个人信息权保护的法经济学分析及其限制

李延舜

(苏州大学 王健法学院，江苏苏州215021)

一、我国当前的个人信息保护路径:具体人格权中的隐私权

目前我国个人信息纠纷的案件集中于一般侵权，而绝大多数的案件审理皆以“隐私权”来审理。如王卫宁诉云南电信昆明分公司隐私权纠纷案，法院认为:“隐私权包括个人的安宁权、个人的信息保密权和个人通讯秘密权。同时，我国宪法也规定公民的通信自由和通信秘密受法律的保护，因此，个人的电话号码应当属于个人隐私的范围。”①参见云南省昆明市中级人民法院(2004)昆民二终字第785号民事判决书。在王菲案中，法院明确提出:“公民的个人感情生活，包括婚外男女关系问题，均属个人隐私范畴。”②参见北京市朝阳区人民法院(2008)朝民初字第10930号民事判决书。在孙伟国与中国联合网络通信有限公司上海市分公司电信服务合同纠纷上诉案中，法院明确提出:“私人信息是隐私权益的主要内容，包括个人的姓名、性别、职业、学历、联系方式、家庭住址、婚姻状况等与个人及其家庭密切相关的信息。”③参见上海市第一中级人民法院(2009)沪一中民二(民)终字第4042号民事判决书。还有在黄某前诉深圳市宝安区某物业发展总公司名誉权纠纷案中，法院认为，“公民的住所属于公民的个人信息，公民的个人信息在本人不愿意公开的情况下属于个人隐私的范畴。”④参见深圳市宝安区人民法院(2010)深宝法民一初字第1034号民事判决书。

由上述案例可以看出，我国目前的司法实践中，个人的电话号码、个人的感情生活、私人信息、公民住所等都纳入了隐私的范畴。首先，在我国语境中，个人信息一般可以分为敏感个人信息和一般个人信息，敏感个人信息指的就是隐私。由此，张三如果侵犯了李四的敏感个人信息，就会产生一种侵权的“竞合现象”。比如，随意传播个人病历资料，既会造成对个人隐私权的侵犯，也会侵犯个人信息权。所以，侵害个人信息也往往有可能构成对隐私的侵害。其次，从侵害个人信息的表现形式来看，侵权人多数也采用披露个人信息的方式，从而与隐私权的侵害非常类似。……或许正是基于这一原因，在我国司法实践中，法院经常采取隐私权的保护方法为个人信息的权利人提供救济。①“冒凤军诉中国电信集团黄页信息有限公司南通分公司等隐私权纠纷案”，参见最高人民法院中国应用法学研究所:《人民法院案例选》(第4辑)，人民法院出版社2011年版，第42页。

在我国司法实践中，除了以隐私权这一具体人格权为权利路径对个人信息进行保护外，还有个别判决用一般人格权来保护。在石某某与上海银行股份有限公司一般人格权纠纷上诉案中，由于上海股份有限公司工作的失误，误将案外人的身份证号码登记在石某某名下，导致石某某的个人信用系统因信息归并错误而产生不良信用记录，法院判定被告向原告进行赔礼道歉、赔偿损失。法院作出判决的法律依据是，“公民的人格权受到侵害的，有权要求停止侵害，恢复名誉，消除影响，赔礼道歉，并可以要求赔偿损失。”②参见上海市第一中级人民法院(2009)沪一中民一(民)终字第716号民事判决书。

目前的司法保护现状存在两个问题:首先是我们的时代仍然在不断进步，个人信息的外延在不断扩大，“数字化生存”、“数字化人格”、“信息的碎片化”等概念不断涌现，生动地说明了信息产业的发展和我们生活方式的剧烈改变。个人信息的收集、使用、传播变得越来越容易，个人信息安全已经陷入危险境地。不仅仅包括涉及到个人隐私的信息，还包括与隐私无关的一般性个人信息。如最容易被泄露或者被窃取的，大量都是财产性的个人信息，如银行账号、信用卡号、购物记录、信用记录等信息，这些都无法用传统的隐私权予以保护。其次，隐私权保护模式是一种被动的保护，因为它的根基是人格权。不管是以一般性人格权，还是以隐私权这种具体人格权对个人信息加以保护，都提供的是一种事后救济。而现代个人信息权更多的强调主动保护，强调信息主体对个人信息的控制，强调自由、自决的处理个人信息，这在根本上与隐私权的保护相悖。

值得高兴的是，个别法院对个人信息的保护采取了新的路径。在卢润娟案中，法院认为，“中行白云支行在生效判决已认定卢润娟未向其就房屋买卖进行抵押贷款的情况下，仍未向征信服务中心报送卢润娟未贷款的真实信息，从而导致卢润娟在征信服务中心存在和保留不真实的个人信用信息记录，中行白云支行该不作为行为对卢润娟的合法权益已构成侵权。”③参见广东省广州市中级人民法院(2010)穗中法民一终字第1946号民事判决书。可以看出，本案法院对公民的个人信用信息采用了独立保护模式，而没有将其置于一般人格权或具体人格权(隐私权)之下。或许，这是一个值得其他地方法院借鉴的方法。

二、我国个人信息权构建的经济学视角的分析

国内很多学者都已经提出构造独立的“个人信息权”概念，只不过有的学者认为应当在《人格权法》中对个人信息权作出规定，也有的学者主张单独制定一部《个人信息保护法》。这种论争的本质还是对个人信息权的性质和形式保护之争，并没有抓住我国个人信息保护立法的核心要素。更值得我们讨论的，是“以人格权为中心调整个人信息的保护，包含财产利益和人格利益两部分内容的一元模式”还是“保护个人信息精神利益的人格权和保护财产利益的人格利益权共存的二元模式”?解决这个问题，需要借助其他学科的分析手段，尤其是经济学的“效用”理论。法经济学的研究路径对法律资源的配置有着重大的参考价值，它是一种经济实证的分析方法。在构造同我国国情相适应的个人信息权的时候，必须要考虑立法的成本和收益问题。法律资源的配置成本和收益主要从三个方面来体现:价格、效率和最大化。

1、价格:侵犯个人信息需履行法律赔偿责任的“隐性成本”。经济学提供了一个科学的理论，来预测法律制裁对相关行为的影响。首先要假定制裁就像是价格，而且人们对于制裁的反映与对价格的反映相同。人们通过减少消费对较高价格作出回应。因此可以假设人们对于较为严厉的制裁的反映就是尽可能少的从事会被制裁的行为。体现在个人信息保护中，就是侵犯个人信息的行为会受到“承担法律赔偿责任”的制裁。那么，什么样的制裁或者价格才是正当且恰当的呢?

