項(xiàng)定宜

(1.東北林業(yè)大學(xué) 文法學(xué)院，黑龍江 哈爾濱 150040；2.華東政法大學(xué) 法律學(xué)院，上海 200042)

隨著大數(shù)據(jù)時(shí)代個(gè)人信息商業(yè)利用的日漸頻繁，信息主體個(gè)人利益與信息利用者商業(yè)利益的矛盾與日俱增，現(xiàn)行的法律制度越來越不符合實(shí)際需要。在這樣一個(gè)全球化的時(shí)代，世界各國(guó)面臨著共同的難題，各國(guó)在制定個(gè)人信息商業(yè)利用規(guī)范的過程中，都希望參考其他國(guó)家是如何解決類似問題的。本文旨在考察歐盟和美國(guó)個(gè)人信息商業(yè)利用法律規(guī)范，尋求借鑒之道。

一、歐盟個(gè)人信息商業(yè)利用規(guī)范

歐盟是最早關(guān)注個(gè)人信息保護(hù)的區(qū)域性組織之一。歐盟1995年《數(shù)據(jù)保護(hù)指令》對(duì)個(gè)人數(shù)據(jù)的保護(hù)和流動(dòng)進(jìn)行了全面規(guī)定，但未明確個(gè)人在個(gè)人數(shù)據(jù)上享有的權(quán)利性質(zhì)是否獨(dú)立于隱私權(quán)。2016年5月4日正式發(fā)布的歐盟《一般數(shù)據(jù)保護(hù)條例》第1條第2款明確用“個(gè)人數(shù)據(jù)權(quán)”取代“隱私權(quán)”的表述，標(biāo)志著一般意義上個(gè)人信息權(quán)的立法確認(rèn)。

(一)1995年歐盟《數(shù)據(jù)保護(hù)指令》

為進(jìn)一步提高歐洲個(gè)人信息保護(hù)法律的統(tǒng)一程度，1995年，歐盟正式頒布《數(shù)據(jù)保護(hù)指令》(以下簡(jiǎn)稱《指令》)，各成員國(guó)可以根據(jù)該《指令》規(guī)定的下限制定更高的標(biāo)準(zhǔn)[1]。

《指令》規(guī)定信息主體的權(quán)利包括：(1)查詢權(quán)、更改權(quán)、清除權(quán)。《指令》第12條規(guī)定，不受每隔一段合理時(shí)間的約束，無需過度的延遲和費(fèi)用，信息主體有權(quán)查詢個(gè)人信息，在信息處理不符合《指令》的規(guī)定時(shí),信息主體有權(quán)要求適當(dāng)?shù)馗幕蚯宄?2)拒絕使用權(quán)。《指令》第14條規(guī)定，信息主體有權(quán)拒絕對(duì)個(gè)人信息進(jìn)行處理和利用，包括以直銷為目的的使用。(3)自主決定權(quán)?！吨噶睢返?5條規(guī)定，成員國(guó)應(yīng)當(dāng)賦予每個(gè)人不接受會(huì)對(duì)其產(chǎn)生法律影響或者顯著影響本人的決定，以及僅僅依靠自動(dòng)數(shù)據(jù)處理來進(jìn)行評(píng)價(jià)個(gè)人特征(諸如工作表現(xiàn)、信任感、可靠性、行為等)的決定的自主權(quán)。(4)獲得救濟(jì)的權(quán)利。《指令》第23條規(guī)定，非法使用他人個(gè)人信息給信息主體造成損害，受害人有權(quán)從數(shù)據(jù)控制人處獲得相應(yīng)賠償，但信息利用者能夠證明其不應(yīng)負(fù)責(zé)任時(shí)，可以減輕或免除其責(zé)任。

《指令》著重規(guī)范的個(gè)人信息利用者的義務(wù)包括：(1)合法性義務(wù)。只有符合法定條件，信息利用者才可以利用他人的個(gè)人信息，包括數(shù)據(jù)主體的同意、為履行合同的需要等幾種情形。(2)保證數(shù)據(jù)質(zhì)量義務(wù)。信息利用者必須采取合理措施保證數(shù)據(jù)準(zhǔn)確、完整、新穎。(3)告知義務(wù)。信息利用者應(yīng)當(dāng)向信息主體告知其身份、利用目的、不同意利用的后果、信息主體的權(quán)利等。(4)禁止利用敏感信息的義務(wù)。禁止利用種族、政治觀點(diǎn)、性生活等敏感信息。

《指令》設(shè)置了專門的行政機(jī)構(gòu)，包括歐洲信息保護(hù)監(jiān)督局、歐洲委員會(huì)信息保護(hù)官及信息保護(hù)局，這些行政機(jī)構(gòu)為歐盟個(gè)人信息商業(yè)利用規(guī)范的實(shí)施奠定了實(shí)體基礎(chǔ)[2]。

(二)2016年歐盟《一般數(shù)據(jù)保護(hù)條例》

1995年的《指令》在歐盟國(guó)家實(shí)施中逐漸出現(xiàn)一些亟需解決的問題。第一，各個(gè)成員國(guó)實(shí)施《指令》時(shí)擁有較大的選擇權(quán)利，個(gè)人信息保護(hù)制度出現(xiàn)參差不齊的現(xiàn)象，實(shí)施效果較差。第二，1995年的《指令》不能適應(yīng)信息時(shí)代的新挑戰(zhàn)。該《指令》是在互聯(lián)網(wǎng)發(fā)展初級(jí)階段制定的，隨著社交網(wǎng)站、云計(jì)算、定位服務(wù)、大數(shù)據(jù)等計(jì)算機(jī)技術(shù)的發(fā)展，個(gè)人信息的處理速度增快、利用方式多樣，《指令》已經(jīng)不能應(yīng)對(duì)企業(yè)對(duì)個(gè)人數(shù)據(jù)收集和利用能力強(qiáng)化、信息主體對(duì)個(gè)人數(shù)據(jù)控制能力弱化的現(xiàn)狀?；谶@兩方面的考慮，歐盟認(rèn)為有必要對(duì)數(shù)據(jù)利用規(guī)則進(jìn)行修訂，以推進(jìn)歐洲數(shù)據(jù)利用規(guī)范的統(tǒng)一，在確保個(gè)人數(shù)據(jù)得到充分保護(hù)的前提下最大限度地促進(jìn)數(shù)據(jù)利用。

2016年4月8日，歐洲理事會(huì)和歐洲議會(huì)表決通過《關(guān)于個(gè)人信息處理保護(hù)及個(gè)人信息自由傳輸?shù)臈l例》，簡(jiǎn)稱為歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)，于2018年5月25日正式生效實(shí)施。GDPR無須歐盟成員國(guó)轉(zhuǎn)化為國(guó)內(nèi)法，可以直接適用于歐盟范圍內(nèi)的公民和企業(yè)。歐盟《一般數(shù)據(jù)保護(hù)條例》建立了歐盟范圍內(nèi)統(tǒng)一的個(gè)人信息保護(hù)和利用規(guī)則，提高了歐盟范圍信息利用和流通的效率[2]。

