張 珺

(中國政法大學 民商經(jīng)濟法學院，北京 100088)

一、個體權(quán)利思維指引下的個人信息保護方案

在信息化、網(wǎng)絡化、智能化程度日益深化的今天，個人信息的收集、處理和利用呈現(xiàn)出高度關(guān)聯(lián)、深度分析、精準刻畫的趨勢，這加劇了人們對個人信息失控的擔憂。2017年12月24日發(fā)布的《全國人民代表大會常務委員會執(zhí)法檢查組關(guān)于檢查〈中華人民共和國網(wǎng)絡安全法〉〈全國人民代表大會常務委員會關(guān)于加強網(wǎng)絡信息保護的決定〉實施情況的報告》顯示，我國的個人信息保護制度落實情況不理想：過半數(shù)受訪者認為存在過度收集使用用戶信息問題，個人信息保護執(zhí)法不力[1]。2019年1月，中共中央網(wǎng)絡安全和信息化委員會辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局開展App違法違規(guī)收集使用個人信息專項治理。2016年以來公安機關(guān)持續(xù)通過專項行動打擊整治侵犯公民個人信息違法犯罪活動[2]?？梢?，我國對個人信息保護力度持續(xù)加大，但個人信息收集使用違法違規(guī)問題仍突出，這反映出既有的個人信息保護模式存在不足。

目前，確立和賦予個人信息權(quán)是我國個人信息保護主要路徑，這在法學理論主流觀點和法律制度建構(gòu)中均有所體現(xiàn)。這一思路的內(nèi)容是以個人權(quán)利為重心，構(gòu)筑以個人知情同意為核心，以個人查詢、更正、刪除為保障的權(quán)利體系。個人信息權(quán)本質(zhì)是將個人信息保護私權(quán)化，實現(xiàn)自然人對個人信息對世性的、絕對的支配和控制[3]85。

理論研究中，有學者比照人格權(quán)或財產(chǎn)權(quán)思路，提出在民法上確立個人信息權(quán)或?qū)€人信息明確為一項法益，為個人信息保護創(chuàng)設民事權(quán)利“根基”。試圖把民法納入到個人信息保護的直接法律淵源之中，在《民法典》中加入個人信息保護與利用規(guī)范條款，構(gòu)筑協(xié)調(diào)平衡人格保護與經(jīng)濟利益的民事權(quán)利體系，落腳點是實現(xiàn)個人對個人信息的獨占性支配[4-6]。

在我國法律制度上，現(xiàn)有的個人信息保護專門規(guī)定或條款的核心內(nèi)容均為“個人知情同意”，最終也指向了建構(gòu)并不斷完善個人信息權(quán)利體系。以2012年《全國人民代表大會常務委員會關(guān)于加強網(wǎng)絡信息保護的決定》為起點，明確了個人知情同意作為個人信息收集使用的前提。其后發(fā)布或修訂的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《消費者權(quán)益保護法》《網(wǎng)絡安全法》中的相關(guān)條款延續(xù)了這一思路?！毒W(wǎng)絡安全法》還提出了個人信息刪除權(quán)、更正權(quán)，豐富了個人信息權(quán)體系?！稊?shù)據(jù)安全管理辦法(征求意見稿)》《兒童個人信息網(wǎng)絡保護規(guī)定》則在此基礎(chǔ)上細化個人知情同意，明確收集使用個人信息的告知方式和事項。民法從私權(quán)路徑出發(fā)，通過確認個人信息權(quán)的人格權(quán)法律地位對其加以保護，奠定民法在個人信息保護法律法規(guī)體系中的基礎(chǔ)性地位?！睹穹ǖ洹废仁窃诳倓t編第111條肯定了個人信息受法律保護，接著是在人格權(quán)編第六章，將隱私權(quán)與個人信息保護并列，專設6條個人信息保護規(guī)定?？傊?，民法將個人信息權(quán)納入人格權(quán)范圍加以保護，并與前述一系列法規(guī)形成合力，強化了個人對個人信息的絕對支配，形成并夯實了個人信息的個體權(quán)利保護方案。

上述關(guān)于個人信息保護的探索具有理論價值和實踐價值，彰顯了以信息自決維護人格尊嚴的立場，宣示了加強個人信息保護的規(guī)范導向，亦傳達了理論研究和立法活動面對經(jīng)濟社會新變化作出的正面回應。但究其思路，實則是個體權(quán)利思維指引下的個人信息保護方案。民法和多部單行法設置了專門的個人信息保護條款，盡管后者并非以人格權(quán)的形式被呈現(xiàn)，但共同特征是個人同意規(guī)則的泛化與深化，本質(zhì)是靠個人自由意志與能力防御其他主體的干擾，沒有越出私權(quán)重心的框架。這反映出理論上個體利益保護對私權(quán)的路徑依賴。然而，在個人信息被多主體大規(guī)模采集與應用的背景下，個體權(quán)利思維指引下的保護方案具有明顯缺陷，難以有效應對和真正解決個人信息保護問題。

