摘 要：從范圍上看，隱私、個人信息、數(shù)據(jù)三者之間存在重合，個人信息的范圍最大，數(shù)據(jù)的范圍次之，隱私的范圍最小。從屬性上看，隱私僅具有人格權屬性，數(shù)據(jù)僅具有財產(chǎn)權屬性，而個人信息兼具人格權屬性和財產(chǎn)權屬性。個人信息保護中存在著不同的利益訴求，應把握好數(shù)據(jù)開發(fā)與信息保護之間的平衡。從世界立法演進歷程來看，存在著一條從名譽權到隱私權再到個人信息權最后到數(shù)據(jù)權的發(fā)展軌跡。在個人信息保護立法方面，形成了以美國立法為代表的分散立法保護模式和以歐盟立法為代表的統(tǒng)一立法保護模式。二者各有優(yōu)劣，分別根植于獨特的法治體系。我國隱私保護、個人信息保護、數(shù)據(jù)保護的三元法律體系已初步形成。應通過邏輯自洽的個人信息保護和數(shù)據(jù)保護法律制度體系實現(xiàn)信息自由和隱私保護并重，通過出臺《數(shù)字經(jīng)濟促進法》《個人信息保護法實施條例》等處理好個人信息保護立法體系的內(nèi)部協(xié)調(diào)與外部銜接，完善關于數(shù)據(jù)分級分類、權利體系、救濟機制等的具體規(guī)范。

關鍵詞：隱私；個人信息；大數(shù)據(jù)；利益平衡；數(shù)字經(jīng)濟促進法

目次

一、問題的提出

二、隱私、個人信息和數(shù)據(jù)的內(nèi)在關聯(lián)與外在區(qū)別

三、立法模式的比較選擇與邏輯自洽

四、立法體系的內(nèi)部協(xié)調(diào)與外部銜接

五、隱私、個人信息和數(shù)據(jù)保護三元立法的優(yōu)化路徑

結 語

一、問題的提出

現(xiàn)代社會正逐漸從“身份互聯(lián)”時代邁入“數(shù)據(jù)互聯(lián)”時代，加強個人信息保護已成為時代關注焦點和國內(nèi)外立法重點。歐盟在1995年《數(shù)據(jù)保護指令》（Data Protection Directive）的基礎上于2016年通過了《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱GDPR），將個人數(shù)據(jù)（信息）權視為基本人權。GDPR被稱為“史上最嚴個人數(shù)據(jù)保護條例”。美國加利福尼亞州于2018年頒布了《消費者隱私法案》（California Consumer Privacy Act of ?2018，以下簡稱CCPA），改變了美國長期以來的個人信息自律保護模式。CCPA被認為是“美國國內(nèi)最嚴格的隱私立法”。

近年來，我國的個人信息保護立法進程正在加快。2012年通過的《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》和2013年修訂的《消費者權益保護法》率先明確規(guī)定自然人的個人信息受法律保護；2016年通過的《網(wǎng)絡安全法》從網(wǎng)絡安全角度對個人信息保護作出了專門性規(guī)定；2018年通過的《電子商務法》對電子商務中的個人信息保護提出了明確要求；2020年通過的《民法典》在肯定《民法總則》第111條對個人信息進行保護的基礎上，將人格權獨立成編，擴大了個人信息保護范圍；另外，2015年《刑法修正案（九）》、2018年《個人信息安全規(guī)范》、2019年《兒童個人信息網(wǎng)絡保護規(guī)定》、2021年《數(shù)據(jù)安全法》等也分別從打擊侵犯公民個人信息的犯罪、嚴格個人信息保護標準、加強兒童個人信息保護、加強數(shù)據(jù)安全等角度對個人信息保護作出了規(guī)定。為進一步解決我國個人信息保護立法的碎片化問題，第十三屆全國人民代表大會常務委員會第三十次會議于2021年8月20日通過了《中華人民共和國個人信息保護法》（以下簡稱《個保法》），引發(fā)了社會普遍關注和學界廣泛熱議。

然而，無論是在理論研究層面，還是在立法實踐層面，個人信息保護都面臨著諸多困境。在理論研究層面，不僅存在著個人信息、隱私與數(shù)據(jù)等術語的概念模糊、個人信息權法律屬性不清等微觀問題，而且存在著關于個人信息權利保護模式、實現(xiàn)路徑等方面的宏觀問題。在立法實踐層面，不僅存在著關于個人信息保護的篇章布局、條文表述等技術問題，而且存在著關于目的導向、價值取舍等方面的理念問題。在數(shù)字經(jīng)濟時代，如何處理個人信息、隱私與數(shù)據(jù)之間的關系？如何構建具有中國特色的個人信息保護法律體系？這些問題值得深入研究。

基于此，本文以數(shù)字經(jīng)濟時代背景下的個人信息保護為著眼點，以《個保法》相關條文為切入點，以完善我國隱私、個人信息、數(shù)據(jù)保護的法治路徑為落腳點，研究當今社會個人信息保護中的利益平衡問題。具體研究從以下四個層面依次展開：首先，從厘定隱私、個人信息與數(shù)據(jù)的概念出發(fā)，探討三者在利益范圍、利益屬性、利益主體等方面的內(nèi)在關聯(lián)和本質(zhì)區(qū)別；而后，梳理學界關于個人信息權益屬性的理論觀點和分歧焦點，總結域外相關先進立法經(jīng)驗和成熟做法，論證隱私、個人信息和數(shù)據(jù)三元分治法律體系的內(nèi)在邏輯；繼而，基于法律規(guī)范體系化要求，探討個人信息保護立法的內(nèi)部協(xié)調(diào)和外部銜接問題；最后，從制度創(chuàng)新角度，就我國的三元法律體系構建問題，從數(shù)據(jù)分級分類、權利體系構建、救濟機制再塑等方面提出具體建議。

二、隱私、個人信息和數(shù)據(jù)的內(nèi)在關聯(lián)與外在區(qū)別

在現(xiàn)階段，對于隱私、個人信息和數(shù)據(jù)三者概念的使用、表述和界定，無論是在理論上，還是在法律上，都比較模糊、混亂，甚至存在諸多誤解。對三者的概念進行界分，勾勒出差異化保護的制度框架和規(guī)則體系，厘清三者之間的關系，無疑是事關個人信息保護立法理念和立法模式的基礎性工作。

（一）利益范圍的重合

GDPR把“個人數(shù)據(jù)”（personal data）界定為“與已識別或可識別的自然人相關的任何信息”。德國《聯(lián)邦數(shù)據(jù)保護法》把“個人數(shù)據(jù)”界定為“所有與已識別或可識別的自然人有關的信息”。在美國法中，廣泛使用“個人可識別信息”和“大隱私權”概念，這兩個概念與“個人數(shù)據(jù)”概念可以被互換使用，由此，個人信息及數(shù)據(jù)都被納入隱私保護法的調(diào)整范圍。

在我國法律中，隱私、個人信息和數(shù)據(jù)各有獨特的內(nèi)涵。《民法典》在其第四編“人格權編”中設專章即第六章規(guī)定了“隱私權和個人信息保護”問題。其中，第1032條對“隱私”作出界定，把“隱私”定義為“自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”。第1034條對“個人信息”作出界定，把“個人信息”定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”。《網(wǎng)絡安全法》第76條關于“個人信息”的定義與《民法典》第1034條的規(guī)定相類似，而《個保法》第4條把“個人信息”界定為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。《數(shù)據(jù)安全法》對“數(shù)據(jù)”和“信息”作出了區(qū)別對待，在第3條中對“數(shù)據(jù)”作出界定，即“任何以電子或者其他方式對信息的記錄”。同時，我國《民法典》第1034條第3款規(guī)定，“個人信息中的私密信息，適用有關隱私權的規(guī)定；沒有規(guī)定的，適用有關個人信息保護的規(guī)定”。

