作者簡介:謝宜璋,上海交通大學凱原法學院知識產權法專業博士研究生
內容提要:運用卡-梅框架提供的理論工具對個人信息及其規制路徑進行分類是一種更充分且更符合問題本質的個人信息保護探討路徑,既能夠維護個人信息的內在同質性,又能夠更清晰地展現不同場景下個人信息的利益保護訴求和處理規則。卡-梅框架下個人信息的規制路徑分為以隱私權保護為主的禁易規則,以公共利益為主要考量的責任規則以及以市場為導向的財產規則。《個人信息保護法》的制定旨在初步實現我國個人信息保護的體系化。在這一背景下,《個人信息保護法(草案)》應根據不同規則項下的利益訴求,對相關條文進行完善。
關鍵詞:卡-梅框架;個人信息;規制路徑;《個人信息保護法(草案)》
一、引言
在信息化時代,個人信息不僅只具有主體標識的功能,更是數據要素社會化利用的基礎性資源。2020年4月9日,國務院發布《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》,明確指出要加快培育數據要素市場,提升社會數據資源價值。個人信息正以前所未有的方式對社會變革發揮著決定性作用。2021年4月29日,《個人信息保護法(草案)》(以下簡稱《個保法(草案)》)二審稿在一審稿的基礎上進行了多處修訂并全文公布,向社會公開征求意見,既表明了我國對個人信息保護立法的持續關注與重視,也再次凸顯個人信息保護在當今社會的重要性與急迫性。個人信息是互聯網時代社會的基礎性資源,若不能對個人信息的定位、保護利益和保護方式進行明晰,則難以在個人信息的基礎上對數據財產權、個人信息權等發展維度作出全面的判斷。鑒于此,本文擬運用以法律經濟學為出發視角的“卡-梅框架”界定不同場景下個人信息的定義及邊界,厘清個人信息的多重法益衡量標準及不同類型個人信息利用的規制路徑,以此為個人信息保護問題提供一個新的視角與補充,并對《個人信息保護法》的制定獻計獻策。
二、個人信息的保護爭論及法律現狀
信息的可資產化賦予了個人信息以新的使命與意義。從用戶視角出發,個人信息涉及對用戶個人基本權利的保護問題。從產業視角,個人信息更多被視為一種無形的資產深刻影響著商業主體的競爭格局,具有重要的經濟利益。從國家層面考慮,個人信息的開發利用具有信息共享和流通的社會利益,與國家在數字產業中的發展息息相關。個人信息具有多重權益保護訴求,這使得個人信息的保護問題愈加棘手與復雜。
鑒于個人信息的多重法律屬性,現階段,幾乎所有法學學科均從各自的視域探究個人信息的法律問題,但各學科之間、各研究者之間缺乏共同的話語體系,典型表現為使用相同的話術描述不同的個人信息內容,或對同一術語進行不同的解讀。例如,從保護用戶的個人利益出發,我國學者更多圍繞個人信息權來展開對個人信息保護的討論。從個人信息資產化的角度,有學者主張將個人信息整合而成的數據資源歸類為單獨的知識產權客體,另有觀點認為應將資產化的個人信息單獨成立為“數據權”,作為對世性的財產權。
而就目前立法現狀而言,我國法律對個人信息的權屬定性問題亦尚未有明確的立法態度,對個人信息的保護和利用規則分散于《刑法》《民法典》《網絡安全法》《消費者權益保護法》《電子商務法》等法律之中。我國個人信息的法律制度和規則具有分散立法、規則不統一的制度缺陷。
