王勇旗

（河南警察學院 公安專業(yè)基礎教學部，河南 鄭州 450046）

一、問題的提出

從古至今，無論公務機關還是私人機構（包括個人）對個人信息的處理從未停止過。信息業(yè)者對個人信息的處理大體可分為兩種：一種是傳統(tǒng)式，即信息業(yè)者未利用大數(shù)據(jù)分析等技術，在非互聯(lián)網場景中的處理行為；第二種是現(xiàn)代式，即在數(shù)字時代背景下，信息業(yè)者借助大數(shù)據(jù)分析、云計算、人工智能等高新技術，在互聯(lián)網空間以數(shù)據(jù)庫形式處理個人信息。[1]人類進入數(shù)字時代，尤其是伴隨著大數(shù)據(jù)分析、云計算、人工智能及互聯(lián)網等高新科技的普及應用，人們在工作生活中需要頻繁地處理個人信息。在此背景下，依托互聯(lián)網空間容量所具有的無限擴展性及永久記憶性等特征，可實現(xiàn)對個人信息的恒久存儲。大數(shù)據(jù)分析技術借助不斷提高的互聯(lián)網傳輸速率等當代高新科技優(yōu)勢，極大地提高了信息業(yè)者的處理能力和效率。近年來，圍繞數(shù)字科技發(fā)展背景下的個人信息領域研究逐步成為熱門話題，尤其個人信息保護研究更是學者們研究的“熱土”。從邏輯角度講，對個人信息保護應以發(fā)生侵害或存在潛在威脅為前提，并主要發(fā)生在個人信息處理過程中，在此前提下闡釋個人信息處理是研究個人信息出現(xiàn)相關法律問題的前置性安排和核心所在。

二、數(shù)字時代個人信息處理概念界定

從比較法上分析，“處理”一詞源于歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱“GDPR”）和德國數(shù)據(jù)保護法體系中的“Verarbeitung/Process”(德語：處理、處理中)。域外關于個人信息處理存在不同規(guī)定，有學者將個人信息的處理行為分為廣義說和狹義說。[2]23從廣義上講，個人信息處理范圍較為廣泛，包含處理個人信息的所有行為，且對不同處理階段作出進一步細化規(guī)定。如英國、印度、巴西等國家對個人信息處理采用了廣義說。而狹義說只將對個人信息收集和利用行為作出單獨規(guī)定，如德國2009 年重新修訂的《德國聯(lián)邦數(shù)據(jù)保護法》采用狹義說。

《中華人民共和國民法典（草案）》（2019年12 月16 日稿，以下簡稱“草案”）第1035 條至1038 條，將個人信息收集行為同處理行為相并列，并將個人信息使用行為納入處理行為，由此可見，當時我國是在吸收廣義說和狹義說的基礎上進行的折中安排。從語義講，“處理”的“概念內涵更豐富”[3]，包括從個人信息被收集開始直至個人信息被刪除的整個流程，對是否采取自動化方式并無區(qū)分，亦同實際情況更契合。2020年5 月8 日通過的《中華人民共和國民法典》（以下簡稱《民法典》）中統(tǒng)一采用“個人信息處理”這一術語，從內容看，我國采用廣義說?？梢钥闯?，狹義上的個人信息處理將收集和利用個人信息行為排除在外，同現(xiàn)實中處理個人信息行為并不相符，個人信息處理應將收集、利用行為納入其中。但存疑的是：《民法典》第111 條是關于個人信息受法律保護的條款，除了個別用詞的改變，基本沿襲《中華人民共和國民法總則》（以下簡稱《民法總則》）第111 條。根據(jù)《民法典》第1035 條中規(guī)定的“個人信息處理”所包括的情形，結合《民法總則》未規(guī)定個人信息處理內容，并根據(jù)《民法典》中個人信息處理的具體規(guī)定認為，“個人信息的處理”在用語上較為準確。但《民法典》第111 條后半部分沿用《民法總則》第111 條后半部分未做任何修改，同《民法典》第1035 條已經規(guī)定的個人信息處理行為所涵射的范圍存在重合。綜合言之，《民法典》第 111條后半部分規(guī)定雖然對司法裁判有準確的指導作用，但從《民法典》整體立法邏輯、立法技術及對個人信息保護的周延性而言，應將《民法典》第111 條后半部分修改為“不得非法處理他人個人信息”。

