方志伟 王建文

个人信息的种种商业利用模式极大提升了企业的服务质效，甚至改变了社会经济的运行方式。然而，个人信息商业利用的边界和方式等仍在探索之中，载有个人信息的个人数据集合该如何在数据市场中流通尚无明确规范予以指引。现有立法对个人信息商业利用限制居多，抑制了数据资源的有效配置及数据生产力的发挥，对数字经济的发展和技术创新构成了制度性约束。庆幸的是，2021年8月颁布的《个人信息保护法》确立了个人信息保护与利用并重的理念，拓宽了个人信息商业利用的合法性基础，以实现数据红利与个人信息保护之间的平衡。因此，当下的任务是在《个人信息保护法》的框架下，针对个人信息商业利用过程中个人信息处理和个人数据流通给予合理制度安排，从而平衡个人信息商业利用中的多方主体利益。

一、个人信息商业利用制度命题的提出及其构建路径省察

个人信息支撑了企业对用户的个性化定制，促进线上线下经济的融合，是平台经济等新型商业模式的核心资源。个人信息的使用价值催生了企业对个人信息收集利用的需求。①See Schwartz,Paul M.,and Daniel J.Solove,“Reconciling Personal Information in the United States and European Union，”Calif.L.Rev,vol.102,2014,pp.877-916.在缺乏有效的制度规范情况下，个人信息商业利用必然会导致个人信息主体、企业、国家等主体之间的利益纠缠，不同主体之间的利益诉求存在冲突在所难免。因此，个人信息商业利用的制度安排不简单是单向度的人格保护，更需要协调多种权利，实现多方平衡。

（一）个人信息商业利用中的利益冲突类型

其一，个人信息主体与企业的利益冲突。数字时代，企业利用个人信息极大地提升了服务效率、降低了运营成本。例如，企业利用个人信息绘制数据画像并进行个性化推荐，可以帮助消费者更快地获取想要的产品，节省信息检索成本。同时，个性化推荐也可以帮助企业提高服务效率和订单转化率。但从用户角度来看，个人信息的广泛使用带来的不仅是效率的提升，亦会伴生诸多风险，如个人信息泄露、大数据杀熟等。随着数据处理算法与算力的不断优化和提升，个人信息商业利用过程中个人信息主体与企业间的利益冲突正进一步扩大。一方面，企业迫切需要更多个人信息和更广的处理权限推动技术研发，开创新的商业模式；另一方面，个人用户愈发忌惮各种智能化场景下个人信息的关联汇集，使得个人宛如“透明人”一般。

其二，不同企业之间的利益冲突。个人信息经企业处理后，汇聚成可读的个人数据。个人数据的使用价值是可变且多样的，其价值取决于具体的应用场景，不同场景下通过不同算法挖掘不同价值。同时，针对同一个人信息主体的数据可能由不同企业收集、存储，每一企业所掌握的数据总是有限的，仅凭单一企业数据来源不足以对目标客户进行全面、精准的分析。概言之，数据产业发展有赖于数据的充分流通。然而，目前数据产业中数据流动并不充分，不同企业间的数据争夺、控制频繁上演。在互联网产业中，“赢者通吃”现象更为突出。大型平台企业利用资金、技术优势建立跨领域的闭合商业生态圈，汇集了海量个人信息数据。此外，平台企业为防止用户转移流失，往往会设置各种技术壁垒和障碍，用户即使对企业的服务或产品感到不满，也会因为无替代服务或数据转移困难等原因而放弃，②See Bornico,L.,and I.Walden，“Ensuring Competition in the Clouds:The Role of Competition Law?,”Era Forum no.12.2,2011,pp.265-285.导致用户被牢牢地锁定在这些平台之中，形成数据孤岛。

