问题的提出

“数据权利是数据主体的权利，是一项自然人的基本权利”。数据是个人信息、资料和档案，数据权利指个人对自己数据享有的所有权和处分权。我国法律和《欧盟通用数据保护条例》(以下简称GDPR)都对数据权利的这一性质作出了规定，说明数据权利具备宪法属性。离开这一基本认知，任何对数据权利的讨论都将偏离常识，并有可能步入歧途，影响对数据权利的全面保护，包括公法和私法保护。

宪法规范逻辑是指数据权利的宪法规范依据、规范属性、规范领域和保护措施。目前，国内学界对数据权利的概念、性质和内涵的界定都存有一定的偏颇之处。这些偏颇主要集中在以下五方面：一是在对数据权利属性的界定上，一些研究将数据权利仅认定为私法权利或者民事权益，而不将之作为宪法权利、公法权利或者基本权利。二是在对数据权利主体的认定上，一些研究认为数据权利主体不仅是自然人，还包括法人、数据控制者、数据处理者，这是不正确的。三是在对数据权利价值属性的认定上，一些研究热衷于争论数据权利究竟是人格权、财产权，还是隐私权，忽略了数据权利复合宪法价值属性之特质，即数据权利集人身、精神、财产于一体，如更正权具有人身属性，被遗忘权体现人格价值，可携带权具备财产品质。四是一些研究很大程度上混淆了数据权利与数字权利的差异，将数据权利等同于数字权利。五是一些研究忽略数据权利在我国宪法上的规范依据，表现为将单一宪法规范作为数据权利的宪法依据，或者错误解释宪法条款，或者以外国数据法律作为法律依据。上述种种，总体上尚缺乏宪法关系(法律关系)的分析维度或者视角，其结果不利于我国推进对数据权利的综合保护。数据权利属于宪法基本权利，须从基本权利的一般原理予以分析才能窥其堂奥。值此国家机构改革成立“国家数据保护局”之际，实有必要以我国宪法和法律规范为依据，运用基本权利原理，借鉴比较法成果，从宪法关系的角度探求数据权利保护的宪法规范逻辑。

一、宪法权利而非仅为私法权利

虽然“宪法权利”和“基本权利”的称谓有所不同，但是，“基本权利”一词既昭示了数据权利的宪法性质，也表明该项权利在一国的宪法地位，表明数据权利虽未必由宪法规定，亦非宪法赐予，但须由宪法保护。

数据权利是当然的宪法权利，也是不证自明的基本权利。其一，数据权利从属于个人自我决定，是人之为人之基本权利。人之为人是指个人生而有之，每个人甫一降生，就具备不同于他人的品质，这些品质是以数据形式表现的，包括出生日期、父母、基因、血型，乃至性别、容貌、喜好等。其二，世界多部宪法早就规定了作为个人资料和隐私的数据权利。其三，我国多项宪法条款隐含着数据权利内容。如人权、人身权、财产权、人格尊严、住宅、通信自由和通讯秘密。早在1993年，俄罗斯联邦《宪法》第二十四条第一款规定：“未经本人同意不得搜集、保存、利用和扩散有关其私生活材料”。该宪法不仅规定了个人数据权，而且确定了该项权利的保护原则，即同意原则，说明个人数据权早就被宪法承认，其为个人一项基本权利乃为不争的宪法事实。起草于2000年、2007年作为《里斯本条约》组成部分的《欧盟基本权利宪章》同样如此，该宪章第八条规定了个人数据保护即个人信息保护(protection of personal data)，并且明确规定了删除权(被遗忘权)、同意原则。该条第一款规定：“人人均有权享有个人信息(data)之保护”，第二款规定：“此等信息应仅得于特定明确目的，且于信息所有人同意或其他法律规定之正当依据之下，公平地被处理，人人均有权了解其个人信息，并有权要求销毁其个人信息”。2018年颁布的GDPR第一条第二项规定：“本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利”。有学者认为，“规定在宪法中的GDPR将数据权利上升为基本权利源自宪法对公民人格尊严保护的法理，为个人数据安全、信息和隐私保护制定了很高的标准”。诚哉斯言！作为“数据保护法”在21世纪的一个现代化版本，GDPR只是统一了欧洲各国的数据保护标准，且为欧盟史上最严的一部个人数据保护规则而已。这说明，数据权利保护是无法离开宪法单独进行的，尽管目前数据权利研究较多见诸部门法，特别是私法领域。

在我国，数据权利是否为一项基本权利或者宪法权利已有讨论，但相关理论尚不清晰，如仅将宪法委托、制度保障、社会保障理论作为宪法规范依据，或者认为数据权利仅为人格权或者财产权等，不一而足。虽然现有研究开始主张给予数据权利以公法保护，但相关讨论尚处于起步阶段，有关概念、性质、内涵皆未形成共识和定论。可以肯定的是，数据权利并非我国宪法明示的概念，而是隐含在相应的宪法规范之中。同时，数据权利是一项基本权利，并不仅仅在于该项权利是明示宪法权利还是未列举的默示宪法权利，而是须从宪法关系入手，通过探讨垂直意义上国家和个人的法律关系，揭示数据权利既须作为防御权以抵制公权力侵犯，亦须透过客观规范分析水平意义防止私人之间的侵权，以此完成对数据权利的双重保护，即公法保护和私法保护。

