论数字时代个人信息保护的风险规制路径

摘" 要：

个人信息保护制度的建构和学理讨论一直以来存在风险规制和绝对权利这两种路径。在风险规制路径下，个人信息保护被视为政府基于国家保护义务，治理数据处理对人身权、财产权和人格权等基本权所造成风险的规制活动，个人信息本身并不是被保护的对象。在绝对权利路径下，个人信息被建构为民法上的人格权或财产权，其本身具有被保护的价值。但这两种路径并非对立关系，与传统风险规制相比，个人信息保护的风险规制具有鲜明的特色，其对象是抽象权利，而不是物理损害。其同时包含基于风险的路径和基于权利的路径，一方面保证了规制能够量体裁衣，另一方面也维持了规制的最低标准，在风险与安全之间取得平衡。在数字时代，个人信息保护的风险规制路径能够更好地适应数字技术的创新。基于风险规制原理，有必要确立个人信息风险预防原则，对个人信息保护原则和权利予以风险化调适，建立个人信息保护独立规制机构，引入风险交流机制，改进个人信息风险评估。

关键词：个人信息保护；风险规制；预防原则；人工智能

中图分类号：DF36" 文献标志码：A

DOI：10.3969/j.issn.1008-4355.2024.04.11" 开放科学（资源服务）标识码（OSID）：

文章编号：1008-4355（2024）04-0142-17

收稿日期：2024-03-09

作者简介：刘绍宇（1991—），男，安徽安庆人，浙江大学光华法学院研究员，博士生导师，法学博士。

一、问题的提出

近年来，我国个人信息保护立法取得了令人瞩目的成就。然而，对于个人信息的性质，究竟是人格权、财产权还是公法上的权利，以及个人信息保护的模式，究竟是私法保护还是公法保护等基本问题，学界还未达成共识。一直以来，通过建构私法权利来保护个人信息的主张无论在理论上还是在立法上似乎都成为主流声音，个人信息保护也被写入《中华人民共和国民法典》（以下简称《民法典》）人格权编。尽管不少学者对这一主流观点进行批判，提出个人信息保护应以公法手段为主，但仍受到了私法保护论者的激烈反对。

实际上，域外个人信息保护一直存在绝对权利和风险规制这两种路径。在绝对权利路径下，个人信息被建构为民法上的人格权或财产权，其本身具有被保护的价值；而在风险规制路径下，个人信息保护被视为政府基于国家保护义务，治理数据处理对公民人身、财产和人格等权益所造成风险的规制活动，个人信息本身并不是被保护的对象。在风险规制路径下，个人信息权并不被承认，或者不具有实体内容。权利设置也是作为一种风险规制手段而存在，此时权利并不是传统意义上的民事权利，而是一种公法上的新型权利。

与我国不同的是，域外个人信息保护一直以来是以风险规制路径为主导。在不少学者看来，个人信息保护在其产生之时便是一种因应计算机技术的风险规制Mayer-Schnberger， Generational Development of Data Protection in Europe， in P. E. Agre amp; M. Rotenberg eds.， Technology and Privacy： The New Landscape， MIT Press， 1998， p.219，223.，这一传统一直延续至今。而近年来，风险的概念在个人信息保护的法律之中更是被不断强化，被学者称为数据保护的风险化（the riskification）Milda Macenaite， The Riskification of European Data Protection Law through a Two-Fold Shift， 8 European Journal of Risk Regulation 506，507（2017）.和风险革命（the risk revolution）。Claudia Quelle， The ‘Risk Revolution’ in EU Data Protection Law： We cant Have Our Cake and Eat It too， in R. Leenes et al. （eds）， Data Protection and Privacy： The Age of intelligent Machines， Hart Publishing， 2017，p.10，10.基于风险的规制，风险路径和风险影响分析等风险规制工具不断被引入个人信息保护机制之中。不仅如此，风险规制路径也开始受到学界的关注。例如，有学者指出，风险规制将成为控制我们居住的数字“信息领域”风险的重要治理工具Alessandro Spina， A Regulatory Mariage de Figaro： Risk Regulation， Data Protection， and Data Ethics， 8 European Journal of Risk Regulation 88，94（2017）.，其他领域的风险规制理论究竟能否运用到个人信息保护之中被认为是一个紧迫的议题，风险规制给个人信息保护带来了一个范式转变Alessandro Spina， Risk Regulation of Big Data： Has the Time Arrived for a Paradigm Shift in EU Data Protection Law， 5 European Journal of Risk Regulation 248，248 （2014）.，甚至有学者提出应将风险预防原则适用于个人信息保护之中。Luiz Costa， Privacy and the Precautionary Principle， 28 Computer Law amp; Security Review 14，14（2012）; Claudia Som et al.， The Precautionary Principle as a Framework for a Sustainable Information Society， 85 Journal of Business Ethics 493，493（2009）; Joanna Mazur， Automated Decision-Making and the Precautionary Principle in EU law， 9（4） Baltic Journal of European Studies 3，3（2019）.

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）体现了风险规制的理念。“风险”这一概念在草案之中出现9次，在最终文本中出现4次。尤其该法第56条规定的风险评估机制，是重要的风险管理工具。不少学者也意识到个人信息保护的风险规制属性，风险的概念大量出现在相关研究之中。参见蔡星月： 《数据主体的“弱同意”及其规范结构》，载《比较法研究》2019 年第4期，第71-86页；高富平：《个人信息使用的合法性基础——数据上利益分析视角》，载《比较法研究》2019年第2期，第72-85页；周汉华：《个人信息保护的法律定位》，载《法商研究》2020年第3期，第44-56页；董储超：《论风险社会视域下个人信息保护公益诉讼的优化进路》，载《学术探索》2020年第12期，第117-127页；王怀勇、常宇豪：《个人信息保护的理念嬗变与制度变革》，载《法制与社会发展》2020年第6期，第140-159页。个别学者明确提出，应采取公法框架进行风险规制保护个人信息参见丁晓东：《个人信息私法保护的困境与出路》，载《法学研究》2018年第6期，第194-206页。，以风险治理为核心， 即将个人信息保护法律体系构建在对个人信息风险的管理和控制之上。参见刘权：《风险治理视角下的个人信息保护路径》，载《比较法研究》2024年第2期，第62-76页。对个人信息的保护是一种基于风险不确定性的预防性保护参见李忠夏：《数字时代隐私权的宪法建构》，载《华东政法大学学报》2021年第3期，第42-54页。，应在个人信息保护制度中适用风险预防原则。参见张涛：《风险预防原则在个人信息保护中的适用与展开》，载《现代法学》2023年第5期，第52-72页。

然而，上述研究仅提出了一个大体的思路。个人信息保护究竟何以构成风险规制？风险规制如何运用到个人信息保护之中？风险预防原则究竟如何运用？风险规制路径与绝对权利路径究竟是如何塑造个人信息保护机制的？在个人信息保护中，基于风险的规制（the risk-based regulation）参见赵鹏：《“基于风险”的个人信息保护？》，载《法学评论》2023年第4期，第124-125页。、风险规制（risk regulation），以及基于风险的路径（the risk-based approach）这些概念究竟是什么关系？这些问题对于我国目前个人信息保护机制的建构，尤其是《个人信息保护法》的实施，具有十分重要的意义，本文试图对此展开探讨。

