方逊:我国个人信息保护的宪法规范分析

方逊

    摘要: 《个人信息保护法》制定过程中,是否要写入“根据宪法,制定本法”的争论主要在于:个人信息保护是否存在宪法规范基础。全国人大及其常委会根据宪法制定法律的权力基础已为宪法明定,法律规范效力也因之源于宪法,颇具争议者在于下位部门法与宪法之间是否在内容上存在关联以及存在何种关联。从我国个人信息保护的理论发展和法律实践中,可以梳理出个人信息权益的人格本质。结合《宪法》《立法法》等关于宪法与法律之间关系的规定,此人格本质可以回溯到《宪法》第38条“人格尊严”条款。结合宪法文本规范体系,可以归纳解释出个人信息保护法的宪法规范基础,这为宪法与个人信息保护法提供了内容上的关联。因而“根据宪法,制定本法”写入《个人信息保护法》是妥当的。
    关键词: 个人信息保护法 人格尊严 人权 尊严 宪法规范基础
    在《个人信息保护法》制定期间,数稿草案并未明确“根据宪法,制定本法”或类似表述,这引起了一些疑虑。“根据宪法,制定本法”是否写入法律已成为“基本法争议”“物权法草案争议”等诸多争论的重要焦点,但在何种情形下写入等问题仍未形成高度共识,已经制定的法律仍有较多未将之写入。[i]的确,“根据宪法,制定本法”并非写在了所有法律文本之中,因而本文拟从个人信息保护法草案未写入而在最终文本中写入“根据宪法,制定本法”的原因切入,通过分析这一宪法根据规范的含义与功能,来理清个人信息保护法的宪法规范基础。
    一、“根据宪法”规定写入的关键是宪法规范基础的证立 在《个人信息保护法》中写入“根据宪法,制定本法”的争议关键在于个人信息保护的宪法规范基础的证立。这一方面需要分析该表述本身的规范内涵及功能;另一方面,还要考量个人信息保护专门立法的外部环境和自身需要。
    (一)“根据宪法”规定对宪法与下位法律关系的阐发功能
    “根据宪法,制定本法”存在事实性和规范性两种面向:前者是在描述立法者根据宪法制定法律的实际行动;而后者是指立法者应当根据宪法制定法律。此规范性面向仍需进一步阐释:第一,根据现行宪法规定,全国人民代表大会(以下简称:全国人大)是宪法规定的最高国家权力机关和立法机关,根据宪法授予的权力进行立法;第二,行使立法权时,全国人大应当遵循宪法规则、原则、精神价值等,其立法内容要立足宪法文本,借助宪法解释理论,经由规范分析方法,厘定每一条文的规范范围及其蕴含的立法指示。[ii]如此,“根据宪法,制定本法”规定了制定法的效力来源和内容来源。对此,在民法典制定过程中,民法学者认为有必要写入“根据宪法,制定本法”,这至少具有如下意义:第一,彰显宪法的根本法地位,明确民法典效力来源,维护法律体系和谐统一;第二,实现对民法规范的合宪性控制,落实宪法关于经济制度等方面的规定,使民法典符合宪法的精神;第三,通过合宪性解释,准确解释民法规则;第四,保障宪法的实施。[iii]虽然,存在反思观点认为,“根据宪法,制定本法”的表述实际上有失严谨性而并非清晰,设立合宪性解释基准条款是更优的替代性或补强性方案。[iv]但其目的在于进一步理清宪法与下位法律之间的关系,而并未实质否定“根据宪法,制定本法”对宪法与下位法律之间关系阐明的功能作用。
    根据《宪法》序言第13自然段、正文第5条,《立法法》第87条等规定,宪法最高效力的确立,作为一切主体“根本的活动的准则”的地位,以及我国一切主体“维护宪法尊严、保证宪法实施”的职责规定,与下位法律中的“根据宪法,制定本法”之表述形成呼应,系统地明确了宪法与下位法律之关系,同时也进一步明确了“根据宪法,制定本法”的规范内涵。
    (二)“根据宪法”规定写入的争议焦点在内容关系上的证成
    在我国法律体系中,宪法与其下位法律关系的阐释不可避免地要关注“根据宪法”规定所展现的宪法与下位法律的关系。而写入此表述的必要性与个人信息保护法制定过程的外部环境因素和自身特质因素有关。
    从既有经验来看,过去相关的立法争议最终仍以写入“根据宪法,制定本法”作为解决方案,并且经验表明,最终写入整体上也是有所裨益的。从现实来看,已经较为详细规定个人信息保护规范的《民法典》在其总则部分已经写入“根据宪法,制定本法”,那么,《个人信息保护法》是否有不写入的优势理由?当然,或有观点认为,个人信息保护法不仅涉及平等主体间,而且涉及非平等主体间的信息关系,因而不能为《民法典》中“根据宪法”规定所统摄。但如果持有此观点,恰揭示了《个人信息保护法》应当写入“依据宪法,制定本法”更为深层的原因:如果个人信息保护法是民法的特别法,那么《民法典》写入“根据宪法,制定本法”就意味着作为个人信息保护法实质上也确认了这一规定;如果认为个人信息保护法不是民法的特别法,那么,上述推论就不能成立,“根据宪法”规定仍应写入以明确个人信息保护法与宪法的关系。
