《个人信息保护法》的基本法定位与保护功能

《个人信息保护法》的基本法定位与保护功能

一、导言：《个人信息保护法》作为数字

化时代重要的现实立法

《中华人民共和国个人信息保护法》（以

下简称《个人信息保护法》）于2021年8月

20日颁布，贴合了我国数字化发展背景下每

个人最直接最现实的利益保护需要。个人信

息本身是网络信息化时代开始凸显的一种新

型的颇具基础性的重要个人利益。早在2020

年10月13日提请首次审议时，《关于〈中

华人民共和国个人信息保护法（草案）〉的

说明》（以下简称《关于〈个人信息保护法

（草案）〉的说明》）就指出，“在信息化

时代，个人信息保护已成为广大人民群众最

关心最直接最现实的利益问题之一”，“制

定一部个人信息保护方面的专门法律，将广

大人民群众的个人信息权益实现好、维护好、

发展好，具有重要意义”。可见，《个人信

息保护法》是我国置身数字化时代不可或缺

的一项基础性立法。

《个人信息保护法》在整个网络信息法

律体系中占据最基础的位置，个人信息保护

在网络领域应优先受到关注，是网络信息领

域法律形成和发展的重要体现。我国在《个

人信息保护法》出台之前就制定了《网络安

全法》《电子商务法》《数据安全法》等法

律，这些法律体现了网络信息空间不同的规

范重点，但都没有成为网络信息领域法律的

体系基础，《个人信息保护法》的出台才填

补了这个空白。虽然对网络信息空间的言论

自由、网络安全、知识产权、电子商务等利

益的保护和规制也应是网络空间的规范重点,

但从人本主义角度出发，由于个人信息保护

的需要最为基础，所以《个人信息保护法》

是最重要、最必要的法律。

认识《个人信息保护法》的基础意义，

必须紧贴数字化时代背景，把握其蕴含的最

基本需求和根本矛盾。近十年来，随着网络

信息科技的颠覆性发展，互联网从简单信息

化阶段过渡到复杂数字化阶段，大数据成为

了我们世界最主要的特点之一。早期互联网

追求的是信息交互意义上的互联互通，当下

互联网则更加追求基于移动手机、大数据、

云计算、人工智能、物联网等新技术的数字

资源化实践演化出的数字经济、数字社会和

数字管理的繁荣前景。一方面，数据变得吸

其重要，世界大国开始围绕数据展开博弈，

数据资源成为新的战略资源，大数据战略上

升为国家战略，我国也不例外；另一方面，

大数据战略驱动下的网络和数字的创新和应

用，也衍生出层出不穷的问题，其中显著问

题之一就是数字化发展和个人信息保护日益

陷入复杂的矛盾关系。个人信息因数字化发

展得以大量显现和形成，并因其具有极高数

据化价值而备受产业和管理机构的青睐，，'旦

同时也伴生了大量的对个人的负面效应，特

别是未经同意的个人信息处理和愈演愈烈的

滥用行为对个人带来的损害或风险。著名隐

私和个人信息法专家丹尼尔•索罗夫(Daniel

J.Solove)和保罗•斯瓦茨(Pau1M.

