大數據背景下個人信息處理行為的法律規制

胡朝陽

摘要：大數據背景下個人信息處理行為既引發數據安全風險等負外部性，也會帶來分享經濟價值實現等正外部性，“大數據悖論”現象揭示了雙重外部性成因。基于“外部性內在化”原理賦予信息主體以個人信息權并賦予數據控制者以大數據財產權雖有助分別規制其雙重外部性，但網絡大數據背景下其雙重外部性規制彼此交互影響而面臨兩難困境。法經濟學關于“損害之相互性”理論證立了基于“風險導向理念”規制個人信息處理以破解其兩難困境的經濟邏輯。大數據產業發展有賴個人信息處理的“外部性外部化”而實現分享經濟。法經濟學關于“公地喜劇”理論證立了基于“外部性外部化”規制個人信息處理而滿足大數據產業發展需要的經濟邏輯。大數據背景下個人信息處理的規制有賴從“壓制型法”到兼及“回應型法”的理念轉換，從“外部性內在化”兼及“外部性外部化”的機制并舉，從數據資源權利配置兼及數字技術權力干預的措施協同，實現大數據產業創新與個人信息安全的有機平衡。

關鍵詞：大數據;個人信息處理;雙重外部性;大數據悖論;法律規制

中圖分類號：D922.8???文獻標志碼：A???文章編號：1008-5831（2020）01-0131-15

隨著大數據、人工智能與移動網絡等信息網絡技術的發展，個人信息被大量采集轉移使用，網絡數據生成及大數據分析正深刻揭示個人信息及其數據處理所潛藏的巨大價值。用戶個人信息與網絡運營商大數據集在其全生命周期中面臨客體交織與利益交叉，用戶與大數據企業之間及大數據企業相互之間圍繞用戶信息處理及大數據挖掘利用所衍生數據利益產生劇烈角力與爭奪。近年來圍繞網絡空間數據取用出現了系列糾紛例如，新浪微博訴脈脈（京73民終〔2016〕588號）、大眾點評訴百度（滬73民終〔2016〕242號）、深圳谷米訴武漢元光（粵03民初〔2017〕822號）、淘寶（中國）訴安徽美景（浙8601民初〔2017〕4034號）等不正當競爭案均涉及用戶信息數據之爭;此外還有，順豐與菜鳥互相關閉數據接口爭議（國家郵政局調解），華為與騰訊關于華為榮耀Magic手機侵奪微信用戶數據爭議（工信部調解），江蘇省消保委訴百度民事公益訴訟案，美國HiQ Labs對LinkedIn領英的數據抓取糾紛案，美國Facebook信息泄露事件等 。。美國今年3月Facebook信息泄露事件表面上源自互聯網平臺基于“信息流廣告”一種依據社交群體屬性對用戶喜好和特點進行智能推廣的商業模式，由網絡平臺匯聚整合用戶各種行為大數據而由廣告公司進行數據分析并實現定向投放，類似國內的今日頭條、微博等平臺運營模式。

采集用戶信息進行大數據分析所致，深層上折射出消費者對Cambridge Analytica數據公司濫用數據的擔憂與恐懼。值此背景，美國2018年6月28日通過的《2018加州消費者隱私法案》（CCPA）與歐盟2018年5月25日實施《一般數據保護條例》（GDPR）相比，兩者雖殊途同歸但宗旨與價值取向不同，CCPA旨在規范數據的商業化利用，GDPR意在保護基本人權，在對個人信息的使用上，CCPA“原則上允許，有條件禁止”，GDPR“原則上禁止，有合法授權時允許”。在我國著力加強個人信息保護又大力促進大數據產業發展背景下工業和信息化部頒布《大數據產業發展規劃（2016—2020年）》將大數據產業界定為“以數據生產、采集、儲存、加工、分析、服務為主的相關經濟活動”。，協調兩者關系亟待合理規制個人信息處理行為。

目前，學界針對個人信息處理行為規制的探討涉及個人信息與大數據的屬性、權屬及其保護與利用的沖突化解。為此，一方面基于權利規制進路展開。例如，Lessig認為，“個人必須具有針對隱私進行協商的能力”，隨著互聯網信息技術的發展，將數據作為財產并賦予用戶以財產權的財產規則保護個人信息相對侵權責任規則的傳統法律架構更具優勢[1]。國內學界圍繞個人信息權構造與大數據權配置展開探討[2]，指出大數據時代個人數據權擴張妨礙數據產業發展，主張數據企業享有其合法收集、存儲和利用個人數據的絕對權，強調個人只享有消極防御的信息自決權以應對其數據收集和利用不當所致人格與財產侵害[3]。另一研究進路則基于行為規制展開。例如，Mayer-Schnberger認為，大數據時代告知同意、模糊化或匿名化處理等隱私政策均告失效，主張“從個人同意到讓數據使用者承擔責任”，實現責任與自由并舉的信息管理[4]。倡導風險導向[5]與場景導向[6]的隱私管理新理念。國內學界檢討個人信息處理適用“告知同意”規則的正當性[7]，探索其適用“去身份”規則的行業標準[8]，提出其基于場景的風險理念規制的可行性[9]。鑒于大數據時代信息控制者在個人信息利用上強激勵與其保護上弱激勵而去探索建立激勵相容的個人數據治理體系[10]。此外，還有基于“卡-梅框架”及其“規則菜單”組合保護模式，分析數據法益在其產生者與使用者間優化配置及財產規則與責任規則對不同類型數據及其不同處理階段的適用選擇[11]。

