個人信息保護制度的信義法進路：反思與修正

■ 潘雨祥 蒲俊丞

（西南大學(xué) 法學(xué)院，重慶 400715）

一、問題的提出

隨著信息技術(shù)的發(fā)展，大數(shù)據(jù)正以迅雷不及掩耳之勢改變著人類的社群生活與生存方式。海量的個人信息密集處理與規(guī)模流轉(zhuǎn)，在給人類生活與社會發(fā)展帶來極大便利的同時，也對個人信息安全形成了前所未有的挑戰(zhàn)。為了滿足我國數(shù)字化發(fā)展背景下每個人最現(xiàn)實最直接的利益保護需要，《中華人民共和國個人信息保護法》（以下簡稱《個信法》）于2021年11月1日正式開始實施。作為我國第一部全面保護個人信息的專門性、綜合性法律，《個信法》以保護個人信息權(quán)益、規(guī)范個人信息處理行為、促進個人信息合理流通與利用為中心，構(gòu)建了較為完備、科學(xué)的個人信息保護規(guī)則體系。[1]（第1頁）然而，個人信息收集實踐中侵犯個人信息的現(xiàn)象并未因《個信法》的出臺而銷聲匿跡。相反，個人信息被不當(dāng)收集的事件不斷地被媒體曝光，[2]信息企業(yè)未經(jīng)用戶同意擅自處理個人信息的現(xiàn)象亦層出不窮，[3]人們對自身個人信息的控制依舊在逐步減弱。

問題究竟出在何處？筆者認為，雖構(gòu)建了個人信息處理規(guī)則體系，但《個信法》對一組價值沖突和一組失衡關(guān)系的協(xié)調(diào)還存在欠缺，致使個人信息侵權(quán)行為無法得到根治。價值沖突，是指個人信息保護價值與利用價值的沖突。隨著人類社會步入大數(shù)據(jù)時代，個人信息的可利用價值愈發(fā)凸顯，這驅(qū)使信息處理者對個人信息進行挖掘與分析，數(shù)字經(jīng)濟的發(fā)展同樣對個人信息的流通與利用提出了極大需求；而深度開發(fā)與利用對個人信息安全造成了前所未有的沖擊，數(shù)據(jù)侵擾、數(shù)據(jù)泄露、數(shù)據(jù)殺熟、數(shù)據(jù)畫像等現(xiàn)象正在嚴重威脅和破壞信息主體享有的個人信息權(quán)益。失衡關(guān)系，是指信息主體與信息處理者之間的關(guān)系。隨著信息技術(shù)的發(fā)展，以互聯(lián)網(wǎng)企業(yè)為代表的信息處理者所掌握的信息認知能力和信息應(yīng)用技術(shù)正在變得愈發(fā)強大，信息主體對于信息處理者所提供服務(wù)的依賴也在逐漸加深。這導(dǎo)致互聯(lián)網(wǎng)時代下的信息主體與信息處理者之間的地位愈發(fā)不平等，[4]（第113頁）且這種不平等關(guān)系具有持續(xù)性。[5]（第119頁）

為了解決這一問題，我國立法采取了對信息主體增強賦權(quán)的方式，在《個信法》第四章賦予了信息主體在個人信息處理活動中享有的知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)等多項權(quán)利，旨在強化信息主體在個人信息處理過程中的決定力和影響力。但是，事實證明，這種為信息主體賦權(quán)的方式對問題解決的效用非常有限。原因在于，這種個人信息保護模式建立在信息主體有能力維護自身信息權(quán)益的假設(shè)前提之上，但實際上信息主體既無能力、也無精力去主動聲張自身享有的個人信息權(quán)益。以被譽為個人信息保護“黃金法則”的“告知-同意”規(guī)則為例，立法要求信息處理者在從事信息處理活動之前，需要在其官網(wǎng)首頁或產(chǎn)品使用說明上注明該企業(yè)的服務(wù)協(xié)議或隱私政策，向用戶明確告知處理個人信息的內(nèi)容、方式等事項，并只有在取得用戶同意后才能開始相應(yīng)的信息處理行為。但從實踐來看，“告知-同意”規(guī)則并不能提供真正有效的保護。面對繁復(fù)冗雜的隱私政策，實踐中很少有人認真地閱讀。首先，從閱讀興趣來看，有研究表明，個體對于風(fēng)險的認知往往局限于熟悉的領(lǐng)域與風(fēng)險較大的領(lǐng)域（如犯罪、疾病等問題），對于個人信息處理所導(dǎo)致的風(fēng)險，個人的感知往往較為遲鈍，也沒有太多興趣去了解。[6]（第88頁）其次，從閱讀時間成本來看，根據(jù)美國的一項研究，如果所有的美國信息主體閱讀自己所瀏覽網(wǎng)站的隱私政策，一年內(nèi)花費的時間將達到538億小時，換算成經(jīng)濟成本大概是7810億，這無疑是一筆難以承擔(dān)的成本。[7]（第540-541頁）最后，從閱讀能力來看，信息主體一般不具備理解繁復(fù)冗雜的隱私政策的能力，個人信息的種類、其處理的方式與算法技術(shù)往往非常復(fù)雜，即便是專業(yè)的人員也常常難以理解，更不用說一般的普通用戶。[8]（第1393-1462頁）在這種現(xiàn)實背景下，許多企業(yè)的隱私政策逐漸演變?yōu)榱恕鞍酝鯒l款”，利用格式化的隱私政策獲取信息主體的同意與授權(quán)，而這種“同意與授權(quán)”的背后通常是信息主體無可奈何與被迫授權(quán)。

雖然以歐盟《一般數(shù)據(jù)保護條例》（General Data ProtectionRegulation，以下簡稱“GDPR”）為代表的個人信息保護立法采取了要求信息處理者以“一種簡潔、透明、易懂和容易獲取的形式，以清晰和平白的語言來提供信息”（GDPR第12條），并將提高信息主體閱讀隱私政策的興趣和意識作為立法目的（GDPR第57條第1款第2項），且我國《個信法》第14條和第17條也對“告知-同意”規(guī)則的形式要件作出了明確規(guī)定。但這種在傳統(tǒng)“告知-同意”的合同法框架下進行改良，對大數(shù)據(jù)時代個人信息保護的作用已經(jīng)越來越小了。一方面，原因在于強行要求簡化隱私政策內(nèi)容將會對信息處理者造成巨大負擔(dān)，且簡化后的隱私政策在專業(yè)性、準確性方面也會大打折扣；另一方面，有研究表明，即便是對隱私政策進行簡化也未必會真正影響信息主體的決策，[9]（第67頁）依舊難以發(fā)揮制度設(shè)計者的理想效用。在以“告知-同意”規(guī)則為縮影的個人賦權(quán)信息保護模式難以發(fā)揮實質(zhì)效用的情況下，保護個人信息的重擔(dān)就落在了行政監(jiān)管之上，信息主體只能寄希望于履行個人信息保護職責(zé)的部門實施各種監(jiān)管行為，但信息處理者通常具有規(guī)避違法審查的能力，這就導(dǎo)致了對個人信息處理行為的行政審查可能淪為“打地鼠”式的監(jiān)管游戲，難以發(fā)揮實質(zhì)性保護效用，或者至少可以說效率很低。