二、個體權(quán)利思維指引下的個人信息保護方案問題

面對大數(shù)據(jù)語境中的個人信息應用實踐情況，與個體權(quán)利思維一脈相承的個人控制模式、意思自治理念，以及個體化、事后化的權(quán)利保障機制均存在一定的局限，難以有效實現(xiàn)個人信息保護。就以個體權(quán)利為重心的個人信息保護方案而言，其宣示意義大于實用意義。

1.個人控制模式下個人信息保護與利用效率低

個體權(quán)利思維指引下的個人信息保護規(guī)則，將個人信息權(quán)益作為自然人的人格權(quán)益加以保護，以個人同意為收集使用個人信息的首要條件，使個人信息保護私權(quán)化[7]67。這意味著由自然人自主決定他人能否以及如何收集使用個人信息(為維護公共利益、自然人合法權(quán)益等情形除外)，采取個人控制模式實現(xiàn)對個人信息的保護與利用[3]98。該模式的思路是，面對各類信息處理者，對于不同內(nèi)容的個人信息，適用同樣的保護對策，即以個人同意為核心的個人信息權(quán)保護方案。該模式既忽視了當代個人信息的交互功能，又未正視個人信息處理主體的差異性，沒有根據(jù)不同類型的義務主體來設定不同的義務，還弱化了個人敏感信息保護與個人一般信息保護的層級性。因此，個人控制模式的現(xiàn)實性不強，降低了個人信息保護與利用兩方面效率。

首先，個人控制模式的前提是自然人能夠充分控制個人信息的流動過程，但當前人類的大量活動發(fā)生在網(wǎng)絡空間，高度依賴信息數(shù)據(jù)的頻繁交互，個人信息流動客觀上無法完全受個人意愿控制。自然人雖然被賦予充分支配其個人信息的權(quán)利，卻難以確保自身信息完全受控，該模式可行性不足。人格權(quán)益具有人身專屬性，但不同人格要素的人身專屬強度有差別。隨著社會經(jīng)濟與文化的變遷，人的倫理價值與人自身分立，已成為社會發(fā)展的客觀需要，某些人格要素可以為其他主體所用，其中就包括個人信息[8]101-105。個人信息具有識別特定個人的作用，人與外部世界相互作用過程中也必然借助個人信息作為工具媒介，尤其是當前人類已從物理空間進入網(wǎng)絡空間從事生產(chǎn)和生活活動，在以數(shù)據(jù)為信息載體的網(wǎng)絡空間，只要發(fā)生對外交流，個人信息向外逸散幾乎無可避免，個人信息的社會屬性決定了自然人不具有全面控制個人信息的現(xiàn)實可能性[9]。個人控制模式盡管試圖通過賦予自然人同意權(quán)、查閱權(quán)、更正權(quán)、刪除權(quán)等一系列權(quán)能來精心建構(gòu)個人信息權(quán)利體系，其效果卻事倍功半。

其次，個人控制模式導致不同的個人信息處理者義務內(nèi)容的均等化，與各類義務主體侵害個人信息權(quán)益的風險的不匹配。個人控制模式以個人信息權(quán)為核心，個人信息保護義務是對應權(quán)利內(nèi)容來確定的，包括積極作為義務和消極不作為義務[7]69-70，而不是根據(jù)不同的信息處理者特性確定的，所有信息處理者履行同等的個人信息保護義務。這一做法相對減輕了侵權(quán)風險較高者的義務，弱化了個人信息保護效果；又相對加重了自然人、非以個人信息處理為核心業(yè)務的主體在使用個人信息過程中的負擔，降低了個人信息利用效率。

