王 苑

(清華大學 法學院， 北京 100083)

一、問題的提出

《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)已正式生效，《個人信息保護法》中所確立的個人信息權(quán)益與《中華人民共和國民法典》(以下簡稱《民法典》)所確立的隱私權(quán)與個人信息保護之間的關(guān)系成為了理論中的一大難題，二者究竟在內(nèi)容上是交叉關(guān)系，還是并列關(guān)系，抑或包含關(guān)系[1-5]？二者關(guān)系的模糊性已經(jīng)造成法官法律適用上的困難，如涉隱私與個人信息民事糾紛中，法官是否必須優(yōu)先審查是否侵害了隱私權(quán)？又如侵犯個人信息權(quán)益的案件應當適用《個人信息保護法》確立的過錯推定責任，還是適用《民法典》的過錯責任等問題[6]也應運而生。

無論是解釋上的困境，還是適法上的難題，歸結(jié)到一點，就是個人信息的保護是否應當繼續(xù)與隱私權(quán)相互牽連，是否可以掙脫以隱私權(quán)為代表的權(quán)利保護模式而采取一條新的進路。筆者通過對比較法的考察及對交往行為理論的借鑒，試圖從根源上說明一個問題：即隱私權(quán)和個人信息保護雖然在內(nèi)容上有所勾連，個人信息權(quán)益中可能包含了隱私利益，但二者的保護機理存在根本性的不同，個人信息保護模式必須采用不同于傳統(tǒng)隱私權(quán)的保護模式，強化公權(quán)力機關(guān)的作為義務，或可為理論與實踐尋找一條新的進路。

二、耦合與裂變：個人信息保護與隱私權(quán)保護的分立

國際社會個人信息保護脫胎于傳統(tǒng)隱私權(quán)，在漫長的歷史演進中經(jīng)歷了從耦合到分立，歐盟通過基本權(quán)利憲章已基本完成這一轉(zhuǎn)變，而美國立法對此態(tài)度尚且曖昧，但理論上對分立卻已基本形成共識。在中國，憲法上基本權(quán)利的保護一貫都以公私法多元保護模式呈現(xiàn)，《中華人民共和國刑法》(以下簡稱《刑法》)、《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)回避了對隱私權(quán)和個人信息保護的關(guān)系的規(guī)定，直到在《民法典》中隱私權(quán)與個人信息保護規(guī)范上的分立得到了確立，但在私密信息上還有所牽連，而《個人信息保護法》應當被視為個人信息保護的基本法，和隱私權(quán)保護區(qū)分這一立場在其中得到了深化。

(一)國際社會個人信息保護與隱私保護的合分之路

歐洲保護隱私和私人生活的傳統(tǒng)由來已久，據(jù)學者考證，歐洲內(nèi)部憲法層面對隱私權(quán)的保護可追溯至19世紀30年代[7]。而直接淵源可溯至1953年 生效的《歐洲人權(quán)公約》(ECHR)，其中第8條 明確每個人有私人和家庭生活、家和通信受尊重的權(quán)利。在該階段，個人數(shù)據(jù)是通過隱私權(quán)進行保護的，二者之間的界限并不明晰。

隱私權(quán)的歷史始于美國。自1890年Warren和Brandeis[8]在《哈佛法律評論》上發(fā)表《隱私權(quán)》(The Right To Privacy)一文以來，隱私的范圍一直在擴張①。但即便是信息隱私的鼻祖Westin，在其1967年出版的《隱私與自由》(Privacy and Freedom)[9]一書中，也并未用信息隱私來表述他的隱私概念，而是始終用“Privacy”一詞來涵蓋新的隱私權(quán)內(nèi)容②。理論上，美國個人信息保護與傳統(tǒng)隱私權(quán)逐漸分離，是Westin和Miller分別提出了信息控制論的結(jié)果，他們認為隱私意味著“個人、群體或組織決定自身信息何時、如何以及何種程度與他人進行交流”[9]或是“有能力控制信息的流通”[10]。建立在信息控制論基礎(chǔ)上的個人信息保護，更為關(guān)注個人信息的不當收集、使用和傳播對于個人的侵害，而且其侵害不限于隱私，也可能侵害個人的權(quán)利和自由。這也就意味著其突破了傳統(tǒng)隱私側(cè)重保護“私密、獨處”等目的，更加偏重個人自主自治的保護。

同一時間，歐洲方面的數(shù)據(jù)保護卻開始逐漸脫離隱私權(quán)并獲得了單獨的保護地位，其標志性立法是1970年德國黑森州數(shù)據(jù)保護法，該法系世界上第一部數(shù)據(jù)保護法，有學者認為其立法工作受到了Westin和Miller信息控制論的重大影響，開始強調(diào)信息和通信技術(shù)對人格和尊嚴的影響[11]。在該法基礎(chǔ)上，德國《聯(lián)邦數(shù)據(jù)保護法(草案)》中明確提出信息自決權(quán)的概念，嗣后，德國聯(lián)邦憲法法院通過一系列判決將其確認為憲法層面的具體人格權(quán)，其目標直接與憲法規(guī)定的人格自由發(fā)展權(quán)和尊嚴權(quán)掛鉤，其法益保護范圍遠遠大于隱私利益。第一部國家層面的數(shù)據(jù)保護法——《瑞典數(shù)據(jù)保護法》，也沒有將數(shù)據(jù)保護與隱私聯(lián)系起來，它宣稱的目的是保護人的完整性。法國政府進行了一系列研究報告后，于1978年通過了《法國計算機、文件和自由法》，該法的目的是確保計算機不得損害人的身份，也不得損害人權(quán)、個人私生活或個人或公共的自由[12]。整個歐洲的數(shù)據(jù)保護的初始版本并未明確提及任何等同于隱私的概念。

20世紀80年代，數(shù)據(jù)保護在整個歐洲層面尋求更高層次的保護，通過了兩份開創(chuàng)性的國際文件：1980年的經(jīng)濟合作與發(fā)展組織準則和1981年的歐洲委員會第108號公約，旨在“加強數(shù)據(jù)保護，即在自動處理與個人有關(guān)的個人信息方面對個人的法律保護”。雖然兩份文件并未與隱私權(quán)和尊重私人生活的權(quán)利有嚴格的區(qū)分，但在第108號公約中，數(shù)據(jù)保護已經(jīng)明確進行了范圍限縮，并直指涉自動處理的行為。

進入21世紀，隱私權(quán)和個人信息保護雖然在法益上仍有交叉，但在保護依據(jù)和保護方式上，在歐洲已經(jīng)明確相互分離，體現(xiàn)在《歐盟基本權(quán)利憲章》(Charter of Fundamental Rights of the European Union，以下簡稱《憲章》)第8條將數(shù)據(jù)保護作為一項基本權(quán)利，獨立于第7條所保護的隱私權(quán)。至此，隱私權(quán)和個人信息保護之間在歐洲基本權(quán)利層面完成了正式的“去耦合”。但歐洲人權(quán)法院顯然不受《憲章》的拘束，在一系列人權(quán)法院的判決中，依然援引《歐洲人權(quán)公約》支持將個人數(shù)據(jù)保護作為隱私權(quán)的一部分，從而又模糊了數(shù)據(jù)保護與隱私保護的邊界，實現(xiàn)了二者關(guān)系的“再耦合”③。根據(jù)《里斯本條約》第16條第2款制定的《一般數(shù)據(jù)保護條例》(GDPR)，吸納了《德國聯(lián)邦數(shù)據(jù)保護法》所確認的信息自決權(quán)，實際上標志著歐盟數(shù)據(jù)保護框架已經(jīng)從“個人數(shù)據(jù)保護服務于隱私保護”轉(zhuǎn)變?yōu)槊鞔_“保護個人數(shù)據(jù)的權(quán)利”，而《憲章》第7條中的“尊重私人和家庭生活”只是保護個人數(shù)據(jù)權(quán)利的目的之一。