我國《民法典》第1035 條第2 款規(guī)定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等”，而在“草案”第1035 條至1038 條中將個人信息的收集行為同處理行為相并列，實際是模糊了收集和處理之間的關系，最終《民法典》將“收集”納入“處理”范疇，使其內涵更加豐富，同現(xiàn)實所需更加契合?！癎DPR”對個人信息處理規(guī)定：處理是“指任何一項或者多項針對某單一個人數(shù)據(jù)或系列個人數(shù)據(jù)進行的系列行為，無論該行為是否采用收集、記錄、組織、加工、存儲、調整、更改、檢索、咨詢、使用、通過傳輸而公開、散布或其他方式對他人個人數(shù)據(jù)進行公開、排列或組合、限制、刪除或銷毀而公開等所采用的自動化方式”。我國同英國、印度、巴西等國家對個人信息處理的規(guī)定采用廣義說，而德國等采用狹義說，將收集和利用行為單獨進行規(guī)定。我國臺灣地區(qū)“個人資料保護法”第2 條第3、5 款規(guī)定：“收集指以任何方式取得個人資料；利用指將收集的個人資料為處理以外的使用”[4]141。我國《民法典》、歐盟“GDPR”等采用廣義法認定，將收集、使用行為涵蓋在處理行為中，而未將收集、使用行為單獨規(guī)定。在數(shù)字時代，大數(shù)據(jù)分析技術、云計算、人工智能和互聯(lián)網等高新科技普遍應用背景下，個人信息處理以自動化數(shù)據(jù)處理為主要特點，在行為表現(xiàn)上愈加多樣化，將收集和使用納入處理行為之中，同實際更為契合。

數(shù)字時代，個人信息對自然人生活安寧等影響十分嚴重。[5]正如貝克所言，人類面臨著威脅其生存的由社會所制造的風險，現(xiàn)代化正在成為它自身的主題和問題。[6]結合當下的現(xiàn)代化即我們所處的數(shù)字化社會中上述高新技術在個人信息處理中的廣泛應用場景，個人信息處理會呈現(xiàn)多樣化特點。在個人信息處理中的任何行為對個人信息主體影響都很大，個人信息邊界呈擴張趨勢的背景下，[7]本文無意將處理行為的所有樣態(tài)（全生命周期）逐一分析，也不詳盡闡釋其他個人信息處理方式（如加工、傳輸提供等），并不意味著其他類型的個人信息處理行為對個人信息主體不存在影響或影響甚微。本文結合現(xiàn)實生活中對個人信息安全影響至關重要的個人信息收集和使用行為進行說明。[8]

（一）收集個人信息行為

人類無論處于農耕時代、工業(yè)革命時代抑或當下數(shù)字化社會中，[9]從個人信息處理角度分析，個人信息收集都應處于個人信息處理初始階段。數(shù)字化社會以前，個人信息處理者收集個人信息無論在主體、行為、方式、途徑等方面都較為單一。人類進入數(shù)字化社會后，隨著大數(shù)據(jù)分析、云計算、人工智能和互聯(lián)網等高新科技的普遍應用，尤其是智能軟件的廣泛應用，對個人信息的收集主要以自動化方式進行，并以無時不在、無時不有的狀態(tài)存在。何謂個人信息收集行為？從立法上看，中國、英國等國家對個人信息處理持廣義說，意即個人信息的處理將個人信息收集行為納入其中，引致對個人信息收集行為并未界定。如前文所述，《德國聯(lián)邦數(shù)據(jù)保護法》及我國臺灣地區(qū)“個人數(shù)據(jù)保護法”對個人信息處理采用狹義說，故對個人信息收集行為進行界定。根據(jù)《德國聯(lián)邦數(shù)據(jù)保護法》規(guī)定，收集是指“對數(shù)據(jù)主體的數(shù)據(jù)的取得”，我國臺灣地區(qū)“個人資料保護法”第2 條規(guī)定：“收集：指以任何方式取得個人資料”[4]141。任龍龍博士認為個人信息收集行為是“信息處理者獲取個人信息主體個人信息的行為”[2]24，并進一步強調該行為的重點是獲取個人信息。從《德國聯(lián)邦數(shù)據(jù)保護法》和我國臺灣地區(qū)的“個人資料保護法”對收集行為的界定可以看出，個人信息的收集重點突出“取得”。從詞義角度理解，“取得”同“獲取”內涵基本一致。具體而言，個人信息收集者對其收集的個人信息享有控制權后方才構成本文所認定的個人信息收集行為，而對人們日常工作、生活中不經意之間所察覺到的個人信息、已經模糊化處理的影像等都不應被認定為本文所述的個人信息收集行為。

基于當下的數(shù)字科技發(fā)展水平，個人信息收集可通過多種途徑實現(xiàn)，既可以通過手工書寫形式，亦可通過智能終端設備在線收集；既可直接對個人信息主體個人信息進行收集，亦可通過第三方平臺等間接形式收集；既可采明示方式收集個人信息，如在個人信息主體知情同意的基礎上進行收集，亦可通過個人信息主體默認方式收集，如乘坐飛機需提交個人身份信息等。質言之，個人信息處理者通過智能終端設備收集個人信息是當下的主要途徑。近年來，我國大數(shù)據(jù)、人工智能、互聯(lián)網應用等高新技術快速發(fā)展，數(shù)字經濟發(fā)展勢頭強勁，網絡用戶在日常工作、生活中使用智能軟件、瀏覽網頁時，會留下網絡用戶的登陸信息、瀏覽記錄等個人信息。由此可以看出，在滿足數(shù)字時代人們生產、生活所需基礎上，個人信息被收集已成常態(tài)。結合上文對個人信息收集的界定，個人信息收集行為以收集者“取得”對個人信息的控制權為主要表現(xiàn)形式，至于其對個人信息的控制權是以何種形式表現(xiàn)，無論是直接占有抑或間接占有，只要個人信息收集者取得對個人信息的控制權即完成收集行為。換言之，如若個人信息的收集者僅對個人信息享有占有、使用、收益權能，而沒有取得對個人信息的控制權，不能認定為本文所述的收集行為，不應屬于個人信息處理中所言的收集個人信息。

