比较与启示：欧盟和美国个人信息商业利用规范模式研究*

项定宜

(1.东北林业大学 文法学院，黑龙江 哈尔滨 150040；2.华东政法大学 法律学院，上海 200042)

随着大数据时代个人信息商业利用的日渐频繁，信息主体个人利益与信息利用者商业利益的矛盾与日俱增，现行的法律制度越来越不符合实际需要。在这样一个全球化的时代，世界各国面临着共同的难题，各国在制定个人信息商业利用规范的过程中，都希望参考其他国家是如何解决类似问题的。本文旨在考察欧盟和美国个人信息商业利用法律规范，寻求借鉴之道。

一、欧盟个人信息商业利用规范

欧盟是最早关注个人信息保护的区域性组织之一。欧盟1995年《数据保护指令》对个人数据的保护和流动进行了全面规定，但未明确个人在个人数据上享有的权利性质是否独立于隐私权。2016年5月4日正式发布的欧盟《一般数据保护条例》第1条第2款明确用“个人数据权”取代“隐私权”的表述，标志着一般意义上个人信息权的立法确认。

(一)1995年欧盟《数据保护指令》

为进一步提高欧洲个人信息保护法律的统一程度，1995年，欧盟正式颁布《数据保护指令》(以下简称《指令》)，各成员国可以根据该《指令》规定的下限制定更高的标准[1]。

《指令》规定信息主体的权利包括：(1)查询权、更改权、清除权。《指令》第12条规定，不受每隔一段合理时间的约束，无需过度的延迟和费用，信息主体有权查询个人信息，在信息处理不符合《指令》的规定时,信息主体有权要求适当地更改或清除。(2)拒绝使用权。《指令》第14条规定，信息主体有权拒绝对个人信息进行处理和利用，包括以直销为目的的使用。(3)自主决定权。《指令》第15条规定，成员国应当赋予每个人不接受会对其产生法律影响或者显著影响本人的决定，以及仅仅依靠自动数据处理来进行评价个人特征(诸如工作表现、信任感、可靠性、行为等)的决定的自主权。(4)获得救济的权利。《指令》第23条规定，非法使用他人个人信息给信息主体造成损害，受害人有权从数据控制人处获得相应赔偿，但信息利用者能够证明其不应负责任时，可以减轻或免除其责任。

《指令》着重规范的个人信息利用者的义务包括：(1)合法性义务。只有符合法定条件，信息利用者才可以利用他人的个人信息，包括数据主体的同意、为履行合同的需要等几种情形。(2)保证数据质量义务。信息利用者必须采取合理措施保证数据准确、完整、新颖。(3)告知义务。信息利用者应当向信息主体告知其身份、利用目的、不同意利用的后果、信息主体的权利等。(4)禁止利用敏感信息的义务。禁止利用种族、政治观点、性生活等敏感信息。

《指令》设置了专门的行政机构，包括欧洲信息保护监督局、欧洲委员会信息保护官及信息保护局，这些行政机构为欧盟个人信息商业利用规范的实施奠定了实体基础[2]。

(二)2016年欧盟《一般数据保护条例》

1995年的《指令》在欧盟国家实施中逐渐出现一些亟需解决的问题。第一，各个成员国实施《指令》时拥有较大的选择权利，个人信息保护制度出现参差不齐的现象，实施效果较差。第二，1995年的《指令》不能适应信息时代的新挑战。该《指令》是在互联网发展初级阶段制定的，随着社交网站、云计算、定位服务、大数据等计算机技术的发展，个人信息的处理速度增快、利用方式多样，《指令》已经不能应对企业对个人数据收集和利用能力强化、信息主体对个人数据控制能力弱化的现状。基于这两方面的考虑，欧盟认为有必要对数据利用规则进行修订，以推进欧洲数据利用规范的统一，在确保个人数据得到充分保护的前提下最大限度地促进数据利用。

2016年4月8日，欧洲理事会和欧洲议会表决通过《关于个人信息处理保护及个人信息自由传输的条例》，简称为欧盟《一般数据保护条例》(GDPR)，于2018年5月25日正式生效实施。GDPR无须欧盟成员国转化为国内法，可以直接适用于欧盟范围内的公民和企业。欧盟《一般数据保护条例》建立了欧盟范围内统一的个人信息保护和利用规则，提高了欧盟范围信息利用和流通的效率[2]。

