下载客户端

单天羽｜法律家长主义视角下大数据时代知情同意原则的困境与出路——以监管沙盒为思路

2024-12-06 07:31

来源：澎湃新闻·澎湃号·政务

原创单天羽上海市法学会东方法学

在大数据时代，个人信息保护面临新的威胁和挑战。我国现行个人信息保护法秉持“知情-同意”原则，通过赋予个人信息主体一系列权利，强调个人信息主体对个人信息权益的控制以及在个人信息保护问题上的中心地位，这是小数据技术条件以及假定个人信息主体具有完全理性的结果。实践证明，“知情-同意”原则在大数据时代面临诸多障碍和困境：现实中的个人信息主体表现出有限理性，其对个人信息权益的控制往往沦为形式；个人信息处理者运动大数据技术往往突破“知情-同意”原则框架，面临较为严重的合法性风险。所以个人信息保护需要进行路径重构，有必要以法律家长主义理论为指导，在大数据技术处理个人信息相关法律关系中由国家以维护个人信息主体利益为目的，介入个人信息主体的自主决策。可借鉴金融监管领域监管沙盒的思路和做法，要求运用大数据技术的个人信息处理方案接受国家组织的沙盒测试，通过风险测评者在处理个人信息时可获同意豁免，而其在实施过程中若出现个人信息权益损害事件则加重处罚，如此可兼顾个人信息保护与技术创新、实现事前和事后监管相结合。

引言

萨维尼曾指出，法律应为尊重并保障人际合理区隔设计必要的规范和制度。合理区隔保护观念与媒介技术的演进密切相关。在除了信件以外缺乏远程信息流通方式的时代，偶尔的流言蜚语也仅是小范围流传，是故法律仅凭借城堡法和住宅权、构建物理禁区即可实现合理区隔。电报这种电子化媒介技术的出现使得信息传播的速度和广度出现质的飞跃，报纸利用电报技术大肆披露甚至捏造各种耸人听闻的新闻以吸引读者，曾经只能通过感官有限传播的私生活被迫暴露在公众面前。由此美国的沃伦和布兰戴斯于1890年发表《隐私权》（The Rightto Privacy）一文，将隐私权定义为“不受干扰的权利”或者说“独处权”（The Right to be Let Alone），不受干扰的私域除物理空间意义上的之外还包括了精神、信息私域。而广播、电视乃至互联网的出现，使得信息呈爆炸式增长，个人信息利用与自我展示现象越来越多，“我们似乎达到了这样一个阶段：政治家原本可以表现才干和驾驭能力的领域已经从智慧变成了化妆术。”

在传统的私域秘密不公开的消极需求外，人们开始产生对私域是否“隐”进行自主控制、自主决定个人信息利用的积极需求。在德国，信息自决权由1983年宪法判例“人口普查案”引入，强调个人信息主体对自身信息的控制与支配；信息自决权拥有独立于隐私权的宪法人格权地位，是人格尊严的体现，应当受到全面而严格的保障，除法律特别规定外不应受到任何限制。1990年德国颁布个人信息保护法，为个人信息保护确立直接、更正、目的明确、安全保护、公开、限制利用等诸多原则。德国将主体对个人信息的积极控制作为个人信息权益核心、区分个人信息与隐私、将个人信息权益视作人格权和人格尊严而予以全面严格保护、专门统一成文立法的个人信息保护模式，为大陆法系国家所普遍采纳。大陆法系国家采“识别说”，即凡足以构成“识别”个人的信息均被视作法律保护的个人信息；与此同时通过个人信息收集目的、使用及转移之知情权、决定权、被遗忘权等多重限制，全方位严格保护个人信息。

我国个人信息保护相关立法亦采大陆法系立法例。2020年民法典在第四编“人格权”下创设第六章“隐私权和个人信息保护”，将个人信息与隐私进行直观的区分和并列，赋予个人信息权益以人格权直接下位权益的地位。2021年我国颁布个人信息保护法，标志着独立专门成文法律在我国个人信息保护领域的确立。我国个人信息保护法也以确保主体对个人信息的积极自主控制与决定为理念，将知情-同意原则作为个人信息保护规则体系的基础与核心，在其周围设置个人信息处理知情权、决定权以及查阅、复制、更正补充、删除、处理规则解释说明请求权，形成个人信息权利束。但是大陆法系以确保信息主体积极自主控制为核心的个人信息保护模式，主要根基于小数据时代的观念原则，对个人信息权益予以全面保障，保护标准十分严格；而当代广泛运用的大数据技术所收集、处理和利用的个人信息是超大规模的，必然对信息自由流通有着极为强烈的需求，是故二者之间的扞格之处日益凸显。我国采大陆法系立法例，自然也同样会面临大数据应用与个人信息保护规范适用之间的明显冲突。譬如国内有学者已经指出，知情-同意原则在诸如“刷脸”等典型现实情境中已经失灵，甚至于已然不宜作为个人信息处理的正当性基础。所以本文主要目的，即在于分析我国现行个人信息保护法在大数据时代的适用障碍与困境，并结合我国当前社会现状提出可行应对策略与修法建议，从而为我国网络治理能力的提升提供新的论说。

一、我国个人信息保护法之个人信息保护机制：知情-同意模式

我国个人信息保护法虽然未于法条中明列，但其第17条、第23条和第44条等条文是以“知情-同意”为核心的个人信息事前保护机制设计，所以可推知其立法前提是建立在小数据技术和理性人假设等环境概念下，以对个别或少数当事人逐一收集个人信息为主的思考。

（一）

规范分析：以个人信息主体为中心的事前规制

我国现行个人信息保护法是以“知情-同意”为核心，通过赋予个人信息主体全面的个人信息权利、并使个人信息处理者承担相应的义务，来设计个人信息保护机制的。在个人信息保护法赋予个人信息主体的各项权利中，知情权、决定权无疑具备核心地位，是其他权利得以实现的首要机制。根据个人信息保护法第44条的规定，个人信息主体对其个人信息的处理享有知情权和决定权；相应地，依据个人信息保护法第17条第1款和第23条的规定，个人信息处理者须在处理个人信息之前承担相关重要事项的告知义务和同意处理请求义务。此外，个人信息保护法第14条规定，若是基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。所以个人信息处理者合法处理个人信息的两大基本要件，首先是个人信息主体须在获个人信息处理者告知的基础上，对个人信息处理相关重要事项充分知情；然后是个人信息主体在充分知情的前提下，对个人信息的处理自愿、明确表示同意。而在个人信息进入处理阶段后，个人信息主体享有一系列以维系此前知悉之相关重要事项不变以及同意之自愿为目标的权利，个人信息处理者则承担依照告知个人信息主体之相关重要事项合法处理个人信息的义务，防止个人信息泄露、篡改、丢失，为此应实施制定内部管理制度和操作规程、分类管理个人信息、安全技术措施、确定操作权限与对从业人员进行安全教育培训、制定并实施安全应急预案等措施（第51条），以及定期针对处理行为合法情况进行合规审计（第54条），若发生或可能发生泄露、篡改、丢失则应立即采取补救措施并通知有关部门和个人（第57条）。

