吴 仪

（贵州大学，贵州 贵阳 550025）

一、问题提出

随着人类生活形态的不断互联网化， “网上的个人信息全方位覆盖了你从摇篮到坟墓的全部私人生活”[1]，个人信息保护成为重要的民生内容，其紧迫性日益突出。通过立法强化个人信息权益保护，是提升个人信息保护规制水平的重要思路。对此，民法典将个人信息保护纳入民事权利范畴；2020年12月，中共中央印发《法治社会建设实施纲要（2020-2025年）》，提出 “研究制定个人信息保护法” 的任务；2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》（以下简称个人信息保护法）。

法律是国家治理的重要手段，在实现国家治理现代化中具有不可替代的作用。种种迹象表明，第四次产业革命已经到来，互联网作为第四次产业革命的核心基础，既关涉国家安全，更关涉国家未来竞争力。正如任何新兴科技成果一样，互联网对社会发展既有正向促进作用，也不可避免有消极作用。强化互联网个人信息保护，是扬长避短、趋利避害的题中应有之义。个人信息保护法首次提出了 “个人信息权益” 的概念，是我国第一部个人信息权益保护方面的专门法律，它将个人信息权益保护作为立法的首要目的[2]。基于个人信息权益保护这个目的，个人信息保护法有哪些重要价值，还有哪些潜在堵点需要打通，则是进一步推进个人信息权益保护治理现代化需要深入思考的问题。

二、个人信息保护法的重要价值

个人信息保护法的出台改变了我国长期以来通过分散立法的方式对个人信息权益进行保护的现状，构建了体系完整、内容丰富、规范科学的个人信息权益护法律规范体系，标志着我国关于个人信息权益保护方面的法治建设日益完备。个人信息保护法将个人信息保护法治化推到了一个全新高度，其重要价值主要体现在以下方面。

（一）完善了个人信息的法权地位

个人信息是否认定为一种权利，牵涉立法和执法的保护强度，以及个人保护意识、社会保护共识。对于民法总则关于 “个人信息受法律保护” 的规定，学界主要有两种观点：一是法律未出现 “个人信息权” 的表述，依循字句，从严格的文义解释[3]，或从自然人对个人信息并不享有绝对权和支配权的理论视角[4]，个人信息仅是受法律保护的利益（法益）而非一项权利；二是从法律目的解释和体系解释角度，个人信息是受法律保护的私权利而非仅是法益[5]，且基于尊重人格尊严和自由的理念、个人信息自我决定的理论视角，应将个人信息权定性为人格权[6]。数字化时代，数据信息要素促发了个人权利变异，个人权利的内涵已经嵌入了数据信息法益，进而生成 “数据权” 这一新兴权利。[7]民法典虽然未明确 “个人信息权” ，但透过其篇章布局及立法目的，可以确认个人信息是人格权范畴的一项私权。《个人信息保护法》第一条将 “保护个人信息权益” 确定为首要立法目的，在单行法中注入并拓展了法典的精神指向，确认个人信息的权利和利益双重属性，因应时代变迁和社会治理的现实需要，补强和更新了数字化时代个人权利内涵，有助于消弭个人信息保护场域多元行动者的认识分歧，构筑私法与公法双管齐下的综合性保护体系。

（二）确立了多主体协同的合作治理框架

根据个人信息保护法内容，个人信息保护体系主要包括六大行动主体：（1）具有个人信息权益的个人，即自然人，是个人信息的最终所有权人；（2）个人信息处理者，可能是组织，也可能是个人（自然人），他们在提供信息服务时，通过填报、留痕、抓取等手段，保有个人信息，是个人信息的实际占有者，拥有个人信息的法定处置权与经最终所有权人授权的契约处置权；（3）接收个人信息的第三方，他们不直接获取个人信息，而是从个人信息处理者处获取信息，其信息权利束类似于（但不等同于）个人信息处理者；（4）受个人信息处理者委托处理个人信息的受托方，他们对于个人信息仅具有限于委托人委托范围内的处置权，比如清洗、脱敏、保存等，不具有委托代理约定范围之外的任何权力；（5）个人信息保护行政职能部门，即国家网信部门， “负责统筹协调个人信息保护工作和相关监督管理工作” ，他们更重要的职责是维护国家信息安全与信息主权；（6）执法机关，包括人民法院、人民检察院、公安部门（治安管理和刑事司法机构），通过司法或治安管理路径保护个人信息权利。上述六大行动主体分为三种类型：（1）是被保护对象，是个人信息权的潜在被侵权者；（2）（3）（4）是被约束者，是个人信息权的潜在侵权者；（5）（6）是以国家强制力介入个人信息保护的具体执行者，形成个人信息保护的主渠道。

