摘 要：《個(gè)人信息保護(hù)法》不僅奠定了我國個(gè)人信息保護(hù)的新法基礎(chǔ)，而且也成為數(shù)字化背景下的一部基礎(chǔ)性立法。要真正理解和實(shí)施好這部新法，必須準(zhǔn)確把握其體系邏輯以及與其他基本法律的關(guān)系。從實(shí)證角度而論，可依據(jù)雙重基礎(chǔ)觀來解讀這部新法的體系形成基礎(chǔ)與主要訴求。一個(gè)是將該法作為與刑民基本法具有并存交叉地位的領(lǐng)域基本法而設(shè)計(jì)的基礎(chǔ)視角。由此入手可正確理解其作為新興領(lǐng)域基本法的規(guī)范意義及與相關(guān)基本法特別是《民法典》的適用關(guān)系。另一個(gè)是為實(shí)現(xiàn)保護(hù)功能而預(yù)設(shè)的基礎(chǔ)視角。數(shù)字化背景下興起的個(gè)人信息保護(hù)問題具有前所未有的復(fù)雜性，不能簡單通過既有部門法路徑加以因應(yīng)，需要建立更加復(fù)雜的超越自主管理的多元治理保護(hù)系統(tǒng)，尤其需要針對自主管理失靈進(jìn)行體系改進(jìn)和提升，包括加強(qiáng)和完善具體行為治理規(guī)范，在必要范圍內(nèi)引入有強(qiáng)度的積極管理和嚴(yán)厲的特殊法律責(zé)任等外部治理新機(jī)制。通過上述雙重視角，才能夠更加全面地認(rèn)識這部新法的基礎(chǔ)意義和獨(dú)特作用，確保在該法的實(shí)施和解釋中把握住其內(nèi)核和精髓。

關(guān)鍵詞：個(gè)人信息保護(hù)法;雙重基礎(chǔ);基本法;保護(hù)功能;自主管理

中圖分類號：DF529文獻(xiàn)標(biāo)志碼：A

DOI：10.3969/ j. issn.1001-2397.2021.05.06 開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

一、導(dǎo)言：《個(gè)人信息保護(hù)法》作為數(shù)字化時(shí)代重要的現(xiàn)實(shí)立法

《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）于2021年8月20日頒布，貼合了我國數(shù)字化發(fā)展背景下每個(gè)人最直接最現(xiàn)實(shí)的利益保護(hù)需要。個(gè)人信息本身是網(wǎng)絡(luò)信息化時(shí)代開始凸顯的一種新型的頗具基礎(chǔ)性的重要個(gè)人利益。早在2020年10月13日提請首次審議時(shí)，《關(guān)于〈中華人民共和國個(gè)人信息保護(hù)法（草案）〉的說明》（以下簡稱《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉的說明》）就指出，“在信息化時(shí)代，個(gè)人信息保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問題之一”，“制定一部個(gè)人信息保護(hù)方面的專門法律，將廣大人民群眾的個(gè)人信息權(quán)益實(shí)現(xiàn)好、維護(hù)好、發(fā)展好，具有重要意義”。① 可見，《個(gè)人信息保護(hù)法》是我國置身數(shù)字化時(shí)代不可或缺的一項(xiàng)基礎(chǔ)性立法。

《個(gè)人信息保護(hù)法》在整個(gè)網(wǎng)絡(luò)信息法律體系中占據(jù)最基礎(chǔ)的位置，個(gè)人信息保護(hù)在網(wǎng)絡(luò)領(lǐng)域應(yīng)優(yōu)先受到關(guān)注，是網(wǎng)絡(luò)信息領(lǐng)域法律形成和發(fā)展的重要體現(xiàn)。我國在《個(gè)人信息保護(hù)法》出臺(tái)之前就制定了《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《數(shù)據(jù)安全法》等法律，這些法律體現(xiàn)了網(wǎng)絡(luò)信息空間不同的規(guī)范重點(diǎn)，但都沒有成為網(wǎng)絡(luò)信息領(lǐng)域法律的體系基礎(chǔ)，《個(gè)人信息保護(hù)法》的出臺(tái)才填補(bǔ)了這個(gè)空白。雖然對網(wǎng)絡(luò)信息空間的言論自由、網(wǎng)絡(luò)安全、知識產(chǎn)權(quán)、電子商務(wù)等利益的保護(hù)和規(guī)制也應(yīng)是網(wǎng)絡(luò)空間的規(guī)范重點(diǎn)，②但從人本主義角度出發(fā)，由于個(gè)人信息保護(hù)的需要最為基礎(chǔ)，所以《個(gè)人信息保護(hù)法》是最重要、最必要的法律。③

認(rèn)識《個(gè)人信息保護(hù)法》的基礎(chǔ)意義，必須緊貼數(shù)字化時(shí)代背景，把握其蘊(yùn)含的最基本需求和根本矛盾。近十年來，隨著網(wǎng)絡(luò)信息科技的顛覆性發(fā)展，互聯(lián)網(wǎng)從簡單信息化階段過渡到復(fù)雜數(shù)字化階段，大數(shù)據(jù)成為了我們世界最主要的特點(diǎn)之一。④早期互聯(lián)網(wǎng)追求的是信息交互意義上的互聯(lián)互通，當(dāng)下互聯(lián)網(wǎng)則更加追求基于移動(dòng)手機(jī)、大數(shù)據(jù)、云計(jì)算、人工智能、物聯(lián)網(wǎng)等新技術(shù)的數(shù)字資源化實(shí)踐演化出的數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)和數(shù)字管理的繁榮前景。一方面，數(shù)據(jù)變得極其重要，世界大國開始圍繞數(shù)據(jù)展開博弈，數(shù)據(jù)資源成為新的戰(zhàn)略資源，大數(shù)據(jù)戰(zhàn)略上升為國家戰(zhàn)略，⑤ 我國也不例外;⑥另一方面，大數(shù)據(jù)戰(zhàn)略驅(qū)動(dòng)下的網(wǎng)絡(luò)和數(shù)字的創(chuàng)新和應(yīng)用，也衍生出層出不窮的問題，其中顯著問題之一就是數(shù)字化發(fā)展和個(gè)人信息保護(hù)日益陷入復(fù)雜的矛盾關(guān)系。個(gè)人信息因數(shù)字化發(fā)展得以大量顯現(xiàn)和形成，并因其具有極高數(shù)據(jù)化價(jià)值而備受產(chǎn)業(yè)和管理機(jī)構(gòu)的青睞，但同時(shí)也伴生了大量的對個(gè)人的負(fù)面效應(yīng)，特別是未經(jīng)同意的個(gè)人信息處理和愈演愈烈的濫用行為對個(gè)人帶來的損害或風(fēng)險(xiǎn)。著名隱私和個(gè)人信息法專家丹尼爾·索羅夫（Daniel J. Solove）和保羅·斯瓦茨（Paul M. Schwartz）指出，“我們生活在一個(gè)由技術(shù)形塑和信息推動(dòng)的世界，技術(shù)設(shè)備——如移動(dòng)電話、視頻和音頻記錄設(shè)備、計(jì)算機(jī)和互聯(lián)網(wǎng)——已經(jīng)徹底改變了我們捕捉世界信息和相互溝通的能力。信息是當(dāng)今社會(huì)的生命線。我們的日?；顒?dòng)越來越多地涉及信息的傳遞和記錄。政府在與個(gè)人出生、婚姻、財(cái)產(chǎn)、法院訴訟、機(jī)動(dòng)車輛、投票活動(dòng)、犯罪違規(guī)、專業(yè)許可和其他活動(dòng)中記錄并收集了大量的個(gè)人信息。私營部門還建立了龐大的個(gè)人信息數(shù)據(jù)庫，用于營銷或準(zhǔn)備信用記錄……這些新技術(shù)，加上政府和企業(yè)越來越多地使用個(gè)人信息，對隱私保護(hù)提出了新的挑戰(zhàn)?！雹贀Q言之，個(gè)人信息對個(gè)人具有越來越重大的利益，個(gè)人信息也因此需要一種全新的保護(hù)。

在此背景下，重視個(gè)人信息保護(hù)，將個(gè)人信息保護(hù)立法確立為一種新型領(lǐng)域立法，并系統(tǒng)性地加以規(guī)定，逐漸成為數(shù)字化時(shí)代法律的新發(fā)展趨勢。據(jù)不完全統(tǒng)計(jì)，從上世紀(jì)70年代至今，有關(guān)國際組織和歐盟等先后出臺(tái)了關(guān)于個(gè)人信息保護(hù)的準(zhǔn)則、指導(dǎo)原則和法規(guī)，全世界有140多個(gè)國家或地區(qū)出臺(tái)了關(guān)于個(gè)人信息保護(hù)的法律。其中，歐盟、日本、美國的個(gè)人信息保護(hù)立法最受關(guān)注，影響較大。歐盟②和日本呈現(xiàn)出制定個(gè)人信息保護(hù)綜合基本法的趨勢，而美國個(gè)人信息保護(hù)的立法發(fā)展雖然也非常顯著，但是從制定法而言，美國聯(lián)邦層面因受到自身立法體制影響，目前仍然是碎片化地推進(jìn)，③不過州法出現(xiàn)了制定綜合基本法的趨勢。④與相關(guān)國家或地區(qū)相比，我國《個(gè)人信息保護(hù)法》似乎有些姍姍來遲。究其原因，不是我們忽視個(gè)人信息保護(hù)的重要性，而是我國更追求水到渠成的效果。正如全國人民代表大會(huì)憲法和法律委員會(huì)在《關(guān)于〈中華人民共和國個(gè)人信息保護(hù)法（草案）〉審議結(jié)果的報(bào)告》（以下簡稱《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉審議結(jié)果報(bào)告》）中所言：“為加強(qiáng)個(gè)人信息保護(hù)，維護(hù)人民群眾在網(wǎng)絡(luò)空間的合法權(quán)益，并促進(jìn)信息合理利用，制定本法是必要的，草案經(jīng)過兩次審議修改，已經(jīng)比較成熟。”⑤ 此前，我國也存在應(yīng)對數(shù)字經(jīng)濟(jì)采取謹(jǐn)慎立法的呼聲，希望以包容創(chuàng)新、漸進(jìn)規(guī)范的做法，給予網(wǎng)絡(luò)和數(shù)字創(chuàng)新必要的窗口期。一種頗具代表性的觀點(diǎn)認(rèn)為，盡管加強(qiáng)個(gè)人信息保護(hù)已經(jīng)成為社會(huì)共識，但個(gè)人信息保護(hù)極具爭議，其基本理論問題難以定論，因此應(yīng)當(dāng)保持立法上的謹(jǐn)慎。① 上述呼聲反映到個(gè)人信息保護(hù)上，就是希望立法不要過于嚴(yán)格，而應(yīng)當(dāng)在充分甚至優(yōu)先支持網(wǎng)絡(luò)數(shù)字化快速繁榮的條件下處理個(gè)人信息保護(hù)的需求。②

此次《個(gè)人信息保護(hù)法》的面世，意味著我國對數(shù)字化背景下個(gè)人信息保護(hù)的要求、范圍、方式等做出了重要且系統(tǒng)的立法決斷。當(dāng)然，此前在對個(gè)人信息保護(hù)系統(tǒng)立法存在猶豫的情況下，我國仍針對現(xiàn)實(shí)突出的、亟待解決的個(gè)人信息保護(hù)問題不斷適時(shí)修改或者制定相關(guān)法律，階段性地跟進(jìn)，在刑法、民法等基本法方面，都作出了相應(yīng)的規(guī)定。刑事立法方面，2009年通過的《刑法修正案（七）》增加了第253條之一，規(guī)定了出售、非法提供公民個(gè)人信息罪和非法獲取公民個(gè)人信息罪兩個(gè)罪名;2015年通過的《刑法修正案（九）》第17條對刑法第253條之一再次修改，取消了原來的兩個(gè)罪名，確立了侵犯公民個(gè)人信息罪。民事立法方面，2020年5月28日出臺(tái)的《民法典》，在第一編“總則”第111條明確規(guī)定個(gè)人信息受法律保護(hù)，同時(shí)在第四編“人格權(quán)”第六章專章規(guī)定“隱私權(quán)和個(gè)人信息保護(hù)”，確立了個(gè)人信息保護(hù)的基本私法制度。比較重要的涉及個(gè)人信息保護(hù)的專門立法，則包括2012年《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、2016年《網(wǎng)絡(luò)安全法》、2018年《電子商務(wù)法》、2021年《數(shù)據(jù)安全法》等。

新出臺(tái)的《個(gè)人信息保護(hù)法》具有劃時(shí)代的意義，其與此前階段性的努力存在重要差異?！蛾P(guān)于〈個(gè)人信息保護(hù)法（草案）〉的說明》第一部分“制定本法的必要性”第三點(diǎn)對此進(jìn)行了充分說明。詳言之，即不再只突出支持?jǐn)?shù)字化創(chuàng)新發(fā)展，而是明確以“促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展”為目標(biāo)，要求“應(yīng)當(dāng)統(tǒng)籌個(gè)人信息保護(hù)與利用，通過立法建立權(quán)責(zé)明確、保護(hù)有效、利用規(guī)范的制度規(guī)則，在保障個(gè)人信息權(quán)益的基礎(chǔ)上，促進(jìn)信息數(shù)據(jù)依法合理有效利用”，實(shí)現(xiàn)了從促進(jìn)數(shù)字化創(chuàng)新發(fā)展到個(gè)人信息保護(hù)與利用并重的重要跨越。那么，應(yīng)當(dāng)如何解讀這部立法做出的重要跨越呢？或者說如何準(zhǔn)確認(rèn)識它的基本體系和主要制度呢？與過去比較，有哪些重要的發(fā)展和變化？與其他國家比較又存在哪些重要的相同和不同之處呢？就此可謂仁者見仁，智者見智。本文擬從《個(gè)人信息保護(hù)法》的定位、功能預(yù)設(shè)等角度對其加以審視，旨在彰顯其主要體系的基礎(chǔ)，并借此反映法律體系及其功能正在發(fā)生的急劇演化歷程。

二、 《個(gè)人信息保護(hù)法》的基本法定位及其與《民法典》的關(guān)系

（一）作為與其他基本法具有并存地位的新型領(lǐng)域基本法

《個(gè)人信息保護(hù)法》第1條開宗明義地規(guī)定了自己的基本宗旨和制定根據(jù)，“為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，根據(jù)憲法，制定本法”。這一宣示明確將《個(gè)人信息保護(hù)法》定位為個(gè)人信息新型領(lǐng)域的專門法暨基本法。

