廖 斯

(澳門科技大學 法學院， 澳門 999078)

隨著人類社會進入信息時代，廣泛傳播的信息無疑為人們帶來了大量的機會與財富，而在這些信息當中，公民的個人信息逐漸成為一項獨特的資源，被商業(yè)主體所收集、分析乃至利用，甚至成為了如今“大數(shù)據(jù)”分析和預(yù)測的運作基礎(chǔ)[1]。一般認為，個人信息與個人隱私密切相關(guān)，個人隱私信息被他人竊取，可能影響信息主體的正常生活，甚至造成嚴重的負面影響——如近年來發(fā)生的“徐玉玉”案、“宋振寧”案等導(dǎo)致被害人身亡的電信詐騙案件[2]。但是從另一個角度來看，個人信息因商業(yè)行為被收集與利用，使其具備成為商業(yè)秘密而受法律的保護與規(guī)制之可能，且目前學術(shù)界與實務(wù)界均較少對此問題予以展開。究此，筆者試在我國現(xiàn)有法律制度基礎(chǔ)之上，探討個人信息的商業(yè)秘密保護理論與法律救濟。

一、學理與規(guī)范：個人信息的“可識別性”界定標準

1.對個人信息界定標準的理論探討與法律認定

(1)對“個人信息”界定標準之學理分析

探討對個人信息的保護問題，顯然不能不對“個人信息是什么”這一問題進行討論，換言之，對“個人信息”所作出之界定決定了對“個人信息”所采取的保護路徑。目前，有關(guān)專家、學者對如何界定“個人信息”各有不同，以下試列舉并分析之。

有關(guān)個人信息應(yīng)采取何種界定標準之問題備受學者們的關(guān)注。譬如，有國外學者根據(jù)克林頓政府時期成立的“美國信息基礎(chǔ)設(shè)施特別工作組”(Information Infrastructure Task Force，簡稱IITF)之“提供和使用個人信息原則”(Principles for Providing and Using Personal Information)中的定義，認為個人信息中的“個人”并非指代“敏感”或“隱私”，它所呈現(xiàn)的是該信息與特定人之間存在一種“可識別”的聯(lián)系[3]。張新寶教授則根據(jù)歐盟的《一般數(shù)據(jù)保護規(guī)則》(General Data Protection Regulation，簡稱GDPR)將個人信息表述為“與一個身份已經(jīng)被識別或者身份可以被識別的自然人相關(guān)的任何信息”，并認為個人信息與隱私“呈交叉關(guān)系”[4]；鄭成思教授在論及個人信用信息制度等問題時則認為，“姓名、住址、職業(yè)、收入狀況等與個人身份相關(guān)的信息”以及“個人的上網(wǎng)習慣、網(wǎng)上消費傾向等信息”等均具有隱私權(quán)屬性，因而個人信息與隱私權(quán)是密切相關(guān)的[5]；齊愛民教授認為個人信息是“一切可以識別本人信息的總和”[6]，并指出個人信息應(yīng)當具有實質(zhì)要素和形式要素兩方面，其中實質(zhì)要素要求個人信息應(yīng)當具有對個人的直接或間接的“識別”功能，而形式要素則要求個人信息可以被固定和處理[7]；此外，也有觀點認為基于不同的場景個人信息的邊界是動態(tài)的，界定個人信息應(yīng)當以該信息是否能直接“識別”特定個人、以及該信息是否因與特定個人“關(guān)聯(lián)”為界定標準[8]。

盡管各學者表述內(nèi)容與角度不一，但上述觀點大多認為，特定信息與個人之間具有一座“橋梁”即“可識別性”，“可識別性”使得個人信息的接觸者能夠快速且精準地尋找到該個人信息的來源者，并因此而使得個人信息的持有與利用具備現(xiàn)實價值。由此可見，“可識別性”是個人信息的重要性質(zhì)與特征，其作為個人信息的界定標準并無太大異議，這一界定標準也事實上成為我國法律定義“個人信息”的理論基礎(chǔ)。

