张友连 厉健强
2021年11月1日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式生效,标志着我国公民的个人信息有了专门的法律保护。个人对自身信息的自决权与救济权得到了切实保障,人们终于不必再担心在信息时代“裸泳”了。《个人信息保护法》在借鉴欧盟《一般数据保护条例》等经验的基础上,形成了诸多亮点和创新。比如,在个人信息的分类上,《个人信息保护法》改变了《中华人民共和国民法典》(以下简称《民法典》)中私密信息与一般个人信息的二分,采取了敏感信息与非敏感信息划分。如果将时间维度放宽,可以发现中国早期涉及个人信息保护的立法中并未对个人信息加以分类,仅以“个人信息”或“用户信息”等概念予以整体概括。2012年出台的《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《网信保护决定》)开始对个人信息进行分类,但其侧重点仅在形式意义上进行,并未涉及实质性内容。《中华人民共和国未成年人保护法》(以下简称《未成年人保护法》)和《民法典》中虽进行了实质分类,但多采用“隐私信息”“私密信息”等与隐私权在形式上难以明确区分的概念。在《个人信息保护法》中,形成了兼具形式与实质特征的分类——敏感信息与非敏感信息。由此产生的问题是,分类的背后促进个人信息保护立法发展的法理念是什么?如何在新的法理念下优化个人信息治理?
“个人信息”概念首次出现于2003年的《居民身份证法》,该法第6条规定,公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息有保密义务。此时对于个人信息的保护依附于公职人员履职的义务之下,也就无所谓分类之说。此后各类涉及个人信息保护的法律、行政法规多沿此惯例,未对个人信息进行分类,而是以一个统一的概念概而论之。并且对这一“统一概念”的表述也没有做到真正的统一,“个人信息”“个人电子信息”“用户信息”等各异的概念均有出现。直到《全国人民代表大会常务委员会关于加强网络信息保护的决定》出台后,“个人信息”的表述才基本稳定,并且开始出现对于个人信息分类的尝试,这种尝试的出现与当时频发的网络安全事件密切相关。
由于之前缺乏必要的法律规制,网络安全问题在2011年前后集中爆发。2011年12月21日下午,有网友反映称,CSDN的用户数据库被黑,600余万用户资料被泄露。CSDN在官方微博上证实这一消息,并表示已经报案。此后,越来越多的网站账户信息在网上流传,越来越多的网络平台被曝账户信息泄露,最终席卷全网20多个平台,造成四千七百多万账户信息及其他大量文件泄露。除了上述的“互联网账户信息泄露事件”外,还有“安卓市场恶意软件”“IE篡改木马病毒”“蠕虫病毒”“网络钓鱼”等互联网安全事件不断发生,挑战着公众的安全神经。
“问题是时代的声音”,为了因应层出不穷的网络安全问题,2012年起一系列保护网络安全、保护电子个人信息的法律、法规相继出台,拉开了中国个人信息保护立法飞速发展的大幕。正是在应对层出不穷的网络安全问题的过程中,立法体现了“加强网络社会管理,推进网络依法规范有序进行”的“安全理念”。这在2012年颁行《网信保护决定》的立法目的和适用范围条款中可见端倪。《网信保护决定》开宗明义地指出:“为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,特此决定。”在这里“保护网络信息安全”是居于所有目的之首并统领其他目的的。《网信保护决定》的适用范围主要集中于互联网商业服务领域,主要规制“网络服务提供者”的活动,这正是对2011年以来所出现的一系列网络安全问题的回应。对公民权利的保护仅有第8条规定的“要求删除”和“其他必要措施予以制止”,两相对比,轻重立见。
