《民法典人格权编(草案)》中“个人信息自决”的规范建构及其反思

谢远扬

摘要：《民法典人格权编草案（三次审议稿）》中规定的个人信息保护规范严格贯彻了“个人信息自决”这一基本原则，其具体规范建构充分体现了这一原则的各项要求。但“信息自决”这一理念产生于二十世纪六七十年代，鉴于时代的变迁，单纯的“信息自决”原则已经无法满足当代个人信息保护和信息产业发展的需要。本文试图通过对相关社会背景和法律规范变迁的梳理，说明“个人信息自决”原则的局限所在，并结合“场景理论”找出影响个人信息保护强度的关键要素，为《民法典人格权编（草案）》相关规范的修改以及司法实践提供有价值的参考。

关键词：《民法典人格权编（草案）》;个人信息自决;场景理论

中图分类号：DF51 文献标志码：A

DOI：10.3969/j.issn.1001-2397.2019.06.10

最新公布的《民法典人格权编草案（三次审议稿）》（以下简称《草案》或《三草》）延续之前《民法典人格权编草案（一次审议稿）》（以下简称《一草》）和《民法典人格权编草案（二次审议稿）》（以下简称《二草》）的体例辟专章规定了“隐私权和个人信息”，并依据《民法总则》第111条的精神规定了具体的法律规范，构成了个人信息保护制度之基础。纵观《草案》规范架构，不难发现其是以“信息自决”（本意为“信息的自我决定”）这一基本理念作为基础，并建构起相关的规范体系。那么《草案》的相关规定在具体的司法实践中究竟能否真正实现“信息自决”，更重要的是“信息自决”本身是否具有充分的合理性，本文试图对这一问题展开剖析，并分析其产生的原因和解决方法。

一、《草案》的规范构成和“信息自决”

（一）《草案》的规范内容

《草案》中有关个人信息保护的规范主要集中于第813至817这5条。第813条第1款延续《民法总则》第111条宣示了个人信息受到法律保护这一基本理念，并且限定保护主体为自然人。第2款采用抽象定义和列举的方式明确个人信息的概念。这种定义方式延续了之前《全国人民代表大会常务委员会关于加强网络信息保护的决定》（以下简称《决定》）、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）中对于个人信息的定义方式，并借鉴了其他国家和地区的相关立法例。例如，欧盟《数据保护一般规范（GDPR）》第4条第1款，我国台湾地区“个人资料保护法”第2条第1款。虽然个人信息的概念本身内涵广阔、边界模糊。但该定义方式，一方面通过直接或者间接可识别性的认定体现个人信息这一概念的根本特征;另一方面通过列举典型的方式指导司法适用，区别于单纯的抽象定义（如德国《联邦数据保护法（2015）》第3条第1款）以及纯粹的列举，如《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（以下简称《规定》）第12条，其能够更加清晰地展现个人信息保护的内涵和外延。但区别于欧盟《数据保护一般规范（GDPR）》、我国台湾地区“个人资料保护法”和我国《信息安全技术个人信息安全规范》（GB/T 35273-2017）（以下简称《规范》），《草案》并没有区分一般个人信息和敏感个人信息，而是对所有的个人信息给予同等程度的保护。和《二草》相比，《三草》一方面删除了“本法所称”这四个字，这就表明本条中有关个人信息的定义，不仅适用于《民法典》，还可以在其他法规中适用;另一方面在列举个人信息类型中，添加了电子邮箱地址和行踪信息是为了让信息的定义更适合互联网时代的需要，也更能适应大数据产业的发展。

第814条规定了合法收集、处理自然人个人信息的基本原则和条件。和《二草》相比，《三草》将“收集、使用”修改为了“收集、处理”，“处理”一词来源于欧盟GDPR和德国数据保护法体系中的“Verarbeitun/Process”。相比“使用”，“处理”的概念内涵更丰富，这就使得第814条以下的条款适用范围更为广泛。该条是个人信息保护的核心内容，并承接《决定》第2条明确了个人信息收集使用的三项基本原则，即合法、正当和必要。所谓合法，是指所有对个人信息的收集和处理的活动都要符合我国的法律规范，这里的法律规范不仅是指民法中的相关内容，还包括其他部门法对个人信息保护有所涉及的内容，如新近通过的《电子商务法》以及最高人民法院、最高人民检察院的相关司法解释等。所谓正当，是指进行信息收集和处理的目的和手段要正当，正当的含义不仅仅是指手段目的要合法，更要求手段目的要符合诚实信用的基本原则，并且尽量满足透明的要求，以便当事人能够充分了解相关情况，行使相应权利。最后所谓必要，是指所收集和处理的个人信息应当限于实现正当目的所必须之部分，与实现所涉目的无关的个人信息不能收集和处理。该条第1款第1项将自然人的知情同意视为合法信息收集和处理的唯一合法性前提，这充分体现了当事人自己的意思在信息收集和使用中的重要地位，保障了当事人对自身个人信息的控制。《二草》和《三草》都针对无民事行为能力人和限制民事行为能力人的情况，特别要求取得监护人的同意，强调了对行为能力欠缺者，尤其是未成年人的特别保护。该条第1款第2项和第3项规定了自然人有效同意的前提，即必须向自然人充分履行告知义务，让其充分知悉收集和使用的规则、目的、方式和范围，了解个人信息收集和使用的后果和可能的影响，以保证自然人的意思判断是真实、自由且合理的。

