韓 強， 吳 濤

(華東政法大學 法律學院， 上海 200042)

基于法的目的論，“權利”一統(tǒng)天下卻又含義殊分，在不同場合、不同語境下，甚至在同一個人口中的“權利”都指向不同意涵。這一點在“個人信息權”等新型權利概念上的討論更為明顯，也產(chǎn)生了諸多爭論?！皞€人信息受法律保護”源自憲法，表現(xiàn)為基本權利下的“個人信息受保護權”，延伸至私法領域則關涉?zhèn)€體的人格權益、安全利益和風險預防性權益等諸多方面，因此通過“權利化”實現(xiàn)體系性保護，就具有了法律上的需要?！吨腥A人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)通過建立正當?shù)膫€人信息使用規(guī)則和程序，實現(xiàn)權益保護與行為自由之間的平衡，尤其是第四章對“權利”作出了明確列舉。

然而，圍繞“個人信息權”存在眾說紛紜的現(xiàn)象，如何從“個人信息權益”這一支點進行溯源和概念演繹，編排好《個人信息保護法》第四章“個人在個人信息處理活動中的權利”、《中華人民共和國民法典》(以下簡稱《民法典》)第111條及第1034條“個人信息受法律保護”、《民法典》第1037條“個人信息主體的權利”等關鍵概念之間的邏輯關系，并與公法領域廣泛討論的“個人信息受保護權”進行協(xié)調(diào)與銜接，是個人信息保護法治體系必須解決的基礎性問題。有鑒于此，有必要厘清個人信息保護相關“權利”的概念及意義，進行體系化梳理形成內(nèi)涵結構的邏輯地圖，進而有助于理解《個人信息保護法》第四章的立法定位及促進司法實踐中的適法統(tǒng)一工作。

一、個人信息保護“權利化”的復雜面相

(一)個人信息保護“賦權模式”的現(xiàn)有討論

隨著啟蒙思想和人文主義的勃興，迎來了“權利要求火山似的爆發(fā)階段”[1]。廣泛興起的“造權”運動上至憲法，下至各領域的部門法，充斥著權利的顯赫地位，在保障意志自由、不受他人或國家干涉的功能面前，法律的規(guī)矩管束功能似有黯淡[2]。傳統(tǒng)的法律形式主義思維要求法律必須具備“全面性”和“完整性”，主張法律是自治封閉的體系，即使出現(xiàn)漏洞也能在法律規(guī)范體系內(nèi)進行填補和發(fā)展。個人信息的“權利化”即為這一思維的具體表現(xiàn)。

有不少學者主張“權利化”保護模式優(yōu)先于“法益”保護模式，并且通過否認權利支配性等方式避免妨礙信息流動。認可個人信息保護“權利化”的學者，對于“個人信息權”的性質存在不同認識。例如，框架權說，將“個人信息權”視為概括性、描述性指稱，不同語境下或為人格性或為財產(chǎn)性[3]；又如，基本權利和自由說，參考歐盟《一般數(shù)據(jù)保護條例》(GDPR)，與私權并不相互排斥[4]；再如，具體人格權說，從個人信息權與隱私權的界分角度出發(fā)，私密信息具備交叉屬性，而個人信息權具備獨立性[5]，立法中應當對個人信息權設定新型具體人格權。此外，還有人格權兼財產(chǎn)權說、隱私權說、物權說或所有權說[6]。還有學者借鑒不同理論學說的權利論證思路，試圖在實定法中發(fā)現(xiàn)“個人信息權”。例如，借助Harel的權利證成框架[7]，將人的尊嚴和自主性作為內(nèi)在理由，將“共同善”作為外在理由試圖證成“個人信息權”，采取“權利簇”的界定方式，可彌補單一行為規(guī)制模式的缺陷[8]，但未揭示權利的內(nèi)在邏輯，以及與行為規(guī)制之間的關系。也有學者從凱爾森的“反射權利”論證[9]84-94和Hohfeld的“基本法律概念”[10]等分析法學的權利理論出發(fā)，試圖“挖掘出規(guī)則中所蘊含的權利”并將《民法典》第1035條解讀為“不屬于對世義務”，從而推導出權利的存在，而個人信息處理的“同意”或“決定”則對應Hohfeld的“權力”概念[11]。但是“主張、特權、權力、豁免”的概念可以被“法律之力”所涵蓋，指向的仍然是特定的利益。辨析四種類型的法律之力并不能解決主觀方面的權利意志與客觀法律的關系問題。還有學者從拉倫茨的法律地位說出發(fā)，證成了“知情權”等概念無法單獨予以轉讓、無法單獨闡釋和存在，并在《個人信息保護法》的立法語言中發(fā)現(xiàn)了“有權”的表述，并作為文義上的依據(jù)，認為“知情權”“決定權”以及“有權”等概念的本質是不具有獨立性的“權能”，依附于個人信息權[12]，但是并未進一步論證該類權能何以成為個人信息權的固有內(nèi)容和基本延伸，也未能回答侵害第44～47條的“權能”是否產(chǎn)生實體性權利“可賠償”的損害后果。

