個人信息國家保護義務的內涵

“個人信息受保護權—國家保護義務”是一體兩面的概念，本質上是“基本權利—國家義務”體系在個人信息保護領域的運用。個人享有的個人信息受保護權必然要求國家對個人在信息處理領域中的個人進行保護與支援。在此語境下，確立與澄清個人信息國家保護義務的內涵，便需要對個人信息受保護權的價值基礎、主要類型與權利結構進行識別與辨析。

　　（一）個人信息國家保護義務的兩種類型

　　1.國家的消極義務與個人信息受保護權的防御權功能。

　　基本權利最原始的機能是防御權，即公民對抗國家不當干預其自由和侵害其財產的權利。當國家試圖侵害被基本權利所保障之法益時，公民可以直接按照基本權利規范來請求國家不得干預或侵害。該種要求停止干預或侵害的請求權機能，反射至國家一方，也就是國家身負不得侵犯的禁止作為義務。

　　2.國家的積極義務與個人信息受保護權的客觀法功能。

　　雖然個人信息國家保護義務曾長期以消極義務為主要呈現姿態，但隨著時間的推移，尤其是進入21世紀后，傳統“私人生活保護”所遵循的“權利具有絕對性質，信息獲取便推定違法”的古典自由權邏輯在許多場景下已不再適用。相較而言，個人信息受保護權在大數據時代的基本假設是，個人信息本身便具有一定的交互性與公共性，個人信息處理在現代社會中是必要的。盡管應考慮到某些條件和保障措施，但對個人信息的基本推定是“可以被處理”。而真正需要國家介入的關鍵在于：個人此時面對的不是普通的私人主體，而是強大的、組織化的信息處理機構；加之信息時代下個人信息處理往往是動態化、復雜化、風險不確定的過程，因此個人難以在參與及做出選擇的過程中保持清醒、警惕、知情及自治。為使個人免于受到信息處理機構的支配，就需要國家積極保護相關個人。由此，個人信息受保護權變成了一項積極的權利，具備了客觀價值秩序（客觀法）的功能，即國家必須創造和維護有利于實現個人信息保護的制度環境。

　　3.個人信息受保護權在我國憲法上的安頓。

　　個人信息國家保護義務在我國憲法上的首要根據便是憲法第三十三條第3款規定的“國家尊重和保障人權”。對應前述兩種類型的國家義務，“尊重”側重國家對私人生活的不得侵犯，是個人信息受保護權主觀防御功能與國家消極義務的體現；“保障”則更側重個人信息受保護權的客觀方面功能，其中就包含了要求國家積極通過立法和其他公權力行為，以保護基本權利主體在個人信息處理中免于受支配或陷入信息處理者制造的危險或風險的含義。這兩種類型的義務又可以被統攝于憲法第三十八條對公民人格尊嚴的保護之中。

　　（二）個人信息國家保護義務的規范結構

　　基于個人信息受保護權實現的憲法規范要求，個人信息國家保護義務的規范邏輯結構由“侵害來源”和“保護方式”兩部分構成，也就是針對何種侵害源的保護、如何進行保護的問題。

　　1.個人信息國家保護所針對的侵害風險源。

　　在現代社會，信息處理活動很大程度上決定了人們的選擇空間與可能獲得的結果。亦即，數據權力（data power）已經成為一種廣泛而普遍的社會事實。當下諸多具備大數據挖掘能力的專業或商業機構具有以下特征：“掌握龐大的數據量、超乎常人想象的收集速度、多元的數據種類、潛在的詳盡范圍以及強人工智能技術下的數據關聯與整合能力。”可以說，在金融、教育、醫療、社會保障等各個領域都已形成“數據依賴”的時代，個人信息的利用與保護不僅關涉個體，還與整個社會的權力結構及運行機制相關聯。

　　可以說，面對這些來自數據權力的侵害風險，希望通過象征性的、形式化的個人自主決定和支配來進行個人信息保護的私法機制，看似體現了對個人主體地位的尊重，實際上是將個人的選擇置于數據權力的控制之下，缺乏制衡能力與信息資源的個人并無法憑借“信息自決”來實現對上述侵害風險的防御與保護，以事后救濟為主的“權利模式”對于控制大規模、持續性的信息處理風險而言顯得捉襟見肘。只有通過國家保護義務這一兼具公共強制與理性治理的機制，才能有效防范數據處理風險，使個人與個人信息處理者之間構成合理的制衡狀態，從而避免個人時刻處于被數據權力支配的恐懼之中。這構成了國家落實個人信息保護義務的必要和正當理由。

