作者简介：王勇，男，内蒙古通辽人，大连海事大学法学院教授，博士生导师，法学博士，研究方向：法理学、基层治理；孟子杰，男，山东临沂人，大连海事大学法学院博士研究生，研究方向：法理学、个人信息保护。

摘要：数字时代的个人信息，具有满足多元利用需求的功能，这使之区别于传统的侧重于确权和注重所有者意志的法律规范模式。基于赋予个人权利或进行利益权

衡两种逻辑，现行法形成了个人信息利用的权利化路径与法定化路径。前者以决定权为核心，确认个人对信息利用的自决；后者以信息使用和利益实现为导向，法律规范对利用需求进行优先决断。权利化路径中，确权为要，存在需求促进不足的问题。法定化路径则因严格限定具体场景，存在权衡如何实现的难题。以不同类型的需求为标准，将信息利用划分为商业化利用、公益性利用与公共性利用能够并相应做出规范设计，可以有效解决当前困境。商业化利用中，通过数据产权、数据信托等制度的完善最大化发挥信息的经济价值；公益性利用中，通过明确比例原则、提供实践技术指引等方式实现公共利益的边界确定；公共性利用中，通过国家主导建立信息共享平台、提供数字公共产品等方式实现公共治理手段的优化。

关键词：信息利用；权利化；法定化；个人信息；信息利用需求

引言

信息技术的发展正推动政治、经济、文化等多领域的深刻变革。用户画像、个性化服务等个人信息利用的新形态表明，个人信息已不仅是传统观点中的受保护对象，还可以作为利用对象“推动企业生产方式、国家治理方式和社会管理方式发生重大变化并由此带动人的生存方式转型添新”。因此，多部法律与规范文件中均提到要“促进个人信息合理利用”。如何通过相关制度设计，将促进个人信息利用的取向加以落实，成为需要进一步解决的问题。

以《个人信息保护法》中规定的“个人信息权益”概念为核心，个人信息上既存在法律明确赋予个人的信息权利，又存在未被权利化的信息利益。这意味着法律以权利化与法定化这两种并行路径规定个人信息的利用，对此学界展开了进一步论述。权利化路径研究既包括个人信息权的证立与结构，也包含个人信息权对信息利用的促进功能。法定化路径研究包括不同主体个人信息利益的冲突与解决机制、非赋权方式如何促进个人信息利用等。通过总结现有论述，可以发现两类信息利用路径的共性在于对信息利用的需求的满足。权利化路径是赋予个人的权利，满足的是个人对于信息利用的需求；法定化路径是其他主体基于对信息利用的需求直接作出规定的结果。然而，这种划分方式导致信息利用需求之间的冲突难以解决。要么个人决定权影响其他主体需求实现，要么法定化利用方式会侵害个人人格或制度自主性。这意味着必须以新的逻辑划分需求，从而建构具有针对性的保护规则。

通过以需求的使用目的为标准进行划分，可以摆脱以主体对需求进行划分的弊端。这是由于个人信息利用的场景具有复杂性，不同的场景意味着不同的信息利用标准和程度。通过需求在不同使用目的下的价值逻辑，可以明确最佳的规范方式。具体可以将需求划分为商业化需求、公益性需求和公共性需求。法律在商业化需求下需要实现经济利益最大化，通过数据产权、数据信托等制度可以发挥个人信息的经济价值；在公益性需求下需要明确公共利益的边界，通过明确比例原则、提供实践技术指引等方式可以确定公共利益的边界；在公共性需求下需要实现公共治理的效果与效率平衡，通过国家主导建立信息共享平台、提供数字公共产品等方式优化公共治理手段。

一、个人信息利用的权利化路径与法定化路径

个人信息利用存在权利化与法定化路径，这源于个人信息本身具有复合利益，难以通过单一的途径加以保护。在《个人信息保护法》中规定了“个人信息权益”的概念，学者将其解读为“权利与利益的组合体”。这意味着对个人信息的保护或利用需要基于不同的逻辑进行规定。第一，个人信息利用遵循权利逻辑，即个人具有法律所认可的处置自身信息的权利。个人信息权利包含的知情权、决定权等具体权能表明法律认可个人信息可以被利用，但通过目的限制、正当处理原则及法律义务的规定将利用限制在“合理利用”的范围内。第二，个人信息利用需遵循利益逻辑，具体指不同主体信息利益需要进行法律权衡。此时基于公共利益、信息处理企业等利益需求，法律规定中明确信息利用不以个人同意为前提。据此法律规范明确了权利化与法定化两类个人信息利用的路径。