上述學說展現(xiàn)出權利概念的復雜面相，對其討論往往因法權內(nèi)在邏輯研究的缺失，而呈現(xiàn)出錯位之感。歸根結底，是學界對個人信息權的權利基礎和邏輯起點的認識尚不統(tǒng)一。多數(shù)論述將“個人信息權益”作為個人信息保護法治的概念起點，忽視了三個問題：第一，個人信息權是私法領域原生性的權利化訴求，還是源自憲法層面因自動化處理技術產(chǎn)生的基本權利保護訴求？第二，傳統(tǒng)民法對個人信息承載利益所進行的權利化保護，如隱私權、名譽權、姓名權以及下游侵害相關的權利，經(jīng)過侵權法的檢驗是否確實不周延？第三，數(shù)字社會個人信息處理方式的變化是否產(chǎn)生新的利益需要法律界定和保護？這在權利理論領域呼喚反思，發(fā)現(xiàn)個人信息權的源頭和內(nèi)在邏輯，從而兼顧私法保護路徑、公法與消費者法保護路徑等多個方面，實現(xiàn)公私法接軌匯流。

(二)個人信息權的體系化建構價值

個人信息保護具有獨立的發(fā)展脈絡，在公法和私法領域存在不同的法權結構和工具優(yōu)勢，呈現(xiàn)跨公私法域特征并涉及多種責任形態(tài)?！秱€人信息保護法》作為保護基本權利的基本法[13]，選擇了用“信息處理論”吸收“信息控制論”，并通過第44條明確了“信息自決”的立法價值。信息自決指的是個人能夠對自身信息產(chǎn)生控制力并決定如何使用。但“控制力”不等同于“控制權”，個人不對其自身信息享有全程的絕對性和排他性控制權，大多數(shù)情況下的個人信息客觀上處于脫離主體控制的狀態(tài)，因此需要法律設計特殊規(guī)則進行保護。

“權利”具有個人主義的底色，法律人格立足于主體的“權利能力”，現(xiàn)代私法以個體理性和意思自治為邏輯起點，自主判斷、自由行為，“在市民社會中，每個人都以自身為目的，其他一切在他看來都是虛無”[14]。個人信息的“社會控制論”[15]等新興研究，則代表著學者們在探究權利理論時，逐漸意識到人類共同生活對“權利”的影響，思維逐步超越個體并走向“將個體納入共同體”進行考量的時代[16]。在社會學和歷史學的思想中人們忽然發(fā)現(xiàn)，“人類不應當用人來說明，而是人應當用人類來說明”[17]。在私法層面，為了在“脫控”情況下防止“失控”，個人信息保護規(guī)范設計和法律適用的核心命題是個人信息權益受到損害的情況下如何得到充分救濟，因此在私法權益方面，《民法典》的人格權編和侵權責任編是最有效的救濟依據(jù)[18]。在公法層面，為了對抗優(yōu)勢地位的個人信息處理者，越來越多的學者發(fā)現(xiàn)需要引入國家管制。甚至有學者據(jù)此提出，個人信息作為公共物品，應當僅由公法予以管制[19]。事實上監(jiān)管者相比個人更有動力，也更有能力站在維權第一線[20]。

有鑒于此，個人信息權在公法層面和私法層面的討論應當通過一個成熟的規(guī)范建構框架進行統(tǒng)合。私法的權利將個人信息承載的利益視為客體，協(xié)調(diào)各類傳統(tǒng)利益的保護路徑、創(chuàng)造新型利益的保護方式；公法的權利強調(diào)其基本權利性質，在客觀法方面要求國家履行保護義務，在主觀權利方面要求實現(xiàn)防御權與受益權功能。從邏輯上看，基本權利是個人信息權的源頭，并在私法領域實現(xiàn)延伸。個人信息相關權利在公法、私法領域各有側重，權利論證的本質應當是基于整體法秩序統(tǒng)一原理進行法權結構的重新梳理。

二、個人信息權的內(nèi)涵與法權結構

個人信息保護“權利化”討論最為激烈的是，可否對個人信息保護“私權化”，在私法領域從“受法律保護的利益”升華為“權利”。支持者多從《民法典》和《個人信息保護法》章節(jié)名中發(fā)現(xiàn)“權”“權利”的文義，并論證其社會典型公開性等特征；反對者多從條款內(nèi)容中區(qū)分原權和救濟權，認為個人信息在技術或物理上難以被完全控制，從私權的角度缺乏清晰的“權利外觀”，客觀上難以識別和確證并劃定行為禁區(qū)，獨立成權會阻礙信息流動[21]。實際上，對個人信息保護“私權化”的支持和反對兩種聲音，在保護目標上并沒有實質性差別，都將論證重點放在如何平衡利益保護和行為自由之上；然而在立法目標上，則存在不同的訴求。從理性哲學的視角，“合理性”在社會學領域被區(qū)分為“工具合理性”(Instrumental Rationality)和“實質合理性”(Substantive Rationality)，前者偏重手段的妥適和有效，而后者追求目的、意識和價值的合理性[22]。支持個人信息保護“私權化”的根本原因，是追求法律形式理性以及外部規(guī)范的體系化。承認個人信息權并不意味著無限制地絕對保護，而是通過權利限制來維護信息使用的利益。反對個人信息保護“私權化”的根本原因，在于權利宣示性效果可能產(chǎn)生信息主體和處理者對個人信息保護的預期偏差，從而帶來大量糾紛可能性，以及由此推高的交易成本和社會成本。有鑒于此，通過權利的主觀、客觀二元范疇厘清個人信息權的法權結構，可以實現(xiàn)不同觀點的統(tǒng)合，兼顧形式理性與實質理性。

