大數(shù)據(jù)背景下的個(gè)人信息法律保護(hù)研究綜述

朱 悅

0 引言

伴隨著全球信息科技浪潮，數(shù)據(jù)呈現(xiàn)爆炸式增長態(tài)勢，人類已經(jīng)步入大數(shù)據(jù)時(shí)代。在海量數(shù)據(jù)中，個(gè)人信息是重要組成部分。個(gè)人信息承載著人格利益和財(cái)產(chǎn)利益，既涉及自然人的基本權(quán)利和自由，又與財(cái)產(chǎn)分配問題相關(guān)。個(gè)人信息處理方式的改變、效率的提升、傳輸途徑的增加，使得數(shù)據(jù)普遍關(guān)聯(lián)和深度分析更容易，個(gè)人信息主體的合法權(quán)益面臨前所未有的威脅。在數(shù)字經(jīng)濟(jì)發(fā)展趨勢下，個(gè)人信息應(yīng)用場景從社會管理活動(dòng)拓展至商業(yè)領(lǐng)域，企業(yè)等市場主體開始對個(gè)人信息進(jìn)行爭奪，甚至濫用。個(gè)人信息面臨的風(fēng)險(xiǎn)急需法律和行政監(jiān)管予以回應(yīng)。本文以界定個(gè)人信息概念為起點(diǎn)，概括已有法律保護(hù)模式的特征，指出近期法律保護(hù)模式的轉(zhuǎn)換，得出我國個(gè)人信息法律保護(hù)的趨勢和研究展望。

1 確立法律保護(hù)模式的前置問題：個(gè)人信息概念的界定

保護(hù)對象在一定程度上決定了保護(hù)模式。數(shù)據(jù)關(guān)聯(lián)和傳輸使個(gè)人信息范圍較前信息時(shí)代更廣，個(gè)人信息的判別方式也在轉(zhuǎn)變。數(shù)字技術(shù)讓一些普通數(shù)據(jù)更容易滿足個(gè)人信息判定標(biāo)準(zhǔn)中的“識別性”。很多研究成果都注意到了個(gè)人信息范圍與保護(hù)規(guī)則的關(guān)系。因此，在研究保護(hù)模式轉(zhuǎn)換之前，應(yīng)結(jié)合大數(shù)據(jù)背景重新討論個(gè)人信息的概念。

1.1 界定個(gè)人信息的理論

界定個(gè)人信息的主要理論是識別性理論。該理論指出了個(gè)人信息需要法律保護(hù)的根本原因，因此在立法中被廣泛采納。所謂“識別”，就是通過與個(gè)人相關(guān)的信息能夠直接或間接地將特定自然人辨別出來[1]85。信息的“可識別性”是區(qū)分個(gè)人信息與非個(gè)人信息的關(guān)鍵標(biāo)準(zhǔn)[2]。其中，判斷個(gè)人信息是否可識別時(shí)，應(yīng)考慮信息控制者或任何第三方在當(dāng)時(shí)的社會條件下可能采取的一切合理手段[3]。用來識別的信息可能是直接、直觀的，也可能是間接的、需要結(jié)合具體情境才能判斷的[4]118。

由于大數(shù)據(jù)技術(shù)的影響和個(gè)人信息概念本身的模糊性，個(gè)人信息保護(hù)范圍始終存在爭議，對個(gè)人信息概念的傳統(tǒng)解釋無法適應(yīng)大數(shù)據(jù)時(shí)代的需求[5]。在新的時(shí)代背景下，司法實(shí)踐對個(gè)人信息應(yīng)作出進(jìn)一步界定。有學(xué)者認(rèn)為，只要能夠指向某個(gè)具體個(gè)人，該信息就屬于個(gè)人信息的范疇[6]11。隨著技術(shù)的進(jìn)步，能指向個(gè)人的信息逐漸增多，個(gè)人信息的范疇也在不斷擴(kuò)大。但也有學(xué)者認(rèn)為，概念范圍的擴(kuò)大會帶來更多有爭議的信息，反而狹義的解釋可能更加有效[7]。

針對識別性標(biāo)準(zhǔn)帶來的困境，另有學(xué)者認(rèn)為應(yīng)以“識別能度”為標(biāo)準(zhǔn)，即信息識別到個(gè)人的可能程度[8]。但這種程度因應(yīng)用場景、信息控制者、存儲期限等要素的變化而缺乏穩(wěn)定性。一項(xiàng)待評價(jià)信息在某種情境下是個(gè)人信息，但在另一種情境下可能不屬于個(gè)人信息。任何造成隱私風(fēng)險(xiǎn)或其他風(fēng)險(xiǎn)的信息處理行為，都可能適用個(gè)人信息保護(hù)的相關(guān)規(guī)范，即便所處理的信息尚未被界定為個(gè)人信息，或在一般場景下不可能屬于個(gè)人信息[9]。這意味著，以特殊目的處理信息時(shí)，非個(gè)人信息也可能轉(zhuǎn)化成個(gè)人信息[10]。

個(gè)人信息概念的轉(zhuǎn)變已成為實(shí)踐中的普遍現(xiàn)象。在法律和司法解釋進(jìn)一步細(xì)化個(gè)人信息的判別方法之前，仍應(yīng)遵循《網(wǎng)絡(luò)安全法》和《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》的相關(guān)規(guī)定，同時(shí)要考慮個(gè)人信息的再識別風(fēng)險(xiǎn)。應(yīng)從個(gè)人信息的頂層設(shè)計(jì)入手，在立法中為個(gè)人信息劃定大致的范圍。但即便如此，個(gè)人信息的概念仍無法得到完美的界定。概念的界定存在不可避免的、固有的缺陷?，F(xiàn)有研究對傳統(tǒng)識別性理論的修正主要有3種建議：(1)應(yīng)從個(gè)人信息利用風(fēng)險(xiǎn)的評估、司法個(gè)案的認(rèn)定等角度，彌補(bǔ)概念本身的模糊性這一固有缺陷[11]。(2)應(yīng)增加界定個(gè)人信息保護(hù)范圍的考量標(biāo)準(zhǔn)，具體包括信息自身的屬性、信息控制者的識別能力、信息用途、信息主體的身份等，以使概念更加精細(xì)化[12]。(3)應(yīng)關(guān)注信息的生命周期，即信息所處的階段。匿名的相對化使個(gè)人信息再識別的風(fēng)險(xiǎn)始終存在。一項(xiàng)信息可能在不同階段由于其風(fēng)險(xiǎn)評估結(jié)果的不同，而選擇性適用差異化的合規(guī)義務(wù)和法律責(zé)任[13]。

