金 耀

一、問題的提出：定位模糊的個人信息

以個人信息為基礎的數(shù)據(jù)產(chǎn)業(yè)正蓬勃發(fā)展，信息的利用與個人信息保護之間的平衡，已成為當前數(shù)據(jù)經(jīng)濟的核心議題。〔1〕本文的研究對象限定為“個人信息”，區(qū)別于“信息”“數(shù)據(jù)”等概念，而個人信息與個人數(shù)據(jù)能否等同，當前學界仍存有不同的看法。持實質(zhì)區(qū)分觀點的如呂炳斌教授認為，個人數(shù)據(jù)是“負載個人信息的數(shù)據(jù)”，個人信息屬于內(nèi)容層，而數(shù)據(jù)屬于載體層；更多的學者持相同的觀點，并未嚴格區(qū)分二者的使用。本文持后者觀點，二者并無實質(zhì)性區(qū)別，只是研究語境的不同，原則上采用“個人信息”的表述，在論及歐洲相關立法和研究則使用“個人數(shù)據(jù)”這一表述。參見呂炳斌：《個人信息權作為民事權利之證成：以知識產(chǎn)權為參照》，載《中國法學》2019 年第4 期。但在新經(jīng)濟下，個人信息的泄露、非法買賣等案件頻發(fā)，導致現(xiàn)行法律規(guī)范存在著“先刑后民”的特征，即刑法首先介入規(guī)范侵害個人信息權益的行為，〔2〕2015 年刑法修正案（九）確立了“侵犯公民個人信息罪”，2017 年《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》進一步細化了“情節(jié)嚴重”的標準。而私法領域的個人信息法律規(guī)范卻呈現(xiàn)出分散狀態(tài)，尚未形成體系化的法律規(guī)范，〔3〕在《民法典》頒布前，私法領域的個人信息法律規(guī)范散見于《消費者權益保護法》《網(wǎng)絡安全法》《電子商務法》《民法總則》等部分條款，有學者對個人信息立法規(guī)范進行了實證研究。參見王秀哲：《我國個人信息立法保護實證研究》，載《東方法學》2016年第3 期。導致了相關的個人信息案件審理的模糊性與不確定性?！?〕典型案例如，“龐里鵬訴東航公司一案”涉及的泄露個人信息高度可能性能否作為承擔責任依據(jù)，參見北京市第一中級人民法院（2017）京01 民終509 號民事判決書；“朱某訴百度公司”一案中收集朱某的cookie 信息是否構(gòu)成侵權，參見江蘇省南京市中級人民法院（2014）寧民終字第5028 號民事判決書。為此，《民法總則》第111 條首次將個人信息納入民法領域，〔5〕《民法總則》第111 條規(guī)定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！薄睹穹ǖ淙烁駲嗑帯芬残略O“隱私權與個人信息”一章，專門立法《個人信息保護法》當前也正在緊鑼密鼓地展開。

遺憾的是，上述立法均未明確個人信息的私法定位，其權利性質(zhì)與保護路徑在理論上的討論并未隨著相關條款的頒布戛然而止，卻陷入了更為混亂的局面。例如，有學者主張通過擴張我國隱私權來實現(xiàn)個人信息的民法規(guī)范，〔6〕參見房紹坤、曹相見：《論個人信息人格利益的隱私本質(zhì)》，載《法制與社會發(fā)展》2019 年第4 期。也有學者通過追溯歐盟“個人數(shù)據(jù)權”的演進過程，提出我國個人數(shù)據(jù)權應塑造為綜合性的知情權，并以訪問權為核心，而非絕對權?！?〕參見張金平：《歐盟個人數(shù)據(jù)權的演進及其啟示》，載《法商研究》2019 年第5 期。民法學者主要圍繞著《民法總則》第111 條是否創(chuàng)設了“個人信息權”進行了討論：該條款表明“個人信息權”在民法層面得以確立，〔8〕參見楊立新：《個人信息：法益抑或民事權利——對〈民法總則〉第111 條規(guī)定的“個人信息”之解讀》，載《法學論壇》2018 年第1 期；郝思洋：《個人信息權確立的雙重價值——兼評〈民法總則〉第111 條》，載《河北法學》2017 年第10 期；韓旭至：《個人信息權載入民法典芻議》，載《武漢理工大學學報（社會科學版）》2017 年第3 期。個人信息權的構(gòu)建目標亦是人格權體系下的具體人格權。〔9〕參見王成：《個人信息民法保護的模式選擇》，載《中國社會科學》2019 年第6 期；葉名怡：《論個人信息權的基本范疇》，載《清華法學》2018 年第5 期；石佳友：《人格權立法的進步與局限——評〈民法典人格權編草案〉（三審稿）》，載《清華法學》2019 年第5 期。個人信息權的各項權能包括訪問權、被遺忘權、刪除權、可攜帶權等?！?0〕參見葉名怡：《論個人信息權的基本范疇》，載《清華法學》2018 年第5 期。也有學者持不同意見，《民法總則》第111 條將個人信息利益確定為受法律保護的法益，適用的是行為規(guī)制規(guī)范，而非權利化模式?！?1〕參見葉金強：《〈民法總則〉“民事權利章”的得與失》，載《中外法學》2017 年第3 期。個人信息雖受法律保護，但并不是享受絕對權的保護強度，〔12〕參見程嘯：《論大數(shù)據(jù)時代的個人數(shù)據(jù)權利》，載《中國社會科學》2018 年第3 期。個人信息權利無法成為一項獨立性的基本權利?！?3〕參見丁曉東：《個人信息的雙重屬性與行為規(guī)制》，載《法學家》2020 年第1 期。

將個人信息界定為隱私權、知情權、具體人格權、法益保護等不同的私法定位，在理論上似乎均具有一定的合理性。但定位模糊的個人信息導致其民法保護路徑難以統(tǒng)一，相關的法律制度構(gòu)建并不能令人信服，基于個人信息應用的數(shù)據(jù)產(chǎn)業(yè)存在諸多的不確定性。更為重要的是，當前個人信息的民法定位的研究并未充分考慮個人信息法益的特殊性。如何結(jié)合這一特殊性，將個人信息融入民法體系，實現(xiàn)多重主體之間的平衡，將是個人信息保護立法的核心議題。

圍繞這一議題，本文擬重點回應以下三個問題：第一，個人信息是否是一項獨立的權利，即“個人信息權”，其與隱私權、知情權、訪問權等權利是什么關系？第二，民法人格權體系下，個人信息能否構(gòu)成一項新型的具體人格權，個人信息私法保護的特殊性為何？第三，個人信息法益行為規(guī)制路徑的理論基礎為何，如何協(xié)調(diào)與厘清民法與個人信息保護法之間的關系？上述理論問題的反思與厘清可為正在進行的個人信息保護專門立法提供必要的理論積累。

二、個人信息的私法屬性辨析

理論界對于個人信息的私法屬性已有較多討論，〔14〕例如張平教授認為當前有三種主要學說，包括隱私權客體說、人格權客體說、所有權客體說；有學者更為細致地將其分為六種學說：憲法人權說、一般人格權說、隱私權說、財產(chǎn)說、新型權利說、獨立人格權說。參見張平：《大數(shù)據(jù)時代個人信息保護的立法選擇》，載《北京大學學報（哲學社會科學版）》2017 年第3 期。總體上看，隱私權、知情權、具體人格權最受學界青睞。個人信息私法規(guī)范路徑以及相關的制度構(gòu)建，應當以明晰個人信息的私法屬性為前提。