其三，企业与国家之间的利益冲突。数字技术的不断纵深发展极大地促进了经济全球化进程并逐渐演化为数字全球化，数据的跨境流动已成为全球大型互联网企业投资增长的重要途径。尽管数据跨境流动是企业运营中常见的商业活动，但载有个人信息的数据跨境流动可能威胁到公共利益甚至国家安全。③See Burri,Mira,“The Governance of Data and Data Flows in Trade Agreements:The Pitfalls of Legal Adaptation”，UC D L Rev,Vol.51,2017,pp.65-133.从总体的国家安全观来看，一方面，部分跨境流动的个人数据中可能含有特定个体的个人信息。如特殊工种的涉密人员在日常工作中可能与国家安全产生千丝万缕的联系，尽管单纯的个人信息并不属于国家机密，但可通过关联分析危及国家安全；另一方面，海量普通用户的个人信息也可能威胁国家安全。例如，国内第一大出行服务提供商滴滴公司在中国拥有超过3.77亿用户，日均产生2500万次订单。①See DIDI IPO prospectus.这些订单数据中不仅关系到用户个人信息，还包括我国道路交通流量、人口聚集区等敏感内容。自“棱镜门”事件后，各国纷纷转向数据本地化留存避免数据跨境流动产生的安全风险。但过于严苛的数据跨境流动限制将导致互联网产业发展受到限制，国内相关企业将很难参与国际竞争，国内消费者也可能无法享受境外产品的优质服务。②参见高山行、刘伟奇：《数据跨境流动规制及其应对——对〈网络安全法〉第三十七条的讨论》，《西安交通大学学报（社会科学版）》，2017年第2期，第87页。

（二）既有个人信息商业利用制度构建路径省察

当前我国数字经济发展方兴未艾，但个人信息商业利用的制度供给尚嫌不足。概括来说，既有研究主要围绕赋予个人信息财产权及个人信息的社会控制模式展开。

1.个人信息财产权模式及其不足。个人信息商业利用并非新生事物，明星的肖像、姓名等传统人格权客体的商业利用表明，个人信息不仅具有人格利益，还具有财产利益。大数据时代，个人信息商业利用不再是社会明星的“特权”，普通公民的个人信息亦具有极大商业价值。与姓名、肖像等直接个人信息类似，其他类型的个人信息在大数据时代同样可效仿肖像权商品化的机理，即能够许可他人利用，财产权益可被继承，可请求财产损害赔偿。③参见郭明龙：《论个人信息之商品化》，《法学论坛》2012年第6期，第109页。正因如此，这种商业价值及可控制性使得个人信息具备法学意义上的“财产权”客体。④See Thunert,Martin.“The Information and Decision Support Centre(IDSC)of the Egyptian Cabinet:A Think Iank in the Making”,Zeitschrift fiir Politikberatungz,no.4,2009,pp.679-684.个人信息财产权强调个人信息不仅具有一般的人格权或人身性权益，还承载了财产权益。⑤参见龙卫球:《数据新型财产权构建及其体系研究》，《政法论坛》2017年第4期，第74页。个人信息主体作为其利益的最直接判断者，允许其与企业之间磋商谈判，似乎有利于实现合理对价下的权利归属变更。鉴于市场通常极具效率，个人信息财产权似可极大解决个人信息商业利用的负外部性，从而促进个人信息的流通。⑥参见洪玮铭、姜战军：《数据信息、商品化与个人信息财产权保护》，《改革》2019年第3期，第152页。但事实并非如此，赋予个人信息财产权并不足以在制度层面实现个人信息保护与商业利用平衡。其一，个人信息财产权可能阻碍数据产业发展。个人信息蕴含商业价值已广为认可，但单个主体的个人信息财产价值极低，个人信息主体与企业之间的价格机制很难实际运行，有限的经济激励很难刺激个人信息主体出售其个人信息。其二，个人信息财产权可能加剧个人信息人格权益侵害。从形式上看，个人信息财产权可以强化信息主体对其个人信息的主体控制。但是，若信息主体将其个人信息财产权转移至企业，企业则可能更加肆无忌惮地使用其个人信息。

