时明涛

摘要：大数据时代个人信息保护立法面临理论与现实双重困境。理论方面主要源自于概念界定模糊，术语使用混乱，对信息技术的误解以及信息权利化本身的难题，现实方面主要来自于信息的特点、信息的多元价值以及信息处理技术的进步。当前我国个人信息保护的分歧主要集中在个人信息的法律属性与保護模式的选择之上。对此，应当明确大数据时代个人信息保护的价值基础在于保护个人信息之上所承载的人格利益，现阶段任何单一路径都无法为个人信息提供完整的法律保护，故应当建立多个部门法相互衔接与配合的综合治理体系。未来我国个人信息保护的研究重点在于明确信息主体的权利空间和提升知情同意原则的有效性。

关键词：个人信息；个人信息权；隐私权；知情同意；数据权

中图分类号：D 923文献标识码：A文章编号：1003-9945（2020）05-0066-09

引言

大数据具有数据规模大（Volume）、种类多（Vari？ ety）、处理速度快（Velocity）、价值密度低（Value）的四大基本特点。在前信息时代，数据难以聚合，单个信息的财产价值有限，其保护手段也主要限于简单的占有者义务。但在大数据时代，数据处理技术取得了突破性进展，信息有了聚沙成塔的效应，对个人信息的收集、分析和处理可以获得巨大的经济价值，但与此同时，侵犯个人信息的现象也开始屡见不鲜。如何在个人信息的保护与利用之间取得适当平衡，成为难以绕开的时代命题。本文第一部分首先分析大数据时代个人信息保护的困境与成因，第二部分围绕我国个人信息保护中的主要问题及症结之所在展开论述，最后有针对性地探讨我国个人信息保护的未来立法方向与展望。

一、个人信息保护的理论与现实困境

（一）理论困境

1.信息、隐私、数据的区分困境

概念明晰是展开有效研究的前提条件。现阶段有关信息、隐私和数据的区分困境，很大程度上源自于概念界定的模糊、术语使用的混乱以及对信息技术本身的误解。比如，有学者认为“数据是一个宏观的概念，是我们所掌握的一切消息、事实、记录等；信息是对数据的筛选，是有序化排列后保留下来的数据，本质上仍是数据”[1]。这种看法误解了信息与数据的关系。本质而言，数据是信息的表达方式，特别是在网络时代，信息主要以数据的方式加以存储和应用，信息数据化的主要目的是为了表达人类社会的信息，二者是手段与目的的关系。另一方面，信息的范围又要明显大于数据。数据是以二进制代码所表现出来的信息内容，在网络世界里，信息主要表现为数据，但信息还可以通过其他方式加以表达，比如口头传播、纸质媒体等。因此，信息与数据虽然存在不同程度的重合，但信息的范围又要明显大于数据。由此也不难理解，个人信息的涵盖范围要比个人数据更广，个人数据只是以数据形式表达的个人信息内容。

我国立法不但采纳了个人信息的概念，《网络安全法》第76条还首次明确了“个人信息”的定义，即“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”该条以“概括定义+列举”的方式大致框定了我国个人信息的涵盖范围，即“能够单独或者与其他信息结合而识别自然人身份的各种信息。”笔者认为，相比个人数据而言，个人信息的提法更为准确，也更具有规范意义。这是因为，数据仅存于网络空间，是以比特形式所表达出来的信息内容，但个人信息保护显然不能局限于网络世界，无论以何种形式侵犯个人信息的行为均应受到法律规制。因此，在立法明确采纳个人信息概念的前提下，不宜再混用个人数据与个人信息的概念。在我国现行法的语境下，个人数据应当特指以数据形式所表达的个人信息。

尤其值得强调的是：（1）符合法律要求的个人信息与数据之间并不存在混同的可能。这是因为，依据个人信息保护的要求，在经过去识别化处理之后的信息已不再具有关联自然人人格的属性，可以成为数据权利的客体。因此，认为“数据具有人格和财产双重属性”的观点[2]，实则混淆了个人信息和数据之间的差别。受法律调整的数据实际上是经过数据主体对个人信息整理、加工、脱敏处理之后的信息，而成为数据之后的信息已经显然不再具有自然人的人格属性[3]。此外，数据之中还包含有大量与自然人无关的内容，也不属于个人信息的保护范围。（2）尽管个人信息之中可能包含有隐私内容，但经过去识别化处理之后的个人信息已不再具有隐私特性，二者之间不具有重合的可能。这是因为，依据个人信息保护的相关要求，作为个人隐私的个人敏感信息一律不得收集，而属于非敏感信息的个人隐私一般在去识别化的过程中就已经被置换或者删除。剩余的非敏感信息要么不属于隐私的范畴，要么因为去识别化的过程而不再具有隐私风险。因此，在规范的个人信息保护过程中，个人隐私并无被侵害的风险，也不存在与数据混同的可能性。大数据视角下隐私权的保护核心其实是个人信息利益[4]，即隐私信息不能成为数据的合法性来源。

