摘要：我國現(xiàn)行個人信息保護(hù)以“知情同意+例外”為模式，要求信息處理者在收集信息時脫離后續(xù)利用場景對信息處理風(fēng)險做出靜態(tài)的抽象式預(yù)判，顯然無法應(yīng)對大數(shù)據(jù)時代下日益復(fù)雜多變的信息處理場景。因此，我國應(yīng)借鑒域外立法例，建立以場景風(fēng)險理論為核心的個人信息保護(hù)新路徑：在信息初始收集階段，信息處理者應(yīng)綜合考量構(gòu)成場景的多元因素，對信息處理風(fēng)險進(jìn)行動態(tài)評估，依其結(jié)果采取寬嚴(yán)有別的授權(quán)模式;在信息再利用階段，信息處理者應(yīng)履行“場景一致”原則下的告知義務(wù)，并對超場景利用再次請求授權(quán)，以實(shí)現(xiàn)個人信息保護(hù)和利用的雙贏。

關(guān)鍵詞：個人信息; 場景風(fēng)險理論 ;知情同意原則 ;完善

一、前言

大數(shù)據(jù)時代，個人信息所蘊(yùn)含的使用價值、自主價值進(jìn)一步顯現(xiàn)，已經(jīng)成為國家戰(zhàn)略交鋒、企業(yè)競爭以及主體間權(quán)利博弈的焦點(diǎn)，可謂時代的“新石油”。個人信息不僅關(guān)乎信息主體的利益，還與公共安全保障、經(jīng)濟(jì)發(fā)展等國家、社會利益息息相關(guān)。例如在疫情期間，行政機(jī)關(guān)、企業(yè)等主體通過推行健康碼等方式對個人信息進(jìn)行收集使用，對國家疫情防控調(diào)度、增強(qiáng)公民自我保護(hù)的有效性起了舉足輕重的作用。但同時，一些失范的信息收集利用行為屢見不鮮，導(dǎo)致個人信息被濫用進(jìn)而致使信息主體利益受損。不同利益之間的博弈使得個人信息的保護(hù)制度設(shè)計仍存在不少爭議，只有構(gòu)建科學(xué)合理的個人信息保護(hù)法律制度，才能有效平衡個人信息安全保護(hù)和信息流轉(zhuǎn)與使用之間的沖突，以最低的社會成本實(shí)現(xiàn)個人信息最大的價值。

二、我國個人信息保護(hù)的模式及其不足之處

（一）忽視了個人信息敏感度劃分的相對性

現(xiàn)有規(guī)定將個人信息劃分為一般個人信息和個人敏感信息兩大類，依據(jù)《信息安全技術(shù)個人信息安全規(guī)范》的規(guī)定，個人敏感信息指的是一旦泄露、非法提供或?yàn)E用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的個人信息。

（二）信息再利用授權(quán)成本巨大

個人信息的價值并不在于信息本身，而在于對其的不斷挖掘和利用。信息處理者為了防范侵犯個人信息的法律風(fēng)險，就需要盡可能全面詳盡地向信息主體說明收集信息的那內(nèi)容、目的、利用方式、轉(zhuǎn)移對象等內(nèi)容。在瞬息萬變的大數(shù)據(jù)時代，上述內(nèi)容呈現(xiàn)日益復(fù)雜多變的趨勢，信息處理者必然要耗費(fèi)大量的人力物力成本以確保信息處理的合法性。

（三）授權(quán)形式化使知情同意原則無法發(fā)揮實(shí)際效用

法律之所以規(guī)定信息處理者在收集利用信息時需征得信息主體的同意，就是為了盡量減少因信息披露而導(dǎo)致的信息主體對信息的掌控能力減弱的消極影響，最大限度地恢復(fù)這種控制能力。但在實(shí)踐中，授權(quán)卻流于形式化，使知情同意原則無法發(fā)揮實(shí)際效用。

三、我國個人信息保護(hù)立法模式的完善——引入場景風(fēng)險理論

（一）多元因素影響下的風(fēng)險評估及初始授權(quán)

1. 信息主體身份

不同的信息主體對于信息的掌控能力有所不同，因此同樣的信息處理行為對不同的主體而言往往具有不同的風(fēng)險。例如，根據(jù)年齡可以將信息主體劃分為未成年人和成年人，前者相對后者而言，由于其生理心理狀態(tài)都不成熟且缺乏社會經(jīng)驗(yàn)，導(dǎo)致其心理承受能力以及受害后的自我恢復(fù)能力均弱于成年人，某些對于成年人而言并不具備侵害風(fēng)險的信息處理行為對未成年而言就可能具有較高風(fēng)險，因此立法應(yīng)側(cè)重于對其信息進(jìn)行保護(hù)而非利用。

