内容提要：基本权利的主要功能在于防范国家公权力。传统基本权利理论以“国家权力-个体权利”的二元框架展开逻辑建构，处理“国家-个体”之间的二元平面关系。但现代社会的复杂性提升，使其内部分化出了不同的利益需求，且形成了新的社会权力，产生了私主体间的不对等关系。进入数字时代，这一现象变得尤为严重，表现为数据权力的兴起及私主体对个人信息的频繁且严重的侵入。为此，基本权利的价值应辐射到社会内部，发展出平衡社会之功能。以个人信息保护为例，应在革新基本权利规制社会的理念的基础上，进一步加强国家在个人信息保护问题中的保护义务，同时确立作为基本权利的个人信息权对数据私权力主体的直接效力，以实现其平衡社会各方利益的功能。

关键词：基本权利  数据权力  个人信息保护  直接效力

基本权利理论自产生以来一直围绕“国家-个体”的二元框架展开逻辑建构，主处理国家与个体之间的关系，发挥防范国家公权力的功能，并不介入社会。虽然在其发展过程中也取得了一些突破，开始介入私人间的关系，并发展出了基本权利私人间效力理论，但囿于传统的二元框架，难以有力回应社会变迁的某些要求。进入数字时代以来，以数据权力为代表的社会权力的兴起更是给传统基本权利理论带来了进一步的巨大冲击和挑战，基本权利理论和框架亟待进一步发展和革新，积极介入社会，将社会纳入调控范围，实现其社会平衡之功能。本文将以对基本权利理论发展演进历程的梳理为基础，对基本权利理论在数字时代面临的新挑战进行分析，以期探求基本权利在当今社会的功能定位，推动基本权利理论框架体系的革新和具体内容的发展，并从个人信息权这一与数据权力相对的基本权利入手探索基本权利社会平衡功能的具体实现方式。

一、基本权利理论的新发展：调控社会的要求

基本权利是近代立宪主义的产物，是“天赋人权”的宪法表达。自产生以来，基本权利内涵不断丰富，因应时代变迁，基本权利的功能也处于不断转型当中。在现代社会，基本权利越来越多面临来自社会的各种威胁。数字时代，这一威胁更加明显，基本权利的研究应与时俱进，发展出面向社会的基本权利理论，以回应时代发展所出现的新挑战。

(一)传统基本权利理论的发展与演进：国家中心主义的根深蒂固

现代宪法理论发源于西方，其最初理念奠基于自由主义理论。在自由主义理论下，国家与社会呈二元对立状态，公共领域和私人领域的事务截然分开。社会可以依靠自己的理性实现自治，国家是唯一的公共领域和权力主体。基本权利作为宪法发挥作用的主要方式，其功能也被定位于规范和控制国家行为，防范国家公权力对社会的干预及对个人权利的侵害，作用空间则被限定在“国家-个体”这一纵向关系之中。与之相应，早期西方宪法所规定的基本权利主要是自由权，侧重于防范国家干预，只要求国家承担不侵犯的消极义务。

但自19世纪末开始，早期自由主义所主张的自由放任理念导致的弊端开始逐渐显现，经济危机多次出现，引发社会动荡。社会的自治出现了其自身难以克服的弊端。为了应对这一问题，福利社会主义理念开始兴起并日渐流行，福利国家出现，通过不断增强的政治民主化方式为其干预社会提供了民主上的正当性。在此趋势下，国家与社会二元对立的观念开始松动，国家和社会的关系获得了重新的认识和讨论。国家与社会之间的二元对抗开始淡化，转而重视国家与社会之间的相互协作，以及国家在个人利益实现上的积极保护作用。基本权利不再仅是防范国家干预的防御权，还具有了社会属性，发展出受益权等功能，要求国家在基本权利实现的过程中提供积极的帮助。这种积极的保护义务使得基本权利的作用空间和效力得以扩充，不再仅限于防范国家公权力，而是开始介入私人间的关系，对“国家-个体”之外的私主体之间的基本权利行为加以规制，进而衍生出了基本权利私人间效力的问题。对此，德国和美国发展出了世界范围内的不同经典理论。德国的基本权利私人间效力理论强调基本权利在私人关系规制中的间接效力，具体又分为客观价值秩序间接效力说和国家保护义务间接效力说。前者以基本权利的双重属性(主观权利和客观价值秩序)为区分前提，通过基本权利作为客观价值秩序对民法的“辐射”，以民法概括性条款为中介实现基本权利对私人的约束(仅包括司法行为)。后者则以基本权利对国家所要求的保护命令和义务作为基本权利在私人间适用的基础，并将基本权利私人间适用的中介由民法概括性条款扩展至所有民法规范(同时涵盖立法和司法行为)。美国则提出了国家行为理论来应对基本权利在私人间的适用问题。这一理论明确要求基本权利作用对象的“国家性”，即基本权利要想介入私人间的关系必须以“国家行为”因素的存在为前提。只有当私主体的活动履行了政府职能或国家深度卷入私人活动或某项私人活动被视为是在国家鼓励或授权下的行为时才纳入基本权利的规制范围。虽然都是处理基本权利在私人间效力的理论，但德国出于对基本权利作为客观价值秩序或人的尊严这一最高价值的维护，对私人间的关系有比较广泛的介入；美国则侧重于私人行为与国家权力的关联，将规制目标仍指向私人行为背后的国家权力。尽管存在上述区别，但二者都属于国家中心范式的基本权利私人间效力理论。这一范式下的理论建构仍未摆脱“国家-社会”二元对立的社会基础，没有脱离“国家权力-个体权利”的二元逻辑框架，将国家权力视为唯一的权力形式，强调基本权利作用对象的国家性，否认基本权利对私人的直接效力，即“虽然基本权利的第三人效力是在私法关系中发生的效力，但依然还是对公权力主体的约束”。在处理“私人-国家-私人”间的三角关系时也完全以国家为中心和媒介发挥基本权利在私人间的作用。由此观之，传统基本权利理论即使在其发展过程中有所突破，开始介入私人间的关系，其根深蒂固的国家中心主义观念也并未动摇，国家仍是基本权利直接效力的唯一作用对象。