个人信息保护法设计了个人信息保护多主体联动的合作治理型框架，其第十一条规定国家 “推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境” ，在监管、监督、专业辅助等不同法律关系语境下，安排了相应的法主体，构设了多层级的法主体身份体系。 “当法律创设了一种程序，让公众在决定重要公共政策问题的过程中发挥作用时” ，这些问题就不应在 “行政机关紧闭的大门后” 暗中处理。[8]120原本封闭的规制空间已被治理之网撑开。数字时代新业态成为 “信息环境、嵌入其中的信息能动者以及它们互动的本体论中一种根本的、史无前例的转换”[9]，在 “国家主导、行业自律与个人参与”[10]的个人信息保护法治模式中，各类行动者的互动路径已经铺设就绪。

时代变迁对公共治理提出了新的更高要求，缺乏对话的独白式建构思路已不再合乎时宜， “通过民主程序或政治公共领域之交往而发生的那种理解过程，体现了一种高层次主体间性” 。[11]决策应该注入一种更为民主的参与表达方式，避免社会产生 “一种对政府决策逐渐疏远的感觉” 。[12]行政法革新发展的重要任务就是打破 “行政主体—行政相对人” 的单向线性结构， “探究如何使组织的存在形式能够与扩大了的行政任务的形态相适应”[13]，为合作治理铺就理论基础，推动不同主体共享、动员和聚合分散的资源，协调利益和行动，合作实现行政任务。政策参与者多元化、政策参与形式多层化、政策参与过程开放化[14]，也是政策网络理论的重要内容。

组织间网络的管理具有博弈的特征且需要根植于信任的策略。[15]50但是，信任不是内嵌的，而是通过反复交互习得和强化的，是不断互动的一个产物。公民参与不仅有助于提高行政决定的质量，还可以增进对政府决策公正性的信任。[8]130监督是社会公众参与行政管理决策事务的渠道之一，个人信息加害行为复杂隐蔽，更需要由公权力主体与私人力量共塑 “国家—社会” 法律执行合作格局，形成执法信息流的多元生产机制，改善对藏于 “暗处” 的违法行为信息的穿透和汲取能力。 “同有组织的团体比起来，分散的成分总是处于不利地位。”[16]监督活动具有时间成本和担心受到被监督者打击报复的心理成本，且被监督对象握有个人信息，对个人而言具有潜在的被暴露或被精准 “定位” 的危险性。网络根植于资源交换，不同主体之间通过资源依赖而连接在一起。[15]32-33举报投诉者向执法机关提供了信息资源，执法机关向其提供与之相匹配的公权资源。个人信息权益保护的法律规制中，应建立起对举报投诉者予以保护的机制，对有重要贡献者进行奖励，形成制度激励系统和良性的 “信任” 循环，提升该类行动者的参与积极性及有效性，充分发挥其信息生产机制、威慑机制的双重制度角色，在个人信息保护领域中架设起 “国家—社会” 信息通道。[17]

在个人信息保护法中，多主体联动在跨境合作方面亦有所体现。《个人信息保护法》第十二条规定： “国家积极参与个人信息保护国际规则的制定，促进个人信息保护方面的国际交流与合作，推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。” 国际合作是促进执法机构规制学习、反身治理的有效路径。全球经济融合发展所带来的一些问题超越了一国的国内规制能力[18]，而政策网络可以将经济和政策开放、技术革新等多种全球化的驱动力结合在一起，创建和支持特殊的议程。合作可以获得更多的信息和资源，并赋予合法性。[19]各国均面临着个人信息保护的重要议题，合作所产生的 “合作生产力” ，可以缓解域外执法内生性带有的冲突张力，克服长臂管辖碎片化、间接化的双重困境。[20]