二、个人信息保护机制的演变与风险规制

前文已指出，对于个人信息保护机制的理解存在风险规制和绝对权利这两种路径，这两个路径伴随着个人信息保护机制的演变而变化。尽管绝对权利路径在我国颇具影响力，但其在域外却没有完全占据主导地位。

（一）个人信息保护在产生时便有风险管理的特征

早在20世纪90年代，美国学者迈尔·舍恩伯格（Mayer-Schnberger）对欧洲数据法的历史梳理表明，数据保护在其诞生之初便是一种风险规制。Mayer-Schnberger， Generational Development of Data Protection in Europe， in P. E. Agre amp; M. Rotenberg eds.， Technology and Privacy： The New Landscape， MIT Press，1988，p.219，223.在他看来，第一代数据法产生的首要目的便是应对政府建立集中式数据库，运用计算机技术来处理数据的风险。在20世纪中期，计算机技术最初是被用于军事。而在当时，欧洲进行了大规模的社会改革，福利国家兴起，公民个人的风险防范责任越来越多地交给了政府去承担。这种国家责任的扩张意味着需要更加复杂的政府计划体系，而计划则需要数据。为此，政府必须不断地收集公民信息，进而完成其日益扩张的任务。此时，计算机的产生刚好为福利国家的运行提供了技术条件，可以说，没有计算机，现代福利国家将无法运转。

在这一背景下，各国政府开始建立集中式的中央数据库。在瑞典，人口普查和登记记录已经合并，税收数据存储在中央税收数据库中。20世纪60年代后期，瑞典立法机关提议将所有这些信息来源合并到一个国家信息库中。德国也有类似的计划，巴伐利亚州希望将1972年奥运会安装的计算机用于集中式巴伐利亚信息系统。黑森州1970年建议在黑森州政府中大量使用集中式信息处理。在联邦一级，德国建立了一个特别协调委员会，将计划中的市、州和联邦数据库连接到一个全面系统。

公共部门大规模的数据处理活动引发了广泛的社会焦虑，进而推动了早期的个人信息保护立法。对此，科林·贝内特（Colin J.Bennett）指出，这些新技术激发了公民的不信任感，类似于涉及另一种主要技术的技术：核电。Colin J.Bennett， Regulating Privacy， Cornell University Press， 1992， p.74.法国《数据保护法》诞生于公众对法国并购与信息管理系统（SAFARI）

计划的激烈反对之中。该计划原打算为所有公共注册记录、文档、大型数据库及计算机网络系统创建一个统一的、唯一的个人识别号码。与此同时，在瑞典，数据保护法规的制定是对众多数据处理活动及科技进步所作出的直接反应。触发因素可能是1970年的人口普查，再加上瑞典当时是计算机化程度最高的国家之一，特别是强大的行政和福利国家体制，使其已经了解了计算机化所带来的效率提升。德国之所以成为数据保护立法的先驱，主要是因为当时大型集成数据库的建立，以及其被用于管理活动。

因此，早期数据法是一项技术管理法，主要针对集中化的数据中心，目的在于控制数据处理操作过程中的不同环节。为此，数据保护法设置了大量复杂的程序机制来控制计算机技术的使用，在实质上构成了一种风险管理机制。考察早期的数据立法可以发现，它们均带有十分鲜明的技术管理法特征，甚至其中不少已经初步体现了风险规制的理念。例如，1980年经济合作与发展组织（OECD）《保护隐私和个人数据越境流动准则》及其备忘录多次提及“风险”和“危险”的概念。尽管数据法随着科学技术的进步和社会变迁也在不断升级换代，但其也存在一定的“层垒现象”，即不少之前产生的制度仍会一直保留下来。即便到了今天，绝大多数国家和地区的个人信息保护法在一定程度上均带有风险管理的技术特征，这可以说是一种早期印记。

（二）个人信息保护机制绝对权利路径的兴起

随着计算机信息技术的飞速发展和广泛运用，个人信息保护越来越受到重视，将个人信息作为一项独立的绝对权利来建构的努力也日渐开始，这就是所谓的绝对权利路径。但值得注意的是，这一路径无论是在制度还是学术层面均没有获得普遍的认可，个人信息权是否存在于学术层面还是一个饱含争议的问题，个人信息权的制度建构尚在努力之中。对此，有学者指出，个人信息权实际上是一个十分脆弱的权利。Gloria González Fuster， The Emergence of Personal Data Protection as a Fundamental Right of the EU， Springer， 2014， p.271.

个人信息作为一项独立权利首先出现在宪法领域。在德国，早在20世纪80年代，便有学者提出作为基本权利的数据保护（Datenschutz als Grundrecht）。Kloepfer， Datenschutz als Grundrecht， Verfassungsprobleme der Einführung eines Grundrechts auf Datenschutz， Athenum ， 1980， S.9ff.这一设想通过联邦宪法法院在“1983年人口普查案”中创设的信息自决权概念中得以实现。德国联邦宪法法院通过诉诸《基本法》第1条第1款之“人性尊严”及第2条第1款之“一般人格权”条款而导出了“信息自决权”。而在后续一系列判决之中，联邦宪法法院不仅明确强化了信息自决权的概念，还清晰地勾勒出这一权利的基本轮廓。参见赵宏：《信息自决权在我国的保护现状及其立法趋势前瞻》，载《中国法律评论》2017年第1期，第147-161页。不过，个人信息自决权作为基本权利仅在国家与公民之间发生效力，只有在这种关系之中才能够发挥传统的防御功能。Funke， Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht： Unter besonderer Berücksichtigung der Datenschutz-Grundverordnung， Nomos， 2017， S.37.对于私人之间的数据关系，合同法发挥主要作用。“在宪法意义上，信息自决权关注于使得自己的个人信息免受监控和审查，而在私法意义上则关注于对自己个人信息的自由转让和商业利用。”谢远扬：《个人信息的私法保护》，中国法制出版社2016年版，第122页。在德国学者看来，一个类似于一般人格权那样的私法上的信息自决权是没有必要的。Funke， Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht： Unter besonderer Berücksichtigung der Datenschutz-Grundverordnung， Nomos， 2017， S. 37.近年来，更是有人系统反思信息自决权的正当性，认为其正在失去吸引力。Svenja Behrendt， Entzauberung des Rechts auf informationelle Selbstbestimmung： eine Untersuchung zu den Grundlagen der Grundrechte， Mohr Siebeck， 2023.在特定情形下，信息自决权可通过基本权第三人效力对私人之间的数据关系发生作用。

随着欧盟一体化程度的推进，欧盟逐渐在欧洲成为数据立法的主导者。由于一直以来高度重视数据保护，而且受到德国信息自决理念的影响Maria Tzanou， Data protection as a fundamental right next to privacy？ ‘Reconstructing’ a not so New Right， 3（2）

International Data Privacy Law 88，89（2013）.，欧盟也开始致力于发展作为基本权利的数据保护 （data protection as fundamental right）。作为一项基本权利，它正通过欧洲法院近期的判决和立法措施得到快速扩张。欧盟立法者试图确立作为一项基本权利的个人信息保护权。Christopher Kuner， Lee A. Bygrave， Christopher Docksey， The EU General Data Protection Regulation

（GDPR）： A Commentary， Oxford University Press， 2020， p. 208. 与德国不同的是，欧洲法院并未注意到基本权利第三人效力的问题。从理论上来说，欧盟《宪章》规定的基本权利仅在国家与私人之间发生作用。而在实践中，法院经常将其运用到私人关系之中，却并未对此作任何论证，这从结果上构成了一种私法上的个人信息保护权利。Eleni Frantziou， The Horizontal Effect of Fundamental Rights in the European Union： A Constitutional Analysis， Oxford University Press，2019，p.155.

