大數據時代個人信息保護的困境與出路

時明濤

摘要：大數據時代個人信息保護立法面臨理論與現實雙重困境。理論方面主要源自于概念界定模糊，術語使用混亂，對信息技術的誤解以及信息權利化本身的難題，現實方面主要來自于信息的特點、信息的多元價值以及信息處理技術的進步。當前我國個人信息保護的分歧主要集中在個人信息的法律屬性與保護模式的選擇之上。對此，應當明確大數據時代個人信息保護的價值基礎在于保護個人信息之上所承載的人格利益，現階段任何單一路徑都無法為個人信息提供完整的法律保護，故應當建立多個部門法相互銜接與配合的綜合治理體系。未來我國個人信息保護的研究重點在于明確信息主體的權利空間和提升知情同意原則的有效性。

關鍵詞：個人信息；個人信息權；隱私權；知情同意；數據權

中圖分類號：D 923文獻標識碼：A文章編號：1003-9945（2020）05-0066-09

引言

大數據具有數據規模大（Volume）、種類多（Vari？ ety）、處理速度快（Velocity）、價值密度低（Value）的四大基本特點。在前信息時代，數據難以聚合，單個信息的財產價值有限，其保護手段也主要限于簡單的占有者義務。但在大數據時代，數據處理技術取得了突破性進展，信息有了聚沙成塔的效應，對個人信息的收集、分析和處理可以獲得巨大的經濟價值，但與此同時，侵犯個人信息的現象也開始屢見不鮮。如何在個人信息的保護與利用之間取得適當平衡，成為難以繞開的時代命題。本文第一部分首先分析大數據時代個人信息保護的困境與成因，第二部分圍繞我國個人信息保護中的主要問題及癥結之所在展開論述，最后有針對性地探討我國個人信息保護的未來立法方向與展望。

一、個人信息保護的理論與現實困境

（一）理論困境

1.信息、隱私、數據的區分困境

概念明晰是展開有效研究的前提條件?，F階段有關信息、隱私和數據的區分困境，很大程度上源自于概念界定的模糊、術語使用的混亂以及對信息技術本身的誤解。比如，有學者認為“數據是一個宏觀的概念，是我們所掌握的一切消息、事實、記錄等；信息是對數據的篩選，是有序化排列后保留下來的數據，本質上仍是數據”[1]。這種看法誤解了信息與數據的關系。本質而言，數據是信息的表達方式，特別是在網絡時代，信息主要以數據的方式加以存儲和應用，信息數據化的主要目的是為了表達人類社會的信息，二者是手段與目的的關系。另一方面，信息的范圍又要明顯大于數據。數據是以二進制代碼所表現出來的信息內容，在網絡世界里，信息主要表現為數據，但信息還可以通過其他方式加以表達，比如口頭傳播、紙質媒體等。因此，信息與數據雖然存在不同程度的重合，但信息的范圍又要明顯大于數據。由此也不難理解，個人信息的涵蓋范圍要比個人數據更廣，個人數據只是以數據形式表達的個人信息內容。

我國立法不但采納了個人信息的概念，《網絡安全法》第76條還首次明確了“個人信息”的定義，即“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！痹摋l以“概括定義+列舉”的方式大致框定了我國個人信息的涵蓋范圍，即“能夠單獨或者與其他信息結合而識別自然人身份的各種信息?！惫P者認為，相比個人數據而言，個人信息的提法更為準確，也更具有規范意義。這是因為，數據僅存于網絡空間，是以比特形式所表達出來的信息內容，但個人信息保護顯然不能局限于網絡世界，無論以何種形式侵犯個人信息的行為均應受到法律規制。因此，在立法明確采納個人信息概念的前提下，不宜再混用個人數據與個人信息的概念。在我國現行法的語境下，個人數據應當特指以數據形式所表達的個人信息。

尤其值得強調的是：（1）符合法律要求的個人信息與數據之間并不存在混同的可能。這是因為，依據個人信息保護的要求，在經過去識別化處理之后的信息已不再具有關聯自然人人格的屬性，可以成為數據權利的客體。因此，認為“數據具有人格和財產雙重屬性”的觀點[2]，實則混淆了個人信息和數據之間的差別。受法律調整的數據實際上是經過數據主體對個人信息整理、加工、脫敏處理之后的信息，而成為數據之后的信息已經顯然不再具有自然人的人格屬性[3]。此外，數據之中還包含有大量與自然人無關的內容，也不屬于個人信息的保護范圍。（2）盡管個人信息之中可能包含有隱私內容，但經過去識別化處理之后的個人信息已不再具有隱私特性，二者之間不具有重合的可能。這是因為，依據個人信息保護的相關要求，作為個人隱私的個人敏感信息一律不得收集，而屬于非敏感信息的個人隱私一般在去識別化的過程中就已經被置換或者刪除。剩余的非敏感信息要么不屬于隱私的范疇，要么因為去識別化的過程而不再具有隱私風險。因此，在規范的個人信息保護過程中，個人隱私并無被侵害的風險，也不存在與數據混同的可能性。大數據視角下隱私權的保護核心其實是個人信息利益[4]，即隱私信息不能成為數據的合法性來源。

