管洪博

(中国政法大学 网络法学研究院，北京 100088)

数字经济下，个人信息已经成为重要的生产资料,通过对海量个人信息的处理，可以获得更多的知识与智慧，为社会创造更大的价值。但目前我国个人信息共享还不发达,2017年开始，各地成立专业数据共享机构的热情迅速消减，一直到2020年8月中旬，才又有一家新的大数据交易中心揭牌。(1)大数据交易行业重启与困局：法律的不确定性和难以定价的数据,https：//www.sohu.com/a/417118241_161795?qq-pf-to-pcqq.group,最后访问日期2020年9月16日。究其原因相对复杂，关键问题之一在于如何保障个人信息的共享安全。本文将对这一问题展开论证。关于个人信息共享，我国立法和学理上没有统一的定义。有学者主张数据共享是指数据生成或生产出来之后从数据控制者到数据使用者之间的流动，不包括个人提供给数据控制者的情形。(2)参见高富平：《数据流通理论数据资源权利配置的基础》,载《中外法学》2019年第6期。笔者采纳上述观点。依据此定义，个人信息共享一般发生在企业之间，不包括企业向用户收集个人信息的阶段。(3)王利明教授主张，数据共享是数据控制者将自己所收集的信息与他人进行分享，在数据控制者与分享者之间形成一种合同关系。王利明：《数据共享与个人信息保护》，载《现代法学》2019年第1期。笔者赞同上述观点，数据共享的方式,在法律上可以表现为授权许可，即企业将数据授权给另一方企业使用。共享的主体原则上是企业。(4)对于政府或具有公共管理职能的企事业单位，是否可以成为数据共享的主体，尚未形成统一的观点。但可以确定的是，政府与企业两者共享的数据类型不同。政府或具有公共管理职能的企事业单位，共享的数据是在履行公共管理职能的过程中收集的公共数据/政务数据，具有公共利益属性，其共享规则需更多的考虑社会公共利益。而企业共享的数据是在其生产经营中收集的数据，包括经营数据或用户个人信息等。本文讨论的是企业对收集的用户个人信息的共享制度。

一、我国个人信息共享制度存在的问题

关于个人信息共享的相关规定，主要体现在《网络安全法》第42条与《民法典》第1038条。两者规定几近相同，即未经被收集者(自然人)同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。上述规定确立了我国个人信息共享的基础依据,即自然人的授权同意或绝对匿名化，但仍存在一定的模糊性：

第一,缺少对可共享个人信息范围的规定。个人信息种类繁多,有些涉及个人隐私、个人财产、公共利益，甚至一些基因信息、地理位置信息与国家安全也密切相关。共享中一旦发生上述信息的泄漏与滥用，不仅威胁到个人的人身财产安全，甚至会威胁到公共安全与国家利益。因此需要在法律上明确界定可以共享的个人信息范围。对于匿名化的个人信息共享问题，也需具体明确匿名化的程度或条件。主要是因为“经过处理无法识别特定个人且不能复原的个人信息”太过绝对。随着技术的发展,绝对的“匿名化”可能很难实现。实践中判断匿名化的标准，需综合考量具体的场景、数据隔离措施、现有技术能力等因素。

第二，缺少对接收方能否再次共享个人信息的规定。个人信息多次共享对发挥其价值具有重要意义，但多次共享增加个人信息泄漏与滥用的风险。这里涉及如何实现多次共享中用户对其个人信息的可控性、敏感个人信息的保护以及发生数据安全事件的追责等诸多问题。立法上若未明确相关规则，既不利于自然人的个人信息保护,又可能影响企业共享个人信息的积极性。

第三，缺少对“同意形式”的规定。法律上“同意”的形式很多，可以是明示同意，也可以通过行为推定为“同意”；可以是针对特定个人信息作出的单独同意，也可以是概括式同意。依据前述法律规定，个人信息共享的前提是获得被收集者的同意，但具体是何种形式的同意，没有明确要求。这可能引起共享中关于同意效力的争议，即被收集者是否在被充分告知后，作出的真实意思表示。此外,若每一次超范围的共享都需经过用户明示同意,也会干扰用户的生活，缺少实践操作性。