Schwartz)指出，“我们生活在一个由技术

形塑和信息推动的世界，技术设备一一如移

动电话、视频和音频记录设备、计算机和互

联网——已经彻底改变了我们捕捉世界信息

和相互沟通的能力。信息是当今社会的生命

线。我们的日常活动越来越多地涉及信息的

传递和记录。政府在与个人出生、婚姻、财

产、法院诉讼、机动车辆、投票活动、犯罪

违规、专业许可和其他活动中记录并收集了

大量的个人信息。私营部门还建立了庞大的

个人信息数据库，用于营销或准备信用无

录……这些新技术，加上政府和企业越来越

多地使用个人信息，对隐私保护提出了新的

挑战。”换言之，个人信息对个人具有越来

越重大的利益，个人信息也因此需要一种全

新的保护。

在此背景下，重视个人信息保护，将个

人信息保护立法确立为一种新型领域立法，

并系统性地加以规定，逐渐成为数字化时代

法律的新发展趋势。据不完全统计，从上世

纪70年代至今，有关国际组织和欧盟等先后

出台了关于个人信息保护的准则、指导原则

和法规，全世界有140多个国家或地区出台

了关于个人信息保护的法律。其中，欧盟、

日本、美国的个人信息保护立法最受关注，

影响较大。欧盟和日本呈现出制定个人信息

保护综合基本法的趋势，而美国个人信息保

护的立法发展虽然也非常显著，但是从制定

法而言，美国联邦层面因受到自身立法体制

影响，目前仍然是碎片化地推进，不过州法

出现了制定综合基本法的趋势。与相关国家

或地区相比，我国《个人信息保护法》似乎

有些姗姗来迟。究其原因，不是我们忽视个

人信息保护的重要性，而是我国更追求水到

渠成的效果。正如全国人民代表大会宪法和

法律委员会在《关于〈中华人民共和国个人

信息保护法（草案）〉审议结果的报告》（以

下简称《关于〈个人信息保护法（草案））

审议结果报告》）中所言：“为加强个人信

息保护，维护人民群众在网络空间的合法权

益，并促进信息合理利用，制定本法是必要

的，草案经过两次审议修改，已经比较成熟J

此前，我国也存在应对数字经济采取谨慎立

法的呼声，希望以包容创新、渐进规范的做

法，给予网络和数字创新必要的窗口期。一

种颇具代表性的观点认为，尽管加强个人信

息保护已经成为社会共识，但个人信息保护

极具争议，其基本理论问题难以定论，因此

应当保持立法上的谨慎。上述呼声反映到个

人信息保护上，就是希望立法不要过于严格，

而应当在充分甚至优先支持网络数字化快速

繁荣的条件下处理个人信息保护的需求。

此次《个人信息保护法》的面世，意味

着我国对数字化背景下个人信息保护的要求、

范围、方式等做出了重要且系统的立法决断。

当然，此前在对个人信息保护系统立法存在

犹豫的情况下，我国仍针对现实突出的、亟

待解决的个人信息保护问题不断适时修改或

者制定相关法律，阶段性地跟进，在刑法、

民法等基本法方面，都作出了相应的规定。

刑事立法方面，2009年通过的《刑法修正案

（七）》增加了第253条之一，规定了出售、

非法提供公民个人信息罪和非法获取公民个

人信息罪两个罪名；2015年通过的《刑法修

正案（九）》第17条对刑法第253条之一再

次修改，取消了原来的两个罪名，确立了侵

犯公民个人信息罪。民事立法方面，2020年

5月28日出台的《民法典》，在第一编“总

则''第111条明确规定个人信息受法律保护，

同时在第四编“人格权”第六章专章规定“隐

私权和个人信息保护”，确立了个人信息保

护的基本私法制度。比较重要的涉及个人信

息保护的专门立法，则包括2012年《全国人

