姜保忠，來宇

摘要：個人信息處理規(guī)則是信息保護制度的風(fēng)向標(biāo)，反映了制度在信息利用與保護之間的價值偏向。實現(xiàn)個人信息保護與利用的衡平，本質(zhì)上是追求效益最大化的資源配置問題。法經(jīng)濟學(xué)中的邊際效益理論以及靜態(tài)博弈范式有助于對個人信息處理規(guī)則的法律效果作出鑒證。通過邊際成本收益分析，信息處理規(guī)則中對主體、處理者以及信息的分類正視了不同情形下帕累托最優(yōu)點的差異，提高了資源的配置效率。在靜態(tài)博弈視角下，信息處理規(guī)則的確立規(guī)避了信息主體與信息處理者雙方消極對立的囚徒困境，促進了信息要素市場的流通。針對實踐中存在的一般個人信息保護過度以及敏感個人信息保護不足的問題，應(yīng)通過動態(tài)化信息分類、督促企業(yè)數(shù)據(jù)保護合規(guī)等方式予以解決。

關(guān)鍵詞：個人信息處理規(guī)則；保護與利用；邊際收益；博弈

中圖分類號：D912.1

文獻標(biāo)識碼：A

文章編號：1673-8268（2022）05-0057-09

一、問題的提出

2021年11月1日，《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）正式施行。作為我國在信息網(wǎng)絡(luò)時代個人信息保護方面的第一部專門法律，也是中國特色社會主義法治體系建設(shè)的重要成果，《個人信息保護法》承擔(dān)了“保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用”參見《個人信息保護法》第1條。的重要責(zé)任。習(xí)近平總書記在2021年亞太經(jīng)合組織會議上倡導(dǎo)，要“加強數(shù)字基礎(chǔ)設(shè)施建設(shè)，促進新技術(shù)傳播和運用，努力構(gòu)建開放、公平、非歧視的數(shù)字營商環(huán)境”［1］。面對新型的數(shù)字經(jīng)濟關(guān)系，傳統(tǒng)的法律制度及法律觀念表現(xiàn)出一些局限我國個人信息保護源自隱私保護，最初是通過名譽權(quán)、姓名權(quán)、肖像權(quán)等具體人格權(quán)的侵權(quán)救濟得以實現(xiàn)。2009年《侵權(quán)責(zé)任法》正式確立隱私權(quán)，個人信息通過隱私侵害予以救濟。但在功能和作用方面，我國隱私范圍主要包含私人的生活空間和生活秘密，隱私權(quán)是消極防御隱私不被侵害，不具有積極控制和利用的功能。（參見王利明：《論〈個人信息保護法〉的亮點、特色與適用》，《法學(xué)家》2021年第6期）［2］，為實現(xiàn)個人信息保護的同時推動數(shù)字經(jīng)濟高速發(fā)展，《個人信息保護法》規(guī)定了一系列創(chuàng)新制度，意在解決數(shù)字經(jīng)濟中個人信息保護和利用之間的協(xié)調(diào)和配合問題。

信息的價值在于通過傳播、共享來消除不確定性［3］，數(shù)據(jù)資源蘊含著巨大的經(jīng)濟價值和社會管理價值，數(shù)據(jù)“深藏閨中”是極大浪費［4］。數(shù)字經(jīng)濟時代，個人信息的資源價值愈發(fā)凸顯，

已成為大量數(shù)據(jù)企業(yè)、互聯(lián)網(wǎng)公司的關(guān)鍵商業(yè)資源；收集、整理、加工和利用個人信息已成為信息處理者的經(jīng)營戰(zhàn)略［5］。若脫離海量個人信息的“喂養(yǎng)”，大數(shù)據(jù)產(chǎn)業(yè)發(fā)展將成為無源之水［6］。在《個人信息保護法》出臺之前，數(shù)據(jù)產(chǎn)業(yè)處于野蠻生長的狀態(tài)，在其發(fā)展中存在著諸多不確定因素和法律風(fēng)險例如，根據(jù)2013年修訂通過的《消費者權(quán)益保護法》第29條，經(jīng)營者及其工作人員對收集的消費者個人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供；根據(jù)2013年工信部出臺的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第10條，電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者及其工作人員對在提供服務(wù)過程中收集、使用的用戶個人信息應(yīng)當(dāng)嚴(yán)格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供；而根據(jù)2016年出臺的《網(wǎng)絡(luò)安全法》第42條，網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。。當(dāng)代個人信息保護法的主要使命也從約束公權(quán)力機構(gòu)的傳統(tǒng)目標(biāo)轉(zhuǎn)向約束超級平臺等私法主體，以規(guī)制作為信息處理者的互聯(lián)網(wǎng)企業(yè)等私法主體為主要任務(wù)［7］。