2.個人信息權利化困境

個人信息究竟是法定權益還是權利？是否真的具有權利化的基本特征？又如何成為一項具體的權利加以保護？對這一問題的不同回答將決定個人信息的不同保護路徑。首先，個人信息權利化的困境來自于法律規定的模糊性。當前我國尚未制定統一的個人信息保護法，在有關個人信息保護的各類規范性文件中也均未明確個人信息的法律性質。如《決定》中只提及網絡服務提供者應當保護公民的“個人電子信息”；《網絡安全法》中僅規定了“個人信息”的概念及侵犯個人信息的法律后果；《民法典》第111條也只是簡單地規定“自然人的個人信息受法律保護”。上述“個人信息”究竟是法定權益還是公民權？抑或是自然人的人格權？一時間聚訟紛紜，難以定論。其次，個人信息權利化的困境來自于個人信息本身的特點。作為民事法律關系的客體，個人信息突破了傳統民事客體有體性、確定性和獨占性的特點。信息天生需要依附于載體，其價值在其內容而非形式；信息屬于無體型物且難以獨占，天生具有流動性；信息具有多重價值，在其之上存有多重利益訴求等等，均為個人信息的權利化增加了難度。再次，信息權利化的困境還來自于獨占與共享之間的矛盾。傳統私權保護以獨占性為前提，自法經濟學的角度觀察，產權明晰有利于促進經濟的發展和私權的保護。但個人信息卻有所不同，其上除了記載有與自然人密切關聯的內容之外，信息還具有某種財產屬性，這使得對個人信息的賦權保護可能會阻礙其上財產價值的發揮。最后，個人信息之上存在多重利益訴求，阻礙了個人信息的權利化進程。個人信息之上不僅只有自然人和數據企業的私益訴求，還有公共管理、國家安全等公益屬性，這使得個人信息很難被理解為專屬于個人或者是由個人獨占的權利。利益訴求的多元化進一步阻礙了個人信息權利化的實現。

（二）現實困境

1.信息本身的特點

信息自身的特點是造成大數據時代個人信息保護困境的首要原因之一。第一，信息與傳統民事權利的客體有所不同。信息為無體形物且不能被實際占有，這給信息確權帶來困境。第二，信息的價值在于其所記載的內容，而非信息載體，這給信息的保護帶來了難題。第三，單個信息的交換價值十分微弱，但信息聚合可以產生強大的分析價值，因此對個人信息的賦權保護可能會阻礙信息的流通，從而影響到數據的整體價值。第四，信息的價值來自于內容而非載體，具有較大的流通性與不確定性。這使得信息可以同時被多個主體占有或控制而不具有排他性，給權利主體的確定以及信息侵權的認定帶來困難。

2.信息的多元價值性

大數據時代的個人信息至少存在如下價值：個人信息之上存有自然人的人格利益與財產價值；數據企業對于個人信息享有控制者權益；政府、學校、醫院等公共職能部門對于個人信息的收集具有現實需求。首先，大數據時代個人信息的多元價值使得立法與司法需要兼顧多方面的利益。例如，個人信息的保護需要兼顧信息主體與信息利用者之間的利益平衡，既要保護自然人對其個人信息的自主控制權，又要兼顧信息收集者和使用者的財產權益。其次，個人信息之中所蘊含的商業價值和公共管理價值使得個人信息的利用與保護之間明顯失去平衡。信息控制者不但可以利用技術手段深入挖掘個人信息中潛藏的商業價值，使其服務于企業的經營、管理和決策，還可以將其直接打包出售以實現數據中的財產價值[5]。在整個信息處理過程中，信息主體始終處于被動的境地，甚至對于自己的信息如何被收集、處理以及使用的都全然不知。正如學者所言，個人信息就像“比特?！敝衅鞯囊凰倚〈?，而數據交易則猶如赤壁之戰中的汪洋艦隊[6]，二者之間的力量懸殊可見一斑。另一方面，個人信息的公共管理價值使得政府機關等公共管理部門具有收集、使用、控制個人信息的強大動力，而以損害賠償為主要救濟手段的傳統私權根本難以與之抗衡，如何平衡二者之間的關系成為新時代的理論難題[7]。