（一）作为基础性理念的个人信息利用

从立法进程看，个人信息利用成为个人信息法制体系的理念经历了逐步深入的过程，可总结为有限承认、保护利用并重、积极促进三阶段。自2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》通过后，“个人信息保护”的概念逐渐进入法制体系中。继2015年《刑法修正案（九）》中规定“侵害个人信息罪”后，2017年《民法总则》第111条也规定：“任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全”。这一时期的立法以消极性防止个人信息安全、个人信息利益遭到侵害为核心，在此前提下承认个人信息可被他人获取并处理。在《个人信息保护法》立法过程中，个人信息的利用逐渐成为法律所关注的重点。在立法草案初次审议时，在特定情形下非个人同意的特殊处理规则作为个人信息处理规则条款已被提出，并作为与个人同意相并行的信息处理合法性基础。

在《个人信息保护法》出台后，有关学者对个人信息保护法的功能展开了持续讨论。尽管持保守立场者认为《个人信息保护法》“是一部专注于应对数字化时代特定数据处理技术固有风险的规则体系，旨在为风险背后特定的合理私人利益提供及时有效且充足的防御屏障”。但从规范层面看，“促进个人信息合理利用”已成为立法目的条款的内容加以规定。更多学者基于“个人信息释放出巨大的经济和社会公共价值”，认为个人信息保护法旨在实现“个人信息保护与利用的平衡”或“保护与利用并置的立法目标”。

在信息流通进一步加速、信息与数据产业结合更加紧密的背景下，规范文件中逐渐明确了积极促进个人信息利用的立场。2022年《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）中提出“坚持共享共用、促进合规流通”的工作原则以及“规范对个人信息的处理活动……促进个人信息合理利用”的具体规定。2024年国家发展改革委等部门发布的《关于促进数据产业高质量发展的指导意见》中也提出：“支持在保护个人信息权益的前提下，加强个人数据开发利用。”在数据生产机制中，个人数据是对个人信息这一原始来源的直接记录，并可经过匿名化处理等数据处理行为进一步制成数据集或数据产品。由于从个人信息到个人数据过程中“识别要素”并未消除，加强个人数据的利用意味着仍可以直接关联特定自然人，与个人信息利用的概念相近。在个人信息可以进一步构成“数据要素”的前提下，规范中对个人信息进一步强调主动利用、促进流通、发挥信息价值之理念。

个人信息利用同时兼具事实概念和规范概念两层内涵。第一，个人信息利用是个人信息处理的上位概念。利用包括了直接利用与处理后进行利用两种形式。直接利用是指信息处理者在个人信息收集时所声明的特定目的范围内，对保持其原始或近乎原始形态的个人信息进行操作与使用的行为。其合法性以“目的特定原则”与个人同意结合为基础，包含精准营销、个性化服务、账户管理与身份验证等具体形式。第二，个人信息利用是数据流通的前提性概念。根据《数据安全法》等法律规定，数据指对信息的记录。通过将个人信息以电子化形式记录，个人信息得以成为个人数据进入数据流通环节，再经由数据清洗、数据匿名化等过程，个人数据可以摆脱可识别性的限制，成为更具流通性的数据产品或数据集合。具体包括数据分析与挖掘、数据聚合与统计、数据资产再利用等方式。

（二）个人信息利用的权利化路径

个人信息利用的权利化路径是以法律赋权给个人为前提，并对应规定信息处理者的法律义务，从而形成的以“权利—义务”关系为核心的信息利用路径。有学者总结我国现行的个人信息保护规则三大主要支柱为个人信息处理者的义务、个人信息主体的权利和信息保护监管机构的作用。

我国法律规范中并未直接规定“个人信息权”。一项权利取得法律上的名分,从而被冠之以“某某权”的名称，最直接的方法就是通过立法创设。但立法的留白并不意味着对个人信息背后利益应当赋权的否定，关键问题在于个人信息如何从一种客观存在变成信息利益主张，以至于需要抽象成一种“个人信息权”。权利论支持者认为，我国已经形成了事实上的“个人信息权”。个人所享有的信息权利被总结为“权利束”、“权利树”或“权利体系”，指个人在信息处理活动中享有的并非单个权利，而是一类权利或权利的集合。其中，信息自决作为贯穿式理念，决定权、知情权和查阅复制权等具体权能形成一种体系性构造。学界对于个人信息权利的性质存在实体性权利与程序性权利两种理解，其中实体性权利又可分为支配性权利与非支配性权利。支配权论认为个人信息权就是“个人对其信息的控制权”或以“个人自决（selfdetermination）”为核心的主体性权利；非支配权论者虽不认为个人信息权代表个人对信息的支配，但主张个人同意是信息处理的前提，从而以“知情权”“决定权”为核心建构个人信息保护的权利体系。还有学者虽然支持个人信息权，但认为其仅在私法层面是实体权利，在公法层面应当是一种为保障其他实体性利益的程序性权利。

