高志宏

(南京航空航天大學(xué) 人文與社會科學(xué)學(xué)院, 江蘇 南京 211106)

一、問題的提出

作為我國首部個人信息保護(hù)領(lǐng)域的專門性、系統(tǒng)性、綜合性法律,《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》)已于2021年8月20日經(jīng)十三屆全國人大常委會第三十次會議表決通過,并于2021年11月1日起施行。這是繼2016年《網(wǎng)絡(luò)安全法》專門規(guī)定網(wǎng)絡(luò)信息安全、2018年《電子商務(wù)法》專門規(guī)定電子商務(wù)個人信息保護(hù)、2019年《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》專門規(guī)定兒童個人信息保護(hù)、2020年《民法典》“人格權(quán)”編中擴(kuò)大個人信息保護(hù)范圍、2021年《數(shù)據(jù)安全法》專門規(guī)定數(shù)據(jù)安全之后,我國個人信息法治建設(shè)的又一里程碑事件,翻開了個人信息立法保護(hù)的新篇章。《個人信息保護(hù)法》在禁止“大數(shù)據(jù)殺熟”、敏感個人信息保護(hù)、網(wǎng)絡(luò)平臺特別義務(wù)、個人信息跨境流動等規(guī)范設(shè)計上呈現(xiàn)出諸多亮點,為世界提供了一個充滿借鑒價值的中國方案?！?〕科學(xué)闡釋、正確解讀和全面落實《個人信息保護(hù)法》的基本概念、價值理念、內(nèi)容體系特別是信息處理規(guī)則,成為理論界和實務(wù)界的當(dāng)務(wù)之急。

同時,大數(shù)據(jù)時代的個人信息保護(hù)已經(jīng)突破了傳統(tǒng)私法中的二元立法體系,面臨著數(shù)據(jù)利用和信息安全的兩難窘境。當(dāng)前,云計算、區(qū)塊鏈、人臉識別、移動互聯(lián)網(wǎng)等技術(shù)方興未艾,違規(guī)收集、肆意獲取、過度利用、不當(dāng)使用,甚至泄露、侵犯、非法買賣個人信息等問題日益凸顯,個人信息保護(hù)已成為國際博弈的新賽場和國家間競爭的新手段,信息安全作為國際貿(mào)易新壁壘的趨勢逐漸增強(qiáng)。如何在信息保護(hù)與數(shù)據(jù)共享之間實現(xiàn)平衡,如何在個人利益、企業(yè)利益、公共利益之間保持適度張力,亦值得思考和研究。

基于此,本文擬對大數(shù)據(jù)時代背景下個人信息保護(hù)面臨的理論困境及其制度突破展開研究。具體從以下三個層面漸次展開:一是學(xué)理層面,以數(shù)據(jù)與個人信息的概念分野入手,梳理學(xué)界關(guān)于個人信息權(quán)益(利)屬性的學(xué)術(shù)觀點和分歧焦點,分析大數(shù)據(jù)時代個人信息保護(hù)面臨的困境、知情同意機(jī)制的弱化以及公共數(shù)據(jù)和公共利益對個人信息保護(hù)的限制。二是解釋論層面,以法教義學(xué)入手,分析《個人信息保護(hù)法》具體規(guī)則的立法背景、含義指向及實施建議,為正確落實《個人信息保護(hù)法》提供理論支撐。三是從立法論層面,以制度創(chuàng)新入手,分析隱私、個人信息、數(shù)據(jù)三元法律體系構(gòu)建的必然性,及其在個人信息保護(hù)規(guī)則、公共數(shù)據(jù)規(guī)則和公共利益規(guī)則等方面的優(yōu)化要求,從而為我國進(jìn)一步完善數(shù)字經(jīng)濟(jì)立法提供智力支持。

二、大數(shù)據(jù)時代個人信息保護(hù)面臨重大挑戰(zhàn)

隨著數(shù)字經(jīng)濟(jì)的不斷發(fā)展,數(shù)據(jù)集聚開發(fā)應(yīng)用背后的隱私侵犯、信息泄露、數(shù)據(jù)泄密等現(xiàn)象引起社會高度警惕和公眾普遍擔(dān)憂,如何應(yīng)對大數(shù)據(jù)時代個人信息保護(hù)面臨的挑戰(zhàn)成為學(xué)界亟待解決的問題。

(一)新技術(shù)發(fā)展弱化傳統(tǒng)個人信息保護(hù)手段功效

建立在“告知—同意”規(guī)則基礎(chǔ)之上的知情同意機(jī)制被認(rèn)為是個人信息保護(hù)的根基和有效手段。有學(xué)者從隱私政策入手,認(rèn)為“經(jīng)用戶同意的隱私政策將在用戶與網(wǎng)絡(luò)服務(wù)提供者之間成立合同關(guān)系,在個人信息收集、利用方面具有取得用戶授權(quán)的效力,此類隱私政策的變更在性質(zhì)上屬于合同變更,應(yīng)當(dāng)取得用戶同意,否則對用戶不產(chǎn)生拘束力”。〔2〕應(yīng)當(dāng)說,這種觀點具有相當(dāng)合理性。以控制權(quán)為核心的個人信息保護(hù)制度要求收集和處理個人信息應(yīng)當(dāng)事先告知并征得信息主體的同意,即使在數(shù)據(jù)共享中收集、利用個人信息也應(yīng)當(dāng)獲得信息權(quán)利人的授權(quán)。〔3〕《個人信息保護(hù)法》所確立的一系列法律制度規(guī)則也是以“告知—同意”為核心,這與《民法典》的規(guī)定一脈相承,即對個人信息的處理行為原則上都應(yīng)當(dāng)以當(dāng)事人本人的知情同意為前提。

然而,信息技術(shù)的發(fā)展使得“告知—同意”規(guī)則陷入僵化,傳統(tǒng)個人信息知情同意機(jī)制明顯弱化。知情規(guī)則是同意規(guī)則的前提和基礎(chǔ),知情規(guī)則科學(xué)與否直接決定了“同意”的質(zhì)量高低。為保障個人信息主體自由意志的行使和自我決定的作出,需要以透明度標(biāo)準(zhǔn)來判斷知情規(guī)則,即以一般理性受眾在具體場景下能否知情作為判斷標(biāo)準(zhǔn),即所謂的“理性人標(biāo)準(zhǔn)”?！?〕對透明度的判斷通常以信息處理者是否履行了披露義務(wù)為標(biāo)準(zhǔn),然而實踐中,披露的信息收集使用規(guī)則往往因為冗繁的表述和專業(yè)的內(nèi)容而“幾乎無人有時間、能力和決心瀏覽復(fù)雜的條款和同意的條件”。〔5〕尤其是在區(qū)塊鏈技術(shù)的推動下,個人信息“去中心化”“去標(biāo)識化”“去信任化”,給建立在傳統(tǒng)“中心化網(wǎng)絡(luò)”基礎(chǔ)之上的個人信息標(biāo)識、數(shù)據(jù)分享自決、監(jiān)管指向清晰、責(zé)任主體明確等個人信息處理和管理規(guī)則帶來重大挑戰(zhàn),〔6〕信息的控制者與信息的處理者之間分離趨勢更加明顯。因此,信息技術(shù)的發(fā)展往往會導(dǎo)致知情同意機(jī)制流于形式?！?〕

知情同意機(jī)制的弱化并非意味著棄之不用,相反,對于敏感信息的收集和處理仍應(yīng)嚴(yán)格遵守單獨同意或書面同意的原則,同時應(yīng)當(dāng)開啟個人信息保護(hù)的新路徑,即從收集階段的知情同意機(jī)制轉(zhuǎn)向使用階段的風(fēng)險監(jiān)管。〔8〕一般而言,對個人信息的收集應(yīng)當(dāng)遵循“知情同意”原則,即使在緊急情況基于公共利益目的可以不經(jīng)過信息主體的同意,但在涉及個人敏感信息和隱私信息時仍應(yīng)當(dāng)?shù)玫叫畔⒅黧w的書面同意或單獨同意,且在信息共享時應(yīng)當(dāng)遵循風(fēng)險評估、控制以及責(zé)任追究等特別機(jī)制。

(二)公共數(shù)據(jù)需求推動個人信息保護(hù)模式變革

傳統(tǒng)嚴(yán)苛的僵化的個人信息保護(hù)模式不僅限制了數(shù)字經(jīng)濟(jì)的快速發(fā)展,而且也難以滿足現(xiàn)代行政管理和社會治理對公共數(shù)據(jù)的迫切需要。公共數(shù)據(jù),顧名思義,是指政府等公權(quán)力部門進(jìn)行行政管理和提供公共服務(wù)過程中收集和累積的數(shù)據(jù)信息。在信息時代,公權(quán)力部門在國家管理和社會治理中時常需要收集和存儲公民個人信息,并且隨著政府管理的精細(xì)化,收集信息的廣度和深度不斷拓展,產(chǎn)生了海量的公共數(shù)據(jù)。從主體功能角度來看,公共數(shù)據(jù)是公權(quán)力部門基于公共管理/治理需要收集、整理、存儲而形成的諸多個人信息,是提高服務(wù)效率、改進(jìn)服務(wù)效能的重要舉措,并構(gòu)成了公共資源重要的組成部分,因而,行使公共管理職能的組織是公共數(shù)據(jù)的權(quán)利主體,公共數(shù)據(jù)不僅為經(jīng)濟(jì)發(fā)展模式改革提供了動力,而且為傳統(tǒng)政務(wù)模式變革帶來了機(jī)遇。

公共數(shù)據(jù)與個人數(shù)據(jù)的一個重要區(qū)別在于公共屬性。公共數(shù)據(jù)來源于個人信息,是個人信息的集合,似乎具有一定的私權(quán)屬性,但其作為行使公共管理職能的部門在履行職務(wù)過程中收集、整理和存儲的個人信息,已經(jīng)超越了傳統(tǒng)的私權(quán)范疇,屬于公共產(chǎn)品。其一,從公共數(shù)據(jù)的產(chǎn)生目的看,公共數(shù)據(jù)是公權(quán)力部門為了增進(jìn)和保護(hù)公共利益而在行政管理和公共服務(wù)中所形成的,因而具有公共屬性。其二,從公共數(shù)據(jù)的產(chǎn)生依據(jù)看,公共數(shù)據(jù)是公權(quán)力部門行使國家權(quán)力的結(jié)果,因而具有公權(quán)屬性。其三,從公共數(shù)據(jù)的使用目的看,公共數(shù)據(jù)只能用于國家管理和公共服務(wù),因而具有公共資源屬性。公共屬性也是公共數(shù)據(jù)與企業(yè)數(shù)據(jù)等其他數(shù)據(jù)相比所具有的典型特征。公共數(shù)據(jù)與其他數(shù)據(jù)一樣都不具有人格權(quán)屬性,但其獨特性在于,其屬于公共產(chǎn)品但不屬于可用于市場交換的“財產(chǎn)”。公共數(shù)據(jù)有利于提高行政管理和公共服務(wù)的實效性、科學(xué)性,并且只有在共享中才能體現(xiàn)出交換價值和使用價值,也具有一定的經(jīng)濟(jì)屬性和財產(chǎn)屬性,但來源的公權(quán)性以及目的的公益性決定了其具有公共屬性,具備非競爭性、非排他性和不可分割性特質(zhì),〔9〕只能用于公共目的,不能用于直接的市場目的。公共數(shù)據(jù)與個人信息/數(shù)據(jù)的另一個重要區(qū)別在于,公共數(shù)據(jù)在使用中必須去“個人化”。在社會契約理論視野下,公共數(shù)據(jù)是公民讓渡個人私權(quán)(個人信息)給國家公權(quán)的結(jié)果和表現(xiàn)形式,其必須為了公共利益目的且應(yīng)當(dāng)保護(hù)個人信息安全。因此,通常情況下公共數(shù)據(jù)只能是宏觀抽象數(shù)據(jù),不能識別到具體個人,除非基于特定行政管理需要時才能分解到某個特定個人信息。因此,從范圍角度看,個人信息的范圍應(yīng)該比公共數(shù)據(jù)的范圍要廣。質(zhì)言之,政府在履職過程中只能收集那些與公共利益有關(guān)的個人信息,對于那些與履行公務(wù)無關(guān)的個人信息不能收集。

隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、生物識別、人工智能等技術(shù)手段的廣泛應(yīng)用,公權(quán)力部門在行政管理和公共服務(wù)中收集、累積和存儲了海量公共數(shù)據(jù),有力推進(jìn)了數(shù)字政府建設(shè),推動了國家治理體系和治理能力現(xiàn)代化。數(shù)據(jù)具有重要的企業(yè)轉(zhuǎn)型、行業(yè)發(fā)展等商業(yè)價值,具有重要的理論研究、公共服務(wù)等社會價值,具有重要的國家治理、社會管理等行政價值。〔10〕包括經(jīng)濟(jì)統(tǒng)計數(shù)據(jù)、人口普查數(shù)據(jù)等在內(nèi)的公共數(shù)據(jù),對于預(yù)防犯罪、維護(hù)社會治理、保障國家安全等方面意義重大。然而,在公共數(shù)據(jù)管理方面存在的困境亦不可忽視,突出體現(xiàn)在:其一,公共數(shù)據(jù)的內(nèi)涵邊界模糊不清,信息收集標(biāo)準(zhǔn)缺乏統(tǒng)一的科學(xué)標(biāo)準(zhǔn)導(dǎo)致信息被濫采濫用;其二,公共數(shù)據(jù)形成的正當(dāng)性不充分,對個人信息的采集缺乏有效約束;其三,公共數(shù)據(jù)處理與個人信息保護(hù)之間的博弈與平衡,致使個人信息泄露空間較大;其四,公共數(shù)據(jù)處理和監(jiān)督機(jī)制闕如,存在公共數(shù)據(jù)利用效率低下和信息壁壘等弊端?！?1〕尤其是在行政權(quán)擴(kuò)張的時代背景下,多部門重復(fù)收集個人信息、濫用甚至泄露個人信息的問題廣遭詬病。如何在加強(qiáng)公共數(shù)據(jù)共享與保護(hù)個人信息安全之間實現(xiàn)平衡,優(yōu)化公共數(shù)據(jù)治理和監(jiān)管,是公共數(shù)據(jù)管理面臨的主要問題。因此,公共數(shù)據(jù)治理中,既要滿足政府行政管理和公共服務(wù)的需要,又要保護(hù)個人信息的安全,還要提升公共數(shù)據(jù)的利用實效,在信息采集、數(shù)據(jù)處理和數(shù)據(jù)使用中實現(xiàn)公共利益與個人利益的有效平衡,這對變革傳統(tǒng)個人信息保護(hù)模式提出了更高的要求。

(三)公共利益優(yōu)位導(dǎo)致個人信息保護(hù)內(nèi)容受限

“法益論有兩個思考方向:一是往理念、價值性方向思考,二是往事實性、因果性方向把握?！薄?2〕利益相關(guān)者理論最初應(yīng)用于公司治理領(lǐng)域,后普遍運用于社會治理之中。所謂利益相關(guān)者,是指“任何影響組織目標(biāo)實現(xiàn)或者受組織目標(biāo)實現(xiàn)影響的個人或群體”?！?3〕在利益沖突時,法官在個案中利益衡量也不過是根據(jù)個案具體情況賦予不同法益不同的“重要性”?！?4〕

公共利益為政府收集個人信息并形成公共數(shù)據(jù)提供了正當(dāng)性基礎(chǔ),也是限縮個人信息權(quán)益的合法理由。究其原因就在于,在個人利益和公共利益的異質(zhì)利益博弈中,價值位階決定了公共利益具有優(yōu)先地位?！?5〕換言之,公共利益與個人利益相比,由于其涉及不特定多數(shù)人長遠(yuǎn)的、根本的、重大的利益,因而具有優(yōu)先性,即個人利益為了公共利益應(yīng)當(dāng)部分犧牲或讓渡,也即可以基于公共利益需要收集和處理個人信息。更何況,某些個人信息與國家安全、公眾健康、數(shù)據(jù)主權(quán)等公共利益密切相關(guān)。因此,公共行政的目的是維護(hù)和增進(jìn)公共利益或者大眾福祉,這是一個不成文的基本原則?！?6〕尤其是在風(fēng)險社會,可以為了公共利益適當(dāng)犧牲甚至剝奪個人利益,“為了保障公共安全,可以采取有害且通常是不道德的方法”?！?7〕這彰顯出大數(shù)據(jù)時代個人信息保護(hù)從個人本位向社會本位的轉(zhuǎn)變趨勢和從自主支配到有序共享的邏輯轉(zhuǎn)換,〔18〕是行政應(yīng)急原則和行政效能原則的客觀要求,也是行政公益目的原則的具體體現(xiàn)。實際上,基于人口普查、預(yù)防犯罪、公共安全等重大公共利益而收集和處理個人信息是世界各國的普遍做法?！?9〕為此,需要從利益相關(guān)者角度以及個人信息保護(hù)和數(shù)據(jù)利用兩個維度,進(jìn)行情景化分析和綜合考量,〔20〕消解個人信息保護(hù)中各主體之間的緊張關(guān)系,實現(xiàn)個人利益、企業(yè)利益、公共利益之間的平衡。

保護(hù)個人信息是國家的重要義務(wù),〔21〕保障個人信息安全更是國家機(jī)關(guān)的應(yīng)盡責(zé)任。然而,國家機(jī)關(guān)在管理社會事務(wù)和懲治違法犯罪過程中會接觸和處理大量個人信息,如果職權(quán)缺失、程序不當(dāng)或范圍超限,極易成為侵犯個人信息的“危險源”。實際上,由于公權(quán)力部門個人信息保護(hù)意識不強(qiáng)、保護(hù)措施不到位、保護(hù)流程不規(guī)范等原因?qū)е碌膫€人信息泄露事件已引起了社會的普遍關(guān)注。

三、《個人信息保護(hù)法》的制度因應(yīng)與規(guī)范亮點

《個人信息保護(hù)法》聚焦我國個人信息保護(hù)領(lǐng)域社會各界的重大利益關(guān)切和突出現(xiàn)實問題,確立了個人信息處理基本原則,健全了個人信息保護(hù)體制機(jī)制,細(xì)化了個人信息保護(hù)規(guī)則規(guī)范,明確了個人信息管理權(quán)利義務(wù)邊界?？梢哉f,《個人信息保護(hù)法》在基本原則、內(nèi)容體系、條文規(guī)則等方面既吸收了國際立法,又開創(chuàng)了中國路徑,呈現(xiàn)了諸多亮點,是我國網(wǎng)絡(luò)數(shù)據(jù)法律體系中重要的“一塊拼圖”,填補(bǔ)了數(shù)字社會重要的法律板塊,具有劃時代意義。

(一)處理個人信息原則的確立

法律原則作為法律制度的基本遵循,彰顯著法律制度的根本準(zhǔn)則和價值取向,具有直接的普遍效力、補(bǔ)漏效力和續(xù)造效力。世界范圍內(nèi),美國在1973年“公平信息實踐準(zhǔn)則”(FIPs)中較早地確立了五項個人信息處理原則,歐盟在1995年《個人數(shù)據(jù)保護(hù)指令》(DPD)中規(guī)定了處理個人數(shù)據(jù)的三項原則。《個人信息保護(hù)法》立足于我國實際基礎(chǔ)并借鑒域外先進(jìn)經(jīng)驗,通過第5—9條確立了個人信息保護(hù)的五項基本原則,貫穿于個人信息處理活動的全過程、各環(huán)節(jié)。這五項基本原則的核心在于對處理個人信息的限制,并通過正反兩個方面予以明確:從正面來看,其規(guī)定了處理個人信息必須遵守的基本規(guī)則,包括合法、正當(dāng)、必要和誠信,目的明確、合理、直接且影響最小,程序公開透明,保證個人信息質(zhì)量,保障個人信息安全等,為個人信息處理范圍最小化提供了上位法指引。從反面來看,其明確了不得從事的行為,包括誤導(dǎo)、欺詐、脅迫處理個人信息,過度收集個人信息,不準(zhǔn)確、不完整處理個人信息等,為個人信息處理提供了禁止性規(guī)則。

(二)個人信息范圍的擴(kuò)大

世界各國由于文化傳統(tǒng)和法律制度的差異,有的立法采用“數(shù)據(jù)”概念,譬如歐盟、英國、新加坡等;有的采用“信息”概念,譬如日本、韓國、加拿大等。就我國而言,《民法典》第1034條〔22〕和《網(wǎng)絡(luò)安全法》第76條〔23〕對“個人信息”作出了明確界定,《數(shù)據(jù)安全法》第3條〔24〕對“數(shù)據(jù)”作出了明確界定。申言之,我國法律將“數(shù)據(jù)”和“信息”予以區(qū)別對待,信息是數(shù)據(jù)的內(nèi)容,數(shù)據(jù)是信息的載體或形式。

《個人信息保護(hù)法》采取“關(guān)聯(lián)說”,將“個人信息”定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息”(第4條),并進(jìn)一步將其分為一般信息、敏感信息、匿名化信息、去標(biāo)識化信息等類別。同時,《個人信息保護(hù)法》對未成年個人信息、生物識別、行蹤軌跡等敏感信息予以更高強(qiáng)度的保護(hù)。首先,通過“內(nèi)涵+列舉”的方式對敏感個人信息作出界定(第28條),并明確將“不滿十四周歲未成年人的個人信息”納入敏感個人信息范疇。其次,明確了處理個人敏感信息的基本原則,包括特定目的、充分必要性、嚴(yán)格保護(hù)措施等。最后,規(guī)定了處理個人敏感信息的特別規(guī)則(第29—32條),如單獨同意、書面同意、事前影響評估并告知,以及處理不滿十四周歲未成年人個人信息規(guī)則。可以說,嚴(yán)格保護(hù)敏感個人信息是《個人信息保護(hù)法》的亮點之一。

我國個人信息權(quán)益內(nèi)容立法呈現(xiàn)出逐步豐富發(fā)展態(tài)勢。從內(nèi)容角度看,個人信息權(quán)益經(jīng)歷了從隱私權(quán)到獨立權(quán)利、從人格權(quán)到人身權(quán)財產(chǎn)權(quán)并重、從自由權(quán)到安全權(quán)、從獨占權(quán)到自決權(quán)(包括知情權(quán)、同意權(quán)、公開權(quán)、更正權(quán)、刪除權(quán)、查詢權(quán)、利用權(quán)等)的發(fā)展歷程。與此同時,個人信息在收集和使用中的利益主體也從初始權(quán)利主體擴(kuò)展至企業(yè)、政府等信息的收集者、管理者、利用者,相應(yīng)地,個人信息的法益價值從單一化向多元化轉(zhuǎn)變而具有了復(fù)合性。個人信息權(quán)益內(nèi)容及主體的這一變化給傳統(tǒng)個人信息保護(hù)立法帶來了嚴(yán)重挑戰(zhàn)?！秱€人信息保護(hù)法》設(shè)專節(jié)特別規(guī)定了國家機(jī)關(guān)處理個人信息行為,并與《數(shù)據(jù)安全法》相結(jié)合構(gòu)成了政務(wù)數(shù)據(jù)處理規(guī)則體系。同時,《個人信息保護(hù)法》明確“匿名化處理后的信息”不屬于個人信息,這一規(guī)定對于匿名化處理技術(shù)在個人信息保護(hù)和數(shù)據(jù)安全等方面的研發(fā)應(yīng)用具有重要推動作用。

