楊 健

(南京信息工程大學(xué) 法政學(xué)院，江蘇 南京 210044)

隨著網(wǎng)絡(luò)科技和人工智能的飛速發(fā)展，人類已邁入信息化社會，大數(shù)據(jù)、物聯(lián)網(wǎng)等信息產(chǎn)業(yè)技術(shù)成為這個時代發(fā)展的重要特征，大數(shù)據(jù)成為社會發(fā)展的重要資源之一。越來越多的國家認(rèn)識到大數(shù)據(jù)產(chǎn)業(yè)對于經(jīng)濟(jì)發(fā)展的重要意義，并相繼將大數(shù)據(jù)產(chǎn)業(yè)上升到國家戰(zhàn)略。個人信息是大數(shù)據(jù)的重要組成部分，因其特有的明顯的、實質(zhì)性的經(jīng)濟(jì)價值，備受政府、企業(yè)等相關(guān)主體的關(guān)注。大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展避免不了要對個人信息進(jìn)行收集和處理，但這種收集與處理行為對個人信息不合理、不合法的利用，勢必會加劇社會對個人信息安全的擔(dān)憂以及減少人們分享個人信息的意愿[1]，Ari Ezra Waldman在對Facebook信息分享的個案中就指出，信任是個人意愿在社交網(wǎng)絡(luò)上分享個人信息的重要因素[2]。為了確保個人信息的便捷流通與安全使用，世界各國在立足國內(nèi)關(guān)于個人信息的關(guān)注程度以及個人信息利用開發(fā)需求等基礎(chǔ)上，相繼出臺了個人信息保護(hù)法律法規(guī)或者政策[3]。筆者認(rèn)為，在大數(shù)據(jù)時代個人信息權(quán)益的共享已成為必然趨勢，我國應(yīng)當(dāng)通過專門的個人信息立法明確個人信息保護(hù)與利用的界限，確立個人信息權(quán)益共享的制度規(guī)范。

一、個人信息權(quán)益共享的法經(jīng)濟(jì)學(xué)理論及國內(nèi)外立法比較

(一)個人信息權(quán)益共享的法經(jīng)濟(jì)學(xué)理論

個人信息權(quán)益共享其實并不是一個新鮮概念，自20世紀(jì)下半葉以來，信息技術(shù)的不斷發(fā)展已經(jīng)把它帶到了公眾辯論的前沿。波斯納認(rèn)為，對隱私信息的保護(hù)造成了市場的低效，因為它隱藏了其他經(jīng)濟(jì)主體需要了解潛在的相關(guān)信息[4]。例如，如果求職者向招聘單位謊報自己的背景和專業(yè)知識或者隱瞞自身的一些不良信息，保護(hù)他的個人信息將會對單位的招聘決定產(chǎn)生負(fù)面影響。因此，前者的隱私信息保護(hù)是以后者的盈利能力為代價的。政府通過隱私監(jiān)管將個人信息從市場中移除，最終將該個人可能的負(fù)面特征的影響轉(zhuǎn)移到其他主體身上，這對其他主體是不公平的。同樣，斯蒂格勒認(rèn)為，對個人信息市場的監(jiān)管干預(yù)并不會總是有效的。因為每個人都對公開披露有利的個人信息和隱藏不利的個人信息感興趣，那些決定保護(hù)自己個人信息的人實際上并不會把自己的負(fù)面信息共享。在這種情況下，阻止個人信息流動的監(jiān)管干預(yù)將無疑是低效的，因為該類信息本質(zhì)上就不是真實的[5]。

20世紀(jì)90年代中期，隨著數(shù)字信息技術(shù)在多個方面的進(jìn)步，出現(xiàn)了一系列涉及個人信息使用的新問題。個人信息的利用理論迎來了新的發(fā)展，新的理論考慮到隱私信息的特殊性，以及對數(shù)字信息技術(shù)作用的新的認(rèn)知。學(xué)者們開始關(guān)注諸如加密技術(shù)在影響數(shù)據(jù)持有者和數(shù)據(jù)主體的經(jīng)濟(jì)權(quán)衡方面的作用等問題。

瓦里安注意到數(shù)據(jù)操縱的低成本技術(shù)的發(fā)展對個人信息處理產(chǎn)生了新的影響。如果消費(fèi)者的個人信息被分享給第三方的太少，而不是太多，他們可能會承受隱私成本。他指出，消費(fèi)者可能合理地希望其他方知道自己的某些信息，然而，出于理性，同一位消費(fèi)者可能不希望別人知道太多信息，例如，關(guān)于他愿意為自己感興趣的事物付費(fèi)限額的信息[6]。瓦里安的推理路線與斯蒂格勒和波斯納的方法相呼應(yīng)，但又增加了與個人數(shù)據(jù)的二次使用相關(guān)的新顧慮。消費(fèi)者可能理性地決定與公司分享個人信息，因為他希望從交易中獲得凈收益。然而，他對如何使用以及由誰使用這些數(shù)據(jù)幾乎一無所知，也無法控制。公司可能會將消費(fèi)者的數(shù)據(jù)賣給第三方，這可能會導(dǎo)致垃圾郵件和不利的價格歧視等問題，這種負(fù)外部性可能不會被消費(fèi)者或散布信息的公司所控制。

