《民法总则》语境下我国个人信息权的私权属性与立法完善

高凌晞

（南开大学法学院，天津300350）

1 问题的提出

《中华人民共和国民法总则》（以下简称《民法总则》）已于2017年3月15日正式通过并于2017年10月1日起正式实施。其中，第111条对个人信息的保护成为该法的亮点之一①，这标志着“个人信息”正式作为一项民事权利的客体得以确立。在个人信息被广泛泄露、诈骗悲剧屡屡发生的当下，从私法角度对其予以保护无疑是一大进步。然而，由该条生发出的一系列争议问题仍有待我们进一步探讨。

首先，第111条并没有明确“个人信息权”的概念，仅仅强调了个人信息成为一项受民法保护的权利客体，那么个人信息权的法律属性为何？一些学者认为应将其作为一项新型财产权，由物权进行保护[1]；还有一些学者认为应将其作为一种兼具人格权与财产权的新型权利予以保护[2]。而以王利明为代表的学者则认为个人信息权应当作为一项具体人格权加以保护[3]。尽管“人格权说”在一定程度上为大多数学者所认可，但作为一项财产性利益极为明显的新型人格权，如何与我国现有的人格权理论兼容便成为一项亟待解决的问题。

其次，即使是在呼声最高的人格权理论中，也存在着对个人信息权与隐私权的界定问题。尤其是在司法实践中，个人信息权、隐私权以及名誉权的区分适用更是成为人格权侵权案件中的新型争议焦点。这些问题的悬而未决无疑会成为第111条在今后适用中的障碍。

最后，尽管我们承认第111条在个人信息保护上的贡献，但该条只是一条概括的原则性条款，无法依赖其解决当今社会中纷繁复杂的信息侵权情形。如何以该条款抛砖引玉、建立起我国完备的个人信息保护的私法体系才应是立法的最终目的。

2 个人信息权的私权属性

传统的民法理论中，民事权利可被分为财产权与非财产权。对个人信息权法律属性的争议也主要集中在人格权与财产权上。财产权的客体是财产，是“物”；而人格权的客体是人格利益。因此，解决这一问题的关键便是判断“个人信息”究竟属于“物”还是“人格利益”。

2.1 《民法总则》语境下的个人信息权是一种人格权

目前，对个人信息做定义主要有两种模式，即概括式和列举式。采用概括式的如德国《联邦数据保护法》中“个人数据是指关于个人或已识别、能识别的个人的客观情况的信息”②；欧盟《资料保护指令》中“个人资料指与确定或可确定的自然人相关的任何信息”③。采用列举式的如我国台湾地区《个人数据保护法》中“个人资料指自然人之姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况，社会活动及其他得以直接或间接方式识别该个人之资料”④。齐爱民在起草《个人信息保护法（专家建议稿）》时采用了列举式的方法，即“个人信息是指自然人的姓名、出生年月日、身份证号码、户籍，遗产特征、指纹、婚姻、家庭，教育、职业、健康、病历、财务情况、社会活动及其他可以识别该个人的信息”[4]。

无论是列举式还是概括式，个人信息的核心都是“识别性”——即生而为人存在于社会中区别于他人的特性。这也是个人信息权区别于其他权利的特性。从这一角度来看，个人信息权所保护的实际上是信息上所附着的人格利益，应属人格权范畴。台湾地区《个人数据保护法》与日本《个人信息保护法》也都在开篇强调了对信息保护的根本目的在于维护人格尊严⑤。

在进入信息社会之前，能够成为人的“符号”的只包括姓名、肖像等传统人格要素。但随着信息社会的到来，越来越多的新型人格要素，诸如形象、声音、个人信息等通过即时传播共同完善着一个人的人格。网购记录、经常浏览的网站、点击最多的歌曲都可以反映出一个人的性格与好恶。齐爱民教授曾提出“数字化人格”的概念，即通过个人信息的收集和处理勾画一个在网络空间的个人形象，建立一个人格[5]。这种数字化的人格利益，也使得个人信息权区别于其他传统的人格权。

除了从权利客体角度上看个人信息权应属于人格权范畴，从价值选择方面看也会得出同样的结论。个人信息权的法律属性并不完全是一个法律层面的事实判断问题，更是一个社会层面的价值判断问题[6]。“价值判断大多属于应然判断，强调法律规范应追求怎样的目标，要求判断者秉持妥当的价值立场去解决诉争利益。”[7]当骚扰电话、垃圾邮件已经成为生活中的一部分，当因诈骗而家破人亡的惨剧一次又一次触及良知与底线，当贩卖信息已经成为心照不宣的事实，仅将个人信息视作能用金钱换算的财产便不能满足社会的需求。更不用说将个人信息物化还会带来个体之间的不平等，名人的信息或将价值连城，而普通人的信息则较为廉价，无疑会造成社会矛盾的激化。

