雪雅

內(nèi)容摘要：《民法總則》第111條規(guī)定了個(gè)人信息，但是如何進(jìn)行法律保護(hù)并沒(méi)有具體展開(kāi)?！翱勺R(shí)別性”界定個(gè)人信息更主要是從宏觀上厘清個(gè)人信息，很難從微觀上具體甄別出個(gè)人信息。因此根據(jù)個(gè)人信息不同階段評(píng)估其存在的風(fēng)險(xiǎn)來(lái)界定個(gè)人信息具有一定的合理性，只有存在主觀傷害風(fēng)險(xiǎn)或者客觀傷害風(fēng)險(xiǎn)的個(gè)人信息才是法律上界定的個(gè)人信息。信息主體具有多元性，保護(hù)也不限于排他性的方式。數(shù)據(jù)與信息既有聯(lián)系又有區(qū)別，個(gè)人信息與隱私存在交叉也存在不同，數(shù)據(jù)、個(gè)人信息、隱私的客體分別體現(xiàn)為利益、法定利益、權(quán)利。敏感信息與非敏感信息的區(qū)分是典型對(duì)極思考的方法，能窮盡所有個(gè)人信息，但是判斷“敏感性”的標(biāo)準(zhǔn)卻不夠具體。因?yàn)槭欠窬哂忻舾行员旧磉€要再進(jìn)一步判斷，該種判斷主要是價(jià)值判斷，缺乏明確的衡量依據(jù)。清晰的分類可以直觀地發(fā)現(xiàn)個(gè)人信息流通的路徑，以個(gè)人信息形成為標(biāo)準(zhǔn)的志愿者信息、政府強(qiáng)制采集的個(gè)人信息、測(cè)量信息、推測(cè)信息更易于實(shí)現(xiàn)該目的。對(duì)個(gè)人信息的保護(hù)不能只強(qiáng)調(diào)事后救濟(jì)，要防止個(gè)人信息不當(dāng)利用的重點(diǎn)還應(yīng)規(guī)范個(gè)人信息的流通。

關(guān)鍵詞：個(gè)人信息信息 分類信息主體 個(gè)人信息處理 流通體系

中圖分類號(hào)：DF51文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1674-4039-（2019）04-0033-44

一、問(wèn)題的提出

信息化已經(jīng)成為時(shí)代的主旋律，這股浪潮不僅影響著我們的經(jīng)濟(jì)方式、生活方式，還影響著我們的思維方式。無(wú)論政府等組織體還是個(gè)人都在大力挖掘個(gè)人信息的價(jià)值，法律滯后于實(shí)踐，法律應(yīng)在信息社會(huì)中有所作為。法律規(guī)制個(gè)人信息，主要分為兩大模式：一種是以歐盟為主的嚴(yán)格管理模式，一種是以美國(guó)為主的行業(yè)自律模式。前一種模式將個(gè)人信息置于憲法人權(quán)保護(hù)的地位，個(gè)人信息流通須征得信息主體的同意。后一種模式允許個(gè)人信息有條件地自由流動(dòng)，同時(shí)通過(guò)行業(yè)自律規(guī)制信息控制者行為。我國(guó)法學(xué)關(guān)注個(gè)人信息的相關(guān)成果主要集中在個(gè)人信息保護(hù)，對(duì)個(gè)人信息保護(hù)的研究視角強(qiáng)調(diào)個(gè)人信息對(duì)于自然人的重要價(jià)值，但也在一定程度上束縛了研究思路。主流觀點(diǎn)認(rèn)為個(gè)人信息分為敏感信息與非敏感信息，對(duì)敏感信息的保護(hù)應(yīng)強(qiáng)于對(duì)非敏感信息的保護(hù)，但是該種分類并不是很清晰，如何保護(hù)就成了研究熱點(diǎn)?！? 〕我國(guó)相關(guān)立法遵循了歐盟的嚴(yán)格保護(hù)主義，對(duì)個(gè)人信息的收集、利用等環(huán)節(jié)必須征得信息主體同意，可是實(shí)踐中流于形式的同意和未征得同意十分普遍，這就直接導(dǎo)致了立法上對(duì)個(gè)人信息的高規(guī)格保護(hù)，但實(shí)踐中卻無(wú)法充分保護(hù)個(gè)人信息。為了解決個(gè)人信息保護(hù)的矛盾，制定符合信息社會(huì)發(fā)展的立法則成為了關(guān)鍵。

我國(guó)《民法總則》第111條規(guī)定：“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開(kāi)他人個(gè)人信息?！痹摋l首次規(guī)定了個(gè)人信息，但是該條對(duì)個(gè)人信息的宣示價(jià)值大于對(duì)個(gè)人信息的規(guī)范意義。如何界定個(gè)人信息？個(gè)人信息如何進(jìn)行分類？“依法”與“不得非法”應(yīng)當(dāng)遵循何種個(gè)人信息收集、利用、轉(zhuǎn)讓的規(guī)則，這些都是自然人個(gè)人信息保護(hù)亟需解決的問(wèn)題。我國(guó)關(guān)于個(gè)人信息的規(guī)范比較零散，如《憲法》《民法總則》《侵權(quán)責(zé)任法》《消費(fèi)者權(quán)益保護(hù)法》《郵政法》《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》《刑法》《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等規(guī)范雖然都有對(duì)個(gè)人信息或者隱私的內(nèi)容，但是缺乏全面細(xì)致的調(diào)整。

隨著社會(huì)的發(fā)展，個(gè)人信息適用的領(lǐng)域?qū)⒃絹?lái)越廣泛，《民法總則》對(duì)個(gè)人信息的規(guī)定體現(xiàn)了很強(qiáng)的時(shí)代性，但是個(gè)人信息與隱私、數(shù)據(jù)等概念之間存在什么樣的關(guān)系、如何多角度研究個(gè)人信息、如何更好地利用個(gè)人信息，現(xiàn)行規(guī)范還很單薄，在數(shù)據(jù)處理、交易、使用方面，現(xiàn)行法律制度都缺乏全面且明確的規(guī)定?！? 〕學(xué)界對(duì)個(gè)人信息界定、分類、處理等環(huán)節(jié)雖有一些研究成果，但尚未達(dá)成共識(shí)。筆者在既有著述的基礎(chǔ)上，對(duì)個(gè)人信息的界定、分類及流通進(jìn)行分析，以期進(jìn)一步解釋《民法總則》第111條，從而為后續(xù)相關(guān)立法提供理論支撐。