    在个人信息保护理论与实践的长期讨论中,包括个人信息在先立法的美国和欧洲国家等都从宪法中找寻立法根基。[v]我国个人信息领域的讨论也因为个人信息的泛在性、界定的模糊性、影响的深刻性等原因使得立法不得不尽可能向宪法靠近以寻求支持资源。而目前的讨论对于个人信息保护法的效力来源具有基本共识,但对个人信息保护法是否在内容上有其宪法规范基础却存有较大争议,这成为了“根据宪法,制定本法”写入的争议焦点。
    (三)宪法与《个人信息保护法》的内容关系存在论证空间
    晚近关于宪法与下位法律(部门法)内容关联的讨论的关键词为“具体化”,即部门法是宪法的具体化。这首先是指宪法约束立法机关立法,立法机关通过立法来实施宪法,具体化宪法规范内容形成部门法秩序;其次,宪法作为“框架秩序”为立法者留有空间和自由,使其能够在宪法秩序之下制定部门法具体内容。如此,部门法对宪法的具体化就可概括为“内容形成”和“越界控制”两层内涵,故立法者一边要落实宪法规范之立法委托,一边要谨慎判断部门立法形成的具体规范是否逾越了宪法设定的边界。[vi]然而,商榷观点认为,部门法是宪法的具体化这一命题不能成立。因为,如果部门法是宪法的具体化,那么部门法规范就是宪法规范的具体要求,而法律实践需要对部门法规范进行具体化,如此,“存在着直接将宪法与实践结合起来的可能,部门法只是可省略的中间环节”[vii]。由此,“部门法是宪法的具体化”在逻辑上不成立,在功能上不合实际,没有对不同法律规则作出区分,故需被否定。对此,具体化的支持观点回应道,就部门法对宪法的具体化这一关系来说,其不是指部门法发挥了实施细则的功能,而是一种“应当”意义上的关系;宪法与部门法之间的具体化关系,与部门法与法律实践之间的具体化关系并不相同,由此,不能够通过“具体化”推导出宪法直接适用于司法实践,也不能否定部门法存在的必要性和重要性。[viii]
    上述观点之间实际上并未形成真正意义上的交锋,诚如有学者指出法理学分析不能代替法教义学分析,二者之间是适度分离的。[ix]如果一方是在基于一国宪法教义学的语境中进行观点主张,另一方是在一般法学理论上进行商榷,那么二者就至少需要在概念使用上保持一致,而上述观点的概念本身也处于争论和分歧的中心,故无法形成实质有效共识。但宪法学者在强调宪法与下位法律之间的内容关联,法理学者在强调宪法规则与下位法律规则之间性质上的区分,二者均未否认宪法与下位法律之间的内容关联,而问题是这是一种什么意义上的关联,以及“具体化”这个理论工具能否代表这种关联。此时内容关联获得了理论上的可能空间,由此,可以通过个人信息保护法规范的内容论证其宪法规范基础。
    二、个人信息保护宪法规范基础的论证进路
    讨论个人信息保护的宪法规范基础,需要从理论研究和法律实践中找寻中国语境中个人信息保护关注的本质,并且从相关线索中归纳出个人信息保护所指向的宪法文本规范。
    (一)个人信息整体的规范需要宪法基础支持
    1.个人信息整体构成自然人的信息人格
    从我国目前已经制定的规范性文件来看,个人信息几乎包括了所有与个人相关的可直接或与其他信息结合识别个人的信息。[x]个人信息是公民个人各个方面的信息化表现方式,所有个人信息整体表现着公民个人的“信息人格”。[xi]现实的自然人人格具有直接现实的根本地位,信息领域的信息人格及其相关权益必须借助公民个人与个人信息的真实对应这一关联。如果某信息对应有瑕疵,则涉及信息更正权等的问题。从目前规范性文件中个人信息的概念来看,自然人人格与个人信息的关联使得现实的公民个人的权益受到其个人信息的整体影响。同时,由于人的社会性,整体所指向的范围不仅限于作为孤立个人而是包括其所处的社会关系整体。在电子化、信息化、网络化已经成为基本趋势的时代,越来越多个人信息将会生成并构成越来越完整的信息人格,作为个人信息整体的信息人格必须得到实在法体系的综合规范和保护。
    2.个人信息权益的综合性对宪法支持的需求
    个人信息涉及整体,个人信息权益就不可能是某项纯粹的权利,至少兼具人身属性和财产属性、公共属性与私人属性。同时当前立法并也未明确个人信息权益的具体权利属性,这表明个人信息权益很难归结到某一具体部门法权利体系之中——个人信息权益是一项综合性权益。个人信息关系至少存在三种场景:“个人-国家”“个人-机构(组织)”与“个人-个人”。显然,在不同的场景或语境下,涉及信息是否为公民个人信息,系争个人信息是否受到规范和保护,规范保护应当采取何种模式,等等,论证和结论均有较大差异。欧盟和美国大抵殊途同归,均采取场景化的行为主义规制道路,通过具体的场景化判断来确定个人信息保护的合理边界,[xii]而个人信息权益就是对此过程中不同场景下公民对其个人信息享有的各种权益的总称。这使得个人信息保护不可能依靠单一法律部门完成,需要作为根本法和最高法的宪法的支持。
