摘 要：我國目前尚沒有專門的個(gè)人信息商業(yè)利用規(guī)范，比較歐盟和美國的相關(guān)規(guī)范對(duì)構(gòu)建我國個(gè)人信息商業(yè)利用規(guī)范具有重要的借鑒意義。歐盟采取統(tǒng)一立法模式，規(guī)定了較完善的個(gè)人信息權(quán)利，信息利用者有主動(dòng)保護(hù)個(gè)人信息權(quán)利的義務(wù)，設(shè)立專門的監(jiān)管機(jī)構(gòu)負(fù)責(zé)監(jiān)管;美國則采取分散立法與行業(yè)自律相結(jié)合模式，沒有明確個(gè)人信息權(quán)利，其認(rèn)為保護(hù)個(gè)人信息并非一概是信息利用者的義務(wù)，也未設(shè)置統(tǒng)一的監(jiān)管機(jī)構(gòu)。歐盟模式和美國模式各有所長，我國在構(gòu)建個(gè)人信息商業(yè)利用規(guī)范時(shí)，應(yīng)當(dāng)揚(yáng)長避短，采取立法與自律相結(jié)合的模式，借鑒歐盟模式明確個(gè)人信息權(quán)利，靈活設(shè)置信息利用者的風(fēng)險(xiǎn)控制義務(wù)、告知義務(wù)等，設(shè)立專門的監(jiān)管機(jī)構(gòu)，實(shí)現(xiàn)個(gè)人信息保護(hù)與信息利用的利益平衡。

關(guān)鍵詞：自律模式;個(gè)人信息權(quán)利;類型化規(guī)范;監(jiān)管機(jī)制

中圖分類號(hào)：D913??????? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ?文章編號(hào)：1673-8268（2019）04-0044-10

隨著大數(shù)據(jù)時(shí)代個(gè)人信息商業(yè)利用的日漸頻繁，信息主體個(gè)人利益與信息利用者商業(yè)利益的矛盾與日俱增，現(xiàn)行的法律制度越來越不符合實(shí)際需要。在這樣一個(gè)全球化的時(shí)代，世界各國面臨著共同的難題，各國在制定個(gè)人信息商業(yè)利用規(guī)范的過程中，都希望參考其他國家是如何解決類似問題的。本文旨在考察歐盟和美國個(gè)人信息商業(yè)利用法律規(guī)范，尋求借鑒之道。

一、歐盟個(gè)人信息商業(yè)利用規(guī)范

歐盟是最早關(guān)注個(gè)人信息保護(hù)的區(qū)域性組織之一。歐盟1995年《數(shù)據(jù)保護(hù)指令》對(duì)個(gè)人數(shù)據(jù)的保護(hù)和流動(dòng)進(jìn)行了全面規(guī)定，但未明確個(gè)人在個(gè)人數(shù)據(jù)上享有的權(quán)利性質(zhì)是否獨(dú)立于隱私權(quán)。2016年5月4日正式發(fā)布的歐盟《一般數(shù)據(jù)保護(hù)條例》第1條第2款明確用“個(gè)人數(shù)據(jù)權(quán)”取代“隱私權(quán)”的表述，標(biāo)志著一般意義上個(gè)人信息權(quán)的立法確認(rèn)。

（一）1995年歐盟《數(shù)據(jù)保護(hù)指令》

為進(jìn)一步提高歐洲個(gè)人信息保護(hù)法律的統(tǒng)一程度，1995年，歐盟正式頒布《數(shù)據(jù)保護(hù)指令》（以下簡稱《指令》），各成員國可以根據(jù)該《指令》規(guī)定的下限制定更高的標(biāo)準(zhǔn)[1]。

《指令》規(guī)定信息主體的權(quán)利包括：（1）查詢權(quán)、更改權(quán)、清除權(quán)?！吨噶睢返?2條規(guī)定，不受每隔一段合理時(shí)間的約束，無需過度的延遲和費(fèi)用，信息主體有權(quán)查詢個(gè)人信息，在信息處理不符合《指令》的規(guī)定時(shí)，信息主體有權(quán)要求適當(dāng)?shù)馗幕蚯宄?。?）拒絕使用權(quán)?！吨噶睢返?4條規(guī)定，信息主體有權(quán)拒絕對(duì)個(gè)人信息進(jìn)行處理和利用，包括以直銷為目的的使用。（3）自主決定權(quán)?！吨噶睢返?5條規(guī)定，成員國應(yīng)當(dāng)賦予每個(gè)人不接受會(huì)對(duì)其產(chǎn)生法律影響或者顯著影響本人的決定，以及僅僅依靠自動(dòng)數(shù)據(jù)處理來進(jìn)行評(píng)價(jià)個(gè)人特征（諸如工作表現(xiàn)、信任感、可靠性、行為等）的決定的自主權(quán)。（4）獲得救濟(jì)的權(quán)利。《指令》第23條規(guī)定，非法使用他人個(gè)人信息給信息主體造成損害，受害人有權(quán)從數(shù)據(jù)控制人處獲得相應(yīng)賠償，但信息利用者能夠證明其不應(yīng)負(fù)責(zé)任時(shí)，可以減輕或免除其責(zé)任。

《指令》著重規(guī)范的個(gè)人信息利用者的義務(wù)包括：（1）合法性義務(wù)。只有符合法定條件，信息利用者才可以利用他人的個(gè)人信息，包括數(shù)據(jù)主體的同意、為履行合同的需要等幾種情形。（2）保證數(shù)據(jù)質(zhì)量義務(wù)。信息利用者必須采取合理措施保證數(shù)據(jù)準(zhǔn)確、完整、新穎。（3）告知義務(wù)。信息利用者應(yīng)當(dāng)向信息主體告知其身份、利用目的、不同意利用的后果、信息主體的權(quán)利等。（4）禁止利用敏感信息的義務(wù)。禁止利用種族、政治觀點(diǎn)、性生活等敏感信息。

《指令》設(shè)置了專門的行政機(jī)構(gòu)，包括歐洲信息保護(hù)監(jiān)督局、歐洲委員會(huì)信息保護(hù)官及信息保護(hù)局，這些行政機(jī)構(gòu)為歐盟個(gè)人信息商業(yè)利用規(guī)范的實(shí)施奠定了實(shí)體基礎(chǔ)[2]。

（二）2016年歐盟《一般數(shù)據(jù)保護(hù)條例》

1995年的《指令》在歐盟國家實(shí)施中逐漸出現(xiàn)一些亟需解決的問題。第一，各個(gè)成員國實(shí)施《指令》時(shí)擁有較大的選擇權(quán)利，個(gè)人信息保護(hù)制度出現(xiàn)參差不齊的現(xiàn)象，實(shí)施效果較差。第二，1995年的《指令》不能適應(yīng)信息時(shí)代的新挑戰(zhàn)。該《指令》是在互聯(lián)網(wǎng)發(fā)展初級(jí)階段制定的，隨著社交網(wǎng)站、云計(jì)算、定位服務(wù)、大數(shù)據(jù)等計(jì)算機(jī)技術(shù)的發(fā)展，個(gè)人信息的處理速度增快、利用方式多樣，《指令》已經(jīng)不能應(yīng)對(duì)企業(yè)對(duì)個(gè)人數(shù)據(jù)收集和利用能力強(qiáng)化、信息主體對(duì)個(gè)人數(shù)據(jù)控制能力弱化的現(xiàn)狀?；谶@兩方面的考慮，歐盟認(rèn)為有必要對(duì)數(shù)據(jù)利用規(guī)則進(jìn)行修訂，以推進(jìn)歐洲數(shù)據(jù)利用規(guī)范的統(tǒng)一，在確保個(gè)人數(shù)據(jù)得到充分保護(hù)的前提下最大限度地促進(jìn)數(shù)據(jù)利用。