具体而言，个人信息处理者在处理个人信息之前告知个人信息主体自己的名称或者姓名和联系方式，且个人信息主体是向个人信息处理者表达同意的，这就意味着个人信息处理者应恒定不变，个人信息处理者应采取措施保证信息安全（第9条），不得公开其处理的个人信息，除非取得个人单独同意（第25条）。就被处理的个人信息内容而言，个人信息主体对个人信息享有查阅、复制权（第45条），如若发现个人信息不准确不完整，则享有更正补充请求权（第46条）；个人信息处理者在处理个人信息时应当承担避免个人信息不准确和不完整、保证个人信息质量的义务（第8条），及时更正补充。个人信息主体对于个人信息处理规则享有解释说明请求权，而个人信息处理者也有义务进行解释说明（第48条）。如若处理前告知之事项发生变更，则个人信息处理者应当将变更部分及时告知个人信息主体（第17条第2款）；如若处理目的、处理方式和处理的个人信息种类发生变更，个人信息处理者应当重新取得个人信息主体同意（第14条）。个人信息主体拥有同意撤回权，个人信息处理应当配合提供便捷的撤回同意方式（第15条）。而当处理目的已实现、无法实现或对目的实现不再必要、产品或服务停止提供、保存期限届满、个人撤回同意、违法或违约处理个人信息时，个人信息主体拥有个人信息删除请求权，个人信息处理者也应主动删除个人信息（第47条）。此外，个人信息处理者还须为个人信息主体行使权利提供便利，即便捷的申请受理和处理机制，若拒绝权利行使请求则应当说明理由（第50条）。

“知情-同意”模式实质上是以权利持有者个体为中心地位的保护模式。就权利本质而言，各种理论观点之间虽有分歧，但依然有着共同的现代哲学根基，即“从个体的优先意义和更重要的现实意义这个角度在现代自然观的语境中思考权利”，将个体从中世纪整体自然道德观的束缚和负担中解放出来，主张个体判断的唯一标准就是其自身的主观权威。“知情-同意”模式将个人信息主体对个人信息处理的知情、同意、请求解释说明、撤回同意和对个人信息的查阅复制、请求更正补充、请求删除等规定为法律上之权利，一方面是为个人信息主体围绕个人信息的这些行动选择提供了一种排他性的或者说抑制性的理由；另一方面，与个人信息安全密切相关的行为被交由个人信息主体完全掌控，这也意味着将个人信息保护的主要责任交由个人承担，正如有学者所言：“赋予公民以权利，就意味着他们也要负责执行这些权利。”

此外，知情-同意模式亦是一种事前规制模式。其规制思路是将规制的重点放在事前，即在具体的个人信息处理行为开始前，个人信息处理者应主动向个人信息主体告知个人信息处理的相关重要事项，由个人信息主体在对相关重要事项充分知情的基础上对个人信息处理方案进行考察，从而作出同意或不同意个人信息处理的决定。个人信息主体如若作出同意决定，就意味着个人信息处理者必须按照其事前告知之相关重要事项来处理个人信息。而个人信息主体在个人信息处理过程开始后享有的一系列权利，也是以个人信息处理者事前告知之相关重要事项为内容和行使范围的，譬如查阅复制权、更正补充请求权对应的被处理之个人信息种类、内容，处理规则解释说明请求权对应的个人信息处理规则（目的、方式等），删除请求权对应的个人信息保存期限等。本质上，这是一种风险预防机制，仰赖的是个人信息主体事前对个人信息权益风险所进行的评估和预判。事前规制的优势是，在个人信息处理开始前就为当事人双方在法律范围内提供了较为明确的预期和行为指引；当然，在实质层面上，相对而言风险更多的还是由个人信息主体承担，信息处理者只承担一种经营亏损、行政惩罚等概括上的风险。

（二）

逻辑前提：理性人假设与小数据技术

近现代法律采用“理性人假设”作为法律体系建构的逻辑前提：既然具备完全理性的个人有着充足的计算和分析能力，能够对自身所欲追求的目的和达成目的的最优方式有着清醒的认知，并且能遵从自己内心的最优选择进行实际行动，那么个人就是其自身最大利益的最佳判断者和追求者，所以法律制度设计和体系建构应当贯彻私法自治原则，即承认个人在私人事务范围内根据自己之意思形成法律关系的权限。而知情-同意模式正是以“理性人假设”为理论预设、贯彻私法自治原则的结果。由于相信个人信息主体拥有在综合所有能获取之信息的基础上，理性地分析个人信息处理方案的风险和收益，进而秉持利益最大化原则作出是否同意个人信息被处理的理性决策的能力，知情-同意模式将个人信息处理相关事务交由个人信息主体自主管理决定，充分尊重其主观意愿：如个人信息处理法律关系之形成、变更乃至消灭，必须经由个人信息主体同意之意思表示方可成立；个人信息处理过程中的监督事宜则通过赋予个人信息主体权利如查阅复制权、更正补充请求权、删除请求权等，从而交由个人信息主体自主执行。此外，以科斯为代表的新制度经济学派在沿袭理性人假设的基础上重点研究法律制度、交易成本和经济效率的关系，指出交易成本的存在使得资源配置效率受到制度的极大影响，有效率的制度安排、权利的界定或配置能够使得交易成本最小化，为经济增长发挥关键性作用。知情-同意模式为个人信息主体设定知情权，为个人信息处理者设定重要事项告知义务，目的也就是为个人信息主体降低信息获取成本和难度，避免其因为信息不完全而作出非理性决策，为其创造出一个充分自由的选择制度环境。

