付新华 ｜ 个人信息权的权利证成

个人信息权在我国仍然只是一项新兴权利，而非法定权利。这在一定程度上可归结于近年来在国内学界占据强势地位的个人信息利益保护论，其核心观点是个人信息权会阻碍个人信息公共利益的实现。个人信息在流通利用中产生价值，个人信息权亦在流通利用中被赋予数据主体。个人信息权与公共利益并非对立关系。个人信息权是自然人在数据处理过程中对个人信息有限的自主决定和控制权，而非排他占有和圆满控制。人的尊严与自主性作为内在理由，可以独立证成个人信息权。当代中国语境下的“共同善”作为个人信息权的外在理由，可以为个人信息权的证成提供辩护力量。个人信息权是一个开放的概念，它可以有效弥补单一行为规制模式的缺陷，并构成对效用最大化的边际约束。对个人信息权的保护应当成为整个法秩序的共同使命，形成公法和私法的双重保护进路。

关键词：个人信息权；权利证成；人的尊严与自主性；“共同善”

个人信息是权利抑或法益？自2017年《民法总则》颁布以来，这一问题成为法学界的争议焦点之一。囿于民法教义学的解释论框架，个人信息的“利益保护论”者与“权利保护论”者陷入了无休止的争论之中。正如张新宝教授所指出的，从对民法典的文义解释和教义学分析中，我们无法得出唯一解，民法对个人信息的保护既可能是一项民事权利，也可能是一项民事权益。2020年5月28日十三届全国人大三次会议表决通过的《民法典》以及2021年8月20日十三届全国人大常委会第三十次会议表决通过的《个人信息保护法》仍然没有在法律上确认个人信息权，前者延续使用了《民法总则》的“个人信息”的称谓，后者采用的是“个人信息权益”的称谓。因此，从现行法律的规定来看，个人信息权在我国仍然只是一项新兴权利，而非法定权利。

从新兴权利到法定权利，个人信息权需要跨越立法的决断这道鸿沟。显然，个人信息权至今未能跨过这道鸿沟。在数字时代，保护个人信息已成为社会共识，没有人否认保护个人信息的重要性。然而，为什么人们只能被动地接受或等待法律的保护？法律为什么不能“名正言顺”地赋予人们个人信息权？是什么阻碍个人信息权成为一项法定权利？这些问题的答案可能要部分地归结于近年来在国内学界占据强势地位的个人信息利益保护论，该理论的核心观点是，确立个人信息权会阻碍个人信息公共利益的实现。

在《民法典》的规定已成既定事实的情况下，对个人信息权进行民法教义学的解释论证成尽管是必要的，却是不够的。本文旨在突破教义学的解释论框架，借助权利理论对个人信息权进行价值上的证成，也就是借助权利理论来论证个人信息权基于什么理由或价值而应当成为法定权利。同时，本文力图对当前学界的个人信息利益保护论进行反思与匡正，在一定程度上打消立法者的顾虑，并尝试描画数字时代个人信息权的规范构造，以期推动个人信息权实现从新兴权利到法定权利的身份蜕变。

个人信息利益保护论以权利功利主义的后果论为理论基础，天然承袭了后果主义的诸种弊端，在一定程度上导致了立法者的矛盾与纠结。法律对个人信息应采取权利保护方式还是采取利益保护方式，不是一个无关紧要的问题，而是关涉个人信息法律保护的基础理论问题和前提性问题，决定着对个人信息的法律保护的力度和限度。

（一）个人信息利益保护论的理论根基：权利功利主义的后果论

随着人类社会由信息时代发展到以数据作为生产要素的大数据时代，国内学界对个人信息的研究发生了从默认的个人信息权利保护到利益保护的转向。以齐爱民教授和周汉华教授分别提出个人信息保护法专家建议稿为标志，国内学界关于个人信息法律保护的研究越来越多。在此之后的大约十年间，学界几乎理所当然地或者说默认地采用“个人信息权”称谓，对“个人信息的法律保护”和“个人信息权”基本上没有进行明确的区分。随着大数据、人工智能等新技术的发展，个人信息的经济价值日渐凸显。鉴于个人数据中蕴含着公共价值或公共利益，主流学界由最初“理所当然”的“个人信息权”立场转向对个人信息权进行反思，最终形成了在学界具有压倒性优势的“个人信息利益保护论”。 

个人信息利益保护论的核心观点是，大数据时代的个人信息具有公共性和社会性，确立个人信息权将阻碍个人信息中蕴含的经济利益和公共价值的实现，因此反对从法律上确立个人信息权，主张采用行为规制模式，对个人信息以“利益”或“权益”的方式进行保护。具体而言，个人信息利益保护论者主要有三点主张。第一，个人信息利益保护论者反对从法律上确认个人信息权，认为个人信息权会阻碍个人信息中蕴含的公共价值或公共利益的实现。如有学者认为，个人信息具有公共属性，关涉他人和社会利益，对个人信息的使用不应当由个人决定，而应当由社会决定，由法律决定。欧美国家建立在个人主义基础上的个人数据保护或隐私理论无法解决个人信息的个人控制与社会化利用之间的矛盾，个人信息保护的基本理论应实现从个人本位到社会本位或从个人控制到社会控制的转变。第二，个人信息利益保护论者认为公共利益优位于个人利益，认为保护个人信息的第一性目的是促进个人数据信息中蕴含的公共利益的实现，对个人利益的保护只是这一目的的附属品或次级目的。如有学者认为，应该将个人数据信息作为公共物品来规制，这在制度上将更有效率，治理的目的是基于对公共利益和公共安全的考量促进个人数据信息的共享和使用，而不是保护个人私权，因此，规制不再需要以个人对自己数据信息的判断和允许他人使用为前提，可不再适用私权利社会中的个人自愿原则。第三，个人信息利益保护论者认为个人信息只是法律所保护的利益，他们将法律对个人信息的保护描述为“个人信息受保护权”。如有学者明确指出，主张个人信息权的观点忽视了个人信息的自由流通属性与公共属性，立法应当确立一种“个人信息相关权益被保护权”。还有学者提出，应以“个人信息受保护权”为宪法基础，构建个人信息保护法体系。

