大數(shù)據(jù)時代個人信息保護的困境與出路

時明濤

摘要：大數(shù)據(jù)時代個人信息保護立法面臨理論與現(xiàn)實雙重困境。理論方面主要源自于概念界定模糊，術(shù)語使用混亂，對信息技術(shù)的誤解以及信息權(quán)利化本身的難題，現(xiàn)實方面主要來自于信息的特點、信息的多元價值以及信息處理技術(shù)的進步。當前我國個人信息保護的分歧主要集中在個人信息的法律屬性與保護模式的選擇之上。對此，應當明確大數(shù)據(jù)時代個人信息保護的價值基礎(chǔ)在于保護個人信息之上所承載的人格利益，現(xiàn)階段任何單一路徑都無法為個人信息提供完整的法律保護，故應當建立多個部門法相互銜接與配合的綜合治理體系。未來我國個人信息保護的研究重點在于明確信息主體的權(quán)利空間和提升知情同意原則的有效性。

關(guān)鍵詞：個人信息；個人信息權(quán)；隱私權(quán)；知情同意；數(shù)據(jù)權(quán)

中圖分類號：D 923文獻標識碼：A文章編號：1003-9945（2020）05-0066-09

引言

大數(shù)據(jù)具有數(shù)據(jù)規(guī)模大（Volume）、種類多（Vari？ ety）、處理速度快（Velocity）、價值密度低（Value）的四大基本特點。在前信息時代，數(shù)據(jù)難以聚合，單個信息的財產(chǎn)價值有限，其保護手段也主要限于簡單的占有者義務。但在大數(shù)據(jù)時代，數(shù)據(jù)處理技術(shù)取得了突破性進展，信息有了聚沙成塔的效應，對個人信息的收集、分析和處理可以獲得巨大的經(jīng)濟價值，但與此同時，侵犯個人信息的現(xiàn)象也開始屢見不鮮。如何在個人信息的保護與利用之間取得適當平衡，成為難以繞開的時代命題。本文第一部分首先分析大數(shù)據(jù)時代個人信息保護的困境與成因，第二部分圍繞我國個人信息保護中的主要問題及癥結(jié)之所在展開論述，最后有針對性地探討我國個人信息保護的未來立法方向與展望。

一、個人信息保護的理論與現(xiàn)實困境

（一）理論困境

1.信息、隱私、數(shù)據(jù)的區(qū)分困境

概念明晰是展開有效研究的前提條件。現(xiàn)階段有關(guān)信息、隱私和數(shù)據(jù)的區(qū)分困境，很大程度上源自于概念界定的模糊、術(shù)語使用的混亂以及對信息技術(shù)本身的誤解。比如，有學者認為“數(shù)據(jù)是一個宏觀的概念，是我們所掌握的一切消息、事實、記錄等；信息是對數(shù)據(jù)的篩選，是有序化排列后保留下來的數(shù)據(jù)，本質(zhì)上仍是數(shù)據(jù)”[1]。這種看法誤解了信息與數(shù)據(jù)的關(guān)系。本質(zhì)而言，數(shù)據(jù)是信息的表達方式，特別是在網(wǎng)絡時代，信息主要以數(shù)據(jù)的方式加以存儲和應用，信息數(shù)據(jù)化的主要目的是為了表達人類社會的信息，二者是手段與目的的關(guān)系。另一方面，信息的范圍又要明顯大于數(shù)據(jù)。數(shù)據(jù)是以二進制代碼所表現(xiàn)出來的信息內(nèi)容，在網(wǎng)絡世界里，信息主要表現(xiàn)為數(shù)據(jù)，但信息還可以通過其他方式加以表達，比如口頭傳播、紙質(zhì)媒體等。因此，信息與數(shù)據(jù)雖然存在不同程度的重合，但信息的范圍又要明顯大于數(shù)據(jù)。由此也不難理解，個人信息的涵蓋范圍要比個人數(shù)據(jù)更廣，個人數(shù)據(jù)只是以數(shù)據(jù)形式表達的個人信息內(nèi)容。

我國立法不但采納了個人信息的概念，《網(wǎng)絡安全法》第76條還首次明確了“個人信息”的定義，即“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”該條以“概括定義+列舉”的方式大致框定了我國個人信息的涵蓋范圍，即“能夠單獨或者與其他信息結(jié)合而識別自然人身份的各種信息?！惫P者認為，相比個人數(shù)據(jù)而言，個人信息的提法更為準確，也更具有規(guī)范意義。這是因為，數(shù)據(jù)僅存于網(wǎng)絡空間，是以比特形式所表達出來的信息內(nèi)容，但個人信息保護顯然不能局限于網(wǎng)絡世界，無論以何種形式侵犯個人信息的行為均應受到法律規(guī)制。因此，在立法明確采納個人信息概念的前提下，不宜再混用個人數(shù)據(jù)與個人信息的概念。在我國現(xiàn)行法的語境下，個人數(shù)據(jù)應當特指以數(shù)據(jù)形式所表達的個人信息。

