张 珺

(中国政法大学 民商经济法学院，北京 100088)

一、个体权利思维指引下的个人信息保护方案

在信息化、网络化、智能化程度日益深化的今天，个人信息的收集、处理和利用呈现出高度关联、深度分析、精准刻画的趋势，这加剧了人们对个人信息失控的担忧。2017年12月24日发布的《全国人民代表大会常务委员会执法检查组关于检查〈中华人民共和国网络安全法〉〈全国人民代表大会常务委员会关于加强网络信息保护的决定〉实施情况的报告》显示，我国的个人信息保护制度落实情况不理想：过半数受访者认为存在过度收集使用用户信息问题，个人信息保护执法不力[1]。2019年1月，中共中央网络安全和信息化委员会办公室、工业和信息化部、公安部、市场监管总局开展App违法违规收集使用个人信息专项治理。2016年以来公安机关持续通过专项行动打击整治侵犯公民个人信息违法犯罪活动[2]。可见，我国对个人信息保护力度持续加大，但个人信息收集使用违法违规问题仍突出，这反映出既有的个人信息保护模式存在不足。

目前，确立和赋予个人信息权是我国个人信息保护主要路径，这在法学理论主流观点和法律制度建构中均有所体现。这一思路的内容是以个人权利为重心，构筑以个人知情同意为核心，以个人查询、更正、删除为保障的权利体系。个人信息权本质是将个人信息保护私权化，实现自然人对个人信息对世性的、绝对的支配和控制[3]85。

理论研究中，有学者比照人格权或财产权思路，提出在民法上确立个人信息权或将个人信息明确为一项法益，为个人信息保护创设民事权利“根基”。试图把民法纳入到个人信息保护的直接法律渊源之中，在《民法典》中加入个人信息保护与利用规范条款，构筑协调平衡人格保护与经济利益的民事权利体系，落脚点是实现个人对个人信息的独占性支配[4-6]。

在我国法律制度上，现有的个人信息保护专门规定或条款的核心内容均为“个人知情同意”，最终也指向了建构并不断完善个人信息权利体系。以2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》为起点，明确了个人知情同意作为个人信息收集使用的前提。其后发布或修订的《电信和互联网用户个人信息保护规定》《消费者权益保护法》《网络安全法》中的相关条款延续了这一思路。《网络安全法》还提出了个人信息删除权、更正权，丰富了个人信息权体系。《数据安全管理办法(征求意见稿)》《儿童个人信息网络保护规定》则在此基础上细化个人知情同意，明确收集使用个人信息的告知方式和事项。民法从私权路径出发，通过确认个人信息权的人格权法律地位对其加以保护，奠定民法在个人信息保护法律法规体系中的基础性地位。《民法典》先是在总则编第111条肯定了个人信息受法律保护，接着是在人格权编第六章，将隐私权与个人信息保护并列，专设6条个人信息保护规定。总之，民法将个人信息权纳入人格权范围加以保护，并与前述一系列法规形成合力，强化了个人对个人信息的绝对支配，形成并夯实了个人信息的个体权利保护方案。

上述关于个人信息保护的探索具有理论价值和实践价值，彰显了以信息自决维护人格尊严的立场，宣示了加强个人信息保护的规范导向，亦传达了理论研究和立法活动面对经济社会新变化作出的正面回应。但究其思路，实则是个体权利思维指引下的个人信息保护方案。民法和多部单行法设置了专门的个人信息保护条款，尽管后者并非以人格权的形式被呈现，但共同特征是个人同意规则的泛化与深化，本质是靠个人自由意志与能力防御其他主体的干扰，没有越出私权重心的框架。这反映出理论上个体利益保护对私权的路径依赖。然而，在个人信息被多主体大规模采集与应用的背景下，个体权利思维指引下的保护方案具有明显缺陷，难以有效应对和真正解决个人信息保护问题。

二、个体权利思维指引下的个人信息保护方案问题

面对大数据语境中的个人信息应用实践情况，与个体权利思维一脉相承的个人控制模式、意思自治理念，以及个体化、事后化的权利保障机制均存在一定的局限，难以有效实现个人信息保护。就以个体权利为重心的个人信息保护方案而言，其宣示意义大于实用意义。