(二)传统基本权利理论的挑战：社会权力的兴起

立宪主义之初，国家与社会的二元对立被从理论上简化为政治系统与经济系统的分立，并以经济系统表征整个市民社会。但随着社会复杂性的不断提升，社会内部不再是铁板一块，而是分化出了多元的利益和价值需求。对多元利益和价值需求的追求导致社会内部的分化与冲突不断加剧，并主要发展为以下三种表现：一是社会子系统功能扩张导致的系统际冲突。二是上/下分层的结构在社会内部局部重现，形成了与以往不同的多个“社会权力中心”，使得每个人都可能处于一种无形的社会权力控制之下而无法维持其自主性。如日本法学家芦部信喜曾指出：“随着资本主义发展的高度化，社会中出现了很多像企业、劳工组织、经济团体、职能团体等那样的拥有巨大势力、类似国家的私团体，产生了威胁一般国民人权的事态。另外，晚近时期随着城市化、工业化的进展所产生的环境公害、信息社会下大众传媒对隐私权的侵害等也时有发生，并成为重大的社会问题。”政治系统和国家公权力不再是唯一潜在的基本权利侵害主体。可以说，“18、19世纪，宪法问题的焦点在于释放民族国家政治权力的力量，同时又有效限制这种能量。新宪法问题的焦点，则在于释放各种十分不同的社会能量(经济尤其明显，科学、技术、医药和新型传媒也不例外)，并有效限制它们的破坏效果”。三是在风险社会的背景之下，各领域难以预料和估算的风险越来越多，私主体制造系统性风险的可能越来越高，个人应对风险的能力却越来越差。

在这一背景之下，社会宪治理论最先逐渐兴起，主张限制除政治系统(国家公权力)外的其他社会子系统(社会权力)对个人基本权利的扩张和侵犯。社会公权力首先获得了社会宪治理论研究者的关注。自20世纪60年代以来，随着“社团革命”席卷全球，各类社会组织大量涌现，在各类公共事务中发挥着重要作用。这些社会组织(如非执政的政党、人民团体、行业组织、中介组织、公益或慈善组织、学术与文化组织、宗教团体、基层群众性自治组织等)自成立之初就带有公共性，并以实现一定范围内的公共利益作为其主要目标。它们具有明显的政治、经济、社会、文化、信息等资源优势，对其他特定或者不特定多数的私主体享有了事实上的支配力，即不同于国家公权力的社会公权力。除国家公权力之外，这种社会公权力对公民基本权利也有日趋严重的侵害之势。就此，已有学者初步提出了有关规范和调控社会公权力，保障个人基本权利的新的宪法理论。

社会的发展和分化不仅催生了社会公权力，还孕育出了社会“私”权力。社会资源占有量的不均使得传统社会中平等的私人关系被打破，某些具有明显资源优势的私主体不再以平等私权利主体之间的方式参与社会活动，而是凭借自己的优势地位以权力运作的方式将自身的某些意志强加于其他处于弱势地位的私主体，产生了不平等私主体间的基本权利侵害问题。对此，法律以基本权利私人间效力理论作出了初步应对。但随着计算机和互联网技术的不断发展，人类开始进入数字时代，塑造了与传统物理空间不同的超越时空的数字社会。公民也获得了除现实世界之外的第二重数字身份，在互联网世界中开展各类社会活动。在人力、技术、知识储备、基础设备、财力等资源上的优势使得以各类商业性的互联网平台为代表的公司或组织具备了远超私人主体的优越和强势地位，且互联网世界的开放性更使得这些平台的影响范围非常广泛，影响力巨大，甚至在某种意义上不亚于国家权力的影响力，并形成了一种结构性的持续性不平等关系，其某些商业性活动的开展也开启了难以预料的系统性风险。这些商业性的互联网平台与前述社会组织不同，其成立之初并不以公共性和公共利益为目标和追求，只是在运作过程中逐渐被赋予了某些公共职能而具有了某种程度上的公共性，其商业性的、以实现私人利益为最终目标的底色并未改变。于是，真正意义上的社会私权力形成，成为侵犯基本权利的又一潜在风险源。

如上所见，社会内部分化与冲突的加剧对传统基本权利理论产生了巨大的挑战。面对来自社会本身的威胁，基本权利私人间效力理论也已无法妥善应对。国家需要更加积极地介入社会，借助其政治决断力进行干预，通过基本权利对国家、社会和个人三者之间的关系进行整合，以实现其调控、平衡社会之功能。这一问题可进一步具体化为对处于结构性持续不平等地位的私人主体间的基本权利侵害行为的关注。数字时代，个人信息本身所具有的多重属性、个人信息关涉利益主体的多重性、个人信息处理的复杂性和风险性及信息主体和信息处理者之间的悬殊地位等使得个人信息保护问题染上了强烈的社会属性，是探讨基本权利理论更新问题的很好的切入点。下文将主要围绕基本权利意义上的个人信息权展开，探讨在面对除国家公权力之外的数据私权力这一典型社会权力的威胁时，基本权利应如何积极介入加以平衡和矫正的问题。

二、个人信息权作为基本权利

众所周知，受限于制宪者自身认知能力及立法技术，加之时代变迁，宪法上明文列举的基本权利不可能穷尽。作为数字时代的新兴权利，个人信息权并未被规定于宪法之中，但这并不代表个人信息权不能被纳入宪法的保护范围。将个人信息权上升至基本权利的高度加以保护有其必要性和存在空间，应将其视为宪法上未列举的基本权利。

(一)基本权利介入个人信息保护的必要性

1.数据权力的兴起

随着大数据时代的到来及各类信息技术的不断发展，个人信息的资源属性日益显现。个人信息由个人产生之后就马上与个人分离进入社会公共领域，进而被信息处理者收集和利用。信息处理者主要包括两类：一类是以政府等公权力机关为代表的公共主体，在日常职务行使中利用个人信息提升自身行政效率和治理能力，更好地实现公共管理和公共服务的目标及价值追求；另一类是以互联网平台为代表的商业性主体，通过对数据集合形式的大量个人信息的商业化利用创造出了巨大的财产价值。在个人信息的收集和利用过程中，两类主体都有可能对信息主体产生侵害。按照传统法学理论，对政府等公权力机关收集、利用个人信息的公权力行使行为应纳入基本权力的规制范畴，而对互联网平台等商业性主体的个人信息处理行为应纳入私法的规制范畴。但目前互联网平台等商业性主体在个人信息处理上实际上已经具备了不亚于国家公权力的影响力，导致了社会中上/下分层的不平等结构的出现，发展出了数据私权力。大数据时代已发展出两种类型的数据权力，一是国家机关及其他行使公共职能的组织在数据处理中拥有的“公共数据权力”；二是大型私营机构基于其掌握的数据资源和技术所拥有的“准数据权力”。根据主体性质，以上两类数据权力可以概括为数据公权力和数据私权力。无论基本权利理论如何发展，其防范“权力”的功能始终不变。将个人信息保护问题上升到基本权利的高度，主要就是为了对抗“数据权力”的威胁。除了数据公权力，数据私权力也应受到基本权利的规制。

