民法典個人信息條款研究

柳福東，張育銘

（廣西大學 法學院，廣西 南寧 530004）

近年來我國個人信息保護在理論研究和司法實踐中都取得了重大進步，并相繼出臺了一系列個人信息保護的法律和規范性文件，其中民法典是當前我國個人信息保護的統領性法典，也是諸多個人信息法律文件的基石，其條款內容的規范和完善程度關系我國個人信息保護的法制格局。然而民法典針對個人信息的“權益”定位不利于我國個人信息的全方位保護，只有重新梳理民法典個人信息條款的表征與內涵方能為個人信息的權利化尋找可能的突破。

一、民法典個人信息條款的貢獻與成就

人類社會伴隨著計算機科技、通信工程和大數據等信息技術的跨越式發展而正式步入了信息網絡時代，其中個人信息保護成為最具新穎性的時代課題之一，民法典個人信息條款的問世回應了這一信息時代背景下的新挑戰和新問題，它從不同的角度為我國個人信息保護提供了全新的立法思路、立法探索和立法智慧。民法典第一編（總則）第111條具體而明確地規定“自然人的個人信息受法律保護”，這一條可以說是我國“個人信息保護宣言”；民法典還在第四編（人格權）設立“隱私權和個人信息保護”作為第六章，由此表明個人信息的人格屬性得到了正式的立法肯定；本章還規定了個人信息之基本概念、處理規則、抗辯事由以及個人信息與隱私的關系等內容，這些規定標志著我國個人信息保護法律體系得以構建，個人信息保護頂層立法框架的設計業已完成。

（一）縱向比較視角分析

一是明確個人信息概念。既往無論是學理上還是司法實踐中，個人信息的概念都極為混亂，零散分布狀態下的個人信息保護法律法規對個人信息的定義相互沖突，導致了法律適用的困難。現結合民法典第1034條第2款來看，其重點從兩個視角對個人信息加以定義：其一，表面狀態，個人信息是以電子或其他記錄方式表現出來的；其二，實質內涵，個人信息因其具有識別性從而能識別特定自然人。該款內容輔之以列舉方式對個人信息內容進一步加以界定，個人信息的概念至此基本得到完滿的法律表達，個人信息保護的底層設計基本完成。

二是明確個人信息法律關系主體之權利和義務。信息主體和信息處理者作為個人信息法律關系的主體，呈現出既對立又統一的矛盾共生關系。由于信息主體在二者的對抗和博弈中處于弱勢地位，民法典著重賦予信息主體權利，對信息處理者則重點強調義務，本法第1037條第1、2款明確規定信息主體享有查閱權、復制權、更正權、刪除權，信息處理者則負有相應義務，一方面，有利于公民更為行之有效地享有個人信息利益，另一方面，有利于給予更為堅實可靠的侵權救濟。

三是個人信息保護適用范圍的擴大化。民法典在網絡安全法的立法基礎上將個人信息的范圍進一步向外延伸和擴展，增加了健康信息和行蹤信息等內容，本法第1035條第2款將收集、存儲、使用、加工、傳輸、提供、公開個人信息等行為統一納入“處理”行為，基本上涵蓋了個人信息商品化的全部流程和環節。另外，此前電子商務法、消費者權益保護法及網絡安全法等單行法律只是將個人信息保護納入其他權益的保護之中，將個人信息定義為其他權益的下位概念，并未設立專門性的個人信息保護條款，存在立法真空。上述單行法律未予保護的個人信息極易成為侵權者鋌而走險的法律漏洞，民法典在第四編第六章創設獨立的個人信息條款，標志著個人信息保護范圍的擴大化，也意味著個人信息法律保護覆蓋范圍的基本完善。

四是厘清個人信息與隱私的關系。以往我國的立法探索總是過度強調個人信息與隱私的關聯性卻忽視他們之間的差異性，甚至衍生出將二者徹底視為一體的呼聲，致使長期以來二者的邊界愈益模糊，非常不利于二者關系的清晰甄別和分類保護。民法典將隱私定義為一種具體人格權，即“隱私權”，采用權利保護模式，而將個人信息定義為一種民事權益，并未將其作為一種具體人格權加以保護，即采法益保護模式。若某一行為同時構成侵犯二者的競合，根據第1034條第3款規定，采用隱私權優先于個人信息的保護模式。同時，雖二者被共同納入民法典第四編第六章，但在具體條款中又被加以區別。上述規定厘清了二者的法律邊界。

五是填補我國個人信息私法保護的空白。民法典頒布前，我國個人信息保護的規范主要體現在以刑法和行政法為首的公法體系中，①20世紀以來我國相繼制定的若干經濟法、行政法規范的部分條款即體現了個人信息保密之規定。民法典頒布前，我國系統性保護個人信息的法律規范主要有2013年的《消費者權益保護法》、2016年的《網絡安全法》（均屬經濟法部門）以及2015年的《刑法修正案（九）》。但是私法（尤其是民法）領域還是一片空白。公法手段雖能對個人信息違法犯罪行為起到極大的震懾作用，侵害者往往能受到與之相應的嚴厲懲罰，但由于信息主體個人信息私權益保護的缺位，受害者所受損失無法得到量化性的標準，并且其通常無法得到經濟上及精神上的救濟和補償，不利于個人信息的全方位保護。公法單一保護模式的弊端在新技術興起之前抑或是其出現的早期尚未明顯，主要原因是彼時侵犯個人信息之行為主要損害的是人格利益，刑法及行政法足以有效地制裁違法犯罪和彌補損失。但是，自新技術進入跨越式發展時期后，這一弊端逐漸激化，由于個人信息商品化的加強，個人信息侵犯行為能同時造成人格利益及財產利益的損失，公法已無法有效彌補受害者的財產損失，而財產利益是私人權益，其行使與保護遵循意思自治原則，屬于民法最主要的保護對象，故民法典的頒布有效地填補了我國個人信息私法保護的空白。公私相輔的立法選擇應是我國今后個人信息保護的理想道路。