從廣泛意義上看，個人信息中包含了隱私，侵犯隱私的行為必然侵犯個人信息權益。隱私在本質(zhì)上是信息性的，對于“將隱私視為信息”的觀點，理論上應無異議。從側(cè)重點上看，隱私強調(diào)“私密性”，個人信息強調(diào)“身份識別性”；從表現(xiàn)形態(tài)看，個人信息的形態(tài)是“信息”，而隱私的形態(tài)則不限于信息形態(tài)；從利益相關者角度看，隱私僅具有個體性，與他人利益或公共利益無關，而個人信息與國家利益、公共利益密切相關。作為隱私權客體的隱私，與個人生存、自由、尊嚴密不可分；作為個人信息權益客體的信息，已經(jīng)從隱私中獨立出來，成為了一種獨立的法律保護對象。因此，從范圍上看，隱私、個人信息與數(shù)據(jù)三者之間雖然存在著某種重合，但整體而言，個人信息的范圍最大，數(shù)據(jù)的范圍次之，隱私的范圍最小。一方面，個人信息與隱私存在交叉重合之處，個人信息中的敏感信息通常是隱私權保護的客體，隱私中的私人信息也往往屬于個人信息范疇。另一方面，數(shù)據(jù)是表達信息的一種方式，是以二進制代碼所表現(xiàn)出來的信息內(nèi)容，屬于信息的一部分。從法學規(guī)范意義角度講，我們有必要厘清隱私、個人信息、數(shù)據(jù)三者概念的內(nèi)涵和外延，奠定法律賦權的基礎。但也必須認識到，三者之間不是非此即彼的關系，由于個體的差異性和主體的主觀性，欲在實踐層面對三者進行嚴格界分，實屬不易，理論上的區(qū)分更多地具有描述性意義。著眼于未來，我們?nèi)詰诶碚搶用婧土⒎▽用胬迩咫[私、個人信息、數(shù)據(jù)這三種法律關系客體的概念，進而確定相關權利體系、權利內(nèi)容和權利屬性，為司法實踐提供具體指引。

（二）利益屬性的差異

隱私權屬于人格權，對此觀點，學界并無爭議。然而，關于個人信息權的本質(zhì)屬性，學界爭論已久，形成了以下幾種代表性觀點：一是基本人權說。該學說主要來源于歐盟。其認為個人信息權具有憲法屬性，屬于“公民的人格尊嚴不受侵犯”的范疇。“不論個人信息由何人收集，其本質(zhì)上還是有關信息主體的信息記錄，是公民個人的基本權利。”二是隱私權說。該學說主要來源于美國。其認為個人信息屬于傳統(tǒng)隱私范疇，基于場景理論的隱私判斷模式是個人信息保護的基礎。三是新型人格權說。該學說主要來源于德國。其認為個人信息權以人格利益為保護對象和權利內(nèi)容，具有傳統(tǒng)人格權的本質(zhì)特征，但又不同于傳統(tǒng)人格權，是一種新型的人格權。四是新型民事權利說。該學說認為，個人信息權并非傳統(tǒng)私法中的人格權、財產(chǎn)權或知識產(chǎn)權，而是互聯(lián)網(wǎng)時代的一種新型民事權利。五是公共物品說。該學說認為，個人信息具有公共物品屬性，故應弱化自然人對個人信息的占有，強化個人信息的公共利益價值，允許相關主體對個人信息進行收集、分析和使用。上述各學說均有一定的道理，只是著眼點和側(cè)重點不同。整體而言，隱私僅具有人格屬性，數(shù)據(jù)僅具有財產(chǎn)權屬性，而個人信息兼具人格權屬性和財產(chǎn)權屬性。“在我國法上，自然人就其個人信息所享有的民事權益是一項新型人格權益，其與隱私權在權利性質(zhì)、許可使用、侵害行為以及處理規(guī)則等方面存在差異。”而“數(shù)據(jù)的價值及其對于經(jīng)濟發(fā)展的潛在重要性，尤其是它對社會生活方方面面的影響，將推動決策者尋找更好的解決方案”。根據(jù)個人信息保護的要求，個人信息只有在經(jīng)過“去識別化”之后，方能被使用，而在“去識別化”后形成的數(shù)據(jù)已不再與自然人人格權屬性相關，因此，數(shù)據(jù)僅具有財產(chǎn)權屬性，不具有人格權屬性。總之，隱私和個人信息更多地涉及人格權和受憲法保護的自由、尊嚴和安全，數(shù)據(jù)則不然，尤其是經(jīng)過匿名化處理、不再具備可識別性特征的個人信息，更多地體現(xiàn)出財產(chǎn)價值。

關于數(shù)據(jù)權利的法律屬性，存在物權說、新型財產(chǎn)權說、經(jīng)營權說、資產(chǎn)權說等多種觀點。當然，也有學者認為，關于數(shù)據(jù)，存在個人數(shù)據(jù)、企業(yè)數(shù)據(jù)和國家數(shù)據(jù)之分，個人數(shù)據(jù)所承載的是純正的新興法益，而企業(yè)數(shù)據(jù)和國家數(shù)據(jù)所承載的則是不純正的新興法益，數(shù)據(jù)法益可以分為原始價值性利益和派生工具性利益。筆者認為，將數(shù)據(jù)權利作為一種新型財產(chǎn)權，是比較合理的。一方面，數(shù)據(jù)蘊含著重要的財產(chǎn)價值，數(shù)據(jù)財產(chǎn)是信息社會的基礎性資源，數(shù)據(jù)控制者可以利用數(shù)據(jù)獲得經(jīng)濟利益，因而數(shù)據(jù)權利是一種財產(chǎn)權。另一方面，數(shù)據(jù)不同于傳統(tǒng)的“物”，不能將其作為絕對權保護對象，因而數(shù)據(jù)權利是一種新型的財產(chǎn)權利。隨著數(shù)據(jù)價值的不斷增強以及數(shù)字經(jīng)濟的不斷發(fā)展，數(shù)據(jù)權利問題正日益凸顯。“在信息時代，信息作為戰(zhàn)略性資源，其自由流動具有重要的基礎性意義。”筆者認為，將此處的“信息”理解為“數(shù)據(jù)”，更為恰當。當前，數(shù)據(jù)已成為重要的生產(chǎn)要素，數(shù)字經(jīng)濟已成為國家重要的經(jīng)濟業(yè)態(tài)，數(shù)據(jù)競爭已成為國際競爭的重要領域。

由此可見，隱私、個人信息和數(shù)據(jù)這三種法律關系客體既有聯(lián)系，也有區(qū)別，三者的指向可能具有同一性，需要根據(jù)法律關系客體之于權利主體的私密程度以及二者在外在表征上的緊密程度進行具體判斷。隱私、個人信息與數(shù)據(jù)三者的敏感性不同，法律對它們的保護力度亦不相同。雖然“并不存在絕對受到保護的、無需利益衡量即可推定出侵害行為違法性的核心領域（即隱秘領域）”，但是，隱私、個人信息、數(shù)據(jù)三者所蘊含的信息的敏感度明顯不同，因此，對它們進行區(qū)別對待，是各國立法的通行做法。隱私權與個人信息權在權利性質(zhì)、侵權行為類型、能否許可他人使用、處理規(guī)則等方面存在諸多差異。通過回顧我國關于隱私權的立法進路，不難發(fā)現(xiàn)，我國相關立法經(jīng)歷了從“通過名譽權保護隱私”，到“將隱私權作為獨立人格利益”，再到“明確承認隱私權”三個階段。綜上所述，隱私屬于嚴格意義上的人格利益，且不具有任何財產(chǎn)權屬性，而信息利益主要應被歸屬于法律上的人格利益，具有一定的財產(chǎn)權屬性，數(shù)據(jù)則僅具有財產(chǎn)權屬性，無人格權屬性，轉(zhuǎn)讓和利用的自由程度最高。

（三）利益主體的多元

在個人信息保護法律關系中，存在著不同的利益主體，不同的利益主體代表著不同的利益單元。自然人是個人信息的首要主體，其關于個人信息的人格利益訴求是個人信息保護的基本出發(fā)點。雖然法人以及非法人組織依法可以享有商譽、名譽等人格權益，但從嚴格意義上講，個人信息所蘊含的人格權益應當由自然人所獨享。甚至有學者認為：“法律對個人信息加以保護，本質(zhì)上是保護人格利益（人的尊嚴和自由），而自然人對其個人信息，無論是單一的還是集合的，其直接經(jīng)濟價值都是可以忽略不計的。”