2016年，GDPR進(jìn)一步完善和細(xì)化了信息主體的權(quán)利，全面保障信息主體對(duì)個(gè)人信息的控制權(quán)。GDPR明確規(guī)定知情權(quán)、查詢權(quán)、修改權(quán)、刪除權(quán)、許可同意權(quán)、可攜權(quán)等，尤其強(qiáng)調(diào)以下權(quán)利：(1)許可同意權(quán)。GDPR第7條規(guī)定，信息主體有權(quán)許可同意他人利用個(gè)人信息，也可以撤銷許可，許可不具有溯及力，同意必須是明確的意思表示，不能是沉默或默示方式。第8條對(duì)兒童個(gè)人信息的同意做出了特殊規(guī)定，使用未滿16歲兒童的個(gè)人信息必須征得監(jiān)護(hù)人的同意。(2)查詢權(quán)。GDPR第15條規(guī)定，信息主體有權(quán)查詢利用者是否利用個(gè)人信息、利用的目的、信息種類和內(nèi)容、是否共享給他人、存儲(chǔ)期限等，并改變1995年《指令》查詢收費(fèi)的規(guī)定，僅僅在特殊情形下收取一定的費(fèi)用。(3)可移轉(zhuǎn)權(quán)。GDPR第20條規(guī)定，信息主體有權(quán)獲取并轉(zhuǎn)移個(gè)人信息，以增強(qiáng)個(gè)人信息控制權(quán)。(4)被遺忘權(quán)。GDPR第17條首次明確規(guī)定被遺忘權(quán)，信息主體有權(quán)請(qǐng)求信息利用者刪除個(gè)人信息，并規(guī)定基于公共利益而限制被遺忘權(quán)行使。GDPR規(guī)定信息主體行使上述權(quán)利時(shí)，信息利用者有在法定期限內(nèi)答復(fù)的義務(wù)。

GDPR進(jìn)一步擴(kuò)大并完善了信息控制者的義務(wù)。(1)區(qū)分風(fēng)險(xiǎn)等級(jí)的風(fēng)險(xiǎn)控制義務(wù)。較高風(fēng)險(xiǎn)情形下，信息利用者要承擔(dān)信息泄露通知和報(bào)告義務(wù)、事前影響評(píng)估義務(wù)、向信息保護(hù)局咨詢義務(wù)(GDPR第34條、第35條、第36條)，而一般風(fēng)險(xiǎn)和較低風(fēng)險(xiǎn)情形下，信息利用者承擔(dān)的風(fēng)險(xiǎn)控制義務(wù)較輕，以避免給非高風(fēng)險(xiǎn)利用者施加過重的負(fù)擔(dān)，促進(jìn)個(gè)人信息的商業(yè)利用。(2)告知義務(wù)。GDPR第19條、第33條、第34條規(guī)定，信息控制者向信息主體履行告知義務(wù)。但是，信息泄露風(fēng)險(xiǎn)較低時(shí)除外。此外，依據(jù)個(gè)人信息類型靈活確定敏感信息的處理規(guī)則。GDPR第9條第1款對(duì)特殊類型個(gè)人數(shù)據(jù)的處理進(jìn)行了更加合理的分類規(guī)范，以保護(hù)其中的個(gè)人隱私與自由。

GDPR還規(guī)定了嚴(yán)格的執(zhí)行監(jiān)督機(jī)制和完善的權(quán)利救濟(jì)措施。第一，加強(qiáng)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的執(zhí)法權(quán)力。GDPR專設(shè)第六章“獨(dú)立的監(jiān)管機(jī)構(gòu)”，對(duì)監(jiān)管機(jī)構(gòu)的設(shè)立、地位、程序性規(guī)定、職責(zé)與權(quán)力等方面進(jìn)行了詳細(xì)的規(guī)定。第二，確立數(shù)據(jù)保護(hù)專員制度。根據(jù)GDPR第37條規(guī)定，處理和利用大范圍的敏感信息時(shí)，數(shù)據(jù)控制者與處理者應(yīng)當(dāng)指定一名數(shù)據(jù)保護(hù)專員。第三，規(guī)定較完善的救濟(jì)機(jī)制。依據(jù)GDPR第82條，信息主體享有向數(shù)據(jù)控制者或處理者索賠的權(quán)利。GDPR第79條規(guī)定，信息主體享有向法院起訴數(shù)據(jù)控制者或者數(shù)據(jù)處理者的司法救濟(jì)權(quán)；第80條規(guī)定建立公益訴訟制度，歐盟成員國(guó)可以授予某些公益組織代表信息主體主張合法權(quán)益。GDPR的立法趨勢(shì)是不斷加強(qiáng)對(duì)數(shù)據(jù)主體權(quán)利的保護(hù)，不斷細(xì)化對(duì)數(shù)據(jù)控制者義務(wù)與行為規(guī)范的規(guī)定，以實(shí)現(xiàn)個(gè)人權(quán)利保護(hù)與數(shù)據(jù)有序自由流通的宗旨。

除了1995年的《數(shù)據(jù)保護(hù)指令》和2016年的GDPR之外，歐盟還針對(duì)電信業(yè)、數(shù)據(jù)保存做了特別規(guī)定。2002年的《隱私與電子通訊指令》規(guī)定，電信企業(yè)應(yīng)當(dāng)采取適當(dāng)措施保障用戶信息安全，尊重用戶對(duì)話費(fèi)清單、主叫號(hào)碼、姓名等個(gè)人信息享有的權(quán)利，只有征得用戶同意才能對(duì)其個(gè)人信息進(jìn)行商業(yè)利用，如撥打廣告電話和發(fā)送廣告?zhèn)髡妗?006年歐盟通過的《數(shù)據(jù)保存指令》主要規(guī)定電信企業(yè)留存數(shù)據(jù)的義務(wù)，各國(guó)決定數(shù)據(jù)留存的期限在六個(gè)月到二十四個(gè)月之間[3]。

二、美國(guó)個(gè)人信息商業(yè)利用規(guī)范

(一)基礎(chǔ)原則

美國(guó)“健康、教育和福利部”于1973年完成了題為《電腦、記錄與公民的權(quán)利》的報(bào)告，在該報(bào)告中第一次提出了《信息正當(dāng)運(yùn)用原則》(Fair Information Principles)。依據(jù)《信息正當(dāng)運(yùn)用原則》，信息利用者只能為合法目的收集個(gè)人信息，使用的個(gè)人信息必須正確、完整，信息主體有權(quán)接觸、質(zhì)疑和改正信息，個(gè)人信息不被隨意改變和泄露[4]。這些原則包括公開原則、個(gè)人參與原則、收集限制原則、數(shù)據(jù)質(zhì)量原則、終極原則、安全原則、責(zé)任原則，上述原則被體現(xiàn)在美國(guó)1974年的《隱私法》[5]中。

(二)立法體系

美國(guó)個(gè)人信息保護(hù)立法體系由1974年通過的《隱私法》以及一些特殊領(lǐng)域的一系列專門法律規(guī)范所構(gòu)成。1974年的《隱私法》是美國(guó)保護(hù)隱私權(quán)的基本法，規(guī)制行政機(jī)關(guān)使用個(gè)人信息的行為，防止行政機(jī)關(guān)濫用行政權(quán)力侵犯?jìng)€(gè)人隱私。除了聯(lián)邦立法外，美國(guó)有超過40個(gè)州制定了州隱私保護(hù)法。美國(guó)針對(duì)商業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息商業(yè)利用的立法，主要體現(xiàn)在《公平信用報(bào)告法》《電子通訊隱私法》《全球電子商務(wù)框架》等分散立法中。

