杨 健

(南京信息工程大学 法政学院，江苏 南京 210044)

随着网络科技和人工智能的飞速发展，人类已迈入信息化社会，大数据、物联网等信息产业技术成为这个时代发展的重要特征，大数据成为社会发展的重要资源之一。越来越多的国家认识到大数据产业对于经济发展的重要意义，并相继将大数据产业上升到国家战略。个人信息是大数据的重要组成部分，因其特有的明显的、实质性的经济价值，备受政府、企业等相关主体的关注。大数据产业的发展避免不了要对个人信息进行收集和处理，但这种收集与处理行为对个人信息不合理、不合法的利用，势必会加剧社会对个人信息安全的担忧以及减少人们分享个人信息的意愿[1]，Ari Ezra Waldman在对Facebook信息分享的个案中就指出，信任是个人意愿在社交网络上分享个人信息的重要因素[2]。为了确保个人信息的便捷流通与安全使用，世界各国在立足国内关于个人信息的关注程度以及个人信息利用开发需求等基础上，相继出台了个人信息保护法律法规或者政策[3]。笔者认为，在大数据时代个人信息权益的共享已成为必然趋势，我国应当通过专门的个人信息立法明确个人信息保护与利用的界限，确立个人信息权益共享的制度规范。

一、个人信息权益共享的法经济学理论及国内外立法比较

(一)个人信息权益共享的法经济学理论

个人信息权益共享其实并不是一个新鲜概念，自20世纪下半叶以来，信息技术的不断发展已经把它带到了公众辩论的前沿。波斯纳认为，对隐私信息的保护造成了市场的低效，因为它隐藏了其他经济主体需要了解潜在的相关信息[4]。例如，如果求职者向招聘单位谎报自己的背景和专业知识或者隐瞒自身的一些不良信息，保护他的个人信息将会对单位的招聘决定产生负面影响。因此，前者的隐私信息保护是以后者的盈利能力为代价的。政府通过隐私监管将个人信息从市场中移除，最终将该个人可能的负面特征的影响转移到其他主体身上，这对其他主体是不公平的。同样，斯蒂格勒认为，对个人信息市场的监管干预并不会总是有效的。因为每个人都对公开披露有利的个人信息和隐藏不利的个人信息感兴趣，那些决定保护自己个人信息的人实际上并不会把自己的负面信息共享。在这种情况下，阻止个人信息流动的监管干预将无疑是低效的，因为该类信息本质上就不是真实的[5]。

20世纪90年代中期，随着数字信息技术在多个方面的进步，出现了一系列涉及个人信息使用的新问题。个人信息的利用理论迎来了新的发展，新的理论考虑到隐私信息的特殊性，以及对数字信息技术作用的新的认知。学者们开始关注诸如加密技术在影响数据持有者和数据主体的经济权衡方面的作用等问题。

瓦里安注意到数据操纵的低成本技术的发展对个人信息处理产生了新的影响。如果消费者的个人信息被分享给第三方的太少，而不是太多，他们可能会承受隐私成本。他指出，消费者可能合理地希望其他方知道自己的某些信息，然而，出于理性，同一位消费者可能不希望别人知道太多信息，例如，关于他愿意为自己感兴趣的事物付费限额的信息[6]。瓦里安的推理路线与斯蒂格勒和波斯纳的方法相呼应，但又增加了与个人数据的二次使用相关的新顾虑。消费者可能理性地决定与公司分享个人信息，因为他希望从交易中获得净收益。然而，他对如何使用以及由谁使用这些数据几乎一无所知，也无法控制。公司可能会将消费者的数据卖给第三方，这可能会导致垃圾邮件和不利的价格歧视等问题，这种负外部性可能不会被消费者或散布信息的公司所控制。

劳登则提出了创建信息市场，在这个市场中，个人拥有自己的个人数据，并可以将这些数据的权利转让给他人，以换取某种形式的补偿。与芝加哥学派学者提出的观点相似，劳登认为，仅仅通过法律保护隐私已经过时，一个基于个人信息产权的系统将更好地满足消费者和公司的利益。但是，一个关于个人资料的财产权制显然需要适当的立法来界定和分配这些权利[7]。这一结论表明，基于市场的和监管的隐私处理方式并不是对立的，而是一个光谱上的点。一方面，在光谱的一端人们会发现没有隐私立法存在的体制，保护数据完全依赖公司的市场行为(例如采用加强隐私技术以防止个人数据的泄漏)，以及公司的自动调整的推动数据处理策略。另一方面，隐私监管将对个人数据建立严格的默认保护，并限制其使用。在这两者之间，立法措施可能会为个人资料的产权，以及为在资料当事人和潜在资料持有人之间交易这些权利创造一个框架。