2016年4月8日，歐洲理事會(huì)和歐洲議會(huì)表決通過《關(guān)于個(gè)人信息處理保護(hù)及個(gè)人信息自由傳輸?shù)臈l例》，簡稱為歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR），于2018年5月25日正式生效實(shí)施。GDPR無須歐盟成員國轉(zhuǎn)化為國內(nèi)法，可以直接適用于歐盟范圍內(nèi)的公民和企業(yè)。歐盟《一般數(shù)據(jù)保護(hù)條例》建立了歐盟范圍內(nèi)統(tǒng)一的個(gè)人信息保護(hù)和利用規(guī)則，提高了歐盟范圍信息利用和流通的效率[2]。

2016年，GDPR進(jìn)一步完善和細(xì)化了信息主體的權(quán)利，全面保障信息主體對(duì)個(gè)人信息的控制權(quán)。GDPR明確規(guī)定知情權(quán)、查詢權(quán)、修改權(quán)、刪除權(quán)、許可同意權(quán)、可攜權(quán)等，尤其強(qiáng)調(diào)以下權(quán)利：（1）許可同意權(quán)。GDPR第7條規(guī)定，信息主體有權(quán)許可同意他人利用個(gè)人信息，也可以撤銷許可，許可不具有溯及力，同意必須是明確的意思表示，不能是沉默或默示方式。第8條對(duì)兒童個(gè)人信息的同意做出了特殊規(guī)定，使用未滿16歲兒童的個(gè)人信息必須征得監(jiān)護(hù)人的同意。（2）查詢權(quán)。GDPR第15條規(guī)定，信息主體有權(quán)查詢利用者是否利用個(gè)人信息、利用的目的、信息種類和內(nèi)容、是否共享給他人、存儲(chǔ)期限等，并改變1995年《指令》查詢收費(fèi)的規(guī)定，僅僅在特殊情形下收取一定的費(fèi)用。（3）可移轉(zhuǎn)權(quán)。GDPR第20條規(guī)定，信息主體有權(quán)獲取并轉(zhuǎn)移個(gè)人信息，以增強(qiáng)個(gè)人信息控制權(quán)。（4）被遺忘權(quán)。GDPR第17條首次明確規(guī)定被遺忘權(quán)，信息主體有權(quán)請求信息利用者刪除個(gè)人信息，并規(guī)定基于公共利益而限制被遺忘權(quán)行使。GDPR規(guī)定信息主體行使上述權(quán)利時(shí)，信息利用者有在法定期限內(nèi)答復(fù)的義務(wù)。

GDPR進(jìn)一步擴(kuò)大并完善了信息控制者的義務(wù)。（1）區(qū)分風(fēng)險(xiǎn)等級(jí)的風(fēng)險(xiǎn)控制義務(wù)。較高風(fēng)險(xiǎn)情形下，信息利用者要承擔(dān)信息泄露通知和報(bào)告義務(wù)、事前影響評(píng)估義務(wù)、向信息保護(hù)局咨詢義務(wù)（GDPR第34條、第35條、第36條），而一般風(fēng)險(xiǎn)和較低風(fēng)險(xiǎn)情形下，信息利用者承擔(dān)的風(fēng)險(xiǎn)控制義務(wù)較輕，以避免給非高風(fēng)險(xiǎn)利用者施加過重的負(fù)擔(dān)，促進(jìn)個(gè)人信息的商業(yè)利用。（2）告知義務(wù)。GDPR第19條、第33條、第34條規(guī)定，信息控制者向信息主體履行告知義務(wù)。但是，信息泄露風(fēng)險(xiǎn)較低時(shí)除外。此外，依據(jù)個(gè)人信息類型靈活確定敏感信息的處理規(guī)則。GDPR第9條第1款對(duì)特殊類型個(gè)人數(shù)據(jù)的處理進(jìn)行了更加合理的分類規(guī)范，以保護(hù)其中的個(gè)人隱私與自由。

GDPR還規(guī)定了嚴(yán)格的執(zhí)行監(jiān)督機(jī)制和完善的權(quán)利救濟(jì)措施。第一，加強(qiáng)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的執(zhí)法權(quán)力。GDPR專設(shè)第六章“獨(dú)立的監(jiān)管機(jī)構(gòu)”，對(duì)監(jiān)管機(jī)構(gòu)的設(shè)立、地位、程序性規(guī)定、職責(zé)與權(quán)力等方面進(jìn)行了詳細(xì)的規(guī)定。第二，確立數(shù)據(jù)保護(hù)專員制度。根據(jù)GDPR第37條規(guī)定，處理和利用大范圍的敏感信息時(shí)，數(shù)據(jù)控制者與處理者應(yīng)當(dāng)指定一名數(shù)據(jù)保護(hù)專員。第三，規(guī)定較完善的救濟(jì)機(jī)制。依據(jù)GDPR第82條，信息主體享有向數(shù)據(jù)控制者或處理者索賠的權(quán)利。GDPR第79條規(guī)定，信息主體享有向法院起訴數(shù)據(jù)控制者或者數(shù)據(jù)處理者的司法救濟(jì)權(quán);第80條規(guī)定建立公益訴訟制度，歐盟成員國可以授予某些公益組織代表信息主體主張合法權(quán)益。GDPR的立法趨勢是不斷加強(qiáng)對(duì)數(shù)據(jù)主體權(quán)利的保護(hù)，不斷細(xì)化對(duì)數(shù)據(jù)控制者義務(wù)與行為規(guī)范的規(guī)定，以實(shí)現(xiàn)個(gè)人權(quán)利保護(hù)與數(shù)據(jù)有序自由流通的宗旨。

除了1995年的《數(shù)據(jù)保護(hù)指令》和2016年的GDPR之外，歐盟還針對(duì)電信業(yè)、數(shù)據(jù)保存做了特別規(guī)定。2002年的《隱私與電子通訊指令》規(guī)定，電信企業(yè)應(yīng)當(dāng)采取適當(dāng)措施保障用戶信息安全，尊重用戶對(duì)話費(fèi)清單、主叫號(hào)碼、姓名等個(gè)人信息享有的權(quán)利，只有征得用戶同意才能對(duì)其個(gè)人信息進(jìn)行商業(yè)利用，如撥打廣告電話和發(fā)送廣告?zhèn)髡妗?006年歐盟通過的《數(shù)據(jù)保存指令》主要規(guī)定電信企業(yè)留存數(shù)據(jù)的義務(wù)，各國決定數(shù)據(jù)留存的期限在六個(gè)月到二十四個(gè)月之間[3]。

二、美國個(gè)人信息商業(yè)利用規(guī)范

（一）基礎(chǔ)原則

美國“健康、教育和福利部”于1973年完成了題為《電腦、記錄與公民的權(quán)利》的報(bào)告，在該報(bào)告中第一次提出了《信息正當(dāng)運(yùn)用原則》（Fair Information Principles）。依據(jù)《信息正當(dāng)運(yùn)用原則》，信息利用者只能為合法目的收集個(gè)人信息，使用的個(gè)人信息必須正確、完整，信息主體有權(quán)接觸、質(zhì)疑和改正信息，個(gè)人信息不被隨意改變和泄露[4]。這些原則包括公開原則、個(gè)人參與原則、收集限制原則、數(shù)據(jù)質(zhì)量原則、終極原則、安全原則、責(zé)任原則，上述原則被體現(xiàn)在美國1974年的《隱私法》[5]中。

（二）立法體系

美國個(gè)人信息保護(hù)立法體系由1974年通過的《隱私法》以及一些特殊領(lǐng)域的一系列專門法律規(guī)范所構(gòu)成。1974年的《隱私法》是美國保護(hù)隱私權(quán)的基本法，規(guī)制行政機(jī)關(guān)使用個(gè)人信息的行為，防止行政機(jī)關(guān)濫用行政權(quán)力侵犯個(gè)人隱私。除了聯(lián)邦立法外，美國有超過40個(gè)州制定了州隱私保護(hù)法。美國針對(duì)商業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息商業(yè)利用的立法，主要體現(xiàn)在《公平信用報(bào)告法》《電子通訊隱私法》《全球電子商務(wù)框架》等分散立法中。

