田儒君

关键词：个人信息保护;隐私权;信息自决权;人格尊严

中图分类号：DF2文献标识码：A 文章编号：1009 — 2234（2021）01 — 0103 — 03

近年来，移动支付、共享经济、网络购物、电子政务的普及极大地方便了人们的生活，但同时也带来了个人信息被泄露的问题。大数据时代下，传统的个人信息保护模式正面临着前所未有的冲击和挑战。如何在合法有效地保护个人信息和数据共享之间找到平衡点，已成为世界各国共同面临并亟待解决的难题。我国学者在民法、刑法等领域对公民个人信息保护的研究已有了相当丰硕的成果，然而从宪法领域出发的研究和理论成果相对较少。因此，笔者试图以宪法为视角，分析对个人信息进行宪法保护意义，探寻在我国对个人信息进行宪法保护的可能路径，提出构想与建议。

一、美、德两国关于个人信息宪法保护的经验

在20世纪六七十年代的欧美主要发达国家，计算机技术开始迅速发展，并很快在政府管理工作中得到普遍运用。行政事务的范围不断扩张，对行政管理效率的追求不断加强，政府为了更好地完成其社会管理职能需要收集和储存大量的公民个人信息。如今处于大数据时代，政府所拥有的信息已不仅仅是量上的简单增加，通过对信息进行整合、加工后，信息的价值有无限的延伸性及可被利用的空间。随着电子政务的兴起，政府职能部门无疑已经成为最大的个人信息收集者与利用者，个人信息面临着巨大的潜在危险。面对政府巨型数据库的威胁，世界各国纷纷开始立法，并通过各种各样的方式将个人信息纳入宪法的保护范围之中，从而在全球范围内形成了一股个人信息保护的宪法化风潮，个人信息保护的宪法化反过来又推动了立法的发展。〔1〕为了论证个人信息保护与宪法之间的关系以及宪法如何保护个人信息，接下来，笔者试图比较和分析美国和德国关于个人信息保护立法的理论基础和立法经验。

（一）美国

美国对个人信息的保护建立在隐私权之上。美国学者Samuel Warren和Louis Brandeis于1890年发表的题为《论隐私权》的论文将隐私权称为“独处的权利（the right to be let alone）”。文章认为隐私的保护范围应包含避免私生活领域无故受侵扰的权利和个人决定是否公开披露其自身事务的权利，并由二者共同构成个人私生活的完整性，然后通过精神层面与人格权连结。〔2〕起初，对于隐私权的讨论只是着眼于民事侵权领域，但随着学者对隐私权研究的不断深入和司法判例的影响，隐私权逐渐上升为一种受宪法保护的基本权利。

1931年加州最高法院于Melvin v. Reid〔3〕一案的判决阐述了以下意见：（1）隐私权是存在于人格上的权利，不属于财产上的权利;（2）由于它是存在于人格上的权利，因此它随着权利人之死亡而消灭，无法永远存续;（3）凡经权利人本人或经其同意公开的，隐私利益即丧失;（4）身为社会名流如政治家、企业家等，在某种程度上可以认为他们“投身于公众之中（dedicated his life to the public）”，对此部分可视为放弃隐私权的主张;（5）对新闻或新闻事件的传播，以及公众对于知悉某特定人生活的信息存有正当利益（rightful interest），例如竞选公职的候选人，并不存在侵犯隐私的问题。此判决不但肯认了隐私权的存在，并将其导向了宪法层面的基本权利范畴。另外，判决还将隐私权与个人人格相结合，使其与个人人格具有了不可分割的关系，因而否定了隐私权的财产权性质。

传统的隐私权被认为是一种消极防御型权利形态，只有当个人权益受到侵害时才能行使这项权利。然而随着时代和科技的发展，只能被动防御已经不能满足个人生活和发展的需要。1977年Whalen v. Roe〔4〕一案在美国隐私权发展史上具有重大意义，因为该案将隐私权从人身隐私延伸至与人身相关的个人信息的隐私。案件争议的焦点在于，纽约州立法要求医生将病人的处方信息（包括病人的姓名、年龄和地址）提交给政府，并储存在政府的计算机中，立法目的是为了打击非法分销药品和管控危险药品，这一立法是否违宪。法官在判决中认为，该项法律既可能侵害病人不愿透露隐私的权利，也可能侵害病人独立做出重要决定的权利。该案是美国历史上第一个承认宪法中的隐私权包含两个分支的案例，即信息隐私权（主要是避免披露個人事项）和自决隐私权（独立做出决定）。随后一系列以避孕、堕胎、怀孕分娩、强制绝育为内容的生育自决案例，还有围绕婚姻、抚养和教育孩子的家庭自决案例的判决逐步将自决隐私权作为一项单独的权利被美国宪法所认可。〔5〕