歐盟引領(lǐng)的隱私權(quán)與個人信息的分立保護模式目前已成為了國際立法主流，美國的信息隱私與隱私保護的分離不像歐洲有《憲章》作為直接依據(jù)，實際上，雖然學者們將信息隱私指代歐盟的個人數(shù)據(jù)保護，但是美國多部成文法名稱均未言及信息隱私④，到目前為止，信息隱私能否作為一項憲法權(quán)利而存在，依然存在一定爭議⑤。換言之，雖然理論上信息隱私和傳統(tǒng)的隱私之間已經(jīng)可以作出一定的區(qū)分，但實踐中，美國就二者如何區(qū)分還有很長的路要走。

無論歐美立法中采取何種立場，但理論上隱私權(quán)與個人信息保護權(quán)本身性質(zhì)有別，也不宜混為一談。即便在歐盟，兩者均被視為基本權(quán)利，但隱私權(quán)被視為自然法上的權(quán)利，屬于“人天生就具有的權(quán)利”⑥，而個人信息保護權(quán)，被納入《憲章》的保護，實際上是立法所賦予的，同樣作為基本權(quán)利，前者是事實上形成的基本權(quán)利，而后者是法律上形成的[13]。前者的基本權(quán)利的范圍是不固定的，而后者有明確的法定范圍。對于隱私權(quán)而言，其作為一項事實上形成的基本權(quán)利，如何在具體場景中對其進行文義解釋、體系解釋、歷史解釋及目的解釋，尤為關(guān)鍵。而作為一項法律上形成的基本權(quán)利，個人信息保護有明確的范圍，其排除了將個人信息權(quán)益作為人權(quán)意義上的絕對保護?！稇椪隆返?條雖然在第1款中規(guī)定了“人人享有保護其個人數(shù)據(jù)的權(quán)利”，但第2款明確了義務主體的義務，第3款則要求數(shù)據(jù)保護必須有獨立第三方機構(gòu)控制和監(jiān)管。這不僅反映了個人信息保護權(quán)與其他人權(quán)之間的顯著差異，還揭示了一個重要內(nèi)涵，即個人信息權(quán)益的保護以公平處理信息的義務為前提⑦。

(二)中國傳統(tǒng)隱私權(quán)與個人信息二元保護機制的確立

《個人信息保護法》出臺前，中國不存在明文的憲法隱私權(quán)，當然也沒有憲法上的個人信息保護[14]。雖然憲法通過通信秘密和通信自由條款對隱私利益有所保障，但隱私權(quán)在中國實際上主要是通過民法來保護的。最早提到“隱私”的法律文件是1988年的“關(guān)于貫徹執(zhí)行《民法通則》若干問題的意見(試行)”第140條，“以書面、口頭等形式宣揚他人的隱私，或者捏造事實公然丑化他人人格，以及用侮辱、誹謗等方式損害他人名譽，造成一定影響的，應當認定為侵害公民名譽權(quán)的行為”[15]。對隱私的保護是通過類推適用名譽權(quán)的辦法來填補法律漏洞。對侵害隱私的方式規(guī)定為“口頭書面形式宣揚”，私密空間肯定無法以宣揚的形式侵害，其實就是將私密空間和私密活動排除在保護之外，可見在最早的侵害隱私利益的法律文件中，對隱私包含私密信息是不置可否的。

2001年最高院“關(guān)于確定民事侵權(quán)精神損害賠償責任若干問題的解釋”第1條第2款規(guī)定“違反社會公共利益、社會公德侵害他人隱私或者其他人格利益，受害人以侵權(quán)為由向人民法院起訴請求精神損害賠償?shù)模嗣穹ㄔ簯斠婪ㄓ枰允芾怼?。該條確定了隱私獨立受保護的地位。隱私的范圍被擴大，不再僅限于私密信息。在《民法典》中明確了隱私的范圍，其中就包括私密信息。

對于隱私和個人信息的關(guān)系，憲法上并沒有明確的規(guī)定，對于個人信息權(quán)益這種新興的人格利益，最初是從刑法和行政法上對其進行了規(guī)制，刑法中對個人信息保護的保護，指向的是信息系統(tǒng)或者個人信息，對侵犯隱私權(quán)的糾紛，刑法不予介入，有學者據(jù)此認為，刑法對于隱私和個人信息一直都是分立保護的視角[16]。行政法上，對于隱私和個人信息的規(guī)范沒有嚴格恪守分立的理念，如網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、電子商務法等均將隱私和個人信息并立列舉。這組概念關(guān)系上的模糊和牽連，一直延續(xù)到了《民法典》的立法中，個人信息保護在《民法典》中經(jīng)歷了從無到有、從粗到精的過程⑧。隨著《個人信息保護法》的出臺并實施，目前法律體系已經(jīng)完備，但對于個人信息保護這樣的跨部門法保護命題，法秩序的統(tǒng)一性則備受關(guān)注。

在欠缺明確的基本權(quán)利保護的情況下，《個人信息保護法》如何與刑法和民法相互協(xié)調(diào)，而個人信息權(quán)益與隱私權(quán)在中國法語境下是何關(guān)系？這都是亟須回應的話題。自2012年全國人民代表大會常務委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》以來，個人信息保護也一直與隱私權(quán)相互牽連，該決定第1條：“國家保護能夠識別公民個人身份和識別公民個人隱私的電子信息?！睆脑摋l不難看出，個人隱私信息作為了個人信息的一種受到保護，但是在《個人信息保護法》中就沒有再對身份信息與隱私信息兩者進行明確的界分，而是統(tǒng)稱為“自然人的個人信息受法律保護”。雖然個人信息權(quán)益作為一個權(quán)益集合，內(nèi)容上包含了隱私權(quán)，但是個人信息保護法的立法機關(guān)顯然不想從權(quán)利性質(zhì)和權(quán)利內(nèi)容去劃定隱私權(quán)與個人信息權(quán)益的范圍和邊界，而是從保護手段上進行了有益的探索，該法明確了只要涉及個人信息處理行為的，應當優(yōu)先適用個人信息保護法的規(guī)則，也就與傳統(tǒng)隱私權(quán)所保護的對象漸行漸遠了。