美國(guó)針對(duì)個(gè)人信息商業(yè)利用的立法，主要在金融、消費(fèi)者保護(hù)、互聯(lián)網(wǎng)和通信、教育等領(lǐng)域進(jìn)行。第一，金融領(lǐng)域的立法。1970年公布的《公平信用報(bào)告法》是美國(guó)個(gè)人數(shù)據(jù)保護(hù)立法的開端。依據(jù)該法，信用報(bào)告機(jī)構(gòu)只有征得消費(fèi)者同意才可以披露信用報(bào)告，但是為消費(fèi)信用貸款等合法目的可以直接披露報(bào)告。1999年的《金融服務(wù)現(xiàn)代化法》規(guī)定了消費(fèi)者同意個(gè)人信息共享給他人的必要條件。第二，消費(fèi)者保護(hù)領(lǐng)域的立法。1988年的《錄像帶隱私保護(hù)法》原則上禁止經(jīng)營(yíng)者披露客戶信息，但是允許經(jīng)營(yíng)者轉(zhuǎn)讓根據(jù)租借類型分類的客戶名單，客戶有權(quán)拒絕參與這個(gè)名單。1994年的《有線電視消費(fèi)者保護(hù)和競(jìng)爭(zhēng)法》規(guī)定，消費(fèi)者同意是有線電視系統(tǒng)收集個(gè)人信息的必要條件。但該法允許轉(zhuǎn)讓消費(fèi)者名單，消費(fèi)者有機(jī)會(huì)拒絕參與這個(gè)名單。1994年的《駕駛員隱私保護(hù)法》要求信息主體授權(quán)是州交通部門轉(zhuǎn)讓駕駛員個(gè)人信息的前提。第三，教育領(lǐng)域的立法。1974年的《家庭教育權(quán)和隱私法》規(guī)定，教育機(jī)構(gòu)未經(jīng)未成年學(xué)生家長(zhǎng)的書面同意或成年學(xué)生本人的同意，不得披露學(xué)生的個(gè)人信息。第四，互聯(lián)網(wǎng)和通信領(lǐng)域的立法。1986年的《電子通信隱私法》適應(yīng)通訊技術(shù)的迅猛發(fā)展，目的在于禁止未經(jīng)授權(quán)的第三方截取或泄露個(gè)人通訊信息。1988年的《電腦比對(duì)和隱私保護(hù)法》,規(guī)范利用個(gè)人識(shí)別方法匹配關(guān)于同一個(gè)人的信息的行為。1991年的《電話用戶保護(hù)法》原則上禁止未經(jīng)電話用戶同意發(fā)送語(yǔ)音信息[6]。1998年的《兒童網(wǎng)上隱私保護(hù)法》針對(duì)美國(guó)部分網(wǎng)站收集和分析兒童個(gè)人信息的行為，強(qiáng)制要求網(wǎng)站告知隱私政策，并且征得13歲以下未成年人家長(zhǎng)的同意。針對(duì)網(wǎng)絡(luò)活動(dòng)和通信服務(wù)的，還有1984年的《電纜通訊法》、1986年的《電子通信隱私法》、1996年的《電訊法》等。

(三)行業(yè)自律機(jī)制

在美國(guó)，除了個(gè)別領(lǐng)域的立法之外，行業(yè)或企業(yè)內(nèi)部也制定行為規(guī)范以保護(hù)個(gè)人信息。例如，美國(guó)頒布的《金融隱私法》規(guī)范政府機(jī)關(guān)利用個(gè)人金融信息，銀行對(duì)個(gè)人信息的商業(yè)利用主要依據(jù)銀行的行業(yè)規(guī)范[7]。美國(guó)政府尊重行業(yè)的自律規(guī)范，而不是通過立法一刀切地規(guī)范信息利用行為。創(chuàng)立于美國(guó)的行業(yè)組織有美國(guó)計(jì)算機(jī)學(xué)會(huì)、DPMA、ICCP。實(shí)踐中，1977年，美國(guó)直銷商協(xié)會(huì)建立了郵件選擇系統(tǒng)，該系統(tǒng)允許顧客向一個(gè)服務(wù)中心發(fā)出通知，不再接受直郵廣告。此外，微軟、IBM等公司成立非盈利性機(jī)構(gòu)TRUSTe，商業(yè)改進(jìn)局(Better Business Bureau,BBB)下成立了BBB Online。盡管上述系統(tǒng)還存在諸多不足，但是美國(guó)民間行業(yè)組織仍然在為個(gè)人信息行業(yè)自律不斷探索新的模式。

美國(guó)政府鼓勵(lì)自由競(jìng)爭(zhēng)，發(fā)展行業(yè)自律，民事領(lǐng)域產(chǎn)生的問題盡可能依靠市場(chǎng)調(diào)節(jié)解決，避免對(duì)市場(chǎng)造成不適當(dāng)?shù)南拗?，促使各行各業(yè)自律組織不斷發(fā)展[8]。美國(guó)立法者認(rèn)為信息利用者能夠自我約束，實(shí)現(xiàn)保護(hù)個(gè)人信息的目的。一方面，云計(jì)算、大數(shù)據(jù)、人工智能等信息科技處于飛速發(fā)展中，行業(yè)自律可以避免國(guó)家過早立法限制信息科技的利用；另一方面，不同的行業(yè)對(duì)個(gè)人信息的收集與處理是不同的，行業(yè)自律可以增強(qiáng)個(gè)人信息保護(hù)的針對(duì)性。

行業(yè)自律與立法模式相較而言，弊端亦是很明顯的。第一，欠缺強(qiáng)制執(zhí)行力。行業(yè)自律組織不具有強(qiáng)制執(zhí)行力，網(wǎng)絡(luò)隱私認(rèn)證計(jì)劃(online privacy seal program)中的認(rèn)證機(jī)構(gòu)雖具有審查權(quán)，但那只是基于認(rèn)證協(xié)議的規(guī)定，不具有強(qiáng)制執(zhí)行的效力[9]。行業(yè)自律規(guī)范無最終的司法救濟(jì)機(jī)制，行業(yè)規(guī)范通常不被作為裁判的依據(jù)。另外，糾紛解決機(jī)制和解決程序均有待明確。第二，信息利用企業(yè)自愿參加行業(yè)自律組織導(dǎo)致參與的企業(yè)有限。雖然許多注重行業(yè)自律的大企業(yè)自愿參與行業(yè)自律協(xié)會(huì)，但是仍然有不少小企業(yè)為了降低經(jīng)營(yíng)成本不愿參與行業(yè)自律，實(shí)際上導(dǎo)致行業(yè)自律模式的普遍性不強(qiáng)。第三，對(duì)個(gè)人信息保護(hù)的實(shí)效不大。由于行業(yè)自律規(guī)范欠缺強(qiáng)制性，信息利用者在信息安全管理上所投入的精力和費(fèi)用實(shí)際不大，個(gè)人信息保護(hù)實(shí)效不明顯[10]。第四，對(duì)信息主體的賠償救濟(jì)機(jī)制不足。行業(yè)自律實(shí)質(zhì)是信息利用者的內(nèi)部自我管理，最高處罰就是取消資格認(rèn)證，缺乏對(duì)信息主體的賠償與救濟(jì)。對(duì)信息主體而言，這種模式無法替代立法模式下的司法救濟(jì)機(jī)制。正因?yàn)槿绱?，美?guó)采取立法與行業(yè)自律相結(jié)合的方式。

