孫蓉

一、個人信息控制權的賦權必要性

《個人信息保護法》的出臺順應時代發(fā)展，解決數字經濟時代下大眾對個人網民信息提出的新要求，滿足社會大眾進一步加強網民個人信息保護的愿望。《個人信息保護法》對個人信息處理者應有義務作出了明確規(guī)定[1]，同時對個人在信息處理當中所擁有的七大權利進行明確，更是在法律中明文禁止了大數據“殺熟”等相關的自動化決策。在民法界，《民法典》進一步強化人格權地位，增設了人格權編，并在其中明文規(guī)定個人信息的范圍，個人信息保護的重要性通過《民法典》中的變化進一步得以強調。

網民個人信息保護之所以在如今時代變得如此重要，與我國逐漸成為信息化國家息息相關，日常生活中的基本生活的實現，諸如微信交流，支付寶付款，無一例外都涉及個人信息的傳播，在網民個人信息幾乎不可避免地暴露在公眾范圍內的情況下，網民個人信息面臨著越來越大的保護風險，網民個人信息被非法獲取、非法利用。非法泄露等問題屢見不鮮，個人信息保護遭遇前所未有的挑戰(zhàn)，加強數字經濟時代下個人信息控制權保護成為21世紀數字法治發(fā)展的重要任務。網民個人信息的保護日益重要的同時，對個人信息擁有者權利保障以及維權的立法規(guī)定卻處于滯后狀態(tài)，《個人信息保護法》中明文規(guī)定個人信息處理者的權利義務，但是對個人信息處理者的權利以及如何維權只是進行簡單的概述，當個人信息處理者權利被侵犯，要通過何種手段，行使何種權利來維護自身權利呢這是目前個人信息保護立法學界需要思考的問題

基于此，筆者認為，研究個人信息控制權是當前學術界的重要任務，只有對個人信息控制權的基本法理加以明確，才能為個人信息控制權深入研究提供應有的理論基礎，進一步推動完善數字時代下個人信息保護理論體系，為個人信息保護立法體系的進步提供支持。

二、個人信息的定義及其雙重法律屬性

（一）個人信息的定義

“信息”這一詞語最早是出現在《信息傳輸》一文中，作者哈特萊首次采用“信息”一詞，雖然“信息”作為科學術語已經存在近百年，但是理論界與實務界依然對“信息”的概念存在諸多爭議。從我國《民法典》與新頒布的《個人信息保護法》可以看出，我國學界承認“個人信息”這一說法。一般來說，個人信息與其他信息最大的區(qū)別在于是否具有可識別性，并認為個人信息是可識別自然人的所有信息。從各國的不同定義可以看出，目前主流還是以識別性作為對個人信息定義的一大特點，在數字經濟時代下，個人信息的范圍在不斷通過各種形式擴張，出現了一些對個人信息擴充的說法，諸如關聯性定義，即把所有與人相關的信息都稱為個人信息，最大范圍定義了個人信息。筆者認為，關聯性定義雖然涵蓋的范圍大，但是頗有“眉毛胡子一把抓”之意，要想突出“個人信息”所具有的獨特性，該“信息”就不能將所有與個人關聯的所有信息都納入其中，“個人信息”應當是可以識別某個特定人的“獨有信息”，這種“獨有信息”具有排他性，不可隨意替換與更改，具有很強的識別性，只有具備這些特征的信息才可以被稱之為合格的“個人信息”。因此，可識別性是個人信息最重要的特征之一。

個人信息的內涵上，學界也存在著不同的表述，主要包括概括式和概括+列舉式，我國出臺的《個人信息保護法》僅僅采用概括的方式，并沒有具體進行列舉，筆者認為，隨著個人信息范圍的不斷擴大，雖然明確個人信息的具體類型可能會存在片面性，但是從我國個人信息保護現狀以及我國發(fā)展國情看，對個人信息應當盡可能明確具體類型，同時設定一定的原則性的兜底條款。將個人信息具體類型納入法律中，有利于立法保護的具體落實，避免司法實踐中不必要的爭議。設立原則性兜底定義，有利于順應時代的發(fā)展，為未來可能誕生的新的個人信息類型提供法律支持。綜上，筆者認為，對個人信息的定義，應當以識別性作為主要特征，在內涵上，采用概括式+列舉式，同時輔以原則性的兜底定義。

（二）網民個人信息的雙重法律屬性

自然人的個人信息，應當與一個人的生命以及健康，身體等因素息息相關。人格權的客體是生命、健康與身體等與個人不可分割的部分，個人信息又與這些部分不可分離，個人信息毫無疑問具備人權屬性。即便在數字網絡世界，信息的處理方式與記錄方式在發(fā)生著巨大的變化，但是網民個人信息始終體現著人的尊嚴與自由，帶有強烈的人格屬性，在數字社會，網民的個人信息是人格的數字化。網民的個人信息在數字社會中實際上就是自然人在“虛擬世界”人格的體現，侵犯個人信息，隨意篡改、惡意詆毀個人信息，實際上就是對人進行人格上的侵犯。在現實生活中這種通過詆毀個人信息，使其“聲敗名裂”的例子屢見不鮮，為大眾所熟知的“人肉搜索”實際上就是通過曝光個人的姓名，樣貌，家庭地址等個人信息，達到對這個人的準確識別，一旦被“人肉搜索”，無論面臨的是好消息或是負面評價，都會給當事人的正常生活與精神上帶來極大的變動甚至是困擾，個人信息所體現出的人格屬性，是自然人在社會交往生活中作為一個“社會人”所呈現的人格尊嚴。

