根据我国现行法律，收集和使用个人信息须经被收集人同意。这意味着，未经同意收集和使用个人信息即构成违法行为，应当承担相应的法律责任，其责任形态包括民事侵权责任、行政责任和刑事责任。但是，并没有太多的民事侵权案例支撑“未经同意收集和使用个人信息构成侵权”的判断。依据最高人民法院的解释，公开个人信息致人损害的才构成侵权，仅未经同意的使用尚不充分。

使用个人信息须经信息主体“同意”，暗含着法律认可个人信息由个人支配或控制，个人享有个人信息的使用决定权，这种个人信息使用的个人控制论源自域外个人数据保护或隐私保护的理论支撑。不过，我国是世界上唯一一个在立法上明示个人信息收集、使用一律须经信息主体的同意从而将同意一般化的国家，而个人控制在世界范围内并没有上升为法律上的权利。 

本文旨在从更为宏大的视角出发，重新审视个人信息的个人控制论的源流和内涵，寻找大数据时代个人信息保护的新的理论基础和法律实现方式。

“个人信息使用”是本文的核心术语，个人信息使用是否应当由个人控制是本文讨论的主题。若依据法律，信息主体对个人信息的使用享有同意、拒绝、删除等权利，就意味着信息主体可以控制个人信息的使用，个人信息的使用体现信息主体的意志力，具有赋权效果。为了避免权利性质的讨论 (人格权、财产权或其他性质的权利)，本文将之笼统地称为“个人信息控制权”。 

个人信息保护控制论有两个理论源头：一是欧洲基于人的尊严保护的个人数据保护理论， 另一个是美国基于个人自由保护的隐私理论。

(一)欧洲个人数据保护理论：基于人的尊严的个人自治 

欧洲个人数据保护的逻辑是：个人数据是人的延伸，而人应当独立自主，因而个人数据亦应当由数据主体掌控，体现个人的意志。建立在人的尊严基础上的个人数据保护理论，内涵着个人数据由个人自主控制的基本论调，而个人数据控制论本源于个人独立和个人自治。这也是康德的“以人作为目的”的观念体现。保障数据主体对个人数据的处理事务的自主、自治、自决，应是个人数据保护的应有之义。 

但是，在基本权利或宪法权利层面个人对个人数据的自决权或控制权，不能理解为个人对个人数据的全面的、绝对的支配权。欧洲委员会的《个人数据自动化处理中的个人保护公约》（以下简称“《公约》”）将个人数据受保护的权利表述为个人数据保护权而不是个人数据权，该权利的核心内容是“控制某人的个人数据和该数据的处理的权利“，个人数据保护权只是对个人基本权利保护的法律表述。《公约》起草者注意到，个人数据保护“必须就其在社会中的作用来加以考虑，必须与其他人权和基本自由相协调”，“考虑公众获取官方文件权”，“有利于信息的自由流通”。 

因此，在研究和借鉴欧洲个人数据保护制度时，我们必须尊重一个基本事实，即欧洲是在基本权利或宪法权利上规范个人数据保护权的，通过宪法法院、欧洲人权法院来提供保护和救济。虽然该权利内包含了个人对个人数据及其处理的控制权，但是，这种控制权必须受到其他基本权利的限制，必须在其他基本权利获得充分保障的框架中才能得以行使。正因如此，欧盟的数据保护法始终坚持将合法性作为个人数据处理的基础，数据主体的同意只是合法性基础之一。根本上，欧盟没有将“同意”上升为一种权利，而是附之以例外或权利限制作为个人数据保护的基本模式。 

 (二)美国的信息隐私理论：基于自由的个人自治 

在美国，并没有与大陆法相对应的人格权理论和制度，而是发展出了发达的隐私权保护体系。隐私是“个人、群体或机构自主决定在何时以何种方式在多大程度上将有关自身的信息披露给他人的权利”，这是个人信息控制论的源头。在此基础上，又发展出一种新型隐私权——“信息隐私权”。

