李风华 易晨|多级所有与权利嵌入：论个人信息的群己权界｜算法治理与治理算法③

◆ ◆ ◆ ◆

上海市社会科学界联合会主办主管

有学术的思想  EXPLORATION AND FREE VIEWS

官网地址     http://www.tsyzm.com

◆ ◆ ◆ ◆

注：近期微信公众号改版，订阅号消息不再按时间排序，为了继续收到我们的文章，希望您可以在文章底部点击“在看”或者给“探索与争鸣杂志”公众号设置“星标”（公众号界面右上角三个点）。让系统知道这是您常看的公众号，这样您以后就可以看到我们的消息啦。自2018年6月1日起，本刊只接受《探索与争鸣》网站投稿。请收藏唯一真实官网地址www.tsyzm.com。原编务邮箱tsyzm@sssa.org.cn停止使用，原投稿邮箱tansuoyuzhengming@126.com为编务邮箱和应急邮箱。

多级所有与权利嵌入：论个人信息的群己权界

李风华 | 湖南师范大学马克思主义学院教授、湖南师范大学习近平新时代中国特色社会主义思想研究院研究员

易晨 | 湖南师范大学马克思主义学院博士研究生

本文刊载于《探索与争鸣》2021年第1期

非经注明，文中图片均来自网络

个人信息保护已经构成大数据时代的重要法律问题，同时也是我们反思大数据时代一般性群己问题的一个切口。2020 年 10 月 21 日，《中华人民共和国个人信息保护法 ( 草案 )》公布并向社会公开征求意见，讨论多年的个人信息权问题即将走上法律实践前台。《草案》把匿名化的个人信息排除在外，这是一种为简化操作而给出的限定性条件。但是个人信息保护与利用的各种复杂情况对于个人信息保护提出了基本的权利分界问题，其政治哲学讨论价值也日益突出。大数据时代，各种新型的个人信息被利用或挖掘，其用途方向千差万别，而不同类型事件中对个人信息的公共使用需求程度不同——比如新冠肺炎疫情中对个人行踪信息以及交往信息的搜集与利用。在某种程度上说，个人信息的群己权界问题是一个迫切而又永恒的话题。

个人信息归谁所有 ：一个政治哲学问题

我”能够控制“我”的个人信息吗？当别人知道并利用“我”的个人信息时，这是否侵犯了“我”对于个人信息的所有权？在个人信息的知情、收集、处理和出售等方面，应当如何确立“我”与社会其他个人、组织乃至政府的权利边界？如此等等。对于个人信息的权利结构的一般性理解，其实也是群己权界问题在大数据问题上的投射。从政治哲学的角度来看，可以把这类问题简化为个人信息为谁所有。

《中华人民共和国民法总则》第 111 条规定 :“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”我国现行法律的主流做法是强调收集和利用个人信息应当征得信息主体的同意。这一实践的法理本质是将个人信息视为个人的私有财产，确立了个人信息私有权。

值得注意的是，当代法学研究中不少论述反对这种个人信息私有权。比如，张平认为，要将个人信息的人格权与个人信息数据库的财产权区别开来，从而谋求平衡大数据时代产业发展与个人信息保护的适度立法。高富平认为，个人信息具有公共性和社会性，因此个人信息保护应从个人控制走向社会控制。吴伟光甚至认为，应将大数据时代下的个人信息视为公共物品，治理的法律性质应该是公法而不是私法，私法已不能满足个人信息主体的意志控制需求。这种对于个人信息私有权的批判反映出商业实践对于积极利用个人信息的社会需求，而未能看到公共性主张自身也蕴含着严重的后果。此外，当前法学的论证依据主要停留在个人信息的属性问题上，而不是从政治哲学的群己权界关系角度来考察个人信息的权利归属问题，这使得其分析往往不可避免具有片面性。政治哲学研究的优势在于，关注个人信息的权利归属的同时，将一般意义的群己权界问题纳入进来，从而描述一种具有普遍性的权利规则及其实践路径。

