丁晓东：个人信息：想说“保护”不容易丨前沿

目前，我国正在紧锣密鼓地制定“个人信息保护法”“数据安全法”等法律。然而现有的公法与公法理论上，要么认为个人信息权是一种基本权利，要么将其视为他人言论自由的对象。这两种看法是否全面？又存在哪些问题？个人信息本身有何特殊的属性及特征？如何更好的就个人信息保护开辟出一条中国特色保护道路？对此，中国人民大学法学院丁晓东副教授在《个人信息的双重属性与行为主义规制》一文中分析了现有针对个人信息保护的模式及观点，指出了个人信息特殊的“双重地位”，并给出了针对我国未来个人信息保护立法的可行方案。

（一）防御性信息权利

个人信息常常被视为一种基本权利的客体。根据这种理论，个人信息权是一种基本权利，法律应对个人信息进行确权保护，个人首先有权防止其消极性的隐私权益受到相关主体的侵扰。首先，个人信息保护制度常常要求或提倡收集个人信息的公开透明，以确保个人信息不会被“秘密收集”。其次，很多个人信息保护制度都规定了“目的限制”、“数据最小化”、“限期储存”等个人信息收集与处理的原则，以保证个人信息不会被过度收集、过度处理与过度储存。最后，个人信息保护制度大都规制信息安全，要求企业承担对信息的安全保障义务。

（二）控制性信息权利

个人信息保护制度不仅包含对公民消极性信息权利的保护，而且也包含对积极性信息权利的保护。首先，个人信息保护制度一般把个人“选择”或“同意”作为收集个人信息的合法性要件。其次，信息更正权等信息权利，更赋予个人控制自身信息的能力。

（一）作为言论自由对象的个人信息

将个人信息视为言论表达的对象看似有违常识——毕竟信息保护与言论自由所保护的对象不同，但其实“信息”与“观点”的区别并不那么明显：对信息的披露本身就可能构成观点。个人信息作为他人言论对象的属性，已经被国际学界广泛讨论。从言论的角度思考个人信息，可以帮助我们更为深刻地理解个人信息保护问题。

在涉及官员等公众人物的个人信息时，个人信息更常被认定为言论自由所保护的范围。比如《纽约时报》诉沙利文案：当媒体对个人信息的错误使用而涉嫌诽谤，媒体可能会因为言论自由保护而受到豁免。又比如巴特案中，非官员甚至非公众人物的个人信息，可能因为议题的公共性而受到言论自由条款的保护。同时，即使纯粹商业化或商品化的个人信息，也可能受到言论自由条款的保护。

（二）个人信息作为言论自由对象的公法内涵

将信息视为他人言论自由的对象，法律对于个人信息保护的立场将大为不同。首先，个人所拥有的防御性信息权利（即个人信息保护中的隐私期待利益）将会因为言论自由保护而变小。在此情况下，政府以保护信息隐私的理由而规制个人信息将面临重重障碍。其次，公民个体所拥有的控制性信息权利将受到更大地挑战。如果将信息视为他人言论自由对象，那第三方对于个人信息的收集与使用原则上就应是自由的，不受个体对自身信息权利控制的限制。

（一）个人信息作为基本权利客体的反思

将个人信息视为基本权利的客体，其问题在于忽略了个人信息的公共性价值：个人信息对于共同体具有信息流通的价值。防御性个人信息权过于强调个体主义权利，没有充分考虑信息隐私保护的公共性背景或社群背景。简单将个人信息保护中的隐私权上升为一种个体主义的基本权利，忽视了隐私权背后的社群利益与社群规范。此外，控制性的信息权利更是面临个体主义的难题：日常生活中他人对于个人信息的合理利用无处不在，企业与政府在利用个人信息时需要不断获得用户的同意也无疑会阻碍信息的集合效应与规模化效应。同时，面对千变万化的信息收集场景与海量可能识别个体的个人信息，个体其实很难对自身信息权益进行有效的保护。

（二）个人信息作为言论自由对象的反思

将个人信息视为他人言论自由的对象，存在个人信息保护不足的问题。对此可以结合公法上的言论自由理论进行分析。言论自由的目的有三，一是促进思想的自由市场；二是促进公共讨论与人民自治；三是促进个体自治。

