吴文芳：个人信息保护法的社会法属性及其法律意义

近年来，我国个人信息保护领域立法不断推进加速，2021年8月20日《个人信息保护法》的出台，标志着我国个人信息法律保护正式进入新阶段。该法全面系统地对个人信息保护作出专门规范，为数字经济在法治轨道上健康发展提供了制度保障。伴随着个人信息保护领域的立法进程，法学界对于个人信息法律保护的研究热情迅速高涨且持续保持。传统法学学科从各自的研究视角出发探讨个人信息的性质、保护手段、救济方式与法律责任等问题，如民法学科侧重探讨个人信息与隐私权的关系，个人信息保护的私法保护路径；行政法学科亦根植本学科既有法律资源，对个人信息保护展开研究，强调个人信息需要由国家建立有效的事前事中监管体系与行政执法制度来提供保护。

经多年论证研讨，学界基本形成的共识是个人信息保护需公法与私法协同合力。对于协同的路径，宪法学者以基本权利为工具，认为应当将个人信息受保护权作为基础构建一套基础稳固、内容完善、结构合理的，并且有助于厘清诸多部门法、执法手段之间关系的信息保护法体系。对于公法与私法保护路径协同与统合的相互关系，从部门法视角切入还有进一步讨论的空间。有学者提出，个人信息保护采取的二元治理框架，既区别于传统私法，也区别于传统公法，个人信息权利的法益具有多元性，需还原到具体场景中界定权利边界。尤其在持续性不平等的法律关系中，如消费者与经营者、劳动者与用人单位结构中，主体间的信息关系往往受制于基础关系，脱离具体场景谈个人信息保护，无益于为信息主体提供有效保护。可以说，引入场景化理论为个人信息保护铺垫了社会关系特殊性的理论基础。进一步阐述个人信息保护法的社会法属性，对于个人信息保护法的执法与司法在价值层面具有指导意义。本文试图从法律关系的深层结构中挖掘个人信息保护法的社会法属性，并就具体制度中的价值导向作出相应解释。

一、逻辑起点：个人信息蕴含社会属性

强调社会法视角对于理解个人信息保护法具有重要作用，其缘由除个人信息本身具有私益与公益双重结构外，第二重原因在于个人信息使用中的不平等社会关系与社会法产生重叠与交叉，使得以社会法视角讨论个人信息保护的必要性更进一层。

（一）信息使用产生的不平等社会关系

个人信息作为一种私益可以通过私法获得部分保护，然而一旦脱离了私人处理的场景，进入个人信息商业运用的范畴，信息主体与信息处理者之间持续性的不平等关系就被明显地呈现出来。全球通行的个人信息保护立法规范中关于个人信息应用所预设的场景主要是商业性或专业性的信息处理，并且在立法目的和制度设计上旨在矫正持续性信息不平等的关系，保护处于弱势一方主体的信息权益。我国《个人信息保护法》第72条规定：“自然人因个人或者家庭事务处理个人信息的，不适用本法。”这实际上与欧盟《通用数据保护条例》（以下简称GDPR）第2条第2款（C）项规定是一致的，都排除了一般私人间活动处理信息的行为。从个人信息权利的内容来看，信息主体所享有的知情权、选择权、访问权、纠正权、删除权、携带权等权利，都难以向日常生活中的信息处理者请求，只能面向商业性或专业性的主体表达。在美国，信息隐私的框架体系起源于阿兰·威斯丁（AlanWestin）对于个人信息控制的主张，其保护措施所针对的对象是具有数据收集和利用利益的企业、政府机构和科研机构，尤其是利用数据库等现代科技大规模收集个人信息的主体。而互联网时代移动互联网、智能终端与算法等信息技术的快速发展，辅之各类智能第三方移动应用的普及，导致信息保护对象转化为各类数据产品与程序的消费者。消费者与商家之间持续不平等社会关系在近代法律体系中已经突破私法，在私法社会化运动中实现了消费者权益保护法的社会法属性，这一属性同理也应适用于当下个人信息使用产生的具有持续不平等的社会关系中。

