陳 國 軍

(華東政法大學 國際法學院,上海 200042)

一、引言

20世紀80年代初，隨著個人計算機誕生并迅速進入民眾的工作和生活，人類社會開啟了以單機應用的數字化為主要特征的信息化1.0時代。其后，在不到20年的時間內，互聯網的世界商業(yè)應用方式推動了以聯網應用的網絡化為主要特征的信息化2.0時代。當今，美國、歐盟、俄羅斯和中國等世界主要國家或地區(qū)正進入基于大數據分析處理的數據深度挖掘和融合應用為主要特征的信息化3.0時代，即數字化、網絡化和智能化融合的大數據時代。在大數據時代，數據演進為一類新型的生產資料。2019年10月，中共中央十九屆四中全會將數據與勞動、資本、土地等并列為生產要素。2020年3月，中共中央和國務院進一步提出，要加快培育數據要素市場，提升社會數據資源價值，加強數據資源整合和安全保護。2021年10月，習近平總書記在中共中央政治局第三十四次集體學習中強調：“要站在統籌中華民族偉大復興戰(zhàn)略全局和世界百年未有之大變局的高度，統籌國內國際兩個大局、發(fā)展安全兩件大事，充分發(fā)揮海量數據和豐富應用場景優(yōu)勢，促進數字技術與實體經濟深度融合，賦能傳統產業(yè)轉型升級，催生新產業(yè)新業(yè)態(tài)新模式，不斷做強做優(yōu)做大我國數字經濟”(1)把握數字發(fā)展趨勢和規(guī)律推動我國數字經濟健康發(fā)展，http://cpc.people.com.cn/n1/2021/1020/c64094-32258470.html.。由此，數據流通成為推動數字經濟有效運行的內在邏輯要求(2)高富平：《數據流通理論-數據資源權利配置的基礎》，《中外法學》，2019年第6期。。在數字經濟視角下，個人已悄然從“生命人”“自然人”或“經濟人”轉型為“數字人”。個人信息又稱為個人數據，是數據資源的一種類型，通過對個人信息的使用，自然人可在社會領域中標識自身，與第三人建立各類社會關系，開展各類政治、經濟和情誼等活動，實現主體的人格尊嚴和人格自由。同時，個人信息使用者可以此勾勒出信息主體的精準個人“畫像”，以滿足個性化的需求、降低企業(yè)運營成本、提供完善的公共服務，個人信息的使用已成為第三方和社會進行相關科學研究、商業(yè)經營和社會治理等事項不可或缺的原要素。然而，對個人信息的不當、泛化或違法使用，極易侵害個人民事權益，損害其人格尊嚴和人格自由，甚至會嚴重危及人身和財產安全。根據中國消費者協會發(fā)布的2018年《App個人信息泄露情況調查報告》，有85.2%的受訪者個人信息曾被泄露，位列前三的信息泄露方式為騷擾電話或短信、詐騙電話和垃圾郵件，還有部分受訪者的個人賬戶密碼被盜(3)中國消費者協會：App個人信息泄露情況調查報告，http://www.cca.org.cn/jmxf/detail/28180.html.。在徐玉玉被電信詐騙案中，詐騙者利用非法取得的個人信息，通過電話詐騙徐玉玉用于就讀大學的費用9900元，造成徐玉玉嚴重的精神痛苦，導致心臟驟停死亡，引起社會高度關注(4)“徐玉玉被電信詐騙案”一審宣判主犯陳文輝被判無期徒刑，https://www.chinacourt.org/article/detail/2017/07/id/2928287.shtml.。因此，個人信息的私法保護與共享已成為大數據時代的內生矛盾，也是亟待解決的重要法律問題。

