摘要:  对于个人信息保护，当前主要存在是否设立权利和如何设立权利的重大分歧。无论是试图通过扩大隐私权保护个人信息，还是通过权益保护个人信息，抑或是主张基于场景实行行为主义规制，都难以全面应对信息风险社会的严峻现实。《民法典》《个人信息保护法》将个人信息作为权益保护，但却均为个人设立了一些具体权利。为了制约数字时代如影相随的“数据权力”，提高基于场景的行为主义规制的正当性与实效性，实现个人信息保护和合理利用的平衡，有必要设立个人信息保护的基础性权利。个人信息权、个人信息控制权、个人信息自决权均存在难以克服的弊端，应以新兴积极权利和公私主体义务的视角设立个人信息受保护权。个人信息受保护权同时内含“权利保护请求权”和“本权请求权”，包括消极防御和积极受益两个面向，为公私主体设定了个人信息保护的双重义务。

　　 关键词:  个人信息 隐私权 个人信息受保护权 积极权利 数字经济

　　 科学合理设立个人信息权利，是数字时代个人信息保护法治建设中无法回避的重大问题。《个人信息保护法》沿袭了《民法典》的思路，仍然保护的是个人信息权益，但却为个人设立了一些具体权利，如知情权、决定权、查阅权、复制权、删除权、可携带权。既然保护的是个人信息权益，又何来具体权利？个人在个人信息处理活动中的权利并非权能，其对应的基础性权利又是什么呢？“权利束”可以“包打天下”吗？个人信息保护基础性权利的缺失，导致个人信息难以得到公私法体系的融贯性保护，使个人信息保护的具体权利与义务难以及时跟上数字科技日新月异的发展节奏。只有在确定个人信息权益究竟属于何种法律权利的基础上，才能进一步推演相应的法律义务、责任和规范，达至一套科学完备的个人信息保护法律体系。[1]

　　 保护个人信息权益的法律定位，并没有消除个人信息保护权利化的争议，也没有有效解决个人信息保护实践的难题。对于个人信息保护的权利化，当前主要存在是否设立权利和如何设立权利的重大分歧。私法学者对个人信息权利进行了相对较多的研究。很多学者认为，为了提升个人信息保护预期的稳定性，防止科技与商业的非理性发展，实现人民对美好生活需要的“共同善”，应当设立个人信息权。[2]应当“完善《民法典》人格权编中关于个人信息保护的规定，明确个人信息权作为独立人格权的权利属性。”我国在修订《民法典》时，“应当明确赋予自然人以个人信息权”。[3]另有学者则认为，《民法典》中的个人信息保护综合运用了义务性规则和授权性规则，“‘个人信息权’已经蕴含在《民法典》个人信息保护规则之中”。[4]《民法典》确立了个人信息权的基本框架，《个人信息保护法》进一步细化了个人信息权的主体、客体、效力、行使条件、救济手段，“我国已然构建了一套以个人信息权为核心的个人信息保护法律制度”。[5]然而，我国至今没有任何法律直接使用“个人信息权”一词。

　　 少数公法学者则认为，以传统民事权利话语来界定个人信息保护最终难免出现各种矛盾，应确立个人信息控制权，将其作为一项新型公法权利。[6]另有学者认为，个人信息保护法体系建构的基础是国家在宪法上所负有的保护义务，该义务对应着“个人信息受保护权”。[7]反对赋权的学者则认为个人信息具有社会属性，如果把个人信息看作一种可以对抗他人的权利，将不利于个人信息的流通利用。为了解决个人同数据控制者之间不平衡的权力关系，确保数据隐私和安全，应建立数据信托制度。[8]

　　 当前研究无论是对个人信息权利的理论构建，还是对实定法的解释，都存在很大的分歧。数字时代是否以及如何设立个人信息权利，不仅直接关系国家义务的科学配置，涉及私主体的责任承担，还会影响数字经济的高质量发展。本文将首先考察当前个人信息保护权利化与否的路径分歧，对个人信息权、个人信息控制权、个人信息自决权等权利设立的流行观点进行全面反思，然后提出应以新兴积极权利和公私主体义务的视角设立个人信息受保护权，并对该权利的内容、规范对象、价值、可行性等进行系统探讨，以期为《个人信息保护法》的实施和完善提供一定的理论依据与学术支撑。