相關爭論在于，企業(yè)、社會組織、政府機構對在自身收集、加工大量個人信息過程中形成的數(shù)據(jù)是否享有權利？享有什么權利？當前，數(shù)據(jù)已經(jīng)與資本、技術、土地、勞動等一并成為重要的生產(chǎn)要素和稀缺資源，但始終存在著關于個人信息權屬的爭議，即個人信息權益是歸自然人所有，還是歸信息收集利用者（企業(yè)、社會組織、政府機構）所有？只有在產(chǎn)權清晰的制度框架內(nèi)，企業(yè)才能合理、合法地收集、利用數(shù)據(jù)，關于個人信息保護的訴求才具備法理基礎。這里主要涉及兩個問題：其一，用戶在使用互聯(lián)網(wǎng)平臺時所產(chǎn)生的數(shù)據(jù)，是歸個人所有，還是歸企業(yè)所有？其二，企業(yè)可否收集網(wǎng)絡留言、用戶點贊等公開信息，進而進行“數(shù)據(jù)識人”？我國《民法典》第127條承繼了《民法總則》第127條之規(guī)定，確立了對個人信息和數(shù)據(jù)的二元保護體系，經(jīng)過匿名化處理的個人信息所形成的數(shù)據(jù)可以成為財產(chǎn)權益的客體，被法人或非法人組織享有。在現(xiàn)代社會，建立在大量個人信息基礎上的數(shù)據(jù)，無論是對于企業(yè)發(fā)展和行業(yè)進步，還是對于社會治理，都具有重要意義，數(shù)據(jù)和信息的所有權應當歸收集者所有，因為其關涉企業(yè)利益、國家利益和公共利益。譬如，依據(jù)大數(shù)據(jù)，相關部門可以有效地防控疫情、打擊犯罪、預警危機，這正是“個人信息的公共管理價值”所在。尤其值得注意的是，對于個人敏感信息以及脆弱群體的個人信息的保護，已經(jīng)超越了個體層面，具有了特殊的公共利益價值。譬如，對未成年人的個人信息進行特殊保護，已是國內(nèi)外立法的普遍做法。GDPR明確規(guī)定，兒童的個人數(shù)據(jù)需要得到特殊保護。我國香港地區(qū)2013年《個人資料（隱私）保護條例》強化和細化了對未成年人等弱勢群體的個人信息的保護措施。我國《網(wǎng)絡安全法》第13條特別規(guī)定了未成年人個人信息保護問題，而《兒童個人信息網(wǎng)絡保護規(guī)定》也專門規(guī)定了未滿十四周歲未成年人個人信息安全問題。總之，在大數(shù)據(jù)時代，個人信息保護問題十分復雜，涉及不同的利益主體、不同的立場以及不同的訴求，不僅關涉技術問題和法律問題，而且事關商業(yè)模式和經(jīng)濟發(fā)展問題。

但問題在于，在大數(shù)據(jù)時代，算法為王，如果對算法以及數(shù)據(jù)驅(qū)動型企業(yè)缺乏有效監(jiān)管，則不僅極易對個人信息權造成侵害，還有可能引發(fā)社會治理危機。大規(guī)模的信息采集和數(shù)據(jù)處理大大增加了數(shù)據(jù)被濫用、權利被侵害的風險，使公民的人身財產(chǎn)安全受到嚴重威脅。如今，完善個人信息保護立法已成為社會共識，但對于如何在保護個人信息安全與促進數(shù)字經(jīng)濟發(fā)展之間尋求平衡，尚未形成共識。具言之，對于個人信息保護立法，到底是以保護自然人人格利益為主要價值取向，還是以促進數(shù)據(jù)產(chǎn)業(yè)發(fā)展為主要價值取向，抑或是以實現(xiàn)政府公共管理職能為主要價值取向？對于這一問題，不同的回答將導致不同的立法取向，進而導致不同的制度設計。事實上，我國的個人信息保護立法確實面臨著兩難境地：若采取過嚴的個人信息保護策略，則可能影響企業(yè)的創(chuàng)新，乃至對數(shù)字經(jīng)濟發(fā)展產(chǎn)生不利影響；而若采取過松的個人信息保護策略，則必然會侵犯公民私權，進而影響法治建設進程。質(zhì)言之，若個人信息保護范圍過窄，則權利有受到侵害的風險；而若保護范圍過寬，則會影響信息的自由流動，阻礙數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。

隱私權的主體只能是自然人，企業(yè)、社會組織和政府機構等其他主體都不能成為隱私權的主體；而個人信息權的主體則不僅包括自然人，還包括法人、非法人組織等個人信息的控制者。在某些情況下，雖然企業(yè)、社會組織、政府機構等法人或非法人組織也享有信息保護權，但這種信息保護權與個人信息保護權有著本質(zhì)區(qū)別，將其定位為信息財產(chǎn)權即數(shù)據(jù)權更為合適。換言之，經(jīng)過收集、加工和處理的個人信息，不再是個人信息，而是“公共數(shù)據(jù)”或“企業(yè)數(shù)據(jù)”，其利益主體不再是自然人，而是數(shù)據(jù)的生產(chǎn)者或控制者。因此，在我國的司法實踐中，當“個人”作為主體時，我們往往使用“信息”這一概念，強調(diào)個人的知情權、控制權、處理權等，而當“企業(yè)”等作為主體時，我們往往使用“數(shù)據(jù)”這一概念，強調(diào)數(shù)據(jù)的經(jīng)濟價值或管理價值。

三、立法模式的比較選擇與邏輯自洽

數(shù)字經(jīng)濟的發(fā)展壯大，需要法治保駕護航。“一般人格權的主要問題在于它的不確定性，因為對一個人的保護，往往是以犧牲另一個人的權利或利益為代價的。因此在發(fā)生爭議時，必須進行利益衡量。”學界已經(jīng)認識到了個人信息安全與數(shù)字經(jīng)濟發(fā)展之間的兼容性問題。有學者提出，應建立以“三方平衡”為基礎的“兩頭強化”方案，即“強化對個人敏感信息的保護”，“強化對個人一般信息的利用”，以期最大限度地調(diào)和個人信息保護與企業(yè)信息利用之間的矛盾。

（一）個人信息保護立法模式的學界爭議

關于個人信息保護的必要性和緊迫性，社會各界已無異議，但關于個人信息保護的具體路徑和立法模式，則存在一定分歧。學界的分歧主要體現(xiàn)為兩個層面：其一，對于個人信息所蘊含的精神利益和經(jīng)濟利益，是采取一元保護模式，還是采取二元保護模式？其二，對于個人信息，是采取私法保護模式，還是采取公法保護模式，抑或采取其他保護模式？

就第一個層面而言，主要存在一元保護模式和二元保護模式之間的分歧。所謂一元保護模式，是指通過人格權來實現(xiàn)對自然人等民事主體的精神利益與經(jīng)濟利益的保護。該觀點從我國民事立法實際和司法實踐出發(fā)，認為我國《民法典》允許人格權主體對姓名、名稱、肖像、個人信息等人格要素進行商業(yè)化利用，當人格權受到侵害并產(chǎn)生精神損害和財產(chǎn)損害時，人格權主體可以請求損害賠償，因此，只要明確了自然人對其個人信息享有人格權益，即可承認自然人同時享有人格權益中的精神利益和經(jīng)濟利益，而無需分別設立單獨的人格權和財產(chǎn)權。所謂二元保護模式，是指對于人格權益中的精神利益與經(jīng)濟利益，采取分別立法保護的模式。該觀點認為，精神利益的保護模式與經(jīng)濟利益的保護模式之間存在著重大差異，一元保護模式不符合人格權的內(nèi)在邏輯。具體而言，有學者主張，應在人格權、財產(chǎn)權之外設立商事人格權，以涵攝具有經(jīng)濟利益的人格權；也有學者主張，應通過創(chuàng)設商品化權或形象權等新型無形財產(chǎn)權，實現(xiàn)對人格權益中的各種經(jīng)濟利益的保護；還有學者認為，具有人格要素的商品化權益屬于一種獨立的民事利益，而非人格權，我國通過民法、商標法、反不正當競爭法等法律法規(guī)已形成了二元保護的立法格局；當然，也有學者認為，對人格權的商品化利用并非創(chuàng)設了一種新的獨立權利，而是人格權的利用權能發(fā)生了擴張，否則，難以將所謂的新的權利與原有的人格權區(qū)分開來。