我國針對個人信息保護的立法可溯及2009年2月《刑法修正案(七)》，該修正案新增了出售、非法提供公民個人信息罪。此后，2015年11月《刑法修正案(九)》增設了非法獲取公民個人信息罪。上述兩項罪名，在刑事領域為個人信息鑄就了保護盾。2012年12月28日《全國人民代表大會常務委員會關于加強網絡信息保護的決定》生效，該決定明確“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”，雖將個人信息的表現形式限于電子信息，個人信息主體囿于我國公民，但開啟并推動了我國就個人信息保護的綜合立法進程。2013年修訂的《消費者保護法》從消費者人格尊嚴的視角規(guī)定了個人信息的保護內容。2017年施行的《網絡安全法》規(guī)定了在網絡運營環(huán)境中對個人信息的保護，并將個人信息的表現形式延拓至“電子或其他方式”，義務主體限于網絡運營者。同年實施的《民法總則》第111條規(guī)定個人信息受法律保護，但因個人信息的法律屬性尚存有較大爭議，該條主要用于宣示法律對于個人信息的私法保護，并為侵害個人信息的案件提供相應的裁判基準(5)梁慧星：《民法總則講義》，法律出版社，2018年，第99-100頁。。2020年5月通過的《民法典》將《民法總則》編為總則編，繼續(xù)沿用原條文，同時在人格權編中以6個條文具體規(guī)定個人信息的民法保護規(guī)則，在物權編第219條、合同編第501條和侵權責任編第1226條中就特定情形的個人信息保護做了規(guī)定。2021年9月施行的《數據安全法》系數據安全領域的基本法，其規(guī)制對象為數據的處理活動，并不注重個人和非個人數據的分類，而是基于安全目的對數據分級分類。2021年11月施行的《個人信息保護法》是針對自然人個人信息保護的單行法，填補了《民法典》中相關個人信息保護不完全法條的內容，建構了個人信息保護的監(jiān)管體系，將公法和私法救濟方式并行列入，融合了公法規(guī)范和私法規(guī)范，但與《民法典》一致，該法并未采用“個人信息權”的表述。上述法律已構建了我國個人信息的私法保護和利用的基本規(guī)則，鑄就了個人信息的私法保護盾。

依據我國現行法律，除特殊情形外，個人信息處理者應遵循合法、正當、必要、誠信和目的限制原則，“取得個人的同意”，方可處理。知情同意規(guī)則由此成為個人信息保護制度的核心內容，但在學理和實踐中時常泛化使用知情同意規(guī)則，將知情同意視為某種權能，由此認為個人信息權益為具體的人格權(6)葉名怡：《論個人信息權的基本范疇》，《清華法學》，2018年第5期。。此易令人誤認為自然人對其個人信息享有排他性的絕對支配權，進而阻礙了對個人信息的利用。筆者認為，個人信息承載了多項法益，即人格尊嚴和人格自由、第三人利益以及社會價值，需要得到妥洽的平衡。故而，既需要加強對個人信息的保護以實現對人格的尊重和自由的保障，又需要促進個人信息的合理流動以維護公共性和社會性。本文通過對兩大法系主要國家個人信息保護歷史源流理論和實踐的比較分析，嘗試回答在大數據時代下我國的個人信息保護規(guī)則所保護的個人權益的法律屬性，以及如何妥適解釋現行個人信息處理規(guī)則以實現個人、企業(yè)和社會三者利益的相互平衡，在數字經濟領域推動構建新發(fā)展格局、暢通國內外經濟循環(huán)。

二、個人本位下個人信息的私法保護

個人信息又稱為個人數據，國際法上可溯源至對個人隱私權的保護。1948年12月，聯合國大會通過的《世界人權宣言》(UDHR)第12條規(guī)定了個人的隱私、家庭、住宅和通信不得被任意干涉，被認為是個人隱私權保護的國際法基本條款。1988年，聯合國人權委員會進一步將個人數據納入隱私權的保護范圍。個人本位下的個人信息保護以個人信息個人控制論為理論基礎，具體表現為兩種路徑：一種是基于人格尊嚴基本權利的歐盟及其成員國個人數據權利保護，另一種是基于個人自由的美國隱私權保護(7)高富平：《個人信息保護：從個人控制到社會控制》，《法學研究》，2018年第3期。。盡管兩類保護路徑存在明顯差異，但所達成的法律效果卻是一致的，即個人數據的使用可由其主體控制，體現對個人尊嚴和自由的保護，同向推動了20世紀80年代國際社會隱私權保護規(guī)則的形成和完善。

(一)基于人格尊嚴的歐盟個人數據保護制度

歐洲的個人數據保護理論被認為源自人的基本權利保護。申言之，人格尊嚴是人權保護的一項基本權利，保障人格尊嚴的內在要求之一是保護個人數據，因為個人數據蘊藏著主體的人格尊嚴。1953年生效的《歐洲人權公約》(ECHR)第8條來源于UDHR第12條，但并未用“個人隱私”，而是規(guī)定了個人享有私人和家庭生活得到尊重的權利。1981年歐洲理事會(COE)直接依據ECHR第8條制定了《個人數據自動處理中的個人保護公約》，在2012年修改時，該公約規(guī)定應通過對個人數據及其處理的控制權來實現對個人尊嚴的捍衛(wèi)和對基本人權的保護。1995年的《歐盟議會與歐盟理事會關于涉及個人數據處理的個人保護以及此類數據自由流通的第95/46/EC號指令》(DPD)肯定個人享有保護個人數據的權利，并豐富了個人數據保護權利的內容，其第15條規(guī)定了個人享有不受個人數據處理者自動處理結果約束的權利。在DPD的基礎上，由歐盟主導起草的2000年《歐盟基本人權憲章》第8條第1款將個人數據保護權明確為一項憲法意義上的基本權利，該憲章此后被納入《歐盟憲法條約》，終被并入《里斯本條約》而成為具有法律效力的文件。正是基于上述頂層設計的邏輯演化，歐盟是以憲法層面的基本權利為原點，將個人數據保護納入基本權利保護的領域。

