杨明勳， 陈逸飞

(1.中山大学 粤港澳发展研究院，广东 广州 510000；2.安徽财经大学 法学院，安徽 蚌埠 233030)

伴随着互联网技术的蓬勃发展，人类历经网络社会时代、大数据时代再到人工智能时代，这三者构成了21世纪第2个十年的时代标签。技术产品日新月异的同时，潜藏着风险加剧的危机，尤其在宪法所保障的个人独立自决的人格利益以及安宁安全利益，正不断被科技产品侵蚀。人工智能时代所带来的方便快捷恰是以人工智能技术对个人生活渗透上为条件，是人类以“支付”个人信息为对价而换取的。人工智能技术不成熟和配套制度缺失的背景下，个人信息保护和利用问题也深受社会各界的重视。社会对个人信息的关注大多是从个人隐私维度考虑，重视人工智能时代个人安全问题。法学界内对个人信息的关注更多则是从权利角度出发，出现了个人信息权利、个人数据权利、个人信息权等提法，并有加快个人信息保护立法的声音。2021年6月10日《中华人民共和国数据安全法》在人大常委会通过，并于2021年9月1日开始实施。《中华人民共和国数据安全法》第一条规定，“保障数据安全，促进数据开发利用，保护个人、组织的合法权益”。《中华人民共和国个人信息保护法》经十三届全国人大常委会第三十次会议通过，将于2021年11月1日起施行。上述两部重要法律均是贯彻落实习近平法治思想的鲜活立法实践，回应了时代关切。《民法典》第111条规定自然人个人信息受法律保护，2021年4月29日公布的《个人信息保护法(草案二次审议稿)》第2条使用个人信息权益作表述。从保护层级上看，权利化因体系健全、内容丰富，对个人信息保护大有裨益。本文从个人信息权利保护的角度出发，探索人工智能领域中个人信息如何保护的问题，把要研究的内容和特色或创新简短介绍。

一、人工智能与个人信息权利保护

1.人工智能时代个人信息的商业化利用

人工智能的本质是对人的思维信息过程的模拟。它可以按照设定的程序代替人独自处理事务，例如加工生产、清洁扫地、行车驾驶等。人工智能运行的逻辑原理是模仿人的思维过程发出行动指令，而行动目标也是服务于人。这意味着人工智能需要编入、收集大量的个人信息支撑功能的有效运行。人工智能越智能，就越需要海量的个人信息作为支撑，同时也意味着其处理个人信息能力越强[1]。个人信息对人工智能而言，既是运行基础，也是处理对象。

所谓“人工”，即表明人工智能归根结底是人类创造活动的产物，系经特定的科研人士研究、设计、制作。在这一过程中，为追求极度的“智能”，科研人员需要收集大量的他人信息，以之为样本数据，设计相应的算法程序，注入人工智能中。此时，个人信息通过数据形式被存储在人工智能中，而科研人员因拥有对人工智能的财产权利和知识产权而可以支配、控制所承载的个人信息。如果研发中获得个人信息的过程包含授权，那么这些个人信息当然地为科研人员支配。在将人工智能推向市场后，人工智能逐渐具备产品属性，普遍适用性是人工智能产品化的前提。此时，虽然个人信息因人工智能产权为企业家所拥有而被企业家掌控，但为了产品销路，此类人工智能也不再仅面向研发时某些特定信息源主体，而是面向更大市场主体，因此在研发人工智能中会将收集的个人信息技术化处理，从中抽象出一般人的行为模式，再转为基本数据，以适用于一般大众。这时的个人信息已经无法与特定个人建立联系。

人工智能的运行需要不断读取服务对象的个人信息。人工智能的便捷性体现在所具备的人与物之间搭建互联平台的功能。人可以通过人工智能对外界自然物施加物理性影响，这需要建立在人工智能与服务对象之间良好互动的基础上。互动的本质在于信息的沟通，对方需要知道你的所思所想所欲。人工智能具备模拟人的思维的优势，能够在与人的互动中不断读取、分析服务对象的生理特征、行为习惯、兴趣爱好等，形成个人数据并存储，再利用算法技术进行推算，作出反应，以满足服务对象的需求。人工智能有强大的分析演算能力，被服务对象无须直接将自己的信息以列清单的方式“告知”人工智能，人工智能亦可通过被服务对象的操作迹象分析个人特征，读取个人信息，按照已设定的程序提供服务，甚至可以提前预判。而人工智能读取的个人信息越多，其分析演算能力就越强大，也越被服务对象所青睐。