2016年，GDPR进一步完善和细化了信息主体的权利，全面保障信息主体对个人信息的控制权。GDPR明确规定知情权、查询权、修改权、删除权、许可同意权、可携权等，尤其强调以下权利：(1)许可同意权。GDPR第7条规定，信息主体有权许可同意他人利用个人信息，也可以撤销许可，许可不具有溯及力，同意必须是明确的意思表示，不能是沉默或默示方式。第8条对儿童个人信息的同意做出了特殊规定，使用未满16岁儿童的个人信息必须征得监护人的同意。(2)查询权。GDPR第15条规定，信息主体有权查询利用者是否利用个人信息、利用的目的、信息种类和内容、是否共享给他人、存储期限等，并改变1995年《指令》查询收费的规定，仅仅在特殊情形下收取一定的费用。(3)可移转权。GDPR第20条规定，信息主体有权获取并转移个人信息，以增强个人信息控制权。(4)被遗忘权。GDPR第17条首次明确规定被遗忘权，信息主体有权请求信息利用者删除个人信息，并规定基于公共利益而限制被遗忘权行使。GDPR规定信息主体行使上述权利时，信息利用者有在法定期限内答复的义务。

GDPR进一步扩大并完善了信息控制者的义务。(1)区分风险等级的风险控制义务。较高风险情形下，信息利用者要承担信息泄露通知和报告义务、事前影响评估义务、向信息保护局咨询义务(GDPR第34条、第35条、第36条)，而一般风险和较低风险情形下，信息利用者承担的风险控制义务较轻，以避免给非高风险利用者施加过重的负担，促进个人信息的商业利用。(2)告知义务。GDPR第19条、第33条、第34条规定，信息控制者向信息主体履行告知义务。但是，信息泄露风险较低时除外。此外，依据个人信息类型灵活确定敏感信息的处理规则。GDPR第9条第1款对特殊类型个人数据的处理进行了更加合理的分类规范，以保护其中的个人隐私与自由。

GDPR还规定了严格的执行监督机制和完善的权利救济措施。第一，加强数据保护监管机构的执法权力。GDPR专设第六章“独立的监管机构”，对监管机构的设立、地位、程序性规定、职责与权力等方面进行了详细的规定。第二，确立数据保护专员制度。根据GDPR第37条规定，处理和利用大范围的敏感信息时，数据控制者与处理者应当指定一名数据保护专员。第三，规定较完善的救济机制。依据GDPR第82条，信息主体享有向数据控制者或处理者索赔的权利。GDPR第79条规定，信息主体享有向法院起诉数据控制者或者数据处理者的司法救济权；第80条规定建立公益诉讼制度，欧盟成员国可以授予某些公益组织代表信息主体主张合法权益。GDPR的立法趋势是不断加强对数据主体权利的保护，不断细化对数据控制者义务与行为规范的规定，以实现个人权利保护与数据有序自由流通的宗旨。

除了1995年的《数据保护指令》和2016年的GDPR之外，欧盟还针对电信业、数据保存做了特别规定。2002年的《隐私与电子通讯指令》规定，电信企业应当采取适当措施保障用户信息安全，尊重用户对话费清单、主叫号码、姓名等个人信息享有的权利，只有征得用户同意才能对其个人信息进行商业利用，如拨打广告电话和发送广告传真。2006年欧盟通过的《数据保存指令》主要规定电信企业留存数据的义务，各国决定数据留存的期限在六个月到二十四个月之间[3]。

二、美国个人信息商业利用规范

(一)基础原则

美国“健康、教育和福利部”于1973年完成了题为《电脑、记录与公民的权利》的报告，在该报告中第一次提出了《信息正当运用原则》(Fair Information Principles)。依据《信息正当运用原则》，信息利用者只能为合法目的收集个人信息，使用的个人信息必须正确、完整，信息主体有权接触、质疑和改正信息，个人信息不被随意改变和泄露[4]。这些原则包括公开原则、个人参与原则、收集限制原则、数据质量原则、终极原则、安全原则、责任原则，上述原则被体现在美国1974年的《隐私法》[5]中。

