个性化推荐场景下信息自决权研究

荣予畅， 吴才毓

(中国人民公安大学 法学院，北京 100038)

《个人信息保护法(草案)》第二次审议稿与一审稿相比，进一步提升了对于个人信息自决权益的保护，除了在第16条中完善了“撤回同意”相关要求之外，第25条也关注到了用户在基于算法自动化决策的个性化推荐服务中的拒绝权。这说明个性化推荐场景下个人信息自决权的保护问题已经受到关注。从目前个人信息保护的相关研究来看，除了“权利说”与“权益说”之争，另一条主线就是以“知情同意规则”为核心的个人信息自主控制模式研究。在大数据分析和算法决策的冲击下，个人信息的利用和流动不仅可以满足个人的需求，同时也具有重要的商业价值和社会公共价值。传统的个人信息控制理论并没有考虑多种价值和利益的平衡，因而在实践中已陷入困境[1]。个性化推荐是算法决策最主要的利用场景，同时也是用户、信息控制者以及信息使用者之间权益冲突较明显的场景。因此，如何在个性化推荐场景下平衡信息保护与信息利用的关系是互联网经济时代亟待解决的难题。

一、 个性化推荐威胁个人意思自治

数字经济时代，网络应用成为极其重要的信息渠道。与此同时，网络应用的市场竞争愈发激烈。为了加强用户粘性，为用户提供交互式服务成为各应用研发的主要目标之一。尤其是对于购物、视频等平台来说，为了促进消费，如何为用户推荐令其满意的服务、商品或内容，更是重中之重。虽然个性化推荐能够帮助人们从海量的信息中快速锁定自己需要的内容，然而其背后的代价是大量的个人信息被收集，以及个体基于自由意志的自我决定逐渐被算法决策所取代，算法自动决策引发了人们对意思自治遭受破坏的担忧。

(一) 网络用户画像锁定“个性”

一个典型的个性化推荐过程主要包括三个主体：用户、被推荐对象和计算机信息系统。其中，用户的个性化需求，既可以由用户主动地提供给计算机信息系统，也可以由计算机系统根据用户的使用记录和一定的规则推测用户的兴趣偏好产生出来[2]。计算机系统按照一定规则生成的就是“网络用户画像”，构建用户画像这一过程是个性化推荐的关键过程，正是用户画像帮助计算机系统锁定了用户的“个性”。用户画像是产品开发、行业分析和精准营销的重要基础。为了构建完整的用户画像，企业需要汇集多方碎片信息，如交易记录、账户基本信息、出行记录、浏览记录以及社交记录等。一般来说，只有超大型互联网企业才能收集到足够多的数据碎片来拼凑用户画像，但这并不妨碍中小企业和初创企业利用超大型企业描绘的用户画像开展业务。

虽然网络用户画像能够帮助个人更加高效地寻找心仪的产品或服务，然而用户画像与个性化推荐也对用户相关权益的保护提出了挑战。很多专家指出，个人消费行为信息属于个人信息范畴，在未经用户明确同意与授权情形下，对于此类个人信息的收集与利用侵犯了用户的相关隐私权益[3]。也有学者提出，如果不对个性化推荐算法加以限制，那么每一个推荐行为都可能被认为是在窥探用户的过去，这样的挖掘如果未经用户同意，就是“被窥探的人格图像”[4]。目前我国法律关于网络用户画像并未有直接规定，因此也没有禁止网站收集用户行为偏好信息进行个性化推荐的行为。在司法实践中，法院事实上支持了网站构建用户画像这一行为。如在我国“cookie隐私第一案”——朱某诉百度公司隐私权纠纷案中(1)江苏省南京市鼓楼区人民法院(2013)鼓民初字第3031号民事判决书，江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。,虽然一审法院认为百度公司对其消费信息的收集和利用侵犯了用户的隐私权，然而二审法院认为百度公司收集的是不能识别用户个人身份的信息，且没有打扰用户或对用户造成实质性损害，因而并未侵犯隐私权。法院认定该案未侵犯隐私权，但其他权益是否被侵犯，值得深入探讨。

(二) 个人信息采集“被自愿”