首先，該法的基本宗旨明確了其是個(gè)人信息領(lǐng)域的專門法，即屬于“為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用”的法律。個(gè)人信息領(lǐng)域是否具有制定專門法的必要，過去并非沒有爭議。① 網(wǎng)絡(luò)立法早期，美國曾經(jīng)出現(xiàn)過所謂的“馬法之爭”，以知名學(xué)者因斯布魯克（Frank H. Easterbrook）為代表的一種觀點(diǎn)認(rèn)為，對網(wǎng)絡(luò)領(lǐng)域像勞動(dòng)法那樣進(jìn)行專門立法毫無必要，無論是從調(diào)整對象還是調(diào)整手段上看，網(wǎng)絡(luò)法都不具備成為獨(dú)立法律部門的條件，所謂網(wǎng)絡(luò)法不過是將相關(guān)部門法的某些部分合起來罷了。② 這種觀點(diǎn)遭到了網(wǎng)絡(luò)法領(lǐng)域?qū)W者的反對，后者更有力地論證了網(wǎng)絡(luò)法單獨(dú)立法的必要性。后種觀點(diǎn)認(rèn)為，網(wǎng)絡(luò)空間是一個(gè)正在快速成長的特殊空間，涌現(xiàn)出許多傳統(tǒng)領(lǐng)域所不具有但又經(jīng)常出現(xiàn)的法律問題，傳統(tǒng)法律并不能調(diào)整，因此應(yīng)該將網(wǎng)絡(luò)法創(chuàng)設(shè)為一個(gè)新的有機(jī)整體，而不能是憲法、民事訴訟法、合同法以及行政法等法律法規(guī)中的相關(guān)內(nèi)容的簡單混合。③ 隨著大數(shù)據(jù)背景下信息化、數(shù)字化的不斷發(fā)展，個(gè)人信息保護(hù)等問題作為需要規(guī)制的新型問題顯示出越來越迫切而重大的獨(dú)立立法需求，上述爭議才逐漸消失了。現(xiàn)在，各國已不再猶豫是否出臺(tái)包括個(gè)人信息保護(hù)法在內(nèi)的網(wǎng)絡(luò)信息立法，需要考慮的已變成應(yīng)該如何確保相關(guān)專門立法具有適時(shí)性和合理性等新問題。歐盟在2000年的《基本權(quán)利憲章》專門設(shè)定第8條，賦予個(gè)人數(shù)據(jù)保護(hù)具有獨(dú)立基本權(quán)利的品格，甚至為個(gè)人信息保護(hù)確立了憲法上的直接依據(jù)，④并在此基礎(chǔ)上制定了專門的《歐盟一般數(shù)據(jù)保護(hù)條例》（以下簡稱GDPR）。美國聯(lián)邦和州的法律實(shí)踐則采取了積極解釋憲法并將其作為個(gè)人信息保護(hù)基礎(chǔ)的做法，主流觀點(diǎn)和判例認(rèn)為美國聯(lián)邦憲法第四修正案體現(xiàn)的隱私權(quán)應(yīng)當(dāng)包括對個(gè)人信息的保護(hù)，可以將個(gè)人信息歸入信息隱私的范疇。⑤ 我國2020年出臺(tái)的《民法典》，以追求合乎“時(shí)代性”為要求，在第四編“人格權(quán)”第六章創(chuàng)設(shè)“個(gè)人信息保護(hù)”，確立了有關(guān)個(gè)人信息保護(hù)的基本私法制度，但很快發(fā)現(xiàn)依靠部門法對個(gè)人信息保護(hù)進(jìn)行調(diào)整存在巨大不足，無論是從調(diào)整對象還是調(diào)整方法上看，都有必要針對個(gè)人信息保護(hù)制定一部專門的更加系統(tǒng)的法律，為此我國又出臺(tái)了《個(gè)人信息保護(hù)法》?？梢?，《個(gè)人信息保護(hù)法》是對個(gè)人信息保護(hù)這一新型領(lǐng)域獨(dú)立立法需求的積極回應(yīng)。

其次，該條明確規(guī)定“根據(jù)憲法，制定本法”，這是我國現(xiàn)行網(wǎng)絡(luò)法律中唯一一部直接表明“根據(jù)憲法”制定的法律。此處“根據(jù)憲法”的表述，不僅具有程序意義，而且也具有實(shí)質(zhì)意義。全國人民代表大會(huì)憲法和法律委員在《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉審議結(jié)果報(bào)告》中做出了說明，指出個(gè)人信息保護(hù)法直接依據(jù)于《憲法》所確立的保障公民的人格尊嚴(yán)和其他權(quán)益的要求，即國家尊重和保障人權(quán)、公民的人格尊嚴(yán)不受侵犯、公民的通信自由和通信秘密受法律保護(hù)三項(xiàng)規(guī)定。① 這表明，該法不僅是個(gè)人信息保護(hù)領(lǐng)域的基本法，也是整個(gè)網(wǎng)絡(luò)信息法律體系的基本法，同時(shí)也是與刑法、民法等基本法具有并存地位的基本法。在立法過程中，有過關(guān)于個(gè)人信息保護(hù)法與現(xiàn)行刑法、民法關(guān)系的討論。有觀點(diǎn)建議將之設(shè)計(jì)為民法典的單行法，作為《民法典》中有關(guān)個(gè)人信息保護(hù)基本私法制度的具體化法律。② 但相反的觀點(diǎn)認(rèn)為，個(gè)人信息保護(hù)法是嶄新的法律部門，作為正在興起的網(wǎng)絡(luò)信息法的核心組成部分，不能將《個(gè)人信息保護(hù)法》簡單地理解為《民法典》的下位法，個(gè)人信息保護(hù)與人格權(quán)保護(hù)是兩個(gè)不同的問題，“將傳統(tǒng)的人格權(quán)理論和制度套用到個(gè)人信息保護(hù)領(lǐng)域，必然出現(xiàn)各種不適配問題”，“只有科學(xué)認(rèn)識這兩部法律的關(guān)系，才能使個(gè)人信息保護(hù)法針對信息時(shí)代個(gè)人信息保護(hù)所面臨的現(xiàn)實(shí)問題，設(shè)計(jì)相應(yīng)有針對性的制度，而不是被傳統(tǒng)民事法律制度所束縛”。③《個(gè)人信息保護(hù)法》放棄了作為《民法典》下位單行法的定位，通過直接標(biāo)示“根據(jù)憲法，制定本法”，將自身設(shè)定為與刑法、民法基本法具有同等地位的個(gè)人信息保護(hù)領(lǐng)域的基本法。由此，《個(gè)人信息保護(hù)法》和刑民基本法形成一種并存交叉關(guān)系，而非隸屬關(guān)系?！秱€(gè)人信息保護(hù)法》與刑民基本法之間的相互關(guān)系，不能通過一般法和特殊法的模式來處理，而應(yīng)通過相互的轉(zhuǎn)介條款來進(jìn)行指引或銜接。

在此意義上，《個(gè)人信息保護(hù)法》對現(xiàn)行法律體系具有一種不可忽視的新的體系建構(gòu)作用，并形成了重要的體系發(fā)展。首先，這意味著在數(shù)字化時(shí)代，我們既有的法律體系發(fā)展出一個(gè)新的獨(dú)立部分，即個(gè)人信息保護(hù)法以及以之為基礎(chǔ)的網(wǎng)絡(luò)法。在該獨(dú)立法域，《個(gè)人信息保護(hù)法》居于最基礎(chǔ)的地位，比《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《數(shù)據(jù)安全法》等其他網(wǎng)絡(luò)法律具有更高的地位，其不僅僅是個(gè)人信息保護(hù)領(lǐng)域的基本法，也是整個(gè)網(wǎng)絡(luò)信息法或者網(wǎng)絡(luò)空間法的基本法。作為領(lǐng)域基本法，它與其他網(wǎng)絡(luò)法律的關(guān)系，既有一般法與特殊法的關(guān)系，也有新法與舊法的關(guān)系，還存在上位法與下位法的關(guān)系。其次，這也意味著在數(shù)字化時(shí)代，個(gè)人信息保護(hù)法作為本領(lǐng)域基本法，具有獨(dú)立地位，與刑民基本法具有平等的法律地位，不能被看成是這些基本法的下位法。它雖然與刑法、民法難免發(fā)生交叉關(guān)系，但是其作為獨(dú)立法律的核心內(nèi)容，即體現(xiàn)在《個(gè)人信息保護(hù)法》中的主要制度，卻是根源于自身領(lǐng)域的特殊規(guī)范需求，體現(xiàn)著自身特殊的調(diào)整特點(diǎn)，有自己獨(dú)立的范疇和邏輯訴求。

（二）作為新型領(lǐng)域基本法與《民法典》相關(guān)規(guī)定的體系關(guān)系

《民法典》作為我國當(dāng)前法律體系中唯一一部冠以“法典”之名的民事基本法，《個(gè)人信息保護(hù)法》必須對其予以充分尊重。這不僅是法律之間必須保持基本協(xié)調(diào)之要求，也是由《民法典》“固根本、穩(wěn)預(yù)期、利長遠(yuǎn)的基礎(chǔ)性法律”④地位所決定的。事實(shí)上，《個(gè)人信息保護(hù)法》在起草過程中，就已經(jīng)與《民法典》的相關(guān)規(guī)定進(jìn)行了一定程度的協(xié)調(diào)。①但是又應(yīng)當(dāng)注意，《個(gè)人信息保護(hù)法》是“根據(jù)憲法”制定的具有基本法地位的法律，應(yīng)當(dāng)維護(hù)其獨(dú)立地位，在充分尊重民法典而對相關(guān)規(guī)定進(jìn)行協(xié)調(diào)的同時(shí)，也必須明確這種尊重是有限度的，不得違背并存關(guān)系的基本要求。

首先，作為并存的基本法，兩部法律在適用于相同主題事項(xiàng)上時(shí)應(yīng)該保持體系融貫。這種融貫的基礎(chǔ)不是依據(jù)一般法與特殊單行法的關(guān)系，而是以二者之間的并存地位為基礎(chǔ)，二者的立法與適用應(yīng)平等協(xié)調(diào)、互為補(bǔ)充。《民法典》對個(gè)人信息保護(hù)作出了基本規(guī)定，我們可以將之定性為關(guān)于個(gè)人信息保護(hù)的基本民事制度，主要體現(xiàn)在第一編“總則”第五章“民事權(quán)利”的第111條、第127條和第四編“人格權(quán)”第六章“隱私權(quán)和個(gè)人信息保護(hù)”的有關(guān)規(guī)定?！睹穹ǖ洹吩居?jì)劃從人格權(quán)益角度確立個(gè)人信息保護(hù)制度，但在“個(gè)人信息保護(hù)”名義下，第六章第1034條到1039條的規(guī)范內(nèi)容卻包括了關(guān)于個(gè)人信息的權(quán)利、個(gè)人信息處理者的義務(wù)以及相關(guān)處理行為規(guī)范、免責(zé)事由和國家機(jī)關(guān)等具有公共職能主體的特殊義務(wù)。從體系角度而言，《民法典》第六章相關(guān)基礎(chǔ)規(guī)范沒有特殊規(guī)定的，都要回溯到人格權(quán)和民事權(quán)利的一般規(guī)定加以補(bǔ)全，相關(guān)民事責(zé)任和保護(hù)方式?jīng)]有特殊規(guī)范的，則要與侵權(quán)責(zé)任編相關(guān)規(guī)定和民事責(zé)任的一般規(guī)定相銜接。具體而言：

其一，應(yīng)注意《民法典》提出了將個(gè)人信息保護(hù)和數(shù)據(jù)保護(hù)并置的原則思路（第111條和第127條）。② 這些在《個(gè)人信息保護(hù)法》中并沒有被排除，在適用中也應(yīng)該成為個(gè)人信息保護(hù)的更高體系架構(gòu)。《民法典》第111條第一句話宣示個(gè)人信息受法律保護(hù)，第二句話對需要獲取他人個(gè)人信息的任何組織或個(gè)人的活動(dòng)設(shè)定了行為規(guī)范，可以將其解釋為個(gè)人信息獲取者的三項(xiàng)行為義務(wù)，包括一項(xiàng)“應(yīng)為”的作為義務(wù)（應(yīng)當(dāng)依法取得并確保信息安全）和兩項(xiàng)“禁止”的不作為義務(wù)（不得非法收集、使用、加工、傳輸他人的個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息）?！睹穹ǖ洹返?27條與第111條并存而立，規(guī)定“法律對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的保護(hù)有規(guī)定的，依照其規(guī)定”，明確了數(shù)據(jù)與個(gè)人信息具有保護(hù)上的并置關(guān)系。立法部門在未來也有制定數(shù)據(jù)保護(hù)法的可能。

其二，應(yīng)注意《民法典》區(qū)分規(guī)定了隱私權(quán)和個(gè)人信息保護(hù)。《民法典》第四編第六章明確將隱私權(quán)和個(gè)人信息保護(hù)區(qū)分開來。這種做法形式上與歐盟相似，而不同于美國將個(gè)人信息納入隱私權(quán)的信息隱私范疇加以保護(hù)的做法。《民法典》第1032條確立隱私權(quán)及隱私范疇，第1034條則確立個(gè)人信息保護(hù)及個(gè)人信息范疇。這里，作為隱私權(quán)保護(hù)對象的隱私，指向的是私人生活安寧和相關(guān)私密領(lǐng)域，顯然不僅僅是私密信息，其既有物理意義的身體隱私和社會(huì)意義的空間隱私，也有信息意義的隱私。而作為個(gè)人信息保護(hù)對象的個(gè)人信息，則被界定為可識別個(gè)人的各種信息。可以看到，兩者既有明顯的區(qū)分，同時(shí)也有交叉，在信息隱私領(lǐng)域，個(gè)人信息涵蓋了信息隱私。也就是說，個(gè)人不愿為他人知曉的私密信息雖然應(yīng)當(dāng)劃入隱私權(quán)的范疇，但同時(shí)也屬于個(gè)人信息保護(hù)的對象?！睹穹ǖ洹返?034條第3款明確二者的法律適用關(guān)系是，將隱私權(quán)規(guī)定視為特殊規(guī)定，個(gè)人信息保護(hù)規(guī)定視為一般規(guī)定，沒有特殊規(guī)定的，適用個(gè)人信息保護(hù)的規(guī)定。上述區(qū)分隱私權(quán)和個(gè)人信息以及處理二者交叉關(guān)系的規(guī)則當(dāng)然也應(yīng)該為《個(gè)人信息保護(hù)法》所尊重。

其三，《個(gè)人信息保護(hù)法》和《民法典》有意通過設(shè)計(jì)相關(guān)不完全規(guī)定或引介規(guī)定，連接相互體系，對接各自的規(guī)定。比如，《個(gè)人信息保護(hù)法》第69條規(guī)定，“處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任”。除了將過錯(cuò)推定作為歸責(zé)原則外，該條還通過指向侵權(quán)責(zé)任的方式使自己與《民法典》有關(guān)侵權(quán)責(zé)任的規(guī)定聯(lián)系起來?！睹穹ǖ洹芬灿蓄愃频囊?guī)定，例如，第1037條第2款規(guī)定：“自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個(gè)人信息的，有權(quán)請求信息處理者及時(shí)刪除?！逼渲?，“法律”當(dāng)然也包括現(xiàn)在出臺(tái)的《個(gè)人信息保護(hù)法》。另外，《個(gè)人信息保護(hù)法》不僅通過引介規(guī)定與《民法典》相關(guān)規(guī)定對接，也通過引介規(guī)定與刑法、治安管理處罰法或行政法對接。例如，《個(gè)人信息保護(hù)法》第71條直接將違法責(zé)任與《治安管理處罰法》和《刑法》對接起來。