(二)立法体系

美国个人信息保护立法体系由1974年通过的《隐私法》以及一些特殊领域的一系列专门法律规范所构成。1974年的《隐私法》是美国保护隐私权的基本法，规制行政机关使用个人信息的行为，防止行政机关滥用行政权力侵犯个人隐私。除了联邦立法外，美国有超过40个州制定了州隐私保护法。美国针对商业机构进行个人信息商业利用的立法，主要体现在《公平信用报告法》《电子通讯隐私法》《全球电子商务框架》等分散立法中。

美国针对个人信息商业利用的立法，主要在金融、消费者保护、互联网和通信、教育等领域进行。第一，金融领域的立法。1970年公布的《公平信用报告法》是美国个人数据保护立法的开端。依据该法，信用报告机构只有征得消费者同意才可以披露信用报告，但是为消费信用贷款等合法目的可以直接披露报告。1999年的《金融服务现代化法》规定了消费者同意个人信息共享给他人的必要条件。第二，消费者保护领域的立法。1988年的《录像带隐私保护法》原则上禁止经营者披露客户信息，但是允许经营者转让根据租借类型分类的客户名单，客户有权拒绝参与这个名单。1994年的《有线电视消费者保护和竞争法》规定，消费者同意是有线电视系统收集个人信息的必要条件。但该法允许转让消费者名单，消费者有机会拒绝参与这个名单。1994年的《驾驶员隐私保护法》要求信息主体授权是州交通部门转让驾驶员个人信息的前提。第三，教育领域的立法。1974年的《家庭教育权和隐私法》规定，教育机构未经未成年学生家长的书面同意或成年学生本人的同意，不得披露学生的个人信息。第四，互联网和通信领域的立法。1986年的《电子通信隐私法》适应通讯技术的迅猛发展，目的在于禁止未经授权的第三方截取或泄露个人通讯信息。1988年的《电脑比对和隐私保护法》,规范利用个人识别方法匹配关于同一个人的信息的行为。1991年的《电话用户保护法》原则上禁止未经电话用户同意发送语音信息[6]。1998年的《儿童网上隐私保护法》针对美国部分网站收集和分析儿童个人信息的行为，强制要求网站告知隐私政策，并且征得13岁以下未成年人家长的同意。针对网络活动和通信服务的，还有1984年的《电缆通讯法》、1986年的《电子通信隐私法》、1996年的《电讯法》等。

(三)行业自律机制

在美国，除了个别领域的立法之外，行业或企业内部也制定行为规范以保护个人信息。例如，美国颁布的《金融隐私法》规范政府机关利用个人金融信息，银行对个人信息的商业利用主要依据银行的行业规范[7]。美国政府尊重行业的自律规范，而不是通过立法一刀切地规范信息利用行为。创立于美国的行业组织有美国计算机学会、DPMA、ICCP。实践中，1977年，美国直销商协会建立了邮件选择系统，该系统允许顾客向一个服务中心发出通知，不再接受直邮广告。此外，微软、IBM等公司成立非盈利性机构TRUSTe，商业改进局(Better Business Bureau,BBB)下成立了BBB Online。尽管上述系统还存在诸多不足，但是美国民间行业组织仍然在为个人信息行业自律不断探索新的模式。

美国政府鼓励自由竞争，发展行业自律，民事领域产生的问题尽可能依靠市场调节解决，避免对市场造成不适当的限制，促使各行各业自律组织不断发展[8]。美国立法者认为信息利用者能够自我约束，实现保护个人信息的目的。一方面，云计算、大数据、人工智能等信息科技处于飞速发展中，行业自律可以避免国家过早立法限制信息科技的利用；另一方面，不同的行业对个人信息的收集与处理是不同的，行业自律可以增强个人信息保护的针对性。