个人信息利益保护论实乃权利功利主义的后果论在个人信息保护领域的集中展现。关于权利为何应当受到尊重，或者说关于权利的特殊重要性或规范力来源的解释，主要存在两种相互竞争的哲学进路，即义务论（deontological）与后果论(consequentialist)。义务论与后果论的根本分歧在于，它们对“后果”之于权利证成的作用这一问题的认识不同。义务论者认为，人类具有的特性使得将特定权利赋予人们并且尊重这些权利是适当的，权利应当受到尊重，因为这样做是合理的，而不是因为这样做能带来好的后果；后果论者主张，对特定权利的尊重是产生最优利益分配和总效用最大化的一种方法，好的后果就是规定和实施权利的正当理由。后果论把权利描述成达致社会效用最大化和利益最优分配的工具。具有代表性的后果论是规则功利主义（rule utilitarianism），在该理论中，权利是规则的组成部分，对规则的遵守将会达致对利益的最优分配，而最优分配则意味着总效用的最大化。由此，一种权利的功利主义（utilitarianism of rights）理论出现了，其代表人物密尔认为，社会应当保护个人的权利，因为这样做会给社会成员带来总效用的最大化。然而，当权利的功利主义论者认为确立某个权利不会产生效用最大化的后果时，该权利将无法得到证成。个人信息利益保护论者认为，确立个人信息权将阻碍个人信息公共利益的实现，亦即无法实现社会效用最大化，因此反对个人信息权，这正是权利功利主义的典型逻辑。

个人信息利益保护论天然地承袭了权利功利主义后果论的诸种弊端。作为后果论的典范，功利主义的后果论路径已受到诸多批判。首先，正如莱夫·韦纳（Leif Wenar）所指出的，如果权利只在其能产生好的结果的意义上被证成，那么只要无法达到效用最大化，或最大化效用在别处，权利将无法被证成，甚至会被严重削减。其次，功利主义的后果论以目的正当性来证成手段的正当性，它评价任何事情的标准都是后果主义的，允许为了更多人的利益而伤害一个无辜的人，不论这个目标是“经济增长”“国家利益”还是“社会福利”。最后，所有工具性的正当理由都依赖于有关何种权利归属会导致何种后果的经验性预测，在这些经验性预测中，通常会存在足够多的空缺，留待工具论者去编造权利的由来，或者反对权利的证成。

相应地，个人信息利益保护论至少存在以下几个问题：第一，个人信息利益保护论以经济利益或公共利益为第一性目标，否认个人信息中蕴含的人格利益，漠视数字时代公民个人信息中蕴含的人的尊严和自主性，加剧了个人在与平台权力、政府公权力的力量对比中的不平等。第二，个人信息利益保护论以后果主义的公共利益和社会效用最大化为标准，简单地将个人信息权与公共利益的实现对立起来。这种经验性预测缺乏必要的实证根据。第三，个人信息利益保护论集中关注实现个人信息中蕴含的公共价值，以及使个人信息的社会效用最大化，但对于效用最大化后产生的利益应如何分配，则缺乏应有的关注和重视，最后的结果很可能是处于强势地位的政府和企业平台获取了更多的利益，而公民个人信息成为被剥夺的“剩余价值”。第四，个人信息利益保护论将个人信息权描述为“个人信息受保护权”，表现了其内在矛盾与纠结。当人们的个人信息权受到侵害时，相关论者却说个人信息受保护权受到了侵犯，试图以此限制个人信息权的积极权能，在逻辑上混乱且无意义，实乃“名不正则言不顺”。

（二）个人信息利益保护论的实践后果：利益与权利的“实践差异”

权利具有不同于利益的特殊规范力（normative force）。个人信息利益保护论主张对个人信息采取利益保护的方式，将在后果上造成不同于权利保护的“实践差异”（practice difference）。

第一，在实践推理的意义上，权利的重要性超越了权利人利益的重要性。这一点充分体现于权利保护的严格性（stringency）与权利人利益的重要性（可能较小）之间存在缝隙或不匹配这一事实之中。拉兹的关于旧衬衫的经典例子可以帮助我们更好地理解这种差异或缝隙：假设我有一件旧衬衫，这件衬衫对我的利益很小，但我对这件衬衫的财产权赋予了我特殊的力量（strength），使我得以对抗对这件衬衫有需求利益的其他任何人。如果仅从利益的重要性来看，个人信息中的个人利益（尤其是经济利益）可能确实不如个人信息的公共价值重要，那么确立个人信息权对于个人的价值似乎就超过了个人信息本身对于个人的价值，这也是个人信息利益保护论者反对确立个人信息权的重要理由。然而，个人信息利益保护论者忽略了这样的事实：权利持有人对自由或自主性的利益是大多数权利正当化的核心要素。个人在一定程度上拥有的对个人信息的自由决定权，对于个人的意义不可谓不大。拉兹的旧衬衫的例子再次说明了这一点：我不仅对拥有这件旧衬衫有利益，而且还想成为决定是否应该拥有它或者毁损它的人。