其次，《個(gè)人信息保護(hù)法》與《民典法》作為并存基本法，在個(gè)人信息保護(hù)制度設(shè)計(jì)上存在明顯差異，對此應(yīng)當(dāng)從維護(hù)《個(gè)人信息保護(hù)法》作為具有獨(dú)立并存地位的基本法的角度來處理這些差異規(guī)定的適用問題，對差異規(guī)定應(yīng)適用功能評價(jià)原則進(jìn)行區(qū)分。鑒于《個(gè)人信息保護(hù)法》屬于本領(lǐng)域新法，相較于《民法典》，如果屬于修補(bǔ)的差異，應(yīng)優(yōu)先適用修補(bǔ)規(guī)定;如果不屬于修補(bǔ)的差異，則互補(bǔ)適用。兩部法律的差異，很大部分是由二者的功能差異決定的，筆者將在后文展開具體研究?！秱€(gè)人信息保護(hù)法》不僅在調(diào)整方法上具有綜合立法的特點(diǎn)，而且在具體規(guī)則設(shè)計(jì)上也存在較為明顯的功能差異面向。從調(diào)整方法上看，相比作為部門法的民法，個(gè)人信息保護(hù)法融合了多種不同性質(zhì)的調(diào)整方法，其保護(hù)制度不只是民事的，而是多種面向的，包括行政的、刑事的甚至訴訟程序方面的保護(hù)制度，也包括涉外的保護(hù)規(guī)則。從功能差異來看，《個(gè)人信息保護(hù)法》的保護(hù)制度顯然不是相關(guān)部門法規(guī)則的具體化和特殊化，而是基于自身復(fù)雜的特殊調(diào)整功能進(jìn)行的新的體系規(guī)則建構(gòu)。比如，針對個(gè)人信息處理者的義務(wù)，《個(gè)人信息保護(hù)法》除規(guī)定了私法義務(wù)外，還增加了管理義務(wù);并涉及履行個(gè)人信息保護(hù)職責(zé)的部門規(guī)范（涉及部門分工、職責(zé)、管理、執(zhí)法等管理規(guī)定），這實(shí)際上屬于《個(gè)人信息保護(hù)法》為充分體現(xiàn)其管理保護(hù)功能的增強(qiáng)制度。這些都旨在建構(gòu)個(gè)人信息保護(hù)的新機(jī)制，是《民法典》所沒有的。對此，當(dāng)然應(yīng)從功能評價(jià)的角度加以適用，不能因?yàn)椤睹穹ǖ洹窙]有規(guī)定就予以否定。

當(dāng)然，有些差異可能與功能預(yù)設(shè)無關(guān)，而純屬于兩部法律之間的體系矛盾。對此，原則上應(yīng)該首先堅(jiān)持并存協(xié)調(diào)的原則加以調(diào)和，如果確實(shí)存在難以調(diào)和的矛盾，則宜采取新法優(yōu)于舊法的原則（而非特別法優(yōu)于一般法或上位法優(yōu)于下位法的規(guī)則）進(jìn)行體系平衡。在此，《個(gè)人信息保護(hù)法》即為新法。

三、《個(gè)人信息保護(hù)法》對《民法典》個(gè)人信息保護(hù)私法制度的重要修補(bǔ)

立法者從《個(gè)人信息保護(hù)法》是與刑民基本法具有并存地位的領(lǐng)域基本法這一定位出發(fā)，結(jié)合現(xiàn)實(shí)需求，對《個(gè)人信息保護(hù)法》作出了兩方面的建構(gòu)：一方面，從領(lǐng)域法的全功能體系出發(fā)，建立了系統(tǒng)化的個(gè)人信息保護(hù)制度;另一方面，對《民法典》中個(gè)人信息保護(hù)的相關(guān)私法制度作出了更加完善的規(guī)定。如果發(fā)現(xiàn)《民法典》的規(guī)定存在不足應(yīng)當(dāng)修補(bǔ)的，就果斷予以修補(bǔ)。具體而言，《個(gè)人信息保護(hù)法》無論是在個(gè)人信息等概念上，還是在相關(guān)權(quán)利和義務(wù)的規(guī)定上都對《民法典》的相關(guān)規(guī)定進(jìn)行了重要的修補(bǔ)，而不只是簡單細(xì)化和補(bǔ)充。這些修補(bǔ)不能被視為是對《民法典》的違反或抵觸，而應(yīng)該被視為是有效的合理的修改和完善。

（一）關(guān)于個(gè)人信息等概念的修補(bǔ)

《民法典》通過第1034條第2款闡釋了個(gè)人信息的內(nèi)涵，即“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”?！秱€(gè)人信息保護(hù)法》第4條第1款也對“個(gè)人信息”進(jìn)行了界定：“個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。”相較而言，后者不僅表述更加簡潔，而且在范圍上也有明顯變化，明確排除了“匿名化處理后的信息”，也就是說匿名化處理后的信息不再屬于個(gè)人信息的范疇，自然也就不再適用《個(gè)人信息保護(hù)法》。關(guān)于匿名化，《個(gè)人信息保護(hù)法》第73條第3項(xiàng)作了嚴(yán)格界定，“匿名化，是指個(gè)人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程”，與程度較低的第4項(xiàng)規(guī)定的“去標(biāo)識化”相區(qū)別，“去標(biāo)識化，是指個(gè)人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程”。可見，《個(gè)人信息保護(hù)法》關(guān)于個(gè)人信息的概念界定，對《民法典》個(gè)人信息的定義做出了不可忽略的修補(bǔ)。

由于《個(gè)人信息保護(hù)法》對個(gè)人信息的概念界定僅僅進(jìn)行抽象說明而沒有采取列舉加概括的定義方式，此項(xiàng)修補(bǔ)一方面與《民法典》相比顯得更為模糊;但另一方面，明確將匿名化處理后的信息排除在個(gè)人信息的保護(hù)范圍外，對執(zhí)行匿名化的個(gè)人信息處理者是極大的利好，鼓勵(lì)了他們積極開發(fā)和應(yīng)用符合要求的匿名化處理技術(shù)?！秱€(gè)人信息保護(hù)法》第4條第2款還重新界定了個(gè)人信息的處理范圍，包括“個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等”，對比《民法典》第1035條第2款的界定，即“個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等”，明顯增加了對“刪除”的列舉，這就使得“刪除”明確進(jìn)入應(yīng)當(dāng)受到規(guī)范的個(gè)人信息處理活動(dòng)的范圍。

（二）關(guān)于對自然人個(gè)人信息的權(quán)利的修補(bǔ)和增加

《民法典》第1037條規(guī)定了自然人對其個(gè)人信息享有的相關(guān)權(quán)利，其中第1款規(guī)定了查閱或者復(fù)制的權(quán)利、針對錯(cuò)誤信息提出異議并請求及時(shí)更正的權(quán)利;第2款規(guī)定了在信息處理者違法或違反約定處理個(gè)人信息情形下的請求刪除的權(quán)利。對比而言，《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息的權(quán)利范圍有了明顯的擴(kuò)展。一方面，《個(gè)人信息保護(hù)法》通過第45條第1款和第2款（查閱權(quán)、復(fù)制權(quán)）、第46條第1款和第2款（從更正權(quán)發(fā)展為更正補(bǔ)充權(quán)）和第47條（刪除權(quán)）的規(guī)定，確認(rèn)《民法典》已經(jīng)明確的有關(guān)個(gè)人信息的權(quán)利，并且做出了進(jìn)一步完善;另一方面，還通過第44條增加規(guī)定了知情權(quán)、決定權(quán)、限制和拒絕他人處理權(quán)，通過第45條第3款增加了可攜帶權(quán)，通過第48條增加了請求解釋權(quán)。《中華人民共和國個(gè)人信息保護(hù)法（草案）》（二次審議稿）[以下簡稱為《個(gè)人信息保護(hù)法（草案）》（二次審議稿）]還規(guī)定了對死者個(gè)人信息的保護(hù)，《中華人民共和國個(gè)人信息保護(hù)法（草案）》（三次審議稿）[以下簡稱為《個(gè)人信息保護(hù)法（草案）》（三次審議稿）]完善為自然人死后個(gè)人信息由其近親屬在一定范圍獲得保護(hù)，并尊重死者生前的安排。值得說明的是可攜帶權(quán)，《個(gè)人信息保護(hù)法（草案）》（三次審議稿）才對該項(xiàng)權(quán)利的增設(shè)做出決斷，《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉審議結(jié)果報(bào)告》第七項(xiàng)對確立可攜帶權(quán)的由來進(jìn)行了詳細(xì)說明。立法過程曲折的主要原因是學(xué)界和產(chǎn)業(yè)界對是否引入歐美國家的可攜帶權(quán)存在疑慮，其中反對觀點(diǎn)認(rèn)為如果引入會(huì)給我國個(gè)人信息處理者帶來巨大負(fù)擔(dān)，不利于產(chǎn)業(yè)發(fā)展。①立法者最終決定引入數(shù)據(jù)可攜帶權(quán)，這對于維護(hù)數(shù)據(jù)市場的公平競爭具有積極意義。數(shù)據(jù)企業(yè)特別是頭部企業(yè)任意進(jìn)行數(shù)據(jù)封鎖，阻斷數(shù)據(jù)流通，甚至進(jìn)行數(shù)據(jù)壟斷，從反不當(dāng)競爭和反壟斷的角度看業(yè)已成為一種現(xiàn)實(shí)危害。國家市場監(jiān)督管理總局于2021年8月17日發(fā)布了《禁止網(wǎng)絡(luò)不正當(dāng)競爭行為規(guī)定（公開征求意見稿）》，對互聯(lián)網(wǎng)經(jīng)營者利用技術(shù)手段影響用戶選擇，包括實(shí)施平臺(tái)封禁、大數(shù)據(jù)殺熟、向用戶頻繁彈窗等新型網(wǎng)絡(luò)不正當(dāng)競爭行為進(jìn)行了分類規(guī)制，以期增強(qiáng)《反不正當(dāng)競爭法》的適用性。② 從司法實(shí)踐來看，目前一些典型判決也確立了結(jié)合數(shù)據(jù)封鎖來分析是否構(gòu)成不正當(dāng)競爭的觀點(diǎn)。③ 可攜帶權(quán)有利于破除這種封鎖，所以極有必要對其進(jìn)行規(guī)定。④

關(guān)于個(gè)人信息保護(hù)的性質(zhì)及其基礎(chǔ)，一直存在爭議。從比較法上看，不一而論。有觀點(diǎn)從人格尊嚴(yán)與自由的角度出發(fā)，支持個(gè)人信息自決權(quán)理論。⑤ 但也有學(xué)者兼從社會(huì)功能角度出發(fā)，認(rèn)為個(gè)人信息的權(quán)利不是絕對的，而應(yīng)該結(jié)合其社會(huì)功能來理解，⑥ 這種觀點(diǎn)支持個(gè)人信息相關(guān)權(quán)利的分叉和具體功能化，⑦ 傾向兼顧人格價(jià)值和社會(huì)功能，從維護(hù)個(gè)人在數(shù)字化時(shí)代的必要人格尊嚴(yán)和自由以及維護(hù)公平實(shí)踐⑧等角度，綜合設(shè)定和理解個(gè)人信息權(quán)利。目前后一種觀點(diǎn)逐漸占據(jù)優(yōu)勢。在美國，2018年《加利福尼亞州消費(fèi)者隱私保護(hù)法》和2021年的《弗吉尼亞州消費(fèi)者數(shù)據(jù)保護(hù)法》甚至把個(gè)人信息權(quán)利的重心轉(zhuǎn)移到了公平實(shí)踐之上。在這種情況下，個(gè)人就個(gè)人信息應(yīng)受保護(hù)的權(quán)益體現(xiàn)為在合理范圍內(nèi)不受干涉和應(yīng)受公平利用對待的各種利益，既包括對相關(guān)處理活動(dòng)的必要知情權(quán)、同意權(quán)或自主決定權(quán)等與尊嚴(yán)自由相關(guān)的一般人格利益，也包括應(yīng)受公平和平等對待等的特殊人格利益，甚至還包括因個(gè)人信息的經(jīng)濟(jì)功能產(chǎn)生的財(cái)產(chǎn)化、可公開化的合理要求。⑨

（三）關(guān)于個(gè)人信息處理者義務(wù)的修補(bǔ)和增加

《民法典》第1038條設(shè)定了個(gè)人信息處理者的一般私法義務(wù)，該條第1款規(guī)定了個(gè)人信息處理者的兩項(xiàng)不作為義務(wù)，即禁止泄露或篡改的義務(wù)和禁止未經(jīng)同意向他人非法提供的義務(wù);第2款規(guī)定了兩項(xiàng)作為義務(wù)，即應(yīng)當(dāng)采取必要措施確保個(gè)人信息安全的義務(wù)，以及在發(fā)生或者可能發(fā)生個(gè)人信息損害時(shí)應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施并按規(guī)定告知和報(bào)告的義務(wù)。相比《民法典》這一規(guī)定，《個(gè)人信息保護(hù)法》關(guān)于個(gè)人信息處理者義務(wù)的規(guī)定，顯然有了巨大的完善，具有相當(dāng)范圍的增量，既有私法義務(wù)規(guī)范，也有《民法典》未規(guī)定的管理義務(wù)規(guī)范，形成了一個(gè)更加復(fù)雜的與處理場景和安全風(fēng)險(xiǎn)密切結(jié)合的多組不同性質(zhì)義務(wù)相配合的體系，體現(xiàn)出義務(wù)人自主管理和非自主管理的雙重性。