事实上，仅从《民法总则》的立法体系上也可以看出立法者也是倾向于将个人信息权纳入到人格权体系中予以保护的。在第五章“个人权利”中，第109、110条为人格权相关规定，112条为人身权利的相关规定，113条至117条为财产权相关规定，尽管并未言明，但个人信息权被解释为人格权显然更为合理。因此，无论是从对客体的理论分析角度、我国社会的价值选择角度还是对法律的体系解释角度，都可以认定《民法总则》语境下的个人信息权是一种人格权。

2.2 个人信息权兼具精神性利益与财产性利益

在大多数情况下，信息侵权行为的发生都是与非法牟利行为相伴相生的，这似乎与传统的人格权理论产生了冲突。根据传统民事权利的划分，人身权与财产权是对立的。人格权属于人身权，保护人的精神利益而不涉及财产利益[8]。即使某人的姓名、肖像、声音等被他人不法侵害商用，被侵害的也是精神利益，不认定其本身具有财产价值[9]。而随着现代社会一些人格权上的经济利益日益凸显，人格权理论也逐渐完善与发展，传统的人格权与财产权“二分法”的体系被不断冲击。这种有财产性利益的人格权的客体是有限的，仅局限于具有商品化可能的“标识性人格利益”。而与人格不可分离的、不可让与的或一旦商品化将有悖于公序良俗的权利诸如身体权、生命权、性自主权等不能作为此类人格权的客体[10]。在以美国为代表的国家中表现为与隐私权并列的公开权制度——即二元保护模式；在德国和日本等大陆法系国家中主要表现为扩张人格权的内涵、将“人格权商品化”的概念纳入到人格权的范畴中——即一元保护模式。我国虽然还未形成完备的制度，但依据《侵权责任法》第20条中参考所获利益对人身权利损害进行赔偿的规定以及《民通意见》第139条将“以营利目的”作为侵害肖像权的判断标准之一的立法取向⑥，我国在一定程度上已经承认了人格权是具有财产性利益的。

但无论采取何种立法模式，都不能否认具有财产性利益的人格权依旧是一种人格权。即使被商品化的人格权在一定程度、一定范围内被权利人转让给他人，其上所附的人格利益也不会随之转移。以个人信息权为例，在登录某网站的过程中，一个人同意了该网站的用户协议，同意其收集自己的个人信息并进行合理使用，那么该网站则有权在协议允许的范围内对这个人的个人信息进行使用；但这个人对自己的信息所享有的权利并不会因授权网站使用而灭失，如果该网站未经允许将这个人的信息非法转让、泄露并造成恶劣影响，这个人依旧可以以个人信息权被侵害为由主张权利。虽然权利人失去了对该人格标志进行财产性利用的权利，但该标志仍旧是当时人格的体现，应当禁止他人利用该标志做出有损权利人人格的行为[11]。“民法调整的人身关系和财产关系在个人信息权之上均得到了体现，因此需要民法以权利的形式将个人信息所承载的人格价值和日益增加的财产价值确定下来。”[12]因此，个人信息权与我国的人格权理论体系并不存在冲突，是完全可以兼容的。

2.3 个人信息权的财产性利益与信息财产权

不可否认的是，个人信息权出台的背景是信息交易市场的混乱与信息牟利行为的猖獗，个人信息仿佛成为可以被交易、转让、明码标价的“物”，这也是不少学者持个人信息权属于财产权或新型权利观点的理由所在。笔者认为，这是将个人信息权的财产性利益与信息财产权两个概念相混淆而造成的偏差。

信息财产权同个人信息权有着相同的诞生背景，即随着信息社会的快速发展，一种新的客体——“信息财产”得以出现，且无法被传统的由有体物和无体物构成的物权体系所涵盖。我国也有学者对“信息财产权”进行了深入的研究[13-15]。笔者认为，个人信息权与信息财产权最大的区别在于保护客体的不同，前者保护的是个人信息，后者保护的则是数据。

尽管许多国家在对个人信息进行定义时，并未强调信息（information）与数据（data）之间的差别，我国一些学者也认为两者只是用语上存在差异，本质上不存在区别[16]。但在《民法总则》的语境下，立法者却将两者进行了区分。《民法总则》第127条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”可以看到，《民法总则》在立法时将第111条的“个人信息”和第127条的“数据”作为两种不同的权利客体并列规定在了第五章“民事权利”中。

