場(chǎng)景與風(fēng)險(xiǎn)理念下的個(gè)人信息私法保護(hù)

李莎莎

（華僑大學(xué)法學(xué)院，福建泉州362021)

[關(guān)鍵字]同意規(guī)則；場(chǎng)景與風(fēng)險(xiǎn)；個(gè)人信息；民法典

一、引言

當(dāng)前，中國(guó)經(jīng)濟(jì)正處于轉(zhuǎn)型升級(jí)的關(guān)鍵時(shí)期，數(shù)字經(jīng)濟(jì)的發(fā)展對(duì)中國(guó)實(shí)現(xiàn)創(chuàng)新增長(zhǎng)、推動(dòng)高質(zhì)量發(fā)展具有重要意義[1]。而大批量的個(gè)人信息被收集、處理、使用、共享等，個(gè)人生活被計(jì)算機(jī)進(jìn)行虛擬自畫像勾勒，信息技術(shù)為企業(yè)創(chuàng)造巨大財(cái)富價(jià)值的同時(shí)，個(gè)人信息隱私也遭受巨大沖擊，信息泄露事件層出不窮。比起大數(shù)據(jù)紅利，目前民眾感受更深的似乎是隱私危機(jī)，因而要求確立個(gè)人信息保護(hù)制度的呼聲越來(lái)越高。

我國(guó)個(gè)人信息保護(hù)法律法規(guī)散見于不同部門發(fā)布的規(guī)范性文件，公法率先擔(dān)負(fù)起保護(hù)公民個(gè)人信息的法律職責(zé)，主要體現(xiàn)在《刑法修正案（九）》第十七條、《網(wǎng)絡(luò)安全法》第二十二、三十七條、第四十一至四十四條、第六十四條、《電子商務(wù)法（尚未生效）》第五、二十三、二十五、三十二、七十九、八十七條。相比之下，私法制度在個(gè)人信息法律保護(hù)領(lǐng)域的步伐則相對(duì)緩慢[2]，個(gè)人信息保護(hù)的私法請(qǐng)求權(quán)基礎(chǔ)見于《民法總則》第一百一十一條、《侵權(quán)責(zé)任法》第三十六條、《消費(fèi)者權(quán)益保護(hù)法》第十四、二十九、五十、五十六條。在司法實(shí)務(wù)中，侵犯?jìng)€(gè)人信息仍適用傳統(tǒng)的具體人格權(quán)救濟(jì)途徑。這一方面源于個(gè)人信息法律性質(zhì)的不確定，另一方面源于大批量個(gè)人信息泄露帶來(lái)的危險(xiǎn)呈抽象狀態(tài)，只有危險(xiǎn)具體化時(shí)個(gè)人才愿拿起法律武器，比如行為具體化為民事上的隱私侵權(quán)（不斷電話騷擾推銷），或者刑事上的詐騙、脅迫。因此，大數(shù)據(jù)時(shí)代下的個(gè)人信息安全保障的最佳途徑仍是公法保護(hù)，私法領(lǐng)域的個(gè)人信息保護(hù)應(yīng)注重個(gè)人信息保護(hù)和利用的平衡。具體說(shuō)來(lái)，公法領(lǐng)域改革重點(diǎn)在于統(tǒng)一保護(hù)法律規(guī)范的出臺(tái)，私法領(lǐng)域改革重在重塑同意規(guī)則，針對(duì)個(gè)人信息敏感程度的不同，將個(gè)人信息類型化區(qū)別保護(hù)。

二、個(gè)人信息保護(hù)基石——同意規(guī)則的困境

目前除了美國(guó)，世界各國(guó)的信息處理在立法上都堅(jiān)持同意規(guī)則的適用，我國(guó)《消費(fèi)者權(quán)益保護(hù)法》第二十九條、《網(wǎng)絡(luò)安全法》第四十一條均有“收集、使用個(gè)人信息應(yīng)當(dāng)遵循……并經(jīng)消費(fèi)者同意”的規(guī)定，筆者將這種傳統(tǒng)個(gè)人信息保護(hù)路徑稱為“完全同意論”。值得注意的是，“完全同意論”是“小數(shù)據(jù)”時(shí)代的產(chǎn)物，在大數(shù)據(jù)時(shí)代已顯露出嚴(yán)重弊端。

