的個人信息權(quán)益?！边@凸顯了“個人信息權(quán)益”在法律適用與解釋中的提綱挈領(lǐng)與原則指引作用，也對“個人信息權(quán)益”的界定及適用提出了緊迫要求。

將視野延伸到相關(guān)法律，可以觀察到，“個人信息權(quán)益”在不同法律文本中主要呈現(xiàn)出三種不同的規(guī)則表達(dá)方式：一是為《個人信息保護(hù)法》《民法典》所采取的直接規(guī)定“個人信息權(quán)益”概念的方式;二是從特定法律中的個人信息保護(hù)規(guī)定推導(dǎo)出“個人信息權(quán)益”的方式。例如，《消費者權(quán)益保護(hù)法》第14條規(guī)定“消費者享有……個人信息依法得到保護(hù)的權(quán)利”，并在第28-29條中規(guī)定經(jīng)營者處理消費者信息的基本原則，顯然這是將“個人信息權(quán)益”作為該法所保障“消費者權(quán)益”的一部分。又如，《刑法》第253條設(shè)立的“侵犯公民個人信息罪”，顯然預(yù)設(shè)了“個人信息權(quán)益”這一受刑法保護(hù)的法益所在;三是雖沒有直接體現(xiàn)保護(hù)個人信息的條文，但可從相關(guān)制度設(shè)計中解讀出保障個人信息權(quán)益的要求。例如，《數(shù)據(jù)安全法》第1條規(guī)定的立法目的中“保護(hù)個人、組織的合法權(quán)益”，雖未直接針對個人信息權(quán)益，但該法對作為個人信息載體的數(shù)據(jù)的保護(hù)，可以對個人信息實現(xiàn)間接保護(hù)。這也表明，個人信息保護(hù)涉及個人信息和數(shù)據(jù)治理語境中具有整合性、交叉性、復(fù)雜性的法律現(xiàn)象，無法為某一部門法或單一制度設(shè)計所涵括。

目前，學(xué)界雖然對個人信息權(quán)益概念的內(nèi)涵、構(gòu)成等問題已進(jìn)行了一定的探討，但這些研究仍存在明顯不足。一是對個人信息權(quán)益性質(zhì)定位、內(nèi)在結(jié)構(gòu)以及內(nèi)容組成問題仍然爭議巨大;個人信息權(quán)益可以分解為哪些權(quán)益，其中涉及的公法權(quán)益與私法權(quán)益的關(guān)系是什么，需進(jìn)一步澄清。①二是既有研究缺乏將“個人信息權(quán)益”與具體的保護(hù)機制、保護(hù)手段相結(jié)合的系統(tǒng)性梳理，對不同保護(hù)工具的論證各得一隅;憲法與行政法保護(hù)、民法保護(hù)、刑法保護(hù)等不同方式之間如何統(tǒng)合與協(xié)調(diào)，尚不清晰。②這兩個問題本質(zhì)上相互聯(lián)系：如果不能明確個人信息權(quán)益的概念和內(nèi)涵，個人信息保護(hù)工具的適用也會失去價值指引，進(jìn)而會造成保護(hù)手段與目的的錯配。因此，從個人信息保護(hù)法的體系構(gòu)建及制度實踐看，形成一個既具有規(guī)范統(tǒng)合功能，又可指導(dǎo)個人信息保護(hù)法律實踐的“個人信息權(quán)益”概念，已是個人信息保護(hù)法理論和實踐的急迫需求。

二、個人信息權(quán)益的法律性質(zhì)

民法學(xué)者圍繞“個人信息權(quán)益”到底是民事“權(quán)利”還是“利益”，進(jìn)行了不少爭論。這兩類觀點主要圍繞民法對個人信息的保護(hù)強度高低進(jìn)行論證;但本文所探討的個人信息權(quán)益的法律性質(zhì)，旨在追問一個更為基本的問題，即：個人信息權(quán)益到底是什么性質(zhì)的權(quán)益？具體而言，此處要討論的關(guān)鍵問題是：自然人的個人信息權(quán)益，究竟是按照民事權(quán)益邏輯所理解的那樣，屬于自然人（主體）針對個人信息（客體）所享有的人格權(quán)（益），還是一種不同于傳統(tǒng)民事權(quán)利（益）的新型權(quán)利（益）之集合？

（一）個人信息人格權(quán)益說及其問題

《民法典》在第四編“人格權(quán)編”的第六章“隱私權(quán)和個人信息保護(hù)”中使用了“個人信息權(quán)益”概念。在法解釋上，民法學(xué)界大多將個人信息權(quán)益界定為人格權(quán)益的范疇。在個人信息權(quán)益的性質(zhì)與構(gòu)成上，又存在單層內(nèi)容說與雙層內(nèi)容說兩種不同的解釋路徑。單層內(nèi)容說的觀點認(rèn)為，個人信息權(quán)益是一種主動性人格權(quán)，主要是指對個人信息的支配和自主決定。①包括個人信息主體知情、決定、查詢、更正、復(fù)制、刪除等權(quán)能在內(nèi)的個人信息權(quán)利束就是個人信息權(quán)益的具體內(nèi)容。②在這類觀點看來，個人信息權(quán)益表現(xiàn)為一種單層的權(quán)利結(jié)構(gòu);保護(hù)個人信息權(quán)益就是保護(hù)個人對個人信息的自主控制、支配與決定。雙層內(nèi)容說的觀點認(rèn)為，個人信息權(quán)益是指自然人享有的防止因個人信息被非法收集、泄露、買賣或利用進(jìn)而導(dǎo)致人身財產(chǎn)權(quán)益遭受侵害或人格尊嚴(yán)、個人自由受到損害的利益。也就是說，個人信息是保護(hù)其他民事實體權(quán)益的手段性權(quán)利。③此種觀點認(rèn)為應(yīng)區(qū)分民法上自然人對個人信息的自主利益、防御性利益與作為最終保護(hù)目的的民法人格權(quán)、財產(chǎn)權(quán)。為實現(xiàn)對目的性法益的保護(hù)，民法需要明確個人的自主控制利益并進(jìn)行有效保護(hù)，即將民法賦權(quán)作為保護(hù)基礎(chǔ)。倘若自然人不能基于自己意思自主地決定個人數(shù)據(jù)能否被他人收集、儲存并利用，亦即行使個人信息權(quán)利束中的諸項權(quán)利，則個人之人格自由發(fā)展與人格尊嚴(yán)就無從談起。④與之相應(yīng)，個人信息保護(hù)規(guī)則的構(gòu)建應(yīng)當(dāng)以自然人對個人信息的自主控制利益為中心展開，為自然人既存的包括人格權(quán)、財產(chǎn)權(quán)等在內(nèi)的各種其他民事權(quán)益建立一道權(quán)利保護(hù)屏障。這樣的話，保障個人信息權(quán)益也就形成了“保障個人自主控制、自主決定的人格利益——進(jìn)而保障其他民事權(quán)益（其他人格權(quán)、財產(chǎn)權(quán)）”的雙層內(nèi)容結(jié)構(gòu)。也有學(xué)者明確將個人信息權(quán)益構(gòu)造分為內(nèi)部構(gòu)造和對外部其他主體相關(guān)權(quán)益的支配關(guān)系兩個部分。個人信息權(quán)益的內(nèi)部構(gòu)造由“本權(quán)權(quán)益”與“保護(hù)本權(quán)權(quán)益的權(quán)利”構(gòu)成;與此同時，個人信息權(quán)益對處理者和國家機關(guān)獲得的個人信息數(shù)據(jù)同時產(chǎn)生外部約束力。不過，這種分析框架主要仍然是在民法框架中對個人信息權(quán)益內(nèi)容進(jìn)行的展開。⑤

從以上歸納可見，無論是單層內(nèi)容說還是雙層內(nèi)容說，都將個人信息主體的知情、決定、查詢、更正、復(fù)制、可攜帶、刪除等權(quán)能視為個人人格權(quán)益的體現(xiàn)，將個人信息認(rèn)定為現(xiàn)有民法人格要素之外的新型人格要素，并強調(diào)通過民法賦予個人針對個人信息的控制性權(quán)利來實現(xiàn)保護(hù)個人信息權(quán)益的目標(biāo)。相應(yīng)地，民法學(xué)者認(rèn)為，個人信息處理者負(fù)有尊重個人信息人格權(quán)益、不得侵害之義務(wù);個人信息處理規(guī)則是圍繞個體人格權(quán)益展開的規(guī)則。在侵權(quán)行為上，違反個人信息處理規(guī)則侵犯個人在民法上的自主控制利益的行為，就是侵犯人格權(quán)益的行為，個人對此可通過司法途徑自行維權(quán)救濟(jì)。

將個人信息權(quán)利束所指向的法益視為人格權(quán)益，這種觀點對我國近來個人信息保護(hù)的立法與司法實踐產(chǎn)生了一定影響。例如，《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》第3條規(guī)定“自然人對載有其個人信息的數(shù)據(jù)享有法律、行政法規(guī)及本條例規(guī)定的人格權(quán)益”。又如，最高人民法院于2021年8月1日實施的《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》第2條將信息處理者違反知情同意、正當(dāng)必要原則、安全保障等個人信息處理規(guī)則的行為，一概視為侵犯個體民法上人格權(quán)益的行為。與之相應(yīng)，在民事司法實踐當(dāng)中，人格權(quán)視角下“個人信息控制權(quán)”①，“個人信息權(quán)益的主要內(nèi)容是權(quán)利人對個人信息的支配與自主決定”②等表述也開始在裁判文書中出現(xiàn)。

然而，賦予個人對其個人信息的人格權(quán)益，將其作為個人信息保護(hù)制度尤其是個人信息處理規(guī)則的構(gòu)建起點，并由此確立個人信息保護(hù)法的“民法特別法”之立法定位，不僅會造成個人信息保護(hù)法內(nèi)在邏輯的混亂，也會對個人信息保護(hù)法律實踐帶來諸多問題。

首先，從規(guī)范邏輯觀察，個人信息人格權(quán)益說很難清晰界定個人信息處理關(guān)系中“個人信息”的法律屬性。個人與作為社會事實的個人信息的連接點是：這些信息指向特定個人，因此該信息與個人相關(guān)聯(lián);但是個人信息雖與個體有關(guān)聯(lián)，卻產(chǎn)生于社會主體之間的互動，亦是社會事實之寫照，僅依據(jù)個人人格權(quán)保護(hù)的需要，并不能推導(dǎo)出個人對其個人信息都具有控制性的權(quán)利。近來，雖然有一些學(xué)者敏銳觀察到了這一邏輯缺陷，試圖通過限定自主控制利益的范圍、限度與義務(wù)主體來展開回應(yīng)，③然而，這一路徑本質(zhì)上的內(nèi)在邏輯，仍是透過財產(chǎn)權(quán)式的主客體范式來構(gòu)造賦予某種權(quán)利形式的人格利益，因而始終難以擺脫支配權(quán)的路徑依賴，從而帶來高昂的解釋與適用成本?？偟膩碚f，個人信息權(quán)益必須在個體主義的基礎(chǔ)上作社會化的理解，而不應(yīng)成為“為控制而控制”的自由觀，更不能被物化為財產(chǎn)觀。這需要我們重新厘清個人信息保護(hù)的保護(hù)目的，并在“自由觀”“財產(chǎn)觀”之外，超越傳統(tǒng)權(quán)利主義與私法主義路徑依賴，尋找更加匹配的法律觀念。

