王 娅

内容提要:个人信息的保护与利用牵涉个人、企业和政府之间的利益与权力关系。国家需要作为独立的行为主体，调和参与者之间的冲突，整合个人信息保护实践。维护个人的知情同意规则、约束企业的隐私政策以及要求政府的行政规制这三种实践表明：在个人信息保护领域，国家在场是一个既成事实。然而，国家在场的实践存在两方面问题：一是内容上全面兼顾了个人权利、企业责任与政府义务，但各主体的履行实效欠佳，难以切实维护个人的合法权益；二是形式上以规范信息处理者的活动为主，但规制策略的取向不明，难以恰当界定企业自我规制与政府规制之间的关系。因此，信息时代国家的有效在场，需要重申人性尊严的基本理念，以维护个人的主体地位，也需要重述规制策略的主要共识，确立回应型规制，以妥善对待企业与政府之间的互动。

一、问题的提出

全球个人信息保护立法的实践，如欧盟《通用数据保护条例》、美国《隐私权法》以及我国《个人信息保护法》，呈现出很强的国家引领和布局的色彩。个人信息保护立法的本质是国家对个人信息处理行使规制权。(1)See Colin Bennett,Charles Rabb,The Governance of Privacy:Policy Instruments in Global Perspective,Ashgate,2003,p.95.个人信息保护是国家事务的组成部分，也是国家治理的重要场域，深受国家影响与支配。国家自始至终伴随着个人信息的书写、解释和演进，与个人信息保护紧密相连并持续互动，国家的显现也是个人信息能被持续保护的重要动因。因此，在个人信息保护领域，国家以何种方式在场，产生了什么影响以及未来努力的方向何在，是必须予以清晰回答的重要问题。对这些问题的有效回答，一方面有助于提高国内整体的个人信息保护水平，另一方面也有助于增进国际社会对中国个人信息保护制度的认可，为后续推进跨境数据流通机制创造积极条件。

既有的学术探讨主要围绕个人信息保护的权益基础、(2)例如，欧盟有人格权保护模式，美国有隐私权保护模式。也有人称之为“数据保护法模式”和“消费者保护模式”。两者之间的主要区别在于默认规则，前者仅在法定理由之下才允许收集和处理数据；后者则相反，一般允许收集和处理个人信息，除非特别禁止。See William McGeveran,Friending the Privacy Regulators,58 Arizona Law Review,966(2016).归属的法益领域、(3)主要有公法保护模式、私法保护模式和综合保护模式之争。参见赵宏：《〈民法典〉时代个人信息权的国家保护义务》，载《经贸法律评论》2021年第1期；宋亚辉：《个人信息的私法保护模式研究——〈民法总则〉第111条的解释论》，载《比较法研究》2019年第2期；程关松：《个人信息保护的中国权利话语》，载《法学家》2019年第5期。实践中的价值取向、(4)有过程保护与结果保护的分野，也有分享优先与控制优先的选择。参见蔡培如：《个人信息保护原理之辨：过程保护和结果保护》，载《行政法学研究》2021年第5期；陆青：《数字时代的身份构建及其法律保障：以个人信息保护为中心的思考》，载《法学研究》2021年第5期；杨贝：《个人信息保护进路的伦理审视》，载《法商研究》2021年第6期。理论导向，(5)主要有个人信息自决论、社会控制论和国家保护义务论的理念反思。参见高富平：《个人信息保护：从个人控制到社会控制》，载《法学研究》2018年第3期；王锡锌：《个人信息国家保护义务及展开》，载《中国法学》2021年第1期。以及未来的路径选择(6)主要有法律保护、技术设计与伦理审视等多种进路。参见郑志峰：《通过设计的个人信息保护》，载《华东政法大学学报》2018年第6期；肖成俊、许玉镇：《大数据时代个人信息泄露及其多中心治理》，载《内蒙古社会科学(汉文版)》2017年第2期；前引〔4〕，杨贝文。等方面展开。这些研究虽贡献了诸多智识，但大都以个人信息为关注点，过滤了对个人信息保护进行宏观全面认识的可能。进而言之，既有研究多从“如何保护”这一内部路径探寻着手，忽略了“国家如何主导参与者的互动实践”这一外部视角的观察与省思，这导致既难以对参与者之间的互动与博弈进行细致观察，又难以精准把握未来个人信息保护的方向与行动。因此，有必要爬梳国家在个人信息保护中的表现形式及其影响，并探索如何更好地将《个人信息保护法》中的国家意志具体化，以实现宏观议题的微观切换。

本文拟采用“国家在场”视角审视个人、企业与政府(7)政府是国家意志的合法代理者，“国家”与“政府”往往相互替用。但本文将国家定位为超然的、中立的角色，用以居中调和个人、企业和政府之间的权益冲突。一方面是因为国家本身可以如西达·斯考切波(Theda Skocpol)所期望的那样，作为独立的“行为体”参与并追求某些社会目标；另一方面，政府兼具利用者与监管者的双重身份，始终难以对这两类身份保持反思性隔离，甚至在实践中很可能不经意地以双重身份相互解释或者错位使用。因此，把政府置于国家视角之下去思考，某种程度上避免了这种尴尬境地。再者，《个人信息保护法》中也将“国家”“处理个人信息的国家机关”“履行个人信息保护职责的部门”三者之间进行了称谓和职能上的区分，比如“国家”出现了2次，用以表明国家在个人信息保护方面的态度和行为，即建立健全个人信息保护制度以及积极参与个人信息保护国际规则的制定。See Peter B.Evans,Dietrich Rueschemeyer,Theda Skocpol,Bringing the State Back in,Cambridge University Press,1985,p.9.之间的具体互动与典型实践，阐明国家对个人信息保护实践的影响，并在此基础上探讨个人信息保护的未来方向与行动要旨。

二、个人信息保护领域“国家在场”视角的引入

“国家在场”视角被广泛用于解释我国的经济、社会、法律与文化等领域的诸多现象和问题，取得了丰硕成果。然而，学者们对此概念的内涵尚未形成完整明确的界定。因此，在考察“国家在场”视角下个人信息保护实践之前，有必要对“国家在场”的学术意涵做进一步限定。从结构上考察，“国家在场”具备实体论与方法论两个维度。就实体内容而言，“国家在场”是重要的理论模式，表达的是国家及其公权力对传统公共领域乃至私权领域的渗透。(8)参见王建生：《西方国家与社会关系理论流变》，载《河南大学学报(社会科学版)》2010年第6期；邓正来：《国家与社会：中国市民社会研究》，中国法制出版社2018年版，第16-18页。作为一种重要的方法论，“国家在场”有助于对复杂的社会关系网络和多样的社会生产结构做出二元化透视，便于揭示隐匿于人类生活中的社会规律。(9)参见廉睿、高鹏怀：《“国家在场”与族群法治知识功能再造——基于西北T自治县生态保护的田野调查》，载《广西民族研究》2018年第4期。学者们使用“国家在场”，多是基于方法论层面，将其作为一种分析框架实现对社会现象的合理认知。

