摘 要:当前的个人信息国家保护义务理论,主张将个人信息纳入基本权利保护范围,并以个人信息国家保护义务为基础建立个人信息保护法律体系。然而,在概念表达上,该理论以“客观法”表征个人信息基本权的属性,错置了客观法与主观权利之间的关系;用“间接效力”指称个人信息基本权对作为私主体的信息处理者的效力,混淆了“效力”和“效果”的语义。在宪法解释方法论层面,该理论在宏观上具有的法哲学化解释倾向、在微观上对概括性人权条款的悬置处理,使其在宪法教义学上欠缺说服力。面对立法实践,该理论无力解释作为私主体的信息处理者何以承担公法义务。确立个人信息保护权利基础的二元结构,明确个人信息基本权积极面向的主观权利属性,适度延伸个人信息基本权的效力范围,并对国家保护义务内容作相应调整,是重塑个人信息国家保护义务理论的有效途径。
关键词:个人信息保护;个人信息权;国家保护义务;间接效力;部门宪法
引 言
保护个人信息免受国家和数据企业侵犯,是个人信息保护研究领域的主要议题。前者系典型的公法问题,相关权利基础、规范依据和制度逻辑明确,易于形成共识,后者却引发了较多学理争议。信息主体和数据企业均是私主体,保护个人信息免受数据企业侵犯,似乎应属私法调整范围。然而,相较于信息主体,数据企业在信息、技术等方面具有明显优势,可对信息主体实施隐性的强制和支配,因而将数据企业的信息处理行为纳入公法调整范围也具有正当性。这为从私法和公法不同视角建构理论提供了可能,由此引发了一场关于个人信息保护的权利基础究竟是民事权利还是基本权利的争论。个人信息国家保护义务理论便在这一背景下产生,其从理论逻辑、实践效果等方面对个人信息保护民事权利基础论进行了批判,主张将个人信息纳入基本权利保护范围,并以个人信息国家保护义务为基础建立个人信息保护法律体系。
个人信息国家保护义务理论并非全新的理论,而是对基本权利国家保护义务理论的具体应用。客观而论,借助基本权利国家保护义务理论阐释个人信息的国家保护,具有一定的合理性。但是,基本权利国家保护义务理论本身并非毫无争议,其以客观价值秩序为基点建构的理论体系,难以同我国宪法文本无缝对接,其客观价值基点可有可无、客观价值主观化自相矛盾等逻辑缺陷也亟待矫正。由于个人信息国家保护义务理论在具体展开时,并未对基本权利国家保护义务理论进行必要反思,而是将其作为确定无疑的理论前提来推导个人信息国家保护义务,这就难免会把基本权利国家保护义务理论的缺陷延续到个人信息国家保护义务理论之中,并弱化后者的解释力和说服力。为此,本文尝试在梳理既有个人信息国家保护义务理论要义的基础上,揭示该理论存在的困境及其根源;结合对基本权利国家保护义务理论的反思,阐释纾解个人信息国家保护义务理论困境的具体方案,以期推动我国个人信息国家保护理论和实践的深入发展。
一、个人信息国家保护义务理论的要义
与个人信息基本权防御面向涉及“国家—信息主体”双向关系不同,个人信息国家保护面向涉及“国家—信息主体—信息处理者”三方关系。相应地,个人信息国家保护义务理论就是一个以国家义务为重心,围绕国家、信息主体、信息处理者三方关系建立的理论。“在法律领域中,一个人的义务总是以他人的权利为缘由。权利概念,而不是义务概念,是法律思想的起点。”国家义务虽是个人信息国家保护义务理论的重心,但对个人信息国家保护义务理论要义的梳理,不能仅关注国家义务,还需解析这一义务的权利基础,厘清国家、信息主体、信息处理者三方主体间的权利义务结构。
(一)权利基础的宪法化与国家义务的客观性
个人信息国家保护义务论者均支持将个人信息保护的权利基础统一于宪法上的基本权利,但在概念表达上存在个人信息权、个人信息受保护权两种不同选择。个人信息权和个人信息受保护权的不同概念表达,映射出了二者在理论预设上的诸多不同。一是对个人信息公共性的定位不同。个人信息受保护权论者将彰显个人信息公共性、促进信息自由流通确定为国家保护个人信息的主要目的,个人信息的人格尊严要素则被视为个人信息公共性实现的边界。个人信息权论者突出个人信息与个体人格的内在联系,强调信息主体对个人信息的自决和控制,公共性被视为限制个人信息基本权的理由,而非国家保护的目的。二是对个人信息权利束的定性不同。在个人信息权论者看来,由知情权、查阅权、删除权、更正权、拒绝权等构成的个人信息权利束是个人信息权的固有内容,而个人信息受保护权论者则认为,个人信息权利束由立法形成。三是对个人信息权利束的功能认知不同。在个人信息受保护权论者看来,个人信息权利束是工具性权利,立法者创设这些权利的目的在于制衡数据企业。个人信息权论者强调个人信息权利束的目的性,反对将其视为工具性权利。上述三方面差异体现了两种概念表达的基本权利基础“薄”“厚”之别。个人信息权的概念表达是“厚”个人信息基本权,而个人信息受保护权则是“薄”个人信息基本权。
无论权利基础的薄厚,个人信息基本权的确立都为推导个人信息的国家保护义务提供了根据,也为把同属私主体的信息主体与信息处理者纳入公法分析框架提供了可能,而将这一可能变为现实的工具,则是基本权利作为客观法的理论。个人信息国家保护义务理论认为,个人信息权或个人信息受保护权(以下统称个人信息基本权)具有主观权利和客观法双重性质,国家保护义务源于个人信息基本权的客观法性质。在讨论具体问题时,有学者采用先引述基本权利双重性质原理,后将其套用到个人信息保护领域的论证方式,也有学者径直指出个人信息基本权具有防御权和客观法两重功能。
主观权利和客观法是宪法学和民法学共同使用的概念,但它们在不同学科理论中表达的含义有所不同。在民法理论中,主观权利和客观法被用来描述法的两个不同侧面,二者具有统一性。主观权利由客观法赋予,客观法一般也蕴含着主观权利。但是,在宪法理论上,主观权利和客观法被用来表征基本权利的两种相互分离、彼此独立的属性。与此相对应,由基本权利派生出的义务具有主观法义务和客观法义务之分,主观法义务对应于主观权利,而客观法义务通常是不对应主观权利的义务。从个人信息基本权的客观法属性推出个人信息国家保护义务,意味着明确了个人信息国家保护义务的客观法义务性质。虽然不排除这种客观法义务具有再主观化的可能,但基本权利作为客观法的预设,决定了客观法义务是个人信息国家保护义务的基础。
