DigitalLaw_ECUPL探寻数字法治逻辑展望数字正义图景战略合作伙伴：上海中联律师事务所

从司法价值判断的属性出发，就可以理解人工智能司法应用的特殊性。目前，人工智能系统大致可以分为两类：一类是传统上基于规则的专家系统（rule-based

本文原载于《数字法治》2023年第2期。数字司法的导向模式与实现路径探究——以治理逻辑与内容创新为切入点文

首先，信息技术有助于新型审判组织形式的产生。传统的审判组织形式具有明显的地域性和空间性。随着信息技术的发展，审判的组织形式越来越脱离物理空间的限制而呈现出在线的特征。例如，智慧法院“利用

者王静，华东政法大学涉外法治研究院副研究员、中国政法大学在站博士后。引用格式王静：《ChatGPT技术嵌入智慧司法的伦理风险及其法治应对》，《上海政法学院学报》(法治论丛)2023年第4期。摘

作者：范明志（1970-），男，山东曹县人，法学博士，中国政法大学数据法治研究院教授、博士生导师，主要研究方向：数据法、民商法、司法改革。来源：《法学论坛》2023年第3期“特别策划·数字时代法治研究”栏目。摘要：数字技术与司法的结合，促使了智慧司法的发生发展。数字技术与司法相结合的基本逻辑在于数字技术确定性与司法法定性之间的对应关系，其已有成就突出表现在诉讼程序的数字化改造。然而这种对应关系能否延伸到司法裁判环节并促生人工智能法官？裁判不同于其他司法环节，其与数字技术的非对应性决定了人工智能法官命题蕴含了数字技术与司法关系的重重悖论。但是，由于司法裁判并非总是以“典型”方式存在着，人工智能仍可以为人类法官提供智能协助，或处理某些“类型化”案件，但这只是人工智能对自然人法官的辅助功能。在现有意义的法律“死亡”之前，智慧司法的推进不应只看数字技术提供的可能性，更要尊重司法自身被数字化的可能与需要，只有尊重司法规律才能促进智慧司法的发展。关键词：数字技术；智慧司法；司法的确定性；司法规律目次一、问题的提出二、数字技术确定性与司法法定性的对应关系三、确定性视角下人工智能法官命题中的悖论四、“非典型性”司法对人工智能的接纳空间五、结语：思考智慧司法的角度与更高的假设一、问题的提出

为方便阅读，省却注释。全文请参见《数字法治》2023年第2期，转载或引用请注明出处。数字法治是现代法治新形态文

次一、引言二、技术超越规则：刑事在线诉讼的实际境况三、技术支配规则：刑事在线诉讼的现实危机四、技术融合规则：刑事在线诉讼的完善进路五、结语一、引言

由上述案例可知，公开个人信息以及被害人同意情形下处理个人信息案件的处理在司法实践中是存在争议的。对此，本文在场景化法益观视角下予以分别阐释。

次一、人脸识别信息保护法律规制的现状及存在的问题二、人脸识别信息保护立法的理念三、完善人脸识别信息保护的实体法律规范四、优化人脸识别信息保护的程序性规范五、结语摘

数字全球化的价值与局限刘雪莲吉林大学行政学院教授，吉林大学东北亚地缘政治经济研究所所长本文原载于《世界社会科学》2023年第1期，转载对注释与参考文献进行了省略。提要数字全球化是一个以科技为核心界定的概念，它可以从两个方面来理解，一是以数字为手段的全球化，二是以数字为本体的全球化，目前的数字全球化更多地表现为以数字为手段的全球化。数字全球化在助力全球化发展、变革和创新全球互联互通方式、重塑全球价值链，以及使全球治理向着精准治理和差序格局转变等方面，凸显出重要价值。但是，数字全球化不能从根本上解决全球化中主体结构和分配结构的矛盾性，对全球治理也提出了大国竞争激化、数字安全问题凸显、规则差异性等新治理问题。总体来说，未来的数字全球化仍是在矛盾统一的进程中向前推进。

网络信息内容生态共同治理的法治保障赵泽睿上海交通大学凯原法学院博士研究生本文原载于《交大法学》2023年第3期，转载对注释与参考文献进行了省略。摘要：在平台革命引发的政府管理困境下，网络信息内容生态的恶化让网络平台公司参与治理成为全球共识。为了打破既有法律对网络平台公司积极管理的阻碍，中、美两国分别通过设立内容监管义务与创设法律责任豁免的改革方式，推动了网络信息内容生态的共同治理。但现有的法律改革仅仅止步于鼓励网络平台公司的积极管理，并未通过统一的法律规则协调政府与网络平台公司相异的管理模式，这导致了政府与网络平台公司之间的权力纷争。为了构建起支撑网络信息内容生态共同治理的法治体系，法律应当通过程序规则将网络平台公司的商业管理手段转化为正式的公共管理机制，并调整政府的管理职责和网络平台公司的责任认定标准，使得两者的管理模式能够运转自如。关键词：网络平台

法治监督业务知识化是全域数字法治监督的核心，是法治监督知识、经验的沉淀，是开展监督工作的范本，是全域数字法治监督系统中查询、推荐、分析、决策等功能的基础。（二）数据高效安全互联互通

DigitalLaw_ECUPL探寻数字法治逻辑展望数字正义图景战略合作伙伴：上海中联律师事务所

次一、数据确权：数据民法保护的基础二、数字合同：从控制权转移到利用三、人格权保护：从注重财产与交易到注重数字人格四、侵权责任法的发展：从有形财产到数字权益保护五、结语：制定专门的数据保护立法摘

数字经济时代我国数据犯罪刑法规制的挑战与应对杨志琼东南大学法学院副教授，法学博士本文发表于《中国法学》2023年第1期，因篇幅限制，注释省略。作者身份信息为发文时信息。内容提要数字经济时代我国数据犯罪的新趋势体现为大型场景下对企业公开数据的批量抓取、使用，由于当前我国缺乏成熟有效的数据访问规则，加之大数据反垄断的公共政策需求，使得我国数据犯罪的刑法规制面临新挑战。对此，应从数据犯罪保护法益着手，摒弃传统“计算机信息系统安全”法益，重视“数据利用安全”法益（可控性）对传统“数据安全”法益（数据保密性、完整性、可用性，CIA）的补强意义，确立以“消极防御+积极利用”为核心的全新“数据安全”法益。未来我国数据犯罪的刑法规制应建构“以权限为中心”的数据访问规则，并适时增加反垄断的公共政策考量，将获取企业公开数据的行为出罪化，以适应数字经济的发展需求。关键词数据犯罪

论数字时代的积极主义法律监督观胡铭浙江大学光华法学院教授、国家制度研究院特聘研究员本文发表于《中国法学》2023年第1期，因篇幅限制，注释省略。作者身份信息为发文时信息。内容提要积极主义法律监督观是以数字检察战略为指引，以检察权的国家法律监督权性质为基础，以数字检务实践为依托的一种新型法律监督理论。传统法律监督受监督范围和监督方式的限制，已经难以满足数字时代的新需求。积极主义法律监督观具有宪法依据，契合能动司法检察理念，有助于法治与治理能力现代化，且与传统法律监督方式并不抵牾。基于Z省S市的实证调研显示，积极主义法律监督观在实践中区别于传统法律监督，呈现出并行监督、类案监督、主动监督、有效监督等特点。积极主义法律监督观具有局限性，在数据平台建设、权利保障和权力冲突等方面存在风险，可考虑从法定主义和比例原则等角度对其进行规制，以推动新时代检察机关法律监督工作向纵深发展。关键词积极主义法律监督观

DigitalLaw_ECUPL探寻数字法治逻辑展望数字正义图景战略合作伙伴：上海中联律师事务所

数字法学的前提性命题与核心范式彭诚信上海交通大学凯原法学院教授本文发表于《中国法学》2023年第1期，因篇幅限制，注释省略。作者身份信息为发文时信息。内容提要数字法学是研究数字社会中可数字化之客体、行为及相关权利义务关系的学科。其前提性命题是数字社会的存在、对数据（含个人信息）的算法处理以及数字伦理对算法的约束，而作为数字社会物质基础的数据及其上的基本法律问题，如个人信息的客体属性、权益属性、权利归属等，构成了数字法学的核心范式。个人信息客体属性、权益属性、权利归属的复合性及基于算法的可计算性特征，决定了数字领域法律关系的多元性、法律救济的特殊性。数字法学的这些特征决定了不能简单将其定性并归入线下社会的某一部门法，而应定位为纵（公法、私法）横（国内法、国际法）兼具、横跨多个法部门的综合性、交叉性、融合性法学学科。关键词数字法学

刘兴华南开大学周恩来政府管理学院副教授本文原载《探索与争鸣》2022年第12期摘要：人类技术历史可以分为农耕文明、机械文明、电气文明、信息文明和数字文明五大时代。数字全球化开启了数字文明时代,赋予技术异于以往所有文明时代的新内涵。数字全球化具有全球互联、全局数字智能化、全球数字社会化三大特性,使纯粹的技术中立更加难以存续。“数字连接关系”是数字全球化时代技术中立的标准。越是深度触及“数字连接关系”的技术,技术所涉及的连接关系越具有群体性,越难以保持中立。技术决定论将数字技术引发的数字革命视为技术脱离人类控制并最终超越人类智慧的客观规律,是技术中立的代表性论调,从后果、目的等视角审视技术也可能产生技术中立幻象。数字技术发展的现实表明“数字连接关系”存在被干扰、扭曲和破坏的情形,对技术中立的侵蚀正在制造纷争和风险。追求霸权的国家、追求超限度政治利益的实体、追求超额利润和垄断地位的公司等是数字全球化时代技术非中立化的主要肇始者。关键词：数字全球化;技术中立;数字技术;技术文明;“全球化在数字工具驱动下已经重新校准。”当前，全球化正在与数字化交汇，海量信息和数据在全球范围流动，全球网络和数字平台将人、物和地理空间连为一体，全球服务数字化和全球货物贸易电子商务化的趋势日益凸显，数字化为人员的全球流动提供便利，社交媒体促成庞大的全球社会网络，数字产品广泛进入全球市场，公司融入新的数字化商业环境。何谓数字全球化？“数字全球化是指数字技术、数字媒介和数字公司驱动下的信息和数据流动，经济关系和生产方式的数字化整合，社会关系和生活方式的数字化联通，以及思想和文化观念的全球传播和重构。”数字全球化具有自组织性、创造性、自秩序性、自动生发性和空间多维性。数字技术是数字全球化的主要驱动力之一，技术中立攸关技术发展前景，因此探讨数字全球化时代的技术中立问题具有重要意义。从农耕文明到数字文明：时代观下的技术中立技术中立是指技术发展和应用按照自身规律演进，不受人的控制和左右。技术是没有价值取向的工具。技术进步推动人类社会发展，几乎贯穿人类生产生活的始终。因此技术中立问题牵涉范围甚广，对技术中立的理解呈现出视角和观点的多元化，主要包括技术的几大属性，即价值属性、因果属性、政治属性、设计属性和法律属性。技术的价值属性被诸多学者视为技术中立的判断标准，在此问题上争论最为激烈和集中。技术的价值属性主要涉及技术的社会目标和社会影响。兰登·温纳（Langdon

武汉大学法学院教授，法学博士本文载于《华东政法大学学报》2023年第1期转载对注释与参考文献进行了省略。目

贾宇上海市高级人民法院院长，原浙江省人民检察院检察长本文原载于《中国法学》2023年第1期，转载对注释与参考文献进行了省略。内容提要数字检察改革发轫于新时代科技革命，推动检察机关法律监督模式重塑变革，促进实现法律监督高质效，助力国家治理现代化。在理念层面，实现技术理性向制度理性的新跨越；在数据层面，实现被动监督向能动检察的新跨越；在平台层面，实现应用辅助向模式变革的新跨越；在赋能层面，实现个案办理向类案监督的新跨越；在治理层面，实现职能延伸向价值重塑的新跨越。为夯实改革机制并持续推进改革，需要建立高效工作推进机制，完善配套机制体制，构建理论、制度和话语体系，抓实数字检察人才队伍建设。关键词数字检察改革

基于信任的自动化决策：算法解释权的原理反思与制度重构4、蔡星月：算法决策权的异化及其矫正商品书目微信号

作者介绍：丁宇翔北京金融法院审判一庭负责人，三级高级法官，法学博士。证券发行交易场景下个人信息规则的适用约束与司法调适文｜丁宇翔

次一、从自然科学实验到社会科学实验：学术史的初步梳理二、数字法学研究为什么要引入实验方法三、数字法学实验研究如何展开四、数字法学实验研究的风险防控五、结语摘

苏宇中国人民公安大学法学院副教授。本文原载于《法学研究》2023年第1期，转载对注释与参考文献进行了省略。内容提要：伴随数字时代信息技术的高速发展和自动化行政的广泛应用，行政法中的正当程序模态正面临全方位的挑战。通过一系列制度方案，对包括行政相对人在内的社会公众予以全过程、全方位的赋能，是确保人在自动化行政过程中充分享有正当程序保障的关键。以赋能为核心旨趣，以提升人的信息能力和行动能力为出发点，技术性正当程序的既有实践和理论主张可被重构为一套理想化模型，这一模型具体包含全程参与、原理公开、充分告知、有效交流、留存记录、人工审查六方面内容。我国立法实践中已有不少能够体现技术性正当程序内在价值的制度设计，未来还需探索建立层次化的原理解释机制、标准化的记录留存机制、结构化的人工介入机制，形成技术性正当程序的完整制度方案。关键词：技术性正当程序；数字政府；自动化行政；智能决策；程序正义目录引言一、数字时代正当程序的危机与变革二、技术性正当程序的基本主张与赋能取向三、技术性正当程序的理想模型四、技术性正当程序的实定化：立法现状与完善路径结语引

*作者：李海平，吉林大学法学院教授。*本文原载《法学研究》2023年第1期第74-90页，转自“法学研究”公众号。内容提要：当前的个人信息国家保护义务理论，主张将个人信息纳入基本权利保护范围，并以个人信息国家保护义务为基础建立个人信息保护法律体系。然而，在概念表达上，该理论以“客观法”表征个人信息基本权的属性，错置了客观法与主观权利之间的关系；用“间接效力”指称个人信息基本权对作为私主体的信息处理者的效力，混淆了“效力”和“效果”的语义。在宪法解释方法论层面，该理论在宏观上具有的法哲学化解释倾向、在微观上对概括性人权条款的悬置处理，使其在宪法教义学上欠缺说服力。面对立法实践，该理论无力解释作为私主体的信息处理者何以承担公法义务。确立个人信息保护权利基础的二元结构，明确个人信息基本权积极面向的主观权利属性，适度延伸个人信息基本权的效力范围，并对国家保护义务内容作相应调整，是重塑个人信息国家保护义务理论的有效途径。关键词：个人信息保护；个人信息权；国家保护义务；间接效力；部门宪法目录引言一、个人信息国家保护义务理论的要义二、个人信息国家保护义务理论的困境三、个人信息国家保护义务理论的重塑结语引

点击上方“蓝字”关注我们吧作者：谢登科（1980-），男，湖北随州人，法学博士，吉林大学法学院教授，博士生导师，吉林大学理论法学研究中心、吉林大学司法数据应用研究中心研究员。来源：《法学论坛》2023年第1期“热点聚焦”栏目。摘要：企业在实施个人信息境外提供行为时，须建立完善的专项合规计划，否则既可能无法完成相关跨境业务，也可能因个人信息跨境流动违规而遭受行政处罚或刑事追诉风险。企业应以前提条件、目的条件、内部条件、外部条件为主体内容，构建个人信息跨境提供的专项合规计划。从前提条件来看，企业需要以可识别性、相关性等要素为基础有效甄别个人信息；从目的条件来看，企业须围绕“因业务等需要”的目的限定原则确立个人信息跨境流动的必要范围；从内部条件来看，企业需从自然人处取得对其个人信息向境外提供的有效授权，遵循“知情-同意”规则设置的各项标准；从外部条件来看，企业需结合自身类型等因素选择适用“安全评估”“个人信息保护认证”“订立标准合同”等法定条件。个人信息跨境提供的法律关系复杂、环节众多，企业在个人信息跨境提供专项合规计划中应任命专门的个人信息保护负责人，将其纳入合规管理部门，制定个人信息跨境流动的企业政策和内部规则，监督企业员工和境外接收方在个人信息跨境提供活动的合规性。关键词：个人信息；跨境提供；企业合规；知情-同意；个人信息保护负责人《法学论坛》2023年第1期（第38卷，总第205期）目次一、境外提供的前提条件：个人信息的有效甄别二、境外提供的目的条件：因合法业务所必需三、境外提供的内部条件：自然人“知情-同意”四、境外提供的外部条件：个人信息保护的多元价值结语

作者信息付玉明，1978年，西北政法大学刑事法学院教授、博士生导师，刑事法律科学研究中心主任，早稻田大学社会安全政策研究所客座教授来源本文原载于《国外社会科学》2022年第5期，转载对注释与参考文献进行了省略。摘要在智慧时代，数字技术的发展和滥用导致个人信息遭到史无前例的安全威胁，而个人信息的泄露又进而影响到人民的生活安宁和信息安全。作为重视个人信息保护的传统型社会，日本通过直接保护和间接保护两种模式实现对信息泄露的社会治理。其中，日本《刑法》第134条泄露秘密罪和《个人信息保护法》在特定主体的范围内对侵犯个人信息的行为进行直接规制；而日本《刑法》第133条开拆信封罪、第163条之四准备非法制作支付用磁卡的电磁记录罪等，则是在保护非个人信息相关法益情况下的间接规制。我国刑法修正后增设并完善了第253条之一的侵犯公民个人信息罪，形成了对一般主体侵犯个人信息的有效刑事治理。但不论是日本还是中国，对个人信息的保护都有继续完善和进步的空间，需要师襄彼此、互相借鉴，完善相关法律体系，加强对智慧社会中信息犯罪的社会治理。

蒋慧（广西民族大学法学院教授、博士生导师、广西民族大学民族法与区域治理研究协同创新中心研究员）本文原载于《法商研究》2022年第6期，转载对注释与参考文献进行了省略。目次一、问题的提出二、平台治理的困境及其成因三、平台治理的视角转向与理论更新四、平台治理体系的理据及其展开五、破解平台治理困境的法治化进路六、结

本文原载于《中国应用法学》2022年第6期，转载对注释与参考文献进行了省略。高富平华东政法大学法律学院教授，博士生导师，互联网法治研究院院长。基于规范目的的个人信息治理规则文｜高富平

次一、问题的提出二、涉第三人信息的现行解决方案三、权利冲突视角下涉第三人信息规则的证成四、结语摘

Principles），要求数据交易必须在可控安全的范围内进行。在美国数据交易流程中，主要以构建设立“信用许可”体系来进行数据交易，例如在美国设立有专门独立的专业第三方机构数据经纪人（Data

诚信原则：个人信息保护与利用平衡的信任路径2.王叶刚：企业数据权益与个人信息保护关系论纲3.徐可：数字广告市场中个人信息保护与竞争规制的协调商品书目微信号

万元赔偿标准，在一些案件中仍然存在不足以填补受害人全部损失的可能。2.损害价值难以估算从经营者角度，数据是互联网企业经营之本，其重要性显而易见。根据著名的梅特卡夫定律（Metcalfe’s

从侵权法的威慑与治理功能出发，现代侵权法在产品责任等侵权制度的设计上已经发生了很大变化。在个人信息侵权之诉中，损害界定、归责原则、因果关系、救济措施等制度也应进行重构。（一）损害界定