1.个人控制模式下个人信息保护与利用效率低

个体权利思维指引下的个人信息保护规则，将个人信息权益作为自然人的人格权益加以保护，以个人同意为收集使用个人信息的首要条件，使个人信息保护私权化[7]67。这意味着由自然人自主决定他人能否以及如何收集使用个人信息(为维护公共利益、自然人合法权益等情形除外)，采取个人控制模式实现对个人信息的保护与利用[3]98。该模式的思路是，面对各类信息处理者，对于不同内容的个人信息，适用同样的保护对策，即以个人同意为核心的个人信息权保护方案。该模式既忽视了当代个人信息的交互功能，又未正视个人信息处理主体的差异性，没有根据不同类型的义务主体来设定不同的义务，还弱化了个人敏感信息保护与个人一般信息保护的层级性。因此，个人控制模式的现实性不强，降低了个人信息保护与利用两方面效率。

首先，个人控制模式的前提是自然人能够充分控制个人信息的流动过程，但当前人类的大量活动发生在网络空间，高度依赖信息数据的频繁交互，个人信息流动客观上无法完全受个人意愿控制。自然人虽然被赋予充分支配其个人信息的权利，却难以确保自身信息完全受控，该模式可行性不足。人格权益具有人身专属性，但不同人格要素的人身专属强度有差别。随着社会经济与文化的变迁，人的伦理价值与人自身分立，已成为社会发展的客观需要，某些人格要素可以为其他主体所用，其中就包括个人信息[8]101-105。个人信息具有识别特定个人的作用，人与外部世界相互作用过程中也必然借助个人信息作为工具媒介，尤其是当前人类已从物理空间进入网络空间从事生产和生活活动，在以数据为信息载体的网络空间，只要发生对外交流，个人信息向外逸散几乎无可避免，个人信息的社会属性决定了自然人不具有全面控制个人信息的现实可能性[9]。个人控制模式尽管试图通过赋予自然人同意权、查阅权、更正权、删除权等一系列权能来精心建构个人信息权利体系，其效果却事倍功半。

其次，个人控制模式导致不同的个人信息处理者义务内容的均等化，与各类义务主体侵害个人信息权益的风险的不匹配。个人控制模式以个人信息权为核心，个人信息保护义务是对应权利内容来确定的，包括积极作为义务和消极不作为义务[7]69-70，而不是根据不同的信息处理者特性确定的，所有信息处理者履行同等的个人信息保护义务。这一做法相对减轻了侵权风险较高者的义务，弱化了个人信息保护效果；又相对加重了自然人、非以个人信息处理为核心业务的主体在使用个人信息过程中的负担，降低了个人信息利用效率。

个人控制模式忽视信息处理者内部各具象群体之间差异，导致个人信息保护义务很容易被无差别泛化，该问题以民法的个人信息保护规定为典型。根据《民法典》第111条规定，自然人所面对的是“需要获取他人个人信息的”“任何组织和个人”，而根据人格权编第1035条，只要是对个人信息采取了“收集、存储、使用、加工、传输、提供公开”等行为的主体，都可能被归为信息处理者，应当履行同等的个人信息保护民事义务。但是，信息处理者在主体身份、义务履行能力、处理信息的原因等方面存在明显差别。义务主体既包括自然人，又包括技术先进、高度专业、义务履行能力强的组织；处理的原因既有为实现特定分析利用目的而专门收集和存储信息的，也有因经营行为或非经营行为自然累积而持有信息的。各主体掌握信息的形式也有不同，侵犯个人信息利益的可能性和危害性均不尽相同。要求这个杂糅集合中的主体承担平均的个人信息保护义务，赋予自然人对他们同样的请求权，是明显的“一刀切”义务设定模式，会造成这些主体之间的实质不公平。适用对象缺乏针对性也导致相关规定在某些情境中没有存在的必要，浪费了立法资源。

再次，在个人控制模式下，除法律、行政法规另有规定，个人信息处理的一致前提是自然人的同意，将所有个人信息都纳入自然人的自主控制范围，这使个人敏感信息与个人一般信息处于相同的保护顺位。该模式会导致对个人敏感信息的保护力度不足，保护效果不理想；而对个人一般信息过度保护，增加此类信息在利用过程中的障碍。

