周 超

(貴州大學(xué) 法學(xué)院，貴州 貴陽 550025)

引言

2020年5月通過的《中華人民共和國民法典》，具有劃時代的意義，不僅是我國法律法典化的開山之作，同時也是一部在私法領(lǐng)域關(guān)系到老百姓從生到死的基礎(chǔ)性法律?！睹穹ǖ洹吩凇睹穹倓t》的基礎(chǔ)上，整合了原《物權(quán)法》《合同法》《侵權(quán)責(zé)任法》等相關(guān)民事單行法規(guī)，并將其系統(tǒng)化、完整化。《民法典》還新增了不少亮點內(nèi)容，其中最引人注目和具有爭議的便是人格權(quán)獨立成編。這也體現(xiàn)了《憲法》中“國家尊重和保障人權(quán)”的精神，而作為人格權(quán)篇中規(guī)定的關(guān)于個人信息保護的內(nèi)容，更是前所未有。有數(shù)據(jù)指出，截至 2020 年 12 月,我國網(wǎng)民規(guī)模達 9.89 億[1]，2012年大數(shù)據(jù)時代的到來，更是尤為凸顯個人信息保護的問題。隨著數(shù)字時代的深入發(fā)展，各國開始注重加強對個人信息的法律保護，科技技術(shù)的飛速發(fā)展也使得碎片化信息的高效能處理變?yōu)榭赡?，海量的個人信息處理及運用不僅影響著個人的生活，更影響著整個社會的安定與發(fā)展。人肉搜索、黑客入侵竊取數(shù)據(jù)、違規(guī)采集信息、大數(shù)據(jù)殺熟等侵犯公民個人信息的行為時有發(fā)生。在網(wǎng)絡(luò)信息時代，個人儼然成為了無處遁形的透明人，互聯(lián)網(wǎng)雖然減少了人與人之間信息不對等的問題，但也使得資本和公權(quán)力更容易掌控普通人的一舉一動。在資本和公權(quán)力揭下最后一塊遮羞布之前，加強對個人信息采集處理的法律規(guī)制迫在眉睫。

如上所述，對于個人信息數(shù)據(jù)的處理和應(yīng)用，不僅體現(xiàn)在私主體之間，更是廣泛應(yīng)用在公共管理之中。由于個人信息保護是首次唄規(guī)定在民事基礎(chǔ)性法律中，學(xué)界對此也產(chǎn)生了很多的討論。其一，既然個人信息保護被規(guī)定了在《民法典》中，那么是否可以賦予私主體個人信息權(quán)？個人信息權(quán)是為物權(quán)還是債權(quán)？如果為物權(quán)，那么是否具有占有、使用、收益、處分這四個傳統(tǒng)物權(quán)所具有的權(quán)能？如果為債權(quán)，那么能夠請求相對人為或不為何種行為？其二，公權(quán)力機關(guān)在個人信息保護中的身份，究竟只有一個消極等待事后救濟的裁決者，還是積極行動的保護者？如果公權(quán)力機關(guān)侵犯了個人信息的合法權(quán)益，僅能適用私法進行有效保護嗎？

上述問題看似煩雜，其實質(zhì)可以分為兩個方面：一是對個人信息的確權(quán)方面，一是個人信息保護中的政府責(zé)任或國家義務(wù)。本文認為，個人信息保護是具有憲法基礎(chǔ)的。具體論述除了以上兩個方面以外，還將闡述《民法典》中個人信息保護在法治政府建設(shè)中的體現(xiàn)。

