权力结构失衡视角下的个人信息保护机制研究——以信息属性的变迁为出发点

信息技术的革命使得互联网从最初的通讯工具发展成为新媒体，进而又发展成为社会生活的基础设施。信息革命对社会权力结构的冲击和调整主要体现在社会生活的方方面面都与之绑定。也因为互联网在社会生活中有重要的地位和作用，故而普遍被认定为是“公共平台”，具有很强的公共属性。但互联网在归属上又隶属于一个个私人企业，由私人投资、私人所有、私人运营。它们不仅是网络空间新的权力，而且正在改变着传统的“公”“私”边界，改造着整个社会的权力结构（雷丽莉，2018）。在此期间，个人虽然被互联网赋能、赋权，但在社会权力结构中作为一支崛起力量的却是网络运营商。在当前数字经济为主导的信息社会中，网络运营商因其在社会生活的地位和作用而被称为“私权力”。“私权力”的崛起主要体现在以下四个方面：1.数据成为互联网时代的重要生产资料，而这些生产资料主要由“私权力”掌握。2.“私权力”成为网络空间的规则制订者，并深刻地影响着社会生活。3.“公权力”和“私权利”的行使都越来越依赖“私权力”。网络运营商利用其平台和技术掌握着大量信息，使得公权力在履行职能的过程中越来越依赖其配合与协助。4.“私权力”越来越深入地参与到社会管理中（雷丽莉，2018）。有研究者认为，互联网“基于法律授权、公权力委托以及某些私主体在技术、平台和信息等方面的优势，打破了传统的‘公权力：私权利’的二元架构，形成了‘公权力：私权力：私权利’的新架构。”（周辉，2017）

随着个人信息成为生产的“原材料”，越来越多的信息被挖掘、利用、互联和传播，人们变得越来越“透明”。信息的商业化利用、公共利用，使个人在被互联网“赋权”“赋能”的同时，也在失去对自身信息的控制力和不被打扰的安宁。保护个人信息不仅是与日常生活密切相关的公共议题，也成为立法者和研究者的庙堂议题。上述个人信息活动的“生产”属性使得“个人信息/数据”保护问题具有了多重含义，它不仅是一个关于公民权利议题，也成为一个政治经济学议题。

因此，谈论个人信息保护，只有立足于信息社会、数字经济的大背景下，分析个人信息在社会政治、经济生活结构中的位置，才能理解个人信息保护背后的权力结构以及相关主体间的权力关系。在个人信息保护问题上，中国与欧盟、美国，同样面临挑战，但需要解决的问题实际上却不尽相同。在此认识的基础上，本文将通过对美国和欧盟关于“个人信息”的保护路径、国内立法、司法中的个人信息保护情况的考察，分析在普遍性的立法趋势下，个人信息保护机制所反映的权力关系和权力结构状况的共性和差异，以期引起立法部门的关注，为未来个人信息保护立法提供参考。

需要说明的是，本文所称的“权力关系”和“权力结构”中的“权力（power）”不是特指公权力，其所指代的是各类主体（包括“公权力”“私权力”和作为“权利主体”的个人）都具有的对个人信息的控制能力和救济能力。在这个意义上使用此概念是为了便于阐述个人信息相关的利益主体——个人、网络平台和政府在个人信息问题上的力量对比和制衡关系。

（一）个人信息的多重属性与多元主体

信息技术的发展催生了新的经济形态，Don Tapscott在1994年撰写的《数字经济：智力互联时代的希望与风险》中首先提出了数字经济的概念（Tapscott，1994）。1998年，美国商务部发布了《新兴的数字经济》报告，由此数字经济成为通行的提法。二十国集团数字经济发展与合作倡议把数字经济定义为“以‘数据’为关键生产要素、以‘网络平台’为主要组织形式、以‘信息技术’的有效使用作为效率提升和经济结构优化的重要推动力的经济形态”。数字经济对个人信息的利用不可或缺：对社会而言，个人信息成为了重要的生产资料，同时也是进行公共管理和提供公共服务的重要资源；对个人而言，个人信息成为打开各项权利（包括人身权、财产权）的钥匙，让渡一定的个人信息，又成为个人享受各种公共服务、社会服务和企业服务的前提。因此，个人信息兼具个体属性、商业属性和公共属性三重属性。

