韩新远：个人信息处理中“知情同意”的审视与重构 | 河南财经政法大学学报202404

【副标题】数据确权的前思考

【作者】韩新远（郑州大学法学院讲师、硕士生导师，法学博士，郑州大学法学博士后科研流动站在站博士后）

【来源】北大法宝法学期刊库《河南财经政法大学学报》2024年第4期（文末附本期期刊目录）。因篇幅较长，已略去原文注释。

内容提要：合法处理个人信息是个人信息保护的通识，其规范化进路是将“知情同意”作为认定处理行为合法与否的基础依据。“知情同意”在属于原则或规则的探讨上存在分歧，在法律性质的认定上存有争议，在实践效果层面为人诟病。通过学理审视，可发现“知情同意”是一种信息处理机制，体现了信息主体的意思自治，构成非典型性法律行为。“知情同意”的法律属性蕴含信息主体财产确权理念。信息主体与信息处理者通过“知情同意”达成一项信息处理合同，该合同构造了个人信息处理的内部合法性边界。既有法律规定和社会共同认可的价值观念等构造的外部边界对内部边界起必要的补强和限制作用。为使“知情同意”作为个人信息处理合法性基础具有更清晰的逻辑起点和更具可操作性的机制抓手，还需要剖析个人信息概念的二元架构，区分个人信息与个人数据，深化个人信息保护检察公益诉讼。

关键词：知情同意；个人信息；信息主体；数据确权；公益诉讼

目次 一、“知情同意”作为个人信息处理合法性基础的争议 二、对个人信息处理中“知情同意”法律属性的辨析 三、基于信息主体财产确权理念对个人信息处理合法性边界的勘定 四、“知情同意”作为个人信息处理合法性基础的机制保障 五、结语

处理个人信息要有合法性基础是各国个人信息保护法的通例，其规范化进路是将“知情同意”（告知同意）作为认定个人信息处理行为合法与否的基础依据。“知情同意”是指任何组织或个人在处理个人信息时都应当对信息主体进行告知，并在取得同意后方可从事相应的个人信息处理活动，否则该处理行为即属违法，除非法律另有规定。“知情同意”依法创设了各方主体的权利义务，是一种限制相对方具体行为的“闸口”。然而，作为个人信息处理行为合法性基础的“知情同意”，在实践运行的过程中却存在诸多争议和困境，譬如“知情同意”究竟是个人信息处理的一种原则还是规则？“知情同意”的法律属性如何？在实践中主要通过隐私政策、隐私协议和用户协议等予以运作的“知情同意”是否实现了预期效果？为应对这些疑问和诘难，我们有必要对“知情同意”予以学理审视，对其法律属性进行辨析，同时应当基于“知情同意”蕴含的信息主体财产确权理念，对信息处理行为合法性进行内部视角和外部视角的二阶观察，从而实现对个人信息处理合法性边界的双重勘定。与此同时，还需要完善相应的机制建构，以保障“知情同意”作为个人信息处理合法性基础的理论周延和功能实效。

一

“知情同意”作为个人信息处理合法性基础的争议

从理论上讲，“知情同意”源于人的信息自决权。对个人信息的“知情同意”是个人信息权最为核心和最为基础的权能，也是个人信息不同于隐私的重要内容。在“知情同意”为全球范围内的个人信息保护立法普遍采用，也为相关国际性文件所采纳的当下，其也并非处理个人信息的“万能法则”。

（一）“知情同意”的原则与规则之争

笔者在“知情同意”后并未附加任何后缀，其原因便是学界存在“知情同意”原则和“知情同意”规则两种说法。“在德沃金看来，法律不仅包括规则，而且包括非规则性的标准，如原则、政策、目的等”，法律原则是需要去证成的东西。原则和规则可以区分开来，规则以要么有效要么无效的方式适用，而原则有“分量”，有些原则具有较大的分量，故互相冲突的原则必须衡量或平衡。另外一些学者则认为原则和规则都有分量，都能互相衡量，原则区别于规则仅在于原则是更一般的。然而令人遗憾的是，规则和非规则标准极难区分，这也是法的不确定性症结所在。于是，有学者认为“知情同意”是个人信息保护的一项法律原则，甚至是应遵循的基本原则；也有学者从《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）的立法体例和“一般—例外”的结构特征两个方面来认定“知情同意”是一项法律规则。

