張友連 厲健強(qiáng)

一、問(wèn)題的提出

2021年11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)正式生效，標(biāo)志著我國(guó)公民的個(gè)人信息有了專門(mén)的法律保護(hù)。個(gè)人對(duì)自身信息的自決權(quán)與救濟(jì)權(quán)得到了切實(shí)保障，人們終于不必再擔(dān)心在信息時(shí)代“裸泳”了?！秱€(gè)人信息保護(hù)法》在借鑒歐盟《一般數(shù)據(jù)保護(hù)條例》等經(jīng)驗(yàn)的基礎(chǔ)上，形成了諸多亮點(diǎn)和創(chuàng)新。比如，在個(gè)人信息的分類上，《個(gè)人信息保護(hù)法》改變了《中華人民共和國(guó)民法典》(以下簡(jiǎn)稱《民法典》)中私密信息與一般個(gè)人信息的二分，采取了敏感信息與非敏感信息劃分。如果將時(shí)間維度放寬，可以發(fā)現(xiàn)中國(guó)早期涉及個(gè)人信息保護(hù)的立法中并未對(duì)個(gè)人信息加以分類，僅以“個(gè)人信息”或“用戶信息”等概念予以整體概括。2012年出臺(tái)的《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(以下簡(jiǎn)稱《網(wǎng)信保護(hù)決定》)開(kāi)始對(duì)個(gè)人信息進(jìn)行分類，但其側(cè)重點(diǎn)僅在形式意義上進(jìn)行，并未涉及實(shí)質(zhì)性內(nèi)容?！吨腥A人民共和國(guó)未成年人保護(hù)法》(以下簡(jiǎn)稱《未成年人保護(hù)法》)和《民法典》中雖進(jìn)行了實(shí)質(zhì)分類，但多采用“隱私信息”“私密信息”等與隱私權(quán)在形式上難以明確區(qū)分的概念。在《個(gè)人信息保護(hù)法》中，形成了兼具形式與實(shí)質(zhì)特征的分類——敏感信息與非敏感信息。由此產(chǎn)生的問(wèn)題是，分類的背后促進(jìn)個(gè)人信息保護(hù)立法發(fā)展的法理念是什么？如何在新的法理念下優(yōu)化個(gè)人信息治理？

二、個(gè)人信息保護(hù)立法中的安全理念

“個(gè)人信息”概念首次出現(xiàn)于2003年的《居民身份證法》，該法第6條規(guī)定，公安機(jī)關(guān)及其人民警察對(duì)因制作、發(fā)放、查驗(yàn)、扣押居民身份證而知悉的公民的個(gè)人信息有保密義務(wù)。此時(shí)對(duì)于個(gè)人信息的保護(hù)依附于公職人員履職的義務(wù)之下，也就無(wú)所謂分類之說(shuō)。此后各類涉及個(gè)人信息保護(hù)的法律、行政法規(guī)多沿此慣例，未對(duì)個(gè)人信息進(jìn)行分類，而是以一個(gè)統(tǒng)一的概念概而論之。并且對(duì)這一“統(tǒng)一概念”的表述也沒(méi)有做到真正的統(tǒng)一，“個(gè)人信息”“個(gè)人電子信息”“用戶信息”等各異的概念均有出現(xiàn)。直到《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》出臺(tái)后，“個(gè)人信息”的表述才基本穩(wěn)定，并且開(kāi)始出現(xiàn)對(duì)于個(gè)人信息分類的嘗試，這種嘗試的出現(xiàn)與當(dāng)時(shí)頻發(fā)的網(wǎng)絡(luò)安全事件密切相關(guān)。

由于之前缺乏必要的法律規(guī)制，網(wǎng)絡(luò)安全問(wèn)題在2011年前后集中爆發(fā)。2011年12月21日下午，有網(wǎng)友反映稱，CSDN的用戶數(shù)據(jù)庫(kù)被黑，600余萬(wàn)用戶資料被泄露。CSDN在官方微博上證實(shí)這一消息，并表示已經(jīng)報(bào)案。此后，越來(lái)越多的網(wǎng)站賬戶信息在網(wǎng)上流傳，越來(lái)越多的網(wǎng)絡(luò)平臺(tái)被曝賬戶信息泄露，最終席卷全網(wǎng)20多個(gè)平臺(tái)，造成四千七百多萬(wàn)賬戶信息及其他大量文件泄露。除了上述的“互聯(lián)網(wǎng)賬戶信息泄露事件”外，還有“安卓市場(chǎng)惡意軟件”“IE篡改木馬病毒”“蠕蟲(chóng)病毒”“網(wǎng)絡(luò)釣魚(yú)”等互聯(lián)網(wǎng)安全事件不斷發(fā)生，挑戰(zhàn)著公眾的安全神經(jīng)。