我们首先来考察个人信息私有观，这是自由主义在个人信息问题上的投射。个人信息私有观认为，个人信息是一种隐私，因此应当由个人决定它的使用，其他人未征得其允许的利用将侵犯其隐私权。这种观念将个人信息视为一种所有权的对象，然后用现代产权理论来套用，其本质是科斯产权理论在大数据上的直接套用。从所有权的视角来观察事物的权利结构有其特别的优势，最终而言，全部社会关系都可以还原为某种形式的所有权关系。因此，对于所有权的理解就是对于事物本质的把握。这种产权视角有其独特的深刻性，但个人信息私有的结论也面临大数据中权利现实的巨大挑战。

首先，个人信息所有权并不是清晰的，必然存在一定程度的模糊性。个人信息私有观认为，信息所有权的归属必须是唯一的，要么是个人所有，要么是某个集体所有。然而，一个信息是否严格意义上属于个人抑或集体，事实上是不清晰的。那些上传至百度网盘进行云端存储，并设置了仅个人可见的“我”的个人信息，看上去属于“我”所有，但事实上，无论“我”是否愿意，由于该信息处在百度公司的服务器上，百度对于该服务器的管理事实上构成对“我”的个人信息的部分所有权。如果“我”所传的信息还涉及更多的人，比如照片里还有他人，那么该照片的信息所有权就涉及更广泛的产权因素。因此，个人信息的权利归属的模糊是难以避免的，往往需要在具体情境下的讨价还价或诉讼才能界定其边界。

其次，个人信息所有权并不是绝对的。一个人拥有自己的个人信息，并不意味着他可以任意处置自己的个人信息。私有观点将个人信息视为排他的隐私，他人——哪怕是政府——无权获取。但在大数据时代，公私之间存在大量的中间区域，很难将各种个人信息全部私有化。个人信息的公共利用是公共管理的必要前提。尽管大数据是当代信息技术的产物，但其内生的个人信息公有化其实早已实施。个人信息的某种程度的公有化是公共管理的基础，要保护隐私只能从防范个人信息的非法利用和不当利用的角度出发，但绝不可以因噎废食，拒斥个人信息的合理公共利用。

再次，个人信息所有权是不可能完整的。完整的所有权，包括对事物的占有、使用、转让、毁灭、赠与、获利等权利。理论上而言，每个人可以对自己的个人信息，比如阅读偏好、出行信息、工作场所等涉及个人的信息拥有完整的所有权，任何对这些信息的占有、使用、利用并获利等权利，都可以完整赋予个人，由个人决定他人是否可以获取并加以利用。人们每天都会有意无意地向公共机构、互联网服务提供商、电信和金融公司等组织提供大量个人信息，如信用卡用户有意无意地向金融机构提供有关其消费习惯的大量数据，而金融机构利用这些信息来推断消费者的行为习惯和偏好，甚至可以确定用户的行踪。此外，个人也不可能确切知道他的数据有多少或者储存在哪里。有如此多的数据被收集，以至于实际上不可能给人们一个有意义的方法来跟踪他们的所有信息，更不用说完整处理其个人信息的所有权利。

既然将个人信息完全赋予个人私有是不现实的，那么反过来，将它完全公有就合适吗？主张个人信息公共性的说法存在着难以克服的困难，甚至造成相反方向的损失。对于许多公众人物而言，他们的行踪如果成为一种公开信息，这将消灭其本来就较少的私人空间，其他人可以借机牟利甚至恶意伤害。普通人也深受个人信息不当公开化之害。近年来，许多网络霸凌往往给当事人造成极其严重的后果。将个人信息彻底公有化，这将导致网络上的骂战变本加厉，只可能加重而不是减轻网络霸凌。理论上来讲，个人信息的公共化意味着，每个人对于所有其他人来说都是单向透明的，每个人都可以随意收集和利用其他人的信息，所有人都丧失了隐私，从而形成一种彼此完全且彻底相互拥有的世界，这一观点必将倒向另一个相反的极端——极权主义。

