摘要：个人信息的法律保护依赖于公法对个人信息的定位。在公法与公法理论上，有两种看待个人信息的观点。一种观点认为个人信息权是一种基本权利，个人信息应当受到法律的确权保护；另一种观点则将个人信息视为他人言论自由的对象，个人信息的自由获取与使用受到法律保护。但这两种观点都无法从整体上理解个人信息，个人信息权的观点忽视了个人信息的自由流通属性与公共属性，而个人信息作为言论自由对象的观点则忽视了个人信息背后的多重权益。个人信息兼具个体属性与社会流通属性，应当确立一种“个人信息相关权益被保护权”。从个人信息的双重属性出发，个人信息保护应当在具体场景中确立个人信息收集与利用行为的合理边界。基于场景的行为主义规制更为符合个人信息保护的根本特征，也将为中国的个人信息保护提供一条超越欧美的中国道路。

关键词：个人信息；隐私；基本权利；公法；行为主义规制；场景

引言

　　个人信息保护已经成为全球热点与难题。在过去几年里，欧盟《一般数据保护条例》生效，美国的Facebook发生个人信息泄漏事件；美国加州制定《2018年加州消费者隐私法案》，中国将《个人信息保护法》与《数据安全法》列入立法规划。这一系列事件都使得人们开始探讨，如何运用法律保护个人信息，何种形式与何种程度的个人信息保护是恰当的。

　　探讨个人信息保护，首先需要在公法上界定个人信息的性质。公法对于对象的法律定性常常是法律保护的前提性问题。例如，只有当公法或者具有公法性质的政治共识明确了公民的私有财产受到法律保护，私法才能在此基础上设定对于不动产与动产的私法保护。相反，如果公法确定某类物品的性质属于国家所有或公众所有，那么法律对于此类物品的保护就必然区别于一般物品。例如法律不能将传统物权理论中的先占原则适用于发现油田，也不能将物权理论适用于空气上。个人信息保护亦是如此，无论是个人信息的公法保护还是私法保护，都需要先在公法或公法理论上明确个人信息的法律定性。在此之后，法律才能确定个人信息保护的框架。

　　本文分析个人信息保护的两种观点。第一种观点将个人信息权视为基本权利，根据这种观点，个人信息是基本权利的客体，法律应对个人信息进行确权保护。第二种观点则将个人信息视为言论表达的对象，他人对于个人信息的获取与使用受到言论自由与信息流通的保护。在目前关于个人信息保护的中文研究中，个人信息作为他人言论对象的属性较少被关注与提及，但个人信息作为他人言论对象的属性已经被国际学界特别广泛讨论。而且，隐私权理论的提出者布兰代斯(Louis Brandeis)本身就是言论自由理论的开创者之一，从言论的角度思考个人信息，可以帮助我们更为深刻地理解个人信息保护问题。

　　从个人信息保护的两种观点出发，可以发现个人信息具有双重属性：个人信息的个体属性与公共流通属性。简单地强调个人信息的某一种属性均不足以阐述个人信息的本质特征，也不足以为个人信息保护搭建合理的法律框架。从个人信息的双重属性出发，也可以对个人信息保护进行重新思考。个人信息保护应当更多依赖于场景化的行为主义规制，基于场景的行为主义规制可以更好地维持个人信息双重属性的平衡。

　　在展开正文之前需要说明，本文并未严格区分个人信息与个人数据的概念。在当前全球话语体系中，这两个概念指涉的对象基本相同，都指涉了已经识别或结合其他信息/数据可以识别个人的信息/数据。总体而言，美国更多使用个人信息的概念，而欧洲更多使用个人数据的概念。

　　一、作为基本权利客体的个人信息

　　(一)防御性信息权利

　　在个人信息保护越来越受到重视的背景下，个人信息常常被视为一种基本权利的客体。根据这种理论，个人信息权是一种基本权利，个人首先有权防止其消极性的隐私权益受到相关主体的侵扰。纵观全球个人信息的立法与政策，可以发现防御性的信息权利在一系列制度中都有体现。

　　首先，个人信息保护制度常常要求或提倡收集个人信息的公开透明，以保证个人信息不会被秘密收集。例如我国《网络安全法》规定，收集个人信息应当公开收集和明示收集。OECD制定的《隐私保护与个人数据跨境流通指南》(以下简称《指南》)规定，收集个人数据应当有一般性政策。亚太经济合作组织(APEC)制定的《APEC隐私框架》(以下简称《框架》)规定，信息控制者应当提供访问与使用个人信息的说明。