其次，從體系效應(yīng)來看，個人信息自主控制利益的觀念很難完整、系統(tǒng)地解釋個人信息保護(hù)法體系中的諸多制度設(shè)計，具體可從三個方面分析。

第一，個人信息處理規(guī)則最初的功能定位，便是國家主導(dǎo)的規(guī)制與治理策略。從《民法典》個人信息保護(hù)規(guī)定的形成源流與定位來看，《民法典》第1035-1038條關(guān)于個人信息權(quán)利束及其他個人信息處理規(guī)則的規(guī)定，實際上來源于《網(wǎng)絡(luò)安全法》第41-43條的規(guī)定;《信息安全技術(shù)——個人信息安全規(guī)范》（GB/T 35273-2017）則在此基礎(chǔ)上，根據(jù)個人信息處理風(fēng)險產(chǎn)生的可能性，區(qū)分不同的內(nèi)容進(jìn)行了細(xì)化規(guī)定。從比較法視角觀察，歐盟個人數(shù)據(jù)保護(hù)的核心目的也并非保護(hù)個人對其個人數(shù)據(jù)的控制，而是為了防范個人數(shù)據(jù)處理活動的風(fēng)險及可能產(chǎn)生的侵害后果，這就需要公法規(guī)制的介入，其理念可以理解為“全面預(yù)防”。④例如，歐盟《一般數(shù)據(jù)保護(hù)條例》（即General Data Protection Regulation，下文簡稱GDPR）在多個場合明確提到“對自然人權(quán)利和自由的風(fēng)險”。⑤又如，歐洲理事會早在1989年出臺的《關(guān)于保護(hù)用于就職目的的個人數(shù)據(jù)的第（89）2號建議》便明確將數(shù)據(jù)保護(hù)視為通過創(chuàng)設(shè)一系列原則來減輕這一數(shù)據(jù)處理方式對權(quán)利和自由帶來的風(fēng)險。①可以說，歐盟對個人數(shù)據(jù)保護(hù)的初始認(rèn)知和目的，是防范新型處理技術(shù)和廣泛的信息處理活動給個人尊嚴(yán)和自由帶來的風(fēng)險;因此便需要國家提供積極保護(hù)，通過設(shè)定處理規(guī)則，建構(gòu)一套保護(hù)性的法秩序，來防范信息處理過程中的諸多風(fēng)險，從而使個人權(quán)益獲得保護(hù)。這種風(fēng)險規(guī)制手段顯然并不是民法人格保護(hù)所派生的產(chǎn)物。

第二，根據(jù)我國《個人信息保護(hù)法》的規(guī)定，即便個人信息處理過程完全符合個人的意愿和預(yù)期，個人信息處理者仍需履行常態(tài)化的風(fēng)險評估、采取安全技術(shù)措施、自動化決策前的影響評估等義務(wù)，這很難在人格權(quán)視角下得到整全闡釋。個人信息人格權(quán)益的觀點很難完整地引導(dǎo)、推演這些制度和保護(hù)規(guī)則的功能。

第三，在侵犯個人信息的刑事責(zé)任方面，我國刑法經(jīng)由《刑法修正案（七）》與《刑法修正案（九）》設(shè)置了侵犯公民個人信息罪。如果將個人對其信息的自主控制利益理解為該罪名設(shè)置所保護(hù)的人格法益②，將面臨以下質(zhì)疑：一是侵犯公民個人信息罪最高法定刑為七年，遠(yuǎn)高于具備更明確權(quán)利基礎(chǔ)的侮辱罪、誹謗罪、侵犯通信自由罪等罪名，為何要賦予自主控制利益如此高的保護(hù)強度？二是侵犯公民個人信息罪的立法目的即在于打擊關(guān)聯(lián)性犯罪，抑制住侵犯公民個人信息下游犯罪的源頭。③在這個意義上，人格權(quán)視角難以打通上游的侵犯公民個人信息罪所保護(hù)法益，與下游盜竊罪、詐騙罪、偽造證件罪等罪名所保護(hù)的多元法益之間的邏輯關(guān)系，無法充分解釋刑法進(jìn)行安全風(fēng)險規(guī)制的功能。④

最后，從制度功能來看，將個人其信息的控制作為制度設(shè)計的基點與主線，未必有利于實現(xiàn)保護(hù)個人權(quán)益的效果。面對強大的信息處理者，將個人形式上的同意、決定置于制度設(shè)計與法益保護(hù)的中心，不僅無法有效保護(hù)信息隱私，甚至可能增加個人信息被處理的頻率和程度，在結(jié)果上引致個人相關(guān)權(quán)益受到損害。即便寄希望于理想情況下設(shè)置規(guī)則對個人進(jìn)行傾斜保護(hù)、優(yōu)化程序設(shè)計、進(jìn)而充分實現(xiàn)信息自治，也很難單憑個人的選擇自由實現(xiàn)對信息處理風(fēng)險的全方位控制。在一般情形下，個人的知情、決定，僅表明“我知道你在使用我的數(shù)據(jù)”，而非“我充分判斷了處理收益和風(fēng)險并愿意接受”。⑤ 在保護(hù)機制的適用上，如果將個人自主控制作為個人信息權(quán)益的核心，在個人信息權(quán)益保護(hù)機制上，必然指向市場化的、分散的、主要依賴司法的私人執(zhí)行機制。這種私人執(zhí)行機制無法有效應(yīng)對高度組織化、大規(guī)模化、普遍化的信息處理活動所帶來的風(fēng)險，因此很難真正有效地保護(hù)個人信息權(quán)益。

（二）保障個人信息權(quán)益的價值目標(biāo)

個人信息人格權(quán)益說所面臨的問題，本質(zhì)上源于該種主張在邏輯上沒有厘清個人信息保護(hù)法體系所指向的究竟是何種法益，也沒有明確保障個人信息權(quán)益的價值目標(biāo)，只是從純粹的民事權(quán)益視角出發(fā)來定位個人信息保護(hù)的權(quán)利基礎(chǔ)。為何要保護(hù)個人信息？在現(xiàn)代社會大規(guī)模、持續(xù)化個人信息處理的活動中，個人面臨各種權(quán)益受侵害的風(fēng)險。這種風(fēng)險并非個人僅依靠分散化、個體化的決策與判斷便能進(jìn)行有效控制。因此，寄希望于確立民法上自主控制、自主決定的人格權(quán)益，并通過私人維權(quán)機制進(jìn)行保障，從而避免個人信息處理行為對目的性法益造成損害的保護(hù)機制，在很大程度上只是一種個人信息保護(hù)的“烏托邦”設(shè)想。

如果將視角聚焦到個人在個人信息處理過程中可能遭受到的侵害風(fēng)險，那么，防控風(fēng)險才是核心任務(wù)。面對這一任務(wù)，個人對信息的自主控制并不是個人信息保護(hù)的充分條件，更不是價值目標(biāo)。換句話說，對個人的“賦權(quán)”及其他保護(hù)手段，只是實現(xiàn)最終目的的工具。在既有研究中，已經(jīng)有學(xué)者意識到了這一點，例如，丁曉東指出，通過個人信息這樣一個工具和抓手，法律可以對個人信息所承載的相關(guān)權(quán)益進(jìn)行較為全面的保護(hù)。①梅夏英指出，個人信息本身并不存在問題，而是因為現(xiàn)代電子系統(tǒng)大規(guī)模的收集、利用和流通造成了信息泄露和濫用，個人信息保護(hù)的立法目的正在于有效地阻止個人信息被非法濫用。②不過，理論界雖對個人信息的工具性、媒介性質(zhì)有所關(guān)注，也強調(diào)通過個人信息這一抓手防范風(fēng)險，保護(hù)個人的相關(guān)重要權(quán)益，但對于個人信息權(quán)益究竟應(yīng)定位在何種保護(hù)框架內(nèi)、具備怎樣的權(quán)益結(jié)構(gòu)等問題，還缺乏系統(tǒng)性的闡釋。具有代表性的民法學(xué)界的“雙層內(nèi)容說”雖然注意到了個人信息相關(guān)權(quán)益中，有些權(quán)益是手段性、工具性的，有些權(quán)益是目的性的，但“個人信息自主控制利益——因個人信息濫用而受損的民事權(quán)益”的框架，對于回應(yīng)個人信息保護(hù)的系統(tǒng)性問題而言仍存在邏輯上的局限性。

在信息化時代，個人信息處理活動所帶來的風(fēng)險既具有“個體性”，更具有“公共性”。例如，個人信息的社會性、信息的流通利用、信息安全等因素，所指向的不僅僅是個體性利益，而是具有極強的公共性色彩。在這種背景下，保障個人信息權(quán)益的價值目標(biāo)并不僅僅是為個人提供事后的自我保護(hù)與維權(quán)機制，而應(yīng)由國家提供預(yù)防性、前置性的法益保護(hù)屏障，并積極對個人信息相關(guān)權(quán)益的保護(hù)程度進(jìn)行擔(dān)保，綜合運用國家規(guī)制與個人參與的機制，展開對個人信息上實體權(quán)益的保障。具體可從以下三個方面展開分析。

第一，從保護(hù)目的角度來看，個人信息權(quán)益是通過國家設(shè)置的前置保護(hù)規(guī)范而獲得保障的法益，是前置保護(hù)規(guī)范進(jìn)行預(yù)防性保護(hù)的對象。在數(shù)字時代，對個人信息的侵害風(fēng)險往往造成對多種價值的破壞，是一種系統(tǒng)性、綜合性的、超越個人控制范圍的公共風(fēng)險。個人信息被濫用、信息安全問題已使得這一領(lǐng)域的私人自治喪失了談判基礎(chǔ)與博弈平臺，幾乎所有個體都暴露在個人信息侵害風(fēng)險當(dāng)中。為此，國家需要運用以法律為中心的多種手段和工具，在個人信息處理與利用的全流程中，持續(xù)性地對個人信息處理活動中的各種風(fēng)險進(jìn)行有效控制，進(jìn)而防止數(shù)據(jù)處理的損害后果?？梢哉f，個人信息處理規(guī)則便是為應(yīng)對大規(guī)模侵害風(fēng)險而產(chǎn)生的一套公法上的強行性、預(yù)防性保護(hù)規(guī)則。例如，美國政府部門在20世紀(jì)70年代的研究報告中便指出，要建立更為廣泛的預(yù)防性法律框架，來避免大規(guī)模、普遍性的個人數(shù)據(jù)處理過程中帶來的對隱私權(quán)、公民自由與正當(dāng)程序權(quán)利帶來的影響。①這套個人信息處理規(guī)則所預(yù)設(shè)的前提其實是，當(dāng)信息處理者并未完全遵守信息處理合規(guī)義務(wù)時，處理過程對給信息主體的“權(quán)利、自由或利益可能造成負(fù)面影響”②;并且，信息處理者的合規(guī)程度越低，給信息主體的基本權(quán)利造成損害的風(fēng)險就越高。③信息處理者有責(zé)任避免采用任何損害有關(guān)個人實體權(quán)利或利益的數(shù)據(jù)處理方法，有責(zé)任對失衡關(guān)系和秩序進(jìn)行矯正。相較于個人控制視角，在風(fēng)險視角下，風(fēng)險控制的目標(biāo)在于將技術(shù)和產(chǎn)業(yè)的發(fā)展與其可能產(chǎn)生的危害隔離開來，在個人信息保護(hù)中不僅關(guān)照對個人信息損害后果的控制，還要兼顧數(shù)據(jù)利用價值的開發(fā)。因而，風(fēng)險規(guī)制框架可以更清楚地展現(xiàn)手段—目的之間的關(guān)系，有利于塑造國家的規(guī)制理性及提升規(guī)制效果。

