谢宜璋：卡-梅框架下个人信息的分类及规制路径-妙文共赏-中国法学创新网

作者简介：谢宜璋，上海交通大学凯原法学院知识产权法专业博士研究生

内容提要：运用卡-梅框架提供的理论工具对个人信息及其规制路径进行分类是一种更充分且更符合问题本质的个人信息保护探讨路径，既能够维护个人信息的内在同质性，又能够更清晰地展现不同场景下个人信息的利益保护诉求和处理规则。卡-梅框架下个人信息的规制路径分为以隐私权保护为主的禁易规则，以公共利益为主要考量的责任规则以及以市场为导向的财产规则。《个人信息保护法》的制定旨在初步实现我国个人信息保护的体系化。在这一背景下，《个人信息保护法（草案）》应根据不同规则项下的利益诉求，对相关条文进行完善。

关键词：卡-梅框架；个人信息；规制路径；《个人信息保护法（草案）》

一、引言

在信息化时代，个人信息不仅只具有主体标识的功能，更是数据要素社会化利用的基础性资源。2020年4月9日，国务院发布《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》，明确指出要加快培育数据要素市场，提升社会数据资源价值。个人信息正以前所未有的方式对社会变革发挥着决定性作用。2021年4月29日，《个人信息保护法（草案）》（以下简称《个保法（草案）》）二审稿在一审稿的基础上进行了多处修订并全文公布，向社会公开征求意见，既表明了我国对个人信息保护立法的持续关注与重视，也再次凸显个人信息保护在当今社会的重要性与急迫性。个人信息是互联网时代社会的基础性资源，若不能对个人信息的定位、保护利益和保护方式进行明晰，则难以在个人信息的基础上对数据财产权、个人信息权等发展维度作出全面的判断。鉴于此，本文拟运用以法律经济学为出发视角的“卡-梅框架”界定不同场景下个人信息的定义及边界，厘清个人信息的多重法益衡量标准及不同类型个人信息利用的规制路径，以此为个人信息保护问题提供一个新的视角与补充，并对《个人信息保护法》的制定献计献策。

二、个人信息的保护争论及法律现状

信息的可资产化赋予了个人信息以新的使命与意义。从用户视角出发，个人信息涉及对用户个人基本权利的保护问题。从产业视角，个人信息更多被视为一种无形的资产深刻影响着商业主体的竞争格局，具有重要的经济利益。从国家层面考虑，个人信息的开发利用具有信息共享和流通的社会利益，与国家在数字产业中的发展息息相关。个人信息具有多重权益保护诉求，这使得个人信息的保护问题愈加棘手与复杂。

鉴于个人信息的多重法律属性，现阶段，几乎所有法学学科均从各自的视域探究个人信息的法律问题，但各学科之间、各研究者之间缺乏共同的话语体系，典型表现为使用相同的话术描述不同的个人信息内容，或对同一术语进行不同的解读。例如，从保护用户的个人利益出发，我国学者更多围绕个人信息权来展开对个人信息保护的讨论。从个人信息资产化的角度，有学者主张将个人信息整合而成的数据资源归类为单独的知识产权客体，另有观点认为应将资产化的个人信息单独成立为“数据权”，作为对世性的财产权。

而就目前立法现状而言，我国法律对个人信息的权属定性问题亦尚未有明确的立法态度，对个人信息的保护和利用规则分散于《刑法》《民法典》《网络安全法》《消费者权益保护法》《电子商务法》等法律之中。我国个人信息的法律制度和规则具有分散立法、规则不统一的制度缺陷。

鉴于此，《个人信息保护法》被各界寄予厚望，渴望通过《个人信息保护法》的颁布来明确并统一个人信息的保护问题。就即将出台的《个人信息保护法》而言，一方面，它将作为数字经济时代我国针对个人信息的专门法，在今后的法律适用上具有优先于其他法律法规的特别法地位，因此，《个人信息保护法》必须在统筹现有分散的各项个人信息保护和利用规则上，对个人信息的使用场景、利用规则、保护方式等方面都进行全面、完备地设计，以此切实解决数字经济时代的个人信息问题。另一方面，基于《个人信息保护法》在个人信息保护和利用规则上的统筹地位，《个人信息保护法》的出台还必须综合考虑公民个人信息权益保障和信息数据利用的社会发展需求。在全国人大法工委2020年10月首次公布的《关于＜中华人民共和国个人信息保护法（草案）＞的说明》中就指出，制定《个人信息保护法》的必要性就在于在保护个人信息权益的基础上，促进信息的有效利用，并推动数字经济的健康发展。该说明是对《个人信息保护法》的立法目的进行了阐释，明确了该法综合考量个人信息权益保障的用户诉求、个人信息资产化利用的商业诉求以及个人信息综合利用的社会诉求于一体的立法定位，是立法适应信息化时代变革的体现，并对《个人信息保护法》具体条文的制定具有重要的引领意义。

