丁曉東:個人信息保護的難題| 新書《個人信息保護:原理與實踐》

在近年來的法學研究中，恐怕沒有哪個議題比個人信息保護更具爭議了。儘管個人信息保護已經成為社會共識，但個人信息保護的基本理論問題卻仍無定論。

首先，個人信息需要法律保護嗎？如果需要法律保護，其理由何在？或者用法言法語來說，個人信息保護的法益基礎是什麼？個人信息可以成為一種權利嗎，還是一種權益或僅僅是一種利益？

其次，如果說個人信息可以成為一種權利，那這種個人信息權利的性質又是什麼？是人格權、財產權還是其他類型的權利類型？

最後，在保護手段方面，如何從部門法的角度理解個人信息？個人信息是一種私法權利還是公法權利？個人信息保護應當採取私法框架、公法框架，亦或公私法結合的框架？

學者們對以上問題給出了不同的答案。例如個人信息是否可以構成一種法律權利？有的學者認為個人信息是一種利益，不足以成為一種權利；還有的學者則主張一種個人信息被保護權或個人信息相關權益被保護權，認為個人信息是一種保護相關權益的工具。

就個人信息權利或利益的屬性問題而言，有的學者認為個人信息所要保護的是個人的人格性利益，有的學者認為個人信息所要保護的是個人的財產性利益，有的學者則指出個人信息所保護的是個人的安全利益， 有的學者指出個人信息上還附著了他人利益與公共利益。

就部門法性質而言，有的學者主張個人信息權利是一種憲法性權利或基本權利， 有的學者主張個人信息權利是一種私法性權利。

就部門法保護手段而言，有的學者從重點公法的角度對個人信息保護進行闡述， 有的學者重點從私法角度對個人信息保護進行分析， 有的學者對其進行了部門法的交叉分析。 

需要指出的是，此類原理問題不僅僅是書齋裡的學術問題，而且也是制度與實踐問題。對每個問題提供不同的回答，就會產生個人信息保護立法、司法與執法上的差異。

例如，如果個人信息可以被認定為一種法律權利，那麼法律就應當對這種權利進行立法和嚴格執法；而如果個人信息僅僅可以成為一種權益甚至利益，那麼個人信息保護或許應當更多依賴信息收集者的自我規制。

再比如，如果個人信息是一種人格性權益，那麼法律對於這種信息權利的保護就不能減損；但如果個人信息更接近一種財產性權益，那麼個人就可以通過和信息收集者的交易而放棄這種權利。最後，從部門法的角度而言，個人信息的部門法性質與部門法保護手段也會決定個人信息保護應當依賴個人訴訟的方式、公益訴訟的方式，還是行政監管的方式。

目前，中國的個人信息保護立法已經接近尾聲，中國的《個人信息保護法》即將出臺。但對於個人信息保護的理論研究與司法和執法實踐而言，法律的通過是一個新的起點，而非終點。我國《個人信息保護法》所規定的個人信息權利邊界如何確定，相關制度框架如何發揮作用，以及如何在具體場景中真正落實個人信息保護，這些都依賴於對個人信息保護的原理進行深入研究和闡述，對相關制度與實踐進行密切追蹤與反思。 

本書的目標正是為了實現這一點。

個人信息保護不但是我國學術研究與制度實踐的熱點與難點，而且也是全球公認的熱點與難點問題。歐盟的《一般數據保護條例》於2016年制定並於2018年生效，對全球的個人信息保護產生了深遠的影響，但這一立法也同時在歐盟內外產生了巨大的爭議。2020年，美國加州的《加州消費者隱私法》生效，再次引起了全球對個人信息保護制度的關注。但美國的個人信息保護到底何去何從，仍然面臨著諸多不確定的因素。在不確定的全球個人信息保護制度面前，更需要我們加強對個人信息保護原理與實踐的研究。

本書的結構將按個人信息保護的歷史、現狀、未來進行協作。

其中第一編是個人信息保護的歷史，主要討論個人信息保護的思想與制度起源。第二編是個人信息保護的現狀，主要對現行的個人信息權利與制度框架進行反思。第三編是個人信息保護的未來，主要對個人信息保護中的一些新型數據權利，例如數據被遺忘權、攜帶權、反對用戶畫像與自動畫像的權利進行討論，並分析中國應當如何確定與應用這些權利。