第二，從保護(hù)水平角度來看，個人信息法益的安頓和保護(hù)，是一種國家擔(dān)保下的結(jié)果保障。自主控制利益的人格權(quán)視角，看似強化了個人的角色，卻沒有為風(fēng)險防范的實效與危害結(jié)果的避免提供有效擔(dān)保。實際上，個人信息指向信息主體在個人信息處理行為中應(yīng)得到的保護(hù)，但這并不是一種對個人控制資格和控制狀態(tài)的保護(hù)，而是對有效控制風(fēng)險與避免危害結(jié)果的擔(dān)保。應(yīng)該看到，在新形態(tài)的社會權(quán)力結(jié)構(gòu)下，私權(quán)保護(hù)所預(yù)設(shè)的自由市場的經(jīng)濟(jì)理性、交易機制與市民倫理的機制，很大程度上已遭遇“保護(hù)失靈”的困境?，F(xiàn)實中，對個人信息的侵害行為，往往具有累積性、間接性與結(jié)構(gòu)性三個特征，個人往往缺乏足夠的能力來預(yù)測、判斷、控制信息處理行為可能帶來的損害。這便要求立法者從過程導(dǎo)向或資格導(dǎo)向轉(zhuǎn)向一種“結(jié)果導(dǎo)向”的制度設(shè)計。這種“結(jié)果導(dǎo)向”的保護(hù)，要求國家積極對個人信息處理的廣度和深度進(jìn)行調(diào)控，運用一組規(guī)制策略來應(yīng)對信息化時代人的生存困境，保護(hù)人格和自由的全面發(fā)展。

第三，從保護(hù)的理念與方式看，國家對個人信息權(quán)益的保護(hù)并不意味著國家對個人信息處理秩序進(jìn)行完全的控制和管理，而是積極彰顯個人的角色與作用，在立法中賦予個人在個人信息處理活動中的權(quán)利，從而在公共監(jiān)管的規(guī)制網(wǎng)絡(luò)中形成國家保護(hù)與個人參與的協(xié)力。④這一“個人信息權(quán)利束”對個人信息相關(guān)的實體權(quán)益的保障具有工具價值，前者與后者共同構(gòu)成了個人信息權(quán)益。因此，個人信息權(quán)益具有復(fù)合的法律性質(zhì)，既包括了國家規(guī)制網(wǎng)絡(luò)中，個人信息權(quán)利束所蘊含的知情、參與、發(fā)言等工具性、程序性的利益或價值;也囊括了個人信息上承載的、可能在個人信息處理中遭受侵害的、需要國家預(yù)防保護(hù)與擔(dān)保的相關(guān)實體性、目的性權(quán)益，下文將對此展開討論。

三、個人信息權(quán)益的內(nèi)容構(gòu)成

前述分析表明，個人信息保護(hù)并非是保護(hù)個人對其個人信息的控制性人格權(quán)益，而是為了規(guī)制個人信息處理風(fēng)險，防范與救濟(jì)個人數(shù)據(jù)處理與利用活動可能產(chǎn)生的侵害。明晰了個人信息保護(hù)法律體系保障個人信息權(quán)益的價值目標(biāo)后，可以從三個維度進(jìn)一步界定個人信息權(quán)益的內(nèi)容構(gòu)成及相應(yīng)的權(quán)益類型：第一，從風(fēng)險預(yù)防的角度，分析大規(guī)模、公共性的個人信息處理風(fēng)險的具體種類及其對應(yīng)的法益保護(hù)類型，明晰規(guī)制個人信息處理風(fēng)險所需要考量的憲法法益;第二，從風(fēng)險現(xiàn)實化、損害結(jié)果實際發(fā)生的角度，分析特定個人遭遇現(xiàn)實損害時對應(yīng)的民事實體權(quán)益類型，這也是民事侵權(quán)機制所直接指向的法益;第三，從制衡個人信息處理者，保護(hù)目的性、實體性權(quán)益的角度看，國家賦予了個人對抗信息處理者的手段性的權(quán)利工具——即個人信息權(quán)利束，這是通過國家規(guī)制而形成的法秩序中個人所擁有的行政法上的權(quán)利。從上述憲法維度、民法維度和行政法維度分析個人信息權(quán)益的構(gòu)成，有利于對個人信息權(quán)益的內(nèi)涵形成整全、體系、精確的理解。

（一）憲法維度：基于風(fēng)險種類的法益類型

個人信息主體受保護(hù)的利益，與個人信息的侵害風(fēng)險存在內(nèi)在關(guān)聯(lián)。針對潛在的侵害風(fēng)險源展開規(guī)制時，國家保護(hù)所指向的個人信息主體權(quán)益有哪些類型？按照這一分析進(jìn)路，下文結(jié)合個人信息處理中的侵害風(fēng)險，從風(fēng)險規(guī)制角度對個人信息相關(guān)權(quán)益進(jìn)行界分。

前文分析已指出，在數(shù)字時代，個人信息處理風(fēng)險并非完全屬于個體化風(fēng)險，而是具有公共維度，其對應(yīng)的權(quán)益結(jié)構(gòu)無法實現(xiàn)完全的私人化，需要從公共維度進(jìn)行考量。從本質(zhì)上講，個人信息處理的“公共風(fēng)險”，所威脅的價值主要是“個人的尊嚴(yán)以及群體和整個社會的尊嚴(yán)”①。在個人信息處理風(fēng)險下，尊嚴(yán)具有集體價值（collective value）屬性，需要在共同體視角下展開保障。基于尊嚴(yán)所聯(lián)結(jié)的基本權(quán)利的客觀價值秩序面向，國家需要通過積極保護(hù)，支援公民對抗大規(guī)模個人信息處理中尊嚴(yán)減損的風(fēng)險。②《個人信息保護(hù)法》在三審稿中增加 “根據(jù)憲法，制定本法”的規(guī)定，其核心關(guān)懷也正是在于“制定與實施本法對于保障公民的人格尊嚴(yán)與其他權(quán)益具有重要意義”。③

在價值論上，公民在憲法上的人格尊嚴(yán)減損的風(fēng)險，所對應(yīng)的價值與法益類型主要表現(xiàn)在四個方面：一是免于支配的價值及其對應(yīng)的個人自治法益;二是免于歧視與錯誤評判的價值及其對應(yīng)的獲得公正對待的法益;三是免于冒犯與窺探的價值及其對應(yīng)的生活安寧法益;四是免于恐懼的價值及其對應(yīng)的信息安全法益。這些權(quán)益只有在與之對應(yīng)的具體風(fēng)險中才可得到明確的界分。

1.個人自治的法益

保障個體的個人信息權(quán)益，首要目標(biāo)是對抗來自信息處理者的支配風(fēng)險。與這種侵害風(fēng)險相對應(yīng)的就是個人獨立性、主體性的自治法益。何為支配風(fēng)險？在個人信息處理場景中，支配風(fēng)險主要表現(xiàn)為：數(shù)據(jù)采集、集聚、挖掘與交易利用等過程中，信息處理者與個人之間所存在的高度不對稱權(quán)力結(jié)構(gòu)。數(shù)據(jù)處理者擁有事實上的“數(shù)據(jù)權(quán)力”（data power），這種數(shù)據(jù)權(quán)力對個人造成結(jié)構(gòu)性的壓迫，而個人信息處理過程中大量技術(shù)性的操作或黑箱程序，進(jìn)一步加劇了個人面對數(shù)據(jù)權(quán)力的無力感。在這種結(jié)構(gòu)中，個人的知情權(quán)、決定權(quán)很可能流于形式，取而代之的是“被決定”“被隱瞞”“被操縱”的現(xiàn)實狀態(tài)，這種狀態(tài)在相當(dāng)程度上對個人在憲法上的人格尊嚴(yán)構(gòu)成巨大而明顯的威脅。例如，被迫執(zhí)行不愿執(zhí)行的操作、無法選擇接受信息的類別，被蓄意推送影響價值觀的信息等，都會令個人自主選擇的可能性受到大幅度擠壓。由此，最終導(dǎo)致的結(jié)果是，一方面是公民的人格無法得到充分的自我決定與發(fā)展;另一方面，分享、參與和表達(dá)的行為空間受到擠壓。此時，明確個人自治法益，保護(hù)個體數(shù)字人格和主體性，對于彰顯與保護(hù)數(shù)字化時代自由和自主的公民人格具有戰(zhàn)略性的價值，能夠“肯定人對自我生活反思、選擇與評價的理性能力”①，避免公民被工具化和客體化。

2.生活安寧的法益

個人信息處理者的處理活動還可能帶來針對個人的窺探風(fēng)險，侵害公民的私人生活和安寧。信息社會普遍發(fā)生的現(xiàn)象是，個人信息處理者可以通過運行算法或分析工具的挖掘預(yù)測，揭示出個人行為事實、社會關(guān)系網(wǎng)絡(luò)、個人偏好和身份特性等，并通過精準(zhǔn)推送、短信推銷等“信息喂養(yǎng)”等方式侵?jǐn)_私人生活;同時，監(jiān)控（Surveillance）技術(shù)使得個人信息處理者可以通過自動化監(jiān)測技術(shù)實現(xiàn)數(shù)據(jù)聚合，在此基礎(chǔ)上的數(shù)據(jù)整合挖掘則可能導(dǎo)致公民成為“透明人”，喪失防御社會系統(tǒng)與外部主體凝視的阻隔空間。②個人信息的不當(dāng)公開、披露等情形，加劇了外部世界對個人內(nèi)心世界不斷入侵和窺探這一令人焦慮的態(tài)勢。

