张新宝∣从隐私到个人信息：利益再衡量的理论与制度安排

张新宝：中国人民大学法学院教授，中国法学杂志社总编辑

一、 隐私权的法律保护与相关利益衡量

(一)隐私权的法律保护

1.隐私权被确认为人格权

将隐私利益上升为一种个人权利与法律相联系则源于1890年Samuel D. Warren和Louis D. Brandeis的《论隐私权》一文。美国隐私权存在于宪法、侵权法和各类成文法。

《欧洲人权公约》将公民私生活保护列为公民基本权利。在二战后人权保护的大环境下，欧洲各国国内法也陆续制定法律予以回应。

2.隐私利益保护的主要法理

资产阶级革命带来的人文主义和自由主义思想，工业革命和电气革命催生的物质文明，都使得隐私的观念率先在西方社会深入人心，并形成了两种不同的隐私文化。总体上来说，美国从自由的角度理解隐私，而欧洲大陆将隐私保护植根于人格尊严之上。 

(二)隐私权保护的利益衡量

在隐私权制度设计时，主要需要平衡的只有一对利益矛盾，即隐私权主体(个人)的隐私利益(也可以表达为人格自由与人格尊严方面的人格利益)与他人(即负有消极不作为义务的其他自然人、法人或者其他组织)的言论表达自由、知情权等利益的冲突。国家基本上处于一个超然于双方利益矛盾的中立地位，以社会管理者身份，通过制定法律和实施法律调整矛盾双方的利益关系。国家调整这一利益关系的主要手段就是“公共利益”规则的适用：凡不涉及公共利益的个人隐私，受到保护；凡涉及公共利益的隐私，或者不予保护，或者受到限制。

二、个人信息的法律保护及相关利益衡量

(一) 个人信息的法律保护

随着个人信息处理方式的数字化转变，人们在享受信息数字化带来的诸多便利的同时，也面临着个人信息数字化带来的风险。近半个世纪以来，有关个人信息保护的立法已经成为全球范围内最为瞩目的立法运动之一。到目前为止，全球已经有90多个国家制定了个人信息保护法。

 (二) 个人信息保护与利用的利益衡量

1. 个人信息价值分析

(1)人格尊严和自由价值

个人作为目的性的存在，只有消除个人对“信息化形象”被他人操控的疑虑和恐慌，保持其信息化人格与其自身的一致性而不被扭曲，才能有自尊并受到他人尊重地生存与生活。因此，个人信息对于信息主体的人格尊严和自由价值，应当是个人信息保护立法中首要考虑的因素。

  (2)商业价值

伴随着整个社会信息化进程的发展，信息资源成为重要生产要素、无形资产和社会财富，信息化与经济全球化相互交织，推动着全球产业分工深化和经济结构调整，重塑着全球经济竞争格局。

(3)公共管理价值

为实施社会管理和提供公共服务，收集和利用个人信息，是自古以来政府都普遍采用的做法。信息社会中，借助于现代信息技术，政府可以更加充分地发掘个人信息的公共管理价值。公共秩序、公共安全和公共福利的推进，都离不开以个人信息为基本单位的数据库的支撑。

2. 个人信息保护与利用的利益识别

  (1)信息主体对个人信息的保护需求

现代信息处理技术之下，个人信息所蕴含的公共管理价值和商业价值，将成为公私机构不当收集、处理、利用和传输个人信息的巨大诱因。并且，此种信息不限于传统隐私权之下的私人生活秘密，而且及于个人所有具有可识别性的信息。相较于传统隐私权个人个体化的隐私保护诉求而言，个人对其个人信息的保护诉求更为强烈和普遍，并且已经上升为普遍的社会问题。

(2)信息业者对个人信息的利用需求

在信息社会，信息业者对个人信息收集和利用的正当性已经得到了立法和社会的普遍承认，促进个人信息的合理利用与保护个人信息是同等重要的立法追求。信息，包括个人信息的可利用性，带来了人类社会前所未有的商业机会。把握这一商业机会，创造更多财富，是信息业者的基本利益需求。