数据权利的英文为data right，GDPR称其为“数据主体的权利”(right of the data subject)，或者“个人数据保护权”(the right to the protection of personal data)，指数据主体就其个人数据所享有的权利。在我国，这一概念是2020年7月全国科学技术名词审定委员会批准发布的大数据新词。2022年7月25日，最高人民法院发布《最高人民法院关于为加快建设全国统一大市场提供司法服务和保障的意见》(以下简称《意见》)。《意见》明确提出了“数据权利”这一概念，指出要依法保护数据权利人对数据控制、处理、收益等合法权益。2022年12月19日，中共中央、国务院发布《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》。除宪法默示规范之外，《数据安全法》、《网络安全法》和《个人信息保护法》提供了数据权利的规范依据。2021年颁布的《数据安全法》第七条规定：“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。”《网络安全法》第四章“网络信息安全”规定了个人信息即数据保护。实际上，数据权利和个人信息权是一个概念。只不过，数据是客观的，个人信息是特定的，也是可以识别的，与特定个人身份相联系的数据就构成个人信息。例如，血型是数据，当其与特定个人相连时就成为个人信息。这也是为什么《个人信息保护法》规定的信息保护原则适用于数据权利的原因。就其理论研究而言，早在2018年，我国学者就提出了数据权利的概念，其他学者相继发表了有关数据权利的文章，这些研究初步形成了数据权利的基本理论框架。综合数据权利的规范属性，可得出以下结论：数据权利是一项宪法基本权利，且为自然人的基本权利。目前，有学者认为，“数据权一般被认为是数据控制者对数据的占有、处理、处分的财产权。……数据权的主体为数据控制者，并不仅限于自然人；数据权的客体必须排除个人信息，只能是不可识别特定个人的电子数据；数据权性质上是财产权而非人格权；数据权内容上体现为财产权的占有、使用、收益、处分的权能，并不具有个人信息权的知情权、更正权、删除权、封锁权等权能”。该定义几乎在所有方面都是不准确的。

第一，将数据权利和个人信息权截然分开，排除数据权利包含知情权、更正权、删除权是不妥当的。不论是GDPR，还是我国相关数据法律，都认定数据权利和个人信息大致相同，且两者都包含更正权和删除权。例如，著名AI专家李开复将GDPR译为《一般资料保护规则》，称其为个人隐私保护的最严法规。他说：“《一般资料保护规则》是一套保护个人隐私和资料的新规，旨在帮助人们重新收回对个人资料的掌控权。”这说明，“数据”不过是个人资料、信息和档案而已。

第二，认为数据权利的主体是数据控制者是不正确的。该观点认为“任何占有、使用他人资料和数据的主体都是数据权利主体”。无论GDPR还是我国的相关法律，都认定数据权利的主体是自然人，数据“控制者”“处理者”是接受数据主体提供数据和信息的“组织”和“机构”，是受数据法律规制的对象，其使用、处理、收集、传播、管理数据必须合规，不得侵犯数据主体的权利。数据立法的目的是保护自然人的数据、信息和隐私安全，也是为了平衡个人数据安全与公共使用即信息自由流动之间的关系。GDPR第一章第一条第三款规定：“本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。”一方面，个人数据属于个人信息，须防止公权力和他人缺乏合理根据的侵犯；另一方面，个人数据须出于公共利益可以公开，如公共卫生、司法审判、档案保护、历史研究等，国家须予规制和保护，故需在防御侵害、公共使用和自由流动之间取得平衡。将数据权利的主体界定为数据“控制者”“处理者”有违该权利作为基本权利之宗旨，不符合数据权利的主体是自然人这一基本认知。

第三，认为数据权利的客体必须排除个人信息，且只能是不可识别的特定个人的电子数据是错误的。这是将数据仅作为财产权保护对象所导致的结果，也是对数据立法的误读。数据立法的初衷既是为了保护个人信息安全，也是为了确保公众自由使用。如果数据权利不包括个人信息，相关立法就失去了意义，数据权利就仅为财产权，失去其人格权和隐私权的特质。此外，认为数据权利仅仅是电子数据也是错误的。无论是GDPR还是我国法律，皆认定数据权的客体既可以是自动处理的电子数据，也可以是档案所保存的非自动处理的数据，还可以是半自动处理的，且必须是特定个人信息。这也是为什么GDPR是1995年《计算机数据保护法》升级版的原因，即GDPR不限于规范电子数据。2022年颁布的《欧洲数字权利和数字原则宣言》序言规定，“采取必要措施以确保欧盟的价值观和欧盟法律认定的个人权利在线上和线下都得到尊重”，正是这一立意。

第四，认为数据权利是财产权而非人格权有失全面。数据权利是一种具备复合价值的权利，既具有人格属性，也不乏财产价值，还是个人尊严、隐私的载体，并包含幸福追求的品质。事实上，GDPR和我国《个人信息保护法》等法律规定是可以终止这些争论的。更正权、被遗忘权是人格、尊严和隐私的体现，可携带权则具备财产权的属性，个人数据不得泄露，但可以出售、转让，获取经济价值和经济利益。这也是最高人民法院明确“数据产权”的依据，也是该规范的基本意涵。无论坚持数据权利是财产权，还是仅认为数据权利是人格权，都存在一定程度上忽略规范本身的弊端。简言之，倘若仔细研读法律规范本身，关于数据权利人格权和财产权之争就可以平息。这也再次印证了美国宪法学家阿基尔·阿玛尔的那句话：“不看规范文字何以推知宪法精神？”

第五，数据权利具有双重属性，既是宪法权利，也是私法权利。依据基本权利原理，个人权利有可能受到来自两方面的侵犯：一为国家或者公权力，一为私人。前者为宪法权利，指国家或者公权力没有合理依据侵犯个人数据权利；后者是私法权利，指平等主体对个人数据权利的侵犯。有学者认为：“从个人信息权益的本质在于保护自然人及其个人利益、个人信息权益处理主体的义务以及民法典中对于个人信息保护的规定来看，程啸认为个人信息权益应属民事权益。”