(二)权利效力的一元化与国家义务的创制性
尽管“义务总是以他人的权利为缘由”,但国家义务和作为其缘由的权利之间的关联形态具有多样性。客观法义务是其中一种,主要揭示国家义务在实现方式上与基本权利的关联。在“私人—国家—私人”三方关系中,国家义务和私主体权利的关联主要以两种衔接方式呈现,即单一衔接和双重衔接。单一衔接的国家义务仅以私主体权利为依据,无需衔接双方私主体间的权利义务。双重衔接的国家义务除了与私主体权利衔接外,还与双方私主体间的权利义务有衔接关系。在单一衔接义务中,国家义务具有创制性,通过立法创制双方私主体间的权利义务关系是国家义务的主要内容。在双重衔接义务中,双方私主体间的权利义务关系是先在的,国家义务的内容主要是通过立法将双方私主体间先在的权利义务具体化,此种国家义务也可称为具体化义务。就个人信息国家保护义务而言,立法保护义务无疑是首要义务。而国家的个人信息立法保护义务有创制性立法义务和具体化立法义务两种不同形态,个人信息保护立法也有创制性立法和具体化立法两种不同类型。创制性立法强调立法者对保护内容的自由形成,立法者对信息主体和信息处理者间的权利义务设定具有广泛的自由裁量空间;具体化立法以信息主体和信息处理者之间先在的权利义务为前提,将先在的权利义务具体化是立法义务的主要内容,立法者的自由裁量空间相对较小。
个人信息国家保护义务理论所确立的国家义务究竟是创制性义务,还是具体化义务,需要根据该理论确立的国家义务内容及其与权利的关系来判断。从义务内容看,个人信息国家保护义务理论确立的国家义务是一个多层次、立体化的义务体系,既包括宏观层面的制度性保障、组织保障、程序保障等义务,也包括微观层面的遵守禁止过度原则和禁止保护不足原则的义务。在这个复杂的义务体系中,国家义务只与信息主体和信息处理者的权利相对应,作为私主体的信息处理者和信息主体之间,不存在宪法上的权利义务关系。既然如此,国家保护义务就不以信息主体和信息处理者之间有宪法上先在的权利义务为前提,也谈不上把他们之间的权利义务具体化。因此,该理论所确立的国家保护义务是创制性义务而非具体化义务。
创制性义务的确立,是个人信息国家保护义务理论采纳基本权利间接效力说的必然结果。在基本权利间接效力说看来,基本权利对“私人—国家—私人”三方关系中的私人关系具有间接效力,国家的转介是基本权利对私人关系产生效力的前提条件。既有个人信息国家保护义务理论沿袭了基本权利间接效力学说,主张信息主体对信息处理者不享有宪法层面的权利,信息处理者对信息主体也不承担宪法上的义务;国家是唯一的义务承担者,须通过立法权、行政权和司法权的行使落实对个人信息的保护。如果在主体之间存在权利义务关系的意义上理解效力的概念,那么,与个人信息基本权防御关系中的国家义务相比,个人信息国家保护义务虽从消极义务变为积极义务,但将国家视作基本权利效力对象的立场并无改变。这种将国家作为基本权利唯一效力对象的效力观,导致个人信息国家保护义务具有了创制性,也使国家在通过立法形成信息主体和信息处理者之间的权利义务关系时,获得了广泛的自由裁量空间。
(三)权利功能的价值化与国家义务的全覆盖
个人信息国家保护义务论者并未对个人信息基本权和个人信息民事权利的差异视而不见,而是从不同角度对这种差异作出了说明。例如,有学者认为,个人信息基本权调整的是个人和国家之间的关系,“旨在确保公民个人信息权免受国家公权力的侵害”,而个人信息民事权利“主要调整个人与企业平台等私主体之间的个人信息权益关系”,旨在防范私主体侵犯个人信息权利。也有学者强调,应“在尊重民法等部门法独立形成空间的前提下,要求部门法在宪法框架内行使形成自由,从而使宪法和部门法上的个人信息受保护权实现‘和而不同’”。但是,无论从何种角度区分这两种权利,都没有影响个人信息国家保护义务论者作出权利基础一元化的判断,也没有妨碍他们主张个人信息基本权及其国家保护义务对个人信息保护领域的全覆盖。
事实上,无论把个人信息保护的权利基础统一于个人信息基本权,还是将个人信息保护义务统一于基于个人信息基本权的国家保护义务,都将面临质疑。既然个人信息基本权和个人信息民事权利属于两种不同性质的权利,由此衍生的义务属于两种不同的义务,二者何以又统一于一个权利或义务?个人信息基本权的价值化,是个人信息国家保护义务理论解决这一问题的“诀窍”。在个人信息国家保护义务理论中,个人信息基本权不仅被客观化,而且被价值化,“客观法”和“客观价值秩序”的概念也被互换使用。这种处理使个人信息基本权在对应国家的积极义务面向时,不再以公法权利的形式出现,而是转换成为抽象化的普遍价值。在个人信息基本权作为主观权利时,其实现需受公法权利适用范围的约束,故其覆盖领域是有限的,而当个人信息基本权被看作普遍价值,其实现方式便转换为价值辐射,从而也就可以覆盖所有法律领域。
二、个人信息国家保护义务理论的困境
既有的个人信息国家保护义务理论,是基于个人信息保护权利基础的宪法化,个人信息基本权属性的客观化、效力的一元化和功能的价值化建立起来的理论体系。该理论弥补了仅从民法视角研究个人信息保护问题的不足,也对个人信息保护的立法实践具有一定解释力。例如,它能解释个人信息保护法为何包含大量行政规制条款,也能为个人信息保护法律规范的适用提供参考。但是,该理论在概念表达、宪法解释方法论方面存在诸多困境,在回应立法实践方面也有力所不及之处。
(一)概念表达的逻辑悖谬
1.“客观法”概念表达的关系错位
个人信息基本权作为客观法,是既有个人信息国家保护义务理论的基本前提。借助个人信息基本权作为客观法的理论预设,将个人信息保护与个人信息基本权的国家保护义务功能连接,个人信息便水到渠成地被纳入基本权保护范围。但是,以客观法表征个人信息基本权的属性其实并不妥当。