在展開本書正文前，需要對本書概念的使用進行一些說明。

第一，本文並未嚴格區分個人信息與個人數據的概念。在當前全球話語體系中，這兩個概念指涉的對象基本相同，都指已經識別或結合其他信息/數據可以識別個人的信息/數據。總體而言，美國更多使用個人信息的概念，歐洲更多使用個人數據的概念。而中國採用了個人信息的概念，但在其他情形下也越來越多的使用數據的概念。

第二，關於隱私與個人信息概念的使用。從學術上說，信息/數據隱私基本等於個人信息/數據保護，二者可以交替使用；而隱私保護的法律框架與個人信息保護的框架非常不同。但在實踐中，隱私與個人信息常常混用，例如很多企業網站的個人信息保護政策，企業一般都將其命名為隱私政策。對於此類概念混用，我們應當保持足夠的理解。

正如語言哲學家維根斯坦教導的，語言的含義必須在具體的情境中才能得到理解， 不能以本質主義的語義學分析來對相關概念進行界定。我們應當思考的是概念背後的具體事物與問題，而不是期待概念本身具有一成不變的含義。

在浩瀚的法學研究中，個人信息保護只是一個很小的議題。但有意思的是，這一個很小的議題卻引起了法學研究者的極大興趣，從民商法學者到憲法行政法學者，從社會法經濟法學者到刑法學者，從智慧財產權學者到法理學學者，幾乎每個部門法與理論法學領域都有學者涉足這一領域。

是什麼原因導致了眾多學者對這樣一個小問題的大興趣？從一般的法律制度與法學研究出發，個人信息保護又體現了什麼樣的獨特問題？

本書的研究在一定意義給出了初步答案。對個人信息保護進行全面研究與歸納，我們至少可以發現個人信息保護的三個特徵：

第一，個人信息具有較為明顯的公共性特徵與外部性特徵。當前，個人信息保護已經成為社會共識，因此個人信息往往強調其「個人」的一面，強調個人對自身信息的控制。但我們不應忘記，個人信息也具有「信息」的一面。在傳統法律框架中，法律對於信息不但不以專有權的方式加以保護，反而鼓勵信息的自由流通與共享，例如通過言論自由的方式保護個人信息的合理收集與利用。

其中的原因在於，信息具有非稀缺性與公共屬性，對信息的合理收集與利用不但不會減少信息本身的價值，而且有利於減少信息不對稱、增進公共福利或經濟學上所說的外部性。從這一角度來看，個人信息保護必然區別於傳統的私法保護或公法保護，不能簡單將個人信息視為私有權利或公共產品進行對待。 

第二，個人信息保護處理的是不平等主體之間的關係。個人信息保護與傳統的侵權隱私保護具有密切聯繫，但從法律制度的框架上來說，其區別也非常明顯。導致這種區別的一個重要原因在於，個人信息保護的法律制度處理的是法律擬制為不平等主體之間的信息關係，而傳統侵權隱私處理的是法律擬制為平等主體之間的關係。

正是假設了信息處理者與個人之間的不平等關係，法律賦予了個人以知情選擇權、訪問權、更正權、刪除權、攜帶權等一系列信息權利。從法律制度上來看，此類權利類似於消費者保護法與勞動法等法律部門中所賦予給消費者與勞動者的一系列權利，意在通過賦予給弱勢群體以一系列權利來矯正信息處理者與個人之間的不平等關係。

第三，個人信息保護處理的是持續性的信息關係。個人信息保護的法律框架源自「公平信息實踐」，這一法律框架除了矯正信息處理者與個人之間的不平等之外，另一最大的特徵在於努力建立信息處理者與個人之間的良性互動關係。在信息處理者與個人之間，二者的互動關係並不是一次性的，而是一種持續性的信息關係。也正是因為這一原因，近年來越來越多的學者與專家開始倡導以信義法的框架保護個人信息。相對合同法的框架，信義法的框架更多建立在持續性的關係之上，而非單次性的關係之上。

在這個意義上，個人信息保護所要處理的關係更接近於婚姻法、勞動法等法律部門。在婚姻法、勞動法等法律部門中，其法律所要處理的關係也更類似於社群主義中的關係，更強調雙方的信任而非單次的交易。