（三）丰富了个人信息保护的规制体系

现代社会相互依赖程度高，社会互动紧密交织成复杂网络，互动链与互赖链交织延伸得越来越长，政治和法律过程包含无数复杂的行动结构，需要大量社会调节和社会合作。[21]传统的科层体制、自上而下 “命令—控制” 式规制方法受到时代变迁的冲击，富于弹性的 “行政机构—利益相关者” 网络结构发展起来了，以便于创造性地解决规制问题。[18]政策网络的多元化理路可以协调不同的参与者，连接公众部门、私人部门和社会团体，导致更有效的关系管理。在个人信息保护法颁布之前，个人信息保护主要依赖于刑事法律规制与民事法律规制。《中华人民共和国刑法》第二百五十三条之一规定了 “侵犯公民个人信息罪” 。刑事法律机制在个人信息权益保护方面存在两大不足，一是它管不了非罪区域，二是很难顾及侵害补偿。民法典强调 “自然人的个人信息受法律保护” ，并在人格权编通过六个法条对其作出了细化规定，初步构建了个人信息保护及利用的法律规范体系。[22]民事法律机制在理论上补齐了刑事法律机制的两大不足，但是在现实中它也有自身的缺陷：一是相对于普通人来讲，互联网技术的高技术门槛创设了一个深不见底的信息处理黑箱，这使得一些想拿起法律武器保护自身权益的个人望而却步；二是高昂的诉讼成本，与不确定的诉讼收益间的反差，可能让一些权益被侵害者选择忍气吞声；三是民事法律机制无法观照信息主体与信息处理者之间事实上的能力不同等问题。总之，如果仅有刑事法律机制和民事法律机制，那些侵害个人信息权益的行为可能很难得到应有的遏制。个人信息保护法的颁布，观照了上述困境，拓展了个人信息权益保护的新机制。

其一，它将行政手段引入到个人信息权益保护之中。从行政法律关系视角看，个人信息保护法呈现了多元化行政行为样态，其第三十九条、第四十一条对个人信息处理者向境外提供个人信息的情形，设定了国家网信部门安全评估机制；第六十四条规定了特定情况下，个人信息保护行政职能部门，即国家网信部门有权约谈个人信息处理者的法定代表人或主要负责人。行政评估、行政约谈等 “未型式化” 的 “中性” 行政手段运用，在行政行为内部结构体系构造上形成刚性行为、柔性行为和中性行为三维格局[23]，为个人信息行政保护配置实用性更强的 “工具箱” 。

其二，它通过 “守门人条款” 观照了信息主体与信息处理者之间事实上的能力不平等问题。《个人信息保护法》第五十八条规定： “提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者” ，应当 “按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督……” 学界将此规定称为 “守门人条款” ，该条款规定了强势互联网平台的特殊义务，从法条文意看这些义务内容其中也包含着权力。[24-25]

其三，它将行业自律引入到个人信息权益保护之中。合作治理以解决问题为导向，需要拥有相关知识的各方共享信息[26]，行业组织对本领域的技术信息、伦理信息、制度信息具有天然的整合能力，具有价值认识、利益和行动协调的机制性优势，因而宜明确个人信息相关行业组织的法律关系主体身份和宏观功能。多主体联动的一个重要进路是行业自律。美国个人信息保护采取分散立法与行业自律相结合的机制，并以行业标准为主导。[27]德国、法国、意大利、英国的个人隐私规制具有共同的特点，即严格的政府执法、高标准的行业自律、低频率的诉讼机制多管齐下，构成 “合作法治主义” 模式。《中华人民共和国网络安全法》第十一条规定， “网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。” 个人信息保护法赋予私主体在合作法律关系中的法律地位，并通过构建评估认证服务供给机制、投诉举报机制，发挥其在行业规范建设的专业促进及监督作用。

（四）确立了个人信息保护的统筹协调者

缺乏统摄的个人信息保护，必然导致零散化、部门化、附带化的行动特点。在个人信息保护法颁布之前，监管主体的设置和职权配置牵涉网信、工信、工商、公安、邮政、央行等，以及模糊不清的 “有关部门” 多家机构，引致多头监管、重复监管、监管短板、监管真空积弊丛生的窘境，所以，通过制度顶层设计带动个人信息保护监管体制革新不仅必要而且紧迫。《个人信息保护法》第六十条第一款规定： “国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。” 国家网信部门是指中央、省（区、市）、地（州、市）、县（市、区）四级分级设置的网络信息管理部门。在中央层面，指中央网络安全和信息化委员会办公室、国家互联网信息办公室（是 “两块牌子、一个机构” ），列入中共中央直属机构序列。地方各级比照中央设置。个人信息保护法赋予国家网信部门个人信息保护的统合职权，符合国家治理体系改革大逻辑、法律体系化构建逻辑以及实践经验逻辑，具有适配性。中央网信办通过整合中共中央的政治权威资源和国务院的行政执法资源，聚合自上而下的高位政治、行政一体化优势和协同化能量，统领监管工作，参与国际规则制定、推进国际合作，有望打破之前监管割据的碎片化格局，架设起更加有力的个人信息保护行动网络。

