王崇敏,蔺怡琛

• 1:海南大学法学院

• 
  

摘要(Abstract)：

数字时代下信息主体与信息处理者之间呈现出信义关系的核心特征。信义关系要求信息处理者始终将信息主体利益置于首位，坚守个人信息保护的逻辑起点，即维护人格尊严及人格自由，并在此前提下实现自主运营。信义关系视野下的个人信息保护与利用表现为以信义义务规制信息处理者，该义务可被视为是充分理性的当事人在合同成立之初达成的合同条款，具备前瞻性与开放性，要求信息处理者针对个人信息这类关键性资源所涉及的风险和不确定性进行反复评估，根据后续情势发展以及信息主体利益诉求变化而调整其行为。信息处理者的信义义务应包含对自身的主客观要求：主观要求应被设定为“接纳信息主体的目标”，客观要求指的是信息处理者的外在行为需介于“积极增进他人利益”与“无私增进他人利益”之间。在义务具体内容的设置上，信息处理者的忠诚义务代表着一项不可放弃的最低标准，可表现为重要的预防性规则，网络空间架构的规制与改良能够成为其履行忠诚义务的着力点；信息处理者的谨慎义务则要求其为实现用户的最佳利益尽到信息受托人应有的合理注意，可被进一步细化为透明度义务和匿名化义务。信义关系视野下的个人信息保护与利用的平衡路径呈现为个人信息处理活动的两端主体对正当原则的一致遵循：信息处理者需严格履行信义义务并达到该义务的主客观要求；信息主体在行使权利时不得超出必要界限，包括决定权和知情权在正当原则指引下的行使界限。

