2020年10月13日，十三屆全國人大常委會第二十二次會議首次審議了《個人信息保護法（草案）》，這是一部關涉全民利益和人格尊嚴的重要立法，也是一部影響中國數(shù)字經濟發(fā)展的關鍵立法，殊值關注。如何在權益保護與信息開發(fā)利用之間取得恰當?shù)钠胶猓窟@有賴于個人信息保護模式的選擇。目前國際上主要有兩種立法模式：一是針對個人信息主體的積極確權模式；二是針對信息開發(fā)利用者的行為規(guī)范模式。中國的“個人信息保護法”該如何抉擇？這是當下亟需回應的問題。為此，紫金傳媒智庫高級研究員宋亞輝教授撰文，系統(tǒng)比較個人信息的私法保護模式及其優(yōu)劣差異，以此為中國立法提供理論參考。

一、西方早期的積極確權模式及其“叢林邏輯”

美國和德國早期均采用積極確權模式來保護個人信息，德國確立了一項具有排他效力的“個人信息自決權”，美國則是借用防御性的隱私權來保護網絡時代的個人信息。兩國的價值取向雖然迥異，但立法技術上卻走向趨同——均屬積極確權模式。作為權利立法的反推效果，德國的個人信息自決權和美國的隱私權在劃定權益保護范圍的基礎上，間接劃定了信息收集利用之行為界限，其基本邏輯為：通過確認權利來反推他人的行為自由。這不僅解決了個人信息的權利性質以及排他性范圍，而且為法益保護提供了彈性化的裁量平臺，法院可透過法益保護范圍的限縮或擴張解釋，相對靈活地調整信息開發(fā)利用者的行為空間。德國和美國的分野由此產生，正是由于支配性的個人信息自決權和防御性的隱私權和在排他性效力上的差異，造就了兩國截然不同的個人信息保護水平和互聯(lián)網產業(yè)。

積極確權立法的上述功能，使之成為西方國家早期普遍采納的簡約型立法模式，立法者可借助權利排他性范圍的靈活設置來擴大或限縮信息開發(fā)利用的自由空間。但實踐表明，積極確權模式存在結構性缺陷：（1）法律上的確權和支配不等于事實上的確權和支配。個人信息的收集、處理和交易是以不可視的方式在虛擬空間瞬時完成，網絡公司可通過技術手段輕而易舉地操縱信息處理過程。信息的無限復制與快速傳播使得個人信息在脫離人身之后幾乎不具有事實上的可支配性，個人不僅無力阻止未經授權的信息傳播，而且被排除在個人信息的商業(yè)交易之外，個人信息雖被界定為私有，但權利人卻無法實際支配它，法律保護效果因此大打折扣。（2）積極確權模式無法給相對人提供清晰的合規(guī)指引和行為預期。權利立法通常以抽象概念界定權利，或通過“事后諸葛亮”式的判例于事后定分止爭，這兩種確權方式都會導致權利邊界模糊，無法給相對人提供清晰穩(wěn)定的合規(guī)指引。由此導致的結果是，個人信息保護在實踐中仍停留于“叢林地帶”。

二、美歐經驗：積極確權與行為規(guī)范模式的互動

積極確權模式的內在叢林邏輯迫使人們不得不尋找更好的立法模式，行為規(guī)范模式在此背景下應運而生，其總體思路是從權利界定轉向行為規(guī)制，通過評估信息開發(fā)利用行為對個人信息主體的影響來設定行為規(guī)范，以此為信息開發(fā)利用提供合規(guī)指引并間接保護個人信息。《德國聯(lián)邦數(shù)據(jù)保護法》《美國兒童在線隱私保護法》《歐盟個人信息保護指令》以及歐盟GDPR均以大量篇幅構建信息開發(fā)利用的行為規(guī)范體系，例如信息收集利用的透明度規(guī)則、目的拘束規(guī)則等。相較于積極確權模式，行為規(guī)范的設計直接以信息收集利用行為作為規(guī)制對象，這為信息開發(fā)利用者提供了相對清晰的合規(guī)指引。但在立法技術上，行為規(guī)范的設定不可能“因案設法”，故難以精確對待樣態(tài)各異的信息開發(fā)利用行為，為平衡行為自由與權益保護的二元價值，行為規(guī)范立法不得不設置大量一般規(guī)則與例外條款，如歐盟GDPR列舉的各種適用除外和豁免事由。但即便如此，行為規(guī)范立法仍無法擺脫彈性不足的問題。在行為規(guī)范無法窮盡列舉或難以通過“原則+例外”條款進行精確的價值平衡和區(qū)別對待的領域，積極確權立法將隆重登場，彈性化的權利立法可作為兜底機制，由法院在事后針對個案情形，通過靈活解讀法益保護范圍來調整行為自由之界限，以此緩解行為規(guī)范的列舉負擔與僵化難題。