(三)權(quán)利保護(hù)模式的創(chuàng)新

一方面,《個人信息保護(hù)法》通過第四章“個人在個人信息處理活動中的權(quán)利”賦予個人充分權(quán)利,包括知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、可攜帶權(quán)、更正權(quán)、補(bǔ)充權(quán)、刪除權(quán)、起訴權(quán)等,特別是對個人信息跨平臺轉(zhuǎn)移和死者個人信息保護(hù)作出了專門規(guī)定。這些權(quán)利不僅包括“具體性權(quán)利”,而且包括“抽象性權(quán)利”,兼具法定性和開放性特征。

另一方面,《個人信息保護(hù)法》將個人信息處理者視為個人信息保護(hù)的第一責(zé)任人,強(qiáng)化其法律義務(wù)。這些法律義務(wù)除了合規(guī)管理義務(wù)、信息安全保障義務(wù)、活動措施監(jiān)督義務(wù)、合規(guī)審計義務(wù)、影響評估義務(wù)、補(bǔ)救義務(wù)之外,更重要的是明確了大型網(wǎng)絡(luò)平臺的特別義務(wù)。互聯(lián)網(wǎng)平臺服務(wù)是大數(shù)據(jù)時代的顯著特征,也是數(shù)字經(jīng)濟(jì)區(qū)別于傳統(tǒng)經(jīng)濟(jì)的重要標(biāo)志。但由于大型網(wǎng)絡(luò)平臺對個人信息處理具有較強(qiáng)的支配力和控制力,因而需要承擔(dān)更多更大的法律保護(hù)義務(wù)。為此,《個人信息保護(hù)法》第58條專門設(shè)定了大型互聯(lián)網(wǎng)平臺特別個人信息保護(hù)義務(wù),從而為完善平臺內(nèi)部治理、強(qiáng)化平臺外部監(jiān)督、提高平臺經(jīng)營透明度、構(gòu)建社會共同保護(hù)機(jī)制奠定了制度基礎(chǔ)。然而,隨著人工智能、生物識別、基因檢測等新技術(shù)、新應(yīng)用的發(fā)展,小型網(wǎng)絡(luò)平臺或者個人信息處理者接觸、收集、掌握個人信息甚至敏感個人信息的情形將越來越多,法律將如何應(yīng)對仍需進(jìn)一步探討。

再一方面,《個人信息保護(hù)法》在《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》基礎(chǔ)上加大了對侵犯個人信息行為的懲罰力度,包括嚴(yán)格的行政責(zé)任、民事賠償責(zé)任、刑事責(zé)任和信用責(zé)任(計入信用檔案),明確了國家機(jī)關(guān)不履行個人信息保護(hù)義務(wù)的懲罰措施,特別是賦予特定公權(quán)力機(jī)構(gòu)(人民檢察院)及公益組織(法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織)針對侵害眾多個人權(quán)益的個人信息處理行為享有提起公益訴訟的權(quán)利,進(jìn)一步拓展了我國公益訴訟的范圍。

另外,大數(shù)據(jù)時代,經(jīng)濟(jì)全球化不斷推進(jìn),數(shù)字經(jīng)濟(jì)方興未艾,個人信息的跨境流動不可避免且日益頻繁,由此而產(chǎn)生的個人信息侵權(quán)乃至國家安全風(fēng)險顯著加大?！秱€人信息保護(hù)法》在第三章構(gòu)建了相對比較系統(tǒng)完善的個人信息跨境流動規(guī)則。其一,明確了向境外提供個人信息的條件,包括業(yè)務(wù)需要、安全評估、保護(hù)認(rèn)證、訂立標(biāo)準(zhǔn)合同等;其二,明確了向境外提供個人信息的要求,包括告知義務(wù)和單獨同意嚴(yán)格規(guī)則;其三,明確了維護(hù)國家安全和公共利益要求,包括個人信息存儲境內(nèi)規(guī)則、限制或禁止提供個人信息規(guī)則、采取對等措施規(guī)則等。

(四)知情同意機(jī)制的強(qiáng)化

知情權(quán)和決定權(quán)是個人信息權(quán)的核心內(nèi)容,“告知—同意”是保障知情權(quán)和決定權(quán)的重要手段,因而也被視為個人信息保護(hù)的關(guān)鍵規(guī)則?！睹穹ǖ洹凡扇×恕爸橥狻?第1035條)+“免責(zé)事由”(第1036條)的規(guī)則設(shè)計模式,而《個人信息保護(hù)法》采取了更為多元化的規(guī)則設(shè)計模式,包括個人同意、訂立履行合同、人力資源管理、履行法定職責(zé)(義務(wù))、維護(hù)公共利益等。

《個人信息保護(hù)法》第二章圍繞“告知—同意”機(jī)制構(gòu)建了我國個人信息處理規(guī)則體系。一是確立了告知同意的一般規(guī)則和具體類型,包括“充分告知—同意”“重新告知—同意”“單獨同意”及“撤回同意”“同意例外”等內(nèi)容,對“一攬子授權(quán)”“跨境轉(zhuǎn)移個人信息”“強(qiáng)制同意”等社會反映強(qiáng)烈的問題作出了回應(yīng),不允許過度收集個人信息和以個人不同意或撤回同意為由拒絕提供產(chǎn)品或者服務(wù)。根據(jù)該規(guī)定,互聯(lián)網(wǎng)平臺企業(yè)應(yīng)當(dāng)在2021年11月1日前調(diào)整內(nèi)部數(shù)據(jù)合規(guī)體系、“隱私協(xié)議”(“隱私政策”)以及“注冊協(xié)議”等,并符合“告知—同意”規(guī)則、青少年個人信息保護(hù)規(guī)則、自動化決策規(guī)則、敏感個人信息保護(hù)規(guī)則等要求。需要強(qiáng)調(diào)的是,《個人信息保護(hù)法》在適用場景上針對“圖像采集識別”“個性化推送”“差別化定價”等人民群眾重大關(guān)切予以特別規(guī)制,要求“公開個人信息”“處理敏感個人信息”“向第三方提供個人信息”“個人信息出境”等活動必須征得個人“單獨同意”。二是確立了自動化決策規(guī)則?！按髷?shù)據(jù)殺熟”已成為社會反映突出的問題之一,〔25〕越來越多的個人信息被用于精準(zhǔn)營銷甚至實行差別性歧視待遇,嚴(yán)重違反了誠實信用原則,也侵犯了個人作為消費者所享有的公平交易權(quán)?！秱€人信息保護(hù)法》第24條對自動化決策進(jìn)行了規(guī)范,禁止“大數(shù)據(jù)殺熟”?？梢哉f,該條款確立了我國治理算法等自動化決策的基本法律框架,劃定了電商平臺經(jīng)濟(jì)以及數(shù)字政府在自動化決策中的合法邊界。據(jù)此,“數(shù)據(jù)爬蟲”“強(qiáng)制同意”“一攬子授權(quán)”“大數(shù)據(jù)殺熟”“隱私數(shù)據(jù)售賣”等目前常見的互聯(lián)網(wǎng)平臺行為將受到規(guī)制。三是在“告知”義務(wù)方面,《個人信息保護(hù)法》明確了對個人信息處理者的具體要求:1.時間要求,即必須在處理個人信息前告知;2.程度要求,即必須是充分告知義務(wù),包括以顯著方式、清晰易懂的語言,真實、準(zhǔn)確、完整地向個人告知;3.內(nèi)容要求,即必須告知處理者相關(guān)信息(包括名稱或姓名、聯(lián)系方式等)、處理相關(guān)信息(包括處理目的、方式、信息種類、保存期限等)、個人行使法定權(quán)利信息(包括方式、程序等)以及其他依法應(yīng)告知事項。四是在“同意”方面,《個人信息保護(hù)法》明確規(guī)定了個人同意的方式、撤回同意或拒絕權(quán)利等內(nèi)容。特別是針對實踐中“撤回同意”方式過于隱晦、過于復(fù)雜等現(xiàn)象,《個人信息保護(hù)法》明確要求個人信息處理者提供“便捷撤回同意方式”,并且明確“個人撤回同意,不影響撤回前基于個人同意已進(jìn)行的個人信息處理活動的效力”(第15條)。所以,從這個角度看,《個人信息保護(hù)法》形成了以“告知—同意/拒絕—撤回同意/拒絕”為邏輯主線的個人信息處理規(guī)則體系。

同時,《個人信息保護(hù)法》已經(jīng)意識到公共利益責(zé)任豁免原則導(dǎo)致的知情同意機(jī)制某些情況下缺乏效益的問題。與《民法典》不同,《個人信息保護(hù)法》已不再將“知情同意”機(jī)制作為唯一的合法處理信息的理由,而是將其與其他五項合法性基礎(chǔ)并列。換言之,《個人信息保護(hù)法》跳出了簡單的“信息自決”或“告知—同意”二元立法思維模式,而是認(rèn)可了處理個人信息的復(fù)雜性并在此基礎(chǔ)上確認(rèn)了多樣化的合法性基礎(chǔ),這也是我國個人信息保護(hù)立法模式和立法思路的重大改變。

四、個人信息保護(hù)理論的再突破

《個人信息保護(hù)法》不僅在立法模式和規(guī)范內(nèi)容上與現(xiàn)行國際通用規(guī)則充分接軌,而且在數(shù)據(jù)處理、信息分類、跨境流動等方面作出了中國探索,為全球數(shù)據(jù)治理貢獻(xiàn)了中國智慧。然而,大數(shù)據(jù)時代,新技術(shù)、新應(yīng)用、新場景日新月異,數(shù)據(jù)處理已成為產(chǎn)業(yè)升級和社會進(jìn)步的重要驅(qū)動力,個人信息保護(hù)理論亦需要再突破。

(一)數(shù)據(jù)與個人信息的概念界分

個人信息與數(shù)據(jù)的關(guān)系是大數(shù)據(jù)時代個人信息保護(hù)的首要問題,對此理論界存在不同觀點。有學(xué)者認(rèn)為,個人數(shù)據(jù)包含著個人信息,二者實際上是同一事物;〔26〕有學(xué)者認(rèn)為,個人信息和數(shù)據(jù)在范圍、屬性和存在狀態(tài)等方面存在著區(qū)別;〔27〕也有學(xué)者認(rèn)為,個人信息是內(nèi)容層面的信息,數(shù)據(jù)文件則處于符號層面,兩者應(yīng)當(dāng)進(jìn)行分別討論;〔28〕還有學(xué)者對個人信息與數(shù)據(jù)的關(guān)系進(jìn)行了研究,認(rèn)為二者在產(chǎn)生基礎(chǔ)、內(nèi)容屬性、表現(xiàn)形態(tài)、可公開程度等方面都存在很大不同?！?9〕