美國針對(duì)個(gè)人信息商業(yè)利用的立法，主要在金融、消費(fèi)者保護(hù)、互聯(lián)網(wǎng)和通信、教育等領(lǐng)域進(jìn)行。第一，金融領(lǐng)域的立法。1970年公布的《公平信用報(bào)告法》是美國個(gè)人數(shù)據(jù)保護(hù)立法的開端。依據(jù)該法，信用報(bào)告機(jī)構(gòu)只有征得消費(fèi)者同意才可以披露信用報(bào)告，但是為消費(fèi)信用貸款等合法目的可以直接披露報(bào)告。1999年的《金融服務(wù)現(xiàn)代化法》規(guī)定了消費(fèi)者同意個(gè)人信息共享給他人的必要條件。第二，消費(fèi)者保護(hù)領(lǐng)域的立法。1988年的《錄像帶隱私保護(hù)法》原則上禁止經(jīng)營者披露客戶信息，但是允許經(jīng)營者轉(zhuǎn)讓根據(jù)租借類型分類的客戶名單，客戶有權(quán)拒絕參與這個(gè)名單。1994年的《有線電視消費(fèi)者保護(hù)和競爭法》規(guī)定，消費(fèi)者同意是有線電視系統(tǒng)收集個(gè)人信息的必要條件。但該法允許轉(zhuǎn)讓消費(fèi)者名單，消費(fèi)者有機(jī)會(huì)拒絕參與這個(gè)名單。1994年的《駕駛員隱私保護(hù)法》要求信息主體授權(quán)是州交通部門轉(zhuǎn)讓駕駛員個(gè)人信息的前提。第三，教育領(lǐng)域的立法。1974年的《家庭教育權(quán)和隱私法》規(guī)定，教育機(jī)構(gòu)未經(jīng)未成年學(xué)生家長的書面同意或成年學(xué)生本人的同意，不得披露學(xué)生的個(gè)人信息。第四，互聯(lián)網(wǎng)和通信領(lǐng)域的立法。1986年的《電子通信隱私法》適應(yīng)通訊技術(shù)的迅猛發(fā)展，目的在于禁止未經(jīng)授權(quán)的第三方截取或泄露個(gè)人通訊信息。1988年的《電腦比對(duì)和隱私保護(hù)法》，規(guī)范利用個(gè)人識(shí)別方法匹配關(guān)于同一個(gè)人的信息的行為。1991年的《電話用戶保護(hù)法》原則上禁止未經(jīng)電話用戶同意發(fā)送語音信息[6]。1998年的《兒童網(wǎng)上隱私保護(hù)法》針對(duì)美國部分網(wǎng)站收集和分析兒童個(gè)人信息的行為，強(qiáng)制要求網(wǎng)站告知隱私政策，并且征得13歲以下未成年人家長的同意。針對(duì)網(wǎng)絡(luò)活動(dòng)和通信服務(wù)的，還有1984年的《電纜通訊法》、1986年的《電子通信隱私法》、1996年的《電訊法》等。

（三）行業(yè)自律機(jī)制

在美國，除了個(gè)別領(lǐng)域的立法之外，行業(yè)或企業(yè)內(nèi)部也制定行為規(guī)范以保護(hù)個(gè)人信息。例如，美國頒布的《金融隱私法》規(guī)范政府機(jī)關(guān)利用個(gè)人金融信息，銀行對(duì)個(gè)人信息的商業(yè)利用主要依據(jù)銀行的行業(yè)規(guī)范[7]。美國政府尊重行業(yè)的自律規(guī)范，而不是通過立法一刀切地規(guī)范信息利用行為。創(chuàng)立于美國的行業(yè)組織有美國計(jì)算機(jī)學(xué)會(huì)、DPMA、ICCP。實(shí)踐中，1977年，美國直銷商協(xié)會(huì)建立了郵件選擇系統(tǒng)，該系統(tǒng)允許顧客向一個(gè)服務(wù)中心發(fā)出通知，不再接受直郵廣告。此外，微軟、IBM等公司成立非盈利性機(jī)構(gòu)TRUSTe，商業(yè)改進(jìn)局（Better Business Bureau，BBB）下成立了BBB Online。盡管上述系統(tǒng)還存在諸多不足，但是美國民間行業(yè)組織仍然在為個(gè)人信息行業(yè)自律不斷探索新的模式。

美國政府鼓勵(lì)自由競爭，發(fā)展行業(yè)自律，民事領(lǐng)域產(chǎn)生的問題盡可能依靠市場調(diào)節(jié)解決，避免對(duì)市場造成不適當(dāng)?shù)南拗疲偈垢餍懈鳂I(yè)自律組織不斷發(fā)展[8]。美國立法者認(rèn)為信息利用者能夠自我約束，實(shí)現(xiàn)保護(hù)個(gè)人信息的目的。一方面，云計(jì)算、大數(shù)據(jù)、人工智能等信息科技處于飛速發(fā)展中，行業(yè)自律可以避免國家過早立法限制信息科技的利用;另一方面，不同的行業(yè)對(duì)個(gè)人信息的收集與處理是不同的，行業(yè)自律可以增強(qiáng)個(gè)人信息保護(hù)的針對(duì)性。

行業(yè)自律與立法模式相較而言，弊端亦是很明顯的。第一，欠缺強(qiáng)制執(zhí)行力。行業(yè)自律組織不具有強(qiáng)制執(zhí)行力，網(wǎng)絡(luò)隱私認(rèn)證計(jì)劃（online privacy seal program）中的認(rèn)證機(jī)構(gòu)雖具有審查權(quán)，但那只是基于認(rèn)證協(xié)議的規(guī)定，不具有強(qiáng)制執(zhí)行的效力[9]。行業(yè)自律規(guī)范無最終的司法救濟(jì)機(jī)制，行業(yè)規(guī)范通常不被作為裁判的依據(jù)。另外，糾紛解決機(jī)制和解決程序均有待明確。第二，信息利用企業(yè)自愿參加行業(yè)自律組織導(dǎo)致參與的企業(yè)有限。雖然許多注重行業(yè)自律的大企業(yè)自愿參與行業(yè)自律協(xié)會(huì)，但是仍然有不少小企業(yè)為了降低經(jīng)營成本不愿參與行業(yè)自律，實(shí)際上導(dǎo)致行業(yè)自律模式的普遍性不強(qiáng)。第三，對(duì)個(gè)人信息保護(hù)的實(shí)效不大。由于行業(yè)自律規(guī)范欠缺強(qiáng)制性，信息利用者在信息安全管理上所投入的精力和費(fèi)用實(shí)際不大，個(gè)人信息保護(hù)實(shí)效不明顯[10]。第四，對(duì)信息主體的賠償救濟(jì)機(jī)制不足。行業(yè)自律實(shí)質(zhì)是信息利用者的內(nèi)部自我管理，最高處罰就是取消資格認(rèn)證，缺乏對(duì)信息主體的賠償與救濟(jì)。對(duì)信息主體而言，這種模式無法替代立法模式下的司法救濟(jì)機(jī)制。正因?yàn)槿绱?，美國采取立法與行業(yè)自律相結(jié)合的方式。

三、歐盟和美國個(gè)人信息商業(yè)利用規(guī)范比較

通過考察歐盟和美國個(gè)人信息商業(yè)利用規(guī)范，筆者發(fā)現(xiàn)上述規(guī)范有較多的共同之處，表現(xiàn)在：第一，立法追求趨同。歐盟2016年的GDPR和美國法都是以實(shí)現(xiàn)個(gè)人信息保護(hù)與信息自由利用的平衡為價(jià)值目標(biāo)，過于片面地強(qiáng)調(diào)個(gè)人信息保護(hù)或信息利用都是不足取的。第二，基本原則趨同。歐盟2016年的GDPR規(guī)定個(gè)人信息商業(yè)利用的基本原則包括收集限制原則、直接原則、數(shù)據(jù)質(zhì)量原則、目的特定原則、數(shù)據(jù)安全原則、個(gè)人參與原則、責(zé)任原則等。盡管美國采取分散立法模式，但其1973年的《信息正當(dāng)運(yùn)用原則》規(guī)定的個(gè)人信息商業(yè)利用的原則包括公開原則、個(gè)人參與原則、收集限制原則、數(shù)據(jù)質(zhì)量原則、安全原則、責(zé)任原則?？梢姡瑐€(gè)人信息商業(yè)利用規(guī)范在宏觀價(jià)值追求和基本原則方面表現(xiàn)出明顯的趨同性。但是，在規(guī)范模式、信息主體權(quán)利基礎(chǔ)、信息利用者的義務(wù)、監(jiān)管模式與法律責(zé)任方面尚有明顯區(qū)別。