行為規(guī)范不只是行政執(zhí)法的依據(jù)，同時也為民事司法提供了裁量基準。個人信息侵權的認定離不開過錯、違法性等要件，在缺乏行為規(guī)范立法時，違法性的判斷完全由法官自由裁量，這難以為市場提供準確的行為預期。一旦有了行為規(guī)范立法，違反成文法明示的行為規(guī)范，通常可直接判定侵權法上的違法性要件的成就。這有助于加強公、私法兩種保護機制的配合，例如《德國聯(lián)邦數(shù)據(jù)保護法》中的某些行為規(guī)范在性質上已被視為《德國民法典》第823條第2款中的保護性規(guī)范，違反者，通常意味著侵權責任構成要件的成就。美國法同樣如此，聯(lián)邦法優(yōu)先原則使得普通法的隱私侵權之訴往往要優(yōu)先考慮聯(lián)邦制定法的個人信息保護規(guī)范及其被遵守情況。與此同時，清晰確定的行為規(guī)范立法在實踐中可能會因對策行為而被規(guī)避，此時侵權法又可發(fā)揮查漏補缺作用，這正是學界主張否認合規(guī)抗辯的理由，即不違反行為規(guī)范的致害行為仍可能構成侵權。

三、中國選擇：單一的行為規(guī)范模式

若以美歐的“積極確權+行為規(guī)范”模式作為參照系，中國的個人信息保護屬于單一的“行為規(guī)范”模式。這源于中國《民法典》第111條及其轉致的《網絡安全法》的內容。《民法典》第111條并未從法益保護角度確認個人信息的權利性質和法益內容，而是在宣示“個人信息受法律保護”的基本立場基礎上，從信息收集利用者一方切入，以行為約束的方式劃定了信息收集利用之界限。在行為規(guī)范的構造上，現(xiàn)行法區(qū)分信息獲取、利用、持有三個階段分別設定了相應的行為規(guī)范體系，任何信息獲取、利用、持有行為都必須遵守這些行為規(guī)范，否則屬于《民法典》第111條中的“非法”，進而成立侵權法上的違法性。

（一）信息獲取階段的行為規(guī)范：“應當依法取得”

《民法典》第111條規(guī)定“任何組織和個人需要獲取他人個人信息的，應當依法取得”，這里的“依法”必須同時滿足法定要件和約定要件。首先，法定要件可表述為“信息收集的正當且必要性規(guī)則”。但我國網絡公司大多以“為您提供更準確、更個性化的服務”這一開放理由收集多種個人信息，甚至涉及用戶身份證、頭像、定位、種族和健康信息，且往往在列舉之后以“等”字收尾。這是否符合法定要件，值得懷疑。其次，約定要件要求信息收集目的、方式、范圍必須公開透明并征得用戶同意。不透明便無自由意志可言。如何確定公開透明和知情同意的標準？依現(xiàn)行法的規(guī)定，似應以信息收集者是否履行了披露義務為標準，但一方披露不等于對方知情，且同意的質量還受到同意方式的影響。例如國際上常見的“選擇進入(opt-in)”和“選擇退出(opt-out)”方式將帶來截然不同的同意質量，這有待“個人信息保護法”加以細化。

（二）信息開發(fā)利用階段的行為規(guī)范：“不得非法……”

《民法典》第111條規(guī)定“任何組織和個人……不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”這里列舉了信息開發(fā)利用階段的行為規(guī)范，法律適用時可借助該條款中“不得非法”一詞的轉致功能，將民法典之外的個人信息保護規(guī)范導入該條款的適用軌道，以此緩解封閉式列舉的包容性不足問題。所謂“不得非法”，包括“不得違反法律法規(guī)的規(guī)定”和“不得違反雙方的約定”兩部分，前者需在“個人信息保護法”中加以細化，后者取決于當事人的約定。另外，《民法典》第111條負面列舉之外的領域，究竟屬于信息開發(fā)利用者的行為自由？還是個人信息主體的權益范圍？理論上稱之為“剩余權利配置問題”，這也有待“個人信息保護法”加以明確。