个人信息权利之所以能构建信息利用的权利化路径，是基于决定权这一最核心的权利。根据《个人信息保护法》第13条第1款的规定，信息处理者得以合法处理个人信息的前提是取得个人的同意。此条款是针对信息处理者的规定，个人层面对应了第44条决定权的规定，即个人有权决定信息是否被处理。基于权利的个人信息利用有两层内涵，包括信息主体可以决定个人信息是否被利用并决定信息利用的方式。《民法典》第四编“人格权”第六章“隐私权和个人信息保护”中，立法者使用了六个条文（第1034条至第1039条）分别对个人信息和处理的含义，处理个人信息应遵循的原则与合法性要件，自然人对其个人信息享有的查询权、更正权和删除权等具体权利以及对个人信息的保密义务加以规定。

个人信息权利化路径代表了以“权利—义务”关系为核心的法律关系类型。此路径中，个人的信息利益受保护是因为法律赋予个人对信息利益的权利主张，这种主张是具体的、基于特定情形的。与之相对，信息处理者必须承担个人信息处理相关义务，如告知义务、保密义务等。个人信息权利化路径能够促进信息利用，是因为其以个人同意为信息利用前提。此路径下，个人信息可以被处理是因为法律赋予了个人对信息利用的“决定权”。通过赋权的方式，将个人信息包含的查阅利益、可流通利益、删除权益等划分为个人主体所享有并限制信息处理者对个人信息掌握、流通、处理的范围。然而，这种基于权利的信息利用路径绝非可泛化使用的概念。第一，信息权利必须在个人信息处理活动中。如果对个人信息的利用并非为了存储、传输等处理行为，则不能受到信息权利的限制。如称呼他人姓名的行为，尽管也涉及对个人信息的直接利用，但不能基于信息自决权而否定此行为。第二，前提是针对信息处理者处理请求的决定，因而并非所有个人信息都当然受到自决权的保护。

（三）个人信息利用的法定化路径

个人信息利用的法定化路径指不通过授权给信息相关主体，而在法律中以直接规定的形式确立信息利用合法性基础的利用路径。有的学者也将这种路径称为“行为规制”路径。尽管命名方式有异，但其均代表了与权利化方式不同的、以利益或行为为法律认可标准的合法性建构方式。在《个人信息保护法》中，法律通过列举式规定，将个人信息利用的法定化路径限定在订立合同所必需、履行法定职责或义务所必需、应对突发公共卫生事件、为公共利益实施新闻报道、处理个人自行公开或其他已合法公开信息等六个方面。

个人信息利用的法定化路径代表了与权利化路径不同的理念，即个人信息利益并非专属于个人，信息处理者和其他主体均可能针对个人信息具备正当性利益主张。这是因为“个人信息是个人在社会中标识自己、建立联系的工具，也是社会了解和识别每一个体并开展活动的依据。”此路径下个人信息被处理不需要经个人同意，法律也未赋予信息处理者可以处理信息的权利，其处理的合法性基础是法律的明确规定。只有信息处理者行为符合法定情形时，才可直接处理或利用个人信息。

法定化路径中，法律对个人信息合法处理情形的规定表明此情形下个人的信息利益需让位于其他利益。个人信息利益在不同的情景下表现为公共利益（例如电信等无线网络提供商发生大规模数据泄露）、个人利益（例如不针对某个乘客的航班信息和身份证号在不经许可的情况下被地下交易）或者团体利益（例如某一平台用户的账号被批量封冻）等。学界将其类型化为信息主体利益、信息处理者利益与公共利益。此时，法律的作用是对利益冲突进行决断。当个人的人格尊严遭受严重侵害和处于相对弱势地位时，法律应当主动介入原本属于私人自主决定的信息处理关系中，以“限制数据收集范围、确保信息不被滥用”。面对信息利用不足、渠道受阻时，法律也要防止知情同意规则对信息利用的限制，促进个人信息流通，进一步落实政策意图与促进经济绩效。

在法定化路径中利益权衡的场景具体表现为三类，这些场景中若法律规范作出规定则表明个人信息利益需要为其他主体的利益需求让步。一是基于公共利益进行权衡。例如，《民法典》中第999条、第1036条将“维护公共利益”作为个人信息利用的重要基础。《个人信息保护法》第13条中，“为履行法定职责或者法定义务所必需”代表了国家机关及其行政行为背后的公共利益；“应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”代表了公众利益、安全利益。有学者认为，《个人信息保护法》第四章的相关规定，目的就是“将个人信息上的用益利益予以抽象分类打包”，从而确认信息处理过程中的利益归属，为处理信息提供行为合法性与决策预期。二是基于信息处理者的利益进行权衡。例如《个人信息保护法》第15条规定：“个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”不同于民法中权利撤回的自始无效，《个人信息保护法》中个人同意的撤回并不影响信息处理者已进行的信息处理活动的有效性。这意味着法律在权衡个人的信息自决与信息处理者的处理需求时选择了后者。三是基于国家机关的利益进行权衡。《个人信息保护法》第13条将“为履行法定职责或者法定义务所必需”作为个人信息处理的合法性基础之一，意味着在国家机关职权内，利用个人信息并不以同意为基础。