虽然2009年2月28日通过的《中华人民共和国刑法修正案(七)》增设“第二百五十三条之一”，将个人信息的保护纳入到刑法的范畴。①在刑法第二百五十三条后增加一条，作为第二百五十三条之一:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。2014年3月15日全国人大新修订的《中华人民共和国消费者权益保护法》正式实施，其中也规定了个人信息的民法救济和行政法救济的内容。②新消法关于个人信息保护的条款主要有两条:第五十条、经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失;第五十六条、经营者有下列情形之一，除承担相应的民事责任外，其他有关法律、法规对处罚机关和处罚方式有规定的，依照法律、法规的规定执行;法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得1倍以上10倍以下的罚款，没有违法所得的，处以50万元以下的罚款;情节严重的，责令停业整顿、吊销营业执照……(九)侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的。但整体而言，规定过于笼统，可操作性并不强。举例而言，对于个人信息侵权的救济主要是民法救济，而民法救济最主要的途径就是赔偿金，但赔偿金的适用在目前的法律规定里并不明确。我们知道，责任原则在达到有效率的预防水平上的程度部分取决于法院事实上的赔偿金判给的能力，这些赔偿金分为两种:补偿性的赔偿金和惩罚性的赔偿金。补偿性的赔偿金意指“使受害人完好无损”，但在侵权行为法中，却有两个大相径庭的补偿性赔偿金:一种是符合无差异这个标准的，另一种是无法量化数额的赔偿。前者很好理解，比如对市场上可以求得替代品的物品造成的损害;后者例子也很多，比如在无法恢复的致残事故造成的身体伤害或者直接造成死亡的情形。惩罚性赔偿金是作为惩罚被告的一种方式而给予原告的赔偿，大部分情况下，法律都明文规定惩罚性赔偿金裁定的条件，惯常的表述是:当被告是蓄意而为，且令人无法忍受、故意而任性，或具有欺诈性的时候，就可裁定惩罚性赔偿金。③比如《加利福尼亚民法典》第3294条规定:“对于压迫、欺诈或者蓄意为恶(Oppression，Fraud，Malice)”。(a)在背弃并非来自合同的义务(obligation)之行动中，若被告犯有压迫、欺诈或者蓄意为恶之罪恶，原告可于赔偿金之外，以以儆效尤和惩罚被告之目的，索取赔偿金。(b)在治理那些动辄数以百万美元计的行为上，并没有很多细节上的规定。注意，在计算惩罚性赔偿金上，原文付之阙如。那么，在个人信息侵权案件中，是否适用惩罚性赔偿金?惩罚性赔偿金的数额怎么量化?这都是没有解决的问题。

同时需要考虑的是，信息社会中信息的收集、获取以及使用是极具商业价值的。所谓的“集群营销”就是将建立在人口信息基础上的潜在消费者，按照年龄阶段、收入水平、消费习惯、地理位置、种族等进行分类，然后按照不同的群体投放商品信息。如果对个人信息的收集和加工、使用规定的过度严格，那无疑对商业交易产生重要影响。正如对同样兼具人格利益和财产利益的著作权来说，“著作权中所规定的公共获取与使用特权的规定大大促进了人们进一步创作的热情，进而产生了重大的社会利益;反过来，如果法律给与作者过于完整的控制权，那么将会导致作品的生产不足。”④张民安主编:《信息性隐私权研究》，中山大学出版社2014年版，第13页。故而，法律必须在个人信息收集及使用的“成本”配置上综合考虑。

2、效率:诉诸个人信息法寻求救助的实际投入与所得。在经济学中，满足以下两个条件中任意一个的情况下，生产过程被称作具有生产效率:a，无论如何变动投入，都不可能以更低的成本生产出同等数量产品;b，或者在现有投入组合下，不可能生产出更多数量产品。另一种效率，是以其提出者命名的“帕累托最优”，有时也成为最优配置，通常用其考虑个体偏好的满足。如果在不使某人境况变差的情况下，不能使另一人情况变好，则称之为帕累托最优或最优配置。⑤参见［美］罗伯特·考特、托马斯·尤伦:《法和经济学》(第五版)，史晋川、董雪兵等译，格致出版社、上海人民出版社2010年版，第15页。在侵犯个人信息所提供的救济过程中(尤其是在司法过程中)，如果诉诸救济的实际投入过高而不得不让当事人选择放弃，那这样的个人信息保护制度将是失败的。

以诉讼为例，诉诸诉讼的首要因素就是选择采用什么样的权利保护路径。这就回到了之前我们讨论的问题，是以人格权(还要区分具体人格权及一般人格权)路径还是以财产权路径?目前的《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题解释》规定了对自然人因人格权利遭受非法侵害有权请求精神损害赔偿。但该赔偿只是从人格利益的层面保护主体尊严，并没有对商业利用个人信息的财产利益予以保护。而精神损害赔偿的原则以抚慰为主、补偿为辅，且允许法官自由裁量，则在发生纠纷时因法官自由裁量判定的赔偿数额的不同，会导致“人格不平等”的嫌疑。此外，在大多数情况下，未经授权对人格标识商业利用产生的损害主要是一种潜在的经济损失，而非精神安宁的侵扰。因此关键不在于商业上使用具有冒犯性，而是个人未从中获得收益补偿。可见，现有的司法解释不能真正有效保护个人信息权。①参见王泽鉴:《人格权法》，自版，2012年第217页。同样，采用财产权路径提起诉讼，纵然对保护个人信息中蕴含的经济利益提供便利，但对个人信息中的大量人格利益的保护却无能为力。毕竟，个人信息兼具人格权和财产权的双重属性。