（一）同意規(guī)則的理論基礎(chǔ)嬗變

從理論層面來(lái)看，同意規(guī)則之所以成為個(gè)人信息處理中的“帝王條款”乃基于個(gè)人信息自決理論。信息自決理論是指，人們有權(quán)自由決定他人如何獲取個(gè)人信息。同隱私權(quán)一樣，信息自決權(quán)應(yīng)受社會(huì)限制。一方面表現(xiàn)在自決內(nèi)容的限制，即個(gè)人信息是人與社會(huì)的連接方式，應(yīng)適當(dāng)予以披露，這更是信譽(yù)經(jīng)濟(jì)時(shí)代的必然號(hào)召。另一方面，大數(shù)據(jù)時(shí)代下個(gè)人信息本身難以控制，數(shù)據(jù)化的個(gè)人信息已脫離本人，它不僅涉及數(shù)據(jù)主體的利益，也牽涉企業(yè)的智慧財(cái)富，個(gè)人信息與企業(yè)服務(wù)之間存在利益交換，因此也不宜片面強(qiáng)調(diào)個(gè)人信息自決。

（二）同意規(guī)則的實(shí)踐困境

首先，大數(shù)據(jù)時(shí)代的同意真實(shí)性難以保證。簡(jiǎn)單說(shuō)來(lái)，用戶協(xié)議冗長(zhǎng)且晦澀，即使明白權(quán)利義務(wù)關(guān)系但為獲取服務(wù)也只能選擇同意。其次，同意規(guī)則的踐行需投入大量成本。數(shù)據(jù)企業(yè)需投入成本設(shè)計(jì)用戶協(xié)議，對(duì)初始授權(quán)之外的事項(xiàng)將承擔(dān)無(wú)休止的告知義務(wù)并另獲授權(quán)。還應(yīng)注意的是，信息收集者和處理者并不一定重合，信息處理者如何獲得后續(xù)授權(quán)也是難題。對(duì)于個(gè)人來(lái)講，一方面成本支出最終要由用戶承擔(dān)，另一方面，保護(hù)個(gè)人信息是為保障個(gè)人“獨(dú)處的自由”和“精神上的安寧”，若信息處理所涉事項(xiàng)都需要主體同意將會(huì)為用戶帶來(lái)更多侵?jǐn)_，這種無(wú)休止的“同意提示”可能比信息泄露本身帶來(lái)的侵?jǐn)_更大[3]。但學(xué)者田野認(rèn)為，成本和負(fù)擔(dān)的增加若有利于維護(hù)人格尊嚴(yán)則是必要且應(yīng)當(dāng)承受的，而同意規(guī)則的類型化可解決信息主體無(wú)休止的“同意”機(jī)械操作負(fù)擔(dān)[4]。最后，從司法實(shí)務(wù)來(lái)看，同意規(guī)則面臨必要性挑戰(zhàn)。學(xué)者任龍龍認(rèn)為，大數(shù)據(jù)時(shí)代的隱私危機(jī)是一種潛在的擔(dān)憂，而非直接風(fēng)險(xiǎn)[5]。這正如筆者前述所言，個(gè)人信息的私法保護(hù)不需另辟蹊徑，適用人格權(quán)救濟(jì)即可解決，而大批量的個(gè)人信息泄露則需要公法規(guī)制以保障信息安全。而田野認(rèn)為，對(duì)個(gè)人信息權(quán)益的損害不應(yīng)作狹隘理解，除了隱私泄露、名譽(yù)損害、基因歧視等明顯損害，信息處理未經(jīng)本人同意就使人喪失自我決定的機(jī)會(huì)，這本身就是對(duì)人格尊嚴(yán)的損害[6]。這種反駁本身是抽象的，它從人類最高的善及核心價(jià)值出發(fā)，認(rèn)定同意規(guī)則是個(gè)人人格完整的必要部分，這是在不加論證的情況下預(yù)先設(shè)定了一個(gè)至善至美的理想狀態(tài)，是在隱藏和回避問(wèn)題，這并非解決問(wèn)題之道[7]。大數(shù)據(jù)時(shí)代下不能始終堅(jiān)持抽象原則上的價(jià)值共識(shí)，而應(yīng)面對(duì)現(xiàn)實(shí)，承認(rèn)分歧，并試圖理解產(chǎn)生該分歧的原因。