2.个人信息权利化困境

个人信息究竟是法定权益还是权利？是否真的具有权利化的基本特征？又如何成为一项具体的权利加以保护？对这一问题的不同回答将决定个人信息的不同保护路径。首先，个人信息权利化的困境来自于法律规定的模糊性。当前我国尚未制定统一的个人信息保护法，在有关个人信息保护的各类规范性文件中也均未明确个人信息的法律性质。如《决定》中只提及网络服务提供者应当保护公民的“个人电子信息”；《网络安全法》中仅规定了“个人信息”的概念及侵犯个人信息的法律后果；《民法典》第111条也只是简单地规定“自然人的个人信息受法律保护”。上述“个人信息”究竟是法定权益还是公民权？抑或是自然人的人格权？一时间聚讼纷纭，难以定论。其次，个人信息权利化的困境来自于个人信息本身的特点。作为民事法律关系的客体，个人信息突破了传统民事客体有体性、确定性和独占性的特点。信息天生需要依附于载体，其价值在其内容而非形式；信息属于无体型物且难以独占，天生具有流动性；信息具有多重价值，在其之上存有多重利益诉求等等，均为个人信息的权利化增加了难度。再次，信息权利化的困境还来自于独占与共享之间的矛盾。传统私权保护以独占性为前提，自法经济学的角度观察，产权明晰有利于促进经济的发展和私权的保护。但个人信息却有所不同，其上除了记载有与自然人密切关联的内容之外，信息还具有某种财产属性，这使得对个人信息的赋权保护可能会阻碍其上财产价值的发挥。最后，个人信息之上存在多重利益诉求，阻碍了个人信息的权利化进程。个人信息之上不仅只有自然人和数据企业的私益诉求，还有公共管理、国家安全等公益属性，这使得个人信息很难被理解为专属于个人或者是由个人独占的权利。利益诉求的多元化进一步阻碍了个人信息权利化的实现。

（二）现实困境

1.信息本身的特点

信息自身的特点是造成大数据时代个人信息保护困境的首要原因之一。第一，信息与传统民事权利的客体有所不同。信息为无体形物且不能被实际占有，这给信息确权带来困境。第二，信息的价值在于其所记载的内容，而非信息载体，这给信息的保护带来了难题。第三，单个信息的交换价值十分微弱，但信息聚合可以产生强大的分析价值，因此对个人信息的赋权保护可能会阻碍信息的流通，从而影响到数据的整体价值。第四，信息的价值来自于内容而非载体，具有较大的流通性与不确定性。这使得信息可以同时被多个主体占有或控制而不具有排他性，给权利主体的确定以及信息侵权的认定带来困难。

2.信息的多元价值性

大数据时代的个人信息至少存在如下价值：个人信息之上存有自然人的人格利益与财产价值；数据企业对于个人信息享有控制者权益；政府、学校、医院等公共职能部门对于个人信息的收集具有现实需求。首先，大数据时代个人信息的多元价值使得立法与司法需要兼顾多方面的利益。例如，个人信息的保护需要兼顾信息主体与信息利用者之间的利益平衡，既要保护自然人对其个人信息的自主控制权，又要兼顾信息收集者和使用者的财产权益。其次，个人信息之中所蕴含的商业价值和公共管理价值使得个人信息的利用与保护之间明显失去平衡。信息控制者不但可以利用技术手段深入挖掘个人信息中潜藏的商业价值，使其服务于企业的经营、管理和决策，还可以将其直接打包出售以实现数据中的财产价值[5]。在整个信息处理过程中，信息主体始终处于被动的境地，甚至对于自己的信息如何被收集、处理以及使用的都全然不知。正如学者所言，个人信息就像“比特海”中漂流的一艘小船，而数据交易则犹如赤壁之战中的汪洋舰队[6]，二者之间的力量悬殊可见一斑。另一方面，个人信息的公共管理价值使得政府机关等公共管理部门具有收集、使用、控制个人信息的强大动力，而以损害赔偿为主要救济手段的传统私权根本难以与之抗衡，如何平衡二者之间的关系成为新时代的理论难题[7]。