目前，《民法典》《网络安全法》等多部法规中的个人同意条款均未区分个人信息的不同敏感程度，《数据安全管理办法(征求意见稿)》更提出凡收集个人信息都应取得用户的明示同意。然而个人信息的外延极大，不同个人信息受侵害时信息主体权益受损的程度不同。个人敏感信息(例如征信数据)受侵害很可能对信息主体人身、财产、自由、尊严等权益有显著影响，而个人一般信息被泄露、篡改未必会损害自然人权益。并且，对于不同的个人信息数据应用场景，个人敏感信息和个人一般信息的信息内容两分法依然比较粗糙，个人敏感信息内部的具体信息项也可能需要实施不同强度的保护。再结合数据生命周期各阶段来看，个人信息数据在收集、存储、传输、使用、跨境流动等不同环节中面临的权益侵害风险大小、风险类型不同，即使是相同的个人信息在不同环节的受保护程度也应当有所区别。否则，既可能使信息处理者为保护大量个人一般信息而负担过重，运行成本过高，信息利用效率低下；又可能造成个人敏感义务偏轻而不足以有效保护个人信息。

可见，个人信息的处理固然须统一遵循合法、正当、必要原则，但对不同敏感程度个人信息设定相同的个人同意前提，看似是为了充分保障个人控制，实则现实可行性较弱，既减弱了充分个人信息保护效果，又降低了个人信息利用效率。

2.意思自治原则削弱个人信息权保护机制效果

“私法自治是指个体基于自己的意思为自己形成法律关系的原则。私法自治是自主决定这一普适性原则的一部分。”[10]根据自治理念，权利人可以放弃某些民事权利，该权利所对应的其他主体的义务可被赦免。意思自治原则尽管在商品和服务交易中展现得最为淋漓尽致，但它在人格权支配领域的应用同样不可小觑，并延伸影响到个人信息私权化保护方案中权利机制的效果。

首先，权利思维指引下，个人同意作为个人信息保护规则的核心，其中蕴含的意思自治理念会导致个人信息保护义务可因权利人意愿得以免除。人格权作为支配权，权利人可以通过法律行为，将自己享有的某些人格权设置暂时性的限制[8]110-111。在民法之外，个人信息保护单行规定和专门条款尽管在一定程度上显示了个人与信息处理者的主体身份差别，但规则具体内容仍以个人同意为核心，个人信息在收集、使用、转移等环节的授权没有超出自然人意思自治的范围，除了法律、行政法规有明确禁止，其他个人信息均可依约定收集和利用。自然人作为面临个人信息受侵害风险的一方，理性有限，注意力和风险预见能力有限，无处不在的“算法黑箱”[11]叠加，严重限制了其对个人信息收集和利用的知情程度[12]。在此情况下，个人信息主体享有的权利和行使该权利的能力不匹配，自我保护能力不足，即使设计了一套完整的个人信息权利，自然人的自由意志也难以执行。自然人基于非充分认知向信息处理者作出授权意思表示，容易造成信息收集使用范围不合比例地扩张，无法确保个人信息处理过程中正当必要原则得到遵守。

其次，个人信息收集、持有、利用的实践形势导致信息主体授权容易落入形式化，对个人信息处理的同意实际上难免成为“一揽子”授权。以涉个人信息处理的网络活动为例，目前网络运营者普遍采用格式条款作为告知工具，即预先制定的、标准化的个人信息处理说明、个人信息保护政策，而不是针对不同自然人的个性化规则。因此，为了表示已经充分履行告知义务，避免合规风险，网络运营者一般会提供一份覆盖面很广的清单，列出所收集的个人信息种类、用途、利用方式等。繁琐的告知内容需要时间查看和理解，而普通人使用终端服务时追求高效便捷，这两种取向存在矛盾。相当一部分用户快速浏览便选择同意。另外，数据信息的用途广泛、传输即时、利用方式丰富，加之分析处理技术快速更新，即使告知规则做到了详尽列举，恐怕依然是挂一漏万，难以保证向个人充分展示处理信息的具体方式和范围。再者，在信息自治前提下，个人同意的保护效果与自然人能否真正理解个人信息利用的后果密切相关。由于个人信息滥用的风险具有潜在性，又因为单个人遭遇的许多侵害是较为轻微的，物质损害和精神损害都不太明显，用户通常都会同意个人信息处理规则。