二、個(gè)人信息界定

不可否認(rèn)，自從有了人類，個(gè)人信息就已經(jīng)存在，如姓名、住址、家庭成員情況、活動(dòng)軌跡等。這些個(gè)人信息很長(zhǎng)一段時(shí)間并沒(méi)有保護(hù)的必要，如姓名就是需要公開(kāi)出來(lái)，被他人周知。直至近代，隱私的出現(xiàn)將一部分個(gè)人信息區(qū)隔出來(lái)，有了單獨(dú)保護(hù)的必要。保護(hù)隱私的本質(zhì)在于對(duì)個(gè)人人格的尊重，這些信息是自然人不愿意被他人所知的內(nèi)容，自然人可以通過(guò)隱私保護(hù)的方式實(shí)現(xiàn)自我控制。是否所有的個(gè)人信息都需要保護(hù)，很明顯過(guò)分?jǐn)U大的保護(hù)容易混淆人與人之間的行動(dòng)邊界。隱私權(quán)概念的出現(xiàn)，與19世紀(jì)20世紀(jì)初印刷技術(shù)的發(fā)展等為偷窺他人生活創(chuàng)造了條件不無(wú)關(guān)系，〔3 〕因此，也有學(xué)者認(rèn)為，“隱私權(quán)的理論與法律，從一開(kāi)始就是針對(duì)新聞出版界的”。〔4 〕有學(xué)者認(rèn)為隱私屬于個(gè)人信息的一部分，其實(shí)個(gè)人信息與隱私之間并不是簡(jiǎn)單的包含關(guān)系。個(gè)人信息與隱私的最大區(qū)別在于，隱私應(yīng)該在性質(zhì)上屬于個(gè)人未向社會(huì)公眾公開(kāi)的信息。而個(gè)人信息則可能已經(jīng)公開(kāi)，或本來(lái)就屬于公共事務(wù)的范疇?！? 〕半個(gè)世紀(jì)以來(lái)，隨著計(jì)算機(jī)技術(shù)全面融入社會(huì)生活，信息爆炸已經(jīng)積累到了一個(gè)開(kāi)始引發(fā)變革的程度，它不僅使世界充斥著比以往更多的信息，而其增長(zhǎng)速度也在加快?！? 〕不被隱私保護(hù)的個(gè)人信息在大數(shù)據(jù)時(shí)代具有了新的價(jià)值，甚至非個(gè)人信息經(jīng)過(guò)相關(guān)數(shù)據(jù)分析后也能與個(gè)人關(guān)聯(lián)成為個(gè)人信息。對(duì)我們而言，危險(xiǎn)不再是隱私的泄露，而是被預(yù)知的可能性——這些能預(yù)測(cè)我們可能生病、拖欠貨款和犯罪的算法會(huì)讓我們無(wú)法購(gòu)買保險(xiǎn)、無(wú)法貸款，甚至在實(shí)施犯罪前就被預(yù)先逮捕?！? 〕合理利用個(gè)人信息成為大數(shù)據(jù)時(shí)代必須面對(duì)的課題。

可見(jiàn)個(gè)人信息的產(chǎn)生很早就已存在，法律最初是對(duì)個(gè)人信息中的隱私進(jìn)行保護(hù)，發(fā)展到今天對(duì)隱私保護(hù)的思維和方式不足以應(yīng)對(duì)個(gè)人信息的保護(hù)，個(gè)人信息就有了獨(dú)立存在的價(jià)值。我國(guó)《個(gè)人信息保護(hù)法》（專家意見(jiàn)稿）第9條規(guī)定：“個(gè)人信息是指?jìng)€(gè)人姓名、住址、出生日期、身份證號(hào)碼、醫(yī)療記錄、人事記錄、照片等單獨(dú)或與其他信息對(duì)照可以識(shí)別特定的個(gè)人的信息?！薄缎畔踩夹g(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》對(duì)個(gè)人信息（personal information）的界定是：“可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨(dú)或通過(guò)與其他信息結(jié)合識(shí)別該特定自然人的計(jì)算機(jī)數(shù)據(jù)。”上述兩種表達(dá)幾乎一致，不僅包括可以單獨(dú)識(shí)別到自然人的個(gè)人信息，還包括與其他信息結(jié)合識(shí)別到特定自然人的個(gè)人信息。不過(guò)指南中的個(gè)人信息更強(qiáng)調(diào)能被信息系統(tǒng)處理的計(jì)算機(jī)數(shù)據(jù)。是否為個(gè)人信息僅僅依賴于傳統(tǒng)的直觀考察并不全面，有時(shí)還需要借助技術(shù)，判別是否為個(gè)人信息。歐盟《個(gè)人數(shù)據(jù)保護(hù)法》中的“個(gè)人數(shù)據(jù)”是指與一個(gè)身份已被識(shí)別或可被識(shí)別的自然人相關(guān)的任何信息。通過(guò)可識(shí)別性判斷是否屬于個(gè)人信息雖然被很多國(guó)家立法例采用，但是這種判斷也存在以下困境：?jiǎn)为?dú)一條信息并不能識(shí)別到個(gè)人，但是將所有信息集合在一起，可能就會(huì)識(shí)別到某個(gè)人。另外隨著數(shù)據(jù)相關(guān)性的研究和數(shù)據(jù)挖掘技術(shù)的發(fā)展，一個(gè)單一的、不重要的信息可能也會(huì)識(shí)別到個(gè)人?！? 〕有趣的是，《瑞典1998年個(gè)人信息法案》將個(gè)人信息定義為“與一個(gè)活著的自然人直接或間接的相關(guān)的信息”。很明顯“可識(shí)別性”能靜態(tài)地確定個(gè)人信息。但是隨著新技術(shù)的發(fā)展，個(gè)人信息的表現(xiàn)形式也日益多元化，是否具有可識(shí)別性并不是很確定，更關(guān)鍵的是，對(duì)于處理個(gè)人信息的主體，有時(shí)候他們自己也并不知道處理的是否是個(gè)人信息。我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》附錄A規(guī)定，判定某項(xiàng)信息是否屬于個(gè)人信息，應(yīng)考慮兩條路徑：一是識(shí)別，即從信息到個(gè)人。二是關(guān)聯(lián)，即從個(gè)人到信息，如已知特定自然人，則由該特定自然人在其活動(dòng)中產(chǎn)生的信息即為個(gè)人信息?！白R(shí)別說(shuō)”和“關(guān)聯(lián)說(shuō)”進(jìn)一步拓展了個(gè)人信息的范圍，但是判斷的不明確性并沒(méi)有解決。

由于研究個(gè)人信息的視角更多是采用賦權(quán)的方式，即賦予個(gè)人信息主體權(quán)利，但是個(gè)人信息本身的內(nèi)涵和外延具有極大的彈性，靜態(tài)地以是否具有可識(shí)別性或關(guān)聯(lián)性并不能充分明確個(gè)人信息，還需要?jiǎng)討B(tài)地體系化地認(rèn)知個(gè)人信息。Eloise Gratton教授認(rèn)為通過(guò)引起風(fēng)險(xiǎn)的不同來(lái)界定個(gè)人信息。收集個(gè)人信息階段主要評(píng)估是否存在主觀傷害，因?yàn)樗３Ｉ婕耙环N情感或心理的傷害。利用個(gè)人信息階段主要評(píng)估是否存在客觀傷害。如果使用信息的方式?jīng)]有影響到個(gè)人或者影響是積極的，那么該信息即使能識(shí)別到個(gè)人，也不屬于個(gè)人信息?！? 〕當(dāng)然收集階段就能界定出應(yīng)屬于個(gè)人信息，則就不需要進(jìn)行后續(xù)的評(píng)估。