三、歐盟和美國(guó)個(gè)人信息商業(yè)利用規(guī)范比較

通過考察歐盟和美國(guó)個(gè)人信息商業(yè)利用規(guī)范，筆者發(fā)現(xiàn)上述規(guī)范有較多的共同之處，表現(xiàn)在：第一，立法追求趨同。歐盟2016年的GDPR和美國(guó)法都是以實(shí)現(xiàn)個(gè)人信息保護(hù)與信息自由利用的平衡為價(jià)值目標(biāo)，過于片面地強(qiáng)調(diào)個(gè)人信息保護(hù)或信息利用都是不足取的。第二，基本原則趨同。歐盟2016年的GDPR規(guī)定個(gè)人信息商業(yè)利用的基本原則包括收集限制原則、直接原則、數(shù)據(jù)質(zhì)量原則、目的特定原則、數(shù)據(jù)安全原則、個(gè)人參與原則、責(zé)任原則等。盡管美國(guó)采取分散立法模式，但其1973年的《信息正當(dāng)運(yùn)用原則》規(guī)定的個(gè)人信息商業(yè)利用的原則包括公開原則、個(gè)人參與原則、收集限制原則、數(shù)據(jù)質(zhì)量原則、安全原則、責(zé)任原則?？梢?，個(gè)人信息商業(yè)利用規(guī)范在宏觀價(jià)值追求和基本原則方面表現(xiàn)出明顯的趨同性。但是，在規(guī)范模式、信息主體權(quán)利基礎(chǔ)、信息利用者的義務(wù)、監(jiān)管模式與法律責(zé)任方面尚有明顯區(qū)別。

(一)規(guī)范模式

個(gè)人信息商業(yè)利用的規(guī)范模式包括立法模式和自律模式，大多數(shù)國(guó)家采取立法模式和自律模式相結(jié)合的規(guī)范模式，如歐盟采取立法模式為主、自律模式為輔的規(guī)范模式，美國(guó)則采取立法模式與自律模式并重的規(guī)范模式。美國(guó)沒有統(tǒng)一的個(gè)人信息商業(yè)利用法律規(guī)范，只有針對(duì)國(guó)家機(jī)關(guān)利用個(gè)人信息的統(tǒng)一規(guī)范，即《隱私法》，在金融、消費(fèi)者保護(hù)、電信、教育等領(lǐng)域?qū)€(gè)人信息分散立法。歐盟模式的核心特點(diǎn)是以統(tǒng)一立法模式為主、自律模式為輔，美國(guó)模式則針對(duì)不同領(lǐng)域制定單行法，并且結(jié)合行業(yè)自律來規(guī)范個(gè)人信息利用行為，其核心特點(diǎn)是分散立法與自律并重的模式。針對(duì)商業(yè)機(jī)構(gòu)，美國(guó)主要是通過行業(yè)或者企業(yè)的自律來實(shí)現(xiàn)個(gè)人信息保護(hù)與利用的平衡。

統(tǒng)一立法模式的優(yōu)勢(shì)是運(yùn)用國(guó)家強(qiáng)制力保證法律實(shí)施的權(quán)威性和穩(wěn)定性，統(tǒng)一立法能保證各部門、各行業(yè)的制度統(tǒng)一與協(xié)調(diào)，不足之處是欠缺靈活性、實(shí)施成本較大。分散立法模式則能結(jié)合各自行業(yè)的特點(diǎn)有針對(duì)性地立法，不足之處是各部門立法之間容易出現(xiàn)難以協(xié)調(diào)的沖突。自律模式逐漸成為當(dāng)前各國(guó)個(gè)人信息保護(hù)采用的模式之一，是由行業(yè)或企業(yè)制定行為規(guī)章或行為指引督促信息利用者主動(dòng)保護(hù)個(gè)人信息的模式，如美國(guó)在線隱私聯(lián)盟(OPA)、歐盟“EuroPriSe隱私標(biāo)識(shí)計(jì)劃”等。美國(guó)是采取自律模式的典型代表，自律模式的特點(diǎn)是政府主導(dǎo)與企業(yè)相配合，而不是完全由企業(yè)隨意自律。自律模式的優(yōu)勢(shì)是各行業(yè)制定適用于本領(lǐng)域的政策并靈活調(diào)整，通過認(rèn)證等行為指引手段督促企業(yè)主動(dòng)保護(hù)個(gè)人信息，可以根據(jù)行業(yè)特點(diǎn)“量體裁衣”，減少執(zhí)法成本，作為內(nèi)生規(guī)范更容易得到遵守，避免國(guó)家過早立法限制信息科技在社會(huì)的應(yīng)用。不足之處是欠缺強(qiáng)制性，實(shí)施效果不佳，以自愿為前提容易被排除適用；信息主體賠償請(qǐng)求得不到滿足；信息主體的財(cái)產(chǎn)權(quán)益得不到承認(rèn)和保障[11]。行業(yè)自律規(guī)范容易淪為引起交易雙方利益失衡的“不完全契約”，商家自擬的隱私聲明通常是格式條款，商家在格式條款中片面考慮單方的利益，不嚴(yán)格履行格式條款的約定，自律機(jī)制很容易流于形式[12]478-479。而大多數(shù)國(guó)家在立法進(jìn)程中不斷融合兩種典型模式的優(yōu)勢(shì)形成折衷模式，如日本兼收并蓄地吸收歐盟統(tǒng)一立法模式與美國(guó)自律模式的優(yōu)勢(shì)形成自己的特色。正因?yàn)樽月赡Ｊ酱嬖诘倪@些弊端，美國(guó)也沒有完全放棄立法規(guī)制，如《兒童在線隱私保護(hù)法》對(duì)兒童個(gè)人信息利用行為進(jìn)行立法規(guī)制。

(二)信息主體權(quán)利基礎(chǔ)

大數(shù)據(jù)時(shí)代背景下，信息利用已經(jīng)成為促進(jìn)經(jīng)濟(jì)創(chuàng)新發(fā)展的必要方面，但是仍然以保護(hù)信息主體的權(quán)利為前提。歐盟模式采取“個(gè)人權(quán)利本位”，規(guī)定了較完善的個(gè)人信息權(quán)利。歐盟法確認(rèn)個(gè)人信息權(quán)的絕對(duì)權(quán)性質(zhì)，規(guī)定較為完善的個(gè)人信息權(quán)內(nèi)容。歐盟對(duì)個(gè)人信息權(quán)利規(guī)定了最低標(biāo)準(zhǔn)，2016年，歐盟的GDPR直接適用于歐盟內(nèi)各企業(yè)，保證個(gè)人信息利用規(guī)范在歐盟內(nèi)的統(tǒng)一，并促進(jìn)歐盟內(nèi)成員國(guó)之間的信息利用與自由流通。因此，歐盟模式側(cè)重規(guī)定信息主體的個(gè)人信息權(quán)利，包括查詢權(quán)、修改權(quán)、刪除權(quán)、反對(duì)權(quán)、自主決定權(quán)等權(quán)利。歐盟2016年的GDPR第1條規(guī)定：“本法就對(duì)與個(gè)人數(shù)據(jù)的處理相關(guān)的自然人的保護(hù)及個(gè)人數(shù)據(jù)的自由流動(dòng)訂立規(guī)則?！币虼?，即使采取“權(quán)利本位”的歐盟及成員國(guó)也并未否定信息利用的價(jià)值追求。歐盟2016年的GDPR規(guī)定個(gè)人信息權(quán)利時(shí)，為了避免加重信息利用者的義務(wù)負(fù)擔(dān)、阻礙經(jīng)濟(jì)的發(fā)展，對(duì)信息利用者按照信息利用的不同風(fēng)險(xiǎn)設(shè)置不同的義務(wù)規(guī)范。而美國(guó)僅僅在對(duì)抗國(guó)家機(jī)關(guān)隨意收集、利用個(gè)人信息時(shí)，才承認(rèn)信息主體的基本人權(quán)；在商業(yè)利用情形中，更加強(qiáng)調(diào)信息流通與利用，擔(dān)心制定統(tǒng)一立法可能制約行業(yè)的發(fā)展。因此，美國(guó)模式只是規(guī)制商業(yè)機(jī)構(gòu)濫用個(gè)人信息的行為，在鼓勵(lì)個(gè)人信息商業(yè)利用的背景下保護(hù)個(gè)人信息，信息主體的權(quán)利與商業(yè)機(jī)構(gòu)的信息利用利益同樣受到重視。美國(guó)模式通過規(guī)定信息利用者的義務(wù)劃定信息利用行為的合法邊界，不違反義務(wù)性規(guī)定的信息利用行為都是合法的。美國(guó)法沒有確認(rèn)個(gè)人信息權(quán)的絕對(duì)權(quán)地位，而是在鼓勵(lì)數(shù)據(jù)交易的基礎(chǔ)上規(guī)制個(gè)人信息濫用的行為。綜上，歐盟明確規(guī)定信息主體的各項(xiàng)權(quán)利，是典型的直接規(guī)范模式；而美國(guó)則是通過規(guī)制商業(yè)機(jī)構(gòu)濫用個(gè)人信息的行為對(duì)個(gè)人信息進(jìn)行間接保護(hù)，是典型的間接規(guī)范模式。