上述歐盟的立法亦得到歐洲國家立法和司法的積極響應。法國、比利時、西班牙、瑞典等國的憲法將個人數據權利規(guī)定為基本權利(8)Christopher Kuner：《歐洲數據保護法：公司遵守與管制》，曠野等譯，法律出版社，2008年，第20頁。。1983年德國聯邦憲法法院在“人口普查案”的憲法訴訟中，認定德國聯邦政府頒行的《人口普查法》存在部分違憲，以判例形式確認公民可基于人格尊嚴享有個人信息自決權，該權利是一般人格權的具體化(9)王澤鑒：《人格權法：法釋義學、比較學、案例研究》，作者2012年自版(臺北)，第235頁。。

由于互聯網和電子商務的跨越式發(fā)展，DPD很快便不能提供有效的個人數據保護規(guī)則供給。2016年，歐盟頒布了《一般數據保護條例》(GDPR)以取代DPD，在DPD實踐經驗的基礎上，GDPR繼續(xù)拓展個人數據主體的權利種類以增強個人對數據的控制，明確了數據可攜權、知情權、刪除權(被遺忘權)、更改權、限制處理權、反對權和拒絕自動分析約束權，體現了對個人尊嚴的保護。

需要指出的是，歐盟同時關注到基本權利之間會存在沖突，在各類立法中也嘗試平衡個人數據保護與其他基本自由權利的關系，以促進數據的自由流通。于此，筆者認為，歐盟在立法上是將個人數據保護納入憲法基本權利保護層面，通過賦予主體個人數據保護權以保障其人格尊嚴。在此邏輯下，個人數據被視為人格的延伸，是一類具體的人格要素，故應由主體控制，其底層蘊含著個人數據控制論。但歐盟的個人數據保護的邏輯亦存在一個內在矛盾。依據《個人數據自動處理中的個人保護公約》，個人數據上的權利被明確為“個人數據保護權”，其內容被表述為“控制和處理個人數據的權利”。按民法法理，“個人數據保護權”與“個人數據權”有異，前者強調對個人數據的消極保護，是一種防御性的權利，后者重在對個人數據的支配和控制，屬于絕對權。而“控制和處理個人數據的權利”表明該權利可直接支配個人數據，對應的是“個人數據權”，并非“個人數據保護權”。歐盟通過對個人數據保護權的限制來緩解這一矛盾。具言之，歐盟一方面承認個人對其個人數據享有控制權，通過歐洲人權法院、憲法法院提供相應的救濟和保護，另一方面認為個人數據保護權只是實現個人尊嚴和基本自由的一項權利，個人數據的處理應當為人類服務，個人數據保護權需要與其他基本權利協調而發(fā)揮作用，在與信息自由權和公眾知情權等基本權利發(fā)生沖突時，后者優(yōu)于前者。

(二)基于個人自由的美國個人信息保護制度

與大陸法系不同的是，美國并未構建人格權理論體系，而是在司法實踐中基于普通法創(chuàng)設出隱私權制度體系。學界普遍認為，作為法律上的概念，隱私權起源于美國。1840年,Warren和Brandeis在《隱私權》論文中首次在法學上定義了隱私權，即個人享有獨處的權利。此論文在《哈佛法學評論》發(fā)表后，逐步在司法實務中受到肯認，至1960年，美國聯邦及各州法院形成關于隱私權的300余件判決，但在隱私權內容上并未達成一致。1960年，Prosser教授發(fā)表《論隱私》一文，梳理司法案例，將侵害隱私權歸納為四種類型，確認“不受干擾的獨處”為隱私權的核心內容，構建了美國侵權行為隱私權的基本體系。從法理上看，不受干擾的獨處權利是個人自由理念在權利上的表現，而個人自由被認為是美國憲法的基本權利。換言之，美國的隱私權具有憲法基本權利的性質。

隨著個人電腦的普及應用，個人信息以電子記錄方式成為常態(tài)，美國學界和實務界逐步將對個人信息的控制權利納入隱私權的范圍。1967年，Westin在《隱私與自由》中，將隱私權定義為主體的個人信息披露權利。此被認為是個人控制論的肇始，后人也將該個人信息披露權利稱為信息隱私權。同時，隱私權的內容隨著司法判例的增多而不斷得到充實。1977年，在Whalen v. Roe案件中，美國聯邦最高法院肯定了憲法上的信息隱私權。此后，美國一方面以法院個案利益衡量方式判斷個人信息處理的合憲性，另一方面制定保護個人信息的特別法，推動個人信息保護的發(fā)展演變。于此，美國將個人信息保護納入隱私保護領域。

