個人信息保護的權利基礎探析

摘要：個人信息保護本質在于踐行公平信息實踐原則，秉承利益衡量理論，貫徹保護利用并舉。比較國際社會的立法模式，歐美趨同于“積極確權+行為規范”的保護模式。中國單一的“行為規范”模式暴露出權利基礎缺位的制度性弊端。繼《民法總則》后，《民法典》“隱私權與個人信息保護”專章未完成個人信息權的續造?！秱€人信息保護法》出臺后，“根據憲法，制定本法”的表述使個人信息保護的憲法位階明確。國家尊重和保障人權，公民的人格尊嚴不受侵犯，公民的通信自由和通信秘密受法律的保護，為基本權利范疇的個人信息保護提供了憲法規范基礎。在確立個人信息保護基本權利的概念表達時，應與權利內涵保持一致。數字時代的個人信息保護除應延續傳統立法所強調的侵害防御機制外，更應關注個人信息的積極利用，以及基于人格自由發展所要求的對個人信息財產性利益的保護。那么，采用“個人信息權”的概念表述，確認個人信息之于個人利益的實質價值，賦予個人對其個人信息享有完整權利形態，內含個人信息受法律保護的基本要求，也為權利內容的細化留有空間。如此，可在憲法“個人信息權”的統合下，以人格尊嚴及其自由發展為核心，通過發揮基本權利的主觀防御權功能與客觀價值秩序功能，在公、私法領域實踐國家保護義務，分別形成私法上以客體支配導向，保障個人信息自決的具體人格權，與公法上以行為規制導向，保障個人實質參與的程序性權利集合。而作為基本權利的個人信息權唯有落實到個人可具體主張法律保護與救濟的民事權利時才有賦權之意義?；诖?，檢視《民法典》中個人信息所屬的“民事權益”已具備升級為“民事權利”的充分條件。區別于一般人格權、隱私權等屬性，個人信息權在我國民事權利體系中可確定為具體人格權。以民法典的原則性規范，人格權法的獨立權屬定性，個人信息保護法的權利體系構建，可漸次實現個人信息權從頂層設計到全面布局的邏輯推演。

關鍵詞：個人信息;權益層級;權利屬性;個人信息權;具體人格權

中圖分類號：D922.16；D923

文獻標志碼：A

文章編號：1008-5831（2023）04-0203-13

一、問題的提出

2012年大數據時代的到來，成為與個人信息保護最密切的場景標簽。高效能的碎片化信息分析、處理、整合功能，使大數據技術成為撬動個人信息經濟效用的智能杠桿。信息的聚合挖掘、算法決策、用戶畫像、個性化推薦在數字社會習以為常，與之相伴的是，信息濫用與泄露的弊端逐漸顯現。國內外個人信息安全事件頻霸熱搜：支付寶年度賬單違法收集使用用戶個人信息，“劍橋分析”竊取臉書用戶數據操縱政治選舉，華住酒店住客信息被“暗網”非法交易，喜達屋賓客預訂數據庫遭黑客入侵。統計報告顯示，截至2022年12月，我國網民規模達10.67億^［1］。其中，34.1%的網民遭遇網絡安全事件，“個人信息泄露”為安全事件重災區。2020年初新冠疫情爆發，國家迅疾在全國范圍內開展積極利用包括個人信息在內的大數據支撐聯防聯控工作。通過建立傳染病大數據監測系統，密切注視疫情動態，準確分析疫情動向，評估疫情風險，確認預警級別，為政府啟動預案、高效應對提供科學依據。各地疾病防控機構、基層街道社區、企事業單位等切實負責常規化健康信息登記，對存在高危地區旅居史或出現疑似癥狀的人員信息進行統計匯報，為聯防聯控、數據分析、流行病學調查等提供基礎支撐。與此同時，各類違法違規信息利用行為曝光，如微信群或新聞報道直接公開有疫區接觸史人員的隱私信息。此后，隨著防疫健康信息碼的功能升級與多應用場景的數據融合，包含了個人真實身份信息、實時健康數據與行蹤軌跡等多種敏感個人信息的健康碼成為事關人身自由的通關證。部分地方權力濫用所滋生的違法賦碼事件再次提醒監管重心應聚焦于個人信息保護。時至2023年，同步于抗疫策略的重大轉型，健康碼漸次隱退，但與之負載的數據記憶如何消退，尚待一個明確的答案。

對于個人信息保護而言，數據要素市場培育與常態化疫情防控局勢，本質并無差別。二者均應當踐行公平信息實踐，貫徹利益衡量理論，平衡各方主體價值需求。前者關注信息主體的個人信息保護利益與數據控制者的商業利用利益，后者權衡國家機關社會管理的公共利益與公民個體的個人信息保護利益。信息化社會的理性發展亟需在法治化的上層建筑中構建個人信息保護與利用雙行并進的共生架構。此時，于彰顯個人尊嚴與人格自由的個人信息而言，在私法體系中，若僅是反復以“自然人的個人信息受法律保護”宣誓表態，難言其能擲地有聲。個人信息保護立法首需回應：法律所保護的個人信息，權益層級為何？厘清個人信息權利與個人信息利益的關聯與界分，此乃基石。而后需明確權利屬性，秉持以人為本，解析憲法基本權利與一般人格權、隱私權與財產權較之具體人格權于個人權益保護所存制度的優缼，此乃精髓。唯有從權利基礎正本清源的梳理，才能保證權利體系的構建在邏輯上嚴謹縝密，在結構上遞進有序。

二、個人信息保護的立法比較

發端于社會信息化轉型之中的個人信息保護法有其獨特的嬗變性。新技術的研發與應用在催生新經濟的同時，也滋生了新挑戰。以歐美為代表的國家開始審視既有法律體系，由此掀起新一輪立法修法浪潮。在此研判國內外立法進程，汲取有益經驗，既是與國際規則接軌的轉變，也是結合本國國情回應時代需求的表現。

（一）立法保護模式比較

權利模式與行為規制模式均為利益保護的路徑之選。權利路徑以確權方式將具體利益歸屬權利主體，行為規制則通過對他人設定特定行為的管控要求來間接保障主體的特定利益^［2］。個人信息保護在不同法域均可歸納為兩種模式：一是積極確權，二是行為規范。