（二）橫向比較視角分析

作為大陸法系的兩大民法典代表，頒布于1804年的《法國民法典》反映了農業社會晚期的時代需求，奠定了大陸法系民法典的基礎；頒布于1900年的《德國民法典》則反映了工業社會早期的時代需求，其在前者的基礎上加以發展，以較長的立法時間及更為邏輯化的法律表達在世界民法典立法史上產生了更加深遠的影響。然而面對互聯網、人工智能及數字經濟的迅速發展，二者苑囿于立法時代的久遠和滯后性，均未能及時回應信息時代的社會關切，二者均未規定個人信息保護的相關內容。而我國民法典在體例上突破以二者為首的傳統大陸法系“重物輕人”的體系瓶頸，在世界范圍內首創人格權獨立成編的立法體例，彰顯人格尊嚴的維護；在內容上則立足于信息社會的科技發展和時代特點，規定專門的個人信息保護條款，并置于人格權編（第四編）第六章，填補前兩者的立法空白，通過制度供給和制度發展充分回應個人信息保護在信息網絡時代面臨的各種新型挑戰，反映了信息社會的時代需求。

當今大陸法系各國的民法典普遍吸收了20世紀80年代德國信息自決權理論的精神內涵，對個人信息保護類推適用隱私權的保護規則，突出強調信息主體之同意表示乃收集、處理其個人信息的唯一合法性基礎，信息主體享有個人信息的絕對控制權。該理論在前信息時代對于個人信息保護領域做出了巨大貢獻。但隨著信息網絡時代的降臨，個人信息利益結構的多元化趨勢日益明顯，其在原有的人格利益之外衍生出了財產利益和社會公共利益。前者如個人信息業已成為數字經濟和信息產業發展的重要資源，后者如醫療衛生部門收集分析新冠肺炎患者個人信息用以開展疫情防控工作。該理論面對信息科技應用的洪流日顯捉襟見肘和格格不入，不僅忽視了個人信息的社會公共價值，而且阻礙了個人信息的共享和正常利用，遑論大數據產業的良性發展。我國民法典以多元利益平衡模式取代了上述個人信息絕對控制權理論，第1036條第（三）項在保留第（一）項當事人同意的基礎之上增設了“為維護公共利益”的條款，對社會公共利益給予了合理的關切，平衡了個人信息保護與社會公共利益的相互關系，個人信息收集處理的合法性基礎得以從一元性向多元化擴展；第1033條在“權利人明確同意”的基礎上增加了“法律另有規定”的兜底條款，依據此條涵義，倘若某行為關涉個人私密信息，除“權利人同意”之外，也可依照其他法律的規定譬如為了信息產業、數字經濟發展等個人信息財產價值之發掘活動或疫情防控、犯罪追查、國家安全等社會公共利益之目的，對個人信息保護設定合理邊界并予以合法限制，充分實現了個人信息多元利益的協調共存。

二、個人信息權利化的理論證成

（一）個人信息具備民事權利化的資格

在民法視域內，“權益”是“權利”的下位概念，無論是在民法保護的廣度上還是在強度上，前者都遠遜于后者。可以認為民事權益是一種介于民法不予承認及保護的利益與民法重點規制保護的權利之間的過渡性、模糊性概念，是一種尚未取得民事權利地位的民事“弱利益”。民法將某種利益納入“權益”還是“權利”的范疇，反映出民法對該利益的立法態度、立法偏向和立法重視程度。民法典人格權編第990條第1款規定民事主體享有姓名權、名譽權、隱私權等人格權利，第2款強調自然人享有除了前款羅列的人格權利以外的基于人身自由、人格尊嚴產生的人格權益。①參見《中華人民共和國民法典》第990條。第2款實為第1款的補充性、兜底性、下位性條款。個人信息是一種能識別和表明個人身份的標識信息，它與個人在信息社會環境中的人格尊嚴密切聯系，諸如泄露個人信息或不當利用個人信息等侵犯個人信息的行為，可視作對信息主體人格尊嚴的侵害。由于民法典并未設定“個人信息權”的概念，但又將個人信息保護納入人格權編第六章，故可推知個人信息屬于“基于人格尊嚴產生的除姓名權、名譽權、隱私權等人格權利以外的人格權益”，符合民法典第990條第2款之規定。

一項新型民事權利的產生是以其所包含的私人利益之類型化為前提的。然而，要想實現私人利益的類型化并將其上升為民事權利，必須同時具備三個條件。其一，關于這種私人利益的紛爭在訴訟中頻繁出現，且具有代表性。成文法的脈搏在于可訴性，在實踐中，只有當某一類型的訴訟頻繁出現之時，方可認為“紙面上的法”被轉換為“運行中的法”。同理，只有當民事主體就某種新型的私人利益提起訴訟之時，該種私人利益方可具有類型化的可能，方有可能成為成文法所規定的法定民事權利。這是一個不斷擴張的過程，某種新型私人利益在訴訟中首次出現，其后，關于該種私人利益的訴訟日益增多，進而實現類型化，被立法所正式承認，最終成為一種新型民事權利。縱觀我國各種具體人格權的發展軌跡，如姓名權、名譽權、隱私權等，可發現它們無一例外地遵循這種規律。其二，必須合乎倫理道德。經過類型化之過程而產生的新型民事權利必須是一種充滿倫理意義的普遍性權利，它能夠被任何民事主體所享有和尊重，即符合規則背后的倫理共識。其三，內容合法。新型民事權利不得違反法律保護他人之規定，亦不得違反法律之強制性規定。上述三條件是私人利益上升為民事權利的普適條件。