個人控制模式忽視信息處理者內(nèi)部各具象群體之間差異，導致個人信息保護義務很容易被無差別泛化，該問題以民法的個人信息保護規(guī)定為典型。根據(jù)《民法典》第111條規(guī)定，自然人所面對的是“需要獲取他人個人信息的”“任何組織和個人”，而根據(jù)人格權(quán)編第1035條，只要是對個人信息采取了“收集、存儲、使用、加工、傳輸、提供公開”等行為的主體，都可能被歸為信息處理者，應當履行同等的個人信息保護民事義務。但是，信息處理者在主體身份、義務履行能力、處理信息的原因等方面存在明顯差別。義務主體既包括自然人，又包括技術(shù)先進、高度專業(yè)、義務履行能力強的組織；處理的原因既有為實現(xiàn)特定分析利用目的而專門收集和存儲信息的，也有因經(jīng)營行為或非經(jīng)營行為自然累積而持有信息的。各主體掌握信息的形式也有不同，侵犯個人信息利益的可能性和危害性均不盡相同。要求這個雜糅集合中的主體承擔平均的個人信息保護義務，賦予自然人對他們同樣的請求權(quán)，是明顯的“一刀切”義務設定模式，會造成這些主體之間的實質(zhì)不公平。適用對象缺乏針對性也導致相關(guān)規(guī)定在某些情境中沒有存在的必要，浪費了立法資源。

再次，在個人控制模式下，除法律、行政法規(guī)另有規(guī)定，個人信息處理的一致前提是自然人的同意，將所有個人信息都納入自然人的自主控制范圍，這使個人敏感信息與個人一般信息處于相同的保護順位。該模式會導致對個人敏感信息的保護力度不足，保護效果不理想；而對個人一般信息過度保護，增加此類信息在利用過程中的障礙。

目前，《民法典》《網(wǎng)絡安全法》等多部法規(guī)中的個人同意條款均未區(qū)分個人信息的不同敏感程度，《數(shù)據(jù)安全管理辦法(征求意見稿)》更提出凡收集個人信息都應取得用戶的明示同意。然而個人信息的外延極大，不同個人信息受侵害時信息主體權(quán)益受損的程度不同。個人敏感信息(例如征信數(shù)據(jù))受侵害很可能對信息主體人身、財產(chǎn)、自由、尊嚴等權(quán)益有顯著影響，而個人一般信息被泄露、篡改未必會損害自然人權(quán)益。并且，對于不同的個人信息數(shù)據(jù)應用場景，個人敏感信息和個人一般信息的信息內(nèi)容兩分法依然比較粗糙，個人敏感信息內(nèi)部的具體信息項也可能需要實施不同強度的保護。再結(jié)合數(shù)據(jù)生命周期各階段來看，個人信息數(shù)據(jù)在收集、存儲、傳輸、使用、跨境流動等不同環(huán)節(jié)中面臨的權(quán)益侵害風險大小、風險類型不同，即使是相同的個人信息在不同環(huán)節(jié)的受保護程度也應當有所區(qū)別。否則，既可能使信息處理者為保護大量個人一般信息而負擔過重，運行成本過高，信息利用效率低下；又可能造成個人敏感義務偏輕而不足以有效保護個人信息。

可見，個人信息的處理固然須統(tǒng)一遵循合法、正當、必要原則，但對不同敏感程度個人信息設定相同的個人同意前提，看似是為了充分保障個人控制，實則現(xiàn)實可行性較弱，既減弱了充分個人信息保護效果，又降低了個人信息利用效率。

2.意思自治原則削弱個人信息權(quán)保護機制效果

“私法自治是指個體基于自己的意思為自己形成法律關(guān)系的原則。私法自治是自主決定這一普適性原則的一部分?！盵10]根據(jù)自治理念，權(quán)利人可以放棄某些民事權(quán)利，該權(quán)利所對應的其他主體的義務可被赦免。意思自治原則盡管在商品和服務交易中展現(xiàn)得最為淋漓盡致，但它在人格權(quán)支配領(lǐng)域的應用同樣不可小覷，并延伸影響到個人信息私權(quán)化保護方案中權(quán)利機制的效果。

首先，權(quán)利思維指引下，個人同意作為個人信息保護規(guī)則的核心，其中蘊含的意思自治理念會導致個人信息保護義務可因權(quán)利人意愿得以免除。人格權(quán)作為支配權(quán)，權(quán)利人可以通過法律行為，將自己享有的某些人格權(quán)設置暫時性的限制[8]110-111。在民法之外，個人信息保護單行規(guī)定和專門條款盡管在一定程度上顯示了個人與信息處理者的主體身份差別，但規(guī)則具體內(nèi)容仍以個人同意為核心，個人信息在收集、使用、轉(zhuǎn)移等環(huán)節(jié)的授權(quán)沒有超出自然人意思自治的范圍，除了法律、行政法規(guī)有明確禁止，其他個人信息均可依約定收集和利用。自然人作為面臨個人信息受侵害風險的一方，理性有限，注意力和風險預見能力有限，無處不在的“算法黑箱”[11]疊加，嚴重限制了其對個人信息收集和利用的知情程度[12]。在此情況下，個人信息主體享有的權(quán)利和行使該權(quán)利的能力不匹配，自我保護能力不足，即使設計了一套完整的個人信息權(quán)利，自然人的自由意志也難以執(zhí)行。自然人基于非充分認知向信息處理者作出授權(quán)意思表示，容易造成信息收集使用范圍不合比例地擴張，無法確保個人信息處理過程中正當必要原則得到遵守。