在人类收集利用数据的早期阶段即小数据时代，数据的记录、传输、保存、分析缺乏自动技术，主要依靠人工方式进行，所以此时人们收集利用的数据的特征是：容量小，数据收集者无法收集到涵盖全体对象的总体数据；种类和来源较为狭窄；数据更新和处理速率较慢，以不连续生成、收集的静态数据为主，且数据的产生与收集分析之间存在一定的时间间隔，大多是过时数据。在这种技术条件下，数据的收集利用只能是使用有限挖掘的采样分析法，即使用尽量少的样本归纳得出尽量贴切总体的推测结论，其准确性很大程度上取决于样本的代表性、质量以及挖掘深度。数据的选择收集秉持的是一种精确性思维，使用严格的条件控制方式进行谨慎权衡。很显然，这种精确量身定做的数据收集，意味着每个样本数据的收集成本都非常高昂，再加上分析结论是一种推测估计，所以样本数据的真实性要求也必然非常高。此外，鉴于控制变量以验证事前假设的需要，在收集样本数据的同时也需注意了解样本数据的产生背景和情境，进行一定程度的深度挖掘。因此，在收集利用样本数据前就相关事项与样本数据主体充分协商沟通，获取其同意和配合就具有必要性；而由于样本容量不大，样本数据都是针对特定对象一对一精准收集，所以向样本数据主体告知重要事项并获取其同意在操作上也具有可行性。我国个人信息保护法的知情-同意保护模式，实际上是小数据时代技术条件下的必然选择。

二、大数据时代个人信息保护法适用障碍

大数据技术与个人信息的收集利用相结合，毫无疑问将深度加强个人信息的价值和拓展个人信息的用途，带来巨大的数据红利。但是与此同时，由于大数据技术与小技术在数据体积、多样性以及生成速度方面不可同日而语，加上个人信息主体的有限理性现实，大数据技术条件下个人信息的收集利用将对个人信息保护形成直接的冲击和威胁；而以小数据技术和理性人假设为逻辑前提的个人信息保护法也将产生适用上的困难，个人信息的收集利用面临着诸多潜在的法律风险。

（一）

大数据时代与有限理性现实

随着计算机和互联网技术的产生发展，人类收集利用数据的方式出现了根本性变革，步入大数据时代。数字化技术使得图形、影像、表格、文字等复杂多变的非数值数据都可以转变为可度量的数字形式，这推动了大容量且相对便携的数据存储设备和具备大规模、多类型数据分析展示功能的软件算法的产生；而互联网与各种便携式远程终端如PC、智能手机和传感器的结合，使得人类大量的日常活动通过网络进行，从而留下大量的“数据痕迹”，也即是说人与物的日常动态、变化都能转化成大规模的即时数据流不断被记录、传输。大数据时代人类收集利用之数据容量超大规模且类型繁多：如果说小数据时代的数据是沙漠中的绿洲，那么大数据时代的数据就是汹涌澎湃的洪流，数据处理者所能收集到的数据量实际上无限接近于涵盖全体对象的总体数据；而每天数以亿计的用户在网络平台上的行为活动产生了包括文字、图片、语音、视频和地理位置等在内的各种类型数据，这意味着更多社会运行的指标被开发和应用，较为贴切地体现社会作为复杂系统的一面。此外，大数据时代的数据具有生长性，以源源不断生成变化的动态数据为主，所以对数据的记录分析也是连续记录分析；而从数据产生到记录分析之间也几乎不存在时间间隔，对现状的反应速度快，以实时数据为主，直接反映当前的动态和行为。由此，数据收集不必事前进行细致的流程设计，不需要过多考虑数据质量、准确性和来源背景，因为数据集的详尽特性消除了抽样偏差，同时就提高了测量误差的接受度。数据分析的目标从关注因果关系即“为什么”转变为关注相关关系即“是什么”——直接分析数据便可得出全面、深入而真实的结论，数据能够在没有理论的情况下为自己说话，而不必像采样分析法那样根据事先的理论假设采集样本，然后再由少量样本归纳验证事先假设从而得出一个推测性结论。而动态实时数据的快速采集和分析应用，将信息聚合的时间大大缩短，以天甚至以分钟为单位洞察现实，而非只限于为现实拍一个截面快照，也即是说“现在”的概念被无限放大——不是一天前，不是一小时前，甚至不是一分钟前，而是说话的此时此刻。所以数据分析的用途从解释过去转变为预测未来（针对短期内影响因素较少的事物的发展），为人类的生活创造可量化维度。

自20世纪80年代以来，随着行为经济学和心理学的深入研究，理性人假设受到越来越多的质疑，其构建的所谓完全理性意义上的决策场景和心理预期，被认为与现实状况相差太远。按照赫伯特·西蒙的说法，由于实际决策环境的复杂性和不确定性，个人行动者的真实形象应该是“有限理性人”。首先是信息不对称的问题。在现实社会交往活动中，并非所有参与者都有能力充分了解与自身行动相关的全部信息和知识。由于文化水平、技术条件或涉猎经历的限制，对于作为行动基础的外部条件以及预测后果所必须的规律法则，个人行动者往往仅是零碎、不成体系的了解甚至知之甚微。信息劣势极易诱发逆向选择和道德风险。其次，即使个人行动者完全知晓相关信息和知识，但个人的思维能力也是有限的，常常无法精准确定能使自身利益最大化的那条行动路径。人脑在任务处理方面存在一些先天的生理条件限制，如短时记忆容量只有4项，一个项目从短时记忆向长时记忆的存入则需要8秒，记忆的组织呈现一种表列等级结构。这就导致个人思维过程表现为一种串行处理或搜索状态，在同一时间抓住的信息、考虑的问题都极其有限。所以在个人针对未来行动抉择所进行的思考中，有些可行的行为模式可能根本不会出现；至于那些进入构想中的行动方案，个人也由于无法对各种价值要素作出公允、始终如一的权重评价，从而在权衡这些行动方案的后果和风险时抱有诸多偏见，譬如乐观偏见、后见偏见、可得性探索、铁锚现象以及禀赋效应等。再有，即便个人对于究竟何种选择能使得自身利益最大化有着清楚的认知，个人实际行动也并不总是自利性的，而是会追求一些自我利益之外的东西，受到价值观的制约。事实上，人类生活中广泛存在大量的非物质动机和非经济动机。如实验经济学家设计的“威胁游戏”实验表明除去自利性目标外还有基本“公正观念”在引导着个人的行动，一些虽然符合自身利益最大化但显失公平的选择往往不会得到人们的认同；虽然公共产品很难排除付出成本以外的人享用，但“公共交换”虚拟基金投资实验却表明有四到五成的人会在明知可以“搭便车”的情况下仍然选择向公共产品进行投资；个人意志力的有限也会使得个人实际行动违背利益最大化原则，如在明知戒烟、健身从长远来看有利于自身健康的情况下仍然无法坚持。