（一）規(guī)范模式

個(gè)人信息商業(yè)利用的規(guī)范模式包括立法模式和自律模式，大多數(shù)國家采取立法模式和自律模式相結(jié)合的規(guī)范模式，如歐盟采取立法模式為主、自律模式為輔的規(guī)范模式，美國則采取立法模式與自律模式并重的規(guī)范模式。美國沒有統(tǒng)一的個(gè)人信息商業(yè)利用法律規(guī)范，只有針對(duì)國家機(jī)關(guān)利用個(gè)人信息的統(tǒng)一規(guī)范，即《隱私法》，在金融、消費(fèi)者保護(hù)、電信、教育等領(lǐng)域?qū)€(gè)人信息分散立法。歐盟模式的核心特點(diǎn)是以統(tǒng)一立法模式為主、自律模式為輔，美國模式則針對(duì)不同領(lǐng)域制定單行法，并且結(jié)合行業(yè)自律來規(guī)范個(gè)人信息利用行為，其核心特點(diǎn)是分散立法與自律并重的模式。針對(duì)商業(yè)機(jī)構(gòu)，美國主要是通過行業(yè)或者企業(yè)的自律來實(shí)現(xiàn)個(gè)人信息保護(hù)與利用的平衡。

統(tǒng)一立法模式的優(yōu)勢是運(yùn)用國家強(qiáng)制力保證法律實(shí)施的權(quán)威性和穩(wěn)定性，統(tǒng)一立法能保證各部門、各行業(yè)的制度統(tǒng)一與協(xié)調(diào)，不足之處是欠缺靈活性、實(shí)施成本較大。分散立法模式則能結(jié)合各自行業(yè)的特點(diǎn)有針對(duì)性地立法，不足之處是各部門立法之間容易出現(xiàn)難以協(xié)調(diào)的沖突。自律模式逐漸成為當(dāng)前各國個(gè)人信息保護(hù)采用的模式之一，是由行業(yè)或企業(yè)制定行為規(guī)章或行為指引督促信息利用者主動(dòng)保護(hù)個(gè)人信息的模式，如美國在線隱私聯(lián)盟（OPA）、歐盟“EuroPriSe隱私標(biāo)識(shí)計(jì)劃”等。美國是采取自律模式的典型代表，自律模式的特點(diǎn)是政府主導(dǎo)與企業(yè)相配合，而不是完全由企業(yè)隨意自律。自律模式的優(yōu)勢是各行業(yè)制定適用于本領(lǐng)域的政策并靈活調(diào)整，通過認(rèn)證等行為指引手段督促企業(yè)主動(dòng)保護(hù)個(gè)人信息，可以根據(jù)行業(yè)特點(diǎn)“量體裁衣”，減少執(zhí)法成本，作為內(nèi)生規(guī)范更容易得到遵守，避免國家過早立法限制信息科技在社會(huì)的應(yīng)用。不足之處是欠缺強(qiáng)制性，實(shí)施效果不佳，以自愿為前提容易被排除適用;信息主體賠償請求得不到滿足;信息主體的財(cái)產(chǎn)權(quán)益得不到承認(rèn)和保障[11]。行業(yè)自律規(guī)范容易淪為引起交易雙方利益失衡的“不完全契約”，商家自擬的隱私聲明通常是格式條款，商家在格式條款中片面考慮單方的利益，不嚴(yán)格履行格式條款的約定，自律機(jī)制很容易流于形式[12]478-479。而大多數(shù)國家在立法進(jìn)程中不斷融合兩種典型模式的優(yōu)勢形成折衷模式，如日本兼收并蓄地吸收歐盟統(tǒng)一立法模式與美國自律模式的優(yōu)勢形成自己的特色。正因?yàn)樽月赡Ｊ酱嬖诘倪@些弊端，美國也沒有完全放棄立法規(guī)制，如《兒童在線隱私保護(hù)法》對(duì)兒童個(gè)人信息利用行為進(jìn)行立法規(guī)制。

（二）信息主體權(quán)利基礎(chǔ)

大數(shù)據(jù)時(shí)代背景下，信息利用已經(jīng)成為促進(jìn)經(jīng)濟(jì)創(chuàng)新發(fā)展的必要方面，但是仍然以保護(hù)信息主體的權(quán)利為前提。歐盟模式采取“個(gè)人權(quán)利本位”，規(guī)定了較完善的個(gè)人信息權(quán)利。歐盟法確認(rèn)個(gè)人信息權(quán)的絕對(duì)權(quán)性質(zhì)，規(guī)定較為完善的個(gè)人信息權(quán)內(nèi)容。歐盟對(duì)個(gè)人信息權(quán)利規(guī)定了最低標(biāo)準(zhǔn)，2016年，歐盟的GDPR直接適用于歐盟內(nèi)各企業(yè)，保證個(gè)人信息利用規(guī)范在歐盟內(nèi)的統(tǒng)一，并促進(jìn)歐盟內(nèi)成員國之間的信息利用與自由流通。因此，歐盟模式側(cè)重規(guī)定信息主體的個(gè)人信息權(quán)利，包括查詢權(quán)、修改權(quán)、刪除權(quán)、反對(duì)權(quán)、自主決定權(quán)等權(quán)利。歐盟2016年的GDPR第1條規(guī)定：“本法就對(duì)與個(gè)人數(shù)據(jù)的處理相關(guān)的自然人的保護(hù)及個(gè)人數(shù)據(jù)的自由流動(dòng)訂立規(guī)則?！币虼?，即使采取“權(quán)利本位”的歐盟及成員國也并未否定信息利用的價(jià)值追求。歐盟2016年的GDPR規(guī)定個(gè)人信息權(quán)利時(shí)，為了避免加重信息利用者的義務(wù)負(fù)擔(dān)、阻礙經(jīng)濟(jì)的發(fā)展，對(duì)信息利用者按照信息利用的不同風(fēng)險(xiǎn)設(shè)置不同的義務(wù)規(guī)范。而美國僅僅在對(duì)抗國家機(jī)關(guān)隨意收集、利用個(gè)人信息時(shí)，才承認(rèn)信息主體的基本人權(quán);在商業(yè)利用情形中，更加強(qiáng)調(diào)信息流通與利用，擔(dān)心制定統(tǒng)一立法可能制約行業(yè)的發(fā)展。因此，美國模式只是規(guī)制商業(yè)機(jī)構(gòu)濫用個(gè)人信息的行為，在鼓勵(lì)個(gè)人信息商業(yè)利用的背景下保護(hù)個(gè)人信息，信息主體的權(quán)利與商業(yè)機(jī)構(gòu)的信息利用利益同樣受到重視。美國模式通過規(guī)定信息利用者的義務(wù)劃定信息利用行為的合法邊界，不違反義務(wù)性規(guī)定的信息利用行為都是合法的。美國法沒有確認(rèn)個(gè)人信息權(quán)的絕對(duì)權(quán)地位，而是在鼓勵(lì)數(shù)據(jù)交易的基礎(chǔ)上規(guī)制個(gè)人信息濫用的行為。綜上，歐盟明確規(guī)定信息主體的各項(xiàng)權(quán)利，是典型的直接規(guī)范模式;而美國則是通過規(guī)制商業(yè)機(jī)構(gòu)濫用個(gè)人信息的行為對(duì)個(gè)人信息進(jìn)行間接保護(hù)，是典型的間接規(guī)范模式。