3.獲得公正對待的法益

個人信息作為個人與社會聯(lián)結(jié)的符號標(biāo)志與事實寫照，往往會被用于對個體的分類、篩選、判別與評價。因而，在個人信息保護(hù)中，還需面對的一項重大風(fēng)險就是被歧視與被錯誤認(rèn)知或評判的風(fēng)險。對應(yīng)于憲法性法益，尊嚴(yán)作為憲法價值要求社會中的個人應(yīng)當(dāng)受到平等對待，并得到其所應(yīng)得的評價與待遇，這就是獲得公正對待的法益。這主要表現(xiàn)在兩個方面：一是個人不因外在因素而被不合理地分類對待，其依據(jù)是憲法上的平等權(quán)規(guī)范。通過對每個用戶進(jìn)行數(shù)據(jù)畫像，信息處理者在商務(wù)領(lǐng)域可能采取個性化定價、價格歧視、大數(shù)據(jù)殺熟，因而侵害用戶獲得平等對待的權(quán)益，并可能導(dǎo)致個人財產(chǎn)利益損失的衍生風(fēng)險;在教育、就業(yè)、社會保障領(lǐng)域，信息處理者及采用信息處理結(jié)果的各類相關(guān)主體也可能基于信息的篩選采取各類歧視措施，侵害個人的勞動權(quán)、受教育權(quán)等基本權(quán)利。因此，國家需要采取措施防止個人在信息處理中被污名化、遭遇不合理差別對待的風(fēng)險。二是個人不因信息錯誤或處理方法缺陷而遭到不公正的識別、判斷與對待。個人數(shù)據(jù)處理的準(zhǔn)確性是公平、合理地處理個人信息的基礎(chǔ);身份識別的正確與完整對個人而言至關(guān)重要，錯誤的數(shù)據(jù)可能會在后續(xù)處理中導(dǎo)致錯誤的識別、判斷與歸類，進(jìn)而減少個人的福祉與便利，增加各種不利于個人的風(fēng)險。這類錯誤認(rèn)知與判斷的風(fēng)險一方面可能來自信息處理者的疏失或某項客觀原因，例如，收集存儲的大量個人數(shù)據(jù)不完整或者已經(jīng)過時、分析程序存在客觀缺陷，其所得出的結(jié)論就不能正確反映數(shù)據(jù)主體的真實身份特性，導(dǎo)致用戶群體的數(shù)字化人格與現(xiàn)實人格不符。另一方面，信息處理者可能出于某種公共目的（如運用聲譽工具）或營利目的（如促進(jìn)用戶交流）而積極主動地進(jìn)行“人格畫像”，設(shè)定個人的“數(shù)字身份”。因此，防止個人在自我形象的構(gòu)建與呈現(xiàn)中遭受不合理的限制③，防止個人被片面地、錯誤地界定，從而導(dǎo)致其身份、人格被誤判后遭受社會系統(tǒng)方方面面的誤讀、侵?jǐn)_與損害，是一項重要的憲法性權(quán)益。①《個人信息保護(hù)法》第8條規(guī)定：“處理個人信息應(yīng)當(dāng)保證個人信息的質(zhì)量，避免因個人信息不準(zhǔn)確、不完整對個人權(quán)益造成不利影響?！贝颂幍摹皞€人權(quán)益”即表明個人信息的質(zhì)量保證對應(yīng)的是個人受到公正對待的憲法法益。

4.信息安全的法益

信息安全是個人信息保護(hù)的應(yīng)有之義。大數(shù)據(jù)時代，個人信息處理活動的疏失、信息泄露等安全風(fēng)險及衍生損害亦不斷加劇，已經(jīng)成為數(shù)字化時代中個人內(nèi)心不安和焦慮的根源。在這一背景中，基于國家對公民人身和財產(chǎn)的安全保護(hù)義務(wù)（如我國《憲法》第33條第4款對公民生命和健康的保護(hù)、第37條對人身自由的保護(hù)、第39條對住宅權(quán)的保護(hù)等），要求國家積極保障個人信息安全法益。例如，《個人信息保護(hù)法》第9條規(guī)定：“個人信息處理者應(yīng)當(dāng)對其個人信息處理活動負(fù)責(zé)，并采取必要措施保障所處理的個人信息的安全?！边@反映了國家通過設(shè)定信息處理者的行為模式，從而落實對公民安全的保護(hù)義務(wù)。具體而言，個人信息安全法益所遭受的風(fēng)險主要可分為以下兩種類型。

一是疏忽導(dǎo)致的安全風(fēng)險。信息處理者正當(dāng)處理信息的情景中，需要防范因疏忽而導(dǎo)致信息泄露、系統(tǒng)破壞等信息安全風(fēng)險。此時個人信息所預(yù)設(shè)的是“可被處理”，具有正當(dāng)利用之目的，但信息處理者負(fù)有安全保障義務(wù)，保護(hù)個人信息在存儲、運營和利用過程中的客觀上的狀態(tài)安全。例如，當(dāng)含有巨量個人敏感數(shù)據(jù)的數(shù)據(jù)集被泄露，其波及的受害者范圍可成千萬計，隨之發(fā)生的身份盜竊與人身傷害等問題所造成的嚴(yán)重影響也不可估量。②

二是破壞導(dǎo)致的安全風(fēng)險。這指向的場景是信息處理者基于不正當(dāng)目的，非法利用個人信息，造成對個人信息安全的破壞。此時預(yù)設(shè)的前提是信息“不應(yīng)被處理”（主要是收集、提供、公開），因為個人信息有可能被用于危害個人的人身安全和財產(chǎn)安全，侵害個人的安全利益。在實踐中，非法流通的相關(guān)信息往往不受控制地進(jìn)入各類網(wǎng)絡(luò)黑灰產(chǎn)業(yè)鏈，大量個人很容易陷入“量身定制”的圈套，人身安全和財產(chǎn)安全等利益極易受到侵害或威脅。在這一方面，國家需要積極保護(hù)人們對個人信息安全制度的信賴，避免個人信息安全事件給社會帶來安全和信任恐慌。

5.小結(jié)：個人信息權(quán)益的憲法維度

這四種類型的與公民尊嚴(yán)相聯(lián)結(jié)的法益展示了個人信息權(quán)益的憲法維度。這些權(quán)益并非靜態(tài)的、固定化的;由于個人信息處理風(fēng)險的規(guī)模性、持續(xù)性與延展性，這些法益具有公共性、動態(tài)性、外溢性特征。例如，人格畫像、對個人心理的窺探及在此基礎(chǔ)上的針對個人的“自動化決策”，涉及《憲法》第38條人格尊嚴(yán)條款所指向的個人自治與生活安寧法益;若將個人數(shù)據(jù)用于通信目的，對通訊信息的侵犯則涉及《憲法》第40條通信自由與通信秘密條款;對個人生物信息、位置信息的侵犯涉及《憲法》第37條人身自由條款和第39條住宅自由條款;個人信息處理引發(fā)的歧視與不公正對待涉及《憲法》第32條第2款平等權(quán)條款等。這些憲法性法益的類型化分析，有助于我們認(rèn)識“個人信息權(quán)益”的憲法基礎(chǔ);不難發(fā)現(xiàn)，主張“如果民法典不對個人信息的保護(hù)作出規(guī)定，那么無論是行政法對個人信息的規(guī)制，還是刑法對侵害個人信息行為的處罰，都將因此缺乏民事權(quán)益上的正當(dāng)性基礎(chǔ)與民事基本法的依據(jù)”①的觀點，實際上忽略了憲法法益的根本及其價值引領(lǐng)作用。

整體而言，對這些個人信息處理風(fēng)險所指向的實體性權(quán)益的保障，可以通過憲法上的“個人信息受保護(hù)權(quán)”得到統(tǒng)攝。②在規(guī)范依據(jù)上，以我國《憲法》上第38條規(guī)定的人格尊嚴(yán)為中心，可推導(dǎo)出“個人信息受保護(hù)權(quán)”這一憲法權(quán)利，并通過聯(lián)結(jié)平等權(quán)、人權(quán)條款、人身自由、住宅、通信、社會經(jīng)濟(jì)文化權(quán)利等個人信息處理中涉及的基本權(quán)利，與后者發(fā)生更大范圍的價值關(guān)聯(lián)，使國家能夠充分支援公民抵御諸多個人信息侵害風(fēng)險，最大限度地實現(xiàn)保障上述相關(guān)憲法權(quán)益的目標(biāo)。③在這個意義上，相較于其他基本權(quán)利而言，個人信息受保護(hù)權(quán)聯(lián)結(jié)了憲法規(guī)范中的多種權(quán)益，難以為單一基本權(quán)利范疇所涵蓋。

（二）民法維度：現(xiàn)實損害對應(yīng)的實體權(quán)益

上文從侵害風(fēng)險防范角度分析了個人信息權(quán)益的在憲法維度上的法益。為了明晰個人信息權(quán)益作為法益集合的內(nèi)涵構(gòu)成與多元維度展開，還需要從損害后果角度對個人信息權(quán)益內(nèi)容進(jìn)行分析。如果個人信息處理活動中的侵害風(fēng)險（risk）成為現(xiàn)實危險（danger）并導(dǎo)致?lián)p害（damage），便形成了確定的私人權(quán)益損害，即個人信息上所承載的人格、財產(chǎn)等民事實體法益的損害。換言之，憲法上國家對以尊嚴(yán)核心的基本權(quán)利的保護(hù)，在直接激活風(fēng)險規(guī)制機制的同時也投射到了民法的相關(guān)規(guī)定中，即在事后環(huán)節(jié)激活了相關(guān)民事實體權(quán)益的救濟(jì)機制。具體而言，個人信息有關(guān)的民事實體法益可分為以下類型。

一是隱私權(quán)。通過數(shù)據(jù)挖掘，數(shù)據(jù)處理可以描繪個人的人格畫像，并進(jìn)行信息自動化推送和“飼喂”，例如騷擾短信、定向推送廣告和新聞，這些都是對個人私密領(lǐng)域和內(nèi)心世界侵入的表現(xiàn)。即使沒有運用數(shù)據(jù)挖掘技術(shù)，一些個人性較強、可以直接識別個人或者公開后會對個人造成不利影響的私密個人信息和敏感個人信息，比如健康、醫(yī)療信息等，如果不當(dāng)公開，也會造成對隱私權(quán)的侵害。司法實踐也表明，這些個人信息的披露、使用等行為是否構(gòu)成侵犯隱私權(quán)，應(yīng)當(dāng)視行為人對這些信息的取得方式、披露方式、披露范圍、披露目的及披露后果等因素綜合認(rèn)定?！雹?/p>

二是名譽權(quán)及相關(guān)標(biāo)識型的人格權(quán)益。這主要是由系統(tǒng)性的歧視與錯誤認(rèn)知風(fēng)險最終現(xiàn)實化所導(dǎo)致。如果個人在信息處理后被標(biāo)簽化、人為分類或被不當(dāng)標(biāo)識，往往導(dǎo)致名譽、信譽及相關(guān)人格權(quán)益的損害。例如，如果關(guān)于個人的信息不準(zhǔn)確，或者信息處理者利用自動化分析工具進(jìn)行了錯誤處理，都可能損害個人的名譽（例如，被歸入到信用較低的群體、被歸入到某類平臺自主劃分的負(fù)面標(biāo)簽并得到傳播）;即使未達(dá)到名譽侵權(quán)的程度，也往往會妨害個人對外的自我呈現(xiàn)與社會交往，對其標(biāo)識自我的人格利益產(chǎn)生侵害。

同時，上述隱私、名譽等人格權(quán)益的損害往往也會帶來衍生的個體財產(chǎn)損失。例如，個人征信中心將錯誤的個人不良信用記錄傳遞給金融機構(gòu)，則可能使當(dāng)事人失去本可以獲得的商業(yè)機會;將錯誤的人格特征與個人特點傳遞給雇主，可能使當(dāng)事人失去相關(guān)的薪酬乃至工作機會。又如，個人信息處理者通過數(shù)據(jù)挖掘了解消費者的性格特征與心理弱點，對消費者實施欺詐或者剝削，“大數(shù)據(jù)殺熟”就是一例。