　　其次，很多个人信息保护制度都规定了“目的限制”“数据最小化”“限期储存”等个人信息收集与处理的原则，以保证个人信息不会被过度收集、过度处理与过度储存。据此对个人信息只能进行最低限度的收集，对个人信息的处理只能为了满足服务活动所必要，而且个人信息的储存期限不能超过必要时限。例如我国《网络安全法》规定网络运营者不得收集无关信息，违反法律法规或与个人约定的信息。OECD的《指南》规定收集个人数据的范围应当限定于其说明的范围。欧盟的《一般数据保护条例》(以下简称《条例》)规定了个人数据的存储期限不得超过必要时间。

　　最后，个人信息保护制度也大都对信息安全进行规定，要求企业承担对于信息的安全保障义务。例如OECD的《指南》规定数据控制者应当采取必要措施保护个人数据安全。亚太经济合作组织的《框架》规定，信息控制者应当采取采取防护措施满足个体的隐私期待，并且对特定类型的风险进行额外防护。

　　从理论渊源来看，将个人信息权利视为一种消极性的防范性权利，这继承了沃伦与布兰代斯等学者所提出的隐私权理论。沃伦与布兰代斯将隐私权定义为“独处的权利”，正如每个人需要一定的固定空间，防止他人的侵害，保护隐私就是为个人人格建立一种“独处与隐私”的空间。此后，这种权利为很多学者所接受与重述，并且对个人信息保护的制度与实践也产生了重要影响。

　　(二)控制性信息权利

　　个人信息保护制度不仅包含对公民消极性信息权利的保护，而且也包含对积极性信息权利的保护。分析全球的个人信息保护立法与政策，也同样可以发现很多体现积极性信息权利的制度。

　　首先，个人信息保护制度一般都把个人“选择”或“同意”作为收集个人信息的合法性要件。例如APEC的《框架》规定，收集个人信息，除了确保个人的知情权，还应当赋予个体以选择的权利。美国联邦贸易委员会在其推荐的个人信息收集准则中规定，网站除了赋予消费者以收集个人信息的选择权，还需要向消费者告知网站如何利用个人信息，并且为消费者提供退出选项。

　　其次，个人信息保护制度还确立了信息更正权等一系列信息权利，赋予个人以更多地控制自身信息的能力。例如OECD规定，个人对于其信息具有信息纠正权等权利。APEC的《框架》规定对个人信息的收集“应当准确、完整并且及时更新”。而欧盟的《条例》进一步赋予了个体以数据“被遗忘权”“携带权”等新型权利，进一步强化了个体对于个人信息或个人数据的控制权。

　　从理论渊源来看，控制性信息权利继承了阿兰·威斯丁等学者的个人信息保护理论。1967年，威斯丁出版了信息隐私法上的里程碑式的著作《隐私与自由》，将隐私界定为“个人、群体或机构对自身信息在何时、如何以及在什么程度与他人沟通的主张”。此后，这种以自主控制个人信息界定隐私的观点在学界和业界获得了很多支持，对个人信息保护的理念与制度都产生了很大影响。

　　二、作为言论自由表达对象的个人信息

　　将个人信息视为言论自由表达对象的客体，中文学术界仍然较少从这种角度探讨个人信息保护。但这一视角却可以为个人信息保护提供重要参照，在西方特别是美国学界的个人信息保护研究中，很多研究都从言论自由的角度来探讨个人信息保护的理论基础。

　　(一)作为言论自由对象的个人信息

　　将个人信息视为言论自由的对象，这看上去有些违背常识，因为一般认为，个人信息保护与言论自由所保护的对象不同。信息或数据一般被认为是对事实的记录，个人信息或个人数据即以电子等方式所记录与储存的已识别或结合其他信息可以识别个人的信息或数据。但言论自由所保护的常常是人们所表达的观点或意见，其目的在于保证人们的思想与观点不受不正当的压制。以言论的角度看待个人信息，这似乎误解了言论自由的目的，不恰当地扩大了言论自由所保护的范围。

　　但信息与观点或意见的区别并不那么明显，对信息的披露本身就可能构成观点或意见。美国著名的纽约时报言论自由案(N. Y. Times Co. v. United States)就说明了这一点。在此案中，《纽约时报》披露了美国国防部的“五角大楼文件”，这些文件与时任美国总统林登·约翰逊所表述的内容并不一致。当时的美国联邦最高法院法官一致认定，即使“五角大楼文件”仅仅是一些事实性的资料，这些资料也构成了美国言论自由条款所保护的对象。