作者简介：巫文勇，江财经大学法学院教授，博士生导师。文章来源：《法律科学(西北政法大学学报)》2022年第5期摘要：互联网平台金融的多节点、快速化和虚拟性，开启了较传统金融更多的危险源，而“新危险源的开启、预防和控制”则需要与之相对应且更为严格的信息披露法律规范。国家加强对互联网平台金融的监管，标志着我国理论和实践对互联网平台金融的批判和改革，但不应该简单地将其理解为对互联网平台金融内在价值的全面否定，而应该视为对互联网平台“金融脱媒”“信息配置”“风险分配”“有效市场”和“理性市场”过度解读的反思和检讨。批判与改革是金融创新过程中的新常态，互联网平台金融的试错、纠正、完善和发展与新金融监管立法并行不悖。当务之急是，纠正长期以来互联网平台金融领域中的去监管化思想，将其纳入大金融监管范畴，完善信息披露制度，在创新与规范、安全与效率、制度刚性和操作弹性之间，合理界定市场主体信息披露边界和责任，建立与互联网底层技术相适应的信息披露侵权判定标准和法律责任承担机制。关键词：平台金融；信息披露；边界界定；侵权认定；责任承担互联网平台金融的本质特征在于，通过互联网搭建一个虚拟交易平台，为所有金融需求和金融供给的个人或机构提供自我搜寻和匹配机制，把集中式匹配转变成网络分布式“点对点”交易模式。学者普遍认为，互联网平台金融的开放、包容特性，耦合了普惠型金融应该具备的要素，顺应了金融创新和数字经济发展的趋势，简化了交易流程、提高了金融效率，降低了金融交易和监管成本，“实现了支付清算和资金融通等领域内的信息对称、金融脱媒及降低信用风险的目标”。因为，互联网平台金融是一个零成本的交易世界，不论如何选择法规、配置资源，无论将权力初始配置给哪一方，总会产生高效率的结果。但是实践证明，理论结论与我国互联网平台金融现实结果严重相悖。我国互联网平台金融在践行金融脱媒、繁荣金融的同时，建立在网络传送、电磁符号基础上的互联网平台金融既没有实现信息的充分对称，也未能降低信用风险，反而产生了较传统金融更为严重的“信息欺诈”和“道德风险”，增加了金融市场的脆弱性和风险传染性。因此，互联网新科技在给金融市场增权的同时，也需要国家对金融科技带来的信息披露秩序进行规范和监管。一、互联网平台金融信息强制披露的法经济学基础（一）互联网平台金融信息强制披露的经济和技术逻辑理论界认为，互联网金融平台机构具有较传统金融机构更强的信息收集、信息整理、信息发散和信息风险分摊能力，能够通过大数据信息系统、互联网和云计算等技术，实现支付清算和资金融通等领域内的信息对称、金融脱媒及降低信用风险等目标。但客观结果是，因为其底层技术的网状结构和多节点，以及金融数字化快速交易，整个互联网系统成为信息发散地，在提高信息扩散能力的同时，也形成了新的风险传播源，还会因为互联网平台金融的有限匿名和非接触性交易增加信息不对称风险。1.“有效市场假说”与互联网平台金融形态的悖论。互联网平台金融是在“开放、平等、协作、分享”的思想指导下，依托社交网络、数字货币、大数据和云计算等新科技，实现资金融通、货币支付结算和金融信息中介的新金融服务模式。建立在互联网虚拟平台之上的互联网平台金融，虽然其金融行为的嵌入形式、内容和结果相较于传统金融发生了重大转变，但是其金融本质并无变化且风险犹存，当然也没有按照理论推导实现“信息对称和风险分配”。互联网平台金融模式甚至还因为“网络链接、多节点交易和数据流的快速传播”而增加了风险的隐蔽性、传染性、广泛性和突发性，并因此产生新的信息操控和欺诈。也即，在经济学理论中长期秉持的“有效市场假说”并没有在这一领域中真正实现。诸多学者将互联网平台金融没有成为一个“有效市场”，归因于我国“以严刑峻法管制金融交易，为投融资主体设置了难以逾越的市场壁垒，大大降低了投融资参与者数量”。然而，实际情况则与此论断相反。我国对互联网平台金融设计了一种最低层次的监管。低层次的行为规范和监管标准，客观上造就了我国规模庞大的互联网平台金融市场、良莠不齐的互联网金融平台机构，引发了随之而来的不正当竞争和金融欺诈，最终导致了这一市场的乱象和坍塌。缺乏监管、过度自由的互联网平台金融市场不仅未能实现“有效市场假说”或证实“理性市场理论”，其价格也未能充分反映历史和现实信息，反而产生了较传统金融更加严重的信息不对称、虚假信息和信息欺诈，并因此孕育了互联网平台金融的巨大风险和现实危机。保罗·萨缪尔森（1965）和尤金·法玛（1970）等经济学家认为，要真正成为一个有效市场，“需要保证市场信息如价格信号等始终具有相同精确度并能传递市场参与者的真实信息，但这又以低市场准入且进入者可获得相同信息为条件”。理论和实践都证明，“有效市场”的实现必须具备三个条件：一是市场参与者人数众多，即市场对全体具有意愿的机构和人员开放，法律不会为了限制某些主体的市场进入而额外设置条件;二是投资者是理性的、完全的经济人，他们有能力对自己所进行的经济行为和交易决策作出合理的价值与风险评估，并有承担风险的责任能力;三是市场参与者能够通过恰当而便捷的途径获取市场交易的必要信息，而且这种信息不存在虚假、误导，即使偶尔存在劣质信息也能通过市场消除并有法律纠偏机制及时加以纠正。但实际情况是，我国互联网平台金融市场除了具有众多的金融平台机构和交易者外，其他两个条件均处于“非正常”状态。由于市场参与者的“低金融素质”和“非理性心理”，以及普遍存在的“信息不对称”和“信息虚假”，加上法律未能为信息弱势方的信息获取提供有效的制度帮助，使得互联网平台金融无法具备“有效市场假说”的基础性条件。我国互联网第三方支付的垄断和平台借贷的坍塌，反映出互联网平台金融与“有效市场假说”的悖论。立法和监管机构的无为而治方略与理念，客观上助长了我国互联网平台金融市场的风险，损害了金融消费者和投资者利益，反之也证明了对包括信息披露在内的互联网平台金融监管的重要性。2.“信息偏在”与互联网平台金融形态的趋势耦合。“信息偏在”是经济学的一个重要概念，意指由于市场主体地位、信息获取能力不同而形成的信息不对称状态。“信息偏在”是市场经济中的一种常态化现象。“理论上，科技的发展应当使得信息的收集和披露更加经济和便利，从而消弭交易主体的信息不对称，但实践中却往往并非如此，甚至可能出现相反的结果。”互联网平台金融耦合了个人和机构所拥有的互联网、移动互联网设备，并形成错综复杂的金融网状结构，任何个人、经济或社会机构、金融企业和政府部门都可成为其网络中的节点，相互之间产生直接而广泛的金融联系。但是任何技术的发展均有两面性，多节点、高密度的互联网在快速传递信息和解决金融市场信息不对称问题的同时，也会因为多节点、远距离的“非接触式”资金融通、金融交易，以及数字货币转账划拨，或电子存储器“点对点”的接触式离线支付，产生较传统金融更为严重的信息不对称。第一，匿名性和假名化提高了市场信息偏在的可能性。网络虚拟性为匿名性和假名化交易提供了技术基础。因为，互联网平台金融摒弃了传统支付结算、金融服务使用的现金支付、纸质票据清算模式，转而借助数字货币、电子票据和网络传送，以提高金融效率和金融发散效应。互联网金融平台的虚拟性和智能化特征，使得顶层制度设计更关注“公开源代码、算法审核、程序普遍性、数据主体的算法解释权、伦理嵌入等”，客观上减损了接入主体的真实身份要求和查证。市场主体参与互联网平台金融的目的是增加金融可获得性的广度和深度，因此在追求金融结果的同时，也更注重金融消费和投资过程的便捷性。所以，融投资者和金融服务需求者基于各种理由具有匿名性和假名化的现实动机。互联网平台金融的匿名性和假名化技术基础无法因实名制立法而彻底改变，也无法保证市场参与者身份的真实性、签约主体的适格性，以及所披露信息的真实性和合法性，容易产生包括非法披露信息在内的金融欺诈，以谋取非法利益。因此，建立在互联网基础上的计算机和其他移动电子设备终端在为全民提供交往性和互动性信息通信的同时，也成为社会风险的构建站。“每一个金融风险信息的网络接收者同时成为传递者，通过自身在网络上各种关系进行再传播的同时也参与了风险的网络社会构建过程，在不自觉中充当了风险放大的个人放大站。”第二，非接触性交易减少了信息披露的市场自发约束。互联网平台金融通过互联网和移动互联网将诸多分散的计算机、移动电子终端设备连接起来，形成相互隔绝又相互连接的金融网络，以及远距离、多节点和非接触性交易模式。其虽然以网络为载体能增加信息传送能力，但是又有如下弊端：一是会因为互联网平台金融的虚拟性、非接触性和参与者的匿名性特征而增加市场纪律制裁难度，所以为了避免“信息披露博弈”产生的交易成本和负面溢出效应，市场参与者更愿意降低信息披露的范围和等次，或进行“报喜不报忧”的单边披露;二是在互联网平台金融形态下，“相交不相识”的后果缺乏传统集群模式下的“人际实在感”，网络虚拟性使得市场参与者无须承担“熟人社会”场景下的道德责任或信用责任，激励了信息不披露或不恰当披露的积极性，从而减损市场对信息披露的约束，助长信息披露欺诈。（二）互联网平台金融信息强制披露的经济法理论基础“复杂的社会网络加速了信息在金融市场成员之间的共享程度，信息的广泛共享能较好地克服信息不对称问题，并由此解决交易中普遍存在的信任问题，降低‘道德问题’”和逆向选择。但是理论结论仅仅是一种良好的期望，而现实表现则可能与之截然相反。金融的本质决定了互联网平台金融具有不完全竞争的市场特征，享有信息优势的融资者群体和金融平台机构缺乏信息全真披露的激励，真实而完全披露具有偶然性，不完全或虚假披露则为必然和常态。如果没有完善的“规范群”加以约束，完全依赖市场竞争机制的出清，必然会引发虚假信息披露导致信息欺诈，损害金融消费和投资者利益并增加金融风险。解决这一问题的基本途径是，通过国家公权力的介入，依循金融本质的信息与信用风险的关联结构，将信息披露作为金融风险的规制逻辑，以金融消费和投资者利益保护及金融市场稳定为目标，充分发挥信息工具的核心功能。第一，信息强制披露可以弥补虚拟金融平台的内在缺陷。虚拟性决定了互联网平台金融交易的特征：一是不再基于现实场景面对面的互动，身份证明也脱离了纸质证件，而是通过数据信息、密码钥匙进行身份确认和信用验证;二是金融交易的标的物——货币和金融产品也不再局限于现钞、铸币和纸质证券，而是更为广泛意义上的数字货币和数字化金融产品;三是金融交易平台和通道的虚拟性，使得传统实体金融交易场所和物质载体式的权属转让，转化为网络虚拟平台交易、数据流量传送、数字产品权属认证和登记。上述特征决定了在虚拟金融平台上发生的交易是一种新的信用集合，交易者或消费者、投资者的交易决策更加依赖信息的获得和对信息的判断结果。信息的公正、充分和透明，决定了交易风险的存在及大小，并构成与资本不足风险并存的另一种基础风险——透明度风险。这种风险与传统金融风险存在以下几个方面的差异：（1）源于互联网平台金融交易的多节点而使得信息风险具有多发性和风险爆发节点的偶然性;（2）以互联网为载体、数据流为表现形式的信息风险危害性较传统金融风险更为广泛，结果具有不可逆性;（3）金融交易的匿名性和虚拟性增加了信息风险控制难度，也使得信息披露违法更加技术化、多样化、便捷化，法律责任认定更加复杂化。为了适应以互联网为代表的金融科技给金融业带来的巨变，信息披露立法和监管也应该与时俱进，改变业已形成路径依赖的看守式、规则式信息披露立法和监管模式，建立数据嵌入式的强制性信息披露法律和监管规则，以弥补虚拟金融平台信息自动披露不足和数据失真的缺陷。互联网金融平台的虚拟性需借助模型、算法、机器学习、高级计算的人工智能技术实现信息披露、风险管理、消费和投资者权益保护，采取“以云计算、区块链、人工智能、大数据等技术基础的数字化监管工具，更新基础设施、更新监管理念、丰富监管手段、提升监管效果”。互联网平台金融的数据流、非接触式和快捷化交易特征，要求信息披露监管和法律责任的落实从实体和虚拟两方面考量，以实补虚，以信息强制披露完善金融平台的虚泛结构。在此基础上，“审视其结构、功能、运行，以及其中的诸如智人主体、算法规则、代码、互联网、大数据、区块链、时空矩阵、信息黑洞、决策困境等一系列关键点，试图梳理其可能遭遇的法律化问题，并对勘现实世界的法律化，以获得对于这个虚拟世界的某种可资借鉴的认知”。第二，信息强制披露可以减少低标准市场准入的负面效应。互联网平台金融的普惠性行业发展理念要求将其打造成一个低准入标准的金融场景，以便为民众提供便捷、高效、低成本和多样化的金融服务。但是，低市场准入标准难免鱼龙混杂，导致出现较传统金融更为严重的信用缺失，因此需要通过立法为金融消费和投资者增权，以此实现市场信用可判断和可预期，而不是坚持“监管最少，则为最好”的自由放任市场逻辑和监管理念。但是，信用风险和产品价值判断所要求信息的“准确、及时、合法和可获得”，不能依靠良莠不齐的金融平台机构和融资者主动实现，而是要求金融监管者立规，并以矫正信息不对称的姿态介入，严格要求以金融平台机构为代表的市场参与者遵照执行，纠正非法和不恰当的信息披露，并对错误信息披露进行法律追责。互联网平台金融的出发点在于以新金融科技替代传统金融中的资金和实体平台要求，构建一种轻资产的新型金融服务形态，通过技术创新变革金融服务模式以满足社会经济发展需求。金融技术创新有可能减轻金融风险或转化金融风险的存在方式，但不能消除金融风险，因此包括信息强制披露在内的金融监管将长期存在。在将金融市场准入、市场行为和市场退出视为监管总量且恒定不变的情况下，由于退出监管固定不变，所以市场准入和市场行为监管存在此消彼长的替换关系。立法在降低互联网平台金融市场准入标准的同时，为了夯实金融消费和投资者的信心，为他们提供客观真实的交易价值信息和信用评估标准，有效对冲金融平台机构和市场参与者行为能力不足的风险，强化信息披露监管是其逻辑必然。其中，互联网金融平台机构作为交易平台提供者和交易接口设置者在“开启危险源”后，则负有“危险告知义务”并承担不履行和错误履行该等义务的法律责任。第三，信息强制披露可以降低“道德风险”和“逆向选择”的发生概率。互联网平台金融并不是真正的“有效市场”，市场参与者也非“理性经济人”，新科技元素的加入不会消灭其“道德风险”和“逆向选择”，反而会因为数字货币和金融产品数字化特殊形态，以及互联网虚拟化交易增大风险。在互联网平台金融中，融资者利用线上非接触式交易、远距离数据传递方式，基于欺诈目的或在无偿还能力的情况下，以支付高额回报为条件募集资金，以此形成“道德风险”。然而，金融消费和投资者在缺乏准确、充分和有效信息评估投资风险，或在虚假信息误导下，容易错误地将资金投向出价高但无实际回报或无偿还能力的融资者，或购买质次价高的金融产品而形成严重的“逆向选择”。“道德风险”和“逆向选择”是金融市场的基础性风险。虽然多数研究者认为：“信息工具在解决互联网金融信用风险方面的源生性，恰与互联网金融在信息供给上的便利性契合，这与金融‘信用与安全’的基本逻辑一脉相承。”但不论是金融本质问题中的信用风险与信息的关联结构，还是对信息优势方和弱势方之间分配规则制定权的逻辑检验等问题，互联网平台金融现有技术都未能很好地加以解决。因此，要真正地降低或消灭互联网平台金融交易中的“道德风险”和“逆向选择”，必须建立披露责任人的信息义务和法律责任规则。因为，互联网平台金融本质决定了金融自我发展必须契合法律的制度逻辑。一种金融模式的创新和一个完善金融市场得以真正建立和发展，必须具有规范信用风险的基石，即能够形成秩序的“制度集群”。换言之，通过法律立规，并强制已经发生的信息披露欺诈者承担法律后果，借此威慑潜在的欺诈者以杜绝信息披露违法犯罪;扶正互联网平台金融外在形象，为金融消费和投资决策提供真实的判断信息，只有这样才能控制“道德风险”和“逆向选择”。二、现行互联网平台金融信息披露立法和制度评价（一）互联网平台金融信息披露立法位阶和制度特征“金融法作为一门监管的艺术，自应不只死板地坚持现有的监管规则，统合金融法的相关价值和理念，充分利用包括人工智能、大数据等种种科技给我们带来的便利，真实实现服务实体经济、金融安全、金融消费者保护等多重目标，使金融法真正能为相关目标服务。”但遗憾的是，我国对于互联网平台金融的性质、结构、机制以及由此引发的一系列金融和经济法律制度变异，无论理论还是实践都缺乏深刻的认知，更没有令人信服的妥善应对。当然，这既有互联网平台刚刚建立，也有盲目套用既有理论错误解释的原因。但是立法的滞后，客观上造成了我国“金融科技创新业务要么因为无恰当的规则可以援用，或者无监管机构监管，处于放任自流状态而导致风险不断积累;要么到后来发生严重风险时，不得不被监管机构严格限制或者禁止”。第一，互联网平台金融信息强制披露立法层级过低。法律层级的高低取决于立法时国家社会经济发展和法治环境，拟立法调整对象的重要性和国家对其干预的目标以及便捷性要求。立法层级的高低也会影响法律规则的规制效力、执行程度和实施效果。目前，除了股权平台众筹还未制定专门性监管规则外，其他几类互联网平台金融均存在名目不同、效力各异的“管理办法”或“指导意见”。但是，由于现有立法均为政府职能部门的行政规章或指导意见，与完全意义上的法律差距较大，因此客观上造就了我国现阶段互联网平台金融信息披露的不完善和市场乱象。我国互联网平台金融的低层级立法，不仅使得其与其他相关金融行业立法层级错位，而且还引发了不同金融领域立法目标失衡，导致法律规范之间的冲突和制度执行效力低下。法律的权威性和执行力取决于立法层级的高低，互联网平台金融的部门规章特征表明：一是政府精英推出的代表部门利益的“管理办法”和“指导意见”是一种行业性管理制度，规则制定者在建立这些制度和制定具体规则时，不可避免地会从部门自身利益出发设定立法目标，谋求部门利益和规则制定者价值最大化;二是“管理办法”和“指导意见”的管理性特征，使得规则制定者更关注互联网平台金融行业监管需要和管理的便捷程度，“博弈和俘获”问题影响立法者的立法动机和制度执行结果，单向管理性立法思维定式难免会导致立法者视野狭隘，不可避免地会引发各种部门规章的冲突;三是监管机构自己立法、自己执法、自己监督的“管理办法”和“指导意见”制度规则体系，使得其规则制定者存在对本部门规则反复修改的心理激励，僭越规则界限成为常态。另外，部门规章的低层次效力，同样也难以约束其他政府部门，各部门都有可能为了自己的利益诉求突破规则界限。第二，互联网平台金融信息强制披露规则错位。“互联网金融的应景下，资金流动的电子数据化已是一种‘革命性’的时代潮流。虽然从最密切利害关系看，保证交易资金安全是消费者责无旁贷的责任。但是在技术、信息、人力非对称关系下，确保交易资金的非风险性更是涉事平台机构的职责所在。”由于立法指导思想错位，我国互联网平台金融信息披露立法除了位阶低，缺乏应有的约束力外，还未能突出新金融技术场景下对金融消费和投资者利益的保护，将法律规则集中在金融平台机构和融资者的资产负债、信用状况和偿债能力等信息披露上，未能围绕在“信息披露要求反映金融市场对透明度这一核心要求的规则制定上”。金融消费和投资风险以及金融产品价值判断的关键信息强制性披露要求不足，如未能强调：（1）金融平台机构动态财务状况和偿债能力变动信息;（2）融资者资金投向、关联交易、经营业绩和偿债能力动态变化状况;（3）金融产品存放和资金第三方托管安全性变化情况。虽然金融和互联网、数字货币的耦合，造就了更为广泛的公众参与性和金融互惠性，但也因为其多节点、远距离的网状交易特征、数字货币的快速流通、数据信息流的广泛扩散而放大了金融风险和危机，使得信用风险也更聚焦于信息不对称和披露制度供给不足的风险。由于理论研究不透、实践经验不足，加上国外可供借鉴的立法经验不多，使得我国现行互联网平台金融信息披露立法聚焦不准，静态披露多于动态信息公告;信息披露规范关注的是一些常规性指标，偏离了互联网平台金融“新科技+金融”双层风险叠加特征，而且规则之间相互矛盾甚至出现逻辑悖论，客观上影响了信息披露法律制度的衔接和协调。低层次且错位的互联网平台金融市场信息披露规则，“不但无法平衡资本形成与投资者保护的天平，反而阻碍资本形成，并因此受限于信息缺失，而在与融资者和中介机构的博弈中处于劣势”。（二）互联网平台金融信息强制披露制度供给的问题“一部金融发展史，就是一部科技进步史，金融业和金融监管始终跟随着科技创新的步伐不断发展。”遗憾的是，自互联网在我国被结合到金融领域开始，理论界就为其贴上“有效市场”和“理性市场”的标签，忽略了互联网平台金融的“互联网、商事和金融”三重特征，并因此而产生虚无主义认知，使得相关立法未能跟上以互联网、云计算、人工智能、深度学习、高级数据分析、区块链等为代表的新科技在金融领域的深度应用，导致金融立法与新金融科技发展步速的错乱。1.互联网平台股权众筹信息强制披露立法缺失。迄今为止，互联网平台股权众筹尚未制定包括信息披露在内的行为规则和行业监管标准。在股权平台众筹实践中，各众筹平台机构均参照现行《公司法》和《证券法》的相关规定，根据平台机构自身经营和发展战略，量身定做符合平台机构自己利益诉求的自律性信息披露规则。其要求融资者：“提供相应的项目介绍或商业计划书，对于公司是否成立无硬性要求，对公司的组织架构、财务状况、管理层信息等更无统一的披露要求。”由于没有法律或其他具有强制执行效力的制度规则对互联网平台股权众筹的信息披露格式、标准、内容、期间和权利、义务、责任进行统一规范，所以形成了我国目前不同的股权众筹平台，甚至同一股权众筹平台上不同项目公布的信息在多寡、内容和侧重点等方面互不相同的局面，从而造成各股权众筹平台信息披露“粗糙、量小、不规范、欺诈”等普遍现象。2.互联网平台借贷信息强制披露核心内容遗漏。我国互联网平台借贷监管行政规章《借贷信息管理办法》和《借贷信息披露指引》等，对平台借贷行为设置了较为详细的信息披露范围和标准，但也存在诸多关键性内容遗漏和缺损：（1）法律概念界定不清晰，涉及借款人关键性信息披露要求不具体、不周延，遗漏核心信息要素。例如，“用户信息”概念的边界不清、含义不明，无法判断“用户信息”是否包括“用户的家庭财产、家庭和个人收入、家庭和个人负债”等。（2）借款人信用信息披露范围设置过窄，未能涵盖可能影响借款人偿债能力的全部金钱和非金钱债务。例如，未要求披露借款人的“银行、非银行金融机构和其他民间经营性或生活性借款信息，或其他已经发生或即将发生债务的信息”等。（3）借款人的“行为能力”信息披露缺失，如未将借款人的精神状况、是否列入失信人名单，是否为金融监管机构规定的某些市场禁入者，以及是否存在其他信用污点等强制规定为必须披露的信息。（4）信息披露格式、信息要件、数据标准和披露期限不明晰。3.互联网第三方支付和小额贷款信息强制披露规则不完善。我国《支付管理办法》《支付实施细则》规定，互联网第三方支付机构应公告“收费项目、收费标准和合同格式条款”“电子支付业务品种、操作程序和电子支付交易品种可能存在的风险”。在此基础上《网络支付管理办法》进一步要求，互联网第三方支付机构应当向客户充分提示互联网支付业务的潜在风险，及时揭示不法分子新型作案手段，对客户进行风险警示;第三方支付机构应在网站上对外公告年度风险事件、客户风险损失发生和赔付等情况，并在年度监管报告中如实反映上述内容和风险准备金计提、使用及结余等情况。但是，上述规定仅为宣示性、概括性和原则性规定，严重缺失事关金融平台机构的行为能力、经营行为、金融消费和投资者保护的信息披露程序与实体规则。主要表现如下：（1）第三方支付平台机构的资产负债情况、现金流量、利润损益和所有者权益变动信息披露要求;（2）风险管理信息数据，如客户备付金存管、资金使用情况、风险准备金提存、备付金利息收入和存管银行风险的信息披露要求;（3）第三方支付平台机构的公司治理信息，如股份持有情况、高管人员变化、机构重大决议，以及其他重大事项信息披露要求;（4）客户权益保障信息，如历史客户损害赔偿、纠纷解决情况，以及其他年度重大事项、临时事件信息披露要求等。与此相似，《转型指导意见》也仅概括性地要求“建立健全信息披露制度，积极保护客户商业秘密及消费者合法权益”。（三）互联网平台金融信息披露违法责任制度述评“目前，我国金融法的立法质量还不高，存在大量的重实体、轻程序现象，缺乏法律责任的‘宣示性条款’和‘授权性规范’处处可见。”由于立法空白与缺漏，互联网平台金融缺乏类似我国《证券法》规定的信息披露法律准则，因此也无信息披露违法和信息欺诈法律责任承担规则，更没有要求金融平台机构和融资者董事、监事、高级管理人员“保证所披露的信息真实、准确、完整”的强制性要求。我国现行法律制度缺乏虚假记载、误导性陈述或者重大遗漏致使金融消费和投资者遭受损失的赔偿责任和连带赔偿责任的“刚性披露”责任追究机制，使得信息披露仅为互联网平台金融监管的“软性”要求。不恰当的立法模式和规则表述客观上促使了互联网平台金融信息披露违法犯罪行为的频繁发生。1.互联网平台金融主体信息披露违法后果不明。我国《借贷信息管理办法》为借贷平台机构设置了诸多信息披露禁止性规定，如不得“违法推介项目”，不得“虚构、夸大融资项目的真实性、收益前景，隐瞒融资项目的瑕疵及风险”，借款人则不得“在网络借贷信息中介机构以外的公开场所发布同一融资项目的信息”等。但是，如果借贷平台机构或借款人违反《借贷信息管理办法》进行信息披露，出借人根据该信息进行价值和风险判断后与之签订交易合同，其法律效力如何认定则无具体规定。我国《民法典》第153条规定：“违反法律、行政法规的强制性规定的民事法律行为无效。”由于《借贷信息管理办法》仅为部门规章而非《民法典》规定的“法律或行政法规”，所以违反“管理办法”并不会导致互联网平台借贷交易合同无效，但却会在逻辑上形成两难选择，因此产生法律悖论。如果认定其有效，则违背了《借贷信息管理办法》的立法本意，因为金融监管规则的公法性质必须保障其无条件遵守，而非选择适用任意性规范。2.互联网平台金融主体信息披露违法责任不清。互联网平台金融信息披露违法行为的事后处置，重点在于追究信息披露违法犯罪行为的民事、行政与刑事责任，其意义主要体现为风险控制，以及从金融稳定的角度出发挽救问题平台机构和补偿金融消费及投资者损失，避免个别金融风险引发系统性金融风险和社会风险。但是，我国现行各种部门规章对互联网平台金融主体的信息披露违法责任规定十分模糊。以《借贷信息管理办法》为例，该管理办法规定：“网络借贷信息中介机构违反法律法规和网络借贷有关监管规定，有关法律法规有处罚规定的，依照其规定给予处罚。”此等援引性条款仅是一种象征性的法律责任规范，缺乏实际应用价值。