個人信息主體的權(quán)利體系
——基于數(shù)字時代個體權(quán)利的多維觀察

姚 佳

中國于2021 年8 月通過《個人信息保護法》，開啟了以專門立法保護個人信息的時代。這部法律圍繞著如何保護個人信息、如何加強個體的“信息自決”、規(guī)范個人信息處理活動等內(nèi)容進行了系統(tǒng)規(guī)定。尤其在個人信息主體的權(quán)利方面更構(gòu)建了既符合個人信息保護的一般規(guī)律又突出這部立法的價值選擇的權(quán)利體系。如何理解這些權(quán)利既涵括國家對個人利益的保護同時又使個體的權(quán)利訴求始終面向“實現(xiàn)”向度，是衡量一個權(quán)利體系科學(xué)與否以及人的意志自由與否的關(guān)鍵之點。因此，對于《個人信息保護法》上的權(quán)利體系，如何認識其生發(fā)的基礎(chǔ)、來源以及最終選擇，將直接關(guān)系到《個人信息保護法》的價值實現(xiàn)與功能彰顯，對法律實施具有重要作用，殊值研判。

一、數(shù)字時代的個體權(quán)利

“權(quán)利”這一命題，在數(shù)字時代變得愈發(fā)重要和復(fù)雜。相較于以前的工業(yè)社會，個體向雇主、國家或其他侵害其權(quán)利的主體主張權(quán)利之時，相應(yīng)法律責(zé)任的認定遵循既有法律規(guī)則，其間雖也存在復(fù)雜情況，但其實并未超出法律責(zé)任理論或法律適用的范疇。至數(shù)字時代，個體逐漸趨于“原子化”，人與人之間的客觀物理聯(lián)系日漸式微，技術(shù)應(yīng)用的滲透卻無孔不入，人們可能在毫無察覺之下被技術(shù)“超輕推”，〔1〕See Karen Yeung, “‘Hypernudge’: Big Data as a Mode of Regulation by Design”, 20 Information, Communication & Society 118, 118-136 （2017）.可能改變?nèi)藗兊男袨榉绞?，甚至可能在“聚集效?yīng)”之下產(chǎn)生風(fēng)險。誠如有學(xué)者所言，在大數(shù)據(jù)時代，除非我們能回避所有數(shù)據(jù)收集，否則我們將無法拒絕成為大數(shù)據(jù)技術(shù)的預(yù)測對象?！?〕參見黃柏恒：《大數(shù)據(jù)時代下新的“個人決定”與“知情同意”》，載《哲學(xué)分析》2017 年第6 期，第106 頁。在數(shù)字時代，重視與強調(diào)從權(quán)利角度維護正義、自由、效率、秩序、人權(quán)、人文精神等法律價值的立法，是討論個體權(quán)利的起點與基礎(chǔ)?！?〕參見張文顯、姚建宗：《權(quán)利時代的理論景象》，載《法制與社會發(fā)展》2005 年第5 期，第13 頁。

（一）個體權(quán)利的多維性

科技發(fā)展對社會關(guān)系的調(diào)整和個體權(quán)利的保護產(chǎn)生重要影響。在人與科技的關(guān)系滲化至人與人之間的關(guān)系之時，人們不無疑問，究竟公民或個體應(yīng)享有何種權(quán)利以及傳統(tǒng)權(quán)利應(yīng)否升級迭代。數(shù)字時代對個體權(quán)利的影響體現(xiàn)在人權(quán)、憲法上的基本權(quán)利以及具體權(quán)利等多層次與多維度。

第一，人權(quán)的發(fā)展。數(shù)字時代“嵌入”人們生活的方方面面，“工業(yè)+互聯(lián)網(wǎng)”、5G 技術(shù)、人工智能、萬物互聯(lián)等技術(shù)的發(fā)展，在給人們帶來高效、便捷的同時，也帶來了諸多風(fēng)險與損害。隱私侵害與個人信息泄露、人臉識別技術(shù)的濫用、平臺的強勢地位、算法黑箱、信息鴻溝、侵權(quán)的復(fù)雜化與廣覆蓋性，導(dǎo)致人類必須面對數(shù)字時代帶來的深層次問題。有學(xué)者提出，在面對如此多樣的風(fēng)險與威脅的同時，在人權(quán)保護方面，也突破了前三代人權(quán)所受到的物理時空和生物屬性的限制，實現(xiàn)自由平等權(quán)利、經(jīng)濟社會文化權(quán)利、生存發(fā)展權(quán)利的轉(zhuǎn)型升級。〔4〕參見馬長山：《智慧社會背景下的“第四代人權(quán)”及其保障》，載《中國法學(xué)》2019 年第5 期，第16 頁。亦有學(xué)者認為，從權(quán)利的角度來看，將對數(shù)字科技的掌握和運用奉為“權(quán)利”并將其歸屬于“人權(quán)”，提煉出“數(shù)字人權(quán)”概念，既十分必要、甚為迫切，也順理成章、水到渠成，即“無數(shù)字，不人權(quán)”?！?〕參見張文顯：《無數(shù)字 不人權(quán)》，載周漢華主編：《網(wǎng)絡(luò)信息法學(xué)研究》2020 年第1 期，中國社會科學(xué)出版社2020 年版，第4 頁。同時，以互聯(lián)網(wǎng)為主的科技發(fā)展也帶來了人們的網(wǎng)絡(luò)心理依賴、疏離現(xiàn)實等問題，〔6〕參見周彬：《網(wǎng)民網(wǎng)絡(luò)心理依賴、疏離現(xiàn)實與自我救贖》，載《江淮論壇》2021 年第1 期，第148-149 頁。尤其對于未成年人，諸多互聯(lián)網(wǎng)產(chǎn)品也給他們的成長帶來了一定負面影響。可見，科技的正向作用是明顯的，但同時，科技的負面作用也顯而易見。如何更好發(fā)揮其正向作用又同時抑制或減少其負面作用，就成為各領(lǐng)域所共同關(guān)心的問題。從維護人的尊嚴、財產(chǎn)等角度出發(fā)，數(shù)字時代的人權(quán)保護無疑是后續(xù)系列權(quán)利圖譜中的基底層，殊值關(guān)注與強調(diào)。

第二，憲法上的基本權(quán)利。一國憲法確認公民在政治、經(jīng)濟、文化、人身等方面享有基本權(quán)利。憲法上確認的基本權(quán)利，系凸顯此項權(quán)利對于公民而言所具有的廣泛性、平等性與重要性等特征。科技存在被濫用的風(fēng)險，加之由來已久的濫用公權(quán)可能侵害公民基本權(quán)利的現(xiàn)實仍然存在，這就導(dǎo)致人們可能在智能化時代面臨“隱私全無”的危險境地。比如，通話記錄作為通信秘密的保護對象，人們的通信自由和通信秘密可能會被侵害，〔7〕參見張翔：《通信權(quán)的憲法釋義與審查框架——兼與杜強強、王鍇、秦小建教授商榷》，載《比較法研究》2021 年第1 期，第33-48 頁。通信權(quán)這一基本權(quán)利亟須在智能化時代獲得更好保障。數(shù)據(jù)、算法的多向運用，也可能會對公民的基本權(quán)利造成侵害。有學(xué)者認為，數(shù)據(jù)偏誤與算法歧視會招致對現(xiàn)代憲法原則的抵制，削弱對公民基本權(quán)利的保障。〔8〕參見季衛(wèi)東：《數(shù)據(jù)、隱私以及人工智能時代的憲法創(chuàng)新》，載《南大法學(xué)》2020 年第1 期，第11 頁。對于算法帶來的侵害，人們應(yīng)享有“免于歧視的權(quán)利”?！?〕參見馬長山：《智慧社會背景下的“第四代人權(quán)”及其保障》，載《中國法學(xué)》2019 年第5 期，第12 頁。對于個人信息保護而言，也有學(xué)者認為從我國《憲法》文本之中也可以解釋出隱私權(quán)、個人信息權(quán)系公民的基本權(quán)利?！?0〕參見王錫鋅、彭錞：《個人信息保護法律體系的憲法基礎(chǔ)》，載《清華法學(xué)》2021 年第3 期，第6-24 頁；李忠夏：《數(shù)字時代隱私權(quán)的憲法建構(gòu)》，載《華東政法大學(xué)學(xué)報》2021 年第3 期，第42-54 頁。雖然對于這些觀點，學(xué)界也存在爭論，但足可見人們對于數(shù)字時代基本權(quán)利的重視與渴望。在我國《個人信息保護法》的立法過程中，最終在草案三審稿第1 條立法目的之中增加了“根據(jù)憲法，制定本法”這一表述，這也是立法權(quán)法定（包括權(quán)源法定和法源法定）原則的規(guī)范要求?！?1〕參見葉海波：《“根據(jù)憲法，制定本法”的規(guī)范內(nèi)涵》，載《法學(xué)家》2013 年第5 期，第28-32 頁。但是，至少從法律文本來看，這一規(guī)定并未明示關(guān)于個人信息的權(quán)利是否屬于憲法上的基本權(quán)利，能否推導(dǎo)或證成“個人信息權(quán)”屬于基本權(quán)利，仍留待學(xué)界繼續(xù)探討。