尤其值得強調(diào)的是：（1）符合法律要求的個人信息與數(shù)據(jù)之間并不存在混同的可能。這是因為，依據(jù)個人信息保護的要求，在經(jīng)過去識別化處理之后的信息已不再具有關(guān)聯(lián)自然人人格的屬性，可以成為數(shù)據(jù)權(quán)利的客體。因此，認為“數(shù)據(jù)具有人格和財產(chǎn)雙重屬性”的觀點[2]，實則混淆了個人信息和數(shù)據(jù)之間的差別。受法律調(diào)整的數(shù)據(jù)實際上是經(jīng)過數(shù)據(jù)主體對個人信息整理、加工、脫敏處理之后的信息，而成為數(shù)據(jù)之后的信息已經(jīng)顯然不再具有自然人的人格屬性[3]。此外，數(shù)據(jù)之中還包含有大量與自然人無關(guān)的內(nèi)容，也不屬于個人信息的保護范圍。（2）盡管個人信息之中可能包含有隱私內(nèi)容，但經(jīng)過去識別化處理之后的個人信息已不再具有隱私特性，二者之間不具有重合的可能。這是因為，依據(jù)個人信息保護的相關(guān)要求，作為個人隱私的個人敏感信息一律不得收集，而屬于非敏感信息的個人隱私一般在去識別化的過程中就已經(jīng)被置換或者刪除。剩余的非敏感信息要么不屬于隱私的范疇，要么因為去識別化的過程而不再具有隱私風險。因此，在規(guī)范的個人信息保護過程中，個人隱私并無被侵害的風險，也不存在與數(shù)據(jù)混同的可能性。大數(shù)據(jù)視角下隱私權(quán)的保護核心其實是個人信息利益[4]，即隱私信息不能成為數(shù)據(jù)的合法性來源。

2.個人信息權(quán)利化困境

個人信息究竟是法定權(quán)益還是權(quán)利？是否真的具有權(quán)利化的基本特征？又如何成為一項具體的權(quán)利加以保護？對這一問題的不同回答將決定個人信息的不同保護路徑。首先，個人信息權(quán)利化的困境來自于法律規(guī)定的模糊性。當前我國尚未制定統(tǒng)一的個人信息保護法，在有關(guān)個人信息保護的各類規(guī)范性文件中也均未明確個人信息的法律性質(zhì)。如《決定》中只提及網(wǎng)絡服務提供者應當保護公民的“個人電子信息”；《網(wǎng)絡安全法》中僅規(guī)定了“個人信息”的概念及侵犯個人信息的法律后果；《民法典》第111條也只是簡單地規(guī)定“自然人的個人信息受法律保護”。上述“個人信息”究竟是法定權(quán)益還是公民權(quán)？抑或是自然人的人格權(quán)？一時間聚訟紛紜，難以定論。其次，個人信息權(quán)利化的困境來自于個人信息本身的特點。作為民事法律關(guān)系的客體，個人信息突破了傳統(tǒng)民事客體有體性、確定性和獨占性的特點。信息天生需要依附于載體，其價值在其內(nèi)容而非形式；信息屬于無體型物且難以獨占，天生具有流動性；信息具有多重價值，在其之上存有多重利益訴求等等，均為個人信息的權(quán)利化增加了難度。再次，信息權(quán)利化的困境還來自于獨占與共享之間的矛盾。傳統(tǒng)私權(quán)保護以獨占性為前提，自法經(jīng)濟學的角度觀察，產(chǎn)權(quán)明晰有利于促進經(jīng)濟的發(fā)展和私權(quán)的保護。但個人信息卻有所不同，其上除了記載有與自然人密切關(guān)聯(lián)的內(nèi)容之外，信息還具有某種財產(chǎn)屬性，這使得對個人信息的賦權(quán)保護可能會阻礙其上財產(chǎn)價值的發(fā)揮。最后，個人信息之上存在多重利益訴求，阻礙了個人信息的權(quán)利化進程。個人信息之上不僅只有自然人和數(shù)據(jù)企業(yè)的私益訴求，還有公共管理、國家安全等公益屬性，這使得個人信息很難被理解為專屬于個人或者是由個人獨占的權(quán)利。利益訴求的多元化進一步阻礙了個人信息權(quán)利化的實現(xiàn)。

（二）現(xiàn)實困境

1.信息本身的特點

信息自身的特點是造成大數(shù)據(jù)時代個人信息保護困境的首要原因之一。第一，信息與傳統(tǒng)民事權(quán)利的客體有所不同。信息為無體形物且不能被實際占有，這給信息確權(quán)帶來困境。第二，信息的價值在于其所記載的內(nèi)容，而非信息載體，這給信息的保護帶來了難題。第三，單個信息的交換價值十分微弱，但信息聚合可以產(chǎn)生強大的分析價值，因此對個人信息的賦權(quán)保護可能會阻礙信息的流通，從而影響到數(shù)據(jù)的整體價值。第四，信息的價值來自于內(nèi)容而非載體，具有較大的流通性與不確定性。這使得信息可以同時被多個主體占有或控制而不具有排他性，給權(quán)利主體的確定以及信息侵權(quán)的認定帶來困難。

2.信息的多元價值性

大數(shù)據(jù)時代的個人信息至少存在如下價值：個人信息之上存有自然人的人格利益與財產(chǎn)價值；數(shù)據(jù)企業(yè)對于個人信息享有控制者權(quán)益；政府、學校、醫(yī)院等公共職能部門對于個人信息的收集具有現(xiàn)實需求。首先，大數(shù)據(jù)時代個人信息的多元價值使得立法與司法需要兼顧多方面的利益。例如，個人信息的保護需要兼顧信息主體與信息利用者之間的利益平衡，既要保護自然人對其個人信息的自主控制權(quán)，又要兼顧信息收集者和使用者的財產(chǎn)權(quán)益。其次，個人信息之中所蘊含的商業(yè)價值和公共管理價值使得個人信息的利用與保護之間明顯失去平衡。信息控制者不但可以利用技術(shù)手段深入挖掘個人信息中潛藏的商業(yè)價值，使其服務于企業(yè)的經(jīng)營、管理和決策，還可以將其直接打包出售以實現(xiàn)數(shù)據(jù)中的財產(chǎn)價值[5]。在整個信息處理過程中，信息主體始終處于被動的境地，甚至對于自己的信息如何被收集、處理以及使用的都全然不知。正如學者所言，個人信息就像“比特?！敝衅鞯囊凰倚〈鴶?shù)據(jù)交易則猶如赤壁之戰(zhàn)中的汪洋艦隊[6]，二者之間的力量懸殊可見一斑。另一方面，個人信息的公共管理價值使得政府機關(guān)等公共管理部門具有收集、使用、控制個人信息的強大動力，而以損害賠償為主要救濟手段的傳統(tǒng)私權(quán)根本難以與之抗衡，如何平衡二者之間的關(guān)系成為新時代的理論難題[7]。