數字經濟下，一切可用來產生經濟效益的物質都具有財產屬性。網民個人信息的產生離不開人格而存在，但是當信息主體把個人信息的使用權利讓渡從而獲得相對的經濟利益時，網民個人信息獲得了“價值”，這種價值便是一種“財產價值”。在獲取、進行流轉以及利用個人信息的過程當中，網民個人信息無疑都蘊含著巨大的商業(yè)價值，能夠滿足網民個人信息所帶來的獨有的商業(yè)需求，具有天然不可忽視的財產屬性。同時，作為個人信息擁有者，對個人財產擁有支配權，網民個人信息可以自由轉讓，繼承，買賣，擁有與其他財產權類似的權利。但網民個人信息其不像其他財產權一樣可以脫離主體存在而不受控制地進行交易與買賣，網民個人信息在進行每一次的商業(yè)交易時，應該像著作權等知識產權一樣，得到原始的個人信息產生者的同意，以此來保護個人信息的合法流通。

三、個人信息控制權概念及其法律屬性

（一）個人信息控制權基本概念

“一項新興（型）權利要得到證成首先要符合權利的標準概念，即被保護的合理性”。[2]筆者認為，在數字經濟時代下，賦予個人信息擁有者權利是保護個人信息的一種必然趨勢，個人信息控制權可以與其他權利明顯進行區(qū)分且存在其獨有的價值，其自身也具備獨立的法律地位，屬于一種獨立的權利。雖然該權利并未在法律當中明確，但是在刑法、民法，以及新出臺的《個人信息保護法》均可以起到法益層面的解釋作用，不可忽視其作為新型權利存在的必要性。

個人信息控制權作為一項數字經濟時代孕育出的新興權利，由于“露面少”，“初出茅廬”，目前學界對其有深入研究的少之又少，其基本的概念界定，目前更是無統一定論。美國憲法學家威斯汀較早提出了“個人信息控制權”，并將隱私權定義為“自己決定何時，如何，以及在何種程度下傳遞有關個人信息給其他人的權利”，后被認為是“個人信息控制權”，并被廣大學者接受。我國學者齊愛民于2005年最早提出了“個人信息權”，隨著“個人信息”范圍不斷擴大，個人信息控制權的內涵也應不斷擴展，個人信息控制權概念界定應當基于個人信息的定義。鑒于此，筆者認為，個人信息控制權是個人信息擁有者享有的對法律規(guī)定的個人可識別信息受法律保護，不受他人支配的權利。

（二）個人信息控制權的人格權屬性

厘清個人信息控制權與隱私權的關系是確定個人信息控制權法理屬性的基本問題。個人信息控制權與隱私權的關系一直都是學界廣為探討的話題。學界主要分為有兩種立場：第一種認為個人信息控制權與隱私權屬于同一法益，即“一元說”；第二種則認為二者屬于不同性質的不同法益，即“二元說”。日本是典型的“一元說”代表國家，雖然未在法律中明確規(guī)定個人信息控制權，但在日本學界則認為個人信息控制權的出現，主要功能還是為了實現對隱私權的保護?！岸f”的代表是美國，區(qū)分了“信息隱私權”與“隱私的侵權行為”，認為信息隱私只是屬于隱私權的一部分，二者所受到的法律保護不一樣，信息隱私通過侵權法進行保護，但是在具體的應用當中并沒有明確。隱私主要是指當事人不愿意讓他人知道的只屬于個人的信息是一種私人的秘密，個人信息的基本涵蓋范圍顯然要大于隱私所涵蓋的范圍，將個人信息控制權與隱私權混為一談，在范圍上就存在明顯矛盾，從目前個人信息范圍不斷擴大的趨勢來看，個人信息不能與隱私混同，而應當根據其涵蓋的不同范圍有區(qū)別地進行保護。

英國的信息保護登記官曾說：“信息保護立法，是民事權利立法”?！睹穹ǖ洹返谒木帉€人信息置于人格權編，將個人信息納入民法規(guī)制的范圍內，表明學界已經廣泛承認了個人信息屬于民法領域。離開《民法典》的調整規(guī)范，不利于個人信息的流通與保護，因此，首先應當將個人信息控制權作為一種重要的民事權利加以保護，這是理論所需，也是時代所趨。