截至目前，我国相继公布了《个保法（草案）》的一审稿和二审稿，可以看出，《个保法（草案）》二审稿在充分汲取各界智识的基础上，更加强化了对个人信息保护的规定，相关条文较一审稿而言更为细化与完善。例如，《个保法（草案）》二审稿新增了第57条强化了对基础性互联网平台处理个人信息的义务要求，再如，在第58条新增接受委托处理个人信息的受托方的相关义务，等等。更为值得关注的是，二审稿在总则第一条删除了“保障个人信息依法有序自由流动”的内容，似旨在总则部分更为突出个人信息权益保护的基本立法定位，但这一做法可能容易导致信息数据作为社会经济效益的关注度有所降低，而使市场经营者未来面临的信息处理合规压力突增。另外，《个保法（草案）》二审稿仍有部分条文有待进一步细化和完善。比如，二审稿仍仅在第4条、第72条明确了个人信息的相关概念，主要以识别性来定义个人信息，这一规定容易导致泛在的个人信息范围。同时，二审稿在第14至19条规定了个人信息的告知同意处理原则，但尚未对不同类型个人信息的使用规制路径进行明确。承前所述，个人信息附着用户权益、经济利益和社会利益等叠加性利益，“一刀切”地将个人信息规制于统一的裁判规则之下容易导致泛在的个人信息与泛在的个人信息管理，不利于各类型个人信息的保护与发展。

由此可见，虽然《个保法（草案）》二审稿在一审稿的基础上进行了进一步修订，相关表述更为精准，适用范围也更加完整全面，但在立法定位上仍有动摇，也仍忽视了实践中不同场景下个人信息的利益属性及其内涵的不确定性，相关概念之间的界限仍然模糊。

三、卡-梅框架对个人信息保护制度的适用价值

卡-梅框架（C&M Framework）是由美国学者卡拉布雷西（Guido Calabresi）和梅拉米德（Douglas Melamed）提出，从法律后果的角度对法律规则进行逻辑分类的分析方法,其着眼点并非传统的行为模式，而是依据公民受法律保护的权益在遭受侵害时所能得到的不同法律救济进行规则上的区分，这些法律救济既可以来自公法领域，也可以来自私法领域，是包括刑事制裁、民事救济、行政处罚以及经济补偿等在内的所有救济方式。因此，卡-梅框架可以突破单纯从某一法律部门对权益保护和救济进行探讨的局限性，能够将分散在不同法律部门中的规则置于同一个框架中进行分析探讨，从而有助于厘清不同法律规则中的价值考量和保护意图。卡-梅框架的适用逻辑即在于，只要一项利益能够为法律所保护，则国家所规定的现有法律体系中必然有与之相对应的法律救济，换言之，只要受法律保护的公民权益遭到了侵害，就能在现有法律体系中找到相应的法律责任。由此，卡-梅框架根据国家对当事主体法益保护和干预程度的不同，将法律规则划分为财产规则（Property Rules）、责任规则（Liability Rules）和禁易规则（Inalienability）三类。

卡-梅框架具有两重区分标准。其一，依据法律是否允许法益的交易与转移，卡-梅框架划分出了禁易原则。所谓禁易原则，是指法律禁止双方当事人对相关法益进行转让，例如法律禁止对生命权的买卖。其二，在法律允许法益交易与转移的基础上，根据是否允许法益的自愿交易，卡-梅框架又分为财产规则和责任规则。所谓财产规则，是指法益的交易与转移必须征得法益所有者的同意并由其决定法益的交易价格，例如商业主体在市场中对产品的自由买卖。而责任规则即指法益的转移并不取决于法益所有者的同意，而是由国家设定交易价格。责任规则项下包含了意外事故等突发状况，也包括了需要特别考量公共利益的常规情况。