1.國外立法保護模式

早期歐美國家普遍采納簡約型的積極確權模式，但實踐表明其存在結構性缺陷，原由在于立法以抽象概念界定權利易導致權利邊界模糊，無法反推并廓清信息開發利用之界限，無法給相對人提供清晰穩定的合規指引。個人信息保護實則停留于“叢林地帶”，探索保護方式的轉變勢在必行，行為規范模式由此應運而生^［3］。相較于抽象的確權，行為規范的設計直接以信息收集、利用行為為規制對象，為行為人提供相對清晰的合規指引。同時，為平衡行為自由與權益保護的二元價值，行為規范需設置大量的一般規則與例外條款。即便如此，仍顯彈性不足。在行為規范無法窮盡列舉或難以通過“原則+例外”條款進行準確的價值平衡和區別對待時，確權模式重新登場。彈性化的權利立法可作為兜底機制，于個案中通過靈活解讀法益保護范圍來調整行為自由之界限，緩解行為規范的列舉負擔與僵化難題^［4］。至此，歐美實踐探索形成了積極確權與行為規范協調配合的保護模式。

具體而言，美國以公平信息實踐為原則奠定個人信息保護的立法宗旨，采取“單行立法+行業自律”的立法模式，在公共領域以單行立法的形式調整個人與公權力的法律關系，在商業領域以行業規范的形式約束私主體之間的法律行為。歐盟則秉持個人信息自決的立法理念，將個人信息納入憲法基本權利的保護范疇，制定統攝公私領域的綜合性的個人信息保護法，全面規范個人信息處理的完整生命周期。兩者路徑依賴的共性即為，結合本國國情與法律傳統確立立法的制度根基，同時著重考量法律制度配置與社會經濟發展的平衡。差別在于規范技術上，美國直接針對每一項具體的處理行為加以規范，而歐盟通過設置抽象的數據處理概念，建立了個人數據處理的一般規則與例外。同時，將“個人參與”原則細化為保障個人控制個人數據處理不得侵害個人利益的“數據主體權利”。對于數據主體權利的實現以及數據處理者義務的履行，則需要通過行為規范的具體化加以實現^［5］。

2.國內立法保護模式

《中華人民共和國民法總則》（簡稱《民法總則》）出臺后，第111條是否確權的問題引發爭議，為其所保護的個人信息是應當定性為“民事權利”，還是僅歸入“民事權益”，觀點各異。權益說認為，該條并未使用權利字眼，故立法并未將其作為一項具體權利^［6］。不僅如此，籠統規定個人信息涵攝了立法對個人信息財產利益的認可，為與數據經濟發展的配合預留了解釋空間^［7］。權利說則認為，該條確定了個人信息權以及他人負有不得非法侵犯個人信息權的義務^［8］。在隱私權外，確立了自然人對其個人信息享有的民事權利。這既是民事權利的宣示性規定，也是確權性規定^［9］。另有“中立說”認為，基于對條文的文義分析和體系解釋所得結論為“得不出唯一解”。權利與權益皆有可能^［10］。

筆者認為，法解釋學的首要原則，是對任何條款的解釋都不能超出法條字面含義可能的范圍。以此為基準，“自然人的個人信息受法律保護”之表述宣示了個人信息受保護的基本立場，但其并未明確受保護的具體權利，且作為法律保護的實質性客體，即個人信息承載的人格利益，條文只字未提。因此，僅從條文規范表述尚難證明“個人信息權”已然存在。從立法技術層面分析，《民法總則》有關自然人個人信息受法律保護實屬“法源性”、指引性規定。在對個人信息的法律構成、法律效果尚有疑慮但又確信其重要性應予保護之時，作出“法源性”規定，可為其后的法律、法規、規章對此詳細規定提供法律依據，為學說、判決的發展提供法律前提。同時，針對個人信息的法律地位、權利屬性、行使方式和保護手段以及受侵害時的法律后果，可導向明確構成要件和法律效果的其他法律規范之處，使自然人的合法權益落到實處^［11］。此可謂立法一時的權宜之計。而《中華人民共和國民法典》（簡稱《民法典》）原樣照搬，并無益于改變個人信息保護不足的社會現狀。對比歐美趨同于積極確權與行為規范的互動配合，我國單一的行為規范模式亟待完善。此后，《中華人民共和國個人信息保護法》（簡稱《個人信息保護法》）的出臺才使得個人信息保護權利化路徑逐漸清晰。

相較于個人信息“權利”確立與否的爭議，我國個人信息保護的“行為規范”路徑逐步完善：以信息處理者的行為規制為目標，制定約束其信息收集、利用的行為規則。針對行為規范的構造，可分為信息獲取（收集）、持有（存儲）、利用（加工、使用、共享、轉讓、公開）三個階段，對其分別設定相應的規范體系。合法性就要求任何處理行為應是對行為規范的合規遵循，否則將構成法律規定的“非法”，進而滿足侵權責任法的“違法性”要件，行為規范模式借助于侵權責任法的實施框架走向實踐。概而論之，信息在獲取階段應當依法取得，即信息取得應有合法的基礎并應遵循適當的程序、采取妥當的方式；信息在持有階段應確保信息安全，為保持信息的保密、完整、可用，應對依法取得的信息履行安全保障義務，采取措施防止信息的泄漏或丟失。信息在開發利用階段，不得非法加工、傳輸、買賣、提供、公開他人個人信息。