（一）隱私權：舊瓶不宜裝新酒

長期以來，我國司法實踐中主要是通過隱私權來間接地保護個人信息，〔15〕參見徐明：《大數(shù)據(jù)時代的隱私危機及其侵權法應對》，載《中國法學》2017 年第1 期。早期的個人信息相關案例也大多采用隱私權侵權救濟。〔16〕如“龐里鵬訴東航公司案”主要是原告姓名、手機號碼、行程信息的泄露，其案由仍然是隱私權侵權，參見北京市第一中級人民法院（2017）京01 民終509 號民事判決書；“王金龍訴漢庭酒店管理有限公司案”涉及的也是原告的個人信息被酒店泄露，其仍然界定為隱私權糾紛，參見上海浦東新區(qū)（2014）浦民一（民）初字第501 號民事判決書。一方面，個人信息與隱私權的區(qū)分一直是理論上的難題，有學者認為個人信息人格利益的本質(zhì)是隱私權；〔17〕參見房紹坤、曹相見：《論個人信息人格利益的隱私本質(zhì)》，載《法制與社會發(fā)展》2019 年第4 期。另一方面，國內(nèi)學者也深受美國“信息隱私權”（Information Privacy）理論的影響，往往將個人信息置于廣義隱私權框架進行分析?！?8〕Alan F. Westin, Privacy and Freedom, Athenum, 1967, p.7.基于上述影響，有學者認為我國現(xiàn)階段立法不應試圖以個人信息保護來代替隱私權的保護，而應當先完善隱私權的侵權規(guī)則，“若構(gòu)筑新型權利缺乏有效的救濟手段，尚需借助于其他權利進行保護，最佳選擇肯定不是另起爐灶”?！?9〕徐明：《大數(shù)據(jù)時代的隱私危機及其侵權法應對》，載《中國法學》2017 年第1 期，第138 頁。我國個人信息私法保護能否依托于傳統(tǒng)隱私權的侵權救濟？本文持否定觀點。

其一，權利客體上二者范疇不同。隱私權從來不是邏輯的產(chǎn)物，歐洲擔憂大眾傳媒技術對于個人尊嚴的威脅，而美國主要是基于政府機關對于個人自由的威脅?！?0〕See Whitman, James Q., “The Two Western Cultures of Privacy: Dignity Versus Liberty” 113 Yale Law Journal 1219（2004）.而我國理論上的隱私權僅是狹義上的生活安寧權，并不包含積極的信息控制。值得注意是，《民法典人格權編》開始界定“隱私”內(nèi)涵，草案二審稿第811 條規(guī)定隱私是“具有私密性的私人空間、私人活動和私人信息等”，草案三審稿與正式版本則在此基礎上增加了“不愿為他人知曉”這一要件，突顯了隱私內(nèi)涵的主觀性。而關于個人信息的范疇，草案二審稿是將可以識別自然人的各種信息均認定為個人信息，三審稿在二審稿列舉的“姓名、出生日期、身份證號碼、個人生物識別信息、住址、電話號碼”基礎上新增了“個人郵箱地址和行蹤軌跡”，即個人信息范疇呈現(xiàn)擴張態(tài)勢。應指出，個人信息與隱私的范疇并不完全相同，但如果是自然人“不愿意為他人知曉的私密信息”很大程度上具有“識別個人的可能性”，因而也有可能被納入個人信息的范疇?！?1〕以個人健康信息為例，一般為個人不愿為他人知悉的信息屬于隱私性信息，因而為隱私權范疇；但根據(jù)個人信息可識別性標準，個人健康信息也有很大識別個人的可能性，因而也可能為個人信息?？傮w上來看，二者在客體范疇上存在交叉?！?2〕參見程嘯：《民法典編纂視野下的個人信息保護》，載《中國法學》2019 年第4 期。

其二，二者保護法益存在不同。隱私權旨在實現(xiàn)個人人格尊嚴與自由的保護，以個人利益的保護作為根本目的。但個人信息的法益卻更為復雜，據(jù)學者對歐洲大陸個人數(shù)據(jù)保護源流的考察，個人數(shù)據(jù)最早是基本權利或人權意義上的權利。〔23〕See Paul M. Schwartz and Daniel J. Solove, “Reconciling Personal Information in the United States and European Union” 102 California Law Review 877 （2014）.因而，個人的尊嚴與自由構(gòu)成了個人信息的重要法益。值得注意的是，相較于隱私權，個人信息法益還包含了財產(chǎn)利益、公共利益等內(nèi)容。個人信息具有財產(chǎn)價值，并且構(gòu)成了當前數(shù)據(jù)經(jīng)濟的重要生產(chǎn)要素已為學界所認識，而在最近的研究中，亦有學者指出個人信息還具有社會公共價值，個人信息的使用應當由社會控制。〔24〕參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018 年第3 期；丁曉東：《個人信息的雙重屬性與行為規(guī)制》，載《法學家》2020 年第1 期。綜上，二者法益的差異決定了不能套用同一套法律機制。

其三，現(xiàn)行立法規(guī)范已采二分模式。我國《民法典》第110 條將隱私權明確作為一項具體人格權進行保護，并在第111 條規(guī)定個人信息受保護條款，顯然立法者有意對于二者進行區(qū)分。而《民法典人格權編》依然遵循了二分的路徑，規(guī)定了“隱私權和個人信息保護”一章，其中第1034 條第3 款，明確個人信息中的私密信息可以適用隱私權規(guī)定，表明了二者是有實質(zhì)性區(qū)別的交叉關系。早期學者提出通過擴展隱私權侵權規(guī)則，將個人信息納入隱私權，〔25〕有學者指出對于隱私權的侵權規(guī)則進行重構(gòu)，適度擴張損害結(jié)果，包括擴張無形損害、將期待利益納入經(jīng)濟損害范圍、擴大人身損害范圍、推定損害存在的方式等。參見徐明：《大數(shù)據(jù)時代的隱私危機及其侵權法應對》，載《中國法學》2017 年第1 期。不失為在個人信息規(guī)范缺失下的權宜之計。但在我國現(xiàn)行立法進行明確二分模式下，我們更應該在實踐中根據(jù)具體個案來區(qū)分它們，然后確定請求權基礎及救濟措施。〔26〕參見李永軍：《論〈民法總則〉中個人隱私與信息的“二元制”保護及請求權基礎》，載《浙江工商大學學報》2017 年第3 期。由于個人信息與隱私在概念上不可避免地存在交叉之處，其法律規(guī)范的適用問題將是二分模式下的重要內(nèi)容。

綜上所述，我國個人信息的私法屬性不應定位為隱私權，我國隱私權的內(nèi)涵也不同于美國“信息隱私權”的內(nèi)容。通過解釋擴張我國隱私權的范疇以涵蓋個人信息的法律規(guī)范，并不具有理論和立法上的支撐。

（二）知情權：過猶不及的嘗試

有學者通過回顧“歐盟個人數(shù)據(jù)權的演進”，認為我國要構(gòu)建的個人數(shù)據(jù)權并非是以信息自決權為基礎的人權，而是應當以構(gòu)建公平競爭秩序為目的的綜合性的知情權，其內(nèi)部構(gòu)造上以訪問權為核心。〔27〕參見張金平：《歐盟個人數(shù)據(jù)權的演進及其啟示》，載《法商研究》2019 年第5 期。這一觀點值得肯定，私法領域個人信息的定位并非是人權意義上的權益，基本權利意義上的個人信息權益需要遁入私法權利體系，而以數(shù)據(jù)主體的知情權或訪問權為內(nèi)核構(gòu)建個人信息規(guī)范不失為新的路徑。其以歐盟個人數(shù)據(jù)保護的法律規(guī)范的演進為依據(jù)，并對個人信息自決權進行了批判，并建議我國《民法典（人格權編）》構(gòu)建“個人數(shù)據(jù)權”，強調(diào)其知情權性質(zhì)，而非絕對權?！?8〕參見張金平：《歐盟個人數(shù)據(jù)權的演進及其啟示》，載《法商研究》2019 年第5 期。問題是綜合性的知情權能否融入當前我國《民法典》規(guī)范體系以實現(xiàn)個人信息的規(guī)范價值？筆者對此持否定觀點。

首先，知情權的定位忽視了個人信息多重利益的實現(xiàn)。知情權或訪問權的定位，是從個人主體利益角度進行的權利構(gòu)建，信息控制者（企業(yè)）更多的是安全保障的義務。這一路徑是從信息主體相關利益出發(fā)，通過賦予信息控制者義務以實現(xiàn)主體的知情權與訪問權。但這一路徑忽略了對于信息控制者合法利益的考量，其數(shù)據(jù)利益也應當是個人信息規(guī)范中不可或缺的內(nèi)容。換言之，將信息主體、信息控制者之間的權利義務關系簡化為知情權與安全保障義務是不完整的。

