從個人信息到數據要素：個人信息商業利用的制度安排
——以《個人信息保護法》為中心*

方志偉 王建文

個人信息的種種商業利用模式極大提升了企業的服務質效，甚至改變了社會經濟的運行方式。然而，個人信息商業利用的邊界和方式等仍在探索之中，載有個人信息的個人數據集合該如何在數據市場中流通尚無明確規范予以指引。現有立法對個人信息商業利用限制居多，抑制了數據資源的有效配置及數據生產力的發揮，對數字經濟的發展和技術創新構成了制度性約束。慶幸的是，2021年8月頒布的《個人信息保護法》確立了個人信息保護與利用并重的理念，拓寬了個人信息商業利用的合法性基礎，以實現數據紅利與個人信息保護之間的平衡。因此，當下的任務是在《個人信息保護法》的框架下，針對個人信息商業利用過程中個人信息處理和個人數據流通給予合理制度安排，從而平衡個人信息商業利用中的多方主體利益。

一、個人信息商業利用制度命題的提出及其構建路徑省察

個人信息支撐了企業對用戶的個性化定制，促進線上線下經濟的融合，是平臺經濟等新型商業模式的核心資源。個人信息的使用價值催生了企業對個人信息收集利用的需求。①See Schwartz,Paul M.,and Daniel J.Solove,“Reconciling Personal Information in the United States and European Union，”Calif.L.Rev,vol.102,2014,pp.877-916.在缺乏有效的制度規范情況下，個人信息商業利用必然會導致個人信息主體、企業、國家等主體之間的利益糾纏，不同主體之間的利益訴求存在沖突在所難免。因此，個人信息商業利用的制度安排不簡單是單向度的人格保護，更需要協調多種權利，實現多方平衡。

（一）個人信息商業利用中的利益沖突類型

其一，個人信息主體與企業的利益沖突。數字時代，企業利用個人信息極大地提升了服務效率、降低了運營成本。例如，企業利用個人信息繪制數據畫像并進行個性化推薦，可以幫助消費者更快地獲取想要的產品，節省信息檢索成本。同時，個性化推薦也可以幫助企業提高服務效率和訂單轉化率。但從用戶角度來看，個人信息的廣泛使用帶來的不僅是效率的提升，亦會伴生諸多風險，如個人信息泄露、大數據殺熟等。隨著數據處理算法與算力的不斷優化和提升，個人信息商業利用過程中個人信息主體與企業間的利益沖突正進一步擴大。一方面，企業迫切需要更多個人信息和更廣的處理權限推動技術研發，開創新的商業模式；另一方面，個人用戶愈發忌憚各種智能化場景下個人信息的關聯匯集，使得個人宛如“透明人”一般。

其二，不同企業之間的利益沖突。個人信息經企業處理后，匯聚成可讀的個人數據。個人數據的使用價值是可變且多樣的，其價值取決于具體的應用場景，不同場景下通過不同算法挖掘不同價值。同時，針對同一個人信息主體的數據可能由不同企業收集、存儲，每一企業所掌握的數據總是有限的，僅憑單一企業數據來源不足以對目標客戶進行全面、精準的分析。概言之，數據產業發展有賴于數據的充分流通。然而，目前數據產業中數據流動并不充分，不同企業間的數據爭奪、控制頻繁上演。在互聯網產業中，“贏者通吃”現象更為突出。大型平臺企業利用資金、技術優勢建立跨領域的閉合商業生態圈，匯集了海量個人信息數據。此外，平臺企業為防止用戶轉移流失，往往會設置各種技術壁壘和障礙，用戶即使對企業的服務或產品感到不滿，也會因為無替代服務或數據轉移困難等原因而放棄，②See Bornico,L.,and I.Walden，“Ensuring Competition in the Clouds:The Role of Competition Law?,”Era Forum no.12.2,2011,pp.265-285.導致用戶被牢牢地鎖定在這些平臺之中，形成數據孤島。

