數據治理視域下我國個人信息保護的反思及重構

摘要：《個人信息保護法》的頒布標志著我國個人信息保護法律體系的基本建立，但個人信息保護仍存信息范圍厘定不清與私法保護路徑局限的兩大困境。可識別性是厘定個人信息保護范圍的核心標準，因其存在立法邊緣化和適用模糊化的問題，會直接促致保護范圍被過度擴張，壓迫數據處理的合理空間，對數字經濟發展形成桎梏。路徑方面，獨以私法路徑保護個人信息，既脫離了數據治理和產業發展的綜合需要，也引致個人信息保護在功能上的殘缺和效果上的局限。脫困之策乃是倡導一種個人信息保護的自體治理進路，聚焦關鍵環節優化規范供給，將可識別性確立為識別個人信息保護范圍的核心要件，平衡配置個人信息保護中的公私法路徑。據此可實現對個人信息的精確判定和精當保護，同時也兼善對個人信息的公共利用。

關鍵詞：個人信息；可識別性；私法保護；公私并重；數據治理

基金項目：重慶市社會科學規劃法學專項重大項目“西部陸海新通道物流規則一體化推進路徑研究”（2023FX02）

中圖分類號：D923 文獻標識碼：A 文章編號：1003-854X（2024）07-0137-08

一、問題的提出

在新興技術發展的歷史進程中，科技向善是人類的永恒追求，但技術本身是一種澎湃的力量，風險與福祉常常相伴而生，并無是非善惡之本性可言。（1） 因此，科技發展離不開法治的引導，信息技術的發展概莫能外。（2） 個人信息不是新興事物，但在信息技術發展的催動下，市民社會所面對的個人信息風險實卻是前所未見。（3） 在數字化轉型背景下，個人信息處理者對個人信息資源的攫取和控制超越了物質層面的制約，個人信息泄露的風險突破了時間、空間甚至國境的限制，超出了自然人所能感知的范疇。面對前所未有的技術恐慌，如何制約數字化轉型過程中的風險擴張成為國家治理的重要關切。（4）

為推動數據治理能力與治理體系的現代化，我國不斷完善個人信息保護的立法供給。我國對個人信息的法律保護始于刑法，最早見于2005年《中華人民共和國刑法修正案（五）》，第177條對竊取、收買、非法提供公民信用卡信息的行為予以禁止，這是我國法律首次對個人信息處理活動予以規制。（5） 四年后的《中華人民共和國刑法修正案（七）》（以下簡稱《刑法修正案（七）》則更進一步，第253條將公民個人信息作為直接調整對象，對非法獲取、非法提供公民個人信息的行為予以刑事規制。此后，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國消費者權益保護法》、《中華人民共和國民法典》（以下簡稱《民法典》）等多部法律、國務院制定的部門規章和工作條例，以及多部門聯合展開的專項行動均在相應領域“加碼”個人信息治理。

2023年2月《個人信息出境標準合同辦法》頒布，進一步完善了我國個人信息保護體系的同時，也給予了反思當前個人信息保護范圍、規范適用和路徑方案的契機。本文認為，我國個人信息保護仍存兩大困境。其一是范圍困境，表現在立法和適用兩個層面。立法層面，可識別性作為個人信息保護的核心要件，在《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）實施后喪失了主導地位，從而可能導致個人信息和其他數據之間概念邊界的混淆。適用層面，現有規范對可識別、匿名化等標準表述模糊，治理實踐缺乏可執行的技術標準。其二是路徑困境。《民法典》出臺后，理論界對個人信息私權保護的探討不斷深入。然而，在日益強調公開、流動、共享的數字時代，私法保護路徑對于權益保護與產業發展之間的價值平衡仍然有待商榷。針對上述問題的思考，既是對現有規范框架的再檢視，亦是完善個人信息治理模式的新開始。

二、個人信息保護的范圍反思：從識別說到關聯說

在《個人信息保護法》視域下，個人信息是一種特殊的數據，其于法治層面的特殊之處在于，自然人基于可識別性對其個人信息享有知情同意、查閱、復制、刪除等法定權益，而處理者則需承擔去標識化、分類管理等額外的保護責任。《個人信息保護法》第4條第1款將匿名信息從適用范圍中排除，也從側面反應出個人信息受法律保護的前提在于可識別性。（6） 問題在于，《個人信息保護法》的規范表述弱化了可識別性對于個人信息治理的劃界功能，造成保護對象的泛濫，引發數據治理的體系化混亂。

（一）可識別性的主導地位式微

我國對個人信息的法律定義正由“識別說”向“關聯說”轉變。（7） 作為當前世界各國個人信息立法定義的兩種主流模式，“識別說”認為個人信息的基本特征是具備識別特定自然人的可能性，不具備識別可能性的數據則非個人信息。“關聯說”則摒棄了識別性要求，認為一切數據，只要與自然人存在關聯即可歸屬于個人信息。可識別性的劃界功能一旦喪失，個人信息保護的正當性基礎即遭動搖。