（五）形成了以人民为中心的信息权利配置结构

个人信息保护立法承载着的，除了保护广大人民群众的个人信息权益外，还有促进互联网经济健康发展的重要使命。在互联网背景下，个人信息所有权与信息处理权，是两种相辅相成、互为依托又互相冲突的权利。因此，对一种权利的保护，本质上构成对另一种权利的限制。从法的名称来看，个人信息保护法就是把保护重心放在个人权益上的，这说明立法者坚持在保护个人权益的前提下来考虑发展问题，不片面为了发展互联网经济而忽视个人权益的立法理念。为了落实以人民为中心这一根本立场，个人信息保护法构建了一系列独特的机制，上文提到的 “守门人条款” 就是其中之一，此外，还有 “告知—同意” 互动机制、举证责任倒置机制等。

“告知—同意” 互动机制是个人信息处理者、个人之间互动的 “主路径” 。根据《个人信息保护法》第十三条规定，除了本法规定的六种例外情形， “处理个人信息应当取得个人同意” 。处理不同的信息，所要求的 “同意” 的层次有所不同，或是一般同意，或是 “个人单独同意” ，或是 “书面同意” 。 “最内核的隐私信息” —— “通常意义上的敏感信息” —— “大数据意义上的非敏感个人信息” ，不同维度的个人信息组成放射状扇形结构，保护机制应采用不同强度的保护标准。[28]在个人信息保护法设计的 “敏感个人信息处理规则” 中，采取的是 “单独同意” 的标准（第二十九条）而不是 “书面同意” ，与普通的个人信息的 “同意” 标准要求无差别。 “告知—同意” 互动机制的设定，体现了对个人作为最终所有权人的尊重。

举证责任倒置机制。《个人信息保护法》第六十九条关于 “个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任” 之规定，实际上是明确了举证责任倒置的原则。在民事法律关系中，举证责任的归属对于权利人的利益调整至关重要。《个人信息保护法》第六十九条之规定，无异给予个人保护自身信息权益一把 “尚方宝剑” 。

除了坚持人民利益至上，个人信息保护法坚持以人民为中心的另一个体现是高度重视人民的主体性在治理体系中的作用。个人信息保护法在相关条款中，专门规定了投诉、举报机制（第六十一条、第六十二条、第六十五条），这实际上是把 “人民战争” 的理念嵌入到个人信息保护的治理体系之中。

三、个人信息保护法的潜在堵点

规制情景变动不居。当代规制治理具有双向性、动态性特点，规制者也是一个学习者，在执行的过程中受到规制对象的影响，对规制本身产生影响和改变。反思治理和规制学习是 “回应性法” 的经典功能。[29]通过学习和反馈，对政策适时予以调适和修正，来实现从命令控制向规制治理的转型。作为人类生活形态的新场域，个人信息权益保护治理体系的现代化绝对不是一蹴而就的，只有通过构建——检验的反复回应，个人信息保护治理体系现代化的局面才有可能到来。个人信息保护法从首次审议到正式通过其间不足一年时间，因其来到世间时日尚少，相关条款难免存在顾此失彼的问题。以个人信息保护法为主构建起来的个人信息权益保护体系，不可避免地存在这样那样的治理堵点。

（一）知情同意出罪功能的设定不清晰

《中华人民共和国刑法》第二百五十三条之一规定了 “侵犯公民个人信息罪” ，即 “违反国家有关规定，向他人出售或者提供公民个人信息……” ，在这里， “违反国家有关规定” 是入罪的前提条件；个人信息保护法基于同意授权建立起的个人信息处理机制，经 “同意” 的个人信息出售行为也因之被正当化，权利人的 “同意” 构筑了刑法介入的司法边界[30]。《个人信息保护法》第七十一条规定，违反本法规定 “构成犯罪的，依法追究刑事责任” 。按照此规定，侵害个人信息入罪的前提是违反了个人信息保护法的相关规定，如果不违反该法的相关规定则不存在入罪的问题。设想某个向他人出售公民个人信息的行为，这个行为如果得到了公民个人的 “同意” ，那么按个人信息保护法的相关规定它是合法的。但是，这个行为同时又触犯了刑法所称 “违反国家有关规定” ，于是，这里就有在法律适用上产生冲突之可能。显然，关于知情同意的出罪功能，刑法与个人信息保护法是需要进一步协同的。