綜上，對(duì)于是否繼續(xù)適用同意規(guī)則，目前學(xué)術(shù)界有“同意規(guī)則拋棄論”和“同意規(guī)則修正論”兩種立場(chǎng)?！巴庖?guī)則拋棄論”強(qiáng)調(diào)同意不應(yīng)是個(gè)人信息處理的正當(dāng)性基礎(chǔ)，主張完全拋棄同意規(guī)則的適用[8]?！巴庖?guī)則修正論”認(rèn)為同意原則在大數(shù)據(jù)時(shí)代已顯現(xiàn)其弊端，但并不能否認(rèn)同意規(guī)則的正當(dāng)性，同意規(guī)則的修正才是正確的個(gè)人信息保護(hù)思路。而“同意規(guī)則修正論”又細(xì)分為兩種觀點(diǎn)，一種觀點(diǎn)認(rèn)為所有個(gè)人信息收集、處理均需同意，但同意的程度應(yīng)類型化為明示、默示同意、有效同意等，另一種觀點(diǎn)主張應(yīng)將個(gè)人信息類型化，有些個(gè)人信息應(yīng)適用同意規(guī)則，有些則不予適用。面對(duì)兩種論點(diǎn)的博弈，作為個(gè)人信息保護(hù)的基石，目前同意規(guī)則是各國(guó)共識(shí)性認(rèn)知并為各國(guó)立法普遍采納，要撼動(dòng)其基礎(chǔ)性地位必須予以謹(jǐn)慎。再者，大數(shù)據(jù)、人工智能、生物技術(shù)不斷升溫的當(dāng)下，有必要對(duì)科技發(fā)展作冷靜思考，尤其是近段時(shí)間的基因編輯事件，一場(chǎng)人倫與科技的沖撞使我們更加明確不能為迎合技術(shù)發(fā)展需求而輕易放棄法的基本價(jià)值操守?！巴庖?guī)則拋棄論”雖一陣見血地指出了同意規(guī)則面臨的困境，但同意規(guī)則廢除后的制度建構(gòu)可能面臨更多問(wèn)題，以“寬進(jìn)嚴(yán)出+刪除權(quán)”的個(gè)人信息保護(hù)策略為例[9]，同意規(guī)則不予適用情形下，大量個(gè)人信息被收集、處理，僅僅通過(guò)刪除權(quán)來(lái)保護(hù)個(gè)人信息顯然不合適。在沒有一套完善的體系化保護(hù)路徑之前，應(yīng)走改良與革新之路而非直接推翻原有制度。在數(shù)據(jù)治理或個(gè)人信息保護(hù)過(guò)程中，我們應(yīng)堅(jiān)持以自主為核心價(jià)值，以個(gè)人信息保護(hù)和利用的平衡為指導(dǎo)理念，針對(duì)大數(shù)據(jù)時(shí)代的特殊性，對(duì)個(gè)人信息類型化區(qū)分適用同意規(guī)則。對(duì)此，與同意規(guī)則相對(duì)應(yīng)的“場(chǎng)景與風(fēng)險(xiǎn)理念”值得借鑒。

