张 静

内容提要：云计算、大数据、人工智能的快速发展使加强个人信息保护的呼声再次高涨。个人信息保护不仅涉及到对个人基本权利的保护，还涉及产业发展、国家安全和国家战略安排，两者之间存在着此消彼长的关系。欧洲和美国对个人信息保护的不同立法模式虽然有其产生的不同历史社会原因，同时也有当前产业之争的痕迹。我国个人信息保护立法应该在深入探寻、分析两种立法模式产生原因，对经济、社会产生的不同影响后，摈弃概念误读，以结果为导向选择相对宽松的立法模式，坚持公法、私法相区分，事前、事后规制相结合的原则，构建符合我国经济和社会发展需要的个人信息保护制度，以达到产业发展和个人信息保护之间的利益平衡。

一、问题的提出

个人信息保护问题，早在二十世纪七八十年代的欧美国家即已经引起了广泛讨论，并促成一系列相关法律法规的制定。目前，我国将大力发展包括云计算、大数据在内的信息技术产业确定为重要的国家战略。随着信息技术的大发展特别是云计算、大数据分析的广泛使用以及国家鼓励的 “双创”产业特别是互联网金融行业的快速发展，个人信息的获取、收集、处理、使用呈现爆发性发展态势，人们传统的私生活领域时常受到侵犯。产业发展、国家需求与个体利益之间的冲突不断。个人信息被盗取用以犯罪的事件时有发生，徐玉玉等悲惨事件的产生、发酵均刺激着觉醒中的民众神经，社会上不断出现 “个人信息保护”立法的呼声，同时也引发学界的广泛关注和讨论，民法典草案中亦已然增加人格权编，以期加强对个人信息民法上的保护。

但是，情感永远无法代替理性分析。个人信息保护不仅仅是涉及民法领域的个人利益保护的问题，还涉及到国家战略、国家安全、产业发展、言论自由等多方面跨学科的问题，即使在法学学科中，也不仅仅是民法所能完全解决的问题。个人信息保护问题远远超出法律制度和技术层面，而涉及更深层的哲学思辨——人的问题。欧洲、美国等早已步入信息现代化发展的国家对于相同问题的立法处理方案对于我们具有很好的借鉴作用，但同时我们必须看到欧美法律制度架构的根基建立在其各自不同的法哲学基础上，而这恰是长期以来我国法律制度构建所缺失的。因此个人信息保护立法必须运用科学方法分析不同立法模式产生的深层原因、现今变化及其现实困境，结合我国经济发展阶段、社会现状，必要时修正我们曾经有所局限的法理认识，做出适合我国实际情况的立法方案，在个体权益保护与群体发展之间寻求到最佳利益平衡点。法律从来都不是能够脱离客观实际的虚幻存在。

二、主要国家个人信息保护立法现状

无论政治体制异同，处于同一经济、技术发展阶段的国家所遇到的问题具有很多共性，因此借鉴信息技术发展早于我们国家的欧美国家对于相同问题的处理方式，有助于我们扬长避短。后发优势不仅仅适用于产业发展也适用于社会制度建设，因此，在构建我们国家个人信息保护问题上，有必要对世界上主要国家的相关制度进行研究、分析。

从比较法角度看，个人信息保护多采用多部门法综合调整的方法，所涉及的法律并不局限于民法。从立法模式来看，主要有欧洲模式和美国模式这两种。欧洲国家的立法模式以制定统一的个人信息保护法为主要特征，美国则是通过制定不同的部门法方式建立个人信息保护体系。

（一）德国个人信息保护立法的发展历程

从通过立法对个人信息提供保护的目的看，欧盟和德国不同于美国保护个人信息以人的自由为出发点，而是在于保护人的基本权利。二十世纪七十年代后，伴随着信息技术的发展，政府以及商业团体广泛对个人信息进行采集、使用并以此获利，私人生活领域被严重侵犯。个体面对强大的政府以及信息不对称的商家对个人生活领域的侵犯，愈发恐惧。过去基于一般人格权对自然人信息的保护被认为无法在信息技术大发展的时代给予个人全面充分的保护，专门的信息保护立法也就被提上日程。

历史上第一部关于信息保护的专门立法是德国黑森州于1970年主要针对政府滥用个人信息而制定。该法明确了行政机关对个人信息予以保密的义务，重新划分了地方团体和州级行政机关在个人信息使用中的权限和地位。随后德国各联邦州陆续开启本州信息保护立法的进程。1971年德国内政部委托学者施泰姆勒提出了 《联邦个人信息保护法草案》。施泰姆勒在该草案的说明中首次提到了 “个人信息自决权”和 “信息人格自决权”的概念。这两项权利的内容是指个体有权自由、自主地决定周围的世界可以在何种程度上获知他自己的思想和行动，以此应对当时被广泛采用的对个人信息进行的自动化处理方式对于个体人格的威胁。这实际上属于德国 《基本法》第2条第1款中规定的人所享有的自由发展这一基本权的范畴。虽然该草案历经波折，1976年11月通过，1978年1月才开始生效，但个人信息自决权却成为后来欧洲个人信息保护的基本出发点。《联邦个人信息保护法》共有47个法律条文，这些条文确立了 “任何形式的个人信息处理必须有法律上的许可或者经信息主体同意”①BDSG(1978)&4 Abs.1.的基本原则。这部法律主要是从消极防御的角度来防御对个人信息的滥用，因此只赋予信息主体少量权利，且没有对个人信息与隐私权予以严格区分。