一、個人信息權(quán)利化的探究

有學(xué)者以民事權(quán)利基礎(chǔ)理論來確認個人信息權(quán)。第一，將個人信息認為是一項具體民事權(quán)利并加以保護，有學(xué)者認為，依照《民法典》總則“民事權(quán)利”一章第111條的規(guī)定，個人信息受法律保護，據(jù)此可以認定個人信息是民事權(quán)利的客體[2]。當然，個人信息權(quán)不屬于物權(quán)債權(quán)中的任何一種，而是一種新型獨立的人格權(quán)[3]，體現(xiàn)了自然人對個人信息的占有和支配[4]，具有排他性。人格權(quán)篇中第1034條至第1039條，規(guī)定了個人信息的范圍、處理原則、法律責(zé)任等內(nèi)容，也對上述觀點進行了補強。對于個人自我信息，還從其基礎(chǔ)權(quán)能中派生出其余的權(quán)能，如自然人對自我信息有知情權(quán)，他人處理個人信息應(yīng)當?shù)玫疆斒氯送?，當事人有?quán)對自我信息進行刪改、查詢等。第二，認為個人信息權(quán)益純粹是私法領(lǐng)域的內(nèi)容，不論是私權(quán)利主體侵害了個人信息權(quán)益，還是公權(quán)力機關(guān)侵害了個人信息權(quán)益，都可以以作為民事權(quán)利的個人信息權(quán)，要求侵權(quán)主體承擔相應(yīng)的法律責(zé)任，至于刑法、行政法中對保護個人信息的規(guī)定，只是作為更好的、全面的保護民事權(quán)利的補充。在這個基礎(chǔ)上，國家公權(quán)力機關(guān)也可以作為民事訴訟主體，和其余民事主體一樣具有平等的法律地位。另外，公法中對個人信息處理行政監(jiān)管的要求不過是對政府行為進行規(guī)范，不影響個人信息成為民事權(quán)利。因此，民法學(xué)者根據(jù)“信息處理者民法義務(wù)——侵權(quán)者民法責(zé)任——民法規(guī)范”[5]的邏輯，認為包括公權(quán)利機關(guān)在內(nèi)的所有主體都負有不侵犯個人信息權(quán)的義務(wù)，以賠償損失，恢復(fù)原狀為責(zé)任承擔形式[6]，從而在民法典確認個人信息權(quán)，并為個人信息保護的特別立法提供民法基礎(chǔ)。

然而，事實上隨著信息時代網(wǎng)絡(luò)技術(shù)的高速發(fā)展，傳統(tǒng)隱私權(quán)保護已經(jīng)捉襟見肘，對于個人信息的保護，簡單的私法保護模式早已無法滿足時代的需求。我國關(guān)于個人信息的法律保護由來已久，早在2000年全國人大常委會就發(fā)布了《關(guān)于維護互聯(lián)網(wǎng)安全的決定》，根據(jù)立法精神，對個人信息的法律保護最早是以刑事懲戒為主，如《刑法修正案(七)》中增設(shè)非法獲取，提供個人信息的相關(guān)罪名，《刑法修正案(九)》又在此基礎(chǔ)上擴大了主體范圍和行為方式。之后，在其他部門法之中也出現(xiàn)了零散的規(guī)定，如《居民身份證法》《護照法》《統(tǒng)計法》《消費者權(quán)益保護法》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等前后二十余部法律中，規(guī)定了包括且不限于個人信息處理的范圍、個人信息主體權(quán)利、行政主體義務(wù)以及侵權(quán)責(zé)任等內(nèi)容，其中最新的《網(wǎng)絡(luò)安全法》《電子商務(wù)法》還分門別類地將互聯(lián)網(wǎng)服務(wù)提供者、網(wǎng)絡(luò)運營者、電子商務(wù)經(jīng)營者作為規(guī)范對象，分別予以規(guī)制?？梢姡覈鴤€人信息保護以分散立法為主，形成了多層次、多領(lǐng)域、內(nèi)容交叉、體系龐雜的法律規(guī)范體系[7]?！睹穹ǖ洹分皇亲鳛樽钊娴姆苫貞?yīng)，但這并不代表著可以僅將個人信息保護納入民法保護的范圍，在理論和實踐層面，這些都是值得推敲的。下面將從個人信息的具體內(nèi)涵出發(fā)來具體分析。