民代表大会常务委员会关于加强网络信息保

护的决定》、2016年《网络安全法》、2018

年《电子商务法》、2021年《数据安全法》

等。

新出台的《个人信息保护法》具有划时

代的意义，其与此前阶段性的努力存在重要

差异。《关于〈个人信息保护法（草案））

的说明》第一部分“制定本法的必要性”第

三点对此进行了充分说明。详言之，即不再

只突出支持数字化创新发展，而是明确以“促

进数字经济健康发展”为目标，要求“应当

统筹个人信息保护与利用，通过立法建立权

责明确、保护有效、利用规范的制度规则，

在保障个人信息权益的基础上，促进信息数

据依法合理有效利用”，实现了从促进数字

化创新发展到个人信息保护与利用并重的重

要跨越。那么，应当如何解读这部立法做出

的重要跨越呢？或者说如何准确认识它的基

本体系和主要制度呢？与过去比较，有哪些

重要的发展和变化？与其他国家比较又存在

哪些重要的相同和不同之处呢？就此可谓仁

者见仁，智者见智。本文拟从《个人信息保

护法》的定位、功能预设等角度对其加以审

视，旨在彰显其主要体系的基础，并借此反

映法律体系及其功能正在发生的急剧演化历

程。

二、《个人信息保护法》的基本法定位及

其与《民法典》的关系

(-)作为与其他基本法具有并存地位

的新型领域基本法

《个人信息保护法》第1条开宗明义池

规定了自己的基本宗旨和制定根据，”为了

保护个人信息权益，规范个人信息处理活动，

促进个人信息合理利用，根据宪法，制定本

法”。这一宣示明确将《个人信息保护法》

定位为个人信息新型领域的专门法暨基本法。

首先，该法的基本宗旨明确了其是个人

信息领域的专门法，即属于“为了保护个人

信息权益，规范个人信息处理活动，促进个

人信息合理利用”的法律。个人信息领域是

否具有制定专门法的必要，过去并非没有争

议。网络立法早期，美国曾经出现过所谓的

“马法之争”，以知名学者因斯布鲁克(Frank

H.Easterbrook)为代表的一种观点认为，

对网络领域像劳动法那样进行专门立法毫无

必要，无论是从调整对象还是调整手段上看，

网络法都不具备成为独立法律部门的条件，

所谓网络法不过是将相关部门法的某些部分

合起来罢了。这种观点遭到了网络法领域学

者的反对，后者更有力地论证了网络法单独

立法的必要性。后种观点认为，网络空间是

一个正在快速成长的特殊空间，涌现出许多

传统领域所不具有但又经常出现的法律问题，

传统法律并不能调整，因此应该将网络法创

设为一个新的有机整体，而不能是宪法、民

事诉讼法、合同法以及行政法等法律法规中

的相关内容的简单混合。随着大数据背景下

信息化、数字化的不断发展，个人信息保护

等问题作为需要规制的新型问题显示出越来

越迫切而重大的独立立法需求，上述争议才

逐渐消失了。现在，各国已不再犹豫是否出

台包括个人信息保护法在内的网络信息立法,

需要考虑的已变成应该如何确保相关专门立

法具有适时性和合理性等新问题。欧盟在

2000年的《基本权利宪章》专门设定第8条，

赋予个人数据保护具有独立基本权利的品格,

甚至为个人信息保护确立了宪法上的直接依

据，并在此基础上制定了专门的《欧盟一般

数据保护条例》（以下简称GDPR）o美国联

邦和州的法律实践则采取了积极解释宪法并

将其作为个人信息保护基础的做法，主流观

点和判例认为美国联邦宪法第四修正案体现

的隐私权应当包括对个人信息的保护，可以

将个人信息归入信息隐私的范畴。我国2020

年出台的《民法典》，以追求合乎“时代性”