综上，法定化路径体现了个人主体与其他主体间的利益权衡。相关规范以信息处理行为后果为基础建立的信息责任规则，即“行为—责任”关系。此时个人信息受保护或被利用的理由并非个人拥有某项权利，而是信息处理者的处理行为是否失当并导致受法律保护的信息利益有被侵害的风险。一方面，个人的信息利益需要法律保护。个人与数据企业之间存在持续性角色与资源的不对称地位，体现在技术能力失衡、诉讼能力差距、市场垄断地位等方面。有学者对个人的利益主张总结为“个人自治的法益、生活安宁的法益、获得公正对待的法益以及免于恐惧的价值”。相对地，信息处理者在商务领域可能采取个性化定价、价格歧视、大数据杀熟等措施，侵害用户上述应受保护的利益。为此，法律承载了人们对于利益冲突进行决断的期待。尤其当个人的人格尊严遭受严重侵害和处于相对弱势地位时，法律应当主动介入原本属于私人自主决定的信息处理关系中，在具体规范设置上“以人格尊严为优位”并“限制数据收集范围、确保信息不被滥用”。另一方面，其他主体对信息利益主张的合法性需要法律加以明确。有学者认为个人信息利益是权利与利益的混合，包括初始信息主体的权利自由、其他依法收集和使用个人信息的主体享有的信息权利、个人信息安全利益。现有的信息保护规范是基于不同主体相互冲突的利益主张展开的，形成的机制是“基于市场的权衡”，即优先将信息利益分配赋予市场自我调节机制。

二、个人信息利用需求的实现困境

个人信息的利用被学者总结为“信息换给付”。现有的权利化路径与法定化路径是在不同层次发挥个人信息利用需求促进作用。通过需求的类型化，可以发现需求包括来自个人主体的内生性需求与来自外部主体的外源性需求。其中权利化路径对应了内生性需求，法定化路径对应了外源性需求。但两种模式对信息利用需求的处理存在不足。权利模式下，信息利用需求是法律规范保护个人信息权利的附带结果。利益权衡模式下，法律的规定限定了外源性需求的实现场景与途径。

（一）现存信息利用需求的实现逻辑

信息利用需求是驱动信息利用，促进信息从个人主体转移至信息处理者的原因。根据需求的来源不同，可以划分为来源于信息主体的内生性需求与来源于其他信息需求源的外源性需求。

内生性信息需求源于个人主体内在的认知、发展与决策渴望，其核心在于信息的获取、整合与意义生成，以实现更深层次的自主与能动性。例如，个体希望全面获取其在不同平台的行为轨迹数据以进行生活复盘，或聚合其健康、消费、学习等多维数据以寻求个性化发展建议。此类需求具有主动驱动性（由个人发起）、目的内化性（服务于个人内在目标）与工具依赖性（高度依赖外部平台提供的工具与服务）。其核心价值超越了个人对信息消极的防御性控制与防止外部侵害，延伸出发展性需求，即利用信息提升个体认知能力与实现信息利益，从而完善个人发展。

外源性信息需求指由个人主体之外的其他主体（即“信息处理者”，如企业、政府机构、社会组织等）所主导的需求。外源性需求是对个人信息进行收集、处理、利用的重要动机。其本质在于外部主体为实现自身特定目的（如商业盈利、公共服务、风险管理、社会管理等）而对个人信息施加外部操作。正是由于外源性需求的外部主体驱动性、目的外生性、风险外向性特征，其得以被现行以“控制处理者行为、防范外部风险”为核心的规范体系覆盖。外源性需求的划分代表了以超越个人信息自身属性作为利益划分的逻辑。个人信息与其他信息的界分在于可识别或已识别，但这一概念并不能清晰划分权利客体，如从内涵讲可以通过多重非识别性信息的叠加识别特定个人，从外延讲个人信息类型难以完全列举。且由于个人信息重点在于再分析价值，对于信息进行整合、重组和分析并非例外而是常态。在此现状下保护个人信息势必会无限增加保护负担，这是法律所不能承受之重。因此有学者提出，个人信息权模型不是“权利球”而是“权利束”，从而避免在较抽象层面讨论个人信息权利问题，防止概念模糊导致保护制度实施困难。

