張友連 厲健強

一、問題的提出

2021年11月1日，《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)正式生效，標志著我國公民的個人信息有了專門的法律保護。個人對自身信息的自決權(quán)與救濟權(quán)得到了切實保障，人們終于不必再擔心在信息時代“裸泳”了。《個人信息保護法》在借鑒歐盟《一般數(shù)據(jù)保護條例》等經(jīng)驗的基礎(chǔ)上，形成了諸多亮點和創(chuàng)新。比如，在個人信息的分類上，《個人信息保護法》改變了《中華人民共和國民法典》(以下簡稱《民法典》)中私密信息與一般個人信息的二分，采取了敏感信息與非敏感信息劃分。如果將時間維度放寬，可以發(fā)現(xiàn)中國早期涉及個人信息保護的立法中并未對個人信息加以分類，僅以“個人信息”或“用戶信息”等概念予以整體概括。2012年出臺的《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》(以下簡稱《網(wǎng)信保護決定》)開始對個人信息進行分類，但其側(cè)重點僅在形式意義上進行，并未涉及實質(zhì)性內(nèi)容?！吨腥A人民共和國未成年人保護法》(以下簡稱《未成年人保護法》)和《民法典》中雖進行了實質(zhì)分類，但多采用“隱私信息”“私密信息”等與隱私權(quán)在形式上難以明確區(qū)分的概念。在《個人信息保護法》中，形成了兼具形式與實質(zhì)特征的分類——敏感信息與非敏感信息。由此產(chǎn)生的問題是，分類的背后促進個人信息保護立法發(fā)展的法理念是什么？如何在新的法理念下優(yōu)化個人信息治理？

二、個人信息保護立法中的安全理念

“個人信息”概念首次出現(xiàn)于2003年的《居民身份證法》，該法第6條規(guī)定，公安機關(guān)及其人民警察對因制作、發(fā)放、查驗、扣押居民身份證而知悉的公民的個人信息有保密義務(wù)。此時對于個人信息的保護依附于公職人員履職的義務(wù)之下，也就無所謂分類之說。此后各類涉及個人信息保護的法律、行政法規(guī)多沿此慣例，未對個人信息進行分類，而是以一個統(tǒng)一的概念概而論之。并且對這一“統(tǒng)一概念”的表述也沒有做到真正的統(tǒng)一，“個人信息”“個人電子信息”“用戶信息”等各異的概念均有出現(xiàn)。直到《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》出臺后，“個人信息”的表述才基本穩(wěn)定，并且開始出現(xiàn)對于個人信息分類的嘗試，這種嘗試的出現(xiàn)與當時頻發(fā)的網(wǎng)絡(luò)安全事件密切相關(guān)。

由于之前缺乏必要的法律規(guī)制，網(wǎng)絡(luò)安全問題在2011年前后集中爆發(fā)。2011年12月21日下午，有網(wǎng)友反映稱，CSDN的用戶數(shù)據(jù)庫被黑，600余萬用戶資料被泄露。CSDN在官方微博上證實這一消息，并表示已經(jīng)報案。此后，越來越多的網(wǎng)站賬戶信息在網(wǎng)上流傳，越來越多的網(wǎng)絡(luò)平臺被曝賬戶信息泄露，最終席卷全網(wǎng)20多個平臺，造成四千七百多萬賬戶信息及其他大量文件泄露。除了上述的“互聯(lián)網(wǎng)賬戶信息泄露事件”外，還有“安卓市場惡意軟件”“IE篡改木馬病毒”“蠕蟲病毒”“網(wǎng)絡(luò)釣魚”等互聯(lián)網(wǎng)安全事件不斷發(fā)生，挑戰(zhàn)著公眾的安全神經(jīng)。