(一)個人信息權的二元范疇以及概念厘定

權利可以體現(xiàn)在法律“規(guī)定性”(Prescriptive)和“敘述性”(Descriptive)的不同方面[9]49，除了法律作出“有權”“權利”等明定表述以外，法秩序整體邏輯結構也可以推理出權利的存在。這就引出“主觀權利”與“客觀法”之間的關系問題?！皺嗬币辉~在歐陸國家存在語言的雙義性，因此同一個詞語“指代兩個絕不相同但又可能互相滲透、緊密聯(lián)系的概念：客觀法和主觀權利”[23]。德語中的“Recht”存在兩種不同含義，“Subjektives Recht”對應“主觀權利”，而“Objektives Recht”對應“客觀法”[24]。法國法上的Droit也存在同樣特點?！爸饔^權利”和“客觀法”的區(qū)分最初只是一種語言現(xiàn)象，語言用法的背后存在復雜的觀念史。權利的詞源包含“直”這一評價標準，是描述物理現(xiàn)象的語言轉移到了人文領域的表現(xiàn)，意指行動的尺度或標準，存在于主觀方面。根據(jù)這項標準作出的客觀行為，又被視為一項“權利”，從“我可以做某事是因為它正確”演變?yōu)椤拔铱梢宰瞿呈率且驗槲矣袡唷盵25]?！耙驗檎_”逐漸形成了“正當性標準”，停留在抽象層面，也被哲學、社會學、法學多領域廣泛討論；而“因為有權”逐漸成為了“合法性標準”，由法律規(guī)范予以確認。

學界對“客觀法”的定義較為清晰，可以歸納為法律規(guī)范有機整體所建立的法秩序，然而對“主觀權利”理論卻存在歷史上的爭論?！爸饔^權利”采取抽象化概念，在公法上取得了巨大的成功；但在私法層面，尤其是當解釋主觀權利與《法學階梯》所表達的羅馬法體系核心概念之間的關系時，在20世紀初受到了大量批判[26]。英語中的“法”和“權利”對應不同的單詞，中文也是如此，雖然不像德國、法國一樣存在概念上的激烈爭論，但也招致了更深層次的問題：“法”和“權利”在主觀與客觀二元范疇的討論經(jīng)常被忽視并混為一談?！爸饔^權利”源于個人主義視角下基于特定利益對“法律之力”(Rechtsmacht)和“法律地位”(Rechtsposition)的訴求[27]，相比“自然權利”訴諸自然狀態(tài)、社會契約的政治哲學論證，“主觀權利”沒有脫離實證法。日本學者山本隆司對“主觀權利”作出了判斷標準，是從實體法層面判斷什么樣的利益符合“客觀法”的論證依據(jù)，也是權利主體主張并實現(xiàn)各種利益的“法的可能性”[28]。進一步而言，筆者所討論的個人信息權具有“主觀權利”和“客觀法”兩個方面的內(nèi)涵。在主觀權利方面，它體現(xiàn)在抽象層面，表現(xiàn)為權利主體可以通過被承認的“法律之力”或“法律地位”去追求自身利益，至于是否表現(xiàn)為一項明定的“權利”或“受法律保護的利益”，影響的是法官心證對保護程度以及相應證明標準的判斷；同時，也需要結合法秩序整體進行個案利益衡量。在客觀法方面，它出現(xiàn)在具體條款之中，是保護利益的工具之一，在規(guī)范作用上，尤其是在侵權責任認定過程中，條款中的“權利”與“義務”并無實質性區(qū)別，如德國學說中侵害權利的事實直接征引違法性，而違反保護性規(guī)范所確立的義務，從而侵害利益的，同樣證明違法性[29]88-90。

按照規(guī)范內(nèi)容以及性質，客觀法體現(xiàn)出權利的條款，可以被歸納為“權利規(guī)范”，或權利保護、權利行使、權利變動等“權利規(guī)則”?！稄V東省人民代表大會常務委員會立法技術與工作程序規(guī)范(試行)》第68條采取了“權利性條款”的概念，不區(qū)分規(guī)范和規(guī)則，但區(qū)分了“權力性條款”“權利性條款”“義務性條款”并明確了相關立法用語表述。采取“條款”的表述既能突出客觀法的屬性，又能從文義上與主觀權利相區(qū)分。通過對客觀法的體系化抽象，可以獲得客觀法所承認并保護的對象以及目的，也就是主觀權利的存在；主觀權利是從個人主義視角對客觀法秩序中主體地位的“專門說明”[30]。

(二)個人信息權內(nèi)涵結構的邏輯地圖

個人信息保護源自國際社會的人權保護。從比較法視角看，歐盟在憲法層面確立了個人信息受保護權，從1953年《歐洲人權公約》至1981年的《第108號公約》逐步建立了法律上的國家保護義務，2009年生效的《歐盟基本權利憲章》采用了“個人信息受保護權”的稱法，將其作為基本權利。相比而言，美國則將其納入廣義的“隱私”保護體系，發(fā)展出與國際人權契合的信息隱私法律概念[13]。個人信息受保護權雖然在中國憲法層面沒有明確的定位，但通過現(xiàn)行《民法典》《個人信息保護法》以及行政法、刑法等公法，可以抽象出這一基本權利，該權利源自《中華人民共和國憲法》(以下簡稱《憲法》)第33條“國家尊重和保障人權”以及第38條的“人格尊嚴不受侵犯”，從而統(tǒng)籌協(xié)調(diào)私法、公法、領域法等不同層面的立法目標，實現(xiàn)普世性的基本人權保護并與國際接軌。該基本權利將作為國家制定個人信息保護相關法律規(guī)范體系、履行國家積極義務與消極義務的基本依據(jù)。