上述研究表明，無論是效仿GDPR的信息主體增強賦權(quán)模式，還是信息處理合規(guī)的行政監(jiān)管模式，都難以在大數(shù)據(jù)時代下真正高效地發(fā)揮保護個人信息的實質(zhì)性效用。而造成這一困局的根本原因在于，現(xiàn)有個人信息保護制度構(gòu)建于傳統(tǒng)的合同法框架之上，而這種框架無法創(chuàng)造出各方主體之間的“信任”關(guān)系。行政機關(guān)不信任信息處理者，信息處理者與信息主體之間也相互不信任。而如果在最基礎(chǔ)的層面上都無法建立起最基本的信任關(guān)系，那么再多的賦權(quán)和規(guī)制也都無濟于事，[10]（第62頁）“信任赤字”將成為現(xiàn)有個人信息保護制度無法跨越的鴻溝。為此，有域外學(xué)者提出了個人信息保護的信義法思路，試圖將信義法中的信任關(guān)系與信義義務(wù)引入個人信息保護制度中，以解決“信任赤字”問題。本文將在這些域外學(xué)者的研究基礎(chǔ)之上進行歸納與反思，并結(jié)合我國的立法實踐對其加以修正，試圖探索基于信義法思路的個人信息保護進路。

二、邁向信義法思路的個人信息保護制度

（一）引入“信息信托”

個人信息保護困境并非今日之特有產(chǎn)物，其在20世紀下半葉就已初露端倪。在20世紀70年代，美國信息處理者利用計算機數(shù)據(jù)庫處理個人信息侵權(quán)的現(xiàn)象就已層出不窮，為應(yīng)對日益頻繁的信息侵權(quán)問題。美國政府成立了一個“關(guān)于個人數(shù)據(jù)自動系統(tǒng)的建議小組”，對個人信息處理行為的相關(guān)事項加以調(diào)查研究。[11]（第97頁）該小組1973年發(fā)布了一份名為“公平信息實踐原則”的報告，確立了個人信息處理的5項原則：其一，必須禁止個人信息的秘密保存；其二，必須確保個人了解什么信息被收集，以及如何被使用；其三，必須確保個人能夠阻止未經(jīng)同意將其信息用于授權(quán)目的之外，或提供給他人的行為；其四，必須確保個人能夠改正或修改系統(tǒng)中的個人信息；其五，必須確保對任何被使用的個人信息都是可靠的，且必須采取預(yù)防措施避免信息濫用。公平信息實踐原則的提出在很大程度上影響了美國的隱私立法，美國1974《隱私法案》直接將公平信息實踐納入立法規(guī)定，隨后的《家庭教育權(quán)利與隱私法案》《視頻隱私保護法案》等法案也體現(xiàn)了公平信息實踐的內(nèi)容。美國著名法學(xué)教授保羅·施瓦茨（PaulSchwartz）教授將公平信息實踐原則譽為“現(xiàn)代信息隱私法的基石”。[12]（第1607-1702頁）

從公平信息實踐的內(nèi)容來看，其主要強調(diào)的是信息主體的強化賦權(quán)以及信息處理者的義務(wù)履行，本質(zhì)上可以理解為立法通過傾斜保護的方式對信息處理者形成掣肘，從而達到個人信息保護的目的。就此而言，美國研究者似乎已經(jīng)抓住了個人信息保護的關(guān)鍵點，即如何有效制約處于強勢地位的信息處理者。然而，對信息處理者制約路徑的探索并非一帆風(fēng)順，在信息保護實踐接連證明了個體賦權(quán)路徑、公法監(jiān)管路徑以及信息處理者自主合規(guī)路徑均存在難以克服的局限性后，域外學(xué)界逐漸將目光投向了“信息信托”這一新概念，并發(fā)展出了兩套并行不悖的制度構(gòu)想。一方面，美國提出了“信息受托人”制度構(gòu)想，試圖將信義義務(wù)與責(zé)任施加于信息處理者，要求其為信息主體的利益著想，不得與信息主體利益相沖突；而另一方面，英國提出了“數(shù)據(jù)信托”制度構(gòu)想，嘗試構(gòu)建第三方主體作為信托機構(gòu)，維護信息主體利益，監(jiān)督對抗信息處理者的行為，以達到維護信息主體利益的目的。下文將對此兩種構(gòu)想進行分析與梳理。

（二）美國“信息受托人”的制度構(gòu)想

在美國的信息信托前沿探索中，影響力最為深遠的當(dāng)屬耶魯大學(xué)法學(xué)院教授杰克·巴爾金（Jack M.Balkin）。他指出，在實踐中的律師與客戶、醫(yī)生與患者之間存在著一種特殊關(guān)系，人們需要信任他們的律師和醫(yī)生并準確提供案件與病癥相關(guān)的個人信息，醫(yī)生和律師應(yīng)當(dāng)擔(dān)負為患者和客戶利益考量的信義義務(wù)和責(zé)任，這種信任關(guān)系就是一種信托關(guān)系。對上述關(guān)系的特性加以分析，可以發(fā)現(xiàn)現(xiàn)代信托關(guān)系一般建立在受托人具有專業(yè)能力方面的巨大優(yōu)勢，承載著委托人的信任，并為其利益管理享有高度自治權(quán)的預(yù)設(shè)前提之上。[13]（第23頁）他認為，律師與客戶、醫(yī)生與患者之間的關(guān)系還可以推衍至信息處理者與信息主體之間。這源于雖然人們對信息處理者的期待與他們對醫(yī)生和律師的期望截然不同，因為信息處理者的受托義務(wù)比醫(yī)生和律師在專業(yè)性方面更窄，但信息處理者有能力收集到比任何醫(yī)生和律師都要多的關(guān)于我們的不同類型的信息，其擁有的計算能力和人工智能能力同樣能夠?qū)π畔⒅黧w造成巨大影響。因此，信息處理者應(yīng)當(dāng)扮演“信息受托人”的角色，承擔(dān)起關(guān)心信息主體利益的信義義務(wù)，同樣要值得信息主體的信任。而至于何謂“信息受托人”，他將其定義為“因與他人的關(guān)系而對在關(guān)系中獲得的信息承擔(dān)特殊責(zé)任的個人或企業(yè)”。[14]（第1207頁）