然而，首先，思想的自由市场理论正确揭示了个人信息的流通属性与公共属性，但和其他领域中的市场一样，言论市场也存在垄断和侵犯消费者权益的可能。其次，即使个人信息具有公共属性或潜在的公共属性，也并不意味着所有个人信息都不值得保护。保护公民的个人信息不被过度收集，有利于人们更多参与公共活动，表达自己的意见。最后，促进个体自治的观点，没有深入考虑个人自主性的成因，且信息隐私对于普通公民个体人格发展具有重要作用。

（一）个人信息的行为主义规制

个人信息的双重属性为保护个人信息指出了方向。从行为主义规制的进路出发，个人信息保护应当根据不同行为所可能侵犯个体与社会的权益而进行不同程度的规制。对于个人信息收集行为，应当采取相对宽松的规制策略，如果对个人信息的收集行为进行过于严厉的规制，个人信息就无法合理流通，个人信息中可能蕴含的公共性价值就无法得到体现。而对于个人信息的处理，应更严格规制，因为相比起个人信息收集，个人信息的处理会对个人权益产生更为直接的影响。对于信息的储存与披露，则应当采取最为严格的规制策略，因为企业等信息收集者与处理者常储存海量个人信息，一旦发生信息泄漏可能造成个人和社会的安全风险。

（二）基于场景的行为主义规制

个人信息的行为主义规制应当是高度场景化的，这与个人信息所承载的多重权益相关。保护个人信息不是保护个人信息本身，而是通过保护个人信息来保护其他权益。这是个人信息权利不能作为基本权利的原因，也是为什么需要采取行为主义规制进路的原因。

个人信息背后的权益是什么？无论是数据保护的实践领域还是学术领域都没有共识。在实践领域，以欧盟《一般数据保护条例》为代表的数据保护立法，既包括附着于数据上的人格性权益，财产性权益，也包括风险预防性权益。而在学术领域，关于个人信息保护目的的讨论则更多元，从保障个体权益、促进数据公平到维护社会数据规范、规制数据风险、促进公共讨论。正因个人信息保护背后如此多元的权益，使个人信息保护常高度依赖场景。在一种场景下，个人信息保护可能会促进某种权益，而场景变化，个人信息保护不但无法促进某种权益，反而可能妨碍另一种合法权益的实现。

（三）场景化行为主义规制的实践

当前，各国家与地区的个人信息保护法都建立在“公平信息实践”的基础上。这些法律主要采取的是个人权利的进路。一方面赋予个体以针对数据收集者与处理者的一系列信息权利，如个人信息收集与使用的选择权、访问权、更正权、被遗忘权、携带权等；另一方面要求数据收集者与处理者承担一系列责任，如保证个人信息收集的公开透明、个人的数据质量与数据安全。

就立法技术而言，这种立法模式可较快地建立一个法律框架。但在司法与执法层面，对个人信息权利的解释也必然会采取场景化的行为主义规制方式：个人信息权利所包含的若干权利是否被侵犯，需在具体场景中加以确定。比如，在收集个人信息时，自动驾驶等场景不太可能赋予个体以选择权。又如被遗忘权虽在纸面上可上升为一种权利，但其行使却需要在具体场景中结合多种因素加以确定。

中国正制定“个人信息保护法”“数据安全法”等法律。关于个人信息或个人数据的法律保护方式，行为主义的规制方式可以在立法、执法、司法等层面落地。立法层面，我国的个人信息保护法与相关法律法规可以将“尊重场景”的原则作为个人信息保护与数据治理的基本原则之一。执法层面，执法机关除了结合法律法规在具体场景中进行个案化执法，还应当在执法中形成执法案例汇编，以案例汇编勾勒个人信息保护的边界。司法层面，司法机关也应以司法判决和司法案例编撰来分析个人信息保护。此外，企业等主体也应当积极参与场景化的个人信息保护，通过对一线场景中的个人信息保护进行研究与总结，不但可以进行更为有效的自我规制，也可以为国家的个人信息行为主义规制提供参照。

总之，面对个人信息的保护难题，采取基于场景的行为主义规制，更符合个人信息双重属性，以实现个人信息保护与个人信息流通的双赢。在全球个人信息保护与数据治理的制度竞争中，这一进路也符合中国的现实需求。