(二)个人信息权益共享的国内外主要立法及差异分析

我国目前已出台或者正在出台的相关法律或政策文件主要有《中华人民共和国网络安全法》《民法典》和《数据安全管理办法(征求意见稿)》等。从立法情况来看，我国政府对于个人信息使用的保护与利用尚未有独立的法律规范，目前仅在部分法律中对个人信息保护与利用予以确认，如《中华人民共和国网络安全法》第22条、第41条和第42条等将个人同意作为企业合法收集、使用个人信息的前置条件，《数据安全管理办法(征求意见稿)》第11条、第22条规定收集使用个人信息应当征得个人信息主体同意。民法典人格权编将隐私权和个人信息保护单列一章，明确了个人信息使用的原则和界限、个人信息利用除外条款以及个人信息主体的权利等内容，充分彰显了我国对于个人信息保护与利用的重视，也是我国个人信息保护立法的一个突破。

关于个人信息保护与利用，欧盟主要依据《一般数据保护条例》(GDPR)，《条例》在《数据保护指令》(DPD)的基础上完善形成，以单行立法的形式对个人信息利用的主要原则、权利义务以及相关的责任分配等作出了详细的规定，从制度层面上构建起了关于个人信息保护与利用的模式，符合个人信息利用发展的趋势。

我国《民法典》与《一般数据保护条例》(GDPR)关于个人信息保护有相似之处，都对个人信息的使用原则、信息主体的权利等作出了明确的规定，但两者之间的差异更为明显。

第一，两者的立法模式不同。我国立法是将个人信息保护纳入到《民法典》之中，未独立进行个人信息保护立法，而欧盟从《数据保护指令》(DPD)到《一般数据保护条例》(GDPR)都是以单行法律的模式进行个人信息保护，产生这种差异的主要原因与我国的立法理念有关。一直以来，我国的立法模式是部门主导立法的模式，即具体落实的部门牵头研究制定相关的法律法规。2011年，国家互联网信息办公室成立，至此，我国的个人信息保护立法工作开始加快步伐。欧洲国家关于个人信息保护的立法有更多的法律实践，因而有利于形成完善的个人信息保护法律机制。

第二，两者的立法定位不同。我国倾向于将个人信息保护纳入民法领域，故而通过《民法典》确立对个人信息进行保护的基本内容。《民法典》关于个人信息保护的立法条文一共有8条，包含了隐私权的相关规定。从立法内容上看，《民法典》关于个人信息保护只是统领性的原则规定，这种统领性的立法定位为个人信息保护专门立法留下了空间。《一般数据保护条例》(GDPR)的法律性质则表现出多维的特征，涉及民法、行政法和经济法等多个领域，并且《条例》对于个人信息的保护与利用进行了相当完整的规定，涵盖了适用范围、基本原则、具体利用规范及界限、法律责任等内容，具有相当的可操作性，基本能够适应对个人信息权益多样性保护的要求。

第三，两者的立法侧重点不同。民法典人格权编第六章为“隐私权和个人信息保护”，可以看出，我国对于个人信息立法的侧重点在于个人信息“保护”，这主要是因为我国个人信息保护立法起步较晚，在互联网大数据发展的过程中我国个人信息保护一直未受到重视，个人信息保护的形势相对严峻，因此在立法初期必然会选择强化个人信息保护。《一般数据保护条例》(GDPR)虽然也有对个人信息的保护内容，但从《条例》的整体设计来看，其更具有功利性的特点。欧洲国家个人信息保护的立法起步早，在社会上已经形成了个人信息保护的意识。因此，《条例》侧重于平衡信息主体、信息控制者、信息处理者以及国家机关之间的相互利益关系，从而为充分发掘个人信息的使用价值提供保障，如从《条例》第5条、第6条的内容来看，更多的是对以合法、合理和透明的方式来处理个人数据的一个界定，这与我国更侧重于对个人信息的保护是两种不同的理念[8]。

