構筑個人信息權場景風險保護模式
——評《消費者個人信息權保護》

張邦鋪

(西華大學，四川 成都 610039)

個人信息保護是一個“老”問題，又是一個“新”問題。“老”問題指的是，有關個人信息保護的研究開啟早且時間跨度長。國外早在十九世紀即開始關注個人信息，先后提出了保密性理論、信息隱私權理論、隱私控制理論、信息自決權理論等[1]32-40豐富了個人信息的理論研究，并通過司法判例對理論觀點進行論證或強化。國內以周漢華為領軍的研究者自2005年起便持續開展個人信息保護研究，從保護主體、對象、范圍、方式、職責、信息權利歸屬等多重角度切入，結合實踐深研理論知識，形成數份個人信息保護法專家意見稿與立法研究報告，大力推進了個人信息保護的立法進程[2]1-27。“新”的含義是，個人信息保護與時俱進，呼應時代環境里條件的變遷。從移動互聯網普及到信息化建設，到大數據和物聯網的應用，再到“數字化生存”[3]，社會環境頻頻變動。同時，濫用個人金融信息、APP違法違規收集使用個人信息、新型信息犯罪等新情形的出現頻率節節攀升，如若依照傳統保護方式或嚴懲個案的“運動式”保護模式，勢必將陷入困頓。于此，個人信息保護面臨著更大的挑戰，時代也對個人信息保護提出了新要求，亟待因時、因地、因事轉變保護模式，塑造適恰的、前沿的、科學的個人信息保護體系。

長久以來，個人信息的法律屬性一直爭論不休，但并不影響其原生具有的價值意義。個人信息控制者、處理者利用技術手段批量化分析、提取個人信息中符合市場需求的要素進行商業化輸出，實現個人信息的財產價值。在高利潤低成本的誘導下，一時逐利者紛紛涌入信息市場。經濟學規律指明，社會資源總是一定的，其只能在具有競爭關系的領域進行有限配置才能成就優化發展格局，如果資源自發或被動地高度聚合于某一領域，勢必會削弱其他領域的發展能力，一旦建設與管理跟不上迅速增長的需求，各類摩擦、矛盾、甚至是嚴重沖突將接踵而至[4]。作為個人信息生產者的信息主體則是此種沖突下最突出的受害方。詳言之，當下互聯網信息社會環境中，消費者的日常生活、生產活動都已打上信息化烙印，網絡購物、金融服務、線上辦公等都需要信息主體主動披露適度的個人信息，與此同時，信息主體不得不擔憂其個人信息被他方獲取后是否會被二次利用，觸及道德問題、法律問題，個人信息安全如何保障。個人信息承載著多元法律利益，其在不同時代場域中的發展規律、相關信息主體規范化的權利義務關系等問題時刻關系著我國的信息化轉型進程，個人信息的保護與合理利用更是一個需要從法律維度深刻研討的命題。

正值《個人信息保護法》公布前夕，羅娟博士以其博士學位論文為基底所著《消費者個人信息權保護——公私兼濟模式向場景風險模式的轉型》(2021)[5]一書由法律出版社出版(以下簡稱“該書”)。該書植根中國特色司法實踐，充分借鑒國際經驗，以消費者個人信息為研究對象，凝結著對社會歷史語境與時代轉型階段個人信息權保護的長期思考與不懈探索，構建了一套兼顧個人信息權利保護與自由流動的場景風險式的回應型治理框架，為破解我國個人信息保護的現實困境提供了重要思路。