1. 基本權利延伸至私法領域表現(xiàn)為個人信息權益

作為基本權利的個人信息受保護權，具有主觀權利方面的防御權功能和受益權功能，以及客觀法方面的客觀價值秩序功能[31]69-70。防御權功能要求國家承擔消極不侵犯義務，受益權功能要求國家踐行積極給付義務從而使得個體享受特定利益，包括實現(xiàn)基本權利所需要的物質、程序或服務，如對涉及個人信息處理活動的監(jiān)管、公民對行政機關的求助或投訴等；客觀價值秩序功能則是運用各種必要手段促成基本權利的保障，包括體系性立法、執(zhí)法為民、司法環(huán)節(jié)的適法統(tǒng)一工作，以及個人信息保護宣傳、發(fā)展監(jiān)管科技等?；緳嗬斎豢梢匝由熘了椒I域形成特定法益，這也是受益權功能的內(nèi)在要求，即通過立法活動使得公民確定地獲得私法規(guī)范對基本權利的保護。私法領域形成的價值秩序，與其他法領域共同組成基本權利的客觀價值秩序。

中國《民法典》宣示的個人信息權益包含雙重意涵。《民法典》第111條與1034條的第一句都規(guī)定了“個人信息受法律保護”，為何追求提取公因式技術的《民法典》在“總則編”和“人格權編”中進行了一字不差的重復？如果僅從私權視野，很難得出實質性的意義，因為現(xiàn)行法秩序下對個人信息權益的理解已經(jīng)形成人格權益的共識，只是在具體人格權與一般人格權、人格權附屬經(jīng)濟利益與獨立經(jīng)濟利益等問題上存在爭論。但如果從整個客觀法秩序的體系性視角來看，認可個人信息權源自憲法這一基礎觀點，那么《民法典》第111條與1034條并非簡單重復，而是具有客觀法方面的雙重立法目標?！翱倓t編”第111條宣示的是基本權利在私法領域的延伸，不僅具備私法保護的意義，也具有基本權利層面的受益權和防御權體現(xiàn)于客觀法的規(guī)范意涵；而“人格權編”第1034條宣示的是個人信息權益在《民法典》中的定位為人格權益，這也是將其看作消極防御性利益的主要依據(jù)。如果未來存在新型權利的發(fā)展，在客觀法中出現(xiàn)了對權益性質的突破性規(guī)定，如信息主體對處理活動的財產(chǎn)利益，則可以為第111條所涵攝而非第1034條。

在數(shù)字社會，個人信息保護難題體現(xiàn)了所涉私益邊界的不可預測性，并產(chǎn)生對權利形式多樣化的主觀認識。特別是在侵權法領域，從權利和法益區(qū)分保護的教義學路徑出發(fā)，個人信息權是否達到類似于《德國民法典》第823條第1款的權利化程度，經(jīng)得起排除效能、歸屬效能、社會典型公開性的檢驗[32]，或者說個人信息權是否已經(jīng)在侵權法這一權利的“冶煉爐”中脫胎換骨，達致法律形式理性所要求的私權特征？考慮到個人信息權私法保護的局限性[33]，為避免權利概念的邏輯混亂以及過度保護，筆者傾向于將個人信息基本權利在私法領域的延伸暫時理解為法益，而不是一項新型私權。

由于私權體系呈現(xiàn)動態(tài)發(fā)展特征，筆者不排除新型私益在未來經(jīng)過侵權法冶煉后形成新型私權的“法的可能性”。個人信息權是否是一項明定的私權，一方面，通過社會典型公開性等特征影響法官的心證，在確認具有法律相關性的損害時是否“相對更為謹慎”[34]；另一方面，又通過界定權利的保護性規(guī)范(權利條款)，直接影響違法性或過錯的認定。權利屬性對侵權責任的判斷既具有主觀性影響，也具有客觀性影響：權利的宣示性效果將影響法官對舉證責任和證明標準的預期，而權利對行為義務的反射也將形成是否違法的客觀標準。但目前《個人信息保護法》剛剛施行不久，尚待侵權法的實踐檢驗。在現(xiàn)階段的整體法秩序下，對《個人信息保護法》的理解應當是以對行為和程序的管制為主，通過明確處理者的義務性、責任性規(guī)定，以及與處理行為相關的程序性權利條款，實現(xiàn)主體利益的周延保障，并賦予正當?shù)奶幚硇袨橐院戏ㄐ?。綜上可知，“個人信息受保護權”作為基本權利，受到積極和消極保護；延伸至私法領域形成“個人信息權益”，僅受到消極保護。

2. 客觀法的權利條款應當區(qū)別于主觀權利

在客觀法方面，“權利”用語如何由法律明定，是立法者基于法律效果、政策效果和社會效果進行的通盤考慮，目的是統(tǒng)一國法、揭示價值，并回應社會的動態(tài)發(fā)展與訴求。是否用“權”“權利”來概括一項利益以及保護方式，是立法者基于法政策考量“一時決斷”的問題，起到的主要功能是宣示法律保護、建立社會預期、減輕法官顧慮。