三、場(chǎng)景與風(fēng)險(xiǎn)理念下的個(gè)人信息類型化保護(hù)

（一）類型化的前提：場(chǎng)景與風(fēng)險(xiǎn)理念的引入

美國(guó)聯(lián)邦貿(mào)易委員會(huì)于2012 年最早提出場(chǎng)景理念，其認(rèn)為不符合場(chǎng)景的數(shù)據(jù)行為均應(yīng)賦予消費(fèi)者選擇權(quán)，而以下兩種情況必須取得明確同意：其一，數(shù)據(jù)的使用與數(shù)據(jù)收集時(shí)聲稱的方式有本質(zhì)上的區(qū)別；其二，敏感數(shù)據(jù)的收集[10]。而后《消費(fèi)者隱私權(quán)利法案（草案）》對(duì)場(chǎng)景理念進(jìn)行了細(xì)化，并將“尊重場(chǎng)景”（respect for context）視為原則之一。數(shù)據(jù)處理者以不符合場(chǎng)景的方式處理數(shù)據(jù)時(shí)，應(yīng)對(duì)數(shù)據(jù)隱私風(fēng)險(xiǎn)進(jìn)行評(píng)估并且向信息主體透明化處理過(guò)程、保證主體對(duì)信息的控制，比如以一種合理方式通知個(gè)人并且賦予其降低隱私風(fēng)險(xiǎn)的權(quán)利。場(chǎng)景由信息主體與控制者之間的交互關(guān)系具體判定，場(chǎng)景下的數(shù)據(jù)行為應(yīng)當(dāng)符合理性人的合理期待[11]。影響用戶接受程度或個(gè)人信息敏感程度的因素統(tǒng)稱為“信息場(chǎng)景”（data context)或“場(chǎng)景”（context)[12]，場(chǎng)景應(yīng)具體判斷。可以說(shuō)，美國(guó)法上的場(chǎng)景與風(fēng)險(xiǎn)理念既避免了信息主體審閱用戶、隱私協(xié)議的困難，也降低了企業(yè)運(yùn)營(yíng)成本、提高企業(yè)的效率，有利于數(shù)據(jù)信息“石油”價(jià)值開發(fā)，但因場(chǎng)景風(fēng)險(xiǎn)分析極具模糊性而缺少對(duì)個(gè)人數(shù)據(jù)的保護(hù)，因此實(shí)踐中也多遭詬病。另外，美國(guó)數(shù)據(jù)行為不以同意為前提也源于其企業(yè)自身已形成系統(tǒng)行業(yè)規(guī)范，要在中國(guó)直接適用美國(guó)模式不具現(xiàn)實(shí)意義。我國(guó)個(gè)人信息立法與歐盟的價(jià)值取向相同，都強(qiáng)調(diào)信息主體的同意，但歐盟在同意規(guī)則適用之下引入了場(chǎng)景與風(fēng)險(xiǎn)理念。歐盟《一般數(shù)據(jù)保護(hù)條例》（簡(jiǎn)稱GDPR）第二十五條第1 款規(guī)定“數(shù)據(jù)控制者在處理……應(yīng)考慮發(fā)展現(xiàn)狀、執(zhí)行成本、處理的性質(zhì)、范圍、內(nèi)容和目的以及處理給個(gè)人的權(quán)利和自由造成的各種可能性與嚴(yán)重程度的風(fēng)險(xiǎn)”[13]，該款是場(chǎng)景與風(fēng)險(xiǎn)理念的典型應(yīng)用。但其場(chǎng)景風(fēng)險(xiǎn)評(píng)估義務(wù)是在同意基礎(chǔ)上進(jìn)行，更加嚴(yán)格設(shè)定同意的條件，加強(qiáng)同意規(guī)則的適用?？梢娫诜蓪?shí)施過(guò)程中，歐盟偏向個(gè)人數(shù)據(jù)保護(hù)，美國(guó)偏向數(shù)據(jù)的利用，都有其自身的問(wèn)題。然而在探索應(yīng)對(duì)傳統(tǒng)數(shù)據(jù)信息保護(hù)困境的新思路時(shí)，兩者都認(rèn)同場(chǎng)景與風(fēng)險(xiǎn)理念。因此，在個(gè)人信息保護(hù)路徑選擇上，要實(shí)現(xiàn)數(shù)據(jù)紅利與個(gè)人信息安全的利益平衡，我國(guó)個(gè)人信息保護(hù)立法思路應(yīng)當(dāng)有所轉(zhuǎn)變，綜合運(yùn)用同意規(guī)則與場(chǎng)景風(fēng)險(xiǎn)理念，限縮“同意規(guī)則”的適用范圍，對(duì)于影響個(gè)人核心利益的數(shù)據(jù)行為才適用同意規(guī)制，其他一般數(shù)據(jù)行為原則上不需要同意，而核心利益的認(rèn)定應(yīng)具體到個(gè)人信息的類型化上。