“問(wèn)題是時(shí)代的聲音”，為了因應(yīng)層出不窮的網(wǎng)絡(luò)安全問(wèn)題，2012年起一系列保護(hù)網(wǎng)絡(luò)安全、保護(hù)電子個(gè)人信息的法律、法規(guī)相繼出臺(tái)，拉開(kāi)了中國(guó)個(gè)人信息保護(hù)立法飛速發(fā)展的大幕。正是在應(yīng)對(duì)層出不窮的網(wǎng)絡(luò)安全問(wèn)題的過(guò)程中，立法體現(xiàn)了“加強(qiáng)網(wǎng)絡(luò)社會(huì)管理，推進(jìn)網(wǎng)絡(luò)依法規(guī)范有序進(jìn)行”的“安全理念”。這在2012年頒行《網(wǎng)信保護(hù)決定》的立法目的和適用范圍條款中可見(jiàn)端倪。《網(wǎng)信保護(hù)決定》開(kāi)宗明義地指出：“為了保護(hù)網(wǎng)絡(luò)信息安全，保障公民、法人和其他組織的合法權(quán)益，維護(hù)國(guó)家安全和社會(huì)公共利益，特此決定?！痹谶@里“保護(hù)網(wǎng)絡(luò)信息安全”是居于所有目的之首并統(tǒng)領(lǐng)其他目的的?！毒W(wǎng)信保護(hù)決定》的適用范圍主要集中于互聯(lián)網(wǎng)商業(yè)服務(wù)領(lǐng)域，主要規(guī)制“網(wǎng)絡(luò)服務(wù)提供者”的活動(dòng)，這正是對(duì)2011年以來(lái)所出現(xiàn)的一系列網(wǎng)絡(luò)安全問(wèn)題的回應(yīng)。對(duì)公民權(quán)利的保護(hù)僅有第8條規(guī)定的“要求刪除”和“其他必要措施予以制止”，兩相對(duì)比，輕重立見(jiàn)。

相較于前期對(duì)個(gè)人信息的不做分類，《網(wǎng)信保護(hù)決定》開(kāi)始了對(duì)個(gè)人信息分類的嘗試。《網(wǎng)信保護(hù)決定》第一條中規(guī)定了“國(guó)家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息”，從形式上看，將“公民個(gè)人電子信息”分成了“識(shí)別公民個(gè)人身份的電子信息”與“涉及公民隱私的電子信息”，似乎開(kāi)“個(gè)人信息”分類之先，但是考察全文可以發(fā)現(xiàn)《網(wǎng)信保護(hù)決定》保護(hù)的對(duì)象仍然是“個(gè)人電子信息”，并且也缺乏對(duì)不同信息分類的配套保護(hù)。因此，《網(wǎng)信保護(hù)決定》只能說(shuō)出現(xiàn)了對(duì)個(gè)人信息的形式分類，與之后的《民法典》《個(gè)人信息保護(hù)法》中對(duì)“個(gè)人信息”的分類和對(duì)私密信息、敏感信息的特殊保護(hù)有本質(zhì)區(qū)別。這樣的形式分類與其說(shuō)是為了保護(hù)個(gè)人信息，不如說(shuō)是為規(guī)制“網(wǎng)絡(luò)服務(wù)提供者”的活動(dòng)提供依據(jù)，是“安全理念”的另一個(gè)體現(xiàn)。《網(wǎng)信保護(hù)決定》之后的一系列立法基本上延續(xù)了“安全理念”，著力推進(jìn)網(wǎng)絡(luò)社會(huì)管理，保障網(wǎng)絡(luò)安全。例如2017年施行的《網(wǎng)絡(luò)安全法》與《網(wǎng)信保護(hù)決定》一脈相承，其中關(guān)于個(gè)人信息保護(hù)的條款內(nèi)容，幾乎就是《網(wǎng)信保護(hù)決定》的發(fā)展和細(xì)化，只是改變了《網(wǎng)信保護(hù)決定》中對(duì)“個(gè)人信息”的形式分類，形成以“個(gè)人信息”概念整體概括，外加具體信息列舉的概括+列舉模式。

三、個(gè)人信息保護(hù)立法中的賦權(quán)理念

“安全理念”指導(dǎo)下的一系列立法對(duì)維護(hù)網(wǎng)絡(luò)環(huán)境、規(guī)制網(wǎng)絡(luò)服務(wù)提供者的活動(dòng)起到了積極作用。同時(shí)，由于“安全理念”以加強(qiáng)網(wǎng)絡(luò)管理為導(dǎo)向，對(duì)個(gè)人信息的保護(hù)重視不足，現(xiàn)實(shí)中仍面臨著個(gè)人信息遭泄露、濫用的風(fēng)險(xiǎn)，以及受侵害后難以得到有效救濟(jì)的困境。這樣的困局要求進(jìn)一步轉(zhuǎn)變個(gè)人信息保護(hù)的法理念，尤其是要賦予個(gè)體保障個(gè)人信息的權(quán)能。

與“安全理念”的網(wǎng)絡(luò)社會(huì)管理導(dǎo)向不同，學(xué)界多主張將個(gè)人信息納入現(xiàn)有權(quán)利體系中，由此形成權(quán)利保護(hù)導(dǎo)向的“賦權(quán)理念”。不過(guò)，由于最初涉及個(gè)人信息保護(hù)的立法是為了規(guī)制網(wǎng)絡(luò)安全問(wèn)題，“安全理念”長(zhǎng)期在立法工作中處于主導(dǎo)地位，“賦權(quán)理念”一時(shí)難以落地。在《網(wǎng)信保護(hù)決定(專家建議稿)》中，學(xué)者曾嘗試構(gòu)建對(duì)個(gè)人信息的權(quán)利保護(hù)體系。比如，建議稿的立法目的以個(gè)人信息保護(hù)的核心價(jià)值——隱私權(quán)保護(hù)為主導(dǎo)；其適用范圍也涵蓋了一般的公共和私人領(lǐng)域，為個(gè)人的信息利益提供保障；在執(zhí)法機(jī)制方面，規(guī)定了相對(duì)獨(dú)立和完善的執(zhí)法機(jī)構(gòu)和機(jī)制，體現(xiàn)了對(duì)個(gè)人信息的綜合保護(hù)。但在正式頒行的《網(wǎng)信保護(hù)決定》中，立法目的仍然以“保護(hù)網(wǎng)絡(luò)信息安全”為統(tǒng)領(lǐng)，適用范圍僅限于互聯(lián)網(wǎng)商業(yè)服務(wù)領(lǐng)域，執(zhí)法主體上僅規(guī)定了“有關(guān)主管部門(mén)”，《網(wǎng)信保護(hù)決定(專家建議稿)》中諸多建議均未被采納?！百x權(quán)理念”面臨的困境可見(jiàn)一斑。

