個人信息保護(hù)立法模式選擇

張 靜

內(nèi)容提要：云計算、大數(shù)據(jù)、人工智能的快速發(fā)展使加強(qiáng)個人信息保護(hù)的呼聲再次高漲。個人信息保護(hù)不僅涉及到對個人基本權(quán)利的保護(hù)，還涉及產(chǎn)業(yè)發(fā)展、國家安全和國家戰(zhàn)略安排，兩者之間存在著此消彼長的關(guān)系。歐洲和美國對個人信息保護(hù)的不同立法模式雖然有其產(chǎn)生的不同歷史社會原因，同時也有當(dāng)前產(chǎn)業(yè)之爭的痕跡。我國個人信息保護(hù)立法應(yīng)該在深入探尋、分析兩種立法模式產(chǎn)生原因，對經(jīng)濟(jì)、社會產(chǎn)生的不同影響后，擯棄概念誤讀，以結(jié)果為導(dǎo)向選擇相對寬松的立法模式，堅持公法、私法相區(qū)分，事前、事后規(guī)制相結(jié)合的原則，構(gòu)建符合我國經(jīng)濟(jì)和社會發(fā)展需要的個人信息保護(hù)制度，以達(dá)到產(chǎn)業(yè)發(fā)展和個人信息保護(hù)之間的利益平衡。

一、問題的提出

個人信息保護(hù)問題，早在二十世紀(jì)七八十年代的歐美國家即已經(jīng)引起了廣泛討論，并促成一系列相關(guān)法律法規(guī)的制定。目前，我國將大力發(fā)展包括云計算、大數(shù)據(jù)在內(nèi)的信息技術(shù)產(chǎn)業(yè)確定為重要的國家戰(zhàn)略。隨著信息技術(shù)的大發(fā)展特別是云計算、大數(shù)據(jù)分析的廣泛使用以及國家鼓勵的 “雙創(chuàng)”產(chǎn)業(yè)特別是互聯(lián)網(wǎng)金融行業(yè)的快速發(fā)展，個人信息的獲取、收集、處理、使用呈現(xiàn)爆發(fā)性發(fā)展態(tài)勢，人們傳統(tǒng)的私生活領(lǐng)域時常受到侵犯。產(chǎn)業(yè)發(fā)展、國家需求與個體利益之間的沖突不斷。個人信息被盜取用以犯罪的事件時有發(fā)生，徐玉玉等悲慘事件的產(chǎn)生、發(fā)酵均刺激著覺醒中的民眾神經(jīng)，社會上不斷出現(xiàn) “個人信息保護(hù)”立法的呼聲，同時也引發(fā)學(xué)界的廣泛關(guān)注和討論，民法典草案中亦已然增加人格權(quán)編，以期加強(qiáng)對個人信息民法上的保護(hù)。

但是，情感永遠(yuǎn)無法代替理性分析。個人信息保護(hù)不僅僅是涉及民法領(lǐng)域的個人利益保護(hù)的問題，還涉及到國家戰(zhàn)略、國家安全、產(chǎn)業(yè)發(fā)展、言論自由等多方面跨學(xué)科的問題，即使在法學(xué)學(xué)科中，也不僅僅是民法所能完全解決的問題。個人信息保護(hù)問題遠(yuǎn)遠(yuǎn)超出法律制度和技術(shù)層面，而涉及更深層的哲學(xué)思辨——人的問題。歐洲、美國等早已步入信息現(xiàn)代化發(fā)展的國家對于相同問題的立法處理方案對于我們具有很好的借鑒作用，但同時我們必須看到歐美法律制度架構(gòu)的根基建立在其各自不同的法哲學(xué)基礎(chǔ)上，而這恰是長期以來我國法律制度構(gòu)建所缺失的。因此個人信息保護(hù)立法必須運(yùn)用科學(xué)方法分析不同立法模式產(chǎn)生的深層原因、現(xiàn)今變化及其現(xiàn)實困境，結(jié)合我國經(jīng)濟(jì)發(fā)展階段、社會現(xiàn)狀，必要時修正我們曾經(jīng)有所局限的法理認(rèn)識，做出適合我國實際情況的立法方案，在個體權(quán)益保護(hù)與群體發(fā)展之間尋求到最佳利益平衡點。法律從來都不是能夠脫離客觀實際的虛幻存在。

二、主要國家個人信息保護(hù)立法現(xiàn)狀

無論政治體制異同，處于同一經(jīng)濟(jì)、技術(shù)發(fā)展階段的國家所遇到的問題具有很多共性，因此借鑒信息技術(shù)發(fā)展早于我們國家的歐美國家對于相同問題的處理方式，有助于我們揚(yáng)長避短。后發(fā)優(yōu)勢不僅僅適用于產(chǎn)業(yè)發(fā)展也適用于社會制度建設(shè)，因此，在構(gòu)建我們國家個人信息保護(hù)問題上，有必要對世界上主要國家的相關(guān)制度進(jìn)行研究、分析。

從比較法角度看，個人信息保護(hù)多采用多部門法綜合調(diào)整的方法，所涉及的法律并不局限于民法。從立法模式來看，主要有歐洲模式和美國模式這兩種。歐洲國家的立法模式以制定統(tǒng)一的個人信息保護(hù)法為主要特征，美國則是通過制定不同的部門法方式建立個人信息保護(hù)體系。

（一）德國個人信息保護(hù)立法的發(fā)展歷程

從通過立法對個人信息提供保護(hù)的目的看，歐盟和德國不同于美國保護(hù)個人信息以人的自由為出發(fā)點，而是在于保護(hù)人的基本權(quán)利。二十世紀(jì)七十年代后，伴隨著信息技術(shù)的發(fā)展，政府以及商業(yè)團(tuán)體廣泛對個人信息進(jìn)行采集、使用并以此獲利，私人生活領(lǐng)域被嚴(yán)重侵犯。個體面對強(qiáng)大的政府以及信息不對稱的商家對個人生活領(lǐng)域的侵犯，愈發(fā)恐懼。過去基于一般人格權(quán)對自然人信息的保護(hù)被認(rèn)為無法在信息技術(shù)大發(fā)展的時代給予個人全面充分的保護(hù)，專門的信息保護(hù)立法也就被提上日程。

歷史上第一部關(guān)于信息保護(hù)的專門立法是德國黑森州于1970年主要針對政府濫用個人信息而制定。該法明確了行政機(jī)關(guān)對個人信息予以保密的義務(wù)，重新劃分了地方團(tuán)體和州級行政機(jī)關(guān)在個人信息使用中的權(quán)限和地位。隨后德國各聯(lián)邦州陸續(xù)開啟本州信息保護(hù)立法的進(jìn)程。1971年德國內(nèi)政部委托學(xué)者施泰姆勒提出了 《聯(lián)邦個人信息保護(hù)法草案》。施泰姆勒在該草案的說明中首次提到了 “個人信息自決權(quán)”和 “信息人格自決權(quán)”的概念。這兩項權(quán)利的內(nèi)容是指個體有權(quán)自由、自主地決定周圍的世界可以在何種程度上獲知他自己的思想和行動，以此應(yīng)對當(dāng)時被廣泛采用的對個人信息進(jìn)行的自動化處理方式對于個體人格的威脅。這實際上屬于德國 《基本法》第2條第1款中規(guī)定的人所享有的自由發(fā)展這一基本權(quán)的范疇。雖然該草案歷經(jīng)波折，1976年11月通過，1978年1月才開始生效，但個人信息自決權(quán)卻成為后來歐洲個人信息保護(hù)的基本出發(fā)點?！堵?lián)邦個人信息保護(hù)法》共有47個法律條文，這些條文確立了 “任何形式的個人信息處理必須有法律上的許可或者經(jīng)信息主體同意”①BDSG(1978)&4 Abs.1.的基本原則。這部法律主要是從消極防御的角度來防御對個人信息的濫用，因此只賦予信息主體少量權(quán)利，且沒有對個人信息與隱私權(quán)予以嚴(yán)格區(qū)分。

