个人信息的民事法律保护
——以霍菲尔德权利理论为起点

袁俊宇

内容提要 个人信息权作为新兴权利，兼具有人格属性和财产属性，内涵与外延具有不确定性。在一元保护模式与二元保护模式尚未达成和解的前提下，可对个人信息保护的内容进行分类，运用霍菲尔德理论以“最小公分母”的类型统合个人信息的双重属性，平衡信息主体与信息处理者之间的内部关系，构建人格利益保护为中心的类型化保护模式。个人信息类型化保护模式须与个人信息合理使用制度相协调，导入合理使用的场景化理论，完善正当必要性原则，建立第三人监督制度，以达致个人信息安全与共享、个人信息保护与自由流通的动态衡平。

个人信息权作为一种新兴的权利，有着不确定的内涵与外延。学界对于个人信息权的属性展开了激烈的讨论，时至今日，未有定论。支持单独成权的学者主张，“个人信息与隐私信息有着明确的界限，实践中将个人信息作为权利保护并不存在障碍”[1]杨立新：《个人信息：法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》，《法学论坛》2018年第1期。。反对者则认为，《中华人民共和国民法典》（以下简称《民法典》）第111条将个人信息规定为受法律保护权，应构建“个人信息受保护权与国家保护义务框架”的个人信息权利保护模式[2]王锡锌：《个人信息国家保护义务及展开》，《中国法学》2021年第1期。。实际上，“权利义务贯穿于法律现象逻辑联系的各个环节、法律一切部门以及法律运行的全过程”[3]张文显：《法理学》，高等教育出版社2018年版，第129页。。自然人对个人信息是否享有民事权利，皆不影响个人信息保护建立在权利义务的法理基石范畴上。在个人信息权属性未清晰界定的前提下，可以采取类型化思维对个人信息保护的具体内容进行划分。德国民法理论一般将民事权利划分为请求权、支配权、形成权、抗辩权4 种类型，与霍菲尔德理论中4 种广义上的权利元形式，即（狭义的）权利、自由、权力、豁免[1]王涌：《私权的分析与建构：民法的分析法学基础》，北京大学出版社2019年版，第134页。，具有一一对应的理论解释空间。这4种权利元形式，亦可表述为主张（claim）、自由（privilege)、权利（power）[2]霍菲尔德理论在此分类研究对象为私法上的权利，因此，此处可将power译为“权利”。王涌教授也指出，在德国民法理论中，所谓“形成权”以及“期待权”其实质也是霍菲尔德所谓的“power”，其真正含义更接近民法上的行为能力，是一种“能为之权利”。参见王涌：《私权的分析与建构：民法的分析法学基础》，北京大学出版社2019年版，第84—85页。、豁免（immunity）4种类型。然而，如何应用霍菲尔德理论对个人信息所承载的民事权利进行划分，怎样用权利束与类型化理论统合个人信息的人格属性与财产属性，如何实现个人信息保护与合理使用制度的协调，理论界与实务界鲜有研究。据此，研究个人信息的类型化保护问题，有一定的理论意义，也极具实践意义。

一、个人信息现有保护模式面临的挑战

个人信息保护模式主要包括一元保护模式和二元保护模式两种。一元保护模式以人格权为中心对个人信息进行保护，无法反映个人信息人格与财产的双重属性。二元保护模式以个人信息财产权保护财产利益，无法突出人格利益保护的相对优位性。因此个人信息亟需一种新型的保护模式来破解理论难题。

1.一元保护模式

一元保护模式以人格权为中心进行保护，忽视了财产保护与数据流通。一方面，个人信息权是一种新兴权利，具有人格与财产的双重属性[3]钱继磊：《个人信息权作为新兴权利之法理反思与证成》，《北京行政学院学报》2020年第4期。；另一方面，个人信息须以数据作为载体，二者表现为形式与内容的关系。“欧洲各国对个人信息与个人数据的使用，实际上并没有不一样。”[4]郑维炜：《个人信息权的权利属性、法理基础与保护路径》，《法制与社会发展》2020年第6期。个人信息的数据属性导致一元保护模式面临诸多诘难。

（1）一元保护模式与人格属性和财产属性的对立

一元保护模式下，个人信息权被视为人格权，附着于其上的经济利益可以商品化的方式进行处理[5]王利明：《论个人信息权在人格权法中的地位》，《苏州大学学报（哲学社会科学版）》2016年第6期。。可是，个人信息承载的财产利益有着独立且成为财产权客体的基础，理由一是数据作为财产权客体已存在一定共识，且为制定法所规定，如《民法典》第127条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定”。理由二是个人信息与数据存在着内容与形式的关系。如《数据安全法》第3 条规定，数据是“任何以电子或者非电子形式对信息的记录”。因此，个人信息以数据作为载体时，可视为对财产权客体进行保护。有学者认为，“数据财产权独立于个人信息权”[6]叶名怡：《论个人信息权的基本范畴》，《清华法学》2018年第5期。，与《数据安全法》第3条的立法宗旨相悖。信息与数据之间是内容与形式的关系，既没有脱离内容的形式，也不存在脱离形式的内容。个人信息权在事实上发挥了财产权的作用。财产权与财产利益的区别是，财产权源于市场经济下人们对产权界定的需要。无恒产者无恒心，只有充分界定产权，才能激发市场活力，促使市场合理配置各生产要素。一元保护模式视个人信息权为附着财产利益的人格权，恐难契合个人信息的双重属性，也未能满足个人信息流通与共享的需求，个人信息保护需从保护和利用两方面进行考量[7]张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，《中国法学》2015年第3期。。如在“Rīgas案”中，欧盟法院认为“为保障第三方或多方的合法利益需要，信息处理者可以披露信息主体的个人信息”[1]Valsts policijas Rīgas r‘egiona pārvaldes Kārtības policijas pārvalde v. Rīgas pašvaldības SIA Rīgas satiksme (CaseC-13/16 ECLI:EU:C:2017:336,para.28).。

（2）一元保护模式阻碍个人信息保护的利益衡平

个人信息保护需着眼各方利益的衡平，具体包括：一是信息主体与信息处理者的利益衡平；二是信息主体与其他信息主体的利益衡平。“个人信息与数据是内容与形式的关系”[2]程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018年第3期。，数据赋予个人信息流通与共享属性，从而突破人格权保护的藩篱，使个人信息保护不仅仅局限于信息主体。在2016年的“Breyer案”中，欧盟法院指出：“个人没必要独占所有的可识别性信息。”[3]Patrick Breyer v.Bundesrepublik Deutschland(Case C582/14,ECLI:EU:C:2016:779,para.43).此外，数据与信息的一体化，为国家以信息处理者身份利用个人信息提供了基本前提。中共中央办公厅、国务院办公厅2015年颁布的《关于加强社会治安防控体系建设的意见》第15条提及我国需建立“以身份证为唯一代码的基础信息库”，国家或将成为最大的个人信息处理者。建立信息库的作用之一是强化国家对个人信息的大数据利用，即“对原生数据进行脱敏化、过滤处理和提炼后形成具有更高经济价值和商业价值的数据”[4]李扬、李晓宇：《大数据时代企业数据权益的性质界定及其保护模式建构》，《学海》2019年第4期。。但是，一元保护模式视个人信息权为人格权，个人信息处理需信息主体频繁授权，事实上阻碍了个人信息的利用与流通。此外，为达致信息流通与共享，信息主体与其他信息主体均可能部分放弃与转让彼此的个人信息权，这与《民法典》第992条“人格权不能放弃、转让”之规定相悖。综上，个人信息保护涉及信息主体、信息处理者、其他信息主体之间的利益衡平，一元保护模式难以实现信息共享，达致多方利益衡平。

