比較與啟示：歐盟和美國個人信息商業利用規范模式研究

摘 要：我國目前尚沒有專門的個人信息商業利用規范，比較歐盟和美國的相關規范對構建我國個人信息商業利用規范具有重要的借鑒意義。歐盟采取統一立法模式，規定了較完善的個人信息權利，信息利用者有主動保護個人信息權利的義務，設立專門的監管機構負責監管;美國則采取分散立法與行業自律相結合模式，沒有明確個人信息權利，其認為保護個人信息并非一概是信息利用者的義務，也未設置統一的監管機構。歐盟模式和美國模式各有所長，我國在構建個人信息商業利用規范時，應當揚長避短，采取立法與自律相結合的模式，借鑒歐盟模式明確個人信息權利，靈活設置信息利用者的風險控制義務、告知義務等，設立專門的監管機構，實現個人信息保護與信息利用的利益平衡。

關鍵詞：自律模式;個人信息權利;類型化規范;監管機制

中圖分類號：D913??????? 文獻標識碼：A? ? ? ?文章編號：1673-8268（2019）04-0044-10

隨著大數據時代個人信息商業利用的日漸頻繁，信息主體個人利益與信息利用者商業利益的矛盾與日俱增，現行的法律制度越來越不符合實際需要。在這樣一個全球化的時代，世界各國面臨著共同的難題，各國在制定個人信息商業利用規范的過程中，都希望參考其他國家是如何解決類似問題的。本文旨在考察歐盟和美國個人信息商業利用法律規范，尋求借鑒之道。

一、歐盟個人信息商業利用規范

歐盟是最早關注個人信息保護的區域性組織之一。歐盟1995年《數據保護指令》對個人數據的保護和流動進行了全面規定，但未明確個人在個人數據上享有的權利性質是否獨立于隱私權。2016年5月4日正式發布的歐盟《一般數據保護條例》第1條第2款明確用“個人數據權”取代“隱私權”的表述，標志著一般意義上個人信息權的立法確認。

（一）1995年歐盟《數據保護指令》

為進一步提高歐洲個人信息保護法律的統一程度，1995年，歐盟正式頒布《數據保護指令》（以下簡稱《指令》），各成員國可以根據該《指令》規定的下限制定更高的標準[1]。

《指令》規定信息主體的權利包括：（1）查詢權、更改權、清除權。《指令》第12條規定，不受每隔一段合理時間的約束，無需過度的延遲和費用，信息主體有權查詢個人信息，在信息處理不符合《指令》的規定時，信息主體有權要求適當地更改或清除。（2）拒絕使用權。《指令》第14條規定，信息主體有權拒絕對個人信息進行處理和利用，包括以直銷為目的的使用。（3）自主決定權。《指令》第15條規定，成員國應當賦予每個人不接受會對其產生法律影響或者顯著影響本人的決定，以及僅僅依靠自動數據處理來進行評價個人特征（諸如工作表現、信任感、可靠性、行為等）的決定的自主權。（4）獲得救濟的權利。《指令》第23條規定，非法使用他人個人信息給信息主體造成損害，受害人有權從數據控制人處獲得相應賠償，但信息利用者能夠證明其不應負責任時，可以減輕或免除其責任。

《指令》著重規范的個人信息利用者的義務包括：（1）合法性義務。只有符合法定條件，信息利用者才可以利用他人的個人信息，包括數據主體的同意、為履行合同的需要等幾種情形。（2）保證數據質量義務。信息利用者必須采取合理措施保證數據準確、完整、新穎。（3）告知義務。信息利用者應當向信息主體告知其身份、利用目的、不同意利用的后果、信息主體的權利等。（4）禁止利用敏感信息的義務。禁止利用種族、政治觀點、性生活等敏感信息。

《指令》設置了專門的行政機構，包括歐洲信息保護監督局、歐洲委員會信息保護官及信息保護局，這些行政機構為歐盟個人信息商業利用規范的實施奠定了實體基礎[2]。

（二）2016年歐盟《一般數據保護條例》

1995年的《指令》在歐盟國家實施中逐漸出現一些亟需解決的問題。第一，各個成員國實施《指令》時擁有較大的選擇權利，個人信息保護制度出現參差不齊的現象，實施效果較差。第二，1995年的《指令》不能適應信息時代的新挑戰。該《指令》是在互聯網發展初級階段制定的，隨著社交網站、云計算、定位服務、大數據等計算機技術的發展，個人信息的處理速度增快、利用方式多樣，《指令》已經不能應對企業對個人數據收集和利用能力強化、信息主體對個人數據控制能力弱化的現狀。基于這兩方面的考慮，歐盟認為有必要對數據利用規則進行修訂，以推進歐洲數據利用規范的統一，在確保個人數據得到充分保護的前提下最大限度地促進數據利用。