（二）不同法律间关于 “个人信息” 保护的边界不一致

关于 “个人信息” 的界定，个人信息保护法与民法典、网络安全法的相关规定存在不一致问题。经比对可发现，民法典与网络安全法关于个人信息的界定，核心内容基本一致，而个人信息保护法关于个人信息的界定却与前两者有较大不同①《中华人民共和国个人信息保护法》第四条规定： “个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。” 《中华人民共和国民法典》第一千零三十四条规定： “个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。” 《中华人民共和国网络安全法》第七十六条第五项规定： “个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”。个人信息保护法所界定的个人信息 “不包括匿名化处理后的信息” ，在民法典与网络安全法的规定里却没有这种例外性规定。也就是说，依据个人信息保护法规定的保护边界，经 “匿名化处理” 后的个人信息是不被保护的，可是，按照民法典和网络安全法所规定的保护边界，经 “匿名化处理” 后的个人信息也应该保护。笔者认为，个人信息保护法应该统一到民法典和网络安全法的轨道上来。这是因为，一方面， “匿名化处理后的信息” 虽然单独来看不会泄露自然人的秘密，但是不排除其具有 “与其他信息结合识别自然人个人身份” 的能力，从而 “匿名化处理后的信息” 也有泄露自然人隐私的可能性；另一方面，个人信息保护法关于 “不包括匿名化处理后的信息” 的规定相比于民法典和网络安全法的规定虽然更有利于数字经济的发展（主要是数据清洗、数据脱敏等），但是这样的规定明显存在着被 “钻空子” 的风险，最终可能导致个人信息保护法形同虚设。此外，个人信息保护法关于 “已识别或者可识别的自然人” 之规定让人难以理解，别说现代社会可以借助信息手段来对人进行识别——将某个人与其他人区分开来，就算没有现代化的生物识别手段， “不可识别的自然人” 也是不可想象的，所以，该规定以统一到民法典或者网络安全法的规定上更为恰当。

（三）法律域外效力规则需要进一步明确

互联网向人类生活的深度渗透，使世界演变为一个 “信息圈” ， “地球村” 演变为 “数据村庄” 。面对信息跨境流动常态化、规模化、复杂化的现代场景，建立起法治化、机制化的涉外保护屏障越发重要。各国或区域性组织关于个人信息保护的立法，普遍设有 “域外效力” 的规则，如欧盟、美国、英国、荷兰等。[31]环顾全球立法实践，个人信息保护法普遍具备域外效力。[5]适度的国内法域外适用是我国履行国际社会治理公共产品供给责任，参与全球治理体系改革和建设的良好途径[32]。在个人信息保护法中规定域外适用效力，既符合信息流动的特质和其他法域的主流做法，也符合我国当前涉外法治建设的基本趋向，具有重要现实意义及法治价值。

《个人信息保护法》第三条规定，在中华人民共和国境内处理自然人个人信息的活动，均 “适用本法” ，同时，本条还规定了 “在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动” 适用本法的情形。该法条中的相关规定需要作出进一步解释，比如什么是在境外处理，什么是在境内处理。当前，互联网技术可以实现远程化的信息处理操作，当位于我国境外的组织或个人，利用我国境内的设备（虚拟设备）处理境内自然人信息时，是属于境外处理还是境内处理，是需要在配套的法规规章以及司法解释中进一步明确的。

（四）对个人信息主体地位观照不充分

关照弱者是法治文明的重要体现，也是实现治理平衡的重要路径。个人信息主体与信息处理者在知识、信息、技术和经济等方面完全处在不同层次，信息处理者掩盖自己过失的手段，通常远远超过个人信息主体认知，从而使个人成为信息保护的弱势一方。基于主体之间存在的这种事实上的不平等，以个体维权和诉讼为核心的民法机制显然不足以纠偏[33]。可是，要借由行政法律关系来调整 “处理个人信息侵害个人信息权益造成损害应当承担的损害赔偿等侵权责任” ，无论在理论上还是实践上都存在不可跨越的难题。