人工智能的创新发展依托于多元丰富的个人信息。人工智能的进步受两大因素的影响，一是技术的更新，二是个人信息的“喂养”。技术更新可以提升人工智能的交互能力、应激反应能力、处理信息能力、演算能力，降低出错率，提高灵敏度，在物理形态上进行创新。而拥有多元丰富的个人信息，研发者可以根据不同主体类型的个人信息设计出符合需求的产品，可以根据带有行为习惯含义的个人信息设计产品，可以根据有关兴趣爱好的个人信息设计产品等。人工智能即便交付个人使用，也离不开后台管理的操控。为确保产品的适用性，后台管理者需要对人工智能处理信息过程监控、评估，收集人工智能不能处理的信息，在提升技术的基础上修补人工智能的漏洞。

2.权利意识高涨下的个人信息人格化

信息是人们感知和适应外部世界过程中作出反应的内容和名称，即信息记载人的外部表现，记录人内心的世界。人工智能服务于人，对人工智能发展而言，个人信息具有极高的商业价值和经济属性。人工智能需要大量个人信息的“投喂”，这些个人信息可以成为产品经理研究市场需求的素材，利用人工智能技术向特定主体投放产品和服务信息，在个人做出消费决策前进行推荐，引导他们购买投放的产品和服务信息。可以说，个人信息就相当于生产原料，取得个人信息就等于掌控出击市场的主动权。个人可以通过上传个人信息来获得人工智能企业支付的对价。与此同时，社会又处在个人权利保护意识陡增大潮中，个人信息因能与特定主体建立联系而又与人格相关，进而唤起信息制造者对其进行支配和控制的利益诉求。

在我国，主张对个人信息进行私权保护经历过从隐私权到财产权再到人格权的过程。早期对个人信息的理解多建立于个人隐私不受干扰的角度，将个人信息划入隐私权保护范围内，如王泽鉴等学者认为：“隐私权包括保护私生活不受干扰及信息自主两个生活领域。”[2]随着互联网的普及，个人信息大量充斥在互联网上，从私密敏感到公开共享，能作为商业化使用。从财产权角度来解释个人信息的地位，物化个人信息，试图用产权观念和对价交易的经济学思维来定位个人信息。之后，由于侵犯个人信息事例时有发生，个人信息所包含的人格尊严、人格自由等人格利益得到关注。个人信息因具有可识别性，信息的类型也不局限于私密信息，主张纳入人格权保护成为主流的呼声，如王利明提出，要在未来的民法典中将个人信息权作为具体的人格权进行规定[3]。

个人信息归根结底是外界与信息产生者交流的纽带，借助个人信息可以进入信息产生者的主观世界，进而影响其身体行动。显然，无论是隐私权、财产权还是人格权，主张保护信息的本质实质上还是在保护个人基本人权。个人信息的核心特征在于可识别性，即个人信息与信息产生者之间存在紧密的联系，获知个人信息后可以与某个特定主体联系起来，尤其是具有独特性、唯一性的隐秘信息，更容易确定某个特定主体。因此信息产生者需要控制、支配自己的信息，并决定信息用于何处，否则，即有可能因信息的泄露使自己陷入不利的境地。正如个人信息自决权理论所主张的那样，“当事人的自由决定自己的个人信息上承载着何种价值”[4]，个人信息私权化保护的核心在于个人对所有反映自身信息的“行为痕迹”控制的必要性。

3.人工智能时代个人信息权利失格风险

良好的人工智能在收集和分析个人信息上必然具备精准化、全面化、简便化的特性。首先，人工智能收集的个人信息要与信息产生者高度匹配，即有较高的可识别性，通过该信息能够精准定位到某特定主体。其次，人工智能要收集到与其功能发挥相关的所有者的个人信息，并能全方位地分析和处理，给出周全、贴切的反应。最后，人工智能在收集和分析个人信息的过程中要满足简便性，无需使用者经过一系列复杂的操作，也无须借助其他设备，通过单设备与人的互动收集分析。人工智能在造福人类的同时也让人类面临由社会所制造的风险的威胁。“人工智能时代是一个高度技术化的社会，科学技术的高度发展既是风险社会的特征，也是风险社会的成因”[5]。人工智能对个人信息需求与个人信息私权属性的冲突阻碍了人工智能时代发展和个人信息权利的顺利磨合。人工智能技术拥有者合规使用个人信息意识的淡漠与信息产生者对自身信息重要性的忽视加剧了个人信息权利失格风险。