第815条规定了实现个人信息保护的一些保障性权利，即自然人的查阅、抄录和复制权以及更正和删除权。相类似的权利也存在于德国《联邦数据保护法（2015）》第34条以下，欧盟GDPR第15条以下及我国台湾地区“个人资料保护法”第3、11条等法律规范中。但《草案》中查阅、抄录和复制权的对象限于自然人本人的信息，但比较法上自然人查阅权的内容要广泛得多，除了个人信息之外，还包括相关数据处理的具体情况等。在抄录和复制方面，也并没有如欧盟的GDPR中“可携带权”那样要求提供将数据从一个持有者移转到另一持有者技术上的可行性支持。以查阅权为基础，第815条第1款后半句规定了更正权，第2款则规定了自然人行使删除权的条件，在当事人了解信息收集和使用的基本状况之后，就可以判断信息处理活动是否有误，是否符合本人的利益。然后判断是否需要行使更正和删除權。但结合第1款前半句的查阅权内容，如果说信息错误还能够被发现的话，对于行使删除权的情况，自然人就很难通过《草案》中的查阅权充分知情了。和《一草》的规定相比，《二草》和《三草》有关删除权的内容过于抽象，仅将违反法律法规或双方约定的情形作为行使删除权的条件，这只能期待特别法对此具体化了。和《二草》相比，《三草》将“持有者”改为“控制者”更为合理，因为控制者是实际支配和管制个人信息的一方，该修改让信息主体可以直接请求个人信息的实际控制人，而非仅仅是持有人。这更能有效地保护信息主体的合法权益。

第816条规定了实施收集、使用和公开个人信息的免责事由。首先是自然人同意，该项在内容上呼应第814条第1项，但在逻辑上有重复之嫌，因为只要获得自然人的同意，自然属于合法的个人信息收集处理行为。《三草》此处增加了监护人同意的内容，以呼应第814条的内容，给予未成年人特别的保护。其次是已经公开的信息，该免责事由承接《规定》第12条第4项、《规范》第5.4条e款的内容，通常认为已经公开的个人信息属于公共领域，他人可以在合理范围内进行收集和使用。该项但书是公开使用的例外情况，两项条件分别体现权利行使的比例原则，并保证了当事人的最终决定权。最后，《二草》和《三草》删除了《一草》第816条第3、4项的规定，修改成了“为维护公共利益或该自然人的合法权益”。这一方面简化了法条，因为《一草》规定的所谓研究、教学和统计目的以及维护公序良俗，最终都是为了实现公共利益，无需再特别列出;另一方面《二草》和《三草》还增加了维护该自然人的合法权益这一条件，这扩大了该项的适用范围。但必须指出的是，维护公共利益或该自然人合法权益的内容十分抽象，属于兜底性条款，因此对其适用必须要有所限制。该条第3项也规定了这些行为必须合理实施，不能借维护公共利益之名，侵害自然人的合法权益。

第817条规定了信息收集人和控制人的部分义务。该条第1款前半句在内容上和第814条具有相同之处。信息收集人和控制人在本质上也是信息使用人，而对个人信息的泄露、篡改、毁损等行为在广义上也属于对个人信息进行处理或者使用的形式，只不过从法律规定来看，对其都做出了负面评价，认为其没有合法性基础。结合第814条之规定，个中情形包括没有当事人的知情同意，也包括其他违法以及违背当事人之间约定的事由。该条第1款后半句验证了这一逻辑推论，即未经同意向他人提供，就是泄露个人信息的具体情形。本条第1款后半句是前半句的例外，但并非第814条的例外。本句所谓无法识别且不能复原的信息就是指个人信息的匿名化，通过匿名化处理的个人信息失去了其最本质的特征，它已不属于第813条所规定的法律客体。第817条第2款规定了信息收集人和控制人的安全保护义务。该条第1句要求义务人为信息存储提供必要的安全环境。虽然其并没有将这种安全措施的标准具体化，但可以借鉴安全保障义务的一般要求，要求信息的收集、控制者“在合理的限度内”保证信息安全。这种合理限度应当充分考虑到所收集存储个人信息的性质和内容，并结合安全措施的成本，在具体个案中加以判断。该条第2句是传统安全保护义务的延伸，要求信息收集和控制人在发生安全事故时及时采取补救措施，并告知本人。“及时”这一措词常常出现在法律规范中，有些特别法会明确这一概念的具体含义，但更多时候却需要根据具体的情况类推适用相似的规范。笔者认为，考虑到当前信息数据的处理及扩散速度，为了使损害最小化，这里的“及时”应当理解为“立刻（unverzuglich/without undue delay）”。而补救措施不仅仅包括《侵权责任法》第36条规定的删除、屏蔽、断开链接等，还应当包括所有可能减少损害的合理措施。这里的告知义务和第814条中的告知义务一样，必须将相关的危险情况以可以理解的方式，清晰、明确、全面地告知当事人。

最后，相对于《一草》，《二草》和《三草》又增加了第817条之一的内容，规定了国家机关及其工作人员的保密义务。但保密义务的性质究竟是私法上的义务还是公法上的义务，尚有讨论空间。一般来说，特别规定国家机关及其工作人员在履行职务过程中的保密义务，常常出现在公法中。如《中华人民共和国监察法》第18条第2款就规定了监察机关及工作人员的保密义务，即违反相关义务侵犯公民、法人和其他组织的合法权益造成损害的，依照该法第67条应当适用国家赔偿的规定。因此，第817条之一的内容究竟应当解释为对接《国家赔偿法》，还是将民事责任制度引入国家责任之中，并在侵害隐私权和个人信息保护时承认责任的竞合，都亟待立法者的进一步说明。