根據(jù)客觀法方面權利條款規(guī)定的內(nèi)容，可以進一步將權利條款區(qū)分為權利定義條款、權利成立條款、權利取得條款、權利歸屬條款、權利限制條款、權利保護期條款、權利消滅條款以及權利救濟條款。其中，權利救濟條款往往與執(zhí)法活動、司法活動緊密相連，表現(xiàn)為程序性權利中的請求權性質，是客觀價值秩序的組成部分之一。例如，《民法典》第111條由權利條款和義務條款組成，第1037條則屬于權利條款，系對第111條的進一步闡釋、確保個人信息不受侵犯。有學者總結權利法益區(qū)分保護的侵權法理論時感嘆：“權利的本質不是利益，權利只是保護利益的工具之一。法律的目的確實是保護利益(個人的、集體的或者社會的)，但是法律保護利益并非只有權利這一種工具，立法者可以通過單純設立義務的方式保護他人的利益?！盵29]88此時對權利和義務的討論就僅限于“客觀法”的條款，即權利條款與義務條款(包括作為第二性義務的責任)。在“客觀法”方面，將權利條款作為工具的觀點，并不影響“主觀權利”方面權利主張的“法的可能性”，也不影響“自然權利”層面對權利來源的政治哲學分析，而諸多關于“個人信息權”的觀點也可以分門別類歸入上述各個范疇，為便于區(qū)分，筆者將“客觀法”層面的“權利”統(tǒng)一稱為“權利條款”。

私法領域的個人信息權益目前主要表現(xiàn)為消極防御性期待，相應確立了消極不侵犯義務，通過《民法典》“侵權責任編”的一般侵權責任條款轉介至《民法典》“人格權編”、領域法性質的《個人信息保護法》以及公法。目前關于個人信息權益保護的大部分規(guī)范，在適用時都通過轉介機制，與一般侵權責任條款直接或間接聯(lián)通。違反權利條款與違反義務條款在侵權責任構成的角度是可以類比的，二者都屬于“客觀法”方面的保護性規(guī)范，用來衡量待決行為的不法性，并進行過錯的推定。最終認定侵權責任時仍然要結合事實構成要件和可責難性判斷，以及法律上因果關系、違法阻卻事由、免責事由和抗辯事由等概念的辨析。

綜上所述，筆者將個人信息權相關概念，借鑒基本權利規(guī)范內(nèi)涵結構分析的邏輯地圖[31]70，結合現(xiàn)階段個人信息私法權益保護路徑，梳理如圖1所示。

圖1 個人信息權的內(nèi)涵結構

通過區(qū)分主觀權利和客觀法的不同方面、基本權利和私法權益的不同層級、權利條款和主觀權利的不同概念，可以發(fā)現(xiàn)，對個人信息權的論證儼然形成了內(nèi)部嚴謹?shù)倪壿嬫湕l，對任何一個環(huán)節(jié)的缺失或過度解讀，都會導致法律適用時的保護不足或保護過度，從而減損了權利的體系性、妨害個人信息保護法治的多重目的。

三、《個人信息保護法》中權利條款的屬性辨析

《個人信息保護法》中第四章所確立的“個人在個人信息處理活動中的權利”規(guī)范概念，目的是實現(xiàn)基本權利的受益權功能，本質上是界定一種作為工具的保護性規(guī)范，與《個人信息保護法》規(guī)定的大量義務條款和責任條款共同規(guī)范處理者行為，具有明顯的程序性特征。概言之，第四章應解讀為程序性權利條款，通過特定的程序性制度設計和工具性功能，保障信息主體在個人信息處理活動中的參與、選擇，并保持一定程度的控制力，制衡處理者的任意行為，但不能由此解讀出實體性控制權。

(一)《個人信息保護法》第四章的立法定位

為了實現(xiàn)個人信息權在主觀權利方面受益權功能，《個人信息保護法》建立了第四章“個人在個人信息處理活動中的權利”，其具有調(diào)整信息主體與處理者之間關系結構的工具性質，通過建構這樣一套工具理性框架，旨在對組織化、官僚化的信息處理者進行制衡，正如同GDPR 第三章“數(shù)據(jù)主體的權利”的規(guī)范性質，也是通過“賦予個人對抗數(shù)據(jù)處理者的手段和工具”來保障基本權利[35]。實體性權利基于個人主義，從個體意思自治的角度予以規(guī)定；與實體性權利相比，《個人信息保護法》第四章從個人信息處理者的角度，對行為義務進行明確規(guī)定。第四章通過建立明確的行為預期對實體性個人信息權進行保護，其在實踐中與義務條款具有相同的適用邏輯和評價結果。第四章的規(guī)定預設了個人信息處理活動的情境，每一個權利條款都存在特定的個人信息處理者與信息主體之間的對抗關系，其設權并不是旨在創(chuàng)設個體可以完全左右個人處理活動、控制個人信息客體的權利，而是針對已經(jīng)存在個人信息處理活動，如何判斷處理者遵從消極不侵犯義務的程序性規(guī)定?！秱€人信息保護法》通過一般侵權責任條款的轉介功能，影響個人信息私益的保護，其功能就在于確定明確的程序、規(guī)則，從而更好地防御個人信息處理活動對人格權益的侵害行為。

對《個人信息保護法》第四章在私法領域的理解，應當結合立法目的解釋為程序性權利條款，并通過《民法典》第1034條第1款“受法律保護”的轉介條款進行規(guī)范銜接?！睹穹ǖ洹返?11條和第1034條 確立的是實體性“原權”，第1037條確立的是程序性“救濟權”[36]，二者是目的與手段的關系；而《個人信息保護法》第四章則是在《民法典》第1037條基礎上的進一步細化和增補，并在個人信息處理活動中優(yōu)先適用。對《個人信息保護法》第四章的違反，不能當然推導出個人信息權實體性的損害，而僅僅可以作為不法行為的論證依據(jù)，最終是否造成可賠償?shù)膿p害，需要結合行為的影響范圍和程度，以及是否有其他相關行為來予以綜合判斷。對個人信息權的實體性損害，必須結合《民法典》所確立的“合法、正當、必要”原則進行檢驗，而不能將第四章作為直接的裁判依據(jù)。

