从1949年直至20世纪80年代，海峡两岸处于对峙隔绝状态。

[19]Alan Westin, Privacy and Freedom, New York: Atheneum, 1967, p.7. [20]美国言论自由的经典形象就是一个人站在街角的小讲台上发言的形象，参见Harry Kalven, Jr.，The New York Times Case: A Note on ‘The Central Meaning of the First Amendment, The Supreme Court Review, Vol.1964(1964), pp.191-221. [21]See N. Y. Times Co. v. United States, 403 U. S.713(1971)(per curiam). [22]See New York Times Co. v. Sullivan, 376 U. S.254, 279(1964). [23]See Curtis Publ'g Co. v. Butts, 388 U. S.130, 155?(1967). [24]See Rosenbloom v. Metromedia, Inc, 403 U. S.29, 47?(1971). [25]Id. [26]在此案中，《美国意见》(American Opinion)杂志发表了一篇文章，将民权律师格茨描绘为试图推翻当地警察局的共产主义运动的阴谋策划者之一，美国最高法院认为，公共人物必须是具有某些特征的群体，不能将所有公共议题中的个体都视为公共人物。程关松：个人信息保护的中国权利话语，《法学家》2019年第5期，第17—30页。

[64]而相比起言论自由的进路，这样一种进路也没有对个人信息保护放任自流，没有借言论自由审查阻碍政府对个人信息的保护。例如，对于个人信息收集行为，应当采取相对宽松的规制策略，因为个人信息的收集与个人信息的流通共享密切相关，如果对个人信息的收集行为进行过于严厉的规制，那么个人信息就无法合理流通，个人信息中所可能蕴含的公共性价值就无法得到体现。纵观全球个人信息的立法与政策，可以发现防御性的信息权利在一系列制度中都有体现。知名法律学者杰弗里·罗森曾出版《不希望的注视》，为信息隐私保护辩护。[42] (二)个人信息作为言论自由对象的反思 另一方面，将个人信息视为他人言论自由的对象，存在个人信息保护不足的问题。

从这种角度来看，即使存在一种言论与信息的自由市场，这种市场也常常存在很多问题，需要法律对这种信息市场进行规制。具体而言，行为主义的规制方式可以在立法、执法、司法等层面落地。[2]参见我国《宪法》第9条：矿藏、水流、森林、山岭、草原、荒地、滩涂等自然资源，都属于国家所有，即全民所有。

此外，企业等主体也应当积极参与场景化的个人信息保护，通过对一线场景中的个人信息保护进行研究与总结，企业不但可以进行更为有效的自我规制，而且也可以为国家的个人信息行为主义规制提供参照。例如对于医疗研究而言，很多医疗研究的突破都是建立在个人医疗健康类信息的统计基础之上的，离开了个人信息的自由流通与使用，很多公益性或商业性的医疗研究就无从谈起。[54]就商业言论的价值来说，美国最高法院认为商业言论的价值在于增加信息以促进公共讨论，不在于直接参与公共话语。相反，如果公法确定某类物品的性质属于国家所有或公众所有，那么法律对于此类物品的保护就必然区别于一般物品。

[68]导致个人信息保护场景化的另一原因是个人信息概念的不确定性，某个场景下需要规制的个人信息，可能转换场景就没有规制必要，或者需要不同程度的规制，对此的分析，参见Paul Ohm，Broken Promises of Privacy: Responding to the Surprising Falling of Anonymization, UCLA Law Review, Vol.57?(2010), pp.1701-1777; Paul M. Schwartz Daniel J. Solove，The PII Problem: Privacy and a New Concept of Personally Identifiable Information, New York University Law Review, Vol.86, No.6(2011), pp.1814-1894. [69]参见丁晓东：论个人信息法律保护的思想渊源与基本原理——基于‘公平信息实践的分析，《现代法学》2019年第5期，第96—110页。[6]亚太经济合作组织(APEC)制定的《APEC隐私框架》(以下简称《框架》)规定，信息控制者应当提供访问与使用个人信息的说明。

[49]但即使是非公共人物或非公共议题，其中的个人信息也可能会在未来成为公共议题。简单地强调个人信息的某一种属性均不足以阐述个人信息的本质特征，也不足以为个人信息保护搭建合理的法律框架。[24]只要该事项是具有公共性或普遍性利益的，不能因为只是这牵扯到了一位私人，或者因为该个体并没有‘自愿地地介入，就认定该事项不那么重要。[76]在全球个人信息保护与数据治理的制度竞争中，这一进路也符合中国的现实需求，有利于中国在全球的个人信息保护与数据治理中发出自己的声音。

而美国并没有在联邦层面对个人信息保护进行统一立法，在一定程度上，美国联邦贸易委员会承担了个人信息保护的主要职能。就第三点数据来源来说，如果数据的来源以及发表此类数据的动机较好，则此类数据应当更予以保留。有很多的研究已经指出，面对千变万化的信息收集场景与海量可能识别个体的个人信息，个体其实很难对自身信息权益进行有效的保护，大量的个人信息保护工作实际上仍然要依赖于公共监管机构的监管与作为消费者集体的监督。例如，当自动驾驶汽车不经个人同意而收集和处理个人信息，此类行为完全具有正当性，因为此类场景就不可能为个人同意提供选择的机会。