行业自律与立法模式相较而言，弊端亦是很明显的。第一，欠缺强制执行力。行业自律组织不具有强制执行力，网络隐私认证计划(online privacy seal program)中的认证机构虽具有审查权，但那只是基于认证协议的规定，不具有强制执行的效力[9]。行业自律规范无最终的司法救济机制，行业规范通常不被作为裁判的依据。另外，纠纷解决机制和解决程序均有待明确。第二，信息利用企业自愿参加行业自律组织导致参与的企业有限。虽然许多注重行业自律的大企业自愿参与行业自律协会，但是仍然有不少小企业为了降低经营成本不愿参与行业自律，实际上导致行业自律模式的普遍性不强。第三，对个人信息保护的实效不大。由于行业自律规范欠缺强制性，信息利用者在信息安全管理上所投入的精力和费用实际不大，个人信息保护实效不明显[10]。第四，对信息主体的赔偿救济机制不足。行业自律实质是信息利用者的内部自我管理，最高处罚就是取消资格认证，缺乏对信息主体的赔偿与救济。对信息主体而言，这种模式无法替代立法模式下的司法救济机制。正因为如此，美国采取立法与行业自律相结合的方式。

三、欧盟和美国个人信息商业利用规范比较

通过考察欧盟和美国个人信息商业利用规范，笔者发现上述规范有较多的共同之处，表现在：第一，立法追求趋同。欧盟2016年的GDPR和美国法都是以实现个人信息保护与信息自由利用的平衡为价值目标，过于片面地强调个人信息保护或信息利用都是不足取的。第二，基本原则趋同。欧盟2016年的GDPR规定个人信息商业利用的基本原则包括收集限制原则、直接原则、数据质量原则、目的特定原则、数据安全原则、个人参与原则、责任原则等。尽管美国采取分散立法模式，但其1973年的《信息正当运用原则》规定的个人信息商业利用的原则包括公开原则、个人参与原则、收集限制原则、数据质量原则、安全原则、责任原则。可见，个人信息商业利用规范在宏观价值追求和基本原则方面表现出明显的趋同性。但是，在规范模式、信息主体权利基础、信息利用者的义务、监管模式与法律责任方面尚有明显区别。

(一)规范模式

个人信息商业利用的规范模式包括立法模式和自律模式，大多数国家采取立法模式和自律模式相结合的规范模式，如欧盟采取立法模式为主、自律模式为辅的规范模式，美国则采取立法模式与自律模式并重的规范模式。美国没有统一的个人信息商业利用法律规范，只有针对国家机关利用个人信息的统一规范，即《隐私法》，在金融、消费者保护、电信、教育等领域对个人信息分散立法。欧盟模式的核心特点是以统一立法模式为主、自律模式为辅，美国模式则针对不同领域制定单行法，并且结合行业自律来规范个人信息利用行为，其核心特点是分散立法与自律并重的模式。针对商业机构，美国主要是通过行业或者企业的自律来实现个人信息保护与利用的平衡。

统一立法模式的优势是运用国家强制力保证法律实施的权威性和稳定性，统一立法能保证各部门、各行业的制度统一与协调，不足之处是欠缺灵活性、实施成本较大。分散立法模式则能结合各自行业的特点有针对性地立法，不足之处是各部门立法之间容易出现难以协调的冲突。自律模式逐渐成为当前各国个人信息保护采用的模式之一，是由行业或企业制定行为规章或行为指引督促信息利用者主动保护个人信息的模式，如美国在线隐私联盟(OPA)、欧盟“EuroPriSe隐私标识计划”等。美国是采取自律模式的典型代表，自律模式的特点是政府主导与企业相配合，而不是完全由企业随意自律。自律模式的优势是各行业制定适用于本领域的政策并灵活调整，通过认证等行为指引手段督促企业主动保护个人信息，可以根据行业特点“量体裁衣”，减少执法成本，作为内生规范更容易得到遵守，避免国家过早立法限制信息科技在社会的应用。不足之处是欠缺强制性，实施效果不佳，以自愿为前提容易被排除适用；信息主体赔偿请求得不到满足；信息主体的财产权益得不到承认和保障[11]。行业自律规范容易沦为引起交易双方利益失衡的“不完全契约”，商家自拟的隐私声明通常是格式条款，商家在格式条款中片面考虑单方的利益，不严格履行格式条款的约定，自律机制很容易流于形式[12]478-479。而大多数国家在立法进程中不断融合两种典型模式的优势形成折衷模式，如日本兼收并蓄地吸收欧盟统一立法模式与美国自律模式的优势形成自己的特色。正因为自律模式存在的这些弊端，美国也没有完全放弃立法规制，如《儿童在线隐私保护法》对儿童个人信息利用行为进行立法规制。