在基本权利的传统理论中，权力只有一种来源，即国家。权力的类型也只有一种，即国家公权力。但根据德国社会学家马克斯·韦伯对权力的定义，权力并不必然仅指向国家公权力，只要满足一定的条件就可达到“权力”的标准。韦伯认为：“权力意味着在一种社会关系里哪怕是遇到反对也能贯彻自己意志的任何机会，不管这种机会是建立在什么基础之上。”根据这一定义，权力的本质可以被分解为以下几个层面：第一，权力是一种社会关系，需要在社会交往中发挥作用。它可以发生在任何产生交往的主体之间，不以主体的公、私性质为限。第二，权力具有单向性，权力双方处于不平等地位，权力主体可以仅凭借自己的意志对他人发生强制性的影响力或支配力，要求他人服从。第三，权力的享有需要一定的基础，这种基础可以来自法律授权或公权力委托，也可以来自事实上的资源优势。社会在其不断发展和分化的过程中孕育出了新的社会权力，在个人信息处理问题中这一权力即为数据私权力。

数据私权力首先必须是一种权力，需要满足权力的特质要求。按照上述标准，数字时代各类商业性的互联网平台已经成为权力的拥有者。因为这些平台的掌控者都是互联网公司，且平台成立之初并不以公共性和公共利益为目标和追求，只是在运作过程中逐渐被赋予了某些公共职能而具有了某种程度上的公共性，其商业性的、以实现私人利益为最终目标的底色并未改变。首先，相比普通私人主体，互联网平台在人力、技术、知识储备、基础设备、信息、财力等资源上占据绝对优势，二者之间的差距已达到明显悬殊的程度。这为平台享有并行使权力提供了坚实的基础。其次，凭借这些资源优势，平台已经具备了事实上的单方面的强制力和支配力，甚至掌握了“准立法权”“准行政权”和“准司法权”。普通私人主体基本不存在抵抗的可能，只能服从。这集中体现为平台的各种商业协议。用户在注册和使用各种软件平台之前一般都会被要求勾选相关一揽子协议，一旦勾选就视为接受协议的全部内容，否则软件将无法使用。这使得其在平台中的行为受到了这些协议的约束，需要服从平台单方面的管制。平台所掌握的私权力以其对普通私主体个人数据进行任意搜集、分析和利用的权力最为广泛和典型，此即为数据私权力。

进一步而言，互联网平台掌握的数据私权力要想纳入基本权利的规制范畴，且达到如同对公权力的效果(可以产生直接效力，将在下文详述)，还需要满足一定的条件。参考公权力的标准，除了是“权力”之外，还要满足“公”的条件。这里的“公”可以分解为两层意思：一是权力主体和性质的公共性，二是发挥职能的公共性和对公共利益的追求。数据私权力还应满足第二层意思上的“公”的条件。在各类互联网平台运行过程中已有越来越多的主体参与其中，既包括私人主体，也包括公权力主体。其业务范围也越来越广泛，涉及社会生活的方方面面。许多互联网平台已成为重要的公共基础设施，成为公众参与公共活动、发表个人意见的重要场所，与公共利益密切相关。如微博、微信等社交平台及各类检索平台已成为公众获取信息、发表言论的重要窗口，也是公权力主体行使职权的重要渠道；淘宝、京东等商品交易平台也为司法拍卖提供了渠道。此外，公共性本身还隐含着对影响力广泛性和持续性的要求。就广泛性而言，现有的各类互联网平台已经涉及信息检索、商业交易、金融、娱乐、社交、通信、教育、医疗等各个领域，几乎实现了公民社会生活的全覆盖。同时，在互联网日益发达、普及的今天，为了不被排除在现代数字社会之外，公民难免依赖种类繁多的互联网平台。就持续性而言，公民只要使用软件平台，其个人数据就必然会被持续搜集、分析和利用。这不同于偶发性的、基于特定目的的权力行为，不存在任何逃避的可能。如是，互联网平台及普通私主体之间形成了持续性的不平等关系。以上两个方面使得数据私权力具备了广泛的影响力，可以对多数人实施持续性的支配，达到了如同国家公权力甚至超越国家公权力的效果。

综上，在个人信息处理中，平台基于其巨大的资源优势所具有的对普通私主体的个人数据/信息进行任意搜集、处理和利用的持续性、广泛性的权力已经成为宪法意义上的数据私权力，应发展出基本权利意义上的个人信息权加以规制。

2.个人信息处理和利用的风险

对个人信息的搜集和利用一直有之，在进入数字时代之前，个人信息如自然人的姓名、身份证号码、电话号码、家庭住址、肖像、财产信息、病历资料等就已被政府、企业等公私主体收集、保管、分析和使用。但彼时个人信息的类型相对单一，来源渠道有限，且在传统的信息搜集和处理手段下，个人信息的获得和传播仍存在一定的障碍，对个人信息处理和应用的程度有限，传统保护路径如姓名权、名誉权、隐私权、肖像权等具体人格权的规定以及侵权法相关规范已足以为个人信息提供较为充分的保护，个人信息保护和利用之间的巨大张力并未显现。随着各类信息技术的不断发展，个人信息的产生、收集、存储、处理、利用等都发生了巨大的变化。20世纪六七十年代，计算机技术开始兴起，人们逐渐摆脱了传统的依赖自然人主动提交或人工收集和整理个人信息、依赖纸质文件存储个人信息的形式，传统人工和纸质记录的个人信息得以以0和1为代码的载体存储于计算机，实现数字化转换，成为“个人数据”。个人信息所涉范围越来越广，种类也越来越多。除了传统的能够单独识别自然人个人身份的各种信息，还包括与其他信息相结合可识别自然人个人身份的各种信息。随着时间的推移，计算机技术不断发展，互联网等信息技术也开始兴起与推广，个人数据的搜集、存储、处理、利用等变得愈发简单、便捷、快速和广泛，如Cookies技术和各类传感器可以自动收集与存储个人信息，极大地提高了信息搜集和存储的效率。进入数字时代之后，大数据、云计算等信息技术的应用更是使得个人数据的搜集、存储、处理、利用能力得到了空前的提升，个人数据极易被搜集、存储、处理和流转。“大数据时代的个人数据被收集、储存、转让和使用已经成为不可逆转的趋势，成为每个自然人的常态生活。”