由此我们可以看出，美国的隐私权观念的核心价值是自由。这种自由体现在独处的自由、私生活的自由等方面，最终落脚点在于人的自由。在联邦最高法院关于隐私权的经典判例中，几乎每份判决都旨在隐私权领域为个人划出一片自由的空间，排除政府的非法侵扰。自决隐私权和信息隐私权的出现与发展丰富了美国隐私权的内涵，这样一来，个人信息就被置于隐私权的保护伞之下。

总的来说，美国的个人信息法律保护体系以宪法中的隐私权为基础，针对不同的产业部门，如金融、通讯、媒体、教育、医疗领域，制订适用于该领域的特别法。这种立法模式被称为分散立法模式。〔6〕它的优点在于，可以根据不同领域、不同主体的差异性更有针对性的立法，提供更多元化的保障;但缺点也很明显，即标准过于纷繁复杂，甚至可能产生冲突，对市场的成熟度和规范化以及行业内个体的自律程度要求都非常高。

（二）德国

欧洲国家对于个人信息保护采取的立场和方式与美国截然不同。个人信息保护在欧洲被视为一项独立的权利，与隐私权区别开来。欧洲保护个人信息的价值观也不同于美国，它由宪法中的一般人格权发展而来，因此更加强调对于人际交往和人格完善的作用，所以除了限制国家权力、排除公权力的侵害外，还要求国家主动采取措施去保护个人信息。于是很多国家便循着这条积极权利观的道路保护个人信息，其中最具代表性的就是德国的信息自决权理论。

“信息自决权”概念首次出现于德国联邦宪法法院对于1983年人口普查法一案所做的判决中。该案的起因是1983年通过的《联邦人口普查法》规定进行全国性的人口普查，其中涉及使用计算机大规模收集个人信息，而且该法还授予地方国家机关出于地方行政管理的目的可以使用这些信息的权限。当时有百余人向联邦宪法法院提起了宪法诉讼，认为该法律侵犯了他们的隐私权。〔1〕

法院于判决中首先强调《基本法》的核心在于保护人的尊严和价值，这种尊严和价值主要体现为“自由的自主决定”，自主决定是个人生活安宁的重要保障，是身为一个自由民主社会中的个体所应该享有的基本权利。基于一般人格权，每个人都有自由发展其人格的权利，因此个人有权自己决定于何时及何种限度内，将与其个人生活相关的信息向他人公开。判决还认为，使用现代技术无限制地处理个人信息会对个人自决权造成威胁，这种威胁不仅会阻碍个人人格的自由发展，而且会损害整个社会的公益。〔7〕最终，宪法法院通过将基本法中人格尊严和一般人格权条款结合，推导出了信息自决权的概念。

该案的判决把信息自决权建立在宪法中一般人格权的基础上，将其提升到宪法保护的高度，故保护个人信息就成了包括立法、司法、执法机关在内的所有国家机关对公民的义务和责任，也有利于引起全社会对保护个人信息的重视。在此概念基础上，德国修改了之前颁布的《联邦数据保护法》，使信息自决权成为了一个体系化的权利整体。有台湾学者认为，自该案判决后，信息自决权便于基本权利清单中深深扎根，同时与一般人格权紧密结合，进而成为司法实务运作中的支配和指导原则。〔8〕

通过以上的梳理可以看出，美国的隐私权与德国的信息自决权的权利基础是不同的：美国的隐私权作为一项受宪法保护的基本权利，其本质是为了保护人的自由，并且学界研究和司法判决将隐私权的内涵不断丰富，引申出了信息隐私权来保护个人信息。德国的信息自决权则植根于人性尊严和一般人格权的土壤中，由联邦宪法法院通过一系列判决推导出来，成为德国个人信息保护的宪法基础。正是两国不同的历史和国情造就了不同的宪法基本价值理念，进而形成了迥异的个人信息保护观。

二、我国个人信息保护的立法现状及问题

为了回应日益高涨的保护个人信息的呼声，近年来，我国加强了对个人信息的立法保护，与之相关的法律法规、部门规章和规范性文件并不鲜见。2009年《刑法修正案（七）》增加了“非法获取公民个人信息罪”，2015年《刑法修正案（九）》将该罪变更为“侵犯公民个人信息罪”。2016年通过的《网络安全法》主要着眼于网络安全领域，明确了个人信息的定义，还规定了个人信息保护的基本原则，并对网络运营者侵犯个人信息的行为设立了法律责任。2020年通过的《民法典》在人格权一编中对个人信息的内涵、处理个人信息时应遵循的基本原则及权利人所享有的权利做了规定。2020年10月，备受关注和期待的《个人信息保护法（草案）》公布，从内容来看，《个人信息保护法》实际上是一部公法和私法相融合的法律。一方面，它规定了履行个人信息保护职责的部门，通过制定强制性法律规范，如罚款、没收违法所得、吊销营业执照等行政处罚措施实现对个人信息的公法保护;另一方面，它规定了个人在个人信息处理活动中的权利，如知情权、决定权、删除权，以及个人信息处理者的义务，如告知义务，通过构建以个人信息权利体系为基础的民事诉讼机制实现对个人信息的私法保护。