以上几个条款共同构成了《草案》对个人信息保护的基本制度框架。其延续了我国相关法律中的一些传统做法，并借鉴了其他国家和地区的先进立法经验。当然，从比较法的角度观之，这一框架也有自己的鲜明特色。首先，《草案》没有区分个人信息的具体类型，无论信息内容如何，在逻辑体系上都给予同样的保护。其次，《草案》将当事人的同意视为对个人信息进行合法收集和使用的基本前提，并且从第814条的规定来看这一合法性前提具有唯一性，其他可以收集、使用个人信息的条件，依据第816条仅被视为例外的免责事由，这突出体现当事人自身的意志在信息收集、使用中的核心地位，以保证当事人对自己信息控制能力的实现。再次，《草案》为当事人只规定了有限的辅助性权利，例如第815条规定的查阅、抄录和复制权的对象有限，仅包括个人信息本身。在权能上也仅规定了更正权和删除权。但需要强调的是，查阅权在整个个人信息保护权利体系中具有核心地位，不仅是因为它是公开透明原则的要求，更是因为只有当事人在广泛掌握这些信息的前提下，才可以知晓具体的个人信息收集和使用的状况，才能够判断信息处理活动是否符合本人的意愿以及后续的处理活动是否仍然符合本人的预期，当事人也才可以判断是否有必要对相关信息进行抄录、复制以及是否有必要进行更正、删除。正是在这种意义上，内容广泛的查阅权是行使其他辅助性权利的前提。最后，《草案》没有直接规定相关的责任条款。从民法典的立法体例来说，人格权编的重点是确权，而相关的责任條款应规定在侵权责任编中，但这样的编纂体例也会影响具体条款中对责任方式及类型的认定。例如，在确定信息收集和使用者责任时，是采用过错责任还是严格责任，是否适用举证责任倒置的规则？第817条规定的安全保护义务究竟是主义务（例如合同义务）还是类似于经营者对服务场所的安全保障义务？在违反该义务时究竟应该承担违约责任抑或侵权责任？这些问题都要通过对《草案》文本的进一步分析方可明确。

（二）《草案》对“信息自决”的贯彻

《草案》的规范架构能否实现个人信息保护的立法目的呢？笔者认为，首先需要明确个人信息保护的目的和要求。

所谓应受保护的个人信息，《草案》的界定是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息;《决定》则将其限制为能够识别公民个人身份和涉及公民个人隐私的信息;《规定》将其具体化为自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活動等个人隐私和其他个人信息;《电信和互联网用户个人信息保护规定》将其定义为用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息;《网络安全法》第77条则认为其是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等;《规范》则严格区分了“个人信息”和“个人敏感信息”，前者仍然以可识别性作为核心，后者则是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。它们的共同点是认为个人信息和具体的自然人相联系，并可以通过这些信息直接或间接地识别该具体自然人，区别在于对这种关联性进行限制的内容不同。典型的限制如《决定》和《规定》所强调的只有当个人信息涉及个人身份和隐私时才应受到保护;《规范》则依据信息泄露可能造成的后果区分了两种信息类型，并给予不同的保护;而在《草案》和《网络安全法》中则没有这种限制，只要求这些信息具有可识别性即可。

对个人信息基本定义的区别反映了个人信息保护立法理念的不同。有观点认为如果不对应受保护个人信息的范围加以限制，会导致法律保护的范围过于宽泛，难以明确和具体化。具体而言，这一方面会导致法律保护本身流于形式;另一方面也会导致保护的滥用最终限制社会和技术的发展。这种担忧有其合理性，因为立法的一般性条款在司法实践中如果没有完善的司法技术做支持，会产生很多问题。典型者如我国民法中的一般人格权，虽然理论界和实务界都承认此框架性权利，司法实践中亦存在通过此项权利填补相关法律漏洞的做法，如通过司法创制信用权、祭奠权等来实现上述目的。但整体来看，此项框架权利的适用仍存在很多问题：一方面过于宽泛的保护范围导致其在司法上被滥用，一些判决将侵害人格利益均视为对一般人格权的侵犯，致使具体人格权被架空;另一方面，由于侵害一般人格权的责任构成并不明确，导致在需要一般人格权发挥作用以保护人格尊严并弥补法律漏洞时，反而难以适用。然而，就个人信息保护来说承认其保护范围的广泛性，它是由个人信息对保护人格尊严和实现人格自由发展的作用所决定的。

有观点认为，根据表现理论（Darstellungstheorie），个人参与社会生活的实质就是通过对个人信息的使用和公开，形成自己的社会形象（Soziale Profile），并以此为基础参与社会交往的行为。同时在社会交往中通过对他人个人信息的收集，不断加深对社会环境的理解，不断完善自己的社会形象，并最终实现个人人格发展目的。正是在这个意义上，任何个人信息的不实、错误或者对其内容的扭曲都会或多或少影响个人社会形象的塑造，让个人在社会中的发展偏离自己的预期。随着技术的发展以及计算机和互联网的普及，个人信息和个人社会形象的联系更为紧密。因此在德国著名的“人口普查案（Volkszahlungsurteil）”中，德国联邦宪法法院才认为，在信息时代再也没有无关的个人信息，任何个人信息都与当事人的人格发展相联系。保护个人的人格尊严，正要保障个人人格的自由发展，即个人人格的发展路径、方式等应当由个人自主决定，不受外界的不当干预。在表现理论下，这就意味着个人一方面需要原则上控制个人信息公开的内容、方式和范围等，以保证其在社会中的个人形象大体上符合本人的预期;另一方面需要掌握尽可能多有关他人的个人信息，以保证其对社会环境有着充分认识，这样个人才能正确地规划和改善自己的社会形象，最大限度地实现自身人格发展。正是在这个意义上，所谓对个人信息的保护，并非直接保护个人隐私，而是保护个人对其自身社会形象的自我决定。由于所有的个人信息都与个人社会形象塑造相关，因此当事人对所有个人信息的“自我决定”原则上都有保护的必要。具体而言，这种自我决定包括两个部分：