二、個人信息保護的具體內(nèi)涵

關(guān)于個人信息保護的定義，《民法典》第1034條表述為：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息”，與《刑法》中相關(guān)表述類似，最近新發(fā)布的《個人信息保護法草案(二審稿)》(以下簡稱《二審稿》)表述為：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息?！笨梢?，《民法典》是以“識別”為標準來認定個人信息，但《二審稿》則突破了這個標準，擴大范圍，將“關(guān)聯(lián)”也納入至標準中，由此可見后者對于個人信息的保護更為寬泛，也使得民法規(guī)范并不足以成為個人信息保護法律體系的基礎(chǔ)。另外，個人信息雖然具有巨大的價值，但這只能在經(jīng)過處理之后才體現(xiàn)，個人并不能從對自我信息的占有來獲得收益，保護個體占有并不具有現(xiàn)實意義；個人信息具有天然地具有公共性、交互性，它既不特定，也非獨立，更不屬于無形物，與傳統(tǒng)的人格權(quán)、財產(chǎn)權(quán)也不盡相同，同時，個人信息的非排他性和非損耗性使得數(shù)字社會得以縱深發(fā)展，不應(yīng)成為排他、對世的權(quán)利對象[8]，作為民事權(quán)利的客體也無法表彰[9]?！抖徃濉返谑龡l第二到七款的規(guī)定使個人支配自我信息的權(quán)利受到很大的限制，如果依照民法路徑來保護個人信息權(quán)，那么在很多情況下，諸如公開的個人信息是無法被有效保護的。既然個人信息需要經(jīng)過處理才能發(fā)揮出其相應(yīng)的價值，那么關(guān)于個人信息保護的核心問題應(yīng)當是個人與信息處理之間的“非對稱權(quán)力結(jié)構(gòu)”[10]。個人信息保護的是其流轉(zhuǎn)價值，所派生出的知情、查詢、修改、保密、刪除等在本質(zhì)上是在實現(xiàn)有效阻止個人信息被非法濫用的特定立法目的，不能認為其具有民法屬性。因此，對于個人信息權(quán)利化，應(yīng)當確認“個人信息保護權(quán)”，并且以請求權(quán)能為基礎(chǔ)，請求相對人在處理個人信息為或不為一定行為。

個人信息權(quán)益兼具私法權(quán)利與公法權(quán)利的屬性，其請求權(quán)能已經(jīng)超出了民法的請求權(quán)，不僅僅局限于請求數(shù)據(jù)處理人為或不為一定行為，還可以請求國家公權(quán)力機關(guān)予以保護，因為純粹的民事權(quán)利實際上無力對抗公權(quán)力機關(guān)。由于信息主體與信息處理者之間的高度不平等，將個人信息權(quán)益賦予公法私法的雙重屬性，采取多重保護機制，不僅可以使國家負擔起保護個人信息權(quán)益的義務(wù)，同時，當公權(quán)力機關(guān)分處平等主體和國家機器兩種不同身份的時候，可以依據(jù)不同法律屬性對于個人信息權(quán)益加以保護，若籠統(tǒng)地將公權(quán)力機關(guān)與私人處理者認定為私權(quán)利主體，那么可能會造成“公法遁入私法”，使公權(quán)力機關(guān)逃脫公法約束。因此，個人信息權(quán)益應(yīng)當具有更為豐富的內(nèi)涵，而不僅限于民事屬性。

三、個人信息保護的憲法基礎(chǔ)