其次，知情權或訪問權的定位不足以實現(xiàn)人格利益保護。個人信息立法基于人格權體系旨在實現(xiàn)個人主體的尊嚴與自由，以知情權或訪問權作為權利內(nèi)核就可以實現(xiàn)主體的人格利益？不可否認，信息主體的知情或者訪問是實現(xiàn)主體人格尊嚴的重要手段，但仍然是不充分的。典型的如，企業(yè)隱私政策中也存在著相關的知情或者訪問條款，但在概括同意或強制同意下，主體的知情權仍形同虛設。因而，知情權的定位并未實質(zhì)性地解決主體人格利益的保護問題。

最后，知情權也難以融入人格權體系。論者一方面強調(diào)知情權應當是人格權，但又說明其并非是絕對權，與我們傳統(tǒng)理論對于人格權定性為絕對權認識不符，難以實現(xiàn)體系的自洽。再者，如果將知情權納入人格權，也并未說明其他領域的知情權如何進行區(qū)分，比如消費者權益保護法中的知情權。當前《民法典》已明確將個人信息納入人格權體系，如何在人格權體系下構(gòu)建以知情權為內(nèi)核的個人信息權，仍有待進一步論證。

綜上所述，以知情權內(nèi)核構(gòu)建個人信息權利不失為一條新的路徑，但該路徑可能缺乏充分考量個人主體與信息控制者的利益平衡。個人信息私法屬性定位與其規(guī)制路徑的構(gòu)建休戚相關，單一地尋求知情權或訪問權難以實現(xiàn)個人信息上的多重利益。

（三）人格權：回歸體系的論證

隱私權和知情權均不宜作為個人信息的私法定位，早期我國理論界對于個人信息的法律屬性，還存在著“人格權”與“財產(chǎn)權”的爭論?！?9〕例如劉德良教授提出了個人信息的財產(chǎn)權保護，參見劉德良：《個人信息的財產(chǎn)權保護》，載《法學研究》2007 年第3 期；隨著研究的深入，個人信息兼具有財產(chǎn)利益與人格利益成為學界共識，參見王利明：《論個人信息權的法律保護：以個人信息權與隱私權的界分為中心》，載《現(xiàn)代法學》2013 年第4 期；張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015 年第3 期。但隨著個人信息規(guī)范進入《民法典人格權編》，人格利益保護的私法定位成為主流認識，目前學界的討論也主要集中在人格權體系。當然在人格權體系下，個人信息的財產(chǎn)利益也具有實現(xiàn)的路徑，二者并不沖突?！?0〕在人格權體系下，個人信息的財產(chǎn)利益可以通過人格權商品化或公開權的方式為他人利用，因而，人格權的定位并未否定個人信息的財產(chǎn)價值，只是其實現(xiàn)方式與路徑仍需要進一步細化。

從實證法上看，個人信息已被納入《民法典（人格權編）》，但仍需要在理論上論證個人信息定位為人格權的正當性。從比較法上看，個人信息法律規(guī)范最初呈現(xiàn)出兩個特點。

第一，個人信息的保護源于憲法層面或基本權利層面的保護。典型的如1981 年《個人數(shù)據(jù)自動處理過程中的個人保護公約》確保締約國保障個人數(shù)據(jù)被自動處理時得到尊重，〔31〕See ETS No.108, Strasbourg, 28/01/1981.美國對于個人信息的保護最初也是基于憲法隱私權，如1974 年《隱私法》主要規(guī)范政府機關管理的識別個人記錄的收集、保存、使用和傳播。〔32〕See The Privacy Act of 1974.

第二，個人信息法律規(guī)范的重點在于預防政府機關對于個人信息的不合理收集與使用。預防公權力機關對于個人信息的過度收集與不合理使用，構(gòu)成了個人信息法律保護的最初動因。

個人信息的權利定位不應當脫離其誕生的目的，即主要是規(guī)范公權力對于個人信息在基本權利層面的侵犯。隨著互聯(lián)網(wǎng)與技術的發(fā)展，不僅是政府機關，一些社會主體如互聯(lián)網(wǎng)企業(yè)也開始收集和使用大量的個人信息，個人信息的法律規(guī)范也不再限于基本權利，需從憲法層面落地轉(zhuǎn)化為私法層面的法律規(guī)范。

針對這一變化，歐盟采用專門立法方式制定《統(tǒng)一數(shù)據(jù)保護條例》（The General Data Protection Regulation，以下簡稱GDPR），而美國則是將個人信息納入隱私權范疇，通過信息隱私權的侵權救濟實現(xiàn)個人信息的保護與利用。盡管個人信息還蘊含了社會利益、國家利益，但不能否認主體的人格尊嚴與自由仍然是個人信息私法規(guī)范的根本目的，因而將其納入人格權體系具有正當性與合理性。

但在人格權體系下，個人信息的法律屬性仍存在著巨大的分歧，即所謂的權利說（具體人格權）與法益說。從個人信息侵權救濟的角度看，上述理論的爭鳴并不會實質(zhì)性地影響侵權法救濟，但上述不同定位與認識不僅會對數(shù)據(jù)產(chǎn)業(yè)產(chǎn)生不同的影響，而且將會成為個人信息法律制度構(gòu)建的基礎。

三、個人信息作為具體人格權的理論質(zhì)疑

在人格權體系下，具體人格權成為當前國內(nèi)學界權利構(gòu)建的主要目標。如有學者認為傳統(tǒng)的間接保護模式和法益保護模式都存在缺陷，基于個人信息自主控制的個人信息的權利保護模式更適合中國的立法和司法實踐，主張采用具體人格權模式規(guī)范個人信息?！?3〕參見王成：《個人信息民法保護的模式選擇》，載《中國社會科學》2019 年第6 期。亦有學者認為《民法典人格權編》未明確“個人信息權”是當前立法的缺憾?！?4〕參見石佳友：《人格權立法的進步與局限——評〈民法典人格權編草案〉（三審稿）》，載《清華法學》2019 年第5 期。上述論證很大程度上認為個人可以自主控制與支配個人信息，問題是絕對化的具體人格權在多大程度上適用于個人信息規(guī)范？上述權利構(gòu)建是否充分考慮個人信息規(guī)范的特殊性？構(gòu)建具體人格權是否是國外個人信息法律規(guī)范的通行做法？

（一）信息自決權無法佐證具體人格權

學者支持個人信息權為一項新型人格權的理由，主要在于對于國外個人信息自決權理論的吸收與借鑒。據(jù)王澤鑒先生介紹，個人信息自主權（自決）首先由德國聯(lián)邦憲法法院于1983 年人口普查案創(chuàng)設，人格的自由發(fā)展取決于個人有權對抗個人資料被無限制地收集與使用，其內(nèi)容包括了自行決定何時、何種范圍公開個人的生活事實?！?5〕參見王澤鑒：《人格權法》，北京大學出版社2013 年版，第200 頁。國內(nèi)也有學者對信息自決權進行了系統(tǒng)的介紹，是一項原則上由個人自我決定公開和使用個人信息的權利?！?6〕參見賀栩栩：《比較法上的個人數(shù)據(jù)信息自決權》，載《比較法研究》2013 年第2 期?？梢哉J為，個人信息自決權理論的核心就在于認為個人信息是個人可控的，個人可以決定何時、何地、如何使用個人信息。

依據(jù)個人信息自決權理論很容易推導出個人可以自主控制與支配個人信息的結(jié)論?！?7〕據(jù)此還容易推導出“未經(jīng)個人同意”個人信息的處理不具有合法性的結(jié)論，個人同意成為合法處理的唯一標準，當前立法一定程度上也受此影響。例如，《消費者權益保護法》第29 條規(guī)定：經(jīng)營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費者同意；《網(wǎng)絡安全法》第41 條規(guī)定：網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。作為絕對權性質(zhì)的具體人格權具有支配性和排他性，似乎非常契合于個人信息的民法定位。但容易為人忽視的是個人信息自決權產(chǎn)生的背景與適用領域，它并不能直接套用到個人信息的私法規(guī)范中。