1983年，德国联邦政府制定了 《人口普查法》，意在全德范围内推行全面的人口普查，涉及到被调查人口的年龄、性别、住址、职业、教育程度、宗教信仰等详细信息，这引起了德国民众对国家强制收集、使用个人信息的强烈不满，甚至有一百多位公民以该法案违反德国 《基本法》为由，起诉至联邦宪法法院，请求判决该法案违宪。联邦宪法法院经过审慎审查和论证后，判决该法案违宪，并以 《基本法》中一般人格权为基础，正式提出了个人信息自决权的概念。联邦宪法法院还提出三项基本原则，即：一、个人信息自决权是保护个人得以对抗无限制信息收集行为的有力工具；二、在自动化信息处理工具面前，不再有不重要的个人信息；三、个人对于自己的信息并没有支配权，个人信息自决权受到公共利益的限制。②杨芳：《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》，载 《比较法研究》2015年第6期。

经过这次的 “人口普查案”，联邦德国信息保护的基本理念发生了重要转变，并直接促成了《联邦信息保护法》的第一次修改。修改后的 《联邦信息保护法》一改对个人信息消极保护的态度，从防止公权力机关对个人信息的过度采集和滥用转到注重合理应用个人信息，使个体免遭因个人信息被传播而引起的人格侵犯。该法还明确了公法主体无过错赔偿责任机制。此后，德国 《联邦信息保护法》又经过两次修改。二十世纪八十年代欧盟开始实施的 《个人信息保护公约》，按照德国国内法的规定，应该在3年内将其转化为国内法予以实施。但德国迟迟未采取行动，直到2001年，欧盟对德提起诉讼，德国政府迫于压力，只得匆匆完成 《联邦信息保护法》的第二次修订。这次修改后的法案规定了信息经济的原则，为减少对人格权的侵害，要求尽可能使用匿名信息。同时，该法案体现出意思自治在个人信息保护领域的作用，将权利人同意作为信息收集和处理的合法性来源，并详细规定了未经信息主体同意进行信息采集和处理的条件。此后先是2006年，德国最大的电信服务商信息系统遭受黑客攻击导致用户敏感信息泄露，后来德国铁路、大型的连锁超市、德意志银行等被指控涉嫌非法交易用户信息等行为使得德国数万名民众街头抗议，由此开启了德国 《联邦信息保护法》的第三次修订。这一次的法案修订扩大了信息主体信息自决权的权利范围，增加了“被遗忘权”、信息泄露通知等新规定，将信息安全上升到基本原则高度，要求在现有技术可能范围内，对个人信息进行匿名或者化名化处理。

（二）法国个人信息保护立法

以自然法构想为基础的 《法国民法典》将 “人法”作为该法首编的名称，但未涉及任何人格权的具体内容。这是因为法国1791年宪法及其他一些法律文件明确表明人格权是一种自然权利，这一权利被承认和尊重，天经地义，无需法律予以规定。但法国司法判例实际上一直保护着个人的各种人格利益如生命、身体、名誉、贞操、姓名、肖像、信用等几乎所有的权利不受他人侵犯。③[德]萨维尼：《现代罗马法体系 （第3卷）》，第345页，转引自龙卫球：《民法总论》，中国法制出版社2002年版，第266页。1970年，法国基于实务界和理论界的呼声，修正了 《法国民法典》，在民法上增加了自然人私生活受尊重的权利条款。④《法国民法典》，罗结珍译，中国法制出版社1999年版，第3页。二十世纪七十年代，法国拟定了数个个人信息保护及相关问题的法案，涉及到汽车司机、医院、行政档案与个人信息自动化处理系统、（数据）计算机处理及自由流通等领域。这些法案规定了个人信息主体的知悉权、修正权、删除权、控制权等一系列权利。⑤Christopher Millard,Mark Ford,Date Protection laws of the World,London:Sweet&Maxwell,1998,p.France/1-24.转载自洪海林：《个人信息的民法保护研究》，2010年版，第21页。

（三）欧盟个人信息保护立法

德国个人信息保护法的后两次修订离不开欧盟相关立法运动对其的推定作用。欧盟个人信息保护立法与德国 《联邦信息保护法》在基本思想上高度一致，都趋向保守，以人格保护为重点。欧盟最早的相关立法是1995年通过、1998年生效的 《欧洲议会暨欧盟理事会关于保护个人资料处理与自由流通指令》（以下简称 “欧盟 《个人信息保护指令》”），根据该指令第1条第1款的规定，成员国应保护个体的基本权利和自由，尤其是应当保护与个人信息相关的隐私权。

欧盟 《个人信息保护指令》中对个人信息被侵犯的案件适用一国国内法的原则是要求对个人信息的处理是 “在位于该国境内的信息控制者的营业机构的业务背景下”。这对于互联网高速发展的情形下，跨国违法侵害个人信息案件中的被害人十分不利。2002年7月，欧盟发布 《隐私与电子通讯指令》，禁止在未征得用户同意情况下，通信和互联网服务商擅自存储或者使用用户数据；要求通信和互联网服务商在存储或者使用用户数据时，必须告知用户进一步处理其数据的意图，同时用户有权选择是否同意，以此保障用户的知情权等。该指令确定了互联网个人数据保护的基本原则。