3.信息處理技術進步

前信息時代，個人信息大多保存于檔案館和特定的行政機構之中，這使得個人信息不但利用率較低，而且相對于保管者而言其他人也難以利用。隨著信息處理技術的進步，傳統以紙質文本流傳的信息可以通過非常低廉的成本變成數據加以存儲和運用，這就為信息的使用、共享和流通創造了有利條件。隨著互聯網和智能產品的普及，大量的用戶個人信息通過網絡以數據的方式形成、流通和傳輸，這使得數據的收集、共享和利用都變得十分便利。正如學者所言：“如果對個人信息的使用不加以限制，那么在互聯網時代侵犯個人隱私的行為將是不可避免的，因為信息的收集者往往會以用戶難以預料的用途處理其個人信息”[8]。而大數據時代信息處理技術的發展進一步加劇了個人信息保護的難度。一是信息處理進步使得個人信息的保護范圍不斷擴大。根據可識別性的要求，個人信息是指能夠直接或間接識別出特定自然人的信息，但隨著信息處理技術的進步，可間接識別個人的信息范圍越來越廣，并且仍然處于不斷變動之中，這就導致個人信息所需要的保護范圍越來越廣。二是信息處理技術的進步使得原有的個人信息保護手段捉襟見肘?！案嬷狻焙汀澳涿币恢北徽J為是應對個人信息侵權的有效手段，但在大數據時代“告知—同意”規則普遍陷入僵化，而“完美的匿名化也始終是一個神話”[9]。如何在保護與利用之間取得平衡，始終是大數據時代個人信息保護的難點所在。

二、我國當前個人信息保護面臨的主要問題

（一）屬性之分歧

個人信息權利屬性之爭由來已久，基于對其屬性的不同認識，學者們往往傾向于不同的制度選擇。當前較具代表性的學說主要有基本人權說、公共物品說、隱私權說、一般人格權說、新型人格權說和新型民事權利說。有學者基于個人信息保護的需要、人權與基本權利的關系以及個人信息普遍受侵害的事實，認為個人信息屬于一項新興的基本人權，即“不論個人信息由何人收集，其本質上還是有關信息主體的信息記錄，是公民個人的基本權利”[10]。也有學者從具體權利出發證成個人信息的憲法屬性，認為“信息自決權”是我國憲法未列明的基本權利，即《憲法》第38條“公民的人格尊嚴不受侵犯”擁有足夠的解釋空間可以容納信息自決權的存在[11]。還有學者從立法目的出發，認為個人信息保護主要是為了促進共同利益而非私人利益，為此應將個人信息視為公共物品看待，弱化自然人對信息的占有，允許各方對信息的收集、分析和使用[12]。還有學者認為，大數據時代的個人信息仍然應當歸入隱私的范疇，以便于基于場景理論的隱私判斷模式為個人信息保護提供適當的基礎[13]。有學者從個人信息的保護對象與權利內容出發，認為個人信息主要以人格利益為保護對象和權利內容，屬于具有人格權本質特征的新型的人格權[14]。也有不同觀點指出，個人信息既非公法權利也非私法中的人格權或者財產權，更非知識產權，而是互聯網時代所出現一種新型的民事權利[15]。

上述學說之中，“人權說”或“憲法權利說”無法為個人信息保護提供具體的指引?！叭藱嗾f”雖為早期歐洲法院保護個人信息時所創，但在我國并無相應地司法實踐基礎，而且我國也無類似于歐洲“人權憲章”之類的法律文件?！皯椃嗬f”認為個人信息屬于我國憲法未明確列舉的基本權利，一方面難以獲得實證法層面的支持，另一方面個人信息保護也不應限制為“公民權”，任何自然人的信息（不論是否為本國公民）都有受到保護與尊重的權利。

不過，個人信息究竟屬于私益（人格權說或隱私權）還是公共物品則關系到個人信息的制度設計，應予重視。從共同點來看，私益說與公共物品說均以“利益說”作為個人信息法律屬性的判斷工具?！袄嬲f”主要以法律所保護的是公共利益還是私人利益作為界定法律關系客體性質的主要依據。早在羅馬法時代，烏爾比安就曾提出過利益說的判斷方法，“公法是有關羅馬國家的法律，私法則涉及個人利益?！钡珜嶋H上，利益說也存在著難以克服的缺陷，即公共利益與私人利益往往是難以分離的，一項權利之上不可能僅有公共利益或者私人利益，而通常是公私利益混合的產物。例如，所有權被認為是私人利益的典型，但所有權之上也存在公共利益屬性，即個人所有權之行使不得妨礙社會秩序與公共安全。個人信息也具有類似的特點，其上不僅承載有信息主體的私人利益，信息的公共管理價值和流通價值至少表明個人信息之上也同時具有某種公共利益的屬性。因此，從利益說出發難免會陷入非此即彼的尷尬境地。