第二，在实践推理的意义上，权利是比权利人的利益更强的决定性理由。我们可以通过对权利进行霍菲尔德式的概念分析来进一步理解这一点。当B负有一项做φ的义务时，可能存在两种情况，一种情况是A享有对B做φ的一项要求权，一种情况是可能存在特定的道德理由或政策性理由使B负有一项做φ的义务。“B应当做φ”或“B做φ的义务”的来源可能是权利，也可能是道德理由（包括但不限于A的利益）。与其他所有类型的理由不同的是，权利理由具有优先性，具有独特的规范性力量。当权利的要求与道德要求之间产生矛盾时，权利就在与其相关的道德理由之外提供了一种额外的力量（extra strength）。例如，当我的债务人破产且有年幼的孩子等待抚养时，若我仍然追债，就可以通过直接说“这是我的权利”而不是通过列举自己的要求背后的强有力的道德理由，来主张自己的行动或要求应当受到保护。再回到拉兹的旧衬衫的经典例子，如果两个人对拥有这件衬衫有同样的利益，那么他们的利益则给了他们平等的要求权。在这种情况下，很明显，所有权人应该拥有它，因为所有权人对这件衬衫的权利大于其利益，正是其权利给予其一个额外的独立理由。具体到关于个人信息的问题上，虽然个人信息主体与数据控制者对个人信息均有一定的利益，但是个人信息权将是比个人信息利益更强的决定性理由。

第三，在实践推理的意义上，权利可以直接证成他人的义务，权利人的利益则无法证成义务。以最为典型的“要求权”（claim rights）为例，现有权利人（A）、义务人（B）和权利内容（φ），一个典型的关于要求权的陈述就是“A对 φ享有一项针对B的权利”。那么此时，B就负有一项做φ的义务，A的要求权构成了B做φ的决定性理由。反过来，当B负有一项做φ的义务时，并不一定说明A享有B做φ的一项要求权。哈佛大学哲学系教授F.M.  卡姆（F.M.  Kamm）曾举过一个形象的例子：我有义务救助某人免于溺死，这仅仅是因为被救助符合溺水者的重大利益，但说溺水者有权利被救助的含义则不止于此，这意味着我对溺水者承担义务。换言之，在这里，权利赋予某个特定人以一种获得援助的道德资格，而某人承担义务这一事实并没有赋予某个特定人以要求义务人履行其义务的道德资格。具体到关于个人信息的问题上，这意味着，如果个人信息是法律所保护的一项权利，那么权利人即获得一种要求数据控制者承担保护其个人信息义务的道德资格；相反，如果个人信息仅是法律所保护的一项利益，那么数据控制者的个人信息保护义务仅仅是源于法律的规定性义务，并不源于个人信息主体的权利，这在一定程度上削弱了权利人的主体地位。

（三）个人信息保护实践下对个人信息权的概念探讨与厘清

对个人信息权概念的厘清，既是对个人信息权进行权利证成的逻辑起点，也是对个人信息权进行权利证成的理论落脚点。结合国内外的个人信息保护实践，本文尝试对个人信息权界定如下：个人信息权是自然人在数据处理过程中享有的，在一定程度上决定对其个人信息的收集、使用、分析等数据处理活动的数据控制权，是由知情权、访问权、删除权、更正权、拒绝权、可携权等具体权利所构成的“权利簇”。为了进一步阐明个人信息权的基本内涵，笔者有必要对本文中的个人信息权概念进行一定的解释说明。

第一，个人信息权是一种存在于数据处理过程中的权利。一方面，个人信息权是自然人在个人数据处理过程中所享有的权利，这意味着个人信息权主要不是一种静态的绝对权利，而是自然人在与数据控制者互动的过程中，在参与到数据处理活动中时所触发和享有的一系列权利。个人数据处理活动即数据控制者对数据的收集、记录、存储、分析、使用、修改、披露、删除或销毁等活动。如果一个人完全不参与（主动地或被动地）任何数据处理活动，不使用任何网络服务或者应用程序，那么个人信息权对这个人的实际意义将非常有限。另一方面，个人信息权是一种存在于数据处理过程中的权利。这同时意味着，个人信息权并非一种排除他人占有和使用的绝对权，而是兼顾个人信息的所有方与使用方双方需求和利益的包容性权利。

第二，个人信息权是一种对个人数据的有限控制权。基于个人信息权，自然人可以在一定程度上自主决定是否参与数据收集、使用、分析等数据处理活动，享有同意权、访问权、删除权、更正权、拒绝权等数据控制权。作为一种数据控制权，个人信息权经常遭到误解或批判：一方面，个人信息的实际控制权在数据控制者一方，自然人无法真正掌控个人信息处理的各个环节；另一方面，在数字时代强调个人对个人信息的控制，将可能阻碍个人信息经济价值或所含公共利益的实现。本文认为，个人信息权作为一种数据控制权，并非同传统物权一样，意味着对物圆满状态的占有和实际控制，而是一种建立在数据处理实践中的、有限的数据控制权。也就是说，个人虽然不能实际控制对个人信息进行收集、存储、使用、分析的各个环节，但是至少可以自主决定是否同意相关服务提供者进行数据收集活动，在数据处理过程中享有访问权、删除权、修改权、拒绝权等对个人数据的部分控制权。在这个意义上，权利人对个人信息权的具体行使有赖数据控制者的积极配合。

第三，个人信息权不同于“个人信息受保护权”。为了抑制个人信息权的积极权能，个人信息利益保护论者提出了“个人信息受保护权”的概念，以此强调个人信息的国家保护义务，弱化个人对个人信息的控制权。有学者将《欧盟运作条约》采用的“个人信息保护权”（the right to the protection of personal data）概念译为“个人信息受保护权”（对应的英文应当是“the right to be protected of personal data”），是对“个人信息保护权”的明显误读。“个人信息受保护权”强调国家的积极保护义务，“个人信息保护权”的概念则不止于此。“个人信息保护权”内含了个人信息权赋权与国家保护义务，并不等同于“个人信息受保护权”。“个人信息受保护权”从根本上源于个人信息权。