進一步說，如果隱私權(quán)與個人信息保護的關(guān)系無法厘定，對于中國各部門法關(guān)于隱私權(quán)和個人信息保護如何統(tǒng)一適用必然造成很大的困難。例如，《民法典》中，認為隱私權(quán)應當優(yōu)先于個人信息適用，但《刑法》中卻僅對侵犯個人信息罪有所法定，兩部基本大法對法益的評價存在如此大的分歧，這對于法秩序統(tǒng)一是極為不利的。又如，私密信息屬于《民法典》隱私權(quán)的保護范疇，而私密信息與《個人信息保護法》中的敏感信息又是何關(guān)系？處理敏感信息的時候是否應當單列私密信息一項呢？反觀歐盟國家，個人信息保護基本上游離于民法體系之外。而在美國，對信息隱私的保護，私法救濟只是其中極小的一部分。中國的個人信息保護，為解決體系解釋上的矛盾和評價上的不統(tǒng)一，隱私權(quán)和個人信息保護分立也許是最為便捷和有效的途徑。

此外，從《個人信息保護法》的立法定位上，《個人信息保護法》也并非《民法典》的特別法，而是一部對個人信息保護進行全面規(guī)范的兼具公法與私法屬性的綜合性法律[17]。雖然其中的民事條款與民法典存在特別和一般的關(guān)系，但是顯然《個人信息保護法》中的隱私利益，作為信息處理法律關(guān)系中個人信息權(quán)益的核心法益之一，其保護應當優(yōu)先由《個人信息保護法》的制度予以保護。

三、究竟與探源：個人信息保護應與隱私權(quán)保護區(qū)分

本質(zhì)上，隱私權(quán)和個人信息保護權(quán)無論從所涉行為，還是應遵循的規(guī)則角度，都具有差異性，不可同日而語。美國學者Post[18]將傳統(tǒng)意義上的隱私視為尊嚴隱私(Dignitary Privacy)，而個人信息保護稱為數(shù)據(jù)隱私(Data Privacy)，因前者涉及人的尊嚴和自由，而后者在他看來是工具理性的產(chǎn)物。Post[18]還認為，隱私本質(zhì)上是從公共領(lǐng)域保留的事務，為其劃定邊界的是交往行為，而個人信息保護制度針對的是信息處理行為。下文擬詳述之。

(一)交往行為與信息處理行為

隱私邊界其實是人類根據(jù)交往的事實和習慣所生成的[19]，因此是交往行為的結(jié)果。交往行為理論由德國哲學家哈貝馬斯提出，他認為，人并不是想要彼此交往，而是必須相互交往[20]118。交往行為發(fā)生在可以相互協(xié)商的平等主體之間，主體可以就行為的邊界通過協(xié)商最終達成一致，而這種協(xié)商所形成的“契約”隨著社會發(fā)展、技術(shù)進步而變化。前社交網(wǎng)絡(luò)時代，人和人的交往更多依賴于信件、電話等方式，而現(xiàn)在則代之以社交網(wǎng)絡(luò)，社交網(wǎng)絡(luò)越來越被視為類似于“街角”(美國憲法中經(jīng)典的公共領(lǐng)域形象就是街角的發(fā)言者)的新公共空間。在公共領(lǐng)域，個人和他人間就個人控制的程度以及他人可以進入的程度，有一個磋商/商談的過程。兩個以上具有言語和行為能力的主體進行互動，他們使用(口頭或口頭之外的)手段，建立起一種人際關(guān)系[20]84。周圍的熟人或親人對個人信息的收集與使用，此類行為應屬于交往行為，該種行為雖然可能侵犯個人的獨處空間，但由于個人本身就生活于社群之中，此類行為被認為是正常社交的一部分，不應將打聽周圍熟人或親人的個人信息的行為視為侵犯個人信息保護權(quán)的行為[21]。

個人信息保護旨在捍衛(wèi)正當和審慎的信息處理行為，而不是阻止或禁止處理。信息處理行為，參照《一般數(shù)據(jù)保護條例》的定義，包括“全部或部分通過自動化手段進行的個人數(shù)據(jù)處理行為，以及通過自動化手段以外的其他方式進行的、構(gòu)成或旨在構(gòu)成存檔系統(tǒng)一部分的數(shù)據(jù)處理行為”?；旧希粋€ 組織在數(shù)據(jù)的全生命周期中可以對數(shù)據(jù)進行的幾乎所有操作，包括收集和刪除銷毀，以及數(shù)據(jù)之間的存儲，或?qū)π畔⒌娜魏问褂?，都相當于處理，因此被納入數(shù)據(jù)保護法律制度。

1. 交往行為的對稱性與信息處理行為的不對稱性

交往行為理論強調(diào)的是交往主體之間的對稱性。交往行為，是通過商談(互動)使現(xiàn)實行為協(xié)調(diào)一致、參與者之間達成共識，其前提是交往行為者能夠進行相互批判[20]118。而能夠相互批判，需要雙方能力的平等。平等使這種交往關(guān)系成為可能，而自愿使這種交往可以持續(xù)進行[22]。撇開地位和身份的不平等，交往行為體現(xiàn)的是交往理性，最終還原為論證話語在不受強制的前提下達成共識這一核心經(jīng)驗。哈貝馬斯認為，公共領(lǐng)域運作的基礎(chǔ)是人們之間的平等自愿交往。交往行為中，不應當存在強制和支配[20]10。

顯然，在個人信息保護制度中，信息主體與信息處理者之間存在顯著的信息能力的不平等(或不對稱)，相互批判是不切實際的妄想。信息處理行為中，信息主體和處理者間缺乏交流溝通的機制，處理行為是單向的，而非雙向的。雖然個人參與機制及個人信息保護中某些基本原則試圖平衡這種現(xiàn)實存在的不對稱，但完全自由意義上的平等自愿的商談依然并不存在。換言之，信息主體對信息控制者并沒有交流和理解的欲望，就算交流也無法促進人際關(guān)系的發(fā)展。因此《個人信息保護法》中排除適用“自然人因個人或者家庭事務處理個人信息的”行為，以及《一般數(shù)據(jù)保護條例》中排除適用“自然人在純粹私人之間或家庭活動過程中的涉及個人信息的行為”，顯然屬于哈貝馬斯提出的交往行為，而非信息處理行為。

2. 交往行為的雙向性與信息處理行為的單向性

交往行為重視主體間的相互關(guān)系和相互作用，這在隱私權(quán)的制度構(gòu)建和立法中得以體現(xiàn)，“合理隱私期待”“不愿為人所知”標準，均有磋商的可能。事實上，除法定的隱私權(quán)，隱私更多還是依賴于社會規(guī)范來規(guī)范。對于事實形成的社會規(guī)范，法律最小限度去干預，由主體之間自己去劃定邊界。這與個人信息保護大不相同，如上所論，信息處理是單方面作出的法律行為，并無磋商之可能，因此法律必須介入其中，由法律為該行為設(shè)定邊界，包括信息處理者的作為與不作為。正因如此，相較于傳統(tǒng)隱私權(quán)，個人信息保護需要大量的成文法及標準來規(guī)范，因為信息處理者和主體間的邊界須由法律來劃定。基于此，對信息處理行為和交往行為應當做出明確的區(qū)分。