（3）个人信息安全vs个人信息流通与共享

早在1983年的“人口普查案”中，德国联邦宪法法院就确立个人信息自决权[5]齐爱民：《德国个人资料保护法简论》，《武汉大学学报（人文科学版）》2004年第4期。。“但即便在德国关于个人信息自决权的争论从未停止，还曾掀起用替代的方案来改良或替换信息自决的浪潮。”[6]孙莹、冉凌波：《信息社会个人信息法律关系的构造》，《北京航空航天大学学报（社会科学版）》2021年第2期。在随后欧盟委员会发布的《2001/95/EC指令》（以下简称为“95指令”）、欧洲《一般通用数据保护条例》（以下简称为“GDPR”）等指引下，《德国联邦数据保护法》逐渐限缩个人信息主体的权利。一元保护模式以人格权保护为中心，过于强调信息主体对信息的控制，且轻视个人信息的财产属性，将不断阻碍个人信息的流通与共享，最终加重信息处理者的负担。在2014 年“谷歌诉西班牙数据保护局及冈萨雷斯案”[7]Google Spain SL Google Inc v.Agencia Española de Protección de Datos(Case C-131/12:EU:C:2014:317).中，欧洲法院通过判决确立了被遗忘权。随后，谷歌公司收到数十万条对个人相关网页信息进行删除的请求[8]McKay Cunningham, "Privacy Law That Does Not Protect Privacy, Forgetting the Right to be Forgotten", Buffalo Lau Review,2017,65(3),p.497.，谷歌公司（信息处理者）面临的压力可想而知。在“Ryneš案”中，欧盟法院指出“为保护屋主的人身财产利益，可以在公共领域架设监控设备，并收集处理相关数据信息”[9]Ryneš v.the U′ˇrad pro ochranu osobních údaju。(C-212/13,EU:C:2014:2428,para.34).，是对个人信息保护一元模式的突破。原因在于，一元保护模式未能实现信息主体与信息处理者的利益衡平，对信息处理者施加过于严苛的责任，妨碍信息流通利用且不利于数字社会发展。GDPR关注了这个问题，其第17条第2款规定，应当在“考虑可行技术与执行成本的基础上，采取合理措施”告知其他信息处理者删除相关内容。无独有偶，我国《个人信息保护法》第47条规定，在“保存期限未届满或者删除个人信息从技术上难以实现”的情形下，豁免信息处理者的相应义务。上述立法与司法的考察表明，个人信息保护不能一味强化信息主体的控制能力，还应考虑信息处理者负担能力，力争实现个人信息保护与自由流通的动态平衡。

2.二元保护模式

二元保护模式主张者认为“对于其人格权部分，可采取人格权的保护方法；对于其财产权部分，可采取财产权的保护方法”[1]邢会强：《大数据交易背景下个人信息财产权的分配与实现机制》，《法学评论》2019年第6期。，该模式揭示了个人信息的双重属性，具有合理性。然而，将人格利益与财产利益同等保护，忽视了人格利益的优位性，无法协调人格属性与财产属性之间的内在矛盾，也无法实现个人信息安全与共享的价值目标。

（1）人格权和财产权的划分方式存在冲突

个人信息权是一种新兴权利，为因应互联网和高科技的发展变化，在强化个人信息保护的同时，还需要“对这些新型权利保持一定的开放性”[2]王利明：《使人格权在民法典中独立成编》，《当代法学》2018年第3期。。二元保护模式的划分方式契合个人信息人格与财产的双重属性，具有一定的开放性，却难以消解划分后的内在矛盾。二元保护模式对个人信息保护内容的划分，存在以下两种方式：一是把信息与数据分别划归人格权与财产权的固定化方式[3]龙卫球：《数据新型财产权构建及其体系研究》，《政法论坛》2017年第4期；叶名怡：《论个人信息权的基本范畴》，《清华法学》2018年第5期。；二是根据个人信息对主体所具有的价值或功能，决定权利属性的场景化方式[4]刘德良：《个人信息的财产权保护》，《法学研究》2007年第3期。。前者预设信息与数据之间是相互独立的关系，并基于这种关系与人格权、财产权一一对应，可是个人数据形式与个人信息内容不可能截然二分，故此种划分方式不具合理性。后者虽没有预先设置人格、财产与信息、数据之间各自对应的关系，但在具体场景中判断个人信息权之人格权属性与财产权属性的标准是不明确的。实际上，身份可识别性标准不能全面涵盖处于已识别与不可识别之间的个人信息[5]Paul M. Schwartz, Daniel J. Solove, "Reconciling Personal Information in the United States and European Union",California Law Review,2014,102(4),p.877.，且人格权属性与财产权属性存在冲突。人格权是绝对权，人格权不得转让与处分，但财产权可以转让处分。肯定场景化的划分方式，也就肯定了个人信息权存在人格权属性与财产权属性的矛盾。因此，人格权与财产权的划分方式存在诸多不妥。

（2）二元保护模式挑战人格权保护的优位性

二元保护模式无法否定人格权保护的优位性。一是具有身份可识别性的个人信息与人格紧密相关。如基因数据、姓名、cookies等身份可识别性信息，均与人格形成与发展有关，皆为构成整体人格的实质要素[6]齐爱民：《论个人信息的法律属性与构成要素》，《情报理论与实践》2009 年第10 期。。如在“中国银行股份有限公司广州白云支行与卢某名誉权纠纷上诉案”[7]广东省广州市中级人民法院〔2010〕穗中法民一终字第1946号民事判決书。中，法院认为，广州白云支行未及时报送卢某未贷款的真实信息，其不作为行为导致卢某个人信用减损，构成对卢某合法权益的侵犯。此外，《个人信息保护法》第4条规定，个人信息“不包括匿名化处理后的信息”。匿名化处理在消除身份可识别性的同时，也否定了个人信息保护的必要性。二是将人格利益与财产利益同等保护的方式，不符合《民法典》的立法精神。结合《民法典》第989条、第999条与第1034条规定来看，《民法典》在一定程度上将个人信息权视为人格权进行优先保护。二元保护模式将人格利益与财产利益等同视之的做法，不符合《民法典》侧重保护个人信息所承载的人格利益的宗旨。