1983年，德國聯(lián)邦政府制定了 《人口普查法》，意在全德范圍內(nèi)推行全面的人口普查，涉及到被調(diào)查人口的年齡、性別、住址、職業(yè)、教育程度、宗教信仰等詳細(xì)信息，這引起了德國民眾對國家強(qiáng)制收集、使用個人信息的強(qiáng)烈不滿，甚至有一百多位公民以該法案違反德國 《基本法》為由，起訴至聯(lián)邦憲法法院，請求判決該法案違憲。聯(lián)邦憲法法院經(jīng)過審慎審查和論證后，判決該法案違憲，并以 《基本法》中一般人格權(quán)為基礎(chǔ)，正式提出了個人信息自決權(quán)的概念。聯(lián)邦憲法法院還提出三項基本原則，即：一、個人信息自決權(quán)是保護(hù)個人得以對抗無限制信息收集行為的有力工具；二、在自動化信息處理工具面前，不再有不重要的個人信息；三、個人對于自己的信息并沒有支配權(quán)，個人信息自決權(quán)受到公共利益的限制。②楊芳：《個人信息自決權(quán)理論及其檢討——兼論個人信息保護(hù)法之保護(hù)客體》，載 《比較法研究》2015年第6期。

經(jīng)過這次的 “人口普查案”，聯(lián)邦德國信息保護(hù)的基本理念發(fā)生了重要轉(zhuǎn)變，并直接促成了《聯(lián)邦信息保護(hù)法》的第一次修改。修改后的 《聯(lián)邦信息保護(hù)法》一改對個人信息消極保護(hù)的態(tài)度，從防止公權(quán)力機(jī)關(guān)對個人信息的過度采集和濫用轉(zhuǎn)到注重合理應(yīng)用個人信息，使個體免遭因個人信息被傳播而引起的人格侵犯。該法還明確了公法主體無過錯賠償責(zé)任機(jī)制。此后，德國 《聯(lián)邦信息保護(hù)法》又經(jīng)過兩次修改。二十世紀(jì)八十年代歐盟開始實施的 《個人信息保護(hù)公約》，按照德國國內(nèi)法的規(guī)定，應(yīng)該在3年內(nèi)將其轉(zhuǎn)化為國內(nèi)法予以實施。但德國遲遲未采取行動，直到2001年，歐盟對德提起訴訟，德國政府迫于壓力，只得匆匆完成 《聯(lián)邦信息保護(hù)法》的第二次修訂。這次修改后的法案規(guī)定了信息經(jīng)濟(jì)的原則，為減少對人格權(quán)的侵害，要求盡可能使用匿名信息。同時，該法案體現(xiàn)出意思自治在個人信息保護(hù)領(lǐng)域的作用，將權(quán)利人同意作為信息收集和處理的合法性來源，并詳細(xì)規(guī)定了未經(jīng)信息主體同意進(jìn)行信息采集和處理的條件。此后先是2006年，德國最大的電信服務(wù)商信息系統(tǒng)遭受黑客攻擊導(dǎo)致用戶敏感信息泄露，后來德國鐵路、大型的連鎖超市、德意志銀行等被指控涉嫌非法交易用戶信息等行為使得德國數(shù)萬名民眾街頭抗議，由此開啟了德國 《聯(lián)邦信息保護(hù)法》的第三次修訂。這一次的法案修訂擴(kuò)大了信息主體信息自決權(quán)的權(quán)利范圍，增加了“被遺忘權(quán)”、信息泄露通知等新規(guī)定，將信息安全上升到基本原則高度，要求在現(xiàn)有技術(shù)可能范圍內(nèi)，對個人信息進(jìn)行匿名或者化名化處理。

（二）法國個人信息保護(hù)立法

以自然法構(gòu)想為基礎(chǔ)的 《法國民法典》將 “人法”作為該法首編的名稱，但未涉及任何人格權(quán)的具體內(nèi)容。這是因為法國1791年憲法及其他一些法律文件明確表明人格權(quán)是一種自然權(quán)利，這一權(quán)利被承認(rèn)和尊重，天經(jīng)地義，無需法律予以規(guī)定。但法國司法判例實際上一直保護(hù)著個人的各種人格利益如生命、身體、名譽(yù)、貞操、姓名、肖像、信用等幾乎所有的權(quán)利不受他人侵犯。③[德]薩維尼：《現(xiàn)代羅馬法體系 （第3卷）》，第345頁，轉(zhuǎn)引自龍衛(wèi)球：《民法總論》，中國法制出版社2002年版，第266頁。1970年，法國基于實務(wù)界和理論界的呼聲，修正了 《法國民法典》，在民法上增加了自然人私生活受尊重的權(quán)利條款。④《法國民法典》，羅結(jié)珍譯，中國法制出版社1999年版，第3頁。二十世紀(jì)七十年代，法國擬定了數(shù)個個人信息保護(hù)及相關(guān)問題的法案，涉及到汽車司機(jī)、醫(yī)院、行政檔案與個人信息自動化處理系統(tǒng)、（數(shù)據(jù)）計算機(jī)處理及自由流通等領(lǐng)域。這些法案規(guī)定了個人信息主體的知悉權(quán)、修正權(quán)、刪除權(quán)、控制權(quán)等一系列權(quán)利。⑤Christopher Millard,Mark Ford,Date Protection laws of the World,London:Sweet&Maxwell,1998,p.France/1-24.轉(zhuǎn)載自洪海林：《個人信息的民法保護(hù)研究》，2010年版，第21頁。

（三）歐盟個人信息保護(hù)立法

德國個人信息保護(hù)法的后兩次修訂離不開歐盟相關(guān)立法運(yùn)動對其的推定作用。歐盟個人信息保護(hù)立法與德國 《聯(lián)邦信息保護(hù)法》在基本思想上高度一致，都趨向保守，以人格保護(hù)為重點。歐盟最早的相關(guān)立法是1995年通過、1998年生效的 《歐洲議會暨歐盟理事會關(guān)于保護(hù)個人資料處理與自由流通指令》（以下簡稱 “歐盟 《個人信息保護(hù)指令》”），根據(jù)該指令第1條第1款的規(guī)定，成員國應(yīng)保護(hù)個體的基本權(quán)利和自由，尤其是應(yīng)當(dāng)保護(hù)與個人信息相關(guān)的隱私權(quán)。

歐盟 《個人信息保護(hù)指令》中對個人信息被侵犯的案件適用一國國內(nèi)法的原則是要求對個人信息的處理是 “在位于該國境內(nèi)的信息控制者的營業(yè)機(jī)構(gòu)的業(yè)務(wù)背景下”。這對于互聯(lián)網(wǎng)高速發(fā)展的情形下，跨國違法侵害個人信息案件中的被害人十分不利。2002年7月，歐盟發(fā)布 《隱私與電子通訊指令》，禁止在未征得用戶同意情況下，通信和互聯(lián)網(wǎng)服務(wù)商擅自存儲或者使用用戶數(shù)據(jù)；要求通信和互聯(lián)網(wǎng)服務(wù)商在存儲或者使用用戶數(shù)據(jù)時，必須告知用戶進(jìn)一步處理其數(shù)據(jù)的意圖，同時用戶有權(quán)選擇是否同意，以此保障用戶的知情權(quán)等。該指令確定了互聯(lián)網(wǎng)個人數(shù)據(jù)保護(hù)的基本原則。