在朱某诉百度公司隐私权纠纷案中，朱某并不同意自己的浏览记录及行为偏好被收集和分析，因此朱某认为百度公司侵犯了自己的信息自主权。然而由于当时我国多将个人信息置于隐私权的框架中进行讨论，因此法院并未支持朱某的主张。个性化推荐离不开对个人信息的收集，但在很多情况下，个人信息收集都是“被自愿”或者“被同意”的。当人们在某一个网页或者移动端App注册成为一个新用户时，往往会被要求勾选“是否同意”该网页或者App的用户协议和隐私政策，如果不同意则往往无法注册为用户，也就无法享受相关服务；而勾选了“同意”，就意味着接受了用户协议和隐私政策里面的相关条款，也就意味着同意个人信息被收集，进而才能享受个性化推荐服务。这一过程对于想要注册的个人用户而言毫无自主选择性，因为获取该网站或App服务的前提往往是同意其隐私政策，而隐私政策繁冗的文字、专业的术语会使大多数人认为其有较高的阅读门槛而放弃阅读，更不会仔细研究里面的条款。基于此，用户勾选“同意”这一行为是否属于明确且真实的同意？

虽然我国法律已经明确了个人信息保护中的“知情同意规则”，然而在实际操作中，该规则却流于形式，因此学界也开始质疑该项规则的合理性。学界对于“知情同意规则”的诟病主要集中于三个方面：一是网络平台往往将注册与同意绑定在一起，用户往往没有仔细阅读隐私协议便直接点击“同意”，导致知情同意失去原先的保护作用[5]；二是信息主体的“有限理性”限制了其记忆和处理信息能力，因此数据控制者获取用户的同意往往很容易，同时“理性人”理论将信息风险结构性地配置给信息主体[6]；三是从经济发展角度考虑，认为获取用户信息一定要得到用户同意这一观点会给互联网企业带来巨大成本，对用户来说也是一种负担，这会阻碍数据流通及共享[5]。“知情同意规则”虽然在实际操作中确实存在一些问题，但笔者认为“知情同意”依然应当是个人信息自决权的重要内容，只是有必要对其进行一些修正。虽然个性化推荐服务有其优点，但所有的互联网应用似乎默认每个人都愿意接受这一项服务，这是对民法中意思自治原则的漠视。个性化推荐需要收集个人在互联网上的各种信息碎片，这一行为对个人隐私存在一定威胁。部分用户认为个人隐私比获得个性化推荐服务更重要，因此应当尊重这部分人拒绝个性化推荐服务的权利。

(三)个人需求被算法“控制”

尽管个性化推荐有很多优点，但人们普遍担心它可能带来的负面影响。相关研究也表明，用户面对个性化推荐时甚至会产生自己被时刻“窥探”的恐慌感，从而用户的点击意愿也因此有所下降[7]。个性化推荐算法被用来积极地影响个人的行为和选择。信息是如何被呈现给个人的，他们被给予了哪些选择，哪些信息被隐瞒，以及这些信息与他人所接收到的信息有何不同等，这些因素极大地影响甚至决定了人们的选择和信任[8]45。“在电商平台上，对搜索算法和推荐商品算法的设计开发、部署应用两个步骤，决定了用户可以收到怎样的商品推荐结果。”[9]算法通过对浏览内容的个性化筛选进一步“控制”着人们的需求。

有关个性化推荐和个人意思自治的另一个担忧就是个人最终会陷入“过滤泡沫”[10]。“过滤泡沫”亦即“信息茧房”或“回音室”。在这个由有限信息组成的世界中，个人被孤立，而这些信息总是证实他们的信念和观点，使人们不会暴露在不同的信息和观点中。在这种情况下，人们以为自己作出了独立的选择，自主形成了观点，但实际上他们已经受到了被提供的、有限的、定制化信息的影响，其对世界的认知也被不同程度限缩。个性化正迅速变得无处不在，正影响着人们在线上和线下的决策及生活。一个发人深省的例子就是社交网络“情绪传染”实验。在这个实验中，研究人员通过决定什么内容出现在他们的Facebook时间轴上来影响人们的情绪[11]。个性化推荐以及观点如何在大背景下被引导可能对个人的影响微不足道，但反过来说，对个人自治的影响也并不需要巨大的、迫在眉睫的影响，这种潜在的、累积的威胁从长远来看可能更加危险。