鑒于此,《個人信息保護法》被各界寄予厚望,渴望通過《個人信息保護法》的頒布來明確并統一個人信息的保護問題。就即將出臺的《個人信息保護法》而言,一方面,它將作為數字經濟時代我國針對個人信息的專門法,在今后的法律適用上具有優先于其他法律法規的特別法地位,因此,《個人信息保護法》必須在統籌現有分散的各項個人信息保護和利用規則上,對個人信息的使用場景、利用規則、保護方式等方面都進行全面、完備地設計,以此切實解決數字經濟時代的個人信息問題。另一方面,基于《個人信息保護法》在個人信息保護和利用規則上的統籌地位,《個人信息保護法》的出臺還必須綜合考慮公民個人信息權益保障和信息數據利用的社會發展需求。在全國人大法工委2020年10月首次公布的《關于<中華人民共和國個人信息保護法(草案)>的說明》中就指出,制定《個人信息保護法》的必要性就在于在保護個人信息權益的基礎上,促進信息的有效利用,并推動數字經濟的健康發展。該說明是對《個人信息保護法》的立法目的進行了闡釋,明確了該法綜合考量個人信息權益保障的用戶訴求、個人信息資產化利用的商業訴求以及個人信息綜合利用的社會訴求于一體的立法定位,是立法適應信息化時代變革的體現,并對《個人信息保護法》具體條文的制定具有重要的引領意義。
截至目前,我國相繼公布了《個保法(草案)》的一審稿和二審稿,可以看出,《個保法(草案)》二審稿在充分汲取各界智識的基礎上,更加強化了對個人信息保護的規定,相關條文較一審稿而言更為細化與完善。例如,《個保法(草案)》二審稿新增了第57條強化了對基礎性互聯網平臺處理個人信息的義務要求,再如,在第58條新增接受委托處理個人信息的受托方的相關義務,等等。更為值得關注的是,二審稿在總則第一條刪除了“保障個人信息依法有序自由流動”的內容,似旨在總則部分更為突出個人信息權益保護的基本立法定位,但這一做法可能容易導致信息數據作為社會經濟效益的關注度有所降低,而使市場經營者未來面臨的信息處理合規壓力突增。另外,《個保法(草案)》二審稿仍有部分條文有待進一步細化和完善。比如,二審稿仍僅在第4條、第72條明確了個人信息的相關概念,主要以識別性來定義個人信息,這一規定容易導致泛在的個人信息范圍。同時,二審稿在第14至19條規定了個人信息的告知同意處理原則,但尚未對不同類型個人信息的使用規制路徑進行明確。承前所述,個人信息附著用戶權益、經濟利益和社會利益等疊加性利益,“一刀切”地將個人信息規制于統一的裁判規則之下容易導致泛在的個人信息與泛在的個人信息管理,不利于各類型個人信息的保護與發展。
由此可見,雖然《個保法(草案)》二審稿在一審稿的基礎上進行了進一步修訂,相關表述更為精準,適用范圍也更加完整全面,但在立法定位上仍有動搖,也仍忽視了實踐中不同場景下個人信息的利益屬性及其內涵的不確定性,相關概念之間的界限仍然模糊。
三、卡-梅框架對個人信息保護制度的適用價值
卡-梅框架(C&M Framework)是由美國學者卡拉布雷西(Guido Calabresi)和梅拉米德(Douglas Melamed)提出,從法律后果的角度對法律規則進行邏輯分類的分析方法,其著眼點并非傳統的行為模式,而是依據公民受法律保護的權益在遭受侵害時所能得到的不同法律救濟進行規則上的區分,這些法律救濟既可以來自公法領域,也可以來自私法領域,是包括刑事制裁、民事救濟、行政處罰以及經濟補償等在內的所有救濟方式。因此,卡-梅框架可以突破單純從某一法律部門對權益保護和救濟進行探討的局限性,能夠將分散在不同法律部門中的規則置于同一個框架中進行分析探討,從而有助于厘清不同法律規則中的價值考量和保護意圖。卡-梅框架的適用邏輯即在于,只要一項利益能夠為法律所保護,則國家所規定的現有法律體系中必然有與之相對應的法律救濟,換言之,只要受法律保護的公民權益遭到了侵害,就能在現有法律體系中找到相應的法律責任。由此,卡-梅框架根據國家對當事主體法益保護和干預程度的不同,將法律規則劃分為財產規則(Property Rules)、責任規則(Liability Rules)和禁易規則(Inalienability)三類。