歐盟直接規(guī)范模式與美國(guó)間接規(guī)范模式形成鮮明對(duì)比，不僅僅體現(xiàn)在是否明確規(guī)定信息主體的個(gè)人信息權(quán)，還體現(xiàn)在個(gè)人信息保護(hù)與信息利用二者的價(jià)值順位上。例如，歐盟和美國(guó)對(duì)于信息主體怠于做出明確同意的意思表示時(shí)的后果不同，歐盟由于規(guī)定了信息主體的知情同意權(quán)，如果信息主體沒有做出明確同意個(gè)人信息可以被商業(yè)利用的意思表示，信息利用者則不得使用個(gè)人信息，以保護(hù)信息主體的個(gè)人信息權(quán)；而美國(guó)則不同，如果信息主體沒有做出明確同意使用的意思表示，則推定商家有利用個(gè)人信息的權(quán)利，如果信息主體想行使拒絕權(quán)還必須支付相應(yīng)的費(fèi)用。由此觀之，美國(guó)模式下個(gè)人信息商業(yè)利用規(guī)范的第一位價(jià)值目標(biāo)是促進(jìn)信息自由利用，兼顧信息主體的權(quán)利。歐盟則是以個(gè)人信息保護(hù)作為第一位價(jià)值目標(biāo)，兼顧信息利用與流通。

值得關(guān)注的是，歐盟法對(duì)個(gè)人信息權(quán)利的認(rèn)可開始出現(xiàn)財(cái)產(chǎn)權(quán)趨向。歐盟法不僅確認(rèn)信息主體的人格權(quán)，而且表現(xiàn)出確認(rèn)財(cái)產(chǎn)權(quán)的趨勢(shì)，例如信息主體享有的同意權(quán)和刪除權(quán)，意味著信息主體對(duì)個(gè)人信息享有終止許可使用的權(quán)利，信息利用者因此可能承受一定的財(cái)產(chǎn)負(fù)擔(dān)。信息主體的這種權(quán)利不僅約束許可利用合同中的利用者，還約束接觸到個(gè)人信息的第三方，表現(xiàn)出財(cái)產(chǎn)權(quán)的絕對(duì)權(quán)性質(zhì)。美國(guó)法雖然沒有立法確認(rèn)個(gè)人信息財(cái)產(chǎn)權(quán)，但是在判例中確認(rèn)信息主體對(duì)其基因信息享有財(cái)產(chǎn)收益權(quán)[注]參見Moore v. Regents of the University of California,793P .2d 479 (Cal. 1990)。。

(三)信息利用者的義務(wù)

國(guó)際組織制定的個(gè)人信息商業(yè)利用規(guī)范實(shí)質(zhì)是信息利用者的義務(wù)性規(guī)范，一般包括限制使用義務(wù)、合法性義務(wù)、保證數(shù)據(jù)質(zhì)量義務(wù)、告知義務(wù)、保護(hù)數(shù)據(jù)安全等。值得一提的是，歐盟2016年的GDPR強(qiáng)化對(duì)敏感信息的風(fēng)險(xiǎn)控制處理，并規(guī)定不同風(fēng)險(xiǎn)等級(jí)下的風(fēng)險(xiǎn)控制義務(wù)，而不是一刀切的風(fēng)險(xiǎn)控制義務(wù)。一般風(fēng)險(xiǎn)和較低風(fēng)險(xiǎn)下信息利用者承擔(dān)的風(fēng)險(xiǎn)控制義務(wù)較輕，以避免給非高風(fēng)險(xiǎn)利用者施加過重的負(fù)擔(dān)，從而促進(jìn)個(gè)人信息的商業(yè)利用。如何判斷個(gè)人信息利用風(fēng)險(xiǎn)，GDPR沒有明確規(guī)定。商業(yè)實(shí)踐證明，個(gè)人信息類型、信息利用的方式等因素都可能導(dǎo)致不同風(fēng)險(xiǎn)，敏感信息風(fēng)險(xiǎn)高于一般個(gè)人信息風(fēng)險(xiǎn)，身份識(shí)別為目的的利用風(fēng)險(xiǎn)高于非身份識(shí)別為目的的利用風(fēng)險(xiǎn)。即使同為敏感信息，GDPR第9條對(duì)特殊類型個(gè)人數(shù)據(jù)的處理進(jìn)行了更加合理的分類規(guī)范。種族或民族起源、政治觀點(diǎn)、宗教信仰、哲學(xué)信仰、工會(huì)成員資格等個(gè)人信息可以被處理但不得被泄露，個(gè)人基因數(shù)據(jù)、生物特征數(shù)據(jù)可以進(jìn)行非身份識(shí)別的處理，健康數(shù)據(jù)、性生活、性取向等相關(guān)數(shù)據(jù)則完全被禁止處理。基于不同風(fēng)險(xiǎn)等級(jí)的信息利用情形，信息利用者所承擔(dān)的義務(wù)不同，這是歐盟改變傳統(tǒng)“權(quán)利本位”模式下信息利用者義務(wù)過重弊端的最大亮點(diǎn)。

美國(guó)對(duì)個(gè)人信息商業(yè)利用更多采取自律模式，信息主體有義務(wù)了解信息利用條款，并按照信息利用者制定的程序和格式條款進(jìn)行選擇。如果信息主體不積極行使自己的權(quán)利，信息利用者沒有義務(wù)保護(hù)信息主體的權(quán)益。美國(guó)自律模式下，是否加入行業(yè)認(rèn)證計(jì)劃取決于信息利用者，有很多企業(yè)沒有選擇加入，而且其所設(shè)的義務(wù)沒有強(qiáng)制性，對(duì)信息主體的保護(hù)效果大打折扣。換言之，歐盟模式下，信息利用者有主動(dòng)保護(hù)信息主體個(gè)人信息權(quán)利的義務(wù)；美國(guó)模式下，很多情形下保護(hù)個(gè)人信息權(quán)是信息主體自己的義務(wù)，而非一概是信息利用者的義務(wù)。