数据法律的性质决定了数据权利的双重属性。《数据安全法》、《网络安全法》和《个人信息保护法》并非仅为私法，或者民法的特别法，而是既调整公法关系，也调整私法关系的综合性法律。它们和宪法一起，共同构筑了个人数据不受公权力侵犯的规范框架。数字化和智能时代加剧了数据权利法律关系的复杂性，互联网使得个人数据权利有可能受多重主体的侵犯，除私人之外，网络平台的控制者、处理者、企业、各种公权力组织以及国家都有可能侵害个人数据。数据权利不仅需要抵制私人侵犯，亦须抵制数据控制者、处理者、法人、公共机构以及政府的滥用和侵犯。数据权利对抗的不仅是平等主体的自然人和法人，还包括具有公权力性质的实体、组织以及国家机关，故而数据权利不仅是一项民事权利和私法权利，还是一项宪法权利和公法权利；数据权利不仅需要私法保护，还需要公法保护，特别是宪法保护。

作为个人在宪法上的一项基本权利，数据权利在规范公权力方面具有如下功能：一是防御功能，抵制公权力对个人数据权利的非法侵害。该功能要求公权力没有正当理由不得搜集、使用、传播、公开、发布以及过度收集个人数据。国家机关处理个人信息，需有相应的法律依据与授权，须依据法定程序，并在法律规定的范围内进行，这些都构成国家权力的边界，是数据权利的宪法保护。二是受益功能，指国家通过立法保护个人数据权利，包括查阅权、更正权，国家需完善数据权利法律。三是请求权功能。当个人数据权利受到侵犯之时，有权要求国家采取一定措施和手段予以补救。国家须开通申诉、复议等渠道，对侵犯他人数据的行为进行惩戒、处罚和赔偿，补救受侵犯的数据权利。四是组织和程序保障功能，国家需通过立法完善数据权利的组织和程序，建立相应机构如“数据安全局”“网络安全机构”等，并由专门法院受理数据纠纷。五是制度保障功能。要求国家建立数据基础制度，并加强数据立法，完善数据权利保护制度。一般认为，前三者是基本权利作为主观权利具有的功能，后二者是基本权利作为客观价值对部门法的要求，此外，禁止私人侵犯数据权利之国家保护义务则源于基本权利的客观法属性。

作为宪法权利，数据权利还是客观规范和原则，其价值须通过普通法律渗透至生活关系中，制止平等主体之间的相互侵犯。因之，仅有公法或者私法对数据权利的保护都是不足的，提供数据权利的双重保护才是数据权利当有的法学品质与意涵。

二、数据权利的双重属性

客观规范是指基本权利作为客观价值，下位法须予贯彻。数据权利作为价值拘束各部门法，普通法律须贯彻这一最高法价值，通过私法和其他法律完善对数据权利的综合保护，落实国家保护义务。德国联邦宪法法院认为，“基本权利形成一个‘客观价值秩序’，因此也就要求国家在所有生活领域内切实实现这种价值秩序，这就是国家保护义务的教义学基础”。私人、组织、机构、企业、事业单位都须遵守数据权利价值，不得侵犯个人数据权利。《民法典》《个人信息保护法》《数据安全法》《网络安全法》等规定私人、机构、网络平台、数据处理者都须尊重个人数据权利，这些法律共同提供对个人数据全方位的法律保护。

基本权利和客观规范是不同的。基本权利是个人对国家的要求，也是个人针对国家的主观权利，在实行宪法诉讼的国家，基本权利还是个人得向国家主张的请求权。客观规范是一种宪法原则，是位于最高位阶的宪法对国家整体法律秩序的要求，使宪法价值通过立法辐射至普通法律，形成统一的“意义体”。虽然客观规范是德国宪法学上的概念，但是，我国宪法传统也承认宪法是最高法，其原则属性赋予位于金字塔顶端的宪法原则对下位法律的辐射作用。现有研究有两方面弊端：一是对数据权利的宪法解释不充分；二是仅将数据权利视为客观规范，忽视其基本权利的宪法品质。

在解释学上，我国宪法以默示方式提供了数据权利的规范依据。在数据权利领域国内研究者存有狭窄化该权利的宪法规范依据的倾向，表现为要么仅将“人权条款”“尊严条款”作为其规范依据，要么将之诉诸宪法委托、制度保障等理论，不注重其他宪法规范的解释学面向。这一倾向导致两方面的问题：一是不注重“基本权利”与数据权利的关系；二是客观上将数据权利视为客观规范，泯灭了其作为基本权利的宪法品质。宪法委托、制度保障等分析模式降低了数据权利的宪法地位，将数据权利的性质引向客观规范和国家保护义务，使得数据权利仅落入到普通法律和部门法的保护范围，摒除了数据权利抵制公权力侵犯的宪法本质。数据权利固然须籍由普通法律如民法等规范加以私法保护，部门法亦负有通过立法贯彻宪法价值以制止私人之间侵权的国家保护义务，但是，基本权利作为防御权抵制国家和公权力侵犯的宪法品质是客观规范所不能替代的。进一步而言，无论是宪法委托理论，还是制度保障理论，都是从宪法之于法律秩序的任务角度进行分析，而非个人与国家之间的宪法关系予以分析。这是数据权利仅被视为客观规范的原因，也是部门法雄霸数据权利研究的理论盲区。究其实质，则可归因于宪法解释理论乏力，没有从解释学的角度审视我国宪法的基本权利条款，舍近求远，借助宪法委托和制度保障赋予数据权利以客观规范地位，从而忽略了数据权利的基本权利属性。除《宪法》第三十三条第三款规定的“国家尊重和保障人权”之外，下列基本权利条款是数据权利的宪法规范法源，说明数据权利并非仅是客观规范，而且是基本权利和宪法权利。