(一)“国家在场”的学术意涵与理论脉络

“国家在场”最早出自美国学者乔尔·米格代尔(Joel S.Migdal)，意指一种“国家在社会中”的研究视角(a state in society perspective)，(10)20世纪80年代，以彼得·埃文斯(Peter Evans)为代表的学者仅关注国家自主权和国家能力等方面的研究，这被称为国家中心主义。但国家中心主义很快受到挑战，以米格代尔为代表的学者坚持社会中心主义的立场，以回应国家中心主义的研究。参见〔美〕乔尔·米格代尔等编：《国家权力与社会势力：第三世界的统治与变革》，郭为桂等译，江苏人民出版社2017年版，第1页。被用来检视国家和社会之间分组整合及其合纵连横的互动过程。20世纪90年代初，我国学者高丙中较早使用这一方法并引起广泛关注。他把米格代尔的“国家在社会中”直译为“国家在场”，即“以国家的视角来研究社会问题，进而对既往社会研究中所普遍存在着的内生主义倾向进行纠偏”(11)高丙中：《民间的仪式与国家的在场》，载《北京大学学报(哲学社会科学版)》2001年第1期。不过，仍有一些研究国家与社会关系的学者依然使用“国家处在社会中”或“社会中的国家”这样的表达。参见肖瑛：《从“国家与社会”到“制度与生活”：中国社会变迁研究的视角转换》，载《中国社会科学》2014年第9期；侯利文：《国家与社会：缘起、纷争与整合—— 兼论肖瑛〈从“国家与社会”到“制度与生活”〉》，载《社会学评论》2018年第2期。。此后，这一分析框架不断扩充，先后渗透到民族学、政治学、社会学等相关领域，为重新认识国家与社会的关系提供了一种新的解释模式。(12)其他研究参见何平：《“国家在场”下的妇女地位提升——以建国初期的妇女解放为例》，载《中共宁波市委党校学报》2008年第2期；秦永章：《藏传佛教活佛转世与“国家在场”》，载《西藏研究》2020年第5期；张锦鹏、刘丽凤：《国家在场：从清代滇南盐官营看国家边疆治理》，载《云南社会科学》2021年第4期。但是，已有的研究并没有明确界定这一概念，只是用来描述国家对社会的影响以及社会对国家的回应之现象。

除了上述整体性理解之外，“国家在场”的概念还存在“国家+在场”的组合式理解。作为概念组合的“国家在场”，其重点在于对“场(域)”的理解。“场域”概念的使用源于布尔迪厄(Pierre Bourdieu)。受黑格尔影响，他在“场域”的思考中加入“现实的关系”之因素。其后，他受马克思启发，给“场域”的思考注入“客观存在”的因素。因此，在布尔迪厄看来，场域是“在各种位置之间存在的客观关系的一个网络或一个构型(configuration)”(13)〔法〕皮埃尔·布尔迪厄、〔美〕华康德：《实践与反思——反思社会学导引》，李猛、李康译，中央编译出版社1998年版，第133-134页。。他认为，当场与权力结合起来时，国家就是一个不可规避的权力结构，且与其他社会力量相结合，表现为一种多维度、多向度的运行。(14)参见前引〔13〕，皮埃尔·布尔迪厄、华康德书，第156页。因此，“国家在场”即是以国家的力量影响、作用或控制各种社会关系。

米格代尔的“国家”观念借用并改编了布尔迪厄关于“场域”的界定，(15)米格代尔放弃了韦伯关于理想型国家的界定，反而在借鉴布尔迪厄“场域”概念的基础上，认为国家是一个权力场，集观念和实践于一体。在观念上，国家是一个被公众承认的整体性组织概念，但在实践中，国家与社会之间的互动呈现出四类结果类型：一是国家渗透致使社会力量消亡或顺从的完全转型；二是国家吸纳社会力量建立统治模式，社会也影响了国家；三是社会力量吸纳国家，虽然统治模式没有变化，但国家各组成部分的面貌发生变化；四是国家在努力渗透(社会)时完全失败。参见〔美〕乔尔·米格代尔：《社会中的国家：国家与社会如何相互改变与相互构成》，李杨、郭一聪译，张长东校，江苏人民出版社2013年版，第22页。而且，米氏认为：“国家不是固定不变的实体，社会也不是。他们共同在相互作用的过程中改变各自的结构、目标、规则以及社会控制。它们是持续相互影响的。”(16)前引〔15〕，乔尔·米格代尔书，第58页。因此，无论是组合概念还是整体概念，“国家在场”就是被建构起来的一个研究方法，用来探讨国家权力在社会领域中的存在与体现，即国家通过政策、法律、行动、仪式等方式对社会产生影响，社会采取一定的方式和策略对国家进行回应。

(二)“国家在场”引入个人信息保护的可行性与必要性

作为舶来品，“国家在场”在具体运用方面需要进行理论探讨与实践检验。(17)参见崔榕：《“国家在场”理论在中国的运用及发展》，载《理论月刊》2010年第9期。除了在民族学与社会学等领域的运用，一些学者对“国家在场”做了进一步的延伸理解与扩展运用。比如，卫跃宁用它来表达法益变迁时所坚持的一种国家本位主义，突出国家主导的优势及作用；(18)参见卫跃宁：《由“国家在场”到“社会在场”：合规不起诉实践中的法益结构研究》，载《法学杂志》2021年第1期。陈洪等学者用它来描述国家以某种形态，通过干预、分化、渗透、整合及引领等各种方式和途径参与经济和社会事务的运作；(19)参见陈洪等：《“国家在场”视角下英国竞技体育治理实践研究》，载《体育科学》2019年第6期。廉睿和高鹏怀用它来透视族群法治知识以获得对民族法治现象的合理解读；(20)参见前引〔9〕，廉睿、高鹏怀文；廉睿、高鹏怀、卫跃宁：《由“乡土中国”到“国家在场”——族群法治知识在民族地区社会治理中的运行机制研究》，载《社会科学战线》2017年第10期。任文启用它来检讨涉罪未成年人服务个案的实践；(21)参见任文启：《国家如何在场？——国家亲权视野下涉罪未成年人服务个案的实践与反思》，载《青少年犯罪问题》2020年第5期。许超等学者用它来思考全球治理中国家的地位与作用(22)参见许超：《全球治理中国家如何在场——兼与刘建军教授商榷》，载《探索与争鸣》2021年第8期；任剑涛：《找回国家：全球治理中的国家凯旋》，载《探索与争鸣》2020年第3期；刘建军、莫丰玮：《国家从未离场，何须找回——兼与任剑涛教授商榷》，载《探索与争鸣》2021年第1期。等。因此，对“国家在场”这一分析框架的价值挖掘，已成为学者们不谋而合的共识。