（二）“知情同意”的法律性质争议

关于“知情同意”法律性质的争论主要集中在“同意”上。作为“同意”原则的前提条件，“知情”在教义学上已被构造为“知情权”，即信息处理者在收集个人信息时应将信息处理者的基本信息、处理目的、储存时间等内容告知信息主体。知情权是信息主体的一种法定权利，对应的是信息处理者的告知义务。私法中的“同意”可以统摄在“同意阻却不法”（Volenti non fit iniuria）法谚之下，但学界对“同意”的法律性质却存在不同认识。根据德国欧利教授提出的分层理论，同意可分为权利转移、债权性许可和可撤回的单方同意，一些学者将其具体分为许可、代理、信托授权等特定的民事法律行为。对于个人信息处理过程中的“知情同意”，有侵权法上的违法阻却事由说、违法阻却事由与法律行为双重属性说、准法律行为说、法律行为说，也有学者认为明确同意既可能是基于许可合同而实施的单方同意，也可能是单纯的可以任意撤回的单方同意，与典型法律行为具有核心相似性。

（三）“知情同意”的实践效果疑虑

“知情同意”在实践中最重要的样态是隐私政策、隐私协议和用户协议等。这些隐私协议要么在“知情”方面效果一般，要么在“同意”方面效力欠缺，具体表现为：（1）在条款表述方面，术语晦涩，篇幅冗长，使信息风险意识、认知水平、对格式隐私政策理解能力参差不齐的信息主体没有能力或缺乏耐心去阅读，难以保障其充分知情；（2）在“同意”设计方面，信息处理者利用优势地位谋取“一揽子”概括同意，并且在信息处理阶段拥有绝对控制地位，从而使信息主体失去实质上的选择权；（3）在自身意识层面，因追求便捷操作、急需使用软件功能或贪图小恩小惠等缘由，信息主体或在没有备选项目的情况下被迫接受，或在信息权利意识淡漠的情形下放任信息暴露。基于上述弊端，一些学者认为该原则已经发生异化，流于形式，甚至认为“同意协议简而无用，多而无功”。

二

对个人信息处理中“知情同意”法律属性的辨析

从私权本质来讲，“知情同意”属于个人意志自由、意思自治范畴，是个人利益的人本主义基石，是衔接公私法的桥梁。无论是商业平台还是政府机关、公共机构均须依靠“知情同意”取得数据处理的合法性，区别是前者侧重同意，后者侧重知情；前者可以促进信息利用，后者在于遏制公权扩张。

（一）“知情同意”是一种信息处理机制

虽然在理论上讲，原则相较规则具有更明显的一般性，但是依据“最优化指令”和“确定性指令”的分殊来对原则和规则进行精确界分，却并非易事：一方面，原则的一般性可能有不同程度，一个原则可能受到另一个更一般的原则的支持，在立法体例上，每一章开始得到证成的原则经常用来证成本章后面比较具体的原则；另一方面，实际上使用原则的过程无非是根据原则推导出若干可能性来，被选中的可能性一经适用具体案件，实际上就变成了一条规则。如果要给“知情同意”进行定位，笔者认为可以采取以下两种进路：其一，依照凯尔森静态法的概念，法是体系的统一性的一系列规则，这些规则属于具有效力的规范，从法律科学的陈述来看，“知情同意”可归为叙述意义上的法律规则；其二，从功能效用来看，“知情同意”是个人信息得以处理的一个必要条件，易言之，信息处理者获得信息主体的“知情同意”是开展个人信息处理活动的必经一环，但并非充分条件。上述论断可以从实证法层面得以证成：欧盟的《通用数据保护条例》（以下简称GDPR）第2章（原则）第5条（与个人处理有关的原则）之后的第6条（处理的合法性）将“同意”视为信息处理合法性的条件之一；《中华人民共和国民法典》（以下简称《民法典》）第一千零三十五条将“征得该自然人或者其监护人同意”作为处理个人信息须符合的一项条件；《个人信息保护法》在总则提及个人信息处理的原则后，于第二章第一节中，视“知情同意”为个人信息处理规则的一般规定之情形之一；《中华人民共和国网络安全法》（以下简称《网络安全法》）第四十一条第一款也有类似的条文表述。由此可见，相对于信息处理者来讲，“知情同意”更接近于一种获得信息处理权限的条件，是处理个人信息的一种合法化机制。

（二）“知情同意”体现了信息主体的意思自治

在应然状态下，个人信息处理中的信息主体是理性人，具有行为能力且在意思能力支配下以意思自治完成“知情同意”行为。在民法学话语体系内，存在意思自治原理和意思自治原则，前者作为民法逻辑演绎体系的大前提，后者是将意思自治原理演绎推演而形成的民法基本原则之一。意思自治原则主张个人得依个人意思处理个人事务，不受非法干涉，既用明示的语言宣示意思自治的私法理想，又通过对非法干涉进行清理、排除和矫正来捍卫个人的自由空间，该原则使人格平等独立思想在民商法领域得到深入贯彻，对于促进人性的解放和生产力的解放具有重大历史意义，之后又延伸至其他非合同领域。简言之，意思自治突出了个体的主体性，即人的意志可以依其自身的法则去创设自己的权利义务，当事人意志不仅是权利义务的渊源，而且是其发生的根据。

