论点

主论

亟须强化个人信息的立法保护

在民法总则制定前和起草过程中，法学界对个人信息保护进行了必要的研究和理论储备，该法草案第二次审议稿增加了个人信息保护条文以回应迫切的社会需求。个人信息的本质在于其能够单独或者结合其他信息识别特定个人身份的属性。无论将个人信息理解为权利还是利益，都不妨碍法律将其确定为自然人的人身非财产性质的人格权(权益)且具有支配性特征；其义务主体负有相应的作为和不作为义务。目前以刑法手段保护个人信息走在了前面，而用民事手段保护个人信息的效果尚未彰显。需要探讨民事司法保护个人信息的积极作用，同时从民法分则和制定《个人信息保护法》两方面强化个人信息的立法保护。

——中国人民大学法学院教授张新宝

1

个人信息保护立法应建立多元合法性基础

根据我国现行个人信息相关立法，知情同意是个人信息收集和使用的普遍前提。通过对个人信息需要保护的利益分析，我们发现，个人信息上不仅附着了信息主体的人格尊严和自由利益，个人信息使用者的利益和公共利益也是个人信息法律制度需要保护的重要利益。基于此，知情同意不是且不应成为个人信息处理的唯一合法性基础，在个人信息保护法制定中应首先明确个人信息上的利益，然后根据个人信息上的利益之间的平衡建构个人信息的使用规则，建立多元的合法性基础。

——华东政法大学法律学院教授高富平

2

个人信息保护应建立在法益保护与数据开发利用二元价值平衡基础上

随着大数据技术的开发应用，个人信息主体与信息收集利用者分别从不同角度对个人信息主张权利。但何为个人信息？如何配置权利？答案应建立在法益保护与数据开发利用的二元价值平衡基础上。美国和欧盟代表两种不同的取舍模式。介于二者之间，中国早期采纳“美国式实践”，近来又转向“欧盟式立法”，后者彻底开放了个人信息的边界。为兼顾信息开发利用价值，个人信息的认定标准宜作合目的性限缩和情境化改造。在保护模式的选择上，美欧正趋同于“积极确权+行为规范”模式，中国属于单一的“行为规范模式”，这为信息收集利用提供了相对明确的合规指引，但个人信息主体的法益保护范围只能根据相对人的行为界限作反推，解释论上因此丧失了法益保护的裁量空间，进而难以对承载不同法益内容的身份和行为信息提供差别化保护。解释论之矫正需引入人格权概念作为裁量平台，以此构建法益保护与行为自由的比较权衡框架。

——南京大学法学院副教授宋亚辉

3

个人信息保护立法可引入合法利益豁免机制

在大数据时代，知情同意机制已无法有效应对大数据生态系统的多元性和复杂性，无需取得数据主体同意的合法利益豁免可成为大数据信息使用的另一重要合法依据，为大数据产业发展提供灵活空间。我国在个人信息保护的相关立法中可引入合法利益豁免机制。引入该机制时，对合法利益应采用广泛的定义，只要是未违法的使用利益均属合法利益。但数据控制者必须进行一个平衡测试，证明数据使用的合法利益高于数据主体的个人利益，方可适用合法利益豁免。平衡测试可采用个案分析方式，并遵循必要性原则、目的限定原则和比例原则。此外，数据控制者还应对平衡测试进行全程记录，以接受数据主体、政府数据保护部门和法院的监督。

——中山大学法学院讲师谢琳