耶林曾经指出:“法这一概念在客观的和主观的双重意义上被应用。所谓客观意义的法(Recht)是指由国家适用的法原则的总体、生活的法秩序”,所谓主观意义的法是“对抽象规则加以具体化而形成的个人的具体权利”。这一论述明确了客观法和主观法作为一组对应概念的基本含义。个人信息国家保护义务理论将客观法与主观权利相对应,大致符合这一经典解释。不过,客观法的概念具有多个维度,除了与主观权利相对应这一维度外,还具有另外两个维度的含义:第一,在内涵方面,客观法与主观权利是抽象与具体的关系。客观法强调法的总体性,主观权利强调法的个体性,主观权利来源于客观法的抽象规定,抽象的客观法可以具体化为主观权利。耶林所称的“客观意义的法”是指“由国家适用的法原则的总体”,“主观意义的法”是指“对抽象规则加以具体化而形成的个人的具体权利”,就表达了这一内涵。无独有偶,魏德士也曾指出:“在客观意义上法(Recht)包括了法律制度的所有规范。法(客观的法)的规范规定了权利和义务(主观的法)”,“客观的法和主观的法这两个概念仅仅是对研究对象——法(Recht)的不同表达,是从不同的视角来描写一枚奖章的两面”。这即是说,表征“所有规范”的客观法体现了法的抽象性,而“规定了权利和义务”的主观法则体现了法的具体性。第二,在外延方面,客观法与主观权利是包含关系。在魏德士看来,客观法和主观法是“一枚奖章的两面”,由权利和义务组成。这已经暗示了客观法与主观权利之间的包含关系。由于民法上的权利和义务往往相互对应,客观法与主观权利之间的包含关系在民法中并不明显。但是,宪法上的权利和义务并不必然相互对应,宪法义务有基于主观权利的宪法义务和非基于主观权利的宪法义务之分。主观权利蕴含于作为客观法的宪法之中,但主观权利及其对应的宪法义务,只是宪法规定的权利和义务的一种类型。如果把作为客观法的宪法看作一个集合,主观权利和非基于主观权利的宪法义务均是宪法的子集。客观法与主观权利间的包含关系在宪法上比较明晰。
从主观权利和客观法三个维度的关系出发,可以说个人信息基本权宪法规范具有客观法和主观权利双重属性,也可以说个人信息基本权来源于作为客观法的宪法规定,但以客观法来表征个人信息基本权的属性,就出现了逻辑错位,这既抹平了二者间抽象和具体的关系,也误将处于包含关系的两个概念定位于并列关系。卡纳里斯对此所作批评可谓一语中的。他说:“‘基本权利规定不仅含有主观权利,也含有客观规范’不过就是一句废话。任何主观权利理所当然地以客观规范为基础;假如人们反过来从主观权利中推导出客观规范,那么就会出现问题了。”个人信息国家保护义务理论恰恰就存在从主观权利推导客观规范的失误。尽管如此,对于长期使用这一概念并已形成惯常用法的国家来说,“如果没有很强的理由,并无必要更动此惯用的表达形式”,可通过限定含义范围的方式来化解上述问题,甚至亦可将错就错地改变其本来含义。德国学者萨克斯就认为,虽然基本权利作为客观法的说法具有误导性,但因其流传甚广,已大有约定俗成之势,在使用之时也就没有回避的必要了。这一主张在德国或许有其道理,但对尚处基本权利理论初创时期的我国而言,以“客观法”概念表达个人信息基本权属性的关系错位问题须被高度重视,而且应及时予以纠偏。
2.“间接效力”概念表达的语义混淆
个人信息基本权对作为私主体的信息处理者具有间接效力,是既有个人信息国家保护义务理论的立论基础。正是基于这种间接效力的预设,立法机关的个人信息保护义务才可能是创制性义务,也才可能推导出个人信息权利束是工具性权利的结论。然而,个人信息基本权“间接效力”的论断,在概念表达上也存在逻辑错误。
从字面分析,间接效力是法律效力的一种形式,遵循法律效力的一般原理。“法律效力”这一概念可在存在论和运行论两种意义上使用。在存在论意义上,法律效力指何种规范属于法律并具有约束力。在运行论意义上,法律效力是指法律对主体的约束力。个人信息国家保护义务理论所主张的“间接效力”,是指运行论意义上的法律效力,表达个人信息基本权对信息处理者具有间接约束力之意。法律效力是法律作用力的一种形式,但法律的作用力并不一定是法律效力。法律作用力有约束力和影响力之分,只有约束力才能被称为效力,将影响力称为效用或者效果更为合适。有法律约束力,意味着主体之间存在权利义务关系,而有法律影响力则并非如此。如果将不涉及权利义务关系的影响力称为“效力”,既会导致效力概念的泛化,也会遮蔽效力概念的真实涵义。就此而言,在立法上对法律效力作出直接效力和间接效力的区分是不妥的,尤其是不应将国家通过立法保护基本权利带来的影响和效果称为“效力”。质言之,无论对国家还是对私主体,基本权利的效力只存在有无之分,并无直接效力与间接效力之别。或许是由于这一原因,卡纳里斯对间接效力概念的使用提出过批评。他指出,“人们最好避免使用这一术语,仅仅用其指涉教义学史上的特定观点”,“保护命令通常需要普通法律的转化,基本权利的作用因而就只是‘间接’的了”。个人信息国家保护义务理论一方面否认信息主体和信息处理者之间存在权利义务关系,另一方面又将通过立法实现的个人信息基本权对信息处理者产生的效果称为间接效力,这既混淆了“效力”和“效果”,也导致前提和结论自相矛盾。
3.概念表达不当的衍生后果
概念使用并非简单的名称选择问题,其背后蕴含着特定的理论旨趣,关联着整个理论体系。概念表达是否合乎逻辑会影响理论推理和结论的科学性。在理论体系中越是重要的概念,其概念表达对整体理论的影响也就越大。“客观法”和“间接效力”系个人信息国家保护义务理论的基础性概念,这些概念的使用不当,必然导致该理论的具体内容出现偏颇。