(2)相關(guān)法律對個人信息的界定

基于理論研究成果以及現(xiàn)實需要，我國分別于2012年、2016年和2017年相繼發(fā)布或出臺了《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》(以下簡稱《網(wǎng)絡(luò)信息保護決定》)、《網(wǎng)絡(luò)安全法》與《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《個人信息刑法解釋》)，上述法律文件對個人信息進行了明確的界定。

《網(wǎng)絡(luò)信息保護決定》在第一條中明確規(guī)定個人信息為“能夠識別公民個人身份和涉及公民個人隱私的電子信息”；而隨后的《網(wǎng)絡(luò)安全法》則將個人信息界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”；《個人信息刑法解釋》從侵犯公民個人信息罪的角度對“個人信息”進行了刑法意義上的界定，即：“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等?！雹偕鲜隹梢?，這三項法律文件與相關(guān)學者的觀點一致，借鑒了國外相關(guān)立法的內(nèi)容，均將“可識別性”作為個人信息的認定標準。

2.個人信息的“可識別性”與個人隱私

由前述可見，對個人信息的利用是否與隱私權(quán)的保護存在必然聯(lián)系，有關(guān)學者之觀點并不一致，而有關(guān)法律也并未對這一問題給出明確認定。筆者認為，上述問題事實上涉及對個人信息利用行為的法律性質(zhì)問題——即是“侵害個人財產(chǎn)權(quán)利”抑或“侵害個人隱私權(quán)利”，直接影響被侵權(quán)人的請求權(quán)基礎(chǔ)以及所采取的法律救濟途徑，因此，對個人信息的“可識別性”與個人隱私權(quán)的關(guān)系問題應(yīng)當予以厘清。

隱私權(quán)屬于人格權(quán)的范疇，其保護的客體系個人隱私，包括任何與個人有關(guān)的、不愿意讓他人知曉或者他人不便知曉的一切信息，由這一角度來看，個人隱私客觀上是包含了部分“個人信息”的內(nèi)容，甚至在個人不愿意透露其個人信息的情況下，該個人信息即符合法律之定義而被認定為“隱私”之內(nèi)容；再者，含有隱私的個人信息之最終來源在于個人(自然人)，其所具有的“可識別性”亦對個人的身份具有指向性，因此，上述有關(guān)個人信息與隱私權(quán)密不可分的觀點似有其道理。

然而，筆者分析認為，上述觀點值得商榷：其一，就個人信息本身而言，個人信息仍然并不完全與個人隱私相等同，前者屬于具有“可識別性”的身份信息，既有屬于后者之范疇的、可稱之為“隱私”的信息，也有不屬于他人不便知曉的、可用于公之于眾的信息。其二，隱私權(quán)及其有關(guān)制度是對他人利用涉及隱私的個人信息之絕對禁止，是對個人希望排除他人侵擾自己私生活領(lǐng)域的尊重，換言之，隱私作為一種人格上的絕對利益，并不具有可以被他人使用之可能；而不涉及隱私的個人信息本身并不被絕對地禁止使用，事實上，這類個人信息存在被合法使用的可能，譬如個人信息的來源方與使用方達成使用個人信息的一致意思表示等，這種對個人信息的使用具有財產(chǎn)屬性，是個人為獲取其他有關(guān)經(jīng)濟利益所交付的對價。

總結(jié)而言，“可識別性”是個人信息得以使用的前提，但這種使用絕不是對隱私信息的使用，因為隱私本身從性質(zhì)上即不存在被使用的可能。此外，個人信息與個人隱私之間應(yīng)當是交叉關(guān)系，對個人信息的利用行為與隱私權(quán)對個人隱私的保護不具有同一性，對個人信息及其使用的保護應(yīng)當區(qū)分其使用性質(zhì)上的財產(chǎn)權(quán)屬性和人格權(quán)屬性，據(jù)此，本文所探討的對個人信息及其使用行為顯然是財產(chǎn)權(quán)意義上的。

