内容提要：在大数据时代，个人信息保护面临新的威胁和挑战。当前的个人信息保护主要依赖“基于权利的方法”，假定信息主体具有完全理性，赋予信息主体一系列权利，并以“告知—同意”和侵权损害赔偿作为主要的保障机制。实践证明，基于权利的个人信息保护法律制度在大数据时代面临认知和结构困境，个人信息保护需要进行路径重构。“基于风险的方法”承认信息主体的有限理性，将关注点从个体权利的建构转移到信息安全风险的合理分配，已经广泛嵌入新近的个人信息保护法制中。为了在个人信息保护中实施“基于风险的方法”，在自我规制层面，信息处理者应当将“基于风险的方法”融入个人信息保护合规制度体系中，形成“基于风险的合规”；在行政规制层面，个人信息保护专责机关应当通过标准设定、信息收集和行为调节三个方面完善风险规制体系，形成“基于风险的规制”；在司法救济层面，法院可以通过建立风险性损害的识别和评估机制，革新侵权“损害”概念，形成“基于风险的损害”。

　　 关 键 词：个人信息保护  基于权利的方法  基于风险的方法  风险规制　　personal information protection  rights-based approach  risk-based approach  risk regulation 

　　 在大数据时代，个人信息保护面临新的挑战和困境。①现有的个人信息保护立法及实践主要依赖“基于权利的方法”，即通过促进个人信息主体的赋权和能力发展，建构个人信息保护权利体系，进而实现个人信息保护。尽管个人信息保护中“基于权利的方法”契合支配当今权利理论的实践和哲学的观点，即主张“为了使世人相信我们道德理想的‘真理’(道德方面的重要性)，我们需要运用道德术语或权利语言”。②然而，“基于权利的方法”主要以工业时代诞生的“公平信息实践原则”为基石，该原则忽视了大数据的运行规律、个体的有限理性、数字经济的发展需求等因素，已经变得“不充分”。这使得“基于权利的方法”虽然能给人“隐私增强”的错觉，但却并未“实际地”为个人提供有效保护。③

　　 鉴于“基于权利的方法”之不足，学界也尝试提出了一些替代性或者补充性的解决方案。④在风险社会理论下，风险控制的理念和工具被引入个人信息保护中，形成了“基于风险的方法”，其核心是摒弃传统路径中全有全无的“二元化”判断，转而进行“程度性”评估，通过对风险的识别、评估和优先排序，以最小化、监测和控制不幸事件的概率或者影响。⑤我国《个人信息保护法》中的一些条款也体现了“基于风险的方法”，如预防个人信息侵害(第11条)、个人信息保护影响评估(第55-56条)等。尽管如此，在理论上，目前鲜有研究成果对“基于风险的方法”进行系统研究，对于如何界定个人信息保护中的“风险”“基于风险的方法”与“基于权利的方法”有何关系、“基于风险的方法”是否具有必要性及可行性等问题，均需要从理论上予以回应。职是之故，本文以国内外已有的个人信息保护法治实践为基础，对个人信息保护中“基于风险的方法”之法理基础进行阐述，在此基础上，提出完善“基于风险的方法”的对策建议，以期为推动我国个人信息保护法治提供借鉴。

　　 一、“基于权利的方法”：个人信息保护的传统路径及其缺陷

　　 当前，个人信息保护的传统路径主要采取“立法赋予权利—信息主体行使权利”的基本逻辑，这契合“基于权利的方法”的核心要素，属于以个人为中心的法律范式。尽管这种方法使得个人信息主体的法律地位得以凸显，但与之配套的权利保障机制却将保护个人信息的主要责任转移给了个人，正如学者所言：“赋予公民以权利，就意味着他们也要负责执行这些权利。”⑥此外，大数据技术的使用不仅对传统以个人为主体的法律保护提出了挑战，而且还造成了难以克服的负担和实践问题。

　　 (一)“基于权利的方法”的核心要素

　　 “基于权利的方法”主要植根于现代权利理论的基本理念与主张。权利的现代基础源于将个体从理性权威和道德权威施加的负担中解放出来，个体仅仅依靠自己，并且越来越占据中心位置，人们开始从个体的优先意义和更重要的现实意义这个角度在现代自然观的语境中思考权利，权利的“主观”概念逐渐成为现代性的一部分。⑦受此影响，“基于权利的方法”最基本的动力之一便是，每个人都是权利持有者(rights-holders)，而每项权利都有相应的义务承担者(duty-bearers)，应当将公民权利的规范、原则、标准和目标纳入有关个人及社会发展计划的整个过程中。⑧

　　 在理论中，“权利”概念本身具有较大的模糊性，可以通过有关请求、选择、资格、利益或者纯粹的愿景的语言来表达，⑨这导致对“基于权利的方法”的理解也存在差异。根据《联合国关于基于人权的发展合作和规划方法的共同谅解声明》，“基于权利的方法”具有以下核心要素：(1)促进义务承担者的问责制和透明度；(2)促进权利持有者的赋权和能力发展，使义务承担者承担义务；(3)与权利持有者、义务承担者进行合作；(4)确保权利持有者有意义的参与。⑩在“基于权利的方法”中，权利持有者占据核心地位，其有权享有权利、主张权利、追究义务承担者的责任，当然也有责任尊重他人的权利。

　　 (二)个人信息保护中“基于权利的方法”

　　 “基于权利的方法”引入个人信息保护中，不仅深受隐私的权利化传统之影响，而且还与个人信息在信息社会中所蕴含的价值密切相关。从国内外已有的个人信息保护立法看，“基于权利的方法”在个人信息保护中的应用，主要包含三个方面的内容。