在这样的背景之下，个人信息的全本收集、规模化处理、自动化处理、深度算法分析等日益常态化，加之风险社会的来临，个人信息处理和利用过程中的泄露和滥用风险越来越多，导致了许多新的问题，如因信息泄露导致的社会评价降低、诈骗，因数字画像错误导致的人格贬损等，且这些风险具有以下特点：一是处理风险难以预测，个人信息处理和利用过程中是否会产生信息泄露、信息滥用等问题难以准确预判。二是风险后果难以预估和控制。个人信息泄露、滥用等将产生何种后果和损失往往难以估算，而信息泄露或滥用风险一旦转化为现实损失又往往会导致较为严重的后果。三是处理风险波及范围广泛，可能波及规模化处理中所包含的所有不特定个人。四是处理风险高度复杂，涉及大数据、算法、人工智能等多种信息技术的运用。五是互联网平台等私主体在个人信息处理、利用过程中制造系统性风险的能力显著增强。可以说，在数字时代，对个人信息的侵害风险已成为一种系统性、综合性的、超越个人控制范围的公共风险。作为仅掌握有限理性的个人，仅依靠分散化、个体化的决策已难以有效控制和应对。

对个人信息保护的研究始于民法，民法学者主张将个人信息视为民事权利的客体，试图建构一种对抗不特定主体的绝对性、排他性、支配性的个人信息权。《民法典》也在人格权编对个人信息保护作出了相应规定。但个人信息的社会性及处理、利用过程中的风险所体现出来的特点都对单纯的私法规制路径提出了挑战。个人信息保护具有复杂性，其目标不再仅限于对作为信息主体的个体利益的保护，而在于实现信息主体和信息处理者(其中包含个人、社会和国家三方主体)多方利益之间的平衡；个人信息保护的路径也由单纯的私法保护路径向公法保护路径扩充，并最终向综合保护路径合流。不同于私法上基于平等主体权利的协商与意思自治，公法上的路径需要以基本权利为基础和纽带方可具体展开，而个人信息的社会性及处理、利用的风险也恰为基本权利的介入提供了基础。

(二)基本权利意义上的个人信息权在宪法上的安顿

1.个人信息权还是个人信息受保护权

目前，宪法领域学者对个人信息保护在宪法上的建构基础和权利表述尚未形成十分一致的意见。在个人信息保护研究的较早阶段，有学者就曾提出“保障个人信息权应借鉴基本权利模式，平衡相关权利与权力间的法权结构”。最早从宪法上基本权利维度系统论述个人信息保护问题的王锡锌教授主张个人信息保护的宪法基础是国家在宪法上所负有的保护义务，该义务对应着“个人信息受保护权”这一基本权利，它是国家履行其保护义务的价值基础与宪法依据，而非民法意义上的具有排他性、支配性的“个人信息权”。张翔教授则提出了可在学理上证成的“基本权利束”性质的“个人信息权”，并指出在这一性质的“个人信息权”中涉及的“基本权利束”是在个人信息保护的宪法权利基础意义上使用‘权利束’的概念，而非指向个人信息处理相关的法律权利的集合。

“个人信息受保护权—国家保护义务”框架的着重点在于个人信息保护法的体系建构，强调国家在个人信息处理中对个人的保护义务的履行，虽然可以起到良好的指引、整合和评价作用，但在某些方面存在一定的缺陷。其一，“个人信息受保护权”的提法容易与学界目前以基本权利“主观权利和客观价值秩序”双重性质为基础建构的基本权利功能体系产生混淆。在这一功能体系下，国家的保护义务衍生于基本权利的客观价值秩序功能。而在“个人信息受保护权—国家保护义务”的框架下，为了全面涵括个人信息受保护权的内涵，基本权利作为主观权利的消极防御功能也被纳入在内，这或许会造成一定程度上的理解混乱。其二，因为着重于法律体系的建构，其建构方向趋于宏观，对具体内容及实现方式缺乏进一步的论述，难以起到精细化的规范和指引作用。

而正如张翔教授所言，在互联网、大数据的时代，或许并不是产生了新的“互联网基本权利”“数据权利或个人信息权”，而是所有的基本权利都面临互联网化、数据化或者信息化的场景。包括传统基本权利在内的各项基本权利都可能被动地在信息化场景下与宪法教义学上建构起来的个人信息权发生关联。因此，以“基本权利束”性质的“个人信息权”为理解前提，在宪法学理上明确个人信息权基本权利地位，但在具体保护上纳入不同基本权利条款，作出区分化、差异化的多层次构造的保护方式更容易理解，也更具可操作性。本文在此采用张翔教授的观点，以“基本权利束”性质的“个人信息权”作为统一表述。

2.个人信息权的规范依据、保护范围及功能定位

(1)规范依据

作为一种新兴权利，个人信息权并未被明确规定于宪法之中。现阶段修改宪法虽不现实，但可以通过宪法解释的方式将个人信息纳入基本权利的保护范围，这也是域外大多数国家的做法。其一，人权条款可为个人信息保护提供存在空间。《宪法》第33条第3款规定：“国家尊重和保障人权”。这一概括性条款向来被视为宪法未列举权利的栖身之所，且人权条款位于宪法“公民基本权利和义务”章的第1条，为整个基本权利章的解释提供了新的评价关联，在内容和体系上可起到良好的统领和辐射作用。个人信息关涉个人人格尊严、隐私、生活安宁等多重权益，纳入人权保护自不待言。此外，上述提及的个人信息保护中出现的新情形也要求国家在这一问题中同时承担尊重和保障的双重义务，这恰与人权条款的要求相契合。其二，现有具体基本权利条款可为个人信息保护提供详细的规范指引。人权条款虽为个人信息保护提供了容身之所，但因其过于宏观和抽象，难以提供具有操作性的实践方案。而正如前文所言，在信息化场景下，多项基本权利都可能和个人信息权发生关联。个人信息关涉个人人格、隐私、通信自由和通信秘密等多重利益，可被进一步纳入以下基本权利条款的保护范围。1)人格尊严。《宪法》第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”除了姓名、肖像、隐私等明显含有人格利益的个人信息，在各类信息技术的加持下，个人信息之上所包含的人格利益还可能以其他形式得到体现。有学者将其概括为基于人的尊严而派生出的个人自治(自由)、身份利益(正确识别)、不歧视(平等)利益。个人自治(自由)是指数据主体在个人数据处理中的主体地位不能丢失，需要对自身个人数据有一定的控制力，可以自主决定个人数据处理的相关事项。至少包括：数据主体有权了解其个人数据被收集和处理和应用的情况；数据主体依其自由意志通过个人数据的展现创造、建构、定义自我；不因自身个人数据的分析和利用而被引导、强化甚至操纵个人偏好，影响自身自主选择和行为自由；有权拒绝个人数据自动化收集、处理、分析和决策，防止自身自主意志被忽略，仅被视为客体对待；不因人格画像的存在而被监视等。身份利益(正确识别)是指描述数据主体的个人数据应全面、准确，尽可能保证数字人格与自然人格的高度协调统一。如在对数据主体进行人格画像时尽量做到真实反映，防止对自然人格的差异化甚至扭曲呈现进而导致人格贬损。不歧视(平等)是指不因数据主体在某些方面透露的个人数据的差异性而遭到不平等对待，如社会分选、算法歧视等。将个人信息保护纳入人格尊严条款之下应无争议。2)通信自由和通信秘密。《宪法》第40条规定：“中华人民共和国公民的通信自由和通信秘密受法律的保护……”按照常规理解，个人在日常通信过程中形成的通信信息自然可以划入上述条款的保护范围。实际上，以上条款与个人信息保护的关联已经在《个人信息保护法》起草的过程中得到了肯定。全国人大宪法和法律委员会关于《中华人民共和国个人信息保护法(草案)》审议结果的报告中提到：“有的常委委员和社会公众、专家提出，我国宪法规定，国家尊重和保障人权；公民的人格尊严不受侵犯；公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义，建议在草案二次审议稿第一条中增加规定‘根据宪法’制定本法。宪法和法律委员会经研究，赞同上述意见，建议予以采纳。”