卡-梅框架具有兩重區分標準。其一,依據法律是否允許法益的交易與轉移,卡-梅框架劃分出了禁易原則。所謂禁易原則,是指法律禁止雙方當事人對相關法益進行轉讓,例如法律禁止對生命權的買賣。其二,在法律允許法益交易與轉移的基礎上,根據是否允許法益的自愿交易,卡-梅框架又分為財產規則和責任規則。所謂財產規則,是指法益的交易與轉移必須征得法益所有者的同意并由其決定法益的交易價格,例如商業主體在市場中對產品的自由買賣。而責任規則即指法益的轉移并不取決于法益所有者的同意,而是由國家設定交易價格。責任規則項下包含了意外事故等突發狀況,也包括了需要特別考量公共利益的常規情況。
運用卡-梅框架分析個人信息具有其獨特的價值和意義:其一,卡-梅框架根據國家干預程度的不同來劃分規則類型的理念在個人信息的類型化界定中具有借鑒意義。從反證的角度而言,根據不同的法律救濟途徑恰恰能夠反推出個人信息在市場交易時的狀態,從而將不同利用場景下的個人信息嚴格區分開來,避免一概而論地語義擴張。其二,卡-梅框架中所謂的“法益”(Legal Entitlement)并不局限于法律所明文規定的具體權利,其包含了受法律保護的所有權利和利益。對于個人信息而言,卡-梅框架并不要求個人信息具有法律明文規定的權利,能夠巧妙回避當前我國個人信息及數據權利屬性缺位的立法現狀。同時,卡-梅框架下的法益既能包括個人信息中所可能承載的人格權益、經濟利益,也包括了信息共享需要考量的公共利益,能夠將個人信息本體所疊加的三元法益都置于其框架中討論。其三,卡-梅框架著眼于法益受到侵害時能夠尋求的不同法律救濟。卡-梅框架下的法律救濟具有寬泛的法律含義,無論來自公法或私法,包括民事救濟與刑事制裁、經濟補償與行政處罰。卡-梅框架能夠將目前分散在不同法律規則中的個人信息保護整合在同一個體系內分析,有助于從更宏觀、全面的角度看待個人信息的救濟方式,從而檢視《個保法(草案)》針對個人信息保護的制度設計是否合理與準確。
四、卡-梅框架下個人信息的分類及規制路徑
承前所述,近期公布的《個保法(草案)》二審稿對于個人信息的規定仍過于泛化,容易忽視個人信息保護的不同情況。通過結合卡-梅框架下禁易規則、責任規則以及財產規則的基本內涵和適用條件,能夠將個人信息適用的不同場景涵蓋在同一體系下,從而更為清晰地展現不同類型個人信息的法益考量標準,劃清個人信息不同利用路徑的邊界。將卡-梅框架投射到我國個人信息使用場景中可以發現,以交易為視角可以劃分出禁易規則下的不可交易個人信息;而以自愿交易為再次劃分標準,則可將流通市場中的個人信息再次細分為非自愿交易個人信息與可自愿交易個人信息。
(一)禁易規則項下的不可交易個人信息
在卡-梅框架下,不可交易個人信息是指我國明確禁止交易的信息類型。根據我國法律規定,人格權不得進行處分,無論讓與、拋棄,皆不能發生任何法律效力。因此,本文所談論的不可交易個人信息體現為具有強烈人格利益的個人信息,主要包含隱私權、姓名權等性質的內容。[13]我國《個保法(草案)》二審稿將個人信息定位為“已識別或者可識別的自然人有關的各種信息”,從定義內容來看,具有強烈人格利益的不可交易個人信息包含在我國《個保法(草案)》二審稿的個人信息含義之中。