第三，公私法交融視域下的具體權(quán)利。在當(dāng)下信息科技時代，人們享有的權(quán)利呈現(xiàn)出跨公私法域的特征，非單一部門法所能涵蓋。有學(xué)者認為，基于數(shù)據(jù)和信息資源的經(jīng)濟價值和社會作用，生成了前所未有的大量社會利益和新型社會關(guān)系，進而不斷轉(zhuǎn)換成現(xiàn)實生活中的新興權(quán)利，比如，概括的數(shù)據(jù)權(quán)或權(quán)利束，包括知情同意權(quán)、數(shù)據(jù)采集權(quán)、數(shù)據(jù)修改權(quán)、數(shù)據(jù)可攜權(quán)、數(shù)據(jù)被遺忘權(quán)（刪除權(quán)）、數(shù)據(jù)管理權(quán)、數(shù)據(jù)支配權(quán)、數(shù)據(jù)使用權(quán)、數(shù)據(jù)收益權(quán)等?！?2〕參見馬長山：《智慧社會背景下的“第四代人權(quán)”及其保障》，載《中國法學(xué)》2019 年第5 期，第12 頁。世界范圍內(nèi)的個人信息或個人數(shù)據(jù)保護立法，也基本上規(guī)定了類似權(quán)利。中國《民法典》第1037 條規(guī)定了個人信息主體所享有的一系列權(quán)利，使得這些權(quán)利具有請求權(quán)等基本特征?！秱€人信息保護法》明確規(guī)定了知情權(quán)、決定權(quán)以及個人享有的一系列權(quán)利，這些權(quán)利在一定程度上脈承于《民法典》中的系列權(quán)利。割裂《民法典》與《個人信息保護法》在中國制定法體系內(nèi)的關(guān)系，或不承認二者之間存在一定聯(lián)系，完全不符合成文法的特質(zhì)與要求。對于這些權(quán)利的救濟與保護，需要公法與私法多向度配合，這一點已形成共識，并使個人信息保護法體現(xiàn)出比較顯著的“領(lǐng)域法”特色。

（二）個體權(quán)利創(chuàng)設(shè)中的利益平衡

從社會整體視域觀察，隱私保護的觀念亦在不斷容納其他價值。在創(chuàng)設(shè)個體權(quán)利之時，既要考慮所保護的利益之于該個體的價值與意義，同時也應(yīng)始終將個體權(quán)利置于與他人利益、社會利益的平衡與協(xié)調(diào)之中，這樣的權(quán)利創(chuàng)設(shè)才能真正發(fā)揮作用。

其一，權(quán)利理論本質(zhì)的本身就包含不同方式的利益考量?；蛟S人們在討論權(quán)利創(chuàng)設(shè)的利益平衡問題之時，通常會徑直考慮權(quán)利人與其他主體的利益平衡，但這一點并不符合權(quán)利理論學(xué)說上的爭論。在討論權(quán)利理論之時，拉茲的觀點與以權(quán)利人為中心的權(quán)利理論的區(qū)別并非是賦予個人的而非權(quán)利人的利益的力度或重量上的區(qū)別，而是這些利益在道德或法律考量的框架中運作方式上的區(qū)別。只有某些特定類型的理由在證成權(quán)利的過程中才能被使用，以權(quán)利人為中心的權(quán)利理論認為只有權(quán)利人的利益才是內(nèi)在理由；而拉茲則認為，只有當(dāng)使權(quán)利人受益是使其他人受益的一種方式，而通過使他們受益，權(quán)利人也得到利益的時候，其他人的利益在證成權(quán)利時才算重要。內(nèi)在理由與外在理由事實上存在二分?！?3〕參見［以］Alon Harel：《何種要求是為權(quán)利？——權(quán)利與理由關(guān)系的探究》，瞿鄭龍、張夢婉譯，載張文顯、杜宴林主編：《法理學(xué)論叢》（第7 卷），法律出版社2013 年版，第123 頁。因此，目前關(guān)于個人信息主體保護與社會發(fā)展平衡的觀點，實際上只著重于其他人受益，而忽視了個人信息主體本身利益的強調(diào)與保護，類似于“隱私付費”“以隱私換便利”的觀點如若無法把握邊界，則是極其危險的。只有以“二分”維度觀察，才能真正實現(xiàn)權(quán)利創(chuàng)設(shè)的初衷。

其二，個人信息權(quán)利的創(chuàng)設(shè)應(yīng)始終著重保護個人利益。在上述“二分”視角下，個人信息權(quán)利的創(chuàng)設(shè)首先是基于個人信息權(quán)益的保護。世界范圍內(nèi)過去數(shù)十年科技與數(shù)字經(jīng)濟發(fā)展迅速，但同時產(chǎn)業(yè)的“野蠻生長”也在相當(dāng)程度上侵蝕個人信息保護理念。因此，強調(diào)個人信息權(quán)利是基于個人信息權(quán)益的保護至關(guān)重要，這也就是為何個人信息保護進入《民法典》，作為人格權(quán)益予以保護的正當(dāng)性與合理性。個人信息權(quán)利當(dāng)且僅當(dāng)其立基于個體權(quán)利保護，個人信息保護立法才具有正當(dāng)價值與意義，這也就是為何《個人信息保護法》原本在一審稿第1 條中規(guī)定了“保障個人信息依法有序自由流動”這一表述，但在二審稿之后就予以刪除，體現(xiàn)了立法意旨。

其三，個人信息權(quán)利的創(chuàng)設(shè)應(yīng)與外在的其他主體的利益保持平衡。對于上述權(quán)利創(chuàng)設(shè)的外在理由，就是當(dāng)下討論較多的個人信息權(quán)利與產(chǎn)業(yè)發(fā)展、社會發(fā)展如何平衡的問題。中國數(shù)字經(jīng)濟的發(fā)展在世界范圍內(nèi)處于較為領(lǐng)先的地位，但個人信息保護絕非阻礙數(shù)字經(jīng)濟發(fā)展的因素。此前學(xué)界和業(yè)界對于歐盟《一般數(shù)據(jù)保護條例》（GDPR）規(guī)定趨嚴的批評也并不完全客觀?！秱€人信息保護法》第1條中也規(guī)定了“促進個人信息合理利用”的內(nèi)容，同時在第4 條規(guī)定了個人信息“不包括匿名化處理后的信息”，為后續(xù)個人信息合理利用在成文法層面預(yù)留了空間?？梢姡瑐€人信息權(quán)利的創(chuàng)設(shè)在立法層面已在體系化考慮利益平衡的問題，當(dāng)前面臨的是如何實施等問題。