第一，个人信息自决权落空。个人信息权利是信息产生者对自我信息的控制权利，控制的首要表现即为对信息使用的决定权利。以往，对个人信息的收集主要采用默认授权的模式，只要使用该智能产品，如注册成为互联网产品会员，便默认接受互联网企业对个人在该产品中记录的身份信息、操作留下的痕迹信息收集和使用。目前人工智能在收集个人信息过程中虽然已改采事前同意模式，但较少做到以明确方式载明个人信息授权提示条款，且将同意授权与使用产品进行捆绑，只有勾选已阅读并同意包含个人信息授权使用在内的服务协议相关选项后，才能进行下一步操作，使用该产品，不同意则意味着无法使用。因此，个人为使用该人工智能产品不得不让渡信息权利。个人无法决定何种信息可以被收集和使用，何种信息不得被收集和使用，相当于让渡了一切决定权，人工智能可以根据自己的需要收集个人信息。

第二，个人信息知情权落空。对个人信息收集和使用的知情是充分行使个人信息权利的前提。人工智能在收集、使用个人信息过程中的隐秘性使得信息产生者对个人信息何时被收集、何种信息被收集、收集后如何使用、用在何处、收集的目的毫不知情。虽然2017年出台的《网络安全法》第四十一条互联网领域对个人信息知情权做出了明确规定，要求网络运营者“公开”“明示”“经被收集者同意”，并不得违反法律法规及双方的约定使用个人信息，但该条款执行的现实情况与法律预设情况存在脱节，因服务协议系格式条款，使用者几乎无法就决定个人信息的用途及收集方式与经营者达成约定。并且，使用者对自己授权给经营者使用个人信息是知情的，但对经营者将个人信息用于何处是不知情的。互联网领域尚且如此，其他人工智能技术领域还无统一的上位法对个人信息知情权保障做出规定。

第三，个人信息处分权落空。人工智能时代，个人信息因是营销、推广、产品运行、产品升级的主要“原料”而倍受重视。个人信息虽是抽象、无形的，但它可被数据记载，因而通过迁移数据、分享数据可以实现个人信息的转让，成为交易客体，进而具备经济属性。信息产生者对自身信息本应有处分的权利，这种处分可以是事实处分，如上传、修改、销毁，也可以是法律处分，如买卖、置换、抵押等。但现阶段，人工智能与信息产生者之间就信息使用达成的服务协议(有的称为隐私政策)中较少提及含有处分权利的内容，信息产生者在同意服务协议的同时就已让渡本人对留在人工智能产品上信息的权利。信息承载于人工智能的数据中，信息产生者也缺乏技术手段处分自我的信息。另外，个人信息对人工智能运营者而言也相当于商业秘密，出于市场竞争考虑，人工智能运营者在收集到个人信息后不太可能允许信息产生者将带有个人信息的数据再处分。因此，处分权利在服务协议中被淡化。目前，多数人工智能的服务协议(或称隐私权政策)还是保留个人事实处分的权利，如淘宝客户端、微信客户端，在法律处分保障这一块几乎处于空白。

人工智能时代，人们在与人工智能互动中享受着科技的便利，也在互动中面临个人信息权利失格的风险。如AI换脸技术在满足网民娱乐需求的同时侵犯了个人肖像权、名誉权。公民行使个人信息权利的需求和意识已经跟不上人工智能收集和使用个人信息技术的进步。个人信息权利失格带来的不仅仅是个人隐私危机、安全危机，更深层次的是基本人权保障危机，信息与人格利益相关，丧失对信息的控制权利，无异于丧失人格的自由。技术终归由人控制，个人信息看似由人工智能控制，但最终会回到人工智能运营者手中。将自我的内心想法、行为活动交由人工智能掌握等同于交由他人掌握，然而目前他人如何使用这些信息以及保证这些信息的安全尚不确定，这恰是个人信息权利失格最大的风险。