正因为个体属性并非个人信息的唯一属性，因此，当立法规定个人信息受法律保护时，学界关于个人是否是其所保护的唯一主体以及个人信息该以何种路径进行保护产生了分歧。例如，刑法学界关于“侵犯个人信息罪”究竟保护的是个人法益还是超个人法益，以及何种具体法益就有三类观点。一类是个人法益说，持此类观点的研究者认为个人信息立法保护的是个人的人格尊严和自由，或者是个人的“信息自决权”。另一类是超个人法益说，该类观点从现实出发，指出大数据技术下的个人数据信息具有数量大、价值密度低、智能处理以及信息获得和其使用结果之间相关性弱等特征，使得个人无法以私权制度为工具实现对个人数据信息的产生、存储、转移和使用进行符合自己意志的控制。因而私权制度在大数据技术下正逐步失去作用，所以，应该放弃以私权观念来规制个人数据信息的立法意图，而将大数据下的个人数据信息作为公共物品加以治理（吴伟光，2016）。还有一类是个人法益与超个人法益综合说，该类观点认为“公民个人信息”首先是个人法益，“公民个人信息权”是公民个人自决权范围内的个人权利，因此，合法与非法的界限在于公民是否许可、同意。但个人信息处理行为的规制原则是防止滥用，而非严格保护，出于公共利益和公共安全的需要，可以无须个人同意，实现个人数据信息的自由共享（曲新久，2015；任龙龙，2016）。还有学者提出，在我国，“公民个人信息”长期处于附属保护模式，依附于国家法益、社会法益以及公司商业秘密等相关法益进行“连带”的保护，从我国刑法关于“公民个人信息”保护的立法、司法思路来看，无不体现着对其他相关犯罪的预防性、前置性立法思维，而非单纯对“公民个人信息”的保护（于冲，2018）。

（二）“私权力”和“公权力”在个人信息法律关系中的双重角色及其对信息主体的影响

个人信息所涉及的多元主体中，APP背后的网络运营商最有条件和能力获取海量个人信息。目前个人信息相关的立法和规范性文件也主要针对这些网络运营商。但是，网络立法并不是一味限制私权力接触和使用个人信息。这是因为“发展”和“安全”都是网络立法要考量的因素。如我国《刑法修正案（九）》首次明确规定了“拒不履行信息网络安全管理义务罪”，网络服务提供者不履行安全监管义务将可能承担刑事责任。《网络安全法》也是以给网络运营商设定义务的形式使其承担安全监管责任。

鉴于网络运营者已经不是纯粹的市场主体，而是对网民的信息活动具有监管职责的主体，个人作为“私权利”主体是没有能力将“私权力”关进笼子里的。尽管个人信息立法对个人进行了“赋权”，使个人信息成为一项独立的人格权利，但却并没有为个人“赋能”，即个人并没有能力监督“私权力”对个人信息的使用行为进而保护自身个人信息。因此，如何把“私权力”关进笼子里，使其发挥应有作用而不损害个人权利，是网络法要解决的重要问题。个人信息保护立法作为网络安全立法的重要组成部分，也试图解决这一问题。

不同于传统隐私权保护中政府超然的中立地位，在个人信息保护和利用中，政府积极加入其中，具有了双重身份角色：不仅是作为管理者监督其他主体对个人信息的非法利用，同时，政府自身也是公民个人信息积极的利用者。公权力获取个人信息的渠道可分为两类，一类是基于自身职权直接从个人或其他公权力机构获取，另一类是基于相关法律法规的授权，从“私权力”处获取个人信息。如《网络安全法》规定网络运营者对网信部门和其他有关部门的监督检查予以配合，为公安机关、国家安全机关提供技术支持和协助。同时，鉴于公民和法人都有配合执法的义务，从理论上讲，只要是“私权力”掌握的信息，“公权力”都有可能获得。当然，不同的公权力部门之间获取个人信息的渠道和权力有很大差异。

