论个人信息的私法定位与保护

袁 泉

(首都师范大学 政法学院，北京 100048)

一、传统法律框架下个人信息保护的弊端

一直以来，美国和欧盟援引财产权保护或确立个人信息人格权路径的落脚点都是以单边性为基础，将个人信息之上的财产利益或人格利益视为唯一的权利客体，将个人或企业视为唯一的绝对主体。这种路径依赖的形成，除囿于传统法律框架之外，很大程度上也与信息技术发展早期的市场需求不无关系。

在大数据技术的背景下，个人信息问题正在向愈加复杂的方向发展。早期，个人信息问题主要表现为隐私权的保护，甚至隐私的含义也被描述为对个人信息的控制权。Westin认为，隐私是指个人、组织、机构决定他们自己何时、以何种方式、在何种程度上将个人信息与他人交流的权利[1]。Fried同样指出，隐私不是秘密或限制他人获知自己信息的能力，这样的界定是不完整的，更应该是我们控制个人信息的能力[2]。

随着信息价值的日益突显，各方利益主体纷纷寻找法律维护自己的权益。一方面，用户不再任由企业对自己的信息随意收集，开始诉诸法律保护自己的信息权益，于是，信息隐私权的重要性被不断强化，成为个人保护信息的主要法律依据。另一方面，企业开始强调自己在信息收集和处理过程中的劳动和付出，认为经过处理后的信息不同于传统个人信息，应作为企业的自有资产，既可对抗竞争者，也可以排除个人对该信息资产的控制。

围绕着消费者信息，一场从企业手中夺回个人信息的新运动正在展开，该运动的目的是将以收集和使用个人信息的企业为中心的世界转变为以消费者为中心的世界。在此过程中，法律必须对个人和企业之间的力量不均衡问题予以规制。遗憾的是，基于路径依赖形成的个人信息保护模式并未综合考量各方主体的利益平衡，或创建了以个人为核心的信息人格权的保护模式，或以企业和经济发展为目的，以市场化手段推进个人信息保护的实施。

首先，从个人信息的性质来说，其本身无法被传统权利类型所包容，表现为多元化的法律性质。一方面，个人信息中的隐私属性决定了其关乎个人尊严与人格利益。另一方面，个人信息在商业竞争中的重要地位决定了它蕴含的经济利益，无论法律是否赋予该经济利益以财产性权利，其在经济学上的资产权地位是不可否认的。

其次，从主体角度分析，个人、企业均有可主张的信息利益。对个人而言，其既是信息的提供者，也是信息的生发人，对信息享有天然的权利。对企业而言，其既是初始信息的收集者、处理者，也是经加工处理后信息产品的创造者、使用者。

最后，就信息生态整体而言，一刀切的立法模式必然导致信息市场利益失衡。欧盟《一般数据保护条例》(以下简称“GDPR”)以个人权益保护为核心，将个人信息权界定为基础性人格权的模式，制约了科技企业的发展与商业模式的创新。更重要的是，严格的信息保护将削弱市场竞争。规模较大的科技平台得以巩固市场优越地位，使得新进入者和规模较小公司吸引消费者的注意力变得非常困难[3]。美国的市场化路径，在本质上缺少了对个人权利的法律关怀。并非所有信息都可以作为商品在市场中交易，同样，并非所有信息都属于企业的信息财产，而信息市场的不完善也进一步恶化了个人在市场中本就弱势的地位。

二、个人信息的保护模式之争

针对个人信息保护面临的挑战，各国展开了积极立法予以应对。总体而言，以欧盟的人格权保护模式和美国的市场化保护模式为典型代表。欧盟以人格权为基础，综合化立法模式为架构，将个人信息保护提升至宪法的高度，以此规避信息技术发展下的信息处理、利用对个人产生的负面影响。美国则以市场自治为价值取向，分散化立法模式为架构，将个人信息视为商品或服务，而非涉及人格尊严与自决的根本性权利。立法模式的不同反映出各国对信息性质界定的不确定性，即个人信息应当作为人格权保护还是财产权保护，信息权利的归属仍是一个未解决的问题。

支持个人信息人格权的观点认为，个人信息关涉个人隐私[4-8]。人格尊严、人身自由与自我决策等多项法益不仅提供了诸多非经济性功能，更关乎公民社会的基础性利益，这是财产制度所无法完全包容的。