勞登則提出了創(chuàng)建信息市場，在這個市場中，個人擁有自己的個人數(shù)據(jù)，并可以將這些數(shù)據(jù)的權(quán)利轉(zhuǎn)讓給他人，以換取某種形式的補(bǔ)償。與芝加哥學(xué)派學(xué)者提出的觀點(diǎn)相似，勞登認(rèn)為，僅僅通過法律保護(hù)隱私已經(jīng)過時，一個基于個人信息產(chǎn)權(quán)的系統(tǒng)將更好地滿足消費(fèi)者和公司的利益。但是，一個關(guān)于個人資料的財產(chǎn)權(quán)制顯然需要適當(dāng)?shù)牧⒎▉斫缍ê头峙溥@些權(quán)利[7]。這一結(jié)論表明，基于市場的和監(jiān)管的隱私處理方式并不是對立的，而是一個光譜上的點(diǎn)。一方面，在光譜的一端人們會發(fā)現(xiàn)沒有隱私立法存在的體制，保護(hù)數(shù)據(jù)完全依賴公司的市場行為(例如采用加強(qiáng)隱私技術(shù)以防止個人數(shù)據(jù)的泄漏)，以及公司的自動調(diào)整的推動數(shù)據(jù)處理策略。另一方面，隱私監(jiān)管將對個人數(shù)據(jù)建立嚴(yán)格的默認(rèn)保護(hù)，并限制其使用。在這兩者之間，立法措施可能會為個人資料的產(chǎn)權(quán)，以及為在資料當(dāng)事人和潛在資料持有人之間交易這些權(quán)利創(chuàng)造一個框架。

(二)個人信息權(quán)益共享的國內(nèi)外主要立法及差異分析

我國目前已出臺或者正在出臺的相關(guān)法律或政策文件主要有《中華人民共和國網(wǎng)絡(luò)安全法》《民法典》和《數(shù)據(jù)安全管理辦法(征求意見稿)》等。從立法情況來看，我國政府對于個人信息使用的保護(hù)與利用尚未有獨(dú)立的法律規(guī)范，目前僅在部分法律中對個人信息保護(hù)與利用予以確認(rèn)，如《中華人民共和國網(wǎng)絡(luò)安全法》第22條、第41條和第42條等將個人同意作為企業(yè)合法收集、使用個人信息的前置條件，《數(shù)據(jù)安全管理辦法(征求意見稿)》第11條、第22條規(guī)定收集使用個人信息應(yīng)當(dāng)征得個人信息主體同意。民法典人格權(quán)編將隱私權(quán)和個人信息保護(hù)單列一章，明確了個人信息使用的原則和界限、個人信息利用除外條款以及個人信息主體的權(quán)利等內(nèi)容，充分彰顯了我國對于個人信息保護(hù)與利用的重視，也是我國個人信息保護(hù)立法的一個突破。

關(guān)于個人信息保護(hù)與利用，歐盟主要依據(jù)《一般數(shù)據(jù)保護(hù)條例》(GDPR)，《條例》在《數(shù)據(jù)保護(hù)指令》(DPD)的基礎(chǔ)上完善形成，以單行立法的形式對個人信息利用的主要原則、權(quán)利義務(wù)以及相關(guān)的責(zé)任分配等作出了詳細(xì)的規(guī)定，從制度層面上構(gòu)建起了關(guān)于個人信息保護(hù)與利用的模式，符合個人信息利用發(fā)展的趨勢。

我國《民法典》與《一般數(shù)據(jù)保護(hù)條例》(GDPR)關(guān)于個人信息保護(hù)有相似之處，都對個人信息的使用原則、信息主體的權(quán)利等作出了明確的規(guī)定，但兩者之間的差異更為明顯。