（3）人格相对优位保护vs人格与财产同等保护

个人信息承载的人格利益相较于财产利益而言更为重要。个人信息一旦失去“身份可识别性”，也就不再属于个人信息保护的客体，故个人信息中的人格利益应给予优位保护。优位保护不等于绝对优位保护，而是相对优位保护。欧洲法院于2010年的一项判决指出“基于透明性要求的公众知情权，比隐私信息的保护更重要”[1]Volker und Markus Schecke and Eifert(C-92/09 and C-93/09,EU:C:2010:662,para.77).。在“杨澧群、凯迪网络信息技术（海南）有限公司、孙卫东名誉权纠纷案”[2]杭州互联网法院〔2019〕浙0192民初2435号民事判决书。中，法院认为，原告应当对被告侵害其个人信息权益的事实，负举证责任。2013年施行的《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.2.3条规定，“收集个人一般信息时，可认为个人信息主体默示同意”，敏感信息与一般信息存在不同程度的重要性，个人信息处理者可根据默示同意的方式取得信息主体的一般信息，彰显人格利益优位保护的价值目标。二元保护模式能够满足个人信息流通共享的需求，但未能满足人格利益优位保护的价值目标。二元保护模式将人格利益与财产利益并行保护，系假定个人信息保护只能在人格属性与财产属性中择一而居，难以逃脱人格利益保护不周的樊笼。是否应当对人格利益进行优位保护，可结合个人信息保护场景进行判断。

二、个人信息保护的法律价值目标

理想的个人信息保护模式，以在安全基础上实现共享和建立个人信息保护衡平机制为两个层次的目标。个人信息类型化保护是统筹双层目标的桥梁。具言之，在安全与共享的目标导向下，转向信息主体与信息处理者间的内部法律关系视角，进而承接建立个人信息保护衡平机制的最终目标。

1.保护目标：个人信息安全与共享

早在1993年，欧盟数据保护委员会就提出人权保护与市场自由兼顾的保护目标[3]Paul M.Schwartz,"The EU-U.S.Privacy Collision:A Turn to Institutions and Procedures", Harvard Law Review,2013,126(7),p.1988.。个人信息保护的安全与共享，主要体现在信息主体与信息处理者间的利益衡平关系中。例如，GDPR第17条第1款赋予信息主体删除权以制约信息处理者，该条第3 款通过设置删除请求的豁免权来限制信息主体。GDPR一方面制约信息处理者，另一方面则限制信息主体，在契合个人信息安全与共享保护目标的同时，实现信息主体与信息处理者间利益衡平。事实上，信息主体与信息处理者的利益衡平关系，与个人信息的双重客体身份紧密相关：一是个人信息的身份可识别性与人格形成与发展有关，个人信息之所以日益获得强化的保护，与“其体现了人格尊严和人格自由存在密切关系”[4]王利明：《人格尊严：民法典人格权编的首要价值》，《当代法学》2021年第1期。。在“姚某等与洛阳市市区农村信用合作联社一般人格权纠纷上诉案”[5]河南省洛阳市中级人民法院〔2010〕洛民终字第2331号民事判决书。中，因个人信息与个人信用紧密关联，法院最终支持了姚某的精神损害赔偿主张，个人信息亦可成为具体人格权的载体与客体[6]叶名怡：《论个人信息权的基本范畴》，《清华法学》2018年第5期。。二是结合《数据安全法》第3条对数据与信息关系的定义和《民法典》第127条关于数据财产保护的内容来看，个人信息能够成为财产权的客体。个人信息既能成为人格权客体，又能成为财产权客体，意味着个人信息保护需从信息主体与信息处理者两方进行分析，人格权或财产权截然二分的方式，不是个人信息保护的最佳路径。“个人信息权是一种新兴的权利，而非法定权利。”[7]付新华：《个人信息权的权利证成》，《法制与社会发展》2021年第5期。人格权或财产权作为个人信息权内容的划分标准，存在以下两项缺点：一是无法使个人信息权的外延周延，个人信息权作为新兴权利，部分民事权利难以用概念方式定义，例如“算法解释权能否规定为民事权利仍存在争议”[1]Sandra Wachter, Brent Mittelstadt, Chris Russell, "Counterfactual Explanations Without Opening the Black Box:Automated Decisions and the GDPR",Harvard Journal of Law&Technology,2017,31(2),p.842.。二是无法协调人格尊严保护与信息流通利用，难以“兼顾个人信息承载的财产利益与人格利益”[2]杨显滨、麻晋源：《个人信息的民事法律保护与限度》，《江海学刊》2021年第4期。。若以财产权为划分标准，易将人格利益与经济利益等同视之，忽视人格尊严的优位性；若以人格权作为划分标准，又会过度扩张信息主体的决定权，阻碍个人信息的流通与利用。对于上述困境，霍菲尔德理论从法律关系的角度给出了解答:“一种权利即是一种法律关系，法律关系的元形式包含了法律利益与法律负担的两个方面。”[3]王涌：《私权的分析与建构：民法的分析法学基础》，北京大学出版社2019年版，第134页。个人信息保护既要注重信息主体的利益，又要减少信息处理者的负担，使二者保持利益衡平。霍菲尔德以主张、自由、权利、豁免4种类型囊括所有可能的民事权利，以此方式划分个人信息保护的内容具有周延性，也为信息主体与信息处理者的利益衡平奠定基础。因此，采用类型化的方式对个人信息保护内容进行划分具有合理性。

2.终极目标：建立信息主体与信息处理者之间利益衡平机制

如前所述，“数据的本质是信息，而信息的特点是流通性”[4]季卫东：《数据保护权的多维视角》，《政治与法律》2021年第10期。，应“平衡数据流通与个人信息保护之间的关系”[5]王利明：《数据共享与个人信息保护》，《现代法学》2019年第1期。。据此，梅夏英教授认为，信息概念在内容上与数据可以同义替换，应以数据权为核心建构分享与控制的个人信息保护结构[6]梅夏英：《在分享和控制之间——数据保护的私法局限和公共秩序构建》，《中外法学》2019年第4期。。从功能主义角度看，信息主体存在着控制与分享两种倾向，控制意味着信息在信息主体意愿的范围内存续，分享则意味着信息向信息主体希望的方向流动。一方面，衡量个人信息保护是否完善的标准是信息主体能否有足够的信息控制力；另一方面，信息主体过度的信息控制力可能会阻碍数字社会的发展。例如，GDPR第20条赋予信息主体数据可携带权，在增加信息主体控制力的同时，也极大地增加个人信息的泄漏风险[7]Peter Swire, Yianni Lagos, "Why the Right to Data Portability Likely Reduces Consumer Wel fare", Marsland Larw Review,2017,72(2),pp.379-380.。在“Rijkeboer案”中，欧盟法院指出“一方面，需保障数据主体的利益，另一方面，需考虑个人信息存储、查询的配合义务，对数据控制人的负担是否合理”[8]Judgment of 7 May 2009,College van burgemeester en wethouders van Rotterdam v.M.E.E.Rijkeboer,ase C-553/07,ECLI:EU:C:2009:293,para.63.。功能主义进路并未意识到信息处理者的信息控制力同样重要，个人信息保护的终极目标是建立信息主体与信息处理者间的利益衡平机制。