从广义上讲，信息可分为自然信息与人为信息。当人们着意去收集、整理、加工，自然信息就可以变为人为信息。而被加工整合后的信息一旦具有脱离于原信息的经济价值，变成可被交易、转让的数据，即成为信息财产权的客体。而此时，个人信息权便不再适用，因为该信息上所附的可识别性人格利益已经被冲淡到微乎其微，而财产利益却增长到人格权所不能涵盖的程度。以美国著名的Dwyer v.American Express Co.案为例，法官在判决中指出：“只有当他人的姓名与被告的商业名单联系在一起时，其姓名才具有商业价值。”[17]由此可见，无论是在理论还是实践中都渐趋承认，如果个人信息被合法采集并经过整合、加工，形成了专属于信息采集者的财产利益，那么这个新形成的信息集合，便应当属于第127条所列的数据或虚拟财产，其所有人不再是信息指向的信息权人，而是被整理后的信息所有者。

至此，信息财产权与个人信息权得到了彻底的区分。持“财产权说”与“新型权利说”均是未能将与人格紧密联系的信息上所附的财产性利益与已经被转化为数据的财产进行妥善的区分，才会得出个人信息权不属于人格权的结论。

3 个人信息权与隐私权的界分

尽管明确了在《民法总则》语境下的个人信息权应由人格权法加以保护，但问题并没有得到真正的解决。在我国，当个人信息权这一概念尚未被提出时，相关的案件均是通过隐私权进行裁决的。而随着此次《民法总则》将个人信息与包括隐私权在内的其他具体人格权予以区分立法，对个人信息权与隐私权的界分就显得十分必要。

3.1 理论中的个人信息权与隐私权

自1890年Warren和Brandeis首次提出隐私权的概念后，美国的隐私权理论不断发展，在20世纪60年代后发生了变化。新隐私权经判例被分为三种：自治性隐私权、物理性隐私权和信息性隐私权。根据著名学者Alan Westin的论述，信息性隐私权是指他人所享有的对其信息予以公开的权利，即“个人、群体或机构享有的决定何时、用什么样的方式以及在何种程度上将其信息对别人公开的权利”[18]。通过Whalen v.Roe一案⑦，美国正式将信息隐私权作为一种宪法上的权利确立下来。我国台湾地区采取了跟美国相似的保护模式。

而在我国，当个人信息权的概念尚未被提出时，以隐私权进行保护不失为一种权宜之计，但随着我国人格权制度的不断发展与完善，可以愈加明显地看出美国的信息性隐私权的保护模式并不适宜我国。首先，两国对隐私权的理解存在着根本性的区别。美国的隐私权是一个近乎于我国一般人格权的广泛概念，而我国的隐私权只是一般人格权下具体人格权的一种，无法做过于扩大的解释。其次，美国的隐私权归根结底是一种宪法性权利，判例也多是涉及对现行法律的违宪审查；而我国所讨论的个人信息权是民法的范畴，主要是平等主体之间的侵权行为界定。最后，美国作为判例法国家缺乏人格权制度这一传统，也并没有完备的民法典；而我国民法的立法承继于德国、日本等大陆法系国家，存在通过法典确立的人格权法体系。可以说，“信息性隐私权”的保护模式在我国并不具备理论基础。

根据我国学者的定义，隐私权是指自然人享有的对其个人的、与社会公共利益无关的个人信息、私人领域和私有领域进行支配的一种人格权[19]。隐私受制于其特性，一经披露便不再是隐私，披露他人隐私造成的后果是不可逆的[20]。而个人信息显然没有这样的特性。前文已述，个人信息的核心内涵并非是“私隐”，而是“识别”。隐私权制度的核心目的在于不被披露，而个人信息权的核心目的在于个人对信息的控制。即使是在最广义的隐私权含义下，也无法囊括信息权侵权的所有情形。当权利人选择自己公开信息时，同意他人收集信息时，其个人信息上的标识性并不会随之消失。而这些情形均无法用隐私权来解释。“资料保护与隐私权不同，它不只是为个人设定一项权利，而更旨在构建一个平衡个人、资料使用者与社会整体利益的法律框架。”[21]将个人信息权作为一种与隐私权并列的具体人格权，无疑是我国从私法层面上对其进行保护的应然选择。

3.2 实践中的个人信息权与隐私权

隐私权与个人信息权的界分不仅是理论中需要厘清的问题，在我国的司法实践中，也有越来越多的人格权争议纠纷围绕着两者展开。于2014年出台的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定：“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。”可见看到，随着矛盾的不断凸显，司法实践中也发现仅仅用隐私权或是名誉权已无法解决个人信息类的侵权案件了，愈加趋向于将个人信息与隐私并列为两种不同的保护客体。确立一个区别于隐私权的个人信息权，也是司法实践的迫切需要。