　　 一、个人信息保护权利化与否的争论

　　 个人信息保护的重要性不言而喻，但对于是否应当设立新型权利以更好地保护个人信息并未达成一致，《个人信息保护法》的颁布也没有消除相关争议。反对设立新型权利的典型观点，包括主张通过传统的隐私权保护个人信息、通过权益保护个人信息、基于信息处理场景实行行为主义规制等典型学说。

　　 （一）通过隐私权保护个人信息

　　 数字时代的隐私权日益岌岌可危。一些国家和地区试图通过不断扩大传统隐私权的内涵，来应对数字时代信息风险的新挑战，“大隐私”或信息隐私权的概念应时而生。有学者认为，我国信息隐私法发展面临重要的“宪法时刻”，技术巨变重构了社会图景，应从信息论和社会理论视角再造隐私，重构信息隐私权的规范基础。[9]应重新认识隐私与个人信息的关系，从宪法教义学上进行解释更新，“将隐私扩展到个人信息之上”。[10]

　　 在隐私保护实践中，以美国为代表的一些国家和地区，一直以来主要通过隐私权保护个人信息。1890年美国学者沃伦和布兰代斯在《论隐私权》一文中，首次提出“隐私权”概念，将其定义为生活不受干涉的权利。个人拥有隐私权，可以防止肖像被不当公开，保护私人事务不被新闻报刊不当描写、议论。[11]1965年，美国联邦最高法院在判决中提出，个人享有宪法性的隐私权。[12]1974年，美国颁布《隐私法》。随着互联网技术的不断发展，单靠传统的隐私权已无法有效保护个人的信息权利，隐私权的内涵不断扩张，信息性隐私权（information privacy）得以产生。2018年颁布的《加州消费者隐私法》拓展了隐私权，赋予消费者对个人信息的知情权、访问权、删除权和拒绝权等多项权利。在日本，《个人信息保护法》主要是通过隐私权保护个人信息，隐私权从传统的“个人生活安宁不受干扰”的消极权利，演变成为具有积极意义的“信息隐私权”。[13]我国台湾地区，也将隐私权作了扩大化理解，包括保护私生活不受干扰和信息自主两大方面。[14]

　　 在数字科技高度发达的数字时代，单纯靠传统的隐私权，无法有效保护个人信息。隐私权侧重于保护个人的生活安宁与行为秘密不受侵犯，具有消极性、防御性的特征，而个人信息权利具有积极性、公共性的面向。个人信息的主要价值在于社会交往的可识别性，发挥着个人与他人及社会的媒介作用，“对其保护不意味着像隐私一样不为人知晓”。[15]在外延上，隐私与个人信息存在交叉，隐私不限于信息形态，个人信息不必然属于隐私，一切可以直接或间接识别个人的信息都可以称为个人信息。在黄某诉某读书软件案中，法院认为，该读书软件在未获用户有效同意的情况下获取通讯录好友关系，并自动关注通讯录好友，还向其默认开放读书信息，虽然没有侵犯原告的隐私权，但侵犯了其个人信息权益。[16]不论是强行将个人信息保护纳入隐私权的范畴，还是为了个人信息保护来调整隐私权，在结果上要么会导致隐私权在理念上所追求的绝对自主空间的崩塌，要么会导致个人信息在运用上的困难以及与现实的背离，并且导致二者在内容上的互相侵害与恣意解构。[17]