（二）使用個人信息行為

我國《民法典》規(guī)定個人信息處理包括個人信息的使用?！兜聡?lián)邦數(shù)據(jù)保護法》第3 條（5）規(guī)定：“使用：指除了處理以外的對個人數(shù)據(jù)的利用”。由上可知，采用個人信息處理狹義說的國家（地區(qū)）對使用和利用的規(guī)定在內涵上具有一致性，并將二者混同使用，當然也不排除翻譯外文資料時的用詞問題，但顯然采用狹義說的國家（地區(qū)）將個人信息處理同個人信息利用并列，而非包含和被包含關系。我國也有學者將個人信息的處理同個人信息的使用采并列方式，并進一步將個人信息的使用細化為內部使用和外部使用、計算機比對和披露。[10]結合我國《民法典》中處理和使用的規(guī)范角度上講，處理內涵更為豐富，應包括個人信息脫離個人信息主體控制后的整個生命周期（即從收集直至被完全刪除整個階段）。個人信息的使用行為應屬于個人信息處理中行為的一種，而將其單獨進行規(guī)定，同社會實際并非完全契合，亦同處理內涵存在重疊。

我國《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《電信和互聯(lián)網用戶個人信息保護規(guī)定》、《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《民法典》、《中華人民共和國電子商務法》（以下簡稱《電子商務法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）等現(xiàn)行法律規(guī)范，在個人信息處理行為上以“收集、使用”規(guī)定，其主要因素在于：第一，關于我國有關個人信息保護類立法，雖然已頒布《個人信息保護法》，但仍缺乏完整系統(tǒng)性的個人信息保護法律制度體系，[11]而既有關于個人信息的規(guī)定散見于效力不同、制定機關不同、名稱不同的法律規(guī)范中；第二，《民法典》頒布之前，我國既有規(guī)范關于個人信息處理的規(guī)定限于個人信息收集和使用兩種情形，但并非否認個人信息存儲、加工、傳輸、提供、公開等處理行為對自然人個人信息安全的影響。分析我國既有規(guī)范可以看出，“收集、使用”個人信息是現(xiàn)實中個人信息處理行為的主要體現(xiàn)，并且對個人信息安全威脅更大；第三，我國《民法典》首次用不完全列舉式的定義，完整、系統(tǒng)地規(guī)定了個人信息處理行為，將“收集、使用”個人信息行為納入“個人信息處理”范疇，內容顯得更為豐富。

三、數(shù)字時代個人信息處理特點分析

2015 年國務院出臺的《促進大數(shù)據(jù)發(fā)展行動綱要》中指出：“大數(shù)據(jù)是以容量大、類型多、存儲速度快、應用價值高為主要特征的數(shù)據(jù)集”。大數(shù)據(jù)特征，主要表現(xiàn)在“海量性（volume）、高速性（velocity）、多樣性（variety）、價值性（value）”，可概括為“4V 特征”[12]。隨著大數(shù)據(jù)分析技術、人工智能技術和互聯(lián)網等高新科技的普遍應用，個人信息處理較傳統(tǒng)個人信息處理方式呈現(xiàn)出多樣性特點。本文立足當下數(shù)字時代發(fā)展場景，結合個人信息處理技術和大數(shù)據(jù)特征，綜合認為，可從以下幾點分析數(shù)字時代個人信息處理的特點。

（一）數(shù)字時代個人信息處理能力巨量化

數(shù)字化科技發(fā)展場景中，個人信息來源廣泛。自然人主體無時無刻不在生產個人信息，如網絡購物、乘坐飛機等運輸工具出行、入住酒店等信息，網絡用戶在網絡平臺注冊的身份信息，網絡運營商通過Cookie（儲存在用戶本地終端上的數(shù)據(jù)）工具所抓取的網絡用戶日志等行為信息，以及政府及相關管理部門主動收集的個人信息，如疫情防控期間，政府及相關部門為疫情防控所需，收集的個人信息等。結合大數(shù)據(jù)的海量性特征，依托大數(shù)據(jù)分析技術、云計算、人工智能等科技和愈加快速的互聯(lián)網傳輸速度，尤其隨著第五代移動通信技術（5th Generation Mobile Communication Technology，簡稱“5G”）在各領域的全面適用，個人信息處理技術可實現(xiàn)對信息資源的快速收集，個人信息處理能力呈現(xiàn)巨量化特點。當然，在數(shù)字化社會中，隨著網絡信息科技日新月異的發(fā)展，個人信息主體在享用網絡運營者及其他依靠網絡平臺經營主體所提供的網絡商品或服務時，也面臨個人信息被過度收集、多方共享、頻繁處理和深度挖掘的風險。

