2021年8月20日結束的十三屆全國人大常委會第三十次會議，三審表決通過了《中華人民共和國個人信息保護法》。

該法第一條規定：“為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法。”其中“根據憲法，制定本法”是在這部法律的草案提交本次會議三審時新加入的。

在8月13日全國人大常委會法制工作委員會舉行的記者會上，發言人臧鐵偉指出：“我國憲法規定，國家尊重和保障人權，公民的人格尊嚴不受侵犯，公民的通信自由和通信秘密受法律保護。制定實施本法對于保障公民的人格尊嚴和其他權益具有重要意義。”

的確，增加“根據憲法，制定本法”的規定，對《個人信息保護法》（下稱“個保法”）而言，具有十分重要的意義。

2012年12月由十一屆全國人大常委會三十次會議通過的《全國人大常委會關于加強網絡信息保護的決定》規定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。”這一規定開啟了我國個人信息保護法治化的道路。2017年的《民法總則》及2020年的《民法典》都明確“自然人的個人信息受法律保護”，使自然人的個人信息上的人格利益納入人格權保護范疇。這是民事立法對個人信息保護的完美回應。

但是，從法源上講，個人信息受法律保護源自憲法對公民人格尊嚴的保護。其背后的法理是，自然人有獨立人格，有權自主塑造其在社會中的身份，自主決定其個人事務，因而個人有權防范他人不當處理涉及個人的信息，以維護主體尊嚴或人格自主。

1983年德國憲法法院創造性地將個人信息與人格自主之間聯系起來，明確“個人信息自主決定”。之后，歐洲委員會在2012年修改《關于個人數據自動化處理的個人保護公約》（制定于1981年）時接受了《歐盟基本權利憲章》將“個人數據保護權”（right to protection of personal data）從《歐洲人權公約》的隱私權中獨立出來的做法，將之明確為獨立的公民基本權利。因此，我國“個保法”增加規定“依據憲法”不僅有著一定域外法源支撐，更重要的是，對我們正確地定位理解和適用個人信息保護法有著非常重要的意義。

首先，使“個保法”成為實施憲法，保護公民基本權利的法律。

在《民法典》之后制定“個保法”，最易使它被理解成為實施《民法典》中“個人信息受法律保護”之規定的法律。而增加“依據憲法制定本法”的規定，將使“個保法”成為保護公民基本權利的法律，使“個人信息受法律保護”上升為一種公民基本權利，可稱之為“個人信息保護權”。在憲法層面稱其為個人權利并不導致私法上“個人信息受法律保護”被誤解為個人對個人信息享有決定權（支配權）。

在憲法層面理解個人信息受法律保護（即使簡化為“個人信息保護權”）需要與其他的基本權利加以平衡，其真正的含義是“個人信息處理中的個人保護權”，保護的是個人主體權利不因個人信息處理而受到侵害。

也就是說，在憲法層面上的“個人信息保護權”并不是個人信息受保護，而是個人信息上的個人主體權利受保護（或受到尊重），不因社會中對個人信息的使用行為而受到侵犯。

其次，可能開啟權衡個人信息和個人利益、社會利益和公共利益，進行協同治理的通路，避免個人信息保護權的私法化、絕對化。

任何個人均是社會的一份子，個人信息是參與社會必不可少的工具，也是社會各主體開展社會交往和社會活動必須掌握和運用的資料——識別個人的依據。因此，個人信息的使用就不應完全是所涉及的個人說了算。個人信息保護權就不應當理解為私權，理解為由個人自由意志決定是否為他人使用，進而形成“非經同意使用個人信息即侵權”的結論。《民法典》為保護個人信息上人格權益而規定的民事保護性質的復制權，就不應理解為一經請求就應當支持的絕對權。“個保法”可能確立的個人信息決定權、可攜權等權利，也就不演繹為民法上的私權，導致個人信息個人決定，一經請求就應獲得救濟。在對個人信息的法律屬性和保護有了更高的定位后，就可能開啟個人信息治理保護模式，而不是再是“信息主體+信息處理者義務”范式。

再次，它使“個保法”以保護人民利益，改善人民福祉為基本遵循。

個人信息具有識別分析個人特性進而基于識別分析做出快速精準決策的社會資源屬性，個人識別分析支撐了個性化服務、個性化定制、智能制造、產業融合或社會資源重新配置，因而包括個人信息在內的數據被2020年3月發布的《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》定格為區別于土地、勞動力、資本和技術之外的第五大生產要素。

個人信息成為生產要素，意味著個人信息應當成為社會可用的資源，成為可社會化配置和利用的經濟資源。而這樣的經濟資源分享或流通利用正成為驅動社會創新，提升社會生產力，促進社會發展，改善社會福祉的新動能。

2019年國務院新聞辦公室發布的《為人民謀幸福：新中國人權事業發展70年》白皮書指出“人民幸福生活是最大的人權”。因此，個人信息保護權顯然是著重于個人信息上個人權利的保護，而當個人權利保護與全體人民利益保護相沖突的時候，個人權利保護就應當讓位于人民利益保護。這不僅要求在解釋和實施“個保法”時要堅持個人信息保護對個人權利的保護要與人民利益的保護相平衡原則，而且還進一步要求“個保法”以保護人民利益，改善人民福祉為基本遵循。只有在這樣的定位下，“個保法”才會為個人信息的社會化利用留下一定的空間，為數據要素市場建設開辟一條通道。

最后，使“個保法”成為保護我國公民人權保障的利器。

在國際社會，個人信息保護定位于基本人權意義上的隱私權，即保護人作為主體的尊嚴或自由。各國均將“個保法”溯源于《世界人權宣言》第12條，以人權保護為理由來保護各自國家公民的個人信息，控制個人信息跨境自由流動。

2018年5月生效的歐盟《通用數據保護條例》（GDPR）的政治目的是，以保護歐盟公民的基本權利為由，構筑保障歐盟統一數字經濟發展的屏障。在GDPR的引領下，個人信息保護問題越來越成為國際政治問題，個人信息本地化存儲和跨境流動的控制成為國際貿易新“壁壘”，而制造這一新壁壘的正當理由是公民基本權利（尊嚴或自由）的保護。

為解決糾紛，國家之間必須談判和協商，通過國際條約或雙邊協議來實現互惠流動或者遵循相同規則的流動。如果我們將個人信息保護權定位于民法人格權或人格權益，作為對抗、對話的基礎，我們的工作就是缺乏力量、沒有說服力的，將使中國在國際數字經濟秩序談判中處于劣勢。而增加“根據憲法，制定本法”的規定，使個人信息保護權成為受憲法保護的人權，將使我國亦可以實現以人權制衡，平等地參與國際對話、對抗、談判，為我國數字經濟發展提供安全保障。