本文亦借鉴这一研究范式，试图通过研究视角上的革新，分析并反思国家如何干预、渗透、整合及引领个人信息保护实践，并寻求理念与制度上的突破。从表征上看，这是一种视角革新，在强调学科交融与知识共享的语境中，具备形式层面的可接受性。从实质上看，由于国家作用于个人信息保护领域是一个既成事实，这一分析框架可用来透视国家参与个人信息保护的实践、影响及其不足。个人信息保护作为重要的社会问题，不仅是个人、企业与政府表达利益需求的场域，而且是国家表达权威的舞台。因此，“国家在场”视角的引入，就是立足外部观察的视角，检视国家如何渗透并规范个人信息处理活动，从而实现个人信息保护与利用的平衡。换言之，本文的目的在于审视国家在个人信息保护方面的微观运作、实践影响以及后续的调整方向。

正是基于上述考虑，“国家在场”这一分析框架被引入个人信息保护领域，使得阐述并揭示国家与个人信息保护制度的互动成为可能。“国家在场”视角的引入主要有以下三点理由：(1)现有的个人信息保护以个人为中心来对抗企业与政府，但个人受限于认知能力和经济能力，难以应对动态化、复杂化和风险不确定的个人信息处理过程，也无法回应数据权力蕴含的技术性和资本性的基本特性。而且，个人信息保护的有效性有赖于国家规制，实践中处于维权第一线的往往是监管机构而非个人本身。(23)参见张新宝：《我国个人信息保护法立法主要矛盾研讨》，载《吉林大学社会科学学报》2018年第5期。(2)国家保护个人信息具有规范基础。虽然我国《宪法》并未对个人信息保护做出明确规定，但《宪法》第33条第3款对人权保障的规定以及第38条关于公民人格尊严的强调，无不切实地指引并评价国家权力的行使。(24)参见前引〔5〕，王锡锌文。《个人信息保护法》亦从国家层面建立个人信息保护制度，推动在政府、企业、相关社会组织和公众之间形成共同参与个人信息保护的良好环境。(3)国家介入具有强烈的现实需要。数字经济的蓬勃发展使得个人信息成为生产生活的关键环节和核心内容。各主体一方面共享某些价值追求和利益结构，另一方面却因立场、利益取向和社会角色不同而产生冲突。(25)参见程啸：《论我国个人信息保护法中的个人信息处理规则》，载《清华法学》2021年第3期。但基于个人信息生成的数据权力，却被企业和政府垄断，(26)参见前引〔5〕，王锡锌文。使得个人正处于并将长时间处于被观察、被记录与被操纵的境地。因此，需要国家以中立的姿态介入，运用多种方式或不同工具，去调整个人、企业与政府之间的互动。

三、“国家在场”视角下个人信息保护的实践与功能

个人信息保护是国家的权力实践，但国家意志的嵌入较为隐蔽，需要逐步解析国家的实践与功能，以便真切凸显“国家”的存在，进而促进对国家权威的认同。国家作为形塑力量在场，其姿态是主导者和施惠者，而政府、企业和个人则是参与者和受惠者。本部分就分别从“个人—企业—政府”的主体维度去观察并分析国家在个人信息保护实践中的在场。

(一)维护个人利益的知情同意规则

原则、规则或标准等具有表达特定思想情感、传递主流价值取向、引导规范主体行为的作用。因此，个人信息保护才会成为日常生活的公共谈资，知情同意规则才会作为信息处理最重要的合法性基础。(27)参见王成：《个人信息民法保护的模式选择》，载《中国社会科学》2019年第6期。国家嵌入的一条路径就是通过“知情同意”规则进行多渠道、多形式的输出，使公众不自觉地成为这一规则的“传导者”和“发酵者”，完成规则主导权的“潜在让渡”和规则精神的内在化。具体而言，公众在以实用和自利为导向的生活逻辑支配下，通过直接援引部分与日常生活相近的法律文本，如《民法典》《个人信息保护法》，将“知情同意”规则结合日常经验进行再理解或转换成“近经验”，从而实现这一规则的具体化。此外，知情同意规则的力量还在于塑造主体和客体的思想和行为，即通过宣传、鼓动、强制、引导与塑造等方面的功能，帮助个人建构、维持或瓦解社会权力关系。一方面，知情同意规则有助于维护和发展个人信息自决的理念；另一方面，知情同意规则的形成及散播方式又深刻地影响各种社会力量及其相互关系。经由知情同意规则的确立与引导，国家意志就在个人信息保护中得以彰显，扎根于“民众的集体无意识之中”(28)申恒胜：《乡村社会中的“国家在场”》，载《理论与改革》，2007年第2期，第14页。。

因为信息主体与信息处理者之间存在着信息不对称和谈判力量不均衡的情况，所以在具体规则的设计上需要对个人进行倾斜保护，以平衡信息市场中出现的非对称权力结构。知情同意规则在发展过程中，通常与国家权力相伴相生、互为增益，呈现出一种“隐秘性共谋关系”。例如在“黄某诉微信读书案”中，原告指出，微信读书没有征得原告的有效同意，而随意迁移微信好友关系，默认向未关注的微信好友公开读书信息。在“凌某某诉抖音案”中，原告预先清空了手机通讯录并拒绝软件读取，但在“可能认识的人”一栏中，抖音依然向他推荐多年未联系的同学、朋友等。在两案中，北京互联网法院均支持了原告的诉讼请求。(29)参见《微信读书被判侵犯用户隐私 “流量变现”的边界在哪里》，载https://finance.eastmoney.com/a/202008031578777585.html，最后访问时间：2021年11月9日。这就说明，当知情同意规则深入人心，会激励用户积极维权，司法体系也会及时回应。知情同意规则的承认意味着，虽然个人信息具有很强的社会性和公共性，(30)参见前引〔5〕，高富平文。但个人信息自决依然是应坚持的基本理念。换言之，个人信息的处理活动需要个人参与，个人信息不能不受限制地被轻易交换和出售。