    (二)个人信息保护实质是人格权益保护
    明确个人信息涉及整体并构成了公民的信息人格,界定个人信息权益是一项综合性权益,意在辨明个人信息保护的宪法规范基础。我国个人信息保护理论发展与立法实践发展在相互影响中推进。故可从理论探讨和法律实践的整体趋势中探知个人信息保护法的宪法规范基础的讨论方向。
    1.学理讨论中个人信息权益人格本质的浮现
    伴随市场经济的发展,公民尤其是知名人士肖像、姓名等个人信息表现形式,渐被有偿用作广告宣传等经济活动,故有强调个人信息财产权属性的观点。[xiii]但这有弱化个人信息中人格属性甚至将人格物化的风险,故隐私权观点和民事人格权观点对其进行了修正。隐私权观点沿袭美国个人信息保护之模式,认为个人信息保护首先在于其隐私利益的保护,并可通过“行业自律+分散立法”模式进行。[xiv]但此模式有其特定的判例法传统和行业自律现状支撑,并且美国隐私权概念与我国语境中的隐私权并不协调。[xv]因而在我国应当区别隐私与个人信息,故有学者提出民法人格权观点,认为公民个人信息保护首先在于保护其人格利益,进而作为一项具体人格权进行保护和规范。[xvi]为回应公民个人信息所体现的财产属性,民法人格权观点进一步论证,认为个人信息权虽然以人身属性为主但并不妨碍个人信息的商业化使用,相反,人格权商品化及其规制还是其权利保护的重要形式和发展表现。[xvii]此观点在《民法典》的相关条款中也有所体现。但民法人格权观点也受到质疑,核心点在于,民法调整平等主体之间的关系,如何调整实质不平等主体之间的关系则成为疑问。新型权利观点回应此种疑问,认为既然个人信息权益兼具人身特性和财产特性,又存在私法属性和公法属性并存情形,同时暂无法准确定性,不如规避争议,界定之为新型复合权利。[xviii]此种观点在强调个人信息权益的独特性同时又有意规避争议,实际上并未真正解决焦点问题。因而,为解决个人信息权益的属性问题,又有观点引介了源于欧陆的基本权利理论或信息自决权理论。[xix]该观点认为,个人信息权益应当发展成为一项宪法基本权利,要使得个人能够控制自己的个人信息。《个人信息保护法》部分采纳了此种观点之内容,但并未明确个人信息保护权益的性质。综合而言,学说发展体现了在各自阶段、各自层面所意图回答的个人信息保护所涉及的问题,个人信息保护理论发展虽未有通说意义上的共识,但揭示了“以人身属性为主、以财产属性为辅”的规范逻辑和“个人信息受来自国家、社会组织、个人等侵犯之全面风险”现实情状。
    2.立法实践中个人信息权益人格本质的线索
    理论上关于个人信息保护未有明确的通说观点,立法领域中也多因此而摸索前行。在较长时间里,我国立法上对于个人信息概念界定并未清晰,常将其与隐私、数据等混淆使用,[xx]在明确使用“个人信息”概念的全国性法律法规等规范性文中,最早的一般规范性文件为1990年《劳动部办公厅关于在劳动管理信息系统中执行〈社会保障号码〉国家标准的通知》,其规定了公民个人信息与社会保障号码之间的检索关联。第一个部门规章为2000年发布的《互联网电子公告服务管理规定》(已失效),其规定电子公告服务提供者对上网用户的个人信息保密义务。第一部法律为2003年《居民身份证法》,明确合法知悉居民身份证个人信息的国家公权力机关及其工作人员的保密义务及违反之法律后果。第一部行政法规为2009年《彩票管理条例》,其规定合法途径获知中奖者个人信息的主体的保密义务及违反之法律后果。第一部较为系统的行政法规为2012年《征信业管理条例》,其中规定了个人信息收集处理“知情-同意”规则等较为具体的规范,但排除了公权力主体履职过程中的个人收集行为等作为其规范和调整的内容。第一部较为系统的法律为2016年《网络安全法》,其从个人信息收集、处理等过程中对网络个人信息安全进行规范和保护。晚近的立法,如2020年通过的《民法典》中在总则第111条和“人格权编”系统规定民事领域个人信息保护问题。再如2021年通过的《个人信息保护法》,更是将个人信息保护的领域、涉及的客体范围、系统性程度等进行了极大拓展。从我国个人信息相关立法来看,我国个人信息相关立法呈现出从低位阶、分散立法向高位阶、系统立法转变,这反映了我国对于个人信息保护的重视程度不断提高,也体现了个人信息本身在信息社会中的重要性、根本性程度逐渐被发现、认知、承认进而形成共识。仔细观察者会发现,个人信息相关立法从一开始就是与人格权属性关联在一起,即使后来或与财产权产生了某种关联,但仍然无法影响人格权属性作为根本属性。这种趋势和整体关联与理论发展整体趋势大抵能够相符合,进一步证明了人格权属性是个人信息权益的根本属性。
