李芊：从个人控制到产品规制——论个人信息保护模式的转变

数字法治 2022-12-01

The following article is from 中国应用法学 Author 李芊

关注我们

李芊：中国人民大学法学院未来法治研究院研究人员。

本文原载《中国应用法学》2021年第1期，转载对注释和参考文献进行了省略。

内容摘要

传统的以个人控制为核心的个人信息保护框架已经难以解决互联网高速发展所带来的一系列问题。个人控制模式受到了自身局限与时代的挑战，亟待转变为符合时代发展的新模式。近年来发展起来的“隐私设计”的呼声越来越高，可以用于弥补个人控制模式的缺陷。其中，以隐私设计思想为引导的产品规制理论有望成为下一代个人信息保护的基本框架。产品规制理论主张以建立主体之间的信任关系为原则，以个人信息模糊化为补充，兼顾个人信息保护与个人信息合理利用，并依赖于政府与企业的合作治理。产品规制尤其强调企业的自我规制，强调在产品中嵌入有利于个人信息保护的设计。我国个人信息保护的立法与实践可以参考借鉴产品规制理论。

关键词

个人控制个人信息保护产品规制信任关系隐私设计

　　目前，我国个人信息保护法与数据安全法的立法工作正如火如荼地进行，有望在不久公布与实施。2020年6月8日，第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法（草案）》进行了审议，并将《中华人民共和国数据安全法（草案）》在中国人大网公布，社会公众可对此草案提出意见。2020年10月21日，备受关注的《个人信息保护法（草案）》在十三届全国人大常委会第二十二次会议进行审议并向全社会征求意见。在制定个人信息保护法的关键时期，社会各界人士建言献策，发出了自己的声音。总体上，大家对于即将出台的个人信息保护法抱有积极的态度。

　　本文从个人信息保护的立法与学术研究出发，重点讨论个人信息法律保护框架选择问题与保护模式建设问题。国际通行的个人信息保护模式采取个人控制模式：强调个人对信息的控制，即通过赋予用户相关控制权，使其能够知晓与支配自己信息的收集、使用与流通。个人控制模式以“告知-同意”为核心，要求信息处理者在处理个人信息时应当事先充分告知，经个人同意才能获取个人信息，且个人有权撤回同意，当变更信息时信息处理者需要重新取得个人的同意。日常生活中最常见的情形是“隐私条款”，信息处理者收集个人信息之前，一般会以“隐私条款”或者“隐私声明”等向个人信息主体披露要收集的信息并获得收集、使用和出售的授权。在这种情况下，隐私条款相当于一个格式合同，用户可以通过这个合同知晓自己被收集和使用的信息，同时选择是否同意自己的信息被收集和使用。

　　通过告知与同意的方式可以使用户知晓自己个人信息的流向，并且能够实现对信息的控制权。这种对信息控制权的设想是完美的，用户不仅可以在使用之初知晓本人的何种信息被谁收集，还可以在自身信息被使用前，就是否愿意接受分享作出明确选择。例如：当下载一个应用程序时，隐私政策会让用户选择是否同意分享个人信息。但现实是，如果用户不同意信息被收集，那么自己将享受不了该产品或者服务。尽管相关规定要求个人信息收集者不得以消费者不同意为由拒绝提供产品或者服务，但是依旧无法避免这种现象的发生。同时，个人信息处理者为了更好地达到用户控制的效果，优化了同意的方式，在获取同意时会强制用户阅读隐私政策或者突出告知用户重点条款。这种方式一定程度上改善了真实同意率低的现象，但是依旧没有从根本上解决个人控制模式的内在缺陷。个人控制保护模式看似可以完美解决个人信息保护问题，但实则把责任的重心转嫁到了用户个人身上，力求个人对自己负责、对自己的个人信息保持谨慎的态度。经过实践的检验，目前的个人信息保护模式并不能达到最初预想的效果，在实施中不尽如人意。

　　本文指出个人控制模式并不能完全满足个人信息保护与数据流通并举的要求，并提出可以考虑从产品出发，强化设计的功能，构思出一幅完整的现代化的个人信息保护蓝图，并在蓝图中建设具体的保护框架。在这个框架中以构建信任关系与降低风险为核心要旨，着重弱化个人的控制，强化重点领域的控制，并发挥好政府与企业的作用。

　　本文分五部分：第一部分为具体分析个人控制模式的困境。这一部分阐述个人控制模式主要面临三个方面的困境：自身的缺陷、外部的影响与权利义务“倒置”。经过分析发现个人控制模式亟须调整。第二部分为产品规制模式的概述。这一部分简要介绍产品规制模式的基本概念、谱系以及价值，表明引入产品规制是突破个人控制模式现有困境的可能路径。第三部分为产品规制模式的框架构建，这一部分深入研究产品规制模式的框架，对产品规制的核心、原则、规制方法与规制对象进行了说明与探讨。第四部分为我国对于个人信息保护的展望。这一部分论述我国在相关立法与实践中可以参考产品规制框架中的思想与具体内容，并且提出三种主张：以信任关系开展个人信息重点保护、发展默认的个人信息保护设置与强化企业的自我规制。第五部分为本文的结论。　　

一、个人控制模式的困境

　　目前，个人控制模式面临理论与实践的双重挑战。越来越多的学者开始反思以有关“告知-同意”为核心的个人控制模式的有效性。有的学者对个人控制理论进行批判，有的学者开始研究替代方案。笔者认为，个人控制模式面临一系列现实困境。　　

（一）个人控制模式自身缺陷

　　全球流行的个人控制模式的制度框架起源于“公平信息实践”（Fair Information Practices，简称“FIPs”）。“公平信息实践”提供了个人信息保护法或信息隐私法的思想渊源，是个人控制保护模式的理论来源。“公平信息实践”一方面主张对个人信息主体赋权，规定了个人信息主体所享有的一系列信息权利，例如个人的信息访问权、更正权与修改权等权利；另一方面其也对信息处理者施加了一系列义务，具体来说包含：合法、合理、透明原则，目的限制原则，数据最小化原则，准确性原则，可问责性原则，保持数据完整性与保密性原则等。但随着实践深入，个人控制已愈加偏离了公平信息实践的初衷，逐渐走入了形式化与单一化的状态。