從制度設計與制度效果來看，個人信息保護的三個特徵都對法律制度提出了全面的挑戰。

首先，法律必須平衡個人信息的私有屬性與公共屬性，法律如何既能保護個人信息的相關權益，又能確保國家、市場和他人對個人信息的合理利用，需要法律制度的重新設計。

其次，面對不平等法律關係中的個人信息賦權，法律制度也需要面對一系列難題：例如個人可能沒有能力合理行使此類權利；尋租者可能對這一權利進行搭便車甚至尋租；信息處理者可能無法合理收集與利用信息。

最後，面對持續性的信息關係，個人信息保護法律制度如何保證個人與信息處理者的合理自治，同時促使二者的信任與雙贏，而非對抗與雙輸，也需要超越傳統法律框架，對法律制度進行重新想像。

總而言之，從個人信息保護的三個特徵出發，就可以發現個人信息保護所提出的挑戰並非個人信息保護問題所獨有。相反，這些挑戰對法律制度具有普遍性的意義，值得每個部門法與理論法學認真對待。也正是在這個意義上，可以說雖然全球的個人信息保護法律條文已經接近定型，但其所提出的挑戰卻剛剛開始。

導言：個人信息保護的難題

第一編  歷史：個人信息保護的思想與制度起源

第一章  隱私權：何為隱私？為何保護？如何保護？

  一、隱私權：從學術理論到司法實踐

  二、何為隱私：隱私保護的不確定性

  三、為何保護：壞人才需要保護隱私？

  四、如何保護：社群與場景化的視角

第二章  從隱私到個人信息：個人信息保護針對誰？

  一、從隱私權利保護到個人信息保護

  二、個人信息保護可以針對所有人嗎？

  三、適用前提：持續不平等信息關係

  四、侵權隱私、執法隱私與信息隱私

第三章  個人信息保護的制度起源：公平信息實踐

  一、公平信息實踐的起源與制度框架

  二、公平信息實踐的影響與全球演化

第二編  現狀：個人信息權利與制度框架的反思

第四章 「個人」信息保護：評《一般數據保護條例》

  一、《條例》鳥瞰：框架、條文與制度

  二、個人信息權利：人格權與財產權

  三、人格權保護與財產權保護之利弊

  四、基於個體預期與風險規制的保護

第五章  個人「信息」保護：基本權利與言論自由

  一、個人信息權利作為基本權利客體

  二、個人信息作為言論自由表達對象

  三、公法框架下個人信息的雙重屬性

  四、個人信息的場景化行為主義規制

第六章 如何保護：「告知-同意」框架與私法保護

  一、「告知-同意」框架與合同法保護

  二、「告知-同意」框架的改良與限度

  三、私法保護框架：從合同到信義法

第七章 如何保護：公平信息實踐制度的反思與重塑

  一、個人信息主體賦權的困境與反思

  二、信息處理者加責任的困境與反思

  三、邁向大數據時代的公平信息實踐

第三編  未來：新型個人數據權利的分析與應用

第八章  被遺忘權：原理、場景化界定與中國應用

  一、被遺忘權的起源：西班牙谷歌案

  二、被遺忘權的爭論：正反雙方意見

  三、被遺忘權的中國理論與法律實踐

  四、被遺忘權場景化界定：場景實踐

  五、結論：基於合理預期的被遺忘權

第九章  數據攜帶權：原理、競爭秩序與中國應用

  一、數據攜帶權的起源、要素與爭議

  二、數據攜帶權權利屬性的重新思考

  三、數據攜帶權對競爭影響的雙面性

  四、中國的數據攜帶權：企業與政府

  五、結論：基於合理預期的被遺忘權

第十章  用戶畫像、個性化推薦與個人信息權利

  一、行為信息收集：技術與法律問題

  二、中美歐比較法視野下的用戶畫像

  三、匿名化行為信息性質的法律爭議

  四、個人信息2.0:個人信息概念反思

  五、用戶匿名化行為信息的規制框架

  六、結論：邁向治理責任與信息倫理

結語 個人信息保護的三個特徵與對法律制度的挑戰

附錄1：歐盟《一般數據保護條例》

附錄2: 美國《加州消費者隱私法案及條例》