(二)信息主体权利基础

大数据时代背景下，信息利用已经成为促进经济创新发展的必要方面，但是仍然以保护信息主体的权利为前提。欧盟模式采取“个人权利本位”，规定了较完善的个人信息权利。欧盟法确认个人信息权的绝对权性质，规定较为完善的个人信息权内容。欧盟对个人信息权利规定了最低标准，2016年，欧盟的GDPR直接适用于欧盟内各企业，保证个人信息利用规范在欧盟内的统一，并促进欧盟内成员国之间的信息利用与自由流通。因此，欧盟模式侧重规定信息主体的个人信息权利，包括查询权、修改权、删除权、反对权、自主决定权等权利。欧盟2016年的GDPR第1条规定：“本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。”因此，即使采取“权利本位”的欧盟及成员国也并未否定信息利用的价值追求。欧盟2016年的GDPR规定个人信息权利时，为了避免加重信息利用者的义务负担、阻碍经济的发展，对信息利用者按照信息利用的不同风险设置不同的义务规范。而美国仅仅在对抗国家机关随意收集、利用个人信息时，才承认信息主体的基本人权；在商业利用情形中，更加强调信息流通与利用，担心制定统一立法可能制约行业的发展。因此，美国模式只是规制商业机构滥用个人信息的行为，在鼓励个人信息商业利用的背景下保护个人信息，信息主体的权利与商业机构的信息利用利益同样受到重视。美国模式通过规定信息利用者的义务划定信息利用行为的合法边界，不违反义务性规定的信息利用行为都是合法的。美国法没有确认个人信息权的绝对权地位，而是在鼓励数据交易的基础上规制个人信息滥用的行为。综上，欧盟明确规定信息主体的各项权利，是典型的直接规范模式；而美国则是通过规制商业机构滥用个人信息的行为对个人信息进行间接保护，是典型的间接规范模式。

欧盟直接规范模式与美国间接规范模式形成鲜明对比，不仅仅体现在是否明确规定信息主体的个人信息权，还体现在个人信息保护与信息利用二者的价值顺位上。例如，欧盟和美国对于信息主体怠于做出明确同意的意思表示时的后果不同，欧盟由于规定了信息主体的知情同意权，如果信息主体没有做出明确同意个人信息可以被商业利用的意思表示，信息利用者则不得使用个人信息，以保护信息主体的个人信息权；而美国则不同，如果信息主体没有做出明确同意使用的意思表示，则推定商家有利用个人信息的权利，如果信息主体想行使拒绝权还必须支付相应的费用。由此观之，美国模式下个人信息商业利用规范的第一位价值目标是促进信息自由利用，兼顾信息主体的权利。欧盟则是以个人信息保护作为第一位价值目标，兼顾信息利用与流通。

值得关注的是，欧盟法对个人信息权利的认可开始出现财产权趋向。欧盟法不仅确认信息主体的人格权，而且表现出确认财产权的趋势，例如信息主体享有的同意权和删除权，意味着信息主体对个人信息享有终止许可使用的权利，信息利用者因此可能承受一定的财产负担。信息主体的这种权利不仅约束许可利用合同中的利用者，还约束接触到个人信息的第三方，表现出财产权的绝对权性质。美国法虽然没有立法确认个人信息财产权，但是在判例中确认信息主体对其基因信息享有财产收益权[注]参见Moore v. Regents of the University of California,793P .2d 479 (Cal. 1990)。。

(三)信息利用者的义务

国际组织制定的个人信息商业利用规范实质是信息利用者的义务性规范，一般包括限制使用义务、合法性义务、保证数据质量义务、告知义务、保护数据安全等。值得一提的是，欧盟2016年的GDPR强化对敏感信息的风险控制处理，并规定不同风险等级下的风险控制义务，而不是一刀切的风险控制义务。一般风险和较低风险下信息利用者承担的风险控制义务较轻，以避免给非高风险利用者施加过重的负担，从而促进个人信息的商业利用。如何判断个人信息利用风险，GDPR没有明确规定。商业实践证明，个人信息类型、信息利用的方式等因素都可能导致不同风险，敏感信息风险高于一般个人信息风险，身份识别为目的的利用风险高于非身份识别为目的的利用风险。即使同为敏感信息，GDPR第9条对特殊类型个人数据的处理进行了更加合理的分类规范。种族或民族起源、政治观点、宗教信仰、哲学信仰、工会成员资格等个人信息可以被处理但不得被泄露，个人基因数据、生物特征数据可以进行非身份识别的处理，健康数据、性生活、性取向等相关数据则完全被禁止处理。基于不同风险等级的信息利用情形，信息利用者所承担的义务不同，这是欧盟改变传统“权利本位”模式下信息利用者义务过重弊端的最大亮点。