盡管面臨許多困難，學(xué)界相關(guān)研究仍在推進(jìn)，對(duì)“個(gè)人信息”性質(zhì)以及如何將“個(gè)人信息”整合進(jìn)法定權(quán)利體系的研究不斷深入，并最終在立法中得以實(shí)踐?！断M(fèi)者權(quán)益保護(hù)法》中關(guān)于“享有個(gè)人信息依法得到保護(hù)的權(quán)利”的規(guī)定，可以算作對(duì)個(gè)人信息概括賦權(quán)，是“賦權(quán)理念”在立法中的初步探索。在2020年修訂的《未成年人保護(hù)法》中，“賦權(quán)理念”的相關(guān)主張得到進(jìn)一步落實(shí)。其一，第72條第1款規(guī)定，信息處理者處理未成年人個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)和必要的原則，對(duì)處理個(gè)人信息做了基本規(guī)定。其二，第72條第2款賦予未成年人、父母或者其他監(jiān)護(hù)人以知情、更正、刪除權(quán)，個(gè)人真正享有了保護(hù)自己信息的權(quán)利，這無(wú)疑也是“賦權(quán)理念”的重要實(shí)踐。其三，對(duì)未成年人的個(gè)人信息做了實(shí)質(zhì)性的分類。結(jié)合72條與73條的規(guī)定，《未成年人保護(hù)法》對(duì)個(gè)人信息做了兩種類型的分類：依據(jù)年齡，分為14周歲以上未成年人的個(gè)人信息與不滿14周歲未成年人個(gè)人信息；依據(jù)私密程度，分為私密信息與非私密信息。對(duì)不滿14周歲未成年人個(gè)人信息與私密信息加以“征得未成年人的父母或者其他監(jiān)護(hù)人同意”和“及時(shí)提示，并采取必要的保護(hù)措施”的特殊保護(hù)。之所以將《未成年人保護(hù)法》對(duì)個(gè)人信息的分類視為實(shí)質(zhì)分類，正是因?yàn)閷?duì)不滿14周歲未成年人個(gè)人信息與私密信息加以特別保護(hù)，形成了個(gè)人信息的保護(hù)體系。個(gè)人信息的分類愈是明確，對(duì)個(gè)人信息的保護(hù)愈是周密，個(gè)人獲得的保護(hù)其個(gè)人信息的權(quán)利便愈加周詳，這正是“賦權(quán)理念”的體現(xiàn)。

2021年頒行的《民法典》繼承并發(fā)展了《未成年人保護(hù)法》對(duì)個(gè)人信息的分類與保護(hù)，更是“賦權(quán)理念”的生動(dòng)實(shí)踐。首先，《民法典》第111條宣告了“自然人的個(gè)人信息受法律保護(hù)”，對(duì)個(gè)人信息負(fù)有不得侵犯義務(wù)的主體涵蓋了“任何組織或者個(gè)人”，為個(gè)人信息保護(hù)奠定了基調(diào)。其次，在《民法典》人格權(quán)編中專設(shè)“隱私權(quán)和個(gè)人信息保護(hù)”一章，盡管個(gè)人信息與隱私權(quán)共享一章，盡管相較于隱私權(quán)個(gè)人信息只能視為權(quán)益，但對(duì)個(gè)人信息保護(hù)的意義依然十分重大。再次，《民法典》構(gòu)建了對(duì)個(gè)人信息保護(hù)的規(guī)范體系。第1034條第1款宣示了對(duì)個(gè)人信息的法律保護(hù)，第2款以概括+列舉的方式定義了個(gè)人信息的內(nèi)涵，第3款又強(qiáng)調(diào)了對(duì)“私密信息”的特殊保護(hù)。之后的第1035—1039條分別規(guī)定了信息處理的原則，免責(zé)事由，自然人的查閱、復(fù)制、異議、更正等權(quán)利，個(gè)人信息處理者的義務(wù)，國(guó)家機(jī)關(guān)及其工作人員的保密義務(wù)等內(nèi)容，基本構(gòu)建起了個(gè)人信息保護(hù)體系。由此可知，《民法典》對(duì)個(gè)人信息保護(hù)的最終目的不只是關(guān)注公共利益，更是為了維護(hù)自然人的合法權(quán)益。最后，《民法典》將個(gè)人信息分為私密信息與非私密信息，并對(duì)私密信息予以特別保護(hù)?！睹穹ǖ洹返?034條第3款規(guī)定：“個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒(méi)有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定。”據(jù)此，私密信息得到了隱私權(quán)與個(gè)人信息的雙重保護(hù)。私密信息與非私密信息的分類是從隱私權(quán)與個(gè)人信息的關(guān)系入手的，之所以專門(mén)界分私密信息，不但是因?yàn)槠渚哂兴矫苄?、私人性，與自然人的生活安寧密切相關(guān)，需要特別的保護(hù)，而且是為了界定個(gè)人信息與隱私權(quán)的邊界，以便將個(gè)人信息納入權(quán)利體系中，這正是“賦權(quán)理念”的直接表現(xiàn)。如此，既可以強(qiáng)化對(duì)私密信息的保護(hù)，為信息處理者合理利用非私密信息留下空間，也可以盡可能減輕個(gè)人信息對(duì)原有權(quán)利體系的沖擊。