2016年4月8日，歐洲理事會和歐洲議會表決通過《關于個人信息處理保護及個人信息自由傳輸的條例》，簡稱為歐盟《一般數據保護條例》（GDPR），于2018年5月25日正式生效實施。GDPR無須歐盟成員國轉化為國內法，可以直接適用于歐盟范圍內的公民和企業。歐盟《一般數據保護條例》建立了歐盟范圍內統一的個人信息保護和利用規則，提高了歐盟范圍信息利用和流通的效率[2]。

2016年，GDPR進一步完善和細化了信息主體的權利，全面保障信息主體對個人信息的控制權。GDPR明確規定知情權、查詢權、修改權、刪除權、許可同意權、可攜權等，尤其強調以下權利：（1）許可同意權。GDPR第7條規定，信息主體有權許可同意他人利用個人信息，也可以撤銷許可，許可不具有溯及力，同意必須是明確的意思表示，不能是沉默或默示方式。第8條對兒童個人信息的同意做出了特殊規定，使用未滿16歲兒童的個人信息必須征得監護人的同意。（2）查詢權。GDPR第15條規定，信息主體有權查詢利用者是否利用個人信息、利用的目的、信息種類和內容、是否共享給他人、存儲期限等，并改變1995年《指令》查詢收費的規定，僅僅在特殊情形下收取一定的費用。（3）可移轉權。GDPR第20條規定，信息主體有權獲取并轉移個人信息，以增強個人信息控制權。（4）被遺忘權。GDPR第17條首次明確規定被遺忘權，信息主體有權請求信息利用者刪除個人信息，并規定基于公共利益而限制被遺忘權行使。GDPR規定信息主體行使上述權利時，信息利用者有在法定期限內答復的義務。

GDPR進一步擴大并完善了信息控制者的義務。（1）區分風險等級的風險控制義務。較高風險情形下，信息利用者要承擔信息泄露通知和報告義務、事前影響評估義務、向信息保護局咨詢義務（GDPR第34條、第35條、第36條），而一般風險和較低風險情形下，信息利用者承擔的風險控制義務較輕，以避免給非高風險利用者施加過重的負擔，促進個人信息的商業利用。（2）告知義務。GDPR第19條、第33條、第34條規定，信息控制者向信息主體履行告知義務。但是，信息泄露風險較低時除外。此外，依據個人信息類型靈活確定敏感信息的處理規則。GDPR第9條第1款對特殊類型個人數據的處理進行了更加合理的分類規范，以保護其中的個人隱私與自由。

GDPR還規定了嚴格的執行監督機制和完善的權利救濟措施。第一，加強數據保護監管機構的執法權力。GDPR專設第六章“獨立的監管機構”，對監管機構的設立、地位、程序性規定、職責與權力等方面進行了詳細的規定。第二，確立數據保護專員制度。根據GDPR第37條規定，處理和利用大范圍的敏感信息時，數據控制者與處理者應當指定一名數據保護專員。第三，規定較完善的救濟機制。依據GDPR第82條，信息主體享有向數據控制者或處理者索賠的權利。GDPR第79條規定，信息主體享有向法院起訴數據控制者或者數據處理者的司法救濟權;第80條規定建立公益訴訟制度，歐盟成員國可以授予某些公益組織代表信息主體主張合法權益。GDPR的立法趨勢是不斷加強對數據主體權利的保護，不斷細化對數據控制者義務與行為規范的規定，以實現個人權利保護與數據有序自由流通的宗旨。

除了1995年的《數據保護指令》和2016年的GDPR之外，歐盟還針對電信業、數據保存做了特別規定。2002年的《隱私與電子通訊指令》規定，電信企業應當采取適當措施保障用戶信息安全，尊重用戶對話費清單、主叫號碼、姓名等個人信息享有的權利，只有征得用戶同意才能對其個人信息進行商業利用，如撥打廣告電話和發送廣告傳真。2006年歐盟通過的《數據保存指令》主要規定電信企業留存數據的義務，各國決定數據留存的期限在六個月到二十四個月之間[3]。

二、美國個人信息商業利用規范

（一）基礎原則

美國“健康、教育和福利部”于1973年完成了題為《電腦、記錄與公民的權利》的報告，在該報告中第一次提出了《信息正當運用原則》（Fair Information Principles）。依據《信息正當運用原則》，信息利用者只能為合法目的收集個人信息，使用的個人信息必須正確、完整，信息主體有權接觸、質疑和改正信息，個人信息不被隨意改變和泄露[4]。這些原則包括公開原則、個人參與原則、收集限制原則、數據質量原則、終極原則、安全原則、責任原則，上述原則被體現在美國1974年的《隱私法》[5]中。

（二）立法體系

美國個人信息保護立法體系由1974年通過的《隱私法》以及一些特殊領域的一系列專門法律規范所構成。1974年的《隱私法》是美國保護隱私權的基本法，規制行政機關使用個人信息的行為，防止行政機關濫用行政權力侵犯個人隱私。除了聯邦立法外，美國有超過40個州制定了州隱私保護法。美國針對商業機構進行個人信息商業利用的立法，主要體現在《公平信用報告法》《電子通訊隱私法》《全球電子商務框架》等分散立法中。