　　2.控制侵害風險的基本路徑。

　　個人信息保護法的制定過程更多貫徹了個人信息受保護權的客觀法功能所指向的積極義務，這要求國家針對數據權力這一侵害風險源而提供積極保護。若是從體系化視角觀察國家積極義務的實現途徑，基于客觀法功能導出的國家義務包括制度性保障、組織與程序保障、保護公民免受第三人侵害的義務（侵害的防止義務）這三項基本要求。也就是說，國家權力需要對大數據時代下的個體人格和尊嚴提供制度性保障和秩序擔保。

　　個人信息國家保護義務的展開

　　個人信息國家保護義務的展開和落實，是一個綜合不同法律技術與制度工具的系統過程，需要國家統籌協調不同部門法工具，吸納多元主體參與，兼顧對個人信息的消極保護和積極保護。

　　（一）消極保護義務的落實

　　在傳統上，消極保護義務所指向的個人防御權要求國家不得侵入個人信息領域。但在以大數據和信息技術廣泛應用的“信息國”時代，以對個人數據的采集和處理為核心的“監控”已成為一個普遍事實。在這個背景下，落實國家消極保護義務的關鍵，并非禁止國家使用監控等數據處理技術，而在于強調監控手段運用的價值理性和工具理性。監控（surveillance）是在傳統安全觀念和治理手段基礎上，為回應復雜、多樣的安全風險而孕育的權力和技術工具，在反恐、傳染病監控、自然災害和市場風險、公共安全等領域已普遍使用。但數據監控工具如果不能被有效控制在以憲法為根基的法秩序之內，則極易被濫用，甚至導致工具的“反噬效應”。因此，不能僅關注監控的有效性，應當在消極保護義務的價值規范要求下，考慮工具有效性和私人生活安寧之間的平衡，具體可從立法規則表達、過程控制與救濟機制三個層面進行落實。

　　（二）積極保護義務的落實

　　1.制度性保障。

　　國家首先需要建構個人信息處理的基本制度，設定個人與個人信息處理者之間的權利義務關系結構，確保個人實質性參與信息處理過程，對信息處理者形成制衡，以充分實現權益保障目標，這便是個人信息國家保護義務的制度性保障面向。制度性保障課予國家建構和維護一套關于個人信息處理基本制度的“客觀”義務。基于支援個人對抗數據權力的需要，立法機關有必要通過制度建構，賦予個人在信息處理中的工具性權利，同時設定信息處理者的相應義務與行為模式，從而建立起個人與信息處理者之間的制衡結構。由于數據處理者與個人在資源、技術等方面的明顯不對稱地位，個人單憑其自身力量將無法對抗數據權力的壓迫和支配，因此，個人信息國家保護義務必然要求國家介入，提供一套制衡性的個人信息處理權利義務規則。

　　2.組織與程序保障。

　　制度性保障重點關注的是“個人—信息處理者”之間的權利義務關系結構；組織與程序保障則主要指：在基本的權利義務關系結構之外，需要通過組織和程序設計，為國家保護義務之落實提供擔保性和輔助性制度，以促進個人信息受保護權之實現。這具體涉及到三個方面：首先，負有保護職責的組織系統如何設計；其次，信息處理者組織結構如何優化；最后，面向個人提供哪些基本的法律程序保護。

　　3.侵害防止義務。

　　在制度性保障、組織與程序保障之外，國家保護義務的落實還指向侵害防止義務。國家需要綜合運用多重工具，通過構建預防機制和協同法律責任來營造個人不受數據權力侵害的法秩序環境。由于單一部門法所提供的責任機制無法獨自完成國家保護個人信息的任務，因此，應從整體的國家保護義務框架來思考和建構個人信息保護法律責任體系。在這個意義上，憲法、民法、行政法、消費者法、刑法都可以為個人信息保護提供有針對性的法律責任機制，這意味著個人信息保護法是一個典型的“領域法”。我們應當擺脫部門法本位主義的路徑依賴，考慮多元法律責任機制的協同。

　　（原文刊載于《中國法學》）