2.个人信息社会控制模式及其不足。基于赋权（财产权等）的个人控制模式在理论上颇受质疑的一个重要原因是忽略个人信息的公共性特点。⑦参见孙清白、王建文：《大数据时代个人信息“公共性”的法律逻辑与法律规制》，《行政法学研究》2018年第3期，第56页。个人信息的商业价值应在分享与流通中实现，私权化将阻碍数据的流通。⑧参见梅夏英：《在分享和控制之间：数据保护的私法局限和公共秩序构建》，《中外法学》2019年第4期，第849页。个人信息除识别个人外，还关涉他人和社会利益，不应简单由个人决定，而应将个人信息视为社会的共同资源并由社会或国家决定对个人信息的收集与利用，这在制度上也更有效率。①参见吴伟光：《大数据技术下个人数据信息私权保护论批判》，《政治与法律》2016年第7期，第130页。因此，个人信息保护与商业利用之间的平衡方式在于将个人信息以可逆转的方式成为公共物品。②参见朱新力、周许阳：《大数据时代个人数据利用与保护的均衡——“资源准入模式”之提出》，《浙江大学学报（人文社会科学版）》2018年第1期，第23页。对个人信息的处理规范将由法律作出精密安排。通过对个人信息处理者的行为予以规范和对违法处理行为予以惩治，从而避免个人信息的滥用和实现个人信息的救济。③参见高富平：《个人信息保护：从个人控制到社会控制》，《法学研究》2018年第3期，第100页。然而，个人信息的社会控制模式过于强调个人信息的公共属性，未能充分回应个人信息的可识别性。个人信息始终是可以识别出特定主体的信息，体现了特定主体的外在形象和内在喜好等多元人格面向，敏感个人信息甚至还关涉个人隐私。因此，仅凭个人信息同时具有公共属性这一理由不足以替代个人对其个人信息处理的决定。此外，我国《民法典》已明确将个人信息纳入人格权编，社会控制模式还将面对重大私法障碍。

（三）对个人信息商业利用制度构建的反思

个人信息是人格权还是财产权客体，是个人控制还是社会控制，学界一直争执不下。究其原因，无非是立法细化解释缺位，理论学说聚讼纷纭，个人信息与个人数据等概念交织。小数据时代，个人信息常以文字形式记录于纸张或其他媒介之上，个人信息通常仅具有统计意义。而大数据时代，数字技术将个人信息数据化，个人信息往往以电子数据的形式存储并利用，个人信息与数据的关系在数字时代几成一体，导致个人信息权益与载有个人信息的数据权益交叉融合，并日趋复杂。尽管越来越多的学者注意到个人信息与个人数据之间的区别，并认识到两者分属本体与媒介或内容与形式之差别，但并未深入研究这些区别对个人信息商业利用的规则体系构建的影响。有观点认为，以数据为载体的个人信息同时具有“信息自决权”和“数据财产权”两个面向，④张忆然：《大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩》，《政治与法律》2020年第6期，第57页。并将个人信息之上的信息自决权分配给个人，数据财产权分配至企业。上述观点充分认识到个人信息商业利用中个人与企业的权利配置平衡，然而，在《民法典》已明确指出公民个人信息权益属于人格权益，而非财产权益的情况下，⑤参见程啸：《论我国民法典中的个人信息合理使用制度》，《中外法学》2020年第4期，第6页。赋予个人信息以数据财产权势必缺乏制度基础，《个人信息保护法》对此也有类似表达。由此，在个人信息商业利用的主要场域——网络世界中，个人信息的生产、加工、利用、流通等均以数据形式开展，在这种交织状态中，精准解读和定位个人信息与个人数据的理论区分将有助于我们妥善安排个人信息商业利用的制度体系。

二、《个人信息保护法》对个人信息商业利用制度安排的价值

个人信息商业利用中的利益冲突在商业实践中越来越多，“个人信息”保护纠纷与日俱增，“数据”权益争夺日趋严重，个人信息商业利用迫切需要法律予以规范。《个人信息保护法》以维护个人在数字化时代的人格尊严和公平为出发点，兼顾了数字经济发展的合理需求和趋势，很大程度上化解了个人信息保护与商业利用之间的价值冲突。