二、現(xiàn)狀與困境：對個人信息使用行為的現(xiàn)有保護局限

1.刑事法律與行政規(guī)制之公權(quán)救濟方式及其局限

個人信息在互聯(lián)網(wǎng)時代所帶來的“商機”已大大超過個人信息所應(yīng)當獲得的法律保護，這已成為世界性的難題與挑戰(zhàn)。對個人信息的任意使用——如撥打騷擾電話、發(fā)送廣告信息等——不僅僅對人們的日常生活帶來了困擾，實際上還對整個市場的信息資訊傳播造成不良影響。目前，我國對個人信息的公權(quán)力保護方式——包括刑事法保護以及與網(wǎng)絡(luò)相關(guān)的特別法保護方式已有所完善，以下試列舉之。

(1)刑事法律救濟方式

我國于2009年頒布了《刑法修正案(七)》，在該修正案的第七條中明確將特定主體在公務(wù)或服務(wù)過程中收集的個人信息出售，或者非法提供給他人、竊取或者以其他方法非法獲取個人信息等情節(jié)嚴重的行為規(guī)定為犯罪；2015年，我國出臺了《刑法修正案(九)》，其中的第十七條則在《刑法修正案(七)》第七條的基礎(chǔ)上整合成了“侵犯公民個人信息罪”，拓寬了犯罪主體之范圍，也加大了對相應(yīng)犯罪行為的處罰力度；此后出臺的《個人信息刑法解釋》則對“個人信息”作出了刑法意義上的定義。

(2)與網(wǎng)絡(luò)有關(guān)的特別法救濟方式

近年來，隨著我國互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展，與之相關(guān)的立法工作也取得了許多重要的效果。如前述提及的《網(wǎng)絡(luò)信息保護決定》和2016年頒布的《網(wǎng)絡(luò)安全法》。事實上，上述特別法對個人信息的保護方式主要為行政保護手段。譬如，《網(wǎng)絡(luò)信息保護決定》為網(wǎng)絡(luò)服務(wù)提供者設(shè)定了的諸如說明、保護和協(xié)查等義務(wù)，這些義務(wù)的設(shè)立是為了有關(guān)行政機關(guān)得以行政手段對其進行管理與規(guī)制[9]；《網(wǎng)絡(luò)安全法》中對于網(wǎng)絡(luò)服務(wù)提供商侵害個人信息的法律責任之規(guī)定也主要以行政責任為主，對于其所應(yīng)承擔的民事責任、刑事責任等則主要以指示性法律規(guī)范之形式存在。

上述兩種保護方式，給個人信息使用行為劃定了主要的刑事與行政規(guī)制邊界，其中，通過與網(wǎng)絡(luò)有關(guān)的特別法保護方式也可以大大提高個人信息使用行為的規(guī)范性。但局限之處也較為明顯：其一，上述刑事法律或特別法專注于對個人信息的刑事法律規(guī)制與行政救濟措施，而對民事救濟方式并未予以明確規(guī)定，這顯然是不利于個體維護其私權(quán)利益的；其二，通過與網(wǎng)絡(luò)有關(guān)的特別法對個人信息使用行為的保護雖有其特定的意義，但應(yīng)當承認，個人信息終究體現(xiàn)的是對人的識別，從邏輯上看，這種對人的識別并不以互聯(lián)網(wǎng)為限，因此，上述與網(wǎng)絡(luò)有關(guān)之特別法無法適用于網(wǎng)絡(luò)環(huán)境以外的個人信息使用行為，也不宜對該特別法的有關(guān)內(nèi)容進行擴大解釋而使之適用于網(wǎng)絡(luò)之外的個人信息使用行為，否則將可能會對正在制定中的“個人信息保護法”造成影響、對其立法空間造成擠壓[10]。