相较于前期对个人信息的不做分类,《网信保护决定》开始了对个人信息分类的尝试。《网信保护决定》第一条中规定了“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,从形式上看,将“公民个人电子信息”分成了“识别公民个人身份的电子信息”与“涉及公民隐私的电子信息”,似乎开“个人信息”分类之先,但是考察全文可以发现《网信保护决定》保护的对象仍然是“个人电子信息”,并且也缺乏对不同信息分类的配套保护。因此,《网信保护决定》只能说出现了对个人信息的形式分类,与之后的《民法典》《个人信息保护法》中对“个人信息”的分类和对私密信息、敏感信息的特殊保护有本质区别。这样的形式分类与其说是为了保护个人信息,不如说是为规制“网络服务提供者”的活动提供依据,是“安全理念”的另一个体现。《网信保护决定》之后的一系列立法基本上延续了“安全理念”,着力推进网络社会管理,保障网络安全。例如2017年施行的《网络安全法》与《网信保护决定》一脉相承,其中关于个人信息保护的条款内容,几乎就是《网信保护决定》的发展和细化,只是改变了《网信保护决定》中对“个人信息”的形式分类,形成以“个人信息”概念整体概括,外加具体信息列举的概括+列举模式。
“安全理念”指导下的一系列立法对维护网络环境、规制网络服务提供者的活动起到了积极作用。同时,由于“安全理念”以加强网络管理为导向,对个人信息的保护重视不足,现实中仍面临着个人信息遭泄露、滥用的风险,以及受侵害后难以得到有效救济的困境。这样的困局要求进一步转变个人信息保护的法理念,尤其是要赋予个体保障个人信息的权能。
与“安全理念”的网络社会管理导向不同,学界多主张将个人信息纳入现有权利体系中,由此形成权利保护导向的“赋权理念”。不过,由于最初涉及个人信息保护的立法是为了规制网络安全问题,“安全理念”长期在立法工作中处于主导地位,“赋权理念”一时难以落地。在《网信保护决定(专家建议稿)》中,学者曾尝试构建对个人信息的权利保护体系。比如,建议稿的立法目的以个人信息保护的核心价值——隐私权保护为主导;其适用范围也涵盖了一般的公共和私人领域,为个人的信息利益提供保障;在执法机制方面,规定了相对独立和完善的执法机构和机制,体现了对个人信息的综合保护。但在正式颁行的《网信保护决定》中,立法目的仍然以“保护网络信息安全”为统领,适用范围仅限于互联网商业服务领域,执法主体上仅规定了“有关主管部门”,《网信保护决定(专家建议稿)》中诸多建议均未被采纳。“赋权理念”面临的困境可见一斑。
尽管面临许多困难,学界相关研究仍在推进,对“个人信息”性质以及如何将“个人信息”整合进法定权利体系的研究不断深入,并最终在立法中得以实践。《消费者权益保护法》中关于“享有个人信息依法得到保护的权利”的规定,可以算作对个人信息概括赋权,是“赋权理念”在立法中的初步探索。在2020年修订的《未成年人保护法》中,“赋权理念”的相关主张得到进一步落实。其一,第72条第1款规定,信息处理者处理未成年人个人信息的,应当遵循合法、正当和必要的原则,对处理个人信息做了基本规定。其二,第72条第2款赋予未成年人、父母或者其他监护人以知情、更正、删除权,个人真正享有了保护自己信息的权利,这无疑也是“赋权理念”的重要实践。其三,对未成年人的个人信息做了实质性的分类。结合72条与73条的规定,《未成年人保护法》对个人信息做了两种类型的分类:依据年龄,分为14周岁以上未成年人的个人信息与不满14周岁未成年人个人信息;依据私密程度,分为私密信息与非私密信息。对不满14周岁未成年人个人信息与私密信息加以“征得未成年人的父母或者其他监护人同意”和“及时提示,并采取必要的保护措施”的特殊保护。之所以将《未成年人保护法》对个人信息的分类视为实质分类,正是因为对不满14周岁未成年人个人信息与私密信息加以特别保护,形成了个人信息的保护体系。个人信息的分类愈是明确,对个人信息的保护愈是周密,个人获得的保护其个人信息的权利便愈加周详,这正是“赋权理念”的体现。