（三）个人信息立法需要实现多元主体的权力平衡

对于围绕个人信息的三类权利主体，张新宝教授提出“三方平衡”的主张。“三方平衡”是指个人对个人信息保护的利益（核心是人格自由和人格尊严利益）、信息业者对个人信息利用的利益（核心是通过经营活动获取经济利益）和国家管理社会的公共利益之间的平衡。平衡是一种张力状态，各利益主体的核心利益得到保护和实现，并让渡非核心利益作为他方实现其核心利益的条件和基础（张新宝，2015）。

本文认为，相比利益平衡，权力平衡更重要。利益平衡是一种静态的制度设计，利益通常表现为立法中的“权利”，但与权利同样重要甚至更加重要的是权利的实现能力，即维护各自利益的能力也要平衡。权力结构失衡是无法实现利益平衡的。只有各个主体都“平等武装”才能形成互相制衡的稳定的三角结构，才能有动态的平衡和真正的个人信息的安全，利益平衡才能实现。本文后文将结合欧盟、美国和中国围绕个人信息的立法和司法实践，考察欧盟、美国和中国在个人信息保护中的权力结构。

（一）欧盟

根据GDPR，个人信息是自然人保护其个人资料的权利，属于自然人的基本权利和自由。这一权利在学界常被称为个人的“信息自决权”。1983年，德国联邦宪法法院在对“人口普查案”的判决中最早确认了个人信息自决权。在研究领域，最早提出“信息自决权”（Das Recht auf informationelle Selbstbestimmung）概念的是施泰姆勒（Steinm ü ller，1972）。他在《联邦数据保护法（草案）说明》中将这项基本权利的内涵表述为“人们有权自由决定外在世界可多大程度获知自己的思想及行动”。从此概念产生的背景看，其最初的功能是防止国家公权力对个人信息的滥用，是通过设定私权来对抗公权力的制度设计。

随着社会信息化进程的推进，对个人信息的挖掘和使用成为个人得以享受各种公共服务、社会服务和企业服务的前提。于是，最初作为对人格权防御性保护的个人“信息自决权”受到挑战。在德国，联邦宪法法院通过判决，明确对个人信息的搜集、使用和处理要符合显著公共利益、基于法律保留的合目的、透明必要与合比例这四项基本原则。此后，联邦宪法法院又在2008年网络搜索案的判决中，明确认定“IT系统（包括任意虚拟或实体的、存储个人数据的系统）的私密性与完整性”是公民享有的基本权利，作为信息时代对公民个体“信息自决权”的补充，间接实现公民个体对IT系统中关于自己个人数据自决权的保护。有学者认为这么做的目的是为了给个人数据使用应遵循的法律保留原则松绑，找到信息自决权保护与信息自由流动之间的平衡点（敬力嘉，2018）。GDPR也指明其所保护的是自然人的基本权利和自由，尤其是自然人保护其个人资料的权利的同时，规定不得以保护个人与数据处理相关的自然人为由，限制或禁止个人数据在欧盟内部的自由流动。2018年10月，欧盟还通过了《非个人数据自由流动条例》，可见，欧盟也在寻求个人信息保护与信息自由流动之间的平衡。

从实际情况看，受GDPR影响最大的主要是“私权力”，尤其是美国的互联网巨无霸。根据GDPR，违规企业可能会被处以高达2000万欧元或全球营业额4%（以较高者为准）的罚款。欧盟国家依据GDPR对美国互联网企业的个人信息收集和使用展开调查，并开出了巨额罚单。被处罚的除了美国的互联网巨无霸，也有欧盟本土的互联网企业。