第一，兩者的立法模式不同。我國立法是將個人信息保護(hù)納入到《民法典》之中，未獨(dú)立進(jìn)行個人信息保護(hù)立法，而歐盟從《數(shù)據(jù)保護(hù)指令》(DPD)到《一般數(shù)據(jù)保護(hù)條例》(GDPR)都是以單行法律的模式進(jìn)行個人信息保護(hù)，產(chǎn)生這種差異的主要原因與我國的立法理念有關(guān)。一直以來，我國的立法模式是部門主導(dǎo)立法的模式，即具體落實的部門牽頭研究制定相關(guān)的法律法規(guī)。2011年，國家互聯(lián)網(wǎng)信息辦公室成立，至此，我國的個人信息保護(hù)立法工作開始加快步伐。歐洲國家關(guān)于個人信息保護(hù)的立法有更多的法律實踐，因而有利于形成完善的個人信息保護(hù)法律機(jī)制。

第二，兩者的立法定位不同。我國傾向于將個人信息保護(hù)納入民法領(lǐng)域，故而通過《民法典》確立對個人信息進(jìn)行保護(hù)的基本內(nèi)容?！睹穹ǖ洹逢P(guān)于個人信息保護(hù)的立法條文一共有8條，包含了隱私權(quán)的相關(guān)規(guī)定。從立法內(nèi)容上看，《民法典》關(guān)于個人信息保護(hù)只是統(tǒng)領(lǐng)性的原則規(guī)定，這種統(tǒng)領(lǐng)性的立法定位為個人信息保護(hù)專門立法留下了空間。《一般數(shù)據(jù)保護(hù)條例》(GDPR)的法律性質(zhì)則表現(xiàn)出多維的特征，涉及民法、行政法和經(jīng)濟(jì)法等多個領(lǐng)域，并且《條例》對于個人信息的保護(hù)與利用進(jìn)行了相當(dāng)完整的規(guī)定，涵蓋了適用范圍、基本原則、具體利用規(guī)范及界限、法律責(zé)任等內(nèi)容，具有相當(dāng)?shù)目刹僮餍裕灸軌蜻m應(yīng)對個人信息權(quán)益多樣性保護(hù)的要求。

第三，兩者的立法側(cè)重點(diǎn)不同。民法典人格權(quán)編第六章為“隱私權(quán)和個人信息保護(hù)”，可以看出，我國對于個人信息立法的側(cè)重點(diǎn)在于個人信息“保護(hù)”，這主要是因為我國個人信息保護(hù)立法起步較晚，在互聯(lián)網(wǎng)大數(shù)據(jù)發(fā)展的過程中我國個人信息保護(hù)一直未受到重視，個人信息保護(hù)的形勢相對嚴(yán)峻，因此在立法初期必然會選擇強(qiáng)化個人信息保護(hù)?！兑话銛?shù)據(jù)保護(hù)條例》(GDPR)雖然也有對個人信息的保護(hù)內(nèi)容，但從《條例》的整體設(shè)計來看，其更具有功利性的特點(diǎn)。歐洲國家個人信息保護(hù)的立法起步早，在社會上已經(jīng)形成了個人信息保護(hù)的意識。因此，《條例》側(cè)重于平衡信息主體、信息控制者、信息處理者以及國家機(jī)關(guān)之間的相互利益關(guān)系，從而為充分發(fā)掘個人信息的使用價值提供保障，如從《條例》第5條、第6條的內(nèi)容來看，更多的是對以合法、合理和透明的方式來處理個人數(shù)據(jù)的一個界定，這與我國更側(cè)重于對個人信息的保護(hù)是兩種不同的理念[8]。

從整體而言，我國個人信息保護(hù)的立法與歐洲發(fā)達(dá)國家個人信息保護(hù)的相關(guān)立法仍然存在不小的差距。在數(shù)字政務(wù)和數(shù)字經(jīng)濟(jì)日益發(fā)展的今天，如何構(gòu)建新型的個人信息共享模式法律體系，實現(xiàn)個人信息共享和信息保護(hù)之間的權(quán)衡取舍，是我國個人信息立法和政策創(chuàng)新工作面臨的重要任務(wù)。

二、個人信息權(quán)屬分析

(一)個人信息的私人權(quán)益屬性

《民法典》對個人信息的定義主要是指與自然人相關(guān)的各種信息，包括自然人的姓名、身份證件號碼、生物識別信息、電話號碼、電子郵箱、健康信息、行蹤信息等。從這個定義來看，個人信息的私屬性是比較明顯的，并且民法典將個人信息編入人格權(quán)編，將個人信息定位為人格權(quán)益，也體現(xiàn)出法律對于個人信息私權(quán)屬性的保護(hù)[9]?！兑话銛?shù)據(jù)保護(hù)條例》(GDPR)第16條、第17條、第18條關(guān)于數(shù)據(jù)主體的更正權(quán)、擦除權(quán)(被遺忘權(quán))和限制處理權(quán)的規(guī)定，也體現(xiàn)出數(shù)據(jù)主體對于數(shù)據(jù)的支配權(quán)益，這種權(quán)益的基礎(chǔ)在于數(shù)據(jù)主體對數(shù)據(jù)的私有權(quán)利。