（一）在数据红利与个人信息保护之间寻求平衡

首先，我国《个人信息保护法》开篇即明确了保护个人信息权益和促进个人信息合理利用的立法目的。立法目的条款不仅具有宣示意义，还具备一定的利益衡量功能，①参见刘颖：《民法典中立法目的条款的表达与设计》，《东方法学》2017年第1期，第96页。平衡协调相关法律关系中的各方利益。《个人信息保护法》立法目的有二：一是“保护个人信息权益”，二是“促进个人信息合理利用”。值得注意的是，《个人信息保护法》立法目的条款删除了一审稿中“保障个人信息依法有序自由流动”的表述，看似是对个人信息利用的约束，实则是对立法目的廓清。《个人信息保护法》的落脚点是对个人信息之上的人格权益保护，而非个人信息商业利用过程中的数据市场秩序构建。但我国立法对个人信息商业利用的市场秩序并非没有考虑，而是通过个人信息与个人数据的区分，将个人数据市场流通秩序维护的任务交由《数据安全法》《反垄断法》处理。其次，《个人信息保护法》扩大了个人信息合理使用的合法性基础。一方面，《个人信息保护法》第4条第1款沿用了《民法典》对个人信息的定义，将匿名化的个人信息排除在限制处理范围以外；另一方面，在知情同意规则下，《个人信息保护法》还另行规定了包括订立合同所必需的等六种例外情况，②参见《个人信息保护法》第13条。以平衡个人信息使用与保护，打破了《网络安全法》将同意作为个人信息使用的唯一合法性条件的局面，也呼应了《民法典》对个人信息合理使用的相关规定。

（二）明确个人信息主体权利适用前提

个人信息保护不是保护个人信息本身的价值，而是对信息主体的保护，是防止滥用个人信息关联识别信息主体导致对人的尊严、自由等损害，③参见高富平：《个人信息保护：从个人控制到社会控制》，第94页。因此，个体需要法律赋予其一系列信息权利排除他人肆意使用。在个人信息保护呼声高涨的今天，世界各国和地区的个人信息保护立法进路多是通过对个人信息主体赋权和对个人信息处理者（控制者）课以责任。这样的立法技术遵循了一贯的侵权法思维，能快速地构建出个人信息保护的法律框架。合理的个人信息权利应当是被动的防御性权利，而不应是一种建立在个人信息控制权之上的权利。我国《个人信息保护法》在第四章采用了“个人在个人信息处理活动中的权利”的措辞，笔者认为该表述可理解为权利主体是信息主体，义务人是个人信息处理者，适用场景是个人信息处理活动中。易言之，个人信息权利只能适用于特定的信息法律关系，而不能像隐私权一样针对不特定的第三人，④参见丁晓东：《个人信息权利的反思与重塑：论个人信息保护的适用前提与法益基础》，《中外法学》2020年第2期，第344页。即信息主体仅在个人信息处理活动中对个人信息处理者享有该系列权利。

（三）确立大型平台企业的“守门人”义务

从法理上看，任何主体对其控制的场所负有安全保障义务。在现实世界中，经营者需对其经营场所中的消费者或其他进入该场所的人负有适度的安全保障义务。在虚拟的网络世界，企业亦有义务确保其用户的个人信息不被滥用、泄露。面对海量用户个人信息，一种有效的方案即是抓住数据产业生态中的关键角色，赋予其“守门人”义务。⑤参见张新宝：《互联网生态“守门人”个人信息保护特别义务设置研究》，《比较法研究》2021年第3期，第12页。《个人信息保护法》遵循上述思路，合理借鉴欧盟《数字市场法》的经验，引入了针对大型平台企业的特别义务。一方面，大型平台企业因覆盖面广，业务类型丰富，往往掌握了海量个人信息，一旦泄露或是滥用将导致严重后果，需要赋予大型平台企业以更高的个人信息保护责任。另一方面，大型平台企业往往还为其他互联网企业提供技术和运营环境，其技术和管理在产业生态中具有强大控制力。因此，《个人信息保护法》赋予大型平台企业以更高的保障义务，即对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务。①参见《个人信息保护法》第58条第3款。该监管模式也更具有经济合理性，因为多数情况下，第三方监督尤其是具有技术优势的监督主体远比行政机关监督数量众多的违法行为更符合经济学上成本收益分析。②参见高秦伟：《论行政法上的第三方义务》，《华东政法大学学报》2014年第1期，第49页。