在法律规范中，虽未直接规定需求，但通过信息处理目的的概念，提供了信息处理行为与信息利用需求的联系。《个人信息保护法》第6条规定：“处理个人信息应当具有明确、合理的目的……收集个人信息，应当限于实现处理目的的最小范围”。这意味着信息利用存在一些前提性条件的限制，除特定合理目的作为限制外，还规定了合法正当、公开透明和对个人影响最小等多项原则。权利化路径与法定化路径的区分点在于是否以信息主体的知情同意为考量因素。权利化路径以个人知情并同意为合法性基础，法定化路径不以个人同意为合法性基础。这意味着两种路径是在满足两种类型的需求。权利化路径中，个人基于自主意志决定，可通过行使决定权同意个人信息被处理，实现内源性信息利用需求；法定化路径中，信息处理者可以通过个人信息处理合法性条款，不经个人同意直接处理个人信息，从而满足外源性信息利用需求。

（二）权利化路径存在需求促进附带性缺陷

第一，权利模式的个人信息利用促进性不足。现有的权利化路径体现为“保护附带促进”的模式特征。有学者认为，个人信息权利的基础性功能是保护个人信息利益不受侵害，衍生性功能是促进信息利用，并形成一种合作逻辑，从而助推共享共治社会的形成与发展。也有学者认为个人信息权目前的权利构成是以主体为基本出发点的，目的在于对抗对个人信息的不利评价或侵害。对不同学者观点进行总结，个人信息权利化路径的基本作用是保护个人不受侵害，尤其指向防止隐私泄露、歧视性自动化决策、大数据杀熟等由外向内施加的侵害，其保护法益核心是个人对其信息的控制权及由此衍生的安宁利益。此时赋予个人权利的目的是通过苛以相关人义务来确保个人数据被收集、储存、转让和使用的规范性。

现存保护框架下，通过权利和利益保护个人信息强调对信息主体的绝对保护和侵权救济，但忽视了信息利益的配置和平衡。法律关注重点在于信息受侵害风险与主体行为，而非信息处理行为动因，因此以“权利”“义务”“利益”“责任”等概念构建行为框架。这种对于法律“规范功能”的强调，忽视了信息利用的原因。由于个人与信息处理者不对等地位，双方并不会自发形成信息资源配置最优的互动关系，法律又缺乏对其进行直接调整的规范依据，因而导致法律关系对信息处理关系的调整具有消极、滞后、被动的特点，并非实现信息资源配置、促进信息利用的最佳手段。第二，权利路径对个人信息利用的涵盖面不足，不能处理所有的个人信息。从信息的静态划分上看，有学者提出，个人姓名信息等具有公共称呼功能的信息、通话记录等难以归为一方专属权利的信息，都无法因信息权利排除其他主体对这些信息的利用行为。从信息的动态处理过程看，根据《个人信息保护法》的规定，个人享有的信息权利是在信息处理活动中的权利。借用个人信息“生命周期”之概念，个人信息的利用过程虽然有权利化与法定化两种方式，但权利化路径只在信息处理过程中给予保护。以个人同意为限分为两个阶段。前阶段虽然信息上也承载了个人的利益，但这种利益是静态利益，个人以消极防御的权利对其保护。但当个人同意后，信息处理活动为个人信息赋予了新的价值。这种价值主要体现为流通价值，包括以信息的收集行为开始，以信息成为数据产品结束的收集、处理、利用流程。

第三，权利路径导致风险与收益的错置。其风险由个人承担，但大部分收益由数据企业等信息处理者获得。个人信息利用的过程中，存在负外部性导致信息利用需求不被重视。负外部性指个人信息利用的收益由个人信息处理者获得，利用过程中的损失（成本）往往由个人承受。这被学者总结为在个人信息产生负外部性的情况下，个人信息主体可能会采取各种行动来避免个人信息损失的成本，如选择不消费来避免所有的个人信息成本。现有法律体系倾向于采取请求权与信息利益为基础的权益保护模式。这种模式下，通过赋予个人信息权利的形式，并不能消除负外部性带来的信息风险。因为个人信息一旦经由信息处理者收集、处理、利用，个人便对信息的使用与流向失去了掌控。

（三）法定化路径存在需求实现完整性缺陷

与权利化路径中将促进个人信息利用作为一种附带性效果不同，法定化路径中的规定本质上即为促进信息利用的规定。其关注重心有两方面特征：一是从主体来看，法定化路径的逻辑起点在于信息处理者而非信息来源者（自然人），其规制的行为主体明确指向企业、机构等信息处理者；二是从规制对象来看，法定化路径规定的是信息处理行为而非直接规定信息利益分配。其规制的范围包括信息的收集、存储、使用、加工、传输、提供、公开、删除等由外部力量主导的操作过程，规制的方式是通过确立合法性基础条款与法律责任条款规制信息处理者行为。当下，立法呈现密集立法与规范不足双重特征，从而陷入一种系统性困境。