二、个人信息保护的立法考评

1.个人信息权利与个人数据权利

人工智能时代，个人信息以数据为载体，被数字指令所记载和存储，通过对数据的编译得出具体的信息内容。因数据包含个人信息，对个人数据权利的立法也很多。1980年欧洲经济合作与发展组织(OECD)发布的《隐私保护与个人数据跨境流动的指导方针》将个人数据定义为“与识别或可识别的个人(数据主体)有关的任何信息”。德国1990年《联邦数据保护法》同样定义为“关于个人或已识别、能识别的个人(数据主体)的客观情况的信息”。英国1998年《数据保护法》则定义为“由一个活着的人的信息组成的数据”。欧盟2016年4月27日通过的《一般数据保护条例》也采用1980年《指导方针》的定义，在其第15条至第22条中具体规定了个人数据权利的类型，包括访问权、更正权、被遗忘权、限制处理权、数据携带权等。2020年12月15日欧盟推出《数字服务法》和《数字市场法》，从数据使用者的权利义务角度来保障个人数据安全。《数字服务法》加强了在线平台对数据访问及推荐算法的透明度，并依托新设立的欧洲数字服务委员会建立应对网络复杂空间的监管机构。《数字市场法》创设了“守门人”概念，这个“守门人”指向掌握如搜索引擎、社交网络等平台服务，充当着企业连接数据主体的门户，并规定了守门人向企业提供所获得数据的权限和禁止性行为，以加强对大型门户平台数据使用的监管。

考察发现，虽然欧洲国家和欧盟对个人数据的定义都含有信息并通过保护数据权来保护个人信息，但在我国法域内，个人信息权利与个人数据权利仍有较大差别。首先，数据和信息是两种不同的概念。我国目前的法律层面，包括2021年9月生效的《数据保护法》，其中并没有个人数据这一术语，仅称为数据；故数据权利主体既可以是自然人，也可以是法人、其他组织。而我国《网络安全法》有专门对个人信息进行规定并使用个人信息这一概念；其次，《民法典》第111条规定了自然人信息权，第127条又规定了法律保护数据。显然，立法者有意区分个人信息权利和数据权利，并且不同于上述国家和组织将个人数据视同于个人信息来保护。按照《民法典》第127条的规定，数据的法律地位同网络虚拟财产一般，被视为“一种特殊类型的物”[6]，具有财产性质。我国的数据权利在法律性质上更多指向财产性权利。再次，个人信息的价值在于可识别性，可以在信息与特定主体之间建立联系。而数据本身没有价值，其价值和功能的发挥完全取决于数据分析技术。只有借助数据分析技术，才能解读出数据中的内容。最后，个人信息也不总以数据形式体现，数据是联结诸如机器设备与个人信息的桥梁，使用机器设备获取个人信息时，需要借助数据，按照数据处理工具将信息转换为数据，再将数据编译成个人信息。在其他场合中，个人信息还以字母、语言、肢体等形式表达，可以记载于书面，随着人工智能技术的发展，未来可能出现更多记载个人信息的形式，因此，数据仅是个人信息的载体之一，用个人数据权利无法支撑起个人信息权利法律适用架构。

2.个人信息权利与隐私权保护

将个人信息权利纳入隐私权保护模式的做法源于美国的“信息隐私权”理论。在美国的法律中，隐私权作为一项公民基本权利代表着个人自由和个人独处权利，并被纳入普通法体系中。美国联邦最高法院1977年华伦诉罗(Whalen v.Roe)一案的判决则正式将信息隐私权从理论带入到司法实践中，用来保护个人信息处理与流通领域中的个人隐私，在很多场合下，“隐私保护与个人信息保护有相同的含义”[7]。个人信息的价值在于可识别性，通过某种数据、图像、声音、符号等传达出的含义，这样的含义即是信息，他人可以通过这类信息与某个特定的主体建立联系。当联系程度越高，透过这类信息能感知该特定主体的身份特征、方位地址、行为习惯、兴趣爱好、行动内容等时，就越有可能落入私密信息范畴。探知、公开、使用这样的私密信息，就进入隐私权保护的范围。可以说，个人信息保护与隐私权保护存在交叉[8]，但不能仅以保护隐私权的方式代替个人信息保护和合理利用的法律机制。