筆者認為，應以權利主體的性質作為個人信息屬性的判斷標準。根據“主體說”，如果某項法律關系中至少一方當事人是以公權主體的性質參加這項法律關系的，那么該項法律關系就屬于公法的范圍，不符合這一條件的所有法律關系都屬于私法的范疇。主體說的優點在于可最大程度地避免爭議。法律關系的主體總是唯一的，不可能出現既是公法主體又是私法主體的現象。但主體說也有不可忽視的問題，即法律主體有時會參加多個法律關系，因此難免受到不同法律規范的調整，比如消費者就需要同時參加公法與私法中的多重法律關系，因而消費者保護法救濟屬于公法還是私法一直備受爭議。如果輔之以行為標準，則可以更好地解決這個問題。按照梅迪庫斯的說法，公法是受約束決定的法，而私法是自由決定的法[16]。毫無疑問，個人信息是從屬于自然人主體的信息，從主體說出發個人信息具有私法屬性無疑。從行為論的角度觀察，自然人對個人信息擁有廣泛的決定權，而個人信息主要是自主決定自己信息的權利，因此，個人信息當然屬于私法意義上的權利。

至于個人信息在性質上究竟是財產性權利還是人格性權利，則要從其主要權益內容著手加以分析。首先，個人信息具有人格屬性這一點毋庸置疑。人格是指人之所以為人所表現出來的本質特征，比如身體權、健康權等與自然人人身密切相關的權利。除此之外，還存在所謂“精神性人格權”，即人的名譽、榮譽、隱私等有關精神利益的人格權。從信息主體對個人信息所享有的權利內容來看，一旦個人信息遭受泄露或者篡改，信息主體所遭受精神性的痛苦將難以避免，如隱私泄露、騷擾電話、推銷短信等，因此個人信息應屬精神性人格權的范疇。其次，個人信息的財產屬性多為商業需求的產物并非個人信息的本質屬性。當前有關個人信息究竟是財產權還是人格權的重要分歧點在于，不少學者都認為個人信息之上還有財產屬性，這其實是一種誤解。個人信息最多只能表現為一定的商業利用價值，如定向推送廣告、消費行為分析等，而難以體現出直接的經濟價值。具有財產屬性的實際上是個人信息利用過程中所產生的數據，但這些數據又因其脫離了人格屬性，僅具有財產價值，而不具有人格因素，可以成為財產權的對象，而不能成為人格權的客體[17]。最后，從個人信息的立法意旨來看，既要實現對信息主體人格利益與財產利益的保護，又要規范個人信息的合理利用行為，顯然并非當前任何一種傳統人格權類型可以涵蓋[18]。綜上可知，個人信息應當屬于一種新型人格權。

（二）保護模式之分歧

當前我國學者就大數據時代個人信息保護必要性已經基本達成共識，但在具體保護路徑上的分歧依然較為明顯。概括而言，主要有公法保護為主說、私法保護為主說、綜合保護說等三種主張。

采納公法保護為主說的學者認為，個人信息的私法保護模式一方面不利于信息的流通，給數據企業造成過重的負擔，不利于大數據產業的發展。另一方面大數據時代個人信息保護將面臨系統性的風險，自然人很難對信息收集、處理的風險作出準確的判斷，賦予信息主體以個人信息權往往流于形式?；谒椒ūＷo的不足，有學者認為個人信息的流通具有公共價值屬性，個人信息的保護目的應在于防范相關風險和促進個人信息的合理流通，對此應當建立公法保護為主的模式進行風險規制，同時在特定領域和特定情形中賦予個體以類似于消費者的權利加以保護[19]。還有學者認為，大數據時代個人對其信息的產生既沒有勞動也無法獨占，更無法以私權作為工具對其個人信息進行有效的控制，因此應將個人信息視為公共物品加以保護和規制，通過公權力的專門機構對個人信息的收集、使用、控制進行監管來達到促進個人信息的共享與使用之目的[20]。

主張個人信息保護以私法為主的學者一般從比較法的現狀與個人信息的私法特質為出發點加以論證。例如，有學者認為個人信息無論是從法理、比較法還是我國個人信息的立法構造都可以證明其人格權屬性，應當借鑒歐美場景理論下的風險管理模式，強化個人對其信息的控制，建立差異化的損害賠償模式[21]。還有學者認為，大數據時代個人信息的人格權保護或侵權法均有其不足之處，只有賦予信息主體以財產權的方式才能最大程度地有利于公平正義的實現、法律體系的內在統一和社會利益的最大化[22]?；趯﹄[私權保護模式與法益保護模式的批判，有學者指出應當采用賦權保護模式補強信息主體在大數據時代的弱勢地位，以平衡權利保護、信息流通和公共利益三者之間的關系[23]。