个人信息的生产与再生产在一定程度上造就了互联网的兴起与繁荣，而互联网兴盛时代的个人信息保护也愈加体现出这一特征，即互联网时代信息流动在以平台为基础的数字基础设施服务上实现，而提供数字基础设施的平台主要为超大型的商业性互联网公司。个人信息的处理也需要尽可能地回应数字环境下的基础设施服务功能，这就使得个人作为信息主体一方面经常要面对专业性的具有数据收集和利用利益的信息处理行为，另一方面，这些信息的处理又必然产生正外部效应。换言之，信息使用在互联网时代下持续的不平等社会关系下展开，对于这些不平等社会关系的规范除满足公法性的强制要求外，更有必要安排某种制度更为有效地实现公共利益功能，有学者甚至在此基础上提出个人信息的社会控制学说。尽管社会控制说的制度内涵尚不清晰，但个人信息使用中应当有区别于以私法调整平等关系与以公法作为主要控制手段的社会法机制，不能抛却具体场景空泛地进行。

（二）持续不平等关系之场景类型

基于共同体场景的视角讨论个人信息保护得到理论界的广泛关注，个人信息保护的合理程度应置于其所处的环境中具体审查，其目的是在信息保护与信息流通之间寻求平衡，根据不同共同体的特点和具体场景中人们的普遍预期来判定个人信息保护的边界。个人信息的收集者和处理者与个人之间形成的持续不平等法律关系，既不同于平等主体之间的民事法律关系，也不同于个人与国家公权力之间形成的关系，如脱离共同体场景的类型化，只在一般意义上谈论动态性的多因素判断，可能因弹性过大导致司法的恣意与不确定性。因此，对于持续不平等关系的场景类型，宜根据社会关系所形成的特定共同体类型进行针对性的制度供给。就具体的场景化而言，主要包括两类共同体关系：分别是消费者与商家之间及劳动者与雇主之间。尽管“消费者”与“劳动者”均被视为社会中的弱势群体，因两者处于不同类型的共同体关系中，以“消费者”为原型设计的同意，由于“劳动者”的弱势处境差异明显，因而在个人信息保护法中明显不适应。

消费者与商家之间的持续不平等关系在个人信息保护法中得到更多关注。我国《个人信息保护法》提升了敏感信息的保护水平，强化了“告知—同意”规则的适用场合和条件，主要保护的是陷入信息不对称困境的消费者。但是，对于劳动者而言，信息不对称仅为双方不对等的成因之一，矫正信息不对称并不会对劳动者的信息保护产生直接影响，两类共同体中“持续性”不平等意蕴也大不相同。互联网时代的消费者尽管持续地处于与商家的交易当中，但针对单个合同而言，消费者与商家之间为一次性的力量对比型不对等，而劳动关系中劳动者与雇主之间是全程实质控制的从属关系。因此，就个人信息保护法的制度设计而言，如何在针对消费者与劳动者两种不同身份的共同体成员的信息保护与信息社会化利用之间取得平衡，以社会法的视角进行探讨殊有价值。

三、制度回应：信息保护的社会法机制雏形

社会法调整个人信息的逻辑起点在于个人信息兼具私益与公益的双重结构，而个人信息使用中基础关系的持续不平等性，也奠定了私法保护或公法规制的先天不足。即使由公私法协同规制，仍面临两难处境：强调主体平等、意思自治的私法并不擅长调整不平等关系；而以公共监管与执行机制为中心的公法保护机制，易忽视个人信息公共利益属性与信息使用的场景化特征。以社会法机制回应个人信息保护中的难题，是回应现实问题的客观选择，尽管相应的机制发育并不成熟，但在当下个人信息保护法中已初见端倪。