　　在涉及官员等公众人物的个人信息时，个人信息更是常常被认定为言论自由所保护的范围。而且当媒体对个人信息的错误使用而涉嫌诽谤，媒体也可能会因为言论自由保护而受到豁免。例如在《纽约时报》诉沙利文案(New York Times Co. v. Sullivan)中，虽然《纽约时报》使用了错误的个人信息，刊登了内容不实的广告，对原告沙利文警官造成了声誉上的损害，但美国最高联邦法院还是一致认为，《纽约时报》对于公众人物信息的使用受到言论自由条款的保护；除非能够证明《纽约时报》存在实际恶意(actual malice)，否则《纽约时报》的行为就不能被认定为诽谤。

　　非官员甚至非公众人物的个人信息也可能因为议题的公共性而受到言论自由条款的保护。在巴特案中，一位佐治亚大学的体育教练起诉媒体，认为媒体对其个人信息或事实的描述存在诽谤情形，但法庭的多数意见认为，虽然该体育教练并非公共官员，但他主动地参与公共活动，自愿地将自己的人格卷入“一项重要公共争议的‘漩涡’”中。因此虽然该教练不属于沙利文案中的官员类型，但同样属于“公共人物”，同样适用于沙利文所确立的“确实恶意”的证明标准。此后，在罗森布鲁姆案中，一位非名人的原告起诉一家广播站，认为其报道他因为拥有淫秽言论而被捕的报道存在不真实性，属于诽谤。法庭的多数意见认为，对于言论自由来说，“公共人物”的概念并不取决于本人是公共性的还是私人性的，而在于该人物所涉及的公共议题是不是公共性的。只要该“事项是具有公共性或普遍性利益的，不能因为只是这牵扯到了一位私人，或者因为该个体并没有‘自愿地’地介入，就认定该事项不那么重要”。在法庭多数意见看来，宪法上的言论自由条款所保证的是公共事务能够被充分讨论，这使得即使是私人非自愿地卷入公共议题，也应当被定义为公共人物，适用于沙利文案所确立的证明标准。美国最高法院虽然此后在格茨案中推翻了罗森布鲁姆案中的判决，在一定程度上回到了巴特案的立场，但就公法原理而言，罗森布鲁姆案的判决显示了个人信息完全可能具有公共性价值，因而应当受到言论自由的保护。

　　有专家指出，就个人信息保护而言，法律所针对常常是大型企业对非公共人物或不具有公共议题的个人信息的收集，对于此类个人信息，很难说它们属于言论自由所保护的对象。例如尼尔·理查德(Neil M. Richards)教授指出，在企业对个人信息的收集中，大量的信息其实涉及个人的画像类信息，例如个人的购物偏好、健康信息、财务信息、种族、体重、爱好、宗教、阅读偏好、房屋所有权等信息。此类信息更多具有财产性价值而不具有公共性价值，因此现代信息隐私法所规制的信息更多类似于商品而非言论。

　　但即使纯粹商业化或商品化的个人信息，也可能被视为商业言论自由的对象，从而受到言论自由条款的保护。在2011年的索雷尔诉艾美仕市场研究公司案中，佛蒙特州的一项立法禁止制药公司获取与利用处方类个人信息对医生进行定制广告，但美国最高法院的多数意见认为，此类对个人信息的使用限制涉嫌违反美国宪法中的言论自由保护。肯尼迪大法官在法庭意见中指出，暂时没有必要在这个案件中判断信息是否属于言论自由所保护的范围。因为根据已有情况，已经可以确定佛蒙特州的此项立法违反了第一修正案的言论自由保护，药剂师可以为科学、新闻或其他目的向第三方捐赠或出售此类信息，但此案中的立法却根据言论内容和发言者身份而进行歧视性地限制。肯尼迪大法官进一步建议，创建、销售和传播个人信息，这应当纳入言论自由的保护范围。

　　在索雷尔案之前，美国的地区法院也曾经在一些案例中将个人信息视为言论自由的对象。例如在全连公司诉美国联邦贸易委员会(Trans Union Corp. v. FTC)案中，全连公司质疑美国《公平信用报告法》(FCRA)的合宪性，因为该法规定，除非出于特定目的，否则禁止公司共享消费者的信用报告。在这一案件中，华盛顿地区巡回法院认为，消费者的商业记录也有权得到言论自由条款的保护，只是这种保护要比其他类型的言论更为宽松。此外，在美国西部公司诉美国通讯委员会(U. S. West，Inc. v. FCC)的案件中，针对美国《电信法案》中所规定的用户电信信息，例如“客户订阅的电信服务的数量、技术配置、类型、目的地和使用量有关的信息”，美国联邦第十巡回上诉法庭也认为，此类个人信息属于言论自由的对象，受到美国联邦宪法第一修正案的保护。