其次，個人信息收集、持有、利用的實踐形勢導致信息主體授權(quán)容易落入形式化，對個人信息處理的同意實際上難免成為“一攬子”授權(quán)。以涉?zhèn)€人信息處理的網(wǎng)絡活動為例，目前網(wǎng)絡運營者普遍采用格式條款作為告知工具，即預先制定的、標準化的個人信息處理說明、個人信息保護政策，而不是針對不同自然人的個性化規(guī)則。因此，為了表示已經(jīng)充分履行告知義務，避免合規(guī)風險，網(wǎng)絡運營者一般會提供一份覆蓋面很廣的清單，列出所收集的個人信息種類、用途、利用方式等。繁瑣的告知內(nèi)容需要時間查看和理解，而普通人使用終端服務時追求高效便捷，這兩種取向存在矛盾。相當一部分用戶快速瀏覽便選擇同意。另外，數(shù)據(jù)信息的用途廣泛、傳輸即時、利用方式豐富，加之分析處理技術(shù)快速更新，即使告知規(guī)則做到了詳盡列舉，恐怕依然是掛一漏萬，難以保證向個人充分展示處理信息的具體方式和范圍。再者，在信息自治前提下，個人同意的保護效果與自然人能否真正理解個人信息利用的后果密切相關(guān)。由于個人信息濫用的風險具有潛在性，又因為單個人遭遇的許多侵害是較為輕微的，物質(zhì)損害和精神損害都不太明顯，用戶通常都會同意個人信息處理規(guī)則。

個人信息處理格式告知嚴重限制了用戶自由選擇權(quán)，應當受到規(guī)范。但我國《合同法》及司法解釋、《消費者權(quán)益保護法》等法律制度對格式條款的規(guī)制還存有明顯缺陷：規(guī)定粗糙，彼此矛盾；格式條款控制制度之間的使用關(guān)系模糊；缺乏黑名單、灰名單制度支持[13]。在此情況下，試圖單純倚仗個人信息主體的意思自治來協(xié)調(diào)自然人與信息處理者之間利益關(guān)系可行性不強。

最后，貫徹自決理念的個人信息保護私權(quán)方案，意思表示僅在單個信息主體與單個信息處理者之間產(chǎn)生效果，可調(diào)整的利益關(guān)系范圍很小。個人信息權(quán)體系中，每個義務主體與每個信息主體形成了“點對點”的對應關(guān)系，每一組關(guān)系的法律效果是被單獨評價的，該判定不及于特定義務主體與其他信息主體間的法律關(guān)系，也不影響特定義務主體與其他信息處理者之間的合同關(guān)系。例如網(wǎng)絡運營者向他人提供信息的情形，《網(wǎng)絡安全法》第42條要求須經(jīng)被收集者同意，《數(shù)據(jù)安全管理辦法(征求意見稿)》第27條也以個人信息主體同意為前提，但若網(wǎng)絡運營者基于與第三方的數(shù)據(jù)共享協(xié)議向后者提供個人信息，且未取得信息主體同意，數(shù)據(jù)共享協(xié)議不會因此無效。

違反民法義務的法律后果評價，受公法私法二元論認識的影響。民事判斷有時會排除公法的適用，同時，為了防止私法失去獨立的價值追求，防止公共政策的任意擴張，即使公法作出了否定性評價，也不必然導致民法的否定評價[14]?？梢?，由于意思自治的內(nèi)部性，根據(jù)現(xiàn)有規(guī)則，信息處理者違反個人信息權(quán)所對應的義務，對它與其他主體之間法律關(guān)系的影響既輕微又模糊。因此，無論是民法還是其他專門法律制度中，私權(quán)保護機制都會因?qū)ν獠糠申P(guān)系缺乏強制性而難以發(fā)揮實際作用?？傊馑甲灾卧瓌t削弱了個人信息保護權(quán)利機制的效果。