3.信息處理技術(shù)進步

前信息時代，個人信息大多保存于檔案館和特定的行政機構(gòu)之中，這使得個人信息不但利用率較低，而且相對于保管者而言其他人也難以利用。隨著信息處理技術(shù)的進步，傳統(tǒng)以紙質(zhì)文本流傳的信息可以通過非常低廉的成本變成數(shù)據(jù)加以存儲和運用，這就為信息的使用、共享和流通創(chuàng)造了有利條件。隨著互聯(lián)網(wǎng)和智能產(chǎn)品的普及，大量的用戶個人信息通過網(wǎng)絡以數(shù)據(jù)的方式形成、流通和傳輸，這使得數(shù)據(jù)的收集、共享和利用都變得十分便利。正如學者所言：“如果對個人信息的使用不加以限制，那么在互聯(lián)網(wǎng)時代侵犯個人隱私的行為將是不可避免的，因為信息的收集者往往會以用戶難以預料的用途處理其個人信息”[8]。而大數(shù)據(jù)時代信息處理技術(shù)的發(fā)展進一步加劇了個人信息保護的難度。一是信息處理進步使得個人信息的保護范圍不斷擴大。根據(jù)可識別性的要求，個人信息是指能夠直接或間接識別出特定自然人的信息，但隨著信息處理技術(shù)的進步，可間接識別個人的信息范圍越來越廣，并且仍然處于不斷變動之中，這就導致個人信息所需要的保護范圍越來越廣。二是信息處理技術(shù)的進步使得原有的個人信息保護手段捉襟見肘。“告知—同意”和“匿名化”一直被認為是應對個人信息侵權(quán)的有效手段，但在大數(shù)據(jù)時代“告知—同意”規(guī)則普遍陷入僵化，而“完美的匿名化也始終是一個神話”[9]。如何在保護與利用之間取得平衡，始終是大數(shù)據(jù)時代個人信息保護的難點所在。

二、我國當前個人信息保護面臨的主要問題

（一）屬性之分歧

個人信息權(quán)利屬性之爭由來已久，基于對其屬性的不同認識，學者們往往傾向于不同的制度選擇。當前較具代表性的學說主要有基本人權(quán)說、公共物品說、隱私權(quán)說、一般人格權(quán)說、新型人格權(quán)說和新型民事權(quán)利說。有學者基于個人信息保護的需要、人權(quán)與基本權(quán)利的關(guān)系以及個人信息普遍受侵害的事實，認為個人信息屬于一項新興的基本人權(quán)，即“不論個人信息由何人收集，其本質(zhì)上還是有關(guān)信息主體的信息記錄，是公民個人的基本權(quán)利”[10]。也有學者從具體權(quán)利出發(fā)證成個人信息的憲法屬性，認為“信息自決權(quán)”是我國憲法未列明的基本權(quán)利，即《憲法》第38條“公民的人格尊嚴不受侵犯”擁有足夠的解釋空間可以容納信息自決權(quán)的存在[11]。還有學者從立法目的出發(fā)，認為個人信息保護主要是為了促進共同利益而非私人利益，為此應將個人信息視為公共物品看待，弱化自然人對信息的占有，允許各方對信息的收集、分析和使用[12]。還有學者認為，大數(shù)據(jù)時代的個人信息仍然應當歸入隱私的范疇，以便于基于場景理論的隱私判斷模式為個人信息保護提供適當?shù)幕A(chǔ)[13]。有學者從個人信息的保護對象與權(quán)利內(nèi)容出發(fā)，認為個人信息主要以人格利益為保護對象和權(quán)利內(nèi)容，屬于具有人格權(quán)本質(zhì)特征的新型的人格權(quán)[14]。也有不同觀點指出，個人信息既非公法權(quán)利也非私法中的人格權(quán)或者財產(chǎn)權(quán)，更非知識產(chǎn)權(quán)，而是互聯(lián)網(wǎng)時代所出現(xiàn)一種新型的民事權(quán)利[15]。

上述學說之中，“人權(quán)說”或“憲法權(quán)利說”無法為個人信息保護提供具體的指引?！叭藱?quán)說”雖為早期歐洲法院保護個人信息時所創(chuàng)，但在我國并無相應地司法實踐基礎(chǔ)，而且我國也無類似于歐洲“人權(quán)憲章”之類的法律文件?！皯椃?quán)利說”認為個人信息屬于我國憲法未明確列舉的基本權(quán)利，一方面難以獲得實證法層面的支持，另一方面?zhèn)€人信息保護也不應限制為“公民權(quán)”，任何自然人的信息（不論是否為本國公民）都有受到保護與尊重的權(quán)利。

不過，個人信息究竟屬于私益（人格權(quán)說或隱私權(quán)）還是公共物品則關(guān)系到個人信息的制度設計，應予重視。從共同點來看，私益說與公共物品說均以“利益說”作為個人信息法律屬性的判斷工具?！袄嬲f”主要以法律所保護的是公共利益還是私人利益作為界定法律關(guān)系客體性質(zhì)的主要依據(jù)。早在羅馬法時代，烏爾比安就曾提出過利益說的判斷方法，“公法是有關(guān)羅馬國家的法律，私法則涉及個人利益?！钡珜嶋H上，利益說也存在著難以克服的缺陷，即公共利益與私人利益往往是難以分離的，一項權(quán)利之上不可能僅有公共利益或者私人利益，而通常是公私利益混合的產(chǎn)物。例如，所有權(quán)被認為是私人利益的典型，但所有權(quán)之上也存在公共利益屬性，即個人所有權(quán)之行使不得妨礙社會秩序與公共安全。個人信息也具有類似的特點，其上不僅承載有信息主體的私人利益，信息的公共管理價值和流通價值至少表明個人信息之上也同時具有某種公共利益的屬性。因此，從利益說出發(fā)難免會陷入非此即彼的尷尬境地。