如前所述，《个人信息保护法》第六十九条之规定建立了举证责任倒置的机制，这给个人保护自身信息权益提供了一把 “尚方宝剑” 。不过，在个人信息处理者并非单一的情况下，这把尚方宝剑能不能顺利出鞘还值得探讨。在现实生活中，个人所要面对的信息处理者数不胜数。在手机里，多数人都会有数十个甚至百数个App，每个App至少对应着一个信息处理者，这些信息处理者一般都是个人信息主体主动对接的；个人信息主体所要面对的信息处理者，除了这些主动对接的而外，还有无数是被动接受的，比如一些商场、小区、学校的人脸识别系统，还有一些单位的考勤打卡系统，它们背后都对应着相应的信息处理者。这就是说，自然人的某个信息被多个信息处理者处理（比如收集、存储）是生活的常态。那么，当这个自然人因该个人信息的处理遭受权益损害时，当事人一般很难确定谁是侵权嫌疑人，如果不能框定谁是侵权嫌疑人，求偿权就很难得到支持。个人信息主体经常要面对这样的尴尬情形，自己并不知道有多少信息处理者、哪些信息处理者在处理自己的信息。

在大数据背景下，个人信息最终所有者往往是弱势一方。这主要体现在两个方面：其一，个人在使用信息工具时，往往处于无从选择的境地，因为信息工具通常是 “同意” 才能使用，所以，当某种必要信息工具没有其他替代工具，或者虽有其他替代工具但这些替代工具因推广不足或功能不稳定无法满足生活需要时，所谓的 “同意” 更多时候本质就是 “城下之盟” ；其二，个人信息泄漏所造成的损失，未必会大于证明谁是具体侵权人的成本，这会使得更多的利益受损者选择 “多一事不如少一事” 。

（五）存在权力配置错位问题

将权力配置给正确的行动主体，是实现治理现代化的基本前提。关于信息泄露后是否通知个人，《个人信息保护法》第五十七条第二款赋予个人信息处理者 “裁量权”①创设裁量权的三种主要方法是立法机关的授权、立法机关采用模糊规定而由行政官员赋予其意义、公众的默许。，即其 “采取措施能够有效避免信息泄露、篡改、丢失造成危害的” 可以不通知个人，但 “履行个人信息保护职责的部门认为可能造成危害的” ，有权要求其通知个人。按照亚当·斯密的推理，市场机制以人们的自爱心而非爱他心为基础，从来不会将广泛的公共利益或他人利益作为决策依据。[34]对于信息泄露后是否造成危害的判断，个人信息处理者自然倾向于以自身利益而非他人利益为基准作出 “裁量” ，难以保障受害人的知情权和求偿权。把知情权的行使寄托于监管部门的 “兜底式” 裁判，这就相当于把监管部门假定为全能且绝对公正的 “神” ，然而全能并不存在， “机构俘获” 却在现实中经常出现。在 “俘获” 剧本中，受管制企业对行政官员的影响如同 “每天用机关枪扫射” 一样，行政机关受到系统化控制，有权利寻租的风险；企业对自己事务保持着决定性控制，而行政官员需依赖于其合作以实现其目标；与企业所拥有的资源相比，行政机关的人财物等资源有限，意味着不能始终以对立的姿态管制，否则行政机关的资源会很快消耗殆尽。[8]24-26因而，亟须考虑强化信息泄露发生后相关个人的法定知情权，规范或取消个人信息处理者的 “裁量权” 。

