20世纪70年代，为了回应计算机数据库处理个人信息时伴生的问题，公平信息实践应运而生。对公平信息实践的演化和全球各个版本公平信息实践的原则进行总结，可以发现公平信息实践确立了以个人信息赋权与施加信息控制者责任的进路。但强化个人信息赋权、对信息控制者施加某些责任，可能导致无法恰当利用与保护个人信息。对此，中国人民大学法学院丁晓东副教授在《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》一文中对公平信息实践进行了介绍、总结和反思，并提出了新版本的公平信息实践。

公平信息实践的关键之一是赋予个体以隐私自我管理的权利，即让公民个体选择是否允许信息收集者收集其个人信息。那么，是否可以说，法律对个人信息赋权程度越高越好？答案并非如此简单。

首先，强化个体信息赋权，个体不一定能够合理地保护自身权益。就个体控制自身信息的手段而言，个体在面对信息收集者收集个人信息时经常遇到的就是“告知-选择（notice－choice）”框架，即面对网站等信息收集者的告知而选择同意或拒绝其个人信息被收集。但这一框架愈来愈陷于形式主义和异化的困境，表现在：面对网站的隐私公告，个体往往难以理解网站的隐私公告的专业性；个体没有足够的时间阅读此类枯燥的隐私公告；个体对于隐私公告中的相关风险往往缺乏足够的辨识和警觉。简言之，人们几乎很少真正阅读隐私公告。因此，“告知－选择”框架虽然看似赋予了个体以选择的权利，但这种格式化的隐私公告其实并不能真正发挥公告或意思表示的功能。

其次，进一步赋予公民以限制处理权等权利也未必能很好地保护公民的权益。赋予公民被遗忘权、限制处理权等权利意在克服个体在行使初始同意后对其信息的进一步控制。但在实践中，由于公民个体很难理解其信息如何被储存、使用和转移，从而也就很难对后续的种种信息处理行为进行控制。

从企业与政府等信息收集者与处理者的角度来看，只要其通过隐私公告获取了个体同意，并且满足信息使用与处理过程中的个体投诉，那么信息控制者就可以规避法律的风险。至于信息控制者在个人信息的收集、储存、使用与流转过程中是否真正考虑到了个人信息泄露与滥用的风险，并不一定能够成为信息控制者的首要关注点。

最后，强化个体赋权可能导致个体无法获取有效服务、制定良好公共政策、实现合理信息流通。就企业而言，在缺乏有效个人信息的情形下，企业就不可能有效地为个体提供可能满足其需求的供给，个体则可能会因为缺乏推荐而付出更高的价格。就政府而言，缺乏个人信息与相关数据的汇集，政府就很难制定有效的公共政策，甚至可能会因为相关数据的缺乏而导致治理的失败。就社会而言，缺乏个人信息的合理流通，社会就不可能进行有效交流，形成合理有效的社会规范。

强化个体信息赋权之所以存在以上种种问题，关键在于相关机构在信息与科技时代，对个人信息的收集、储存与流通已经大大超出了普通公民的个体预期，一个普通公民个体已经很难对伴随信息流通的风险进行预判。当然，这并不意味着对个体进行信息赋权就是错误或无效的，当某些种类的权利建立在公民对于相关风险的合理认知之上时，特别是当此类信息赋权不会影响国家的公共政策与社会的信息合理流通时，信息赋权将能够帮助公民个体更好地进行隐私权益的自我管理，预判和防范有关风险。个体信息的赋权应当以确保信息的合理流通为目标，兼顾个体对于其信息流通的预期与社会对于信息流通的预期。

公平信息实践的另一核心是对信息控制者——或者说信息收集者与处理者——施加责任。在大数据已经广泛运用的今天，有的责任不太符合信息合理运用与保护的基本原理。

以“目的限定”原则为例，目的限定原则的基本要求在于个人信息的收集应当具有具体的、清晰的和正当的目的，即只能在信息收集时明确其收集目的，并且获得个人的授权，个人信息收集不能超出此边界。“目的限定”原则的这一规定在前大数据时代有其较强的合理性，那时，信息或数据往往是孤立的，对于数据价值的运用往往通过抽样或单项数据的分析来完成。但在大数据时代，信息或数据的打通使用价值已经非常明显，如果严格按照“目的限定”原则来要求收集数据，那么信息或数据就会成为一个个孤岛，并不能集合起来发挥大数据的价值。