首先，個人信息自決權理論僅適用于憲法層面。歐洲在“二戰(zhàn)”后強調(diào)人權尊嚴與保護背景有關，在基本權利層面，德國聯(lián)邦憲法法院雖然提出了個人信息自決權這一概念，但其無意設定絕對不受限制的個人信息自決權，個人對個人信息并沒有絕對的支配權?！?8〕參見楊芳：《個人信息自決權理論及其檢討——兼論個人信息保護之保護客體》，載《比較法研究》2015 年第 6 期?？梢悦鞔_，所謂的個人信息自決權誕生于憲法法院，是人權背景下對于個人基本權利的保護，旨在防止政府機關不合理地收集和使用個人信息。因此，個人信息自決權從未成為私法領域論證“個人信息權”的理論基石，個人能否對個人信息進行完全地自主控制與支配本身仍存在很大的爭議?！?9〕有學者認為，個人信息的保護應當由個人控制轉(zhuǎn)向社會控制。參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018 年第3 期。

其次，個人信息自決權理論還受制于技術背景的局限性。誕生于20 世紀七八十年代的個人信息自決權理論，在當時的技術背景下，不論是政府還是大型企業(yè)都無法實現(xiàn)對個人信息的價值挖掘，即個人信息在當時技術下可以被認為是可控的。但在進入互聯(lián)網(wǎng)與大數(shù)據(jù)時代，信息的流通與利用技術得到迅速發(fā)展，個人信息價值得到不斷地挖掘。在這一背景下，若仍然堅持個人對于個人信息的完全支配與控制，既不符合當前的產(chǎn)業(yè)實際，也無益于個人主體利益的實現(xiàn)。

最后，即使是在基本權利層面，個人信息自決權仍是受到限制的。據(jù)學者研究，他人對信息主體的個人信息享有一定程度的利益，理應具有知悉的權利，這種權利應當受到法律的保護。相應地，信息主體的決定自由就應受到限制?！?0〕參見任龍龍：《論同意不是個人信息處理的正當性基礎》，載《政治與法律》2016 第1 期。換言之，在憲法層面?zhèn)€人信息自決權也要受到知情權、言論自由等權利的限制，也并非是絕對的。〔41〕參見蔡星月：《數(shù)據(jù)主體的“弱同意”及其規(guī)范結(jié)構(gòu)》，載《比較法研究》2019 年第4 期。因而，不加轉(zhuǎn)化直接套用憲法領域的個人信息自決權理論用于私法體系中權利論證具有很大的缺陷，甚至有學者認為，“在私法領域個人信息自決權這一觀念不僅毫無用武之地，而且如果整個法秩序以其為核心，則很有可能導向信息禁止這一可怕的境地”?！?2〕楊芳：《個人信息自決權理論及其檢討——兼論個人信息保護之保護客體》，載《比較法研究》2015 年第 6 期，第31 頁。

綜上，個人信息自決權最早是由德國聯(lián)邦憲法法院確立，圍繞著該權利的討論其實是一項憲法上的基本權利，主要是基于個人尊嚴自由的保護，不能直接成為論證個人信息權為具體人格權的理由。個人信息自決權理論并非私法意義上的信息自決權，歐盟GDPR 的個人數(shù)據(jù)權利也從未建立在個人信息自決權的基礎之上。至于該權利應當如何落地成為一項私法上的權利法院并沒有給出明確的解釋。因而，我們不能將憲法意義上的個人信息自決權理論作為論證個人信息為具體人格權的理由。

（二）個人信息權權利客體的理論困境

具體人格權是一項絕對權性質(zhì)的權利，意味著為不特定他人設定了一項消極義務，這就要求具體人格權的權利客體是相對清晰的。但從權利客體上看，個人信息權利客體的界定與分類仍存在很大的問題。

1. 客體界定：“可識別性”的不確定性

理論上，個人信息一般指的是與個人有關，可直接或間接識別特定個人的信息。這一看似清晰的概念，卻在各國法律規(guī)范中呈現(xiàn)出不同的內(nèi)容。個人信息在美國被稱為“個人可識別信息”（Personal Identifiable Information），歐盟一般將個人信息稱為個人數(shù)據(jù)，GDPR第4條第1款對此進行了界定?！?3〕個人數(shù)據(jù)指的是任何已識別或可識別的自然人相關的信息，一個可識別的自然人是一個能夠被直接或間接識別的個體，特別是通過諸如姓名、身份編號、地址數(shù)據(jù)、網(wǎng)上標識或者自然人所特有的一項或多項的身體性、生理性、遺傳性、精神性、經(jīng)濟性、文化性或社會性身份而識別個體。See GDPR Article 4.

我國現(xiàn)行法對個人信息的界定也并未統(tǒng)一?！毒W(wǎng)絡安全法》第76 條第5 款對于個人信息進行了界定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！薄?4〕《數(shù)據(jù)安全管理辦法（意見征求稿）》第38 條第3 款采納相同的個人信息定義。但全國信息安全標準技術委員會《個人信息安全規(guī)范》第3.1 條一定程度上擴張了個人信息的定義。第3.1 條規(guī)定個人信息是“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息”。除了能夠識別個人身份的信息之外，反映個人活動情況的各種信息也被納入個人信息的范疇。而我國《民法典》第1034 條，把能夠識別自然人的各種信息均認定為個人信息，而不限于識別個人身份的信息?！?5〕《民法典》第1034 條第2 款：個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

個人信息的內(nèi)涵在當前立法并不明晰，采用寬泛的個人信息還是狹義的身份信息一直是界定個人信息的難題。個人信息內(nèi)涵的界定目前采用“識別性”已經(jīng)基本成為通說，〔46〕參見張新寶：《〈民法總則〉個人信息保護條文研究》，載《中外法學》2019 年第1 期。但以“可識別性”作為個人信息的內(nèi)核，事實上并未明晰個人信息的范疇與邊界。

第一，可識別的理解不同。個人信息概念的核心就是可識別性，如美國“個人可識別信息”界定主要依據(jù)的是“可識別”與“已識別”的概念?！?7〕See Paul Schwartz and Daniel Solove, “Reconciling Personal Information in the United States and European Union” 102 California Law Review 877 （2014）.歐盟GDPR 序言第26 條也將個人數(shù)據(jù)界定為數(shù)據(jù)控制者或第三人合理可能性的識別性。〔48〕See The General Data Protection Regulation, Recital 26.因而，可識別性構(gòu)成了當前學界與立法界定個人信息內(nèi)涵的核心。但就可識別的標準學界并未達成一致，即可識別性是對于數(shù)據(jù)控制者而言，抑或是包含了數(shù)據(jù)控制者在內(nèi)的任何的第三人？前者是狹義上的理解，而后者是廣義上的理解?！?9〕See F. J. Zuiderveen Borgesius, “Singling Out People without Knowing their Names – Behavioural Targeting, Pseudonymous Data, and the New Data Protection Regulation” 32 Computer Law & Security Review 264 （2016）.再者，個人信息的可識別性是指識別自然人的身份，還是包括識別自然人的個性特征？當前立法中對概念的使用也頗為混亂，如《網(wǎng)絡安全法》第76 條規(guī)定顯然僅指前者，即狹義上的身份識別，而《民法典》第1034條的界定顯然更為寬泛，包含了識別個人的各類信息。因而，立法上對于可識別性標準應當采廣義抑或是狹義理解存在分歧。