筆者并不否認(rèn)“可識(shí)別性”標(biāo)準(zhǔn)，但是該標(biāo)準(zhǔn)容易使個(gè)人信息的內(nèi)涵和外延失之明確。法律上討論的個(gè)人信息是需要保護(hù)的個(gè)人信息，可以在“可識(shí)別性”標(biāo)準(zhǔn)基礎(chǔ)上，再?gòu)膫€(gè)人信息處理的不同階段評(píng)估其存在的風(fēng)險(xiǎn)，具有主觀傷害風(fēng)險(xiǎn)或者客觀傷害風(fēng)險(xiǎn)的個(gè)人信息才是法律上界定的個(gè)人信息。正如民事法益這個(gè)概念，并不是民事主體的任何利益或自由都屬于法益。只有具有合法性、確定性、可救濟(jì)性的利益才給予法律保護(hù)。但是如何進(jìn)行具體判斷還需要放在具體案件中進(jìn)行動(dòng)態(tài)衡量。因此對(duì)個(gè)人信息的界定需要從靜態(tài)和動(dòng)態(tài)兩種視角進(jìn)行界定。

通過(guò)對(duì)個(gè)人信息的界定，個(gè)人信息的內(nèi)涵和外延與隱私有聯(lián)系也有區(qū)別。隱私權(quán)的保護(hù)范圍傳統(tǒng)上包括侵入他人私生活（侵入類型）及公開(kāi)私生活的事實(shí)（公開(kāi)類型），近年來(lái)隱私權(quán)更擴(kuò)張及于個(gè)人信息自主，而成為一種獨(dú)立的侵害類型?！?0 〕個(gè)人信息與隱私既有重合之處，也有不同的調(diào)整范圍。個(gè)人信息具有以下特殊性：（1）個(gè)人信息的財(cái)產(chǎn)性。（2）個(gè)人信息的可轉(zhuǎn)讓性。（3）個(gè)人信息匿名化利用的可能性。（4）個(gè)人信息整合的必要性。（5）個(gè)人信息產(chǎn)業(yè)化的時(shí)代性。相較于個(gè)人信息，隱私具有人格屬性，隱私在獲得隱私權(quán)人同意的基礎(chǔ)上須有限制地轉(zhuǎn)讓。隱私一旦被匿名化則不存在討論的價(jià)值，而個(gè)人信息匿名化后依然可以有利用價(jià)值。眾多個(gè)人隱私并沒(méi)有整合的必要，而個(gè)人信息經(jīng)過(guò)整合、分析還會(huì)產(chǎn)生新的價(jià)值，如對(duì)自然人開(kāi)車?yán)锍膛c行車驅(qū)間的整合便于車輛保險(xiǎn)的評(píng)估。從社會(huì)政治、經(jīng)濟(jì)發(fā)展的角度，大數(shù)據(jù)發(fā)展是時(shí)代的趨勢(shì)，而大數(shù)據(jù)中的個(gè)人信息不能僅僅依賴于小規(guī)模收集、分析、整理，應(yīng)當(dāng)使其產(chǎn)業(yè)化，真正服務(wù)于社會(huì)政治、經(jīng)濟(jì)、環(huán)境、醫(yī)療、公共治理等領(lǐng)域的發(fā)展?？紤]到個(gè)人信息的特殊性，個(gè)人信息從隱私中獨(dú)立出來(lái)實(shí)有必要。

我國(guó)《民法總則》對(duì)隱私與個(gè)人信息進(jìn)行了區(qū)分，隱私權(quán)作為獨(dú)立的權(quán)利與其他人格權(quán)一起放在第110條，而個(gè)人信息單獨(dú)放在第111條，個(gè)人信息是否能作為獨(dú)立的權(quán)利存在一定爭(zhēng)議。毫不夸張地說(shuō)，“權(quán)利”占據(jù)了當(dāng)代法律、政治話語(yǔ)的中心地位?！?1 〕王利明教授在《論個(gè)人信息權(quán)在人格權(quán)法中的地位》一文中，將個(gè)人信息表述為“個(gè)人信息權(quán)”?！?2 〕但是民事權(quán)利的法定化須具備以下要件：（1）權(quán)利主體明確。（2）權(quán)能具體化。（3）權(quán)利具有可救濟(jì)性。如果上述三要件不足，就有可能影響權(quán)利的法定化。如德國(guó)法創(chuàng)設(shè)的一般人格權(quán)，權(quán)能過(guò)于彈性，不夠具體，只能稱之為框架性權(quán)利。如環(huán)境權(quán)作為獨(dú)立的權(quán)利，民法學(xué)界一直存在質(zhì)疑，因?yàn)槠錂?quán)利主體不夠明確，權(quán)利內(nèi)容也失之具體，當(dāng)然并非一定是民事權(quán)利才能得到法律保護(hù)，利益在符合一定條件下也能得到法律的保護(hù)。《民法總則》規(guī)定了個(gè)人信息，是將個(gè)人信息視為法定權(quán)利還是法定利益？筆者更傾向于個(gè)人信息屬于法定利益。如果個(gè)人信息為權(quán)利，即權(quán)利人對(duì)個(gè)人信息享有支配權(quán)，但是個(gè)人信息的多重利用關(guān)系使之并不具備完全的支配性。個(gè)人信息是排他性指向個(gè)人的，但不必然由個(gè)人創(chuàng)設(shè)、占有或知悉。將個(gè)人信息作為利益調(diào)整則具有更強(qiáng)的靈活性?！睹穹倓t》對(duì)個(gè)人信息進(jìn)行了規(guī)定，個(gè)人信息呈現(xiàn)為法定利益，利益主體可以出現(xiàn)在不同階段，信息主體具有多元性，保護(hù)也不限于排他性的方式，這種思路有利于個(gè)人信息的不斷發(fā)展。

數(shù)據(jù)這個(gè)詞在拉丁文里是“已知”的意思，也可以理解為“事實(shí)”。如今數(shù)據(jù)代表著對(duì)某件事物的描述，數(shù)據(jù)可以記錄、分析和重組它?！?3 〕而信息也具有這樣的功能，因此信息與數(shù)據(jù)具有相通之處，數(shù)據(jù)更側(cè)重于通過(guò)技術(shù)的手段認(rèn)知，這也契合了網(wǎng)絡(luò)社會(huì)的發(fā)展，因此大數(shù)據(jù)時(shí)代不僅指稱數(shù)據(jù)數(shù)量的龐大，還體現(xiàn)了一種數(shù)據(jù)化的時(shí)代，是一種把現(xiàn)象轉(zhuǎn)變?yōu)榭芍票矸治龅牧炕问降倪^(guò)程?！睹穹倓t》第127條規(guī)定：“法律對(duì)數(shù)據(jù)、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的保護(hù)有規(guī)定的，依照其規(guī)定?！薄睹穹倓t》第126條規(guī)定：“民事主體享有法律規(guī)定的其他民事權(quán)利和利益。”127條在126條民事權(quán)利和利益的兜底條款之后，其體系地位還值得商榷。根據(jù)《民法總則》的規(guī)定，數(shù)據(jù)既不是權(quán)利也不是利益，只有在有規(guī)定時(shí)才給予保護(hù)。毋庸置疑，數(shù)據(jù)具有財(cái)產(chǎn)價(jià)值，但是數(shù)據(jù)的外延十分寬泛，很難窮盡，并非所有的數(shù)據(jù)都要被法律保護(hù)，如何保護(hù)則需要其他規(guī)范進(jìn)行細(xì)化。數(shù)據(jù)與信息既有聯(lián)系又有區(qū)別，數(shù)據(jù)是信息的具體表現(xiàn)形式，信息需要經(jīng)過(guò)數(shù)字化轉(zhuǎn)變成數(shù)據(jù)才能存儲(chǔ)和運(yùn)輸。當(dāng)然從數(shù)據(jù)的內(nèi)容層面來(lái)看，數(shù)據(jù)與信息可以互用。數(shù)據(jù)所承載的內(nèi)容有信息和非信息?！?4 〕個(gè)人信息與隱私存在交叉也存在不同，數(shù)據(jù)、個(gè)人信息、隱私的客體分別體現(xiàn)為利益、法定利益、權(quán)利。《民法總則》將數(shù)據(jù)單獨(dú)規(guī)定具有妥當(dāng)性，但是127條應(yīng)放在126條之前，這樣《民法總則》第126條民事主體享有法律規(guī)定的其他民事權(quán)利和利益就真正發(fā)揮了兜底條款的功能。