至于信息主體與信息處理者之間的關(guān)系與現(xiàn)代信義法所調(diào)整的關(guān)系之間存在何種相似性，以及個人信息處理關(guān)系為何可以適用信義義務(wù)，巴爾金也作了較為詳盡的解釋：其一，信息主體（他將信息主體稱為終端用戶）與信息處理者之間的關(guān)系具有脆弱性和不平等性。作為弱勢方的信息主體完全沒有能力監(jiān)督和控制處于強勢方的信息處理者的行為，但信息處理者能夠輕易監(jiān)測并掌控信息主體的相關(guān)信息。其二，信息主體對信息處理者一般具有依賴性。信息主體通常依賴于信息處理者提供的各種服務(wù)，這種依賴性決定了信息主體除了信任信息處理者不濫用其個人信息之外沒有更好的選擇。其三，信息處理者通常標榜并認可自身的專業(yè)屬性。這種專業(yè)能力的自我標榜能夠吸引信息主體產(chǎn)生信任。[15]（第1222頁）正如他所舉之例，搜索引擎通常會向用戶承諾“我們會快捷有效地為您找到想要的信息”，這種承諾通常誘導(dǎo)信息主體對其產(chǎn)生信任并認可其受托人的地位。其四，信息處理者一般知道自身掌握著有價值的信息，且也知道信息主體會對這些信息的處理感到擔(dān)憂。他們一般會承諾其行動與信息主體的利益一致，以維護自身是受托人的形象。就此而言，如果在專業(yè)能力差距較大的個人信息處理關(guān)系中僅適用平等主體間的合同法關(guān)系，則可能導(dǎo)致具有專業(yè)能力的一方利用合同法規(guī)則為自身牟利，而不顧弱勢一方的信賴利益。[16]（第957頁）因此，法律上向信息處理者施加信義義務(wù)與責(zé)任具有較強合理性。

（三）英國“數(shù)據(jù)信托”的制度構(gòu)想

與美國不同，作為信托法起源地的英國，在面對和處理大數(shù)據(jù)時代下的價值沖突和失衡關(guān)系的過程中，發(fā)展出了一套幾乎完全不同于美國的信息信托道路。這種“數(shù)據(jù)信托”模式被英國數(shù)據(jù)公開機構(gòu)定義為“提供獨立的第三方數(shù)據(jù)管理的法律結(jié)構(gòu)”。[17]（第74頁）由是觀之，英國的“數(shù)據(jù)信托”的構(gòu)想主要通過第三方信托機構(gòu)制約信息處理者以達到衡平個人信息處理關(guān)系的目的。該制度構(gòu)想源于2017年英國政府發(fā)布的《發(fā)展英國的人工智能產(chǎn)業(yè)報告》。該《報告》提出，“為了促進數(shù)據(jù)共享，政府和行業(yè)應(yīng)當(dāng)開發(fā)出一種數(shù)據(jù)信托的項目，經(jīng)過可信的框架和協(xié)議證明數(shù)據(jù)交換是安全和互利的”。為了達成此目的，該《報告》號召成立“數(shù)據(jù)信托支持組織”，其由大量具備專業(yè)能力的專家組成，作為第三方主體幫助管理數(shù)據(jù)信托，主要發(fā)揮以下功能：其一，提供各方同意共享數(shù)據(jù)的信托框架；其二，協(xié)調(diào)數(shù)據(jù)共享的目的、預(yù)期用途以及數(shù)據(jù)處理方式；其三，商定共享數(shù)據(jù)的傳輸和存儲機制；其四，對共享數(shù)據(jù)產(chǎn)生的經(jīng)濟價值予以合理分配。

這種構(gòu)想得到了英國學(xué)界的支持，伯明翰大學(xué)法學(xué)院教授西爾維·德拉克洛西（Sylvie Delacroix）和尼爾·勞倫斯（NeilD.Lawrence）同樣提出了數(shù)據(jù)信托的概念，兩位學(xué)者同樣提出在信息主體與信息處理者之間引入一個第三方信托機構(gòu)作為受托人。[18]（第236-252頁）信息主體根據(jù)需要選擇不同的信托機構(gòu)，將個人信息權(quán)利轉(zhuǎn)讓給其選擇的信托機構(gòu)。受托人憑借其專業(yè)能力和知識制約信息處理者，為信息主體謀取利益，預(yù)防信息主體的個人信息權(quán)利遭到非法侵害，削弱信息處理者的強勢地位。英國南安普頓大學(xué)基隆·奧·哈拉（Kieron O.Hara）教授則提出了進一步構(gòu)想，認為信息信托機構(gòu)應(yīng)當(dāng)享有更大的權(quán)限并承擔(dān)更為嚴格的信義義務(wù)。作為受托人的信托機構(gòu)應(yīng)當(dāng)享有信息訪問控制、訪問審核以及信息匿名化處理等權(quán)限，信息處理者在滿足規(guī)定條件（如付費）的條件下才能夠訪問這些信息。而信托機構(gòu)應(yīng)當(dāng)履行對信息主體的包含忠實義務(wù)和勤勉義務(wù)在內(nèi)的信義義務(wù)，維護信息主體的最大利益。一旦發(fā)生信息泄露，如果信息信托機構(gòu)無法證明其已經(jīng)履行了高標準的信義義務(wù)，就應(yīng)當(dāng)與侵害者承擔(dān)連帶賠償責(zé)任。[19]（第8-12頁）在此基礎(chǔ)上，基隆·奧·哈拉教授還指出，信息信托并不一定要求信息主體轉(zhuǎn)移任何個人信息給信托管理機構(gòu)，其仍然可以管理和控制其個人信息，只是與信息信托機構(gòu)之間達成了一種“信息共享門戶協(xié)議”，這種門戶協(xié)議主要確立的是以何種方式制約信息處理者的行為，而并非如何轉(zhuǎn)移和存儲信息主體的信息。

質(zhì)言之，英國開發(fā)出的“數(shù)據(jù)信托”構(gòu)想與美國“信息受托人”模式可謂殊途同歸，其本質(zhì)上均為制約信息處理者的方式。此兩種路徑雖然均處于探索之中，尚未發(fā)展成為完整的信托產(chǎn)業(yè)鏈，但其提出的部分經(jīng)驗仍然值得我國個人信息保護制度所借鑒。

三、反思：英美信托制度中信義義務(wù)規(guī)定的缺陷

（一）對美國“信息受托人”構(gòu)想的反思

誠然，信息信托是制約信息處理者行為的有效途徑，有助于公平信息實踐的實現(xiàn)，這是毋庸諱言的。但是，筆者認為，美國在探索“信息受托人”構(gòu)想的過程中，落腳點有一定誤差，這可能導(dǎo)致信義義務(wù)的制度實效難達預(yù)期，甚至可能與個人信息保護制度的初衷相悖。具體而言，美國在構(gòu)建信息信托制度時落腳于信息處理者信義義務(wù)的施加，通過勤勉義務(wù)和忠實義務(wù)的引入確保其不會濫用優(yōu)勢地位。但是，筆者認為，對信息處理者施加信義義務(wù)的方式有待商榷，至少在我國個人信息信義法保護制度的構(gòu)建過程中應(yīng)予反思。