美國沒有統一的個人信息保護制定法，相關規(guī)則分散于各領域的法律中。1970年《公平信用報告法案》規(guī)定消費者對信用機構使用的個人信息享有訪問權和更正權，并且要求信用機構以不公開的方式處理個人信息。1974年《家庭教育權利與隱私法案》明確因教育需要而使用的個人信息應得到個人的授權，而且該授權須為明示。同年的《隱私法》更將個人的授權同意作為美國聯邦規(guī)制機構處理個人信息的前提。而此后的《有線通訊政策法案》《駕駛員隱私保護法案》《視頻隱私保護法案》均延續(xù)并加強了個人信息授權同意規(guī)則的適用范圍，相關機構即便得到個人授權同意處理個人信息，但涉及轉讓第三方處理使用時，仍然要得到個人的再次授權同意。

個人信息控制理論起源于美國，隨后在實務中融入美國信息隱私權的構建，是構筑美國個人信息保護的理論基石。個人信息控制是個人自由的體現，個人自由意味著個人自治，美國的隱私權是廣義的大隱私權體系，信息隱私權是對于個人信息的控制權。在司法實踐中，美國聯邦最高法院也認為隱私內含個人對相關個人信息的控制。個人享有信息隱私權，可以控制個人信息，有權簽訂個人信息許可使用合同，個人信息因此便可商品化，美國通過另行創(chuàng)設一類公開權，將個人信息蘊含的財產屬性納入公開權的內容。

值得注意的是，美國憲法第一修正案確立了言論自由和出版自由的優(yōu)位價值，而言論自由和出版自由是信息自由的具體表現，故而個人信息隱私權的行使仍然要受到信息自由這一憲法價值理念的限制。但是，個人信息的商品化利用脫離了隱私權的內容范圍，由公開權予以規(guī)制，公開權屬于財產權屬性，適用財產權規(guī)則，受到的限制較少。

(三)個人本位下的弊端：個人信息控制的泛化和異化

個人本位下的個人控制論，基本論點是認為個人對其個人信息享有控制權。就此而言，無論是歐盟基于基本權利對個人數據保護的路徑，還是美國基于個人自由價值通過具體的隱私權和公開權對個人信息保護的方式，兩者最終達到的法律效果是一致的，即個人享有對個人信息的控制。然而，對個人信息的處理需以處理者對個人信息控制為前提，個人應將其對個人信息的控制授權予信息處理者，后者方可開展個人信息處理事宜。在此邏輯下，知情同意規(guī)則自然成為歐盟和美國個人信息保護的核心內容，此處“同意”的法律屬性也應理解為授權。法律通過對個人信息控制的保護，歐盟可落實其憲法層面基本權利的現實效力，美國則體現了其對個人自由理念的保障和踐行。

從文義解釋看，控制意為現實地占有和使用，雖然控制并不等于排他性支配，但在歐盟處于憲法基本權利層面的個人數據保護權，以及在美國以具體的隱私權和公開權形式出現的個人信息權，這種以權利模式保護的邏輯本身，已自覺或不自覺地將控制泛化且異化為排他性的支配。不可否認的是，歐盟和美國也關注到這一問題，因為雙方均未將知情同意規(guī)則設立為對個人信息處理使用的唯一合法性基礎。歐盟通過其他基本權利的優(yōu)位性來限制個人數據保護權的行使，美國通過信息自由的價值優(yōu)位來制約信息隱私權的法律效力，雙方均適當地抑制了個人信息控制的泛化和異化的效果。但并未從權利邏輯自身解決這一問題，反而影響了權利主客體理論的邏輯自洽。就權利主客體理論而言，客體是主體支配的對象，支配是在客體上實現主體的意志。依此，歐盟的個人數據保護權或者美國信息隱私權的客體均為個人信息，以控制來弱化支配，并輔以其他基本權利或信息自由價值對上述權利的限制，無異于緣木求魚，并非解決良道。

個人信息控制的泛化和異化是個人控制論邏輯演化的產物，契合了個人本位下個人信息保護的范式，但并未能有效平衡個人信息上的公共性。申言之，個人本位下的個人控制論關注的是個人信息上具體個人的人格尊嚴和人格自由，而作為抽象的自然人整體的人格尊嚴和人格自由在個人信息領域的實現，更需要關注于個人信息的公共性。當然，個人信息保護有其發(fā)展的過程，如果說個人控制論是保護個人信息理論的1.0版本，則個人信息社會控制論是2.0版本。需要指出的是，后者并非前者的全然否定版本，而是與社會本位背景相耦合的進階版本。