就第二個層面的分歧而言，主要有三種觀點：一是私法保護為主說。該觀點認為，個人信息具有人格權屬性，故應通過侵權責任法等私法強化自然人對其個人信息的控制，可借鑒歐美場景理論下的風險控制模式，建立差異化損害賠償制度，甚至可采用賦權保護方式，提升大數(shù)據(jù)時代下自然人的弱勢地位，調(diào)動個體維護個人利益的積極性，從而實現(xiàn)權利保護、信息利用和公共利益之間的平衡。二是公法保護為主說。該觀點認為，在大數(shù)據(jù)時代，個人信息保護面臨著系統(tǒng)性風險，自然人對個人信息的控制遭到弱化，私法保護模式下的個人信息自決權往往流于形式，這不利于信息流通，加重了企業(yè)負擔，阻礙了信息產(chǎn)業(yè)發(fā)展，因此，應從公共產(chǎn)品角度肯定個人信息流通的公共價值，從公法保護角度進行風險控制，并通過專門機構對個人信息的收集、使用與控制進行監(jiān)管，以達到促進個人信息的共享與使用之目的。換言之，“個人信息控制權是需要通過個人信息保護法來確立的一項新型公法權利”。政府機構對數(shù)據(jù)這種公共物品享有信息管理權，有利于發(fā)揮政府在維護公共利益方面的能動作用。三是綜合保護說。該觀點認為，當今的個人信息保護立法模式已經(jīng)超越了傳統(tǒng)的公私法二分的立法模式，故應采用綜合立法模式，即融合公法、私法、社會法保護模式，既確認個人信息權利，又確保個人信息安全。

在大數(shù)據(jù)時代，個人信息的利益主體多元化，利益訴求多樣化，利益沖突加劇化，因此，無論是傳統(tǒng)的公法保護模式，還是傳統(tǒng)的私法保護模式，都不能因應個人信息保護的復雜形勢。個人信息不僅對于自然人的人格尊嚴意義重大，而且對于經(jīng)濟發(fā)展、犯罪預防、社會管理、疫情應對、國家安全等具有重要價值。多元的利益格局決定了保護個人信息的方式不是單一的，而是綜合的。個人信息所蘊含的人格權屬性和財產(chǎn)價值屬于侵權責任法等傳統(tǒng)民法的保護對象，然而，在大數(shù)據(jù)時代，由于信息主體與信息控制者之間地位懸殊，故需引入消費者權益保護法等經(jīng)濟法規(guī)范，對違反禁止性規(guī)定的經(jīng)營者作出懲罰。尤為值得注意的是，在當今社會，公權力部門是個人信息的控制者，其極有可能以維護公共利益之名，侵害個人信息權益。因此，需要引入行政法等公法，防范公權力部門在社會治理過程中濫用個人信息。筆者認為，即使在制定了統(tǒng)一的個人信息保護法的背景下，仍應采取公私法協(xié)同推進的多元化法治路徑，充分發(fā)揮部門法的功能，建立綜合治理模式，實現(xiàn)個人信息保護法律體系內(nèi)部的統(tǒng)一和協(xié)調(diào)。《個保法》除了規(guī)定了在平等主體之間處理個人信息問題的具體規(guī)則之外，還直接規(guī)定了國家機關處理個人信息的基本規(guī)范，這是公法關系在個人信息保護領域的延伸和體現(xiàn)。因此，個人信息保護法并非單純的私法或公法，而是具有社會法的屬性。

（二）個人信息保護域外立法模式

從世界范圍來看，關于個人信息保護立法，主要形成了以美國立法為代表的分散立法保護模式和以歐盟立法為代表的統(tǒng)一立法保護模式。

美國的分散立法保護模式也可被稱為隱私權保護模式或行業(yè)自律保護模式，是指在隱私保護法的基礎上，針對特定行業(yè)或領域的個人信息保護問題，制定單行法。所謂“分散立法保護”，一方面體現(xiàn)為美國缺乏統(tǒng)一的適用于各個州、各個行業(yè)、各個領域的個人信息保護立法，另一方面體現(xiàn)為美國沒有統(tǒng)一的個人信息保護執(zhí)法機構和監(jiān)管機構。在美國，有關個人信息保護的法律主要有1966年的《信息自由法案》和1974年的《隱私法案》。1974年的《隱私法案》可以說是一部專門性的個人隱私保護法，其為特定行業(yè)或領域的隱私保護立法提供了基本原則和方針，相關單獨立法包括《公平信用報告》《錄像帶隱私保護法》《美國兒童在線隱私保護法》《金融服務現(xiàn)代法》等。在互聯(lián)網(wǎng)時代，美國法律對隱私權的范疇和保護范圍均有所擴張。整體而言，美國立法傾向于鼓勵信息自由流通，因此，除商業(yè)秘密及一些明顯涉及公民隱私的政府記錄之外，任何人都有權獲取相關信息。可見，美國對于個人信息保護的立法較為分散，更多地強調(diào)商業(yè)利益之間的平衡，著重解決個人信息與商業(yè)利益之間的矛盾，強調(diào)各行業(yè)內(nèi)信息控制者、信息處理者以及信息服務商的行業(yè)自律。質(zhì)言之，美國并未采取“以私權對抗公權”的立法模式為個人信息提供強有力保護，而是通過“自我規(guī)制”模式即行業(yè)自律模式來保護個人信息。

歐盟的統(tǒng)一立法保護模式，是指通過制定統(tǒng)一的法律制度來對個人信息進行保護。所謂“統(tǒng)一立法保護”，一方面體現(xiàn)為GDPR是適用于各行各業(yè)且貫穿于個人信息保護各環(huán)節(jié)的系統(tǒng)法律規(guī)范，另一方面體現(xiàn)為歐盟要求其各成員國建立統(tǒng)一、獨立、權威的數(shù)據(jù)監(jiān)管機構。歐盟關于個人信息保護的法律集中體現(xiàn)在GDPR中，其從公民的基本權利與自由出發(fā)，確定了較為嚴格的監(jiān)督管理標準和措施，并對被遺忘權這一新興權利作出了正式規(guī)定。通觀歐盟相關立法，不難發(fā)現(xiàn)，歐盟采取了“私權至上”的立法模式，即在對保護個人信息權和促進信息自由流通進行價值衡量時，更傾向于前者。

上述兩種模式各有優(yōu)劣，不存在所謂的“最佳選擇”，兩種模式與各自的文化傳統(tǒng)、政治制度、法治體系密不可分。美國的分散立法保護模式反映出對個人信息保護范圍的限縮，而歐盟的統(tǒng)一立法保護模式則反映出對個人信息保護范圍的擴張，這一差異源于根深蒂固的法律文化差異。可見，歐盟國家不十分重視大數(shù)據(jù)技術的發(fā)展，這阻礙了科技的創(chuàng)新和進步,而美國則過于重視經(jīng)濟發(fā)展，忽略了對個人隱私的保護。美國的個人信息保護模式有利于數(shù)據(jù)開發(fā)，是推動美國數(shù)據(jù)產(chǎn)業(yè)發(fā)展的制度性因素，而歐盟的個人信息保護模式強調(diào)人格尊嚴的優(yōu)先地位，彰顯了法律制度的本源性價值。

就我國而言，個人信息保護立法的路徑應建立于社會主義法律體系框架之內(nèi)和法治傳統(tǒng)基礎之上。我國個人信息保護立法的時代背景與歐美國家的立法背景顯著不同，大數(shù)據(jù)技術的飛速發(fā)展和廣泛應用極大地改變了個人信息的應用場景和表現(xiàn)形態(tài)，個人信息保護立法進程中的利益衡量和制度選擇都面臨著新的挑戰(zhàn)。無論是歐盟的以統(tǒng)一立法規(guī)制為主導的保護模式，還是美國的以市場自我規(guī)制為主導的保護模式，都不能完全適應我國當下的市場經(jīng)濟發(fā)展現(xiàn)狀。因此，我們需要建立多元的治理框架，實現(xiàn)個人信息保護與數(shù)據(jù)開發(fā)利用的二元價值平衡。綜合考量我國獨特的文化傳統(tǒng)背景、行政管理體制和數(shù)字經(jīng)濟發(fā)展需要，筆者建議開辟第三條立法道路，即綜合借鑒美國和歐盟的兩種立法保護模式，采取體系性法律保護模式，建立邏輯自洽的個人信息保護法律制度體系，實現(xiàn)信息自由和私權保護的并重，在充分保護個人信息控制權的同時，鼓勵信息自由流通。