歐盟直接規(guī)范模式與美國間接規(guī)范模式形成鮮明對(duì)比，不僅僅體現(xiàn)在是否明確規(guī)定信息主體的個(gè)人信息權(quán)，還體現(xiàn)在個(gè)人信息保護(hù)與信息利用二者的價(jià)值順位上。例如，歐盟和美國對(duì)于信息主體怠于做出明確同意的意思表示時(shí)的后果不同，歐盟由于規(guī)定了信息主體的知情同意權(quán)，如果信息主體沒有做出明確同意個(gè)人信息可以被商業(yè)利用的意思表示，信息利用者則不得使用個(gè)人信息，以保護(hù)信息主體的個(gè)人信息權(quán);而美國則不同，如果信息主體沒有做出明確同意使用的意思表示，則推定商家有利用個(gè)人信息的權(quán)利，如果信息主體想行使拒絕權(quán)還必須支付相應(yīng)的費(fèi)用。由此觀之，美國模式下個(gè)人信息商業(yè)利用規(guī)范的第一位價(jià)值目標(biāo)是促進(jìn)信息自由利用，兼顧信息主體的權(quán)利。歐盟則是以個(gè)人信息保護(hù)作為第一位價(jià)值目標(biāo)，兼顧信息利用與流通。

值得關(guān)注的是，歐盟法對(duì)個(gè)人信息權(quán)利的認(rèn)可開始出現(xiàn)財(cái)產(chǎn)權(quán)趨向。歐盟法不僅確認(rèn)信息主體的人格權(quán)，而且表現(xiàn)出確認(rèn)財(cái)產(chǎn)權(quán)的趨勢，例如信息主體享有的同意權(quán)和刪除權(quán)，意味著信息主體對(duì)個(gè)人信息享有終止許可使用的權(quán)利，信息利用者因此可能承受一定的財(cái)產(chǎn)負(fù)擔(dān)。信息主體的這種權(quán)利不僅約束許可利用合同中的利用者，還約束接觸到個(gè)人信息的第三方，表現(xiàn)出財(cái)產(chǎn)權(quán)的絕對(duì)權(quán)性質(zhì)。美國法雖然沒有立法確認(rèn)個(gè)人信息財(cái)產(chǎn)權(quán)，但是在判例中確認(rèn)信息主體對(duì)其基因信息享有財(cái)產(chǎn)收益權(quán)參見Moore v. Regents of the University of California，793P .2d 479 （Cal. 1990）。。

（三）信息利用者的義務(wù)

國際組織制定的個(gè)人信息商業(yè)利用規(guī)范實(shí)質(zhì)是信息利用者的義務(wù)性規(guī)范，一般包括限制使用義務(wù)、合法性義務(wù)、保證數(shù)據(jù)質(zhì)量義務(wù)、告知義務(wù)、保護(hù)數(shù)據(jù)安全等。值得一提的是，歐盟2016年的GDPR強(qiáng)化對(duì)敏感信息的風(fēng)險(xiǎn)控制處理，并規(guī)定不同風(fēng)險(xiǎn)等級(jí)下的風(fēng)險(xiǎn)控制義務(wù)，而不是一刀切的風(fēng)險(xiǎn)控制義務(wù)。一般風(fēng)險(xiǎn)和較低風(fēng)險(xiǎn)下信息利用者承擔(dān)的風(fēng)險(xiǎn)控制義務(wù)較輕，以避免給非高風(fēng)險(xiǎn)利用者施加過重的負(fù)擔(dān)，從而促進(jìn)個(gè)人信息的商業(yè)利用。如何判斷個(gè)人信息利用風(fēng)險(xiǎn)，GDPR沒有明確規(guī)定。商業(yè)實(shí)踐證明，個(gè)人信息類型、信息利用的方式等因素都可能導(dǎo)致不同風(fēng)險(xiǎn)，敏感信息風(fēng)險(xiǎn)高于一般個(gè)人信息風(fēng)險(xiǎn)，身份識(shí)別為目的的利用風(fēng)險(xiǎn)高于非身份識(shí)別為目的的利用風(fēng)險(xiǎn)。即使同為敏感信息，GDPR第9條對(duì)特殊類型個(gè)人數(shù)據(jù)的處理進(jìn)行了更加合理的分類規(guī)范。種族或民族起源、政治觀點(diǎn)、宗教信仰、哲學(xué)信仰、工會(huì)成員資格等個(gè)人信息可以被處理但不得被泄露，個(gè)人基因數(shù)據(jù)、生物特征數(shù)據(jù)可以進(jìn)行非身份識(shí)別的處理，健康數(shù)據(jù)、性生活、性取向等相關(guān)數(shù)據(jù)則完全被禁止處理?；诓煌L(fēng)險(xiǎn)等級(jí)的信息利用情形，信息利用者所承擔(dān)的義務(wù)不同，這是歐盟改變傳統(tǒng)“權(quán)利本位”模式下信息利用者義務(wù)過重弊端的最大亮點(diǎn)。

美國對(duì)個(gè)人信息商業(yè)利用更多采取自律模式，信息主體有義務(wù)了解信息利用條款，并按照信息利用者制定的程序和格式條款進(jìn)行選擇。如果信息主體不積極行使自己的權(quán)利，信息利用者沒有義務(wù)保護(hù)信息主體的權(quán)益。美國自律模式下，是否加入行業(yè)認(rèn)證計(jì)劃取決于信息利用者，有很多企業(yè)沒有選擇加入，而且其所設(shè)的義務(wù)沒有強(qiáng)制性，對(duì)信息主體的保護(hù)效果大打折扣。換言之，歐盟模式下，信息利用者有主動(dòng)保護(hù)信息主體個(gè)人信息權(quán)利的義務(wù);美國模式下，很多情形下保護(hù)個(gè)人信息權(quán)是信息主體自己的義務(wù)，而非一概是信息利用者的義務(wù)。

（四）監(jiān)管機(jī)制

歐盟注重事前預(yù)防，設(shè)立專門的監(jiān)管機(jī)構(gòu)負(fù)責(zé)監(jiān)管個(gè)人信息利用行為。2016年的GDPR規(guī)定，在非公務(wù)機(jī)關(guān)核心業(yè)務(wù)涉及大規(guī)模敏感數(shù)據(jù)的處理時(shí)，或成員國法律明確要求的情形中，數(shù)據(jù)控制者與處理者必須指定一名數(shù)據(jù)保護(hù)專員監(jiān)督本企業(yè)的數(shù)據(jù)利用行為，并非要求所有數(shù)據(jù)利用企業(yè)都設(shè)立數(shù)據(jù)保護(hù)專員。歐盟對(duì)企業(yè)設(shè)置數(shù)據(jù)保護(hù)專員是根據(jù)風(fēng)險(xiǎn)等級(jí)做出不同規(guī)范的表現(xiàn)，歐盟這一模式可謂統(tǒng)一監(jiān)管與自律監(jiān)管相結(jié)合。美國模式主張通過信息利用者的自律實(shí)現(xiàn)信息安全，不設(shè)置統(tǒng)一的專門監(jiān)督機(jī)構(gòu)，這種監(jiān)管模式不利于美國自律規(guī)范的有效實(shí)施。

四、對(duì)我國構(gòu)建個(gè)人信息商業(yè)利用規(guī)范的啟示

域外法考察的最終目的是借鑒他國的先進(jìn)理念，為我國個(gè)人信息商業(yè)利用規(guī)范提供參考。歐盟模式和美國模式各有特色與利弊，對(duì)我國制定個(gè)人信息商業(yè)利用規(guī)范有以下啟示。