（三）信息持有階段的行為規(guī)范：“確保信息安全”

《民法典》第111條規(guī)定“任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全”。“確保信息安全”之表述確立了一項法定的安全保障義務，適用于所有持有他人個人信息之人及整個持有過程。開啟或維持特定危險之人通常也具有較強之能力來管控風險，這是安全保障義務的內在經濟理性，也是其歸責基礎所在。就個人信息而言，正是信息收集利用行為開啟并維持了信息泄露風險，個人信息所承載的各項權益內容也因此處于危險境地，安全保障義務由此產生。但安全是個相對概念，民法典僅確立了抽象意義上的安全保障義務，實踐中如何判斷義務是否履行？需根據(jù)個案情境在法益保護和行為自由之間進行權衡。我們期待正在制定的“個人信息保護法”能在這方面有所發(fā)展。

四、行為規(guī)范模式在解釋適用中的僵化問題

積極確權與行為規(guī)范模式的結構性差異，決定了兩種截然不同的法律適用邏輯。其中，積極確權模式是對個人信息的法益保護范圍做正面界定，而行為規(guī)范模式則是直接對相對人的行為自由做出限定。前者便于合理劃分法益保護范圍，后者可為信息開發(fā)利用提供相對明確的合規(guī)指引。根據(jù)這一邏輯，美歐的“積極確權+行為規(guī)范”模式有助于以彼此互動的方式為法益保護與信息開發(fā)利用之二元價值提供雙邊裁量平臺，法院可根據(jù)個案情境比較權衡涉案信息所承載的人格法益的重要性和數(shù)據(jù)開發(fā)利用價值，進而做出更靈活的判斷。相較之下，中國單一的行為規(guī)范模式雖有助于為信息開發(fā)利用行為提供相對明確的合規(guī)指引，但個人信息主體的法益保護范圍只能透過相對人的行為界限做反推，其法律適用邏輯為：凡不構成法律禁止的“非法”情形均屬信息開發(fā)利用者的行為自由。這意味著，單一的行為規(guī)范模式不僅導致個人信息的保護范圍受限，而且在保護水平上也缺乏必要的彈性，難以為敏感程度不同的個人信息提供差別化保護。

（一）不同類型個人信息的區(qū)別對待難題

現(xiàn)行法上的個人信息包括可直接識別個人身份的信息和間接識別個人身份的信息，前者主要包括姓名、身份證號、指紋等敏感性身份信息，后者既包括一般身份信息，如郵政編碼，也包括個人行為信息，如交易記錄。不同類型的個人信息所承載的人格法益和數(shù)據(jù)開發(fā)價值不同，相應的保護水平理應有所區(qū)別。敏感性身份信息因其直接表征和彰顯個人身份特質，使之蘊含重要的人格利益，現(xiàn)行法已通過具體人格權對部分身份信息提供特別保護；而行為信息只有與其它信息結合方可識別個人身份，其所承載的人格法益相對較弱，但它卻是大數(shù)據(jù)開發(fā)利用的核心資源，只有區(qū)別對待這兩類信息才能在法益保護與信息開發(fā)利用的二元價值之間維持平衡。但問題是，我們目前單一的行為規(guī)范立法難以區(qū)別對待不同類型的個人信息，差別化保護的期待因此落空。

（二）透明度的判斷標準與知情同意的質量問題

透明度規(guī)則的目的旨在保護個人信息主體的自由意志，因而透明度的判斷標準理應從個人信息主體的權益保護角度入手，以一般理性受眾在具體場景下能否知情作為判斷標準。根據(jù)現(xiàn)行法的規(guī)定，透明度的判斷只能以信息收集利用者是否履行了披露義務為標準。但一方的披露不等于對方知情，網絡公司有時確實披露了信息收集使用規(guī)則，但因冗繁的表述和專業(yè)的內容，幾乎無人有時間、能力和決心瀏覽復雜的條款。而且，不同技術條件下的同意方式也影響知情同意的質量，如默示同意和明示同意。由此導致的問題是，法律雖以保障個人信息主體知情權為目的設定透明度和知情同意規(guī)則，但立法技術上卻以信息收集利用者角度看其是否披露了信息收集使用規(guī)則，這實際上是以相對人的行為違法性評價取代了個人信息主體的法益保護評價，法律適用上已偏離立法初衷。