進一步而言，在私法領域，《個人信息保護法》第四章是在《民法典》第111條統(tǒng)領下、對第1037條 四項救濟權的細化、替代和增補；在公法領域，第四章是在《憲法》第33條、第38條統(tǒng)領下，明確國家保護義務的對象和具體要求。對《個人信息保護法》所確定的“個人在個人信息處理活動中的權利”而言，規(guī)范對象并不是個人信息，而是限定在個人信息處理活動中的行為義務，保護實體性個人信息權，規(guī)范作用是發(fā)揮權利固有功能，或者回復權利至不受侵害的圓滿狀態(tài)[37]，訴訟中則表現(xiàn)為請求權。權益侵害不必然產(chǎn)生損害，侵害程序性權利條款表現(xiàn)為對行為義務的違反，不能當然推導出損害賠償責任的產(chǎn)生，但可能直接產(chǎn)生公法責任。在《個人信息保護法》語境下，損害賠償責任還需要結合其他要素綜合判斷。

(二)程序性權利條款的解釋

1. 知情權、決定權

從文義上看，《個人信息保護法》第44條采取直接確認“知情權、決定權”的立法用語，這是第四章 外延最廣、解釋空間最大的權利性立法表述，具有綱領性的作用，該章其他各個權利條款都可以歸入“決定權”的解釋空間。

知情權是基于實質公平原則，針對信息不對稱狀態(tài)的一種法律救濟工具。讓信息主體知悉處理活動相關情況，是實現(xiàn)信息主體權益的基礎性條件，其與《個人信息保護法》第17條、第22條、第23條、第30條、第35條等條款所確立的處理者告知義務緊密相關。從比較法角度看，各國立法一般采取處理者告知義務的規(guī)定，而不單獨確認信息主體的知情權，中國將知情權與告知義務互相對應，避免了告知義務淪為形式，更為強調(diào)信息主體知情的實際效果，保護程度更高。

實現(xiàn)知情權的目標是確保決定權的行使。這與《中華人民共和國消費者權益保護法》第8條、第9條 所規(guī)定的知情權和自主選擇權較為相似。但消費者保護領域的知情權是為了“選擇進入”消費活動，自主性作出選擇；個人信息保護領域的知情權不僅是為了通過“告知同意”機制“選擇進入”處理活動，還通過“限制或者拒絕”的方式“選擇退出”處理活動?！秱€人信息保護法》第13條對處理者附加了前置性的合法性基礎限制條件，處理者基于取得同意或法定許可等法定條件開展處理活動后，知情權和決定權是對處理過程的自主干預，更類似于“用腳投票”的“選擇退出權”。第13條規(guī)定了無需取得同意的法定許可情形，對信息主體的意思自治進行了限制，也就是第44條所規(guī)定的“法律、行政法規(guī)另有規(guī)定的除外”；通過第13條第1款第7項“法律、行政法規(guī)規(guī)定的其他情形”這一兜底條款，還可以進一步轉介至第18條、第27條、第35條等條款以及其他法領域對意思自治的限制性規(guī)定。

雖然從文義上看，“決定權”存在新型權利的解釋和發(fā)展空間[38]，但現(xiàn)階段結合整體法秩序以及《個人信息保護法》的立法目的，暫時不能將其解讀為“任意決定權”。意思自治決定的不是個人信息的任意處置，而是在已存在的個人信息處理活動中、在信息處于個人“脫控”狀態(tài)下，通過個體自由意志對個人信息處理行為進行限制甚至拒絕處理，從而避免信息“失控”。《個人信息保護法》在私法領域的適用，必須嚴格限定在個人信息處理活動和處理關系中，脫離處理活動和處理關系的情形可以由《民法典》以及其他民事法律規(guī)范予以調(diào)整，如日常生活中的信息交往。如果賦予信息主體過度的意思自治范圍，那么處理者正常的商業(yè)活動將被千差萬別的自由意志所牽絆和左右，帶來巨大的交易成本，不利于數(shù)據(jù)要素的合理流動。對“決定權”的解釋應當緊密結合后半句“有權限制或者拒絕”處理活動，將其作為對“決定權”的內(nèi)涵界定。決定權為信息主體賦予了事實上的控制力，但控制力不代表控制權，決定權在現(xiàn)階段應當作為“限制或拒絕權”加以理解，而不能單純遵照“決定”的文義，更不能解讀出“排他支配性”的權利。

2. 查閱、復制、轉移個人信息的規(guī)則

信息主體對自身信息的使用是一項不言自明的權力，這種使用自然包括查閱、復制、轉移。法律之所以規(guī)定查閱、復制、轉移的權利條款，與《個人信息保護法》預設的個人信息處理活動情境緊密相關，即數(shù)字社會自動化處理技術產(chǎn)生了機讀數(shù)據(jù)，難以被信息主體直接獲取和理解。查閱、復制、轉移行為會對信息控制者產(chǎn)生配合查閱、復制、轉移的負擔，也可能會產(chǎn)生經(jīng)濟成本。因此，《個人信息保護法》第45條應當解釋為三個層次的含義。