《個(gè)人信息保護(hù)法》第51條涉及的是私法義務(wù)規(guī)范，對《民法典》第1038條的規(guī)定進(jìn)行了一定的擴(kuò)充，但不僅僅是《民法典》第1038條的具體化、明確化?！秱€(gè)人信息保護(hù)法》第51條規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息處理的具體情況，采取確定的六項(xiàng)措施來確保個(gè)人信息處理活動(dòng)合法合規(guī)，并防止未經(jīng)授權(quán)的訪問和個(gè)人信息泄露、篡改、丟失。《個(gè)人信息保護(hù)法》第52條到58條都是關(guān)于管理義務(wù)的規(guī)定，是《民法典》所沒有的，體現(xiàn)了《個(gè)人信息保護(hù)法》超出一般私法治理的綜合治理的義務(wù)配置特點(diǎn)?！秱€(gè)人信息保護(hù)法》第52條規(guī)定，規(guī)?；膫€(gè)人信息處理者具有設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人并進(jìn)行報(bào)送備案的義務(wù)，這顯然是一項(xiàng)旨在強(qiáng)化個(gè)人信息處理者自主管理的管理義務(wù)，不僅有利于保護(hù)個(gè)人信息權(quán)益，而且也兼具公共治理屬性，防范規(guī)模數(shù)據(jù)的安全風(fēng)險(xiǎn)。第53條對符合本法規(guī)定的境外個(gè)人信息處理者設(shè)定了應(yīng)在中國設(shè)立個(gè)人信息保護(hù)專門機(jī)構(gòu)或指定代表并報(bào)送備案的義務(wù)。第54條規(guī)定，個(gè)人信息處理者對其個(gè)人信息處理活動(dòng)具有定期進(jìn)行合規(guī)審計(jì)的義務(wù)。第55條和第56條規(guī)定，對處理敏感個(gè)人信息、利用自動(dòng)化決策、委托他人處理、向他人提供或公開、向境外提供等其他對個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)，個(gè)人信息處理者具有事先進(jìn)行影響評估和記錄處理結(jié)果的義務(wù)。第57條規(guī)定，個(gè)人信息處理者在個(gè)人信息發(fā)生泄露或可能泄露時(shí)，具有補(bǔ)救和通知義務(wù)。第58條規(guī)定，重要互聯(lián)網(wǎng)平臺(tái)作為個(gè)人信息處理者，具有引入外部監(jiān)管、正確制定平臺(tái)規(guī)則、有效管控平臺(tái)內(nèi)違法違規(guī)產(chǎn)品和服務(wù)、定期發(fā)布社會(huì)責(zé)任報(bào)告和接受社會(huì)監(jiān)督的加強(qiáng)內(nèi)部管理和防范風(fēng)險(xiǎn)的義務(wù)。其中，關(guān)于重要互聯(lián)網(wǎng)平臺(tái)作為個(gè)人信息處理者的嚴(yán)格管理和防范義務(wù)，是《個(gè)人信息保護(hù)法（草案）》（二次審議稿）增加的，《個(gè)人信息保護(hù)法（草案）》（三次審議稿）進(jìn)一步增加了應(yīng)正確制定平臺(tái)規(guī)則以更好明確平臺(tái)產(chǎn)品和服務(wù)處理個(gè)人信息活動(dòng)規(guī)范的管理義務(wù)。這是對現(xiàn)實(shí)中要求大互聯(lián)網(wǎng)平臺(tái)應(yīng)當(dāng)對個(gè)人信息保護(hù)承擔(dān)更大責(zé)任的社會(huì)呼聲的回應(yīng)，也順應(yīng)了國際上平臺(tái)治理規(guī)范的發(fā)展趨勢，《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉審議結(jié)果報(bào)告》第九項(xiàng)對此進(jìn)行了詳細(xì)說明。第59條規(guī)定，接受委托處理個(gè)人信息的受托人具有保障個(gè)人信息安全等協(xié)助義務(wù)。上述義務(wù)都是針對不具有公共職能的個(gè)人信息處理者設(shè)定的。政府機(jī)關(guān)等承擔(dān)公共職能的機(jī)構(gòu)及其工作人員則存在特殊性，《民法典》第1039條規(guī)定，其作為個(gè)人信息處理者時(shí)，應(yīng)承擔(dān)對隱私和個(gè)人信息的保密義務(wù)，以及禁止泄露或非法向他人提供的義務(wù)。

（四）關(guān)于個(gè)人信息處理者對個(gè)人信息處理規(guī)則的修補(bǔ)

《民法典》對個(gè)人信息保護(hù)的設(shè)計(jì)，突出了“權(quán)利—義務(wù)—行為規(guī)范”的三層私法保護(hù)體系，也就是說，在規(guī)定權(quán)利、義務(wù)的同時(shí)，還設(shè)定了個(gè)人信息處理者從事處理活動(dòng)的行為規(guī)范。這種設(shè)計(jì)的復(fù)雜性已經(jīng)不同于傳統(tǒng)人格權(quán)或者其他絕對權(quán)的保護(hù)模式?！睹穹ǖ洹返?035條屬于積極規(guī)范，規(guī)定了處理行為的原則和條件等。其中，原則為“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理”。條件有四：除法律法規(guī)有例外規(guī)定，應(yīng)征得該自然人或者其監(jiān)護(hù)人同意;公開處理信息的規(guī)則;明示處理信息的目的、方式和范圍;不違反法律、行政法規(guī)的規(guī)定和雙方的約定。《民法典》第1036條屬于消極規(guī)范，規(guī)定了行為免責(zé)事項(xiàng)，即在三種情況下個(gè)人信息處理者可以不承擔(dān)民事責(zé)任：在自然人或者其監(jiān)護(hù)人同意范圍內(nèi)合理實(shí)施的行為;合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;為維護(hù)公共利益或者該自然人合法權(quán)益，合理實(shí)施的其他行為。

對《民法典》的個(gè)人信息處理行為規(guī)則，《個(gè)人信息保護(hù)法》基于自身更加系統(tǒng)的設(shè)計(jì)優(yōu)勢，做出了細(xì)化發(fā)展，也進(jìn)行了明顯的修補(bǔ)。《個(gè)人信息保護(hù)法》注意原則與規(guī)則的區(qū)分，第一章“總則”規(guī)定了有關(guān)個(gè)人信息處理的原則，即通過第5條到第10條宣示了個(gè)人信息處理的六項(xiàng)原則。第5條為遵循合法、正當(dāng)、必要、誠信原則，第6條為遵循目的限制和影響最小化原則（處理個(gè)人信息應(yīng)符合明確、合理目的，需與信息處理的目的直接相關(guān)并采取對個(gè)人權(quán)益影響最小的方式），第7條為遵循公開、透明原則（公開處理規(guī)則以及明示處理的目的、方式和范圍），第8條為保障個(gè)人信息質(zhì)量原則（處理個(gè)人信息應(yīng)當(dāng)保障個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準(zhǔn)確、不完整對個(gè)人權(quán)益造成不利影響）①，第9條為處理者應(yīng)對活動(dòng)負(fù)責(zé)和采取必要措施保障安全的原則，第10條為禁止從事違法和危害國家安全、公共利益的個(gè)人信息處理活動(dòng)的原則。上述原則應(yīng)該通過“原則+規(guī)則”的解釋架構(gòu)，一并融入第二章“個(gè)人信息處理規(guī)則”加以適用。第二章不僅區(qū)分了《民法典》沒有注意區(qū)分的一般信息和敏感信息，對處理個(gè)人信息的活動(dòng)建立了雙層行為標(biāo)準(zhǔn)，而且還關(guān)注了《民法典》雖做出了義務(wù)配置，但在行為規(guī)范上卻失之考慮的國家機(jī)關(guān)，增加了其處理個(gè)人信息時(shí)的相應(yīng)行為規(guī)范要求。相關(guān)行為規(guī)則，具體可作如下理解。

首先，關(guān)于個(gè)人信息處理者對一般個(gè)人信息的處理行為規(guī)范，《個(gè)人信息保護(hù)法》第二章第一節(jié)“一般規(guī)定”作出了全面規(guī)定。第13條設(shè)定了可以處理他人個(gè)人信息的七種情形，除這七種情形外不得處理他人的個(gè)人信息。這七種情形實(shí)際暗含了處理個(gè)人信息需以同意為條件，但是比《民法典》的規(guī)定更加具體，除了第1項(xiàng)為取得他人同意，其他六項(xiàng)均反向列舉了不需要同意的具體情形，包括：為訂立、履行個(gè)人作為一方當(dāng)事人的合同或人力資源管理所必需;②為履行法定職責(zé)或者法定義務(wù)所必需;為應(yīng)對突發(fā)公共衛(wèi)生事件或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需;③合理范圍處理個(gè)人自行公開或已經(jīng)合法公開的信息，為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等在合理范圍處理個(gè)人信息;法律、行政法規(guī)規(guī)定的其他情形。

《個(gè)人信息保護(hù)法》第14條到第17條是對同意的具體要件、撤回、效力、知情告知要求與豁免等的規(guī)定，這些在《民法典》上鮮有涉及，因此是重要的細(xì)化和完善。第14條規(guī)定了基于個(gè)人同意處理個(gè)人信息的情形，即須以充分知情和明確作出為基本要求，必要時(shí)，法律、行政法規(guī)可以規(guī)定單獨(dú)同意或書面同意。此外，個(gè)人信息處理發(fā)生重要變更，還應(yīng)重新取得同意。第15條規(guī)定同意的撤回條件、方式和效果。第16條規(guī)定個(gè)人信息處理者不得以個(gè)人不同意或撤回同意為由，拒絕提供產(chǎn)品或服務(wù)，除非信息處理屬于必需。這一條具有很大的現(xiàn)實(shí)意義，目前許多網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者為了收集個(gè)人信息，采取強(qiáng)制個(gè)人同意的辦法，否則就不提供產(chǎn)品或服務(wù)，有了這一規(guī)定，就明確了這種行為的違法性。第17條規(guī)定同意要件中充分知情的具體要求，即個(gè)人信息處理者必須以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知本條列舉的必要事項(xiàng)?！秱€(gè)人信息保護(hù)法（草案）》（三次審議稿）相比《個(gè)人信息保護(hù)法（草案）》（二次審議稿），添加了“真實(shí)、準(zhǔn)確、完整”幾個(gè)詞，更加明確了其嚴(yán)格保護(hù)個(gè)人信息的立場，防止不充分知情的濫用。第18條規(guī)定告知（充分知情）的豁免，包括兩種情形，即法律、行政法規(guī)規(guī)定不需要告知的情況和出現(xiàn)緊急情況（但消除后仍然要及時(shí)告知）。第19條規(guī)定了個(gè)人信息的保存期限，從有利于個(gè)人出發(fā)，應(yīng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。

《個(gè)人信息保護(hù)法》第20條到第23條是關(guān)于共同處理、委托處理、因主體變更需要轉(zhuǎn)移、向第三方提供處理的特殊行為規(guī)則。第20條規(guī)定了多人共同處理個(gè)人信息時(shí)的行為規(guī)則和責(zé)任承擔(dān)，即內(nèi)部可以約定如何處理，但對外不改變個(gè)人對其個(gè)人信息的權(quán)利，出現(xiàn)損害時(shí)，信息處理者應(yīng)承擔(dān)連帶責(zé)任。第21條規(guī)定委托處理時(shí)的行為規(guī)則和相應(yīng)責(zé)任。總體上，委托人仍然是個(gè)人信息處理者，應(yīng)承擔(dān)行為責(zé)任，受托人作為協(xié)助者承擔(dān)相應(yīng)行為的責(zé)任。具體而言，委托人對受委托人的信息處理活動(dòng)進(jìn)行監(jiān)督;受托人依據(jù)合同處理個(gè)人信息;合同不生效、無效、被撤銷或者終止，受托人則應(yīng)當(dāng)將個(gè)人信息返還個(gè)人信息處理者，或者予以刪除，不得保留;受托人未經(jīng)個(gè)人信息處理者授權(quán)，不得再轉(zhuǎn)委托。第22條規(guī)定因合并、分立、解散、被宣告破產(chǎn)等需要轉(zhuǎn)移個(gè)人信息時(shí)的行為規(guī)則。個(gè)人信息原則上允許轉(zhuǎn)移，但應(yīng)當(dāng)告知個(gè)人，并由接收者繼續(xù)履行個(gè)人信息處理者的義務(wù)。接收方變更原先處理事項(xiàng)，則需要取得重新同意。這一規(guī)定一方面注意與營業(yè)轉(zhuǎn)讓的合理需要相適應(yīng)，另一方面也強(qiáng)調(diào)避免濫用加害情況的發(fā)生。第23條規(guī)定了向第三方提供處理的個(gè)人信息的一般規(guī)則，即采取告知加取得單獨(dú)同意的嚴(yán)格要求。

《個(gè)人信息保護(hù)法》第24條規(guī)定了個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策時(shí)的特殊行為規(guī)則，針對處理者規(guī)定了正當(dāng)公平使用的嚴(yán)格義務(wù)，并賦予個(gè)人信息應(yīng)受保護(hù)的法律地位。這一條在立法中備受關(guān)注，該條立法規(guī)范基礎(chǔ)究竟為何存在疑惑，立法者最終將之落到了個(gè)人應(yīng)受公平實(shí)踐對待的要求上。其一，保證決策透明和結(jié)果公平公正，《個(gè)人信息保護(hù)法（草案）》（三次審議稿）開始明確禁止價(jià)格歧視，《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉審議結(jié)果報(bào)告》第二項(xiàng)說明了在涉及利用個(gè)人信息進(jìn)行自動(dòng)化決策時(shí)這種公平理念的權(quán)利義務(wù)化和行為規(guī)范化，“利用個(gè)人信息進(jìn)行自動(dòng)化決策，不得對個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇”;其二，通過自動(dòng)化決策向個(gè)人進(jìn)行信息推送、商業(yè)營銷，要求應(yīng)當(dāng)同時(shí)提供不針對其個(gè)人特征的選項(xiàng)，或者提供拒絕的方式;其三，個(gè)人信息處理者通過自動(dòng)化決策作出對個(gè)人權(quán)益有重大影響的決定時(shí)，個(gè)人有權(quán)要求解釋并有權(quán)拒絕僅通過自動(dòng)化決策作出決定。

對比GDPR，后者是在“數(shù)據(jù)畫像”語境意義下看待對個(gè)人數(shù)據(jù)進(jìn)行自動(dòng)化處理的行為要求，將其放在第三章“數(shù)據(jù)主體權(quán)利”項(xiàng)下的第四節(jié)“反對權(quán)和自動(dòng)化決策”之下，與個(gè)人信息主體的反對權(quán)聯(lián)系在一起，體現(xiàn)反對權(quán)的運(yùn)用。GDPR第4條之（4）規(guī)定：“‘?dāng)?shù)據(jù)畫像是指對個(gè)人數(shù)據(jù)進(jìn)行任何自動(dòng)化處理，包括利用個(gè)人數(shù)據(jù)評估與自然人有關(guān)的特定方面，特別是針對與自然人的工作表現(xiàn)、經(jīng)濟(jì)狀況、健康狀況、個(gè)人偏好、興趣、信譽(yù)、行為習(xí)慣、位置或行蹤相關(guān)的分析和預(yù)測?！痹诖苏Z境下，GDPR第22條對“自動(dòng)化決策，包括數(shù)據(jù)畫像”予以具體化規(guī)定，明確規(guī)定了數(shù)據(jù)主體原則上不受不利于自己的自動(dòng)化決策限制，數(shù)據(jù)控制者運(yùn)用時(shí)應(yīng)當(dāng)保護(hù)數(shù)據(jù)主體的權(quán)利、自由和合法利益等規(guī)則。GDPR通過反對權(quán)，綜合了權(quán)利、自由和合法利益等因素，對以個(gè)人信息自動(dòng)化決策為基礎(chǔ)的行為規(guī)則的適用基礎(chǔ)進(jìn)行了評價(jià)。其中，所謂合法利益，自然也包括應(yīng)受公平對待的利益。①

