程金華｜利益平衡：“三位一體”的個人信息法律治理架構_風聞

如何看待大數據時代個人信息的使用與保護，是當下法學研究與法律實踐的最大熱點與難點問題之一，並在不同的國家形成了不同的基本立場。近期，隨着《個人信息保護法(草案)》（以下簡稱《草案》）的公開發布，又形成了一股新的討論熱潮。隨着討論的日益深入，以及更多利益相關方的介入，不同的立場和觀點日益浮現。雖然有些觀點難免極端，但兼聽則明，對於我國建設成熟、理性的個人信息法律制度，從長遠上是有益的。《草案》説明中表明要確立一種“平衡的”法律制度框架。從字面意義上理解，估計大部分人都不會拒絕對個人信息進行平衡的法律治理。但是，何謂平衡的，則是仁者見仁，智者見智。本文從法理而非規範的視角，談談對個人信息保護的利益平衡的看法。

個人信息的三類利益相關者

個人信息雖然是個人的信息，但是背後有很多利益相關者。這些利益相關者大致可以歸納為三大類：個人、政府和企業。

無論如何定義，個人是自己信息的利益相關者，也是最大的利益相關者。其中的利益既包括隱私以及相對應的人格權，也包括經濟利益以及相對應的財產權利，還有“我想靜靜”及其相對應的個人自由或者自決權。在現代社會，個人針對自己的信息不僅僅有實然上的利益，還有廣泛的被私法和公法所保護的個人法定權利。當然，在個人範疇層面，還有其他利益相關者，比如配偶和監護人等針對個人信息的處置，也是一個值得認真對待的個人信息權利問題。為了避免問題的複雜化，本文不討論其他個人針對本人信息的實然或者應然利益。值得明確的是，本人對個人信息享有的利益不僅僅是實然上的利益，其中的大部分已經或者應該成為法律上的權利。

除了個人以外，政府也是個人信息的當然利益相關者。在諸如人口統計、户籍管理、交通處罰、疫情防控、定罪量刑等社會治理領域，政府都需要掌握一定程度的公民個人信息，並在特定場合無需個人同意而進行使用和處置。政府針對公民個人信息的核心利益是代表全體國民建構並維持社會秩序，其中部分已經或者應當成為法律所明確賦予的權力。

在上述個人的私人利益（很大部分為法定“權利”所保障）和政府的公共利益（僅限於法定“權力”所設定）之外，以數據公司為代表的企業也是個人信息的重大利益相關者。但是，企業並非是個人信息的當然權益享有者。從實然層面看，數據公司是目前開發和使用個人信息的巨大商業受益者。沒有對個人信息的採集，基於個人信息進行經營的數據公司以及與之相關的行業，就失去了存在的基礎。所以，從實然看，數據公司是個人信息的利益相關者，其核心利益是商業利益，最終受益者是企業的投資人。但是，從應然層面看，數據公司是否對個人信息享有應然的權利，卻並無確鑿的法定理由，這也是爭議比較大的地方。

那麼，我們是否應當給予數據公司實然的利益以應然的法律保護？如果是的話，應該給予何種法律上的權利保護？先簡要回答第一個問題，答案是肯定的。這裏有兩個原因。其一，只要“人畜無害”，即便純粹是為了企業及其投資人的自身利益，我們也應當支持企業的商業利益。其二，基於個人信息的開發和使用而形成的數據產業關乎國家“智慧治理”的前景，也決定着人類社會能否更好地進入數字時代，因此數據公司的商業利益在很大程度上也是社會發展的動力源泉。但隨之而來問題是：如何在尊重個人權利、政府權力的基礎上，同時保護數據公司的利益，並使得三者能夠在未來的法律架構下實現利益平衡？

“三位一體”的個人信息法律治理架構

如果我們承認個人、政府和企業都是個人信息的合理利益相關者，那麼傳統以個人利益為重心的私法保護模式，或者以公共利益為核心的公法規制模式，雖然都有重要的法理依據，但都會有失偏頗。為了避免讀者會誤解本文的立場，本人首先要明確 :對個人信息的私法保護，無論是最狹義的財產權保護，還是更加寬泛的人格權保護，甚至上升到人的自由與尊嚴的憲法權利，都是必要的。在我們國家，對於個人信息的私法保護，無論是科學立法還是嚴格執法，都是不夠的。但是，加強個人信息的私法保護，不等於確立以私法為中心的個人信息法律治理模式。同理，對基於公共利益和社會秩序的個人信息利用，當前對政府的法律授權也不夠科學，在個別領域力度不夠。