2009年11月，欧盟通过了 《欧洲Cookie指令》，要求在用户初次使用某网站时，该网站必须关闭Cookie插件的使用，只有用户明确同意启用Cookie插件时，该网站才能开启此项功能。这实际上改变了2002年的 《隐私与电子通讯指令》中的规定，即要求网站对其启用Cookie插件所应承担的告知用户的义务，以及应告知用户如何删除或者作废Cookie插件的规定。近些年来，云计算、大数据的飞速发展对个人信息保护提出了新的严峻挑战。无论是云计算还是大数据业务都能够直接获取用户信息并对其进行分析、整理甚至出让，这实际上侵犯了用户的合法权益。欧盟在承诺为云计算产业进行大额投资时，首先就必须解决云计算对个人信息保护所带来的挑战。为此，欧盟委员会于2012年发布了 《一般数据保护条例草案》，并于2015年通过了该条例。2016年，欧洲议会通过该条例。该条例于2018年正式生效。该条例将统一欧盟内此前各国零散发布的保护公民个人数据的规则。该条例以保护公民基本权利作为基本的立法理念，增加了很多具体的数据保护要求，被称作历史上最严格的数据保护条例。⑥方芳：《欧盟个人信息保护的发展路径与经验启示》，载 《金融监管》2017年第5期。此外，该条例中运用了数据外泄通知、隐私影响评估、第三方认证等新机制，与美国2015年发布的 《消费者隐私权利法案 （草案）》同样突出了 “场景导向”和“风险评估”的理念。

（四）美国个人信息保护的立法状况

美国从未制定统一的个人信息保护法，其对公民个人信息的保护方式主要是通过由各个行业自行制定有关个人信息保护的法律规则、准则的方式来予以规范，同时特别注重行业自律的作用。美国是通过个人隐私保护的模式来统一保护个人信息的。隐私权这一概念最早是沃伦和布兰代斯在1890年 《论隐私权》一文中提出的。该权利现在在美国不仅是普通法上的权利，甚至是宪法上的权利。美国1974年制定的 《隐私法》被公认为该国保护个人信息的基本法。该法主要是规范联邦行政机关对各类信息的收集、持有、使用和传输的行为。该法以隐私权保护为基础，通过对公民隐私权的保护对个人信息加以保护。此外美国还出台了 《财务隐私权法》《健康信息隐私和安全法》为公民个人的财务信息、健康信息的安全性和保密性提供相应的保护。美国的隐私权的外延广泛，这一权利具有很强的延展性，实际上包括了大陆法中的名誉权、肖像权、姓名权等具体人格权的内容，承担了一般人格权的功能。⑦王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载 《现代法学》2013年第4期。美国是判例法国家，通过法官对个案中隐私权的解释基本能很好的保护公民个人信息。这也是我国很多学者主张在我国也通过隐私权保护的方式对个人信息提供法律保护的原因。⑧笔者认为，我国学者主张以隐私权保护个人信息的观点，实则是对美国隐私权的误读，在我国立法中也使用隐私权且具有特定意义的情况下，我国个人信息保护就不应再使用美国法中的隐私权概念。美国对个人信息的态度较之欧洲，更为宽松，为积极利用型的典范。对隐私权范围的个案解释，使得美国司法界得以灵活应对技术发展带来的法律新问题。但大数据时代的来临，美国以 “知情同意权”“目的限定原则”建立起来的对个人信息保护的法规、规则显然面临被架空之危险。在此情形下，美国于2015年发布了 《消费者隐私权利法案 （草案）》，为个人信息保护提供纲领性的基本保障，同时引入 “场景导向”及 “风险导向”的立法理念以平衡个人信息保护与数据自由流动之间的矛盾。

至此，欧美历经半个世纪在个人信息保护方面的立法理念差异，因大数据等新技术的出现和快速发展对传统法律规则的颠覆，最终通过引入 “场景导向”及 “风险导向”理念而达到异曲同工之妙。但一个更值得关注的现象是：2017年3月，美国参众两院则先后宣布废除联邦通讯委员会颁布的 《网络用户隐私权保护法案》，这意味着网络公司可以不经过网络用户的许可，任意收集和出售用户的浏览记录、健康数据及其他上网信息等。这意味着在互联网高速发展时期，美国在产业发展和公民个人信息保护之间的天平已然开始发生倾斜。

三、欧盟和美国个人信息保护不同立法模式原因及其之间产业之争

欧洲和美国对个人信息保护模式自始不同的社会历史原因是，德国纳粹政权在二战时期收集个人种族等信息以屠杀犹太人以及战后部分东欧国家收集个人宗教、政治信仰等信息以侵犯个人基本权利的历史事实，使欧洲人对政府无限制地收集个人信息的行为具有天然的恐惧和不信任感，总担心历史会重演。因此欧洲国家强调将个人信息作为一般人格权这一基本权利予以保护。这也决定了其对于隐私权这一概念与美国具有不同的理解。欧洲国家隐私权概念的核心是人格尊严得到充分尊重的权利。欧洲人意识中的隐私主要是指个人所不期望在公众面前的曝光。欧洲人不喜欢媒体，认为媒体总是通过报道许多令人尴尬和不快的个体私密事件提高收视率而侵犯个体私生活空间。但对于政府，相较之美国，则显得容忍度较高。

美国则不同，建国时的美国人自始就要摆脱作为英国附属地的地位，追求自由，信奉自由的市场经济，对政府天然持有怀疑和不信任的态度。因此美国的个人信息保护始终是建立在对自由的追求和信奉的基础之上。美国人对隐私权的核心观念也是建立在对自由的追求的基础上。在美国人的观念中，自由的最大敌人是政府，而媒体虽然也时常报道涉及个人隐私的新闻，但美国民众对此表现出比欧洲人宽容多的态度。一方面缘于美国人极度信奉言论自由这一宪法权利，对于公众人物的隐私权予以一定范围的限缩，另一方面也缘于美国人相信 “阳光是最好的防腐剂，路灯是最好的警察”，民众愿意甚至一定程度上依赖媒体对政府及官员的监督。