其三，企業與國家之間的利益沖突。數字技術的不斷縱深發展極大地促進了經濟全球化進程并逐漸演化為數字全球化，數據的跨境流動已成為全球大型互聯網企業投資增長的重要途徑。盡管數據跨境流動是企業運營中常見的商業活動，但載有個人信息的數據跨境流動可能威脅到公共利益甚至國家安全。③See Burri,Mira,“The Governance of Data and Data Flows in Trade Agreements:The Pitfalls of Legal Adaptation”，UC D L Rev,Vol.51,2017,pp.65-133.從總體的國家安全觀來看，一方面，部分跨境流動的個人數據中可能含有特定個體的個人信息。如特殊工種的涉密人員在日常工作中可能與國家安全產生千絲萬縷的聯系，盡管單純的個人信息并不屬于國家機密，但可通過關聯分析危及國家安全；另一方面，海量普通用戶的個人信息也可能威脅國家安全。例如，國內第一大出行服務提供商滴滴公司在中國擁有超過3.77億用戶，日均產生2500萬次訂單。①See DIDI IPO prospectus.這些訂單數據中不僅關系到用戶個人信息，還包括我國道路交通流量、人口聚集區等敏感內容。自“棱鏡門”事件后，各國紛紛轉向數據本地化留存避免數據跨境流動產生的安全風險。但過于嚴苛的數據跨境流動限制將導致互聯網產業發展受到限制，國內相關企業將很難參與國際競爭，國內消費者也可能無法享受境外產品的優質服務。②參見高山行、劉偉奇：《數據跨境流動規制及其應對——對〈網絡安全法〉第三十七條的討論》，《西安交通大學學報（社會科學版）》，2017年第2期，第87頁。

（二）既有個人信息商業利用制度構建路徑省察

當前我國數字經濟發展方興未艾，但個人信息商業利用的制度供給尚嫌不足。概括來說，既有研究主要圍繞賦予個人信息財產權及個人信息的社會控制模式展開。

1.個人信息財產權模式及其不足。個人信息商業利用并非新生事物，明星的肖像、姓名等傳統人格權客體的商業利用表明，個人信息不僅具有人格利益，還具有財產利益。大數據時代，個人信息商業利用不再是社會明星的“特權”，普通公民的個人信息亦具有極大商業價值。與姓名、肖像等直接個人信息類似，其他類型的個人信息在大數據時代同樣可效仿肖像權商品化的機理，即能夠許可他人利用，財產權益可被繼承，可請求財產損害賠償。③參見郭明龍：《論個人信息之商品化》，《法學論壇》2012年第6期，第109頁。正因如此，這種商業價值及可控制性使得個人信息具備法學意義上的“財產權”客體。④See Thunert,Martin.“The Information and Decision Support Centre(IDSC)of the Egyptian Cabinet:A Think Iank in the Making”,Zeitschrift fiir Politikberatungz,no.4,2009,pp.679-684.個人信息財產權強調個人信息不僅具有一般的人格權或人身性權益，還承載了財產權益。⑤參見龍衛球:《數據新型財產權構建及其體系研究》，《政法論壇》2017年第4期，第74頁。個人信息主體作為其利益的最直接判斷者，允許其與企業之間磋商談判，似乎有利于實現合理對價下的權利歸屬變更。鑒于市場通常極具效率，個人信息財產權似可極大解決個人信息商業利用的負外部性，從而促進個人信息的流通。⑥參見洪瑋銘、姜戰軍：《數據信息、商品化與個人信息財產權保護》，《改革》2019年第3期，第152頁。但事實并非如此，賦予個人信息財產權并不足以在制度層面實現個人信息保護與商業利用平衡。其一，個人信息財產權可能阻礙數據產業發展。個人信息蘊含商業價值已廣為認可，但單個主體的個人信息財產價值極低，個人信息主體與企業之間的價格機制很難實際運行，有限的經濟激勵很難刺激個人信息主體出售其個人信息。其二，個人信息財產權可能加劇個人信息人格權益侵害。從形式上看，個人信息財產權可以強化信息主體對其個人信息的主體控制。但是，若信息主體將其個人信息財產權轉移至企業，企業則可能更加肆無忌憚地使用其個人信息。