普通物可實現空間和物理上的占有，然而個人信息不同于前者，由于其具備無形性的物理特征，信息主體達成信息“占有”目的的唯一方式只能是支配、控制個人信息以及對他人的妨害予以排除等法律行為。這些法律行為恰好是個人信息權的權利表達方式。同時，上述行為本身即為信息主體私人利益的表征、體現和類型化，又因為類型化的私人利益就是民事權利的本質，所以個人信息權具備民事權利的資格，可作為民事權利而存在。具體而言，其一，在當前新技術應用背景下，對于侵犯個人信息的行為，司法實踐中已大量出現民事主體專門就個人信息利益（包括個人信息人格利益和財產利益）提起訴訟的案例。這些案例不再遵循過去將個人信息利益依附于名譽權、隱私權等具體人格權提起訴訟的先例。關于個人信息利益的專門訴訟已具有代表性，個人信息利益具有類型化并上升為民事權利的可能。其二，個人信息保護問題在當前已成為社會大眾的普遍關切，人們的個人信息意識已顯著增強，保護個人信息已成為社會共識，遵守個人信息保護規則已成為公序良俗，人們渴望自己的個人信息利益得到法律層面的確認和保護。個人信息利益已然具有深厚的倫理價值和內涵，合乎社會倫理道德，將個人信息利益上升為民事權利符合社會大眾的呼聲和訴求。其三，對個人信息利益予以權利化保護并未與法律保護他人之規定沖突，亦不違反法律之強制性規定，反而契合法律保護他人之合法價值目標。對于某些法律強制性規定，如基于他人利益或公共利益的個人信息合理利用行為，只需對此做出例外性規定即可，個人信息利益的權利化保護與此類法律強制性規定亦不沖突。個人信息利益及由此升華而成的民事權利之內容具備合法性要件。綜上，私人利益上升為民事權利的普適條件亦可適用于個人信息利益的權利化。

（二）個人信息具備民事權利化的法理基礎

特殊的權利內涵使個人信息權具備獨立保護的法理基礎，其獨立化也是信息社會的大勢所趨，個人信息權應是一種獨立的權利。

第一，個人信息權是獨立于現有各類具體人格權之外的一種新型權利。個人信息保護牽涉的利益關系豐富、繁多且復雜，僅有個人信息權才能完成這一使命。現有的任一具體人格權均無法完全容納和囊括個人信息權的所有利益內涵，譬如不當披露個人私密信息的行為及不當歪曲個人信息從而損害人格形象的行為均構成對個人信息權的侵犯，若某行為構成二者的競合，則從現行民法典上只能分別援引隱私權和名譽權的條款針對前者和后者進行單獨評價，而隱私權及名譽權都無法將二者同時納入評價和規制范圍，唯有個人信息權方能實現對二者全方位的評價及規制。信息主體在日常生活中留存的個人信息數以萬計，為了維護個人信息專有利益，避免人格形象和人格尊嚴受到威脅，有必要通過個人信息權這種新型專門性權利對個人信息進行直接保護。

第二，個人信息權的獨立化促進個人信息私法保護的發展。過去信息主體遭受個人信息侵害時，只能援引名譽權、隱私權等規定提起訴訟，往往無法全面彌補所受損失，損失與賠償不成正比，個人信息私法領域實質正義的缺失又進一步助長了侵權者的違法行徑，形成惡性循環。民法典雖制定個人信息保護規范，但其獨立權利地位的缺失造成個人信息侵權救濟機制的不完善，只有將獨立的民事權利地位賦予個人信息權，方能將個人信息保護正式歸入私法保護框架、體系和機制之中。信息主體通過賠禮道歉、停止侵害、排除妨害、賠償損失等救濟途徑維護利益才能于法有據，相關訴訟由此得到法律保障，上述法律依據使個人信息獲得更為全面的私法保護，推動立法的合理化、科學化。

第三，個人信息商業價值的實現有賴于個人信息權的獨立規定。個人信息流通于信息市場是實現其商業價值的主要途徑，個人信息商業價值的實現促進了信息社會整體效益的提高，是現代社會發展的重要推動力。信息產業可持續的健康發展依賴于個人信息流動的規范化和法治化。只有將個人信息權獨立規定，個人信息收集、處理、加工、交易等行為方能進入調整市場經濟的民法典第三編（合同）的調整范疇，信息主體享有的個人信息法益方能成為該編所保護的民事權利（合同權利），從而保障和實現個人信息交易的規范化、法治化，營造守法、健康、有序的信息交易市場，促進個人信息流動的便利化、安全化，吸引更多社會資源進入信息市場并促進其合理配置，充分實現個人信息商業價值。