一、系統詮釋“告知-同意”原則，鞏固其在個人信息處理規則中的核心地位

事先告知并征得信息主體同意是合法、合規處理個人信息的重要前提。現實中信息體量成倍膨脹式上漲，逐個努力爭取信息主體同意的做法已因成本過高而不可行。為了打通個人信息處理環節的第一步，經營者不得不采用一些效率性的“變通”手段，諸如一攬子協議、霸王條款、強制同意、告知同意、功能捆綁等顯性或隱性的同意獲取方式，以此為個人信息后續處理行為加固“免責盾牌”，但卻將個人信息置于安全隱患環伺的危險境地[6]。該書詳細闡明了真實世界中多種隱蔽不顯的同意獲取手段的特征、表現形式，直擊違法違規收集消費者個人信息的重災區——手機APP，借助場景描繪與數據統計，呈現了一幅幅現實感極強的有悖消費者真實意愿的、法律邊界模糊的個人信息“告知-同意”畫面。同時，該書通過對多個司法實踐案例的分析解構，發現不同類型的司法案例中“告知-同意”原則均能或多或少影響案件走向，并結合案例實情提取出了有關“告知-同意”的違法行為共同點。現象闡述過程中，該書不停地追問“變通式同意”是否是對傳統知情同意架構的挑戰？其與法律意義上的授權是否等同？是否是經營者為規避合法合規審查而采取的規避手段？是否能夠維護消費者的理性選擇權與信息自主權？為此，該書將歐盟分層告知模式、美國分情形告知模式列為比較對象，深入剖析域外國家的告知認定規則、告知內容、告知形式等具象化規定，積極探求其之所以行之有效的運行機理、內在規律，并以此為鏡，關照我國實情，尋覓我國知情同意制度失靈的緣由。

實際上，有關“告知-同意”規則的適用困境問題國內外文獻已有論述，主要集中于個人信息處理環節“告知-同意”規則的缺失[7]、信息主體作出同意表示的真實性[8]、告知范疇的限縮[9]、改變現有同意模式[10]等微觀研究層面，在相當程度上補強了傳統知情同意架構的制度之失。然而，從宏觀視角重新審視“告知-同意”規則的原初設計思路與理論支撐，有效回應當下全面且真實的告知稀缺、同意獲取手段隱秘難題的研究尚未成型，亟待法律予以制度化關注。鑒于此，該書從“告知-同意”原則本身出發，既不過度限縮也不過于擴張原則本來意涵，基于理論與實踐融合視角，以平實合理的敘事廓清“告知-同意”原則的內涵與外延，并結合WEB2.0時代數字化、網格化程度對原則進行時代語境化重塑，減輕其在大數據時代適用的不確定性并賦予操作性能力，強化其在個人信息處理規則運作中的核心效用。隨著經濟生活使用消費者個人信息的廣度不斷拓展，敏感個人信息處理、個人信息跨境轉移等重要事項并不適合批量授權，需單獨征得信息主體同意。若因信息主體不同意而拒絕供給相關產品或服務，或是僅憑一項同意授權過度收集其他個人信息，或是信息主體作出同意表示后又反悔，其間的權責如何劃分，尤其在智能時代個人信息多以電子形式呈現，“告知-同意”規則又將如何實現制度旨意，這些在該書中體現得不夠突出，有待進一步研究。

二、建構獨立的個人信息權利框架，實現個人信息領域的規則之治

個人信息究竟是一項權利還是一種法益，一直備受爭議，權利觀與法益觀兩大理論陣營在多次博弈中往往各擅勝場，各有短長[11]。立基于法益與權利的差異以及轉換的現實可能性，該書傾向于認同個人信息的權利屬性，提出權利觀是個人信息權概念的理論支撐。為了論證個人信息權的合理性，該書追溯至權利哲學的精神源頭——德沃金的權利理論與霍菲爾德的權利概念分析理論，深度剖析權利的本質以及權利義務的合理配置，再結合既有關于個人信息權利屬性的主流分析——人格權說[12]、財產權說[13]、隱私權說[14]34、憲法人權說[15]44、框架權說[16]，指明將個人信息權視作一項人格利益與財產利益兼容的復合型獨立權利方能達成制度預設。鑒于先導性的權利義務安排很難精準預計并明晰表述當前、未來所有可能狀態中的對應權利義務關系，在個人信息權作為規范底色的支持下，該書提供了一個可供參酌的切入視角，充分慮及作為主要信息主體的消費者與信息業者的知識基礎、生活閱歷和利益需求，重新調配個人信息相關主體的權利義務格局。將消費者個人信息權細化為知情權、信息自主權、查閱復制權、撤回權、要求更正權等分支權利，以便于行權與確權。要求信息業者在個人信息處理活動中履行征求同意、解釋說明、刪除、規范個人信息使用程序、保障個人信息安全、定期評估個人信息存儲環境、接受社會監督等義務，通過顯性條款約束不良行為，進而為各信息相關主體在個人信息權利框架下建立清晰穩定的權利義務預期。