針對大數據時代個人信息的私權屬性[12]，有研究提出質疑并強調個人信息為公共物品而非稀缺資源，不存在“公地悲劇”問題，其適用財產規則保護面臨低效，主張施以公權規制[13]或社會控制[14]，分析指出個人信息兼有隱私自主價值和在社會交往中獲取一定經濟利益及某種社會評價與服務的使用價值[15]。但值得注意的是，大數據背景下個人信息處理與數據資源開發利用互為表里，大數據分析與價值挖掘有賴個人信息生態系統海量集成的大數據資源及其數據“喂養”優化算法的“公地喜劇”“公地喜劇”概念由耶魯大學法學院教授Carol Rose首次提出，公地問題上既有“公地悲劇”也有“公地喜劇”，結果是隨著不同的制度、文化等情境而產生的“公地戲劇”。 See Carol Rose. The Comedy of the Commons： Custom，Commerce，and Inherently Public Property. University of Chicago Law Review ，1986 ，53 （3） ：711-781.式效應，從而促進其共享經濟實現。其個人信息處理既引發數據安全風險，也帶來分享經濟價值收益，即其溢出效應具正負雙重外部性且呈交互影響格局外部性問題由阿爾弗萊德·馬歇爾在其《經濟學原理》中首先提出，后由庇古充實完善，最終形成了外部性理論。參見：[美] 格里高利·曼昆《經濟學原理》（梁小民、梁礫譯，北京大學出版社，2014年版201頁）。外部性體現為某經濟主體未經市場交易對另一經濟主體施加的成本（負外部性）或是收益（正外部性）。。因而，規制其個人信息處理行為不應僅以負外部性視角或限于“外部性內在化”以庇古為代表的新福利經濟學主張對負外部性以征稅或對正外部性以補貼的政府干預規制，See A. C. Pigou，The Economics of Welfare 134（4th ed. 1932）;See T. Scitovsky，Two Concepts of External Economics，J. Pol. Econ. 143（1954）。以科斯為代表的新制度經濟學主張對負外部性以科責或對正外部性以賦權的產權交易規制，See R. H. Coase，The Firm，the Market，and the Law，Chicago，The University of Chicago Press，1988，p. 28。科斯《社會成本問題》側重負外部性角度指出外部性的相互性。“公地喜劇”效應則顯示正外部性的相互性存在。規制方式，而應以個人信息處理全生命周期為觀察對象，以其正負雙重外部性及交互影響為切入視角，基于多元進路探尋其法律規制可能的破局。

一、大數據背景下個人信息處理行為的雙重外部性

大數據背景下個人信息處理既可能施加信息主體以隱私披露不當或施加信息控制者以數據泄露他用等數據安全風險成本的負外部性，也可能帶給信息主體以服務質量提升或帶給信息控制者以算法設計優化等分享經濟價值收益的正外部性，其雙重外部性交互影響。

（一）大數據背景下個人信息處理行為的負外部性

大數據背景下個人信息來源極其復雜關于大數據概念有以IBM為代表的技術型界定或以Gartner等代表的非技術型界定，包括本體論、工具論與資源論等。筆者認為，大數據是基于“4V”特征的海量數據集以分析挖掘彼此勾連“目的信息” （Boyd，2012）的技術工具，也是基于多渠道海量數據而快速分析以產生可用于行動“知識流”（Kalyvas，2016）的信息資源。，其在網絡空間的存在形式與取用方式變動不居。例如，網絡平臺用戶注冊身份信息、運營商通過Cookies工具抓取用戶日志及業務與位置等行為信息、政務管理部門主動采集、網絡爬蟲iworm從系統竊取、第三方開發者通過0penAPI接口協議從開放平臺間接共享或挖掘分析原生數據推測所得，既有用戶輸入點擊行為而記錄存儲的原生數據，也有基于原生數據經算法加工與聚合生成的衍生數據。我國2018年5月1日啟用的信息安全技術標準《個人信息安全規范》具體界分了個人信息與個人敏感信息并以附錄對其范圍和類型進行列舉，個人信息如用戶操作記錄、IMEI信息、設備MAC地址等;個人敏感信息如指紋、網頁瀏覽記錄和精準定位信息等。

隨著信息數字化程度的提升，各類先進傳感技術與高科技身份識別技術發展，個體行為觸發包括語言、地理位置，甚至味覺、觸覺、情緒等直接間接承載身份屬性的信息都能轉化為數字形態存儲并具備其可用性，個人信息內涵外延不斷豐富發展并隨其使用環境、使用主體及信息主體性質的不同而持續變化，以往基于一元論的共性描述與靜態描述界定個人信息內涵則面臨現實挑戰。大數據背景下個人信息處理會帶來信息泄露、隱私侵害、數據不當采集轉移與使用乃至數據壟斷或數據濫用等負外部性。在美國Facebook信息泄露事件中，Cambridge Analytica數據挖掘公司被指利用來自第三方App收集轉移Facebook用戶5 000萬點贊信息，據此分析其用戶性格和政治傾向而人為制造“信息繭房”凱斯·桑斯坦考察互聯網信息傳播指出，公眾對信息的需求是個性化的而非全方位的，往往只注意選擇使自身愉悅的信息領域，久而久之將自身桎梏于像蠶繭一般的“繭房”中，信息繭房（Information Cocoons）概念由此而生。參見：凱斯·桑斯坦《信息烏托邦——眾人如何生產知識》（法律出版社，2008年版6-10頁）。以定向推送信息影響選民政治立場，引發公眾對個人信息處理行為負外部性的廣泛關注。大數據信息平臺的開放共享性及計算機代碼的可破解性使個人信息面臨被竊取他用風險，其數據交易與數據共享面臨隱私合規與數據權屬等挑戰，其數據分析與數據產品開發面臨算法偏差與去標識后再識別風險。大數據開發利用與價值挖掘賴以為繼的數據生態系統倘若呈現數據壟斷、數據濫用、數據歧視等，圍繞其信息主體的個人信息處理行為便呈現負外部性。

鑒于個人信息處理的負外部性，我國《民法總則》第111條規定個人信息須依法收集、使用、加工、傳輸并受法律保護。《網絡安全法》專章規定網絡用戶數據信息取用行為不僅要遵循“合法、正當、必要”與目的限定原則，還要遵從向用戶“告知同意”程序規范和對用戶信息轉移“去身份化”要求。《個人信息安全規范》從信息的收集、保存、使用、共享、轉讓、公開披露等方面詳細規定了個人信息處理行為規范我國《個人信息安全規范》作為國家推薦標準的軟法規制工具，為保護大數據產業發展起見，將匿名化后不可恢復識別的信息及出于公共利益或學術研究而采取去標示化的個人信息作為同意規則的例外。。規定個人信息控制者（指有權決定個人信息處理目的、方式等組織或者個人）開展個人信息處理活動時應遵循權責一致、目的明確、選擇同意、最小夠用、公開透明、確保安全、主體參與等基本原則，對個人信息的委托處理及共享、轉讓作出相關規定。相對于歐盟《一般數據保護條例》（GDPR）規定數據可攜權又稱數據轉移權，即用戶可自主將個人數據以機器可讀格式暢通無阻地直接遷移至新的網絡運營商。這使Google、Facebook 等數據挖掘巨頭面臨因用戶轉移而丟失大量數據的挑戰。、被遺忘權又稱被刪除權，即數據主體有權要求數據控制者刪除個人數據，數據控制者對此有遵從義務且不能過分延長數據留存時間。這使以 cookie 形式收集數據、從定向投放廣告中獲益的技術巨頭面臨莫大損失。、算法可解釋權又稱算法公平性，即數據主體有權要求算法自動決策者給出解釋，不滿意算法決策時有權選擇退出。如貸款申請人被算法決策拒絕時有權尋求合理解釋。此權利設置難免深度制約乃至延緩AI智能技術發展。（The Right to Explanation of Automated Decision）等權利配置，我國現行制度設計雖然為規制個人信息處理的負外部性提供了支撐，但其在適應大數據產業基于個人信息處理的創新發展趨勢上的合理有效性尚待觀察。