信息隐私权用来保护个人信息处理与流通领域中的个人隐私，是当事人个人信息上相关权利被侵犯时起诉侵权主体的一项合法依据。正因此，在许多场合下，隐私保护与个人信息保护具有相同的含义。 在美国，信息隐私的主导范式是隐私控制论，即对个人数据使用的控制权。 

在美国，个人对个人信息的控制也不是一项绝对权。赋予个人对信息的绝对控制会妨碍信息自由，因而宪法层面的个人信息控制需要与信息自由相平衡。 

综上，欧美对于个人数据保护的出发点不同，但是目标和结论都是人的独立自主或自治，因而均将个人信息归由个人控制，法律保护这种控制即是保护个人自治。虽然个人信息控制论是国际社会个人信息保护的理论基础，但并没有建立起非经同意不得使用个人信息的规则，也没有将个人信息客体化为个人绝对支配的对象。个人对个人信息的控制只是实现保护的手段，根本没有上升为一种排他性的个人权利。 

个人信息保护法律规则的形成和实施过程中，一直充斥着信息主体对个人信息收集、使用的控制与数据控制人意图最大可能地自由使用个人信息的冲突。国际社会及主要国家在个人信息保护立法时虽然强调个人信息的流通利用目的，但是因为传统个人信息保护或隐私保护理论过分强调个人信息的私人属性并将基本权利上的自治延伸至个人信息，导致个人信息由个人控制成为普遍接受的观念。事实上，个人信息具有公共属性，关涉他人和社会利益，个人信息的使用不应当由个人决定。

（一）个人信息的识别功能

个人信息是指可识别具体个人的信息。个人信息是个人标识自己的工具，也是他人识别特定个人的工具。

标识自己和识别个人是社会的必然现象。个人需要利用可以识别自己的符号，向社会推介、展示自己，需要利用它开展各种活动，将活动结果归属于其本人。在这一过程中，个人信息必然要向外提供，为其他主体所掌握。从社会的角度出发，社会也需要利用个人提供的个人信息和散落于各处的、可被搜集掌握到的相关个人信息来了解、判断某个人。这两个方面构成个人信息应用的基本场景。工具性质决定了个人信息的社会性、公共性。 

大数据给人们提供的巨大便利就是识别个体的便利性、精准性、全面性和及时性。所谓发挥大数据的红利，就是鼓励利用尽可能多的信息进行分析识别，然后用于实现各种社会发展目的。 

（二）个人信息的公共性 

个人信息本身只是一种可以识别某个人的事实或记录，并不当然地应该由个人拥有或控制。 

自古以来，信息一直是处于公共领域的公共素材或材料，是任何人均可以使用的资源。就个人信息而言，当信息用来标识、记录、描述某个人时，并不因此而使该信息归属于该人，这些信息仍然可以用来标识、记录、描述其他人。数据或信息的公共性、可共享性，决定了个人数据本身的公共性。个人最多可以控制不联系或如何联系，但不能控制信息本身。

即使可以直接标识个人身份的信息，个人也不享有支配权。以姓名为例，虽然法律赋予个人以姓名权，但并不包括对姓名信息的支配权。它所保护的法益是人格独立和自由，而不是个人对自己姓名的垄断，个人不能阻止别人使用相同的姓名。

处于公共领域的信息或数据仅因为与个人存在联系或具有识别性，即赋予个人对个人数据的排他控制权，使个人信息“私有化”，有失法律正当性，甚至与人类社会进步发展的制度基础相悖。

（三）个人信息保护的社会决定性

个人信息的公共性、社会性决定了个人信息保护的范围和程度的公共性和社会性。在这个意义上，个人信息不应当完全为个人所控制。

从保护个人信赖或交易安全的角度，一个社会不应当赋予个人控制自己的个人信息的绝对权。一旦人们参加各种社会活动进入到具体社会关系，法律就应当保护公众的“识别权”，而不是拒绝识别或拒绝“曝光”。放任或鼓励人们隐藏身份或个人信息，会妨碍合作甚至鼓励人们从事不负责任的社会行为。