采納綜合保護路徑說的學者普遍認為，個人信息已經遠遠超出了公私法二分的傳統法律性質，應當采用綜合治理模式予以回應。比如，有學者認為個人信息的私權保護模式只能為個人信息保護提供前提與基礎，但真正有效的治理模式還應當建立在以行業模式為主導的多元并行的治理框架之上[24]。還有學者認為應當建立以公法為依托，私法為主干，社會法為補充的綜合保護模式，即通過公法確認個人信息安全的優先地位，通過個人信息權利化以保障個人信息的安全[25]。

三、現狀分析與未來展望

（一）個人信息保護的立法目的與價值取向尚未厘清

當前我國大多數學者認為個人信息保護立法確有整合之必要，但對于個人信息保護的立法目的與基本價值取向仍缺乏必要的基礎性共識。尤其是，我國個人信息的立法目的究竟是為了保護自然人的人格利益還是為了數據產業的發展抑或是政府公共管理職能的實現？三者之間關系如何？何者應居于優先地位？對這一問題的不同回答，將會導向不同的立法方向，成為學說分歧的根本原因所在。一般而言，認為個人信息保護主要是為了維護人格尊嚴的學者多數傾向于個人信息的人格權保護方式，而主張個人信息具有財產價值的學者則更加傾向于賦予信息主體以財產權的保護方式。此外，不少學者已經明確意識到個人信息上并非僅有私法屬性，還具有某種公共利益的屬性，因而主張將個人信息作為公共物品對待，以類似于保護消費者的方式加以保護。盡管信息社會是否就是合作社會，個人信息又如何成為公共物品仍有諸多值得商榷的余地。但可以肯定的是，大數據時代個人信息的保護與利用應當取得適當平衡，而這一平衡的基點應當建立在維護信息主體人格尊嚴的前提下，鼓勵信息的利用與自由流動。

其正當性基礎在于：第一，個人信息來自于自然人，是從屬于自然人的人格權利，由此決定了個人信息保護的立法基礎在于維護自然人的人身自由與人格尊嚴。大數據時代個人信息雖然也有具有一定的財產價值，但單個信息所蘊含的財產價值顯然是微乎其微的。當前我國尚未出現個人信息有償使用的法律實踐，數據價值二次挖掘的對象也僅限于數據而非個人信息。正如學者所言，“法律對個人信息加以保護，本質上是保護人格利益（人的尊嚴和自由），而自然人對其個人信息，無論單一的還是集合的，其直接經濟價值都是可以忽略不計的”[26]。另一方面作為個人信息的姓名、住址、身份號碼、電話號碼等個人身份信息并非數據的價值的真正來源，恰恰是對去身份信息之后數據的分析和處理才實現了數據的增值[27]。第二，個人信息雖然具有一定的公共管理價值，但并不能因此否認其私權屬性。所謂“個人信息的公共管理價值”，是指個人信息的收集、使用和分析對于社會管理、犯罪預防、重大公共事件的預警具有一定的價值，但盡管如此，個人信息仍然是從屬于自然人的信息，仍然負載有自然人的人格利益。第三，個人信息的公法限制來自于法律的明確規定，商業利用則需要來自于信息主體的授權，二者之間并不矛盾。一般而言，行政機關的個人信息收集具有普遍性、公益性和強制性的特點，其目標在于提高行政效率、改善社會管理、保障公共安全等公益目的，其收集個人信息的合法性來自于法律的明確授權，具有特定的目的性、收集的合法性、范圍的明確性等特點。而個人信息的商業收集具有明顯的商業性、營利性和風險性的特點，其主要目的是為了解消費者的消費行為和消費需求，以便定向推送廣告、有針對性地制定營銷策略、尋找潛在的商業機會等，個人信息商業利用的合法性來源在于信息主體的明確授權，需要受到信息主體個人信息權利的制約。

（二）單一路徑無法為個人信息提供完善的保護

當前，對于個人信息的保護不論是公法保護路徑說還是私法保護路徑說，都無法滿足大數據時代個人信息的保護的復雜要求，其原因在于大數據時代個人信息利益訴求的多元性、信息技術的復雜性，以及個人信息本身所蘊含的巨大價值。