（二）立法實踐比較

1.國外立法實踐

國外立法實踐呈現鮮明的階段性特征。（1）20世紀六七十年代，計算機的興起及應用使個人信息保護問題逐漸凸顯。國家應對公民檔案電子化的早期立法肇始，典型有：1973年瑞典《數據法》、1974年美國《隱私法》、1977年德國《聯邦個人數據保護法》、1984年英國《數據保護法》。（2）進入20世紀八九十年代，在經合組織（OECD）和歐盟委員會的推動下，國際規則初步形成并不斷發展。代表有：1980年經合組織《隱私保護與個人數據跨境流通指南》、1981年歐洲委員會《關于自動處理個人數據的個人保護公約》、1995年歐洲議會和歐盟理事會《關于涉及個人數據處理中的個人保護以及此類數據自由流動的指令》、2004亞太經合組織《APEC隱私框架》、2013年OECD《隱私框架》（簡稱《消費者權益保護法》）、2016年歐盟《一般數據保護條例》、2018年歐洲委員會《修訂自動數據處理個人保護公約議定書》。（3）同時期，在國際規則的驅動下，各國相繼開啟立法征程。具體有：1988年愛爾蘭《數據保護法》、1992年瑞士《數據保護法》、1993年新西蘭《隱私法》、1996年意大利《數據保護法》、1997年希臘《個人數據保護法》、2005年日本《個人信息保護法》、2006年俄羅斯《個人數據保護法》、2010年馬來西亞《個人數據保護法》、2011年韓國《個人信息保護法》、2012年新加坡《個人數據保護法》、2012年菲律賓《數據隱私法》、2013年南非《個人信息保護法》、2018年巴西《個人數據保護法》、2019年泰國《個人數據保護法》、印度《個人數據保護法（草案）》、2021年越南《個人信息保護法（草案）》等。

已有立法實踐本源可劃分為歐盟與美國兩大模式，前者將個人信息視作基本權利加以保護，后者建立在隱私權之上。但權利基礎的差異不足以模糊雙方趨同的價值追求，即法律制度應當實現個人信息安全可控與數據開發利用協同增速。通過域外立法的歷史分析可知，個人數據保護制度本質是個人信息正當利用的規則，是個人數據上的主體權利受保護^［12］。公平信息實踐構成了全球個人信息保護的思想淵源與基本框架，確立了個人信息賦權和施加信息控制者責任的進路^［13］。

2.國內立法實踐

我國的個人信息保護法律制度已形成多層次、多領域、內容交叉、體系龐雜的法律規范體系。2000年肇始，《全國人民代表大會常務委員會關于維護互聯網安全的決定》作為法律規范互聯網的開端，以刑事懲戒為主保障網絡信息安全。2009年初《刑法修正案（七）》通過，增設出售、非法提供公民個人信息罪與非法獲取公民個人信息罪。后《刑法修正案（九）》通過擴大犯罪主體范圍與擴充違法行為的方式，將其統一規定為侵犯公民個人信息罪。2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》成為立法層面明確個人信息保護要求的法律范本。此后，2013年《電信和互聯網用戶個人信息保護規定》、2014年《中華人民共和國消費者權益保護法》、2016年《中華人民共和國網絡安全法》（簡稱《網絡安全法》）、2018年《中華人民共和國電子商務法》（簡稱《電子商務法》），分別以電信和互聯網服務提供者、一般經營者、網絡運營者、電子商務經營者為規范對象，對自然人個人信息保護的基本原則和行為準則分類規制。繼2017年《民法總則》單列個人信息保護條款后，2020年《民法典》于人格權編進一步細化個人信息保護規范。但其存在的現實問題是，規范性文件位階偏低，高位階法律流于形式或僅設宣示性規定，缺乏具體明確的操作指引。個人信息保護與利用的利益衡量表述不清，凌亂立法現狀脫節于司法實踐需求。直至2021《個人信息保護法》的生效施行使個人信息保護的專門立法登上歷史舞臺。

三、個人信息保護的權益層級

（一）個人信息的界定

個人信息保護是否權利化的一個根本性因素是個人信息權利的客體范圍^［14］?？v觀國際社會的立法實踐，基本形成以可識別性為核心判定標準的路徑共識，如歐盟《一般數據保護條例》、美國《加州消費者隱私保護法》、我國《民法典》對個人信息的定義均采此例^［15］。本質是以“識別特定自然人”為最終確定方式。識別標準最先是由學者從隱私與行為研究的角度提出^［16］，認為信息如果能夠識別個人身份，對其獲取應征得個人同意?！白R別”的標準在于將信息主體從人群中區分出來或者通過某一信息關聯到具體個人^［17］。我國《個人信息保護法》中個人信息的定義在與已有法律規定保持實質一致的基礎上有所擴展。一方面，是內涵的擴張解釋。與《網絡安全法》關于個人信息的規定采用“識別自然人個人身份”的表述不同，《民法典》采用了“識別特定自然人”的表述，使得識別范疇突破身份限制?！秱€人信息保護法》一以貫之，同時借鑒歐盟法的規定，在“識別”的基礎上新增“關聯”標準，兩者的結合形成了“與已識別或可識別的自然人有關的各種信息均為個人信息”的法律表述。其中，“有關”的表述并未改變個人信息需要具有可識別性的基本要求，但在一定程度上拓寬了個人信息的范圍。因為，從“識別說”的角度界定個人信息時，是從信息本身出發，看是否能夠從中找到與特定自然人的關聯性。要么是從身份標識符中直接識別到特定自然人，要么是從特征標識符中結合識別特定自然人，僅有滿足此兩種可識別條件的信息才是個人信息。而從“關聯說”界定個人信息，則是從信息主體出發，認為與已識別或可識別的自然人相關的信息就是個人信息^［18］。此時，對于個人信息的認定一步到位，是主體輻射下的信息全集。對于“已識別的自然人”，是一種特定自然人已被識別、區分于他人的事實狀態。而如何判斷是否屬于“可識別的自然人”，即特定自然人是否存在可以被識別的可能性，則又需要回到信息本身，從信息內容中找尋線索是否足以直接或相互結合識別出特定自然人。《個人信息保護法》將識別與關聯兩種判斷路徑均囊括在個人信息的法律定義之中，依據不同的主體狀態適用不同的分析方法，使得個人信息的界定有章可循。另一方面，是外延的開放解釋。區別于此前立法的概括+列舉模式，采用純概括式定義將使符合可識別性要素的信息在開放狀態下均可歸入個人信息范疇，法律客體的外延寬泛。