　　(二)个人信息作为言论自由对象的公法内涵

　　将信息视为他人言论自由的对象，法律对于个人信息保护的立场将大为不同。首先，个人所拥有的防御性信息权利——即个人信息保护中的隐私期待利益——将会因为言论自由保护而变小。当媒体报道公众人物或具有公共议题中的非公众人物时，即使此类报道侵犯个体的隐私期待，甚至因为错误使用个人信息而造成诽谤，此时媒体也可能因为言论自由保护而得以免责。在个人信息商业化使用的场景中，当个人授权信息收集者或控制者进行商业化使用，信息收集者或控制者将可以随意使用此类信息。在此情况下，政府以保护信息隐私的理由而规制个人信息将面临重重障碍。

　　其次，公民个体所拥有的控制性信息权利将受到更大地挑战。如果将信息视为他人言论自由对象，那么第三方对于个人信息的收集与使用从原则上来说就应当是自由的，不受个体对于自身信息权利控制的限制。对于进入公共空间的个人信息，这一点尤其明显。例如对于网站公开可见的个人信息，美国法院曾经在很多案件中援引言论自由条款，认为对于此类信息的收集不需要经过个人同意。再比如，对于个人信息的更正权、删除权、携带权等权利，也无法成为法定性权利。个人可以通过发表声明来反驳其他主体对个人信息的错误使用，但无权要求其他主体更正或删除个人信息，也无权要求其他主体提供数据携带的便利。因此，不难理解当欧盟引入“被遗忘权”，赋予公民对于谷歌等搜索引擎的数据被遗忘权，美国的很多学者都对此提出了反对意见。反对者指出，这样一种权利会极大削弱言论自由的价值，因为谷歌这样的搜索引擎事实上扮演了公共空间与公共论坛的角色，允许个体删除他人发表的不利于自身的信息，这侵犯了他人的言论自由权利。

　　三、重新思考个人信息的公法性质

　　将个人信息视为基本权利的客体与他人言论自由的对象，这两种看待个人信息的视角从不同侧面揭示了个人信息的属性，但两种视角均不足以全面阐述个人信息的公法特征。

　　(一)个人信息作为基本权利客体的反思

　　将个人信息视为基本权利的客体，其问题在于忽略了个人信息的公共性价值：个人信息对于共同体具有信息流通的价值。以个人的消极性信息权利为例，此种权利很难适用于所有场景。在日常生活的很多场景中，此种权利都不可能被主张。例如在一个小群体中，通过朋友而要到他人电话或微信名片，并给他人打电话或添加微信好友，此类行为虽然可能对他人造成困扰，但很难说其就一定构成了对他人信息隐私的侵犯。更不用说我们周围的熟人或亲人对个人信息的收集与运用，此类行为虽然可能侵犯个人的独处空间，但由于个人本身就生活于社群之中，此类行为往往被认为是正常社交的一部分，不应将打听周围熟人或亲人的个人信息的行为视为侵犯个人的信息隐私。

　　因此，防御性个人信息权的问题在于过于强调个体主义权利，没有充分考虑信息隐私保护的公共性背景或社群背景。对于这一点，耶鲁大学法学院罗伯特·波斯特(Robert Post)教授曾经有过精辟分析。在重新阐释沃伦与布兰代斯的隐私权文献中，波斯特指出，沃伦与布兰代斯所提出的隐私权或“独处的权利”并不是泛泛而谈的独处或防止侵扰，并不是提倡一种类似梭罗隐居在瓦尔登湖的权利。相反，沃伦与布兰代斯所说的隐私权有着非常具体的语境，其所针对的正是现代媒体尤其是八卦媒体兴起下的隐私侵权。在其文章中，沃伦与布兰代斯生动地描绘了新闻媒体是如何侵犯个人隐私的。沃伦与布兰代斯指出，如今新闻媒体已经“在各个方面都脱离了规矩和体面”，流言蜚语“已经不再只是来源于那些懒汉和恶毒的人”，相反，流言蜚语已经成为了一种“厚颜无耻的工业化的生产”。为了吸引顾客，媒体不顾节操地刊发性关系的各种细节，完全不顾社群的某些社会规范。因此，沃伦与布兰代斯虽然提出了作为独处的隐私，但他们也同时是强调了隐私与公共社群的关系，认为隐私的边界必须结合“每个具体案例的多种情境”来进行考虑。在这个意义上，很难说隐私权是一种完全个体主义的基本权利，如果简单将个人信息保护中的隐私权上升为一种个体主义的基本权利，那就忽视了隐私权背后的社群利益与社群规范。