（一）規(guī)范模式

首先，統(tǒng)一立法。我國的行業(yè)組織不具有如美國行業(yè)組織所具有的法律地位，而且行業(yè)自律不具有強(qiáng)制性，統(tǒng)一立法能夠?qū)崿F(xiàn)司法裁判的統(tǒng)一，因此統(tǒng)一立法仍然應(yīng)當(dāng)是個(gè)人信息商業(yè)利用規(guī)范的主要方面。大數(shù)據(jù)時(shí)代，市場經(jīng)營者數(shù)據(jù)利用程度較高，可能通過濫用個(gè)人信息侵害信息主體的生活安寧、就業(yè)機(jī)會(huì)、財(cái)產(chǎn)權(quán)益等。我國刑法中新設(shè)的非法收集、泄露公民個(gè)人信息罪的主體既可以是國家機(jī)關(guān)，也可以是市場經(jīng)營者。《消費(fèi)者權(quán)益保護(hù)法》也已經(jīng)加入了經(jīng)營者保護(hù)消費(fèi)者個(gè)人信息權(quán)的相關(guān)條款。從現(xiàn)實(shí)需求的角度出發(fā)，我國將來制定的個(gè)人信息保護(hù)法應(yīng)當(dāng)同時(shí)規(guī)范公權(quán)力機(jī)關(guān)和市場經(jīng)營者的信息利用行為。但是，為了避免出現(xiàn)部門立法不一、協(xié)調(diào)困難的后果，我國應(yīng)當(dāng)借鑒美國國家機(jī)關(guān)與商業(yè)機(jī)構(gòu)的分別立法模式，制定專門的個(gè)人信息商業(yè)利用法律規(guī)范，區(qū)別于國家機(jī)關(guān)的信息利用規(guī)范。

其次，分散立法。隨著互聯(lián)網(wǎng)、云計(jì)算、傳感器、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等信息技術(shù)的不斷發(fā)展，個(gè)人信息商業(yè)利用模式也在不斷推陳出新，過于穩(wěn)定不變的統(tǒng)一立法不利于信息處理行業(yè)利用先進(jìn)技術(shù)實(shí)現(xiàn)創(chuàng)新發(fā)展。分散立法具有較強(qiáng)的針對(duì)性，如工信部可以制定專門適用于電信企業(yè)的商業(yè)利用規(guī)范，以區(qū)別于商業(yè)銀行個(gè)人信息商業(yè)利用規(guī)范，實(shí)現(xiàn)分散立法的針對(duì)性和靈活性。我國當(dāng)前的立法現(xiàn)狀就是分散立法模式，在統(tǒng)一立法出臺(tái)之前，其將繼續(xù)發(fā)揮規(guī)制個(gè)人信息濫用、保護(hù)個(gè)人信息的功能。統(tǒng)一立法出臺(tái)之后，《征信業(yè)管理?xiàng)l例》《網(wǎng)絡(luò)安全法》等領(lǐng)域法與統(tǒng)一立法不一致之處應(yīng)當(dāng)被修改，但分散立法可以保留不違反統(tǒng)一立法基本原則、適用于本行業(yè)信息利用的特殊規(guī)范，如醫(yī)療行業(yè)規(guī)范可以對(duì)健康信息商業(yè)利用行為制定更嚴(yán)格的保護(hù)與利用規(guī)則。但是，為了避免各領(lǐng)域分散立法可能導(dǎo)致的司法不統(tǒng)一，司法機(jī)關(guān)應(yīng)當(dāng)以統(tǒng)一立法為最低的裁判標(biāo)準(zhǔn)。

最后，行業(yè)自律。雖然我國的行業(yè)自律組織還有待完善，但是對(duì)于新技術(shù)革命帶來的社會(huì)變革，統(tǒng)一立法和分散立法都顯得過于滯后，行業(yè)自律規(guī)范作為立法不足的補(bǔ)充規(guī)范意義重大。而且，行業(yè)自律模式具有其他立法模式無法企及的靈活性。各行業(yè)可以根據(jù)行業(yè)特點(diǎn)適用不同的自律方式，以網(wǎng)絡(luò)行業(yè)為例，行業(yè)自律的要素可以包括：（1）網(wǎng)站隱私權(quán)保護(hù)政策，確立業(yè)界自我基本保護(hù)標(biāo)準(zhǔn)，自我規(guī)范和約束，明確信息收集的目的、方式、用途，以及用戶權(quán)利、安全保障措施、網(wǎng)站免責(zé)條款等;（2）自律保護(hù)組織，加強(qiáng)機(jī)制保障，賦予保護(hù)組織制定隱私權(quán)規(guī)劃和保護(hù)標(biāo)準(zhǔn)，明確政策、行為規(guī)范和保護(hù)措施，監(jiān)督、檢查和處理投訴等的權(quán)利義務(wù);（3）達(dá)標(biāo)認(rèn)證和監(jiān)督機(jī)構(gòu)，加強(qiáng)動(dòng)態(tài)監(jiān)督，規(guī)定審核、評(píng)估、認(rèn)證標(biāo)志發(fā)放、監(jiān)督的具體機(jī)制等;（4）技術(shù)軟件研發(fā)，開展技術(shù)研發(fā)，提供技術(shù)后盾，明確隱私政策技術(shù)的標(biāo)準(zhǔn)，規(guī)定技術(shù)研發(fā)的激勵(lì)措施等[13]。例如，2013年12月28日，微信海外版及其網(wǎng)站獲得數(shù)據(jù)隱私管理（DPM）公司TRUSTe的認(rèn)證[14]。信息主體更愿意利用微信平臺(tái)，信息供給的充足又促進(jìn)騰訊對(duì)個(gè)人信息的商業(yè)利用。由民間認(rèn)證評(píng)級(jí)機(jī)構(gòu)對(duì)企業(yè)的個(gè)人信息保護(hù)政策進(jìn)行認(rèn)證測評(píng)，亦能督促信息利用者主動(dòng)保護(hù)個(gè)人信息。例如，2017年8月16日，北京大學(xué)互聯(lián)網(wǎng)法律中心發(fā)布的《互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)抽樣測評(píng)報(bào)告（2017）》以隱私政策所體現(xiàn)對(duì)個(gè)人信息的保護(hù)進(jìn)行測評(píng)[15]。由于行業(yè)自律不具有強(qiáng)制性，實(shí)施效果可能會(huì)受影響，我國可以借鑒日本模式對(duì)行業(yè)自律設(shè)立專門的監(jiān)管機(jī)構(gòu)，對(duì)行業(yè)自律進(jìn)行引導(dǎo)和監(jiān)管。例如，從2017年7月26日起，中央網(wǎng)信辦等四個(gè)國家相關(guān)主管部門開展“個(gè)人信息保護(hù)提升行動(dòng)”，開始對(duì)微信、淘寶等十款網(wǎng)絡(luò)產(chǎn)品和服務(wù)的隱私條款進(jìn)行評(píng)審，重點(diǎn)內(nèi)容包括是否明確告知使用個(gè)人信息的規(guī)則等。國家統(tǒng)一監(jiān)管之下的行業(yè)自律，可以實(shí)現(xiàn)自發(fā)性與強(qiáng)制性的統(tǒng)一。

綜上，我國個(gè)人信息商業(yè)利用規(guī)范應(yīng)當(dāng)采取統(tǒng)一立法、領(lǐng)域立法、行業(yè)自律三個(gè)層次的規(guī)范模式。即在專門的個(gè)人信息保護(hù)法中對(duì)商業(yè)機(jī)構(gòu)個(gè)人信息利用的共同規(guī)范專門設(shè)章節(jié)進(jìn)行統(tǒng)一規(guī)范，而且依據(jù)醫(yī)院、銀行、保險(xiǎn)、電信、電子商務(wù)等各領(lǐng)域的特點(diǎn)制定適用各自領(lǐng)域的個(gè)人信息商業(yè)利用規(guī)范，同時(shí)輔之以行業(yè)認(rèn)證、自律政策等自律規(guī)范。

（二）個(gè)人信息權(quán)利基礎(chǔ)