筆者認為，應以權(quán)利主體的性質(zhì)作為個人信息屬性的判斷標準。根據(jù)“主體說”，如果某項法律關(guān)系中至少一方當事人是以公權(quán)主體的性質(zhì)參加這項法律關(guān)系的，那么該項法律關(guān)系就屬于公法的范圍，不符合這一條件的所有法律關(guān)系都屬于私法的范疇。主體說的優(yōu)點在于可最大程度地避免爭議。法律關(guān)系的主體總是唯一的，不可能出現(xiàn)既是公法主體又是私法主體的現(xiàn)象。但主體說也有不可忽視的問題，即法律主體有時會參加多個法律關(guān)系，因此難免受到不同法律規(guī)范的調(diào)整，比如消費者就需要同時參加公法與私法中的多重法律關(guān)系，因而消費者保護法救濟屬于公法還是私法一直備受爭議。如果輔之以行為標準，則可以更好地解決這個問題。按照梅迪庫斯的說法，公法是受約束決定的法，而私法是自由決定的法[16]。毫無疑問，個人信息是從屬于自然人主體的信息，從主體說出發(fā)個人信息具有私法屬性無疑。從行為論的角度觀察，自然人對個人信息擁有廣泛的決定權(quán)，而個人信息主要是自主決定自己信息的權(quán)利，因此，個人信息當然屬于私法意義上的權(quán)利。

至于個人信息在性質(zhì)上究竟是財產(chǎn)性權(quán)利還是人格性權(quán)利，則要從其主要權(quán)益內(nèi)容著手加以分析。首先，個人信息具有人格屬性這一點毋庸置疑。人格是指人之所以為人所表現(xiàn)出來的本質(zhì)特征，比如身體權(quán)、健康權(quán)等與自然人人身密切相關(guān)的權(quán)利。除此之外，還存在所謂“精神性人格權(quán)”，即人的名譽、榮譽、隱私等有關(guān)精神利益的人格權(quán)。從信息主體對個人信息所享有的權(quán)利內(nèi)容來看，一旦個人信息遭受泄露或者篡改，信息主體所遭受精神性的痛苦將難以避免，如隱私泄露、騷擾電話、推銷短信等，因此個人信息應屬精神性人格權(quán)的范疇。其次，個人信息的財產(chǎn)屬性多為商業(yè)需求的產(chǎn)物并非個人信息的本質(zhì)屬性。當前有關(guān)個人信息究竟是財產(chǎn)權(quán)還是人格權(quán)的重要分歧點在于，不少學者都認為個人信息之上還有財產(chǎn)屬性，這其實是一種誤解。個人信息最多只能表現(xiàn)為一定的商業(yè)利用價值，如定向推送廣告、消費行為分析等，而難以體現(xiàn)出直接的經(jīng)濟價值。具有財產(chǎn)屬性的實際上是個人信息利用過程中所產(chǎn)生的數(shù)據(jù)，但這些數(shù)據(jù)又因其脫離了人格屬性，僅具有財產(chǎn)價值，而不具有人格因素，可以成為財產(chǎn)權(quán)的對象，而不能成為人格權(quán)的客體[17]。最后，從個人信息的立法意旨來看，既要實現(xiàn)對信息主體人格利益與財產(chǎn)利益的保護，又要規(guī)范個人信息的合理利用行為，顯然并非當前任何一種傳統(tǒng)人格權(quán)類型可以涵蓋[18]。綜上可知，個人信息應當屬于一種新型人格權(quán)。

（二）保護模式之分歧

當前我國學者就大數(shù)據(jù)時代個人信息保護必要性已經(jīng)基本達成共識，但在具體保護路徑上的分歧依然較為明顯。概括而言，主要有公法保護為主說、私法保護為主說、綜合保護說等三種主張。

采納公法保護為主說的學者認為，個人信息的私法保護模式一方面不利于信息的流通，給數(shù)據(jù)企業(yè)造成過重的負擔，不利于大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。另一方面大數(shù)據(jù)時代個人信息保護將面臨系統(tǒng)性的風險，自然人很難對信息收集、處理的風險作出準確的判斷，賦予信息主體以個人信息權(quán)往往流于形式。基于私法保護的不足，有學者認為個人信息的流通具有公共價值屬性，個人信息的保護目的應在于防范相關(guān)風險和促進個人信息的合理流通，對此應當建立公法保護為主的模式進行風險規(guī)制，同時在特定領(lǐng)域和特定情形中賦予個體以類似于消費者的權(quán)利加以保護[19]。還有學者認為，大數(shù)據(jù)時代個人對其信息的產(chǎn)生既沒有勞動也無法獨占，更無法以私權(quán)作為工具對其個人信息進行有效的控制，因此應將個人信息視為公共物品加以保護和規(guī)制，通過公權(quán)力的專門機構(gòu)對個人信息的收集、使用、控制進行監(jiān)管來達到促進個人信息的共享與使用之目的[20]。