 (3)政府对个人信息的利用需求

不同于传统隐私权保护中政府超然的中立地位，在个人信息保护和利用中，政府积极加入其中，具有了利用者和管理者的双重身份角色：一方面，政府作为社会管理和社会福利的承担者，公共安全、公共管理和公共福利的推进都离不开对居民个人信息的掌握；另一方面，出于对行政效率的追求，也会不断促使政府积极探索个人信息利用的限度和价值。

3. 个人信息保护与利用的利益衡量

通过以上个人信息保护与利用的利益识别分析不难发现，相较于传统隐私权保护，个人信息保护与利用所涉利益主体和利益内容更加多元化：首先，在社会信息化进程中，传统产业信息化和专门信息服务业出现，使得信息业者作为新的独立利益主体出现；国家除了传统隐私权保护时期中立超然的裁判者身份外，为完成公共管理和公共服务职能，政府大量参与个人信息的收集、处理和利用过程，国家同时具有了管理者和利用者的双重身份。新的利益主体和角色的出现代表了整个社会对于个人信息的利用诉求，因而不同于传统隐私权从个体出发为个体提供单一向度的权利保护，个人信息需要从保护和利用两个角度兼得的视角加以考量。其次，在个人信息利用语境下考量个人信息的保护问题时，传统隐私权保护中的利益冲突仍然存在，个人的隐私利益仍然是个人信息保护利益衡量的重要内容。同时，在信息化背景下，信息业者和政府作为新的利益主体可能在利用个人信息时造成对信息主体的隐私权侵犯，个体的隐私保护需求构成了信息业者和政府利用个人信息的内在限度。

三、“两头强化，三方平衡”理论的提出

(一) “大数据”之下个人信息保护与利用多赢的新思维

在后信息时代，时刻都有大量数据产生、流动，数据已经是直接的财富和社会资源，借助数据技术的应用，可以发现新的知识、创造新的价值，实现从数据到知识、从知识到行动的跨越，公私领域对于数据利用的需求也比以往任何一个时代更为迫切。

数据隐私问题也成为数字经济时代的顶层问题，问题解决的关键仍然在于个人信息保护与利用的利益衡量：信息业者和政府作为新的利益主体代表了利用个人信息的利益诉求，构成利益衡量的一个维度；而传统隐私权保护问题仍然存在并更加紧迫，切实保护个人隐私构成了利益衡量的另外维度。在个人隐私保护和个人信息利用都亟待强化的需求格局下，可行的方案是以一定标准实现对个人信息的区别保护和利用，从而实现保护和利用的多赢。

(二) “两头强化，三方平衡”理论的内涵

1. 两头强化

“两头强化”是指建立“个人敏感隐私信息”的概念，在个人敏感隐私信息与个人一般信息区分的基础之上，通过强化个人敏感隐私信息的保护和强化个人一般信息的利用，调和个人信息保护与利用的需求冲突，实现利益平衡。

2. 三方平衡

“三方平衡”是指个人对个人信息保护的利益(核心是人格自由和人格尊严利益)、信息业者对个人信息利用的利益(核心是通过经营活动获取经济利益)和国家管理社会的公共利益之间的平衡。具体而言，个人信息中涉及敏感隐私的部分，其保护应该得到强化，个人的人格自由和人格尊严应该得到更高水平的保护；而就个人一般信息，信息主体做出一定让渡，让信息业者得到收集、处理和利用的更大自由，以利其经营。就信息业者而言，其通过个人让与的利益以及国家保障的良好信息化经营环境，实现其经营的主要利益；同时，信息业者尊重个人的隐私权和国家的管理规定，在收集、处理、存储、传输和利用个人信息的过程中自觉为信息主体的核心隐私提供保护，并且以尊重隐私为导向，自觉抵制以侵害隐私为目的信息技术的研发和应用，实现信息主体的核心利益和国家在个人信息保护秩序中的公共管理利益。另外，正是信息业者提供的各种信息产品和服务，使得个人更有机会满足日常生活需要和实现知情权。就国家而言，一方面为了满足社会管理之目的，应当获得收集、处理、储存和利用必要的个人信息的权力和能力，另一方面公权力的行使也需要约束，不过分利用技术手段和国家机器干预私人生活，对其个人信息的收集利用等方面的权力和能力加以规制和约束；同时，国家作为公权执掌者，还需要通过制定法律为隐私权保护划定边界，为信息业者的经营活动制定包括公平竞争在内的管理规范，为个人信息数据库的建设及其安全包括物理安全与信息安全提供一切必要的条件和制度保障，打击严重侵害个人信息的犯罪行为，处罚信息业者不当收集、处理、存储、利用和传输个人信息的行为。