　　首先，个人控制概念的出发点面临质疑。美国白宫提出来的《消费者权利保护法案》（Consumer Privacy Bill of Right）中首次明确强调个人控制已经成为数据保护机制的原型。同时，在欧盟立法中，“同意”是整个一般数据保护条例的关键，它使大多数类型的数据收集、使用和披露合法化。对信息的控制常常被认为是隐私本身的定义，个人控制也逐渐成为业界通行的隐私保护工具。众多科技公司表示：现在所有个人信息问题的答案就是给用户更多的控制。Facebook扎克伯格曾说：“我们的理念是，人们拥有自己的信息并控制与之分享的人，这一理念始终如一。人们想要的不是完全的隐私，而是他们想控制自己分享什么，不分享什么。”微软态度也是如此。这种做法看似很合理，但实际上却是以控制的概念替代了隐私保护的概念，这种以个人控制替代隐私保护的观念在未来将面临很大的考验。个人控制只是实现隐私保护的一种手段与工具，只承担隐私保护的一部分任务，而真正有效的隐私保护需要体系化、完整化的机制共同运作。

　　其次，个人控制面临过度使用的危险。当追求越来越详细的控制成为公司处理隐私问题的主要或是唯一的方式时，问题就会出现得越来越多：第一，被动化。立法者习惯倾向于用个人控制原则来描述每一个隐私和数据相关的问题，并通过这个原则来构造隐私框架。这会使得保护与扩展路径逐渐固定，表现为只要出现个人信息问题，企业就通过获取同意来获得授权。但这种做法其实面临很大的不确定性，面对层出不穷的新问题，个人信息的保护与风险的防控常常处于被动的状态。第二，形式化。人们经常被一些形式主义的法律规范所保护，这些规定告知人们大量的信息并赋予人们选择的权利，但未必实质性地保护了他们。虽然理论上个人信息控制模式赋予了用户自主权，但个人控制实际上已经偏离了预设的个人信息保护，逐渐走向单一化、形式化与被动化的道路。

　　综上所述，个人控制首先面临的问题是自身的缺陷：立法者与使用者没有把控制放在适合的位置并进行恰当的使用。但要说明的是，本文没有刻意贬低“同意”与“控制”这两个概念，恰恰相反，正因为其至关重要，所以才不能过度使用。“控制”与“同意”有着各自独特的作用。“同意”可以成为有效的问责机制，迫使企业安全使用数据库，认真评估风险并加强安全管理。“同意”可以在以前没有先例的地方提供有意义的透明度并与监管挂钩。如果能够区分“控制”与隐私的概念，明确控制的地位，合理使用“控制”，那么也许“控制”会重新焕发出生机。　

（二）个人控制模式外部困境

　　个人信息控制模式的外部困境首先包括信息主体的困境。其一，信息主体存在选择困境。个人信息主体在阅读信息时面临大量选择，需要阅读冗长的隐私条款，有时需要进一步点击链接才能完成阅读。多数情况下用户会直接跳过、开始使用。在短期利益面前，他们认识不到风险的存在，甚至认为自己能够规避不合理的风险。在对信息进行理解的时候，由于每个用户的教育程度、知识背景、理解能力不同，对于“同意”的理解与认知不能保证到位与正确。在记忆与分析信息时，不仅要对信息进行组合还要权衡利弊，用户不理解信息背后的利益冲突与取舍，往往会做出不恰当的选择。其二，信息主体还存在信赖困境。个人信息关系呈现一种持续的不平等关系，这使个人信息主体可能会面临长期的不安全感与风险。在大数据时代，更重要的是建立一种信赖关系。保持良性发展的信息收集、使用和共享，需要个人信息主体与信息处理者之间形成持续的信赖。

　　其次，个人信息控制模式的外部困境还包括信息处理者困境。其一，信息处理者的信息披露成本可能不同，各地区的法律规定不同可能导致运行的成本具有差异。要求严格的地区在获取同意时就需要披露更详细的信息，同时必须对所披露的信息负责，并且需要及时更新信息。此外，法律规定过于强调保护个人信息主体也将会提高企业的运行成本。例如，欧盟赋予个人信息主体“信息擦除权”“更正权”等，而且必须在同意中向个人说明，这可能会提高诉讼成本。面对技术难关，小企业可能对规则、实践与未来难以进行合规操作。其二，小企业未必有着完整的操作链条与法务组，从而难以准确表达信号，并使用户易于理解。

　　最后，个人信息控制模式的外部困境还包括监管者困境。实践中，监管者可能面临监管的有效性缺失。监管者多采取具体化同意的管理方式（这种方式成本低效果强，便于管理），随着“同意”的规定越来越具体，被监管者在制定隐私政策时也会相应更加具体（实际上促成了被监管者有针对性逃避监管），这将导致监管的效果越来越差。　

（三）权利与义务“倒置”

伴随个人控制理念的不断强化，表面上是不断赋权于个人，让个人了解更多的信息，但实际上这种具体化同意的方式给用户带来的是一种义务：如果用户不有效进行注意与自我防范，就会存在信息泄露的风险。造成这种结果的原因有以下两个：

第一，传统观念转变下的高风险社会环境。在传统社会下，权利与义务是一致的，法律的目的是使义务得到承担与履行，权利得到实现与满足，进一步满足人的自由。在风险社会，权利旨在最大限度抵消风险带来的冲击与侵害。当风险不能够得到很好的预防与克服，它将失去现代法律权利的合理性期待，转化为一种负担。这时候需要立法者及时做出调整才能避免这种结果。例如：在工业革命之前，法院采纳告诫承租人的学说——让房屋承租人自我提防相关风险。但是，随着时间的流逝，简单的农舍逐渐被具有复杂供暖、水暖和电力系统的物业和公寓楼取代了，租户不再能够评估此类房屋的健康或安全性，许多人最终生活在不合标准的不健康条件下，当时的法院和立法机关已经发现以个人选择和控制为基础的法律体系无法应对日益复杂的技术。同理，虽然个人控制的保护模式增加了信息处理者的义务，但是用户在阅读隐私条款时并没有降低自身风险，反而要因为自己的遗漏与疏忽承担信息泄露的风险。

　　第二，个人有限理性的局限。分析个人控制理论的源头为理性主义，现行的法律规范以“理性人”理念为理论预设，但实际上，在大数据背景之下的“理性主义”面临一定的质疑与挑战。我们在进行选择的时候会在外部环境面前呈现脆弱性的特点。首先，信息不对称使得我们无法正确评估风险。其次，我们的选择偏好依赖环境与场域。面临同样个人信息问题的同一个人，在不同的环境中可能会有不同的态度。最后，我们选择的偏好是可塑的，容易受到别人的影响。外部的这些信息不对称、环境问题和可塑性相互作用，具体表现为：我们需要外部环境来决定选择是因为信息不对称所造成的不确定性的结果，相应的，我们需要更多线索塑造预期。因为个人过分依赖环境，所以他们的选择偏好和行为直觉是可塑的。因为隐私直觉是可塑的，所以人们容易受那些为了自己的利益而操纵环境的信息处理者的伤害。这些外部因素导致我们无法理性地做选择，同意与控制也达不到预期的效果。