1.2 個(gè)人信息的內(nèi)涵

由于語言習(xí)慣、立法傳統(tǒng)等差異，各國在立法中往往選用不同的核心詞語?！靶畔ⅰ币辉~被使用的歷史最長，屬于傳統(tǒng)意義上的概念，一般指通過一定的媒介所展示的特定內(nèi)容。傳統(tǒng)的媒介包括報(bào)紙、圖書、音像等，互聯(lián)網(wǎng)則屬于大數(shù)據(jù)時(shí)代的媒介之一。而數(shù)據(jù)概念的表述所強(qiáng)調(diào)的內(nèi)容似乎與信息不同。數(shù)據(jù)表示對某個(gè)事物的描述，并且可以記錄、分析和重組[14]。根據(jù)國際標(biāo)準(zhǔn)化組織的定義，數(shù)據(jù)是一種可根據(jù)事實(shí)、概念或指示重復(fù)讀取的信息形式，適用于人工方式或利用自動(dòng)化裝置進(jìn)行通信、翻譯轉(zhuǎn)換或加工處理。狹義的數(shù)據(jù)一般指電子數(shù)據(jù)，是計(jì)算機(jī)系統(tǒng)內(nèi)以二進(jìn)制數(shù)字所組成的信號流，是計(jì)算機(jī)使用過程中或編碼中的記錄[15]。廣義的數(shù)據(jù)不僅僅強(qiáng)調(diào)電子化，因此與信息一詞更難區(qū)分。在情報(bào)學(xué)上，立足于信息的生產(chǎn)和傳遞，情報(bào)學(xué)信息鏈理論提出了從數(shù)據(jù)到智慧的關(guān)系模型[16]。這意味著數(shù)據(jù)是信息的原材料，也是知識的原材料?？傮w而言，在大多數(shù)情境下，區(qū)分?jǐn)?shù)據(jù)與信息是困難的，且不同學(xué)科對數(shù)據(jù)與信息有不同的定義。信息在多數(shù)情況下依賴于數(shù)據(jù)的存儲和傳輸。換言之，信息與數(shù)據(jù)是同一事物的不同階段。信息與數(shù)據(jù)的區(qū)分具體到個(gè)人利益領(lǐng)域，表現(xiàn)為“個(gè)人信息”與“個(gè)人數(shù)據(jù)”稱謂的爭論。關(guān)于二者的關(guān)系，大致有3種觀點(diǎn)：(1)盡管各國個(gè)人信息立法選用的詞語不同，核心內(nèi)容卻基本相似[17]18，因此，應(yīng)在同一意義上使用這兩個(gè)概念。(2)個(gè)人數(shù)據(jù)強(qiáng)調(diào)載體性，一般情況下可以被計(jì)算機(jī)檢索[17]19。此概念能更好地與國際立法和學(xué)術(shù)研究進(jìn)行對話，并符合技術(shù)語境和時(shí)代背景[4]128。(3)個(gè)人信息與個(gè)人數(shù)據(jù)確有區(qū)別，但不影響法律適用，在實(shí)踐中都應(yīng)作廣義理解。從這個(gè)角度來看，法律真正保護(hù)的是信息或數(shù)據(jù)之上的利益。因此，個(gè)人數(shù)據(jù)與個(gè)人信息的權(quán)利是相同的[2]。

1.3 個(gè)人信息的外延

對個(gè)人信息概念的界定還需要探討個(gè)人信息的分類，類別的劃分使概念的外延更加清晰，同時(shí)影響法律保護(hù)方式、體例和程度。個(gè)人信息的典型分類標(biāo)準(zhǔn)包括：(1)以能否直接識別出特定自然人為標(biāo)準(zhǔn)[21]138。該標(biāo)準(zhǔn)將個(gè)人信息分為直接個(gè)人信息和間接個(gè)人信息。此種分類方式與個(gè)人信息的內(nèi)涵密切相關(guān)。身份證號、護(hù)照號、基因、指紋等信息無需與其他信息相結(jié)合，即可直接識別到特定自然人，屬于直接個(gè)人信息。需要與其他信息結(jié)合后才能夠識別到特定自然人的個(gè)人信息是間接信息，如血型、愛好、生活習(xí)慣、宗教信仰、經(jīng)濟(jì)能力等。由于直接個(gè)人信息具有更強(qiáng)的指向性，有些國家在立法中對于直接個(gè)人信息在收集環(huán)節(jié)有更為嚴(yán)格的限制規(guī)定，如韓國、日本和澳大利亞[22]26。(2)以是否被自動(dòng)化處理為標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)將個(gè)人信息分為自動(dòng)化處理的個(gè)人信息和非自動(dòng)化處理的個(gè)人信息[23]。由于自動(dòng)化處理規(guī)模化、動(dòng)態(tài)化、系統(tǒng)化的特點(diǎn)，對個(gè)人信息侵害的可能性更大。但為了避免法律漏洞，個(gè)人信息保護(hù)范圍理應(yīng)包含非自動(dòng)化處理的個(gè)人信息。代表歐盟最新立法成果的《一般數(shù)據(jù)保護(hù)條例》也明確了該法的保護(hù)范圍包括非自動(dòng)化處理的個(gè)人信息。(3)以是否具有敏感性為標(biāo)準(zhǔn)[24]。該標(biāo)準(zhǔn)將個(gè)人信息分為敏感個(gè)人信息與非敏感個(gè)人信息?！懊舾谐潭取狈从沉藗€(gè)人對其人格利益受侵害可能性的評估結(jié)果，既具有主觀性，又具有一定的社會屬性。如果敏感個(gè)人信息被公開或被第三方知曉后，會使信息所指向的自然人遭受不公正對待或歧視，或?qū)υ搨€(gè)體的合法權(quán)益造成重大損害[22]26。《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條所列舉的“基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動(dòng)等”可視為對敏感信息種類的嘗試性列舉。但總體來看，我國立法中尚需對敏感與非敏感個(gè)人信息進(jìn)行更明確的區(qū)分。對敏感個(gè)人信息的界定至少要考慮泄露該信息是否會導(dǎo)致重大傷害、給信息主體帶來傷害的幾率、社會大多數(shù)人對某類信息的敏感程度等因素。同時(shí)，考慮到未來科技發(fā)展，應(yīng)為一些特殊信息的保護(hù)預(yù)留一定空間[25]。