第四，缺少对违法共享个人信息的责任规定。当个人信息共享侵犯用户隐私或发生违约情况时，对如何确定共享主体的责任,如何承担责任等问题，都缺少明确的规定。此民事责任的缺位，增加了共享结果的不确定性。此外，在2017年5月，最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，规定了非法获取、出售或者提供公民个人信息的定罪量刑标准。此种刑事责任先行，而民事责任缺位的情况，在一定程度上不利于鼓励企业共享个人信息。

二、美国和欧盟对个人信息共享的相关规定与评析

(一)美国个人信息共享制度

1.美国在联邦层面上没有单独的个人信息保护法，主要是通过隐私权加上行业自治的方式保护公民的个人信息，其“隐私”一词常被用来描述个人信息的权利。(5)参见Reidenberg,Joel K.Setting Standards for Fair Information Practice in the L.S. Private Sector. Iowa Law Review , Vol. 80, Issue 3 ( May 1995).P498.隐私权中关于个人信息的法律分散在 联邦和州的各项法规中，并且大部分是保护个人信息不受政府的不当干预。少数联邦法规针对某些特定的行业,规范了个人信息共享的行为，例如《联邦有线通讯政策法案》规定了有线运营商共享个人信息的法定情形;《司机隐私保护法案》规定了管理机动车的国家部门可以共享使用与机动车有关的个人信息的具体情形等。这些法规并没有统一的权利理论，只是针对特定行业的侵权行为，其保护范围也存在显著差异。这种分散式的立法模式给个人信息共享规则带来一定的不确定性,增加企业执行的难度与合规成本。与统一的联邦立法相比,在一定程度上不利于共享个人信息的安全。2018年美国加利福尼亚州发布《2018消费者隐私法案》(CCPA),赋予该州消费者新的个人信息权利，使人们知晓哪些个人信息被收集、如何被使用、是否被共享或出售，以及拒绝处理其个人信息的权利。其中对个人信息共享的相关规定，具有一定的借鉴意义。

2.CCPA共享规则的主要特征。第一,鼓励处理数据的商业活动。一是明确个人数据可以出售。法案规定，“出售”“出售中”“销售”或“已出售”是指企业以金钱或其他有价值的对价，通过口头、书面、电子或其他方式，向第三方出售、出租、发布、披露、传播、提供、转让消费者的个人信息。二是规定“选择退出”的同意告知方式。CC-PA第1798.120条规定，(a)对于向第三方出售其个人信息的企业,消费者有权随时要求其不得出售其个人信息。该项权利可以称为选择退出的权利。(b)向第三方出售消费者个人信息的企业，应当向消费者发出通知，说明该信息可能被出售，而且消费者有权“选择退出”出售其个人信息的行为。三是设立“经济激励”制度。第1798.125条规定，企业可以为收集个人信息、出售个人信息或删除个人信息提供经济激励,包括向消费者支付补偿金;企业应将经济激励通知消费者；只有企业清楚地描述了经济激励计划的实质性条款，消费者做出了选择加入的同意,而且消费者可以随时撤销的情况下，企业才可以让消费者加入经济激励计划;企业不得使用不公正、不合理、胁迫性或具有高利贷性质的经济激励措施。

第二，强化消费者对其个人信息的可控性。一是赋予消费者数据权利。CCPA第1798.100条、1798.105条、1798.110条、1798.115条规定，消费者享有查阅权、数据携带权、删除权、退出权、非歧视权等。二是规定控制者的披露义务。第1798.115(a)规定，对于出售消费者个人信息或为商业目的披露消费者个人信息的企业，消费者有权要求向消费者披露以下信息：(1)收集的个人信息类别；(2)出售的个人信息类别，以及根据个人信息类别区分的出售个人信息的第三方类别；(3)企业出于商业目的披露的消费者个人信息类别。(d)第三方不得出售企业已经出售给第三方的消费者个人信息，除非消费者已收到明确通知，并有机会行使退出权。三是消费者享有诉讼权利。CCPA第1798.150条规定，因企业违反执行和维护与信息性质相适应的合理安全程序和做法以保护个人信息义务,而致使消费者的个人信息受到未经授权的访问和泄漏、盗窃或披露的，消费者可以提起如下民事诉讼，包括主张：100美元到750美元的损害赔偿金或实际损害赔偿金，以数额较大者为准;法院发布禁止令或确认赔偿请求，或法院认为适当的任何其他救济。法院在评估法定损害赔偿额时，须考虑案件各方提出的任何一项或多项有关情况,包括但不限于不当行为的性质及严重程度、违法行为的数目、不当行为的持续性、不当行为发生所持续的时间长短，被告不当行为的有意性，以及被告的资产、负债和净值。