    综合前述,个人信息整体为公民信息人格,现行理论观点和法律实践指明个人信息保护之根本在于人格权益的范畴,而财产属性是人格权益行使过程中体现出来的,而非同等重要的本质,这也能在《民法典》将其内容安置在“人格权编”项下的结构体例中获得证据支持。因而,在作为我国社会主义法律体系的根本法和最高法的宪法的视野中,个人信息保护的宪法规范基础指向人格权益范畴。
    三、个人信息保护宪法规范基础的具体构成
    个人信息保护虽然能够通过上述途径成为宪法议题,从而得出应当存在对应的宪法规范基础的结论,但我国《宪法》并未明定个人信息保护内容。如果某权益内容一旦被实在法规定,其就被实在法文义所限制,如果宪法中不存在个人信息保护的基础,那《民法典》等规范中的个人信息保护内容就有违宪之虞。但显然,这不符合实际。我们难以在“名”上找到个人信息保护的对应宪法文本规范表述,那么,就必须从“实”上去寻找突破口。《民法典》中个人信息保护之规定,个人信息保护规定处于人格权编,但是根据《民法典》990条,人格权的权利束中并不包含一项“个人信息权”,因而就当前民法典文本来看,个人信息保护所指向的是一种基于人身自由、人格尊严的其他人格权益。如前所述,宪法与民法之间存在一定的内容关联已经获得证明,进一步就是需要在宪法中找寻个人信息保护的宪法规范基础。
    (一)“人格尊严”作为文本规范基础
    依据前述,个人信息的整体是信息领域的公民个人信息人格。而我国宪法文本规范中明显与之关联的,是我国《宪法》第38条规定的“人格尊严”条款。依据文义,本条似乎只是规定了一项消极权利,但如果采纳“基本权利双重性质理论”[xxi],那么,本条之规定既要求人格尊严不受侵犯,又要求一种积极措施保障人格尊严。同时值得注意的是,本条虽明确权利主体,却并未明确义务主体,这就为社会组织或个人成为相关权利的义务主体提供解释可能。随着政治民主化程度的提升,国家不再与市民社会呈现出隔绝的态势,而日益融入社会当中,并且从社会当中获得了正当性,因而出现了“国家的社会化”与“社会的国家化”的融合趋势。[xxii]社会权力的兴起及其与国家公权力之间的界限日渐模糊,使得公权力已不再是基本权利风险的唯一来源,凡社会系统中具有扩张倾向的体制性力量均需为基本权利水平效力所涵盖。[xxiii]如果引入“基本权利第三人效力说”[xxiv],社会组织或个人则有可能成为义务主体,尤其是对于某些社会组织或机构来说,其可能利用其资源等优势形成的支配性的社会权力。此时,个人信息立法是国家实施宪法,实现基本权利的第三人效力或水平辐射效力,履行国家积极保障义务之表现。不过仍需注意,需要严格谨慎适用此种理论,防止基本权利泛化而使得基本权利庸俗化,防止法理学者所指出的个人信息立法之功能价值被掏空或虚置。
    《个人信息保护法》初显的规范基础是宪法“人格尊严”规定。有学者认为,如果认同我国宪法也将“人的尊严”作为一项核心价值的话,那么“人格尊严”条款就存在两种解释:其一是作为具体基本权利意义上的宪法人格权,其二是作为宪法原则意义或价值意义上的人格尊严原则或价值。[xxv]但第二种解释并不能够很好地符合我国《宪法》总分结构的文本安排,商榷观点认为德国基本法“人的尊严”条款规定在第1条,中国宪法“人格尊严”条款规定在第38条,首先在结构框架上二者在各自宪法中的地位就不能对等;其次,中国宪法“人格尊严”规定是对公民人格的保护,虽然具有解释为类似德国基本法“人的尊严”内涵与功能的潜力,但目前只能理解为我国宪法上一项重要的基本权利。[xxvi]诚然,商榷观点本身是有道理的,我们不能因为两个存在“名”近同而认为其“实”也如此。因而,我国宪法“人格尊严”之规定目前恐只能理解为一项宪法基本权利。不过,它至少能够作为一种提示:人格尊严作为具体的基本权利背后存在相应的价值支撑,但此并不能仅仅依靠分析我国宪法“人格尊严”规定析出,还需要在我国宪法文本之中,找寻适合承担作为价值管道的宪法条款。
    (二)“人权条款”与尊严作为解释框架
    如果将宪法的开放性纳入考虑之中,那么我们就理由将目光停留在宪法我国《宪法》第33条第3款“国家尊重和保障人权”上。前文提及,从“人格尊严”条款中直接析出价值基础并不妥当,按照我国《宪法》文本结构,第33条总领基本权利章,因而第33条第3款“人权条款”似更能承担析出此种价值的任务。从一般意义来看,人权是人之为人应当具有的自由或资格,其本质在于尊重人作为人的尊严,使人能够有尊严地活着。[xxvii]因而,“人权条款”的根本功能在于维护人的尊严,同时规定了国家“尊重”的消极义务和“保障”的积极义务。[xxviii]因此,“人权条款”毫无疑问是一种新的价值,为整个基本权利章的解释提供了新的评价关联和解释路径。[xxix]故“人权条款”的引入能从作为基本权利的“人格尊严”中析出个人信息保护在宪法文本规范中对应的价值构成。