除以上幾種典型分類外，學(xué)者在個(gè)人信息類型化探討的過程中提出了新的分類方式。根據(jù)個(gè)人信息承載的內(nèi)容，可分為自然屬性的個(gè)人信息和社會屬性的個(gè)人信息[1]108；根據(jù)個(gè)人信息是否存在或應(yīng)用于不同行業(yè)或?qū)I(yè)，可分為專業(yè)個(gè)人信息和普通個(gè)人信息[21]143；根據(jù)個(gè)人信息的信息來源、內(nèi)容所屬的領(lǐng)域，可分為身份戶籍信息、就業(yè)信息、金融信息、教育信息、醫(yī)療信息等[26]。還有學(xué)者認(rèn)為信息最重要的分類標(biāo)準(zhǔn)應(yīng)基于信息與人格的關(guān)系，因此，以是否與人格緊密相關(guān)為標(biāo)準(zhǔn)，可將個(gè)人信息分為人格緊密型個(gè)人信息與人格疏遠(yuǎn)型個(gè)人信息。與人格利益密切相關(guān)的個(gè)人信息，或具有直接識別性，或敏感程度高，或具有更強(qiáng)的個(gè)體性，即必須符合三個(gè)特征之一，如姓名、身份證號碼屬于人格緊密型個(gè)人信息[27]。

在大數(shù)據(jù)時(shí)代，信息處理能力的提升使信息的類別日漸模糊，不同類別的信息處于不斷交叉和實(shí)時(shí)轉(zhuǎn)換的狀態(tài)。信息之間的關(guān)聯(lián)分析使間接個(gè)人信息的價(jià)值密度日益提升。例如，借閱信息能反映出讀者的閱讀偏好，屬于重要的間接個(gè)人信息。因此，即便是整理、加工過的個(gè)人信息，在尚未達(dá)到匿名化標(biāo)準(zhǔn)之前，也只是間接程度的變化，仍應(yīng)納入個(gè)人信息的外延。事實(shí)上，在大數(shù)據(jù)背景下，具有爭議的個(gè)人信息保護(hù)問題大多針對間接個(gè)人信息[28]26。

2 個(gè)人信息法律保護(hù)的傳統(tǒng)模式：單一化的利益確認(rèn)

2.1 個(gè)人信息傳統(tǒng)保護(hù)模式概述

相似的指導(dǎo)思想、法學(xué)理論和制度路徑，逐漸形成了相似的保護(hù)模式。以社會和技術(shù)發(fā)展為基本維度，將具有一定歷史源流和共性的個(gè)人信息保護(hù)模式稱為傳統(tǒng)保護(hù)模式。本文所指的個(gè)人信息傳統(tǒng)保護(hù)模式是信息技術(shù)發(fā)展初期至今延續(xù)和傳承的信息保護(hù)理論和方法，是探討個(gè)人信息保護(hù)模式轉(zhuǎn)換和創(chuàng)新的起點(diǎn)。傳統(tǒng)保護(hù)模式認(rèn)為，自然人有權(quán)控制個(gè)人信息在其流轉(zhuǎn)和使用過程中的一系列處理。不同法律部門的規(guī)則基本上都以私權(quán)利益的確認(rèn)為基礎(chǔ)，以個(gè)人控制理念為原則，試圖更清晰地界定個(gè)人信息主體的利益類型和邊界，目的是保障個(gè)人信息的利益不被侵犯，從而促進(jìn)個(gè)人信息使用秩序的建立。傳統(tǒng)保護(hù)模式形成于計(jì)算機(jī)應(yīng)用的早期，其法律規(guī)則設(shè)計(jì)過于簡單，基本保留了隱私權(quán)制度的思路和個(gè)人信息自決權(quán)的傳統(tǒng)。也有一些研究成果基于隱私權(quán)概念的流變，將早期的個(gè)人信息保護(hù)模式稱為前隱私時(shí)代的保護(hù)模式。雖然傳統(tǒng)保護(hù)模式以私法中的利益確認(rèn)為前提，但其法律規(guī)則的組成并不限于私法層面。我國在個(gè)人信息保護(hù)問題上，吸納了早期域外立法中的部分內(nèi)容和國際公約中的基本原則，大致表現(xiàn)為傳統(tǒng)模式的選擇性繼承。在司法實(shí)踐中主要以侵權(quán)救濟(jì)方式進(jìn)行事后補(bǔ)償，將個(gè)人信息侵權(quán)案件作為隱私權(quán)糾紛案件的附屬類別。從行政監(jiān)管方面來看，基本采用約談和整改的方式來保護(hù)個(gè)人信息，缺乏實(shí)質(zhì)性的監(jiān)管手段和跨法律部門的聯(lián)動(dòng)機(jī)制。

2.2 隱私權(quán)模式

早期個(gè)人信息保護(hù)模式的形成是個(gè)人信息與隱私逐漸界分的過程。如果隱私制度能涵蓋個(gè)人信息保護(hù)的全部問題，則無需對個(gè)人信息保護(hù)進(jìn)行單獨(dú)立法。隨著獲取信息的手段和網(wǎng)上交流工具不斷增加，隱私權(quán)制度的前提也發(fā)生了顯著變化。個(gè)人信息與隱私逐漸展現(xiàn)出不同的價(jià)值。因此，探討個(gè)人信息傳統(tǒng)保護(hù)模式，有必要介紹隱私權(quán)的起源及其保護(hù)模式的形成。