第三，要求企业与第三方签订数据安全合同。虽然CCPA没有强制规定企业与第三方需签订数据保护合同。但在《2020年加州隐私权法》(CPRA)，将CCPA的第1798.100(d)修改为，强制企业与第三方签订数据安全合同。即企业收集个人信息，并向第三方出售或共享该个人信息,或出于商业目的向服务提供商或承包商披露该个人信息的，应当与该第三方、服务提供商或承包商签订协议:(1)明确企业出售或披露个人信息仅用于有限或特定的目的;(2)规定第三方、服务提供商或承包商遵守本法下的适用义务，并规定这些主体提供与本法相同程度的隐私保护；(3)授权第三方、服务提供商或承包商采取合理且适当的措施，确保其可以通过符合本法规定义务的方式使用所转让的个人信息；(4)要求第三方、服务提供商或承包商在确定其无法再履行本法义务时通知企业；(5)授权企业在接到通知后,包括根据(4)款的规定，采取合理且适当的措施,停止未经授权使用个人信息的行为并作出补偿。

第四，规定“特殊行业”优先适用本行业规则。CCPA第1798.145条规定不适用该法的相关情况:主要包括《医疗信息保密法》管辖的医疗信息、《加州金融信息隐私法》以及《驾驶员隐私保护法》收集、处理、出售或披露的个人信息。上述法案并不完全适用“选择退出”模式，例如《加州金融信息隐私法》(6)参见CALIFORNIA FINANCIAL INFORMATION PRIVACY ACT [ 4050 - 4060],http：//leginfo.legislature.ca.gov/faces/codes_displayText. xhtml? division - 1.4.&lawCode - FIN [ EB/OL] , Last visit time September9, 2020.第4052.5规定，除本法规定的特殊情况外，未经消费者事先明确同意，金融机构不得向任何非关联第三方出售、分享、转移或以其他方式披露非公开个人信息。

第五，设立敏感个人信息的特殊处理规则。CPRA将CCPA第1798.100增加对个人敏感信息的处理规则。要求企业收集个人敏感信息的，拟收集的个人敏感信息类别和收集或使用该个人敏感信息类别的目的,以及该信息是否会被出售或共享。在未向消费者提供符合本条规定的通知情况下，企业不得收集其他类别的个人敏感信息或将收集的个人敏感信息用于与收集个人敏感信息时披露的目的不符合的其他目的。同时将CCPA第1798.135修改为：(2)在企业网站主页提供一个清晰的、明显的、名称为“限制使用我的个人敏感信息”的链接,允许消费者或消费者授权的代理人限制其个人敏感信息的使用或披露。

(二)欧盟《一般数据保护条例》的共享规定

1.《一般数据保护条例》(GDPR)以“选择进入”的同意方式获得授权。GDPR的立法目的是保护个人数据在欧盟境内自由流通。GDPR第1条规定，不得以保护与处理的个人数据相关的自然人为由，限制或禁止个人数据在欧盟境内的自由流通。GDPR第4条(2)规定,处理包括收集、记录、组织、建构、存储、适配或修改、检索、咨询、使用、披露、传播、或其他的利用、排列或组合、限制、删除或销毁。由此可以推定,数据的共享属于处理行为。GDPR第6条第1款规定，处理数据的合法情形包括数据主体的同意。基于此,GDPR以“选择进入”的方式实现个人数据在欧盟境内的共享。