第四，公權力保護模式存在局限性。在目前民法典尚未確立個人信息權的現實情況下，個人信息保護呈現分散狀態。首先，現行個人信息權益保護模式的缺陷前文已論及；其次，倘若試圖從權利角度保護個人信息，則只能從某些現有具體人格權尋求涉及個人信息某一部分利益的保護條款（此模式的缺陷上文亦已論及），其余部分則已然超出民法體系的保護范疇；最后，上述超出部分被我國公權力所調整，如刑法規范、行政法規范甚至行政管理行為。上述三個層次的分散性保護勉強實現個人信息利益的全覆蓋。但公權力模式具有明顯的局限性。其一，公權力存在天然的擴張傾向，其結果反而是對私權利的存續造成威脅。同理，如果一味強調公權力在個人信息保護領域的絕對作用，片面采用公權力的保護模式，這種機制不僅非常薄弱，而且十分危險。由于缺乏個人信息權這一私權利牢籠的束縛，公權力的擴張將會對個人信息利益造成潛在而嚴重的威脅。其二，只有嚴重侵犯個人信息利益的行為方能構成犯罪，受到刑法規制。然而大多數個人信息侵權行為程度畸輕，并未構成犯罪，因而此類行為得以逍遙法外。明確個人信息權的獨立地位，以民事責任的方式規制輕微侵權行為，方能實現司法公正。其三，刑事及行政處罰的認定程序具有繁瑣性和延時性的特點。如個人信息利益正在受到侵害，則難以提供及時的救濟，及至處罰得到落實之時，往往損害結果已然擴大，信息主體的損失無法得到有效彌補。民事責任認定程序較為簡易，民事責任具有及時性、補償性的特點，確立個人信息權的獨立性，就可援引民事責任條款，為信息主體提供及時有效的民事救濟，真正彌補利益損失。

三、個人信息權利化的可能路徑與障礙

縱觀世界個人信息權利化的實然路徑，在具體個人信息權利概念與提法的選擇問題上，主要存在美國的隱私權、大陸法系國家的信息自決權及肇始于我國學界的個人信息權。

（一）個人信息權利化的可能路徑

1．隱私權模式

19世紀末，隨著美國報紙行業及攝影技術的發展，個人的私人領域及家庭生活愈易被外界所知悉，人們逐步開始關注隱私問題。1890年布蘭代斯和沃倫在合著的《論隱私權》一文中首次提出了隱私權的概念并對其進行了極為詳細的分析和闡釋。[1]該篇文章首創傳統隱私權理論，推動了美國隱私權的發展歷程。傳統隱私權的內涵被定義為一種保證權利主體私人生活之安寧及其免受打擾的權利。該理論強調個人領域、個人生活及個人信息不愿被外界知悉、不愿公開的事實狀態，即私密性，其本質為一種防御性和消極性的權利及自由，而缺乏主動性、積極性的內容和權能。

自20世紀40、50年代第三次科技革命的興起以來，信息收集和處理技術進入了跨越式的發展時期，信息收集和處理的便利化使個人信息在世界范圍內的傳播更為廣泛和迅速。與此相伴相生的是個人信息安全在信息技術時代面臨越發嚴峻的威脅，此時傳統隱私權理論已然愈發無法滿足當代社會的發展需要。[2]美國開始反思傳統隱私權理論的弊端并開始探索傳統隱私權的改良道路，現代隱私權理論應運而生。現代隱私權概念在傳統隱私權的權能基礎之上增設了自決隱私和信息隱私的內容。在現代隱私權項下，權利主體不僅可以在受到侵權時依據傳統隱私權內容尋求法律救濟，而且享有積極控制其個人信息的權利，即積極控制權能逐漸取代了消極防御權能，這種經過了創新、豐富及發展的現代隱私權亦被稱為新隱私權。[3]自此，現代隱私權成為了美國個人信息保護制度的核心。值得一提的是，在大陸法系和我國法律體系中，隱私權之范圍僅限于權利主體不愿讓他人知悉抑或他人不便知悉的個人信息，該權利僅為民法上人格權利的一部分構成要件。然而，美國法中隱私權之權利域要遠遠大于前者，其權利外延在某些情況下甚至可囊括整個人格權利，二者不可混為一談。美國將隱私權作為其個人信息權利化保護的法律路徑有其特殊的法律背景和法理基礎。

在目前我國尚未對隱私權概念進行擴張解釋的法制背景和前提下，不宜將隱私權作為我國個人信息權利化的現實路徑。其一，隱私權保護客體過于狹窄。在我國，隱私權的保護客體是權利主體不愿對外公開的事項和內容，強調權利主體之內心安寧及私人生活不被干擾和介入的利益，即私密性。而當今個人信息保護的現實需要要求賦予信息主體更為廣泛的利益保障，除隱私權的權能基礎外，還應包括信息主體外在形象完整及內在決策自由的利益，更加強調信息主體對個人信息積極利用而非消極保護的權能，故隱私權不適用于個人信息保護。其二，隱私權保護范圍無法涵蓋個人信息。在我國，隱私權的保護范圍主要為私人事項、私人領域及私人信息。只有信息主體不愿公開，并且不隸屬公共領域的信息才處于隱私權的保護范疇。[4]然而該信息一旦被信息主體公之于眾，則不再受隱私權保護。個人信息則不然，其包括一切具有識別特定信息主體身份之能力的所有信息，個人私密信息抑或是已公開信息均在其列，故個人信息保護范圍大于隱私權，隱私權無法實現個人信息保護的全方位覆蓋。其三，隱私權與個人信息的侵害行為及救濟方式相異。在我國，隱私權的侵權行為是擾亂權利主體私生活的安寧或探聽、泄露權利主體的私密行為，從而對其造成精神損害和痛苦。個人信息的侵害行為乃未經信息主體許可擅自搜集、處理其個人信息或對該信息加以濫用。個人信息侵害行為有時并未涉及隱私，但該行為侵害了信息主體對其信息進行自由選擇、處斷及決定之權利。同時，隱私權通常強調事后救濟方式，而個人信息保護面臨的現實狀況強調對其予以事前保護。侵害行為與救濟方式的差異決定了兩者無法一體化保護。其四，隱私權無法解決個人信息積極利用問題。個人信息在新技術廣泛應用的大背景下具備了越來越多的財產利益屬性，信息主體除了主張個人信息安全的訴求，還倡導通過平等自愿原則之下的個人信息交易開發活動獲取經濟利益。然而在我國，隱私權暫時僅能解決個人信息消極保護問題，卻無法回應上述關切。