2009年11月，歐盟通過了 《歐洲Cookie指令》，要求在用戶初次使用某網(wǎng)站時，該網(wǎng)站必須關(guān)閉Cookie插件的使用，只有用戶明確同意啟用Cookie插件時，該網(wǎng)站才能開啟此項功能。這實際上改變了2002年的 《隱私與電子通訊指令》中的規(guī)定，即要求網(wǎng)站對其啟用Cookie插件所應(yīng)承擔(dān)的告知用戶的義務(wù)，以及應(yīng)告知用戶如何刪除或者作廢Cookie插件的規(guī)定。近些年來，云計算、大數(shù)據(jù)的飛速發(fā)展對個人信息保護(hù)提出了新的嚴(yán)峻挑戰(zhàn)。無論是云計算還是大數(shù)據(jù)業(yè)務(wù)都能夠直接獲取用戶信息并對其進(jìn)行分析、整理甚至出讓，這實際上侵犯了用戶的合法權(quán)益。歐盟在承諾為云計算產(chǎn)業(yè)進(jìn)行大額投資時，首先就必須解決云計算對個人信息保護(hù)所帶來的挑戰(zhàn)。為此，歐盟委員會于2012年發(fā)布了 《一般數(shù)據(jù)保護(hù)條例草案》，并于2015年通過了該條例。2016年，歐洲議會通過該條例。該條例于2018年正式生效。該條例將統(tǒng)一歐盟內(nèi)此前各國零散發(fā)布的保護(hù)公民個人數(shù)據(jù)的規(guī)則。該條例以保護(hù)公民基本權(quán)利作為基本的立法理念，增加了很多具體的數(shù)據(jù)保護(hù)要求，被稱作歷史上最嚴(yán)格的數(shù)據(jù)保護(hù)條例。⑥方芳：《歐盟個人信息保護(hù)的發(fā)展路徑與經(jīng)驗啟示》，載 《金融監(jiān)管》2017年第5期。此外，該條例中運(yùn)用了數(shù)據(jù)外泄通知、隱私影響評估、第三方認(rèn)證等新機(jī)制，與美國2015年發(fā)布的 《消費者隱私權(quán)利法案 （草案）》同樣突出了 “場景導(dǎo)向”和“風(fēng)險評估”的理念。

（四）美國個人信息保護(hù)的立法狀況

美國從未制定統(tǒng)一的個人信息保護(hù)法，其對公民個人信息的保護(hù)方式主要是通過由各個行業(yè)自行制定有關(guān)個人信息保護(hù)的法律規(guī)則、準(zhǔn)則的方式來予以規(guī)范，同時特別注重行業(yè)自律的作用。美國是通過個人隱私保護(hù)的模式來統(tǒng)一保護(hù)個人信息的。隱私權(quán)這一概念最早是沃倫和布蘭代斯在1890年 《論隱私權(quán)》一文中提出的。該權(quán)利現(xiàn)在在美國不僅是普通法上的權(quán)利，甚至是憲法上的權(quán)利。美國1974年制定的 《隱私法》被公認(rèn)為該國保護(hù)個人信息的基本法。該法主要是規(guī)范聯(lián)邦行政機(jī)關(guān)對各類信息的收集、持有、使用和傳輸?shù)男袨?。該法以隱私權(quán)保護(hù)為基礎(chǔ)，通過對公民隱私權(quán)的保護(hù)對個人信息加以保護(hù)。此外美國還出臺了 《財務(wù)隱私權(quán)法》《健康信息隱私和安全法》為公民個人的財務(wù)信息、健康信息的安全性和保密性提供相應(yīng)的保護(hù)。美國的隱私權(quán)的外延廣泛，這一權(quán)利具有很強(qiáng)的延展性，實際上包括了大陸法中的名譽(yù)權(quán)、肖像權(quán)、姓名權(quán)等具體人格權(quán)的內(nèi)容，承擔(dān)了一般人格權(quán)的功能。⑦王利明：《論個人信息權(quán)的法律保護(hù)——以個人信息權(quán)與隱私權(quán)的界分為中心》，載 《現(xiàn)代法學(xué)》2013年第4期。美國是判例法國家，通過法官對個案中隱私權(quán)的解釋基本能很好的保護(hù)公民個人信息。這也是我國很多學(xué)者主張在我國也通過隱私權(quán)保護(hù)的方式對個人信息提供法律保護(hù)的原因。⑧筆者認(rèn)為，我國學(xué)者主張以隱私權(quán)保護(hù)個人信息的觀點，實則是對美國隱私權(quán)的誤讀，在我國立法中也使用隱私權(quán)且具有特定意義的情況下，我國個人信息保護(hù)就不應(yīng)再使用美國法中的隱私權(quán)概念。美國對個人信息的態(tài)度較之歐洲，更為寬松，為積極利用型的典范。對隱私權(quán)范圍的個案解釋，使得美國司法界得以靈活應(yīng)對技術(shù)發(fā)展帶來的法律新問題。但大數(shù)據(jù)時代的來臨，美國以 “知情同意權(quán)”“目的限定原則”建立起來的對個人信息保護(hù)的法規(guī)、規(guī)則顯然面臨被架空之危險。在此情形下，美國于2015年發(fā)布了 《消費者隱私權(quán)利法案 （草案）》，為個人信息保護(hù)提供綱領(lǐng)性的基本保障，同時引入 “場景導(dǎo)向”及 “風(fēng)險導(dǎo)向”的立法理念以平衡個人信息保護(hù)與數(shù)據(jù)自由流動之間的矛盾。

至此，歐美歷經(jīng)半個世紀(jì)在個人信息保護(hù)方面的立法理念差異，因大數(shù)據(jù)等新技術(shù)的出現(xiàn)和快速發(fā)展對傳統(tǒng)法律規(guī)則的顛覆，最終通過引入 “場景導(dǎo)向”及 “風(fēng)險導(dǎo)向”理念而達(dá)到異曲同工之妙。但一個更值得關(guān)注的現(xiàn)象是：2017年3月，美國參眾兩院則先后宣布廢除聯(lián)邦通訊委員會頒布的 《網(wǎng)絡(luò)用戶隱私權(quán)保護(hù)法案》，這意味著網(wǎng)絡(luò)公司可以不經(jīng)過網(wǎng)絡(luò)用戶的許可，任意收集和出售用戶的瀏覽記錄、健康數(shù)據(jù)及其他上網(wǎng)信息等。這意味著在互聯(lián)網(wǎng)高速發(fā)展時期，美國在產(chǎn)業(yè)發(fā)展和公民個人信息保護(hù)之間的天平已然開始發(fā)生傾斜。

三、歐盟和美國個人信息保護(hù)不同立法模式原因及其之間產(chǎn)業(yè)之爭

歐洲和美國對個人信息保護(hù)模式自始不同的社會歷史原因是，德國納粹政權(quán)在二戰(zhàn)時期收集個人種族等信息以屠殺猶太人以及戰(zhàn)后部分東歐國家收集個人宗教、政治信仰等信息以侵犯個人基本權(quán)利的歷史事實，使歐洲人對政府無限制地收集個人信息的行為具有天然的恐懼和不信任感，總擔(dān)心歷史會重演。因此歐洲國家強(qiáng)調(diào)將個人信息作為一般人格權(quán)這一基本權(quán)利予以保護(hù)。這也決定了其對于隱私權(quán)這一概念與美國具有不同的理解。歐洲國家隱私權(quán)概念的核心是人格尊嚴(yán)得到充分尊重的權(quán)利。歐洲人意識中的隱私主要是指個人所不期望在公眾面前的曝光。歐洲人不喜歡媒體，認(rèn)為媒體總是通過報道許多令人尷尬和不快的個體私密事件提高收視率而侵犯個體私生活空間。但對于政府，相較之美國，則顯得容忍度較高。