第一，大數據時代個人信息并非僅存于私人利益或者公共利益，而毋寧是對整個社會管理、經濟發展、犯罪預防、國家安全都具有重要意義。大數據存在的多元利益格局決定了其保護方式也應當是多元的。第二，大數據時代信息主體、信息控制者、信息處理者之間的地位懸殊，導致單一路徑無法起到良好的規制效果。大數據背景下，個人與數據控制者之間客觀地存在著技術能力與經濟地位的顯著差異，大數據殺熟、算法黑箱等技術手段進一步加劇了這種不平衡地位。典型地，如個人信息的去識別化是個人信息成為數據的前提，但如果不禁止數據的再識別則很難防止大規模侵權行為的發生，此時違反禁止性規定不應止于民事損害賠償，嚴重者還應當給予行政處罰甚至是追究其刑事責任，唯有如此才能保障數據產業的健康發展。第三，大數據時代公權力部門也是個人信息的積極控制者，如何防止公權力機關以社會管理為由侵害公民的個人信息權益，是大數據時代個人信息保護必須認真面對的課題。從分工上來說，個人信息之上的人格屬性和財產價值屬于民事法律保護的對象，但對于依法收集、保管、使用這些信息的國家機關或者社會組織而言，對于個人信息的共享與治理則顯然屬于公法的規制領域[28]。第四，信息技術的特點決定了單一路徑無法為個人信息提供有效的保護。對此，筆者認為無論是否制定統一的個人信息保護法，對于個人信息的保護都應當建立公私法協同并進的綜合治理模式。在這一治理模式之中，應當充分發揮各部門法的功能，以實現內部統一、體系協調的保護機制。

（三）個人信息賦權保護應是未來研究的重點

探討個人信息的法律保護應當以我國當前的法律文化與現實基礎為出發點，就此而言，對于個人信息保護的未來研究重點應在于賦權保護模式。其理由主要在于：其一，隱私權概念下的個人信息保護與我國的法律傳統難以契合，將會造成法律適用中的諸多困擾。首先，以美國為代表的隱私權保護模式有其獨特的歷史背景與文化內涵。從歷史的維度觀察，美國的隱私權大致經歷了不被打擾的權利、有限接近自我權、私生活秘密權、私密關系權到信息控制權的發展軌跡，并且目前仍處于發展與變動之中，這與其獨特的隱私文化和司法體制有關[29]。而我國素有大陸法系傳統，理論與司法實務之中又普遍將隱私權理解為個人生活安寧權和私生活秘密權，與美國模式有較大差異，不具備借鑒的前提條件。其次，隱私權保護模式無法解決信息的控制與利用的問題。如前所述，我國法律傳統中的隱私權向來被理解為消極意義的獨處權或者私生活秘密權，而在信息時代迫切需要解決的是個人信息積極控制問題。例如，發布針對特定人的錯誤信息并不構成對隱私權的侵害但卻顯然侵害了個人信息權；再比如我們無法援引隱私權對已公開的信息加以保護，但對個人敏感信息的不當公開顯然可以成為個人信息權的保護客體[30]。尤其是在大規模的信息處理中，處理者往往占據技術和資源方面的優勢地位。當隱私權下的信息處理者沒有報告義務，信息主體也沒有查閱權之時，其將無法應對信息侵權中的舉證難題，只能淪為被動的受害者[31]。最后，隱私權內涵的模糊性也無法為個人信息的保護提供穩定的法律框架?；仡欕[私權的發展歷程不難發現，其始終是以核心概念為圓心，保護范圍為半徑，以向外畫圓的方式意圖明確隱私的涵蓋范圍。除去隱私內涵本身的不確定性之外，隱私的涵蓋范圍也始終處于變動之中，以致于沒有人能夠為隱私下一個確切的定義，也就沒有人能夠徹底明確隱私權的保護范圍。其二，從現行法律體系出發，賦權保護模式更具穩定性與現實可行性。賦權保護模式的優點在于為各方主體在個人信息利用的過程中明確具體的權利、義務與責任，這與我國一直以來堅持賦權保護的法律傳統相契合。無論是《民法通則》第120條、《民法總則》第110條所列舉民事權利，還是《侵權責任法》第2條所列舉的民事權益，我國向來對于權利保護采用權利法定的立法模式。司法實踐中的運行模式也體現了這一特點，即裁判者首先要考察該項權利保護訴求是否屬于法律所明文列舉的權利類型，如果不是，則需要在具體案件中通過利益衡量的方式解決該類法益是否值得保護的問題。利益衡量的主要缺點在于不穩定性，即立法者無法為個案中的利益衡量提供的具體的指導。由此不難理解，一方面賦權保護模式可以為法官裁判案件提供具體的指引，防止個案中的利益衡量走向同案異判的司法困境；另一方面賦權保護也可以為信息主體以及信息從業者提供具體的行為標準，最大限度地防止信息侵權的發生。其三，賦權保護不等于私權不受公法限制。私法自治是實現個人自由的理想狀態，但個人自由是否真正有利于社會公正卻始終值得懷疑[32]。個人信息賦權保護的重點在于明確個人對其個人信息所享有的權利空間，而絕非完全不受任何限制的排他性權利。這是因為個人信息之上還存有公共利益屬性，它決定了自然人對其個人信息享有的權利必將受到公法限制。比如，行政機關基于公共管理的需要有權收集自然人的個人信息，此種收集具有一定的強制性而不必經過嚴格的知情同意程序，但應當受到合目的性、必要性等公法限制。也正因為這種公益性質使得個人信息的公益使用應當區別于商業主體的個人信息利用行為，后者應當遵循更為嚴格的主體授權。其四，賦權保護模式在我國具有現實的立法基礎。盡管當前我國個人信息的立法體系還很不完善，但賦權保護模式已經初具規模，可以說，在相當程度上立法者對于賦權保護模式已經作出了選擇。比如我國《民法典》在其第五章“民事權利”之下分別規定隱私權和個人信息保護，說明立法者已經意識明確意識到個人信息與隱私權有所不同，未來司法實踐也將朝向明確區分二者的路徑上發展?！毒W絡安全法》不但采納了“可識別性”作為個人信息辨別的標準，而且將“同意”和“約定”作為個人信息處理的正當性依據，將“刪除”和“更正”作為信息主體的積極權能，與比較法上的“個人信息權”已經非常接近了。