第一，個人信息處理技術應用主體的巨量化。隨著“云存儲”等在線存儲技術的應用，人們無需借助存儲終端設備即可實現(xiàn)對信息的保留，使得大眾存儲信息更加方便且快捷化，加之互聯(lián)網、智能軟件等應用的便民化趨勢，進而使得個人信息處理的主體普遍化。隨著互聯(lián)網技術的普遍應用，國家機關、企事業(yè)單位乃至自然人個體處理個人信息已屬常態(tài)，如政府為了社會公共管理需要處理個人信息，企業(yè)為了商業(yè)經濟利益處理個人信息，自然人主體借助相關技術并基于私利或其他目的處理個人信息。

第二，隨著存儲信息的設備存儲信息能力不斷增加，個人信息處理的對象巨量化?！霸拼鎯Α痹谄胀癖婇g得到廣泛應用，大量民眾通過“云存儲”儲存信息。隨著終端存儲設備技術的提高，信息存儲裝置及其配套設施的儲存能力逐年得到提升，為個人信息的處理者提供了源源不斷的信息資源。

第三，個人信息處理的內容呈現(xiàn)巨量化。隨著大數(shù)據(jù)分析技術、人工智能及互聯(lián)網科技應用的常態(tài)化，監(jiān)控系統(tǒng)使用的普遍化，如人臉識別、虹膜掃描、指紋識別等技術措施的普遍應用，自然人主體的個人生物識別信息、行蹤信息等不斷被抓取，并被不斷記錄和存儲。例如在疫情防控期間，我國利用健康碼、行程碼應對疫情的進一步擴散。健康碼、行程碼是通過輸入自然人姓名、身份證號、聯(lián)系電話、健康情況、地理位置及行蹤等大量個人真實數(shù)據(jù)的方式，以此為基礎，依托大數(shù)據(jù)人工智能技術而生成的申請人單獨享有的個人二維碼，通過大數(shù)據(jù)分析技術，以“綠碼、黃碼、紅碼”三種不同安全等級來評判個人疫情的風險程度，為政府應急決策與執(zhí)行提供依據(jù)，并作為疫情防控期間能否出行、是否應被采取隔離等措施的重要依據(jù)。個人行蹤信息作為健康碼的重要組成部分，立基于網絡數(shù)字化社會。個人行蹤信息不僅包括自然人的現(xiàn)實物理空間活動軌跡，也包括網上瀏覽蹤跡，而在疫情防控期間，主要體現(xiàn)為自然人的現(xiàn)實物理空間活動軌跡。在此過程中，政府機關及承擔相應行政職能的法定機構中對個人信息處理的巨量化特征較為明顯。

（二）數(shù)字時代個人信息處理行為智能化

我國高度重視大數(shù)據(jù)產業(yè)發(fā)展。2016 年 3月“十三五”規(guī)劃提出，實施國家大數(shù)據(jù)發(fā)展戰(zhàn)略，推動國家建設數(shù)據(jù)強國戰(zhàn)略，為有效釋放制度、技術和創(chuàng)新等方面紅利，助力國家經濟轉型發(fā)展提供頂層方案。在此背景下，我國出臺了《“十三五”國家科技創(chuàng)新規(guī)劃》《新一代人工智能發(fā)展規(guī)劃》《關于促進人工智能和實體經濟深度融合的指導意見》等一系列中央文件?？梢钥闯?，我國大數(shù)據(jù)產業(yè)的智能化發(fā)展已被提升至國家戰(zhàn)略層面。毋庸贅言，國家大數(shù)據(jù)產業(yè)的智能化發(fā)展需要依靠國家立法等頂層制度設計的支持。雖然我國大數(shù)據(jù)智能化整體立法的制度規(guī)范相較歐美等發(fā)達國家起步較晚，尤其在數(shù)據(jù)智能化場域存在規(guī)制缺位等問題，但不應否認，我國5G 時代已經到來，人工智能（Artificial Intelligence，簡稱“AI”）同5G 技術的融合應用將深刻改變目前的信息資源傳輸和利用現(xiàn)狀。喬治·扎卡達基斯曾言，“歷史已經向我們表明重大的技術變遷會導致社會和經濟的范式轉換”[13]296。個人信息處理智能化以對個人信息自動化處理為依托，[2]24置身于“5G+AI”場景下，通過5G高端移動通訊技術可以快速收集和傳輸信息資源，進而使人工智能技術優(yōu)勢得以最大化發(fā)揮，屆時個人信息處理的智能化優(yōu)勢更為凸顯。個人信息處理智能化在立法上較具代表性的是歐盟“95 指令”關于自動化處理的規(guī)定。所謂自動化處理是指，根據(jù)命令能夠自動運行的設備，如大數(shù)據(jù)分析技術等。該指令中關于個人數(shù)據(jù)的處理并非全部自動化，而自動化處理是個人信息處理中最為重要的內容。歐盟地區(qū)大多數(shù)國家執(zhí)行該指令，并結合本國情況制定本國數(shù)據(jù)保護法。例如，《德國聯(lián)邦數(shù)據(jù)保護法》開宗明義地規(guī)定“本法為執(zhí)行‘95 指令’而制定”，并對自動化處理作出規(guī)定，其是指使用數(shù)據(jù)處理系統(tǒng)處理個人數(shù)據(jù)。