信息主体或信息处理者的视角选择，会影响个人信息保护模式的选择。理想的个人信息保护模式应以知情同意为基础并附加必要限制[9]Daniel J. Solove, "Introduction: Privacy Self-Management and the Consent Dilemma", Harvard Law Review, 2013, 126(7),p.1903.。行为属于法律关系的基本要素之一，“法律关系这个概念只涉及两个人，既不会多也不会少”[10]Arthur L.Corbin,"Legal Analysis and Terminology",Yale law Journal,1919,29(2),p.165.，只有在信息主体与信息处理者的关系中，才能发现知情同意行为的必要限制范围。应该看到，个人信息保护既包含信息主体人格尊严的内部保护，又包括信息处理者财产处分的外部利用，内部与外部法律关系的区分，皆可应用霍菲尔德理论进行分析。“霍菲尔德关于权利的分析也是关于法律关系的分析，二者不过是同一问题的两个方面而已。”[11]王涌：《私权的分析与建构：民法的分析法学基础》，北京大学出版社2019年版，第94页。个人信息的主张、自由、权利与豁免在不同场景下，同样有着内部与外部法律关系的区分。事实上，个人信息保护涉及两方面的法律关系：一方面是信息主体与信息处理者的内部法律关系；另一方面则是信息处理者与信息主体以外其他人的外部法律关系。将视角限缩于信息主体与信息处理者的内部法律关系，站在双方视角具有优越性。

3.类型目标：个人信息类型化与司法实践的互动融合

类型化理论能满足个人信息保护的司法实践需要。无论是对信息主体赋权，还是对信息处理者苛责，都不可忽略信息主体与信息处理者之间制约、协同的司法实践需要。具体体现在以下两点：一是类型化澄清个人信息司法实践的基本理论前提，即“有限个体主义以及动态化的个人信息保护”[1]丁晓东：《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》，《现代法学》2019年第3期。，个人信息主体的人格保护与信息处理者的自由利用，以及信息主体与信息处理者始终处于制约与协同的耦合结构之中。可以说，在个人信息的司法实践中，保护与利用、制约与协同，是贯穿个人信息处理活动的两对核心范畴。从信息主体的角度看，个人信息权保护应不断扩展信息主体的民事权利外延，确保信息主体的人格尊严不受侵害。从信息处理者的角度看，个人信息保护应对信息主体的民事权利施加足够限制，保障个人信息能够被充分地利用。两种不同视角的描述表明，信息主体与信息处理者视角的转换，会给个人信息保护带来截然不同的影响。一方面，个人信息类型化保护采用信息主体与信息处理者兼顾的内部法律关系视角具有合理性；另一方面，类型化理论具有动态开放的理论特征，能够对个人信息处理活动中相互掣肘的保护目标与法律主体视角产生一定的解释力。二是类型化为个人信息权的统一认识创造空间。个人信息权是一种新兴权利，具有不确定的内涵与外延，因而个人信息权在司法实践中存在不同的认识。在“中国农业银行股份有限公司太原分行与卫高升合同纠纷案”[2]山西省太原市中级人民法院〔2020〕晋01民终4451号民事判决书。中，法院认为，由于银行没有及时消除原告的不良信用记录，导致原告名誉权遭到侵害。而在与上述案情类似的“孙某诉鲁山县农村信用合作联社侵犯公民个人信息权案”[3]河南省鲁山县人民法院〔2017〕豫0423民初3728号民事判决书。中，法院认为，被告未侵犯名誉权而是侵犯了原告的个人信息权。上述同案不同判的司法实践表明，法官对个人信息的权利属性，存在认识上的分歧。个人信息类型化之目的在于，通过类型涵盖个人信息所承载的民事权利，为司法实践统一认识提供可能。

三、个人信息的类型化保护路径

个人信息类型化保护将人格与财产共同纳入到权利束中进行保护，借助霍菲尔德理论，以主张、自由、权利、豁免作为权利束的共同束点，立于信息主体与信息处理者的内部法律关系视角，以期实现个人信息类型化保护的模式转换。

1.主张、自由、权利与豁免：个人信息保护的束点

数据与信息是形式与内容的关系，一种可行的保护方式是建立可扩展的个人信息保护系统[4]Nadezhda Purtova, "The Law of Everything. Broad Concept of Personal Data and Future of EU Data Protection Law",Law Innovation and Technology,2018,10(1),p.80.。这一系统需符合个人信息的双重属性，而个人信息的双重属性是数据流通与共享的特性所决定的。有学者指出，数据流通与共享的特性能赋予建立数据分享与控制系统的正当性[5]梅夏英：《在分享和控制之间——数据保护的私法局限和公共秩序构建》，《中外法学》2019年第4期。，在保障人格尊严的同时，使个人信息具有不同程度的流通性。但是，这种路径设计仍未解决个人信息的人格属性与财产属性冲突。对于这一问题，可通过权利束的路径予以解决，个人信息权利束指包括个人信息主体知情、决定、查询、更正、复制、删除等权能在内的一组权利集合。当前学界对个人信息权利束的研究，主要沿以下两条路径展开：一是从私权的角度展开，将个人信息权利束纳入人格权或财产权范畴之中进行讨论[1]张新宝：《〈民法总则〉个人信息保护条文研究》，《中外法学》2019年第1期；龙卫球：《数据新型财产权构建及其体系研究》，《政法论坛》2017年第4期。，即采取民法确权的形式保护信息主体的合法权益[2]程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018年第3期。。二是从公权的角度展开，将个人信息权利束视为国家对个人赋权的结果，本质是“国家在‘保护法’理念下赋予个人的保护手段和工具”[3]王锡锌：《国家保护视野中的个人信息权利束》，《中国社会科学》2021年第11期。。权利束理论对于个人信息保护研究是一个颇有意义的启发，以数据为载体的个人信息包含了人格、财产等多重面向，权利束理论为个人信息的人格属性与财产属性提供了兼容可能。然而，权利束概念来自于制度经济学，目的是对产权下的多项民事权利进行统合收纳，这一理论的引入是否能克服制度经济学和法学理论前提的不适配，是否能调和个人信息内部的属性冲突，有待进一步探讨和商榷。