《個人信息保護法》頒布之前，我國規范文本對個人信息的定義皆以“識別說”為要：2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第1條明確提出“可識別公民個人身份”的電子信息受到國家保護的基本立場，《網絡安全法》第76條和《民法典》第1034條均繼承了“可識別特定自然人之信息為個人信息”的“識別說”定義模式。《個人信息保護法》則一改舊制，只要特定數據與“已識別”或“可識別”的自然人相關，即為個人信息。在《個人信息保護法》的定義中，個人信息的核心特征是“與自然人相關”，只不過此處的自然人范圍受到“已識別”和“可識別”兩項要件的制約，“可識別”由個人信息內涵之核心轉變為限定條件，且不是唯一的限定條件。“識別說”為“關聯說”所取代，其必然的邏輯結論是我國個人信息法律定義擴張時代的來臨。（8）

相比“識別說”，“關聯說”削弱了個人信息法治的合理性。數據是信息時代的生產要素，法律針對數據處理活動的干預和控制應當基于法定權益或特定公共目的，如公民權益、知識產權保護、國家安全等。（9） 就個人信息而言，法律保護的目的在于保障自然人的自由與人格尊嚴不受數據處理活動的侵害，換言之，只有當個人信息處理行為足以危害自然人的民事權益、產生權益保護之必要時，個人信息法律規范對其調整方才具備正當性。就此而言，可識別性對個人信息保護立法具有雙重價值，既為個人所享有之權益與處理者所承擔之責任提供正當性來源，亦可為監管范圍劃定必要邊界，遏制保護范圍的無度擴張。

“關聯說”模式下，個人信息保護范圍有進無退，規范適用喪失了清晰的邊界，法律競合、選擇性執法現象將成為治理實踐的必然結果。為此，《個人信息保護法》試圖通過適用范圍的限定調整加以彌補，第4條排除了匿名信息的法律適用，但根據本法第73條對匿名化處理的解釋，匿名處理所隱匿的是信息的可識別性，并未能消除與自然人的相關性。匿名信息本質上仍舊是與已識別的自然人有關的信息，仍在本法的調整范圍之內，原則與例外之間未能實現邏輯自洽。

（二）可識別性的判斷標準不明

除定義環節外，可識別要件在規范適用環節的作用同樣不可忽視。結合《民法典》第1038條和《個人信息保護法》第73條的內容可知，個人信息經匿名化處理之后就不再是個人信息法律規范的調整對象。作為法律監督個人信息處理行為的制度支點，匿名化處理以治理者對可識別性的理解為基礎，失之于寬，則法律規范對于個人信息處理者的責任規定可能通過技術手段被規避；失之于嚴，則可能導致《個人信息保護法》的規制要求過度拓展，數字經濟產業將承擔龐大的合規成本。但無論是《民法典》還是《個人信息保護法》，對于什么是匿名化處理、如何判斷數據的可識別狀態均缺乏細致明確的規定，看似簡明的規范概念在治理實踐中面臨諸多模棱兩可之處。

一方面，法律規范對于匿名化的內涵表述存在歧義。《個人信息保護法》在第51條中明確指出，保障個人信息安全的技術措施包括加密和去標識化等，此處產生的疑問是，匿名化的技術要求是否高于去標識化。根據第73條對去標識化和匿名化的內序的處理后果均包含無法識別特定自然人之要求，區別在于去標識化信息具有“不借助額外信息”的前置限定條件，并非任何情況下均不具備識別特定自然人的可能。匿名化處理后的信息是否應當排除結合其他信息識別自然人的可能性，《個人信息保護法》未作明確規定。若匿名化處理不要求排除借助其他信息識別自然人的可能，則匿名化處理成為附加不可復原要求的去標識化，內涵接近等同。否則，匿名化處理后的信息可識別性應當被徹底破壞，在任何情況下都不再具備識別的可能。去標識化處理后的信息不具備直接識別自然人的能力，但在大數據技術的加持下卻具備間接識別的可能。隨著數據分析技術不斷迭代，匿名化處理的技術成本將日益膨脹，《個人信息保護法》對于匿名化信息的判斷要求必然水漲船高。在此種理解下，匿名化更接近于一種有利于公民權益保護的理想狀態，對于個人信息法律治理實踐缺乏可執行性與實際效用。涵闡述，兩種程