基于算法自动化决策的个性化推荐服务虽然改变了人们的生活，却也存在着潜在的负面影响。种种迹象表明，个人虽然可以“免费”获得个性化推荐服务，但需要以向服务商提供个人信息和浏览记录等为代价。由于通过这些信息可以识别到个人，这就导致了人们在接受被推送的相关服务时会感到恐慌。个性化推荐并没有体现真正的“个性”，只是互联网经济平台为了刺激消费而采取的的一种营销手段。无论互联网收集、分析了多少用户信息，也无论算法设计得如何复杂、精巧，个性化推荐总是只能有限地反映用户需求。随着对用户偏好分析的深入，社会人的身份越来越多地由外部力量构成，而在这些外部力量中，大多只关心个人信息以及行为能为其带来多少资本收益。无处不在的个性化推荐和自由选择的减少已经威胁到个人自治，进而最终威胁到人们自主成就自我的可能性。确保用户对个人信息的自决利益成为个性化推荐场景下个人信息保护的根本目的。为了平衡互联网经济发展需要与个人自治之间的关系，有必要在强调“信息自决权”的同时对其加以调整，使其更好满足个性化推荐发展的需求并更好保障个人自由选择的权利。

二、 信息自决权之概念厘清

“信息自决权”的概念最早源于德国的“人口普查案”。1983年德国制定人口普查法，准备开展全面人口资料性普查，这引发整个社会各阶层的抗议运动。联邦宪法法院确认该普查法违反了宪法，确立了个人信息自主(自决)权，并提出两项重要原则：一是在自动化数据处理的现代化条件下，人格的自由发展取决于个人有权对抗个人资料被无限制搜集、储存、使用和传送的行为；二是个人对其切身资料并无所谓绝对不受限制的支配，个人的信息自主权必须忍受重大公益的限制[12]。不过“人口普查案”确立的“信息自决权”属于宪法中的基本权利，在计算机技术高速发展的今天，信息自决权的内容也被进一步延伸、调整，已然成为个人信息保护法律体系中的核心权利，并被纳入民法保护体系。因此，有必要考察“信息自决权”的理论沿革并对其概念进行厘清。另外，由于信息自决权最早是在隐私权框架背景下提出的，因而有必要明确信息自决权与隐私权的关系。

(一) 信息自决权的理论沿革

学界关于信息自决权的讨论自计算机可以大量集中处理个人信息后便已开始，相关理论发展到现在经历了三个阶段。第一阶段为信息利用早期。此时，个人信息利用重“量”，个人信息权益缺乏法律保护，因此学者普遍强调对个人信息的保护，强调加强个人对个人信息的控制，虽然已意识到信息与隐私的不同，却依然受传统隐私权理论影响，也未能统一“信息自决权”这一名称。如学者彭礼堂、饶传平等提出“资讯自决权”意味着每个人都有权自行决定是否将个人资料交付和供给他人使用，法律应当进一步赋予信息主体将个人信息视为个人财富而与欲获取信息者进行谈判的能力[13]；周佳念讨论“资讯自决权”时的逻辑起点是“隐私权中应有的对自身信息的控制权”[14]。第二阶段为信息利用升级时期。此阶段对于个人信息的利用不仅求“量”且更注重“质”。学界不仅关注到了信息利用的重要性，也关注到了用户与企业之间的利益冲突并试图对其进行协调，信息自决权的内涵得以进一步丰富。如学者张新宝提出“两头强化，三方平衡”理论，认为个人信息保护和利用需要平衡用户、信息从业者以及国家公共利益的三方需求[15]；谢远扬通过对个人信息自主价值、使用价值以及利用价值的讨论，反思了现有隐私权保护模式的局限[16]。第三阶段为信息利用规范开始陆续出台至今。随着个人信息保护相关立法进程被不断推进，学界针对信息自决权中的具体内容以及权利的具体实现方式展开了热烈讨论，但至今并无统一观点。商希雪认为，“个人信息自决体系涵盖知情同意权、反对权、访问权、更正权、删除权、限制处理权、被遗忘权、数据可携权等子权利”[17]；万方主张应当引入“同意撤回权”，以弥补“告知同意规则”中的缺陷[18]。鉴于学界普遍认为“知情同意”是个人信息权的重要内容，因此也有学者重新思考了“知情同意规则”与个人信息自决权的关系，认为“知情同意规则”应当与个人信息自决权解绑[19]。