关键词(KeyWords)：信义关系;个人信息保护与利用;信息受托人;正当原则

基金项目(Foundation):2018年国家社会科学基金重大项目“中国特色自由贸易港的建设路径及法治保障研究”(项目编号：18ZDA156)的阶段性成果

作者(Author):王崇敏,蔺怡琛

参考文献(References)：

• [1][4][53]李晓阳.论数据使用：个人信息保护与数据利用的衔接点[J].电子知识产权，2023(2):59,56,56. [2]聂云霞，钟福平.法理与情理：个人信息保护与利用的双重性及其调适[J].档案与建设，2022(7):17. [3]张婉婷.个人信息“合理利用”的规范分析[J].法学评论，2023(6):117. [5]翟志勇.论数据信托：一种数据治理的新方案[J].东方法学，2021(4):63. [6][49]Balkin J M.2016 Sidley Austin Distinguished Lecture on Big Data Law and Policy:The Three Laws of Robotics in the Age of Big Data[J].Ohio State Law Journal,2017(5):1228,1228. [7][8][9]Balkin J M.Information Fiduciaries and the First Amendment[J].UC Davis Law Review,2016(4):1186,1221,1223. [10][17][18][46]Frankel T.Fiduciary Law[M].New York:Oxford University Press,2011:26-30,53,17,108. [11][52]玛农·奥斯特芬.数据的边界：隐私与个人数据保护[M].曹博，译.上海：上海人民出版社，2020:147,147. [12][15]陈西西.印度《数字个人数据保护法》的内容与评析[J].南亚研究季刊，2023(4):118,131. [13]李智，周智皓.个人数据信托的发展困境与制度设计[J].学术交流，2024(8):46. [14]Justice B.N.Srikrishna.A Free and Fair Digital Economy:Protecting Privacy,Empowering Indians(Chapter 1)[EB/OL].[2025-03-12].https://www.thesedonaconference.org/sites/default/files/conference_papers/Required%201.1%20A%20Free%20and%20Fair%20Digital%20Economy_Protecting%20Privacy%20Empowering%20Indians_Chapter%201_Sirkrishna.pdf. [16]沈达明.衡平法初论[M].北京：对外经济贸易大学出版社，1997:201. [19]王舒.论信托财产的独立性：兼析《信托法》第16条[J].中国地质大学学报(社会科学版),2002(3):75. [20]楼建波.信托财产分别管理与信托财产独立性的关系：兼论《信托法》第29条的理解和适用[J].广东社会科学，2016(4):222. [21]莫旻丹，张焕培.从“赋权保护”到“信义保护”:生成式人工智能中个人信息保护的范式转型[J].征信，2024(12):26. [22]辛苑.论数据持有权人信义义务[J].江西财经大学学报，2024(3):108. [23]席月民.数据信托的功能与制度建构[EB/OL].[2025-02-28].http://iolaw.cssn.cn/zxzp/202101/t20210120_5246109.shtml. [24][45]Richards N,Hartzog W.A Duty of Loyalty for Privacy Law[J].Washington University Law Review,2021(99):1002,995-998. [25]Hartzog W,Richards N.The Surprising Virtues of Data Loyalty[J].Emory Law Journal,2022(5):990. [26]赵廉慧.作为民法特别法的信托法[J].环球法律评论，2021(1):69. [27]史尚宽.债法总论[M].北京：中国政法大学出版社，2000:331-332. [28]赵磊.信托受托人的角色定位及其制度实现[J].中国法学，2013(4):84. [29]Deborah A.DeMott.Beyond Metaphor:An Analysis of Fiduciary Obligation[J].Duke Law Journal,1988(5):882. [30]潘雨祥，蒲俊丞.个人信息保护制度的信义法进路：反思与修正[J].长江论坛，2023(1):83. [31]李智，姚甜甜.数据信托模式下受托人信义义务之规范[J].学术交流，2022(2):28. [32][36]弗朗西斯·福山.信任：社会美德与创造经济繁荣[M].郭华，译.南宁：广西师范大学出版社，2016:26-34,30. [33]徐化耿.信义义务的一般理论及其在中国法上的展开[J].中外法学，2020(6):1585. [34]Arora C.Digital Health Fiduciaries:Protecting User Privacy When Sharing Health Data[J].Ethics and Information Technology,2019(21):181. [35]程啸.民法典编纂视野下的个人信息保护[J].中国法学，2019(4):36. [37]龙卫球.《个人信息保护法》的基本法定位与保护功能：基于新法体系形成及其展开的分析[J].现代法学，2021(5):84. [38][39]陶伟腾.信义义务的一般理论研究[D].上海：华东政法大学法律学院，2020:47,47. [40]Laby A.The Fiduciary Obligation as the Adoption of Ends[J].Buffalo Law Review,2008(1):130. [41]Birks P.The Content of Fiduciary Obligation[J].Israel Law Review,2000(1):20-22. [42][96]王崇敏，蔺怡琛.告知同意规则在信赖理念下的反思与出路[J].海南大学学报(人文社会科学版),2025(2):120,126. [43][44]Balkin J M.The Fiduciary Model of Privacy[J].Harvard Law Review Forum,2020(11):25,22. [47]劳伦斯·莱斯格.代码2.0:网络空间中的法律[M].李旭，沈伟伟，译.北京：清华大学出版社，2018:135. [48]Stefik M.Shifting the Possible:How Trusted Systems and Digital Property Rights Challenge Us to Rethink Digital Publishing[J].Berkeley Technology Law Journal,1997(1):137. [50]Davis K.Judicial Review of Fiduciary Decisionmaking:Some Theoretical Perspectives[EB/OL].