（三）隱私、個人信息、數(shù)據(jù)三元分治的內(nèi)在邏輯

個人信息保護制度與隱私權制度有著重大差別。其中，最重要的表現(xiàn)是，經(jīng)過去識別化處理的個人信息可以得到合理利用乃至商業(yè)化利用，而隱私無論如何都不能被商業(yè)化利用。換言之，隱私權作為人格權，具有純粹的人格權屬性，不能被自由交易和處分。但個人信息已經(jīng)具有了相當強的社會屬性，其兼具人格權和財產(chǎn)權的特點。因此，對隱私的保護，完全是基于個人利益的，而在保護個人信息時，則需要考慮個人、企業(yè)、政府等多方主體的利益。質(zhì)言之，個人信息權的主體是自然人，客體是個人信息，具有人格權和財產(chǎn)權雙重屬性；而數(shù)據(jù)權的主體是數(shù)據(jù)的處理者即法人或非法人組織，客體是數(shù)據(jù)，僅具有財產(chǎn)權屬性。筆者認為，個人信息權無論是一種“權利”，還是一種“權益”，其雖然包含著一定的財產(chǎn)利益，但仍應將其主要作為人格權益對待，不能使其直接被他人利用。詳言之，他人只有在征得個人信息權利主體的同意后，方可利用和轉(zhuǎn)讓個人信息并取得財產(chǎn)利益。從這個角度看，隱私權的保護對象是自然人不愿意被他人所知的信息，而個人信息權的保護對象是自然人愿意被他人所知但不愿意被他人濫用的信息。可見，對隱私權和個人信息權進行法律保護的進路完全不同。保護隱私權的目標在于禁止他人侵入及公開隱私，而保護個人信息權的目標在于保護個人的意愿及個人控制自己信息的權利。

數(shù)據(jù)保護更具特殊性。在個人層面，數(shù)據(jù)可以等同于信息，個人信息即個人數(shù)據(jù)。單一的個人信息或數(shù)據(jù)沒有經(jīng)濟價值，通過隱私保護法和個人信息保護法對其加以保護即可。只有當大量承載個人信息的數(shù)據(jù)匯聚在一起并成為數(shù)據(jù)集合時，相關數(shù)據(jù)才具有經(jīng)濟價值，才存在對其進行單獨保護的必要，即將其視為一種新的權利客體來保護。經(jīng)過收集、整理、加工、脫敏等技術和手段處理的海量數(shù)據(jù)，凝聚著加工者的勞動和智慧，其與原來的個人信息主體之間的關系已經(jīng)被切斷，成為應在法律上單獨受到保護的對象。在信息時代，大數(shù)據(jù)具有大量、高速、多樣、低價值密度等特點，這決定了大數(shù)據(jù)具有極為重要的商業(yè)價值、經(jīng)濟價值和社會價值，是企業(yè)、政府機構、社會組織競相獲取的重要資源。詳言之，從個人角度看，個人信息兼具人格權和財產(chǎn)權雙重屬性；從社會角度看，個人信息是社會管理系統(tǒng)得以高效運行的工具，早已溢出私人法益范疇，具備公共權利屬性；從企業(yè)角度看，個人信息是開發(fā)和運營數(shù)據(jù)產(chǎn)業(yè)的重要資源，是市場競爭的重要因素。“在信息時代，信息作為戰(zhàn)略性資源，其自由流動具有重要的基礎性意義。”因此，利用大數(shù)據(jù)，是在信息時代發(fā)展經(jīng)濟的必然要求，是提升政府治理能力的必由之路。

誠然，賦權保護模式與我國傳統(tǒng)的權利保護模式即權利法定模式相吻合，也有利于防止在司法審判中出現(xiàn)同案異判的情況，但是，賦權保護模式忽略了個人信息所具有的公共屬性，權利的絕對性會妨礙對個人信息的充分利用。正因如此，《民法典》和《個保法》都采用了“權益”而非“權利”概念。不可否認，民法在個人信息保護中具有基礎性地位，但是，網(wǎng)絡、電信、金融、醫(yī)療、征信、電子商務等領域的個人信息保護問題亦不可忽視，而關于這些領域的立法多屬于公法或社會法，且這些法律規(guī)范對于打擊違法犯罪、保障網(wǎng)絡安全、維護公共利益等意義重大。因此，任何單一路徑都無法為個人信息提供完整的法律保護，個人信息保護法體系是一個涉及憲法、民法、刑法、行政法、經(jīng)濟法等多個部門法的綜合法律體系，應當建立諸部門法相互銜接與配合的綜合治理體系。事實上，個人信息保護立法已日益顯示出其綜合性。筆者贊同這樣一種觀點，即“對隱私權益必須進行場景化的理解，個人信息流通具有公共性價值。法律保護個人信息的目的在于防范相關風險，促進個人信息在具體場景中的合理流通”。由此可見，宜“通過‘消費者法化’，重新激發(fā)個人信息私法保護的活力；同時，采取公法框架進行風險規(guī)制，保護個人信息”。詳言之，由于建立在主體平等、客體排他、意思自治基礎之上的傳統(tǒng)私法保護模式日益面臨著困境，故應從風險控制的角度出發(fā)，將個人信息保護問題納入消費者權益保護法框架，確定具體場景，并對個人進行傾斜性保護，實現(xiàn)從以私法保護為主導向公私法保護相結合的轉(zhuǎn)變。

四、立法體系的內(nèi)部協(xié)調(diào)與外部銜接

在數(shù)字經(jīng)濟時代，構建隱私保護、個人信息保護、數(shù)據(jù)保護的三元法律體系具有必然性，然而，這種三元法律體系的構建在當下中國呈現(xiàn)出復雜的現(xiàn)實圖景。一方面，加強隱私保護和個人信息保護的呼聲日益高漲，這對中國傳統(tǒng)文化和法律制度提出了嚴峻考驗；另一方面，加強信息自由流通和數(shù)據(jù)開發(fā)利用的需求日益旺盛，個人信息保護面臨著內(nèi)外兩方面法律銜接問題。

（一）三元法律體系的基本形成

我國《民法典》第127條規(guī)定：“法律對數(shù)據(jù)、網(wǎng)絡虛擬財產(chǎn)的保護有規(guī)定的，依照其規(guī)定。”這說明，我國《民法典》中存在著對隱私、個人信息、數(shù)據(jù)分別進行保護的法治構想，這一構想隨著2021年《個保法》和《數(shù)據(jù)安全法》的出臺而基本實現(xiàn)。特別是《個保法》的出臺，有效地解決了我國個人信息保護領域?qū)ｉT性、綜合性的立法問題。《個保法》超越了傳統(tǒng)的公法和私法的簡單二元劃分格局，堅持了個人信息與隱私相區(qū)分的基本立場，并對敏感個人信息作出了明確界定。

在此背景下，我國的個人信息保護理論研究亦應當轉(zhuǎn)向，即從立法論轉(zhuǎn)向解釋論。申言之，在隱私保護和個人信息保護方面，應從法教義學入手，分析《民法典》和《個保法》中的具體規(guī)則的立法背景、含義指向及實施建議，為正確落實《民法典》和《個保法》提供理論支撐。特別是針對實踐中出現(xiàn)的隱私保護和個人信息保護所面臨的知情同意機制弱化以及公共數(shù)據(jù)和公共利益對個人信息造成限制等突出難題，應梳理分歧焦點、基本法理和法律依據(jù)，為司法裁決提供理論指引。在數(shù)據(jù)保護方面，仍應當以制度創(chuàng)新為導向，從企業(yè)數(shù)據(jù)規(guī)則、公共數(shù)據(jù)規(guī)則和公共利益規(guī)則等方面，提出優(yōu)化建議，推動《數(shù)字經(jīng)濟促進法》和《個人信息保護法實施條例》的出臺，為進一步完善我國的數(shù)字經(jīng)濟立法提供智力支持。

（二）法律體系的內(nèi)部協(xié)調(diào)