可见，在大数据时代，个人信息或数据的价值恰巧在于数据的二次甚至是多次挖掘，而数据的二次或多次挖掘又依赖于数据的海量汇集与沉淀。通过对海量沉淀的个人信息的二次或多次使用，大数据可以发现隐藏在这些孤立的数据背后的商业价值与公共性价值。

如何既合理地使用个人信息，发挥大数据的价值与潜力，又保护个人信息在大数据时代不被滥用？舍恩伯格在其著作中提出了若干范式转换，其中之一即是“从个人许可到让数据使用者承担责任”。此外，从信息控制者责任的角度来看，需要强化信息控制者的风险防范规则，确立基于风险防范的个人信息使用规则。在基于风险预防与避免伤害的指引下，数据使用者与公民个体都能得到最大的利益保护：数据的使用者将“无须再取得个人的明确同意，就可以对个人数据进行二次利用。相反地，数据使用者也要为敷衍了事的评测和不达标准的保护措施承担法律责任。

公平信息实践的某些版本和某些基于公平信息实践的立法可能不符合大数据时代个人信息的合理利用与保护。究其原因，在于某些版本的公平信息实践将个体信息自决逻辑推导至极端，而且忽视了个人信息可能具有的流通价值与公共性价值。

因此，公平信息实践有必要把自身从强化个体信息自觉与对个体信息的静态化保护中解放出来，在认可个体信息流通价值与公共性价值的前提下保护个人隐私权益与相关利益，消除相关风险。具体而言，一方面，公平信息实践应当建立在个体的合理预期基础之上，有限度地赋予公民以相关信息权利，避免信息权利的泛化与极端化。另一方面，公平信息实践应当以促进信息的合理流通与使用，促进包括公民个体在内的公共利益为最终目标。同时，伴随着个人信息的收集、使用与流转的风险日益剧增和难以察觉，信息的收集者与处理者也应当承担更多的风险预防责任，而非仅仅致力于形式主义的合规。

基于以上分析，本文在此尝试提出一个更为符合大数据时代特征的公平信息实践版本：

（一）个体合理预期

个人信息的收集、处理与流转应当符合个体的合理预期，尤其是在不涉及公共利益的情形下，当个人信息的收集、处理与流转超出一个社会中正常理性个体的合理预期时，个人信息的收集者或处理者必须对个体进行显著告知，确保个体理解伴随此类收集与处理的风险，并且在此类情形中获得个体的明确授权。

（二）访问权、纠正权与删除权

对于未进入公共领域的信息和不涉及公共利益的个人信息，公民个体对其信息具有访问权、纠正权与删除权。对于进入公共领域的信息和涉及公共利益的个人信息，公民个体的访问权、纠正权与删除权将受到相关限制。

（三）合理使用与流通

个人信息的收集不应当妨碍社会信息的合理使用与合理流通，当个人信息的收集与使用超出个体合理预期但符合社会公共利益时，应当优先考虑社会公共利益，在考虑社会公共利益的前提下限定个人信息的收集与使用。

（四）消费者利益与公共利益优先

个人信息的收集与利用应当以促进社会的整体利益为基础。商业领域的个人信息应当以促进服务的提升和更好满足消费者为目的，避免利用个人信息来无限度榨取消费者剩余；政府对于个人信息的利用应当以促进服务公民与提升公共政策制定为目的。

（五）风险预防

个人信息的收集者与处理者应当采取恰当的措施来防范伴随个人信息收集、储存、处理与流转的风险。此类措施应当包括但不限于风险评估、风险预警、分类保护、泄露告知等措施。

丁晓东：《马的法律：网络空间可以教给我们什么》导读 | 实录

姚志伟：网络服务提供者公法审查义务困境之破解 | 前沿