三、個(gè)人信息的分類

個(gè)人信息的外延十分寬泛，我們?cè)诿枋鰝€(gè)人信息時(shí)，常常以個(gè)人參與的社會(huì)活動(dòng)為參照，如購(gòu)物信息、教育信息、交通信息、醫(yī)療信息、金融信息、社保信息等。這種分類有利于直觀地把握個(gè)人信息，但是卻無(wú)法窮盡個(gè)人信息，也不利于準(zhǔn)確界分個(gè)人信息。類型化的方法是為了更充分全面認(rèn)識(shí)某一范疇，因此選取何種標(biāo)準(zhǔn)進(jìn)行分類則至關(guān)重要。學(xué)界通說(shuō)認(rèn)為，以個(gè)人信息與個(gè)人是否具有直接相關(guān)性，將個(gè)人信息區(qū)分為敏感信息與非敏感信息。敏感信息是指關(guān)涉?zhèn)€人隱私核心領(lǐng)域、具有高度私密性、對(duì)其公開(kāi)或利用將會(huì)對(duì)個(gè)人造成重大影響的個(gè)人信息，如有關(guān)性生活、基因信息、醫(yī)療記錄、財(cái)務(wù)信息等個(gè)人信息?！?5 〕敏感信息應(yīng)受嚴(yán)格保護(hù)，不能隨便公開(kāi)。《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》認(rèn)為個(gè)人敏感信息是指一旦遭到泄露或修改，會(huì)對(duì)標(biāo)識(shí)的個(gè)人信息主體造成不良影響的個(gè)人信息。各行業(yè)個(gè)人敏感信息的具體內(nèi)容根據(jù)接受服務(wù)的個(gè)人信息主體意愿和各自業(yè)務(wù)特點(diǎn)確定。例如個(gè)人敏感信息可以包括身份證號(hào)碼、手機(jī)號(hào)碼、種族、政治觀點(diǎn)、宗教信仰、基因、指紋等。該指南以是否造成不良影響作為區(qū)分標(biāo)準(zhǔn)。非敏感信息可以在一定程度上公開(kāi)，在保護(hù)上前者嚴(yán)格于后者。〔16 〕敏感信息與非敏感信息的區(qū)分是典型對(duì)極思考的方法，能窮盡所有個(gè)人信息。但是判斷“敏感性”的標(biāo)準(zhǔn)卻不夠具體，因?yàn)槭欠窬哂忻舾行员旧磉€要再進(jìn)一步判斷，該種判斷主要是價(jià)值判斷，缺乏明確的衡量依據(jù)，如財(cái)務(wù)信息應(yīng)屬敏感信息，但在金融活動(dòng)或者納稅活動(dòng)時(shí)可以在一定范圍公開(kāi)，則敏感性在不同環(huán)境中的表現(xiàn)并不統(tǒng)一。可見(jiàn)隨著環(huán)境的不同，個(gè)人信息是否具有敏感性也會(huì)發(fā)生變化。至今為止，該分類標(biāo)準(zhǔn)下的具體化并沒(méi)有完成，敏感與非敏感信息具有思維判斷的價(jià)值，但也存在不可彌補(bǔ)的漏洞。

根據(jù)掌握個(gè)人信息的主體不同，將個(gè)人信息區(qū)分為政府控制下的個(gè)人信息、自然人控制的個(gè)人信息以及其他組織體控制的個(gè)人信息，該分類標(biāo)準(zhǔn)也比較周延，但是三種類別下的個(gè)人信息存在交叉，個(gè)人信息如何進(jìn)一步流通會(huì)發(fā)生沖突。如身份證號(hào)碼由政府提供，自然人自身也控制著身份證號(hào)碼，行政部門并不能隨意使用個(gè)人信息。個(gè)人信息與有體物區(qū)別之一就在于個(gè)人信息可以由多人共享，不存在可消耗性，因此有的個(gè)人信息可以由多個(gè)主體支配，但是如何支配應(yīng)受相應(yīng)的主體法調(diào)整，進(jìn)而疏通個(gè)人信息流通的管道。如《政府信息公開(kāi)條例》《網(wǎng)絡(luò)安全法》等規(guī)范對(duì)政府機(jī)關(guān)處理個(gè)人信息提供了依據(jù)。對(duì)于其他組織體控制的個(gè)人信息，主要從隱私權(quán)的角度，體現(xiàn)在金融部門、醫(yī)療部門、企業(yè)經(jīng)營(yíng)者等主體對(duì)消費(fèi)者個(gè)人信息的保護(hù)，但是對(duì)于其他不能通過(guò)隱私權(quán)保護(hù)的個(gè)人信息則缺乏體系化的保護(hù)手段。

個(gè)人信息的分類標(biāo)準(zhǔn)，不僅要周延，還要能對(duì)個(gè)人信息的流通進(jìn)行更深入的分析，從而提供法律的支撐。將個(gè)人信息類比為“新的石油”的觀點(diǎn)，日益得到了大眾的接受，個(gè)人信息會(huì)以新型資產(chǎn)的形式出現(xiàn)在社會(huì)的各個(gè)領(lǐng)域，以動(dòng)態(tài)角度審視個(gè)人信息，我們會(huì)發(fā)現(xiàn)個(gè)人信息流通的軌跡存在差異。完全由自然人自己提供的個(gè)人信息，如果要流通，自然人進(jìn)行干預(yù)則相對(duì)容易。筆者以個(gè)人信息的形成為標(biāo)準(zhǔn)，將個(gè)人信息分為四類：〔17 〕志愿者信息、政府強(qiáng)制采集的個(gè)人信息、測(cè)量信息、推測(cè)信息。志愿者信息是客戶自己提供的信息，如招聘網(wǎng)上公開(kāi)的個(gè)人簡(jiǎn)歷，在網(wǎng)絡(luò)購(gòu)物中申請(qǐng)注冊(cè)賬號(hào)時(shí)所填寫的個(gè)人信息、信用卡賬號(hào)等。政府強(qiáng)制采集的個(gè)人信息是指政府基于公共管理職能收集的個(gè)人信息，如公安管理部門對(duì)戶籍的調(diào)查，統(tǒng)計(jì)部門的人口普查等。測(cè)量信息是指隨著個(gè)人活動(dòng)而記錄的信息，如智能手機(jī)的GPS所記錄的位置信息、網(wǎng)頁(yè)瀏覽記錄、通話記錄等記錄信息等。推測(cè)信息是指通過(guò)對(duì)前三種信息分析而得到的信息，如商家根據(jù)消費(fèi)者的購(gòu)物記錄等分析提供的精準(zhǔn)營(yíng)銷?！?8 〕