(二)文明規(guī)則與公平信息實踐準則

1. 文明規(guī)則推動隱私權(quán)發(fā)展

交往行為賴以維繼的，是文明規(guī)則，也有稱其為社交禮儀。隱私制度遵循文明規(guī)則，對個人的損害并不來自抽象考慮的個人信息處理，而是來自違反普遍社會風俗習慣的交流(交往)行為[23]。文明規(guī)則由充分遵守有關(guān)的尊重和舉止規(guī)則所構(gòu)成，在特定情況下，個人可能沒有內(nèi)化相關(guān)的尊重和舉止規(guī)則，因此可能會存在實際的人格損害。但法律對隱私的保護，不僅著眼于特定個人人格的實際損害，也是通過法律為合理人的行為設(shè)定邊界，以實現(xiàn)對人格的保護。于個人而言，隱私是一種社會排斥機制，但于公眾而言，遵循共同的行為準則也有利于社會聚合[24]。正因如此，隱私立法同時兼具維護社會規(guī)范和糾正“人格損害”的功能。

文明規(guī)則是社會習慣(Conventions)所塑造的[25]，社會習慣在群己關(guān)系中養(yǎng)成，人的交往行為無可回避群己關(guān)系。自由秩序的追求、權(quán)利義務的分配，皆須蘊含在這一關(guān)系體系中，也能在這一關(guān)系體系中更深刻、更日常地得以展現(xiàn)[26]。主動邀請某人越過習慣的邊界“使其作為或不作為”，結(jié)果自然就不構(gòu)成侵犯隱私。若因權(quán)利人自身忘記關(guān)窗，而被路人聽到或者看到什么，一般都認為不宜過度苛責他人。在私密的空間內(nèi)確實存在一種不愿為人所知的利益，而作為路過的人，不去打開關(guān)閉的窗戶，也是遵守一種文明規(guī)則。

因此，隱私是規(guī)范性表達的(而非描述性的)⑨，是尋求維持厚重的社會慣例和風俗，將人類看作社會性建構(gòu)的并依賴尊重他人的民事規(guī)范慣例。而個人信息保護則對社會意義漠不關(guān)心，關(guān)注的是對個人自治和自主。為了平衡知識/權(quán)力對人格形成和自由發(fā)展過程中的負面作用[27]，個人信息保護遵循公平信息實踐準則。公認的公平信息實踐準則建立在個人信息控制論的基礎(chǔ)上，而在公共領(lǐng)域或社交世界中，控制個人信息是沒有意義的。信息處理行為是一種工具理性/行為，個人信息保護最終是通過規(guī)制該工具行為來維護其背后的非工具性價值，其中亦包含了隱私價值，這與交往理性之間的邏輯完全不同。信息主體權(quán)利的范圍是被確保個人信息的精確性和收集時特定目的的相關(guān)性需求所決定的，是描述性的而非規(guī)范性的，是否對人格造成損害，其實不是其所關(guān)注的重點。例如，處理者拒絕個人對其個人信息的查閱權(quán)，確實對個人自主有所侵害，但是否構(gòu)成對人格的損害，則需視具體情況而定。正如有學者指出的，隱私旨在保護人的人格免受因違反基本尊重規(guī)范的言論所造成的損害，而個人信息保護制度則是對信息實踐行為是否公平，是否有可能侵害個人的規(guī)定[18]。

2. 公平信息實踐指導信息處理實踐

個人信息保護開始逐漸脫離隱私權(quán)獲得獨立地位肇端于20世紀60—70年代，以公平信息實踐的誕生作為分割點。此后，傳統(tǒng)隱私權(quán)的保護依然遵循普通法路徑，而個人信息保護則更多在公平信息實踐基礎(chǔ)上,發(fā)展出了自己的一套保護規(guī)則。日前，全球都在踐行“公平信息實踐”，雖然模式稍有不同。歐盟吸納了經(jīng)濟合作與發(fā)展組織(OECD)隱私保護指南和第108號公約中的框架及精要，于1995年正式頒布了《保護個人享有的與個人數(shù)據(jù)處理有關(guān)的權(quán)利以及個人數(shù)據(jù)自由流動的指令》，發(fā)展到現(xiàn)有的歐盟范圍內(nèi)統(tǒng)一適用的《一般個人數(shù)據(jù)保護條例》，而美國則在信息隱私保護框架基礎(chǔ)上發(fā)展了公、私不同領(lǐng)域的專門立法。因此，Schwartz[28]毫不諱言“公平信息實踐是現(xiàn)代信息隱私法的基石”。

四、流變與正本：從保護權(quán)利為主到平衡權(quán)力為主的個人信息保護

從應然角度，個人信息保護與隱私權(quán)保護應做出區(qū)分，兩項制度各自獨立運行，互不交織，依據(jù)各自內(nèi)在的邏輯獨立進行判斷⑩。個人信息保護是規(guī)制信息處理行為的制度，規(guī)制圍繞著如何實現(xiàn)“公平”價值而展開。20世紀70年代，個人信息保護剛從理論上開始確立其獨立地位，和傳統(tǒng)隱私權(quán)相分離，但依然以隱私價值作為其守護的最為核心的價值之一，因其天然的“親”隱私權(quán)屬性及與隱私法益之間的勾連，初版的公平信息實踐沿襲了權(quán)利保障為中心的路徑而展開，通過迭加式的私法賦權(quán)以實現(xiàn)主體的不同利益[29]，但是隨著信息處理技術(shù)的發(fā)展，權(quán)利進路的公平信息實踐面臨極大的質(zhì)疑和挑戰(zhàn)。

(一)唯權(quán)利進路保護的弊病與困局

1. 初版公平信息實踐的誕生

根據(jù)美國學者Regan對美國隱私權(quán)政策的詳細追溯，實踐中推動傳統(tǒng)隱私向信息隱私發(fā)展的標志性事件是1965年美國社會科學研究委員會(Social Science Research Council)提議建立聯(lián)邦數(shù)據(jù)中心，協(xié)調(diào)所有政府掌握的個人信息[30]。為應對公眾日益增長的焦慮，美國衛(wèi)生、教育和福利部部長于1972年成立了自動個人數(shù)據(jù)系統(tǒng)咨詢委員會，以評估計算機記錄系統(tǒng)的使用并制定政策指南。由此產(chǎn)生了一份具有里程碑意義的報告，即《記錄、計算機和公民權(quán)利：》(Records, Computers, and the Rights of Citizens，以下簡稱《報告》)，涉及計算機化記錄保存對個人、組織和整個社會的影響[31]。