但言论自由所保护的常常是人们所表达的观点或意见，其目的在于保证人们的思想与观点不受不正当的压制。这两种看待个人信息的视角揭示了个人信息的双重属性，从个人信息的双重属性出发，本文认为，个人信息权利无法成为一种独立性的基本权利，但同时个人信息也可能承载的多种合法权益，需要法律进行介入与规制。

[21] 在涉及官员等公众人物的个人信息时，个人信息更是常常被认定为言论自由所保护的范围。当时的美国联邦最高法院法官一致认定，即使五角大楼文件仅仅是一些事实性的资料，这些资料也构成了美国言论自由条款所保护的对象。

[11]参见注[6]，应采取合理的安全保障措施，保护个人数据免受诸如丢失、未授权访问、销毁、使用、修改或公开数据的风险。以欧盟为例，在《欧盟数据保护指令》(95/46/EC)指令生效期间，负责解释该《指令》的第29条数据保护工作组(The Article 29 Working Party)就不断发布关于个人数据保护的具体指引，这些指引常常结合具体场景来对《指令》中所规定的各种权利与责任进行解释，事实上提供了一种行为主义的合规指引与执法指引。在欧盟《一般数据保护条例》生效后，欧盟数据保护委员会(European Data Protection Board)又接替了第29条数据保护工作组的这一功能。这一系列事件都使得人们开始探讨，如何运用法律保护个人信息，何种形式与何种程度的个人信息保护是恰当的。控制性的信息权利更是面临个体主义的难题。总体而言，美国更多使用个人信息的概念，而欧洲更多使用个人数据的概念。

从个人信息保护的两种观点出发，可以发现个人信息具有双重属性：个人信息的个体属性与公共流通属性。其次，公民个体所拥有的控制性信息权利将受到更大地挑战。

例如法律不能将传统物权理论中的先占原则适用于发现油田，也不能将物权理论适用于空气上。在过去几年里，欧盟《一般数据保护条例》生效，美国的Facebook发生个人信息泄漏事件。

因此，防御性个人信息权的问题在于过于强调个体主义权利，没有充分考虑信息隐私保护的公共性背景或社群背景。目前，中国正在紧锣密鼓地制定个人信息保护法数据安全法等法律。

[7]参见《框架》：对于个人信息的操作与政策，个人信息的控制者应当提供清晰和容易访问的声明。个人信息权利所包含的若干权利是否被侵犯，都需要在具体场景中加以确定。[11]亚太经济合作组织的《框架》规定，信息控制者应当采取采取防护措施满足个体的隐私期待，并且对特定类型的风险进行额外防护。[70]参见范为：大数据时代个人信息保护的路径重构，《环球法律评论》2016年第5期，第92—115页。

因此，保护个人信息既包括了附着于数据上的人格性权益，财产性权益，也包括了风险预防性权益。法律通过个人信息这样一个工具或抓手，赋予个体以针对个人信息收集者和处理者一系列权利，这可以确立个人信息保护的一般性规则，从而保护个人信息背后所承载的多种权益。

首先，个人所拥有的防御性信息权利——即个人信息保护中的隐私期待利益——将会因为言论自由保护而变小。同时参见Daniel J. Solove，Will the United States Finally Enact a Federal Comprehensive Privacy Law?载Teachpriv网站https：//teachprivacy.com/will-us-finally-enact-federal-comprehensive-privacy-law/?utm_source=Opt-in+Newsletterutm_campaign=e6696914bd-4.24.19utm_medium=emailutm_term=0_b681bb8bd9-e6696914bd-228088377.，2019年1月15日访问。

[51]从公共讨论的视角出发，保护公民的个人信息不被过度收集，这事实上有利于人们更多参与公共活动，更愿意表达自己的意见。[10] 最后，个人信息保护制度也大都对信息安全进行规定，要求企业承担对于信息的安全保障义务。

因此其关注的不是言说者的权利，而是大众接受信息的权利。分析全球的个人信息保护立法与政策，也同样可以发现很多体现积极性信息权利的制度。从法律原理上来说，一般性的规则能够减少信息搜寻成本与认知成本，有利于个人尽快认知和利用法律进行维权，有利于数据收集者与处理者尽快地进行合规操作，也有利于执法主体尽快进行执法。在个人信息商业化使用的场景中，当个人授权信息收集者或控制者进行商业化使用，信息收集者或控制者将可以随意使用此类信息。

就第二点数据的性质来说，如果数据会对个人的隐私利益造成不正当影响，则此类信数据更应当被删除。[17]参见注[6]，个人有权确保他们信息的准确性，而且在恰当情况下予以纠正、完善、修改或删除信息。

文章来源：《法学家》2020年第1期 进入专题： 个人信息 行为主义 。言论自由的目的之二在于促进公共讨论与人民自治。

参见Federal Trade Commission, Privacy Online: Fair Information Practices in the Electronic Marketplace 36-37, (May 2000)，载美国联邦贸易委员会网站http：//www.ftc.gov/sites/default/files/documents/reports/privacy-online-fair-information-practices-electronic-marketplace-federal-trade-commission-report/privacy2000.pdf.，2019年1月15日访问在欧盟《一般数据保护条例》生效后，欧盟数据保护委员会(European Data Protection Board)又接替了第29条数据保护工作组的这一功能。