大数据背景下个人信息权的解读
——兼评《民法总则》第111条

金新强，卢 瑾

(华东政法大学 经济法学院，上海 200042)



【民商法研讨】

大数据背景下个人信息权的解读
——兼评《民法总则》第111条

金新强，卢 瑾

(华东政法大学 经济法学院，上海 200042)

2017年3月15日《民法总则》经表决通过，其中第一百一十一条规定了个人信息权，对个人信息予以明确的保护。个人信息权是一种基于一般人格权而发展出来的权利，并且随着时代的发展其所蕴含的财产利益也越来越受到人们的重视。具体条文中对个人信息权的客体并未有明确规定，对侵权行为采取的列举方式可能会使法律调整的范围僵化，同时法条并未规定相应的法律后果，使得该条在司法实践层面难以得到有效适用。

个人信息权；大数据；民法总则

在大数据时代，信息的交流、存储、获取的成本极低，这固然促进了社会的进步，更是便利了人们的生活，但随之而来的也是对个人信息的更加肆意和普遍的侵害。个人信息代表着一种资源，获取到足够的个人信息能够满足资本社会的商业需求。针对我国目前已经出现的大量侵害公民个人信息的案件，加强保护个人信息权已经迫在眉睫。新通过的《民法总则》延续了二审稿、三审稿和四审稿的做法，将个人信息保护纳入了第五章民事权利中，也就是说把对个人信息的保护提升到了保护民事权利的层次上。本文将结合时代背景探索个人信息及其保护的相关问题，并在此基础上对《民法总则》第一百一十一条进行必要的分析，以期能够为我国的法治事业做出些许贡献。

一、 大数据与个人信息

(一)个人信息的概念

《个人信息保护法(草案)》中规定所谓个人信息，是指现实生活中能够识别特定个人的一切信息，包括但不限于姓名、年龄、身高、体重、档案、医疗记录、收入及消费和购买习惯、婚姻状况、教育背景、家庭住址、手机号码等。[1]2012年11月工信部颁布我国首个个人信息保护国家标准的指导性文件《信息安全技术公共及商用服务信息系统个人信息保护指南》对个人信息的定义是为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。该标准将个人信息分为个人一般信息和个人敏感信息。个人一般信息是指可以通过网络媒体等途径根据个人基本情况而获取的信息；个人敏感信息是指该信息泄露可能会对个人产生不利影响和后果的信息。

(二)大数据的概念

有人类的历史就有个人信息的存在，但是在过去的几千年中，个人信息的价值及其保护并不为人们所重视。随着大数据时代的来临，对个人信息进行保护已经成为人们的共识。大数据的概念比较抽象，目前并无统一的定义。维基百科对大数据的定义是：大数据是指所涉及的数据量规模巨大到无法通过目前主流软件工具，在合理时间内达到截取、管理、处理并整理成为帮助企业经营决策更积极目的的信息。研究机构Cartner对大数据的解释为大数据是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。涂子沛在《大数据》一书中对大数据的界定为是那些大小已经超出了传统意义上的尺度，一般的软件工具难以捕捉、存储、管理和分析的数据。[2]

(三)大数据对个人信息保护的影响

大数据整合优化了其共享的信息，它的发展与完善极大便利了包括政府、企业、用户的管理工作和个人生活。政府可以通过大数据的应用提高行政管理效率，企业可以借助数据的存储、开发、利用获取更多利润，个人也会凭借大数据的运用享受到更加个性化的服务。但是大数据更是一柄双刃剑，它能优化我们的生活，也会带来更多的信息安全问题。电商巨头监视着我们的各种网络行为，收集了大量的用户个人信息，严重侵犯了我们的隐私。传统的个人信息的收集方式是对个人信息的精确收集。在大数据时代，信息收集的方式则是一种对分散的相关的个人信息的二次开发和利用，是从大数据样本中挖掘相关个人信息并形成关联集成。有的数据从表面上看并不属于个人信息，但是经由大数据处理之后就可以追溯到个人了。[3]有学者指出大数据在成为竞争焦点的同时也会带来更多的安全风险：大数据成为了网络攻击的显著目标，大数据加大了隐私泄露的风险，大数据威胁现有的存储和安防措施，大数据技术成为了黑客的攻击手段，大数据成为了高级可持续攻击的载体。[4]