（三）個體權(quán)利保護的技術(shù)驅(qū)動

數(shù)字時代以技術(shù)發(fā)展為主要驅(qū)動力，也決定了個人權(quán)利創(chuàng)設(shè)過程中除需考慮利益平衡之外，還可以在技術(shù)發(fā)展中尋求出路。比如，有學(xué)者認為，過度強調(diào)隱私會限制個人數(shù)據(jù)的收集和應(yīng)用，使人工智能難以迅速進化；反之，則會造成機器官僚主義的獨裁、問責(zé)機制的瓦解——這是當(dāng)今憲法學(xué)的一個悖論。把集權(quán)式的人工智能算法與分權(quán)式的區(qū)塊鏈協(xié)議結(jié)合起來進行合理的機制設(shè)計，有可能成為新時代憲法秩序變遷的方向?！?4〕參見季衛(wèi)東：《數(shù)據(jù)、隱私以及人工智能時代的憲法創(chuàng)新》，載《南大法學(xué)》2020 年第1 期，第1 頁。因此，如何在法律上保護個人信息，同時又如何在法律之外利用多種方式與途徑保護個人信息，成為當(dāng)下和未來人們所共同探索的領(lǐng)域。

無獨有偶，《個人信息保護法》上規(guī)定個人信息“不包括匿名化處理后的信息”，給匿名化信息在法律上預(yù)留了利用空間，但事實上絕對匿名化的信息在技術(shù)領(lǐng)域幾乎是不可能實現(xiàn)的。如有學(xué)者所言，個人數(shù)據(jù)或者是有用的，或者是被完全匿名化的，但絕不可能二者兼得?！?5〕See Paul Ohm, “Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization”, 57 UCLA Law Review 1701, 1704 （2010）.對此，諸如多方安全計算（Secure Multi-party Computation, MPC）、聯(lián)邦學(xué)習(xí)（Federated Learning, FL）、差分隱私（Differential Privacy）等技術(shù)就具有相當(dāng)?shù)倪\用空間，以此在技術(shù)上充分保護個人信息，意在在更廣的范圍內(nèi)超越制度意義上的個人信息保護與個人信息利用的平衡，而在制度力所不逮之處通過技術(shù)而實現(xiàn)。因此，在權(quán)利創(chuàng)設(shè)中除制度上的利益平衡之外，數(shù)字時代更呈現(xiàn)出通過技術(shù)尋找出路的特征，這一特征既能保證法律或制度實現(xiàn)，同時又能彌補法律或制度漏洞，毫無疑問，這也是數(shù)字時代不容忽視的優(yōu)勢之一。

二、實證法上個人信息主體的權(quán)利

個人信息主體的權(quán)利內(nèi)生于中國法體系脈絡(luò)之內(nèi)，借鑒于歐盟個人數(shù)據(jù)立法。中國國家層面始終重視個人信息保護，分別在多領(lǐng)域?qū)€人信息保護加強立法，分別在刑法、消費者權(quán)益保護法、網(wǎng)絡(luò)安全法以及民法典中規(guī)定了個人信息保護，構(gòu)成一個系統(tǒng)的規(guī)范群，同時又在一系列規(guī)范性文件以及推薦性標(biāo)準中予以細化指引。同時期的世界立法動態(tài)，美國和歐盟自1990 年代起持續(xù)推動本地區(qū)或本國的隱私與信息立法，二者也形成了立法競爭的局面。但如格林里夫（Graham Greenleaf）所指出的，“歐洲標(biāo)準”的數(shù)據(jù)隱私法正在逐漸成為世界其他國家數(shù)據(jù)隱私法的標(biāo)準。〔16〕See Graham Greenleaf,“ The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108”, 2 International Data Privacy Law 68,77（2012）.中國在制定個人信息保護法的過程中，也在一定程度上借鑒了歐盟立法。在內(nèi)驅(qū)與外引的雙重作用下，中國個人信息保護法上的權(quán)利體系逐漸形成并趨于完善，始終面向?qū)嵤┫蚨劝l(fā)揮作用與功能。

（一）如何創(chuàng)設(shè)實證法上的權(quán)利

自然法與實證法之間關(guān)系的經(jīng)典命題，使“權(quán)利”始終在應(yīng)然與實然——“應(yīng)當(dāng)有”與“實際有”之間徘徊。拉茲提出創(chuàng)設(shè)權(quán)利的法律分為三類，即賦權(quán)性法律、除權(quán)性法律和構(gòu)成性法律?！?7〕參見［英］約瑟夫?拉茲：《法律體系的概念》，吳玉章譯，商務(wù)印書館2018 年版，第176 頁。威爾曼（Carl Wellman）對拉茲的這一創(chuàng)設(shè)權(quán)利的法律分類方法評價道：“這一分類方法確實很好地區(qū)分了界定任何權(quán)利內(nèi)容的構(gòu)成性法律，以及決定誰擁有或被除去權(quán)利的賦權(quán)性法律和除權(quán)性法律?！薄?8〕［美］卡爾?威爾曼：《真正的權(quán)利》，劉振宇等譯，劉振宇譯校，劉作翔審定，商務(wù)印書館2015 年版，第41 頁。在前述對于社會多維視角觀察下的權(quán)利以及考慮其內(nèi)生與外在價值，并且在意識到數(shù)字時代的風(fēng)險已對社會結(jié)構(gòu)發(fā)生潛在影響的基礎(chǔ)上，聚焦于個體隱私與信息保護之時，就越發(fā)體現(xiàn)出其重要性與復(fù)雜性。這也就給人們提出一個難題——在此復(fù)雜情勢下，如何在一部“單獨的法律”或“更為復(fù)雜法律的一部分”規(guī)定這些權(quán)利。申言之，數(shù)字時代盡管人們主張的權(quán)利眾多，但能夠進入“個別化法律”視野的“權(quán)利”卻較為有限。因此，在個人信息保護領(lǐng)域，實證法上的權(quán)利創(chuàng)設(shè)大致遵循以下標(biāo)準。

第一，典型性。個人以自然人、公民等資格身份居于社會生活和政治國家中，在經(jīng)濟領(lǐng)域、政治領(lǐng)域、社會領(lǐng)域中分別具象化為不同主體。在不同領(lǐng)域，個人以不同主體身份或“法律意義上”的形象出現(xiàn)，差異化的資格、身份或“形象”在一定程度上框定了權(quán)利的表現(xiàn)方式與范圍。在個人信息保護領(lǐng)域，“個人”雖然在正式文本中都被表達為“個人”，但有些情況下也會概括稱為“個人信息主體”等概念，以表示與個人信息處理者相對應(yīng)。針對“個人信息主體”這樣一個在特定領(lǐng)域中的主體，其權(quán)利創(chuàng)設(shè)就緊緊圍繞個人信息處理活動中可能涉及的權(quán)益保護與風(fēng)險等方面內(nèi)容。因此，實證法上的權(quán)利首先是這一領(lǐng)域中最需要保護的法益，進而形成具有典型性的權(quán)利，包括但不限于體現(xiàn)“信息自決”以及實現(xiàn)個人對信息的控制等系列權(quán)利，以突出就個人信息保護事項而言的典型意義。

第二，重要性與最大共識。人類社會進入萬物互聯(lián)與智能社會之后，人們除享受高效與便捷之外，也深陷危機感之中，不得不面對多重風(fēng)險與挑戰(zhàn)。風(fēng)險引致的規(guī)制失靈、秩序失調(diào)集中表現(xiàn)為“治理赤字”，即現(xiàn)行的治理體系、治理規(guī)則、治理能力、治理技術(shù)已不能有效應(yīng)對現(xiàn)代智能科技的全方位挑戰(zhàn)，以致出現(xiàn)失控、失序甚至危及公民權(quán)利、社會福祉、公共秩序、國家安全、全球和平的嚴重態(tài)勢?！?9〕參見張文顯：《構(gòu)建智能社會的法律秩序》，載《東方法學(xué)》2020 年第5 期，第4 頁。盡管人們面對諸多風(fēng)險，從人權(quán)、憲法權(quán)利以及公私法域各項權(quán)利等多角度提出自身對于權(quán)利的訴求，但實證法的容納畢竟有限，只能框定在最具重要性，并且在世界范圍內(nèi)同類問題上具有最大共識的權(quán)利訴求之上。從重要性、緊迫性與比較法視域來看，關(guān)于如何實現(xiàn)個人對個人信息處理活動的知情以及延伸外化的查詢、異議、限制處理、拒絕處理以及刪除等系列權(quán)利，則成為世界范圍內(nèi)的個人信息保護法以及個人數(shù)據(jù)保護法所最具認同的權(quán)利，也大多轉(zhuǎn)化為實證法上的權(quán)利。同時，相同或類似的權(quán)利也使得各國或各地區(qū)的法律適用等更加相通，降低法律解釋與溝通的成本。