以上便是比较法上将个人信息作为绝对权利进行保护的努力。然而，这一努力尚在进行之中，且受到激烈的批判与反对。一方面，私法上建构绝对权利在域外基本找不到任何实践支撑。德国学者明确指出，没有必要建构一个民法意义上的信息自决权，也没有必要建立民法意义上的一般人格权。Funke， Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht： Unter besonderer Berücksichtigung der Datenschutz-Grundverordnung， Nomos，2017， S.37.唯一类似的机制便是欧洲法院将个人信息保护权适用于私人关系之间，但这一做法本身在法理上便难以成立，因为基本权利原则上仅适用于国家和公民之间。另一方面，即便在宪法上建构绝对权利也受到了激烈的批判。这一努力的例证主要包括两个：一是德国的信息自决权，二是欧盟《宪章》确立的个人信息保护权。就信息自决权来说，其在近年来受到激烈的批评，被认为既无可能，也无必要，且完全难以满足时代发展的需求。参见［德］弗里德里希·肖赫：《信息社会背景下的信息自决权》，查云飞、阮爽译，载《北京航空航天大学学报（社会科学版）》2015年第6期，第45-56页。就个人信息保护权来说，其基本权属性也被不少学者否定。

Sloot， Legal fundamentalism： Is Data Protection really a Fundamental right， in R Leenes， eds， Data protection and privacy ： （In）visibilities and infrastructure， Springer， 2017，p.3，28.

总之，绝对权利也是理解个人信息保护机制的主要路径之一，但在域外并不是主流。就欧盟《一般数据保护条例》（GDPR）来说，其尽管强调个人信息保护权的概念，但正如有学者指出的那样，更多地还是一部规制法。Sloot， Legal fundamentalism： Is Data Protection really a Fundamental right， in R Leenes， eds， Data protection and privacy ： （In）visibilities and infrastructure， Springer， 2017，p.3，28.在具体机制设计之中，最能体现绝对权利路径的是第82条关于数据损害赔偿责任的规定，其规定了一般只存在于人格权侵权中的非物质损害赔偿。有学者对欧盟所有成员国的相关判决进行统计，发现在GDPR颁行的4年里，只有8份判决讨论了个人信息非物质损害赔偿的问题，而这8份判决中仅有4份判决属于原告的主张得到法院支持的情形。在德国，根据目前的统计，GDPR第82条在司法实践中起着非常次要的作用，相关判决十分少见，法院认定的赔偿金额很少。Schwartmann/Jaspers/ Thüsing/Kugelmann， DS-GVO/BDSG Kommentar， 2. Aufl. 2020， Art. 82， Rn. 15. 而在2020年，德国部分法院还出现了采取类似于美国惩罚性赔偿机制的做法，赔偿额度有所增加。不过，这一转向背后的原因仍是考虑到执法力量的不足，通过加大民事赔偿数额来保障GDPR的实施。这表明，至少从目前来看，非物质损害赔偿机制呈现失灵趋势，这间接说明了个人信息权与传统民事权利的不同。

（三）风险规制理念在个人信息保护中的强化

近年来，随着数字时代的来临，个人信息保护的绝对权利路径越来越难以应对数字技术的不断发展。风险规制理念在个人信息保护之中得到强化，风险规制工具开始在个人信息保护之中得到运用，这主要反映在GDPR之中。这一趋势被学者称为数据保护的风险化和风险革命，还有学者认为，风险规制给个人信息保护带来了一场范式变革（paradim shift）。具体来说，这种风险化表现在GDPR第24条规定的数据控制者基于风险的责任、第25条规定的通过设计的数据保护及默认的数据保护和第35条规定的数据保护影响评估。以上三种机制环环相扣，相互协调，构成了所谓的“风险三角”。Claudia Quelle， Enhancing Compliance under the General Data Protection Regulation： The Risky Upshot of the Accountability- and Risk-based Approach， 9 European Journal of Risk Regulation 502，505（2018）.

GDPR第24条和第25条确立了所谓的基于风险的方法（the risk-based approach），即数据控制者必须以考虑到数据主体的自由和权利风险的方式来实施法律。为了达到这一目的，GDPR第24条规定了控制者基于风险的责任，而第25条第1款则规定了数据控制者应采取的措施，主要包括通过设计的数据保护和默认的数据保护，以履行其责任。从条文表述来看，两项规定均涉及处理的性质、范围、背景和目的及风险的可能性和严重性，风险似乎并不是数据控制者履行责任的唯一参考因素。但事实上，性质、范围、背景和目的均构成了衡量风险的参数。换言之，在基于风险的路径下，风险是数据控制者履行责任的主要基准，数据控制者有责任根据风险程度以一种符合比例和平衡的方式校准其对GDPR规则的执行。而GDPR第35条规定的数据保护影响评估（DPIA）则要求数据控制者在从事风险较高的数据处理活动时应开展风险评估，直接为第24条和第25条的实施创造了条件。

个人信息保护法律中基于风险的路径源自规制理论中的基于风险的规制。参见刘鹏、张嵛楠、王力：《基于风险的政府监管：理论发展与实践应用》，载《中国行政管理》2024年第3期，第111-124页。其本质在于为规制执行提供一个合比例的和适应性的模型，允许监管机构为选择性策略设定优先顺序和提供理由。Robert Baldwin， Martin Cave， Martin Lodge， Understanding Regulation： Theory， Strategy and Practice， Oxford University Press， 2012， p. 281.尽管基于风险的规制因不同领域、不同国家和复杂性而异，但它们存在一个共同的前提，即承认完全消除所有风险是不可能的。因此，重点在于确定监管机构所要管理的风险，而不是对受监管主体强制执行所有规则。这一方法能够解决问责的问题，因为被监管者定义为可承受的风险即被认为在政策上是可以接受的，一旦发生，就不应指责。在瞬息万变的技术环境中，基于风险的这种防御立场对于新技术的监管者变得越来越重要，因为它们在干预方面不可避免地落后。在引入个人信息保护领域之前，基于风险的规制在健康、安全和环境保护等诸多领域已经得到了广泛的运用。不过，不同于以往规制经验的是，GDPR中基于风险的规制是通过作为私人企业的数据控制者实现的。