第一，法定化路径依赖对不同主体利益的在先权衡，但权衡难以实现。在不同场景、不同信息类型处理中，形成在先的价值权衡十分困难。正如学者总结：“在信息处理实践中，围绕科技、权力、资本媒介的博弈，并不必然拒绝丛林法则，也并不必然带来彼此之间的信任，更无法建立以信任为基础的社会机制。”其一，由于个人信息上承载异质利益为常态，不同种利益如何以统一标准衡量引发公度性难题。现有的利益衡量论实际上仅从可公度的财产利益内部视角进行利益衡量，但无力处理信息人格利益与财产利益的衡量、信息安全利益与信息财产利益的衡量等问题。其二，基于信息的复杂性，无法预先对所有场景进行权衡。信息技术的飞速发展，导致信息的类型不断增加，复杂度陡然上升。即便是同一主体的相同信息，基于不同处理目的和场景时，主体的权益主张合理性可能完全不同。法律在对不同主体的利益进行权衡时，将不得不考虑场景应用这一变量。

第二，法定化路径的规则以法律责任为核心，但增加了信息处理者的规则成本，不利于进一步促进信息流通。个人信息处理行为规范的视角更倾向于将个人信息看成是一种给定的客观存在的客体，似乎法律只需要关注收集环节以后的行为规范。如2019年国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法（征求意见稿）》，其中第30条规定：“第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。”由此，无论始作俑者是谁，数据提供者都须承担连带责任。但从促进信息利用的目的看，需要考虑的是信息流通成本与信息利用收益的关系。现有规范制度增加了主体参与的负担，从而造成交易成本上升。而交易成本的增加，会导致资源配置的不畅，从而难以实现法律欲实现的信息流通目的。这种规制一方面体现为“无效率”，即无法达到规制手段和规制目标的匹配；另一方面规制的成本和收益不匹配，即因规制引发的交易成本的增加或错误分配超过了规制带来的收益。因此，“市场失灵和司法失灵之外还存在规制失灵”。

三、以需求类型化为基础重构个人信息利用路径

信息不是为了保护而存于世间的，相反恰恰是为了利用。个人信息利益的保护需要兼顾信息流通，因而破解保护与利用困境的重点在于根据信息需求标准重构信息利用逻辑。这是因为个人与信息处理者的同意行为可能影响多重利益。

从权利化层面看，法律可以通过赋权的方式调整主体行为，从而促进信息积极利用；从法定化层面看，法律通过构建外部制度的方式，可以拓展信息利用的场景、形式与收益，从而满足外源性需求的实现。从权利化与法定化双重路径中虽然可以实现对信息利用需求的促进，但是从需求满足的角度看，重要的是具有相匹配的制度供给。这意味着需要在对需求进行分类的基础上，进行有针对性的制度设计。

（一）以需求作为规范的构建标准

由于信息的复杂性，对于信息的保护或利用应当分类处理已成为学界共识和法律规定。整体上看，现有的个人信息法律体系被学者总结为一种“权衡体系”，指不同利益主体间如何分配信息利益。目前，主流观点存在主体标准和客体标准两类。权利化与法定化的分类标准代表了规范中以信息利益主体作为区分标准的划分形式，不同主体享有信息可否利用的区分。“数据二十条”中，也以主体为划分标准将数据分为个人数据、企业数据、公共数据三个类型。《个人信息保护法》第四章专门规定了信息主体拥有的权利体系。有学者将其归纳为“基础、核心、保障和完整”四对关系。

客体标准的核心是以信息自身的特点为划分标准。个人信息是人格利益和财产利益的集合。这种集合性与传统物（有体物或无体物）的区别在于，个人信息的利益复合性是先天属性而非法律赋予。人格利益性体现在信息通过可识别性与个人发生关联，并进一步催生了知情同意规则。财产利益性体现在个人信息聚合产生经济价值。在信息技术普及前，个人信息虽然存在价值，但由于信息传播速度成为天然屏障导致并不需要法律专门规制。在当今大数据技术、人工智能技术等加持下，信息能从单独个体迅速聚合，从中分析出具有更高价值的信息，并呈现非线性增长趋势。个人信息聚合程度越高，从中获得的信息价值就越高。据此学者提出个人信息的分层治理路径，如将个人信息通过区分为敏感个人信息与一般个人信息进行分层次保护，其中敏感个人信息采用列举式方式进行，并在处理程序中得到更加严格的限制。对敏感个人信息强调信息安全，对一般个人信息强调信息利用。由是有学者总结“一般认为，个人信息的保护和利用位于天平之两端，有着内在的张力关系：强调对个人信息的保护则会阻抑利用，偏向个人信息的利用则会贬损保护。”然而，现有的分类标准无论从主体层面或客体层面，都或多或少忽视了信息利用的原因。需求作为个人信息利用的原因，本身也可以经由类型化成为信息保护规范的制度设计基础。如有学者认为，个人信息的利用存在群体利用、商业利用、政治利用三个层面。通过需求作为标准进行信息利用或保护制度的完善，是因为主体或客体的标准不具有足够的场景针对性。数据作为生产要素，其功能并不在于直接赋能于生产活动，而是以间接方式赋能于其他生产要素以参与社会经济活动。在数据生产机制中，数据的形态及其价值在某种程度上直观地取决于算法的需要。在从底层数据到可要素化数据的数据生产机制中，数据生产者与数据控制者之间的缔约行为并不是简单地勾选数据或搜集使用和签订隐私保护协议，而是一个持续的协调与冲突并存的过程。在这个过程中，任何的数据搜集、加工与控制者（通常为互联网数据运用平台）以及数据生产者（通常为智能程序用户）都无法完全做到事前穷尽所有数据使用场景。因此，法律要做的不是针对每个具体场景都制造一个对应的评价体系，而应当根据数据处理需求建立数据处理的主体关系评价体系。