個人信息處理智能化主要體現(xiàn)在以下幾個方面：

第一，個人信息處理的行為方式智能化。隨著互聯(lián)網通訊技術步入5G 時代，在個人信息傳輸效能上，技術優(yōu)勢將更加明顯，以更高傳送速率、更強可靠性、更低時延等為大數(shù)據(jù)智能化分析技術提供源源不斷的，更為準確的“信息原料”。時至今日，人工智能技術2.0 時代，主要適用領域包括但不限于自主智能（如無人駕駛）、大數(shù)據(jù)智能、人機混合增強智能等，而該技術主要建立在移動互聯(lián)網、云計算等信息技術基礎之上，同過去智能相比，其在數(shù)據(jù)處理、環(huán)境適應、云計算技能等方面有質的提升。在“5G+AI”技術不斷融合場景中，個人信息處理方式將更具智能化。

第二，個人信息處理行為的內容智能化。在疫情防控期間，我國利用健康碼、行程碼以應對疫情進一步擴散正是個人信息處理智能化的體現(xiàn)。質言之，依托大數(shù)據(jù)分析、云計算、人工智能及互聯(lián)網應用的進一步深入，個人信息處理者可實現(xiàn)有針對性地處理個人信息內容，框定個人信息處理范圍，實現(xiàn)預設目的。

第三，個人信息處理行為的結果智能化。疫情防控期間，政府及防疫相關部門依托大數(shù)據(jù)人工智能技術定位、分析個人行蹤信息，可有效甄別是否在疫情高發(fā)區(qū)工作、生活或途經疫情高發(fā)區(qū)，或是否接觸已被傳染的病人、病原攜帶者、疑似傳染病人及密切接觸者等信息，以綜合評判疫情風險，并采取相應舉措，為精準采取疫情防控措施提供了依據(jù)。

（三）數(shù)字時代個人信息處理場景復雜化

一般意義上，我們所講的場景即人們社會交往、消費、工作、娛樂等具體時間、空間及相關配置所綜合而成的關系總和。隨著大數(shù)據(jù)分析、云計算、人工智能及互聯(lián)網技術應用的普及和發(fā)展，高新技術介入人類現(xiàn)實中的場景日益豐富，如智能交通場景、智能家居場景、智能社交場景、智能學習場景、智能消費娛樂場景等，可涵蓋人們日常生活的衣、食、住、行等各個領域，成為人類生產、生活的重要組成部分。

我國《民法典》第1035 條對個人信息處理作出了規(guī)定，但對信息處理者主體未作限制，僅在第1 款指出“處理個人信息的”，并在第2 款對處理行為以不完全列舉形式規(guī)定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等”?！吨腥A人民共和國消費者權益保護法》（2013 年修正）規(guī)定處理個人信息的主體限于“經營者”，個人信息處理是“收集、使用”，在《網絡安全法》中限于“網絡運營者”，個人信息處理亦是“收集、使用”，在《電子商務法》中處理個人信息的主體限于“電子商務經營者”。上述法律等制度規(guī)范的適用領域不同，對個人信息處理者做出一定限制應無疑問，結合《民法典》對信息處理主體的規(guī)定對個人信息處理場景的復雜化特點進一步分析。

第一，《民法典》對個人信息處理的主體進行了擴大解釋，即從“經營者”“網絡運營者主體”“電子商務經營者”等擴展至包括并不限于此主體（《民法典》未以列舉方式闡明，足見適用的主體范圍并不受限）。

第二，對行為予以擴展，《民法典》以“處理”代替“收集、使用”，從詞義上講，規(guī)定“處理”顯得行為方式更為多樣化。結合以上所列“優(yōu)化”設計，與其說是上述法律規(guī)范因調整范圍不同而采用不同規(guī)定，毋寧說《民法典》的規(guī)定更符合數(shù)字時代個人信息處理的表現(xiàn)形式。誠如我們所知，隨著大數(shù)據(jù)人工智能科技迭代升級發(fā)展，個人信息中所蘊含的經濟價值日益彰顯，“非法泄漏、非法使用、濫用個人信息的行為”愈演愈烈，[14]包括并不限于“經營者”“網絡運營者主體”“電子商務經營者”等主體基于商業(yè)經濟利益動機而收集個人信息，更為重要的是對個人信息的二次利用，在此過程中不僅包括使用行為，而且包括收集、存儲、加工、傳輸、提供、公開等一系列動態(tài)過程，從侵權角度講，對個人信息的侵害行為可貫穿整個流程?！睹穹ǖ洹穼€人信息處理者未限定是現(xiàn)實所需，用“處理”代替“收集、使用”，從用語角度所涉?zhèn)€人信息處理的場景化更為廣泛，“概念內涵更豐富”[3]。