第二，結(jié)合識別的可能性。理論上認為結(jié)合識別屬于間接識別，通過信息之間的結(jié)合間接地識別出個人身份，此類信息也可被納入個人信息范疇?！?0〕參見金耀：《個人信息去身份的法理基礎與規(guī)范重塑》，載《法學評論》2017 年第3 期。這種間接結(jié)合識別的可能性在互聯(lián)網(wǎng)環(huán)境下尚且容易判斷，但在大數(shù)據(jù)時代，識別的可能性是非常難以量化判斷的，任何信息均具有結(jié)合識別的可能性。典型的如去識別的個人信息，其重新識別（Re-identification）能力隨著技術發(fā)展不斷增長，不少法律學者與技術專家認為在這一意義上看，可識別信息與不可識別信息不再是一項有實質(zhì)意義的區(qū)分?！?1〕See Purtova Nadezhda, “The Law of Everything. Broad Concept of Personal Data and Future of EU Data Protection Law” 10 Law, Innovation and Technology 40 （2018）.換言之，隨著數(shù)據(jù)處理技術的發(fā)展，以及大量的數(shù)據(jù)被用于分析，絕對化與不可逆轉(zhuǎn)的匿名信息不再可能?！?2〕Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization” 57 UCLA law Review 1701 （2009）.事實上，個人信息的重新識別依據(jù)的也是結(jié)合識別，通過大量信息的比對與結(jié)合還原個人的信息。因而，由于結(jié)合識別性的廣泛存在，將識別性作為個人信息權利核心會導致權利客體的擴大。

第三，識別抑或關聯(lián)。個人信息的可識別性構(gòu)成了個人信息核心概念，但細究歐盟GDPR 第4 條對于個人數(shù)據(jù)的界定，其使用的是“關聯(lián)”（Relating to）這一術語。我國《個人信息安全規(guī)范》在附錄中明確判斷信息是否為個人信息主要有兩條路徑：一是識別；二是關聯(lián)，即從個人到信息，個人在其活動中產(chǎn)生的信息也屬于個人信息。那么我國個人信息范疇是否也應當采納“關聯(lián)”？歐盟第29 條工作組認為準確地找到信息與個人之間的聯(lián)系是非常重要，其界定的關聯(lián)非常廣泛，信息只要在內(nèi)容、目的或結(jié)果上可以聯(lián)系到個人即可?！?3〕Article 29 Working Party opinion 4/2007 on the concept of personal data, 20 June 2007.顯然，關聯(lián)到個人信息從范疇上大于“關于”（About）個人的信息，也突破了以可識別性為內(nèi)核的個人信息的邏輯體系。

從權利客體上看，所謂的“個人信息權”其權利客體范疇存在極大的不確定性，其主要來源于內(nèi)核“可識別性”的模糊性。正如論者所言，在所有數(shù)據(jù)都是個人數(shù)據(jù)并適用數(shù)據(jù)保護的情況下，GDPR高度集約且不可擴展的權利和義務制度將無法以有意義的方式維持下去?！?4〕See Purtova Nadezhda, “The law of everything. Broad concept of personal data and future of EU data protection law” 10 Law, Innovation and Technology 40 （2018）.

2. 客體分類：敏感信息區(qū)分的相對性

理論界較為推崇個人一般信息與個人敏感信息的二元區(qū)分，〔55〕參見陽雪雅：《論個人信息的界定、分類及流通體系——兼評〈民法總則〉第111 條》，載《東方法學》2019 年第4 期；胡文濤：《我國個人敏感信息界定之構(gòu)想》，載《中國法學》2018 年第5 期；葉名怡：《個人信息的侵權法保護》，載《法學研究》2018 年第4 期。對于個人敏感信息給予更強的法律保護。〔56〕See Paul Ohm, “Sensitive Information” 88 Southern California Law Review 1125 （2015）.當然，這一理論也體現(xiàn)在相關的立法規(guī)范中，如歐盟GDPR 第9 條列舉了敏感特殊種類的信息，〔57〕政治觀點、宗教信仰、工會資格、基因數(shù)據(jù)、生物特征、健康數(shù)據(jù)、性生活、性取向等數(shù)據(jù)構(gòu)成了特殊類型的數(shù)據(jù)，即學理上的個人敏感信息，立法對其處理要求也更為嚴格。See The General Data Protection Regulation, Article 9.我國《個人信息安全規(guī)范》附錄也不完全列舉了個人敏感信息。〔58〕《個人信息安全規(guī)范》附錄B 規(guī)定，個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息，包括個人財產(chǎn)信息、個人健康生理信息、個人生物識別信息、個人身份信息、其他信息。當前學界對于個人信息的分類也為很多學者所采納。值得考究的是，上述個人信息的分類可否具有規(guī)范意義上的價值？敏感信息的特殊保護能否佐證個人信息作為具體人格權？

本文認為，一般信息與敏感信息的區(qū)分具有相對性，不宜成為個人信息法律規(guī)范的具體標準，理由如下。

其一，一般信息與敏感信息的區(qū)分沒有統(tǒng)一標準。各國立法試圖為一般信息與敏感信息進行分類，對于敏感信息采取特別的保護，但就敏感信息的內(nèi)容各國卻存在較大的分歧。例如，歐盟GDPR認為種族、政治觀點、宗教、工會成員、基因信息等定義為敏感信息，而我國《個人信息安全規(guī)范》認為敏感信息是身份信息、生物識別信息、健康生理信息、個人財產(chǎn)信息等。很明顯，如種族、宗教這些信息在我國難以認為是敏感信息，而個人財產(chǎn)信息也未被歐盟認為是敏感信息。有學者認為我國個人敏感信息確定應當結(jié)合泄露信息是否導致重大傷害、大多數(shù)對某類信息的敏感度等因素考量?！?9〕參見胡文濤：《我國個人敏感信息界定之構(gòu)想》，載《中國法學》2018 年第5 期。綜上，敏感信息的認定與區(qū)分具有地域性，并無統(tǒng)一的標準。

其二，一般信息與敏感信息存在轉(zhuǎn)化的可能性。理論上，區(qū)分個人一般信息與敏感信息實屬不易，更為棘手的是二者在一定場景下還可能轉(zhuǎn)化。具體而言，當前關于個人一般信息與敏感信息的區(qū)分大體都是基于靜態(tài)的劃分，缺少對于個人信息場景、使用目的、使用方法等因素的考量。不同場景下，個人信息的敏感性就完全不同。例如，臉書（Facebook）數(shù)據(jù)泄露一案中，關于用戶個性偏好的信息，如果只是用于精準廣告等商業(yè)用途對于主體而言也并非是敏感信息，但這類信息用于政治分析并影響選舉，上述信息就可能從一般信息轉(zhuǎn)化為敏感信息。因而，當前對于一般信息與敏感信息的區(qū)分一般采取靜態(tài)的列舉方式，但某一信息是否具有敏感性的判斷必須結(jié)合具體的場景，即敏感信息的判斷具有一定的主觀性。比如說個人通訊錄信息是否具有敏感性往往因人而異。

其三，個人一般信息與敏感信息的區(qū)分規(guī)范價值有限。為個人敏感信息提供更為嚴格的保護旨在應對損害個人基本權利與自由的巨大風險?！?0〕See The General Data Protection Regulation, Recital 85.但如前所述，由于敏感信息的界定與分類缺乏統(tǒng)一的標準，而且存在主觀性而可能相互轉(zhuǎn)化，因而相關立法能否完全據(jù)此展開仍存在疑問。有學者認為敏感信息與非敏感信息的劃分，并非嚴格規(guī)范意義上的法律術語，并且敏感信息與隱私的關系仍模糊不清?！?1〕參見彭誠信：《數(shù)據(jù)利用的根本矛盾何以消除——基于隱私、信息與數(shù)據(jù)的法理厘清》，載《探索與爭鳴》2020 年第2 期。事實上，當前我國立法規(guī)范并未采納此類區(qū)分，只是在《個人信息安全規(guī)范》中借鑒了歐盟關于“特殊種類信息”的內(nèi)容。在法律規(guī)范上，敏感信息的收集與使用不同于一般信息，往往需要采取嚴格的主體同意規(guī)范，但不能由此推導出需要創(chuàng)設一項新型人格權的結(jié)論。理由在于，其僅僅是代表了一類特殊的個人信息，其法律規(guī)范無法推演適用于其他個人信息。

將個人信息納入人格權體系，意味著其法律規(guī)范應當區(qū)別于隱私權，并非絕對化的保護。個人信息權利客體的界定與分類具有不確定性與相對性，絕對化的具體人格權與個人信息內(nèi)在的特質(zhì)相悖。