从整体而言，我国个人信息保护的立法与欧洲发达国家个人信息保护的相关立法仍然存在不小的差距。在数字政务和数字经济日益发展的今天，如何构建新型的个人信息共享模式法律体系，实现个人信息共享和信息保护之间的权衡取舍，是我国个人信息立法和政策创新工作面临的重要任务。

二、个人信息权属分析

(一)个人信息的私人权益属性

《民法典》对个人信息的定义主要是指与自然人相关的各种信息，包括自然人的姓名、身份证件号码、生物识别信息、电话号码、电子邮箱、健康信息、行踪信息等。从这个定义来看，个人信息的私属性是比较明显的，并且民法典将个人信息编入人格权编，将个人信息定位为人格权益，也体现出法律对于个人信息私权属性的保护[9]。《一般数据保护条例》(GDPR)第16条、第17条、第18条关于数据主体的更正权、擦除权(被遗忘权)和限制处理权的规定，也体现出数据主体对于数据的支配权益，这种权益的基础在于数据主体对数据的私有权利。

对于个人信息私人属性的论述，孙日华、张井忠提出，信息自决权和信息隐私权作为个人信息私人属性的权利支撑，虽然信息自决权与信息隐私权对个人信息保护所立足的理论以及在对个人信息保护方式上有差别，但二者之间的落脚点都是----个人信息作为私人物品，信息个体有权对其进行控制[10]。

信息自决权起源于1983年德国联邦宪法法院的人口普查案[11]，当时德国联邦政府欲依据《人口普查法》调查人民生活之相关信息，包括住宅、姓名、住址、电话、出生日期、家庭状况等诸多个人信息。针对联邦政府的调查，联邦宪法法院提出信息自决权，即信息主体有权拒绝其他主体收集、储存、使用、流通个人信息，个人可以自主决定是否公开以及如何公开个人信息。尽管联邦法院提出了信息自决权，但并不意味着个人可以不受限制地控制和行使信息权利，在社会利益与重大公共利益面前，信息自决权仍然需要受到限制。

信息隐私权起源于美国，计算机和网络技术的发展在给人们带来便利的同时，也造成对个人信息权利尤其是隐私权的侵犯[12]。20世纪60年代，美国政府关于成立“国家资料中心(National Data Center)”的提议，引发了美国社会对于个人隐私权的关注[13]，信息隐私权(information privacy)的概念逐渐形成。美国联邦最高法院对这一权利的表述是，法律和隐私的外在含义均包含了个人对与其相关的信息的控制[14]。信息隐私权是保护个人信息权利的产物，其目的在于通过对信息个体隐私权利的确认，从而达到维护信息主体的信息自主权、自我认同和个人尊严[15]。不过，和信息自决权一样，信息隐私权也并非一项绝对性的权利，因此，美国政府在制定信息隐私政策和法律之初，就寻求在信息流通和隐私保护之间寻求平衡。

(二)个人信息的公共权益属性

传统信息技术时代，个人信息的私权属性得到普遍的认可，但大数据时代的到来，开始颠覆社会对于个人信息权属的认识，在蓬勃发展的信息经济中，个人信息已成为一种有价值的商品，是经济增长和创新的主要动力之一，人们也意识到过度强调对个人信息的保护可能会限制数字经济的发展。因此，在大数据时代探索个人信息共享的正当性道路，成为信息时代法学家们的研究方向[16]。

随着物联网的兴起，信息技术的发展正改变着城市生活的传统方式，城市的信息化发展和个人信息化产品的运用使公共空间和个人空间都成为更具有被入侵性的场所，而城市的众多人口与城市公共空间、个人私密空间的物联网设备和传感器进行交互时产生了大量的数据，这种无处不在的有关城市生活各个方面的数据收集以及对公共空间和个人空间的侵入，引起了社会的广泛关注。到2025年，联网设备的数量预计将攀升至750亿部[17]，在联网智能设备数量不断攀升的过程中，个人信息走向互联互通也就成为必然。