對于個人信息私人屬性的論述，孫日華、張井忠提出，信息自決權(quán)和信息隱私權(quán)作為個人信息私人屬性的權(quán)利支撐，雖然信息自決權(quán)與信息隱私權(quán)對個人信息保護(hù)所立足的理論以及在對個人信息保護(hù)方式上有差別，但二者之間的落腳點(diǎn)都是----個人信息作為私人物品，信息個體有權(quán)對其進(jìn)行控制[10]。

信息自決權(quán)起源于1983年德國聯(lián)邦憲法法院的人口普查案[11]，當(dāng)時德國聯(lián)邦政府欲依據(jù)《人口普查法》調(diào)查人民生活之相關(guān)信息，包括住宅、姓名、住址、電話、出生日期、家庭狀況等諸多個人信息。針對聯(lián)邦政府的調(diào)查，聯(lián)邦憲法法院提出信息自決權(quán)，即信息主體有權(quán)拒絕其他主體收集、儲存、使用、流通個人信息，個人可以自主決定是否公開以及如何公開個人信息。盡管聯(lián)邦法院提出了信息自決權(quán)，但并不意味著個人可以不受限制地控制和行使信息權(quán)利，在社會利益與重大公共利益面前，信息自決權(quán)仍然需要受到限制。

信息隱私權(quán)起源于美國，計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展在給人們帶來便利的同時，也造成對個人信息權(quán)利尤其是隱私權(quán)的侵犯[12]。20世紀(jì)60年代，美國政府關(guān)于成立“國家資料中心(National Data Center)”的提議，引發(fā)了美國社會對于個人隱私權(quán)的關(guān)注[13]，信息隱私權(quán)(information privacy)的概念逐漸形成。美國聯(lián)邦最高法院對這一權(quán)利的表述是，法律和隱私的外在含義均包含了個人對與其相關(guān)的信息的控制[14]。信息隱私權(quán)是保護(hù)個人信息權(quán)利的產(chǎn)物，其目的在于通過對信息個體隱私權(quán)利的確認(rèn)，從而達(dá)到維護(hù)信息主體的信息自主權(quán)、自我認(rèn)同和個人尊嚴(yán)[15]。不過，和信息自決權(quán)一樣，信息隱私權(quán)也并非一項絕對性的權(quán)利，因此，美國政府在制定信息隱私政策和法律之初，就尋求在信息流通和隱私保護(hù)之間尋求平衡。

(二)個人信息的公共權(quán)益屬性

傳統(tǒng)信息技術(shù)時代，個人信息的私權(quán)屬性得到普遍的認(rèn)可，但大數(shù)據(jù)時代的到來，開始顛覆社會對于個人信息權(quán)屬的認(rèn)識，在蓬勃發(fā)展的信息經(jīng)濟(jì)中，個人信息已成為一種有價值的商品，是經(jīng)濟(jì)增長和創(chuàng)新的主要動力之一，人們也意識到過度強(qiáng)調(diào)對個人信息的保護(hù)可能會限制數(shù)字經(jīng)濟(jì)的發(fā)展。因此，在大數(shù)據(jù)時代探索個人信息共享的正當(dāng)性道路，成為信息時代法學(xué)家們的研究方向[16]。

隨著物聯(lián)網(wǎng)的興起，信息技術(shù)的發(fā)展正改變著城市生活的傳統(tǒng)方式，城市的信息化發(fā)展和個人信息化產(chǎn)品的運(yùn)用使公共空間和個人空間都成為更具有被入侵性的場所，而城市的眾多人口與城市公共空間、個人私密空間的物聯(lián)網(wǎng)設(shè)備和傳感器進(jìn)行交互時產(chǎn)生了大量的數(shù)據(jù)，這種無處不在的有關(guān)城市生活各個方面的數(shù)據(jù)收集以及對公共空間和個人空間的侵入，引起了社會的廣泛關(guān)注。到2025年，聯(lián)網(wǎng)設(shè)備的數(shù)量預(yù)計將攀升至750億部[17]，在聯(lián)網(wǎng)智能設(shè)備數(shù)量不斷攀升的過程中，個人信息走向互聯(lián)互通也就成為必然。