《個人信息保護法》通過確立信息處理規(guī)則，以實現(xiàn)對信息處理者處理個人信息行為的規(guī)制，消除信息處理中的無序亂象。然而，信息處理規(guī)則的確定不是隨意的，必須遵從法律內(nèi)在邏輯，服從信息處理原則，彰顯立法目的。作為《個人信息保護法》的宗旨，個人信息保護與利用的平衡貫穿全文。個人信息處理規(guī)則也應(yīng)以實現(xiàn)個人信息保護與利用的平衡為目標(biāo)，既非片面追求個人權(quán)利保護而過于嚴(yán)苛，亦非偏重數(shù)據(jù)要素市場的發(fā)展而過于寬松。有學(xué)者認為，現(xiàn)行信息處理規(guī)則已經(jīng)站在了個人信息保護與利用的平衡點上［3］；也有學(xué)者主張，在個體權(quán)利導(dǎo)向下，個人信息保護制度形成了過于保護個人利益的模式［8］；還有學(xué)者提出，我國現(xiàn)行個人信息保護制度對敏感個人信息存在供給不足的問題［9］。綜上，對于個人信息保護制度是否實現(xiàn)了保護與利用的衡平，學(xué)界莫衷一是，《個人信息保護法》確定的信息處理規(guī)則是否存在保護過度或者供給不足，目前難以定論，一系列理論與實踐爭議亟待解決。

二、個人信息處理規(guī)則研究中的經(jīng)濟學(xué)方法引入

《個人信息保護法》確立的信息處理規(guī)則是否實現(xiàn)了個人信息利用與保護的衡平？該問題本質(zhì)上屬于法律效果研究（legal impact studies）：什么是法律的可能效果？它實現(xiàn)了嗎？法律達到自己的目標(biāo)了嗎？傳統(tǒng)的法教義學(xué)、法規(guī)范學(xué)研究方法在論證法律效果問題方面存在一定的局限，僅僅通過文字論述難以對法律效果進行周密證成。經(jīng)濟學(xué)提供了一種方法，可以預(yù)測法律制度對相關(guān)行為的影響［10］，通過詳盡的實證資料與分析模型，即可依可測變量對法律效果作出定性鑒定和定量分析。

在法經(jīng)濟學(xué)視角下，《個人信息保護法》的出臺是國家對個人信息作出的產(chǎn)權(quán)分配。依據(jù)“科斯第一定理”［11］85，若交易成本為零，則信息處理者可以與信息主體通過市場交易實現(xiàn)個人信息資源的最佳配置，無需進行法律規(guī)制。然而，真實世界中的信息主體與信息處理者之間存在巨大的交易成本，包括但不限于雙方缺乏溝通途徑、缺失明確定價、信譽難以保障以及個性化需求難以滿足等，因此個人信息難以通過市場自由交易。依據(jù)“科斯第二定理”［11］92，由國家明確個人信息產(chǎn)權(quán)，確定個人信息的初始權(quán)利歸屬，有助于推動個人信息的市場交易。《個人信息保護法》第2條確定個人信息權(quán)益歸自然人所有，明確了信息產(chǎn)權(quán)的歸屬，促進了數(shù)據(jù)要素市場發(fā)展，提高了資源配置效率。依據(jù)“科斯第三定理”［11］98，明確個人信息產(chǎn)權(quán)之后，若信息主體與信息處理者的市場交易成本仍較高，以至于難以進行個人信息的自由交易，可以通過政府直接管制等替代措施降低成本?！秱€人信息保護法》第13條制定了個人信息處理的一般規(guī)則，只要滿足規(guī)定情形，處理者即可處理個人信息，這移除了信息主體與信息處理者之間的交易壁壘。

個人信息處理規(guī)則的目的是促進資源的合理配置，其是否實現(xiàn)了個人信息保護與利用的衡平，本質(zhì)上是追問該制度設(shè)置是否以有限的資源獲得了最大的經(jīng)濟效益。在保護個人信息權(quán)利的同時兼顧個人信息的合理利用，這是經(jīng)濟學(xué)研究關(guān)注的重點，對此，經(jīng)濟學(xué)中通常采用邊際收益和邊際成本模型進行分析。從“成本收益”的視角來看，個人信息保護是一個以社會資源投入為成本（包括信息處理者處理成本及信息保護部門資源投入），以實現(xiàn)個人權(quán)利保障與數(shù)字經(jīng)濟增長作為收益的過程。

如圖1所示，橫軸代表法律確定的個人信息保護標(biāo)準(zhǔn)，縱軸代表金額，Rp曲線代表的是作為保護標(biāo)準(zhǔn)函數(shù)的信息主體權(quán)利保障程度的邊際變化，信息保護標(biāo)準(zhǔn)越高，個人信息處理規(guī)則越嚴(yán)密。提高個人信息保護標(biāo)準(zhǔn)可以加強對信息主體的權(quán)利保障程度，但所帶來的邊際收益隨著保護標(biāo)準(zhǔn)的提高而降低，這表示個人信息保護標(biāo)準(zhǔn)從無到有的增加（如從“可以任意處理個人信息”到“處理個人信息需征得個人同意”）會帶來巨大的社會邊際收益；但隨著標(biāo)準(zhǔn)的逐漸提高（如信息處理從“告知”原則升高到“告知同意”原則），雖然還會對社會產(chǎn)生收益，但該收益卻小于前面相同提高幅度所帶來的。最后，當(dāng)個人信息保護標(biāo)準(zhǔn)趨于無限高時，雖然其邊際收益仍然為正，但是已經(jīng)遠小于最初的信息保護標(biāo)準(zhǔn)提高所帶來的收益，此即經(jīng)濟學(xué)上的邊際效益遞減規(guī)律。