(二)约束企业行为的隐私政策

在知情同意规则指引之下，企业需要制定隐私政策以供用户选择产品和服务时参考，这是国家对企业所能提出的要求之一，也是世界多个国家和地区的通行做法。“仪式及其包含的符号是至关重要的，因为个人成为个人，社会成其为社会，国家成其为国家并不是自然天成的，而是通过文化、心理的认同而构成的，而这种认同又是通过符号和仪式的运作所造就的。”(31)前引〔11〕，高丙中文。隐私政策就是国家在保护个人信息时面向企业要求的文本实践。所谓隐私政策，是一种关于信息将如何被使用的通知形式，以及一种限制信息未来使用的默认合同承诺。(32)See Daniel J.Solove,Privacy and Power:Computer Databases and Metaphors for Information Privacy,53 Stanford Law Review,1448(2001).其后，丹尼尔·索洛夫(Daniel J.Solove)和伍德罗·哈佐格(Woodrow Hartzog)在2014年发表的一篇文章中这样定义隐私政策，它是指互联网企业以在线文件的方式自愿披露其对用户个人信息保护的原则和措施。See Daniel J.Solove,Woodrow Hartzog,The FTC and the New Common Law of Privacy,114 Columbia Law Review,594(2014).不过，它绝非透明的中性要素，而是表征了一种权力意志，即国家对于企业开展个人信息保护所持有的价值判断。因此，隐私政策被视为一种企业自我规制的工具。(33)See Joel R.Reidenberg et al.,Privacy Harms and the Effectiveness of the Notice and Choice Framework,11 I/S:A Journal of Law and Policy,490(2015).当企业将个人信息保护实践公之于众时，也为行政机关提供了规制其行为的依据。(34)参见高秦伟：《个人信息保护中的企业隐私政策及政府规制》，载《法商研究》2019年第2期。

隐私政策在个人信息保护领域中的绑定，不仅为保护个人信息注入“合法性”或部分“合法化”的国家力量，而且在借用国家力量的同时获得对企业行为的引导与塑造。比如美国联邦贸易委员会鼓励企业自我规制，自我规制在欧盟实践中也是不可或缺的组成部分。隐私政策是国家在场的文本具象，它负载着许多保护个人信息的说明与解释，而且文本的符号体系使这些描述呈现出某种规则和运行方向，比如企业如何收集、使用、存储和分享个人信息，如何保证信息安全，用户享有哪些权利，设置了哪些隐私功能等等。隐私政策虽然是被规定的，其功用也相对稳定，但这一切并非是固定不变的。在某些情况下，隐私政策也是变量。比如当企业变更或修订他们的隐私政策时，就应该在登录及版本更新时以推送通知、弹窗或其他符合法律要求的适当形式向个人展示变更后的指引。

(三)要求政府作为的行政规制

隐私政策合规的过程中可能出现各种各样的困境，如企业违反承诺或自身能力不足等。因此，政府作为国家意志的直接代理人有必要加以干预，通过相应的积极作为，以回应个人对个人信息保护的高度关切。这是国家对于政府所能提出的要求之一，也与域外经验相一致。比如美国联邦贸易委员会会审查相关的信息或直接联系企业，如果必要，还会向企业发出正式函件，要求提供文件和信息，进行约谈或要求作证，并可能访谈第三方。欧盟各成员国政府会审查各行业的行为规范，在确保规范内容与法律一致的情况下，还会征求信息主体和其他利害关系人的意见。(35)参见前引〔34〕，高秦伟文。政府规制强调的是外部监督和处罚，旨在使隐私政策真正产生拘束效果。同时，由于个人信息侵权案件举证困难，政府介入可以弥补个体举证能力的不足。政府规制表征的是一种权力意志的自上而下的传达，即国家对于政府履行个人信息保护职责的行为要求和立场预设。一方面，个人信息保护充分运用了政府资源，使自身价值得到政府的正式承认和维护；另一方面，政府也从个人信息保护中收获了“政治意义和经济价值”，并最终转化为政府规制的动力。

政府规制的提倡是因为国家充分意识到在个人信息保护中，仅靠知情同意规则和企业自我规制具有难以避免的消极作用。因此，国家充分运用积极的“功能替代”策略以实现相应的保护目标。从这个意义上来说，政府规制就是个人信息保护实践的强力后盾。不过，为了确保企业创新与经济发展，政府仅在个人和企业的行为难以维护个人利益时实施其规制。政府也可以主动组织开展个人信息保护的宣传教育，对应用程序的隐私保护情况进行测评，制定个人信息保护细则与标准等。政府运用科层治理的运作逻辑，自上而下地实现对个人信息保护的控制。一方面，由国家网信部门统筹协调个人信息保护工作和相关监督管理链条，让监管责任得以层层传达与落实。另一方面，在个人信息有序保护中，个人的信息保护需求与企业的信息利用需求也得到极大满足。政府通过治理链条的逐级向下延伸，也将企业与个人隐秘地吸纳到国家权力运作的规范框架内。

四、个人信息保护领域“国家在场”的影响与局限

“国家在场”的既成事实并不意味着国家恰当有效地在场。国家可能在某一方面过度在场，而在另一方面又在场不足，从而引发个人信息保护目的与效果之间的错位。(36)参见丁晓东：《个人信息私法保护的困境与出路》，载《法学研究》2018年第6期。“国家在场”的实践评价不以程度来划分，而以效果为基准，即实现对个人信息保护的“负责任关怀”(responsible care)。(37)“负责任关怀”是一种很高的标准，是我们对个人信息保护实践中国家有效作用的最高期待。“负责任关怀”始于20世纪80年代中期的加拿大化学品生产商协会，用以应对像博帕尔毒气泄露事件这样的严重化学品事故。负责任的关怀包括一系列自愿的行为守则，这些守则使参与的公司能够达到对环境负责任的管理的高标准。正如诺思所言：“国家的存在是经济增长的关键，然而国家又是人为经济衰退的根源。”(38)〔美〕道格拉斯·C·诺思：《经济史上的结构和变革》，厉以宁译，商务印书馆2011年版，第25页。这在个人信息保护中也得到了印证。国家一方面推动个人信息保护在意义和内容方面的转型升级，另一方面，国家的介入也打破了个人信息利用的原有格局，产生了预期内或预期外的新问题。