2021年颁行的《民法典》继承并发展了《未成年人保护法》对个人信息的分类与保护,更是“赋权理念”的生动实践。首先,《民法典》第111条宣告了“自然人的个人信息受法律保护”,对个人信息负有不得侵犯义务的主体涵盖了“任何组织或者个人”,为个人信息保护奠定了基调。其次,在《民法典》人格权编中专设“隐私权和个人信息保护”一章,尽管个人信息与隐私权共享一章,尽管相较于隐私权个人信息只能视为权益,但对个人信息保护的意义依然十分重大。再次,《民法典》构建了对个人信息保护的规范体系。第1034条第1款宣示了对个人信息的法律保护,第2款以概括+列举的方式定义了个人信息的内涵,第3款又强调了对“私密信息”的特殊保护。之后的第1035—1039条分别规定了信息处理的原则,免责事由,自然人的查阅、复制、异议、更正等权利,个人信息处理者的义务,国家机关及其工作人员的保密义务等内容,基本构建起了个人信息保护体系。由此可知,《民法典》对个人信息保护的最终目的不只是关注公共利益,更是为了维护自然人的合法权益。最后,《民法典》将个人信息分为私密信息与非私密信息,并对私密信息予以特别保护。《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”据此,私密信息得到了隐私权与个人信息的双重保护。私密信息与非私密信息的分类是从隐私权与个人信息的关系入手的,之所以专门界分私密信息,不但是因为其具有私密性、私人性,与自然人的生活安宁密切相关,需要特别的保护,而且是为了界定个人信息与隐私权的边界,以便将个人信息纳入权利体系中,这正是“赋权理念”的直接表现。如此,既可以强化对私密信息的保护,为信息处理者合理利用非私密信息留下空间,也可以尽可能减轻个人信息对原有权利体系的冲击。
“赋权理念”指导下的《未成年人保护法》《民法典》等法律的颁行使得个人信息权益融入到法定权利体系中,在个人信息保护事业上意义深远。但是,个人信息问题就此妥善解决了吗?私法的赋权保护能够臻于完善吗?
首先,“赋权理念”造成了体系衔接不畅的弊病。《未成年人保护法》中依据年龄将个人信息分为14周岁以上未成年人的个人信息与未满14周岁未成年人个人信息,依据私密程度分为私密信息与非私密信息。私密信息事关私生活安宁自然有特别保护的需要,未满14周岁的未成年人由于经验、能力的不足,对其个人信息也有特别保护的必要。但问题是依据两种不同的标准界分的个人信息体系之间应当如何衔接呢?以不同标准界分个人信息,固然扩大了个人信息的保护范围,却也造成了体系上的不和谐。《民法典》没有采取以年龄为标准的个人信息分类方式,只保留了私密信息与非私密信息的分类,在个人信息内部避免了体系复杂。但是,在个人信息以外,“私密信息”同时属于隐私权的保护范畴,隐私与个人信息由此形成了一种交叉、嵌套关系。这也就形成了一个逻辑悖论,立法者为了界分隐私权与个人信息,规定私密信息为隐私权与个人信息的交集,如此隐私权与个人信息的其他部分就可以被区分。但是,私密信息作为隐私权与个人信息的交集,又使得隐私权与个人信息交叉,难解难分。
其次,“赋权理念”指导下的立法限制了对个人信息的合理利用。所谓“赋权”自然是赋予个人信息的产生者自然人以保护其个人信息的权利,侧重点是保护个人利益。个人信息尽管产生于个人,却流通于社会,社会各主体都有合理利用个人信息的需求。企业需要信息分析行业前景,满足顾客需求。政府需要信息制定公共政策,更好地为人民服务。社会需要信息制定社会规范,协调各方利益。片面强化个体赋权可能抬升社会活动成本,限制社会活力,并导致个体无法获取有效服务、制定良好公共政策、实现合理信息流通,因此,在保护个人信息的同时,也要为个人信息的合理利用留足空间。如果认为《未成年人保护法》与《民法典》等法律完全忽视对个人信息的合理利用也是不准确的,比如,《未成年人保护法》与《民法典》都规定了处理个人信息应遵循合法、正当、必要等原则,《民法典》第1036条还规定了处理个人信息的免责事由。这些规定为个人信息的合理利用留出了一定的空间,但能够真正解决问题吗?