個人信息保護機制研究
——以個人信息的雙重屬性為切入點

任啟朋

(鄭州大學 法學院，河南 鄭州 450001)

在現代社會，個人信息的不當擴散與利用已成為危害公民權利的社會性問題，對個人信息進行保護已成為全球共識。2012年《關于加強網絡信息保護的規定》將個人信息的保護提上日程，之后的《網絡安全法》《民法總則》都規定了有關個人信息保護的內容。2020年5月通過的《民法典》使個人信息保護又上了一個臺階，其不僅在總則中明確規定個人信息受到法律保護，還創新性地在“人格權編”中單設一章，以顯示我國加強個人信息保護的決心。但由于缺乏明確的法律定位和配套保護規則，在司法實踐中，個人信息被侵害的現象日益多發，個人信息保護機制亟需完善。

一、個人信息保護的雙重屬性

個人信息，是指可識別的具體個人的信息，“可識別性”是個人信息保護的重要特征。無論是直接還是間接方式，只要能通過該信息可以識別出特定自然人，該信息就被認作是個人信息。易與個人信息混淆的概念是“隱私”。隱私一般被認為是個人所擁有的不愿意被外界知悉、討論等的隱秘內容。[1]新頒布的《民法典》將隱私權列為一項獨立的具體人格權，是為了使隱私主體擁有法律賦予的請求權，要求侵害者停止侵害(侵害行為主要包括刺探、泄露等)并賠償損失，因此該權利保護的內容更加強調私密性。但《民法典》并未將個人信息保護定義為一種具體人格權。由此可知，二者既非包含關系也非獨立關系。個人信息保護與隱私保護規范存在交叉，個人信息中包含私密信息。

個人信息不僅是人與人交往時的必備載體，而且也體現了個人與社會的關系，具有雙重屬性。自由主義認為，個人所擁有的價值與目的都不及其自我本身。社群主義則認為，每個人都是由其所處的社會所決定，無數個人構成了社會整體。雖然兩者分屬于不同學派，但都認為每個人的形成離不開兩部分，即自我與社會，即人具有雙重屬性。除此之外，桑德爾提出“自我感知”與“被感知的自我”概念，其認為：對每一個人的解釋都被包含于相互一連串關系的解釋之中，即必須身處于社群這個大環境中解釋自我。[2]個人信息具有人身性，即自我解釋，由桑德爾的觀念可得出個人信息的解釋不僅需要自我感知而且還需要社群感知，個人信息具有雙重屬性——個體性與社會性。前者是指個人信息是認識個人的重要參數，其來源于個人并代表個人；后者則是指個人信息是在個人參與社會活動與他人交往聯系中形成的可代表個人屬性的信息。個人直接信息與個人間接信息的分類是以個人信息的雙重屬性為依據劃分的。[3]前者是指個人信息是源于信息主體本身，無需其他信息輔助即可識別信息主體的信息，體現個人信息的個體性；后者則體現個人信息的社會性，即該信息本身并不具備可識別性，需要與其他信息相聯系從而識別主體信息，其使用可能會對社會產生一定的影響。將個人信息作如此區分，并非是將二者割裂開來，事實上，二者相輔相成，共同構成了個人信息的內涵。在不同歷史時期，同一國家可能會采取不同模式來進行個人信息保護，有的時期可能側重于個體性的保護，有的時期可能側重于社會性的保護，但絕非是單邊性保護。

二、域外個人信息保護之偏重

(一)美國個人信息保護之側重

美國人權觀念與自由平等思想的盛行，形成了美國特色的個人信息保護制度，即個人信息保護就是隱私保護。正如丁曉東學者所說：“雖然美國法上采取‘大隱私’的概念，將信息隱私也視為隱私保護的一種，但實際上美國的信息隱私與傳統的侵權隱私具有結構性的差異，其等同于其他國家的個人信息權利保護?！盵4]隱私權主要保護與人身密切相關的因素，如“Whalen v．Roe案”。①該案不僅主張保護“做出某些重要決定的獨立性”的利益，還主張隱私權保護的利益包括“防止披露個人事務中所體現出的個人利益”，即“信息隱私的憲法權利”，又稱“信息隱私權”。正是從該案開始，美國的個人信息開始與隱私權聯系在一起，信息隱私權被正式納入到了廣義隱私權的框架之中。美國公民在民主文化的影響下，表現出較強的個人主義色彩。托克維爾曾論述過美國式文化背景下個人與社會之間的關系。[5]而隱私保護的客體恰好就是個人與社會這種較為疏遠的關系以尋求實現個人主義。因此，美國將個人信息保護等同于隱私保護，展現出其個人信息保護的個體性偏向。[6]雖然在人權主義的影響下，在美國個人有權去做任何事情，但美國也要求個人作為社會一員犧牲某些權利以獲得政府對其的保護，如“Commonwealt of Kentucky v．Jeffrey Wasson 案”。②由此可見，美國政府對個人信息保護的“隱私權路徑”并非絕對性保護，而是建立在保護社會的基礎上。