3.信息处理技术进步

前信息时代，个人信息大多保存于档案馆和特定的行政机构之中，这使得个人信息不但利用率较低，而且相对于保管者而言其他人也难以利用。随着信息处理技术的进步，传统以纸质文本流传的信息可以通过非常低廉的成本变成数据加以存储和运用，这就为信息的使用、共享和流通创造了有利条件。随着互联网和智能产品的普及，大量的用户个人信息通过网络以数据的方式形成、流通和传输，这使得数据的收集、共享和利用都变得十分便利。正如学者所言：“如果对个人信息的使用不加以限制，那么在互联网时代侵犯个人隐私的行为将是不可避免的，因为信息的收集者往往会以用户难以预料的用途处理其个人信息”[8]。而大数据时代信息处理技术的发展进一步加剧了个人信息保护的难度。一是信息处理进步使得个人信息的保护范围不断扩大。根据可识别性的要求，个人信息是指能够直接或间接识别出特定自然人的信息，但随着信息处理技术的进步，可间接识别个人的信息范围越来越广，并且仍然处于不断变动之中，这就导致个人信息所需要的保护范围越来越广。二是信息处理技术的进步使得原有的个人信息保护手段捉襟见肘。“告知—同意”和“匿名化”一直被认为是应对个人信息侵权的有效手段，但在大数据时代“告知—同意”规则普遍陷入僵化，而“完美的匿名化也始终是一个神话”[9]。如何在保护与利用之间取得平衡，始终是大数据时代个人信息保护的难点所在。

二、我国当前个人信息保护面临的主要问题

（一）属性之分歧

个人信息权利属性之争由来已久，基于对其属性的不同认识，学者们往往倾向于不同的制度选择。当前较具代表性的学说主要有基本人权说、公共物品说、隐私权说、一般人格权说、新型人格权说和新型民事权利说。有学者基于个人信息保护的需要、人权与基本权利的关系以及个人信息普遍受侵害的事实，认为个人信息属于一项新兴的基本人权，即“不论个人信息由何人收集，其本质上还是有关信息主体的信息记录，是公民个人的基本权利”[10]。也有学者从具体权利出发证成个人信息的宪法属性，认为“信息自决权”是我国宪法未列明的基本权利，即《宪法》第38条“公民的人格尊严不受侵犯”拥有足够的解释空间可以容纳信息自决权的存在[11]。还有学者从立法目的出发，认为个人信息保护主要是为了促进共同利益而非私人利益，为此应将个人信息视为公共物品看待，弱化自然人对信息的占有，允許各方对信息的收集、分析和使用[12]。还有学者认为，大数据时代的个人信息仍然应当归入隐私的范畴，以便于基于场景理论的隐私判断模式为个人信息保护提供适当的基础[13]。有学者从个人信息的保护对象与权利内容出发，认为个人信息主要以人格利益为保护对象和权利内容，属于具有人格权本质特征的新型的人格权[14]。也有不同观点指出，个人信息既非公法权利也非私法中的人格权或者财产权，更非知识产权，而是互联网时代所出现一种新型的民事权利[15]。

上述学说之中，“人权说”或“宪法权利说”无法为个人信息保护提供具体的指引。“人权说”虽为早期欧洲法院保护个人信息时所创，但在我国并无相应地司法实践基础，而且我国也无类似于欧洲“人权宪章”之类的法律文件。“宪法权利说”认为个人信息属于我国宪法未明确列举的基本权利，一方面难以获得实证法层面的支持，另一方面个人信息保护也不应限制为“公民权”，任何自然人的信息（不论是否为本国公民）都有受到保护与尊重的权利。

不过，个人信息究竟属于私益（人格权说或隐私权）还是公共物品则关系到个人信息的制度设计，应予重视。从共同点来看，私益说与公共物品说均以“利益说”作为个人信息法律属性的判断工具。“利益说”主要以法律所保护的是公共利益还是私人利益作为界定法律关系客体性质的主要依据。早在罗马法时代，乌尔比安就曾提出过利益说的判断方法，“公法是有关罗马国家的法律，私法则涉及个人利益。”但实际上，利益说也存在着难以克服的缺陷，即公共利益与私人利益往往是难以分离的，一项权利之上不可能仅有公共利益或者私人利益，而通常是公私利益混合的产物。例如，所有权被认为是私人利益的典型，但所有权之上也存在公共利益属性，即个人所有权之行使不得妨碍社会秩序与公共安全。个人信息也具有类似的特点，其上不仅承载有信息主体的私人利益，信息的公共管理价值和流通价值至少表明个人信息之上也同时具有某种公共利益的属性。因此，从利益说出发难免会陷入非此即彼的尴尬境地。