美國以隱私權(quán)作為個(gè)人信息保護(hù)的權(quán)利基礎(chǔ)。但是，隨著數(shù)據(jù)經(jīng)濟(jì)的日益發(fā)展，美國越來越注重立足信息利用對(duì)促進(jìn)經(jīng)濟(jì)發(fā)展的重要意義。為了兼顧信息利用者的合理需求，避免因個(gè)人信息保護(hù)對(duì)經(jīng)濟(jì)運(yùn)行造成不合比例的負(fù)擔(dān)，美國法對(duì)隱私權(quán)保護(hù)模式盡可能進(jìn)行變通處理，以實(shí)現(xiàn)信息利用與個(gè)人信息保護(hù)之間的平衡。盡管在個(gè)人信息商業(yè)利用背景下，靜態(tài)防御性的隱私權(quán)被發(fā)展為信息自決的信息隱私權(quán)，信息主體可以授權(quán)信息利用者對(duì)個(gè)人信息進(jìn)行商業(yè)利用。但是，信息隱私權(quán)的行使以信息主體明確表示不同意信息利用者利用個(gè)人信息為要件，否則該法推定信息主體同意信息利用者的使用行為[12]251。由此可見，美國法并沒有確定絕對(duì)的信息隱私權(quán)。美國法以信息自由作為規(guī)范的價(jià)值基礎(chǔ)，美國始終沒有出臺(tái)統(tǒng)一的個(gè)人信息保護(hù)立法，沒有明確個(gè)人信息權(quán)利，也未能設(shè)立統(tǒng)一的獨(dú)立監(jiān)督機(jī)構(gòu)。

歐盟國家以保護(hù)個(gè)人信息權(quán)利作為規(guī)范個(gè)人信息商業(yè)利用行為的基礎(chǔ)。1995年的歐盟《指令》確立了個(gè)人信息權(quán)利，并設(shè)置專門機(jī)構(gòu)監(jiān)管信息利用行為。2016年的歐盟GDPR繼續(xù)保持確立個(gè)人信息權(quán)利并予以嚴(yán)格的法律保護(hù)。歐盟從人權(quán)保護(hù)觀念的角度來規(guī)范個(gè)人信息商業(yè)利用行為，將個(gè)人信息權(quán)提升到基本權(quán)利的高度;從人格權(quán)角度確認(rèn)個(gè)人信息權(quán)，包括訪問權(quán)、刪除權(quán)、反對(duì)權(quán)等。同時(shí)，歐盟GDPR規(guī)定信息主體享有對(duì)個(gè)人信息的許可同意權(quán)、刪除權(quán)，表明歐盟法有賦予信息主體財(cái)產(chǎn)權(quán)的趨勢。

我國是否應(yīng)當(dāng)以美國隱私權(quán)、歐盟個(gè)人信息權(quán)作為權(quán)利基礎(chǔ)值得進(jìn)一步分析。隱私權(quán)的內(nèi)涵和外延難以界定，在美國實(shí)際上承擔(dān)著一般人格權(quán)的功能，需要在具體個(gè)案中考察是否侵害隱私，內(nèi)涵和外延的模糊性不利于信息主體的權(quán)益保護(hù)。在商業(yè)利用規(guī)范中，美國通過分散立法和自律模式規(guī)制個(gè)人信息濫用行為，并未對(duì)個(gè)人信息權(quán)進(jìn)行確認(rèn)。歐盟模式則恰恰與之相反，明確規(guī)定查詢權(quán)、修改權(quán)、許可同意權(quán)、被遺忘權(quán)、轉(zhuǎn)移權(quán)等。保護(hù)個(gè)人信息是個(gè)人信息商業(yè)利用的前提，信息利用者收集、處理個(gè)人信息的能力遠(yuǎn)遠(yuǎn)超過信息主體本人，我國應(yīng)當(dāng)借鑒歐盟模式確認(rèn)信息主體的個(gè)人信息權(quán)利，防范信息利用者將保護(hù)個(gè)人信息的義務(wù)轉(zhuǎn)嫁給信息主體。只有確認(rèn)個(gè)人信息權(quán)，才能保障查詢權(quán)、修改權(quán)、刪除權(quán)、知情權(quán)等權(quán)利得以實(shí)現(xiàn)，這些權(quán)利的實(shí)現(xiàn)有賴于信息利用者履行積極協(xié)助的義務(wù)。

此外，各國個(gè)人信息保護(hù)法中對(duì)于信息主體的查詢權(quán)、修改權(quán)、知情權(quán)、保持信息完整權(quán)、刪除權(quán)等權(quán)能的規(guī)定基本趨同，值得我國參考借鑒。遺憾的是，大多數(shù)國家個(gè)人信息保護(hù)法雖然強(qiáng)調(diào)個(gè)人信息控制權(quán)，但是并未認(rèn)識(shí)到大數(shù)據(jù)的市場價(jià)值，沒有明確個(gè)人信息控制權(quán)中的財(cái)產(chǎn)權(quán)內(nèi)涵，沒有直接認(rèn)可信息主體的財(cái)產(chǎn)權(quán)。歐盟2016年的GDPR中的同意權(quán)、刪除權(quán)雖然有財(cái)產(chǎn)權(quán)保護(hù)趨勢，但是并未全面規(guī)定信息主體的財(cái)產(chǎn)權(quán)。大數(shù)據(jù)時(shí)代，個(gè)人信息的商業(yè)利用如此頻繁，毋庸置疑，個(gè)人信息中承載著財(cái)產(chǎn)利益，但是如何對(duì)財(cái)產(chǎn)利益進(jìn)行法律確認(rèn)，值得我國個(gè)人信息保護(hù)立法時(shí)慎重考慮。

（三）類型化規(guī)范

國際組織及各國個(gè)人信息保護(hù)法律中確立的收集、使用個(gè)人信息的基本原則值得借鑒，尤其是告知同意原則、目的限制原則、安全保護(hù)原則、必要性原則。歐盟法將個(gè)人信息利用活動(dòng)產(chǎn)生的風(fēng)險(xiǎn)分為不同等級(jí)，不同風(fēng)險(xiǎn)等級(jí)下信息利用者的風(fēng)險(xiǎn)控制義務(wù)不同，以實(shí)現(xiàn)個(gè)人信息保護(hù)與信息自由利用的平衡。為促進(jìn)個(gè)人信息的商業(yè)利用，歐盟還對(duì)敏感信息的處理利用做了類型化規(guī)定，敏感信息并非一概禁止商業(yè)利用。美國區(qū)分敏感信息與非敏感信息，對(duì)兒童信息等敏感信息進(jìn)行特殊保護(hù)[16]。美國法規(guī)定的信息利用者義務(wù)不僅僅是為保護(hù)個(gè)人信息權(quán)利而設(shè)，更多的是兼顧信息隱私權(quán)和信息利用者利益，運(yùn)用“法不禁止即自由”理論允許義務(wù)規(guī)范之外的信息利用行為，很多規(guī)范都規(guī)定信息主體承擔(dān)保護(hù)個(gè)人信息的義務(wù)，而不是信息利用者承擔(dān)該項(xiàng)義務(wù)。歐盟和美國都運(yùn)用類型化方法規(guī)范個(gè)人信息商業(yè)利用行為，但是個(gè)人信息的合理類型、不同類型的個(gè)人信息許可利用模式和保護(hù)模式尚缺乏詳細(xì)的類型化規(guī)范。綜上，我國構(gòu)建個(gè)人信息商業(yè)利用規(guī)范時(shí)應(yīng)當(dāng)借鑒和參考國外的類型化方法，合理確定個(gè)人信息的類型，并根據(jù)個(gè)人信息的不同類型和商業(yè)利用的不同情形設(shè)置不同的許可利用模式和保護(hù)模式。