    “人格尊严”中的价值主要在于对于“尊严”的诠释,将人格与尊严组合一体或是意在提高人格权的保护力度,[xxx]“尊严”是已经成为现在讨论人权和宪法基本权利的重要的基础性概念,无论是从国际还是国家来看,尊严已经成为人类价值共识基础。[xxxi]但尊严概念本身与各国宪法文本与实践一样是极为复杂的,有学者认为尊严必然与人的某种属性有关,尊严概念的基础在于认识和认定人对自我反思、选择与评价的理性能力。这必然在逻辑上预设了人不受干涉地反思和选择自己善的生活的能力,其核心在于“不受支配”或自治。基于此种基础推论,尊严还包含着“免于歧视”“免于冒犯”和提出自我完善请求的资格。这些落实到各国宪法文本中,“不受支配”或自治对应着“自我选择”“自我决定与表现”“隐私权”“要求承认”等内容类型;“不受歧视”对应着平等之内容类型;“免于伤害”对应着“免于肉体伤害或非人道对待”及“免于精神伤害”之内容类型;善的价值对应着人们追求和意图实现的基础价值,包括“社会福利与保障”“参与社会文化传承”“参与公共(政治)生活”等内容类型。[xxxii]
    从尊严在现代宪法上的内容类型可以看出,实际上如果我们把目光聚焦在尊严之上,那么几乎所有的基本权利都从不同程度上是尊严的因素,同时,如果将目光聚焦在平等或自由之上,那么也能发现其中含有尊严因素。显然,并不能认为尊严是基本权利的唯一基础,从而所有的权利都可以还原为尊严。如果可以接受德沃金“价值之网”的观念:在关照其他价值下理解每一种价值,以立体网络的形式组织每种价值,以整体的、解释性的方式理解每种价值。[xxxiii]那么,尊严需要其他价值基础的支撑,其本身也和其他价值一起构成新的价值,不同价值之间关系可描述为“你中有我,我中有你”。[xxxiv]此时,尊严就成为一种解释框架,而其具体解释必须结合一定场景和对象进行。
    (三)个人信息保护宪法基础的价值构成
    本文解释的场景和对象是个人信息立法和个人信息保护法。当我们把尊严价值与此场景和对象关联考察,其目标仍然是考察作为个人信息保护法宪法规范基础的“人格尊严”所包含的价值基础。结合前文关于尊严内涵及内容类型的论述,结合个人信息立法和个人信息保护法可析出三种价值基础:安全价值、自由价值和平等价值。
    从实在法层面来看,我国在立法实践中逐渐总结出了一种安全价值。有学者梳理中国个人信息立法进程认为,该进程被分为两个阶段,而第二阶段就是立足于“加强网络社会管理”的网络个人信息立法的制定,此阶段转入正式立法后,则带有强烈的安全思维色彩。[xxxv]安全价值已经在中央国家安全委员会第一次会议上被专门地系统地提出,[xxxvi]信息安全作为总体国家安全的重要组成部分,其价值已然达成相当程度的共识,并且已经在《网络安全法》《国家安全法》等规范性文件的名称和内容中鲜明体现。虽然宪法文本规范中并未明确某种安全为名的基本权利,但却在《宪法》序言第6段、第28条、第40条和第54条明示了国家安全价值内容。对于个人信息保护而言,安全价值对应着免于伤害的一般内容。在面对亟待保护和认知不足的矛盾下,安全价值取向和安全思维立法无疑是对个人信息保护现状的合理应对。
    其次应当是自由价值。如果否认个人信息保护的自由价值,否认个人可以主张自己个人信息自由,那么实际上就是对人的自由的否定。个人之所以能够主张自由,是因为它拥有此种自由并且这种自由受到外来限制或风险,[xxxvii]在个人信息领域,自由更为具体的含义就成了公民个人自己决定自己的信息,这已经在个人信息保护领域中得到明确伸张,包括美国偏于消极防御的信息隐私权国家立法模式和德国偏于积极的信息自决权国家立法模式。不论是排除干涉的自由还是积极行使的自由,都是个人信息保护的自由价值基础的内容,只不过因为立法所面对的具体场景而有所不同。从我国宪法本文规范中的自由来看,基本偏于消极防御的价值,例如我国《宪法》文本规范中的政治自由、宗教信仰自由、通信自由、文化活动自由、婚姻自由等均体现了这种面向。当然,如果采纳“基本权利双重性质理论”,[xxxviii]也可以揭示出自由的积极面向,此能与前述不受支配或自治相呼应。晚近个人信息立法中突出强调的“知情-同意”框架就是自由价值的典型表现,因而,我国个人信息保护在宪法文本规范中析出的第二项价值基础即为自由价值。