3.民事責任制度應用于個人信息保護的局限性

權(quán)利重心的個人信息保護機制實施中，根據(jù)規(guī)則發(fā)揮效用的先后順序，信息主體權(quán)利和信息處理者的義務是第一性的，信息處理者的法律責任是第二性的，違反義務的效果是承擔責任。責任制度是個人信息權(quán)利義務規(guī)定實施的保障。侵害個人信息權(quán)目前適用一般的民事糾紛解決和救濟機制，借由侵權(quán)責任路徑維護信息主體權(quán)利。然而，個人信息侵權(quán)與維權(quán)過程中，存在受害人不特定、損害的非物質(zhì)性等現(xiàn)象，而民事責任的集體性輕微損害救濟難啟動、保護的事后性、責任可放棄性和保護范圍有限性等特點導致當前民事責任制度無法充分實現(xiàn)對個人信息的保護。

首先，在民事責任制度中，對集體性輕微損害的救濟程序啟動難。第一，由于網(wǎng)絡技術(shù)的普遍應用，個人信息侵害事件或行為的波及面往往很大，受害人不特定，且受害人可能對侵害的發(fā)生并不知情，依靠特定個人啟動救濟機制不現(xiàn)實。個人信息保護是當今經(jīng)濟社會背景下信息主體的共同需求，成為一種集體權(quán)利而不僅是單個自然人的權(quán)利。因此，形式上以個人為權(quán)利主體的個人信息權(quán)利本質(zhì)上是以不特定社會公眾為權(quán)利主體的集體權(quán)利，權(quán)利主體的抽象性導致天然缺乏實際的權(quán)利行使者，維權(quán)訴求無從提起。第二，由于個人信息違法行為的結(jié)果常常是較輕的非物質(zhì)損害，例如濫發(fā)手機短信造成的困擾等等，每個受害者可能只是略有煩惱，權(quán)利主體的損失難以用金錢計量，利益損害不易確定。即使加害人承擔了民事責任，對實施維權(quán)行動的信息主體本身而言，維權(quán)成本與收益不對稱。又因為受“搭便車”心理的影響，受害者個人發(fā)起維權(quán)的主動性一般，存在主動放棄追究加害人民事責任的現(xiàn)象。

其次，從責任機制發(fā)揮作用的時間來看，民事責任一般具有事后性，易造成對個人信息的保護滯后。根據(jù)承擔責任的具體形式，民事責任有填補型責任、阻卻型責任和加重型責任。填補型責任的效果是填平損失，加重型責任的效果是懲罰行為人，均為損害發(fā)生后承擔的責任。相較而言，阻卻型責任的目的是防止損害和避免損害擴大，蘊含著事前事中保護理念，更符合預防個人信息安全風險的需求。但阻卻型民事責任的實施方式仍很可能導致對個人信息的保護不到位或不及時。

根據(jù)《民法典》第997條規(guī)定，觸發(fā)人格權(quán)侵害行為的阻卻型責任的條件有：第一，有證據(jù)證明侵害正在或即將實施；第二，不及時制止會使損害難以彌補；第三，民事主體向法院申請。但個人信息安全威脅具有潛在性，證明標準不明確，證明損害“即將發(fā)生”或“難以彌補”并非易事。同時，個人信息侵害的發(fā)生行為在短時內(nèi)即可完成，而侵害事實可能是長期存續(xù)的；但民事主體向法院申請需要一定時間，沒有先發(fā)優(yōu)勢。同樣，《網(wǎng)絡安全法》中規(guī)定個人行使個人信息的刪除權(quán)和更正權(quán)，是在發(fā)現(xiàn)網(wǎng)絡運營者違法違約或信息有誤之后，信息主體的發(fā)現(xiàn)問題后進行請求必然晚于網(wǎng)絡運營者的行為時間。因此，通過民事責任制度保護個人信息存在滯后性缺陷。

最后，從民事責任的保護效果來看，民事責任的目的和保護范圍均與個人信息侵害的特點不匹配。在責任目的方面，民事責任旨在救濟和保護個體權(quán)利，指向直接受損的特定受害人[15]。而個人信息濫用、泄露等違法行為不僅侵害了某些特定自然人的利益，還侵害了不特定公眾，增加了社會成本，損耗了社會的信任環(huán)境，損害了公共利益。即使前述的啟動難、滯后性等問題能夠得以解決，民事責任能夠及時啟動救濟規(guī)制并防范個人信息安全風險，由單個信息主體提出的維權(quán)請求效力范圍也較狹窄，僅能促使信息處理者對該特定主體承擔責任，保護效果無法適用于面臨同一潛在風險或受到相同損害的其他信息主體，更輻射不到對公共利益的保護上。民事責任制度中救濟對象的個體化和個人信息侵害中利益主體的公共化相矛盾，民事責任提供的個別式保護難以滿足普遍化的個人信息保護需求。