由于“赋权理念”的核心在于赋予个人保护个人信息的权能,对信息的合理利用只能做一些原则性的规定,这些原则固然可以指导个人信息的利用,但过于概括。比如,处理个人信息应遵循合法、正当、必要、适度等原则,那么何为合法,何为正当,何为必要,何为适度?这样的规范的指引功能是不确定的,很大程度上依赖于规范的解释。如对原则解释过宽,则有碍于个人信息的保护,有悖“赋权理念”;如对原则解释过窄,则不利于个人信息的合理利用。此外,囿于《民法典》的私法性质,对于身为重要的信息处理者的政府的信息利用行为,也存在难以有效规范的问题。因此,“赋权理念”指导下的立法对个人信息的合理利用的规范事实上处于一种模糊状态,将会限制个人信息的合理利用。
最后,“赋权理念”对社会风险预估不足。尽管在《民法典》中“个人信息”只是被规定为一种权益,却赋予了个人信息主体由知情同意权,查阅、复制权,更正权和删除权,信息安全保障权等组成的完整权利束。并且在个人信息受侵犯后也能请求救济。如此看来,《民法典》对于“个人信息”的保护似乎十分完善。问题是,个人信息主体能否切实地行使这些权利呢?《民法典》对个人信息主体“赋权”集中体现在第1037条,本条设置的查阅、复制、更正和删除等权利本质上是为了维护个人的信息自决权。自决是建立在信息主体对个人信息的充分认知与把握之上的,需要考虑的是达到这样的要求是否存在障碍。个人信息受到侵害固然可以请求救济,但其可行性是建立在事后救济足以填平损失的基础上的,如果个人信息伤害造成了难以逆转的损失,又该如何填平呢?事实上,《民法典》关于个人信息的规定是建立在传统民法“有限风险”理论的基础之上的。传统私法立基于简单商品经济,权利义务关系相对明确,交易风险较小,因而存在忽视风险乃至鼓励风险的倾向。比如,通过授予当事人大量权利,使其在意思自治主导下自由交易,促进效率,对于遭受损失的当事人则通过侵权责任法予以事后救济,因为风险有限,所以损失可以通过事后救济填平。“赋权理念”无疑继承了对“有限风险”的认识,所以出现了上述赋予事先权利与事后救济的模式。问题是,进入信息社会后,交易风险急剧提升。个人信息具有“雪球效应”,自然人此刻授权信息处理者处理的信息或许尚无风险,但下一刻各种信息汇聚可能就会产生损害,当事人往往不能事先预估风险,而事后救济也未必能弥补损失。因此,“赋权理念”指导下的立法存在对风险预估不足的问题。
基于以上分析,对于个人信息的保护涉及主体众多,利益重大,不能仅从“安全理念”入手规制信息处理主体,也不能仅从“赋权理念”入手保护个人信息权益。正确的做法应当是通盘考虑,协调各方利益,实现整体效益的最大化,这就需要推动个人信息保护立法理念由“安全”“赋权”向“治理”的转变。
“治理理念”意味着我们要思考如何引导经济和社会,以及如何达成集体目标。《个人信息保护法》正是在“治理理念”的指导下,协调个人信息保护与信息产业发展关系、追求集体目标的产物。从立法目的分析,《个人信息保护法》是“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。这一表述不同于“安全理念”强调网络社会管理,而是明确了“保护个人信息权益”的首要地位,并且是通过“规范个人信息处理活动”来实现的。而“促进个人信息合理利用”的规定也为信息产业发展提供了保障,协调了个人信息保护和利用之间的矛盾。从适用对象上看,《个人信息保护法》规定“任何组织、个人不得侵害自然人的个人信息权益”,其适用对象不再局限于“网络服务提供者”,而包括了一切涉及个人信息处理的个人、市场主体与国家机关,有效地弥补了《民法典》囿于私法属性难以详尽规制政府处理个人信息活动的缺陷。从保护规定上看,《个人信息保护法》不但构建了完整的“告知—同意”规则,而且建立了与之配套的个人权利与信息处理者义务,加强了对个人信息处理风险的防范。此外,还明确了政府部门履行个人信息保护的职责与侵害个人信息的法律责任,使得对个人信息的保护更加切实可行。