主張個人信息保護以私法為主的學者一般從比較法的現(xiàn)狀與個人信息的私法特質(zhì)為出發(fā)點加以論證。例如，有學者認為個人信息無論是從法理、比較法還是我國個人信息的立法構(gòu)造都可以證明其人格權(quán)屬性，應當借鑒歐美場景理論下的風險管理模式，強化個人對其信息的控制，建立差異化的損害賠償模式[21]。還有學者認為，大數(shù)據(jù)時代個人信息的人格權(quán)保護或侵權(quán)法均有其不足之處，只有賦予信息主體以財產(chǎn)權(quán)的方式才能最大程度地有利于公平正義的實現(xiàn)、法律體系的內(nèi)在統(tǒng)一和社會利益的最大化[22]。基于對隱私權(quán)保護模式與法益保護模式的批判，有學者指出應當采用賦權(quán)保護模式補強信息主體在大數(shù)據(jù)時代的弱勢地位，以平衡權(quán)利保護、信息流通和公共利益三者之間的關(guān)系[23]。

采納綜合保護路徑說的學者普遍認為，個人信息已經(jīng)遠遠超出了公私法二分的傳統(tǒng)法律性質(zhì)，應當采用綜合治理模式予以回應。比如，有學者認為個人信息的私權(quán)保護模式只能為個人信息保護提供前提與基礎(chǔ)，但真正有效的治理模式還應當建立在以行業(yè)模式為主導的多元并行的治理框架之上[24]。還有學者認為應當建立以公法為依托，私法為主干，社會法為補充的綜合保護模式，即通過公法確認個人信息安全的優(yōu)先地位，通過個人信息權(quán)利化以保障個人信息的安全[25]。

三、現(xiàn)狀分析與未來展望

（一）個人信息保護的立法目的與價值取向尚未厘清

當前我國大多數(shù)學者認為個人信息保護立法確有整合之必要，但對于個人信息保護的立法目的與基本價值取向仍缺乏必要的基礎(chǔ)性共識。尤其是，我國個人信息的立法目的究竟是為了保護自然人的人格利益還是為了數(shù)據(jù)產(chǎn)業(yè)的發(fā)展抑或是政府公共管理職能的實現(xiàn)？三者之間關(guān)系如何？何者應居于優(yōu)先地位？對這一問題的不同回答，將會導向不同的立法方向，成為學說分歧的根本原因所在。一般而言，認為個人信息保護主要是為了維護人格尊嚴的學者多數(shù)傾向于個人信息的人格權(quán)保護方式，而主張個人信息具有財產(chǎn)價值的學者則更加傾向于賦予信息主體以財產(chǎn)權(quán)的保護方式。此外，不少學者已經(jīng)明確意識到個人信息上并非僅有私法屬性，還具有某種公共利益的屬性，因而主張將個人信息作為公共物品對待，以類似于保護消費者的方式加以保護。盡管信息社會是否就是合作社會，個人信息又如何成為公共物品仍有諸多值得商榷的余地。但可以肯定的是，大數(shù)據(jù)時代個人信息的保護與利用應當取得適當平衡，而這一平衡的基點應當建立在維護信息主體人格尊嚴的前提下，鼓勵信息的利用與自由流動。

其正當性基礎(chǔ)在于：第一，個人信息來自于自然人，是從屬于自然人的人格權(quán)利，由此決定了個人信息保護的立法基礎(chǔ)在于維護自然人的人身自由與人格尊嚴。大數(shù)據(jù)時代個人信息雖然也有具有一定的財產(chǎn)價值，但單個信息所蘊含的財產(chǎn)價值顯然是微乎其微的。當前我國尚未出現(xiàn)個人信息有償使用的法律實踐，數(shù)據(jù)價值二次挖掘的對象也僅限于數(shù)據(jù)而非個人信息。正如學者所言，“法律對個人信息加以保護，本質(zhì)上是保護人格利益（人的尊嚴和自由），而自然人對其個人信息，無論單一的還是集合的，其直接經(jīng)濟價值都是可以忽略不計的”[26]。另一方面作為個人信息的姓名、住址、身份號碼、電話號碼等個人身份信息并非數(shù)據(jù)的價值的真正來源，恰恰是對去身份信息之后數(shù)據(jù)的分析和處理才實現(xiàn)了數(shù)據(jù)的增值[27]。第二，個人信息雖然具有一定的公共管理價值，但并不能因此否認其私權(quán)屬性。所謂“個人信息的公共管理價值”，是指個人信息的收集、使用和分析對于社會管理、犯罪預防、重大公共事件的預警具有一定的價值，但盡管如此，個人信息仍然是從屬于自然人的信息，仍然負載有自然人的人格利益。第三，個人信息的公法限制來自于法律的明確規(guī)定，商業(yè)利用則需要來自于信息主體的授權(quán)，二者之間并不矛盾。一般而言，行政機關(guān)的個人信息收集具有普遍性、公益性和強制性的特點，其目標在于提高行政效率、改善社會管理、保障公共安全等公益目的，其收集個人信息的合法性來自于法律的明確授權(quán)，具有特定的目的性、收集的合法性、范圍的明確性等特點。而個人信息的商業(yè)收集具有明顯的商業(yè)性、營利性和風險性的特點，其主要目的是為了解消費者的消費行為和消費需求，以便定向推送廣告、有針對性地制定營銷策略、尋找潛在的商業(yè)機會等，個人信息商業(yè)利用的合法性來源在于信息主體的明確授權(quán)，需要受到信息主體個人信息權(quán)利的制約。

（二）單一路徑無法為個人信息提供完善的保護

當前，對于個人信息的保護不論是公法保護路徑說還是私法保護路徑說，都無法滿足大數(shù)據(jù)時代個人信息的保護的復雜要求，其原因在于大數(shù)據(jù)時代個人信息利益訴求的多元性、信息技術(shù)的復雜性，以及個人信息本身所蘊含的巨大價值。