綜上所述，在個人信息的保護路徑上，應(yīng)當進行公法和私法的雙重保護。站在更宏觀的層面上，只有將個人信息保護權(quán)作為憲法基礎(chǔ)權(quán)利的延伸，才能將上述公私法的雙重內(nèi)涵囊括其中。從域外立法來看，歐盟個人數(shù)據(jù)保護的權(quán)利來源是憲法性權(quán)利，美國則將特定領(lǐng)域的個人信息保護直接立法，并且這些規(guī)制主要針對商業(yè)或?qū)I(yè)機構(gòu)，不適用一般的私主體，即便是我國也并未將個人信息保護完全私權(quán)化，僅僅強調(diào)個人信息保護應(yīng)當受法律保護。對于可以描繪出自然人基本數(shù)據(jù)畫像和行蹤的個人信息，將其納入到憲法保護的范圍，并不是殺雞焉用牛刀，而實際上歐盟也早已在憲法層面確立了個人信息保護的國家義務(wù)。從另一個角度講，《刑法》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》對個人信息權(quán)益的保護均是直接以《憲法》為制定基礎(chǔ)的，并未有相關(guān)的私法屬性，而《民法典》也開宗明義地表示“根據(jù)憲法，制定本法”。隨著個人信息保護的全球擴張，通過全方位、多角度的保護，在憲法層面確立相關(guān)權(quán)益，已成為學(xué)界共識，許多國家也將個人信息保護納入基本權(quán)利范圍，并且隨著合憲性審查的工作推進，我國也將逐漸排除個人信息保護基本權(quán)利的制度障礙，憲法基本權(quán)利也不會再是紙面權(quán)利。但我國憲法中公民具體的基本權(quán)利并未明文規(guī)定個人信息受保護權(quán)，能否將其納入基本權(quán)利保護？我國憲法中只有第33條規(guī)定的“國家尊重和保護人權(quán)”，以及38條規(guī)定的“公民人格尊嚴不不受侵犯”與個人信息保護有關(guān)。這里關(guān)于“人格尊嚴”，可以理解為其不僅包絡(luò)具體的名譽權(quán)，肖像權(quán)，更深層次的內(nèi)涵在于，作為一種原則性概括，是為了體現(xiàn)整個人權(quán)保障體系的基礎(chǔ)價值[11]?！肮袢烁褡饑啦皇芮址浮钡膶嵸|(zhì)是憲法保障公民作為獨立意志主體，其人格尊嚴不受侵犯的一般人格權(quán)。人權(quán)、人格權(quán)、人格尊嚴，都體現(xiàn)了保護個人信息的最終價值依歸。雖然對個人信息的保護范圍廣，其內(nèi)容龐雜，但不論是何種個人信息，其違規(guī)處理以及濫用的最終結(jié)果都將擾亂了個人在社會生活的安定與安寧，諸如人肉搜索，疫情期間非法公開被感染者個人信息，大數(shù)據(jù)殺熟，歧視等，侵犯的都是人作為一個主體所應(yīng)當具有的，本源性的人格權(quán)利。所以通過憲法的目的解釋，個人信息應(yīng)當被納入《憲法》基本權(quán)利范圍。

信息生產(chǎn)者是否作為個人信息保護的權(quán)利主體，在理論上尚有爭議，作為個人信息保護的權(quán)利客體，學(xué)界在認識上也有些模糊。在概念上，個人信息除了上述民法學(xué)界所以表達的“個人信息權(quán)”，以及“個人信息保護權(quán)”，還有“個人信息控制權(quán)”。如果將個人信息主體限制為信息主體獨有，那么就是肯定了“個人信息控制權(quán)”，等于重回了將個人信息私權(quán)化的老路子，承認了一種近乎所有權(quán)的支配權(quán)，會阻礙信息流通，禁錮思想。并且在邏輯上，個人信息從信息主體中產(chǎn)生并通過某種形式構(gòu)建，個人對信息并不“天然”擁有某種原始權(quán)利，個人信息似乎也無法作為私人財產(chǎn)而進行處分，故“個人信息權(quán)”，“個人信息控制權(quán)”都是同樣地將個人信息私權(quán)化而將保護范圍變窄。個人固然對自我信息的處理有一定發(fā)言權(quán)，但并不意味可以有最終決策權(quán)。對此我國立法也作出了一些回應(yīng)，不僅在《民法典》中確定了個人信息受保護權(quán)的民事權(quán)利，在《網(wǎng)絡(luò)安全法》中也規(guī)定了相關(guān)主體的保護責(zé)任。同時，《二審稿》中規(guī)定了任何組織和個人都不侵害自然人的個人信息權(quán)益，這種“個人信息權(quán)益”實際上就是指為了基于保護個人信息的目的實現(xiàn)而產(chǎn)生的各種保障性權(quán)益。個人信息保護作為民行刑交叉的內(nèi)容，橫跨各個領(lǐng)域的部門法，只有將其納入作為根本大法憲法的基本權(quán)利范圍，才是個人信息保護概念的題中應(yīng)有之義。