“賦權(quán)理念”指導(dǎo)下的《未成年人保護(hù)法》《民法典》等法律的頒行使得個(gè)人信息權(quán)益融入到法定權(quán)利體系中，在個(gè)人信息保護(hù)事業(yè)上意義深遠(yuǎn)。但是，個(gè)人信息問(wèn)題就此妥善解決了嗎？私法的賦權(quán)保護(hù)能夠臻于完善嗎？

首先，“賦權(quán)理念”造成了體系銜接不暢的弊病。《未成年人保護(hù)法》中依據(jù)年齡將個(gè)人信息分為14周歲以上未成年人的個(gè)人信息與未滿14周歲未成年人個(gè)人信息，依據(jù)私密程度分為私密信息與非私密信息。私密信息事關(guān)私生活安寧自然有特別保護(hù)的需要，未滿14周歲的未成年人由于經(jīng)驗(yàn)、能力的不足，對(duì)其個(gè)人信息也有特別保護(hù)的必要。但問(wèn)題是依據(jù)兩種不同的標(biāo)準(zhǔn)界分的個(gè)人信息體系之間應(yīng)當(dāng)如何銜接呢？以不同標(biāo)準(zhǔn)界分個(gè)人信息，固然擴(kuò)大了個(gè)人信息的保護(hù)范圍，卻也造成了體系上的不和諧。《民法典》沒(méi)有采取以年齡為標(biāo)準(zhǔn)的個(gè)人信息分類方式，只保留了私密信息與非私密信息的分類，在個(gè)人信息內(nèi)部避免了體系復(fù)雜。但是，在個(gè)人信息以外，“私密信息”同時(shí)屬于隱私權(quán)的保護(hù)范疇，隱私與個(gè)人信息由此形成了一種交叉、嵌套關(guān)系。這也就形成了一個(gè)邏輯悖論，立法者為了界分隱私權(quán)與個(gè)人信息，規(guī)定私密信息為隱私權(quán)與個(gè)人信息的交集，如此隱私權(quán)與個(gè)人信息的其他部分就可以被區(qū)分。但是，私密信息作為隱私權(quán)與個(gè)人信息的交集，又使得隱私權(quán)與個(gè)人信息交叉，難解難分。

其次，“賦權(quán)理念”指導(dǎo)下的立法限制了對(duì)個(gè)人信息的合理利用。所謂“賦權(quán)”自然是賦予個(gè)人信息的產(chǎn)生者自然人以保護(hù)其個(gè)人信息的權(quán)利，側(cè)重點(diǎn)是保護(hù)個(gè)人利益。個(gè)人信息盡管產(chǎn)生于個(gè)人，卻流通于社會(huì)，社會(huì)各主體都有合理利用個(gè)人信息的需求。企業(yè)需要信息分析行業(yè)前景，滿足顧客需求。政府需要信息制定公共政策，更好地為人民服務(wù)。社會(huì)需要信息制定社會(huì)規(guī)范，協(xié)調(diào)各方利益。片面強(qiáng)化個(gè)體賦權(quán)可能抬升社會(huì)活動(dòng)成本，限制社會(huì)活力，并導(dǎo)致個(gè)體無(wú)法獲取有效服務(wù)、制定良好公共政策、實(shí)現(xiàn)合理信息流通，因此，在保護(hù)個(gè)人信息的同時(shí)，也要為個(gè)人信息的合理利用留足空間。如果認(rèn)為《未成年人保護(hù)法》與《民法典》等法律完全忽視對(duì)個(gè)人信息的合理利用也是不準(zhǔn)確的，比如，《未成年人保護(hù)法》與《民法典》都規(guī)定了處理個(gè)人信息應(yīng)遵循合法、正當(dāng)、必要等原則，《民法典》第1036條還規(guī)定了處理個(gè)人信息的免責(zé)事由。這些規(guī)定為個(gè)人信息的合理利用留出了一定的空間，但能夠真正解決問(wèn)題嗎？由于“賦權(quán)理念”的核心在于賦予個(gè)人保護(hù)個(gè)人信息的權(quán)能，對(duì)信息的合理利用只能做一些原則性的規(guī)定，這些原則固然可以指導(dǎo)個(gè)人信息的利用，但過(guò)于概括。比如，處理個(gè)人信息應(yīng)遵循合法、正當(dāng)、必要、適度等原則，那么何為合法，何為正當(dāng)，何為必要，何為適度？這樣的規(guī)范的指引功能是不確定的，很大程度上依賴于規(guī)范的解釋。如對(duì)原則解釋過(guò)寬，則有礙于個(gè)人信息的保護(hù)，有?！百x權(quán)理念”；如對(duì)原則解釋過(guò)窄，則不利于個(gè)人信息的合理利用。此外，囿于《民法典》的私法性質(zhì)，對(duì)于身為重要的信息處理者的政府的信息利用行為，也存在難以有效規(guī)范的問(wèn)題。因此，“賦權(quán)理念”指導(dǎo)下的立法對(duì)個(gè)人信息的合理利用的規(guī)范事實(shí)上處于一種模糊狀態(tài)，將會(huì)限制個(gè)人信息的合理利用。