不管是在欧盟还是美国，个人以保护私权为由寻求司法救济以对抗“私权力”的情形都不多见（Schwartz & Solove，2011）。而由个人启动的对抗“公权力”侵犯个人信息的情况，在欧盟仍然能够看到有，但很少见。例如，在比利时，曾有投诉人向比利时数据保护局投诉比利时市长滥用投诉人的个人邮箱向投诉人发送了竞选选举（拉票）信息。2019年5月28日，比利时数据保护局对该市长处以2000欧元罚款，理由是其违反了GDPR中的目的限制原则，市长获得的电子邮件地址必须用于特定目的，不得以与这些目的不相容的方式进一步处理。

值得注意的是，即使公权力因侵犯或未能有效保护其所掌握的公民个人信息而被罚，最终责任也有可能仍落在受害者自己身上。2019年6月，保加利亚发生了一场针对税务机关的网络攻击，造成公民个人信息泄露，受害范围几乎涉及所有成年国民。据保加利亚个人数据保护委员会的代表称，该国税务机关目前面临高达2000万欧元的罚款。纳税人本是信息泄露的受害人，却需要用其所纳税款承担由此带来的罚款。

（二）美国

与欧盟不同，美国有着深厚的隐私法传统，并没有将“个人信息/数据”作为独立的权利进行保护，而是将其置于隐私这一大概念之下，将个人可识别信息，即Personal Identifiable Information（PII）作为界定信息是否属于隐私的重要因素。这是因为英美法的重要特点之一是“拟制”，即把新的权利纳入到旧的概念和体系中，“糅合了确定性与进化力之双重功能”（庞德，2001：128）。也正是由于PII在互联网普及之前就已经被纳入到美国隐私法中，因此，此后互联网的普及并没有导致个人信息作为一种超越隐私权的全新的权利被提出。根据相关立法和案例，进行了“匿名化”（anonymization）或不可识别处理的信息就不再是个人信息。但是，随着信息技术的发展，即使对个人信息进行了“匿名化”处理，仍有可能被再次识别，给信息主体带来伤害。

与欧盟情况类似，在美国，个人直接以保护个人信息为由对抗“公权力”或“私权力”的数据违法行为的情况也很鲜见。另外，在美国，“私权力”在个人信息问题上在一定程度上是能够对抗“公权力”的。前文提到，公权力获取公民个人信息主要有两条路径。一是依职权直接获取，二是依据法律法规授权从“私权力”获取。在第二条路径上，“私权力”可以在一定条件下对抗“公权力”对个人信息的获取，但是，“私权力”对公权力的这种对抗能力也在弱化。

不管在欧盟还是美国，都很少有个人能以自己的名义，作为积极的“行动者”参与到个人信息权利的实现中。最常见的情形是，“公权力”履行管理者职能，依职权处罚“私权力”，间接实现对个人“私权利”的保护。而当“公权力”作为个人信息利用者向“私权力”索取个人信息时，“私权力”也会以保护“私权利”的名义与之对抗。个人信息的私权保护机制已经改变了形态。尽管根据立法规定，个人仍然可以以自己的名义、通过自己的行为保护个人信息，但这已经不再是私权实现的主要路径。私权制度原本是对抗公权的制度设计，但现在私权的实现却主要是依赖公权力，这种改变带来权力结构的失衡。在个人信息保护问题上，个人不是有力的“行动者”，而是被公权力或私权力“代表”，成为权利实现过程中的“旁观者”。而无论在欧盟还是美国，“公权力”都是强势的行动者。这种改变会带来什么样的后果？能否实现利益的“三方平衡”？目前还缺乏深入的研究。

（一）个人信息立法所形成的权力结构

中国关于个人信息保护的规定散见于多部不同的法律法规、部门规章和司法解释中。这些部门法所规范的大多都是政府机构和部门的行为。政府机关处理个人信息是履行法定职责、实施行政管理的必然要求，从法律性质上看属于行政法律关系。相反，其他个人信息处理者处理个人信息是一种民事主体的自主活动，在法律性质上属于民事法律关系（张新宝，2019）。因此，个人信息首先是在行政法律关系中被调整，然后才被纳入民事法律关系中调整。个人信息出现在立法中的最初目的也在于防止公权力对个人信息的滥用，从这点上看，中国和欧美是一致的。