法律實踐方面，識別標準的動態性使得個人信息成為一個抽象的集合體屬性的法律概念。而作為法律保護的“啟動鍵”，法律適用的邏輯基礎應是對個人信息的準確理解并劃定其范圍，這就使得如何界定個人信息成為法解釋學的首要任務。但遺憾的是，《個人信息保護法》針對個人信息的構成要素不甚明晰。對比歐盟第29條數據保護工作組曾發布《關于個人數據概念的第4/2007號意見書》^［19］就如何理解《歐盟數據保護指令》中的“個人數據”予以解釋說明。首先，信息主體限定于生存的自然人。只有生存自然人才具有作為主體的信息自決能力，會因其個人信息的不當處理遭受人格尊嚴與自由受侵害的威脅，并依其自由意志參與信息處理活動。其次，是可識別特定自然人的信息。在確定某一自然人是否可被識別時應考慮他人可用于直接或間接識別該自然人的所有合理方式。確定某一方式是否可能被合理地使用，是一個相對場景化的具體判斷，應考慮所有客觀因素，如識別的成本和時間，處理數據所采用的技術以及技術更新。最后，應是與個人存在關聯性的信息。確定某一信息是否與自然人有關時應當考慮信息的內容、目的和結果。

由此可見，個人信息的內涵與外延伴隨信息技術的更新迭代不斷拓展延伸。其中，“識別”屬實質要素，需結合識別的判斷基準、信息相關性、識別可能性三方面予以判斷。而“記錄”屬形式要素，沒有記錄在載體之中的信息不是個人信息^［20］。個人信息的認定并非像物一樣穩定，而是隨著擁有數據的主體、使用場景、數據保存期限、技術發展而變化，這就決定了個人信息界定的場景性和動態性^［21］。此類理論的核心與國外學者提出的“開放式標準”^［22］一致，是否為個人信息需結合應用場景和社會準則動態認定，不可靜態地給出絕對有無的結論^［23］。一項事實是否構成個人信息，應關注信息所表達的內容以及這些內容對信息接受者的影響，從信息接受者對現有信息能否識別出特定主體的角度甄別個人信息的具體范圍，便可以落實到特定化處理場景中具體的每一項信息類別之上，這樣即便是個人信息的定義寬泛，但具體問題具體分析的思路值得重視。這也為個人信息的商業利用提供了合法性基礎，即在具體場景中確定信息關系以勾勒個人信息的具體邊界^［24］。通過司法實踐中靈活地利益衡量過程完成法律規則的適用，最終以一種寬嚴相濟的解釋路徑，使自然語境中泛在的個人信息限縮為法律層面承載法益保護需求的個人信息。

（二）個人信息保護：從“民事權益”到“民事權利”的升級

民事利益是民事主體之間為實現一定需求而發生的人身關系或財產關系。民事權利則是經立法程序將特定利益賦予法律之力以確保民事主體利益最大化，是為法律所承認的類型化私人利益。我國法律保障民事利益的方式有三：一是以列舉的形式明確規定為權利。如《民法典》中明確規定的人格權、物權、債權、知識產權、繼承權以及股權等。二是以概括的方式作法益保護。如《民法典》第16條對于胎兒利益的保護。三是對于用權利還是用法益保護的規定不明確。如隱私的保護，最初以保護名譽權的方式間接保護，而后采用“隱私利益”的直接保護，直至《中華人民共和國侵權責任法》（簡稱《侵權責任法》）確定為“隱私權”。故，依法律條文的具體規定，民事利益可分為三種類別：權利保護的民事利益，法益保護的民事利益，不受權利和法益保護的民事利益^［25］。自然人對個人信息享有應當受法律保護的利益，該利益是指自然人享有的防止因個人信息被非法收集、泄露、買賣或利用進而導致人身財產權益遭受侵害或人格尊嚴、個人自由受到損害的利益^［26］?！睹穹ǖ洹芬栽瓌t性規范表達自然人的個人信息受法律保護，既未使用“個人信息權”，也未使用“個人信息利益”，這使個人信息進入兜底性的“其他合法權益”范疇，并入“法律沒有明確規定為權利抑或法益”之列。在數字經濟時代的新型法律關系中，這種不明確的立法狀態使各方主體對兼具多重利益屬性的個人信息保護任重道遠。

聚焦個人信息權利化的可行性分析，有部分學者提出有益見解。呂炳斌認為，個人信息與知識產權的客體類似，均是特定的信息，其權利不能架構在占有的基礎上，不是對客體圓滿狀態的控制。可借鑒知識產權的“行為規制權利化”構建路徑^［27］。王成認為，對個人信息采取間接保護抑或法益保護均難完整涵蓋利益范疇，權利化方式更符合我國立法需求與司法實踐。個人信息權可以嵌入既有人格權規范體系中，實現法律體系的內在和諧^［28］。葉名怡認為，個人信息權符合“權益區分三標準”。信息主體對其個人信息享有的究竟系利益亦或權利，取決于此種利益的重要性與成熟度。依德國法理論，“同時具備歸屬效能、排除效能和社會典型公開性的，為一種侵權法上的權利，反之則只能歸于一種利益”^［29］。個人信息的利益內容清晰確定，并可歸屬于特定主體，且排除他人非法干涉，同時還能通過法律創設可識別的法律地位，三項標準均已滿足，應當認可為一種民事權利^［30］。程關松提出，通過權利方式保護個人信息是一種立法趨勢。立法宜以“人格”要素、“人格性”要素、“非人格性”要素作為客觀分類標準，建立一個以原則性框架法為統攝，以公法為依托、私法為主干、社會法為補充的權利話語體系。在私法上建立以人格權法為基點、財產權法為增長點、合同法為著力點、權能配置為重心、侵權法為保障的私法體系^［31］。學界對于個人信息保護民事權利基礎討論旨在證成一項新的個人信息權并將其融入人格權體系之中^［32］。不同于財產權以占有方式的絕對排他，個人信息的社會屬性使其應能為他人合理使用，個人的獨占性控制近無可能，其享有的應是一種法律上的支配利益 。個人信息權的支配控制權并非是對個人信息的全面控制，而應是對特定類型個人信息使用行為的控制^［33］。個人有權決定其個人信息是否被收集使用以及在何種范圍內、以何種方式收集使用^［34］。

《民法典》一方面為“個人信息保護”貼上了“人格權益”的標簽^［35］；另一方面，卻在其法律規則設計中貫徹權利思維。此點可通過對個人信息處理者法律“義務”與“責任”條款的規范分析予以論證^［36］。首先，處理個人信息應征得該自然人同意的法律義務在邏輯結構上對應于個人同意與否的決定權。此種決定作為一種“權力”，既是個人針對其個人信息的支配力，也是針對是否形成信息處理法律關系的控制力^［37］。其次，在該自然人同意的范圍內合理實施的處理行為免于承擔民事責任的邏輯前提便是個人對其個人信息享有私權利益，他人應予以尊重且不得侵犯。同意作為權利人許可，發揮行為正當化效力^［38］?？梢姡睹穹ǖ洹吠ㄟ^限定個人信息處理合法基礎與免責事由的構成要件，將權利嵌入個人信息處理規則之中，實屬一種迂回確權路徑。