为要求，在第四编“人格权”第六章创设“个

人信息保护”，确立了有关个人信息保护的

基本私法制度，但很快发现依靠部门法对个

人信息保护进行调整存在巨大不足，无论是

从调整对象还是调整方法上看，都有必要针

对个人信息保护制定一部专门的更加系统的

法律，为此我国又出台了《个人信息保护法》。

可见，《个人信息保护法》是对个人信息保

护这一新型领域独立立法需求的积极回应。

其次，该条明确规定“根据宪法，制定

本法”，这是我国现行网络法律中唯一一部

直接表明“根据宪法”制定的法律。此处“限

据宪法”的表述，不仅具有程序意义，而且

也具有实质意义。全国人民代表大会宪法和

法律委员在《关于〈个人信息保护法（草案））

审议结果报告》中做出了说明，指出个人信

息保护法直接依据于《宪法》所确立的保障

公民的人格尊严和其他权益的要求，即国家

尊重和保障人权、公民的人格尊严不受侵犯、

公民的通信自由和通信秘密受法律保护三项

规定。这表明，该法不仅是个人信息保护领

域的基本法，也是整个网络信息法律体系的

基本法，同时也是与刑法、民法等基本法具

有并存地位的基本法。在立法过程中，有过

关于个人信息保护法与现行刑法、民法关系

的讨论。有观点建议将之设计为民法典的单

行法，作为《民法典》中有关个人信息保护

基本私法制度的具体化法律。但相反的观点

认为，个人信息保护法是崭新的法律部门，

作为正在兴起的网络信息法的核心组成部分,

不能将《个人信息保护法》简单地理解为《民

法典》的下勺法，个人信息保护与人格权保

护是两个不同的问题，”将传统的人格权理

论和制度套用到个人信息保护领域，必然出

现各种不适配问题”，“只有科学认识这两

部法律的关系，才能使个人信息保护法针对

信息时代个人信息保护所面临的现实问题，

设计相应有针对性的制度，而不是被传统民

事法律制度所束缚”。《个人信息保护法》

放弃了作为《民法典》下位单行法的定位，

通过直接标示“根据宪法，制定本法”，将

自身设定为与刑法、民法基本法具有同等地

位的个人信息保护领域的基本法。由此，《个

人信息保护法》和刑民基本法形成一种并存

交叉关系，而非隶属关系。《个人信息保护

法》与刑民基本法之间的相互关系，不能通

过一般法和特殊法的模式来处理，而应通过

相互的转介条款来进行指引或衔接。

在此意义上，《个人信息保护法》对现

行法律体系具有一种不可忽视的新的体系建

构作用，并形成了重要的体系发展。首先，

这意味着在数字化时代，我们既有的法律体

系发展出一个新的独立部分，即个人信息保

护法以及以之为基础的网络法。在该独立法

域，《个人信息保护法》居于最基础的地位，

比《网络安全法》《电子商务法》《数据安

全法》等其他网络法律具有更高的地位，其

不仅仅是个人信息保护领域的基本法，也是

整个网络信息法或者网络空间法的基本法。

作为领域基本法，它与其他网络法律的关系，

既有一般法与特殊法的关系，也有新法与旧

法的关系，还存在上位法与下位法的关系。

其次，这也意味着在数字化时代，个人信息

保护法作为本领域基本法，具有独立地位，

与刑民基本法具有平等的法律地位，不能被

看成是这些基本法的下位法。它虽然与刑法、

民法难免发生交叉关系，但是其作为独立法

律的核心内容，即体现在《个人信息保护法》

中的主要制度，却是根源于自身领域的特殊

规范需求，体现着自身特殊的调整特点，有

自己独立的范畴和逻辑诉求。

（二）作为新型领域基本法与《民法典》

相关规定的体系关系

《民法典》作为我国当前法律体系中唯

一一部冠以“法典”之名的民事基本法，《个

人信息保护法》必须对其予以充分尊重。这

不仅是法律之间必须保持基本协调之要求，

也是由《民法典》“固根本、稳预期、利长

远的基础性法律”地位所决定的。事实上，

《个人信息保护法》在起草过程中，就已经

与《民法典》的相关规定进行了一定程度的

协调。但是又应当注意，《个人信息保护法》

是“根据宪法”制定的具有基本法地位的法

律，应当维护其独立地位，在充分尊重民法

典而对相关规定进行协调的同时，也必须明

确这种尊重是有限度的，不得违背并存关系

的基本要求。

首先，作为并存的基本法，两部法律在

适用于相同主题事项上时应该保持体系融贯。

这种融贯的基础不是依据一般法与特殊单行