除了考虑诉讼中的权利救济路径外，效率问题还涉及到举证责任的设置以及侵权救济的种类。对前者而言，我们总是在一次次的产品购买、服务评价、账号注册、网页浏览中，不知不觉的个人信息泄露并被收集，举证责任能力的低下以及“不知情”让诉讼效率大打折扣;对后者而言，个人信息并非像知识产品一样具有公共产品特征，因而，社会既不存在鼓励个人信息收集的迫切需要，也不存在严厉惩戒个人信息侵权的全面保护。从现有规定来看，对大规模的个人信息侵权主要体现在行政处罚以及刑事责任上，仅仅对涉及隐私的个人信息采用“隐私权”路径予以保护。此外，个人信息的收集、加工者与使用者往往并不统一，两者在责任承担上是否存在连带关系以及是否存在类似专利制度中“权利用尽”的规则，都值得在立法中慎重考虑。

3、最大化:信息主体对个人信息的控制和自决程度。经济学家通常假设每一个经济主体将促使某些东西最大化:消费者追求效用(如快乐、满意度)最大化，厂商期望利润最大化，政客则希望得到最多的选票，政府部门希望财政收入最大化等等。经济学家通常称此为最大化行为假设。②参见［美］罗伯特·考特、托马斯·尤伦:《法和经济学》(第五版)，史晋川、董雪兵等译，格致出版社、上海人民出版社2010年版，第14页。个人信息法的制定当然期望将信息主体的权利最大化，而权利的最大化意味着信息主体对个人信息的控制和自决程度最大化。

最大化首先是一种行为假设，然后才是一种目的。在对个人信息侵权引起的纠纷中，信息主体面对不同的个人信息会有不同的期待。举例来说，我们将个人信息分为两类:一类是敏感个人信息(如医疗、基因、性生活、健康检查、信用记录、犯罪前科等，甚至可以用“隐私”来代替)，一类是一般性个人信息。对于关涉隐私的案件，信息主体选择纠纷解决的途径时会很谨慎。因为官司不止伤害说话者，而且也伤害提出诉讼的人。理查德·波斯纳法官特别提出说，“隐私案件很少见，因为像这样的诉讼，导致更进一步的宣扬隐私的违犯”。③Richard A．Posner，Overcoming Law，545(1995)．所以，法律的目标，应该是鼓励规范的发展，以及激励人们非正式的解决他们的争端。就理想的前景而言，大多数的问题会是由双方共同处理的，而不是诉诸法律。然而对于更极端和严重伤害的案件，我们需要一些法律的补救措施。④参见［美］丹尼尔·沙勒夫:《隐私不保的年代》，林铮顗译，江苏人民出版社2011年版，第132页。

还有一些极为特殊的个人信息侵权案件，它对单个的受害人来讲，损害是轻微的，但是因为受害人的人数众多，所以，它会形成一种集合性的、针对众多人的大规模损害。瓦格纳将此种行为称为“大规模的微型侵害”。⑤［德］格哈特·瓦格纳:《损害赔偿法的未来—商业化、惩罚性赔偿、集体性损害》，王程芳译，中国法制出版社2012年版，第178页。面对这种情形，因为对于单个受害人来说侵害轻微，所以往往不愿意要求加害人承担责任，对于此种诉讼动力不足的情况，需要由国家公权力机关作为公共利益的代理人去追究侵害人的责任，保护公共利益。

但最大化不仅指个人信息保护的程度和效用。如果单指这个，直接颁布法令禁止收集、加工、使用个人信息就可以了。个人信息既然具有财产属性，信息的购买者也愿意付出一定成本，那么，法律尤其是财产法的任务就是颁布促进交易的法律规定，推动财富的最大化。⑥参见 Richard A．Posner，Economic Analysis of Law 12－15，568(4th ed．1988)因此，个人信息保护立法一定要在不同的价值追求之间进行权衡:涉及人格尊严及隐私的，要做到严格保护;只是一般性个人信息、事关经济利益的，要考虑到社会交易的发展。

综合以上三方面的要素进行考量，我们可以合乎逻辑地推出:将个人信息的法律保护单独置于人格权或者财产权保护模式之下都是存在严重的漏洞和瑕疵的。人格权对于保护个人信息中的人格利益部分具有天然的优势，财产权也和个人信息中的财产利益相得益彰，将两种保护模式结合起来，才是我国个人信息保护立法的应由之路。按这个思路，刘德良教授关于个人信息的分类保护是可取的，对于直接个人信息，一般予以人格权保护，对于个人信息商业利用产生的纠纷以个人信息财产权保护;对于间接个人信息，一般只有维护主体财产利益的功能，以个人信息财产权保护。对于既含有人格利益，又含有财产利益的个人信息给予双重保护。①参见刘德良:《论个人信息的财产权保护》，载《法学研究》2007年第3期。因此，个人信息保护的二元模式更符合世界发展的潮流，只不过这里的二元并不是前文所指的保护个人信息精神利益的人格权和保护财产利益的人格利益权，而是保护个人信息精神利益的人格权和保护经济利益的财产权。

三、个人信息权的克减法理:权利绝对主义抑或权利相对主义

“克减”一词是由英文“Derogate”翻译而来。1969年的《维也纳条约法公约》第53条在规定“国际强行法”的定义时使用了“Derogation”一词，但《维也纳条约法公约》的中文文本将其译为“损抑”，而译为“克减”的“Derogate/Derogation”较多出现在国际人权文件和一些国家的宪法的“紧急状态”条款中。《布莱克法律词典》对“Derogation”的解释是:“(1)由后来限制法律的范围或削弱法律的效用和效力的行为所导致的法律的部分废止或废除。(2)轻视;价值的贬值或评价上的降低。(3)减损，损害，或(一项授予或权利的)毁灭”。②GARNER B．A．Black’s Law Dictionary Seventh Edition．United States of America:West Group，1999．455．转引自王祯军:《从权利限制看不可克减的权利及其功能》，载《大连理工大学学报》(社会科学版)2009年第3期。《元照英美法词典》对“Derogate”的解释是“(对法律、权利等的)限制;部分废除，对权利或权利让与进行部分废除就是对它进行减损其授权甚至破坏。”③薛波:《元照英美法词典》，法律出版社2003年版，第405页。《公民权利和政治权利国际公约》第4条、《欧洲人权公约》第15条和《美洲人权公约》第27条在国际法领域被称为“克减条款”。根据这一条款的规定，在社会紧急状态威胁到国家的生命并经正式宣布时，公约缔约国可以采取措施克减其在正常状态下本应承担的一些公约义务。