在实然状态下，信息主体的意思自治受到一定程度的抑制，这主要缘于信息主体与信息处理者在技术掌控和市场地位上的不对等状况。诚然，“知情同意”存在“主要体现了信息处理者的利益、难以反映信息主体的自由意志、加剧了双方信息的不对等”等诘责，但是实践中暴露出来的这些问题非但没有削弱“知情同意”在个人信息处理中的地位，反而彰显了其重要性，其深层原因就在于“知情同意”内嵌了信息主体的意思自治，是信息主体自由意志的体现，更是特定自然人主体性的展示。毕竟，以“意思自治”为基本原理的民法，就是使每个人“成为一个人，并尊敬他人为人”的规范体系。忽视意思自治的“知情同意”不可避免会成为一种压制性的权利让渡或无可奈何的消费选择，从而违背法治精神，使信息主体有客体化之虞，这也是信息处理者设法满足“知情同意”合规要求、精心制定和频繁更新隐私政策的现实考量。

（三）“知情同意”构成非典型性法律行为

法律意义上的行为一般分为事实行为、准法律行为和法律行为。由于知情权已经完成了权利的教义学构造，故本节主要对个人信息处理中“同意”的法律性质进行解析。在此，我们不妨运用排除法来缩小问题范围，以排除一些不可能选项，从而证成“知情同意”的法律性质。

第一，个人信息处理中的“同意”不宜归为一种事实行为。虽然从形式上来看，同意属于某种主观方面的事实因素，其与客观情势相互协作来阻却不法，同意允许的似乎只是信息处理等某项事实行为的实施。但是，同意的本质是个人自决权的行使，若抛开信息主体的意思表示，否定同意导致的法律效果与信息主体意愿之间的因果关系，个人的信息自决权将失去基础，信息主体存在被异化的可能。

第二，个人信息处理中的“同意”不宜归为一种准法律行为。“准法律行为说”认为同意行为是一种只具备表示意思的准法律行为。诚然，信息主体同意的法律后果不是随后的个人信息处理行为，而是对处理行为的允许。然而，这并不能推断出信息主体的同意行为不直接涉及权利变动，而只是为权利变动做准备，也不能简单凭借随时实施的撤回权来佐证同意行为并未产生权利义务。因为信息处理者获取信息主体同意后的信息处理行为的合法性，并非完全基于法律规定，更难以判定与信息主体的意思表示毫不相关。

第三，个人信息处理中的“同意”不宜归为一种单方法律行为。“单方法律行为说”认为信息主体的同意是一种阻却不法效力最弱的可撤回单方同意，是一种使相对人取得“得为的地位”的单方法律行为。不可否认，信息主体的同意具备法律后果和法律效果意思，具有准处分行为的特征，与授予代理权的行为类似，似乎基于信息主体的单方同意使信息处理者获得了实施特定处理行为的权限。但是，这种同意绝不是仅由一方行为人的意思表示就能发生法律效力的民事行为，其既不属于使相对人取得权利而不承担相对义务的情况，又不属于行为人依法享有单方行为权利的情形。因此，个人信息处理中的“同意”是信息主体对信息处理者的信息处理请求做出的对向回应，信息主体和信息处理者通过意思表示对处置相互间的利益关系达成一致。至于信息主体“同意撤回”，我们不能孤立和片面地判定其法律性质，在信息主体做出“同意”之时，同意的法律性质是由信息处理者和信息主体双方基于合意而成就的民事行为；在信息主体撤回“同意”之时，是信息主体行使法律所赋予的在形式上表现为单方行为的特殊“权利”，其原因在于平衡信息处理者与信息主体悬殊的技术地位和维护信息主体人格自治利益的实际需要。这种“特权”是实质正义的一种具体体现，是对传统法律行为内涵的一次深化和拓展，也使该新类型法律行为呈现非典型性。

综上，法律行为承载意思自治功能，作为处理个人信息的一种合法化机制，信息处理中的“知情同意”构成非典型性法律行为。

三

基于信息主体财产确权理念对个人信息处理合法性边界的勘定

通过信息主体和信息处理者的自由意志所成就的“知情同意”，为个人信息处理者提供明确的行为预期，为执法机构查处信息处理者的不法行为提供明确标准，为法院认定处理者是否承担责任提供裁判依据。