首先,基于个人信息基本权作为客观法的预设,会不可避免地推导出个人信息国家保护义务的客观法义务属性,而这一结论与我国宪法的体系逻辑相冲突。第一,根据宪法第33条第3款“国家尊重和保障人权”这一概括性人权条款,国家相对于基本权利负有消极意义上的尊重义务和积极意义上的保障义务,这两种义务都与基本权利有着对应关系。个人信息国家保护义务作为客观法义务的定位,背离了第33条第3款所设定的国家义务逻辑。第二,它模糊了基本权利国家保护的积极义务和国家目标条款设定的积极义务的界限。宪法规范主要包括基本权利规范、国家机构规范和国家目标条款。在这三种规范中,国家目标条款确定的国家义务是典型的客观法义务,这种义务并不对应个体的主观权利。如果将个人信息基本权积极面向衍生的国家义务确定为客观法义务,在理论上会导致将个人信息的国家保护视为国家目标,降低对个人信息的保护层次。第三,在基本权利体系内部,个人信息国家保护义务与社会权对应的国家义务高度接近,二者均属基于基本权利的积极义务,保护的利益都具有集体性,义务内容都具有广泛裁量性。社会权的可诉性可以被证成,社会权国家保障义务被纳入主观法义务也日渐成为趋势。在此背景下,如果将个人信息国家保护义务视为客观法义务,就会违背基本权利的体系逻辑。
其次,间接效力在原初意义上表征基本权利在民事审判中的“效力”,个人信息国家保护义务理论强调个人信息基本权间接效力,实质是把基本权利在民事审判中体现的“效力”推广到了立法领域。遵循间接效力的逻辑,个人信息国家保护立法中的间接效力,系指国家在进行个人信息保护立法时,应当将个人信息基本权的价值辐射到个人信息保护的私人领域,使个人信息基本权通过国家立法这一桥梁,在信息处理者和信息主体之间发挥作用。已有学者对基本权利间接效力学说提出过批评,认为基本权利间接效力理论以适用民法条款为名而实际运用宪法条款,既“似有掩耳盗铃、自欺欺人之嫌”,也“有着空泛、虚伪的缺陷,对于基本权利的保障也嫌不够有力”,“在发展出更为精致完善的理论之前”,这种做法只能是“权宜之计”。个人信息国家保护义务理论不仅全盘接纳了基本权利间接效力学说,还将其适用范围扩大至立法领域,引发了更加严重的问题。第一,对于民事审判领域的基本权利间接效力,论者基于公私法二元化的考量,强调通过发挥民法概括条款和不确定法律概念的“管道”作用,实现基本权利价值的注入。然而,在个人信息保护立法中,概括条款和不确定法律概念尚待形成,个人信息基本权实现价值注入的“管道”并不存在。在此情形下,又何以体现个人信息基本权的“间接效力”?第二,按照间接效力的逻辑,个人信息基本权对立法机关和法院的约束形态是价值辐射。价值辐射是一个高度主观化的概念,难以确立明确有效的规则体系,价值辐射最终能否实现,主要取决于立法机关的自由形成和法院的自由裁量,而这难免会导致对个人信息保护不力的后果。
(二)宪法解释方法论上的偏离
1.法哲学化的宪法解释倾向
法哲学化的宪法解释和法教义化的宪法解释是解释宪法的两种样态。所谓法哲学化的宪法解释,系指根据某种价值原则或者正义理念而展开的探求宪法文本含义的活动。法教义化的宪法解释则是遵循一定法律解释方法而展开的对宪法文本的阐释。法律是价值的制度化表达,这决定了法律解释总是伴随着价值判断。因而,上述两种宪法解释的区别,不在于是否解释宪法文本或是否作出价值判断,而在于宪法解释是否遵循基本的方法和标准。法哲学化的宪法解释不需要严格按照标准和方法进行,它更多是在表达解释者的价值诉求。而遵循一定的标准和方法,是法教义化的宪法解释的基本特质,即便解释者作出价值判断,也需要受到方法和标准的约束。正如拉伦茨所说,“法律文字如何解释,这本是法学方法论的主要课题”。法律解释方法使法律解释具有了可验证和可辩驳的特性,也赋予了法教义学以确定性和科学性。法哲学化的宪法解释尽管也是在围绕宪法文本建构理论,但其总体上运用的是法哲学思维,并非真正的宪法教义学。个人信息国家保护义务理论对个人信息基本权的价值化处理就是如此,该理论作出的宪法解释实质上是法哲学层面的解释,一定程度上脱离了宪法教义学轨道。
个人信息基本权作为客观法,是个人信息国家保护义务理论的前提,而客观法又被加以价值化处理,被视为与客观价值秩序同义的概念。个人信息国家保护义务理论对个人信息基本权作为价值秩序的认定,并非按照法教义学的论证逻辑得出的结论,而基本上是一种价值宣示。当然,论者可以借用阿列克西从基本权利推导客观价值秩序的方法来为自己辩护。在阿列克西看来,基本权利之所以从防御权面向的主观权利转化为客观法面向的基本权利价值秩序,主要是通过对“权利主体”“权利相对人”“权利客体”三重抽象实现的。据此,个人信息基本权作为主观权利是指个人免于国家侵犯个人信息利益的权利,如果抽离个人信息基本权的行为主体、行为内容、义务主体,就可得到一个“个人信息权应予保障”的规范命题,这一规范命题就是个人信息基本权“价值秩序”。通过三重抽象的理论设计,被抽离了主体、相对人和客体的个人信息基本权,实现了从公法上的主观权利到具有普遍性的价值秩序的升级,其自然也就可以辐射至所有法律领域。
无论对个人信息基本权作为价值秩序的直接宣示,还是遵循三重抽象的逻辑推导出个人信息基本权应作为普遍价值,形式上都是在解释宪法基本权利条款,且这种解释都未遵循法解释学的方法和逻辑。前者是在法哲学意义上直接作出价值判断,后者是在法哲学意义上展开价值推理。法教义学意义上的基本权利解释,是在遵循文义解释、体系解释、目的解释等法律解释方法的前提下对基本权利条款展开的释义。法哲学化的基本权利解释具有独特价值,其可以为基本权利的正当性提供理论证明,也能描绘基本权利解释的应然图景,但这种解释终究不能代替法教义学上的解释,也不能作为实证法上的依据。“透过基本权利的价值化与客观功能”,个人信息国家保护义务论者“往往已经不是单纯在解释宪法,而是对宪法、特别是基本权利,采取一种实质性的理解方式,藉机把特定的价值观,灌输到原本不见得(只)容纳这种特定价值观”的宪法规范之中。即使不考虑“个人信息基本权作为客观法(客观价值秩序)”这一表达在概念使用逻辑上存在的问题,其在教义学意义上能否成为个人信息国家保护义务的理论前提,也是一个悬而未决的问题。
2.概括性人权条款的悬置处理
个人信息国家保护义务论者普遍认为,个人信息基本权是宪法未列举权利。概括性人权条款是一个具有高度抽象性和开放性的条款,是宪法上所有基本权利规定的基础,这决定了个人信息基本权的规范证立和内涵解析,难以脱离概括性人权条款而进行。于是,如何解释个人信息基本权和概括性人权条款之间的关系,就成为个人信息国家保护义务理论面临的重要方法论问题。在这方面,个人信息国家保护义务理论悬置了概括性人权条款的规范含义,在论证的体系化方面有所欠缺。