第四，个人信息权的核心在于对人的主体性和自主性的尊重，其在本质上是一种人格权。在大数据时代的裹挟之下，我们每一个人几乎都是“数字人”。在我们无法真正实际控制对个人数据的各种数据处理活动的情势之下，我们唯一能做的就是赋予个人一些有限的、有时候也是别无选择的自主决定权，使我们有权利知道谁在收集我们的数据、收集我们的数据用来做些什么，使我们可以自主决定是否同意数据收集活动、是否要删除或修改相关数据。正是这些在实践中面临诸多挑战的自主决定权，体现了法律对人的主体性和自主性的尊重，这是个人信息权的意义和价值所在，也决定了个人信息权主要是一种人格权。申言之，个人信息权并非要求排除数据控制者的处理活动，而是要求数据控制者在数据处理活动中适当尊重个人的主体意愿，这既有利于建立数字经济的信任基础，也符合我们的道德直觉——数据控制者不能未经允许就收集使用我们的个人数据并以此牟利。

何种要求可以成为权利？在各种新兴权利主张泛化的权利时代，这个问题显得尤为重要。为了避免出现权利的“通货膨胀”，我们应当确立一定的新兴权利证成标准。阿隆·哈勒尔（Alon Harel）把权利界定为依赖于“理由”的要求， “理由”便是证成新兴权利的正当性依据。哈勒尔将“理由”进一步区分为内在理由（intrinsic reasons）与外在理由（extrinsic reasons），内在理由可以独立证成某项要求可以成为权利，外在理由不能独立证成权利，但可以为一项要求获得法律保护提供辩护力量。哈勒尔对内在理由与外在理由的区分为我们讨论新兴权利的证成提供了重要的方法论启示，也开启了从权利理论本身出发的权利论证进路，即论证有价值的要求是可以成为权利的。

本文采用哈勒尔的权利证成框架，分别对个人信息权进行内在证成与外在证成。个人信息权的内在证成是对个人信息权的独立证成。作为个人信息权的内在理由，人的尊严与自主性可以独立证成个人信息权是一项独立的权利。个人信息权的外在证成是对个人信息权内在证成的补充。本文先对个人信息权进行内在证成，将外在证成留待下一部分讨论。

（一）个人信息权的内在理由：人的尊严与自主性

哪些价值可以作为内在理由证成新兴权利？内在理由如何区别于外在理由？哈勒尔指出：内在理由以独立于情境的、统一的、类似规则的方式运作，包括诸如自主性或观念市场等基础价值；外在理由通常以一种可变的、语境化的、特定主义的方式运作，包括公共政策或公共利益等公共价值。证成权利的内在理由与前述权利在实践推理中的规范力具有内在关联——权利的规范力在更深的层次上源于权利的内在理由的支持。

个人信息权的内在理由或者价值基础是人的尊严与自主性。“人的尊严”是一个历时性地发展着的概念，体现人的主体性和自主性，强调不以人为客体、工具或手段，是人之所以为人的价值。康德哲学为“人的尊严”赋予了厚重的理论支撑。康德在其《道德形而上学的奠基》中阐述道：“在目的王国中，一切东西要么有一种价格，要么有一种尊严。有一种价格的东西，某种别的东西可以作为等价物取而代之；与此相反，超越一切价格，从而不容有等价物的东西，则具有一种尊严。”以上是康德关于“尊严”最著名的一段论述。“你在任何时候都同时当作目的，绝不仅仅当作手段来使用”是康德“人性公式”的经典表述。康德的“尊重人”的概念与他的“自主性”概念具有内在的联系，尊重人最重要的一个方面就是尊重人的自主性。经过一系列极为复杂的论证，康德使自主性成为普遍权利的基础，并由此开创了一种作为现代权利理论起点的道义论的权利观，当代罗尔斯的权利论、德沃金的权利王牌论和诺齐克的资格论都属于这个传统。当代哲学家拉兹与哈贝马斯对自主性的概念内涵进行了发展性的理论阐释，使人的自主性发展成为更具包容性、内涵更为丰富、兼具消极与积极内容的概念，同时,人的自主性理论对国家公权力的态度也由原来纯粹的消极防御转向积极的、更为全面的全新定位。个人信息权作为个人对个人信息所享有的一定程度的自主决定权和数据控制权，是数字时代对人的尊严与自主性最基本的尊重。面对新技术的异化与威胁，我们有必要重申人的尊严与自主性。

（二）厘定数字时代的科技底线：重申人的尊严与自主性

康德哲学对德国的法律体系产生了深远的影响，并在一定程度上塑造了德国法律的精神品格。然而，直到经历过第二次世界大战后，人们才真正认识到“人的尊严与自主性”的重要性。“人的尊严是不可侵犯的”被镌刻在《德国基本法》的第一条第一款中。这正是包括德国人在内的全部现代人对第二次世界大战中人的尊严被肆意践踏所进行的最深刻的反思。正因如此，二战后，以人的尊严为价值基础的人格权由原来的一项不受重视的权利，发展成为与财产权一样的极其重要的主观权利。人们的最高理想、终极愿望不再是对财产、财富的追求和拥有，而是对人的价值、人的尊严的尊重。1948年联合国《世界人权宣言》、1950年《欧洲人权公约》均将人权和基本权利置于史无前例的高度。可以说，人类对人的尊严与自主性的重要性的认识产生于对战争恶行的反思，而建基于人的尊严与自主性之上的权利则是防止恶行的必需之物，我们必须持续构建和辩护新的权利以防止新的恶行。