此外，刑法对个人信息的规定也走在民法之前。中国刑法中关于个人信息的保护始于2005年《刑法修正案（五）》增设的“窃取、收买、非法提供信用卡信息罪”。2007年的《刑法修正案（七）》又增设了“侵犯公民个人信息罪”，“出售或者非法提供”和“窃取或者以其他方法非法获取”公民个人信息都构成此罪。但该罪的犯罪主体仅是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。在2012年12月28日全国人大常委会颁布了《关于加强网络信息保护的决定》之后，2015年的《刑法修正案（九）》又将此罪的犯罪主体扩展为一般主体，这是对《关于加强网络信息保护的决定》从刑法层面的呼应。与此前“窃取、收买、非法提供信用卡信息罪”被列入《刑法》第三章“破坏社会主义市场经济秩序罪”中不同，“侵犯公民个人信息罪”被列入到《刑法》第四章“侵犯公民人身权利、民主权利罪”中。2016年11月7日，《网络安全法》颁布，第四章“网络信息安全”也主要是对网络运营者义务的规定。直到2017年《民法总则》的颁布，个人信息才开始被纳入民事法律关系中进行调整。这一立法过程反映出个人信息立法的两个趋势，一是“刑先民后”，二是立法针对的主要对象由“公权力”转向“私权力”。

在民法领域，“个人信息”主要见于《民法总则》第111条，和《民法分则（草案）》第3编“人格权”的第6章“隐私权和个人信息”中。根据杨立新教授对《民法总则》立法过程的介绍，在最早的2015年8月28日《民法总则（草案）·民法室室内稿》中，并没有规定对“个人信息”的保护。随后在2015年“征求意见稿”、2016年5月27日“征求意见稿修改稿”，以及2016年6月27日《民法总则（草案）》“第一次审议稿”，也都没有对个人信息保护作出规定（杨立新，2018）。但是，在此期间发生了两起电信诈骗案，引起了立法机关的高度重视。一是徐玉玉案。二是清华大学教授案。这两起电信诈骗案使立法机关受到震动，促使在《民法总则》中增加了个人信息保护的内容（杨立新，2018）。有学者指出，《民法总则》正是由于考虑到个人信息的复杂性，因而没有简单以单纯民事权利特别是一种人格权的形式加以规定，而是笼统规定个人信息受法律保护，为未来个人信息如何在利益上兼顾财产化，以及与数据经济的发展的关系配合预留了一定的解释空间（龙卫球，刘保玉，2017：404）。从这一立法过程看，“个人信息”被写入《民法总则》，并非因为考虑到其作为一项独立权利所具有的价值，而是基于对个人信息的侵害可能给个人人身财产安全带来的风险。因此，当个人基于个人信息（个人敏感信息除外）的利益和公共利益、商业利益发生冲突时，只要不会给人身财产安全带来风险，立法的天平是倾向于后者的。

目前的立法和安全标准都对“私权力”获取、利用公民个人信息进行了很全面细致的规定，但对于公权力获取和利用公民个人信息却缺乏明确细致的要求，对于公权力通过私权力间接获取和利用个人信息更是缺乏有效的规范和约束。因而，在围绕个人信息的权力结构中，公权力是受到约束和限制最小的主体。而且，在个人信息安全保障机制中，公权力往往作为“私权利”的“代表者”对“私权力”进行监督，从而使得公权力更加有力。

公权力作为个人利益的保护者的身份在法律中被确认，但立法对其作为个人信息利用者的身份重视显然不够，致使在三方利益平衡中，公权力自身围绕个人信息的利益被淡化处理。作为信息主体的个人对来自私权力的侵犯往往无能为力，但被忽视的是，其对于公权力以“合法”形式侵害个人信息的行为更加无力。因此，个人在围绕个人信息的权力结构中处于“被代表”的“有权无能”的弱势地位也就是很自然的结果了。因此，在“私权力”崛起的背景下，应当更加警惕“公权力”。“私权力”被关进笼子里的后果，不应该是“公权力”坐大。而且，相比“公权力”，“私权力”是去中心化的，保持“私权力”与“公权力”的制衡，才能更好地保护“私权利”。