三、個人信息社會控制論及其運行機理

個人信息并非現代社會的產物，其伴隨著人的社會性而客觀存在，但真正受到重視是在20世紀后半葉，上文所述的以個人控制論為理論基礎的個人信息保護制度也是基于20世紀70年代的社會環(huán)境而出現的。在那個時期，計算機為個人信息的電子化存儲提供了跨時代的技術支持，個人信息尚依賴于個人的主動提供，客觀上，個人對其個人信息具有實際的控制力。但進入21世紀以來，全球互聯網的普及、云計算、大數據和人工智能技術的應用使得絕大多數情形下個人信息的收集已無須個人主動提供，而可由各類傳感器、網絡留痕記錄軟件、身份識別系統等信息通信技術自動采集，信息處理者可以極低的成本大規(guī)模地采集、傳輸和分析個人信息，個人信息的商業(yè)和社會價值得以充分挖掘，成為推進數字經濟的重要因素。從技術層面上看，個人已難以成為其個人信息的控制者。個人控制論在應對個人信息保護與社會化利用矛盾時，已然捉襟見肘，未能提供有效的理論支撐。

在個人信息社會控制的理論背景下，個人信息被認為是社會的公共資源，個人信息不再是個人所控制、所支配的對象，個人信息的使用不再是個人授權的法律后果，但這并不意味著他人可自由使用個人信息，是否可以使用以及如何使用由社會決定，即由法律決定。如此，社會控制論的運行機理主要有以下三項特征：

(一)個人信息在多種利益形式下的有效平衡

本質上而言，個人信息蘊含著個人利益、企業(yè)利益和社會公共利益。在社會控制論視野下，社會公共利益是對具體個人利益的抽象形式，在這層意義上，社會公共利益等同于抽象的個人利益，可被還原為一個個相同的具體個人利益，但由于抽象的個人利益代表了所有人的利益，故而在價值順位上優(yōu)先于具體的個人利益。企業(yè)利益包含兩部分，一部分是純粹的資本逐利，并不涉及個人利益，而另一部分是企業(yè)生產客觀上推動了生產力的發(fā)展和生產技術的革新，有利于民眾的福祉，此種利益也屬于抽象的個人利益，其優(yōu)位于具體的個人利益?？稍诖颂幣c個人控制論作一比較：社會控制論的內核依然是保護個人利益、人格尊嚴和人格自由，但并非如個人控制論主張的通過直接對具體個人的個人信息保護權或信息隱私權的保障而實現，而是通過將社會利益優(yōu)位的方式，間接保護個人利益。因為社會利益代表了一國民眾的整體利益，對整體利益的優(yōu)先保護，最終將更有利于發(fā)展和維護個人利益。

(二)依個人信息類別，分別適用信息處理的規(guī)則

從社會利益的視角上，區(qū)分個人信息的類別，適用恰當的信息處理規(guī)則。社會控制論并未否定個人對其個人信息享有的權益，而是不認可個人具有的信息自決權或排他性的支配權。但個人信息內容相當寬泛，有些涉及個體人身和財產安全，如被泄露或非法使用，易導致個人人格尊嚴和人格自由受到侵害，如基因識別信息、金融賬戶信息、特定身份信息等，此類信息與個人的人格尊嚴和人格自由關系密切，屬于敏感信息，應賦予個人必要的控制力。敏感信息以外的是非敏感信息，此類信息蘊涵的社會利益大于個人利益，對其處理和使用宜確立一般允許原則，通過對個人信息的共享，推動數字經濟的發(fā)展。

(三)政府等監(jiān)管部門應肩負個人信息保護的責任

從現實來看，承擔個人信息保護責任的主體由以個人為主轉變?yōu)橐陨鐣橹?，即以政府監(jiān)管部門或被授權的行業(yè)協會中心承擔。在大數據時代，個人信息的收集已從個人主動提供轉為由各類智能設備自動獲取，多數情形下個人并不知曉其個人信息被收集，面對數據的海洋，個人力量實在弱小，個人對其個人信息的客觀控制力愈發(fā)減弱。個人控制論下以知情為前提的授權同意模式，在個人與信息處理者之間建立的是契約關系，而此類契約通常以信息隱私條款、信息隱私政策、用戶使用協議等格式契約方式呈現，當事人雙方實力懸殊自然會在格式條款中反映出來，即便個人可通過司法路徑予以救濟，但對個人而言，實施的成本甚巨。而信息監(jiān)管部門對此類契約的介入監(jiān)管，難免有公權干涉私權之嫌。歐盟的GDPR已然關注到這一問題，其構建了一套個人數據的行政監(jiān)管制度來保護個人數據，但其法理邏輯上的自洽仍值得商榷。社會控制論主張個人信息處理由法律決定，對個人信息保護的主體責任自然應以社會為主，但并不排除個人對其個人信息保護的司法救濟途徑。如此，由信息監(jiān)管部門或者被授權的行業(yè)協會成為個人信息保護的責任主體，其調查能力、違法行為查處能力遠超個人，并且監(jiān)管部門還可采取多種行政處罰措施，對于違法主體的懲罰效果尤為明顯，而這恰好彌補了奉行填平原則的民事救濟制度的不足。