(一)内容上全面兼顾但实效欠佳

虽然我们仅用了知情同意规则、企业自我规制和政府规制这三种情形表征国家在场，但这并不意味着国家仅在这些方面实现了在场。围绕个人、企业和政府这三个主体的维度，国家分别找到了具体在场的意义和价值。个人信息保护关涉的参与者主要分为个人、企业和政府这三类，(39)本文为写作需要只列出了个人、企业与政府这三类主要的参与者，但个人信息保护实践中还存在一些其他的、独立的利益相关者，比如研究机构、记者和国际组织等等。有学者甚至认为数据应该被公认为“全球公域”(global commons)，并被提供给所有可能的参与者加以利用以发挥数据的巨大社会价值。See Jennifer Shkabatur,The Global Commons of Data,22 Stanford Technology Law Review,354(2019).因此，国家在场是全面的，且对每一主体都有相应的要求，只不过要求的兑现可能因应各种情形而呈现差异。那么各个主体兑现承诺的实际情形是怎样的呢？

其一，关于知情同意规则的实践情形。知情同意规则是个人信息处理中应该坚持的基本前提，但实质上却处于履行弱化或无能的境地。(40)比如隐私条款冗长且隐秘，专业且晦涩，个人没有时间、没有能力去阅读并理解；隐私条款简而无用，多而无功，但个人为了使用产品和服务默认同意；企业利用的内容与个人同意的内容不一致，或者超出个人同意的范围；个人信息处理的即时性特征也使得同意难以实际展开；现实中也确实存在着无须用户同意即可收集的情形等等。已有社会学研究证明，如果给予个人足够的信息控制能力与条件，反而增加他们披露敏感信息的意愿。也就是说，如果他们泄密的意愿增加得足够多，这种控制的增加反而会使他们更加脆弱。(41)See Laura Brandimarte et al.,Misplaced Confidences Privacy and the Control Paradox,4 Social Psychological and Personality Science,340(2013).因此，不假思索地点击同意按钮是当下普通人的常态操作，知情同意规则只是信息处理者娴熟使用的一块遮羞布而已。

其二，关于企业隐私政策合规的实践情形。隐私政策是对法律规定的具体内化，但往往也是相对简短的承诺，是一种语法上而不是实质性的公共关系；往往是为外部消费设计的，而不是为了影响企业的内部功能。(42)参见前引〔1〕，Colin Bennett、Charles Rabb书，第121-138页。隐私政策的实践本身也存在流于形式、(43)有学者分析了美国1999年至2005年间50家金融公司在《格雷姆—里奇—比利法》生效以来的情况，发现金融隐私通知更加完整和合规，但它们仍然能够收集大量关于客户的信息，并与关联公司广泛共享这些信息，但提供给消费者的选择并没有重大变化。See Xinguang Sheng,Lorrie Faith Cranor,An Evaluation of the Effect of US Financial Privacy Legislation Through the Analysis of Privacy Policies,2 I/S:A Journal of Law and Policy,943(2006).搭便车、规避责任以及受控于其他机会主义行为诱惑等情形。(44)See Dennis Hirsch,The Law and Policy of Online Privacy:Regulation,Self-Regulation,or Co-Regulation?34 Seattle University Law Review,468(2011).特别是，个人信息更多集中于少部分互联网企业手中，难以保证它们在信息市场上不会滥用支配地位，在非价格竞争要素的个人信息保护方面不会不当地削减服务水平。(45)参见韩伟、李正：《反垄断法框架下的数据隐私保护》，载《中国物价》2017年第7期。因此，隐私政策更多是企业因应法律规定和现实情势而做出的面子工程，纸面上的承诺与现实中的行动存在脱节。

其三，关于政府规制的实践情形。政府规制是对个人信息被侵犯的情形以及公众对隐私安全高度关切的回应。现代规制理论主张，在充分发挥市场机制和企业自我规制作用的前提下，政府规制也不能缺位。(46)参见前引〔34〕，高秦伟文。但传统政府规制多以命令和控制为主，实施过于严格、僵化，存在阻碍创新与竞争的可能；(47)See Jerry Louis Mashaw,David Harfst,From Command and Control to Collaboration and Deference:The Transformation of Auto Safety Regulation,34 Yale Journal on Regulation,277(2017).信息时代的政府规制又面临着平台权力、信息过载以及系统性威胁等方面的问题(48)See Julie Cohen,The Regulatory State in the Information Age,17 Theoretical Inquiries in Law,369(2016).。换言之，由于数据资源和处理能力的差异，政府呈现出无力通过传统治理机制作用于科技企业的算法型运作过程，由此产生治理失灵或监管真空的情况。(49)参见张兆曙、段君：《网络平台的治理困境与数据使用权创新：走向基于网络公民权的数据权益共享机制》，载《浙江学刊》2020年第6期。因此，政府规制的目标设置以及方向调整还需要进一步的细化和一致，否则就会导致行政成本上升、行动效益大打折扣，进而影响个人信息保护的治理效果。

(二)形式上规制为主但取向不明

规范个人信息处理活动是国家的核心关注。赋权与规制是个人信息保护的常用手段。不过，赋权本身受制于个人的有限性与复杂的社会现实，难以有效实现，规制反而是可欲且可及的选择。(50)当然，规制本身也不是有效保护个人信息的灵丹妙药。相反，规制通常需要在不同情况下结合不同的策略。而所有的执行都是不完美的，规则总是会被一些人违反。虽然知情同意规则、企业自我规制以及政府规制都存在或多或少的问题，但国家在场的核心关切依然落脚在企业自我规制与政府规制的博弈上。个人信息保护并非保护个人对其个人信息的控制性权益，而是为了规制个人信息处理风险，防范与救济个人数据处理与利用活动可能产生的侵害后果。(51)参见王锡锌：《个人信息权益的三层构造及保护机制》，载《现代法学》2021年第5期。

综观各国规制实践，虽然美国一再强调以自我规制为主要形态，但其政府规制也发挥了巨大作用。同样地，企业自我规制与政府规制的结合，正成为欧盟及其成员国的主要做法。(52)参见前引〔34〕，高秦伟文。不过之前的研究认为，自我规制与政府规制是根本不同的实体，这意味着它们不能很好地融合。See Darren Sinclair,Self-Regulation Versus Command and Control? Beyond False Dichotomies,19 Law and Policy,530(1997).因此，企业自我规制与政府规制并非互相排斥的关系。换言之，个人信息保护实践需要企业自我规制和政府规制的合力。这两种规制之间应该是什么关系，国外学者对此莫衷一是。(53)有学者根据政府干预程度的不同，将自我规制分为纯粹的自我规制、替代的自我规制和条件的自我规制；有学者则根据规制力度的渐变确立了自我规制、强制性的自我规制、自由裁量惩罚的命令规制、无自由裁量惩罚的命令规制这一规制的金字塔结构；还有的学者将自我规制分为强制的、促进的和默认支持三种类型。See Philip Eijlander,Possibilities and Constraints in the Use of Self-Regulation and Co-Regulation in Legislative Policy:Experiences in the Netherlands-Lessons to Be Learned for the EU? 9 European Journal of Comparative Law,4(2005);Ian Bartle,Peter Vass,Self-regulation within the Regulatory State:Towards a New Regulatory Paradigm? 85 Public Administration,901(2007)；Ian Ayres,John Braithwaite,Responsive Regulation:Transcending the Deregulation Debate,Oxford University Press,1992,p.39.有学者认为自我规制是政府规制的同义词，可根据具体情况作为政府规制的有效补充。(54)See Anil K.Gupta,J.Lad Lawrence,Industry Self-Regulation:An Economic,Organizational,and Political Analysis,8 The Academy of Management Review,416(1983).有学者则认为自我规制是政府规制进程的一部分，必要时候还可能加强政府规制。(55)参见前引〔53〕，Ian Bartle、Peter Vass文，第890页。