个人信息处理格式告知严重限制了用户自由选择权，应当受到规范。但我国《合同法》及司法解释、《消费者权益保护法》等法律制度对格式条款的规制还存有明显缺陷：规定粗糙，彼此矛盾；格式条款控制制度之间的使用关系模糊；缺乏黑名单、灰名单制度支持[13]。在此情况下，试图单纯倚仗个人信息主体的意思自治来协调自然人与信息处理者之间利益关系可行性不强。

最后，贯彻自决理念的个人信息保护私权方案，意思表示仅在单个信息主体与单个信息处理者之间产生效果，可调整的利益关系范围很小。个人信息权体系中，每个义务主体与每个信息主体形成了“点对点”的对应关系，每一组关系的法律效果是被单独评价的，该判定不及于特定义务主体与其他信息主体间的法律关系，也不影响特定义务主体与其他信息处理者之间的合同关系。例如网络运营者向他人提供信息的情形，《网络安全法》第42条要求须经被收集者同意，《数据安全管理办法(征求意见稿)》第27条也以个人信息主体同意为前提，但若网络运营者基于与第三方的数据共享协议向后者提供个人信息，且未取得信息主体同意，数据共享协议不会因此无效。

违反民法义务的法律后果评价，受公法私法二元论认识的影响。民事判断有时会排除公法的适用，同时，为了防止私法失去独立的价值追求，防止公共政策的任意扩张，即使公法作出了否定性评价，也不必然导致民法的否定评价[14]。可见，由于意思自治的内部性，根据现有规则，信息处理者违反个人信息权所对应的义务，对它与其他主体之间法律关系的影响既轻微又模糊。因此，无论是民法还是其他专门法律制度中，私权保护机制都会因对外部法律关系缺乏强制性而难以发挥实际作用。总之，意思自治原则削弱了个人信息保护权利机制的效果。

3.民事责任制度应用于个人信息保护的局限性

权利重心的个人信息保护机制实施中，根据规则发挥效用的先后顺序，信息主体权利和信息处理者的义务是第一性的，信息处理者的法律责任是第二性的，违反义务的效果是承担责任。责任制度是个人信息权利义务规定实施的保障。侵害个人信息权目前适用一般的民事纠纷解决和救济机制，借由侵权责任路径维护信息主体权利。然而，个人信息侵权与维权过程中，存在受害人不特定、损害的非物质性等现象，而民事责任的集体性轻微损害救济难启动、保护的事后性、责任可放弃性和保护范围有限性等特点导致当前民事责任制度无法充分实现对个人信息的保护。

首先，在民事责任制度中，对集体性轻微损害的救济程序启动难。第一，由于网络技术的普遍应用，个人信息侵害事件或行为的波及面往往很大，受害人不特定，且受害人可能对侵害的发生并不知情，依靠特定个人启动救济机制不现实。个人信息保护是当今经济社会背景下信息主体的共同需求，成为一种集体权利而不仅是单个自然人的权利。因此，形式上以个人为权利主体的个人信息权利本质上是以不特定社会公众为权利主体的集体权利，权利主体的抽象性导致天然缺乏实际的权利行使者，维权诉求无从提起。第二，由于个人信息违法行为的结果常常是较轻的非物质损害，例如滥发手机短信造成的困扰等等，每个受害者可能只是略有烦恼，权利主体的损失难以用金钱计量，利益损害不易确定。即使加害人承担了民事责任，对实施维权行动的信息主体本身而言，维权成本与收益不对称。又因为受“搭便车”心理的影响，受害者个人发起维权的主动性一般，存在主动放弃追究加害人民事责任的现象。

其次，从责任机制发挥作用的时间来看，民事责任一般具有事后性，易造成对个人信息的保护滞后。根据承担责任的具体形式，民事责任有填补型责任、阻却型责任和加重型责任。填补型责任的效果是填平损失，加重型责任的效果是惩罚行为人，均为损害发生后承担的责任。相较而言，阻却型责任的目的是防止损害和避免损害扩大，蕴含着事前事中保护理念，更符合预防个人信息安全风险的需求。但阻却型民事责任的实施方式仍很可能导致对个人信息的保护不到位或不及时。