通說認(rèn)為，隱私權(quán)起源于美國。最早在1881年的一起侵權(quán)訴訟案件(DeMary v. Roberts)中被提及。該案的起因是被告在原告生育期間未經(jīng)原告同意在其家中觀察其生育過程。馬斯頓(Marston)法官陳述了法庭的一致結(jié)論：“原告有權(quán)對其住所保密，該權(quán)利受法律保護(hù)?！盵29]隱私存在的價(jià)值在于個(gè)人可以自主地選擇生活并劃定私密范圍。隱私權(quán)作為一個(gè)正式的法律概念并對立法產(chǎn)生了巨大影響，是在路易斯·布蘭代斯(Louis D. Brandeis)和塞繆爾·沃倫(Samuel D. Warren)1890 年發(fā)表《隱私權(quán)》之后，該文把隱私定義為“免受外界干擾的、獨(dú)處的”權(quán)利[30]。1960年William L. Prosser在《論隱私權(quán)》中將侵犯隱私權(quán)行為分為4 類：對他人私人空間或私人事務(wù)的侵犯；公開揭露他人的私生活；歪曲他人的形象使其受損；對他人姓名或肖像的侵犯[31]。隱私權(quán)的內(nèi)涵隨著社會發(fā)展而不斷豐富，逐漸擴(kuò)張至信息、空間和自我決定的利益上。后來Alan Westin 將隱私權(quán)視為對個(gè)人信息的控制[32]。美國在理論與實(shí)踐的推動(dòng)中，逐漸形成“大隱私權(quán)的保護(hù)模式”，即通過不斷豐富隱私權(quán)的內(nèi)容來應(yīng)對網(wǎng)絡(luò)時(shí)代的個(gè)人信息問題[33]。

隱私權(quán)模式對各國立法都產(chǎn)生了影響。但由于傳統(tǒng)文化、法律體系等差異，各個(gè)國家對隱私權(quán)有不同的理解。從個(gè)體層面看，隱私范圍又因個(gè)體而不同。隨著個(gè)人信息商業(yè)化利用的發(fā)展，學(xué)界意識到個(gè)人信息與隱私具有明顯的界分。個(gè)人信息所關(guān)注的實(shí)質(zhì)是信息能否指向特定自然人，而隱私則關(guān)注其他主體對自然人私領(lǐng)域的影響程度。二者定義的角度是截然不同的，很難在同一平面上進(jìn)行比較[6]22。有學(xué)者認(rèn)為，個(gè)人信息與個(gè)人隱私之間存在著包容關(guān)系，個(gè)人信息包含個(gè)人隱私，個(gè)人隱私是個(gè)人信息的下位概念[1]78。還有學(xué)者認(rèn)為，二者不存在位階關(guān)系，而是部分重合又存在明顯區(qū)別[34]。在大數(shù)據(jù)背景下，雖然隱私的概念也需要重新界定，但隱私權(quán)仍無法包納個(gè)人信息權(quán)的功能。從《民法典》中對隱私和個(gè)人信息的定義可以看出，并不是所有個(gè)人信息都屬于隱私。例如，第1034條規(guī)定：“個(gè)人信息中的私密信息，同時(shí)適用隱私權(quán)保護(hù)的有關(guān)規(guī)定?！边@表明二者存在交集，也暗示了個(gè)人信息與隱私的不同價(jià)值。

2.3 人格權(quán)模式

與英美法系的隱私權(quán)模式不同，大陸法系大多采用人格權(quán)模式來保護(hù)個(gè)人信息。人格權(quán)模式的形成是源于個(gè)人信息與人格自由的密切關(guān)系，該模式認(rèn)為個(gè)人信息之上值得保護(hù)的利益是人格利益。類似于人格權(quán)的支配性、絕對性和專屬性，個(gè)人信息權(quán)也應(yīng)具備相應(yīng)的特點(diǎn)，從權(quán)利人出生至死亡，該權(quán)利不得轉(zhuǎn)讓與放棄。有些個(gè)人信息與生俱來，幾乎無法更改，如基因和指紋體現(xiàn)著個(gè)人獨(dú)有的特征，承載著重要的人格利益，具有人身專屬性和依賴性。當(dāng)個(gè)人信息被不當(dāng)采集、控制、使用時(shí)，自然人將面臨著人格尊嚴(yán)與人格自由被侵害等諸多風(fēng)險(xiǎn)。支持人格權(quán)模式的觀點(diǎn)認(rèn)為，信息主體的控制權(quán)屬于人格權(quán)。個(gè)人信息權(quán)能的提出是為了更好地平衡人格利益保護(hù)與數(shù)字經(jīng)濟(jì)發(fā)展。雖然部分人格要素具有商業(yè)價(jià)值并且可以商品化，但這種現(xiàn)象并非始于個(gè)人信息，其他人格要素也存在商品化現(xiàn)象?？傮w來說，個(gè)人信息的本質(zhì)屬性仍是人格權(quán)屬性[35]，從而必然采取人格權(quán)模式[36]。

圖4展示了上述模型的實(shí)驗(yàn)結(jié)果。曲線為實(shí)驗(yàn)得出的結(jié)果，從結(jié)果中發(fā)現(xiàn)最大的抗拔強(qiáng)度為5.1 N。然而根據(jù)之前部分對于理論最大值的描述，可以計(jì)算出理論抗拔強(qiáng)度為6 N。這個(gè)實(shí)驗(yàn)值同理論值的差異經(jīng)過多次系數(shù)測試，被證實(shí)為泊松效應(yīng)。另一個(gè)測試模型用以測試這個(gè)假設(shè)，其中泊松比被設(shè)為0.01，之后結(jié)果為5.96 N，非常接近理論值。