因为，互联网平台金融是一种以新科技为底层技术的创新型金融形态，在此过程中会产生诸多原有金融法律中没有的信息披露违法新形态，并形成新的违法构成要素、认定标准和法律适用规则。但是，《借贷信息管理办法》等部门规章对此缺乏清晰明确的权威性规定，使信息披露违法行为无法得到有效的法律责任追究，严重降低了相关制度规则的权威性和执行力。3.互联网金融平台机构违法责任震慑力不足。我国《借贷信息管理办法》规定，借贷平台机构违反法律法规和有关监管规定，如果现有法律法规未做具体处罚规定的，可由所属地方金融监管机构“采取监管谈话、出具警示函、责令改正、通报批评、将其违法违规和不履行公开承诺等情况记入诚信档案，以及给予警告、人民币3万元以下罚款”。依此规定，除有据可循的信息披露违法行为可按照现有法律法规处罚外，更多建立在互联网、数字货币和智能技术基础上的信息披露违法、严重损害投资者利益、危及金融安全的行为，由地方金融监管部门采取“监管谈话、出具警示函、责令改正、通报批评和进行不诚信记录”等行政处罚。上述处罚规则貌似周详，但实为空谈，缺乏基本的威慑力。因为，“少则几千万，多则上千亿”的违法犯罪金额，严重危害社会经济安全，而仅由地方金融监管机构“采取监管谈话”“出具警示函、责令改正、通报批评”或“将其违法违规和不履行公开承诺等情况记入诚信档案并公布等”或“给予警告、人民币3万元以下罚款”等，严重违反权、义、责相匹配的立法基本原则。过低的违法犯罪成本，客观上助长了互联网平台金融市场的信息披露违法犯罪行为，加剧了市场乱象。三、互联网平台金融信息强制披露的边界和立法改进（一）互联网平台金融信息强制披露的基本原则对互联网平台金融“有效市场假说”的过度解读，使得我国信息披露立法和监管双重缺失，引发了我国互联网平台金融市场的混乱乃至信用坍塌，因而需要在理论上正本清源，在法律上予以改进。强制性信息披露作为互联网平台金融的主要监管措施，通过对金融平台机构和金融交易相关方财务资料、信用状况和其他经营数据的公开，使金融消费和投资者能够对产品与交易作出恰当的价值和风险判断，防范金融欺诈，保证其合法权益不受侵犯，并以此维护金融市场稳定。其中的关键问题是，“政府应该把重心放在框架结构上，建立一个总的原则”，恰当地界定信息披露范围。因为，过分宽泛的信息披露不仅会增加交易成本，而且会形成金融抑制，违背互联网平台金融建设初衷。然而，过于狭隘的内容和边界又难以杜绝信息欺诈，不足以保护金融消费和投资者利益。所以，互联网平台金融的信息披露边界、责任范围的设置在遵守“全面、真实、准确、及时和合法”等传统信息披露要求外，还应该坚持若干新金融信息披露原则。1.信息披露范畴与风险程度相对应原则。“互联网平台金融与传统金融最本质的区别就在于无处不在的连接点，其产品和服务常常表现为多主体、多层次、多环节的资产叠加和技术叠加。”因此，在确立信息披露作为互联网平台金融监管基本哲学和核心内容后，应该针对其底层技术特征突破传统的信息披露内容和维度，确定一种与其技术结构和风险逻辑相吻合的信息披露范式。新科技构建了活跃而富有生机的金融社团空间，实现了信息的爆炸式增长，但并非所有数据信息都应该披露。因为，信息超载披露不仅无助于金融消费和投资的价值判断，还会阻遏信息接收者作出正确判断。所以，信息披露立法应该根据互联网平台金融底层技术、风险范围、风险种类和特征，设置边界合理、内容恰当的披露制度规则，以提升风险识别的准确度和风险防范的有效性，确保信息披露的范式、程度与互联网平台金融的风险传递形态相一致。2.特定信息披露与金融消费和投资者保护相结合原则。完善的信息披露技术和制度，有助于披露义务人生产信息和使用者收集信息、利用信息，减少信息不对称，形成良好的市场预期，促进互联网平台金融的风险分散和价格发现，保障金融消费和投资者权益。但是，在互联网平台金融中，金融行为的高度技术化特征导致了信息的垄断和操纵，过度复杂的金融科技加强了信息壁垒，引发信息受阻和传递失灵，使得金融消费和投资者利益受损。所以，互联网平台金融信息披露立法不仅要秉持“金融消费者保护”的一般理念，而且应该在此基础上进行针对性关注和改进，重点关注和披露金融科技对金融消费和投资者产生负面影响的信息数据，围绕互联网平台金融底层科技风险信息公开以保障金融消费和投资者利益。3.信息强制性披露与自愿披露相结合原则。强制性信息披露是世界各国金融监管立法的普遍原则，也是互联网平台金融信息披露的基本要求，其目的是通过强制披露弥补金融消费和投资者信息获取能力的不足，确保金融消费和投资决策信息的真实性和可获得性。强制性信息披露的内容选择或边界范围主要围绕金融消费和投资者利益保护、互联网平台金融市场的稳定和安全，“注意效率、结构性完整度、安全性、透明度、可得性和合规性等方面的目标”，重点关注对金融产品价值和风险判断至关重要的财务数据、经营状况和信用能力信息。除此之外，金融平台机构和融资者基于自身形象、投资关系、诉讼风险回避考量等，还可以选择性地披露可能影响金融消费和投资决策的其他信息。因此，互联网平台金融信息披露立法，应该秉持强制性和自愿性相结合的披露原则，将一些严重影响金融消费和投资决策的信息规定为强制披露，而将某些具有行业特征、较难统一规定的信息披露决定权赋予市场主体。法律应该在强制性信息披露之外，允许互联网平台金融市场主体根据自身服务模式、融资者和融资项目具体情况，主动披露某些关联性信息，要求其承担相应的法律责任，并为以后实施以原则为导向的信息披露规制模式创造条件。4.信息核心义务主体披露与其他义务主体披露相结合原则。互联网平台金融的多节点和多方参与特征，决定了其信息披露义务主体多元化，其间包括核心披露义务主体和非核心披露义务主体。前者如金融平台机构和融资者，后者包括支付结算参与者、金融消费和投资者，以及相关中介机构等。金融消费和投资者参与互联网平台金融交易的目的是金融消费或规避风险、获取收益以实现财产的保值增值。但是，金融交易参与者能否收回本金和取得收益处于不确定状态。因此，金融消费或投资与否取决于市场主体信息披露所折射的资产价值和潜在风险。因为，金融平台机构作为交易平台的提供者、交易秩序的维护者，具有特殊的市场地位和公信力，在信息披露中扮演着至关重要的角色，构成了信息披露的核心义务主体，集信息汇集、信息披露、信息审查和信息监管于一身，并承担信息违法披露的主要责任。但是，完善、有效、体系化的互联网平台金融信息披露制度不能完全依赖金融平台机构，而应该根据这一金融体系的运作原理和法理基础，将其他相关市场主体纳入信息披露责任主体范畴，赋予其信息披露义务，以此构建一个以金融平台机构为主，其他主体为辅的完整信息披露主任责任体系。（二）互联网平台金融信息强制披露的内容和范围货币和金融已成为一种自我繁殖的语言，日益复杂。但是，无论是崇尚信息公开监管哲学的国家，还是偏重实质性审查监管的国家，信息披露作为基础性监管措施都同样受到尊重和认可。互联网平台金融本质问题仍然是信用风险与信息的关联结构，信息披露是信用风险定价的核心要素和考量标准。但是，基于互联网平台金融和传统金融市场解决信息与信用风险问题的路径差异，以及信息优势方和弱势方规则制定权分配的技术基础和逻辑语境，立法在设计规则强制要求信息优势方披露信息以解决信息弱势方信息匮乏时，必须合理界定信息披露的内容和范围，以避免加重相关信息义务人的信息负担，或者增加金融消费和投资者的信息搜寻成本与信息理解难度。因此，互联网平台金融中的信息超载、信息错位和信息搜寻问题挑战了信息披露哲学的有效性，信息公开悖论客观上要求立法给予金融平台机构和其他信息披露主体恰当的信息披露内涵界定和边界设置。现代金融实践最为典型、完善且富有逻辑的信息披露制度当属证券市场。目前，我国规范证券市场信息披露的法律法规主要有《证券法》以及中国证监会从2001年开始根据《证券法》制定的《公开发行证券的公司信息披露内容与格式准则第1号——招股说明书》，直至2019年制定的《科创板上市公司持续监管办法（试行）》等，前后共30多个事关证券发行与交易的信息披露内容与格式的指引性文件。除此之外，还有深圳、上海和北京三家证券交易所公布的“股票上市规则”“债券上市规则”和各种“信息披露业务办法”等。虽然互联网平台金融与证券市场的信息披露存在较大差异，但是其立法模式、披露范围和内容也有可借鉴之处。1.互联网平台金融强制性信息披露的内容和边界。强制性信息披露就是通过立法的方式强制披露责任人公布影响金融产品价值和风险判断的信息，是国家公权力介入信息披露的具体表现。互联网平台金融信息强制披露的内容和边界反映了特定时期这一金融形态的市场化发展程度，是一个动态发展过程。“风险与收益的匹配”和“负债杠杆率和金融形态比较”是互联网平台金融信息强制披露差别对待的基础。“‘差别原则’，即人们在经济和社会利益方面允许存在差别，但这种差别应‘符合地位最不利的人的最大利益’，地位最不利的人优先。”法律应许可对不同类别的金融平台机构、市场主体的信息披露内涵和外延实行差异化对待，但这种差异化必须是为了“最大限度地提高地位最不利的人的期望”。第一，强制披露中的共同性信息内容和范围。共同性信息，主要是围绕金融平台机构的经营能力和历史经营行为合法性展开，如平台机构本身的注册资金、经营资格、业务能力、股权结构和公司治理，以及平台机构历史违约数据、债务偿还和纠纷解决记录等。在这些共同性信息中，注册资本最为重要，是金融平台机构行为能力、责任承担的核心标志，是防范信用风险的基本条件和首要因素。“强制性最低资本要求背后的理念是，通过确保公司拥有股东不得随意撤回的永久性股权资本，从而实现对债权人的保护。”除此之外，还需要互联网平台金融机构强制披露的共同性信息包括：（1）金融平台机构产品和服务推销行为信息，客户资金管理和潜在风险等;（2）金融产品和投资的预期收益率、损失补偿率等，如融资项目的基本情况、市场前景、盈利预测以及破产后偿债能力预估;（3）金融平台机构和融资者的财务结构，如资产负债、现金流和固定资产、债务逾期率、债权违约率以及信用变动情况;（4）金融平台机构底层技术变动，如新金融科技应用、交易撮合功能变化、利益冲突、隐私保护和其他可能对金融消费和投资者、支付结算委托人利益产生重大影响的信息。第二，强制披露中的差异性信息内容和范围。差异性信息，是不同互联网平台金融基于其业务形态和经营模式而应该披露的差别性信息。例如，互联网平台借贷和互联网小额贷款，该两类互联网平台金融应该重点披露的是借款人的资产状况、风险信息，以及征信情况和还款保障措施、资金运用情况等可能影响还款能力的核心信息。相对于互联网平台借贷，互联网小额贷款公司因为利用自有资金进行借贷，公司无须承担额外的信用义务，所以无须过多公布差异性信息。互联网第三方支付因其经营模式与其他平台金融存在较大差异，所以其差异性信息披露侧重点也应有所不同。第三方支付机构是资金结算委托人备付资金的实际控制者，且现行法律未能将该部分资金纳入银行存款保险参保范围，形成“风险用户承担、收益支付机构享受”的权、义、责非对称状态。所以，信息披露立法应该聚焦于第三方支付机构自身的“经营资质”“诚信经营”“资金安全”和“风险隔绝”。换言之，强制性信息披露的重点为：（1）支付机构特殊行为能力信息，如经营支付业务应该具有的特定条件，包括资质许可等;（2）诚信经营信息，如支付机构和主要股东、实际控制人、董事、监事、高级管理人员的合规经营信息，如是否存在超范围经营和垄断行为等;（3）风险管控信息，防火墙建设、支付机构关联业务风险控制、客户备付金管理信息，以及消费者权益保障和其他重大风险信息等。2.互联网平台金融自愿性信息披露的内容和边界。中国证监会和深沪证券交易所在一些信息披露指引性文件中对自愿性信息披露进行了原则性叙述。如中国证监会分别于2015年、2016年和2020年在其修订后的《信息披露内容与格式准则1号——招股说明书》《信息披露内容与格式准则38号——公司债券年度报告的内容与格式》和《信息披露内容与格式准则28号——创业板招股说明书》中对自愿性信息披露进行了如下阐述：“本准则是信息披露的最低要求，不论本准则是否有明确规定，凡对投资者投资决策有重大影响的信息，均应披露。”学者认为，此处的“均应披露”可视为“自愿性信息披露”，其内涵和外延应该包括：（1）财务信息或数据，如一定名次的客户名称和销售额、财务指标分析、按业务口径披露净利润额等;（2）业务信息或数据，如盈利预测、关键业绩指标、对高管的考评机制等;（3）其他前瞻性信息，如企业发展战略和经营计划，履行社会责任等其他信息或数据等。互联网平台金融可借鉴证券市场信息自愿披露的内容和规则，对平台机构和融资者的自愿信息披露进行如下设置：一是公司治理类信息，如科学、持续、稳健的利润分配政策，以及未来一定时期投资者回报规划、股权调整情况;二是生产经营信息或数据，如对外签订的战略合作框架协议，销售和经营情况简报;三是财务信息或数据，如财务修正报告、财务决算分析报告、计提资产减值准备及资产核销报告;四是其他一般信息或数据，如项目扩建进展情况、控股公司生产经营重大变化，或者获得其他重大生产经营资格;五是中介机构相关文件或资质变化，如审计、会计或财务顾问变化信息;六是对金融监管机构监管要求的回复，有关项目对环境的影响和履行社会责任报告等。四、互联网平台金融信息披露侵权和法律责任承担（一）互联网平台金融信息披露侵权行为和法律调整信息披露侵权行为是指负有信息披露义务或信息审查和监管责任的机构或人员，违反法律规定虚假披露信息、误导性陈述或重大遗漏，或在信息披露审查和监管过程中存在重大过错，致使信息利用者依此信息作出错误的消费或投资决策并引发财产损失，依法应承担法律责任的行为。互联网平台金融信息披露违法行为主要有三类：一是金融平台机构披露自身行为能力信息、经营信息和风险预警信息时违法;二是市场参与者披露自身基本信息、经营信息和项目信息时违法，或中介机构接受委托进行评估、认证或鉴证时错误地出具评估报告和结论等;三是金融平台机构对市场参与者信息披露审查和监管违法。因此，相应的侵权也包括信息披露侵权，以及信息披露审查和监管侵权。互联网平台金融的交易过程是一个建立在新金融科技基础上，运用大数据、云计算和搜索引擎等对信息进行集合、传递、分析和利用的过程。特殊的金融科技基础和交易模式不仅改变了传统的信息披露内容、模式和载体，而且对传统监管机制中依托各方自身信用信息和资金流向进行汇报的信息监管模式产生了颠覆性影响，并因此形成新的信息披露违法认定和法律责任承担模式。1.金融平台机构信息披露侵权行为和法律调整。虽然不同类别的金融平台机构信息披露侵权行为模式、法律责任承担差别较大，但其共同之处是都负有严格依法披露平台机构自身基本信息的义务。如果发生金融平台机构自身信息虚假披露、误导性陈述或重大遗漏，并因此造成市场其他主体财产损失，则构成绝对的信息披露侵权，应该承担侵权法上的无过错责任。除此之外，无论何种类型的金融平台机构均负有一定的市场信息审查和披露监管义务。虽然由于各类金融平台机构业务范围、经营方式和功能定位不同，使得其所负信息披露审查和监管义务的多寡有所区别，但这并不影响此类权利、义务、责任的客观存在。如果金融平台机构违反法律规定，未对市场参与者提供的信息进行尽责审查或依法监管，导致金融消费和投资者财产损失，平台机构应承担侵权法律责任。互联网平台金融是一种特殊的互联网平台商务平台。金融平台机构与金融消费者、投资者、融资者、资金划拨或接收者之间形成多种金融交易或服务合同法律关系。此类合同法律关系可归属于我国《民法典》合同篇调整。但与普通商事交易有所不同的是，互联网平台金融的金融本质要求法律应对其进行更加严格的规制，“契约自由原则”在这一领域应受到较大的限制，行为人应更多地遵守国家金融法律的强制性规定。在互联网平台金融实践中，某些金融违约行为，也可能违反了国家金融监管法律强制性规定，并因此构成《民法典》第153条规定的合同无效情形，在此情形下，法院应适用金融法律强制性规则并要求违反法律强制性规定的平台承担侵权法律责任。2.市场参与者信息披露侵权行为和法律调整。互联网平台金融的服务提供者、融资者和融资项目的“关键信息”和“重要信息”，是金融产品价值、金融消费和投资风险判断的依据，应该客观而真实地披露，禁止相关人等利用伪造、夸大、虚假或不完备的信息提供金融服务、募集资金。虽然我国相关“管理办法”和“指导意见”没有对金融服务提供者、融资者信息披露侵权规定具体的法律责任，但根据现行互联网平台金融立法中的指引性规定，“有关法律法规有处罚规定的，依照其规定给予处罚”。换言之，如果金融服务提供者和融资者等提供了虚假的项目盈亏预测、融资者偿债能力、第三方评估结论，以及其他影响金融消费和投资决策的信息和数据，受害者可根据《民法典》等上位法的规定要求其承担侵权损害赔偿法律责任。在互联网平台金融领域，除了金融平台机构、金融服务提供者、融资者、金融消费和投资者，还有接受委托为互联网平台金融提供服务的中介机构。如《借贷信息披露指引》规定，借贷平台机构应当定期聘请会计师事务所、律师事务所、信息系统安全测评认证机构等，对互联网借贷平台上出借人与借款人的资金存管、信息披露合法性，以及金融科技基础设施安全、经营合规性等重点问题实施评估、审计、审查、测评和认证，并向出借人与借款人等披露审计和测评认证结果，中介机构必须“尽责调查并承担专家责任”。如果中介机构对其委托的事项得出错误结论，或所出具、公布的相关评估结果存在虚假、重大遗漏或误导性陈述，金融消费和投资者可要求其承担侵权法律责任。对此，可参照最高人民法院2022年1月21日发布的《最高人民法院关于审理证券市场虚假陈述侵权民事赔偿案件的若干规定》的规定——“专业中介服务机构及其直接责任人违反规定进行虚假信息披露，给投资人造成损失的，就其负有责任的部分承担赔偿责任”，追究行为人的侵权责任。（二）互联网平台金融信息披露侵权责任归责原则和承担任何一种法律制度都应该建立在社会经济发展基础上，回应社会经济的发展需求和价值规律，思考“什么问题——如何规范——责任分配”的法治规范逻辑和制度目标。从社会网络视角观察，具有破坏性创新本质的互联网平台金融，相较传统金融具有更为复杂的技术基础和环境要素。在此背景下，信息披露侵权责任理论研究和立法思维，也应逐步从保护传统物理空间直观形象的“软件、数据、系统”的局部、静态思维，跃升到保护新型社会结构有机组成的“网络行为、网络秩序、网络安全”的整体、动态的“网络思维”，在正视网络行为和传统现实空间行为所共同具有的侵权属性和行为责任要素的同时，高度重视其差异性。在虚拟空间和现实空间高度嵌入整合的、密不可分的互联网平台金融背景下，其金融行为兼具“虚拟行为”和“现实行为”的双重属性并产生多维度影响，面对金融行为以及网络空间“信息披露”的代际更新，侵权行为法律责任规范也必然要实现转型发展。1.信息中介型互联网金融平台机构责任归责原则与承担。我国《借贷信息管理办法》规定了借贷平台机构信息披露的具体义务，但未规定违反该义务的法律责任，仅是宣示性地要求借贷平台机构承担“客观、真实、全面、及时”的信息披露责任。如此规定不仅缺乏可操作性，而且在法律上有失公允。因为，在“自身信息披露和信息披露审查与监管”两类信息义务中，要求金融平台机构披露自身“关键信息”和“重要信息”时承担无过错责任，而平台机构管理者和直接责任人承担连带责任并无不妥。因为此时金融平台机构是信息的制造人或掌控者，理应确保所披露信息的“真实、准确、合法、全面和及时”，否则应该承担信息违法披露的法律责任。但是在履行信息审查或披露监管义务时，金融平台机构承担过于沉重的“全面和真实”的无过错责任，则有违侵权法理论长期坚持的“过错与责任相一致”归责原则。因为，金融平台机构作为交易平台的提供者和交易的组织者，虽负有对融资者、消费者、投资者和中介机构提交信息的审查或披露监管义务，但金融平台机构并不是信息的产生者或控制人，加上数据信息的数字符号特征、信息结构的复杂性，以及所依附的新金融技术载体等，客观上无法完全确保金融平台机构查证市场参与者提供的数据信息绝对真实和合法。金融平台机构的义务是仅在现有技术条件下对市场参与者提供的“关键信息、重要信息”进行形式审查，并依照形式审查标准承担过错责任。信息中介型金融平台机构的信息披露审查和披露监管法律责任与我国《证券法》规定的证券交易所、证券保荐机构、证券承销机构的信息披露责任有较强的可比性。因此，可借鉴其责任模式进行类比性立法和司法，即当发生信息披露侵权时，金融平台机构与融资者等信息披露实际责任人承担连带赔偿责任，但金融平台机构能够证明自己无过错者除外。在此过程中，如果金融平台机构的控股股东、实际控制人和管理人员有过错，也应当与平台机构承担连带赔偿责任。2.金融服务型和自融型互联网金融平台机构责任归责原则与承担。金融服务型的典型形态是互联网第三方支付，信息披露的目的是帮助支付结算委托人作出正确的支付选择，并确保支付机构具有支付行为能力、防止其挪用资金、洗钱犯罪等，借此保障支付结算委托人的利益不受损害。信息披露违法实际上是金融侵权行为的一种，作为金融侵权的方式或手段，行为人通过信息虚假披露、误导性陈述或重大遗漏来掩盖“非法集资、挪用资金、洗钱、侵占或其他欺诈性违法犯罪行为”。此时的违法披露信息可能无须作为独立的侵权行为处罚，而可被吸收进“非法集资、挪用资金、洗钱违法”等违法犯罪行为中，而且很多情况下可能还形成金融侵权和信息告知违约的竞合。因此，互联网第三方支付机构的信息披露法律责任应该分为强制责任和非强制责任，如果违反了法律规定的强制性信息披露义务，并因此造成支付结算参与者损害，则应承担侵权损害赔偿责任，并被归类到特定的侵权损害法律责任中。反之，如果仅仅违反了当事主体之间的信息披露约定义务，则应该承担违约法律责任，而非侵权损害民事法律责任。自融型互联网平台金融的典型代表是互联网小额贷款，即利用大数据、云计算、互联网技术在互联网平台上完成贷款申请、风险审核、贷款审批、贷款发放和贷款回收全过程的小额贷款业务模式。由于在此类业务中，除了借款人外较少涉及其他金融消费者，而且互联网小额贷款机构以自有资金对外进行借贷需要自己承担经营不利的法律后果，所以小额贷款机构可以披露较少的自身信息，也不负有信息披露审查和监管义务。但是，作为互联网平台金融的重要类别，如果其确实负有某些信息披露或信息披露审查义务，则应根据此类平台机构信息披露或信息审查违法模式承担过错责任。3.平台金融市场参与者和关联人的责任原则与承担。除了互联网金融平台机构外，其他市场参与者和关联人本着“过错原则”承担“连带责任”。具体的承担方式与原则为：（1）融资者违法披露“重大信息”或“关键信息”，导致金融消费和投资者进行了错误的风险评价和产品价值判断，并造成了利益损失，应承担无过错责任。（2）中介机构因为自身过错致使所出具的审计报告、测评认证、法律评估和安全评价报告出现重大遗漏、误导或虚假，中介机构应该承担损害赔偿责任，但中介机构有合理的抗辩理由，能够证明自己无过错，则可以免除其法律责任。（3）中介机构因为自身过错而利用了融资者或者金融平台机构的错误信息或数据，出具错误的审计报告、测评认证结果、法律意见书或安全评价报告，或者所披露的信息出现重大遗漏、误导或虚假，中介机构应该承担损害赔偿责任，但中介机构能够证明自己可以免责的除外。（4）融资者、金融平台机构和中介机构的管理人员、直接责任人，参与信息披露侵权行为，知道或应当知道自己所服务的机构实施了信息披露侵权行为，而不予纠正或者不出具保留意见的，构成共同侵权并承担连带责任，但有证据证明可免责者除外。（三）互联网平台金融信息披露侵权主观过错和因果认定互联网平台金融具有非接触性交易特征，侵权行为过程无须物理空间中那样的侵权行为人和侵权受害者，或各类共同侵权人之间的直接交往和接触，也无须语言沟通或进行纸质文件的提交，仅通过“点击和链接”甚至消极不作为即可完成信息披露侵权行为。这使得信息披露侵权与损害后果呈非直接联系状态，因此导致合法行为、侵权行为、违约行为之间的差异日渐模糊和复杂化。互联网的虚拟性和非接触性意味着以数据流为基础的信息披露违法行为隐蔽性强，侵权人和受害人、侵权人和注册账号、网络平台不存在强关联性。这增加了侵权行为的不法性及不法程度的辨别和查证难度，导致侵权与非侵权、侵权与违约、因果关系和主观过错的认定标准更为复杂和不易判断。传统侵权法要求以明确的立法技术落实侵权认定的主客观条件，在司法中做到法无明文规定者不担责。但在互联网平台金融非接触性交易特征下，确定信息披露侵权的责任存在以下两方面的困境：一是非接触性特征预示着证明侵权主观过错和因果关系的证据链条形成较为困难，责任认定中的具体主客观相一致要求的满足难度较大，换言之，侵权责任追究的司法成本较高。二是非接触性特征下的侵权隐蔽性更为突出，是否存在侵权行为以及其与金融产品价值变化的关联性判断难度加大，侵权责任的确定性和及时性难以保证，有损侵权法的实效与权威。因此，要满足惩治互联网平台金融信息披露侵权的需求，除了重点制定信息披露规则和监管前置法外，还应该采取更为概括化和模糊化的信息披露侵权判断立法技术，降低侵权责任认定对信息披露侵权的主观条件和因果关系的证明要求。因为在互联网新科技场景下的非接触性侵权使得行为的客观与主观之间的联系减弱，多数情况下只能通过客观行为表现或结果来推定其侵权主观心态和因果关系。五、结语互联网平台金融“有效市场”理论认为，金融信息工具的应用内嵌于互联网平台金融交易的信息与信用风险的本质关联中，因而“信息工具在解决互联网金融信用风险方面的源生性，恰与互联网金融在信息供给上的便利性契合，这与金融之‘信用与安全’的基本逻辑一脉相承”。但是，无数事实证明，科技的自我规范能力绝对无法代替制度规则的约束，法律才是金融市场的秩序根基。互联网平台金融交易的多节点、快速性和虚拟性，开启了较传统金融更多的危险源，而“危险源的开启、预防和控制”则需要更为严格的信息披露和制度规则。多年来，理论界和实践中对互联网平台金融“有效市场假说”和“理性市场理论”的过度解读，未能科学合理地评价理论与现实之间的悖论。信息披露法律制度的不足导致了我国互联网平台借贷市场的全线坍塌，相关机构下发的《转型指导意见》和发布的《非银行支付机构条例（征求意见稿）》《网络小额贷款业务管理暂行办法（征求意见稿）》则标志着我国对互联网平台金融的理论检讨和法律反思。但对互联网平台金融的整顿，不应该视为对互联网平台金融内在价值的全面否定，而仅表明理论和实践对这一行业领域发展的反思性变革。END注：为方便阅读，本文省去注释与参考文献。封面正文图片来源于网络。相关阅读1.