首先，除了私密信息以外，还有其它类型的个人信息，甚至具有一定的经济价值，需要共享才能实现信息的价值。如互联网企业收集特定主体购物偏好的信息并利用算法技术，为该主体投放对应的购物广告。一方面，互联网企业利用这种“类似商品”推荐可以向卖方收取中介费、广告费，提高旗下平台的点击量，促进交易的达成；另一方面，购物者也需要平台能准确为其推送所感兴趣的商品信息，减少不必要的检索时间。这类信息若归入私密，给予隐私权地位，既不合相关主体之意，徒增麻烦，也有悖大数据时代精准、快捷、效率的目标追求。值得一提的是，有学者提出个人信息财产权利概念，认为个人信息是一种对个人信息的商业价值进行支配的权利[9]。

其次，隐私权被作为一项具体人格权规定于私法领域中，出于维护个人生活安宁的价值取向[10]，而个人信息入法注重的特定主体对能够反映自身信息的支配，强调保护的意义不在于限制利用，而是合法合规利用。大数据技术发展恰是以数据应用分析为基石，目的是收集个人信息，科学利用个人信息为互联网经济的发展、生产水平的提高、国家治理能力现代化助力，需要借助个人上网留下的痕迹数据分析背后的个人信息，进而统计、分析并预测未来。人工智能的发展需要个人信息，对个人信息保护更应注重信息治理，从企业、个人、国家出发构建多方共治的格局[11]。

最后，隐私权是一种消极的、防御型的权利[12]。隐私权保护是一种事后救济方式，触发隐私权保护的前提是权利受侵害，在权利未被侵害时，个人无法主张行使隐私权来干预别人的行动。而作为人工智能时代下的“新能源”——承载着个人信息的数据而言，个人可以通过买卖、置换、授权等方式事先将对自己信息支配利益转让给他方。大体而言往往是由互联网企业受让，例如信息产生者在注册为平台会员之时便已通过勾选“用户须知”的选项表明转让意愿，获得的对价是免费使用平台的权限。这恰好反映了个人信息保护不限于事后救济，还需要事前规范，在信息未产生前便已开始重视个人对今后产生信息的自决权。当然，个人信息保护也包括事后救济，如平台超越授权范围将个人信息用于他处甚至违法之处，导致个人安宁、安全受损。本文认为，个人信息保护既需私法救济，还需公法惩戒；双轨并存才能起到赔偿个体并起到警示全社会的功效。

3.个人信息权利与财产法的关系

对个人信息进行保护取决于个人信息所牵涉主体的利益。以波斯纳为代表的财产权说主张用财产权视角保护个人信息，源于对个人信息商业价值的发现。在人工智能时代，个人信息可以被商业主体用于分析消费群体的行为偏好，描绘出行为图谱，并借此改造产品，进行营销，引导消费选择。个人信息亦可以借助载体的转让进行转移，可以被定价，故而逐渐“商品化”，因人的需求而成为可交易的客体。当个人信息具有财产性利益时，信息产生者对财产性利益的控制需求因而被激发。对个人信息进行财产权保护，能够在理清个人信息静态归属与规范动态转移的基础上平衡人工智能对个人信息的商业化需要与信息产生者对个人信息的利益诉求，用对价思维来保护个人信息也能避免在无序状态下导致个人信息的财产性利益被商人所窃取。有学者就提出，产权保护能实现个人信息控制权的回归。

从国外的立法来看，美国对个人信息的保护“并不是视其为一种攸关主体人格尊严的基本权利，而是将其放在促进电子商务和信息经济发展的理念之下”[13]。在美国法律的模式中，虽然没有立法明确将个人信息纳入财产法中，但允许包括个人信息在内的一切有价值信息作为商品在市场上交易。欧盟在《基本权利宪章》中视个人信息权利为一项宪法性权利[14]，体现为对个人信息保护的《一般数据保护条例》具有功能主义立法特征，保护个人对数据权的多样性法益，包括数据控制者、处理者对数据的收益权(1)《个人信息保护法(草案二次审议稿)》全文及修改情况汇报[EB/OL].搜狐网，https://www.sohu.com/a/464008085_316950.。