《報告》是公共部門和私營部門的數(shù)據(jù)處理深度研究巔峰之作?！秷蟾妗氛J為，隱私(特指信息隱私)的保護，應被作為一種公平的實踐機制，使大型私營部門機構(gòu)(如保險公司、銀行以及其他金融和商業(yè)機構(gòu))和國家與個人公民獲得平等待遇。該報告發(fā)出警告：“計算機化的結(jié)果是，記錄保存系統(tǒng)對人們的影響要比人們對記錄體系的影響更容易。”[31]自動個人數(shù)據(jù)系統(tǒng)咨詢委員會建議：“盡管為了利益而進行某種程度的隱私交易并沒有天然的不公正，但交易的雙方都應參與擬定條款。”《報告》提出了最初的公平信息實踐準則框架，包括五項實體及程序原則：不得秘密設(shè)置個人數(shù)據(jù)記錄存儲系統(tǒng)；必須為個人提供查找屬于其記錄中的信息內(nèi)容以及該信息是如何被使用的方法；必須為個人提供有效方法，防止用于特定用途的個人信息未經(jīng)他或她的同意被用于其他用途——即目的特定原則；必須為個人提供更正或修改個人身份信息記錄的方法；任何創(chuàng)建、維護、使用或傳播個人身份信息的組織必須確保信息用于既定目的的可靠性，并必須采取預防措施以防信息濫用[32]?！秷蟾妗方ㄗh的公平信息實踐準則成為了1974年《隱私法》的基礎(chǔ)，該法案對聯(lián)邦機構(gòu)收集、使用和傳輸個人信息施加了重大限制。但令隱私保護主義者失望的是，立法者忽略了秘書委員會的建議，私營部門最終未被納入其適用范圍。

2. 初版公平信息實踐的繼受與發(fā)展

建立在個人信息控制理論基礎(chǔ)上的“公平信息實踐準則”廣為傳播，成為1980年經(jīng)濟合作與發(fā)展組織《隱私保護和個人數(shù)據(jù)跨境流通指南》(以下簡稱《隱私指南》)的基礎(chǔ)?！峨[私指南》中所確立的八項基本原則是對“公平信息實踐準則”五項原則的繼承與發(fā)展，雖然在引述“公平信息實踐準則”所揭示的子原則之間會有些許差異，但核心部分并無實質(zhì)差別。《隱私指南》在世界個人信息保護立法上的影響，代表著美國信息隱私理論的影響，隨著各國立法對《隱私指南》的繼受，美國的個人信息保護原則也通過《隱私指南》被輸送到全世界。

不過，在美國向全世界輸送個人信息保護原則和觀念的同時，在個人信息保護落實方面卻另辟蹊徑。作為個人信息保護制度的強有力的推動者并沒有制定統(tǒng)一的個人信息保護法。相反，美國在遵循“公平信息實踐準則”基本原則的前提下，一直探尋最適合社會需求和產(chǎn)業(yè)發(fā)展的靈活的個人信息保護機制，試圖在保護個人對個人信息使用的控制(個人自由)的同時，促進或至少不妨礙個人信息的自由流通使用。世界性原則的締造者美國，在這些原則的貫徹實施方面保持著謹慎的態(tài)度。雖然一直踐行對特殊分類的個人信息立法保護，但聯(lián)邦層面的立法始終并未超出美國聯(lián)邦貿(mào)易委員會(FTC)定義的不公平或欺詐交易實踐的范疇，也不要求對消費者造成實際損害，并且遵循著非常薄弱的通知選擇規(guī)則。目前，公平信息實踐準則作為個人信息保護的核心原則，已為所有致力于個人信息保護的國家所采納。甚至有學者斷言，因為公平信息實踐準則存在時間之久、傳播范圍之廣，它幾乎已經(jīng)是信息隱私的代名詞[33]。顯然，公平信息實踐準則是全球個人信息保護的共識，無論是歐盟、新加坡、日本，還是在搖擺和糾結(jié)中的美國，公平信息實踐準則都是討論個人信息保護問題的起點。

3. 權(quán)利保護進路所面臨的困境

初版公平信息實踐準則建立在“信息個人控制”理論基礎(chǔ)上，賦予信息主體更多的參與度、建構(gòu)強有力的通知—同意規(guī)則，常常被認為體現(xiàn)了“信息自決或個人的信息控制能力”[34]，有學者稱其為“權(quán)利進路”(Right-based Approach)，或概括為“同意為中心”的個人信息保護制度。這一模式的公平信息實踐準則被繼承和發(fā)揚，雖然《一般數(shù)據(jù)保護條例》在繼受的同時，也提供了一些新的發(fā)展思路，如被遺忘權(quán)。也探索了結(jié)合個體權(quán)利的保護機制及復雜的義務履行機制的融合的進路，但《一般數(shù)據(jù)保護條例》的原則和理念依然是初版公平信息實踐準則的延續(xù)。初版公平信息實踐準則目前飽受詬病，主要有三個方面的理由：首先，大數(shù)據(jù)和算法的能力已經(jīng)巨大地改變了個人信息處理的性質(zhì)和影響，挑戰(zhàn)公平信息實踐準則；其次，社會已經(jīng)廣泛認識到個人信息社會屬性的重要性，特別是其對于民主的重要性，公平信息實踐準則顯得問題重重；最后， 大型互聯(lián)網(wǎng)平臺操縱了個人的社交生活、政治和經(jīng)濟生活，權(quán)力足以塑造偏好，更顯得公平信息實踐準則保護個人信息的陳舊和無效。

權(quán)利進路公平信息實踐的基本假設(shè)是，只要信息處理本身具有合法性，對于信息主體是公平的，法律就不應規(guī)制它，而應建立機制去實踐它。信息處理是善的，企業(yè)、國家甚至公民對于處理個人信息都有需要?！兑话銛?shù)據(jù)保護條例》鼓勵的公平的信息實踐是找到一條平衡各種利益的路徑，而不是阻止信息處理。這一基本假設(shè)規(guī)避討論處理本身是否正當，而僅重視討論處理行為是否公平。然而對公平的討論，已經(jīng)遠遠超出對處理行為的公平性的討論(雖然其依然重要)，更為值得提倡的是,在更廣域的范圍，討論信息處理是否可以實現(xiàn)人類和社會福祉。

權(quán)利保護的路徑，往往無法解決數(shù)據(jù)產(chǎn)業(yè)的復雜性導致的人和社會的外部性，平臺主宰及大規(guī)模數(shù)據(jù)處理的代價才剛剛初顯端倪。除了核心的因信息收集和濫用導致的損害，公司對個人信息的無限需求改變了人類支配時間的方式方法，以及如何與他人相處?？萍甲兏飳π畔⒘魍ǖ母淖兗皞€人的影響是革命性的，毋庸置疑，計算機加強了大規(guī)模組織機構(gòu)的權(quán)力，如軍隊、航空公司、銀行、大型網(wǎng)絡(luò)公司。它們不斷侵蝕個體在信息處理行為中平等參與的基礎(chǔ)，被困在算法中的不僅僅是外賣騎手，毋寧是參與科技變革的每一個信息主體。信息處理者與信息主體之間信息能力的鴻溝，不是通過賦予個人權(quán)利以控制信息可以填平的，信息處理者對數(shù)據(jù)的攫取和注意力的掠奪，已經(jīng)超出了個人信息保護對“個人自決”或“隱私”價值的保護。越來越多的學者開始關(guān)注大型網(wǎng)絡(luò)主體公共責任的缺失，有學者直接提出如果問題已經(jīng)超出對個人信息的濫用，那么給予信息主體權(quán)利就不是有效的回應[35]；也有學者提出除了借助市場競爭機制和傳統(tǒng)私法規(guī)范，還應當引入公法原理及其價值要求來約束平臺權(quán)力。20世紀誕生的公平信息實踐準則，應對信息處理手段的日新月異捉襟見肘，已不再符合大數(shù)據(jù)時代的要求，立法需要更為靈活和動態(tài)的公平信息實踐版本[37]。