值得注意的是,《个人信息保护法》改变了《民法典》中私密信息与非私密信息的划分,而代之以敏感信息与非敏感信息。尽管有观点认为,“个人敏感信息是指关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息”, 敏感信息就是私密信息,但是综合对比《民法典》与《个人信息保护法》的相关规定,可以发现敏感与非敏感信息、私密与非私密信息的区分是各有其规范目的与意义的。不同于私密信息与一般个人信息从界分隐私权与个人信息的角度划分个人信息的类别,敏感信息和非敏感信息的分类是从规范个人信息处理行为的角度来进行的。个人信息不仅涉及人格利益,还具有财产利益性质,对个人信息的组织分析可以产生附加利益。对个人信息的合理处理可以产生直接的经济利益,促进信息产业的发展,也可以用于智慧安防,维护社会稳定。因而,对个人信息的保护要兼顾个人利益与企业利益、社会利益。这就要求在对个人利益分类时,为个人信息的合理利用留足空间。《个人信息保护法》从个人信息处理入手,将在处理中对个人利害影响重大或者不当处理会造成重大损失的涉及人格尊严、人身安全、财产安全与未满十四周岁未成年人的个人信息界定为“敏感信息”,并提高了敏感信息处理者的法定义务。“敏感信息”的分类是建立在规制“泄露或者非法使用”产生的风险之上的,在对“敏感信息”的处理严格规制、提供特殊保护的同时,也确保其他非敏感个人信息得以合理、有效的利用,体现了“治理理念”对社会整体效益的追求。
《个人信息保护法》无疑为实现个人信息相关效益最大化提供了有效路径与有益启示,但是仅靠一部《个人信息保护法》就能妥善处理好个人、企业与国家的利益纠葛吗?笔者认为,应当在“治理理念”指导下,对个人信息保护加以优化。也就是说,综合所有可用的方法、策略和工具,建立一个协调风险治理中各种要素和参与者的“个人信息治理和个人信息保护系统”,将“个人信息保护”进一步发展为“个人信息治理”以实现整体效益的最大化。为了实现“个人信息治理”的目标,需要从以下四个方面优化个人信息保护立法。
“我国社会正在发生深刻变革,利益关系日益复杂,利益诉求日益多样,社会矛盾日益凸显。”体现在个人信息方面,就是不同主体对个人信息利用有着不同的利益、存在着不同的诉求。从“治理理念”分析,个人信息保护最核心的问题就需要对个人、政府、企业三类主体现实和潜在的利益进行合理分类,通过利益的类型化来实现法律上权利 / 权力的规范化。如图所示,在个人信息的流通和利用过程中,个人、政府、企业三方主体形成了相互交错的利益格局,每一方主体都有自己的核心利益,又都有与其他主体相交错的共同利益,需要相互协调。就个人而言,区域1是涉及个人隐私的私密信息,这无疑是其核心利益,需要排他保护;区域4、5、7 部分表示对个人重要程度相对次之的信息,可以经过个人同意由政府、企业采集、使用、流转或者公开。例如,对就学、就业、消费、旅游等具有一定的身份识别性,但不太涉及隐私的信息,如果合理利用不但不会侵害个人权益,还有助于个人享受更好的公共服务与商业服务。就政府而言,其核心利益是依据法定职责或为公共利益而必须收集的个人信息。比如,为调查犯罪、维持基本社会秩序所必须的信息等。区域4、6、7 是政府为了提供公共服务产品,经由个人与企业同意得收集、适用的信息,其构成了政府履行特定服务职能的依据。就企业而言,在对大量个人信息进行“去识别化”并通过商业研发形成的具有商业价值的数据,可以享有排他的财产权利,这也是促进信息产业发展的题中应有之义。区域5、6、7则是企业在商业利用过程中涉及个人、政府利益,需要个人与政府同意的信息。通过对各种涉及个人信息利益的合理安排,形成“三位一体”、层次分明的利益格局,再针对各主体利益提供相应的法律规制与保障,才能有效促进个人信息治理。