另一方面，法律規范對于可識別性的判斷標準存在空白。對于可識別性的判斷應當遵循主觀標準還是客觀標準，《民法典》和《個人信息保護法》對此均未作出明確規定，這就導致治理實踐中信息的可識別性判斷陷入困境。例如，個人信息在匿名化處理之后對于該信息的處理者及可預見的控制者不具備可識別性，但其他處理者具備通過該匿名信息識別特定自然人的能力，此種情況下該信息僅在部分處理者手中具備可識別性，那么該信息是否屬于個人信息的范疇？換言之，法律規范關于可識別性判斷的理解存在執行層面的分歧，而個人信息治理的擴張性趨勢之下，分歧的結果往往是采取客觀標準判斷匿名化處理的效果。（10） 這就使得客觀標準在規范適用的過程中演變為結果導向，最終導致個人信息治理的重點由事前的風險防控轉向事后的侵權損害補償，整體治理效果難以達到立法預期。

三、個人信息保護的路徑反思：私權保護的局限

《個人信息保護法》并非個人信息法律體系構建的終點，對于個人信息權利、權屬的制度探索才剛剛開始。信息技術的發展日新月異，意味著個人信息治理必須時刻應對信息社會新業態的挑戰，對于相關規范的立法技術和立法質量必須提出高于常規的要求。如何在秩序構建和權益保障的雙重需求下框定個人信息保護模式，成為數據法治實現科技向善的關鍵議題。

《民法典》人格權編對個人信息權益予以認可，但人格權化未必是個人信息保護的最佳方案。當前，個人信息的經濟價值已充分彰顯，與國家安全的連結亦不斷加深，法律治理需求從私權保護領域逐步溢出，已然成為超越傳統單一部門法轄制范圍的綜合問題。基此，應當正視個人信息法律治理的獨特性與外部性，構建公私并重的個人信息法律體系，銜接公法主導的數據法治框架。

（一）私權保護的三種路徑

對于個人信息處理行為的限制是數據治理的要求，這種限制一方面是針對個人信息處理活動對自然人的隱私、尊嚴、自由造成損害之風險的規制，另一方面是法律賦予公民對于個人信息享有應得利益的具體體現，《中華人民共和國刑法》（以下簡稱《刑法》）、《個人信息保護法》、《民法典》均規定個人信息受到法律保護。但我國立法并未將個人信息權益設立為法定權利，《刑法》側重于對非法獲取、違規出售及提供公民個人信息行為的事后懲處。《個人信息保護法》主要采取行為規制模式構建個人信息處理秩序，未設立“個人信息權”的權利概念。《民法典》雖在人格權編述及個人信息，但并未使用“個人信息權”的表述，不僅是在第999條列舉具體人格權時未提及“個人信息權”，在人格權編的章節標題設置上亦可窺見個人信息之上未設法定權利之端倪。（11） 因此，在我國當前的法律框架下，自然人對個人信息并不擁有獨立的權利，而是以其他類型的權利形態和民事利益形態存在。有觀點認為，從長遠來看，個人信息保護的理論發展可分為三個階段：第一階段主要規范人身權益的網絡侵犯，第二階段基本建立個人信息的處理秩序，第三階段最終明確個人信息的法律權屬。（12） 理論界的呼聲暫未爭得立法機關對個人信息法益權利化的認可，但作為數據權屬確定的重要板塊，個人信息權利化勢在必行。針對未來個人信息權的建構方案，產生了不同的理論觀點。

1.作為隱私權保護：削足適履

隱私權是人格權的一種，但將個人信息作為人格權保護的模式與將個人信息作為隱私權保護的模式并不相同。在人格權保護模式下，個人信息的使用行為只要不會損害到公民的人格權益，就不會受到個人信息規范的限制。若采取隱私權保護模式治理個人信息，則個人信息屬于隱私的范疇，自然人對于自身個人信息具有自主支配和控制的權利。比較而言，隱私權保護模式下，個人信息主體的對于自身信息的掌控能力將會得到顯著提升。（13） 但是，個人信息的權益內容遠大于隱私權所能涵蓋的范圍，大規模個人信息泄露所引發的國家安全隱患也難以通過隱私權模式防控風險，強行以隱私權模式規制個人信息無異于削足適履，無法滿足個人信息的法治目標。