（三）行為規(guī)范的適用范圍問題

《民法典》的行為規(guī)范立法適用于初次收集個人信息之人自無疑問，但從前手處獲取信息之“后手”是否也需遵循同一規(guī)則？在實踐中，個人信息的交易與二次開發(fā)利用極為普遍，侵犯個人信息的行為也越來越多地從信息收集者轉向開發(fā)利用者，行為規(guī)范的適用對象自然也應向信息開發(fā)利用者擴張。此時，后手如何“依法”從前手獲取個人信息就變得意義重大。若采用積極確權立法，問題將迎刃而解。個人信息主體對個人信息所享有的權利至少在人格利益方面是一種絕對權，絕對權對一切人產生對抗效力之性質，可徹底解決權利的排他性范圍問題，不管是前手還是后手，獲取個人信息均須征得個人信息主體同意。但行為規(guī)范立法回避了個人信息的權利性質界定，由此導致權利排他性范圍的不確定。

（四）剩余權利的歸屬難題

更為棘手的問題是，行為規(guī)范立法負面列舉之外的領域，究竟屬于信息收集利用者的行為自由，還是個人信息主體的權益范圍？從《民法典》第111條的文義來看，似應理解為“不得非法……”之外的領域皆屬行為自由。畢竟，法條文義清晰地顯示，法律禁止的只是封閉式列舉所明示的行為，這恰似負面清單的管理模式，非屬列舉之事項，自然不在禁止之列。這樣一來，剩余權利被一刀切地配置給了信息收集利用者。這為信息開發(fā)利用預留了巨大空間，但個人信息主體的法益保護水平卻顯著降低。隨著信息開發(fā)利用模式的創(chuàng)新，有些看似無價值的信息資源也可能產生新的商業(yè)利用價值，各類剩余權利糾紛也將隨之產生，法律上該如何配置這些剩余權利？這需要“個人信息保護法”做出回應。在立法技術上，“個人信息保護法”要給司法預留必要的裁量空間，授權法官基于個案進行自由裁量。這正是“積極確權+行為規(guī)范”模式的靈活性優(yōu)勢。

五、中國“個人信息保護法”的發(fā)展方向

上述法律適用難題最終都歸因于一點：中國單一的行為規(guī)范立法剛性有余而彈性不足，對個人信息所承載的人格法益的保護缺乏必要的彈性空間和解釋依據(jù)。《民法典》第111條所列舉的行為規(guī)范及其引致的《網絡安全法》中的行為規(guī)范體系，只能為信息收集利用行為的“違法性”判斷提供基準，但無法為個人信息所承載的人格法益保護提供裁量平臺。這不僅導致個人信息保護水平的彈性不足，而且難以在法益保護與數(shù)據(jù)開發(fā)利用的二元價值之間進行利益權衡。相較之下，美歐的“積極確權+行為規(guī)范”模式更為靈活，權利立法通常是以抽象概念對權利內容和法益保護范圍做概括式描述，或者僅列舉權利清單，這相當于法益保護的一般條款，法官可據(jù)此獲得法益保護的解釋依據(jù)和裁量平臺。

面對紛繁復雜的個人信息類型和樣態(tài)各異的信息收集利用行為，受案法院可通過“積極確權+行為規(guī)范”的比較權衡框架，在法益保護和信息開發(fā)利用的“天平”兩端做比較權衡和相對靈活的價值判斷，從而避免在個人信息保護問題上出現(xiàn)法益保護不足或過度限制信息開發(fā)利用空間之雙重風險。從這個意義上看，中國現(xiàn)行法的核心缺陷是缺乏法益保護的裁量平臺。問題之所在，同時也是答案之所藏。由此也決定了中國正在審議的“個人信息保護法”的矯正方向：即引入“法益保護”的裁量平臺。有鑒于此，筆者建議正在審議的“個人信息保護法”明確承認“個人信息權”，為個人信息保護提供彈性化裁量平臺，以此解決我國現(xiàn)行法所存在的剛性有余而彈性不足的問題。