人格權(quán)模式下又形成了一般人格權(quán)和具體人格權(quán)的不同觀點(diǎn)。一般人格權(quán)模式借鑒于德國的個(gè)人信息保護(hù)理論。通說認(rèn)為，個(gè)人信息自決權(quán)興起于德國。但德國個(gè)人信息自決權(quán)卻不是具體人格權(quán)，而是長期屬于一般人格權(quán)范疇。基于此，我國也有學(xué)者主張一般人格權(quán)保護(hù)模式[37]。由于其包容性、開放性，一般人格權(quán)在信息技術(shù)飛速發(fā)展的時(shí)代有其合理因素，有利于個(gè)人信息權(quán)能的擴(kuò)張，以使法律適用更具有靈活性。但與其他框架性理論相同，該模式同樣缺乏針對性，很難達(dá)到相對統(tǒng)一的保護(hù)要求。此外，除了德國的框架性權(quán)利，一般人格權(quán)保護(hù)模式的立法例并不多。而具體人格權(quán)模式則反對過于開放的路徑，認(rèn)為個(gè)人信息權(quán)已具備從一般人格權(quán)分離出來并成為具體人格權(quán)的基本條件。其若干權(quán)能都具有明確的指向，不再屬于抽象的一般人格利益[26]。淡化個(gè)人信息的權(quán)利外觀只是一種權(quán)宜之計(jì)，但依循社會與法律權(quán)利的發(fā)展規(guī)律，個(gè)人信息權(quán)將具有更明確的權(quán)利范圍，并且發(fā)展成獨(dú)立的人格權(quán)。以王利明教授為代表的“獨(dú)立人格權(quán)說”也認(rèn)為應(yīng)在《民法典》“人格權(quán)編”中確認(rèn)“個(gè)人信息權(quán)”，個(gè)人信息權(quán)的獨(dú)特性不妨礙其成為具體人格權(quán)[34]。

2.4 財(cái)產(chǎn)權(quán)模式

為進(jìn)一步凸顯人的主體性地位，私法領(lǐng)域的民事權(quán)利被分成兩個(gè)部分——人格與財(cái)產(chǎn)。迄今為止，這兩種利益仍呈現(xiàn)著一定程度的對立狀態(tài)[38]。由于各國相異的法律文化和社會背景，人們對信息保護(hù)法中核心利益的理解有所不同[39]。

財(cái)產(chǎn)權(quán)模式的理論依據(jù)主要有“勞動(dòng)價(jià)值理論”“隱私經(jīng)濟(jì)學(xué)理論”“人格權(quán)商品化理論”。“勞動(dòng)價(jià)值理論”的創(chuàng)始人是洛克，他的主要觀點(diǎn)分為3個(gè)層次：(1)土地和低等動(dòng)物是為人們共有的，然而個(gè)體對其自身具有私有權(quán)，具有排他性；(2)個(gè)人的勞動(dòng)成果理應(yīng)屬于個(gè)人所有；(3)每個(gè)事物一旦由某個(gè)個(gè)體對其施加了外力并使其狀態(tài)發(fā)生改變，這個(gè)客體就融入了勞動(dòng)成分，因而使這些東西成為他的財(cái)產(chǎn)[40]。依照洛克的理論，通過勞動(dòng)獲得財(cái)產(chǎn)權(quán)的前提是針對于自然界中的無主財(cái)產(chǎn)或公共品而付出勞動(dòng)；如果個(gè)人信息本歸屬于個(gè)人，則不屬于無主財(cái)產(chǎn)，未經(jīng)權(quán)利人授權(quán)，任何采集、加工個(gè)人信息的行為都不具有正當(dāng)性與合理性[28]92-93。如果個(gè)人信息不是公共品，那么勞動(dòng)價(jià)值理論將無法為企業(yè)享有個(gè)人信息財(cái)產(chǎn)利益提供理論支持。“隱私經(jīng)濟(jì)學(xué)理論”由波斯納提出，屬于法律的經(jīng)濟(jì)分析范疇。他在《法律的經(jīng)濟(jì)分析》(Economic Analysis of Law)“財(cái)產(chǎn)權(quán)”一章中提到隱私[41]。認(rèn)為隱私的形成和確立取決于社會的發(fā)展與公開某些信息的成本收益之衡量。從社會整體來看，信息和隱私具有明顯的財(cái)產(chǎn)價(jià)值[42]。如果這些信息是對社會有益活動(dòng)的產(chǎn)物，而強(qiáng)制披露會降低人們進(jìn)行這些活動(dòng)的意愿，則信息產(chǎn)權(quán)應(yīng)分配給個(gè)人；但如果隱瞞信息會嚴(yán)重誤導(dǎo)他人，降低社會的整體效益，則個(gè)人隱私信息產(chǎn)權(quán)應(yīng)被剝奪[43]?！叭烁駲?quán)商品化理論”由德國學(xué)者基爾克于19世紀(jì)提出，該理論認(rèn)為人格權(quán)是一個(gè)完整的、兼容人格與財(cái)產(chǎn)的權(quán)利[44]。自然人行使其姓名權(quán)、肖像權(quán)等人格標(biāo)識專有權(quán)；商業(yè)機(jī)構(gòu)則有償使用這些人格標(biāo)識。于是，在自然人與商業(yè)主體之間形成了授權(quán)許可合同。

可見，財(cái)產(chǎn)權(quán)模式下諸多路徑的探索都是為恢復(fù)信息主體控制權(quán)的另一種努力。依財(cái)產(chǎn)權(quán)模式，用戶應(yīng)對其個(gè)人信息在財(cái)產(chǎn)意義上享有占有、使用、收益甚至處分的權(quán)能[45]。個(gè)人信息財(cái)產(chǎn)權(quán)應(yīng)獨(dú)立確認(rèn)、行使和保護(hù)，通過市場進(jìn)行高效地配置[46]。當(dāng)然，財(cái)產(chǎn)權(quán)模式不否定人格利益。當(dāng)個(gè)人信息受到侵害時(shí)，權(quán)利人可以主張人格與財(cái)產(chǎn)的雙重保護(hù)。但也有學(xué)者反對財(cái)產(chǎn)權(quán)模式，認(rèn)為對個(gè)人信息賦予財(cái)產(chǎn)權(quán)會不當(dāng)?shù)財(cái)U(kuò)大侵權(quán)責(zé)任[47]。此外，在商業(yè)實(shí)踐中，穩(wěn)定地占有信息顯然缺乏可行性。于是，財(cái)產(chǎn)權(quán)模式可能因邏輯上的漏洞和可行性欠缺而不利于個(gè)人信息的保護(hù)。