(二)權(quán)力制約應成為實現(xiàn)公平的主要手段

需要指出的是，傳統(tǒng)法學語境下的權(quán)力制約所指向的權(quán)力，是國家機關(guān)等公權(quán)力主體。但筆者所稱之權(quán)力，系數(shù)據(jù)權(quán)力、算法權(quán)力、平臺權(quán)力，這種權(quán)力系加大主體之間強弱關(guān)系不平等的根源[38]?！秱€人信息保護法》已經(jīng)出臺，其中多項原則也能看出公平信息實踐準則的影子，包括第5條合法正當必要處理及誠信原則、第6條目的限定及最小必要原則、第7條公開透明原則、第8條質(zhì)量原則、第9條安全保障原則、第10條合法合規(guī)性等。借鑒國際立法潮流的優(yōu)勢在于，以權(quán)利進路的公平信息實踐作為對話起點，無論是學界還是業(yè)界，多方溝通將更為流暢[39]；但其中的弊端也顯而易見，該進路之下的個人信息保護，難以逃脫權(quán)利進路所帶來的弊病和困局。歐美各國長期受“權(quán)利進路”的實踐準則的影響，已積重難返，很難走出一條完全超越初版信息實踐準則的道路，目前中國成文法出臺時日較短，在適用和踐行個人信息保護規(guī)則時，以下三個方面的實踐原理值得關(guān)注：

1. 個人信息保護的核心問題是不平等問題而非隱私問題

實際上，初版“公平信息實踐準則”的制定者明確將信息不平等問題列入了政策議程，在研究使用計算機進行個人記錄而產(chǎn)生的問題時，認為其任務是確保在與更強大的政府機構(gòu)和大公司進行互動時，個人具有一定的影響力。然而，初版“公平信息實踐準則”的制定者，并未預料到半個世紀后的技術(shù)發(fā)展將這種力量的不平等放大到極致，而個人信息成為加劇這種不平等的來源[40]。一方面，信息處理者的力量來源于對信息的收集能力和獨占控制力；另一方面，這種力量會通過預測信息主體，反過來可能會影響個人的行為，甚至影響人類福祉，使個體面對技術(shù)把控的系統(tǒng)實踐，個體參與與選擇的空間名存實亡。很多學者對這種權(quán)力的不平等已經(jīng)有所洞見[41]，并試圖尋找一個既定的制度架構(gòu)來分配和實踐權(quán)力。有學者提出，應當以公法和消費者法方式來規(guī)制個人信息上存在的風險問題[42]。也有學者建議可以從憲法整體框架吸取經(jīng)驗，將個人信息保護制度置于憲法的高度，通過程序和實體兩個方面來保障,程序部分采用制衡原理，參考憲法限制政府權(quán)力的方式來限制公司的權(quán)力；而實體部分則側(cè)重保護個人信息[43]。該模式不損害既有法律體系，通過公司法、反壟斷法等制衡公司權(quán)力，通過個人信息保護法維護個人權(quán)利。部門法之間如何協(xié)調(diào)和共同治理，這是擺在該模式面前的一道難題。

2. 強調(diào)個人參與和控制的信息實踐只是一種形式公平

以權(quán)利進路為主的個人信息保護，核心要旨就是通過明示同意、透明原則、通知和選擇等機制，不斷賦予個人控制。有些設(shè)計看似給予用戶選擇權(quán)，但實則不然。同意按鈕顏色的設(shè)置、默認勾選還是默認不勾選，真正的控制依然掌握在公司手里。此外，制度設(shè)計者初衷是賦予用戶控制個人信息的權(quán)利，但在實踐中信息處理者如果一項一項地征求用戶同意，很可能會影響用戶體驗、違背用戶意愿，反而加重用戶負擔。為了實現(xiàn)實質(zhì)公平，除了賦予個人更多的控制權(quán)這一路徑外，近年來美國有很多學者也努力探索一些新的解決思路，如強調(diào)信息處理關(guān)系中“信任”的重要性[44]。也有學者從信托關(guān)系的角度提出了信息信托理論[45]?；蛘呤蔷芙^以同意為中心，需要注重更實際的設(shè)計、產(chǎn)品以及有操作性的實踐。甚者呼吁個人信息的保護應完全摒棄公平信息實踐，轉(zhuǎn)而以個人信息是否合理流通來判斷隱私是否被侵犯[46]。這些理論反思與構(gòu)建對于實現(xiàn)實質(zhì)公平都有所裨益，但具體如何與現(xiàn)有法律結(jié)合起來的實操性還須進一步探索。在《個人信息保護法》出臺前，已經(jīng)有一批學者對知情同意進行了深刻反思，并試圖破解知情同意困局[47]，有學者認為可以在制度框架內(nèi)解釋和改造知情同意框架，重建一種信任和信用場域，從而實現(xiàn)知情同意的制度初衷。也有學者提出了知情同意的例外情形，為合理的數(shù)據(jù)活動提供法律豁免等[48]。雖然最終知情同意原則作為了一項處理的合法性基礎(chǔ)在《個人信息保護法》中得以確立，但法律也同樣規(guī)定了除同意以外的多重豁免情形[49]。

3. 信息社會，即便對個人公平的信息處理也可能對個人或社會有弊而無利

對公平的追求，不應僅限制在信息實踐上，而應當置于實現(xiàn)人類福祉之上。換言之，當技術(shù)侵入生活，判斷該技術(shù)實踐是否公平遠遠不夠，而應當追問該技術(shù)對個人和社會是否利大于弊。如果最終法律規(guī)則只是淪為了一種空洞的技術(shù)條款，對其理解和適用不考慮任何社會變遷與應有價值，那么這種法律規(guī)則也難稱公平和正義。過去的個人信息保護立法主要關(guān)注產(chǎn)業(yè)界的數(shù)據(jù)聚合和集合，而對于人類對操縱的敏感性，平臺權(quán)力和競爭政策等問題卻無計可施。應對人工智能和基因組學的進步，公平信息實踐的無力也顯而易見?！秱€人信息保護法》第26條回應了科技社會對人臉識別的關(guān)切，該技術(shù)的應用被限制在維護公共安全的場景下，不失為大數(shù)據(jù)時代的個人信息立法的創(chuàng)新之舉。

一言以蔽之，權(quán)利進路的公平信息實踐忽視了權(quán)力不平等加劇的現(xiàn)實，缺乏對實質(zhì)公平的關(guān)注，并且無法解決技術(shù)本身的不公平問題。因此，符合大數(shù)據(jù)時代的個人信息保護制度，應當將原來以保護權(quán)利為主的進路轉(zhuǎn)變?yōu)橐詸?quán)力制約為主的進路。權(quán)力制約相較權(quán)利保障更為有效，對此已有相當數(shù)量的學者展開了闡述，甚至有學者論證面對強大的信息處理者，個人形式上的同意、決定置于制度設(shè)計與法益保護的中心，不僅無法有效保護信息隱私，反而可能增加權(quán)益受侵害的可能性[50]。因此，應從對“隱私”價值的關(guān)注回歸到“法力”本身。概言之，權(quán)力制約進路實則有三方面的理論意涵：