以往學術界對個人信息控制權法律屬性的爭議通常是圍繞著其屬于所有權還是隱私權，在這個問題上產生不同的學術觀點。從目前理論研究發(fā)展來看，這兩種學說顯然已經不屬于主流觀點，取而代之的是人格權說以及人格權兼財產權說。齊愛民是人格權說觀點的代表人物，他認為個人信息體現出來的利益實際上是代表了一個人的人格尊嚴，所以當對個人信息進行收集利用時，人格尊嚴與自由必然會受到影響。[3]人格權兼財產權說的代表是劉德良教授，認為確定個人信息的權利，應當根據具體體現的價值來確定，認為個人信息控制權既可以是人格權，也可以是財產權，取決于其維護的利益。[4]

個人信息對維護個人尊嚴具有重要意義，從這個角度看，個人信息毫無疑問具有人格屬性。那么個人信息控制權是否具有人格權屬性呢？筆者的回答是肯定的。對個人信息控制權法律屬性界定問題應當回到“權利”本身上，個人信息依附在個人之上，首先具有人格屬性，只有當其作為一種可轉換、買賣的商業(yè)資源時擁有財產屬性，需要明確的是，個人信息產生財產效益，并不是說明個人信息本身就具有財產效益，直接依附在個人的個人信息并不能直接體現財產效益，當個人信息與人身分離單獨作為一種財產時，就產生了物質利益。而個人信息控制權作為個人信息擁有者對個人信息的掌控權而產生的權利，其本身始終依附于人身，“信息”可以交易，“權利”卻不被允許，個人信息控制權始終體現著強烈的人格要素[5]，體現著“人之所以為人”的人格權利，對個人信息進行控制，實際上是將自身可接受的自我展現信息通過他人傳遞出去。這種信息的展示同樣也是一個人基于自身的社會交往需要，基于讓他人通過信息識別自己的需要，在這個基礎上，控制自己的信息不被他人非法干擾。這種權利本身跟人有著極強的人身屬性，一旦權利脫離當事人，權利隨之就會失去其最基本的人格屬性而失去意義，從這個角度可以看出，個人信息控制權毫無疑問具有人格屬性。因此，筆者認為個人信息控制權是數字時代下一種新型的、獨立的人格權。

四、個人信息控制權的權利架構

個人信息控制權的權利主體應當來自不同的主體，包括權利本身的來源主體，管理方主體，使用方主體等。個人信息控制權的主體是變化的，在不同的階段，個人信息控制權的權利主體不同，這主要是因為個人信息本身的流通性所導致的，由于個人信息在不同領域流通，個人信息控制權的權利主體也會不斷發(fā)生變化，這也是個人信息控制權權利主體確定與其他權利主體確定的一大不同。

個人信息控制權權利架構的重點問題之一是厘清權利客體。在司法實踐中，如何界定個人信息權利遭到侵犯，首先就需要明確權利的客體，這是司法界急需明確的問題。隨著數字時代的到來，權利的客體范圍必然在不斷改變，出現了依附信息產生的各種新型權利，信息自決權，信息安全權等，這些權利的誕生都有一個共同的權利客體—信息。同時，我們也應當認識到，個人信息控制權的產生，不僅僅是對個人私密信息的保護，同時是對可公開可識別的個人信息的合理限制，基于此，個人信息不應該僅僅強調私密性，還應當認識到其作為公眾知情信息的一部分，具有流通性，例如在新冠疫情下，出于對社會集體利益的保護，作為確診者，密接或者次密接人員，其個人姓名與個人軌跡應該為大眾所知悉。對于個人信息的保護，一方面，要考慮對具有強烈人格尊嚴的個人信息的私密保護，這種保護應當是嚴格的，這時候的個人信息可以被視為一種“不可侵犯的隱私”，但同時，對于具有公共性質（滿足生活需要）的個人信息，則要允許其在合理范圍內的流通。因此，個人信息的權利客體，應當包括主體所擁有的個人信息，以及與其相關的個人信息，該信息應當包括個人的私密信息與在合理限制下需滿足社會公共利益的個人信息。

個人信息控制權的權利內容，具體就是指個人信息權利的在個人信息的流通、傳播、存儲中所體現的個人權利。當然，個人信息控制權的權利內容遠不止局限于《個人信息法》中所規(guī)定的權利。隨著個人信息保護涉及的范圍不斷擴大，個人信息控制權權利內容也將不斷更新。盡管理論界對個人信息控制權的權利內容認知有所不同，但是主要觀點都是保持個人對個人信息的有效控制，讓個人信息在個人的控制下得以利用，是當代實現個人信息價值的核心。基于這個角度，個人信息控制權的權利內容還應當包括決定收集權（決定個人的信息能否被收集）、異議權（對不當信息收集行為表示異議）、利用權（充分利用個人信息獲得利益）。

個人信息控制權需要得到法律上的認定。個人信息控制權需要在法律體系當中擁有一席之地，就要進行法律上的認定，從目前個人信息保護立法看，無論是《個人信息保護法》還是其他部門法，都沒有明確將個人信息控制權納入保護的范圍當中。必須通過具體的法律條文明確個人信息控制權，從多個不同的角度保護對個人信息控制權加以保護，包括權利主體的合法性確認，權利客體以及內容的完整性，在法律層面確定個人信息控制權的合法性，可以為個人信息控制權發(fā)揮其對個人信息擁有者的權利保障提供法律支持。