第一，大數(shù)據(jù)時代個人信息并非僅存于私人利益或者公共利益，而毋寧是對整個社會管理、經(jīng)濟發(fā)展、犯罪預防、國家安全都具有重要意義。大數(shù)據(jù)存在的多元利益格局決定了其保護方式也應當是多元的。第二，大數(shù)據(jù)時代信息主體、信息控制者、信息處理者之間的地位懸殊，導致單一路徑無法起到良好的規(guī)制效果。大數(shù)據(jù)背景下，個人與數(shù)據(jù)控制者之間客觀地存在著技術(shù)能力與經(jīng)濟地位的顯著差異，大數(shù)據(jù)殺熟、算法黑箱等技術(shù)手段進一步加劇了這種不平衡地位。典型地，如個人信息的去識別化是個人信息成為數(shù)據(jù)的前提，但如果不禁止數(shù)據(jù)的再識別則很難防止大規(guī)模侵權(quán)行為的發(fā)生，此時違反禁止性規(guī)定不應止于民事?lián)p害賠償，嚴重者還應當給予行政處罰甚至是追究其刑事責任，唯有如此才能保障數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展。第三，大數(shù)據(jù)時代公權(quán)力部門也是個人信息的積極控制者，如何防止公權(quán)力機關(guān)以社會管理為由侵害公民的個人信息權(quán)益，是大數(shù)據(jù)時代個人信息保護必須認真面對的課題。從分工上來說，個人信息之上的人格屬性和財產(chǎn)價值屬于民事法律保護的對象，但對于依法收集、保管、使用這些信息的國家機關(guān)或者社會組織而言，對于個人信息的共享與治理則顯然屬于公法的規(guī)制領(lǐng)域[28]。第四，信息技術(shù)的特點決定了單一路徑無法為個人信息提供有效的保護。對此，筆者認為無論是否制定統(tǒng)一的個人信息保護法，對于個人信息的保護都應當建立公私法協(xié)同并進的綜合治理模式。在這一治理模式之中，應當充分發(fā)揮各部門法的功能，以實現(xiàn)內(nèi)部統(tǒng)一、體系協(xié)調(diào)的保護機制。

（三）個人信息賦權(quán)保護應是未來研究的重點

探討個人信息的法律保護應當以我國當前的法律文化與現(xiàn)實基礎(chǔ)為出發(fā)點，就此而言，對于個人信息保護的未來研究重點應在于賦權(quán)保護模式。其理由主要在于：其一，隱私權(quán)概念下的個人信息保護與我國的法律傳統(tǒng)難以契合，將會造成法律適用中的諸多困擾。首先，以美國為代表的隱私權(quán)保護模式有其獨特的歷史背景與文化內(nèi)涵。從歷史的維度觀察，美國的隱私權(quán)大致經(jīng)歷了不被打擾的權(quán)利、有限接近自我權(quán)、私生活秘密權(quán)、私密關(guān)系權(quán)到信息控制權(quán)的發(fā)展軌跡，并且目前仍處于發(fā)展與變動之中，這與其獨特的隱私文化和司法體制有關(guān)[29]。而我國素有大陸法系傳統(tǒng)，理論與司法實務之中又普遍將隱私權(quán)理解為個人生活安寧權(quán)和私生活秘密權(quán)，與美國模式有較大差異，不具備借鑒的前提條件。其次，隱私權(quán)保護模式無法解決信息的控制與利用的問題。如前所述，我國法律傳統(tǒng)中的隱私權(quán)向來被理解為消極意義的獨處權(quán)或者私生活秘密權(quán)，而在信息時代迫切需要解決的是個人信息積極控制問題。例如，發(fā)布針對特定人的錯誤信息并不構(gòu)成對隱私權(quán)的侵害但卻顯然侵害了個人信息權(quán)；再比如我們無法援引隱私權(quán)對已公開的信息加以保護，但對個人敏感信息的不當公開顯然可以成為個人信息權(quán)的保護客體[30]。尤其是在大規(guī)模的信息處理中，處理者往往占據(jù)技術(shù)和資源方面的優(yōu)勢地位。當隱私權(quán)下的信息處理者沒有報告義務，信息主體也沒有查閱權(quán)之時，其將無法應對信息侵權(quán)中的舉證難題，只能淪為被動的受害者[31]。最后，隱私權(quán)內(nèi)涵的模糊性也無法為個人信息的保護提供穩(wěn)定的法律框架?；仡欕[私權(quán)的發(fā)展歷程不難發(fā)現(xiàn)，其始終是以核心概念為圓心，保護范圍為半徑，以向外畫圓的方式意圖明確隱私的涵蓋范圍。除去隱私內(nèi)涵本身的不確定性之外，隱私的涵蓋范圍也始終處于變動之中，以致于沒有人能夠為隱私下一個確切的定義，也就沒有人能夠徹底明確隱私權(quán)的保護范圍。其二，從現(xiàn)行法律體系出發(fā)，賦權(quán)保護模式更具穩(wěn)定性與現(xiàn)實可行性。賦權(quán)保護模式的優(yōu)點在于為各方主體在個人信息利用的過程中明確具體的權(quán)利、義務與責任，這與我國一直以來堅持賦權(quán)保護的法律傳統(tǒng)相契合。無論是《民法通則》第120條、《民法總則》第110條所列舉民事權(quán)利，還是《侵權(quán)責任法》第2條所列舉的民事權(quán)益，我國向來對于權(quán)利保護采用權(quán)利法定的立法模式。司法實踐中的運行模式也體現(xiàn)了這一特點，即裁判者首先要考察該項權(quán)利保護訴求是否屬于法律所明文列舉的權(quán)利類型，如果不是，則需要在具體案件中通過利益衡量的方式解決該類法益是否值得保護的問題。利益衡量的主要缺點在于不穩(wěn)定性，即立法者無法為個案中的利益衡量提供的具體的指導。由此不難理解，一方面賦權(quán)保護模式可以為法官裁判案件提供具體的指引，防止個案中的利益衡量走向同案異判的司法困境；另一方面賦權(quán)保護也可以為信息主體以及信息從業(yè)者提供具體的行為標準，最大限度地防止信息侵權(quán)的發(fā)生。其三，賦權(quán)保護不等于私權(quán)不受公法限制。私法自治是實現(xiàn)個人自由的理想狀態(tài)，但個人自由是否真正有利于社會公正卻始終值得懷疑[32]。個人信息賦權(quán)保護的重點在于明確個人對其個人信息所享有的權(quán)利空間，而絕非完全不受任何限制的排他性權(quán)利。這是因為個人信息之上還存有公共利益屬性，它決定了自然人對其個人信息享有的權(quán)利必將受到公法限制。比如，行政機關(guān)基于公共管理的需要有權(quán)收集自然人的個人信息，此種收集具有一定的強制性而不必經(jīng)過嚴格的知情同意程序，但應當受到合目的性、必要性等公法限制。也正因為這種公益性質(zhì)使得個人信息的公益使用應當區(qū)別于商業(yè)主體的個人信息利用行為，后者應當遵循更為嚴格的主體授權(quán)。其四，賦權(quán)保護模式在我國具有現(xiàn)實的立法基礎(chǔ)。盡管當前我國個人信息的立法體系還很不完善，但賦權(quán)保護模式已經(jīng)初具規(guī)模，可以說，在相當程度上立法者對于賦權(quán)保護模式已經(jīng)作出了選擇。比如我國《民法典》在其第五章“民事權(quán)利”之下分別規(guī)定隱私權(quán)和個人信息保護，說明立法者已經(jīng)意識明確意識到個人信息與隱私權(quán)有所不同，未來司法實踐也將朝向明確區(qū)分二者的路徑上發(fā)展。《網(wǎng)絡安全法》不但采納了“可識別性”作為個人信息辨別的標準，而且將“同意”和“約定”作為個人信息處理的正當性依據(jù)，將“刪除”和“更正”作為信息主體的積極權(quán)能，與比較法上的“個人信息權(quán)”已經(jīng)非常接近了。