(四)監(jiān)管機(jī)制

歐盟注重事前預(yù)防，設(shè)立專門的監(jiān)管機(jī)構(gòu)負(fù)責(zé)監(jiān)管個(gè)人信息利用行為。2016年的GDPR規(guī)定，在非公務(wù)機(jī)關(guān)核心業(yè)務(wù)涉及大規(guī)模敏感數(shù)據(jù)的處理時(shí)，或成員國(guó)法律明確要求的情形中，數(shù)據(jù)控制者與處理者必須指定一名數(shù)據(jù)保護(hù)專員監(jiān)督本企業(yè)的數(shù)據(jù)利用行為，并非要求所有數(shù)據(jù)利用企業(yè)都設(shè)立數(shù)據(jù)保護(hù)專員。歐盟對(duì)企業(yè)設(shè)置數(shù)據(jù)保護(hù)專員是根據(jù)風(fēng)險(xiǎn)等級(jí)做出不同規(guī)范的表現(xiàn)，歐盟這一模式可謂統(tǒng)一監(jiān)管與自律監(jiān)管相結(jié)合。美國(guó)模式主張通過信息利用者的自律實(shí)現(xiàn)信息安全，不設(shè)置統(tǒng)一的專門監(jiān)督機(jī)構(gòu)，這種監(jiān)管模式不利于美國(guó)自律規(guī)范的有效實(shí)施。

四、對(duì)我國(guó)構(gòu)建個(gè)人信息商業(yè)利用規(guī)范的啟示

域外法考察的最終目的是借鑒他國(guó)的先進(jìn)理念，為我國(guó)個(gè)人信息商業(yè)利用規(guī)范提供參考。歐盟模式和美國(guó)模式各有特色與利弊，對(duì)我國(guó)制定個(gè)人信息商業(yè)利用規(guī)范有以下啟示。

(一)規(guī)范模式

首先，統(tǒng)一立法。我國(guó)的行業(yè)組織不具有如美國(guó)行業(yè)組織所具有的法律地位，而且行業(yè)自律不具有強(qiáng)制性，統(tǒng)一立法能夠?qū)崿F(xiàn)司法裁判的統(tǒng)一，因此統(tǒng)一立法仍然應(yīng)當(dāng)是個(gè)人信息商業(yè)利用規(guī)范的主要方面。大數(shù)據(jù)時(shí)代，市場(chǎng)經(jīng)營(yíng)者數(shù)據(jù)利用程度較高，可能通過濫用個(gè)人信息侵害信息主體的生活安寧、就業(yè)機(jī)會(huì)、財(cái)產(chǎn)權(quán)益等。我國(guó)刑法中新設(shè)的非法收集、泄露公民個(gè)人信息罪的主體既可以是國(guó)家機(jī)關(guān)，也可以是市場(chǎng)經(jīng)營(yíng)者。《消費(fèi)者權(quán)益保護(hù)法》也已經(jīng)加入了經(jīng)營(yíng)者保護(hù)消費(fèi)者個(gè)人信息權(quán)的相關(guān)條款。從現(xiàn)實(shí)需求的角度出發(fā)，我國(guó)將來制定的個(gè)人信息保護(hù)法應(yīng)當(dāng)同時(shí)規(guī)范公權(quán)力機(jī)關(guān)和市場(chǎng)經(jīng)營(yíng)者的信息利用行為。但是，為了避免出現(xiàn)部門立法不一、協(xié)調(diào)困難的后果，我國(guó)應(yīng)當(dāng)借鑒美國(guó)國(guó)家機(jī)關(guān)與商業(yè)機(jī)構(gòu)的分別立法模式，制定專門的個(gè)人信息商業(yè)利用法律規(guī)范，區(qū)別于國(guó)家機(jī)關(guān)的信息利用規(guī)范。

其次，分散立法。隨著互聯(lián)網(wǎng)、云計(jì)算、傳感器、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等信息技術(shù)的不斷發(fā)展，個(gè)人信息商業(yè)利用模式也在不斷推陳出新，過于穩(wěn)定不變的統(tǒng)一立法不利于信息處理行業(yè)利用先進(jìn)技術(shù)實(shí)現(xiàn)創(chuàng)新發(fā)展。分散立法具有較強(qiáng)的針對(duì)性，如工信部可以制定專門適用于電信企業(yè)的商業(yè)利用規(guī)范，以區(qū)別于商業(yè)銀行個(gè)人信息商業(yè)利用規(guī)范，實(shí)現(xiàn)分散立法的針對(duì)性和靈活性。我國(guó)當(dāng)前的立法現(xiàn)狀就是分散立法模式，在統(tǒng)一立法出臺(tái)之前，其將繼續(xù)發(fā)揮規(guī)制個(gè)人信息濫用、保護(hù)個(gè)人信息的功能。統(tǒng)一立法出臺(tái)之后，《征信業(yè)管理?xiàng)l例》《網(wǎng)絡(luò)安全法》等領(lǐng)域法與統(tǒng)一立法不一致之處應(yīng)當(dāng)被修改，但分散立法可以保留不違反統(tǒng)一立法基本原則、適用于本行業(yè)信息利用的特殊規(guī)范，如醫(yī)療行業(yè)規(guī)范可以對(duì)健康信息商業(yè)利用行為制定更嚴(yán)格的保護(hù)與利用規(guī)則。但是，為了避免各領(lǐng)域分散立法可能導(dǎo)致的司法不統(tǒng)一，司法機(jī)關(guān)應(yīng)當(dāng)以統(tǒng)一立法為最低的裁判標(biāo)準(zhǔn)。