笔者认为，应以权利主体的性质作为个人信息属性的判断标准。根据“主体说”，如果某项法律关系中至少一方当事人是以公权主体的性质参加这项法律关系的，那么该项法律关系就属于公法的范围，不符合这一条件的所有法律关系都属于私法的范畴。主体说的优点在于可最大程度地避免争议。法律关系的主体总是唯一的，不可能出现既是公法主体又是私法主体的现象。但主体说也有不可忽视的问题，即法律主体有时会参加多个法律关系，因此难免受到不同法律规范的调整，比如消费者就需要同时参加公法与私法中的多重法律关系，因而消费者保护法救济属于公法还是私法一直备受争议。如果辅之以行为标准，则可以更好地解决这个问题。按照梅迪库斯的说法，公法是受约束决定的法，而私法是自由决定的法[16]。毫无疑问，个人信息是从属于自然人主体的信息，从主体说出发个人信息具有私法属性无疑。从行为论的角度观察，自然人对个人信息拥有广泛的决定权，而个人信息主要是自主决定自己信息的权利，因此，个人信息当然属于私法意义上的权利。

至于个人信息在性质上究竟是财产性权利还是人格性权利，则要从其主要权益内容着手加以分析。首先，个人信息具有人格属性这一点毋庸置疑。人格是指人之所以为人所表现出来的本质特征，比如身体权、健康权等与自然人人身密切相关的权利。除此之外，还存在所谓“精神性人格权”，即人的名誉、荣誉、隐私等有关精神利益的人格权。从信息主体对个人信息所享有的权利内容来看，一旦个人信息遭受泄露或者篡改，信息主体所遭受精神性的痛苦将难以避免，如隐私泄露、骚扰电话、推销短信等，因此个人信息应属精神性人格权的范畴。其次，个人信息的财产属性多为商业需求的产物并非个人信息的本质属性。当前有关个人信息究竟是财产权还是人格权的重要分歧点在于，不少学者都认为个人信息之上还有财产属性，这其实是一种误解。个人信息最多只能表现为一定的商业利用价值，如定向推送广告、消费行为分析等，而难以体现出直接的经济价值。具有财产属性的实际上是个人信息利用过程中所产生的数据，但这些数据又因其脱离了人格属性，仅具有财产价值，而不具有人格因素，可以成为财产权的对象，而不能成为人格权的客体[17]。最后，从个人信息的立法意旨来看，既要实现对信息主体人格利益与财产利益的保护，又要规范个人信息的合理利用行为，显然并非当前任何一种传统人格权类型可以涵盖[18]。综上可知，个人信息应当属于一种新型人格权。

（二）保护模式之分歧

当前我国学者就大数据时代个人信息保护必要性已经基本达成共识，但在具体保护路径上的分歧依然较为明显。概括而言，主要有公法保护为主说、私法保护为主说、综合保护说等三种主张。

采纳公法保护为主说的学者认为，个人信息的私法保护模式一方面不利于信息的流通，给数据企业造成过重的负担，不利于大数据产业的发展。另一方面大数据时代个人信息保护将面临系统性的风险，自然人很难对信息收集、处理的风险作出准确的判断，赋予信息主体以个人信息权往往流于形式。基于私法保护的不足，有学者认为个人信息的流通具有公共价值属性，个人信息的保护目的应在于防范相关风险和促进个人信息的合理流通，对此应当建立公法保护为主的模式进行风险规制，同时在特定领域和特定情形中赋予个体以类似于消费者的权利加以保护[19]。还有学者认为，大数据时代个人对其信息的产生既没有劳动也无法独占，更无法以私权作为工具对其个人信息进行有效的控制，因此应将个人信息视为公共物品加以保护和规制，通过公权力的专门机构对个人信息的收集、使用、控制进行监管来达到促进个人信息的共享与使用之目的[20]。

主张个人信息保护以私法为主的学者一般从比较法的现状与个人信息的私法特质为出发点加以论证。例如，有学者认为个人信息无论是从法理、比较法还是我国个人信息的立法构造都可以证明其人格权属性，应当借鉴欧美场景理论下的风险管理模式，强化个人对其信息的控制，建立差异化的损害赔偿模式[21]。还有学者认为，大数据时代个人信息的人格权保护或侵权法均有其不足之处，只有赋予信息主体以财产权的方式才能最大程度地有利于公平正义的实现、法律体系的内在统一和社会利益的最大化[22]。基于对隐私权保护模式与法益保护模式的批判，有学者指出应当采用赋权保护模式补强信息主体在大数据时代的弱势地位，以平衡权利保护、信息流通和公共利益三者之间的关系[23]。