风险规制方法的运用并不局限于GDPR，在近年来的不少个人信息保护立法之中也有所体现。例如，亚太经合组织隐私框架（The APEC Privacy Framework）、经济合作与发展组织《保护隐私和个人流据越境流动的准则》和加拿大《个人信息保护与电子资料法》。Raphal Gellert， The Risk-Based Approach to Data Protection， Oxford University Press， 2020， p.203-205.在我国，风险规制也体现在个人信息保护规则之中。在《个人信息保护法》中，风险的表述先后在第51条、第56条和第64条这三个条文中出现4次，其中不少初步体现了风险规制的理念。该法第51条要求个人信息处理者履行义务，其中须考虑的因素便包括安全风险，这与GDPR第24条所确立的基于风险的方法存在类似之处。而《个人信息保护法》第56条更是确立了风险评估机制，要求个人信息处理者在特定情形下进行事前的风险评估，是一种典型的风险规制工具。

三、个人信息保护作为风险规制的原理

上文通过历史梳理发现，风险规制的理念一直贯穿于个人信息保护机制之中。而在数字时代，因应大数据、区块链、人工智能、云计算、物联网及虚拟现实等数字技术的进步，风险规制路径进一步发展。接下来的问题是，个人信息保护机制何以构成风险规制呢？这背后的原理究竟是什么？本部分对这一问题进行讨论。

（一）风险规制的概念与框架

要厘清个人信息保护何以构成风险规制，就有必要明晰风险规制的概念。风险规制是近几十年来国内外行政法学界关注的重点之一，相关研究已经为数不少，但很少有研究对风险规制本身作出界定。

在域外，克里斯托弗·胡里（Christopher Hood）等人将风险规制定义为“政府干预市场或社会流程以控制潜在的不良后果”Christopher Hood， Henry Rothstein， Robert Baldwin， The Government of Risk： Understanding Risk Regulation Regimes， Oxford University Press， 2001， p.3.。在他们看来，风险规制可以从两个层面来理解。一方面，基于控制理论，风险规制由三个要素组成：标准制定（standard-setting）、信息收集（information-gathering）和行为矫正（behaviour-modification）。另一方面，风险规制还可以区分为制度背景（regime context）和制度内容（regime content）。所谓制度背景是指进行规制的背景或环境，例如，被处理风险的不同类型和水平，公众对于风险的偏好和态度，以及产生或受危害影响的各种行为者的组织方式。所谓制度内容则是指直接参与规制风险的政策设置、国家和其他组织的结构，以及规制机构的态度、信念和操作惯例。在我国，赵鹏教授将风险规制定义为“设立专业的行政机构，对可能造成公共危害的风险进行评估和监测 ，并通过制定规则、监督执行等法律手段来消除或者减轻风险”赵鹏：《风险社会的自由与安全——风险规制的兴起及其对传统行政法原理的挑战》，载《交大法学》2011年第1期，第43-60页。。

从上述界定中不难看出，风险规制的概念实际上可以从“风险”和“规制”这两个要素入手去理解。只要理解什么是风险，以及如何对其进行规制，风险规制的概念也就水落石出了。但由于学界对什么构成风险，以及如何对风险进行规制本身存在不同的看法，风险规制的概念也就难以统一。因此，本文也从风险和规制这两个角度去讨论个人信息保护是如何构成风险规制的。一方面，需要论证个人信息保护所针对的风险是否构成风险规制意义上的风险；另一方面，需要讨论个人信息保护机制是否符合风险规制的特征。

（二）个人信息保护中的“风险”

对于风险规制中的风险，赵鹏教授主要从客观性维度将其界定为“某种因素引发某种损害结果的可能性，而这种可能性在科学认知上具有大量不确定性”赵鹏：《风险社会的行政法回应：以健康、环境风险规制为中心》，中国政法大学出版社2018年版，第11页。。在他看来，风险定义主要包括两个关键要素，损害的可能和因果关联。一方面，风险与损害密切相关，如果对未来的结果不会造成任何损害，则无论不确定性有多大，都不构成风险；另一方面，风险体现为某种风险因素与某种损害后果的因果关联。而不确定性则是风险的本质特征，具体表现为某种损害是否可以归责于某种原因的不确定性、损害大小规模的不确定性和损害发生概率的不确定性。金自宁教授则在此基础之上强调风险概念的主观性面向。她指出，并非所有现实存在的风险都会成为风险规制对象，建构意义上的风险才是风险规制的真正对象。只有那些已被认知且被认定为重要等级的风险，才会成为风险规制的对象。参见金自宁：《风险中的行政法》，法律出版社2014年版，第11页。也就是说，风险也具有主观维度。由此可发现，风险既有客观维度又有主观维度，是一个主客观相统一的概念。

那么，个人信息保护之中究竟存在何种风险？这些风险能否构成风险规制意义上的风险呢？实际上，个人信息风险一直以来便受到国内外学界的关注。风险社会的提出者，德国著名学者乌尔里希·里查德·贝克（Ur. Richard Baker）在2014年接受采访时，对现代社会的数字风险这一问题发表了自己的看法。他提出了“数字风险”这一概念，并指出，数字风险是“现代社会面临的最重要的风险之一”，其与传统风险一样能够导致灾难性的后果，尤其是给公民的隐私和表达自由带来打击。

近年来，不少学者开始系统探讨个人信息保护之中风险的概念。

拉斐尔·盖勒特（Raphal Gellert）更加具体地提出了数据保护风险（data protection risk）的概念，对其进行了深入的阐释。他根据韦尔报告指出的三种计算机风险，提出了数据保护的三个风险因素：由于处理能力增强而与日俱增的数据处理量、由于数据互联性的增强而与日俱增的不透明的数据使用和新产生的专家——技术人员——的崛起，以及新的、先发制人的管理实践。

Raphal Gellert， The Risk-Based Approach to Data Protection， Oxford University Press， p.239，239-244（2020）.

在他看来，风险因素导致了风险的发生，而风险进一步带来了损害，由此形成了风险因素（risk factor）—风险（risk）—损害（harms）的链条。

Raphal Gellert， The Risk-Based Approach to Data Protection， Oxford University Press， p.239，240（2020）.

斯特凡·德拉克特（Stefan Drackert）更是在其专著《个人信息处理中的风险》中对个人信息保护中的风险进行了系统探讨，并作出宏观风险和微观风险的二元划分。宏观风险（结构性风险）主要包括社会政治风险和经济风险，微观风险则主要包括个人对刑事犯罪的脆弱性增加、耻辱感和因展示而受损失的感觉、由于选择性而造成的损害（歧视和污名化）、信息的持久性、去语境化、信息的出现和有缺陷的信息。Drackert， Die Risiken der Verarbeitung personenbezogener Daten， Duncker amp; Humblot， 2014， S. 322f.