2.规定个人数据共享时需向数据主体的告知义务。GDPR第14条第1款规定，当个人数据并非从数据主体处获取信息时,控制者应当向数据主体告知，主要包括告知控制者身份和联系方式，必要时还要提供其代表人的信息;数据保护局的详细联系方式;个人信息处理的目的及法律基础;相关数据的种类;个人数据接收方或者接受方的种类等。

3.明确禁止处理的个人数据类型，同时赋予成员国一定权限。GDPR第9条第1款明确禁止对下列个人数据进行处理:对显示种族或民族出身，政治观点、宗教或哲学信仰、工会会员资格的个人数据进行的处理;以识别特定自然人为目的的对基因数据、生物学数据进行的处理;对健康有关数据或者对特定自然人的性生活或性取向的数据进行处理。GDPR第9条第2款规定前述规定的10项例外情况，例如:数据处理与已经由数据主体明显公开的个人数据相关;数据处理为法律请求的提出、行使或辩护所必需或者数据处理是法院依据其司法权力而作出等。GDPR第9条第4款规定，成员国可以就基因数据、生物学数据或者健康相关数据的处理保留或者进一步限定条件。

4.鼓励分场景制定GDPR实施的行为准则。GDPR第40条第1款规定，鼓励成员国、监管机构、欧洲数据保护委员会和欧盟委员会制定旨在促进本条例正确适用的行为准则，并在制定过程中考虑到各处理行业的具体特点以及微型、中小型企业的具体需求。同时该条第5款要求行为准则需要报监管部门批准。

5.建立数据保护影响评估制度。GDPR第35条第1款规定，对数据的处理,尤其是运用新技术进行处理，考虑到处理的性质、范围、背景和目的，可能对自然人的权利和自由产生较高风险，因此在进行数据处理前，控制者应对拟进行的处理操作进行个人数据保护影响评估。同时在第7款要求评估内容至少包括对拟进行处理操作的系统描述、处理的必要性和合理性、确保个人数据得到被保护等。

6.规定数据主体申诉与司法救济的权利。GDPR第77条至第82条规定数据主体对数据处理违反《条例》的行为享有向监管机构申诉，以及向法院提起诉讼的权利。其第82条对控制者与处理者的责任进行了切分。第82条第2款规定，参与处理的任何控制者应对本条例的处理行为导致的损害承担责任。处理者仅在其没有遵守本条例对处理者义务的具体规定，或者超出或违背控制者合法指令的情况下，才对处理行为引起的损害承担责任。若控制者或处理者能够证明其对引起的损害没有责任,则免于承担责任。若两者都对引起的损害负有责任，各控制者或处理者应对全部损害承担责任。全额赔偿的主体可向其他控制者或处理者主张各自相应的赔偿部分。

(三)美国和欧盟个人信息共享制度比较分析

首先，美国和欧盟虽都规定个人信息可以共享，但“同意”机制不同。CCPA以“选择退出”+“经济激励”的方式，实现促进个人信息共享的目的。只要消费者没有选择退出，就视为同意企业共享个人信息。同时,美国通过规定“详细地”退出机制，实现消费者对个人信息共享的可控性。例如，在2020年8月14日生效的加利福尼亚州《CCPA实施条例》，要求对消费者的告知要使用简洁明了的语言,避免使用技术或法律术语;使用吸引消费者注意力的格式并使得通知易读;CCPA允许企业为消费者制定两种及以上提交要求的方式，而《CCPA实施条例》规定当消费者通过非指定方式向企业提交要求时，企业也必须准确接收或告知消费者其指定的提交方式;并明确企业必须在收到消费者知悉请求或删除请求后10个工作日内确认收到该请求，并在45个工作日内回应消费者的请求等；同时要求“选择退出”的链接统一命名为“不要出售我的个人信息”等。GDPR以“选择加入”的方式实现个人数据流通，企业只有在主动获取消费者的同意后,才可流通个人数据。与CCPA相比,GDPR可能降低共享的效率。在个人权益保护方面,美国通过细化“退出”规则,在一定程度上使告知内容更为清晰和明确,有利于事后追责。