采纳综合保护路径说的学者普遍认为，个人信息已经远远超出了公私法二分的传统法律性质，应当采用综合治理模式予以回应。比如，有学者认为个人信息的私权保护模式只能为个人信息保护提供前提与基础，但真正有效的治理模式还应当建立在以行业模式为主导的多元并行的治理框架之上[24]。还有学者认为应当建立以公法为依托，私法为主干，社会法为补充的综合保护模式，即通过公法确认个人信息安全的优先地位，通过个人信息权利化以保障个人信息的安全[25]。

三、现状分析与未来展望

（一）个人信息保护的立法目的与价值取向尚未厘清

当前我国大多数学者认为个人信息保护立法确有整合之必要，但对于个人信息保护的立法目的与基本价值取向仍缺乏必要的基础性共识。尤其是，我国个人信息的立法目的究竟是為了保护自然人的人格利益还是为了数据产业的发展抑或是政府公共管理职能的实现？三者之间关系如何？何者应居于优先地位？对这一问题的不同回答，将会导向不同的立法方向，成为学说分歧的根本原因所在。一般而言，认为个人信息保护主要是为了维护人格尊严的学者多数倾向于个人信息的人格权保护方式，而主张个人信息具有财产价值的学者则更加倾向于赋予信息主体以财产权的保护方式。此外，不少学者已经明确意识到个人信息上并非仅有私法属性，还具有某种公共利益的属性，因而主张将个人信息作为公共物品对待，以类似于保护消费者的方式加以保护。尽管信息社会是否就是合作社会，个人信息又如何成为公共物品仍有诸多值得商榷的余地。但可以肯定的是，大数据时代个人信息的保护与利用应当取得适当平衡，而这一平衡的基点应当建立在维护信息主体人格尊严的前提下，鼓励信息的利用与自由流动。

其正当性基础在于：第一，个人信息来自于自然人，是从属于自然人的人格权利，由此决定了个人信息保护的立法基础在于维护自然人的人身自由与人格尊严。大数据时代个人信息虽然也有具有一定的财产价值，但单个信息所蕴含的财产价值显然是微乎其微的。当前我国尚未出现个人信息有偿使用的法律实践，数据价值二次挖掘的对象也仅限于数据而非个人信息。正如学者所言，“法律对个人信息加以保护，本质上是保护人格利益（人的尊严和自由），而自然人对其个人信息，无论单一的还是集合的，其直接经济价值都是可以忽略不计的”[26]。另一方面作为个人信息的姓名、住址、身份号码、电话号码等个人身份信息并非数据的价值的真正来源，恰恰是对去身份信息之后数据的分析和处理才实现了数据的增值[27]。第二，个人信息虽然具有一定的公共管理价值，但并不能因此否认其私权属性。所谓“个人信息的公共管理价值”，是指个人信息的收集、使用和分析对于社会管理、犯罪预防、重大公共事件的预警具有一定的价值，但尽管如此，个人信息仍然是从属于自然人的信息，仍然負载有自然人的人格利益。第三，个人信息的公法限制来自于法律的明确规定，商业利用则需要来自于信息主体的授权，二者之间并不矛盾。一般而言，行政机关的个人信息收集具有普遍性、公益性和强制性的特点，其目标在于提高行政效率、改善社会管理、保障公共安全等公益目的，其收集个人信息的合法性来自于法律的明确授权，具有特定的目的性、收集的合法性、范围的明确性等特点。而个人信息的商业收集具有明显的商业性、营利性和风险性的特点，其主要目的是为了解消费者的消费行为和消费需求，以便定向推送广告、有针对性地制定营销策略、寻找潜在的商业机会等，个人信息商业利用的合法性来源在于信息主体的明确授权，需要受到信息主体个人信息权利的制约。

（二）单一路径无法为个人信息提供完善的保护

当前，对于个人信息的保护不论是公法保护路径说还是私法保护路径说，都无法满足大数据时代个人信息的保护的复杂要求，其原因在于大数据时代个人信息利益诉求的多元性、信息技术的复杂性，以及个人信息本身所蕴含的巨大价值。