法的关系，而是以二者之间的并存地位为基

础，二者的立法与适用应平等协调、互为补

充。《民法典》对个人信息保护作出了基本

规定，我们可以将之定性为关于个人信息保

护的基本民事制度，主要体现在第一编“总

则”第五章“民事权利”的第111条、第127

条和第四编“人格权”第六章“隐私权和个

人信息保护”的有关规定。《民法典》原本

计划从人格权益角度确立个人信息保护制度，

但在“个人信息保护”名义下，第六章第1034

条到1039条的规范内容却包括了关于个人

信息的权利、个人信息处理者的义务以及相

关处理行为规范、免责事由和国家机关等具

有公共职能主体的特殊义务。从体系角度而

言，《民法典》第六章相关基础规范没有特

殊规定的，都要回溯到人格权和民事权利的

一般规定加以补全，相关民事责任和保护方

式没有特殊规范的，则要与侵权责任编相关

规定和民事责任的一般规定相衔接。具体而

言：

其一，应注意《民法典》提出了将个人

信息保护和数据保护并置的原则思路（第111

条和第127条）。这些在《个人信息保护法》

中并没有被排除，在适用中也应该成为个人

信息保护的更高体系架构。《民法典》第111

条第一句话宣示个人信息受法律保护，第二

句话对需要获取他人个人信息的任何组织或

个人的活动设定了行为规范，可以将其解释

为个人信息获取者的三项行为义务，包括一

项“应为”的作为义务（应当依法取得并确

保信息安全）和两项“禁止”的不作为义务

（不得非法收集、使用、加工、传输他人的

个人信息，不得非法买卖、提供或者公开他

人个人信息）。《民法典》第127条与第111

条并存而立，规定“法律对数据、网络虚拟

财产的保护有规定的，依照其规定”，明确

了数据与个人信息具有保护上的并置关系。

立法部门在未来也有制定数据保护法的可能。

其二，应注意《民法典》区分规定了隐

私权和个人信息保护。《民法典》第四编第

六章明确将隐私权和个人信息保护区分开来。

这种做法形式上与欧盟相似，而不同于美国

将个人信息纳入隐私权的信息隐私范畴加以

保护的做法c《民法典》第1032条确立隐私

权及隐私范畴，第1034条则确立个人信息保

护及个人信息范畴。这里，作为隐私权保护

对象的隐私，指向的是私人生活安宁和相关

私密领域，显然不仅仅是私密信息，其既有

物理意义的身体隐私和社会意义的空间隐私，

也有信息意义的隐私。而作为个人信息保护

对象的个人信息，则被界定为可识别个人的

各种信息。可以看到，两者既有明显的区分，

同时也有交叉，在信息隐私领域，个人信息

涵盖了信息隐私。也就是说，个人不愿为他人

知晓的私密信息虽然应当划入隐私权的范畴，

但同时也属于个人信息保护的对象。《民法

典》第1034条第3款明确二者的法律适用关

系是，将隐私权规定视为特殊规定，个人信

息保护规定视为一般规定，没有特殊规定的，

适用个人信息保护的规定。上述区分隐私权

和个人信息以及处理二者交叉关系的规则当

然也应该为《个人信息保护法》所尊重。

其三，《个人信息保护法》和《民法典》

有意通过设计相关不完全规定或引介规定，

连接相互体系，对接各自的规定。比如，《个

人信息保护法》第69条规定，”处理个人信

息侵害个人信息权益造成损害，个人信息处

理者不能证明自己没有过错的，应当承担损

害赔偿等侵权责任”。除了将过错推定作为

归责原则外，该条还通过指向侵权责任的方

式使自己与《民法典》有关侵权责任的规定

联系起来。《民法典》也有类似的规定，例

如，第1037条第2款规定：“自然人发现信

息处理者违反法律、行政法规的规定或者双

方的约定处理其个人信息的，有权请求信息

处理者及时删除。”其中，“法律”当然也

包括现在出台的《个人信息保护法》。另外，

《个人信息保护法》不仅通过引介规定与《民

法典》相关规定对接，也通过引介规定与刑

法、治安管理处罚法或行政法对接。例如，

《个人信息保护法》第71条直接将违法责任

与《治安管理处罚法》和《刑法》对接起来。

其次，《个人信息保护法》与《民典法》

作为并存基本法，在个人信息保护制度设计

上存在明显差异，对此应当从维护《个人信

息保护法》作为具有独立并存地位的基本法

的角度来处理这些差异规定的适用问题，对

差异规定应适用功能评价原则进行区分。鉴