在制度经济学中，权利束理论的适用前提是效率优先的价值标准与经济理性人的主体标准，然而制度经济学的前提在法学上不能完全成立。原因在于，法律场景是多样化的生活场景，类推思维是基本的法律思维方式[4]Cf.L.Weinreb,"Legal Reason:The Use of Analogy in Legal Argument",Cambridge:Cambridge University Press, 2016,p.11.。类推思维之所以存在，赖于事实与规范之间存在着缝隙。霍菲尔德理论以4 种类型为基础，提供了类推适用的前提，以此理论补充权利束理论具有合理性。在立法上，主张、自由、权利与豁免4种束点皆有所体现：《个人信息保护法》第44条指出信息主体有“限制或者拒绝他人对其个人信息进行处理”的权利；第45 条赋予信息主体“查阅、复制其个人信息”的自由；第47条一方面授予信息主体“删除个人信息”的主张，另一方面则规定“期限未届满或者删除个人信息从技术上难以实现”的豁免情形。上述4 种束点，在GDPR 中也有体现：第21 条规定在第6 条第1 款e 项与f 项下“信息主体有随时反对信息处理的权利”；第7 条第3 款规定“信息主体有从信息处理者处撤回同意的自由”；第17 条第1 款规定在特定条件下“信息主体有权主张信息处理者删除个人信息”；第17 条第3 款规定“为了信息自由、公共利益、公共健康、科学研究等目的”信息处理者可豁免删除处理的义务。对立法规定的分析，从侧面印证霍菲尔德的理论与个人信息类型化保护的契合性。个人信息类型化保护从信息主体与信息处理者的内部法律关系出发，阐释彼此之间的制约协同机制，采用信息主体与信息处理者的双向视角，构建符合场景与风险管理理念的新路径[5]范为：《大数据时代个人信息保护的路径重构》，《环球法律评论》2016年第5期。。个人信息权的权利属性需结合个人信息保护场景进行类推判断，可当前既有的场景理论大多并未给出结合场景进行判断的具体解决方案[6]谢远扬：《〈民法典人格权编（草案）〉中“个人信息自决”的规范建构及其反思》，《现代法学》2019年第6期。。个人信息主张、自由、权利、豁免4 种类型束点，同时也是个人信息保护的4 项具体内容，能够在类推判断中提供判断的比较点。因此，以类型束点为基础建立起来的个人信息类型化保护模式具有合理性。

2.个人信息的类型化：以“最小公分母”类型划分个人信息保护的内容

个人信息的类型化需以霍菲尔德权利分析理论为基础。霍菲尔德认为：“与特定行为有关的法律行为，要么属构成性事实，要么属证明性事实。”[7]霍菲尔德：《法律的基本概念》，张书友译，中国法制出版社2009版，第20页。构成性事实是指，依据法律规则足以产生、变更、消灭法律关系的事实。作为构成性事实的个人信息处理，需符合《个人信息保护法》逻辑结构中的“假定”情况，不仅包括行为模式，还包括立法目的。《个人信息保护法》第1条规定，该法的立法目的是“保护个人信息权益”，与《民法典》第111条、第1034条的规定相呼应。个人信息权益可分为“本权权益”与“保护本权权益的民事权利”两部分[1]张新宝：《论个人信息权益的构造》，《中外法学》2021年第5期。。个人信息的本权权益是人格尊严与财产利用，保护本权权益的民事权利主要集中于《个人信息保护法》第四章。个人信息保护采用霍菲尔德理论的理由在于：通过类型化求得民事权利的“最小公分母”类型，借以划分个人信息保护的具体内容，调和人格属性与财产属性的内在冲突，从而保护个人信息权益。在实现个人信息类型化保护的问题上，有学者认为，个人信息保护应当以处理行为为核心，将处理行为划分为涉及尊严与自由的类型和不涉及尊严与自由的类型，并在此基础上进一步细化各种子类型[2]吕炳斌：《个人信息保护的“同意”困境及其出路》，《法商研究》2021年第2期。。这种观点认识到了类型的必要性，但没有认识到信息主体与信息处理者对不同类型的个人信息享有不同的民事权利。一切法律关系皆可化约为权利与义务，就个人信息保护内容的划分而言，霍菲尔德认为，明晰民事权利概念最妥当的办法，就是“把各种法律关系纳入‘相反’和‘相关’关系中，再举例说明诸关系在个案中的分野及应用”[3]霍菲尔德：《法律的基本概念》，张书友译，中国法制出版社2009版，第28页。。在这种类型化的方法进路下，霍菲尔德的理论能够涵盖所有民事权利[4]王涌：《私权的分析与建构：民法的分析法学基础》，北京大学出版社2019年版，第134页。，以霍菲尔德的4种民事权利元形式为标准，划分不同个人信息类型的同时，一并区分可能产生的民事权利，具有合理性。

第一，主张型个人信息。主张型个人信息可通过霍菲尔德理论的主张进行保护，如《个人信息保护法》第48条赋予信息主体要求对“个人信息处理规则进行解释说明”的请求权。霍菲尔德理论的主张等同于请求权，请求权可进一步细分为“防御型请求权和进攻型请求权”[5]范雪飞：《请求权的一种新的类型化方法：攻击性请求权与防御性请求权》，《学海》2020年第1期。，目的在于保护信息主体的合法权益不受侵害。然而，这不意味着置信息主体与信息处理者于对立面。个人信息保护中的信息主体与信息处理者之间是制约与协同的关系，立法既不偏护信息主体，又不袒护信息处理者。例如，《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.2.3条对个人敏感信息与一般信息的同意授权方式进行了灵活区分：一方面通过明示同意保障信息主体的人格尊严；另一方面通过默示同意提高信息处理者的信息利用效率。这种区分侧面反映信息主体与信息处理者不是彼此对立的关系，而是制约与协同的衡平关系。

第二，自由型个人信息。霍菲尔德理论的自由是从无义务中推导而来[6]王涌：《道义逻辑、人工智能与法律——霍菲尔德法律关系形式理论的应用》，《经贸法律评论》2020年第2期。，具体表现在享有自由的同时，不承担相应的义务[7]Wesley N. Hohfeld, "Fundamental Legal Conceptions as Applied in Judicial Reasoning and Other Legal Essays", New Haven:Yale University press,1923,p.10.。《个人信息保护法》第29 条赋予信息主体对敏感信息处理行使“单独同意”的民事权利，属于霍菲尔德理论的自由。保护自由型个人信息的民事权利具有人格属性，与隐私保护有着紧密的关系。以隐私权对个人信息进行保护最早可追溯到美国学者Warren与Brandeis，他们提出了将侵犯隐私的行为纳入到侵权法规制范围内的观点[8]Samuel D.Warren,Louis D.Brandeis,"The Right to Privacy",Harvard Law Review,1890,4(5),pp.193-220.。美国学者Solove 与Schwartz 进一步区分了信息隐私与决策隐私，决策隐私涉及的是与私人生活紧密相关的基础信息[9]Daniel J.Solove,Paul M.Schwartz,"Information Privacy Law", Seventh Edition，New York:Wolters Kluwer Press,2021,pp.35-36.。这些个人信息事关人格本身，他人不得干预。不过，个人信息与隐私一体保护的方式，模糊了个人信息与隐私之间的边界。个人信息以身份可识别性程度作为划分标准，可由已识别、可识别与不可识别三个基准点构成[1]Paul M. Schwartz, Daniel J. Solove, "Reconciling Personal Information in the United States and European Union",California Law Review,2014,102(4),p.877.，需进行场景化的具体分析。