其一，信息财产权使隐私和人格尊严被物化，从而削弱了对隐私利益和社会价值的保护程度[4]。其二，财产权将信息完全置于个人控制和市场规制之下，使之缺少更多的法律干预和强制力保护，将导致个人信息遭到更严重的侵犯[5]。其三，尚不完善的个人信息市场会导致不公平交易[6]。一方面，个人与企业不平等的市场地位使用户只能成为隐私政策的被动接受者[7]，通过财产权与合同制度保护个人信息的目的难以实现。另一方面，信息财产权的有效实施有赖于对信息价值的准确衡量，而不完善的个人信息市场使个人信息的经济价值难以评估。总之，在一个不完善的信息市场内，允许个人基于财产权实现信息的自由转让，必然会带来更严重的威胁[8]。支持信息财产权的观点认为，市场是信息最佳的规制手段，财产制度不仅能最大限度保证个人控制，同时也可以实现信息的自由流动。亦有学者基于“卡-梅框架”[9]的理论指出，财产规则保护个人选择，责任规则保护信息交易[10]。因此，当双方协商成本较低或没有公共利益冲突时，财产规则应优先适用于责任规则[11]。随着P3P技术的发展，双方协商的“交易成本”会越来越低，财产制度的使用空间也就越来越宽泛[10]。

有学者认为单独依靠法律无法实现信息保护的目的，财产制度可以作为工具实现各方力量的统一，代表性学者包括Lawrence Lessig和 Juile Cohen[10,8]。Lessig指出网络架构本质上是人类活动的结果，故具有可规制性，综合运用法律、市场和技术手段可以实现个人信息的完整保护。个人信息财产权可以作为一项激励机制，迫使企业尊重用户意愿，加大对隐私强化技术(Privacy Enhancing Technologies, PETs)的投入，从而在技术上强化用户对自己信息的控制权利[10]。类似的，Cohen教授认为法律只能作为信息保护框架的激励性工具，仅仅依靠立法无法实现个人信息保护的目的[8]。

为化解财产权与个人信息的内在冲突，支持个人信息财产权的学者提出对财产制度加以改造，将个人信息视为一组权利，限制其独占性。Paul Schwartz提出了“使用、转移限制原则”，即企业超出约定的信息使用及再次让与行为均需得到个人的许可，企业并不拥有信息的完整财产性权利[12]。Bergelson教授对信息财产权做出了3方面的限制：(1)个人信息财产权不是永久性权利，而是随信息主体的死亡而终止；(2)个人信息的首个收集者可以获得非排他且不可转移的自动许可授权；(3)政府拥有个人信息不具有排他性的自动许可授权[11]。

可以看出，无论采取何种权利定性，试图通过对个人信息的权利构建来规制和保护个人信息都存在诸多理论上的龃龉，个人信息似乎已经难以为传统的权利谱系所包容。究其原因，与个人信息之上特殊的利益形态不无关系。

三、个人信息利益的双边性

私法范畴下，个人信息的价值在实践中呈现出了一种较为特殊的双边性特征，即信息在个人端和企业端体现为两种截然不同的价值形态，而对这种现象的分析，将有助于我们准确地界定个人信息在民事权利体系中的应然定位。

1.面向个人的信息利益

(1)个人端：个人信息的二元利益属性

在个人端，个人信息呈现出了人格利益和财产利益。具有高度敏感性和私密的信息关涉个人隐私和人格尊严的核心领域，此类信息的收集和利用直接关乎信息主体的人格利益。例如，个人的ID、生物信息、医疗健康信息、金融信息等，在面向个人时表现出极强的隐私属性，其泄露和非法使用将导致医疗保险、个人信用等其他基本生活受到严重影响甚至受到歧视。进言之，个人信息在面对个人时，呈现出了极强的人格利益，对信息的非法收集和滥用会侵犯主体的人格尊严和人格自由发展。

与此同时，个人作为信息的生发主体和直接提供者也有获得其经济利益的诉求。无论法律是否赋予个人信息以财产权地位，个人信息的收集、使用的实践已经表明了其作为事实上的财产存在于我们的生活和经济发展中。信息收集、处理的过程，实质上就是个人信息中的财产权利益转移、使用的过程。然而，承认个人信息中的财产权利益面临着一个必须回答的问题，即该财产利益究竟属于谁？不容否认，从个人的角度看，信息从产生伊始就始终是一个用于描述自己的、具有完整使用功能的独立个体。所有信息——无论其表现形式、准确程度如何，其产生都源于个人的主动提供或被动收集，其作用都是识别、描述个人，以便向用户提供更加高效便捷的服务，获取高额的利润。推而论之，个人不仅是信息的原生主体，更应当是信息利益的享有者。