第一，在个人信息公开之前，当事人有权自我决定个人信息公开的内容、方式、程度、范围、环境等。为了保证在特定的社会环境下形成个人特定的社会形象，当事人会依据具体不同的环境公开特定的个人信息，以便在参与社会活动时保证自己的社会形象符合自身的需求。反之，如果个人信息的公开和使用无法按照当事人自身的意思进行，那么其在社会中的个人形象就可能偏离原先的预期，对自身的人格发展造成不利影响。

第二，在个人信息公开之后，当事人有权自我决定对个人信息的进一步处理，以保证已经公开的信息不被扭曲。已公开的信息构成了当事人在社会中的个人形象，是当事人参与社会生活的前提和基础。个人信息公开之后就进入了公共领域，任何人都有获取的可能，并能对它们做进一步的处理。然而，这些处理很有可能造成已公开个人信息内容的改变，并导致当事人社会形象被扭曲，进而影响其参与社会生活和人格发展权。因此特别需要限制他人对已公开个人信息的处理，以保证个人社会形象的稳定，符合当事人之期望。信息自决的这一内容和信息利用之间的矛盾尤其突出，如何界定他人对公共信息的利用界限决定了信息自决能否真正实现。

从保护人格发展和对个人信息的自我决定这两个方面出发，理论上就要求信息主体有权在任何时间，对任何关于自身信息的处理行为，无论其处理主体是谁，处理的内容、方式、方法如何，当事人都可以介入，以决定信息处理行为合理与否。其实质就是要保证信息主体对个人信息完全的控制权。依据表现理论，只有这样才能充分保证公开的个人形象和本人的预期完全一致，从而保证本人自主地参与社会生活，以实现个人人格自由发展这一最高目标。

《草案》之规范正是严格依据这一目标建构。其第813条确认了所有的个人信息都受到法律的保护，不必区分个人信息的类型、内容与形式。其满足了信息自决所要求的所有个人信息都和个人人格自由发展相关，都需要法律保护的要求。《草案》第814条明确了收集、使用和公开个人信息都必须以当事人的同意为前提。其满足了个人信息公开前后，当事人对任何收集、处理个人信息的活动都拥有决定权的要求，有利于实现当事人对个人信息的控制。第815条规定当事人可以通过查阅权了解个人信息收集和使用的具体情况，如果出现损害当事人利益的情况，当事人可以通过行使更正权、删除权等及时制止该侵害。该规范是真正实现信息自决的保障，尤其是在个人信息被收集使用之后，当事人可以通过行使查阅权一定程度上克服机构和当事人之间的信息不平等，以保证当事人的知情权。而设立更正权和删除权的目的则是为了在被收集或公开的个人信息出现错误时，尽量减少对当事人社会形象造成的不利影响。但正如前文所述，《草案》中规定的有限查阅权，很有可能导致当事人并不能全面知晓信息处理的具体状况，从而影响其行使更正权和删除权的实际效果，进而导致整个“信息自决”的保障措施无效，使该制度目标归于落空。最后，第817条规定了信息收集、持有人所应承担的安全保护义务，该条所要求提供的信息收集、处理的安全环境，同样是保证个人信息不被随意泄露的必要手段，是为更好地实现信息自决、个人人格自由发展的配套措施。简言之，虽然《草案》相关规则有一定的不足和缺陷，但是从实现个人信息自决的角度来说，已经建构起了最为基本的法律框架，如果可以进一步强化查阅权等辅助保障性权利，则在理论上可以实现信息自决这一基本制度目标。但问题就在于“信息自决”这一制度目标本身是否现实可行。

二、对“信息自决”的反思

（一）社会背景的变化

“信息自决”这一理念出现伊始，就存在对其质疑的声音，并随着互联网技术的发展和信息社会的进步日益突出。随着互联网技术和社会生活的融合不断深入，也随着信息在当今社会中的价值日益凸显，传统上对个人信息以及个人信息保护的观点也发生着变化。

“信息自决”产生于二十世纪六七十年代，在这期间先进国家开始在社会管理中采用自动化信息处理技术，极大地提高了行政效率。为平衡效率与隐私保护的关系，西方学界和司法界发展了当时的隐私保护理念，并结合保护抽象人格的一般人格权，提出了“信息自决”的理念，以防止过度收集和使用个人信息，避免对私人生活的过度干预。换言之，这一理念的产生有其特殊的社会条件。然而，今天这些“信息自决”所产生的社会土壤都或多或少发生了变化。

首先，对国家公权力的约束现在仍然有必要，但是对公权力的约束是否有必要完全移植到私法关系中，尚可讨论。毋庸置疑，和普通个人相比，进行个人信息收集和使用的公司或机构仍处于优势地位，无论是技术还是信息上的相对垄断，让个人在面对相关机构时都很难仅凭借自身的力量保护自己的权益。但这和国家与个人之间的关系仍有不同，毕竟在公司与机构之外尚还可以借助国家公权力对私人进行救济，通过国家专门机关的监督可以在一定程度上缓和双方不平等的地位以保护个人利益。其应根据具体案件的情况，在涉及有关个人信息的商业化利用方面选择性地适用“信息自决”理论，而在涉及人格权和个人隐私方面多适用“领域理论”给予保护。