《個(gè)人信息保護(hù)法》第25條規(guī)定了個(gè)人信息處理者禁止公開的行為規(guī)則，除非取得個(gè)人單獨(dú)同意，否則不得公開其處理的個(gè)人信息。第26條對在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備的個(gè)人信息處理行為建立基本準(zhǔn)則，采取了限制立場：首先，應(yīng)當(dāng)為維護(hù)公共安全所必需;其次，應(yīng)遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)志;最后，收集的信息只能用于維護(hù)公共安全目的，不得他用，此項(xiàng)僅可以通過個(gè)人單獨(dú)同意改變。第27條規(guī)定了對已經(jīng)公開的個(gè)人信息進(jìn)行處理的行為規(guī)則。原則上允許在合理范圍處理自愿公開和合法公開的個(gè)人信息，但有兩個(gè)例外，即個(gè)人明確拒絕和處理對個(gè)人權(quán)益有重大影響的已公開的個(gè)人信息。

其次，關(guān)于個(gè)人信息處理者對敏感個(gè)人信息的處理行為規(guī)范?！秱€(gè)人信息保護(hù)法》第二章第二節(jié)“敏感個(gè)人信息”專門就此作出嚴(yán)格的行為規(guī)范。個(gè)人信息處理者處理敏感個(gè)人信息，先要遵循本節(jié)規(guī)范，本節(jié)沒有規(guī)定的則適用一般規(guī)定和相關(guān)原則。第28條第1款界定了何為敏感個(gè)人信息，即“敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息”。該條采取列舉加抽象的規(guī)定模式。抽象上的界定，是指一旦泄露或非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害，這里強(qiáng)調(diào)的是“容易”兩個(gè)字。列舉上的界定，《個(gè)人信息保護(hù)法（草案）》（三次審議稿）和前面幾稿不完全一致，最終綜合討論意見，列舉了生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息。《個(gè)人信息保護(hù)法（草案）》（三次審議稿）還特別將 “不滿十四周歲未成年人的個(gè)人信息”歸入敏感個(gè)人信息，旨在回應(yīng)關(guān)于強(qiáng)化保護(hù)未成年人個(gè)人信息的社會(huì)呼聲，《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉審議結(jié)果報(bào)告》第五項(xiàng)對此做出了相關(guān)說明。第28條第2款規(guī)定了處理敏感個(gè)人信息的兩個(gè)特殊前提：一是具有特定的目的和充分的必要性;二是《個(gè)人信息保護(hù)法（草案）》（三次審議稿）新增的一項(xiàng)要求，即采取嚴(yán)格保護(hù)措施。否則，不得處理敏感個(gè)人信息。第29條規(guī)定敏感個(gè)人信息處理須遵循嚴(yán)格同意條件，而不是一般個(gè)人信息的同意條件。這種嚴(yán)格同意體現(xiàn)為“應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意”，“如果法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意，還要取得書面同意”。第30條規(guī)定處理敏感個(gè)人信息，除了存在法律法規(guī)等規(guī)定應(yīng)當(dāng)保密等不需要告知的情形外，原則上還應(yīng)履行告知的義務(wù)，告知內(nèi)容包括處理的必要性和對個(gè)人權(quán)益的影響等。第31條規(guī)定了處理不滿十四周歲未成年人的個(gè)人信息的特殊規(guī)則，即應(yīng)當(dāng)取得未成年人的父母或其他監(jiān)護(hù)人的同意，該條第2款還要求個(gè)人信息處理者應(yīng)當(dāng)制定專門的處理規(guī)則。第32條規(guī)定法律、行政法規(guī)對敏感個(gè)人信息處理有特殊限制的，還應(yīng)取得相關(guān)許可或遵循限制規(guī)定。

最后，關(guān)于國家機(jī)關(guān)作為個(gè)人信息處理者的行為規(guī)范?！秱€(gè)人信息保護(hù)法》第二章第三節(jié)是關(guān)于“國家機(jī)關(guān)作為個(gè)人信息處理者的特別規(guī)定”?！睹穹ǖ洹返?039條規(guī)定了國家機(jī)關(guān)等作為個(gè)人信息處理者應(yīng)承擔(dān)的義務(wù)，但未具體規(guī)定其行為規(guī)范，《個(gè)人信息保護(hù)法》對此作出了完善。第34條規(guī)定了國家機(jī)關(guān)處理個(gè)人信息應(yīng)受法定職責(zé)限制，這一規(guī)定是《民法典》所沒有的，從而為國家機(jī)關(guān)能否從事個(gè)人信息處理活動(dòng)以及在什么范圍從事限定了前提、范圍和程序。國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，必須依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍限度。第35條規(guī)定國家機(jī)關(guān)還應(yīng)當(dāng)履行告知義務(wù)，但此項(xiàng)要求可因法律、行政法規(guī)的保密規(guī)定而排除，或者因告知會(huì)導(dǎo)致履職妨礙而排除。第36條規(guī)定國家機(jī)關(guān)對其掌握的個(gè)人信息應(yīng)為國內(nèi)存儲(chǔ)的要求，如確需向境外提供，則應(yīng)做安全評估。第37條規(guī)定本節(jié)關(guān)于國家機(jī)關(guān)的特殊規(guī)定也適用于法律法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織為履職處理個(gè)人信息的活動(dòng)。

四、《個(gè)人信息保護(hù)法》的保護(hù)功能預(yù)設(shè)及其綜合治理保護(hù)體系

（一） 《個(gè)人信息保護(hù)法》的保護(hù)功能預(yù)設(shè)及其背景

目前各國的個(gè)人信息規(guī)范體系的一個(gè)突出的共同特點(diǎn)是在“保護(hù)法”的功能取向下展開其內(nèi)部體系，無一例外冠以“保護(hù)”之名，我國也不例外。《個(gè)人信息保護(hù)法》明確宣示以個(gè)人信息保護(hù)為功能預(yù)設(shè)。該法第1條是對立法宗旨的宣示，即“為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用”，明確把“保護(hù)”放在首位。也就是說，這部法律的根本定性是保護(hù)法，重在保護(hù)“個(gè)人信息權(quán)益”。相較于“保護(hù)”，“規(guī)范”和“促進(jìn)”則是手段和方法，是以“保護(hù)”這一基本功能為前提的“規(guī)范”和“促進(jìn)”?！秱€(gè)人信息保護(hù)法》第2條明確宣示自然人的個(gè)人信息具有受法律保護(hù)的地位，即“自然人的個(gè)人信息受法律保護(hù)，任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益”，繼續(xù)強(qiáng)化了該法作為保護(hù)法的設(shè)計(jì)理念和基本追求。

《個(gè)人信息保護(hù)法》第2條也顯示本法的保護(hù)對象是“個(gè)人信息權(quán)益”。不過，這一表述與傳統(tǒng)民事權(quán)利概念相比，具有模糊性?！皞€(gè)人信息權(quán)益”其實(shí)是指稱存在于“個(gè)人信息受法律保護(hù)”語境中的法益，歐盟GDPR甚至稱之為個(gè)人信息保護(hù)權(quán)。在《民法總則》的制定和《民法典》編纂過程中，有觀點(diǎn)建議使用“個(gè)人信息權(quán)”的表述。①但無論是《民法總則》《民法典》還是現(xiàn)在的《個(gè)人信息保護(hù)法》都沒有使用“個(gè)人信息權(quán)”概念，而是采取了“個(gè)人信息保護(hù)”的框架表述。這是因?yàn)椋瑐€(gè)人因個(gè)人信息處理而涉及到的個(gè)人相關(guān)利益，反映到法律上比較復(fù)雜，不宜簡單表述為“個(gè)人信息權(quán)”?！皞€(gè)人信息受保護(hù)的權(quán)利與其他人格權(quán)在考量因素上有所不同，個(gè)人信息的保護(hù)要恰當(dāng)平衡信息的利益與數(shù)據(jù)共享利用之間的關(guān)系。”②我們注意到，歐盟雖然在基本權(quán)利的高度上看待個(gè)人信息保護(hù)，但同樣也沒有確立“個(gè)人數(shù)據(jù)權(quán)”這樣的簡單概念。首先，GDPR序言的第（1）項(xiàng)宣稱，“自然人在個(gè)人數(shù)據(jù)處理過程中獲得保護(hù)是一項(xiàng)基本權(quán)利”，這一表述其實(shí)呼應(yīng)了《歐盟基本權(quán)利憲章》第8條第1款和《歐盟運(yùn)行條約》第16條第1款關(guān)于個(gè)人信息保護(hù)的表述，即“人人均有權(quán)就其個(gè)人數(shù)據(jù)獲得保護(hù)的權(quán)利”。其次，該法序言第（4）項(xiàng)明確指出，個(gè)人數(shù)據(jù)的處理應(yīng)服務(wù)于人類，保護(hù)個(gè)人數(shù)據(jù)的權(quán)利不是絕對權(quán)利，需要綜合考慮其社會(huì)功能并依據(jù)比例原則與其他基本權(quán)利保持平衡。也就是說，盡管個(gè)人信息保護(hù)是必要的，但也不能簡單將其認(rèn)定為是個(gè)人信息權(quán)，或者說是絕對的個(gè)人信息權(quán)利。個(gè)人信息保護(hù)不僅涉及個(gè)人法益確定的微妙性，還涉及個(gè)人利益與其他基本權(quán)利以及社會(huì)功能的平衡問題。美國雖然將個(gè)人信息保護(hù)視為隱私權(quán)的一部分，并通過“信息隱私”（Information Privacy）概念將其納入，但也是在原本就多樣化的隱私權(quán)概念基礎(chǔ)上進(jìn)行謹(jǐn)慎而有區(qū)別的保護(hù)?！靶畔㈦[私”與以美國憲法第四修正案和普通法實(shí)踐為依據(jù)而獲得保護(hù)的隱私有所區(qū)別，后者諸如有形隱私（比如身體隱私、空間隱私）、財(cái)產(chǎn)隱私以及決定隱私?！靶畔㈦[私”作為一個(gè)更加微妙的動(dòng)態(tài)領(lǐng)域，必須對其進(jìn)行差異化對待，進(jìn)而使其可以歸入廣義“信息法”（Information Law）的范疇，成為一個(gè)更加需要平衡“私人與公共”（the Private and the Public）關(guān)系的復(fù)雜領(lǐng)域。①

《個(gè)人信息保護(hù)法》作為保護(hù)法面世，源于個(gè)人信息處理時(shí)呈現(xiàn)的個(gè)人權(quán)益的微妙性和復(fù)雜性，正是這種權(quán)益的微妙性和復(fù)雜性導(dǎo)致了保護(hù)的微妙性和復(fù)雜性，體現(xiàn)為一種獨(dú)特的系統(tǒng)保護(hù)機(jī)制，這不僅區(qū)別于部門法的單一機(jī)制，也區(qū)別于不同部門法機(jī)制的簡單疊加?！秱€(gè)人信息保護(hù)法》作為保護(hù)法，以維護(hù)個(gè)人利益為立足點(diǎn)，這一點(diǎn)與民法類似，因?yàn)槊穹ň褪且员Ｗo(hù)個(gè)人利益為目的的法律。但是從保護(hù)法角度立法，重點(diǎn)不僅僅在于保護(hù)對象的微妙和復(fù)雜，也在于需要確立與這種保護(hù)要求相適應(yīng)的規(guī)范手段和體系。這種復(fù)雜的規(guī)范機(jī)制和體系導(dǎo)致《個(gè)人信息保護(hù)法》與《民法典》之間存在巨大差異，從而使其不能作為民法典的下位單行法，而應(yīng)具備領(lǐng)域基本法的獨(dú)立價(jià)值。2020年出臺(tái)的《民法典》為了體現(xiàn)時(shí)代性，彰顯對新型領(lǐng)域的及時(shí)關(guān)注，努力將個(gè)人信息保護(hù)納入進(jìn)來，就個(gè)人信息保護(hù)設(shè)立相關(guān)私法制度。但是，立法者發(fā)現(xiàn)難以使用“個(gè)人信息權(quán)”的概念來統(tǒng)括民法上的個(gè)人信息保護(hù)。因而，在個(gè)人信息保護(hù)規(guī)范語境中采用了“自然人關(guān)于個(gè)人信息的權(quán)利+個(gè)人信息處理者的義務(wù)+處理行為規(guī)范”的復(fù)雜架構(gòu)。即使這樣，我們也不難發(fā)現(xiàn)，因受到民法規(guī)范體系和機(jī)制的限制，將個(gè)人信息納入民法典進(jìn)行保護(hù)并不能充分滿足個(gè)人信息保護(hù)需要。如《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉的說明》所言，《民法典》出臺(tái)之后，我國社會(huì)各方面仍然“廣泛呼吁出臺(tái)專門的個(gè)人信息保護(hù)法”，以便“增強(qiáng)法律規(guī)范的系統(tǒng)性、針對性和可操作性，在個(gè)人信息保護(hù)方面形成更加完備的制度、提供更加有力的法律保障”?！秱€(gè)人信息保護(hù)法》的制定正是為了回應(yīng)對更加完備、更加有效的個(gè)人信息保護(hù)規(guī)范體系的需求。

（二）《個(gè)人信息保護(hù)法》作為保護(hù)法的體系展開

由于受到傳統(tǒng)民法觀念或者簡單自由主義觀念的影響，早期信息隱私或個(gè)人信息保護(hù)提倡依靠個(gè)人信息主體自我管理的模式，希望通過明確設(shè)定私法意義的權(quán)利、義務(wù)和行為規(guī)范，引導(dǎo)權(quán)利、義務(wù)或行為主體自主自覺，進(jìn)而達(dá)成個(gè)人信息保護(hù)的善治。這里的關(guān)鍵是鼓勵(lì)個(gè)人信息權(quán)利主體積極行權(quán)和主張保護(hù)。首先，明確設(shè)定的相關(guān)權(quán)利，如知情權(quán)、同意權(quán)、查閱權(quán)、異議更正權(quán)、刪除權(quán)、可攜帶權(quán)等，為個(gè)人提供可自主控制自己信息的個(gè)人信息權(quán)利體系。其次，針對個(gè)人信息處理者設(shè)定相應(yīng)的私法保護(hù)義務(wù)和行為規(guī)范，希望借此形成一種約束。一方面鼓勵(lì)義務(wù)人和行為人自覺，另一方面通過民事責(zé)任和行為否定效果來保障這種自覺。②但事實(shí)證明這種模式是失靈的，相關(guān)權(quán)利義務(wù)乃至行為規(guī)則經(jīng)常形同虛設(shè)，因?yàn)樽鳛樽灾鞴芾頇C(jī)制的關(guān)鍵主體即個(gè)人信息權(quán)利主體，除了面臨認(rèn)知困境（隱私政策的信息不對稱），也面臨著結(jié)構(gòu)問題（規(guī)模問題、結(jié)合問題、評估損害問題等）①，往往處于一種無知無力的困局，因此很難達(dá)到法律設(shè)計(jì)的預(yù)期。