四、個人信息保護的國家義務(wù)確立及開展

以憲法作為根本大法的法律地位，以及法理學(xué)中法的基本作用，憲法在個人信息保護中主要體現(xiàn)出以下幾點：一是指引作用。憲法作為效力最高的根本法，雖然沒有明文規(guī)定個人信息受保護的相關(guān)權(quán)利，依舊可以依據(jù)憲法規(guī)范來指引立法者，通過立法將個人保護規(guī)則具體化，憲法精神凸顯和強化了國家的任務(wù)、目標和理念。二是評價作用。國家義務(wù)包括國家對于市場的干預(yù)，這是憲法在個人信息保護中評價作用的體現(xiàn)，這就要求國家在不僅不能夠消極應(yīng)對應(yīng)當承擔的義務(wù)而不作為，同時要求國家不能濫用公權(quán)力而亂作為。三是協(xié)調(diào)作用。通過憲法確立國家義務(wù)，可以有效控制和整合國家公權(quán)力的各種作用方式，結(jié)合公法保護與私法保護，共同維護社會共同體的整體法益。同時，在公法保護中，還應(yīng)當依據(jù)比例原則，平衡不同社會主體之間的利益，平衡個人信息保護與公共利益、私人利益之間的關(guān)系。

個人信息保護的國家義務(wù)類型可以分為消極義務(wù)和積極義務(wù)。消極義務(wù)是指國家自身賦有不得侵犯的禁止作為義務(wù)，也即公民有權(quán)請求國家不得干預(yù)和侵犯個人信息權(quán)益；積極義務(wù)是指國家應(yīng)當轉(zhuǎn)變“守夜人”的身份，對個人信息處理采取積極保護的態(tài)度，主動規(guī)制和監(jiān)管相關(guān)的信息處理機構(gòu)。長期以來，各國主要強調(diào)國家的消極義務(wù)，強調(diào)個人信息保護的防御權(quán)，但隨著時間的推移，大數(shù)據(jù)時代出現(xiàn)了越來越多的組織化的信息處理機構(gòu)。他們具有強大的，個人無法抗拒的數(shù)據(jù)處理能力，個人難以在此過程中作出清醒的判斷，這是就需要國家創(chuàng)造和維護制度環(huán)境，來促進對個人信息的保護和數(shù)據(jù)處理的監(jiān)管。只有國家充分保護才有利于這一憲法意圖的實現(xiàn)，保證個人對抗大規(guī)模持續(xù)化數(shù)據(jù)處理中人權(quán)不受侵犯；面對個人與信息處理組織之間的不平等地位，只有通過國家公權(quán)力對信息處理者強有力的規(guī)制，才能保護處于弱勢地位的個人，避免其喪失主體地位而淪為工具。

確定了個人信息保護權(quán)的憲法基礎(chǔ)，不僅可以明確《民法典》中個人信息保護的民事權(quán)利屬性，更重要的確立了國家保護公民個人信息的義務(wù)。個人信息保護權(quán)以保護個人在處理信息過程中的人格尊嚴為目標，范圍包括以識別與關(guān)聯(lián)標準下的個人信息，權(quán)能包括知情權(quán)、決定權(quán)、查詢權(quán)、復(fù)制權(quán)、刪改權(quán)等。在此基礎(chǔ)上，國家負有促進個人信息受保護的憲法意圖實現(xiàn)的義務(wù)。公法上，憲法基本權(quán)利具有雙重性質(zhì)，它既是一種主觀權(quán)利，也是一種客觀法。[12]主觀權(quán)利功能所對抗的是公權(quán)侵害個人信息的風(fēng)險，其法學(xué)基礎(chǔ)來源于：有限政府法無授權(quán)不可為[13]?！睹穹ǖ洹返?035條第1款規(guī)定了，處理個人信息應(yīng)當?shù)玫叫畔⒅黧w的同意，但這僅僅是對平等主體的要求，對于國家機關(guān)應(yīng)當以更高的標準。這也體現(xiàn)了《二審稿》中要求國家機關(guān)必須依照法律、行政法律的權(quán)限和程序，履行法定職責(zé)處理個人信息，還有大量具體的規(guī)范設(shè)定了國家機關(guān)在保護公民個人信息方面的義務(wù)和責(zé)任，如《民法典》《網(wǎng)絡(luò)安全法》中的保密義務(wù)，以及不得出售和非法提供的義務(wù)，但依舊存在覆蓋層面不足、規(guī)范密度低、缺乏特別規(guī)定等缺陷，目前亟待出臺一部行政法律專門針對公權(quán)力機關(guān)的個人信息處理?？陀^法功能是以對抗私主體對個人信息權(quán)益的侵害，包括保障功能的制度支持，保障功能的組織和程序支持，其最終目的都在于防止個人信息權(quán)益免受第三人的侵害。這個第三人可以是國家機關(guān)，也可以私人信息處理者，但在監(jiān)管下都是以民事主體的身份來看待。在這一點上無論是《刑法》《民法》等基本法律，還是《網(wǎng)絡(luò)安全法》《個人信息保護法》等單行法律，都作出了相應(yīng)的規(guī)定，并形成了一個整體完備的個人信息保護制度體系。為有效發(fā)揮客觀法功能，應(yīng)當堅持以憲法權(quán)利為基礎(chǔ)，加強憲法權(quán)利向部門法權(quán)利的延伸，當部門法權(quán)利不足以覆蓋所有個人信息侵害風(fēng)險源時，反過來可以以憲法作為解釋和彌補漏洞的基礎(chǔ)。值得一提的是，個人信息保護手段應(yīng)當適當，對于憲法個人信息保護權(quán)也應(yīng)當作出一定的限制，而這種基本權(quán)利的限制本身也要受到限制，即在確保人格尊嚴的前提下，處理個人信息，遵循法律保留與比例原則。