(二)德國個人信息保護之側重

德國對個人信息的保護更加偏向于個人信息的公共性，更加重視個人信息在社會交往中所發揮的作用。但德國的個人信息保護并非是對社會性的一種單邊保護，而是將“尊嚴”概念融入其保護模式之中，并形成其特有的“領域理論”。該理論是指每個人的人格產生于不同的領域，基于人具有個體性與社會性的雙重特性，因此領域也被分為個體領域與社會領域。由于每個人的個人信息分屬于領域之中，因此個人信息如同其所處的領域一樣也具有雙重屬性，即個體性與社會性。因為私領域被定義為個人排除周邊影響得以獲得自我的領域。[7]因此可以得出，私領域范圍的界定是以劃定公領域從而排除得出的，所以德國在確定個人信息的保護范圍時也是以其公共性為標準進行劃定，即德國采取的是以社會性為主要偏向的個人信息保護模式。

三、我國個人信息保護之探究

我國是唯一在立法上明確在個人信息的收集與使用階段將信息主體的同意普遍化的國家。根據現行法律，③我國有關個人信息的保護形成了以“知情—同意”原則為基礎，輔以“必要性原則”④與“目的一致性原則”的基本模式。我國的“知情—同意”原則是指信息主體對個人信息的流通、使用等有支配的權利，從這一原則可以看出，我國現階段對個人信息的保護還是側重于對個體性的保護。雖然該原則是保護人權的具體體現，但是個人信息是否非要經信息主體同意后才能流通并得以使用，這是深化我國個人信息保護機制所必須回答的問題。有學者認為，“立法形成的知情同意原則及其附隨原則共同削弱了我國個人信息的流通性，使得信息資源無法充分利用并轉化為信息生產力，從而約束我國創建信息創新型社會的進程。”[8]應當承認，相關原則設立的初衷都是為了使個人信息得到更好地保護，但不可否認，該原則的適用無疑會對社會的整體發展起到抑制作用。在現實生活中，信息主體的時間與精力有限，且冗長的用戶協議可能對信息主體的理解能力有較高的水平要求，因此很可能會出現信息主體不閱讀或粗略閱讀用戶協議即同意的現象。[9]隨著信息化的發展，越來越多的社交網絡需要通過對個人信息的大數據運算來滿足消費者的需求，而且大多數信息也都離不開社交網絡，在這種情況下，信息主體的同意已經沒有太大的實質意義。

在當今大數據時代背景下，個人信息除了其所蘊含的人格尊嚴以外，越來越多的與社會的企業利益、公共利益聯系在一起。我國現今的“知情—同意”原則已經不能滿足有關個人信息的雙重屬性的保護需求，個人信息保護的關鍵不再僅僅是有關人格尊嚴的保護，更多的是平衡個人利益與社會利益。而我國現行法律更加側重于保護個人信息的個體性，個人信息的社會性則被忽略。因此，在深化個人信息保護的研究時，應從個人信息的雙重屬性出發，在個人信息保護中平衡個人利益與社會利益，以便為我國的信息化建設提供法律保障。

個人信息保護應建立在信息生命周期理論之上，該理論是指信息在被處理的各個階段其所代表的價值并非一成不變而是不斷增減變化以求與其所處階段相契合。[10]我國現今對個人信息的保護是較為靜態地對個人信息進行保護。因此，應考慮在信息的不同階段采取不盡相同的保護途徑以求更好地保護個人利益與社會利益。首先，信息收集階段是個人信息進行流通的開端，各種個人信息在此階段被信息收集者進行匯合聚集。雖然在信息收集過程中關系更多的是信息主體的個人利益，但是信息收集階段與個人信息能否合理流通有很大關系，如果在收集過程中過度賦予信息主體的決定地位，則會造成信息收集者的收集成本與難度。因此，在信息收集階段應當以“一般允許為原則，個人控制為例外”，而不應當以“知情—同意”為框架。[11]如果為一般個人信息，則適用于一般允許原則；如果為敏感個人信息，因為其自身蘊含較多的個人隱私，還是應當給予信息主體較高的控制權。其次，對于信息的使用、加工、傳輸等應當比信息的收集進行更為嚴格的控制，因為在此階段更多體現的是個人信息的社會性。在信息的存儲與公開階段，信息處理者往往會存儲大量的個人信息，一旦遭到泄露，則很有可能對有關個人及社會造成嚴重的潛在威脅，因此在該階段應當采取嚴厲措施以預防此種情況的出現。

在對信息進行分類的同時還應結合場景以求個人信息保護的合理性。越來越多的學者提出基于場景化對個人信息進行分類保護，這與國際較為前沿的個人信息保護理論是一致的。以海倫·尼森鮑姆的場景理論為例，其核心就是批判脫離場景與信息關系談論個人信息權利保護。[12]例如，當電商平臺利用收集的個人信息為信息主體提供個性化需求時，如果推薦的是一般商品可推定為其具有一定的合理性，但如果推薦的是特殊商品，如醫療產品，則該行為有可能違法。因為醫療行業是一個技術性的行業，普通人的認知可能與實際差距很大，因此信息收集者與使用者很有可能為了獲得收益而推薦一些并不適合信息主體的產品，后果嚴重時還有可能對人的生命造成威脅。

注釋：

①參見Whalen v．Roe，429 U．S．589(1976)。

②參見Commonwealth of Kentucky v．Jeffrey Wasson，842 S．W．2d 487。

③參見《網絡安全法》第四十一條。

④參見《民法典》第一千零三十五條。