（二）大數據背景下個人信息處理行為的正外部性

大數據背景下的個人信息處理行為也會帶來所謂“正外部性”。一方面，數據中間商大量收集如用戶志愿提供、電腦記錄測量、挖掘分析推測等行為信息并為其正外部性創造條件[16]40-44;另一方面，大數據分析將傳統結構化數據與非結構化數據的價值結合，如社交網絡生成內容、圖片、視頻、監測、傳感器、位置、搜索日志等非結構化數據占全球數據逾95%，其極具商業情報價值，挖掘其相關性與數據模式可掌控市場趨勢與消費行為[17]8。

首先，大數據背景下個人信息處理行為的網絡外部性具有促進分享經濟實現的正效應。傳統的“公地悲劇”理論揭示了過度使用權屬不明的公地會導致資源枯竭現象。不過在互聯網背景下，“消費者從技術應用中所獲價值與使用該技術的人數正相關。這增加了新技術的市場需求，進而又提升了研究者的創新激勵”[18]1-2。其實，大數據資源的價值挖掘基礎正在于其信息共享及其關聯利用。大數據背景下某個體對信息的使用并不影響其他個體使用該信息，無數個體可同時共享同樣的信息，那些使用者少、兼容性低的孤立數據或技術未必有利用戶。數據控制者取用以個人信息為客體的信息品數量愈多、愈廣，其數據分析挖掘的網絡外部性效應發揮愈可靠、精準，形成所謂“公地喜劇”現象[19]。從平臺用戶（顧客、商戶）采集而來的消費模式、駕馭行為、可靠程度、購物習慣等個人數據，其采集與處理過程往往彼此關聯，“因采集何種數據的決定本身就依賴于關于未來如何利用這些數據的創新性思考”[18]380-381。大數據分析可使網絡中眾多個人信息之間相互關聯，大數據產業中個人信息網絡每個節點都有較強關聯度，而網絡外部性（network externalities）的強弱與網絡的規模及其關聯度息息相關[20]。可見，大數據背景下個人信息處理行為通過提供“喂養”大數據分析及其智能算法的“飼料”，發揮其促進個人信息開發利用與開放共享的“網絡外部性”正效應。

其次，大數據背景下個人信息處理行為的網絡外部性正效應發揮有賴其產業運作模式下的規模收益遞增（邊際成本遞減）。在互聯網領域，規模收益遞增（邊際成本遞減）是“公地喜劇”現象產生的必要條件，網絡外部性外部化（共享經濟）是“公地喜劇”現象產生的充分條件，相對寬松而又恰當的競爭政策對互聯網領域“公地喜劇”的持續形成十分重要。 “公地喜劇理論”（Theory of Comedy of The Commons）建立在如下八組基礎概念基礎上[21]：爭用性與限用性（競爭性與排他性）、傳統公地品與信息品、普通外部性與網絡外部性、外部性內部化與外部性外部化、有形網與無形網、“右版權”與“左版權”、公地與公地品、公地悲劇與公地喜劇。基于“公地喜劇理論”，大數據形態下的原生信息不滿足“爭用性”（Rivalrous）卻有一定的“限用性”（Excludable）“爭用性”即你用別人便不能用，“限用性”即可限制別人使用。兩者兼具的是私人物品（Private Goods）;兩者皆不具的是公共物品（Public Goods）。后者面臨市場失靈而前者不會。不具“爭用性”但具“限用性”的是俱樂部物品或曰共享品（Club Goods），其通過賦權（例如信息產權）等權利配置解決市場失靈問題。 。在大數據背景下，若將原生態的個人信息劃歸私人物品范疇而讓其成為私人財產權客體，將私人財產屬性賦予個人信息主體，則對充分激發其“網絡外部性”正效應釋放卻未必有利。基于信息生態系統的數據信息規模化集成與數字技術交互式兼容而進行個人信息處理行為，有其推動共享經濟實現并產生“公地喜劇”現象的正效應

例如，API（Application Programming Interface）作為應用程序編程接口可應用于所有計算機平臺和操作系統，這些API 以不同格式連接數據，每種數據格式要求以不同的數據命令和參數實現正確的數據通信。，由此揭示了基于“網絡外部性”之外部化而實現共享經濟模式的經濟邏輯。

（三）基于“大數據三重悖論”的雙重外部性成因探析

大數據具有透明化悖論、身份悖論與權力悖論等三重悖論（Three Paradoxes）

Neil M. Richards & Jonathan King. Three Paradoxes of Big Data. 66 Stanford Law Review Online 41 （2013）.，這使大數據背景下個人信息處理面臨正負效應并存的雙重外部性

悖論是表面上同一命題或推理中隱含兩個對立結論卻又不能自圓其說。邏輯學上指可同時推導或證明兩個互相矛盾命題的命題或理論體系。抽象公式是“如事件A發生，則推導出非A，非A發生則推導出A”。。

首先，信息透明化要求與信息搜集秘密進行的透明化悖論使個人信息處理呈正負外部性。大數據背景下個人信息處理需遵循告知、選擇、訪問規則等透明化要求[17]54-57。告知即明確數據采集的實體、用途、性質、方式及其潛在接收方;選擇即信息主體對數據二次使用或超原初目的使用或與第三方共享時有權選擇加入（opt in）或退出（opt out）;訪問即信息主體可及時、便捷地訪問數據控制者掌握的信息，質疑不準確信息，更正或刪除其不需要及存儲不當信息。美國《2018加州消費者隱私法案》（CCPA）除賦予消費者上述權利外，還規定企業可為個人信息的收集、出售或者刪除提供財務激勵，包括根據消費者的數據在合理范圍內向其提供差異化費率或價格的商品或服務甚至向其支付賠償金

See CCPA，https：//www.jdsupra.com/legalnews/the-california-consumer-privacy-act-of-25374/（2018-9-1訪問）。。事實上，透明化要求可以扭轉用戶與數據控制者的信息不對稱進而給用戶提供個人信息安全保障，促進其信息的開放共享以及基于“網絡外部性”的外部化而實現“公地喜劇”式的開發利用，激發大數據分析挖掘的正效應溢出，促進共享經濟發展。不過，基于透明化悖論其信息搜集秘密進行又使個人信息面臨著潛在的安全威脅，可能導致企業過度采集用戶信息甚至數據濫用等負外部性。

其次，大數據開發利用識別個人身份與其識別個人身份中犧牲個人或者群體身份隱私的身份悖論使其信息處理呈正負外部性。一方面，大數據開發利用有賴采集海量個人信息包括原生數據和衍生數據（推測數據），以預測特定行為發生的可能性[16]41-53，據此發現其關聯事物間的相關關系[22]。另一方面，隨著“數據中間商”大量運用Cookie