当个人信息被共享时，有时会具有公共产品的特征，比如非竞争性和非排他性(个人信息主体实际上也无法实现对个人信息的绝对控制)[18]。个人不再仅仅是信息的消费者，也是个人数据的公共生产者，随着包含消费者信息的数据库的激增，一些公司能够控制数十亿用户跨平台、在线服务和网站的行为跟踪和链接，如此大量的数据具有明显的、实质性的经济价值。个人的特质和属性(如人的年龄、地址、性别、收入、偏好、网上评论等)正日益被视为业务资产，可用于目标服务或提供相关广告，或与其他各方交易。

大数据时代，个人信息已与他人利益和社会利益相关联，个人信息早已溢出私人权益属性范围，具备公共权益属性[19]。在新型政务管理模式下，政府各部门通过政务服务平台等多种途径收集个人信息。同时，在大量收集个人信息的基础上，利用高性能计算机、云存储等科技对个人信息进行批量分析和综合处理，可以大幅度提高社会管理的效率。例如，在城市管理中，政府部门可以利用大数据来调节城市环境，通过收集和分析大量的城市居民的数据信息以及与信息科技公司达成的合作协议，可以提高城市交通、住房、公用事业、电信和环境服务的智能化程度[20]。

通过对个人信息的收集和分析，政府部门在应对重大突发事件时能够更加从容。在公共医疗卫生领域，大数据与医疗信息的融合，有助于提升政府公共医疗服务效率，从而提高医疗质量[21]。例如，电子病历(EMR)允许医疗提供者使用计算机而不是纸质病历存储和交换患者信息。Hillestad等人提出，假设为期15年，EMR的采用率90%，通过提高效率和安全性，EMR每年可减少美国医疗成本340亿美元[22]。

三、个人信息权益分配机制构建

(一)个人信息权益分配的整体框架

1. 信息权益分配机制构建的前提是对个人信息的权利主体进行界定

第一，个人信息权益分配需要确定能够享有权利的权利人范围。《网络安全法》描述的主体包括政府部门、网络经营者、信息主体以及其他个人和组织；民法典人格权编涉及的主体有国家机关、信息处理者、信息主体和其他自然人；《数据安全管理办法(征求意见稿)》涉及的主体有政府部门、网络运营者、个人信息主体以及其他个人信息需求者；《一般数据保护条例》描述的权利主体包含数据主体也即数据的拥有者、数据控制人也即实际控制并期待加以利用的数据收集者、数据处理者也即帮助数据控制者进行数据分析处理的第三方及其他自然人也即有利用数据需求的第三人等四个方面，涉及数据的归属属性、对数据的处理利用以及对数据利用的权益关系等因素[23]。从国内外的立法看，权益分配的主体大概可以归纳为四类，即信息主体、政府部门、信息企业以及第三方利益相关者，而政府部门及信息企业一般也可归于信息控制者或处理者范畴。

第二，要合理区分各方主体对个人信息的利益需求。政府对个人信息的需求主要表现在维护国家安全、社会公共利益以及提高社会管理效率；企业对个人信息的需求主要在于其商业价值，通过大量的个人信息收集与分析，可以更有针对性地进行商业营销；个人信息主体主要是出于对个人信息的保护及财产权利用；第三方利益相关者则主要基于重大人身利益而需要了解其他个人信息，如为保障自身的生命权、健康权等。

第三，必须了解利用个人信息的法律依据。根据《网络安全法》《数据安全管理办法(征求意见稿)》《一般数据保护条例》对运用个人信息(数据)的相关规定，个人信息利用的法定情形一般包含以下四类：一是国家机关在为了保障社会公共利益或者在依法履行自身职责时，可依法对个人信息进行收集、处理和加以利用；二是信息企业在一些特定的情形下也可以处理个人信息；三是信息主体对信息的处理，这种权益属于一种当然权利，信息主体没有侵害其他主体的权利，没有违反法律法规，就可以对信息进行合理利用；四是其他利益相关者，在基于对自身权益保障的前提与目的下(主要是与生命健康等相关的权益)，可获取和处理信息主体的个人信息[24]。