（二）

匿名复原威胁

我国个人信息保护法对个人信息的概念定义采“关联说”。依据本法第4条，个人信息指以电子或者其他方式记录的“与已识别或者可识别的自然人有关的”各种信息，同时排除“匿名化处理后”的信息。所谓“匿名化”，据本法第73条是指“个人信息经过处理无法识别特定自然人且不能复原的过程”。在小数据时代，这种制度设计并无不妥。因为此时个人信息的收集记录主要是带有特定目的、事前设计流程的“面对面”精确收集，通过这种方式收集的个人信息是过时的静态数据，数量和类型虽不多但直接识别个人的可能性很大，具备专属性、固有性、唯一性的特点；由此形成的个人身份也是静态意义上的个人身份，单一化且几乎固定不变。所以个人信息通过有效的匿名化后确实能达到所谓的“无法识别特定自然人且不能复原”的效果，如此则个人信息的利用也自然不会再对个人信息主体之权益产生威胁和风险。但是在大数据时代，人们大量的日常行为需要通过互联网进行，同时也留下了相应的痕迹，这就意味着此时的数据收集记录是无处不在的、连续的囊括式收集。所以个人信息除过去的静态数据以外，也包括了超大规模且类型丰富的实时动态数据，如行动轨迹、活动倾向、购物意向等—这些都带有对个人的识别属性。由此形成的动态个人身份则具备多重性，其中包括了个人意欲在不同场合、不同情境展示的不同身份，与其静态个人身份既有联系又有区别，也即是“以数字化方式呈现的我的社会镜像”。所以很显然，即便面对已经匿名化处理过的动态个人信息数据，个人信息处理者只要利用大数据运算技术对它们进行聚合处理与关联性分析、相互印证，就有很大概率能够有效、有针对性地重新追溯至特定个人的身份，也即是匿名复原；更何况个人信息处理者未必有精确到单一固定的静态个人身份的需求，大多数情况下只需要获得与特定情境相关的动态个人身份即可。

（三）

“知情-同意”模式之困境

我国现行个人信息保护法第17条、第23条规定了个人信息处理者的事前告知义务，即个人信息处理者不论是处理个人信息，还是向其他个人信息处理者提供其处理的个人信息，都必须事先向个人信息主体告知自身或其他处理者进行个人信息处理的相关重要事项，包括处理者名称或者姓名和联系方式、处理目的、处理方式、处理的个人信息种类、保存期限等。但是前已论及，大数据拥有无限接近于全部的庞大规模，类型、来源多元广泛，且以凭借自动化方式收集之动态实时数据为主。面对如此庞大复杂实时，变动如洪流般的数据，个人信息处理者很难在事先就清楚确定前述所谓的个人信息处理相关重要事项；而要如小数据时代那样向个人信息主体事前逐一告知也显然在技术上难以做到。此外，大数据的这些特质实际上意味着数据集的抽样偏差基本被消除，这就使得数据真实性的容错率提高，是故不同于过去小数据时代下事先提出假设-流程设计-精心收集少量样本-以样本验证假设的数据处理思路，大数据处理就是直接分析数据得出结论，关注“是什么”而非“为什么”。在这种情况下，个人信息处理以处理者事先履行相关重要事项告知义务为前提就与大数据处理思路相悖，反倒可能限制大数据处理优势的发挥。首先，所谓特定的处理目的、处理方式、处理的个人信息种类等事项，都是在经过个人信息收集利用之后才能显现明白，相对于个人信息处理者的事前规划往往会有所延展变化，所以事前的确定没有太大必要性。其次，动态实时数据的价值就在于时效性极高，其从产生到收集利用几乎没有时间间隔，直接反映当前的态势和情况。但处理前告知个人信息主体相关事项，并等待个人信息主体确认已知悉告知事项，这都需要一定的时间成本，事实上违背了动态实时数据的时效性要求。再有，大数据正是凭借多元而海量规模的数据，才能详尽地展示细节，从而高分辨率地反映现实世界，所以大数据处理强调尽可能多收集数据，以及各数据库间尽量自由的互通结合利用。但是个人信息保护法第6条规定个人信息处理方式应与处理目的直接相关，而个人信息收集也应于实现处理目的之最小范围内为之，等于说用特定处理目的事前就限制了数据收集的范围和规模。如果个人信息处理者欲将其处理的个人信息提供给其他个人信息处理者，就有可能是属于超出其处理目的之外的处理方式，与法律产生冲突；而以大数据之规模，即便依照本法第23条规定逐一向个人信息主体履行告知义务并取得单独同意，难度也极高。

个人信息保护法第13条规定个人信息的处理须经个人信息主体同意，第14条规定该同意应当由个人信息主体在充分知情的前提下自愿、明确作出。这表明我国个人信息保护制度以理性人假设为前提，将个人信息处理、保护的相关事宜交由个人信息主体自主决定，相信个人信息主体能够理性地做出决策。但是由于现实决策环境和过程中各种复杂因素的影响和阻碍，个人信息主体事实上很难进行符合自身利益最大化的慎重理性选择。首先，供理性决策参考的信息并不全面。前已论及，大数据的分析处理思路是事前不作预测，结论须等到数据分析处理完毕后才能得知，其优势便是在数据中找到意想不到的模式和相关性。鉴于大数据下游应用具有极大的不确定性，个人信息处理者便很难制定出完全而明晰包含个人信息处理重要事项在内的隐私政策。这也就导致个人信息主体无法从对隐私政策的理解中获得作为理性决策必要条件的足够全面完备的信息。其次，个人信息主体有限的思维能力也无法应付大数据时代隐私政策的理解认知以及理性路径的判断。由于大数据时代个人信息处理技术以及现代社会法律体系均十分复杂，个人信息处理者制定的隐私政策条款不但包含了为数不少的相关信息，而且充满了晦涩的技术与法律术语。此外，随着社会数据化、网络化趋势不断深入，个人的工作、生活、社交等社会行为越来越多通过网络与数字设备进行，这意味着个人信息的收集利用高频化，由此各种专业而冗长的隐私政策纷至沓来，个人信息主体不得不花费大量的时间和精力来应对。前已论及，文化知识水平不足的个人难以有效理解专业晦涩的信息；而人脑由于先天的生理条件限制，在同一时间抓住的信息、考虑的问题也都是有限的，其思维过程表现为一种串行处理或搜索状态。相对于个人信息主体有限的思维认知能力，大数据时代隐私政策所包含的繁杂晦涩的信息，事实上已经给个人信息主体带来了严重的信息过载问题，使其在记忆和处理相关信息时要么赋予信息不当权重，要么忽略重要信息，从而犯下偏见错误作出非理性决策。更有甚者，个人信息主体为了节省时间和经济成本、尽快完成流程，加上频繁应对隐私政策所造成的心理倦怠松懈，于是选择跳过全部隐私政策条款而不假思索地点击“同意”，完全不考虑由此可能引发的个人信息保护风险。再有，在隐私政策格式化下，个人信息主体事实上并没有太多按照自己意愿进行决策的自由。由于大数据的规模、速度效应，个人信息处理者要逐一向个人信息主体履行告知义务在技术上并不现实，所以只能通过拟定统一隐私政策自动推送给个人信息主体的做法。这种隐私政策就其性质而言属格式合同，其背后体现了大数据时代个人信息处理者和个人信息主体之间地位的不平等。格式化隐私政策内容机械，个人信息主体往往无法借以获知个人信息被收集使用的全面情况，事实上沦为个人信息处理者规避法律风险的“走过场”；并且个人信息主体的同意往往是其获取个人信息处理者所提供的网络服务或产品的前提，而在人类大部分工作、生活、社交都必须仰赖互联网的大数据时代，网络服务或产品也属于生活必需品，所以个人信息主体的同意更多情况下也是一种无可奈何，并非其真实意思表示，带有浓厚的被强迫色彩。