四、社會本位下我國個人信息私法保護路徑的轉型

(一)《民法典》和《個人信息保護法》中個人信息權益的詮釋

我國《民法典》和《個人信息保護法》中均未采“個人信息權”表述，而是使用了“個人信息權益”。這是因為學界和實務界對于個人信息上的權益存在較大爭議，尚未達成一致。鑒于此，立法時對該問題暫不定性，但仍需加強對個人信息的保護，以個人信息權益稱之。筆者認為，在權利本位的高級階段，即社會本位階段，宜在社會控制論視野下詮釋我國的個人信息權益屬性。

1.個人信息權益是一類新型的民事人格權益，并非一種具體的人格權。長期以來，我國學界和實務界對于個人信息權益的性質主要分立為兩種觀點，即民事權利說和人格權益說。民事權利說認為，自然人對其個人信息享有的是民事權利中的個人信息權(10)楊立新：《個人信息：法益抑或民事權利——對〈民法總則〉第111條規(guī)定的“個人信息”之解讀》，《法學論壇》，2018年第1期。。在民事權利屬性下，有學者認為該權利是一種新型的人格權，也可稱之為個人信息自決權，權利主體可對其個人信息進行支配和自主決定，權能包括知情權、使用權和許可他人使用權(11)王利明：《論個人信息權的法律保護：以個人信息權與隱私權的界分為中心》，《現代法學》，2013年第4期。。人格權益說認為，自然人對其個人信息并不享有權利，享有的是民事上權益，該權益尚不具有絕對性和支配性(12)龍衛(wèi)球、劉保玉：《中華人民共和國民法總則釋義與適用指導》，中國法制出版社，2017年，第404頁。。有學者進一步指出，在《民法總則》中，立法者并未采用權利化的方式保護個人信息，而是通過對信息處理者行為的規(guī)制來平衡各項法益，即行為規(guī)制模式(13)葉金強：《〈民法總則〉“民事權利章”的得與失》，《中外法學》，2017年第3期。。

通過上文對歐美個人信息保護理論的分析，可以看出，我國的民事權利說是基于個人控制論，而人格權益說則是社會控制論在私法層面的產物。筆者認為，就我國《民法典》和《個人信息保護法》的立法意旨、具體的保護方式和法解釋學角度來看，并不能認為現行法律確定了自然人享有個人信息權或個人信息自決權，宜肯認人格權益說的解釋。

一方面，《民法典》對個人信息的規(guī)定，應理解為確立了自然人享有個人信息權益，而非個人信息權。《民法典》未采“個人信息權”表述，而除在總則編第五章“民事權利”中規(guī)定個人信息條款外，還將具體的個人信息保護條款列在人格權編第六章“隱私權和個人信息保護”，如此安排意味著即便將個人信息權益歸為民事權利，也應該是一種具體的人格權，即個人信息權。按我國人格權法理，人格權立法應適用法定主義(14)張平華：《人格權的利益結構與人格權法定》，《中國法學》，2013年第2期。。在立法實踐上，以隱私權益保護為例，我國法律對隱私從民事權益的保護逐步上升為隱私權的保護，在立法未明確隱私為權利之前，定性為隱私權益(15)程嘯：《侵權責任法》，第2版，法律出版社，2015年，第165-166頁。。個人信息雖規(guī)定在《民法典》總則編第五章“民事權利”中，但第110條以列舉方式明確了自然人享有的生命權、身體權、健康權、隱私權等9項具體的人格權，將個人信息單列為第111條進行規(guī)定，立法意旨實為區(qū)分具體人格權與個人信息。同時，在《民法典》人格權編第990條第2款規(guī)定了法律還保護具體人格權以外的基于人格尊嚴和人身自由產生的其他人格權益?！睹穹ǖ洹非謾嘭熑尉幍?164條、第1165條和第1166條亦明確規(guī)定民事權利和權益均為侵權法保護的范圍。由此，從文義解釋和體系解釋來看，《民法典》并未確立個人信息的民事權利屬性，而是將個人信息列為人格權益進行保護，故不能僅從《民法典》第五章的章名以及人格權編的編名進行簡單的認定，即只要列在該章、該編的權益均為民事權利。