我國立法已經(jīng)確立了對隱私與個人信息分別進行保護的二元立法體系。《網(wǎng)絡安全法》第76條通過“概括定義+列舉”的方式界定了個人信息的內(nèi)涵，即“能夠單獨或者與其他信息結合而識別自然人身份的各種信息”。《民法總則》在其第五章“民事權利”中，首先肯定了自然人的“隱私權”（第110條），而后明確了“自然人的個人信息受法律保護”（第111條），同時開放性地認可了“數(shù)據(jù)權”，即“法律對數(shù)據(jù)、網(wǎng)絡虛擬財產(chǎn)的保護有規(guī)定的，依照其規(guī)定”（第127條）。《民法典》在其“人格權編”第六章“隱私權和個人信息保護”中，不僅明確規(guī)定了自然人享有隱私權、個人信息權益，而且明確界定了“隱私”概念（第1032條）和“個人信息”概念（第1034條），同時對隱私權保護和個人信息保護的法律適用沖突問題作出了規(guī)定，即“個人信息中的私密信息，適用有關隱私權的規(guī)定，沒有規(guī)定的，適用有關個人信息保護的規(guī)定”，具有開創(chuàng)性意義。同時，為了回應互聯(lián)網(wǎng)時代信息科技的發(fā)展要求，《民法典》初步規(guī)定了數(shù)據(jù)權屬等問題，因應了在大數(shù)據(jù)時代對隱私、個人信息和數(shù)據(jù)進行三元分治的立法模式。需要注意的是，我國法律使用的是“數(shù)據(jù)”這一概念，而非“個人數(shù)據(jù)”這一概念，且對“數(shù)據(jù)”這一概念的界定較為模糊。同時，在法律體系中，《民法典》將“個人信息”視為“人身權”的一部分，置于“民事權利”范疇，而將“數(shù)據(jù)”與“虛擬財產(chǎn)”一并進行規(guī)制，相關保護依賴于其他法律的規(guī)定。由于“個人信息權利是正在興起并不斷發(fā)展的信息社會中凸顯的一項新型權利”，因此，在制定個人信息保護法時，面臨著諸多新情況、新問題。

第一，個人信息保護立法應對自動化決策的說明義務作出更加明確的規(guī)定，進一步明確接受委托的個人數(shù)據(jù)處理者的義務和責任，細化合法收集個人信息的依據(jù)和標準，明確知情同意機制的例外情形，增加風險評估中的社會倫理維度。

第二，對于某些問題，可以留待后續(xù)制定的實施細則或司法解釋去解決，需要研究的只是如何對這些問題作出取舍，即將哪些問題交由后續(xù)的實施細則和司法解釋來解決。

第三，在責任條款的設定、請求權條款的設置方面，應進一步作出完善性規(guī)定。涉第三方信息處理者的侵害個人信息案件具有以下特點，即主體具有不平等性與不可互換性，侵害事實難以被查清，損害結果具有潛伏性、持續(xù)性和放大性，故現(xiàn)有法律規(guī)范不足以應對相關個人信息保護困境。因此，應以實現(xiàn)個人信息保護與產(chǎn)業(yè)發(fā)展之間的平衡為出發(fā)點和立足點，完善相關法律責任規(guī)則。其一，在侵權責任類型方面，應單獨設立關于個人信息的特殊侵權責任類型；其二，在歸責原則方面，應適用無過錯責任原則；其三，在舉證責任方面，應設立“有限”的舉證責任倒置制度；其四，在證明標準方面，應采用高度蓋然性證明標準；其五，在賠償數(shù)額方面，如果無法證明受害人遭受的財產(chǎn)損失，則應適用法定數(shù)額。其六，在責任承擔方面，應確立信息控制者和信息處理者之間的連帶責任以及免除連帶責任的條件。

（三）法律體系的外部銜接

為了進一步規(guī)范和引領數(shù)字經(jīng)濟的發(fā)展，在強化隱私保護、個人信息保護與促進經(jīng)濟發(fā)展之間保持平衡，我國需要構建以公法為依托、以私法為主干、以社會法為補充的個人信息保護權利話語體系。然而，個人信息保護法律體系是一個跨部門的綜合性立法體系，在該體系中，不僅存在一些共通的原則、制度和規(guī)則，亦會產(chǎn)生不同法律規(guī)范之間的排異反應。我國的個人信息保護立法，既要堅持立足國情與借鑒國際經(jīng)驗相結合，建立健全適應我國個人信息保護和數(shù)字經(jīng)濟發(fā)展需要的法律制度，又要堅持問題導向性和立法前瞻性相結合，體現(xiàn)法律的包容性和適度超前性，還要處理好《個保法》與其他相關法律之間的關系，注意《個保法》與《民法典》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》等法律法規(guī)的銜接問題，細化和充實關于個人信息保護的制度和規(guī)則。

處理好《個保法》與其他法律的銜接問題，既包括處理好《個保法》與《民法典》《消費者權益保護法》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》等已經(jīng)出臺的法律之間的關系，也包括處理好《個保法》與《數(shù)字經(jīng)濟促進法》等尚未出臺的法律之間的關系。近年來，我國數(shù)字經(jīng)濟立法的步伐明顯加快，《數(shù)據(jù)安全管理辦法（征求意見稿）》已由國家互聯(lián)網(wǎng)信息辦公室于2019年5月28日發(fā)布。《數(shù)據(jù)安全法》對網(wǎng)絡直播、即時通信、搜索引擎等典型數(shù)字經(jīng)濟新業(yè)態(tài)中的個人信息保護問題作出了規(guī)定，但對于自動駕駛、公共數(shù)據(jù)、人工智能等問題，尚顯規(guī)制不足。因此，在未來，還應當出臺《數(shù)字經(jīng)濟促進法》《電信法》《算法法》《政府數(shù)據(jù)開放法》等法律法規(guī)。

首先，關于個人信息保護，應處理好民事保護、行政保護與刑事保護三者之間的關系，實現(xiàn)并重保護和均衡保護。盡管應加大對違法行為的行政處罰力度，讓涉事違法主體望而生畏，但是，除了注重行政機關對個人信息的行政保護外，還必須注重司法機關對個人信息的民事保護和刑事保護。民事保護能夠為個人信息主體實現(xiàn)人格權益與財產(chǎn)權益提供保障，而刑事保護能夠通過追究嚴重侵犯個人信息的違法主體的刑事責任來發(fā)揮警示作用。

其次，應明確《個保法》與《民法典》之間的關系，這實則是明確隱私保護與個人信息保護之間的差別。《個保法》在個人信息的定義、處理個人信息的基本原則等方面的規(guī)定，都體現(xiàn)了《個保法》與《民法典》相分離的思路，比如，《個保法》沒有提及“隱私”這一概念。《民法典》與《個保法》之間的關系是一般法與特別法之間的關系，二者對于個人信息在調(diào)整范圍上基本一致，而當出現(xiàn)不一致時，則應適用《個保法》中的規(guī)定。

最后，應將《個保法》與《數(shù)據(jù)安全法》置于同一法律體系內(nèi)，加以綜合考慮，堅持安全與發(fā)展并重的原則，兼顧個人信息保護與數(shù)據(jù)共享的雙重立法目的，既做到有效保護權利，合理使用個人信息，鼓勵創(chuàng)新，又做到審慎監(jiān)管，確保數(shù)據(jù)安全，保持風險可控。對數(shù)據(jù)應當進行多層次控制，不同的立法的側(cè)重點可以有所不同。而在保護強度上，對隱私、個人信息、數(shù)據(jù)三者的法律保護等級和保護力度應呈現(xiàn)逐漸減弱狀態(tài)。

五、隱私、個人信息和數(shù)據(jù)保護三元立法的優(yōu)化路徑

著眼于未來，我國應健全對隱私、個人信息、數(shù)據(jù)進行分別保護的三元法律體系，不宜混用隱私、個人信息和數(shù)據(jù)的概念。目前，個人信息與隱私之間存在區(qū)別，且應對二者分別進行立法保護，已成學界共識，而將個人信息區(qū)分為敏感信息與一般信息，并予以不同力度的法律保護，也已成為學界的主流觀點。在相應的立法設計中，應當區(qū)分個人信息保護與數(shù)據(jù)保護，確立個人信息主體對個人信息的自主控制權。事實上，隨著《數(shù)據(jù)安全法》和《個保法》的出臺，我國立法正朝著對隱私、個人信息、數(shù)據(jù)進行三元分治的格局邁進。