（一）“知情同意”法律属性蕴含的信息主体财产确权理念

个人信息承载着特定自然人的人格利益和进入流通领域后凸显的财产利益。信息主体基于意思自治，通过“知情同意”来处置由自己生产的个人信息，是一种非典型性法律行为。现代文化的基础是有关自我的自主性及其自我决定之意向的学说，其中最重要的就是人的主体性得到张扬，正如康德哲学所认为的“启蒙”那样，是一种自主、批判和公开运用理性的状态。在数字社会颠覆性和重建性的变革下，个人信息的大规模收集、利用成为一种态势，以信息资源为追逐对象的信息化大生产成为新的驱动核心。可是，无论技术如何解构人类的传统生活，人的主体性都不能被弱化，如同机械化大生产中机器无法剥夺人的主体地位那样，信息技术同样不能彻底异化和物化人类，数字社会里的个人成为“数字时代的工人阶级”，是“知识、技术和文化的创造者”。所以，个人信息保护不能忽视对信息生产者主体性的持守。

“知情同意”的法律属性蕴含着信息主体财产确权的内在逻辑。数据具有客观实在性、可确定性和财产属性，可以作为独立的交易客体进入市场流通，设立财产权性质的数据权因而具有正当性和可行性。在数据之上确权，无论如何都不可忽视数据来源者——个人信息主体的财产权益，恰如黑格尔所说，“人唯有在所有权中才是作为理性而存在的”，财产权与自由意志、人格息息相关。鉴于当前的数据确权理论倾向于将数据归属于“投入资本并在从无到有产出数据或者依一定目的、用途对他处数据进行收集、整理、加工过程中起决策作用的市场主体”，笔者认为，我们不能在隔离数据来源者在先权益的前提下，对数据处理者的财产利益径行确权，不能为了刻意追求企业数据或公共数据财产利益而忽视个人信息数据财产利益。给数据处理者确权以促进数据流通固然必要，但是因此而搁置对个人信息（数据）真正的生产者即信息主体的财产赋权，是对信息主体意思自治的忽视，也是对“知情同意”法律属性的漠视。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《数据二十条》）第七条提出要“充分保护数据来源者合法权益，推动基于知情同意或存在法定事由的数据流通使用模式”，这也为信息主体的财产赋权提供了方向性指导。

可见，信息主体作为信息化大生产条件下的生产者，其主体性须得以持守，其自由意志须得到尊重，若失去了对个人信息主体即数据来源主体的财产赋权这个前提和基础，后续数据处理者的财产确权无异于空中楼阁。

（二）信息处理合同所构造的内部合法性边界

个人信息处理中的“知情同意”构成一种非典型性民事行为，且是一种双方行为，并非一种单纯的“许可”或“授权”。《数据二十条》第六条提出了“建立健全个人信息数据确权授权机制”，但是这里的“授权”更多是一种经济学或政治学的话语表达，而非“法律层面的规范表达”。私法上的“授权”是单方法律行为，与公法上的行政授权、行政许可存在本质区别，前者往往存在平等主体之间的委托合同、劳动合同、身份关系等基础关系。退而言之，任何授权或许可行为均以“有权”为前提，如果信息主体仅享有人格利益，其授权或许可的法律基础就会受到限制甚至面临灭失。所以从本质上可以说，信息处理者与信息主体通过“知情同意”达成了一份信息处理合同，该合同约定了双方的权利义务乃至违约责任，信息处理者依照这份合同获得了信息处理行为的合法依据。申言之，信息处理合同构造了针对信息主体特定信息之处理的内部合法性边界，该边界作用于私法层面的个人信息保护，其基于双方意思自治明确了信息收集、处理和使用的种类、目的、存储时长、共享范围等。