运用卡-梅框架分析个人信息具有其独特的价值和意义：其一，卡-梅框架根据国家干预程度的不同来划分规则类型的理念在个人信息的类型化界定中具有借鉴意义。从反证的角度而言，根据不同的法律救济途径恰恰能够反推出个人信息在市场交易时的状态，从而将不同利用场景下的个人信息严格区分开来，避免一概而论地语义扩张。其二，卡-梅框架中所谓的“法益”（Legal Entitlement）并不局限于法律所明文规定的具体权利，其包含了受法律保护的所有权利和利益。对于个人信息而言，卡-梅框架并不要求个人信息具有法律明文规定的权利，能够巧妙回避当前我国个人信息及数据权利属性缺位的立法现状。同时，卡-梅框架下的法益既能包括个人信息中所可能承载的人格权益、经济利益，也包括了信息共享需要考量的公共利益，能够将个人信息本体所叠加的三元法益都置于其框架中讨论。其三，卡-梅框架着眼于法益受到侵害时能够寻求的不同法律救济。卡-梅框架下的法律救济具有宽泛的法律含义，无论来自公法或私法，包括民事救济与刑事制裁、经济补偿与行政处罚。卡-梅框架能够将目前分散在不同法律规则中的个人信息保护整合在同一个体系内分析，有助于从更宏观、全面的角度看待个人信息的救济方式，从而检视《个保法（草案）》针对个人信息保护的制度设计是否合理与准确。

四、卡-梅框架下个人信息的分类及规制路径

承前所述，近期公布的《个保法（草案）》二审稿对于个人信息的规定仍过于泛化，容易忽视个人信息保护的不同情况。通过结合卡-梅框架下禁易规则、责任规则以及财产规则的基本内涵和适用条件，能够将个人信息适用的不同场景涵盖在同一体系下，从而更为清晰地展现不同类型个人信息的法益考量标准，划清个人信息不同利用路径的边界。将卡-梅框架投射到我国个人信息使用场景中可以发现，以交易为视角可以划分出禁易规则下的不可交易个人信息；而以自愿交易为再次划分标准，则可将流通市场中的个人信息再次细分为非自愿交易个人信息与可自愿交易个人信息。

（一）禁易规则项下的不可交易个人信息

在卡-梅框架下，不可交易个人信息是指我国明确禁止交易的信息类型。根据我国法律规定，人格权不得进行处分，无论让与、抛弃，皆不能发生任何法律效力。因此，本文所谈论的不可交易个人信息体现为具有强烈人格利益的个人信息，主要包含隐私权、姓名权等性质的内容。[13]我国《个保法（草案）》二审稿将个人信息定位为“已识别或者可识别的自然人有关的各种信息”，从定义内容来看，具有强烈人格利益的不可交易个人信息包含在我国《个保法（草案）》二审稿的个人信息含义之中。而根据我国《民法典》第111条规定，任何组织或个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。从该条文在《民法典》的编撰位置及行文表述可以看出，对该条文项下规定的个人信息依然倾向于适用人格权的保护。在这一语境下，不可交易的个人信息类型所体现的人格属性远强于财产属性，表现为一种消极的、不可让渡的权益，应以用户人格利益受到侵害的方式给予直接保护，而不应适用《个保法（草案）》二审稿中规定的“告知同意原则”，但所公布的《个保法（草案）》二审稿并未对此进行例外规定或说明。

（二）财产规则项下的可自愿交易个人信息

可自愿交易个人信息是以市场为基础的可资产化个人信息类型，适用财产规则。在财产规则项下，个人可以完全依照自身意愿与市场的相关主体就该类型信息进行交易活动，其交易基础就在于个人信息能够通过处理、加工与整合而在数字经济时代具有独特的商业价值，体现的是个人信息可商品化的财产属性。而之所以允许个人信息在市场上的交易活动，一方面在于从客观上数字经济发展使得个人信息在市场上已然具有了事实上的财产价值，这是信息化社会不可逆转的发展趋势。另一方面，个人信息的社会经济价值也必须通过信息的流通与利用才能最大程度的发挥出来，只有正视个人信息的财产属性，才能最大化地释放信息红利以促进经济社会的发展，从而使每位公民在数字经济中获利。