那么，我们应当如何理解大数据中个人信息的所有权结构呢？

个人信息的多级所有

合理的做法是在彻底的私有化与彻底的公有化之间，寻求一种可以平衡个人隐私保护和数据有效利用的权利结构。简单直接的说法是，个人信息既是私有的，也是公有的。准确地说，个人信息是多级所有的。个人信息既归个人所有，同时也归家庭所有，还归合法收集到该信息的企业、机构和政府所有。“我”的个人信息为“我”所有，“我”享有相应的权利并承担相应义务。同时，“我”的个人信息也为“我”的家庭、“我”所在的社群、整个民族国家及全人类所不同程度、不同方面地所有，而不同的所有者也拥有相应的权利和义务。

个人信息的多级所有源于个人人身的多级所有，自我归个人所有，但同时也归家庭、社会和国家所有。每个人的人身权利在基本上自主控制的同时，也受到家庭、社会和国家的控制。既然人身所有权是如此，那么依附于人身所有权的个人信息更是如此。个人信息的独立性更强，它可以摆脱个人而独立存在。比如，某个人爱看某一部电影，这只是个人偏好信息。但众多的个人偏好信息汇总，形成一个社会信息，它与个人的关联就更为薄弱。对于利用者来说，此处的电影偏好信息与单个个人联系并不紧密，而是具有普遍性的性别、职业、群体、电影类型信息之间的匹配关系。从这个意义上来说，尽管其中的单个人奉献出自己的偏好，但是由个人信息汇总而成的社会信息已经成为收集和处理者的所有标的，最初的个人通常并不对此拥有权利。

对于整个社会而言，单个人的信息并没有多大的效用。只有大量的数据汇集起来形成大数据，它才能发挥应有的价值。分析汇总大量个人数据的能力有助于政府和企事业组织更好地解决公共卫生问题，了解更多关于经济运行的信息，并防止欺诈和其他犯罪。各国政府和国际组织不应阻止收集和长期保存可能有一些尚未发现的有益用途的数据。例如，基因组测序成本的下降，电子病历的日益普及，以及存储和分析由此产生的数据集的能力的扩大，也将带来更多重要的发现。严格限制这些信息的收集和保存可能会剥夺个人和社会的一项极其宝贵的资源。但是，收集和利用这些个人信息，往往是由许多企业和机构来实现的。这些企业和机构理所当然应当拥有这些信息的部分所有权，至少是其中非常重要的信息利用权和获利权。

此外，毫无疑问，作为公共权力机构，政府也应当拥有个人信息的部分所有权。政府需要收集人口普查、民主选举、社会保障、医疗教育、税款征缴、居民身份认证、犯罪控制等方面的个人信息，这也是社会运行的必然要求。不仅如此，对于商业机构和企业所收集的信息，政府也拥有某种程度的所有权，比如对其使用或出售施加某种限制。许多互联网企业在其运行过程中，自动收集许多有关用户信息。这些信息如果不加以限制，可能被企业过度利用，有时甚至蕴含着国家安全风险。因此，近年来，针对苹果、谷歌、 tiktok 等全球性运营企业，一些国家对于数据存放和使用都有一定的要求，限制向外国传输本国的数据。这说明，任意个人信息一旦被收集和汇总，就自然而然具有了一定的公共性，从而存在政府介入的可能。如此，我们就可以建构一种多级所有的个人信息权利结构，相比之前的公私兼具，这一描述要更为精确，朝客观规律走近一步。从效用来看，多级所有的信息权利结构有其特殊的优势。

首先，它确认了国家作为一个集体对于个人信息的终极控制权，从而为集体生存夯实了权利基础。2020 年新冠肺炎疫情表明，个人信息尤其是涉及个人是否与新冠肺炎患者接触的行踪信息，将极大地影响疫情防控。西方国家的民众往往将个人行踪信息视为绝对隐私，认为政府无权追踪和利用个人行踪信息。事实表明，这种做法对疫情防控造成了极大的干扰。相反，中国很快通过手机定位技术而收集到相关个人信息，并要求个人在出入某些场所时必须提供健康码等个人信息。实践证明，这种做法对于疫情防控非常有效。它虽然对于个人的隐私自由有轻微的限制，但在更大范围内提高了人们的自由。确立国家对于个人信息的终极控制权还有一个好处，那就是政府可以采取措施纠正企业和社会机构对个人信息的滥用。一般地说，企业在收集个人信息时往往通过格式化合同而获得个人的许可，比如我们在安装手机 app 时通常都会遇到是否允许该 app 获得位置信息、使用通讯录等问题，而为了方便，绝大多数人都会不假思索地同意。如果将个人信息的所有权完全局限在企业与个人之间，这可能会造成灾难性的后果 ：企业滥用个人信息，而政府与个人却无可奈何。因此，国家对于个人信息的所有权本质上代表了人们对于信息滥用的终极纠错手段。