最后，行業(yè)自律。雖然我國(guó)的行業(yè)自律組織還有待完善，但是對(duì)于新技術(shù)革命帶來的社會(huì)變革，統(tǒng)一立法和分散立法都顯得過于滯后，行業(yè)自律規(guī)范作為立法不足的補(bǔ)充規(guī)范意義重大。而且，行業(yè)自律模式具有其他立法模式無法企及的靈活性。各行業(yè)可以根據(jù)行業(yè)特點(diǎn)適用不同的自律方式，以網(wǎng)絡(luò)行業(yè)為例，行業(yè)自律的要素可以包括：(1)網(wǎng)站隱私權(quán)保護(hù)政策，確立業(yè)界自我基本保護(hù)標(biāo)準(zhǔn)，自我規(guī)范和約束，明確信息收集的目的、方式、用途，以及用戶權(quán)利、安全保障措施、網(wǎng)站免責(zé)條款等；(2)自律保護(hù)組織，加強(qiáng)機(jī)制保障，賦予保護(hù)組織制定隱私權(quán)規(guī)劃和保護(hù)標(biāo)準(zhǔn)，明確政策、行為規(guī)范和保護(hù)措施，監(jiān)督、檢查和處理投訴等的權(quán)利義務(wù)；(3)達(dá)標(biāo)認(rèn)證和監(jiān)督機(jī)構(gòu)，加強(qiáng)動(dòng)態(tài)監(jiān)督，規(guī)定審核、評(píng)估、認(rèn)證標(biāo)志發(fā)放、監(jiān)督的具體機(jī)制等；(4)技術(shù)軟件研發(fā)，開展技術(shù)研發(fā)，提供技術(shù)后盾，明確隱私政策技術(shù)的標(biāo)準(zhǔn)，規(guī)定技術(shù)研發(fā)的激勵(lì)措施等[13]。例如，2013年12月28日，微信海外版及其網(wǎng)站獲得數(shù)據(jù)隱私管理(DPM)公司TRUSTe的認(rèn)證[14]。信息主體更愿意利用微信平臺(tái)，信息供給的充足又促進(jìn)騰訊對(duì)個(gè)人信息的商業(yè)利用。由民間認(rèn)證評(píng)級(jí)機(jī)構(gòu)對(duì)企業(yè)的個(gè)人信息保護(hù)政策進(jìn)行認(rèn)證測(cè)評(píng)，亦能督促信息利用者主動(dòng)保護(hù)個(gè)人信息。例如，2017年8月16日，北京大學(xué)互聯(lián)網(wǎng)法律中心發(fā)布的《互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)抽樣測(cè)評(píng)報(bào)告(2017)》以隱私政策所體現(xiàn)對(duì)個(gè)人信息的保護(hù)進(jìn)行測(cè)評(píng)[15]。由于行業(yè)自律不具有強(qiáng)制性，實(shí)施效果可能會(huì)受影響，我國(guó)可以借鑒日本模式對(duì)行業(yè)自律設(shè)立專門的監(jiān)管機(jī)構(gòu)，對(duì)行業(yè)自律進(jìn)行引導(dǎo)和監(jiān)管。例如，從2017年7月26日起，中央網(wǎng)信辦等四個(gè)國(guó)家相關(guān)主管部門開展“個(gè)人信息保護(hù)提升行動(dòng)”，開始對(duì)微信、淘寶等十款網(wǎng)絡(luò)產(chǎn)品和服務(wù)的隱私條款進(jìn)行評(píng)審，重點(diǎn)內(nèi)容包括是否明確告知使用個(gè)人信息的規(guī)則等。國(guó)家統(tǒng)一監(jiān)管之下的行業(yè)自律，可以實(shí)現(xiàn)自發(fā)性與強(qiáng)制性的統(tǒng)一。

綜上，我國(guó)個(gè)人信息商業(yè)利用規(guī)范應(yīng)當(dāng)采取統(tǒng)一立法、領(lǐng)域立法、行業(yè)自律三個(gè)層次的規(guī)范模式。即在專門的個(gè)人信息保護(hù)法中對(duì)商業(yè)機(jī)構(gòu)個(gè)人信息利用的共同規(guī)范專門設(shè)章節(jié)進(jìn)行統(tǒng)一規(guī)范，而且依據(jù)醫(yī)院、銀行、保險(xiǎn)、電信、電子商務(wù)等各領(lǐng)域的特點(diǎn)制定適用各自領(lǐng)域的個(gè)人信息商業(yè)利用規(guī)范，同時(shí)輔之以行業(yè)認(rèn)證、自律政策等自律規(guī)范。

(二)個(gè)人信息權(quán)利基礎(chǔ)

美國(guó)以隱私權(quán)作為個(gè)人信息保護(hù)的權(quán)利基礎(chǔ)。但是，隨著數(shù)據(jù)經(jīng)濟(jì)的日益發(fā)展，美國(guó)越來越注重立足信息利用對(duì)促進(jìn)經(jīng)濟(jì)發(fā)展的重要意義。為了兼顧信息利用者的合理需求，避免因個(gè)人信息保護(hù)對(duì)經(jīng)濟(jì)運(yùn)行造成不合比例的負(fù)擔(dān)，美國(guó)法對(duì)隱私權(quán)保護(hù)模式盡可能進(jìn)行變通處理，以實(shí)現(xiàn)信息利用與個(gè)人信息保護(hù)之間的平衡。盡管在個(gè)人信息商業(yè)利用背景下，靜態(tài)防御性的隱私權(quán)被發(fā)展為信息自決的信息隱私權(quán)，信息主體可以授權(quán)信息利用者對(duì)個(gè)人信息進(jìn)行商業(yè)利用。但是，信息隱私權(quán)的行使以信息主體明確表示不同意信息利用者利用個(gè)人信息為要件，否則該法推定信息主體同意信息利用者的使用行為[12]251。由此可見，美國(guó)法并沒有確定絕對(duì)的信息隱私權(quán)。美國(guó)法以信息自由作為規(guī)范的價(jià)值基礎(chǔ)，美國(guó)始終沒有出臺(tái)統(tǒng)一的個(gè)人信息保護(hù)立法，沒有明確個(gè)人信息權(quán)利，也未能設(shè)立統(tǒng)一的獨(dú)立監(jiān)督機(jī)構(gòu)。

歐盟國(guó)家以保護(hù)個(gè)人信息權(quán)利作為規(guī)范個(gè)人信息商業(yè)利用行為的基礎(chǔ)。1995年的歐盟《指令》確立了個(gè)人信息權(quán)利，并設(shè)置專門機(jī)構(gòu)監(jiān)管信息利用行為。2016年的歐盟GDPR繼續(xù)保持確立個(gè)人信息權(quán)利并予以嚴(yán)格的法律保護(hù)。歐盟從人權(quán)保護(hù)觀念的角度來規(guī)范個(gè)人信息商業(yè)利用行為，將個(gè)人信息權(quán)提升到基本權(quán)利的高度；從人格權(quán)角度確認(rèn)個(gè)人信息權(quán)，包括訪問權(quán)、刪除權(quán)、反對(duì)權(quán)等。同時(shí)，歐盟GDPR規(guī)定信息主體享有對(duì)個(gè)人信息的許可同意權(quán)、刪除權(quán)，表明歐盟法有賦予信息主體財(cái)產(chǎn)權(quán)的趨勢(shì)。

我國(guó)是否應(yīng)當(dāng)以美國(guó)隱私權(quán)、歐盟個(gè)人信息權(quán)作為權(quán)利基礎(chǔ)值得進(jìn)一步分析。隱私權(quán)的內(nèi)涵和外延難以界定，在美國(guó)實(shí)際上承擔(dān)著一般人格權(quán)的功能，需要在具體個(gè)案中考察是否侵害隱私，內(nèi)涵和外延的模糊性不利于信息主體的權(quán)益保護(hù)。在商業(yè)利用規(guī)范中，美國(guó)通過分散立法和自律模式規(guī)制個(gè)人信息濫用行為，并未對(duì)個(gè)人信息權(quán)進(jìn)行確認(rèn)。歐盟模式則恰恰與之相反，明確規(guī)定查詢權(quán)、修改權(quán)、許可同意權(quán)、被遺忘權(quán)、轉(zhuǎn)移權(quán)等。保護(hù)個(gè)人信息是個(gè)人信息商業(yè)利用的前提，信息利用者收集、處理個(gè)人信息的能力遠(yuǎn)遠(yuǎn)超過信息主體本人，我國(guó)應(yīng)當(dāng)借鑒歐盟模式確認(rèn)信息主體的個(gè)人信息權(quán)利，防范信息利用者將保護(hù)個(gè)人信息的義務(wù)轉(zhuǎn)嫁給信息主體。只有確認(rèn)個(gè)人信息權(quán)，才能保障查詢權(quán)、修改權(quán)、刪除權(quán)、知情權(quán)等權(quán)利得以實(shí)現(xiàn)，這些權(quán)利的實(shí)現(xiàn)有賴于信息利用者履行積極協(xié)助的義務(wù)。