一般認為，權利所有人善于利用自身權屬優勢攫取超額剩余財富，有必要限制其權利的使用范疇。著眼于個人信息領域，作為個人信息權利所有者的消費者與信息業者之間的權利與地位嚴重不平等，具有財力優勢、技術優勢的信息業者雖未掌握個人信息所有權，但往往在這一關系中占據絕對優勢地位，前述常規于此間缺乏運轉空間。因此，考慮到權利義務分配格局背后的深層次社會制約因素，囿于消費者的專業信息弱勢群體地位，為實現實質公平正義，有必要對消費者的個人信息權予以傾斜性配置[17]。該書引入經濟法的傾斜性保護為制度設計增添理論依據，對信息相關主體的關鍵權益展開價值衡量，助力于保護信息弱勢主體的利益，促成利益沖突主體間的整體平衡。通常情形下，權利傾斜性配置因偏向性地在賦予一方更多權利的同時加重相對方義務而遭致利益受損方的對策行為，僅憑單個個體消費者之力難以消弭對策行為帶來的破壞力，甚至迫使制度績效大大減弱[18]。如何運用科學的法律規范、恰當的市場工具應對對策行為為引致的制度風險值得深思。是否可借助個人信息權利框架的實踐經驗，分離出易被輕視、但又深刻影響制度運作的“暗物質”，有針對性地提出與之匹配的制度，是該書尚有待鉆研的地方。

三、創設場景風險保護模式，積極回應個人信息治理改革

自保護個人信息這一主題出現在人們的關注視線時，各國致力于研究契合本國社會現實、法律文化、法制發展背景、歷史淵源的個人信息保護模式，相繼提出了部門法共同保護模式、分塊保護模式、統一保護模式、混合保護模式等等。該書整合各國既有個人信息權保護模式，提煉出包括特征、運作機制、法律支撐、優勢、缺陷等在內的一系列規則知識，抽離出它們最重要的共同特征——公私合力共同規制個人信息侵害行為，將之統稱為“公私兼濟保護模式”。值得肯定的是，以公私關系學說作為理論支柱的公私兼濟保護模式，運用其復合保護之力，在技術尚未成熟的社會發展早期發揮了的積極作用。進入數字信息時代以來，摒除社會轉型、技術發展、思想意識變動等因素，純粹從“保護”的角度來制定個人信息治理方案難以降低信息主體的風險焦慮和不安，反而在相當程度上為信息業者的不當信息行為提供反向激勵，促使信息業者采取機會主義策略以攫取短期利益[19]。概言之，具有強烈事后特征的個人信息常態化治理方案已漸顯頹勢，亟待找尋到致使既有個人信息權保護模式運轉失靈的癥結。鑒于此，該書試圖跳脫出現有個人信息權保護模式的桎梏，轉換觀察視角，俯瞰紛繁復雜的現象間的關聯，以場景分析與風險治理為突破口，創設一種創新性與實踐性兼具的新型個人信息權保護模式——場景風險保護模式。

場景風險保護模式作為該書的最大創新點，以明晰的方式重點闡釋了三個問題。

其一，個人信息保護與信息自由流動之間不是非此即彼的選擇關系，而是彼此應和、優勢互補的兼容關系。個人信息具有多樣性、客觀性、價值性、依附性等特征，提供全方位保護是公私兼濟保護模式的主要觀點，也是實現信息主權的題中應有之義，而信息自由流動則會對這種狹窄的保護體系產生沖擊。個人信息蘊含著人格利益與財產利益，個人信息權是人格權與財產權的雙重復合體[20]，個人信息權保護不能過度偏向某一種權益，而應追求不同權利間的平衡與兼容。場景風險保護模式意識到信息自由流動既是實現個人信息財產價值的實踐載體，還是信息市場交易的正當需求，更是信息開放共享的基本要求。因此，對個人信息權保護體系作有理有節的擴大解釋，經由復雜微妙的融合過程將規范的信息自由流動行為納入保護視域，促成個人信息保護與信息自由流動的既各司其職又相輔相成的格局。而個人信息保護與信息自由流動共存的核心在于找到它們之間的平衡節點，以此來促成互動、協調預期利益。