當(dāng)個人信息被共享時，有時會具有公共產(chǎn)品的特征，比如非競爭性和非排他性(個人信息主體實際上也無法實現(xiàn)對個人信息的絕對控制)[18]。個人不再僅僅是信息的消費(fèi)者，也是個人數(shù)據(jù)的公共生產(chǎn)者，隨著包含消費(fèi)者信息的數(shù)據(jù)庫的激增，一些公司能夠控制數(shù)十億用戶跨平臺、在線服務(wù)和網(wǎng)站的行為跟蹤和鏈接，如此大量的數(shù)據(jù)具有明顯的、實質(zhì)性的經(jīng)濟(jì)價值。個人的特質(zhì)和屬性(如人的年齡、地址、性別、收入、偏好、網(wǎng)上評論等)正日益被視為業(yè)務(wù)資產(chǎn)，可用于目標(biāo)服務(wù)或提供相關(guān)廣告，或與其他各方交易。

大數(shù)據(jù)時代，個人信息已與他人利益和社會利益相關(guān)聯(lián)，個人信息早已溢出私人權(quán)益屬性范圍，具備公共權(quán)益屬性[19]。在新型政務(wù)管理模式下，政府各部門通過政務(wù)服務(wù)平臺等多種途徑收集個人信息。同時，在大量收集個人信息的基礎(chǔ)上，利用高性能計算機(jī)、云存儲等科技對個人信息進(jìn)行批量分析和綜合處理，可以大幅度提高社會管理的效率。例如，在城市管理中，政府部門可以利用大數(shù)據(jù)來調(diào)節(jié)城市環(huán)境，通過收集和分析大量的城市居民的數(shù)據(jù)信息以及與信息科技公司達(dá)成的合作協(xié)議，可以提高城市交通、住房、公用事業(yè)、電信和環(huán)境服務(wù)的智能化程度[20]。

通過對個人信息的收集和分析，政府部門在應(yīng)對重大突發(fā)事件時能夠更加從容。在公共醫(yī)療衛(wèi)生領(lǐng)域，大數(shù)據(jù)與醫(yī)療信息的融合，有助于提升政府公共醫(yī)療服務(wù)效率，從而提高醫(yī)療質(zhì)量[21]。例如，電子病歷(EMR)允許醫(yī)療提供者使用計算機(jī)而不是紙質(zhì)病歷存儲和交換患者信息。Hillestad等人提出，假設(shè)為期15年，EMR的采用率90%，通過提高效率和安全性，EMR每年可減少美國醫(yī)療成本340億美元[22]。

三、個人信息權(quán)益分配機(jī)制構(gòu)建

(一)個人信息權(quán)益分配的整體框架

1. 信息權(quán)益分配機(jī)制構(gòu)建的前提是對個人信息的權(quán)利主體進(jìn)行界定

第一，個人信息權(quán)益分配需要確定能夠享有權(quán)利的權(quán)利人范圍?！毒W(wǎng)絡(luò)安全法》描述的主體包括政府部門、網(wǎng)絡(luò)經(jīng)營者、信息主體以及其他個人和組織；民法典人格權(quán)編涉及的主體有國家機(jī)關(guān)、信息處理者、信息主體和其他自然人；《數(shù)據(jù)安全管理辦法(征求意見稿)》涉及的主體有政府部門、網(wǎng)絡(luò)運(yùn)營者、個人信息主體以及其他個人信息需求者；《一般數(shù)據(jù)保護(hù)條例》描述的權(quán)利主體包含數(shù)據(jù)主體也即數(shù)據(jù)的擁有者、數(shù)據(jù)控制人也即實際控制并期待加以利用的數(shù)據(jù)收集者、數(shù)據(jù)處理者也即幫助數(shù)據(jù)控制者進(jìn)行數(shù)據(jù)分析處理的第三方及其他自然人也即有利用數(shù)據(jù)需求的第三人等四個方面，涉及數(shù)據(jù)的歸屬屬性、對數(shù)據(jù)的處理利用以及對數(shù)據(jù)利用的權(quán)益關(guān)系等因素[23]。從國內(nèi)外的立法看，權(quán)益分配的主體大概可以歸納為四類，即信息主體、政府部門、信息企業(yè)以及第三方利益相關(guān)者，而政府部門及信息企業(yè)一般也可歸于信息控制者或處理者范疇。

第二，要合理區(qū)分各方主體對個人信息的利益需求。政府對個人信息的需求主要表現(xiàn)在維護(hù)國家安全、社會公共利益以及提高社會管理效率；企業(yè)對個人信息的需求主要在于其商業(yè)價值，通過大量的個人信息收集與分析，可以更有針對性地進(jìn)行商業(yè)營銷；個人信息主體主要是出于對個人信息的保護(hù)及財產(chǎn)權(quán)利用；第三方利益相關(guān)者則主要基于重大人身利益而需要了解其他個人信息，如為保障自身的生命權(quán)、健康權(quán)等。