第三，权利型个人信息。霍菲尔德理论的权利指权利人改变法律关系的法律能力，指“我能够，你必须”[2]沈宗灵：《对霍菲尔德法律概念学说的比较研究》，《中国社会科学》1990年第1期。，典型表现形式是代理。权利型个人信息常见于代理关系，即信息主体将信息处理的权利授予信息处理者代理行使。有学者认为，相较于“同意”为基础的契约代理模型，以“信托”为核心的信托代理模型更具合理性[3]Jack M.Balkin,"Information Fiduciaries and the First Amendment",UC Davis Law Review,2016,49(4),p.1196.。理由在于，信息主体与信息处理者之间信托义务的设置，会促使信息处理者以信息主体利益为中心。可是，个人信息不是信托财产，信息主体与信息处理者不能适用信托关系。在个人信息保护的具体关系中，一方面信息主体以知情同意的授权方式将权利转让给信息处理者；另一方面信息处理者仅在授权范围内行使权利。信托理论偏向于保护信息主体，既不符合个人信息保护安全与共享的目标，也未揭示信息主体与信息处理者间制约与协同的整体关系。

第四，豁免型个人信息。在霍菲尔德理论中，豁免与免责可以同义替换，豁免的作用在于免除承担相应的责任。豁免型个人信息存在着一般豁免与特殊豁免两种民事权利。一般豁免指，信息处理者经信息主体的同意授权后，免除同意范围内的可能责任。例如，用户在使用网络应用平台时会签订授权与免责的个人信息格式条款，当侵权行为落入格式条款范围内时，平台一般不承担相应的法律责任，这极大地降低了平台与用户链接的成本，使平台在市场中起着重要的媒介作用[4]David S. Evans, Richard Schmalensee, "Matchmakers: The New Economics of Multisided Platforms", Boston: Harvard Business Review Press,2016,pp.47-57.。除一般豁免外，还存在法律规定的特殊豁免。2020年《加利福尼亚州消费者隐私权保护法案》第5节第d条第1款至第9款涉及信息处理者不承担删除处理义务的九种豁免情形。GDPR第6条第1款规定，除a项的“信息主体已经同意”情形外，剩余五项是无需授权同意的特殊豁免情形。

3.以人格利益保护为中心的双层模式：主张与自由和权利与豁免

借助霍菲尔德理论把个人信息化约为四种类型，分别对应主张、自由、权利与豁免四种不同的民事权利进行保护。在4种类型中，英国学者Kramer认为，请求与自由是一级类型，权利与豁免为二级类型[5]Matthew H.Kramer, "Rights Without Trimmings,in A Debate Over Rights: Philosophical Enquiries", New York:Oxford University Press,1998,p.20.。二级类型与一级类型最大的不同之处在于，二级类型的行使皆涉及一级类型的变更。在信息主体与信息处理者的具体法律关系中，信息主体通过知情同意的授权方式，授予信息处理者有限的权利与相应的豁免，信息主体仍然保留相对于信息处理者的主张与自由。从层级上看，信息处理者的权利与豁免主要来源于信息主体的授予，因此信息主体的主张与自由具有层级的优位性。此外，由于人格权不可处分与转让，信息处理者无法获得完全的权利与豁免（权利指单方任意处分，豁免指无需承担责任），信息处理者获得的是一种不完全的民事权利，行使权利时仍应充分尊重信息主体的人格尊严，保障信息主体的主张与自由。由上述可推知，个人信息保护是以信息主体的人格利益为核心的双层保护模式，主张与自由的位阶优于权利与豁免。个人信息主张、自由、权利与豁免4个束点可以分为确权保护与侵权保护两类，如表1所示：

表1 人格利益保护为中心的双层模式

以信息主体的人格利益为核心的双层保护模式，在司法实践中有所体现。在“凌某某诉抖音案”中，抖音从用户手机内收集个人信息的行为“超出必要限度，不属于合理使用，构成对原告个人信息权益的侵害”[1]北京互联网法院〔2019〕京0491民初6694号民事判决书。。用户对手机内的个人信息可自由处分，格式合同条款下的告知与同意，不足以使抖音获得保存处理用户个人信息的权利，也不属于豁免情形，因此抖音的行为侵犯了个人信息权。在案例分析中，确权比较点与侵权比较点的先后次序表明，信息主体的人格利益具有优先性，对信息处理者应施加高标准的合理告知义务。在“黄某诉腾讯案”[2]北京互联网法院〔2019〕京0491民初16142号民事判决书。中，法院设定了高标准的合理告知义务。在未充分告知并获得明确同意的前提下，微信读书自动化处理的行为构成侵权。然而，在与上述案件类似的“朱烨与北京百度网讯科技有限公司隐私权纠纷案”[3]江苏省南京市中级人民法院〔2014〕宁民终字第5028号民事判决书。中，法院则假定了低标准的合理告知义务，百度网讯公司履行了合理告知义务并获得了朱烨授予的权利，利用cookie信息的行为不构成隐私侵权。实际上，cookie信息是个人网络活动的轨迹信息，承载着信息主体的人格利益，对cookie信息的自由掌控和自由决定不应被阻碍。《个人信息保护法》第14条规定，信息处理者应履行“在充分知情的前提下自愿、明确作出”的高标准合理告知义务。百度网讯公司对cookie信息的处理请求，未达到高标准的合理告知，故未被授予权利也不具有豁免，百度网讯公司构成对用户个人信息权的侵害[4]杨显滨：《网络平台个人信息处理格式条款的效力认定》，《政治与法律》2021年第4期。。

上述司法案例从侧面反映了以人格利益为中心的双层保护模式的适用价值。在司法实践中，个人信息权存在着规范与事实间涵摄的不确定性。个人信息究竟表现为财产属性抑或人格属性，需结合具体场景进行类推判断。类推以某个比较标准作为起点，对A与B之间的重要性特征进行比较，确定A属于B，A具有B所具有的功能与属性。类推的结论是否合理，一方面取决于比较点的选取，另一方面取决于事实与规范重要性特征的提取是否恰当。个人信息类型化保护中的“主张”、“自由”、“权利”与“豁免”束点，即类推中的比较点。比较点确认后，再进行事实与规范间的类比推理。具体适用步骤如下：第一步看信息主体是否符合“主张”与“自由”的确权比较点，第二步看信息处理者是否违背“权利”与“豁免”的侵权比较点。类推适用的过程也是寻求比较点相似性的过程：一是寻求既有的法律规范的依据；二是进行经验事实的对接检视。这很大程度上依赖于场景化，原因在于“规范作为一种应然，根本无法从自身产生真实的法，它必须加入存在。只有在规范与具体的生活事实、当为与存在，相互对应时才能产生真实的法”[5]阿图尔·考夫曼：《类推与“事物本质”——兼论类型思维》，吴从周译，学林文化事业有限公司1999年版，第41页。。