具體而言，隱私權模式下的個人信息保護存在以下局限：第一，隱私權益小于個人信息法益的保護范圍。個人信息與隱私息息相關，部分場景下二者的保護目標存在相似性，否則《民法典》人格權編不會將此二者合為一章。然而，個人信息與隱私之間存在顯著的內涵差異，前者的外延遠大于后者，否則，在隱私權保護規范中補充個人信息保護之內容即為已足，何必單獨列明個人信息保護？事實上，并非一切個人信息均具備隱私屬性，如電話號碼、電子郵箱等可從公開渠道獲取的個人信息作為公共資源不享有隱私權益。（14） "第二，隱私權保護模式與個人信息保護需求存在差異。隱私權保護模式的重心在于隱私權益受到侵害之后的事后救濟環節。（15） 因應個人信息應用場景的日益拓展，《個人信息保護法》賦予個人貫穿數據生命周期的多項權利，包括事前環節的知情同意權，事中的反對權、撤回權、訪問查閱權、可攜帶權，以及事后的刪除權、安全事件通知權等。在此趨勢下二者無法等量齊觀，如果參照隱私權模式保護個人信息，公民享有的個人信息權益反而會在現有制度基礎之上受到大幅削弱，并不符合個人信息保護實踐的需要。第三，公民對于個人隱私的失控是技術發展之大勢所趨，非私權治理所能逆轉。隨著信息技術的不斷發展，數據領域的的馬太效應愈發明顯。在接受數字化的商業及公共服務的過程中，個人對于自身信息及隱私的控制力愈發孱弱，科技企業、國家政府等處理者收集、分析個人信息的能力則不斷增強。不同主體之間個人信息控制能力的此消彼長是信息技術發展的典型特征，意圖以民事權利設置逆轉時代趨勢猶如揚湯止沸，系統性的公法規制方能起到釜底抽薪之效。

2.作為財產權保護：南轅北轍

數字經濟時代，數據的生產要素價值愈發凸顯。部分學者認為應當在個人信息之上設立財產權利，通過財產權益保護制度實現個人信息的有效保護以及處理行為的有序化。（16） 個人與處理者是個人信息法律關系中的關鍵主體，個人信息的財產權利顯然應歸屬二者之一。《民法典》已然承認個人信息的人格利益歸屬于個人，若個人信息財產權歸屬于處理者，則個人信息之上的人格利益和財產利益為兩個不同主體分別享有，不符合民事權益保護的基本邏輯。可選擇的方案是并立以自然人為權利主體的“個人信息財產權”和“個人信息人格權”，兼顧人格權益和財產權益保護。（17）

首先，個人信息不具備傳統私法中物權客體的基本法律特征。物權作為具有支配性和排他性的權利，物權客體必須具備獨立性和特定性，否則無法保障物權秩序的穩定。（18） 但個人信息與此相悖，以流通性和可復制性為基本特征。（19） 在信息時代，特定自然人的個人信息往往存在多個控制者，個人也沒有能力通過技術措施實現對個人信息的排他性控制，于個人信息之上建立支配性權利存在不適應。（20） 其次，個人信息具有商業價值與采取財產權保護模式之間不存在對應關系。有研究機構指出，數據經濟價值的釋放須以數據總量積累和具體場景應用為依托，這也是推動政府數據開放的邏輯基礎。（21） 換言之，單一自然人的個人信息幾乎不具備商業價值，財產權保護模式缺乏必要性與合理性。最后，財產權保護模式不符合個人信息的應用需求。如前所述，欲發揮個人信息的社會與經濟效益，必以廣泛的數據收集為前提，以靈活的分享處理為常態。財產權保護模式實現了個人在理論層面對個人信息的絕對控制，反而樹立起阻礙數據流通的壁壘，遏止數字經濟產業發展的勢頭，悖離了個人信息法律治理平衡多方利益訴求的初衷。

3.作為人格權保護：刻舟求劍

人格權是人格權主體對自身人格要素享有的不可剝奪、不可拋棄、不可轉讓的非財產性權利，根據權利客體屬性的不同可以分為物質型人格權和精神型人格權，前者包括生命權、身體權、健康權等，后者包括姓名權、肖像權、隱私權等。物質型人格權的客體與人格權主體關聯緊密，無法被他人支配，精神型人格權的客體則存在合法使用的空間，例如肖像，在當事人知情同意的前提下肖像可受他人支配。《民法典》第999條的名稱為“人格權的合理使用”，該條文將個人信息與姓名、肖像等人格權客體并列，基此可知個人信息作為新型人格權客體受到民事法律規范的保護。人格權保護模式之下，個人信息法律治理的目標在于保障自然人的人格尊嚴、人身及財產安全不因個人信息的非法使用而受到損害。