2．信息自決權模式

大陸法系國家的信息自決權理論始于德國，發端于德國著名的“人口普查案”。在1983年德國聯邦政府依據《人口普查法》開展的人口普查行動中，由于對公民的個人信息收集事項過多，令公民對個人信息安全感到極度焦慮和不安，于是針對《人口普查法》向聯邦憲法法院提起違憲審查訴訟。最終憲法法院根據《德國基本法》關于人格尊嚴及人格自由發展之規定認為，公民享有基于上述兩種一般人格權衍生的“信息自決權”，并判決《人口普查法》之規定因違憲而無效，同時中止其實施。[5]該案判決通過對一般人格權概念的延展和擴充，創造性地提出了信息自決權之權利概念，并將其正式確認為憲法上的公民基本權利，此后德國便將信息自決權作為個人信息的權利化路徑，作為今后司法實踐領域的重要指導。該案判決在個人信息保護領域具有極大的開創性意義，[6]標志著個人信息保護法律基礎理論在德國的成熟。[7]此后，由于人格權理論在各大陸法系國家私法領域起步早且理論體系較為成熟，故大陸法系各國紛紛仿效德國，自一般人格權演化而來的信息自決權遂成為各國個人信息的權利化路徑。

信息自決權指信息主體所享有的選擇及決定是否將其個人信息交付他人予以使用的權利。個人信息保護的價值內核在于充分尊重人格尊嚴，進而實現個體的不斷自我完善和自我發展進步。而該權利通過賦予信息主體對個人信息自決與自治的權能從而最大化地尊重了個體價值與人格尊嚴，[8]充分體現及詮釋了這一價值追求。但信息自決權同樣不宜作為我國個人信息保護的權利化路徑。

信息自決權理論的內在缺陷在于過分強調、夸大和擴展信息主體對個人信息的自我控制以至于達到了近乎瘋狂和偏執的程度。信息自決權因其強大的個人絕對控制理論傾向而又被稱為“信息控制權”。時至今日，這種缺陷隨著該理論的發展被不斷放大，并產生了一系列弊端。其一，忽視個人信息多元利益的平衡與協調。信息自決權片面強調個人信息承載的個人利益，信息主體同意的意思表示是信息搜集和處理的獨一合法基礎，基于社會公共政策、公共利益的個人信息合理利用行為及針對個人信息經濟價值的適度開發、流通和升值行為均受到了嚴格限制，嚴重阻礙了數字經濟、虛擬產業、信息平臺的發展。此外，國家公權力機關基于國民經濟建設、日常事務管理和公共利益維護等目的開展有組織、有規模的個人信息收集活動，信息主體在上述情形下主張極端的個人信息自決也是不現實的，這將阻礙個人信息社會價值的實現。其二，忽視信息主體民事行為能力的個體差異。具備完全民事行為能力的信息主體能憑借其充分的自我控制、約束能力和完滿的自我意志恰到好處地管理個人信息，這也是信息自決權的順利實現對于個人行為能力的基本要求。然而，無民事行為能力和限制民事行為能力的信息主體由于意思表示能力的欠缺則無法順利實現對信息的自我掌控，信息自決權無疑忽視了這類特殊人群的能力差異和內在需求。其三，信息主體與信息處理者懸殊的力量對比加大了權利行使的難度。信息主體無論是技術實力還是經濟實力都遠遜于信息處理者，在兩者的日常對抗與博弈中，前者絕大部分情況下都居于極為弱勢和被動的地位。兩者實力的天然鴻溝造成了一種現實困境，即個人信息被搜集之后，信息主體對于該信息被用作何種用途及日后傳播的范圍等問題均無法得知和控制，信息自決權因此淪為空談。

3．個人信息權模式

近年來，隨著個人信息保護研究在我國取得重大進展，關于個人信息的權利化路徑，絕大部分學者拋出“個人信息權”這一新型權利概念。它是指信息主體所享有的支配、控制個人信息并對他人的妨害予以排除的權利，是信息主體對個人信息全方位、無死角的自我決定、自我控制和自我支配的各項具體權能的總和，它的權利內涵同時包括人格利益與財產利益、個人利益與公共利益。個人信息權是我國民法典個人信息權利化的最佳路徑。具體理據已如前述，不再贅述，僅補充一點，個人信息權理論有效規避了域外個人信息保護模式之缺陷。個人信息權除了具備傳統的事后救濟權能之外，還具有積極控制利用個人信息的權利價值，充分滿足了信息主體日益增長的個人信息開發利用需求并有效規制了個人信息交易、開發、利用活動的全部流程和環節，避免了隱私權單一消極保護模式的缺陷，同時該權利在保護信息主體人格、財產利益不受侵犯的同時，允許基于合理目的的個人信息公共利用，兼顧了個人信息人格利益、財產利益和公共利益的平衡，不落入信息自決權過分夸大自我控制的窠臼。