四、“两头强化，三方平衡”理论的实现

(一) 作为我国个人信息保护立法的理论基础

未来我国个人信息保护法应当将“两头强化、三方平衡”理论作为其理论基础，并以此为指导构建个人信息保护与利用的相关制度。

(二) 确立国家主导、行业自律与个人参与的法治模式

1. 国家主导

个人信息保护法中的国家主导体现在立法和执法两个方面：首先，制定统一的个人信息保护法，作为个人信息保护的基本法律调整公私领域内的个人信息保护与利用关系。其次，国家主导还意味着通过专门机构负责个人信息保护法律的执行、监督等各方面事务。

2. 行业自律

在国家主导之下，还应该充分鼓励信息业者的行业实行自律管理。自律机制是指在国家立法之外，社会组织体自发通过确立自律规范来规范自己行为实现自律目的的一种机制。

3. 公民参与

在相关法律政策制定、执行和救济的各个环节都可以借助网络平台等方式拓宽公民参与途径，强化公民利益表达、救济和监督。

(三) 信息业者实名制和网络用户真实身份可查验制

1. 信息业者实名制

切实落实信息业者的实名制，不仅要求相关监管部门在入网环节拦截不适格主体，更重要的是切实进行动态监管，维护网络秩序的可信度。

2. 用户真实身份可查验制

用户真实身份可查验制与用户实名制具有同样的网络管理效果，但其优点在于其可以更好地维护公民个人信息安全，避免实名制引发“寒蝉效应”，最大限度地减少对公民权利和自由的限制，实现管制与自由的平衡。

(四) 强化国家对个人信息的保护与利用的双重职能

在大数据背景下，最大化实现国家对个人信息利用的方式便是建立国家中心数据库，解除数据库之间的“信息孤岛”状态，最大限度地提升政府行政管理效率。

 (五) 信息业者：去个人化的信息处理与利用

个人信息是“可以识别个人身份的信息”，识别性因素会对信息主体的权益保护和业者的利用产生影响。一方面，对于直销等针对特定信息主体利用个人信息时，对于信息业者的个人信息利用行为，应当施加更多的限制；另一方面，当信息业者并非追求针对特定信息主体“一对一”利用个人信息时，应当在其收集、存储、处理和利用个人信息的过程中进行去个人化处理。

(六) 个人：未成年人和敏感隐私信息的特殊保护

1. 强化对未成年人信息的保护

与成年人相比，未成年人心智尚未成熟，没有足够的认识能力和控制能力，也缺乏足够的自我保护能力，其权益无疑更容易受到侵害，在个人信息保护与利用方面，更应为未成年人提供特殊保护。

在未来我国个人信息保护立法进程中，还应当通过大量的社会实证调研，确定一个适合我国青少年发展状况的强化保护的年龄节点。

2. 强化个人敏感隐私信息的保护

敏感隐私信息概念的提出在于为个人敏感信息提供强化保护，对敏感隐私信息和一般信息的收集、处理和利用适用不同的法律规则。

个人敏感信息的强化保护也仍然包括保护和利用两个维度，保护体现在原则上禁止处理，而利用则体现在对禁止处理的例外规定。

结　论

通过对个人敏感隐私信息强化保护，以及强化个人一般信息的商业利用和国家基于公共管理目的的利用，实现个人、信息业者和国家三方利益平衡。这一“两头强化，三方平衡”理论，应当作为我国个人信息保护法的理论基础。国家主导、行业自律与个人参与的法治模式，信息业者实名制与用户真实身份可查验制，国家作为个人信息利用者与社会管理者双重功能的发挥，信息业者对个人信息的去个人化利用，以及对未成年人个人信息、个人敏感隐私信息的特殊保护等，都是全面实现“两头强化，三方平衡”理论所要求的主要制度安排。

长按识别图中二维码，快速关注我们！