(一)“人格尊严”之数据尊重

尊严是数据权利的宪法规范之一。我国《宪法》第三十八条规定的人格尊严条款具有双重性，既包含了人格完整，也包含了对个体的尊重。该条是一个独立的宪法规范，是数据权利的规范依据之一。

个人数据具有独一无二之属性，是人之为人的具体化，区别于其他个体，个人数据既是不可复制的，也是不可模仿的，从属于人的固有尊严。理论上，康德著名的“每个人是目的，而非手段”论断赋予尊严以内涵，说明个人只能是主体，而不能作为客体或者手段被利用。尊严理论在德国宪法上发展为“客体公式”，指明人只能是自己的主人才符合人自身的尊严，即“个人作为人本身处于中心并以其人性得到尊重和承认”。人是他自身，人是人的未来。个人是他自己命运的主宰，须依据自身的规定性发展自己，否则就是手段和客体，就是对尊严的侵犯。国家不能偏离人的个性发展这一目的，否则个人“就会停留在单纯客体的地步，停留在作为没有发挥的潜在变化力量或者作为可交换的批量物品被人支配的地步”。尊严作为基本权利是在二战之后的国际文件中得到确认的，其与古典时期的天赋人权截然不同。天赋人权中的“天”指自然，是造物主，是独立于人的意志之外的超验力量。尊严并不独立于个体之外，而是存在于个体自身，是基于世俗社会独立的个人的自主特性而拥有的，故既非天赋，亦非假设，而是内在于人的本质，因而是固有的。日本宪法上的尊严既是对全体主义的克服，也是对利己主义的超越，其思想立基于个人主义。日本宪法学家宫泽俊义指出：“‘作为个人而受到尊重’表明了个人主义的原理。”无论更正权、被遗忘权，还是反对权，都表明个体有权通过自主意志维护个人数据的机密性、完整性和可用性，个人有权通过消除错误数据、虚假数据和过时数据，获得他人尊重。

(二)“人格自律”之数据完整

人格受保护是数据权利的规范依据，其核心为“人格自律”。人格自律指人格的自我设定，包含着人格的自我约束与自我完善。数据权利具有天然的人格属性，是个体区别于他者的客观存在，个人有权通过保持个体数据完整、机密和真实来维护自身的存在和形象。康德指出：“人格是这样一个主体，他的行动可以归责给他”。人格是一个持续塑造和完成的过程。他认为，“人格除了单独服从自己(或者是他自己一个人，或者是同其他人一道)颁布给自己的法则之外，不服从任何其他法则”。道德人格是一种可以将过去的行动归责给他的人格。日本最高法院在1986年的一项判决中指出：“作为人格权的个人名誉之保护，判示‘人的品性、德性、名声、信用等的人格价值受社会客观评价之名誉，被违法侵害者’，除请求损害赔偿，恢复名誉外，为预防将来侵害，还可以请求禁止侵害。”人格权的这一属性赋予数据权利以自律特征，个人有权通过知情权、公平处理权和查阅权获知自己的数据是否被使用，在何种情况下被使用，是否违反自己意志被使用，从而保持个人数据完整。

需要指出的是，尊严和人格是两个不同的概念，具有不同的性质和规范内涵。尊严的性质在于国家和他人之尊重；人格是自我在精神上的认知，从属于个人自由，其性质在于自律，是在排除他人干涉前提下的自我决定。康德指出：人格不同于物，“人格除了服从自己(或者是他自己一个人，或者是同其他人一道)颁布给自己的法则之外，不服从任何其他法则，而对动物则是无归责的”。在民主法治国家，个人须受尊重是普遍要求，每一个人都是独一无二的存在，没有普遍、统一的人格。个体不同，人格亦不相同。每个个体人格是由具体数据填充而形成的，其自我决定的属性造就了数据权利的自我规定本质，也是数据完整深切的哲学动因。“人格自律”及由此导出的“人格自决”，说明数据权利的内容是个人信息、资料和档案，涉及与自己有关的资讯之公开，个人有自主决定权。

(三)“人权”之幸福追求的数据重塑

幸福追求是数据权利的内涵之一，其规范依据是我国宪法第三十三条规定的“国家尊重和保护人权”，“人权”蕴含着幸福追求权的内容，除此之外，“尊严条款”和“人身自由”同样包含着幸福追求权的意涵。

幸福追求的含义是指每个人都有追求幸福、型塑自我的权利。日本宪法理论认为幸福追求权立基于个人主义，与尊严法理有密切联系，且具备法律上的性质，尊严是该权利的规范依据。日本幸福追求权的中心特征是强调幸福追求权在实定法上的权利属性，并非仅仅是概括条款，而是具有特定的宪法内涵，是一项具体权利。作为一项概括性的宪法权利，幸福追求权是宪法未列举基本权的依据，并在其他基本权如隐私等无法得到保障时发挥独特意义。近年来，日本将个人人格自律作为“权利”加以保障，称之为“基本的人格自律权”，其基础则为“幸福追求权”，所有未列举的基本权利都可由此导出，并受日本宪法第十三条“幸福追求权”的补充保障。日本的幸福追求权是独立规范，其地位已与“人权”和“尊严”同义，是“权利之权利”和“规范之规范”。在数字和信息时代，“幸福追求权”因与“个人之尊重”及人格价值相关联，而成为“人格自律”之代名词，为一切姓名、名誉、荣誉、著作人格权以及隐私权提供基础。