第一，大数据时代个人信息并非仅存于私人利益或者公共利益，而毋宁是对整个社会管理、经济发展、犯罪预防、国家安全都具有重要意义。大数据存在的多元利益格局决定了其保护方式也应当是多元的。第二，大数据时代信息主体、信息控制者、信息处理者之间的地位悬殊，导致单一路径无法起到良好的规制效果。大数据背景下，个人与数据控制者之间客观地存在着技术能力与经济地位的显著差异，大数据杀熟、算法黑箱等技术手段进一步加剧了这种不平衡地位。典型地，如个人信息的去识别化是个人信息成为数据的前提，但如果不禁止数据的再识别则很难防止大规模侵权行为的发生，此时违反禁止性规定不应止于民事损害赔偿，严重者还应当给予行政处罚甚至是追究其刑事责任，唯有如此才能保障数据产业的健康发展。第三，大数据时代公权力部门也是个人信息的积极控制者，如何防止公权力机关以社会管理为由侵害公民的个人信息权益，是大数据时代个人信息保护必须认真面对的课题。从分工上来说，个人信息之上的人格属性和财产价值属于民事法律保护的对象，但对于依法收集、保管、使用这些信息的国家机关或者社会组织而言，对于个人信息的共享与治理则显然属于公法的规制领域[28]。第四，信息技术的特点决定了单一路径无法为个人信息提供有效的保护。对此，笔者认为无论是否制定统一的个人信息保护法，对于个人信息的保护都应当建立公私法协同并进的综合治理模式。在这一治理模式之中，应当充分发挥各部门法的功能，以实现内部统一、体系协调的保护机制。

（三）个人信息赋权保护应是未来研究的重点

探讨个人信息的法律保护应当以我国当前的法律文化与现实基础为出发点，就此而言，对于个人信息保护的未来研究重点应在于赋权保护模式。其理由主要在于：其一，隐私权概念下的个人信息保护与我国的法律传统难以契合，将会造成法律适用中的诸多困扰。首先，以美国为代表的隐私权保护模式有其独特的历史背景与文化内涵。从历史的维度观察，美国的隐私权大致经历了不被打扰的权利、有限接近自我权、私生活秘密权、私密关系权到信息控制权的发展轨迹，并且目前仍处于发展与变动之中，这与其独特的隐私文化和司法体制有关[29]。而我国素有大陆法系传统，理论与司法实务之中又普遍将隐私权理解为个人生活安宁权和私生活秘密权，与美国模式有较大差异，不具备借鉴的前提条件。其次，隐私权保护模式无法解决信息的控制与利用的问题。如前所述，我国法律传统中的隐私权向来被理解为消极意义的独处权或者私生活秘密权，而在信息时代迫切需要解决的是个人信息积极控制问题。例如，发布针对特定人的错误信息并不构成对隐私权的侵害但却显然侵害了个人信息权；再比如我们无法援引隐私权对已公开的信息加以保护，但对个人敏感信息的不当公开显然可以成为个人信息权的保护客体[30]。尤其是在大规模的信息处理中，处理者往往占据技术和资源方面的优势地位。当隐私权下的信息处理者没有报告义务，信息主体也没有查阅权之时，其将无法应对信息侵权中的举证难题，只能沦为被动的受害者[31]。最后，隐私权内涵的模糊性也无法为个人信息的保护提供稳定的法律框架。回顾隐私权的发展历程不难发现，其始终是以核心概念为圆心，保护范围为半径，以向外画圆的方式意图明确隐私的涵盖范围。除去隐私内涵本身的不确定性之外，隐私的涵盖范围也始终处于变动之中，以致于没有人能够为隐私下一个确切的定义，也就没有人能够彻底明确隐私权的保护范围。其二，从现行法律体系出发，赋权保护模式更具稳定性与现实可行性。赋权保护模式的优点在于为各方主体在个人信息利用的过程中明确具体的权利、义务与责任，这与我国一直以来坚持赋权保护的法律传统相契合。无论是《民法通则》第120条、《民法总则》第110条所列举民事权利，还是《侵权责任法》第2条所列举的民事权益，我国向来对于权利保护采用权利法定的立法模式。司法实践中的运行模式也体现了这一特点，即裁判者首先要考察该项权利保护诉求是否属于法律所明文列举的权利类型，如果不是，则需要在具体案件中通过利益衡量的方式解决该类法益是否值得保护的问题。利益衡量的主要缺点在于不稳定性，即立法者无法为个案中的利益衡量提供的具体的指导。由此不难理解，一方面赋权保护模式可以为法官裁判案件提供具体的指引，防止个案中的利益衡量走向同案异判的司法困境；另一方面赋权保护也可以为信息主体以及信息从业者提供具体的行为标准，最大限度地防止信息侵权的发生。其三，赋权保护不等于私权不受公法限制。私法自治是实现个人自由的理想状态，但个人自由是否真正有利于社会公正却始终值得怀疑[32]。个人信息赋权保护的重点在于明确个人对其个人信息所享有的权利空间，而绝非完全不受任何限制的排他性权利。这是因为个人信息之上还存有公共利益属性，它决定了自然人对其个人信息享有的权利必将受到公法限制。比如，行政机关基于公共管理的需要有权收集自然人的个人信息，此种收集具有一定的强制性而不必经过严格的知情同意程序，但应当受到合目的性、必要性等公法限制。也正因为这种公益性质使得个人信息的公益使用应当区别于商业主体的个人信息利用行为，后者应当遵循更为严格的主体授权。其四，赋权保护模式在我国具有现实的立法基础。尽管当前我国个人信息的立法体系还很不完善，但赋权保护模式已经初具规模，可以说，在相当程度上立法者对于赋权保护模式已经作出了选择。比如我国《民法典》在其第五章“民事权利”之下分别规定隐私权和个人信息保护，说明立法者已经意识明确意识到个人信息与隐私权有所不同，未来司法实践也将朝向明确区分二者的路径上发展。《网络安全法》不但采纳了“可识别性”作为个人信息辨别的标准，而且将“同意”和“约定”作为个人信息处理的正当性依据，将“删除”和“更正”作为信息主体的积极权能，与比较法上的“个人信息权”已经非常接近了。