　　 （二）通过权益保护个人信息

　　 此种路径将个人信息作为权益加以保护。《民法典》总则编第111条、人格权编第六章“隐私权与个人信息”，都只是使用了“个人信息”，明确将其界定为人格权益而非权利。《个人信息保护法》受到《民法典》的影响，仍然将个人信息作为权益保护，第1条的立法目的明确表述为“为了保护个人信息权益”。正如《关于〈中华人民共和国个人信息保护法（草案）〉的说明——2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上》所表明：“把握权益保护的立法定位，与民法典等有关法律规定相衔接，细化、充实个人信息保护制度规则。”然而，《个人信息保护法》第四章专门规定了“个人在个人信息处理活动中的权利”，赋予个人知情权、决定权、查阅权、复制权、删除权、可携带权等多项具体权利，显然存在逻辑体系上的矛盾。既然个人只享有个人信息权益，又何来具体权利？其上位的基础性权利是什么？而且，只是简单列举个人信息保护的一些具体权利，难免“挂一漏万”，导致无法推导出更多的新型具体权利，从而难以适应数字科技飞速发展带来的挑战。工具性的“权利束”无法“包打天下”，不同场景下公民因个人信息被处理而面临的尊严减损风险不尽相同，工具性权利也须相应调整。此外，同一套工具性权利难以同等适用于国家机关。[18]

　　 相比于个人信息权益而言，权利被侵害时，在加害行为的违法性认定和过错判断上对个人更有利，所提供的保护力度也更大。只将个人信息作为一种权益进行保护，“存在模糊性的弊端，会影响各方主体的行为预期”。[19]更为糟糕的是，如果只是保护个人信息权益，个人就难以全面有效地向国家和私主体主张积极的个人信息保护义务。赋予个人对其个人信息的人格权益，将其作为个人信息保护制度尤其是个人信息处理规则的构建起点，“不仅会造成个人信息保护法内在逻辑的混乱，也会对个人信息保护法律实践带来诸多问题”。[20]

　　 （三）基于信息处理场景的行为主义规制

　　 个人信息保护的行为主义规制论认为，不同的信息处理行为会造成不同的损害，应转向对信息处理行为的场景化规制。如有学者认为，由于地位不平等、交易成本巨大等因素，赋权路径无法解决个人举证难问题，也不能提高个人信息处理的违法成本，应重点规范信息处理行为。[21]规制信息处理行为的必要性与合理性往往取决于不同的场景，应根据“尊重场景”原则实行差别化的行为主义规制，“突破传统强化个人信息赋权的进路”。[22]在基于场景的风险管理理论下，需要根据具体场景中的风险评估采取不同的保护措施，实现从信息处理前的静态合规遵循，到信息使用中的动态风险控制的转变。[23]诚然，个人信息处理行为确实是高度场景化的，个人信息保护规制不宜“一刀切”。然而，基于场景的信息处理行为主义规制论者，并没有很好地回答究竟该如何根据具体场景保护个人信息、如何防范由于过于强调场景而导致的规制权滥用等问题。

　　 在数字时代，无论是试图通过扩大隐私权保护个人信息，还是通过权益保护个人信息，抑或是主张基于信息处理场景实行行为主义规制，都不足以全面有效地保护个人信息，难以应对信息风险社会的严峻现实。个人信息保护的权利化刻不容缓。

　　 二、个人信息保护权利化的必要性及其困境

　　 数字科技发展的极化效应很可能会使个体在技术进步中面临困境，国家治理现代化的终极理想应是保障每个个体都能实现自由、全面、充分地发展。[24]通过赋予个人以新兴信息权利，可以制约数字时代如影相随的“数据权力”，可以提高信息风险规制的正当性与实效性，从而有利于最大程度减少无处不在的信息风险，个人信息保护“不能也不应该”回避权利话语。[25]

　　 （一）个人信息保护权利化的必要性

其一，个人信息保护的权利化，有利于矫正信息处理中的权力不对等和信息不对称，可以为个人对抗个人信息处理者提供武器。无论是私主体还是国家机关处理个人信息，即便存在告知同意机制，但日益流于形式，个人始终处于弱势地位。数字时代的意思自治与契约自由面临严峻挑战，[26]个人很难自主做出明智的选择，往往无法有效保护自身信息，尤其是在个人很难评估其信息处理会造成潜在风险的严重性的情形下。由于个人信息处理者的权力与信息优势地位，导致意思自治难以实现，明显不利于个人同信息处理者进行讨价还价，(点击此处阅读下一页)