《个人信息保护平衡原理》：在权利、数据与治理之间重建平衡

《个人信息保护平衡原理》作者许娟：湖北仙桃人，南京信息工程大学法政学院教授、大数据法治研究院院长。从事法学教学和科研工作20余年，中南财经政法大学法学博士、武汉大学人权研究院博士后；美国福特汉姆大学法学院高级访问学者，另客座访问美国东北大学，美国纽约大学；中国人民大学网络与信息法研究中心访问学者。现为教育部数字取证工程中心司法鉴定负责人，信息法方向硕导，科学技术史一级学科博导（人工智能法学方向）和博士后流动站负责人。

个人信息保护在今天已经不是一个单纯的“要不要保护”的问题，而是一个更为复杂的“如何在保护中允许合理利用、在利用中不牺牲人格尊严、在治理中不让技术与权力吞噬个人”的问题。数字技术、数据要素、人工智能、平台经济和国家数据治理共同塑造了新的法律现实：个人信息既承载人格尊严和身份自主，又可能在数据加工、算法识别和平台运营中转化为具有经济价值的资源；企业需要数据流通以推动创新，国家需要数据秩序以维护公共利益，而个人则必须在高度复杂的技术环境中维持对自身信息命运的最低限度控制。

许娟院长的新著《个人信息保护平衡原理》正是在这一时代背景下展开的。该书的可贵之处，并不只是对《民法典》《个人信息保护法》《数据安全法》《网络安全法》等既有规范进行体系梳理，也不只是重复个人信息保护中常见的隐私权、人格权、知情同意、数据产权等概念，而是把问题推进到更根本的一层：个人信息权利究竟如何行使？权利如果不能被行使，保护就会停留在宣示；数据如果不能被合理利用，保护又可能异化为冻结价值；技术如果没有程序约束，便利就可能变成侵权的自动化；国家、企业和个人如果没有结构性平衡，法律就会在强保护、强利用、强监管之间摇摆。

在我看来，本书最重要的学术贡献，是把个人信息法学的重心从“权利存在论”推进到“权利运行论”。以往关于个人信息的讨论，常常集中在个人信息权是否独立、属于人格权还是财产权、与隐私权如何区分等问题上。这些讨论当然重要，但如果停留在静态权利确认层面，就无法充分解释数字社会中个人信息被收集、存储、处理、加工、交易、共享、跨境流动、算法识别、智能合约执行的全过程。本书提出“个人信息权利行使平衡机制”，正是要把权利从概念层面带回行为层面、机制层面和制度运行层面。

全书结构清晰而有层次。上篇“个人信息的权利论”处理个人信息保护的权利基础，包括个人信息的人格权属、个人信息衍生权利、民事权益和混合权利。作者没有把个人信息简单理解为单一权利客体，而是从人格属性、财产性衍生、民事权益和混合法属性多个维度展开。这样的处理方式避免了“人格权或财产权二选一”的僵化，也更符合数字时代个人信息在身份识别、价值生成和数据流通中的多重属性。

中篇“行使论：两权互助、分置与交互”是全书的理论枢纽。作者将个人信息权利的行使置于“两权互助、两权分置、两权交互”的结构中讨论，特别强调在个人信息转化为数据、数据进入平台与市场运行之后，权利不能继续按照单一主体、单一客体、单一请求权来理解。这里的“两权”，既关涉个人信息主体性权利与数据客体性权利，也关涉个人权益保护与企业数据利用之间的结构性调和。作者由此将个人信息保护问题推进到产权化行使、地方数据立法、规范原则和行为机制的层面，具有明显的问题意识和制度创新取向。

下篇“平衡论：义务、风险与程序”则回应了数字治理的实践难题。个人信息保护并非仅靠权利清单即可完成，企业透明义务、安全保障义务、风险评估机制、程序性控制、智能合约执行机制都不可缺位。作者将平衡机制分解为“必然的义务、可能的风险、应当的程序”，这是本书极具辨识度的理论表达。它说明，个人信息保护不是单纯的禁止逻辑，也不是单纯的授权逻辑，而是一种将义务、风险和程序嵌入数据利用全过程的动态治理逻辑。

尤其值得肯定的是，本书对智能合约程序机制的讨论，展现了作者对“法律—技术”深度融合的敏感性。许多个人信息保护研究止步于原则与规范层面，而本书进一步提出通过智能合约机制实现事前个性化设定、事中重大事项提示与选择、事后违法违规自动执行。这里并不是简单地以技术替代法律，而是尝试把法律原则转化为可执行、可触发、可追踪的程序节点。这对于平台合规、敏感个人信息保护、个人授权撤回、权限管理和在线纠纷解决，都具有启发意义。

从 DIKWP 的视角看，本书也具有特别价值。个人信息并不是裸露的数据碎片。Data 只有在特定身份识别结构中才成为 Information；Information 只有进入人格权、财产权、数据产权、合同、义务、风险等法律概念系统时，才形成可治理的 Knowledge；Knowledge 只有在个人、企业、国家多主体利益平衡中，才可能转化为治理 Wisdom；而 Purpose 并不是一个抽象的终极使命，而是在合法、正当、必要、安全、透明、公平等规范约束中形成的可执行目的结构。本书的“平衡原理”，恰恰体现了从数据事实到法律智慧的制度化转换。

本书还有一个重要意义，即它把个人信息保护与数据要素市场建设放在同一结构中讨论。数据要素流通不能以牺牲个人为代价，个人信息保护也不能变成对数据价值的绝对封闭。作者讨论“数据二十条”、数据资源持有权、数据加工使用权、数据产品经营权以及三权分置的制度构想，说明本书并非停留在部门法内部，而是直接回应中国式数据治理的重大制度命题。个人信息权利行使平衡机制，不只是民法问题，也不仅是行政监管问题，而是连接民法、经济法、行政法、数据法、平台治理和技术治理的复合问题。

当然，任何具有开创性的著作也会留下继续推进的空间。比如，个人数据与企业数据之间的产权边界如何在更多真实案例中被量化？智能合约程序机制如何处理技术失灵、算法歧视、区块链不可篡改与删除权之间的张力？生成式人工智能时代的训练数据、推断数据、合成数据与人格利益之间如何分层配置权利？地方数据条例与国家数据基本法之间如何形成稳定的规范层级？这些问题仍有待进一步展开。但这并不削弱本书的价值，恰恰说明本书提出的是一个可持续生长的研究框架。

总体而言，《个人信息保护平衡原理》是一部值得数字法学界、民法学界、数据治理研究者、平台合规实务部门和人工智能治理共同关注的著作。它以“平衡”为名，但并不是折中主义；它讨论“保护”，但并不拒绝数据利用；它强调“权利”，但不停止于权利宣示；它引入“技术”，但不让技术凌驾法律。其真正价值在于：在个人、企业、国家三方利益高度纠缠的数字时代，为个人信息保护提出了一种动态、结构化、程序化、可运行的法理方案。

如果说传统个人信息保护研究重在回答“个人信息为何应受保护”，那么许娟院长这部新著进一步回答了“个人信息权利如何在数字社会中被有效行使”。这是从权利宣告走向权利实现的重要一步，也是数字法学走向成熟必须完成的一步。该书不仅为我国个人信息保护研究提供了新的理论坐标，也为未来数据法、人工智能法和数字治理实践提供了值得认真吸收的制度资源。

" bdsfid="342">（本文作者：段玉聪 海南大学计算机科学与技术学院教授，国际先进技术与工程院院士" bdsfid="343">）

" bdsfid="345">

" bdsfid="348">编辑：楚予