（二）設立個人信息權的現實障礙

盡管個人信息權是一種相對完美的制度設計，但是距離它的正式設立仍有一些現實障礙。其一，個人信息在現實環境中難以上升至“權利”的高度。個人信息是一種高度雜糅的混合概念，其蘊藏著繁多而復雜的人格利益且多與現有具體人格權之客體重合，導致其難以被認定為一種獨立存在的民事權利。譬如個人頭像信息與肖像權、個人姓名信息與姓名權、個人生物識別信息與隱私權均存在交叉重疊現象。因此有學者認為，個人信息之權利頂多可以定義為對于肖像、姓名、隱私等人格利益在信息自動化的處理環境中的特殊保護，而不能成為新型具體人格權。[9]其二，個人信息權存在著過分保護自我控制利益之虞。創設一種權利的目的在于對某種業已存在的社會現實利益予以嚴格的保護，較之權益，權利的保護手段顯然更為嚴密和周全。在信息產業蓬勃發展的今天，個人信息蘊含的巨大經濟價值使其成為信息市場各方主體競相追逐和爭斗的主要目標，信息主體自然對此趨之若鶩，將維護個人信息財產利益作為其參與一切市場經濟活動的最高行為準則。個人信息權如若在法條中落實，則可能會導致信息主體依據此種新型權利在日常生活中針對個人信息利益，特別是作為重要組成部分的財產性利益作出過于偏激的擴張性要求。對個人信息利益的絕對控制和絕對保護將造成多元利益的嚴重失調，阻礙個人信息社會價值的實現和大數據產業的發展，個人信息權將會重蹈信息自決權一味強調信息控制，而忽視信息分享的覆轍。

克服上述障礙已然是日后我國個人信息權理論完善發展并最終成為個人信息權的必由之路。

四、個人信息權的內容

個人信息權是一種兼具人格利益、財產利益之雙重利益結構保護功能的民事權利。個人信息與人身的不可分離性及可識別性特征使其具有了最初的人格利益屬性，故個人信息權創設的根本目的是維護信息主體的人格利益和人格尊嚴。隨著信息革命席卷全球，信息技術呈現飛躍式發展態勢，帶動了信息產業的方興未艾，個人信息的商業化利用現象日益頻繁，個人信息交易市場和平臺已悄然建立，個人信息的價值化和商品化取向愈發顯明，其逐漸從一種個體符號轉化為利益價值。信息社會價值多元化的大背景加速了個人信息利益結構的多元化演變進程，個人信息通過頻繁的商業性利用，在其人格利益屬性之上逐步生成財產價值，其由此具備了財產利益屬性。[10]其中，個人信息財產利益實現的進路通常有二，一是直接針對本身就具備財產價值的個人信息進行商品化利用，二是針對個人信息進行再次深度加工、開發、升華和利用，進而產生財產價值，屬于個人信息之再利用活動。個人信息財產利益屬性的萌生促使法律必須對此作出回應，故個人信息權的權能對外擴張，增加了保護個人信息財產收益功能正常運轉的全新使命，由此成為了協調保護人格財產雙重法益的復合型權利。必須說明的是，雖然個人信息于新技術應用背景下已然具備了人格與財產之利益雙核，但是在這種雙重利益結構中，人格利益與財產利益并非互不關聯的兩個平行存在和空中樓閣，二者密切相關。由于個人信息商品化趨勢的不斷推動，個人信息利益結構發生財產性變革，從單一的人格利益向人格、財產利益并存轉變，個人信息逐漸出現了財產內涵，爾后個人信息財產權方應運而生。由此可知，個人信息人格權先于個人信息財產權而存在，前者是后者誕生的基礎和本源，財產利益實為人格利益財產性利用的價值表征和自然延伸，離開人格利益的土壤，財產利益的出現便無從談起，換言之，財產利益是人格利益在特定歷史階段下新的表現形式。

個人信息權應當包括個人信息人格權和個人信息財產權，前者包括自決權和禁止權，后者包括管理權、許可權和收益權。①自決權、禁止權、管理權、許可權、收益權雖名之為“權”，但并非權利，而是依附于個人信息權的權能，它們實為個人信息權發揮作用之手段和個人信息權之效力表現，它們無法離開個人信息權而單獨闡釋和存在，不具有獨立性，后文所述之知情權、保密權、更正權等可理解為上述權能的“子權能”，它們是上述權能的進一步細化表達。

（一）個人信息人格權體系

1．個人信息自決權。自決權指信息主體能自主決定是否生成本人之個人信息，同時還能自主決定是否繼續持有該信息及持有方式等，即信息的存續狀態也取決于信息主體，其決定受他人尊重且不受他人干涉。簡而言之，即信息主體有權根據本人的自由意志決定對個人信息作出或不作出一定的行為，[11]反映出“法無禁止即可為”。自決權反映出信息主體與其他不特定多數人之間的法律關系，是一種對世權能。它充分體現了個人信息的人格性和人權特征，是個人信息權賴以存在的法律價值基礎，是古典自然法學派“自然自由”理念在個人信息權領域的新生。其行使方式有二，其一，信息主體親自或委托他人直接對個人信息實施事實行為，無需第三人的配合，具體包括生成、提取、保有、利用、處理等行為，即積極自決權；其二，信息主體將個人信息擱置一旁，不予作為，即消極自決權。至于其內容則有五，其一，生成自決，指信息主體可自行決定是否生成其個人信息；其二，保有自決，指在法律原則的限度范圍內，信息主體有權自主決定是否繼續保持擁有其個人信息；其三，提取自決，指信息主體得自由決定是否將個人信息負載于某種載體之上，譬如以書面文字形式傳達個人隱私信息；其四，利用自決，指信息主體得以自己名義利用個人信息；其五，處理自決，指信息主體得自主對個人信息實施事實行為以處分之。

