《個人信息保護平衡原理》：在權利、數據與治理之間重建平衡

《個人信息保護平衡原理》作者許娟：湖北仙桃人，南京信息工程大學法政學院教授、大數據法治研究院院長。從事法學教學和科研工作20余年，中南財經政法大學法學博士、武漢大學人權研究院博士后；美國福特漢姆大學法學院高級訪問學者，另客座訪問美國東北大學，美國紐約大學；中國人民大學網絡與信息法研究中心訪問學者。現為教育部數字取證工程中心司法鑒定負責人，信息法方向碩導，科學技術史一級學科博導（人工智能法學方向）和博士后流動站負責人。

個人信息保護在今天已經不是一個單純的“要不要保護”的問題，而是一個更為復雜的“如何在保護中允許合理利用、在利用中不犧牲人格尊嚴、在治理中不讓技術與權力吞噬個人”的問題。數字技術、數據要素、人工智能、平臺經濟和國家數據治理共同塑造了新的法律現實：個人信息既承載人格尊嚴和身份自主，又可能在數據加工、算法識別和平臺運營中轉化為具有經濟價值的資源；企業需要數據流通以推動創新，國家需要數據秩序以維護公共利益，而個人則必須在高度復雜的技術環境中維持對自身信息命運的最低限度控制。

許娟院長的新著《個人信息保護平衡原理》正是在這一時代背景下展開的。該書的可貴之處，并不只是對《民法典》《個人信息保護法》《數據安全法》《網絡安全法》等既有規范進行體系梳理，也不只是重復個人信息保護中常見的隱私權、人格權、知情同意、數據產權等概念，而是把問題推進到更根本的一層：個人信息權利究竟如何行使？權利如果不能被行使，保護就會停留在宣示；數據如果不能被合理利用，保護又可能異化為凍結價值；技術如果沒有程序約束，便利就可能變成侵權的自動化；國家、企業和個人如果沒有結構性平衡，法律就會在強保護、強利用、強監管之間搖擺。

在我看來，本書最重要的學術貢獻，是把個人信息法學的重心從“權利存在論”推進到“權利運行論”。以往關于個人信息的討論，常常集中在個人信息權是否獨立、屬于人格權還是財產權、與隱私權如何區分等問題上。這些討論當然重要，但如果停留在靜態權利確認層面，就無法充分解釋數字社會中個人信息被收集、存儲、處理、加工、交易、共享、跨境流動、算法識別、智能合約執行的全過程。本書提出“個人信息權利行使平衡機制”，正是要把權利從概念層面帶回行為層面、機制層面和制度運行層面。

全書結構清晰而有層次。上篇“個人信息的權利論”處理個人信息保護的權利基礎，包括個人信息的人格權屬、個人信息衍生權利、民事權益和混合權利。作者沒有把個人信息簡單理解為單一權利客體，而是從人格屬性、財產性衍生、民事權益和混合法屬性多個維度展開。這樣的處理方式避免了“人格權或財產權二選一”的僵化，也更符合數字時代個人信息在身份識別、價值生成和數據流通中的多重屬性。

中篇“行使論：兩權互助、分置與交互”是全書的理論樞紐。作者將個人信息權利的行使置于“兩權互助、兩權分置、兩權交互”的結構中討論，特別強調在個人信息轉化為數據、數據進入平臺與市場運行之后，權利不能繼續按照單一主體、單一客體、單一請求權來理解。這里的“兩權”，既關涉個人信息主體性權利與數據客體性權利，也關涉個人權益保護與企業數據利用之間的結構性調和。作者由此將個人信息保護問題推進到產權化行使、地方數據立法、規范原則和行為機制的層面，具有明顯的問題意識和制度創新取向。