此外，各國(guó)個(gè)人信息保護(hù)法中對(duì)于信息主體的查詢權(quán)、修改權(quán)、知情權(quán)、保持信息完整權(quán)、刪除權(quán)等權(quán)能的規(guī)定基本趨同，值得我國(guó)參考借鑒。遺憾的是，大多數(shù)國(guó)家個(gè)人信息保護(hù)法雖然強(qiáng)調(diào)個(gè)人信息控制權(quán)，但是并未認(rèn)識(shí)到大數(shù)據(jù)的市場(chǎng)價(jià)值，沒有明確個(gè)人信息控制權(quán)中的財(cái)產(chǎn)權(quán)內(nèi)涵，沒有直接認(rèn)可信息主體的財(cái)產(chǎn)權(quán)。歐盟2016年的GDPR中的同意權(quán)、刪除權(quán)雖然有財(cái)產(chǎn)權(quán)保護(hù)趨勢(shì)，但是并未全面規(guī)定信息主體的財(cái)產(chǎn)權(quán)。大數(shù)據(jù)時(shí)代，個(gè)人信息的商業(yè)利用如此頻繁，毋庸置疑，個(gè)人信息中承載著財(cái)產(chǎn)利益，但是如何對(duì)財(cái)產(chǎn)利益進(jìn)行法律確認(rèn)，值得我國(guó)個(gè)人信息保護(hù)立法時(shí)慎重考慮。

(三)類型化規(guī)范

國(guó)際組織及各國(guó)個(gè)人信息保護(hù)法律中確立的收集、使用個(gè)人信息的基本原則值得借鑒，尤其是告知同意原則、目的限制原則、安全保護(hù)原則、必要性原則。歐盟法將個(gè)人信息利用活動(dòng)產(chǎn)生的風(fēng)險(xiǎn)分為不同等級(jí)，不同風(fēng)險(xiǎn)等級(jí)下信息利用者的風(fēng)險(xiǎn)控制義務(wù)不同，以實(shí)現(xiàn)個(gè)人信息保護(hù)與信息自由利用的平衡。為促進(jìn)個(gè)人信息的商業(yè)利用，歐盟還對(duì)敏感信息的處理利用做了類型化規(guī)定，敏感信息并非一概禁止商業(yè)利用。美國(guó)區(qū)分敏感信息與非敏感信息，對(duì)兒童信息等敏感信息進(jìn)行特殊保護(hù)[16]。美國(guó)法規(guī)定的信息利用者義務(wù)不僅僅是為保護(hù)個(gè)人信息權(quán)利而設(shè)，更多的是兼顧信息隱私權(quán)和信息利用者利益，運(yùn)用“法不禁止即自由”理論允許義務(wù)規(guī)范之外的信息利用行為，很多規(guī)范都規(guī)定信息主體承擔(dān)保護(hù)個(gè)人信息的義務(wù)，而不是信息利用者承擔(dān)該項(xiàng)義務(wù)。歐盟和美國(guó)都運(yùn)用類型化方法規(guī)范個(gè)人信息商業(yè)利用行為，但是個(gè)人信息的合理類型、不同類型的個(gè)人信息許可利用模式和保護(hù)模式尚缺乏詳細(xì)的類型化規(guī)范。綜上，我國(guó)構(gòu)建個(gè)人信息商業(yè)利用規(guī)范時(shí)應(yīng)當(dāng)借鑒和參考國(guó)外的類型化方法，合理確定個(gè)人信息的類型，并根據(jù)個(gè)人信息的不同類型和商業(yè)利用的不同情形設(shè)置不同的許可利用模式和保護(hù)模式。

(四)監(jiān)管和法律責(zé)任

自律模式下的美國(guó)沒有獨(dú)立的監(jiān)管機(jī)構(gòu)，難免出現(xiàn)信息利用者不嚴(yán)格按照行業(yè)行為規(guī)則履行義務(wù)、侵害信息主體權(quán)益的行為。歐盟則建立了專門的監(jiān)督機(jī)構(gòu)，監(jiān)管信息利用行為。我國(guó)應(yīng)當(dāng)仿效歐盟，設(shè)置專職機(jī)關(guān)，統(tǒng)籌個(gè)人資料保護(hù)法律的落實(shí)，對(duì)個(gè)人信息商業(yè)利用行為和行業(yè)自律實(shí)施全面監(jiān)控，提高執(zhí)法效率，促使個(gè)人信息得到有效保護(hù)。美國(guó)對(duì)個(gè)人信息侵害行為規(guī)定了刑事、行政、民事責(zé)任，其中的侵權(quán)損害賠償歸責(zé)原則、損害賠償數(shù)額確定等制度值得借鑒。

總之，我國(guó)構(gòu)建個(gè)人信息商業(yè)利用規(guī)范時(shí)要廣泛吸取當(dāng)前其他國(guó)家和地區(qū)個(gè)人信息保護(hù)立法和實(shí)踐的經(jīng)驗(yàn)，找出不同模式的不足與優(yōu)勢(shì)，借鑒先進(jìn)制度，并充分重視我國(guó)的實(shí)際情況，為我國(guó)規(guī)范個(gè)人信息商業(yè)利用行為提供充分有效的法律依據(jù)。我國(guó)應(yīng)當(dāng)兼采歐盟模式和美國(guó)模式之長(zhǎng)，采取統(tǒng)一立法、分散立法、自律相結(jié)合的規(guī)范模式，個(gè)人信息商業(yè)利用規(guī)范應(yīng)當(dāng)區(qū)別于國(guó)家機(jī)關(guān)信息利用規(guī)范，尤其是借鑒美國(guó)法通過行業(yè)自律保護(hù)個(gè)人信息、促進(jìn)信息自由利用；借鑒歐盟完善的個(gè)人信息權(quán)利體系，堅(jiān)持個(gè)人信息權(quán)、人格權(quán)和財(cái)產(chǎn)權(quán)的雙重保護(hù)。值得注意的是，單個(gè)的個(gè)人信息并沒有明顯的財(cái)產(chǎn)屬性，但是大數(shù)據(jù)時(shí)代個(gè)人信息被商業(yè)利用時(shí)則凸顯其財(cái)產(chǎn)屬性，信息主體有權(quán)請(qǐng)求信息利用者支付報(bào)酬，但這并不影響信息利用者享有基于個(gè)人信息加工后產(chǎn)生的衍生數(shù)據(jù)的財(cái)產(chǎn)權(quán)。同時(shí)，立法者需要處理好個(gè)人信息利用中信息主體與信息利用者之間權(quán)利義務(wù)的分配，例如，披露匿名化數(shù)據(jù)的數(shù)據(jù)控制者仍然要承擔(dān)一定的義務(wù)，“以更好地保護(hù)數(shù)據(jù)主體的個(gè)人信息”[17];依據(jù)風(fēng)險(xiǎn)等級(jí)靈活設(shè)置信息利用者的義務(wù)，而不是一味給信息利用者增加過重負(fù)擔(dān)，以促進(jìn)信息利用與企業(yè)發(fā)展。借鑒歐盟模式，設(shè)立獨(dú)立的個(gè)人信息商業(yè)利用的監(jiān)管機(jī)構(gòu)，發(fā)生侵害個(gè)人信息行為時(shí)允許權(quán)利人通過司法途徑尋求救濟(jì)。