2.個人信息社會控制模式及其不足。基于賦權（財產權等）的個人控制模式在理論上頗受質疑的一個重要原因是忽略個人信息的公共性特點。⑦參見孫清白、王建文：《大數據時代個人信息“公共性”的法律邏輯與法律規制》，《行政法學研究》2018年第3期，第56頁。個人信息的商業價值應在分享與流通中實現，私權化將阻礙數據的流通。⑧參見梅夏英：《在分享和控制之間：數據保護的私法局限和公共秩序構建》，《中外法學》2019年第4期，第849頁。個人信息除識別個人外，還關涉他人和社會利益，不應簡單由個人決定，而應將個人信息視為社會的共同資源并由社會或國家決定對個人信息的收集與利用，這在制度上也更有效率。①參見吳偉光：《大數據技術下個人數據信息私權保護論批判》，《政治與法律》2016年第7期，第130頁。因此，個人信息保護與商業利用之間的平衡方式在于將個人信息以可逆轉的方式成為公共物品。②參見朱新力、周許陽：《大數據時代個人數據利用與保護的均衡——“資源準入模式”之提出》，《浙江大學學報（人文社會科學版）》2018年第1期，第23頁。對個人信息的處理規范將由法律作出精密安排。通過對個人信息處理者的行為予以規范和對違法處理行為予以懲治，從而避免個人信息的濫用和實現個人信息的救濟。③參見高富平：《個人信息保護：從個人控制到社會控制》，《法學研究》2018年第3期，第100頁。然而，個人信息的社會控制模式過于強調個人信息的公共屬性，未能充分回應個人信息的可識別性。個人信息始終是可以識別出特定主體的信息，體現了特定主體的外在形象和內在喜好等多元人格面向，敏感個人信息甚至還關涉個人隱私。因此，僅憑個人信息同時具有公共屬性這一理由不足以替代個人對其個人信息處理的決定。此外，我國《民法典》已明確將個人信息納入人格權編，社會控制模式還將面對重大私法障礙。

（三）對個人信息商業利用制度構建的反思

個人信息是人格權還是財產權客體，是個人控制還是社會控制，學界一直爭執不下。究其原因，無非是立法細化解釋缺位，理論學說聚訟紛紜，個人信息與個人數據等概念交織。小數據時代，個人信息常以文字形式記錄于紙張或其他媒介之上，個人信息通常僅具有統計意義。而大數據時代，數字技術將個人信息數據化，個人信息往往以電子數據的形式存儲并利用，個人信息與數據的關系在數字時代幾成一體，導致個人信息權益與載有個人信息的數據權益交叉融合，并日趨復雜。盡管越來越多的學者注意到個人信息與個人數據之間的區別，并認識到兩者分屬本體與媒介或內容與形式之差別，但并未深入研究這些區別對個人信息商業利用的規則體系構建的影響。有觀點認為，以數據為載體的個人信息同時具有“信息自決權”和“數據財產權”兩個面向，④張憶然：《大數據時代“個人信息”的權利變遷與刑法保護的教義學限縮》，《政治與法律》2020年第6期，第57頁。并將個人信息之上的信息自決權分配給個人，數據財產權分配至企業。上述觀點充分認識到個人信息商業利用中個人與企業的權利配置平衡，然而，在《民法典》已明確指出公民個人信息權益屬于人格權益，而非財產權益的情況下，⑤參見程嘯：《論我國民法典中的個人信息合理使用制度》，《中外法學》2020年第4期，第6頁。賦予個人信息以數據財產權勢必缺乏制度基礎，《個人信息保護法》對此也有類似表達。由此，在個人信息商業利用的主要場域——網絡世界中，個人信息的生產、加工、利用、流通等均以數據形式開展，在這種交織狀態中，精準解讀和定位個人信息與個人數據的理論區分將有助于我們妥善安排個人信息商業利用的制度體系。

二、《個人信息保護法》對個人信息商業利用制度安排的價值

個人信息商業利用中的利益沖突在商業實踐中越來越多，“個人信息”保護糾紛與日俱增，“數據”權益爭奪日趨嚴重，個人信息商業利用迫切需要法律予以規范。《個人信息保護法》以維護個人在數字化時代的人格尊嚴和公平為出發點，兼顧了數字經濟發展的合理需求和趨勢，很大程度上化解了個人信息保護與商業利用之間的價值沖突。