可见，克减一词不仅适用于国际公法，意指紧急状态下对公民基本权利的减损或者废止，也可以适用于对权利的限制。当代社会基于价值的多元，权利之间的冲突在所难免，有必要对权利予以限制。“权利限制通过限制冲突中的权利，使多种权利得以和谐共处，而成为权利冲突的基本纠偏机制”。④张平华:《私法视野里的权利限制》，载《烟台大学学报》2006年第3期。因此，绝不能把对权利的限制看成是限制的目的，对权利的限制是实现权利、扩大权利和实现其它价值目标的一种必要手段。洛克在强调法律对自由的限制作用时也同时指出:“自由固然要受法律的约束，但法律的目的不是废除或限制自由，而是保护和扩大自由”。⑤［英］洛克:《政府论》(下篇)，叶启芳、瞿菊农译，商务印书馆2005年版，第35页。

个人信息的保护立法虽然迫切，但过于严格的强调对个人信息的绝对保护是有害的，我们必须要给个人信息权的“势力范围”设置一个边界。在美国司法实践的历史上，隐私权的保护常常受到新闻自由与表达自由的限制，这不仅仅是基于两者出现的先后顺序以及是否被美国宪法所明确标识，更重要的是隐私权和新闻与表达自由背后所隐含的价值博弈的结果。

正如不同的规范性法律文件之间是有效力位阶的，权利之间也有位阶。那么有没有绝对性的权利存在?比如宪法中规定的基本权利。这个问题的争论在美国如火如荼，其代表正是《美国宪法第一修正案》中的言论自由权。⑥参见U．S．Const．amend．Ⅰ．《宪法第一修正案》:“国会不得制定法律……限制言论或出版的自由”。如果承认“根据良心去了解、表达、无拘无束的议论的自由，在所有的自由之上”，⑦John Milton，Areopagitica(George H．Sabine，ed．1954)那么持有的就是权利绝对主义的立场。美国著名大法官雨果·布莱克因持此观点而名声在外，他主张，《宪法第一修正案》是个“毫不含糊的命令，亦即对言论自由与集会的权利不应该有限制”。他直言说:“我把‘不得制定法律’读作‘无法律可剥夺’的意思”。①Justice Black and First Amendment Absolutes:A Public Interview，New York University law Review，Vol．43，(1962) ，p5491．

布莱克大法官的绝对主义在当时并未获胜，费利克斯·费兰柯弗特大法官一直坚称并不存在绝对的权利，甚至在第一修正案中也不存在什么绝对的自由。比如，当受到基本权利保障的法益与公共安全和关乎公共秩序的更重要的利益发生冲突时，法官必须对那些有可能对基本权利构成不利的行为采取默许态度。就表达自由而言，费兰柯弗特宣称:“为了服务于民主社会表达自由的要求以及国家安全利益的要求，最佳途径是坦率地向人们提供情况，使其能对法律程序范围内的各种竞争的利益加以权衡。这要比宣布僵死的教条来解决问题好得多”。②Laurent B．Frantz，The First Amendment in the Bal2ance，Yale．Law Journal，Vol．71(1962) ，p1424．这里，费兰柯弗特大法官主张在面对权利冲突的时候，可以用利益衡量这一法律方法来决定法官更倾向于哪一种主张，而不是僵化地看权利是否载于宪法。

19世纪末以来，法律发展的一个重大现象就是社会法的出现，由此导致法律研究的基本路径出现新的方向。社会连带主义法学的创始人狄骥认为在19世纪已形成了的新观念正在代替《拿破仑法典》和《人权宣言》之法律观念。这两个观念是:其一，法律的基础观念由个人主义转变为社会主义，即“个人的主观法权观念为本”的法律制度转变为“迫使个人遵服社会规则为本”的法律制度。其二，从主观法之玄想观念为本的立法转变为迫使个人与团体担负的社会功能为根据的立法。具体到所有权，这种变迁表现为:所有权不再是所有人的主观法权，而是财富持有人的社会功能。他的理由主要是，人是生活在社会中的，而社会是一种相互联系存在物。因此，取决自我意志的主观权利是玄想，是不存在的。③参见［法］狄骥:《拿破仑法典以来整个私法的变迁》，会文堂新记书局1935年版，第242页。如果说狄骥的理论还只是理论的话，那么，1919年《德国魏玛宪法》第153条第3项规定:“所有权负有义务，于其行使应同时有益于公共福利”，则让社会本位的理念走向现实。

但需要指出的是，社会法的出现并不意味着法学研究的起点由个人本位转向了社会本位。个人主义传统仍然是支撑现代法律的思想基础，以个人为中心构建法律制度已成为普世的共识。正如王伯琦先生所言:“所谓社会本位的法律，不过是权利本位法律的调整，他的基础还是权利，仅是有目的的予以限制而已。拿破仑民法典中的三大原则(契约自由、权利不可侵、过失责任)，以及刑法典中的罪刑法定原则，至今仍是自由世界各国法律制度的基础，法律的目的虽转向增进社会大众的生活，但其著手处，仍是在保护个人权利。个人仍旧是法律上政治上经济上社会上的独立单位”。④王伯琦:《王伯琦法学论著集》，三民书局1999年版，第117页。