美国对个人信息商业利用更多采取自律模式，信息主体有义务了解信息利用条款，并按照信息利用者制定的程序和格式条款进行选择。如果信息主体不积极行使自己的权利，信息利用者没有义务保护信息主体的权益。美国自律模式下，是否加入行业认证计划取决于信息利用者，有很多企业没有选择加入，而且其所设的义务没有强制性，对信息主体的保护效果大打折扣。换言之，欧盟模式下，信息利用者有主动保护信息主体个人信息权利的义务；美国模式下，很多情形下保护个人信息权是信息主体自己的义务，而非一概是信息利用者的义务。

(四)监管机制

欧盟注重事前预防，设立专门的监管机构负责监管个人信息利用行为。2016年的GDPR规定，在非公务机关核心业务涉及大规模敏感数据的处理时，或成员国法律明确要求的情形中，数据控制者与处理者必须指定一名数据保护专员监督本企业的数据利用行为，并非要求所有数据利用企业都设立数据保护专员。欧盟对企业设置数据保护专员是根据风险等级做出不同规范的表现，欧盟这一模式可谓统一监管与自律监管相结合。美国模式主张通过信息利用者的自律实现信息安全，不设置统一的专门监督机构，这种监管模式不利于美国自律规范的有效实施。

四、对我国构建个人信息商业利用规范的启示

域外法考察的最终目的是借鉴他国的先进理念，为我国个人信息商业利用规范提供参考。欧盟模式和美国模式各有特色与利弊，对我国制定个人信息商业利用规范有以下启示。

(一)规范模式

首先，统一立法。我国的行业组织不具有如美国行业组织所具有的法律地位，而且行业自律不具有强制性，统一立法能够实现司法裁判的统一，因此统一立法仍然应当是个人信息商业利用规范的主要方面。大数据时代，市场经营者数据利用程度较高，可能通过滥用个人信息侵害信息主体的生活安宁、就业机会、财产权益等。我国刑法中新设的非法收集、泄露公民个人信息罪的主体既可以是国家机关，也可以是市场经营者。《消费者权益保护法》也已经加入了经营者保护消费者个人信息权的相关条款。从现实需求的角度出发，我国将来制定的个人信息保护法应当同时规范公权力机关和市场经营者的信息利用行为。但是，为了避免出现部门立法不一、协调困难的后果，我国应当借鉴美国国家机关与商业机构的分别立法模式，制定专门的个人信息商业利用法律规范，区别于国家机关的信息利用规范。

其次，分散立法。随着互联网、云计算、传感器、物联网、大数据、人工智能等信息技术的不断发展，个人信息商业利用模式也在不断推陈出新，过于稳定不变的统一立法不利于信息处理行业利用先进技术实现创新发展。分散立法具有较强的针对性，如工信部可以制定专门适用于电信企业的商业利用规范，以区别于商业银行个人信息商业利用规范，实现分散立法的针对性和灵活性。我国当前的立法现状就是分散立法模式，在统一立法出台之前，其将继续发挥规制个人信息滥用、保护个人信息的功能。统一立法出台之后，《征信业管理条例》《网络安全法》等领域法与统一立法不一致之处应当被修改，但分散立法可以保留不违反统一立法基本原则、适用于本行业信息利用的特殊规范，如医疗行业规范可以对健康信息商业利用行为制定更严格的保护与利用规则。但是，为了避免各领域分散立法可能导致的司法不统一，司法机关应当以统一立法为最低的裁判标准。