(2)个人信息权的司法实践：基于个人端

事实上，个人信息的财产权属性在当前法律制度中早已体现。GDPR虽然在性质上将个人信息作为基础性人格权予以保护，但在制度构建中却不断突显出信息财产权的法律特征。具体表现为以下两点：强化信息控制权和基于财产规则塑造救济制度。

首先，不断强化的个人信息控制权。GDPR通过一系列条款加强了个人在信息收集、处理、转移过程中的参与能力与控制能力，最典型的就是“被遗忘权”的创设。被遗忘权的设立基础是人格权中的个人自决，正是个人信息权的基础性地位构成了GDPR以人格权为导向的制定思路。个人应当拥有决定自己信息何时、以何种方式被收集、处理以及撤回的权利，基于此，产生了被遗忘权。此外，GDPR还通过设置一系列个人信息默认性权利强化了信息控制权。例如，GDPR第7条对个人同意的要求和标准，第6条关于个人信息处理合法性的规定，第13条对数据收集者信息提供的规定等。与此同时，GDPR还将个人对信息的利益内置于信息本身，保证信息链中的任意主体在处理、转移信息时都必须尊重个人对信息的权利，履行相应的义务。

在GDPR框架下，个人信息是一项以财产权为表征、以人格权为内核的特殊权利。一方面，GDPR将信息的初始性权利赋予个人，并通过同意原则、被遗忘权、携带权等规定提高个人信息控制权，甚至赋予个人以对抗第三人的权利。另一方面，GDPR保证个人总是可以维持关于信息的最终性权利，且该权利不可通过合同等方式被豁免。进言之，个人无法通过交易或其他方式转移、丧失个人信息权利。就此意义而言，个人信息权亦是一项超越财产权的基础性权利。

其次，个人可以寻求基于财产规则塑造的救济制度(Property-rule-based Remedies)。GDPR通过多种途径强化了个人给予财产规则的救济制度。例如，个人可以通过地方监管机构命令信息控制者对信息进行纠正或擦除；企业违反信息控制者、处理者责任的，最高罚处上一年全球营业额2%的罚金；违反个人同意或其他个人权利的，最高罚处上一年全球营业额4%的罚金。在责任归责(Liability Rule)下，企业需要抉择是否违反个人信息权利并支付补偿。反之，财产规则(Property Rule)意味着，企业要决定是否愿意承担违反禁令的后果以及高额的罚金。例如，如果个人信息被责任规则所保护，那么企业只要支付了法律规定的价格就可以获得信息的收集和使用权利，尽管这个价格可能会低于个人对自己信息的估价。换言之，在只需支付补偿性赔偿的责任规则模式下，企业更乐于违反个人同意自行收集和处理信息，而不是通过协商的方式进行信息交易。然而，在面临惩罚性赔偿的财产规则时，个人同意成了一道无法逾越的鸿沟。质言之，财产规则赋予了个人更大的信息控制权，提高了企业义务成本。

2.面向企业的信息利益

(1)企业端：个人信息的财产利益属性

在企业端，个人信息呈现出了财产权利益。信息收集的目的在于获取更准确、完整的信息，因此，信息加工和处理成了信息链中的核心环节。企业基于信息分析、处理，最终会形成一份更为全面、具有预测性的信息产品。这种信息产品在内容上展示的是对个人的评估或预测,在生产方式上主要依赖于企业的加工创造，并非个人的直接提供[13]。因此，其在内容和生产方式上均有别于其他信息类型，对信息从业者和商业组织而言具有重大的经济价值。