筆者認為，從理論完善度、實踐需求性、比較法的可借鑒性三個方面認識，個人信息保護已經具備從“民事權益”升級為“民事權利”的現實條件：（1）理論層面確認個人信息權的前提條件成熟。民法確認某種利益可賦予其權利的外衣時，需要具備兩個條件：其一，該民事利益具有自身獨立性；其二，該民事利益與其他利益可明確界分^［39］。《民法典》單章規定“隱私權與個人信息保護”，就此個人信息利益的獨立、與隱私利益的區分已為立法確認。個人信息本身具有的身份識別性，使其可勾勒出個人人格形象。作為信息主體人格的外在標志，個人信息化形象既能彰顯信息主體的人格尊嚴和自由，也蘊含被充分發掘與利用的商業價值^［40］。此時，作為權利客體的信息主體人格利益與商業利用的財產性利益融合一體，法益特殊性凸顯。（2）實踐層面保護個人信息利益的需求緊迫。面對紛繁復雜的侵權場景，目前的利益保護主要通過隱私權實現，成效微弱。隱私權作為精神性人格權，是一種消極的、排他的、防御性的權利，重心在于防范隱私被披露。在受侵害之前，個人無法積極主動地行使權利；而受侵害之時，只得請求他人停止侵害或排除妨礙，并采用精神損害賠償的方式加以救濟。個人信息權作為集人格利益與財產利益于一體的新型人格權，具備積極的、排他的、能動的控制與利用權能。權利受侵害之時，可請求行為人停止侵害，除采用精神損害賠償的方式外，也可尋求財產損失救濟^［41］。人格要素中最基本的自由和尊嚴，是人在數字社會中的存在基礎，也是個人信息權中最為核心的要素^［42］。個人信息權的配置可實現對精神性人格利益與財產性人格利益的雙重保護。（3）比較法上權利化保護模式的國際環境形成。美國以寬泛的隱私權保護個人信息。隱私一詞帶有信息、身體、財產和決定等方面的含義，是包括姓名、肖像、聲音等其他人格利益在內的廣義的隱私概念^［43］。其保護內容涵蓋人格尊嚴、人格獨立及人格自由。歐洲將個人信息作為獨立的權利對待，如德國的信息自決權，歐盟的憲法性基本權利。歐美立法的相同之處在于均以“公平信息實踐原則”為基礎發展出“個人信息自主控制”模式^［44-45］，旨在授權信息主體控制有關個人信息，防止不公平和損害性的個人信息使用^［46］。二者的差別在于賦權程度不盡相同。歐盟是嚴格的個人信息自主控制模式，凡未允許皆禁止。美國反之，凡不禁止皆自由。這與其經濟結構的差異不無關系，但整體上，個人信息的確權保護模式已成為現代社會發展的主流趨勢。唯有在權利體系下，清晰的權屬界定、規范的收集使用、有序的自由流通、合理的報酬分配，才是實現個人信息利益最大化的最佳路徑。

四、個人信息保護的權益屬性

（一）個人信息權屬性的學理辨析

明確個人信息保護的權利屬性對個人信息保護立法意義深遠，直接影響法律架構的建立。有關探討，見仁見智：（1）憲法人權說（基本權利說）。多見于國際性或區域性條約之中，美國的憲法隱私權、歐洲的人權保護均有此意。我國也有持憲法基本權理論者^［47］。（2）物權說或所有權說。其認為個人信息有財產價值，是特殊的物權客體，即無體物^［48］。每個人都擁有對其個人信息的所有權，只要不與法律和公共利益相抵觸，所有權權能均可實現^［49］。（3）財產權說。在信息記錄電子化初期，以歐美財產制度的完備性為產生契機，個人有權控制與其相關的信息，享受法律為財產提供的全套保護^［50］；在處置個人信息時可適用限制危險商品的方式予以規制^［51］；財產制度有益于交易效率的提高^［52］。進入信息時代，個人信息因潛在的商業價值應當被賦予財產權保護^［53］。（4）復合性權利說。其認為個人信息權既非人格權，也非財產權，是一種獨立的復合性權利，具有人格和財產的雙重屬性^［54］。（5）框架權說。其將個人信息權認定為概括性、描述性的概念，指稱以不同強度來保護的價值綜合體，是眾多具體個人信息權利的集合^［55］。（6）一般人格權說。其認為個人信息所體現的利益是人格尊嚴、人身自由與完整等基本利益，屬一般人格權范疇^［56］。（7）隱私權說。其認為個人信息屬隱私權客體，權利內容包括私生活不受干擾與信息自主^［57］。（8）具體人格權說。其主張在人格權法中明確個人信息權，將其作為獨立的具體人格權，既保護個人信息的人格利益，也保護財產利益^［58］。