（一）集体保护机制

基于个人信息法益双重结构与基础关系的持续不平等性，要在个人信息流通、利用与保护之间取得平衡，个人信息保护法必然结合具体场景，采用以倾斜保护、集体保护等为原则的社会法框架。有学者提出，民法与个人信息保护法的关系类似于民法与消费者保护法的关系，个人信息保护基于国家对人格严的保护义务，而消费者保护基于国家对平等、社会正义等价值的保护义务，个人信息权益本身的特性也决定要实现有效救济，制度建构应以集体保护模式为主导。可见个人信息保护法的社会法属性已经被学界关注。我国《个人信息保护法》第70条将“法律规定的消费者组织”作为适格的个人信息公益诉讼起诉主体，就体现了社会法在中观层面实施集体保护的框架。《消费者权益保护法》第47条规定了消费者组织提起公益诉讼的权利，部分消费者协会的公益诉讼起诉权已获得相关单行法的认可，司法实践中已见将消费者组织作为公益诉讼起诉主体的相关案例。尽管在个保法草案及各审议稿中，消费者组织未列入公益诉讼起诉主体，但最终法律文本将其纳入，体现了立法者对于个保法与传统社会法之间的制度衔接有所考虑。

就劳动者与雇主这一具体化场景而言，对于劳动者的倾斜保护与集体保护的框架在《个人信息保护法》中有所体现。《个人信息保护法》草案的一审稿与二审稿中，均未涉及劳动者的集体保护，但正式法律文本规定“依法制定的劳动规章制度与依法签订的集体合同”都可以成为替代劳动者同意的集体合意形式，于学理上具有重要价值，但需进一步规范解释。劳动者个人信息易受侵害，根本原因在于劳动关系从属性中劳动者难以真正体现自愿权利，在签订集体协议时，工会与雇主并无从属关系且工会理论上已经取得雇员的授权，因而双方就雇员个人信息处理在协议中作出安排，就是集体协议内化进入个人信息保护的范例。GDPR第9条第2款（b）项明确规定，当“为实现控制者或数据主体在工作、社会保障以及社会保障法的范畴内履行义务、行使权利之目的而进行的必要数据处理，……成员国订立的集体协议的范围内实施。”同时，GDPR第88条关于职场信息处理，其中第1款中规定，允许成员国通过集体协议制定更为具体的规则。由此可见，集体协议是实现劳动者信息保护的重要途径之一。德国《联邦数据保护法》第26条第4款明确规定，“在集体协议的基础上，允许处理个人数据，包括为雇佣关系目的而处理的雇员的特殊类别的个人数据。”在德国劳动法理论中，集体协议的当事人——工会具有团体协约自治的能力，其意思表达当然应当被视为不受雇佣关系从属性的干扰，而实现了充分自治性。将集体机制内化在个人信息保护中的优势显而易见：当劳资双方在平等性关系基础上认可个人信息使用的合法性，企业就不用再以高成本方式取得员工的个别同意来实现信息的流通与利用。

（二）公益诉讼——集体保护的程序机制

社会法作为公法与私法之外第三法域的基本理论范式，源于其基础关系、法律关系的内容、责任以及司法救济（诉讼）程序等与公私法均有不同，我国《民事诉讼法》第55条所规定的对污染环境、侵害众多消费者合法权益等损害社会公益行为的公益诉讼，以及《消费者权益保护法》第47条所规定的消费公益诉讼制度被认为具有典型的社会法意义。个人信息私益救济与公法保护在个人信息保护上的局限需要吸取社会法上集体保护机制的优势弥补不足。作为集体保护的程序机制——公益诉讼深刻蕴含了社会法的价值与功能：公益诉讼的制度目标在于追求实质正义与社会正义，其最为直接的实体目的就是确认、恢复与实现公共利益。

个人信息公益属性与国家利益属性并非同一概念，尽管两者之间可能存在重合，但公共主体性与国家主体性明显倾向不同，因而个人信息的公益诉讼机制有别于因信息滥用危害国家利益的公法保护机制。个人信息公共利益是不特定多数人享有的利益，主要为消费者面对专业性或商业性的信息处理者时，因持续不平等关系导致信息使用场景下多方利益不均衡，个人信息面临着被侵害的风险需要通过法律手段加以保护。个人信息保护公益诉讼制度是一个颇具国际共识度的制度，如GDPR第80条第1款、韩国《个人信息保护法》第51条。德国通过修改《联邦数据保护法》（BDSG）明确将保护个人信息的规范列为广义上的“消费者保护法律”，并明确：个人信息保护法属于消费者保护法的范围，所有根据消费者保护法可以提起的团体诉讼，都适用于个人信息保护。