其次，个人信息多级所有的权利结构也为企业的积极合理利用打开方便之门。所谓“积极”，指没有特殊的规定情况下，企业对其所收集的个人信息自动拥有所有权并加以利用和获利。这种积极所有权与消极所有权相对立，后者主张只有在法律和个人明确允许的情况下，企业才可以拥有相关个人信息的所有权并加以利用和获利。总体而言，允许企业和机构对于个人信息的收集和利用权，是有助于经济社会进步的，是利大于弊的。中国互联网企业之所以能够取得世界性的成绩，是与中国对个人信息利用相当宽容分不开的。必须承认，在这个过程中，存在企业滥用个人信息的风险。但多级所有权的意义就在于，没有一种所有权是绝对的，每一种所有权都能够对其他所有权施加限制。政府可以直接采取行政手段来纠正企业的滥用，个人也可以通过诉讼或社会舆论来实现自己的权利救济。

再次，个人信息多级所有仍将有力地保护个人隐私和自由。个人仍然是其个人信息不可排除的权利主体。即使已经距离最初的信息产生时空非常遥远，但个人仍有权利追问，其他人和机构对于其信息的利用是否合理，是否侵犯了其个人权利。必须禁止不合理的信息利用，尤其是伤害或潜在伤害信息主体的做法。我们身边可见各种非法出售个人信息从而致使垃圾短信和诈骗电话泛滥的情况，就属于这类现象。对此，仅仅从行政手段来控制是不够的，还应当从保护个人信息主体正当权益的角度，在法律上规定更加严厉的惩罚措施，确保个人的隐私与自由不受侵犯。

最后，不同层级的个人信息所有权彼此共容、互为限度。没有任何一个层级对个人信息拥有绝对所有权，都会受到其他层级社会群体的约束和调节。对个人信息的个人所有和集体所有存在一个“合理使用”的限制。集体所有是由个人所有组成的，“只有在共同体中，个人才能获得全面发展其才能的手段，也就是说，只有在共同体中才可能有个人自由” 。个人在使用个人信息的时候，不得损害集体利益。这就是个人对个人信息“合理使用”的限度。同样，个人信息的集体所有权也不得任意侵犯个人信息的个体所有权，应在限制的范围内合理利用个人信息，这有助于促进个人信息的多级共享，从而实现个人信息资源配置的帕累托最优。比如，“我”的车位信息，是“我”私有的，因此他人通常无权过问 ；但也是小区公有的，小区业委会和物业有权了解“我”的车位使用的一般情况，比如自用、空置或者出租，并要求缴纳物业费 ；在一般意义上，它还是社会公有的，在特定条件下，政府与警察局有权直接调用这一信息。

权利嵌入 ：路径与进程

确定了个人信息多级所有的权利结构，并不意味着各种权利边界就自然而然得以澄清。多级所有只是对于群己权界规律的原则性概括。如何更好地体现这一点并有效地实现各方利益的帕累托改进，这是权利实践的内容。可以想见的是，即使承认了多级所有，不同层级的所有者之间的权利边界仍然可能是模糊的、不确定的或者是经常变化的。事实上，面临基本相同的权利结构，人们仍然可能采取不同的实践路径。一种方式是将所有权简单地划分为占有、使用、控制、收益等权利，然后将其中一些分割给不同的所有者。比如一块土地的所有权，可以区分为占有、经营和使用，并将它分割给不同的所有者。这在古代就有田皮、田骨之分，当代中国土地制度的革新也类似于此。另一种办法是将不同层级的所有权直接以比例划分，比如项目投资时直接将不同的所有者的权益货币化，然后以股份公司的名义来运营。但在个人信息的问题上，不能简单地套用上述方式，而应当以权利嵌入的路径来考虑。