1.信息處理者與信托受托人的利益相關(guān)性存在差異

在信義法所調(diào)整的關(guān)系中，作為受托人的一方不得具有與委托人相沖突的利益，就像律師如果對其代理的案件具有獨立利益，且該利益可能與客戶的利益相沖突，那么就不能要求其代理該案件并承擔(dān)信義義務(wù)。同理，信息處理者不僅是直接利益相關(guān)者，且其利用個人信息的利益可能與信息主體保護個人信息的利益相沖突，在這種情況下信息處理者很難做到完全為信息主體的利益著想。

2.信息處理者與信息受托人的獲利方式存在差異

在信義法所調(diào)整的關(guān)系當(dāng)中，受托人獲取利益的方式是為受益人謀取利益后，收取委托人支付的報酬。除了向委托人索取報酬之外，受托人不得利用信托財產(chǎn)為自身牟利，換言之，信托財產(chǎn)絕非受托人獲益的工具。然而，對于信息處理者而言，個人信息是其獲利的重要工具，亦是向信息主體提供服務(wù)的動力和經(jīng)濟來源，而信息信托報酬并非信息處理者獲利的途徑。就此而言，信息處理者的獲利途徑與信托受托人不同，甚至可以說是基本相反。強行為信息處理者如果施加信義義務(wù)，則將打破原有的個人信息處理行為規(guī)則。

3.對信息處理者施加信義義務(wù)的做法與個人信息保護的原理與實踐不完全適配

美國學(xué)者林納·卡恩（LinaM.Khan）和大衛(wèi)·波曾（DavidE.Pozen）對個人信息的信義法保護路徑提出了質(zhì)疑：一方面，信息處理者多為企業(yè)，而企業(yè)的特征是對股東負責(zé)，要求企業(yè)對信息主體承擔(dān)信義義務(wù)的責(zé)任并不現(xiàn)實；[20]（第502-520頁）另一方面，以信義義務(wù)要求作為企業(yè)的信息處理者，也并不一定能夠真正地約束大型互聯(lián)網(wǎng)企業(yè)，這些企業(yè)擁有非常強的法務(wù)團隊，可以很輕松地規(guī)避信義法責(zé)任。[20]（第520-529頁）在兩位學(xué)者看來，企業(yè)尤其是大型互聯(lián)網(wǎng)企業(yè)，在個人信息處理過程中，其利益本質(zhì)上與信息主體的利益沖突，鑒于其與信息主體的信息能力高度不平衡，因此很難在兩者之間建立一種互利合作的關(guān)系。

4.對信息處理者施加信義義務(wù)的做法可能與個人信息保護的立法目的相悖

如前所述，信息處理者獲利的方式是對個人信息加以分析和利用，并從中獲取有價值的內(nèi)容。如果要求其作為信息受托人，為其施加必須為信息主體的利益考量且不得利用個人信息牟利的信義義務(wù)，將對信息處理者形成過于沉重的負擔(dān)。如果立法上為信息處理者施加的負擔(dān)過重，將形成經(jīng)濟壁壘，導(dǎo)致很多企業(yè)不敢涉足個人信息處理的領(lǐng)域，不利于個人信息的流通與發(fā)展，可能與個人信息保護立法目的相悖。

（二）對英國“數(shù)據(jù)信托”構(gòu)想的反思

與美國一樣，英國在“數(shù)據(jù)信托”的制度構(gòu)想過程中也有一定數(shù)量的漏洞，或至少可以說是不適合我國個人信息保護理論與實踐之處。具體而言，英國提出的在信息主體與信息處理者之間引入第三方信托機構(gòu)作為受托人，由信息主體將個人信息權(quán)利轉(zhuǎn)讓給該受托人，然后由信托機構(gòu)運用其專業(yè)能力和知識制約信息處理者行為的“數(shù)據(jù)信托”模式至少在信息權(quán)利轉(zhuǎn)讓范圍、信息權(quán)利轉(zhuǎn)讓理論基礎(chǔ)、信息權(quán)利轉(zhuǎn)讓實踐可行性、以及費用和利益的分配等方面存在疑問。

1.對信息權(quán)利轉(zhuǎn)讓范圍有疑問

在“數(shù)據(jù)信托”模式中，信息主體轉(zhuǎn)讓給信托機構(gòu)的并非具體的個人信息，而是個人信息權(quán)利。然而，在實踐中，信息主體應(yīng)當(dāng)轉(zhuǎn)讓哪些信息權(quán)利、不轉(zhuǎn)讓哪些信息權(quán)利，以及轉(zhuǎn)讓多少個人信息權(quán)利才能有效制約信息處理者依舊不明確。況且，隨著大數(shù)據(jù)技術(shù)的發(fā)展，涌現(xiàn)出越來越多的新型個人信息權(quán)利，如何將這些新型權(quán)利納入信托范圍也存在疑問。倘若采取概括授權(quán)的方式，則容易侵害信息主體利益，與信息信托的初衷背道而馳。

2.對信息權(quán)利轉(zhuǎn)讓的理論基礎(chǔ)有疑問

個人信息保護與承載的利益具有多元性，除了財產(chǎn)利益之外，亦然包括人格利益。[21]（第45頁）此外，保護財產(chǎn)利益與保護人格利益的個人信息權(quán)往往并非涇渭分明，恰恰相反，很多個人信息權(quán)都兼具了財產(chǎn)與人格利益。在“數(shù)據(jù)信托”模式中，將保護財產(chǎn)利益的個人信息權(quán)利轉(zhuǎn)讓給信托機構(gòu)并無理論障礙，但涉及人格利益?zhèn)€人信息權(quán)利的轉(zhuǎn)移可能面臨著缺乏理論基礎(chǔ)的難題。從傳統(tǒng)的人格權(quán)法來看，基于人格權(quán)益的絕對控制權(quán)理論，具有人格權(quán)要素的個人信息權(quán)利不可轉(zhuǎn)讓，因此“數(shù)據(jù)信托”模式所規(guī)定的個人信息權(quán)利轉(zhuǎn)讓可能與傳統(tǒng)人格權(quán)法相抵牾。