除上述提到的几种权益之外，在数据时代，个人信息之上也衍生出了财产利益。这种财产利益不仅包括单个、零散的个人信息所具有的微小财产价值，更包括因信息处理者对包含个人信息在内的数据集合意义上的大数据的广泛、深入运用而衍生出的巨大财产利益。但受限于个人数据人格属性对财产属性的制约、私法上财产权具体实践的局限及个人数据财产价值的聚合性，个人数据之上的财产利益无法被纳入宪法上私有财产权的保护范围，而是需要依托社会主义公共财产相关条款，借助国家所有的路径方可实现。

(2)保护范围

在宪法层面上的个人信息权被提及和论证之前，民事权利性质上的个人信息权一直处于主导地位。但民法作为私法，只能调整平等主体间的法律关系，难以涵盖个人信息保护的全部内容。基本权利意义上的个人信息权则需要将所有可能的侵害风险源都纳入考虑，对个体形成一种全面的保护。具体而言，个人信息权所要防范的是与信息主体之间存在持续性不平等关系的数据权力的侵害，具体包括以下以下两种：一是以互联网平台为主的数据企业等商业性组织代表的数据私权力。如前所述，在个人信息处理中，互联网平台基于自身资源优势已具备了如同国家公权力般的数据私权力，可能会对信息主体造成支配和压迫，进而侵害其权益。二是以国家机关为主的履行公共职能的公权力主体代表的数据公权力，其中也包括提供公共管理和公共服务的各类组织。为了更好地实施公共管理、提供公共服务，政府等收集了公民的大量个人信息，涉及个人身份、家庭关系、工作情况、医疗教育、劳动保障、税收缴纳、信用情况、守法情况等，基本涵盖了个人日常社会生活的全部方面，且形成了多个巨大的数据库。作为基本权利最原始的作用对象，国家公权力的侵害风险理应引起足够的重视。除了来自上述两类数据权力的威胁之外，在全球化背景下，数据跨境流通不可避免，因此信息主体还会受到来自域外信息处理者的侵害，其也应被纳入个人信息权的保护范围。综上，基本权利意义上的个人信息权不仅保护信息主体免受来自传统国家公权力的侵害，还对来自社会私权力及域外信息处理者的侵害行为进行规制，对个人形成了一种全面、系统的保护。

(3)功能体系

按照传统基本权利理论，基于基本权利的双重性质，基本权利通过防御权功能和国家保护功能发挥作用。但在个人信息保护中，面对日益强大的数据私权力，上述两种功能已不能实现保护目的的完全覆盖。

基本权利理论最初仅通过防御权功能调整“国家-私人”之间的二角关系，后来又通过国家保护功能将调整的范围扩展至“私人-国家-私人”间的三角关系。在这种三角关系中，本质上处理的仍是“私人-私人”间的私法关系，只不过需要借助国家这一媒介。随着社会的不断发展，这种“私人-私人”间的关系发展出了许多不同的情形。一是纯粹的平等私人主体之间的基本权利冲突或基本权利价值的维护问题，如开启德国基本权利私人间间接效力先河的“吕特案”及德国2001年的“婚姻协议案”；二是个体性的或偶发性的不平等私人主体之间的基本权利侵害问题，如德国1993年的“担保案”；三是处于持续不平等地位的私人主体之间的基本权利侵害问题。个人信息保护就涉及了以上第三种情形。面对社会私权力兴起的事实，“私人-国家-私人”的三角关系已进一步具体化为“私人-国家-社会私权力主体”之间的三角关系。因为在国家保护功能下，并未对上述关系情形作出区分，所以在面对形式上平等、实质上已严重不平等的私人和社会私权力主体间的关系时，国家保护功能下的基本权利私人间效力理论已无法妥善应对。为了更好地处理社会中私主体间发展出的新的关系形态，基本权利应更加积极地介入社会，发展出平衡社会之功能。

综上，除防御权功能和国家保护功能外，基本权利意义上的个人信息权还需另外发展出平衡社会之功能。但因为这一功能主要源于基本权利私人间关系中的某种特定情形，所以其重点只在于强调基本权利应更加积极地介入社会、矫正不平等私人主体间关系，并不能发展出新的功能体系。其功能仍需通过基本权利的防御权功能和积极保护功能方可发挥，但需要对一些内容作出增补和修改。具体而言，主观防御权功能需要同时将国家公权力和数据私权力纳入规制；国家保护功能除了传统的作用方式，还要结合个人信息保护的具体问题进一步更新保护方式，增强保护强度。

三、基本权利社会平衡功能在个人信息保护中的具体实现

法律是调整社会关系的总和，需要随社会变迁不断发展。进入数字社会，国家、社会主体和个人在个人信息处理和利用上的利益分化和不同价值追求，个人信息处理和利用的复杂风险，以及拥有数据私权力的互联网平台这一国家之外的新的“利维坦”的威胁，都要求基本权利积极介入数字社会，将数字社会纳入调控范围，进一步实现社会平衡。现代宪法基础理论和基本权利框架体系、内容及功能定位都需要作出相应的发展和革新方可实现有效应对。