其次，美国和欧盟都要求向用户进行明确的告知,并保证用户个人信息权益的实现。从前文介绍可知，美国更注重个人信息的利用，而欧盟则侧重对个人信息的保护。但二者出现了共同的趋势，即都明确规定企业处理数据的告知义务,从而保证消费者的知情权与数据处理的透明性。值得注意的是二者立法均规定当个人信息再次共享时，需要向用户明确告知。由此可知,履行告知义务是二者个人信息共享的前提。

最后，美国和欧盟都对个人信息共享的一般规则作出规定，同时允许不同行业、成员国针对具体的情况自行拟定相关规则。此种做法兼顾个人信息保护的统一性与灵活性。统一性立法最大的优势在于为个人信息保护提供确定的、权威的依据，有助于维护信息主体的合法权益。同时实施行业自治立法,能够更有针对性地解决不同行业的个人信息类型与特点、不同的敏感程度、不同场景下，共享中出现的实际问题。

三、数字经济下个人信息共享的理论依据与实现路径

(一)个人信息共享符合人格权的发展趋势

个人信息共享符合人格权理论的发展。传统民法学说将人格权保护的利益限定为精神利益，人格权不得转让、放弃、继承。然而，随着社会经济生活和科技的发展,作为人格权客体的一些人格要素如姓名、名称、肖像、声音等逐渐可以被商业化利用，特别是随着大众传媒和广告业的发展，歌星、影星、体育明星等人的衣着打扮、生活方式等成为大众争相模仿、追求的时尚。这些人的肖像被制作成各种广告、姓名被注册成商标等，为其带来了巨大的经济利益，由此产生人格权的商品化。(7)参见程啸:《论民法典对人格权中经济利益的保护》，载《新疆师范大学学报》,2020年第6期。《民法典》通过授权许可制度实现对人格权商品化的保护。《民法典》第993条规定民事主体可以将自己的姓名、名称、肖像等许可他人使用。由于该条规定是在人格权编的一般规定中，因此该项规定同样适用于信息主体的个人信息权益。

立法上对人格权商业价值的保护早有先例。美国法采用财产权模式，创立了公开权理论，将人格标志上的公开权设定为一种新型财产权。美国的公开权在创立之初，虽然面临来自传统法律理论的阻力,法官仍坚持从利益需求方面证明权利保护的正当性。通过判例的探索，美国法发展出了一种权利二分模式：以人格利益与财产利益的清晰划分为基础，将人格标志上的某些人格利益归入隐私权的保护范围，而将人格标志的商业价值归入公开权的范畴。如今,在美国，公开权已经发展为一种成熟的财产权。它可以转让，可以许可使用,也可以继承。在德国通说即认为人格权不限于保护精神利益，同时也保护经济利益。德国法采用人格权模式，通过构造人格权的财产成分来保护人格标志上的经济利益,而且人格权的财产成分可以单独保护，也可以转让、继承。(8)参见王卫国:《现代财产法的理论构建》,载《中国社会科学》2012年第1期。

(二)告知同意是个人信息共享的基本要求

个人信息共享实际上是个人信息的反复收集和利用，涉及个人信息权益、隐私权保护问题,与人格尊严密切相关，因此这一过程必须是可控的。个人信息不能由收集者随意共享他人，被共享者也不能在获得信息之后随意再次共享或者允许他人利用，更不能将这些信息经过整合后再投入个人信息黑市进行交易。一方面，这可能触及非法侵入计算机系统罪、侵犯公民个人信息罪等罪名，即便不构成犯罪，也可能构成对他人个人信息权益和隐私权的侵害。(9)参见王利明：《数据共享与个人信息保护》，载《现代法学》2019年第1期。另一方面，若个人信息主体在初次授权后就丧失个人信息的控制能力，难以确保个人信息的利用符合其预期，可能让信息主体的心里产生焦虑，甚至会引发社会不良舆论。此外,人格尊严也包括对人格利益通过自己的意志自主利用，他人不得未经许可而利用，这本身就是保护人格尊严的重要方式。(10)王利明：《人格利益:立法许可使用极其必要》，载《北京日报》2020年3月9日第014版。“告知同意”是实现可控性与自主利用的重要手段。其目的是保护信息主体对个人信息的自决权，这是维护人格利益最基本的要求，表现为控制者(企业)只有在告知同意后，在获得信息主体许可的范围内利用个人信息。