　　控制性的信息权利更是面临个体主义的难题。控制性的信息权利观主张个体对于信息的控制，但日常生活中他人对于个人信息的合理利用无处不在，每个人都可能打探其他人的姓名、电话等各种能够直接或间接识别个人的信息，即使个人不希望他人获取此类信息，也不能说此类打探信息的行为就属侵犯他人的个人信息权利。在企业与政府收集与利用个人信息的情形中，赋予个体以绝对性的控制权，也并不一定合理与现实。毕竟，如果个体拥有对个人信息的绝对控制权，那么企业与政府在利用个人信息时就需要不断获得用户的同意，这无疑会阻碍信息的集合效应与规模化效应。从个人信息公共利用与发展大数据与人工智能产业的角度来说，这样一种高度个体主义的权利不利于产业对于个人信息的合理使用。同时，从个人信息权利保护的角度来看，期望个体能够保护自己的信息权利，这也对于个人信息权益保护的思考过于简单。有很多的研究已经指出，面对千变万化的信息收集场景与海量可能识别个体的个人信息，个体其实很难对自身信息权益进行有效的保护，大量的个人信息保护工作实际上仍然要依赖于公共监管机构的监管与作为消费者集体的监督。

　　(二)个人信息作为言论自由对象的反思

　　另一方面，将个人信息视为他人言论自由的对象，存在个人信息保护不足的问题。对此可以结合公法上的言论自由理论进行分析。

　　言论自由的目的之一是促进思想的自由市场，言论自由可以促进信息的自由传播，它可以帮助社会筛选出正确的思想，淘汰落后的思想。个人信息无疑也可以部分起到此类作用。有的学者指出，基于个人信息的统计常常是思想自由市场中的重要因素，具有改变科学范式与公众舆论的功能。例如对于医疗研究而言，很多医疗研究的突破都是建立在个人医疗健康类信息的统计基础之上的，离开了个人信息的自由流通与使用，很多公益性或商业性的医疗研究就无从谈起。因此，将个人信息视为言论自由的对象，保护对个人信息的共享与利用，这就是在保护思想的自由市场，也同时保护了社会公共利益。

　　思想的自由市场理论正确揭示了个人信息的流通属性与公共属性，但和其他领域中的市场一样，言论市场也存在垄断和侵犯消费者权益的可能，主张完全自由放任的洛克纳主义并不可取。当企业收集了大量个人信息之后，企业利用此类个人信息所进行的研究和利用可能是为了支配消费者，而不是为消费者提供更好的服务。例如一些公司收集了海量个人信息之后利用此类信息来进行“大数据杀熟”，或者进行“实时定价”而榨取更多的消费者价值。从这种角度来看，即使存在一种言论与信息的自由市场，这种市场也常常存在很多问题，需要法律对这种信息市场进行规制。

　　言论自由的目的之二在于促进公共讨论与人民自治。言论使得人民能够充分表达自己的意见，使人民能够接收到有用的信息，正如隐私权的提出者之一布兰代斯所言：“国家的最终目的是让人们自由地发展自己的能力……言论的作用是使人们摆脱非理性恐惧的束缚。”个人信息在很多场景下具有此种功能。公共人物或公共议题中的个人信息自不必说，此类信息可能会对公共讨论产生重大影响；但即使是非公共人物或非公共议题，其中的个人信息也可能会在未来成为公共议题。例如某条个人信息可能是一个犯罪活动的线索，通过此条个人信息可以最终发现某项犯罪活动，或者可能导致某项丑闻的暴露与公开。因此，公共议题与非公共议题是可以相互转换的，今天的非公共议题很可能在未来就会成为公共性的议题，个人信息即便暂时没有公共性，未来也会成为具有公共性的信息，从而对于人民的知情权与公共讨论具有重要作用。

　　但即使个人信息具有公共属性或潜在的公共属性，这也并不意味着所有个人信息都不值得保护或都应当“大白于天下”。从公共讨论的视角出发，保护公民的个人信息不被过度收集，这事实上有利于人们更多参与公共活动，更愿意表达自己的意见。正如保罗·葛维宝教授所言，言论自由所促进目的应当的是人们对公共生活的积极参与，当法律对隐私权益进行足够的保护时，人们反而可能会更为充分、公开和坚定的表达自己。相反，当人们“害怕被人偷听，害怕被公众曝光，害怕自己的言辞成为流言蜚语的话题，害怕自己的亲密关系被公开审查，害怕自己所说的话被认可或不被认可时”，公共讨论反而就会受到抑制，言论自由所保护的目的就会受到削弱。在个人信息利用的场景中，这一理论分析也同样适用，恰当的个人信息保护也有利于公共讨论与人民自治，而放任自流的个人信息利用则可能导致人民被操控。例如在Facebook的剑桥分析公司丑闻中，Facebook将个人信息分享给剑桥分析公司，但剑桥分析公司并不是利用此类信息为消费者提供更好服务，而是将此类信息运用于竞选等政治活动中，以此来操控很多政治活动。在此类个人信息的商业利用中，相关企业就没有通过个人信息的合理利用来为公民提供更好的信息，反而利用信息来操控选民，剥夺人们反思和慎重选择的能力。因此，无论是对于个人信息的收集还是利用，无论是商业性还是非商业性的场景，对个人信息进行保护和对相关行为进行规制都具有合理性与必要性。