“人的尊严”是一个开放的、随着时代发展的概念，个人信息权正是人的尊严与自主性在数字时代的基本要求。人的尊严只能有形式规定，不能从内容上由他人完全确定和把握人共同的人格的本源。我们不能将人的尊严归属于对一个共同的未来理想的宣誓，这样才能避免在实现一个集体主义的乌托邦之梦的过程中，个人的尊严被当作手段而牺牲。人工智能、区块链等新一轮数字科技的迅猛发展在给人们带来各种利好的同时，其对技术的应用也出现了异化倾向，比如基于数据的算法歧视和数据垄断、基于人脸信息的深度伪造、基于生物科学的基因编辑，等等。在数字时代，人们如何使“科技向善”，把对数字科技的使用限制在正义、自由、平等、安全的底线之上，成为了世界性的难题。在这样的情势之下，张文显教授富有洞见地提出了“数字人权”的概念。他指出，“任何一种数字科技侵犯人权，都必须被认定为非法，并以保护人权的盾牌将其抵挡回去”。提出“数字人权”的意义在于：第一，在价值上申言数字科技必须以人为本，必须把人的权利及尊严作为最高目的，并以人权作为根本的划界尺度和评价标准；第二，以人权的力量和权威强化对数字科技开发及其运用的伦理约束和法律规制；第三，在制度上强调科技企业尊重和保障人权的责任；第四，强调政府尊重、保障和实现“数字人权”的义务。

张文显教授进一步指出，“数字人权”引领着新一代人权，而“数据权”是其中最耀眼的一项引领性新兴人权。权利来源于人类的经验，尤其是不正义/恶行的经验。为了避免重蹈过去的不正义/恶行，以权利为基础的体系以及某些基本权利就显得至关重要。在数字时代，确立个人信息权是人的尊严与自主性的现实要求，是避免“数字不正义”和“科技向恶”的法律底线。确立个人信息权实际上为数据收集者、使用者划定了行为的边界，为追求后果意义上的效用最大化划定了诺齐克意义上的“边际约束”（side constraints）。

根据阿隆·哈勒尔的观点，外在理由虽然不能独立证成某项要求可以成为权利，但是可以为这项要求获得法律保护提供辩护力量。外在理由一般以可变的、语境化的方式运作，一般是基于公共利益（public interest）或者说“共同善”(common good)的考量。本部分将在当代中国语境下对个人信息权进行“共同善”证成。个人信息权的外在证成是对个人信息权内在证成的补充。一方面，个人信息权的外在证成旨在为个人信息权的权利证成提供辩护力量，当代中国语境下的“共同善”不只是物质生活极大丰富，更是人的精神尊严得到尊重和满足。另一方面，个人信息权的外在证成旨在说明个人信息权与“共同善”之间并非对立的关系。

（一）个人信息权外在证成的理论逻辑：作为弱版本的“共同善”权利观

“共同善”是指维系一个共同体的普遍利益或公共利益。拉兹基于“共同善”，提出了一种超越义务论与功利主义的全新权利观——“共同善”权利观。“共同善”权利观打破了存在于权利人利益与公共利益、权利主义与功利主义、个人善与普遍善之间的冲突关系和对立思维，指出权利的重要性超过权利人利益重要性的主要理由是，权利正当化的理由部分在于它对于“共同善”的促进。根据哈勒尔的权利证成框架，我们可将拉兹的“共同善”权利观分为“强版本的共同善权利观”与“弱版本的共同善权利观”。“强版本的共同善权利观”是指“共同善”可以成为辩护一个要求能够成为权利的独立理由，权利的重要性源于其对“共同善”的贡献；“弱版本的共同善权利观”是指“共同善”只构成权利证成的外在理由或部分理由，起到强化权利保护力度的作用，但无法独立辩护一项要求为权利。关于“共同善”权利观的两个版本与权利证成的关系，参见表1。拉兹的“强版本的共同善权利观”存在诸多理论缺陷，因此，“共同善”权利观只能在弱版本的意义上得到支持。鉴于此，本文采纳一种弱版本的“共同善”权利观，亦即将“共同善”作为权利证成的外在理由和论证力量，对个人信息权进行外在证成。

（二）个人信息权的外在理由：当代中国语境下的“共同善”

在改革开放以来的较长时期内，我国社会主要矛盾是人民日益增长的物质文化需要与落后的社会生产之间的矛盾。相应地，我国的人权事业发展主要在于解决人民群众的温饱问题、衣食住行问题、物质小康问题。在传统农业社会向工业化社会转型的历史阶段，人们的生存是第一位的。为了集体的生存，个人的权利就会受到压抑，这样特定的历史发展阶段是功利主义改革盛行的历史原因，无论中西，概莫能外。功利主义改革的基本哲学是，经济发展是社会最大的“善”，GDP增长是最大的“善”，衡量一切政策的标准就是是否有利于经济发展和GDP增长，为了经济发展和GDP增长，人们甚至可以不考虑人的基本权利和尊严。这种功利主义的发展观可能产生诸多风险，导致人权实践的困境：其一，“人”沦为工具，丧失尊严；其二，人权被损害，社会丧失公正；其三，政府权力扩张的可能性增加，危及人权；其四，这种发展观追求幸福以及财富的差异化，难以被普遍认同。

人民对美好生活的需求，是当代中国语境下的“共同善”。习近平总书记在中国共产党第十九次全国代表大会上郑重宣布：“我国社会主要矛盾已经转化为人民日益增长的美好生活需要和不平衡不充分的发展之间的矛盾。”这是“党中央对新时代社会主要矛盾作出的重大政治判断和科学论断，是中国共产党对人民美好生活需要的积极回应，是新时代党和国家一切工作的出发点和衡量标准”。人民对美好生活的需求包括经济层面的物质需求和精神层面的心理需求。按照马斯洛的需求层次理论，随着人们物质生活水平的提高，人们的精神需求更加凸显，人的尊严与自主性变得越来越重要。“这个时候，还是仅仅按照功利主义的标准来评判我们的政策，与人类社会的进步本身脱节。”