　　综上，个人控制模式面临多重困境，如仍困守以控制为中心的法律框架，相关风险将不断积累发酵。在高风险社会，应该考虑采取一种更全面、更具有未来前瞻性的法律保护模式，在这种大环境下，产品规制模式应运而生。　　

二、产品规制模式概述

（一）产品规制模式的谱系

　　产品规制即指从隐私产品出发强化规制，以建立信任关系和防控风险为核心，并在此基础上构建法律框架，包括政府规制与企业的自我规制。区别于一般意义上政府规制与行业自律，产品规制更强调政企协调、数据综合治理。该模式可以规避个人控制模式的弊端，弥补个人控制下法律框架的缺陷，完善公平信息实践的理论与操作。

　　产品规制的核心理念来源于技术设计领域。1999年莱斯格（Lessig）教授提出：规制科技的方式方法除了法律，还包括准则、市场以及架构，而代码（code）在这些方法中承担着设计的功能。这一理论的提出打破了传统，促使科技立法方式从单一依靠法律转向规制要素的组合。20世纪90年代，加拿大渥太华信息与隐私委员会前主席安·卡沃基安（Ann Cavoukian）提出了隐私设计（privacy by design）的概念，并就这一概念的理论扩展进行了深刻阐述。在她看来，该理论的核心为：第一，积极预防风险。从产品源头融入价值与设计导向，以事后救济相辅助。第二，产品默认设置保护用户个人信息，用户无须消耗多余精力。第三，实现正和而非零和博弈。提倡价值主导，利益共存的理念，强调隐私设计为核心的法律框架，认为企业通过更好的设计保护个人信息的举措也将为自身创造竞争优势。

　　至此，以价值为导向，以技术设计为手段的隐私设计理论研究快速发展。其中最具有代表性的理论是杰克·巴尔金（Jack Balkin）与伍德罗·哈佐格（Woodrow Hartzog）提出的信托理论。经过多年研究，他们认为基于信任建立的个人信息保护蓝图具有强大的生命力和可操作性。实践领域，2009年，马德里召开的第31届数据保护和隐私委员会国际会议专门成立了一个有关隐私设计理论的工作小组。2010年10月，第32届数据保护和隐私委员会国际会议在耶路撒冷召开，大会一致通过了《隐私设计方案》（Resolution on Privacy by Design），也称《耶路撒冷宣言》（Jerusalem Declaration），明确将隐私设计理论作为未来个人信息保护至关重要的部分，鼓励各国数据保护机构和隐私委员会去践行该理论。此外，苹果、谷歌、惠普、脸书、腾讯等互联网巨头都在积极践行隐私设计理论。　

（二）产品规制模式可实现的价值

　　产品规制是隐私设计理论下的法律框架之一，目标是在信息技术时代探求一条规范的新道路。其中，强化技术设计是主心骨，同时重视以价值为导向的规制。综合上述具体分析，本文认为，产品规制模式所实现的价值主要在于：强化预期、伦理导向与追求自治。

　　1.强化预期下的产品规制

　　大数据预测技术被广泛运用于日常生活中，每个人既可以从中获得福利，也可能面临其伤害。“精准广告推送”“大数据杀熟”“算法歧视”等越发普遍，给参与技术交互的人带来了一定的困扰。单纯的个人控制模式无法在保障个人信息主体安全的同时有效防范风险，而产品规制模式可以在一定程度上解决此类问题。原因是，产品规制模式可以借由为个人塑造合理预期，从而为用户提供最大保护。

　　著名演化心理学家曾表示，人类演化出的认知构造是为了在充满不确定性的世界中存活下去，而不是要客观地反映这个世界的真相。从这一观点出发，所谓“赋予个体理性”的说法本身就是有局限的，基于不确定性产生的“偏见”并非仅有消极意义，它同时也具有积极意义，因为它包括了对于环境的必要预判，而这种“偏见”是人类生存必备的。综合来看，偏见分为两种：一种阻碍理解，一种促进理解（合法偏见）。法律的作用就是确认和放大第二种合法偏见，减少第一种偏见，也即降低损害，预防风险。处在高风险社会，这一点尤为重要。多数研究强调风险、语境、历史、视域、经验，也均是从这个角度出发。我们需要对后者重新进行审慎认识。单纯个人赋权模式面临多重困难，可以尝试从以下两种路径改换角度规避风险，增加合理预期：

　　第一，从个人控制到让数据使用者承担责任。现实中个体难以对个人信息流通的风险进行有效预判，不妨从信息处理者责任的角度强化责任实质。这需要完善信息处理者的风险防范规则，确立基于风险防范的个人信息使用规则。“对于危险性较大的项目，管理者必须设立相应规章，规定数据使用者应如何评估风险、规避或者减轻潜在伤害。”这就把预防风险的任务转换到数据处理者身上。基于预防风险和防止伤害的原则，个人信息主体可以放心安全地把信息交给处理者，因为如果处理者没有本着自己的责任默认去保护用户，其将承担行政乃至刑事责任。

　　第二，通过建立信任关系来建立预期。目前对于个人信息保护聚焦在个人信息本身，笔者认为这是暂时性的保护，长远的保护应聚焦于规制关系。随着时代发展，个人信息与数据已经不再零散，而将慢慢形成一种社会关系。巴尔金教授开创性地把个人信息视为关系，就像合同获得强制性是由于形成的合同关系，信托关系为具体规制个人信息保护提供了充足的理由。如伍德罗·哈佐格（Woodrow Hartzog）和尼尔·理查兹（Neil Richards）教授所说，目前个人信息保护机制过于关注碎片信息，而非关系之中的权利差异，因此无法利用法律关系工具对此进行全面而具体的保护。综上，注重建立关系有利于为用户建设长远预期，而非陷入大数据的被动预测当中。

　　2.伦理导向下的产品规制

　　产品的设计可以帮助我们在伦理上做出“好”的选择，因此立法者和设计者可以利用设计助力社会和谐。举例而言，学校设置了许多减速带，其设计目的是让驾驶者减速，从而进一步保障学生的安全。信息技术时代，设计与伦理关系背后有一个重要的问题——技术是否中立？社会各界对此争论激烈，笔者认为，不管赞同与否，都绕不开如何使用技术的问题。技术可以帮助塑造我们的行动和经验活动，从而促进我们的伦理决策；技术也可以破坏我们的秩序与规则，使我们养成坏的习惯。如社交媒体可以推动我们积极参与公共事务的管理，但是不加门槛的访问也有可能放纵我们的窥私欲与网络暴力。所以，从现实的角度来说，技术设计是有价值的，即设计中包含伦理。