[2025-03-12].https://repository.law.wisc.edu/s/uwlaw/media/38633. [51]薛悟娟.大数据时代个人信息的运作模式、理论困境及保护路径[J].中国海商法研究，2024(2):107. [54]Choi H,Park J,Jung Y.The Role of Privacy Fatigue in Online Privacy Behavior[J].Computers in Human Behavior,2017(12):2. [55]杨菲，唐凡舒，郑凯丽.我国数字阅读APP个性化推荐算法透明度实证分析[J].国家图书馆学刊，2024(3):40. [56]Article 29 Data Protection Working Party.Guidelines on Transparency Under Regulation 2016/679[EB/OL].[2025-02-23].https://www.edpb.europa.eu/system/files/2023-09/wp260rev01_en.pdf. [57][59]张涛.欧盟个人数据匿名化的立法经验与启示[J].图书馆建设，2019(3):62,58. [58]个人信息保护课题组.个人信息保护国际比较研究：第2版[M].北京：中国金融出版社，2021:383. [60][76]王立梅.大数据视角下的个人信息匿名化规则构建[J].云南民族大学学报(哲学社会科学版),2021(5):145,144. [61]张涛.大数据时代个人信息匿名化的规制治理[J].华中科技大学学报(社会科学版),2019(2):80. [62]韩旭至.大数据时代下匿名信息的法律规制[J].大连理工大学学报(社会科学版),2018(4):74. [63]程海玲.个人信息匿名化处理法律标准探究[J].科技与法律(中英文),2021(3):26. [64][78]李润生.个人信息匿名化的制度困境与优化路径：构建“前端宽松+过程控制”规制模式之探讨[J].江淮论坛，2022(5):112,119. [65][68]黄敏.数字时代个人信息匿名化规则的困境与优化[J].西部法学评论，2024(3):120,128. [66][72]Article 29 Data Protection Working Party.Opinion 05/2014 on Anonymisation Techniques[EB/OL].[2025-02-28].https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf. [67]Ohm P.Broken Promises of Privacy:Responding to the Surprising Failure of Anonymization[J].UCLA Law Review,2010(57):1754-1755. [69]齐爱民，张哲.识别与再识别：个人信息的概念界定与立法选择[J].重庆大学学报(社会科学版),2018(2):129. [70]丁晓东.论个人信息概念的不确定性及其法律应对[J].比较法研究，2022(5):56. [71]张建文，程海玲.“破碎的隐私承诺”之防范：匿名化处理再识别风险法律规则研究[J].西北民族大学学报(哲学社会科学版),2020(3):77. [73][74][77]赵精武.个人信息匿名化的理论基础与制度建构[J].中外法学，2024(2):337,340,343. [75][81]ICO.Anonymisation:Managing Data Protection Risk Code of Practice[EB/OL].[2025-03-12].https://ico.org.uk/media/1061/anonymisation-code.pdf. [79]Article 29 Data Protection Working Party.Opinion 4/2007 on the Concept of Personal Data[EB/OL].[2025-03-12].https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf. [80]IPC.De-identification Guidelines for Structured Data[EB/OL].[2025-03-12].https://www.ipc.on.ca/sites/default/files/legacy/2016/08/Deidentification-Guidelines-for-Structured-Data.pdf. [82]海伦·尼森鲍姆.场景中的隐私：技术、政治和社会生活中的和谐[M].王苑，龙卫球，申卫星，等译.北京：法律出版社，2022:164. [83]高梅梅.从类型化分析到区别判定：个人信息合理使用的逻辑进路[J].湖北经济学院学报，2024(3):125. [84][88]李汀.科学研究中个人信息再利用的边界及拓展：以目的限制原则为视角[J].科学学研究，2025(2):407,410. [85]Article 29 Data Protection Working Party.Opinion 06/2014 on the Notion of Legitimate Interests of the Data Controller Under Article 7 of Directive 95/46/EC[EB/OL].[2024-09-23].https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf. [86]微信公众号“数据安全矩阵”.标准解读GB/T39335-2020《信息安全技术个人信息安全影响评估指南》[EB/OL].[2025-03-12].https://mp.weixin.qq.com/s/xKHTwq_kKv88pk9kyfw9CQ. [87]解正山.约束数字守门人：超大型数字平台加重义务研究[J].比较法研究，2023(4):167. [89]温世扬.民法典视域下的“人身自由”[J].法制与社会发展，2022(3):42. [90]杨立新.个人信息：法益抑或民事权利：对《民法总则》第111条规定的“个人信息”之解读[J].法学论坛，2018(1):41. [91][94]张新宝.论个人信息权益的构造[J].中外法学，2021(5):1157,1156. [92][95][98]许可.诚信原则：个人信息保护与利用平衡的信任路径[J].中外法学，2022(5):1151,1151,1153. [93]王锡锌.个人信息国家保护义务及展开[J].中国法学，2021(1):152. [97]程啸.个人信息保护法理解与适用[M].北京：中国法制出版社，2021:338. [99][100]李婕.个人信息可携带权的权利属性及实现路径[J].东北师大学报(哲学社会科学版),2023(1):115,120. [101]丁晓东.论数据携带权的属性、影响与中国应用[J].法商研究，2020(1):85.

