个人信息权的法律规制及侵权责任追究(一)
宋才发教授
凤凰新闻社讯
《民法典》和《个人信息保护法》规制了对个人信息保护和利用的一系列法律规范,“知情同意原则”是信息处理者合法处理个人信息数据的根本法律依据。依法厘清信息化、数字化时代个人信息权的基本要义,不仅有利于运用比例原则确定个人数字权利在“量”上的合理配置,以利于在个人信息权利人和数据使用者之间建立合理的权利义务关系,而且有利于在保护个人信息权益的同时推进个人信息数据的开发利用。要保障全体公民的数字化发展权益,就需要依法规范构造符合中国国情实际的新时代个人信息权体系,建立健全公民个人信息数据授权机制,推进公民信息数据智力成果知识产权化。为此就要建立处理个人信息行为的合法性判断标准,构造处理个人信息数据的双重公法保护框架,构建处理个人信息数据的法治规范体系。构建个人信息安全法治保障体系,构建个人信息保护请求权的法律规范,构建个人信息权益损害赔偿的规范体系,构建侵害个人信息罪的责任追究体系。《重庆工商大学学报(社会科学版)》2026年第3期首篇发表宋才发教授《个人信息权的法律规制及侵权责任追究》论文。
宋才发教授系中央民族大学法学院首任院长、二级教授,湖北省有突出贡献专家、国务院政府特殊津贴专家、国家民委首届有突出贡献专家。广西民族大学特聘“相思湖讲席教授”、博士生导师;贵州民族大学特聘教授、民族法学学科团队领衔人;内蒙古财经大学特聘教授。
一、问题的提出与法理证成
要厘清信息化、数字化时代个人信息权的基本要义。个人信息与个人数据如同一枚硬币正反两面的关系,它们都是个人信息权益的客体。厘清个中关系和各自的边界,衡量其在“权利束”中的地位和分量,有利于确定个人数字权利在“量”上的合理配置。在“数字中国”建设实践中,需要找准发展与安全两者之间的平衡点,始终朝着造福社会、造福人民的方向发展,不断提升公共服务数字化、均等化、便捷化水平。《中华人民共和国宪法》(以下简称为《宪法》),在作出保护个人信息安全和信息权益规定的同时,把保护个人信息权益纳入“公民基本人权保护”范畴。《宪法》第三十八条规定,“中华人民共和国公民的人格尊严不受侵犯”。个人数据权保护的是数据主体的个人信息数据,个人信息权保护的是信息主体所获得并转化为信息的数据,个人数据权不是财产权而是人格权。《中华人民共和国个人信息保护法》(以下简称为《个人信息保护法》)第四章,以“个人在个人信息处理活动中的权利”专章的名义,规制个人信息所有者在处理信息活动中,依法享有各项具体的信息权益,促使个人信息权利从“背景性权利”转变为“制度性权利”,赋予信息所有者对个人信息数据的全面控制权。《中华人民共和国民法典》(以下简称为《民法典》)和《个人信息保护法》,没有采纳“个人信息权”概念,使用的是“个人信息权益”概念。然而令人困惑的是尽管法律使用了“个人信息权益”,但并未对“个人信息权益”的范围进行清晰地界定,确实给学界和法官们留下了一个如何正确理解个人信息“权利”和“权益”的悬念。自《个人信息保护法》实施以来,相关争论的要害基本聚焦于个人信息保护模式,究竟应当采取“权利模式”还是“利益模式”?经过广泛而激烈地讨论,大多数人觉得“个人信息权益”指向的就是人格尊严、人身财产安全、通信秘密诸方面的利益。但同时也应当看到,数字化、信息化带来了公权力、私权利和社会权力的消长变化,个人信息数据权利人和数据使用者之间,也因之而产生新的相互关系、新的互动模式,数据规则与制度规制的目的,在于调和并重新平衡以人格权益为核心的个人利益以及两者之间的利益冲突。
“知情同意原则”是信息处理者合法处理个人信息数据的法律依据。《个人信息保护法》规定信息处理者在处理个人信息之前,必须以清晰易懂的语言表述,真实、准确、完整地向个人信息所有者,告知法律法规规定的事项,除非法律、行政法规规定应当保密抑或不需要告知,抑或告知将妨碍国家机关履行法定职责。对《个人信息保护法》中的“知情同意原则”,做出以“公平同意”为导向的阐释, 有利于把规制机制的重心向行政监管和信息数据合法利用转变。“公平同意”不仅应当满足意志自治的内部条件,还应当满足外部环境条件。平等不仅意味着形式上的地位平等,而且指向信息、利益等诸要素之平等,主体平等事关同意之公平。具有抽象思维能力的个人理性是一种“工具”, 能够把复杂现象抽象成一系列可把握的一般性规则进而引导决策,理性是对自身和自身条件的一种合理解释。在个人理性基础上形成的“同意”规则,是人际道德与法律关系性质转变的关键,更是个人理性自治伦理的展开,它赋予信息处理者行为的正当性与合法性。法律上的“同意”是通过“作为”或“不作为”的方式,创设抑或改变法律权利和义务关系的。