在个人信息基本权的规范证立上,有学者仅诉诸宪法第33条第3款的概括性人权条款,也有学者仅诉诸宪法第38条的人格尊严条款,还有学者从宪法第33条第3款关联下的第38条和第40条入手加以证立。个人信息基本权规范证立的意义主要体现在形式方面,其目的是为个人信息基本权寻求宪法上的“容身之地”,而规范内涵的明晰则具有实质意义。在这一实质问题上,上述第一种解释方案遗漏了人格尊严条款,也忽略了个人信息基本权作为一项具体权利的特殊性;第二种解释方案忽视了概括性人权条款的规范含义;第三种解释方案只把概括性人权条款作为价值宣示条款,同样也有悬置了条款规范内涵的疑虑。宪法第33条第3款关于“国家尊重和保障人权”的规定与个人信息基本权规范内涵的确定是何关系,是对个人信息基本权之规范内涵作出体系化解释时需要考量的重要因素。无论抛开概括性人权条款证立个人信息基本权,还是仅在概括性人权条款的价值宣示意义上证立个人信息基本权,都忽略了第33条第3款的完整规范含义,无法充分揭示宪法“保障”人权的维度。这导致个人信息国家保护义务论者在阐释个人信息基本权积极面向的内涵时,不得不诉诸客观价值秩序理论,进而衍生出概念表达和推理上的诸多问题。
(三)回应立法实践力有未逮
个人信息国家保护义务理论对个人信息保护的立法实践虽有一定解释力,但也有其盲点。该理论无力解释我国个人信息保护法何以能够规定作为私主体的信息处理者承担公法义务。
在立法体例上,我国个人信息保护法采用了对国家机关和作为私主体的信息处理者一体规范的模式。该法第一章“总则”所确立的个人信息保护原则,适用于所有个人信息处理者,其中就包括数据企业等私主体。该法第二章“个人信息处理规则”、第四章“个人在个人信息处理活动中的权利”、第五章“个人信息处理者的义务”,除有特别规定外,也对国家机关和其他信息处理者一视同仁地适用。在立法内容上,该法第5条和第6条规定的处理个人信息应当遵循“合法、正当、必要”原则,应“采取对个人权益影响最小的方式”,“应当限于实现处理目的的最小范围”收集个人信息等,被学界解释为对比例原则的确认。第7条、第23条、第48条关于个人信息处理应当遵循公开、透明原则,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理者有义务对信息处理规则进行解释说明的规定,可被解释为设定了个人信息处理者遵循正当程序原则的义务。第24条规定利用个人信息进行自动化决策“不得对个人在交易价格等交易条件上实行不合理的差别待遇”,可被解释为设定了个人信息处理者遵循公法上的平等原则的义务。比例原则、正当程序原则、平等原则都是公法原则,由这些原则衍生而来的义务自然是公法义务。规定作为私主体的信息处理者承担公法义务,是个人信息基本权对作为私主体的信息处理者具有效力的当然后果。对国家机关和作为私主体的信息处理者一体规范的立法体例,系在形式上确认了个人信息基本权对作为私主体的信息处理者具有效力,而作为私主体的信息处理者应遵循比例原则、正当程序原则、平等原则的规定,则是在实质上对这一效力的确认。
对于上述立法模式,既有的个人信息国家保护义务理论坚持的间接效力说无力解释,直接效力说反倒与之更加契合。尽管宪法理论一般无需迎合立法实践,但当宪法理论对立法实践缺乏解释力时,其也有必要躬身自省。尤其是,个人信息国家保护义务理论在理论逻辑上已然困境重重,其对立法实践的解释乏力,就更加凸显了理论反思和理论更新的必要性。
三、个人信息国家保护义务理论的重塑
个人信息国家保护义务理论的逻辑困境和实践困境是由多重原因导致的,权利基础的过度宪法化、权利属性的客观化、权利功能的价值化、权利效力的一元化是主要原因。相应地,要化解个人信息国家保护义务理论面临的困境,就需针对上述问题进行理论修正,并对国家保护义务的内容作出调整。
(一)权利基础的重新厘定
1.个人信息权的二元化
权利基础的宪法化和权利功能的价值化有着内在的、必然的联系。只有将个人信息基本权价值化,该权利作为个人信息保护的唯一权利基础才具有正当性,也才能将两类异质性的权利统一于基本权利。如果说个人信息保护民事权利基础论是一个极端,个人信息保护基本权利基础论又滑入了另一个极端。这两个极端的共同问题就在于,忽视了权利的关系属性,试图以抽象的权利概念解释具体的实证法问题。权利是一种关系性的存在,“所有权利都是权利主体之间的关系”,“不存在关系,就不存在权利”。若要理解权利,就必须将其置于社会关系之中。要讨论个人信息权,首先要明晰权利所处的关系领域,明确所讨论的权利究竟是适用于所有关系领域的道德权利,还是适用于特定关系领域的实证法权利。讨论实证法权利,应以公法权利和私法权利的二元区分为前提,并不存在能够覆盖所有关系领域的、既是公法权利又是私法权利的“万能权利”。在解释实证法中的权利规定时,“若不究明该规定为属于公法或私法,而即欲明瞭其所生的效果和内容,盖不可能”。道德权利是未经实证化的权利,个人信息道德权利若实证化为处于权力关系中的权利,则是公法上的个人信息基本权,以宪法上的个人信息基本权作为基本形式;若实证化为处于对等关系中的权利,则是私法上的个人信息民事权利。作为道德权利、公法权利和私法权利的个人信息权,尽管都被冠以“个人信息权”之名,但其调整的关系领域各异,也遵循着不同的制度逻辑。
明晰权利所处的关系领域,最终目的是厘清处于不同关系中的权利实现逻辑,确定权利义务的配置模式。作为道德权利的个人信息权,是忽略调整对象的个人信息权,也可以说是调整所有领域的个人信息权,这种意义上的个人信息权主要是一种价值宣示,不会对任何主体产生法律上的约束力。作为个人信息道德权利的公法化形式,宪法上的个人信息基本权调整信息主体与具有明显强势地位的信息处理者之间的关系,既包括信息主体与国家权力型信息处理者之间的关系,也包括信息主体与社会权力型信息处理者之间的关系。在个人信息基本权法律关系中,存在着非对称的权力结构,比例原则、正当程序原则等体现权利义务倾斜配置的公法原则具有适用性。在个人信息民事法律关系中,信息主体和信息处理者并不处于非对称的权力结构中,双方遵循意思自治、契约自由等民法原则,比例原则、正当程序原则等公法原则不予适用。