數(shù)據(jù)乃至信息的概念,最初來自符號學(xué)、信息學(xué),數(shù)據(jù)是以0和1二進(jìn)制單元所表示并能重新還原的信息,是抽象化并用于處理的信息。數(shù)據(jù)的客體雖然本質(zhì)上仍然是信息,但應(yīng)當(dāng)是經(jīng)過匿名化或去標(biāo)識化處理,與信息主體并未直接關(guān)聯(lián)的批量信息的匯集。在個人層面,個人信息與個人數(shù)據(jù)范圍等同,個人數(shù)據(jù)即是個人信息,這也是個人享有信息權(quán)益的客體。但在數(shù)據(jù)控制者層面,其不能直接處理個人信息,而只能將其進(jìn)行脫敏處理,形成無法識別或者不能直接識別的數(shù)據(jù),此即數(shù)據(jù)權(quán)的客體。在大數(shù)據(jù)時代,數(shù)據(jù)已經(jīng)從個人信息中分離出來,成為一種獨立的法律概念,信息與數(shù)據(jù)之間不是簡單的內(nèi)容與形式抑或內(nèi)容與符號之間的關(guān)系。

數(shù)據(jù)是信息生成、存儲和應(yīng)用的主要方式,二者可以理解為手段與目的的關(guān)系。但個人信息除了以數(shù)據(jù)為載體和表現(xiàn)形式外,也能夠以非數(shù)據(jù)的其他形式出現(xiàn)?！?0〕“大數(shù)據(jù)越發(fā)展,信息分析者就越可能通過某些信息而識別個人,某些之前無法單獨識別個人身份的信息,在大數(shù)據(jù)時代都可能用于識別個人?！薄?1〕換言之,從表達(dá)方式角度看,信息的表達(dá)方式多種多樣,其可以表現(xiàn)為數(shù)據(jù),也可以通過其他媒體、媒介、形式表達(dá)。隱私當(dāng)然屬于個人信息,且屬于個人信息中的敏感信息,而數(shù)據(jù)是經(jīng)過收集、加工、脫敏等處理之后的信息。嚴(yán)格意義上來說,數(shù)據(jù)主要存在于且使用于網(wǎng)絡(luò)空間,至于數(shù)據(jù)中與自然人無關(guān)的信息內(nèi)容,則不屬于個人信息保護(hù)的范圍?？梢哉f,個人信息更加關(guān)注內(nèi)容,具備可識別性和主體意義;數(shù)據(jù)則更加關(guān)注形式,不具備可識別性和主體意義,二者隸屬于不同的權(quán)利束,〔32〕應(yīng)當(dāng)分別以人格權(quán)和財產(chǎn)權(quán)為重點進(jìn)行保護(hù)?！?3〕

(二)個人信息權(quán)(益)的屬性變遷

在信息時代,數(shù)據(jù)因稀缺性而具有經(jīng)濟(jì)價值,成為重要的社會資源,并且與其他資源不同,數(shù)據(jù)的存在樣態(tài)決定了其因共享流通才能發(fā)揮更大的價值。因此,從隱私向個人信息再向數(shù)據(jù)的發(fā)展演進(jìn)過程中,立法理念和價值導(dǎo)向亦發(fā)生了相應(yīng)變化,即從嚴(yán)格保護(hù)隱私到個人信息保護(hù)和自由利用并重,再到鼓勵大數(shù)據(jù)開發(fā)和數(shù)據(jù)產(chǎn)業(yè)發(fā)展。數(shù)據(jù)時代的個人信息權(quán)體現(xiàn)出不同于傳統(tǒng)權(quán)利的重要特征,具體表現(xiàn)為以下幾方面:

其一,個人信息權(quán)的財產(chǎn)權(quán)屬性日益增強(qiáng)。關(guān)于個人信息權(quán)是屬于人格性權(quán)利抑或財產(chǎn)性權(quán)利,理論界存在不同看法。有學(xué)者認(rèn)為個人信息權(quán)屬于一種人格利益,〔34〕有學(xué)者認(rèn)為個人信息權(quán)屬于一種財產(chǎn)權(quán)益,〔35〕還有學(xué)者認(rèn)為個人信息權(quán)兼具有人格權(quán)和財產(chǎn)權(quán)屬性,屬于一種復(fù)合權(quán)益?！?6〕換言之,個人信息上承載的自然人的利益是多元的,既包括自然人的人格利益,也包括經(jīng)濟(jì)利益或財產(chǎn)利益,因此對于自然人個人信息應(yīng)給予人格權(quán)和財產(chǎn)權(quán)的雙重保護(hù)。〔37〕也有學(xué)者提出,數(shù)字時代的個人信息權(quán)益是具有憲法性質(zhì)的權(quán)利,〔38〕《個人信息保護(hù)法》于三審過程中在第1條加入了“根據(jù)憲法”四個字,亦表明我國已將個人信息權(quán)上升至憲法高度,提升了我國個人信息權(quán)利(益)的法律位階。毋庸置疑,個人信息權(quán)脫胎于傳統(tǒng)隱私權(quán),與人格尊嚴(yán)密不可分,具有典型的人格權(quán)屬性。個人信息是自然人“可識別”的信息,其“既是自然人參與社會交往的載體,也是個人人格表現(xiàn)和人格發(fā)展的工具……因此,信息主體對個人信息流轉(zhuǎn)范圍和流轉(zhuǎn)方式的掌握,和個人人格的發(fā)展密切聯(lián)系,這也是在現(xiàn)實社會中保護(hù)個人信息相關(guān)權(quán)益的價值基礎(chǔ)”。〔39〕個人信息一旦被泄露必然會給權(quán)利人造成一定困擾甚至帶來精神痛苦,“自然人對個人信息并不享有絕對權(quán)和支配權(quán),而只享有應(yīng)受法律保護(hù)的利益。該利益是指自然人享有的防止因個人信息被非法收集、泄露、買賣或利用進(jìn)而導(dǎo)致人身財產(chǎn)權(quán)益遭受侵害或人格尊嚴(yán)、個人自由受到損害的利益”。〔40〕然而,在大數(shù)據(jù)時代,個人信息所具有的商業(yè)價值以及所產(chǎn)生的經(jīng)濟(jì)利益日益凸顯?！皞€人信息財產(chǎn)權(quán)是主體對其個人信息的商業(yè)價值進(jìn)行支配的一種新型財產(chǎn)權(quán),它能且只能存在于對個人信息進(jìn)行商業(yè)性使用的條件下。在信息時代,個人信息具有潛在的商業(yè)價值故而都應(yīng)該受到財產(chǎn)權(quán)的保護(hù)。”〔41〕或許,單個的個人信息無法產(chǎn)生商業(yè)價值,自然人作為個體也無法直接從個人信息中獲得經(jīng)濟(jì)利益。但是,企業(yè)可以根據(jù)個人的消費信息進(jìn)行大數(shù)據(jù)分析,從而進(jìn)行精準(zhǔn)營銷;行業(yè)可以根據(jù)個人信息統(tǒng)計結(jié)果,推動行業(yè)轉(zhuǎn)型和數(shù)據(jù)產(chǎn)業(yè)發(fā)展等。因此,從這一角度看,個人信息權(quán)兼具人格權(quán)屬性和財產(chǎn)權(quán)屬性,但又不同于知識產(chǎn)權(quán),而是一種新型財產(chǎn)權(quán)?！皞€人信息具備人格和財產(chǎn)雙重屬性,在保護(hù)上,也應(yīng)當(dāng)以此出發(fā),立法上秉持雙重保護(hù)態(tài)度,司法中做好個案衡量,同時加強(qiáng)行業(yè)自律,并在一切個人信息保護(hù)活動中貫徹利益平衡原則?！薄?2〕質(zhì)言之,個人信息權(quán)是時代發(fā)展的產(chǎn)物,已經(jīng)超越了傳統(tǒng)個人私權(quán)的范疇,而與國家安全、公眾健康、社會穩(wěn)定、經(jīng)濟(jì)發(fā)展等密切相連,具有價值的多元性。當(dāng)然,我們不能過分強(qiáng)調(diào)個人信息的財產(chǎn)性質(zhì),將個人信息與(大)數(shù)據(jù)相混淆。從財產(chǎn)權(quán)的發(fā)展歷史來看,財產(chǎn)權(quán)的客體逐步擴(kuò)張是一個不言自明的事實,經(jīng)歷了一個“從無形到有形”、從“狹義到廣義”的重大變化?！?3〕現(xiàn)代社會,個人信息因具備獨立性、價值性、稀缺性等法律意義上“財產(chǎn)”的基本特征,而成為一種新型財產(chǎn)形式?！懊總€人都擁有各種形形色色的信息,這些信息對他人甚至整個社會來說具有意義或者價值,可以為他人提供方便或者資訊,這時他人會愿意付出對價來購買這些信息。”〔44〕雖然,從《民法典》的篇章結(jié)構(gòu)及其具體內(nèi)容角度,可以將個人信息權(quán)視為一種具體人格權(quán)。但不可忽視的是,個人信息在數(shù)字社會中的財產(chǎn)價值日益增強(qiáng)。換言之,個人信息雙重屬性對個人信息的財產(chǎn)利益保護(hù)提出了要求,亦產(chǎn)生了個人信息人格利益與其財產(chǎn)權(quán)益的平衡問題。

其二,個人信息的公共屬性日益明顯。無論是根據(jù)“利益說”“主體說”判斷,抑或是根據(jù)“行為說”判斷,個體信息的私人屬性自不待言。作為建立在自然人主體信息之上的個人信息權(quán)首先是以保護(hù)個人利益為旨?xì)w,亦應(yīng)當(dāng)以個人信息自決權(quán)為核心,從這個角度來說,個人信息保護(hù)法屬于私法。但現(xiàn)代社會法治的發(fā)展,已超越古羅馬時期法律公私二元劃分體系,利益也并非簡單的非此即彼的劃分境地,利益交叉、利益多元現(xiàn)象非常普遍。具體到個人信息而言,其不僅涉及私人利益,而且因其整合、流通、管理而具有了特殊的公共屬性,與行業(yè)利益、國家利益、公共利益密不可分。〔45〕個人信息的公共物品屬性決定了個人信息保護(hù)的制度設(shè)計不等同于傳統(tǒng)的私法,而具有了公私混合屬性。尤其是在萬物互聯(lián)的環(huán)境下,由個人信息所產(chǎn)生的大數(shù)據(jù)存在重大的外溢風(fēng)險,從而給國家安全帶來重大挑戰(zhàn)。對我國當(dāng)前而言,在核心技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施等受制于西方發(fā)達(dá)國家的背景下,數(shù)據(jù)安全、國家安全更應(yīng)當(dāng)引起高度重視,防止個人信息安全外溢至軍事、政治、經(jīng)濟(jì)、文化、社會等領(lǐng)域。因此,不能把個人信息絕對歸為“私益”范疇,亦不能僅按照私法邏輯對個人信息進(jìn)行保護(hù),傳統(tǒng)私法的“知情同意”調(diào)解機(jī)制以及“填補(bǔ)損害”事后救濟(jì)方式亦不能完全滿足大數(shù)據(jù)時代的個人信息規(guī)制問題。