該分類側(cè)重于個(gè)人信息的形成，從個(gè)人信息形成入手，更容易審視個(gè)人信息;該分類不僅可以更好地把握個(gè)人信息，還能便于從流通環(huán)節(jié)保護(hù)個(gè)人信息。該分類相較于敏感與非敏感的個(gè)人信息有以下便利之處：（1）從形成的角度分析，有利于明晰不同階段個(gè)人信息的權(quán)利主體。如銀行掌握的消費(fèi)者的金融信息，在權(quán)利不得濫用的限制下，銀行在合理評(píng)價(jià)信息主體的基礎(chǔ)上，可以更好地為消費(fèi)者進(jìn)行服務(wù)。測(cè)量信息是通過(guò)一定技術(shù)手段獲得，其本身是價(jià)值中立的，但是該種信息經(jīng)過(guò)處理后可能會(huì)對(duì)經(jīng)濟(jì)、交通、醫(yī)療等領(lǐng)域產(chǎn)生價(jià)值，對(duì)于該種個(gè)人信息的流通也不能侵犯?jìng)€(gè)人隱私權(quán)和人格尊嚴(yán)等人格利益。（2）產(chǎn)生的途徑不同也決定了信息獲取的不同。志愿者信息和測(cè)量信息是對(duì)客觀存在的反映，準(zhǔn)確性較高，主要由信息自然人支配。而推測(cè)信息是對(duì)個(gè)人信息再分析挖掘處理而產(chǎn)生的，一般是由自然人之外的組織體完成，需要借助相對(duì)復(fù)雜的技術(shù)才能實(shí)現(xiàn)，是信息再加工的過(guò)程。（3）該種分類更加注重個(gè)人信息的不斷發(fā)展，以動(dòng)態(tài)的視角對(duì)待個(gè)人信息。敏感與非敏感個(gè)人信息以“敏感性”作為標(biāo)準(zhǔn)，由存在“敏感性”進(jìn)行判斷，這就容易陷入循環(huán)定義的困境，這是一種靜態(tài)分析個(gè)人信息的視角。但是以個(gè)人信息形成階段來(lái)區(qū)分個(gè)人信息，就可以比較清晰地發(fā)現(xiàn)個(gè)人信息產(chǎn)生的不同階段，哪些屬于原始個(gè)人信息，哪些屬于加工個(gè)人信息，哪些屬于客觀信息的記錄，哪些屬于主觀評(píng)價(jià)的個(gè)人信息，哪些屬于人們記錄的個(gè)人信息，哪些屬于技術(shù)形成的個(gè)人信息。

有學(xué)者提出，數(shù)據(jù)可以分為“原生數(shù)據(jù)”和“衍生數(shù)據(jù)”，〔19 〕或者稱之為基礎(chǔ)數(shù)據(jù)與增值數(shù)據(jù)，該種分類是從數(shù)據(jù)的產(chǎn)生角度進(jìn)行劃分，比較周延。但是二分法過(guò)于簡(jiǎn)單，哪些是原生數(shù)據(jù)，哪些是衍生數(shù)據(jù)，還需要進(jìn)一步劃分，失之具體。也有學(xué)者提出個(gè)人信息來(lái)源主要有四類：一是由個(gè)人信息權(quán)利主體提供;二是網(wǎng)絡(luò)服務(wù)商通過(guò)Cookies等工具抓取;三是基于管理職能由數(shù)據(jù)控制人主動(dòng)收集;四是通過(guò)不法手段惡意盜取?！?0 〕該分類標(biāo)準(zhǔn)并不明晰，前三種類別與第四種類別是合法與非法的區(qū)別，第二種類別與第四種類別是情形描述，非概括性分類，容易掛一漏萬(wàn)。

對(duì)個(gè)人信息分類便于理順個(gè)人信息流通的權(quán)利義務(wù)關(guān)系，在敏感信息與非敏感信息分類體系下，前一種個(gè)人信息要流通，必須征得信息主體的同意，還要受嚴(yán)格的限制。后一種個(gè)人信息流通在征得信息主體同意的基礎(chǔ)上，可以自由流通。問(wèn)題的焦點(diǎn)就在于非敏感個(gè)人信息流通應(yīng)否取得同意，如果要取得同意，如何實(shí)現(xiàn)同意。可見(jiàn)在該種分類中，“同意”是問(wèn)題的關(guān)鍵。但是該分類在區(qū)分標(biāo)準(zhǔn)上的循環(huán)定義所造成的模糊性使之存在天然不足。根據(jù)不同標(biāo)準(zhǔn)劃分的自然人支配的個(gè)人信息、政府支配的個(gè)人信息、其他組織體支配的個(gè)人信息，該分類忽略了個(gè)人信息可能會(huì)被多主體共享，如何流通不可避免存在權(quán)利義務(wù)沖突。

四、個(gè)人信息的流通體系

《民法總則》第111條規(guī)定，自然人的個(gè)人信息受法律保護(hù)。如果個(gè)人信息不流通，其法律風(fēng)險(xiǎn)也就不存在。因?yàn)閭€(gè)人信息不公開(kāi)利用，即使由非信息權(quán)利主體控制，其危害性也很難證立。對(duì)個(gè)人信息的保護(hù)不能只強(qiáng)調(diào)事后救濟(jì)，要防止個(gè)人信息不當(dāng)利用的重點(diǎn)還應(yīng)規(guī)范個(gè)人信息的流通。雖然從個(gè)人信息產(chǎn)生之初，存在通過(guò)隱私來(lái)保護(hù)個(gè)人信息的觀點(diǎn)，但是發(fā)展到今天，個(gè)人信息的自身價(jià)值已被認(rèn)可，我國(guó)《民法總則》又單獨(dú)規(guī)定了個(gè)人信息，這為個(gè)人信息的立法完善奠定了良好的基礎(chǔ)。但是個(gè)人信息流通的界定、流通原則、流通主體、流通程序等體系化的制度還尚付闕如，而這也是《民法總則》第111條所留下的立法空白。