Cookie中包含可以識別瀏覽器的識別子，在訪問網站的時候會記錄用戶的瀏覽信息，網站的合作公司也會收到該相關記錄。收集用戶信息甚至從以社交網絡服務SNS為主的數據源中任意獲取包括關注熱點、興趣愛好、居住地址、出入場所、消費習慣、購買記錄等數據，網絡運營商不僅秘密收集用戶信息用于對其記分并施以差別對待，還據此開發出獨特的“記分制度”并用于商品化銷售[16]52，導致社會被等級化。例如，網約車平臺司機給用戶貼上屬性標簽（Tag），其識別用戶身份有助賦予司機以接單激勵而提升約車效率，有益其信息處理的正外部性實現，但倘若司機給用戶貼上不良屬性標簽（如性暗示或差評），便有犧牲用戶隱私而影響信息安全甚至引發數據歧視的負外部性。

再次，大數據資源作為社會改造強大工具與其以犧牲個人權利為代價而實現獨享數據特權之間產生權力悖論，這使個人信息處理面臨正負外部性。一方面，大數據背景下信息主體以讓渡個人權利為代價使大數據開發利用產生“公地喜劇”式的正外部性。個人信息處理行為的網絡外部性效應與其取用信息數量、網絡規模和技術兼容性密切相關。對數據控制者而言，其數據價值往往取決于數據的數量規模[23]。隨著大數據產業規模化收集個人信息，網絡儲量巨大的用戶信息為其產業創新發展及其信息處理釋放正外部性創造了條件。另一方面，大數據作為社會改造工具以犧牲個人權利為代價又有淪為數據控制者專享特權趨勢，導致信息處理的數據集中壟斷甚至濫用等負外部性。網絡用戶存在消費“粘性”，權力悖論造成信息控制者相互競爭態勢下的贏者通吃及其信息資源的寡頭獨占，妨礙其他網絡運營商對信息資源的數據共享及其規模化開發利用，不利眾多信息主體在權利讓渡下分享網絡外部性的正效應，削弱了大數據創新活力及其對用戶體驗的改進，妨礙共享經濟發展。

二、雙重外部性下個人信息處理行為規制的兩難困境

科斯在《社會成本問題》中以工廠甲排出煙塵給鄰近居民乙帶來有害影響為例指出，“人們一般將該問題視為甲給乙造成損害，所考慮的是：如何制止甲？但這是錯誤的。我們正在分析的問題具有相互性，即避免對乙的損害將會使甲遭受損害。必須決定的真正問題是，是允許甲損害乙，還是允許乙損害甲？關鍵在于避免較嚴重的損害”，據此提出“損害具有相互性本質”

R. H. Coase，The Problem of Social Cost，3 J. L&Econ. 1（1960），in The Firm，the Market and the Law 95-156（1988）.。在網絡空間，數據控制者與其信息主體也會因基于大數據運用的個人信息處理行為而產生所謂“損害的相互性”問題，造成其雙重外部性規制的兩難困境，規制其負外部性可能制約其正外部性實現，規制其正外部性可能激勵其負外部性溢出。

（一）個人信息處理負外部性規制對其正外部性實現的制約

規制個人信息處理的負外部性往往通過賦予其信息主體以個人信息控制權，相應科以其個人信息處理者保護個人信息之義務，使大數據產業損害信息主體的隱私安全、人格尊嚴等負外部性得以由其生成者加以內在化地負擔。在大數據背景下，個人信息處理行為負外部性規制會成為約束其正外部性實現的影響因素。

首先，適用告知同意規則規制個人信息處理的負外部性可能對其正外部性實現構成約束。適用告知同意規則意味著賦予信息主體以信息自決權而遏制其信息處理負外部性。不過個人信息自決權并非對任何可識別的個人信息的收集、處理和利用均享決定與控制權的承認和保護，而是對自動化處理給人格或財產帶來加害危險的事先防御或前置保護機制[24]。隨著大數據技術的發展，個人信息交換領域不再限于商品市場，信息智能處理機制也將成為其交換的新場所[13]。大數據時代個人信息生態系統的去中心化重構使用戶信息處理面臨網絡服務商、數據中間商及后續開發利用者等多元主體，其價值創造源泉取決其信息的后續多方流轉與比對挖掘開發。共享經濟模式下“信息最小化”原則的合理性以及大數據背景下基于告知同意規則限定個人信息權屬的有效性往往令人質疑。基于“反公地悲劇”理論Michael A. Heller，Tragedy of the Anticommons： Property in the Transition from Marx to Markets，Harvard Law Review，Vol.111. 1998. pp. 621-688.，賦予作為大數據客體的個人信息以分散的數據控制權將極為不利于大數據商業價值的發掘。將個人信息關在密室中永遠見不到陽光，排斥其商業正當利用必然歸于落后[25]。大數據開發利用有賴產業創新激勵，既要加強個人信息保護更要積極探討如何促進其有效利用。大數據背景下個人信息處理的規制原則應是防止濫用，而非嚴格保護，故個人信息處理行為正當與否宜基于責任規則及事后判斷方式，不應僅以同意作為個人信息處理的正當性基礎[7]。相對于事后適用內在化補償機制（責任規則）的規制模式，嚴格遵循事前告知同意規則（財產規則）恐有礙個人信息處理的正外部性實現，不利于充分激發大數據產業創新活力與促進分享經濟發展。

其次，適用去身份化規則規制個人信息處理的負外部性可能對其正外部性實現構成制約。如今大數據已成為最炙手可熱的交易商品，也是眾多公司、行業、非營利組織和政府部門渴望獲得的資產，它在很大程度上是經由線上活動留下一種易被追蹤并能透露出個體身份、交易、去向的數字印跡等信息構成。個人信息一旦被收集，則其信息主體便難以控制數據被誰使用抑或被如何使用[26]。為避免未經授權的個人信息處理行為所致外部性風險，法律科以大數據開發利用者對其所處理個人信息進行去身份標識化等義務，要求對其進行脫敏處理后使其成為無法識別特定個人且不能復原的信息，據此將數據隱私屬性與資產屬性剝離以確保其數據流通的信息安全。不過，為提高匿名化后數據的可用性，需采取適當的數據匿名化算法，以降低實行匿名保護隱私安全時概化處理所帶來的信息損失。但是，大數據開發的共享經濟特性有賴于對網絡空間信息資源的有效掌握與使用并對其信息內容的充分挖掘與整理。因而，若是采取過高標準而嚴格遵從去身份標識規則對個人信息進行脫敏處理與數據清洗以規制其負外部性，難免大為削弱其原始數據的潛在挖掘價值，妨礙大數據開發利用的商業目標實現甚至動搖其產業創新發展的經濟基礎。