“以人为本”是根植于中华传统文明，彰显于当代中国特色社会主义实践的法治纲领和国家治理纲领。在任何时代，社会发展的最终目的都是人的发展，数字时代也不例外。2018年12月，习近平总书记致信纪念《世界人权宣言》发表70周年座谈会，指出：“人民幸福生活是最大的人权……中国发展成就归结到一点，就是亿万中国人民生活日益改善。”这是习近平总书记站在“以人为本”的立场上对人权内涵所作的最新界定。“‘以人为本’就是一切从人出发、以人为中心；就是要把人作为观念、行为、制度的主体，把人的解放和自由、人的尊严、兴趣和全面发展，作为每个人、每个群体及至每届政府、每届领导人的终极关怀。”“以人为本”是实现国家治理体系和治理能力现代化的根本遵循，是实现“良法善治”的德性要求。数字科技必须“以人为本”，必须把人的利益和权利作为其最高价值，以人权尺度为其划界，以人权作为评价科技进步的根本标准。

在数字时代，网络平台成为政府权力之外的社会权力力量，“它们立足于社会又高于社会，不同于国家却又与国家相勾连，成为社会治理中的一个重要主角”。个人在政府和平台的双重权力下处于绝对的弱势地位，无法掌控个人数据的实际处理、分析和使用。平台权力具有技术权力、经济权力和政治权力等多重面相。平台的技术权力（算法权力）和经济权力（市场支配力）已受到监管机构和理论研究的集中关注，相较之下，理论界对平台政治权力的研究相对匮乏。在实践中，少数超级平台掌握着巨大的政治权力，就涉及公民基本权利的重要问题作出关键决定，却缺乏必要的合法性与问责制约束，严重威胁着公民的隐私、安全等基本权利。

在数字时代，全面确立个人信息权，承认个人信息权的基本权利和私权属性，是防范数字科技滥用，划定个人数据使用边界，“以法治的理性、德性和力量引领和规制新一轮科技革命的必然要求”。“这就是我们今天必须面对的转变，中国改革，无论我们思考问题还是制定政策，都必须从功利主义导向转向权利优先。”当功利主义与权利主义发生冲突时，也就是当个人信息利益保护论者所看重的公共利益与个人信息权发生冲突时，个人信息权应当具有优先性。我们应当“适应从实现外在物质文化需要向同步追求精神心理满足转变，加强对个人信息、隐私、名誉、荣誉等人格权的保护，让每个社会成员活得更有尊严、更加高贵”。

（三）个人信息权与“共同善”的和谐共生

个人信息利益保护论者反对个人信息权的核心论点是，确立个人信息权会阻碍个人信息“共同善”的实现。本文认为，在个人信息权与“共同善”之间存在一种和谐共生关系而非对立关系。个人信息利益保护论者强行将个人信息权与数字经济的发展对立起来，人为地制造了从法律上确认个人信息权的理论障碍。

首先，个人信息权是个人在数据处理活动中的有限控制权，并不影响数据控制者的数据利用行为。个人信息在流通利用中产生价值，个人信息权亦在个人信息的流通利用中被赋予数据主体。个人信息权并非对个人信息的排他占有和绝对支配，这是由个人信息以及个人信息权的性质所决定的。有学者认为，虽然欧盟等国家或地区的法律文本在具体行为规范中赋予了数据主体一定的权利，但是个人并没有因此取得排他控制个人信息的权利。然而，个人没有因为法律的赋权而取得排他性的个人信息权利的根本原因在于，个人信息不同于传统的物，具有非排他性和非竞争性，个人信息权并非建立在占有的基础上。个人信息权不是对个人信息的排他占有和圆满控制，而是在个人与数据控制者的数据处理活动的持续交互中定义自身的范围。 

其次，个人信息权可以在一定程度上限制超级平台的数据权力，有助于恢复自由竞争的市场环境。在数字时代，作为新型生产要素的数据只有在流动与共享中才能创造价值。在实践中，少数超级平台利用其“看门人”的市场地位，垄断着大量的用户数据和企业数据，以保护用户隐私和个人信息为由，拒绝其他企业访问用户数据。于是，超级平台以“上帝之眼”的视角获取近乎完美的市场情报，不断将其业务渗透到其他领域，排除竞争对手，进而获取更多的数据，逐渐形成平台的生态系统闭环，形成“赢者通吃”之势，严重威胁着市场的自由竞争和经济民主。在实践中，企业间围绕数据产生的纠纷不断。颇为有趣的是，笔者发现，与域外的数据纠纷主要是小型公司起诉大型平台拒绝数据访问、滥用市场支配地位不同，在我国的数据纠纷中，大部分案件是超级平台起诉较小平台或初创公司不正当竞争、非法访问数据，且在实践中，超级平台的诉求大多得到了法院的支持。法律通过赋权的形式将对个人信息的决定权返还给个人，可以在一定程度上抑制超级平台的数据霸权，促进企业之间的数据访问和共享。具体而言，我国司法在“新浪微博诉脉脉案”中确立的“三重授权”原则应当转变为以用户授权为中心的原则，只要用户授权，其他企业即可访问用户数据。这可以在一定程度上促进企业之间的数据访问和利用，充分释放数据价值，进而打破数字市场准入的数据壁垒，恢复自由竞争的市场秩序。