第一，處理者具有配合查閱、復制、轉移個人信息的義務。這一含義從第45條第2款、第3款的“請求查閱、復制”“請求將個人信息轉移”的表述可得推知。根據(jù)第2款，個人信息處理者應當“及時提供”查閱復制的個人信息副本，并采取自然人便于閱讀和存儲的數(shù)據(jù)形式，或提供實現(xiàn)“人讀”效果和采寫功能的技術工具。根據(jù)第3款，個人信息處理者應當提供“轉移的途徑”，但需要符合監(jiān)管要求。第45條并未照搬GDPR“可攜權”的規(guī)定，而是確立了處理者在特定條件下的行為義務，并通過“符合國家網(wǎng)信部門規(guī)定條件”轉介至公法領域。這種限定條件可以由政府部門進行靈活控制，一方面避免類似GDPR規(guī)定過度增加處理者的負擔，另一方面也防止信息主體限于認知能力“錯付信息”。

第二，處理者原則上應當負擔查閱、復制個人信息的成本。從文義上看，第1款的“有權”表述與第2款的義務表述并非簡單重復，而是涉及對程序性成本的分配問題。有觀點認為個人查閱、復制個人信息必須承擔相應人力物力的成本，因為基于如今計算機網(wǎng)絡的分布性特征，對各種數(shù)據(jù)庫中的海量數(shù)據(jù)進行搜索將產(chǎn)生較高的成本[39]，并且處理者類型多元、涉及面廣泛，全部讓處理者承擔可能會造成不合理或不公平的現(xiàn)象，需要區(qū)分行業(yè)和場景。第45條所確立的原則性的成本分配模式可以基于特定行業(yè)、特殊領域進行變更，如中國臺灣地區(qū)“個人資料保護相關規(guī)定”第14條規(guī)定“公務機關或非公務機關得酌收必要成本費用”。從法經(jīng)濟學角度出發(fā)，將查閱、復制的成本分配給處理者的正當理由，是處理者作為成本控制者，最有動力通過技術升級、成本控制，壓縮查閱、復制產(chǎn)生的費用。而公務機關“酌收必要成本費用”，類似于政府信息公開產(chǎn)生的成本由申請者承擔，是考慮到稅收和公平等因素，不宜讓廣大納稅人承擔個別主體需求產(chǎn)生的費用。為了平衡信息主體和處理者利益之間的內(nèi)在張力，可以通過特別約定、具體行業(yè)特殊規(guī)定等方式，對法律原則性的分配模式進行變更和限制。

第三，法律并未確立“轉移權”，處理者原則上無須負擔轉移信息的成本。通過對第45條第1～3款 規(guī)定的對比分析以及語義理解，法律并未確立類似于GDPR“可攜權”的“轉移權”，也未將“轉移”置于與“查閱、復制”同等的地位。對個人信息的轉移并不能理解為一種支配性利益，處理者的行為義務僅僅是提供了實現(xiàn)轉移的可能性，也就是說，義務指向的是轉移的途徑而非轉移的效果。根據(jù)第45條第1～4款 規(guī)定的體系性解釋，應當理解為處理者僅具有“提供轉移的途徑”這一配合性義務，提供的方式不由信息主體意思自治決定，而是由處理者決定、作為理性主體判斷合理即可；為實現(xiàn)轉移的效果而產(chǎn)生的額外成本，應當不由信息處理者承擔。

3. 更正、補充個人信息的規(guī)則

賦予信息主體更正、補充其個人信息的權力，是各國立法中保證個人信息準確、完整的通行做法，也是信息質量原則具體體現(xiàn)，規(guī)定于《個人信息保護法》第46條。與該章其他條款一樣，第46條無法解釋為任由信息主體意思自治?！皞€人信息處理者應當對其個人信息予以核實”，對處理者而言是一項義務條款，對信息主體而言是一項權利限制條款，對“核實”的理解應當是對客觀記錄的核查、確實，對信息內(nèi)容核實的主動權掌握在處理者手中，類似于電子商務平臺自治的審核權。如果涉及對信息內(nèi)容的主觀理解，信息主體可訴諸《個人信息保護法》第24條“自動化決策方式”下要求處理者說明以及拒絕決定的程序性權利條款，以及其他關于信息質量原則的條款。

值得注意的是，《個人信息保護法》關于信息質量的程序性權利條款，與《民法典》第1037條所確定的“異議和更正權”存在差異性。第一，對信息準確的判斷標準不同?！睹穹ǖ洹分小鞍l(fā)現(xiàn)信息有錯誤”是觸發(fā)“異議和更正權”的前置條件，對“錯誤”的理解應當包含對信息內(nèi)容的主觀推斷，因為相比“不準確”而言，“錯誤”更體現(xiàn)出價值判斷。第二，《民法典》下信息主體在請求更正的同時，應當提出異議。這種異議既是對處理者的提醒和反駁，也是對周遭世界的宣示，是一種表達的權力。但《個人信息保護法》語境下并未賦予信息主體“異議權”，因為“核實”客觀準確度并不需要進行觀點的反駁，僅需要對數(shù)據(jù)和二進制代碼進行修正即可，預設情境仍然是自動化技術處理活動，從而區(qū)別于物理世界。相比《民法典》，對個人信息處理活動中的信息質量問題，《個人信息保護法》應當優(yōu)先適用。

4. 刪除個人信息的規(guī)則

《個人信息保護法》第47條規(guī)定了個人信息的刪除規(guī)則，不能理解為信息主體的“任意刪除權”。信息主體僅能通過“撤回同意”等方式主動請求概括式地刪除其個人信息。但是如果符合第13條合法性基礎以及其兜底條款轉介的其他法定許可情形，則無法實現(xiàn)刪除信息的目的。第47條規(guī)則雖然具有信息主體請求權的功能，但限定在處理者怠于行使法定義務的前提條件下。該前提條件由法律、行政法規(guī)所明確規(guī)定，是信息主體就其信息利益所享有的請求權中的固有內(nèi)容，通過第47條程序性權利條款予以實現(xiàn)。信息主體也不能通過部分刪除的方式，剔除不利評價因素，而是需要從客觀的角度，修正信息的準確性。