四、个人信息类型化保护的合理使用机制实现

一般情形下信息处理者应当遵循同意原则，特定条件下则无需征得信息主体同意。我国《个人信息保护法》对合理使用做出了初步的规定，然而不甚完善，存在以下几个问题：一是相较于GDPR 而言，我国个人信息合理使用规则较为粗疏简略，亟待进一步细化；二是合理使用规定的“合理范围”与“所必需”等表述，带给法官过大的解释裁量空间和过重的利益衡量负担，不利于司法统一适用；三是未能构建符合个人信息保护目标的第三人监督机制，难以实现个人信息保护的自治效能。

1.引入“场景理论”作为个人信息合理使用司法判断之领引

对于个人信息的界定，目前主要以识别说与关联说为主。然而，在数字化背景下的个人信息以数据为载体，数据的传播性、复制性、关联性都对个人信息的识别带来了巨大挑战。对此，场景理论提出了一种新的解决思路[1]何波：《试论个人信息概念之界定》，《信息通信技术与政策》2018年第6期。，个人信息识别应当在具体场景中判断个人对信息处理是否具有合理期待[2]路鸼：《个人信息自决权在中国社交网络语境下的再阐释——以情境脉络完整性为视角》，《现代传播（中国传媒大学学报）》2019年第11期。。例如，在“自动画像”中，仅以“可识别”与“关联性”作为标准，会不当缩小个人信息的应有范围，故而采取动态、开放的场景理论来界定个人信息具有合理性[3]齐爱民、张哲：《识别与再识别：个人信息的概念界定与立法选择》，《重庆大学学报（社会科学版）》2018年第2期。。场景理论是个人信息保护的必要理论，早在“Katz案”[4]Katz v.United States 389 US 347(1967).中，美国联邦最高法院将审理的焦点就从合理隐私期待的构成要件转移到电信行业标准化等社会生活所必需的基本场景。“脱离具体场景谈论隐私权益或个人信息权益……可能引发过度保护或保护不足的弊端。”[5]丁晓东：《个人信息私法保护的困境与出路》，《法学研究》2018年第6期。放眼域外经验，GDPR第32条与第35条都规定了相应的场景化内容：第32条第1款规定信息处理应考虑“场景及目的”；第35条第1款指出风险评估需对“场景及目的”等方面进行综合性的判断。2020年通过的《加利福尼亚州消费者隐私权保护法案》第4节第c条规定个人信息处理者的“尊重场景原则”，即信息处理者收集、使用和披露个人数据的场景，应与信息主体提供数据的场景保持一致。以敏感信息为例，“敏感个人信息的范畴会随着社会变迁而不断发展，范围具有不确定性，需要结合具体场景判断具体范围”[6]王利明：《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》，《当代法学》2022年第1期。。反观我国立法，并无个人信息处理的场景原则，导致法律适用存在一定的困难。例如，《民法典》第1036条第3款规定，为维护“公共利益和自然人合法权益”可以合理使用，但公共利益与自然人合法权益的具体内容不甚明确。对此，可参照《个人信息保护法》第13条第2款至第7款规定的合理使用六种情形，来解释公共利益与自然人合法权益。该条反复出现的“合理范围”与“所必需”限定词表明合理使用并非是无条件的。“合理范围”“所必需”需借助《个人信息保护法》第5条规定的“合法、正当、必要原则”进行解释。结合《个人信息保护法》第13条来看，上述原则主要体现在3个方面：一是个人信息合理使用要遵循法律规定的程序与形式；二是信息处理者所收集与使用的信息应符合公共利益、自然人权益等需要；三是信息处理者需遵循最小损害的比例原则。第二个方面与第三个方面需结合具体场景进行判断。在“ASNEF 案”中，欧盟法院指出“对于有权利和利益争议的案件，利益衡量的关键在于特定案件的具体情况”[7]ASNEF and FECEMD v.Administración del Estado(C-468/10andC-469/10,EU:C:2011:777,para.40).。

在司法实践中，个人信息合理使用的认定，需综合考虑程度、手段与目的等场景化因素。美国学者Helen Nissenbaum 认为，在场景理论中的个人信息处理需“考虑各方的行动能力、信息类型以及信息在各方之间传递的原则”[8]Helen Nissenbaum, "Privacy in Context: Technology, Policy, and the Integrity of Social Life", Redwood City: Standford University Press,2010,p.14.。在“李社与黄健良侵权纠纷案”[9]广东省广州市中级人民法院〔2015〕穗中法民一终字第5018号民事判决书。中，一审与二审法院均判定自然人在公共场所没有隐私，不构成隐私侵权。再审法院则认为，黄健良在自家门口装设监控摄像头，能够记录李社出入住宅等不愿为人知悉的情况，扰乱李社居住的安宁[10]广东省高级人民法院〔2016〕粤民再464号民事判决书。。虽然黄健良监控的是门外的公共区域，但是黄健良与李社家门口直角相邻，黄健良家的监控摄像头能够清晰、持续地获得李社进出家门的轨迹信息。黄健良在知悉李社多次抗议后，仍未采取调整摄像头监控范围等其他手段，明显超出保障财产安全的必需程度。上述立法与司法考察表明，场景理论能与合理使用的司法适用相契合，但前提是对个人自由的环境加以保障，数据控制和信息自主在选择受到限制和压制的环境中基本上是不可能的[1]Woodrow Hartzog, Neil Richards, "Privacy's Constitutional Moment and the Limits of Data Protection", Boston:College Law Review,2020,61(5),p.1695.。

2.对个人信息合理使用的正当必要性原则进行程式化界定

《个人信息保护法》第5条对个人信息处理的“合法、正当、必要原则”作出规定。有观点认为“应在既有合法、正当与必要原则基础上再加上责任原则”[2]江波、张亚男：《大数据语境下的个人信息合理使用原则》，《交大法学》2018年第3期。。责任原则可明确各方的消极责任与积极责任，激发责任主体履行责任的能动性，却无法避免法律自身的抽象性。作为回应，《个人信息保护法》第13条第2款至第6款通过“必需”“合理范围”等，对合理使用进行适当限制，防止法官裁量权过大。在司法实践中，运用目的正当性原则与手段必要性原则对“限定词”进行阐释时，需注意以下3点：