（一）信息數(shù)據(jù)的分級

“傳統(tǒng)個人信息立法立足于單向利益保護，形成‘一刀切’的個人信息保護模式，造成了利益失衡的現(xiàn)實困境。”在大數(shù)據(jù)時代，個人信息具有財產(chǎn)權屬性和公共屬性，相應地，個人信息保護立法的價值目標應具有多元性，即應根據(jù)個人信息的生命周期進行分類保護和綜合考量。換言之，公民的個人信息關涉整個社會的公共利益、國家的安全，甚至關涉國家的信息主權，在理解和把握個人信息時，需從公民、社會、國家的角度進行解釋，個人信息保護具有超個人法益的性質(zhì)。

《民法典》將個人信息區(qū)分為個人普通信息和個人私密信息，《個保法》則明確區(qū)分了普通個人信息和敏感個人信息。但在《個保法》中，缺少關于個人信息分級分類標準的規(guī)定，這導致在司法實踐中易對敏感個人信息進行擴大解釋，可能導致對個人信息進行分類保護的制度設計被架空。從域外立法經(jīng)驗來看，GDPR第9條對敏感個人信息進行了列舉，而美國的《隱私法案》則列舉了判斷敏感個人信息的12項標準。以此為鑒，我國需要建立健全個人信息分級分類保護目錄或保護清單制度，對個人信息尤其是敏感個人信息進行分級分類。另外，《個保法》對個人信息采用了可識別性和可關聯(lián)性雙重標準，但在實踐中，可識別性標準和可關聯(lián)性標準難以被準確把握，故需要由法律規(guī)定作出總體性指引。筆者建議在《個保法》第11條中增加一款，作為該條的第2款，即“國家推行個人信息分級分類保護，目錄由履行個人信息保護職責的部門制定，并根據(jù)個人信息保護的實踐狀況動態(tài)調(diào)整”。

實際上，對于個人信息或者數(shù)據(jù)，存在更多的分級分類方法。譬如，可將數(shù)據(jù)區(qū)分為“個人數(shù)據(jù)”和“非個人數(shù)據(jù)”，或者可將其區(qū)分為“數(shù)據(jù)隱私”和“數(shù)據(jù)財產(chǎn)”，或者可將其區(qū)分為“用戶數(shù)據(jù)”和“企業(yè)數(shù)據(jù)”。在現(xiàn)代數(shù)據(jù)安全語境下，應改變傳統(tǒng)的靜態(tài)保護模式，轉(zhuǎn)而采用動態(tài)保護模式，即根據(jù)具體場景，確保數(shù)據(jù)安全和數(shù)據(jù)共享自由。具體場景不同，數(shù)據(jù)安全所面臨的風險便不同，相應保護措施和風險管理技術方案也隨之不同。在構建我國的數(shù)據(jù)分級分類法律制度時，應制定數(shù)據(jù)分級分類目錄、數(shù)據(jù)分級分類規(guī)則、數(shù)據(jù)分級分類技術標準等。具體而言，數(shù)據(jù)分級就是對數(shù)據(jù)的安全等級進行劃分，并采取不同的管理措施，即根據(jù)數(shù)據(jù)對國家、個人、企業(yè)、社會公眾等不同主體的不同價值意義和作用影響，分別采取嚴格保密、限制監(jiān)管、鼓勵流動、主動公開等強度不同的規(guī)制方法和利用規(guī)則，并分別適用不同的授權范圍規(guī)則、保護義務規(guī)則和責任救濟規(guī)則等。數(shù)據(jù)分類就是按照不同標準對應用過程中涉及的數(shù)據(jù)進行類型化，并采取不同的處理規(guī)則。譬如，按照來源不同，可以把數(shù)據(jù)分為個人數(shù)據(jù)、企業(yè)數(shù)據(jù)、公共數(shù)據(jù)等；按照公開程度不同，可以把數(shù)據(jù)分為公開數(shù)據(jù)、有限公開數(shù)據(jù)、秘密保護數(shù)據(jù)等；按照敏感性不同，可以把數(shù)據(jù)分為一般數(shù)據(jù)、敏感數(shù)據(jù)、高度敏感數(shù)據(jù)等。需要強調(diào)的是，數(shù)據(jù)的分級分類應當是動態(tài)的、相對的，在不同場景下，數(shù)據(jù)的分級分類可能會有所差異。

（二）權利體系的構建

鑒于傳統(tǒng)的隱私保護模式和個人信息保護模式無法解決大數(shù)據(jù)時代的信息控制、利用和處理問題，有學者提出，可以通過個人信息賦權保護模式，明確相關主體的權利、義務和責任，從而克服利益衡量方法的不穩(wěn)定性，為司法裁判提供具體、明確的法律指引。筆者建議，可以從以下幾個方面構建關于個人信息保護和數(shù)據(jù)保護的權利體系：

其一，應明確規(guī)定個人信息權。《民法典》第1034條并未使用“個人信息權”這一概念，導致理論界對個人信息的屬性問題存在很大爭議。在大數(shù)據(jù)時代，以數(shù)據(jù)為載體的個人信息既具有獨立的人格權屬性，亦具有鮮明的財產(chǎn)權屬性，即同時具有“信息自決權”和“數(shù)據(jù)財產(chǎn)權”兩個面向。換言之，在大數(shù)據(jù)時代，私權保護與數(shù)據(jù)共享應并行不悖，應將數(shù)據(jù)財產(chǎn)權與個人信息自決權相區(qū)分，以“場景”或“情境”為核心，對個人信息權益進行個別化保護。應進一步明確個人信息主體所享有的權利，具體而言，我國的個人信息權利束包括但不限于個人信息主體在信息收集、保存、利用中的知情權、同意權、決定權、查詢權、訪問權、刪除權、拒絕權、更正權、知情權、選擇權、反對權、復制權、被遺忘權、可攜帶權、自動化處理拒絕權、自主決定權、救濟權。

其二，應賦予個人和企業(yè)公共數(shù)據(jù)利用權，引導公共數(shù)據(jù)的共享和開放。公共數(shù)據(jù)具有公共屬性。公共數(shù)據(jù)的共享，既可以在政府部門與企業(yè)組織之間實現(xiàn)，也可以在政府部門與政府部門之間實現(xiàn)。為此，我國需要進一步完善公共數(shù)據(jù)的共享與公開規(guī)則，促進公共數(shù)據(jù)效用的最大發(fā)揮。

其三，應賦予企業(yè)數(shù)據(jù)權，推動企業(yè)數(shù)據(jù)的利用和流轉(zhuǎn)。企業(yè)數(shù)據(jù)是企業(yè)通過合法形式收集和取得的各類數(shù)據(jù)，其權屬性質(zhì)既有可能是完全權屬，也有可能是有限權屬，還有可能是無權屬。權屬性質(zhì)的不同會導致管理和使用數(shù)據(jù)的目的和方式不同。在信息社會，數(shù)據(jù)的價值驟升，已經(jīng)成為與資本、技術、勞動力、土地等同等重要的生產(chǎn)要素。因此，我國應進一步明確關于數(shù)據(jù)的權屬規(guī)則、分配規(guī)則、交易規(guī)則、安全規(guī)則、監(jiān)管規(guī)則等。

其四，應賦予個人被遺忘權，強化新技術運用中的個人信息安全。在當今社會，自動化決策、個性化推薦、人臉識別、用戶畫像、深度偽造、數(shù)據(jù)挖掘等新技術不斷涌現(xiàn)。這些新技術在提高了數(shù)據(jù)利用效率的同時，亦帶來了算法黑箱、信息泄露、數(shù)據(jù)濫用、隱私侵犯等問題。因此，應當對數(shù)據(jù)安全進行風險評估，完善數(shù)據(jù)的場景化利用規(guī)則，確保信息安全。在這一背景下，GDPR中的“被遺忘權”制度進入我國學界視野。有學者認為，被遺忘權呈現(xiàn)出適用情形與責任主體的雙重擴張趨勢，其更適合被解釋為信息化時代利益沖突的解決框架，即應被作為中立性的利益權衡規(guī)則引入我國的法律制度體系。而有學者認為，被遺忘權是互聯(lián)網(wǎng)時代多種價值不平衡發(fā)展的產(chǎn)物，我國不必在被遺忘權的建構問題上亦步亦趨，而應當選擇更為妥當?shù)姆椒▽崿F(xiàn)對相關法益的保護。筆者認為，我國有必要賦予個人被遺忘權。譬如，在突發(fā)公共衛(wèi)生事件結束以后，為了個人信息主體的生活安寧，個人信息主體有權要求數(shù)據(jù)控制者刪除相關個人信息，具體可以參考GDPR中的限期存儲規(guī)定，即“為了控制傳染病而收集的個人信息的存儲時間不得超過12個月”。對于不具有可識別性的個人信息，基于研究等合理使用之目的，可由相關部門予以封存，確保個人信息的安全性。