“問題是時代的聲音”，為了因應(yīng)層出不窮的網(wǎng)絡(luò)安全問題，2012年起一系列保護網(wǎng)絡(luò)安全、保護電子個人信息的法律、法規(guī)相繼出臺，拉開了中國個人信息保護立法飛速發(fā)展的大幕。正是在應(yīng)對層出不窮的網(wǎng)絡(luò)安全問題的過程中，立法體現(xiàn)了“加強網(wǎng)絡(luò)社會管理，推進網(wǎng)絡(luò)依法規(guī)范有序進行”的“安全理念”。這在2012年頒行《網(wǎng)信保護決定》的立法目的和適用范圍條款中可見端倪?！毒W(wǎng)信保護決定》開宗明義地指出：“為了保護網(wǎng)絡(luò)信息安全，保障公民、法人和其他組織的合法權(quán)益，維護國家安全和社會公共利益，特此決定?！痹谶@里“保護網(wǎng)絡(luò)信息安全”是居于所有目的之首并統(tǒng)領(lǐng)其他目的的?！毒W(wǎng)信保護決定》的適用范圍主要集中于互聯(lián)網(wǎng)商業(yè)服務(wù)領(lǐng)域，主要規(guī)制“網(wǎng)絡(luò)服務(wù)提供者”的活動，這正是對2011年以來所出現(xiàn)的一系列網(wǎng)絡(luò)安全問題的回應(yīng)。對公民權(quán)利的保護僅有第8條規(guī)定的“要求刪除”和“其他必要措施予以制止”，兩相對比，輕重立見。

相較于前期對個人信息的不做分類，《網(wǎng)信保護決定》開始了對個人信息分類的嘗試?！毒W(wǎng)信保護決定》第一條中規(guī)定了“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”，從形式上看，將“公民個人電子信息”分成了“識別公民個人身份的電子信息”與“涉及公民隱私的電子信息”，似乎開“個人信息”分類之先，但是考察全文可以發(fā)現(xiàn)《網(wǎng)信保護決定》保護的對象仍然是“個人電子信息”，并且也缺乏對不同信息分類的配套保護。因此，《網(wǎng)信保護決定》只能說出現(xiàn)了對個人信息的形式分類，與之后的《民法典》《個人信息保護法》中對“個人信息”的分類和對私密信息、敏感信息的特殊保護有本質(zhì)區(qū)別。這樣的形式分類與其說是為了保護個人信息，不如說是為規(guī)制“網(wǎng)絡(luò)服務(wù)提供者”的活動提供依據(jù)，是“安全理念”的另一個體現(xiàn)?！毒W(wǎng)信保護決定》之后的一系列立法基本上延續(xù)了“安全理念”，著力推進網(wǎng)絡(luò)社會管理，保障網(wǎng)絡(luò)安全。例如2017年施行的《網(wǎng)絡(luò)安全法》與《網(wǎng)信保護決定》一脈相承，其中關(guān)于個人信息保護的條款內(nèi)容，幾乎就是《網(wǎng)信保護決定》的發(fā)展和細化，只是改變了《網(wǎng)信保護決定》中對“個人信息”的形式分類，形成以“個人信息”概念整體概括，外加具體信息列舉的概括+列舉模式。

三、個人信息保護立法中的賦權(quán)理念

“安全理念”指導下的一系列立法對維護網(wǎng)絡(luò)環(huán)境、規(guī)制網(wǎng)絡(luò)服務(wù)提供者的活動起到了積極作用。同時，由于“安全理念”以加強網(wǎng)絡(luò)管理為導向，對個人信息的保護重視不足，現(xiàn)實中仍面臨著個人信息遭泄露、濫用的風險，以及受侵害后難以得到有效救濟的困境。這樣的困局要求進一步轉(zhuǎn)變個人信息保護的法理念，尤其是要賦予個體保障個人信息的權(quán)能。