（三）具體人格權定位不符合立法趨勢

當前國際社會個人信息的保護框架，大多數(shù)是基于1980 年的OECD《隱私保護與個人數(shù)據(jù)跨境流通指南》、歐盟1995 年的《個人數(shù)據(jù)保護指令》及美國特定領域的立法，有學者將其稱為第一代隱私保護框架?！?2〕See Omer Tene, “Privacy Law’s Midlife Crisis: A Critical Assessment of the Second Wave of Global Privacy Laws”74 Ohio St. L. J. 1220（2013）.可以說該框架奠定了當今世界主要國家個人信息保護的規(guī)則，其理論基礎在于OECD 在《指南》中提出的八項個人信息保護的基本原則?！?3〕OECD《指南》確立的八項基本原則為：收集限制原則、數(shù)據(jù)質(zhì)量原則、目的特定原則、使用限制原則、安全保護原則、公開原則、責任原則。See OECD, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 1980.上述基本原則最早又可以追溯至1973年美國提出的“公平信息實踐”（Fair Information Practice）原則。〔64〕See U.S. Department of Health, Education & Welfare: Records, Computers, and the Rights of Citizens, July 1973. 國內(nèi)亦有學者對公平信息實踐原則的生成、演進與重構(gòu)進行了深入剖析。參見丁曉東：《論個人信息法律保護的思想淵源與基本原理——基于“公平信息實踐”的分析》，載《現(xiàn)代法學》2019 年第3 期?？梢哉f，歐美國家個人信息法律規(guī)范同源于上述基本原則，但在具體保護個人信息的路徑與力度上存在一定的差別，但并未呈現(xiàn)出具體人格權立法的趨勢。

歐盟自1995 年《個人數(shù)據(jù)保護指令》頒布以來，成員國大多都建立了各自的個人信息保護法。學者在論及“個人信息權”時，一般以比較法上各國的“個人信息權”作為依據(jù)，但深究歐盟新頒布的GDPR，其并未確立一項個人可以絕對控制的“個人數(shù)據(jù)權”，而只是從保護個人在數(shù)據(jù)時代的尊嚴與自由為目的，規(guī)定了“個人數(shù)據(jù)保護權” （The Right to Protection of Personal Data）。正如有學者指出的，歐盟沒有私法意義上的個人信息權，而只有個人信息保護權，相關的國際公約均采納后者的表述。〔65〕參見高富平主編：《個人數(shù)據(jù)保護和利用國際規(guī)則：源流與趨勢》，法律出版社2016 年版，第1-4 頁。在GDPR 實施屆滿一年之際，歐盟委員會在其報告中認為，強有力的數(shù)據(jù)保護規(guī)則對于保護基本權利“個人數(shù)據(jù)保護權”至關重要，是數(shù)據(jù)經(jīng)濟的重要組成部分?！?6〕See Communication of the Commission of 24 July 2019 to the European Parliament, the Council，Data protection rules as a trust-enabler in the EU and beyond – taking stock, COM （2019） 374 final.從根本上來看，歐盟個人數(shù)據(jù)保護的根源在于基本人權的保護，即個人的尊嚴和自由價值，并對其他國家的數(shù)據(jù)立法產(chǎn)生了重要影響?！?7〕基本權利層面為保護數(shù)據(jù)處理中的個人數(shù)據(jù)成為各國立法的主要目的，典型如德國《聯(lián)邦數(shù)據(jù)保護法》（Federal Data Protection Act），法國2016《數(shù)字共和國法案》（Digital Republic Law），英國2018 年《數(shù)據(jù)保護法》（Data Protection Act 2018）等。因而歐盟所謂的“個人數(shù)據(jù)保護權”是一項基本權利，區(qū)別于民法中的具體人格權。

由于其不存在人格權體系，美國立法將個人信息的保護問題納入隱私權框架體系。在隱私立法層面，美國也缺乏統(tǒng)一的信息隱私立法，其更依賴于特定領域的專門立法（健康、金融、信用、兒童、通信等），借助于較為完備的隱私侵權救濟，配合美國聯(lián)邦貿(mào)易委員會強大的行政執(zhí)法權，隱私保護與個人信息利用這對矛盾體卻得到了較好的平衡?！?8〕See Paul Schwartz and Daniel Solove, “Reconciling Personal Information in the United States and European Union” 102 California Law Review 877 （2014）.事實上，美國的隱私權從其誕生之初就是為了防止政府對于個人生活的侵擾，其根本目的在于保護個人尊嚴與自由，〔69〕1965 年美國聯(lián)邦法院在“格里斯沃德蘇康涅狄格州案”首次在憲法層面確立了隱私權，參見吳至誠譯：《美國法對隱私權的確認——格里斯沃德訴康涅狄格州案》，載《蘇州大學學報（法學版）》2006 年第1 期。而無意于賦予個人對個人信息的絕對控制。隨著信息技術的發(fā)展，美國法上的隱私權衍生出了信息隱私權的概念，還包含了個人信息的保護與利用規(guī)則。但不能據(jù)此認為，美國也存在類似于隱私權一樣的“個人信息權”，美國個人信息立法規(guī)范依托于隱私侵權救濟體系。而在州層面，美國《加利福尼亞州消費者隱私法》（The California Consumer Privacy Act）于2020 年正式生效，旨在通過賦予消費者更多的權利以實現(xiàn)消費者的隱私利益。〔70〕See California Civil Code § 1798.（The California Consumer Privacy Act）

因而，縱觀當前國外個人信息立法，歐洲國家大多在基本權利層面明確個人數(shù)據(jù)受法律保護的原則，而美國則依托于廣義的隱私權救濟體系，并開始在消費者層面嘗試專門立法。基本權利層面明確保護原則，在專門立法尤其是消費者隱私立法中進一步細化權利內(nèi)容、強化控制者義務，形成一套兼顧信息保護與利用的機制構(gòu)成了當前個人信息立法的趨勢?？梢哉f，一些學者倡導具體人格權路徑一定程度上并不符合當前個人信息立法趨勢。

（四）個人信息法益保護的場景性

民法典不宜設置絕對權性質(zhì)的“個人信息權”，也不能把個人信息保護條款解釋為賦權內(nèi)容。其根本上在于個人信息法益保護的多元性與場景性。個人信息法益保護的多元性目前學界已經(jīng)對此有了豐富的論述，國內(nèi)一些學者已經(jīng)開始介紹國外個人信息“場景性”理論，〔71〕參見丁曉東：《個人信息私法保護的困境與出路》，載《法學研究》2018 年第6 期；范為：《大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)》，載《環(huán)球法律評論》2016 年第5 期；金耀：《消費者個人信息保護規(guī)則之檢討與重塑——以隱私控制理論為基礎》，載《浙江社會科學》2017 年第11 期。但對于該理論如何融入私法規(guī)范體系并無統(tǒng)一的認識。

所謂的“場景性”理論，是美國教授海倫·尼森鮑姆提出的，其主張把隱私問題納入信息流通場景中理解與保護?！?2〕Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2009, p.236.這一理念深刻地影響了歐美國家個人信息相關立法，并呈現(xiàn)出不同的規(guī)范內(nèi)容。如美國《消費者隱私權利法案》明確采納該理論，第103 節(jié)規(guī)定企業(yè)在收集和處理個人信息過程中，如果場景的使用符合消費者預期的，就無需征得個人同意?！?3〕See Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015.在企業(yè)隱私自治中，美國隱私風險管理與評估一定程度上體現(xiàn)了場景理論。而在歐盟GDPR 中也體現(xiàn)了場景性理論的運用，如該法第6 條規(guī)定了數(shù)據(jù)處理的合法性原則并未將主體同意作為唯一合法要件，而是將履行合同、履行法定義務、公共利益也作為合法性基礎，〔74〕See The General Data Protection Regulation, Article 6.亦有學者將其稱為“合法利益的豁免”?！?5〕參見謝琳：《大數(shù)據(jù)時代個人信息使用的合法利益豁免》，載《政法論壇》2019 年第1 期。歐盟GDPR 也將場景理論轉(zhuǎn)化為具體的規(guī)范，如第25 條規(guī)定了“通過設計的隱私保護”（Privacy by Design），在數(shù)據(jù)處理中應采取合適的技術與組織措施。因而，個人信息權益的保護要充分考慮數(shù)據(jù)處理的性質(zhì)、處理的范圍、處理的場景與目的等，根據(jù)個人信息流通與利用的具體場景與情形，結(jié)合個案進行判斷，即該權益是否應歸屬于數(shù)據(jù)主體，以及如何與其他主體進行平衡。法律不宜采用絕對化人格權賦權模式，只需要對此理論或者路徑進行原則性的規(guī)定。