三、法律家长主义的引入与国家干预个人信息处理之正当化根据的确立

大数据时代，数据是生产、交换的重要要素。然而在以个人信息主体为核心的个人信息“知情-同意”保护模式下，一方面由于个人信息主体自身的有限理性和弱小实力，其由个人信息保护法所赋予的知情权、同意权在现实个人信息处理活动中形同虚设，个人信息主体实际上无力控制个人信息，个人信息遭到滥用的风险极大；另一方面由于大数据技术的客观需求，个人信息处理者又不得不经常性地冒着极大的适法风险处理个人信息，若要达致完全符合规范则需付出极高的成本。也即是说，双方围绕个人信息的交易常常无法达致帕累托最优，陷入市场失灵。规制理论主张为扭转市场失灵，政府有必要对市场主体间的自治进行一定程度的介入和干预。本文认为具体到个人信息处理问题上，应当以法律家长主义作为政府干预的正当性理据和相应干预机制具体设计的指引理念。

（一）

法律家长主义概念

“家长主义”英文为paternalism，在语源学上是从拉丁文pater演化而来的，国内也有学者翻译为“父爱主义”，即像家长（父亲）对待子女那样对待他人。从概念谱系角度可以看出，原初本真意义上的家长主义是家庭关系领域的概念，用以描述家长和家庭成员之间的关系：家长因年岁更长、经历更多或者能力更强而拥有比家庭成员更加丰富的人生经验，并且基于血缘、亲情也会比一般人更有可能替家庭成员的利益着想，所以家长对家庭成员个人事务的干预具备一定的正当性，这一点从古至今都得到了伦理和法律的承认。法律领域对家长主义的讨论始于启蒙时代的18世纪，作为对法律干预自由的界限这个古老的法理学问题的回应之一。所谓法律家长主义即是将政府和公民的关系拟制为家长和子女之间的关系，指政府基于增进公民个体利益的目的而通过法律对公民自由进行干预和限制。其要件有二，即法律干预的目的是增进公民个体的利益和福祉（包括阻止自我伤害），以及干预方式是限制公民的自由或权利。最初的较为正式的相关理论是密尔关于自由限制正当性的学说，他在其《论自由》一书中举了一个较为典型的过桥例子来说明他所赞成的对个人自由的家长主义法律干预：“不论是一位公务人员或者是任何一个人，如果看见有人要走上一座已经确知不保安全的桥梁，而又来不及警告他这个危险，他们可以将他抓回，这不算真侵犯了他的自由；因为自由在于一个人做他所要做的事，而这个人并不要掉在河里。”也即是说，密尔认为对于当事人并非出于真实自愿所作的行为可以干预和限制，这便是作为法律家长主义的基本分类之一的软家长主义；相对的还有硬家长主义，即不管当事人真实意志如何而直接限制其自由。

（二）

法律家长主义的证成与国家干预个人信息处理之正当化的二元展开

个人事务自主决定、自负其责即私法自治原则是近代私法领域的基本原则和要义。哲学家沙伊姆·佩雷尔曼曾在其论证理论中提出过所谓的“惯性原理”，其要旨为“诉诸既存之实务‘实践’者，无须证成，只有改变者才需要证成”。据此，作为元价值或者说基本价值的自由本身是不用证明的，而依据法律家长主义对自由施加干预和限制则理所当然负有合理性论证责任。一般来说，法律家长主义适用的证成理由或者说基本假设主要在于以下两方面，而个人信息处理和保护方面也正因为符合此两点，是故针对个人信息处理和保护的政府干预也可以适用法律家长主义理论进行指导及获取正当性。

1.个体有限理性与维护被干预者利益

前已论及，行为经济学已有研究表明，所谓“理性人”可能更多是一种理论虚构的产物，现实中普遍存在的是信息不对称以及个体相当有限的判断能力。法律家长主义亦认为在“强迫、虚假信息、兴奋或冲动、被遮蔽的判断、推理能力不成熟或欠缺”等因素影响下，现实中行为人做出与其愿望和偏好不一致的非理性决策的概率很大。由此可见，完全放任个体自我决定将使得人们陷入深切的不安和无助，导致自由的异化，正如美国心理学家艾里希·弗洛姆所指出的，“他自由了——也就是说，他孤立无助，备受各方威胁。”否认个体有限理性的现实存在只会导致社会生活的混乱和虚伪。法律家长主义秉持“国家认知优越论”，认为国家相对于个人拥有信息比较优势，“国家往往比公民更知道其利益所在”，所以理当在个人无法处于最佳判断水平的情况下，出于保护个人自身利益的目的，对个人自由选择进行公权力干预。大数据时代在个人信息处理和保护领域彻底贯彻社会个体的理性主义同样不现实。个人信息处理的大数据技术对于绝大多数缺乏相关专业背景的普通社会民众而言都属于认知盲区，仰赖日常经验主义的他们很难作出符合自身利益的最佳判断。若将个人信息处理完全交由个人信息主体决定，虽然表面上维持了个人信息主体自决权的价值，但是极易沦为形式主义，个人信息主体实质上将为个人信息处理者所操控，最终出现个体的有限性与社会永恒价值的严重分离现象。所以此时国家不应袖手旁观，而应通过法律干预个人信息主体的自主决定，帮助化解由于自身决策失误所带来的利益损失风险，从法律经济学的角度来看这种利益-成本衡量也是合理的。