为方便阅读，省却注释。全文请参见《中国刑事法杂志》2022年第5期，转载或引用请注明出处。贾宇（浙江省人民检察院党组书记、检察长，中国刑法学研究会会长。）数字经济刑事法治保障研究摘

作者：丁晓东，中国人民大学法学院教授、博士生导师来源：《法律科学（西北政法大学学报）》2022年第6期因篇幅较长，已略去原文注释。摘要：人权的代际划分具有一定的争议性，“数字人权”的代际性一定程度是政治判断。但代际人权可以作为一种理想类型，揭示“数字人权”的新型权利结构。“数字人权”的权利主体包括个体和集体，义务主体主要指向具有数字权力的企业和部分公共机构，二者呈对抗与合作的深度交融关系。“数字人权”具备明显的人权属性，尤其符合我国等发展中国家关于人权的价值取向。从道德政治哲学看，“数字人权”构成了人权理论的最低“重叠共识”，与人的安全、尊严与平等价值密切相关；从实证法角度看，“数字人权”在我国和域外国家构成了宪法基本权利。“数字人权”对人权法提出了挑战，应设计符合个人/集体—数字权力主体—国家三元结构、同时能够有效应对侵害与合作深度交融关系的法律制度。关键词：数字人权；代际人权；数据权利；数字基础服务；基本权利目次一、作为新型权利的“数字人权”二、“数字人权”的人权属性三、域外“数字人权”的基本权利属性四、我国“数字人权”的基本权利属性五、结语：数字人权与“权利泛化”随着互联网与大数据时代的到来，“数字人权”的概念开始兴起，并从两方面提出了新的权利主张。一方面，“数字人权”提出了大数据时代的个人信息或数据被保护的权利，并且上升到了宪法基本权利的高度。近年来，全球数字立法的兴起，赋予了个体一系列有关个人信息、个人数据的权利。例如我国《民法典》第1037－1038条规定，个人信息主体具有查阅、复制、更正、删除等权利。《个人信息保护法》进一步拓展了个人在信息处理活动中的权利，赋予个体以知情权、决定权、查阅复制权、更正补充权、信息删除权、信息携带权、解释说明权等个人信息权利，并且在最终稿上增添了“根据宪法、制定本法”的表述。在欧美，以欧盟《一般数据保护条例》《加州消费者隐私法案》为代表的一系列数字立法也都作出了类似的规定。另一方面，“数字人权”提出了获得数字基础服务的权利。在互联网和社交网络大规模普及的今天，每位公民都有接入互联网的权利，对于社交账号被封，个人也应当有权要求申诉或救济。再比如，“数字鸿沟”已经导致一些弱势群体无法正常生活，老年人可能不懂如何使用健康宝或网约车软件，卡车司机可能无法掌握各种定位系统软件，外卖骑手可能无法理解算法系统。对比，应当创设弱势群体的数字保障权，确保此类群体获得合理的救济。围绕“数字人权”概念，学界也展开了争鸣。倡导者指出，“数字人权”是对统人权的更新与升级，已经构成第四代人权。批评者则认为，“数字人权”不具备人权代际上的新型特征缺乏人权的道德基础，同时不能被证立为一种基本权利。因此，“数字人权”“不仅不是人权升级换代的新兴类型——第四代人权，甚至不宜作为人权的下位概念”。本文认为，“数字人权”是否已经构成第四代人权，这在一定程度上是一个政治判断问题，但“数字人权”已经具备了新型人权的特征，尤其契合中国等发展中国家的人权观。“数字人权”的权利主体既包括个体，又包括集体；其义务主体主要指向具有数字权力的企业与部分公共机构，而权利主体与义务主体之间构成了对抗与合作的深度交融关系。本文从相关理论与事实出发，首先论述“数字人权”的新型权利特征；然后从道德政治理论与实证法两个层面论述“数字人权”的人权属性。“数字人权”的新型人权特征对于数字时代的人权保障具有重要意义，为了回应社会主体与行政主体数字化带来的权力变化，人权保护的法律制度应当适度重构。一、作为新型权利的“数字人权”“数字人权”是否已经构成一种新型人权？我们可以简要回顾一下传统人权，并将“数字人权”与传统人权进行比较便可得出结论。这一分析与比较可以揭示两个重要问题：其一，人权代际的划分具有很大的争议性与政治性。因此直接认定“数字人权”属于第几代人权，本身就是一种带有政治性的判断。其二，虽然人权代际理论具有争议性，但人权代际理论可以作为一种韦伯所说的“理想类型”与分析工具，揭示不同代际人权的不同权利结构。无论是权利主体、义务主体还是二者的关系，“数字人权”与前三代人权所包含的权利都非常不同。（一）人权代际理论的争议性人权代际划分的理论可以追溯到联合国教科文组织法律顾问、人权学者卡雷尔·瓦萨克的研究。1977年，瓦萨克首先提出三代人权理论。第一代人权为公民与政治权利，包括生命权、平等权、言论自由权、宗教自由权、财产权、选举权等权利，主要反映在1948年《世界人权宣言》第3条至第21条，1966年《公民权利和政治权利国际公约》以及1953年的《欧洲人权公约》中。第二代人权为经济与社会权利，包括就业权、社会保障权、福利权等权利，主要反映在《世界人权宣言》第22至28条以及1966年通过的《经济、社会、文化权利国际公约》中。第三代权利为集体权和团结权，例如民族自决权、环境权、儿童权利、原住民权利等权利，主要反映在1972年通过的《联合国人类环境会议斯德哥尔摩宣言》等国际条约中。瓦萨克的三代人权划分具有比较鲜明的政治目标，其最初目的是为了强调发展权、和平权、环境权等权利，提出一个符合当时联合国政策框架的人权体系。因此，这一代际理论虽然在政治与国际话语层面具有很高的辨识度，但在学术界引起了一些争议。有学者从历史划分、权利性质、权利优先性等方面对代际理论提出了质疑。首先，有学者指出人权代际理论的时间轴与历史不符。最初，瓦萨克将不同代际人权描绘成一个随时代发展的过程，将这一历史追溯到1948年《世界人权宣言》的通过。其后，瓦萨克又将人权代际理论追溯到法国大革命，将法国大革命的自由、平等和博爱三个概念分别对应第一、二、三代人权。但无论是哪个版本，历史上人权观念的演变与代际人权理论发展的历程都不吻合。有学者指出，第三代权利中以民族国家为单位的集体权利，早在1648年威斯特伐利亚条约签订之初就已经确定，第二代经济与社会权利，也在1917年苏联十月革命和1919年制定的魏玛宪法就已经被认可。因此很难说人权是一个从1948年开始按照代际进行演化的过程，更难说三代人权是按照法国大革命的自由、平等和博爱观念演变而来的。其次，第二、三代人权的人权属性也遭到一部分学者的质疑。相比第一代人权的消极权利属性，第二代与第三代人权包含了更多的积极权利。这使得一部分坚持古典自由主义的学者认为：第二代的经济与社会权利更多属于政策目标，而非人权；至于第三代人权，此类权利属于国际或国内政治目标。这些学者认为，第二、三代人权中的政策或政治目标或许值得追求，但不应划入人权的范畴。当然，这些质疑也受到了很多学者的批判。不少学者指出，人权的界定不能仅仅限于那些能够即时实现的消极权利，如果没有经济权利、社会权利以及包括民族国家的自决独立，则第一代人权就不可能实现。离开了基本温饱问题的解决、受教育权的实现与获取信息能力的权利，公民即使参加选举和参与国家政治，也不可能正常行使其公民与政治权利。此外，离开了发展中国家的反殖民主义与真正的独立自主，第一代人权与第二代人权也不可能实现。最后，不同代际人权的优先性也面临争议。第一代人权是受到普遍接受、争议较少的人权类型，但这并不意味第一代人权具有优先性或紧迫性。有学者认为，无论是国际社会还是国家，都应当优先保障公民与政治权利的行使。甚至有学者将公民与政治权利上升到国际法层面，以此作为干涉他国内政的借口。此类观点只反映了西方少部分学者的观点，且为很多学者所批判。包括西方学者在内的很多学者指出，第二、三代人权事实上构成了第一代人权的前提，不能将第一代人权视为更根本的人权。在一定意义上，甚至可以说第一代人权建立在第二、三代人权的基础之上，很多情形下，第二、三代人权比第一代人权更具有基础性与紧迫性。基于上述理由，可以说“数字人权”是否构成第四代人权在一定程度上是一个政治判断问题。一方面，三代人权的代际划分本身就具有很强的政治性，不是一个纯粹的学术判断；另一方面，西方发达国家与发展中国家在人权的代际划分、属性与优先性问题上存在争议。如果主张“数字人权”构成第四代人权，就意味着此类主张认同第二、三代人权；反之，如果不认同人权的代际划分或第二、三代人权，则第四代人权就没有存在的基础。（二）“数字人权”的新型权利结构人权代际理论虽面临争议，但却可以作为分析工具，以此发掘“数字人权”的新型权利特征。对前三代人权的权利结构，有学者对其进行简单归纳。根据这一归纳，第一代人权的权利主体为个人，义务主体为国家，二者关系主要是防御关系；第二代人权的权利主体、义务主体与第一代人权相同，但二者关系“从‘防御’变为‘防御’与‘合作’并存的模式”；第三代人权的人权主体为“个人、集体、民族、国家”，人权义务主体扩大到“个人、社会团体、国家、国际社会”，二者的关系则在防御与合作之外增添了“抗争”的类型。从权利主体、义务主体与二者的关系出发，可以发现“数字人权”与前三代人权都不相同。首先，“数字人权”的权利主体既包括个体，也包括集体，这与第一、二代人权均不同。“数字权利”的个体属性比较容易理解，例如各国的个人信息保护法或个人数据保护法都赋予了个人以知情权、选择权、访问权、删除权、更正权等权利，当公民个体因为社交账号被封或者无法使用健康宝等数字媒介时，此时的权利主张往往都由个体提起。但需指出，“数字人权”的权利主体也包括作为数字弱势群体的集体。就数据权利而言，各国的相关法律都对数据处理者施加了相应的责任，以保护作为集体的数据主体权利。例如我国《个人信息保护法》规定，处理个人信息应当采用合法、正当的方式，处理的个人信息应当准确，并及时更新。欧盟《一般数据保护条例》规定，数据处理者处理个人数据，应当遵循合法性、合理性和透明性、目的限制、数据最小化、准确性、限期储存、数据的完整性与保密性等原则。根据这些原则，数据处理者对于其收集的所有个人数据承担义务，即使个体没有主张，或放弃其数据权利，数据处理者的义务也不能免除。同样，对于“数字人权”中的数字接入权、信息无障碍等基础数字服务权利，其内涵也包括了对数字弱势群体的保护。“数字人权”主张，通过改进产品与技术设计，以及加强社会配套措施，可以帮助数字弱势群体集体性地享受数字社会的便利，避免数字社会带来的弊端。其次，“数字人权”的义务主体与前三代人权不同。就数据权利而言，其义务主体为具有较强数据信息处理能力的社会主体，主要为大型企业或专业数据化企业，以及一部分具有数据信息处理能力的行政机构。在各国立法中，这些主体被界定为“信息处理者”“数据控制者”或“数据处理者”，例如我国《民法典》和《个人信息保护法》都采取了“信息处理者”的概念，欧盟《一般数据保护条例》采取了“数据控制者”与“数据处理者”的表述。这些主体大都具有进行机器化或专业化处理个人数据的能力，与个人形成了一种“人机关系”。此类义务主体首先排除了一般个体以及没有专业化信息处理能力的小企业。就个体自然人而言，我国《个人信息保护法》和欧盟《一般数据保护条例》都明确将“自然人因个人或者家庭事务而处理个人信息”排除在适用范围之外。对于非专业性收集与处理个人信息的自然人，他们可以不经过数据主体的同意，就通过熟人或朋友而打听数据主体的手机号或微信号，或者将数据主体的手机号或微信号告诉朋友，此类情形并不违法。对于小企业而言，数据保护的义务会随之递减或免除。例如欧盟《一般数据保护条例》在若干条款中都免除了小微型企业或不具备专业数据处理能力企业的某些义务。美国《加州消费者隐私法案》的豁免范围则更大，其适用范围主要为大型企业或涉及大规模收集与处理个人信息的企业。此外，数据权利的相对义务主体还排除了不具备专业数据处理能力或不进行专业数据处理活动的国家机关。当国家执法机构进行偶发性的收集个人信息，此时公民可以提起隐私权保护、通信秘密权保护等权利主张，但无权提起查询、复制、更正、删除其个人信息的主张。因为在此类情形中，国家机构对于公民个人信息的获取是偶然的、附带性的，并没有对个人信息进行大规模存档或处理，个人与国家机构之间并没有形成持续性的信息关系。在此类情形中，如果要求执法机构满足个人查询、复制、更正、删除其个人信息的权利，不仅会对执法机关的正常履职造成影响，而且会促使执法机关收集与储存更多的个人信息，对公民的隐私造成威胁。相比数据权利，“数字人权”中基础数字服务的义务主体更为广泛，既包括企业，也包括国家。要避免这些群体沦为边缘人群，既需要科技企业承担相应义务，也需要国家承担社会保障义务。例如科技企业所开发的各类科技产品应该保证盲人、聋哑人能够使用其基本功能，国家应当保障不会使用健康宝的老人也能有其他途径乘坐公共交通。但总体而言，数字弱势群体权利的义务主体仍然以科技企业为主。在数字鸿沟的形成中，科技企业扮演了重要角色，正是很多科技产品与信息服务技术使得一部分人群成为数字弱势群体。因此，科技企业理应承担相应的社会责任。最后，“数字人权”的权利主体与义务主体构成了一种防御与合作交融的持续性关系，这与前三代人权均不相同。就数据权利而言，一方面双方存在防御对抗关系。面对数据处理者，数据主体需要防范它们不合理地收集与处理个人信息，甚至泄漏个人信息的行为。为了获得数据主体的个人信息，数据处理者需要合法地获取他们的授权，避免未来被起诉。另一方面，双方也存在合作互惠关系。在企业合理、公开、透明的前提下，企业所收集到的个人信息可以为用户提供更好的服务，例如可以为用户提供精准的定位服务，为消费者提供价格更低的产品；而企业则可以利用个人信息更有效地安排生产、物流与销售，避免市场信息不对称而产生的各种资源浪费。需要特别指出，双方的这种兼具对抗与合作的关系与第二代人权非常不同，第二代人权中个体对于国家的防御与合作更多的是相互独立并存的，而数据权利中的防御与合作则是一种交融或“激励相容”关系。在很多情形中，防御与合作的界限非常微妙。防御过度会导致个人信息无法合理流通与利用，从而导致双方无法合作；而当双方合作深化，数据处理者拥有很多个人信息，又可能导致个人无法对数据处理者进行防御。数字基础服务权利中的权利主体与义务主体关系，同样兼具防御对抗与合作互惠属性。一方面，数字弱势群体需要防范科技企业，避免具有一定公共功能的科技企业生产其无法使用的产品，影响其基本活动。另一方面，在成本可控的前提下，大型科技企业生产能够满足数字弱势群体需求的产品，也有利于其自身产品的转型升级。例如手机产品制造商制造残障人士能够使用的手机，互联网企业在其网站的设计过程中，为便于残障人士使用其网站，都会尽力使其产品或网站具有更广的受众群体，以便为客户提供人性化与便利性服务。综合而言，“数字人权”的权利结构区别于前三代人权的权利结构。由于“数字人权”主要处理不平等的社会主体之间的关系，因此其权利既不同于财产权这类可以针对不特定第三人的权利，也不同于针对国家的言论自由权、选举权、社会保障权、福利权等权利。“数字人权”中的数据权利尤其明显。这种权利由不平等的持续性信息关系所产生，其权利主张所指向的是社会权力。同时，由于“数字人权”中的权利义务主体往往既彼此防范，又互相依赖，因此二者往往形成防御与合作交融的关系。近年来，越来越多的学者主张在此类关系中适用信义权利与信义义务，以满足双方既彼此防范又彼此信任的关系，也从另一个侧面说明这种关系的新型特征。二、“数字人权”的人权属性人权属于权利，但权利却未必都属于人权。例如一个地区规定，该地区的每一成年公民都有权免费游览公园，但这并不意味免费游览公园构成人权。一般而言，“人权是每一个人实现其正当人性需求的权利”，只有那些较为重要，具有“高度优先性”的权利才可能构成人权。要论证一项权利属于人权，可以从人权的正当性与实证法两个层面进行论证。正当性意味着从政治和道德哲学层面对一项权利进行论证；而实证法则从一个国家或地区的实证法内部视角对一项权利进行论证。本部分主要采用前一种视角。人权的正当性论证是一个极具争议性的学术命题，不同学术传统有不同的论证方式。例如罗尔斯从国际法与国际秩序构建的角度出发，认为国家间的理性秩序建构需要以一些基本人权共识作为基础。拉兹从国际法实证主义的角度出发，认为人权就是国际社会认可的用以限制主权的那些权利，无法根据某些权利的根本性与重要性来论证其属于人权。此类论证方式大都可以归入人权国际政治论的视角，与本部分的论证思路具有一定差异。具体而言，本部分从安全、尊严、平等三个角度进行分析，阐述“数字人权”和这三方面价值的密切联系。这三方面价值分别对应于人的生物人性需求、理性人性需求、社会人性需求，构成了中外各种人权理论的重叠共识。例如我国有学者认为，人权上的人性包括“社会性”“生物性”与“程序性”的概念。有研究团队指出，人的自然属性包括人的“天性、德性和理性”。其中“天性主要指安全、自由和幸福”，人的德性指“以平等、博爱和正义为核心的一套道德观念”，人的理性指的是“人的理性认识能力”、认知自然与克制自己的能力。社会属性则指人受经济文化发展水平和各种社会制度的影响和制约。国外人权研究的经典著作也分别从基本需求与基本利益、尊严与自主性、平等与积极自由等角度阐述了人权的基础。（一）“数字人权”中的人性安全价值“数字人权”首先具有基本安全利益与价值，为人的基本生物性安全提供保护。以数据权利为例，在数据收集之前，数据处理者一般要明确清晰地告知个体，获得数据主体的同意。这一机制意在让数据主体知悉相关的风险，督促企业履行数据安全的承诺。在数据收集之后的储存、处理与流通阶段，个体数据权利则可以在一定程度上预防相关数据风险。例如删除权赋予了个体以删除个人账号、通话记录等个人数据的权利，这使得个体能够避免相关信息被盗用或流通到相关犯罪分子手中的风险。再比如各国的数据权利立法都规定，一旦出现数据泄漏的情况，数据主体必须及时采取各类补救措施，并在规定的时间范围内通知个人。这类规定的意义在于，个体能够在数据泄漏之后尽可能地提高防范意识，避免因为个人信息泄露而引发更大的数据风险。除此之外，各国的数据权利立法还对数据风险预防进行了专门规定，以此保障数据主体的集体数据安全。例如我国《个人信息保护法》要求信息处理者“制定内部管理制度和操作规程；对个人信息实行分级分类管理；采取相应的加密、去标识化等安全技术措施；合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；制定并组织实施个人信息安全事件应急预案”。要求处理敏感信息、利用个人信息进行自动化决策、委托处理个人信息、向第三方提供个人信息、公开个人信息时进行个人信息保护影响评估。欧盟《一般数据保护条例》要求数据处理者通过适当技术与组织措施、风险评估、企业行为准则等方式保证个人数据处理安全。需要强调的是，数据权利所保护的不仅是数据本身的安全利益，而且是与人的生命财产相关的核心安全利益。在大数据时代，个人数据的海量收集与处理常常给个人带来了极大的人身和财产风险。如果没有数据权利的制约，企业与国家机关可以随意秘密收集与处理个人信息，则个人很可能会遭受大量电信诈骗、敲诈勒索等威胁。例如引起社会广泛关注的徐玉玉因诈骗而自杀案件，就与黑产收集倒卖个人信息密切相关。在国外，大量刑事犯罪也都与个人信息的秘密收集、滥用与泄露有关。（二）“数字人权”中的人性尊严价值“数字人权”还具有维护人的尊严价值，保障人性中的理性与自主性的作用。在人权理论中，从古典启蒙时代的学者到当代的很多人权理论家，都将人的理性认知能力与主体性视为人的本质。例如康德将人的道德能力视为人的本质特征，出于对休谟经验主义认知理论的回应，康德认为，尽管世界由因果律决定，具有决定论的色彩，但人类理性可以发现先验的道德律令，为自身立法。人类的道德理性能力，正是“人作为目的”，区别于物理世界与其他动物的关键。再比如当代著名人权和法哲学理论家阿兰·格沃思（Alan