(一)规制理念和框架的革新：由二元平面关系向三元立体关系的转变

为了满足现代社会中日益多样的利益和价值需求、应对各种复杂的社会关系，社会内部逐渐分化出了功能各异的社会子系统，并以各自特定的沟通符码和媒介独立运行。除政治系统外的其他社会子系统也得以茁壮发展，积蓄了巨大的社会能量，滋生出了新的社会权力，对个体自由造成了侵害。与之相应，国家之外的社会主体在公民日常生活中也扮演着越来越重要的角色。对宪法和基本权利理论而言，这意味着其作用对象不应再仅限于拥有公权力的国家，还应将社会纳入统一调控。在此基础上，宪法处理的关系需要从“个体(社会)-国家”的二元平面化关系发展为“个体-社会-国家”的三元立体关系，具体包括个体与个体间的关系、个体与社会的双向关系、社会与国家的双面关系及个体与国家间的关系。“国家权力-个体权利”的传统二元框架也应扩展为“个体权利-社会权力-国家权力”的三元立体框架。基本权利不应再仅限于防范政治系统对个体自由的侵犯，而应着眼于调控社会，维系社会各子系统的功能分化，并防止因社会子系统内在扩张而引发“去界分化”的危险。具体而言，应着重加强对社会权力的直接防范，防止因社会权力可能引发的“去界分化”危险。

前述提到的数据私权力就是社会权力的典型代表。随着各类信息技术的不断发展，互联网早已不仅是一项技术手段，更形成了一个运作封闭、认知开放的社会子系统，并通过代码实现自我奠基和自我限制。但这种单向度的代码运作激化了系统的扩张趋势，给以互联网平台为主要权力作用场所的数据私权力主体提供了权力侵犯的可能。具体表现为数据私权力主体借助代码运作将自己的意志强加给处于持续性不平等地位的信息主体，产生了侵犯其个人信息权的现象。就此，宪法应该更深入、更直接地介入社会关系的调整。一方面，应进一步加强基本权利作为客观价值秩序所要求的国家保护义务，禁止保护不足，通过不断更新立法等手段实现对个人信息的全面保护。另一方面，应摒弃仅通过对传统理论进行完善和修补来应对新兴问题的单一思维，积极冲破传统基本权利二元框架的架构束缚，在某些关键性方面尝试作出一些突破，如在数据私权力现实存在的情况下，基本权利是直接调整还是仍必须通过媒介调整处于持续不平等地位的私人主体间的关系，已成为宪法基本权利理论不可回避的问题。

(二)国家保护义务的加强

如上所述，个人信息的大规模电子化处理导致了难以预估的个人信息泄露、滥用风险，且作为仅拥有有限理性的个人无法有效控制和应对这些风险。在此基础上，基于基本权利客观价值秩序衍生的国家保护义务便在客观上要求国家建立相应的风险预防机制。预防一直是公权力的一种手段，起初一般仅限于震慑违法和抵御危险的传统领域，但在社会复杂性不断提升、社会自我调控失灵的背景下也出现了扩张和转向的趋势，开始涉及社会影响广泛的医疗、环境等领域，以避免不愿看到的各种情势。随着计算机、互联网等信息技术引发的个人信息处理、利用风险的不断加剧，个人信息保护的问题也进入了风险预防的视野。与民法上的事后救济手段不同，预防强调的是防患于未然，具体到个人信息保护领域，就是要将个人信息保护的理念贯穿于个人信息处理、利用的全过程，最大限度地降低个人信息泄露和滥用的风险。

在风险预防的视角下要着重加强个人信息处理和利用过程中的风险预防和应对。第一，个人信息保护应采取综合规制的路径，注重公私法保护的协调，在现阶段尤其要注意处理好《民法典》和《个人信息保护法》的关系。《个人信息保护法》不是《民法典》的民事特别法，二者也不能都被视为基本法。二者在调整范围和调整方法上存在明显差异，应根据实际情况分别适用或相互补充、转介，如在数据私权力主体崛起的背景下，在处理表面上平等的私主体间的信息处理关系时应将基本权利的价值要求直接注入其中。不能仅依靠民法上的平等协商路径，而应借助公权力对个人信息处理和利用中的风险进行综合控制，防止歧视、不公等行为的出现。这时民法典的一些规定可能不再适用，需要借助个人信息保护法进行补充。第二，进一步强调和完善行政规制路径。与仅具有有限理性的个人相比，行政规制在个人信息保护中存在专业和信息优势、预防和处理系统性侵权的效率优势及形塑一般性规则的功能优势，能够更好地应对个人信息处理和利用各过程中的各种风险，更好地实现各方利益之间的平衡。自2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》起我国就开始尝试通过行政手段防范、制止和查处与个人电子信息相关的违法犯罪行为。2016年《网络安全法》虽未直接提及个人信息，但个人信息保护作为网络安全的重要组成部分也可被纳入其中。该法第八条第一款规定由“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。”2021年《个人信息保护法》第60条第1款规定：“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。”由此可见，我国一直在探索个人信息保护的行政规制路径，并初步形成了国家网信部门统筹协调，国务院有关部门分工合作的模式。面对个人信息处理利用中的风险，应结合其所具有的不确定性特点对作为基本权利的个人信息权进行动态保护，及时更新规制理念和规制措施，提高规制手段的灵活性，实现动态保护，更好地发挥行政规制手段在个人信息保护中的作用。如当发生大规模的数据泄露等问题时可以采取比日常更加迅速、严厉的临时性措施，将信息泄露可能导致的风险降至最低水平。第三，积极引入隐私设计理念，实现通过设计的个人信息保护。基本权利通过结构耦合的方式将法律系统和其他社会子系统联系在一起，并将其他社会子系统的信息转换到法律系统当中。隐私设计理念强调以预防而非补救的方式将隐私作为默认设置嵌入设计之中。按照这一理念，在初始就应将作为基本权利的个人信息权的要求通过设计，借助代码等形式嵌入系统之中，使之成为互联网系统运行的默认规则，既给予个人信息以前置性的、全生命周期的保护，又维护信息主体和信息处理者的利益，实现多方共赢。第四，进一步强调信息处理者的风险防范义务。通过对个人信息的收集和处理利用行为，个人信息处理者一方面获得了巨大的利益，另一方面也极大地增加了个人信息被泄露和滥用的风险。无论从利益获取还是从责任分配来看，其都应承担起相应的风险防范义务。政府等国家公权力主体的个人信息处理利用行为一般以其法定职权为限，且需要遵循法律规定的权限和程序，可在一定程度上规避相关风险。相较而言，互联网平台等私数据权力主体的风险防范义务更应进一步作出强调。一方面应通过立法对其风险防范义务作出明确规定，另一方面应通过行政监管等手段督促其风险防范义务的具体落实。目前个人信息保护法在这方面已有所涉及，未来应通过制定具体的实施细则等方式作出进一步明确。