本文认为，个人信息风险主要包括宏观风险和微观风险，而微观风险可以进一步区分为技术层面的信息安全风险和法律层面的权利风险。这两种微观风险均可能导致大规模系统性的社会风险，即宏观风险。信息安全风险主要由《中华人民共和国数据安全法》来防范，《个人信息保护法》则主要针对的是权利风险，即个人信息处理过程中对公民人身权、财产权和人格权等诸多权益面临的风险。个人信息风险规制不同于食品安全、核能和环境等传统风险规制的主要特征也正在于此，即前者针对的对象是权利风险，而后者则主要针对物理风险。

（三）个人信息保护中的“规制”

在近几十年来，风险规制在实践中得到广泛运用，相关研究也十分丰富。至今，就如何规制风险这一问题，理论界与实务界已经达成了一定的共识，风险规制已经形成了独具特色的规制结构。风险规制由三个要素组成：标准制定、信息收集和行为矫正。而

对世界各国个人信息保护机制考察后发现，其完全符合这一风险规制的框架，即包含标准制定、信息收集和行为矫正这三个要素。本文试图以GDPR和《个人信息保护法》为考察样本，探讨个人信息保护机制是如何符合风险规制框架的（见表1）。

就标准制定来说，其是个人信息保护机制的核心，主要体现为个人信息保护原则。根据GDPR的规定，其主要体现在第6条、第7条和第9条。GDPR第6条规定了数据处理原则，主要包括合法性、合理性、透明性、目的限制、数据最小化、准确性、限期储存、数据的完整性与保密性和可问责性。这一条文脱胎于1995年《欧盟数据指令》第6条，而该条的名称便是“与数据质量有关的原则”。GDPR第7条则规定了数据处理的正当性基础，主要包括数据主体的同意。《个人信息保护法》中同样存在标准制定条款，主要包括第5条（合法、正当和诚实信用）、第6条（目的明确合理、数据最小化）、第8条（准确）、第13条（正当性基础，包括同意、合同、法定义务、突发事件和公共利益）。

就信息收集来说，其在个人信息保护之中也扮演着十分重要的角色。无论是GDPR还是《个人信息保护法》均规定了数据控制者向监管机构报告对个人数据泄露的义务，这都是监管机构的信息收集活动。此外，风险影响评估也构成了重要的信息收集机制，这一机制分别规定在GDPR第35条和《个人信息保护法》第56条。与GDPR相比，《个人信息保护法》没有规定风险评估的提前咨询机制。这一机制是指当GDPR第35条所规定的数据保护影响评估表明，如果控制者不采取措施，处理会带来高风险，那么，控制者应当在处理之前咨询监管机构。从信息收集角度来说，GDPR的规定强化了监管机构与数据控制者之间的信息交流，显然更加完善。

就行为矫正来说，其是指对相关主体的行为进行控制，这在个人信息保护机制之中十分普遍。“行为矫正”也被称为“控制”，目的在于降低风险，减轻风险的幅度或防止发生预期的危害。首先，最具有代表性意义的，也是较为极端的手段是禁止制度，即个人信息保护法律直接禁止一些具有较高风险的数据处理行为。例如，GDPR第9条对特殊类型的个人数据处理行为予以禁止。其次，个人信息保护法律中对数据控制者设定的诸多义务和规定的行为准则在一定程度上也是一种行为矫正。例如，GDPR第24条规定了数据控制者在考虑了处理的性质、范围、语境与目的，以及考虑了处理对自然人权利与自由所带来的不同概率和程度的风险后，应当采取恰当的技术与组织措施的责任。GDPR第40条更是鼓励监管机构以软法的形式规定数据控制者的行为准则。最后，个人信息保护中的行政处罚对数据控制者具有震慑作用，进而也具有了行为矫正的功能。

通过上述分析可发现，个人信息保护完全符合风险规制框架。事实上，从包括食品安全、环境等其他领域的风险规制经验来看，个人信息保护机制也在诸多方面符合风险规制的特征。例如，公众参与是任何风险规制的共同特征，而个人信息保护在制度设计上也充分体现了高度的公众参与。建立一个专业化的独立规制机构也被认为是规制风险的必要手段，这在个人信息保护之中也十分常见。此外，风险规制之中的情景理论金自宁教授为了解决风险预防原则与成本收益分析之间的紧张关系，创造性地提出了情景理性理论，参见金自宁：《风险中的行政法》，法律出版社2014年版，第77页。与个人信息保护中的场景理论无论在内容还是精神上均是一致的。从规制模式上来说，风险规制强调规制去中心化和合作治理，这在《个人信息保护法》之中也能得到体现。参见谢尧雯：《个人信息保护企业合规规制的建构》，载《法商研究》2024年第2期，第57-71页。尤其是《个人信息保护法》第58条的超大型平台设立监督个人信息保护独立机构义务的规定，淋漓尽致地体现了元规制的理念。参见刘绍宇：《超大互联网平台中个人信息保护独立监督机构的元规制论》，载《重庆理工大学学报（社会科学）》2023年第5期，第127-140页。从规范手段上来说，风险规制侧重于软法之治参见金自宁：《风险中的行政法》，法律出版社2014年版，第44页；沈岿：《风险交流的软法构建》，载《清华法学》2015年第6期，第45-61页。，而目前个人信息保护机制之中，包括行业规定、自治规范、标准和行为准则等在内的各种类型的软法，GDPR甚至明文鼓励监管机构以软法的形式规定数据控制者的行为准则。从规制工具上来说，风险规制主要包括风险评估、风险管理和风险信息交流，这些机制也存在于个人信息保护法律之中。

四、个人信息保护风险规制路径的不足、成因与完善

个人信息保护的风险规制路径并非完美，还存在一些缺陷，因此，也受到各界的诟病。那么，这些不足究竟为何会产生？又如何克服？本文在下文试图揭示其不足，并在此基础之上分析其成因，进而提出可能的完善路径。

（一）个人信息保护风险规制路径的不足

风险规制路径的不足主要源于两个方面：一是风险概念本身的不确定性，二是风险规制的去中心化特征。界定风险的概念是构建风险规制体系的基石。在构筑个人信息保护的风险监管框架时，风险定义的理解和应用是一条不断延伸的线索，它从基础理念出发，渗透至具体的规范和操作之中。然而，现实情况表明，个人信息的风险性仍然是一个充满不确定性的议题。自然科学家对风险采取理性主义的态度，一般将风险视为一种客观的、可测量的现象。他们侧重于识别风险、风险原因、风险预测模型和个人对风险的反应，或就如何限制风险的影响提出建议。专家知识和科学计算在这一技术科学方法中占主导地位。与技术科学方法相反，社会科学家将风险称为一种社会文化现象。风险被视为人类承担的文化和社会建设风险，而不是可以量化和衡量的理所当然的客观条件。社会科学家们通常倾向于强调从中获得风险含义的更广泛的社会、文化和政治背景。对风险的理解是通过社会解释建立的，并且始终与群体的价值观和利益联系在一起。

在风险规制的领域中，对风险的理解往往带有主观色彩。这种主观性意味着风险的评估并不总是能够通过客观的定量方法来准确测量，特别是在个人层面上。个人对风险的感知通常是基于个人的经历、年龄和认知能力。例如，年轻人可能对新技术的风险感知较低，而年长者可能更加谨慎。此外，集体层面的因素，如教育背景、文化价值观和监管环境，也在很大程度上影响了人们对风险的认知。不同的社会和文化背景可能导致对同一事物的风险评价大相径庭。因此，要全面理解和准确测量风险，需要考虑这些复杂的个人和社会因素，这是一个极具挑战性的任务。