其次，民众对信息技术的了解程度也今非昔比。相较于二十世纪六七十年代，普通民众对信息技术的了解大大加深，相关的技术产品也并非如二十世纪那样仅仅为政府机关、研究机构或者大型企业所使用，而是深入到每位普通民众的生活中。绝大多数民众在日常生活中经常接触计算机和互联网设备，充分享受了使用信息设备带来的便利。对年轻人而言，互联网和信息设备更是成了其生活的必须品。在了解了使用信息设备的便利和可能风险之后，民众对这些新技术的担忧也会大大降低，普通民众也会更加理性地看待个人信息保护问题。有些民众甚至乐意在充分地权衡利弊之后，自愿放弃一定程度的保护，以获得生活上的便利。这种对新技术态度的转变在人类社会的发展进程中无数次发生，可以说任何一种跨时代技术的出现在其产生之初无不伴随着争议，而这些争议都会随着了解的加深而逐渐消逝，互联网和信息技术的出现无非是重复了这一过程而已。

最后，信息产业已经成为当今社会发展的核心动力之一。最近几年，世界主要国家纷纷提出了自己国家的长期发展计划。以二十世纪九十年代美国政府的“信息高速公路”战略为开端，到德国的“工业4.0”以及我国当前的“中国制造2025”，每一项计划都将信息和互联网技术的发展作为重中之重。应该看到，随着计算机、互联网、大数据以及区块链等技术的不断发展，如今的信息社会已经和传统社会有着天壤之别。个人信息和数据不再仅仅与个人的人格尊严和人格自由相关，更成了相关产业存在和发展的基石。在某種意义上甚至成了一种公共产品，涉及广泛的公共利益，自不应当完全由个人控制，而是由社会在某种程度上决定个人信息的使用。对于新兴的互联网产业来说，对个人信息数据的收集和处理，是其进行正常企业活动的前提，是建构大数据处理业务的基础。有学者认为“信息隐私作为一种公共物品，像干净空气或者国防一样发挥着作用”。个人信息数据中所蕴含的，不仅仅是单纯的私人人格利益，也体现了公共利益属性，并通过互联网和大数据产业展现出来。当下我国已经将互联网以及大数据产业作为国家发展的重点，如何在保护个人信息的前提下，充分保证相关产业能够对个人信息进行利用，让个人信息数据的财产价值得以充分体现以保证产业的健康发展？这就要求在讨论个人信息保护时，不能一味地只关注信息保护和“信息自决”本身，而应将实现信息保护和促进“信息利用”放在同一维度，以一个更加开阔的视野来审视相关的制度建构。

（二）规范本身的缺陷

除了社会层面“信息自决”理论适用背景发生了重大变化外，在法学理论层面其也存在可检讨之处：

首先，信息自决本身的含义十分模糊。理论和实务界创设“信息自决”是因为“领域理论”这种“私密领域/个人和私人领域/社会和公共领域”同心圆式划分方法并不能明确界分这三个领域之间的边界，并会导致其适用上的模糊，从而很难直接满足个人信息保护的社会需求。“信息自决”理论从保障人格自由发展的角度出发，虽然其可以在一定程度上保护个人信息利益，但也同样存在边界不清的问题。例如在德国的“人口普查案”中，除了规范明确性（Normenklarheit）和比例原则（VerhaltltnismaBigkeit）这样的一般限制之外，几乎没有提到对“信息自决”的其他限制性条件。显然，这必然导致在具体的司法实践中对“信息自决”的保护范围采取过于宽泛的解释，并与其他权利的保护范围产生冲突。

其次，“信息自决”原则本身有过于绝对之处。支持“信息自决”的重要理由之一就是认为如果不能对个人信息给予充分保护，就会让对自己不利的信息为他人所知，从而对个人造成不利影响。然而在一般的社会交往中，不可避免地会让他人知悉某些负面信息，这也是一般人参与社会生活所应当承担的正常风险。此外，还有些负面信息不仅和个人相关，也涉及社会公共利益，出于保护公共安全和他人合法利益的需要，这些负面个人信息有必要在合理的范围内公开或者被合理使用。因此，从维持社会基本秩序的角度出发，当事人应当存在一个容忍范围，允许在满足一定条件的情况下，即便没有本人的允许，其他自然人或者相关机构也可以对自然人的个人信息进行收集和处理。然而，这一容忍范围的边界却难以把握。如果容忍范围很小，虽然能够更好地保护个人信息利益，却会影响公共安全、他人的合法权益乃至社会发展;反之，则又会损害个人的人格自由和相关人格利益。因此，确定一个合适的容忍范围，以适当限制当事人对自己信息的控制，是适用“信息自决”的核心问题之一，并可依此明确“信息自决”以及数据保护的相应边界。