学界关于信息自决权相关理论的发展变化，以及对权利具体内容和实现方式的讨论已经非常深入，不过依然存在些许不足。一方面，学界的讨论缺乏一个立足于我国国情的体系化视野，导致信息自决权的边界不甚明晰；另一方面，忽略了当前信息利用阶段的特点，只关注法律规范本身，这样的讨论势必脱离实际、没有意义。通过考察信息处理的全生命周期可发现，各个阶段各主体的需求并不相同，因此信息自决权的具体子权利要结合具体场景动态地看。当然，其基本含义和价值是没有变化的，都是为了保护个人的自由人格、利益和尊严。

(二) 信息自决权的界定

结合信息自决权理论的发展沿革，笔者立足当下信息处理特点对“信息自决权”中的关键词逐一进行解释，以期确定“信息自决权”的内涵以及边界。

1.何为“信息”

信息自决权属于个人信息保护体系中的核心权利，因此这里的“信息”乃指“个人信息”。《中华人民共和国民法典》(下称《民法典》)第1034条将“个人信息”定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。《个人信息保护法(草案)》二审稿和一审稿关于个人信息的定义并无不同，均“是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。与《民法典》相比，《个人信息保护法(草案)》的表述更加简洁而全面，虽没有详细列举，但采取了反向排除的方式，指出匿名化处理后的信息不属于个人信息。

个人信息有两个特点，分别是“关联性”和“可识别性”。“关联性”指个人信息都是与特定自然人有关的，区别于其他与非自然人相关的信息，如死者及胎儿信息便不属于这里所提到的个人信息，然而法律有必要对其人格利益进行特殊保护，本文在此不作深入展开。“可识别性”指通过个人信息可以识别到特定个人，与其他信息结合后可识别到自然人的信息也属于个人信息。关于“可识别性”，在现今的大数据处理能力下，自然人在网络上均有迹可循，只要掌握足够多的信息便可识别出个人，那么这些信息都算个人信息吗？笔者认为，在通过许多信息碎片识别自然人时，有必要区分“关键信息”和“其他信息”，只有“关键信息”才能成为信息自决权的保护对象。对于“关键信息”的把握需要根据具体场景进行判定，可从其与自然人身份的紧密程度、获取难易度、识别难易度等角度考虑。若是不加以“关键信息”这样的限制，仅依靠“可识别性”界定个人信息，则会使其范围过于广泛，难以确定信息自决权的边界。

2. 何谓“自决”

简单来说，“自决”即“自由地自主决定”“私人自治”，可以被描述为“成就自我的能力、基于个人自主选择的理由与动机开展生活，而非操纵或扭曲的外部力量使然”[8]8。“自决”对个人自治的保护贯穿于整个民法体系。对个人信息的保护而言，它意味着个人可以依据自己独立的意志决定个人信息的使用及处理行为，不受他人不当干涉地行使自决权。人格的自由发展包括自己决定如何实现人格发展的自由[16]，所以信息自决权有两层含义，即个人不仅有决定是否使用个人信息的自由，也有决定以何种方式使用个人信息的自由。这进一步表现在个人是否有能力控制自己的信息。然而与互联网企业相比，个人对信息的控制和处理能力明显不足，因此法律试图通过“知情同意”来调节二者的失衡，“知情同意”规则作为信息自决权的核心规则一直为人们所强调。实际上，“知情同意”在平衡二者关系方面的作用十分有限，甚至逐渐流于形式，因此有必要对其进行修正。