3.對“數(shù)據(jù)信托”模式的實踐可操作性有疑問

在“數(shù)據(jù)信托”模式下，信息主體與信托機構(gòu)簽訂“信息共享協(xié)議”的過程中，為了讓信息主體明確知曉其需要轉(zhuǎn)讓何種信息權(quán)利、如何轉(zhuǎn)讓這些權(quán)利以及權(quán)利轉(zhuǎn)讓的后果，信托機構(gòu)必須制作真實、準確、充分的材料予以說明，而信息主體可能很難有能力和精力去認真閱讀分析這些權(quán)利轉(zhuǎn)讓聲明。這似乎又回到了“告知-同意”規(guī)則下信息主體閱讀授權(quán)隱私政策的困局。暫不論后續(xù)授權(quán)行為，僅是信息權(quán)利轉(zhuǎn)讓行為本身都可能對信息主體造成較大負擔(dān)。況且，信息權(quán)利轉(zhuǎn)讓可能不是一次性和終局性的，信息主體可能隨時需要修改權(quán)利轉(zhuǎn)讓范圍和內(nèi)容，這將給信息主體造成進一步的負擔(dān)。此外，權(quán)利轉(zhuǎn)讓模式對實踐中信息流通的便捷性也存在阻礙。舉例而言，筆者下載了一款新的手機App，在首次登錄時App運營商要求我勾選相應(yīng)的隱私政策，我由于看不懂隱私政策的內(nèi)容而只能向信托機構(gòu)“求助”，接下來無論是信托機構(gòu)告訴我“可以勾選”還是信托機構(gòu)直接將我的相關(guān)信息傳輸給App運營商，均會對我即時使用手機App的現(xiàn)實需求造成巨大影響。由此可見，“數(shù)據(jù)信托”模式對個人信息保護的效率并不理想。

4.對“數(shù)據(jù)信托”模式的運營費用和利益分配有疑問

鑒于信息信托的私法性質(zhì)，“數(shù)據(jù)信托”模式下的受托人不宜由公權(quán)部門充當(dāng)，而信托機構(gòu)的私法主體性意味著其設(shè)立需要以盈利為目的。但是，對信托機構(gòu)如何盈利有疑問，如果要求信息主體繳納費用，那么會對信息主體造成新的負擔(dān)，這無疑會打擊信息主體從事信息信托的積極性，不利于信息信托產(chǎn)業(yè)的發(fā)展；倘若采取從受托人為信息主體謀取到的利益（如信息處理者所支付的信息訪問費用）之中抽取部分作為運營資金的做法看似更為可行，但其仍占用了信息主體的應(yīng)得利益，況且信托機構(gòu)從信息處理者那里獲取到的利益可能根本不足以支撐其運營。

由此可見，英國信息信托發(fā)展出的“數(shù)據(jù)信托”模式有較多尚待明確之處，需要大量更為深入的研究加以探索。但不可否認的是，“數(shù)據(jù)信托”模式提出的由獨立主體承擔(dān)信息受托人角色，因其不會像美國“信息受托人”模式那樣給信息處理者造成過重的負擔(dān)而影響個人信息的流通，但又能滿足制約信息處理者的實效，故而在一定程度上值得我國立法借鑒。

四、修正：我國《個信法》中信義義務(wù)相關(guān)法律規(guī)范的調(diào)整

（一）引入個人信息保護負責(zé)人的信義義務(wù)及其與現(xiàn)有法律制度的兼容性

西方國家研究信息信托的根本原因在于大數(shù)據(jù)時代下信息主體與信息處理者的能力與地位失衡，傳統(tǒng)的“告知-同意”規(guī)則不利于弱勢方的保護，因而需要引入一種機制來約束信息處理者的行為，使其處理活動符合信息主體的合理預(yù)期，維護信息主體的信賴利益，進而達到保護個人信息的效用。在我國信息技術(shù)高度發(fā)達、信息主體與信息處理者關(guān)系愈發(fā)失衡的實踐背景下，這種思路固然值得借鑒。但是，如前所述，美國發(fā)展出的“信息受托人”模式?jīng)]有注重受托人的獨立性，過于直接地給信息處理者施加了信義義務(wù)，導(dǎo)致信息處理者負擔(dān)過重，不利于個人信息的流通與發(fā)展；而英國發(fā)展出的“數(shù)據(jù)信托”采取了完全由獨立第三方信托機構(gòu)作為受托人，信息主體需要轉(zhuǎn)讓個人信息權(quán)利才能完成信息信托的模式。這種模式不僅在理論和實踐上均有障礙，亦會給信息主體帶來額外負擔(dān)，同樣不利于個人信息的流通與發(fā)展。由是觀之，信息受托人的角色不宜完全忽略其獨立性，由信息處理者扮演；也不宜過于重視其獨立性，由第三方信托機構(gòu)充當(dāng)。

因此，在肯定個人信息的信義法保護這一基本思路的前提下，應(yīng)當(dāng)避開上述制度障礙，尋找出一類具有“相對獨立性”的主體承擔(dān)信義義務(wù)：一方面，這一類主體應(yīng)當(dāng)具有獨立性，鑒于信息信托的本質(zhì)是對信息處理者行為的制約，使具有獨立性的主體制約信息處理者不僅更符合邏輯，也更有助于維護信息主體的信任；另一方面，這類主體具有的獨立性應(yīng)該是相對的，這決定該主體不宜完全脫離信息處理者，仍需與信息處理者聯(lián)系緊密，這有助于更為貼近和深入地將其影響力施加到信息處理行為的全過程?？偨Y(jié)上述制度經(jīng)驗，結(jié)合我國信息實踐、立法現(xiàn)狀與前沿理論，筆者認為應(yīng)當(dāng)由個人信息保護負責(zé)人承擔(dān)制約信息處理者行為、保護信息主體信賴利益的信義義務(wù)。

個人信息保護負責(zé)人，由《個信法》第52條第1款規(guī)定，對個人信息處理活動以及采取的保護措施承擔(dān)監(jiān)督職責(zé)的一類主體。類似于公司法中的監(jiān)事，個人信息保護負責(zé)人發(fā)揮著監(jiān)督信息處理活動，制約信息處理者行為的職責(zé)，是一種“內(nèi)部獨立監(jiān)督者”。但是，兩者不同之處在于，設(shè)立監(jiān)事的目的是保障公司股東利益，而個人信息保護負責(zé)人設(shè)立的目的是幫助行政機關(guān)和信息主體共同監(jiān)督信息處理者的行為。正如《個信法》第52條第2款的規(guī)定：“信息處理者應(yīng)當(dāng)公開個人信息保護負責(zé)人的聯(lián)系方式，并將個人信息保護負責(zé)人的姓名、聯(lián)系方式等報送履行個人信息保護職責(zé)的部門。”信息處理者應(yīng)當(dāng)公開其內(nèi)部監(jiān)督者的聯(lián)系方式，便于信息主體與行政機關(guān)隨時與個人信息保護負責(zé)人取得聯(lián)系并了解信息處理者行為的監(jiān)督情況。我國的個人信息保護負責(zé)人制度在一定程度上借鑒了GDPR第37條至第39條設(shè)立的“數(shù)據(jù)保護官”制度，但該制度的內(nèi)涵與外延還不如GDPR那樣豐富。研究發(fā)現(xiàn)，使個人信息保護負責(zé)人承擔(dān)制約信息處理者行為的信義義務(wù)，不僅與其制度預(yù)期相一致，亦符合信義法保護的基本原理，還可以滿足個人信息信義法保護的實踐需求。因此，筆者認為，為個人信息保護負責(zé)人施加信義義務(wù)不僅具有可行性，而且具有必要性。