（一）在數據紅利與個人信息保護之間尋求平衡

首先，我國《個人信息保護法》開篇即明確了保護個人信息權益和促進個人信息合理利用的立法目的。立法目的條款不僅具有宣示意義，還具備一定的利益衡量功能，①參見劉穎：《民法典中立法目的條款的表達與設計》，《東方法學》2017年第1期，第96頁。平衡協調相關法律關系中的各方利益。《個人信息保護法》立法目的有二：一是“保護個人信息權益”，二是“促進個人信息合理利用”。值得注意的是，《個人信息保護法》立法目的條款刪除了一審稿中“保障個人信息依法有序自由流動”的表述，看似是對個人信息利用的約束，實則是對立法目的廓清。《個人信息保護法》的落腳點是對個人信息之上的人格權益保護，而非個人信息商業利用過程中的數據市場秩序構建。但我國立法對個人信息商業利用的市場秩序并非沒有考慮，而是通過個人信息與個人數據的區分，將個人數據市場流通秩序維護的任務交由《數據安全法》《反壟斷法》處理。其次，《個人信息保護法》擴大了個人信息合理使用的合法性基礎。一方面，《個人信息保護法》第4條第1款沿用了《民法典》對個人信息的定義，將匿名化的個人信息排除在限制處理范圍以外；另一方面，在知情同意規則下，《個人信息保護法》還另行規定了包括訂立合同所必需的等六種例外情況，②參見《個人信息保護法》第13條。以平衡個人信息使用與保護，打破了《網絡安全法》將同意作為個人信息使用的唯一合法性條件的局面，也呼應了《民法典》對個人信息合理使用的相關規定。

（二）明確個人信息主體權利適用前提

個人信息保護不是保護個人信息本身的價值，而是對信息主體的保護，是防止濫用個人信息關聯識別信息主體導致對人的尊嚴、自由等損害，③參見高富平：《個人信息保護：從個人控制到社會控制》，第94頁。因此，個體需要法律賦予其一系列信息權利排除他人肆意使用。在個人信息保護呼聲高漲的今天，世界各國和地區的個人信息保護立法進路多是通過對個人信息主體賦權和對個人信息處理者（控制者）課以責任。這樣的立法技術遵循了一貫的侵權法思維，能快速地構建出個人信息保護的法律框架。合理的個人信息權利應當是被動的防御性權利，而不應是一種建立在個人信息控制權之上的權利。我國《個人信息保護法》在第四章采用了“個人在個人信息處理活動中的權利”的措辭，筆者認為該表述可理解為權利主體是信息主體，義務人是個人信息處理者，適用場景是個人信息處理活動中。易言之，個人信息權利只能適用于特定的信息法律關系，而不能像隱私權一樣針對不特定的第三人，④參見丁曉東：《個人信息權利的反思與重塑：論個人信息保護的適用前提與法益基礎》，《中外法學》2020年第2期，第344頁。即信息主體僅在個人信息處理活動中對個人信息處理者享有該系列權利。

（三）確立大型平臺企業的“守門人”義務

從法理上看，任何主體對其控制的場所負有安全保障義務。在現實世界中，經營者需對其經營場所中的消費者或其他進入該場所的人負有適度的安全保障義務。在虛擬的網絡世界，企業亦有義務確保其用戶的個人信息不被濫用、泄露。面對海量用戶個人信息，一種有效的方案即是抓住數據產業生態中的關鍵角色，賦予其“守門人”義務。⑤參見張新寶：《互聯網生態“守門人”個人信息保護特別義務設置研究》，《比較法研究》2021年第3期，第12頁。《個人信息保護法》遵循上述思路，合理借鑒歐盟《數字市場法》的經驗，引入了針對大型平臺企業的特別義務。一方面，大型平臺企業因覆蓋面廣，業務類型豐富，往往掌握了海量個人信息，一旦泄露或是濫用將導致嚴重后果，需要賦予大型平臺企業以更高的個人信息保護責任。另一方面，大型平臺企業往往還為其他互聯網企業提供技術和運營環境，其技術和管理在產業生態中具有強大控制力。因此，《個人信息保護法》賦予大型平臺企業以更高的保障義務，即對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務。①參見《個人信息保護法》第58條第3款。該監管模式也更具有經濟合理性，因為多數情況下，第三方監督尤其是具有技術優勢的監督主體遠比行政機關監督數量眾多的違法行為更符合經濟學上成本收益分析。②參見高秦偉：《論行政法上的第三方義務》，《華東政法大學學報》2014年第1期，第49頁。