與“安全理念”的網(wǎng)絡(luò)社會管理導向不同，學界多主張將個人信息納入現(xiàn)有權(quán)利體系中，由此形成權(quán)利保護導向的“賦權(quán)理念”。不過，由于最初涉及個人信息保護的立法是為了規(guī)制網(wǎng)絡(luò)安全問題，“安全理念”長期在立法工作中處于主導地位，“賦權(quán)理念”一時難以落地。在《網(wǎng)信保護決定(專家建議稿)》中，學者曾嘗試構(gòu)建對個人信息的權(quán)利保護體系。比如，建議稿的立法目的以個人信息保護的核心價值——隱私權(quán)保護為主導；其適用范圍也涵蓋了一般的公共和私人領(lǐng)域，為個人的信息利益提供保障；在執(zhí)法機制方面，規(guī)定了相對獨立和完善的執(zhí)法機構(gòu)和機制，體現(xiàn)了對個人信息的綜合保護。但在正式頒行的《網(wǎng)信保護決定》中，立法目的仍然以“保護網(wǎng)絡(luò)信息安全”為統(tǒng)領(lǐng)，適用范圍僅限于互聯(lián)網(wǎng)商業(yè)服務(wù)領(lǐng)域，執(zhí)法主體上僅規(guī)定了“有關(guān)主管部門”，《網(wǎng)信保護決定(專家建議稿)》中諸多建議均未被采納?！百x權(quán)理念”面臨的困境可見一斑。

盡管面臨許多困難，學界相關(guān)研究仍在推進，對“個人信息”性質(zhì)以及如何將“個人信息”整合進法定權(quán)利體系的研究不斷深入，并最終在立法中得以實踐?！断M者權(quán)益保護法》中關(guān)于“享有個人信息依法得到保護的權(quán)利”的規(guī)定，可以算作對個人信息概括賦權(quán)，是“賦權(quán)理念”在立法中的初步探索。在2020年修訂的《未成年人保護法》中，“賦權(quán)理念”的相關(guān)主張得到進一步落實。其一，第72條第1款規(guī)定，信息處理者處理未成年人個人信息的，應(yīng)當遵循合法、正當和必要的原則，對處理個人信息做了基本規(guī)定。其二，第72條第2款賦予未成年人、父母或者其他監(jiān)護人以知情、更正、刪除權(quán)，個人真正享有了保護自己信息的權(quán)利，這無疑也是“賦權(quán)理念”的重要實踐。其三，對未成年人的個人信息做了實質(zhì)性的分類。結(jié)合72條與73條的規(guī)定，《未成年人保護法》對個人信息做了兩種類型的分類：依據(jù)年齡，分為14周歲以上未成年人的個人信息與不滿14周歲未成年人個人信息；依據(jù)私密程度，分為私密信息與非私密信息。對不滿14周歲未成年人個人信息與私密信息加以“征得未成年人的父母或者其他監(jiān)護人同意”和“及時提示，并采取必要的保護措施”的特殊保護。之所以將《未成年人保護法》對個人信息的分類視為實質(zhì)分類，正是因為對不滿14周歲未成年人個人信息與私密信息加以特別保護，形成了個人信息的保護體系。個人信息的分類愈是明確，對個人信息的保護愈是周密，個人獲得的保護其個人信息的權(quán)利便愈加周詳，這正是“賦權(quán)理念”的體現(xiàn)。

2021年頒行的《民法典》繼承并發(fā)展了《未成年人保護法》對個人信息的分類與保護，更是“賦權(quán)理念”的生動實踐。首先，《民法典》第111條宣告了“自然人的個人信息受法律保護”，對個人信息負有不得侵犯義務(wù)的主體涵蓋了“任何組織或者個人”，為個人信息保護奠定了基調(diào)。其次，在《民法典》人格權(quán)編中專設(shè)“隱私權(quán)和個人信息保護”一章，盡管個人信息與隱私權(quán)共享一章，盡管相較于隱私權(quán)個人信息只能視為權(quán)益，但對個人信息保護的意義依然十分重大。再次，《民法典》構(gòu)建了對個人信息保護的規(guī)范體系。第1034條第1款宣示了對個人信息的法律保護，第2款以概括+列舉的方式定義了個人信息的內(nèi)涵，第3款又強調(diào)了對“私密信息”的特殊保護。之后的第1035—1039條分別規(guī)定了信息處理的原則，免責事由，自然人的查閱、復制、異議、更正等權(quán)利，個人信息處理者的義務(wù)，國家機關(guān)及其工作人員的保密義務(wù)等內(nèi)容，基本構(gòu)建起了個人信息保護體系。由此可知，《民法典》對個人信息保護的最終目的不只是關(guān)注公共利益，更是為了維護自然人的合法權(quán)益。最后，《民法典》將個人信息分為私密信息與非私密信息，并對私密信息予以特別保護?！睹穹ǖ洹返?034條第3款規(guī)定：“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定。”據(jù)此，私密信息得到了隱私權(quán)與個人信息的雙重保護。私密信息與非私密信息的分類是從隱私權(quán)與個人信息的關(guān)系入手的，之所以專門界分私密信息，不但是因為其具有私密性、私人性，與自然人的生活安寧密切相關(guān)，需要特別的保護，而且是為了界定個人信息與隱私權(quán)的邊界，以便將個人信息納入權(quán)利體系中，這正是“賦權(quán)理念”的直接表現(xiàn)。如此，既可以強化對私密信息的保護，為信息處理者合理利用非私密信息留下空間，也可以盡可能減輕個人信息對原有權(quán)利體系的沖擊。