在个人信息权日益受到重视的今天，一方面固然要从国家立法、行业自律、多元化纠纷解决途径等诸方面予以规制，另一方面也要恰当的划定其界限，使其尽量不予“在先的”或“之后的”其他权利发生冲突，或者说即使出现了冲突，也能得到最正当的解决。⑤对于个人信息权与其他权利之间冲突解决的正当性，从两方面获得:一是实质上的利益衡量，就权利背后的法益进行衡量;二是形式上的道路，通过程序走向正当。

四、个人信息权克减的具体场域

(一)个人信息权与言论自由:私人事务与公共事务的分野

个人信息中最容易受到侵犯的就是涉及到包含隐私内容的信息，也是信息主体最容易得知自己的个人信息被侵犯的部分。在美国，隐私权的保护长期受到言论自由的压迫。正如詹姆斯·M·伯恩斯等人所说，“隐私权虽然在理论上评价甚高，往往同其他权利，例如新闻自由互相冲突。在同这些其他发生冲突时，无论在国会或法院面前，它的遭受并不好”。⑥参见［美］詹姆斯·M·伯恩斯等:《民治政府》，陆震纶等译，中国社会科学出版社1996年版，第213页。言外之意就是说言论自由及表达自由在民主社会中具有重要的地位。

美国隐私权的保护源于沃伦和布兰戴斯合写的一篇论文《论隐私权》，发表于1890年《哈佛法学评论》。沃伦和布兰戴斯首先注意到“快拍相机”等新科技的出现能够引起精神创伤与痛苦，既然法律已经保护了“个人不受干扰的、更普遍的权利”，那么，这个权利可以成为发展新的隐私保护的基石。所以，虽然在宪法中没有提到隐私权，但联邦最高法院已经把宪法第一条、第四条、第五条、第九条和第十四条修正案中的某些基本因素放在一起，承认个人隐私是受宪法保护的权利之一。这项权利有三方面:(1)不受政府监视和侵扰的权利，尤其是在婚姻问题上;(2)私事不被政府公开的权利;(3)思想和信仰不受政府强迫的权利。①［美］詹姆斯·M·伯恩斯等:《民治政府》，陆震纶等译，中国社会科学出版社1996年版，第213页。事实上，在隐私权保护确立之前，美国法已经有了关于诽谤法的存在。开始法院认为诽谤不受《宪法第一修正案》的保护，因为诽谤一方面是关于“捏造”的事物，另一方面诽谤这种破坏人们名声的言论并不属于“公共议题”，而对于“公共议题”的讨论应该“秉持不受限制的、活泼有力的、完全开放的原则”，这是一个“深切的国家承诺”。②New York Times Co．v．Sullivan，376 u．s．254，279 －80(1964)直到1964年“《纽约时报》诉苏利文”一案，才在诽谤和新闻自由之间划定了界限。“在自由讨论之中，错误的言论是不可避免的，而且……如果表达的自由是为了拥有他们生存所需要的‘呼吸空间’，那么它就必须受到保护。”③New York Times Co．v．Sullivan，376 u．s．254，271 －272(1964)由此，法院精心设计了一项折衷办法，即区分公共事务和私人事务。正如霍恩所说，在这个问题上，法院一直认为，对政治家、公共活动家、或其他著名人士或卷入“社会重大问题”的人士，新闻界可以进行非常严厉甚至是片面的批评;而对于缺乏正当理由，指名道姓地披露私人或家庭事务，则将适用一些严格得多的标准。④参见［美］加里·沃塞曼:《美国政治基础》，陆震纶等译，中国社会科学出版社1994年版，第138页。

隐私法与言论自由更容易有冲突，因为诽谤法是适用于谬误，而隐私法在所流传的信息即使是真的情况下，仍准许信息主体从伤害中获得补偿。著名侵权学者威廉·普罗塞认为隐私权像是在创造“一种力量，它能够审查大众被准许阅读的东西，而且其延伸程度远远超过诽谤法”。⑤William L．Prosser，Privacy，48 Cal．L．Rev．383，423(1960)

回归到个人信息权与言论或表达自由的界限上，我们往往采用公共事务和私人事务之分来进行权利边界的划定。对于公共事务，言论或表达自由应理所应当的占据更重要的地位;对于私人事务，个人信息权理应占据主导。这样的分类也与美国如今的国家立法和行业自律相结合共同构成隐私权保护有异曲同工之处。然则怎样认定公共事务和私人事务的范畴呢?我们认为应至少从三个要素加以确定:一是信息收集和利用的主体，当代大部分国家或地区的个人信息保护法都严格区分政府和非政府组织，如我国台湾地区的《个人资料保护法》就区分公务组织和非公务组织;二是收集和使用个人信息背后的目的，要区分这个目的是为了公共利益还是私人利益;三是被收集和使用信息的公民数量，如果数量巨大，且具有不确定性，那么，就应当认定由私人事务向公共事务转变。除此之外，公共场所和私人场所的界定也是划分公共事务和私人事务的重要标准，这里主要关注的是个人信息中的隐私信息。原则上，发生在私人场所的私人生活肯定会受到法律的保护，那么，当他人在公共场所从事某种活动时，法律是否会保护呢?在法国，大部分法官都认同，即便他人出现在公共场所，他也享有隐私权。“所谓私人生活，是指他人在公共生活之外所从事的活动，此种活动既可能在公共场所进行，也可能在私人场所进行”。⑥Paris，27 févr．1981，Adjani，D．1981，457，note R．Lindon．转引自张民安主编:《隐私权的比较研究——法国、德国、美国及其他国家的隐私权》，中山大学出版社2013年版，第157页。此种规则得到了其他法官的反复援引，并因此成为法官责令行为人对他人承担隐私侵权责任的重要理论根据。