除现行宪法外，我国“五四宪法”序言规定：“中华人民共和国的人民民主制度……保证我国能够通过和平的道路消灭剥削和贫困，建成繁荣幸福的社会主义社会。”习近平总书记所言的“人民对美好生活的向往和追求”构成了幸福追求权的法理基础。幸福的含义指塑造和实现自我，提升生活品质，包括精神和物质生活水平和能力。“人格尊严”所包含的人格自律对于提升自我品质，人格完整具有十分重要的意义，可通过自我拘束，锻造健全人格，培养个人负责精神，“更正权”是个体对自我人格的重新塑造。遗忘是新生的开始，也是对幸福的追求。

(四)“住宅”与“通讯自由”之数据资讯隐私

隐私是数据权利的固有内涵，我国宪法第三十九条的“住宅不受侵犯”和第四十条的“通信自由和通信秘密受法律的保护”为隐私提供规范依据。个人数据属于私域之中的事务，不欲为人所知，其私密性是维系个体独特性的必要之举，也是个人区别于他人之所在。数据权利与隐私权既有交叉，又有区别。前者指个人对自己的全部数据拥有处置和自我决定的自由，后者仅指个体拥有对与公共领域无关且不欲人知的那部分信息的处置权。只要不影响公共利益和他人自由，他人和公权力如无正当理由就无权干预，否则就是侵犯了个人隐私。几乎世界各国宪法均承认“住宅”、“家庭”和“通信自由和通信秘密”当中包含了隐私成分。住宅和家庭是个人的私人空间，与公共生活没有关联，属于个人隐私，未经个人允许不得进入他人住宅，不得干扰他人家庭。通信是私人之间的联络方式，用以表达感情、观点和见解，属于个人隐私。1992年立陶宛《宪法》第22条规定：“个人的隐私不受侵犯。个人的信件、电话谈话、电报和其他相互通讯联络不受侵犯。”第24条规定：“人的住宅不受侵犯。未经住户允许不得进入住宅。”1966年的《公民权利与政治权利国际公约》第十七条规定：“任何人之私生活、家庭、住宅或通信，不得无理或非法侵扰，其名誉及信用，亦不得非法破坏”。日本将隐私权称为资讯隐私权，认为“个人系在道德上自律的存在，追求经判断对自己系属良善的目的，与他人交流，且对与自己有关的资讯之公开，有选择范围与性质的资讯隐私权”。实践中，在冈萨雷斯一案中，欧洲法院认为，根据《欧盟基本权利宪章》，数据当事人享有隐私权和保护个人数据的权利，一般情况下，这两项权利都高于搜索引擎营运者的经济利益以及公众通过输入数据当事人名字从搜索引擎得到数据的利益，说明个人数据隐私资讯优于搜索引擎运营者和公众的经济利益。

(五)“财产权”之数据归属

数据属于物，具备财产权的属性。作为一种新型财产权，数据财产权指个人对自己的信息、资料、档案拥有自主权和控制权。自主和控制权正是所有权的特征，其财产权属性并非如知识产权和著作权那样具有经济价值和经济利益，而是个人失去对自己数据的控制权。数据权利成为财产权的原因如下：首先，财产权是一种具有主权性质的权利，个体对自己所有物具有支配权，其内在和固有特征是非经所有者同意或者公共利益的需要，他人不得占有、使用、收益、处分。作为财产权，数据权利意味着非经个人同意或者公共利益的需要，公权力和他人不得窃取、泄露、破坏、复制、粘贴、爬取其个人数据。其次，数据权利具有经济利益。作为个人财产，数据可以出售、转让并产生经济利益和经济价值，且通过金钱表现。数据权利的这一特征符合我国《宪法》第十三条财产权的内容，该条规定：“公民的合法的私有财产不受侵犯。国家依照法律规定保护公民的私有财产权和继承权。国家为了公共利益的需要，可以依照法律规定对公民的私有财产实行征收或者征用并给予补偿。”

综合上述内容，数据权利的宪法规范表明以下四方面的内容：其一，我国宪法虽然没有明示规定数据权利，但数据权利并非由总纲中的宪法委托、制度保障导出，而是直接来源于宪法规定的基本权利，故数据权利是基本权利而非仅为客观规范。其二，数据权利的多项规范依据表明宪法价值重叠与规范竞合，说明数据权利具备多重宪法价值属性，其宪法品质是多元一体，非囿于人格权、财产权和隐私权三分，而是集三者于一体，并不乏尊严和幸福追求的属性。2022年1月1日实施的《深圳经济特区数据条例》是国内首部关于数据权利的基础性、综合性的地方性法规，该条例规定“自然人对个人数据享有人格权益；自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有财产权益”。这等于从法规层面确认了数据权利，并从人格权、财产权两个层面进行区分。这就是说，任何将数据权利宪法价值单一化的倾向都是不妥当的。不管是否定其人格权属性，还是否定其财产权属性，都忽视了该权利的复合价值属性，这在实践中会有损数据权利的多重保护。其三，数据权利宪法规范依据单一化、宪法委托和制度保障理论一定程度上反映我国宪法“基本权利”未得到正解。其四，我国数据权利的规范依据揭示其与数字权利的差异，无论人权一般条款，还是尊严、人身自由，以及家庭、住宅、通信自由和秘密以及财产权，其所蕴含的无不是个人名誉、信用之道德自律，与网络和虚拟空间所体现的自由参与的数字人权具有本质差异，二者不可相互指代。