2.隱私權(quán)與“個人信息權(quán)”之私權(quán)救濟方式及其局限

在《民法總則》頒行之前，我國對個人信息保護的民事法律救濟主要限于隱私權(quán)之范圍。然而，限于社會的現(xiàn)實與特定的發(fā)展時代，我國1986年《民法通則》以及1988年《最高人民法院關(guān)于貫徹執(zhí)行<中華人民共和國民法通則>若干問題的意見》(以下簡稱《民通意見》)②均未明確對隱私權(quán)的保護加以規(guī)定；直至2009年出臺的《侵權(quán)責任法》即在第二條的適用范圍中將隱私權(quán)納入③。

新頒布的《民法總則》在第一百一十條明確規(guī)定了“隱私權(quán)”的情況下，還在第一百一十一條明確將“自然人的個人信息”列入民法保護的對象，即將個人信息的財產(chǎn)利益與個人隱私的人格利益在立法上進行了分離，這是《民法總則》相較于以往的《民法通則》、《民通意見》等民事基本法律的一個重大的突破。有學者認為，《民法總則》明文禁止非法收集、使用、加工、買賣等侵犯個人信息的行為，實際上是對“個人信息權(quán)”的確認，如權(quán)利主體為自然人、內(nèi)容為收集、使用、加工行為等[11]。

上述法律似乎在一定程度上為個人信息的保護提供了民事救濟途徑。然而筆者認為，無論是通過隱私權(quán)保護還是所謂“個人信息權(quán)”的保護，這兩種保護都是有限的。一方面，如前所述，隱私權(quán)保護方式僅是對涉及隱私的個人信息予以控制，其法理特征決定了個人隱私信息屬于人格利益的范疇，不存在被使用的可能，換言之，個人信息的使用涉及的是個人財產(chǎn)利益的保護，在隱私權(quán)框架下討論個人信息的使用沒有法律意義；另一方面，就《民法總則》第一百一十一條本身而言，其并未對侵害個人信息的行為應(yīng)當承擔何種民事責任作進一步的規(guī)定，受侵害的當事人顯然無法單獨依據(jù)該條款得到民法救濟，從而成為所謂“僵尸條款”[11]，被侵權(quán)者——不能稱之為“權(quán)利人”——或?qū)⒅荒芡ㄟ^《侵權(quán)責任法》的有關(guān)立法原則進行法律解釋，將其作為獲得侵權(quán)損害賠償?shù)恼埱髾?quán)基礎(chǔ)。

總結(jié)而言，應(yīng)當承認上述現(xiàn)有法律規(guī)范對個人信息進行保護的規(guī)定——無論是公權(quán)保護方式抑或私權(quán)救濟路徑——確實為個人信息的使用行為劃定了一系列比較清晰的法律邊界，也為個人信息使用中遭遇侵害的人提供了一定的救濟方式，但是這些救濟方式均存在較大的局限性，無法對個人信息的使用行為提供有效的救濟途徑、特別是民事法律救濟途徑。

三、突破與解釋：商業(yè)秘密保護制度中的個人信息

1.無形財產(chǎn)：個人信息保護的理論突破

如上所述，現(xiàn)有制度似不能為個人信息之侵害行為提供較好的法律救濟途徑，在此情況下，有觀點認為應(yīng)當盡快制定并出臺“個人信息保護法”等相關(guān)法律法規(guī)對個人信息予以專門保護，這一觀點確有其可取之處。但是，相比于尚未有期的立法，筆者認為在現(xiàn)有制度中尋找理論突破、為個人信息的保護找到新的路徑似乎更具現(xiàn)實意義。