秉承不同的个人信息保护的立法理念，欧洲所采用的全面的、消极防御型的个人信息保护的立法模式在新兴技术产业发展与个人信息保护之间更倾斜于对个人信息的保护。其立法规制的范围涵盖了所有数据采集、整理、使用主体，既包括国家和州各级公务机关也包括非公务机关；从主体行为角度看，其立法规制包含了从数据的收集、存储、使用、删除、转让等各个环节。欧盟甚至设立欧盟数据保护委员会作为专门的信息保护机构对企业或者组织的数据处理行为进行监督，对侵犯个人信息的违法行为进行调查、处罚。欧洲国家更注重个人信息的人格属性。而数据产业发展的相对劣势也使欧盟在与美国的产业之争中更注重对个人信息的强力保护来遏制美国公司在欧洲的数据业务发展以及这些公司将在欧洲获取到的数据进行跨境转移。这在立法上的体现就是保护个人信息的立法愈来愈严格。

个人信息保护问题始终存在，只是云计算、大数据等产业的兴起使过去信息主体与信息收集者、使用者之间的力量对比发生巨大变化，无论是欧洲传统民法体系所确立的具体人格权的法律保护制度亦或是美国判例所形成的对个人隐私权保护的方式都无法均衡双方之间利益，使得个人信息保护这一传统问题再次突显。对个人信息保护和产业发展之间的利益权衡的不同态度已然反映在各国立法中。在个人信息保护与产业发展之间，美国的利益天平更倾向于产业发展，无论是学术界还是实务界均表现出积极主动利用信息的态度。美国更关注个人信息的经济价值，其行业自律的做法也更为高效、便捷，更加市场化。美国是世界上最大的数据进出口国，是信息技术强国，在数据收集、处理方面拥有世界领先的技术，在跨国数据流通中获益最大。这使美国很多的商业产业因掌握翔实准确的数据，能够对市场和行情作出准确研判而处于世界领先地位。因此美国的立法相对宽松，更加注重事后的补救措施。通过行业自律监管、信息使用者的自律以及信息所有者之间市场化的相互博弈，辅助以行业监管规则和事后补救所需的高昂的违法成本，尽量减少政府监管。

数据产业发展的不平衡，对产业发展和个人信息保护之间不同的利益平衡态度，使得美国和欧洲国家之间对个人信息予以保护的立法之争愈来愈激烈。针对欧盟制定的严格的个人信息保护法对美国相关产业跨境数据传输的不利影响，美国自1998年就开始与欧盟就 “安全港”原则进行协商。2000年，欧盟正式与美国签订了 “安全港”协议。该协议中要求对于敏感信息，必须经过信息主体的明确同意，必须保证信息主体可以获知有关他们的任何信息，并且确保信息主体有机会改正、修改或者删除不准确的信息。“安全港”协议并未达到美国所需要的更加宽松的数据跨境传输需要，因为只有参加 “安全港”或者签署保护数据合同的公司或者组织才可以接收传输的数据，因此这一协议签署实际上是欧盟和美国互相妥协的结果。加入 “安全港”协议的美国公司可以不必逐个经信息主体授权而进行数据转移。这有利于加入 “安全港”协议的美国公司一揽子解决其在欧洲的数据业务。同时，美国也部分接受了欧盟较为严格的个人信息保护规则。

2016年5月，欧盟落实 “被遗忘权”的司法判例，实施更为严格的 《一般数据保护法》。该法规定：获取、处理个人信息的 “控制者”必须得到个人的明确同意，这种同意必须是事先且随时可以撤销的。这对于美国在欧洲的数据产业影响重大。更为重要的是，美国不希望其他国家效仿欧盟做法。为此，美国与欧盟于2016年2月达成新的数据跨境转移协议——《欧盟和美国隐私盾协议》。这一协议加重了加入 《欧盟和美国隐私盾协议》的公司或者组织将个人信息转移第三方的责任，要求这些公司或者组织信息处理业务限制在信息主体明确同意的范围内，并确保接受信息移转的第三方遵守信息转移方承诺遵守的标准和内容。欧盟2016年的 《一般数据保护法》的出台更多显现的是产业之争，体现出欧盟对其他国家特别是美国数据产业对本地区影响的抗争，但最终欧盟和美国通过 《欧盟和美国隐私盾协议》达成新的相互妥协，“隐私盾”并未惠及其他国家。