个人信息基本权和个人信息民事权利的上述差异说明,将个人信息民事权利纳入个人信息基本权的框架体系,并不具有正当性;个人信息保护是否落入个人信息基本权的覆盖范围,取决于信息主体与信息处理者之间是否存在非对称的权力关系。如果立法调整的信息主体与信息处理者之间的关系是非对称权力关系,则应以宪法上的个人信息基本权规范作为立法依据,并将个人信息基本权的具体化作为立法的主要任务之一。否则,宪法上的个人信息基本权规范就不宜被作为立法依据,而只能为立法“提供一种启发的源泉”和“灵感”。此时,尽管个人信息基本权价值秩序仍然是一个有意义的概念,但它不再是具有自然法色彩的普遍价值,不能覆盖所有个人信息保护领域,而仅仅是由个人信息基本权衍生而来的公共价值,这种公共价值覆盖的领域仅限于具有公共性的个人信息保护领域。
个人信息权的二元化在理论上具有合理性,在实践中也可获得佐证。例如,欧盟《一般数据保护条例》第1条规定:“本条例保护自然人的基本权利和自由,特别是自然人享有的个人数据保护的权利。”这一规定意味着,个人信息被纳入了基本权利保护范围。并且,该条例第2条还将“自然人在纯粹个人或家庭活动中所进行的个人数据处理”排除出了调整范围。这并不是说在“纯粹个人或家庭活动”领域不存在个人信息权,而是说这一领域中的个人信息权是民事权利,而非基本权利,不适用该条例确立的个人信息基本权保护规则。与欧盟《一般数据保护条例》类似,我国个人信息保护法第72条也将“自然人因个人或者家庭事务处理个人信息”排除出了调整范围。稍有不同的是,该法并没有将其确立的个人信息权冠以“基本权利”之名。但是,个人信息保护法第1条中的“根据宪法,制定本法”,为将该法确立的个人信息权解释为个人信息基本权提供了依据。在我国的法律体系中,调整私主体关系的法律中写入“根据宪法,制定本法”的情况并不鲜见。个人信息保护法的特殊之处在于,“根据宪法,制定本法”是在全国人大宪法和法律委员会的专门建议下写入的。在对该法的审议报告中,宪法中的“国家尊重和保障人权”条款、“人格尊严不受侵犯”条款、“通信自由和通信秘密受法律保护”条款,被明确认定为个人信息保护的宪法依据。这说明,立法机关通过制定个人信息保护法履行的是针对个人信息的基本权利保护义务。“自然人因个人或者家庭事务处理个人信息”所涉及的权利,系个人信息民事权利,而非个人信息基本权,自然需要被排除出该法的适用范围。
2.个人信息基本权积极面向的主观化
对个人信息基本权加以客观化处理,并视个人信息基本权为普遍价值,目的无非是为个人信息基本权的效力辐射至个人信息保护的所有领域提供依据。一旦对作为基本权利的个人信息权和作为民事权利的个人信息权作出区分,并把作为普遍价值秩序的个人信息基本权排除出实证法范围,因个人信息基本权价值化引发的困境便得以消除。不过,这并不能化解个人信息基本权客观化的困境。“客观法”概念表达的关系错位及其引发的后果,说明“客观法”概念适宜用来表达个人信息基本权宪法规范的属性。对于个人信息基本权积极面向的属性,可用主观权利来替代“客观法”,并借助对我国宪法第33条第3款的体系化解释加以证成。
宪法第33条第3款规定于“公民的基本权利和义务”一章的首条之中,其在基本权利体系中的地位极为特殊,通常被视为基本权利体系的“统帅”和“灵魂”。该条款有三重功能:一是对基本权利性质的定位功能。第33条第3款中的“人权”概念,是对位于其后的所有具体基本权利条款的概括表达,赋予了具体基本权利以人权属性。二是作为概括条款的兜底功能。凡未被宪法确认、合乎人性需要、人作为人必不可少的利益,可作为未列举基本权利。在推导未列举基本权利时,按照特别条款优先于一般条款的规则,应先从具体权利条款着手,只有在具体权利条款无法提供依据的情况下,方可直接诉诸第33条第3款之规定。三是对基本权利的功能形态和内容加以确定。“国家尊重和保障人权”的表述,明确了人权的两重功能,即免于国家侵害的消极防御功能和要求国家积极作为的保障功能。这两重功能都对应着主观权利,即防御权和受保障权。受保障权又可分为免受其他公民侵犯的受保障权、从国家获得物质性给付的受保障权。前者系自由权保障维度上的受保障权,亦可称为受保护权,对应着国家的保护义务;后者系社会权保障维度上的受保障权,对应着国家的给付义务。
基于宪法第33条第3款作为概括性条款的定位,该条款的三重功能覆盖了宪法上所有的具体基本权利。例如,对于自由权条款而言,每个自由权的消极面向对应着防御权功能,积极面向对应着受保护权功能。将这一原理具体化到个人信息基本权,其结果就是:宪法第38条人格尊严条款作为客观法规范,所确定的个人信息基本权具有防御权和受保护权双重主观权利属性。个人信息防御权是个人信息基本权消极面向的主观权利维度,对应“信息主体—国家”二元关系中的国家不作为义务,个人信息受保护权是个人信息基本权积极面向的主观权利维度,对应“信息主体—国家—社会权力型信息处理者”三元关系中的国家积极作为义务,要求国家为个人信息保护提供组织、程序等方面的保障,建立个人信息保护制度体系。从作为主观权利的个人信息基本权积极面向推导国家保护义务,与从作为客观法的个人信息基本权推导国家保护义务,在效果上具有一定的重叠性,二者都认同国家应在个人信息保护中承担组织、程序等方面的制度性保障义务。但是,这并不意味着推导路径的转换是多此一举。主观权利推导模式以我国宪法文本为基础进行理论建构,更符合宪法教义学的基本要求,可化解将个人信息基本权作为客观法所导致的逻辑困境,也更利于个人信息基本权保护。“权利意味着作出主张,而人的尊严就在于作出主张的能力。”主观权利推导模式,为公民请求有权机关纠正个人信息保护的立法不作为或者保护不足提供了可能性,也为公民在相关司法裁判中提出合宪性解释请求提供了理论支撑,因而更能彰显国家保护个人信息基本权的力度。