正是由于风险概念的不确定性，数据控制者很难精准地界定概念。尤其是个人信息保护的元规制结构中，数据治理的主要任务由数据控制者来完成，其拥有巨大的裁量空间。其裁量的主要基准便是风险，而由于风险概念的不确定性和主观性，个人信息保护机制很可能陷入不均衡的状态，不同数据控制者采取的数据保护强度会出现很大的差异。如果不能充分定义和评估对个人的风险，风险规制就可能会降低数据保护水平。正如林斯基（Lynskey）所指出的，存在一种担忧，即数据控制者、处理者将低估某些个人数据处理带来的风险，从而导致规则执行不足。Orla Lynskey， The Foundations of EU Data Protection Law， Oxford University Press， 2015， p. 86.此外，法院也难以对数据控制者的风险决策行为进行审查。

在极端情形下，数据保护甚至沦为走过场的活动。对此，不少学者表达了深深的担忧。例如，郭尔（Quelle）指出，以元规制形式呈现的风险影响评估可能被用作“口头上说说而已”，使侵入性处理操作合法化，而没有提供我们希望看到的实质性保护。Claudia Quelle， Enhancing Compliance under the General Data Protection Regulation： The Risky Upshot of the Accountability- and Risk-based Approach， 9 European Journal of Risk Regulation 502，524（2018）. 冈卡尔维斯（Gongalves）指出，基于风险的方法作为将数据保护问题主要交给数据控制者来决定的关键执行方法，在其有效性方面肯定值得商榷。ME Gongalves， The EU Data Protection Reform and the Challenges of Big Data： Remaining Uncertainties and Ways Forward ， 26（2） Information amp; Communications Technology Law 90， 114（2017）.库普斯（Koops）指出，GDPR是否过于相信控制人的行动，以及他们评估风险和防止不必要的数据处理的能力和地位，是十分值得注意的。在他看来，只要数据控制者对数据保护不上心，强制性的数据保护影响评估只会沦为一个走过场的纸质清单（paper checklists）。Bert-Jaap Koops， The Trouble with European Data Protection Law， 4（4） International Data Privacy Law 250，255（2014）. 鲍威尔（Power）还提出机构风险的概念，认为整个风险管理过程可能会转变为一种自我合法化的做法，除了管理运营和声誉风险外，它没有其他目的，这本身构成了对风险管理的风险。

总之，由于风险概念难以克服的不确定性和主观性，加上个人信息保护元规制的治理结构缺陷，风险规制路径很容易导致数据保护的不均衡和形式化，数据主体的数据权利很难得到有力保障。

（二）个人信息保护风险规制路径不足的成因

正是由于上述不足，风险规制路径也受到了学界的批评。那么，如何克服风险规制路径的不足呢？本文认为，风险规制路径之所以受到诟病，一方面是因为其的确存在难以克服的不足，另一方面也和过于强调其风险管理属性有关。实际上，个人信息保护的风险规制路径并非完全摒弃传统的个人信息保护原则和权利，而将个人信息保护完全视为一种风险管理机制。

在GDPR制定过程中，对于采取基于权利的路径还是基于风险的路径的争论贯穿始终。所谓基于权利的路径，是指对每个人都适用相同的规则，而不管其风险或损害的程度，保持对所有人的最低和不可协商的保护水平。该路径是个人信息保护的路径之一，在GDPR之中有充分的体现，例如知情同意原则、数据权利及数据处理的原则。而基于风险的路径则是评估预期的数据处理操作所带来的风险，同时，在此基础上决定是否进行风险防控操作。从这个意义上来说，它与基于权利的方法的完全对应，因为它是基于风险的高低及危害和利益的计算来确定的。也就是说，基于风险的方法提供的保护在定义上是不均衡的，因为它直接取决于每个特定处理操作的风险级别。Raphal Gellert， The Risk-Based Approach to Data Protection， Oxford University Press， 2020， p. 29.GDPR的主要创新之处便在于引入了该路径，因而，其也体现于具体条文之中，如前文所述的风险三角规定。

然而，由于上述原因，基于风险的路径受到了激烈的批评。对此，拉斐尔·格尔尔特（Raphal Gellert）从法与规制的角度出发作出了一个全新的解释。在他看来，这两种路径实际上都是风险规制的方式，只不过具体做法有所不同而已。基于风险的方法以语境化的和量身定制的方式管理风险，而基于权利的方法则从一开始就一劳永逸地管理风险。他指出，基于权利的方法体现了风险规制中的预防原则，即在风险程度不确定的情况下，提前采取风险预防措施，保证最低限度的风险预防水平。基于风险的方法则体现了风险规制中的风险管理原则。Raphael Gellert， We Have Always Managed Risks in Data Protection Law： Understanding the Similarities and Differences between the Rights-Based and the Risk-Based Approaches to Data Protection， 2 European Data Protection Law Review 481，492（2016）.这样一来，目前GDPR既不是绝对权利保护法，也不是纯粹的风险管理法，而是一个同时运用了权利保护和风险管理的风险规制法。

上述分析的启示是，学界对风险规制路径的批评，实际上主要是对其风险管理特征的批评。只要不摒弃传统基于权利的路径，坚持权利保护和风险管理这两种手段并用，风险规制路径的不足便会被限制在一定程度内，这实际上也是风险规制的应有之义。这意味着，传统的知情同意原则、数据保护原则和数据权利规定尽管不一定符合目前大数据时代的现实需求，但对保障最低程度均质化的数据保护仍有存在的必要。不过，为了适应数字技术的不断发展，个人信息保护原则应做风险导向调适。

（三）个人信息保护风险规制路径的完善

通过上述分析可以发现，个人信息保护风险规制路径并不是意味着完全抛弃传统的原则和权利规则，而完全转向风险管理，而是应发挥两者优势，形成合力。

1.个人信息保护风险预防原则的引入

所谓风险预防原则（precautionary principle）是指要求决策者对不确定性引发的问题保持特殊注意的一项原则参见赵鹏：《风险、不确定性与风险预防原则——一个行政法视角的考察》，载姜明安主编：《行政法论丛》第12卷，法律出版社2009年版，第187-211页。，是风险规制的基本原则。既然将个人信息保护视为一种风险规制机制，那么，风险预防原则必然有适用余地。例如，乔安娜·莫扎娜（Joanna Mazur）认为，人为干预对自然环境造成危害的不确定性和数字决策中自动决策技术的发展对人类生活的某些方面造成的危害之间存在相似性，对自然环境至关重要的欧洲环境法与对数字环境至关重要的欧洲数据保护法之间也存在相似性。由于数据保护法已经在环境法中采取了一些措施，如影响评估和信息获取权，她试图进一步思考环境法对数据法还有哪些可资参考的机制。在她看来，可以考虑将环境法中的风险预防原则引入数据法之中，其可同时应用于自然环境和数字环境的不确定性。Joanna Mazur， Automated Decision-Making and the Precautionary Principle in EU Law， 9（4） Baltic Journal of European Studies 3，3（2019）.在我国，王锡锌教授也强调应在《个人信息保护法》中引入预防原则，并认为要将其进一步进行制度建构和细化。参见王锡锌：《个人信息国家保护义务及展开》，载《中国法学》2021年第1期，第146-166页。笔者在讨论数字政府个人信息保护时也主张引入风险预防原则。参见刘绍宇：《论数字政府建设中个人信息保护的风险规制路径》，载《财经法学》2023年第2期，第51-57页。