三、个人信息商业利用制度安排的前提：个人信息与个人数据的区分

如前所述，个人信息商业利用制度构建中充斥着大量的个人信息与个人数据的混同。一方面，将对个人信息的控制赋权衍生至个人数据，导致个人信息主体的行权对象扩张，基于数据创新的企业将举步维艰；另一方面，对个人数据的确权不足引发“数据究竟属于谁”的争论，进而阻碍数据流通。因此，对个人信息商业利用制度安排的起点应是厘清个人信息和企业处理后得到的数据即本文所称个人数据之间的关系。根据国际标准化组织（ISO）对数据的定义，数据是对信息的一种形式化呈现方式，通过这种形式可将信息内容展示出来，便于沟通、展示含义或处理。③See ISO/IEC 2382:2015(en)Information technology—Vocabulary.数字化条件下，个人信息与个人数据聚合在同一对象之上，从而构成一体两面的关系，即数据是一种机器可读编码，而信息是机器对该编码符号的解读。我国个人信息商业利用应采取国际标准化组织的定义，明确个人信息侧重的是内容，强调的是对用户人格权的保护；个人数据侧重于形式，强调的是企业享有对个人数据处分收益等权利。两种不同客体分别承载着不同的权利。

（一）个人信息与个人数据分属不同的权利客体

区分“个人数据”与“个人信息”不仅可以确保规范层面个人信息的界定科学合理，还可以为数据企业的发展预留出合法空间。④郭如愿：《个人数据的经济利益论与财产权利构建》，《电子知识产权》2020年第5期，第34页。事实上，个人信息与个人数据的区分在《个人信息保护法》之前已有诸多尝试并逐渐形成二者分置的共识。我国《民法典》第111条和第127条即将个人信息与数据分别予以规定，《数据安全法》第3条将数据定义为“任何以电子或者其他方式对信息的记录”，亦阐明了数据与信息之间的关系。笔者认为，个人信息与个人数据在法理上理应是区分的。一方面，从权利性质来看，《个人信息保护法》等赋予个人对个人信息享有查询复制、更正删除等权利，虽是一种新型权利，但本质仍是来源于人格权，保护的是个人信息的人格权益；而经企业合法处理个人信息而来的个人数据在数字经济时代已迸发出巨大商业价值，因此，个人数据应强调的是其作为大数据集合所具有的财产性权益。另一方面，从权利归属来看，个人信息之上的查询复制、更正删除等权利作为人格权的具体形式，始终归属于个人信息主体；而个人数据则是花费企业大量的人力和技术成本收集、存储、加工的个人信息，因此，企业对个人数据享有一定财产权益，这也符合财产权劳动理论。⑤参见张新宝：《论个人信息权益的构造》，《中外法学》2021年第5期，第1160页。个人信息与个人数据的二分，既可充分保护个人信息主体的人格权益，又能极大限度鼓励数据流通，促进数据产业发展。

（二）个人信息与个人数据区分的法律意义

个人信息与个人数据概念的混用在单纯的个人信息保护语境中可能不会引起理解上的偏差，但在个人信息被广泛商业利用的大数据时代，两者混用将直接导致数据权益与信息权益的关系混乱。①参见韩旭至：《信息权利范畴的模糊性使用及其后果——基于对信息、数据混用的分析》，《华东政法大学学报》2020年第1期，第91页。个人信息与个人数据的区分可明确个人信息主体或企业的行权对象，也为司法裁判提供更为合理的论证路径。首先，个人信息与个人数据的区分决定了个人信息的权利对象。例如，个人信息携带权被认为是防止数据集中，促进数据流通的良方，但基于个人信息或数据将产生不同理解：一种理解是，平台仅需要提供其收集到的个人信息即可，可以是文字描述也可以是其他形式类型的呈现；另一种理解是，平台应当在信息主体提出个人信息转移申请之时，提供基于个人信息处理后得到的载有用户个人信息且便于机器可读的数据。②参见梅夏英：《信息和数据概念区分的法律意义》，《比较法研究》2020年第6期，第153页。不同的理解方式将导致个人信息权利的指向不明。其次，区分个人信息与个人数据可明确企业权利范围和创新的边界。在个人信息商业利用的视域下，企业合法处理后得到载有个人信息的数据要素如何定性将对培育数据要素市场至关重要。混乱的个人信息界定将极大扩张受保护的个人信息范围，个人数据也有可能归为其中，导致企业陷入无所适从的困境。最后，为司法裁判厘清论证说理的裁判路径。在“淘宝诉美景公司大数据产品不正当竞争案”中，法院一方面认为经过深度整合分析处理的个人信息已独立于信息主体和原始网络数据，属于大数据产品。另一方面却又承认大数据产品的价值在于内含的个人信息内容。③参见杭州铁路运输法院（2017）浙8601民初4034号民事判决书、浙江省高级人民法院（2019）浙民申1209号民事裁定书。此表明个人信息与个人数据的混沌关系对司法裁判的困扰。事实上，在个人信息与个人数据区分的背景下，该案是单纯的数据权益纠纷，个人信息对本案并无实质影响，法院只需依据企业对个人数据享有财产性权益便足以作出合理裁判。