（一）個(gè)人信息流通的界定

“流通”漢語(yǔ)的釋義是流動(dòng)通行，包括商品買賣行為以及相互聯(lián)系、相互交錯(cuò)的各個(gè)商品形態(tài)變化所形成的循環(huán)的總體。廣義的流通，還包括在商品流通領(lǐng)域中繼續(xù)進(jìn)行的生產(chǎn)過(guò)程，如商品的運(yùn)輸、檢驗(yàn)、分類、包裝、儲(chǔ)存、保管等。個(gè)人信息涉及的環(huán)節(jié)非常多，《民法總則》第111條確立的環(huán)節(jié)包括收集、使用、加工、傳輸、買賣、提供或公開(kāi)個(gè)人信息?！缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》具體規(guī)定了個(gè)人信息的收集、保存、使用、委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露。《個(gè)人信息保護(hù)指南》用個(gè)人信息處理來(lái)概括個(gè)人信息的收集、加工、轉(zhuǎn)移、刪除4個(gè)主要環(huán)節(jié)。也有學(xué)者用個(gè)人信息處理進(jìn)行界定?！?1 〕但是“處理”的漢語(yǔ)釋義是指處置、安排、解決，不能很好地表達(dá)個(gè)人信息涉及的各種環(huán)節(jié)。而且2018年的《信息安全技術(shù)個(gè)人信息安全規(guī)范》將“處理”單獨(dú)規(guī)定，很明顯用“處理”指代個(gè)人信息的所有環(huán)節(jié)，很難得到一致認(rèn)可。個(gè)人信息相關(guān)性、集合性等特質(zhì)決定了對(duì)個(gè)人信息進(jìn)行分析，個(gè)人信息的價(jià)值可以被提煉出來(lái)，因此個(gè)人信息流通過(guò)程中往往存在對(duì)個(gè)人信息的處理。高志明博士采用了“流轉(zhuǎn)”的表達(dá)。〔22 〕法律上的流轉(zhuǎn)主要適用于土地使用權(quán)的流轉(zhuǎn)，是指權(quán)利人將其土地權(quán)利全部或部分權(quán)能通過(guò)轉(zhuǎn)包、互換、出資、入股、轉(zhuǎn)讓等方式轉(zhuǎn)移給他人的行為。流轉(zhuǎn)側(cè)重于交易，但是個(gè)人信息涉及的環(huán)節(jié)并非都存在交易，可見(jiàn)用流轉(zhuǎn)外延過(guò)窄。本文采用“流通”來(lái)界定個(gè)人信息的各環(huán)節(jié)，不僅可以涵蓋個(gè)人信息的所有環(huán)節(jié)，而且不會(huì)產(chǎn)生歧義。流通相較于“處理”更便于接受，流通相較于“流轉(zhuǎn)”更清晰，個(gè)人信息流通包括個(gè)人信息的采集、保存、分析挖掘、轉(zhuǎn)讓及利用等整個(gè)環(huán)節(jié)。

（二）個(gè)人信息流通原則

個(gè)人信息流通原則是貫穿于個(gè)人信息流通整個(gè)環(huán)節(jié)的根本準(zhǔn)則。根據(jù)《歐盟一般數(shù)據(jù)保護(hù)條例》等立法，歐盟個(gè)人信息流通原則主要包括：數(shù)據(jù)質(zhì)量原則、目的限制原則、同意原則、透明原則、保密安全性原則?！?3 〕我國(guó)個(gè)人信息相關(guān)規(guī)范參考?xì)W盟立法較多，《個(gè)人信息保護(hù)指南》規(guī)定個(gè)人信息管理者在使用信息系統(tǒng)對(duì)個(gè)人信息進(jìn)行處理時(shí)，宜遵循以下基本原則：（1）目的明確原則。（2）最少夠用原則。（3）公開(kāi)告知原則。（4）個(gè)人同意原則。（5）質(zhì)量保證原則。（6）安全保障原則。（7）誠(chéng)信履行原則。（8）責(zé)任明確原則。美國(guó)個(gè)人信息流動(dòng)主要體現(xiàn)了合理使用信息原則，包括透明性、個(gè)人參與、明確用途、數(shù)據(jù)最小化、使用限制、數(shù)據(jù)質(zhì)量和完整性、安全性、責(zé)任和審計(jì)原則。與歐盟相比，美國(guó)的隱私保護(hù)原則不再?gòu)?qiáng)調(diào)個(gè)人的權(quán)利，特別是個(gè)人對(duì)個(gè)人信息處理活動(dòng)的控制力，而僅僅是弱化為透明性和個(gè)人的參與。美國(guó)的原則更多從企業(yè)的最低責(zé)任出發(fā)來(lái)規(guī)定，例如企業(yè)應(yīng)當(dāng)明確用途、提供安全保障等?！?4 〕我國(guó)未來(lái)的個(gè)人信息保護(hù)法是繼續(xù)借鑒歐盟的嚴(yán)格流通原則，還是借鑒美國(guó)較為寬松的流通原則，值得進(jìn)一步思考。個(gè)人信息總體上兼有人格屬性與財(cái)產(chǎn)屬性，特別是個(gè)人信息類別的不同決定了其財(cái)產(chǎn)屬性的強(qiáng)弱，為了更好地利用個(gè)人信息，不能過(guò)分限制財(cái)產(chǎn)屬性較強(qiáng)的個(gè)人信息的流通。歐盟的目的限制原則強(qiáng)調(diào)收集個(gè)人信息應(yīng)當(dāng)出于特定的、明確的和合法的目的，但是一些個(gè)人信息的收集、保存行為之初并不明確個(gè)人信息處理的目的，個(gè)人信息也許僅僅作為特別的資產(chǎn)進(jìn)行處理，其利用目的可能在后續(xù)流通過(guò)程中逐步凸顯出來(lái)。嚴(yán)格的目的限定往往會(huì)被信息處理者規(guī)避，就如同嚴(yán)格的同意原則未發(fā)揮實(shí)效。在整體的個(gè)人信息保護(hù)環(huán)境還沒(méi)有形成之前，這兩項(xiàng)基本原則往往流于形式。

我國(guó)未來(lái)的個(gè)人信息保護(hù)法在確立個(gè)人信息流通的基本原則方面應(yīng)考慮以下兩方面：（1）個(gè)人信息流通制度不僅應(yīng)當(dāng)保護(hù)個(gè)人信息主體的合法利益，還應(yīng)當(dāng)激勵(lì)個(gè)人信息的有效流通，同時(shí)又不濫用權(quán)利，從而實(shí)現(xiàn)各方利益平衡。（2）個(gè)人信息流通還應(yīng)助力共享經(jīng)濟(jì)的發(fā)展。共享經(jīng)濟(jì)作為市場(chǎng)經(jīng)濟(jì)在信息化時(shí)代的高級(jí)形態(tài)，其通過(guò)互聯(lián)網(wǎng)平臺(tái)的運(yùn)用能在第一時(shí)間發(fā)現(xiàn)并調(diào)整市場(chǎng)經(jīng)濟(jì)實(shí)踐中出現(xiàn)的供需失衡現(xiàn)象，便于及時(shí)形成市場(chǎng)經(jīng)濟(jì)的動(dòng)態(tài)平衡，優(yōu)化市場(chǎng)資源配置?！?5 〕個(gè)人信息收集、保存、分析、利用等環(huán)節(jié)都會(huì)傾注信息處理者的勞動(dòng)，在某些領(lǐng)域，信息共享能帶來(lái)更大的收益，信息處理的成本可以由社會(huì)分擔(dān)。比如一些活動(dòng)軌跡的測(cè)量信息既可以由個(gè)人信息主體利用，也可以由技術(shù)使用者的信息主體利用，但不能權(quán)利濫用。另外信息的自身性質(zhì)也決定了可以共享。