就我国而言，虽然《民法典》在民事权利一章专条规定自然人信息受法律保护，但既未界定其权利属性，也未界定其为财产权属性。因此，若从现行财产性权利法律规范寻找个人信息所适用法律的空间，可以发现个人信息不具备“物”的属性，个人信息权利无法得到《物权法》保护。首先，物权的对世性决定了“物”必须满足特定性的要求。个人信息范围之广且随着个人自然变化而始终处于动态变化过程，就连个人的基本信息，如联系方式、身高、体重都可能发生变化，更何况行为偏好，个人信息无法特定化限制了划定权利边界的可能，在不能确定排他支配范围的情况下必将影响义务人的行为自由。其次，“物”需具备有体性。虽然现代物权法的发展出现了诸如权利等无形财产可以成为物权的客体，但在所有权中，对“物”的要求仍然是有体性，有体之物才能界定排他支配的范围。个人信息属于无体物，需要借助特定载体来表达，同样的个人信息可以被记载在不同物理形态的载体上，如果以所有权思路保护个人信息，就可能因载体不同但信息内容相同而导致所有权冲突，这违背了一物一权原则。最后，“物”需具备可支配性。从自然人以特定形式表达出个人信息开始，个人信息就已附着在某个数据、符号等载体上，脱离自然人的支配，而自然人也不可能支配无形之物，最多是支配含有个人信息的载体。对信息的控制权利实际上是信息处理这种行为的支配。知识产权兼具人身性权利和财产性权利。从知识产权法律体系同样也无法找到保护个人信息权利的依据。个人信息只是反映个人的生理、心理、思想、行为等内容，虽然有可识别性，但不具有创造性，更不属于智力成果。因此，在个人信息权利没有纳入财产性权利法律规范的情况下，适用侵权责任法来为个人信息保护提供救济手段也就无从谈起。

三、人工智能领域个人信息权利法治化路径

1.私法上构建个人信息权利体系

权利的体系化建设是权利行使、权利救济的重要保证，权利有范围和内容，可作处分转让，构建个人信息权利体系也是个人信息保护和治理并行的良好工具。现阶段在个人信息立法上，法律层面有《消费者权益保护法》《网络安全法》等对各自领域的个人信息保护问题进行规定；规章层面有工信部2013年7月发布的《电信和互联网用户个人信息保护规定》、国家互联网信息办公室2019年8月发布的《儿童个人信息网络保护规定》；其他规范性文件有《信息安全技术公共及商用服务信息系统个人信息保护指南》《互联网个人信息安全保护指南》等。总体而言，个人信息权利立法尚显单薄。目前，《民法典》第111条已规定自然人信息受法律保护，并置于民事权利一章。而《个人信息保护法(草案二次审议稿)》第2条使用个人信息权益作表述，也尚未用权利化视角对待(2)《个人信息保护法(草案二次审议稿)》全文及修改情况汇报[EB/OL].搜狐网，https://www.sohu.com/a/464008085_316950.。人工智能时代技术更新迅速，为克服法律的滞后性和确保前瞻性，有必要借助个人信息保护的专项立法来搭建个人信息权利基本体系：

首先，要以可识别性作为个人信息内涵界定模式。个人信息保护的价值在于其与个人之间的特定联系，这一联系纽带将个人与信息控制者连接起来。可识别性的优势在于可以区分是否侵犯个人信息的行为界限。若未经同意使用的信息无法识别个人，则很难主张适用个人信息权利保护。需注意的是，可识别性不等同于显名化。诸如有特色含义的标签(外号、网名、身份等)，大众根据该标签可以定位于具体个人，也具备可识别性特征。同样，对企业采取匿名化、假名化的技术处理也无法作为消弭可识别性、不构成侵权的抗辩理由，关键还在于信息的内容是否能让信息获得者将其与特定个人联系起来。

其次，要在区分个人信息类型的基础上差别化对待个人信息权利。个人信息包含私密信息，这些私密信息可能是本人不愿公开或者公开后会影响个人生活空间的安宁，因此个人信息可以分为敏感信息和一般信息。对于敏感信息存在两种保护模式，一是对本人不愿公开的、具有私密性的信息，参照隐私权保护模式；二是公开后会影响个人生活，则要严格知情同意程序，如身份识别信息，要逐项逐次授权，除用于公共管理需要，经同意收集后可以再转用，否则对再转用也要有知情同意程序。敏感信息不得用于交易，以防经济市场带来道德人伦危机。对于一般信息，如行为偏好等价值发挥完全取决于个人最终行为选择的信息，可以采概括式授权同意方式，并告知用处，允许授权再转让，允许个人自行交易。对已公开的个人信息也应当坚持合理处理原则，《民法典》第一千零三十六条规定“合理处理该自然人自行公开的或者其他已经合法公开的信息”属于行为人无需承担民事责任的情形。《个人信息保护法(草案二次审议稿)》第二十八条对合理使用范围以公开时的用途为判断依据。