最后，还必须要强调的是，想完全的界定个人信息权与言论自由的界限是非常困难的，在司法实践中，我们往往要用到“利益衡量”的法律方法，来对涉及个人信息的案件进行权衡。在美国，关于隐私权与新闻自由间的争论也发明了“新闻价值测试”，即如果一个特殊的揭露是有新闻价值的，那么公开揭露侵权案将被驳回;美国最高法院还采纳过“更高层面的公共隐私利益”的判决原则，即限制言论的行为只有在涉及保护“更高层面的公共隐私利益”的情况，才有可能得到法律允许;⑦United States Department of Justice v．Reporters committee for Freedom 0f the Press．489 u．s．749(1989)还有另一种途径是进行言论自由保护和公民隐私的“利益平衡测试”，在该测试中，法院往往以社会价值和公民价值为最终取向来进行判决。按照该项原则，隐私权一般得不到保护，除非披露他人隐私对社会的价值观造成了重大的威胁。①Snyder v．Phelps，562 u．s．(2011)正如一位著名学者所说:“隐私并非美国唯一珍视的价值，除了隐私我们还重视信息、公正以及表达自由的价值。我们希望能够自由地发现并讨论我们的邻居、名人以及政府官员的秘密。我们希望政府行为公开化，即便这种公开有可能侵犯他人的隐私权。最重要的是，我们希望新闻媒体能够揭露事情的真相并对其进行报道——不仅仅是关于政府和公共事务的真相，还包括涉及公民个人的真相。法律保护我们的这些期待——当这些期待与隐私权相冲突时，隐私期待往往会落空”。②David A．Anderson，The Failure of American Privacy Law，in Protecting Privacy 139(Basil S．Markesinis ed．1999)

(二)个人信息权与信息的自由流通:静态保护与动态流通的考量

当今社会已经步入信息社会，信息的正常流动对于一国的政治、经济、文化等的发展甚至国家的安全具有重要作用。所以，个人信息保护法一方面需要保护个人权利，另一方面，又不能阻碍正常的信息流动，加大市场主体的交易成本，阻碍社会的进步。尤其在信息时代，信息作为战略性资源，其自由流动具有重要的基础性意义。如果对个人信息的保护走入极端，势必使每一个人都成为一座座“信息孤岛”，全社会成为一盘散沙。因此，如何协调好个人信息保护与促进信息自由流动的关系，可以说是各国立法当中最为重视的一对核心价值。③参见周汉华:《制定我国个人信息保护法的意义》，中国经济时报2005年1月11日。

我们在思考美国的“以隐私权为核心的国家立法和行业自律模式”的背后价值时，不可避免的要同美国秉持促进信息自由流通的理念结合起来。国家立法防范的是政府对个人信息的侵犯，行业自律却是出于信息经济自由自主发展的考虑，尽量将妨碍信息流通的成本降到最低。波斯纳认为，“每个人都拥有各种形形色色的信息，这些信息对他人甚至整个社会来说具有意义或者价值，可以为他人提供方便和资讯，这时他人会愿意付出对价来购买这些信息”。④理查德·A·波斯纳:《论隐私权》，常鹏翔译，载梁慧星主编:《民商法论丛》(第21卷)，金桥文化出版有限公司2001年版，第347页。在美国法律经济学的语境下，消费者数据的交换可以减少商人的调查成本:促进买家和卖家的供求平衡，从而增强市场的效率。⑤参见张民安主编:《隐私权的比较研究——法国、德国、美国及其他国家的隐私权》，中山大学出版社2013年版，第372页。我们再把目光转向欧洲，欧洲联盟在说明制定共同的数据保护指令的原因时指出:“为了消除个人数据流动中的障碍，各成员国对个人数据处理中个人的权利和自由的保护措施必须相同;各成员国对于个人权利和自由特别是隐私权，在个人数据处理过程中不同程度的保护措施可能会阻止这些数据在成员国之间的传送;这些差异因此可能对许多欧共体的经济活动形成障碍、扭曲竞争并阻止各国政府履行欧共体法律所规定的责任。”欧盟指令第1条明确规定，“各成员国应对个人数据处理中自然人的基本权利和自由，特别是他们的隐私权予以保护。各成员国不应限制或禁止出于与第1款所提供的保护有关的原因，而在各成员国之间所进行的个人数据的自由流动。”欧洲理事会协定在导言部分明确提出:“考虑到遭受自动处理之个人数据越来越多地跨国流动，由此应当扩大对大众权利及其基本自由的保护，尤其是对隐私权的尊重;同时重申成员国无论国界而保证信息自由流通之承诺;承认必须在遵守隐私的基本价值和尊重信息在国家间自由流动两者之间达至平衡。”经合组织指南在导言部分规定:“在隐私和个人自由的保护方面，在协调诸如隐私和信息的自由流动这些基本的但却冲突的价值方面，成员国有着共同的利益;成员国应该努力消除或避免以隐私保护的名义为个人数据的跨疆界流动制造障碍。”

信息社会中，信息只有通过流通才会产生价值。欧洲的上述几份文件都试图在保护个人信息与促进信息的自由流动之间架设并行不悖的桥梁。国家安全问题、国际反恐问题、国际刑事合作问题、国际贸易问题、国际知识产权保护问题，甚至一国的人权保障问题，都要依靠信息的交流。美国和欧盟为了实现消费者数据流通的顺畅，经历了多年谈判才最终签订了“安全港协议”。可预见的是，我国最终也会走上与世界各国进行密切信息交流的路途。因此，制定一部具有前瞻性的、符合我国现行法律体系的个人信息保护法，是必须且可行的。

(三)个人信息权与国家安全利益:正常状态与紧急状态的区分

一个国家或社会基本上可以分为正常状态与紧急状态两种。正常状态下，政府的行政行为不得侵犯公民的基本权利，但紧急状态下，国家的行政权在一定程度上扩大、甚至对公民个人的某些权利进行克减，这是合乎法理的。一个国家宣布进入紧急状态一般是基于国家安全存在现实的、即刻的危险，尤其是面临恐怖主义的袭击等。美国联邦宪法起草人Alexander Hamilton:“虽然该国家是一个崇尚自由意志的国家，它也不得不服从于这样一个事实:防止外部威胁，保障国家安全是国家行为的主要驱动力。战争对一个国家连续不断的摧毁将迫使该国极度需要解放和对社会公共机关的保障，这使得该国的公民一般权利和政治权利逐渐被忽视，但此时的公民更愿意牺牲自己的自由获得安全保障”。在Anon．v．Minister of Defense①Anon．v．Minister of Defense，54(1)P．D．721，743(Heb．)一案中，法院认为，在民主社会，保护人权不能作为忽视公共利益和国家安全利益的借口，但是我们不可能只选择追求自由或者只选择保障国家安全，我们应当在这两者之间寻求一种平衡，但是这种平衡非常脆弱，也很难建立。卢梭在《社会契约论》中指出，“如果危险已到了这种地步，以致法律的尊严竟成为维护法律的一种障碍，这时候，便可以指定一个最高首领，它可以使一切法律都沉默下来，并且暂时中止主权权威，”因为在这种情况下，“人民首要的意图乃是国家不至于灭亡。”②［美］卢梭:《社会契约论》，何兆武译，商务印书馆1997年版，第164页。