　　 1.逻辑前提：信息主体的完全理性。责任理论认为，个人对危险的事物或者情况掌握的信息越准确，其就越有可能就如何因应此类风险做出明智的选择，并且这种选择越有可能符合成本效益和理性。“基于权利的方法”引入个人信息保护中的逻辑前提是假定个人能够自主管理他们的个人信息，即所谓的“个人信息自我管理”或者“个人信息自我决定”，这种逻辑的立论基础是理性选择理论和私法自治原则。在理性选择理论看来，个人信息主体是其自身最大利益的追求者，在特定情境中有不同的策略可以选择，而个人信息主体在理智上相信不同的选择会导致不同的结果，并且在主观上对不同选择结果有不同的偏好排列。(11)在私法自治原则看来，个人信息主体可以根据其自由意志自主形成与他人之间的法律关系，(12)包括禁止或者允许他人收集、存储、分享和使用与之相关的个人信息。

　　 2.基本范式：赋予信息主体法律权利。“基于权利的方法”引入个人信息保护中的基本范式是赋予个人信息主体个人信息权或者个人信息保护权。在理论上，学者们对于个人信息权或者个人信息保护权的法律地位及实现路径有不同的主张，形成了私法上的“隐私权说”“人格权说”“财产权说”等观点和公法上的“基本权利说”等观点。在比较法中，《欧盟基本权利宪章》第8条“个人数据保护”规定，每个人均有权保护有关他或者她的个人数据，由此确立了“个人数据保护权”在欧盟的基本权利地位。(13)在此基础上，欧盟《一般数据保护条例》通过第三章“数据主体权利”赋予了数据主体访问权、更正权、删除权、限制处理权、数据可携带权、反对权等权利。

　　 在我国法律制度中，尽管“个人信息权”或者“个人信息保护权”这一术语并未明确出现在制定法中，但《民法典》和《个人信息保护法》所确立的法律规则却是“基于承认个人信息为受法律保护的一项权利”。(14)《民法典》第111条规定“自然人的个人信息受法律保护”，并在人格权编第六章“隐私权和个人信息保护”第1034—1039条系统规定了个人信息保护的制度体系，包括知情同意权、查阅与复制权、异议和更正权、删除权等。受《民法典》的影响，《个人信息保护法》第1条立法目的表述为“为了保护个人信息权益……”不过在第四章“个人在个人信息处理活动中的权利”中却通过“个人有权……”的表达方式赋予了信息主体知情权、决定权、查阅权、复制权、更正权、删除权等权利，其中，“告知—同意”是个人信息权利得以实现的首要机制。

　　 3.法律保障：以损害填补为主导的侵权救济。“基于权利的方法”引入个人信息保护中的法律保障是以损害填补为主导的侵权救济。在霍菲尔德权利概念体系中，第一种便是A对B的请求权，此权利相当于B就此项请求的内容而言对于A承担了义务。在基于权利的个人信息保护制度中，信息主体享有个人信息权及附属的知情权、决定权、查阅权等一系列权利，这意味着信息处理者应当承担相应的系列义务。

　　 然而，在实践中，权利的实现和义务的履行并非总是按照立法者预设的图景自主进行。因此，“追究义务承担者的责任”便构成了“基于权利的方法”的核心要素之一。不过，“责任的归结并不是发生于法律的真空之中，而是发生于特殊人际关系和复杂的情境之中”。(15)对个人信息主体而言，只有在信息处理者违反其对信息主体的义务时，信息主体才能追究相应的法律责任。目前，侵害个人信息权利一般适用普通的民事纠纷解决与救济机制，并且主要以侵权责任作为实现路径，这体现在我国《个人信息保护法》第69条的规定中。既然以侵权责任为主导的私法救济成为个人信息权利义务规定得以实现的法律保障机制，那么信息主体在激活这一机制时理应遵循侵权责任的一般原理，尤其是侵权责任的构成要件，即违法行为的存在、损害事实、因果关系和行为人的过错。

　　 (三)基于权利的个人信息保护法律制度之困境

　　 在大数据时代，个人信息的生成、收集、存储、共享、处理和使用均发生了巨大变化，这给基于权利的个人信息保护制度带来了诸多挑战。美国学者丹尼尔·索罗夫认为，一些认知问题破坏了隐私自我管理，导致个人无法作出知情且理性的选择，而由于一些结构问题的存在，导致即使是知情且理性的个人也无法适当地自我管理其隐私。(16)以此为参考借鉴，本文也从认知困境和结构困境两个方面对基于权利的个人信息保护制度在大数据时代面临的挑战进行阐述。

　　 1.认知困境：信息主体难以进行理性选择。如前所述，基于权利的个人信息保护制度倾向于将个人视为理性主体，他们理性地自主决定如何保护或者披露他们的个人信息。根据这种观点，个人是前瞻者、效用最大化者、贝叶斯式的更新者，他们完全知情或者根据已知的随机分布概率作出决定。然而，无论是“理性选择理论”还是“私法自治原则”，其已经被证明存在内在缺陷，难以反映真实的决策场景和理性的心理偏离。个人在行为决策中容易受到“框架效应”“禀赋效应”“现状偏好”等因素的影响，表现出有限理性、有限意志力和有限自利。(17)许多领域的诸多研究发现，即使是在最理想的情况下，全面的信息披露也难以达到其目标，促进个人做出“良好慎重的决策”。(18)

在有关个人信息的决策过程中，(点击此处阅读下一页)