　　劳伦斯·莱西格（Lawrence Lessig）教授曾提到，在网络世界中，存在一种规范叫“代码”，它承担改变规则的任务，进而维护网络秩序，立法者与设计者可以通过代码来提高主体对个人信息的关注度。塞斯与桑斯坦教授提出了助推理论，即使一个完全自由，以竞争为基础的市场体系，也需要一个法律框架，而设计的作用在于它可以在重要的地方保持选择的自由，也可以有意识地以重要的方式追求中立。助推理论与设计理论相互成就，助推通过技术设计在某些具体的方面融入了伦理的元素，这种温和的管理政策可以达到意想不到的社会效果。这些学者的研究都阐述了设计在日常生活中的利用。除此之外，哲学家彼得·保罗·沃比克（Peter Paul Verbeek）也指出，技术促进了伦理上的“好”“坏”结果。根据沃比克的说法，因为技术总是包含伦理，我们必须通过框架来概念化技术的伦理相关性。立法者必须承认，因为立法时人们会不自觉地融入伦理因素，所以设计或多或少地一直影响着立法的选择。在技术高度发达的社会，在技术的制造与应用上，更加需要伦理的指引与安排。

　　由于产品规制的核心是强调设计，所以在规制上会注重政府的强制规制与企业的自我规制，尤其应把重点放于后者。在自我规制之下，企业应该发展与个人信息保护相协调的伦理，在技术的设计上应该默认个人信息保护的程序设定与要求。

　　3.追求自治下的产品规制

　　人类对自治有一种天生的需求。人类必须拥有一定程度的自由，不受外界的控制或者影响。对一个普通人来说，自治最大的威胁在于他人渗透进入人的内部区域，并且通过生理或者心理手段能够了解他的最终秘密的可能性。这种权利即“避免他人打扰的权利”。隐私权的发展应运而生，而自治正是隐私理论发展的核心，如朱莉·科恩（Julie Cohen）所说，“一个受保护的信息自治区很有价值，因为它提醒了我们无法衡量的东西”。

　　强化个人控制的最终目的是实现人的自治，但效果不佳。相较单纯强化控制，产品规制模式、包括设计的功能都更能在个人信息保护中体现自治意义。我们控制个人信息的欲望基本根植于我们对自治的追求，只要设计能够真正实现不受外部控制的自由、体现自治的意义，那就应该鼓励它服务于自治。

　　产品规制模式正是以信任和模糊化为核心的，保护个人信息和隐私的模式，当其指导技术使用信号和交易成本来加强信任与模糊时，自治就能实现。换句话说，当技术设计允许个人自由而可靠地进入信任关系，并创造和保持隐蔽性时，它就提供了自治权。当设计错误操纵或扭曲了人际关系中的信托，并干扰了模糊不清的区域时，设计对自治腐蚀性最大。自治为设计提供合理性基础，同时自治也是设计的目的。因为个人可以可靠地预测自己的信息是否会公开，所以也就可以更自由地在社交媒体上发布自己想要的东西，当模糊化环境使个人能够自由地围绕准确和稳定的风险计算做出选择时，它就是最有价值的。　

三、产品规制模式的框架构建

　　隐私设计理论是一个广义的概念，是由西方实践发展而来的，一种以价值为主导的个人信息保护思路，在进一步具体化的过程中有待不同的内容填充。本文的产品规制理论是在这一思路指导下构建的法律实践框架。区别于个人控制模式中的控制原则与保密原则，产品规制模式的重心放到了关系与风险之上。以建立信任关系（Trust）来纠正低实效的控制原则，以信息模糊化（Obscurity）来纠正不易操作和成本高昂的保密原则。以信任与模糊为核心的法律框架可以弥补个人控制最大的弊端，建立完善且现代化的个人信息保护框架。

　　1.以建立信任关系为原则

　　科技公司正在竭尽全力让用户对自己的个人信息有更多的控制权，而现实是，过度对控制的关注会分散对隐私保护的注意力。丹尼尔·索洛夫（Daniel J. Solove）称个人控制下的隐私管理方式为“隐私的自我管理”，“同意”成为庇护收集、使用、披露个人资料的合法化工具。较过度控制而言，重点关注可以实现更好的效果，所以将选择信任作为保护隐私的重点与手段，可以纠正对于过度控制的依赖。

　　20世纪90年代，肯尼思·劳登教授创立“信息信托”理论，2014年，杰克·巴尔金（Jack Balkin）教授对该理论进行详细论证。巴尔金教授认为，在大数据时代，个人对于平台与数据公司的依赖很深，但是同时，两者之间的关系也很脆弱。借鉴信托的原则可以挽回个人对于平台的信任，同时增强平台的社会责任感。2018年，多布金教授阐释了信息信托（information fiduciaries）的基本内涵：信息处理者与个人信息主体之间所建立的信托关系，要求信息处理者以忠实、谨慎的义务对待个人信息，平台作为受托人应该为用户的最大利益服务，正如在法律中规定了医生、律师、会计师等财产管理人员对客户的忠诚度。这个学说得到了理论界的赞赏，甚至有望改变个人信息保护规则。美国国会在立法上也提出类似标准，并倡导平台履行对用户的忠诚保密义务。

　　信任关系（信托关系）的核心是忠实义务和谨慎义务，通过这两个义务可以延伸出具体操作的方法与工具。具体业务中，个人信息主体（委托人）基于信任选择平台，信息处理者（受托人）基于隐私条款向信息主体履行对个人信息的保密义务。

　　忠实义务是指信息处理者必须以符合信息主体明示授权或合理预期的方式收集、出售个人信息，不得为了企业的利益而损害个人信息主体的利益。忠实义务的核心在于严禁信息处理者因自身或第三人的利益而牺牲个人信息主体的利益，也即当个人信息处理者面临利益冲突时，要优先确保信息主体的利益。在处理隐私政策的问题上，忠实义务要求个人信息处理者遵循诚实信用的原则，秉持真实与善意进行信息披露，在收集信息时以明显、准确、突出重点的方式告知个人信息主体，或者在出售或使用信息时以恰当的方式进行提示。在举证责任上，通过呈现隐私政策（privacy policy）的内容，可以证明个人信息主体与处理者在形式上存在利益冲突。若此利益冲突违背了信息主体的合理预期，便可以用于证明信息处理者违背了忠实义务，不需要证明个人信息权益因此遭受损害。