（二）場(chǎng)景與風(fēng)險(xiǎn)理念下的個(gè)人信息二元分類

我國(guó)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（簡(jiǎn)稱《指南》）將個(gè)人信息類型化為一般個(gè)人信息和個(gè)人敏感信息，其雖不是具有強(qiáng)制性效力的法律法規(guī)，但因其首次類型化個(gè)人信息而受到學(xué)者們的贊賞。另在場(chǎng)景與風(fēng)險(xiǎn)理念指引下，歐盟GDPR 和美國(guó)《消費(fèi)者隱私權(quán)利法案（草案）》均有對(duì)個(gè)人信息進(jìn)行敏感性區(qū)分之意，GDPR對(duì)性質(zhì)上與基本權(quán)利和自由相關(guān)的極其敏感的個(gè)人數(shù)據(jù)采取更高層次的保護(hù)[14]，《消費(fèi)者隱私權(quán)利法案（草案）》的敏感性體現(xiàn)在可能給個(gè)人帶來(lái)隱私風(fēng)險(xiǎn)的數(shù)據(jù)行為，而隱私風(fēng)險(xiǎn)指?jìng)€(gè)人數(shù)據(jù)本身或與其他相關(guān)個(gè)人數(shù)據(jù)信息相關(guān)聯(lián)時(shí)，對(duì)個(gè)人造成情緒困擾或人身、財(cái)產(chǎn)、就業(yè)或其他傷害的可能性[15]?？梢娨话銈€(gè)人信息與敏感個(gè)人信息的區(qū)分已被廣泛接受，筆者也認(rèn)同此種類型劃分，但在具體范圍界定上與《指南》的規(guī)定有所不同。

《指南》將“敏感信息”界定為“一旦遭到泄露或修改，會(huì)對(duì)標(biāo)識(shí)的個(gè)人信息主體造成不良影響的個(gè)人信息”的規(guī)定失之過(guò)寬，任何個(gè)人信息的泄露都有可能對(duì)該信息主體造成影響。對(duì)此，有學(xué)者將個(gè)人敏感信息界定為“一旦泄露或?yàn)E用，極易危及人身、財(cái)產(chǎn)安全或?qū)е氯烁褡饑?yán)受到損害、歧視性待遇的個(gè)人信息”[16]。疑問(wèn)在于可對(duì)敏感個(gè)人信息下定義，但很難斷定哪些個(gè)人信息一定屬于敏感個(gè)人信息的范疇。筆者認(rèn)為大可不必惱于此，類比人格權(quán)發(fā)展史，個(gè)人信息權(quán)益內(nèi)容也應(yīng)是不斷發(fā)展變化的，個(gè)人敏感信息的判定不宜進(jìn)行概括列舉，誠(chéng)如張新寶教授所言，“個(gè)人敏感隱私信息是一個(gè)動(dòng)態(tài)范圍，還應(yīng)結(jié)合當(dāng)下科技發(fā)展水平、社會(huì)發(fā)展動(dòng)態(tài)等靈活修正其列舉類型”[17]。在信息處理過(guò)程中的個(gè)人敏感信息判定適用“列舉+兜底規(guī)范”的方式約束，對(duì)于數(shù)據(jù)企業(yè)、司法裁判者而言，個(gè)人信息性質(zhì)的認(rèn)定仍需結(jié)合場(chǎng)景具體分析風(fēng)險(xiǎn)。個(gè)人敏感信息包括但不限于可能引發(fā)歧視的健康信息、身份證號(hào)碼、基因信息、生物特征信息、性取向、性生活、金融信息（收入和財(cái)產(chǎn)狀況）、賬戶密碼信息、通訊信息、精確地理位置，若其他個(gè)人信息符合信息主體對(duì)敏感性的合理期待時(shí)仍應(yīng)判定為敏感信息。一言以蔽之，一般個(gè)人信息指不具有敏感性的個(gè)人信息。