需要指出的是，个人信息商业利用始终围绕个人信息的具体内容展开并以数据形式运转，因此个人信息与个人数据确是无法在实际上截然分离。在个人数据的使用和流通过程中，依附于数据之上的个人信息仍然存在不可避免的人格权益侵害风险。然而，个人信息与个人数据的交织纠缠并不意味着对其区分毫无意义。个人信息与个人数据的区分的重要意义在于识别个人信息商业利用过程中权益类型，是个人信息主体的人格权益还是个人数据的财产性权益。个人信息商业利用实践很大程度改变了过去人格权或隐私权的法律规制逻辑，个人信息的非财产属性已无法适应个人信息商业利用的行为。④参见齐爱民:《私法视野下的信息》，重庆：重庆大学出版社，2012年，第219页。也正因如此，区分个人数据就显得尤为必要，由个人数据的财产属性弥补单一个人信息商业利用中的制度不足。概言之，个人信息与个人数据的二分，更贴合两者的概念内涵和经济本质，也更有利于对个人信息中的人格权益保护和数据中的经济价值的发挥。

四、《个人信息保护法》框架下个人信息商业利用的制度安排

个人信息的保护与利用需采取跨越个人信息主体权益保护、数据财产保护、竞争法等领域的综合性制度。①See Parsheera,S.,S.Moharir.“Personal Data and Consumer Welfare in the Digital Economy.”Social Science Electronic Publishing.《个人信息保护法》为个人信息保护与商业利用提供了一个制度性框架，未来应在《个人信息保护法》的框架内，细化个人信息商业利用的合法性基础和利用方式，构建个人数据市场流通规则体系，从而实现《个人信息保护法》与《数据安全法》等法律的衔接与融合。

（一）个人信息：在合法处理基础上合理利用

我国《个人信息保护法》针对个人信息处理作出了细致规定，概括来说，即是在合法性基础上合理利用个人信息。在个人信息商业利用场景中，应如何理解适用《个人信息保护法》中的“合法性基础”与“合理使用”？这也是个人信息商业利用制度安排的核心。

首先，细化个人信息商业利用的合法性基础。《个人信息保护法》在《民法典》的基础上，确立了告知同意原则为个人信息商业利用的一般合法性基础，还将个人信息商业处理的合法性基础给予适当扩张，即“匿名化”和“合同履行所必需”同样构成个人信息商业利用的合法性基础。②参见《个人信息保护法》第13条。但在当代信息技术下实现完全的匿名化几无可能，几乎任何加密或匿名手段都有可能识别出特定个人。③See Arkhipov,et al,“The Legal Definition of Personal Data in the Regulatory Environment of the Russian Federation:Between Formal Certainty and Technological Development”，Computer law & security Review 32，no.6,2016，pp.868-887.因此，合理界定个人信息匿名化标准就尤为必要。笔者认为，我国《个人信息保护法》关于个人信息匿名化“无法识别且不能复原”④参见《个人信息保护法》第73条第4项。的认定标准应结合具体应用场景，采用一般信息处理者在合理的时间、技术、资金等条件下无法识别特定信息主体为宜。此外，还需出台相关规定，禁止对匿名化个人数据再识别行为，且需要强调的是，禁止的对象既包括既有信息的处理者，还包括其他接受该匿名化个人数据的接收者。《个人信息保护法》针对数字社会的现实需要，还专门设立“履行合同所必需”的合法性基础。对于个人信息商业利用而言，该规则意义重大，大大节省了企业信息合规成本。但《个人信息保护法》的该条款相对宏观，未来应对“必需”作出合理解释。笔者建议可借鉴欧盟的相关经验，对“履行合同所必需”应理解为客观上的必需，而不是制定合同的企业主观认为的必需。⑤See Guidelines 2/2019 on the processing of personal data under Article 6(1)(b)GDPR in the context of the provision of online services to data subjects.而且，当合同终止后，所有的个人信息将变得不再“必需”，除非征得信息主体的同意或经上述匿名化处理。