纵观现阶段我国对个人信息保护的立法，主要存在以下几点问题：第一，立法分散，缺乏整体设计。尽管目前我国已经有很多相关的法律法规，但从整体上来看比较分散，个别条文甚至还存在冲突，法与法之间缺乏有效的衔接，脱节现象严重。第二，现有法律的调整范围有限。《网络安全法》针对的责任主体仅仅是网络运营者，《民法典》所调整的对象仅限于私法领域中平等的民事主体，对于掌握大量公民个人信息的政府部门和公权力机关的相关法规还远远不够。第三，将个人信息保护与隐私混为一谈，二者边界模糊、意涵不明。实际上，这是两个不同的概念。这就需要我们明确个人信息权益的法律属性，并对保护隐私和保护个人信息的边界进行明确的界定。第四，多为禁止性规范，缺乏引导性规范，重事后惩罚，轻事前规制，需要耗费大量的执法成本，不利于形成自发地保护个人信息的社会氛围。

三、我国个人信息宪法保护的路径设想

如果将个人信息权利视为一项宪法上的权利，信息主体就不仅可以对抗平等的民事主体，还可以对抗公权力部门。如今，政府已成为最大的个人信息收集者和利用者，因此个人信息的宪法保护已成为世界各国都在研究的一项公法学课题。有的国家直接将个人信息保护写入宪法的基本权利中，例如荷兰宪法第一章第十条;有的国家采用宪法解释或判例的方式将个人信息保护囊括至宪法保护的范围中，例如德国。

提倡对个人信息进行宪法保护的学者认为，可以将我国宪法第33条人权条款、第38条人格尊严条款和第37条人身自由不受侵犯的条款作为依据，通过宪法解释将个人信息权作为一项基本权利。〔9〕宪法第40条规定公民的通信自由和通信秘密受法律保护，笔者认为在信息时代应当对“通信”一词做广义解释，将其扩展到包含个人信息在内。将个人信息保护纳入宪法的保护范围只是第一步，还要加快制定专门的个人信息保护法，重新定位个人信息的权利属性，建立一套统一的、系统化的规则，做到既能保护个人的权利，又不至于阻碍经济和技术的发展。专门的法律出台还有助于克服当下分散立法、分散管理的弊端，对于解决当前法律无法被及时、有效地适用也会起到推动的作用。此外，作为个人往往很难预见到风险的发生，因此对个人信息进行保护还需要积极发揮公法对社会风险的控制作用，事前预防比事后惩罚或补救更重要。

大数据时代，世界各国及个体之间的联系都被前所未有的加强，因此保护个人信息是世界上所有国家的共同事业。宪法作为一国法律体系中的根本大法，其最重要的价值和作用就在于保障公民的基本权利，从宪法的视角和高度看待和研究个人信息保护问题，能够使我们认识到保护个人信息对于维护个人的人格尊严、保障人格自由形成和发展的必要性。但需要强调的是，虽然美、德及世界上其他国家和地区的个人信息保护理论和立法经验值得我们学习和借鉴，我们仍然要坚持立足于我国的基本国情并结合实践中出现的问题，找到适合我国的个人信息保护模式。

〔参 考 文 献〕

〔1〕孙平.“信息人”时代：网络安全下的个人信息权宪法保护〔M〕.北京：北京大学出版社，2018：25-80.

〔2〕Samuel D. Warren， Louis D. Brandeis. The

Right to Privacy 〔J〕.Harvard Law Review（0017-811X），1890，04（05）：193-220.

〔3〕Melvin v. Reid， 112 Cal. App. 285 （1931）.

〔4〕Whalen v. Roe， 429 U.S. 589 （1977）.

〔5〕姚岳绒.宪法视野中的个人信息保护〔D〕.上海：华东政法大学，2011：73.

〔6〕齐爱民.论个人信息保护基本策略的政府选择〔J〕.苏州大学学报：哲学社会科学版，2007，（04）：32-36.

〔7〕赵宏.信息自决权在我国的保护现状及其立法趋势前瞻〔J〕.中国法律评论，2017，（01）：147-161.

〔8〕李震山.人性尊严与人权保障〔M〕.台北：元照出版社，2011：222.

〔9〕孙平.系统构筑个人信息保护立法的基本权利模式〔J〕.法学，2016，（04）：68.

〔责任编辑：张 港〕