“賦權(quán)理念”指導下的《未成年人保護法》《民法典》等法律的頒行使得個人信息權(quán)益融入到法定權(quán)利體系中，在個人信息保護事業(yè)上意義深遠。但是，個人信息問題就此妥善解決了嗎？私法的賦權(quán)保護能夠臻于完善嗎？

首先，“賦權(quán)理念”造成了體系銜接不暢的弊病?！段闯赡耆吮Ｗo法》中依據(jù)年齡將個人信息分為14周歲以上未成年人的個人信息與未滿14周歲未成年人個人信息，依據(jù)私密程度分為私密信息與非私密信息。私密信息事關(guān)私生活安寧自然有特別保護的需要，未滿14周歲的未成年人由于經(jīng)驗、能力的不足，對其個人信息也有特別保護的必要。但問題是依據(jù)兩種不同的標準界分的個人信息體系之間應(yīng)當如何銜接呢？以不同標準界分個人信息，固然擴大了個人信息的保護范圍，卻也造成了體系上的不和諧?！睹穹ǖ洹窙]有采取以年齡為標準的個人信息分類方式，只保留了私密信息與非私密信息的分類，在個人信息內(nèi)部避免了體系復雜。但是，在個人信息以外，“私密信息”同時屬于隱私權(quán)的保護范疇，隱私與個人信息由此形成了一種交叉、嵌套關(guān)系。這也就形成了一個邏輯悖論，立法者為了界分隱私權(quán)與個人信息，規(guī)定私密信息為隱私權(quán)與個人信息的交集，如此隱私權(quán)與個人信息的其他部分就可以被區(qū)分。但是，私密信息作為隱私權(quán)與個人信息的交集，又使得隱私權(quán)與個人信息交叉，難解難分。

其次，“賦權(quán)理念”指導下的立法限制了對個人信息的合理利用。所謂“賦權(quán)”自然是賦予個人信息的產(chǎn)生者自然人以保護其個人信息的權(quán)利，側(cè)重點是保護個人利益。個人信息盡管產(chǎn)生于個人，卻流通于社會，社會各主體都有合理利用個人信息的需求。企業(yè)需要信息分析行業(yè)前景，滿足顧客需求。政府需要信息制定公共政策，更好地為人民服務(wù)。社會需要信息制定社會規(guī)范，協(xié)調(diào)各方利益。片面強化個體賦權(quán)可能抬升社會活動成本，限制社會活力，并導致個體無法獲取有效服務(wù)、制定良好公共政策、實現(xiàn)合理信息流通，因此，在保護個人信息的同時，也要為個人信息的合理利用留足空間。如果認為《未成年人保護法》與《民法典》等法律完全忽視對個人信息的合理利用也是不準確的，比如，《未成年人保護法》與《民法典》都規(guī)定了處理個人信息應(yīng)遵循合法、正當、必要等原則，《民法典》第1036條還規(guī)定了處理個人信息的免責事由。這些規(guī)定為個人信息的合理利用留出了一定的空間，但能夠真正解決問題嗎？由于“賦權(quán)理念”的核心在于賦予個人保護個人信息的權(quán)能，對信息的合理利用只能做一些原則性的規(guī)定，這些原則固然可以指導個人信息的利用，但過于概括。比如，處理個人信息應(yīng)遵循合法、正當、必要、適度等原則，那么何為合法，何為正當，何為必要，何為適度？這樣的規(guī)范的指引功能是不確定的，很大程度上依賴于規(guī)范的解釋。如對原則解釋過寬，則有礙于個人信息的保護，有悖“賦權(quán)理念”；如對原則解釋過窄，則不利于個人信息的合理利用。此外，囿于《民法典》的私法性質(zhì)，對于身為重要的信息處理者的政府的信息利用行為，也存在難以有效規(guī)范的問題。因此，“賦權(quán)理念”指導下的立法對個人信息的合理利用的規(guī)范事實上處于一種模糊狀態(tài)，將會限制個人信息的合理利用。