圖1中Ce曲線是指提高個人信息保護標(biāo)準(zhǔn)的邊際成本，隨著個人信息保護標(biāo)準(zhǔn)的不斷升高，所需的邊際成本也隨之增加。如將個人信息保護標(biāo)準(zhǔn)由“告知”原則提高為“告知同意”原則，企業(yè)將花費相對于“任意處理到告知后處理”更高的信息處理成本，信息保護部門也要投入更多的資源用以維護公民的權(quán)益（例如信息保護標(biāo)準(zhǔn)越高，信息保護案件越多）。兩條曲線在預(yù)防程度為H時相交，此時為最佳信息保護標(biāo)準(zhǔn)。自H點向左，沒有規(guī)定足夠高的保護標(biāo)準(zhǔn)來保障信息主體權(quán)利，體現(xiàn)為保護不足；自H點向右，邊際成本大于邊際收益，這部分超出的成本在經(jīng)濟學(xué)上是無效率的，會造成資源的浪費。要求過高的個人信息保護標(biāo)準(zhǔn)，一方面會提高信息處理成本從而降低信息的可利用性，壓制數(shù)據(jù)紅利；另一方面也會迫使企業(yè)面臨過高的守法成本以至于利益權(quán)衡后選擇違法犯罪，降低了法律的可行性。因此不能一味要求過高的個人信息保護標(biāo)準(zhǔn)，保護標(biāo)準(zhǔn)位于邊際收益與邊際成本相等點即H點時，收益最大。

個人信息處理規(guī)則對個人信息進行了分類，將其劃分為一般個人信息與敏感個人信息?！秱€人信息保護法》第28條規(guī)定的“敏感信息”是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息；對此，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護措施的情形下方可處理。第29條規(guī)定，處理敏感個人信息應(yīng)當(dāng)取得個人的單獨同意，這相較于一般個人信息的處理規(guī)則更加嚴(yán)格。敏感個人信息由于其特殊性質(zhì)，加強保護將帶來更大的社會收益。對敏感個人信息提高信息保護標(biāo)準(zhǔn)帶來的邊際收益相對一般個人信息更高，所以Rp線上移為Rp1，此時Rp1與Ce交點為效率最高點，該點所對應(yīng)的個人信息保護標(biāo)準(zhǔn)為H1（見圖2）。因此，為敏感信息設(shè)定更嚴(yán)格的保護標(biāo)準(zhǔn)，是使資源配置達到效率最大化的最優(yōu)安排。第29條規(guī)定的單獨同意，即為提高敏感信息的保護標(biāo)準(zhǔn)，符合經(jīng)濟學(xué)上的“效率”規(guī)則。

《個人信息保護法》對信息處理者進行了分類；第58條將提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者界定為重要平臺企業(yè)，并規(guī)定重要平臺企業(yè)應(yīng)承擔(dān)建立合規(guī)體系、制定平臺規(guī)則、停止對違法者提供服務(wù)以及定期發(fā)布社會責(zé)任報告等義務(wù)。法律對重要平臺企業(yè)科以更加嚴(yán)格的義務(wù)，原因在于對互聯(lián)網(wǎng)生態(tài)具有極強控制力和影響力的大型在線企業(yè)，成長為有能力管控特定網(wǎng)絡(luò)空間的個人信息收集和處理行為的“守門人”［12］。這些重要平臺企業(yè)從個人信息保護標(biāo)準(zhǔn)中獲取的邊際收益，相對于一般個人信息處理者獲取的要大一些，因此，使其負擔(dān)更多的義務(wù)與提高重點企業(yè)的個人信息保護標(biāo)準(zhǔn)具有一致性和經(jīng)濟學(xué)上的合理性。

個人信息處理規(guī)則對成年人與未成年人設(shè)定了程度不同的保護標(biāo)準(zhǔn)?！秱€人信息保護法》第31條將未成年人作為特殊的信息主體，規(guī)定個人信息處理者處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護人的同意；第28條將未成年人信息列為敏感個人信息，處理需征得個人單獨同意?！案嬷狻弊鳛樾畔⑻幚碓瓌t，要求“該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出”《個人信息保護法》第14條規(guī)定：“基于個人同意處理個人信息的，該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個人信息應(yīng)當(dāng)取得個人單獨同意或者書面同意的，從其規(guī)定。個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個人同意?！薄Ｎ闯赡耆擞捎谡J知能力尚未成熟，對于信息處理過程中的同意，易因“個人同意能力不足”而受到侵害。即是說，對未成年人的個人信息保護標(biāo)準(zhǔn)，由于其個人原因可能產(chǎn)生實質(zhì)上的下降，導(dǎo)致信息保護制度向左偏離最大效率點，存在繼續(xù)增加社會正收益的空間。因此，應(yīng)適當(dāng)上調(diào)保護標(biāo)準(zhǔn)，增加征得未成年人父母同意及制定專門的個人信息處理規(guī)則，是保證社會效益最大化的合理舉措。