美國則不同，建國時的美國人自始就要擺脫作為英國附屬地的地位，追求自由，信奉自由的市場經(jīng)濟(jì)，對政府天然持有懷疑和不信任的態(tài)度。因此美國的個人信息保護(hù)始終是建立在對自由的追求和信奉的基礎(chǔ)之上。美國人對隱私權(quán)的核心觀念也是建立在對自由的追求的基礎(chǔ)上。在美國人的觀念中，自由的最大敵人是政府，而媒體雖然也時常報道涉及個人隱私的新聞，但美國民眾對此表現(xiàn)出比歐洲人寬容多的態(tài)度。一方面緣于美國人極度信奉言論自由這一憲法權(quán)利，對于公眾人物的隱私權(quán)予以一定范圍的限縮，另一方面也緣于美國人相信 “陽光是最好的防腐劑，路燈是最好的警察”，民眾愿意甚至一定程度上依賴媒體對政府及官員的監(jiān)督。

秉承不同的個人信息保護(hù)的立法理念，歐洲所采用的全面的、消極防御型的個人信息保護(hù)的立法模式在新興技術(shù)產(chǎn)業(yè)發(fā)展與個人信息保護(hù)之間更傾斜于對個人信息的保護(hù)。其立法規(guī)制的范圍涵蓋了所有數(shù)據(jù)采集、整理、使用主體，既包括國家和州各級公務(wù)機(jī)關(guān)也包括非公務(wù)機(jī)關(guān)；從主體行為角度看，其立法規(guī)制包含了從數(shù)據(jù)的收集、存儲、使用、刪除、轉(zhuǎn)讓等各個環(huán)節(jié)。歐盟甚至設(shè)立歐盟數(shù)據(jù)保護(hù)委員會作為專門的信息保護(hù)機(jī)構(gòu)對企業(yè)或者組織的數(shù)據(jù)處理行為進(jìn)行監(jiān)督，對侵犯個人信息的違法行為進(jìn)行調(diào)查、處罰。歐洲國家更注重個人信息的人格屬性。而數(shù)據(jù)產(chǎn)業(yè)發(fā)展的相對劣勢也使歐盟在與美國的產(chǎn)業(yè)之爭中更注重對個人信息的強(qiáng)力保護(hù)來遏制美國公司在歐洲的數(shù)據(jù)業(yè)務(wù)發(fā)展以及這些公司將在歐洲獲取到的數(shù)據(jù)進(jìn)行跨境轉(zhuǎn)移。這在立法上的體現(xiàn)就是保護(hù)個人信息的立法愈來愈嚴(yán)格。

個人信息保護(hù)問題始終存在，只是云計算、大數(shù)據(jù)等產(chǎn)業(yè)的興起使過去信息主體與信息收集者、使用者之間的力量對比發(fā)生巨大變化，無論是歐洲傳統(tǒng)民法體系所確立的具體人格權(quán)的法律保護(hù)制度亦或是美國判例所形成的對個人隱私權(quán)保護(hù)的方式都無法均衡雙方之間利益，使得個人信息保護(hù)這一傳統(tǒng)問題再次突顯。對個人信息保護(hù)和產(chǎn)業(yè)發(fā)展之間的利益權(quán)衡的不同態(tài)度已然反映在各國立法中。在個人信息保護(hù)與產(chǎn)業(yè)發(fā)展之間，美國的利益天平更傾向于產(chǎn)業(yè)發(fā)展，無論是學(xué)術(shù)界還是實務(wù)界均表現(xiàn)出積極主動利用信息的態(tài)度。美國更關(guān)注個人信息的經(jīng)濟(jì)價值，其行業(yè)自律的做法也更為高效、便捷，更加市場化。美國是世界上最大的數(shù)據(jù)進(jìn)出口國，是信息技術(shù)強(qiáng)國，在數(shù)據(jù)收集、處理方面擁有世界領(lǐng)先的技術(shù)，在跨國數(shù)據(jù)流通中獲益最大。這使美國很多的商業(yè)產(chǎn)業(yè)因掌握翔實準(zhǔn)確的數(shù)據(jù)，能夠?qū)κ袌龊托星樽鞒鰷?zhǔn)確研判而處于世界領(lǐng)先地位。因此美國的立法相對寬松，更加注重事后的補(bǔ)救措施。通過行業(yè)自律監(jiān)管、信息使用者的自律以及信息所有者之間市場化的相互博弈，輔助以行業(yè)監(jiān)管規(guī)則和事后補(bǔ)救所需的高昂的違法成本，盡量減少政府監(jiān)管。

數(shù)據(jù)產(chǎn)業(yè)發(fā)展的不平衡，對產(chǎn)業(yè)發(fā)展和個人信息保護(hù)之間不同的利益平衡態(tài)度，使得美國和歐洲國家之間對個人信息予以保護(hù)的立法之爭愈來愈激烈。針對歐盟制定的嚴(yán)格的個人信息保護(hù)法對美國相關(guān)產(chǎn)業(yè)跨境數(shù)據(jù)傳輸?shù)牟焕绊?，美國?998年就開始與歐盟就 “安全港”原則進(jìn)行協(xié)商。2000年，歐盟正式與美國簽訂了 “安全港”協(xié)議。該協(xié)議中要求對于敏感信息，必須經(jīng)過信息主體的明確同意，必須保證信息主體可以獲知有關(guān)他們的任何信息，并且確保信息主體有機(jī)會改正、修改或者刪除不準(zhǔn)確的信息。“安全港”協(xié)議并未達(dá)到美國所需要的更加寬松的數(shù)據(jù)跨境傳輸需要，因為只有參加 “安全港”或者簽署保護(hù)數(shù)據(jù)合同的公司或者組織才可以接收傳輸?shù)臄?shù)據(jù)，因此這一協(xié)議簽署實際上是歐盟和美國互相妥協(xié)的結(jié)果。加入 “安全港”協(xié)議的美國公司可以不必逐個經(jīng)信息主體授權(quán)而進(jìn)行數(shù)據(jù)轉(zhuǎn)移。這有利于加入 “安全港”協(xié)議的美國公司一攬子解決其在歐洲的數(shù)據(jù)業(yè)務(wù)。同時，美國也部分接受了歐盟較為嚴(yán)格的個人信息保護(hù)規(guī)則。

2016年5月，歐盟落實 “被遺忘權(quán)”的司法判例，實施更為嚴(yán)格的 《一般數(shù)據(jù)保護(hù)法》。該法規(guī)定：獲取、處理個人信息的 “控制者”必須得到個人的明確同意，這種同意必須是事先且隨時可以撤銷的。這對于美國在歐洲的數(shù)據(jù)產(chǎn)業(yè)影響重大。更為重要的是，美國不希望其他國家效仿歐盟做法。為此，美國與歐盟于2016年2月達(dá)成新的數(shù)據(jù)跨境轉(zhuǎn)移協(xié)議——《歐盟和美國隱私盾協(xié)議》。這一協(xié)議加重了加入 《歐盟和美國隱私盾協(xié)議》的公司或者組織將個人信息轉(zhuǎn)移第三方的責(zé)任，要求這些公司或者組織信息處理業(yè)務(wù)限制在信息主體明確同意的范圍內(nèi)，并確保接受信息移轉(zhuǎn)的第三方遵守信息轉(zhuǎn)移方承諾遵守的標(biāo)準(zhǔn)和內(nèi)容。歐盟2016年的 《一般數(shù)據(jù)保護(hù)法》的出臺更多顯現(xiàn)的是產(chǎn)業(yè)之爭，體現(xiàn)出歐盟對其他國家特別是美國數(shù)據(jù)產(chǎn)業(yè)對本地區(qū)影響的抗?fàn)?，但最終歐盟和美國通過 《歐盟和美國隱私盾協(xié)議》達(dá)成新的相互妥協(xié)，“隱私盾”并未惠及其他國家。