美國針對個人信息商業利用的立法，主要在金融、消費者保護、互聯網和通信、教育等領域進行。第一，金融領域的立法。1970年公布的《公平信用報告法》是美國個人數據保護立法的開端。依據該法，信用報告機構只有征得消費者同意才可以披露信用報告，但是為消費信用貸款等合法目的可以直接披露報告。1999年的《金融服務現代化法》規定了消費者同意個人信息共享給他人的必要條件。第二，消費者保護領域的立法。1988年的《錄像帶隱私保護法》原則上禁止經營者披露客戶信息，但是允許經營者轉讓根據租借類型分類的客戶名單，客戶有權拒絕參與這個名單。1994年的《有線電視消費者保護和競爭法》規定，消費者同意是有線電視系統收集個人信息的必要條件。但該法允許轉讓消費者名單，消費者有機會拒絕參與這個名單。1994年的《駕駛員隱私保護法》要求信息主體授權是州交通部門轉讓駕駛員個人信息的前提。第三，教育領域的立法。1974年的《家庭教育權和隱私法》規定，教育機構未經未成年學生家長的書面同意或成年學生本人的同意，不得披露學生的個人信息。第四，互聯網和通信領域的立法。1986年的《電子通信隱私法》適應通訊技術的迅猛發展，目的在于禁止未經授權的第三方截取或泄露個人通訊信息。1988年的《電腦比對和隱私保護法》，規范利用個人識別方法匹配關于同一個人的信息的行為。1991年的《電話用戶保護法》原則上禁止未經電話用戶同意發送語音信息[6]。1998年的《兒童網上隱私保護法》針對美國部分網站收集和分析兒童個人信息的行為，強制要求網站告知隱私政策，并且征得13歲以下未成年人家長的同意。針對網絡活動和通信服務的，還有1984年的《電纜通訊法》、1986年的《電子通信隱私法》、1996年的《電訊法》等。

（三）行業自律機制

在美國，除了個別領域的立法之外，行業或企業內部也制定行為規范以保護個人信息。例如，美國頒布的《金融隱私法》規范政府機關利用個人金融信息，銀行對個人信息的商業利用主要依據銀行的行業規范[7]。美國政府尊重行業的自律規范，而不是通過立法一刀切地規范信息利用行為。創立于美國的行業組織有美國計算機學會、DPMA、ICCP。實踐中，1977年，美國直銷商協會建立了郵件選擇系統，該系統允許顧客向一個服務中心發出通知，不再接受直郵廣告。此外，微軟、IBM等公司成立非盈利性機構TRUSTe，商業改進局（Better Business Bureau，BBB）下成立了BBB Online。盡管上述系統還存在諸多不足，但是美國民間行業組織仍然在為個人信息行業自律不斷探索新的模式。

美國政府鼓勵自由競爭，發展行業自律，民事領域產生的問題盡可能依靠市場調節解決，避免對市場造成不適當的限制，促使各行各業自律組織不斷發展[8]。美國立法者認為信息利用者能夠自我約束，實現保護個人信息的目的。一方面，云計算、大數據、人工智能等信息科技處于飛速發展中，行業自律可以避免國家過早立法限制信息科技的利用;另一方面，不同的行業對個人信息的收集與處理是不同的，行業自律可以增強個人信息保護的針對性。

行業自律與立法模式相較而言，弊端亦是很明顯的。第一，欠缺強制執行力。行業自律組織不具有強制執行力，網絡隱私認證計劃（online privacy seal program）中的認證機構雖具有審查權，但那只是基于認證協議的規定，不具有強制執行的效力[9]。行業自律規范無最終的司法救濟機制，行業規范通常不被作為裁判的依據。另外，糾紛解決機制和解決程序均有待明確。第二，信息利用企業自愿參加行業自律組織導致參與的企業有限。雖然許多注重行業自律的大企業自愿參與行業自律協會，但是仍然有不少小企業為了降低經營成本不愿參與行業自律，實際上導致行業自律模式的普遍性不強。第三，對個人信息保護的實效不大。由于行業自律規范欠缺強制性，信息利用者在信息安全管理上所投入的精力和費用實際不大，個人信息保護實效不明顯[10]。第四，對信息主體的賠償救濟機制不足。行業自律實質是信息利用者的內部自我管理，最高處罰就是取消資格認證，缺乏對信息主體的賠償與救濟。對信息主體而言，這種模式無法替代立法模式下的司法救濟機制。正因為如此，美國采取立法與行業自律相結合的方式。