3 個(gè)人信息法律保護(hù)模式的轉(zhuǎn)換：風(fēng)險(xiǎn)的綜合治理

3.1 個(gè)人信息法律保護(hù)模式轉(zhuǎn)換的必要性

傳統(tǒng)保護(hù)模式在大數(shù)據(jù)背景下面臨著極大的挑戰(zhàn)。信息主體對個(gè)人信息的全面控制已不符合數(shù)字經(jīng)濟(jì)的發(fā)展趨勢。以“知情同意”為核心的傳統(tǒng)保護(hù)模式，既無法為公民個(gè)人信息提供實(shí)質(zhì)性保障，又在實(shí)踐中成為數(shù)據(jù)價(jià)值開發(fā)的障礙[9]。傳統(tǒng)保護(hù)模式中的告知與許可、信息模糊化、信息匿名化等方式也都存在一定的問題。例如，明確告知信息使用目的是極為困難的，信息技術(shù)的發(fā)展使信息匿名化也難以實(shí)現(xiàn)。于是，有學(xué)者開始反思傳統(tǒng)保護(hù)模式的合理性和絕對權(quán)的可行性。繼續(xù)支持絕對權(quán)保護(hù)模式的學(xué)者認(rèn)為，由于個(gè)人信息具有確定的內(nèi)容、滿足絕對權(quán)的特征，從而可以上升為權(quán)利的利益至少包括“專有訪問權(quán)”和“可轉(zhuǎn)移權(quán)”[48]。就個(gè)人信息的財(cái)產(chǎn)利益而言，法律應(yīng)規(guī)定個(gè)體對其個(gè)人信息享有初始支配地位。持反對觀點(diǎn)的學(xué)者認(rèn)為，雖然信息財(cái)產(chǎn)利益保護(hù)的必要性值得肯定，但這些客觀事實(shí)并不能作為論證絕對權(quán)模式合理性的依據(jù)。從立法角度來看，也并非所有法律上的利益需求都應(yīng)當(dāng)如生命權(quán)、健康權(quán)、所有權(quán)那樣取得絕對權(quán)的地位。個(gè)人信息財(cái)產(chǎn)利益的絕對權(quán)化，存在著競爭性缺失、權(quán)利歸屬模糊、立法成本過高等困境，沒有必要專門針對信息財(cái)產(chǎn)利益而承認(rèn)一項(xiàng)絕對權(quán)[49]。也有學(xué)者避開個(gè)人信息權(quán)利性質(zhì)歸類的問題，提出個(gè)人信息權(quán)既不是公法權(quán)利，也不是人格權(quán)、財(cái)產(chǎn)權(quán)，而是繼股權(quán)、知識產(chǎn)權(quán)之后的新型民事權(quán)利[50]。大多數(shù)學(xué)者都認(rèn)為個(gè)人信息的人格利益與財(cái)產(chǎn)利益都難以絕對化，以“知情同意”為基礎(chǔ)的個(gè)人信息權(quán)利不能成為絕對權(quán)。況且，權(quán)利的設(shè)定并不等于權(quán)利的實(shí)現(xiàn)，個(gè)人如何實(shí)現(xiàn)這些權(quán)利成為實(shí)踐中棘手的問題。例如，個(gè)人信息公開后，原始信息控制者可能仍具有代表信息主體清除信息的義務(wù)[51]，由于信息流轉(zhuǎn)的實(shí)時(shí)性，相關(guān)主體的責(zé)任分配在實(shí)踐中變得極其模糊。因此，傳統(tǒng)保護(hù)模式的利益確認(rèn)方式無法實(shí)現(xiàn)，更無法周延地防止個(gè)人信息被濫用。數(shù)字經(jīng)濟(jì)的時(shí)代背景和社會對數(shù)據(jù)流通的現(xiàn)實(shí)需求使轉(zhuǎn)換個(gè)人信息保護(hù)模式十分必要。

3.2 個(gè)人信息法律保護(hù)模式的轉(zhuǎn)換思路

考慮到知情同意原則和絕對權(quán)思路的缺陷，有學(xué)者建議將個(gè)人控制理念相對化[52]，對“知情同意”框架作出修正，從整齊劃一的同意轉(zhuǎn)變?yōu)榛谛畔⒎诸?、場景化風(fēng)險(xiǎn)評估的分層同意，從一次性同意轉(zhuǎn)變?yōu)槌掷m(xù)的信息披露與動(dòng)態(tài)同意[53]。還有學(xué)者提出，應(yīng)改變個(gè)人信息收集的“個(gè)人許可模式”，讓信息使用者承擔(dān)責(zé)任?？梢?，個(gè)人信息保護(hù)模式呈現(xiàn)出前置性和動(dòng)態(tài)性的變革趨勢。從近期世界各國個(gè)人信息保護(hù)法制定與修改的歷程來看，無論采取何種模式，個(gè)人信息保護(hù)的目的都是防止濫用，而不是靜態(tài)保護(hù)。歐盟的《一般數(shù)據(jù)保護(hù)條例》的最終目的也是促進(jìn)個(gè)人數(shù)據(jù)的流通和使用，而個(gè)人信息保護(hù)法正是要控制和減少合理使用中的風(fēng)險(xiǎn)。各國新法強(qiáng)調(diào)信息控制者與信息監(jiān)管機(jī)構(gòu)充分合作，合作項(xiàng)目包括風(fēng)險(xiǎn)評估、審查咨詢、損毀通知等[54]。