四、個(gè)人信息類型化保護(hù)在民法典中的規(guī)范建構(gòu)

（一）《人格權(quán)（編）草案》中個(gè)人信息保護(hù)制度檢視

《民法總則》第一百一十一條規(guī)定自然人享有個(gè)人信息受保護(hù)的權(quán)利，強(qiáng)調(diào)數(shù)據(jù)信息的依法取得并確保數(shù)據(jù)行為安全，但并未明確“信息主體同意為數(shù)據(jù)行為的前提”，未強(qiáng)調(diào)個(gè)人對(duì)數(shù)據(jù)的控制權(quán)、明確個(gè)人信息的性質(zhì)及具體保護(hù)方式，因此有必要在民法典中予以明確。但目前針對(duì)人格權(quán)是否獨(dú)立成編存在爭(zhēng)議?；谌烁駲?quán)的消極防御性，梁慧星教授反對(duì)人格權(quán)獨(dú)立成編，他認(rèn)為人格權(quán)側(cè)重點(diǎn)在于保護(hù)和救濟(jì)，故在民事法律中，應(yīng)側(cè)重侵權(quán)法的修繕而非權(quán)利的具體化[18]。王利明教授支持人格權(quán)獨(dú)立成編，他認(rèn)為人格權(quán)在新時(shí)代下呈現(xiàn)消極防御和積極利用的雙重功能，要提高人格權(quán)保護(hù)水平不能僅通過(guò)“人格權(quán)列舉+侵權(quán)責(zé)任”的救濟(jì)途徑，還應(yīng)詳細(xì)規(guī)定具體人格權(quán)的權(quán)能，明確具有權(quán)利的行使，而侵權(quán)法明顯不能囊括[19]。

盡管爭(zhēng)論頗多，全國(guó)人大常委會(huì)法工委最終仍起草并公布《人格權(quán)（編）草案》（簡(jiǎn)稱《草案》）并征求意見?！恫莅浮废到y(tǒng)規(guī)定了人格權(quán)的行使及保護(hù)方法，并在第六章將隱私權(quán)和個(gè)人信息并列，在分別作概念區(qū)分下并未明確二者的界限，似乎有個(gè)人信息附庸于隱私權(quán)的嫌疑。其中第八百一十一條第2 款是對(duì)隱私權(quán)的界定，第八百一十二條第(四)項(xiàng)是侵犯隱私權(quán)的行為之一，但私人信息與個(gè)人信息曖昧不清，敏感個(gè)人信息在概念上可與隱私權(quán)內(nèi)容重合。也就是說(shuō)，《草案》選擇隱私權(quán)與個(gè)人信息分別保護(hù)，但事實(shí)上徒增概念上的混亂。因此有學(xué)者建議在該編中單獨(dú)制定“個(gè)人信息權(quán)”一章，系統(tǒng)規(guī)定個(gè)人信息權(quán)的概念、基本原則、權(quán)利內(nèi)容與限制，這樣才能適應(yīng)信息社會(huì)對(duì)個(gè)人信息權(quán)保護(hù)的基本需求[20]。確立“個(gè)人信息權(quán)”并非一定價(jià)值正確，縱觀各國(guó)立法也并未有“個(gè)人信息權(quán)”（personal information right 或personal date right）的表述，在未對(duì)數(shù)據(jù)信息治理進(jìn)行系統(tǒng)審視前，我們并不能從民事法律規(guī)范中明確到底誰(shuí)享有對(duì)信息或數(shù)據(jù)的權(quán)利，因此個(gè)人信息保護(hù)重要的不是賦權(quán)，而是在信息動(dòng)態(tài)化處理中明確信息主體對(duì)其個(gè)人信息享有自決權(quán)和知情權(quán)，而隨信息時(shí)代的發(fā)展自決權(quán)應(yīng)受到一定限制，這種限制建立在個(gè)人信息類型化上，一般個(gè)人信息應(yīng)強(qiáng)調(diào)利用，敏感個(gè)人信息則仍應(yīng)賦予個(gè)人自決權(quán)。