• (1)信托关系性质上属于信义关系,在英美法系中已通过成文法予以确立,美国《信托法重述(三)》明确指出,“信托关系”即为“信义关系”。参见刘成杰《英美法上信义关系的共性特征及镜鉴意义》,《河南大学学报》(社会科学版)2023年第4期,第56页。 (2)本文中的“信义法”一词主要是一个学理上的概念,泛指与信义关系相关的法律规范,为论述方便而采用“信义法”这一表述。 (3)参见北京市第三中级人民法院(2023)京03民终10254号民事判决书。 (4)所谓信息操纵,就是指信息处理者运用自身信息优势,“引导”“迫使”用户做出相关选择。有学者认为反操纵义务应当归属于信息受托人的信义义务之一。参见杨琦《受托人视角下的个人信息保护路径分析》,《图书馆建设》2020年第S1期,第20页。 (5)参见“北京互联网法院发布8起个人信息保护典型案例之三:罗某与深圳某科技公司个人信息保护纠纷案”,网址为“https://webvpn.hainanu.edu.cn/https/32393332413339303239333421416369a8df145453aa7e15453b10678214/pfnl/08df102e7c10f2065e4219701d42 f6274d9ccefd64a9c2e6bdfb.html?keyword=罗某与深圳某科技公司个人信息保护纠纷案——APP登录界面收集用户画像信息未设置拒绝选项侵害用户个人信息权益&way=listView”,最后访问时间为2025年3月13日。 (6)《民法典》规定了个人针对个人信息处理者的四种权利,即知情同意权(第一千零三十五条、第一千零三十八条)、查阅复制权(第一千零三十七条第一款)、更正权(第一千零三十七条第一款)、删除权(第一千零三十七条第二款)。《个人信息保护法》新增了四种个人针对个人信息处理者的权利,即知情权与决定权(第四十四条)、可携带权(第四十五条第三款)、补充权(第四十六条)以及个人信息处理规则的解释说明权(第四十八条)。 (7)依据《个人信息保护法》第五十条第一款规定:“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。” (8)GDPR前言第26段指出,“为确定自然人是否可识别,应考虑到所有合理可能使用的方式,包括控制者或其他人直接或间接地识别自然人所选择的方式”。参见韩旭至《大数据时代下匿名信息的法律规制》,《大连理工大学学报(社会科学版)》2018年第4期,第67页。 (9)由ICO2012年发布的《匿名化:数据保护风险管理实践准则》提出,指“匿名化处理后的个人数据是否能够被有重新识别动机且不具有专业知识的人借助互联网等公开资源重新识别”。参见程海玲《个人信息匿名化处理法律标准探究》,《科技与法律(中英文)》2021年第3期,第30页。 (10)美国《健康保险可携性和责任法案》第164章514条规定了受保护的健康信息去识别化处理的两种标准。参见李润生《个人信息匿名化的制度困境与优化路径——构建“前端宽松+过程控制”规制模式之探讨》,《江淮论坛》2022年第5期,第119页。 (11)参见GDPR第15条第4款规定“获取副本的权利不应影响其他方的权利和自由”。 (12)“北京四中院判决李某诉某信息公司个人信息保护纠纷案”的一审判决书(2022)京0491民初2138号显示:“对于浏览记录等衍生个人信息,应当允许个人信息处理者结合数据形式、存储能力、服务能力等,选择合理的方式和标准提供这些个人信息,但不得侵害其他个人信息主体的合法权利。” (13)参见“北京互联网法院发布8起个人信息保护典型案例之四、北京互联网法院发布10起个人信息保护典型案例之四:张某与北京某信息服务公司个人信息保护纠纷案——个人信息处理者可以依据其信息存储形式和能力选择合理的信息提供方式”,网址为“https://webvpn.hainanu.edu.cn/https/32393332413339303239333421416369a8df145453aa7e15453b10678214/pfnl/08df102e7c10f206c3c1 fa6c9e150b139f484cb49bd9f8bcbdfb.html?keyword=张某与北京某信息服务公司个人信息保护纠纷案&way=listView”,最后访问时间为2025年3月13日。 (14)参见广东省广州市中级人民法院(2022)粤01民终3937号民事判决书。