最后，“賦權(quán)理念”對社會風險預估不足。盡管在《民法典》中“個人信息”只是被規(guī)定為一種權(quán)益，卻賦予了個人信息主體由知情同意權(quán)，查閱、復制權(quán)，更正權(quán)和刪除權(quán)，信息安全保障權(quán)等組成的完整權(quán)利束。并且在個人信息受侵犯后也能請求救濟。如此看來，《民法典》對于“個人信息”的保護似乎十分完善。問題是，個人信息主體能否切實地行使這些權(quán)利呢？《民法典》對個人信息主體“賦權(quán)”集中體現(xiàn)在第1037條，本條設(shè)置的查閱、復制、更正和刪除等權(quán)利本質(zhì)上是為了維護個人的信息自決權(quán)。自決是建立在信息主體對個人信息的充分認知與把握之上的，需要考慮的是達到這樣的要求是否存在障礙。個人信息受到侵害固然可以請求救濟，但其可行性是建立在事后救濟足以填平損失的基礎(chǔ)上的，如果個人信息傷害造成了難以逆轉(zhuǎn)的損失，又該如何填平呢？事實上，《民法典》關(guān)于個人信息的規(guī)定是建立在傳統(tǒng)民法“有限風險”理論的基礎(chǔ)之上的。傳統(tǒng)私法立基于簡單商品經(jīng)濟，權(quán)利義務(wù)關(guān)系相對明確，交易風險較小，因而存在忽視風險乃至鼓勵風險的傾向。比如，通過授予當事人大量權(quán)利，使其在意思自治主導下自由交易，促進效率，對于遭受損失的當事人則通過侵權(quán)責任法予以事后救濟，因為風險有限，所以損失可以通過事后救濟填平?！百x權(quán)理念”無疑繼承了對“有限風險”的認識，所以出現(xiàn)了上述賦予事先權(quán)利與事后救濟的模式。問題是，進入信息社會后，交易風險急劇提升。個人信息具有“雪球效應(yīng)”，自然人此刻授權(quán)信息處理者處理的信息或許尚無風險，但下一刻各種信息匯聚可能就會產(chǎn)生損害，當事人往往不能事先預估風險，而事后救濟也未必能彌補損失。因此，“賦權(quán)理念”指導下的立法存在對風險預估不足的問題。

基于以上分析，對于個人信息的保護涉及主體眾多，利益重大，不能僅從“安全理念”入手規(guī)制信息處理主體，也不能僅從“賦權(quán)理念”入手保護個人信息權(quán)益。正確的做法應(yīng)當是通盤考慮，協(xié)調(diào)各方利益，實現(xiàn)整體效益的最大化，這就需要推動個人信息保護立法理念由“安全”“賦權(quán)”向“治理”的轉(zhuǎn)變。