根据《个保法（草案）》二审稿，纳入《个人信息保护法》规制范围的可自愿交易个人信息应具有可识别性，这意味着可自愿交易个人信息仍然附着一定的人格利益。但是，需要指出的是，在可自愿交易个人信息的讨论框架下，可自愿交易个人信息应严格区别于上文所讨论的具有强烈人格色彩的不可交易个人信息概念，对于具有人格权属性的个人信息应直接以禁易规则进行保护。在财产规则项下，可自愿交易个人信息本身所承载的财产属性要远大于人格属性，或者说，可自愿交易数据本身虽具有一定的人格利益，但其人格属性并不明显，尚未达到要适用人格权路径予以保护的程度。[16]事实上，对可自愿交易个人信息所附着的人格利益而言，其立法关切在于对消费者在个人信息处理活动当中信息弱势地位的保障。在大数据时代，多环节的个人信息处理是整个个人信息（数据）商业流程的普遍现象，而消费者仅参与了最初的个人信息交易环节，无法控制并知晓后续针对该个人信息的商业使用。也正是基于此，《个保法（草案）》引入告知同意规则以弥补消费者在可自愿交易个人信息商业流转中的弱势地位。可以说，《个保法（草案）》中告知同意规则主要适用的个人信息类型即是可自愿交易个人信息。而在数字经济背景下，可自愿交易个人信息是信息自由流通市场的基础，也是自然人真正有权自主选择交易对象、交易模式和交易对价的客体，个人信息也必须通过市场的交易和流通才能发挥最大的社会经济效益。

（三）责任规则项下的非自愿交易个人信息

若仅以交易为视角将个人信息的使用划分为不可交易与可交易两种场景，虽然看似采取的是“P 与非 P”的完全列举法，但实则只集中探讨了个人信息上附着的人格利益与财产利益，而忽视了个人信息所具有的公共利益属性。随着信息技术的发展。个人信息不仅赋予了推动社会经济发展的财产效益，也能够为国家制度安排与改善社会治理所用，发挥其公共属性。对个人信息公共利益属性的考量源于公民福利与社会整体福祉的需要。例如，为防控新冠肺炎疫情的需要，我国在疫情期间实行健康码通行制度，每个公民需记录其自身的健康信息与行动轨迹，而唯有出示绿码的公民才能乘坐公共交通工具并出入公共场所。又如，新公布的《个保法（草案）》二审稿第13条第6款规定，个人信息处理者为满足公共利益而进行的新闻报道、舆论监督等行为，可以在合理范围内处理个人信息。在这一情境下，若仍适用财产规则取得每个公民的同意并由其确定交易定价，则与个人信息的公共利益属性相悖，实践中也可能导致国家部门在重大决策执行中的效率低下与裹足不前，交易成本过于高昂。因此，在公共利益的考量下，从法律救济方式的选择出发，责任规则相比较于财产规则具有更为积极的效果，也为提高社会的公共管理效率保留了更充足的空间。责任规则项下的个人信息体现为非自愿交易的个人信息，即国家部门或相关机构基于公共利益的需要，在收集或利用公民个人信息时可以不以取得该公民个人同意为前提，而是通过赋予公民请求损害赔偿的救济方式取得交易对价。由于责任规则项下公民个人信息交易具有一定的强制性，在具体适用上应严格秉持谦抑的态度，清楚地划定适用范围和边界，不可常态化和泛化。

（四）小结

“如果根本不知道路会导向何方，我们就不可能智慧地选择路径。”通过将不同保护视角下的个人信息利用规则统一置于卡-梅框架内，能够清晰地看到不同类型个人信息保护争论的缘由及演化路径。

运用卡-梅框架提供的理论工具进行分析可知，对个人信息进行分类并不是将个人信息所附着的叠加法益分割开来，而是不同场景下对个人信息的利用具有不同的利益诉求，而利益考量偏重的不同所对应的司法保护路径也并不相同。对于具有强烈隐私权色彩的个人信息应直接适用禁易规则，强调对个人隐私权等人格权利的绝对保护。而为满足公共利益的需要，基于交易成本的分析，应适用责任规则，在必要时对公民个人信息的收集利用可不以用户的同意为前提。可自愿交易个人信息是探讨个人信息可资产化市场流通与利用的个人信息类型，对该类型个人信息的处理规则应以个人信息附着的财产利益为首要考量，是充分释放信息资源红利、促进个人信息社会经济效益的基本要素。

五、卡-梅框架视野下对《个保法（草案）》的检视

（一）注意《民法典》与《个人信息保护法》的衔接

承前所述，根据个人信息的内容及表现方式，个人信息所承载的人格利益主要分为两大类：以隐私权为代表的人格权利和尚未达到人格权利高度的人格利益，由此在可识别性个人信息中划分出具有强烈人格属性的不可交易个人信息，适用人格权保护的禁易规则。