3.个人信息受保护权概念的澄清
个人信息基本权的受保护权维度,与既有个人信息国家保护义务理论主张的“个人信息受保护权”有本质不同。既有理论中的“个人信息受保护权”被看作宪法上的未列举权利,是在原权利的意义上使用“受保护权”概念。而本文所说的“个人信息受保护权”表征的是个人信息基本权积极面向的主观权利维度,它在性质上不是一种独立的权利,更不是原权利本身。既有理论中的“个人信息受保护权”,是一种以“受保护”作为权利内容的权利。这使个人信息受保护权在宪法上成为了形式化和空心化的权利,其内容高度依赖立法形成,由此形成的个人信息国家保护义务模式,属于“权力保护模式”。当个人信息受保护权回归至作为个人信息基本权积极面向的权利形态时,国家保护义务模式强调个人信息基本权的目的性及国家义务的从属性,此种模式属于“权利保护模式”。
澄清了“个人信息受保护权”的概念误区,并不意味着“个人信息权”的概念表达就当然地具有合理性。这一概念表达的妥当性,仍需加以证明。根据法解释学的一般原理,宪法解释应当考虑语词的意义脉络,以确保法体系内部的一致性。“个人信息权”作为源自我国宪法人格尊严条款的未列举权利,其概念表达需要同基于人格尊严条款推导出的其他人格权的概念表达保持逻辑一致。宪法学界通常认为,源于宪法第38条的基本权利主要包括隐私权、肖像权、姓名权、名誉权等。个人信息方面的权利要与上述权利在概念表达上保持逻辑一致,就应沿用“保护客体+‘权’”(个人信息权)的表达形式。
(二)权利效力的适度延伸
根据基本权利对社会权力的效力原理,个人信息基本权对信息处理者具有效力,且这种效力不存在直接效力与间接效力之分。只不过,这种效力的实现方式可区分为直接适用和间接适用。在立法中,个人信息基本权的效力通过直接适用方式实现;在司法裁判中,个人信息基本权的效力通过以合宪性解释体现的间接适用方式完成。需要指出的是,个人信息基本权作为公法权利,强调权利义务的倾斜配置,若这种权利的效力及于作为私主体的信息处理者,难免会引起质疑。芦部信喜就指出:“虽然私人对人权侵害的危险性在增加,但是对人权而言,最可怕的侵害者毕竟还是国家权力。”如果承认个人信息基本权对作为私主体的信息处理者具有效力,可能会侵蚀基本权利防御国家的“本质取向”,并妨害“私法自治”。为消除此种疑虑,有两条具体路径值得考量。
第一,划定个人信息基本权效力所及的信息处理者范围。承认基本权利对私主体有效力,目的在于防范社会权力侵蚀个人权利,因而,只要将基本权利的效力范围严格限定于权力型信息处理者,便能最大限度地维护私法自治。遵循这一原理,个人信息基本权应仅对国家权力型和社会权力型个人信息处理者具有效力,对于普通型信息处理者不具有效力。针对国家权力型和社会权力型信息处理者,个人信息的国家保护按照个人信息基本权保护的逻辑展开;针对普通型信息处理者,国家保护应当遵循个人信息民事权利保护的逻辑。这一思路对理解欧盟《一般数据保护条例》和我国个人信息保护法的适用范围均有参考意义。只有将这两部法律调整的信息处理者范围限定于国家权力型和社会权力型信息处理者,才能使法律调整的社会关系范围与法律确立的个人信息基本权性质及效力范围相匹配。
第二,确立个人信息基本权效力的梯度秩序。个人信息保护法既规定了适用于国家机关和私主体信息处理者的一般规则,也规定了专门适用于国家机关的特殊规则。这意味着,个人信息基本权对国家权力型信息处理者和社会权力型信息处理者均具有效力,两种信息处理者都要受比例原则和正当程序原则的约束。不过,国家权力与社会权力毕竟是两种不同性质的权力,如果按相同标准确定两种信息处理者的公法义务,难免会给作为私主体的社会权力型信息处理者带来过重的义务负担。因此,有必要根据社会权力和国家权力的差异,合乎比例地减弱社会权力型信息处理者承担比例原则、正当程序原则等公法义务的强度,形成义务强度的梯度秩序。例如,在适用比例原则审查社会权力型信息处理者的行为时,宜将四阶段审查调整为三阶段或两阶段审查,尤其应当严格限制目的性审查的适用。将正当程序原则适用于社会权力型信息处理者时,审查强度宜降到最低,并可适当降低履行程序的形式标准。
(三)保护义务内容的相应调整
通过权利基础的重新厘定、权利效力的适度延伸,个人信息国家保护义务理论的三方关系结构也获得了调整。在“国家—信息主体—信息处理者”的三方关系中,信息主体和信息处理者由不具有宪法上的权利义务关系,转变为具有了宪法上的权利义务关系,信息处理者的范围则被限缩至社会权力型信息处理者。三方关系结构的变化,必然会带来国家保护义务内容的相应调整。
1.区分两种国家保护义务
无论个人信息民事权利还是个人信息基本权,都离不开国家的保护,但针对性质不同的权利,国家保护模式也必然不同。一是权利义务的配置理念不同。个人信息民事权利保护遵循意思自治、契约自由等民法原则,权利义务的配置具有对等性。个人信息基本权保护遵循比例原则、正当程序等公法原则,权利义务配置具有倾斜性。二是公权力的角色不同。在个人信息民事权利的国家保护中,立法机关和司法机关扮演重要角色,行政机关不予介入。在个人信息基本权的国家保护中,除立法机关和司法机关外,行政机关也要发挥重要作用。立法机关除了需要将信息主体和信息处理者之间在宪法上的权利义务予以具体化,还需设置监管制度,明确行政机关履行个人信息保护的监管职责。相应地,法院的救济模式也需要与行政监管有效衔接。三是立法体例不同。个人信息民事权利的国家保护,与其他民事权利的国家保护相比无特殊之处,相应的规范应置于民法典之中。个人信息基本权的国家保护,在表面上涉及私主体之间的关系,但鉴于此种保护模式中的权利义务配置具有倾斜性,总体上属于社会法范畴,宜制定单行法加以规范。