三、作为个人自主决定权的数据权利

个人是自己数据的所有者和主权者，除非为了公共利益，无论是数据控制者、处理者、运营商、法人、机构，还是国家、政府组织，都须依据个人本人意志使用数据，这是数据权利区别于数字权利之所在，也是数据权利的法哲学基础。

(一)数据权利与数字权利的差异

数据权利与数字权利在概念、哲学基础、规范依据上都有显著不同。数据权利是指数据主体对自身信息、档案、资料、数据的所有权，其哲学基础是个人信息自主，其规范依据是我国宪法中的“人权”“人身权利”“人格尊严”“住宅自由”“通信自由和通信秘密”以及“财产权”。数字权利是宪法基本权利在网络空间和虚拟世界的延伸，指个人有权在互联网发表言论、通信、创作并发表作品、消费、游戏、接受教育，其哲学基础是网络民主，其核心和实质是促进参与和表达，其规范依据则是我国宪法所规定的基本权利。2022年，欧洲议会、欧洲理事会、欧盟委员会联合发布的《欧洲数字权利和数字原则宣言》序言规定：“巩固民主框架以实现有利于并改善所有欧洲人生活的数字化转型”。2022年，欧洲理事会通过的《里斯本宣言——有目的的数字民主》呼吁数字化转型模式应以数字化单一市场为核心，丰富数字生态系统。2023年5月，联合国秘书长古特雷斯发布《全球数字契约》。契约以《联合国宪章》和《世界人权宣言》为议程，确认以人类尊严为核心，以普遍人权为基础，推进开放、自由、安全、以人为本的互联网接入的数字未来，确保在线空间对妇女无歧视和安全，扩大妇女的数字的参与，消除性别数字鸿沟。

这些说明，数字权利的价值基础是网络民主，确保人人参与、包容、平等，反对歧视、暴力、恐怖、虚假和错误信息。同时，数字权利并非一项新型权利，亦非第四代人权，而是传统基本权利价值在网络世界的延伸，网络空间可称为虚拟、线上、电子、数字。正如《欧洲数字权利和数字原则宣言》在序言中阐明的那样：“随着数字化转型的加速，现在是欧盟阐明其价值观和和基本权利如何应用于网络世界的时候了”，宣言表明欧洲价值观以及欧盟法律框架中所载的权利和自由必须在网络上受到尊重。

(二)个人自主决定是由数据权利的属性决定的

GDPR明确规定了一系列数据权利，包括公平处理权、查阅权、更正权、被遗忘权、反对权、可携带权、限制处理权，与自动决策有关的权利。我国《个人信息保护法》第四章“个人在个人信息处理活动中的权利”规定了数据权利的种类，结合《数据安全法》和《网络安全法》，我国法律规定个人享有如下数据权利：其一，个人对其信息的处理权，包括知情权、决定权、限制或者拒绝他人对其个人信息的处理。其二，查阅权和复制权。其三，更正权。其四，删除权。其五，要求说明权。其六，死者的信息权。其七，救济权。除《个人信息保护法》的这些规定之外，《数据安全法》和《网络安全法》也规定了一些数据权利，这些权利与《个人信息保护法》规定的权利在多数情况下是重合的，但也有其他一些数据权利，如网络安全权、网络隐私权、网络数据安全权等。这些权利本身表明了数据属于个人所有，须服从于个体意志和自主决定，是数据权利自主决定品质的规范依据。

至于有学者将数据权利进一步地区分为数据人格权、数据身份权、数据信用权、数据平等权、数据隐私权、数据财产权，这混淆了数据权利与数字权利的差异。数据权利当然包括数据隐私和数据财产权，但是，称其为“数据人格权”“数据身份权”则未必妥当，而应是“数字人格”“数字身份”。网络世界的确有数字人格、数字信誉、数字身份，表明个体在互联网和智能世界中的形象和身份，又称为“虚拟形象”。个人是否正直诚信，是否重诺守信、是否遵规守约、是否履行法定义务，不发布虚假信息、不诽谤侮辱他人，不发动网络暴力，不进行网络欺凌，这些均涉及数字世界中的个人形象、身份和地位，因而是数字人权所固有的，但却并非属于数据权利。个人在数字世界(数位现实)中是有“虚拟形象”的，甚至出现“数位不朽”或者“数位转世”。不得强行建构他人的虚拟形象，并且利用这种形象做坏事，否则有可能构成诽谤、诈骗，并且，如果这种虚拟人物的言行误导现实世界中的人，涉及归责问题，甚至构成刑事责任。有文章将访问权作为数据权利，也是不妥当的。访问权指个人有权自由上网、浏览网站，从而获取信息，这是数字权利，但非数据权利。数据权利中的所谓“访问”是公平处理权和查阅权，指个人有权获得自己信息被使用的情况，被什么人使用，在何种情况下使用等。数据权利的内容已经由《个人信息保护法》等法律加以规定，GDPR也已经明确规定了数据权利的具体内涵。这些所谓的“数据权利束”是混淆数据权利和数字权利的结果，也是数据权利在数字化过程中所产生的“幻觉”，属于培根之谓的“市场假象”和“剧场假象”。

(三)自主决定是由知情同意原则决定的

前已述及，同意原则早在俄罗斯联邦《宪法》和《欧盟基本权利宪章》中就已经得到确认，后者将个人信息自由和同意规定在第二章“自由”中，这既说明这项权利是当然的宪法权利，也说明了“自我决定”之宪法品质，还说明了数据权利与数字权利的差异。