根据上述讨论，自我规制与政府规制处于理论坐标的两极，中间是连续的光谱，通过调整各自的占比，以形成适应一定国情、阶段和需要的规制进路。(56)比格纳米(Francesca Bignami)认为，美国以透明的行政诉讼、惩罚性行政执行以及普遍的规制诉讼为主，而欧盟则以威慑导向的规制执行和企业自我规制为主。See Francesca Bignami,Cooperative Legalism and the Non-Americanization of European Regulatory Styles:The Case of Data Privacy,59 American Journal of Comparative Law,412(2011).实证调研指出：在规制更加模糊的国家，如德国、美国，尽管文化和法律环境非常不同，但都具有最强大的企业隐私管理实践；而更受规则约束的国家，如法国和西班牙，倾向于遵从程序，而不是嵌入隐私。(57)See Kenneth A.Bamberger,Deirdre K.Mulligan,Privacy on the Ground:Driving Corporate Behavior in the United States and Europe,The MIT Press,2015,pp.12-14.那么，在我国，企业自我规制与政府规制之间应该采取何种策略呢？

目前，我国《个人信息保护法》只是将企业自我规制与政府规制的内容分别纳入“个人信息处理者的义务”和“履行个人信息保护职责的部门”的法律条文之下，未曾就两者之间如何自处与互动做更进一步的规定，也未就现阶段采取什么样的规制策略给予明确的指引，政府在个人信息领域的规制边界也难以划定。(58)不过，在政府规制内部则体现出多主体监管的架构：一方面，国家网信部门对个人信息保护有统筹协调和监督管理的职能；另一方面，国务院有关部门、县级以上地方人民政府有关部门，在相应的职责范围内也负有监管职能。因此，基于上述域外经验的启发与反思，在个人信息保护领域，关于我国规制策略的取向依然是一个开放的、可以继续讨论并完善的课题。

五、“国家在场”视角下个人信息保护的再造与表达

我们在前文既描述了国家的具体实践，也评价了国家实践的主要影响，并指出：国家虽然对各方主体有针对性的要求，但也未能有效地保护个人利益，维护个体尊严；虽然手段上以规制为主但也未能恰当地规范个人信息处理活动，安置好企业与政府之间的关系。因此，国家权力的参与有服务于个体权益与公共福祉的一面，但也难以避免国家在具体的制度设计或策略选择方面的缺憾。不过，所谓的不足或缺失，亦是进一步夯实国家实践的基石。

(一)理念重申：内化人性尊严

虽然法律制度和文化背景存在差异，但各国个人信息保护的立法与执法实践都证明了尊重个体是不变的坚守。换言之，人性尊严作为宪法的基本原则能够从不同的制度和文化土壤中找到依据，虽然在具体内容上各有侧重，但都是国家意志的核心表征。(59)参见〔德〕瓦尔特·施瓦德勒：《论人的尊严：人格的本源与生命的文化》，贺念译，人民出版社2017年版，第148- 150页。因此，提倡个人信息保护，其目的在于保护个人的合法权益，使其人性尊严免于减损或矮化。重申人性尊严是对康德“任何时候以人作为目的，而不是仅仅当做手段”(60)〔德〕康德：《道德形而上学的奠基》(注释本)，李秋零译注，中国人民大学出版社2013年版，第55页。观念的具体确认，也是个人信息保护实践的保护依据与行动理由，用以调整、指引或辩护人们的行动选择。“只有本人能够控制自己的个人信息，才可能自由发展个人人格。如果个人无法知晓自己的个人信息在何种程度上、被何人获得并加以利用，则个人将失去作为主体参与的可能性，而沦为他人刻意操纵的信息客体，被沦为客体正是人性尊严被侵害的同义语。”(61)杨芳：《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》，载《比较法研究》2015年第6期，第25-26页。因此，个人信息保护最终针对的不是个人信息本身，也不是要限制个人信息处理，而是保护个人信息之上的自然人的人性尊严。(62)参见前引〔51〕，王锡锌文。当个人信息之于人的人格尊严、人格自由发展价值被渐次肯定时，法律规则从充分尊重市场交易自由逐渐向维护信息主体人性尊严倾斜。(63)参见郑维炜：《个人信息权的权利属性、法理基础与保护路径》，载《法制与社会发展》2020年第6期。

但是，现实场景中个人的主体性地位面临的挑战日渐增加，以致人性尊严的理念指引愈发无力并衰颓。个人基本上难以从信息网络，尤其是电子化场景中抽身退出，公民习惯于命令—服从模式，因此，通过个人信息的收集和处理，个人就不再是独立的个体，而是一个个以名字、符号和标识为载体的档案，(64)See Ruth N.Cohen,Whose File is it Anyway,National Center for Civil Liberties,Civil Libertise Trust,1982,p.10.公民生活也越来越成为可见的、可计算的、可预期的资源库(65)参见胡水君：《全球化背景下的国家与公民》，载《法学研究》2003年第3期。。而企业与政府不仅无法切实地践行彼此的承诺与职责，而且在某种程度上实现了共谋，共同控制个人生活以谋取私利。当个人信息遭受侵权时，由于信息处理者的技术和资本优势，私人维权面临取证难、成本高和赔偿低的困境。因此，当个人在面对强大的组织和信息处理者，在面临动态化、复杂化和不确定的过程时，更需要强化人性尊严以维护自身的独立与自主性，更需要公私机构对个人利益保持尊重和克制。正如《迈向新的数字伦理：数据、尊严和技术》报告中所指出的那样，个人信息保护相关于个人的个性发展，只有更好地尊重和保障人的尊严，才可以制衡个人面临的无所不在的监视和权力不对称。(66)See European Data Protection Supervisor,Towards a New Digital Ethics:Data,Dignity and Technology,available at https://edps.europa.eu/sites/default/files/publication/15-09-11_data_ethics_en.pdf,Last visited on May 25,2021.因此，我们需要在个人与企业、个人与政府的互动中，重申人性尊严的基本理念以规范具体的信息处理行为。