三、個人信息商業利用制度安排的前提：個人信息與個人數據的區分

如前所述，個人信息商業利用制度構建中充斥著大量的個人信息與個人數據的混同。一方面，將對個人信息的控制賦權衍生至個人數據，導致個人信息主體的行權對象擴張，基于數據創新的企業將舉步維艱；另一方面，對個人數據的確權不足引發“數據究竟屬于誰”的爭論，進而阻礙數據流通。因此，對個人信息商業利用制度安排的起點應是厘清個人信息和企業處理后得到的數據即本文所稱個人數據之間的關系。根據國際標準化組織（ISO）對數據的定義，數據是對信息的一種形式化呈現方式，通過這種形式可將信息內容展示出來，便于溝通、展示含義或處理。③See ISO/IEC 2382:2015(en)Information technology—Vocabulary.數字化條件下，個人信息與個人數據聚合在同一對象之上，從而構成一體兩面的關系，即數據是一種機器可讀編碼，而信息是機器對該編碼符號的解讀。我國個人信息商業利用應采取國際標準化組織的定義，明確個人信息側重的是內容，強調的是對用戶人格權的保護；個人數據側重于形式，強調的是企業享有對個人數據處分收益等權利。兩種不同客體分別承載著不同的權利。

（一）個人信息與個人數據分屬不同的權利客體

區分“個人數據”與“個人信息”不僅可以確保規范層面個人信息的界定科學合理，還可以為數據企業的發展預留出合法空間。④郭如愿：《個人數據的經濟利益論與財產權利構建》，《電子知識產權》2020年第5期，第34頁。事實上，個人信息與個人數據的區分在《個人信息保護法》之前已有諸多嘗試并逐漸形成二者分置的共識。我國《民法典》第111條和第127條即將個人信息與數據分別予以規定，《數據安全法》第3條將數據定義為“任何以電子或者其他方式對信息的記錄”，亦闡明了數據與信息之間的關系。筆者認為，個人信息與個人數據在法理上理應是區分的。一方面，從權利性質來看，《個人信息保護法》等賦予個人對個人信息享有查詢復制、更正刪除等權利，雖是一種新型權利，但本質仍是來源于人格權，保護的是個人信息的人格權益；而經企業合法處理個人信息而來的個人數據在數字經濟時代已迸發出巨大商業價值，因此，個人數據應強調的是其作為大數據集合所具有的財產性權益。另一方面，從權利歸屬來看，個人信息之上的查詢復制、更正刪除等權利作為人格權的具體形式，始終歸屬于個人信息主體；而個人數據則是花費企業大量的人力和技術成本收集、存儲、加工的個人信息，因此，企業對個人數據享有一定財產權益，這也符合財產權勞動理論。⑤參見張新寶：《論個人信息權益的構造》，《中外法學》2021年第5期，第1160頁。個人信息與個人數據的二分，既可充分保護個人信息主體的人格權益，又能極大限度鼓勵數據流通，促進數據產業發展。

（二）個人信息與個人數據區分的法律意義

個人信息與個人數據概念的混用在單純的個人信息保護語境中可能不會引起理解上的偏差，但在個人信息被廣泛商業利用的大數據時代，兩者混用將直接導致數據權益與信息權益的關系混亂。①參見韓旭至：《信息權利范疇的模糊性使用及其后果——基于對信息、數據混用的分析》，《華東政法大學學報》2020年第1期，第91頁。個人信息與個人數據的區分可明確個人信息主體或企業的行權對象，也為司法裁判提供更為合理的論證路徑。首先，個人信息與個人數據的區分決定了個人信息的權利對象。例如，個人信息攜帶權被認為是防止數據集中，促進數據流通的良方，但基于個人信息或數據將產生不同理解：一種理解是，平臺僅需要提供其收集到的個人信息即可，可以是文字描述也可以是其他形式類型的呈現；另一種理解是，平臺應當在信息主體提出個人信息轉移申請之時，提供基于個人信息處理后得到的載有用戶個人信息且便于機器可讀的數據。②參見梅夏英：《信息和數據概念區分的法律意義》，《比較法研究》2020年第6期，第153頁。不同的理解方式將導致個人信息權利的指向不明。其次，區分個人信息與個人數據可明確企業權利范圍和創新的邊界。在個人信息商業利用的視域下，企業合法處理后得到載有個人信息的數據要素如何定性將對培育數據要素市場至關重要。混亂的個人信息界定將極大擴張受保護的個人信息范圍，個人數據也有可能歸為其中，導致企業陷入無所適從的困境。最后，為司法裁判厘清論證說理的裁判路徑。在“淘寶訴美景公司大數據產品不正當競爭案”中，法院一方面認為經過深度整合分析處理的個人信息已獨立于信息主體和原始網絡數據，屬于大數據產品。另一方面卻又承認大數據產品的價值在于內含的個人信息內容。③參見杭州鐵路運輸法院（2017）浙8601民初4034號民事判決書、浙江省高級人民法院（2019）浙民申1209號民事裁定書。此表明個人信息與個人數據的混沌關系對司法裁判的困擾。事實上，在個人信息與個人數據區分的背景下，該案是單純的數據權益糾紛，個人信息對本案并無實質影響，法院只需依據企業對個人數據享有財產性權益便足以作出合理裁判。