最后，“賦權(quán)理念”對(duì)社會(huì)風(fēng)險(xiǎn)預(yù)估不足。盡管在《民法典》中“個(gè)人信息”只是被規(guī)定為一種權(quán)益，卻賦予了個(gè)人信息主體由知情同意權(quán)，查閱、復(fù)制權(quán)，更正權(quán)和刪除權(quán)，信息安全保障權(quán)等組成的完整權(quán)利束。并且在個(gè)人信息受侵犯后也能請(qǐng)求救濟(jì)。如此看來(lái)，《民法典》對(duì)于“個(gè)人信息”的保護(hù)似乎十分完善。問(wèn)題是，個(gè)人信息主體能否切實(shí)地行使這些權(quán)利呢？《民法典》對(duì)個(gè)人信息主體“賦權(quán)”集中體現(xiàn)在第1037條，本條設(shè)置的查閱、復(fù)制、更正和刪除等權(quán)利本質(zhì)上是為了維護(hù)個(gè)人的信息自決權(quán)。自決是建立在信息主體對(duì)個(gè)人信息的充分認(rèn)知與把握之上的，需要考慮的是達(dá)到這樣的要求是否存在障礙。個(gè)人信息受到侵害固然可以請(qǐng)求救濟(jì)，但其可行性是建立在事后救濟(jì)足以填平損失的基礎(chǔ)上的，如果個(gè)人信息傷害造成了難以逆轉(zhuǎn)的損失，又該如何填平呢？事實(shí)上，《民法典》關(guān)于個(gè)人信息的規(guī)定是建立在傳統(tǒng)民法“有限風(fēng)險(xiǎn)”理論的基礎(chǔ)之上的。傳統(tǒng)私法立基于簡(jiǎn)單商品經(jīng)濟(jì)，權(quán)利義務(wù)關(guān)系相對(duì)明確，交易風(fēng)險(xiǎn)較小，因而存在忽視風(fēng)險(xiǎn)乃至鼓勵(lì)風(fēng)險(xiǎn)的傾向。比如，通過(guò)授予當(dāng)事人大量權(quán)利，使其在意思自治主導(dǎo)下自由交易，促進(jìn)效率，對(duì)于遭受損失的當(dāng)事人則通過(guò)侵權(quán)責(zé)任法予以事后救濟(jì)，因?yàn)轱L(fēng)險(xiǎn)有限，所以損失可以通過(guò)事后救濟(jì)填平?！百x權(quán)理念”無(wú)疑繼承了對(duì)“有限風(fēng)險(xiǎn)”的認(rèn)識(shí)，所以出現(xiàn)了上述賦予事先權(quán)利與事后救濟(jì)的模式。問(wèn)題是，進(jìn)入信息社會(huì)后，交易風(fēng)險(xiǎn)急劇提升。個(gè)人信息具有“雪球效應(yīng)”，自然人此刻授權(quán)信息處理者處理的信息或許尚無(wú)風(fēng)險(xiǎn)，但下一刻各種信息匯聚可能就會(huì)產(chǎn)生損害，當(dāng)事人往往不能事先預(yù)估風(fēng)險(xiǎn)，而事后救濟(jì)也未必能彌補(bǔ)損失。因此，“賦權(quán)理念”指導(dǎo)下的立法存在對(duì)風(fēng)險(xiǎn)預(yù)估不足的問(wèn)題。

基于以上分析，對(duì)于個(gè)人信息的保護(hù)涉及主體眾多，利益重大，不能僅從“安全理念”入手規(guī)制信息處理主體，也不能僅從“賦權(quán)理念”入手保護(hù)個(gè)人信息權(quán)益。正確的做法應(yīng)當(dāng)是通盤(pán)考慮，協(xié)調(diào)各方利益，實(shí)現(xiàn)整體效益的最大化，這就需要推動(dòng)個(gè)人信息保護(hù)立法理念由“安全”“賦權(quán)”向“治理”的轉(zhuǎn)變。