第三，時代性?！霸诮?jīng)濟全球化、政治多極化、文化多樣化、社會信息化的‘我們的時代’，究竟蘊含著怎樣的時代性的特征與趨向？對這種時代性的特征與趨向應(yīng)當(dāng)作出怎樣的概括和表達？”〔20〕孫正聿：《從理論思維看當(dāng)代中國哲學(xué)研究》，載《哲學(xué)研究》2020 年第1 期，第9 頁。這是哲學(xué)領(lǐng)域?qū)θ祟愄岢龅臅r代發(fā)展與終極發(fā)展之問。這也意味著在實現(xiàn)人們的訴求以形成法律之時，應(yīng)聚焦于如何回應(yīng)時代之問以及前瞻未來。在個人信息保護領(lǐng)域，回應(yīng)個人信息主體權(quán)利的成文法首推《民法典》。作為體現(xiàn)時代性的代表之作，《民法典》從立法價值到基本原則、具體制度等均成體系地體現(xiàn)了時代性。其中專門規(guī)定了個人信息保護，在世界私法史上可圈可點，意在因應(yīng)充分保護個人信息權(quán)益之時代難題。在《個人信息保護法》作為單行法創(chuàng)設(shè)個人信息主體的權(quán)利之時，也進一步回應(yīng)當(dāng)下以及未來對于個人信息權(quán)利保護的重要之點，包括規(guī)定個人對自身權(quán)利的決定權(quán)與知情權(quán)以及一系列權(quán)利，以前瞻個人信息保護的前景與未來。

（二）個人信息主體權(quán)利：《民法典》與《個人信息保護法》之對比

個人信息保護進入《民法典》，在世界私法史上可圈可點，但也同時引發(fā)如何定位民法與個人信息保護法之間關(guān)系的問題。自20 世紀80 年代以來，個人信息保護法或個人數(shù)據(jù)保護法在世界范圍內(nèi)基本上以公法面貌出現(xiàn)，尤以1995 年歐盟《個人數(shù)據(jù)保護指令》 至2016 年《一般數(shù)據(jù)保護條例》等一系列規(guī)定為典型代表。世界范圍內(nèi)的個人數(shù)據(jù)保護立法此起彼伏。傳統(tǒng)上即便征信業(yè)本身一定程度上具有準公共性的特征，但這并未排斥征信機構(gòu)在信息使用與保護方面的民事責(zé)任，即征信機構(gòu)侵害信息主體權(quán)益之時，信息主體有權(quán)請求司法救濟。〔21〕參見我國《征信業(yè)管理條例》第26 條。類比而言，個人信息保護法雖然主要集中于規(guī)制個人信息處理活動，但同時也并未排斥個人信息處理者在侵害信息主體權(quán)利之時的民事責(zé)任。

高度組織化的個人信息處理者大規(guī)模、持續(xù)地處理個人信息的行為，更需要立體化的規(guī)制與多元救濟體系。就歐盟而言，其在立法上始終尋求較為全面地規(guī)定各種救濟方式。1995 年《指令》第22 條、第23 條規(guī)定了對于個人給予除公法救濟以外的其他救濟方式。第22 條中最后半句規(guī)定，成員國應(yīng)規(guī)定每個人都有權(quán)因違反規(guī)定了處理規(guī)則的國內(nèi)法所保障的權(quán)利而獲得司法救濟。第23.1 條也規(guī)定，成員國應(yīng)規(guī)定，因非法處理或任何不符合根據(jù)本指令通過的、國家規(guī)定的行為而遭受損害的任何人，有權(quán)從控制者處獲得損害賠償。〔22〕See Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Article 22, Article 23.1.這一多維救濟的理念延續(xù)至《一般數(shù)據(jù)保護條例》，第82.1 條規(guī)定，任何因為違反本條例而受到物質(zhì)或非物質(zhì)損害的人都有權(quán)從控制者或處理者處獲得損害賠償。第82.2 條規(guī)定，任何涉及信息處理的控制者都應(yīng)對因違反本條例的處理而受到的損害承擔(dān)責(zé)任。對于處理者，當(dāng)其沒有遵守本條例明確規(guī)定的對處理者的要求，或者當(dāng)其違反控制者的合法指示時，其應(yīng)當(dāng)對處理所造成的損害負責(zé)。〔23〕See General Data Protection Regulation （GDPR）, Article 82.1, 82. 2.可見，在歐盟個人數(shù)據(jù)立法的體系內(nèi)，除公法救濟以外，始終對個人的私法救濟予以規(guī)定，只不過根據(jù)歐盟立法的特點，“指令”（Directive）依賴于各國國內(nèi)法的轉(zhuǎn)化，而“條例”（Regulation）則在歐盟境內(nèi)具有直接實施的效力。

理想的立法需順應(yīng)社會發(fā)展與世界發(fā)展潮流。抽象平等而實質(zhì)不平等的個人與個人信息處理者之間，實力相差懸殊，加之域外已有立法經(jīng)驗，中國借《民法典》編纂契機，將個人信息保護規(guī)定至人格權(quán)編之中。誠如日本學(xué)者穗積陳重在其《法典論》一書中討論“更新策略的法典編纂”時所言，“在如此社會事物發(fā)生激變之時，亦有必要制定順應(yīng)時勢之法律是自不待言的”。〔24〕［日］穗積陳重：《法典論》，李求軼譯，商務(wù)印書館2014 年版，第49 頁。有鑒于此，之所以在上文討論個人信息保護在域外以及中國法項下的私法救濟模式，意在闡明中國《民法典》規(guī)定個人信息保護系基于社會發(fā)展實踐，而非憑空臆定。毋庸置疑，個人信息保護并非私法所一力獨擔(dān)，必然需要與其他法律共同協(xié)力，方能實現(xiàn)總體保護效果。

《民法典》第1037 條規(guī)定了個人信息主體對個人信息享有查閱權(quán)、復(fù)制權(quán)、異議權(quán)、更正權(quán)與刪除權(quán)等幾項權(quán)利，《個人信息保護法》在第四章“個人在個人信息處理活動中的權(quán)利”中在前述幾項權(quán)利的基礎(chǔ)上又增加了知情權(quán)、決定權(quán)以及可攜帶權(quán)等幾項權(quán)利。兩部法律規(guī)定的權(quán)利的解釋與銜接主要包括以下三個方面。

一是權(quán)利性質(zhì)?！睹穹ǖ洹返?037 條規(guī)定的個人信息主體的權(quán)利當(dāng)屬民事權(quán)利，此點并無疑義。而《個人信息保護法》第四章之中規(guī)定的個人在個人信息處理活動中的權(quán)利是屬于民事權(quán)利還是公法上的權(quán)利，在中國學(xué)界引發(fā)較大爭論。這種爭論實則又進一步觸及個人信息保護法的性質(zhì)是公法還是私法這一問題。至少從《個人信息保護法》的條文安排來看，該法實則容納了公法規(guī)范、私法規(guī)范以及民事、行政、刑事責(zé)任等整個責(zé)任體系，因此，以概括的公法或私法而單向度定義這部法律的性質(zhì)，實則并不客觀，也與中國個人信息保護法立法意旨與民眾期待相去甚遠，個人信息保護理應(yīng)公私法協(xié)力并進。個人信息主體的權(quán)利在世界范圍內(nèi)的立法之中都是可以通過訴訟請求救濟的，中國法也仍然循此模式。個人信息主體享有的權(quán)利非絕對權(quán)，屬請求權(quán)，而這些權(quán)利在個人有權(quán)行使的基礎(chǔ)上又需要國家予以保護，類似于“消費者權(quán)利”的性質(zhì)。消費者權(quán)利本質(zhì)上仍屬私法上的權(quán)利，但這種權(quán)利實際上也同時需要國家更多干預(yù)保護。因此，《個人信息保護法》上的權(quán)利可在消費者權(quán)利的向度進行解釋與理解。