針對個(gè)人信息保護(hù)的風(fēng)險(xiǎn)性、場景性，學(xué)者們提出了變革法律保護(hù)模式的不同思路。有學(xué)者認(rèn)為，與德國個(gè)人信息自決權(quán)的“目的性權(quán)利”理念不同，我國個(gè)人信息的絕對私權(quán)化既不現(xiàn)實(shí)且不必要，應(yīng)通過保護(hù)個(gè)人信息這一“工具性法益”，實(shí)現(xiàn)《民法總則》第111條中的“信息安全”價(jià)值[55]。還有學(xué)者認(rèn)為應(yīng)當(dāng)更多采取公法風(fēng)險(xiǎn)規(guī)制與消費(fèi)者保護(hù)的框架，而不是尋求一種具有確定性邊界的隱私權(quán)或個(gè)人信息權(quán)。應(yīng)結(jié)合特定的語境與社群來判斷個(gè)人信息流通的合理性[56]。針對個(gè)人信息的公共性與社會性，有學(xué)者提出了個(gè)人信息“社會控制論”[57]，認(rèn)為個(gè)人信息權(quán)不再只作為一種絕對的財(cái)產(chǎn)權(quán)或人格權(quán)而出現(xiàn)。

基于模式轉(zhuǎn)換的思路，新時(shí)期的個(gè)人信息保護(hù)模式應(yīng)重視信息的合理使用和流通，而不是試圖讓信息主體在提供更少個(gè)人信息的前提下獲取更多的服務(wù)。在利益相對平衡的狀態(tài)下，信息提供者和使用者應(yīng)是合作共贏的狀態(tài)。以圖書館讀者個(gè)人信息保護(hù)為例，由于通過技術(shù)手段勾勒讀者畫像并為其提供個(gè)性化服務(wù)和增值服務(wù)已成為未來智慧圖書館建設(shè)的重點(diǎn)[58]，讀者提供其個(gè)人信息是圖書館服務(wù)優(yōu)化的前提。大數(shù)據(jù)時(shí)代的圖書館服務(wù)中，讀者個(gè)人信息不僅僅是傳統(tǒng)圖書館概念下登記的個(gè)人情況與借閱信息，更多的是讀者在利用圖書館資源與服務(wù)過程中產(chǎn)生的實(shí)時(shí)信息。這意味著除了年齡段、專業(yè)、性別等相對靜態(tài)的個(gè)人信息外，借閱興趣、數(shù)量、使用圖書館服務(wù)的類別和頻率等動(dòng)態(tài)軌跡也具有不可忽視的價(jià)值。圖書館數(shù)據(jù)產(chǎn)品化與圖書館服務(wù)整合都離不開對上述信息的利用。因此，圖書館應(yīng)貫徹個(gè)人信息使用的動(dòng)態(tài)評估，將個(gè)人信息保護(hù)場景化、前置化。在符合法律要求的基礎(chǔ)上，針對圖書館讀者信息應(yīng)用場景的特點(diǎn)，在文本形式、顯示位置、內(nèi)容可讀性、文本規(guī)范性、體系化等方面完善圖書館讀者隱私政策[59]。除了維護(hù)讀者個(gè)人信息相關(guān)權(quán)益外，圖書館應(yīng)將讀者個(gè)人信息的收集、提供與利用等情況以及個(gè)人信息安全評估結(jié)果向讀者公開，這不僅符合個(gè)人信息保護(hù)中的公開原則，也是使圖書館避免不必要的矛盾和糾紛的方式之一[60]。在內(nèi)部管理方面，應(yīng)符合圖書館界行業(yè)組織的各種協(xié)定和要求，落實(shí)各崗位館員的責(zé)任，施行追責(zé)制度，避免內(nèi)部人員非法獲取或傳播個(gè)人信息[61]。從技術(shù)和制度的角度促進(jìn)個(gè)人信息利用風(fēng)險(xiǎn)綜合治理體系的形成，保障個(gè)人信息安全的同時(shí)，為讀者提供更加人性化、智能化、信息化的服務(wù)[58]。

個(gè)人信息需要?jiǎng)討B(tài)風(fēng)險(xiǎn)規(guī)制和綜合性的保護(hù)[62]。越來越多的研究支持將風(fēng)險(xiǎn)管理理念貫穿于個(gè)人信息保護(hù)的立法與執(zhí)行之中，構(gòu)建激勵(lì)相容的個(gè)人信息治理模式[63]。有學(xué)者從情報(bào)學(xué)、傳播學(xué)的角度拓展個(gè)人信息風(fēng)險(xiǎn)防控的思路。情報(bào)學(xué)領(lǐng)域?qū)W者將用戶個(gè)人隱私威脅的表現(xiàn)和個(gè)人信息泄露的影響評估作為研究重點(diǎn)，從政府和企業(yè)的風(fēng)險(xiǎn)評估角度加強(qiáng)個(gè)人信息保護(hù)力度[64]。情報(bào)與反情報(bào)的工作旨在踐行總體國家安全觀，維護(hù)包括個(gè)人安全在內(nèi)的社會整體安全，因此公眾的個(gè)人信息應(yīng)得到最基本的尊重[65]。《國家情報(bào)法》第19條規(guī)定，國家情報(bào)工作機(jī)構(gòu)及其工作人員不得泄露個(gè)人信息。因此，情報(bào)學(xué)領(lǐng)域從更宏觀的角度，將個(gè)人信息保護(hù)納入信息安全的框架。而傳播學(xué)領(lǐng)域的學(xué)者們以不同情境下的個(gè)人信息保護(hù)體系構(gòu)建為研究重點(diǎn)，兼顧法律與道德倫理，具體包括在線社交場景、商業(yè)開發(fā)場景、網(wǎng)絡(luò)搜索場景等[64]。