縱觀權利學說演變，從宏觀、抽象到一般、具體的細化，映射出個人信息絕對保護向保護與利用并舉理念的轉變。個人信息承載人格利益與財產利益雙重屬性，不可簡單定論其為人格權或財產權。辯證地予以分析，憲法基本權利的定位作為權利受保護的基礎條件，有待向部門法的權利轉化。物權說或所有權說、財產權說以及組合型的復合權利說均忽略了人格利益的價值本位和優于單一財產權的人格權商品化發展理論。個人信息的財產利益依附于人格利益，具有派生性。盡管其核心為人格利益，而非財產利益，但經商品化或公開化后的人格利益，可為他人利用，包括為商業使用^［59］。個人信息所具有的潛在商業利用價值，根源于該生產要素蘊含的人格特征，這在本質上屬于人格權的客體。而人格特征的商業化使用，表現為人格權的商品化，帶來的財產利益構成人格權的財產部分，但該財產利益并非獨立財產權。此外，財產權理論亦無力解決數據交易中的個人信息保護難題：交易雙方的信息地位不平等，交易對價難以公允；在初次交易完成后，信息主體難以限制市場參與者自由處分其個人信息，個人信息的任意流動可能變得難以控制。將個人信息作為單純的財產，當其受到侵害時，個體差異導致計量標準難以統一規定，實際的損害賠償數額難以計算。而框架權說徒增虛權，本質類似于一般人格權，未界分權利與權能的關聯?！叭烁褡饑馈痹诶碚撋媳环Q為“一般人格權”，是人格權利一般價值的集中體現^［60］。一般人格權說削弱了個人信息權的獨特性。其具體適用依賴于對其內容的解釋，在法律沒有明確規定的情況下，實踐中往往會出現解釋的模糊和適用的混亂^［61］。英美法系的隱私權說同比大陸法系的一般人格權說。權利保護的客體與社會發展變遷下人格利益保護需求息息相關，隨著時代變遷和需求變化不斷充盈其內涵，逐步從消極防御權轉化為積極利用權。隱私權理論從“獨處權說”到“有限接近自我說”再向“個人信息控制權說”演進^［62］。其保護范圍包括生育自主、家庭自主、個人自主、信息隱私四大方面^［63］。顯見，大陸法系中從屬于人格權的隱私權概念與英美法系的隱私權概念完全不能等同。中國語境中的隱私權屬保護隱私信息的具體人格權，其與個人信息在內涵外延、權能屬性、使用價值、保護方式等諸多方面差異性顯著^［64］。相較之下，具體人格權屬性優勢凸顯。

（二）個人信息保護：具體人格權定性之最優解

自然人的個人信息是其與生俱來并在社會發展中不斷形成的各種信息，個人信息的身份識別性與個人人格密不可分。信息化人格形象的塑造與發展體現人格尊嚴與人格自由。人格權作為一個不斷發展的權利集合，是踐行“以人為本”的關鍵環節。為切實保障數字經濟時代的發展及個人信息所承載的主體人格利益與商業化財產利益，將個人信息權益明確定性為具體人格權，既是構建人格權權利體系的立法要求，也是充分保障數據要素市場下實踐人格利益保護及其財產化的理性經濟人需求。

首先，作為個人信息權保護對象的個人信息，內涵高度抽象，外延種類寬泛。當前的立法實踐與理論通說，均以識別路徑定義個人信息，但從具體細節考究，仍有區分。歐盟以人權保護為導向，采用“個人數據（Personal Data）”的概念，個人信息范圍的界定較為寬泛，強調個人信息的抽象性保護。美國注重對信息數據的合理利用，使用“個人可識別信息（Personal Identifiable Information，PII）”的概念，個人信息范圍的界定相對狹窄，采用列舉個人信息類型的PII還原主義。我國立法借鑒歐盟擴張主義的識別路徑。凡與自然人身份識別有關的信息，均可認定為個人信息。其中既包括已被具體人格權所保護的姓名、肖像等直接個人信息，也包括尚處于“權益”狀態的電話號碼、通信地址等間接個人信息。隨著大數據技術的深入應用與發展，非個人信息向個人信息聚合轉化，個人信息的內容將繼續豐富，其不宜被認定為其他權利分散涉列，而應當確立一項獨立的具體人格權，對動態轉化中的個人信息予以概括性的全面保護。同時，考慮到個人信息的流通具有公共性價值，對個人信息的寬窄界定還應當在具體場景中予以把握。

其次，實現個人信息所承載的精神性人格利益與財產性人格利益協同發展，需確立具體人格權以建立有效的多層保護機制。人格標識的完整性與真實性關系人格尊嚴，體現精神性人格利益。人格形象的商業化利用彰顯經濟自主，關系人格自由，體現財產性人格利益^［65］。人格權的財產利益為人格權所固有的，而非獨立的權利^［66］?；陔p重利益屬性，具體人格權的選擇既可最大限度地維護人格尊嚴，促進人格平等，同時亦未忽視對其財產利益的保護?！肚謾嘭熑畏ā返?0條規定的侵害人身權益的財產損失賠償規則同樣適用于個人信息保護。同時，該法第22條規定的精神損害賠償規則，較于財產權損害賠償的差別化計算，更有利于對權利人的全面救濟。

最后，個人信息權龐大而成熟的權能體系和規則范式足以塑造出鮮活的具體人格權。比較法視域下，不同國家或地區在個人信息權具體內容設定上大同小異。典范如歐盟《一般數據保護條例》第3章“數據主體的權利”的設置。有別于我國傳統立法秉承的具體行為規制模式，《個人信息保護法》在其第4章對“個人在個人信息處理活動中的權利”進行了列舉式規范。此舉可謂是立法對權利路徑的初探。與此同時，有關個人信息權具體內容的探討活躍于學術領域。主張個人信息權是自然人依法對其個人信息享有的支配、控制并排除他人非法侵害的權利的學者們不謀而合地構造了范疇相似的權利體系：控制權、知情權、同意權（決定權）、訪問權（查詢權）、更正權、可攜帶權、封鎖權（限制處理權）、反對權、刪除權（被遺忘權）^［67-68］。諸項權能內涵清晰明確，邏輯體系完整，難被其他權利吸收或概括。根本而言，正是基于具體人格權的體系展開，豐富的權能配置才可實現個人信息全生命周期的法律利益保護。

五、結語

全面建立個人信息保護制度是我國完備自身法律體系的必然要求。伴隨著我國個人信息保護法律規范的制定與完善，作為基本權利的個人信息保護在基本法的價值輻射功能下，實現了向部門法的權利延伸。在此過程中，協調好《民法典》與《個人信息保護法》有關個人信息保護的權利銜接，既涉及對立法技術的理解，也是個人信息確權保護路徑逐步清晰的過程。起初《民法典》以宣示性的法律表達，精簡地完成了個人信息保護頂層設計，原則性規范突出，有明顯的包容式立法用意，這為后續專門法的制定出臺與靈活適用留下了自由空間。作為立法的邏輯起點，應準確定位法律所保護的利益層級，當下私法體系中的個人信息保護具備從“民事權益”上升為“民事權利”的理論要件、現實需求以及國際環境。辨析個人信息權的法律屬性，其外延寬泛的保護對象、雙重屬性的權利客體、內容豐富的權利體系，使其具備成為具體人格權的可行性、必要性。這亦是人格權發展的自然之法。權利作為法律賦予個人保護其自身利益的制度工具，應根據不同信息實踐活動可能出現的個人權益侵害風險配置權利類型。在此基礎上，結合行為規制模式下，個人信息處理規則的細化，完善個人信息權利救濟機制，建立個人信息保護專門機構并明確其職責權限，最終以一種為信息主體賦權與信息處理者行為規制相結合的權利義務設計實踐立法已達至綱舉目張之效用。

參考文獻：

［1］中國互聯網絡信息中心.第51次中國互聯網絡發展現狀統計報告［R/OL］.（2023-03-02） ［2023-06-25］.https：//www.cnnic.net.cn/NMediaFile/2023/0322/MAIN16794576367190GBA2HA1KQ.pdf.