（四）对知情同意不能机械地加以理解

作为个人信息处理的正当性基础，知情同意受到了学者的普遍关注。从研究现状来看，对知情同意的反思与改进成为当前研究中的两条主线。一部分学者认为在大数据时代同意原则已经失去了正当性基础，不应再成为个人信息合法使用的前提[33]。另一部分学者则主张对知情同意原则改进之后加以应用[34]。总体而言，既有研究在理解知情同意时不同程度地存在简单化、概括化与机械化的偏差。首先，知情涉及告知方式问题，同意是否有效同样取决于告知方式是否合理。告知几乎是全球所有涉及个人信息法律规范的核心原则[35]，同意的有效性、选择权的行使、信息处理的合法性均以之为基础。强调知情同意的重要意义在于大数据时代涉及的个人数据分析往往会背离最初的收集目的，由此可能会引发对个人信息自主权的侵害。比如，商家为寄送货物获取的个人地址和联系方式被用来进行第二次定向广告的推送，这显然超越了信息主体第一次授权使用的范围。因此，同意不能理解为概括同意，而应当结合控制主体的告知方式以及同意的具体场景加以判断。其次，同意不是普遍的，根据信息种类不同，信息使用的场景不同，同意的要求也不尽相同。个人信息分为一般个人信息与敏感个人信息，二者的区别在于与自然人人格的密切程度有所不同。很显然，对个人敏感信息的侵害可能造成更为严重的后果，因此应当遵循更为严格的同意标准。个人信息的动态性和场景性决定了在不同情形下对个人信息的使用并非一成不变[36]。再次，同意存在例外规则。不少论者对知情同意的批判建立在信息保护与利用之间的关系平衡上，认为同意规则存在机械化的问题。但事实上，除去对同意的理解偏差之外，同意的例外规则为保护与利用之间的平衡预留了足够空间。最后，同意原则之下应尊重主体的自主选择。基于法律家长主义情结，不少論者对于知情同意的批评已经不自觉地超越了客观主义的法立场。事实上，当事人在诸多情形下的选择均是基于一个正常的理性人对自身利益的权衡，并不能表明知情同意已经陷入形式主义。更何况，同意的有效性并非绝对，还存在事后审查的问题。值得强调的是，同意并非个人信息处理唯一的合法性依据，同意的有效性也绝非简单的勾选动作所能决定。简而言之，必须提升知情同意原则的有效性。

参考文献：

[1]储节旺、李安.新形势下个人信息隐私保护研究[J].现代情报，2016（11）：21-26.

[2]王卫、张梦君、王晶.数据交易与数据保护的均衡问题研究[J].图书馆，2020（2）：75-79.

[3]彭诚信.数据利用的根本矛盾何以消除——基于隐私、信息与数据的法理厘清[J].探索与争鸣，2020（2）：79-85.

[4]齐鹏飞.论大数据视角下的隐私权保护模式[J].华中科技大学学报（社会科学版），2019（2）：65-75.

[5]王玉林.大数据中个人信息开发利用法律问题研究[J].情报理论与实践，2016（9）：19-24.

[6]相丽玲、杨蕙.个人数据保护与开发理念的演化与评价[J].情报理论与实践，2017（11）：90-95.

[7]张衡.大数据监控社会中的隐私权保护研究[J].图书与情报，2018（1）：71-80.

[8] [英]戴恩·罗兰德、伊丽莎白·麦克唐纳.信息技术法（第二版）[M].宋连斌等译，武汉：武汉大学出版社，2004：300.

[9]张涛.欧盟个人数据匿名化的立法经验与启示，图书馆建设，2019（3）：58-64.