四、個(gè)人信息保護(hù)立法中的治理理念

“治理理念”意味著我們要思考如何引導(dǎo)經(jīng)濟(jì)和社會(huì)，以及如何達(dá)成集體目標(biāo)?！秱€(gè)人信息保護(hù)法》正是在“治理理念”的指導(dǎo)下，協(xié)調(diào)個(gè)人信息保護(hù)與信息產(chǎn)業(yè)發(fā)展關(guān)系、追求集體目標(biāo)的產(chǎn)物。從立法目的分析，《個(gè)人信息保護(hù)法》是“為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用”。這一表述不同于“安全理念”強(qiáng)調(diào)網(wǎng)絡(luò)社會(huì)管理，而是明確了“保護(hù)個(gè)人信息權(quán)益”的首要地位，并且是通過(guò)“規(guī)范個(gè)人信息處理活動(dòng)”來(lái)實(shí)現(xiàn)的。而“促進(jìn)個(gè)人信息合理利用”的規(guī)定也為信息產(chǎn)業(yè)發(fā)展提供了保障，協(xié)調(diào)了個(gè)人信息保護(hù)和利用之間的矛盾。從適用對(duì)象上看，《個(gè)人信息保護(hù)法》規(guī)定“任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益”，其適用對(duì)象不再局限于“網(wǎng)絡(luò)服務(wù)提供者”，而包括了一切涉及個(gè)人信息處理的個(gè)人、市場(chǎng)主體與國(guó)家機(jī)關(guān)，有效地彌補(bǔ)了《民法典》囿于私法屬性難以詳盡規(guī)制政府處理個(gè)人信息活動(dòng)的缺陷。從保護(hù)規(guī)定上看，《個(gè)人信息保護(hù)法》不但構(gòu)建了完整的“告知—同意”規(guī)則，而且建立了與之配套的個(gè)人權(quán)利與信息處理者義務(wù)，加強(qiáng)了對(duì)個(gè)人信息處理風(fēng)險(xiǎn)的防范。此外，還明確了政府部門(mén)履行個(gè)人信息保護(hù)的職責(zé)與侵害個(gè)人信息的法律責(zé)任，使得對(duì)個(gè)人信息的保護(hù)更加切實(shí)可行。

值得注意的是，《個(gè)人信息保護(hù)法》改變了《民法典》中私密信息與非私密信息的劃分，而代之以敏感信息與非敏感信息。盡管有觀點(diǎn)認(rèn)為，“個(gè)人敏感信息是指關(guān)涉?zhèn)€人隱私核心領(lǐng)域、具有高度私密性、對(duì)其公開(kāi)或利用將會(huì)對(duì)個(gè)人造成重大影響的個(gè)人信息”， 敏感信息就是私密信息，但是綜合對(duì)比《民法典》與《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定，可以發(fā)現(xiàn)敏感與非敏感信息、私密與非私密信息的區(qū)分是各有其規(guī)范目的與意義的。不同于私密信息與一般個(gè)人信息從界分隱私權(quán)與個(gè)人信息的角度劃分個(gè)人信息的類別，敏感信息和非敏感信息的分類是從規(guī)范個(gè)人信息處理行為的角度來(lái)進(jìn)行的。個(gè)人信息不僅涉及人格利益，還具有財(cái)產(chǎn)利益性質(zhì)，對(duì)個(gè)人信息的組織分析可以產(chǎn)生附加利益。對(duì)個(gè)人信息的合理處理可以產(chǎn)生直接的經(jīng)濟(jì)利益，促進(jìn)信息產(chǎn)業(yè)的發(fā)展，也可以用于智慧安防，維護(hù)社會(huì)穩(wěn)定。因而，對(duì)個(gè)人信息的保護(hù)要兼顧個(gè)人利益與企業(yè)利益、社會(huì)利益。這就要求在對(duì)個(gè)人利益分類時(shí)，為個(gè)人信息的合理利用留足空間?！秱€(gè)人信息保護(hù)法》從個(gè)人信息處理入手，將在處理中對(duì)個(gè)人利害影響重大或者不當(dāng)處理會(huì)造成重大損失的涉及人格尊嚴(yán)、人身安全、財(cái)產(chǎn)安全與未滿十四周歲未成年人的個(gè)人信息界定為“敏感信息”，并提高了敏感信息處理者的法定義務(wù)。“敏感信息”的分類是建立在規(guī)制“泄露或者非法使用”產(chǎn)生的風(fēng)險(xiǎn)之上的，在對(duì)“敏感信息”的處理嚴(yán)格規(guī)制、提供特殊保護(hù)的同時(shí)，也確保其他非敏感個(gè)人信息得以合理、有效的利用，體現(xiàn)了“治理理念”對(duì)社會(huì)整體效益的追求。

五、治理理念下個(gè)人信息保護(hù)立法的優(yōu)化

《個(gè)人信息保護(hù)法》無(wú)疑為實(shí)現(xiàn)個(gè)人信息相關(guān)效益最大化提供了有效路徑與有益啟示，但是僅靠一部《個(gè)人信息保護(hù)法》就能妥善處理好個(gè)人、企業(yè)與國(guó)家的利益糾葛嗎？筆者認(rèn)為，應(yīng)當(dāng)在“治理理念”指導(dǎo)下，對(duì)個(gè)人信息保護(hù)加以優(yōu)化。也就是說(shuō)，綜合所有可用的方法、策略和工具，建立一個(gè)協(xié)調(diào)風(fēng)險(xiǎn)治理中各種要素和參與者的“個(gè)人信息治理和個(gè)人信息保護(hù)系統(tǒng)”，將“個(gè)人信息保護(hù)”進(jìn)一步發(fā)展為“個(gè)人信息治理”以實(shí)現(xiàn)整體效益的最大化。為了實(shí)現(xiàn)“個(gè)人信息治理”的目標(biāo)，需要從以下四個(gè)方面優(yōu)化個(gè)人信息保護(hù)立法。