早在《民法典》編纂期間，學界就已出現設立個人信息人格權的主張。（22） 《民法典》人格權編似乎進一步指明了以人格權模式保護個人信息的道路。然而，人格權保護模式與個人信息保護需求之間存在顯著分歧。一方面，對于自然人而言，個人信息權是一把難以揮動的重劍。傳統人格權保護模式的前提在于，人格權損害具有有限性和恢復原狀的可能性，如姓名權、肖像權等人格權益遭受損害時，人格權主體可通過事后救濟的方式保障自身的合法權益。而在個人信息處理關系中，重要主體為政府、企業及個人，各方之間的地位及能力差距猶如天塹。傳統民事權利保護模式以意思自治為主，弱方權益衡平保護為輔，民事權利體系的良性運轉以主體間的地位、能力大致相當為前提。以人格權、財產權為代表的民事權利保護模式均難以抵消由于自然人在個人信息保護方面的認知不足而產生的風險。（23） 另一方面，個人信息之上存在需要保護的人格權益，并不代表此種人格權益必須通過人格權模式予以保護。以其他具體人格權為例，《民法典》規定自然人享有生命權、身體權和健康權，但此三類權利的保護狀態在很大程度上仰賴《刑法》規范的事前威懾效果，在部分場景下，人格權益的保護狀態以公法的治理功能發揮為基礎，徒有私法不足以實現個人信息的善治。以人格權模式保障個人信息的弊端在于，忽視了數智技術革命背景下個人信息權益損害的隱蔽性和事后救濟的困難度，反而可能陷入“頭痛醫頭，腳痛醫腳”的治理困境。

（二）私權保護路徑的反思及調整

早期，互聯網以公共產品、基礎設施的正面身份進入社會生活，為產業升級賦能，為社會生活提供便利是互聯網的主要特征，彼時的治理重點在于信息社會的迅速構建，確保信息技術的發展惠及全社會。隨著數字經濟活動的不斷壯大，以個人信息保護為代表的私法關切才逐步進入研究視野。身處于雁過留痕、無處不在的信息網絡中，沒有人的個人信息能永保安全，隱私泄露、算法歧視、信息繭房等個人信息遭受濫用的不利后果成為市民社會的共同焦慮。在此背景下，《民法典》將個人信息納入人格權編予以保護，是個人信息治理領域立法決策的積極回應。（24）

管見以為，將個人信息保護規范納入民事法律體系的觀點有待商榷。第一，視《個人信息保護法》為民事特別法，破壞了《民法典》編纂的體系性價值。《民法典》的首要特征就是體系性，將散碎的民事規范化零為整是法典化編纂的核心理念。（25）若《個人信息保護法》為民事特別法，意味著民事法律淵源再次游離于體系之外，是對民法典體系化努力的解構。第二，政府主體與個人在個人信息處理關系中并不時時處于平等地位。當政府主體出于社會治理需要參與個人信息處理活動時，便是以公權力擔當人的身份出現，所形成的是公法關系。（26） 第三，個人信息的治理需要超越了民事規范的治理功能。一方面，個人信息的控制狀態關乎國家網絡安全，運營者在特定情況下需接受網絡安全審查，審查必以公法賦權為前提。另一方面，個人信息保護受到數據壟斷的制約，尤其是數字服務領域的頭部企業占有大量的個人信息資源，其優勢地位阻礙了在用戶信息保護方面的資源投入，最終造成行業內部個人信息保護狀態的整體性滑坡。（27） 《個人信息保護法》第45條設置的可攜帶權是一次有益的嘗試，但對于個人信息市場的反壟斷缺乏幫助。此外，個人與企業之間對個人信息的控制能力差距懸殊如云泥之別，若以民事權益保護論，當事人很難證明自身的個人信息權益受到了何種侵害，無從獲得救濟。

綜上所述，《個人信息保護法》不是《民法典》的下位法，有其獨立的調整對象與治理目標。私法保護模式一味地從公民權益保護的視角出發，提出嚴控各類個人信息處理活動的主張，本質上是治理的單一視角，對于產業發展需求的回應停留在口頭層面。單邊主義的權利設置自然無法調和個人、網絡運營者、政府等多方主體的利益訴求，直接結果必然是規范內容與產業現實相抵牾，最終導致我國數字經濟產業發展陷入停滯。（28） 因此，個人信息治理規范應當回歸個人信息治理實踐，構建公私并重的治理格局，綜合運用技術規范、強制性規范、禁止性規范等約束個人信息處理活動，統籌行政責任、民事責任等多種法律保護模式構建治理秩序。

四、個人信息保護的方案重構：一種自體治理的進路

個人信息保護是平衡發展與安全的基礎法治保障。審視我國個人信息保護法律體系，相關制度運行并不盡如人意：一方面，整體法律框架對于個人信息缺乏精準定位，各類規范對治理客體表述不一，相似概念間時常發生混淆。規范表述缺乏協調和統一，導致概念表述存在差異，職能劃分出現交叉。另一方面，作為專項立法的《個人信息保護法》，在調整范圍劃定方面失之于嚴，可識別性的評價標準則失之于寬，考察相關法益在實踐中的保護狀況，個人信息監管在立法層面的窘迫雖然得到緩解，卻在規范適用層面陷入尷尬。為掃除公民權益保護和產業持續發展之障礙，個人信息保護法律制度必須優化治理范圍與治理路徑。鑒此，本文提出個人信息保護的自體治理模式，即應將個人信息獨立于傳統或任何派生的權益類型，并基于其獨特性和內在一致性，構建綜合運用公私法方式予以保護的自成一體的治理進路。這一自體治理進路包括如下三個核心特質：