　　谨慎义务是指信息处理者在收集、管理、使用个人信息时本着谨慎、保密的原则，不应损害个人信息主体的利益。谨慎义务的核心是个人信息控制者应该在“谨慎人规则”之上对个人信息进行管理，要以政府统一规定或者行业标准来披露与告知信息的内容。企业不能自己筛选通知的内容，而要达到一种谨慎管理人的标准——一种最低标准。信息处理者应运用管理技巧对个人信息进行有效的管理，并以一种审慎专业的态度对待个人信息。与忠实义务不同的是，在谨慎义务中，个人信息处理者需要对自己的过失负责，如果由于自己的过失导致个人信息的泄露，应该承担相应的责任，这就要求信息处理者应当负有保密义务。谨慎义务应当在隐私政策中明确说明，并且告知个人信息享有的权利（这也属于谨慎义务所包含的范围）。

　　以忠实与谨慎原则发展的信任工具是保护信息安全最佳的方式之一。忠实义务要求个人信息处理者面临利益冲突时，优先确保信息主体的利益。在个人信息保护中，仅仅做一个“开放式的家长”是不够的。信息关系中的信托需要合法、合理与确定的诚实义务来纠正误解并积极消除误解。谨慎义务要求个人信息处理者强制创建安全技术，以实现减少数据收集和储存、建立程序与安全保障，完善应对信息泄露预案的目的。

　　信任为原则的优势具体在于：一方面，加强个人控制给用户增加的审查义务与负担不同于合同关系中平等主体之间的义务，是一种不平等的义务。虽然个人无法与大型企业或信息处理者抗衡，但法律默认个人是可以对抗的，因为对于立法者和规则设计者来说，这是最简便、成本最小的管理方式。信任的发展可以改变这种现状，使得义务负担转向信息处理者，这本质上体现了诚实信用原则与公平原则。另一方面，在实践中，大型企业在做合规时一定程度上践行了信任的规则。具体表现为：文本内容是否和平台的实际情况相符合；在通知同意具体的操作上，技术能否实现以及预估相关成本；在保护用户方面会向用户提示查询权、更正权与删除权（注销账户权限）等。从这个角度看，平台已在一定程度上履行了忠实与谨慎义务，虽然所采用的法律依据与目的不同，但是部分数据处理者确已在履行避免不合理的危险的义务了。所以，采用信任法律关系的管理方式一定程度上可以与现实相匹配，并且能够优化企业合规的路径与标准。

　　总体而言，隐私法和信任的共同运行比仅避免侵害更能创造价值。隐私法和规范采纳了一种悲观的程序主义，只关注避免伤害。信任关系是数字经济运转和蓬勃发展的必要条件，但并未从一开始就得到个人信息保护理论的重视，这也因此促成了该理论的不完整性。

　　2.以个人信息模糊化为补充

　　模糊是个简单的概念，反映了一种未知的状态。它涉及两个主体：个体和观察者。网络的高速发展缩小了认知的局限性，被观察的成本越来越小。模糊原则的原理在于，如果观察者没有掌握或理解使该个体有意义的关键信息，那么对于观察者来说，个体就是模糊的。当我们的信息保持模糊的时候，我们会受到他人认知局限性的“保护”。

　　这个概念区别于匿名化。欧盟在GDPR引言部分对匿名化进行了界定：“匿名化是指将个人数据移除可识别个人信息的部分。通过这一方法，数据主体不会再被识别。匿名化数据不属于个人数据，因此无须适用条例的相关要求，机构可以自由地处理匿名化数据。”这种匿名化的本质是在个人信息保护上践行保密的原则。正是因为匿名化豁免了数据保护法的管理，不再将匿名化数据视为需要保护的个人信息，所以，匿名化的标准更加严格，管理的风险更高。相比之下，发展模糊化的标准可以降低成本，在监管的同时兼顾个人信息保护与数据流通。

　　模糊化对于个人信息来讲是很有价值的保护方式。在创造一个模糊化的环境时，我们可以通过信号（Signal）和交易成本（Transaction Cost）工具来实现。欧文·戈夫曼（Erving Goffman）认为，当个人释放一系列信号时，这些信号决定了个人是如何识别和被识别的。如同观察者们将舞台上表演者的衣着和举止视作信号的传达，并据此增进对表演者的理解。个人不经意间发出的信号，也将向观察者透露个人信息。比如，无意识间显露的方言口音，正是向观察者透露的个人背景信息。

　　通过多变或者加密的信号，隐私设计者可以通过制造模糊的观察背景来保护个人信息。除了信号工具之外，还可以通过改变交易成本使某些个人信息更易于或者更难以获得。在经济学原理中，交易成本指的是市场交易所需的费用，潜移默化间影响了交易者的选择和预期，在数字设计、用户界面设计和以易用性为重点的用户体验设计中都起着关键作用。事实上，整个数据经济的建立与发展越来越向简化靠拢，数字数据本身就是设计发展来的结果。设计使信息的记忆变得更加容易，因为它以边际成本被保存在一个持久可搜索的状态中。由于数据库和通讯技术的存在，只要有互联网连接和适当的登录凭证，任何人都可以在几秒之内获取知识。另一方面，成本也可以使获取信息更难，即使是不起眼的小成本。比如：Facebook有回复私人信息的功能，但没有转发功能（这一点与微信的设置有差别）。虽然用户可以把和朋友的私人对话剪切、粘贴到另外的信息框中，供其他用户阅览、使用，但这比简单地按下确认键要花费更多的时间和精力。小成本随着时间的推移，也会累积成大，阻碍信息的随意共享。总之，相比于对各种信息进行分类保护，立法者可以通过关注交易成本考虑实施措施，通过个人信息难以或不大可能被发现或者理解来保护我们不受必要的曝光和侵扰。

　　交易成本的功能包括搜索可见性、不受保护性、识别性，这三项功能的存在会降低模糊化的效果，反之亦然，因此可以将这些功能作为设计的关键变量。一是搜索可见性（Search Visibility），指个人制作的内容易通过在线搜索定位的程度。搜索不可见性是“在线模糊”中最重要的因素之一。二是不受保护的访问（Unprotected Access），访问保护包括一系列控制访问内容的技术和方法，如密码。访问控制除了在技术上可以限制他人查看信息外，还可以作为规范信号，表明信息的隐私性质。相反，不受限制地访问信息，特别是在隐私设置等技术可用但未启用时，可能会对信息不透明产生反向识别。三是识别（Identification），指在网络环境中个人和人际关系披露被识别的程度。

　　模糊原则的优势在于：第一，掌握数据就掌握了数字时代话语权。在数据的大规模使用流转面前，原有信息安全及其保密落后于时代新兴需求，而模糊化可以更好地适应现代线上环境。现实生活中的各种信息难以被永久记忆，常在岁月流转中渐趋暧昧、模糊不清，所以某种程度上讲反而是安全的。但互联网是有记忆的，并且“清晰如昨，永不褪色”，面对快速发展的社会和新兴科技，我们不得不转换思维以对数据进行保护和发展。另外，传统保密模式对在公共空间保有部分隐私的诉求并未有效回应，但事实上，现代生活已允许我们开展谨慎的信息共享。