(三)建立分类分级的共享制度是平衡个人信息价值冲突的重要途径

个人信息蕴含多元主体的不同价值，不仅包含人格利益，而且还有企业的商业价值、社会的公共利益价值，甚至涉及国家安全。企业通过对个人信息的处理，可以帮助其战略决策,制定更有针对性的销售策略等;政府利用个人信息可以提高公共管理水平、医疗机构通过共享患者信息以提升医疗水平等;甚至一些基因信息、消费信息还关系到民族独立、经济发展等国家安全。因此数字经济下的个人信息共享制度，要平衡上述价值冲突，不能一味强调个人信息安全，影响企业对个人信息的利用和社会发展;也不能过度放任个人信息的共享，侵害自然人的个人信息权益。如何协调与平衡上述主体的价值冲突，依据庞德的观点，他把法律秩序所应保护的利益分成了三类,包括个人利益(直接涉及个人生活,并以个人生活名义所提出的主张、要求或愿望)、公共利益(“涉及政治组织社会的生活并以政治组织社会名义提出的主张，要求和愿望”)和社会利益(“涉及文明社会的社会生活并以社会生活的名义提出的主张、要求和愿望”)。最后一类利益还包括一般安全利益、个人生活方面的利益，保护道德的利益、保护社会资源的利益及经济、政治和文化进步方面的利益。庞德拒绝就上述利益评价的严格标准问题进行表态。他认为，在一定的时期可能应该优先考虑一些利益，而在另一时期则应优先考虑别的利益。(11)参见[美]E.博登海默：《法理学——法哲学及其方法》，邓正来、姬敬武译，华夏出版社1987年版，第141-142页。庞德通过区分场景的方式，实现各方利益的平衡，为我们解决个人信息共享的价值冲突问题提供了指导思路。在立法上知识产权同样面临保护创造者的合法权利与促进文化科学知识传播的价值冲突。其通过“一般规则+特殊情况”的模式进行平衡。我国《著作权法》第10条规定了著作权人享有的权利，第22条详细列举了限制著作权人权利的12种合理使用的情形。此种方式还体现在著作权的法定许可、专利法的强制许可当中。由于个人信息的价值多元，几乎无法实行统一的共享规则，因此在平衡价值冲突时，可以借鉴庞德的场景化思维,采取知识产权法的立法模式，在法律上规定基本的共享规则，同时按照不同行业个人信息的特点,建立不同的共享规则，即个人信息的分类分级共享制度。

四、数字经济下我国个人信息共享制度的立法模式与规则设计

(—)实施国家统一立法+行业立法的模式

随着各种APP、小程序的广泛应用，个人信息被收集的规模与种类越来越多，增加了个人信息潜在的安全风险，人们也越来越关注上述问题，要求保护个人信息安全的诉求也越加强烈。法律的基本目标就是保护人们的合法利益，因此在法律上建立统一的个人信息共享规则，是立法的必然趋势，也是当今国际上许多国家都采取的一种做法。但发挥数据价值，促进数字产业发展，也是社会发展的重要目标之一。如何对个人信息安全与促进其利用两种价值进行“称重”呢？美国与欧盟都采纳了“统一立法”加“行业分类而治”的方式。前文已经阐述，美国没有联邦层面统一的隐私权保护法，有关个人信息共享的相关规定体现在各州的隐私权立法中。此种模式由于存在缺少统一规则和各州立法不一致的问题，在一定程度上不利于个人信息的安全共享。但GDPR实施后，美国参众两院也提出很多关于个人隐私的联邦层面的法案。例如2019年《数据传播法案》,2019年《社交媒体隐私和消费者权利法案》、2019年《数字问责制和透明度以提升隐私保护法案》、2020年《数据保护法》、2020年《消费者数据隐私和安全法》等。(12)参见https^//legiscan.com/&prev-search&pto-aue,Last visit time September 9, 2020.尤其在《消费者数据隐私和安全法》中规定,本法不应被解释来修改、限制,或取代下列任一规则:《儿童在线隐私保护法》《执法通信协助法》、1934年《通信法》第227节、《格拉姆-里奇-比利利法案》《公平信用报告法》《健康保险可移植性和责任制法》《经济和临床健康卫生信息技术法》《普通教育条文法》第444条(通常称为“1974年《家庭教育权和隐私权法》”)、《电子通信隐私法》、1994年《驾驶员隐私保护法》、1958年的《联邦航空法》。由此可知美国的个人信息保护呈现出“统一立法+行业立法”相结合的模式。欧盟立法也采取了此模式。(13)前文美欧立法比较分析中已阐述。