需要指出的是，個人信息商業利用始終圍繞個人信息的具體內容展開并以數據形式運轉，因此個人信息與個人數據確是無法在實際上截然分離。在個人數據的使用和流通過程中，依附于數據之上的個人信息仍然存在不可避免的人格權益侵害風險。然而，個人信息與個人數據的交織糾纏并不意味著對其區分毫無意義。個人信息與個人數據的區分的重要意義在于識別個人信息商業利用過程中權益類型，是個人信息主體的人格權益還是個人數據的財產性權益。個人信息商業利用實踐很大程度改變了過去人格權或隱私權的法律規制邏輯，個人信息的非財產屬性已無法適應個人信息商業利用的行為。④參見齊愛民:《私法視野下的信息》，重慶：重慶大學出版社，2012年，第219頁。也正因如此，區分個人數據就顯得尤為必要，由個人數據的財產屬性彌補單一個人信息商業利用中的制度不足。概言之，個人信息與個人數據的二分，更貼合兩者的概念內涵和經濟本質，也更有利于對個人信息中的人格權益保護和數據中的經濟價值的發揮。

四、《個人信息保護法》框架下個人信息商業利用的制度安排

個人信息的保護與利用需采取跨越個人信息主體權益保護、數據財產保護、競爭法等領域的綜合性制度。①See Parsheera,S.,S.Moharir.“Personal Data and Consumer Welfare in the Digital Economy.”Social Science Electronic Publishing.《個人信息保護法》為個人信息保護與商業利用提供了一個制度性框架，未來應在《個人信息保護法》的框架內，細化個人信息商業利用的合法性基礎和利用方式，構建個人數據市場流通規則體系，從而實現《個人信息保護法》與《數據安全法》等法律的銜接與融合。

（一）個人信息：在合法處理基礎上合理利用

我國《個人信息保護法》針對個人信息處理作出了細致規定，概括來說，即是在合法性基礎上合理利用個人信息。在個人信息商業利用場景中，應如何理解適用《個人信息保護法》中的“合法性基礎”與“合理使用”？這也是個人信息商業利用制度安排的核心。

首先，細化個人信息商業利用的合法性基礎。《個人信息保護法》在《民法典》的基礎上，確立了告知同意原則為個人信息商業利用的一般合法性基礎，還將個人信息商業處理的合法性基礎給予適當擴張，即“匿名化”和“合同履行所必需”同樣構成個人信息商業利用的合法性基礎。②參見《個人信息保護法》第13條。但在當代信息技術下實現完全的匿名化幾無可能，幾乎任何加密或匿名手段都有可能識別出特定個人。③See Arkhipov,et al,“The Legal Definition of Personal Data in the Regulatory Environment of the Russian Federation:Between Formal Certainty and Technological Development”，Computer law & security Review 32，no.6,2016，pp.868-887.因此，合理界定個人信息匿名化標準就尤為必要。筆者認為，我國《個人信息保護法》關于個人信息匿名化“無法識別且不能復原”④參見《個人信息保護法》第73條第4項。的認定標準應結合具體應用場景，采用一般信息處理者在合理的時間、技術、資金等條件下無法識別特定信息主體為宜。此外，還需出臺相關規定，禁止對匿名化個人數據再識別行為，且需要強調的是，禁止的對象既包括既有信息的處理者，還包括其他接受該匿名化個人數據的接收者。《個人信息保護法》針對數字社會的現實需要，還專門設立“履行合同所必需”的合法性基礎。對于個人信息商業利用而言，該規則意義重大，大大節省了企業信息合規成本。但《個人信息保護法》的該條款相對宏觀，未來應對“必需”作出合理解釋。筆者建議可借鑒歐盟的相關經驗，對“履行合同所必需”應理解為客觀上的必需，而不是制定合同的企業主觀認為的必需。⑤See Guidelines 2/2019 on the processing of personal data under Article 6(1)(b)GDPR in the context of the provision of online services to data subjects.而且，當合同終止后，所有的個人信息將變得不再“必需”，除非征得信息主體的同意或經上述匿名化處理。