四、个人信息的属性

在欲将个人信息纳入法律体系予以保护时，我们不可避免要首先解决其法律属性问题，我们为什么要保护个人信息，其是否可以涵盖在现有法律体系中的某个范畴中，如果是，其属于哪个范畴。而后我们要审视其所属的法律范畴中现有规范是否足以提供相应的规制原则和规则，最后再决定对其予以完善或者建立新规则的问题。对于个人信息的定义，多数学者最初都是从欧美相关法规、规则中摘取、概括而来。至今学者们对个人信息的定义仍存有诸多争议，但也达成了基本的共识：即个人信息是指能够单独或者组合后识别特定个人的一切信息，包括姓名、性别、年龄、体重、档案、医疗记录、收入、家庭住址、电话号码、汽车发动机号、电脑序列号，甚至是行走路线、消费习惯、上网浏览记录等。个人信息最基本的特征是具有识别性，不论是直接的还是间接的、单一信息抑或组合信息，只要能够判断出特定个人的信息即认为属于个人信息；个人信息的主体为个人，即自然人，社会组织、法人的数据信息不属于个人信息范畴；个人信息包含个人隐私，兼有人格权与财产权双重属性。⑨张平：《大数据时代个人信息保护的立法选择》，载 《北京大学学报 （哲学社会科学版）》2017年第3期。其他学者相似观点可以参见任龙龙：《个人信息民法保护的理论基础》，载 《河北法学》2017年第4期；刘德良：《构建个人信息保护的双重模式》，载 《中国社会科学报》2012年4月2日第A07版。对此，笔者的观点为：个人信息为自然人信息，不包括法人和其他社会组织的数据信息。法人和其他社会组织的数据信息因仅涉及到财产属性，不涉及到法哲学上对人的伦理思考，由法人、组织名称权、荣誉权、商业秘密等相关法律、法规从财产权角度予以保护已然足够。因此确实不该将其纳入个人信息保护范畴。但对于个人信息是否以对特定人的可识别性作为主要特征，却有可探讨之余地。

目前，我国学者对个人信息的法律属性主要有如下观点：

一是人格权客体。持有此种观点的学者主要是受大陆法系的德国、法国相关立法影响，认为个人信息体现的是公民个人的人格尊严，在性质上属于独立的人格权，属于个人信息自决权的范畴。王利明教授就主张在民法典中将人格权单独成编，在人格权编中将个人信息作为一项单独的具体人格权予以立法保护。⑩参见前引⑦，王利明文。

二是隐私权客体说。学者们得出这一结论主要是源于美国 《隐私权》法。例如陈红教授就认为“个人信息属于个人隐私。保护个人信息的目的就在于保护个人隐私。这是因为隐私权的基本内涵在信息社会条件下已融入了更多的积极因素，不仅限于私生活不被打扰的消极、被动、静止的传统范畴”。陈红：《个人信息保护的法律问题研究》，载 《浙江学刊》2008年第3期。

三是综合权利客体说。主张该说的学者认为个人信息既有人格属性，也具有财产权属性。据此，对个人信息的保护应该被分为两类：一类是与人格利益有直接关系的，比如肖像、隐私、姓名等；一类是与人格利益没有关系的，这些信息可以被正常利用，只要不被滥用或非法买卖，不会对我们的人格权造成损害。参见前引⑨，刘德良文。

四是所有权说。该说主张个人信息类似于物权，由信息主体享有所有权。因此，信息所有权人对个人信息享有占有、使用、收益和处分的权利，可以授权其他人收集、使用、处分其个人信息，对于他人未经授权的行为有权要求损害赔偿。汤擎：《试论个人数据与相关的法律关系》，载 《华东政法学院学报》2000年第5期。

上述观点都有其一定道理，但我国学者在从比较法角度研究个人信息保护问题时，似乎忽略了一个重要的概念研判。“隐私权”这个概念在我们国家有约定俗成的语义，但从前文印证的美国《隐私法》中对 “隐私”一词的定义以及美国法院相关判例来看，美国法中所指称的 “隐私”范围远远超过我们国家隐私权概念的语义范围，类似于大陆法系所指称的一般人格权。显然，我国学者将该法令中的个人信息保护主要限定为是对个人隐私权的保护，实际上限缩了个人信息的范围。个人信息包含隐私信息还包含有非隐私信息。隐私信息一般与阴私相关，与性、家庭等个人私密生活相关，出自孙宪忠教授题为 《〈民法总则〉重点解读与民法典立法前瞻》的讲座内容。个人隐私这一概念具备强烈的社会属性，在不同社会、不同时期其外延有所不同，但在一定时期一定的社会总有比较一致的观点。而个人信息的范围则要广泛的多，除隐私外，还包含所有其他的个人信息，如电话号码、工作单位、家庭住址、银行账户等等。民法对隐私和个人信息的保护程度有所不同，对于隐私是绝对不容许其他人侵犯的，但对于个人其他一些信息，法律则允许其他人合法、合理予以使用，甚至有些个人信息是个人在现代社会必须让渡给其他人或者组织知晓、采集或者使用的，如银行贷款时，银行有权要求自然人提供个人详细信息，甚至包括个人的薪酬情况等以确定是否给予其贷款，医生有权要求病人提供自身及家族病史等。因此，我们在做比较法研究和分析时，不能仅仅局限于概念的一般语境下的字面翻译，而应该透过现象追求概念所蕴含的真正的法律含义。

个人信息，从语义上理解，应该为与自然人有关的全部信息。从力求概念精确性角度说，可识别性作为一个具有鲜明时代特征的词语不应该作为个人信息的一个重要特征。在一个时代不可识别的内容可能会因为技术的发展在另一个时代具有可识别性。但这一信息或者内容却始终是不以人的意志为转移而存在，只是人寓于认识之有限性总是不断发掘其外延。法律所保护的信息若不能单独或者组合后可识别到个人，则信息主体便不能对抗其他主体的使用而已，但不能说法律就不认可这些信息构成个人信息的内容。