我国《民法典》第1034条第2款规定，“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护”。根据该款规定可知，隐私权保护路径与个人信息保护路径是并列关系，为根本不同的两项规制制度。以隐私权保护个人信息的最大特性即为“防御性”，以个人人格权利切实遭到损害并具有损害后果来寻求救济。而个人信息保护路径则体现为信息处理者在处理个人信息中应当履行的相应法律义务，信息处理者不履行法律义务即视为对用户个人信息权益的侵犯。因此，两条保护路径是本质不同的两套运行体系。新公布的《个保法（草案）》二审稿第29条第2款将本文所述具有强烈人格属性的不可交易个人信息定义为“敏感个人信息”，意图在第4条规定的可识别个人信息下进行种类的细分，似在回应上述《民法典》第1034条的相关规定。但详读《个保法（草案）》二审稿第30条至第32条所规定的敏感个人信息处理规则可以发现，该处理规则仍然遵循告知同意的总体原则，与《个保法（草案）》下的一般个人信息保护原则并无实质性区别，而与《民法典》的相关条文规定存在立法上的矛盾。

因此，建议《个保法（草案）》在明确区分敏感个人信息和其他可识别性个人信息的基础上，确立不同的保护规则。对于一般可识别性个人信息的保护应以自由流动、合理利用为原则。而对于具有强烈人格权属性的敏感个人信息，在法律适用上应与一般可识别性个人信息相区别，明确适用禁易规则，与《民法典》第1034条规定相衔接，避免出现请求权并存的现象。

（二）责任规则项下个人信息处理的完善

《个保法（草案）》二审稿第13条第3、4、6款是责任规则在个人信息处理规则中的确立。从条文编撰位置及行文表述可知，第13条第3、4、6款与第13条第1款所规定的“取得个人的同意”条文应为并列关系。因此，在《个保法（草案）》第13条项下，以履行法定职责或法定义务（第3款）、应对突发公共卫生事件（第4款）、为公共利益实施新闻报道及舆论监督等行为（第6款）对用户个人信息的使用并不以用户同意为前提。

基于前述卡-梅框架分析可知，在个人信息处理中设置适用责任规则的条款是基于公共利益之需要，是在特定情况下国家公民必须以让渡其个人信息权益的方式来获得对整体公民福祉以及社会总体利益的保障。在责任规则项下，以保障公共利益为目的免除了个人同意的个人信息利用要件，实质是扩张了国家政府部门的权力，侵蚀了用户所拥有的个人信息权益。因此，对个人信息处理适用责任规则的具体规定必须坚持目的限定原则，防止因国家部门权力过大而打破公权与私权（益）的平衡。具体而言，在设定个人信息责任规则条款时，应将“最小够用”原则贯穿于体现责任规则的每一项条款。目前，《个保法（草案）》二审稿主要在第二章第三节“国家机关处理个人信息的特别规定”中通过第33条至第37条对责任规则项下处理个人信息的范围、方式及限度进行了严格限定，但未从期限维度进行相关规定。基于对用户选择自由的实质影响，为公共利益所采取的特定情况下的个人信息利用措施显然不可常态化和无限期化。因此，建议在《个保法（草案）》第二章第三节的条文中增加规定，在法定职责或法定义务完成之后或应对突发紧急情况消除之后，应当对相关个人信息进行及时删除或匿名化，以此限定基于公共利益使用公民个人信息的边界，保障公民在个人信息面临侵害风险时可寻求救济的权利。

（三）财产规则下个人信息保护的应然立场

根据前述卡-梅框架分析可知，可自愿交易个人信息是信息市场流通的基础，个人信息所蕴含的财产利益是大数据时代个人信息最典型的特征。在数字经济时代，以个人信息集合所产生的“大数据”已正式成为社会的关键生产要素，对未来各国的经济社会发展起着重要作用。根据国际权威机构 Statista 的统计，2020年全球数据产生量已达到47ZB，预计将在2035年达到2142ZB 的全球数据产生量。美国于2019年12月发布《联邦数据战略与2020年行动计划》，将有效开发数据资源与促进数据的流通共享作为提升国家经济实力的重要举措。欧盟亦在2020年公布了《欧盟数据战略》，致力于通过数据流动和广泛使用以确保欧盟在未来数据经济竞争中的领先地位。