    最后应当是平等价值。平等一词已经被长期地在各种情形下讨论,但从一般意义上,平等意味着同等情况同等对待且不同情况允许合理差别。现实中的人具有先天性的差别,但任何人都具有人格的尊严,为此在信息人格的形成和发展上都应当享有平等的权利。[xxxix]平等价值在我国《宪法》上体现在第33条第2款我国“公民在法律面前一律平等”的原则规定,包括民族平等、选举权平等、男女性别平等、宗教信仰非歧视等在内的平等权具体规定。虽然学界通说认为,作为原则规定的部分既规定了对于国家的平等原则,也规定了对于公民的平等权。[xl]但对于个人信息保护而言,“人格尊严”和人权关联的平等价值无疑是前者。在基本权利层面,信息平等首先要求国家平等对待所有公民的信息人格;其次,在个人信息立法层面,不仅在内容上而且在适用上均需保证个人信息处理的平等。由于个人信息保护涉及整体,因而,信息平等不仅包括“国家-公民”个人信息保护关系的价值取向,而且通过基本权利的辐射效力和法律体系的互相联系而影响“社会组织-公民”、“公民-公民”的个人信息关系的价值取向。作为个人信息保护的重要理论基础,公平信息实践及其发展要求为信息主体构建权利而为信息处理者设置义务,此种平等无疑是个人信息保护中蕴含的重要的价值基础和理念支撑。[xli]此间平等价值是基于不同主体控制和处理信息的信息能力不同的现实提出来的,[xlii]目的在于从法的角度补足个人因信息能力差异而处于的劣势,使其能够凭借规范与信息能力优势者进行平等交互,进而保证个人信息处理者处理个人信息的过程和结果的非歧视。
    (四)个人信息保护法宪法基础价值构成的动态关系
    依照“价值之网”观念,安全、自由、平等等诸价值构成一个相互依靠的价值整体,并且其价值结构与主导价值会因个人信息保护的现实场景变化而发生动态变化。
    从一般认知角度,在面对陌生且具有侵害风险的事物之初,人们倾向规避风险。在法律领域,则表现为构建防御属性机制来应对由此带来的危险。对于安全价值主导地位的强调也明显地反映在了过去个人信息保护法律实践之中。如前文所述,个人信息保护的安全价值主要是从个人信息立法进程中总结出来的,相应期间的司法审判也暗含着个人信息保护中的安全思维主导的表现。[xliii]从法律实践角度来说,在面对类似个人信息保护等新议题之初,保持一定程度谨慎和保守是妥当的,因而此时国家法律实践的安全价值和安全思维是值得肯定的。
    然而,随着个人信息保护实践的不断变迁及其经验的不断积累,人们发现将个人信息拘束在自己的控制之下而不让其他主体去进一步处理已不再可能。安全价值和安全思维所主张的消极防御已然不足以解决信息实践提出的个人信息利用与流通问题,个人信息保护的价值基础构成也因应实践变迁。正如理论上早有的不同意见所指出的,个人信息不是隐私,相较于隐私权,个人信息权益更加强调积极行使的方面。[xliv]这点恰是符合了当今世界上美国与欧洲两种个人信息保护主要模式的演变历程。[xlv]就目前来说,我国个人信息立法正转向“知情-同意”模式。[xlvi]“知情-同意”指向的是积极的自由价值,它要求个人信息的处理应当使信息主体充分知情并基于此作出自愿、明确的同意。
    而“知情-同意”原则和模式已经受到了一定程度的批驳。批评者认为:首先,很多时候面对处理者提供的烦冗的格式合同,作为信息主体的公民个人多半都不会认真地阅读;其次,即使公民个人认真阅读了,也未必能够理解合同条款的意思;最后,即使公民个人理解了条款文义,其也未必能够做出正确的选择。[xlvii]信息能力差异越大,自由价值基础能够发挥的作用就越有限,甚至可能会有利于处理者利用合同来规避法律制约,“知情-同意”的自由可能就会成为信息能力强者对弱者的剥削机制。并且,实际上这还未讨论具有更强信息能力的国家公权力与公民个人之间的个人信息关系问题。而从长期目标来看,个人信息保护希望达致一种可接受的平衡——个人信息权益与信息社会整体发展利益、控制与流通的平衡,这已经成为我国个人信息保护的共识。无论是理论界“从个人控制转向社会控制”[xlviii]“两头加强,三方平衡”[xlix]等观点主张,还是法律实践中的具体条文和立法说明都指向于此。[l]因而,有观点主张,从公平信息实践出发,在信息主体和处理者之间以一种类似于信托关系的信息信托、代表制等公私法混合的思路构建个人信息保护制度可能更有利于实现上述目的。[li]未来这一目的的实现有赖于公平信息实践中析出的平等价值的主导。平等价值主导下的个人信息保护并非对信息能力不平等的现实视而不见,而是在承认这种现实的基础上,赋予信息能力较弱的信息主体能有与处理者进行平等交互的资格和保障,并且在处理者侵犯信息主体个人信息权益的时候提供相应的救济措施。值得注意的是,晚近的司法裁判中已经开始出现了实现个人信息保护中平等价值的努力。例如,“微信读书案”[lii]判决中,法院侧重论述了作为原告的用户与作为被告的平台之间极端不平等的信息能力,进而在具体场景中“综合考虑双方的主张、抗辩、举证能力”作出了裁判,在一定程度矫正了由于信息能力不平等导致的作为原告的用户在个人信息法律关系及相应诉讼中的实质劣势地位。