作者：刘宪权，华东政法大学刑事法学院教授。来源：《中国刑事法杂志》，2022年第5期。摘要：数据犯罪是指以数据为犯罪对象、严重扰乱国家数据管理秩序的犯罪行为。数据犯罪不同于网络犯罪、计算机犯罪。数据与信息之间实则是一种相互交叉的关系，因而数据犯罪也不同于信息犯罪。数据犯罪所侵害的法益是一种独立于传统法益的新型法益，即国家数据管理秩序。我国刑法目前并不存在对一般数据进行全流程保护的客观条件，无须对所有的一般数据进行全流程保护，亦无须对非法存储和非法使用一般数据行为加以规制。我国刑法应将非法获取、传输一般数据行为和非法分析数据行为纳入规制范围。刑法应增设妨害数据流通罪和非法分析数据罪，以规制严重妨害数据流通管理秩序的非法获取、传输一般数据行为和严重妨害数据分析管理秩序的非法分析数据行为。关键词：数据犯罪

高景峰（最高人民检察院法律政策研究室主任）本文载于《中国刑事法杂志》2022年第5期法律监督数字化智能化的改革图景摘

国家参与者还利用这一套新兴技术作为追踪数字交易的工具来起诉犯罪（Bohannon，2016）。例如，荷兰利用区块链起诉被控告通过比特币与其他新兴技术进行洗钱的个人（Eikelenboom