2. 信息权益分配需要厘清各方利益主体享受信息权益的权利性质和种类

各方利益主体的权益从性质上可以分为两类，即信息所有权和信息使用权，信息主体必然享有对其个人信息的所有权，但同时其他利益主体享受基于信息主体让渡而形成的信息使用权[25]。需要注意的是，虽然信息主体对个人信息享有所有权，但这并不意味着其对个人信息有绝对的控制权，大数据时代个人几乎不可能实现对个人信息的控制[26]，这是因为，为享受个性化信息产品或服务带来的便利，个人必须让渡部分或全部信息使用权。在此前提下，其他信息主体对个人信息的收集、使用、处理和收益的权利源于信息主体对信息所有权和使用权中部分权利的让渡，并通过一定的劳动和成本才创造或增加了个人信息的利用价值，从而实现了个人信息的财产化[27]。概言之，个人信息权的产生、行使、管理和保护实则取决于四方主体在信息使用和收益中的制度分配，也就是共享权模式下三类权益关系之间的优先关系和平衡规则。

(二)信息主体的权益限制

从涉及个人信息权利的立法法条可以看出，关于权益保护的各类例外条款基本适用于各类个人信息权利，即信息主体在享受信息保护的同时，立法也考虑个人权益行使在某些特定情形下应当考虑到其他权利主体的正当合法权益。《民法典》第1036条对处理利用个人信息的免责事由进行了原则性的界定，即为维护公共利益或者该自然人合法权益而合理实施的其他行为应当属于免责事由。《一般数据保护条例》在赋予数据主体擦除权(被遗忘权)和限制处理权的同时，也对数据主体权利有所限制，如第18条第2段明确规定，当处理受第1段的规定所限制，除了储存的情形，此类个人数据只有在如下情形中才能进行处理：获取了数据主体的同意，或者为了提起、行使或辩护法律性主张，或者为了保护另一个自然人或法人的权利，或者为了欧盟或某个成员国的重要公共利益。从各方正当利益之间的冲突方面来看，一方面，擦除权、隐私权等信息主体的私权利的保护，在某种程度上必然会与公众知情权、政府信息公开义务等公权利的保障存在冲突，如关于对个人进行行政处罚是否应当公开的问题，在构建信用社会体系的要求中个人的行政处罚信息属于个人诚信的一个重要环节，但个人行政处罚信息公开必然会牵涉到个人隐私问题，这两者之间必然会存在冲突；另一方面，作为保护信息主体免受不合理、不合法侵害的方式，过度地行使信息私人权利也可能会对市场经济发展造成阻碍。因此，在符合正当合法利益的条件下，个人私权利仍然要受到一定程度的限制。

(三)信息权益的利用边界

由于信息技术社会下个人隐私信息受冲击概率的增加，国内外立法对于个人信息权益一般都会设置保护与限制双重管理机制，即对信息主体设立保护机制，赋予其相应的信息权利，对信息企业等其他利益主体则设置相应的管理义务。在个人基于其自身利益需求如擦除权等而处理个人信息的意愿与法律规定的其他社会正当利益发生冲突的场合中，通常会优先保护其他社会正当利益，这些正当利益一般是基于国家利益、公共利益、法定职责以及信息控制者(处理者)或第三方的正当利益。在一般情形下，除信息主体以外的其他信息利用者或者控制者则需要担负信息保护义务，如对涉及他人隐私的信息进行保密、在处理他人信息时隐匿他人姓名、只能在信息主体授权范围里处理个人信息等。在保护个人信息的同时，亦需要承担保护国家利益、维护公共安全、执行法律法规等义务或者保护社会经营者的合法权益等。根据不同的处理环节，《一般数据保护条例》对义务豁免情形进行了较为详细的描述，这是我国立法需要予以完善的地方。

四、我国个人信息权益分配立法的方向

个人资料的分享和保护对个人和社会层面都有正面和负面的影响。一方面，个人信息既有私人价值，也有商业价值，理论模型和实证研究都强调，数据共享可以减少市场摩擦，促进交易。然而，另一方面，所谓的数据共享的社会好处并不总是得到审查和证实。“大数据傲慢”指的是“隐含的假设，即大数据是传统数据收集和分析的替代品，而不是补充”。事实上，利用数据的商业价值往往会减少私人效用，有时甚至会减少整个社会福利。因此，消费者有充分的理由担心未经授权的企业应用他们的私人信息。与所有信息一样，个人数据很容易存储、复制和转移，对个人和政府而言，监管其获取和传播是一项具有挑战性的任务。