    四、结语
    本文从“根据宪法,制定本法”的规范内涵切入论证个人信息保护的宪法规范基础,其重点在于宪法与个人信息保护法之内容关联。根据个人信息、个人信息立法及个人信息保护法的理论探讨与法律实践线索,可以得出个人信息保护根本在于人格权益保护,因而,我国宪法文本中“人格尊严”条款作为个人信息保护初显的宪法规范基础。根据“人格尊严”并结合人权条款规定的具体分析,可知我国个人信息保护的宪法基础主要的价值基础构成及其动态关系。因此,从我国宪法文本规范来看,个人信息保护的宪法规范基础在于第38条“人格尊严”条款,安全、自由、平等等价值及其结构动态变迁共同构建了个人信息保护的价值基础。由此,宪法与个人信息保护法在效力关联与内容关联上均已成立,在《个人信息保护法》中写入“根据宪法,制定本法”应是妥当的。
    注释:
    [i] 参见王锴:《宪法与民法的关系论纲》,《中国法律评论》2019年第1期,第47—48页。
    [ii] 参见叶海波:《“根据宪法,制定本法”的规范内涵》,《法学家》2013年第5期,第23—32页。
    [iii] 参见王利明:《何谓根据宪法制定民法?》,《法制现代化研究》2017年第1期,第72—73页。
    [iv] 参见林来梵:《民法典编纂的宪法学透析》,《法学研究》2016年第4期,第99页。
    [v] 参见孙平《“信息人”时代:网络安全下的个人信息权宪法保护》,北京大学出版社2018年版,第41—43页。
    [vi] 参见张翔:《宪法与部门法的三重关系》,《中国法律评论》2019年第1期,第27—29页。
    [vii] 参见陈景辉:《宪法的性质:法律总则还是法律环境?从宪法与部门法的关系出发》,《中外法学》2021年第2期,第290页。
    [viii] 参见李海平:《部门法宪法具体化的正当性及类型——与陈景辉教授商榷》,《中国法律评论》2021年第4期,第128—132页。
    [ix] 同上文,第136页。
    [x] 参见《网络安全法》第76条第5项;《民法典》第111条、第1034条;《个人信息保护法》第4条。
    [xi] 参见秦成德、危小波、葛伟:《网络个人信息保护法研究》,西安交通大学出版社2016年版,第10页;参考张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015年第3期,第59页;孙平:《“信息人”时代:网络安全下的个人信息权宪法保护》,第3—9页中的“信息人”概念表述。
    [xii] 参见丁晓东:《个人信息保护:原理与实践》,法律出版社2021年版,第87页。
    [xiii] 参见刘德良:《个人信息的财产权保护》,《法学研究》2007年第3期,第80—91页。
    [xiv] 参见孙平:《“信息人”时代:网络安全下的个人信息权宪法保护》,第78—82页。
    [xv] 参见王利明主编:《中国民法典草案建议稿及说明》,中国法制出版社2004年版,第343页。
    [xvi] 参见王利明:《论个人信息权的法律保护——以个人信息权于隐私权的界分为中心》,《现代法学》2013年第4期,第70页。
    [xvii] 参见王利明:《论人格权商品化》,《法律科学(西北政法大学学报)》2013年第4期,第54页。
    [xviii] 参见刘艳红:《侵犯公民个人信息罪法益:个人法益及新型权利之确证——以〈个人信息保护法(草案)〉为视角之分析》,《中国刑事法杂志》2019年第5期,第27—33页。
    [xix] 参见姚岳绒:《宪法视野中的个人信息保护》,法律出版社2012年版,第291、293—295页;孙平,前引书,第37页。
    [xx] 2009年《中华人民共和国刑法修正案(七)》新增第253条之一也未对个人信息于隐私、数据进行区分。直到2017年《民法总则》制定颁布之后,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》才明确了这一区分。
    [xxi] 参见张翔:《基本权利的双重性质》,《法学研究》2005年第3期,第21—36页。
    [xxii] 参见李忠夏:《基本权利的社会功能》,《法学家》2014年第5期,第20页。
    [xxiii] 参见王明敏:《基本权利的社会宪法保护》,载齐延平主编:《人权研究》(第23卷),社会科学文献出版社2020年版,第148页。
    [xxiv] 参见许瑞超:《基本权利第三人效力的范畴与本质》,《交大法学》2021年第1期,第46—59页。
    [xxv] 参见林来梵:《人的尊严与人格尊严——兼论中国宪法第38条的解释方案》,《浙江社会科学》2008年第3期,第49—53页。