個人信息的“可識別性”事實上使其具備雙重價值：其一為使用價值，相比于其他信息內(nèi)容，個人信息因經(jīng)過加工與提煉從而具備了“可識別性”之特征，使用個人信息者能因此快速地與特定的一人或多人建立聯(lián)系；其二為交換價值，交換價值的形成是以使用價值為基礎(chǔ)的，為了節(jié)省在海量信息中的搜索成本，使用者得付出有關(guān)對價而獲得相關(guān)個人信息進行使用。在此邏輯之下，個人信息即是一種財產(chǎn)，而且是不具有物質(zhì)形態(tài)的無形財產(chǎn)，似可在無形財產(chǎn)權(quán)的理論框架內(nèi)找到其可適用之法律規(guī)范[12]。

在美國著名的“Feist案”④中，原告Rural公司對大量用戶的電話信息進行收集，并且在訴訟中試圖提出被告Feist公司對其所收集并排版的電話信息黃頁之版權(quán)構(gòu)成侵權(quán)。最終，美國聯(lián)邦最高法院認為僅有“額頭流汗”的勞動并不能達到使之成為作品的獨創(chuàng)性程度。實際上，該案中原告的行為即是一種獲取個人信息的行為，但原告的行為結(jié)果并不被認定為是具有獨創(chuàng)性的表達，因此，收集并獲取到的個人信息或者其集合并不能成為著作權(quán)法(版權(quán)法)保護的客體。但是，從另一個角度來看，個人信息的收集者與來源者之間事實上形成一種意思表示一致之關(guān)系，質(zhì)言之，雙方通過合同等民事法律行為使收集者合法地獲得了個人信息的使用權(quán)；進一步言之，在此前提之下，個人信息可以通過雙方之一致合意而構(gòu)成符合《反不正當競爭法》意義下的商業(yè)秘密。在此意義下，通過現(xiàn)有的商業(yè)秘密法律制度來對個人信息加以保護的思路值得探討。

2.法律解釋：個人信息可構(gòu)成商業(yè)秘密

個人信息能否適用商業(yè)秘密法律制度，其關(guān)鍵在于“個人信息”是否能被解釋為“商業(yè)秘密”。我國對商業(yè)秘密的定義在《反不正當競爭法》第九條第三款，即“不為公眾所知悉、能為權(quán)利人帶來經(jīng)濟利益、具有實用性并經(jīng)權(quán)利人采取保密措施的技術(shù)信息和經(jīng)營信息”，有關(guān)學者將這三點構(gòu)成要件總結(jié)為“未公開性”、“有價性”與“保密性”[12]。因此，個人信息是否符合商業(yè)秘密即應(yīng)結(jié)合此三點進行判斷。

(1)“可識別性”：個人信息的有價性體現(xiàn)

根據(jù)前文的分析，個人信息具有價值，是一種具有非物質(zhì)形態(tài)的無形財產(chǎn)；從現(xiàn)實來看，對個人信息的非法使用往往通過將個人信息銷售給他人以牟利[13]，因此，個人信息具備商業(yè)秘密的有價性——或稱之為“商業(yè)上的價值”——并不難理解。

個人信息承載的是可以識別個人身份的任何信息，根據(jù)個人信息的界定標準，這些信息有的與個人身份的識別相關(guān)，譬如姓名、身份證、聯(lián)系方式等；有的體現(xiàn)了個人的喜好，譬如對商品的顏色、規(guī)格選擇等；有的呈現(xiàn)了個人的活動軌跡，譬如行蹤、日程安排等。這些信息因為具備對個人身份的指向性而成為不同商業(yè)主體的需求，加之信息收集者的提煉、加工乃至通過大數(shù)據(jù)技術(shù)對個人信息進行的應(yīng)用性分析，進而使得個人信息具備經(jīng)濟利益性質(zhì)。

(2)從隱私而來：個人信息的未公開性與保密性之體現(xiàn)

如前所述，個人信息與個人隱私具有交叉關(guān)系，甚至在來源者不愿意透露的情況下，個人信息仍屬于個人隱私之范疇；那么接下來的問題便是，即便個人愿意通過訂立合同等方式將其個人信息許可或透露給信息收集者，在雙方?jīng)]有進一步約定的情況下，能否推定信息收集者取得了將該個人信息、以及包含該個人信息在內(nèi)的客戶信息公之于眾的權(quán)利？