（四）對知情同意不能機械地加以理解

作為個人信息處理的正當性基礎(chǔ)，知情同意受到了學者的普遍關(guān)注。從研究現(xiàn)狀來看，對知情同意的反思與改進成為當前研究中的兩條主線。一部分學者認為在大數(shù)據(jù)時代同意原則已經(jīng)失去了正當性基礎(chǔ)，不應再成為個人信息合法使用的前提[33]。另一部分學者則主張對知情同意原則改進之后加以應用[34]?？傮w而言，既有研究在理解知情同意時不同程度地存在簡單化、概括化與機械化的偏差。首先，知情涉及告知方式問題，同意是否有效同樣取決于告知方式是否合理。告知幾乎是全球所有涉及個人信息法律規(guī)范的核心原則[35]，同意的有效性、選擇權(quán)的行使、信息處理的合法性均以之為基礎(chǔ)。強調(diào)知情同意的重要意義在于大數(shù)據(jù)時代涉及的個人數(shù)據(jù)分析往往會背離最初的收集目的，由此可能會引發(fā)對個人信息自主權(quán)的侵害。比如，商家為寄送貨物獲取的個人地址和聯(lián)系方式被用來進行第二次定向廣告的推送，這顯然超越了信息主體第一次授權(quán)使用的范圍。因此，同意不能理解為概括同意，而應當結(jié)合控制主體的告知方式以及同意的具體場景加以判斷。其次，同意不是普遍的，根據(jù)信息種類不同，信息使用的場景不同，同意的要求也不盡相同。個人信息分為一般個人信息與敏感個人信息，二者的區(qū)別在于與自然人人格的密切程度有所不同。很顯然，對個人敏感信息的侵害可能造成更為嚴重的后果，因此應當遵循更為嚴格的同意標準。個人信息的動態(tài)性和場景性決定了在不同情形下對個人信息的使用并非一成不變[36]。再次，同意存在例外規(guī)則。不少論者對知情同意的批判建立在信息保護與利用之間的關(guān)系平衡上，認為同意規(guī)則存在機械化的問題。但事實上，除去對同意的理解偏差之外，同意的例外規(guī)則為保護與利用之間的平衡預留了足夠空間。最后，同意原則之下應尊重主體的自主選擇。基于法律家長主義情結(jié)，不少論者對于知情同意的批評已經(jīng)不自覺地超越了客觀主義的法立場。事實上，當事人在諸多情形下的選擇均是基于一個正常的理性人對自身利益的權(quán)衡，并不能表明知情同意已經(jīng)陷入形式主義。更何況，同意的有效性并非絕對，還存在事后審查的問題。值得強調(diào)的是，同意并非個人信息處理唯一的合法性依據(jù)，同意的有效性也絕非簡單的勾選動作所能決定。簡而言之，必須提升知情同意原則的有效性。

參考文獻：

[1]儲節(jié)旺、李安.新形勢下個人信息隱私保護研究[J].現(xiàn)代情報，2016（11）：21-26.

[2]王衛(wèi)、張夢君、王晶.數(shù)據(jù)交易與數(shù)據(jù)保護的均衡問題研究[J].圖書館，2020（2）：75-79.

[3]彭誠信.數(shù)據(jù)利用的根本矛盾何以消除——基于隱私、信息與數(shù)據(jù)的法理厘清[J].探索與爭鳴，2020（2）：79-85.

[4]齊鵬飛.論大數(shù)據(jù)視角下的隱私權(quán)保護模式[J].華中科技大學學報（社會科學版），2019（2）：65-75.

[5]王玉林.大數(shù)據(jù)中個人信息開發(fā)利用法律問題研究[J].情報理論與實踐，2016（9）：19-24.

[6]相麗玲、楊蕙.個人數(shù)據(jù)保護與開發(fā)理念的演化與評價[J].情報理論與實踐，2017（11）：90-95.