（二）個人信息處理正外部性規制對其負外部性溢出的激勵

大數據背景下個人信息處理也有正外部性，基于“公地悲劇”理論通過法律擬制方式進行產權配置，賦予數據控制者對其數據資源擁有向社會公眾“征稅”的權利，據此規制個人信息處理的正外部性，有可能對其個人信息處理的負外部性溢出產生激勵效應。

基于“公地悲劇”理論，如財產資源因權屬不明而淪為人人皆可任意使用的公地，往往因個體行為的邊際收益大于等于邊際成本，卻又不負擔其行為外部性的社會成本，個人被無限制賦予對公地的過度使用權，進而導致資源枯竭甚至經濟系統崩潰。就大數據背景下個人信息處理而言，有研究認為，除了用戶初始數據上配置人格權與財產權外，還需在數據經營者層面配置數據經營權與數據資產權，并對其原生數據與衍生數據開發提供權益保障[2]。當然，“卡—梅框架”下對法授權利（entitlement）的保護有 “財產規則、責任規則、禁易規則”三種路徑

Guido Calabresi and A. Douglas Melamed. Property Rules，Liability Rules，and Inalienability： One View of the Cathedra. Harvard Law Review. Volume 85. April 1972 Number 6. pp. 1089-1128. 財產規則強調除非是自愿交易否則產權不得轉移，責任規則強調如發生非自愿交易由損害方按第三方估價向被害方補償損失。。據此有研究主張，將數據法益配置給數據產生者，并適用財產規則是一條相對優選的路徑[11]。值得注意的是，個人信息處理中的數據紅利與數據安全往往此消彼長。若是賦予數據控制者對大數據資源尤其是原生數據以絕對財產權，網絡運營商出于機會主義傾向便有適用告知同意規則以“一攬子協議”概括授權模式籍由用戶點擊而過度收集甚至恣意圈存用戶信息的內在激勵，以致其規避遵從去身份規則甚至回避遵從“防止身份再識別”義務。可見，對數據控制者掌握海量用戶信息的大數據集賦予財產權以規制其信息處理的正外部性，難免對個人信息處理的負外部性溢出產生某種潛在激勵。

例如，美國hiQ訴Linkedln爬蟲案中，原告對抓取和復制數據進行開發而產生有別于領英公司產品卻又方便用戶的使用功能，領英卻禁止原告抓取和復制其平臺數據，原告遂向法院申請禁令，要求領英解除技術措施，加州北部地區法院認定領英的行為構成數據壟斷，裁決領英解除限制并允許其抓取數據。實際上，為提升用戶使用體驗，個人信息處理往往會基于API協議允許網絡運營商對入網數據彼此進行合理抓取或復制以實現信息共享。但在微博訴脈脈案中，我國法院判決脈脈對微博注冊用戶個人數據抓取構成不正當競爭，借助反不正當競爭法一般條款上之行為規范進路以保護用戶數據權益。對此有研究認為數據財產化的權利進路可實現與個人信息權的折沖調和[27]，但值得注意的是，數據財產權化與個人信息權利化之間存在外部溢出效應的交互影響。網絡外部性的數據集聚效應雖會激發個人信息處理的正外部性，不過若是不受限制地賦予大數據集等信息資源以財產權來規制其個人信息處理的正外部性，反而會對其負外部性溢出產生潛在的激勵預期。大數據作為信息資源或技術工具均面臨濫用風險。例如，提供獨特產品與服務的數據運營商獨占獲得特定數據控制權，第三方開發者未經用戶再授權而擅自抓取、使用網絡平臺上用戶信息，數據控制者拒絕開放共享其收集的用戶數據導致數據市場的單寡頭壟斷等。再如，處優勢地位的數據運營商利用大數據技術定向追蹤競爭對手行為乃至與其明示或默示達成價格壟斷共謀，通過分析潛在用戶的支付意愿價格而給特定用戶以歧視性壟斷定價。可見，基于數據財產化的權利進路規制大數據背景下個人信息處理的正外部性也會潛在地激發其負外部性溢出。

（三）大數據背景下個人信息處理行為規制的價值取向分析

科斯認為，明晰產權有助市場交易，經由市場交易可基于外部性內部化實現社會產值最大化，但現實世界的交易成本過高而妨礙交易，為促進交易達成并實現效率最優，宜將其產權配置給使用價值最高者。但是，大數據背景下個人信息處理行為規制除了要實現其自由與效率價值，還需維護其安全與公平價值，面臨著價值沖突取舍問題。

以在線行為廣告（OBA）美國數字廣告聯盟（Digital Advertising Alliance，簡稱DAA）對其定義是：“長期從某臺電腦或設備上收集有關用戶在各種非關聯網站上的網頁瀏覽行為的數據，目的是利用這類數據預測用戶的喜好或興趣，以便根據從這些網頁瀏覽行為中推斷出來的喜好或興趣，向那臺電腦或設備發送廣告。” 參見：[美]詹姆斯.R.卡利瓦斯《大數據商業應用風險規避與法律指南》（人民郵電出版社，2016年版68-69頁）。為例，其通過網絡隱秘追蹤和概括網頁瀏覽等訪問用戶，利用cookie數據記錄其訪問的日志站點、點開的鏈接等，依據用戶網絡活動特點與偏好為其建檔并悄然完成其數據采集與分析。在線行為廣告商通過秘密追蹤與監視為用戶建檔并在非透明化下對其進行信息處理，且基于某種算法篩選機制向其追蹤用戶定向推送個性化服務，上述行為具有潛在危及用戶人身（隱私）財產安全的負外部性。不過，若是立法“禁止追蹤”以規制其負外部性，可能對在線行為廣告商的個人信息處理行為構成自由限制，抑制其基于大數據分析以提升網絡服務質量的正外部效應溢出，進而影響網絡用戶據此享受便捷服務的自由。可見，在線行為廣告商的個人信息處理面臨正負雙重外部性，保障信息主體的信息安全可能與維護在線行為廣告商的信息追蹤與推送自由產生價值沖突，而且對在線行為廣告商基于信息追蹤與推送自由的營運效率及其產業發展產生所謂“損害之相互性”。不過，基于將產權配置給使用價值最高者的效率優化原理，賦予用戶以個人信息控制權，有助其自主決定信息安全價值并基于市場交易需要參與在線行為廣告商的大數據資源優化配置。歐盟《一般數據保護條例》（GDPR）賦予用戶“數據可攜權”和“被遺忘權”，其規制個人信息處理行為的價值取向便是用戶的信息安全優于在線行為廣告商的數據自由，此種規制的經濟邏輯在于為避免后者對前者的更大損害，宜將數據可攜權、被遺忘權等配置給用戶。