四、個人信息保護立法中的治理理念

“治理理念”意味著我們要思考如何引導經(jīng)濟和社會，以及如何達成集體目標。《個人信息保護法》正是在“治理理念”的指導下，協(xié)調(diào)個人信息保護與信息產(chǎn)業(yè)發(fā)展關(guān)系、追求集體目標的產(chǎn)物。從立法目的分析，《個人信息保護法》是“為了保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用”。這一表述不同于“安全理念”強調(diào)網(wǎng)絡(luò)社會管理，而是明確了“保護個人信息權(quán)益”的首要地位，并且是通過“規(guī)范個人信息處理活動”來實現(xiàn)的。而“促進個人信息合理利用”的規(guī)定也為信息產(chǎn)業(yè)發(fā)展提供了保障，協(xié)調(diào)了個人信息保護和利用之間的矛盾。從適用對象上看，《個人信息保護法》規(guī)定“任何組織、個人不得侵害自然人的個人信息權(quán)益”，其適用對象不再局限于“網(wǎng)絡(luò)服務(wù)提供者”，而包括了一切涉及個人信息處理的個人、市場主體與國家機關(guān)，有效地彌補了《民法典》囿于私法屬性難以詳盡規(guī)制政府處理個人信息活動的缺陷。從保護規(guī)定上看，《個人信息保護法》不但構(gòu)建了完整的“告知—同意”規(guī)則，而且建立了與之配套的個人權(quán)利與信息處理者義務(wù)，加強了對個人信息處理風險的防范。此外，還明確了政府部門履行個人信息保護的職責與侵害個人信息的法律責任，使得對個人信息的保護更加切實可行。

值得注意的是，《個人信息保護法》改變了《民法典》中私密信息與非私密信息的劃分，而代之以敏感信息與非敏感信息。盡管有觀點認為，“個人敏感信息是指關(guān)涉?zhèn)€人隱私核心領(lǐng)域、具有高度私密性、對其公開或利用將會對個人造成重大影響的個人信息”， 敏感信息就是私密信息，但是綜合對比《民法典》與《個人信息保護法》的相關(guān)規(guī)定，可以發(fā)現(xiàn)敏感與非敏感信息、私密與非私密信息的區(qū)分是各有其規(guī)范目的與意義的。不同于私密信息與一般個人信息從界分隱私權(quán)與個人信息的角度劃分個人信息的類別，敏感信息和非敏感信息的分類是從規(guī)范個人信息處理行為的角度來進行的。個人信息不僅涉及人格利益，還具有財產(chǎn)利益性質(zhì)，對個人信息的組織分析可以產(chǎn)生附加利益。對個人信息的合理處理可以產(chǎn)生直接的經(jīng)濟利益，促進信息產(chǎn)業(yè)的發(fā)展，也可以用于智慧安防，維護社會穩(wěn)定。因而，對個人信息的保護要兼顧個人利益與企業(yè)利益、社會利益。這就要求在對個人利益分類時，為個人信息的合理利用留足空間?！秱€人信息保護法》從個人信息處理入手，將在處理中對個人利害影響重大或者不當處理會造成重大損失的涉及人格尊嚴、人身安全、財產(chǎn)安全與未滿十四周歲未成年人的個人信息界定為“敏感信息”，并提高了敏感信息處理者的法定義務(wù)?！懊舾行畔ⅰ钡姆诸愂墙⒃谝?guī)制“泄露或者非法使用”產(chǎn)生的風險之上的，在對“敏感信息”的處理嚴格規(guī)制、提供特殊保護的同時，也確保其他非敏感個人信息得以合理、有效的利用，體現(xiàn)了“治理理念”對社會整體效益的追求。

五、治理理念下個人信息保護立法的優(yōu)化

《個人信息保護法》無疑為實現(xiàn)個人信息相關(guān)效益最大化提供了有效路徑與有益啟示，但是僅靠一部《個人信息保護法》就能妥善處理好個人、企業(yè)與國家的利益糾葛嗎？筆者認為，應(yīng)當在“治理理念”指導下，對個人信息保護加以優(yōu)化。也就是說，綜合所有可用的方法、策略和工具，建立一個協(xié)調(diào)風險治理中各種要素和參與者的“個人信息治理和個人信息保護系統(tǒng)”，將“個人信息保護”進一步發(fā)展為“個人信息治理”以實現(xiàn)整體效益的最大化。為了實現(xiàn)“個人信息治理”的目標，需要從以下四個方面優(yōu)化個人信息保護立法。