根据《民法典》第997条规定，触发人格权侵害行为的阻却型责任的条件有：第一，有证据证明侵害正在或即将实施；第二，不及时制止会使损害难以弥补；第三，民事主体向法院申请。但个人信息安全威胁具有潜在性，证明标准不明确，证明损害“即将发生”或“难以弥补”并非易事。同时，个人信息侵害的发生行为在短时内即可完成，而侵害事实可能是长期存续的；但民事主体向法院申请需要一定时间，没有先发优势。同样，《网络安全法》中规定个人行使个人信息的删除权和更正权，是在发现网络运营者违法违约或信息有误之后，信息主体的发现问题后进行请求必然晚于网络运营者的行为时间。因此，通过民事责任制度保护个人信息存在滞后性缺陷。

最后，从民事责任的保护效果来看，民事责任的目的和保护范围均与个人信息侵害的特点不匹配。在责任目的方面，民事责任旨在救济和保护个体权利，指向直接受损的特定受害人[15]。而个人信息滥用、泄露等违法行为不仅侵害了某些特定自然人的利益，还侵害了不特定公众，增加了社会成本，损耗了社会的信任环境，损害了公共利益。即使前述的启动难、滞后性等问题能够得以解决，民事责任能够及时启动救济规制并防范个人信息安全风险，由单个信息主体提出的维权请求效力范围也较狭窄，仅能促使信息处理者对该特定主体承担责任，保护效果无法适用于面临同一潜在风险或受到相同损害的其他信息主体，更辐射不到对公共利益的保护上。民事责任制度中救济对象的个体化和个人信息侵害中利益主体的公共化相矛盾，民事责任提供的个别式保护难以满足普遍化的个人信息保护需求。

当然，我国的消费民事公益诉讼应用于个人信息保护，能够一定程度上减少上述困难，成为维护集体权利的有力武器，弥补信息主体自力救济的不足。然而公益诉讼依靠司法机关介入，具有消极性，且不能解决保护的滞后性问题。如2017年底江苏省消费者权益保护委员会(以下简称“消保委”)就北京百度网讯科技有限公司(以下简称“百度”)涉嫌违规获取消费者个人信息且未及时回应提起消费民事公益诉讼，法院立案后，百度迅速向消保委提交个人信息保护改造方案并更新APP[16]。根据该案一审民事裁定书，消保委起诉百度前曾向其发出约谈函，未获答复，又两次向社会公开披露百度侵权行为和拒不接受约谈的事实，其后百度至江苏省消保委谈话但未改正违法行为，在此情形下，消保委最终决定提起消费民事公益诉讼[17]。一方面，本案是消费民事公益诉讼在个人信息保护领域有所作为的实践证明。虽无判决产生，但公益诉讼倒逼网络运营者终止侵权行为，完善保障措施，且效力范围覆盖所有可能下载使用涉案APP的用户，可谓颇有成效。另一方面，根据立案前的事实背景，专门社会组织干预下的个人信息保护过程尚且障碍重重，靠信息主体自力救济要求侵权人承担民事责任就更为困难了。自2016年5月《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》施行后，迄今个人信息保护消费民事公益诉讼仅有一起，而违法收集使用个人信息的现象却广泛存在[18]。这进一步表明，权利重心的个人信息保护方案中，民事责任作为保障机制难以有效维护个人信息安全。

三、强化公共利益导向的个人信息保护机制

个体权利思维导向导致我国个人信息保护方案存在上述问题。对此，在个人信息大规模收集利用的现实背景下，应强化个人信息保护机制中的公共利益理念指引，围绕分类分级管理、强制性义务、社会责任、政府监管下的多元共治等要点制定规则，增强个人信息保护实效，促进个人信息利用的健康发展。

1.建立义务主体分类管理、个人信息分级保护的个人信息保护规则体系

首先，应当根据个人信息使用场景区分不同类型的义务主体，分别匹配个人信息保护义务。我国现有法律法规中，《网络安全法》《消费者权益保护法》等规定分别从网络运营者与用户、经营者与消费者的主体身份差别出发，设置信息处理者的义务。而个人信息应用场景多样化，个人信息处理者的应用目的不同，则保护个人信息的侧重点、保护方式与技术也应有所区别。“网络运营者”“经营者”等主体概念宽泛，概括式义务落实到具体领域依然缺乏可操作性。