首先，個人信息來源者(尤其是自然人，下同)與收集者之間成立的是一種具有相對性的債權(quán)關(guān)系，從個人信息來源者的角度看，其許可或透露給信息收集者的個人信息原本并不屬于可公開的信息范疇——甚至如前所述屬于隱私，因此，在沒有進一步約定的情況下，個人信息來源者所許可或透露個人信息的行為屬于對合同義務(wù)的履行，并且這種履行并不違反其禁止個人信息公之于眾的本意，個人信息收集者也不能因合同行為而取得個人信息的使用權(quán)，就推定個人信息提供者同時也將個人信息公之于眾的權(quán)利授予了自己，這一點是顯而易見的，概言之，個人信息在來源者與收集者之間的透露，絕不意味著“公之于眾”，這應(yīng)當是收集者應(yīng)當履行的合同附隨義務(wù)。因此，即便個人信息處于使用之中，也在本質(zhì)上具有“未公開性”。

其次，個人信息收集者既具有的“不公開個人信息”的合同義務(wù)，對于該義務(wù)的輕重程度問題也需要進行考察。進一步言之，這種“不公開個人信息”是僅僅要求個人信息收集者不主動公開即可，還是要達到積極排除合同外的其他人接觸到該個人信息的程度？筆者認為后者才是上述附隨義務(wù)的準確表述。個人信息收集者合法、合約地取得個人信息之時，即已有效地控制了該個人信息，其應(yīng)當以不低于個人信息提供者的注意來保護這類個人信息，換言之，個人信息的收集者有義務(wù)采取足夠的保密措施排除他人接觸到這些信息之可能，而非簡單地“不主動公開”；此外，在客觀上，為了保持收集者的商業(yè)利益或競爭優(yōu)勢，采取保密措施保護合法知悉的個人信息亦是收集者的主要任務(wù)。在此意義上，個人信息也具有保密性。

(3)利益交結(jié)：個人信息的競爭法屬性

商業(yè)秘密規(guī)定于《反不正當競爭法》中，那么對商業(yè)秘密的探討是否僅僅局限于存在“競爭關(guān)系”的雙方之中呢？答案顯然是否定的。作為規(guī)范競爭行為的法律，《反不正當競爭法》除了要規(guī)范經(jīng)營者的行為之外，其最重要的任務(wù)就是維持市場競爭、防止市場失靈，這不僅是《反不正當競爭法》明確的立法目的，也是規(guī)制市場競爭行為的必然宗旨。個人信息的提供與收集行為已然成為市場行為中不可忽視的重點，而對個人信息的使用無疑會帶來有利的競爭結(jié)果，相反，在個人信息的價值日益增加的當代社會，無視對個人信息使用行為的規(guī)范將導(dǎo)致市場失靈之狀態(tài)。在此情況下，以“個人信息即雙方的商業(yè)秘密”而對個人信息的濫用行為加以限制，是有利于市場競爭、保護市場良好競爭秩序的[14]。

綜上可見，個人信息可在來源者與收集者之間進行合法授權(quán)而客觀上可形成一種商業(yè)行為，并且個人信息符合商業(yè)秘密的有價性、未公開性與保密性等三項構(gòu)成要件，因此，個人信息可在上述條件下被認定為商業(yè)秘密，從而受到商業(yè)秘密法律制度的規(guī)制與保護。

四、規(guī)范與救濟：個人信息使用行為的商業(yè)秘密保護路徑

從邏輯上看，個人信息被非法利用的前提是個人信息為他人獲取，而獲取個人信息的方式以“個人主動提供”與“他人非法獲取”兩種方式。顯然，獲取個人信息最為直接、最為頻繁的方式顯然來自于若干個人(即個人信息的來源者)與日常的相關(guān)商業(yè)主體(亦即個人信息的收集者)所形成的法律關(guān)系。