再以基于算法決策的智能分析評估系統為例，網絡運營者與用戶在大數據分析計算中的數據結構安排與算法選擇上存在“透明化悖論”所致信息不對稱，算法“黑箱”（Black box）面臨透明化困境。長期以來人們受“數學清洗”自孔德以降的社會實證主義興起以來，逐漸出現了一種利用數學將人類社會事務量化、客觀化的思潮，Fred Benenson 將這種對數據的崇拜稱之為數學清洗（Math washing），特別是隨著計算機網絡技術的迅猛發展，人們更傾向利用算法、模型、機器學習等數學方法重塑一個更加客觀的現實世界。思維方式影響，甚少質疑算法決策公平性，殊不知算法作為技術面臨工具理性與價值理性的張力工具理性基于功利導向關注目的與結果，與基于某些重要信念（義務、尊嚴、美、規訓等）作為行動指引的價值理性不同。參見：馬克斯·韋伯《經濟與社會 （上卷） 》（林榮遠譯，商務印書館，1997年版57頁）。。算法設計將交易或服務規則代碼化后倘若信息披露不足，基于算法決策的選擇自由卻潛藏了算法監管缺失的危機，不僅難以趨向公平正義甚至有呈現算法歧視的極大可能。美國North pointe 公司開發的犯罪風險評估算法COMPAS在使用中出現系統地歧視黑人現象，更多將白人錯誤地評估為低犯罪風險的群體，顯示了其算法偏見[28]。大數據的“身份悖論”與“權力悖論”使其數據占有使用一旦淪為數據控制者專享特權，網絡運營商在工具理性驅使下便有基于算法設計對用戶實行記分化追蹤并依各類信息識別社會主體身份的內在激勵。據此構筑的“信息繭房”又強力維系用戶網絡化生存空間秩序，用戶受“透明化悖論”所限卻對其構筑的“理性鐵籠”馬克斯·韋伯認為，隨著工具理性對價值理性的替代，工具理性對人類生存狀況造成了新的束縛，即所謂“理性的鐵籠”（ iron cage ）。參見：馬克斯·韋伯《新教倫理與資本主義興起》（廣西師范大學出版社，2010年版）。了無體悟，對算法差錯甚至數據失當所致正義價值迷失鮮有覺察。隨著智能決策愈益投射于現實社會空間參與其秩序再造，算法及其代碼設計日益主宰著公共決策并對個體權益產生廣泛影響。若欲“通過設計實現公平”（Fairness by Design）還需前瞻構建技術公平規則[29]。歐盟《一般數據保護條例》賦予用戶對智能決策的“可解釋權”（The Right to Explanation）經合組織（OECD）2017年發布《算法與合謀》報告指出，完全的算法透明度并非僅公開或向管制部門披露其源代碼，而要解釋特定算法的結果如何得出，實踐中強制性的算法透明度與可問責性可能面臨很大挑戰，尤其黑箱算法恐難實現更高透明度要求。目前各國對算法監管的執法實踐與理論研究尚存分歧。，其規制個人信息處理行為的價值取向便是算法設計的技術正義實現優于其智能決策的秩序再造，其規制的經濟邏輯則是為避免后者對前者的更大損害，需賦予用戶對智能算法的可解釋權。

另一方面，蘊藏海量信息的大數據集作為信息資源呈俱樂部物品（共享品）屬性，有賴基于“外部性內在化”解決其開發利用中權屬不明所致的市場失靈問題，基于“外部性外部化”解決其數據價值挖掘中開放共享不足所致的資源配置低效與競爭妨礙問題，籍以促進大數據產業創新并實現其個人信息處理的正外部性。由于數據產品開發需要采集海量的個人信息，經脫敏處理后作為“喂食”并優化其算法設計的信息資源，但由海量的個人信息集成的大數據資源有別于公共物品之處在于其固定成本很高而邊際成本很低甚至趨于零。大數據的網絡外部性使眾多網絡用戶集聚在需求側對信息品進行爭相使用并給公眾帶來相當可觀的規模化的網絡外部正效應，滿足了共享經濟需要。網絡經濟或數字經濟實行“免費+增值服務”的運營模式便源于其規模經濟上和邊際收益上的遞增趨勢，網絡平臺使用者越多其網絡外部性正效應越大，具有滿足“外部性外部化”（共享經濟）的“公地喜劇”色彩，從而實現其規模收益遞增（邊際成本遞減）以充分激發其分享經濟功能。大數據不具“爭用性”但具“限用性”屬性使大數據產業面臨數據集中而有導致數據壟斷甚至數據濫用的趨勢。隨著智能算法大力提升市場透明度，即便競爭者間并無明確協議，默示合謀（tacit collusion）仍有可能[34]。這增添了反壟斷執法在評估與算法相關的協議、協同行為等反競爭風險上的挑戰[35]。為避免大數據開發利用與個人信息處理在雙重外部性規制上的“相互損害”，除借助“外部性內在化”規制其信息處理的數據不當侵占，還要借助“外部性外部化”規制其信息處理的數據壟斷集中前者參酌新浪微博訴脈脈抓取使用微博用戶信息案（京73民終〔2016〕588號）;后者參酌美國HiQ Labs訴LinkedIn拒絕數據抓取糾紛案，HiQ Labs，Inc. v. Linkedin Corporation.No.3：17-cv-03301（N.D. Cal.2017）。。若是數據控制者擁有數據占市場支配地位，無正當理由拒絕數據分享而有排除、限制競爭行為，結合本國大數據產業發展應適用反壟斷法對此予以規制各國對數據分享的反壟斷執法尚存分歧，數據作為信息資源既可作為企業的競爭優勢也會構成相關市場的進入壁壘，關鍵是數據是否構成反壟斷法上的必要設施（Essential Facility）并合理界定適用領域。參見：孫晉、鐘原《大數據時代下數據構成必要設施的反壟斷法分析》（《電子知識產權》，2018年第5期）。。

（三）規制措施上施行數據資源權利配置與數字技術權力干預協同

大數據背景下個人信息處理離不開數據選擇及算法設計。算法設計以數據結構為基礎，針對實際問題待處理數據選擇恰當的存儲結構，基于選定的存儲結構而優化算法設計，機器學習中的算法優化有賴可靠的數據資源，否則會導致算法偏差。因而，規制其信息處理行為既要基于信息資源取用的數據權利配置以利信息主體的自主規制，也要基于算法優化與代碼設計的數字“權力”干預以利數據控制者的協同規制。