而根據我國《民法典》第111條規定,任何組織或個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。從該條文在《民法典》的編撰位置及行文表述可以看出,對該條文項下規定的個人信息依然傾向于適用人格權的保護。在這一語境下,不可交易的個人信息類型所體現的人格屬性遠強于財產屬性,表現為一種消極的、不可讓渡的權益,應以用戶人格利益受到侵害的方式給予直接保護,而不應適用《個保法(草案)》二審稿中規定的“告知同意原則”,但所公布的《個保法(草案)》二審稿并未對此進行例外規定或說明。
(二)財產規則項下的可自愿交易個人信息
可自愿交易個人信息是以市場為基礎的可資產化個人信息類型,適用財產規則。在財產規則項下,個人可以完全依照自身意愿與市場的相關主體就該類型信息進行交易活動,其交易基礎就在于個人信息能夠通過處理、加工與整合而在數字經濟時代具有獨特的商業價值,體現的是個人信息可商品化的財產屬性。而之所以允許個人信息在市場上的交易活動,一方面在于從客觀上數字經濟發展使得個人信息在市場上已然具有了事實上的財產價值,這是信息化社會不可逆轉的發展趨勢。另一方面,個人信息的社會經濟價值也必須通過信息的流通與利用才能最大程度的發揮出來,只有正視個人信息的財產屬性,才能最大化地釋放信息紅利以促進經濟社會的發展,從而使每位公民在數字經濟中獲利。
根據《個保法(草案)》二審稿,納入《個人信息保護法》規制范圍的可自愿交易個人信息應具有可識別性,這意味著可自愿交易個人信息仍然附著一定的人格利益。但是,需要指出的是,在可自愿交易個人信息的討論框架下,可自愿交易個人信息應嚴格區別于上文所討論的具有強烈人格色彩的不可交易個人信息概念,對于具有人格權屬性的個人信息應直接以禁易規則進行保護。在財產規則項下,可自愿交易個人信息本身所承載的財產屬性要遠大于人格屬性,或者說,可自愿交易數據本身雖具有一定的人格利益,但其人格屬性并不明顯,尚未達到要適用人格權路徑予以保護的程度。[16]事實上,對可自愿交易個人信息所附著的人格利益而言,其立法關切在于對消費者在個人信息處理活動當中信息弱勢地位的保障。在大數據時代,多環節的個人信息處理是整個個人信息(數據)商業流程的普遍現象,而消費者僅參與了最初的個人信息交易環節,無法控制并知曉后續針對該個人信息的商業使用。也正是基于此,《個保法(草案)》引入告知同意規則以彌補消費者在可自愿交易個人信息商業流轉中的弱勢地位。可以說,《個保法(草案)》中告知同意規則主要適用的個人信息類型即是可自愿交易個人信息。而在數字經濟背景下,可自愿交易個人信息是信息自由流通市場的基礎,也是自然人真正有權自主選擇交易對象、交易模式和交易對價的客體,個人信息也必須通過市場的交易和流通才能發揮最大的社會經濟效益。
(三)責任規則項下的非自愿交易個人信息
若僅以交易為視角將個人信息的使用劃分為不可交易與可交易兩種場景,雖然看似采取的是“P 與非 P”的完全列舉法,但實則只集中探討了個人信息上附著的人格利益與財產利益,而忽視了個人信息所具有的公共利益屬性。隨著信息技術的發展。個人信息不僅賦予了推動社會經濟發展的財產效益,也能夠為國家制度安排與改善社會治理所用,發揮其公共屬性。對個人信息公共利益屬性的考量源于公民福利與社會整體福祉的需要。例如,為防控新冠肺炎疫情的需要,我國在疫情期間實行健康碼通行制度,每個公民需記錄其自身的健康信息與行動軌跡,而唯有出示綠碼的公民才能乘坐公共交通工具并出入公共場所。