合同机制以界定财产权为出发点和落脚点。虽然个人信息处理中的“知情同意”蕴含信息主体财产确权理念、通过“知情同意”达致的信息处理合同必须依托明确的权利归属，但在赋予信息主体人格权利（权益）已为世界各国所采纳的当下，赋予信息主体财产利益以法定权利依然存在诸多争议。笔者认为，否定对信息主体进行财产赋权的观点值得商榷。其一，基于数字社会个人信息特质，赋予信息主体人格权和财产权双重权利，并不会矮化人格尊严，相反，不仅可以权利形式保障个人信息的财产利益，还能突破人格权单纯的消极防御，由信息主体来选择坚持抑或放弃自身权益，真正实现个人主体价值的本质和核心——自我决定，来间接增强人格利益保障。毕竟，量化的财产赔偿能极大调动权利人维权的积极性，更是民事领域最有力也最有效的救济形式。其二，个人信息的确不同于传统的财产权客体，其可以无限复制、零成本传播、重复性利用，但是这些都难以磨灭个人信息的稀缺性，尤其是“规模化个人信息的稀缺性”，获得信息的先后势必会产生差异巨大的经济效益，而这种稀缺性正是财产价值的重要基础。况且，非绝对排他性的无形财产本身也存在诸如知识产权这类先例。其三，信息主体生产者地位是基于其“信源”地位，诚然也有信息处理者的参与，但是自然人的信息生产是第一位的，处理者的行为是以自然人信息为前提，共同生产的信息与特定自然人的人格利益更为密切，信息负载的财产利益也主要基于信息主体的痕迹信息，从平衡各方权利能力角度也需要赋予弱势的信息主体以财产权利。其四，纵使信息主体与信息处理者处于力量不对等状况，也不能忽视信息主体的主体价值，不能以父权主义的张扬来“越俎代庖”，以公权力轻易取代自然人的信息自决权。要保障弱势信息主体的财产利益，其思路应是加强其自由意志的实现能力，而非直接剥夺其财产利益保护的权利资格。简而言之，赋予信息主体财产利益以法定权利具有理论和现实的多重可行性：一是具有理论支撑；二是具有规范依据；三是有利于为后续信息处理者以受让方式获取数据财产权提供正当性。

综上，我们可以在信息主体双重赋权的理念背景下，将“知情同意”的法律效果凝结为一种财产交易性质的“信息处理合同”，虽然是一种“非完全合同”。信息处理合同成立之前，以消极的责任制度来保障信息主体的人格利益，合同成立之后，缘于双方主体的自由意志，转换为以积极的财产制度来保障信息主体人格性的财产利益，使不同的信息主体自由选择不同的价值观，使信息的财产利益呈现个人化的价值度量。若信息处理者脱离了合同约定的应用场景，信息主体可主张基于人格利益的侵权责任或基于财产利益的违约责任。易言之，内部合法性边界使信息主体借以“知情同意”实现了财产利益，获得了基于合同所形成的违约赔偿新路径。

（三）对内部边界进行修正的外部合法性边界

从历史来看，无论在学说上还是在实践上，意思自治和对意思自治的限制总是相伴而生。申言之，“意思自治”作为一项原则应当包括两个方面。其一，当事人可以协议选择适用于他们之间民事关系的法律；其二，当事人这种选择法律的权利要受到某种排除或限制。同理，通过“知情同意”达致的信息处理合同只是通过主体自由意志所构造的内部合法边界，其解决的是个人信息处理行为合法与否的基础性问题，而非意味着发生侵害个人信息权益的违法行为时，处理者可以借此免于承担任何法律责任，更不能以获取了信息主体的“知情同意”来排除其他个人信息保护规则和原则的适用。这就需要对个人信息处理的合法性边界进行二阶观察，即个人信息保护除了要考虑意思自治主导的内部边界外，还须考虑行为人、信息类型、传输原则等不同要素，除了重视信息处理各方主体的自由意志外，还须兼顾既有法律规定和社会共同认可的价值观念等构造的外部边界。

外部合法性考量既是对信息处理活动中处于弱势地位的信息主体自决能力的补强，也是为了平衡信息处理者合法利益和社会公共利益而对信息主体意思自治的限制。之所以需要外部边界对内部边界进行修正，是因为“知情同意”的实践样态往往呈现为格式条款，构造外部边界一方面可以确保私法作为保障信息主体权益的基础性地位，另一方面也为应对“知情同意”功能弱化或为保障公共利益所需，从而对信息主体利益开展公法层面的保护提供切入点。另外，缘于社会应用场景的丰富性，“知情同意”发生了“知情”与“同意”的分离组合。一般情况下，两者并列存在，但在执行公务或突发事件等情况下，单纯“知情”即可获权处理个人信息，涉及刑事侦查、国家安全维护等事项时，事先的知情权也会被克减。易言之，外部合法性边界有助于打破内部合法性边界所构筑的封闭状态（缘于合同相对性），使“知情同意”成为一种更为开放的运行结构。

外部边界对内部边界内“知情同意”的补强和限制主要有以下几类。（1）信息处理原则对信息主体意思自治的补强。由于信息不对等或信息过载，信息主体的意思自治或被架空或流于滥用，故援引原则予以节制，如《网络安全法》第四十一条中的“合法、公正、必要”原则，《个人信息保护法》第一章中的“合法、正当、必要、诚信、目的限制、公开、透明”等原则。（2）合同制定必要条件和已公开信息处理权对信息处理者的权益保障，前者如为订立、履行个人作为一方当事人的信息处理合同所必须，后者如对信息主体自主公开或依法公开的信息的同意豁免。（3）其他基本权利对个人信息权益的限制，如通信自由和通信秘密等宪法权利以及隐私权等。（4）国家利益与公共利益对信息主体利益的限制，如公权力运行、公共卫生、科学研究、社会福祉等利益需求。（5）伦理道德限制，如《中华人民共和国数据安全法》（以下简称《数据安全法》）第八条的“尊重社会公德和伦理，遵守商业道德和职业道德”。一言以蔽之，内部视角和外部视角共同构造了个人信息处理不法与合法的边界，虽然这种边界呈现犬牙交错的态势。