首先，大數據背景下的個人信息作為數據資源有待恰當的權利配置。一方面，賦予信息主體對其個人信息以知情與同意權、選擇與變更權、刪除與撤回權等，有助信息主體對數據控制者取用個人信息及其處理行為進行自主規制。歐美政府近年來主導的“消費者授權政策”強化用戶權限，英國政府推行的Midata Project與美國政府推行的Smart Disclosure旨在實現個人數據由機構掌控轉向用戶自行掌控[16]192-209。包括由網絡平臺開發“數據盒子”（Data Box）為信息主體自我管理、儲存、交易、轉移個人信息提供技術支撐如此，網絡平臺商便有義務利用“數據盒子”整合個人信息并完備其數據庫，為信息主體與信息買家建立商談平臺并基于平臺對話使信息主體獲得滿意的對價。See Hamed Haddadi，Richard Mortier，Derek McAuley，Jon Crowcroft ，”Human-data interaction”， Cambridge Computer Laboratory，No.837 ，（Jun，2015） .，完善反爬蟲機制，為用戶提供一站式撤回與關閉授權。當然，若賦予信息主體以算法解釋權，則會扭轉“透明化悖論”所致數據控制者對信息主體的信息強勢地位，以及“身份悖論”所致數據控制者對信息主體的數據歧視威脅。另一方面，賦予數據控制者基于大數據原生信息開發的衍生數據產品以產權配置，有助數據控制者協同規制第三方的個人信息處理行為。對數據控制者而言，相對于遵從告知同意規則取用人個信息，其適用去身份規則的成本付出更高且面臨反向工程被再識別風險，若對處于粗放狀態的原生數據賦予絕對權的產權配置，反而助長其基于告知同意規則的概括授權隨意取用個人信息。若是數據控制者通過云計算、大數據分析將原本單一且價值有限的碎片化原生數據進行提煉整合生成有使用價值的數據產品，對此賦予相應產權則有助激勵大數據產業創新，也有助促使數據控制者積極規制第三方因擅自使用其數據產品而不當進行其信息處理行為。因而，立法賦予何種類型與強度的個人信息權與數據資源產權往往彰顯了保障個人信息安全與促進大數據產業創新的不同價值取向。

其次，大數據背景下個人信息處理作為數字技術運用有賴權力干預。去身份是個人信息有序流通與再利用之前提，分離數據中隱私與資產屬性可降低數據流通中的隱私風險[8]。不過集中于人格隱私保護的大數據研究面臨局限[36]。數據脫敏處理若過于徹底去除大數據所涉個人身份信息的直接標識符或改變其準標識符的判斷，雖有助于保障個人信息安全，但卻削弱了其潛在挖掘價值。數據控制者為減少數據匿名化后的信息損失并提高其可用性，往往有基于代碼設計降低去身份標識標準甚至變相追蹤、識別用戶身份的機會主義傾向。因法律無法介入互聯網信息傳輸的技術過程直接規制虛擬空間的生成和運作，代碼構筑了網絡空間并具有“隱形法”的功能美國學者萊斯格就互聯網規制問題指出，法律、社會規范、市場、代碼等任何單一規制手段都有局限性，應充分發揮代碼規制的應有作用。參見：[美]勞倫斯·萊斯格《代碼2.0——網絡空間中的法律》（李旭、沈偉偉譯，清華大學出版社，2009年第4版 98頁）。。代碼設計者基于理性人機會主義傾向面臨效率性的違法的經濟激勵例如2018年4月“今日頭條”因智能推送內容問題受到監管部門責令其永久關停“內涵段子”客戶端軟件及公眾號的處罰，隨后發布聲明稱要全面糾正算法與機器審核的缺陷，將正確的價值觀融入技術和產品。。因而規制個人信息處理既要運用市場手段確保個人信息權自主行使，又要科以數據控制者在算法決策中保障信息安全義務并將其轉化為程序代碼設計要求，在信息處理合規邊界內為促進大數據產業創新尋求制度適用選擇空間。設計出驗證、證實、知情同意、透明性、可責性、救濟、責任等機制以削弱或避免機器歧視、確保公平正義[29]。為此，鼓勵信息安全技術開發，基于元數據標簽綁定技術提升用戶控制權行使及其信息處理透明度，運用加密算法實現信息密文傳輸以防被竊聽或篡改，引用安全認證、數字水印、電子簽名、區塊鏈確保原始信息真實。基于信息運行數據流建立個人信息泄露溯源機制[37]。同時，在制度設計上基于用戶與數據控制者雙重授權機制制止數據濫用，輔以數據登記及溯源監管、網絡運營備案審查、代碼設計合法評估與算法決策審計監督等數字技術運用的權力干預措施。

四、結語

大數據產業面臨個人信息的提供者、收集者、分析者、中間商、使用者、第三方開發者及監督者等多元主體基于人格與財產、公權與私權之博弈，這使大數據產業創新與個人信息處理規制面臨內在張力。我國“十三五”規劃提出實施國家大數據戰略，工業和信息化部為落實《促進大數據發展行動綱要》發布的《大數據產業發展規劃》指出，大數據產業發展面臨“數據所有權、隱私權等相關法律法規和信息安全、開放共享等標準規范不健全，尚未建立起兼顧安全與發展的數據開放、管理和信息安全保障體系”等支撐體系不完善的問題，并提出其政策法制完善措施除現行立法及尚待制訂個人信息保護法外，還包括《大數據服務安全能力要求》《個人信息安全規范》《大數據安全管理指南》（征求意見稿）等國家推薦標準及《大數據行業自律公約》等軟法規制措施。。然而，數據的法律屬性與權利歸屬在理論上尚未廓清，其司法實踐中尚在探索2018年8月16日杭州互聯網法院在淘寶（中國）訴安徽美景不正當競爭案中認定，如無法定或約定，用戶對提供網絡運營者的單個用戶信息尚無獨立的財產權或財產性權益;網絡運營者對由用戶信息數字化記錄轉換而來的原始網絡數據依其與用戶約定享有使用權;對其深度開發與系統整合的大數據產品“生意參謀”，因其內容是源于卻又獨立于用戶信息、原始網絡數據的衍生數據，網絡運營者應享有獨立的財產性權益。。大數據產業往往以歐盟與中美對比觀察認為，過嚴的個人信息保護會限制其產業發展甚至削弱其競爭力。值得注意的是，數據共享開發利用以相關主體間的信任機制為基礎，有效規制個人信息處理行為能強化其信任機制并為大數據產業創新發展增添信息資源流通活力。全面揭示大數據背景下個人信息處理的雙重外部性及其規制的交互影響，以系統性的整體視角把握大數據產業發展與個人信息保護的共生關系，基于“損害之相互性”理論并借鑒“公地喜劇”理論探尋其雙重外部性規制的經濟邏輯，有助于深入探明其政策法制完善之路。參考文獻：

[1]勞倫斯·萊斯格.代碼——塑造網絡空間的法律[M].李旭，譯.北京：中信出版社，2004：197.