因此，笔者认为无论是欧盟亦或是美国的立法对个人信息的定义均具有一定的延展性，对于新技术日新月异的时代来说，更具有现实价值。欧盟和美国对个人信息的定义欧盟将个人信息界定为：个人数据是指一个数据主体相关的任何信息；数据主体是指一个可识别的自然人，或控制者、自然人、法人通过有效运用数据而识别的一个自然人，特别是运用这个人的身份证号码、定位数据、网络标识符、生理、心理、基因、精神、经济、文化、社会身份。美国 《隐私法》中对个人信息的定义是：一个机构所持有的与一个人相关的单项信息、信息集合或一组信息，包括但不限于：他的教育、金融交易、医疗病史、包含姓名的犯罪前科或工作履历、识别号码、代号，以及其它专属于一个人的标记，如指纹、声纹或照片。参见黄蓝：《个人信息保护的国际比较与启示》，载《情报科学》2014年第1期。The Privacy Act of 1974[EB/OL].http://www.justice.gov/opcl/privstat.htm,2017-9-20.并没有将可识别性作为信息的限定词，而是作为信息主体的一个特征，将 “可识别性”作为个人信息的基本特征，应该是我国学者在比较法研究中的误读。

五、境外个人信息保护面临的挑战

当我们抛开对欧美法中一般人格权、隐私权的不同解读时，我们会发现，欧美国家过去个人信息保护立法中对个人信息保护基于信息主体意思自治而确定的主要原则——“知情、同意”原则和“目的限定”原则正面临被架空的危险。

首先，“知情、同意”原则面临的现实困境。互联网的出现和发展，对传统民法中 “知情、同意”规则产生重大冲击。互联网技术出现之前，交易多为线下一对一谈判式进行，双方民事主体对交易的内容、客体、交易目的等具有清楚认知。“知情、同意”规则在涉及任何一方主体重大认知事项时具有重要提示和许可作用，可以作为一方获取充分知情权的证据，并可以据此免除另一方的民事责任。但互联网技术的出现使得交易双方之间对信息的获取及力量对比不再对等，一对多的局面使商家可以以很低成本获取大量客户，作为个体消费者失去与商家谈判的筹码，很多时候处于不得不 “同意”的境地。“知情、同意”这一欲以知情权保护消费者的规则已经失去其意思自治的法律作用，反倒沦为商家以不对等的力量侵害消费者利益并豁免责任的工具。在大数据时代，个人信息通过信息技术的不同组合将产生不同的价值，无论是立法者还是信息采集者都很难事先完全预估合法授权的事由。政府机关同一项信息或者同几项信息组合对不同部门均具有相应价值，而重复采集重复 “知情、同意”反倒造成社会成本的浪费。实践中，信息收集者为能够最大限度符合法律的要求，均尽可能在相关声明所列出的事先的授权事由中对需要用户让渡的个人信息的内容进行详细列举阐述，并增加兜底规定，架空了 “知情、同意”规则，使依据该规则作出的司法判决面临严重的非公平、非正义的责难。

其次，“目的限定”原则面临困境。二十世纪六七十年代开始的欧美个人信息保护立法中均要求信息采集、使用者最晚要在信息开始采集时告知信息主体其个人信息被采集、使用的用途，并取得信息主体的许可。之后，其采集到的信息使用受到该目的的限制，信息控制者不能超出信息主体实现同意的信息使用范围使用、处分信息。在大数据时代下，个人信息的挖掘、比对、再加工处理是这一产业创造价值的最主要方式。信息挖掘之前很难确定其最有价值的使用目的，限定目的的信息保护方式虽然能对信息主体提供更周全的保护方式，但对于大数据产业却也是 “致命打击”。为尽可能避免事先目的限定原则的限制，信息采集、使用者往往事先罗列出尽可能多的使用目的，增加了信息主体阅读和理解负担，增加了社会成本，造成不必要的资源浪费。

对此，欧美目前均引入 “场景导向”与 “风险评估”的新理念。所谓 “场景导向”，就是指要结合所处的具体环境、综合各种因素对个人信息的采集、使用是否合理进行考察、判断而非基于当事人的事先同意，也避免脱离具体的场景进行事先的预判。这就彻底改变了过去借助 “知情、同意”模式对个人信息保护的方式，而是根据信息采集和使用的具体场景进行动态分析和研判，以结果为导向，重点考核信息控制者的行为给信息主体所带来的影响是否符合信息主体的合理预期。“风险评估”理念即在对个人信息采集、使用等行为进行个案分析的基础上，将其可能给信息主体带来的风险划分为不同的风险等级，针对不同的风险等级采取不同的管理措施，使风险始终控制在信息主体可以接受的合理范围内。“场景导向”和 “风险评估”理念的引入，一方面规避了原有的个人信息保护方式被 “架空”的现实困境，另一方面通过对不同语境下个人信息采集、使用的动态风险管理，较好地平衡了个人信息保护与产业发展二者之间的利益。