當然，我國的消費民事公益訴訟應用于個人信息保護，能夠一定程度上減少上述困難，成為維護集體權(quán)利的有力武器，彌補信息主體自力救濟的不足。然而公益訴訟依靠司法機關(guān)介入，具有消極性，且不能解決保護的滯后性問題。如2017年底江蘇省消費者權(quán)益保護委員會(以下簡稱“消保委”)就北京百度網(wǎng)訊科技有限公司(以下簡稱“百度”)涉嫌違規(guī)獲取消費者個人信息且未及時回應提起消費民事公益訴訟，法院立案后，百度迅速向消保委提交個人信息保護改造方案并更新APP[16]。根據(jù)該案一審民事裁定書，消保委起訴百度前曾向其發(fā)出約談函，未獲答復，又兩次向社會公開披露百度侵權(quán)行為和拒不接受約談的事實，其后百度至江蘇省消保委談話但未改正違法行為，在此情形下，消保委最終決定提起消費民事公益訴訟[17]。一方面，本案是消費民事公益訴訟在個人信息保護領(lǐng)域有所作為的實踐證明。雖無判決產(chǎn)生，但公益訴訟倒逼網(wǎng)絡運營者終止侵權(quán)行為，完善保障措施，且效力范圍覆蓋所有可能下載使用涉案APP的用戶，可謂頗有成效。另一方面，根據(jù)立案前的事實背景，專門社會組織干預下的個人信息保護過程尚且障礙重重，靠信息主體自力救濟要求侵權(quán)人承擔民事責任就更為困難了。自2016年5月《最高人民法院關(guān)于審理消費民事公益訴訟案件適用法律若干問題的解釋》施行后，迄今個人信息保護消費民事公益訴訟僅有一起，而違法收集使用個人信息的現(xiàn)象卻廣泛存在[18]。這進一步表明，權(quán)利重心的個人信息保護方案中，民事責任作為保障機制難以有效維護個人信息安全。

三、強化公共利益導向的個人信息保護機制

個體權(quán)利思維導向?qū)е挛覈鴤€人信息保護方案存在上述問題。對此，在個人信息大規(guī)模收集利用的現(xiàn)實背景下，應強化個人信息保護機制中的公共利益理念指引，圍繞分類分級管理、強制性義務、社會責任、政府監(jiān)管下的多元共治等要點制定規(guī)則，增強個人信息保護實效，促進個人信息利用的健康發(fā)展。

1.建立義務主體分類管理、個人信息分級保護的個人信息保護規(guī)則體系

首先，應當根據(jù)個人信息使用場景區(qū)分不同類型的義務主體，分別匹配個人信息保護義務。我國現(xiàn)有法律法規(guī)中，《網(wǎng)絡安全法》《消費者權(quán)益保護法》等規(guī)定分別從網(wǎng)絡運營者與用戶、經(jīng)營者與消費者的主體身份差別出發(fā)，設置信息處理者的義務。而個人信息應用場景多樣化，個人信息處理者的應用目的不同，則保護個人信息的側(cè)重點、保護方式與技術(shù)也應有所區(qū)別?！熬W(wǎng)絡運營者”“經(jīng)營者”等主體概念寬泛，概括式義務落實到具體領(lǐng)域依然缺乏可操作性。

在《網(wǎng)絡安全法》與未來的《個人信息保護法》《數(shù)據(jù)安全法》《數(shù)據(jù)安全管理辦法》等總括式法律法規(guī)之下，有必要區(qū)分各類信息處理主體，分門別類出臺細化規(guī)則，建立總分結(jié)合的個人信息保護規(guī)則體系。應當根據(jù)個人信息的特定用途、業(yè)務重要性、行業(yè)、控制處理個人信息的規(guī)模等情形，確立處理個人信息的范圍、方式，確立清晰的行為合法性判斷標準。例如，我國的《征信業(yè)管理條例》明確了征信機構(gòu)禁止采集的個人信息類型、不得采集但告知不理后果經(jīng)書面同意可采集的信息類型、個人不良信息保存期限等，征信機構(gòu)解散或破產(chǎn)后信息數(shù)據(jù)庫的處理流程也有清晰規(guī)定，并配套中國人民銀行發(fā)布的推薦性標準《征信機構(gòu)信息安全規(guī)范》執(zhí)行。