可見(jiàn)，過(guò)去絕對(duì)保護(hù)個(gè)人信息主體的理念并不適合個(gè)人信息的最新發(fā)展，促進(jìn)個(gè)人信息有序流通，實(shí)現(xiàn)個(gè)人信息合法共享應(yīng)成為個(gè)人信息流通遵循的理念。

筆者認(rèn)為個(gè)人信息流通的基本原則主要包括：（1）權(quán)利不得濫用原則。個(gè)人信息流通中不得侵犯?jìng)€(gè)人信息主體的隱私權(quán)，不得違反公序良俗。（2）非歧視原則。個(gè)人信息在利用過(guò)程中，不能單純依據(jù)個(gè)人信息對(duì)信息主體提供不公平的待遇。（3）透明原則。信息利用者的信息公示義務(wù)，應(yīng)向個(gè)人信息主體告知：信息的類型、信息處理者的身份、處理的目的、信息的接收方等。（4）嚴(yán)格禁止敏感個(gè)人信息處理原則。一般情況下禁止處理可能泄露個(gè)人種族、民族、政治觀點(diǎn)、宗教信仰、健康等方面的信息。（5）受益原則。個(gè)人信息一旦被信息主體利用，自然人對(duì)個(gè)人信息的控制將會(huì)減弱，但是個(gè)人信息與個(gè)人權(quán)利主體密切相關(guān)，利益共享機(jī)制應(yīng)逐步建立，從而激勵(lì)個(gè)人信息更有效率地流動(dòng)。

（三）個(gè)人信息流通主體

個(gè)人信息是對(duì)自然人情況的反映，自然人對(duì)其享有法定利益。從個(gè)人信息流通的環(huán)節(jié)來(lái)看，個(gè)人信息流通涉及多個(gè)主體。采集個(gè)人信息的環(huán)節(jié)包括公法采集主體與私法采集主體。公法主體主要是行政機(jī)關(guān)以及法律法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織，公權(quán)力部門采集個(gè)人信息應(yīng)遵循社會(huì)公共利益原則，不得濫用該權(quán)力。私法主體包括其他組織體，主要分為以下幾類：第一類是個(gè)人信息提供者，包括：（1）征信機(jī)構(gòu)，是指依法設(shè)立，主要經(jīng)營(yíng)征信業(yè)務(wù)的機(jī)構(gòu)。征信業(yè)務(wù)，是指對(duì)企業(yè)、事業(yè)單位等組織（以下統(tǒng)稱企業(yè)）的信用信息和個(gè)人的信用信息進(jìn)行采集、整理、保存、加工，并向信息使用者提供的活動(dòng)。（2）大數(shù)據(jù)交易平臺(tái)。比如2015年4月成立的貴陽(yáng)大數(shù)據(jù)交易所，2014年4月成立的中關(guān)村大數(shù)據(jù)產(chǎn)業(yè)聯(lián)盟、中關(guān)村數(shù)據(jù)交易中心，2016年4月成立的上海大數(shù)據(jù)交易中心等。規(guī)范的數(shù)據(jù)流通平臺(tái)的搭建，對(duì)于抑制黑市信息交易，減少騷擾垃圾信息、規(guī)范數(shù)據(jù)交易行為，以及促進(jìn)數(shù)據(jù)產(chǎn)業(yè)的發(fā)展意義深遠(yuǎn)?！?6 〕由于個(gè)人信息保護(hù)的相關(guān)規(guī)范比較缺失，也有很多非法的信息提供者。認(rèn)定主體非法的標(biāo)準(zhǔn)之一，就是其采集個(gè)人信息的范圍超越了法定范圍。如《征信業(yè)管理?xiàng)l例》第14條規(guī)定：“禁止征信機(jī)構(gòu)采集個(gè)人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個(gè)人信息。征信機(jī)構(gòu)不得采集個(gè)人的收入、存款、有價(jià)證券、商業(yè)保險(xiǎn)、不動(dòng)產(chǎn)的信息和納稅數(shù)額信息。但是，征信機(jī)構(gòu)明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并取得其書面同意的除外?！痹撘?guī)定同樣也適用于其他的信息提供者。認(rèn)定非法信息提供者的標(biāo)準(zhǔn)之二，就是其設(shè)立不符合征信機(jī)構(gòu)設(shè)立的條件。認(rèn)定非法信息提供者的標(biāo)準(zhǔn)之三，就是其采集信息的程序未征得信息主體的同意。第三類是個(gè)人信息使用者。個(gè)人信息流通的最終目的就是利用個(gè)人信息。個(gè)人信息使用者往往就是個(gè)人信息流通的終端環(huán)節(jié)。個(gè)人信息使用者本身有可能就是個(gè)人信息的收集者，其使用個(gè)人信息應(yīng)符合個(gè)人信息流通的基本原則。第四類是個(gè)人信息處理者。個(gè)人信息處理者可能是一個(gè)獨(dú)立的主體，也可能就是信息提供者，如貴州交易平臺(tái)可以對(duì)數(shù)據(jù)建模分析，協(xié)助大數(shù)據(jù)供應(yīng)商將數(shù)據(jù)價(jià)值提煉出來(lái)，變成可以交易的數(shù)據(jù)資產(chǎn)。這時(shí)貴州交易平臺(tái)既是個(gè)人信息處理者也是個(gè)人信息使用者。

筆者對(duì)個(gè)人信息主體的劃分是根據(jù)個(gè)人信息流通環(huán)節(jié)進(jìn)行的劃分，包括個(gè)人信息權(quán)利主體、個(gè)人信息提供者、個(gè)人信息處理者、個(gè)人信息使用者，上述主體可能獨(dú)立存在，也可能重合。