下篇“平衡論：義務、風險與程序”則回應了數字治理的實踐難題。個人信息保護并非僅靠權利清單即可完成，企業透明義務、安全保障義務、風險評估機制、程序性控制、智能合約執行機制都不可缺位。作者將平衡機制分解為“必然的義務、可能的風險、應當的程序”，這是本書極具辨識度的理論表達。它說明，個人信息保護不是單純的禁止邏輯，也不是單純的授權邏輯，而是一種將義務、風險和程序嵌入數據利用全過程的動態治理邏輯。

尤其值得肯定的是，本書對智能合約程序機制的討論，展現了作者對“法律—技術”深度融合的敏感性。許多個人信息保護研究止步于原則與規范層面，而本書進一步提出通過智能合約機制實現事前個性化設定、事中重大事項提示與選擇、事后違法違規自動執行。這里并不是簡單地以技術替代法律，而是嘗試把法律原則轉化為可執行、可觸發、可追蹤的程序節點。這對于平臺合規、敏感個人信息保護、個人授權撤回、權限管理和在線糾紛解決，都具有啟發意義。

從 DIKWP 的視角看，本書也具有特別價值。個人信息并不是裸露的數據碎片。Data 只有在特定身份識別結構中才成為 Information；Information 只有進入人格權、財產權、數據產權、合同、義務、風險等法律概念系統時，才形成可治理的 Knowledge；Knowledge 只有在個人、企業、國家多主體利益平衡中，才可能轉化為治理 Wisdom；而 Purpose 并不是一個抽象的終極使命，而是在合法、正當、必要、安全、透明、公平等規范約束中形成的可執行目的結構。本書的“平衡原理”，恰恰體現了從數據事實到法律智慧的制度化轉換。

本書還有一個重要意義，即它把個人信息保護與數據要素市場建設放在同一結構中討論。數據要素流通不能以犧牲個人為代價，個人信息保護也不能變成對數據價值的絕對封閉。作者討論“數據二十條”、數據資源持有權、數據加工使用權、數據產品經營權以及三權分置的制度構想，說明本書并非停留在部門法內部，而是直接回應中國式數據治理的重大制度命題。個人信息權利行使平衡機制，不只是民法問題，也不僅是行政監管問題，而是連接民法、經濟法、行政法、數據法、平臺治理和技術治理的復合問題。

當然，任何具有開創性的著作也會留下繼續推進的空間。比如，個人數據與企業數據之間的產權邊界如何在更多真實案例中被量化？智能合約程序機制如何處理技術失靈、算法歧視、區塊鏈不可篡改與刪除權之間的張力？生成式人工智能時代的訓練數據、推斷數據、合成數據與人格利益之間如何分層配置權利？地方數據條例與國家數據基本法之間如何形成穩定的規范層級？這些問題仍有待進一步展開。但這并不削弱本書的價值，恰恰說明本書提出的是一個可持續生長的研究框架。

總體而言，《個人信息保護平衡原理》是一部值得數字法學界、民法學界、數據治理研究者、平臺合規實務部門和人工智能治理共同關注的著作。它以“平衡”為名，但并不是折中主義；它討論“保護”，但并不拒絕數據利用；它強調“權利”，但不停止于權利宣示；它引入“技術”，但不讓技術凌駕法律。其真正價值在于：在個人、企業、國家三方利益高度糾纏的數字時代，為個人信息保護提出了一種動態、結構化、程序化、可運行的法理方案。

如果說傳統個人信息保護研究重在回答“個人信息為何應受保護”，那么許娟院長這部新著進一步回答了“個人信息權利如何在數字社會中被有效行使”。這是從權利宣告走向權利實現的重要一步，也是數字法學走向成熟必須完成的一步。該書不僅為我國個人信息保護研究提供了新的理論坐標，也為未來數據法、人工智能法和數字治理實踐提供了值得認真吸收的制度資源。

" bdsfid="342">（本文作者：段玉聰 海南大學計算機科學與技術學院教授，國際先進技術與工程院院士" bdsfid="343">）

" bdsfid="345">

" bdsfid="348">編輯：楚予