在《网络安全法》与未来的《个人信息保护法》《数据安全法》《数据安全管理办法》等总括式法律法规之下，有必要区分各类信息处理主体，分门别类出台细化规则，建立总分结合的个人信息保护规则体系。应当根据个人信息的特定用途、业务重要性、行业、控制处理个人信息的规模等情形，确立处理个人信息的范围、方式，确立清晰的行为合法性判断标准。例如，我国的《征信业管理条例》明确了征信机构禁止采集的个人信息类型、不得采集但告知不理后果经书面同意可采集的信息类型、个人不良信息保存期限等，征信机构解散或破产后信息数据库的处理流程也有清晰规定，并配套中国人民银行发布的推荐性标准《征信机构信息安全规范》执行。

其次，除了按个人信息应用场景分类设定信息处理者义务外，还应当根据信息处理者的义务履行能力、对公共利益的影响程度等因素设定加重义务规则或义务豁免规则。对于具有显著公共性的平台型信息收集使用者，应当加重其义务，要求其履行额外的积极作为义务。在数字经济时代，生产组织形式发生巨变，一些平台型经营主体不再是纯中立、纯私人性质的市场主体，而是作为“市场规制者”发挥着类似公共职能的管理与保护海量用户的作用[19]，集制定规则、解释规则、解决纠纷等多项 “权力”于一身[20]。此类平台除了本身应遵守个人信息保护规定，还应当规范平台内用户的个人信息收集使用行为。例如，对于电信服务商，要求其开发和应用防骚扰电话和短信技术，强制其解除与垃圾短信发送者的合作协议；要求电商平台、搜索引擎平台、社交平台、应用程序平台加大监测力度，对涉嫌侵犯个人信息的个人或组织，采取封禁账号用户、注销网站、下架程序等措施。

大数据时代背景下，数据是信息的主要载体，数据安全在个人信息保护中发挥着屏障作用，应当重点关注大规模收集、存储和商业化利用个人信息的企业的数据安全义务履行情况。面对高度专业、技术先进、实力雄厚的主体，自然人行使个人信息权可谓力有未逮，因而此类主体对社会公众造成的影响是人们在日常生活中易于感知、疲于受扰却难于解决的，他们也正是个人信息保护中矛盾的主要来源。而对于小型经营者、非以个人信息处理为核心业务的主体，则相应豁免、减轻某些义务，减少企业负担，例如毋须指定数据安全责任人，减少或免于数据报送等[21]。

可参考域外立法经验，通过法律分层确定个人信息保护义务的做法：欧盟《通用数据保护条例》根据数据处理是否为数据控制者、处理者的核心业务，确定其是否应当指定数据保护专员[22]；美国在金融、教育、健康等领域分别颁布了联邦层面的个人信息保护法律法规[23]；日本的《个人信息保护法》为避免个人信息处理从业者负担过重，根据收集利用个人信息的阶段不同，要求从业者履行逐级提升的保护义务[24]。

再次，在个人信息分级保护方面，应结合应用场景，根据个人信息的敏感程度细划保护层级，设置各层级对应的信息保护规则与标准。我国于2020年3月发布了新版个人信息安全规范国家推荐标准，列举了5类60余种个人敏感信息。该标准对个人敏感信息的判定依据是信息被泄露、篡改、非法提供、滥用等情形可能危害人身和财产安全，极易损害名誉、身心健康以及使个人遭受歧视性待遇[25]。但这一通用标准对个人信息的分级是以提取最大公约数形式提炼了最具普遍性的敏感信息，而且只划分了敏感信息与一般信息两个信息保护级别，依然是粗线条的。还需要制定各行业、各领域的个人信息分级保护标准，详尽地列举不同信息利用场景下的个人敏感信息，根据信息受损对个人权益的影响程度确定信息的敏感性层级，从而划分不同个人信息保护等级。形成通用标准与单行标准相结合的个人信息分级保护复式体系。