其三,個人信息的積極權(quán)利屬性日益突出。傳統(tǒng)上,個人信息通過隱私權(quán)予以保護(hù),而隱私權(quán)具有典型的消極權(quán)利特征,即“個人生活安寧不受干擾”。無論是積極私權(quán)說抑或是消極私權(quán)說,還是基于人格尊嚴(yán)的信息自決權(quán)說,〔46〕都沒有否認(rèn)隱私權(quán)的私權(quán)范疇,因此,認(rèn)為隱私權(quán)具有公共利益、公共產(chǎn)品、公共資源屬性的看法是值得商榷的。〔47〕但隨著信息技術(shù)的快速發(fā)展,個人信息的收集、分析、利用日益便利,個人信息權(quán)也逐漸演變?yōu)楝F(xiàn)代的具有積極意義的“信息隱私權(quán)”。質(zhì)言之,現(xiàn)代社會更加注重個人信息的積極利用面向,這種變化體現(xiàn)在個人信息規(guī)范內(nèi)容上具有更豐富更具體的權(quán)能方面,也體現(xiàn)在對相關(guān)義務(wù)主體更高更積極的法律要求方面,譬如嚴(yán)格的信息安全保障義務(wù)、完善的采取補(bǔ)救措施、及時的告知義務(wù)等,這也決定了需要對個人信息單獨立法。

(三)個人信息保護(hù)的法治路徑

個人信息賦權(quán)保護(hù)已成學(xué)界共識,但前已述及,現(xiàn)代信息技術(shù)的發(fā)展客觀上增加了個人信息保護(hù)的難度甚至陷入了困境,使得傳統(tǒng)個人信息保護(hù)機(jī)制日顯不足。在這一背景下,受保護(hù)的個人信息的法律屬性就成為一個重要的理論問題和制度選擇,即個人信息是一項具體的法定權(quán)利抑或是一種法定權(quán)益?對這一問題的不同回答意味著不同的個人信息法律保護(hù)路徑。

有學(xué)者從《民法總則》第111條(后被《民法典》第111條所承繼,現(xiàn)已廢止)出發(fā),認(rèn)為個人信息權(quán)屬于民事權(quán)利,但該條關(guān)于個人信息權(quán)的規(guī)定是“推導(dǎo)式”“宣示性”的,需要配套立法進(jìn)一步明確個人信息權(quán)的邊界、行使及侵權(quán)責(zé)任等?！?8〕有學(xué)者則認(rèn)為,《民法總則》第111條沒有直接使用“個人信息權(quán)”這一概念,因此應(yīng)當(dāng)將個人信息作為“權(quán)益”對待,〔49〕并且該條選擇了“行為規(guī)制模式”而非“權(quán)利化模式”來保護(hù)個人信息,從“權(quán)利”到“權(quán)益”的變化反映出對個人信息保護(hù)力度的弱化。〔50〕還有學(xué)者基于文義和體系分析認(rèn)為,民法對自然人個人信息提供的保護(hù)既可能是一項民事權(quán)利,也可能僅僅是一項民事權(quán)益?！?1〕筆者認(rèn)為,根據(jù)文義解釋和體系解釋規(guī)則,《民法典》第111條“自然人的個人信息受法律保護(hù)”中“個人信息”應(yīng)當(dāng)理解為“法益”而非“權(quán)利”。這說明,個人信息不具備權(quán)利的“絕對權(quán)”特征,立法通過對個人信息權(quán)益作出的保護(hù)性規(guī)定,更大的意義在于宣示個人信息受法律保護(hù)的基本立場,而非法律確權(quán)。從法律屬性上講,該條款是一種引致性條款,也是一種兜底性規(guī)定?！?2〕對此,也有學(xué)者認(rèn)為,個人信息與姓名權(quán)、肖像權(quán)、隱私權(quán)等其他人格權(quán)的客體難以區(qū)分,個人信息權(quán)不足以成為獨立人格權(quán),否則容易與既有人格權(quán)發(fā)生交叉重合,因此個人信息權(quán)利最多算是在信息自動化處理環(huán)境中對姓名、肖像、隱私等人格利益的特別保護(hù),不能構(gòu)成一種新的具體人格權(quán)?！?3〕

無論是《網(wǎng)絡(luò)安全法》抑或是《民法典》,都只是規(guī)定“自然人的個人信息受法律保護(hù)”,而對于個人信息的法律性質(zhì)采取了回避態(tài)度,《個人信息保護(hù)法》則同時使用了“權(quán)利”和“權(quán)益”兩個概念,這在客觀上導(dǎo)致了個人信息權(quán)利化陷入困境,這是其一。其二,個人信息打破了傳統(tǒng)民事法律關(guān)系客體的基本特性要求。傳統(tǒng)民法視野下,產(chǎn)權(quán)明晰是私權(quán)保護(hù)和經(jīng)濟(jì)發(fā)展的重要前提,確定性、有體性、獨占性是法律關(guān)系客體的基本特征,而個人信息顯然不具備上述三個特性。個人信息具有無形性,并不必然依附于某種載體,更為關(guān)鍵的是,個人信息價值的彰顯主要通過流動實現(xiàn),難以確定獨占主體。相反,個人信息具有多重價值屬性,個人信息處理過程具有復(fù)雜性,個人信息的利益訴訟具有多元性,既有自然人的人格權(quán)利益訴求,也有企業(yè)的財產(chǎn)權(quán)益訴求,還有政府部門的公共利益訴求,這反過來阻礙了個人信息權(quán)利化進(jìn)程。其三,以隱私權(quán)或自決權(quán)為主要內(nèi)容的個人信息權(quán)保護(hù)模式受到重大挑戰(zhàn)甚至出現(xiàn)異化?！?4〕從域外法治實踐來看,美國在“以權(quán)利對抗權(quán)力”的政治理念和法律架構(gòu)下,通過隱私權(quán)保護(hù)方式,如《加州消費者隱私法案》(California Consumer Privacy Act),賦予個人信息自決權(quán),從而實現(xiàn)個人信息(隱私)免受政府公權(quán)力侵害。〔55〕而歐盟則選擇了另外一種法治路徑,即通過制定專門的數(shù)據(jù)保護(hù)法——《通用數(shù)據(jù)據(jù)保護(hù)法案》(General Data Protection Regulation,下文簡稱GDPR)明確規(guī)定個人數(shù)據(jù)自決權(quán)來實現(xiàn)對個人信息的保護(hù)。質(zhì)言之,美國采取拓展隱私權(quán)范圍的方式對個人信息進(jìn)行保護(hù),歐盟采取獨立權(quán)利的方式對個人信息進(jìn)行保護(hù)。然而,這兩種模式在大數(shù)據(jù)時代都面臨著重大挑戰(zhàn)。一方面,個人信息的隱私權(quán)屬性逐漸弱化,其人格權(quán)依賴(無論是個人尊嚴(yán)還是個人自由)所蘊含的精神利益逐漸轉(zhuǎn)向以財產(chǎn)權(quán)依賴所蘊含的物質(zhì)利益?！氨灰暈樯婕皞€人私人人格的決定權(quán)的個人信息,應(yīng)當(dāng)被定義為一種財產(chǎn)權(quán)”。〔56〕然而,尷尬的是,自然人對個人信息的控制能力非常有限,其重要緣由是,個人信息財產(chǎn)權(quán)主要通過數(shù)據(jù)池(data pool)的占有和使用來實現(xiàn),〔57〕而數(shù)據(jù)池屬于企業(yè)、政府等集體組織收集、構(gòu)建、占有和使用,且具有相當(dāng)?shù)墓伯a(chǎn)品屬性。雖然經(jīng)過脫敏、匿名化處理的信息不再具有可識別性,但計算機(jī)技術(shù)的發(fā)展使個人信息的可識別和非可識別之間在某種情形下是可逆的,并不存在絕對的匿名狀態(tài)。因此,個人信息的控制權(quán)實際上已經(jīng)從自然人轉(zhuǎn)向企業(yè)、政府等集體組織,通過個人財產(chǎn)權(quán)的方式保護(hù)個人信息是低效率的甚至是無效的。〔58〕

將個人信息作為“法益”進(jìn)行保護(hù)的問題在于,我國立法中對“合法利益”的界定非常模糊。我國《民法典》第3條,將“其他合法權(quán)益”與“人身權(quán)利”“財產(chǎn)權(quán)利”一并作為法律保護(hù)對象,但對于何謂“合法權(quán)益”則語焉不詳。究其原因就在于,我國民事立法借鑒德國法上“權(quán)利”與“利益”相區(qū)分的保護(hù)模式,〔59〕但并未設(shè)計專門的“利益”法律保護(hù)機(jī)制,也沒有提供具體的獨立的“利益”保護(hù)規(guī)范,〔60〕從而導(dǎo)致區(qū)分“權(quán)利”和“利益”的保護(hù)模式、構(gòu)成要件及制度設(shè)計僅停留在學(xué)說討論的層面?！?1〕因此,我國需要探尋更具理論基礎(chǔ)和行之有效的個人信息保護(hù)模式。有學(xué)者針對這種困境,明確提出我國民法應(yīng)當(dāng)采取權(quán)利保護(hù)模式,為個人信息提供確定的權(quán)利基礎(chǔ),從而防止科技和商業(yè)的非理性發(fā)展?！?2〕但筆者認(rèn)為,賦予自然人以個人信息“絕對權(quán)”不僅會妨礙個人信息因流通而產(chǎn)生的公共性價值,而且會妨害個人信息自由,進(jìn)而對公眾知情權(quán)和公共事務(wù)造成負(fù)面影響?！?3〕因為,正如前文所述,大數(shù)據(jù)時代的個人信息保護(hù)涉及的利益關(guān)系更為復(fù)雜,不僅要考慮自然人的人格利益,而且要充分考慮個人信息整合后產(chǎn)生的數(shù)據(jù)所具有的資源性和財產(chǎn)性特征?！?4〕

(四)利益平衡機(jī)制的制度設(shè)計

大數(shù)據(jù)時代的個人信息立法,不應(yīng)止步于對個體權(quán)利的保障,而是應(yīng)當(dāng)確立以人為本位的權(quán)利界碑,構(gòu)建以個人利益與公共利益為協(xié)調(diào)的平衡機(jī)制,即個人信息的保護(hù)必須將數(shù)據(jù)合理利用的現(xiàn)實需求和數(shù)字經(jīng)濟(jì)發(fā)展的社會趨勢納入考量范圍。我們既不能選擇以保護(hù)個人信息為借口排斥數(shù)字經(jīng)濟(jì)的發(fā)展路徑,更不能選擇以犧牲個人信息安全為代價來換取數(shù)字經(jīng)濟(jì)發(fā)展的基本立場,應(yīng)當(dāng)將“保護(hù)個人信息權(quán)益”和“促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展”作為雙重價值目標(biāo),在強(qiáng)化個人信息保護(hù)的同時促進(jìn)個人信息的合理利用。

與傳統(tǒng)法律客體不同,數(shù)據(jù)具有無形性、公共性、可分享性等特點,并且數(shù)據(jù)主要是通過流通來實現(xiàn)自身價值,因此,傳統(tǒng)私權(quán)保護(hù)模式不能完全適用于數(shù)據(jù)治理。實際上,賦權(quán)模式并未真正達(dá)到保護(hù)個人信息之目的,亦與大數(shù)據(jù)時代利用個人信息的現(xiàn)實需求相悖,因此,采取有限個體主義與個人信息的動態(tài)保護(hù)路徑,從而在公共性價值和安全風(fēng)險防范之間實現(xiàn)平衡,是切實可行的方案?！?5〕質(zhì)言之,傳統(tǒng)私法理論下,權(quán)利主體對權(quán)利客體享有排他性獨占權(quán),控制權(quán)是權(quán)利核心,如果這一理論框架和規(guī)范模式機(jī)械地適用于數(shù)據(jù)問題,很容易得出賦予企業(yè)或者其他主體以“數(shù)據(jù)權(quán)利”進(jìn)而構(gòu)建數(shù)據(jù)歸屬體系和數(shù)據(jù)利用秩序的結(jié)論。但很顯然,這種私權(quán)控制模式忽略了信息時代數(shù)據(jù)的公共屬性,忽視了個人信息保護(hù)背后的公共利益。因此,應(yīng)當(dāng)突破傳統(tǒng)私法理論局限的制約,從私益保護(hù)轉(zhuǎn)向公益保護(hù),從數(shù)據(jù)控制轉(zhuǎn)向風(fēng)險控制,對數(shù)據(jù)控制保持適當(dāng)謙抑態(tài)度?！?6〕