另一方面，《個人信息保護法》雖然是一部對個人信息保護的綜合性法律，但并未改變個人信息民事權益的屬性。與《民法典》不同，《個人信息保護法》是通過對個人信息處理行為的規(guī)制，確立個人的相關權益和信息處理者的義務，以行政責任為主，也規(guī)定了過錯推定的侵權責任，包含了公法調整和私法調整兩部分內容(16)王苑：《個人信息保護在民法中的表達：兼論民法與個人信息保護法之關系》，《華東政法大學學報》，2021年第2期。?！秱€人信息保護法》第2條采“個人信息權益”表述，既是《民法典》第111條和第1034條規(guī)定的承繼與延續(xù)，即再次明確個人信息權益屬于民事權益，又是對個人信息保護模式的正本清源和體系拓展(17)龍衛(wèi)球：《中華人民共和國個人信息保護法釋義》，中國法制出版社，2021年，第8頁。。由于《民法典》主要從個人權益救濟視角，以侵權法規(guī)則來保護個人信息權益，而在個人信息共享的大數據時代，需要進一步從行政監(jiān)管角度對信息處理者加以規(guī)制，《個人信息保護法》超越了《民法典》的私法權益保護模式(18)周漢華：《個人信息保護的法律定位》，《法商研究》，2020年第3期。，從公法和私法兩個維度對個人信息權益予以更具體的保護。此種以單行法加強和深化基本法對個人信息保護的方式，只是立法方式的選擇，并未影響個人信息權益本身的民法權益性質(19)程嘯：《論我國民法典中個人信息權益的性質》，《政治與法律》，2020年第8期。。

2.個人信息權益是一種人格權益，而非財產性利益。有學者認為，個人信息上內涵了自然人的多元化利益，既有精神利益，又具有財產利益，應在具體情境下依據保護利益的屬性，分別適用人格權規(guī)則和財產權規(guī)則(20)刑會強：《大數據交易背景下個人信息財產權的分配與實現機制》，《法學評論》，2019年第6期。。在域外法上，就人格權上的精神利益與財產利益的立法保護模式有兩類：一是以德國為代表的一元化模式，通過將人格權保護范圍擴張到對人格要素上的財產利益，以人格權一體實現對自然人的精神利益和財產利益予以保護(21)王澤鑒：《人格權法：法釋義學、比較學、案例研究》，作者2012年自版(臺北)，第344頁。。二是以美國為代表的二元模式，即用隱私權制度保護人格權益中的精神利益，同時用公開權制度實現人格權益中的財產利益，隱私權不得轉讓，公開權可以轉讓和繼承。

筆者認為，我國的立法和司法實踐采用的是人格權益一元化的保護模式，并未給二元化模式留下解釋空間，理由有二：其一，《民法典》第993條規(guī)定，權利人可將姓名、名稱和肖像三項人格要素以許可方式進行商業(yè)化利用，表明將人格權益中的財產性利益納入人格權益中進行保護，而且該條位于人格權編第一章“一般規(guī)定”中，可作為共通性規(guī)則適用于其他人格權益。其二，《民法典》第1182條是對侵害他人人身權益造成財產損失的賠償責任規(guī)定，《個人信息保護法》第69條是對侵害個人信息權益造成損失的賠償責任規(guī)定，前者是保護人格權益中的財產性利益，后者是保護個人信息權益中的財產性利益，顯然并未設立另一種權利或權益以保護財產性利益，而是將之納入人格權益中一體保護。

3.個人信息權益是一種獨立的人格權益。個人信息權益不同于現有的其他人格權利，雖然與隱私權有密切的聯系，但兩者存在明顯差別，應予以區(qū)分。我國《民法典》第1034條第3款明確規(guī)定，個人信息權益與隱私權的密切連結點是私密信息，私密信息涉及隱私權保護和個人信息保護，私密信息是個人不愿為他人知曉的且不涉及公共利益的信息。隱私權是絕對權和排他性支配權，不存在合理使用規(guī)則，而個人信息權益是一種受法律保護的權益，可適用合理使用規(guī)則。如《民法典》第999條和《個人信息保護法》第13條第5項均規(guī)定，信息處理者可為了公共利益實施新聞報道、輿論監(jiān)督等行為合理使用個人信息，而在隱私權保護的限制范圍中，并不存在合理使用的限制。

(二)個人信息的“同意”宜解釋為違法阻卻事由，而非知情授權

《個人信息保護法》第14條規(guī)定了個人信息知情同意規(guī)則，第29條規(guī)定了敏感個人信息的特別同意規(guī)則。我國學界和實務界對此處“同意”的性質存在不同的觀點，主要可分為權益處分說、意思表示說和免責事由說。權益處分說認為，“同意”是對個人信息權益的處分，具體而言是一種為得到特定服務或商品而必須做出的權利處分(22)萬方：《個人信息處理中的“同意”與“同意撤回”》，《中國法學》，2021年第1期。。意思表示說認為，“同意”是一種意思表示，可適用《民法典》總則編第六章規(guī)定(23)陳甦、謝鴻飛主編：《民法典評注·人格權編》，中國法制出版社，2020年，第377-380頁。。免責事由說認為，“同意”屬于違法阻卻事由，并非意思表示(24)程嘯：《個人信息保護法理解與適用》，中國法制出版社，2021年，第148頁。。筆者認為，此處的“同意”的對象應理解為非敏感信息，“同意”屬性為違法阻卻事由，可歸為準法律行為。

