□王樱洁

21世纪以来，随着数字技术的变革，数据已成为数字经济发展的动力[1]。2020年3月，中共中央、国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》，将数据与土地、劳动力、资本和技术并列为五大生产要素，并提出要加快培育数据要素市场，加强数据资源整合和安全保护。互联网用户的个人信息正是数据要素的重要基础，如果对个人信息的保护存在缺失，影响的不仅仅是互联网用户的个人体验，更会动摇国家的数据安全。

此前学界对于个人信息保护行为的讨论多集中在法学和管理学的领域，即认为个人信息保护行为主要依靠相关法律法规的制定以及具体的监管方式，因此最终得出需要通过完善法律法规或者制定有效的监管制度等措施来加强对个人信息安全的保护。2021年11月1日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）正式施行，该法进一步强化个人信息安全监督与治理，把互联网用户的信息使用权关进法律的“笼子”里。然而，在《个人信息保护法》正式施行之后，危害个人信息安全的行为仍时有发生，可见对于信息保护行为的影响不能单纯讨论正式法律制度的影响，也要关注其他因素的作用。因此，本文将从社会学角度出发，以制度嵌入性为框架分析对个人信息保护行为造成影响的制度因素，同时提出相应的政策建议。

一、分析框架：制度嵌入性的作用机制

作为新经济社会学的研究范式，制度嵌入性的概念来源于波兰尼。个体行动者在社会行为选择中会受到制度因素的影响和约束是制度嵌入性的核心观点。对于制度的内涵主要包括以下几种观点：帕森斯认为制度是社会中绝大多数人们所共享的价值规范系统和文化信仰，制度会对人们的行动选择进行约束；莫顿认为制度是形塑个体策略行动以及利益的机会结构；诺斯则认为制度是社会博弈的规则[2]。在嵌入性理论的发展脉络中，嵌入性并不是单一维度的，而是包括了关系嵌入性、网络嵌入性、文化嵌入性和制度嵌入性等等，也有研究者认为文化是非正式制度的一种，因而也可以归入制度嵌入性的范围之内。

笔者认为制度具有正式和非正式的区分，正式制度是指国家出台的法律制度，非正式制度是指社会成员的隐私边界观念，个人信息的保护行为是双重嵌入在这两种制度之中。外在的法律制度规定了个人信息保护行为的最低限度，而非正式的隐私边界观念影响了个人对隐私的感知程度。

二、法律法规——个人信息保护行为的外在制度

本文认为正式的法律法规界定了个人信息保护行为的最低门槛，即在合法合规的空间下，各行业能够如何使用社会成员的个人信息，但是不同国家和地区的法律法规存在差异性，因此下文将以中国、美国和欧盟为例，呈现正式制度在国家和地区层面上的差异性。

2012年，《关于加强网络信息保护的决定》是我国第一部专门有关个人信息保护的立法，第1条就表明国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息[3]。其他有关个人信息保护的规则散落在不同级别和部门制定的法律法规中，这涉及到网络、电信、电子商务、金融和征信等多个领域，如《全国人大常委会关于加强网络信息保护的决定》第1条、《网络安全法》第76条第5项、《侵害消费者权益行为处罚办法》第11条、《电信和互联网用户个人信息保护规定》第4条、《中国人民银行金融消费者权益保护实施办法》第27条、《寄递服务用户个人信息安全管理规定》第3条、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（法释[2014]11号）第1条等[4]。

2020年5月，我国通过的《民法典》确立了个人信息的性质，其中规定自然人的个人信息受法律保护，任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，征得当事人同意后才能收集。其中对个人信息进行了明确定义：个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。《民法典》第一千零三十二条对隐私的定义是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。这种私密信息往往和自然人的尊严、名誉等基本人格权益密切相关。可以看出，《民法典》中对于个人信息保护的规定，首次对处理他人的私密信息作出禁止性规定，即任何组织或者个人不得处理他人的私密信息，突破了以往立法对个人信息保护的规定。

在当前数字经济的背景下，《个人信息保护法》进一步确立了如何处理个人信息的基本原则。这部法律的实施对个人信息保护具有重要的指导意义，因为很多新型和疑难的个人信息保护案件，很难精准适用于具体的法律条款，但是个人信息处理的基本原则具有漏洞补充和缓和规则不公正的作用，对此类新型案件的适用将发挥重要作用[5]。

对比来看，在法律上将隐私权作为保护是从美国开始的，自1890年起，美国的法学教授认为隐私权是人格权利的一部分，不论在什么情况下，每个人都有决定对于自己的事情是否被公开的权利和不被他人打扰的权利，同时认为隐私权的价值是一种能够用来保护个人思想和感受的观念[6]。对于隐私的界定并没有明确的定义，学者倾向于将隐私看成是一个心理学的概念，而对于隐私权的保护则属于法学领域的概念。隐私作为一种心理环境，传统观念认为在东方文化之下的隐私是不重要的，因为个体的义务是多过于权利的。隐私包含了以下几种情况：个人独处不被其他人观察即独处隐私，个人在不同和小群体中和其他人建立亲密关系同时与其他人保持分离即群体亲密隐私，在公开场合不会被识别出来即隐名隐私，保护自己的信息不受到侵扰即心理超脱隐私[7]。