(一)明晰個人信息利益格局

“我國社會正在發(fā)生深刻變革，利益關(guān)系日益復雜，利益訴求日益多樣，社會矛盾日益凸顯?！斌w現(xiàn)在個人信息方面，就是不同主體對個人信息利用有著不同的利益、存在著不同的訴求。從“治理理念”分析，個人信息保護最核心的問題就需要對個人、政府、企業(yè)三類主體現(xiàn)實和潛在的利益進行合理分類，通過利益的類型化來實現(xiàn)法律上權(quán)利 / 權(quán)力的規(guī)范化。如圖所示，在個人信息的流通和利用過程中，個人、政府、企業(yè)三方主體形成了相互交錯的利益格局，每一方主體都有自己的核心利益，又都有與其他主體相交錯的共同利益，需要相互協(xié)調(diào)。就個人而言，區(qū)域1是涉及個人隱私的私密信息，這無疑是其核心利益，需要排他保護；區(qū)域4、5、7 部分表示對個人重要程度相對次之的信息，可以經(jīng)過個人同意由政府、企業(yè)采集、使用、流轉(zhuǎn)或者公開。例如，對就學、就業(yè)、消費、旅游等具有一定的身份識別性，但不太涉及隱私的信息，如果合理利用不但不會侵害個人權(quán)益，還有助于個人享受更好的公共服務(wù)與商業(yè)服務(wù)。就政府而言，其核心利益是依據(jù)法定職責或為公共利益而必須收集的個人信息。比如，為調(diào)查犯罪、維持基本社會秩序所必須的信息等。區(qū)域4、6、7 是政府為了提供公共服務(wù)產(chǎn)品，經(jīng)由個人與企業(yè)同意得收集、適用的信息，其構(gòu)成了政府履行特定服務(wù)職能的依據(jù)。就企業(yè)而言，在對大量個人信息進行“去識別化”并通過商業(yè)研發(fā)形成的具有商業(yè)價值的數(shù)據(jù)，可以享有排他的財產(chǎn)權(quán)利，這也是促進信息產(chǎn)業(yè)發(fā)展的題中應(yīng)有之義。區(qū)域5、6、7則是企業(yè)在商業(yè)利用過程中涉及個人、政府利益，需要個人與政府同意的信息。通過對各種涉及個人信息利益的合理安排，形成“三位一體”、層次分明的利益格局，再針對各主體利益提供相應(yīng)的法律規(guī)制與保障，才能有效促進個人信息治理。

(二)強化個人信息收益共享

由于個人信息內(nèi)容豐富，屬性多元，對個人信息的處理、利用可以產(chǎn)生增值收益。比如，企業(yè)通過對龐雜的消費者信息的整理、分析，可以推測出消費者的購物偏好、經(jīng)濟實力、產(chǎn)品需求。基于此進行針對性推銷，可以提高產(chǎn)品銷量，獲得經(jīng)濟收益。信息處理者往往傾向于獨享增值收益，甚至出現(xiàn)個別企業(yè)為了獲得增值收益逾越法律界限、濫用甚至是侵犯個人信息的情形。信息主體不能享受到個人信息處理的增值效益，反而面臨個人信息受侵害的風險，由此就產(chǎn)生了個人信息主體與信息處理者之間的矛盾。個體對個人信息的被利用愈加謹慎乃至排斥，反之信息處理者因難以獲得個人信息，可能傾向于鋌而走險，違反法律。為了解決這一矛盾，應(yīng)當從“治理理念”出發(fā)，堅持以人為本，協(xié)調(diào)個人信息主體與信息處理者的利益，促進個人信息增值收益的共享。個人信息治理要求信息處理者在處理個人信息、獲得增值利益時要注重收益的回饋與共享。例如，政府機關(guān)對個人信息處理后，可以利用個人信息的識別性，建設(shè)智慧安防系統(tǒng)，提升識別效率，排除危險分子，建設(shè)和諧、穩(wěn)定的社會秩序，使全體民眾共享社會治理紅利。企業(yè)通過對個人信息的處理、應(yīng)用，可以針對客戶的需求，提供定制服務(wù)，滿足不同客戶獨特需求，提高服務(wù)水平。以收益共享協(xié)調(diào)雙方關(guān)系，化解矛盾，促進個人信息綜合效益的最大化，符合治理理念的要求。