［2］葉金強.《民法總則》“民事權利章”的得與失［J］.中外法學，2017（3）：645-655.

［3］OHM P. Broken promises of privacy：Responding to the surprising failure of anonymization［J］.UCLA Law Review，2010，57：1701-1777.

［4］宋亞輝.個人信息的私法保護模式研究：《民法總則》第111條的解釋論［J］.比較法研究，2019（2）：86-103.

［5］高富平，尹臘梅.數據上個人信息權益：從保護到治理的范式轉變［J］.浙江社會科學，2022（1）：58-67，158.

［6］王利明.中華人民共和國民法總則詳解［M］.北京：中國法制出版社，2017：465.

［7］龍衛球，劉保玉.中華人民共和國民法總則釋義與適用指導［M］.北京：中國法制出版社，2017：404.

［8］楊立新.中華人民共和國民法總則要義與案例解讀［M］.北京：中國法制出版社，2017：413.

［9］陳甦.民法總則評注（下冊）［M］.北京：法律出版社，2017：785.

［10］張新寶.《民法總則》個人信息保護條文研究［J］.中外法學，2019（1）：54-75.

［11］崔建遠.我國《民法總則》的制度創新及歷史意義［J］.比較法研究，2017（3）：180-192.

［12］高富平，王苑.論個人數據保護制度的源流：域外立法的歷史分析和啟示［J］.河南社會科學，2019（11）：38-49.

［13］丁曉東.論個人信息法律保護的思想淵源與基本原理：基于“公平信息實踐”的分析［J］.現代法學，2019（3）：96-110.

［14］程關松.個人信息保護的中國權利話語［J］.法學家，2019（5）：17-30，191-192.

［15］彭誠信.重解個人信息的本質特征：算法識別性［J］.上海師范大學學報（哲學社會科學版），2023（3）：68-81.

［16］彭誠信，史曉宇.個人信息識別標準的域外考察和在我國的轉進：基于美歐國家制度互動的分析［J］.河南社會科學，2020（11）：2-11.

［17］范為.大數據時代個人信息定義的再審視［J］.信息安全與通信保密，2016（10）：70-80.

［18］程嘯.論《民法典》與《個人信息保護法》的關系［J］.法律科學（西北政法大學學報），2022（3）：19-30.

［19］ARTICLE 29 DATA PROTECTION WORKINGPARTY.Opinion 4/2007 on the concept of personal data，01248/07/EN WP 136 ［DB/OL］.（2007-06-20）［2023-06-25］.https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf.

［20］韓旭至.個人信息概念的法教義學分析：以《網絡安全法》第76條第5款為中心［J］.重慶大學學報（社會科學版），2018（2）：154-165.

［21］齊愛民，張哲.識別與再識別：個人信息的概念界定與立法選擇［J］.重慶大學學報（社會科學版），2018（2）：119-131.

［22］SCHWARTZ P M，SOLOVE D J.The PII problem：Privacy and a new concept of personally identifiable information［J］.New York University Law Review，2011，86：1814-1894.

［23］ROSE J，DEAN D，KALAPESI C.Unlocking the value of personal data：From collection to usage［J］.World Economic Forum-Industry Agenda，2013.

［24］丁曉東.個人信息權利的反思與重塑 論個人信息保護的適用前提與法益基礎［J］.中外法學，2020（2）：339-356.

［25］楊立新.民法總則［M］.北京：法律出版社，2017：171.

［26］程嘯.民法典編纂視野下的個人信息保護［J］.中國法學，2019（4）：26-43.

［27］呂炳斌.個人信息權作為民事權利之證成：以知識產權為參照［J］.中國法學，2019（4）：44-65.

［28］王成.個人信息民法保護的模式選擇［J］.中國社會科學，2019（6）：124-146，207.

［29］于飛.侵權法中權利與利益的區分方法［J］.法學研究，2011（4）：104-119.

［30］葉名怡.論個人信息權的基本范疇［J］.清華法學，2018（5）：143-158.

［31］程關松.個人信息保護的中國權利話語［J］.法學家，2019（5）：17-30，191-192.

［32］程嘯.論個人信息權益［J］.華東政法大學學報，2023（1）：6-21.

［33］曹博.個人信息權絕對權屬性的規范依據與法理證成：從微信讀書案切入［J］.暨南學報（哲學社會科學版），2022（7）：16-28.

［34］王利明.和而不同：隱私權與個人信息的規則界分和適用［J］.法學評論，2021（2）：15-24.

［35］王苑.私法視域下的個人信息權益論［J］.法治研究，2022（5）：37-47.

［36］秦倩.個人信息保護權利基礎的體系性理路：以“個人信息權”概念表達的統一為視角［J］.寧夏社會科學，2022（5）：72-81.

［37］呂炳斌.論《民法典》個人信息保護規則蘊含的權利：以分析法學的權利理論為視角［J］.比較法研究，2021（3）：40-54.

［38］程嘯.論個人信息處理中的個人同意［J］.環球法律評論，2021（6）：40-55.

［39］楊立新.個人信息：法益抑或民事權利：對《民法總則》第111條規定的“個人信息”之解讀［J］.法學論壇，2018（1）：34-45.

［40］張新寶.從隱私到個人信息：利益再衡量的理論與制度安排［J］.中國法學，2015（3）：38-59.

［41］王利明.論個人信息權在人格權法中的地位［J］.蘇州大學學報（哲學社會科學版），2012（6）：68-75，199-200.