[2]龍衛球.數據新型財產權構建及其體系研究[J].政法論壇，2017，35（4）：63-77.

[3]程嘯.論大數據時代的個人數據權利[J].中國社會科學，2018（3）：102-122，207-208.

[4]維克托·邁爾·舍恩伯格.大數據時代[M]. 盛楊燕，周濤，譯.杭州：浙江人民出版社，2013：220-221.

[5]KUNER C，CATE F H，MILLARD C，et al.Risk management in data protection[J].International Data Privacy Law，2015，5（2）：95-98.

[6]TENE O，POLONETSKY J.Big data for all： Privacy and user control in the age of analytics[M]. Social Science Electronic Publishing，2013.

[7]任龍龍.論同意不是個人信息處理的正當性基礎[J].政治與法律，2016（1）：126-134.

[8]金耀.個人信息去身份的法理基礎與規范重塑[J].法學評論，2017，35（3）：120-130.

[9]范為.大數據時代個人信息保護的路徑重構[J].環球法律評論，2016，38（5）：92-115.

[10]周漢華.探索激勵相容的個人數據治理之道——中國個人信息保護法的立法方向[J].法學研究，2018，40（2）：3-23.

[11]肖冬梅，文禹衡.法經濟學視野下數據保護的規則適用與選擇[J].法律科學（西北政法大學學報），2016，34（6）：119-127.

[12]張里安，韓旭至.大數據時代下個人信息權的私法屬性[J].法學論壇，2016，31（3）：119-129.

[13]吳偉光.大數據技術下個人數據信息私權保護論批判[J].政治與法律，2016（7）：116-132.

[14]高富平.個人信息保護：從個人控制到社會控制[J].法學研究，2018，40（3）：84-101.

[15]謝遠揚.信息論視角下個人信息的價值——兼對隱私權保護模式的檢討[J].清華法學，2015，9（3）： 94-110.

[16]城田真琴.數據中間商[M].鄧一多，譯.北京：北京聯合出版公司，2016.

[17]詹姆斯.R.卡利瓦斯，邁克爾.R.奧弗利.大數據商業應用風險規避與法律指南[M].陳婷，譯.北京：人民郵電出版社，2016：8.

[18]讓·梯若爾.創新、競爭與平臺經濟——諾貝爾經濟學獎得主論文集[M].寇宗來，張艷華，譯.北京：法律出版社2017： 1-2.

[19]ROSE C.The comedy of the commons：Custom，commerce，and inherently public property[J].The University of Chicago Law Review，1986，53（3）：711-781.

[20]喻煒，王鳳生.我國大數據產業政策研究——基于網絡外部性與異質信息產品視角[J].當代經濟科學，2016，38（3）：72-79.

[21]于立.“公地喜劇理論”與互聯網競爭政策[EB/OL].[2018-08-17].http：//www.sohu.com/a/223927338_455313.

[22]維克托·邁爾-舍恩伯格，肯尼思·庫克耶.大數據時代[M].盛楊燕，周濤，譯.杭州：浙江人民出版社，2013：67-71.

[23]SHELANSKI H A.Information，innovation，and competition policy for the internet[J].University of Pennsylvania Law Review，2013，161（6）：1663-1705.

[24]楊芳.個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體[J].比較法研究，2015（6）：22-33.

[25]郭瑜.個人數據保護法研究[M].北京：北京大學出版社，2012： 111.

[26]特倫斯·克雷格，瑪麗.E.盧德洛芙.大數據與隱私[M].趙亮，武青，譯.沈陽：東北大學出版社，2016.

[27]許可.數據保護的三重進路 ——評新浪微博訴脈脈不正當競爭案[J].上海大學學報（社會科學版），2017，34（6）：15-27.

[28]曹建峰.人工智能：機器歧視及應對之策[J].信息安全與通信保密，2016，14（12）：15-19.

[29]CITRON D K.Technological due process[J].Washington University Law Review，2008，85：1249-1312.

[30]P.諾內特，P.塞爾茲尼克.轉變中的法律與社會：邁向回應型法[M].季衛東，張志銘，譯.北京：中國政法大學出版社，2004.

[31]杰弗里.L.哈里森.法與經濟學[M].2版.北京：法律出版社，2004：43-44.

[32]CALABRESI G，MELAMED A D.Property rules，liability rules，and inalienability：One view of the cathedral[J].Harvard Law Review，1972，85（6）：1089-1128.

[33]理查德.A.波斯納.法律的經濟分析[M].蔣兆康，譯.北京：中國大百科全書出版社，1997：64-65.

[34]EZRACHI A，STUCKE M E.Virtual competition： The promise and perils of the algorithm-driven economy[M].Harvard University Press，2016：17.

[35]韓偉.算法合謀反壟斷初探：OECD《算法與合謀》報告介評（下）[J].競爭政策研究，2017（6）：68-77.

[36]HELVESTION M N.Consumer protection in the age of big data[J].Washington University Law Review，2016 （4）：859-917.

[37]王忠.大數據時代個人數據隱私規制[M].北京：社會科學文獻出版社，2014：28.

Legal regulation of personal information processing action in the background of big data：

From the perspective of dual externalities of personal information processing

HU Chaoyang

（School of Law，Southeast University，Nanjing 210096，P. R. China）

Abstract：

Personal information processing not only causes negative externalities such as data security risks，but also brings positive externalities such as the realization of sharing economy in the background of big data. The causes of double externalities can be revealed by the phenomenon of “Three Paradoxes of Big Data”. Based on the theory of “internalization of externalities”，both the negative externalities and the positive externalities from personal information processing will be regulated if the information subject is empowered with the rights to personal information，and the data controller is empowered with the rights to big data property. However，in the background of network big data，dual externalities of personal information processing are interacted with each other and faced with some dilemmas. The theory of “mutuality of damage” in law and economics provides an economic logical explanation for regulating personal information processing behavior based on the “risk-based approach”. The development of big data industry depends on the “externalization of externalities” of personal information processing to realize its sharing economy. The theory of “comedy of the commons” in law and economics provides the economic logic proof for regulating personal information processing behavior based on the “externalization of externalities” in order to meet the needs of big data industry development. For the regulation of personal information processing in the background of big data，we should enforce the transformation from the “repressive law” to the “responsive law” on ideas，the coexistence of both the “internalization of externalities” and the “externalization of externalities” on mechanisms，the coordination of both the data resources rights allocation and the digital technology power intervention on measures，so that the organic balance between big data industry innovation and personal information security can be achieved.

Key words： ?big data; personal information processing; dual externalities; paradoxes of big data; legal regulation

（責任編輯?胡志平）