由于个人信息内容丰富,属性多元,对个人信息的处理、利用可以产生增值收益。比如,企业通过对庞杂的消费者信息的整理、分析,可以推测出消费者的购物偏好、经济实力、产品需求。基于此进行针对性推销,可以提高产品销量,获得经济收益。信息处理者往往倾向于独享增值收益,甚至出现个别企业为了获得增值收益逾越法律界限、滥用甚至是侵犯个人信息的情形。信息主体不能享受到个人信息处理的增值效益,反而面临个人信息受侵害的风险,由此就产生了个人信息主体与信息处理者之间的矛盾。个体对个人信息的被利用愈加谨慎乃至排斥,反之信息处理者因难以获得个人信息,可能倾向于铤而走险,违反法律。为了解决这一矛盾,应当从“治理理念”出发,坚持以人为本,协调个人信息主体与信息处理者的利益,促进个人信息增值收益的共享。个人信息治理要求信息处理者在处理个人信息、获得增值利益时要注重收益的回馈与共享。例如,政府机关对个人信息处理后,可以利用个人信息的识别性,建设智慧安防系统,提升识别效率,排除危险分子,建设和谐、稳定的社会秩序,使全体民众共享社会治理红利。企业通过对个人信息的处理、应用,可以针对客户的需求,提供定制服务,满足不同客户独特需求,提高服务水平。以收益共享协调双方关系,化解矛盾,促进个人信息综合效益的最大化,符合治理理念的要求。
个人信息的治理不但需要完善法律、法规,更需要监管部门切实履职,加强监管。《个人信息保护法》专设第六章“履行个人信息保护职责的部门”,用于明确监管部门的保护、监管职能。不过,《个人信息保护法》并没有设立专门机关来统管个人信息的保护与监管,而是采取了县级以上部门各司其职,国家网信部门负责统筹协调的分工协作模式。在此模式下,如何优化政府监管部门的协调合作就变得尤为重要。优化个人信息治理,加强个人信息监管合作应致力完成三个方面的工作:首先,制定实施个人信息保护的具体规则、标准,尤其是制定履行个人信息保护职责部门的规则、章程,界定不同机关之间的权责范围。其次,建立不同监管部门之间协助执法机制。主要集中于:建立上级监管部门对下级监管部门工作的指导机制,加强法律适用统一性;建立调查、处理违法个人信息处理活动的跨部门、跨地域协作机制,提升执法效果;建立对拒绝配合、阻挠执法的个人、组织的联合惩戒机制,强化对侵害个人信息权益不法分子的震慑。最后,探索监管部门信息共享机制。通过重大案件情报协助、示范案例通报、定期交流工作经验等方式,加强个人信息监管部门之间的信息交流,增强监管能力。
以“治理理念”为指导,实施个人信息保护,不仅需要宣传守法、加强监督,更需要发挥司法裁判的引导作用,为个人信息利用划定安全底线。个人信息利用的安全底线,是个人信息利用机制形成的基石,如果突破了安全底线,将会导致整个个人信息利用秩序的整体崩溃。因此,对于违背合法利用原则、违反法定或约定的利用事由、侵害个人信息权益的行为必须严厉制裁。个人信息司法裁判需要协调好各方主体利益关系,必须确定个人信息损害赔偿标准,以事后规制弥补损失,缓和各方主体之间的矛盾。《个人信息保护法》确定了“按照个人因此受到的损失或者个人信息处理者因此获得的利益确定”与“根据实际情况确定赔偿数额”的赔偿标准。依据此标准,有助于保障信息主体的利益,即便个人损失难以确定,也可以依据信息处理者的获益确定赔偿,何况还有“根据实际情况确定”的兜底。在司法适用中确定个人损失时,应当同时关注对信息处理者的利益保护。个人信息收益中的一大部分是因信息处理者处理信息而产生的增值收益,对于其中信息处理者的劳动贡献应予承认与保护。所以,此处“个人信息处理者因此获得的利益”应当理解为去除信息处理者基本劳动报酬后的利益。此外,如果受失和获利难以确定,那么“根据实际情况确定赔偿数额”似乎也难以实现。因此,可以考虑设置个人信息侵权最低司法赔偿标准,在不能确定赔偿数额的情形下,则依据最低赔偿标准赔付。如此,既有利于维护个人信息侵权受害人的利益,也可以规范信息处理者的处理行为。由于《个人信息保护法》的规定未尽完善,司法裁判在遵循信息安全底线的基础上,可以综合考量个人信息在哪个主体(个人、企业、政府)控制下能避免碎片化并能发挥应有的价值、各主体为信息或信息集形成所付出的精力和成本、其权利范围能否与其诉求相匹配,从而实现个人信息利用效益是最优配置。