“嵌入”一词取自波兰尼的“嵌入性”。他认为经济活动是一个制度化的过程，经济关系是嵌入在社会关系中的，经济并非是自足的，而是从属于政治、宗教和社会关系的。后来格兰诺维特（Mark Granovetter）、祖京（Sharon Zukin）、迪马吉奥（Paul DiMaggio）和安德森（Ulf Anderson）等人进一步充实了嵌入性理论，将其界定为某一种行为应当置身于其特定关系或者结构背景的分析路径。对本文而言，嵌入是用来描述不得孤立界定个人信息权利，而必须嵌入背景事实以及其他层级权利的情形。权利嵌入是指，一种权利是否成立以及边界在哪里，应当以具体的事件、身份等背景为前提来确定，因此权利并非孤立地由权利主体与权利内容构成，作为背景的经济条件和社会关系本身也应当构成权利得以确立和实施的重要因素。在个人信息的群己权界问题上，我们可以用一个简略的演进过程来理解权利嵌入的路径。

卡尔·波兰尼(Karl Polanyi,1886-1964)

最初，个人信息的知情局限于小范围，这个范围内部人们彼此知根知底，构成一个熟人社会。最早的熟人社会本质上就是一个以血缘为基础的氏族。随着市场交往与婚姻关系的扩展，这个原有的血缘联系逐渐在地域上固化下来，形成一个乡土社会或者小城世界。“熟悉是从时间里、多方面、经常的接触中所发生的亲密的感觉。这感觉是无数次的小摩擦里陶炼出来的结果……乡土社会里从熟悉得到信任。” 熟人社会里，人们共享个人信息，彼此依据“规矩”行事，极大地降低内部交易成本。个人信息很少泄漏到熟人社会的外部，即使有少量信息为外人所得知，这些信息也很难构成一种可以获利的资源。当然，国家例外。征税和兵役是国家运转的核心手段，为此，国家需要“编户齐民”，掌握每个臣民的个人信息（户口以及田籍等），并据此汲取相关资源。尽管如此，在古代社会，由于行政管理技术的落后，国家往往无力彻底而全面地掌握个人信息，豪强或贵族兼并土地时隐瞒户口土地信息，则往往是王朝税收资源下降直至崩溃的重要原因。

总之，古代社会中，有关个人信息的权利很早就深深嵌入帝国官僚制度和熟人社会的结构之中，在这之外，个人信息并不构成一种可以获利的资源。近代以来，随着熟人社会的逐渐解体与市场交易的扩展，个人信息尤其是教育、财产与商业信誉方面的信息日益重要，它可以在经济与政治领域获得相应的交易利益。一个突出现象就是银行对于个人存款和借贷信息的掌握。银行本质上就是进行个人信息交易的企业，它典型地代表了第三方拥有个人信息所有权的权利嵌入情形 ：个人存款信息被银行所拥有并借此获利，而个人则要求利益补偿以及银行不得透漏相关信息的义务。这里的权利嵌入表现在，当个人基于自己的利益向银行存款或借贷时，银行则据此获得相关个人的资产以及信用。而如果个人拒绝使用银行服务，那么逻辑上银行就无从掌握该人的相关信息。也就是说，银行的个人信息所有权深深嵌入在个人的利益需求之中。银行业中个人信息的权利嵌入模式在当代其他行业中有类似的表现。原则上，所有行业中的个人信息权利都被嵌入企业、个人、政府之间具体的经济社会活动。大数据的应用就是一个权利彼此相互嵌入的过程。在这个过程中，个人信息将根据它潜在的用途而分解为不同层级的所有权。

大数据时代，不同领域的个人信息权利的嵌入机制也存在区别。大体上，可以根据个人信息的公益性或可获利性、权利主体之间的关系、社会治理目标等来区分不同的嵌入机制。初步可以确定如下几种有代表性的权利嵌入机制。