二是權(quán)利行使。《個人信息保護法》在《民法典》規(guī)定的個人信息主體享有的查閱權(quán)、復(fù)制權(quán)、異議權(quán)、更正權(quán)、刪除權(quán)的基礎(chǔ)上又增加了知情權(quán)、決定權(quán)以及可攜帶權(quán)等幾項權(quán)利。個人有權(quán)請求信息處理者履行相關(guān)查閱、復(fù)制、更正、可攜帶、刪除等義務(wù)?！秱€人信息保護法》第50 條第2 款規(guī)定：“個人信息處理者拒絕個人行使權(quán)利的請求的，個人可以依法向人民法院提起訴訟?！笨梢?，兩部法律均保障了個人信息主體有權(quán)行使相應(yīng)請求權(quán)的權(quán)利。司法實踐中則認為，《個人信息保護法》中的私法規(guī)范與《民法典》屬于特別法和一般法的關(guān)系，只有將兩部法律相關(guān)規(guī)定結(jié)合起來，才能形成完備的個人信息保護的原則、規(guī)則體系?！?5〕參見郭鋒等：《〈個人信息保護法〉具體適用中的若干問題探討——基于〈民法典〉與〈個人信息保護法〉關(guān)聯(lián)的視角》，載《法律適用》2022 年第1 期，第12-22 頁。不過，對于知情權(quán)、決定權(quán)，如何界定其內(nèi)涵以及解釋，尚存探討空間，本文將在后文詳述。因此，從權(quán)利行使的角度而言，《民法典》與《個人信息保護法》的規(guī)定存在一致性，個人信息主體可基于法定權(quán)利請求個人信息處理者履行相應(yīng)行為義務(wù)。

三是對權(quán)利侵害的救濟。學(xué)界對于個人信息主體權(quán)利的爭論實際上分為不同層面的問題，對于權(quán)利性質(zhì)爭論較大，在權(quán)利行使上更是趨緩，而在對權(quán)利侵害的救濟上卻殊途同歸，呈現(xiàn)為一種“梯度趨同”的現(xiàn)象。侵害個人信息主體的系列權(quán)利，并不產(chǎn)生侵權(quán)損害賠償責(zé)任，其最終侵害的是一種防御性利益意義上的個人信息權(quán)益，即防止自身的個人信息被非法處理而致人身財產(chǎn)權(quán)益遭受損害，甚至人格尊嚴與人格自由受到侵害或損害的利益。〔26〕參見程嘯：《論我國民法典中個人信息權(quán)益的性質(zhì)》，載《政治與法律》2020 年第8 期，第5 頁。而即便是“將個人信息權(quán)利束定性為公法權(quán)利以及通過公法機制予以保障，也并不會阻隔個人通過民事途徑獲取相應(yīng)救濟的渠道。這些民事實體權(quán)益的私法保障及個人自我保護的訴訟方式，可以結(jié)合權(quán)利束被侵犯的情形得到類型化”?！?7〕王錫鋅：《國家保護視野中的個人信息權(quán)利束》，載《中國社會科學(xué)》2021 年第11 期，第128 頁。如若個人信息主體的系列權(quán)利被侵害，則有權(quán)請求個人信息處理者履行相應(yīng)的行為義務(wù)或承擔(dān)相應(yīng)損害賠償責(zé)任。在《個人信息保護法》第69 條規(guī)定了個人信息處理者的損害賠償責(zé)任的基礎(chǔ)上，會與《民法典》人格權(quán)編、侵權(quán)責(zé)任編等進行體系解釋與協(xié)調(diào)適用。

（三）個人信息主體權(quán)利：《個人信息保護法》與歐盟《一般數(shù)據(jù)保護條例》（GDPR）之對比

中國《個人信息保護法》在一定程度上參考借鑒了歐盟《一般數(shù)據(jù)保護條例》，包括一些基本規(guī)則和權(quán)利義務(wù)體系等方面。從權(quán)利體系而言，二者具有較大程度的相似性。在暫且忽略各自體系脈絡(luò)的前提下，從直觀描述歸納來看，具體對應(yīng)關(guān)系如下：知情權(quán)→知情權(quán) （Right to be informed）；決定權(quán)→限制處理權(quán) （Right to restriction of processing）、拒絕權(quán) （Right to object）；查詢權(quán)、復(fù)制權(quán)→訪問權(quán)（Right of access）；更正權(quán)→更正權(quán) （Right to rectification）；刪除權(quán)→刪除權(quán) （或“被遺忘權(quán)”，Right to erasure, or right to be forgotten）；可攜帶權(quán)→可攜帶權(quán) （或遷移權(quán)，Right to data portability）。直觀來看，中國《個人信息保護法》與GDPR 在個人信息權(quán)利的表述上存在較多一致之處，也在相當(dāng)程度上具有一定對應(yīng)關(guān)系，但二者也在各自法體系之內(nèi)存在相當(dāng)大的差異。大致包括以下三個方面。

一是權(quán)利體系的觀念基礎(chǔ)不同。GDPR 中關(guān)于個人信息主體權(quán)利的規(guī)定，系在歐盟法的脈絡(luò)下，與人格自由、信息自決、個人信息主體對個人信息的控制以及信息控制者與信息處理者的區(qū)分等幾者之間存在觀念上與邏輯上的緊密聯(lián)系，即觀念基礎(chǔ)與制度脈絡(luò)先于實證法。〔28〕參見姚佳：《論個人信息處理者的民事責(zé)任》，載《清華法學(xué)》2021 年第3 期，第44-45 頁。而中國個人信息保護法相對而言，并不存在較為固有的人格自由、信息自決等觀念，實際上在《民法典》編纂之際才更加強調(diào)個人信息與人格尊嚴之間的關(guān)系，信息自決觀念也是在制定《個人信息保護法》之時，以及嘗試在權(quán)利體系中的決定權(quán)、知情權(quán)等一系列權(quán)利之中構(gòu)建與貫穿，即實證法先于觀念與理念構(gòu)建。

二是權(quán)利體系的脈絡(luò)與構(gòu)成不同。中國個人信息主體的權(quán)利體系在不同權(quán)利之間自成體系。比如，決定權(quán)包括但不限于GDPR 中的限制處理權(quán)與拒絕權(quán)，同時決定權(quán)也肩負著構(gòu)建信息自決理念等任務(wù)；知情權(quán)則是后續(xù)系列權(quán)能的核心與基礎(chǔ)，同時知情權(quán)與一系列權(quán)利的實現(xiàn)也橫跨公私法，當(dāng)然在相當(dāng)程度上以相應(yīng)請求權(quán)為基礎(chǔ)。GDPR 中數(shù)據(jù)主體的權(quán)利體系中，其權(quán)利之間的關(guān)系似相對獨立，由于歐盟法與成員國法之間關(guān)系的特殊性，總體上其更是在歐盟層面的指令、條例等范圍內(nèi)建立一定體系與聯(lián)系，而各成員國在適用條例之時，也相對而言并不會特別體現(xiàn)跨公私法域等特征，而是直接指向相應(yīng)的監(jiān)管或私法，以實現(xiàn)對侵害個人信息主體系列權(quán)利的救濟。

三是權(quán)利內(nèi)容與行使方式存在差異。如前所述，《個人信息保護法》中規(guī)定的權(quán)利與GDPR 中所規(guī)定的權(quán)利內(nèi)容基本對應(yīng)，權(quán)利內(nèi)容較為相似，不過立法模式與體例卻不盡相同?！秱€人信息保護法》對個人信息主體的權(quán)利采“集中列舉”模式，對各項權(quán)利內(nèi)涵的解釋需置于個人信息保護法、民法典、規(guī)范性文件與一系列技術(shù)規(guī)范等體系之中。而GDPR 對個人信息主體的權(quán)利的規(guī)定，則聚焦于如何促進信息透明度，增強個人信息主體與信息控制者之間的交流，尤其是如何保證個人信息主體在個人信息控制者收集、使用以及自動化決策等一系列信息處理活動中加強自主決定等方面進行詳盡規(guī)定，基本上對每個權(quán)利的規(guī)定都涵蓋目的、適用場景以及限制等內(nèi)容。對于侵害信息主體權(quán)益的行為，中國《個人信息保護法》與GDPR 均規(guī)定了損害賠償、行政罰款等法律責(zé)任。另外，關(guān)于個人信息主體的投訴等權(quán)利，在GDPR 項下，數(shù)據(jù)主體如果認為對其個人數(shù)據(jù)的處理違反了GDPR，其有權(quán)向監(jiān)管機構(gòu)申訴，在不影響其申訴權(quán)利的情況下，亦有權(quán)獲得司法救濟；中國《個人信息保護法》上，規(guī)定個人有權(quán)對違法個人信息處理活動向履行個人信息保護職責(zé)的部門進行投訴、舉報，同時亦有權(quán)獲得司法救濟。