二、个人信息权的理论研究以及《民法总则》对个人信息权的确定

(一)个人信息权的理论研究

个人信息权的发展历经了一个漫长的过程，最初学者们是将它作为人格权的一种延伸进行研究，但是随着时代的不断进步，个人信息权又逐渐表现出了其财产权的性质。因此个人信息权的人格权和财产权的双重属性是其重要的特征，其与隐私权的区分值得我们注意。

1.个人信息权与人格权。在信息时代，由于人类是各种信息组成的集合，是一种信息的存在。[5]因此，传统的人格利益不仅表现在特定人身的生物体上，同时还表现为与人身相分离的个人信息之上。[6]人格权理论的发展过程是对人格不断加深认知的过程，也是不断扩张人格权的保护范围的过程。根据大陆法系人格权理论，凡是与人格形成与发展有关的事情都属于人格权客体。[7]个人信息的发展与自然人的人格形成及发展有关，法律保护个人信息主要是因为个人信息蕴含着信息主体的人格利益，所以法律对个人信息的保护主要是对自然人的人格进行保护。保障个人信息与信息主体的一致性以及真实性，避免信息主体的形象被扭曲，是个人信息保护的任务，也是展现人格尊严的具体形式。[8]个人信息权有独立的权利内涵，能够与其他具体人格权区别，可以成为一项人格权。[9]

2.个人信息权与财产权。在立法层面上，目前大多数国家的个人信息保护法都强调保护信息主体的人格利益。在理论层面上，学者们也大多在人格权理论中研究对个人信息的保护。20世纪60年代美国和欧洲的部分学者开始主张运用财产权理论保护个人信息。他们认为若将信息主体对其个人信息的权利视为控制权，应将其界定为一项财产权，借助财产权理论去调整和保护个人信息，从而以灵活的财产权制度限制公权机关与非公权机关对个人信息的侵扰。[10]也有学者对此表示质疑，认为个人信息是内在于主体的，个人信息财产化会导致主体客体化，是不可以接受的，是违反人权观念的。[11]个人信息财产化理论在质疑中不断发展完善，最终创设了一项与个人信息人格权并列的个人信息财产权，即以个人信息的商业价值为客体的支配权，个人信息财产权的直接客体为个人信息中所蕴含的商业价值而非精神利益。[12]作为个人信息财产权的客体，个人信息符合作为法律上的财产所应具备的要件：首先，个人信息具有有用性，其能够满足人们某些方面的需求；其次，个人信息具有稀缺性，其数量相对于整体的商业需求而言是稀缺的；最后，个人信息具有支配性，其能被信息主体依其自由意志所支配。因此个人信息权不仅包括人格利益也应当蕴含着财产利益。

3.个人信息权与隐私权。各国法律保护隐私权的法理学基础不同。一般来说，大陆法系国家基于人格尊严对隐私权进行保护，而英美法系国家则是根据自由对隐私权进行保护。个人信息权与隐私权具有很大的相似性：首先，两项权利的权利主体都仅限于自然人不包括法人；其次，两项权利都体现了个人对私人生活的自主决定；最后，两者客体存在交叉，因为很多个人信息都是属于人们不愿对外公布的私人信息，属于隐私的范畴。当然两者的区别也非常显著：首先，二者的权利属性不同，隐私权主要是精神性的人格权，而个人信息权则属于兼具人格利益与财产利益的一项综合性权利；其次，二者的客体不同，隐私主要是一些私密性的信息或私人活动，而个人信息更加注重个人身份的识别性；最后，二者内容存在区别，隐私权内容主要包括维护个人私生活安宁、个人私密不被公开、个人私生活自主决定等，个人信息权主要是指对个人信息的支配和自主决定。因此隐私权并不能代替个人信息权，个人信息权有其独立存在的价值。