(2)个人信息权的司法实践：基于企业端

基于上述特点，企业对信息产品的财产权诉求日益突显，法律也对信息在企业端呈现出的经济利益予以了一定程度的保护。2016年末“新浪微博起诉脉脉抓取使用微博用户信息案”以及2012年“上海钢联电子商务股份有限公司诉上海纵横今日钢铁电子商务有限公司非法使用数据信息案”均确认了企业在信息收集、处理中付出的劳动应享有竞争法意义上的财产权利。然而，上述判决都是基于《反不正当竞争法》第2条中“经营者的合法权益”提出，因此，个人信息利益并没有被界定为财产权，而是作为一项企业的经营条件和水平等比较优势的排他性利益[14]。然而，反不正当竞争保护路径下的个人信息不同于“财产”，其所获得的救济也不同于一般侵权救济。一方面，企业的个人信息权益不具有完整的排他性，严重限制了个人信息财产利益的使用。另一方面，企业的信息利益只有在受到侵害时方可获得保护，无法获得事前救济。2018年8月16日，杭州互联网法院对淘宝软件有限公司诉安徽美景信息科技有限公司案进行网上公开宣判，该案件虽然适用反不正当竞争法来保护淘宝对数据享有的竞争性财产权益，但在具体判决中，首次肯定了企业对数据产品享有独立的财产性权益，将数据产品认定为网络运营者的劳动成果和无形资产[15]。

四、个人信息的非权利性

判断一个事物能否构成一项权利有3个判断标准，分别是归属效能、排除效能和社会典型公开性[16]。个人信息不符合上述3项标准，因而无法成为民法上的权利。

首先，归属效能是指，能够将内容确定、边界清晰的利益归属于特定主体，其核心在于归属利益的内容应具有确定性[16]。法无禁止即自由。将个人信息界定为一项权利，就意味着信息权利人可以为一切他人设定不干涉自己权利的义务。然而，个人信息在个人端和企业端呈现出截然不同的价值形态，个人对自己信息利益的享有并不妨碍企业对信息利益享有和使用。因此，个人信息本身无法完全归属于特定主体所有。

其次，排除效能意味着权利必须具有绝对性。排除效能是以归属效能的存在为前提的，个人信息既不具有归属效能，也就无法具有排除效能。在私法范畴下，个人信息之上的价值样态呈现出双边性特征，涉个人和企业均可以对个人信息之上关乎自己利益的部分享有排他权，但无法排除他人对个人信息本身的占有、使用。在此前提下，个人信息的“假定权利人”与侵权人之间无法划定一条清晰的界限，法律无法判断侵权人的越界标准，也就无法保障权利人合法利益。因此，个人信息不享有排除效能。

第三，社会典型公开性是指，权利的客体具备客观、公开、典型的特征。一项法益必须能够为外界所识别和感知，这种识别和感知必须建立在人们共同的社会文化的认识经验之上[16]。事实上，一项权利的社会典型公开性同样建立在其归属效能之上。前者侧重对不特定义务人的考量，后者侧重对权利主体的考量，对社会典型公开性的要求充分体现了法律在权利人和义务人之间的平衡。个人信息本身虽具有相当程度的公开性，但权利主体对其的法益却难以清晰地分割，这导致外界难以从客观上感知和识别其法益。因此，个人信息不具有社会典型公开性。

总之，个人信息之上的利益样态具有双边性特点，个人信息本身不具有归属效能、排除效能及社会典型公开性，不符合权利的基础判断标准，无法成为民法意义上的权利。因此，我们在对个人信息进行保护时，必须从信息之上的法益入手，而不是将其视为某种特定的权利予以保护。

五、个人信息分类保护及其体系展开

1.个人信息保护的基础：信息生命周期理论

信息生命周期理论告诉我们，信息的价值通过流转、分析和使用得以实现，而在过程中，信息价值并非均匀地增长或衰减，而是体现出个体特有的价值衰减规律[17]。传统法律对个人信息的保护首先从静态规范以寻求稳定，将个人信息视为样态统一、性质不变的权利客体，没有考虑到个人信息流动是一个完整的生命周期过程，在生命周期的不同阶段，个人信息呈现的利益形态及应采取的保护路径也不尽相同。因此，在构建基于法益的个人信息保护制度时，必须要结合信息在生命周期的不同阶段表现出的不同样态，以及不同样态下信息之上的法益类型。基于法律保护的制度需要，本文将个人信息流动的生命周期划分为以下几个过程，以便于信息样态的识别。

(1)信息收集。信息收集是信息流动的基础和起点，是指企业根据应用背景的需要，通过网联网、无线传感器等各类途径对用户信息进行收集和聚合的过程。信息的来源极为多元，但其收集方式无外乎个人的主动提供或被动采集，其样态都表现为个人初始信息，具备直接识别到个人的能力。

(2)信息分析。信息分析是指，企业通过对初始信息的分析和整合，得出更为完整的用户信息的过程。在这一阶段，信息的生产源于个人的直接提供，以及企业基于现实信息得出的分析性信息二者的结合。后者的准确性极高，其误差可以忽略不计。例如，基于GPS获得的个人地理信息、基于手机检测获得的人体物理信息、基于网页浏览记录获得的个人偏好等。这些信息的获取只需对原始信息加以整合，并进行初步的分析，属于用户的网络行为信息，故在样态上表现为个人的事实信息。