三、歐盟和美國個人信息商業利用規范比較

通過考察歐盟和美國個人信息商業利用規范，筆者發現上述規范有較多的共同之處，表現在：第一，立法追求趨同。歐盟2016年的GDPR和美國法都是以實現個人信息保護與信息自由利用的平衡為價值目標，過于片面地強調個人信息保護或信息利用都是不足取的。第二，基本原則趨同。歐盟2016年的GDPR規定個人信息商業利用的基本原則包括收集限制原則、直接原則、數據質量原則、目的特定原則、數據安全原則、個人參與原則、責任原則等。盡管美國采取分散立法模式，但其1973年的《信息正當運用原則》規定的個人信息商業利用的原則包括公開原則、個人參與原則、收集限制原則、數據質量原則、安全原則、責任原則。可見，個人信息商業利用規范在宏觀價值追求和基本原則方面表現出明顯的趨同性。但是，在規范模式、信息主體權利基礎、信息利用者的義務、監管模式與法律責任方面尚有明顯區別。

（一）規范模式

個人信息商業利用的規范模式包括立法模式和自律模式，大多數國家采取立法模式和自律模式相結合的規范模式，如歐盟采取立法模式為主、自律模式為輔的規范模式，美國則采取立法模式與自律模式并重的規范模式。美國沒有統一的個人信息商業利用法律規范，只有針對國家機關利用個人信息的統一規范，即《隱私法》，在金融、消費者保護、電信、教育等領域對個人信息分散立法。歐盟模式的核心特點是以統一立法模式為主、自律模式為輔，美國模式則針對不同領域制定單行法，并且結合行業自律來規范個人信息利用行為，其核心特點是分散立法與自律并重的模式。針對商業機構，美國主要是通過行業或者企業的自律來實現個人信息保護與利用的平衡。

統一立法模式的優勢是運用國家強制力保證法律實施的權威性和穩定性，統一立法能保證各部門、各行業的制度統一與協調，不足之處是欠缺靈活性、實施成本較大。分散立法模式則能結合各自行業的特點有針對性地立法，不足之處是各部門立法之間容易出現難以協調的沖突。自律模式逐漸成為當前各國個人信息保護采用的模式之一，是由行業或企業制定行為規章或行為指引督促信息利用者主動保護個人信息的模式，如美國在線隱私聯盟（OPA）、歐盟“EuroPriSe隱私標識計劃”等。美國是采取自律模式的典型代表，自律模式的特點是政府主導與企業相配合，而不是完全由企業隨意自律。自律模式的優勢是各行業制定適用于本領域的政策并靈活調整，通過認證等行為指引手段督促企業主動保護個人信息，可以根據行業特點“量體裁衣”，減少執法成本，作為內生規范更容易得到遵守，避免國家過早立法限制信息科技在社會的應用。不足之處是欠缺強制性，實施效果不佳，以自愿為前提容易被排除適用;信息主體賠償請求得不到滿足;信息主體的財產權益得不到承認和保障[11]。行業自律規范容易淪為引起交易雙方利益失衡的“不完全契約”，商家自擬的隱私聲明通常是格式條款，商家在格式條款中片面考慮單方的利益，不嚴格履行格式條款的約定，自律機制很容易流于形式[12]478-479。而大多數國家在立法進程中不斷融合兩種典型模式的優勢形成折衷模式，如日本兼收并蓄地吸收歐盟統一立法模式與美國自律模式的優勢形成自己的特色。正因為自律模式存在的這些弊端，美國也沒有完全放棄立法規制，如《兒童在線隱私保護法》對兒童個人信息利用行為進行立法規制。

（二）信息主體權利基礎

大數據時代背景下，信息利用已經成為促進經濟創新發展的必要方面，但是仍然以保護信息主體的權利為前提。歐盟模式采取“個人權利本位”，規定了較完善的個人信息權利。歐盟法確認個人信息權的絕對權性質，規定較為完善的個人信息權內容。歐盟對個人信息權利規定了最低標準，2016年，歐盟的GDPR直接適用于歐盟內各企業，保證個人信息利用規范在歐盟內的統一，并促進歐盟內成員國之間的信息利用與自由流通。因此，歐盟模式側重規定信息主體的個人信息權利，包括查詢權、修改權、刪除權、反對權、自主決定權等權利。歐盟2016年的GDPR第1條規定：“本法就對與個人數據的處理相關的自然人的保護及個人數據的自由流動訂立規則。”因此，即使采取“權利本位”的歐盟及成員國也并未否定信息利用的價值追求。歐盟2016年的GDPR規定個人信息權利時，為了避免加重信息利用者的義務負擔、阻礙經濟的發展，對信息利用者按照信息利用的不同風險設置不同的義務規范。而美國僅僅在對抗國家機關隨意收集、利用個人信息時，才承認信息主體的基本人權;在商業利用情形中，更加強調信息流通與利用，擔心制定統一立法可能制約行業的發展。因此，美國模式只是規制商業機構濫用個人信息的行為，在鼓勵個人信息商業利用的背景下保護個人信息，信息主體的權利與商業機構的信息利用利益同樣受到重視。美國模式通過規定信息利用者的義務劃定信息利用行為的合法邊界，不違反義務性規定的信息利用行為都是合法的。美國法沒有確認個人信息權的絕對權地位，而是在鼓勵數據交易的基礎上規制個人信息濫用的行為。綜上，歐盟明確規定信息主體的各項權利，是典型的直接規范模式;而美國則是通過規制商業機構濫用個人信息的行為對個人信息進行間接保護，是典型的間接規范模式。