六、我国个人信息保护的立法建议

个人信息保护不是个现代问题，其归根究底是法律对人作为人的尊重，对人的尊严及自由的承认和保护问题。从罗马法开始民法中就一直在寻求解决人的问题，从 《法国民法典》这部可与 《人权宣言》相媲美的如诗歌般的经典之作，再到 《德国民法典》这部特别强调归纳、演绎和法律技术的被认为极具科学性的民法典，实际都是要解决人的生存、发展问题。《法国民法典》颁布19于世纪之初，带着人们破除封建社会中人对人的压迫、不平等的阴霾，带着人们对自由、平等、个性彰显的憧憬迎着19世纪之初的朝阳满怀激情地来到世间。《法国民法典》第一编就是关于 “人”的内容，其所确定的 “所有权神圣”“契约自由”“过错责任”原则完美地在私法中诠释了个人自由理念。经过近一个世纪的洗礼，与社会现实的冲撞、磨合，颁布于19世纪末的 《德国民法典》在潘德克顿派法学家的笔下理性、抽象。国家干预经济使德国在较短时间内完成工业革命，与美国一同成为超越英法的工业强国。国家与个人、社会组织与个人之间的张力在 《德国民法典》中均有所体现。《德国民法典》不仅仅创设了法律上拟制的人的概念，同时 “合意”被赋予至高无上的地位，人的意思表示被作为法律行为效力的重要判断标准。秉承 “天赋人权”的思想，认为人的权利是天生而非法律所创设的。《法国民法典》没有对人格权作出规定。《德国民法典》制定前夕，对人格权是否予以规定的激烈争论最终因受萨维尼 “人无法就自己的精神利益享有所有权，并且也无法占有自己的身体和肢体”，王利明：《民法典体系研究》，中国人民大学出版社2008年版，第423页。而 “权利是人支配物的关系，不是人支配人的关系，所以无法规定人格权”王利明：《试论人格权的新发展 （上）》，北京仲裁委员会网：http://www.bjac.org.cn/news/view?id=1365，2017年9月20日访问。的观点而盖棺定论。但二战中纳粹对犹太人的迫害使德国人始终处于担心历史重演的恐惧中，最终促使德国通过司法判例将一般人格权作为一项独立的权利在民法中予以确认，但民法对一般人格权的保护主要是为了在权利主体被侵害时使权利主体能够得到民法上的救济。美国对人的自由的崇尚主要体现在宪法中，在私法领域则主要通过自由创设合同的方式予以体现。在计算机技术产生之前，法律就已经确认个人享有肖像权、姓名权、隐私权等权利并通过 《侵权责任法》对权利人遭受的损害予以法律救济，甚至规定了精神损害赔偿的内容。只是新技术的发展，使这些国家曾经确立的法律原则如 “知情、同意”标准在个体之间、个体与组织之间、个体与国家之间的利益天平发生了大幅度倾斜，使人在机器面前变得更为渺小，使人对自己被进一步物化的恐惧加深。在现代文明社会，人类绝地反击的武器就是法律和规则。

人是自由的，但是每个人的自由都是有边界的，都要受到他人自由、社会整体利益的制约。任何法律、政策的制定均无法脱离其所处的社会背景和政治诉求。恰如 《法国民法典》和 《德国民法典》制定的目的之一就是通过法律的统一促进国家的统一。彼时法律中所彰显的个体自由恰是自由资本主义时期经济的推动力。但人类社会进入后工业时代后，个体的力量变得微不足道，个体愈加需要组织体的庇护。个体为获取国家长期提供的安全保障和社会福利，必要时必须牺牲部分自我利益和自由，如我们现在已经普遍接受的观点，国家有权为公共利益的需要剥夺个人的财产权。国家产业发展和个人信息保护之间也存在着此消彼长的张力，政策松紧便是不同时期两者之间天平两侧的筹码。如下立法建议中宽松式立法模式选择内容恰是建立在这样的个人认识基础上，针对我国经济将长期处于L型发展阶段而提出，其他两方面内容则更多考虑到法律体系科学性的内容。

（一）我国个人信息保护立法需考虑国家战略，采纳相对宽松式立法模式

二十一世纪是云计算、大数据、人工智能产业的时代，这些技术不仅仅运用在我们的私人空间对个体权利义务产生巨大影响，而且常常运用在国家安全和社会发展层面，因此各国纷纷加大对这些领域的战略投入。对于发展中国家来说，大力发展这些产业或是弯道超车的最佳机会，我国也已经将这些产业列入重要的国家战略产业发展目录中。云计算、大数据技术的发展和广泛运用必将重塑我们这个时代的社会和我们的生活方式。过去我们必须依靠完善的法律规则予以解决的困扰我们很久的问题随着技术的发展和使用已然被创造出很多无需借助法律的解决方案。同时随着新技术的发展，又有很多新的领域需要以法律的名义建立新的规则予以规制。美国抓住了二十世纪互联网产业飞速发展的时机，产生了很多引领世界潮流的互联网公司，凭借自身技术和信息优势，从其他国家获取超额利润，从而在二十世纪得以成为世界上最强大的国家，国民生活水平大幅度提高，社会保障完善。这与其宽松的法律环境，国家对产业发展的大力支持密不可分。2017年3月，美国参议院、众议院先后宣布废除网络用户隐私权保护法案。这意味着互联网业务公司可以基于自身的商业发展，肆意收集和出售网络用户的浏览记录、网络信用记录等所有上网信息而无需顾及网络用户自身的感受。但这并不意味着美国在这场产业之战中获取决胜地位后，不调整其个人信息保护政策，由对个人信息的宽松保护转而倾向于突出对个人信息的严格保护。据相关媒体报道，我国在新兴技术产业特别是云计算、大数据产业有望达到世界领先水平。现阶段，选择美国式相对宽松的个人信息保护立法模式更有助于初创时期这些产业的发展，最终有利于个体人的全面发展。

现代社会资源紧缺愈加明显，如何有效利用有限资源满足尽可能多的人的需要是所有国家都必须面对且需要解决的重要问题。云计算、大数据的发展已呈不可抗拒之势，其侵犯个人信息的风险不可避免。立法过度强调对个人信息保护，实则增加信息控制主体采集、使用个人信息的成本，最终这种成本又均将转嫁于信息主体身上。由于信息不对称、事先预防性机制的不可控性，成本在转嫁的过程中大部分未产生实际效用，使得社会整体效率低下，浪费严重。以经济效果作为立法导向，也表明我们应该选择美国式相对宽松的个人信息保护立法模式。