2．個人信息禁止權。禁止權指信息主體可對他人在其個人信息上任意而為或不為加以禁止。它同自決權構成信息主體與其他不特定多數人這一法律關系的兩個不同視角，二者共同保護同一法律上的利益。禁止權為個人信息構筑法律高墻和法律屏障，防止來自外部的侵權行為；自決權則賦予信息主體在禁止權的保護范圍內自由決定個人信息狀態的自由，二者從內外和正反兩面全方位立體式地保護個人信息人格利益。

（二）個人信息財產權體系

1．個人信息管理權。個人信息管理權指信息主體為了控制他人對其個人信息的利用行為在其所期望的范圍之內，得決定信息處理者對其個人信息收集、利用的范圍和方式，并享有知情、保密、更正、封鎖、刪除等管理權能。其包括知情權、保密權、更正權、封鎖權及刪除權等具體權項。知情權是一切個人信息權項的基礎，指信息主體能隨時獲取和查閱其個人信息的收集和利用情況。[12]其行使方式有二，一是信息主體得主動獲取和查詢其個人信息的存在和利用情況；二是信息處理者在實施收集和利用行為時必須主動通知信息主體。保密權指信息主體依法或依約享有的請求信息處理者采取一定的措施和手段對其所提供之個人信息保持隱密性的權能。[13]其深層含義有二，一是信息處理者必須采用規范合理的管理和技術措施防止個人信息泄露；二是如若信息主體希望同時兼顧個人信息的安全性和經濟價值，則可對其個人信息實施“去身份化”（匿名化）處理。[14]不完整或不準確的個人信息通常會影響信息主體的社會認識和社會評價，更正權應運而生，其指如若信息主體知悉個人信息存在不完整或不準確等情形，可向信息處理者要求予以更正之，從而維護個人信息的準確性與完整性。當個人信息的準確性存在爭議且暫時無法確認其準確性，或當個人信息存在刪除的必要性但苑囿于某種現實情況而無法刪除時，信息主體可要求信息處理者暫時性地封鎖其個人信息，此為封鎖權。需注意的是，封鎖權表示暫時性地停止使用個人信息，而非永久性地刪除個人信息。如信息處理者在未經信息主體同意的情況下獲取、使用個人信息，或個人信息使用超出約定范圍，信息主體可要求其永久性地刪除個人信息；同時，如個人信息存儲時間超出法律或合同約定的期限，信息主體也可要求信息處理者刪除之。

2．個人信息許可權。許可權是收益權的邏輯前提，指信息主體可事前或事后允許信息處理者在約定范圍內按照約定的方式利用個人信息，其中事后許可能夠補正信息處理者非法持有和利用個人信息行為的權利缺陷。許可權的行使方式包括同意和拒絕。同意方式指信息主體在接受信息處理者充分告知的前提下，根據其自由意志作出的同意對其個人信息進行處理及利用的明確而具體的意思表示；拒絕方式指信息主體在被充分告知的情況下，可基于任何正當理由拒絕信息處理者收集和利用其個人信息，經拒絕，信息處理者不得繼續實施利用和處理行為。

3．個人信息收益權。在以大數據、云計算為首的新技術應用背景下，個人信息商品化趨勢以及“信息有價”的社會理念是個人信息收益權的現實來源。[15]收益權體現于各類個人信息權法律關系當中，是個人信息價值化的最直接表現，也是個人信息財產權最典型、最重要的體現。[16]正是個人信息巨大價值收益的存在才導致當今個人信息濫用現象的頻頻發生。收益權首先體現在信息處理者以盈利為目的收集和利用個人信息時，信息主體有權請求獲取相應的利益；其次，信息處理者在深度開發利用個人信息的過程中投入了勞動價值和勞動成本，所以其可依據該二次開發行為獲取競爭性財產權益。①就目前而言，相對于信息主體的個人信息財產“權利”，信息處理者的財產利益無疑處于更加安全的法制環境之中，因此其享有的法律保護層級可適當降低，故宜將這種利益納入“權益”而非“權利”的保護范疇，但這種權益在廣義內涵上仍屬于個人信息收益權的權能范圍。

五、個人信息權的法律表達

為了確保個人信息權在我國民法典中得到更為深入的表達，保證相關權利主體享有更加完善的個人信息利益，需要針對民法典部分條款進行適當修改。

（一）民法典第一編（總則）第五章（民事權利）第111條“自然人的個人信息受法律保護”，以及第四編（人格權）第六章“隱私權和個人信息保護”，本章第1034條第1款“自然人的個人信息受法律保護”等條款，將這些條款中的“個人信息”改為“個人信息權”，以在民法典中明確設立個人信息權，正式賦予個人信息權利外衣。正式創立個人信息權的概念將有利于為民法典后續條款個人信息權保護之規定做好鋪墊，發揮總領作用。

（二）將民法典第四編（人格權）第六章“隱私權和個人信息保護”中的個人信息條款獨立成章，設為民法典第四編（人格權）第七章“個人信息權”。鑒于個人信息與隱私之不同，并設立個人信息權，為周全保護個人信息，應將個人信息從隱私權保護中抽離出來獨立設章。