2.强弱界分与分配正义

法律家长主义持价值通约立场，认为自由和自治在价值序列中未必是不可动摇的元价值，它们与其他价值亦是可以通约换算比较的，“如果一个人的行动偏离了他的客观利益，而通盘考虑之后，干预将增加他的客观利益，那么似乎就没有理由不干预。”事实上，生命权和自由孰先孰后就是一个长期争论不休的问题。正如亚里士多德认为离群索居者非神即兽，现实中不存在位居社会真空地带的个体，任何个体都是与确定的社群相关联的，评价对待个体行为与观念不能脱离其所处的社会文化背景。所以在界定个体的权利义务之前，总有一些重大的道德问题是无可回避的，即作为整个共同体之基础和目的的“共同善”，因为它“不仅维持实践，使我们获得实践的内在利益，而且也将使我们能够克服我们所遭遇的伤害、危险、诱惑和涣散，从而在对相关类型的善的追求中支撑我们，并且还将把不断增长的自我认识和对善的认识充实我们。”个体自治和自由在面对共同善时无法建立起其自身的绝对意义，后者事关社会整体有效和有序运转，可谓个人价值和目标实现的前提，从根本上来说其实是社群成员“协调一致的私人利益”。所以出于维护共同善的需要，国家亦有必要干涉个体自治空间，这实质上也是保护自治的内在要求。分配正义即是共同善的内涵之一。

随着经济的发展和专业分工的细化，社会主体之间博弈能力的强弱区分至为明显，这在一系列社会博弈关系如消费者-生产者、劳动者-雇佣者、承租人-出租人的具体情境那里得到较为典型的体现。正如布尔迪厄曾深刻揭示，“一种资本总是在既定的具体场域中灵验有效，既是斗争的武器，又是争夺的关键，使它的所有者能够在所考察的场域中对他人施加权力，运用影响，从而被视为实实在在的力量，而不是无关轻重的东西。”强弱主体之间表面上基于双方自由意志的交往，实则往往是强主体单方面强制推行自己意志的过程，因为他拥有弱主体急需的某种利益，也即拥有了限制对方选择范围的“资本”；即便弱主体对于何为自身利益最大化的路径有着清楚的认知，亦只能违心屈身于强主体的权力空间之内。很显然，若放任这种社会非均衡态势发展，强弱社会主体之间的差距必将越来越大，法律的公平公正将很难实现，甚至侵蚀公民对共同体的认同感。所以法律人格应“从自由的立法者向法律的保护对象、从法律人格的平等向不平等的人、从抽象的法律人格向具体的人的转变，在其背后则是从理性的、意思表示强而智的人向弱而愚的人的转变”，法律应直面实然层面上的社会主体强弱差别，通过干预对权利-义务进行反向的倾斜性安排，增进弱者一方的利益，从而实现实质意义上的平等即分配正义。在个人信息处理与保护关系中，个人信息处理者与个人信息主体之间的强弱关系可谓泾渭分明，前者往往以后者同意对自身个人信息的处理作为向后者提供其所需服务的条件；个人信息主体的所谓同意权被虚化，他实际上并没有议价空间或者说否决的选项。所以个人信息处理与保护法律关系内容不能任由个人信息处理者和个人信息主体双方意志决定，法律应当针对个人信息主体做出特别照顾扶助，向个人信息处理者施加更多义务，以衡平二者。

四、个人信息保护中法律家长主义干预的具体路径：监管沙盒

监管沙盒作为英国首创的监管工具，体现了英国对金融科技的创新风险适度包容，对监管较为主动适应的态度，也正因如此，该机制获得了许多国家和地区的效仿。中国个人信息权益保护可以考虑进一步借鉴监管沙盒机制，以保护个人信息权益为前提，在有限范围内尝试大数据技术的应用和推广申请。

（一）

法律家长主义的理论自持与限度：比例原则与法律保留

法律家长主义最根本的正当理据和底线原则就是维护被干预者的利益，也即鉴于某些社会个体自身能力有限，故由国家通过法律干涉他的自由，以帮助他实现自身利益最大化。换句话说，法律家长主义承认个体拥有独立或自治的私人空间，个体行为存在纯粹自涉性的行为，国家干预的角色是补充性质的，是在这些自涉性行为无法实现自身利益最大化时介入干预以帮助达成此目标，这与推定一切行为皆有涉他性质从而以他人利益为名义干预人们所有行为的干预话语有本质区别。是故法律家长主义干预理应谨守一定的限度，不得无限扩大干预范围。毕竟个人自治是人的主体性的集中体现，尊重个人自治是尊重人格尊严的必然要求。事实上，个体优化自身行动、提升自我能力仰赖于个体选择与自己责任结合的激励，哈耶克也曾指出社会成员通过不断犯错来确定最优的行为模式是社会文明进步的关键。从反面而言，国家干预也是通过具体的相关工作人员来决策和执行，他们同样并非完美的理性人，所以国家干预行为也并非一定符合理性，无边界法律家长主义干预易产生效率不彰的问题：某些别有用心之人借机强加自己的意志以及进行权力寻租；国家干预所谓“为了被干预者的利益”也只是一种主观推定，但是现实中人的需求往往是多层次的，可能与国家赐予的“恩惠”并不一致；被干预行为的自涉性质，导致其隐蔽性私密性较强且被干预者往往不愿配合干预，这使得干预成本增加及有效性降低。法律家长主义理论在运用时应遵循以下条件，以更好发挥其应有的积极功能。

其一是比例原则，它涉及干预和自由之间的辩证关系，要求国家干预行为注重合理性。首先是适当性原则，这要求国家干预应当以维护、增进被干预者的利益为目的，而不是简单出于加强和方便管理的需要或者贯彻自己的极端意志，反对国家利益单边主义。其次是必要性原则，国家干预方式与目的之间应当存在合理关联即确实有助于维护被干预者的利益，并且在能够达致同样效果的前提下，应优先选择对被干预者的自由限制最少的干预方式，此外还应与执行成本以及干预所带来的其他风险综合考虑。其二是法律保留原则，是指国家对个人自由的干预限制必须以具备法律依据为前提，或者说国家只有在法律有明文规定的情况下才能对个人自由做出干预和限制。法律保留原则从形式和实质两方面限制了国家干预的恣意性。形式上，法律保留为国家干预提供了明确的行为指引，“法无规定即禁止”实则相当于从源头上为国家干预设定行为边界。就实质层面而言，通过民主、开放的立法程序，被干预者的意愿得以反映，干预举措的科学性、合比例性得以考量和论证，从而使得家长主义干预的实质合理性得到最大程度的实现。

（二）

科技创新与个人信息保护的平衡：监管沙盒的产生背景、运作机制与特性

监管沙盒作为一种新兴的金融监管模式，旨在解决金融科技创新与传统监管之间的矛盾。它通过提供一个受控的测试环境，允许企业在有限的监管框架内探索和验证其创新产品，从而在保护消费者权益的同时，鼓励金融科技的发展。这种模式的产生背景、运作机制和特性，共同构成了其独特的监管理念和实践方式，为金融科技领域的创新提供了新的可能性。