三是人身安全與財產(chǎn)安全。例如，如果個人信息儲存者未盡到信息安全義務(wù)，泄漏了個人信息，可能為犯罪分子對該當(dāng)事人實施詐騙等提供了便利，引發(fā)金融欺詐，賬務(wù)盜刷的財產(chǎn)安全損害;在極少數(shù)情況下，由于數(shù)據(jù)保護(hù)的不足，也可能會發(fā)生人身傷害，例如跟蹤、竊聽及后續(xù)人身犯罪。①這些下游違法犯罪活動帶來的人身財產(chǎn)安全損失，既可能激活刑事制裁機制，也會引發(fā)民法上生命權(quán)、健康權(quán)、人身自由等權(quán)益所對應(yīng)的損害賠償責(zé)任。

至于個人信息之上是否承載了信息主體積極的經(jīng)濟(jì)利益、商業(yè)利益，這部分利益是否可以被納入個人信息權(quán)益的框架，目前仍存在一定的模糊性。從比較法經(jīng)驗觀察，個人雖然可以在部分個人信息處理活動中分享個人信息的商業(yè)利用價值，例如，美國在將經(jīng)濟(jì)激勵機制作為同意的促成機制時，數(shù)據(jù)處理者需要積極地向用戶支付對價、允許用戶更多分享數(shù)據(jù)利用所產(chǎn)生收益與便利，在此基礎(chǔ)上才可以適當(dāng)突破最小必要原則、在風(fēng)險預(yù)防上適當(dāng)放松。②不過，這種利益仍只是有限的和局部的，個人信息權(quán)益的界定與保障，主要仍是服務(wù)于風(fēng)險規(guī)制的需求和對目的性法益保障的需要。以此為前提，個人與信息處理者可以在法律允許的動態(tài)范圍與權(quán)衡空間內(nèi)，依照特定的形式分享收益、調(diào)控風(fēng)險幅度，促進(jìn)處理風(fēng)險防范與利用收益分配的均衡。因此，我們也不應(yīng)采用單一權(quán)屬視角，把個人信息直接當(dāng)作個人實體權(quán)利的客體進(jìn)而界定個人數(shù)據(jù)的權(quán)屬。目前，由個人信息權(quán)利束乃至整套個人信息處理規(guī)則的設(shè)定，并不能推導(dǎo)出個人信息歸屬上的“所有權(quán)”“占有權(quán)”或“支配權(quán)”等私法權(quán)利，《民法典》《個人信息保護(hù)法》也未規(guī)定個人信息上是否承載了個人享有的經(jīng)濟(jì)與商業(yè)利益。對于這一類型利益的界定與規(guī)范方式，仍有待實踐和理論的進(jìn)一步展開。

（三）行政法維度：行政法秩序下的權(quán)利束

個人信息權(quán)益不僅包含憲法維度與民法維度的目的性、實體性的權(quán)益，還囊括了在個人信息處理過程中發(fā)揮制衡功能的、作為保護(hù)手段的個人信息權(quán)利束。從功能上看，這些權(quán)利有助于強化個人的發(fā)言與參與，對信息處理者形成制衡，使數(shù)據(jù)處理者可持續(xù)地、合乎道德（即保障個體尊嚴(yán)）地使用數(shù)據(jù)，因此具有工具價值。③從性質(zhì)上看，個人信息權(quán)利束雖然對于目的性權(quán)益的保障具有工具價值，但其本身卻并不是民法上的人格權(quán)益，而是基于國家規(guī)制與積極保護(hù)而派生的行政法上的權(quán)利。例如，即便是諸多學(xué)者援引的自主決定、自主控制為中心的“信息自決權(quán)”的發(fā)源地——德國法上，包括個人信息權(quán)利束在內(nèi)的個人信息保護(hù)規(guī)則也被視為其他法益的前置性規(guī)范，本身并不是私法上的一類人格權(quán)規(guī)范。④世界最早的個人數(shù)據(jù)保護(hù)立法——德國黑塞州的《個人數(shù)據(jù)保護(hù)法》在第1條第2款明確，數(shù)據(jù)保護(hù)的目的在于防衛(wèi)國家的憲制體制被自動化數(shù)據(jù)處理技術(shù)帶來的風(fēng)險所侵害。①從功能主義的角度觀察，公法上發(fā)展出“信息自決”恰恰體現(xiàn)的是對于國家操控信息的風(fēng)險的體察。這既然是對風(fēng)險的考察，也就體現(xiàn)出，這些個人信息權(quán)利束背后潛在的邏輯是功用主義的（以國家主導(dǎo)的風(fēng)險控制為中心）而非目的主義（以個人基于人格的自主決定為中心）的。包括個人信息權(quán)利束在內(nèi)的個人信息處理規(guī)則實際上是國家建構(gòu)的一套“法秩序”，而不是民法人格權(quán)派生的產(chǎn)物。相應(yīng)地，個人信息權(quán)利束的內(nèi)涵型塑與效力保障，依靠的是監(jiān)管部門積極履行保護(hù)職責(zé)，從個人信息處理的規(guī)范源頭完善“游戲規(guī)則”并“巡邏執(zhí)法”。作為行政法上的權(quán)利，如果個人信息處理者的處理活動違反了權(quán)利束對應(yīng)的規(guī)則要求，也將直接激活行政處罰等行政法上的法律責(zé)任機制。

此處還需要回應(yīng)的是，前述憲法上的實體價值與法益，與作為工具性、手段性權(quán)益的個人信息權(quán)利束之間是什么關(guān)系？從公法秩序維護(hù)的角度，個人信息權(quán)利束作為個人信息處理規(guī)則的組成部分，同時也是國家的重要規(guī)制策略。以權(quán)利束為抓手，可以通過公共監(jiān)管機制的落實持續(xù)性風(fēng)險規(guī)制的作用，進(jìn)而保障憲法上的相關(guān)實體法益。也就是說，憲法法益對應(yīng)的侵害風(fēng)險，激活的是行政法上的監(jiān)管機制，監(jiān)管者在履行保護(hù)職責(zé)的過程中應(yīng)以憲法上以尊嚴(yán)為核心的相關(guān)基本權(quán)利作為法益考量因素，運用包括權(quán)利束在內(nèi)的相應(yīng)規(guī)制手段實現(xiàn)對個人信息侵害風(fēng)險的防范，促進(jìn)和保障憲法法益的實現(xiàn)。同時，這樣也有助于避免現(xiàn)實損害的發(fā)生，對個人信息上承載的民事權(quán)益進(jìn)行間接的保護(hù)。

不過，面向不同的憲法法益與風(fēng)險防范需求，作為工具性權(quán)利的個人信息權(quán)利束，其配置方式與相應(yīng)“合規(guī)義務(wù)”的設(shè)定，也應(yīng)有所側(cè)重。第一，個人自治是最基礎(chǔ)、最根本的法益，對這一法益的維護(hù)，要求個人信息權(quán)利束中的每一項權(quán)能都得到有效落實、強化個人對信息處理者的全方位制衡，尤其是在企業(yè)隱私政策的源頭層面便通過良性的公法規(guī)制實現(xiàn)高質(zhì)量、可操作的權(quán)利設(shè)定與保障。第二，就生活安寧法益而言，基于防止侵入與窺探的必要性，應(yīng)突出信息個人在知情基礎(chǔ)上撤回同意權(quán)、限制處理權(quán)、刪除權(quán)等積極性、進(jìn)攻性權(quán)能的行使。第三，對于公正對待的法益，則更應(yīng)強調(diào)個人充分“知情”與“發(fā)言”。也就是說，信息處理者利用個人信息對特定個人進(jìn)行畫像，應(yīng)充分保障個人的知情和參與，以促進(jìn)信息對稱，即“他知”與“自知”的一致性。②這應(yīng)當(dāng)強調(diào)知情權(quán)、查詢權(quán)、更正權(quán)、異議權(quán)以及自動化決策中的要求說明權(quán)與拒絕權(quán)的行使與保障。第四，針對信息安全法益，基于現(xiàn)代社會信息安全風(fēng)險的嚴(yán)重性，且個人干預(yù)和介入面臨技術(shù)和資源的限制，對這類重大且根本的法益的保護(hù)，主要依賴國家的其他規(guī)制手段。例如，強調(diào)監(jiān)管機構(gòu)全環(huán)節(jié)的檢查、監(jiān)督與指引，確保信息處理者實施適當(dāng)?shù)募夹g(shù)和組織措施，以保護(hù)個人數(shù)據(jù)免受意外或非法破壞或意外損失、更改、未經(jīng)授權(quán)的披露或訪問;對于信息處理者故意造成的安全破壞風(fēng)險，則更加強源頭治理及預(yù)防，并引入刑事制裁工具進(jìn)行威懾。

行文至此，可以發(fā)現(xiàn)：個人信息權(quán)益這一法律概念具有豐富的內(nèi)涵，廣泛的外延，包含了個人信息上所承載的多層次、多類型的法益。個人信息權(quán)益呈現(xiàn)出一種概括性、框架性、集合性權(quán)益結(jié)構(gòu)。在對個人信息權(quán)益的保障中，事前的風(fēng)險規(guī)制是個人信息保護(hù)的核心任務(wù)，而風(fēng)險規(guī)制主要由國家通過規(guī)制策略而展開，在這一方面，民法保護(hù)邏輯和框架力有不逮。個人信息權(quán)益不只是民事權(quán)益，而是目的——手段相結(jié)合的、具有多元多層級構(gòu)造的權(quán)益集合。從目的性法益角度看，個人信息權(quán)益既包括風(fēng)險預(yù)防層面憲法上公民尊嚴(yán)相關(guān)的權(quán)益，也包括損害救濟(jì)層面隱私權(quán)、名譽權(quán)、財產(chǎn)權(quán)等民事法益;從手段性法益角度看，《個人信息保護(hù)法》所規(guī)定的“個人在個人信息處理活動中的權(quán)利”這一概念，即“個人信息權(quán)利束”，主要是國家落實個人信息積極保護(hù)義務(wù)對個人進(jìn)行賦權(quán)的產(chǎn)物。“個人信息權(quán)利束”既是個人信息實體性法益的保護(hù)手段，也是“個人信息權(quán)益”的內(nèi)容，是一種工具性、程序性的行政法權(quán)利。

四、個人信息權(quán)益的保護(hù)工具匹配

既然個人信息權(quán)益由憲法權(quán)益、民法權(quán)益、行政法權(quán)利等不同類型、不同維度的權(quán)益構(gòu)成，對個人信息權(quán)益的保護(hù)，自然也需要不同的工具和手段，以實現(xiàn)目標(biāo)——手段的有效匹配。不同的保護(hù)手段如何分工協(xié)作？從個人信息國家保護(hù)義務(wù)視角來看，這涉及公共監(jiān)管部門、刑事制裁部門、民事審判部門等不同國家機關(guān)之間如何在立法引領(lǐng)下履行積極保護(hù)義務(wù)，分別運用不同保護(hù)工具，更好地分工合作、相互配合，實現(xiàn)個人信息權(quán)益保護(hù)的問題。

對上述保護(hù)手段的分工協(xié)作問題，本文從兩個方面展開分析：第一，根據(jù)個人信息權(quán)益的內(nèi)涵與類型，從功能最適的角度，匹配風(fēng)險防范或損害救濟(jì)所對應(yīng)的保護(hù)工具。第二，從法解釋與法律適用維度，個人信息保護(hù)相關(guān)的不同法律規(guī)范應(yīng)按照功能匹配邏輯而展開適用。