(三)基本权利私人间效力理论的推进：对数据私权力主体的直接效力

1.规制数据私权力主体的传统路径及其局限性

在传统基本权利理论下，现有学者将对数据私权力主体的规制纳入了基本权利客观价值秩序要求的制度性保障、组织和程序保障及侵害防止义务中。这些措施的重点在于搭建“个人-信息处理者”之间的权利义务关系结构、为国家保护义务之落实需要的担保性和辅助性制度提供组织和程序设计、通过构建预防机制和协同法律责任以营造个人不受数据权力侵害的法秩序环境，其目的在于为个人信息保护法律体系建构宪法上的基础，提供总体性、宏观性的安排，并未对数据私权力主体的规制提供另外更具特殊性和针对性的应对方案。

除此之外，前述提及的德国基本权利私人间间接效力理论及美国国家行为理论本也可用于处理数据私权力主体与信息主体之间的关系，但因为上述理论忽视了社会权力兴起的事实，仍是在“国家权力-个体权利”的二元框架中具体展开，强调基本权利的直接作用对象仅限于国家(公权力)，即使处理私主体之间的关系也要以国家为媒介才能进行。对此，有学者将其总结为“国家中心范式基本权利私人间效力理论”，并指出这是回应“对基本权利的威胁不仅来自国家，而且来自强势私主体”问题的理论尝试。可是，受范式的惯性影响，既有理论虽然承认社会权力威胁基本权利这一现实，但在理论建构上否认基本权利对私主体的直接效力，因此其本身就存在理论形式和实质名实不符、目的和手段匹配不够、回应法律变迁不力等缺陷和不足。在个人信息保护中，主要体现在以下几个方面：第一，在证成基本权利意义上的个人信息权对数据私权力主体的效力时没有直接的宪法基础，仍然需要借助国家这一媒介。第二，无法涵盖个人信息保护的所有环节。个人信息保护是一个十分复杂的问题，需要国家、社会等多方主体共同参与，通过立法、司法、企业自我规制、社会规制等多重途径实现。然而客观价值秩序间接效力论和国家行为论仅涉及司法环节的保护，将立法保护排除在外；国家保护义务间接效力论虽包含立法、司法的各个环节，但在司法中适用与否同样依赖信息主体是否起诉这一要素，即只有信息主体选择诉诸法院寻求救济时才能得到保护。此外，因国家义务论强调只约束法院这一国家机关，也使得民间调解、仲裁等社会性纠纷裁决机构缺乏了将基本权利适用于私主体关系的依据。第三，无法对数据私权力主体的强大优势地位作出清晰说明和妥善安排，无法为现有法律的部分规定提供强有力的理论基础和解释依据(将在下文进一步说明)。第四，在面对“个体权利-国家权力-社会权力”这一更加特殊、明确且固定的三角关系时未对基本权利在私人间适用的范围和条件作出进一步界定，容易导致实际运用过程中的泛化和混乱。

2.基本权利对数据私权力主体直接效力的适用前提及优越性

面对日益崛起的社会权力，尤其是典型的数据私权力，基本权利应更深入、直接地介入社会关系的处理，发挥基本权利平衡社会之功能，实现各方利益平衡。具体到个人信息保护领域，应确立基本权利对数据私权力这一典型社会权力的直接效力。

其一，基本权利对数据私权力主体直接效力的适用前提在于对数据私权力的界定，在个人信息保护中则进一步具体化为对互联网平台等信息处理主体的能量要求。按照前述界定，并非所有的互联网平台都能够达到数据私权力主体的标准。只有主要业务涉及个人信息处理且满足具备雄厚实力、提供重要的互联网服务、用户数量巨大、数据处理规模巨大等条件的、具备一定公共性的互联网平台才有可能被界定为数据私权力主体并被科以更重的注意和保护义务。《个人信息保护法》就对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当履行的义务作出了专门规定。《信息安全技术个人信息安全规范》的某些规定则更加详细，在“组织的个人信息安全管理要求”部分要求“主要业务涉及个人信息处理，且从业人员规模大于200人”“处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息”“处理超过10万人的个人敏感信息的”组织应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作。这实际上是对某些具备数据私权力的个人信息处理主体提出了更高的个人信息保护的要求。在之后的立法中可结合以上标准对数据私权力主体作出更加详细、明确的界定，以作为基本权利对数据私权力主体直接效力适用的基本前提。

其二，确立基本权利对数据私权力主体的直接效力有其自身的理论和实践优势。(1)基本权利对数据私权力主体的直接效力与基本权利的本质相契合。存在权力即可能存在滥用，基本权利的意义在于防范一切形式权力的侵害，防范数据私权力也应是基本权利内涵和本质的应有之义。(2)基本权利对数据私权力主体的直接效力是对社会权力兴起的直接回应，理顺了“个体权利-社会权力”间的关系，为基本权利在私人间的适用提供了直接的宪法基础，不必再以国家为媒介进行转化，可同时统摄立法、司法等保护环节。在此基础上，一方面可以突破传统二元框架中只能将对数据私权力主体的规制纳入基本权利客观价值面向衍生出的以国家为媒介的保护措施中的局限，发展出如对国家公权力的主观防御权面向，对互联网平台等数据私权力主体的个人信息处理行为产生直接的规制效果，而无须再以国家为媒介通过国家保护功能进行转化。如此信息主体可以直接向数据私权力主体主张其基本权利，畅通其对数据私权力的效果，加强对数据私权力主体不得肆意侵犯数据主体个人信息权的强调和要求，为信息主体防范数据私权力主体对其个人信息权的侵犯搭建起更加完整的框架，提供更加全面的保护。另一方面可以为现有个人信息保护法律中的某些规定提供宪法上的基础，理顺立法逻辑，畅通法律运行。如《个人信息保护法》中总则、个人信息处理规则及个人信息处理者义务部分的一些规定并未对国家等公权力主体和互联网平台等私主体作出区分，而是进行了统一要求。该法第5条规定，“处理个人信息应当遵循合法、正当、必要和诚信原则”；第6条第2款规定，“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”；第7条规定，“处理个人信息应当遵循公开、透明原则”、第17条规定，个人信息处理者在处理个人信息前应履行充分告知义务；第24条规定，“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇”。以上规定实际上涉及了比例原则所要求的必要性原则、最小侵害原则，正当程序原则所要求的公开、透明、告知等义务以及平等保护原则所要求的公平、公正、禁止歧视等义务。而这些都是公法上的义务，按照传统理解，互联网平台作为私主体，本可不必承担。此外，对个人信息处理者科以的采取各种措施保证个人信息权利实现的义务也打破了私主体之间基于契约合意的权利义务关系，体现了浓厚的公法规制逻辑。由此可见，在制定法律的过程中，立法者已经意识到了互联网平台这一私主体在个人信息处理问题中所具有的类似国家公权力的数据私权力，并作出了相应的安排，使得个人信息保护的许多规定染上了明显的公法色彩。基本权利对数据私权力主体的直接效力就是在宪法理论上对这一现象作出的有效回应，可以为其提供根本法上的基础。