interception），分别规制非法访问计算机系统的行为以及非法拦截计算机数据的行为。《公约》还规定了数据干扰（data

*作者：林洹民，浙江大学光华法学院讲师。*本文原载《法学研究》2022年第5期第37-53页。转载时烦请注明“转自《法学研究》公众号”字样。内容提要：个人数据交易具有动态性与非排他性，数据交易当事人处于持续性数据收集或传输关系之中，任何一方均不能排他地控制个人数据。上述特性使得数据交易不能被界定为数据买卖，数据处理也不能被简单地理解为数据合同的履行行为。合同关系与数据处理关系的不同，使得数据交易具备双重法律结构。一次完整的个人数据交易同时包含表意人的承诺与个人的同意，前者属于意思表示，后者则属于准法律行为。与之相应，个人数据交易由基础性合同与个人信息处理活动组成，前者主要受合同规则调整，后者则是个人信息保护法的规范对象，二者效力应分别判断。在规范适用上，个人信息主体的同意并非原则上得准用法律行为规则。合同规则与个人信息处理规则各守其分，分别规范数据交易中的不同行为，二者之间不存在冲突。考虑到数据处理也是合同项下的行为，合同规则与个人信息保护规则可以在例外情况下穿透双重结构，协力实现数据流动与个人信息保护之间的动态平衡。关键词：数据要素；数据交易；个人信息保护；知情同意目录一、个人数据交易法律结构的认知难题二、个人数据交易的特性及其对交易结构的影响三、个人数据交易双重法律结构的展开四、双重结构下合同规则与个人信息保护规则的适用余论：借助解释学构建个人数据交易规范体系一、个人数据交易法律结构的认知难题《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》（2020年3月30日）指出，数据是与土地、劳动力、资本、技术等传统要素并列的第五大生产要素。2022年3月5日，在第十三届全国人民代表大会第五次会议上的《政府工作报告》也指出，政府要着重“培育数据要素市场，释放数据要素潜力”。数据是大数据时代的核心资源，欲促进数据流动、实现数据要素的有效配置，最佳路径是借助私主体之间的数据交易鼓励市场竞争。数据交易包括个人数据交易与非个人数据交易。相较于非个人数据，个人数据不仅能够帮助企业发现新的商业机会和开发新的商业模式，还能够助力决策者进行有效的市场调控与社会治理。巨大的社会经济功能使得个人数据成为数据交易的主要对象，但也因牵涉人格利益，导致交易框架的构建颇为困难。与之相较，非个人数据交易与个人信息保护无涉，交易模式相对简单。本文主要围绕个人数据交易展开讨论。个人数据交易是指当事人通过合同收集或传输个人数据的行为。企业之间通过数据合同与数据传输行为进行数据交易，企业与个人之间的数据交易则表现为借由合同进行的持续的数据收集行为。数据交易不同于纯粹的个人信息处理活动，盖当事人之间存在有效的合同关系。当事人欲借助债之法锁拘束彼此，从而保障经营活动的稳定性。一个健康、良性的数据市场的运转，依赖于对数据交易的充分理解以及清晰、有效的外部规范体系的建立。目前，我国数据交易的规范路径及规范适用存在诸多问题，既不利于个人信息保护，也无助于数据交易的发展。首先，数据交易被理解为一种类似股票买卖的交易形态。在这种理解下，大数据交易所被寄予厚望，试图以此促进和规范数据要素的流转。既然数据交易按照买卖的结构进行，数据交易当然要求排他地获得数据。可是，个人数据蕴含人格属性，个人信息保护法第44条及以下条款明确赋予个人信息主体持续影响数据活动的诸多权利，买卖构造要求的排他性控制难以实现。为了摆脱个人信息主体的影响，大数据交易所几乎不进行原始个人数据的交易，这种削足适履的做法使得企业旺盛的数据需求无法得到满足。其次，数据处理被整合入数据交易合同构造之中，数据传输被视为合同的履行，个人信息处理活动的特殊性遭到忽视。典型观点在于，个人信息主体的同意属于意思表示意义上的承诺，数据处理是合同的履行行为。按照这一观点，如果已经存在有效的“数据买卖合同”，就不需要再次获得个人的同意。果如此，民法典和个人信息保护法诸多规范之间将存在冲突。例如，合同一方得通过默示的方式作出承诺，但个人信息保护法第14条第1款要求同意必须“明确”；只有年满18周岁且能够辨认自己行为的成年人才具备完全行为能力，未成年人仅能从事纯获利益行为或与其年龄、智力相一致的行为，但根据个人信息保护法第31条第1款，年满14周岁的个人具有同意能力，可以独立作出有效的同意；根据个人信息保护法第15条第1款，个人可以随时撤回同意，但依据民法典第485条，撤回承诺的意思表示不能晚于承诺到达，表意人不能撤销已到达的承诺。个人信息主体的同意与表意人的承诺显然对应不同的法律规则。最后，在“以数据换服务”的朴素认知之下，司法机关容易过宽地认定数据交易关系。实践中，可能仅存在与个人信息处理有关的合同，但个人信息处理并非合同的内容；也可能仅存在个人信息处理行为，但不存在债之关系。因为不了解数据交易的基本结构，司法机关倾向于将之一律认定为合同关系，致使裁判有所不当。例如，在“人脸识别第一案”中，原告办理年卡，与被告缔结观光服务合同。人脸识别虽与合同履行有关，但仅为履行债务的辅助手段，并非债务之内容，当事人之间不存在有效的数据交易关系。当事人却围绕“大堂告示说明指纹入园，被告将入园方式由指纹识别改为人脸识别是否构成违约”展开争论，恐不妥当。而在杜某与北京智者天下科技有限公司网络服务合同纠纷案（下文简称“知乎案”）中，双方之间仅有个人信息处理关系，根本没有债之关系，更不存在数据交易关系。原告同意知乎平台的隐私政策，知乎平台据此持续收集原告的个人信息。北京互联网法院认为，原告是知乎用户，即与被告签订了网络服务合同，被告发布新的隐私政策、指引，构成“变更合同条款的要约”。但是，原告同意隐私政策，未必具备法效意思，双方之间并非当然存在合同关系，法院却下意识地将个人信息处理关系解读为合同关系。按照这一理解，平台经营者不得未经协商更新用户协议、隐私政策，否则就是单方变更合同内容；应用程序提供者也不得自由更新应用程序，否则就是未经同意变更履行方式，应当承担违约责任。这显然不符合数字经济实践。上述问题的根源在于，人们尚未厘清数据交易法律关系，对数据交易法律结构的认知也明显不足。数据交易远较股票交易复杂，将数据交易比为股票买卖，将使不同行为被一体检视，不同的法律关系被划一地评价。只有廓清数据交易的基本结构，才能准确适用规则。有鉴于此，本文首先梳理实践中的数据交易模式，分析个人数据交易的特性及其对交易结构的影响，继之深入剖析个人数据交易的双重法律结构，并运用解释论的方法，结合民法典和个人信息保护法相关规范讨论数据交易的规则适用，以为数据交易市场的蓬勃发展提供清晰的规范框架。二、个人数据交易的特性及其对交易结构的影响欲剖析个人数据交易的基本结构，有必要探究当下个人数据交易的主要类型，分析数据交易的基本特征。依据交易主体的不同，个人数据交易大致分为三类：大数据交易所模式、企业之间的传输模式、企业和个人之间的交易模式。其中，个人数据交易的主要模式是企业与企业之间、企业与个人之间的“场外交易模式”。（一）个人数据交易的动态性大数据交易所的数据交易以一次性的数据传输为主。大数据交易所是按照股票交易的逻辑设计数据交易规则的，因此强调数据的一次性传输，但一次性的数据对数据公司意义有限。只有借助持续更新的数据，数据公司才能不断推测出用户的喜好、行为习惯或信用等信息。大数据交易所一次性的数据传输根本不能满足用户画像的需求。数据供给与数据需求不匹配，无怪乎大数据交易所的运行状况不理想。企业间的个人数据交易远较“场内交易”活跃。企业之间的交易模式主要有两种：一是企业通过开放接口的方式，允许他方访问数据（动态交易模式）；二是企业按照客户需求收集、处理、传输个人数据，满足客户定制数据的要求（数据定制模式）。在动态交易模式中，数据出卖人提供API接口，供数据买受人持续访问数据，满足其对数据时效性的要求。没有时效的数据是没有价值的。相较于一次性买卖，数据买受人更需要实时更新的数据。在新浪微博诉脉脉案中，交易双方采用动态交易模式，由新浪微博向脉脉提供API接口，供脉脉实时获取个人信息。在数据定制模式中，进行交易的数据在缔约时并不存在，个人数据交易的过程是数据出卖人收集个人信息的过程。例如，数据买受人为了摆脱新款移动应用程序“冷启动”的困扰，委托数据出卖人收集特别类型、范围的个人数据并将之传输给自己。在数据定制模式中，数据交易也具有动态性，因为只有数据出卖人不断更新数据，才能满足定制人对数据质量的要求。企业与个人之间的个人数据交易具有持续性。个人可以自行记录其个人数据，包括其访问的HTML页面以及点击的位置、谈话记录、电子邮件记录、自己所看画面的截屏、电脑的摄像头画面、位置信息、所使用的手机软件等数据信息，通过网站出售，获得收入。相较于这种偶尔的、多是针对特定人的一次性数据交易，长期交换才是企业与个人之间个人数据交易的主要模式。例如，餐馆可能通过经常提供优惠券、折扣等方式，要求用户绑定手机号或关注公众号，从而持续收集个人信息；各大商场往往通过积分兑换停车券的方式，收集个人的生日、手机号、长期消费记录等个人信息；支付软件以提供抵扣金为对价，要求个人同意指纹支付或人脸支付等。借助持续性的数据收集行为，数据公司可以不断地处理个人数据，从而发现潜在的商业机会或更好的营销手段。正是因为企业会持续性地收集个人信息，如何现实地防止“一次同意，终生后悔”，才成为个人信息保护的重中之重。综上，一次性交易并非个人数据交易的常态，动态交易才是交易的典型样态，因为实时更新的数据更有价值。个人数据交易是一个动态过程，在这个过程中数据出卖人与数据买受人处于一种持续性的债之关系中。一旦我们理解个人数据交易的动态性，便不会将之类比为一次性的股票买卖，而是更关注持续性关系的复杂性。（二）个人数据交易的非排他性大数据交易所要求数据出卖人确保对个人数据绝对的、排他的“处分权”，但在个人数据交易场景，个人信息主体的权利并不因数据交易而丧失。为避免引发合法性危机，大数据交易所往往不允许个人参与个人数据交易。即便是允许自然人数据交易的平台，在交易时要么设置企业验证的障碍，要么该部分数据不存在。大数据交易所更愿意出售公共数据和经过处理的非原始数据。随着公共数据的有序开放，数据企业可以通过申请的方式获得对公共数据的访问权，似无通过大数据交易所购买的必要；至于处理后的非原始数据，数据买受人缺乏判断数据可信度的手段，这导致数据买受人对非原始数据不感兴趣。过度专注于对数据要素的排他性占有，是大数据交易所遇冷的另一重要原因。在企业之间的数据交易中，任何一方都没有实现对数据的排他性控制，任何一方也都希望对方能够持续访问数据。信息产品的价值运动具有特殊性，不像物质商品的交换会随着对商品控制状态的变化而转移全部使用价值。数据出卖人并非在一次性传输数据后就丧失对数据的控制，而是可以持续访问和更新数据。数据买受人也不寻求对数据的排他性控制，因为静态的数据对数据买受人意义不大，数据买受人希望访问的是不断更新的数据。在企业与个人之间的数据交易中，两方均能访问个人数据。企业需要借助协议不断更新个人信息，精准推测个人的喜好、行为习惯、信用、健康状况等重要信息，个人也没有因数据交易丧失个人信息权益。即便企业通过协议限制个人信息主体的权利，该限制也因抵触个人信息保护法而无效。另值一提的是，数据交易的非排他性是数据交易动态性的逻辑必然。数据出卖人要满足买受人的经济诉求，只能不断访问和更新个人数据。在这个过程中，数据交易双方当然均有权访问、复制和使用个人数据。数据出卖人和数据买受人“共同占有”个人数据，任何一方都不能实现对数据的排他性占有，因为这将阻碍数据的传输或更新。（三）个人数据交易特性决定的双重法律结构在个人数据交易中，数据出卖人和数据买受人处于持续性的数据收集或传输关系中，任何一方均不能排他地控制个人数据。在买卖关系中，履行行为（如标的物占有的移转）被界定为事实行为，但在个人数据交易中，数据收集或传输行为不能被理解为事实行为，而是有着不同于合同履行的特殊意义。（1）数据交易的动态性使数据处理活动有单独规范的必要。在一次完整的数据交易中，当事人一时缔结合同，随后便是持续地数据收集或传输。这是两类不同的行为，且后者的持续时间更长。随着个人数据的不断聚合，数据的社会经济价值越发突显。与此同时，数据活动的危险性也越来越高。愈是持续性的数据汇集，个人信息泄露、被滥用或个人被算法钳制遭遇“大数据杀熟”的可能性就愈高，危害也会呈几何倍数增长。持续性的数据活动有单独规范的必要，个人信息保护法应运而生。（2）数据交易的非排他性表明，数据传输是个人信息主体行使权利的结果。个人数据交易没有导致个人信息主体丧失个人信息权利，个人信息主体可以持续地影响个人信息处理活动。个人信息保护法第44条及以下规定的限制处理权、拒绝权、访问权、更正权和删除权等权利，贯彻个人信息处理活动的全生命周期，并不随个人的同意而丧失。个人信息保护法第15条第1款更是允许个人随时撤回同意，清楚地表明个人对个人信息的影响并未随着合同签订而丧失。从某种意义上说，数据合同的目的就是获得个人对于数据活动的同意。因此，数据交易中的数据处理活动并非仅是数据买受人基于合同的有权行为，也是个人信息主体行使个人信息权利的具体表现。一旦认识到数据活动的特殊性，我们就不能将数据处理简单地理解为数据合同的履行行为，而应当区分合同与个人信息处理。将个人信息处理行为与基础性合同相区分，类似于区分肖像使用许可与肖像许可使用合同。肖像权属于典型的标表型人格权，权利人不能转让肖像权，但可以许可他人使用肖像。只有区分肖像许可使用行为与肖像许可使用合同，才能避免将生活中大量的照片分享行为解读为法律行为。肖像权人可能只是随意允许他人使用自己的照片，如肖像权人允许他人将自己的照片或与其他人合拍的照片上传到社交平台，此时双方并不具备法效意思：很难想象肖像权人会愿意受合同的拘束。此外，即便肖像权人与他人缔结有效的肖像许可使用合同，考虑到肖像中蕴含人格利益，持续性使用肖像可能对肖像权人产生不利影响，肖像权人需要有撤回许可的机会。同理，个人信息处理行为与缔约行为不同，前者关乎人格利益，后者则体现财产价值。个人信息处理行为也可能对个人信息主体产生不利影响，因此，个人信息保护法规定了特殊的个人信息权利（如撤回同意）。换个角度思考，数字化的肖像即为个人信息，个人信息处理与肖像权许可使用存在一定程度的重合。在日常生活中，肖像权人许可他人分享照片的，也可以被解读为个人信息主体与他人分享个人信息。此时，分享个人信息的行为显然不是缔约行为。综上所述，数据交易的动态性与非排他性，使得我们不能简单地将数据交易界定为数据买卖，或将数据处理界定为合同项下的履约行为。数据处理有着独立的法律意义，数据交易的双重结构由此展开。三、个人数据交易双重法律结构的展开数据交易以合同为工具，盖合同是最灵活、最有效的资源配置工具；数据合同的目的并非获得数据所有权，而是获得个人的同意，实现动态的、持续的数据汇集。数据交易的法律结构即由合同关系与个人信息处理关系构成。（一）双重结构的逻辑前提：承诺与同意之分数据合同的目的是获得个人的同意。是故，在一次完整的个人数据交易中，应同时存在对缔约的承诺与对个人信息处理的同意。根据民法典第479条，承诺是受要约人同意要约的意思表示。那么，个人的同意是否属于意思表示？我国个人信息保护法未规定同意的含义。如前所述，数据收集或传输不是事实行为。个人信息保护法若干规则也重视同意的发出，事实行为理论显然不足以解释上述法律规则。同意是一种表示行为，但表示行为不一定属于意思表示，需要结合意思表示的要素讨论同意的法律性质。意思表示的要素包括行为意思、表示意识和法效意思。个人同意具有行为意思、表示意识，但可能不具备法效意思。法效意思是行为人欲依其表示发生特定法律效果的意思。很难想象个人同意服务协议、隐私政策是为了提供数据——用户只想快速打开应用程序，获得网络服务。社会调查也表明，个人对于隐私风险的认知往往非常有限，平台的隐私政策又非常复杂和冗长，用户不仅要花费大量时间阅读，而且也很难理解，个人几乎“理性地”不阅读相关的隐私公告。即便如此，根据个人信息保护法第13条第1款第1项，个人信息处理者只要获得个人的同意，就可以处理个人信息。这表明，个人的同意是依据法律规定发生效果，而非依当事人的主观意愿。再者，根据个人信息保护法第31条，年满14周岁的未成年人可以独立表示同意。未成年人不具备表达法效意思的行为能力，但却可以提供有效的同意。个人信息保护法第31条充分表明，同意不需要行为能力。因此，个人的同意并非法律行为，应被界定为准法律行为。将同意界定为准法律行为，也可以得到比较法的印证。在欧盟《通用数据保护条例》（GDPR）的德文版中，第4条第11项指出，同意是一种意思通知（Willensbekundung），而非意思表示（Willenserklärung）。意思通知是准法律行为。在界定个人信息主体同意的法律性质之后，逻辑上自然引出对其效力的追问。意思表示的功能在于扩张私法自治：法秩序通过认可表示出的内在意思，促使法律世界中的自我形成与自我实现。个人同意的功能则在于排除行为的违法性，如果没有个人的同意，行为可能构成对人格权益的侵犯。从文义可知，个人信息保护法第13条第1款正是从违法性排除的角度规定个人信息处理的正当化事由。个人信息保护法中关于同意的具体规则，也是围绕违法性排除的功能设计的：（1）同意必须清晰、明确作出，默示同意不能排除违法性。（2）根据个人信息保护法第6条，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。目的限制条款被视为个人信息保护的“主要构造原则”和“关键性枢纽”。倘若不了解个人信息处理的目的，个人信息主体将无法清晰地权衡个人信息处理活动带来的机会和风险。（3）当同意不符合要求时，个人信息处理行为构成对个人信息的侵犯，个人信息处理者应承担侵权责任。（二）双重结构的核心内容：基础性合同与个人信息处理活动二分个人数据交易中存在缔结合同的承诺与排除违法性的同意，不同属性的行为勾勒出基础性合同关系与个人信息处理关系的基本形态。基础性合同与个人信息处理活动相互独立，二者的效力也应分别判断。1.基础性合同与个人信息处理活动相互独立。一方面，基础性合同不能替代排除违法性的同意。在前述“人脸识别第一案”中，当事人之间缔结有效的服务合同，但处理指纹信息、个人面部信息的，应当征得当事人的明确同意。表意人缔结合同的承诺不能替代排除违法性的同意。在企业之间的个人数据交易中，合同双方可以签署协议，允许他方通过接口使用自己平台上的数据，但合同相对方能否合法地处理平台上的个人信息，依赖于个人信息主体的同意。否则，即便企业之间存在有效的合同，个人信息处理活动因欠缺个人的同意而不能阻却违法。另一方面，个人信息处理关系的存在并不意味着双方之间存在合同关系。人们容易下意识地认为，用户是通过让渡个人数据换取平台经营者的服务：服务并非免费，用户虽然没有支付金钱，但通过提供个人数据获得服务。但是，个人信息与一般性的产品或服务之间不存在对价关系，同意本身不能替代承诺。根据个人信息保护法第16条前半句，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。亦即，当个人信息主体不同意提供个人信息时，个人信息处理者仍应提供产品或服务。该条明确否定个人信息与一般性的产品或服务之间的对价关系。德国学者罗戈施也指出，个人信息主体的同意因缺乏主给付义务而不能构成债务合同意义上的同意。他认为，同意非债法上的义务，同意仅与个人信息处理活动相关，与合同缔结无关。在最早推广互联网业务的美国，隐私政策、服务协议等也多被认为不具备可执行性，因为上述文件不具备合同法上的拘束力。美国内华达州地区法院在2012年指出，滚动浏览网页或单击新软件产品的“下载”按钮不足以构成对基本条款的同意，即使用户协议如是规定亦然。在2018年的“脸书案”中，脸书公司认为，他们通过应用程序收集个人信息并传输给剑桥分析公司，征得了用户的事先同意，符合合同约定。美国联邦贸易委员会（FTC）最终处罚脸书公司支付50亿美元，因为个人信息与应用程序服务之间不存在对价关系，用户不需要接受用户协议的束缚，脸书是在滥用用户的信任。可见，基础性合同与个人信息处理活动相互独立，彼此不可替代。2.基础性合同和个人信息处理活动的效力应分别判断。一方面，即便当事人之间缔结了有效的合同，个人信息处理活动也不一定具备合法性基础。例如，双方可以缔结有效的人脸识别合同，但若个人信息处理活动不能满足必要性要求，仍然不能处理个人面部信息（个人信息保护法第26条）。可能的反对意见在于，在数据交易中，如果个人信息处理是履行合同所必需，根据个人信息保护法第13条第1款第2项不需要征得个人的同意。这种理解符合文义，但也会引发借助合同工具架空明确同意、单独同意等个人信息保护规则的风险。欧洲数据保护委员会（EDPB）在2019年发布的围绕“履行合同所必需”这一要件的指南中明确指出，该项规则针对的个人数据处理构成服务的重要组成部分的情况，包括信用卡支付、预先输入邮编确认货源情况等。德国学者也指出，“履行合同所必需”这一合法性事由，针对的是提供个人信息辅助履行合同的情况，而非个人信息处理本身就是合同的标的。应当狭义地理解“履行合同所必需”这一事由，将之限定于辅助履行的情形，如导航服务提供地理位置信息、信用卡或微信支付向第三方传输数据等情况。因此，有效的数据交易合同并非个人信息处理的合法性基础。另一方面，即便双方之间的合同无效，只要存在合法性事由，个人信息处理活动就不存在违法问题。个人信息保护法第13条第1款规定了个人信息处理的七种合法性基础，知情同意仅是其中一种，个人信息处理主体还可以依据履行法定职责或法定义务、应对公共卫生安全事件、处理已经公开的个人信息等事由处理个人信息。该条第2款专门强调，个人信息处理活动符合其他合法性事由的，无需取得个人同意。例如，根据个人信息保护法第21条，个人信息处理者可以不征得个人同意而委托他人处理个人信息。若当事人明确约定不得交由第三方处理个人数据，企业却委托第三方处理个人信息，企业将承担违约责任，但根据该条个人信息处理活动仍然合法。因此，个人信息处理活动的合法性与基础性合同的效力不能等同视之。反对意见或在于，民法典对肖像权许可使用没有区分基础性合同关系与肖像许可使用关系，但这已经引发了深刻的批评与质疑。民法典第1021条规定，双方对肖像许可使用合同中关于肖像使用条款的理解有争议的，应当作出有利于肖像权人的解释。但是，既然存在有效的债之关系，法秩序为何还要偏袒肖像权人？即便是针对力量关系失衡的格式合同，也应先按照通常理解进行解释；有两种以上解释的，才应当作出不利于格式条款提供方的解释。在肖像许可使用交易中，肖像权人未必处于劣势。但另一方面，民法典第1022条却又限制肖像权人解除肖像许可使用合同的权利。肖像权是人格权的重要类型之一，肖像许可使用合同之解除却需要额外提供正当理由，而对于未必具有人格利益的琐碎个人信息，信息主体却可以不问理由任意撤回，立法评价明显失衡。上述规定其实是将债之关系与许可使用关系混为一谈。在合同关系中，交易安全是法秩序追求的目标之一，格式条款规则也强调实现多元价值之间的平衡；在许可使用关系中，则应严格判断同意的合法性，疑义情况视为未获得肖像权人的同意。同理，肖像权人应有权随时撤回对肖像使用的同意。肖像权人任意撤回同意的，可能根据民法典第577条及以下条款承担违约责任，但撤回同意的权利不应受到限制。实定法的不足表明区分法律关系配置规范的必要性。（三）个人数据交易双重结构的原则与例外个人数据交易以合同为交易工具，以个人的同意满足合法性需求。原则上，只有同时存在个人的承诺与同意，个人数据交易的双重结构才能成立。（1）企业之间的个人数据交易由两次同意与一次承诺构成。企业通过要约与承诺缔结有效的数据传输合同，通过获得个人信息主体的同意，使个人数据的收集、传输和使用具备合法性。目前司法实践强调的“三重同意原则”，其实混淆了承诺与同意的关系。企业之间的数据传输是由两次同意（个人与两个企业之间）和一次承诺（企业之间）构成的，并不存在三重同意。（2）企业与个人的数据交易则由一次承诺和一次同意构成。如果仅有同意，则仅为纯粹的个人信息处理活动。例如，在“知乎案”中，仅有个人的同意，没有有效的承诺，是故知乎平台变更隐私政策的行为不构成违约。当事人之间也可能仅有承诺，但缺乏个人信息主体的同意。在德国“开心集点卡（Happy