（一）風(fēng)險規(guī)制與損害救濟(jì)的工具匹配

個人信息權(quán)益的保護(hù)工具匹配，核心是處理民法手段與行政法監(jiān)管、刑法手段等公法手段之間的關(guān)系問題。這本質(zhì)上也就是私人維權(quán)訴訟對應(yīng)的私人執(zhí)行（Private Enforcement）與公共監(jiān)管與刑事制裁部門等采用的公共執(zhí)行（Public Enforcement）機制間的協(xié)調(diào)問題。

對于事后發(fā)生的現(xiàn)實損害，由于其對應(yīng)的是個體化、確定的民法實體權(quán)益的侵害，因而這些隱私、名譽、人格、財產(chǎn)等民事權(quán)益的損害，可直接激活民事訴訟機制，并根據(jù)受損害權(quán)益的具體定性，匹配《民法典》規(guī)定的人格權(quán)請求權(quán)、侵權(quán)責(zé)任承擔(dān)等救濟(jì)機制。

難點在于，對事先事中的個人信息處理活動違反“合規(guī)”要求的行為，是否應(yīng)當(dāng)引入民事訴訟機制？一些民法學(xué)者主張，為調(diào)動個人對其個人信息進(jìn)行主動保護(hù)的積極性，通過人格權(quán)請求權(quán)與司法救濟(jì)糾偏信息處理行為、恢復(fù)自身權(quán)益。①但問題是：能否在個人信息處理關(guān)系中全環(huán)節(jié)引入私人執(zhí)行機制，從而對應(yīng)地在民法人格權(quán)體系中建構(gòu)某種新型權(quán)益？若是這樣，私人執(zhí)行機制與我國《個人信息保護(hù)法》規(guī)定的對違規(guī)處理行為采取的高額罰款、責(zé)令改正等公法執(zhí)行機制應(yīng)如何協(xié)同？

將違反個人信息處理規(guī)則的行為等同于直接侵犯民法人格權(quán)益的行為，進(jìn)而引入私人執(zhí)行機制，在個人信息保護(hù)法制尚未完善、公共監(jiān)管機制尚未健全的階段，或可起到一定積極作用。但在邏輯上，這種做法將“個人在個人信息處理活動中的權(quán)利”直接視為民法人格權(quán)益，但卻無法在民法框架中進(jìn)行有效論證。私人執(zhí)行機制應(yīng)針對民事實體權(quán)益的損失及危害而展開，但個人信息處理規(guī)則本質(zhì)上是國家建立的一套公法秩序，應(yīng)主要通過監(jiān)管和公共執(zhí)行機制予以保障和糾偏。

現(xiàn)代社會的個人信息處理行為都是大規(guī)模、系統(tǒng)化、持續(xù)性的活動，因而，在規(guī)范設(shè)定的邏輯上，個人信息處理規(guī)則是針對“公共風(fēng)險”的一套強行性規(guī)范，目的是保障具有公共性、社會性、關(guān)乎共同體基本價值秩序的憲法尊嚴(yán)法益。對違反個人信息處理規(guī)則，可能對諸多個體權(quán)益造成“系統(tǒng)性風(fēng)險”的處理活動的糾偏，本質(zhì)上是對國家建構(gòu)的“法秩序”之維護(hù)。然而，私人執(zhí)行與民法救濟(jì)是圍繞個人偏好和個體損失而設(shè)計的機制，具有分散化、個別化、差異化的特點，很難與維護(hù)個人信息處理秩序的系統(tǒng)性目標(biāo)相匹配。關(guān)于這一點，個人信息處理的比較法相關(guān)經(jīng)驗也可佐證。例如，在歐盟，對個人數(shù)據(jù)處理活動的監(jiān)管和執(zhí)法，并不一定要證明數(shù)據(jù)處理者對私人生活的侵犯，其本身聚焦的是法秩序維護(hù)之目標(biāo)，并不依賴于民事侵權(quán)體系。①對非法處理個人數(shù)據(jù)的行為，也不能直接認(rèn)定為對個體人格權(quán)造成損害的行為。②代表德國政府參與歐盟GDPR立法的權(quán)威學(xué)者溫弗里德·弗埃爾（Winfried Veil）亦明確指出，民法保護(hù)只適用于實際發(fā)生的權(quán)利侵犯或損害。③在美國，既有的與信息隱私私人救濟(jì)相關(guān)的裁判案例表明，僅僅有違反信息隱私規(guī)則的事實，并不足以證明個人具備訴訟主體資格;個人仍需證明因此受到“事實上的傷害”（injury in fact）。④這背后的邏輯正在于：私人執(zhí)行機制取決與個體自身的偏好及因人而異的利益考量;而對個人信息處理“法秩序”的維護(hù)，超越了當(dāng)事人雙方的損益權(quán)衡，涉及到社會結(jié)構(gòu)性問題和對“數(shù)據(jù)權(quán)力”的控制，故應(yīng)由專門負(fù)責(zé)公共執(zhí)行的機構(gòu)通過專業(yè)優(yōu)勢，確定社會最優(yōu)規(guī)制標(biāo)準(zhǔn)，作出合理的公法制裁和糾偏行動。

相比較而言，在侵害風(fēng)險并未現(xiàn)實化并產(chǎn)生損害后果之前，受限于個體不同的判斷能力及利益偏好，民法的侵權(quán)責(zé)任機制并不能很好地發(fā)揮應(yīng)對公共性問題的風(fēng)險規(guī)制功能。只有當(dāng)危害后果迫在眉睫或已經(jīng)產(chǎn)生了實際損失時，圍繞民事實體權(quán)益而展開的民事責(zé)任與請求權(quán)機制方能有效發(fā)揮作用。例如，在有明顯證據(jù)表明數(shù)據(jù)處理行為將對隱私及其他人格權(quán)益造成重大損害時，適用人格權(quán)禁令、排除妨礙等防御機制;在信息主體遭受財產(chǎn)損失時請求判令停止侵害、賠償損失、消除影響等，這些工具恰能與私人執(zhí)行機制的雙方對抗、自主權(quán)衡、損益自擔(dān)的特點相匹配。同時，面對實際損害舉證困難的問題，國家可針對個人進(jìn)行傾向保護(hù)，如采取舉證責(zé)任傾斜分配機制、對利益損失進(jìn)行寬松化認(rèn)定等。⑤

綜上，對個人信息處理活動中侵害風(fēng)險的規(guī)制及對憲法尊嚴(yán)法益的維護(hù)，應(yīng)以公共執(zhí)行機制為中心展開;在事后的損害現(xiàn)實發(fā)生時，再相應(yīng)地激活民法上的侵權(quán)責(zé)任機制。立足現(xiàn)實與本土，從個人信息保護(hù)制度實踐的長期效應(yīng)看，我國個人信息監(jiān)管制度正處于關(guān)鍵的發(fā)展與完善階段，過度前置化的、以私人執(zhí)行為中心的私法救濟(jì)機制，與個人信息保護(hù)的公共監(jiān)管和執(zhí)行機制有疊床架屋之虞，也會導(dǎo)致兩種機制的適用沖突，甚至造成兩種保護(hù)工具的適用錯位。如果僅僅把個人信息權(quán)利束視為個體人格權(quán)益，將違反處理規(guī)則的行為等同于民事侵權(quán)行為，進(jìn)而將民事侵權(quán)訴訟置于保護(hù)手段的核心，這將抑制與擠壓正在構(gòu)建的數(shù)據(jù)監(jiān)管體系。與此同時，民事裁判與公法監(jiān)管工具競爭甚至沖突，將帶來數(shù)據(jù)治理策略的分裂，侵蝕行政監(jiān)管的專業(yè)優(yōu)勢、執(zhí)法能力與效率優(yōu)勢，最終不利于對個人信息權(quán)益的保護(hù)。

最后，還需要厘清刑法上的刑事制裁手段與行政監(jiān)管、民事救濟(jì)之間的關(guān)系。實際上，刑事制裁機制的適用，主要考慮的是法益侵害風(fēng)險大小和危害后果。刑法的適用范圍劃定不是以調(diào)整領(lǐng)域為依據(jù)，而是以調(diào)整手段的妥適性為依據(jù)。“刑法以保護(hù)其他手段所不能保護(hù)的法益為目的。”①在法益的正當(dāng)性證立后，必須判斷刑罰是不是達(dá)到合理目的的手段。這是比例原則中的適當(dāng)性原則在刑事立法中的運用。②一方面，在事前預(yù)防的憲法法益層面，刑法針對具備嚴(yán)重外溢性、公共性的個人信息侵害風(fēng)險展開規(guī)制。因此，根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》），只有侵犯不同敏感程度的公民個人信息分別達(dá)到一定數(shù)量，或者違法所得五千元以上，亦或是提供特定類型信息被用于犯罪的，才達(dá)到本罪構(gòu)成要件中“情節(jié)嚴(yán)重”的規(guī)定，這充分考量了侵犯個人信息的用途與風(fēng)險大小。另一方面，在事后的民事權(quán)益救濟(jì)與行為懲戒層面，如果個案中的現(xiàn)實損害還涉及個體的人身財產(chǎn)安全等重大法益的損害，如詐騙、冒用身份、人身傷害等，則還會激活治安管理處罰以及刑事制裁等強制性的公法制裁機制。

（二）基于保護(hù)工具匹配的法律適用邏輯

在以上分析基礎(chǔ)上，筆者嘗試結(jié)合具體法律文本的規(guī)則表達(dá)，對不同法律保護(hù)“個人信息權(quán)益”的方式側(cè)重及其所對應(yīng)的法律適用邏輯進(jìn)行探討。

首先，《個人信息保護(hù)法》第一條將“保障個人信息權(quán)益”作為立法目的之一。該法對個人信息權(quán)益的保護(hù)思路，主要是通過設(shè)立基本的個人信息處理規(guī)則、賦予個人在個人信息處理活動中的權(quán)利、設(shè)定行政監(jiān)管機制，并聯(lián)結(jié)各類執(zhí)行機制與法律責(zé)任，從而對個人信息處理所涉及的個人自治、生活安寧、公正對待以及信息安全法益進(jìn)行系統(tǒng)性的保護(hù)。由于個人信息處理規(guī)則主要是風(fēng)險規(guī)制下的概念，對處理規(guī)則應(yīng)從處理活動風(fēng)險的角度進(jìn)行理解與適用。例如，轉(zhuǎn)變從形式上理解“目的限定”與“信息最小化”原則的觀念，從而注重通過“風(fēng)險限定”“風(fēng)險最小化”，即要求信息處理者在信息的二次利用、轉(zhuǎn)移、共享等情形中，應(yīng)當(dāng)將風(fēng)險限定在不超過第一次使用時的風(fēng)險，并將風(fēng)險控制在“最小化”的程度。在風(fēng)險理念下的規(guī)則重述，符合當(dāng)下強調(diào)數(shù)據(jù)留存和再利用的時代背景和產(chǎn)業(yè)政策，能夠為相關(guān)權(quán)益提供更加有效、均衡的保護(hù)。例如，《個人信息保護(hù)法》第6條規(guī)定：“處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。”其中“對個人權(quán)益影響最小的方式”強調(diào)的便是個人信息處理風(fēng)險的最小化。