歐盟直接規范模式與美國間接規范模式形成鮮明對比，不僅僅體現在是否明確規定信息主體的個人信息權，還體現在個人信息保護與信息利用二者的價值順位上。例如，歐盟和美國對于信息主體怠于做出明確同意的意思表示時的后果不同，歐盟由于規定了信息主體的知情同意權，如果信息主體沒有做出明確同意個人信息可以被商業利用的意思表示，信息利用者則不得使用個人信息，以保護信息主體的個人信息權;而美國則不同，如果信息主體沒有做出明確同意使用的意思表示，則推定商家有利用個人信息的權利，如果信息主體想行使拒絕權還必須支付相應的費用。由此觀之，美國模式下個人信息商業利用規范的第一位價值目標是促進信息自由利用，兼顧信息主體的權利。歐盟則是以個人信息保護作為第一位價值目標，兼顧信息利用與流通。

值得關注的是，歐盟法對個人信息權利的認可開始出現財產權趨向。歐盟法不僅確認信息主體的人格權，而且表現出確認財產權的趨勢，例如信息主體享有的同意權和刪除權，意味著信息主體對個人信息享有終止許可使用的權利，信息利用者因此可能承受一定的財產負擔。信息主體的這種權利不僅約束許可利用合同中的利用者，還約束接觸到個人信息的第三方，表現出財產權的絕對權性質。美國法雖然沒有立法確認個人信息財產權，但是在判例中確認信息主體對其基因信息享有財產收益權參見Moore v. Regents of the University of California，793P .2d 479 （Cal. 1990）。。

（三）信息利用者的義務

國際組織制定的個人信息商業利用規范實質是信息利用者的義務性規范，一般包括限制使用義務、合法性義務、保證數據質量義務、告知義務、保護數據安全等。值得一提的是，歐盟2016年的GDPR強化對敏感信息的風險控制處理，并規定不同風險等級下的風險控制義務，而不是一刀切的風險控制義務。一般風險和較低風險下信息利用者承擔的風險控制義務較輕，以避免給非高風險利用者施加過重的負擔，從而促進個人信息的商業利用。如何判斷個人信息利用風險，GDPR沒有明確規定。商業實踐證明，個人信息類型、信息利用的方式等因素都可能導致不同風險，敏感信息風險高于一般個人信息風險，身份識別為目的的利用風險高于非身份識別為目的的利用風險。即使同為敏感信息，GDPR第9條對特殊類型個人數據的處理進行了更加合理的分類規范。種族或民族起源、政治觀點、宗教信仰、哲學信仰、工會成員資格等個人信息可以被處理但不得被泄露，個人基因數據、生物特征數據可以進行非身份識別的處理，健康數據、性生活、性取向等相關數據則完全被禁止處理。基于不同風險等級的信息利用情形，信息利用者所承擔的義務不同，這是歐盟改變傳統“權利本位”模式下信息利用者義務過重弊端的最大亮點。

美國對個人信息商業利用更多采取自律模式，信息主體有義務了解信息利用條款，并按照信息利用者制定的程序和格式條款進行選擇。如果信息主體不積極行使自己的權利，信息利用者沒有義務保護信息主體的權益。美國自律模式下，是否加入行業認證計劃取決于信息利用者，有很多企業沒有選擇加入，而且其所設的義務沒有強制性，對信息主體的保護效果大打折扣。換言之，歐盟模式下，信息利用者有主動保護信息主體個人信息權利的義務;美國模式下，很多情形下保護個人信息權是信息主體自己的義務，而非一概是信息利用者的義務。

（四）監管機制

歐盟注重事前預防，設立專門的監管機構負責監管個人信息利用行為。2016年的GDPR規定，在非公務機關核心業務涉及大規模敏感數據的處理時，或成員國法律明確要求的情形中，數據控制者與處理者必須指定一名數據保護專員監督本企業的數據利用行為，并非要求所有數據利用企業都設立數據保護專員。歐盟對企業設置數據保護專員是根據風險等級做出不同規范的表現，歐盟這一模式可謂統一監管與自律監管相結合。美國模式主張通過信息利用者的自律實現信息安全，不設置統一的專門監督機構，這種監管模式不利于美國自律規范的有效實施。