3.基本权利对数据私权力主体直接效力的具体操作
其一，基本权利对数据私权力主体的作用方式需要进行一定的限定。数据私权力主体毕竟是私主体，其所拥有的数据私权力也仅是一种事实上的权力，在能量上与国家公权力仍存在一定的差距，不能直接套用基本权利对国家公权力效力的作用方式，在具体建构时应作出针对性的安排。按照现在通行的基本权利双重性质理论，数据私权力主体需要承担基本权利作为主观权利所要求的不得肆意侵犯和作为客观价值秩序所要求的积极促进基本权利实现的双重义务。鉴于数据私权力的“私”权性质，以上两方面的义务都应有所减轻。从基本权利发挥作用的机制来看，虽然基于其“权力”主体的地位，要求其遵循公法上原本仅针对国家公权力的比例原则、正当程序原则、平等保护原则等要求，但在具体操作机制上应有差异化的体现，“合乎比例地减弱社会权力型信息处理者承担比例原则、正当程序原则等公法义务的强度，形成义务强度的梯度秩序”。对比例原则的适用，“应从尽可能减少干预的取向转变为以协调所有人平等的自由为取向”，以矫正双方的不平等地位、实现双方利益的动态平衡为限。例如，国家公权力机关处理个人信息主要应遵守法律规定，在法定职权范围内进行。但对数据私权力主体而言，对其处理目的、处理范围等的要求可适当放松，避免过分僵化的控制，而将规制重点置于处理行为之上；对其遵守正当程序的要求，应主要限于告知、说明理由，提供必要的救济手段等程度，而非如对国家一般的全面控制和救济。

其二，基本权利对数据私权力主体的直接效力可依托具体制度加以实现。基本权利直接效力落实到具体制度方面，最直观的体现就是是否可以将某一主体的侵害行为纳入宪法上的救济程序，如对作出侵害行为的主体提起宪法诉讼，并直接适用宪法规范作出裁判。尽管我国并未建立起宪法诉讼制度，但自十九大报告提出要“推进合宪性审查工作”以来，学界研究和实践制度已在不断推进。其中尤以备案审查工作取得了巨大的进展，成为推动合宪性审查制度建设的重要抓手。未来对数据私权力主体的规制也可纳入合宪性审查的具体机制运作，如可以要求互联网平台等数据私权力主体将其制定的涉及个人信息处理的平台规则移交相应的个人信息保护监管部门备案，以备审查。

4.基本权利对数据私权力主体直接效力的存在空间

基本权利对数据私权力的直接效力存在理论上的基础和教义学上的存在空间。“权力不必然指向公权力，私主体同样可以行使权力，即私权力。公权力与私权利的二分法，建立在国家与社会二分的基础上，已越来越不适应互联网时代的新变化。”同时，“一切有权力的人都容易滥用权力，这是万古不易的一条经验”。因此，基本权利的意义也绝不能仅限于防范国家公权力的侵犯，对于一切可能侵犯个人自由和权利的达到一定程度的权力都应加以防范。这是基本权利内涵及本质的应有之义。对于社会权力的防御，确立基本权利对社会权力的效力应是解决问题的基本方向。根据前述分析，互联网平台不仅拥有了数据私权力，且这种私权力在某种程度上达到了公权力所具有的公共性，并同时具备了广泛性和持续性的影响力，产生了不亚于国家的强力，可以纳入宪法上基本权利的规制范畴。我国宪法序言第 13 自然段后半段、总纲第 5 条第 4 款、基本权利和义务一章第 51 条对私主体“遵守宪法”和公民基本权利限制概括条款的规定则表明基本权利可以对私主体的行为及私主体之间的关系产生约束力，实质上包含了基本权利在私主体间具有直接效力的规范内涵，可以为基本权利对私人的效力提供充分的宪法依据。

结语

基本权利理论的发展和革新是学界持续关注的动态发展问题，数字时代出现的新的社会现象既给传统基本权利理论带来了全新的挑战，也为其发展提供了新的动力和方向。数据私权力的兴起及个人信息保护问题的复杂性是社会复杂性不断提升，社会内部利益分化与冲突，社会各子系统茁壮发展的典型体现，对基本权利社会平衡功能提出了要求和召唤。本文仅就此问题作出了初步的探讨，未来应综合基本权利理论的最新发展、个人信息保护问题的最新动向及合宪性审查制度的最新安排作出更加深入、具体的研究。

（马康凤，山东大学法学院宪法学与行政法学专业博士研究生。）

【本文系阐释党的十九届四中全会精神国家社科重大项目“宪法实施保障机制的中国特色与制度建构研究”(项目批准号：20ZDA030)、教育部人文社科重点基地重大项目“新时代智能社会背景下人权和基本权利的新发展”(项目批准号：19JJD820011)的阶段性研究成果。】

Abstract：The main function of basic rights，is defending against the public power of the state.The traditional theory of basic rights constructs logic based on the dualistic framework of“state power and individual rights”，and deals with the dualistic horizontal relationship between“the state and individuals”. However，the increasing complexity of modern society has led to the emergence of different interests and needs within society and the formation of new social powers，resulting in an unequal relationship between private subjects.In the digital era，this phenomenon has become particularly prominent，evidenced by the rise of data-based power and the frequent and serious intrusion of personal information by private subjects.In this context，the value of basic rights should radiate within society and function as a balancing force.Taking the protection of personal information as an example，while innovating the idea of regulating society through basic rights，the state’s obligation to protect personal information should be further strengthened.Meanwhile，the direct effect of personal information rights，as a basic right of human beings，on the private subjects of data rights should be established，so as to realize its function in balancing the interests of all parties in society.

Keywords：Basic Rights；Data-based Power；Protection of Personal Information；Direct Effect

(责任编辑  李忠夏)