从个人信息的立法轨迹也可以看出，个人信息保护制度体系呈现更多的是安全本位而非权利本位。网络安全是国家安全的重要方面，而信息安全是网络安全的重要内容，个人信息是网络信息的重要组成部分，由此，个人信息安全才成为法律所保护的对象。因此，在关于个人信息的制度设计中，个人被设定为一个被动的被保护者，而不是具有行动能力的独立主体，权力失衡就是很自然的现象了。

（二）从司法实践看个人信息保护机制中的权力失衡及其原因

根据笔者于2018年12月28日访问中国裁判文书网检索相关数据结果显示，案由为“非法获取公民个人信息罪”的共有635条记录，没有附带民事诉讼的案件，因而也没有对被害人的赔偿。其中自诉案件仅2起（一起以原告撤诉告结，另一起一审以罪证不足裁定驳回，二审裁定发回重审，查不到后续的公开判决）。案由为“出售、非法提供公民个人信息罪”的案件共54条记录，没有附带民事诉讼的案件。自诉案件仅1起，且因“未能提供相应的证据材料且申请法院调取的证据不在法院依职权调取证据范围内”，而被法院裁定“不予受理”。在民事案件中，根据张新宝教授的统计，截至2018年9月2日，真正涉及个人信息且援引《民法总则》第111条做出判决的案件只有一起（张新宝，2019）。

由此可见，尽管立法规定公民个人信息受法律保护，但是，个人通过司法途径寻求对个人信息的救济并没有成为个人保护其个人信息的主要路径。其原因可以归纳为两个方面。一方面，侵害个人信息所造成的人格和财产利益的损害十分难以证成。由于个人信息价值密度低，侵害“个人信息”往往很难有具体可见的利益损害，也不会产生像侵害名誉权、隐私权那样的精神损害。个人信息与名誉、隐私等直指人格利益的权利不同，它侵害的客体既包括个人的人格及人身财产安全等利益，此外还有数据市场的秩序和其他公共利益。而一旦侵权人利用个人信息进行其他的违法活动，又属于另外的违法行为。例如，电信诈骗造成财产损害，可以以欺诈或诈骗的诉由获得救济，而不是以个人信息的名义。这就使得个人缺乏启动个人信息诉讼的动力。另一方面，信息通信技术的发展和普及使得整个社会平台化，经营各个电子平台的是无数的网络运营商，用户每天都在无数个平台上活动、留下自己的信息，这使得个人往往难以确认究竟是谁泄露了其个人信息，因而难以有效寻求法律救济。张新宝教授指出，维权的成本高、因果关系证明困难、赔偿数额低是民事诉讼途径保护个人信息不力的主要原因。这都使《民法总则》对个人信息保护的立法成为“无牙老虎”，无法使个人以自己的行动捍卫其作为信息主体的利益。

值得注意的是，在个人信息所涉及的三方主体关系中，无论是涉及个人信息的行政法律关系中，还是民事法律关系中，在法律关系确立之时，相关主体的权力就已经不平衡。例如，“知情同意”原则可以说是民事活动中需要遵循的基本原则，但在“个人信息”问题上，这一原则似乎变得无效了。用户同意隐私政策，看似使用户“知情”，而且获得了其“同意”，但这种同意等同于“放弃”。问题的核心原因在于对于数据合规的种种制度设计没有充分考虑到信息属性在数字经济时代和信息社会的变化。人格利益不是“个人信息/数据”所附着的唯一法益，其作为社会管理资源的公共属性，其作为生产资料的商业属性都使得传统的私权、人格权保护原则受到挑战。

