浅谈公民基本权利保障视角下的《个人信息保护法》

唐双武

摘 要：《个人信息保护法》于2021年11月1日正式实施。《个人信息保护法》第一条规定“根据宪法，制定本法”。宪法作为国家根本大法，对于保护公民的基本权利例如人格尊严等作出了明确规定，《个人信息保护法》第一条凸显出该法实质上是一部保障公民基本权利的重要法律。

关键词：公民;基本权利保障;《个人信息保护法》

一、比较法视域下的个人信息保护路径

个人信息蕴含的人格利益包含尊严、自由和平等，对这些基本价值进行保护就是保障人的基本权利或人权。1948年联合国发布了《世界人权宣言》，该宣言第12条被普遍当作保护个人信息的法律渊源。欧洲立法将个人信息保护纳入基本人权保护范围。1981年欧盟发布的《个人数据自动处理中的个人保护公约》，其中第1条规定其目的在于保护个人权利和基本自由（尤其是隐私权），这表明该公约致力于保护个人而非个人数据。欧盟1995年颁布的《数据保护指令》和2016年通过的《通用数据保护条例》的立法基本宗旨均定位于保护自然人的基本权利和自由。而美国则纳入隐私保护体系，称之为信息隐私。比较而言，欧洲立法强调人的尊严，美国立法则强调个人自由。

二、我国《个人信息保护法》的立法定位

个人信息保护法是关于个人信息处理中个人权利的保护法。个人的何种权利需要得到保护，是该法需要解决的问题。个人信息保护实质上保护的是个人信息处理中的公民的基本权利（主体权利），而不是保护个人信息本身。因此，《个人信息保护法》是个人信息处理中个人权利的保护法，而不是个人信息的保护法，更不是个人信息权利法。

我国《宪法》第33条第3款规定：“国家尊重和保障人权。”有学者指出，人类正迎来一种新型人权，即数字人权。但是在大数据时代，人权保障正面临数字科技的日趋严峻的威胁。可识别性是个人信息的主要特征，数据处理的过程也就是识别特定个人的过程。但是在算法规则面前，人的主体性往往被忽视，个人在个人信息处理活动中存在被客体化的风险。因此，通过立法保护个人的主体权利免受个人信息处理活动的不当侵害，显得尤为必要。

个人人格尊严和自由是个人信息保护的应然范畴。《宪法》第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”由此，王利明认为，个人信息权益来源于宪法第38条规定的人格尊严。通过规范个人信息处理活动，《个人信息保护法》一方面保证个人信息处理恪守人格尊严底线，另一方面保留个人信息合理流动和使用的空间，这是《个人信息保护法》的价值体现。有学者认为，个人信息保护的主要价值，在于保护个人信息主体的人格尊严和信息自由。

三、《个人信息保护法》的规范价值与公民基本权利保障

《个人信息保护法》通过具体规则的构建设置了保障公民人格尊严不受侵犯的“防火墙”，同时提供了在不同情形下的权利救济路径。在规则的构建上，主要体现在以同意规则为核心而个人信息自决又源自于基本人权，因此透过《个人信息保护法》的这些具体条文，也充分反映了该法对公民基本权利的保障。

告知是同意的前提。个人信息处理者只有充分履行告知义务，才能确保同意的真实有效。《个人信息保护法》对告知义务做了详细的规范。例如《个人信息保护法》第十四条明确规定基于个人同意处理个人信息的，该同意应当确保个人在充分知情的前提下自愿、明确作出。第十七条规定在处理个人信息前，个人信息处理者应该以显著方式、清晰易懂的语言真实、准确、完整地向个人告知。

个人信息处理者应当充分、适当地履行告知义务，这是告知规则的规范要求，告知规则与同意规则共同发挥保护个人信息权益的作用。在法律、行政法规明确规定了无须获得个人同意的情形下处理个人信息，告知规则仍然适用，无须个人的同意不能成为处理者不履行告知义务的正当理由。

以敏感性作为核心要素，个人信息可划分为一般个人信息和敏感个人信息，国内外立法均对敏感个人信息的处理作出更为严格的限制。我国《个人信息保护法》第38条第2款对敏感个人信息做了明确界定，敏感个人信息其一旦泄露或被非法使用，可能损害自然人的人格尊严或者危及人身、财产安全。从该定义分析，一般个人信息和敏感个人信息区别主要在于敏感个人信息涉及个人尊严与生命财产安全，一旦被泄露或非法使用，就会给个人信息权益造成很大损失，而敏感个人信息的判定标准，为信息处理者设置特殊的处理义务，也为监管机构保护敏感个人信息提供了法律依据。