再次，从隐私安全技术的发展来看，个人信息权与数字经济发展的公共利益之间并非“鱼与熊掌”的关系。欧盟《一般数据保护条例》被称为史上最严格的个人数据保护法，其非常重要的作用就是促进了数据合规和隐私保护文化的发展，推动了业界用技术来解决隐私、安全问题。近年来，以技术方案解决隐私和数据安全问题的研究在学术界和行业实践中都经历了爆炸性增长，包括多方安全计算、同态加密、差分隐私等安全技术都从理论走向了实践，相关应用实践在金融、医疗、政务等领域渐次展开。“联邦学习”作为一种新兴的隐私安全计算方案受到了广泛关注，其最大的特点是“数据不动，模型动”，可以在不披露原始数据的情况下，连接数据孤岛，通过算法实现数据价值利用。可见，我们应当跳出“二选一”的思维框架，不必在个人信息权与公共利益之间作出艰难抉择。

最后，正如个人信息利益保护论者所指出的，全球的公平信息实践确立了个人信息赋权与施加信息控制者责任的进路。欧盟2016年颁布的《一般数据保护条例》、美国加利福尼亚州2018年颁布的《消费者隐私法案》，以及我国近日颁布的《个人信息保护法》，均赋予个人在数据处理过程中的知情权、访问权、更正权等一系列权利。当然，权利并不是万能的，尤其是在个人与平台、政府之间力量对比悬殊的情况下，个人信息权很难单独与平台力量、国家权力抗衡。正因如此，世界各国或地区都非常重视对个人信息的国家保护义务，试图以行为规制模式补强个人在数据处理过程中的弱势地位。在实践中，对个人信息的国家保护的效力远远超过了个人信息权的作用，国家通过立法以及设立专门监管机构的方式，设定数据控制者的个人信息保护义务，并对违反者处以行政罚款，对企业的数据权力构成了现实威慑。然而，对个人信息的国家保护义务不能取代个人信息权的独立地位和价值。数字科技不断更新迭代，最能维护权利的方式是主动而持续地为权利辩护，而非被动地仰赖“最高的权威”，尤其是当这种“最高权威”也是防范对象的时候。作为一个开放的概念，“个人信息权”既能够有效弥补单纯的“行为规制”模式的局限，又能够构成对后果意义上效用最大化的边际约束。与单一的行为规制模式相比，个人信息权所设定的边际约束具有灵活性和场景适应性，立法者可以随着技术的发展和场景的变换不断丰富其内涵。

在数字时代，从法律上确认个人信息权具有坚实的法理基础和现实需求，是因应人权理念的发展和社会经济变迁的必然要求。当前法律只为义务主体设定义务，却不规定权利主体的权利，存在明显的基础缺失问题。我国法律应当全面确立个人信息权，以《宪法》上作为基本权利的个人信息权为基础，形成公法和私法的双重保护进路。

（一）个人信息权的构造层次

对个人信息权的保护是整个法秩序的共同使命。我国法律应当以《宪法》上的个人信息权作为构建个人信息法律保护体系的基础，通过基本权利的主观防御功能与客观价值秩序功能实现个人信息权的消极权能与积极权能。个人信息权的规范构造主要由对个人信息的公法保护和私法保护构成。一方面，对个人信息权的公法保护以作为基本权利的个人信息权为核心，形成了个人信息权的主观防御功能与客观价值秩序功能。个人信息权作为主观防御权利，旨在确保公民个人信息权免受国家公权力的侵害，此乃基于公民消极身份所生的基本权利防御功能；个人信息权的客观价值秩序功能基于社会法治国的发展，更基于公民积极身份，要求公权力的运作必须自觉遵守客观价值秩序，为基本权利的实现创造条件，一般是指国家通过立法等方式承担对个人信息权的国家积极保护义务。我国《宪法》没有可诉性，这就要求国家立法机构充分发挥作为基本权利的个人信息权的客观价值秩序功能，使这一功能通过间接第三人效力理论和相关立法及法律解释作用于私法。另一方面，对个人信息权的私法保护具有独立的意义和价值。作为私法权利的个人信息权与作为基本权利的个人信息权在权利性质和规范对象上均有不同。作为私法权利的个人信息权主要调整个人与企业平台等私主体之间的个人信息权益关系。同时，我们应当看到，无论是作为基本权利的个人信息权，还是作为私法权利的个人信息权，其价值基础均在于人的尊严与自主性。我们应当以基本权利的客观价值秩序为基础，推动实现公法权利与私法权利的协力与互动。个人信息权的构造层次直观图，参见图1。

图1 个人信息权的构造层次直观图

（二）作为基本权利的个人信息权

“经验告诉我们，基本权利一般最好还是往扩张与调整的方向移动，而非限缩或停滞不前。”作为基本权利的个人信息权对公权力的侵害具有防御功能，单纯的“私权模式不足以防范国家对个人信息的侵犯”。在数字时代，国家治理机构为了把握数字治理机遇，积极推进智慧法院、智慧检务、智慧公安、智慧法律服务建设，人工智能成为推动法治工作质量、效率、动力变革的新引擎。孟建柱提出，促进政法工作与现代科技深度融合，打造万物互联、全球一体的数字“天网”，对海量数据具有超级算力的“天算”和具有超级智能控制的“天智”，将使得未来世界更可知、更可测。“天网”“天算”“天智”都是以个人信息的收集和使用为基础的，可见，在实现国家治理利益与保护公民个人信息权之间存在着明显的紧张关系。因此，保障个人信息权应借鉴基本权利模式，平衡个人信息权与政府收集、使用个人信息权力间的法权结构。确认信息主体在公法上的个人信息控制权，不能也不应回避关于个人信息的基本权利话语。