重申人性尊严的价值理念，其意义表现在两个方面：首先，人性尊严理念要求公私机构的行为必须受到限制，即企业与政府应依据法定权利和法定程序收集、处理、公开与共享个人信息，否则，公民就有沦为客体的风险，难以实现信息主体的自决与自主。在信息社会，每个公民客观上已成为数据权力项下的一个“信息符号”，并被视为可以被计算、预测和控制的客体来对待。(67)See John Cheney-Lippold,We Are Data:Algorithms and the Making of Our Digital Selves,New York University Press,2017,p.141.因此，当外部侵害的风险加剧时，为防范公民成为“被处理的客体”，必须树立人性尊严理念。其次，人性尊严具体指向个人自治以及随之得到保障的不歧视(平等)、身份识别(信息的正确与完整性)、信息安全与财产利益以及社会信任等附加的实体价值与其他基本权利。(68)参见前引〔5〕，王锡锌文。因此，个人信息保护的标准应以人为尺度，体现人的目的性，并融入人类文化之中。比如企业可以听取用户的使用建议，不直接使用“不同意即退出”的模式，而是将网络产品与服务的功能区分为核心业务功能和附加业务功能。(69)核心功能旨在满足用户注册产品或服务后的基本要求，附加功能则是为提升用户体验而设计。这一方面有助于吸纳新用户扩展注册信息的来源与数量，另一方面有助于老用户固着、细化关键信息的利用与共享。

正是通过这两方面的意义阐释，个人才能够真正参与到个人信息保护实践中，并从个人信息的利用中受益。因此，人性尊严的内化之于个人的重要性就在于，使个人得以找回被消解的主体性，重获参与群体生活与复杂理性活动的能力与品质。

(二)基本共识：重述规制理念

规范个人信息处理活动的首要难题并不是如何明确企业与政府之间的规制边界或设计某种规制方案，而是梳理规制背后应该坚持的主要共识，否则规制本身就是任意的或不切实际的，不仅治标不治本，而且遏制了数字红利和企业创新。那么，信息时代的规制策略应该坚守哪些共识呢？

其一，应该要求合作而不是对抗，(70)参见前引〔47〕，Jerry Louis Mashaw、David Harfst文，第167页。即以建立有序共赢的公私伙伴关系为目的。长期以来，我国的立法和实践普遍将政府规制、企业自我规制截然分开，要么放任企业恣意活动，要么由政府直接干预，突出两者的对抗而忽略合作的内涵，强调规制结果而忽略了规制的过程，导致规制效果不尽人意。(71)参见前引〔34〕，高秦伟文。再者，企业自我规制与政府规制之间各有优劣，两者结合可能发挥更好的作用。比如巴特尔(Ian Bartle)和瓦斯(Peter Vass)根据英国近些年来的自律政策和实践指出，自我规制具有可实现的公共利益目标，虽然可能带来某些严重的系统性威胁，但可借助问责与透明的议程来实现政府规制对其的监督，以更好地实现个人数据的利用与管理。(72)参见前引〔53〕，Ian Bartle、Peter Vass文，第885页。

其二，正视市场自由化的反应，承认规制过程中的压力。在相互依存以及权力和知识分散的现代性条件下，规制不是单向的，即从公共到私人，而是私人行动者可以充当政府的监管者。(73)See Colin Scott,Private Regulation of the Public Sector:A Neglected Facet of Contemporary Governance,29 Journal of Law and Society,56(2002).出于市场竞争或制度供给不完备的压力，因其规制者与规制对象的一体性，自我规制掌握了更多的知识与信息，从而可以找到最符合成本有效性要求的解决方案。因此，自我规制作为有效且高效的社会控制手段的正当性不能被低估。(74)See Neil Gunningham,Joseph Rees,Industry Self-regulation:an Institutional Perspective,19 Law and Policy,363(1997).而且，政府规制应保持自我克制的品性。一方面是因为政府规制往往具有极强的管制色彩，有可能阻碍个人信息的有效利用和增值提升。另一方面是因为政府权力运作本身受制于人力、金钱和时间等客观因素，不能想当然地“拍脑袋”决定，而是需要细致的成本收益分析。比如有学者就指出，政府规制的出场受制于无序成本与权力成本的比较。(75)政府规制介入与否，依赖于对无序成本(disorder cost)与权力成本(dictatorship cost)的衡量。无序成本是指私人(此处指企业)损害其他人利益的能力，权力成本则是指政府或政府官员损害他人利益的能力。只有当自我规制已经无法控制无序成本时，才需要政府规制的介入。See Andrei Shleifer,Understanding Regulation,11 European Financial Management,443(2005).

其三，规制应该是阶段性、动态的。“我们踩在一块完全陌生的薄冰上，很少有人了解约束企业信息流动所产生的商业道德、法律问题和政治问题。”(76)〔美〕阿尔文·托夫勒：《权力的转移》，黄锦桂译，中信出版社2018年版，第170页。而且，“无论是关乎私人信息保护，抑或是关乎国家安全，私人服务、公共服务和规制利益之间的界限本质上是模糊的”(77)Martin Lodge,Andrea Mennicken,Reflecting on Public Service Regulation by Algorithm,in Algorithmic Regulation,in Karen Yeung,Martin Lodge ed.,Algorithmic Regulation,Oxford University Press,2019,p.195.。因此，我们不能僵硬地坚持某一种或混合的规制策略，而是要因应社会现实的变化增减不同规制手段的分量。传统观点认为，欧盟的规制要求过于严格，而美国的规制则较为松懈。但比格纳米的研究却发现，美国的规制较为严格精确，而欧盟的规制则趋于宽松。(78)See Francesca Bignami,Cooperative Legalism and the Non-Americanization of European Regulatory Styles:The Case of Data Privacy,59 American Journal of Comparative Law,416(2011).因此，一国规制风格的选择并不是固定不变的，而是因时而异的。