《個(gè)人信息保護(hù)法》針對這一失靈加以重點(diǎn)改進(jìn)，希望提供一個(gè)更加充分、更加有效的保護(hù)體系，其最終確立起來的保護(hù)規(guī)范體系體現(xiàn)了新型法律體系以保護(hù)為目的的鮮明特點(diǎn)和趨勢。即自主管理和外部管理相協(xié)同、一般責(zé)任和特殊責(zé)任相配合的多元促進(jìn)和保障的綜合保護(hù)體系，體現(xiàn)為“自然人關(guān)于個(gè)人信息的權(quán)利+個(gè)人信息處理者的義務(wù)+處理行為規(guī)范+管理保護(hù)規(guī)范+特殊法律責(zé)任”的綜合治理保護(hù)邏輯結(jié)構(gòu)。一方面，以問題為導(dǎo)向，結(jié)合對個(gè)人信息保護(hù)自主管理的實(shí)踐悖論的認(rèn)知，對相關(guān)基本私法制度及其自主管理體系進(jìn)行了極大完善，在私法結(jié)構(gòu)上更加復(fù)雜化，且更加突出以建構(gòu)行為規(guī)范為重心。如此，個(gè)人信息保護(hù)自主管理的“權(quán)利—義務(wù)—具體行為規(guī)范”的邏輯體系才更加完整。另一方面，以保護(hù)為目的引入個(gè)人信息保護(hù)的外部管理機(jī)制和特殊法律責(zé)任機(jī)制，通過針對性的管理和嚴(yán)厲的特殊責(zé)任重點(diǎn)防治這一領(lǐng)域個(gè)人信息處理者追求贏者通吃的現(xiàn)象。

（三）完善自主管理體系與作為重點(diǎn)的個(gè)人信息處理行為規(guī)范機(jī)制

《個(gè)人信息保護(hù)法》注重完善個(gè)人信息自主管理體系，首先體現(xiàn)為對相關(guān)權(quán)利、義務(wù)、具體行為規(guī)范做出更加合理的配置，其次體現(xiàn)為對自主管理的失靈做出必要修補(bǔ)。比如，對一些權(quán)利義務(wù)的條件或行使規(guī)則作出了更加細(xì)化的規(guī)定，對一些易于濫用或規(guī)避的方面明確規(guī)定了不得濫用或規(guī)避的情形，等等。相比《民法典》，《個(gè)人信息保護(hù)法》對個(gè)人信息的相關(guān)權(quán)利、義務(wù)和行為規(guī)范的規(guī)定所做的修補(bǔ)是體系化、細(xì)節(jié)化的。

《個(gè)人信息保護(hù)法》修補(bǔ)和完善的重點(diǎn)之一，就是設(shè)置了一套嚴(yán)密的個(gè)人信息處理行為規(guī)范。對于個(gè)人信息處理，盡管個(gè)人信息權(quán)利義務(wù)設(shè)定本身很重要，但在規(guī)范路徑的精準(zhǔn)施策方面卻存在不足，“規(guī)范個(gè)人信息處理活動(dòng)”最重要的是對處理行為的規(guī)制，通過具體行為規(guī)制，可以更好解決個(gè)人信息保護(hù)中各種矛盾關(guān)系。目前各國個(gè)人信息保護(hù)的規(guī)范體系共同特點(diǎn)都是在“個(gè)人信息保護(hù)”的框架下突出強(qiáng)調(diào)對個(gè)人信息處理者的行為進(jìn)行規(guī)范的重要性，而不是依賴相關(guān)個(gè)人信息的權(quán)利義務(wù)設(shè)定。我國《個(gè)人信息保護(hù)法》也不例外。按照第1條揭示，《個(gè)人信息保護(hù)法》保護(hù)功能的實(shí)現(xiàn)途徑是“規(guī)范個(gè)人信息處理活動(dòng)”。顯然，重點(diǎn)落在對處理活動(dòng)的規(guī)范。當(dāng)然，這種規(guī)范設(shè)計(jì)有兩個(gè)額外要求：其一，應(yīng)該是積極的，即同時(shí)“促進(jìn)個(gè)人信息合理利用”，這意味著規(guī)范個(gè)人信息活動(dòng)，不能因噎廢食，而應(yīng)同時(shí)符合數(shù)字化社會(huì)的發(fā)展需要，保持必要的數(shù)據(jù)流動(dòng)、共享，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展;其二，這種規(guī)范設(shè)計(jì)最終需要服務(wù)于保護(hù)“個(gè)人信息權(quán)益”這一根本目的?？傮w而言，《個(gè)人信息保護(hù)法》通過“行為原則+行為規(guī)則”的模式，融貫相關(guān)權(quán)利義務(wù)規(guī)定，在“一般個(gè)人信息”“敏感個(gè)人信息”“國家機(jī)關(guān)作為個(gè)人信息處理者”三項(xiàng)區(qū)分的基礎(chǔ)上，建立了一個(gè)極其繁復(fù)的處理行為規(guī)范體系。

《個(gè)人信息保護(hù)法》保護(hù)功能的發(fā)揮，重點(diǎn)應(yīng)落在對行為規(guī)范體系的執(zhí)行和監(jiān)督。行為規(guī)范體系既是個(gè)人信息處理者的具體行為指引，也是當(dāng)事人和管理者據(jù)以判斷處理活動(dòng)是否合法合規(guī)的具體標(biāo)準(zhǔn)。個(gè)人信息處理行為的合法合規(guī)，首先體現(xiàn)為是對具體行為規(guī)范的遵循。傳統(tǒng)人格權(quán)，比如生命權(quán)、身體權(quán)、健康權(quán)等，雖然也隨著醫(yī)療等社會(huì)體系的發(fā)展，在保護(hù)上已經(jīng)比較復(fù)雜，但是尚無重點(diǎn)設(shè)計(jì)具體行為規(guī)范的必要，通過確定基本人格權(quán)范疇以及他人不得干涉的絕對義務(wù)，通常就可以發(fā)揮規(guī)范保護(hù)的效果。此后，隨著名譽(yù)權(quán)、姓名權(quán)、肖像權(quán)、隱私權(quán)（美國把姓名和肖像也納入隱私權(quán)保護(hù)范疇，視為可公開權(quán)化中的信息隱私）等逐漸發(fā)展，情況就變得有些不同，這些權(quán)利本身的邊界存在模糊性，難以通過確定權(quán)利和規(guī)定他人不得干涉的絕對義務(wù)達(dá)到規(guī)范保護(hù)效果。因此，有必要引入一些行為規(guī)范，使原有規(guī)范具有更加精確的指引性，但通常體現(xiàn)為一些禁止行為規(guī)范，此外也可以規(guī)定減免責(zé)任的行為情形，這在一定程度上是平衡保護(hù)思想的體現(xiàn)。但是，到個(gè)人信息保護(hù)出現(xiàn)和發(fā)展起來，情況就不一樣了，由于個(gè)人信息保護(hù)體現(xiàn)的相關(guān)權(quán)利和義務(wù)具有明顯的模糊性和多樣分叉的特點(diǎn)，依靠傳統(tǒng)的權(quán)利義務(wù)規(guī)范模式顯然難以起到精確規(guī)范和指引的效果，因此，有必要突出對個(gè)人信息處理行為的規(guī)范，以實(shí)現(xiàn)法律保護(hù)的明確和具體，從而體現(xiàn)出由權(quán)利義務(wù)規(guī)范向行為規(guī)范遷移的顯著變化。

（四）《個(gè)人信息保護(hù)法》外部治理保護(hù)體系及其積極管理和特殊法律責(zé)任機(jī)制

《個(gè)人信息保護(hù)法》反思了在復(fù)雜的數(shù)字化背景下，個(gè)人信息保護(hù)僅僅依靠自我管理模式的重要不足?，F(xiàn)實(shí)中，個(gè)人信息處理者具有極強(qiáng)的逐利需求，同時(shí)又處于數(shù)字權(quán)力和信息不對稱的絕對優(yōu)勢地位，容易因巨大利益誘惑而背離保護(hù)的要求。所以，除了對相關(guān)自主管理規(guī)則做完善之外，還應(yīng)從切實(shí)保障個(gè)人信息保護(hù)有效性的角度，建立更加合理、科學(xué)和合乎實(shí)際的治理保護(hù)體系。其中，重點(diǎn)引入外部治理保護(hù)體系，通過外部加壓，打造個(gè)人信息保護(hù)的堅(jiān)固防護(hù)網(wǎng)，主要機(jī)制包括確立積極管理制度和特殊法律責(zé)任。其中“積極管理”制度主要體現(xiàn)在第六章“履行個(gè)人信息保護(hù)職責(zé)的部門”，“特殊法律責(zé)任”制度則體現(xiàn)在第七章“法律責(zé)任”。

首先，引入強(qiáng)有力的積極管理制度。對個(gè)人信息保護(hù)是否應(yīng)當(dāng)以及如何引入外部的積極管理制度，理論上存在對家長式規(guī)范可行性的疑慮。我們注意到，即使是奉行自由經(jīng)濟(jì)的歐盟，也在這方面果斷采取贊成的立場，GDPR確立有強(qiáng)度的積極管理制度，建立專門監(jiān)管機(jī)構(gòu)，賦予強(qiáng)大的管理權(quán)、執(zhí)法權(quán)和問責(zé)權(quán)，形成了一種通過積極管理而達(dá)成個(gè)人信息保護(hù)的治理示范。我國立法過程中對于是否應(yīng)當(dāng)引入這一模式也爭議不大，有爭議的是強(qiáng)度問題，諸如應(yīng)該在自主管理和外部管理之間保持怎樣的平衡？如何更好配合？授予誰來管理？賦予多大管理職權(quán)以及哪些職權(quán)？采取何種措施保障管理職權(quán)落在實(shí)處？這些方面的決斷取決于很多條件和因素，既有數(shù)字化特定發(fā)展階段個(gè)人信息治理的規(guī)律性因素，也有國情習(xí)慣因素?！秱€(gè)人信息保護(hù)法》第六章“履行個(gè)人信息保護(hù)職責(zé)的部門”，立足中國管理體制及其發(fā)展的實(shí)際特點(diǎn)，吸收歐盟和有關(guān)國家專門化監(jiān)管的經(jīng)驗(yàn)，在合理化的基礎(chǔ)上構(gòu)建了一套專門化的明顯體現(xiàn)外部強(qiáng)力的管理保護(hù)制度，其呈現(xiàn)出以下三個(gè)方面的內(nèi)容特點(diǎn)：

一是確立統(tǒng)籌協(xié)調(diào)與分工負(fù)責(zé)的多元管理體系。我國并未建立新的個(gè)人信息保護(hù)專門管理機(jī)構(gòu)，而是采取對現(xiàn)有管理主體賦權(quán)的管理方式。《個(gè)人信息保護(hù)法》第60條規(guī)定了管理主體及其地位，其中第1款規(guī)定中央層面由國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)，國務(wù)院其他有關(guān)部門依法分工負(fù)責(zé)，第2款規(guī)定地方政府有關(guān)部門的職責(zé)由國家有關(guān)規(guī)定確定。

二是確立了以防治為重點(diǎn)的積極管理模式。主要體現(xiàn)為賦予保護(hù)部門包括防治職權(quán)在內(nèi)的強(qiáng)管理職責(zé)，從預(yù)防的角度布局管理保護(hù)。《個(gè)人信息保護(hù)法》第61條規(guī)定了管理主體的一般職責(zé)，適用于所有管理主體，共五項(xiàng)，包括開展宣傳教育、指導(dǎo)監(jiān)督，接受處理投訴舉報(bào)，調(diào)查處理違法活動(dòng)，法律、行政法規(guī)規(guī)定的其他職責(zé)等。《個(gè)人信息保護(hù)法（草案）》（三次審議稿）才開始增加其中第三項(xiàng)重要職責(zé)，即“組織對應(yīng)用程序等個(gè)人信息保護(hù)情況進(jìn)行測評，并公布測評結(jié)果”，這是為了回應(yīng)現(xiàn)實(shí)生活中應(yīng)用程序?yàn)E用權(quán)限侵害個(gè)人信息的亂象而提出的一項(xiàng)職責(zé)。近年來，包括國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)督管理總局等在內(nèi)的有關(guān)部門，針對應(yīng)用程序違法違規(guī)大量收集個(gè)人信息的情況，多次組織對APP侵害用戶權(quán)益行為的專項(xiàng)治理行動(dòng)，特別是對網(wǎng)絡(luò)平臺(tái)上的各種應(yīng)用程序進(jìn)行測試檢查，發(fā)揮了較好的預(yù)防和治理效果，對于保護(hù)個(gè)人信息起到明顯效果。①? 《個(gè)人信息保護(hù)法》出臺(tái)前，治理APP運(yùn)營者違法違規(guī)收集使用個(gè)人信息，重點(diǎn)依據(jù)《網(wǎng)絡(luò)安全法》《關(guān)于印發(fā)〈App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法〉的通知》（國信辦秘字[2019]191號）、《關(guān)于印發(fā)〈常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定〉的通知》（國信辦秘字[2021]14號）、《App違法違規(guī)收集使用個(gè)人信息自評估指南》（App專項(xiàng)治理工作組2019年3月編制）等相關(guān)法律和規(guī)定，但是由于管理授權(quán)不夠清晰，其適用存在合法性疑慮?！秱€(gè)人信息保護(hù)法》明確了管理部門可以依據(jù)第61條對APP實(shí)施監(jiān)管，在此條規(guī)定下，管理部門實(shí)施了監(jiān)管APP的行為不用擔(dān)心合法性問題，反之如果不實(shí)施監(jiān)管倒要擔(dān)心是否構(gòu)成不作為。

《個(gè)人信息保護(hù)法》第62條規(guī)定了專屬于國家網(wǎng)信部門的五項(xiàng)職責(zé)，為其開展相關(guān)工作提供了法律依據(jù)。這些工作兼具統(tǒng)籌協(xié)調(diào)的功能，但同時(shí)更是其具體職責(zé)，包括制定個(gè)人信息保護(hù)的具體規(guī)則、標(biāo)準(zhǔn)，制定針對特殊方面的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)，推進(jìn)網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)建設(shè)，推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè)等。《個(gè)人信息保護(hù)法（草案）》（三次審議稿）增加了第5項(xiàng)“完善個(gè)人信息保護(hù)的投訴舉報(bào)工作機(jī)制”②，這項(xiàng)職權(quán)對于網(wǎng)信部門及時(shí)發(fā)現(xiàn)問題提供了重要的信息途徑，屬于信息監(jiān)管的前提機(jī)制。當(dāng)然也要注意投訴舉報(bào)的濫用，尤其要避免基于惡意競爭和報(bào)復(fù)的投訴舉報(bào)問題。