四

“知情同意”作为个人信息处理合法性基础的机制保障

基于数据确权理念，通过内部和外部边界的二阶观察来勘定个人信息处理不法与合法的边界，使“知情同意”作为个人信息处理合法性基础的地位得以进一步巩固。然而，为使“知情同意”具有更清晰的理论逻辑起点及可操作性的机制抓手，我们还需要明确信息主体“知情同意”的信息范围，区分个人信息与个人数据，深化个人信息保护检察公益诉讼机制。

（一）“知情同意”的信息范围确认：个人信息概念的二元架构剖析

确认个人信息概念的确定性直接决定着信息主体“知情同意”所涉信息的范围，也决定着信息处理者合法行为的边界。然而，在技术驱动和认知迭代的加持下，信息保护法的核心概念之一——“个人信息”似乎成了一个规范性稀薄的流动概念，这无疑冲击着“知情同意”作为个人信息处理的合法性基础。有学者认为，个人信息传统的界定路径面临的普遍问题，一是定义概括部分标准过于抽象、操作性欠佳，二是大数据时代极大丰富的信息类型也难以为定义中的列举所穷尽。对此，我们有必要对个人信息的内涵进行重构，从而提出一种更契合信息本质的二元内涵架构。

依照本体论信息说，任何物体都成为一个直接存在和间接存在的统一体，既是物质体又是信息体。当个人作为信源，被自己、他人或类人的各类机器所观察、感知、分析，其中对作为信源的自然人进行“区分识别”的信息类型构成标识信息，而有关存在方式、运动状态、交互效应的信息类型则构成痕迹信息。标识信息的实质是人们对自然人的记号设计（sign-design），是一个不附带任何价值判断的识别符号；痕迹信息是特定自然人在这个物质世界以数字化方式或其他方式记录和存储的一切活动的证据（证明、迹象），在数字化社会里呈现为“电子脚印”，是特定自然人区别于其他主体的属性或关系的一种描述。

当前个人信息的保护方式是将标识信息认定为规范意义上的个人信息，将其遮蔽以实现匿名化，从而阻断其与痕迹信息关联，或者阻止不同的痕迹信息之间混合交叉形成新的标识信息。由此可见，现有的个人信息保护对标识信息与痕迹信息的二元隔离是一种人为制度设计。然而，标识信息和痕迹信息同为有关个人的信息，自被信息主体生产出的那一刻起，两者就作为一个统一体呈现为一种现象。为了更正部分学者认为个人信息界定具有动态性、相对性和场景性的观点，追寻特定时空之文明条件下法律概念的客观性，笔者认为应摒弃标识信息中心主义理念，依托标识信息和痕迹信息的二元架构，用两者之间的熔断与关联关系来构造个人信息的内涵逻辑，即个人信息在本质上是标识信息与痕迹信息发生关联时的一种信息形态。个人信息的认定，抑或识别标准的确定就化约为对标识信息和痕迹信息的关联判断上，而这种关联判断可以尽量避免法律上的价值评判，即采用绝对标准的任意主体视角，即欧盟的“所有合理可能的方法（All the Means Likely Reasonably）”，具体为GDPR鉴于条款26条所称的“应考虑所有客观因素，如识别所需的成本和时间，并考虑处理时的现有技术和技术发展”。这种看似颇受争议的绝对标准恰恰可以将个人信息的认定转化为既有技术的考察，即确认两构件之间是否存在链接锚点（关系接触点），以及抓取该锚点所承担的代价，从而使个人信息的识别标准实现互为主观的可验证性（intersubjective testability）。