四、對我國構建個人信息商業利用規范的啟示

域外法考察的最終目的是借鑒他國的先進理念，為我國個人信息商業利用規范提供參考。歐盟模式和美國模式各有特色與利弊，對我國制定個人信息商業利用規范有以下啟示。

（一）規范模式

首先，統一立法。我國的行業組織不具有如美國行業組織所具有的法律地位，而且行業自律不具有強制性，統一立法能夠實現司法裁判的統一，因此統一立法仍然應當是個人信息商業利用規范的主要方面。大數據時代，市場經營者數據利用程度較高，可能通過濫用個人信息侵害信息主體的生活安寧、就業機會、財產權益等。我國刑法中新設的非法收集、泄露公民個人信息罪的主體既可以是國家機關，也可以是市場經營者。《消費者權益保護法》也已經加入了經營者保護消費者個人信息權的相關條款。從現實需求的角度出發，我國將來制定的個人信息保護法應當同時規范公權力機關和市場經營者的信息利用行為。但是，為了避免出現部門立法不一、協調困難的后果，我國應當借鑒美國國家機關與商業機構的分別立法模式，制定專門的個人信息商業利用法律規范，區別于國家機關的信息利用規范。

其次，分散立法。隨著互聯網、云計算、傳感器、物聯網、大數據、人工智能等信息技術的不斷發展，個人信息商業利用模式也在不斷推陳出新，過于穩定不變的統一立法不利于信息處理行業利用先進技術實現創新發展。分散立法具有較強的針對性，如工信部可以制定專門適用于電信企業的商業利用規范，以區別于商業銀行個人信息商業利用規范，實現分散立法的針對性和靈活性。我國當前的立法現狀就是分散立法模式，在統一立法出臺之前，其將繼續發揮規制個人信息濫用、保護個人信息的功能。統一立法出臺之后，《征信業管理條例》《網絡安全法》等領域法與統一立法不一致之處應當被修改，但分散立法可以保留不違反統一立法基本原則、適用于本行業信息利用的特殊規范，如醫療行業規范可以對健康信息商業利用行為制定更嚴格的保護與利用規則。但是，為了避免各領域分散立法可能導致的司法不統一，司法機關應當以統一立法為最低的裁判標準。

最后，行業自律。雖然我國的行業自律組織還有待完善，但是對于新技術革命帶來的社會變革，統一立法和分散立法都顯得過于滯后，行業自律規范作為立法不足的補充規范意義重大。而且，行業自律模式具有其他立法模式無法企及的靈活性。各行業可以根據行業特點適用不同的自律方式，以網絡行業為例，行業自律的要素可以包括：（1）網站隱私權保護政策，確立業界自我基本保護標準，自我規范和約束，明確信息收集的目的、方式、用途，以及用戶權利、安全保障措施、網站免責條款等;（2）自律保護組織，加強機制保障，賦予保護組織制定隱私權規劃和保護標準，明確政策、行為規范和保護措施，監督、檢查和處理投訴等的權利義務;（3）達標認證和監督機構，加強動態監督，規定審核、評估、認證標志發放、監督的具體機制等;（4）技術軟件研發，開展技術研發，提供技術后盾，明確隱私政策技術的標準，規定技術研發的激勵措施等[13]。例如，2013年12月28日，微信海外版及其網站獲得數據隱私管理（DPM）公司TRUSTe的認證[14]。信息主體更愿意利用微信平臺，信息供給的充足又促進騰訊對個人信息的商業利用。由民間認證評級機構對企業的個人信息保護政策進行認證測評，亦能督促信息利用者主動保護個人信息。例如，2017年8月16日，北京大學互聯網法律中心發布的《互聯網企業個人信息保護抽樣測評報告（2017）》以隱私政策所體現對個人信息的保護進行測評[15]。由于行業自律不具有強制性，實施效果可能會受影響，我國可以借鑒日本模式對行業自律設立專門的監管機構，對行業自律進行引導和監管。例如，從2017年7月26日起，中央網信辦等四個國家相關主管部門開展“個人信息保護提升行動”，開始對微信、淘寶等十款網絡產品和服務的隱私條款進行評審，重點內容包括是否明確告知使用個人信息的規則等。國家統一監管之下的行業自律，可以實現自發性與強制性的統一。

綜上，我國個人信息商業利用規范應當采取統一立法、領域立法、行業自律三個層次的規范模式。即在專門的個人信息保護法中對商業機構個人信息利用的共同規范專門設章節進行統一規范，而且依據醫院、銀行、保險、電信、電子商務等各領域的特點制定適用各自領域的個人信息商業利用規范，同時輔之以行業認證、自律政策等自律規范。

（二）個人信息權利基礎

美國以隱私權作為個人信息保護的權利基礎。但是，隨著數據經濟的日益發展，美國越來越注重立足信息利用對促進經濟發展的重要意義。為了兼顧信息利用者的合理需求，避免因個人信息保護對經濟運行造成不合比例的負擔，美國法對隱私權保護模式盡可能進行變通處理，以實現信息利用與個人信息保護之間的平衡。盡管在個人信息商業利用背景下，靜態防御性的隱私權被發展為信息自決的信息隱私權，信息主體可以授權信息利用者對個人信息進行商業利用。但是，信息隱私權的行使以信息主體明確表示不同意信息利用者利用個人信息為要件，否則該法推定信息主體同意信息利用者的使用行為[12]251。由此可見，美國法并沒有確定絕對的信息隱私權。美國法以信息自由作為規范的價值基礎，美國始終沒有出臺統一的個人信息保護立法，沒有明確個人信息權利，也未能設立統一的獨立監督機構。