綜上所言，本文結合《民法典》未限制個人信息處理者，并以個人信息處理行為多元化為基礎可知，不同的個人信息處理者在個人信息處理的不同階段會存在不同場景，個人信息處理場景復雜化會更加明顯。如在司法審判領域中，個人信息處理的場景化主要是因為“法律是大數(shù)據(jù)最為重要的領域應用之一”[14]，大數(shù)據(jù)和人工智能結合在智能檢索中體現(xiàn)至為明顯，其屬于信息檢索和人工智能研究領域的交迭部分，[15]而數(shù)據(jù)庫建設是人工智能檢索系統(tǒng)建設基礎。[16]當下，我國大數(shù)據(jù)、人工智能等高新科技快速發(fā)展，助力推動中國司法改革，并擁有世界上最大的裁判文書網，在智能平臺上已存儲著大量司法數(shù)據(jù)資源，此類數(shù)據(jù)資源的存在是司法大數(shù)據(jù)庫建設進而提高司法效率的重要保障，[17]可有效保障智能檢索和案例歸納的開展。我國從中央到地方都在積極建設智能檢索和案例歸納類的智能系統(tǒng)：2018 年1 月5 日，最高人民法院正式上線運行“類案智能推送系統(tǒng)”。各省級地方也在積極推進本省司法智能檢索和案例歸納類系統(tǒng)。如貴州省高院以大數(shù)據(jù)挖掘分析為前提，建立類案裁判標準數(shù)據(jù)庫，建立類案及關聯(lián)案件強制檢索機制，為法官提供多維度、多層面的分析場景，通過自動檢索、類案推送、裁判文書語義分析、對比分析等大數(shù)據(jù)方法避免類案非類判現(xiàn)象。如是，從司法審判領域探討個人信息處理的場景化，旨在說明，數(shù)字化社會中依托高新科技，可更大限度地發(fā)揮技術優(yōu)勢，體現(xiàn)個人信息處理場景化特征。

（四）數(shù)字時代個人信息處理成本低廉化

依托當下高新科技，個人信息處理方式愈加便捷化、處理成本趨向低廉化，更具數(shù)字化特征。人們生產、生活也正享受著信息數(shù)字化帶來的諸多便利，如網絡購物過程中，網絡平臺基于網絡用戶的消費習慣精準推送相關商品；智能軟件根據(jù)網絡用戶的閱讀等習慣和相關瀏覽記錄，推送在其興趣范圍內的文字、圖片或視頻；導航系統(tǒng)根據(jù)用戶設定的出發(fā)地和目的地，為其選擇最優(yōu)出行路線等等。一如上述，隨著“云存儲”和其他儲存能力不斷提高的存儲設備的出現(xiàn)和發(fā)展，儲存信息和數(shù)據(jù)體量日益增加，為個人信息處理提供了巨量的基礎資源。

近年來，人工智能技術的發(fā)展突飛猛進，儼然“成為全球新一輪革命和產業(yè)變革的著力點”，已從專業(yè)性較強的適用領域滲透到人們日常生活中來。[18]自動駕駛汽車、智能手機、智能家居、生活輔助類智能機器人、兒童智能玩具等不勝枚舉，此類人工智能產品通過連接互聯(lián)網和自身攜帶的儲存設備，對其周邊圖像、聲音等可以做到“應收盡收”，為個人信息處理帶來源源不斷的信息資源?；ヂ?lián)網應用快速發(fā)展，尤其是“5G”技術陸續(xù)落地實施，從商用逐步過渡到人們生產、生活的方方面面，在此基礎上，通過互聯(lián)網傳輸個人信息及其他數(shù)據(jù)速度更快、傳送速率更高、可靠性更強、時延更低，個人信息處理效率得到大幅提升。大數(shù)據(jù)分析技術，從其內在體現(xiàn)即云計算技術的運用，是“人工智能的本質”[19]，而云計算運用，主要依靠源源不斷的數(shù)據(jù)資源的支持。綜合而言，大數(shù)據(jù)分析技術、云計算、人工智能科技和互聯(lián)網應用等技術并非孤立的存在，在實際運用中是相互結合、緊密配合的過程。現(xiàn)代科技為個人信息處理帶來了便利，其處理成本低廉化的內在邏輯在于：通過人工智能產品提供源源不斷的個人信息，借助互聯(lián)網快速傳播技術實現(xiàn)定向傳輸，依靠大數(shù)據(jù)、云計算技術等一系列流程，最終實現(xiàn)對個人信息的處理。由是，處理個人信息的效率得到大幅提高的同時，個人信息處理的綜合成本降低，呈現(xiàn)低廉化特征。

四、數(shù)字時代類型化視角下個人信息處理主體

數(shù)字時代，個人信息被頻繁處理已屬常態(tài)，而個人信息處理主體十分廣泛。從我國《民法典》對個人信息處理者的規(guī)定來看，“信息處理者”這種高度概括的規(guī)定方式說明，我國對個人信息處理者的范圍并未作出限定，我國為加強個人信息保護而對個人信息處理的主體持開放態(tài)度。這不但符合我國加強個人信息保護的一貫宗旨，而且同數(shù)字化社會特征相符。