再次，信息自决的核心是当事人对自身个人信息的控制，而自我决定则是这种控制的体现。但是真正的自我决定是以信息持有者和控制者充分履行告知义务为前提的，只有当事人充分了解信息收集和使用的各个环节，才能做出最为合理的判断，让信息处理活动实现对当事人的利益最大化，这种充分的告知义务不仅存在于信息被收集公开之前。在信息被收集公开之后，当事人同样需要了解信息处理活动的各项内容，从而判断其是否符合自己的意志、是否符合自己的利益，以合理行使自己的更正权、屏蔽权和删除权。但当事人和信息持有者之间的不平等地位，让这种充分知情权很难实现，因为当事人根本无从得知信息持有者是否充分履行了告知义务。特别是在信息被收集之后，当事人请求行使查阅权时，当事人根本没有其他渠道核实信息持有者是否全面告知了信息的处理状况。所以，此项权利能否得到实现关键在于持有者，而没有充分知情权的当事人自决往往难以实现。

最后，“信息自决”所保护的客体“信息”本身也具有不确定性。它和传统的权利客体如财产、身体或者人格尊严都不尽相同。个人信息是一种抽象的存在，虽然其和自然人相联系，但这种联系未必是一一对应的关系。个人信息可能与数个自然人相关，也可能和当事人之间的联系程度各不相同，体现着不同的人格利益，并且个人信息本身的价值也可能随着时间以及公开程度而不断变化②。因此，虽然在理论上所有的个人信息都值得保护，但在实际中个人信息的保护价值本身也是波动不定的。再考虑到其庞大的数量，想在法律层面上对个人信息进行全面的保护并不具有现实可能性。

综上，所谓的“信息自决”与其说是一项现实的制度，毋宁说是一种理念，即希望能够实现自然人对自身信息的完全控制，在不确定的未来发展中，给予自然人格尊严以充分保护。而德国“人口普查案”所确立的“何时以及在何种范围内公开自己生活事实的自我决定”规则，因其过于模糊的内涵使其饱受批判。但不可否认的是，“信息自决”这一理念有其合理之处，出于保护个人社会形象的需要，自然人应对自己的个人信息拥有一定的控制能力。但如果将这种控制力绝对化，则既不现实，也不符合公共利益的需要，甚至会使该理念的制度价值受到质疑。虽然在德国“人口普查案”中也认可信息收集和使用的目的，以及信息和个人的密切程度是个人信息保护需要考虑的重要因素，但如何在具体的情况下判断这两者对后者的保护效果仍尚无定论。既然“信息自决”本身易被架空，基于“信息自决”的一般性请求权来对个人进行保护也就成了空中楼阁：一方面作为个人来说很难完全知晓他人对自己信息的了解状况，也很难预见那些获悉个人信息的人会如何使用这些信息以及使用的后果;另一方面出于推动产业发展和社会进步的需要，法律又不得不在具体个案中设立一个又一个例外，来限制“信息自决”的范围。总之，自然人在社会中生存总应承担一定风险，这既包括自身的负面信息被他人知悉所带来的社会交往上的不确定性，也包括由于社会技术发展所带来的必要风险。为了享受信息社会的便利，促进信息产业的发展，人们也不得不忍受个人信息在某种程度上被他人使用的可能。因此，出于社会整体利益的考虑，只要这种风险被限制在一定范围内，不致造成额外的损害，就属于当事人社会容忍义务之范畴，不具有违法性。在个人信息保护法的讨论中，需要正视这些风险的存在，认识到“信息自决”作为一项法律规范的缺陷，从而在制度构建中追求权益和风险的合理共担。使自然人在享受便利的同时，也需要容忍他人对个人信息的合理使用，以促进相关产业和社会的发展。

总之，《草案》单纯以个人“信息自决”为纲显然有所不足。首先，《草案》第813条将所有个人信息统一保护，无法克服“个人信息”概念过于宽泛的弊端，不具有现实的可操作性。其次，《草案》第814条以当事人同意作为个人信息合法收集和使用的唯一基礎，虽然贯彻了“信息自决”原则，但很难应对多样化的社会现实。而且第816条所规定的例外也相当有限，是否能够满足信息产业发展的需要，还有待观察。再者，第815条规定的当事人相关权利，除了查阅权范围过窄这一缺陷之外，更由于当事人和信息收集及持有人之间巨大的信息和技术鸿沟，导致当事人根本无法知悉对方是否真正履行了相应义务，从而导致整个保障性权利体系的虚化和弱化。最后，基于同样的理由，当事人也无法知悉信息的收集和持有人是否充分履行了第817条规定的相应义务，只有当损害真正发生的时候，通过事后救济来弥补自己的损失。

三、场景理论下的“信息自决”和对草案规范的重构

《草案》规范的众多不足，应当如何改进？从上文的分析中不难发现，对个人信息的保护规则需要具体化，并且个人信息保护的强度还需充分评估当事人的权益、容忍义务、公共利益等多个因素，并非当事人自决原理所能简单概括。简单化的规则不仅不能够现实反映社会环境的变化，而且也会对当事人和信息持有者带来沉重的负担。美国学者在讨论信息隐私保护时提出了著名的“场景理论（context）”，认为信息隐私保护的边界并非固定、僵化和非此即彼，而是应依据场景的不同，遵守不同的动态规则，以应对在不同场景中出现的不同因素。在实现隐私保护时，不应坚持传统的二元化“全有或全无”式的判断，而是应基于限制公共机构对私人信息的收集和调查，限制对敏感或者私人信息的处理，以及阻断侵入私人场所等目的进行综合考量。具体而言，首先，要考虑的是信息披露的场景适当性（Appropriateness），即何种信息在何种场合是可以被合理披露的。信息的披露依据不同的场景有不同的要求，其以信息流转当事人之间的社会关系为基础，当事人之间不同的社会关系要求不同的行为方式和相互知悉一定的内容，以保证在不同的社会关系和场景中维持自身不同的社会形象。