譬如,《个人信息保护法》第二十九条和第三十一条,就确立了处理敏感个人信息的“单独同意”规则,规定数据处理者和经营者使用“敏感个人信息”的,应当受到《个人信息保护法》第十三条和第二十八条规定的“双重约束”,防止宽泛适用导致合理使用制度的滥用。处理“敏感个人信息”与“一般个人信息”的知情同意原则,不能采取“一揽子同意”的保护方式。《个人信息保护法》第七十二条还规定,“自然人因个人或者家庭事务处理个人信息的,不适用本法”,这条规定实质上是在间接地赋予“家庭豁免”权。尽管《个人信息保护法》催生了多种新型信息权利,但是个人信息权利无法直接上升抑或转化为信息人权,由“信息权利”上升到“信息人权”需若干前置条件,否则权利与人权就失去了本质区别。《宪法》规制的人权法理是当代人权学说的核心理论,在信息人权的论证和证成中,利益法学实践是帮助信息权利人和信息所有者,在既定的条件下实现把信息保护权利上升为信息人权保护的最佳路径。信息权利涵盖隐私、知情、自决、通信、名誉、信用、交易和使用等诸多权益,但是人权更注重权利主体最根本、最基础的利益,如公民的人格、安全、公平等。
厘清数据来源者与数据处理者的权利义务关系。《个人信息保护法》第四条把个人信息数据判断要件,分为“积极要件”与“消极要件”两种类型。其中,“积极要件”是通过关联性与识别性界定个人信息概念范围的;“消极要件”是把“匿名化处理后的信息”,排除在公民个人信息之外。为了防止个人信息的范围过于宽泛,就需要明确个人信息积极要件中的关联性要件与识别性要件之间仅为“且”的关系,而决不是“或”的关系,以此来控制个人信息数据的范围。构成“消极要件”的核心要素“匿名化”,尽管不是可以绝对消除信息的可识别性,但对保护个人信息权益具有极为重要的意义。提供数据来源者与对数据实施采集、存储、传输、加工、分析、融合等处理行为的数据处理者,构成了数据生成过程中最基本、最为重要的两类主体。中共中央、国务院在《数据二十条》中规定,既要充分保护数据来源者享有获取抑或复制转移由其促成产生数据的权益;也要合理地保护数据处理者依法依规对数据进行自主处理的权益。随着大数据技术的快速应用和高速发展,个人信息数据化程度越来越高,由此便产生了个人信息的范围究竟应当顺势扩张?还是需要适当限制的问题。唯有依据《个人信息保护法》对“个人信息构成要件”进行合理的解释与判断,才能达到依法合理规制个人信息范围的目的。个人信息是《个人信息保护法》的核心概念,它把个人相关信息数据区分为个人信息数据、可识别个人信息数据和非个人信息数据三种类型。一旦忽略抑或取消了“个人信息数据”与“非个人信息数据”的区分,必将导致《个人信息保护法》的执法完全丧失可预期性。
二、个人信息权内涵厘定及发展走势
党的二十届三中全会提出“培育全国一体化技术和数据市场”的目标,强调要推动生产要素创新性配置,发展以高技术、高效能、高质量为基本特征的新质生产力。个人信息数据作为数字社会的新型生产要素,是催生新时代新型数字产业、形成新质生产力的核心资源。反思数据确权困境的根源,就在于过去一段时期内,未能厘定并揭示个人信息权的内涵,甚至不适当地混淆了数据权利的内在本质和外部效力。
(一)个人信息权概念阐释及规范构造
个人信息数据作为一种新型生产要素,看起来似乎是“海量”,但真正能够派上用场的并不多。要保障公民的数字化发展权益,就需要依法规范构造符合中国国情实际的新时代个人信息权体系,个人信息权体系包含完整的权利主体、义务主体与权利内容三个组成部分。个人信息权以“发展权”为权利之源赋能中国式现代化,以满足人民实现数字化发展的美好生活需要为目标,实现和促进《宪法》保障的人权理论的时代演进。个人信息权体系以中国式现代化为政策依托,以发展新质生产力为政策指引,以人民对美好生活的向往以及社会的可持续发展为现实面向,最终实现数字发展机会权、数字发展条件权以及数字发展实现权三位一体的规范构造。在价值向度上,个人信息权体系秉承“人民至上”的发展理念,以数字鸿沟为切入点、规避数字失范,力图最大限度地实现个人信息数据资源共享。新时代把个人信息权融入“发展权”体系,可以“条件—机会—实现”的理论架构,实现和完成数字化发展的制度性构建,有助于更好地保护个人信息数据财产权、保障数字化发展权益,促进《宪法》规制的“人的自由全面发展”。《数据二十条》依法依规地提出要“建立健全个人信息数据确权授权机制”。鉴于信息权利人享有针对个人数据的个人信息权益,承载了个人信息的数据即个人数据,也就被纳入到个人信息权益等客体范围之中。信息数据财产权源自合法的数据收集行为,并不是源自在先权利人的授权,数据财产权与在先权利是两个相互独立的权利。就法理而言,在先权利理应获得优先保护,数据权利人对于在先权利的实现负有容忍义务。在先权利是有法律边界的,应当依据信息的公开程度、数据的匿名化程度,以及在先权利的行使行为是否正当等进行综合判断。由于人格权较财产权有更高的价值位阶,在先权利有可能对数据财产权的权能造成限制,但是对数据不具有直接的支配关系,在先人格权利人也不需支付补偿,未来数据产业运作模式应当考虑由“免费”转向“付费”,数据财产权与在先权利需要在调适中实现再平衡。