于《个人信息保护法》属于本领域新法，相

较于《民法典》，如果属于修补的差异，应

优先适用修补规定；如果不属于修补的差异，

则互补适用。两部法律的差异，很大部分是

由二者的功能差异决定的，笔者将在后文展

开具体研究。《个人信息保护法》不仅在调

整方法上具有综合立法的特点，而且在具体

规则设计上也存在较为明显的功能差异面向。

从调整方法上看，相比作为部门法的民法，

个人信息保护法融合了多种不同性质的调整

方法，其保护制度不只是民事的，而是多种

面向的，包括行政的、刑事的甚至诉讼程序

方面的保护制度，也包括涉外的保护规则。

从功能差异来看，《个人信息保护法》的保

护制度显然不是相关部门法规则的具体化和

特殊化，而是基于自身复杂的特殊调整功能

进行的新的体系规则建构。比如，针对个人

信息处理者的义务，《个人信息保护法》除

规定了私法义务外，还增加了管理义务；并

涉及履行个人信息保护职责的部门规范（涉

及部门分工、职责、管理、执法等管理规定），

这实际上属于《个人信息保护法》为充分体

现其管理保护功能的增强制度。这些都旨在

建构个人信息保护的新机制，是《民法典》

所没有的。对此，当然应从功能评价的角度

加以适用，不能因为《民法典》没有规定就

予以否定。

当然，有些差异可能与功能预设无关，

而纯属于两部法律之间的体系矛盾。对此，

原则上应该首先坚持并存协调的原则加以调

和，如果确实存在难以调和的矛盾，则宜采

取新法优于旧法的原则（而非特别法优于一

般法或上位法优于下位法的规则）进行体系

平衡。在此，《个人信息保护法》即为新法。

三、《个人信息保护法》对《民法典》个

人信息保护私法制度的重要修补

立法者从《个人信息保护法》是与刑民

基本法具有并存地位的领域基本法这一定位

出发，结合现实需求，对《个人信息保护法》

作出了两方面的建构：一方面，从领域法的

全功能体系出发，建立了系统化的个人信息

保护制度；另一方面，对《民法典》中个人

信息保护的相关私法制度作出了更加完善的

规定。如果发现《民法典》的规定存在不足

应当修补的，就果断予以修补。具体而言，

《个人信息保护法》无论是在个人信息等概

念上，还是在相关权利和义务的规定上都对

《民法典》的相关规定进行了重要的修补，

而不只是简单细化和补充。这些修补不能被

视为是对《民法典》的违反或抵触，而应该

被视为是有效的合理的修改和完善。

(-)关于个人信息等概念的修补

《民法典》通过第1034条第2款阐释了

个人信息的内涵，即“个人信息是以电子或

者其他方式记录的能够单独或者与其他信息

结合识别特定自然人的各种信息，包括自然

人的姓名、出生日期、身份证件号码、生物

识别信息、住址、电话号码、电子邮箱、健

康信息、行踪信息等”。《个人信息保护法》

第4条第1款也对“个人信息”进行了界定：

“个人信息是以电子或者其他方式记录的与

已识别或者可识别的自然人有关的各种信息,

不包括匿名化处理后的信息。”相较而言，

后者不仅表述更加简洁，而且在范围上也有

明显变化，明确排除了“匿名化处理后的信

息”，也就是说匿名化处理后的信息不再属

于个人信息的范畴，自然也就不再适用《个

人信息保护法》。关于匿名化，《个人信息

保护法》第73条第3项作了严格界定，”匿

名化，是指个人信息经过处理无法识别特定

自然人且不能复原的过程”，与程度较低的

第4项规定的“去标识化”相区别，“去标

识化，是指个人信息经过处理，使其在不借

助额外信息的情况下无法识别特定自然人的

过程”。可见，《个人信息保护法》关于个

人信息的概念界定，对《民法典》个人信息

的定义做出了不可忽略的修补。

由于《个人信息保护法》对个人信息的

概念界定仅仅进行抽象说明而没有采取列举

加概括的定义方式，此项修补一方面与《民

法典》相比显得更为模糊；但另一方面，明

确将匿名化处理后的信息排除在个人信息的

保护范围外，对执行匿名化的个人信息处理

者是极大的利好，鼓励了他们积极开发和应

用符合要求的匿名化处理技术。《个人信息

保护法》第4条第2款还重新界定了个人信

息的处理范围，包括“个人信息的收集、存

储、使用、加工、传输、提供、公开、删除

等”，对比《民法典》第1035条第2款的养

定，即“个人信息的处理包括个人信息的收

集、存储、使用、加工、传输、提供、公开