縱觀《草案》關(guān)于個(gè)人信息的規(guī)定，從第八百一十三條到八百一十七條共計(jì)5 條，而其中第八百一十三條第1 款“自然人的個(gè)人信息受法律保護(hù)”是對(duì)《民法總則》第一百一十一條的重述，第2 款對(duì)個(gè)人信息的概念界定照搬《網(wǎng)絡(luò)安全法》第七十六條第5項(xiàng)的規(guī)定；第八百一十四條與《網(wǎng)絡(luò)安全法》第二十二條第3 款、第四十一第1 款重合；第八百一十五條規(guī)定信息主體的查閱、抄錄、復(fù)制權(quán)、刪除權(quán)，其關(guān)于刪除權(quán)的規(guī)定與《網(wǎng)絡(luò)安全法》第四十三條重合，但在此基礎(chǔ)上細(xì)化了刪除權(quán)適用情形；第816 條新規(guī)定了個(gè)人信息的合理使用；第817 條是《網(wǎng)絡(luò)安全法》第42 條的重復(fù)?？梢娮鳛槊袷禄痉ㄐ再|(zhì)的《人格權(quán)（編）》對(duì)個(gè)人信息的規(guī)定基本都仿照具有公法性質(zhì)的《網(wǎng)絡(luò)安全法》，更多關(guān)注于個(gè)人信息安全、從公法的角度體現(xiàn)其管制功能，并未體現(xiàn)其私法平等主體之間的權(quán)利義務(wù)關(guān)系，規(guī)則設(shè)計(jì)并不嚴(yán)謹(jǐn)。民事基本法中對(duì)個(gè)人信息的規(guī)定應(yīng)重在規(guī)范個(gè)人信息處理過(guò)程中信息主體與數(shù)據(jù)企業(yè)的權(quán)利與義務(wù)，應(yīng)明確個(gè)人信息具有消極防御和積極利用權(quán)能，消極防御重在為信息主體設(shè)定義務(wù)，積極利用重在賦予雙方對(duì)等權(quán)利和義務(wù)，同時(shí)也應(yīng)為數(shù)據(jù)的宏觀治理保留余地。

（二）類型化適用同意規(guī)則在民法典中的規(guī)范建構(gòu)