美国不仅是最早提出隐私权概念的国家，还从联邦层面制定了保护信息隐私的《隐私权法》（1974年）、《联邦贸易委员会法》(1914年)、《儿童网上隐私保护法》（1998年）、《金融服务现代化法》（1999年）、《健康保险便利和责任法案》（1996年）、《公平信用报告法》（1970年）、《反垃圾邮件法》（2003年）、《电子信息隐私法》（1986年）和《澄清域外合法使用数据法》（2018年）共9项联邦法律，不同州也制定了各自的信息安全法案，多数以美国最为严厉和严格的隐私法《加州消费者隐私法》（2018年）为借鉴[8]。

世界上第一个关于个人信息保护的国际公约是1980年由欧洲委员会通过的《个人数据自动化处理中的个人保护公约》，欧盟则在1995年就颁布了全面保护个人数据的《数据保护指令》，2012年又出台了更加严格的《数据保护通例》，该通例于2018年开始施行，主要目的是将成员国内不同法律法规的数据保护统一起来，因此能够直接运用在成员国[9]。

对比来看，欧美国家从20世纪70年代开始就着手建立个人信息保护制度，而我国在这方面的起步较晚[9]，从法律法规的数量上来讲，美国拥有20多个隐私数据法规以及不同州与地区制定的法规共同组成的法律体系[10]。在《个人信息保护法》施行之前，我国对个人数据隐私的保护由相对分散的法律条文、指导意见和规范性文件共同组成，《中华人民共和国宪法》和《民法典》中对保障人权和隐私的相关条款是用户信息保障的根本来源，而相关网络信息保护的决定和指导性文件设计则较为理想化、抽象化和模糊化。因此，就正式制度来说，较为宽泛的指导性文件降低了各行各业对于个人信息保护行为的最低标准，导致违规取得个人信息的代价较低，从而导致个人信息泄露事件频发，甚至在《个人信息保护法》出台前全国各地均有个人信息售卖的违法链条。

三、隐私边界——个人信息保护行为的内在制度

除了外在的法律法规能够借助惩罚措施来制定对个人信息保护行为的最低门槛之外，内在且共享在全社会成员的内部行动准则也会形塑不同文化情境中社会隐私边界和对个人权利的尊重程度。在笔者看来，这种内化的制度基础将影响个人隐私边界的界定及宽窄程度。

从社会行动准则来看，社会取向和个人取向是主要的两种运作形态，但是在中国社会之中，根据不同生活所表现出来的不同取向，中国人的社会取向包含以下四类特征：家族取向、他人取向、关系取向和权威取向。根据中国的集体取向和关系取向，邻居之间经常询问去处是关心和关爱他人的表现，而不是侵犯他人隐私的表现，在西方的个人取向来看，对于个人信息的询问属于踏足到自己的生活领域[11]。

自20世纪起，在社会科学的研究历史中，研究者从关注个人与群体关系的角度出发建构了集体主义—个人主义文化倾向。在最具有影响力的民族文化研究框架[12]之中，不论是对个人还是国家来说最重要的文化类型是个人主义和集体主义[13]。集体主义和个人主义的兴起和古代法律和宗教的发展密切相关[14]，社会经济、政治和人口因素都会对文化倾向造成影响[15]，宗教问题可以作为中西文化差异的分水岭，虽然儒家学说并非宗教，但是在文化的作用上也替代了西方基督教的作用[16]。Hofstede创建了一个个人主义指数，得分越高表示这个国家越个人主义。例如，中国的个人主义得分为20分，通常被视为典型的集体主义文化，而美国的个人主义得分为91分，通常被视为个人主义文化的代表[17]。偏向个人主义的国家（如美国、澳大利亚、加拿大、英国等），他们的个人目标通常比他们的团队目标更有价值。因此，他们的行为通常基于他们自己的态度，而不是社会群体的规范。相反，偏向集体主义的国家（如中国、韩国等）在群体内部是相互依存的，对群体目标的重视高于对个人目标的重视，行为主要以群体规范为基础，强调群体内部的和谐关系。维持团体内部的良好及和谐关系，例如来自亚洲国家的人，与他们的团体或社会团体是相互依存的。在对于个人主义和集体主义的测量中，首先就是要根据特征将二者进行分类，然后再从相应的指标上去进行数据分析，个人主义以负责任、独特性、竞争力和能力为特征，而集体主义的特征是倾向于在自己的社会群体中寻找建议并且在社会关系中寻求和谐发展[18]。对于个人主义文化和集体主义文化的解释能够分析中美两国隐私差异的原因，即在个人主义文化中人们坚持个人导向，注重个人的隐私，而在集体主义文化中人们多重视相互之间的责任和义务[19]。