歐盟“95 指令”規(guī)定個人信息處理者為“自然人、公共部門、政府或其他代表機構”，并且在歐盟“GDPR”同樣適用。歐盟“GDPR”是在“95 指令”的基礎上范圍有所擴大，可以看出歐洲對個人信息處理者的規(guī)定并無過多限制，亦未區(qū)分是否為公共機構。歐盟成員國大多采用“GDPR”關于信息處理者的規(guī)定。與此相似，我國澳門特別行政區(qū)的《個人資料保護法》（澳門特別行政區(qū)第8/2005 號法律），我國臺灣地區(qū)的“個人資料保護法”中雖然區(qū)分了公務機關和非公務機關，但從其內在規(guī)定看，個人信息處理者的范圍并無不同。而規(guī)定個人信息處理者較為特殊的是美國。美國大數(shù)據(jù)、互聯(lián)網、人工智能科技等領域一直處于世界領先地位。美國為促進互聯(lián)網產業(yè)發(fā)展，保障本國互聯(lián)網經濟紅利，對互聯(lián)網企業(yè)在立法上持寬松態(tài)度，這樣一則對既有和新興互聯(lián)網經濟發(fā)展有所助益，二則可維持本國世界領先的行業(yè)優(yōu)勢。美國在個人信息保護方面，主要依賴企業(yè)自律模式，對個人信息保護則秉持較為寬松立場，對個人信息處理者范圍的規(guī)定也十分廣泛，即使對私人個人信息處理者進行限制，也僅限于特定領域。較為特殊的是《日本個人信息保護法》，在其第2 條第3 款中，明確將“國家機關”和“地方公共團體”排除在“個人信息處理業(yè)者”的范圍之外，其中較為重要的原因在于該類主體在日本的《行政機關持有的個人信息保護法》《關于保護獨立行政法人等所持有之個人信息的法律》等法律法規(guī)中專門作出的規(guī)定，也體現(xiàn)出日本對個人信息立法所持的謹慎態(tài)度。

通過綜合比較關于個人信息處理者的規(guī)定，并結合我國《民法典》的規(guī)定可以看出，雖然個人信息處理主體較為廣泛，但通過類型化思維可將其分為國家機關和非國家機關。

（一）國家機關作為個人信息處理主體

《中華人民共和國憲法》規(guī)定的國家機構包括：“全國人民代表大會、中華人民共和國主席、國務院、中央軍事委員會、地方各級人民代表大會和地方各級人民政府民族自治地方的自治機關、監(jiān)察委員會、人民法院和人們檢察院”七類主體。我國《民法典》第1039 條規(guī)定，“國家機關、承擔行政職能的法定機構及其工作人員對于履行職責過程中知悉的自然人的隱私和個人信息，應當予以保密，不得泄露或者向他人非法提供”。我國將民事主體分為自然人、法人和非法人組織。國家機關在民事活動中作為民事主體應受到私法調整。根據(jù)我國《民法典》第1039 條規(guī)定，可將公共機構細分為兩類：一類為國家行政機關、承擔行政職能的法定機構的非自然人主體；一類為隸屬上述主體的自然人主體。

我國國家機關作為處理個人信息的主體，一般出于維護公共利益和社會公共事業(yè)管理等公益性事業(yè)的需要。我國民政部門為統(tǒng)計國家人口所建立的國家人口基礎信息庫，通過收集公民的姓名、性別、年齡、民族等相關信息，可實現(xiàn)我國人口基礎信息的統(tǒng)計和管理。我國公安機關的相關部門建立了包括全國機動車信息、駕駛人信息、違法犯罪信息等專項內容的信息庫。我國的國家機關在對個人信息的處理中，不僅承擔管理者身份，同時也是利用者，以滿足實現(xiàn)社會公共事業(yè)管理的需要。

在疫情防控期間，舉國上下全力抗擊新冠肺炎疫情，國家各機關單位協(xié)同社區(qū)等基層組織、基層醫(yī)療機構、物業(yè)管理部門等基于疫情防控所需，要求居民申報個人行程信息，收集、公布相關人員個人信息，以精準確定相關人員是否來自疫情高發(fā)區(qū)或途經疫情高發(fā)區(qū)。當下，個人信息需要保護已成共識，但是面對突發(fā)性公共衛(wèi)生事件時，個人信息保護與限制之間呈現(xiàn)“失衡”局面。正如盧梭所言，“如果危險已到了這種地步，以致法律的尊嚴竟成為維護法律的一種障礙，這時候，便可以指定一個最高首領，它可以使一切法律都沉默下來，并且暫時中止主權權威”[20]。在此場景中，國家機關處理個人信息引致個人信息主體在個人信息保護場域受到一定限制，此舉并非沖破個人信息需要受到法律保護的基本立場，而是因為突發(fā)性公共衛(wèi)生安全事件事關全體人民群眾的切身利益，甚或關涉整個人類的健康和生命安全。所謂突發(fā)性公共衛(wèi)生安全事件是指，發(fā)生具有突發(fā)性，對社會公共健康造成或可能造成嚴重損害的兼具重大傳染病疫情、群體性原因不明疾病等其他類對公共健康可造成嚴重影響的事件。本次新冠肺炎疫情屬于上文所指的突發(fā)性公共衛(wèi)生安全事件，應屬社會公共利益范疇。我國學界對國家機關基于維護社會公共利益需要而處理個人信息無須承擔民事責任多持肯定態(tài)度。①洛克認為，為了社會公共利益考量，有些事務的處理必須由國家行政機關實施，[21]國家機關作為個人信息處理的主體要維護社會公共利益和實現(xiàn)社會公共事業(yè)管理，屬于特定目的限制的體現(xiàn)。