在《個人信息保護(hù)法》正式實施后，其中規(guī)定的體系性、全環(huán)節(jié)的個人信息處理規(guī)則將在所有個人信息處理活動中發(fā)揮約束力，并按照“新法優(yōu)于舊法”的原則及專門法的優(yōu)先適用規(guī)則，取代《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護(hù)法》《民法典》等相關(guān)法律中關(guān)于個人信息處理規(guī)則的基本規(guī)定?！秱€人信息保護(hù)法》將作為個人信息保護(hù)領(lǐng)域的“基本法”發(fā)揮作用。在此基礎(chǔ)上，《網(wǎng)絡(luò)安全法》將主要從網(wǎng)絡(luò)安全維護(hù)的角度對《個人信息保護(hù)法》進(jìn)行補充和支持，如通過強調(diào)負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員的保密義務(wù)、網(wǎng)絡(luò)運營者對信息傳輸?shù)墓芾砹x務(wù)來著重維護(hù)信息安全法益。類似的，《數(shù)據(jù)安全法》則主要從數(shù)據(jù)安全視角，通過強化數(shù)據(jù)安全保護(hù)責(zé)任與保障義務(wù)，對個人信息安全，尤其是防止載有個人信息的數(shù)據(jù)的泄露、竊取進(jìn)行防范，與《個人信息保護(hù)法》相互補充，共同激活行政監(jiān)管體制進(jìn)行風(fēng)險規(guī)制。

其次，在民法領(lǐng)域，《民法典》中雖然規(guī)定了“個人信息權(quán)益”與“個人信息受法律保護(hù)”，但這并不意味著民法直接確認(rèn)了一項以個人信息為權(quán)利客體、以個人自主控制為中心的實體性民事權(quán)利。在個人信息保護(hù)法制定實施前，《民法典》第1034-1039條沿襲《網(wǎng)絡(luò)安全法》對個人信息利用的規(guī)定，發(fā)揮著在過渡階段進(jìn)一步細(xì)化、發(fā)展與強化個人信息處理規(guī)則的功能。而在《個人信息保護(hù)法》的系統(tǒng)性規(guī)定落實后，《民法典》仍可從民法事后救濟(jì)的角度為當(dāng)事人提供民事侵權(quán)責(zé)任機制，當(dāng)個人信息侵害風(fēng)險已經(jīng)高度現(xiàn)實化或現(xiàn)實的危害已經(jīng)發(fā)生，人民法院可以綜合具體的民事權(quán)益損失，來對侵權(quán)行為導(dǎo)致的危害后果發(fā)生進(jìn)行填補與制止。在這方面，《民法典》和《個人信息保護(hù)法》所規(guī)定的侵犯個人信息的私法責(zé)任和公法責(zé)任之間在歸責(zé)原則、構(gòu)成要件、免責(zé)事由以及責(zé)任承擔(dān)方式上均有不同，兩者并行不悖、并不沖突。并且，公法責(zé)任上對處理行為違法性的認(rèn)定與糾偏方式也可為事后侵權(quán)責(zé)任的認(rèn)定與承擔(dān)提供要件證明。此外，《消費者權(quán)益保護(hù)法》則主要從消費者公益訴訟這一社會執(zhí)行機制的角度，與《個人信息保護(hù)法》第69條規(guī)定的公益訴訟機制進(jìn)行對接，彌補個人單獨提起侵權(quán)之訴的弱勢與不足。

實定法的規(guī)定也可表明《個人信息保護(hù)法》與《民法典》的不同適用條件及相互銜接關(guān)系。例如，我國《個人信息保護(hù)法》第69條規(guī)定：“處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任?！贝颂帯扒趾€人信息權(quán)益”與“造成損害”之間是何種邏輯關(guān)系？如果“侵害個人信息權(quán)益”就是侵害民事權(quán)益，那么為何還需要強調(diào)“造成損害”的要件？實際上，這一概念運用是立法者深思熟慮、細(xì)致考量的結(jié)果，兩者分別指向的是不同維度的個人信息權(quán)益：“侵害個人信息權(quán)益”指的是個人信息處理行為違反了個人信息權(quán)利束對應(yīng)的合規(guī)義務(wù)，應(yīng)從行政法維度展開理解，通過《個人信息保護(hù)法》規(guī)定的公共監(jiān)管機制進(jìn)行執(zhí)法保障;“造成損害”則意味著個人信息處理行為在違背合規(guī)義務(wù)的同時也造成了個人信息上承載的相關(guān)民事實體權(quán)益的損害，因而信息處理者需要根據(jù)《民法典》規(guī)定的具體的民事權(quán)益類型承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任，這一概念應(yīng)從民法維度展開理解。結(jié)合前述《個人信息保護(hù)法》第8條“個人權(quán)益”、第9條“個人信息的安全”等概念所對應(yīng)的憲法法益，我們可以發(fā)現(xiàn)，個人信息保護(hù)法律體系中的“權(quán)益”“權(quán)利”等概念，實際上可能根據(jù)其所處的不同的體系定位和具體規(guī)范表述而存在不同含義，法律適用中需要準(zhǔn)確找到其對應(yīng)的維度，從而精準(zhǔn)地闡釋其內(nèi)涵，實現(xiàn)保護(hù)工具的準(zhǔn)確匹配。

最后，在刑法的適用上，應(yīng)當(dāng)根據(jù)刑事制裁的手段特性展開實踐：其一，根據(jù)刑法的“最后手段性”與“謙抑性”原則，刑罰應(yīng)當(dāng)作為事前公法監(jiān)管與事后損害處置的最終補充手段，不應(yīng)出現(xiàn)“先刑后民”或“先刑后行”的邏輯錯配。第二，基于“法秩序統(tǒng)一性”的原理，《解釋》中關(guān)于入罪標(biāo)準(zhǔn)——個人信息數(shù)量與類別的規(guī)定，之后也應(yīng)與《個人信息保護(hù)法》中的“敏感個人信息”保持一致。第三，從侵害風(fēng)險全覆蓋的角度，信息處理者“存儲、使用、加工、傳輸”個人信息的行為也可能帶來個人信息侵害風(fēng)險，例如通過數(shù)據(jù)挖掘技術(shù)得出大量用戶行為偏好、出行習(xí)慣、精神狀態(tài)等信息，最后滋生乃至演變?yōu)橐?guī)模性的下游犯罪行為，因而這幾項環(huán)節(jié)中的信息安全風(fēng)險也需要考慮得到刑法規(guī)制。當(dāng)然，刑法規(guī)范所欲保護(hù)的利益，必須與憲法上的基本權(quán)或憲法秩序相聯(lián)結(jié)，證成自身的正當(dāng)性。①因此侵犯公民個人信息罪這一罪名在規(guī)則完善與法律適用方面，應(yīng)當(dāng)從對“重大且根本性”的個人信息權(quán)益的維護(hù)角度出發(fā)，在憲法所設(shè)定的框架秩序內(nèi)完善法益保護(hù)范圍與具體設(shè)置方式。

五、結(jié)論

個人信息保護(hù)并非是保護(hù)個人對其個人信息的控制性人格權(quán)益，而是為了規(guī)制個人信息處理風(fēng)險，防范與救濟(jì)個人數(shù)據(jù)處理與利用活動可能產(chǎn)生的侵害后果。將個人信息處理規(guī)則所指向的法益視為個人信息人格權(quán)益的觀點，在規(guī)范邏輯、體系效應(yīng)、制度功能等維度存在不足，無法滿足個人信息法體系建構(gòu)與理論詮釋的需要。從“工具——目的”結(jié)構(gòu)觀察，個人信息權(quán)益既包括了公法上的個人信息權(quán)利束所蘊含的知情、參與、發(fā)言等工具性、程序性的利益或價值;也囊括了個人信息上承載的、可能在個人信息處理中遭受侵害的、需要國家預(yù)防保護(hù)與擔(dān)保的相關(guān)實體性、目的性權(quán)益，具有法律性質(zhì)上的復(fù)合性。

在內(nèi)容構(gòu)成上，個人信息權(quán)益體現(xiàn)為三個維度的層次構(gòu)造：第一，在憲法維度，基于侵害風(fēng)險的不同類型，個人信息權(quán)益包含了以尊嚴(yán)為核心的基本權(quán)利所對應(yīng)的個人自治、生活安寧、公正對待、信息安全四類法益;第二，在民法維度，個人信息權(quán)益則包含民法上的隱私、名譽等個人信息關(guān)聯(lián)權(quán)益，主要對應(yīng)的是個人信息處理導(dǎo)致的現(xiàn)實損害;第三，在行政法維度，個人在個人信息處理活動中的權(quán)利是國家主導(dǎo)構(gòu)建的“法秩序”的構(gòu)成要素，作為國家規(guī)制的產(chǎn)物由公共監(jiān)管積極型塑與保障。因此，對個人信息保護(hù)法律體系中“個人權(quán)益”“個人信息權(quán)益”“個人在個人信息處理活動中的權(quán)利”等相關(guān)概念的理解，不應(yīng)從單一法律部門視角片面、一刀切地展開，而是首先需要準(zhǔn)確找到其分別對應(yīng)的法律維度，進(jìn)而精準(zhǔn)的闡釋其內(nèi)涵、匹配妥適的保護(hù)工具，避免出現(xiàn)概念的混淆與保護(hù)工具的錯配。

個人信息權(quán)益的多層次構(gòu)造表明了個人信息保護(hù)體系的“領(lǐng)域法”特性，也對多元保護(hù)工具的匹配與協(xié)力提出了規(guī)范要求。現(xiàn)階段個人信息權(quán)益的諸多保護(hù)工具的協(xié)調(diào)與統(tǒng)合問題，主要是處理私人執(zhí)行機制與公共執(zhí)行機制的適用范圍與關(guān)系問題。從功能最適的角度，私人執(zhí)行機制應(yīng)圍繞民事實體權(quán)益的損失與危害展開;個人信息處理規(guī)則的違反直接侵犯的是公法上的法秩序，應(yīng)主要由公共監(jiān)管通過公法執(zhí)行機制進(jìn)行“公共風(fēng)險”的規(guī)制;刑事制裁工具則作為“最后手段”在個人信息處理全環(huán)節(jié)、全領(lǐng)域進(jìn)行謙抑的補充運用。明確個人信息權(quán)益的概念和內(nèi)涵，進(jìn)而根據(jù)不同的保護(hù)對象而匹配相應(yīng)的保護(hù)工具，有利于提升個人信息保護(hù)法律體系的科學(xué)性，完善《個人信息保護(hù)法》《刑法》《民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《消費者權(quán)益保護(hù)法》等相關(guān)法律的適用順序與邏輯，最終形成一套覆蓋數(shù)據(jù)處理全流程的風(fēng)險可控、救濟(jì)全面、工具協(xié)調(diào)、理性高效的保護(hù)機制。

The Three-level Frame and Protection Mechanism of Personal

Information Rights and Interests

wang xi-xin

（Law School， Guangzhou University， Guangzhou510006， China）

Abstract：The purpose of personal information protection is not to protect the information subjects control over personal information. Instead， it is to manage the risk of personal information processing and prevent and remedy the potential adverse consequences of personal information processing. Rights and interests related to personal information are a collection of instrumental rights and end-in-itself legal interests. In terms of content， personal information-related rights is manifested in a three-layer structure： First， from the constitutional perspective， based on different types of risks， personal information rights entail four types of legal interests： personal autonomy， peace of life， equal treatment and information security， which are based on the fundamental rights of dignity. Second， from the perspective of civil law， personal information rights include privacy， reputation and other related rights in civil law， which mainly correspond to the actual damage caused by personal information processing. Third， from the perspective of administrative law， the rights of individuals in the process of personal information processing activities are the constituent elements of the "legal order" constructed by the state， and are proactively shaped and protected by public supervision as a way of state regulation. Correspondingly， in terms of selecting the proper means of personal information protection， the regulation of personal information processing risks and the maintenance of dignity and legal interests should be mainly carried out through public supervision and enforcement mechanisms， and civil liability should be activated when private rights and interests are actually damaged. On this basis， the personal information protection mechanism can be formed to prevent various risks throughout the whole process of personal information processing with the coordination of multiple methods from both public law and private law.