（二）个人信息保护立法应侧重由宪法、刑法、行政法和经济法立法解决的模式

随着云计算、大数据技术的深入发展，人对于技术的依赖性增强，这场盛宴中的个人都将愈来愈透明，而技术的掌控者都将愈来愈隐蔽。当自由竞争市场经济的信奉者认识到国家适度宏观调控的重要性时，主要调整形式上平等主体间的人身和财产关系的传统民法已经无法完全实现社会生活中愈来愈多实质力量不平等的个体之间的公平、正义，带有国家调控色彩的经济法应运而生。

个人信息保护涉及到人格问题，涉及到对人格的尊重，对人的自由、尊严的保护，这需要在关涉人权的国家基本法——宪法中首先对其予以肯定。其次，个人信息保护目前的问题主要是信息采集、使用阶段对信息主体利益的侵害问题，这需要从信息采集、使用的源头事先予以规范。如前所述，传统民法中 “知情、同意”规则对大数据时代个人信息保护问题呈现出无能为力之势，必须借助国家力量根据不同行业、不同场景在信息主体和信息控制者之间事先重新分配法律资源，这恰是行政法、经济法的任务。加紧进行个人信息保护单行法立法是行政法、经济法学界当前的重要立法任务。最后，在行政法、经济法已经建立了对个人信息保护的事前预防机制的情形下，对个人信息保护的事后救济措施应该主要通过完善侵权责任法中侵权行为构成要件等内容对权益受到损害的民事主体予以民事赔偿来解决。个人信息保护不仅关涉个人利益，同时牵涉到国家安全问题。信息控制者在个人信息采集、使用、转让行为过程中违反法律规定造成严重后果或者对国家、社会整体利益产生重大损害的，还应该在刑法中规定其应承担的具体的刑罚责任。我国 《刑法修正案 （七）》已经将非法获取、非法出售个人信息的行为规定为犯罪行为。

个人信息保护涉及到社会生活中人的最基本权利，对其完善的法律保护方式必须是在宪法统领下各部门法各司其职相互作用的结果。

（三）坚持民法中的个人信息保护主要由侵权法承担的原则

首先，人本身是目的而不是手段，人作为人的基本权利是与生俱来的。个人信息作为与其主体“人”密切联系的一类信息，范围极其广泛，其中有些信息如隐私权、肖像权、名誉权等涉及到个人私生活领域或者是涉及他人对个人的社会评价问题，对个人及其家庭生活十分重要。这类信息绝对不允许未经权利人同意予以公开、使用甚至是交换以换取经济利益。而另一些个人信息则是个人在群体生活中必须予以公开，允许他人使用的，如姓名等。有些个人信息一般情况下不允许任意他人未经许可获取、使用，但特殊情况下，无论权利主体是否允许都应该对特定人公开，如急救情况下，医生未经病人许可调阅病人病例的情况；恶性突发事件中，警务人员调阅事发现场人员信息情况甚至监听所有在场人员通话情况等。还有一类个人信息如个人信用信息，对个人的社会评价以及个人生活均有实质影响。但同时这一信息对于贷款银行、民间借贷中的出借人是否给予借款人贷款、贷款利率及贷款周期的判断亦有实质影响。因此我们不宜对个人信息中的具体信息不加区分一概以具体人格权的方式予以立法保护。

其次，我国 《民法总则》第一百一十一条规定 “自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利”。该条规定中的姓名权、肖像权、名誉权、荣誉权等具体人格权内容本身就是个人信息的一部分。若将个人信息权在未来的人格权法中确认为一项具体人格权，为求概念精确，体系完整，则必须在未来的民法典分编中改变我国刚刚出台的 《民法总则》中具体人格权分类体例。

再次，如前所述，个人信息的外延范围广泛，法官对个人信息概念的理解不同，司法判决也就不同。为求司法实践的统一性和可操作性，最佳解决方案就是立法规定尽可能地明确、具体。就像王利明教授所建议的：在将个人信息权作为具体人格权内容予以规定时，个人信息的概念 “应该尽可能地详细列举，以明确个人信息的范围”，王利明：《论个人信息权在人格权法中的地位》，载 《苏州大学学报 （哲学社会科学版）》2012年第6期。并建议参照我国台湾地区2010年颁布的 “个人资料保护法”中对个人资料详细、穷尽式列举方式，以 “有利于明确个人信息权的权利保护范围，在具体的司法实践中，普通民众可以清晰地了解个人信息权的保护对象，司法机关也能够针对具体的对象准确适用法律，减少争议”。参见前引，王利明文。但是，若果真需要如此规定，那么我们为何不将个人信息定义中的内容直接规定为具体人格权而一定要新引入 “个人信息权”的概念呢？法律对个人信息提供保护的主要原因在于个人信息与自然人人格联系密切，与自然人有关的一切信息若被不当收集、使用而侵犯了该自然人利益，民法应该赋予他获得法律保护的权利，列举式的概念范围划定，实则限制了自然人权利的行使，反倒有违个人信息保护的立法本意。

因此，现有民法体系建立的一般人格权、具体人格权保护方式，通过侵权责任法对权利主体权利受到侵犯予以民事法律救济的方式应该予以保持，并根据个人信息的特点和实践需要在侵权责任法中确立和完善科学的个人信息侵权行为事后民事追责和救济机制。