此外，还值得注意的是，虽然个人通过司法诉讼寻求救济的案例很少，但是，在网络运营商之间的不正当竞争之诉中，却屡屡看到网络运营商将保护个人信息作为对抗其他运营商使用数据的理由。例如，在“新浪微博”诉“脉脉”不正当竞争案中，“新浪微博”就以保护其用户的个人信息作为其禁止“脉脉”使用其数据的理由之一。在美国的hiQ诉LinkedIn案中，LinkedIn也以同样的理由禁止hiQ使用其用户数据。可见，保护用户的个人信息往往成为网络运营商保护其竞争利益的借口和工具。这进一步说明，司法实践中的个人信息与我们认为的保护个人信息就是保护信息主体个人利益的认知之间是存在很大差异的。

可以说，个人信息各主体的权力失衡状况在全球普遍存在，但是，其力量对比还是有很大差别的。在中国，保护个人信息只能作为公权力约束私权力的理由，私权力还很难以保护个人信息为由对抗公权力。由此，公权力成为个人信息的权力结构中的最有控制力的一方。而个人在执法和司法实践中常常被公权力或私权力代表，这样的权力格局显然更有利于“代表者”，而不是作为“被代表者”的个人。因此，尽管在个人无力维权的背景下，由公权力代为维权有其现实意义，但是，其所带来的新问题是：谁有能力监督公权力？如果行政不作为、乱作为，个人该怎么办？个人以民事诉讼寻求救济尚且很难，通过行政诉讼寻求救济的难度就可想而知了。同时，鉴于私权力也难以有效监督公权力，那么，就只能依靠公权力内部的互相制约了。但鉴于公权力内部监督缺乏有效的动力机制，因而其效果也是存疑的。因此，在私权制度在个人信息保护上并不能有效地武装个人，而个人又不能过度依赖公权保护的情况下，立法应考虑的是，应该如何“赋能”于个人。在网络空间，“私权力”代“公权力”监督“私权利”的网络行为，“公权力”则代替“私权利”监督“私权力”，那么，该由谁来监督“公权力”？公权力保护私权利的动力来源于哪里？如果个人无法有效监督公权力，如何保证它会保护私权利？公权力对个人信息是有其自身的利益的，尤其是面对利益冲突的时候，个人作为信息主体的权利很难得到保障。因此，如何“赋能”于个人，使个人有能力监督公权力的数据行为及其对私权力的监管行为成为未来个人信息保护机制要解决的核心问题。

（三）个人信息保护的路径选择：使技术为个人“赋能”

本文认为，首先，私权制度确实不足以对抗公私权力、保护信息主体的权益，这使得个人在个人信息问题上被解除了“武装”。尽管学者们提出了公权力机构和消费者协会等其他机构可以提供替代性保护措施，这些措施也都是具有现实意义的，但应当明确的是，公民应是个人信息法律关系中的“行动者”之一，而不是“旁观者”。个人信息权力结构的不平衡，使得公民个人面对企业、国家都是透明的，而国家、企业对个人信息的收集利用情况对信息主体却不透明。因此，立法不能因个人没有能力实现自己的权利，就不予赋权，或是由其他主体代为行使权利，而是应该思考如何为个人“赋能”，使其成为能够实现自身权利的积极的行动者，改变其“有权无能”的地位。这样，才能实现权力结构的平衡。

其次，尽管个人选择不是绝对理性的，但个人也是具有有限理性的，强化个体赋权并不会使个人任意限制他人对个人信息的使用，因为个人信息的社会价值、商业价值的实现也是个人的需要。但每个个体的利益都不同，不能交由他人代庖。立法所应当做的，是促进个人的理性选择。而这建立在个人对其他主体处理其个人信息行为的可知情、可监督的前提下。目前个人的知情仅限于隐私政策所描述的内容。而隐私政策只能让个人了解个人信息“可能会”被如何收集、处理，但却不能使其知晓个人信息“实然”的、动态的运行状态。而这些才是对信息主体的知情权、控制权最重要的。