全文共3167字，阅读时间约11分钟。

当前，由个人信息的大规模收集与利用引发的社会问题层出不穷，必须加强个人信息的法律保护已经成为学界共识。然而，个人信息的法律性质如何界定？法律又当采取何种手段保护个人信息？中国人民大学丁晓东副教授通过在比较法的视野下考察域外隐私权益保护理论与实践，并结合法理性的探究，于《个人信息私法保护的困境与出路》一文对个人信息私法保护的现状、困境与出路进行了充分的分析和讨论。

当前我国个人信息法律保护的研究将个人信息视作一种个体性的私权，主张以私法的框架对其进行保护。这得到了很多研究者的认同，与之相关的两个核心论点也被广泛接受。

第一个论点侧重比较法上的事实判断，认为域外的隐私权益保护经历了从隐私权到个人信息权的演进，都采取了私法的保护模式。

第二个论点偏重法律原理与应然性判断，认为从法律原理出发，为了更好地保护公民的隐私权益，有必要在私法体系中明确个人信息权，确定个人信息权的边界。

然而，这两个论点都是对域外经验和法律原理的误读，不能为个人信息保护的私法优位立场奠定基础，需要对相关域外经验和法律原理进行重新解读，并分析个人信息保护的困境的本源。

（一）美国经验

在美国，个人信息保护措施和相关立法带有明显的消费者法保护或公法规制的特征。分析美国政府所采取的个人信息保护措施和美国国会的个人信息立法，这些措施和立法都集中于某些风险较大的领域，规制的对象是大型机构及企业的大规模个人信息收集行为。对于普通民事主体收集与处理个人信息的行为，这些立法并不适用。

（二）德国经验

德国同美国类似，有关个人信息或个人数据的立法也是在公法或消费者法的框架下进行的。尽管德国相关法律提供的隐私权益保护比美国更为严格，但其针对的对象、基本原则、保护手段同美国的相关立法仍然高度一致。总的来说，这些法律并不保护个人数据本身，而是意在确保信息收集者在处理个人数据时不损害个人的隐私权益。

（三）欧洲其他国家与欧盟的经验

除德国外，欧洲其他国家也采取了消费者法与公法规制进路，为个人信息或个人数据提供保护。这些立法尽管各有不同，但基本都吸纳了合理信息实践原则，规制的是政府与企业对个人信息的处理过程。

在欧盟层面，虽然欧盟为保护个人信息或个人数据采取了越来越严格的监管措施，但并未创设一种私法上的个人信息权或个人数据权。个人数据得到保护的权利是一种派生于消费者法保护与公法保护的权利，而非一般性的私法权利。从司法实践来看，欧盟也没有将个人数据得到保护的权利泛化为一般性的私法权利。

（一）隐私权益的侵权法保护

现代信息社会中，传统的英美法系的隐私侵权法很难担负起保护隐私权益的重任。传统侵权法的适用以存在伤害或损失为前提，更适合对独立的、一次性的侵权提供救济；到了现代信息社会，隐私权益所面临的威胁与风险通常涉及多个主体，侵权过程也不易辨识。

大陆法系的人格权保护进路要应对这种具有系统性、复杂性的隐私风险也存在困难。人格权保护进路将隐私权益视作人格权的一部分，但很多行为从单一行为的角度看，可能并不会侵害个人的人格或其他权益，只有集合到一起后，才会对个人人格或其他相关权益造成损害。

（二）个人信息的财产法保护

首先，保护隐私权益的另一种私法进路，是将个人信息“权利化”，设想一种对抗不特定第三人的个人信息自决权或财产权。这种个人信息私法保护的进路可能面临隐私权益保护过度与保护不足的双重问题。一方面，如果赋予个人信息主体以对抗不特定第三人的财产权或自决权，个人既无法进行正常的社会交往，也无法有效获取社会信息。另一方面，将个人信息权利化或财产化，由个人通过企业的“告知—选择”框架保护公民的隐私权益，又会造成公民隐私权益保护不足的问题。

其次，个人往往缺乏隐私权益保护意识，在面对隐私条款或相关告知时难以做出真正理性和深思熟虑的选择。

再次，隐私保护政策有一定程度的专业性，又极为冗长，内容各不相同，非专业人士即使阅读了相关隐私政策，也不可能完全理解政策内容。

当然，隐私的自我管理可以通过改善企业和网站的隐私政策部分实现，但是，在现代社会中，个人信息的收集、储存、分析、披露等过程已经变得极为复杂，隐私与风险的关系并非一一对应。即便网站提供了清晰的风险预警，个体具有极高的风险意识，人们也不可能合理预见到与隐私权益相伴而生的种种风险。

个人信息的私法保护进路之所以存在困境，根本上是由隐私权益与个人信息的特征决定的。个体隐私权益受保护的力度必然因其所处共同体的不同而有差异，需要根据不同共同体的特点和具体场景中人们的普遍预期确定隐私权益保护的边界。

在理论界，隐私权益的场景化理解与共同体视角日渐成为主流。如今的隐私研究尽管仍然众说纷纭，场景化和共同体的分析思路将隐私权益保护置于共同体或某种关系网中加以思考的研究方式，却已为越来越多的学者所接受。

在法律实践中，这种基于场景与共同体的视角也已经得到充分体现。20世纪70年代以来，合理信息实践原则已被美国和欧洲的个人信息保护立法广泛采用，它所要求的告知义务、公开义务、透明义务以及赋予当事人更多的知情权和修改权，本质上都是希望信息流通更加符合个体在具体场景中的预期，都假设了市场共同体或政治共同体的存在以及信息流通对于市场运转或国家治理的重要性。

同西方国家一样，我国个人信息的私法保护也面临着许多困境。一方面，随着互联网、大数据与信息技术的发展，当前民法体系中的隐私权保护机制难以应对现代信息社会中的新挑战，传统侵权法无法适应现代信息社会中的复杂风险。另一方面，过度依赖私法中的意思自治原则或“告知—选择”框架来保护个人信息，会给个人和企业制造难题，损及社会公共利益和公民的其他权益。

为摆脱个人信息私法保护的困境，我国的个人信息法律保护应当倚重消费者法保护与公法保护的进路。为真正发挥私法在保护公民隐私权益方面的作用，国家有必要结合具体场景，将私法“消费者法化”，采用以倾斜保护、集体保护等为原则的消费者法框架。在个人信息消费者法保护的具体制度层面，我国未来的个人信息立法可以在特定领域和特定情形中赋予个体以具体的消费者权利，而非一般性的赋权。同时，各级消费者权益保护委员会可以针对企业在个人信息保护方面的一些不当行为提起公益诉讼，检察机关也可对此开展公益诉讼的探索，对个人信息保护进行有效监督。

公法保护也应当成为我国个人信息保护的重要手段。在公民个体不足以对信息风险进行客观和有效判断的情况下，国家有责任为公民提供信息安全这一公共产品。就个人信息公法保护的具体制度而言，我国未来的个人信息立法可以建立一套风险管理制度。对于一般企业与机构的个人信息收集与利用，可以借鉴和采用风险评估与风险预防制度，实现对相关风险的有效管理。