实践中，个人信息利用需求可以类型化为商业利用、公益利用和公共利用三种。第一，信息的产生需要交往。信息处理之所以成为积极利用行为，是由于“信息产生于社会交往，个人也绝不是逻辑学意义上的原子，而是不同语境中具体社会交往的成员之一。”在此过程中，部分人格要素逐渐独立于主体而存在，具有了财产属性。传统个人信息保护法以控制权范式为核心，将个人定位为数据处理的防御主体。而信息积极利用则要求法律承认个人作为信息资产的发展主体。第二，信息与公共利益具有关联。其一，信息具有公共属性。基于个人与信息处理者之间关系的高度不对称性、处理频率的大规模性、处理风险的外溢性，个人信息保护问题又具备天然的“公共化”形态。其二，个人信息的自决并不排斥公共性。《个人信息保护法》第13条对知情同意规则的限制即出于对个人信息公共性的考量，从而作出除个人同意外进行信息处理的规则安排，且主要集中在新闻报道、公开信息等公共领域。第三，信息流通与利用促进公共事务与公共治理。通过完善信息利用开放性措施，促进不同类别数据利用交流，如政府数据和企业数据之间互相转让共用。法律应当为符合交往需求、尊重应然权利的公共性利用需求提供足够的试错机制。

（二）商业化利用需求的促进路径完善

现有的信息权利本质上是对个人信息利益界分或对信息风险规制的权利。但从信息需求的角度看，法律要实现促进信息利用的功能就必须提供与功能相匹配的手段。借助确权促进数据资源流通与高效配置，促进信息利用需求实现。一方面，法律应当设立促进信息利用的权利，即“正向确权”。借助“数据用益权”“数据产权”等概念，法律不仅可以发挥信息的经济价值，也可以为信息需求的实现提供支持。通过引入“数据产权”的概念，将数据分为个人数据、企业数据、公共数据。其中个人数据是与个人信息相关联的概念，即包含可以识别到特定自然人信息的数据。通过对个人数据进行数据持有权、数据使用权和数据经营权等权能的划分，以发挥个人信息的利用功能。另一方面，法律也存在“反向确权”的可能。其内涵指通过构建数据流通过程中的负面清单与责任清单方式，规制不被法律认可的处理行为，不纳入规制范围的行为即获得数据流通规范保护。尽管法律反向赋予数据企业可以合法利用个人信息的财产性权益，但数据信息合法利用必须经过同意、目的性限定和用户信息最小限度使用等方式限定。

为此，要促进个人与信息处理者主体间的信任关系的构建，通过数据信托等机构建立主体信任机制。数据信托希望搭建新的法律结构，通过社群内部自治规范解决信任缺陷问题。其组织者可以是内部的，也可以是外部的。通过“网络看门人”或“独立第三方”等形式，构建信息主体和信息处理者之间的信任关系，从而促进双方信息利用合作的实现。传统观点认为，个人之所以无法信任处理者，关键在于缺乏有效的制衡手段与议价能力。数据信托通过制度设计实现了权力的再平衡。将分散的个体数据权益汇聚成具有经济价值和谈判能力的集体性权利。受托人作为专业的代理机构，能够以平等的地位与大型科技企业或政府机构就数据使用的条款、目的、收益分配及安全保障等问题进行谈判，从而改变个人主体的相对弱势地位。

（三）公共利益需求的促进路径完善

促进公共利益需求的核心是明确公共利益的概念，只有在此基础上法律才能作出针对性规定。“公共利益”作为不确定性法律概念兼具抽象性与动态性，需在具体情境中通过概念界定以具体化，以避免其被滥用而侵蚀个人信息自决或其他主体信息利益。完善基于公共利益需求的信息利用，需要的是法律促进规则而非责任规则。因而个人信息保护法律并非仅是学者总结的“倾斜保护型法”“个人权益保护法”“行为处理规范”，而存在通过倡导性、激励性规定实现成本收益关系调整的“促进法”之功用。