有很多政府行為的批評者認為，當前法律對政府的授權太多，導致政府濫用個人信息的現象時有發生。本人不太同意這種看法。當前導致政府濫用個人信息的制度原因不是公法授權太多，而是公法授權不明和私法保護不力的雙重原因導致的。由於公法和私法的雙重原因，不僅導致在一些領域中，政府侵犯公民個人信息的行為時有發生，還導致在另一些場合，政府應當合理使用、分享個人信息的時候，又裹足不前。所以，對於政府和公民在個人信息上的關係，要同時看到上述硬幣的兩面，否則就會發生誤解。考慮到不僅僅要加大對公民個人信息的權益保護，也要一定程度上加大並規範對政府的授權，同時要適度考慮企業的利益，那麼如何在一個法律治理體系中實現“既要……又要”？本文認為，在法理上，最核心的問題是對三類主體現實和潛在的利益進行合理分類，通過利益類型化來實現法律上權利 / 權力的規範化。

下圖 1 對上述三類主體個人信息的立場與關係進行了初步的類型化。圖示中的三個圓圈分別表示了個人、政府和企業針對個人信息已經有的或者可能有的法律權利（權力）。

對於個人而言，區域 1 表示法定的、排他性的個人信息權利——這主要體現為個人的隱私權利。另外，區域 4、5、7 部分表示可以經過個人同意而分別由政府或/ 和企業採集、使用、流轉或者公開的個人信息，這主要體現在個人讀書、就業、消費、旅遊等具有一定的身份識別性，但不太涉及到隱私的信息，有些甚至是不直接具有身份識別性的個人行為信息。

對於政府而言，區域 2 是法定的排他性權力，主要體現在維護社會秩序和特定的公共利益方面，比如合乎法律程序的為調查犯罪、維護國家安全所進行的監控等，政府可以不經個人和企業的同意，直接採集、調取、使用，並且必要時公開個人信息。同理，區域 4、6、7 表示，在徵得個人或 / 和企業的同意之後，政府可以使用和開發個人信息數據。相對而言，區域 2 的政府權力主要是為了實現維護國家安全和基本社會秩序的“託底性”功能，而區域 4、6、7 則是為了優化、創新國家治理的“服務性”功能。

在圖 1 的基礎上，本文提出如下“三位一體”的個人信息法律治理架構：對公民個人信息的採集、使用、流轉、公開和保護等活動，應該圍繞公民、政府和企業這三類利益相關者的權益，建構起同時納入多種法律規範（民法、商法、行政法、刑法和憲法等）的整體性法律治理架構。

其中，對於“第一體”的個人之於自身信息權益的治理，應當以“私權 + 保護”為中心，重點是明確個人信息權益絕對不應被侵犯的領域（圖示中的區域 1），這相當於給政府和企業使用公民個人信息設立了一個“負面清單”。對於“第二體”的政府之於個人信息權力的治理，應當以“公法 + 規制”為中心，重點是明確政府可以使用個人信息的權力邊界（圖示中的區域2），相當於為政府設定一個“正面清單”。而對於“第三體”的企業之於個人信息權益的治理，其重心是在上述“負面清單”和“正面清單”之外，引導企業和個人 / 政府進行規則博弈和利益商談，儘可能實現商業利益和社會發展的最大公約數。

從法理上看，上述“三位一體”的治理架構是能夠對公民個人信息保護和使用實現“利益平衡”的方案。當然，這個“三位一體”法律治理架構也只是在法理層面探討的，其具體的制度設計應當如何開展，還有待規範法學的檢討和驗證。為了面對潛在的批評，本文就公民個人信息是否保護以及如何保護，再補充兩點看法：

其一，本文一直用的是法律治理而不是法律保護，是想提醒理論界和實務界，針對公民個人信息，保護固然是基石，但是不能只關注保護，否則會讓我們失去一次領航數字時代的機會。在過去幾百年的幾次工業化和現代化浪潮中，我們失去了先機，希望這次能夠把握。所以，未來的法律治理架構應是平衡保護和使用的治理架構。

其二，對於可識別性的公民個人信息，我們要堅持以保護為中心的立場。但是也要同時注意到，在大數據時代，已經有越來越多的、由公民個人形成的信息，不再具有直接的可識別性，或者很容易通過數據清洗工作使其不再與公民個人的身份掛鈎。因此，對於信息開發和使用而言，法律治理的重心應當是正面引導和激勵企業從事數據的開發和加工，而不是簡單通過對個人信息採集和交易而盈利。只有這樣，對公民個人信息的使用才會有更多“正能量”。