民事基本法的目的之一即是平衡平等主體之間的利益，通過(guò)個(gè)人信息類型化適用同意規(guī)則是民事基本法平衡數(shù)據(jù)企業(yè)與信息主體利益、兼顧信息利用與信息保護(hù)的可靠手段。個(gè)人敏感信息因涉及到個(gè)人核心利益，應(yīng)強(qiáng)調(diào)個(gè)人信息自決權(quán)，個(gè)人信息的處理應(yīng)事先取得信息主體的同意，而一般個(gè)人信息應(yīng)側(cè)重于商業(yè)化利用，針對(duì)信息利用設(shè)定基本要件，而并不需事先同意。正如哈里?韋斯特曼所言，“至少在私法的領(lǐng)域中，法律的目的只在于：以賦予特定利益優(yōu)先地位，而他種利益相對(duì)必須作一定程度退讓的方式，來(lái)規(guī)整個(gè)人或社會(huì)團(tuán)體之間可能發(fā)生，并且已經(jīng)被類型化的利益沖突”[21]。

針對(duì)個(gè)人信息類型化適用同意規(guī)則在民法典中的具體安排，應(yīng)先將個(gè)人信息類型化為一般個(gè)人信息與敏感個(gè)人信息，敏感個(gè)人信息采用前述“列舉+兜底規(guī)范”模式界定，“個(gè)人敏感信息為一旦泄露或?yàn)E用，極易危及人身、財(cái)產(chǎn)安全或?qū)е氯烁褡饑?yán)受到損害、歧視性待遇的個(gè)人信息，包括但不限于健康信息、身份證號(hào)碼、基因信息、生物特征信息、性取向、性生活、金融信息（收入和財(cái)產(chǎn)狀況）、賬戶密碼信息、通訊信息、精確地理位置。其他個(gè)人信息如符合信息主體的合理期待的，仍應(yīng)判定為敏感信息?！币话銈€(gè)人信息不需要定義，除個(gè)人敏感信息之外其他均為一般個(gè)人信息。對(duì)同意規(guī)制的類型化適用可通過(guò)修改《草案》第814 條第1 款，在“征得被收集者同意”后增加“不具敏感性的一般個(gè)人信息除外”。

五、結(jié)語(yǔ)

數(shù)字經(jīng)濟(jì)時(shí)代，大數(shù)據(jù)紅利與信息安全的利益平衡是現(xiàn)實(shí)需求，而同意規(guī)則的適用并非利益平衡的工具，它在限制信息商業(yè)化利用的同時(shí)并未起到保障信息安全的作用。在歐美場(chǎng)景與風(fēng)險(xiǎn)的理念引導(dǎo)下，個(gè)人信息類型化適用同意規(guī)則將有助于實(shí)現(xiàn)個(gè)人、企業(yè)、國(guó)家三者之間的利益平衡。但應(yīng)當(dāng)注意的是，無(wú)論是一般個(gè)人信息還是敏感個(gè)人信息，信息處理過(guò)中出現(xiàn)隱私風(fēng)險(xiǎn)等可能損害信息主體利益的情形時(shí)，數(shù)據(jù)企業(yè)應(yīng)當(dāng)保證信息主體的知情選擇權(quán)，由信息主體自主決定信息是否可繼續(xù)處理或采取何種防范措施。再者，大數(shù)據(jù)分析技術(shù)要求數(shù)據(jù)企業(yè)本身不斷提高風(fēng)險(xiǎn)分析能力，無(wú)論采用何種保護(hù)手段都需要數(shù)據(jù)企業(yè)主動(dòng)參與進(jìn)來(lái)，數(shù)據(jù)企業(yè)應(yīng)建立風(fēng)險(xiǎn)評(píng)估系統(tǒng)，構(gòu)建激勵(lì)相容的數(shù)據(jù)治理之道。再者，無(wú)論對(duì)個(gè)人信息實(shí)行何種保護(hù)方式，都應(yīng)在各個(gè)法律部門綜合框架下設(shè)定保護(hù)機(jī)制，試圖通過(guò)某個(gè)部門法實(shí)行對(duì)個(gè)人信息的全面保護(hù)并不現(xiàn)實(shí)，未來(lái)的個(gè)人信息保護(hù)制度應(yīng)與數(shù)據(jù)治理相結(jié)合，在綜合數(shù)據(jù)治理中談?wù)搨€(gè)人信息保護(hù)?！?/p>