首先，從立法過程觀察，第14條的“同意”已否定了意思表示說?！秱€人信息保護法草案一審稿》第14條第1款第1句規(guī)定：“處理個人信息的同意，應當由個人在充分知情的前提下，自愿、明確做出意思表示?！比欢?，在《個人信息保護法草案二審稿》中該條刪除了“意思表示”一詞。顯然，從立法本意上看，立法機關并未認可意思表示說。同時，該法第15條規(guī)定了“同意”的撤回規(guī)則。按民法法理，行為的撤回性質或為法律行為或為準法律行為，但非事實行為(25)事實行為的主體無須具有民事行為能力，而《個人信息保護法》第31條第1款規(guī)定了處理未滿14周歲未成年人個人信息應得到其監(jiān)護人同意，《民法典》第1035條第1款第1項規(guī)定了處理個人信息應征得該自然人或監(jiān)護人同意，顯然事實行為規(guī)則與此處的“同意”相悖。同時，事實行為的效力由法律直接規(guī)定，并不存在撤回問題。而準法律行為有表示意思，無效果意思，可參照法律行為規(guī)則，可以撤回。。故，從體系解釋觀之，此處“同意”應解釋為準法律行為。

其次，宜從社會控制論理論角度解釋第14條和第29條的“同意”。個人信息上承載了多元化的利益，社會本位下是權利本位的高級階段，應更注重信息的共享，從整體個人利益(社會利益)的層面推進數字經濟發(fā)展。此處的“同意”，是為信息處理者的處理行為提供合法性依據，排除行為的違法性，不構成對個人信息權益的侵害行為。申言之，法律保護的并非個人信息本身，而是蘊含在個人信息內的人格尊嚴和人身自由，個人信息的處理并非僅基于個人同意，而是基于法律規(guī)定，即便沒有個人同意，符合社會利益的信息處理行為也具有法律上的正當性(26)《個人信息保護法》第13條第1款第2-7項列舉了無須取得個人同意的合法性事由。。

再次，將“同意”解釋為知情授權，客觀上會弱化對個人利益的保護。從實踐上看，數據企業(yè)制定的隱私政策或隱私協議，為了維護企業(yè)的利益，數量多、內容繁復，作為個人消費者并不具備專業(yè)知識，在使用數據企業(yè)提供的產品和服務時，往往直接點擊隱私政策或協議中的“同意”選項。如果將“同意”解釋為知情授權，則在數據企業(yè)和個人消費者之間成立了契約關系，那么數據企業(yè)可以依據其優(yōu)勢的法律實力，通過格式合同對個人消費者設立不公平的條款，如設立有利于數據企業(yè)的爭議解決訴訟管轄權條款、仲裁條款，從而隱性地侵害個人消費者的權益。

最后，在認可“同意”為違法阻卻事由前提下，區(qū)分非敏感個人信息與敏感個人信息各自的同意規(guī)則，有利于協調個人信息保護與利用的關系(27)程嘯：《論我國個人信息保護法中的個人信息處理規(guī)則》，《清華法學》，2021年第3期。。應該注意到，非敏感個人信息與敏感個人信息上承載的直接社會利益不同，后者少于前者，后者更體現出個人利益，法律的天平可偏向個人利益的保護?！秱€人信息保護法》第29條針對敏感個人信息規(guī)定了特別同意規(guī)則，以一般禁止+例外允許構建了保護規(guī)則，可被認為是社會控制論對個人控制論借鑒的反映。

是故，個人信息處理規(guī)則的“同意”宜解釋為準法律行為，其具有違法阻卻事由功能。

五、結語

在大數據時代，數據成為新型重要的生產要素，流通是數據創(chuàng)造價值的本質要求。個人信息屬于數據的一類，與其他數據不同的是，個人信息承載了多元化利益，即個人利益、企業(yè)利益和社會公共利益。個人控制論和社會控制論分別為個人本位階段和社會本位階段的個人信息處理理論。個人本位和社會本位均屬于權利本位，是權利本位的不同階段。社會控制論并非個人控制論的全然否定，而是在個人控制論基礎上的進階，其有效地平衡了三類不同的利益。我國宜在社會控制論理論下，妥適詮釋個人信息的法律屬性，在保障個人信息權益的同時規(guī)范個人信息處理行為，促進數據產業(yè)健康有序發(fā)展。