　　第二，信任与模糊化可以达成互动。在设计理念中，模糊化的工具也可以作用于信任关系。通过信号可以增强个人对信任和风险计算的期望。因此信号既可以成为模糊化的工具，也可以成为建立和摧毁信任关系的工具。反之，欺骗和操纵性的信号会阻碍个人信任他人的能力，阻碍其选择与保护自己的能力。同理，因为交易成本可以塑造预期，所以交易成本也可以成为信任的工具。一旦其开始影响我们的预期，它便渐渐塑造我们的行为，甚至被用来控制个人。规范一旦建立就很难改变。如果只是依赖于向个人提供信息或赋权，是不能完全起作用的。

　　第三，模糊原则可以补充信任的不足。信任管理的是关系，信息模糊化管理的是风险。当关系人之间存在信任关系时，主要以信任法律关系来约束和保护，如果没有信任的人或者信任面临缺失时，则可以依靠模糊化的环境来降低消极风险。信任或者信托理论因适用范围窄受人诟病，仅作用于那些有着特殊关系的“信息受托人”，并不能涵盖与个人没有直接关系的大量数字企业，仅依靠信息信托理论的局限在于它所规定的谨慎和忠诚的职责不适合大范围的算法经济。而模糊化可以控制平台风险，弥补信任缺陷。两者补充，建立完整的保护框架。

　　3.规制的对象分类

　　在确定具体规制时可以从原则出发，由抽象到具体。实际操作中，可通过糅合包含法律、协议、警示设计选择等方式进行规制，用以确保用户安全，预想产品风险。实践中，信息处理者出于自身利益的考量，可能会生产出具有伤害性的设计，这是政府与企业进行规制的重点对象，具体包括：欺骗性设计、滥用性设计、危险性设计。下文将对这三种伤害性设计进行具体阐述。

　　欺骗性设计是指歪曲现实、颠覆预期、干扰信任及保持模糊化能力的设计。企业可能通过一些行为来蒙蔽用户，诱使其做出违背自己意志的不当选择。当用户沉浸在网上虚假的安全感里，不知情地泄露了自以为安全的个人信息，这就是欺骗性设计。拒绝欺骗性设计延续了处理隐私问题中的不说谎原则，但不说谎原则往往流于形式，允许公司使用设计埋藏掩盖与隐私相关的信息。以设计的不欺骗性为原则，其引致的重大改变在于：在可接受的范围内，最大限度扩大了可追责的范围，不再限于表面的形式审查。这也对立法者与法院都提出了更高的审查要求：立法者应该在具体的规范与标准上制定相关规定，法院可以考虑改变思维和引进专业知识来优化操作。例如，法院可以适当超越隐私政策中的文字条款，找到用户界面内应受到谴责性的错误表达，如有风险的“符号”与“同意”等。

　　滥用性设计是指由于不合理的使用导致挫伤个人自主做决定的能力的设计，这种伤害性设计以用户自身的局限性来对付用户。用户评估自我风险和收益的能力是有限的，这种观念就是上文提到的有限理性。例如，人们通常认为，一条信息越长，它就越可信（“长度等于强度”启发）。基于此，公司有强烈的动机去设计系统，并利用我们对风险和收益的可预见的误解来运行。滥用性设计的概念可以在消费者保护法中找到（以之保护消费者的选择）。欺骗性设计与滥用性设计存在重复，区别在于：“欺骗”与现实不符，主要依靠虚假和不完全的信息；而“滥用”指的是即使有准确、真实的信息，由于企业不合理的利用导致人们也无法做出真正的选择。

　　危险性设计是指企业通过降低个人信息的模糊化程度，而对用户造成伤害、使其陷入危险。隐藏的监视和不良的数据安全保护措施使个人容易暴露在他人面前。有时，危险性设计不是直接伤害用户，而是以间接的方式对个人造成了损害。比如后台运行的技术可能使不相关的个体受到预期之外的不利影响。也就是说，不光欺骗性的技术会给个人带来危险，诚实的技术也可能通过危险方式暴露我们的秘密。比如监视和聚合技术通常会影响他人和界面交互之外的人。减少危险设计的法律维护途径可以参考侵权法中的“设计缺陷”和消费者保护法。具体表现为当一种隐私产品具有不合理的危险时，它就是有缺陷的。

　　针对这三种危险性设计，监管机构应该寻求联合监管模式。政府的规制主要是强制性的，如果公司不断藐视设计规则，可以通过提高罚款数额和实施公平的补救措施，用以补偿损害和阻止未来不恰当的设计。企业的自我规制一方面在于遵守标准，另一方面则是在产品源头杜绝伤害性设计。通过两种规制之前的对话与合作，可以强化个人信息的保护。　　

四、我国个人信息保护展望：产品规制模式的尝试

　　个人信息保护与数据安全保护是我国立法计划的重要组成部分。目前我国通行的有关保护个人信息的法律法规包括《民法典》《网络安全法》《信息安全技术个人信息安全规范》《刑法修正案（九）》（具体包括扩大个人信息相关罪名适用范围，提高量刑的规定等内容）。近年来个人信息保护与数据安全保护得到前所未有的重视，如立法已从散落各处的法律条文和规章、标准规范发展到专门立法。《个人信息保护法（草案）》与《数据安全法（草案）》已提请人大常委会进行审议，有望在近年公布、实施。

　　在个人信息以及数据安全立法时不仅要求保护好公民的个人信息，同时也需为信息产业划定合法合规的边界。为实现个人信息综合治理，本文认为可以在具体操作上适当参考产品规制模式的法律框架。　　

（一）产品规制模式在我国适用的可能性

　　1.原有模式亟待转变

　　如上文所述，个人控制模式现存的缺失已使其不能完全适应现代世界的需求。

　　一是，个人控制模式未充分考虑个人在社交媒体上的易受影响性以及理性的脆弱性。个人信息主体仅能依靠有限的认知与实践资料来确保其数据受到保护。伍德罗·哈佐格（Woodrow Hartzog）教授在书中说到，用户只有有限的资源与时间，却要解决庞杂的同意条款——这无疑是把将受损害的风险转移给用户。二是，简单化、机械化的同意已不能很好融入大数据、人工智能等新技术的实践中。相对简单的数据处理升级为复杂多变的数据治理，僵化的公平信息实践原则也与现实不相吻合。三是，除了个人信息主体问题外，算法歧视问题也暴露得越来越明显。不管是大数据“杀熟”还是种族歧视，用户在面临不确定的风险、歧视时只能被动接受，这正是个人控制模式最大的盲点所在。