其次，除了按個人信息應用場景分類設定信息處理者義務外，還應當根據(jù)信息處理者的義務履行能力、對公共利益的影響程度等因素設定加重義務規(guī)則或義務豁免規(guī)則。對于具有顯著公共性的平臺型信息收集使用者，應當加重其義務，要求其履行額外的積極作為義務。在數(shù)字經(jīng)濟時代，生產(chǎn)組織形式發(fā)生巨變，一些平臺型經(jīng)營主體不再是純中立、純私人性質(zhì)的市場主體，而是作為“市場規(guī)制者”發(fā)揮著類似公共職能的管理與保護海量用戶的作用[19]，集制定規(guī)則、解釋規(guī)則、解決糾紛等多項 “權(quán)力”于一身[20]。此類平臺除了本身應遵守個人信息保護規(guī)定，還應當規(guī)范平臺內(nèi)用戶的個人信息收集使用行為。例如，對于電信服務商，要求其開發(fā)和應用防騷擾電話和短信技術(shù)，強制其解除與垃圾短信發(fā)送者的合作協(xié)議；要求電商平臺、搜索引擎平臺、社交平臺、應用程序平臺加大監(jiān)測力度，對涉嫌侵犯個人信息的個人或組織，采取封禁賬號用戶、注銷網(wǎng)站、下架程序等措施。

大數(shù)據(jù)時代背景下，數(shù)據(jù)是信息的主要載體，數(shù)據(jù)安全在個人信息保護中發(fā)揮著屏障作用，應當重點關(guān)注大規(guī)模收集、存儲和商業(yè)化利用個人信息的企業(yè)的數(shù)據(jù)安全義務履行情況。面對高度專業(yè)、技術(shù)先進、實力雄厚的主體，自然人行使個人信息權(quán)可謂力有未逮，因而此類主體對社會公眾造成的影響是人們在日常生活中易于感知、疲于受擾卻難于解決的，他們也正是個人信息保護中矛盾的主要來源。而對于小型經(jīng)營者、非以個人信息處理為核心業(yè)務的主體，則相應豁免、減輕某些義務，減少企業(yè)負擔，例如毋須指定數(shù)據(jù)安全責任人，減少或免于數(shù)據(jù)報送等[21]。

可參考域外立法經(jīng)驗，通過法律分層確定個人信息保護義務的做法：歐盟《通用數(shù)據(jù)保護條例》根據(jù)數(shù)據(jù)處理是否為數(shù)據(jù)控制者、處理者的核心業(yè)務，確定其是否應當指定數(shù)據(jù)保護專員[22]；美國在金融、教育、健康等領(lǐng)域分別頒布了聯(lián)邦層面的個人信息保護法律法規(guī)[23]；日本的《個人信息保護法》為避免個人信息處理從業(yè)者負擔過重，根據(jù)收集利用個人信息的階段不同，要求從業(yè)者履行逐級提升的保護義務[24]。

再次，在個人信息分級保護方面，應結(jié)合應用場景，根據(jù)個人信息的敏感程度細劃保護層級，設置各層級對應的信息保護規(guī)則與標準。我國于2020年3月發(fā)布了新版?zhèn)€人信息安全規(guī)范國家推薦標準，列舉了5類60余種個人敏感信息。該標準對個人敏感信息的判定依據(jù)是信息被泄露、篡改、非法提供、濫用等情形可能危害人身和財產(chǎn)安全，極易損害名譽、身心健康以及使個人遭受歧視性待遇[25]。但這一通用標準對個人信息的分級是以提取最大公約數(shù)形式提煉了最具普遍性的敏感信息，而且只劃分了敏感信息與一般信息兩個信息保護級別，依然是粗線條的。還需要制定各行業(yè)、各領(lǐng)域的個人信息分級保護標準，詳盡地列舉不同信息利用場景下的個人敏感信息，根據(jù)信息受損對個人權(quán)益的影響程度確定信息的敏感性層級，從而劃分不同個人信息保護等級。形成通用標準與單行標準相結(jié)合的個人信息分級保護復式體系。

2.強化個人信息保護強制性義務與社會責任

須強化信息處理者的個人信息保護強制性義務與社會責任。在個人信息保護問題當中，個人價值和利益受損的風險主要來源于對個人信息的利用，行為人是信息處理者。因此，個人信息保護規(guī)則的重點是調(diào)整作為數(shù)據(jù)主體的個人與信息處理者的關(guān)系。但目前的個人信息權(quán)演變?yōu)樽匀蝗藢€人信息的絕對權(quán)，對抗本人之外的不特定人，輻射范圍遠超出了調(diào)整之必要[26]。而由于個體主動行使權(quán)利的保護效果有限，須強調(diào)信息處理者履行義務，以反射保護不特定信息主體的集體權(quán)利。此類義務應具有強制性，不可因信息主體同意而免除；此類義務還應具有積極性，要求信息處理者以作為的方式而不僅是不作為的方式來履行義務。