又如,新公布的《個保法(草案)》二審稿第13條第6款規定,個人信息處理者為滿足公共利益而進行的新聞報道、輿論監督等行為,可以在合理范圍內處理個人信息。在這一情境下,若仍適用財產規則取得每個公民的同意并由其確定交易定價,則與個人信息的公共利益屬性相悖,實踐中也可能導致國家部門在重大決策執行中的效率低下與裹足不前,交易成本過于高昂。因此,在公共利益的考量下,從法律救濟方式的選擇出發,責任規則相比較于財產規則具有更為積極的效果,也為提高社會的公共管理效率保留了更充足的空間。責任規則項下的個人信息體現為非自愿交易的個人信息,即國家部門或相關機構基于公共利益的需要,在收集或利用公民個人信息時可以不以取得該公民個人同意為前提,而是通過賦予公民請求損害賠償的救濟方式取得交易對價。由于責任規則項下公民個人信息交易具有一定的強制性,在具體適用上應嚴格秉持謙抑的態度,清楚地劃定適用范圍和邊界,不可常態化和泛化。
(四)小結
“如果根本不知道路會導向何方,我們就不可能智慧地選擇路徑。”通過將不同保護視角下的個人信息利用規則統一置于卡-梅框架內,能夠清晰地看到不同類型個人信息保護爭論的緣由及演化路徑。
運用卡-梅框架提供的理論工具進行分析可知,對個人信息進行分類并不是將個人信息所附著的疊加法益分割開來,而是不同場景下對個人信息的利用具有不同的利益訴求,而利益考量偏重的不同所對應的司法保護路徑也并不相同。對于具有強烈隱私權色彩的個人信息應直接適用禁易規則,強調對個人隱私權等人格權利的絕對保護。而為滿足公共利益的需要,基于交易成本的分析,應適用責任規則,在必要時對公民個人信息的收集利用可不以用戶的同意為前提。可自愿交易個人信息是探討個人信息可資產化市場流通與利用的個人信息類型,對該類型個人信息的處理規則應以個人信息附著的財產利益為首要考量,是充分釋放信息資源紅利、促進個人信息社會經濟效益的基本要素。
五、卡-梅框架視野下對《個保法(草案)》的檢視
(一)注意《民法典》與《個人信息保護法》的銜接
承前所述,根據個人信息的內容及表現方式,個人信息所承載的人格利益主要分為兩大類:以隱私權為代表的人格權利和尚未達到人格權利高度的人格利益,由此在可識別性個人信息中劃分出具有強烈人格屬性的不可交易個人信息,適用人格權保護的禁易規則。
我國《民法典》第1034條第2款規定,“個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護”。根據該款規定可知,隱私權保護路徑與個人信息保護路徑是并列關系,為根本不同的兩項規制制度。以隱私權保護個人信息的最大特性即為“防御性”,以個人人格權利切實遭到損害并具有損害后果來尋求救濟。而個人信息保護路徑則體現為信息處理者在處理個人信息中應當履行的相應法律義務,信息處理者不履行法律義務即視為對用戶個人信息權益的侵犯。因此,兩條保護路徑是本質不同的兩套運行體系。新公布的《個保法(草案)》二審稿第29條第2款將本文所述具有強烈人格屬性的不可交易個人信息定義為“敏感個人信息”,意圖在第4條規定的可識別個人信息下進行種類的細分,似在回應上述《民法典》第1034條的相關規定。但詳讀《個保法(草案)》二審稿第30條至第32條所規定的敏感個人信息處理規則可以發現,該處理規則仍然遵循告知同意的總體原則,與《個保法(草案)》下的一般個人信息保護原則并無實質性區別,而與《民法典》的相關條文規定存在立法上的矛盾。