因此，从文化倾向来看，不同文化情境中的个人主义文化或者集体主义文化倾向会影响到社会成员对于隐私边界的界定与主观认知，即倾向于个人主义文化的欧美国家的隐私边界较窄，而具有集体主义倾向的中国的隐私边界较宽，甚至人们并不认为网络上的个人信息属于个人隐私的范畴。

综上所述，本文从制度嵌入性的角度分别分析了个人信息保护行为的正式制度和非正式制度基础。前者作为外在的制度约束，不同国家中的法律法规会从制裁和惩罚的角度制定个人信息保护的范畴，不同行业的行为者会根据国家法律规定的准入门槛来对本行业内的个人信息制定保护政策；而后者从文化的角度来说是内化在社会中大部分成员中的内在隐私边界，这种内化的隐私边界不如外在的法律制度具有制裁效用，但是会从内部驱动和影响行动者的个体行动。

从文化的角度来说，集体主义文化倾向中的行动者具有集体取向和关系取向，而个人主义文化倾向中的行动者具有个人取向，因此在个人主义和集体主义文化倾向分析的框架下，个人主义社会的文化倾向会形塑为：“不论集体安全如何，都要保证个人隐私权利”，每个人都倾向于缩窄自己的隐私边界；而对于集体主义倾向来说，社会成员对于个人隐私的感知较弱，更加看重社会成员彼此之间的相互义务以及集体的整体利益，因此对于隐私边界的设定较为宽泛，尤其是在互联网的背景之下。但是这种较为宽泛的隐私边界却可能被投机主义的商家利用以换取经济利益，出于理性计算的商家对于个人信息的利用仅仅只需要满足法律的规定条例即可，进而最大化地在个人本就不敏感的隐私边界内摄取个人用户信息。

四、夯实个人信息保护行为制度基础的路径

第一，发挥检察机关职能，加快公益诉讼办案进度。自从《个人信息保护法》施行以来，全国各地已经宣判了多项涉及个人信息保护的案件，其中公益诉讼案件数量较多。在办案方面，要特别保护妇女、儿童、老年人、军人、残疾人等特定群体的个人信息，重点保护教育、医疗、就业、养老、消费等领域处理的个人信息，以及涉及人数众多的大规模个人信息。不仅要强化检察机关内部衔接配合，也要加强与网信、工信、公安、市场监管等部门协作配合，形成个人信息保护监管合力。

第二，企业要强化主体责任，从员工应聘到离职全流程强化个人信息保护意识。在招聘环节，企业或者第三方背景调查公司对应聘者进行背景调查时，应该保证应聘人员的充分知情，并且签署企业制定的背景调查个人信息处理授权文件，才能够处理应聘者的个人信息。在劳动合同中应该增加对个人信息处理的规定，并且签署授权书。对于在职和离职员工要注重个人信息的保护，尤其是跨国企业和外资企业在向境外提供员工信息时要遵守我国的法律和网信部门的规定。

第三，鼓励平台经济摆脱对用户数据红利的依赖，承担起保护用户个人信息的责任与义务，遵守相关法律法规，加大创新投入，转变盈利方式。平台应当准确理解《个人信息保护法》对个人信息处理活动规范化提出的各项要求，当好个人信息保护的“守门人”。应该鼓励平台公司提升个人信息保护合规水平，加强科技创新和研发投入，不能仅靠使用个人用户信息进行技术侧写并提高广告投放精准度为盈利支撑点，而是要在保证用户信息安全的前提下，解决技术障碍，平衡合规成本，促使平台公司平稳度过因合规而导致的阵痛期。

第四，大力培育人民群众的个人信息保护意识，提升全民数字素养，减少数字鸿沟，在个人信息保护领域形成全民共建共治共享的社会治理格局。筑牢个人信息使用的安全边界，既需要政府加强监管、企业增强责任意识，也离不开全民数字素养的提升。《广东网民网络文明行为分析报告》指出，广东是我国网民第一大省，截至2020年12月，广东省网民规模达到8840.5万人，占全国网民总数的8.9%，互联网普及率达76.6%。对个人用户而言，应当丰富人民群众在个人信息保护方面的安全知识和法律知识，培养良好的使用习惯，比如使用一些应用程序时，应该仔细阅读隐私权条款，根据个人需要开启或者关闭相关推荐选项，掌握信息使用的主动权。而对于未成年人和老年人等群体而言，需要家长、学校和社会为其提供贴合需求的数字技术培训，以应对数字技术的快速发展。只有在人民群众具有个人信息保护相关的基本知识，同时又能理解掌握《个人信息保护法》基本精神的情况下，才能充分调动其参与社会治理的积极性，不断激发其对于个人信息保护相关问题的参与热情和动力。