从我国目前关于个人信息运用的立法上看，总体上已经体现了公、私利益平衡兼顾的立法思路，除信息主体权利保护之外，法律也规定了特定情形下为保护国家或者社会公共利益可以合理使用和处理个人信息，如《民法典》关于个人信息的合理使用规定。但从法条内容详细程度上看，我国立法与《一般数据保护条例》在对如何合理运用个人信息方面仍有一定差距。《一般数据保护条例》对个人信息的利用情形、方式和界限等规定得更为详细，如对数据主体的保护原则的限制、数据主体行使数据权利的限制、公共安全等国家利益的维护、数据使用或控制者享有的合法权益等都有明确的规定，从而在制度层面形成了一套个人信息权利利用与保护的权衡标准，为数据权益的多方共享体系奠定了法益划分的基础。借鉴《一般数据保护条例》，笔者认为我国个人信息权益分配机制的立法工作可从以下几个方面构建。

(一)在公法领域规范个人信息的开放和共享

在以行政法为主的公法领域，需要侧重对个人信息开放和共享的保护。新的搜索引擎、社交网络、电子商务网站、网络浏览器，以及针对注重个人信息的消费者的个性化控制已经出现。从整体上看，这些技术似乎把个人信息利用选择权留给了消费者，但实际上，许多(或者是大多数)消费者缺乏保护和规范其个人信息多维度所需的意识和技术水平。侵犯个人信息的技术服务已经成为日常通信、求职和日常消费的一部分。与此同时，个人信息保护需要用户付出额外的努力和专业知识，这限制了它们的效力，特别是在一些保护意识较差的人群中。另外，鉴于司法和行政部门与信息主体之间的不平等和不平衡的关系，很容易出现司法和行政权力的过度滥用，以至于打破个人信息权益与国家社会需求之间的平衡，这将不利于信息主体共享个人信息。因此，在公法领域如《数据安全法》中，需要对个人信息的利用和共享做出限制，以防止政府部门或企业过度使用个人信息。

(二)在私法领域侧重个人信息的利益分配

在信息经济的市场中，个人拥有自己的个人数据，并可以将这些数据的权利转让给他人，以换取某种形式的补偿，但可以确定的是，仅仅通过公法领域来保护个人信息已经不足以支撑信息经济的发展，一个关于个人信息权益的财产权制显然需要适当的立法来界定和分配这些权利。事实上，从信息中提取经济价值和保护个人信息也并不是对立的目标。法经济学的研究文献表明，我们已经清楚地了解到，保护个人信息或最大化共享个人信息并不必然存在对与错的问题，信息保护和信息共享之间达到平衡依赖于立法的变化。因此，在以《民法典》为代表的私法领域，需要对信息主体所享有的信息权利尤其是具有财产属性的权利以及企业所享有或者可以依法获取的个人信息权益做出界定和分配，既要充分考虑信息主体关于自身利益的保护和利用需求，也要避免过度保护个人信息权益。

(三)打破政府与企业信息收集利用的壁垒

在智慧城市的建设过程中，单凭政府或者企业对个人信息数据进行收集利用并不会取得特别好的效果。一方面，政府收集的个人信息主要包含个人的身份信息、家庭信息、信用信息等内容，这些内容相比企业收集的信息具有权威性，但此类信息相对缺少主动性，而且对于推动城市建设和应对社会需求方面作用并不特别明显；另一方面，企业收集个人信息主要是用于商业用途，更加侧重于对消费者喜好、购买需求等与消费密切相关的信息数据，这些数据可以很好地帮助企业为消费者定制个性化产品，但这类数据的提取主要依靠大数据处理技术进行分析，是一种相对模糊的信息。政府与企业的信息数据完全可以形成互补，政府收集的信息可以为企业在招聘、商业合作等方面提供支撑，企业所收集的社会公众的个人信息可以为政府制定政策提供数据参考。因此，政府部门在推动大数据产业发展的同时，需要在立法中充分考虑政府收集信息与企业收集信息的衔接问题，只有打通政府部门与信息企业之间的信息壁垒，实现信息资源的互补和整合，才可以更好实现个人信息权益的分配与利用。

在大数据时代，个人信息权益的共享已成为信息技术发展的必然。因此，必须提前布局，加快个人信息权益共享机制建设，在个人信息权益共享与个人信息保护之间取得平衡，形成个人信息利用与保护双赢的局面。