三、個人信息主體權(quán)利體系的“三階構(gòu)造”

在對個體權(quán)利進行多維觀察并聚焦于世界范圍內(nèi)的個人信息主體法定權(quán)利生成機制的基礎(chǔ)上，中國個人信息保護法上信息主體的權(quán)利獨成一格，體現(xiàn)出自身特色——個人信息主體權(quán)利體系呈現(xiàn)為貫穿性理念、核心權(quán)利與散射權(quán)能等“三階構(gòu)造”。以個人信息保護法律規(guī)范群為基礎(chǔ)，以《民法典》為規(guī)定個人信息主體權(quán)利的基礎(chǔ)性規(guī)范，并接入延伸至《個人信息保護法》，二者均為集中規(guī)定個人信息主體權(quán)利的實證法規(guī)范。個人信息主體權(quán)利體系較為完整地規(guī)定在《個人信息保護法》之中，其中第44 條至第47 條為規(guī)范載體。盡管條文數(shù)量不多，但對于這幾條的解釋則將對個人信息保護法的實施產(chǎn)生重要影響，并能不斷抽離檢驗立法預(yù)期與運行效果之間是否形成良性互動關(guān)系。

（一）第一階構(gòu)造：決定權(quán)的“理念貫穿式”權(quán)利模式與立法模式

在成文法國家的權(quán)利譜系中，以“決定權(quán)”為權(quán)利表達方式的情形極為鮮見。在已有的法律規(guī)范體系中，比較典型的是《憲法》中規(guī)定的人大及其常委會的重大事項決定權(quán)，但是這一權(quán)利也并未以“決定權(quán)”這一較為完整的表達而出現(xiàn)。而在《個人信息保護法》第44 條，“決定權(quán)”以完整意義的權(quán)利表達方式出現(xiàn)，這就帶來一定問題：這是一種什么性質(zhì)的權(quán)利？這是否是中國立法的創(chuàng)新？如何適用此項權(quán)利？

個人信息中的“可識別性”為個人信息保護的基點所在，并使得個人信息處理者系列義務(wù)以及國家對個人信息保護的“開關(guān)”始終處于“打開”狀態(tài)?！?9〕See Paul M. Schwartz & Daniel J. Solove,“ Reconciling Personal Information in the United States and European Union”,102 California Law Review 877, 887（2014）.因此，世界范圍內(nèi)的個人信息保護法與個人數(shù)據(jù)保護法均以個體能夠決定其他主體對自身信息的使用，即產(chǎn)生一種對自身信息的“控制”。如有學(xué)者所指出的，在歐盟法的脈絡(luò)中，立法已經(jīng)為數(shù)據(jù)主體提供了對于他們自身數(shù)據(jù)使用的一種控制權(quán)?！?0〕See Paul M. Schwartz & Daniel J. Solove“,Reconciling Personal Information in the United States and European Union”,102 California Law Review 877, 883（2014）.當(dāng)然，筆者也同時認為，這種控制并非是一種請求權(quán)意義上的控制，而更多的是一種“信息自決”理念的體現(xiàn)。更為重要的是，“信息自決”也并不必然上升為“信息自決權(quán)”，即便是傳統(tǒng)的以民族自決為典型的“自決權(quán)”系列內(nèi)容，實則也意在表達一種有權(quán)決定某些事項的自由，意在表達意志自由價值，仍然是一種理念層面的內(nèi)容。因此，《個人信息保護法》中的“決定權(quán)”在相當(dāng)程度上旨在反映個人對于自身信息控制的自由，傾向于理念層面的定位。

縱觀世界范圍內(nèi)的個人信息保護法與個人數(shù)據(jù)保護法，“決定權(quán)”系為一種新的權(quán)利模式與立法模式。歐盟和美國有關(guān)個人信息保護立法中的個人信息主體的權(quán)利，盡管均以加強個人對個人信息的控制自由為出發(fā)點與歸宿，但并未明確規(guī)定“決定權(quán)”這一具體權(quán)利?；蛟S是由于類似于歐盟模式的自決理念早已體現(xiàn)在較有影響力的成員國的法體系之內(nèi)，并已形成較為深厚的歷史傳統(tǒng)，并在相當(dāng)程度上影響了歐盟立法模式，而無須在立法中再具體體現(xiàn)，或許是由于這樣的一種理念是個人信息保護法本身之理念基礎(chǔ)，而無須再更多強調(diào)。中國立法之時試圖通過規(guī)定此種決定權(quán)而創(chuàng)設(shè)一種信息自決理念，以彌補此前中國法體系中缺乏的理念基礎(chǔ)。同時產(chǎn)生的一種效果就是，中國法恰好創(chuàng)設(shè)了一種新的權(quán)利模式與立法模式，并可能對世界范圍內(nèi)其他國家或地區(qū)的立法產(chǎn)生一定積極影響。

此項“決定權(quán)”又將如何實現(xiàn)？根據(jù)《個人信息保護法》第44 條的文義解釋，決定權(quán)基本上指向限制處理或拒絕他人處理個人信息，相當(dāng)于GDPR 中的限制處理權(quán)和拒絕權(quán)。但是根據(jù)本文的上述分析，如若進行此種文義解釋，無疑過于限縮了決定權(quán)的價值與意義，限制處理與拒絕處理無疑是決定權(quán)的內(nèi)容之一，但并非全部，更應(yīng)在理念等宏觀、微觀結(jié)合的角度理解決定權(quán)，才能系統(tǒng)理解個人信息主體的系列權(quán)利，決定權(quán)系為權(quán)利體系的“第一階構(gòu)造”。

（二）第二階構(gòu)造：以知情權(quán)為核心的權(quán)利基礎(chǔ)

從知情同意的本源來看，其根本上是一種主體交往之時設(shè)定法律關(guān)系的前提與基礎(chǔ)行為，無論是政治權(quán)威的建立還是對他人的授權(quán)，始終具有拓展交往主體能力的功能與作用，同時知情同意還具有限權(quán)與自我義務(wù)設(shè)定之效果?！?1〕See Peter McCormick, “Social Contract: Interpretation and Misinterpretation”, 9 Canadian Journal of Political Science 63, 63（1976）; 轉(zhuǎn)引自［美］艾瑞克?托馬斯?韋伯：《新舊社會契約論》，毛興貴譯，載《國外理論動態(tài)》2012 年第5 期，第38 頁?！爸椤狻弊鳛橐环N行為模式，其被應(yīng)用于諸多社會關(guān)系構(gòu)建之中，諸如政治國家、醫(yī)療領(lǐng)域、消費者保護與個人信息保護等。就行為外觀而言，“知情”與“同意”大致相似甚至相同，而從知情與同意作出的時點來看，二者之間的“時間差”也并不明顯；但由于個體所面對的事實、對象與場域不同，不同的“同意”內(nèi)容，則可能會在產(chǎn)生一定法律效力的基礎(chǔ)之上反射形成不同的法律效果與社會效果。尤其在當(dāng)下社會中，科技迅速發(fā)展、社會急劇變革，人們身處諸多不確定性與風(fēng)險之中。這些風(fēng)險不僅籠統(tǒng)地存在于整個社會，更下沉至具體場景與行為之中?！?2〕參見姚佳：《知情同意原則抑或信賴授權(quán)原則——兼論數(shù)字時代的信用重建》，載《暨南學(xué)報（哲學(xué)社會科學(xué)版）》2020 年第2 期，第49 頁。因此，知情同意或具體的告知同意規(guī)則更多是一種限制相對方具體行為的“閘口”。

