个人信息的商业化利用及保护探析

张依依

摘 要：数字经济社会，个人信息已不再仅与隐私、人身相关，其财产属性与商业价值亦愈渐凸显。将个人信息进行商业化利用，利于其发挥自身价值、促进其受到更好保护，且有利于实现人格平等。确立个人在个人信息处理中的主体地位、明确运用“知情同意规则”等，使个人信息进行商业化利用变得可行。但仍应注意商业化利用中的个人信息保护问题，将保护贯彻个人信息商业化利用的全过程：事前充分告知，求同意；事中风险监测，使安心；事后及时反馈，速补救。从上述事前、事中、事后三方面来保护商业化利用中的个人信息，以期促进个人信息的商业化利用的良性发展。

关键词：个人信息处理；商业化利用；商业价值；知情同意；授权

中图分类号：D9 文献标识码：A  doi：10.19311/j.cnki.16723198.2023.15.054

互联网时代，万物互联、事事上网、信息联网，大量个人信息不再如从前般仅留存于“登记簿”之纸上，而是落于互联网之网中，此番变化在便利个人与个人信息处理者、相关单位之时，亦将个人信息带入了风险之地。于是，人们愈加重视对个人信息的保护，尤其是处理与保存，相对忽视了对于个人信息的商业化利用。但身处数字经济社会，信息本身即是一种财富，而个人信息更是与人身（包括人格尊严）、财产等多种因素相关，在对其进行商业化利用同时注重保护，发挥其价值，即本文主要探讨的问题。

1 个人信息进行商业化利用的必要性

1.1 个人信息概述

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。从直接的姓名、肖像、声音、身份证号等，到间接的家庭住址、婚姻状况、财产状况、宗教信仰、消费习惯等，上述种种所涉范围极广，皆属个人信息的范畴。而对其类型划分与保护，有学者主张分为直接或间接、敏感或一般、个体性强或社会性强；人格疏远型、人格紧密型等。关于个人信息的属性，有学者主张个人信息权益属于民事权益中的人格权益，另有学者认为中国应确认独立的个人信息财产权，可见个人信息兼涉人格和财产双重因素。

1.2 个人信息与商业价值

个人信息的效用性、稀缺性、可控性和流通性决定了个人信息也具有很大的财产价值或财产屬性。从通过指纹来解锁手机等电子设备到人脸识别（刷脸支付、刷脸进门等），从购物记录在线储存到对其分析后的大数据精准推送营销，从快递物流的实时更新到网约车行程的全程安保定位监控……如今，人们日常生活的种种已与个人信息的利用密不可分。

一方面，对个人信息进行商业化利用，有助于发挥个人信息的商业价值。大数据时代，个人身上的一条条个人信息汇聚起来，可得到该人的大致“画像”，此乃微观视角，商人可对其精准营销，医生可更好对症下药，管理者可知如何对其有效管理；而多人的同类个人信息汇聚起来，便是宏观视角，其利于商人分析消费者市场，方便医者更好地了解疾病的普遍表象与针对治法，助益管理人员宏观得到管理的实战经验。

另一方面，个人信息被发挥与重视的商业价值，亦会反向促进个人信息得到更加明确合理、安全到位的保护。当个人信息的商业价值被充分挖掘时，其再受侵害便会触及一些权益者的“奶酪”，此时，个人信息不止有个人进行保护，亦得到了相关权益者的“誓死捍卫”。

1.3 个人信息进行商业化利用的其他益处

除上述有助于发挥个人信息的商业价值，反向促进其自身得到更好保护两方面益处外，提倡个人信息可进行商业化利用有益于实现人格平等。众所周知，影视、歌曲、运动等文艺体领域的社会名人的个人信息是可以转化为财富的，如他们的肖像、姓名等可被作为商品商标、名人周边产品等，从而使其本人与经营者皆获利。更有甚者，如娱乐圈明星的婚恋状况等八卦新闻，亦在暗地里存在交易市场。但上述种种，大多出现于社会名人身上，普罗大众却难以享受此类福利，未免有失公平，某种程度上亦不利于实现人格平等。而在这个自媒体席卷的时代，人人皆可为博主，有机会成名，人人亦有权将自己的个人信息等转化为财富，如知名博主带货等，这既是对社会名人等去特殊化，亦利于促进人格平等的实现。

2 个人信息进行商业化利用的可行性

日常生活中，人们通常更关注个人信息于隐私方面与人格尊严相关的保护。单条普通人的个人信息于商业而言，掀不起波澜，但当无数单个个人信息被聚集起时，以客户名册为例，其可被作为商业秘密得以保护，以发挥其财产价值。从本质上讲，个人信息本身就兼具人身属性和财产属性，绝大多数个人信息都可以进行经济利用，如将个人信息汇聚成大数据由他人共享，或用于商业分析和商业规划等。由此可见，个人信息具有财产属性，可进行商业化利用，但亦应有相应明确的规制，以更好实现个人信息商业化利用的良性运转。