个人信息是数据产生的基本单元，对个人信息的充分挖掘和有效利用是我国应对数据时代的发展与信息化的国际竞争不可避免的关键环节。我国是信息资源大国，然而，从目前来看，我国对以个人信息为基础的数据开发与利用尚处于起步阶段，大量信息资源还没有得到充分有效的利用，信息价值还未得以充分释放。在这一阶段，如果一味强调个人信息或个人信息权益的保护问题，则可能使我国错失数字经济发展的良机。因此，当前我国对个人信息及个人信息所附着权益的保护理念也必须从保障个人信息安全的绝对立场转变为个人信息安全和个人信息可资产化交易齐头并进的相对安全立场。《个保法（草案）》一审稿在总则第1条以“保护个人信息权益，规范个人信息处理活动”与“保障个人信息依法有序自由流动，促进个人信息合理使用”的表述明确了结合数字经济背景下个人信息处理的这两个基本维度，是《个人信息保护法》结合国内国际信息化时代大背景的重要体现。然而，近期公布的《个保法（草案）》二审稿第1条删除了“保障个人信息依法有序自由流动”的表述，此处修改可能使我国在今后的数字经济发展中更倾向于严格实施个人信息权益保护的规制理念，过度强调了保护而忽视了信息自由流通的重要性，打破原有个人信息流通利用与个人信息权益保护的平衡立场。

事实上，保护个人信息权益与促进个人信息资源利用并不必然冲突，我国《个人信息保护法》完全可以通过规则设计平衡这两个维度的发展。承前所述，财产规则项下的个人信息所承载的人格利益排除了以隐私权为代表的强烈人格权利，对可自愿交易个人信息的人格利益的保护核心在于弥补消费者在个人信息交易市场中的弱势地位，保障的是与该人格利益密切相关的消费者个人的自决权益。为实现这一目的，《个保法（草案）》二审稿在第二章第14条至18条明确规定了个人信息处理的告知同意规则，要求个人信息处理者必须尽到充分的提醒与说明义务，确保个人信息拥有者在充分知情的前提下作出同意决定，这一规定可以看做是通过对个人信息处理者辅之以额外的信息义务来补足在信息交易环节中消费者的信息劣势地位。同时，为更进一步确保消费者的个人信息自决权益，在告知同意规则的基础上我国还引入了撤回制度以对消费者的个人信息安全进行双重保障，消费者可以在个人信息处理活动的各个环节作出撤回同意的决定。为此，《个保法（草案）》二审稿在一审稿的基础上对撤回制度进行了更细致化的规定，明确要求个人信息处理者提供“便捷的撤回同意方式”。可以说，《个人信息保护法》相关条文对告知同意规则与撤回制度的设计为消费者在个人信息处理活动中的信息自决提供了充分的保护基础，已然将个人信息交易风险的负担转嫁给了个人信息处理者，能够平衡消费者与信息处理者在信息交易中的地位差。由此，我国对个人信息安全的保障既有严格的人格权保护路径，又构建了以告知同意规则与撤回制度为基础的个人信息处理规则，已然充分表达了对消费者个人信息权益的立法关切。在这一基础上，《个人信息保护法》应以更为积极与坦然面对的姿态迎合数字经济时代的发展需求。从立法的必要性而言，个人信息的可资产化也正是催生《个人信息保护法》出台的重要因素。在大数据时代，个人信息的财产属性必然成为释放数据红利中最需着重考量的法益。据此，财产规则项下可自愿交易个人信息的应然立场仍应回归上述两个基本维度，即个人信息的权益保护与个人信息的社会经济效益开发。

个保法（草案）》总则第1条具有彰显立法目的和法律定位的重要功能，对今后个人信息的法律适用具有举足轻重的定性作用。因此，建议《个保法（草案）》总则第1条仍应恢复“保障个人信息依法有序自由流动”的条文表述，从而更好地平衡个人信息权益保护与个人信息流通利用的经济发展需求，促进我国数字经济的持续健康发展。

六、结语

在信息化时代，个人信息的保护问题与广大人民群众息息相关，个人信息的利用和处理也与国家在数字经济社会的发展紧密相连。《个保法（草案）》一审稿、二审稿的相继公布进一步表明了国家为适应信息化时代变革的决心和态度。可以预见，《个人信息保护法》立法之时，也是国家进行新一轮制度创新之际。为此，对《个人信息保护法》的制定更应谨慎周全。通过卡—梅框架将不同场景下的个人信息保护置于同一体系进行研究能够更为清晰地界定个人信息的定位、利益诉求及规制路径，对检视和完善当前《个保法（草案）》的相关规则具有积极意义。