保管性权利嵌入。对于提供网络信息服务的企业而言，它往往收集和保存了巨量的个人信息。这些个人信息虽然存放在该企业的服务器上，但企业不得利用这一优势而使用并出售个人信息。比如 QQ、微信、淘宝等的聊天或购物记录。这里的个人信息不属于腾讯或阿里巴巴所有，虽然它们在原本的意义上归个人所有，但由于数据的存在已经不在个人的控制范围之内，因此，它同时也构成一种公共资产。当然，这种公共所有的资产与公园的非排他性有别。这类个人信息通常不能利用，往往只是在特殊情景下（比如诉讼）才需要被调取和利用。企业虽然占有（存储）这些个人信息，但并不具有这些个人信息的使用、转让、收益等权利。由于企业对个人信息的占有权与其最终所有权发生背离，因此，一个重要的措施就是通过行政处罚或诉讼来避免企业滥用其知情权。同时，个人如怀疑其个人数据被滥用，可以联系相关监管机构，调查和起诉这种滥用行为。

公益性权利嵌入。比如身体残疾信息通常是个人隐私，他人和企业无权获取和利用这一信息。因此，一般情况下，个人对于这一信息的所有权是非常强的，很大程度上可以划归为个人控制信息。但是，对于医院和民政部门而言，这些信息却是他们诊治和救济的必要条件，因此，医院和民政部门应当无条件获得这些信息并加以合理利用。类似地，从事流行病学研究的研究人员可以使用相关流行病的大数据，但这些数据不可出售给精算师，为后者谋利。公益性权利嵌入的意义在于，最终而言，个人信息虽然被强制性地公有化了，但却是以匿名和有益于信息主体的方式，从而促进了社会公共利益。

商业性权利嵌入。大数据时代，无数个人信息汇总成一个数据库，企业可以对其进行深入挖掘，释放其价值，创造新的生产力。个人信息是一种资产，但它只有得到适当开发，才能真正体现其资源的价值并推动经济社会的发展。在一些情况下，个人信息被企业获知并利用，一般来说，对于个体而言并无较大的负外部性，相反，它可能有助于企业提供个性化的信息服务，那么这种商业开发性的权利嵌入应当是值得提倡的。比如，互联网企业在掌握个人的浏览偏好之后，可以有针对性地投入相关文章和视频，或者在了解你所搜索的事物之后，有针对性地投入广告。这种针对性的信息利用尽管对个人权利有轻微的侵犯，但总体上提高了个人的网络效率，同时也有助于商家精准地投放相关文章、视频或广告。因此，总体上它是一个帕累托改进的过程。

研究性权利嵌入。通常情况下，企业或者机构收集数据时需要得到个体有效的同意。但是对于使用已经存在于“公共领域”的个人信息的机构（不管是企业还是个人）而言，其使用无需获得个人的同意。比如研究者可以根据个人在各种社交网络上的帖子推断出个人的年龄、婚姻状况、职业、大概收入和政治倾向。研究性权利嵌入与商业性权利嵌入有些类似，都能够大大促进个人数据的有效利用，从而改进我们对人类社会的理解。但是商业开发本质上是商业利益导向的，通常需要获得个人的同意，比如在使用该应用程序时有相关的许可条款，其中往往包含了个人同意其使用个人信息的内容。而研究性权利嵌入则无需获得个人的同意，它本质上是对已经奉献到公共领域的个人信息的科学分析，其直接的目的不是获利而是增进对于人类社会的认知。

政治性权利嵌入。某些信息是具有政治敏感性的，对于其信息的获取和公开，都应当根据人们的政治观念来安排其个人信息的权利结构。比如，个人的资产信息应当属于个人隐私，但是政治人物的财产信息往往并非如此，各国的做法或者是公之于众，或者是向组织申报。也就是说，这一本来应当属于个人的信息被公有化了。此外，有些信息可能具有国家安全隐患，而必须将其部分控制权利交给政府。如 2020 年 8 月 28 日，中国商务部、科技部调整发布了最新版的《中国禁止出口限制出口技术目录》，其中将“基于数据分析的个性化推送技术”列为禁止出口的技术。