四、個人信息的屬性

在欲將個人信息納入法律體系予以保護(hù)時，我們不可避免要首先解決其法律屬性問題，我們?yōu)槭裁匆Ｗo(hù)個人信息，其是否可以涵蓋在現(xiàn)有法律體系中的某個范疇中，如果是，其屬于哪個范疇。而后我們要審視其所屬的法律范疇中現(xiàn)有規(guī)范是否足以提供相應(yīng)的規(guī)制原則和規(guī)則，最后再決定對其予以完善或者建立新規(guī)則的問題。對于個人信息的定義，多數(shù)學(xué)者最初都是從歐美相關(guān)法規(guī)、規(guī)則中摘取、概括而來。至今學(xué)者們對個人信息的定義仍存有諸多爭議，但也達(dá)成了基本的共識：即個人信息是指能夠單獨或者組合后識別特定個人的一切信息，包括姓名、性別、年齡、體重、檔案、醫(yī)療記錄、收入、家庭住址、電話號碼、汽車發(fā)動機(jī)號、電腦序列號，甚至是行走路線、消費習(xí)慣、上網(wǎng)瀏覽記錄等。個人信息最基本的特征是具有識別性，不論是直接的還是間接的、單一信息抑或組合信息，只要能夠判斷出特定個人的信息即認(rèn)為屬于個人信息；個人信息的主體為個人，即自然人，社會組織、法人的數(shù)據(jù)信息不屬于個人信息范疇；個人信息包含個人隱私，兼有人格權(quán)與財產(chǎn)權(quán)雙重屬性。⑨張平：《大數(shù)據(jù)時代個人信息保護(hù)的立法選擇》，載 《北京大學(xué)學(xué)報 （哲學(xué)社會科學(xué)版）》2017年第3期。其他學(xué)者相似觀點可以參見任龍龍：《個人信息民法保護(hù)的理論基礎(chǔ)》，載 《河北法學(xué)》2017年第4期；劉德良：《構(gòu)建個人信息保護(hù)的雙重模式》，載 《中國社會科學(xué)報》2012年4月2日第A07版。對此，筆者的觀點為：個人信息為自然人信息，不包括法人和其他社會組織的數(shù)據(jù)信息。法人和其他社會組織的數(shù)據(jù)信息因僅涉及到財產(chǎn)屬性，不涉及到法哲學(xué)上對人的倫理思考，由法人、組織名稱權(quán)、榮譽(yù)權(quán)、商業(yè)秘密等相關(guān)法律、法規(guī)從財產(chǎn)權(quán)角度予以保護(hù)已然足夠。因此確實不該將其納入個人信息保護(hù)范疇。但對于個人信息是否以對特定人的可識別性作為主要特征，卻有可探討之余地。

目前，我國學(xué)者對個人信息的法律屬性主要有如下觀點：

一是人格權(quán)客體。持有此種觀點的學(xué)者主要是受大陸法系的德國、法國相關(guān)立法影響，認(rèn)為個人信息體現(xiàn)的是公民個人的人格尊嚴(yán)，在性質(zhì)上屬于獨立的人格權(quán)，屬于個人信息自決權(quán)的范疇。王利明教授就主張在民法典中將人格權(quán)單獨成編，在人格權(quán)編中將個人信息作為一項單獨的具體人格權(quán)予以立法保護(hù)。⑩參見前引⑦，王利明文。

二是隱私權(quán)客體說。學(xué)者們得出這一結(jié)論主要是源于美國 《隱私權(quán)》法。例如陳紅教授就認(rèn)為“個人信息屬于個人隱私。保護(hù)個人信息的目的就在于保護(hù)個人隱私。這是因為隱私權(quán)的基本內(nèi)涵在信息社會條件下已融入了更多的積極因素，不僅限于私生活不被打擾的消極、被動、靜止的傳統(tǒng)范疇”。陳紅：《個人信息保護(hù)的法律問題研究》，載 《浙江學(xué)刊》2008年第3期。

三是綜合權(quán)利客體說。主張該說的學(xué)者認(rèn)為個人信息既有人格屬性，也具有財產(chǎn)權(quán)屬性。據(jù)此，對個人信息的保護(hù)應(yīng)該被分為兩類：一類是與人格利益有直接關(guān)系的，比如肖像、隱私、姓名等；一類是與人格利益沒有關(guān)系的，這些信息可以被正常利用，只要不被濫用或非法買賣，不會對我們的人格權(quán)造成損害。參見前引⑨，劉德良文。

四是所有權(quán)說。該說主張個人信息類似于物權(quán)，由信息主體享有所有權(quán)。因此，信息所有權(quán)人對個人信息享有占有、使用、收益和處分的權(quán)利，可以授權(quán)其他人收集、使用、處分其個人信息，對于他人未經(jīng)授權(quán)的行為有權(quán)要求損害賠償。湯擎：《試論個人數(shù)據(jù)與相關(guān)的法律關(guān)系》，載 《華東政法學(xué)院學(xué)報》2000年第5期。

上述觀點都有其一定道理，但我國學(xué)者在從比較法角度研究個人信息保護(hù)問題時，似乎忽略了一個重要的概念研判?！半[私權(quán)”這個概念在我們國家有約定俗成的語義，但從前文印證的美國《隱私法》中對 “隱私”一詞的定義以及美國法院相關(guān)判例來看，美國法中所指稱的 “隱私”范圍遠(yuǎn)遠(yuǎn)超過我們國家隱私權(quán)概念的語義范圍，類似于大陸法系所指稱的一般人格權(quán)。顯然，我國學(xué)者將該法令中的個人信息保護(hù)主要限定為是對個人隱私權(quán)的保護(hù)，實際上限縮了個人信息的范圍。個人信息包含隱私信息還包含有非隱私信息。隱私信息一般與陰私相關(guān)，與性、家庭等個人私密生活相關(guān)，出自孫憲忠教授題為 《〈民法總則〉重點解讀與民法典立法前瞻》的講座內(nèi)容。個人隱私這一概念具備強(qiáng)烈的社會屬性，在不同社會、不同時期其外延有所不同，但在一定時期一定的社會總有比較一致的觀點。而個人信息的范圍則要廣泛的多，除隱私外，還包含所有其他的個人信息，如電話號碼、工作單位、家庭住址、銀行賬戶等等。民法對隱私和個人信息的保護(hù)程度有所不同，對于隱私是絕對不容許其他人侵犯的，但對于個人其他一些信息，法律則允許其他人合法、合理予以使用，甚至有些個人信息是個人在現(xiàn)代社會必須讓渡給其他人或者組織知曉、采集或者使用的，如銀行貸款時，銀行有權(quán)要求自然人提供個人詳細(xì)信息，甚至包括個人的薪酬情況等以確定是否給予其貸款，醫(yī)生有權(quán)要求病人提供自身及家族病史等。因此，我們在做比較法研究和分析時，不能僅僅局限于概念的一般語境下的字面翻譯，而應(yīng)該透過現(xiàn)象追求概念所蘊(yùn)含的真正的法律含義。

個人信息，從語義上理解，應(yīng)該為與自然人有關(guān)的全部信息。從力求概念精確性角度說，可識別性作為一個具有鮮明時代特征的詞語不應(yīng)該作為個人信息的一個重要特征。在一個時代不可識別的內(nèi)容可能會因為技術(shù)的發(fā)展在另一個時代具有可識別性。但這一信息或者內(nèi)容卻始終是不以人的意志為轉(zhuǎn)移而存在，只是人寓于認(rèn)識之有限性總是不斷發(fā)掘其外延。法律所保護(hù)的信息若不能單獨或者組合后可識別到個人，則信息主體便不能對抗其他主體的使用而已，但不能說法律就不認(rèn)可這些信息構(gòu)成個人信息的內(nèi)容。