1.使個人信息保護負責(zé)人承擔(dān)信義義務(wù)與其制度預(yù)期一致

要求個人信息保護負責(zé)人承擔(dān)信義義務(wù)意味著其應(yīng)當(dāng)盡可能為信息主體的利益考慮，制約信息處理者的行為，避免信息處理活動侵害信息主體的權(quán)益。從《個信法》第52條的兩款規(guī)定來看，創(chuàng)設(shè)個人信息保護負責(zé)人這一職位是為了便于社會公眾和行政機關(guān)能夠及時地、準確地監(jiān)督信息處理者。就此而言，無論是信義義務(wù)的賦予，抑或是透明監(jiān)督職責(zé)的履行，其本質(zhì)均是立法上制約信息處理者，衡平信息處理關(guān)系所制定的規(guī)范，故兩者具有一致性。

2.使個人信息保護負責(zé)人承擔(dān)信義義務(wù)與個人信息保護立法目的一致

如前所述，《個信法》的立法目的除了維護個人信息權(quán)益之外，還包括促進個人信息合理利用與流通。因此，在制度設(shè)計時不能為信息處理者增添過于沉重的負擔(dān)，否則將對信息處理者形成經(jīng)濟上的壁壘，打擊信息處理者合法利用個人信息的積極性，最終將影響數(shù)字經(jīng)濟及信息社會發(fā)展的整體進程。就此而言，需要承擔(dān)為信息主體利益考慮之信義義務(wù)的并非信息處理者整體，而僅是其內(nèi)部的一個監(jiān)督部門，依舊允許信息處理者的其他部門在合法范圍考慮自己的經(jīng)濟利益。如此一來，對信息處理者的制約被限定在一個合理范圍之內(nèi)，不至于過度影響其從事信息處理活動的成本與負擔(dān)，在一定程度上維護了個人信息合理利用與流通的利用。

3.使個人信息保護負責(zé)人承擔(dān)信義義務(wù)符合信義法保護的基本原理

對個人信息保護負責(zé)人施加信義義務(wù)，除了需要與《個信法》以及個人信息保護負責(zé)人制度設(shè)立的預(yù)期一致以外，還需要符合信義法保護的基本原理。判斷對個人信息保護負責(zé)人施加信義義務(wù)是否符合信義法基本原理，需要考慮以下幾個方面的問題：（1）是否具有不平等專業(yè)能力。信義法關(guān)系建立在委托人與受托人專業(yè)能力不平等的預(yù)設(shè)前提之上，如果個人信息保護負責(zé)人具有監(jiān)督信息處理者行為的專業(yè)能力，則滿足了成為信息受托人的條件。（2）是否具有信任關(guān)系。正是因為信義法關(guān)系中專業(yè)能力的不平等，才需要信賴關(guān)系促成兩者合作，故信任關(guān)系是信義法關(guān)系存在的基礎(chǔ)。雖然個人信息保護負責(zé)人是信息處理者內(nèi)部的監(jiān)督者，但信息主體是基于信賴而非監(jiān)督職權(quán)本身而授權(quán)個人信息保護負責(zé)人參與治理其個人信息，故如果個人信息保護負責(zé)人能夠勤勉履行制約信息處理者的監(jiān)督職責(zé)，就具有了成為信息受托人必不可少的要件。（3）是否簽訂符合法律規(guī)定的信托合同。依據(jù)我國《信托法》第9條，委托人與受托人必須就信托達成意思表示一致，并簽訂含有以下事項的信托合同：信托目的；委托人、受托人的姓名或者名稱、住所；受益人范圍；信托財產(chǎn)的范圍、種類及狀況；受益人取得信托利益的形式、方法等。如果信息主體在允許信息處理者收集個人信息之時，同時授權(quán)個人信息保護負責(zé)人監(jiān)督其個人信息處理活動并簽署信托協(xié)議，則滿足了個人信息保護負責(zé)人成為信息受托人的要件。

4.使個人信息保護負責(zé)人承擔(dān)信義義務(wù)可以滿足信義法保護的實踐需求

一方面，個人信息信義法保護實踐需要信息主體與信息處理者之間相互信任。在個人信息保護的傳統(tǒng)路徑中，信息主體似乎很難相信信息處理者會對其自身行為進行良好約束。但是，如果信息主體發(fā)現(xiàn)有一個獨立的部門制約信息處理行為并代表其切實利益，那么這種顧慮在很大程度上將會打消，或至少有助于構(gòu)建信息處理者與信息主體之間的信任關(guān)系。另一方面，個人信息信義法保護實踐需要降低信息主體的信息保護成本。第三方信息信托構(gòu)想固然有助于增強信息保護力度，但該模式在效率和成本方面做出了過多犧牲，導(dǎo)致信息主體需要付出過多成本來維護自身個人信息，這無疑會打擊信息主體的積極性，繼而會對信息信托市場的發(fā)展造成諸多不良影響。為個人信息保護負責(zé)人施加信義義務(wù)，使其能夠密切監(jiān)督信息處理者的行為，從源頭保障信息處理活動的合法性，有助于從供給側(cè)優(yōu)化信息處理行為。個人信息保護負責(zé)人作為“內(nèi)部監(jiān)督者”，其不需要信息主體轉(zhuǎn)讓信息權(quán)利就可以履行監(jiān)督職責(zé)，這在確保有效制約信息處理者行為的同時，能夠盡量降低信息主體的信息保護成本。

（二）信義義務(wù)的具體內(nèi)容

在明確了將信義義務(wù)施加給個人信息保護負責(zé)人的可行性與必要性之后，還有必要對信義義務(wù)的具體內(nèi)容加以討論，以明確個人信息保護負責(zé)人需要在何種程度上對信息主體負責(zé)?，F(xiàn)代信義法為受托人規(guī)定了兩條最為重要的行為標準，即忠實義務(wù)和勤勉義務(wù)。[22]（第76頁）除此之外，個人信息保護制度還具有其獨立特性，因此需要在綜合考量個人信息保護制度特性以及信義義務(wù)的情況下探索個人信息保護負責(zé)人信義義務(wù)的具體內(nèi)容。

1.忠實義務(wù)