因此,建議《個保法(草案)》在明確區分敏感個人信息和其他可識別性個人信息的基礎上,確立不同的保護規則。對于一般可識別性個人信息的保護應以自由流動、合理利用為原則。而對于具有強烈人格權屬性的敏感個人信息,在法律適用上應與一般可識別性個人信息相區別,明確適用禁易規則,與《民法典》第1034條規定相銜接,避免出現請求權并存的現象。
(二)責任規則項下個人信息處理的完善
《個保法(草案)》二審稿第13條第3、4、6款是責任規則在個人信息處理規則中的確立。從條文編撰位置及行文表述可知,第13條第3、4、6款與第13條第1款所規定的“取得個人的同意”條文應為并列關系。因此,在《個保法(草案)》第13條項下,以履行法定職責或法定義務(第3款)、應對突發公共衛生事件(第4款)、為公共利益實施新聞報道及輿論監督等行為(第6款)對用戶個人信息的使用并不以用戶同意為前提。
基于前述卡-梅框架分析可知,在個人信息處理中設置適用責任規則的條款是基于公共利益之需要,是在特定情況下國家公民必須以讓渡其個人信息權益的方式來獲得對整體公民福祉以及社會總體利益的保障。在責任規則項下,以保障公共利益為目的免除了個人同意的個人信息利用要件,實質是擴張了國家政府部門的權力,侵蝕了用戶所擁有的個人信息權益。因此,對個人信息處理適用責任規則的具體規定必須堅持目的限定原則,防止因國家部門權力過大而打破公權與私權(益)的平衡。具體而言,在設定個人信息責任規則條款時,應將“最小夠用”原則貫穿于體現責任規則的每一項條款。目前,《個保法(草案)》二審稿主要在第二章第三節“國家機關處理個人信息的特別規定”中通過第33條至第37條對責任規則項下處理個人信息的范圍、方式及限度進行了嚴格限定,但未從期限維度進行相關規定。基于對用戶選擇自由的實質影響,為公共利益所采取的特定情況下的個人信息利用措施顯然不可常態化和無限期化。因此,建議在《個保法(草案)》第二章第三節的條文中增加規定,在法定職責或法定義務完成之后或應對突發緊急情況消除之后,應當對相關個人信息進行及時刪除或匿名化,以此限定基于公共利益使用公民個人信息的邊界,保障公民在個人信息面臨侵害風險時可尋求救濟的權利。
(三)財產規則下個人信息保護的應然立場
根據前述卡-梅框架分析可知,可自愿交易個人信息是信息市場流通的基礎,個人信息所蘊含的財產利益是大數據時代個人信息最典型的特征。在數字經濟時代,以個人信息集合所產生的“大數據”已正式成為社會的關鍵生產要素,對未來各國的經濟社會發展起著重要作用。根據國際權威機構 Statista 的統計,2020年全球數據產生量已達到47ZB,預計將在2035年達到2142ZB 的全球數據產生量。美國于2019年12月發布《聯邦數據戰略與2020年行動計劃》,將有效開發數據資源與促進數據的流通共享作為提升國家經濟實力的重要舉措。歐盟亦在2020年公布了《歐盟數據戰略》,致力于通過數據流動和廣泛使用以確保歐盟在未來數據經濟競爭中的領先地位。
個人信息是數據產生的基本單元,對個人信息的充分挖掘和有效利用是我國應對數據時代的發展與信息化的國際競爭不可避免的關鍵環節。我國是信息資源大國,然而,從目前來看,我國對以個人信息為基礎的數據開發與利用尚處于起步階段,大量信息資源還沒有得到充分有效的利用,信息價值還未得以充分釋放。在這一階段,如果一味強調個人信息或個人信息權益的保護問題,則可能使我國錯失數字經濟發展的良機。因此,當前我國對個人信息及個人信息所附著權益的保護理念也必須從保障個人信息安全的絕對立場轉變為個人信息安全和個人信息可資產化交易齊頭并進的相對安全立場。