綜上所述，個(gè)人信息綜合治理模式與傳統(tǒng)保護(hù)模式至少存在理念、框架和路徑方面的區(qū)別：在保護(hù)理念上，傳統(tǒng)保護(hù)模式強(qiáng)調(diào)在概念和事實(shí)上區(qū)分個(gè)人信息權(quán)利與既有權(quán)利，期待用特定權(quán)利的實(shí)現(xiàn)達(dá)到個(gè)人信息保護(hù)目的。而綜合治理模式從單向保護(hù)到多元平衡，兼顧個(gè)人信息的社會屬性，堅(jiān)持靜態(tài)與動(dòng)態(tài)保護(hù)相結(jié)合，針對個(gè)人信息利用的風(fēng)險(xiǎn)程度進(jìn)行規(guī)制和管理。在保護(hù)框架上，個(gè)人信息綜合治理模式遵循風(fēng)險(xiǎn)治理的架構(gòu)，重視事前和事中的風(fēng)險(xiǎn)識別和化解，而不是事后的侵權(quán)救濟(jì)或行政處罰。在具體路徑上，綜合治理模式更關(guān)注法律與技術(shù)的結(jié)合，使個(gè)人信息風(fēng)險(xiǎn)評估維度更加精細(xì)化，力求建立信息主體與信息利用者的信賴和激勵(lì)關(guān)系。因此，大數(shù)據(jù)背景下的個(gè)人信息保護(hù)模式應(yīng)是以場景分類[66]和精細(xì)化風(fēng)險(xiǎn)評估為基礎(chǔ)[67]，不同層次規(guī)范相結(jié)合、多元主體相協(xié)調(diào)的信息治理體系。

4 基于模式轉(zhuǎn)換的研究展望

4.1 現(xiàn)有研究小結(jié)

在早期的研究成果中，大多數(shù)研究專注于隱私保護(hù)和個(gè)人信息確權(quán)的探討，重點(diǎn)強(qiáng)調(diào)個(gè)人對信息采集、處理和利用的控制，多數(shù)學(xué)者將這種權(quán)益視為人格權(quán)。隨著數(shù)據(jù)競爭和數(shù)據(jù)糾紛不斷發(fā)生，個(gè)人信息所承載的財(cái)產(chǎn)利益逐漸被重視，自然人對其個(gè)人信息也不止于人格利益上的訴求，逐漸延伸至財(cái)產(chǎn)利益。于是有學(xué)者開始從財(cái)產(chǎn)權(quán)角度探索個(gè)人信息保護(hù)路徑，并主張將財(cái)產(chǎn)權(quán)路徑體現(xiàn)在立法中。但無論是人格權(quán)還是財(cái)產(chǎn)權(quán)，都強(qiáng)調(diào)個(gè)人對信息的控制，并且在執(zhí)行保護(hù)措施的過程中，仍屬于單一化的利益確認(rèn)，缺乏系統(tǒng)性和可操作性，無法回應(yīng)實(shí)踐的創(chuàng)新及多元利益平衡的需求。在研究方法上，由于我國早期的個(gè)人信息保護(hù)規(guī)則相對簡單，因此，研究成果中大多借鑒歐美和國際組織的信息保護(hù)立法經(jīng)驗(yàn)，從而提出解決方案和立法建議。

4.2 研究展望

已有相當(dāng)數(shù)量的研究成果為大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的立法和實(shí)踐奠定了基礎(chǔ)，為今后的法律修訂或續(xù)造提供了思路。傳統(tǒng)個(gè)人信息法律保護(hù)模式出現(xiàn)了理論和實(shí)踐上的困境，更多學(xué)者意識到：確立防控個(gè)人信息風(fēng)險(xiǎn)的行為規(guī)范比確立個(gè)人信息控制權(quán)更具有現(xiàn)實(shí)意義。我國在立法過程中應(yīng)立足實(shí)際，吸納國際上的有益經(jīng)驗(yàn)，在立法中堅(jiān)持義務(wù)主體多元、法律規(guī)范綜合、保護(hù)路徑多樣的思路。

個(gè)人信息保護(hù)的研究重點(diǎn)應(yīng)聚焦于責(zé)任分配、動(dòng)態(tài)利益平衡和風(fēng)險(xiǎn)規(guī)制的具體方案。綜合治理模式的構(gòu)建不能忽視個(gè)人信息保護(hù)規(guī)則在民事、行政、刑事法律之間的銜接問題，亦不能避免責(zé)任分配的爭論。此外，個(gè)人信息保護(hù)本身就是一個(gè)跨學(xué)科的學(xué)術(shù)議題。個(gè)人信息風(fēng)險(xiǎn)綜合治理的實(shí)現(xiàn)以更科學(xué)的風(fēng)險(xiǎn)評估為基礎(chǔ)。匿名化技術(shù)標(biāo)準(zhǔn)的形成需要研究信息的產(chǎn)生、獲取、傳輸以及信息識別的方式；風(fēng)險(xiǎn)場景的確定需要結(jié)合數(shù)字經(jīng)濟(jì)發(fā)展的趨勢和數(shù)據(jù)交易商業(yè)模式的演變；數(shù)據(jù)安全環(huán)境的構(gòu)建需要互聯(lián)網(wǎng)整體發(fā)展的優(yōu)化路徑和個(gè)體生活習(xí)慣的探討。企業(yè)個(gè)人信息保護(hù)合規(guī)標(biāo)準(zhǔn)需要研究企業(yè)內(nèi)控體系的完善和管理效率的提升。單純依賴法律學(xué)科無法完成個(gè)人信息利用風(fēng)險(xiǎn)的多維度評估，也無法量化風(fēng)險(xiǎn)要素的權(quán)重設(shè)置。因此，探討個(gè)人信息法律保護(hù)模式的轉(zhuǎn)換與創(chuàng)新，還應(yīng)吸納情報(bào)學(xué)、經(jīng)濟(jì)學(xué)、社會學(xué)、管理學(xué)等多學(xué)科的研究成果。綜合借鑒不同學(xué)科的研究對象和研究方法，重新審視個(gè)人信息保護(hù)制度或?qū)⒊蔀閭€(gè)人信息法律保護(hù)模式研究的新視角。