从比较法上看，世界各国和国际组织的个人数据保护立法源于对公民基本权利的保护。无论是在欧盟，还是在美国，个人信息权都是基本权利。《欧盟基本权利宪章》第8条和《欧盟运行条约》第16条均规定，人人享有保护个人数据的权利。欧盟于2016年颁布的《一般数据保护条例》开篇序言第1条即开宗明义地指出：“自然人在其个人数据处理过程中获得保护是其拥有的一项基本权利。”美国法院将对个人信息权的保护涵括在隐私权之下，通过对隐私权的扩大解释将个人信息涵纳进来，而隐私权被美国联邦最高法院认定为宪法上未列明的基本权利。事实上，大部分个人信息利益保护论者并不否认个人信息权是一项基本权利。

当然，任何权利都不是绝对的，个人信息权亦不例外。我国《宪法》第51条规定：“中华人民共和国公民在行使自由和权利的时候，不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。”这涉及到了对个人信息权这一基本权利的限制，以及“对限制基本权利的限制”问题。首先，对个人信息权这一基本权利的限制，需要立法者合理界定个人信息权的权利范围。法律对个人信息权的保护范围越大，国家权力与个人信息权的冲突越激烈，国家行为被认定为侵权的可能性越大，相反，则冲突越少，国家行为被认定为侵权的可能性越小。其次，法律对于对作为基本权利的个人信息权的限制，亦应有所限制。这种限制可以是立法等形式上的阻却事由，也可以是符合比例原则等实质阻却事由。我们在对个人信息权与公共利益进行衡量时，须做到遵循比例原则，防止损益失衡、手段过当。比如，在对人脸识别信息的过度收集和使用中即可能存在比例失衡问题。权利的概念不必然意味着当尊重权利与产生更多善发生冲突时，尊重权利总是优先于善，我们必须牺牲的善越多，权利的严格性就越大。这就需要我们我们合理界定个人信息权的保护范围，并根据具体情境，按照比例原则对是否应当限制个人信息权进行实质判断。

（三）作为私法权利的个人信息权

个人信息权的私法化是基本权利客观法属性的要求。基本权利的客观规范功能是德国联邦宪法法院及学说所创设的理论。持这种理论观点的学者认为，基本权利乃客观的价值判断和体系，基本权利整体具有客观规范的功能，其作用应及于整个法秩序，主要体现为国家的积极保护义务与基本权利的第三人效力。我国《宪法》第33条、第38条和第39条都体现了基本权利的客观价值秩序功能，即国家机关在行使公权力的一切活动中都必须尊重和保护公民的基本权利。因此，就客观价值秩序而言，国家负有形成私法上对个人信息权的保护的义务，从而使个人信息权不受他人侵害，并使权利人于权利受侵害时得到相应的救济。然而，基本权利的客观价值属性不能直接作用于私法领域，不能直接成为私法请求权的基础。对私法上的个人信息权的有效保护需要国家履行积极的保护义务，通过相关立法或法律解释确立并保护个人信息权。在私法中将个人信息权利化，既落实了维护人的尊严和人权保障的宪法要求，也确定了信息业者的行动边界，便于与统一立法相衔接。

民法学者在民法教义学的框架内通过解释论方法论证了将个人信息权确立为一项私法权利的合理性。王利明教授主张，虽然各国在实践中对个人信息采用刑法、行政法等多重保护机制，但是这并不能影响或改变个人信息权为民事权利的基本属性。政府对个人信息的管理是必要的，然而，管理不能代替权利人自身的保护，且政府的管理资源是有限的。只有权利化保护模式才能为数据主体提供更为全面的保护。个人信息权是个具有弹性的、开放的概念，这一权利可以随着数字科技发展通过法律解释不断更新其边界，有效弥补行为规制模式的不足，可以使人们在科技面前守住人的尊严的底线。正如有学者所指出的，否认个人信息的私权属性或仅承认主体具有防御权能的观点，折射出相关论者对主体信息自决和客观交易现实的误解与漠视。考虑到个人信息的人格法益属性，我国应建构以信息自决为核心内容的主体权利制度，承认主体享有积极利用权能，并采用可撤回之同意作为行权模式。

从域外的立法实践来看，欧盟《一般数据保护条例》和美国加利福尼亚州《消费者隐私法案》均规定了救济个人信息权的私人诉权。欧盟《一般数据保护条例》第79条规定了自然人针对个人信息控制者或处理者获得有效司法救济的权利，同时规定了个人向监管机构申诉的权利，以及个人针对监管机构获得有效司法救济的权利。美国加利福尼亚州《消费者隐私法案》规定了针对某些数据泄露行为的私人诉讼权，当个人信息在未经授权的情况下被访问、泄露、窃取或披露时，法律允许消费者在与州总检察长协调后起诉索赔。比较而言，我国近日颁布的《个人信息保护法》第65条仅仅简要规定了个人向履行个人信息保护职责的部门进行投诉、举报的权利，第70条则规定了当个人信息处理者违反规定处理个人信息时的公益诉讼机制。立法者未来应当开放针对个人信息侵权的私人诉权以及个人针对监管机构的相关决议获得有效救济的权利。

在数字时代，法律确立个人信息权，体现了对人的尊严与自主性的尊重，是对数字科技异化发展的边际约束，也是实现人民对美好生活需要的“共同善”的必然要求。我国应将对个人信息权的保护作为整个法秩序的共同使命，以《宪法》上的个人信息权作为构建个人信息法律保护体系的基础，通过将其主观防御功能和客观价值秩序功能作用于整个法律体系，最终形成公法和私法的双重保护进路。《民法典》和《个人信息保护法》的颁布，并不意味着法律对个人信息采取权利保护抑或利益保护的“盖棺定论”。日后，有权机关可以通过立法解释或司法解释对个人信息权的权利属性进行确认，为个人信息权“正名”，不能也不应回避关于个人信息的权利话语。

《法制与社会发展》2021年第5期目录摘要

点击二维码关注法制与社会发展微信公众平台