因此，筆者認(rèn)為無論是歐盟亦或是美國的立法對個人信息的定義均具有一定的延展性，對于新技術(shù)日新月異的時代來說，更具有現(xiàn)實價值。歐盟和美國對個人信息的定義歐盟將個人信息界定為：個人數(shù)據(jù)是指一個數(shù)據(jù)主體相關(guān)的任何信息；數(shù)據(jù)主體是指一個可識別的自然人，或控制者、自然人、法人通過有效運(yùn)用數(shù)據(jù)而識別的一個自然人，特別是運(yùn)用這個人的身份證號碼、定位數(shù)據(jù)、網(wǎng)絡(luò)標(biāo)識符、生理、心理、基因、精神、經(jīng)濟(jì)、文化、社會身份。美國 《隱私法》中對個人信息的定義是：一個機(jī)構(gòu)所持有的與一個人相關(guān)的單項信息、信息集合或一組信息，包括但不限于：他的教育、金融交易、醫(yī)療病史、包含姓名的犯罪前科或工作履歷、識別號碼、代號，以及其它專屬于一個人的標(biāo)記，如指紋、聲紋或照片。參見黃藍(lán)：《個人信息保護(hù)的國際比較與啟示》，載《情報科學(xué)》2014年第1期。The Privacy Act of 1974[EB/OL].http://www.justice.gov/opcl/privstat.htm,2017-9-20.并沒有將可識別性作為信息的限定詞，而是作為信息主體的一個特征，將 “可識別性”作為個人信息的基本特征，應(yīng)該是我國學(xué)者在比較法研究中的誤讀。

五、境外個人信息保護(hù)面臨的挑戰(zhàn)

當(dāng)我們拋開對歐美法中一般人格權(quán)、隱私權(quán)的不同解讀時，我們會發(fā)現(xiàn)，歐美國家過去個人信息保護(hù)立法中對個人信息保護(hù)基于信息主體意思自治而確定的主要原則——“知情、同意”原則和“目的限定”原則正面臨被架空的危險。

首先，“知情、同意”原則面臨的現(xiàn)實困境?；ヂ?lián)網(wǎng)的出現(xiàn)和發(fā)展，對傳統(tǒng)民法中 “知情、同意”規(guī)則產(chǎn)生重大沖擊。互聯(lián)網(wǎng)技術(shù)出現(xiàn)之前，交易多為線下一對一談判式進(jìn)行，雙方民事主體對交易的內(nèi)容、客體、交易目的等具有清楚認(rèn)知?！爸?、同意”規(guī)則在涉及任何一方主體重大認(rèn)知事項時具有重要提示和許可作用，可以作為一方獲取充分知情權(quán)的證據(jù)，并可以據(jù)此免除另一方的民事責(zé)任。但互聯(lián)網(wǎng)技術(shù)的出現(xiàn)使得交易雙方之間對信息的獲取及力量對比不再對等，一對多的局面使商家可以以很低成本獲取大量客戶，作為個體消費者失去與商家談判的籌碼，很多時候處于不得不 “同意”的境地?！爸椤⑼狻边@一欲以知情權(quán)保護(hù)消費者的規(guī)則已經(jīng)失去其意思自治的法律作用，反倒淪為商家以不對等的力量侵害消費者利益并豁免責(zé)任的工具。在大數(shù)據(jù)時代，個人信息通過信息技術(shù)的不同組合將產(chǎn)生不同的價值，無論是立法者還是信息采集者都很難事先完全預(yù)估合法授權(quán)的事由。政府機(jī)關(guān)同一項信息或者同幾項信息組合對不同部門均具有相應(yīng)價值，而重復(fù)采集重復(fù) “知情、同意”反倒造成社會成本的浪費。實踐中，信息收集者為能夠最大限度符合法律的要求，均盡可能在相關(guān)聲明所列出的事先的授權(quán)事由中對需要用戶讓渡的個人信息的內(nèi)容進(jìn)行詳細(xì)列舉闡述，并增加兜底規(guī)定，架空了 “知情、同意”規(guī)則，使依據(jù)該規(guī)則作出的司法判決面臨嚴(yán)重的非公平、非正義的責(zé)難。

其次，“目的限定”原則面臨困境。二十世紀(jì)六七十年代開始的歐美個人信息保護(hù)立法中均要求信息采集、使用者最晚要在信息開始采集時告知信息主體其個人信息被采集、使用的用途，并取得信息主體的許可。之后，其采集到的信息使用受到該目的的限制，信息控制者不能超出信息主體實現(xiàn)同意的信息使用范圍使用、處分信息。在大數(shù)據(jù)時代下，個人信息的挖掘、比對、再加工處理是這一產(chǎn)業(yè)創(chuàng)造價值的最主要方式。信息挖掘之前很難確定其最有價值的使用目的，限定目的的信息保護(hù)方式雖然能對信息主體提供更周全的保護(hù)方式，但對于大數(shù)據(jù)產(chǎn)業(yè)卻也是 “致命打擊”。為盡可能避免事先目的限定原則的限制，信息采集、使用者往往事先羅列出盡可能多的使用目的，增加了信息主體閱讀和理解負(fù)擔(dān)，增加了社會成本，造成不必要的資源浪費。

對此，歐美目前均引入 “場景導(dǎo)向”與 “風(fēng)險評估”的新理念。所謂 “場景導(dǎo)向”，就是指要結(jié)合所處的具體環(huán)境、綜合各種因素對個人信息的采集、使用是否合理進(jìn)行考察、判斷而非基于當(dāng)事人的事先同意，也避免脫離具體的場景進(jìn)行事先的預(yù)判。這就徹底改變了過去借助 “知情、同意”模式對個人信息保護(hù)的方式，而是根據(jù)信息采集和使用的具體場景進(jìn)行動態(tài)分析和研判，以結(jié)果為導(dǎo)向，重點考核信息控制者的行為給信息主體所帶來的影響是否符合信息主體的合理預(yù)期?！帮L(fēng)險評估”理念即在對個人信息采集、使用等行為進(jìn)行個案分析的基礎(chǔ)上，將其可能給信息主體帶來的風(fēng)險劃分為不同的風(fēng)險等級，針對不同的風(fēng)險等級采取不同的管理措施，使風(fēng)險始終控制在信息主體可以接受的合理范圍內(nèi)?！皥鼍皩?dǎo)向”和 “風(fēng)險評估”理念的引入，一方面規(guī)避了原有的個人信息保護(hù)方式被 “架空”的現(xiàn)實困境，另一方面通過對不同語境下個人信息采集、使用的動態(tài)風(fēng)險管理，較好地平衡了個人信息保護(hù)與產(chǎn)業(yè)發(fā)展二者之間的利益。