(一)明晰個(gè)人信息利益格局

“我國(guó)社會(huì)正在發(fā)生深刻變革，利益關(guān)系日益復(fù)雜，利益訴求日益多樣，社會(huì)矛盾日益凸顯?！斌w現(xiàn)在個(gè)人信息方面，就是不同主體對(duì)個(gè)人信息利用有著不同的利益、存在著不同的訴求。從“治理理念”分析，個(gè)人信息保護(hù)最核心的問(wèn)題就需要對(duì)個(gè)人、政府、企業(yè)三類主體現(xiàn)實(shí)和潛在的利益進(jìn)行合理分類，通過(guò)利益的類型化來(lái)實(shí)現(xiàn)法律上權(quán)利 / 權(quán)力的規(guī)范化。如圖所示，在個(gè)人信息的流通和利用過(guò)程中，個(gè)人、政府、企業(yè)三方主體形成了相互交錯(cuò)的利益格局，每一方主體都有自己的核心利益，又都有與其他主體相交錯(cuò)的共同利益，需要相互協(xié)調(diào)。就個(gè)人而言，區(qū)域1是涉及個(gè)人隱私的私密信息，這無(wú)疑是其核心利益，需要排他保護(hù)；區(qū)域4、5、7 部分表示對(duì)個(gè)人重要程度相對(duì)次之的信息，可以經(jīng)過(guò)個(gè)人同意由政府、企業(yè)采集、使用、流轉(zhuǎn)或者公開(kāi)。例如，對(duì)就學(xué)、就業(yè)、消費(fèi)、旅游等具有一定的身份識(shí)別性，但不太涉及隱私的信息，如果合理利用不但不會(huì)侵害個(gè)人權(quán)益，還有助于個(gè)人享受更好的公共服務(wù)與商業(yè)服務(wù)。就政府而言，其核心利益是依據(jù)法定職責(zé)或?yàn)楣怖娑仨毷占膫€(gè)人信息。比如，為調(diào)查犯罪、維持基本社會(huì)秩序所必須的信息等。區(qū)域4、6、7 是政府為了提供公共服務(wù)產(chǎn)品，經(jīng)由個(gè)人與企業(yè)同意得收集、適用的信息，其構(gòu)成了政府履行特定服務(wù)職能的依據(jù)。就企業(yè)而言，在對(duì)大量個(gè)人信息進(jìn)行“去識(shí)別化”并通過(guò)商業(yè)研發(fā)形成的具有商業(yè)價(jià)值的數(shù)據(jù)，可以享有排他的財(cái)產(chǎn)權(quán)利，這也是促進(jìn)信息產(chǎn)業(yè)發(fā)展的題中應(yīng)有之義。區(qū)域5、6、7則是企業(yè)在商業(yè)利用過(guò)程中涉及個(gè)人、政府利益，需要個(gè)人與政府同意的信息。通過(guò)對(duì)各種涉及個(gè)人信息利益的合理安排，形成“三位一體”、層次分明的利益格局，再針對(duì)各主體利益提供相應(yīng)的法律規(guī)制與保障，才能有效促進(jìn)個(gè)人信息治理。

(二)強(qiáng)化個(gè)人信息收益共享

由于個(gè)人信息內(nèi)容豐富，屬性多元，對(duì)個(gè)人信息的處理、利用可以產(chǎn)生增值收益。比如，企業(yè)通過(guò)對(duì)龐雜的消費(fèi)者信息的整理、分析，可以推測(cè)出消費(fèi)者的購(gòu)物偏好、經(jīng)濟(jì)實(shí)力、產(chǎn)品需求?；诖诉M(jìn)行針對(duì)性推銷，可以提高產(chǎn)品銷量，獲得經(jīng)濟(jì)收益。信息處理者往往傾向于獨(dú)享增值收益，甚至出現(xiàn)個(gè)別企業(yè)為了獲得增值收益逾越法律界限、濫用甚至是侵犯?jìng)€(gè)人信息的情形。信息主體不能享受到個(gè)人信息處理的增值效益，反而面臨個(gè)人信息受侵害的風(fēng)險(xiǎn)，由此就產(chǎn)生了個(gè)人信息主體與信息處理者之間的矛盾。個(gè)體對(duì)個(gè)人信息的被利用愈加謹(jǐn)慎乃至排斥，反之信息處理者因難以獲得個(gè)人信息，可能傾向于鋌而走險(xiǎn)，違反法律。為了解決這一矛盾，應(yīng)當(dāng)從“治理理念”出發(fā)，堅(jiān)持以人為本，協(xié)調(diào)個(gè)人信息主體與信息處理者的利益，促進(jìn)個(gè)人信息增值收益的共享。個(gè)人信息治理要求信息處理者在處理個(gè)人信息、獲得增值利益時(shí)要注重收益的回饋與共享。例如，政府機(jī)關(guān)對(duì)個(gè)人信息處理后，可以利用個(gè)人信息的識(shí)別性，建設(shè)智慧安防系統(tǒng)，提升識(shí)別效率，排除危險(xiǎn)分子，建設(shè)和諧、穩(wěn)定的社會(huì)秩序，使全體民眾共享社會(huì)治理紅利。企業(yè)通過(guò)對(duì)個(gè)人信息的處理、應(yīng)用，可以針對(duì)客戶的需求，提供定制服務(wù)，滿足不同客戶獨(dú)特需求，提高服務(wù)水平。以收益共享協(xié)調(diào)雙方關(guān)系，化解矛盾，促進(jìn)個(gè)人信息綜合效益的最大化，符合治理理念的要求。