三、個人信息處理規(guī)則的博弈分析

博弈論（game theory）是一門“交互的決策論”。個人信息處理過程本質(zhì)上是信息主體、信息處理者之間對抗與合作的一場博弈。個人信息處理規(guī)則的確定不僅應(yīng)關(guān)注個人對法律規(guī)制的反應(yīng)和行動，更應(yīng)關(guān)注博弈雙方對法律規(guī)則的互動性反應(yīng)行為。采用博弈論對個人信息保護中信息主體與信息處理者相互影響和相互制約的行為進行博弈分析，可以預(yù)測法律制度對相關(guān)行為的影響，并以此評價相關(guān)制度所產(chǎn)生的效率［10］32。

（一）博弈雙方及其基本假設(shè)

1.自由狀態(tài)下的博弈雙方

在個人信息處理規(guī)則確定之前，個人信息處理行為缺乏明確的指引。權(quán)利人以及處理者雙方就個人信息的保護與利用存在博弈，雙方的基本行為模式如下：權(quán)利人一方面希望自己的個人信息得到完全的保護，另一方面又希望通過個人信息的合理利用為自己生活帶來便利。如在導(dǎo)航類軟件中，權(quán)利人一方面擔(dān)憂自身位置信息泄露，另一方面又希望導(dǎo)航軟件可以根據(jù)自身準(zhǔn)確位置規(guī)劃出到達目的地的最佳路線。處理者面對大量的個人信息，一方面希望收集更多信息并加以處理、加工與利用，以豐富自身數(shù)據(jù)資源和鞏固自身地位，另一方面又擔(dān)心由處理信息行為引發(fā)的法律風(fēng)險以及信譽危機。

理想的圖景是信息主體與處理者達成契約，信息主體同意處理者在合理范圍內(nèi)收集、處理個人信息，以獲得更好的服務(wù)；處理者得到個人的合法授權(quán)，規(guī)避法律風(fēng)險以及聲譽危機，從而得以利用信息擴大自身競爭優(yōu)勢。但由于信息主體與信息處理者之間的信息不對稱，雙方難以了解并信賴對方，導(dǎo)致個人信息交易成本過高。信息主體無法信任處理者會在合理范圍內(nèi)處理個人信息，出于對處理者無限制濫用個人信息的擔(dān)憂，會傾向于選擇拒絕授權(quán)處理者處理個人信息。處理者與信息主體存在交易壁壘，難以通過交易協(xié)商等形式合法獲取信息主體授權(quán)，會選擇越過信息主體授權(quán)，或者通過綁定等方式違規(guī)獲取主體授權(quán)，以實現(xiàn)大規(guī)模收集處理個人信息的目的，轉(zhuǎn)化競爭優(yōu)勢。雙方博弈陷入難以配合、相互對抗的囚徒困境，理性且有效率的個人信息交易難以成立，信息保護與利用兩端皆失。

2.政府規(guī)制狀態(tài)下的博弈雙方

《個人信息保護法》規(guī)定了兩方主體，一是第2條確定的個人信息權(quán)益歸屬者“自然人”，即信息主體；二是第9條確定的“對其個人信息處理活動負責(zé)”的個人信息處理者。在政府規(guī)制下，對博弈雙方的信息主體和信息處理者的基本假設(shè)如下：

（1）信息主體對待個人信息保護有積極參與和消極參與兩種策略。積極參與策略指信息主體積極識別信息處理者的處理方式、處理標(biāo)準(zhǔn)，及時發(fā)現(xiàn)個人信息受到侵害的情況，并通過提起損害賠償?shù)确绞街鲝垯?quán)利。消極參與策略指信息主體被動承受信息處理者對個人信息的處理，不關(guān)心信息處理過程。信息主體積極參與的收益為R1，如避免信息被違法處理，積極參與保護的成本為C1（包括侵權(quán)識別成本、訴訟成本等）。采取積極參與策略的信息主體可以通過維權(quán)獲得信息處理者賠償I，得到支持的概率為P。信息主體消極參與的，在信息處理者積極保護的情況下會獲得溢出收益R2，如信息處理者積極保護降低的信息侵權(quán)風(fēng)險；在信息處理者消極保護的情況下，信息主體會承受個人信息權(quán)利侵害D，體現(xiàn)為長期隱性不當(dāng)利用的成本和后期深度挖掘引致的不當(dāng)利用成本。

（2）信息處理者對個人信息的保護力度可分為積極保護和消極保護兩種策略選擇。信息處理者積極保護的，積極保護成本為C3，利用個人信息形成的競爭優(yōu)勢為R3。同時，信息處理者的積極保護行為可以從積極參與的信息主體處獲得正向評價（如好評等形式），從而形成企業(yè)良好聲譽等收益R4（如口碑）。信息處理者消極保護的，若信息主體積極參與，其能有效識別信息處理者的消極保護策略，則需支付信息主體賠償金I，同時會因信息主體的負面評價（如差評）使信息主體帶來聲譽損失為L，還會受到行政機關(guān)罰款F；若信息主體消極參與，則信息處理者不會受到信息主體的索賠請求。