1. 以權(quán)力約束權(quán)力，對信息處理者施加強制義務

孟德斯鳩曾說，從事物的性質(zhì)來說，要防止濫用權(quán)力，就必須以權(quán)力約束權(quán)力[51]。權(quán)力制約是指享有制約權(quán)的國家機關(guān)通過對管理性問題進行法律評價的方式，控制、約束、組織其他國家機關(guān)行使權(quán)力的活動，其目的在于維護權(quán)力運行的良性機制，保障人民權(quán)益的不受侵害[52]。

對擁有巨量數(shù)據(jù)和復雜算法的平臺而言，雖然其在法律地位上并非國家機關(guān)，但鑒于其在信息處理關(guān)系中的“強力”地位，鑒于也并非任一國家機關(guān)都有監(jiān)獄、武器等暴力機器，所謂的“強力”，實則就是有能力決定或影響個人權(quán)益的得喪變更，從這一角度，平臺權(quán)力和國家機關(guān)權(quán)力并無太大差別。因此，國家在承認和糾正這種不平等和脆弱性方面有不可取代的作用，也必須承擔對信息處理者的濫用權(quán)力的監(jiān)管義務。權(quán)力約束權(quán)力的手段主要包括了法律之力、行政之力和司法之力三個方面，只有這三者合力，才能起到權(quán)力約束權(quán)力的最佳效果。

首先，通過法律之力對信息處理者課以強制義務。例如，明確要求處理者貫徹不同場景中通過設(shè)計保護個人信息的原則，提升透明原則和可責性原則的地位，減少對知情同意原則的過度依賴等?？萍枷蛏茟蔀樾畔⑻幚碚呙鞫ǖ姆闪x務，在大規(guī)模應用新的技術(shù)時，必須進行倫理和安全評估。例如，在不斷收集個人信息“喂養(yǎng)”自動駕駛系統(tǒng)時，法律可以要求信息處理者除了獲得個人同意之外，還必須對算法進行倫理評估，在自動駕駛中遇到類似“電車難題”時，算法作何選擇，以及披露該選擇的依據(jù)等。在金融場景中，大額轉(zhuǎn)賬進行人臉驗真的必要性，法律也應給出明確的價值導向，而非僅僅任由銀行借同意規(guī)則來規(guī)避必要性討論。目前中國《個人信息保護法》在這一方面走在了世界立法的前列，對個人信息處理者的合規(guī)管理和保障個人信息安全等義務予以強化，以及賦予了大型網(wǎng)絡(luò)平臺特別的“守門人”義務。其次，通過行政監(jiān)管對信息處理者的行為予以糾偏。事前事中的行政執(zhí)法與事后的司法救濟應當予以配合，充分發(fā)揮各自在權(quán)力制約中的優(yōu)勢。在行政執(zhí)法監(jiān)管方面，目前，行政執(zhí)法機關(guān)已經(jīng)進行了有益的探索，如中共中央網(wǎng)絡(luò)安全和信息化委員會辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局聯(lián)合APP治理專項行動的展開，無疑是權(quán)力制約進路的有力手段。最后，通過司法程序?qū)崿F(xiàn)權(quán)力失衡后的矯正。在《個人信息保護法》生效之前，司法機關(guān)已經(jīng)在個人信息侵權(quán)保護上小心翼翼進行個案探索，《個人信息保護法》第69條 對侵害個人信息權(quán)益的侵權(quán)責任作出規(guī)定，完善了歸責原則和損害賠償?shù)挠嬎惴椒ā?/p>

從根本上，“權(quán)力約束權(quán)力”是一種家父作風，與東亞儒家文化圈的一貫法治傳統(tǒng)相契合。大部分民眾信任并依賴政府，當個人對信息處理者不足以建立信任時，有國家權(quán)力介入，對信息處理者的權(quán)力進行制衡，個人使用網(wǎng)絡(luò)信息產(chǎn)品將更為放心。如果收集處理信息的主體是公權(quán)力機關(guān)，比起西方國家民眾持更多的懷疑和擔憂，儒家文化圈的民眾大多是擁抱和信任的態(tài)度，這種法治底色的差異對個人信息保護的影響，從新冠肺炎疫情控制中各國民眾的態(tài)度可窺一斑。同時個人也更有理由相信，當信息處理者侵害了個體權(quán)益時，信息處理者將受到國家權(quán)力的懲戒，儒家文化圈的這種特質(zhì)更能適應從權(quán)利保護回歸權(quán)力制約的轉(zhuǎn)變。

2. 以權(quán)利對抗權(quán)力，對信息處理活動保持高度警惕

權(quán)力制約的另一個維度，是通過權(quán)利來對抗權(quán)力。權(quán)力和權(quán)利不同，權(quán)力是一種必須履行的職責，而權(quán)利則體現(xiàn)為一種可能性的狀態(tài)[53]。在信息處理法律關(guān)系中，信息主體對抗信息處理的方式種類多樣，《個人信息保護法》中賦予個人在個人信息處理活動中的八項權(quán)利來對抗不正當或不合理的信息處理活動。但是，這種權(quán)利的制約力往往通過審判機關(guān)來得以實現(xiàn)，需要權(quán)利人的主動行使。換言之，如果權(quán)利人主動放棄該項權(quán)利，對此不能苛責。因此，以權(quán)利對抗權(quán)力多少有“隔靴搔癢”之嫌。

但采取極端化路徑否定信息主體私力救濟的可能性顯然也是不恰當?shù)?，平臺主體、算法主體雖然擁有了“強力”，但從法律地位上并不能被擬制為“國家機關(guān)”，況且即便是國家機關(guān)的權(quán)力，尚有公民權(quán)利對其予以制約。數(shù)據(jù)權(quán)力、算法權(quán)力，其本質(zhì)是科技賦能組織體所導致的力量失衡，一方面，權(quán)利存在的當然意義是鼓勵信息主體積極主動行權(quán)，通過行權(quán)來維護自身權(quán)益[54]；但另一方面，權(quán)利之中蘊含的豐富權(quán)能也有利于督促信息處理者在法律框架內(nèi)的自律，繼而形成權(quán)力制約功能的自我實現(xiàn)。權(quán)利對抗權(quán)力是權(quán)力約束權(quán)力機制的有效補充。

3. 以誠信引導權(quán)力，形成良性的信息處理法律關(guān)系

除了通過權(quán)力強制約束權(quán)力、以權(quán)利對抗權(quán)力外，還需要通過誠信引導信息處理者的榮譽感和責任感。追求經(jīng)濟效益最大化是數(shù)據(jù)權(quán)力、算法權(quán)力的內(nèi)生性問題，也是權(quán)力膨脹和權(quán)利濫用的原因。在權(quán)力制約的進路中，以誠信引導權(quán)力的作用意味著信息處理者必須將對信息主體的忠誠義務置于效益的核心位置，必須謹慎處理用戶數(shù)據(jù)，對信息實踐的風險誠實，保護個人信息[55]。其核心可以概括為信息處理者以倫理上的高標準和高要求進行的自律自治。對這種自我管理和自我合規(guī)，應當予以鼓勵，并通過一定的方式予以激勵。也唯有如此，信息主體和信息處理者才能進入一個信賴的場域，一方面，自然人通過知情同意原則建構(gòu)起對信息處理活動的初步信賴；另一方面，信息處理者在遵守前述“信賴”內(nèi)容的基礎(chǔ)上完成信息的自由流動[56]。