在數(shù)字經(jīng)濟(jì)時代,要平衡好經(jīng)濟(jì)發(fā)展和信息安全的關(guān)系,堅持權(quán)利保障與信息共享并重原則,推動個人信息保護(hù)與數(shù)據(jù)合理利用相統(tǒng)一相協(xié)調(diào)。一方面,要回應(yīng)廣大人民群眾對個人信息保護(hù)領(lǐng)域突出問題的重大關(guān)切,強(qiáng)化個人信息保護(hù)法律規(guī)范的系統(tǒng)性、針對性和可操作性。個人信息保護(hù)是關(guān)乎民生的大事要事,數(shù)字時代的個人信息收集呈現(xiàn)出隨時性、共享呈現(xiàn)出全面性、使用呈現(xiàn)出普遍性、存儲體現(xiàn)出永久性、傳輸體現(xiàn)出發(fā)散性、處理呈現(xiàn)出綜合性等新特點,〔67〕對個人信息安全造成嚴(yán)重威脅。另一方面,應(yīng)當(dāng)承認(rèn),個人信息的收集使用是大數(shù)據(jù)時代的基礎(chǔ),也是便捷普惠互聯(lián)網(wǎng)服務(wù)的保障。從技術(shù)角度看,信息采集越全面,數(shù)據(jù)分析越精準(zhǔn),個性化服務(wù)就越貼切。從世界范圍來看,在新一輪的全球數(shù)字科技革命和數(shù)字產(chǎn)業(yè)變革中,大力發(fā)展數(shù)字經(jīng)濟(jì)已經(jīng)成為世界主要大國和地區(qū)提升新經(jīng)濟(jì)競爭力的共同選擇,數(shù)據(jù)資源和數(shù)據(jù)治理成為國家博弈新領(lǐng)域。就我國而言,數(shù)字化轉(zhuǎn)型全面提速,需要在保護(hù)個人信息的前提下盡量釋放大數(shù)據(jù)紅利,積極享受大數(shù)據(jù)時代成果。所以,要考慮到個人信息保護(hù)邊界和個人信息控制權(quán)的動態(tài)化發(fā)展趨勢,為進(jìn)一步加強(qiáng)個人信息保護(hù)、維護(hù)網(wǎng)絡(luò)空間的良好生態(tài)、促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展保留制度空間。

因此,大數(shù)據(jù)時代的個人信息不僅具有私人屬性,而且具有公共屬性,立法應(yīng)實現(xiàn)各方利益的平衡,在個人信息保護(hù)與個人信息利用之間保持適當(dāng)張力,既維護(hù)自然人的人格尊嚴(yán)又鼓勵信息合理利用。質(zhì)言之,科學(xué)嚴(yán)密的個人信息保護(hù)法律體系,應(yīng)當(dāng)在有效保障公民權(quán)利的前提下最大限度地釋放數(shù)字經(jīng)濟(jì)主體潛能,堅持“在開發(fā)中保護(hù)、在保護(hù)中利用”,從而最大限度地推動數(shù)字科技創(chuàng)新和社會經(jīng)濟(jì)發(fā)展。〔68〕《個人信息保護(hù)法》第1條開宗明義:“為了保護(hù)個人信息權(quán)益,規(guī)范個人信息處理活動,促進(jìn)個人信息合理利用,根據(jù)憲法,制定本法?！边@說明,《個人信息保護(hù)法》雖名為個人信息“保護(hù)”法,但其立法目的并非單純地保護(hù)個人利益,而是將保護(hù)個人信息權(quán)益與促進(jìn)個人信息合理利用并重,并以此制定了個人信息保護(hù)的基本原則以及處理個人信息的具體規(guī)則。

五、大數(shù)據(jù)個人信息保護(hù)體系規(guī)則的再完善

我國作為發(fā)展中國家,雖然在私法領(lǐng)域的隱私權(quán)立法和公法領(lǐng)域的個人信息保護(hù)立法起步較晚,但在社會法領(lǐng)域的數(shù)據(jù)保護(hù)立法已經(jīng)走在了世界前列,這歸根于我國互聯(lián)網(wǎng)經(jīng)濟(jì)的蓬勃發(fā)展和數(shù)字大國的快速推進(jìn)?！翱勺R別性”是判斷個人信息的標(biāo)準(zhǔn),即能夠直接或間接“識別”出特定自然人的信息屬于個人信息,信息技術(shù)發(fā)展推動能“識別”的個人信息不斷拓展,給個人信息保護(hù)帶來了挑戰(zhàn)。我國大數(shù)據(jù)時代的個人信息保護(hù)應(yīng)從立法模式和規(guī)則體系兩大方面進(jìn)行完善。

(一)立法模式的現(xiàn)實選擇

私權(quán)保護(hù)和信息自由的沖突和博弈是個人信息保護(hù)立法面臨的基本問題,圍繞該問題,世界各國基于不同的價值取向與利益衡量原則選擇了不同的制度設(shè)計,主要形成了以歐盟為代表的“私權(quán)至上模式”和以美國為代表的“信息自由模式”。也可以說,歐盟與美國的個人信息立法是截然不同的兩條建構(gòu)路徑:歐盟從公民基本權(quán)利立場出發(fā),對個人信息采取全面而徹底的保護(hù)原則和統(tǒng)一立法模式,對可直接識別的個人信息以及任何可組合起來間接識別的個人信息都予以保護(hù);美國從保障信息自由立場出發(fā),對個人信息采取弱保護(hù)原則和分散立法模式,對個人信息的界定范圍較窄,保護(hù)力度也遠(yuǎn)不及歐盟。也正基于此,有學(xué)者把美國個人信息保護(hù)模式歸納為“消費者保護(hù)模式”,即側(cè)重于維護(hù)交易安全與交易秩序;把歐盟個人信息保護(hù)模式歸納為“數(shù)據(jù)保護(hù)模式”,即側(cè)重于數(shù)據(jù)主體對數(shù)據(jù)的控制和監(jiān)管?！?9〕美國信息自由模式推動了美國信息產(chǎn)業(yè)的迅速發(fā)展,但企業(yè)的逐利性本質(zhì)決定了“自我規(guī)制”模式下個人信息經(jīng)常被企業(yè)濫用,個人信息安全空間不斷被擠壓。而歐盟將個人信息權(quán)視為一項基本人權(quán),基于對人格尊嚴(yán)的尊重,由政府主動承擔(dān)保護(hù)個人信息的責(zé)任,但對于非歐盟國家而言,歐盟GDPR起到了貿(mào)易保護(hù)主義實際效果,構(gòu)成了數(shù)字經(jīng)濟(jì)時代的新型貿(mào)易壁壘,也阻礙了數(shù)字產(chǎn)業(yè)的發(fā)展?！?0〕

我國作為發(fā)展中國家,互聯(lián)網(wǎng)行業(yè)被視為超越西方發(fā)達(dá)國家的難得領(lǐng)域,大數(shù)據(jù)產(chǎn)業(yè)被視為國家戰(zhàn)略產(chǎn)業(yè),法治建設(shè)要為數(shù)據(jù)強(qiáng)國建設(shè)服務(wù)。事實證明,在我國個人信息保護(hù)寬松的制度環(huán)境中,我國互聯(lián)網(wǎng)行業(yè)取得了突飛猛進(jìn)的發(fā)展,數(shù)據(jù)產(chǎn)業(yè)也躍居世界領(lǐng)先地位。但同時,我們也面臨著個人信息泄露的重大風(fēng)險、個人合法權(quán)益被侵犯的嚴(yán)重局面,在這一背景下,我國個人信息保護(hù)立法迫切需要轉(zhuǎn)型,即在個人信息保護(hù)與促進(jìn)產(chǎn)業(yè)經(jīng)濟(jì)發(fā)展之間尋求平衡。然而,我國個人信息保護(hù)法治實踐面臨重重困境:民事立法保護(hù)滯后、經(jīng)濟(jì)立法保護(hù)闕如、刑法保護(hù)被動和民事司法救濟(jì)無力等?！?1〕因此,我國應(yīng)當(dāng)構(gòu)建適合中國國情、具有中國特色的個人信息保護(hù)模式。筆者認(rèn)為,可以走第三條道路,即強(qiáng)化企業(yè)責(zé)任、行業(yè)自律的同時,加強(qiáng)國家個人信息立法,在數(shù)據(jù)產(chǎn)業(yè)已經(jīng)相當(dāng)發(fā)達(dá)的情況下逐漸偏重于個人信息保護(hù)。

著眼于未來,我國要確立以個人信息保護(hù)事先預(yù)防和事中控制為主的保護(hù)模式。傳統(tǒng)上,保護(hù)法益的主要方式是事后救濟(jì),而在互聯(lián)網(wǎng)時代,個人信息蘊含的法益具有復(fù)雜性,個人信息侵權(quán)給受害人造成的損害具有不可逆性,這就決定了個人信息保護(hù)方式具有復(fù)雜性以及保護(hù)機(jī)制具有系統(tǒng)性,進(jìn)而需要改變傳統(tǒng)法益事后救濟(jì)保護(hù)模式,而以事先預(yù)防和事中控制即以個人信息過程性保護(hù)手段為主,這主要體現(xiàn)在賦予和落實個人知情權(quán)、同意權(quán)、選擇權(quán)、訪問權(quán)、查詢權(quán)、更正權(quán)、公布權(quán)、刪除權(quán)等更多的程序性權(quán)利。〔72〕

(二)個人信息保護(hù)規(guī)則體系的再優(yōu)化

《個人信息保護(hù)法》在借鑒域外發(fā)達(dá)國家成熟經(jīng)驗的同時,立足于我國社會發(fā)展現(xiàn)實,將個人信息權(quán)益私權(quán)保護(hù)與個人信息處理公法監(jiān)管一并立法,兼顧個人信息保護(hù)與數(shù)據(jù)有效利用,統(tǒng)合私主體和公權(quán)力義務(wù)責(zé)任,與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》一道共同搭建了大數(shù)據(jù)時代我國網(wǎng)絡(luò)安全和個人信息保護(hù)的基本法律框架。但至少應(yīng)在保護(hù)機(jī)制和規(guī)范方法兩方面可以再優(yōu)化:

在保護(hù)機(jī)制方面,在對信息主體賦權(quán)的同時更要強(qiáng)調(diào)企業(yè)、社會組織、政府機(jī)關(guān)等在個人信息保護(hù)中的義務(wù)和責(zé)任。當(dāng)前世界通行的個人信息保護(hù)框架規(guī)定,個人信息的控制者不得超范圍收集和處理信息,必須保證個人信息的安全,必須保證個人信息使用的可解釋性,在這一方面,《個人信息保護(hù)法》已經(jīng)有所體現(xiàn),不僅詳細(xì)規(guī)定了個人信息處理義務(wù)規(guī)范,而且重點規(guī)定了個人信息處理規(guī)則即行為規(guī)范,同時還明確規(guī)定了個人信息保護(hù)的責(zé)任機(jī)制。個人信息保護(hù)除了刑法、民法、經(jīng)濟(jì)法保護(hù)機(jī)制,還需要行政法保護(hù)機(jī)制。我國當(dāng)務(wù)之急,是要建立統(tǒng)一權(quán)威的個人信息保護(hù)部門。歐盟要求各成員國設(shè)立專門的個人數(shù)據(jù)監(jiān)管機(jī)構(gòu)以加強(qiáng)對個人信息的收集、利用、流通等環(huán)節(jié)的監(jiān)控管理,德國根據(jù)這一要求設(shè)立了個人數(shù)據(jù)保護(hù)聯(lián)邦委員會,這是世界首個專司個人數(shù)據(jù)保護(hù)監(jiān)督、解決個人數(shù)據(jù)保護(hù)糾紛、提出個人數(shù)據(jù)保護(hù)建議的獨立機(jī)構(gòu)。英國設(shè)立了專門的信息委員會,以保障英國《數(shù)據(jù)保護(hù)法案》(Data Protection Act)的實施執(zhí)行,對違法的個人或企業(yè)進(jìn)行追責(zé)。日本為了加強(qiáng)個人信息保護(hù)的行政監(jiān)管,于2017年成立了日本個人信息委員會,從而確立了個人信息保護(hù)集中監(jiān)管體制。

在規(guī)范方法上,應(yīng)制定《個人信息保護(hù)法實施條例》等法律法規(guī),并采用和強(qiáng)化“積極確權(quán)+行為規(guī)范”模式?！胺e極確權(quán)+行為規(guī)范”模式是歐美個人信息立法發(fā)展的整體趨勢,〔73〕為我國個人信息保護(hù)立法提供了一定的借鑒指引。所謂“積極確權(quán)”,是指通過法律正面界定權(quán)利方式來劃定個人信息主體的權(quán)益范圍;所謂“行為規(guī)范”,是指通過法律直接規(guī)定處理個人信息行為規(guī)范方式來反推個人信息主體的權(quán)益范圍。所以,前者又可以稱為直接保護(hù)模式即權(quán)利界定模式,后者又可以稱為間接保護(hù)模式即行為規(guī)制模式。

(三)公共數(shù)據(jù)規(guī)則體系的再創(chuàng)新

大數(shù)據(jù)時代,個人信息已經(jīng)突破了傳統(tǒng)絕對私權(quán)范疇,合理使用個人信息具有正當(dāng)性。關(guān)鍵是如何平衡作為個人信息主體的自然人與作為數(shù)據(jù)控制者的企業(yè)、政府等之間的利益,如何確定是否合理使用個人信息,如何確保安全利用個人信息。隨著建立在數(shù)據(jù)和算法基礎(chǔ)之上的人工智能的迅猛發(fā)展,更多的個人信息乃至隱私被獲取且具有極強(qiáng)的迷惑性,由此引發(fā)了嚴(yán)重的隱私危機(jī),傳統(tǒng)隱私法律保護(hù)框架在有效保護(hù)個人隱私和充分發(fā)揮個人信息價值之間的平衡作用捉襟見肘,需要探索新的法律保護(hù)路徑?！?4〕而公共數(shù)據(jù)是解決這一問題的重要視角。換言之,探討公共數(shù)據(jù)生成的內(nèi)在機(jī)理及其法律屬性,分析公共數(shù)據(jù)治理的現(xiàn)實困境及其內(nèi)外成因,研究政府在公共數(shù)據(jù)治理的角色定位與權(quán)力邊界,從而實現(xiàn)公共數(shù)據(jù)的充分共享與個人信息保護(hù)的有效協(xié)調(diào)。

下一階段,我國應(yīng)通過制度創(chuàng)新破除公共數(shù)據(jù)共享鴻溝,在數(shù)據(jù)利用和個人信息保護(hù)之間實現(xiàn)平衡。具體而言,其一,通過制定數(shù)據(jù)產(chǎn)業(yè)促進(jìn)法明確和細(xì)化對于公共數(shù)據(jù)的收集及共享的權(quán)責(zé)分配,制定詳盡的數(shù)據(jù)資源協(xié)同整合的實施細(xì)則,將數(shù)據(jù)資源系統(tǒng)性安排從征信、公安、金融等特定領(lǐng)域拓展至社會各領(lǐng)域各方面。無論是從隱私和個人信息保護(hù)視角看,抑或是從數(shù)字經(jīng)濟(jì)發(fā)展和公共數(shù)據(jù)治理視角看,政府都扮演著重要角色。其重中之重在于,解決采集個人信息的正當(dāng)性基礎(chǔ)問題以及提高公共數(shù)據(jù)的共享效率問題。其二,從靜態(tài)層面,要嚴(yán)格限定公共數(shù)據(jù)的范圍,將其限定在公共利益目的領(lǐng)域,增強(qiáng)公共數(shù)據(jù)正當(dāng)性基礎(chǔ)。對于一般領(lǐng)域的個人信息的收集和處理,可以采取“通常允許+特殊排除性規(guī)定”立法模式;對于敏感領(lǐng)域的個人信息的收集和處理,可以采取“通常不允許+列明允許范圍”立法模式。同時,敏感領(lǐng)域個人信息收集和處理的情形應(yīng)當(dāng)僅限于為了維護(hù)國防安全、國家安全、公共安全等重大公共利益領(lǐng)域或犯罪懲罰與預(yù)防領(lǐng)域。其三,從動態(tài)層面,要嚴(yán)格規(guī)范公共數(shù)據(jù)的處理,政府收集和處理公共數(shù)據(jù)應(yīng)當(dāng)嚴(yán)格遵循法律授權(quán)、最小比例、權(quán)利保障、正當(dāng)程序等基本原則和具體規(guī)則。其四,從機(jī)制創(chuàng)新角度,我國可以借鑒域外信息專員制度和信息分級分類制度、個案判斷機(jī)制和風(fēng)險評估機(jī)制等,進(jìn)一步優(yōu)化法律制度建構(gòu)。

(四)公共利益規(guī)則體系的再構(gòu)建

合理適度是科學(xué)立法的應(yīng)有之義,個人信息立法時利益衡量必不可少?！?5〕個人信息保護(hù)和數(shù)據(jù)安全不僅僅是技術(shù)問題,更是國家政策、法律法規(guī)、技術(shù)開發(fā)等相結(jié)合的系統(tǒng)工程。建立健全個人信息保護(hù)法律制度,尤其要考慮到合理適度,既要避免法律缺失、數(shù)據(jù)被濫用,也要避免防護(hù)過度,抑制“數(shù)字經(jīng)濟(jì)”正常發(fā)展。質(zhì)言之,數(shù)字經(jīng)濟(jì)時代,科學(xué)理性的個人信息保護(hù)觀念,既不是為了企業(yè)利益和經(jīng)濟(jì)發(fā)展而置公民個人信息保護(hù)于不顧,也不是強(qiáng)調(diào)個人信息權(quán)的絕對化,而是要在保護(hù)和限制之間達(dá)到某種平衡,即將對個人信息的收集和使用限制在合法合規(guī)合理的框架內(nèi),而確定這一合理邊界的重要因素就在于公共利益。

公共利益的優(yōu)位不是絕對的。為了公共利益而限制個人信息也并非絕對的,而是相對的,仍應(yīng)當(dāng)遵守目的正當(dāng)、法律授權(quán)、最小比例、權(quán)利保障等基本原則,遵循“知情同意”程序機(jī)制?？梢哉f,無論是學(xué)理研究抑或是法律規(guī)范,都能推導(dǎo)出基于公共利益收集和處理個人信息的正當(dāng)性,但目的正當(dāng)性并不意味著手段的任意性?！?6〕個人信息保護(hù)需要結(jié)合具體場景,即“個人信息保護(hù)的合理程度要置于其所處的環(huán)境中具體審視”?！?7〕所以,對于個人信息的處理應(yīng)當(dāng)嚴(yán)格落實“三最”原則:一是范圍最小原則,即收集個人信息應(yīng)當(dāng)將范圍限于實現(xiàn)目的的最小范圍;二是影響最小原則,即處理個人信息應(yīng)當(dāng)采取對個人權(quán)益影響最小的方式;三是期限最短原則,即保存?zhèn)€人信息的期限應(yīng)當(dāng)以實現(xiàn)處理目的所必要的最短時間。

問題在于,我國目前立法中“公共利益”條款較少且相對粗陋,這一方面源自于“公共利益”概念的抽象性和公共利益問題的復(fù)雜性,另一方面源自于我國立法階段的初級性和立法技術(shù)簡單化。隨著我國立法工作從“有法可依”邁入“科學(xué)立法”階段,應(yīng)當(dāng)完善公共利益規(guī)則體系,從而為公權(quán)力部門處理個人信息提供明確而具體的邊界。

六、結(jié) 論

信息化時代,加強(qiáng)個人信息保護(hù)是人民群眾的熱切期待;大數(shù)據(jù)時代,促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展是政府和企業(yè)的迫切需求。如果說,公共利益為限制個人信息注入了“價值理性”,那么,數(shù)字經(jīng)濟(jì)發(fā)展則為利用個人信息提供了“工具理性”。大數(shù)據(jù)是對萬事萬物全景式的記錄,被稱為“信息時代的石油”,對于推動實施我國大數(shù)據(jù)戰(zhàn)略、加快推進(jìn)數(shù)字中國建設(shè)意義重大。然而,人工智能等科學(xué)技術(shù)的廣泛應(yīng)用給傳統(tǒng)法律制度、倫理道德以及社會治理帶來了嚴(yán)重挑戰(zhàn)。如何讓大數(shù)據(jù)更好地服務(wù)于經(jīng)濟(jì)發(fā)展和社會進(jìn)步,在避免信息孤島的同時解決算法歧視、信息泄露、隱私侵權(quán)等問題,更是成為大數(shù)據(jù)時代的重要法治課題。從實踐看,大數(shù)據(jù)的廣泛應(yīng)用使得擅自使用或者濫用公民個人信息的狀況時有發(fā)生,嚴(yán)重侵害公民合法權(quán)益。在推動數(shù)字經(jīng)濟(jì)發(fā)展的同時完善個人信息的法律保護(hù),進(jìn)而在數(shù)據(jù)充分賦能和個人信息保護(hù)之間、個人信息價值挖掘與個人主體信息自決權(quán)之間、大數(shù)據(jù)信息共享與隱私安全保護(hù)之間實現(xiàn)平衡,是近年來社會各界高度關(guān)注的問題。數(shù)據(jù)共享是數(shù)據(jù)利用的重要方式,也是數(shù)據(jù)產(chǎn)業(yè)和數(shù)字經(jīng)濟(jì)發(fā)展的重要基礎(chǔ)。數(shù)字經(jīng)濟(jì)作為一種新的經(jīng)濟(jì)形態(tài),是以“數(shù)據(jù)”作為核心生產(chǎn)要素和關(guān)鍵驅(qū)動力,其在推動經(jīng)濟(jì)社會發(fā)展的同時亦產(chǎn)生了個人信息保護(hù)、數(shù)據(jù)治理、平臺責(zé)任等一系列法律監(jiān)管問題,推動法律制度革新?！秱€人信息保護(hù)法》的出臺標(biāo)志著我國網(wǎng)絡(luò)法律體系已經(jīng)建立。然而,徒法不足以自行。著眼于未來,一方面,在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》出臺后需要執(zhí)法司法的后續(xù)接力,從制定到落實,個人信息保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展任重而道遠(yuǎn)。另一方面,應(yīng)當(dāng)根據(jù)良法善治的要求進(jìn)一步推進(jìn)我國大數(shù)據(jù)法律制度建設(shè),通過制定實施條例或者公布司法案例等形式,以創(chuàng)新共治思維、審慎監(jiān)管理念推動體制機(jī)制變革和新業(yè)態(tài)發(fā)展,明確不同主體在個人信息保護(hù)中的行為規(guī)范與權(quán)利(力)邊界,著力處理好個人、企業(yè)、社會組織和政府部門之間法律關(guān)系,既維護(hù)個人對信息的自決權(quán),也要促進(jìn)企業(yè)之間的良性數(shù)據(jù)競爭,并借助大數(shù)據(jù)提升政府監(jiān)管能力與服務(wù)能力。