知情同意原则是指数据的控制者和处理者在使用个人数据之时应征得数据主体的同意。此处的“处理”包括收集、储存、传播、记录、组织、构造、调整、检索、更改、使用、咨询、公开等。知情同意之所以成为数据权利的保护原则是由数据权利的哲学品质所决定的。个人是自己数据和信息的所有者，服从于自我意志，其自主性质决定了未经本人事先同意，公权力包括他人和机构不得处理个人数据。GDPR第二章详细规定了知情同意原则，用5、6、7、8、9、10五个条款规定了该原则的内涵，包括同意、知情、自愿、撤销同意、同意替代等，并且规定了儿童同意、特殊类型的主体的同意、犯罪人的定罪和违法数据同意以及已经公开数据的同意等。我国《个人信息保护法》规定了知情同意原则。除第十三条外，该法第十四条、第十五条、第十六条对此作出了具体规定。《网络安全法》第四十一条也规定了同意原则。以此可见，数据权利的哲学品质是个人信息自主，即数据主体拥有对个人数据的自我决定权。个人信息自主又称为个人信息自治、个人信息自决、个人信息自律，服从于个人意志和自我决定。个人是自己数据的所有者、主权者、管理者和处分者，除了服从公共利益之外，个人有权决定自己数据的使用情况。个人信息自主是私人领域中的个人自治或者自律的表现。只要不与公共利益和他人利益相冲突，个人有权自主处理所有有关自己的信息。在此意义上，数据权利等同于个人信息权，个人有权自主处理个人数据。这意味着如果不侵犯公共利益或者他人权利和自由，个人有权自主决定自己信息(数据)的使用、收集、储存、公布等。无论公平处理权、查阅权、更正权、被遗忘权，还是反对权、可携带权、限制处理权，皆须依个人的自主决定方得处理。

(四)自我决定的伦理品质决定了其与数字权利的差异

数字权利的伦理品质并非个人自主，而是网络民主。数字权利并非一项新型权利，而是基本权利在网络和虚拟空间的延伸，表现为自动化处理。除一些网络数据如隐私之外，数字权利的规范特征是网络和虚拟空间的准入、参与和自由表达。由于网络的特殊性，这一延伸主要在于数字权利在促进交流的同时，反对歧视和霸凌，提高个人数据和隐私的网络保护。我国《网络安全法》规定了个人的数字权利，但并未专章列举，而是散见于各章中，主要从网络用户角度分别对这些权利作出了概括规定，包括访问权、网络言论自由权、网络隐私权、接入权、退出权、反对网络欺凌和网络暴力以及网络教育、网络消费、娱乐、游戏等。诚然，数字权利和数据权利是有重叠的，表现为个人数据可通过网络储存，包括个人出生、经历、居住地、通信方式、病历、政治倾向、宗教信仰、民族、种族、敏感个人信息等隐私，这些个人信息和资料成为可以自动化处理的电子数据。诚然，个人数据的电子化或者网络化意味着数字化，但是，二者并非完全重叠，因为“数据”并不等于“数字”，如网络言论自由、在线教育、网络消费、网络游戏、娱乐，都是典型的数字权利，而非数据权利。

哲学基础的差异是识别二者区别的试金石。个人自主决定意味着个人是自己数据的所有者和主权者，依据自我意志，个人有权决定是否公开自己的数据；网络民主则决定个人在网络世界的自由。数字权利是在网络和虚拟世界进行的，虚拟世界提供了数字时代个人的行动自由。这一权利不可与数据权利同日而语，其突出特点是个人在虚拟空间、虚拟与现实的结合，以及虚拟与现实的互动世界中的行动自由，这一虚实结合和虚实互动决定了数字权利的民主和参与品质，非包括个人信息、资料和档案的数据权利可比拟。目前学界较多研究混淆了二者，不可不察。

总体而言，个人是自己数据的所有者，与网络民主的不受侵犯明显不同。虽然数字权利与数据权利存有价值重叠和规范竞合，但二者不仅在规范内涵上具有重大差别，而且其哲学品质和宪法旨趣判然有别。是故，实现个人数据自主权之保障与促进数据自由流动之间的平衡是数据权利的主旨，抵制歧视、霸凌、暴力、网络恐怖主义，保护表达、隐私和反对虚假信息则是数字权利保护的重心，以此可见二者之显著差异。

四、限制之限制：对数据权利的实质保护

(一)比例原则的内涵

比例原则在保护基本权利的实质方面承担着重要的功能，其机制在于当基本权利受立法权限制之时，防止其超越必要的界限，侵害基本权利的核心或者实质，故比例原则是宪法保留的重要装置，体现为“限制须受限制”。作为基本权利保护的“帝王原则”，比例原则确保基本权利的核心不受立法机关侵犯，是立法权受宪法限制的重要工具。这一装置充分表现在数据权利的使用及限制过程中。但是，由于现有研究缺失基本权利视角，致使基本权利的限制须受限制这一重要原理在数据权利研究中未能充分展开。

比例原则是一项宪法原则，可称为“禁止过当”。该原则通过考察目的与手段的关系，判断法律对基本权利的限制是否合理，防止对基本权利的限制超过必要界限。比例原则包含三个子原则，即必要性、适当性和合理性(狭义比例原则、相称性、均衡性)。我国数据法律明确规定了比例原则。《网络安全法》第四十一条第二款规定：“网络运营者不得收集与其提供的服务无关的个人信息”。《民法典》第一千零三十五条第一款规定，办理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”。《个人信息保护法》第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”这些规定包含了比例原则的内容，明确了目的和手段之间须有关联性，手段须适当，禁止过当。