等”，明显增加了对“删除”的列举，这就

使得“删除”明确进入应当受到规范的个人

信息处理活动的范围。

（二）关于对自然人个人信息的权利的

修补和增加

《民法典》第1037条规定了自然人对其

个人信息享有的相关权利，其中第1款规定

了查阅或者复制的权利、针对错误信息提出

异议并请求及时更正的权利；第2款规定了

在信息处理者违法或违反约定处理个人信息

情形下的请求删除的权利。对比而言，《个

人信息保护法》规定的个人信息的权利范围

有了明显的扩展。一方面，《个人信息保护

法》通过第45条第1款和第2款（查阅权、

复制权）、第46条第1款和第2款（从更正

权发展为更正补充权）和第47条（删除权）

的规定，确认《民法典》已经明确的有关个

人信息的权利，并且做出了进一步完善；另

一方面，还通过第44条增加规定了知情权、

决定权、限制和拒绝他人处理权，通过第45

条第3款增加了可携带权，通过第48条增加

了请求解释权。《中华人民共和国个人信息

保护法（草案）》（二次审议稿）［以下简

称为《个人信息保护法（草案）》（二次审

议稿）］还规定了对死者个人信息的保护，

《中华人民共和国个人信息保护法（草案）》

（三次审议稿）［以下简称为《个人信息保

护法（草案）》（三次审议稿）1完善为自

然人死后个人信息由其近亲属在一定范围获

得保护，并尊重死者生前的安排。值得说明

的是可携带权，《个人信息保护法（草案）》

（三次审议稿）才对该项权利的增设做出决

断，《关于〈个人信息保护法（草案）〉审

议结果报告》第七项对确立可携带权的由来

进行了详细说明。立法过程曲折的主要原因

是学界和产业界对是否引入欧美国家的可携

带权存在疑虑，其中反对观点认为如果引入

会给我国个人信息处理者带来巨大负担，不

利于产业发展。立法者最终决定引入数据可

携带权，这对于维护数据市场的公平竞争具

有积极意义。数据企业特别是头部企业任意

进行数据封锁，阻断数据流通，甚至进行数

据垄断，从反不当竞争和反垄断的角度看业

已成为一种现实危害。国家市场监督管理总

局于2021年8月17日发布了《禁止网络不

正当竞争行为规定（公开征求意见稿）》，

对互联网经营者利用技术手段影响用户选择,

包括实施平台封禁、大数据杀熟、向用户频

繁弹窗等新型网络不正当竞争行为进行了分

类规制，以期增强《反不正当竞争法》的适

用性。从司法实践来看，目前一些典型判决

也确立了结合数据封锁来分析是否构成不正

当竞争的观点。可携带权有利于破除这种封

锁，所以极有必要对其进行规定。

关于个人信息保护的性质及其基础，一

直存在争议。从比较法上看，不一而论。有

观点从人格尊严与自由的角度出发，支持个

人信息自决权理论。但也有学者兼从社会功

能角度出发，认为个人信息的权利不是绝对

的，而应该结合其社会功能来理解，这种观

点支持个人信息相关权利的分叉和具体功能

化，倾向兼顾人格价值和社会功能，从维护

个人在数字化时代的必要人格尊严和自由以

及维护公平实践等角度，综合设定和理解个

人信息权利°目前后一种观点逐渐占据优势。

在美国，2018年《加利福尼亚州消费者隐私

保护法》和2021年的《弗吉尼亚州消费者数

据保护法》甚至把个人信息权利的重心转移

到了公平实践之上。在这种情况下，个人就

个人信息应受保护的权益体现为在合理范围

内不受干涉和应受公平利用对待的各种利益,

既包括对相关处理活动的必要知情权、同意

权或自主决定权等与尊严自由相关的一般人

格利益，也包括应受公平和平等对待等的特

殊人格利益，甚至还包括因个人信息的经济

功能产生的财产化、可公开化的合理要求。

（三）关于个人信息处理者义务的修补

和增加

《民法典》第1038条设定了个人信息处

理者的一般私法义务，该条第1款规定了个

人信息处理者的两项不作为义务，即禁止泄

露或篡改的义务和禁止未经同意向他人非法

提供的义务；第2款规定了两项作为义务，

即应当采取必要措施确保个人信息安全的义

务，以及在发生或者可能发生个人信息损害

时应当及时采取补救措施并按规定告知和报

告的义务。相比《民法典》这一规定，《个

人信息保护法》关于个人信息处理者义务的

规定，显然有了巨大的完善，具有相当范围

的增量，既有私法义务规范，也有《民法典》