我国个保法顺应了世界信息立法的主流趋势，将公益诉讼作为应对信息侵害治理难题的救济方式之一，并且将其规定在《个人信息保护法》第70条中。个人信息公益诉讼与传统上的公益诉讼机制在制度理念与基本构造上具有承续性。就合规性而言，提起个人信息保护公益诉讼的前提要求必须具备“违法处理个人信息”与“侵害众多个人的信息权益”。“众多”的界定和理解涉及规模及范围，指向社会公共空间，由于公共利益具有高度抽象性与多样性的特点，实践中多由法院运用法律解释方法于个案中加以具体化。但在个人信息保护领域，对于“众多”的判定又因个人信息保护侵权的广泛性出现了新进展，如2021年8月最高人民检察院发布《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》，其中特别提到“是否涉及侵害敏感的、特殊群体的、重点领域的、达到100万人以上大规模的个人信息”。可见，由于个人信息公共利益的广泛性，公益诉讼适用的前提也将出现一定程度的放宽。

在个人信息保护的公益诉讼机制中特别提出社会组织作为起诉主体，体现了社会法的独特规则模式。个人信息保护公益诉讼机制中，除人民检察院与法律规定的消费者组织外，“国家网信部门确定的组织”也可以成为适格的起诉主体。法律首次将社会组织明确列入个人信息保护的公益诉讼起诉主体，体现了以社会组织执行来补充公权监管与私人维权。归纳对比国内外立法文件关于社会组织的定义，作为公益诉讼的社会组织至少应当具备三个主要特征，其一是非营利性，具有公益性；其二是该组织长期从事公益活动，具备开展或提起诉讼的能力；其三是具有合法开展公益活动的主体身份，即依法设立。在社会法的视野下，“社会”是独立于国家的一种组织化模式，是介于国家（政府）与个人之间的社会组织。由消费者团体与网信办划定的社会组织作为公益诉讼的起诉主体，尽管其诉权主体按照《个人信息保护法》第70条规定顺位在检察机关之后，这样的规定仍有其现实意义，毕竟现阶段消费者组织缺乏相应的财力人力支持，难以开展个人信息公益诉讼，而网信部门确定的组织要确定并发展出成熟机制也需假以时日。但着眼未来，社会组织提起的公益诉讼在专业化与规模化方面都有不可替代的优势，基于社会法的价值追求，诉权主体的顺位制度安排在将来仍有调整的空间。

（三）公共利益调节机制

个人信息公共利益属性的双边结构十分明显：一边是在持续不平等关系下，消费者或劳动者面对专业性的具有数据收集和利用利益的信息处理行为，致使众多弱势群体的个人信息易受侵害。为扭转信息处理者与信息主体间的权利势差，个人信息保护法必须以公法手段干预私法关系，即采用社会法的基本调整模式以保障弱势主体的利益。另一边是信息使用对社会具有强烈的正外部效应，必须通过相应机制保障个人信息保护与利用之间实现平衡，满足个人信息正外部性的公共利益功能。对于后一类公共利益调节机制而言，社会法的调节机制主要关注点在于保障整合之后易于促进公共利益增值的信息生产与处理活动。

个保法中的知情同意原则就深刻地体现了公共利益调节机制的特征。我国立法曾将“同意”作为收集和使用个人信息的前提条件，信息处理者需要不断获得用户的同意，虽然这符合个人信息自决权的理论预设，但在实际履行中存在如告知虚化、决策扭曲等使用困境，僵化的知情同意原则还会阻碍信息集合效率与规模化利用，阻滞公共利益的实现。在《个人信息保护法》立法过程中，我国理论界对于知情同意原则进行了深刻反思与批判。在持续不平等的消费关系中，为保护消费者利益，《个人信息保护法》加重了经营者的告知义务，加重同意的形式要求，以保障同意的真实有效。不过，面对处于持续不平等关系下的劳动者在个人信息保护中的窘境，《个人信息保护法》仍关照不足，第13条第2款在劳动者个人信息保护与雇主管理权的天平上向后者过分倾斜，如不加限制，劳动者个人信息可能面临滥用危机。另一方面信息的个人控制倾向可能阻碍信息使用与流通，因而需要符合信息生产与流动的公共利益保障机制平衡多方利益，立法对此做出了许多有益的探索。《个人信息保护法》第13条第2款至第7款规定了若干情形下不需要取得个人同意，出于公共利益的要求，个体私利可以适度克减让位于更迫切的公共利益。例如第4款特别结合疫情，肯定了突发公共卫生事件涉及大规模持续处理个人信息的正当需求。在疫情防控下，公民健康码是个体自由等私利与公共利益的集合体，也是公共治理的重要依托，在紧急状态下不需要取得个人同意而使用。