最后，明确个人信息权利的类型，可分为知情权、决定权、处分权、修改权、更正权等。知情权是信息主体(自然人) 对信息持有、使用人的权利；权利内容包括对信息收集方式的知情，对权利让渡程序的知情、对信息使用的知情等。决定权指自然人对信息内容、信息使用、信息公开等的决定，修改权、更正权也属于决定权一种，因错误信息、信息内容的完整度会实在地影响个人生活行动，个人有权决定修改，选择允许使用的信息，有权决定更正，调整错误信息。处分权体现为自然人有权对个人信息处分，凸显对个人信息财产价值支配的保护。我国《消费者权益保护法》第19条也已确认上述几项个人信息权利，未来则是将个人信息权利纳入统一的立法文本中，使之成为各个领域的指导，拓宽运用范围。另外，对侵犯个人信息权利的法律责任承担和救济方式除了个人信息保护专项立法中规定以外，还可以适用侵权责任法，对造成损失的，可以根据个人信息的价值及给个人造成的具体损失进行赔偿。

2.公法上完善个人信息保护和治理制度

“在公民个体不足以对信息风险进行客观和有效判断的情况下，国家有责任为公民提供信息安全这一公共产品”[15]。对个人信息的保护除了需要健全的个人信息权利体系为公民个人控制、支配、处分反映自己信息的“行为痕迹”提供权利依据和救济途径，还需要国家公权机关加强对人工智能企业的公法责任。

构筑有效的外部执法制度是规范和管理人工智能企业利用个人信息秩序的保障。在执法层面，首先，要采取统一立法和分散立法结合模式，在今后的个人信息保护法律中规定使用个人信息的原则、禁止性行为清单、行政责任的类型和处罚范围，并规定授权制定条款，由不同的法规、部门规章作具体安排。其次，成立专门的信息监管部门以替代目前由公安部门监管的机构设置，强化其监管职责，转变治安管理的信息保护理念，突出信息的治理。再次，个人信息在用来标识、记录特定主体时，具有公共产品属性，并不必然地为个人排他性支配，出于国家管理和公共利益需要，也存在合理使用个人信息的正当性。设立许可制度、备案制度、报告制度、公示制度等，要求对人工智能企业制定的信息授权协议审查许可，对合理利用信息的采事后备案制度，对涉及重大敏感信息的使用报告有关部门，定期公告个人信息使用情况。最后，处罚上要引入按次数计算累犯加罚和按条数、结果严重程度引入加重处罚制度。

在刑事责任层面，《刑法修正案(七)》首次将涉及侵犯个人信息单独规定为一项罪名——非法获取公民个人信息罪，对掌握个人信息的特定单位工作人员，处罚其出售和非法提供个人信息的行为，对其他主体，则处罚窃取等非法获取行为，单位也能构成该罪。并且该罪名被置于“侵犯公民人身权利、民主权利罪”章节，体现了立法机关对个人信息权利纳入人身权利保护范畴的意识。到《刑法修正案(九)》出台时，非法获取公民个人信息罪被修改为侵犯个人信息罪，就违反规定出售和提供个人信息的行为，取消身份的限制，而对履行职责或者提供服务过程中出售和提供行为从重处罚。这种规定扩大了处罚的主体范围，并区分一般主体和具备特殊身份的责任，具有一定的前瞻性。但未对个人信息作界定，可能导致适用过程中入罪和出罪的标准不一，影响该条款的操作性；也未对个人信息的类型作区分，可能导致罪责刑不相适应，比如侵犯隐秘信息比侵犯一般信息的情节更严重；对侵犯行为的类型规定不足，比如服务者未经同意收集个人信息的行为没有相应处罚依据，宜采动态模式定义行为类型；对条文中“违反国家有关规定”的概念含糊且容易导致适用范围过宽，违背罪行法定原则，故应明确为法律、行政法规；个人信息还具有商业性价值，也需要在侵犯财产权利犯罪中规定非法出售、窃取具有一定经济价值个人信息犯罪等。此外，要探索行政责任和刑事责任的衔接机制，行政执法与刑事立案的衔接程序。