歐盟國家以保護個人信息權利作為規范個人信息商業利用行為的基礎。1995年的歐盟《指令》確立了個人信息權利，并設置專門機構監管信息利用行為。2016年的歐盟GDPR繼續保持確立個人信息權利并予以嚴格的法律保護。歐盟從人權保護觀念的角度來規范個人信息商業利用行為，將個人信息權提升到基本權利的高度;從人格權角度確認個人信息權，包括訪問權、刪除權、反對權等。同時，歐盟GDPR規定信息主體享有對個人信息的許可同意權、刪除權，表明歐盟法有賦予信息主體財產權的趨勢。

我國是否應當以美國隱私權、歐盟個人信息權作為權利基礎值得進一步分析。隱私權的內涵和外延難以界定，在美國實際上承擔著一般人格權的功能，需要在具體個案中考察是否侵害隱私，內涵和外延的模糊性不利于信息主體的權益保護。在商業利用規范中，美國通過分散立法和自律模式規制個人信息濫用行為，并未對個人信息權進行確認。歐盟模式則恰恰與之相反，明確規定查詢權、修改權、許可同意權、被遺忘權、轉移權等。保護個人信息是個人信息商業利用的前提，信息利用者收集、處理個人信息的能力遠遠超過信息主體本人，我國應當借鑒歐盟模式確認信息主體的個人信息權利，防范信息利用者將保護個人信息的義務轉嫁給信息主體。只有確認個人信息權，才能保障查詢權、修改權、刪除權、知情權等權利得以實現，這些權利的實現有賴于信息利用者履行積極協助的義務。

此外，各國個人信息保護法中對于信息主體的查詢權、修改權、知情權、保持信息完整權、刪除權等權能的規定基本趨同，值得我國參考借鑒。遺憾的是，大多數國家個人信息保護法雖然強調個人信息控制權，但是并未認識到大數據的市場價值，沒有明確個人信息控制權中的財產權內涵，沒有直接認可信息主體的財產權。歐盟2016年的GDPR中的同意權、刪除權雖然有財產權保護趨勢，但是并未全面規定信息主體的財產權。大數據時代，個人信息的商業利用如此頻繁，毋庸置疑，個人信息中承載著財產利益，但是如何對財產利益進行法律確認，值得我國個人信息保護立法時慎重考慮。

（三）類型化規范

國際組織及各國個人信息保護法律中確立的收集、使用個人信息的基本原則值得借鑒，尤其是告知同意原則、目的限制原則、安全保護原則、必要性原則。歐盟法將個人信息利用活動產生的風險分為不同等級，不同風險等級下信息利用者的風險控制義務不同，以實現個人信息保護與信息自由利用的平衡。為促進個人信息的商業利用，歐盟還對敏感信息的處理利用做了類型化規定，敏感信息并非一概禁止商業利用。美國區分敏感信息與非敏感信息，對兒童信息等敏感信息進行特殊保護[16]。美國法規定的信息利用者義務不僅僅是為保護個人信息權利而設，更多的是兼顧信息隱私權和信息利用者利益，運用“法不禁止即自由”理論允許義務規范之外的信息利用行為，很多規范都規定信息主體承擔保護個人信息的義務，而不是信息利用者承擔該項義務。歐盟和美國都運用類型化方法規范個人信息商業利用行為，但是個人信息的合理類型、不同類型的個人信息許可利用模式和保護模式尚缺乏詳細的類型化規范。綜上，我國構建個人信息商業利用規范時應當借鑒和參考國外的類型化方法，合理確定個人信息的類型，并根據個人信息的不同類型和商業利用的不同情形設置不同的許可利用模式和保護模式。

（四）監管和法律責任

自律模式下的美國沒有獨立的監管機構，難免出現信息利用者不嚴格按照行業行為規則履行義務、侵害信息主體權益的行為。歐盟則建立了專門的監督機構，監管信息利用行為。我國應當仿效歐盟，設置專職機關，統籌個人資料保護法律的落實，對個人信息商業利用行為和行業自律實施全面監控，提高執法效率，促使個人信息得到有效保護。美國對個人信息侵害行為規定了刑事、行政、民事責任，其中的侵權損害賠償歸責原則、損害賠償數額確定等制度值得借鑒。