五、結(jié)語

個人信息保護從隱私權(quán)保護中分立出來是技術(shù)發(fā)展的必然。隱私權(quán)是信息能力平等的主體間的交往行為。個人信息保護為信息處理者對個人信息的處理行為。前者是一種雙向的、你來我往的交往；而后者則是一方施加給另一方的冷冰冰的處理。隱私權(quán)賴以維系的文明規(guī)則在信息處理者面前被漠視，毫無生存空間，在此前提下，公平信息實踐準則應運而生。

無論是權(quán)利保護模式，還是權(quán)力制約模式，實則殊途同歸，都是為了在個人信息的保護和利用間取得一種精細的平衡。筆者無意全盤否定個人控制，只是想強調(diào)平衡手段側(cè)重點的轉(zhuǎn)換。但正如筆者所討論的，公平信息實踐以維護個人控制權(quán)為核心的權(quán)利保護路徑，很大程度上依然沿循著保護隱私權(quán)的舊路，在實踐過程遭遇越來越多的詬病。大數(shù)據(jù)之父維克托·邁爾·舍恩伯格在其《大數(shù)據(jù)時代》中毫不諱言：“大數(shù)據(jù)的價值不再單純來源于它的基本用途，而更多源于它的二次利用，這就顛覆了當下隱私保護法以個人為中心的思想?！盵57]既然權(quán)利保護為核心的進路無法促進實質(zhì)公平，只是一種形式主義的產(chǎn)物，何不回歸權(quán)力制約，更多依賴于立法、行政、司法等公權(quán)之力，來推動個人信息保護的實質(zhì)性發(fā)展。當然，權(quán)力制約本身并非最終目的，而是一種手段。私法和公法也不是相互隔離、獨立的微觀世界，在法律上存在多樣的依賴關(guān)系。《個人信息保護法》有許多可圈可點之處，如對人臉識別的規(guī)定、對自動化決策的要求等，但是從本質(zhì)上，個人信息保護法中信息處理對同意規(guī)則的依賴，依然沿用的是權(quán)利保護的基本思路，而對于同意以外的合法性基礎(chǔ)，也過多依賴利益衡量等需要進行價值判斷的方法，缺少規(guī)則的確定性。

在數(shù)據(jù)權(quán)力視野下，從權(quán)利保障到權(quán)力制約的現(xiàn)實轉(zhuǎn)向，是國際社會探索個人信息保護幾十年實踐經(jīng)驗總結(jié)而成的理論成果，并非純粹的紙上談兵，而實現(xiàn)這一理論轉(zhuǎn)向，歐美各國舉步維艱，當然是因為權(quán)利進路的公平信息實踐已經(jīng)成為現(xiàn)行法的基礎(chǔ)，深入人心。但從更深層次探究，其實是西方法律文化本身極度推崇自由和自治所致。而中國的《個人信息保護法》已經(jīng)出臺，在未來的執(zhí)法過程中應當認識到東西方法治精神的不同，揚長避短，更多仰賴權(quán)力對數(shù)據(jù)權(quán)力進行制衡，才能從實質(zhì)意義上實現(xiàn)信息實踐中的公平。

注釋：

① 美國法上的隱私主要包括兩種，信息隱私和自決隱私(Decisional Privacy)。前者是關(guān)于個人信息如何被收集、使用及披露的，后者則關(guān)涉?zhèn)€人對其身體和家庭做決定的自由。

② Westin認為隱私權(quán)能夠?qū)崿F(xiàn)以下四種功能：①實現(xiàn)個人自治(Personal Autonomy)，控制自己何時公開個人信息；②實現(xiàn)情感釋放(Emotional release)，保持自己的個性，保有社會或制度規(guī)范所允許的個體差異；③實現(xiàn)自我評價(Self-evaluation)，自我反省，樹立正確的自我認知；④實現(xiàn)有限且受保護的通信(Limited and Protected Communication)，不受到外界監(jiān)聽或攔截。

③ 歐洲人權(quán)法院認為“使用和公布存儲在秘密記錄冊中的與個人私生活有關(guān)的信息屬于第8條第1款的范圍”。

④ 美國實在法中，從未采用個人數(shù)據(jù)保護或信息隱私作為新的隱私概念，如1974年《隱私法》(Privacy Act)、《兒童網(wǎng)絡(luò)隱私法案》(COPPA)、《駕駛員隱私保護法》(DPPA)、《隱私法》(Privacy Act)、《家庭教育和隱私法》(FERPA)，甚至是2018年《加州消費者隱私法案》也依然采用隱私概念。

⑤ Whalen v. Roe, 429 U.S. 589 (1977)。主流觀點認為，聯(lián)邦最高法院該案中對信息隱私同屬于憲法隱私權(quán)做出了肯定。雖然大部分的聯(lián)邦巡回法庭都確認存在憲法上的信息隱私權(quán)，但聯(lián)邦第六巡回法庭僅在一個非常狹義的角度理解憲法上的信息隱私權(quán)?！叭绻麤]有聯(lián)邦最高法院的明確指示，我們將不會在超出Whalen案的場景時，更廣泛地承認違反個人信息的披露是侵犯一般憲法權(quán)利?！眳⒁姡篔.P. v. DeSanti, 653 F.2d 1080,1090 (6th Cir. 1981),1089。

⑥ 1848年7月，德國議會代表Friedrich Martiny在演說中呼吁，隱私權(quán)是生而享有的自然權(quán)利，該權(quán)利只能遭損害，無法被拓展。

⑦ 對于《憲章》第8條的性質(zhì)存在爭議，因為第8條非常吊詭地以3個 小條款的形式確立了個人信息受法律保護，而非像其他基本權(quán)利條款一樣規(guī)定為一項絕對的基本權(quán)利。

⑧ 尤其是山東徐玉玉案引發(fā)了公眾對個人信息泄露導致個人受傷害的關(guān)切。參見楊立新：《個人信息：法益抑或民事權(quán)利——對〈民法總則〉第111條規(guī)定的“個人信息”之解讀》，《法學論壇》，2018年第33卷第1期，第34—45頁。

⑨ 規(guī)范性與描述性的區(qū)別在于，描述性法律理論試圖解釋法律是什么、為什么以及法律的重要性。規(guī)范性法律理論則關(guān)注法律應當是什么。換言之，描述性法律理論是關(guān)于事實的理論，而規(guī)范性法律理論則是關(guān)于價值的理論。參見劉星：《描述性的法律概念和解釋性的法律概念》，《中外法學》，1992年第4期，第17—23頁。

⑩ 對于隱私權(quán)保護邏輯套用個人信息保護所產(chǎn)生的問題，參見周漢華：《平行還是交叉：個人信息保護與隱私權(quán)的關(guān)系》，《中外法學》， 2021年第33卷第5期，第1167—1187頁。