如果不用X射线扫描乘客的行李箱和身体，就无法查明谁是携带炸弹或其他武器的携带者;如果在通讯中没有监听，就无法窃听到恐怖分子之间的谈话及行动指向;如果大街小巷和商场等公共场所没有摄像头，就很难找到可疑的恐怖分子。与和平年代不同，在遭遇恐怖袭击的时期，适当减少对个体权利的保护非常必要，它便于国家针对恐怖袭击采取相应措施保障更有价值的利益。③H．C．680/88 Schnitzer v．The Chief Military Censor，42(4)P．D．617，630(Heb．)

在事关国家安全利益时，个人信息权的克减是合乎法理的，但必须要强调以下四点。

第一，紧急状态下的权利克减或者限制必须要合乎目的，具有正当性。即在紧急状态期间，国家采取的权利限制措施只能是作为保护公民权利的手段，如学者所言:“在一个社会里保障人权，首先要保证国家安全和领土完整，即国家政权的稳定性，当发生国际国内危机时，正常的宪法秩序受到破坏，人权失去其可靠的基本，从这种意义上讲，维护国家安全是人权保障的前提。”④韩大元:《保障和限制人权的合理界限》，载许崇德主编:《宪法与民主政治》，中国检察出版社1994年版，第242页。因此，保护公民权利才是国家在紧急状态中采取一切措施的最终目的。关于这一点，人权事务委员会已经作了明确的论述:“克减《公约》义务的缔约国，其主要目标应是恢复正常状态，确保重新全面遵守《公约》”。⑤参见联合国人权事务委员会(第72届会议2001年)第29号一般性意见第四条(紧急状态期间的克减问题)第1款:《公约》第四条对于《公约》的人权保护制度是极为重要的。一方面，它允许缔约国单方面暂时克减其在《公约》下所承担的一部分义务。另一方面，第四条规定，这一克减措施以及其实质后果得遵守一个特别的保障制度。克减《公约》义务的缔约国，其主要目标应是恢复正常状态，确保重新全面遵守《公约》。来源:http://www1．umn．edu/humanrts/chinese/CHgencomm/CHhrcom29．htm明尼苏达大学人权图书馆，最后访问日期2014－10－28。

第二，紧急状态下对个人信息权的克减应符合三项原则:一致性原则，即考察侵权行为与侵权目的是否一致;最小伤害原则，在所有符合侵权目的的侵权方式中选取最低程度侵害隐私权的方式;比例原则，侵权目的带来的利益与对他人利益带来的损失之间应该有合理的比例。

第三，即使在紧急状态下，也有一些基本权利是不得克减的。⑥参见联合国人权事务委员会(第72届会议2001年)第29号一般性意见第四条(紧急状态期间的克减问题)第11款:第四条列出的不可克减条款，是关于但不等同于某些人权义务是否具有国际法绝对标准性质的问题。在第四条第二款中宣布《公约》某些条款具有不可克减的性质应视为部分地承认了《公约》里以条约形式保证了一些基本权利的绝对性质(例如第六条和第七条)。然后，《公约》的一些其他条款显然是因为在一个紧急情势下，从来无必要克减这些权利而被包括在不可克减条款清单内(如第十一条和十八条)。此外，这一类绝对标准超过第四条第二款所列的不可克减条款清单。缔约国不论在什么情况下都不能援引《公约》第四条作为违反人道主义法律或国际法绝对标准的理由，例如通过任意剥夺自由或偏离包括无罪推定的公正审判原则，劫持人质、强加集体性惩罚。来源同上。正如Barak所言，“尽管在与恐怖主义进行斗争的同时我们迫不得已需要放弃一部分基本人权，但这也不能作为我们践踏人权的依据。”⑦A．Barak，Comments at the Opening of the Legal Year 2002．16 LAW AND ARMY 1，2 －5(2002)(Heb．)

第四，对公民基本权利的克减必须要通过正式的规范性法律文件立法。《中华人民共和国立法法》第8条第5款规定“对公民政治权利的剥夺、限制人身自由的强制措施和处罚”只能由“法律”作出。在美国“911”事件发生之前，《综合犯罪控制法案》(Omnibus Crime Control)、《道路安全法案》(Safe Street Act)、《电子通讯隐私法案》(Electronic Communications Privacy Act)、《境外情报无线监控法案》(Foreign Intelligence Surveillance Act，简称FISA)、《笔记录器或陷阱设置规约》(Pen/Trap Statute)和《反恐怖主义与有效死刑法案》(The Anti－Terrorism and Effective Death Penalty Act)等共同组成了在危急国家安全时刻，政府对公民个人基本人权可采取的侵犯措施及手段。在2001年9月11日之后，人们更加渴望通过克减公民的个人权利换取整个国家的安全，美国议会也开始加快脚步进行立法，在这种情况下，《爱国者法案》诞生了。《爱国者法案》的立法目的是为了增强政府机关在反恐方面的权力，而且该法案中的许多规定都有可能运用到对一般犯罪的调查中，这体现了对国家利益尤其是国家安全利益的倾斜性保护。①USA PATRIOT Act § §201，202(amending 18 U．S．C．§ §2516(1)，2516(c)．)