最后，行业自律。虽然我国的行业自律组织还有待完善，但是对于新技术革命带来的社会变革，统一立法和分散立法都显得过于滞后，行业自律规范作为立法不足的补充规范意义重大。而且，行业自律模式具有其他立法模式无法企及的灵活性。各行业可以根据行业特点适用不同的自律方式，以网络行业为例，行业自律的要素可以包括：(1)网站隐私权保护政策，确立业界自我基本保护标准，自我规范和约束，明确信息收集的目的、方式、用途，以及用户权利、安全保障措施、网站免责条款等；(2)自律保护组织，加强机制保障，赋予保护组织制定隐私权规划和保护标准，明确政策、行为规范和保护措施，监督、检查和处理投诉等的权利义务；(3)达标认证和监督机构，加强动态监督，规定审核、评估、认证标志发放、监督的具体机制等；(4)技术软件研发，开展技术研发，提供技术后盾，明确隐私政策技术的标准，规定技术研发的激励措施等[13]。例如，2013年12月28日，微信海外版及其网站获得数据隐私管理(DPM)公司TRUSTe的认证[14]。信息主体更愿意利用微信平台，信息供给的充足又促进腾讯对个人信息的商业利用。由民间认证评级机构对企业的个人信息保护政策进行认证测评，亦能督促信息利用者主动保护个人信息。例如，2017年8月16日，北京大学互联网法律中心发布的《互联网企业个人信息保护抽样测评报告(2017)》以隐私政策所体现对个人信息的保护进行测评[15]。由于行业自律不具有强制性，实施效果可能会受影响，我国可以借鉴日本模式对行业自律设立专门的监管机构，对行业自律进行引导和监管。例如，从2017年7月26日起，中央网信办等四个国家相关主管部门开展“个人信息保护提升行动”，开始对微信、淘宝等十款网络产品和服务的隐私条款进行评审，重点内容包括是否明确告知使用个人信息的规则等。国家统一监管之下的行业自律，可以实现自发性与强制性的统一。

综上，我国个人信息商业利用规范应当采取统一立法、领域立法、行业自律三个层次的规范模式。即在专门的个人信息保护法中对商业机构个人信息利用的共同规范专门设章节进行统一规范，而且依据医院、银行、保险、电信、电子商务等各领域的特点制定适用各自领域的个人信息商业利用规范，同时辅之以行业认证、自律政策等自律规范。

(二)个人信息权利基础

美国以隐私权作为个人信息保护的权利基础。但是，随着数据经济的日益发展，美国越来越注重立足信息利用对促进经济发展的重要意义。为了兼顾信息利用者的合理需求，避免因个人信息保护对经济运行造成不合比例的负担，美国法对隐私权保护模式尽可能进行变通处理，以实现信息利用与个人信息保护之间的平衡。尽管在个人信息商业利用背景下，静态防御性的隐私权被发展为信息自决的信息隐私权，信息主体可以授权信息利用者对个人信息进行商业利用。但是，信息隐私权的行使以信息主体明确表示不同意信息利用者利用个人信息为要件，否则该法推定信息主体同意信息利用者的使用行为[12]251。由此可见，美国法并没有确定绝对的信息隐私权。美国法以信息自由作为规范的价值基础，美国始终没有出台统一的个人信息保护立法，没有明确个人信息权利，也未能设立统一的独立监督机构。

欧盟国家以保护个人信息权利作为规范个人信息商业利用行为的基础。1995年的欧盟《指令》确立了个人信息权利，并设置专门机构监管信息利用行为。2016年的欧盟GDPR继续保持确立个人信息权利并予以严格的法律保护。欧盟从人权保护观念的角度来规范个人信息商业利用行为，将个人信息权提升到基本权利的高度；从人格权角度确认个人信息权，包括访问权、删除权、反对权等。同时，欧盟GDPR规定信息主体享有对个人信息的许可同意权、删除权，表明欧盟法有赋予信息主体财产权的趋势。

我国是否应当以美国隐私权、欧盟个人信息权作为权利基础值得进一步分析。隐私权的内涵和外延难以界定，在美国实际上承担着一般人格权的功能，需要在具体个案中考察是否侵害隐私，内涵和外延的模糊性不利于信息主体的权益保护。在商业利用规范中，美国通过分散立法和自律模式规制个人信息滥用行为，并未对个人信息权进行确认。欧盟模式则恰恰与之相反，明确规定查询权、修改权、许可同意权、被遗忘权、转移权等。保护个人信息是个人信息商业利用的前提，信息利用者收集、处理个人信息的能力远远超过信息主体本人，我国应当借鉴欧盟模式确认信息主体的个人信息权利，防范信息利用者将保护个人信息的义务转嫁给信息主体。只有确认个人信息权，才能保障查询权、修改权、删除权、知情权等权利得以实现，这些权利的实现有赖于信息利用者履行积极协助的义务。