(三)加強(qiáng)個(gè)人信息監(jiān)管合作

個(gè)人信息的治理不但需要完善法律、法規(guī)，更需要監(jiān)管部門(mén)切實(shí)履職，加強(qiáng)監(jiān)管?！秱€(gè)人信息保護(hù)法》專設(shè)第六章“履行個(gè)人信息保護(hù)職責(zé)的部門(mén)”，用于明確監(jiān)管部門(mén)的保護(hù)、監(jiān)管職能。不過(guò)，《個(gè)人信息保護(hù)法》并沒(méi)有設(shè)立專門(mén)機(jī)關(guān)來(lái)統(tǒng)管個(gè)人信息的保護(hù)與監(jiān)管，而是采取了縣級(jí)以上部門(mén)各司其職，國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)的分工協(xié)作模式。在此模式下，如何優(yōu)化政府監(jiān)管部門(mén)的協(xié)調(diào)合作就變得尤為重要。優(yōu)化個(gè)人信息治理，加強(qiáng)個(gè)人信息監(jiān)管合作應(yīng)致力完成三個(gè)方面的工作：首先，制定實(shí)施個(gè)人信息保護(hù)的具體規(guī)則、標(biāo)準(zhǔn)，尤其是制定履行個(gè)人信息保護(hù)職責(zé)部門(mén)的規(guī)則、章程，界定不同機(jī)關(guān)之間的權(quán)責(zé)范圍。其次，建立不同監(jiān)管部門(mén)之間協(xié)助執(zhí)法機(jī)制。主要集中于：建立上級(jí)監(jiān)管部門(mén)對(duì)下級(jí)監(jiān)管部門(mén)工作的指導(dǎo)機(jī)制，加強(qiáng)法律適用統(tǒng)一性；建立調(diào)查、處理違法個(gè)人信息處理活動(dòng)的跨部門(mén)、跨地域協(xié)作機(jī)制，提升執(zhí)法效果；建立對(duì)拒絕配合、阻撓執(zhí)法的個(gè)人、組織的聯(lián)合懲戒機(jī)制，強(qiáng)化對(duì)侵害個(gè)人信息權(quán)益不法分子的震懾。最后，探索監(jiān)管部門(mén)信息共享機(jī)制。通過(guò)重大案件情報(bào)協(xié)助、示范案例通報(bào)、定期交流工作經(jīng)驗(yàn)等方式，加強(qiáng)個(gè)人信息監(jiān)管部門(mén)之間的信息交流，增強(qiáng)監(jiān)管能力。

(四)完善個(gè)人信息裁判規(guī)則

以“治理理念”為指導(dǎo)，實(shí)施個(gè)人信息保護(hù)，不僅需要宣傳守法、加強(qiáng)監(jiān)督，更需要發(fā)揮司法裁判的引導(dǎo)作用，為個(gè)人信息利用劃定安全底線。個(gè)人信息利用的安全底線，是個(gè)人信息利用機(jī)制形成的基石，如果突破了安全底線，將會(huì)導(dǎo)致整個(gè)個(gè)人信息利用秩序的整體崩潰。因此，對(duì)于違背合法利用原則、違反法定或約定的利用事由、侵害個(gè)人信息權(quán)益的行為必須嚴(yán)厲制裁。個(gè)人信息司法裁判需要協(xié)調(diào)好各方主體利益關(guān)系，必須確定個(gè)人信息損害賠償標(biāo)準(zhǔn)，以事后規(guī)制彌補(bǔ)損失，緩和各方主體之間的矛盾?！秱€(gè)人信息保護(hù)法》確定了“按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定”與“根據(jù)實(shí)際情況確定賠償數(shù)額”的賠償標(biāo)準(zhǔn)。依據(jù)此標(biāo)準(zhǔn)，有助于保障信息主體的利益，即便個(gè)人損失難以確定，也可以依據(jù)信息處理者的獲益確定賠償，何況還有“根據(jù)實(shí)際情況確定”的兜底。在司法適用中確定個(gè)人損失時(shí)，應(yīng)當(dāng)同時(shí)關(guān)注對(duì)信息處理者的利益保護(hù)。個(gè)人信息收益中的一大部分是因信息處理者處理信息而產(chǎn)生的增值收益，對(duì)于其中信息處理者的勞動(dòng)貢獻(xiàn)應(yīng)予承認(rèn)與保護(hù)。所以，此處“個(gè)人信息處理者因此獲得的利益”應(yīng)當(dāng)理解為去除信息處理者基本勞動(dòng)報(bào)酬后的利益。此外，如果受失和獲利難以確定，那么“根據(jù)實(shí)際情況確定賠償數(shù)額”似乎也難以實(shí)現(xiàn)。因此，可以考慮設(shè)置個(gè)人信息侵權(quán)最低司法賠償標(biāo)準(zhǔn)，在不能確定賠償數(shù)額的情形下，則依據(jù)最低賠償標(biāo)準(zhǔn)賠付。如此，既有利于維護(hù)個(gè)人信息侵權(quán)受害人的利益，也可以規(guī)范信息處理者的處理行為。由于《個(gè)人信息保護(hù)法》的規(guī)定未盡完善，司法裁判在遵循信息安全底線的基礎(chǔ)上，可以綜合考量個(gè)人信息在哪個(gè)主體(個(gè)人、企業(yè)、政府)控制下能避免碎片化并能發(fā)揮應(yīng)有的價(jià)值、各主體為信息或信息集形成所付出的精力和成本、其權(quán)利范圍能否與其訴求相匹配，從而實(shí)現(xiàn)個(gè)人信息利用效益是最優(yōu)配置。