三是賦予一定范圍的調(diào)查權(quán)和處置權(quán)，相當(dāng)于準(zhǔn)司法權(quán)或執(zhí)法權(quán)。法律在一些專業(yè)性很強(qiáng)、存在重要利益需要保護(hù)的領(lǐng)域，為了增強(qiáng)管理或監(jiān)管的效率和權(quán)威，最大程度保證保護(hù)的可能性和及時(shí)性，往往會(huì)給管理部門配置必要調(diào)查和處置權(quán)，使其在特定范圍內(nèi)可以采取一些類似司法機(jī)關(guān)才可以采取的措施，《個(gè)人信息保護(hù)法》也不例外。第63條規(guī)定，履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)時(shí)可采取的措施有四項(xiàng)：詢問和調(diào)查情況;查閱、復(fù)制資料;實(shí)施現(xiàn)場檢查;檢查、查封或扣押設(shè)備物品。而且當(dāng)事人應(yīng)當(dāng)協(xié)助，不得拒絕阻撓。第64條還規(guī)定了約談和合規(guī)審計(jì)以及移送犯罪嫌疑人③等特殊處置的權(quán)力，但限于履行職責(zé)中發(fā)現(xiàn)存在較大風(fēng)險(xiǎn)或發(fā)生安全事故的情形。

其次，確立嚴(yán)厲的特殊法律責(zé)任制度?！秱€(gè)人信息保護(hù)法》第七章“法律責(zé)任”從保護(hù)治理的角度，針對個(gè)人信息保護(hù)規(guī)定了嚴(yán)格的特殊法律責(zé)任。其中有三個(gè)值得注意的地方：一是出現(xiàn)許多新的行政處罰形式;二是高昂的罰款數(shù)額前所未有，這也是國際趨勢，但相比之下，仍低于歐美的數(shù)額規(guī)定;三是對違法進(jìn)行信息處理的有關(guān)負(fù)責(zé)人員也施加了責(zé)任。

其中，《個(gè)人信息保護(hù)法》第66條最為重要，規(guī)定了違反本法的特殊行政責(zé)任。即只要違反本法規(guī)定處理個(gè)人信息或者處理個(gè)人信息未按照規(guī)定采取必要安全措施的，就可能產(chǎn)生特殊行政責(zé)任。這是一種新型治理式的行政責(zé)任，體現(xiàn)出與傳統(tǒng)行政責(zé)任不同的特點(diǎn)，突破了傳統(tǒng)責(zé)任原理，具有嚴(yán)厲性或加重懲罰性。第66條區(qū)分一般情況和嚴(yán)重情況，一般情況，由履行保護(hù)責(zé)任部門責(zé)令改正，給予警告，沒收違法所得。《個(gè)人信息保護(hù)法（草案）》（三次審議稿）針對性地增加了“對違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫停或者終止提供服務(wù)”;拒不改正的，并處一百萬元以下罰款;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。嚴(yán)重情況是指情節(jié)嚴(yán)重的情形，由省級以上履行保護(hù)職責(zé)的部門責(zé)令改正、沒收違法所得，并處五千萬元以下或上一年度營業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。①

《個(gè)人信息保護(hù)法》第67條建立違法信用檔案記錄制度。第68條規(guī)定國家機(jī)關(guān)不履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的特殊行政責(zé)任，包括責(zé)令改正和予以行政處分。此外，還規(guī)定了與刑法相關(guān)責(zé)任的關(guān)系。第69條規(guī)定個(gè)人信息處理者對個(gè)人信息造成損害的，以過錯(cuò)推定作為承擔(dān)侵權(quán)責(zé)任的基礎(chǔ)，并明確損害賠償責(zé)任的標(biāo)準(zhǔn)，即按照個(gè)人所受損失或個(gè)人信息處理者獲得利益確定，難以確定的則根據(jù)實(shí)際情況確定賠償數(shù)額。第70條規(guī)定公益訴訟。第71條規(guī)定與治安管理責(zé)任和刑事責(zé)任對接。

五、結(jié)論：把握《個(gè)人信息保護(hù)法》體系理解和適用的雙重基礎(chǔ)

《個(gè)人信息保護(hù)法》作為領(lǐng)域新法體現(xiàn)了立法上的一種“創(chuàng)新”，這種“創(chuàng)新”的必要性在于勇敢地迎接個(gè)人信息保護(hù)的現(xiàn)實(shí)挑戰(zhàn)，滿足了當(dāng)下“數(shù)字人格”安身立命的需求。個(gè)人信息保護(hù)問題是新時(shí)代的產(chǎn)物，個(gè)人信息本身并非當(dāng)然是個(gè)人利益，只有當(dāng)網(wǎng)絡(luò)信息社會(huì)發(fā)展到一定階段之后，當(dāng)個(gè)人信息收集、利用和各種處理活動(dòng)的發(fā)展和蔓延導(dǎo)致個(gè)人卷入其中，個(gè)人信息逐漸成為個(gè)人利益的牽引抑或載體，此時(shí)才產(chǎn)生了與個(gè)人信息處理相關(guān)的個(gè)人利益保護(hù)要求。然而這種保護(hù)要求，與以往相比，呈現(xiàn)了不同的問題，與現(xiàn)今法律體系既有的保護(hù)要求相比，可謂差異顯著。個(gè)人信息保護(hù)，體現(xiàn)了個(gè)人利益保護(hù)的微妙性和復(fù)雜性，因而保護(hù)制度的設(shè)計(jì)也需要作出與之相適應(yīng)的創(chuàng)新。這種創(chuàng)新極為不易，對此需要努力認(rèn)識、發(fā)現(xiàn)、把握和形塑，才可能收入法律行囊。

新時(shí)代的新法里藏著獨(dú)特的密碼，《個(gè)人信息保護(hù)法》當(dāng)然不會(huì)例外。初始打量，我們可能感覺其體系似乎有點(diǎn)凌亂，與刑法、民法、行政法等任何單一部門法的體系都極為不同。但是只要用心體會(huì)，便能發(fā)現(xiàn)這些貌似凌亂的規(guī)范部落之間其實(shí)存在某種緊密聯(lián)系。本文所做的正是這種體系解碼的努力。通過上述分析，我們注意到《個(gè)人信息保護(hù)法》確立在雙重基礎(chǔ)之上。一個(gè)是其作為基本法的定位，它作為領(lǐng)域基本法及與民法、刑法等基本法并立的法律，對法律體系做出了重要的擴(kuò)展。在新時(shí)代的法律系統(tǒng)中，居于新發(fā)展的體系位置，與傳統(tǒng)法律體系形成互為補(bǔ)充、守護(hù)相望的關(guān)系。另一個(gè)則是它的功能預(yù)設(shè)，它立足于個(gè)人信息保護(hù)利益的復(fù)雜性，同時(shí)基于超越自我管理局限的需要，以個(gè)人信息保護(hù)為基本功能設(shè)定，追求一種更加有效而全面的保護(hù)策略，構(gòu)建了一套自主管理和外部治理互為配合的綜合保護(hù)規(guī)范體系。這兩大基礎(chǔ)構(gòu)成了《個(gè)人信息保護(hù)法》全部體系和內(nèi)容建構(gòu)的雙核，成為理解《個(gè)人信息保護(hù)法》的重要前提?？傊?，只有認(rèn)識了雙重基礎(chǔ)，才能夠真正領(lǐng)略《個(gè)人信息保護(hù)法》作為領(lǐng)域新法的基本價(jià)值和體系特點(diǎn)，其未來實(shí)施也必定會(huì)在這兩個(gè)方面的融合中獲得圓滿。

The Basic Law Position and Protection Function of Personal

Information Protection Law

long wei-qiu

（Law School， Beihang University， Beijing 100191， China）

Abstract：The Personal Information Protection Law has not only laid a new legal foundation for the protection of personal information in China， but also become a basic legislation under the background of digitization. To truly understand and implement this new law， we must accurately grasp the logical basis and connotation of its system. From an empirical point of view， we can interpret the basic ideas and main demands of this new law system according to the concept of dual foundation. One is the basic perspective designed for the basic law in the field of coexistence with the criminal and civil basic law. Starting from this， we can correctly understand its normative significance as a basic law in an emerging field and its application relationship with relevant basic laws， especially the Civil code. The other is the basic perspective preset to realize the protection function. The problem of personal information protection emerging in the digital context has unprecedented complexity， which can not be simply responded to through the path of existing departmental laws. It is necessary to establish a more complex multi governance protection system beyond independent management， especially to improve and enhance the system for the failure of independent management， including strengthening and perfecting specific behavior governance norms and introducing them to the necessary scope， increasing new mechanisms for external pressure governance， such as strong active management and strict special legal responsibilities. Through the above dual perspectives， we can have a more comprehensive understanding of the significance and role of the new law and ensure to grasp its core and essence in interpretation and implementation.

Key Words： personal information protection law; dual foundation; basic law; protection function; independent management

本文責(zé)任編輯：黃匯

本文青年編輯：孫瑩

收稿日期：2021-09-07

基金項(xiàng)目：國家社會(huì)科學(xué)基金重大項(xiàng)目“信息法基礎(chǔ)”（16ZDA075）

作者簡介：龍衛(wèi)球（1968），男，江西吉水人，法學(xué)博士，北京航空航天大學(xué)法學(xué)院教授，教育部長江學(xué)者特聘教授。

①? ? 全國人大常委會(huì)法制工作委員會(huì)：《關(guān)于〈中華人民共和國個(gè)人信息保護(hù)法（草案）〉的說明——2020年10月13日在第十三屆全國人民代表大會(huì)常務(wù)委員會(huì)第二十二次會(huì)議上》，載中國人大網(wǎng)，http：//www.npc.gov.cn/npc/c30834/202108/fbc9ba044c2449c9bc6b6317b94694be.shtml。

②? ? 參見[美]勞倫斯·萊斯格：《代碼2.0：網(wǎng)絡(luò)空間中的法律》，李旭、沈偉偉譯，清華大學(xué)出版社2009年版，第十至十二章以及第十四至十五章。萊斯格較早闡述了網(wǎng)絡(luò)空間發(fā)展導(dǎo)致必須納入特殊規(guī)制的隱私（個(gè)人信息）、言論自由、知識產(chǎn)權(quán)、網(wǎng)絡(luò)主權(quán)競爭等重點(diǎn)問題。但其當(dāng)時(shí)并未觸及電子商務(wù)，電子商務(wù)是進(jìn)入20世紀(jì)若干年之后才迅速發(fā)展起來的，并因其具有特殊性而成為新的規(guī)制重點(diǎn)。

③? ? 參見龍衛(wèi)球：《我國網(wǎng)絡(luò)安全管制的基礎(chǔ)、架構(gòu)與限定問題——兼論我國〈網(wǎng)絡(luò)安全法〉的正當(dāng)化基礎(chǔ)和適用界限》，載《暨南大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2017年第5期，第8-9頁。

④? ? 參見趙國棟、易歡歡、糜萬軍、鄂維南：《大數(shù)據(jù)時(shí)代的歷史機(jī)遇：產(chǎn)業(yè)變革與數(shù)據(jù)科學(xué)》，清華大學(xué)出版社2013年版，第6頁。本書在我國較早指出大數(shù)據(jù)時(shí)代即將到來，并提出了數(shù)據(jù)資產(chǎn)、數(shù)據(jù)要素等概念。

⑤? ? 歐盟最早圍繞開放數(shù)據(jù)制定大數(shù)據(jù)相關(guān)戰(zhàn)略，2010年11月，歐盟通信委員會(huì)向歐洲議會(huì)提交了“開放數(shù)據(jù)：創(chuàng)新、增長和透明治理的引擎”研究報(bào)告，2011年11月“歐盟開放數(shù)據(jù)戰(zhàn)略” 被歐盟數(shù)字議程采納，2012年9月歐盟委員會(huì)公布“ 釋放歐洲云計(jì)算服務(wù)潛力”戰(zhàn)略，此后相關(guān)戰(zhàn)略不斷推進(jìn)，到2020 年2 月19 日，歐盟委員會(huì)又以數(shù)字經(jīng)濟(jì)發(fā)展為主要視角，公布了《歐盟數(shù)據(jù)戰(zhàn)略》，提出數(shù)據(jù)核心政策措施和未來5 年的投資計(jì)劃。美國2012年3月公布了《大數(shù)據(jù)研究和發(fā)展計(jì)劃》，2016年5月美國白宮發(fā)布《聯(lián)邦大數(shù)據(jù)研發(fā)戰(zhàn)略計(jì)劃》，更新美國下一步的大數(shù)據(jù)發(fā)展戰(zhàn)略，2019年12月23日，美國白宮再次發(fā)布《聯(lián)邦數(shù)據(jù)戰(zhàn)略與2020 年行動(dòng)計(jì)劃》。

⑥? ? ?我國在2015年十八屆五中全會(huì)就提出“國家大數(shù)據(jù)戰(zhàn)略”，國務(wù)院同年9月印發(fā)《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，2016年又印發(fā)《政務(wù)信息資源共享管理暫行辦法》，工業(yè)和信息化部2016年12月印發(fā)《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃（2016-2020年）》，旨在落實(shí)行動(dòng)綱要，對大數(shù)據(jù)產(chǎn)業(yè)發(fā)展戰(zhàn)略作出全面部署。2020年4月9日，中共中央、國務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》，明確將數(shù)據(jù)列舉為五大要素之一，提出加快培育數(shù)據(jù)要素市場。

①? ? Daniel J. Solove & Paul M. Schwartz， Information Privacy Law，? Wolters Kluwer， 2018， p.2-3.