（一）以可識別要件限縮規制范圍

并非一切與自然人相關的數據都是《個人信息保護法》的規制對象。如前所述，個人信息是數據的一種特殊類型，作為個人信息保護規范調整客體的個人信息具有三大構成要素，分別是：形成記錄、與自然人相關，以及可識別性。《個人信息保護法》頒布之前，專項立法資源的供給不足增加了行政部門和地方政府治理個人信息的困難。為緩解個人信息治理的法律供求矛盾，相關法律、行政法規及地方性法律開始自發性地作出個人信息保護的相關規定，試圖通過多部門數據立法的輻射效應實現依法治理個人信息的效果。若以結果論之，在主客觀因素的共同推動下，針對個人信息保護實踐問題，取得了一定程度的治理實效。但是，制定這些規范的直接目的在于解決本部門、當地的個人信息治理問題，著眼點存在局限性，治理視角相異甚至治理目標的相互沖突。個人信息權屬、權益性質之上的迷疑未散，數據治理條文的頒布又使個人信息治理陷入規范沖突的怪圈。

厘清個人信息權益的本質屬性固然重要，統合個人信息治理的法律表述，同時充分回應行業治理和產業發展的需求同樣刻不容緩。《個人信息保護法》是我國規范數據處理活動、保障公民個人信息權益的專項立法，個人信息的法律定義是其發揮制度功能的支點，采取關聯說立場的個人信息定義存在內涵邊界模糊的問題，法律適用過程中存在對個人信息與數據的概念混用現象，立法對個人信息與數據的不同表述，將在程序和實體上產生體系化的法律效力差異。

海納百川式的立法框架未必符合產業發展的需求，懷揣數據治理領域后發先至的治理目標，中國應當謹慎地進行個人信息治理實踐的路徑選擇。作為數字經濟產業大國，明晰個人信息法益，完善個人信息在脫敏處理后的“集合信息”、“去標識化數據”的差別處理，可能更為妥當。對于存在表意模糊問題的規范條款，立法機關或其它適當機構應當組織編寫法律釋義，統一規范落地過程中的理解與適用。重拾以“可識別性”為核心的個人信息立法定義模式，有助于明晰個人信息與個人數據的內涵差異，同時厘清個人信息與數據概念混同背后的法益保護差異。我國應順應治理需要優化個人信息的界定細則，確立可識別性在法律體系中的核心地位，對外銜接國際數據治理規范，對內融貫數據治理的法益保護秩序，為我國更高水平對外開放與參與國際數據治理規則制定奠定基礎。

（二）聚焦關鍵環節完善規范適用

個人信息治理實效差強人意，似乎反映了個人信息治理的立法資源供給不足，現實卻并非如此。早在2009年《刑法修正案（七）》即將個人信息作為刑法的調整對象，對于出售和非法提供公民個人信息的行為給予刑事法律約束。因此，我國對于個人信息治理的立法資源供給并非不足，但是集中在公法領域，散見于綜合性法律的條文之中。但公法約束的效果并不盡如人意，盡管《刑法》《網絡安全法》《消費者權益保護法》等法律法規中存在個人信息治理的內容，但此類公法規范主要對于后果嚴重、影響較大的侵害公民個人信息行為予以懲處，對于一般性的市場行為缺乏約束，無法常態化參與個人信息處理秩序的構建。

因此，盡管從形式上看個人信息領域的法律資源供給充分，但恢恢法網疏而多漏，大量個人信息處理活動依然處于法外運行的狀態中，已頒布的法律規范未能精準回應治理實踐中規范個人信息處理常態秩序的需要。《個人信息保護法》所代表的是面向信息時代的公民信息權益保護，普通的個人信息使用行為古已有之，自動化識別、長期存儲和智能分析才是大數據時代個人信息權益受侵害的根源，通過立法設置技術門檻過濾危害較小的個人信息使用行為，專注于規制影響范圍廣泛的處理活動，更有助于發揮個人信息法律治理的預期功能。因此，個人信息法律治理應當專注于規制收集、存儲、分析、傳輸等環節。

收集環節是個人信息處理者與自然人產生關聯的起點。根據收集者與自然人之間的關聯狀態，可分為直接收集與間接收集，間接收集又可分為從公開渠道收集和從其他渠道收集兩類。收集環節的治理關鍵根據收集途徑的不同有所側重，同時應當根據收集方式的差異有所取舍。首先，對于直接收集，治理重點在于落實當事人的知情同意要求，禁止處理者提供強制性選項妨礙信息主體的意思自治；其次，對于間接收集所得的個人信息，應當要求控制者提供明確的收集渠道，方便監管者對個人信息傳播鏈條的溯源以及合法性檢驗；最后，通過技術特征設立規范適用門檻，對于非自動化收集采取較為寬容的態度，根據治理實踐的需要在必要時加強對特定類型個人信息非自動化收集的監管，將更多地治理資源投放到自動化收集行為的監管之中，防控大規模的個人信息權益侵害事件發生。