1.监管沙盒的产生背景

随着数字经济时代的到来，金融与科技融合发展成为全球金融创新的新一轮热点以及未来金融业竞争的重要领域，各类新兴金融服务和产品如虚拟货币、智能投顾等不断涌现，通过为社会降低金融领域进入门槛与成本，有力地推动了经济发展、提升了民众生活便利度。但与此同时，和传统金融模式相比，金融科技创新亦带来了大量的新风险，其中一些系统性风险更加引人担忧，最主要的即是消费者权益难以得到有效保障。尽管有些国家也针对借助金融科技创新形成的一些细分行业开展积极的立法行动，但是金融科技细分领域产生和分化组合的速度极快，法律面对这种变动不居的形势其滞后性至为明显。另一方面，法律的滞后性也导致金融科技创新的合法性风险大增，需要新的监管模式以鼓励金融科技的突破性发展。

鉴于金融科技的快速迭代更新与传统金融监管模式之间的矛盾日渐突出，如何兼顾科技创新和风险防范，成为各国金融监管领域凸显的难点问题。在探索适应金融科技发展的新金融监管模式过程中，技术手段尤其是信息技术在金融市场监管方面的使用受到重视。其中，英国金融行为监管局（FCA）在2015年首次提出并于2016年开始推行的“监管沙盒”（Regulatory Sandbox）在金融科技领域的控制风险和鼓励创新方面体现出了巨大的参考意义，因而备受瞩目。其在国际上也受到广泛欢迎，新加坡、中国香港和澳大利亚等多个国家和地区纷纷根据本地实际情况加以效仿。有研究者甚至认为，监管沙盒可能会是支撑监管科技3.0版本的最好方式。

2.监管沙盒的运作机制

“沙盒”（Sandbox）本是计算机领域的专业术语，即提供一个被监视和控制的具备真实数据环境条件的试验环境，当未知来源有恶意嫌疑的程序试图访问计算机系统时，先让它在沙盒中进行安全性测试，而由于沙盒具备事先预设的安全隔离措施，所以即便程序被检测出具备恶意性也不会波及计算机系统和数据，使后者依旧保持最初干净未被感染状态。按照英国金融行为监管局的定义，监管沙盒提供了一个具备真实市场环境条件的“安全空间”（Safe Space），以供金融企业在现行监管法规相关限制豁免的前提下测试自己的金融产品运行情况；金融监管部门则对测试过程进行监控，并根据测试结果决定是否批准金融企业的被测试产品上市。英国监管沙盒测试流程分申请、测试和退出三个阶段：

监管沙盒的准入标准较为宽松，没有过多限制申请者从事的业务类型或规模，涉及广泛的产品和行业，包容性较强。在申请人提交包含企业基本信息和拟测试项目相关信息的申请书后，金融行为监管局根据企业前景、创新性、消费者权益、沙盒需求度、申请者前期准备程度5项标准进行评估（每项标准的判断都有积极和消极指标以供参照），决定是否准许申请者进入沙盒。若申请者获得许可，金融行为监管局同时会指派监管专员与之进行后续协商沟通，以确定具体的测试方案，内容包括测试目标、参与人数、成功标准、潜在风险以及消费者保护措施等。测试方案审批通过后即可进入测试阶段，此过程大约需要10周。此外，在汲取最开始两期沙盒实践经验的基础上，英国金融行为监管局对申请者增加了4点要求，以敦促其做好前期准备，提升沙盒测试的流畅度：一是申请者若需外包技术提供商等合作伙伴配合，应事先自行寻找并确定合同；二是申请者须在英国注册或取得授权，且在英国境内的总部及员工皆须达致一定规模；三是申请者须拥有英国银行账户；四是若申请者要申请沙盒测试期间的限制性授权，建议仔细阅读相关规范文件以准备资料提交。

在测试开始后，测试项目会受到金融监管局的全程监控，测试时长一般是三至六个月。企业需要每周向监管专员提交一次报告，说明测试的关键节点、重要状况和风险控制等情况，具体报告标准依据测试内容单独制定。测试期间若有违规现象，或者未能按期报告，金融监管局将强行终止测试过程。监管沙盒针对不同的监管对象配备了不同的监管工具，其本质就是有限度地放松监管：对于此前未授权企业，金融行为监管局设置限制性许可授权牌照，企业可以在授权范围内进行测试活动；对于已授权企业，金融行为监管局则会出具无执行措施函（NALs：no enforcement action letters）、单独指导（IG：individual guidance）以及实行豁免（waivers）。在测试完毕后，测试企业需要在四周内向金融行为监管局提交报告，并与金融监管局商议下一步计划，通常会有三种后果：企业测试结果较为圆满，则金融监管局授予其牌照，准许测试项目进入市场；企业若认为有进一步测试的必要，则选择继续参加下一轮测试；测试结果不太理想，企业无法获得牌照授予因而放弃此项目，或者对项目进行部分修改从而适应其他牌照要求甚或不需要牌照。

3.监管沙盒的特性

传统监管模式一般是待新金融产品面世乃至于造成严重危害后果后再行研究监管策略以及立法行动，监管者发起监管时已然处于某种程度的风险不可控情境，复因对于金融科技创新产品缺乏了解，而实施监管又依单方面主观意志而行，结果就是监管权的不对称性及监管效果不佳，要么一刀切式过度禁止扼杀了创新，要么考虑不周致使被监管者利用漏洞阳奉阴违；而即便一时通过立法出台较为完善的监管方案，但由于文字和概念外延的有限性，也最终无法应对金融科技的快速变迁而显示出滞后性。与被动、静态的传统监管理念不同，监管沙盒则秉持动态、合作的监管理念。通过对企业在沙盒中的创新产品测试进行全程实时监督和动态评估，以及与企业进行各种沟通协作，监管者能够在新产品上市前就对它的金融本质模式和理念、可能引发的风险以及具体操作手法等实际情况乃至金融科技行业的整体发展动态具备较为充分的认知，这可以为新产品上市审批以及上市后监管政策的制定累计更多的基础性经验，指明更加有针对性的视角和方向，从而把控风险，降低监管成本。