②? ? 歐盟在1995年曾經(jīng)出臺(tái)《歐盟數(shù)據(jù)保護(hù)指令》（EU Data Protection Directive），2016年4月27日又以第2016/679號法規(guī)的名義正式發(fā)布《歐盟一般數(shù)據(jù)保護(hù)條例》， 是全新的可直接適用于歐盟所有成員國的法律，該法自2018年5月25日開始適用。關(guān)于歐盟相關(guān)立法的介紹，可參見高富平主編：《個(gè)人數(shù)據(jù)保護(hù)和利用國際規(guī)則：源流與趨勢》，法律出版社2016年版;中國信息通信研究院互聯(lián)網(wǎng)法律研究中心等編：《歐盟數(shù)據(jù)保護(hù)法規(guī)匯編》，中國法制出版社2019年版。

③? ? 美國聯(lián)邦層面在早期就根據(jù)自己的立法權(quán)限，基于對隱私概念的擴(kuò)展，逐步制定了一些具體的可適用于某些特定方面的個(gè)人信息保護(hù)單行法。美國聯(lián)邦個(gè)人信息保護(hù)立法情況，可參見阿麗塔·L.艾倫、理查德·C. 托克音頓：《美國隱私法：學(xué)說、判例與立法》，馮建妹、石宏、郝倩、劉相文、徐開辰譯，中國民主法制出版社2019年版，第225-248頁。

④? ? 近來，美國在州法層面加快了個(gè)人信息保護(hù)立法，而不是像早期那樣依賴普通法的判例法發(fā)展作為其法律演化基礎(chǔ)。但不同州發(fā)展不一，保護(hù)范圍和程度也有明顯差異。數(shù)字化程度較高的加利福尼亞州在2018年6月28日率先通過了第一部系統(tǒng)的個(gè)人信息保護(hù)法，即著名的《加利福尼亞州消費(fèi)者隱私保護(hù)法》（2020年1月開始實(shí)施）;弗吉尼亞州在2021年3月2日也通過了該州的《消費(fèi)者數(shù)據(jù)保護(hù)法》，成為美國第二個(gè)通過立法機(jī)構(gòu)系統(tǒng)推動(dòng)個(gè)人信息保護(hù)立法的州。

⑤? ? 《全國人民代表大會(huì)憲法和法律委員會(huì)關(guān)于〈中華人民共和國個(gè)人信息保護(hù)法（草案）〉審議結(jié)果的報(bào)告》，載中國人大網(wǎng)，http：//www.npc.gov.cn/npc/c30834/202108/a528d76d41c44f33980eaffe0e329ffe.shtml。

①? ?參見周漢華：《中華人民共和國個(gè)人信息保護(hù)法（專家建議稿）及立法研究報(bào)告》，法律出版社2006年版，第39-48頁;王利明：《論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心》，載《現(xiàn)代法學(xué)》2013年第4期，第62、64頁;張新寶：《從隱私到個(gè)人信息：利益再衡量的理論與制度安排》，載《中國法學(xué)》2015年第3期，第38頁;丁曉東：《個(gè)人信息保護(hù)：原理與實(shí)踐》，法律出版社2021年版，第1頁。

②? ?參見薛軍：《數(shù)字經(jīng)濟(jì)立法當(dāng)審慎執(zhí)法應(yīng)包容》，載法制網(wǎng)，http：//www.legaldaily.com.cn/commentary/content/2019-03/20/content_7805164.htm。

①? ?劉品新：《網(wǎng)絡(luò)法是“馬法”嗎？》，載《檢察日報(bào)》2007年9月5日，第006版;戴昕：《超越“馬法”？——網(wǎng)絡(luò)法研究的理論推進(jìn)》，載《地方立法研究》2019年第4期，第2頁;余盛峰：《從馬的法律到黑箱之法》，載《讀書》2019年第3期，第18頁;于志剛、唐磊：《網(wǎng)絡(luò)法作為獨(dú)立部門法的正當(dāng)性研究——從法理和實(shí)證的統(tǒng)合視角再議“馬法之爭”》，載《江漢論壇》2020年第2期，第130-131頁。

②? ? Frank H. Easterbrook， Cyberspace and the Law of the Horse，1996 University Chicago Legal Forum 207， https：//chicagounbound.uchicago.edu/uclf/Vol1996/iss1/7; David R. Johnson & David G. Post， Law and Borders：the Rise of Law in Cyberspace， Stanford Law Review，Vol.48，1996， p.1367.

③? ?美國學(xué)者大衛(wèi)·約翰遜和大衛(wèi)·波斯特認(rèn)為，網(wǎng)絡(luò)空間挑戰(zhàn)了法律對領(lǐng)土邊界的傳統(tǒng)依賴，它是一個(gè)由屏幕和密碼（而非物理標(biāo)記）限制的“空間”，因此網(wǎng)絡(luò)空間需要一套規(guī)則體系，這套規(guī)則體系完全不同于管理地理上界定地理區(qū)域的法律，我們必須“認(rèn)真對待網(wǎng)絡(luò)空間”，將其作為一個(gè)獨(dú)特的地方，這樣才可以促成明確的網(wǎng)上交易規(guī)則和有效的法律制度。參見David R. Johnson & David G. Post， Law and Borders：the Rise of Law in Cyberspace， Stanford Law Review， Vol.48， 1996， p.1367。同時(shí)期具有相近觀點(diǎn)的，還可參見 Lawrence Lessig， The Zone of Cyberspace， Stanford Law Review， Vol.48，1996， p.1403; Lawrence Lessig， The Law of the Horse：What Cyber law Might Teac，Harvard Law Review，1999，p.113。

④? ? 《歐盟基本權(quán)利憲章》第8條規(guī)定：“個(gè)人數(shù)據(jù)保護(hù)：1.人人享有與其相關(guān)的個(gè)人數(shù)據(jù)受到保護(hù)的權(quán)利;2.此類數(shù)據(jù)必須在特定目的下，并基于當(dāng)事人同意或法律規(guī)定的其他合法依據(jù)公正處理;3.這些規(guī)則的遵守應(yīng)由獨(dú)立機(jī)構(gòu)予以管制?！?/p>

⑤? ? 參見阿麗塔·L. 艾倫、理查德·C. 托克音頓：《美國隱私法：學(xué)說、判例與立法》，馮建妹等譯，中國民主法制出版社2019年版，第44頁。

①? ? 參見《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉審議結(jié)果報(bào)告》第一項(xiàng)說明，載中國人大網(wǎng)，http：//www.npc.gov.cn/npc/c30834/202108/a528d76d41c44f33980eaffe0e329ffe.shtml。

②? ? 參見石佳友：《個(gè)人信息保護(hù)法與民法典如何銜接協(xié)調(diào)》，載《人民論壇》2021年第2期，第92頁。

③? ? 參見易明月：《民法典與個(gè)人信息保護(hù)法的關(guān)系》，載易明月律師網(wǎng)，http：//lawyers.66law.cn/s2107f9712447d_i879934.aspx。

④? ?參見王晨：《關(guān)于〈中華人民共和國民法典（草案）〉的說明——2020年5月22日在第十三屆全國人民代表大會(huì)第三次會(huì)議上》，載新華網(wǎng)，http：//www.xinhuanet.com/politics/2020lh/2020-05/22/c_1126021017.htm。

①? ? ?《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉審議結(jié)果報(bào)告》第四項(xiàng)說明可為例證，該項(xiàng)指出，“一些常委會(huì)組成人員和地方、部門、企業(yè)、專家建議，進(jìn)一步做好草案有關(guān)條款與民法典有關(guān)規(guī)定的銜接。憲法和法律委員會(huì)經(jīng)研究，建議對草案二次審議稿作以下修改：一是將第二十八條修改為，個(gè)人信息處理者可以在合理的范圍內(nèi)處理已合法公開的個(gè)人信息，個(gè)人明確拒絕的除外;對個(gè)人權(quán)益有重大影響的，應(yīng)當(dāng)取得個(gè)人同意。二是將第五十六條中的‘個(gè)人信息泄露修改為‘個(gè)人信息泄露、篡改、丟失?！?/p>

②? ? 參見龍衛(wèi)球：《數(shù)據(jù)新型財(cái)產(chǎn)權(quán)構(gòu)建及其體系研究》，載《政法論壇》2017年第4期，第74-77頁;龍衛(wèi)球：《再論企業(yè)數(shù)據(jù)保護(hù)的財(cái)產(chǎn)權(quán)化路徑》，載《東方法學(xué)》2018年第3期，第52-54頁。

①? ? 參見丁曉東：《論數(shù)據(jù)攜帶權(quán)的屬性、影響與中國應(yīng)用》，載《法商研究》2020年第1期，第74-76頁。近似觀點(diǎn)還可參見付新華：《數(shù)據(jù)可攜權(quán)的歐美法律實(shí)踐及本土化制度設(shè)計(jì)》，載《河北法學(xué)》2019年第8期，第162頁;尚海濤：《論我國數(shù)據(jù)可攜權(quán)的和緩化路徑》，載《科技與法律》2020年第1期，第86-90頁。

②? ? 參見《市場監(jiān)管總局關(guān)于〈禁止網(wǎng)絡(luò)不正當(dāng)競爭行為規(guī)定（公開征求意見稿）〉征求意見的通知》，載國家市場監(jiān)督管理總局官網(wǎng)，http：//www.samr.gov.cn/hd/zjdc/202108/t20210817_333683.html。

③? ? 參見余建華、陳若星：《“微信數(shù)據(jù)”引發(fā)數(shù)據(jù)權(quán)益之爭 群控軟件被判賠260萬元》，載《人民法院報(bào)》2020年6月4日，第03版。

④? ?吳斯旻：《個(gè)人信息保護(hù)法落地? 互聯(lián)網(wǎng)巨頭的數(shù)據(jù)壟斷破防》，載第一財(cái)經(jīng)，https：//finance.sina.com.cn/roll/2021-08-25/doc-ikqciyzm3406923.shtml。

⑤? ? ?參見賀栩栩：《比較法上的個(gè)人數(shù)據(jù)信息自決權(quán)》，載《比較法研究》2013年第2期，第73頁;劉金瑞：《個(gè)人信息與權(quán)利配置——個(gè)人信息自決權(quán)的反思和出路》，法律出版社2017年版，第33頁。

⑥? ? 參見Helen Nissenbaum， Privacy as Contextual Integrity， Washington Law Review， Vol.79， 2001， p.115; Daniel J. Solove， A Taxonomy of Privacy， University of Pennsylvania Law Review， Vol.154， 2006， p.477.

⑦? ? 參見劉金瑞：《個(gè)人信息與權(quán)利配置——個(gè)人信息自決權(quán)的反思和出路》，法律出版社2017年版，第108頁。

⑧? ? 參見Laise Bornico & Ian Walden， Ensuring Competitions in the Clouds： The Role of Competition Law？ ERA Forum ，Vol.12， 2011， p.282。 將可攜帶權(quán)的設(shè)定基礎(chǔ)理解為基于公平實(shí)踐的要求，提出其功能在于消除數(shù)據(jù)的“鎖定效應(yīng)”（Lock-in effect），以便促進(jìn)網(wǎng)絡(luò)和數(shù)字市場中的競爭。

⑨? ? Richard S. Murphy， Property Rights in Personal Information： An Economic Defense of Privacy， Georgetown Law Journal，Vol.84，1996，p.2381; Lawrence Lessig，Privacy and Attention Span， Georgetown Law Journal， Vol.89， 2001，p.2063; Paul M. Schwartz， Property， Privacy， and Personal Data， Harvard Law Review， Vol.117，2004，p.2055.

①? ? 《個(gè)人信息保護(hù)法》自《個(gè)人信息保護(hù)法（草案）》（二次審議稿）以來開始確立此項(xiàng)原則，實(shí)際蘊(yùn)含的是個(gè)人信息處理必須同時(shí)保障個(gè)人信息被處理時(shí)應(yīng)當(dāng)受到正當(dāng)和公平對待。

②? ? 此項(xiàng)是基于人力資源管理的需要可以處理個(gè)人信息的規(guī)定，該規(guī)定在《個(gè)人信息保護(hù)法（草案）》（三次審議稿）中才開始考慮，存有爭議，贊成的觀點(diǎn)認(rèn)為適合我國存在大量非基于合同的人力資源管理情況，最終得到立法認(rèn)同，但加上“必需”的限制。《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉審議結(jié)果報(bào)告》第三項(xiàng)對此項(xiàng)添加予以了說明。

③? ?根據(jù)本項(xiàng)，基于疫情防控等理由無需個(gè)人同意而收集個(gè)人信息也應(yīng)該是有限制的，該項(xiàng)本身就蘊(yùn)含了必需的要求，理解上應(yīng)該適用管理法上的比例原則。

①? ? 《歐盟一般數(shù)據(jù)保護(hù)條例》（GDPR）中反對權(quán)的設(shè)定基礎(chǔ)，與其第三章第二節(jié)中的“知情權(quán)”（國內(nèi)有學(xué)者翻譯為“獲得信息的權(quán)利”）和“訪問權(quán)”的設(shè)定基礎(chǔ)并不相同，后者的關(guān)注重點(diǎn)是避免對他人權(quán)利和自由產(chǎn)生不利影響，也就是說更側(cè)重體現(xiàn)基于個(gè)人的基本權(quán)利和自由對于個(gè)人信息保護(hù)提出的要求。參見GDPR第三章第二節(jié)關(guān)于知情權(quán)的相關(guān)內(nèi)容，特別是第15條“數(shù)據(jù)主體的數(shù)據(jù)訪問權(quán)”之4，明確提及“不得對他人權(quán)利和自由產(chǎn)生不利影響”。

①? ? 王利明：《論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心》，載《現(xiàn)代法學(xué)》2013年第4期，第69-71頁。

②? ? 參見黃薇主編：《中華人民共和國民法典解讀：人格權(quán)編·侵權(quán)責(zé)任編》，中國法制出版社2020年版，第200頁。

①? Raymond Wacks， Personal Information： Privacy and the Law， Clarendon Press， 1989， p.2-3，7-49;Ellen Alderman & Caroline Kennedy， The Right to Privacy， Vintage Books， A Division of Random House Inc.，1997，p.323-341.

②? ? 1973年美國衛(wèi)生教育福利部的“信息實(shí)踐公平原則”（Fair Information Practices Principle）報(bào)告最早提出了所謂的隱私自我管理模式。該模式要求：（1）個(gè)人數(shù)據(jù)記錄系統(tǒng)的透明化;（2）被記錄系統(tǒng)通知的權(quán)利;（3）在未經(jīng)同意情況下個(gè)人數(shù)據(jù)不得為新目的而使用的權(quán)利;（4）更正個(gè)人數(shù)據(jù)的權(quán)利;（5）個(gè)人數(shù)據(jù)保存者防止數(shù)據(jù)被不當(dāng)利用的義務(wù)。參見丁曉東、張吉豫主編：《隱私與數(shù)據(jù)的法律研究》，法律出版社2019年版，第214頁。

①? ? ?Daniel Solove， Privacy Self-Management and the Consent Dilemma， Harvard Law Review，Vol.26，2013，p.1880.

①? ? 參見《中央網(wǎng)信辦等四部門開展“App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理” 》，載網(wǎng)信中國，https：//mp.weixin.qq.com/s/ucC2d6gxczS4oACS4jYJjA;《APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理報(bào)告（2019）》，載國家信息化辦公室網(wǎng)，http：//www.cac.gov.cn/2020-05/26/c_1592036763304447.htm; 《2020年App違法違規(guī)收集使用個(gè)人信息治理工作啟動(dòng)會(huì)在京召開》，載國家信息化辦公室網(wǎng)，http：//www.cac.gov.cn/2020-07/25/c_1597240741055830.htm。

②? ? 《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉審議結(jié)果報(bào)告》第十項(xiàng)對此作出說明。

③? ? 移送犯罪人特殊處置權(quán)力在《個(gè)人信息保護(hù)法（草案）》（三次審議稿）才開始增加，參見《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉審議結(jié)果報(bào)告》第十項(xiàng)的相關(guān)說明。

①? ? 《個(gè)人信息保護(hù)法（草案）》（三次審議稿）開始加入可以決定禁止在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人的規(guī)定，參見《關(guān)于〈個(gè)人信息保護(hù)法（草案）〉審議結(jié)果報(bào)告》第十項(xiàng)的相關(guān)說明。