　　另一方面，个人控制所践行的公平信息实践原则无法为立法者或公司提供有意义的具体指导。公平信息实践的宗旨与规则基于数据的收集、使用，着重关注强势企业如何处理大量个人信息。即使相关企业完全遵守规则，用户出于互相窥探等需求，仍可能创建虚假的个人资料，而企业仍难就相关做法进行有效制止。

　　可以说，第一代与第二代的处理信息法律框架面临危机，原有保护规则已无法完全满足现代需求，公平信息实践也需要与时俱进。我国目前有关个人信息保护的内容还停留在第一代与第二代的法律框架的架构上，核心是同意，这种方式治标不治本，难有效应对复杂的数据环境与未来发展。2017年的水滴直播事件就为个人信息保护不力敲响警钟，在该事件中，一般的个人控制模式无法完全防范风险，普通人更是无处遁形。教训在于：企业在研发产品时应当注意对个人信息、隐私的保护，将产品设计的理念贯彻到产品中去——把隐私保护作为产品的默认设置，预防用户隐私遭到侵犯，并做好产品的合规工作。这也是信息时代我们需要改变的态度。

　　2.适应国内立法需要

　　兼顾保护个人信息与数据产权已在治理领域成为共识。业已颁布的《民法典》为个人信息保护提供宏观指引：《民法典》中把人格权独立成编且单列一章隐私权与个人信息保护，足见其在立法中的重要程度。《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》（下称《意见》）强调将数据列为国计民生中必不可少的生产要素，《意见》还称，要推进政府数据开放共享。优化经济治理基础数据库，加快推动各地区各部门间数据共享交换，制定出台新一批数据共享责任清单。也即法律应该致力于如何完善数据的治理与发展，而不是单纯地强化个人对自己信息的控制。可以说，个人控制模式向产品规制模式转变的大环境不断向好。

　　2020年10月21日，全国人民代表大会常委会审议了《个人信息保护法（草案）》（以下简称“草案”）并正式对外发布征求意见。草案重点关注了个人信息保护领域的新问题，并确立了以“告知-同意”为核心的个人信息处理框架，在具体的规定上保持谦抑的态度，对未来保持开放性。具体而言，其一方面借鉴了欧盟GDPR与美国加州CCPA的优点，另一方面在扎根我国当前实际的情况下发展出了自己的特色。如规定个人信息处理者处理个人信息有除了同意之外的其他合法理由，条文采用不完全列举式的规定，不排除其他法律法规规定的其他情形等。这一定程度上为处理个人信息的前提提供了多种可能性，在进行法律解释和具体细化时，可就时代新问适时做出新的辅助和补充。

　　3.助推国际话语权发展

　　个人控制模式与基于公平信息实践原则建立起的个人信息保护框架目前是全球隐私交流的通用语言。隐私中“控制”的概念成为全球数据交易的共同语言，特别是欧盟GDPR的实施把“控制”的概念扩散到了最大范围。隐私语言的全球化实际上为外交谈判提供了抓手和凭借，可借由建立国际的个人信息保护目标和愿景，减少不必要的冲突，尽量减少混乱。

　　值得注意的是，国际上越来越重视隐私设计的相关内容，世界范围内有越来越多的国家和地区开始意识到个人控制模式的弊端并积极展开有关“隐私设计”的研究。理论层面，越来越多的学者关注到了隐私设计的重要性、可实践性并发出相关倡议。实践层面，2007年，欧盟数据保护监督局主张“建立在隐私设计理论之上”。随后，欧盟数据监督局多次在重要会议和文件中落实隐私设计理论。另外，美国国土安全隐私局2007年也发布了《隐私科技执行指南》，倡导技术的管理者和开发者应该把隐私保护的需要镶嵌到信息科技的开发中去，并在之后明确了隐私设计的重要性。综上，域外为我们提供了丰富的理论资料与实践素材，这对于我国构建适应现代化的个人信息保护框架是有益的。

　　如今，互联网作为一种新的传媒技术，已经打破了时间与空间的限制，成为人们传播思想、交流文化的重要载体。网络产品与个人信息保护的标准与法律框架也影响着未来新技术发展的环境。从国家层面上讲，积极发展数字产业，并为数字产业创造一个适宜、进步、优良的发展环境是未来掌握意识形态话语权的关键步骤。本文认为，在适合中国国情的基础上，可通过借鉴先进理论与研究，发展适应未来的个人信息保护框架，助力我国国际话语权的发展。　　

（二）产品规制模式对我国的借鉴意义

　　1.基于信任关系开展个人信息保护

　　产品规制模式的核心为信任原则，信任关系基础受到质疑之处在于规制的范围狭窄，只规制建立委托关系的主体，无法满足数字经济时代需求。其实，正是因为这种“有限”范围才可以突出重点的区间，保护用户认为重要的同意。在没有信任关系保护的领域，产品规制模式提供的思路是通过模糊化网络观察环境来降低风险。两者相结合可以为个人信息保护建设一个合理的保护框架。伍德罗·哈佐格（Woodrow Hartzog）教授把这种模式称为隐私蓝图（Privacy’s Blueprint）。在个人信息保护框架的构建中，需要各种隐私保护方式综合协作，不排除法律的运用、不排除控制，具体的操作依赖于政府与企业的综合治理。笔者认为，参考这个蓝图构建适合我国国情的个人信息保护法律框架是有价值的，并且可操作性较强。

　　发展信任的法律框架可以迫使个人信息处理者重点关注特定领域，并为其义务的履行提供合法性基础。目前信息处理者获取信息的合法性基础主要基于个人的同意或其他特定的方式，基于信任关系等委托性质的合同并未提及，但非穷尽式列举并没有完全排除它的适用。同时，在我国个人信息保护理论与实践中，倾向于采取适应于我国的立法与司法习惯的公私法混合的保护模式。本文认为，可以先采取试点的方法，在个别领域或者个别事项上进行个人信息保护的实验，待经验成熟之时再做进一步推进考虑。

　　2.默认个人信息保护的设置

　　产品规制模式是一种公私法混合的法律框架，主张以信任关系为核心，以信息模糊化的线上环境为补充，这就要求个人信息保护应该成为企业实践与系统运行的默认规则。也即在进行信息选择的时候，系统是默认保护个人信息的，如果用户不明示放弃自己的选择，那么个人信息就是完整的、不受打扰的。例如，2017年苹果公司iOS11系统推出了反广告技术：用户的Safari浏览器会主动删除30天以上的Cookie浏览记录。再比如，苹果公司iOS14系统中，用户对信息有完全的决定权：用户在不用承担任何风险的情况下可以决定商家是否可以通过“广告客户标识符”（IDFA）向用户投放广告，这在源头上给予了用户充分而有效的选择。同时，信任的关键就是委托人与受托人之间建立的可持续关系，信息处理者对个人信息保护负有忠实与勤勉义务。在信任关系顾及不到的地方，利用设计的方式使信息环境模糊。可以要求系统收集的数据以及彼此之间的联系进行隐藏处理，以便让数据不可观察，防止滥用数据。比如：将数据“年龄：27”改为数据“年龄：25～35”。