為防止信息處理者利用格式條款告知方式迫使用戶同意，減輕或免除自身義務，有必要實行格式條款內(nèi)容控制制度，給予個人信息主體傾斜保護。審查格式條款的公平性，確定其法律效力，并借助黑名單、灰名單制度來規(guī)制個人信息處理格式告知中的不公平條款[27]106。信息處理者不應采用黑名單、灰名單中的格式條款來履行告知義務。一旦黑名單中的格式條款出現(xiàn)，直接評價為無效的格式條款[28]；灰名單中的格式條款是否屬于不公平條款則需要結(jié)合其他因素綜合判斷[27]109。

此外，須加重信息處理者的社會責任(其仍向受害者個體承擔責任)，責任對象是不特定社會公眾，是所有潛在的信息主體。個人信息保護義務應指向強烈的負面法律評價，增強對信息處理者行為的指引、警示功能。例如，《數(shù)據(jù)安全管理辦法(征求意見稿)》中的“約談”沒有對應消極后果，列舉網(wǎng)絡運營者違反該辦法的責任亦相當粗糙，起不到規(guī)范運營者行為的作用。強制性義務和社會責任，既是為了保護個體權(quán)利，更是為了降低社會成本，增進信息主體與信息處理者的互信，維護公共利益，實現(xiàn)信息使用的經(jīng)濟社會價值。

3.建立政府監(jiān)管下的多元共治個人信息保護機制

加強政府監(jiān)管，倡導個人信息保護合作治理模式。面對私法保護的困境，有學者提出應由專門監(jiān)管機構(gòu)加強干預[29-30]。進一步來看，監(jiān)管機構(gòu)并非獨立于信息主體、信息處理者之外單獨發(fā)揮作用，政府監(jiān)管與信息主體權(quán)利、信息處理者強制性義務不是相互獨立的3條路徑，而是整合互動，構(gòu)成個人信息保護的多元主體共治系統(tǒng)[31]。個體權(quán)利的保護模式盡管有諸多缺陷，但信息主體的意愿在個人信息處理過程中仍應得以彰顯。因此，政府監(jiān)管除了要求信息處理者在設施、流程、人員等方面采取保護措施，還要致力于優(yōu)化信息主體行使權(quán)利的外部條件，以及引導信息處理者自律，改善數(shù)據(jù)信息應用行業(yè)的整體環(huán)境?！稊?shù)據(jù)安全管理辦法(征求意見稿)》的數(shù)據(jù)安全責任人條款、鼓勵網(wǎng)絡運營者自愿認證條款、公開曝光責任形式，初步呈現(xiàn)了共治趨勢，但仍有提升的空間。

對此，應從如下方面加以完善：第一，細化數(shù)據(jù)安全責任人的履職機制，數(shù)據(jù)安全責任人的職能使其成為用戶與監(jiān)管部門之間的信息傳遞者，為保證用戶投訴、舉報情況能傳導到監(jiān)管機構(gòu)，應要求數(shù)據(jù)安全責任人記錄并向監(jiān)管者報送該情況，避免其成為掩蓋個人信息侵害行為的工具。第二，增加負面標注規(guī)則，并與公開曝光責任形式結(jié)合。鼓勵自愿認證條款是通過正面標注激勵運營者履行義務，相對地，應當向用戶明示違反個人信息保護規(guī)則的主體、應用和服務，要求直接面向用戶的運營者將負面標注嵌入應用程序的封面和內(nèi)部，而不只是通過監(jiān)管者的宣傳渠道公布違法情況，增強對用戶風險提示的效果。

四、結(jié) 語

個人信息保護的主張源于保障人的尊嚴和自由，維護人的主體價值，個人基本權(quán)利衍生了我國法律制度中的個人信息權(quán)規(guī)則。通過法律保護個人信息自決確有意義，但個體權(quán)利思維指引下形成的個人信息私權(quán)化保護方案頗有不足。對個人信息自決的“超越”并非全然拋棄，“超越”的前提恰恰是承認[32]。面對個人信息大規(guī)模收集利用的現(xiàn)實情況，在堅持自主性立場的同時，超越個人控制模式，強化義務主體分類管理、個人信息分級保護；超越意思自治理念，引導自律并通過政府規(guī)制施加強制力；超越民事責任，彰顯社會責任。最終超越個體權(quán)利思維的局限，強化公共利益導向，建立多元共治機制，實現(xiàn)個人信息保護與利用的均衡。