其次，明確個人信息的使用方式。目前對個人信息商業利用過于強調收集過程和個人信息數據的歸屬，而對個人信息的使用方式關注不足。個人信息在商業領域的使用方式與公共領域并無二致，不過是提供的數據產品或服務不同而已。個人信息商業利用方式可總結為三類：一是利用特定信息主體個人信息精準識別特定個人；二是集結某一信息主體多種不同類型信息，對其進行“數據畫像”，進而執行某種決策；三是利用海量個人信息建模分析，實現諸如交通擁堵預測等。⑥參見方志偉、王建文：《個人信息在智慧治理中的風險與保護——以〈民法典〉個人信息保護為中心》，《江西社會科學》2021年第5期，第187頁。不同商業使用方式對信息主體權益影響并不一致，因此需對不同使用方式加以明確。對于第一種使用方式通常發生在身份核驗環節，而現有身份核驗的基礎多是基于識別出特定個體（以人臉識別最為典型），極易對個人隱私及財產帶來巨大威脅。因此，企業對該使用方式應極為慎重，鼓勵企業引入“零知識證明”（zero-knowledge proof）技術，在不識別特定個體的情況下完成認證。對于第二種使用方式，即通過描繪信息主體的數據畫像，并提供個性化服務。實踐中，部分企業濫用數據畫像，損害用戶利益，針對該使用方式，法律應明確企業審慎利用的原則。慶幸的是，《個人信息保護法》針對自動化推薦、決策給出了相應規定，即利用個人信息的自動化決策應保證透明度和結果的公平性，并提供便捷的拒絕方式。①參見《個人信息保護法》第24條。對于第三種使用方式，即利用海量個人信息建模分析，實施諸如道路擁堵預測，優化配置企業資源等。該使用方式是個人信息數據在大數據時代價值的核心體現，亦是企業收集處理個人信息的重要動因。從功能實現來看，該使用方式并不需要知曉相關數據集合與特定個體的一一映射關系。因此，對于利用不特定多數人的個人信息優化企業服務質量的方式，可在匿名化處理的基礎上完成。同時，法律還應鼓勵企業將匿名化的個人信息數據交易流通。

（二）個人數據：企業享有個人數據處分、收益權利并鼓勵數據共享

個人信息經企業合法收集、加工等處理后形成機器格式的、可復制利用的個人數據。隨著對個人信息處理活動的持續推進，企業積累了大量具有商業價值的個人數據。從零零散散的個人信息到具有商業價值的數據要素，信息主體通常只是在接受某些商業服務過程中提供了一些必要信息，真正賦予個人信息以使用價值的是信息處理者。與傳統資源要素不同，數據要素可以重復利用，且不因使用而導致價值減損、滅失，反而還會豐富數據類型，進而獲取新知識。此外，單一來源的數據價值含量較低，大數據時代，數據更需要多樣性和多維度，才能發現數據之間的關聯關系。近年來，全國各地已先后涌現了大量數據聚合交易平臺，但收效甚微，對包含個人信息的數據交易更是極力規避。故我們迫切需要構建個人數據流通制度，促進數字經濟發展。