“知情同意”规则的立法初衷是为了让处于弱势地位的个人拥有与数据企业相同的地位，以制约处于强者地位的数据企业，这也是赋权的主要目的。然而用户的知情同意权也逐渐被数据收集企业所控制，这就悖离了设置规则的初衷。用户往往按照设置好的步骤最后只能勾选“同意”，没有拒绝的权利。《个人信息保护法(草案)》第二次审议稿的第25条与一审稿相比，已经关注到了用户拒绝的权利，将原先“通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项”改为“通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式”。这体现了对个人自决权的尊重。另外，过分强调用户对个人信息的控制不利于数据价值的实现，因此应当配合个人信息的合理使用，并对这种绝对的控制进行调整，以平衡信息保护与信息利用之间的关系。《民法典》第1036条就对个人信息使用的免责事由进行了规定。这便是对个人信息权益的合理限制[20]。

3. 何以为“权”

信息自决权也被称为个人信息权[21]，因为个人信息权中的核心利益便是人的自决利益。并非所有人都认为应当设立个人信息权，个人信息保护中的“权利”与“权益”之争也是由来已久，因此对于信息自主权是否应当有权利地位也颇具争议。然而，无论是《民法典》还是《个人信息保护法(草案)》，都未将个人信息上升为民事权利，《个人信息保护法(草案)》在第四章“个人在个人信息处理活动中的权利”中规定了包括知情、决定、限制、拒绝、更正、补充、删除等精细化个人信息内容的权利，这意味着立法者并未设立专门的个人信息权，而是将学界讨论的个人信息权项下的子权利作为个人信息处理活动中的权利，因此也有学者认为个人信息保护法的规范对象是个人信息处理行为[22]。虽然信息自决权在立法上未被承认，但将个人信息处理中体现个人自决利益的权利统一于信息自决权项下有其合理性和必要性。

首先，信息自决权保护的个人自决利益具有正当性。《个人信息保护法(草案)》中规定的知情权、决定权、更正权、删除权等均是为实现自然人的自决利益而设定的，这是一种普泛设定。在个人信息自决利益与公共利益相冲突时，个人并不是完全没有优先性，这种优先性可能是相对的，但也体现了保护个人选择的重要性[23]。在面对个性化推荐算法对个人自决权的侵害时，目前的立法对个人信息权益的保护力度显得捉襟见肘。

其次，信息自决权可以被现有的法律体系所容纳。《民法典》第110条和第1034条都明确表示“自然人的个人信息受法律保护”，第1038条也规定了个人信息主体的一些权利。另外，随着《个人信息保护法》的出台，信息主体的权利在法律上都能找到依据。

最后，确立信息自决权实际是用体系化视野去调整信息处理行为中个人享有的权利。考虑到协调个人信息保护与利用的必要性，个人享有的权利也有其界限，因而对界限的划分需要从整体视角来把握，个人信息权项下的子权利存在的一些共性内容可通过信息自决权来统一规定，并应同时进行体系化的权利构建。

(三) 信息自决权与隐私权

信息自决权常常与隐私权一起被提起，因为隐私权中也包含对个人自主决定权的保护，二者都体现了个人对其私人生活的自主决定[21]。尤其是随着公共网络平台的崛起，公众的隐私界限在网络空间中变得更加模糊。对此，国外有学者提出了一种新的隐私保护观点，即“在可以接触到别人的前提下，人们依然拥有寻求他人保密以及个人隐匿和独处的权利”[24]。这种观点其实是强调个人对信息的自主控制，隐私并不仅仅是个人的相关信息，还包括人们对信息的自主控制。然而目前通过隐私权来保护个人信息还存在困难，这导致信息自决权无法得到有效保障，因此有必要将隐私权与信息自决权进行区分。