（四）監(jiān)管和法律責(zé)任

自律模式下的美國沒有獨(dú)立的監(jiān)管機(jī)構(gòu)，難免出現(xiàn)信息利用者不嚴(yán)格按照行業(yè)行為規(guī)則履行義務(wù)、侵害信息主體權(quán)益的行為。歐盟則建立了專門的監(jiān)督機(jī)構(gòu)，監(jiān)管信息利用行為。我國應(yīng)當(dāng)仿效歐盟，設(shè)置專職機(jī)關(guān)，統(tǒng)籌個(gè)人資料保護(hù)法律的落實(shí)，對(duì)個(gè)人信息商業(yè)利用行為和行業(yè)自律實(shí)施全面監(jiān)控，提高執(zhí)法效率，促使個(gè)人信息得到有效保護(hù)。美國對(duì)個(gè)人信息侵害行為規(guī)定了刑事、行政、民事責(zé)任，其中的侵權(quán)損害賠償歸責(zé)原則、損害賠償數(shù)額確定等制度值得借鑒。

總之，我國構(gòu)建個(gè)人信息商業(yè)利用規(guī)范時(shí)要廣泛吸取當(dāng)前其他國家和地區(qū)個(gè)人信息保護(hù)立法和實(shí)踐的經(jīng)驗(yàn)，找出不同模式的不足與優(yōu)勢，借鑒先進(jìn)制度，并充分重視我國的實(shí)際情況，為我國規(guī)范個(gè)人信息商業(yè)利用行為提供充分有效的法律依據(jù)。我國應(yīng)當(dāng)兼采歐盟模式和美國模式之長，采取統(tǒng)一立法、分散立法、自律相結(jié)合的規(guī)范模式，個(gè)人信息商業(yè)利用規(guī)范應(yīng)當(dāng)區(qū)別于國家機(jī)關(guān)信息利用規(guī)范，尤其是借鑒美國法通過行業(yè)自律保護(hù)個(gè)人信息、促進(jìn)信息自由利用;借鑒歐盟完善的個(gè)人信息權(quán)利體系，堅(jiān)持個(gè)人信息權(quán)、人格權(quán)和財(cái)產(chǎn)權(quán)的雙重保護(hù)。值得注意的是，單個(gè)的個(gè)人信息并沒有明顯的財(cái)產(chǎn)屬性，但是大數(shù)據(jù)時(shí)代個(gè)人信息被商業(yè)利用時(shí)則凸顯其財(cái)產(chǎn)屬性，信息主體有權(quán)請求信息利用者支付報(bào)酬，但這并不影響信息利用者享有基于個(gè)人信息加工后產(chǎn)生的衍生數(shù)據(jù)的財(cái)產(chǎn)權(quán)。同時(shí)，立法者需要處理好個(gè)人信息利用中信息主體與信息利用者之間權(quán)利義務(wù)的分配，例如，披露匿名化數(shù)據(jù)的數(shù)據(jù)控制者仍然要承擔(dān)一定的義務(wù)，“以更好地保護(hù)數(shù)據(jù)主體的個(gè)人信息”[17];依據(jù)風(fēng)險(xiǎn)等級(jí)靈活設(shè)置信息利用者的義務(wù)，而不是一味給信息利用者增加過重負(fù)擔(dān)，以促進(jìn)信息利用與企業(yè)發(fā)展。借鑒歐盟模式，設(shè)立獨(dú)立的個(gè)人信息商業(yè)利用的監(jiān)管機(jī)構(gòu)，發(fā)生侵害個(gè)人信息行為時(shí)允許權(quán)利人通過司法途徑尋求救濟(jì)。

參考文獻(xiàn)：

[1] 蔣坡.個(gè)人數(shù)據(jù)信息的法律保護(hù)[M].北京：中國政法大學(xué)出版社，2008：33.

[2] 劉云.歐洲個(gè)人信息保護(hù)法的發(fā)展歷程及其改革創(chuàng)新[J].暨南學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2017（2）：72-84.

[3] 洪海林.個(gè)人信息的民法保護(hù)研究[M].北京：法律出版社，2010：92-93.

[4] 阿麗塔·艾倫，理查德·托克音頓.美國隱私法——學(xué)說、判例與立法[M].馮建妹，石宏，郝倩，等譯.北京：中國民主法制出版社，2004：212.

[5] HEISENBERG D. Negotiating Privacy： The European Union，the United States and Personal Data Protection[M]. London： Lynne Rienner Publishers Inc.，2005：33-34.

[6] 郭瑜.個(gè)人數(shù)據(jù)保護(hù)法研究[M].北京：北京大學(xué)出版社，2012：50-53.

[7] 陳起行.資訊隱私權(quán)法理探討——以美國法為中心[J].政大法學(xué)評(píng)論，2000（64）：297-341.

[8] 郎慶斌.國外個(gè)人信息保護(hù)模式研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2012（1）：22-24.

[9] 王忠.大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)隱私規(guī)制[M].北京：社會(huì)科學(xué)文獻(xiàn)出版社，2014：48.

[10]齊愛民.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)法國際比較研究[M].北京：法律出版社，2015：90-91.

[11]齊愛民.個(gè)人信息保護(hù)法研究[J].河北法學(xué)，2008（4）：23-25.

[12]張民安.美國當(dāng)代隱私權(quán)研究——美國隱私權(quán)的界定、類型、基礎(chǔ)以及分析方法[M].廣州：中山大學(xué)出版社，2013.

[13]錢力，譚金可.“互聯(lián)網(wǎng)+”時(shí)代網(wǎng)絡(luò)隱私權(quán)保護(hù)立法的完善[J].中國流通經(jīng)濟(jì)，2015（12）：113-118.

[14]微信海外版獲TRUSTe安全認(rèn)證[EB/OL].（2013-12-28）[2019-01-25].

http：//tech.qq.com/a/20131228/005589.htm.

[15]張瑤，劉小米.北大發(fā)布個(gè)人信息保護(hù)測評(píng)報(bào)告 互聯(lián)網(wǎng)企業(yè)得分普遍偏低[EB/OL].（2017-08-17）[2019-01-26].http：//news.163.com/17/0817/19/CS2J4MN400018AOR.html.

[16]龍衛(wèi)球.數(shù)據(jù)新型財(cái)產(chǎn)權(quán)構(gòu)建及其體系研究[J].政法論壇，2017（4）：63-77.

[17]張晨原.數(shù)據(jù)匿名化處理的法律規(guī)制[J].重慶郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2017（6）：57.

Comparison and Enlightenment： Research on the Normative Modes of

Commercial Utilization of Personal Information in the EU and the US

XIANG Dingyi1，2

（1.School of Humanities and Law， Northeast Forestry University， Harbin 150040， China;

2.School of Law， East China University of Political Science and Law， Shanghai 200042， China）

Abstract：

At present， there is no special specification for the commercial use of personal information in China. Comparing the relevant norms of European Union and USA has important reference significance for the construction of personal information commercial utilization norms in China. The European Union adopts a unified legislative model， which stipulates relatively sound personal information rights. EU law stipulates that information users have the obligation to actively protect personal information rights， and it sets up special regulatory bodies to supervise them. The United States adopts a decentralized legislative model combined with industry self-discipline， without defining personal information rights. In America， information users dont have the obligation to protect personal information absolutely without a unified regulatory body. The European Union model and the American model have their own advantages. When we construct the norms for the commercial use of personal information， we should make best use of the advantages and bypass the disadvantages and adopt the model of combining legislation with self-regulation. We should draw lessons from the European Union model， for instance， clarifying the rights of personal information， flexibly setting up the risk controlling and notification obligations of information users and establishing special regulatory bodies， to realize the balance of interests between personal information protection and information utilization.

Keywords：

self-discipline model; personal information right; typological norm; regulatory mechanism

（編輯：劉仲秋）

收稿日期：2019-04-01

基金項(xiàng)目：教育部人文社會(huì)科學(xué)青年項(xiàng)目：大數(shù)據(jù)時(shí)代信息共享與個(gè)人信息保護(hù)的利益平衡機(jī)制研究（17YJC820056）

作者簡介：

項(xiàng)定宜（1980-），女，湖北麻城人，東北林業(yè)大學(xué)文法學(xué)院講師，碩士生導(dǎo)師，法學(xué)博士，華東政法大學(xué)博士后，主要從事民商法和信息法研究。