有調(diào)查表明，僅16.5%的受訪者會主動采取防范措施以避免提供個人的隱私信息，高達66.9%的受訪者并不知道其個人信息會被有關(guān)企業(yè)應(yīng)用；此外，有66.1%的受訪者對于企業(yè)應(yīng)用其個人信息的行為表示“很介意”，但是只有5.7%的受訪者會采取訴訟等法律途徑來維護自己的權(quán)益，在這其中，“訴訟成本大”、“即便有勝算，也很難獲得相應(yīng)的補償”等問題是絕大部分受訪者不選擇訴訟維權(quán)的原因[15]。筆者認為，以上的數(shù)據(jù)帶來了兩個問題：其一，將個人信息“交付”給企業(yè)的行為，這種“交付”的實質(zhì)是什么？其二，根據(jù)現(xiàn)行商業(yè)秘密保護制度，應(yīng)當如何合理而有效地對個人信息的使用行為進行保護、提供救濟？以下，筆者試對其分別論述。

1.授權(quán)許可：規(guī)范個人信息使用行為的必要前提

從“高達66.9%的受訪者并不知道其個人信息會被有關(guān)企業(yè)應(yīng)用”這一點來看，人們在將個人信息交付于有關(guān)企業(yè)時，如無特別提示或約定，其在主觀上僅會認為這種“提供個人信息”的行為只會產(chǎn)生有關(guān)企業(yè)“接觸”或“收集”其個人信息的后果；相反，對個人信息的使用則意味著有關(guān)企業(yè)所獲得的個人信息不僅限于“接觸”，而是在于對個人信息進行“二次利用”(如作定點宣傳、推廣甚至銷售給他人)[16]。

從現(xiàn)實情況來看，企業(yè)等相關(guān)信息收集者對個人信息的“收集”顯然是出于“二次利用”或“商業(yè)利用”的目的。但是，人們主動提供個人信息在本質(zhì)上是希望獲得更好的服務(wù)或產(chǎn)品待遇[15]⑤，而非受到他人對其造成的干擾或?qū)ζ湓斐山?jīng)濟損失。鄭成思教授在論及個人信用信息的保護時認為，對個人信息的保護不僅應(yīng)保障個人信息本身不受非法利用等的侵害，更應(yīng)包括個人“自行決定在何時、何地、以何種方式與外界溝通個人信息”的支配性權(quán)利[5]。這種“權(quán)利”之說進一步表明，個人信息應(yīng)當受到個人的控制，這種控制手段便是讓個人享有排除他人未經(jīng)許可地“使用”自己個人信息的權(quán)利。

此外，從權(quán)利內(nèi)容上看，有關(guān)制度對于商業(yè)秘密權(quán)的設(shè)置并非在于使有關(guān)權(quán)利人能夠使用其商業(yè)秘密，而在于排除他人擅自使用其商業(yè)秘密。在這一點上，對個人信息的保護首先恰恰在于排除他人的非法使用——無論是使用個人信息獲利還是對個人造成侵擾。

2.救濟路徑：商業(yè)秘密保護與舉證責任分擔

需要強調(diào)的是，筆者認同在本文第二部分中分析過的、對個人信息的刑事、行政及專門法保護的相關(guān)制度，這些制度為個人信息設(shè)置了不同性質(zhì)的規(guī)制路徑，而且從長遠來看都是必要的，只是需要進一步論述的是個人信息的民事保護。