第三，必須了解利用個人信息的法律依據(jù)。根據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全管理辦法(征求意見稿)》《一般數(shù)據(jù)保護(hù)條例》對運(yùn)用個人信息(數(shù)據(jù))的相關(guān)規(guī)定，個人信息利用的法定情形一般包含以下四類：一是國家機(jī)關(guān)在為了保障社會公共利益或者在依法履行自身職責(zé)時，可依法對個人信息進(jìn)行收集、處理和加以利用；二是信息企業(yè)在一些特定的情形下也可以處理個人信息；三是信息主體對信息的處理，這種權(quán)益屬于一種當(dāng)然權(quán)利，信息主體沒有侵害其他主體的權(quán)利，沒有違反法律法規(guī)，就可以對信息進(jìn)行合理利用；四是其他利益相關(guān)者，在基于對自身權(quán)益保障的前提與目的下(主要是與生命健康等相關(guān)的權(quán)益)，可獲取和處理信息主體的個人信息[24]。

2. 信息權(quán)益分配需要厘清各方利益主體享受信息權(quán)益的權(quán)利性質(zhì)和種類

各方利益主體的權(quán)益從性質(zhì)上可以分為兩類，即信息所有權(quán)和信息使用權(quán)，信息主體必然享有對其個人信息的所有權(quán)，但同時其他利益主體享受基于信息主體讓渡而形成的信息使用權(quán)[25]。需要注意的是，雖然信息主體對個人信息享有所有權(quán)，但這并不意味著其對個人信息有絕對的控制權(quán)，大數(shù)據(jù)時代個人幾乎不可能實現(xiàn)對個人信息的控制[26]，這是因為，為享受個性化信息產(chǎn)品或服務(wù)帶來的便利，個人必須讓渡部分或全部信息使用權(quán)。在此前提下，其他信息主體對個人信息的收集、使用、處理和收益的權(quán)利源于信息主體對信息所有權(quán)和使用權(quán)中部分權(quán)利的讓渡，并通過一定的勞動和成本才創(chuàng)造或增加了個人信息的利用價值，從而實現(xiàn)了個人信息的財產(chǎn)化[27]。概言之，個人信息權(quán)的產(chǎn)生、行使、管理和保護(hù)實則取決于四方主體在信息使用和收益中的制度分配，也就是共享權(quán)模式下三類權(quán)益關(guān)系之間的優(yōu)先關(guān)系和平衡規(guī)則。

(二)信息主體的權(quán)益限制

從涉及個人信息權(quán)利的立法法條可以看出，關(guān)于權(quán)益保護(hù)的各類例外條款基本適用于各類個人信息權(quán)利，即信息主體在享受信息保護(hù)的同時，立法也考慮個人權(quán)益行使在某些特定情形下應(yīng)當(dāng)考慮到其他權(quán)利主體的正當(dāng)合法權(quán)益?！睹穹ǖ洹返?036條對處理利用個人信息的免責(zé)事由進(jìn)行了原則性的界定，即為維護(hù)公共利益或者該自然人合法權(quán)益而合理實施的其他行為應(yīng)當(dāng)屬于免責(zé)事由。《一般數(shù)據(jù)保護(hù)條例》在賦予數(shù)據(jù)主體擦除權(quán)(被遺忘權(quán))和限制處理權(quán)的同時，也對數(shù)據(jù)主體權(quán)利有所限制，如第18條第2段明確規(guī)定，當(dāng)處理受第1段的規(guī)定所限制，除了儲存的情形，此類個人數(shù)據(jù)只有在如下情形中才能進(jìn)行處理：獲取了數(shù)據(jù)主體的同意，或者為了提起、行使或辯護(hù)法律性主張，或者為了保護(hù)另一個自然人或法人的權(quán)利，或者為了歐盟或某個成員國的重要公共利益。從各方正當(dāng)利益之間的沖突方面來看，一方面，擦除權(quán)、隱私權(quán)等信息主體的私權(quán)利的保護(hù)，在某種程度上必然會與公眾知情權(quán)、政府信息公開義務(wù)等公權(quán)利的保障存在沖突，如關(guān)于對個人進(jìn)行行政處罰是否應(yīng)當(dāng)公開的問題，在構(gòu)建信用社會體系的要求中個人的行政處罰信息屬于個人誠信的一個重要環(huán)節(jié)，但個人行政處罰信息公開必然會牽涉到個人隱私問題，這兩者之間必然會存在沖突；另一方面，作為保護(hù)信息主體免受不合理、不合法侵害的方式，過度地行使信息私人權(quán)利也可能會對市場經(jīng)濟(jì)發(fā)展造成阻礙。因此，在符合正當(dāng)合法利益的條件下，個人私權(quán)利仍然要受到一定程度的限制。