　　言论自由的目的之三在于促进个体自治。这种观点认为，言论使得个体能够获得更多信息，从而使其具有更多的自主性。就个人信息而言，这意味着个人信息的自由流通是个人自治的重要保证，当个人对他人的信息获取越充分，个体对他人的判断和个体作出理性选择的可能性就越大。

　　但这种观点并没有深入考虑个人自主性的成因。首先，个人信息的无限制流通可能会引起个人无法被社会正确地理解与对待，从而造成社会对他人的误解。知名法律学者杰弗里·罗森曾出版《不希望的注视》，为信息隐私保护辩护。罗森认为，应当区分两种关于个人的信息，一种是碎片化和肤浅化的个人信息，另一种则是“只能为一些朋友、爱人或家人所获知”的具有复杂性的真实知识。在罗森看来，关于个人的复杂性知识只能通过缓慢的时间积累来获取，而社会却总是通过媒体报道或公共性事件而获取关于个人的碎片化信息。因此，罗森指出，隐私的“核心价值之一”是保护个人不会因为“在一个世界中的短暂一瞥而被脱离语境地错误界定与评判”。

　　此外，信息隐私对于普通公民个体人格发展具有重要作用，缺乏隐私为个人人格所构建的发展空间，个人将不可能培养独立的人格。对此，隐私研究的权威学者朱丽叶·科恩(Julie E. Cohen)曾经有过详细的论述。在科恩看来，人们之所以对隐私的价值认知不足，是因为没有意识到个人总是生活在社会中，总是为各种社会力量所支配。例如，个人常常为商业信息所支配，而商业与信息融合而带来的“信息资本主义”又追求利润最大化，常常趋向于激发消费者的欲望和即时性的信息处理方式。对于公民个体的人格来说，这具有非常负面的作用，因为独立的人格与反思能力来源于“知识的积累以及迈向信息处理的更高级别的复杂性”。科恩指出，信息隐私恰巧可以在现代社会为公民提供一种庇护，当公民具有合理的隐私空间，他们就可以免受商业、政治、同龄人的即时性压力，而能够更为长远和审慎地思考问题和规划未来。

　　总之，将信息作为言论表达自由的对象，揭示了个人信息应当合理流通与利用的一面，但这并不能否认个人信息应受保护。恰恰相反，当我们深入言论自由理论，就会发现保护个人信息能够促进言论自由所意图实现的目标。就此而言，虽然言论自由理论主要建立在美国的言论自由基础之上，但其所揭示的原理和带来的启发却是普适性的，同样适用于包括中国在内的个人信息保护。

　　四、个人信息的场景化行为主义规制

　　将个人信息视为基本权利的客体，这更多反映了欧洲看待个人信息的立场，而将个人信息视为他人言论自由的对象，这更多反映了美国看待个人信息的立场。前者为我们揭示了个人信息的个体属性；而后者则为我们揭示了个人信息的公共流通属性，两者从两个不同侧面揭示了个人信息不同于一般物品或财产的双重属性。

　　(一)个人信息的行为主义规制

　　个人信息的双重属性为保护个人信息指出了方向。既然个人信息确权保护很难成立，而个人信息的无限制流通又可能侵犯个体与社会的相关权益，那么保护个人信息就应当对个人信息收集、储存、处理的各个环节进行行为主义的规制，确保个人信息流通的各个环节都能得到法律的合理介入。相比基本权利进路的法律保护，这样一种进路并没有采取个体主义与权利话语的观点，也没有否认个人对于附着在个人信息上面的合法权益。而相比起言论自由的进路，这样一种进路也没有对个人信息保护放任自流，没有借言论自由审查阻碍政府对个人信息的保护。