［42］彭誠信，楊思益.論數據、信息與隱私的權利層次與體系建構［J］.西北工業大學學報（社會科學版），2020（2）：79-89.

［43］阿麗塔.L.艾倫，理查德.C.托克音頓.美國隱私法：學說、判例與立法［M］.馮建妹，石宏，等譯.北京：中國民主法制出版社，2004：5-20.

［44］SCHWARTZ P M.Privacy and democracy in cyberspace［J］.Vanderbilt Law Review，1999，52：1607-1702.

［45］SOLOVE D J.Introduction：privacy self-management and the consent dilemma［J］.Harvard Law Review，2013，126：1880-1903.

［46］CATE F H.The failure of fair information practice principles［J］.Consumer Protection in the Age of the Information Economy，2006：342-379.

［47］張翔.個人信息權的憲法（學）證成：基于對區分保護論和支配權論的反思［J］.環球法律評論，2022 （1）：53-68.

［48］張莉.個人信息權的法哲學論綱［J］.河北法學，2010（2）：136-139.

［49］湯擎.試論個人數據與相關的法律關系［J］.華東政法學院學報，2000（5）：40-44，69.

［50］MILLER A R.The assault of privacy［M］.Ann Arbor，Michigan：University of Michigan Press，1971：211.

［51］WESTIN A F.Privacy and freedom［M］.New York：Athenum，1967：324-325.

［52］POSNER R A.The economics of justice［M］.Harvard University Press，1981：235.

［53］張融.論個人信息權的私權屬性：以隱私權與個人信息權的關系為視角［J］.圖書館建設，2021（1）：93-104.

［54］張素華.個人信息商業運用的法律保護［J］.蘇州大學學報，2005（2）：36-39.

［55］任龍龍.個人信息民法保護的理論基礎［J］.河北法學，2017（4）：181-192.

［56］馬俊駒.個人資料保護與一般人格權（代序）［M］//齊愛民.個人資科保護法原理及其跨國流通法律問題研究.武漢：武漢大學出版社，2004：1.

［57］王澤鑒.人格權的具體化及其保護范圍·隱私權篇（中）［J］.比較法研究，2009（1）：1-20.

［58］張里安，韓旭至.大數據時代下個人信息權的私法屬性［J］.法學論壇，2016（3）：119-129.

［59］彭誠信.數據利用的根本矛盾何以消除：基于隱私、信息與數據的法理厘清［J］.探索與爭鳴，2020（2）：79-85.

［60］陳現杰.《關于確定民事侵權精神損害賠償責任若干問題的解釋》的理解與適用［J］.人民司法，2001（4）：12-15.

［61］謝遠揚.信息論視角下個人信息的價值：兼對隱私權保護模式的檢討［J］.清華法學，2015（3）：94-110.

［62］楊詠婕.個人信息的私法保護研究［D］.吉林：吉林大學，2013.

［63］王澤鑒.人格權法： 法釋義學、比較法、案例研究［M］.北京：北京大學出版社， 2013：187，209.

［64］彭錞.再論中國法上的隱私權及其與個人信息權益之關系［J］.中國法律評論，2023（1）：161-178.

［65］張新寶.“普遍免費+個別付費”：個人信息保護的一個新思維［J］.比較法研究，2018（5）：1-15.

［66］韓強.人格權確認與構造的法律依據［J］.中國法學，2015（3）：138-158.

［67］陳星.論個人信息權：定位紛爭、權利證成與規范構造［J］.江漢論壇，2022，（8）：138-144.

［68］汪慶華.個人信息權的體系化解釋：兼論《個人信息保護法》的公法屬性［J］.環球法律評論，2022（1）：69-83.

Analysis on theright foundation of personal information protection

QIN Qian^a，b

（a. Koguan School of Law; b. Shanghai Key Laboratory of Integrated

Administration Technologies for Information Security， Shanghai

Jiao Tong University ， Shanghai 200030， P. R. China）

Abstract： The essence of personal information protection lies in practicing the fair information practice principles， adhering to the theory of interest measurement， and carrying out the protection and utilization simultaneously. Compared with the legislative model of the international community， Europe and the United States tend to adopt the protection mode of “positive right confirmation &code of conduct”. Chines single “code of conduct” model exposes the institutional drawbacks of the absence of the right basis. Following the “General Provisions of the Civil Law”， the “Privacy and Personal Information Protection” chapter of the “Civil Code” has not yet completed the renewal of personal information rights. After the promulgation of the Personal Information Protection Law， the expression of “this law is enacted in accordance with the constitution” has made the constitutional level of personal information protection clear. The state respects and safeguards human rights， the dignity of citizens is inviolable， and citizens freedom and privacy of communication are protected by law provide the constitutional normative basis for the personal information protection in the category of basic rights. When establishing the concept expression of the basic right of personal information protection， it should be consistent with the connotation of this right. In the digital age， personal information protection should not only continue the infringement prevention mechanism emphasized in traditional legislation， but also pay more attention to the active use of personal information and the protection of personal information property interests based on the requirements of personal freedom development. Then， the concept of “personal information right” is adopted to confirm the substantive value of personal information to personal interests. So that it can give individuals a complete form of rights over their personal information， which contain the basic requirements for personal information to be protected by law， and also leave room for the refinement of the content of rights. In this way， under the integration of the constitution right-personal information right， with human dignity and its free development as the core， and by giving play to the subjective defense function and the objective value order function of basic rights， we can practice the states protection obligations in the fields of public and private law， to form the specific personality right in private law oriented to object domination and protecting the self-determination of personal information， and a set of procedural rights in public law oriented by behavior regulation to ensure the substantive participation of individuals. The personal information right， as a fundamental right， is meaningful only if it is implemented in civil rights where individuals can specifically claim legal protection and remedies. Based on this， by reviewing the Civil Code， the “civil rights and interests” of personal information have the sufficient conditions to upgrade to “civil rights”. Different from general personality rights， privacy rights and other attributes， personal information right can be determined as specific personality right in the civil right system. Based on the principle norms of the Civil Code， the independent ownership of the personality right law and the construction of the rights system of the personal information protection law， the logic deduction of personal information right from top-level design to comprehensive layout is gradually realized.

Key words：personal information;rights and interests level; rights attribute; personal information right; specific personality right

（責任編輯 胡志平）