个人的确希望有更多的“隐私”，有时甚至会刻意隐藏、掩饰或美化自己，但也应当保护社会公众的“识别权”。保护和提供救济以使人们对抗个人信息的不当使用不应当与构成个体识别的个人信息集合体的权属混为一谈。

进一步讲，个人信息本身具有社会价值，这是个人信息的使用不能由个人完全决定的深层理由。

可见，他人或社会使用个人信息的正当与否不应当由个人决定，而应当由社会决定，由法律决定。个人信息保护和使用规则的制定须识别个人信息保护和使用所涉各方主体的利益，并依此进行利益衡量，实现合理的制度安排。这样的定位符合个人信息本身的特征和在社会中的实际状况，应当成为我国个人信息保护的基础理论。

欧美传统的个人数据保护或隐私理论完全建立在个人主义的基础上，这不仅与个人信息本身的法律属性不相吻合，而且无法解决个人信息的个人控制与社会化利用之间的矛盾。本文对个人信息的公共性和个人信息保护的社会性的分析，实质上构成了对个人信息控制理论的反思和批判，提倡个人信息保护的基本理论从个人本位到社会本位的转变或从个人控制到社会控制的转变。

首先，个人信息控制论极易导致个人信息的私权化。个人信息控制是维护个人自治的手段，而不是让个人控制个人信息(赋权)。在赋权意义上理解个人信息控制与个人信息的公共性相悖。

其次，个人信息控制论导致了个人决定个人信息的使用。从个人信息具有社会性的角度，个人信息不仅关涉个人利益，也关涉他人利益和社会利益，因而个人信息的使用就不是个人可以决定更不应当是个人决定的事情。

最后，个人信息控制论的社会基础不复存在。

虽然个人提供个人基础信息(尤其是身份信息)仍然是个人信息的基础，但是绝大多数可识别个人的信息并非由个人提供，而是由信息系统、网络运行、各种传感器等实时记录形成。如果需要告知使用目的或任何目的变化都需要实施告知同意，实质上就等于扼杀大数据红利。因而，信息通信技术的发展已经摧毁了个人信息控制论建立和实现的社会基础，个人控制不再具有现实性，个人力量已经不能维护个人尊严和自由。

应于过去的个人控制论，可以将社会控制作为大数据时代的个人信息保护和使用的理论基础。将个人信息视为社会的共同资源，由社会决定个人信息的使用。笔者认为，在个人信息的社会控制论下，个人信息保护将会产生三个方面的转变：

其一，个人信息的社会控制意味着个人信息的使用由社会习惯或法律确定，而不是由个人意志决定。当然，社会控制并不否定信息主体对个人信息使用的必要控制。个人信息的社会控制旨在否定个人对于个人信息的绝对的、普遍的控制，尤其否定将其上升为私人控制权。在个人信息的收集和使用环节，要建立“以一般允许为原则，以个人控制(同意决定)为例外”的个人信息使用规则。

其二，个人信息的社会控制意味着保护个人信息的责任主体由以个人为主转向以社会为主。个人的同意越来越被证明不能控制个人信息的流向和生命周期，不能实现对个人权利的保护；甚至在个人信息与特定服务或交易联系在一起时，默示同意也仍然是流于形式。

其三，个人信息的社会控制还意味着法律规范的重心应从收集行为转向使用行为。

这些转变并非不保护个人权利或者个人权利保护的减弱，而是保护模式的转变。三重转变的实现意味着不是依赖简单的赋权和个人维权实现法益保护，而是通过对个人信息控制人的行为规范来实现法益保护，或者按照法律经济学者的观点，是采取责任规则而不是财产规范来保护个人信息。同时，这样的转变，也意味着个人权利和社会整体利益更好地平衡。