　　从行为主义规制的进路出发，个人信息保护应当根据不同行为所可能侵犯个体与社会的权益而进行不同程度的规制。例如，对于个人信息收集行为，应当采取相对宽松的规制策略，因为个人信息的收集与个人信息的流通共享密切相关，如果对个人信息的收集行为进行过于严厉的规制，那么个人信息就无法合理流通，个人信息中所可能蕴含的公共性价值就无法得到体现。而对于个人信息的处理，则应该进行更为严格的规制，因为相比起个人信息收集，个人信息的处理会直接对个人产生影响，会对个人权益产生更为直接的影响。此外，对于信息的储存与披露，则应当采取最为严格的规制策略，因为企业等信息收集者与处理者对个人信息的储存常常涉及海量个人信息，一旦发生信息泄漏，就可能造成个人和社会的安全风险。

　　(二)基于场景的行为主义规制

　　个人信息的行为主义规制应当是高度场景化的。它与刑法上的行为主义规制不同。在刑法上，当某些行为被确定为罪名之后，此类行为就被认定为犯罪，不论此类行为发生在哪种场景，针对何种对象。但个人信息的行为主义规制则不同，对个人信息进行规制的必要性与合理性往往取决于不同的场景与对象。例如，当自动驾驶汽车不经个人同意而收集和处理个人信息，此类行为完全具有正当性，因为此类场景就不可能为个人同意提供选择的机会；当电商企业收集与利用个人信息为消费者推荐一般商品时，此时电商企业对个人信息的收集与利用也具有一定的合理性，因为个性化推荐将总体上为个人提供更符合个性化偏好的产品；但当互联网企业收集个人信息并用于推送医疗广告，此类行为就可能面临违法，即使此类收集得到个人同意，此类行为也可能存在问题。因为在医疗领域，个人和医疗机构之间往往存在巨大的认知差距，医疗企业与互联网企业往往很可能会利用个人信息来向个人提供利润最为丰厚的医疗服务，而非最适合个人的服务。

　　个人信息应当进行场景化的行为规制，这与个人信息所承载的多重权益相关。上文的分析表明，保护个人信息其实并不是保护个人信息本身，而是通过保护个人信息来保护其他权益，这就是作为基本权利的个人信息权利不能成立的原因，也是为什么需要对个人信息采取行为主义规制进路的原因。但是，究竟个人信息背后的权益是什么？无论是数据保护的实践领域还是学术领域都没有共识。在实践领域，以欧盟《一般数据保护条例》为代表的数据保护立法其实包含了一系列的权益，其中既包括个体的知情权等消极性的隐私期待权利，也包括积极性的数据选择权与控制权，同时也包括了数据质量与数据安全等权利。因此，保护个人信息既包括了附着于数据上的人格性权益，财产性权益，也包括了风险预防性权益。而在学术领域，关于个人信息保护目的的讨论则更为多元，从保障个体权益、促进数据公平到维护社会数据规范、规制数据风险、促进公共讨论，不同理论从不同角度论证了个人信息所承载的多重权利。正是因为个人信息保护背后如此多元的权益，使得个人信息保护常常高度依赖于场景。在一种场景下，个人信息保护可能会促进某种权益，但一旦场景变化，个人信息保护就不但无法促进某种权益，反而可能妨碍另一种合法权益的实现。

　　(三)场景化行为主义规制的实践

　　当前，各个国家与地区的个人信息保护法都建立在“公平信息实践”(Fair Information Practices)的基础之上。这些法律一方面赋予个体以针对数据收集者与处理者的一系列信息权利，例如针对个人信息收集与使用的选择权、访问权、更正权、被遗忘权、携带权等等；另一方面则要求数据收集者与处理者承担一系列责任，例如要求个人信息收集的公开透明、保证个人的数据质量与数据安全。这些规制虽然包含了行为主义的法律规制方式，但主要采取了个人权利的进路。尤其是欧盟的《一般数据保护条例》，大大强化了个人数据控制权。

　　就立法技术而言，这样一种立法模式无可指摘，或者说具有相当的合理性。在个人信息保护越来越成为共识的今天，这样一种立法模式可以较快地建立一套个人信息保护的法律框架。法律通过个人信息这样一个工具或抓手，赋予个体以针对个人信息收集者和处理者一系列权利，这可以确立个人信息保护的一般性规则，从而保护个人信息背后所承载的多种权益。从法律原理上来说，一般性的规则能够减少信息搜寻成本与认知成本，有利于个人尽快认知和利用法律进行维权，有利于数据收集者与处理者尽快地进行合规操作，也有利于执法主体尽快进行执法。

　　但即使立法上采取权利进路的个人信息保护，在司法与执法层面，对个人信息权利的解释也必然会采取场景化的行为主义规制方式。个人信息权利所包含的若干权利是否被侵犯，都需要在具体场景中加以确定。我们已经看到，在收集个人信息时，自动驾驶等场景就不太可能赋予个体以选择权。其他信息权利亦是如此。例如赋予个体以被遗忘权，这种权利虽然在纸面上可以被上升为一种权利，但这种权利的行使却需要在具体场景中结合多种因素加以确定。例如在实践中，谷歌就设置了一些场景化因素来审查用户提起的被遗忘权请求：数据所涉及的主体在公共生活中的角色、数据的性质、数据来源、数据所经历的时间。这些因素的具体考虑使得被遗忘权虽然名义上仍然是一种“权利”，但实际上已经成为一种对个人信息进行行为主义规制的工具。