未规定的管理义务规范，形成了一个更加复

杂的与处理场景和安全风险密切结合的多组

不同性质义务相配合的体系，体现出义务人

自主管理和非自主管理的双重性。

《个人信息保护法》第51条涉及的是私

法义务规范，对《民法典》第1038条的规定

进行了一定的扩充，但不仅仅是《民法典》

第1038条的具体化、明确化。《个人信息保

护法》第51条规定，个人信息处理者应当根

据个人信息处理的具体情况，采取确定的六

项措施来确保个人信息处理活动合法合规，

并防止未经授权的访问和个人信息泄露、篡

改、丢失。《个人信息保护法》第52条到

58条都是关于管理义务的规定，是《民法典》

所没有的，体现了《个人信息保护法》超出

一般私法治理的综合治理的义务配置特点。

《个人信息保护法》第52条规定，规模化的

个人信息处理者具有设置个人信息保护负责

人并进行报送备案的义务，这显然是一项旨

在强化个人信息处理者自主管理的管理义务，

不仅有利于保护个人信息权益，而且也兼具

公共治理属性，防范规模数据的安全风险。

第53条对符合本法规定的境外个人信息处

理者设定了应在中国设立个人信息保护专门

机构或指定代表并报送备案的义务。第54条

规定，个人信息处理者对其个人信息处理活

动具有定期进行合规审计的义务。第55条和

第56条规定，对处理敏感个人信息、利用自

动化决策、委托他人处理、向他人提供或公

开、向境外提供等其他对个人权益有重大影

响的个人信息处理活动，个人信息处理者具

有事先进行影响评估和记录处理结果的义务。

第57条规定，个人信息处理者在个人信息发

生泄露或可能泄露时，具有补救和通知义务。

第58条规定，重要互联网平台作为个人信息

处理者，具有引入外部监管、正确制定平台

规则、有效管控平台内违法违规产品和服务、

定期发布社会责任报告和接受社会监督的加

强内部管理和防范风险的义务。其中，关于

重要互联网平台作为个人信息处理者的严格

管理和防范义务，是《个人信息保护法（草

案）》（二次审议稿）增加的，《个人信息

保护法（草案）》（三次审议稿）进一步密

加了应正确制定平台规则以更好明确平台产

品和服务处理个人信息活动规范的管理义务。

这是对现实中要求大互联网平台应当对个人

信息保护承担更大责任的社会呼声的回应，

也顺应了国际上平台治理规范的发展趋势，

《关于〈个人信息保护法（草案）〉审议结

果报告》第九项对此进行了详细说明。第59

条规定，接受委托处理个人信息的受托人具

有保障个人信息安全等协助义务。上述义务

都是针对不具有公共职能的个人信息处理者

设定的。政府机关等承担公共职能的机构及

其工作人员则存在特殊性，《民法典》第1039

条规定，其作为个人信息处理者时，应承担

对隐私和个人信息的保密义务，以及禁止泄

露或非法向他人提供的义务。

（四）关于个人信息处理者对个人信息

处理规则的修补

《民法典》对个人信息保护的设计，突

出了“权利一义务一行为规范”的三层私法

保护体系，也就是说，在规定权利、义务的

同时，还设定了个人信息处理者从事处理活

动的行为规范。这种设计的复杂性已经不同

于传统人格权或者其他绝对权的保护模式。

《民法典》第1035条属于积极规范，规定了

处理行为的原则和条件等。其中，原则为“处

理个人信息的，应当遵循合法、正当、必要

原则，不得过度处理”。条件有四：除法律

法规有例外规定，应征得该自然人或者其监

护人同意；公开处理信息的规则；明示处理

信息的目的、方式和范围；不违反法律、行

政法规的规定和双方的约定。《民法典》第

1036条属于消极规范，规定了行为免责事项，

即在三种情况下个人信息处理者可以不承担

民事责任：在自然人或者其监护人同意范围

内合理实施的行为；合理处理该自然人自行

公开的或者其他已经合法公开的信息，但是

该自然人明确拒绝或者处理该信息侵害其重

大利益的除外；为维护公共利益或者该自然

人合法权益，合理实施的其他行为。

对《民法典》的个人信息处理行为规则，

《个人信息保护法》基于自身更加系统的设

计优势，做出了细化发展，也进行了明显的

修补。《个人信息保护法》注意原则与规则

的区分，第一章“总则”规定了有关个人信

息处理的原则，即通过第5条到第10条宣示

了个人信息处理的六项原则。第5条为遵循

合