《個保法(草案)》一審稿在總則第1條以“保護個人信息權益,規范個人信息處理活動”與“保障個人信息依法有序自由流動,促進個人信息合理使用”的表述明確了結合數字經濟背景下個人信息處理的這兩個基本維度,是《個人信息保護法》結合國內國際信息化時代大背景的重要體現。然而,近期公布的《個保法(草案)》二審稿第1條刪除了“保障個人信息依法有序自由流動”的表述,此處修改可能使我國在今后的數字經濟發展中更傾向于嚴格實施個人信息權益保護的規制理念,過度強調了保護而忽視了信息自由流通的重要性,打破原有個人信息流通利用與個人信息權益保護的平衡立場。
事實上,保護個人信息權益與促進個人信息資源利用并不必然沖突,我國《個人信息保護法》完全可以通過規則設計平衡這兩個維度的發展。承前所述,財產規則項下的個人信息所承載的人格利益排除了以隱私權為代表的強烈人格權利,對可自愿交易個人信息的人格利益的保護核心在于彌補消費者在個人信息交易市場中的弱勢地位,保障的是與該人格利益密切相關的消費者個人的自決權益。為實現這一目的,《個保法(草案)》二審稿在第二章第14條至18條明確規定了個人信息處理的告知同意規則,要求個人信息處理者必須盡到充分的提醒與說明義務,確保個人信息擁有者在充分知情的前提下作出同意決定,這一規定可以看做是通過對個人信息處理者輔之以額外的信息義務來補足在信息交易環節中消費者的信息劣勢地位。同時,為更進一步確保消費者的個人信息自決權益,在告知同意規則的基礎上我國還引入了撤回制度以對消費者的個人信息安全進行雙重保障,消費者可以在個人信息處理活動的各個環節作出撤回同意的決定。為此,《個保法(草案)》二審稿在一審稿的基礎上對撤回制度進行了更細致化的規定,明確要求個人信息處理者提供“便捷的撤回同意方式”。可以說,《個人信息保護法》相關條文對告知同意規則與撤回制度的設計為消費者在個人信息處理活動中的信息自決提供了充分的保護基礎,已然將個人信息交易風險的負擔轉嫁給了個人信息處理者,能夠平衡消費者與信息處理者在信息交易中的地位差。由此,我國對個人信息安全的保障既有嚴格的人格權保護路徑,又構建了以告知同意規則與撤回制度為基礎的個人信息處理規則,已然充分表達了對消費者個人信息權益的立法關切。在這一基礎上,《個人信息保護法》應以更為積極與坦然面對的姿態迎合數字經濟時代的發展需求。從立法的必要性而言,個人信息的可資產化也正是催生《個人信息保護法》出臺的重要因素。在大數據時代,個人信息的財產屬性必然成為釋放數據紅利中最需著重考量的法益。據此,財產規則項下可自愿交易個人信息的應然立場仍應回歸上述兩個基本維度,即個人信息的權益保護與個人信息的社會經濟效益開發。
個保法(草案)》總則第1條具有彰顯立法目的和法律定位的重要功能,對今后個人信息的法律適用具有舉足輕重的定性作用。因此,建議《個保法(草案)》總則第1條仍應恢復“保障個人信息依法有序自由流動”的條文表述,從而更好地平衡個人信息權益保護與個人信息流通利用的經濟發展需求,促進我國數字經濟的持續健康發展。
六、結語
在信息化時代,個人信息的保護問題與廣大人民群眾息息相關,個人信息的利用和處理也與國家在數字經濟社會的發展緊密相連。《個保法(草案)》一審稿、二審稿的相繼公布進一步表明了國家為適應信息化時代變革的決心和態度。可以預見,《個人信息保護法》立法之時,也是國家進行新一輪制度創新之際。為此,對《個人信息保護法》的制定更應謹慎周全。通過卡—梅框架將不同場景下的個人信息保護置于同一體系進行研究能夠更為清晰地界定個人信息的定位、利益訴求及規制路徑,對檢視和完善當前《個保法(草案)》的相關規則具有積極意義。