我国对于个人信息共享制度的构建，也可以借鉴上述模式,而不宜实行一刀切的立法模式。若仅由国家统一立法，一方面国家只能制定通用规则，不能对每个行业都建立特殊的规则。另一方面国家可能并不完全了解行业的实际情况,制定的规则不能满足行业的需要。若仅由行业立法，可能会出现行业过度追求经济利益，而侵害个人信息权益的局面。另外由于共享的个人信息规模巨大、种类繁多,其中蕴含多元价值,因此既需要国家对个人信息共享的规则做出基本的规定，提供各行业必须遵守的最低要求，又需要行业根据自身个人信息的特征,制定有针对性、可操作性的具体规则。因此需要在国家制定基本规则的基础上，由行业制定具体的共享办法。同时个人信息共享需要避免各地区分别立法,一是避免重复立法，二是防止出现地方规则不统一阻碍个人共享的情况。具体的实施办法可以由国家制定基本规则,包括禁止共享的个人信息类型(14)禁止共享的个人信息类型可以包括有关国家安全、社会公共安全的个人信息等，同时对禁止共享的例外情况也需作出说明。、分类分级制度、告知同意制度等内容。

(二)各行业建立分级的个人信息共享制度

构建个人信息的共享规则，需要平衡各种利益，类型化的构建模式，可以作为解决利益冲突问题的基本思路。所谓的类型化，就是区别不同的个人信息种类，分而治之。我国各行业可以根据个人信息的敏感程度建立分级的共享制度，同时强调敏感个人信息的保护。具体方式可以参考2020年2月发布的《个人金融信息保护技术规范》。该《规范》首先明确个人金融信息的种类，包括账号信息、鉴别信息、金融交易信息等，并对每种信息进行定义。其次依据未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个等级。C3主要为鉴别类信息，该类信息敏感程度最高，是指一旦遭到未经授权的查看或未经授权的变更，会对个人金融信息主体的信息安全与财产安全造成严重危害，主要包括银行卡磁道数据、卡片验证码、卡片有效期等。C2类别信息是指可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的关键信息，该类信息一旦遭到未经授权的查看或未经授权的变更，会对个人金融信息主体的信息安全与财产安全造成一定危害，主要包括支付账号、账户、用户鉴别辅助信息(动态口令等)、网络支付账号余额等；C1类别信息主要为机构内部的信息资产，主要指供金融机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更，可能对个人金融信息主体的信息安全与财产安全造成一定的影响，主要包括账号开立时间、基于账户信息产生的支付标记信息等。该《规范》还规定了个人金融信息的一般共享规则，要求除法律法规与行业主管部门另有规定或开展金融业务所必需的数据共享与转让外，金融业机构原则上不应共享收集的个人金融信息，确需共享的，应向个人金融信息主体进行告知，并征明示同意。同时强调C3类别信息以及C2类别信息中的用户鉴别辅助信息不得共享；支付账号及其等效信息在共享时，除法律法规和行业主管部门另有规定外，应使用支付标记化技术进行脱敏处理，防范信息泄漏风险。

该《规范》的分级治理具有一定的借鉴意义。其通过明确一般个人金融信息的处理规则，同时强调特别敏感个人信息(C3)不得共享的方式，不仅使共享规则明确化、具体化，而且通过明确禁止共享的情况，很大程度上平衡个人信息共享与安全的冲突。在构建我国个人信息共享规则时，可以由各行业主管部门，依据本行业收集的个人信息特点，以及一旦泄漏后对国家安全、社会利益，以及自然人的人身、财产安全的影响程度，划分个人信息的敏感级别。(15)个人信息可以分为：特别敏感个人信息(一旦泄漏后会对国家安全、社会秩序和公共利益造成特别严重危害)；较为敏感个人信息(一旦泄漏会对国家安全、社会秩序和社会公共利益造成危害，或者对用户、法人和其他组织的合法权益造成严重损害)；一般个人信息(一旦泄漏会对相关用户、法人和其他组织的合法权益造成影响)等。然后依据个人信息的敏感程度，确立每种信息是否可以共享以及如何共享。对于行业制定的个人信息分级共享标准，可以报主管机关批准或备案。