(三)加強個人信息監(jiān)管合作

個人信息的治理不但需要完善法律、法規(guī)，更需要監(jiān)管部門切實履職，加強監(jiān)管?！秱€人信息保護法》專設(shè)第六章“履行個人信息保護職責的部門”，用于明確監(jiān)管部門的保護、監(jiān)管職能。不過，《個人信息保護法》并沒有設(shè)立專門機關(guān)來統(tǒng)管個人信息的保護與監(jiān)管，而是采取了縣級以上部門各司其職，國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)的分工協(xié)作模式。在此模式下，如何優(yōu)化政府監(jiān)管部門的協(xié)調(diào)合作就變得尤為重要。優(yōu)化個人信息治理，加強個人信息監(jiān)管合作應(yīng)致力完成三個方面的工作：首先，制定實施個人信息保護的具體規(guī)則、標準，尤其是制定履行個人信息保護職責部門的規(guī)則、章程，界定不同機關(guān)之間的權(quán)責范圍。其次，建立不同監(jiān)管部門之間協(xié)助執(zhí)法機制。主要集中于：建立上級監(jiān)管部門對下級監(jiān)管部門工作的指導機制，加強法律適用統(tǒng)一性；建立調(diào)查、處理違法個人信息處理活動的跨部門、跨地域協(xié)作機制，提升執(zhí)法效果；建立對拒絕配合、阻撓執(zhí)法的個人、組織的聯(lián)合懲戒機制，強化對侵害個人信息權(quán)益不法分子的震懾。最后，探索監(jiān)管部門信息共享機制。通過重大案件情報協(xié)助、示范案例通報、定期交流工作經(jīng)驗等方式，加強個人信息監(jiān)管部門之間的信息交流，增強監(jiān)管能力。

(四)完善個人信息裁判規(guī)則

以“治理理念”為指導，實施個人信息保護，不僅需要宣傳守法、加強監(jiān)督，更需要發(fā)揮司法裁判的引導作用，為個人信息利用劃定安全底線。個人信息利用的安全底線，是個人信息利用機制形成的基石，如果突破了安全底線，將會導致整個個人信息利用秩序的整體崩潰。因此，對于違背合法利用原則、違反法定或約定的利用事由、侵害個人信息權(quán)益的行為必須嚴厲制裁。個人信息司法裁判需要協(xié)調(diào)好各方主體利益關(guān)系，必須確定個人信息損害賠償標準，以事后規(guī)制彌補損失，緩和各方主體之間的矛盾。《個人信息保護法》確定了“按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定”與“根據(jù)實際情況確定賠償數(shù)額”的賠償標準。依據(jù)此標準，有助于保障信息主體的利益，即便個人損失難以確定，也可以依據(jù)信息處理者的獲益確定賠償，何況還有“根據(jù)實際情況確定”的兜底。在司法適用中確定個人損失時，應(yīng)當同時關(guān)注對信息處理者的利益保護。個人信息收益中的一大部分是因信息處理者處理信息而產(chǎn)生的增值收益，對于其中信息處理者的勞動貢獻應(yīng)予承認與保護。所以，此處“個人信息處理者因此獲得的利益”應(yīng)當理解為去除信息處理者基本勞動報酬后的利益。此外，如果受失和獲利難以確定，那么“根據(jù)實際情況確定賠償數(shù)額”似乎也難以實現(xiàn)。因此，可以考慮設(shè)置個人信息侵權(quán)最低司法賠償標準，在不能確定賠償數(shù)額的情形下，則依據(jù)最低賠償標準賠付。如此，既有利于維護個人信息侵權(quán)受害人的利益，也可以規(guī)范信息處理者的處理行為。由于《個人信息保護法》的規(guī)定未盡完善，司法裁判在遵循信息安全底線的基礎(chǔ)上，可以綜合考量個人信息在哪個主體(個人、企業(yè)、政府)控制下能避免碎片化并能發(fā)揮應(yīng)有的價值、各主體為信息或信息集形成所付出的精力和成本、其權(quán)利范圍能否與其訴求相匹配，從而實現(xiàn)個人信息利用效益是最優(yōu)配置。