其二，將風險導向思維融入場景分析方法，對個人信息處理活動中的信息侵害行為展開識別定性。在互聯網加持的快信息時代，個人信息處理場景的多元性、復雜性尤為顯著，并且不同場景中的各方利益勾連交錯，處置不當則可能動搖制度根基，有必要厘清不同場景所呈現的“地方性知識”和“地方性需求”，結合風險治理理念，運用靈活的保護方式有針對性地規制信息侵害行為。場景金融中的消費者個人信息權保護即是典型例證。詳言之，數字化、智能化的金融業務發展方向催生了科技與生產生活場景相結合以滿足消費者金融需求的場景金融，個性化、多樣化的金融服務場景建設需要金融消費者個人信息的支撐，通過挖掘、分析個人信息來準確描繪消費者的金融需求畫像[21]。場景金融是金融服務創新的突出表現，具有業務細分、定位精準、需求導向、科技元素顯著的鮮明特征，這一場景中可能致使個人信息被侵害的風險主要源自金融機構對消費者個人信息的采集與使用階段。因此，依循場景風險保護模式的路徑設計，于場景金融視域下保護個人信息權需要著重規制金融機構的信息處理行為，準確辨識過度收集、違規分析或非法使用消費者個人信息的行為，同時還需督促建立并完善安全的個人信息存儲系統，防范潛在的或現實的個人信息人為泄露與工具泄露風險。

其三，區分個人信息流通環節，實現對個人信息權的全周期保護。每一個信息流通環節可被視作一個場景，個人信息由從無到有的生成至從有到無的歸零大概將經過信息收集、信息處理(使用與加工)、信息傳輸、信息存儲、信息共享、信息刪除環節[22]。場景風險保護模式有意識地規避整合式風險防控手段，傾向分步式風險管制方案，試圖通過以點到面的風險治理格局將風險控制到具體環節，以便于指向明確地制定風險治理措施。操作實踐中，應率先明確個人信息流通環節，對每一環節中的信息行為進行動態觀測。一旦出現信息侵害風險可及時歸入對應環節以便作出有效的風險應對措施，由于整個個人信息流通環節是一個整體，還應注重不同環節之間的牽連，站在整體視角高度察知、預警風險，從而實現對個人信息權的全生命周期保護。

場景風險保護模式的提出為個人信息權保護研究打開了一道嶄新的視窗。借助場景分析方法與風險思維進路沖破固化的研究范式，靈活運用司法經驗事實與傳統個人信息權保護理論進行對話，預后前景非常可觀，有助于未來個人信息權保護研究的思維拓展。稍顯遺憾的是，場景風險保護模式主張將個人信息權利保護置于具體場景，這一構設雖然將不同的個人信息流通場景從形式上區隔開來，但在空間上依然呈現彌散化態勢，可能存在碎片化保護之嫌，進而有礙建構體系化的個人信息權保護系統。

新近出臺的《個人信息保護法》分別從信息處理規則、信息權利、信息義務、信息跨境流動、信息保護責任等維度為保護個人信息權賦能。可見，保護個人信息權是數字社會治理與數字經濟發展面臨的機遇和挑戰。合法、正當、必要、誠信地使用個人信息，保護信息主體的信息權益，促進權利保護與信息流動的平衡，在提升現代化社會治理能力的同時，社會成員也將享受到充足的信息紅利。反之，如若優化的制度方案仍然難以應對新場域環境下的個人信息侵害，或者制度的實操性和時效性沒有迭代升級，社會必將受到愈加復雜的個人信息亂象的劇烈反噬。該書正是意識到保護個人信息權的重要性與必要性，從現實問題出發，將已然存在的問題與未來社會改革方向結合，前瞻性地探索時代發展態勢下的個人信息權保護模式，通過理論建構與經驗汲取形塑成場景風險保護模式。這一模式并非一種臆想，其制度意涵符合立法理性主義、立法大眾主義與立法能動主義，經由法律制度層面穩定落實將展現出個人信息權保護的善治遠景。