（三）救濟機制的再塑

《個保法》大幅度提高了對侵犯個人信息權益的行為的處罰力度，尤其是其“按照營業(yè)額百分比進行罰款”的規(guī)定，被視為《個保法》的一大亮點，大大提高了對違法企業(yè)的威懾力，大大增加了企業(yè)的違法成本。同時，為了解決司法實踐中長期存在的訴訟動力不足、獲賠金額過低、舉證困難等問題，《個保法》確立了個人信息保護公益訴訟制度。具體而言，對于侵害眾多個人信息權益的行為，人民檢察院、履行個人信息保護職責的部門和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。然而，數(shù)據(jù)保護專門機構的缺位往往導致相關法律的執(zhí)行不到位，救濟機制的滯后更導致我國的個人信息保護面臨諸多困境。為此，筆者建議從以下幾個方面完善我國的個人信息權益救濟機制：

第一，應建立統(tǒng)一、權威的個人信息保護機構。關于個人信息保護機構，《個保法》提出了“網(wǎng)信部門統(tǒng)籌協(xié)調(diào)+有關部門各自監(jiān)管”的模式。這一模式比較貼近于我國傳統(tǒng)的行業(yè)主管部門專門監(jiān)管模式，比較符合我國行政機關設置和職能劃分的傳統(tǒng)，有利于各行業(yè)主管部門提高本行業(yè)內(nèi)的個人信息保護水平。總之，對于個人信息保護，我們倡導的是一種“外部監(jiān)管+行業(yè)自律”的雙重保護模式。就行業(yè)自律而言，需完善內(nèi)部管理規(guī)范和技術保護措施；就外部監(jiān)管而言，市場監(jiān)管部門應主動與信息保護部門和司法機關進行有效對接，健全個人信息司法保護機制。

第二，應健全訴訟救濟制度。其一，應確立個人信息保護領域的集團訴訟制度，擴大個人信息保護范圍，尤其是加強對不知情的潛在受害人的全面保護。其二，應確立行政公益訴訟制度。近年來，我國的公益訴訟立法逐步完善，公益訴訟制度逐步確立，公益訴訟實踐日益豐富。在《消費者權益保護法》《環(huán)境保護法》《民事訴訟法》確認了消費者權益保護領域和環(huán)境資源保護領域的民事公益訴訟制度后，2017年的《行政訴訟法》創(chuàng)造性地確立了行政公益訴訟制度。然而，無論是《民事訴訟法》第55條所列舉的民事公益訴訟類型，還是《行政訴訟法》第25條所列舉的行政公益訴訟類型，均未窮盡公益訴訟的所有類型，相反，二者均以規(guī)定兜底條款的形式表明，其他侵犯公共利益的行為亦具有被納入公益訴訟的可能。實際上，依法構建專門的個人信息保護公益訴訟制度，是破解個人信息保護困局的有益措施。因此，我國需要進一步深化司法體制改革，拓展行政公益訴訟的受案范圍，在個人信息保護領域建立健全行政公益訴訟制度。具體而言，針對行政機關的侵犯公民個人信息權益的行為，應賦予檢察機關提出檢察建議的權力，敦促相關行政機關履行法定職責，否則，檢察機關有權向人民法院提起行政公益訴訟。就具體建構路徑而言，應當進一步拓展行政公益訴訟制度的適用范圍，明確行政公益訴訟的起訴條件，優(yōu)化行政公益訴訟的訴前程序規(guī)則，完善檢察機關的調(diào)查取證舉措，建立檢察機關與個人信息保護組織之間的雙向互動機制。詳言之，在構建個人信息行政公益訴訟制度時，需在線索來源、起訴節(jié)點和起訴標準等方面作出明確規(guī)定。應參照偵訴機關之間的線索移送規(guī)定，進一步完善檢察機關與行政機關之間的線索移送機制，確保檢察建議的科學性、客觀性和實效性，并依托證據(jù)理論，適當實行舉證責任倒置，保障檢察機關的調(diào)查取證權充分實現(xiàn)。其三，應完善民事公益訴訟制度，取消國家網(wǎng)信部門對提起民事公益訴訟的主體的確定權，增加關于“消費者協(xié)會等消費者權益保護組織可以作為原告提起個人信息保護民事公益訴訟”的規(guī)定。

第三，應完善個人信息侵權法律責任制度。“基于交易成本、估價成本、行為模式預期等經(jīng)濟效率的綜合考量，應當重構我國個人信息保護的救濟規(guī)則”，即“對自然性個人信息適用財產(chǎn)規(guī)則，對社會性個人信息與復合性個人信息適用責任規(guī)則，并結合行業(yè)規(guī)則的逐步完善，建立去身份化的行為指引，實現(xiàn)理論構想、法律規(guī)范與社會實踐的逐步統(tǒng)一”。其一，應堅持對敏感個人信息和非敏感個人信息進行區(qū)別化對待的基本立場，對侵犯敏感個人信息的行為，施以更重的法律責任。其二，應確立個人信息保護領域的懲罰性賠償責任制度，從而彌補傳統(tǒng)侵權責任機制中損害填補責任的不足。其三，應確定個人信息保護領域的侵權舉證責任倒置原則，督促個人信息控制者及處理者盡其所能采取一些新的措施，不斷研發(fā)一些新的技術，以確保個人信息處理活動的合法性與合規(guī)性。其四，應建立三元歸責體系，即針對使用自動數(shù)據(jù)處理系統(tǒng)的公務機關、非公務機關以及未使用自動數(shù)據(jù)處理系統(tǒng)的其他主體的侵害行為，分別適用無過錯責任原則、過錯推定原則以及一般過錯責任原則，追究嚴重侵犯個人信息權益的單位及其直接負責人的刑事責任。

結語

大數(shù)據(jù)的發(fā)展不僅是技術的變革，亦是思維方式的變革，更是治理規(guī)則的變革。任何國家的立法都與具體的政治制度、文化背景、法治傳統(tǒng)等密不可分，個人信息保護立法亦不例外。在大數(shù)據(jù)時代，我國的個人信息保護立法應當兼具權利保護、產(chǎn)業(yè)促進、權力規(guī)制等綜合立法目的。隱私、個人信息與數(shù)據(jù)三者之間，既有區(qū)別，又有聯(lián)系。對于隱私權益，應主要交由民法進行保護；對于個人信息權益，應主要交由個人信息保護法進行保護；對于數(shù)據(jù)權益，應主要交由數(shù)據(jù)產(chǎn)業(yè)促進法進行保護。從實踐情況來看，我國的數(shù)字經(jīng)濟發(fā)展已經(jīng)走在了世界前列，但在個人信息保護方面，仍存在治理效果亟待提升等諸多問題。究其原因，我國的個人信息保護法的科學性有待提高，可操作性有待加強。我國頒布了《個保法》，這標志著我國的個人信息保護法治建設邁入了新階段，但是，個人信息保護立法中的諸多問題仍有待得到進一步研究和解決，具體包括法律名稱、立法模式、適用范圍、敏感信息、主體權利、執(zhí)行機構、自律機制等方面的問題，尤其應關注個人信息保護與信息流通促進之間的關系協(xié)調(diào)問題。實際上，在大數(shù)據(jù)時代，在進行個人信息保護制度設計時，應從注重傳統(tǒng)的靜態(tài)、單向的保護政策，轉(zhuǎn)向建構現(xiàn)代的動態(tài)、多維的數(shù)據(jù)治理框架，從而平衡個人、企業(yè)、國家等不同主體的利益訴求，實現(xiàn)權利保護、行業(yè)發(fā)展與數(shù)據(jù)主權之間的良性互動。