金融科技创新产品往往相对于传统金融业态和范式有较为重大的变革，其突破既有监管框架的概率较大，这导致创新产品的合法性成本以及企业融资难度的增加。监管沙盒为获准进入企业提供有限度豁免，企业在测试中与监管当局沟通以获得针对性指导，更加深入了解产品风险问题以及如何适应监管框架，加上监管当局亦有可能通过观察沙盒测试发现既有监管规则的瑕疵进而改进，这些都降低了企业的合规成本，缩短了产品面世的时间。监管的确定性是投资者进行投资时的重要参考因素，企业获准进入官方机构开展的监管沙盒项目，以及在沙盒测试中获得有限豁免和授权，这些都向外界传达了一定程度的监管方认可，提供更多确定性，从而安抚潜在投资者与合作伙伴，提升他们的信任度，为企业吸引更多的持续投资。此外，监管沙盒企业测试提供了真实市场环境条件，相当于一个试错平台，企业能根据反馈评估新产品对消费者的吸引力、商业可行性以及潜在的问题，在产品面世前改进调整业务模式，适应消费者需求，从而降低产品推出的成本，亦能提升产品在面世后的市场接纳度。

监管沙盒将保护消费者合法权益列为主要目标，且拓宽了消费者保护的内涵，由过去以防范和补救消费者合法权益受到侵害为目的的“防御型”保护范式向促进消费者利益增加的“进取型”保护范式转变。前已论及，消费者利益即创新思路能否给消费者带来可观的盈利是沙盒准入标准之一，其积极指标包括直接或间接提高交易质量、识别减少消费者风险或有效促进市场竞争。针对参与测试的消费者，企业必须告知测试具体情形、潜在风险以及补偿方案等相关重要事项，只有取得其明确同意才可将之纳入测试，充分保障其知情权和同意权；参与测试的消费者与其他客户享有同等权利，可以向企业及监管方投诉，确保其公平交易权；企业必须事先制定退出计划，确保随时可以关闭测试，尽量降低消费者权益损害，测试失败后消费者仍可享有包括投资损失在内的一切损失的补偿。

（三）

“监管沙盒”规制个人信息处理的路径

监管沙盒的本质特性在于同时应对和平衡消费者权益保护与金融科技创新的需求。在金融科技大规模应用的金融市场中，金融消费者的有限理性无法应对合同条款过于复杂以及金融机构财务状况难以判断这两种信息不对称，金融消费者若要掌握金融科技创新产品的内在商业模式、收益率或者风险概率等真实信息，往往要付出巨大的成本。金融科技创新更迭频率与传统金融市场产品更新速率不是一个数量级，对于金融科技企业而言，产品更新速度是决定市场占有份额的生命线。如此迫切的创新需求一方面使得企业盲目投入资源大干快上地进行产品开发，产品往往只有形式上的创新而缺乏消费者利益的实质提升，其市场适配性的缺乏导致企业亏损，风险控制不力更是极易损害消费者利益乃至引发社会公共危机；另一方面亦衬托出传统事后监管模式的滞后性，金融科技创新产品的合法性风险与成本大增，拖慢了创新的速率，甚至影响初创企业的融资与后续发展。监管沙盒为企业提供的真实市场条件测试则帮助消费者筛选出了真正具备创新性也即真正有助于促进消费者利益的金融科技创新产品，弥补了消费者能力上的相对弱势和有限理性，贯彻分配正义。而企业借助有限豁免前提下的沙盒测试获得了产品尝试的机会，能够检验产品的市场前景、发现潜在问题并及时改正，以及通过与监管方商议合作来共同探索如何使得产品更好适应监管框架，从而加快新产品推出的效率以及提升其质量。

如前文所述，在大数据时代，我国“知情-同意”个人信息保护模式面临如下治理难题：①对于个人信息处理者事前告知的个人信息处理相关重要事项，个人信息主体因自身知识经验积累有限而无法全面理解，或因思维惰性而忽视，由此对于其个人信息处理的同意往往建立在无法理性判断得失以及风险的基础上；②个人信息处理者往往以提供个人信息主体需要的服务作为换取个人信息处理同意的筹码，个人信息主体即便清楚个中利害也不得不违心同意，实质上缺乏自主选择权；③大数据技术运用强调实时、动态数据收集，这与个人信息处理者在事前告知个人信息主体相关重要事项并取得其单独同意后再行收集处理个人信息的法律要求极易产生冲突。这些治理难题即个人信息权益保护与大数据技术创新进步之间的矛盾，这恰好符合监管沙盒所针对的目标，即为创新和消费者权益保护这对矛盾的消化吸收提供一个独立、可试错的场所，实现双方利益均衡。此外，我国也已经有了一些由地方政府主导的关于监管沙盒的实践，如2017年贵州贵阳、江西赣州启动的区块链监管沙盒，这可以为我国个人信息保护方面引入监管沙盒提供参照性经验。

因此，在个人信息保护中引入监管沙盒的思路如下：个人信息主体运用大数据技术进行个人信息收集处理时，必须在事前进入沙盒进行个人信息处理方案测试，重点考察其个人信息权益损害风险问题，如若测试结果显示个人信息权益损害风险足够低，则允许此个人信息处理方案实施，同时免除其事前告知和取得个人信息主体同意的义务。而此种情况下若是在实施后仍然出现了个人信息权益损害事件，则对个人信息主体加重处罚和赔偿。这种思路本质上是由国家监管方替代个人信息主体在个人信息处理法律关系中进行判断和决策，以弥补个人信息主体自身理性的不足。在监管沙盒中，监管方是实时全程监控个人信息处理方案在真实市场环境之下的运作，相对于个人信息主体临时性的接触，其对于个人信息处理方案的了解必然更加深入和完整。此外，个人信息保护法中各项个人信息权利，系属我国民法典层次人格权所衍生之各种请求权，即便由监管方替代个人信息主体判断决策，亦不能限缩个人信息主体受保护之范围，亦即对个人信息主体权益之保障，并不得因配合大数据技术使用而有所减损。所以个人信息处理之责任必须加诸个人信息处理者身上，即便通过沙盒测试获准实施个人信息处理方案，若事后仍发现有损于个人信息权益时，则应加重负担相关赔偿与法律责任。

结语

从本质上看，监管沙盒就是监管者为促进金融创新、降低风险并保护金融消费者而创建的一个监管框架。在此框架中，监管者在保护消费者权益、严防风险外溢的前提下，通过主动合理地放宽监管规定，减少金融科技创新的规则障碍，以鼓励更多的金融机构积极主动地将创新方案由想法变成现实，实现金融科技创新与有效防范风险的双赢局面。在个人信息保护领域也借鉴这一监管方法，在监管沙盒中对大数据技术产品进行测试，既实现了政府的弹性监管，促进了政府与监管对象之间的合作，同时也保护了个人信息主体的个人信息权益，防范了权益侵害风险。个人有限理性和日益新颖、层出不穷的大数据技术对我国传统个人信息保护模式构成了很大的挑战。监管沙盒的出现促使我们去进一步思考个人信息保护理念的转变、监管策略的转型。