2.强化个人信息保护强制性义务与社会责任

须强化信息处理者的个人信息保护强制性义务与社会责任。在个人信息保护问题当中，个人价值和利益受损的风险主要来源于对个人信息的利用，行为人是信息处理者。因此，个人信息保护规则的重点是调整作为数据主体的个人与信息处理者的关系。但目前的个人信息权演变为自然人对个人信息的绝对权，对抗本人之外的不特定人，辐射范围远超出了调整之必要[26]。而由于个体主动行使权利的保护效果有限，须强调信息处理者履行义务，以反射保护不特定信息主体的集体权利。此类义务应具有强制性，不可因信息主体同意而免除；此类义务还应具有积极性，要求信息处理者以作为的方式而不仅是不作为的方式来履行义务。

为防止信息处理者利用格式条款告知方式迫使用户同意，减轻或免除自身义务，有必要实行格式条款内容控制制度，给予个人信息主体倾斜保护。审查格式条款的公平性，确定其法律效力，并借助黑名单、灰名单制度来规制个人信息处理格式告知中的不公平条款[27]106。信息处理者不应采用黑名单、灰名单中的格式条款来履行告知义务。一旦黑名单中的格式条款出现，直接评价为无效的格式条款[28]；灰名单中的格式条款是否属于不公平条款则需要结合其他因素综合判断[27]109。

此外，须加重信息处理者的社会责任(其仍向受害者个体承担责任)，责任对象是不特定社会公众，是所有潜在的信息主体。个人信息保护义务应指向强烈的负面法律评价，增强对信息处理者行为的指引、警示功能。例如，《数据安全管理办法(征求意见稿)》中的“约谈”没有对应消极后果，列举网络运营者违反该办法的责任亦相当粗糙，起不到规范运营者行为的作用。强制性义务和社会责任，既是为了保护个体权利，更是为了降低社会成本，增进信息主体与信息处理者的互信，维护公共利益，实现信息使用的经济社会价值。

3.建立政府监管下的多元共治个人信息保护机制

加强政府监管，倡导个人信息保护合作治理模式。面对私法保护的困境，有学者提出应由专门监管机构加强干预[29-30]。进一步来看，监管机构并非独立于信息主体、信息处理者之外单独发挥作用，政府监管与信息主体权利、信息处理者强制性义务不是相互独立的3条路径，而是整合互动，构成个人信息保护的多元主体共治系统[31]。个体权利的保护模式尽管有诸多缺陷，但信息主体的意愿在个人信息处理过程中仍应得以彰显。因此，政府监管除了要求信息处理者在设施、流程、人员等方面采取保护措施，还要致力于优化信息主体行使权利的外部条件，以及引导信息处理者自律，改善数据信息应用行业的整体环境。《数据安全管理办法(征求意见稿)》的数据安全责任人条款、鼓励网络运营者自愿认证条款、公开曝光责任形式，初步呈现了共治趋势，但仍有提升的空间。

对此，应从如下方面加以完善：第一，细化数据安全责任人的履职机制，数据安全责任人的职能使其成为用户与监管部门之间的信息传递者，为保证用户投诉、举报情况能传导到监管机构，应要求数据安全责任人记录并向监管者报送该情况，避免其成为掩盖个人信息侵害行为的工具。第二，增加负面标注规则，并与公开曝光责任形式结合。鼓励自愿认证条款是通过正面标注激励运营者履行义务，相对地，应当向用户明示违反个人信息保护规则的主体、应用和服务，要求直接面向用户的运营者将负面标注嵌入应用程序的封面和内部，而不只是通过监管者的宣传渠道公布违法情况，增强对用户风险提示的效果。

四、结 语

个人信息保护的主张源于保障人的尊严和自由，维护人的主体价值，个人基本权利衍生了我国法律制度中的个人信息权规则。通过法律保护个人信息自决确有意义，但个体权利思维指引下形成的个人信息私权化保护方案颇有不足。对个人信息自决的“超越”并非全然抛弃，“超越”的前提恰恰是承认[32]。面对个人信息大规模收集利用的现实情况，在坚持自主性立场的同时，超越个人控制模式，强化义务主体分类管理、个人信息分级保护；超越意思自治理念，引导自律并通过政府规制施加强制力；超越民事责任，彰显社会责任。最终超越个体权利思维的局限，强化公共利益导向，建立多元共治机制，实现个人信息保护与利用的均衡。