此外，各国个人信息保护法中对于信息主体的查询权、修改权、知情权、保持信息完整权、删除权等权能的规定基本趋同，值得我国参考借鉴。遗憾的是，大多数国家个人信息保护法虽然强调个人信息控制权，但是并未认识到大数据的市场价值，没有明确个人信息控制权中的财产权内涵，没有直接认可信息主体的财产权。欧盟2016年的GDPR中的同意权、删除权虽然有财产权保护趋势，但是并未全面规定信息主体的财产权。大数据时代，个人信息的商业利用如此频繁，毋庸置疑，个人信息中承载着财产利益，但是如何对财产利益进行法律确认，值得我国个人信息保护立法时慎重考虑。

(三)类型化规范

国际组织及各国个人信息保护法律中确立的收集、使用个人信息的基本原则值得借鉴，尤其是告知同意原则、目的限制原则、安全保护原则、必要性原则。欧盟法将个人信息利用活动产生的风险分为不同等级，不同风险等级下信息利用者的风险控制义务不同，以实现个人信息保护与信息自由利用的平衡。为促进个人信息的商业利用，欧盟还对敏感信息的处理利用做了类型化规定，敏感信息并非一概禁止商业利用。美国区分敏感信息与非敏感信息，对儿童信息等敏感信息进行特殊保护[16]。美国法规定的信息利用者义务不仅仅是为保护个人信息权利而设，更多的是兼顾信息隐私权和信息利用者利益，运用“法不禁止即自由”理论允许义务规范之外的信息利用行为，很多规范都规定信息主体承担保护个人信息的义务，而不是信息利用者承担该项义务。欧盟和美国都运用类型化方法规范个人信息商业利用行为，但是个人信息的合理类型、不同类型的个人信息许可利用模式和保护模式尚缺乏详细的类型化规范。综上，我国构建个人信息商业利用规范时应当借鉴和参考国外的类型化方法，合理确定个人信息的类型，并根据个人信息的不同类型和商业利用的不同情形设置不同的许可利用模式和保护模式。

(四)监管和法律责任

自律模式下的美国没有独立的监管机构，难免出现信息利用者不严格按照行业行为规则履行义务、侵害信息主体权益的行为。欧盟则建立了专门的监督机构，监管信息利用行为。我国应当仿效欧盟，设置专职机关，统筹个人资料保护法律的落实，对个人信息商业利用行为和行业自律实施全面监控，提高执法效率，促使个人信息得到有效保护。美国对个人信息侵害行为规定了刑事、行政、民事责任，其中的侵权损害赔偿归责原则、损害赔偿数额确定等制度值得借鉴。

总之，我国构建个人信息商业利用规范时要广泛吸取当前其他国家和地区个人信息保护立法和实践的经验，找出不同模式的不足与优势，借鉴先进制度，并充分重视我国的实际情况，为我国规范个人信息商业利用行为提供充分有效的法律依据。我国应当兼采欧盟模式和美国模式之长，采取统一立法、分散立法、自律相结合的规范模式，个人信息商业利用规范应当区别于国家机关信息利用规范，尤其是借鉴美国法通过行业自律保护个人信息、促进信息自由利用；借鉴欧盟完善的个人信息权利体系，坚持个人信息权、人格权和财产权的双重保护。值得注意的是，单个的个人信息并没有明显的财产属性，但是大数据时代个人信息被商业利用时则凸显其财产属性，信息主体有权请求信息利用者支付报酬，但这并不影响信息利用者享有基于个人信息加工后产生的衍生数据的财产权。同时，立法者需要处理好个人信息利用中信息主体与信息利用者之间权利义务的分配，例如，披露匿名化数据的数据控制者仍然要承担一定的义务，“以更好地保护数据主体的个人信息”[17];依据风险等级灵活设置信息利用者的义务，而不是一味给信息利用者增加过重负担，以促进信息利用与企业发展。借鉴欧盟模式，设立独立的个人信息商业利用的监管机构，发生侵害个人信息行为时允许权利人通过司法途径寻求救济。