上述多种权利嵌入的路径提醒我们，有关个人信息的多级所有权是复杂多样的。不同形式的权利安排往往需要根据个人数据的具体用途和情境而确定。不同的数据在不同的产业中，其发挥作用的方式也不同。不可能事先制定所有的规则，以及每一类数据和每一种潜在用途的权利安排。一般而言，政治性权利嵌入具有一定的强制性，要求个人信息必须接受政府的边界控制 ；研究性权利嵌入则必须服从人文社会科学研究的伦理，在保护个人隐私的基础上，合理探讨个人信息背后的社会机制 ；而商业性权利嵌入涉及相关利益的分配问题，因此应当较多地赋予信息主体以拒绝利用的权利 ；至于保管性权利嵌入，则涉及个人信息保管方的保管权利与义务的划分，由于大数据的特殊性，这种个人信息的保管权利与贵重物品的保管权利存在重要区别。每一种个人信息的权利结构都与具体的权利嵌入情境有关，不存在千篇一律的权利义务安排。另一方面，不同类型的权利嵌入路径又存在大致相同的权利结构，因此可以作进一步的类型分析。

尽管不同个人信息的权利践行路径不同，但这些权利的总体实现过程仍然大体上呈现出一定的规律。一般而言，我们可以设想这样一种个人信息的多级权利的形成过程。

最初，个人信息的权利类似于一种无主之物，或者说是名义上归个人所有但同时默许他人可以合理利用的事物。这种合理利用虽然在一定程度上使用了个人数据，但通常并未损害个人的利益。因此，当有的企业或者组织试图收集个人数据时，可以初步赋予使用者一种默许的部分所有权。有的情况下，是通过个人在使用 App 时同意企业或组织的个人数据条款。一旦发现个人数据的滥用情况，那么个人可以撤回他的同意或默许，哪怕这种同意最初是在装载 App 时明确表达过。也就是说，要允许个人在某些情况下的撤回权或追索权。

考虑到有些企业或组织对个人信息的使用所导致的损害不一定是个人指向的，也可能是社会指向的。比如企业滥用自己在个人信息市场的垄断地位，从而拒绝其他新创企业的合理利用，因此对于企业滥用信息的做法可以设置严厉的事后惩罚性措施。比如，可以设定较高的罚金或者设定刑事责任，还可以允许其他企业提起诉讼，震慑违法者的同时也能促进信息市场的正常发展。对于企业或组织滥用信息行为的惩罚，也意味着政府的介入，从而在现有的个人信息所有权的主体中加上政府这一身份。

除了企业的合理利用之外，政府在国家治理过程中也必须使用各种个人信息。最初的个人信息只是各个职能部门的专业化使用，这是以各种文牍证明等纸质文档为形式所表现出来的个人信息的收集处理。在电子政务出现之后，这种纸质文档逐渐转为线上，原有的各种纸质档案也逐渐转变为各种数据库。起初，这些不同职能部门的数据库往往彼此不能互连。随着国家治理现代化的发展，应用大数据和统一数据库建设以及相关技术来打破各种“信息孤岛”“信息壁垒”的需求日益急迫。当前我国各地政府的公共管理数据库正处在一个由分散走向统一的过程。从个人信息的权利来看，这也是一个不同层级政府之间多级所有权的形成过程。

最终而言，我们有望达到这样一种较为理想的个人信息多级所有权 ：个人对于自己的个人信息拥有初始的不被泄露给其他人的权利，也就是说具有较大程度的经过修正之后的隐私权。与此同时，基于经济社会活动的需要，众多个人信息经过匿名化的处理可以为企业和社会组织所利用，从而为个人提供个性化的服务。同时，许多个人信息被集成为一些总体性和结构性数据，这些加总数据为企业和组织的决策提供重要依据。最后，政府基于国家治理的需要可以使用个人信息，不同层级的政府拥有不同层次的个人信息：地方政府拥有管辖范围之内的相关个人信息，中央政府代表全体人民对所有人的个人信息拥有最终的控制权。

总之，一个理想的个人信息的群己权界将是中央政府、地方政府、企事业单位等机构、家庭和个人之间的和谐共处，它在静态上表现为不同领域中的权利配置不同，动态上表现为随着经济社会的发展而作出调整。

有学术的思想 有思想的学术 

聚焦中国问题 

秉持人文立场

人文社科学者的平台

欢迎一起“探索与争鸣”