4.个人信息自决权理论。个人信息自决权理论起源于德国，是从自我决定自由、一般人格权理论和私法自治原则中发展出来的。该理论赋予信息主体对其个人信息的控制力。自我决定的自由是个人具有的意志自由、行为自由，是宪法所赋予的自由。自我决定权是法律对人们自由意志的一种保护，其保护对象是自然人的自由意志针对这些外在的人格要素具有自我决定的自由。[13]自我决定权体现了法律对人格尊严的维护，体现了法律对人自由发展其人格的认同。私法自治原则是私法领域的基本原则，其建立在自由和尊严之上。私法自治原则展现了自我决定或是行为的自由，体现了人格尊严和人格自由，就这个角度而言其与人格权理论追求的精神内涵相一致。出于保护个人信息的目的，基于对自我决定自由、私法自治原则和一般人格权的理论的研究和发展，个人信息自决权理论应运而生。

结合上述对个人信息权的理论研究，我们可以认为保护个人信息的正当性基础就在于保护人们的人格利益以及个人信息所蕴含的财产利益。

(二)《民法总则》明确了个人信息权

如何保护个人信息权是一个值得我们思考的问题。我认为应当采取综合性的手段对个人信息进行全方位的保护，如此方能有效应对在大数据时代个人信息被严重侵犯的巨大挑战。这要求我们完善相关立法，健全行政监管，加强行业自律，提高技术手段并增强公民对个人信息保护的意识。

法律手段作为调整社会关系的重要手段之一，理所应当积极发挥其保护个人信息的作用。而民法作为“万法之源”，作为保护私权的最重要的部门法，又应该如何对个人信息进行保护？民法是权利法，民法典的体系构建应当以民事权利为中心展开。[14]《民法总则》在民法体系中占据重要地位，其统领整部民法典，并普遍适用于民商法各个部门。《民法总则》应当全面确认和保护各项民事权利，构建合理的民事权利体系。兼具人格权与财产权性质的个人信息权理所应当作为一项独立的民事权利被纳入《民法总则》。《民法总则草案》第二次审议稿增加了对个人信息保护的规定，即第一百零九条“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开和出售个人信息。”同时，在草案的三审稿中也保留了这一条文。四审稿延续了保护个人信息的传统，规定于第一百一十四条“自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全，不得非法收集、使用、加工、传输个人信息，不得非法买卖、提供或者公开个人信息。”在2017年3月15日公布的《民法总则》中将其列于第一百一十一条。在《民法总则草案》第二次、第三次以及第四次审议稿中，第五章专门规定了民事权利。在最后表决通过的法案中第一百零九条规定的是一般人格权，第一百一十条规定了一些重要的具体人格权，即规定了对个人信息的保护，第一百一十二条规定了身份权，第一百一十三条规定了财产权，第一百一十四条规定的是物权，第一百一十五至一百三十二条分别规定了其他民事权利以及与民事权利有关的事项。在该章体系中，对个人信息保护的条款是规定在人格权之下，身份权与财产权之上。并且在二审稿、三审稿以及四审稿中，该条排布也是如此。笔者认为，基于个人信息权的权利属性，即它是一种兼具一般人格权与财产权的权利，并根据该章的体系结构，应当可以认定第一百一十一条的规定明确了个人信息权。在《民法总则》中明确了个人信息权能够更好的满足信息主体的权利诉求。

三、《民法总则》第一百一十一条立法背景、条文分析

(一)《民法总则》第一百一十一条的立法背景

《民法总则草案》第一次审议稿并未对个人信息的保护作出规定。然而这一年个人信息权被侵犯的案件屡屡发生，2016年8月中旬山东考生徐玉玉因遭遇电信诈骗心脏骤停去世，紧接着8月下旬清华大学一名教授收到的1760万元的卖房款被骗走。这些悲剧的发生都是源自于个人信息的泄露和非法使用，个人信息保护的问题再度被推上风口浪尖。

2016年10月10日在张德江委员长主持召开《民法总则草案》的座谈会上，伍枝勤建议增加“个人信息权”。中国法学会副会长张鸣起、中国社会科学院副院长李培林建议强化对个人信息的保护，规定自然人的个人信息受法律保护，任何组织和个人不得非法收集、处理、利用、出售和传输个人信息。对于非法获取、利用他人的个人信息的，法律要予以禁止，并予以制裁。《民法总则草案》第二次审议稿因此将原草案第一百零八条规定的知识产权客体中的第八项“数据信息”分离出来，单独设立条文对个人信息予以保护，该条文即二审稿的第一百零九条“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或者出售个人信息。”在最后通过的《民法总则》中也保留了对个人信息权的规定。