六、我國個人信息保護(hù)的立法建議

個人信息保護(hù)不是個現(xiàn)代問題，其歸根究底是法律對人作為人的尊重，對人的尊嚴(yán)及自由的承認(rèn)和保護(hù)問題。從羅馬法開始民法中就一直在尋求解決人的問題，從 《法國民法典》這部可與 《人權(quán)宣言》相媲美的如詩歌般的經(jīng)典之作，再到 《德國民法典》這部特別強(qiáng)調(diào)歸納、演繹和法律技術(shù)的被認(rèn)為極具科學(xué)性的民法典，實際都是要解決人的生存、發(fā)展問題?！斗▏穹ǖ洹奉C布19于世紀(jì)之初，帶著人們破除封建社會中人對人的壓迫、不平等的陰霾，帶著人們對自由、平等、個性彰顯的憧憬迎著19世紀(jì)之初的朝陽滿懷激情地來到世間?！斗▏穹ǖ洹返谝痪幘褪顷P(guān)于 “人”的內(nèi)容，其所確定的 “所有權(quán)神圣”“契約自由”“過錯責(zé)任”原則完美地在私法中詮釋了個人自由理念。經(jīng)過近一個世紀(jì)的洗禮，與社會現(xiàn)實的沖撞、磨合，頒布于19世紀(jì)末的 《德國民法典》在潘德克頓派法學(xué)家的筆下理性、抽象。國家干預(yù)經(jīng)濟(jì)使德國在較短時間內(nèi)完成工業(yè)革命，與美國一同成為超越英法的工業(yè)強(qiáng)國。國家與個人、社會組織與個人之間的張力在 《德國民法典》中均有所體現(xiàn)?！兜聡穹ǖ洹凡粌H僅創(chuàng)設(shè)了法律上擬制的人的概念，同時 “合意”被賦予至高無上的地位，人的意思表示被作為法律行為效力的重要判斷標(biāo)準(zhǔn)。秉承 “天賦人權(quán)”的思想，認(rèn)為人的權(quán)利是天生而非法律所創(chuàng)設(shè)的?！斗▏穹ǖ洹窙]有對人格權(quán)作出規(guī)定?！兜聡穹ǖ洹分贫ㄇ跋?，對人格權(quán)是否予以規(guī)定的激烈爭論最終因受薩維尼 “人無法就自己的精神利益享有所有權(quán)，并且也無法占有自己的身體和肢體”，王利明：《民法典體系研究》，中國人民大學(xué)出版社2008年版，第423頁。而 “權(quán)利是人支配物的關(guān)系，不是人支配人的關(guān)系，所以無法規(guī)定人格權(quán)”王利明：《試論人格權(quán)的新發(fā)展 （上）》，北京仲裁委員會網(wǎng)：http://www.bjac.org.cn/news/view?id=1365，2017年9月20日訪問。的觀點而蓋棺定論。但二戰(zhàn)中納粹對猶太人的迫害使德國人始終處于擔(dān)心歷史重演的恐懼中，最終促使德國通過司法判例將一般人格權(quán)作為一項獨立的權(quán)利在民法中予以確認(rèn)，但民法對一般人格權(quán)的保護(hù)主要是為了在權(quán)利主體被侵害時使權(quán)利主體能夠得到民法上的救濟(jì)。美國對人的自由的崇尚主要體現(xiàn)在憲法中，在私法領(lǐng)域則主要通過自由創(chuàng)設(shè)合同的方式予以體現(xiàn)。在計算機(jī)技術(shù)產(chǎn)生之前，法律就已經(jīng)確認(rèn)個人享有肖像權(quán)、姓名權(quán)、隱私權(quán)等權(quán)利并通過 《侵權(quán)責(zé)任法》對權(quán)利人遭受的損害予以法律救濟(jì)，甚至規(guī)定了精神損害賠償?shù)膬?nèi)容。只是新技術(shù)的發(fā)展，使這些國家曾經(jīng)確立的法律原則如 “知情、同意”標(biāo)準(zhǔn)在個體之間、個體與組織之間、個體與國家之間的利益天平發(fā)生了大幅度傾斜，使人在機(jī)器面前變得更為渺小，使人對自己被進(jìn)一步物化的恐懼加深。在現(xiàn)代文明社會，人類絕地反擊的武器就是法律和規(guī)則。

人是自由的，但是每個人的自由都是有邊界的，都要受到他人自由、社會整體利益的制約。任何法律、政策的制定均無法脫離其所處的社會背景和政治訴求。恰如 《法國民法典》和 《德國民法典》制定的目的之一就是通過法律的統(tǒng)一促進(jìn)國家的統(tǒng)一。彼時法律中所彰顯的個體自由恰是自由資本主義時期經(jīng)濟(jì)的推動力。但人類社會進(jìn)入后工業(yè)時代后，個體的力量變得微不足道，個體愈加需要組織體的庇護(hù)。個體為獲取國家長期提供的安全保障和社會福利，必要時必須犧牲部分自我利益和自由，如我們現(xiàn)在已經(jīng)普遍接受的觀點，國家有權(quán)為公共利益的需要剝奪個人的財產(chǎn)權(quán)。國家產(chǎn)業(yè)發(fā)展和個人信息保護(hù)之間也存在著此消彼長的張力，政策松緊便是不同時期兩者之間天平兩側(cè)的籌碼。如下立法建議中寬松式立法模式選擇內(nèi)容恰是建立在這樣的個人認(rèn)識基礎(chǔ)上，針對我國經(jīng)濟(jì)將長期處于L型發(fā)展階段而提出，其他兩方面內(nèi)容則更多考慮到法律體系科學(xué)性的內(nèi)容。

（一）我國個人信息保護(hù)立法需考慮國家戰(zhàn)略，采納相對寬松式立法模式

二十一世紀(jì)是云計算、大數(shù)據(jù)、人工智能產(chǎn)業(yè)的時代，這些技術(shù)不僅僅運(yùn)用在我們的私人空間對個體權(quán)利義務(wù)產(chǎn)生巨大影響，而且常常運(yùn)用在國家安全和社會發(fā)展層面，因此各國紛紛加大對這些領(lǐng)域的戰(zhàn)略投入。對于發(fā)展中國家來說，大力發(fā)展這些產(chǎn)業(yè)或是彎道超車的最佳機(jī)會，我國也已經(jīng)將這些產(chǎn)業(yè)列入重要的國家戰(zhàn)略產(chǎn)業(yè)發(fā)展目錄中。云計算、大數(shù)據(jù)技術(shù)的發(fā)展和廣泛運(yùn)用必將重塑我們這個時代的社會和我們的生活方式。過去我們必須依靠完善的法律規(guī)則予以解決的困擾我們很久的問題隨著技術(shù)的發(fā)展和使用已然被創(chuàng)造出很多無需借助法律的解決方案。同時隨著新技術(shù)的發(fā)展，又有很多新的領(lǐng)域需要以法律的名義建立新的規(guī)則予以規(guī)制。美國抓住了二十世紀(jì)互聯(lián)網(wǎng)產(chǎn)業(yè)飛速發(fā)展的時機(jī)，產(chǎn)生了很多引領(lǐng)世界潮流的互聯(lián)網(wǎng)公司，憑借自身技術(shù)和信息優(yōu)勢，從其他國家獲取超額利潤，從而在二十世紀(jì)得以成為世界上最強(qiáng)大的國家，國民生活水平大幅度提高，社會保障完善。這與其寬松的法律環(huán)境，國家對產(chǎn)業(yè)發(fā)展的大力支持密不可分。2017年3月，美國參議院、眾議院先后宣布廢除網(wǎng)絡(luò)用戶隱私權(quán)保護(hù)法案。這意味著互聯(lián)網(wǎng)業(yè)務(wù)公司可以基于自身的商業(yè)發(fā)展，肆意收集和出售網(wǎng)絡(luò)用戶的瀏覽記錄、網(wǎng)絡(luò)信用記錄等所有上網(wǎng)信息而無需顧及網(wǎng)絡(luò)用戶自身的感受。但這并不意味著美國在這場產(chǎn)業(yè)之戰(zhàn)中獲取決勝地位后，不調(diào)整其個人信息保護(hù)政策，由對個人信息的寬松保護(hù)轉(zhuǎn)而傾向于突出對個人信息的嚴(yán)格保護(hù)。據(jù)相關(guān)媒體報道，我國在新興技術(shù)產(chǎn)業(yè)特別是云計算、大數(shù)據(jù)產(chǎn)業(yè)有望達(dá)到世界領(lǐng)先水平?，F(xiàn)階段，選擇美國式相對寬松的個人信息保護(hù)立法模式更有助于初創(chuàng)時期這些產(chǎn)業(yè)的發(fā)展，最終有利于個體人的全面發(fā)展。

現(xiàn)代社會資源緊缺愈加明顯，如何有效利用有限資源滿足盡可能多的人的需要是所有國家都必須面對且需要解決的重要問題。云計算、大數(shù)據(jù)的發(fā)展已呈不可抗拒之勢，其侵犯個人信息的風(fēng)險不可避免。立法過度強(qiáng)調(diào)對個人信息保護(hù)，實則增加信息控制主體采集、使用個人信息的成本，最終這種成本又均將轉(zhuǎn)嫁于信息主體身上。由于信息不對稱、事先預(yù)防性機(jī)制的不可控性，成本在轉(zhuǎn)嫁的過程中大部分未產(chǎn)生實際效用，使得社會整體效率低下，浪費嚴(yán)重。以經(jīng)濟(jì)效果作為立法導(dǎo)向，也表明我們應(yīng)該選擇美國式相對寬松的個人信息保護(hù)立法模式。