總之，我國構建個人信息商業利用規范時要廣泛吸取當前其他國家和地區個人信息保護立法和實踐的經驗，找出不同模式的不足與優勢，借鑒先進制度，并充分重視我國的實際情況，為我國規范個人信息商業利用行為提供充分有效的法律依據。我國應當兼采歐盟模式和美國模式之長，采取統一立法、分散立法、自律相結合的規范模式，個人信息商業利用規范應當區別于國家機關信息利用規范，尤其是借鑒美國法通過行業自律保護個人信息、促進信息自由利用;借鑒歐盟完善的個人信息權利體系，堅持個人信息權、人格權和財產權的雙重保護。值得注意的是，單個的個人信息并沒有明顯的財產屬性，但是大數據時代個人信息被商業利用時則凸顯其財產屬性，信息主體有權請求信息利用者支付報酬，但這并不影響信息利用者享有基于個人信息加工后產生的衍生數據的財產權。同時，立法者需要處理好個人信息利用中信息主體與信息利用者之間權利義務的分配，例如，披露匿名化數據的數據控制者仍然要承擔一定的義務，“以更好地保護數據主體的個人信息”[17];依據風險等級靈活設置信息利用者的義務，而不是一味給信息利用者增加過重負擔，以促進信息利用與企業發展。借鑒歐盟模式，設立獨立的個人信息商業利用的監管機構，發生侵害個人信息行為時允許權利人通過司法途徑尋求救濟。

參考文獻：

[1] 蔣坡.個人數據信息的法律保護[M].北京：中國政法大學出版社，2008：33.

[2] 劉云.歐洲個人信息保護法的發展歷程及其改革創新[J].暨南學報（哲學社會科學版），2017（2）：72-84.

[3] 洪海林.個人信息的民法保護研究[M].北京：法律出版社，2010：92-93.

[4] 阿麗塔·艾倫，理查德·托克音頓.美國隱私法——學說、判例與立法[M].馮建妹，石宏，郝倩，等譯.北京：中國民主法制出版社，2004：212.

[5] HEISENBERG D. Negotiating Privacy： The European Union，the United States and Personal Data Protection[M]. London： Lynne Rienner Publishers Inc.，2005：33-34.

[6] 郭瑜.個人數據保護法研究[M].北京：北京大學出版社，2012：50-53.

[7] 陳起行.資訊隱私權法理探討——以美國法為中心[J].政大法學評論，2000（64）：297-341.

[8] 郎慶斌.國外個人信息保護模式研究[J].信息技術與標準化，2012（1）：22-24.

[9] 王忠.大數據時代個人數據隱私規制[M].北京：社會科學文獻出版社，2014：48.

[10]齊愛民.大數據時代個人信息保護法國際比較研究[M].北京：法律出版社，2015：90-91.

[11]齊愛民.個人信息保護法研究[J].河北法學，2008（4）：23-25.

[12]張民安.美國當代隱私權研究——美國隱私權的界定、類型、基礎以及分析方法[M].廣州：中山大學出版社，2013.

[13]錢力，譚金可.“互聯網+”時代網絡隱私權保護立法的完善[J].中國流通經濟，2015（12）：113-118.

[14]微信海外版獲TRUSTe安全認證[EB/OL].（2013-12-28）[2019-01-25].

http：//tech.qq.com/a/20131228/005589.htm.

[15]張瑤，劉小米.北大發布個人信息保護測評報告 互聯網企業得分普遍偏低[EB/OL].（2017-08-17）[2019-01-26].http：//news.163.com/17/0817/19/CS2J4MN400018AOR.html.

[16]龍衛球.數據新型財產權構建及其體系研究[J].政法論壇，2017（4）：63-77.

[17]張晨原.數據匿名化處理的法律規制[J].重慶郵電大學學報（社會科學版），2017（6）：57.

Comparison and Enlightenment： Research on the Normative Modes of

Commercial Utilization of Personal Information in the EU and the US

XIANG Dingyi1，2

（1.School of Humanities and Law， Northeast Forestry University， Harbin 150040， China;

2.School of Law， East China University of Political Science and Law， Shanghai 200042， China）

Abstract：

At present， there is no special specification for the commercial use of personal information in China. Comparing the relevant norms of European Union and USA has important reference significance for the construction of personal information commercial utilization norms in China. The European Union adopts a unified legislative model， which stipulates relatively sound personal information rights. EU law stipulates that information users have the obligation to actively protect personal information rights， and it sets up special regulatory bodies to supervise them. The United States adopts a decentralized legislative model combined with industry self-discipline， without defining personal information rights. In America， information users dont have the obligation to protect personal information absolutely without a unified regulatory body. The European Union model and the American model have their own advantages. When we construct the norms for the commercial use of personal information， we should make best use of the advantages and bypass the disadvantages and adopt the model of combining legislation with self-regulation. We should draw lessons from the European Union model， for instance， clarifying the rights of personal information， flexibly setting up the risk controlling and notification obligations of information users and establishing special regulatory bodies， to realize the balance of interests between personal information protection and information utilization.

Keywords：

self-discipline model; personal information right; typological norm; regulatory mechanism

（編輯：劉仲秋）

收稿日期：2019-04-01

基金項目：教育部人文社會科學青年項目：大數據時代信息共享與個人信息保護的利益平衡機制研究（17YJC820056）

作者簡介：

項定宜（1980-），女，湖北麻城人，東北林業大學文法學院講師，碩士生導師，法學博士，華東政法大學博士后，主要從事民商法和信息法研究。