区分两种个人信息权和两种国家保护义务,有助于厘清民法典中个人信息保护条款的规范逻辑。由于未对两种个人信息权和两种国家保护义务作出区分,民法典第四编第六章将个人信息民事权利的保护和个人信息基本权的保护融为一体,规范逻辑并不是很清晰,而该问题也存在于个人信息保护法之中。这使得学界对个人信息保护法和民法典的关系充满争议,出现了“平行适用说”、“普通法和特别法关系说”等不同观点。一旦明晰了两种个人信息权和两种国家保护义务的差异,上述问题便能迎刃而解。第一,民法典将两种国家保护义务融为一体的既成事实应予尊重,但在解释和适用民法典时,宜打破狭隘的部门法思维,在区分个人信息基本权保护和个人信息民事权利保护的基础上,建立个人信息保护法学体系。第二,个人信息保护法尽管有把两种权利保护融为一体的倾向,但总体上突出了对基本权利的保护。对该法的解释和适用,宜遵循个人信息基本权国家保护的逻辑。第三,在民法典和个人信息保护法的关系问题上,平行适用说虽具有应然意义上的正当性,但毕竟民法典中包含了诸多依照个人信息基本权保护逻辑制定的规范,采普通法和特别法关系说更符合实际。
2.从创制性义务到具体化义务
当信息主体和个人信息处理者的关系得以明确,个人信息国家保护义务理论中的国家保护义务就应由创制性义务调整为具体化义务。
首先,个人信息基本权是高度抽象的权利,国家保护义务的内容之一便是通过立法将这一抽象权利具体化,形成由知情权、同意权、查阅权、复制权、删除权等具体权利组成的权利束。在个人信息基本权的“具体化”意义上理解个人信息权利束,有助于澄清有关个人信息权利束的错误认识。与将个人信息权利束的由来归结于国家的“立法形成”不同,权利的“具体化”意味着权利束不是工具性权利,而是目的性权利,立法机关的裁量空间较小。与此同时,同意权应被纳入个人信息权利束的范围。出于对个人信息公共性的强调,既有个人信息国家保护义务理论往往对同意权的地位不予承认。从权利“具体化”的角度看,同意权关乎信息主体的人格尊严,属于个人信息基本权的一项内容,亦应纳入权利束之中。除履行法定义务、实施公共利益报道、处理已公开信息外,信息处理者处理个人信息应获得信息主体同意。同意权在现实中可能形同虚设,但是否将其纳入权利束与其可能的现实效果没有必然联系。同意权能够发挥的作用或许有限,但其至少为信息主体保留了拒绝的可能,蕴含着对信息主体人格尊严的尊重。
其次,国家保护义务的另一内容是将个人信息处理者的公法义务予以具体化。在个人信息基本权利关系中,社会权力型个人信息处理者负有尊重个人信息基本权的义务。由于该义务具有公法属性,内容主要体现为对比例原则、正当程序原则、平等原则的遵守。为履行国家保护义务,立法机关至少应将上述义务具体化至个人信息保护的法律之中。与创制性立法义务不同,立法机关在履行具体化义务时,无需同时处理国家与信息主体、国家与信息处理者这两重关系,也无需在禁止保护不足原则和禁止过度原则之间权衡,而只需处理信息主体与信息处理者间的关系,并适度考虑社会权力型和国家权力型信息处理者的权力差异,通过调整比例原则、正当程序原则的适用强度,建立不同信息处理者承担公法义务的梯度秩序。
3.个人信息基本权侵权责任制度的建构
既然个人信息权有个人信息民事权利和个人信息基本权之分,就应相应建立两种不同的个人信息权侵权制度。若侵权行为涉及信息主体与普通型信息处理者的关系,应适用民法上的侵权责任制度。若侵权行为涉及信息主体与国家权力型信息处理者的关系,适用公法原理自不待言,若涉及信息主体与社会权力型信息处理者的关系,相应的归责原则和救济方式也应遵循公法原理设定。在归责原则上,应确立违法归责原则;在侵权救济方式上,应以行政救济为主。对于社会权力型信息处理者的侵权行为,可先由行政机关裁决,如果信息主体对行政机关的裁决不服,其可依法申请复议,也可向法院提起行政诉讼。实际上,欧盟《一般数据保护条例》中已有类似规定。根据该条例第58条第2款、第77条、第78条的规定,信息主体可就与其相关的信息处理行为向监管机构申诉,监管机构有权命令信息处理者满足信息主体提出的“行使权利的请求”,并将申诉处理的进展和结果、不服申诉处理的司法救济途径告知申诉人。该条例设置的申诉机制和不服申诉处理的司法救济机制,就相当于我国的行政裁决和行政诉讼。
以上论述可为个人信息基本权侵权责任制度的建构提供参考。个人信息保护法第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”与个人信息保护法的权利基础系个人信息基本权相对应,该条中的“侵权责任”宜解释为个人信息基本权侵权责任,而非个人信息民事侵权责任。对于“没有过错”的解释,应向违法归责原则的方向靠拢,即根据信息处理者行为的违法性来判定是否存在过错。理论上讲,只要信息处理者符合个人信息保护法的规定,满足合规要求,就应认定为没有过错。此外,还应配套建立个人信息保护行政裁决制度,完善行政复议、行政诉讼等相关制度,使行政救济成为个人信息基本权侵权救济的主要渠道之一。
结 语
当前的个人信息国家保护义务理论,在概念表达、宪法解释方法论和回应立法实践上困境重重。在概念表达上,“客观法”概念使用的关系错位和“间接效力”概念使用的语义混淆,导致国家保护义务作为客观法义务和创制性义务的定性失当。在宪法解释方法论上,宏观上的法哲学化解释倾向和微观上对概括性人权条款的悬置处理,使该理论在宪法教义学层面欠缺说服力。在回应立法实践上,该理论难以解释我国个人信息保护法规定作为私主体的信息处理者承担公法义务的现象。确立个人信息保护权利基础的二元结构,明确个人信息基本权积极面向的主观权利属性,适度延伸个人信息基本权的效力范围,并对个人信息国家保护义务内容作相应调整,是化解个人信息国家保护义务理论困境的有效途径。
从宪法学的研究路径分析,个人信息国家保护义务理论属于部门宪法学范畴。作为部门宪法学,个人信息国家保护义务理论既可将基本权利的一般原理具体化,也可围绕个人信息保护展开具有一般理论导向的部门宪法学建构。本文采取了后一种研究路径,即在阐释个人信息保护部门宪法理论的同时,也对基本权利的一般理论予以检讨,在澄清部门宪法理论认识误区的基础上,寻求对基本权利一般理论的完善。从部门宪法视角切入基本权利研究,可获得建构部门宪法与反哺基本权利一般理论的双重功效,也有助于推动建构本土化的基本权利理论体系,应成为发展基本权利理论的基本路径之一。