（二）个人信息的财产权化前提：个人信息与个人数据的界分

信息处理者和信息主体通过“知情同意”机制达成了一种财产交易性质的“信息处理合同”，开启了个人信息的财产权化进路。由此，为确保个人信息财产权化有一个清晰的逻辑前提，区分个人数据与个人信息的必要性就凸显出来。当前，学界对个人信息与个人数据的区分问题存在争议，存在“等同说”“混同说”和“区别说”。笔者认为前述主张均陷入了信息与载体混同的误区，不论是“本体论”信息说还是“认识论”信息说，均认为我们看到或听到的经验层面的“信息”，其实是信息的载体。数字社会下，信息的基础载体是一种“物质讯号”，初级载体是文字符号、图像、声音等符号体系，次级载体则是某种物质实体（计算机、服务器、U盘、内存卡等储存介质）。以上论述说明了信息与载体的区分，信息既不能脱离载体，又与物质的载体有别，载体是信息的表现形式。诚然，形式与载体不可分割，诸多制度设计最终也会落脚在各种形式的载体之上，但绝不能混淆两者的区别，否则就会像一些学者那样产生误读，将信息的载体界定为数据，认为“网络具有通过数据产生信息的功能”，认为没有特定性和独立性的“数据”不能归入民事权利客体、无独立经济价值。正是基于这种误读，很多学者将个人信息的载体定义为个人数据，强行混同了信息与数据这两个不同面向的概念。

其实，信息与数据是同一种事物在法律上的不同拟制。从物理上讲，信息与数据具有同质性；从法律上说，数据是信息在生命周期特定阶段法律性质发生转化后的规范性称谓。若要开展数据确权，个人信息财产权将会裂变为两个类型：一是信息主体与信息处理者达致信息处理合同后获得的信息财产权；二是信息处理者收集、加工数据后享有的数据财产权。为了区别个人信息人格权客体——人格利益，笔者建议将个人信息财产权的客体界定为个人数据。申言之，信息主体之财产权与信息处理者之财产权的主体不同，却分别指向和包含了一个共同客体——个人数据。由此，笔者本着实用主义精神，依托个人信息概念的二元分析架构，参照“知情同意”所形成的信息处理合同节点来区分个人信息与个人数据：（1）将信息主体与信息处理者通过“知情同意”达致信息处理合同之前这一阶段的“任何已识别或可识别的自然人相关的信息”称之为个人信息，将信息处理者通过“知情同意”机制获得合法处理依据之后这一阶段的个人信息称之为个人数据；（2）将标识信息与痕迹信息发生熔断的匿名信息称之为有关个人的数据（信息主体可作为来源者参与数据收益分配），或信息处理者通过特定的技术手段将标识信息与痕迹信息予以适度隔离的个人信息称之为个人数据，以“数据的可用而不可见”来探索个人数据的财产化路径。

（三）“知情同意”的功能加持：个人信息保护检察公益诉讼的深化

随着研究的深入，人们愈加认识到平衡数据保护与数据流通之间关系的重要性，个人信息之上不仅负载人格利益、经济利益（商业化利益），还有公共利益。从广义上讲，公共利益分为社会管理利益、公共服务利益和科学研究利益。同时，以“意思自治”为核心的个人控制范式也遭遇现实困境，譬如信息主体限于技术壁垒，很难对信息处理者的行为进行有效知悉，往往是被动承受，导致举证困难，在没有实施信息主体财产确权之前，即使有携带权、删除权、遗忘权以及目的限制原则等保护，信息主体也无法左右信息数据使用的方向。再者，信息侵害案件往往受害人数量众多但个体损害值较小，单个维权得不偿失，这无疑弱化了“知情同意”机制的功能效用。个人信息内蕴的公共利益和个人信息私法保护的不足为基于社会本位的公益诉讼介入提供了现实依据。

有鉴于此，一些学者开始提出个人信息保护亟须实现从个人控制到社会控制，即超越个人控制范式以迈向社会保护范式。立法实践方面，我国《个人信息保护法》第七十条规定了个人信息保护的公益诉讼制度，即“个人信息处理者违反本法规定处理个人信息，侵害众多个人权益的，人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。”目前进入操作层面的是个人信息保护的检察公益诉讼类型。作为公益司法保护的“中国方案”，检察公益诉讼制度是一项具有鲜明中国特色的社会主义司法制度，其所具有的职权主义色彩和国家机关特有的职能优势为个人信息保护开拓了一种国家主义保护进路，可以有效弥补目前个人信息私法保护的欠缺。

当前，我国个人信息保护检察公益诉讼尚处于探索阶段，虽然取得了一定成效，但在被诉行为的违法性要件、适格被告范围、“众多”个人权益与社会公共利益的关系以及“损害”应否包含损害“风险”、惩罚性赔偿标准及其赔偿金管理等方面，学者之间仍存在不同认识，给如何科学界定该类诉讼的受案标准、诉讼规则、救济模式造成了困惑。因此，个人信息保护检察公益诉讼还须在持续积累经验的基础上，从理论萃取、立法设计和司法运行等多个方面进行深入优化。与此同时，我们务必要谨慎论证检察公益诉讼与个人信息公共利益保护之间的内在关联，严格把握将不特定多数人之利益认定为公共利益的实质要件，从而避免其受到国家公权力侵蚀和激扰私人领域的苛责。