其次，明确个人信息的使用方式。目前对个人信息商业利用过于强调收集过程和个人信息数据的归属，而对个人信息的使用方式关注不足。个人信息在商业领域的使用方式与公共领域并无二致，不过是提供的数据产品或服务不同而已。个人信息商业利用方式可总结为三类：一是利用特定信息主体个人信息精准识别特定个人；二是集结某一信息主体多种不同类型信息，对其进行“数据画像”，进而执行某种决策；三是利用海量个人信息建模分析，实现诸如交通拥堵预测等。⑥参见方志伟、王建文：《个人信息在智慧治理中的风险与保护——以〈民法典〉个人信息保护为中心》，《江西社会科学》2021年第5期，第187页。不同商业使用方式对信息主体权益影响并不一致，因此需对不同使用方式加以明确。对于第一种使用方式通常发生在身份核验环节，而现有身份核验的基础多是基于识别出特定个体（以人脸识别最为典型），极易对个人隐私及财产带来巨大威胁。因此，企业对该使用方式应极为慎重，鼓励企业引入“零知识证明”（zero-knowledge proof）技术，在不识别特定个体的情况下完成认证。对于第二种使用方式，即通过描绘信息主体的数据画像，并提供个性化服务。实践中，部分企业滥用数据画像，损害用户利益，针对该使用方式，法律应明确企业审慎利用的原则。庆幸的是，《个人信息保护法》针对自动化推荐、决策给出了相应规定，即利用个人信息的自动化决策应保证透明度和结果的公平性，并提供便捷的拒绝方式。①参见《个人信息保护法》第24条。对于第三种使用方式，即利用海量个人信息建模分析，实施诸如道路拥堵预测，优化配置企业资源等。该使用方式是个人信息数据在大数据时代价值的核心体现，亦是企业收集处理个人信息的重要动因。从功能实现来看，该使用方式并不需要知晓相关数据集合与特定个体的一一映射关系。因此，对于利用不特定多数人的个人信息优化企业服务质量的方式，可在匿名化处理的基础上完成。同时，法律还应鼓励企业将匿名化的个人信息数据交易流通。

（二）个人数据：企业享有个人数据处分、收益权利并鼓励数据共享

个人信息经企业合法收集、加工等处理后形成机器格式的、可复制利用的个人数据。随着对个人信息处理活动的持续推进，企业积累了大量具有商业价值的个人数据。从零零散散的个人信息到具有商业价值的数据要素，信息主体通常只是在接受某些商业服务过程中提供了一些必要信息，真正赋予个人信息以使用价值的是信息处理者。与传统资源要素不同，数据要素可以重复利用，且不因使用而导致价值减损、灭失，反而还会丰富数据类型，进而获取新知识。此外，单一来源的数据价值含量较低，大数据时代，数据更需要多样性和多维度，才能发现数据之间的关联关系。近年来，全国各地已先后涌现了大量数据聚合交易平台，但收效甚微，对包含个人信息的数据交易更是极力规避。故我们迫切需要构建个人数据流通制度，促进数字经济发展。