　　观察欧盟与美国的个人信息保护实践，也可以发现它们的个人信息保护接近于场景化的行为主义规制。以欧盟为例，在《欧盟数据保护指令》(95/46/EC)指令生效期间，负责解释该《指令》的第29条数据保护工作组(The Article 29 Working Party)就不断发布关于个人数据保护的具体指引，这些指引常常结合具体场景来对《指令》中所规定的各种权利与责任进行解释，事实上提供了一种行为主义的合规指引与执法指引。在欧盟《一般数据保护条例》生效后，欧盟数据保护委员会(European Data Protection Board)又接替了第29条数据保护工作组的这一功能。而美国并没有在联邦层面对个人信息保护进行统一立法，在一定程度上，美国联邦贸易委员会承担了个人信息保护的主要职能。就保护模式而言，美国联邦贸易委员会通过个案执法而不断勾勒个人信息保护的行为边界，从而在事实上形成了对个人信息的场景化行为主义规制。因此，尽管欧盟与美国在个人信息保护方面有众多区别，但实际上他们有殊途同异之处，欧盟与美国都采取了场景化的行为主义规制道路，通过在具体场景中判断相关行为的合理性来最终确定个人信息保护的边界。

　　结论与启示

　　个人信息的公法性质是信息隐私或数据隐私保护的前提性问题：如果个人信息构成公法上的基本权利客体，那么法律体系就应当通过制度设计来落实这种基本权利保护；相反，如果个人信息构成他人言论自由表达的对象，那么个人信息就应当以自由流通与自由使用为基本原则，对个人信息流通与使用的限制都会因为违反言论自由原则而无效。这两种看待个人信息的视角揭示了个人信息的双重属性，从个人信息的双重属性出发，本文认为，个人信息权利无法成为一种独立性的基本权利，但同时个人信息也可能承载的多种合法权益，需要法律进行介入与规制。

　　从个人信息的基本属性出发，个人信息保护应当采取基于场景的行为主义规制。相比起基本权利的进路，这种保护方式并不试图对个人信息进行确权。在这个意义上，可以说本文拒绝“个人信息权利”，但承认“个人信息被保护的权利”。更准确地说，本文主张“个人信息相关权益被保护的权利”。如同本文一再强调的，个人信息本身并不值得保护，保护个人信息是基于路径依赖和实践可行性的考虑。通过个人信息这样一个工具和抓手，法律可以对个人信息所承载的相关权益进行较为全面的保护。

　　目前，中国正在紧锣密鼓地制定“个人信息保护法”“数据安全法”等法律。关于个人信息或个人数据的法律保护方式，有的观点主张走欧盟强化个人数据控制权的立法进路，而以企业界为代表的观点则主张采取美国以自由市场和自我规制为主导的保护模式。本文揭示了这两种观点都可能存在的问题：欧盟的进路过于忽略个人信息的流通与利用；美国的进路过于忽略个人信息背后所需要保护的多种权益。从信息的双重属性出发，未来中国的个人信息或个人信息保护应当寻求独特的中国道路，通过行为主义的规制方式逐步勾勒个人信息保护的合理边界。

　　具体而言，行为主义的规制方式可以在立法、执法、司法等层面落地。在立法层面，我国的个人信息保护法与相关法律法规可以将“尊重场景”的原则作为个人信息保护与数据治理的基本原则之一，就像美国的《消费者隐私权利草案》一样。在执法层面，执法机关除了结合法律法规在具体场景中进行个案化执法，还应当在执法中形成执法案例汇编，以案例汇编勾勒个人信息保护的边界。在司法层面，司法机关也应当以司法判决和司法案例编撰来分析个人信息保护。此外，企业等主体也应当积极参与场景化的个人信息保护，通过对一线场景中的个人信息保护进行研究与总结，企业不但可以进行更为有效的自我规制，而且也可以为国家的个人信息行为主义规制提供参照。

　　总之，面对个人信息的保护难题，采取基于场景的行为主义规制，更符合个人信息双重属性，实现个人信息保护与个人信息流通的双赢。在全球个人信息保护与数据治理的制度竞争中，这一进路也符合中国的现实需求，有利于中国在全球的个人信息保护与数据治理中发出自己的声音。