(3)信息处理。信息处理是建立在信息收集和信息分析之上的，是企业对初始信息和经分析后的事实信息进行加工、创造使之形成新的信息产品的过程。在此阶段，用户不再参与到信息处理的过程中，企业成为信息处理阶段的唯一主体。进言之，企业是信息产品的唯一生产者。经处理的信息不再要求绝对的真实，更多的表现为一种对未来的预期和评估，故而其在样态上表现为个人的预测信息。

(4)信息转移。信息转移是指，经权利人许可，信息之上的权利从一个控制者向另一个控制者转移的过程。在信息转移阶段，企业之间彼此交易的是信息之上的部分权利，而非信息本体。就此而言，信息转移阶段的信息样态表现为具备可转移性的信息权利，亦即财产性信息权利。其样态可以表现为初始信息、事实信息、预测信息。

(5)信息利用。信息的收集、分析和处理都是为了信息的利用，亦即通过对信息内容的使用，提供更准确的服务，赚取更高额的利润。在信息利用阶段，信息的样态是多元的，既可以是初始信息，也可以是事实信息，甚至是预测信息。

(6)信息消亡。就法律角度而言，信息消亡是指信息因没有了相应的价值，无论是人格价值、经济价值，还是公共价值，而失去了为法律保护的必要。

通过信息生命周期的梳理可以看出，个人信息在收集、分析和处理3个阶段呈现为“初始信息”“事实信息”“预测信息”3类完全不同的信息样态，而在转移和利用阶段的信息样态表现出多元化特点。初始信息和事实信息的形成主要源于个人的主动提供，企业在信息的生产环节贡献度极低。在内容上，信息表现为真实的用户信息，因此，个人与信息之间呈现出强关系联结。预测信息的形成主要源于企业通过大数据技术挖掘、整理获得的预测性信息——也就是所谓的“数据资产”，因此，企业与信息之间呈现出强关系联结。

2.个人信息类型化保护

首先，在个人端配置信息人格权和信息财产权。个人对初始信息和事实信息享有人格权和财产权。前者由个人直接提供，作为信息的生发人，个人对信息享有天然的权利。后者的生成虽伴有企业的信息整合与分析工作，但贡献微弱，事实信息主要源于个人的提供。换言之，个人是信息的主要生产者，事实信息应基于个人的控制之下。无论是初始信息还是事实信息，其在面对个人时都呈现出人格权与财产权的双重属性，故个人对其享有完整的信息权利。就整个信息生命周期而言，个人在信息收集和分析阶段享有信息人格权和财产权；在信息转移和利用阶段，其权利的享有依信息的具体样态而定。

其次，在企业端配置信息财产权。基于洛克的劳动获得理论(Labor-Desert Theory)[18]，企业对预测信息享有财产性权利。在类型上，预测信息是企业的劳动成果，独立于个人的原始信息、事实信息之外，是与之无直接对应关系的衍生信息。在性质上，预测信息虽表现为无形资源，但可以为企业所实际控制和使用，能够为企业带来相应经济利益。在实践中，此类信息本身已经成为市场交易的对象，具有实质性的商品交换价值。就整个信息生命周期而言，企业在信息处理阶段享有信息财产权。在信息转移和利用阶段，只有信息样态为预测信息时，企业方享有信息财产权，并对其转移和利用享有控制权和排他权。

六、结 语

1890年，布兰代斯和沃伦在著名的论文《隐私权》中写道：“法律的这种成长是不可避免的。文明的发展带来了紧张的智力生活、情感生活以及敏锐的感受能力。”[19]如今，信息技术的发展再次向法律提出了挑战，继续沿用传统法律框架只会造成类型化权利之间的冲突，亦无法满足信息社会的客观需求。

个人信息已非传统权力谱系中的权利。双边性的特征使其在面对个人和企业时，呈现出了两种不同的价值形态，而这两个主体对于个人信息也形成了内容各异的权利诉求。在对个人信息权进行制度设计时，必须充分考量信息生态的动态结构，特别是信息在整个信息链的各个环节的不同样态，明确信息在面对个人端和企业端时所展现的信息样态以及所呈现的价值形态，确立更加复杂的个人信息保护体系。