“知情權(quán)”這一概念傳統(tǒng)上更多地被用于公法領(lǐng)域，意在表達公民對國家管理社會等事項享有知悉的權(quán)利。有學(xué)者也指出，知情權(quán)首先是個體了解公共機構(gòu)權(quán)力運行的權(quán)利，是一種“知”的權(quán)利；同時也是一項公民用以參與公共生活、監(jiān)督公共權(quán)利行使的權(quán)利，也是一種“行”的權(quán)利。個體行使知情權(quán)兼具自利性目的與復(fù)合性目的?！?3〕參見王錫鋅：《濫用知情權(quán)的邏輯及展開》，載《法學(xué)研究》2017 年第6 期，第49 頁。除公法領(lǐng)域之外，其他規(guī)定“知情權(quán)”的主要包括股東知情權(quán)、患者知情權(quán)、消費者知情權(quán)等?！秱€人信息保護法》第44 條規(guī)定了個人信息主體享有知情權(quán)，第14 條規(guī)定在個人作出同意之時應(yīng)在“充分知情的前提下自愿、明確作出”?！秱€人信息保護法》上的知情權(quán)實際上在相當(dāng)程度上與消費者法上的知情權(quán)具有相似性。有學(xué)者也提出，個人信息保護應(yīng)更加注重體現(xiàn)其消費者法的特征?！?4〕參見丁曉東：《個人信息私法保護的困境與出路》，載《法學(xué)研究》2018 年第6 期，第205-206 頁。但何為“充分知情”以及消費者法上的“充分的信息”，此類問題在消費者法上素來也是一個判斷難題，人們通常預(yù)設(shè)經(jīng)營者與消費者在智慧、理智與經(jīng)驗層面并不對等，因此對宏觀或微觀層面的“充分”可能都存在不同理解。此種“充分”好比是一個手風(fēng)琴的風(fēng)箱，它是可伸縮的，并且可能是漸次打開或甚至可能是關(guān)閉的。通常情況下，何為“充分”也是一種事后解釋，對于消費者的知情權(quán)事實上缺乏一個相對客觀的判斷標(biāo)準，這一問題也由來已久。〔35〕參見姚佳：《消費者法理念與技術(shù)的重構(gòu)》，法律出版社2019 年版，第86-87 頁。再來看《個人信息保護法》上的知情權(quán)，此類知情權(quán)實際上與傳統(tǒng)上消費者法的知情權(quán)的適用缺陷比較相似，只能依靠事前的必要、合理等標(biāo)準進行判斷，并依事后的個案情形予以判斷。

知情權(quán)在個人信息主體權(quán)利體系中居于核心地位，輻射系列具體權(quán)能，理論上與系列權(quán)能可能存在一定交叉。知情權(quán)在決定權(quán)理念的基礎(chǔ)上，與查閱權(quán)、復(fù)制權(quán)、異議權(quán)、更正權(quán)、刪除權(quán)、可攜帶權(quán)等都可能存在交叉，即個人對自身信息的查閱、復(fù)制、異議、更正、刪除與可攜帶，實際上都指向個人對于自身信息的知情權(quán)?？偠灾?，從一個體系化視角觀察，決定權(quán)是一種偏理念性的信息自決基礎(chǔ)，知情權(quán)則是整個信息主體權(quán)利體系的核心，輻射后續(xù)的系列權(quán)能，系為權(quán)利體系的“第二階構(gòu)造”。

（三）第三階構(gòu)造：散射交叉的系列權(quán)能

個人信息主體在信息處理活動中居于一種防御地位，系列權(quán)能也是一種基于防御的賦權(quán)。高度組織化的個人信息處理者與規(guī)?；⒏哳l化的個人信息處理活動，使得個人在個人信息處理活動中居于劣勢地位。個人信息主體即便是享有系列權(quán)利，對抗個人信息處理活動中的風(fēng)險仍顯捉襟見肘。因此，其行使權(quán)利維護個人信息權(quán)益也是一種基于被動化的主動。這幾種權(quán)利是在個人信息處理活動中才享有的，性質(zhì)上屬于請求權(quán)，而非絕對權(quán)?！?6〕參見程嘯、王苑：《論我國個人信息保護法中的查閱復(fù)制權(quán)》，載《法律適用》2021 年第12 期，第27 頁。以查閱權(quán)、復(fù)制權(quán)、異議權(quán)、更正權(quán)、刪除權(quán)與可攜帶權(quán)為外在表現(xiàn)的權(quán)能呈散射狀，但從語詞與權(quán)利邊界來看，幾者似相互獨立，但也不排除幾者之間可能存在一定交叉，甚至個人信息主體可能會擇一或擇幾而行使。同時，幾者分別可能會與知情權(quán)存在一定交叉，在個人信息主體權(quán)益受侵害從而行使權(quán)利之時可能會請求行使多項權(quán)利。

由于個人信息處理活動呈規(guī)?；卣?，理論上個人信息主體行使查閱權(quán)等系列權(quán)利也存在高頻與反復(fù)的可能性。故此，個人信息主體行使系列權(quán)利也應(yīng)參照征信業(yè)的相關(guān)規(guī)定，對一定期限內(nèi)的行使次數(shù)以及如何行使權(quán)利等作出一定指引。在個人信息主體的系列權(quán)利受到侵害之時，可通過侵權(quán)責(zé)任予以救濟，可請求個人信息處理者履行查閱、復(fù)制、更正、刪除、可攜帶等行為義務(wù)，從而實現(xiàn)對個體權(quán)益的法律救濟?？梢姡⑸浣徊娴南盗袡?quán)能為個人信息主體權(quán)利體系的“第三階構(gòu)造”。

（四）個人信息主體權(quán)利的實現(xiàn)機制

當(dāng)我們討論“權(quán)利”時，我們在討論什么？本文聚焦于個人信息主體的權(quán)利體系，通過多維序貫觀察，漸次切入中國法上的個人信息主體權(quán)利體系構(gòu)造。而權(quán)利面向?qū)崿F(xiàn)之時，又將如何理解以及遇到怎么樣的問題？這可能是本文在接近尾聲之時需要予以回應(yīng)的。如德沃金所言，“當(dāng)我們說某人有權(quán)利做某件事的時候，我們的含義是，如果別人干預(yù)他做這件事，那么這種干預(yù)是錯誤的，或者至少表明，如果為了證明干涉的合理性，你必須提出一些特別的理由?！薄?7〕［美］德沃金（Dworkin, R.）：《認真對待權(quán)利》，信春鷹、吳玉章譯，中國大百科全書出版社1998 年版，第249 頁。若此論非虛，某人“有權(quán)利”意味著，某人可以在不受干預(yù)的情況下行使這種“權(quán)利”。這是對權(quán)利內(nèi)涵的最樸素的認識。在《個人信息保護法》明確規(guī)定個人信息主體享有系列權(quán)利的基礎(chǔ)上，如何使這些權(quán)利獲得有效實現(xiàn)，是個人信息保護法實施中的重中之重。

個人信息主體可依法律規(guī)定向個人信息處理者請求行使系列權(quán)利。無論是歐盟GDPR 還是傳統(tǒng)的征信法律法規(guī)，都規(guī)定個人信息主體有權(quán)行使相應(yīng)法律或法規(guī)規(guī)定的權(quán)利。盡管在解釋個人信息主體權(quán)利的理論基礎(chǔ)與定位時，相較于個人信息權(quán)益概念而言，二者呈現(xiàn)為種屬關(guān)系，即這一系列權(quán)利系個人信息主體權(quán)益的權(quán)能。而“權(quán)能”這一概念本身又受制于傳統(tǒng)上其相對于所有權(quán)、定限物權(quán)之間關(guān)系的認識，因而可能理論界或者司法實踐中會認為一旦解釋為權(quán)能，則無法作為權(quán)利而行使。事實上，權(quán)能之根本功用在于“形諸外部者”，〔38〕參見謝在全：《民法物權(quán)論（中冊）》（第5 版），中國政法大學(xué)出版社2011 年版，第425 頁。即權(quán)利或權(quán)益之外部表現(xiàn)形式。質(zhì)言之，相對于個人信息主體的權(quán)益而言，其被解釋為權(quán)能，但對于這一權(quán)能的實現(xiàn)，實證法上已規(guī)定為權(quán)利，是一種法定權(quán)利，個人信息主體有權(quán)依這些權(quán)利行使相應(yīng)請求權(quán)。若用更加簡單的方式再回至原點解釋，即依循實證法自身的根本特質(zhì)而言，既然法律規(guī)定個人信息主體享有系列權(quán)利，則其就有權(quán)依據(jù)法律規(guī)定（若沒有其他限制）而行使相應(yīng)權(quán)利。總而言之，無論是基于權(quán)能理論的解釋還是法定權(quán)利的解釋，二者殊途同歸，個人信息主體均有權(quán)依法行使相應(yīng)權(quán)利。