（四）對知情同意不能機械地加以理解

作為個人信息處理的正當性基礎，知情同意受到了學者的普遍關注。從研究現狀來看，對知情同意的反思與改進成為當前研究中的兩條主線。一部分學者認為在大數據時代同意原則已經失去了正當性基礎，不應再成為個人信息合法使用的前提[33]。另一部分學者則主張對知情同意原則改進之后加以應用[34]?？傮w而言，既有研究在理解知情同意時不同程度地存在簡單化、概括化與機械化的偏差。首先，知情涉及告知方式問題，同意是否有效同樣取決于告知方式是否合理。告知幾乎是全球所有涉及個人信息法律規范的核心原則[35]，同意的有效性、選擇權的行使、信息處理的合法性均以之為基礎。強調知情同意的重要意義在于大數據時代涉及的個人數據分析往往會背離最初的收集目的，由此可能會引發對個人信息自主權的侵害。比如，商家為寄送貨物獲取的個人地址和聯系方式被用來進行第二次定向廣告的推送，這顯然超越了信息主體第一次授權使用的范圍。因此，同意不能理解為概括同意，而應當結合控制主體的告知方式以及同意的具體場景加以判斷。其次，同意不是普遍的，根據信息種類不同，信息使用的場景不同，同意的要求也不盡相同。個人信息分為一般個人信息與敏感個人信息，二者的區別在于與自然人人格的密切程度有所不同。很顯然，對個人敏感信息的侵害可能造成更為嚴重的后果，因此應當遵循更為嚴格的同意標準。個人信息的動態性和場景性決定了在不同情形下對個人信息的使用并非一成不變[36]。再次，同意存在例外規則。不少論者對知情同意的批判建立在信息保護與利用之間的關系平衡上，認為同意規則存在機械化的問題。但事實上，除去對同意的理解偏差之外，同意的例外規則為保護與利用之間的平衡預留了足夠空間。最后，同意原則之下應尊重主體的自主選擇?；诜杉议L主義情結，不少論者對于知情同意的批評已經不自覺地超越了客觀主義的法立場。事實上，當事人在諸多情形下的選擇均是基于一個正常的理性人對自身利益的權衡，并不能表明知情同意已經陷入形式主義。更何況，同意的有效性并非絕對，還存在事后審查的問題。值得強調的是，同意并非個人信息處理唯一的合法性依據，同意的有效性也絕非簡單的勾選動作所能決定。簡而言之，必須提升知情同意原則的有效性。

參考文獻：

[1]儲節旺、李安.新形勢下個人信息隱私保護研究[J].現代情報，2016（11）：21-26.

[2]王衛、張夢君、王晶.數據交易與數據保護的均衡問題研究[J].圖書館，2020（2）：75-79.

[3]彭誠信.數據利用的根本矛盾何以消除——基于隱私、信息與數據的法理厘清[J].探索與爭鳴，2020（2）：79-85.

[4]齊鵬飛.論大數據視角下的隱私權保護模式[J].華中科技大學學報（社會科學版），2019（2）：65-75.

[5]王玉林.大數據中個人信息開發利用法律問題研究[J].情報理論與實踐，2016（9）：19-24.

[6]相麗玲、楊蕙.個人數據保護與開發理念的演化與評價[J].情報理論與實踐，2017（11）：90-95.

[7]張衡.大數據監控社會中的隱私權保護研究[J].圖書與情報，2018（1）：71-80.

[8] [英]戴恩·羅蘭德、伊麗莎白·麥克唐納.信息技術法（第二版）[M].宋連斌等譯，武漢：武漢大學出版社，2004：300.

[9]張濤.歐盟個人數據匿名化的立法經驗與啟示，圖書館建設，2019（3）：58-64.