以上參數(shù)及含義詳見表1所示。

（二）博弈策略及其收益

1.信息主體

從經(jīng)濟學(xué)視角，信息主體選擇積極參與還是消極參與策略，對信息主體與信息處理者而言是一個利益博弈的過程。信息主體選擇積極參與的動機是為了得到更大程度的信息保護，如果運用博弈論對其收益和成本進行分析，在預(yù)期信息處理者提供積極保護情況下，其預(yù)期收益表現(xiàn)為積極參與所獲得信息保護收益減去積極參與成本，機會成本表現(xiàn)為搭便車獲得的溢出收益。將信息主體在前述基本假設(shè)前提下參與信息保護博弈的“成本收益”進行分析，結(jié)果詳見表2所示。

當(dāng)信息主體面臨積極參與還是消極參與的選擇時，會對兩個策略的預(yù)期收益進行比較，從而選擇預(yù)期收益較高的策略，這就是經(jīng)濟學(xué)上的理性人假設(shè)（the reasonal person rule）［14］。在預(yù)期信息處理者提供積極保護情況下，信息主體積極參與獲得的收益為R1+R2-C1，消極參與獲得的收益為R2，若R1+R2-C1>R2，即R1>C1，則信息主體會選擇積極參與策略。在預(yù)期信息處理者提供消極保護情況下，信息主體積極參與獲得的收益為PI-D-C1，信息主體消極參與獲得收益為-D，若PI-D-C1>-D，即PI>C1，則信息主體將選擇積極參與策略。

2.信息處理者

將信息處理者參與信息保護博弈的“成本收益”進行分析，結(jié)果如表3所示。

面臨對個人信息進行積極保護還是消極保護的策略，在預(yù)期信息主體積極參與的情況下，信息處理者提供積極保護的收益為R3+R4-C3，提供消極保護的收益為R3-PI-PF-L-C4；若R3+R4-C3>R3-PI-PF-L-C4，即PI+PF+L+C4+R4>C3，信息處理者將選擇積極保護策略。在預(yù)期信息主體消極參與的情況下，信息處理者進行積極保護所獲收益為R3-C3，進行消極保護所獲收益為R3-PI-PF-C4；若R3-C3>R3-PI-PF-C4，即PI+PF+C4>C3，則信息處理者將選擇積極保護策略。

《個人信息保護法》中的一系列亮點制度，有助于推動實現(xiàn)信息主體積極參與、信息處理者積極保護的“納什均衡”［10］32。第50條規(guī)定，應(yīng)當(dāng)建立便捷的個人行使權(quán)利的申請受理和處理機制，以降低信息主體的積極參與成本C1。第69條規(guī)定，在侵害個人信息訴訟中，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。這條規(guī)定是在《個人信息保護法》草案修訂過程中逐漸完善形成的［15］，確定了信息處理者的過錯推定原則，提高了損害個人信息的信息處理者對積極參與的信息主體賠償概率P。第66條規(guī)定，信息處理者違法處理個人信息，情節(jié)嚴(yán)重的，信息保護部門有權(quán)對其處以五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，這增大了行政處罰力度F。

《個人信息保護法》使信息主體在作出積極參與還是消極參與決策的利益衡量公式R1>C1中降低了C1，促使信息主體在預(yù)期信息處理者積極保護的情況下選擇積極參與；在信息主體預(yù)期信息處理者消極保護下的衡量公式PI>C1中提高了P，推動信息主體在預(yù)期信息處理者消極保護的情況下也選擇積極參與，加大了信息處理者在消極保護時可能面臨的行政處罰F，驅(qū)使信息處理者選擇積極保護策略?？梢姡瑐€人信息處理規(guī)則推動和實現(xiàn)了信息主體積極參與個人信息保護的平衡，降低了個人信息的市場交易成本，產(chǎn)生了社會正效益，構(gòu)成帕累托改進。

綜上，從現(xiàn)行個人信息處理規(guī)則下的信息主體與信息處理者雙方博弈分析中，可得出以下結(jié)論：第一，個人信息處理規(guī)則規(guī)避了信息主體消極參與和信息處理者消極保護的囚徒困境，對促進信息交易、推動市場發(fā)展產(chǎn)生了正向作用。第二，《個人信息保護法》降低了信息主體積極參與信息保護的成本，提高了參與收益，保證了信息主體的積極參加。第三，現(xiàn)行信息處理規(guī)則未能充分實現(xiàn)信息處理者積極保護的狀態(tài)，主要影響因素在于信息處理者的積極保護成本與違法成本。