（三）民法典第四編（人格權）第六章（隱私權和個人信息保護）第1034條第3款對于個人私密信息適用隱私權之規定，若無隱私權規定則采用“個人信息保護”之規定。②參見《中華人民共和國民法典》第1034條。應將該款之“個人信息保護”改為“個人信息權”，并刪除“適用隱私權的規定”。因為個人信息權獨立成章，個人信息權與隱私權屬于同等地位的權利，因而對個人信息的保護應當適用其自己的規則，無規定的，應優先適用人格權一般條款的規定。

（四）雖未直接規定個人信息權，但民法典第1037條第1、2款規定信息主體享有查閱權、復制權、更正權及刪除權。③參見《中華人民共和國民法典》第1037條。上述四者實質上均隸屬于個人信息權當中的管理權之范疇，但該條款內容過于簡短、粗略，并未針對個人信息管理權進行系統化的闡述、概括和總結，也并未系統闡釋其具體內容和表現形式，補全前述疏漏必不可少。此外，由于該條款僅分別規定信息主體行使查閱權、復制權、更正權及刪除權的一種情形，即行使查閱權、復制權僅限于信息主體“依法”查閱或復制個人信息，行使更正權僅限于信息主體“發現信息錯誤”，行使刪除權僅限于信息主體發現個人信息處理行為“違反法律、法規或雙方約定”，故亟需擴大上述四者的行使范圍，拓展個人信息管理權的權能空間，滿足信息主體在當今紛繁復雜的信息交易活動中的權利需求。

（五）民法典第1037條第1款規定自然人可查閱、復制“其個人信息”，③參見《中華人民共和國民法典》第1037條。根據文義解釋可知，此處“個人信息”范圍僅限于原始個人信息，并未就再次開發和處理行為進行規制。現實中部分信息處理者并未針對原始個人信息實施任何侵害行為，以此取信于信息主體，然而前者未經后者同意私下對原始信息進行再次開發和利用，爾后投入信息市場進行交易獲取巨額利潤，嚴重侵害后者的個人信息升值利益，這也是當前信息產業的灰色地帶。因此，應擴大自然人知情權范圍，賦予自然人對信息處理者二次開發甚至三次開發行為的知情權和監督權，在本條款中針對原始個人信息和再次加工信息進行分別規定，并且把二者都納入個人信息權權利客體的范疇，規定自然人對兩種信息均享有個人信息權的各項權能，實現二者平等保護，落實信息加工、處理、開發各個環節的可視化、公開化、透明化。

（六）民法典是我國民法法律體系的基礎性法律規范，已出臺的個人信息保護法則兼容民法、刑法和行政法之個人信息相關條款，是個人信息保護領域的專門性、綜合性法律規范。民法典除了在第1035條第1款第（一）（四）項規定自然人同意等處理個人信息的合法性基礎條款，在第（二）（三）項規定了個人信息處理行為的具體合法要件，如公開個人信息處理規則和明示個人信息處理之目的、方式、范圍。④參見《中華人民共和國民法典》第1035條。前者屬基礎條款，后者屬具體條款。民法典應保留前者內容，將后者轉移至個人信息保護法予以規定。

（七）為了減少授權成本、提升信息使用效率，信息處理者為了順利履行合同而處理個人信息的行為毋須取得信息主體同意，應當成為免責事由。但若前者超出合同履行目的，違反約定或法定義務，實施濫用或泄露等個人信息侵權行為，則仍應承擔法律責任。民法典第1035條乃個人信息處理行為合法性條款，①參見《中華人民共和國民法典》第1035條。應在其中增添一項，即“簽訂或履行合同范圍之內所必需”，賦予上述行為合法基礎，同時應對“合同目的”采取限縮解釋，防止信息處理者任意擴大合同目的侵犯個人信息權，故采用“必需”表述。

（八）個人信息權與個人生活安寧密切相關，個人信息侵權行為往往同時侵害私生活安寧。民法典第1033條第（一）項規定，任何個人或組織不得以傳單、短信等方式侵擾私生活安寧，權利人明確同意或法律另有規定除外。②參見《中華人民共和國民法典》第1033條。根據文義解釋，發送任何未經權利人明確同意的信息均屬侵擾行為，雖存在“法律另有規定”的兜底條款，但顯然過于籠統和模糊，可操作性不強，“權利人同意”成為實質上的合法基礎。此處存在一個悖論：在信息社會日常交流模式中，發送者和接收者往往因物理距離過于遙遠而無法當面交流，故只能采用電子通訊方式，發送者必須發送含有征求、詢問內容的信息方能知曉接收者是否同意后續的一系列交流行為，但發送者發送此信息這一行為本身也并未經過接收者同意。因此，宜將第1033條第（一）項內容予以單獨規定為“發送電子信息的，接收者接收之后有權拒絕再次接收，發送者必須明示聯系方式和真實身份，并根據實際情況提供拒絕再次接收的渠道。權利人明確拒絕的，任何個人或組織不得頻繁通過電話或短信等電子通訊方式侵害權利人的私生活安寧，法律另有規定除外”；而第（二）（三）（四）（五）（六）項由于不涉及社會必要行為和活動，故仍適用“權利人明確同意”和“法律另有規定”的“默認禁止”規定。

六、結語

民法典個人信息條款的細化完善是我國個人信息保護法治體系建設的關鍵。[17]個人信息權的創設目的不是夸大個人信息的自我控制，而是營造個人信息保護與流通、共享及發展的雙贏局面，從而促進大數據和信息產業的健康發展，最終實現信息資源優化配置。個人信息權利化的路徑探索應是我國今后一段時期民法典個人信息條款的主要研究方向和發展道路。