2022年10月29日，“数字法学青年论坛”在线上举办。本次论坛系华东政法大学建校七十周年系列学术活动，由华东政法大学数字法治研究院主办，北京航空航天大学工业和信息化法治战略与管理重点实验室、《华东政法大学学报》《北京航空航天大学学报（社会科学版）》《民主与法制时报》《数字法学评论》协办，来自北京航空航天大学、中央党校、山东大学、华东理工大学、中国法学会、北京大学、浙江工业大学等十余家单位的数十位专家学者参与论坛。此次会议围绕数字法学发展中的显著问题，就数字法理与数字权利、数字生产与数据隐私、数字经济与平台治理、数字技术与电子证据、智慧司法与数字正义、公共数据与数据跨境、信息保护与算法公平、区块链法治与数字货币等话题进行了充分交流。开幕致辞●

作者介绍作者：张婷（1987-），女，山西阳泉人，法学博士，中国政法大学网络法学研究院讲师，研究方向：信息与数据安全，网络犯罪。来源：《法学论坛》2022年第5期“热点聚焦”栏目。摘要：信息互联网向价值互联网之转型催生数据安全风险的变异与升级。我国当前数据刑法体系在面对数据威胁型网络黑灰产这一典型样态时，表现出明显的规范评价分歧、法律规制不力等现实问题。究其原因，在于建构于信息中心主义理论之上的“静态数据-动态信息”双核法益保护模式已无法有效涵盖数据的全部属性。在社会治理数字化转型的深化期，积极调整数据违法行为的犯罪化立场，实现“数字安全法益观”导向下传统数据犯罪风险防范体系的转型，是时代的应然选择。在“数字安全法益观”之下，践行“重塑以数据为中心的法益保护体系+完善数据用户权益的全周期性保护”纵横双向路径，有助于推动数据刑法的立法和司法完善，构筑保障数据安全的法律屏障。关键词：数据安全；数据威胁型网络黑灰产；数据犯罪；数字安全法益观《法学论坛》2022年第5期（第37卷，总第203期）目次一、传统数据安全风险变异的背景分析二、数字经济时代数据犯罪的最新指向与刑法挑战三、数据安全刑法保护范式的基本思考四、数据刑法的应然转向：“数字安全法益观”之确立