如何落實國家保護義務(wù)也是一個重要的問題，有學(xué)者認為，個人信息保護難以在單一部門法中實現(xiàn)，屬于民行結(jié)合的內(nèi)容，因此產(chǎn)生了《個人信息保護法》，本質(zhì)上是領(lǐng)域立法。[14]在個人信息處理中，不僅要實現(xiàn)“結(jié)果正義”，更重要的要實現(xiàn)“過程正義”，“過程正義”的實現(xiàn)要求個人參與乃至主導(dǎo)信息處理過程，享有可否被采集，能否被公開的知情權(quán)以以及信息處理者的告知義務(wù)，同時賦予信息主體同意、刪除、更改、更正、攜帶信息等權(quán)利，以實現(xiàn)有效地深度參與，而“結(jié)果正義”要求實現(xiàn)憲法上保護個人信息的目的與意圖，即人格尊嚴，這就要求國家公權(quán)力介入其中，幫助乃至代替?zhèn)€人決定。[15]“過程正義”的保護注重個人在信息處理中的自決權(quán)，是以民法意思自治為基礎(chǔ)的。一方面?zhèn)€人主導(dǎo)在保護隱私，提升安全感方面具有重要意義，另一方面絕對的個人控制又會使得個人信息的流通與處理止步不前。同時由于個人在信息處理中的盲從性與專業(yè)處理機構(gòu)的知識壁壘之間有巨大的矛盾，這就要求以“結(jié)果正義”予以補充，“結(jié)果正義”中以社會公共利益為本位諸如個人信息保護制度中，能夠減少個人自決權(quán)在信息處理中的不良影響，但也會降低甚至否定個人參與的價值，這又需要通過“過程正義”來取長補短。海量的個人信息處理不僅應(yīng)用于商業(yè)上，更多的體現(xiàn)在公共領(lǐng)域，雖然社會利益具有整體性，不能將其看做各個主體之間利益的簡單相加，也不是某一群體的利益或所謂多數(shù)人的利益[16]，但這其中的不當處理所產(chǎn)生的侵害最終還是負擔在個人的頭上。因此，引入國家保護義務(wù)矯正信息處理者與個人之間的不對等關(guān)系，通過公權(quán)力強有力的引導(dǎo)和規(guī)制，才能保障個人享有參與個人信息處理的自由，同時保障信息流通和公共利益的實現(xiàn)。

綜上所述，將“過程保護”和“結(jié)合保護”相結(jié)合是最為有效的方案，這一點也在《二審稿》中得到了體現(xiàn)。具體內(nèi)容包括告知同意規(guī)則，即保障個人知情、參與、決定的權(quán)利;還包括自動化決策規(guī)則，即對于自動化決策對個人權(quán)益有重大影響的信息處理，個人有權(quán)要求作出說明或拒絕權(quán)，以及重點個人信息如身份信息的處理規(guī)則。