第一，合理使用的个人信息是否经匿名化处理。若个人信息已匿名化处理，则不存在身份可识别性问题。对此，GDPR 第4条第5款规定，本法所指称的匿名化，即通过特定方式“使个人信息不再具备身份可识别性”。匿名化不同于假名化，是彻底地使个人信息的身份可识别性不可复原。我国《信息安全技术个人信息安全规范》第3.14条注解称“个人信息经过匿名化处理后所得的信息不属于个人信息”；《网络安全法》第42条第1款也规定，向他人提供信息需获得授权同意，但“经过处理无法识别特定个人且不能复原的除外”。匿名化的信息不具有身份可识别性，信息处理者无需征得信息主体同意即可利用匿名化的个人信息。“一套明确的匿名化、去标识化的安全管理规则有助于将个人信息安全地运用于商业化，实现个人信息保护和商业运作双赢。”[3]张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，《中国法学》2015年第3期。

第二，个人信息合理使用的“合理范围”指尊重信息主体的人格尊严。《个人信息保护法》第13条第6款规定“自行公开或者其他已经公开的个人信息”可在合理范围内处理。即便是对已公开的个人信息进行处理利用，也应当充分尊重信息主体的人格尊严，《民法典》第999条关于“使用不合理侵害民事主体人格权的，应当依法承担民事责任”的规定可予以证成。在“刘馨予与隐私权纠纷申诉案”[4]北京市高级人民法院〔2016〕京民申3514号民事裁定书。中，法院认为未经核实与获取授权同意就自行转载的行为侵害原告的人格尊严，以合理使用公开信息为抗辩理由不具有说服力。在与之类似的“赵登宇侵犯公民个人信息案”[5]河南省登封市人民法院〔2019〕豫0185刑初144号刑事判决书。中，法院认为被告行为贬损了信息主体的人格尊严，对已公开个人信息的利用，同样不在“合理范围”。总之，个人信息合理使用的“合理范围”应在充分尊重公民人格尊严的基础上展开。

第三，个人信息合理使用的“必需”应符合比例原则。比例原则在司法实践中已有所体现，以“钱维国与如皋市人民政府如城街道办事处案”[6]江苏省南通市中级人民法院〔2015〕通中行终字第00081号行政判决书。为例，法院认为，按照比例原则，应以让渡部分个人信息的方式保障知情权与监督权。个人信息合理使用需将损害控制在最小比例。例如，《民法典》第1036条第3款与《个人信息保护法》第13条第4款均有公共利益与自然人生命健康的相关规定。在公共利益、生命健康与财产安全发生冲突时，信息处理者可以采取损害较小利益保全较大利益的方式。此外，“两害相权取其轻”的衡量，应在法律规定的范围内进行。例如，我国《民法典》第1036条第3款的后半句与前半句是并列关系，第3款后半句规定的“其他行为”，应当与前半句所述“公共利益”与“自然人合法权益”的必要性程度相当。合理使用的“必需”手段，需经受住法律法规以及日常经验的检视。在“丁芝玲与汪锡奎隐私权纠纷民事案”[1]德阳市旌阳区人民法院〔2017〕川0603民初4743号民事判决书。中，汪锡奎本可以通过合法方式督促丁芝玲履行公开赔礼道歉义务，却选择公开丁芝玲个人信息以迫使丁芝玲赔礼道歉，其行为不符合正当性原则与手段必要性原则。因此，汪锡奎公开张贴判决书的行为不属于合理使用。

3.移植数据保护官条款完善个人信息合理使用的监督机制

个人信息保护应建立以内部治理为目标与外部惩罚为保障的制度体系[2]周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，《法学研究》2018年第2期。。个人信息合理使用接受第三人监督，既是正向激励的重要保障，又符合个人信息安全与共享的保护目标。有研究发现，如果企业在高层管理团队中任命首席信息安全官（数据保护官），并且保证其可以参与董事会，则信息安全受到破坏的可能性就会降低35%[3]"New and Improved FTC Data Security Orders:Better Guidance for Companies,Better Protection for Consumers",https://www.ftc.gov/news-events/blogs/business-blog/2020/01/new-improved-ftc-data-security-orders-better-guidance，访问时间：2021年8月10日。。正如在一场比赛中参赛者不能既当运动员又当裁判员，个人信息保护第三人监督起到扮演独立裁判员的作用，符合“程序正义之‘看得见’的标准”[4]夏锦文、刘立明：《程序正义之“看得见”与“感受到”》，《学海》2020年第3期。。我国《个人信息保护法》第52条第1款规定，达到规定信息处理量的信息处理者“应当指定个人信息保护负责人”，间接肯定了第三人监督的必要性。

此外，个人信息保护第三人监督需公正独立的制度环境，与履行职责所必需的基本条件。第三人监督发挥作用的前提是独立性受到保障。GDPR 第38条第2款规定“信息处理者必须给予数据保护官一定的财务、资源、设备技术等方面的支持”；第3款规定“不能因为完成其任务而被控制者或处理者解雇”。上述规定，从内外两个方面确保数据保护官工作的独立性。相较于GDPR 第37条至第39条，我国《个人信息保护法》第52条过于粗略，未考虑个人信息保护负责人履行职责所必须的资金、技术、设备以及不受信息处理者不当干预的独立环境。这样规定的原因是我国将个人信息保护的监督职权置于行政部门。《个人信息保护法》第62条规定，国家网信部门负责“统筹协调各有关部门”的个人信息保护工作；第63 条对有关部门“履行个人信息保护职责，可以采取的措施”进行了具体说明。结合《个人信息保护法》第52条第2款、第60条至64条来看，个人信息保护负责人应当在国家网信部门与县级以上有关部门的指导下展开监督工作，我国个人信息保护监督是以个人信息保护负责人为辅、国家有关部门监督为主相结合的模式。立法倾向于对国家有关部门赋予个人信息保护的监督权力，负责人职能出现弱化。对照《个人信息保护法》第60条至第63条与GDPR第37条、第39条内容上异同之处可发现，我国在个人信息保护上更倾向于行政部门监督。一种可能的解释是：行政部门监督更不易受到信息处理者的影响，因而也更具独立性。但是，此种解释下的《个人信息保护法》立法目的却与GDPR相关规则精神相悖。GDPR中数据保护官的设立，不仅是对独立第三人监督需要的回应，更是对公权力的约束。例如，GDPR 第37 条第1 款a 项规定，当信息处理者为“公共机构或者公共实体”时，信息控制者或信息处理者应当委任数据保护官，第38条第1款至第3款更是从法律制度层面保障数据保护官的独立性不受侵害。未来我国《个人信息保护法》可以参照GDPR的上述规定，对个人信息保护合理使用的第三人监督制度进行完善，赋予第三人更多的监管职权，保障第三人履行职责的基本条件及其独立性。