出于维护公共利益的目的，特别是保障信息流通带来的公共利益，个人信息保护不仅应关注收集后的行为规范，也应关注个人信息生产和创设过程中的社会利益之维护。正如学者指出的，个人信息的使用需要满足和解决数字市场和数字社会形成发展过程中的核心问题，确保数字要素有序流动，市场秩序安全稳定，应关注信息功能而匹配相应制度。个人信息保护法宜在如下几个方面有所作为：第一，对于信息跨平台流动，应当在制度层面供给正式的认证制度，例如涉及相关数据市场的认证制度；第二，设计相关机制以鼓励互联网平台及其生态系统交换流量和信息，推动行业自律机制的发展发育；第三，以相应制度保障个人信息使用的声誉市场的建构，如引入第三方市场等社会化的认证机制。这在GDPR中已有先例，依照GDPR第42条第3款，企业可在自愿基础上接受信息保护的行业认证并在产品上明确标识，行业认证在实践中多为第三方中立机构，依专门程序与标准对企业信息合规进行检测与认证。

四、信息保护法社会法属性的法律意义

社会法的集体保护机制、公益诉讼机制以及公共利益的调节机制无声地渗透入个人信息保护制度的框架之内，充分说明在以公私法协同保护个人信息的视角外，以一种更为开阔的第三法域——社会法视角调整个人信息使用各方利益客观上具有必要性。个人信息保护的双重属性与信息使用中持续不平等的基础关系是社会法机制调整个人信息使用关系的基础。此外，对于个人信息保护法中社会法属性的解读，还可以从价值层面展开，既因为社会法与个人信息保护法的价值契合，也可以在该层面阐释对特定共同体予以个人信息保护的法律意义，从而为相关规范的法律解释指明方向。

（一）社会法为个人信息保护法律调整提供多层结构

作为第三法域的社会法，其法律调整区别于公法或私法的关键之处在于社会法上的权利是一种结合公益与私益的特殊形式，从而使得社会权利与行政权力和民事权利产生区别。如，劳动者在劳动合同上的权利，并不如私法契约一般，由用人单位应履行义务所确定，而是包括了法律基于社会公共利益之所需为其创设的权利，义务反之亦然。将这种法律调整方式投射到个人信息使用关系中，同样可以发现公法与私法以这种有机的而非机械的方式组合在个人信息使用的法律关系中。个人对信息私益的处分在一定范围内得到私法的保护，然而在超越信息私益的范围之外，个人对信息的控制反而应负担一定的法律义务。

除了在合同关系上公私法结合的属性外，社会法的法律调整机制值得在个人信息保护领域借鉴与参考。就第三领域的社会关系调整而言，已经形成共识的是以社会基准法、团体保护以及私法契约组合而成的，具有多层结构的社会法调整体系。在目前个人信息保护法的具体制度中，对于个人信息的集体保护机制及作为集体保护的程序机制——公益诉讼机制已有初步规范，但是仍有进一步完善的空间。《个人信息保护法》第70条确定的公益诉讼机制中，目前倚重检察机关为诉权主体，但如果对具有公私结合特征的公益诉讼机制从社会法属性解读，在法律实践层面与未来的制度建构中，应给社会组织留下更多作用空间。