[7]張衡.大數(shù)據(jù)監(jiān)控社會中的隱私權(quán)保護研究[J].圖書與情報，2018（1）：71-80.

[8] [英]戴恩·羅蘭德、伊麗莎白·麥克唐納.信息技術(shù)法（第二版）[M].宋連斌等譯，武漢：武漢大學出版社，2004：300.

[9]張濤.歐盟個人數(shù)據(jù)匿名化的立法經(jīng)驗與啟示，圖書館建設，2019（3）：58-64.

[10]龔子秋.公民“數(shù)據(jù)權(quán)”：一項新興的基本人權(quán)[J].江海學刊，2018（6）：157-161.

[11]姚岳絨.論信息自決權(quán)作為一項基本權(quán)利在我國的證成[J].政治與法律，2012（4）：72-83.

[12]劉迎霜.大數(shù)據(jù)時代個人信息保護再思考——以大數(shù)據(jù)產(chǎn)業(yè)發(fā)展之公共福利為視角[J].社會科學，2019（3）： 100-109.

[13]房紹坤、曹相見.個人信息人格利益的隱私本質(zhì)[J]法制與社會發(fā)展，2019（4）：99-120.

[14]王利明.論個人信息在人格權(quán)法中的地位[J].蘇州大學學報，2012（6）：68-75.

[15]李偉民.“個人信息權(quán)”性質(zhì)之辨與立法模式研究[J].上海師范大學學報（哲學社會科學），2018（3）：66-74.

[16] [德]卡爾·拉倫茨.德國民法通論[M].王曉曄等譯，北京：法律出版社，2003：6.

[17]姬蕾蕾.論個人信息利用中同意要件的規(guī)范重塑[J].圖書館，2018（12）：85-91.

[18]嚴鴻雁.論個人信息權(quán)益的民事權(quán)利性質(zhì)與立法路徑——兼評《個人信息保護法》（專家建議稿）的不足[J].情報理論與實踐，2013（4）：43-46.

[19]丁曉東.個人信息私法保護的困境與出路[J].法學研究，2018（6）：194-206.

[20]吳偉光.大數(shù)據(jù)技術(shù)下個人數(shù)據(jù)信息私權(quán)保護論批判[J].政治與法律，2016（7）：116-132.

[21]姬蕾蕾.個人信息保護立法路徑比較研究[J].圖書館建設，2017（9）：19-25.

[22]劉德良.個人信息的財產(chǎn)權(quán)保護[J].法學研究，2007（3）：80-91.

[23]王成.個人信息民法保護模式的選擇[J].中國社會科學，2019（6）：124-146.

[24]劉曉春.大數(shù)據(jù)時代個人信息保護的行業(yè)標準主導模式[J].財經(jīng)法學，2017（2）：11-21.

[25]程關(guān)松.個人信息保護的中國權(quán)利話語[J].法學家，2019（5）：17-29.

[26]張新寶.《民法總則》個人信息保護條文研究[J].中外法學，2019（1）：54-74.

[27]金耀.個人信息去身份的法理基礎(chǔ)與規(guī)范重塑[J].法學評論，2017（3）：120-130.

[28]田宏杰.竊取APP理個人信息的性質(zhì)認定——兼及個人信息與個人隱私的界分[J].人民檢察，2018（7）：27-31.

[29]黃令章.重塑大數(shù)據(jù)時代下的隱私權(quán)法理——以隱私權(quán)概念為主要內(nèi)容[J].月旦法學雜志，2018（12）：131-162.

[30]石佳友.網(wǎng)絡環(huán)境下的個人信息保護立法[J].蘇州大學學報，2012（6）：85-96.

[31]謝遠楊.信息論視角下個人信息的價值——兼對隱私權(quán)保護模式的檢討[J].清華法學，2015（3）：94-110.

[32] [德]迪特爾·梅迪庫斯.德國民法總論[M].邵建東譯，北京：法律出版社，2013：143.

[33]任龍龍.論同意不是個人信息處理的正當性基礎(chǔ)[J].政治與法律，2016（1）：126-134.

[34]徐麗枝.個人信息處理中同意原則的使用困境與出路[J].圖書情報知識，2017（1）：106-113.

[35] [美]詹姆斯·R.卡利瓦斯、[美]邁克爾·R.奧弗利.大數(shù)據(jù)商業(yè)應用風險規(guī)避與法律指南[M].陳婷譯，北京：人民郵電出版社， 2016：52.

[36]齊愛民、張哲.識別與再識別：個人信息的概念界定與立法選擇[J].重慶大學學報（社會科學版），2018（2）：119-131.

The Dilemma and Way Out of Personal Information Protection in the Era of Big Data

——Review and Reflection Based on the Current Research Situation

SHI Ming-tao（Guanghua Law School， Zhejiang University， Hangzhou 310008， China）

Abstract： In the era of big data， personal information protection is facing a double dilemma of theory and reality. In theory， it mainly comes from the fuzziness of concept definition， the confusion of terminology use， the misunderstanding of information technology and the difficulty of information right itself. The practical aspects mainly come from the char？ acteristics of information itself， the multiple value of information and the progress of information processing technology. From the perspective of research status， the differences of personal information protection mainly focus on the legal at？ tributes of personal information and the choice of protection mode. In this regard， it should be clear that the value basis of personal information protection in the era of big data lies in the personal interests carried on by personal informa？ tion； at this stage， no single path can provide complete protection for personal information. In the era of big data， per？ sonal information protection should be based on a comprehensive governance system in which multiple department laws connect and cooperate with each other. The future research of personal information protection in China should fo？ cus on clarifying the right space of personal information subject and enhancing the effectiveness of the principle of in？ formed consent.

Key words： personal information； personal information right； privacy right； informed consent； data right