(二)个人信息权基本内涵的法律规制
《民法典》和《个人信息保护法》确立了对个人信息保护和利用的一系列规范。《民法典》奠定了个人信息权的基本框架,在第四编“人格权编”第一千零三十四条至第一千零三十八条,规定公民对个人信息数据的利用享有“知情同意权”;对个人被处理的信息可以依法查阅、复制,发现被处理的信息有错误的,有权提出异议并要求及时更正;对于违法违规抑或违反约定处理信息的,有权要求及时予以删除,它是随后所有关于个人信息保护和利用的立法基础。然而《民法典》却没有规定个人信息是一项民事权利客体,也没有就如何构建一套完整、精密的个人信息权体系提供指导性意见,这就使得个人信息权仅仅停留在信息“权益”的地位。其实个人信息基本权利作为信息价值理论的基础和核心,并不是为了构建与防御权不同的基本权利扩展的内涵,它实质上涉及到《宪法》解释方法、权利观、《宪法》观三个维度的问题。为了厘清基本权利作为信息价值的内涵,有必要对信息价值理论涉及的“体”与“用”作一个适当的区分。这里的“用”是指较具体的法律技术问题,涉及对抗各种干预的防御权之外的自由权新功能,包括国家保护义务、基本权利私人间效力、组织与程序保障、给付请求权与分享权,等等。“体”则是指《宪法》规范的公民基本权利和人权保护理论体系,它是公民基本权利在新时代扩展面向的证立根据与根本宗旨。个人信息数据资源不是因为保护而存于世间的,唯有对个人信息明确其权利地位,才能促使个人信息数据资源得以充分利用,实现个人信息之所以为信息的本质诉求。《民法典》在第四编第六章,把个人“隐私权”与“个人信息保护”相并列,表明信息的法律属性与隐私权属于同一类人格权客体,以此维护个人信息的完整性、准确性,保障自然人的人格尊严和人格的全面发展。个人信息权权能体系构建,需要以信息保有权为基础、以信息自决权为主干、以信息获取权为分支、以信息修复权维系数字人格的完整性。科学、准确地把握信息性人格权,有助于保障人格尊严和人的自主性、规范新兴人格权法权构造、丰富公民人格权规则体系。
(三)个人数据财产权并非个人信息权的核心
正确认识数据财产权的本质为塑造公民数据财产权指明了方向。数据财产权与个人信息权,二者在法律属性和保护逻辑上具有本质区别。个人信息权本质上是一种人格权益,其核心在于保护个人的尊严、自由与自主控制权,而非财产利益。尽管个人信息数据可能产生经济价值,但这种价值是通过个人行使“决定权”和“许可权”实现的,不过是人格权益的自然延伸而已,而非个人信息权的核心价值所在。依据《个人信息保护法》的规定,《深圳经济特区数据条例》和《上海市数据条例》,都明确规定保护自然人等主体的数据财产权益。个人信息数据财产权受法律保护源自《宪法》,主要表现为公民基本权利下的个人信息数据受保护权,延伸至私法领域则关涉个体的人格权益、安全利益和风险预防性权益等诸多权利。《民法典》第一百一十一条和第一千零三十四条都规定,“自然人的个人信息受法律保护”。《民法典》第一百二十七条,确认“数据”“网络虚拟财产”受法律保护。但是《民法典》没有明确赋予数据“物权编”意义上的“所有权”属性。因为数据具备高度的可复制性,这与“物权编”对于“物”的唯一性等基本特征相悖。《个人信息保护法》第四章为“个人在个人信息处理活动中的权利”,通过建立正当的个人信息使用规则和程序,实现信息权益保护与行为自由之间的平衡。有必要厘清与个人信息保护相关“权利”的立法价值,以利于在新时代顺利推进个人信息保护权利化、产权化。《个人信息保护法》第四十四条明确了“信息自决”的立法价值,即信息权利人能够对自身信息产生控制力并决定如何使用,这就为公民个人信息数据财产权的实现铺平了道路。但是这里的“控制力”并不等同于“控制权”,在大多数情况下,个人信息客观上处于脱离主体控制的状态,需要法律设计特殊规则对其进行保护。《数据二十条》为公民的数据确权和数据财产权定下基调,数据财产权的每个维度都牵涉到复杂的利益权衡。绝大多数学者倾向于尊重财产权并支持排他权,结论是财产的信息成本支持尊重排他权。(未完待续)
责任编辑 檄文