未来立法中，个人信息保护的社会基准法模式分量也将加重。社会基准法作为规范个人信息保护的最低标准，具有强行性，但强行法不等于公法，如劳动基准法是强行法，但并不配备公权力的监督、强制和惩罚职能。应结合具体场景风险与共同体类型、信息使用目的等，在不同的共同体、行业之间创设强度适当的最低标准，以基准法的方式平衡多元信息法益下的个人信息保护与利用。如，在消费者保护领域，对于信息权利保护可以设置特别的行业标准，现有的国外立法已经有不少类似的先例。澳大利亚《消费者数据权利法案》旨在金融领域构建对于消费者的特殊保护，通过构建消费者访问权以实现消费者对于个人信息的控制，并逐步将此推广至能源、通信、互联网交易等领域。荷兰个人信息保护实践中大量的行业规则进一步丰富了数据保护法的原则性规定。可以期待的是，劳动关系场景下劳动者的个人信息保护，亦可结合知情同意适用的限制、工作场所视频监控、劳动者删除权、可携带权的行使等，在正在起草的《劳动基准法》中确定相应的基准。

（二）个人信息保护执法与司法中社会法价值之适用

就个人信息的主要保护路径而言，除上文提到的社会法机制外，私权保护机制与事前事中监管体系和行政执法制度是个人信息保护的基本框架。我国个人信息保护法的私法规范比公法规范占比领先诸多，且具有可操作性，可在司法中直接援引适用，公法规范则更多依赖行政法规和规章予以具体贯彻落实。无论是在以司法诉讼为中心的私权保障机制，还是在以行政规制为手段的行政执法机制中，强调社会法价值的适用，将为私法保护路径和行政规制路径的发挥产生正向作用。

在私法层面，当个人信息权益受到损害时受害人主要提起侵权之诉。在个人信息的侵权之诉中，侵权日益呈现出高度隐蔽化和技术化的特征，并且还出现了社会分选和歧视、消费操纵与关系控制等新型损害，对于这些损害后果的判定，必须依赖于对信息处理行为的合法、正当、必要进行考察，其中必然涉及到运用比例原则进行利益衡量。此时，以社会法扶助弱者，矫正不平等关系的价值观将对司法效果产生重要的影响。以劳动关系下的相关案例为例，过度关注自身管理权而忽视雇员利益的用人单位，可能借助劳动合同、企业规章制度等方式凌驾于劳动者信息利益与隐私权之上，此种信息处理行为不应被认为“人力资源管理所必需”。另外，即使在超越劳动合同目的下进行的劳动者信息收集，为保证信息的利用，能够判明同意真实性的也应认定其符合合法性。在法律或合同的具体解释中，倾斜保护原则下的“有利原则”应当作为解释的重要价值导向。就公法保护手段而言，主要包括行政法和刑法保护。个人信息公法保护存在其自身的局限性，如必须依托强有力地规制机关和执法队伍，需要组织、人员层面的大量投入；侵害行为必需造成严重损害后果，才满足公法保护的启动程序；要求基于统一的规则形成相对稳定的执法实践而可能牺牲灵活性；信息处理者承担行政或刑事责任，无法对受害人进行直接救济。如若能更多地与社会法相关机制融通，不断强化公法、私法与社会法的跨部门、跨法域合作，才能建构一个充分实现个人信息双重属性的功能性法律框架。

五、结语

个人信息保护法兼具私法与公法双重属性已成为共识，但公法与私法的配合并非简单机械的叠加与合并，需要引入第三法域社会法的融贯汇合。个人信息使用在基础关系上的持续不平等性，奠定了社会法调整的法律基础。在信息保护领域，出于对信息保护、流通与利用的需要，集体保护机制、公益诉讼机制以及公共利益调节机制等社会法机制已浸润其中。由于社会法与个人信息保护法在价值层面高度契合，从社会法视角研究信息保护法不但能够给予特殊共同体以信息法保护，还能为个人信息保护提供适用上的价值。社会法仍有诸多制度资源在个人信息法领域大有可为，期待今后有更多学者挖掘个人信息保护法中的社会法属性，通过阐释和适用，破除个人信息法和社会法之间存在的跨部门壁垒，为处于不对等结构中的弱势群体提供体系完备的信息保护框架，也为实现个人信息的公共利益功能提供机制保障。