DigitalLaw_ECUPL探寻数字法治逻辑展望数字正义图景战略合作伙伴：上海中联律师事务所

丁晓东，中国人民大学法学院教授、博士生导师、未来法治研究院副院长本文发表于《法治研究》2022年第5期，转载自“法治研究杂志社”公众号。·摘要：个人信息保护制度在多个层面呈现了公私法融合特征。其法律渊源同时包括宪法与民法；其调整关系为持续性不平等的处理关系；其保护群体同时囊括个体与群体；其保护法益兼具公益与私益；其告知同意制度具有合同的表面特征，但与合同具有本质性区别；其损害救济需要面对大规模、微型、不确定性的伤害，与违约责任和侵权救济具有很大区别；其监管采取了合作治理模式，很多措施介于政府监管与自我规制之间。公私法本身是一种人为想象，其二元划分也并非历史必然。从公私法融合的角度出发，不仅有利于深化对个人信息保护法的研究，而且可以为传统公法与私法提供新的制度想象。·目录：一、法律渊源的公私法融合二、调整关系的公私法融合三、保护群体的公私法融合四、保护法益的公私法融合五、告知同意制度的公私法融合六、损害救济的公私法融合七、监管制度的公私法融合八、结语：个人信息保护公私法融合的法理意义文章来源：《法治研究》2022年第5期随着我国《个人信息保护法》的通过与实施，围绕这部法律的部门法属性再次引起了学界的关注与讨论。区别于传统公法与私法，《个人信息保护法》首先是一部“领域性立法”，是专门针对个人信息处理而进行的立法，其中包含了大量的公法要素与私法要素。再加上这一领域吸引了公法、私法以及社会法、法理学等不同学科学者的深度参与，不同领域的学者又更倾向从自身的学术背景与知识传统切入这一领域的研究，更使得这部法律的部门法属性成为一个争议性议题。《个人信息保护法》到底是公法还是私法？或者更具公法属性还是更具有私法属性？这一问题有多种讨论方式。一种讨论方式是通过讨论将《个人信息保护法》划入某个学科，例如宪法行政法、民商法或者社会法、法理学学科。而另一种讨论方式是，通过讨论深化对这部法律的认识。在本文看来，前一种讨论方式不仅没有意义，而且还可能对学术风气造成重大伤害，导致学科本位主义或“饭碗法学”。而后一类讨论虽然已经很多，但仍然有进一步拓展的必要。一旦超越学科利益之争，将《个人信息保护法》的部门法属性讨论转化为个人信息保护的一般理论与制度问题，可以大大深化对这部法律的认识。本文在已有研究的基础上对《个人信息保护法》的公私法属性进行进一步研究，同时也指出，公私法是一种人为拟制，并不存在绝对的公法或私法。即使看上去最“纯正”的公法，也蕴含了私法因素；反之亦然，即使看上去最“纯正”的私法，也离不开公法的介入。公私法的二元划分本身就是一种历史想象。同时，法律制度的拟制最终是为了实现法律的良法善治，而非为了制度想象的完美。因此在法理层面，公私法融合研究指向了面向生活、具有马克思主义认识论与实用主义特征的法学研究。这种法学研究进路要求研究者避免将既有公法或私法框架简单套用在个人信息保护法上。相反，研究者应像马克思主义所教导的那样，采取直面真实世界和棘手问题的研究态度对待公私法的协调与配合问题，并在实践中检验理论的解释力与指导性。从面相真实世界的研究方法出发，可以深化对个人信息保护法相关制度的认识，也可以为公法研究与私法研究提供创新与突破的历史契机，促进传统公私法研究的突破。一、法律渊源的公私法融合就法律渊源而言，《个人信息保护法》既具有宪法等公法性渊源，又具有民事法律渊源。在《个人信息保护法》的制定过程与学术讨论中，早期学界比较聚焦的是《个人信息保护法》与《民法典》的关系。这其中原因之一在于，个人信息保护与隐私权保护有着千丝万缕的联系，早期介入个人信息保护研究的学者，除了一部分公法学者从规制的角度切入，更多学者都从隐私权研究切入，对个人信息保护进行研究。此外，我国《民法典》刚好在《个人信息保护法》之前制定，而且《民法典》人格权编独立成编，在其中纳入了大篇幅的个人信息保护条款，这就使得《个人信息保护法》与《民法典》具有极为密切的关系。相较之下，《个人信息保护法》的宪法渊源在制定过程中长期未得到明确，《个人信息保护法》的一二审稿草案都没有写入“根据宪法，制定本法”的表述。但在2021年6月24-25日举行的内部专家讨论会上，《个人信息保护法》的宪法渊源得到了专家学者和起草者们的认可。在最终通过的正式版本中，“根据宪法，制定本法”也出现在法律文本中。因此从法律文本来看，《个人信息保护法》的公法渊源已逐渐明确。从比较法的角度看，个人信息保护法在有些国家和地区也呈现了公私法的双重渊源。以欧盟为例，欧盟的个人数据保护法具有更显著的公法渊源。例如《一般数据保护条例》第1条即明确，“本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利”，其“重述”又进一步明确其法律渊源：“在处理个人数据方面保护自然人是一项基本权利。《欧盟基本权利宪章》（‘宪章’）第8（1）条和《欧盟运作条约》（TFEU）第16（1）条规定，每个人都有权保护自己的个人数据”。当然，《一般数据保护条例》也将很多具体制度的法律渊源追溯到民事法律制度上。例如对于因为违反本《条例》而受到物质或非物质性伤害，其赔偿需要通过各国的民事法律制度进行判断。相较之下，美国个人信息保护法的私法渊源相对明显。需要指出，美国的法律一般不在其法律文本中标明其法律渊源，因为美国法一般认为其效力渊源来自美国人民或州公民。但从其文本与相关特征来看，仍然可以看到美国个人信息保护法的市场调整法的特征。在美国的信息隐私法体系中，除了《隐私法》（ThePrivacyActof1974）规制联邦规制机构，以及《家庭教育权利与隐私法》（FamilyEducationalRightsandPrivacyActof1974）规制公共性机构之外，美国联邦和州层面的大多数信息隐私法都主要针对市场，具有市场矫正法的特征。例如《公平信用报告法》（FairCreditReportingAct）具有针对信用市场的特征；联邦有线通讯政策法案（CableCommunicationsPolicyAct）、视频隐私保护法（VideoPrivacyProtectionAct）具有分别保护特定领域市场的特征。至于《加州消费者隐私保护法》和《弗吉尼亚州消费者隐私保护法》，则更是具有非常明显的消费者保护法特征，而且前者还被编撰在《加州民法典》中。因此，美国的个人信息保护法可以被视为消费者保护法或者特殊类型的消费者隐私保护法。这些法律具有明显私法属性，但也具有显著的公法特征。欧美个人信息保护法法律渊源的区别，其实也反应了欧美法律制度的特点。在欧洲，公法私法化在不少民事权利保护中扮演了重要角色。例如对于隐私权保护，德国就是以其基本法中的人格尊严条款作为渊源，在“读者来信案”“骑士案”“伊朗王后案”等案件中最终确立了民法上的隐私权保护。对于与个人信息保护密切相关的“个人信息自决权”，德国宪法法院也是从宪法层面寻求法律渊源。至于在欧盟层面，由于欧盟是一个人为通过宪法而建构的共同体，则更是经常通过公法的私法化而寻求欧盟人权与统一市场的建构。相反，美国的法律模式没有公私法的严格区分。美国的宪法模式以消极权利保护为主，对立法与政府规制保持防范的立场。在这样的背景下，美国的很多立法与规制机构所进行的规则制定（rulemaking）与案例裁判（adjudication），往往具备市场调整法的特征。这些法律常常会被认为是矫正或完善市场的一部分，但又在实质上具备公法介入的特征。如果说欧洲的法律更多为公法的私法化，那么美国的立法则更多为私法的公法化。对比欧美，我国的《个人信息保护法》更为偏向公法私法化还是私法公法化？从文本上看，我国与欧盟更为接近，因此或许可以被视为公法的私法化。但无论是文化背景还是关注重点，我国的《个人信息保护法》与欧盟的《一般数据保护条例》都存在较大区别。正如笔者在其他地方论述，我国的个人信息保护法并没有欧盟那么显著的意识形态特征。如果说欧盟将个人信息处理视为本身即对个人产生威胁的活动，那么我国则相对更为实用主义，更多关注伴随个人信息处理活动的各类风险与问题，特别是企业与市场主体收集与处理个人信息带来的问题。因此，我国的《个人信息保护法》具有较为显著的消费者保护目的。从公私法特征来看，可以说我国的《个人信息保护法》虽然在文本上具有公法私法化的特征，但在实质上也具有显著的私法公法化特征。二、调整关系的公私法融合就调整关系而言，个人信息保护法所针对的是一种“持续性不平等关系”。一方面，各国都将平等主体排除在个人信息保护法之外。例如中欧这样采取统一立法的国家和地区，都在其法律条文中明确排除了“因个人或家庭事务而处理个人信息”。而美国《加州消费者隐私保护法》和《弗吉尼亚消费者隐私法》则把中小企业或非专业化商家排除在外。可见，个人信息保护法所调整的法律关系具有不平等性，只有对那些具有专业化或商业化信息处理能力的主体，才能被认定为法律上的“控制者”或“处理者”，成为个人信息保护法所防范和治理的对象。个人信息保护法所调整的不平等关系还具有持续性与支配性特征。在信息处理者与个人所形成的关系中，双方的不平等不仅仅是大企业与个人、专业化信息处理者与个体之间的能力不平等问题，也不仅仅是信息不对称所引起的信息不平等。相比传统市场中产品的信息不对称，个人信息一旦被信息处理者收集，就可能长期为信息处理者利用甚至操纵。这就使得个人信息保护中的不平等关系与一般的信息不对称具有重大区别。正如巴尔金所言：“除了信息不对称和缺乏透明度外，还存在权力不对称，因为一方控制应用程序的设计，另一方必须在该设计内操作。收集数据后，总有被操纵的危险。但在接口和服务的设计中，也存在着操纵，以鼓励数据共享并隐藏我们的选择和行动的后果。”信息不对称可以通过信息披露矫正，而支配性的不平等则很难仅通过信息机制来解决。从部门法属性看，个人信息保护法所调整的不平等主体关系呈现了公私法高度融合的特征，区别于传统公法或私法。就私法而言，传统私法强调主体平等性，且以平等原则拟制所调整主体的关系。例如我国《民法典》第2条规定：“民法调整平等主体的自然人、法人和非法人组织之间的人身关系和财产关系。”第4条规定：“民事主体在民事活动中的法律地位一律平等。”这就使个人信息保护法的制度设计与传统私法存在较大区别。在消费者保护、劳动者保护的法律制度中，私法中就嵌入了很多公法因素，以实现法律的倾斜保护。在个人信息保护的法律制度中，这种倾斜保护特征更为明显。无论是我国还是欧美，全球个人的信息保护法都以公平信息实践为基础，一方面赋予个人以知情选择权、访问权、删除权、携带权等多项权利，另一方面对信息处理者施加相应义务和其他责任。就公法而言，个人信息保护法所调整的关系也与传统的公权力与个人关系不同。无论是我国的《个人信息保护法》还是欧盟、日本等国的法律，都以“处理”为前提，只针对那些采取了自动化、半自动化或大规模存档行为的国家机关。正如欧盟《一般数据保护条例》所述，“本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理”。因此，个人信息保护法所调整的国家机关与个人之间的关系更接近于国家机关雇佣个人所形成的劳动关系，而非传统国家权力与公民之间的关系。如果国家机关对于个人的信息并不存在自动化或半自动化的处理行为，也不存在大规模的手动存档行为，则此类行为并不构成处理，不属于个人信息保护法所调整的范畴。例如国家执法机关的工作人员在日常执法中进行的偶发性的查证、问询，但不对信息进行系统化存储与处理，则此类行为不受《个人信息保护法》调整，而受其他宪法性法律或《民法典》隐私权规则的调整。在学术研究的划分中，由国家执法监控所导致的个人信息保护问题也常常被划入其他领域的研究范畴，例如监控研究（surveillance）或宪法隐私（constitutionalprivacy）研究。从历史角度看，个人信息保护所调整的主体关系也呈现了公私法融合的特征。个人信息保护的产生背景是行政规制机构大规模收集与处理个人信息，因此很多早期立法都针对政府机构，具有显著的公法特征。例如美国于1974年制定的首部具有正式个人信息保护法特征的《隐私法》，就以联邦政府规制机构为对象，将私营主体排除在外。在立法听证过程中，以威斯丁为代表的专家明确主张，虽然私营企业也开始收集个人信息，但其规模和风险还不足以需要法律对其进行规制。欧洲大陆首部个人信息保护法——德国的《黑森州数据保护法》——也同样针对行政机关。这一法律明确从分权制衡原则出发，将监管机构设立在黑森州议会之下。但随着时代的发展与信息科技的进步，大规模收集与处理个人信息的主体发生了变化，企业开始收集越来越多的个人信息，并进行深度挖掘与处理。在这样的背景下，原先被适用于规制机构的个人信息保护制度开始广泛应用于私营主体。在西方传统法学研究中，不平等关系曾经一直处于边缘地位。在大陆法系，平等原则一直被认为是民法的奠基性原则，直至现代民法，才出现了消费者保护、劳动者保护对“弱而愚”的人的关注。在美国，由于美国对于市场制度的崇尚，消费者保护、劳动者保护等问题经常被转换为信息不对称等市场不完善问题。但在反就业歧视等领域，社会性的不平等与社会权利也开始凸显。特别是随着网络平台的兴起，一些学者指出，社会与市场领域已经出现了大量的“平台权力”“数据权力”“算法权力”。在这样的背景下，有学者指出，西方社会的很多问题都不宜再用公私二元的框架进行分析，而应当采取国家——社会主体——个人的三元框架。在我国，这一三元分析框架很早就在劳动法、社会法等领域被接受。随着个人信息保护法的讨论深入，这一法律所调整的不平等关系也开始逐渐成为立法者与学术界的共识。三、保护群体的公私法融合就保护群体而言，个人信息所保护的既有个体权益，又有集体权益。个人信息保护首先与个人信息权利或权益密切相关，无论是威斯丁所说的“个人、群体或机构对自身信息在何时、如何以及在什么程度与他人沟通的主张”，还是上文提到的德国语境下的个人信息自决权，都从个体权益的角度出发；个人信息保护法制度中的各种个人信息权利，也都反映了典型的个体权益的思维。但个人信息保护法也对作为集体的个人信息权益进行保护。例如，各国法律一般都要求信息处理者遵守目的限定（purposelimit）、数据最小化（dataminimizaiton）、隐私设计（privacybydesign）、隐私影响评估（privacyimpactassessments），雇佣数据保护官（dataprotectionofficer）、企业审计（audit），遵守行业行为准则（codeofconduct）。要求信息处理者满足这些原则，可以对集体性的个人信息权益进行保护。需要指出，个人信息所保护个体权益与集体权益经常互相转化。正如各类官方文件与学术研究指出，个人信息被保护权并非一种绝对性权利，个人信息兼具个体属性与公共流通属性。这使得法律对个人信息的过度保护和保护不足都会带来外部性问题，从而影响集体性权益。一方面，如果对个人信息过度保护，赋予个体以绝对化的个人信息权利，阻碍或不允许企业与公共机构对个人信息的合理正当利用，则个人信息的正外部性特征就会丧失，所谓的大数据优势也就无从谈起。另一方面，如果对个人信息保护不足，那么个人信息就会产生“数据污染”（datapollution），引起类似环境法中的副外部性问题。当个人信息保护不足的风险产生聚焦效应，由此产生的系统性风险就会对集体性权益产生重大影响，因为个人信息往往可以交互联系，某一个体的个人信息很可能会被用于识别、分析和支配其他个体。集体权益保护也会对个人信息权益保护的边界产生影响。近年来，数据信托、数据治理等概念成为热门概念。数据信托或数据治理的重要特征之一就在于，需要超越个体信息权益保护，对数据生态进行综合治理。当一个国家和地区的数据生态呈现良好状态，由个人信息收集与处理所导致的相关风险得以良好治理，则个人信息保护与合理利用的天平就可以向后者倾斜；相反，当相关数据生态遭到破坏，各类数据黑产、数据不规范交易猖獗，则个人信息就需要更多保护与限制。否则，不但个人将面临相关无法承受的风险，整个行业的数据信任也将遭到破坏，反噬数字经济的发展。从部门法的角度看，个体权益与集体权益的融合也说明了个人信息保护法的公私法融合特征。在传统法学体系中，一般而言私法倾向于调整个体权益；公法倾向于调整集体权益。以西方的劳动法为例，一般认为调整个体劳动法的雇佣法（employmentlaw）更偏向私法；调整集体劳动关系的劳动法（laborlaw）则更偏向公法。但这种二元划分也受到了很多批判，因为包括劳动法在内的很多制度，其对个体权益与集体权益的保护往往高度交叉。个人信息保护法更是具有收益与风险的外溢型特征。因此，不少学者将其与环境法类比，阐述个人信息保护法中同时蕴含的私人权益与集体性权益的融合。四、保护法益的公私法融合保护法益与上一部分所探讨的保护群体具有一定重合性，但也有较大不同。个体权益可能具有公共属性，反之，集体性权益也可能是一部分私人权益的集合。一方面，个人信息所保护的法益可能是私益，例如个体的自主利益。对此，学术界已有大量论述。例如，查尔斯·弗雷德（CharlesFried）指出，法律不仅仅需要保护个人隐私不被窥探，还需要保护“我们对于自身信息的控制”，以维护自身的自主利益。阿瑟·米勒（ArthurR.Miller）主张，法律应保护个体“对于自身对于相关信息流通的控制能力，这种能力对于维持社会关系以及自身自由都至关重要”。朱丽叶·科恩（JulieE.Cohen）指出，个人信息保护可以“让人们有喘息的空间”，让个体免受同侪压力（peer-pressure）以及来自商业社会所激发的欲望。丹尼尔·索洛夫（DanielSolove）也曾提出，个人信息保护可以“为人们提供通知、访问和控制其数据的能力”，这可以在“越来越多地使用个人数据对他们做出决定的世界中促进某种自主性”。但个体信息权益也可以同时成为一种公益。在过去数十年的数据隐私研究中，学者大概从不同方面对数据隐私的公益性进行阐述。首先有学者指出，数据隐私有利于作为公民主体的权益发展，从而保护公共利益。例如科恩教授指出，个人信息保护同时具有社会价值，可以“促进与自由民主公民身份、创新和人类繁荣相关的基本公共政策目标”。索洛夫教授也指出，个人信息保护可以保护个体避免“社会的压迫性”，从而保护公共利益。其次，有学者认为个人信息保护有利于保护社会信任，从而促进社会性利益。例如早在侵权隐私研究中，罗伯特·波斯特（RobertPost）教授就曾论述过隐私保护对于文明规则（civilityrule）的意义，到了个人信息保护研究，又有众多学者提出信任在其中的重要意义，即个人信息保护有利于建构信任关系，督促信息处理者特别是大型企业对于社会承担相应的社会责任。再次，有学者分析了个人信息对于公民参与公共生活和民主自治的重要意义。例如保罗·葛维宝（PaulGewirtz）曾指出，隐私与个人信息权益的保护不足会让人们不敢参与公共讨论和公共生活，从而导致民主生活的失败。保罗施瓦茨教授也指出，信息隐私是“公民社会的一个组成部分”，缺乏个人信息保护，这将妨碍人们“参与协商民主”与“发展和维持个人自治能力”。最后，还有学者阐述了个人信息保护可能涉及歧视、社会不平等、社会分配等民主治理问题。例如斯科特·斯金纳·汤普森（ScottSkinner-Thompson）指出，个人信息保护对于反歧视至关重要，个人信息保护不足可能导致边缘人群受到伤害，因此应当采取一种反屈从（antisurbordination）的保护进路。萨洛梅·维尔琼（SaloméViljoe）指出，由于个人信息的汇集可能导致“整体人群层面（population-level）利益”受到威胁，因此，个人信息保护不能仅仅关注个人与信息处理者之间的纵向关系，而必须“实现数据社会关系的民主化，从个人数据主体权利转向更民主的数据治理”。从比较法的角度看，欧盟在认可个人信息权益的私益属性的同时，更突出其公益属性。除了上文提到的宪法性原因，更为根本的原因在于欧盟的文化背景。笔者曾经指出，欧盟对于其纳粹历史有着深刻的文化记忆，尤其警惕基于个人信息的自动化、半自动化与大规模个人信息存档行为，因为此类信息在纳粹识别并屠杀犹太人的罪行中扮演了重要角色。基于此类文化背景，欧盟各国很早就开始将个人信息处理视为对人格尊严的威胁。例如德国的《联邦数据保护法》的立法目的是为了防止对“个人完整性（personalintegrity）”的威胁。法国也将“信息计算”视为对“人类身份、人权、隐私，和个人或公共自由”的威胁。相较之下，美国的立法主要集中于少部分风险较高领域和消费者隐私领域，其制度更强调信息披露、监管不公平与欺诈行为，以及数据泄露（databreach）。因此，美国的个人信息保护制度的法益保护主要体现为市场监管与风险预防，没有像欧盟那样将法益上升为具有政治属性的基本权利。五、告知同意制度的公私法融合告知同意构成了个人信息保护制度的核心。但无论是我国还是欧盟，告知同意都并非传统私法上的合同制度。以我国《个人信息保护法》为例，第13条将个人同意作为个人信息处理者处理个人信息的合法性基础。此外，其第15条规定：“基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式”；第16条规定：“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务”。此外，收集个人信息还受到合法、正当、必要、诚信原则的限制。从这些规定中可以看出，告知同意制度更接近于一种基于个人信息被保护权利的授权和许可。我国《个人信息保护法》在草案制定阶段，曾经以“意思表示”来表述个人同意，但在正式文本中，这一表达得到了纠正。这一立法过程也表明，告知同意与合同制度存在根本性区别。欧美等国家和地区的告知同意制度同样表现出公私法融合的特征。以欧盟为例，《一般数据保护条例》明确将同意作为处理个人信息的合法性基础，同时对告知同意施加了“目的限制”“数据最小化”等多种限制。例如根据目的限制原则，“个人数据的收集应当具有具体的、清晰的和正当的目的，对个人数据的处理不应当违反初始目的”；根据数据最小化原则，“个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的”。这些规定表明，欧盟本质上采取了一种“隐私禁易”（privacyInalienability）规则来看待个人数据保护，将告知同意视为个体的授权机制，而非合同制度中的意思表示。正如上文对欧盟《一般数据保护条例》的分析与论述，欧盟将附着于个人数据上的被保护权视为具有公法渊源与公益属性，因此虽然同意可以由个体作出，但这种授权或许可具有很强的公法特征。美国由于采取更为市场化的进路，因此其告知同意制度较为复杂。在联邦层面进行立法的领域与加州、弗吉尼亚州、科罗拉多州的立法制度中，其告知同意制度与消费者领域的强制披露（mandatorydisclosure）有一定的相似性，但相比其他消费者保护领域，这些立法中的告知同意往往要求信息处理者以更为显著和清晰的方式披露信息。在其他未进行个人信息保护立法的领域和州，美国的告知同意政策往往由信息处理者自愿设置。但不论何种模式，美国法院在大多数案例中仍拒绝将企业的隐私政策视为合同。告知同意制度区别于传统合同法，在原理层面也与个体维权效果的有限性有关。在关于告知同意的研究中，有大量的研究对告知-同意制度提出了批评。其核心内容包括：个人不太可能有时间、兴趣、能力阅读隐私政策，企业或信息处理者总是有办法让个人同意其隐私政策，因此告知同意制度更像是个人信息收集与使用的“直通车”；个人与信息处理者之间无法形成传统合同制度中的平等沟通与缔约。告知同意制度要发挥其作用，必须同时依赖企业自我规制与政府规制的力量，融入公法监管的因素。克林顿政府时期担任首席隐私顾问的彼得·斯怀尔（PeterSwire）指出，尽管个人较难通过隐私政策而监督企业，但隐私政策却常常构成企业进行自我规制的章程，并且为社会监督与政府监管提供抓手。因此从告知同意的实施落地层面，也可以看到告知同意既具有私法的形式性特征，也融入了公法内涵。六、损害救济的公私法融合个人信息的不当利用可能给个人带来财产、人身、风险等各类伤害，但从伤害救济的角度看，无论是合同救济还是侵权救济，都呈现了公私法融合等趋势。首先，违约救济与侵权救济的范围非常有限。当个人发现企业违反其隐私政策所做的承诺，的确可以依据合同法提起违约之诉。无论是我国的《个人信息保护法》，欧盟的《一般数据保护条例》，还是美国的消费者保护法，都允许个体在受到损害的情形下寻求救济。但问题在于，在个人信息违约或违规的情形中，能够确定损害的案例只占非常少的部分；在绝大多数案件中，个人都很难证明其受到了具体伤害。其原因有多个方面，例如在有的情形中，企业可能利用个人信息对个人进行广告推送，这类个人信息的收集与利用尽管对消费者造成时间与心理上的困扰，但却非常难以证明。个人信息的违约之诉与侵权之诉已经成为全球共同的难题。以美国为例，如上文所述，企业的隐私政策很难被确认为合同或获得救济。而且即使隐私政策在少数案例中被确认为合同，法院也一般认定，原告提起违反合同之诉的主张，必须证明被告“违反合同导致了损失”，仅仅证明被告违反了原告预期，不足以成立违约。而就侵权之诉而言，美国尽管在不少联邦信息隐私法中规定了法定侵权之诉，即个人可以在相关主体违法的情形下提起诉讼，而不必证明存在伤害，但美国法院仍然通过宪法解释而否定了国会立法。根据美国联邦法院对美国宪法第3条的解释，司法权只能受理“案例”或“争议”，因此要提起个人侵权之诉，就必须证明受到了实际伤害。在个人信息保护领域，经过2016年的Spokeo,Inc.v.Robins案和2021年的TransUnionLLCv.Ramirez,如今个人信息侵权之诉在美国可谓困难重重。虽然美国的侵权之诉受到了包括索洛夫在内很多学者的批评，但在原理层面，美国联邦最高法院的谨慎立场仍有其自身的逻辑。个人信息侵权具有“大规模微型侵权”的特征，个人所遭受的法益侵害往往非常微小，但涉及人数众多；个人信息侵权诉讼中因果关系与损害结果常常难以确定。如果大量的案例可以在没有确定损害的前提下进入法院，美国的信息隐私诉讼将呈现爆炸性的增长，同时给法院带来很大的裁判压力。尽管这些压力可能通过技术性方法进行一定程度回应，但传统侵权法在个人信息保护中的困境，已经非常明显。与传统合同违约救济或侵权救济不同，美国联邦贸易委员会（FTC）在个人信息救济中扮演了主导角色，而这一救济方式具有显著的公私法融合特征。从上世纪九十年代中期开始，美国联邦贸易委员会（FTC）开始逐渐介入个人信息保护领域，成为事实上的重要保护机构。与私人诉讼不同，美国联邦贸易委员会可以对“不公平或欺骗”贸易行为的案件进行调查，而不需要证明个体是否遭受了伤害；同时，联邦贸易委员会也排除了私人提起申诉救济。因此，美国联邦贸易委员会的救济具有非常显著的公法化特征。但另一方面，美国联邦贸易委员会的救济并未完全公法化。例如美国联邦贸易委员会主要依赖于案件发生后的调查与裁判，较少依赖事前的规则制定，这使得其救济更近似于司法活动或“普通法”。美国联邦贸易委员会没有一般的罚款权力，其对个人信息案例的监管主要通过和解协议来完成，企业也可以对规制提起诉讼。这些特征都使得美国联邦贸易委员会的救济具有一定的私法诉讼特征。相比美国，我国《个人信息保护法》规定了多元救济方式。目前，我国《个人信息保护法》为个体维权同时提供了投诉、举报、诉讼等权利。其中第50条提供了个人信息权利直接起诉制度，第65条提供了向有关部门投诉举报的权利，第70条规定了公益诉讼制度。但就损害救济而言，这些救济都与传统侵权法有较大差别。个体投诉与举报自不必说，这一权利的行使更多是促使相关部门发起对个人信息的公权力调查，并非侵权之诉。而第50条的直接起诉制度也与传统侵权法有较大差别。这一制度并不以损害作为要件，而且法院也经常衡量个体利益与社会利益的平衡，这使得个人信息的侵权之诉具有明显的申诉特征，法院常常在具体案件中进行个案和利益裁量，而对于法定权利的考虑相对较少。至于第70条规定的公益诉讼，则更具有显著的公法特征，与个体侵权之诉以及西方的集体诉讼（classaction）都有较大差别。七、监管制度的公私法融合从监管的角度看，个人信息监管也与传统公法采取的“命令与控制”模式存在较大区别。在传统监管理论中，对于私营企业与社会机构的监管主要通过制定法律、法规或相关规则，并通过命令与惩罚的方式来直接控制监管对象。但正如有关文献指出，传统监管模式存在众多障碍：例如监管机构可能行政资源有限，无法实现有效监管；监管机构可能没有专业技能对相关技术问题进行监管；有的领域技术和产业发展过快，监管部门常常无法实现与时俱进的监管。出于这些原因，偏向新自由主义的有关理论主张在很多产业领域进行自我规制，即让企业进行自我规制。在个人信息保护领域，也有学者主张，企业常常能够通过产品设计、设立隐私官、企业合规制度等方式而实现“新治理”。综观各国的个人信息保护制度，可以发现各国的法律制度都以公平信息实践为基础，其中虽然存在若干“命令与控制”式的行政监管，但更多采取了合作治理的模式。以我国与欧盟等国家和地区的法律制度为例，一方面，此类法律制度对个体赋予的信息权利都并非绝对性权利。无论是较为传统的个人信息知情选择权、访问权、更正权，还是与被遗忘权、携带权以及与算法相关的权利，这些权利的行使都需要监管机构或法院在具体场景中界定其边界。就此而言，个体所提起的各项权利诉求具有显著的程序性特征，其诉求往往构成政府监管的触发机制，而非刚性的处罚依据。另一方面，个人信息保护制度对信息处理者施加的企业合规制度建设、合规审计、影响性评估、个人信息泄露等情形中的补救措施、大型平台的守门员责任，很多责任都需要企业的自我监管，或需要企业与政府部门的合作监管。在这些制度中，很多条款具有授权性、技术性、变动性与宽泛性等特征，因此其具体落地往往需要企业在日常实践中主动落实（例如合规制度建设），或者参考相关技术标准进行解释，或者引入第三方评估与影响性评估，或者通过数据合规官的内部控制而建构持续性的风险控制机制。八、结语：个人信息保护公私法融合的法理意义本文从法律渊源、调整关系、保护群体、保护法益、告知同意、损害救济、公法监管等多个角度阐述了个人信息法律保护的公私法融合特征。个人信息保护同时具有宪法与民法渊源；其调整关系为持续性不平等的处理关系；其保护群体同时囊括个体与群体；其保护的法益兼具公益与私益特征；其告知同意制度具有合同的表面特征，但与合同具有本质性区别；其损害救济需要面对大规模、微型、不确定性的伤害，与违约责任和侵权救济具有很大区别；其监管采取了合作治理模式，很多措施介于政府监管与自我规制之间。但需指出，本文所进行的七个维度的解读存在重合之处，也不能穷尽其他维度的解读。例如从风险预防与威慑的角度；从独立监管机构救济、法院救济、检察救济与行政救济的制度分工角度，都可以发现个人信息保护的公私法融合特征。就像观察一座雕像，上下前后左右和侧面的观察角度可以说是无限的，彼此也可能存在重合之处。个人信息保护的公私法融合特征已经引起了一批学术反思。例如针对私法，不少学者指出传统合同法与侵权法在保护个人信息问题上的局限，主张引入信义法（fiduciarylaw）、保密之诉（breachofconfidentiality）等法律框架对个人信息进行保护。与传统合同法与侵权法相比，信义法与保密之诉的法律框架引入了更多公法因素。而针对传统监管制度所面临的问题，有学者提出引入合作治理的模式保护个体信息，以实现“个人正当程序权利体系与通过合作治理（利用公私伙伴关系）实现的系统性监管相结合”。相比传统行政监管，新的合作治理更强调个人特别是企业在个人信息保护中的作用，因此在一定程度上引入了更多私法因素。在原理层面，个人信息的公私法融合保护还提出了深层次的法理问题：公私法的融合保护在方法论层面到底意味着什么？当我们说个人信息保护呈现公私法高度融合的时候，这一说法和个人信息保护的公私法叠加保护到底有何不同？这一问题与二十多年前美国法学界关于网络法的争论有类似之处。面对当年崭露头角的网络法研究，美国联邦法院的著名法官、学者伊斯特布鲁克曾质疑：网络法研究到底有何特殊性？在伊斯特布鲁克看来，网络法只不过是宪法、行政法、侵权法、财产法、合同法等各个部门法的拼盘。他认为，重要的仍然是部门法的学习与研究，网络法只不过是各个部门法在网络领域的应用。如同伊斯特布鲁克一样，本文一样强调部门法研究与学习的重要意义，上文对于个人信息保护理念与制度的分析，离不开对部门法原理与制度的探讨。但本文提出的问题与意义在于：应该以何种视角看待部门法以及部门法与领域法的关系。一种进路是，将部门法所构建的体系视为先验的、完整的制度，所谓个人信息保护法等领域法的研究，就是将这些问题纳入到这个先验的体系中，以保持体系的完备性。另一种进路则认为，应将部门法本身视为人为构建与拟制的制度，其体系应根据真实世界与真实生活而不断调整。在本文看来，个人信息保护法等领域法的研究是为了实现更好的制度目标，而非为了维持原有公法或私法体系的完善性。因此，后一种进路无疑更具有说服力，如果脱离了从问题出发而陷入概念与体系的窠臼，则领域法研究就可能走向僵化，变成伊斯特布鲁克所说的拼盘型研究。在认识论和方法论层面，从问题出发的研究方法也更符合马克思主义、实用主义的认识论与方法论。实用主义法学认为，理论的意义在于面向实践，应当从实践与问题导向反思理论，而非从本质主义的立场看待理论框架。而马克思主义的认识论则一直强调“理论联系实际”，强调理论必须从实践出发，在实践中提炼理论并在实践中对其进行检验。此外，马克思主义还特别强调整体性与联系性的视角：“世界是普遍联系的整体，事物之间都是相互联系的”。以事物整体性与联系性的视角看待部门法，将能够有效地对部门的协调与配合问题进行研究，避免陷入孤立部门法研究或部门法之间的不协调问题。对于传统公法和私法来说，个人信息保护的公私法融合特征也提供了创新与突破的历史契机。正如昂格尔、肯尼迪等人所指出，无论是私法想象还是公法想象，其实都只是历史的偶然。这一想象能够维持，与二十世纪特别是二十世纪八十年代以来的全球政治意识形态密切相关。但随着互联网与大数据时代的到来，以平台、数据与算法为代表的社会权力在法律领域引起了史无前例的关注。个人信息保护法所呈现的独特理念与法律制度，正是这一时代的缩影，对公私法二元划分提出了更大的挑战。在这个意义上，分析与阐述个人信息保护法的公私法融合特征，不仅可以帮助我们更深刻地理解这部法律，而且可以为传统公法与私法提供新的制度想象。相关阅读1.刘宪权：敏感个人信息的刑法特殊保护2.曹博：个人信息权绝对权属性的规范依据与法理证成——从微信读书案切入3.敬力嘉：个人信息保护合规的体系构建商品书目微信号

诚信原则：个人信息保护与利用平衡的信任路径许可对外经济贸易大学法学院副教授*本文原载于《中外法学》2022年第5期，转载对注释与参考文献进行了省略。摘