個人信息權益保護的場景性理論也決定了個人信息權益與隱私權為代表的具體人格權存在很大的不同。隱私利益來源于個人的尊嚴與自由價值的保護，而且這種保護是絕對的，尤其要預防公權力對于隱私利益的侵害；但個人信息權益雖也來源于人權或基本法意義上的人格尊嚴與自由，但值得法律所保護的個人信息權益并不是絕對的，其還應當受到社會利益、公共利益的限制，個人信息權益規(guī)范應當視具體的場景與情形而定。因而，隱私利益與人格權體系更為契合，這也是隱私利益逐步為司法實踐所承認，并從一項法益上升為具體人格權的原因；而個人信息法益判斷由于存在場景性特征，其個人信息具體內(nèi)涵很難通過“可識別性”進行清晰界定，一旦權利的客體無法清晰界定，絕對權的設置毋寧是對他人自由的侵害。

綜上，個人信息權益保護的場景性表明，理論上無法運用“可識別性”來準確劃定個人信息的范疇，也無法依靠一般與敏感信息標準作為個人信息具體規(guī)范依據(jù)?；诖?，本文認為，民法典個人信息規(guī)范并未創(chuàng)設類似于隱私權的具體人格權，其私法規(guī)制路徑有待進一步構(gòu)建。

四、個人信息法益行為規(guī)制路徑的展開

《民法典》將個人信息保護規(guī)范納入其中，體現(xiàn)了民法典的時代性與創(chuàng)新性，但這并不意味著在人格權體系中創(chuàng)立了一項新興的具體人格權?！睹穹ǖ洹返?11 條明確了個人信息法益是一種受法律保護的人格利益，適用于一般人格權下的法益侵權救濟，而在正在開展的個人信息專門立法應當在此基礎上開展行為規(guī)范平衡機制的構(gòu)建。

（一）民法定位：一般人格權下法益侵權救濟

理論上，一般人格權是德國法院通過大量侵權判例發(fā)展出來的制度，創(chuàng)造了一種框架性權利，在體系上被認為屬于《德國民法典》第 823 條第1 款所規(guī)定的“其他權利”一種?！?6〕參見薛軍：《揭開“一般人格權的面紗”——兼論比較法研究中的“體系意識”》，載《比較法研究》2008 年第5 期。一般人格權是一種框架性權益，旨在實現(xiàn)對具體人格權無法規(guī)制的法益進行補充的規(guī)范。相較于具體人格權具有的支配與排他效力，一般人格權存在“雖有權利之名，但無權利之實”的特征，即一般人格權堪稱一個雖有權利之名，卻無法說清其歸屬的利益內(nèi)容的典型。一般人格權并沒有課以他人確定的法律義務，并沒有對抗一切他人的功能，一般人格權依然沒有歸屬效能、排除效能和社會典型公開性，“權利的寬大外衣之下包裹的仍然是利益瘦小的身軀”?！?7〕于飛：《侵權法中權利與利益的區(qū)分方法》，載《法學研究》2011 年第4 期，第113-116 頁。我國《民法總則》第109 條構(gòu)成了我國民法意義上的“一般人格權”。〔78〕參見杜萬華：《〈中華人民共和國民法總則〉條文解釋與適用》，人民法院出版社2017 年版，第746-749 頁；陳甦主編：《民法總則評注》（下冊），法律出版社2017 年版，第749-762 頁；葉金強：《〈民法總則〉“民事權利章”的得與失》，載《中外法學》2017 年第3 期。我國構(gòu)建了特有的人格利益開放保護模式，即由人格權法中的人格利益保護一般條款，確立一般人格利益的應受保護性，進而通過侵權法實現(xiàn)一般人格利益的開放性保護?！?9〕參見葉金強：《〈民法總則〉“民事權利章”的得與失》，載《中外法學》2017 年第3 期。換言之，一般人格權本質(zhì)上仍然是一種利益的保護，而名義上賦予其“權利”稱謂只是法政策學上的考量，無法確立一種確定的、排他的絕對權。因而，如果將個人信息定位為一般人格權，并不會導致個人對個人信息的絕對控制支配，而且主要可以通過侵權法救濟實現(xiàn)主體利益的保護，從法效果上構(gòu)建了類似于美國模式的個人信息立法?！?0〕歐盟GDPR 模式是構(gòu)建統(tǒng)一的“個人數(shù)據(jù)保護權”，并為數(shù)據(jù)控制者設定義務的模式；而美國模式是分散的專門立法，將個人信息融入信息隱私權范疇，以侵權法進行救濟。

如果將個人信息定性為一般人格權，其是否還享有積極的請求權？有學者認為，信息主體依據(jù)個人信息立法規(guī)范享有積極的請求權即查詢權、更正權和刪除權等?！?1〕參見楊芳：《個人信息保護法保護客體之辯》，載《比較法研究》2017 年第5 期。個人信息權的權能，不僅包括了訪問權、可攜帶權和收益權等積極權能，同時具有更正權、限制或反對處理權以及刪除權（被遺忘權）等消極權能。〔82〕參見葉名怡：《論個人信息權的基本范疇》，載《清華法學》2018 年第5 期。本文認為，根據(jù)一般人格權的基本原理，作為一般人格權主體只有消極的防御性請求權，而不具有積極的請求權。如此定位還需要從理論上追問，如何理解歐盟GDPR 中規(guī)定的“刪除權”“數(shù)據(jù)可攜權”與個人信息權益的關系？如前所述，歐盟個人數(shù)據(jù)保護權下的各項權利是在基礎權利層面，需要考慮與其他權利、自由的沖突與平衡，如刪除權或被遺忘權的行使是具有條件的，而非主體可以直接支配的。事實上，歐盟上述權利在實踐中也遇到了很大挑戰(zhàn)，基礎權利層面的定位對于數(shù)據(jù)者控制者限制過大，不利于數(shù)據(jù)資產(chǎn)價值的實現(xiàn)。因而，在民法典規(guī)范中不宜創(chuàng)設具有絕對權性質(zhì)的個人信息權，抑或是相關的積極權能。

在一般人格權框架下，如何實現(xiàn)個人信息財產(chǎn)要素需進一步明確。個人信息具有財產(chǎn)屬性并成為數(shù)據(jù)產(chǎn)業(yè)主要利用對象，一般人格權的定位是否會影響個人信息財產(chǎn)價值的實現(xiàn)？事實上，人格要素的商品化或財產(chǎn)化可為主體帶來一定的財產(chǎn)利益，有學者稱為是人格要素的釋放。〔83〕參見馬俊駒：《我國人格權基礎理論與立法建構(gòu)的再思考》，載《晉陽學刊》2014 年第2 期。人格要素的利用可以間接產(chǎn)生經(jīng)濟價值，從而衍生出人格權的財產(chǎn)屬性?！?4〕參見溫世揚：《人格權“支配”屬性辨析》，載《法學》2013 年第5 期?！睹穹ǖ洹返?93 條明確除了法律規(guī)定或根據(jù)其性質(zhì)不能許可的，個人可以將自己的姓名、名稱、肖像等人格要素許可他人使用。而個人信息是一種典型的可以許可他人使用的人格要素，個人信息被納入人格權編，可以通過體系解釋將其納入第993 條的適用范圍。因而，將個人信息定位為一般人格權，并不影響個人信息財產(chǎn)屬性的實現(xiàn)。但應指出，不同于個人信息人格利益，財產(chǎn)利益實現(xiàn)路徑主要是通過許可使用的方式，主要是商品化中的違約責任救濟?！?5〕參見商希雪：《個人信息隱私利益與自決利益的權利實現(xiàn)路徑》，載《法律科學（西北政法大學學報）》2020 年第3 期。