　　对于隐私政策中的同意，可以尽量突出重点来方便人们阅读与考量。在同意方式的选择上，可以参考选择退出框架，改变个人信息主体关注的重点。这样可以减轻信息爆炸给信息主体带来的负担，同时也能很好地兼顾保护个人信息的目的。比如：浏览器默认cookies是关闭状态，不被广告所追踪。苹果手机在系统中设置用户可以拒绝通过“广告客户标识符”（IDFA）向用户投放广告等。

　　3.强调行业与企业的自我规制

　　产品规制理论中既包括政府规制，也包括自我规制，自我规制是产品规制的核心。自我规制包括团体的自我规制与个体的自我规制。两者都是对政府规制之外的管理细节进行具体的把控。

　　行业协会的自我规制属于团体的自我规制，是位于政府与企业之间的一种规制。行业协会是因行业、产业等共同特征组合起来的共同体，相对于政府而言，它们在关键步骤、生产环节和技术信息等方面更明确。协会最重要的作用是“上传下达”，在政府和企业之间建立联系。我国应该推动个人信息保护相关行业协会和企业之间协会的规范建立、自律公约与职业伦理准则，增强其参与市场规制的能力。

　　企业的自我规制是针对特定企业和产品实施的特定的管理策略，如对企业内部环节风险与成本进行控制等。加强企业的自我规制不仅有助于优化产品质量与设计，还能发展差异化的自我规制，增强企业的竞争力。在产品规制模式的倡导下，企业的自我规制强调突出设计的作用。企业除了要遵守保护的最低标准，应该积极发展和践行设计的理念。具体来讲：

　　第一，要把个人信息保护嵌入设计之中。在设计产品之初，企业就要考虑个人信息保护的问题。不仅要设置一般的防御措施，也需针对具体的问题预想解决之道。

　　在考虑对具体的产品进行设计时，笔者从唐纳德·诺曼的设计心理学中得到了启示，这个理论有待深入研究。目前可简要总结为五个原则：（1）简化结构。例如，要求用户采取更少的步骤达到目的。在设计隐私的时候可以采取默认保护的设置，当用户点击一次同意便可以推定之后的所在位置等信息是否持续被收集。（2）重点可见。从视觉元素出发使对象变得显而易见，并使重要的设计元素变得明显。例如：在设计隐私的时候可以突出重点，在必要的时候以具体明确的告知方式获取个人信息主体的同意。（3）正确设置映射。客体要与结果直接地对应起来。信息处理者可以通过信号的作用为用户传递正确的信号，用户要知晓信息处理者的行为所代表的实际含义并能在合理的预期内进行自己的行为。（4）防差错（人为）设计。要预想到风险的降临，在设计之初要针对风险进行实验并且采取一定的措施。在互联网环境中多制造模糊的观察环境，尽量避免用户受到不必要的侵扰，对观察者设定一定的限制等。例如：密码设置或者防盗功能设计，改变信息的识别性，扩宽具体信息的范围等。（5）标准化。可以使用普遍得到企业承认的信号与交易成本工具，大力发展最低标准化操作。这个标准应当是处于法律规制与企业自我规制之间的行业标准。

　　第二，以用户为中心的理念不仅体现在产品的品质上，还应体现在设计上。使用户在使用产品时处于主动、积极地位并做出真实选择，是获取信任甚至降低风险的有力举措。在现代信息科技产品中，隐私设计是其中最重要的部分之一。以用户为中心的设计可以满足用户需求，增强企业竞争力。实践证明，只有真正为用户考虑才能保持相关企业的长久生命力。日常生活中，一些不起眼的设计也会增加用户的好感度，对用户形成持久的吸引力。比如：微信与微博可以设置朋友圈开放的时间与范围，允许特定的人查看动态等。

　　总而言之，我国在个人信息立法与实践上可以参考产品规制模式的框架或者具体举措。这些举措有利于弥补个人控制模式的固有缺陷，使个人信息保护主体、信息控制者与政府走向多方共赢，而非零和博弈。产品规制模式首先向个人提供一个持续稳定的个人信息保护环境，在这个环境之下，个人不再受到无尽同意的骚扰，不再因没有审慎阅读隐私条款而被迫承担难以履行的义务。企业虽因此面临挑战，但隐私保护有助于商业发展已经成为业内共识，发展以用户为中心的设计可以使企业走得更远。强化企业的自我规制有助于企业在符合标准的情况下发展差异化设计，寻找更适合于自己的运营模式，促进自身发展。但产品规制模式并非完美，仍需不断完善理论基础、接受实践的检验，需要在未来个人信息保护领域涌现的新问题中激发思考，形成共识。时代的特殊性、未来的不确定性还需要我们不断向前看，尤其是积极做好风险防控。　

结　语

　　近来，人类生存的社会生态变化巨大，个人信息保护环境也随之而变，个人信息时代的高速更迭迫使我们及时更新思维，因此应增强视角的前瞻性，站在时代的前沿思考问题，以求获得长效牢靠的发展与进步。实践证明，传统的个人信息保护框架不仅不能有效应对目前出现的种种困境，也难以应对未来呼之欲出的新形势、新问题，其保护模式亟须转变。

　　在隐私设计这个宏大的理论中，产品规制模式得到了国际范围内的广泛认可与赞许，未来有望在指导个人信息保护等方面发挥重要作用。目前，我国的《个人信息保护法（草案）》已经进入向社会公开征求意见阶段，这部草案在个人信息保护实践等方面体现了一定时代进步性，但也应与时俱进，吸收经实践检验的合理内容。本文指出，产品规制模式的理论与实践经验，可以为我国个人信息保护提供有效借鉴与有力指导。从国际来看，积极发展面向未来、适应未来、适用未来的个人信息保护框架，也是充分发挥我国在该领域的后发优势的题中之义，更是我国谋求国际话语权的有效助力。

相关阅读

1.李一帆：个性化推送中的个人信息保护问题研究

2.许可、孙铭溪：个人私密信息的再厘清——从隐私和个人信息的关系切入

3.杨楠：个人信息“可识别性”扩张之反思与限缩

4.冯洁语：论债权让与中的个人信息保护

5.郑曦：刑事诉讼个人信息保护论纲

推荐书目

微信号 : DigitalLaw_ECUPL

探寻数字法治逻辑

展望数字正义图景

数字法治战略合作伙伴：理财魔方

北京市竞天公诚律师事务所上海分所