（四）個(gè)人信息流通程序

個(gè)人信息是對(duì)自然人情況的信息記錄，在流通過(guò)程中應(yīng)遵守個(gè)人信息流通的基本原則。個(gè)人信息流通根據(jù)自然人是否為流通的主體，區(qū)分為一級(jí)市場(chǎng)流通與二級(jí)市場(chǎng)流通。一級(jí)市場(chǎng)是指自然人自己提供的個(gè)人信息被其他主體收集。二級(jí)市場(chǎng)是指其他主體將自己獲得的個(gè)人信息再次流通出去。一級(jí)市場(chǎng)中個(gè)人信息主要包括自己提供的個(gè)人信息、測(cè)量信息。根據(jù)《網(wǎng)絡(luò)安全法》等規(guī)范，我國(guó)收集個(gè)人信息，應(yīng)征得自然人信息主體的同意。歐盟新頒布的《一般數(shù)據(jù)保護(hù)條例》進(jìn)一步強(qiáng)化了信息主體同意規(guī)則。我國(guó)相關(guān)立法也遵循了同意規(guī)則。如《征信業(yè)管理?xiàng)l例》第13條規(guī)定：“采集個(gè)人信息應(yīng)當(dāng)經(jīng)信息主體本人同意，未經(jīng)本人同意不得采集。但是，依照法律、行政法規(guī)規(guī)定公開(kāi)的信息除外。”第18條規(guī)定：“向征信機(jī)構(gòu)查詢個(gè)人信息的，應(yīng)當(dāng)取得信息主體本人的書面同意并約定用途。但是，法律規(guī)定可以不經(jīng)同意查詢的除外。征信機(jī)構(gòu)不得違反前款規(guī)定提供個(gè)人信息?！钡?9條規(guī)定：“征信機(jī)構(gòu)或者信息提供者、信息使用者采用格式合同條款取得個(gè)人信息主體同意的，應(yīng)當(dāng)在合同中作出足以引起信息主體注意的提示，并按照信息主體的要求作出明確說(shuō)明?！钡?0條規(guī)定：“信息使用者應(yīng)當(dāng)按照與個(gè)人信息主體約定的用途使用個(gè)人信息，不得用作約定以外的用途，不得未經(jīng)個(gè)人信息主體同意向第三方提供。”我國(guó)的同意規(guī)則表現(xiàn)為積極同意、格式條款規(guī)制、限定用途的特征。但是嚴(yán)格的同意規(guī)則在實(shí)踐中并沒(méi)有充分發(fā)揮作用，未征得同意或者流于形式的同意非常普遍。同意規(guī)則的理論基礎(chǔ)就是個(gè)人信息來(lái)源于自然人，因此自然人有權(quán)支配個(gè)人信息，該觀點(diǎn)仍有待商榷。民事主體對(duì)客體的支配主要基于生產(chǎn)、先占、交易等關(guān)系，人身權(quán)的支配也是對(duì)主體的保護(hù)，人格利益與主體是重合的，其實(shí)體現(xiàn)的是主體的自由。但是個(gè)人信息并不是自然人勞動(dòng)獲得，有些個(gè)人信息還是有關(guān)組織體賦予的，如身份證號(hào)、社會(huì)保障號(hào)、電話號(hào)碼等。從主客體角度，個(gè)人信息與自然人并不存在主客體的支配關(guān)系。當(dāng)然某些個(gè)人信息本身就是自然人人格權(quán)的體現(xiàn)，如姓名、肖像等，這時(shí)自然人的支配正是主體自由的表現(xiàn)。對(duì)有些信息，個(gè)人可能從來(lái)就不曾有過(guò)支配，如病人對(duì)自己的醫(yī)療記錄就未必了解。有的個(gè)人信息在被收集以前僅僅是一種客觀存在，由于被收集處理，才有了經(jīng)濟(jì)價(jià)值，這時(shí)個(gè)人信息的“信息源”是個(gè)人，“價(jià)值源”卻是個(gè)人信息的處理者?！?7 〕從個(gè)人信息的經(jīng)濟(jì)價(jià)值本身來(lái)看，個(gè)人信息的集合價(jià)值大于單個(gè)價(jià)值，而如何收集、整理、分析必然要付出一定的勞動(dòng)，對(duì)于個(gè)人信息的經(jīng)濟(jì)利益，個(gè)人信息處理者可以主張。如果一些個(gè)人信息本身體現(xiàn)了自然人的人格權(quán)，即使對(duì)其利用產(chǎn)生較大的經(jīng)濟(jì)價(jià)值，也應(yīng)對(duì)其限制利用或禁止利用。一級(jí)市場(chǎng)中即使直接針對(duì)自然人進(jìn)行信息采集，信息主體的同意機(jī)制也不應(yīng)絕對(duì)適用。禁止采集的個(gè)人信息是絕對(duì)不能流通，當(dāng)然不適用同意規(guī)則;對(duì)于限制采集的個(gè)人信息，應(yīng)征得信息主體同意。同意分為積極同意與消極同意，積極同意是明示表示同意。消極同意是指未反對(duì)，即視為同意。筆者認(rèn)為對(duì)于限制采集的個(gè)人信息應(yīng)遵循積極同意，但是對(duì)于其他的個(gè)人信息應(yīng)以事后拒絕機(jī)制代替同意機(jī)制，同時(shí)受流通原則的規(guī)制，不僅要保證收集個(gè)人信息的程序透明，在技術(shù)上實(shí)現(xiàn)自然人信息主體行使事后拒絕權(quán)利時(shí)能倒追到信息收集者。

二級(jí)市場(chǎng)中自然人信息主體并不會(huì)介入個(gè)人信息的保存、利用、轉(zhuǎn)讓等流通程序中，《網(wǎng)絡(luò)安全法》第41條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開(kāi)收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意?！墩餍艠I(yè)管理?xiàng)l例》第20條規(guī)定，信息使用者應(yīng)當(dāng)按照與個(gè)人信息主體約定的用途使用個(gè)人信息，不得用作約定以外的用途，不得未經(jīng)個(gè)人信息主體同意向第三方提供?，F(xiàn)行規(guī)定并沒(méi)有區(qū)分是否有自然人個(gè)人信息主體，即使在二級(jí)市場(chǎng)，也要受同意規(guī)則、目的特定原則的限制。二級(jí)市場(chǎng)上真正能比較自由流通的信息主要是匿名數(shù)據(jù)，匿名數(shù)據(jù)本身已經(jīng)不是個(gè)人信息了，不在本文探討范圍。對(duì)于非匿名信息，應(yīng)在遵循個(gè)人信息流通的基本原則基礎(chǔ)上，由信息處理者自主決定?；诜A賦效應(yīng)理論，人們?cè)跊Q策過(guò)程中對(duì)利害的權(quán)衡是不均衡的，對(duì)“避害”的考慮遠(yuǎn)大于對(duì)“趨利”的考慮。出于對(duì)損失的畏懼，人們?cè)诔鲑u商品時(shí)往往索要過(guò)高的價(jià)格。產(chǎn)權(quán)初始配置很重要，如果個(gè)人信息流通適用同意規(guī)則，那么自然人信息主體出賣信息往往也會(huì)索要更高價(jià)格，不利于個(gè)人信息流通。簡(jiǎn)而言之，二級(jí)市場(chǎng)的個(gè)人信息的價(jià)值應(yīng)主要由信息處理者享有，在流通中發(fā)生的價(jià)值增值可以由自然人信息主體共享。

結(jié)語(yǔ)——回應(yīng)實(shí)踐

我國(guó)個(gè)人信息的規(guī)定散見(jiàn)于法律、行政法規(guī)等規(guī)范性文件中，個(gè)人信息的界定、分類及流通還未達(dá)成理論共識(shí)?！睹穹倓t》第111條關(guān)于個(gè)人信息的宣示性規(guī)定，急需要具體規(guī)定的細(xì)化，個(gè)人信息的內(nèi)涵和外延需要明確化。本文在對(duì)個(gè)人信息界定的基礎(chǔ)上，將個(gè)人信息與隱私及數(shù)據(jù)進(jìn)行了比較，并進(jìn)行全面的分析，厘清了三者關(guān)系。接著又對(duì)個(gè)人信息的分類進(jìn)行了梳理，提出以個(gè)人信息形成為標(biāo)準(zhǔn)的分類，彌補(bǔ)了敏感信息與非敏感信息分類的不足，從而為個(gè)人信息合理利用奠定基礎(chǔ)。最后從個(gè)人信息流通界定、個(gè)人信息流通原則、個(gè)人信息流通主體、個(gè)人信息流通程序四個(gè)方面對(duì)個(gè)人信息流通的體系進(jìn)行了構(gòu)建，從而為解釋《民法總則》第111條奠定了理論基礎(chǔ)，以期實(shí)現(xiàn)個(gè)人信息保護(hù)的法制化。