隐私权与信息自决权的主要不同在于二者的实现方式。隐私权是一种防御性权利，人们往往不愿意他人干扰到自己的生活，人们对于隐私的保护表现为避免他人侵入的防御性姿态；而信息自决权强调个人的选择控制，这是一种积极、主动的权利，人们对于个人信息的控制显得更加主动。学界认为个人信息与隐私的概念有所交叉，重合的部分在于个人敏感信息，但这并不妨碍法律上将信息自决权与隐私权进行区分。在涉及个人敏感信息侵权时，自然人可以根据具体侵权场景选择隐私权救济路径或者信息自决权救济路径。在朱某诉百度隐私侵权一案中，二审法院认定百度并没有侵犯其隐私权，然而面对百度的个性化推荐，朱某并不愿意接受这项服务。如此说来，百度确实侵害了朱某的信息自决权，但传统隐私权理论无法解释朱某的何种权益受到了侵犯。由于立法并没有明确信息自决权，因此朱某由于个人信息被收集并被用于提供个性化推荐服务而受到的损失无法得到救济。

三、 “三方一环”——个性化推荐场景下的个人信息自决权及其实现

结合当前个性化推荐应用的背景以及数字经济的发展趋势，用户对个人信息的控制以及互联网企业对信息的利用都要有所顾及，即在强调个人信息被“保护”的同时需要关注信息的有序“利用”。笔者在信息自决权体系化构建前提下，采取动态的权利视角，提出“三方一环”理论，以期解释信息自决权在个性化推荐场景中具体权利的实现方式，从而实现用户与互联网企业的良性互动。“三方一环”权利流动如图1所示。

图1 “三方一环”示意

(一) “三方”——三方主体构成个性化推荐场景

“三方”就是指个性化推荐场景下涉及的法律主体有三方，分别是用户、一级信息处理者以及二级信息处理者。一级信息处理者是对直接收集用户信息的互联网企业的统称。本文所指的个性化推荐是大数据意义上的个性化推荐，因此法律关系还涉及二级信息处理者，而二级信息处理者是对所有通过数据共享获得一级信息处理者处理后信息的互联网企业的统称。人们在淘宝购买了某件商品之后，可能在打开其他网页时会收到类似商品的广告，这就是由于一级信息处理者与二级信息处理者之间的数据共享。虽然有时二级信息处理者也会成为一级信息处理者，但二者的基本法律关系不会变化。笔者在此不考虑具体互联网企业的双重身份，仅用最基本的模型予以说明。

学界在讨论信息自决权的实现路径时，往往会忽略处于二级信息处理者地位的互联网企业，并且由于个人用户并没有与二级信息处理者直接发生关联，用户也总是会忽略这些利用其他企业收集到的信息进行个性化推荐的数据处理者。但鉴于数据处理活动的纷繁复杂，尤其是在个性化推荐场景中，为了构建准确的用户画像，个人信息的二次利用依然存在风险。为了明确二级信息处理者的权利和义务，有必要强调二级信息处理者独立的法律地位[5]。因此，用户、一级信息处理者以及二级信息处理者都是个性化推荐场景中的法律主体，以信息自决权为核心的个人信息保护机制正是围绕这三方展开的。

(二) “一环”——信息自决权绝对效力环形减弱

如图1所示，个人信息以用户为起点，按照环形箭头方向流动，经过一系列信息处理，最终反馈给用户的是符合用户偏好的商品或者服务。在这一过程中，三方之间的权利义务关系也有所不同，信息自决权的绝对效力会随着个人信息不断被加工而逐渐减弱直至消失。不同场景下的风险不同，个人拥有的信息自决权体系下的子权利也不同，这是参照“情境脉络完整性”理论得出的结论。纽约大学媒介、文化与传播研究所的海伦·尼森鲍姆(Helen Nissenbaum)教授提出了“情境脉络完整性”这一新型隐私理论，由于美国并未对隐私权和信息自决权作出区分，因此美国对于隐私权和个人信息权的研究往往混同。尼森鲍姆的这一理论将“保护个人信息”与“个人信息在特定情境脉络下具有不同规范”联系起来，当个人信息在不同的信息主体间流转时，不同的“情境脉络”应该适配于特定的信息规范，相同的信息在不同的语境中有不同的规范，人们会视具体的语境认定信息的流动是否适合[25]。