首先，数据确权。数据流通需承认数据控制者的权利，载有个人信息的个人数据在权属不明的情况下，不认可数据的私人控制将阻碍数据流通和社会化利用，②参见高富平：《数据经济的制度基础——数据全面开放利用模式的构想》，《广东社会科学》2019年第5期，第9页。进而无法构建数据要素的流通秩序。基于《个人信息保护法》及《数据安全法》对个人信息与数据的二元保护的立法取向，企业对个人信息本身不享有任何权益，但企业对其合法处理个人信息所得的个人信息数据无疑享有法律应当保护的正当利益。数据并非天然生成，需要处理者付出大量人力和资本投入。在此过程中，企业付出了劳动，将个人信息变成可被读取、易于复制的数据资源。争议的是，经企业处理形成的个人数据究竟属于谁？对此，笔者认为，个人数据属于谁可能始终无法形成共识，但数据产业的发展无法忽视数据企业对数据生产的付出。因此，不妨搁置争议，承认企业基于合法处理个人信息而享有对应个人数据处分、收益之权能，厘清企业对个人数据处分、收益的边界，从而实现数据流转的制度基础。易言之，企业基于合法处理个人信息取得个人数据处分、收益等权能，有权对其占有的个人数据进行分析、交易等处分行为，并据此获得相关收益。只是，企业在处分个人数据过程中对个人数据内容层面关涉的个人信息应遵照前述个人信息商业利用的行为准则。

其次，建立有序的数据交易规则体系。数据作为生产要素，通常流动方式即为交换或交易。数据作为生产要素，与土地、资本等存在巨大差异，如数据供需双方的“信任危机”，数据要素所有权缺失导致的数据保护问题等。更进一步的，个人数据作为更特殊的数据要素，因其包含大量个人信息，故个人数据的流动对信息主体的人格权、财产权将会产生巨大威胁。因此，传统一对一交易规则下的所有权转移方式对于数据要素交易而言难以实施，而依托于权威、中立的大型数据交易平台更为合适。这是因为数据流通高度依赖信息技术的可靠性和稳定性，统一的大型数据交易平台也更有利于实现对个人信息之保护。此外，数据交易平台不仅是提供交易、撮合交易需求的载体，还需对交易内容、交易主体等予以审核，这也符合《个人信息保护法》中对大型平台的“守门人”义务的规定。展开来说，其一，对交易数据之内容予以审查，主要考察其合法性基础。唯有内容层面符合个人信息人格权和国家安全保护要求，在代码层面的个人数据方可进一步流通交易。①参见韩旭至：《信息权利范畴的模糊性使用及其后果——基于对信息、数据混用的分析》，第91页。其二，对交易主体的数据保护水平的审查，要求数据交易中的数据需方具备相当的数据安全保障能力；其三，对数据交易结果作必要的审查。为防止交易双方利用数据交易实施诸如垄断、不正当竞争等行为，数据交易平台有必要对交易可能出现的结果作必要审核。

最后，制定统一数据标准，鼓励数据共享。数据是许多企业创新的关键要素，还是人工智能模型的基础。如果企业可以低成本、高效率获取可读的数据无疑将大大促进产业发展。例如，欧盟正在立法推动医疗机构共享其患者（匿名化）的健康数据，从而帮助医药企业针对性研发，尤其是对中小企业而言，可大幅减少其数据获取负担，从而促进产业发展。②See European Commission，COM(2020)767 final.未来我国可适当借鉴该模式，营造安全可靠的数据环境，鼓励数据企业和个人共享个人数据，促进科技进步和产业发展。

结论

个人信息的规模化商业利用迸发出巨大经济价值，但在缺乏有效的制度约束情况下，个人信息商业利用将造成不同主体之间的利益冲突。实践表明，个人信息的商业利用并不必然导致信息主体的利益受损。如何把握个人信息保护与商业利用之间的平衡成为当下数字经济发展的重要课题。《个人信息保护法》的出台为个人信息商业利用提供了制度框架，其不仅是对个人信息主体权益的保护，还强调促进个人信息的合理利用。至此，在我国立法实践中，个人信息与个人数据之间的关系逐渐明晰，个人信息经企业合法处理后形成个人数据，参与数据要素的市场流通。由此，我国个人信息商业利用的制度宜在区分个人信息与个人数据的制度前提下，通过适当扩张企业对个人信息商业处理的合法性基础、明确个人信息商业利用方式等，细化企业对个人信息商业利用规则体系；进而通过确立企业对合法处理后形成的个人数据享有受限制的处分、收益等权利，制定个人数据的流通规则体系，最终形成完整的个人信息商业利用制度闭环。