问题是时代的声音。随着近年来以平台经济为代表的数字经济的飞速发展，个人信息被过度收集、滥用的问题频现，“大数据杀熟”、“算法控制”严重侵犯了公民的个人信息权益，为了防止重要互联网平台侵犯个人信息权益，《个人信息保护法》第58条规范了重要互联网平台这一个人信息处理者的义务。

四、公民基本权利保障与个人信息的跨境流动

数据的全球流动已经大势所趋，如何在数据的对外开放与国家安全之间保持平衡，是数据全球治理的重要议题。数据无国界，数据的自由流动是为我国政府所承认的国际法则。但是，数据的全球化亦即跨境流动过程中，个人信息保护面临空前的风险和挑战，个人信息权益中所蕴含的人格尊严也随时可能被侵犯。在数据跨境流动的场景下，保持开放性有其必要，但是管控数据流动风险，实现“数据的安全流动”也是应有之义。唯有确保数据的安全流动，公民的基本权利才能在全球化背景下得以保障。對此，我国的《个人信息保护法》在制度设计上就个人信息跨境流动作出了规范。第39条就个人信息处理者向中华人民共和国境外提供个人信息做了具体规定，例如个人信息处理者应当获得个人的单独同意。这一“单独同意”规则的设置，强化了个人信息处理者的责任，对于个人来说则保障了个人信息跨境流动情形下的知情权和自决权。相对于个人信息的境内流动，跨境流动下的个人信息如果被泄露、被滥用，则个人信息权益无从保障且权利救济更加艰难复杂。《个人信息保护法》第39条这一告知—同意模式为个人行使权利提供了渠道，使得个人信息跨境流动下的侵权可能获得及时救济。

五、保障公民基本权利与促进个人信息合理利用

在数字经济蓬勃发展的时代，保护个人信息权益与促进个人信息的合法利用，这是个人信息保护立法宗旨的一体两翼。个人信息使用者利用个人信息实现自身利益的同时，直接或间接地促进了社会福利。《个人信息保护法》规定了社会中的各类主体都能使用合法收集的个人信息服务，或者依法使用该信息从事其他行为，例如应有关侦查机关要求提供相关个人信息。《个人信息保护法》第13条第1款第1项规定了单独同意和概括同意两种形式，这一规则有利于促进个人信息处理者合理使用个人信息。

基于利益衡量的视角，张新宝开创了“两头强化、三方平衡”的理论框架。该理论认为，不同种类的个人信息其保护路径应该有所区别，一般个人信息通常不具有需要特殊保护的个人信息权益，因此需要强化一般个人信息的利用，而对于敏感个人信息则需要加强保护。

就一般个人信息的利用而言，以劳动关系场景为例，劳动者同意在很大程度上被其他合法性来源所替代，《个人信息保护法》第13条规定了两种情形下，作为信息处理合法性来源的替代性适用，规定这些情形下“不需要取得个人同意”。具体来说，一是在订立、履行个人作为一方当事人的合同的情形下，二是在依照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理的情形下，无需取得个人同意即可以处理个人信息。

总之，作为一部促进数字經济发展、维护个人信息权益的重要法律，《个人信息保护法》对于保障公民基本权利具有多维度的重大而现实的意义。该法的出台与实施，必将给我国数字时代的人权保障提供更多有益的探索和经验。

参考文献：

1.张新宝：《从隐私到个人信息： 利益再衡量的理论与制度安排》，载《中国法学》2015年第3期。

2.高富平：《论个人信息保护的目的—以个人信息保护法益为核心》，载《法商研究》2019年第1期。

3.张新宝：《论个人信息权益的构造》，载《中外法学》2021年第5期。

4.高富平：《个人信息使用的合法性基础—数据上利益分析视角》，载《比较法研究》2019年第2期。

5.程啸：《论个人信息处理中的个人同意》，载《环球法律评论》2021年第6期。

6.王利明：《敏感个人信息保护的基本问题》，载《当代法学》2022年第1期。

7.马长山：《智慧社会背景下的“第四代人权”及其保障》，载《中国法学》2019年第5期。

8.谢增毅：《职场个人信息处理的规制重点—基于劳动关系的不同阶段》，载《法学》2021年第10期。