五

结语

数据作为新型生产要素，是数字化、网络化、智能化的基础。《数据二十条》提出要“建立健全个人信息数据确权授权机制”，从而“充分保护数据来源者合法权益，推动基于知情同意或存在法定事由的数据流通使用模式”。可见，要充分释放个人信息数据的要素价值，必须高度重视和审慎对待“知情同意”作为个人信息处理的合法性基础地位。与其将“知情同意”视为“原则”抑或“规则”，毋宁将其认定为一种信息处理条件和合法化机制，其中的“同意”可归为非典型性法律行为。信息主体和信息处理者通过“知情同意”机制，在实质上达成一项个人信息数据商业化应用的信息处理合同，该合同构造了个人信息处理的内部合法性边界。信息处理原则、法定事由、其他基本权利等构造了个人信息处理的外部合法性边界，并对内部边界施加补强和限制。通过个人信息概念的二元架构剖析，可以明晰信息主体的知情同意范围；区分个人信息与个人数据，可以明朗个人信息（数据）财产权化的权利客体；深化个人信息保护的检察公益诉讼，可以加强“知情同意”的功能保障。对个人信息处理中“知情同意”的审视和重构，可以为厘清数据来源者权益类型提供理论基础，也可以为建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制提供前置思考。

-向上滑动，查看完整目录-

《河南财经政法大学学报》2024年第4期目录

【法治中国】

1.农村集体经济组织代表集体行使所有权的困境破解

王康

2.人与自然和谐共生的法治回应与立法体现

李小强

【生态产品法治理论专题】

3.生态产品法律概念界定

周峨春

4.论“三权分置”下耕地碳汇的权利归属

李嵩誉、刘佳佳

【民生法学】

5.环境健康权作为法律权利的证成

韩利琳、杨熹通

6.直播平台内观众与主播间法律关系的性质研究

朱晓娟、卢世际

【部门法学】

7.竞争视角下跨境技术转移的法律规制问题研究

左海聪、崔凯伟

8.行贿受贿“并重异刑”模式的提倡与展开

——兼评《刑法修正案（十二）》的相关修改

程红、张驰

9.自发自生秩序的经济刑法法益定位及其保护

刘天宏

10.个人信息保护公益诉讼的制度检讨与规范续造

——以《个人信息保护法》第七十条为中心

华梓善、张安逸

11.个人信息处理中“知情同意”的审视与重构

——数据确权的前思考

韩新远

12.房屋征收实物补偿下物上代位与登记的衔接

陈佳琳

13.政务数据共享的风险逻辑与法律治理

郑峥

【司法制度研究】

14.民事庭外作证方式的体系构造

李峰

15.审判阶段涉案企业合规改革检法衔接协同问题探究

张勇、王杰

《河南财经政法大学学报》是由河南财经政法大学主办的法学类专业学术期刊。1986年创刊，2012年由原《河南省政法管理干部学院学报》更名为《河南财经政法大学学报》。本刊秉承“格物致知、明礼弘法”的办刊理念，坚持办刊的学术性，追求学术创新，严守学术规范，关注法学理论和实践中的前沿问题、热点、难点问题及其背后的深层次法理研究，注重制度建设；包容不同学术观点和学术思想。

法宝新AI·智能写作

无论是工作汇报，产品介绍，还是法律研究报告、市场宣传文案，法宝智能写作系统都能为您提供高质量写作支持，满足法律工作者日常学习工作中各类领域的写作需求，提供源源不断的创意与灵感，全面助力您的文案写作。您可以在平台上选择不同的写作模型，输入关键词和要点，即可自动生成文档大纲与内容。平台内嵌法宝V6数据库，让您的内容创作有据可依。与此同时，智能写作平台还支持实时对生成文档进行修改和优化，确保文章撰写的准确性。

—— 系统亮点 ——

“一键生成文章大纲”——输入关键词和内容要求，即可自动生成文章大纲，为您提供创作起点和清晰明了的写作思路。

“智能生成文章内容”——GPT模型结合法宝数据库快速生成逻辑自洽、内容丰富的文章。

“法宝V6数据库支持”——查阅生成结果的相关法律法规、学术期刊等信息。可准确理解法律术语，帮助生成符合要求的法律文件；能够自动匹配对应法律法规，实现法理逻辑处理自动化，增强文章权威性与可信度。法宝智能写作能及时跟踪法律法规的最新变化，避免使用已失效或废止的法律条文作为参考。

责任编辑 | 郭晴晴

审核人员 | 张科 张文硕

本文声明 | 本文章仅限学习交流使用，如遇侵权，我们会及时删除。本文章不代表北大法律信息网（北大法宝）和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。