首先，數據確權。數據流通需承認數據控制者的權利，載有個人信息的個人數據在權屬不明的情況下，不認可數據的私人控制將阻礙數據流通和社會化利用，②參見高富平：《數據經濟的制度基礎——數據全面開放利用模式的構想》，《廣東社會科學》2019年第5期，第9頁。進而無法構建數據要素的流通秩序。基于《個人信息保護法》及《數據安全法》對個人信息與數據的二元保護的立法取向，企業對個人信息本身不享有任何權益，但企業對其合法處理個人信息所得的個人信息數據無疑享有法律應當保護的正當利益。數據并非天然生成，需要處理者付出大量人力和資本投入。在此過程中，企業付出了勞動，將個人信息變成可被讀取、易于復制的數據資源。爭議的是，經企業處理形成的個人數據究竟屬于誰？對此，筆者認為，個人數據屬于誰可能始終無法形成共識，但數據產業的發展無法忽視數據企業對數據生產的付出。因此，不妨擱置爭議，承認企業基于合法處理個人信息而享有對應個人數據處分、收益之權能，厘清企業對個人數據處分、收益的邊界，從而實現數據流轉的制度基礎。易言之，企業基于合法處理個人信息取得個人數據處分、收益等權能，有權對其占有的個人數據進行分析、交易等處分行為，并據此獲得相關收益。只是，企業在處分個人數據過程中對個人數據內容層面關涉的個人信息應遵照前述個人信息商業利用的行為準則。

其次，建立有序的數據交易規則體系。數據作為生產要素，通常流動方式即為交換或交易。數據作為生產要素，與土地、資本等存在巨大差異，如數據供需雙方的“信任危機”，數據要素所有權缺失導致的數據保護問題等。更進一步的，個人數據作為更特殊的數據要素，因其包含大量個人信息，故個人數據的流動對信息主體的人格權、財產權將會產生巨大威脅。因此，傳統一對一交易規則下的所有權轉移方式對于數據要素交易而言難以實施，而依托于權威、中立的大型數據交易平臺更為合適。這是因為數據流通高度依賴信息技術的可靠性和穩定性，統一的大型數據交易平臺也更有利于實現對個人信息之保護。此外，數據交易平臺不僅是提供交易、撮合交易需求的載體，還需對交易內容、交易主體等予以審核，這也符合《個人信息保護法》中對大型平臺的“守門人”義務的規定。展開來說，其一，對交易數據之內容予以審查，主要考察其合法性基礎。唯有內容層面符合個人信息人格權和國家安全保護要求，在代碼層面的個人數據方可進一步流通交易。①參見韓旭至：《信息權利范疇的模糊性使用及其后果——基于對信息、數據混用的分析》，第91頁。其二，對交易主體的數據保護水平的審查，要求數據交易中的數據需方具備相當的數據安全保障能力；其三，對數據交易結果作必要的審查。為防止交易雙方利用數據交易實施諸如壟斷、不正當競爭等行為，數據交易平臺有必要對交易可能出現的結果作必要審核。

最后，制定統一數據標準，鼓勵數據共享。數據是許多企業創新的關鍵要素，還是人工智能模型的基礎。如果企業可以低成本、高效率獲取可讀的數據無疑將大大促進產業發展。例如，歐盟正在立法推動醫療機構共享其患者（匿名化）的健康數據，從而幫助醫藥企業針對性研發，尤其是對中小企業而言，可大幅減少其數據獲取負擔，從而促進產業發展。②See European Commission，COM(2020)767 final.未來我國可適當借鑒該模式，營造安全可靠的數據環境，鼓勵數據企業和個人共享個人數據，促進科技進步和產業發展。

結論

個人信息的規模化商業利用迸發出巨大經濟價值，但在缺乏有效的制度約束情況下，個人信息商業利用將造成不同主體之間的利益沖突。實踐表明，個人信息的商業利用并不必然導致信息主體的利益受損。如何把握個人信息保護與商業利用之間的平衡成為當下數字經濟發展的重要課題。《個人信息保護法》的出臺為個人信息商業利用提供了制度框架，其不僅是對個人信息主體權益的保護，還強調促進個人信息的合理利用。至此，在我國立法實踐中，個人信息與個人數據之間的關系逐漸明晰，個人信息經企業合法處理后形成個人數據，參與數據要素的市場流通。由此，我國個人信息商業利用的制度宜在區分個人信息與個人數據的制度前提下，通過適當擴張企業對個人信息商業處理的合法性基礎、明確個人信息商業利用方式等，細化企業對個人信息商業利用規則體系；進而通過確立企業對合法處理后形成的個人數據享有受限制的處分、收益等權利，制定個人數據的流通規則體系，最終形成完整的個人信息商業利用制度閉環。