[10]龔子秋.公民“數據權”：一項新興的基本人權[J].江海學刊，2018（6）：157-161.

[11]姚岳絨.論信息自決權作為一項基本權利在我國的證成[J].政治與法律，2012（4）：72-83.

[12]劉迎霜.大數據時代個人信息保護再思考——以大數據產業發展之公共福利為視角[J].社會科學，2019（3）： 100-109.

[13]房紹坤、曹相見.個人信息人格利益的隱私本質[J]法制與社會發展，2019（4）：99-120.

[14]王利明.論個人信息在人格權法中的地位[J].蘇州大學學報，2012（6）：68-75.

[15]李偉民.“個人信息權”性質之辨與立法模式研究[J].上海師范大學學報（哲學社會科學），2018（3）：66-74.

[16] [德]卡爾·拉倫茨.德國民法通論[M].王曉曄等譯，北京：法律出版社，2003：6.

[17]姬蕾蕾.論個人信息利用中同意要件的規范重塑[J].圖書館，2018（12）：85-91.

[18]嚴鴻雁.論個人信息權益的民事權利性質與立法路徑——兼評《個人信息保護法》（專家建議稿）的不足[J].情報理論與實踐，2013（4）：43-46.

[19]丁曉東.個人信息私法保護的困境與出路[J].法學研究，2018（6）：194-206.

[20]吳偉光.大數據技術下個人數據信息私權保護論批判[J].政治與法律，2016（7）：116-132.

[21]姬蕾蕾.個人信息保護立法路徑比較研究[J].圖書館建設，2017（9）：19-25.

[22]劉德良.個人信息的財產權保護[J].法學研究，2007（3）：80-91.

[23]王成.個人信息民法保護模式的選擇[J].中國社會科學，2019（6）：124-146.

[24]劉曉春.大數據時代個人信息保護的行業標準主導模式[J].財經法學，2017（2）：11-21.

[25]程關松.個人信息保護的中國權利話語[J].法學家，2019（5）：17-29.

[26]張新寶.《民法總則》個人信息保護條文研究[J].中外法學，2019（1）：54-74.

[27]金耀.個人信息去身份的法理基礎與規范重塑[J].法學評論，2017（3）：120-130.

[28]田宏杰.竊取APP理個人信息的性質認定——兼及個人信息與個人隱私的界分[J].人民檢察，2018（7）：27-31.

[29]黃令章.重塑大數據時代下的隱私權法理——以隱私權概念為主要內容[J].月旦法學雜志，2018（12）：131-162.

[30]石佳友.網絡環境下的個人信息保護立法[J].蘇州大學學報，2012（6）：85-96.

[31]謝遠楊.信息論視角下個人信息的價值——兼對隱私權保護模式的檢討[J].清華法學，2015（3）：94-110.

[32] [德]迪特爾·梅迪庫斯.德國民法總論[M].邵建東譯，北京：法律出版社，2013：143.

[33]任龍龍.論同意不是個人信息處理的正當性基礎[J].政治與法律，2016（1）：126-134.

[34]徐麗枝.個人信息處理中同意原則的使用困境與出路[J].圖書情報知識，2017（1）：106-113.

[35] [美]詹姆斯·R.卡利瓦斯、[美]邁克爾·R.奧弗利.大數據商業應用風險規避與法律指南[M].陳婷譯，北京：人民郵電出版社， 2016：52.

[36]齊愛民、張哲.識別與再識別：個人信息的概念界定與立法選擇[J].重慶大學學報（社會科學版），2018（2）：119-131.

The Dilemma and Way Out of Personal Information Protection in the Era of Big Data

——Review and Reflection Based on the Current Research Situation

SHI Ming-tao（Guanghua Law School， Zhejiang University， Hangzhou 310008， China）

Abstract： In the era of big data， personal information protection is facing a double dilemma of theory and reality. In theory， it mainly comes from the fuzziness of concept definition， the confusion of terminology use， the misunderstanding of information technology and the difficulty of information right itself. The practical aspects mainly come from the char？ acteristics of information itself， the multiple value of information and the progress of information processing technology. From the perspective of research status， the differences of personal information protection mainly focus on the legal at？ tributes of personal information and the choice of protection mode. In this regard， it should be clear that the value basis of personal information protection in the era of big data lies in the personal interests carried on by personal informa？ tion； at this stage， no single path can provide complete protection for personal information. In the era of big data， per？ sonal information protection should be based on a comprehensive governance system in which multiple department laws connect and cooperate with each other. The future research of personal information protection in China should fo？ cus on clarifying the right space of personal information subject and enhancing the effectiveness of the principle of in？ formed consent.

Key words： personal information； personal information right； privacy right； informed consent； data right