(三)信息權(quán)益的利用邊界

由于信息技術(shù)社會下個人隱私信息受沖擊概率的增加，國內(nèi)外立法對于個人信息權(quán)益一般都會設(shè)置保護(hù)與限制雙重管理機(jī)制，即對信息主體設(shè)立保護(hù)機(jī)制，賦予其相應(yīng)的信息權(quán)利，對信息企業(yè)等其他利益主體則設(shè)置相應(yīng)的管理義務(wù)。在個人基于其自身利益需求如擦除權(quán)等而處理個人信息的意愿與法律規(guī)定的其他社會正當(dāng)利益發(fā)生沖突的場合中，通常會優(yōu)先保護(hù)其他社會正當(dāng)利益，這些正當(dāng)利益一般是基于國家利益、公共利益、法定職責(zé)以及信息控制者(處理者)或第三方的正當(dāng)利益。在一般情形下，除信息主體以外的其他信息利用者或者控制者則需要擔(dān)負(fù)信息保護(hù)義務(wù)，如對涉及他人隱私的信息進(jìn)行保密、在處理他人信息時隱匿他人姓名、只能在信息主體授權(quán)范圍里處理個人信息等。在保護(hù)個人信息的同時，亦需要承擔(dān)保護(hù)國家利益、維護(hù)公共安全、執(zhí)行法律法規(guī)等義務(wù)或者保護(hù)社會經(jīng)營者的合法權(quán)益等。根據(jù)不同的處理環(huán)節(jié)，《一般數(shù)據(jù)保護(hù)條例》對義務(wù)豁免情形進(jìn)行了較為詳細(xì)的描述，這是我國立法需要予以完善的地方。

四、我國個人信息權(quán)益分配立法的方向

個人資料的分享和保護(hù)對個人和社會層面都有正面和負(fù)面的影響。一方面，個人信息既有私人價值，也有商業(yè)價值，理論模型和實證研究都強(qiáng)調(diào)，數(shù)據(jù)共享可以減少市場摩擦，促進(jìn)交易。然而，另一方面，所謂的數(shù)據(jù)共享的社會好處并不總是得到審查和證實?！按髷?shù)據(jù)傲慢”指的是“隱含的假設(shè)，即大數(shù)據(jù)是傳統(tǒng)數(shù)據(jù)收集和分析的替代品，而不是補(bǔ)充”。事實上，利用數(shù)據(jù)的商業(yè)價值往往會減少私人效用，有時甚至?xí)p少整個社會福利。因此，消費(fèi)者有充分的理由擔(dān)心未經(jīng)授權(quán)的企業(yè)應(yīng)用他們的私人信息。與所有信息一樣，個人數(shù)據(jù)很容易存儲、復(fù)制和轉(zhuǎn)移，對個人和政府而言，監(jiān)管其獲取和傳播是一項具有挑戰(zhàn)性的任務(wù)。

從我國目前關(guān)于個人信息運(yùn)用的立法上看，總體上已經(jīng)體現(xiàn)了公、私利益平衡兼顧的立法思路，除信息主體權(quán)利保護(hù)之外，法律也規(guī)定了特定情形下為保護(hù)國家或者社會公共利益可以合理使用和處理個人信息，如《民法典》關(guān)于個人信息的合理使用規(guī)定。但從法條內(nèi)容詳細(xì)程度上看，我國立法與《一般數(shù)據(jù)保護(hù)條例》在對如何合理運(yùn)用個人信息方面仍有一定差距?！兑话銛?shù)據(jù)保護(hù)條例》對個人信息的利用情形、方式和界限等規(guī)定得更為詳細(xì)，如對數(shù)據(jù)主體的保護(hù)原則的限制、數(shù)據(jù)主體行使數(shù)據(jù)權(quán)利的限制、公共安全等國家利益的維護(hù)、數(shù)據(jù)使用或控制者享有的合法權(quán)益等都有明確的規(guī)定，從而在制度層面形成了一套個人信息權(quán)利利用與保護(hù)的權(quán)衡標(biāo)準(zhǔn)，為數(shù)據(jù)權(quán)益的多方共享體系奠定了法益劃分的基礎(chǔ)。借鑒《一般數(shù)據(jù)保護(hù)條例》，筆者認(rèn)為我國個人信息權(quán)益分配機(jī)制的立法工作可從以下幾個方面構(gòu)建。