四、個人信息處理規(guī)則的實踐困境及其完善進路

在保護與利用的競合之中，個人信息保護制度猶如一根鐘擺，對一方朝向的偏頗必然引發(fā)另一方的缺失。個人信息處理規(guī)則如同這場拉鋸的標(biāo)桿，其體現(xiàn)的個人信息保護程度決定了實踐中信息交易的趨向。個人信息保護程度越高，表明信息處理規(guī)則越嚴(yán)格，而信息交易頻率越高，則表明信息利用度越充分。一定范圍內(nèi)的保護程度提升會促進信息交易的增長，但在越過最大收益點之后，繼續(xù)提高信息保護措施則會降低信息交易的頻率。從實踐中看，信息交易頻率的提升與降低并存，信息保護的過度與不足同在，主要表現(xiàn)在不同種類的信息領(lǐng)域。在一般個人信息領(lǐng)域，存在信息保護過度、信息交易頻率下降明顯的現(xiàn)象；在敏感個人信息領(lǐng)域，則存在制度供給不足、權(quán)利保障力度不夠的問題。

（一）現(xiàn)存困境

1.一般個人信息過度保護

個人信息保護制度對一般信息出現(xiàn)了保護過度的情形，導(dǎo)致信息交易受到阻遏，交易頻率下降，信息利用度不足。例如，2021年度裁判文書網(wǎng)公開文書數(shù)量驟降，裁判文書公開制度受到較大影響，監(jiān)督功能弱化。其中，全國法院公布的行政裁判文書103 214篇，較2020年的504 822篇下降79.6%；刑事裁判文書600 183篇，較2020年的1 275 015篇下降52.9%；民事裁判文書8 394 902篇，較2020年的13 966 768篇下降39.9%該數(shù)據(jù)來自于筆者2022年2月23日訪問的中國裁判文書網(wǎng)：https：//wenshu.court.gov.cn/website/wenshu/181029CR4M5A62CH/index.html，由筆者搜索、摘錄或分析所得。。在案件受理數(shù)量基本平穩(wěn)的情況下，公開文書數(shù)量大幅降低，原因便在于2021年剛剛公布施行的《個人信息保護法》對一般個人信息保護過度，這主要表現(xiàn)在以下兩個方面：

第一，個人信息范圍較為寬泛?！秱€人信息保護法》第4條將個人信息定義為“可識別的自然人有關(guān)的各種信息”，以“相關(guān)”作為受到法律規(guī)制的信息范圍判斷標(biāo)準(zhǔn)，與自然人有關(guān)的信息都受到保護，體現(xiàn)了國家對“個人信息”的寬泛界定。寬泛的保護范圍雖然在一定程度上順應(yīng)了信息時代的發(fā)展，考慮到了信息的快速傳播，但是該定義的去中心化，未能凸顯個人隱私，未進行個人信息保護與隱私權(quán)保護的分離，導(dǎo)致個人信息保護制度缺失以隱私權(quán)為核心的制度架構(gòu)［8］51，使得構(gòu)成隱私部分的個人信息未能得到充分的保護，而其他重要性相對較低的個人信息則因受到法律同等規(guī)制而交易受限，流通頻率下降。

第二，個人信息權(quán)利束體系較為龐大?！秱€人信息保護法》第四章為信息主體專章設(shè)立了對個人信息處理的知情權(quán)與決定權(quán)、查閱復(fù)制權(quán)、可攜帶權(quán)、更正補充權(quán)、刪除權(quán)、解釋說明權(quán)等權(quán)利［16］，這些共同組成信息主體的龐大權(quán)利束。一方面，《個人信息保護法》通過規(guī)定“信息主體權(quán)利”以及“信息處理者的義務(wù)”的形式體現(xiàn)了制度的權(quán)利保護本位，信息主體享有權(quán)利而信息處理者承擔(dān)義務(wù)。這導(dǎo)致信息交易過程中的主體利益失衡，增加了信息處理者的保護成本，不利于信息處理者作出積極保護策略。另一方面，以權(quán)利保護機制為主要形式的個人信息保護制度難以適應(yīng)數(shù)據(jù)時代發(fā)展，忽視了個人信息社會屬性的重要性，不能評判信息處理是否增加了社會福利，難以實現(xiàn)真正的公平［17］。

2.敏感個人信息保護不足

敏感信息因其特殊性質(zhì)，一旦泄露將引發(fā)潛在的巨大風(fēng)險，正如“女子取快遞被造謠出軌案”中，僅僅因受害人一段取快遞視頻被泄露，相關(guān)的微博話題閱讀量就高達4.7億人次；受害人因此遭受了巨大的社會輿論壓力，工作被辭退，新工作被拒絕，本人也罹患抑郁癥。可見，信息時代敏感個人信息具有潛在的爆炸性傳播特質(zhì)。因此，敏感個人信息需要較高的保護程度，其處理應(yīng)被予以特殊規(guī)制。然而，信息保護制度中對于敏感個人信息的特殊保護程度不足，未能達到保護與利用的平衡，主要體現(xiàn)如下：

第一，規(guī)制邏輯與一般信息相似，難以有效發(fā)揮針對性作用?！秱€人信息保護法》第二章第二節(jié)用五個條文規(guī)定了敏感個人信息的處理規(guī)則，但相對于一般個人信息保護，該節(jié)簡短的內(nèi)容僅僅是規(guī)定了更加精細的“知情同意”即“單獨同意”和少量的安全保護措施。然而，“與對其他的處理活動作出的同意區(qū)分、凸顯出來”［18］的單獨同意，與處理一般個人信息所需的“明確同意”并無實質(zhì)不同，在實踐中都會受到“信息不對稱”以及“信息過載”的影響，個人很難真正理解其作出同意選擇所帶來的風(fēng)險及影響，換言之，“同意”難以真正發(fā)揮作用［19］。