第一，需要明确公共利益的概念边界。其一，需要进一步阐释相关条文的内涵，明确适用场景。如《个人信息保护法》第13条将“合理使用”延伸为“合理处理”，即以个人授权为核心构建个人信息利用机制，在“知情—同意”基础上搭建可供“绕行”的例外规则，“处理”的特定含义在民法典第1035条予以明确。这为进一步明确信息能否处理提供理论依据。其二，需要将法律中的信息处理原则进行细化。个人信息保护相关规范中规定的最小目的原则、比例原则等信息处理原则，需要在具体实施场景中明确适用规则、使用范围与限度，从而为公共利益概念提供理念性限定。立法虽通过列举加兜底的方式，指明典型场景（如公共卫生、公共安全、社会保障等），但仍需进一步明确适用条件，为执法和司法提供相对明确的指引，从而作为信息处理行为实质正当性的判断依据。

第二，需要在此基础上构建明确的信息处理规则。除法律中明确规定外，更需要通过技术规范、行业规章等技术性指引明确信息处理的标准与界限。在解决个人信息是否涉及公共利益时，法律的作用是构建一套基本的原则与保护理念指引。然而，这种相对抽象的规范无法识别与处理复杂多变的具体场景。这就需要对法律规则进行细化。其中，技术性规则可以起到补充法律规则的原则性、抽象性与滞后性特点。如通过“去标识化”“匿名化”等技术性措施，在不侵害个人信息利益与个人隐私的前提下，对信息进行处理，从而作为一种“替代性保障措施”。

（四）公共处理需求的促进路径完善

第一，需要打破信息公共利用的壁垒。以国家为主导建立信息利用的机制与平台。以数据流通需求“驱动”产权制度设计。如通过构建信息处理数据平台，降低信息处理者的信息收集成本、交易成本，从而促进信息流通。此时个人信息不再局限于消极防御，而应拓展至积极利用的权能范畴。技术机制旨在通过强制性技术规范破除平台数据垄断结构，防止由于技术的过度应用造成“交往的异化”。推动建设国家级的数据共享交换平台、公共数据开放平台以及特定的行业数据平台。这些平台应提供标准化的数据接口（API）、数据沙箱（Sandbox）等环境，支持在“数据不出域”“可用不可见”的前提下开展联合计算与分析。

第二，完善数字产品的公共供给。依托公共产品供给弥合数字鸿沟，保障主体需求的实现。激发需求的前提性条件之一是使个人信息利用的需求被相关主体所得知。除个人对信息利用的意愿外，是否知晓具有信息利用的某种可能是法律层面应当提供的帮助。在外源性需求中，信息处理者需要处理的不仅包括直接来源于个人的信息，也包括信息经收集、加工、处理并进行流通交易的数字产品。通过数字产品提供可以实现需求的进一步激发，从而促进个人信息的利用。具体可以包括数据共享池模型与合作社模型。数据共享池模型中，数据被视为市场商品并进行交换，旨在为所有相关方提供数据驱动的创新服务和经济效益。但这种模式中数据主体往往被排除在关系之外，或者充其量被描述为被动地从中受益。数据合作社机制通过为公民表达偏好提供的扶持性协议或合同的形式实现，表现为“自下而上的数据信托”。而公共数据信托实践则是在公民和公共机构之间建立信任关系，由公共行为者确保公民的个人信息安全可靠，并在数据使用中改善生活。

结语

2015年国务院印发《促进大数据发展行动纲要》，首次从国家层面认定数据是国家的基础性战略资源。在贯彻以信息保护为核心的立法指导思想后，我国出台了“数据二十条”等文件，强调数据产业发展和信息利用促进。当前信息领域的立法，以权利化与法定化的方式，为个人信息利用提供了规范基础，但仍以个人信息保护为基础功能，信息利益的效果还有待提升，需要寻求一种动态冲突解决机制促进信息利用行为。以信息利用需求的类型化为基础，通过将信息利用需求划分为商业化需求、公益性需求与公共性需求，可以明确不同需求的法律规范逻辑。商业化需求下，通过建立数据信托、明确合理使用标准等方式，促进信息经济利益最大化。公益化需求下，通过细化比例原则、明确公共利益的具体场景等方式，实现个人利益与公共利益的精准权衡。公共性需求下，通过完善数据互流互通、提供数据公共产品等方式，进一步发挥信息的流通价值。不同类型场景的需求体现了对信息利用的不同特点，基于个人信息保护与利用并重的立法，不仅实现了保护型立法的初衷，还能够更好地释放个人信息的多元效应。

因篇幅限制，已省略注释及参考文献。

引注：王勇、孟子杰《基于需求分类导向的个人信息利用路径完善》，载《河北法学》2025年第12期，第64页-81页。