[10]龚子秋.公民“数据权”：一项新兴的基本人权[J].江海学刊，2018（6）：157-161.

[11]姚岳绒.论信息自决权作为一项基本权利在我国的证成[J].政治与法律，2012（4）：72-83.

[12]刘迎霜.大数据时代个人信息保护再思考——以大数据产业发展之公共福利为视角[J].社会科学，2019（3）： 100-109.

[13]房绍坤、曹相见.个人信息人格利益的隐私本质[J]法制与社会发展，2019（4）：99-120.

[14]王利明.论个人信息在人格权法中的地位[J].苏州大学学报，2012（6）：68-75.

[15]李伟民.“个人信息权”性质之辨与立法模式研究[J].上海师范大学学报（哲学社会科学），2018（3）：66-74.

[16] [德]卡尔·拉伦茨.德国民法通论[M].王晓晔等译，北京：法律出版社，2003：6.

[17]姬蕾蕾.论个人信息利用中同意要件的规范重塑[J].图书馆，2018（12）：85-91.

[18]严鸿雁.论个人信息权益的民事权利性质与立法路径——兼评《个人信息保护法》（专家建议稿）的不足[J].情报理论与实践，2013（4）：43-46.

[19]丁晓东.个人信息私法保护的困境与出路[J].法学研究，2018（6）：194-206.

[20]吴伟光.大数据技术下个人数据信息私权保护论批判[J].政治与法律，2016（7）：116-132.

[21]姬蕾蕾.个人信息保护立法路径比较研究[J].图书馆建设，2017（9）：19-25.

[22]刘德良.个人信息的财产权保护[J].法学研究，2007（3）：80-91.

[23]王成.个人信息民法保护模式的选择[J].中国社会科学，2019（6）：124-146.

[24]刘晓春.大数据时代个人信息保护的行业标准主导模式[J].财经法学，2017（2）：11-21.

[25]程关松.个人信息保护的中国权利话语[J].法学家，2019（5）：17-29.

[26]张新宝.《民法总则》个人信息保护条文研究[J].中外法学，2019（1）：54-74.

[27]金耀.个人信息去身份的法理基础与规范重塑[J].法学评论，2017（3）：120-130.

[28]田宏杰.窃取APP理个人信息的性质认定——兼及个人信息与个人隐私的界分[J].人民检察，2018（7）：27-31.

[29]黄令章.重塑大数据时代下的隐私权法理——以隐私权概念为主要内容[J].月旦法学杂志，2018（12）：131-162.

[30]石佳友.网络环境下的个人信息保护立法[J].苏州大学学报，2012（6）：85-96.

[31]謝远杨.信息论视角下个人信息的价值——兼对隐私权保护模式的检讨[J].清华法学，2015（3）：94-110.

[32] [德]迪特尔·梅迪库斯.德国民法总论[M].邵建东译，北京：法律出版社，2013：143.

[33]任龙龙.论同意不是个人信息处理的正当性基础[J].政治与法律，2016（1）：126-134.

[34]徐丽枝.个人信息处理中同意原则的使用困境与出路[J].图书情报知识，2017（1）：106-113.

[35] [美]詹姆斯·R.卡利瓦斯、[美]迈克尔·R.奥弗利.大数据商业应用风险规避与法律指南[M].陈婷译，北京：人民邮电出版社， 2016：52.

[36]齐爱民、张哲.识别与再识别：个人信息的概念界定与立法选择[J].重庆大学学报（社会科学版），2018（2）：119-131.

The Dilemma and Way Out of Personal Information Protection in the Era of Big Data

——Review and Reflection Based on the Current Research Situation

SHI Ming-tao（Guanghua Law School， Zhejiang University， Hangzhou 310008， China）

Abstract： In the era of big data， personal information protection is facing a double dilemma of theory and reality. In theory， it mainly comes from the fuzziness of concept definition， the confusion of terminology use， the misunderstanding of information technology and the difficulty of information right itself. The practical aspects mainly come from the char？ acteristics of information itself， the multiple value of information and the progress of information processing technology. From the perspective of research status， the differences of personal information protection mainly focus on the legal at？ tributes of personal information and the choice of protection mode. In this regard， it should be clear that the value basis of personal information protection in the era of big data lies in the personal interests carried on by personal informa？ tion； at this stage， no single path can provide complete protection for personal information. In the era of big data， per？ sonal information protection should be based on a comprehensive governance system in which multiple department laws connect and cooperate with each other. The future research of personal information protection in China should fo？ cus on clarifying the right space of personal information subject and enhancing the effectiveness of the principle of in？ formed consent.

Key words： personal information； personal information right； privacy right； informed consent； data right