論點

主論

亟須強化個人信息的立法保護

在民法總則制定前和起草過程中，法學界對個人信息保護進行了必要的研究和理論儲備，該法草案第二次審議稿增加了個人信息保護條文以回應迫切的社會需求。個人信息的本質在于其能夠單獨或者結合其他信息識別特定個人身份的屬性。無論將個人信息理解為權利還是利益，都不妨礙法律將其確定為自然人的人身非財產性質的人格權(權益)且具有支配性特征；其義務主體負有相應的作為和不作為義務。目前以刑法手段保護個人信息走在了前面，而用民事手段保護個人信息的效果尚未彰顯。需要探討民事司法保護個人信息的積極作用，同時從民法分則和制定《個人信息保護法》兩方面強化個人信息的立法保護。

——中國人民大學法學院教授張新寶

1

個人信息保護立法應建立多元合法性基礎

根據我國現行個人信息相關立法，知情同意是個人信息收集和使用的普遍前提。通過對個人信息需要保護的利益分析，我們發現，個人信息上不僅附著了信息主體的人格尊嚴和自由利益，個人信息使用者的利益和公共利益也是個人信息法律制度需要保護的重要利益。基于此，知情同意不是且不應成為個人信息處理的唯一合法性基礎，在個人信息保護法制定中應首先明確個人信息上的利益，然后根據個人信息上的利益之間的平衡建構個人信息的使用規則，建立多元的合法性基礎。

——華東政法大學法律學院教授高富平

2

個人信息保護應建立在法益保護與數據開發利用二元價值平衡基礎上

隨著大數據技術的開發應用，個人信息主體與信息收集利用者分別從不同角度對個人信息主張權利。但何為個人信息？如何配置權利？答案應建立在法益保護與數據開發利用的二元價值平衡基礎上。美國和歐盟代表兩種不同的取舍模式。介于二者之間，中國早期采納“美國式實踐”，近來又轉向“歐盟式立法”，后者徹底開放了個人信息的邊界。為兼顧信息開發利用價值，個人信息的認定標準宜作合目的性限縮和情境化改造。在保護模式的選擇上，美歐正趨同于“積極確權+行為規范”模式，中國屬于單一的“行為規范模式”，這為信息收集利用提供了相對明確的合規指引，但個人信息主體的法益保護范圍只能根據相對人的行為界限作反推，解釋論上因此喪失了法益保護的裁量空間，進而難以對承載不同法益內容的身份和行為信息提供差別化保護。解釋論之矯正需引入人格權概念作為裁量平臺，以此構建法益保護與行為自由的比較權衡框架。

——南京大學法學院副教授宋亞輝

3

個人信息保護立法可引入合法利益豁免機制

在大數據時代，知情同意機制已無法有效應對大數據生態系統的多元性和復雜性，無需取得數據主體同意的合法利益豁免可成為大數據信息使用的另一重要合法依據，為大數據產業發展提供靈活空間。我國在個人信息保護的相關立法中可引入合法利益豁免機制。引入該機制時，對合法利益應采用廣泛的定義，只要是未違法的使用利益均屬合法利益。但數據控制者必須進行一個平衡測試，證明數據使用的合法利益高于數據主體的個人利益，方可適用合法利益豁免。平衡測試可采用個案分析方式，并遵循必要性原則、目的限定原則和比例原則。此外，數據控制者還應對平衡測試進行全程記錄，以接受數據主體、政府數據保護部門和法院的監督。

——中山大學法學院講師謝琳