2.1 确立个人在个人信息处理中的主体地位

康德“人是目的”的哲学道德观，隐含了对于人的尊重这一前提。时代进步、科技发展、个人信息联网等，最终都应造福人类，使人更幸福、更有尊严的活着，而非反受其剥削人之为人的尊严与自由。个人在个人信息处理中，亦应受到应有的尊重，而这要求个人在该过程中具有主体地位。确立个人在个人信息处理中的主体地位，进而使个人理所应当的获得对于自己个人信息是否被处理、会为实现何种目的、以何种方式被处理等的知情权与自主决定权。前述二权是个人信息权益的核心权能，随其产生的还有查阅权、复制权、可携带权、删除权等，而这些都有赖于个人在个人信息处理中享有主体地位。

2.2 知情同意规则

知情同意规则，又称告知同意规则，其包含告知与同意。 知情权与自主决定权是该规则的核心权利。知情权，是个人真正做出自主决定的前提；而自主决定，其精神实质所体现的是民法基本原则之一意思自治。显然，法律赋予自然人个人信息权益的目的就是要保护个人在其个人信息处理中享有的意思决定的自由（尽管法律和行政法规作出了诸多限制）。

个人信息进行商业化利用，主要有“同意”和“授权”两个基本途径。 个人信息相关事项中的“同意”，一般指个人信息处理方询问个人方是否同意对个人信息进行处理，其可分为明示同意和默示同意（不明确拒绝即同意）两种。我国《个人信息保护法》虽未明确规定应是哪种同意，但据体系解释，从第14条和第29条中提及“同意”的条文皆有“应当取得书面同意”之表述来看，应将本法中的“同意”解读为明示同意。此外，《App违法违规收集使用个人信息行为认定方法》第3条第4款亦明确将以默认选择同意隐私政策等非明示方式征求用户同意的行为，认定为“未经用户同意收集使用个人信息”。由此可知，同意必须是明示的，而默示、预选方框或者不作为都不构成同意。笔者亦认为个人信息虽有敏感与否、直接间接、高低关联人格之分，但皆应采用明示同意，方能更好保障个人信息权益。个人信息相关事项中的“授权”，一般指个人将自己的个人信息的使用权等相关权利授予给个人信息处理方，以换取相应的服务或报酬。我国《个人信息保护法》第51条明确提及，个人信息处理者有“防止未经授权的访问”的义务，可见个人信息的商业化利用不止是有“同意”，还存在“授权”。但无论通过何种途径，都应建立在个人对于自己的哪些个人信息，将会以何种方式，被用于何种目的，可能带来多少收益等已充分知情的前提下，否则，即不是真正的“知情同意”。

3 商业化利用中的个人信息保护

个人信息的商业化利用，可为个人带来经济价值，为个人信息处理方等带来经济收益，为政府等带来管理便利，但商业化利用中的个人信息亦需得到保护，方能更好地发挥个人信息的价值，维护社会的和谐稳定，促进其发展进步。

3.1 事前充分告知、求同意

事前告知应是个人同意或授权个人信息相关处理的前提。目前，大多数应用软件都采用在用户正式进入软件页面、使用软件前，弹出一个“用户协议和隐私条款”型文字，通过超链接等形式，用户分别点击后可跳转页面，查看不同条款的详情，而各种条款会涉及许多内容，其中亦包括个人信息的相关授权与利用。以我国某wb APP为例，其分别提供了《用户协议》（即《wb用户使用协议》）和《wb个人信息保护政策》两个可供阅读的文件，并说明“请充分阅读”“点击‘同意并继续按钮代表您已同意前述协议及下列约定：为了给您提供浏览服务和保障账号安全，我們会申请系统权限收集设备信息；为了给您提供缓存服务，我们会申请系统存储权限。”后者点进去后仅直接显示了概要部分，并附上了《个人信息收集清单》《设备权限清单》等四个子内容清单。由上述可较清楚得知，wb采用的是一次性、多层次、集中告知一系列内容（包括个人信息收集与利用）的形式。若准用户“不同意”，则会被再次询问或直接退出APP使用页面，导致“不同意”即彻底无法进入使用该APP，即同意那一系列条款（包括个人信息收集与利用）是进入并使用APP的先决条件。

实践中上述并非个例，采取类似做法的APP、小程序等亦有不少，但并非大量存在即合理。事实上，其确实存在一些欠合理之处：一方面，在看到“用户协议和隐私条款”等文字时，绝大多数人很难做到“充分阅读”，反而直接“走过场”般点击“同意并继续”按钮，进而使用该APP。因绝大多数用户受阅读时间、阅读能力、理解能力、耐心程度等因素的影响，并未仔细且充分地阅读那些较长篇幅且专业的文字，导致某种程度上说，虽然用户点击了“同意”，但其实际并不知晓，自己究竟“同意”了哪些条款、自己哪些个人信息会被如何收集并利用，亦是近乎完全“未知”的状态。这便会形成平台已告知，用户已同意，但后续出现问题时，用户试图维权，而平台拿出用户已“同意”的一系列条款，最终使该类本该用来限制并明确平台权利与义务，从而维护用户的个人信息保护等核心利益的条款，最终沦为平台方的“减责工具”。另一方面，极少数准用户难得认真且充分阅读了上述协议，却因“不同意”部分条款而无法进入，其中有些为了使用该APP，又被迫点击“同意”，某种程度上，这危害了个人对于个人信息的自主决定权。