    [xxvi] 参见谢立斌:《中德比较宪法视野下的人格尊严——兼与林来梵教授商榷》,《政法论坛》2010年第4期,第66—67页。
    [xxvii] 参见韩大元:《宪法文本中“人权条款”的规范分析》,《法学家》2004年第4期,第9页。
    [xxviii] 参见张翔:《基本权利的规范建构》(增订版),法律出版社2017年版,第103—104页。
    [xxix] 同上书,第101页。
    [xxx] 参见王锴:《论宪法上的一般人格权及其对民法的影响》,《中国法学》2017年第3期,第102页。
    [xxxi] 例如《联邦德国基本法》(1949年)规定:“人的尊严不可侵犯。尊重和保护人的尊严是一切国家权利的义务。”《世界人权宣言》(1948年)规定:“承认人类每一位成员内在的尊严和平等、不可剥夺的权利,是世界自由、正义与和平的基础。”
    [xxxii] 参见王旭:《宪法上的尊严理论及其体系化》,《法学研究》2016年第1期,第37—41页。
    [xxxiii] 参见〔美〕罗纳德·德沃金:《身披法袍的正义》,周林刚、翟志勇译,北京大学出版社2014年版,第184页。
    [xxxiv] 参见王旭:《宪法上的尊严理论及其体系化》。
    [xxxv] 参见孙平:《“信息人”时代:网络安全下的个人信息权宪法保护》,第139页。
    [xxxvi] 参见《习近平主持召开中央国家安全委员会第一次会议强调 坚持总体国家安全观 走中国特色国家安全道路》,《人民日报》2014年4月16日,第1版。
    [xxxvii] 参见〔英〕以赛亚·柏林:《自由论》(修订版),胡传胜译,译林出版社2011年版,第170—171页。
    [xxxviii] 参见张翔:《基本权利的双重性质》。
    [xxxix] 参见林来梵:《宪法学讲义》(第3版),清华大学出版社2018年版,第377页。
    [xl] 参见林来梵:《从宪法规范到规范宪法:规范宪法学的一种前言》,商务印书馆2017年版,第120页。
    [xli] 参见丁晓东:《个人信息保护:原理与实践》,第32—44页。
    [xlii] 参见丁晓东:《个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础》,《中外法学》2020年第2期,第341页。
    [xliii] 刑事案件例如2017年5月16日“最高检发布六起侵犯公民个人信息犯罪典型案例”;民事案件参见“罗某诉某保险公司隐私权纠纷案”,湖南省郴州市北湖区(2014)郴北民二初字第947号民事判决书,本判决法院观点参见陈建华:《罗某诉某保险公司隐私权纠纷案——侵害公民个人信息的赔偿责任》,《人民司法·案例》2016年第29期,第67页。
    [xliv] 参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》。
    [xlv] 参见孙平:《“信息人”时代:网络安全下的个人信息权宪法保护》,第65—82页。
    [xlvi] 如《民法典》第四编第六章之“个人信息保护”部分,《网络安全法》第22条、第41—42条等,《个人信息保护法》第二章“个人信息处理规则”之内容。
    [xlvii] See Jack M. Balkin, “ The Fiduciary Model of Privacy”, Harvard Law Review, Vol. 134, 2020, pp. 16-17.
    [xlviii] 高富平:《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3期,第84—101页。
    [xlix] 张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》。
    [l] 参见《个人信息保护法(草案)》第1条;刘俊臣:《关于〈个人信息保护法(草案)〉的说明》,第十三届全国人大常委会第二十二次会议,2020年10月13日。
    [li] 参见丁晓东:《个人信息权利的反思与重塑:论个人信息保护的适用前提与法益基础》,《中外法学》2020年第2期,第339—356页。
    [lii] 参见“黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案”,北京互联网(2019)京0491民初16142号民事判决书。
    方逊,中国人民大学法学院博士研究生。
    来源:《人权研究》第26卷。
    
相关文章!