《民法总则》出台前，与个人信息相关的人格权纠纷案件都是通过隐私权与名誉权来解决的。如果原告认为被告擅自披露自己的个人信息，则提起隐私权侵权之诉；若同时认为造成自己社会评价降低，还会提起名誉侵权之诉。而一些虽然自己的个人信息被公开或被利用，却无法证明自己受到了实际侵害的案件，法官大多对其诉求不予支持。以“谭岩诉上海市徐汇区五原小区业主委员会名誉权、隐私权纠纷”一案为例⑧，无论是一审还是二审中，法院均认为判决书具有公开性，可以被大众查阅，如前所述隐私一经公开便不再是隐私，因此被告的行为不侵犯隐私权，这是没有争议的。但是擅自公开他人的个人信息是否侵犯了个人信息权，对这一问题限于彼时立法的空白尚存在争议。

而《民法总则》出台后，笔者在中国裁判文网上以“《民法总则》第111条”+“损害赔偿”为关键词进行搜索，发现目前已经有两期判决尝试将个人信息作为一种人格利益加以保护。在“庞理鹏与北京趣拿信息技术有限公司等隐私权”案中，针对原告的姓名与手机号，法院明确表示：“大数据时代，原来单个的、孤立的、可以公示的个人信息一旦被收集、提取和综合，就完全可以与特定的个人相匹配，从而形成某一特定个人的详细而准确的整体信息。这些整体信息一旦被泄露扩散，任何人都将没有自己的私人空间，个人的隐私将遭受巨大威胁，人人将处于惶恐之中。任何他人未经权利人的允许，都不得扩散和不当利用能够指向特定个人的整体信息。”⑨在“舒宇与靖安县嘉园物业管理服务有限公司隐私权纠纷”中，法院认为：“本案中，被告未经原告的许可，公开泄露原告的姓名、出生年月、家庭地址、身份证号等真实的个人信息，侵犯了原告的隐私权。”⑩尽管囿于法律规定的不完善，最终还是将其归于隐私权范畴加以解决，但可以看到“个人信息”的概念已经逐渐进入了司法的视野，这为今后的人格权法以及《侵权责任法》的修订提供了极为重要的参考价值。

4 个人信息权的私法构建

《民法总则》对个人信息的私权保护只是一个开端。对其概念的界定与属性的辨析，根本目的还是为今后我国个人信息的私法构建提供坚实的理论基础。毕竟，仅依靠一条原则性的条款，无法对层出不穷的信息侵权行为进行规制。笔者认为，构建我国的个人信息保护体系，主要体现在以下两个部分。

4.1 将个人信息权纳入到人格权立法中

目前，《民法总则》第109和第110条规定了我国人格权的内容，即109条为一般人格权条款，110条为具体人格权的不完全列举。前文已述，个人信息权的法律属性为一种与隐私权并列的具体人格权。而《民法总则》并未明确将个人信息权置于具体人格权之下，且该章节其他条款均属于权利宣示性质，唯独第111条没有明确宣示个人信息权为一种权利[22]。因此，承认个人信息权的人格权属性便是立法的当务之急。

目前，我国的民法分则尚在制定之中，是否将人格权法独立成编尚存在较大争议⑪。笔者对此持支持态度。人格权独立成编不仅有利于保障公民的价值、自由与尊严，且具体人格权的种类繁多，仅用一概括性的条款将其置于总则中的某一章下确实无法为人格利益提供完善的保护。目前《民法总则》已经正式实施，个人信息权的法律属性问题悬而未决，最佳方法也只有通过在后续的人格权法中将其确立下来以宣示其权利属性。

个人信息权不是一个空泛的概念。与隐私权、名誉权等只有单一行使方式的人格权不同，其有着丰富的内涵，包含着诸多下位权利。权利人不仅能在权利受到侵害时行使消极防御的权利，也可以行使积极的权利诸如请求查阅的权利、请求删除的权利等。笔者认为，在制定人格权法个人信息权的相关内容时，在主体方面，要明确自然人的个人信息受法律保护，国家机关及其他机构对个人信息的收集受到法律规制；在客体方面，要明确个人信息的具体概念，突出“识别性”的特征；在内容方面，必须包括告知权、查阅权、更正权、删除权等具体权利，由此构成个人信息权的完整人格权法律依据。目前，世界各国的立法中上尚无将个人信息权置于人格权法中的立法体例。在个人信息的人格利益被普遍认可的当今，采取此种法律构建方式或将成为具有开创性的立法模式。