個人信息主體行使其權(quán)利時是否需要設(shè)置前置程序仍有待進一步的探討。根據(jù)《個人信息保護法》第50 條，“個人信息處理者應(yīng)當(dāng)建立便捷的個人行使權(quán)利的申請受理和處理機制。拒絕個人行使權(quán)利的請求的，應(yīng)當(dāng)說明理由。個人信息處理者拒絕個人行使權(quán)利的請求的，個人可以依法向人民法院提起訴訟?！笨梢?，在個人行使權(quán)利之時，至少有兩個途徑可行使和維護自身權(quán)利，一是可向個人信息處理者請求；二是在個人信息處理者拒絕履行相應(yīng)義務(wù)之時，個人有權(quán)向法院提起訴訟。當(dāng)下的爭論焦點主要在于，是否需要在個人向法院提起訴訟之前設(shè)置一個向管理部門投訴或申訴的必要前置程序。對于這一點，至少GDPR 以及征信業(yè)管理條例都未作明確規(guī)定，因此，可在《個人信息保護法》實施之后的一定時期內(nèi)再斟酌是否需要設(shè)置此程序。但實踐中目前又出現(xiàn)的一個情況是，個人信息主體可能在并未向個人信息處理者請求履行相應(yīng)義務(wù)之時，就徑直向法院起訴。這一點確有違背法理情理之嫌，這就好比在合同履行過程中或者侵權(quán)情形下，權(quán)利主體未曾向債務(wù)人或者侵權(quán)人請求履行或請求承擔(dān)責(zé)任而直接起訴，其訴訟請求仍為請求債務(wù)人履行相應(yīng)義務(wù)或者侵權(quán)人承擔(dān)相應(yīng)損害賠償責(zé)任。此種情形似有“濫用訴權(quán)”之傾向。因為在個人信息主體向個人信息處理者提出行使權(quán)利的請求前，個人信息處理者不存在拒絕請求的余地，糾紛尚未發(fā)生，自然也沒有通過實體審判來解決糾紛的必要?？偠灾?，個人信息主體起訴之前應(yīng)向個人信息處理者主張行使相應(yīng)權(quán)利，只有在個人信息處理者拒絕履行義務(wù)或者履行義務(wù)不符合個人信息主體所主張的內(nèi)容之時，在產(chǎn)生糾紛的情形下，才得提起訴訟。

個人信息主體的系列權(quán)利應(yīng)充分保證實現(xiàn)。根據(jù)《個人信息保護法》，個人信息主體有權(quán)依法行使相應(yīng)權(quán)利，而不受相應(yīng)條件限制，當(dāng)然，應(yīng)避免權(quán)利濫用。至于是否設(shè)置向管理部門申訴或投訴等訴前前置程序，則不宜強力推行，畢竟監(jiān)管能否取得良好實效以及是否符合民眾期待仍有待觀察。從當(dāng)下的情況來看，即便《個人信息保護法》已開始實施，但仍有相當(dāng)數(shù)量的個人信息處理者存在一定規(guī)模的違法違規(guī)行為，〔39〕參見工業(yè)和信息化部：《關(guān)于侵害用戶權(quán)益行為的APP 通報（2022 年第1 批，總第21 批）》（2022 年2 月18 日發(fā)布），來源：https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2022/art_ad107d53a5fb45479a31a22a20990c33.html，2022 年2 月21 日訪問?？梢姺蓪嵤┖蛿?shù)據(jù)治理的效果難稱理想。因此，在大眾并未排斥甚至積極接納國家干預(yù)與保護的基礎(chǔ)上，充分賦予個人信息主體行使相應(yīng)權(quán)利的自由，克服監(jiān)管天然帶有的弊端與短板，充分保護個人信息主體權(quán)利的實現(xiàn)，是為可取之道。

四、結(jié)語

從世界范圍來看，美國、歐盟與中國對個人信息保護立法呈現(xiàn)出不同的價值選擇與立法體例選擇，致力于求同存異，以促進實現(xiàn)個人信息保護的客觀化與標(biāo)準化。中國成文法意義上的個人信息保護法雖然直至2021 年8 月才完成，但中國多年來始終試圖創(chuàng)設(shè)與構(gòu)建符合中國發(fā)展實際的個人信息主體權(quán)利體系。其中，和而不同的“決定權(quán)”、以知情權(quán)為核心的權(quán)利基礎(chǔ)以及系列權(quán)能，既需要完成保護個人信息權(quán)益的使命，同時又面臨未來如何完成此項使命以及如何與個人信息處理者的利益實現(xiàn)平衡等諸多挑戰(zhàn)。

中國問題的討論應(yīng)符合中國實際，更應(yīng)與全球制度發(fā)展同步。同時，任何問題的討論都離不開場域和視域，進而才能形成相應(yīng)論域。但也由此引發(fā)了對于國內(nèi)學(xué)界關(guān)于個人信息保護法究竟是公法還是私法，以及個人信息主體的系列權(quán)利屬于公法上的權(quán)利還是民事權(quán)利等爭論。事實上，此種爭論在其他國家或地區(qū)并未產(chǎn)生，因為即便歐盟數(shù)據(jù)立法在形式上以管制法的面貌出現(xiàn)，但其也從未放棄過對個人的損害賠償救濟，因此并不存在所謂法律責(zé)任向度上的“非此即彼”。同時，在兩大法系典型國家或地區(qū)，憲法與民事法律、消費者法以及民事制度的合憲性及其與公法制度的協(xié)調(diào)等都形成了較為系統(tǒng)的解釋論與理論融貫。因此，或許從一種學(xué)術(shù)史的階段觀察與記錄角度而言，此種爭論是必要的，但也不宜進行大量“非此即彼式”的討論。以“場域”為出發(fā)點，以“視域”為檢驗標(biāo)準，進而確定相應(yīng)有意義的“論域”，才是問題討論的價值所在。

放眼全球范圍內(nèi)的信息立法與數(shù)據(jù)立法的博弈，誠如施瓦茨所言，在歐盟推出《一般數(shù)據(jù)保護條例》之后，在信息隱私方面的新沖突出現(xiàn)在美國與歐盟之間?！?0〕See Paul M. Schwartz, “The EU-U.S. Privacy Collision: A Turn to Institutions and Procedures”, 126 Harvard Law Review 1966, 2008（2013）.當(dāng)中國制定《個人信息保護法》之后，也同樣面臨世界范圍內(nèi)的立法競爭、博弈以及可能的潛在沖突。這又為如何實現(xiàn)個人信息主體的權(quán)利、如何保護個人信息權(quán)益帶來更大的挑戰(zhàn)。殊值重視的是，在更趨于技術(shù)化與客觀化的個人信息保護領(lǐng)域，以個人信息為載體，以可識別性為切入角度的人格保護也日益變得更加關(guān)注技術(shù)?？萍紝θ藗冃袨榈摹俺p推”甚至科技可能陷入“塔西佗陷阱”，這些微妙變化與風(fēng)險泛在都可能在某種程度上忽視人格尊嚴的重要意義以及人之為人的價值所在。是以，無論社會如何變遷，應(yīng)始終重視人的價值，這才是真正意義上人的發(fā)展，切莫遺忘。