相同或類似信息處理行為對不同信息主體造成的風(fēng)險高低主要取決于兩大因素，其一是信息主體的認(rèn)知程度，此因素直接影響主體對信息的掌控程度，認(rèn)知程度與掌控程度往往成正比;其二是信息主體的知名度，在某一領(lǐng)域內(nèi)知名的公眾人物往往對與該處于該領(lǐng)域內(nèi)或與領(lǐng)域相關(guān)的信息處理行為有較高的容忍義務(wù)，容忍義務(wù)越高，其風(fēng)險評估也就越低。由此，可以基于信息主體身份差異形成一個風(fēng)險評估的類型化體系。

2.個人信息的重要性

現(xiàn)有規(guī)范從單一維度將個人信息靜態(tài)劃分為一般個人信息和個人敏感信息兩大類，這種脫離場景的抽象式預(yù)判，顯然無法適應(yīng)日益復(fù)雜的信息處理行為。筆者認(rèn)為可以從信息的識別性、穩(wěn)定性以及關(guān)聯(lián)性三個方面來確定信息的重要程度。其一，識別度指的是根據(jù)某一個人信息能否直接確定該信息主體。其二，穩(wěn)定性指的是通過個人信息識別特定主體是否具有即時性。其三，關(guān)聯(lián)性指的是某一個人信息與其他信息之間的關(guān)聯(lián)度，即能否據(jù)此信息進(jìn)一步獲得與該主體相關(guān)的其他信息。以上三要素的程度高低都與信息面臨的風(fēng)險高低成正比，因此可以基于個人信息的重要程度形成一個風(fēng)險評估的類型化體系。

3.信息的處理方式

與信息處理方式最直接相關(guān)的兩個因素即信息處理的目的以及信息披露的對象。其一，信息處理目的可依據(jù)信息主體的合理預(yù)期劃分為預(yù)期范圍內(nèi)外兩種情形。其二，對于披露對象則可分為特定對象與不特定對象兩類。

信息處理目的若在信息主體的合理預(yù)期范圍內(nèi)則風(fēng)險較低，反之則風(fēng)險較高;披露對象若為特定群體則信息處理風(fēng)險較低，反之則較高。因此可基于信息處理方式差異形成一個風(fēng)險評估的類型化體系。

（二）“場景一致”下的再利用告知義務(wù)

美國與歐盟都確立了“場景一致”原則，即只要后續(xù)變化的使用能為原先的收集場景所涵蓋，符合信息主體在原先場景中的合理預(yù)期且不會致其權(quán)益受損，那么信息處理者無需再次征得信息主體的同意。場景是否一致由信息處理者自行評估即可，在發(fā)生爭議時由其負(fù)擔(dān)證明場景一致的責(zé)任。我國可在借鑒這一原則的基礎(chǔ)上對其進(jìn)行補(bǔ)充完善，即雖不對信息處理者附以再次請求授權(quán)的義務(wù)，但對其施加告知義務(wù)，要求信息處理者將信息再利用的主體、范圍、方式、應(yīng)用場景、可能存在的風(fēng)險等告知信息主體，并同時告知其享有信息的再利用的否決權(quán)。若信息處理者將對信息進(jìn)行“超場景”的再利用，那么應(yīng)當(dāng)依上述初始收集的標(biāo)準(zhǔn)再次進(jìn)行風(fēng)險評估并請求信息主體授權(quán)。

參考文獻(xiàn)

[1]張振君. 論場景風(fēng)險理論下個人信息保護(hù)路徑的重構(gòu)[D].上海師范大學(xué)，2020.

[2]金松，張立彬.突發(fā)公共衛(wèi)生事件下的個人信息保護(hù)研究——以新型冠狀病毒肺炎疫情為背景[J].情報理論與實(shí)踐，2020，43（06）：16-22.

[3]鄒曉玫，杜靜.大數(shù)據(jù)環(huán)境下個人信息利用之授權(quán)模式研究——重要性基礎(chǔ)上的風(fēng)險評估路徑探索[J].情報理論與實(shí)踐，2020，43（03）：37-43.

作者簡介：饒惠智（2000-），女，湖北咸寧人，華中師范大學(xué)法學(xué)院，本科在讀，主要研究方向：民商法學(xué)。