将“情境脉络完整性”理论应用到个性化推荐场景中，就会导致用户信息自决权的绝对效力逐渐减弱。因为随着信息不断被加工和处理，其与个人的关联程度会逐渐降低，因而也无需强调个人对这一类信息的控制权。在用户与一级信息处理者的法律关系中，用户个人信息自决权的绝对效力最强，因为此时的个人信息未经任何处理，与自然人联系非常紧密，这时个人拥有信息自决权项下的所有子权利，除知情同意权、拒绝权、访问权、更正权、删除权、限制处理权、数据可携权等权利之外，还应当拥有同意撤回权，这里的撤回同意并不是违反诚实信用原则，而依然是个人应有的对个人信息的处分权[18]。另外，被遗忘权和同意撤回权应当并举，当用户撤回同意后，还拥有对已被收集信息的被遗忘权。相较于用户而言，一级信息处理者更多的是义务，比如释明信息收集处理相关原理的义务，在用户撤回同意后删除用户之前授权同意而获取的所有个人信息的义务以及用户信息安全保障义务等。二级信息处理者可以通过数据共享获得一级信息处理者从用户处获取的经匿名处理的信息，此时双方的权利和义务关系可通过合同自主约定。对于用户来说，信息自决权的绝对效力有所减弱，虽然用户无法约束二级信息处理者，但其可以通过知情同意权对这一共享行为进行约束。但是，此时用户已失去了同意撤回权、被遗忘权等子权利，因为此时信息处理已经开始，且被遗忘权实施成本过于巨大，难以达到预期效果。在个性化推荐场景的最后阶段，二级信息处理者利用一级信息处理者提供的信息再对用户进行个性化推荐服务。《个人信息保护法(草案)》明确将匿名信息排除在个人信息范围之外，因此用户对于这部分信息没有信息自决权，但用户有相应的信息权益，表现为用户有权得知信息来源，二级信息处理者有义务阐明其信息来源。二级信息处理者之所以对用户进行个性化推荐，也是希望收集用户信息以生成新的偏好数据，进而成为一级信息处理者。当二级信息处理者询问用户是否同意个性化推荐服务时，信息自决权的下一个环形流转便开始了。

(三) “三方一环”的实现——修正知情同意规则，强化算法释明义务

在“三方一环”权利流转体系中，想要真正保障信息自决权的实现，除需要修正知情同意规则以外，还要强化互联网企业的算法释明义务。因为所有的信息处理和个性化推荐服务都依靠算法实现，而算法对于一般自然人来说并不容易理解。个性化推荐为人们带来便捷，却也让人们产生被算法支配的恐慌，“如果人们都被封闭在数据空间的过滤气泡里，那就逃不出既有代码架构的如来佛掌心”[26]。

一方面，应通过修正知情同意规则赋予个人拒绝权。要将用户注册与知情同意解绑，必须保障用户拒绝授权但能获取最基本的服务(不包括个性化推荐)的权利，使知情同意规则成为用户控制个人信息的真正途径，而非形式规定。另一方面，强化互联网企业的算法释明义务。算法的不透明性是用户与企业之间良性互动的主要障碍，有学者提出制定算法解释权制度，旨在确定风险发生后的责任分配。当自动化决策的具体决定对相对人有法律上或者经济上的显著影响时，相对人有权向算法使用人提出异议，有权要求使用人提供对具体决策的解释，同时有权要求使用人更新数据或更正错误[9]。笔者认为，除了事后追责，更重要的是事前预防，即应在用户授权之前对所使用的算法基本原理进行释明，同时可以让用户通过试运行来理解算法运行规则，以保障信息自决权的行使。

四、 结语

从现有立法来看，虽然立法者并未支持个人信息权的主张，而是支持了“权益说”，但从加强个人信息保护的角度来看，仍然有必要明确信息自决权。信息自决权是对个人信息处理中个人权利的体系化构建，可以统一个人信息的保护边界。个性化推荐虽然给个人自治带来挑战，但从互联网经济长远发展的角度来看，强调个人自由选择并不需要以取缔个性化推荐的方式来实现。笔者基于当下我国互联网发展阶段以及信息处理特点提出的“三方一环”理论，立足体系化、整体性、动态化的视角，对个性化推荐场景中各方权利义务关系进行了调整，以期充分保障用户的个人自决利益，实现设立信息自决权的初衷，为个人信息保护立法提供新思路。