(三)具体路径：确立回应型规制

目前，国外规制实践的共识是企业自我规制与政府规制的结合，但具体如何安排却有不同的操作。有学者基于美国和爱尔兰对Facebook规制措施的调查与研究，提出了回应型规制(responsive regulation)的策略，即减少对抗，拒斥传统惩罚，政府规制更多的是最后的手段。(79)参见前引〔2〕，William McGeveran文，第959页。也有学者提出企业和政府之间进行合作规制(co-regulation)的混合模式，认为这是一种可执行的、严格的方法，既能保护个人隐私，又能跟上并满足日益增长的互联网经济的需求。(80)合作规制又称协同规制，是指机构与行业团体或其他第三方合作，制定详细的实质性规则。这些规则随后可能成为可执行的法律，经常(虽然不总是)受到政府监管机构的批准或许可。See Dennis Hirsch,The Law and Policy of Online Privacy:Regulation,Self-Regulation,or Co-Regulation? 34 Seattle University Law Review,441(2011).艾拉·鲁宾斯坦(Ira S.Rubinstein)也主张，合作规制应该成为经济社会问题的重要思路和措施，他甚至提出了合作规制取得成功必备的五个标准：开放和透明、完整性、解决搭便车问题的策略、监督和执行，以及使用第二代设计特征。See Ira Rubinstein,Privacy and Regulatory Innovation:Moving Beyond Voluntary Codes,6 I/S,A Journal of Law and Policy for the Information Society,380(2011).无论是回应型规制还是合作规制，都不是新的现象，也面临着不少质疑。比如合作规制被认为缺乏透明和问责，以致有做空社会公共利益，并致使企业俘获政府的可能；(81)参见前引〔44〕,Dennis Hirsch文，第442页。回应型规制也被认为增加了政府被俘获的可能性，高估了企业的理性和道德行为，削弱了人们对执法严肃性的信心(82)See Steve Tombs,Understanding Regulation? 11 Social and Legal Studies,126(2002).等等。

每一种规制策略都包含风险。现阶段我们需要试验并评估哪种方式是适合我国的切实有效的策略。在充满变化和不确定性的技术革新时代，我国可以确立回应型规制的阶段性选择，这既能够较好地处理信息技术发展与个人信息保护的关系，又能够有效地促进企业自我规制机制的形成与发展。与任何良好的友谊一样，回应型规制对企业和政府都有利。之所以未选择合作规制，是因为合作规制之于具体实践更多的是一个想法，而不是现实。(83)合作规制是一个很有前途的机制，但存在重大局限性，比如受制于特定的历史文化影响，难以切实有效地达成共识。合作规制与回应型规制之间的区别主要有：(1)前者主要关注规则的内容，后者主要关注执行规则的方法，而不是规则的实质；(2)前者实践的前提是许多利益相关方达成广泛共识，后者只是影响监管机构对所有被监管实体的行为；(3)后者应用时也可着眼于合作；(4)后者切实地存在并运用着。参见前引〔2〕，William McGeveran文，第981页。而回应型规制在很大程度上本身就指向企业的善意与合作，强调较少的对抗技术以调动企业积极合规的能动性来实现。(84)参见前引〔52〕，Darren Sinclair文，第534页。回应型规制本身也可以模糊不同地区间本应明显的区别，便于有效、灵活和合作地改进现实世界的数据保护实践。(85)参见前引〔2〕，William McGeveran文，第959页。

我国的立法实践虽然没有明确我国的规制策略，但也可以从一些具体规定解读出“先自我规制后政府规制”的意味。第一，《个人信息保护法》第58条规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行“按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”的义务。这预示着，关于企业信息处理行为，优先适用内部合规并外部监督的行为规范策略，政府规制只在有必要的时候出场。第二，《个人信息保护法》第61条关于个人信息保护主管部门的职责范围，主要提及宣传教育、接受投诉与举报、组织测评并公布结果以及调查与处理违法个人信息处理活动等，这些内容不同于常规的惩罚措施，而是一种内含企业自身改进的主动引导与被动回应的治理要求。第三，《个人信息保护法》第62条确立了国家网信部门承担统筹协调职责。这是一种辅助性(subsidiarity)的规制形式要求，意味着政府可以不直接或间接地积极参与，但政府对大多数规制计划必须保证有某种形式的参与。即自我规制构成对政府规制的一种回应，如果企业不采取任何行动，政府就会采取行动。(86)See Robert Baldwin,Martin Cave，Martin Lodge,Understanding Regulation:Theory,Strategy,and Practice,Oxford University Press,2012,p.138.第四，《个人信息保护法》第63条与第64条是关于具体监管措施的规定，从询问、调查到约谈、审计，再到移送公安机关依法处理等，从中可以看出政府的力量根据情境的轻重缓急而相应地从“督促改进到直接惩罚”发生变化。这说明，“监管机构一开始假设美德(他们应该以合作作为回应)，但当他们的期望落空时，他们会以逐步惩罚和以威慑为导向的策略做出回应，直到被监管机构顺从”(87)Neil Gunningham,Darren Sinclair,Integrative Regulation:A Principle-Based Approached to Environmental Policy,24 Law and Society Inquiry,864(1999).。

因此，回应型规制虽然不是国家应对新现实的唯一方式，却是现阶段的一种可为的经济性选择。(88)参见前引〔53〕，Ian Bartle、Peter Vass文，第885页。一方面，回应型规制体现了规制的灵活性、包容性和敏感性，实现了多主体参与动态性规制，大大降低政府规制的成本以及避免规制失灵的问题。(89)参见前引〔86〕，Robert Baldwin、Martin Cave、Martin Lodge书，第136-140页。比如政府主动改变直接提供保障的全能角色，转变为向企业购买服务，并鼓励和支持企业开展个人信息保护的研究、推广、宣传、培训和咨询等服务。另一方面，回应型规制实现了从外在强制到内在激励的转化。换言之，回应型规制的采用可以使政府规制的外在要求同企业保护个人信息的内在激励相容，促使企业认真对待个人信息保护实践，将个人信息保护的期望实质性地整合进工作流程中，而不是单纯停留于“如果你同意，请点击”的形式保证或避免制裁的消极应对上。

六、结 语

个人信息保护表面上围绕着个人、企业与政府之间的权利义务责任关系而展开，但其运作的背后离不开国家这一行为主体的渗透、干预、整合与引领。国家形塑个人信息保护实践主要是通过其对个人、企业与政府这三类主体的要求与互动而展开。知情同意规则、企业隐私政策以及政府规制这三类实践某种程度上实现了国家对个人的赋权和对企业与政府的规制。不可否认的是，这些实践仍然存在着这样或那样的现实窘境与不利因素，以至于不仅个人利益的维护大打折扣，而且企业自我规制与政府规制之间的关系取向未定。因此，需要以国家之名，重申人性尊严的理念，避免个人被视为客体；重述规制策略的共识，酝酿信息时代规制国家的行动准则；确立回应型规制，指引个人信息保护的未来议程。