我國臺灣地區(qū)“個人資料保護法”第2 條第7 項將公共機構稱之為“公務機關”，具體是指“依法行使公權力的中央或地方機關或行政法人”，對于受“公務機關”委托而進行的收集、處理或者利用個人信息，適用“個人資料保護法”中有關“公務機關”的規(guī)定，“視同委托機關”，在“行政機關組織基準法”第37 條、“行政法人法”第2 條第1 項對公法人的規(guī)定，是指根據(jù)相關法律而設置的，“為執(zhí)行特定公共事務”而設立的，除了公務機關之外的組織。[4]60根據(jù)我國臺灣地區(qū)“個人資料保護法”規(guī)定，“公務機關”處理個人信息時，除了應具備特定目的外，還應該符合“個人資料保護法”第15 條所規(guī)定的選擇性要件：“一、執(zhí)行法定職務必要范圍內；二、經當事人同意；三、對當事人權益無侵害”。質言之，我國臺灣地區(qū)對“公務機關”處理個人信息的規(guī)定包括特定目的和選擇性要件兩個方面。

（二）非國家機關作為個人信息處理主體

數(shù)字時代背景下，個人信息綜合價值不斷得以彰顯，尤其網絡運營企業(yè)依托大數(shù)據(jù)、云計算、人工智能、互聯(lián)網應用等高新技術優(yōu)勢處理個人信息，以獲取經濟利益，已成為當下個人信息經濟價值的重要體現(xiàn)。此類主體為保持并提升市場競爭力，“已經到了幾近瘋狂的程度”[13]296。個人信息蘊含人身自由和人格尊嚴等一般人格利益，但不應否認的是，在當前數(shù)字科技發(fā)展背景下，個人信息商業(yè)經濟價值不斷提高。通過比較域外立法可知，歐盟及其成員國歷來重視個人信息保護，雖然美國對個人信息保護持較為寬松態(tài)度，但是自從2018 年《加利福尼亞州消費者隱私法案》頒布后，其他州包括聯(lián)邦在內已陸續(xù)通過了有關隱私法的提案，表明美國已開始走上普遍適用的個人信息保護之路。

結合當下數(shù)字科技發(fā)展水平，考慮到非國家機關尤其是網絡運營類企業(yè)重在開發(fā)、利用個人信息商業(yè)經濟價值的背景，立法上對此類主體的處理行為應持更為嚴格的態(tài)度，以保障自然人的個人信息安全。

我國《民法典》雖然并未明確非國家機關對個人信息處理的規(guī)定，但在1035 條至1039 條對個人信息處理者的行為作出原則性規(guī)定，為我國將來個人信息保護立法預留了空間。質言之，在數(shù)字時代背景下，個人信息處理者十分普遍，不僅包括網絡運營者，也包括自然人主體。非國家機關對個人信息的處理，主要出于對商業(yè)經濟利益的考量，對這類主體的規(guī)制在數(shù)字化社會背景下尤為重要，亦是將來我國個人信息保護法中的規(guī)制重點。

五、結 語

研究數(shù)字時代個人信息處理的基本問題，應從法律角度分析個人信息處理的內涵。首先，應界定個人信息處理中的“處理”，結合數(shù)字時代背景，主要指自動化處理方式。其次，從社會實踐對個人信息處理中的收集和使用個人信息行為進行分析，比較域外立法中個人信息處理所存在的廣義說和狹義說之分，根據(jù)我國《網絡安全法》《民法典》《個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī)制度規(guī)范，我國采用廣義說。立基于數(shù)字時代，個人信息處理呈現(xiàn)出多樣性特點，表現(xiàn)為處理能力巨量化、處理行為智能化、處理場景復雜化、處理成本低廉化等四個特征。最后，結合個人信息處理主體廣泛性特點，從類型化視角將個人信息處理主體分為國家機關和非國家機關。鑒于數(shù)字時代個人信息處理已呈常態(tài)化趨勢，應在個人信息保護基礎上兼顧個人信息利用。

數(shù)字時代，個人信息被頻繁處理并進一步挖掘其內在價值已是當下的重要特征。應立足個人信息保護，協(xié)調個人信息保護和利用之間關系，明確人們對個人信息的使用以不得侵害信息主體合法權益為前提。[22]本文系統(tǒng)論述個人信息處理的基本問題，不僅是解決個人信息主體與個人信息處理者沖突的重要方案，更是促進個人信息綜合價值實現(xiàn)的重要路徑。

注 釋：

①近幾年關于個人信息保護的研究成果較多，基本都支持在公共利益面向的免責，參見：王利明.論個人信息權的法律保護[J].現(xiàn)代法學,2013(4):62-72；高富平.個人信息保護：從個人控制到社會控制[J].法學研究,2018(3):84-101；丁曉東.個人信息私法保護的困境與出路[J].法學研究,2018(6):194-206；程嘯.民法典編纂視野下的個人信息保護[J].中國法學,2019(4):26-43；王成.個人信息民法保護的模式選擇[J].中國社會科學,2019(6):124-146.