民法典时代的个人信息知识产权保护

邱润根

几经争论的个人信息的保护问题随着《民法典》的出台暂时中止，形成了现有的人格权保护方式。不过，基于人格权保护个人信息的规定并不周延到其他与个人行为相关联的个人信息，也没有包含二次利用并加密处理的个人信息数据，使得新技术下的个体行为所形成的与个体有关的个人信息及二次利用的个人信息数据如何加以保护面临困境。信息的流动性决定了涉及个体行为更大范围的个人信息数据无法通过人格权进行保护，在大数据的运算下对个人信息的爬取、收集、加工、加密等处理后的数据化个人信息，知识产权保护路径无疑是一种可以选取的保护方式。

人格权：个人信息的现有保护路径

2020年5月28日通过的《中华人民共和国民法典》标志着我国已进入民法典时代。对于个人信息的保护问题，《民法典》首先在总则篇第五章民事权利第111条规定了“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。之后，在人格权篇第六章将个人信息与隐私权并列为人格权之下的权益予以保护。从现有民法典的规定来看，对于个人信息的法律保护，主要表现为人格权下的个人信息保护。其中，个人信息中的私密信息适用于有关隐私权的规定，非私密信息的个人信息适用于有关个人信息保护的规定。并且，在人格权篇中，个人信息只限于能够单独或者与其他信息集合识别特定人的各种信息，包括自然人的姓名、出生日期、身份号码、生物识别信息、住址、电话号码、电子邮箱、行踪信息等。这就意味着，在人格权篇之下的个人信息概念应做限定解释，即：能识别特定人的信息。如果不能识别特定人的各种与个人有关的信息则不属于人格权篇中的个人信息，应该归为总则篇的个人信息予以法律保护。

因此，现有《民法典》对于个人信息存在两个层面的法律保护：一是基于人格权篇加以具体保护，但限于能识别特定人的个人信息;二是不能识别特定人的个人信息基于总则篇的民事权利章节的规定予以一般性保护。

信息的流动性：个人信息人格权保护面临的困境

由于人格权篇下的个人信息概念将个人信息仅限于识别特定人的信息，因而其无法周延到更多的个人信息。比如，个人在互联网条件下的交易行为被记录，成为与个体有关的信息就无法被人格权篇下的个人信息所含纳。虽然这些人格权篇之外的个人信息可依总则篇中第五章第111条的规定加以保护，但是，只针对那些对个人信息的收集、使用、加工、传输、买卖、提供、公开等方式的非法行为，而如何界定这些行为的非法性需要借助其他的具体部门法的详细规定;并且，《民法典》总则的一般性保护规定是宣示性的，只为日后的具体保护规定提供指引，因此现有的人格权保护方式对于个人信息的有效保护将面临困境。

信息的流动性要求信息被大家共享，任何人不能对信息进行独占。在没有影响到其个体人格的特定情形下，这些具备一般信息特征的个人信息自然也应该为其他个体所享有。因此，《民法典》在人格权篇中明确规定“处理自然人个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：一、征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外;二、公开处理信息的规则;三、明示处理信息的目的、方式和范围;四、不违反法律、行政法规的规定和双方的约定”。这意味着，他人对个人信息的收集、存储、使用、加工、传输、提供、公开等处理方式只要遵循合法、正当、必要原则，且不过度处理，并符合上述法定条件，不构成对个人信息的侵害。这使得依人格权保护个人信息的力度显得非常有限。

个人信息与知识产物所具有的相同性质，决定了对于个人信息的法律保护可以选择基于知识产权的保护路径。

此外，信息的共享还会带来信息的二次利用，进一步放大了信息的应用范围，尤其在个人信息经过加密处理转化成数据之后，一些个人信息已经在他人共享的过程中失去了个体的识别性特征。因此，《民法典》虽规定“信息处理者不得泄露、篡改其收集、存储的个人信息，未经自然人同意，不得向他人非法提供其个人信息”，但是，但书条款又规定“经过加工无法识别特定个人且不能复原的除外”。显然，这些二次利用的个人信息不能再由个人信息原始提供者主张个人信息的法益保护，更不能主张基于人格权加以保护。

现有《民法典》人格权篇中的限定性界定个人信息，导致人格权对个人信息的保护力度有限，而总则中的一般性宣示法律保护之规定，又使得保护个人信息的法益还有待法律的详细规定，甚至对二次利用后的个人信息如何保护只字未提。那么，对个人信息的保护是否可选择其他方式呢？《民法典》预留了空间。

知识产权：个人信息保护的路径选择

任何被称之为“权利”的东西，权利人就可以基于“权利”（权能）去控制所有针对权利的法律行为。因此，权利人对法律行为的控制必然是扩张的。如果设定个人信息权，那么权利人就会基于“权利”资格去控制任何他人对其个人信息的法律行为，这必然会影响信息的流动。信息流动性本質决定了信息的共享，而限制共享必然会限制信息流动，所以《民法典》对个人信息保护的有关规定，并没有采纳“个人信息权”概念，而是采取“个人信息”概念。因为设定个人信息的法律保护，只需基于具体的法律规定所保护的法益进行主张即可，不会导致请求主张的扩张而限制信息流动所带来的信息共享。

知识产权的客体本质也是一种知识信息，具备流动性，个人信息的流动性特征与知识产权的客体性质相同。对知识产权的保护，知识产权法通常具有双重立法目的，既要考虑对权利人的权利保护，也要考虑相对人对知识信息的分享权利。知识产权法的这种双重立法目的，导致知识产权的权利本质上是一种法定的权利，即法律通过具体规定对知识产权的实施权。也就是说，知识产权法通常会明确规定权利人对于知识产物的具体实施行为，这些具体的实施行为可由权利人控制，这些法律规定的具体行为的实施需要权利人许可，而这些法定行为之外的行为就是任何人的自由。因此，知识产权的权利是非扩张性的，这种权利的非扩张性构成了权利人的权利边界。个人信息与知识产物所具有的相同性质，决定了对于个人信息的法律保护可以选择基于知识产权的保护路径。

一是基于商业秘密进行保护。在现有互联网经济活动中，线上商家各自都会通过技术手段对当事人的线上经济活动（交易行为）进行记录。在这些经济活动被商家作为其经营信息而通过保密手段进行保护时，这些与行为人相关的经济活动相关联的个人信息就可以被商家作为其商业秘密进行保护。

二是基于汇编作品著作权进行保护。对于非识别性特征的个人信息或者经过加密处理的个人信息，由于这些信息不能基于人格权保护，当这些信息在被信息共享人爬取、收集、加工后形成了数据库时，在数据库的编排结构和方法，或者数据库内容的选择方法具有独创性时，这些构成数据库内容的个人信息，爬取者、收集者或加工者就可以考虑基于汇编作品进行著作权保护。

三是基于软件著作权进行保护。当个人信息被深度加工，尤其在个人信息被作为大数据的一部分时，从事大数据运算的软件开发者，通常会按照其设定的软件程序进行甄别、提取，并对不同个体经济活动的行为信息进行赋值，之后将这些行为信息和与行为有关的个体信息进行整合，产生了一种新的个人应用信息。由于软件开发者在整合时付出了创造性的智力劳动，因此软件开发者可以成为这些个人信息的权利主体，个人信息因而可被作为软件的内容进行软件著作权的保护。

编辑：黄灵  yeshzhwu@foxmail.com