注釋：

〔1〕龍衛(wèi)球:《個人信息保護(hù)法具有深遠(yuǎn)的國際意義》,《經(jīng)濟(jì)參考報》2021年8月23日。

〔2〕王葉剛:《論網(wǎng)絡(luò)隱私政策的效力——以個人信息保護(hù)為中心》,《比較法研究》2020年第1期。

〔3〕王利明:《數(shù)據(jù)共享與個人信息保護(hù)》,《現(xiàn)代法學(xué)》2019年第1期。

〔4〕〔77〕范為:《大數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)》,《環(huán)球法律評論》2016年第5期。

〔5〕〔德〕迪特爾·梅迪庫斯:《德國民法總論》,邵建東譯,北京:法律出版社,2013年,第807頁。

〔6〕萬方:《個人信息處理中的“同意”與“同意撤回”》,《中國法學(xué)》2021年第1期。

〔7〕高富平:《個人信息使用的合法性基礎(chǔ)——數(shù)據(jù)上利益分析視角》,《比較法研究》2019年第2期。

〔8〕張新寶:《我國個人信息保護(hù)法立法主要矛盾研討》,《吉林大學(xué)社會科學(xué)學(xué)報》2018年第5期。

〔9〕P.A.Samuelson,“The Pure Theory of Public Expenditure”,The Review of Economics and Statistics,1954,(36),pp.387-389.

〔10〕尹建國:《我國網(wǎng)絡(luò)信息的政府治理機(jī)制研究》,《中國法學(xué)》2015年第1期。

〔11〕袁康、劉漢廣:《公共數(shù)據(jù)治理中的政府角色與行為邊界》,《江漢論壇》2020年第5期。

〔12〕〔德〕克努特·阿梅隆:《德國刑法學(xué)中法益保護(hù)理論的現(xiàn)狀》,〔日〕日高義博日譯,姚培培中譯,《中德法學(xué)論壇》2017年第14輯。

〔13〕〔德〕卡爾·拉倫茨:《法學(xué)方法論》,陳愛娥譯,北京:商務(wù)印書館,2003年,第276頁。

〔14〕〔美〕愛德華·弗里曼等:《利益相關(guān)者理論:現(xiàn)狀與展望》,盛亞等譯,北京:知識產(chǎn)權(quán)出版社,2013年,第27頁。

〔15〕唐彬彬:《疫情防控中個人信息保護(hù)的邊界——一種利益相關(guān)者理論的視角》,《中國政法大學(xué)學(xué)報》2020年第4期。

〔16〕〔德〕漢斯·J.沃爾夫、奧托·巴霍夫、羅爾夫·施托貝爾:《行政法》第一卷,高家偉譯,北京:商務(wù)印書館,2002年,第323頁。

〔17〕Harfield,Clive,“Law,morality and the authorisation of covert police surveillance”,Australian Journal of Human Rights,Vol.20,No.2,2014,p.136.

〔18〕劉艷紅:《公共空間運用大規(guī)模監(jiān)控的法理邏輯及限度——基于個人信息有序共享之視角》,《法學(xué)論壇》2020年第2期。

〔19〕方明:《個人信息多元保護(hù)模式探究》,《學(xué)?！?018年第6期。

〔20〕〔46〕〔68〕張新寶:《從隱私到個人信息:利益再衡量的理論與制度安排》,《中國法學(xué)》2015年第3期。

〔21〕王錫鋅:《個人信息國家保護(hù)義務(wù)及展開》,《中國法學(xué)》2021年第1期。

〔22〕《民法典》第1034條把“個人信息”界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”。

〔23〕《網(wǎng)絡(luò)安全法》第76條把“個人信息”界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”。

〔24〕《數(shù)據(jù)安全法》第3條把“數(shù)據(jù)”界定為“任何以電子或者其他方式對信息的記錄”。

〔25〕周漢華:《論互聯(lián)網(wǎng)法》,《中國法學(xué)》2015年第3期。

〔26〕程嘯:《論大數(shù)據(jù)時代的個人數(shù)據(jù)權(quán)利》,《中國社會科學(xué)》2018年第3期。

〔27〕梅夏英:《數(shù)據(jù)的法律屬性及其民法定位》,《中國社會科學(xué)》2016年第9期。

〔28〕紀(jì)海龍:《數(shù)據(jù)的私法定位與保護(hù)》,《法學(xué)研究》2018年第6期。

〔29〕李帥:《個人信息公法保護(hù)機(jī)制的現(xiàn)存問題及完善對策——基于295份行政判決書的定量研究》,《浙江社會科學(xué)》2018年第8期。

〔30〕蔣坡:《個人數(shù)據(jù)信息的法律保護(hù)》,北京:中國政法大學(xué)出版社,2008年,第1頁。

〔31〕P.Ohm,“Broken Promises of Privacy:Responding to the Surprising Failure of Anonymization”,UCLA Law Review,August 13,Vol.57,2009,p.1701．

〔32〕張平:《大數(shù)據(jù)時代個人信息保護(hù)的立法選擇》,《北京大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2017年第3期。

〔33〕〔38〕龍衛(wèi)球:《數(shù)據(jù)新型財產(chǎn)權(quán)構(gòu)建及其體系研究》,《政法論壇》2017年第4期。

〔34〕王利明:《論個人信息權(quán)的法律保護(hù)——以個人信息權(quán)與隱私權(quán)的界分為中心》,《現(xiàn)代法學(xué)》2013年第4期。

〔35〕〔41〕〔64〕劉德良:《個人信息的財產(chǎn)權(quán)保護(hù)》,《法學(xué)研究》2007年第3期。

〔36〕謝遠(yuǎn)揚:《信息論視角下個人信息的價值——兼對隱私權(quán)保護(hù)模式的檢討》,《清華法學(xué)》2015年第3期。

〔37〕〔45〕劉金瑞:《個人信息與權(quán)利配置——個人信息自決權(quán)的反思和出路》,北京:法律出版社,2017年,第256、109-119頁。

〔39〕〔49〕王利明:《中華人民共和國民法總則詳解》上冊,北京:中國法制出版社,2017年,第456、456頁。

〔40〕程嘯:《民法典編纂視野下的個人信息保護(hù)》,《中國法學(xué)》2019年第4期。

〔42〕徐美:《再談個人信息保護(hù)路徑——以〈民法總則〉第111條為出發(fā)點》,《中國政法大學(xué)學(xué)報》2018年第5期。

〔43〕吳漢東、胡開忠:《無形財產(chǎn)權(quán)制度研究》,北京:法律出版社,2005年,第7頁。

〔44〕〔美〕理查德·A·波斯納:《論隱私權(quán)》,常鵬翱譯,梁慧星主編:《民商法論叢》第21卷,香港:金橋文化出版(香港)有限公司,2001年,第347頁。

〔47〕Cohen.J,“Examined Lives:Informational Privacy and the Subject as Object”,Stanford Law Review,Vol.52,No.3,2000,pp.1373-1438.

〔48〕陳甦:《民法總則評注》下冊,北京:法律出版社,2017年,第785-790頁。

〔50〕葉金強(qiáng):《〈民法總則〉“民事權(quán)利章”的得與失》,《中外法學(xué)》2017年第3期。

〔51〕張新寶:《〈民法總則〉個人信息保護(hù)條文研究》,《中外法學(xué)》2019年第1期。

〔52〕〔62〕王成:《個人信息民法保護(hù)的模式選擇》,《中國社會科學(xué)》2019年第6期。

〔53〕劉召成:《論具體人格權(quán)的生成》,《法學(xué)》2016年第3期。

〔54〕〔71〕王秀哲:《大數(shù)據(jù)時代個人信息法律保護(hù)制度之重構(gòu)》,《法學(xué)論壇》2018年第6期。

〔55〕Ian Goldberg et al.,“Trust,Ethics,and Privacy”,B.U.L.REV.,Vol.81,2001,p.418．

〔56〕Alan Westin,Privacy and Freedom,New York:Atheneum,1967,p.324．

〔57〕胡凌:《超越代碼:從賽博空間到物理世界的控制/生產(chǎn)機(jī)制》,《華東政法大學(xué)學(xué)報》2018年第1期。

〔58〕吳偉光:《大數(shù)據(jù)技術(shù)下個人數(shù)據(jù)信息私權(quán)保護(hù)論批判》,《政治與法律》2016年第7期。

〔59〕楊立新:《〈侵權(quán)責(zé)任法草案〉應(yīng)當(dāng)重點研究的20個問題》,《河北法學(xué)》2009年第2期。

〔60〕王成:《侵權(quán)之“權(quán)”的認(rèn)定與民事主體利益的規(guī)范途徑——兼論〈侵權(quán)責(zé)任法〉的一般條款》,《清華法學(xué)》2011年第2期。

〔61〕于飛:《侵權(quán)法中權(quán)利與利益的區(qū)分方法》,《法學(xué)研究》2011年第4期。

〔63〕丁曉東:《個人信息私法保護(hù)的困境與出路》,《法學(xué)研究》2018年第6期。

〔65〕丁曉東:《論個人信息法律保護(hù)的思想淵源與基本原理——基于“公平信息實踐”的分析》,《現(xiàn)代法學(xué)》2019年第3期。

〔66〕梅夏英:《在分享和控制之間:數(shù)據(jù)保護(hù)的私法局限和公共秩序構(gòu)建》,《中外法學(xué)》2019年第4期。

〔67〕李朝暉:《數(shù)字時代亟須加快制定個人信息保護(hù)法》,《深圳特區(qū)報》2020年10月27日。

〔69〕王葉剛:《網(wǎng)絡(luò)隱私政策法律調(diào)整與個人信息保護(hù):美國實踐及其啟示》,《環(huán)球法律評論》2020年第2期。

〔70〕田曉萍:《貿(mào)易壁壘視角下的歐盟〈一般數(shù)據(jù)保護(hù)條例〉》,《政法論叢》2019年第4期。

〔72〕丁曉東:《論數(shù)據(jù)攜帶權(quán)的屬性、影響與中國應(yīng)用》,《法商研究》2020年第1期。

〔73〕宋亞輝:《個人信息的私法保護(hù)模式研究——〈民法總則〉第111條的解釋論》,《比較法研究》2019年第2期。

〔74〕鄭志峰:《人工智能時代的隱私保護(hù)》,《法律科學(xué)(西北政法大學(xué)學(xué)報)》2019年第2期。

〔75〕〔德〕漢斯·布洛克斯、沃爾夫·迪特里?！ね郀柨说?《德國民法總論》,張艷譯,北京:中國人民大學(xué)出版社,2012年,第426頁。

〔76〕劉國:《個人信息保護(hù)的公法框架研究——以突發(fā)公共衛(wèi)生事件為例》,《甘肅社會科學(xué)》2020年第4期。