其次，是具体的信息分配（Distribution）。依据正义多元论（pluralist theory of justice），正义不仅是普适的，也属于特定领域（Sphere）。在不同领域，正义体现为不同的利益分配。在信息流转的语境下，正义就体现为不同的信息分配模式，而不同的特定场景（context）也就决定了信息分配的具体方式。

最后，是要完整地考虑整个场景（Contextual Integrity）的情况。在一个场景中往往有很多要素，考虑场景适当性时就必须将所有相关的要素纳入考虑范围。有学者总结了有可能影响信息隐私保护的因素，主要包括：（1）防止基于信息的损害;（2）信息不平等;（3）当事人自主和自由;（4）维持重要的人际关系;（5）维持基本社会秩序。总之，对隐私的保护不能偏离这些目标。

“场景理论”试图构建出一套既可应用于不同具体隋况，又可以充分考虑各方利益，以保护自然人隐私的制度，个人信息保护同样可以从中加以借鉴。然而，场景理论也存在很多缺陷，比如其内容过于抽象，现有研究更多只是强调具体问题需要考虑不同的场景以及相关目标，但对如何实现以及如何判断场景的不同，在国内外场景理论的讨论中都鲜有涉及。

尽管如此，在司法实践中裁判者也自然而然地将其核心思路，即依据场景的不同决定个人信息保护的程度贯彻其中。通过对相关判例的分析，不难发现裁判者往往将以下几个要素视为判断场景区别的关键，并由此决定个人信息保护程度的高低：

首先，是信息处理的风险。在司法实践中，法院首先认为信息的内容会决定信息处理风险的高低。如果所涉信息的内容是普通个人信息，则诉请通常不会得到法院的支持;但如果相关的个人信息涉及当事人的隐私，或者个人信息属于敏感事项，那么相关的诉请就有很大的可能能获得法院的支持②。除此之外，个人信息处理的具体方式也会影响法院的判决。相比之下，如果信息处理涉及对当事人的社会评价，即所谓涉及当事人“社会画像（Social Profile）”的信息处理，例如判断当事人有无某种能力、是否胜任某种社会职务、社会信用等级等对当事人会产生很大影響的活动，则信息处理的风险比较高，信息的持有者和处理者理应承担更高的注意义务。另外要考虑的是相关的个人信息是否已经处于公开的状态。相对而言，处理公开的个人信息所涉风险较小，处理对部分人公开的信息风险次之，但处理的个人信息若处于秘密状态则所涉的风险较大。

其次，是对当事人容忍义务的判断。如前文所述，随着技术的发展和社会的进步，互联网和信息技术越来越深入个人的生活，为了维持社会的正常运转，个人对信息处理的容忍义务也在逐渐提高。从司法判决来看，在各种相关因素中，直接决定个人容忍义务高低的主要是个人信息的收集和使用的目的。即信息收集和使用究竟是为了公共利益还是信息持有者的私人利益。如果是为了公共利益，如社会安全、产业发展、教育研究、新闻报道等，从利益平衡的角度出发，当事人就应当承担更高的容忍义务，即便对信息的收集和使用活动存在一定的风险，当事人也无权反对。但如果是为了私人利益而对个人信息进行处理，当事人就没有承担较高容忍义务的必要。

最后，影响法院判决的是当事人对信息的控制力。具体而言，决定控制力大小有两个因素需加以考虑：一是信息和当事人的相关程度;二是信息的内容是否经过他人的再加工，以及在这个加工过程中他人所付出的成本情况。从既有的判决来看，对涉及多人甚至具有某特征群体的信息，单一当事人的控制力就很弱，他人也就越方便收集和利用。同时，如果信息控制人在处理信息过程中花费了大量的投入和成本，例如大量收集、存储并且使用复杂的算法进行长时间的计算整理，那么其处理结果所涉的个人信息，也会在一定程度上削弱信息主体的控制力。

也就是说，在场景理论下，单个的要素并不能直接影响法律效果，而由这些要素相互作用响所形成的整个场景，将共同决定个人信息保护程度的高低。换而言之，在面对具体案件时，法官必须综合考虑信息搜集者的处理风险、当事人容忍义务及其对信息的控制力等因素。即便其中的一项或者两项要素强度有限，但如果其他要素有足够的影响，同样也要求提高对个人信息保护的程度。

以对“信息自决”的反思为基础，结合到“场景理论”下对个人信息保护的讨论，针对《草案》中的相关条款，笔者认为应当对其进行以下改进：

第一，“信息自决”并非个人信息保护的唯一目的。虽然“信息自决”作为一项具体法律规范仍存有诸多的不足，但这并不能动摇其作为一项法律原则的重要地位。因为，只要我们仍然尊重个人隐私，只要我们仍然尊重个人人格自由，坚持“信息自决”这一基本法律原则以保护个人信息安全就仍有其必要性。在制定具体的规范时，在充分考虑相关各方利益平衡的前提下，需要尽可能地保护自然人的信息利益，让当事人能够尽量实现对个人信息的自我决定。与此同时，我们在制度设计上也不能仅拘泥于“信息自决”的各项具体要求。而且，就当今的个人信息保护法来说，实现“信息自决”也并非其唯一目的，实现信息保护和信息利用之间的平衡，促进信息产业的发展也应成为个人信息保护法所追求的制度目标。