在信義法關(guān)系中，忠實義務(wù)是受托人對受益人所負擔(dān)的根本性義務(wù)。[23]（第181頁）忠實義務(wù)要求個人信息保護負責(zé)人忠實于信息主體并對其負責(zé)，必須為信息主體的利益服務(wù)，應(yīng)當(dāng)避免信息處理者的利益與信息主體的利益發(fā)生沖突。就此而言，個人信息保護負責(zé)人擔(dān)負的忠實義務(wù)應(yīng)當(dāng)至少包含以下3層含義：（1）個人信息保護負責(zé)人應(yīng)當(dāng)確保信息處理者不得置身于與信息主體利益相對的地位；（2）個人信息保護負責(zé)人在履行制約信息處理者行為的監(jiān)督職責(zé)時，不得以自身利益而為之；（3）個人信息保護負責(zé)人在履行監(jiān)督職責(zé)時，不得為第三人利益服務(wù)。[24]（第149頁）質(zhì)言之，“不沖突”是忠實義務(wù)的核心要素，只有當(dāng)個人信息保護負責(zé)人避免了來自其他主體（可能是個人信息保護負責(zé)人自身，也可能是信息處理者乃至其他信息主體）的利益對特定信息主體利益形成沖突，才能認為其針對這一特定信息主體履行了忠實義務(wù)。

2.勤勉義務(wù)

除了忠實義務(wù)之外，勤勉義務(wù)也是信義法上的核心義務(wù)之一，其要求受托人在處理信托事務(wù)時要像處理自己的事務(wù)一樣小心謹慎，履行較高的善良管理的注意義務(wù)。勤勉義務(wù)主要對個人信息保護負責(zé)人提出了以下幾項要求：（1）盡可能充分地履行監(jiān)督職責(zé)，對信息處理者的各項信息處理活動進行審查，確保信息處理行為的合法性，預(yù)防個人信息侵權(quán)行為的發(fā)生；（2）當(dāng)發(fā)現(xiàn)信息處理者或第三人從事個人信息侵權(quán)行為時，應(yīng)及時阻止或督促信息處理者采取適當(dāng)?shù)谋Ｗo行為；（3）在發(fā)生個人信息侵權(quán)行為之后，根據(jù)侵權(quán)情節(jié)嚴重程度，在必要時告知行政機關(guān)與信息主體。質(zhì)言之，維護信息安全是信義義務(wù)的應(yīng)有之義，只有當(dāng)個人信息保護負責(zé)人在信息侵權(quán)發(fā)生前、發(fā)生中、發(fā)生后均采取安全保障措施，才能認為其履行了勤勉義務(wù)。

3.信義法上的其他義務(wù)

除了忠實與勤勉兩大核心義務(wù)以外，信義法還為受托人規(guī)定了諸如親自管理義務(wù)、過程記錄義務(wù)、定期報告義務(wù)、保密義務(wù)等，[25]（第40頁）這些義務(wù)因其核心本質(zhì)在于增強委托人對信義法關(guān)系的信任基礎(chǔ)，故同樣適用于個人信息保護負責(zé)人。分述如下：

（1）親自管理義務(wù)要求個人信息保護負責(zé)人應(yīng)當(dāng)親自履行對信息處理者行為的監(jiān)督與制約職責(zé)，而不得將該職責(zé)轉(zhuǎn)讓、轉(zhuǎn)包給其他主體，因為信息主體信任的是個人信息保護負責(zé)人而非任何其他主體；（2）過程記錄義務(wù)要求個人信息保護負責(zé)人將其履行監(jiān)督職責(zé)的過程以工作日志的形式記錄下來，做到監(jiān)督行為有跡可循，便于信息主體隨時查閱，增強監(jiān)督的透明性；（3）定期報告義務(wù)要求個人信息保護負責(zé)人在法定或約定的期限內(nèi)將其工作日志加以整合，并以監(jiān)督報告的形式呈現(xiàn)給信息主體，增強信息主體與個人信息保護負責(zé)人良性互動；（4）保密義務(wù)要求個人信息保護負責(zé)人不得泄露任何與其職責(zé)履行相關(guān)的內(nèi)容，鑒于個人信息保護與信息主體隱私存在緊密關(guān)聯(lián)，施加保密義務(wù)同樣有助于維護信息主體與個人信息保護負責(zé)人之間的信任關(guān)系。

上述信義義務(wù)均為法定義務(wù)，即個人信息保護負責(zé)人必須履行的強制性義務(wù)，這些法定義務(wù)為信息主體與個人信息保護負責(zé)人建立信任關(guān)系提供了制度性激勵。在某種程度上講，信息主體對之所以能夠信任個人信息保護負責(zé)人，其實際上是信任立法為個人信息保護負責(zé)人設(shè)立的強制性義務(wù)。因此，法定信義義務(wù)的構(gòu)建是維護兩者信任關(guān)系必不可少的關(guān)鍵因素。但是，值得注意的是，立法上也應(yīng)當(dāng)考慮到不同信息主體對于個人信息保護需求的多元性，因此立法上也應(yīng)當(dāng)允許約定信義義務(wù)的存在，以便體現(xiàn)信息主體對信息處理行為的選擇自由。

（三）必要的說明與限定

我們除了明確個人信息信義法保護思路的可行性、必要性，以及個人信息保護負責(zé)人承擔(dān)信義義務(wù)的具體內(nèi)容以外，還需要對個人信息信義法保護的性質(zhì)、個人信息適用信義法保護的具體范圍、個人信息保護負責(zé)人與信息處理者的關(guān)系、怠于履行信義義務(wù)的法律責(zé)任等方面展開說明與限定，以豐富其制度內(nèi)涵。

1.個人信息信義法保護的性質(zhì)

數(shù)據(jù)時代，使得傳統(tǒng)信托理論產(chǎn)生并發(fā)展的因素正在受到理論和實踐的雙重挑戰(zhàn)，但如果僅因挑戰(zhàn)了傳統(tǒng)信托理論就徹底否定個人信息保護負責(zé)人參與數(shù)據(jù)治理的可能性則存在因噎廢食之嫌，因此需要對其加以積極探索。然而，實質(zhì)上個人信息的信義法保護理念源于信托，但因其在信托主體、信息的財產(chǎn)屬性、信息主體委托轉(zhuǎn)讓信息權(quán)利、信息權(quán)利轉(zhuǎn)讓后由誰控制等方面仍存在較大理論障礙，故不能直接適用于信托，仍需要更深入的理論研究。就此而言，為個人信息保護負責(zé)人施加信義義務(wù)更像是一種“非典型信托”，雖然借鑒信義法上的思路對保護個人信息具有較大價值，但其尚不能以信息信托的方式呈現(xiàn)。

2.個人信息適用信義法保護的具體范圍

究其本質(zhì)，為個人信息引入信義法保護思路是為了協(xié)調(diào)過于失衡的信息處理關(guān)系，換言之，處于平衡限度內(nèi)的信息處理關(guān)系就不需要通過信義法的方式加以保護。至于如何判斷信息處理關(guān)系是否處于平衡限度之內(nèi)，則需要結(jié)合信息處理者的信息處理規(guī)模、信息認知能力、信息應(yīng)用技術(shù)等。為此，不妨參照《個信法》第52條第1款，要求處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者設(shè)立個人信息保護負責(zé)人并承擔(dān)信義義務(wù)。如此一來，這不僅滿足了制約大規(guī)模信息處理者行為的實踐需求，亦不至于對個人信息的流通與利用造成過多干擾。