四、个人信息权益保护规制水平的提升路径

（一）通过规制创设打通潜在堵点

因规制不完善、规制冲突形成的潜在堵点，通常可以通过规制创设来打通。在我国司法实务中，司法解释与典型判例推荐，就是常见的规制创设过程。基于有效保护个人信息权益这个诉求，应该通过司法解释等手段，增强个人信息保护法与民法典、刑法、网络安全法、电子商务法、数据安全法等现有法律之间的协同性，避免部门法律之间与基本法律或部门法律内部出现 “排异效应” 。只有消除这些 “排异效应” ，才能拉起一张融合民事、行政、刑事三种力量协同的 “交叉制裁” 保护网络，以制度合力保护个人信息权益。其一，关于知情同意出罪功能的设定，不应将其作为出罪条件。这是因为，刑法关于个人信息保护方面罪与非罪的界限，所要保护的不单纯是个人信息权益，还有国家信息主权，将国家信息主权交由个人同意与否显然是不妥的。其二，将共同侵权规则移植到个人信息保护中。在个人信息保护的现实场景中，哪些人对自己的信息进行了什么样的处理，个人常常面临着强烈的不可观察、可观察但不可证实的窘境，进而在个人信息权益遭到侵害时难以求偿。在一般的民事诉讼中受害者只有知道是谁伤害了自己时才可以主张损害赔偿，为了让弱势一方的权益能够得到充分的保护，民事法律规制中有一些特殊的救济规则，其中共同侵权规则（比如高空抛物无确定责任主体中的责任认定规则）可以移植到个人信息保护的司法实践中，这样就可以在知道了哪些是侵权嫌疑人（不是哪个）时可以主张损害赔偿，而那些 “不能证明自己没有过错” （《个人信息保护法》第六十九条）的侵权嫌疑人共同承担民事责任，这样就降低了求偿的门槛。其三，关于域外效力规则中 “境内” 的界定，以口径从严为宜，凡在境内注册的信息处理者的信息处理行为、处理工具在境内的信息处理行为、发生在境内的信息处理行为（注册地和工具未必在境内），都应该视为 “境内” 。口径从严的好处是，更有利于维护国家信息安全。

（二）通过规制修订打通潜在堵点

因规制不合理形成的潜在堵点，一般是通过规制修订来打通的。结合上文分析，现行关于个人信息权益保护的规制，应对两个地方进行修订。其一，关于 “个人信息” 保护的边界，个人信息保护法应该统一到民法典或者网络安全法的立场上来。也就是说，无论匿名化处理后的个人信息，还是未匿名化处理的个人信息，相关权益都应该受到法律保护。其二，关于信息处理者的酌情告知权，应该在修订时予以收回。也就是说，应对《个人信息保护法》第五十七条第二款进行适当修订，但凡信息泄漏，信息处理者无论作出有可能造成危害的判断还是作出没有可能造成危害的判断，都要告知个人信息主体。这样做既是为了避免 “劣币驱逐良币” ，也是为了避免因有意无意的判断失误而导致更大的危害。

（三）完善信息公共基础设施降低个人信息搜索成本

行政法律秩序在对待不同的保护对象时，无法做到差异化，只能进行 “一刀切” ，这使其更容易出现 “保护不足” 与 “过度保护” （被保护）并存的问题，无法顾及信息权益人偏好的差异性。如果过于看重用行政法律秩序来实现对个人信息权益的保护，不可避免地会增强行政权力对经济生活的干预，从而形成市场经济完善的负能量。总之，政府应该是引导者而非包办者。

人民群众是否愿意拿起法律武器，很大程度上取决于诉讼成本。侵害个人信息权益的现实场景中，由于信息处理者点多面广，个人信息主体甚至不知道哪些信息处理者具有侵权的可能，也就是常常面临着高昂的信息搜索成本（搜索哪些信息处理者有侵权的可能性）。政府在把武器创造出来之后，更多的精力不应该是包办而是尽量降低人民群众拿起法律武器的成本。一个应有的改进是，点多面广高度分散的个人信息存储方式，应该转变为高度集成的个人信息存储方式。比如，建立国家数据中心并实行强制性信息接入制度。这样，搜索哪些信息处理者有侵权的可能性这个繁重的工作就可以在键盘上轻松完成。这样做更大的好处还在于可以促进数据的高度汇聚以及国家信息安全体系的构建。

（四）通过新技术的应用解决 “伤及无辜” 问题

如果在个人信息权益保护司法实践中适用共同侵权原则，将会面临正义性方面的一些挑战。其一是共同侵权原则的广泛适用可能导致 “搭便车” 现象的泛滥，在 “队生产” 情景中， “搭便车” 常常是更为理性的选择；其二是存在普遍的 “伤及无辜” 问题，造成保护了个人信息权益但却损害了其他无过错主体的利益。解决这个难题有赖于技术手段的进步，比如 “时间戳” 技术的运用，可以让信息与信息处理者通过 “物勒工名” 原理建立起必然联系。这样，推卸责任的企图就难以实现，共同侵权原则所带来的 “伤及无辜” 和 “搭便车” 泛滥的现象就可以避免。