本文认为，我国在个人信息保护领域引入风险预防原则应把握两点。第一，对于具有高度不确定性的数字技术，尤其是一旦造成后果便无法挽回的技术运用，政府应提前介入，避免产生难以消除的后果。近年来，人脸识别技术在国内外得到广泛的应用。事实上，作为一项新技术，人脸识别的风险具有高度的不确定性，其造成的损害一旦发生很可能是难以挽回的。一旦造成因信息泄露而危害当事人的结果，影响将是长期的。而这种生物信息究竟未来能够被用来何种目的，目前尚存在不确定性，甚至可能危害国家安全。对于这种存在巨大不确定性风险的新技术，基于预防原则，政府有义务提前介入，避免公民暴露在这种风险之中。第二，注重风险预防与产业创新的平衡，尤其是对于新业态和新技术，不应严格适用传统法律规则，否则，会带来过度预防的后果，影响产业发展。例如，近年来不少国家对生成式人工智能通过个人信息保护机制予以规制，可能会产生限制产业发展的风险。

2.个人信息保护原则和权利风险导向的调适

个人信息保护的风险规制路径并不意味着权利路径的完全放弃。这一方面是避免个人信息保护直接演变为风险管理，导致数据保护的不均衡甚至彻底失灵，另一方面，也和《民法典》人格权编已经将个人信息视为人格权益有关参见林洹民：《问责原则与安全原则下的个人信息泄露侵权认定》，载《法学》2023年第6期，第104-117页。，个人信息的民法属性在我国理论和实务中已经得到广泛认可，不少学者已经依循民法路径对个人信息保护中的原则和权利展开研究。参见萧鑫：《个人信息权的分析与建构》，载《法学研究》2023年第4期，第104-117页。在数字时代，随着数字技术的迅猛发展和广泛应用，个人信息的收集、处理和利用变得更加普遍和复杂。然而，严格的个人信息保护原则和权利虽然在保护个人隐私和数据安全方面发挥了重要作用，但在某些情况下可能显得不够灵活，难以适应技术进步带来的新挑战和新需求。为了更好地应对这些挑战，有必要引入风险治理的理念，对现有的个人信息保护原则和权利进行风险导向的解释和调整。这意味着在个人信息保护的实践中，应当更加关注和评估各种处理活动可能带来的风险，而不是简单地禁止或限制所有可能的风险行为。

近年来，包括互联网、大数据、人工智能、云计算和区块链等数字技术给个人信息保护原则和权利造成了冲击，学界对此展开了深入的探讨。学者

们

普遍认为，应对这些规则调整适用，尤其是应融入风险场景的考量。参见刘绍宇：《论数字政府建设中个人信息保护的风险规制路径》，载《财经法学》2023年第2期，第51-67页。而近年来，以ChatGPT为代表的生成式人工智能技术的兴起，给包括知情告知原则、最小必要原则和目的限制原则等在内的个人信息保护原则，以及包括删除权参见林北征：《没有删除，只能遗忘：AI大模型个人信息保护删除义务的解释与重构》，载《西安交通大学学报（社会科学版）》2024年第3期（网络首发）。、更正权、被遗忘权等在内的个人信息权利，均带来了严峻的挑战，数据合规工作在生成式人工智能这一技术领域更是面临

诸多难题。参见姚佳：《人工智能的训练数据制度——以“智能涌现”为观察视角》，载《贵州社会科学》2024年第2期，第51-57页。为了解决这些难题，学界提出，在风险规制理念下对个人信息保护原则和权利予以风险导向的调适。参见钭晓东：《风险与控制：论生成式人工智能应用的个人信息保护》，载《政法论丛》2023年第4期，第59-68页。

3.个人信息保护风险规制体系的建构

一般来说，风险规制体系主要包括风险管理、风险评估和风险交流这三大部分。在风险规制路径下，个人信息保护也应着力于从这三个方面展开。对于风险管理机制，《个人信息保护法》在第51条予以了明确规定，要求个人信息处理者制定内部管理制度和操作规程、对个人信息实行分类管理和展开培训等。对于风险评估机制，《个人信息保护法》借鉴GDPR第35条在第56条规定了风险评估条款。换言之，我国个人信息保护在风险管理和风险评价这两个制度方面较为完善，但在风险交流机制上较为欠缺。风险交流（risk communication）是指风险信息的沟通，在风险规制中具有不可或缺的作用。参见沈岿：《风险交流的软法构建》，载《清华法学》2015年第6期，第45-61页。具体来说，风险交流是指由政府机构主导，在专家和公众之间建立一定的交流平台，如互联网、媒体等，使专家和公众可以相互交换风险信息和观点，帮助公众克服风险信息认知中的障碍和偏见；同时，也使公众对风险认知的价值判断成为风险规制机构作出风险决策的考量因素，从而弥补专家知识与公众认知之间的信息不对称。

具体来说，我国应从三个方面设置个人信息保护风险交流机制参见金自宁：《风险规制中的信息沟通及其制度建构》，载《北京行政学院学报》2012年第5期，第83-88页。：首先，建立个人信息保护风险交流的责任机制。与食品安全、环境保护和核能监管等规制领域不同，在个人信息保护的规制架构中，数据控制者在一定程度上成为了规制者

。数据控制者应承担主体责任，充分向消费者提示风险和传达数据信息，并向监管机构报告风险信息。政府则应承担保障责任，通过立法的形式建立个人信息保护风险交流机制，明确各方责任，为利益相关者的风险交流搭建平台，成为风险交流的组织者。其次，探索个人信息风险交流工具。在环境规制中，美国政府曾引入TRI，即有害物质排放目录制度，取得了巨大的成功。考察各国做法，风险信息交流一般来说是借助软法。在《个人信息保护法》中，应充分发挥软法作用，实现风险信息交流，

如制定“个人信息风险交流指南”。此外，还有人提出开发一种安卓程序，来对手机App收集个人信息的行为进行实时监控。一旦有App收集手机中的个人信息，这一软件便会提醒。在他们看来，这是一种新的隐私风险交流工具，因此，在个人信息保护机制之中，风险信息交流工具不仅包括具体制度，还包括技术手段。最后，应准确定位风险信息交流中的专家角色和公众参与方式。在人脸识别技术兴起早期，我国社会公众整体上来说基本没有意识到其风险。正是在专家和社会公众的不断互动之中，社会逐渐意识到人脸识别技术的风险。这也得到了政府的回应，开始致力于整顿随意运用人脸识别技术的乱象，并在立法上对生物识别信息予以特别保护。