存儲是數字經濟的重要環節，現代信息技術使得處理者留存的個人信息極難滅失，檔案化管理為個人信息的重復分析、動態追蹤提供可能。微觀層面，個人信息存儲涉及信息主體的刪除權、可轉移權的行使，是否存儲、如何存儲、何處存儲、存儲時限、存儲轉移等環節均須尊重信息主體的主觀意愿。宏觀層面，包括個人信息在內的數據存儲方式關涉數據主權，是國家數據安全防控的焦點。

分析行為是個人信息保護治理的核心對象，個人信息的分析方法包括算法運行、人工分析等多種形式，但本質均是對個人行為的推理、預測和計算，導致公民的思維模式、生活軌跡、個人偏好在其預料之外泄露。基此，個人信息分析行為的規制要點有二，其一是監督處理者履行知情同意義務，其二是保障自然人的刪除、可攜帶等權利實現，確保個人在個人信息處理周期中的自主性。

傳輸的本質是個人信息控制者向第三人提供自己掌握的個人信息或個人數據，即個人信息間接收集的源頭。傳輸的具體類型根據對象的不同可分為面向不特定多數人的信息公開和只有特定對象可獲得的特別披露。作為數據的一種類型，傳輸價值同樣是個人信息使用價值的重要組成部分。但是個人信息權屬尚未確立的立法背景下，個人信息的傳輸權利亦被囊括在不斷擴張的“知情同意”內涵之下，能否傳輸的權柄被掌握在個人手中，個人信息的流通自由相較于一般數據大為受限，不符合信息社會實踐的需求。務實的改善方案是將個人信息傳播風險防控的重心由事前的目的限制轉移至事中的責任承擔，概因個人信息使用場景的不斷變化，只要傳播目的沒有明顯侵害公民個人信息權益，在要求信息控制者承擔傳播責任的前提下，適當放開個人信息傳播的合法路徑，更符合數字經濟產業發展的要求。

（三）綜合公私路徑涵攝個人信息

習近平總書記在中央政治局第34次集體學習時強調，數字經濟治理過程中監管和發展應當齊頭并進。基此，我國個人信息治理應當在保障人權的同時兼顧數字經濟發展，這正是數據治理的精髓與本質所在。如果在構建個人信息保護法治框架的過程中忽視了產業發展的需求，就會偏頗地認定一切個人信息處理活動都是對公民個人信息權益的侵害，對個人信息權利的設置及其保護就會傾向于持續的開拓，而這必將反噬以個人信息的合理處理為基礎的一切行動和產業。因此，就個人信息的合理保護而言，一個古老而常青的問題依然是，個人信息權益的邊際或其限度何在？公法治理成為個人信息保護的理念路徑選擇。

公民的個人信息權益需要得到保護，但民事權益保護模式有其獨到之處、也有其不逮之處，這一局限構成個人信息公法介入治理的必要基礎。正如超過必要限度的人身與財產權益的法定救濟必須訴諸治理管理法、刑法等公法規制，我國數據治理立法以《網絡安全法》為先導，個人信息治理同樣必須訴諸公法規制。

因此，選擇公法路徑治理個人信息，在宏觀和微觀層面各有其合理性：宏觀層面，具有公法屬性的個人信息治理體系更易于對接我國的數據主權政策，若以私權論，則個人信息保護將游離于我國數據安全治理體系之外；微觀層面，個人信息權益救濟以行政手段作為主要的救濟方式更具適應性，彌補了私力救濟的不足。個人信息處理秩序的理想狀態應當有兩大特點：第一是各主體得其應得，基于個人信息法律規范享有各自的權利義務；第二是各主體得其需得，在權益得到保障之后實現各方的利益分配均衡，最終實現數字經濟產業發展的大計。如前所述，強行套用民事權利保護模式治理個人信息不可避免地會陷入私法萬能主義的窠臼。縱觀各國數據治理，個人信息法律秩序建構的核心在于產業治理與政府監管，這顯然超越了私法治理的效力射程。在《民法典》和《個人信息保護法》頒布之前的數據治理實踐當中，固然有一般性權益侵犯無法由公法規制的現象，但從法律體系的整體視角出發，個人信息治理作為數據治理的一部分，與產業發展、社會秩序、國家安全緊密相關，因其具有較強的外部性，單一地從私法視角結構個人信息法益無法建立起長期平衡有效的個人信息處理秩序，也不利于個人信息領域的糾紛解決。