對第47條的理解不能采取“被遺忘權”的思路，域外的“被遺忘權”旨在刪除遺留在數(shù)字世界中的個人痕跡從而脫離數(shù)字化監(jiān)視，但也往往抹除了個人的劣跡，在人類社會中從多次博弈，變?yōu)椴粩嘀匦麻_始的單次博弈，造成不正當?shù)母偁巸?yōu)勢。如果缺乏足夠正當?shù)睦碛?、缺乏符合成本收益?guī)律的程序，由信息主體任意主張刪除信息，不僅不利于言論自由和公眾知情權，也不利于社會聲譽機制建設，容易損害誠信原則乃至公共利益。

5. 其他程序性權利條款

《個人信息保護法》第48條賦予信息主體要求處理者“解釋說明”的請求權，緩解格式條款帶來的利益沖突；第49條實現(xiàn)死者人格利益的程序性保護；第50條引導建立自治性質的程序機制，從而便捷信息主體請求權的受理和處理。值得一提的是，《個人信息保護法》中的程序性權利條款并不僅僅規(guī)定在第四章，如第15條的“有權撤回其同意”、第24條的“自動化決策”相關權利條款、第65條的“有權”投訴、舉報等。

(三)基于知情權、決定權的發(fā)展空間

《民法典》保護的是個人信息承載的基于私法自治的法益，《個人信息保護法》進一步在自動化處理技術快速發(fā)展之際，通過在個人信息處理關系中確立消極不侵犯的概括式義務，既不影響信息和數(shù)據(jù)要素的自由流動，又通過侵權法的實踐發(fā)展審視新型利益類型是否值得法律保護。在這一過程中可能存在新型私益在一般侵權責任條款的概括式保護下難以周延的階段性陣痛。例如，目前圍繞個人信息相關人格要素的商品化以及個人信息產(chǎn)生經(jīng)濟利益的分配，應當如何設權？相比人格要素的消極防御期待，如何從法律上承認個人對人格要素積極利用的期待？這些問題尚無定論，亦無實證法的明確依據(jù)，但這也是客觀法的滯后性和審慎性特征所決定的。不同于傳統(tǒng)私權可以憑借個人自由意志實現(xiàn)救濟，新型權利因牽涉面過于廣泛，在客觀法方面出現(xiàn)了對其保護責任逐步向公益組織或行政機關轉移的現(xiàn)象。

目前在個人信息權益的消極防御期待方面，通過私法層面侵權責任編和公法層面國家保護義務進行雙重保護，也就是綜合保護路徑[40]已經(jīng)取得了很多共識；然而對于個人信息權益的積極利用期待，法律應當如何回應？目前尚且存在爭論，也存在新型權利的發(fā)展空間。例如，將個人信息相關財產(chǎn)利益定性為人格權附屬利益，采取人格權商品化路徑；或針對個人信息處理活動，進行獨立的財產(chǎn)利益歸屬判斷。個人信息相關新型權利的發(fā)展將引起私法領域權利體系的巨大變化，但這需要實踐的檢驗，也需要經(jīng)歷漫長的利益博弈過程。

上文所述“知情權、決定權”的解釋空間，可以對現(xiàn)有規(guī)范難以周延保護的新型利益，作出兜底性的保護。經(jīng)過侵權法的冶煉后，未來可能基于《個人信息保護法》“知情權和決定權”的客觀法條款發(fā)展出新型權利。此時需要通過《民法典》《個人信息保護法》以及其他法律規(guī)范形成的客觀價值秩序，抽象出具體的新型主觀權利，并在客觀法方面明確權利內(nèi)容、權利屬性、權利客體、權利救濟和權利限制等要素；或者立足于《個人信息保護法》作為基本權利的基本法性質，對第44條進行擴張解釋。

四、結論

通過個人信息保護領域的法權邏輯結構分析，可以促進對個人信息權的體系性理解。個人信息權源自憲法層面的基本權利，表現(xiàn)為雙重性質的“個人信息受保護權”，受到積極保護和消極保護；延伸至私法領域表現(xiàn)為個人信息權益并受到消極保護，現(xiàn)階段不能將其按照私權化理解。客觀法中個人信息保護相關“權利”用語往往是作為工具而不是目的，權利條款與義務條款、責任條款共同組成保護個人信息特定利益的“法律之力”。未來在處理《民法典》和《個人信息保護法》銜接關系時，應當重視其程序性特征，限定于個人信息處理活動及處理關系。

將《個人信息保護法》第四章的規(guī)定解釋為程序性權利條款，契合《個人信息保護法》的立法定位，兼具公法和私法屬性，而不會局限于私權或公權的單一視角。在公法層面通過明確國家保護義務的對象和履行程序，為立法、司法、執(zhí)法、社會治理等國家給付義務提供規(guī)范工具；在私法層面通過明確個人對實體性個人信息權的保護方式和救濟手段，防范信息處理活動產(chǎn)生的侵害可能性或回復權利至不受侵害的圓滿狀態(tài)；各個層級的客觀法形成的整體法秩序，建立了源自基本權利保護的客觀價值秩序，體系性地承認并保護個人信息權。