4.个人信息保护风险规则策略的应用

既然承认个人信息保护是一种风险规制机制，那么，以往风险规制实践所积累的经验策略均有可能被适用。在包括食品安全、核能监管、化学品监管和环境保护等典型风险规制领域中，合作规制、技术治理、试验规制、标准和通过设计的保护等规则策略发挥着重要作用，而它们在个人信息保护领域也有广阔的适用空间，甚至扮演了更加关键的角色。例如，与传统风险规制领域相比，个人信息保护机制更侧重合作规制，甚至可以被认为是一种私人规制。尤其是依托于企业内部自我管理的元规制机制，构成了个人信息保护监管体系的特色。除此之外，由社会主体展开的个人信息保护认证、评估和审计机制也体现了社会自我规制，也是合作规制的重要表现。

技术治理在个人信息保护中也发挥了更为重要的作用，主要体现为两个方面：一是通过设计的安全的机制，即将合规要求融入产品设计过程之中，形成通过设计的个人信息保护（data protection by design）。这种方法体现了技术治理的核心理念，即通过预防性措施而非事后应对来确保数据安全和隐私保护。在通过设计的个人信息保护这一框架下，企业在产品研发的每个阶段都考虑到隐私影响，从需求收集到系统设计，再到实施和后期评估各阶段，确保个人信息得到妥善处理。这不仅涉及技术层面的加密、访问控制和数据匿名化等措施，还包括对用户隐私偏好的尊重、透明性提升及隐私政策的清晰沟通。二是数据合规科技，即为了满足个人信息保护合规要求的科技产品，其在个人信息保护领域得到了大量应用，如隐私计算技术、软件即服务（

software as a service，SaaS）工具、个人信息权利响应工具和同意管理工具等。参见唐林垚：《数据合规科技的风险规制及法理构建》，载《东方法学》2022年第1期，第79-93页。包括多方安全计算、联邦学习（Federated learning）等在内的隐私计算技术甚至已经发展成为具有一定规模的科技产业。

5.个人信息保护独立规制机构的建立

就独立规制机构来说，美国学者史蒂芬·布雷耶（Stephen Breyer）在论述风险规制体系时，提出的建议是“建立一个新的行政实体，来发展出一个适用于不同风险项目的，融贯的规制体系——这应该是一个任务导向型的，具有尊崇地位和权力的独立规制机构”［美］史蒂芬·布雷耶：《打破恶性循环：政府如何有效规制风险》，宋华琳译，法律出版社2009年版，第 1 页。。建立独立规制机构可以说是风险规制的共同特征。作为一种风险规制活动，个人信息保护也有必要建立独立规制机构，这也是全球数据保护监管的一个趋势，我国也有不少学者大力主张这一做法。参见高秦伟：《论个人信息保护的专责机关》，载《法学评论》2021年第6期，第106页；张涛：《个人信息保护中独立监管机构的组织法构造》，载《河北法学》2022年第7期，第91页。实际上，这也是目前各国数据治理的现状。GDPR明确规定了数据保护监管机构，并且，该机构近年来在数据保护领域发挥了举足轻重的作用。

近年来，不少国家均建立了个人信息保护独立机构。例如，印度正在着手建立数据保护局（DPA），巴西建立了国家数据保护局（ANPD），韩国建立了个人信息保护委员会（PIPC）和韩国互联网与安全局（KISA），日本建立了个人情报保护委员会（PPC）。

在我国，个人信息保护的法律框架正逐步完善，但与一些发达国家相比，目前尚未建立独立的个人信息保护监管机构。网信办发挥协调和统筹作用，但它并非专门的监管机构。这种现状在《个人信息保护法》的执行和监管实践中逐渐遇到一些挑战。由于缺乏统一的监管主体，导致在个人信息保护领域出现了监管分散和“政出多门”的现象，这不仅增加了企业的合规成本，也可能导致监管效率的降低。企业在遵循个人信息保护规则时，需要面对来自不同监管机构的要求和标准，这无疑增加了运营的复杂性和合规难度。同时，由于监管资源和专业能力的限制，一些监管机构在实施有效监管和处理违规事件时显得力不从心。这不仅影响了法律的实施效果，也可能削弱公众对个人信息保护工作的信心。本文认为，未来有必要进一步强化个人信息保护机构的独立性和专业性。

五、结论与展望

本文系统探讨了个人信息保护的风险规制路径，不仅分析了其背后的原理，还对制度建构提出了建议。个人信息保护的风险规制路径，融合了基于风险的路径和基于权利的路径的优势，在安全与促进科技发展之间有利于实现平衡，更能满足数字时代数字技术的规制需求。近年来，随着人工智能技术的迅猛发展，更是凸显了风险规制路径的重要性。具体来说，在人工智能语境下，传统的个人信息保护原则和权利在技术和商业上均难以充分实现，唯有对其予以风险化调适才有适用空间。不仅如此，人工智能的个人信息保护须更多地依赖风险管理机制的建立和完善。

风险规制路径尽管发轫于个人信息保护机制，但在人工智能治理之中得到了更为充分的发挥。从全球目前的人工智能立法动态来看，同样存在基于权利的路径和基于风险的路径，而后者的比重更高。以欧盟人工智能立法为例，试验规制、风险管理和风险评估等直接被写入立法之中，而包括标准等在内的软法作为风险规制的工具，更是在法案中进一步被强化。也就是说，人工智能立法可能延续了个人信息保护的风格，尤其是将风险规制路径进一步发扬。因此，风险规制路径并不局限于个人信息保护，而是一种在数字时代背景下针对数字技术的整体性规制框架。而通过对这些具体数字技术的探讨，风险规制理论也获得了进一步的更新与深化。JS

On Risk Regulation Approach to Personal Information Protection in the Digital Age

LIU Shaoyu

（Guanghua Law School， Zhejiang University， Hangzhou 310000， China）

Abstract：

The institutional construction and theoretical discussion of personal information protection have always involved two approaches： risk regulation and absolute rights. Under the risk regulation approach， personal information protection is regarded as a regulatory activity where the government， based on its obligation to protect the nation， governs the risks that data processing poses to fundamental rights such as the rights to personal security， property， and personality. The personal information itself is not the object of protection. Under the absolute rights approach， personal information is constructed as a personality or property right in civil law， which has its own value and is worthy of protection. However， these two approaches are not in opposition to each other. Compared with traditional risk regulation， the risk regulation of personal information protection has distinct features; its object is the abstract right， not physical damage. It includes both risk-based and rights-based approaches， ensuring that regulation is tailored to specific needs while also maintaining a minimum standard， thereby achieving a balance between risk and safety. In the digital age， the risk regulation approach to personal information protection can better adapt to the innovation of digital technology. Based on the principles of risk regulation， it is necessary to establish the precautionary principle for personal information， adjust the principles and rights of personal information protection to be risk-oriented， establish an independent regulatory agency for personal information protection， introduce a risk communication mechanism， and improve the risk assessment of personal information.

Key words：

personal information protection; risk regulation; the precautionary principle; artificial intelligence本文责任编辑：林士平

青年学术编辑：杨尚东