五、結語

個人信息保護立法旨在防控信息技術發展對公民權益造成的侵害，尋求社會經濟發展與公民權益保護之間良好的動態平衡。為避免我國數字經濟產業陷入“過猶不及”的權益保護困境，在數字化進程中自縛手腳，個人信息治理規范應當注重法律適用過程中的利益衡量。基此，以權利保障為行為邏輯的私法規范在個人信息治理中應當保持其謙抑性，協同《數據安全法》《個人信息保護法》等專項立法進行良法善治。當后者出現治理失靈時，私法作為補充性的法益保護手段介入個人信息治理似更為適當。若不當地確立個人信息權屬，則規范適用無論如何輾轉騰挪，都可能打破私益保護與人權保障、產業發展之間的合理平衡。

我國正處于數字化轉型的關鍵期，數字經濟產業發展是我國穩步構建新發展格局的重要依托。個人信息保護在數據治理體系中的地位越發重要，對其保護范圍和路徑的錯誤認識將會造成數字經濟的供給抑制現象，最終導致數字經濟產業增速低于潛在水平。（29） 個人信息保護的現階段重點在于加強法律供給的針對性，優化可識別性要件邊緣化、模糊化所造成的范圍困境，明晰公法路徑的個人信息保護方案，有助于集中監管資源解決亟需解決的個人信息監管問題，擺脫當下個人信息權益保護與產業發展之間的價值平衡困境。

注釋：

（1） 張文顯：《論中國式法治現代化新道路》，《中國法學》2022年第1期。

（2） 黃文藝：《政法范疇的本體論詮釋》，《中國社會科學》2022年第2期。

（3） 馬長山：《數字社會的治理邏輯及其法治化展開》，《法律科學（西北政法大學學報）》2020年第5期。

（4） ［德］ 烏爾里希·貝克：《風險社會：新的現代性之路》， 張文杰、何博聞譯， 譯林出版社2018年版，第14—21頁。

（5） 喻海松：《網絡犯罪二十講》，法律出版社2018年版，第203頁。

（6） 高富平：《個人信息保護：從個人控制到社會控制》，《法學研究》2018年第3期。

（7） 龍衛球：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021年版，第15頁。

（8） 中國信息通信研究院互聯網法律研究中心：《個人信息保護立法研究》，中國法制出版社2021年版，第6頁。

（9） 梅夏英：《企業數據權益原論：從財產到控制》，《中外法學》2021年第5期。

（10） 梅傲、蘇建維：《數據治理中“打包式”知情同意模式的再檢視》，《情報雜志》2021年第2期。

（11） 程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第12—13頁。

（12） 梅夏英：《數據的法律屬性及其民法定位》，《中國社會科學》2016年第9期。

（13） 徐明：《大數據時代的隱私危機及其侵權法應對》，《中國法學》2017年第1期。

（14） 參見《北京市西城區人民法院民事判決書》，（2015）西民初字等28460號；《北京市第一中級人民法院民事判決書》，（2017）京01民終509號。

（15） 張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學》2015年第3期。

（16） 劉德良：《個人信息的財產權保護》，《法學研究》2007年第3期。

（17） 劉德良：《論個人信息的財產權保護》，人民法院出版社2008年版，第20頁。

（18） 謝在全：《民法物權論》，新學林出版股份有限公司2014年版，第13頁。

（19） 王天恩：《信息及其基本特性的當代開顯》，《中國社會科學》2022年第1期。

（20） 鄭佳寧：《數據信息財產法律屬性探究》，《東方法學》2021年第5期。

（21） 普華永道會計師事務所《開放數據資產估值白皮書》，2021年7月10日發布。

（22） 王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，《現代法學》2013年第4期。

（23） 丁曉東：《論數據壟斷：大數據視野下反壟斷的法理思考》，《東方法學》2021年第3期。

（24） 程嘯：《論〈民法典〉與〈個人信息保護法〉的關系》，《法律科學（西北政法大學學報）》2022年第3期。

（25） 王利明：《民法典的體系化功能及其實現》，《法商研究》2021年第4期。

（26） 朱慶育：《民法總論（第二版）》，北京大學出版社2016年版，第9頁。

（27） 焦海濤：《個人信息的反壟斷法保護：從附屬保護到獨立保護》，《法學》2021年第4期。

（28） 龍衛球：《數據新型財產權構建及其體系研究》，《政法論壇》2017年第4期。

（29） 徐朝陽、張斌：《經濟結構轉型期的內需擴展：基于服務業供給抑制的視角》， 《中國社會科學》 2020年第1期。

作者簡介：張春良，西南政法大學國際法學院教授、博士生導師，西南政法大學爭端解決國際競爭力研究中心主任，重慶，401120；毛杰，西南政法大學國際法學院博士研究生，重慶，401120。

（責任編輯 李 濤）