由此，对事前告知有如下建议。对于个人信息获取方：丰富相关告知的形式，不局限于大段条款的纯文字式列举，兼用视频、案例等形式充分告知；把使用前对于个人信息的用户询问及授权这项工作，细化到用户在使用过程中：一方面，在用户使用过程中，将各种个人信息的授权权限都分开且在初次获取并使用时针对其进行告知，等获取用户针对性同意后，再进行获取及使用等相关处理；另一方面，将同意与否的对象细化，且置于用户使用过程中，需要授权时再针对性询问，当用户不同意该小项授权时，不提供该小项服务。对于个人：在收到个人信息的相关告知时，应仔细阅读、谨慎同意，尤其是在手机、电脑等电子设备端操作时，更应认真阅读，避免习惯性将其当作“走流程”的必须同意项而轻视；此外，在将自己的个人信息授权给商业利用时，更应注意明确双方甚至多方的权利与义务，慎重考量后再进行规范性授权，切实保护自己的个人信息权益。

3.2 事中风险监测、使安心

建议建立个人信息使用流通体系，使个人信息在何时、由何人、在何地、通过何设备、以何种方式被使用等一目了然。此体系不仅利于个人更好地了解到自己授权的各种个人信息的后续“旅途”，亦可在个人信息被非法获取、不当使用时，有足够的证据去维权，且可追根溯源到准确IP地址、设备与责任人。此体系须格外注重自身的私密性维护，因而需配套极强的网络安全工程设置，以防被“黑客”攻破而导致大量个人信息泄露；且只对相关权限人开放对应的个人信息的流通情况，以更好确保个人信息流通的相对私密性。

此外，在上述体系尚未建成时，发明个人信息使用情况风险监测系统，针对不同个人信息情况及用处划分不同的风险等级，以针对性定期甚至实时监测个人信息当下使用状况的风险程度，并作出相应的风险及时预警与后续建议，从而切实保障相关个人的个人信息权益。当上述个人信息使用流通体系建立完成时，可将风险监测系统与其配套合作，一边记录个人信息的使用流通足迹，一边定期甚至实时监测相关个人信息是否有风险，是何种程度的风险，及时预警，并附上后续的初步建议。

上述个人信息使用流通体系与风险监测系统，不仅可使个人安心，亦有助于规范个人信息处理方等他方的个人信息处理行为，即以清晰透明的流通体系，明晰经由人，将责任落实到个人，可倒逼其提升专业能力与职业素养，从而更好地保护商业利用中的个人信息，使个人安心。

3.3 事后及时反馈、速补救

个人信息被授权进行商业化利用后，相关平台运营商、个人信息处理方应密切关注个人信息使用各种的动向，并将其及时反馈给个人。当出现个人信息被不当商业化利用时，应及时告知个人，附上相对切实有效的补救建议，尊重个人对于个人信息的后续处理，以最大限度降低对个人的不利影响及利益损耗。此外，若个人选择对个人信息进行删除或撤回同意/授权时，相关方应尊重个人的真实意思表示，进行相关个人信息的删除，不再对已被撤回同意/授权的个人信息进行商业化利用。

当个人发现自己的个人信息被不当商业化利用时，也有权要求相关方进行补救、赔偿等，可参考《民法典》合同编及人格权编、个人信息保护法等与对方协商，进行有力维权。若协商不成功，个人可向政府相关机构寻求帮助与保护，亦可依法向法院提起诉讼以寻求司法救济。

4 结语

以知情为前提，以自主决定为关键，以保护为原则，以发挥商业价值为目的，方能助力个人信息商业化利用的良性发展。将个人信息进行商业化利用，是顺应数字经济时代之举，应用发展的眼光看待其，但其亦如新生幼苗般，需社会多方力量共同助力其成长。个人信息进行商业化利用的方式，有待丰富与发展。同时，在利用过程中贯彻保护原则，事前告知应更加到位且合理，事中監测需建立完备的个人信息使用流通体系并配套风险监测系统，事后反馈应及时、补救需迅速，个人也应理智且勇敢地选取恰当方式来保护自己的个人信息权益。

参考文献

［1］中华人民共和国个人信息保护法（第四条）[Z].

[2]项定宜.个人信息的类型化分析及区分保护[J].重庆邮电大学学报（社会科学版），2017，29（01）：3138.

[3]项定宜.论个人信息财产权的独立性[J].重庆大学学报（社会科学版），2018，（6）：169180.

[4]程啸.论个人信息权益[J].华东政法大学学报，2023，26（01）：621.

[5]彭诚信，史晓宇.个人信息财产价值外化路径新解——基于公开权路径的批判与超越[J].华东政法大学学报，2022，25（04）：4157.

[6]王利明，程啸.中国民法典释评·人格权编[M].北京：中国人民大学出版社，2020：59.

[7]王苑.私法视域下的个人信息权益论[J].法治研究，2022，（05）：3747.

[8]程啸.论个人信息处理中的个人同意[J].环球法律评论，2021，43（06）：4055.