4.2 加强对个人信息权侵权的救济

仅仅将个人信息权在人格权体系中确立是远远不够的。“无救济则无权利”，如何完善个人信息权侵权的救济同样重要。其中，原告举证困难便是一个亟待解决的问题。根据“谁主张谁举证的”的原则，被侵权人应当对侵权事实提供充足的证据。然而，因侵权方往往是较大的公司或机构，且掌握着所有的数据与档案，被侵权人往往无法对此进行有效的举证。对此，笔者认为对个人信息侵权的相关案件应当积极使用举证妨碍的相关规则。举证妨碍，是指“民事诉讼当事人在诉讼过程中或诉讼之外，以故意或过失的作为或不作为方式，致使对方当事人陷入证明困难或证明不能的行为”[23]。体现在我国立法中为《最高人民法院关于民事诉讼证据的若干规定》第75条：“有证据证明一方当事人持有证据无正当理由拒不提供，如果对方当事人主张该证据的内容不利于证据持有人，可以推定该主张成立。”在此类案件中，如果侵权的主体阻碍原告收集证据或对自己掌握的数据信息拒不提供，法院应使用此规定保护信息权人的权益得到应有的保护。

此外，根据目前《侵权责任法》的规定，侵犯个人信息权承担责任的方式主要有停止侵害、赔礼道歉、消除影响、恢复名誉以及精神损害赔偿。根据前述两起案件，法院目前倾向于支持原告停止侵害和赔礼道歉的请求，而鲜有支持精神损害赔偿的请求。主要原因在于原告难以对自己受到精神损害提供充分证据。当个人信息被公开、利用甚至贩卖牟利时，或许并未使信息权利人受到实质性的精神损害，如果在此种情形下一概驳回原告的损害赔偿请求，则会造成侵权成本过低的现象，无法有效的遏制个人信息“裸奔”的社会现状。因此，笔者认为应当将侵权者的获利当做赔偿的标准。当侵权人擅自利用权利人的个人信息牟利时，应当以其所获利作为标准进行赔偿。这不仅是对个人信息权保护的完善，也是对所有兼具精神性利益与财产性利益的人格权保护的完善。事实上，《侵权责任法》第20条中已经反映了此种观点，“被侵权人的损失难以确定，侵权人因此获得利益的，按照其获得的利益赔偿”。不当得利请求权的目的在于剥夺不正当的财产利益，而不在于填补损害。此规定也能最大程度的制止利用他人信息牟利的行为，维护信息社会的秩序。

5 结语

随着社会信息化的程度越来越高，对个人信息的保护根本上是维护人之为人的尊严。在承认个人信息权人格权地位、厘清相关概念的同时，构建起民法总则——人格权法——侵权责任法三个维度的私法保护体系，是我国在个人信息保护层面的应然路径。

注 释：

① 《民法总则》第111条的具体表述为：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

② 参见德国《联邦数据保护法》第1条第1款。

③ 参见欧盟《资料保护指令》第2条（a）款。

④ 参见台湾《个人数据保护法》第2条。

⑤ 台湾《个人数据保护法》第1条：“为规范计算机处理个人资料，以避免人格权受侵害，并促进个人资料之合理利用，特制定本法。”日本《个人信息保护法》第3条：“鉴于应当在尊重个人人格的理念之下慎重处理个人信息，有关方面必须设法正当处理个人信息。”

⑥ 《侵权责任法》第20条：侵害他人人身权益造成财产损失的，按照被侵权人因此受到的损失赔偿；被侵权人的损失难以确定，侵权人因此获得利益的，按照其获得的利益赔偿；侵权人因此获得的利益难以确定，被侵权人和侵权人就赔偿数额协商不一致，向人民法院提起诉讼的，由人民法院根据实际情况确定赔偿数额。《民通意见》第139条：以营利为目的，未经公民同意利用其肖像做广告、商标、装饰橱窗等，应当认定为侵犯公民肖像权的行为。

⑦ Whalen v.Roe，429 U.S.589（1977）.该案的基本案情为：纽约州的法律规定若干药物处方应集中存储于政府。部分医生与病患对此提起诉讼，认为该法律侵犯了其隐私权。该案最高法院的法官肯定了信息性隐私权是被保护的。

⑧ 参见（2009）沪一中民一（民）终字第2748号判决书。

⑨ 参见（2017）京01民终509号判决书。

⑩ 参见（2017）赣0925民初657号判决书。

⑪ 就人格权是否独立成编这一问题，目前学界中，王利明、杨立新等学者主张独立成编，而梁慧星、孙宪忠、徐国栋等学者则对此持反对态度。