(一)在公法領(lǐng)域規(guī)范個人信息的開放和共享

在以行政法為主的公法領(lǐng)域，需要側(cè)重對個人信息開放和共享的保護(hù)。新的搜索引擎、社交網(wǎng)絡(luò)、電子商務(wù)網(wǎng)站、網(wǎng)絡(luò)瀏覽器，以及針對注重個人信息的消費(fèi)者的個性化控制已經(jīng)出現(xiàn)。從整體上看，這些技術(shù)似乎把個人信息利用選擇權(quán)留給了消費(fèi)者，但實際上，許多(或者是大多數(shù))消費(fèi)者缺乏保護(hù)和規(guī)范其個人信息多維度所需的意識和技術(shù)水平。侵犯個人信息的技術(shù)服務(wù)已經(jīng)成為日常通信、求職和日常消費(fèi)的一部分。與此同時，個人信息保護(hù)需要用戶付出額外的努力和專業(yè)知識，這限制了它們的效力，特別是在一些保護(hù)意識較差的人群中。另外，鑒于司法和行政部門與信息主體之間的不平等和不平衡的關(guān)系，很容易出現(xiàn)司法和行政權(quán)力的過度濫用，以至于打破個人信息權(quán)益與國家社會需求之間的平衡，這將不利于信息主體共享個人信息。因此，在公法領(lǐng)域如《數(shù)據(jù)安全法》中，需要對個人信息的利用和共享做出限制，以防止政府部門或企業(yè)過度使用個人信息。

(二)在私法領(lǐng)域側(cè)重個人信息的利益分配

在信息經(jīng)濟(jì)的市場中，個人擁有自己的個人數(shù)據(jù)，并可以將這些數(shù)據(jù)的權(quán)利轉(zhuǎn)讓給他人，以換取某種形式的補(bǔ)償，但可以確定的是，僅僅通過公法領(lǐng)域來保護(hù)個人信息已經(jīng)不足以支撐信息經(jīng)濟(jì)的發(fā)展，一個關(guān)于個人信息權(quán)益的財產(chǎn)權(quán)制顯然需要適當(dāng)?shù)牧⒎▉斫缍ê头峙溥@些權(quán)利。事實上，從信息中提取經(jīng)濟(jì)價值和保護(hù)個人信息也并不是對立的目標(biāo)。法經(jīng)濟(jì)學(xué)的研究文獻(xiàn)表明，我們已經(jīng)清楚地了解到，保護(hù)個人信息或最大化共享個人信息并不必然存在對與錯的問題，信息保護(hù)和信息共享之間達(dá)到平衡依賴于立法的變化。因此，在以《民法典》為代表的私法領(lǐng)域，需要對信息主體所享有的信息權(quán)利尤其是具有財產(chǎn)屬性的權(quán)利以及企業(yè)所享有或者可以依法獲取的個人信息權(quán)益做出界定和分配，既要充分考慮信息主體關(guān)于自身利益的保護(hù)和利用需求，也要避免過度保護(hù)個人信息權(quán)益。

(三)打破政府與企業(yè)信息收集利用的壁壘

在智慧城市的建設(shè)過程中，單憑政府或者企業(yè)對個人信息數(shù)據(jù)進(jìn)行收集利用并不會取得特別好的效果。一方面，政府收集的個人信息主要包含個人的身份信息、家庭信息、信用信息等內(nèi)容，這些內(nèi)容相比企業(yè)收集的信息具有權(quán)威性，但此類信息相對缺少主動性，而且對于推動城市建設(shè)和應(yīng)對社會需求方面作用并不特別明顯；另一方面，企業(yè)收集個人信息主要是用于商業(yè)用途，更加側(cè)重于對消費(fèi)者喜好、購買需求等與消費(fèi)密切相關(guān)的信息數(shù)據(jù)，這些數(shù)據(jù)可以很好地幫助企業(yè)為消費(fèi)者定制個性化產(chǎn)品，但這類數(shù)據(jù)的提取主要依靠大數(shù)據(jù)處理技術(shù)進(jìn)行分析，是一種相對模糊的信息。政府與企業(yè)的信息數(shù)據(jù)完全可以形成互補(bǔ)，政府收集的信息可以為企業(yè)在招聘、商業(yè)合作等方面提供支撐，企業(yè)所收集的社會公眾的個人信息可以為政府制定政策提供數(shù)據(jù)參考。因此，政府部門在推動大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的同時，需要在立法中充分考慮政府收集信息與企業(yè)收集信息的銜接問題，只有打通政府部門與信息企業(yè)之間的信息壁壘，實現(xiàn)信息資源的互補(bǔ)和整合，才可以更好實現(xiàn)個人信息權(quán)益的分配與利用。

在大數(shù)據(jù)時代，個人信息權(quán)益的共享已成為信息技術(shù)發(fā)展的必然。因此，必須提前布局，加快個人信息權(quán)益共享機(jī)制建設(shè)，在個人信息權(quán)益共享與個人信息保護(hù)之間取得平衡，形成個人信息利用與保護(hù)雙贏的局面。