(二)数据权利保护中比例原则的体现

必要性是指所采取手段与目的之间具有关联性，如果收集个人信息过多，或者这些数据和信息与目的无关，或者披露数据的目的已经不存在，则属于过度收集、过度披露。违反“侵害最小”之必要性原则。必要性原则又称为最少侵害原则，要求用最温和的、较少侵害的、不可替代的手段限制基本权利。合理性指侵害手段和目的之间必须适度、均衡、相称，须在合法的范围内注意合理的比例协调，不得超越必要界限，侵犯基本权利的核心，否则基本权利的内核就会被掏空，基本权利保护就会失去意义。《个人信息保护法》第十三条第一款第五项、第六项规定了合理性原则，是数据权利限制须受限制的规范依据。该条第五项规定：“为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息”；第六项规定：“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。这就是说，虽然为了公共利益、舆论监督可以不征得个人同意，或者可以为了其他正当目的公开个人信息，但须保持在一定的合理限度之内，至于何为“合理”，须在具体纠纷中平衡各种利益，判断限制个人数据是否超过了必要限度，是否构成“不合理”，或者不符合比例。一般认为，侵害过度是指触及了基本权利的核心。至于何者为核心，通说认为，人的尊严构成了基本权利的核心。德国学界认为，人性尊严既是基本权利核心，亦为宪法核心，不仅是基本权利的实质和核心，甚至可对抗修宪权，即宪法修改不得触及人性尊严。在此，人的尊严为实质要件，禁止过当为形式要件，二者共同构成比例原则的内容，形成基本权利保护中的限制之限制。如果限制基本权利的手段侵害了人的尊严，则等同于侵害其实质，为比例原则所不容，是为“不合理”。此外，公益的重要性、限制的手段亦为判断标准，以帮助确定特定手段是否属于“不合理”。

(三)数据权利保护中的限制须受限制

我国数据立法对基本权利作出了限制，规定可以为了公共利益而限制数据权利。例如，知情同意原则的例外就是对数据权利加以限制的表现，是指为了公共利益和他人自由和利益，并由法律加以规定，特定个人数据的处理可不须取得个人同意。GDPR第23条专门规定了对数据权利的限制，该限制包含了十项，包括国家安全、国防、公共安全、刑事犯罪调查、为遵守欧盟其他国家的法律、司法诉讼、保护数据主体其他人的权利和自由、实施民事法律等。在此可以看到数据权利和数字权利保护原则的差异。

这一例外既是数据权利服从于公共利益的需要，也是我国《宪法》第五十一条在数据权利限制方面的具体体现，表明《宪法》第五十一条是基本权利限制的宪法规范，也是知情同意原则例外的宪法依据。我国《个人信息保护法》第十三条是对数据权利加以限制的法律规范，也是法律保留原则在数据权利保护方面的体现。《个人信息保护法》第十三条第一款第二项以下的六项规定了数据权利得受限制的具体情形：其一，为履行个人作为一方当事人的合同；其二，为履行法定职责或者义务；其三，应对突发公共卫生事件或者紧急情况下为保护他人生命健康和财产安全；其四，新闻报道、舆论监督；其五，个人自行公开或者其他已经合法公开的个人信息的合理处理；其六，法律、行政法规规定的其他情形。这也意味着，如果符合这六项条件，可以对个人数据权利加以限制。

知情同意原则的例外固然是对数据权利的限制，但这一限制同样须受限制，须遵守比例原则。根据我国宪法，如果数据权利限制侵犯了个人个人尊严，则属于违反数据权利实质。过度收集个人信息即属此例。未经当事人同意收集个人信息，或者未经当事人同意披露、公开他人信息，以及收集与法律规定的目的无关的个人信息，都在不同程度上侵犯个人尊严，触及数据权利的核心和实质。

我国前述立法在规定法律保留原则的同时，也规定了比例原则。数据权利中的限制须受限制，指应遵守妥当性、必要性原则和合理性原则，即必须在必要和合理的范围内处理个人信息。无论国家机关还是个人，都不得过度收集个人信息。《民法典》《个人信息保护法》《网络安全法》都规定禁止过度收集个人信息。实践中，有法院认定了一些APP违法违规收集或使用公民个人信息的情形，包括：未明示收集使用个人信息的目的、方式和范围，未经用户同意收集使用个人信息，违反了必要性原则；收集与所提供服务无关的个人信息，属于过度收集个人信息，违反了“侵害最小”原则。此处的信息同样属于个人数据，适用比例原则。

结  语

数据权利是自然人的基本权利，舍此无从明确其宪法品质，实践中的保护亦不可能完整。无论是数据权利主体、性质，还是宪法规范依据、价值属性，乃至同意原则和比例原则，无不揭示其基本权利属性，表明其既为个人的宪法权利，亦不乏客观规范品质。仅将数据权利作为客观规范委诸部门法保护捉襟见肘，力有不逮，将不可避免地引致如下弊端：其一，忽略数据权利的基本权利地位将割裂其宪法价值，导致各执一端，要么忽视其尊严、人格、隐私和幸福追求之属性，要么忽略其财产属性。其二，将其作为客观规范不仅使数据权利陷入仅为私法保护的理论误区，还会因忽略二者哲学品质混淆数据权利和数字权利之差异。其三，忽视数据权利的宪法地位将无法在数据权利保护中引入比例原则，难以确保数据权利的实质不受侵犯，不能为数据权利提供全面的宪法保护。

忽视数据权利的基本权利地位不仅会泯灭其防御权属性，也将弱化对公权力的警惕，削弱数据权利的公法保护。必须牢记，对于基本权利，抵制公权力侵犯是宪法的固有职责，缺乏宪法保护的数据权利注定无法得到周全保障。偏离数据权利“是自然人的一项基本权利”这一价值定位，数据权利研究不免如亡羊歧路，难以完整。