(三)根据个人信息的敏感程度实行不同的告知同意模式

从司法判例来看，我国现阶段的个人信息共享实行的是“三重授权+选择进入”的模式。在淘友技术公司、淘友科技公司与北京微梦创科网络技术有限公司的案件中，北京知识产权法院认为，淘友技术公司、淘友科技公司未经新浪微博用户的同意及新浪微博的授权，获取、使用脉脉用户手机通讯录中非脉脉用户联系人与新浪微博用户对应关系的行为，构成不正当竞争行为。(16)参见北京知识产权法院(2016)京73民终588号民事判决书。依据此案的判决，个人信息共享中的控制者需要经过用户授权，接收方需要经过用户授权和平台授权,即三重授权。此种授权方式保护了用户对个人信息共享的控制性，但在一定程度上不利于个人信息共享的效率。在个人信息已经实行分类分级共享的前提下，对于一般个人信息可以更关注共享的效率，借鉴美国选择退出的模式。对于较为敏感的个人信息可以由企业评估风险，自行选择何种同意方式。若执行“选择退出”机制，需要落实退出操作的各项制度。对于特别敏感的个人信息可以规定禁止共享或匿名化共享。

(四)实施有条件的个人信息再次共享制度

对于个人信息再次共享的问题,依据前文阐述，美欧都规定有条件的再次共享。美国CCPA原则上规定不得出售企业已经出售给第三方的消费者个人信息，除非消费者已收到明确通知，并有机会行使退出权。同时消费者有权要求披露收集、出售的个人信息类别,第三方类别等信息。欧盟GDPR要求当个人数据并非从数据主体处获取信息时,控制者应当向数据主体告知个人信息处理的目的、种类及接受方的种类等。由此可知告知同意是数据再次共享的合法前提。

上述做法也存在不足之处。若出现个人信息多次共享,每一次共享都需要向信息主体明确告知的情况，会出现如下问题:一是企业的告知量级将十分巨大；二是企业应采取何种方式对用户告知；三是企业该如何判断用户是否同意；四是否会干扰用户的正常生活。因此需要在立法上明确再次共享的告知同意规则。本文建议只有当再次共享超出收集者的原有目的、使用范围、共享主体类别时，才需向用户告知，并采取“选择退出”机制，推定用户同意。同时采取区块链技术，记录个人信息共享的主体。这里需要强调特别敏感个人信息的再次共享规则，需单独向用户告知，并获得明示同意。

(五)通过法律、技术相结合的方式解决个人信息追责问题

对于个人信息共享中侵犯个人信息权益的行为,可以依据侵权法及合同法来解决。当信息主体发现个人信息泄漏、滥用后，按照一般过错归责原则，由其举证侵害的事实与侵权主体。但若个人信息多次共享，涉及多方主体时，信息主体可能很难确定侵权人，因此鼓励采用区块链技术记录共享的情况。企业间的个人信息保护责任由合同法调整，但需要在立法上明确双方的基本义务。主要包括个人信息提供方的风险评估义务(包括个人信息共享风险评估、以及对方保护个人信息的安全能力)，接收方的个人信息来源审查义务等，从而为解决合同争议提供基本依据。

结语

数字经济下,如何平衡个人信息的共享与安全，是发挥数据价值的关键。本文提出分类分级的治理思路，以国家统一立法为基础，制定个人信息共享的基本规则，以保障个人信息共享中的国家安全与社会公共利益。同时实施按行业分级治理制度，注重敏感个人信息的保护，与一般个人信息共享相对自由的共享规则，同时落实个人对其信息的知情与控制，以期最终实现促进个人信息共享与保护个人信息安全的目的。