如前所述，《民法總則》只是對個人信息的法律地位予以認可，但尚未見其對個人信息的非法利用行為設(shè)定有效的救濟措施；與之相對，《侵權(quán)責任法》的相關(guān)法律原則僅將隱私權(quán)納入保護范圍，因個人信息受到侵害而訴諸《侵權(quán)責任法》的方式并非最好的救濟途徑。根據(jù)以上的分析可見，個人信息——無論是單項個人信息、還是由多項個人信息構(gòu)成的經(jīng)營信息⑥——客觀上均符合商業(yè)秘密的構(gòu)成要件，并且，對個人信息使用的前提是個人信息的來源者通過授權(quán)許可的方式許可收集者使用，這種使用以不公開特定個人信息為限，因此，當信息來源者有足夠的證據(jù)證明，該個人信息系因收集者原因而使得任意第三人接觸或獲得的，即應(yīng)當允許相關(guān)個人依法向信息的收集者以及接觸到該個人信息的任意第三人主張侵害商業(yè)秘密的民事責任。

值得一提的是，在實踐當中，由于人們在生活中存在大量的運用個人信息的情形，因此該個體的個人信息可能同時為若干收集者所掌握，而且接觸或獲得該個人信息的任意第三人往往不會透露其獲取個人信息的來源，要求相關(guān)個人舉證證明該第三人所掌握的個人信息之來源未免難度過大。因此，相關(guān)司法實踐中，在不違反民事訴訟法強制性規(guī)定的情況下，適當?shù)匾笊嫦忧趾λ藗€人信息者負擔個人信息合法來源的舉證責任，既有利于個體對個人信息權(quán)益的維權(quán)行為，也有利于加重侵害個人信息權(quán)益者的侵權(quán)成本，易于遏制時下嚴峻的個人信息侵害問題。

綜上，筆者認為，對個人信息的侵害均可以適用《反不正當競爭法》保護商業(yè)秘密的有關(guān)規(guī)定，有關(guān)當事人可循此思路通過《反不正當競爭法》尋找民事救濟之途徑，并且在司法實踐中，有意提高涉嫌侵害個人信息行為人的舉證責任，達到增加侵權(quán)違法成本、遏制非法個人信息交易之目的。當然，實踐中也有部分個人信息同時涉及隱私權(quán)、人格權(quán)的內(nèi)容，具言之，擅自使用個人信息除了構(gòu)成對商業(yè)秘密的侵犯外，還可能對個人的隱私權(quán)、人格權(quán)等造成侵害，因此，當事人在尋求商業(yè)秘密救濟路徑的同時，也可通過《侵權(quán)責任法》等制度向侵權(quán)者主張隱私權(quán)、人格權(quán)的民事侵權(quán)責任。

注 釋：

① 《個人信息刑法解釋》把“反映特定人的活動情況”涵蓋在個人信息的范圍之內(nèi)，但顯然，這一內(nèi)容仍屬于“可識別性”之范圍。

② 盡管提及了“隱私”，但是該條款所保護的應(yīng)當是名譽權(quán)而非真正的隱私權(quán)。

③ 與個人信息、個人隱私相關(guān)的法律還包括2006年修訂的《未成年人保護法》與2013年修訂的《消費者權(quán)益保護法》等，其中，2006年《未成年人保護法》中涉及對未成年人隱私保護的法條包括該法第三十九條和第六十九條；2013年《消費者權(quán)益保護法》中涉及保護消費者個人信息的法條包括該法第十四條、第二十九條、第五十條和第五十六條第一款第(九)項。但是，上述相關(guān)規(guī)定均未對侵犯個人信息或?qū)€人信息的非法利用問題提供較為完備的民事救濟途徑。

④ 詳見Feist Publication, Inc. V. Rural Telephone Service Co, Inc. 499 U.S. (1991)。

⑤ 譬如，為獲得快遞送貨上門的便利，很多人還是會傾向于將自己的真實地址(個人信息)“交付”于對方。

⑥ 前者是個人信息來源者(自然人等)與收集者(企業(yè)、經(jīng)營者等)因民事法律關(guān)系而形成的商業(yè)秘密，后者則是經(jīng)收集者對大量的個人信息匯集而成的、企業(yè)自身所應(yīng)當注重保護的商業(yè)秘密。二者在對個人信息的收集與占有上沒有本質(zhì)差別。