Key Words：Personal Information-related Rights and Interests; Right to Personal Information Protection; Risk Regulation; Law of Personal Information Protection

本文責(zé)任編輯：林士平

青年學(xué)術(shù)編輯：孫? ?瑩

收稿日期：2021-09-01

作者簡介：王錫鋅（1968），男，安徽涇縣人，北京大學(xué)法學(xué)院憲法與行政法研究中心教授，法學(xué)博士。

鳴? ? ? ?謝：北京大學(xué)法學(xué)院研究生黃智杰為本文寫作整理了大量資料，提出了很多建議，特致謝忱。

①? ?《中華人民共和國個人信息保護(hù)法》（第十三屆全國人大常委會第三十次會議通過）第1條。

①? ? 例如，許多民法學(xué)者把民事權(quán)益當(dāng)作整個個人信息保護(hù)法體系的權(quán)利基礎(chǔ)，缺乏對民法權(quán)益與憲法（公法）權(quán)益關(guān)系的探討，如程嘯：《民法典編纂視野下的個人信息保護(hù)》，載《中國法學(xué)》2019年第4期;有學(xué)者強調(diào)把個人信息保護(hù)上升到基本權(quán)利高度，但對憲法基本權(quán)利與民法相關(guān)法益的關(guān)系缺乏探討說明，如孫平：《系統(tǒng)構(gòu)筑個人信息保護(hù)立法的基本權(quán)利模式》，載《法學(xué)》2016年第4期。

②? ? 例如，在刑法保護(hù)的論證上，有的研究者直接將民法上的個人信息自決權(quán)當(dāng)作刑法保護(hù)的法益，而缺乏憲法或公法法益下的考量，如冀洋：《法益自決權(quán)與侵犯公民個人信息罪的司法邊界》，載《中國法學(xué)》2019年第4期。在公法保護(hù)的論證上，有的學(xué)者強調(diào)消費者法保護(hù)與公法的行為主義規(guī)制，但是沒有論述這種保護(hù)方式與民法保護(hù)的關(guān)系，如丁曉東：《個人信息權(quán)利的反思與重塑——論個人信息保護(hù)的適用前提與法益基礎(chǔ)》，載《中外法學(xué)》2020年第2期。

①? ? 參見楊立新：《個人信息：法益抑或民事權(quán)利——對〈民法總則〉第111條規(guī)定的“個人信息”之解讀》，載《法學(xué)論壇》2018年第1期，第34-45頁;彭禮堂、饒傳平：《網(wǎng)絡(luò)隱私權(quán)的屬性：從傳統(tǒng)人 格權(quán)到資訊自決權(quán)》，載《法學(xué)評論》2006年第1期，第57-62頁。

②? ? 鞠曄、凌學(xué)東：《大數(shù)據(jù)背景下網(wǎng)絡(luò)消費者個人信息侵權(quán)問題及法律救濟(jì)》，載《河北法學(xué)》2016年第11期，第52-60頁。

③? ? 程嘯：《民法典編纂視野下的個人信息保護(hù)》，載《中國法學(xué)》2019年第4期，第41頁。

④? ? 程嘯：《論大數(shù)據(jù)時代的個人數(shù)據(jù)權(quán)利》，載《中國社會科學(xué)》2018年第3期，第111頁。

⑤? ? 張新寶：《論個人信息權(quán)益的構(gòu)造》，載《中外法學(xué)》2021年第5期，第1144頁。

①? ? 浙江省寧波市中級人民法院（2017）浙02民終1527號民事判決書。

②? ? 北京互聯(lián)網(wǎng)法院民事判決書（2019）京0491民初16142號民事判決書。

③? ? 參見王苑：《個人信息保護(hù)在民法中的表達(dá)——兼論民法與個人信息保護(hù)法之關(guān)系》，載《華東政法大學(xué)學(xué)報》2021年第2期。

④? ?See European Data Protection Supervisor，EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data，p.20.

⑤? ? 例如GDPR序言第84-86條、第89-96條都多次提及。

①? ? Council of Europe Committee of Ministers，Recommendation No.R（89）2. https：//www.coe.int/t/dg3/healthbioethic/texts_and_documents/Rec（89）2E.pdf，Last visited on September 30，2020.

②? ? 參見劉艷紅：《民法編纂背景下侵犯公民個人信息罪的保護(hù)法益：信息自決權(quán)》，載《浙江工商大學(xué)學(xué)報》2019年第6期，第20-32頁。

③? ? 江海洋：《侵犯公民個人信息罪超個人法益之提倡》，載《交大法學(xué)》2018年第3期，第152頁。

④? ? 歐陽本祺：《侵犯公民個人信息罪的法益重構(gòu)：從私法權(quán)利回歸公法權(quán)利》，載《比較法研究》2021年第3期，第60-62頁。

⑤? ? 高富平：《同意≠授權(quán)——個人信息處理的核心問題辨析》，載《探索與爭鳴》2021年第4期，第93頁。

①? ? 丁曉東：《個人信息的雙重屬性與行為主義規(guī)制》，載《法學(xué)家》2020年第1期，第64-76頁。

②? ? 梅夏英：《在分享和控制之間——數(shù)據(jù)保護(hù)的私法局限和公共秩序構(gòu)建》，載《中外法學(xué)》2019年第4期，第849頁。

①? ? See US Department of Healthy & Human Services，Records，Computers，and the rights of citizens（1973）. https：//www.justice.gov/opcl/docs/rec-com-rights.pdf， last visited on March 15th，2021

②? ? Article 29 Data Protection Working Party，Statement On The Role Of A Risk-Based Approach In Data Protection Legal Frameworks，P.4

③? ? Rapha?l Gellert，“Understanding The Notion Of Risk In The General Data Protection Regulation”，The

computer law and security report，Vol.34，No.2，p.282.

④? ? 王錫鋅：《個人信息國家保護(hù)義務(wù)及展開》，載《中國法學(xué)》2021年第1期，第159-160頁。

①? ? Christopher Kuner，Lee A. Bygrave，Christopher Docksey （eds.），The EU General Data Protection Regulation （GDPR）_ A Commentary ， Oxford press，proface.

②? ? 王錫鋅：《個人信息國家保護(hù)義務(wù)及展開》，載《中國法學(xué)》2021年第1期，第151-157頁。

③? ?《全國人民代表大會憲法和法律委員會關(guān)于〈中華人民共和國個人信息保護(hù)法（草案）〉審議結(jié)果的報告》，2021年8月17日。

①? ? 王旭：《憲法上的尊嚴(yán)理論及其體系化》，載《法學(xué)研究》2016年第1期，第39頁。

②? ? 李忠夏：《數(shù)字時代隱私權(quán)的憲法建構(gòu)》，載《華東政法大學(xué)學(xué)報》2021年第3期，第43-44頁。

③? ? See Philip E. Agre and Marc Rotenberg，Technology and Privacy：The New Landscape， MIT Press，2001，p.7.

①? ? See Jeffery Rosen，The Unwanted Gaze：The Distinction of Privacy in America，Random House，2000，p.8.

②? ? Orla Lynskey，The Foundations Of EU Data Protection Law，Oxford University Press，2015，p.204-208.

①? ? 程嘯：《民法典編纂視野下的個人信息保護(hù)》，載《中國法學(xué)》2019年第4期，第33頁。

②? ? 王錫鋅、彭錞：《個人信息保護(hù)法律體系的憲法基礎(chǔ)》，載《清華法學(xué)》2021年第3期，第22-24頁。

③? ? 王錫鋅：《個人信息國家保護(hù)義務(wù)及展開》，載《中國法學(xué)》2021年第1期，第153頁。

④? ? 北京市第二中級人民法院 （2009）二中民終字第5603號民事判決書。

①? ? See Orla Lynskey，The Foundations Of EU Data Protection Law，Oxford University Press，2015，p.207-210.

②? ? 蔡培如、王錫鋅：《論個人信息保護(hù)中的人格保護(hù)與經(jīng)濟(jì)激勵機制》，載《比較法研究》2020年第1期，第112頁。

③? ? 王錫鋅、彭錞：《個人信息保護(hù)法律體系的憲法基礎(chǔ)》，載《清華法學(xué)》2021年第3期，第16-17頁。

④? ? 楊芳：《個人信息信息保護(hù)客體之辨——兼論個人信息保護(hù)法和民法適用上之關(guān)系》，載《比較法研究》2017年第5期，第76-80頁。

①? ? See Lee A. Bygrave，Data Protection Law，Approaching its Rationable，Logic and Limits，Kluwer Law International，2002，p. 39.

②? ? 高富平：《論個人信息保護(hù)的目的——以個人信息保護(hù)法益區(qū)分為核心》，載《法商研究》2019年第1期，第98頁。

①? ? 王利明：《論個人信息權(quán)的法律保護(hù)——以個人信息權(quán)與隱私權(quán)的界分為中心》，載《現(xiàn)代法學(xué)》2013年第4期，第62-64頁。

①? ? See Conselho da Europa，Handbook on European data protection law，Luxembourg：European Union Agency for Fundamental Rights and Council of Europe，2018，p.20.

②? ?See Christopher Kuner，Lee A. Bygrave，Christopher Docksey （eds.），The EU General Data Protection Regulation （GDPR）_ A Commentary，Oxford press，p.1174.

③? ?Winfried Veil，The GDPR：The Emperor's New Clothes - On the Structural Shortcomings of Both the Old and the New Data Protection Law，10 Neue Zeitschrift für Verwaltungsrecht 686，703-705（2018）.

④? ? Thomas D. Haley，"Data Protection in Disarray，"Washington Law Review 95，no. 3 （2020）：1193-1252.

⑤? ?See Conselho da Europa，Handbook on European data protection law，Luxembourg：European Union Agency for Fundamental Rights and Council of Europe，2018，p.198.

①? ? [德]羅克辛：《德國犯罪原理的發(fā)展與現(xiàn)代趨勢》，王世洲譯，載《法學(xué)家》2007年第1期，第151頁。

②? ? 張明楷：《法益保護(hù)與比例原則》，載《中國社會科學(xué)》2017年第7期，第94頁。

①? ? 張翔：《刑法體系的合憲性調(diào)控——以“李斯特鴻溝”為視角》，載《法學(xué)研究》2016年第4期，第53-54頁。