3.强化人工智能行业个人信息使用的自律规范

行业协会的飞速发展使得行业内的自律规范成为社会治理手段的有效补充，党的十九届四中全会提出“推进国家治理体系和治理能力现代化”后，强化行业自律规范无疑是今后国家提升经济社会治理能力的重点。相较于法律治理和政府管控，行业自律规范的优势在于：

第一，行业自律规范更具专业性、可操作性和灵活性。人工智能集聚计算机科学、统计学、数据开发、神经生理学、信息论等，知识包罗万象。人工智能运用个人信息的逻辑原理专业性强，有赖于行业人士的解读、分析个人信息技术手段，给出准确、有效和可操作的规范建议。同时人工智能与经济、科技发展程度有关，具有阶段性和地域性，由各地行业针对不同时期、特定区域人工智能技术发展制定相应的个人信息使用规范，可以避免法律的滞后性和统一适用的僵化性问题。

第二，行业自律规范制定程序简便、弹性大。行业可以自己决定会议的召集程序、决定自律规范的通过程序，而法律的制定具有严格的提请、审议、表决、公告程序和时限规定，由行业协会在授权范围内进行自律性管理可以“消除认证带来的官僚拖延，更有利于技术创新”[16]。且法律具有稳定性和普适性，为保证法律的权威，不宜经常修改，也不宜作具体性规定，而各个行业可以采用不同的自律规范制定程序，便于及时根据行业发展需求出台或调整行业自律规范。

第三，强化行业自律规范更具长效性，符合保护个人信息权利的长远目标。制定法律规范的终极目标是促进人工智能企业自觉主动地保护个人信息权利。以行业规则和竞争机制倒逼人工智能企业树立起保护个人信息权利的理念，形成规范意识，嵌入具体行动中。突出行业自律规范作用恰是贯彻市场自治为主、国家适度干预为辅原则的理想状态，即以法律为基本框架指引，以行业自律为具体行动指南。在行业充分自律的前提下，国家只需扮演监督者的角色，监控和防范行业内的联合垄断与集体式的侵犯个人信息权利行为的出现。目前，我国提及个人信息使用问题的行业自律规范不多[17]，这与人工智能发展尚在起步阶段、行业组织不成熟及相关法律制度还未出台有关。本文以为现阶段可以采取的方式有：以通知性、意见性文件出台，鼓励各地区人工智能企业自发组建相关的行业组织，将个人信息权利保护纳入行业组织的职责范畴[18]。还可以以全国性人工智能行业组织或建构较为成熟的区域性行业组织为试点，就个人信息使用制定自律规范，形式不限于公约、行动指南、行动倡议等，以此作为推广借鉴的依据。未来，在制定了人工智能法律规范或个人信息保护法律规范后，可以借鉴欧盟《一般数据保护条例》第4章第5部分的做法，对政府监管机构和行业组织制定个人信息使用规范进行权力分配，赋权于行业组织，并允许政府监管机构委托行业组织参与个人信息使用的规范管理工作。

四、研究建议

我国人工智能领域个人信息权利法治化建议有三点：一是立法者应当构建完整的权利体系，在权利创设上尊重人民的基本权利和尊严；二是充分发挥政府各部门的管理职能，在实施保障中关照人民的现实困境，强化个人信息使用者的违法责任；三是引导人工智能行业建立起保护个人信息权利的秩序，建立起个人信息权利保护的长效机制。在政府和行业组织共同参与个人信息保护治理时，要理顺政府与行业组织的关系，扮演好“守夜人”角色。一方面，我国需要建立起一般信息的行业自律规范备案机制和敏感信息行业自律规范的审批机制，确保行业自律规范不偏离合法的轨道；另一方面，行业自律规范的制定过程要落实公众参与原则，在规则设计中回应人民的迫切需求。只要牢固坚持贯彻落实习近平法治思想、坚持以人民为中心，未来我国个人信息权利法治化之路必将回应时代关切。