3.個人信息保護負責(zé)人與信息處理者的相互關(guān)系

個人信息保護負責(zé)人是信息處理者在立法的要求下專門設(shè)立的對外公開的透明監(jiān)督部門，信息處理行為需要在個人信息保護負責(zé)人的監(jiān)督下進行。信息處理者負有支付個人信息保護負責(zé)人履職報酬和費用的義務(wù)，個人信息保護負責(zé)人享有履行監(jiān)督信息處理活動的職權(quán)，并在向信息處理者負責(zé)的同時，也需要對信息主體負責(zé)。實際上，信息處理者與信息主體的利益并不一定沖突，因為滿足信息主體合理預(yù)期的信息處理行為才能保證處理者可持續(xù)發(fā)展和獲利。正如林納·卡恩和大衛(wèi)·波曾所指出的，信息權(quán)利保護與生態(tài)環(huán)境保護的模型是基本吻合的，如果認為企業(yè)在河流中傾倒污染物，欺騙流域居民和行政機關(guān)，它們就可以為其股東賺到更多的錢的話，那就大錯特錯。因為這種“殺雞取卵”式的掠奪性行為與實現(xiàn)股東長期價值最大化的管理責(zé)任相沖突，會最終導(dǎo)致股東權(quán)益價值下降。[26]（第23頁）同理，將信息處理行為嚴格控制在信息主體合理預(yù)期內(nèi)不僅有助于維護相互信任關(guān)系，其實質(zhì)上更有利于實現(xiàn)個人信息在安全方面的長效治理目標。

4.個人信息保護負責(zé)人怠于履行信義義務(wù)的法律責(zé)任

英美的信息信托制度構(gòu)想均引入了舉證責(zé)任倒置規(guī)則，這值得我國個人信息信義法保護思路借鑒。信息主體可以起訴怠于履行信義義務(wù)的個人信息保護負責(zé)人，由司法機關(guān)對其是否違反信義義務(wù)、如何違反信義義務(wù)、是否存在實際損害結(jié)果及其具體數(shù)額、是否存在主觀過錯，以及是否存在免責(zé)事由等方面進行認定，在不能證明其履行了高標準的信義義務(wù)時，個人信息保護負責(zé)人需要承擔(dān)信息侵權(quán)的連帶賠償責(zé)任。

這樣做的好處在于：一方面，避開了信息主體需要對信息處理者侵權(quán)行為舉證證明的難題，能夠大幅降低信息主體的維權(quán)成本；另一方面，避免了打破現(xiàn)有民事訴訟證明責(zé)任體系的完整性，通過信義法的思路規(guī)定舉證責(zé)任倒置有利于促進我國信托法與域外積極立法經(jīng)驗相適應(yīng)。但是，值得注意的是，個人信息保護負責(zé)人因怠于履行信義義務(wù)而承擔(dān)的連帶責(zé)任具有不真正連帶屬性?！坝袩o目的之共同，為連帶債務(wù)與不真正連帶債務(wù)根本區(qū)別之所在”，[27]（第673頁）雖然怠于履行忠實義務(wù)和勤勉義務(wù)可能導(dǎo)致信息處理者侵害信息主體利益，但如果兩者之間并無意思聯(lián)絡(luò)與關(guān)聯(lián)，那么使個人信息保護負責(zé)人承擔(dān)不真正連帶責(zé)任具有合理性。適用不真正連帶責(zé)任一是增加了賠償責(zé)任主體，有助于維護信息主體權(quán)益預(yù)期；二是有利于督促個人信息保護負責(zé)人認真履行監(jiān)督職責(zé)；三是能夠保護非最終責(zé)任人的利益，確保非真正侵權(quán)人的個人信息保護負責(zé)人不會承擔(dān)終局性責(zé)任。

五、結(jié)語

大數(shù)據(jù)技術(shù)正在迅速改變個人信息保護的傳統(tǒng)格局。鑒于我國個人信息保護立法采用的個人賦權(quán)模式尚不能妥善化解個人信息保護與利用價值沖突的問題，亦難以充分協(xié)調(diào)信息主體與信息處理者之間的關(guān)系，故不妨從信義法的角度重新審視我國個人信息保護制度。從域外視角觀察，英美兩國對其國內(nèi)的信息信托制度進行了較多有益探索，并在此基礎(chǔ)上形成了可供我國借鑒的基本范式：一方面，以巴爾金為代表的美國學(xué)界提出了“信息受托人”的基本構(gòu)想，其理論核心在于信息處理者具備成為受托人的基本特質(zhì)，其應(yīng)當(dāng)承擔(dān)起維護信息主體信賴利益的信義義務(wù)，該理論受到了美國實務(wù)界的廣泛支持；另一方面，英國提出了“數(shù)據(jù)信托”的基本構(gòu)想，與美國不同的是，英國學(xué)界和實務(wù)界普遍認為信息信托人應(yīng)當(dāng)是第三方獨立信托機構(gòu)，由其獨立履行保護信息主體個人信息權(quán)益的職責(zé)。

毋庸諱言，英美兩國的信息信托制度構(gòu)想均對我國個人信息的信義法保護制度有著積極探索價值，我國部分學(xué)者也注意到了這一點。但是，我國不能照搬照抄域外經(jīng)驗，需要結(jié)合我國基本國情和制度基礎(chǔ)，以批判的眼光對域外制度加以審視：一方面，將信義義務(wù)施加給信息處理者將嚴重增加其信息處理成本，這不利于個人信息合理利用價值的維護與發(fā)展，甚至可能與個人信息保護的多元立法價值相悖；另一方面，將信息主體的個人信息權(quán)利轉(zhuǎn)讓給第三方機構(gòu)的信息信托模式存在信息權(quán)利轉(zhuǎn)讓范圍不明、信息權(quán)利轉(zhuǎn)讓的理論基礎(chǔ)缺失、實踐可操作性不強、運營費用與利益分配方式存疑等多方面問題，同樣存在與我國個人信息保護制度不適配的問題。

就此而言，在結(jié)合域外制度經(jīng)驗的前提下，需要開辟出符合我國個人信息保護理論要求與實踐需求的“第三條道路”，將維護信息主體信賴利益的信義義務(wù)施加給具有“相對獨立性”的主體——個人信息保護負責(zé)人。這樣的制度安排既能豐富我國《個信法》第52條的規(guī)范內(nèi)涵，也有利于發(fā)揮個人信息保護負責(zé)人作為“內(nèi)部監(jiān)督者”的基本職責(zé)，促進我國個人信息保護制度實現(xiàn)思路嬗變。