第二，依照不同的个人信息类型给予不同的保护。众所周知，个人信息的外延非常宽泛，如果不区分信息的具体类型和内容，给予所有的个人信息以相同或者类似的保护水平，虽然在理论上能够体现“信息自决”的要求，但在技术上缺乏现实的可能性。因此，立法应当对和当事人人格尊严密切联系的个人“敏感信息”给予充分的保护，对于普通的个人信息给予一般的保护，而对于已经公开的个人信息通常不予保护，鼓励对其合理利用。只有对受保护个人信息进行类型化处理，才能避免个人信息概念的模糊性缺陷，防止规范适用的空洞化。《草案》第813条将所有个人信息统一保护的方式，虽然符合“信息自决”的要求，但并不能满足法律适用的需要。建议区别个人信息的不同类型，结合第814条制定不同的保护规则，以便在实现个人信息保护的同时，也能够保证数据产业的正常发展。

第三，信息处理合法性的多样化。《草案》第814条严格依据“信息自决”规则，仅规定当事人的同意为个人信息收集、使用的合法性基础。然而，正如多元正义理论所指出的那样，正当性未必具有唯一性。在多样化的社会生活中，个人信息收集使用的合法性基础也必然多样化，远非简单一种类型可以涵盖。这已经得到了我国司法实践的认可。如前文所述，依据具体的案情，司法实践已经承认了很多个人信息收集和使用的合法性理由。除了当事人同意之外，还包括个人信息本身缺乏敏感性、信息处理风险较低、信息处理是为了公共利益或者为了保护他人合法权益所必须等等。当然，《草案》第816条也规定了一些例外，然而从规范论的角度看，例外并非规范本身，只是规范的补充。因此，第816条的例外规定并不能改变《草案》仅承认一种合法性理由的事实，而且第816条规定的例外本身类型也非常有限。从比较法视角看，即便是非常注重保护人格尊严的欧盟GDPR，也认可了数据处理合法性基础的多样性（第6条），所以在国家大力推动信息产业发展的背景下，《草案》只认可一种合法性基础，显然存在不足。

第四，依据投入成本分配信息权益。在大数据时代，对信息的集中利用需要投入大量的资本和技术，从鼓励信息产业发展的角度，在企业投入相应的成本之后，其所获得的合理收益应当受到保护。我国司法实践也认可了这样的观点：大数据结果是独立的衍生数据，其与原始的用户数据并没有直接联系，大数据企业因其投入的资本、技术获得对大数据的相应权益。这种依据投入成本获得相应权益的观点颇值赞同。首先，“成本——获益”模式本身就是私法中常见的利益分配模式，無论是股权分红还是投资获益，大多依照这种模式进行;其次，个人信息本身具有公共性和社会性，它并不完全专属于个人，在一定程度上也属于公共资源，因此对个人信息的利用以及相关利益的分配也不应完全依据个人的意愿，以投入成本的多寡作为利益分配的依据较能够实现物尽其用;最后，从产业发展的角度看，大数据相关技术的研发、数据的收集和处理都需要投入大量的资本和技术，如果不能保证企业的收益，将不能降低产业风险，无法保证产业持续获得资金和技术的支持，企业长期可持续的良性发展无从说起。所以从比例原则的角度出发，只要能够保证不侵害当事人的隐私，不严重损害当事人的人格尊严，相关企业应当可以在合理的范围内收集和使用个人信息，并且对自己投入成本获得的衍生数据拥有相应的权益。《草案》并没有涉及这方面的内容，第813条应当将经过处理的衍生数据与原始个人信息相区别，并规定如果前者已经失去了可识别性;或者与单个具体自然人的联系已经十分微弱，就不应视为个人信息保护的客体，相关的处理者可以在一定的范围内排他地享有有关数据带来的利益。

第五，引入第三方监督。纵然《草案》第815条规定了一些保障性权利，但由于自然人和信息处理方之间存在信息和技术的不对称，单靠自然人本身的能力很难真正实现这些权利。这时除了通过在损害发生之后让行为人承担较重的责任来进行制约之外，还可引入第三方监督机制。这个第三方应在信息处理方掌握信息和技术优势的情况下，有能力充分了解个人信息收集和使用的具体细节，以便充分地保护自然人利益。而最为简单的方式就是由国家公权力介入，就如欧盟GDPR中规定的“数据保护官”一样。虽然在民法典中引人国家公权力作为监督力量并不符合其私法性质，且从学理上讲也应当在独立的个人信息保护法中加以规定，但是考虑到《草案》已经存在如同第817条之一具有公私法结合性质的条款，在《草案》第816条或者第817条中设置引导性规范，加人由国家有关部门设立“信息保护官”，以保证信息收集和持有人充分履行相应义务，保障自然人相关权益之表述，并不突兀。

四、结论

总之，《草案》的制度构造仍然以传统的“信息自决”规则作为基础，然而这项发源自二十世纪六七十年代的制度，是在前信息时代的背景下产生的，当今社会环境已经有了很大的区别，且此项制度本身也存在各种理论不足。以此为基础建构个人信息保护制度，能否满足当代社会的需要值得再探讨。基于对相关案例的分析，不难发现决定个人信息是否应受保护的因素是多样化的，以个人信息处理风险、当事人的容忍义务及其对信息的控制力这几项最为关键，《草案》严格以当事人同意作为实现信息处理的唯一合法性依据显得过于保守。在对《草案》内容进行修改时，应当跳出“信息自决”的束缚，以信息保护和信息利用平衡为视角，重构相关内容尤其是信息处理的合法性条款，从而实现在保护个人信息的同时，保障相关产业发展的制度目标。