結(jié)語

在現(xiàn)代社會，信息處理活動影響著人們決定如何進行選擇以及選擇的結(jié)果，大數(shù)據(jù)時代數(shù)據(jù)已經(jīng)不再是數(shù)據(jù)本身，而是成了一種權(quán)力。大數(shù)據(jù)在方便人們生活，增加社會福祉，以及減少信息差方面作出了巨大貢獻，但也改變了社會權(quán)力結(jié)構(gòu)。在風(fēng)險來源方面，企業(yè)等商業(yè)機構(gòu)所代表的“準數(shù)據(jù)權(quán)力”以及履行公共職能的主體所代表的“公共數(shù)據(jù)權(quán)力”，成為主要侵害風(fēng)險源。在社會治理以及商業(yè)用途方面，個人信息處理面臨著諸多風(fēng)險點。首先個人信息可能會被違規(guī)采集，或者超出了法律規(guī)范所規(guī)定的采集范圍，過度進行采集，這一點在手機App后臺采集以及政府職能采集方面多有體現(xiàn)；其次個人信息可能會被違規(guī)加工，具體體現(xiàn)在對個人信息進行違法標注，企業(yè)主體可能會對根據(jù)標注對一些重點人群采取大數(shù)據(jù)殺熟、價格歧視的行為；在社會治理方面，政府也會對特定主體采取不當限制，在非刑偵偵查等重點領(lǐng)域過度加工數(shù)據(jù)，可能存在侵犯公民人權(quán)之嫌，政府采集的個人信息還有可能被濫用，如政府擴大個人行為責(zé)任，利用職權(quán)采集信息，為違法限制公民權(quán)利大開方便之門。

從個人信息保護的立法沿革來看，《民法典》的有力回應(yīng)，只不過是在私法領(lǐng)域?qū)€人信息保護進行了補充。規(guī)范公權(quán)是公法的主要任務(wù)，保障私權(quán)由私法來實現(xiàn)，似乎二者應(yīng)當并行不悖，但實際上，只有通過私法確認和保障私權(quán)，才有依法行政的遵循。[17]《民法典》作為民事基本法，確立對個人信息權(quán)益的私法保護制度，并不意味著將個人信息權(quán)或個人信息保護權(quán)私法化，恰恰相反，由于過去對于個人信息的法律保護主要以公法保護為主，缺乏私法保護，《民法典》的規(guī)定正是對以往法律漏洞的補充。其中，《民法典》擴大了個人信息的保護范圍，國家公權(quán)力機關(guān)不再僅僅是監(jiān)管者，同時也成為了信息處理者，在監(jiān)管他人的同時也負有自我監(jiān)管的義務(wù)。公法私法保護相結(jié)合很好地滿足了對個人信息保護這一憲法規(guī)范所要實現(xiàn)的目的。

值得一提的是，在平衡個人信息保護和利用方面，《民法典》確立合理使用規(guī)則，明確了合理使用的范圍即“為維護公共利益及該自然人的合法權(quán)益”，并且明確了不同場景個人信息的使用內(nèi)容及利用個人信息的方式，但在對行政機關(guān)和人員的規(guī)制方面卻有些不足，還需要在公法上加以補充。另外由于《民法典》對個人信息定義為人格權(quán)益，可能導(dǎo)致面對國家公權(quán)力機關(guān)侵害個人信息權(quán)益時，無法適用《國家賠償法》。因此，還需要相應(yīng)的公法規(guī)范來完善國家保護義務(wù)。在落實國家保護義務(wù)上，以憲法為基礎(chǔ)，從過程控制和司法救濟出發(fā)，加強個人信息保護的事前預(yù)防與事后監(jiān)管，保證信息處理過程的透明度和可參與度，以“過程正義”促進“結(jié)果正義”。至于如何以憲法保護的目的實現(xiàn)來搭建全方面、多角度的個人信息保護法律體系，還有待進一步的研究。