（二）個人信息保護(hù)立法應(yīng)側(cè)重由憲法、刑法、行政法和經(jīng)濟(jì)法立法解決的模式

隨著云計算、大數(shù)據(jù)技術(shù)的深入發(fā)展，人對于技術(shù)的依賴性增強(qiáng)，這場盛宴中的個人都將愈來愈透明，而技術(shù)的掌控者都將愈來愈隱蔽。當(dāng)自由競爭市場經(jīng)濟(jì)的信奉者認(rèn)識到國家適度宏觀調(diào)控的重要性時，主要調(diào)整形式上平等主體間的人身和財產(chǎn)關(guān)系的傳統(tǒng)民法已經(jīng)無法完全實現(xiàn)社會生活中愈來愈多實質(zhì)力量不平等的個體之間的公平、正義，帶有國家調(diào)控色彩的經(jīng)濟(jì)法應(yīng)運(yùn)而生。

個人信息保護(hù)涉及到人格問題，涉及到對人格的尊重，對人的自由、尊嚴(yán)的保護(hù)，這需要在關(guān)涉人權(quán)的國家基本法——憲法中首先對其予以肯定。其次，個人信息保護(hù)目前的問題主要是信息采集、使用階段對信息主體利益的侵害問題，這需要從信息采集、使用的源頭事先予以規(guī)范。如前所述，傳統(tǒng)民法中 “知情、同意”規(guī)則對大數(shù)據(jù)時代個人信息保護(hù)問題呈現(xiàn)出無能為力之勢，必須借助國家力量根據(jù)不同行業(yè)、不同場景在信息主體和信息控制者之間事先重新分配法律資源，這恰是行政法、經(jīng)濟(jì)法的任務(wù)。加緊進(jìn)行個人信息保護(hù)單行法立法是行政法、經(jīng)濟(jì)法學(xué)界當(dāng)前的重要立法任務(wù)。最后，在行政法、經(jīng)濟(jì)法已經(jīng)建立了對個人信息保護(hù)的事前預(yù)防機(jī)制的情形下，對個人信息保護(hù)的事后救濟(jì)措施應(yīng)該主要通過完善侵權(quán)責(zé)任法中侵權(quán)行為構(gòu)成要件等內(nèi)容對權(quán)益受到損害的民事主體予以民事賠償來解決。個人信息保護(hù)不僅關(guān)涉?zhèn)€人利益，同時牽涉到國家安全問題。信息控制者在個人信息采集、使用、轉(zhuǎn)讓行為過程中違反法律規(guī)定造成嚴(yán)重后果或者對國家、社會整體利益產(chǎn)生重大損害的，還應(yīng)該在刑法中規(guī)定其應(yīng)承擔(dān)的具體的刑罰責(zé)任。我國 《刑法修正案 （七）》已經(jīng)將非法獲取、非法出售個人信息的行為規(guī)定為犯罪行為。

個人信息保護(hù)涉及到社會生活中人的最基本權(quán)利，對其完善的法律保護(hù)方式必須是在憲法統(tǒng)領(lǐng)下各部門法各司其職相互作用的結(jié)果。

（三）堅持民法中的個人信息保護(hù)主要由侵權(quán)法承擔(dān)的原則

首先，人本身是目的而不是手段，人作為人的基本權(quán)利是與生俱來的。個人信息作為與其主體“人”密切聯(lián)系的一類信息，范圍極其廣泛，其中有些信息如隱私權(quán)、肖像權(quán)、名譽(yù)權(quán)等涉及到個人私生活領(lǐng)域或者是涉及他人對個人的社會評價問題，對個人及其家庭生活十分重要。這類信息絕對不允許未經(jīng)權(quán)利人同意予以公開、使用甚至是交換以換取經(jīng)濟(jì)利益。而另一些個人信息則是個人在群體生活中必須予以公開，允許他人使用的，如姓名等。有些個人信息一般情況下不允許任意他人未經(jīng)許可獲取、使用，但特殊情況下，無論權(quán)利主體是否允許都應(yīng)該對特定人公開，如急救情況下，醫(yī)生未經(jīng)病人許可調(diào)閱病人病例的情況；惡性突發(fā)事件中，警務(wù)人員調(diào)閱事發(fā)現(xiàn)場人員信息情況甚至監(jiān)聽所有在場人員通話情況等。還有一類個人信息如個人信用信息，對個人的社會評價以及個人生活均有實質(zhì)影響。但同時這一信息對于貸款銀行、民間借貸中的出借人是否給予借款人貸款、貸款利率及貸款周期的判斷亦有實質(zhì)影響。因此我們不宜對個人信息中的具體信息不加區(qū)分一概以具體人格權(quán)的方式予以立法保護(hù)。

其次，我國 《民法總則》第一百一十一條規(guī)定 “自然人享有生命權(quán)、身體權(quán)、健康權(quán)、姓名權(quán)、肖像權(quán)、名譽(yù)權(quán)、榮譽(yù)權(quán)、隱私權(quán)、婚姻自主權(quán)等權(quán)利”。該條規(guī)定中的姓名權(quán)、肖像權(quán)、名譽(yù)權(quán)、榮譽(yù)權(quán)等具體人格權(quán)內(nèi)容本身就是個人信息的一部分。若將個人信息權(quán)在未來的人格權(quán)法中確認(rèn)為一項具體人格權(quán)，為求概念精確，體系完整，則必須在未來的民法典分編中改變我國剛剛出臺的 《民法總則》中具體人格權(quán)分類體例。

再次，如前所述，個人信息的外延范圍廣泛，法官對個人信息概念的理解不同，司法判決也就不同。為求司法實踐的統(tǒng)一性和可操作性，最佳解決方案就是立法規(guī)定盡可能地明確、具體。就像王利明教授所建議的：在將個人信息權(quán)作為具體人格權(quán)內(nèi)容予以規(guī)定時，個人信息的概念 “應(yīng)該盡可能地詳細(xì)列舉，以明確個人信息的范圍”，王利明：《論個人信息權(quán)在人格權(quán)法中的地位》，載 《蘇州大學(xué)學(xué)報 （哲學(xué)社會科學(xué)版）》2012年第6期。并建議參照我國臺灣地區(qū)2010年頒布的 “個人資料保護(hù)法”中對個人資料詳細(xì)、窮盡式列舉方式，以 “有利于明確個人信息權(quán)的權(quán)利保護(hù)范圍，在具體的司法實踐中，普通民眾可以清晰地了解個人信息權(quán)的保護(hù)對象，司法機(jī)關(guān)也能夠針對具體的對象準(zhǔn)確適用法律，減少爭議”。參見前引，王利明文。但是，若果真需要如此規(guī)定，那么我們?yōu)楹尾粚€人信息定義中的內(nèi)容直接規(guī)定為具體人格權(quán)而一定要新引入 “個人信息權(quán)”的概念呢？法律對個人信息提供保護(hù)的主要原因在于個人信息與自然人人格聯(lián)系密切，與自然人有關(guān)的一切信息若被不當(dāng)收集、使用而侵犯了該自然人利益，民法應(yīng)該賦予他獲得法律保護(hù)的權(quán)利，列舉式的概念范圍劃定，實則限制了自然人權(quán)利的行使，反倒有違個人信息保護(hù)的立法本意。

因此，現(xiàn)有民法體系建立的一般人格權(quán)、具體人格權(quán)保護(hù)方式，通過侵權(quán)責(zé)任法對權(quán)利主體權(quán)利受到侵犯予以民事法律救濟(jì)的方式應(yīng)該予以保持，并根據(jù)個人信息的特點和實踐需要在侵權(quán)責(zé)任法中確立和完善科學(xué)的個人信息侵權(quán)行為事后民事追責(zé)和救濟(jì)機(jī)制。