(二)《民法总则》第一百一十一条条文评析

《民法总则》第一百一十一条规定“自然人的个人信息受法律保护。任何组织和个人应当依法取得并确保信息安全，不得非法收集、使用、加工、传输个人信息，不得非法买卖、提供或者公开个人信息。”，与三审稿关于个人信息权法条内容的主要区别在于增加了“任何组织和个人应当确保依法取得的个人信息安全”的规定，加强了个人信息使用主体的注意义务，较于之前的条文有进步之处。总则第一百一十一条明确了个人信息权的主体是自然人，这就把法人排除在了该权利主体之外。因为个人信息权虽然兼具了财产权的性质，但是设立其最主要的目的是为了维护个人的人格尊严和人身自由不受侵犯。不能否认随着法学理念的不断进步和发展，法律赋予了法人独立的人格，但是法律更侧重于对法人的财产利益予以保护。我国现行法律对法人信息权的保护一般也是从商业秘密的角度出发。相反，法人的一些信息还要依法进行披露，与自然人信息的保护程度不可同日而语。因此，只有自然人享有个人信息权应当是合理的。

但此条文也存在一些不足之处。首先，该条并未规定个人信息权的权利客体即个人信息的具体内涵和外延。我们难以根据此条文判断哪些信息属于个人信息，应当受到法律的规制。个人信息可以区分为一般个人信息和敏感个人信息，二者受到法律保护的程度应当不同。不能笼统的将个人信息这个模糊的概念不加界定的予以表述在条文之中，否则将难以起到对个人信息的保护作用。其次，条文中所列举的这些禁止性行为是否限制了法律调整的范围？因为随着时代的发展，极有可能出现其他的对个人信息的侵犯的方式，采用概括列举的方式或许能够更好的适应时代需求。最后，该条文并未规定相应的法律后果，这使得其在今后的司法实践中难以起到约束行为人的作用。我认为如果不能在《民法总则》中解决以上的问题，也应当在今后制定的《民法分则》中或者具体的《个人信息保护法》中弥补这些缺漏，否则这一条文也难免沦为“僵尸条款”。总的来说，《民法总则》第一百一十一条的主要功效是在于权利的宣示，但是我们也不能不考虑其适用于具体案件的价值。

[1]齐爱民.拯救信息社会中的人格：个人信息保护法总论[M].北京：北京大学出版社,2009.

[2]涂子沛.大数据[M].桂林：广西师范大学出版社，2012.

[3][英]维克托·迈尔·舍恩伯格,肯尼斯·库克耶.大数据时代[M].盛杨燕,周涛，译.杭州:浙江人民出版社，2013.

[4]冯 伟.大数据时代信息安全面临的挑战与机遇[N].科技日报,2013-06-24.

[5]洪海林.个人信息的民法保护研究[M].北京:法律出版社,2010.

[6]李晓辉.信息权利研究[M].北京:知识产权出版社,2006.

[7]齐爱民.信息法原论[M].武汉：武汉大学出版社，2010.

[8]齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉：武汉大学出版社，2004.

[9]王利明.再论人格权的独立成编[J].法商研究,2012(1).

[10]Alan·F·Westin.Privacy and Freedom [M].孔令杰，译.武汉:武汉大学出版社,2009.

[11][12]刘德良.论个人信息的财产权保护[M].北京:人民法院出版社,2008.

[13]杨立新,刘召成.论作为抽象人格权的自我决定权[J].学海,2010(5).

[14]房绍坤.关于民法典总则立法的几点思考[J].法学论坛,2015(2).

(责任编辑：王小英)

2017-06-16

金新强(1993-)，男，安徽人，华东政法大学经济法学院硕士研究生，研究方向：经济法、商法； 卢 瑾(1994-)，女，河南人，华东政法大学经济法学院硕士研究生，研究方向：经济法、商法。

DF51

A

1672-1500(2017)03-0049-04