第二，缺乏動態(tài)保護，難以應(yīng)對敏感個人信息的特殊性。首先，基于不同場景，信息的重要性可能不同，在特定的場景下，某些信息可能轉(zhuǎn)化為敏感個人信息，例如手機號碼或者社交賬號；在面向公眾公開的情形下，其泄露產(chǎn)生的影響或危害難以估量，因此，現(xiàn)行信息保護制度中敏感信息的認定缺乏動態(tài)識別機制。其次，由于針對敏感個人信息缺乏基于場景的動態(tài)保護［9］121，敏感個人信息處理的風(fēng)險會隨著場景變化而波動，因此，在處理敏感個人信息時，分層、分階段同意具有必要性。最后，敏感個人信息一經(jīng)泄露將對信息主體持續(xù)性造成危害，對敏感信息泄露的防治與救濟具有急切的需要，而實踐中對于泄露的信息沒有區(qū)分，針對敏感個人信息缺乏相應(yīng)的緊急救濟措施來及時補救信息主體權(quán)益。

（二）完善進路

信息處理作為信息主體與信息處理者的動態(tài)博弈過程，要想融解信息保護與利用的矛盾，填補愿景與現(xiàn)實的鴻溝，解決保護過度與保護不足的沖突，使法律規(guī)制發(fā)揮最佳效果，實現(xiàn)資源的最優(yōu)配置，必須調(diào)動信息處理者積極參與信息保護；信息處理者作為信息處理的首要受益人，有動力也有義務(wù)配合法律規(guī)制完成信息保護。提高處理者積極性的方式包括：

1.動態(tài)化信息分類，降低信息交易成本

實踐中，個人信息保護過度與保護不足并存的問題根源在于未能細化信息分類，以至于信息處理者積極保護成本較高。通過對個人信息保護法律制度的邊際收益分析可知，對隱私性較低的個人信息降低保護標(biāo)準(zhǔn)，而對敏感個人信息等隱私性較高的信息提高保護程度，將有助于實現(xiàn)效益最大化，即獲得信息保護與利用的最大收益?！秱€人信息保護法》對一般個人信息范圍進行寬泛規(guī)定，而對敏感個人信息缺失動態(tài)認定。有鑒于此，有必要考慮個人信息的細化分級，以“隱私性”為判斷標(biāo)準(zhǔn)，劃分不同的保護模式，一方面使保護模式更具有針對性，實現(xiàn)保護效果最大化；另一方面減少不必要的資源損耗，避免加重信息交易壁壘，從而降低交易成本。

2.督促企業(yè)數(shù)據(jù)保護合規(guī)建設(shè)，提升企業(yè)保護積極性

督促企業(yè)數(shù)據(jù)保護合規(guī)建設(shè)，可以提高企業(yè)參與個人信息保護的積極性，落實企業(yè)行為責(zé)任，增強信息保護力度。無論是信息的處理還是信息泄露后的補救，信息處理者都承擔(dān)了一定的行為責(zé)任，尤其以互聯(lián)網(wǎng)平臺為典型。為了提高信息保護效果，信息處理者的積極參與是必要的。從信息主體與信息處理者博弈的分析結(jié)論可知，信息處理者選擇積極保護策略的重要影響因素包括其違法成本，主要有侵權(quán)賠償、行政處罰以及聲譽損失等。督促企業(yè)數(shù)據(jù)保護合規(guī)建設(shè)可以通過以下途徑：第一，提高信息處理者違法成本，措施主要包括提高處理者侵權(quán)賠償概率、提高行政處罰額度、公開通報處罰結(jié)果以及設(shè)置信息處理準(zhǔn)入資格限制等。第二，構(gòu)建企業(yè)數(shù)據(jù)合規(guī)外部激勵制度，主要有完善數(shù)據(jù)合規(guī)指引、建設(shè)行政激勵制度、納入企業(yè)評價指標(biāo)、培育數(shù)據(jù)合規(guī)氛圍等方式。

五、結(jié)語

《個人信息保護法》為我國應(yīng)對大數(shù)據(jù)時代、數(shù)字經(jīng)濟發(fā)展等新格局新形勢提供了有力的法治保障，承載了我國保障人權(quán)的重要使命，體現(xiàn)了以人民為中心的法治精神。同時，為抓住數(shù)字經(jīng)濟發(fā)展機遇、實現(xiàn)現(xiàn)代化強國建設(shè)的期冀，