民法典一般人格權下，個人信息法益保護路徑主要依靠的是侵權法救濟，這一路徑既契合于當前的規(guī)范體系，也為個人信息專門立法中制度創(chuàng)新保留了空間。從規(guī)范體系上看，個人信息的侵權法保護宜作為個人信息事后救濟的最后手段，個人主體可以依據(jù)《民法典》第111 條、第1167 條作為請求權基礎。當然，個人信息侵權法救濟面臨著諸多的挑戰(zhàn)，學者從侵權構(gòu)成要件、因果關系等方面對于個人信息侵權保護規(guī)范進行了完善。〔86〕參見葉名怡：《個人信息的侵權法保護》，載《法學研究》2018 年第4 期；陳吉棟：《個人信息的侵權救濟》，載《交大法學》2019 年第4 期。更為重要的是，法益行為規(guī)制路徑可以最大限度釋放信息紅利，促進信息的流通與利用。理由在于這一路徑也蘊含著這一結(jié)論：除非有法律明確規(guī)定，不能直接推定其他主體對于個人信息的利用行為具有不法性。換言之，只要個人信息的利用行為不侵害主體的合法利益，信息控制者的利用行為就具有了合法性。因而，個人信息利用合法性的邊界不應當完全交由主體決定，應當根據(jù)信息利用的類型、目的、風險等場景因素區(qū)別規(guī)范，而這一任務應當交由專門立法集中解決。

（二）專門立法：主體權利與平衡機制構(gòu)建

當前民法典規(guī)范體系下，學界的任務并非是對個人信息條款再進行擴張性解釋為“個人信息權”，也并非要借鑒隱私權、知識產(chǎn)權、知情權等外部權利進行具體權利構(gòu)造，而是應當在人格權體系下堅持法益行為規(guī)制的路徑，尋求在專門立法中完善對于個人信息保護與利用平衡機制的創(chuàng)新。個人信息的私法規(guī)范路徑應當遵循民法典“法益侵權法救濟”+專門立法“平衡機制的創(chuàng)新”的路徑。專門立法應當重點考慮以下問題。

其一，完善個人信息財產(chǎn)利益的實現(xiàn)。個人信息主體的人格尊嚴與自由是私法保護的邏輯起點，主體人格利益保護應成為個人信息法律制度的前提與基礎，但不能忽視對于個人信息財產(chǎn)價值的實現(xiàn)。具體而言，個人信息規(guī)范應當完善個人信息主體參與數(shù)據(jù)經(jīng)濟紅利的分享機制，如建議將個人信息“普遍免費”模式向“普遍免費+個別付費”模式的轉(zhuǎn)變，〔87〕張新寶：《“普遍免費+個別付費”：個人信息保護的一個新思維》，載《比較法研究》2018 年第5 期。個人信息資產(chǎn)化或信托化研究的興起也旨在實現(xiàn)個人信息的財產(chǎn)價值。〔88〕Schwartz, Paul M. and Solove, Daniel J., “The PII Problem: Privacy and a New Concept of Personally Identifiable Information” 86 New York University Law Review 1814 （2011）.再如，歐盟GDPR 第20 條創(chuàng)設的數(shù)據(jù)可攜權規(guī)范，數(shù)據(jù)主體有權訪問自己的數(shù)據(jù)，并有權要求數(shù)據(jù)控制者向其他主體傳輸數(shù)據(jù)?！?9〕See The General Data Protection Regulation, Article 20.通過上述利用規(guī)則的構(gòu)建，個人參與數(shù)據(jù)經(jīng)濟就成為一種可能，并可以據(jù)此參與數(shù)據(jù)紅利的分享，獲取更好的產(chǎn)品或服務。因而，個人信息商業(yè)化利用要在保護個人主體人格利益的前提下進行，通過規(guī)范設計充分釋放個人信息的財產(chǎn)價值。

其二，探索不同領域的個人信息權利。如前所述，基本權利或者絕對權性質(zhì)的定位并不符合個人信息法益的特殊性，而是應當結(jié)合具體信息的類型、使用目的、場景風險在不同行業(yè)領域創(chuàng)設強度適中的主體權利。比如，信息權利可以首先從具體行業(yè)領域入手，如澳大利亞《消費者數(shù)據(jù)權利法案》旨在金融領域構(gòu)建對于消費者的特殊保護，通過構(gòu)建消費者訪問權以實現(xiàn)消費者對于個人信息的控制，〔90〕See Treasury Laws Amendment （Consumer Data Right） Bill.并逐步將此推廣至能源、通信、互聯(lián)網(wǎng)交易等領域。不同行業(yè)領域賦予主體多大程度的信息控制權應當是不同的，根本是個人信息法益的多元性與場景性決定的。因而，專門立法不宜規(guī)定一攬子普遍適應的主體權利，而是主要采用行為規(guī)制的路徑，主要對相關的個人信息收集、處理和使用行為進行規(guī)范。值得注意的是，新加坡立法即將新增的數(shù)據(jù)可攜權規(guī)定并未遵循權利路徑，而是采取了數(shù)據(jù)控制者攜轉(zhuǎn)義務（Obligation）的立法表達，體現(xiàn)了行為規(guī)制的思路?！?1〕See Personal Data Protection Commission of Singapore, Public Consultation on Review of the Personal Data Protection Act of 2012-Proposed Data Portability and Data Innovation Provisions 17 （May 22, 2019）.

其三，平衡多重主體的不同利益。個人信息法益保護與利用之平衡，從根本上來看是個人信息相關多重主體的利益平衡問題，如何實現(xiàn)信息主體、信息控制者、社會機構(gòu)之間的平衡機制構(gòu)成了個人信息專門立法的重點。針對這一議題，學界已經(jīng)意識到個人信息主體利益與信息控制者財產(chǎn)利益平衡，相關的制度構(gòu)建也均圍繞著個人與企業(yè)之間的利益平衡而展開?！?2〕參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015 年第3 期；程嘯：《論大數(shù)據(jù)時代的個人數(shù)據(jù)權利》，載《中國社會科學》2018 年第3 期；龍衛(wèi)球：《數(shù)據(jù)新型財產(chǎn)權構(gòu)建及其體系研究》，載《政法論壇》2017 年第4 期。個人信息的公共利益屬性也決定了個人信息的制度設計應當將公共機關作為平衡的重要主體之一。此外，利益主體的平衡機制創(chuàng)新還可以積極吸收其他領域的最新成果，如數(shù)據(jù)倫理理論（Data Ethics），即個人數(shù)據(jù)的保護與利用除了符合合法性與技術性要求外，還應當符合數(shù)據(jù)倫理框架?！?3〕Department for Digital, Cultrue, Media & Sport, Data Ethics Framework, 2018.

綜上，個人信息主體人格利益的保護是民法保護的邏輯起點，在此基礎上還需要進行制度創(chuàng)新，重點在于實現(xiàn)個人參與數(shù)據(jù)紅利的分享，即不僅要實現(xiàn)數(shù)據(jù)利用過程中對于人格利益的保護，還要設計主體參與數(shù)據(jù)紅利的產(chǎn)生與分享機制。

五、結(jié)論

隱私權從來不是邏輯推演的產(chǎn)物，其離不開司法與立法對于該權利的確認，但并非所有的法益都可以上升為一項具體的權利?！?4〕參見方新軍：《一項權利如何成為可能？——以隱私權的演進為中心》，載《法學評論》2017 年第6 期。個人信息法律規(guī)范并不是要尋求賦予絕對支配的“個人信息權”，其真正要解決的是個人對于個人信息利用行為的控制問題，即信息控制者對于個人信息的利用不得侵害個人的主體合法利益。個人信息法益的多重性與場景性的特征，決定了其無法套用隱私權而設置一項類似的新型人格權。本文認為，構(gòu)建絕對權性質(zhì)的具體人格權并不符合個人信息相關理論與立法的實踐，具體人格權的定位將會是個人信息專門立法與制度創(chuàng)新的掣肘。理論界應當采取更為務實的態(tài)度，將當前相關的個人信息條款解釋為法益規(guī)范，而個人信息專門立法宜采用法益行為規(guī)制路徑，圍繞著個人信息多重利益的實現(xiàn)，進行平衡機制的創(chuàng)新。