(四)个人信息权与权利人同意的抗辩:被动者的损害与主动者无损害

受害人同意又称为受害人允诺(Consent)，是指受害人就他人特定行为的发生或者他人对自己权益造成的特定损害后果予以同意并表现在外部的意愿。②参见程啸:《论侵权行为法中受害人的同意》，载《中国人民大学学报》，2004年第4期。

我国2010年7月1日起施行的《侵权责任法》虽然没有明文规定将“受害人的同意”视为侵权抗辩的理由，但司法实践中却是普遍认可“受害人同意”的效力。德国民法规定，受害人的同意不管是以明示的或者默示的方式表示出来，只要不违反法律和违背社会公德，都可以作为一种正当理由而使加害人免除民事责任。法国民法则认为，受害人的同意并不能完全否定加害人的过错。因为任何一个合理的人都不会实施不法行为，即使这些行为是得到受害人同意的。这种情形下，受害人同意“视为受害人与加害人具有共同过错，因此可以减轻乃至免除加害人的赔偿责任，这实质上是用过错责任理论处理此类案件达到与德国民法的有关规定殊途同归的效果。”③张新宝:《中国侵权行为法》，中国社会科学出版社1995年版，第403页。在英美法系国家中，关于侵权行为责任的免除，“一人不得就其同意之事项起诉，是为基本原则。所谓‘同意’，须表意人有同意能力，不逾越同意范围且无欺诈行为为限。”④耿云卿:《侵权行为之研究》，台湾地区商务印书馆1985年版，第20页。

可见，在个人信息侵权的抗辩中，“权利人的同意”也是非常重要的一项。当前，全世界都在流行“自我表露”(self－revelation)的文化，例如各种真人秀、个人博客以及各种社交网站等，个人主动将自己信息披露给公众已成为流行。面对这个自我开放的社会背景，以“权利人的同意”为侵权的抗辩理由将会越来越多，这里至少有两个问题是至关重要的。

第一，权利人的同意怎样作出才是发生法律效力的?事前还是事后?明示还是默示?各国法律规定有所不同。在法国，受害人必须作出明确的同意表示，才能使加害人免除责任，因为在默示的情形下，受害人一般只是意识到并实际上承担了风险，但并不希望损害结果的发生，受害人是有过错的，但并不能以此完全免除加害人的民事责任。所以不能根据推定方式来判断受害人已经同意。在德国，受害人的同意可以是以明示的方式作出，也可以是以默示的方式作出。如果采用明示的方式，受害人可以通过单方面的声明，也可以采取免责条款的形式。如果采用默示的方式，“只有在极其特殊的情况下才能推定受害人的同意，如对一个失去知觉的病人实施某种必要的手术”。⑤张新宝:《中国侵权行为法》，中国社会科学出版社1995年版，第402页。美国个人信息的隐私权保护采用政府立法和行业自律相结合的模式，其中，技术性保护P3P(Platform for Privacy Preferences)是一种非常值得学习的平台技术。它是一种可以提供个人隐私保护策略的新技术，用户将其隐私偏好设定在某种软件程序中，当用户访问站点时，就可以清晰地知道自己的个人信息被收集情况，如果站点的收集信息行为与用户自己的设定不符，那么P3P软件会以指示灯提醒告知用户。P3P提倡opt－out规则，以对话框的形式出现，消费者点击的项目为明确表示反对收集利用的个人信息，其他未选的项目视为消费者默示同意收集处理。⑥参见刘德良:《网络时代的民商法理论与实践》，人民法院出版社2008年版，第49－52页。美国著名隐私侵权行为法专家普若瑟曾专门讨论了“权利人同意”的问题。他认为:“虽然被告能够主张的隐私侵权抗辩事由多种多样，但被告能够主张的最主要的还是证明原告同意被告披露自己的相关隐私。这种同意既可以是明示的，也可以是默示的。比如原告明知被告将其肖像用在商业用途上而仍然允许对方拍照，那么被告的行为就无所谓普若瑟所提出的‘擅自使用他人姓名和肖像的隐私权’情形了。”①张民安主编:《隐私权的比较研究——法国、德国、美国及其他国家的隐私权》，中山大学出版社2013年版，第434页。

第二，在公共场合出现是否意味着对个人信息的公开，尤其是个人的肖像?美国曾有一宗典型的此类案件，Gill夫妇在洛杉矶的菜市场当众拥抱，他们的拥抱被一新闻记者拍照并作为新闻的插图播出，因而引起纠纷。法院在判决中写到:“被告这一行为不属于侵犯原告人格尊严的行为，因为根据Gill夫妇当众拥抱的事实可以推知他们当时放弃了隐私并默示同意被告对其照片的公开。”②同①。对此，德国法却持有不同的看法。在德国，如果行为人公开的照片不具有新闻价值或者有合理的理由不受大众关注，那么，即使是名人，在公共场合也能享有隐私权的保护。1999年，德国联邦宪法法院宣布，一般人格权不限于保护家庭领域的隐私。无论是在当然私密的场所还是明显与外界隔绝的处所，人们都享有基本的远离公众关注的权利，关键要看人们是否有正当理由证明自己没有进入公众的视线或者自己进行的事物不具有公共利益。2004年欧洲人权法院对摩纳哥卡洛琳公主一案的裁判也旗帜鲜明地表明了这一点。该案的基本案情是:卡洛琳公主是摩纳哥亲王兰尼埃和美国好莱坞影星格雷丝·凯利所生育的女儿。由于多家德国小报不断公布其家人的照片，卡洛琳不得不向德国法庭提出起诉，希望能阻止这种侵犯个人隐私的行为。1999年12月，德国联邦宪法法庭认定，由于公主和她的孩子是公众人物，所以应该容忍媒体在公共场合公布其照片，拒绝了公主要求德国媒体不再公布其照片的做法。不满判决的卡洛琳公主随后向欧洲人权法庭提出上诉。2004年6月，欧洲人权法庭推翻了德国法庭的判决结果，认为德国政府此举违反了《欧洲人权公约》保障个人隐私权的规定。

总之，“自愿者无损害”(volenti non fit iniuria)这一古老的拉丁格言，在对个人信息侵权的抗辩中，将成为重要的理由。