其主要任務(wù)是確定合理的信息處理規(guī)則，降低信息處理者與信息主體之間的交易成本。筆者通過經(jīng)濟學(xué)上的邊際收益分析，論證了個人信息處理規(guī)則中對一般個人信息與敏感信息、一般平臺與重點平臺以及成年人與未成年人的區(qū)分具有經(jīng)濟學(xué)上的合理性，分別規(guī)定不同的保護標(biāo)準(zhǔn)體現(xiàn)了帕累托改進，實現(xiàn)了帕累托最優(yōu)。傳統(tǒng)的信息保護制度使信息主體與信息處理者雙方均陷入主體不參與、處理者不保護的囚徒困境。在博弈視角下，《個人信息保護法》確定的信息處理規(guī)則規(guī)避了信息主體與信息處理者消極對立的囚徒困境，提高了信息主體參與信息處理的積極性，移除了交易壁壘，提高了交易效率，實現(xiàn)了資源的合理配置。針對實踐中一般個人信息保護過度與敏感個人信息保護不足的問題，可以通過動態(tài)化信息分類、督促企業(yè)數(shù)據(jù)保護合規(guī)予以解決和完善。

參考文獻：

［1］習(xí)近平在亞太經(jīng)合組織領(lǐng)導(dǎo)人非正式會議上的講話［EB/OL］.（2021-07-16）［2022-01-02］.https：//baijiahao.baidu.com/s？id=1705443258866989462&wfr=spider&for=pc.

［2］王利明.論《個人信息保護法》的亮點、特色與適用［J］.法學(xué)家，2021（6）：1-16.

［3］申衛(wèi)星.論個人信息保護與利用的平衡［J］.中國法律評論，2021（5）：29.

［4］李克強.信息數(shù)據(jù)“深藏閨中”是極大浪費［EB/OL］.（2016-05-13）［2022-01-01］.http：//www.gov.cn/xinwen/2016-05/13/content_5073036.htm.

［5］王葉剛.人格權(quán)商業(yè)化利用與人格尊嚴(yán)保護關(guān)系之辨［J］.當(dāng)代法學(xué)，2018（3）：24.

［6］金耀.個人信息去身份的法理基礎(chǔ)與規(guī)范重塑［J］.法學(xué)評論，2017（3）：120.

［7］石佳友.個人信息保護的私法維度——兼論《民法典》與《個人信息保護法》的關(guān)系［J］.比較法研究，2021（5）：15.

［8］郭江蘭.個人信息保護制度的反思與改進：以主體利益沖突與衡平為視角［J］.科技與法律，2021（6）：51.

［9］孫清白.敏感個人信息保護的特殊制度邏輯及其規(guī)制策略［J］.行政法學(xué)研究，2022（1）：119.

［10］羅伯特·考特，托馬斯·尤倫.法和經(jīng)濟學(xué)［M］.史晉川，董雪兵，譯.上海：格致出版社，2012：30.

［11］羅納德·H·科斯.企業(yè)、市場與法律［M］.盛洪，陳都，譯.上海：格致出版社，2014.

［12］張新寶.互聯(lián)網(wǎng)生態(tài)“守門人” 個人信息保護特別義務(wù)設(shè)置研究［J］.比較法研究，2021（3）：4.

［13］陳旭琳.個人信息協(xié)同保護的法經(jīng)濟學(xué)研究［D］.長春：吉林大學(xué)，2021：83.

［14］理查德·A.波斯納.法律的經(jīng)濟分析［M］.蔣兆康，譯.北京：中國大百科全書出版社，1997：216.

［15］程嘯.侵害個人信息權(quán)益的侵權(quán)責(zé)任［J］.中國法律評論，2021（4）：59.

［16］程嘯.個人信息保護法亮點解讀［N］.中國市場監(jiān)管報，2021-09-18（3）.

［17］王苑.數(shù)據(jù)權(quán)力視野下個人信息保護的趨向——以個人信息保護與隱私權(quán)的分立為中心［J］.北京航空航天大學(xué)學(xué)報（社會科學(xué)版），2022（1）：51.

［18］程嘯.論個人信息處理中的個人同意［J］.環(huán)球法律評論，2021（6）：54.

［19］丁曉強.個人數(shù)據(jù)保護中同意規(guī)則的“揚”與“抑”——卡-梅框架視域下的規(guī)則配置研究［J］.法學(xué)評論，2020（4）：131-133.

Legal and Economic Analysis of Personal Information Processing Rules

JIANG Baozhong， LAI Yu

（College of Criminal Justice， Henan University of Economics and Law， Zhengzhou 450046， China）

Abstract：Personal information processing rules are the wind vane of information protection system， which reflects the value bias between information utilization and protection. The balance of personal information protection and utilization is essentially a problem of resource allocation in pursuit of maximum benefit. Marginal benefit theory and static game paradigm in law and economics are helpful to verify the legal effect of personal information processing rules. By means of marginal cost-benefit analysis， the classification of subject， handler and information in information processing rules can face up to the difference of pareto advantage in different situations and improve the allocation efficiency of resources. From the perspective of static game， the establishment of information processing rules avoids the prisoner's dilemma of negative opposition between information subject and information processor， and promotes the circulation of information factor market. In view of the problems of excessive protection of general personal information and insufficient protection of sensitive personal information in practice， it should be solved by means of dynamic information classification and supervision of enterprise data protection compliance.

Keywords：personal information processing rules; protection and utilization; marginal revenue; game theory

（編輯：刁勝先）