潘继华
(中国政法大学,北京 100088)
信息时代,个人信息具有人格与财产双重属性。一方面,个人信息与个人的人格密切相关,彰显着个人的特征与个性;另一方面,个人信息已经成为有经济价值的资源,企业对个人信息的占有情况影响着其在市场中的竞争力。个人信息本是对个人人格的反映,是个人事实存在状态与行动的客观记录。敏感的个人信息甚至涉及个人隐私,因此其人格属性是无可争议的。在信息时代,个人信息的财产价值逐渐凸显,其财产属性也日渐增强。“从2008年开始,大数据交易市场已初见端倪,‘数据市场’‘数据银行’、数据交易市场已成为新型的经济形式。”[1]15网络信息平台可通过将收集的个人信息进行整理,与大数据分析形成数据库,实现商品或服务低成本的“精准营销”。个人信息的财产价值虽逐渐加强,但保护路径却没有随着财产价值的凸显而有效形成。隐私权与人格权的商品化、独立的财产权、一般的法益等路径争相出现,但这些保护路径均存在一定缺陷,因而学界对此问题尚无较为统一的看法。保护路径的不确定性造成了个人信息的财产利益的保护难题,这既损害个人权益也妨碍市场主体对个人信息的合理利用,同时阻碍信息产业的发展。只有厘清个人信息财产权益法律属性,才能明确个人信息财产权益保护路径,因此本文拟在探讨个人信息财产权益的法律属性的基础上探寻更为合适的个人信息财产权益的保护路径。
个人信息的财产利益是在信息时代的背景下应运而生的。正是因为现代信息产业的需求,个人信息成为了信息市场中重要的资源。个人信息占有量与信息处理能力决定着信息行业在市场中的竞争力。个人信息的财产利益是缘于个人,因此个人是个人信息产生的源头,也是信息财产价值的源头,个人应当享有因为自身产生的利益。然而,在法律没有明确规定的情况下,究竟应该以何种路径保护此利益,防止信息处理者对个人利益的损害众说纷纭。目前,学界认为现有的保护方式主要包括人格权商品化路径、财产权路径以及一般法益路径。
个人信息财产性利益以人格权商品化路径保护立足于个人信息的人格属性。有学者认为个人信息权益是一项具体人格权,它既非一般人格权也非隐私权,侧重于在此基础上希望通过构建“个人信息权的商品化及其损害赔偿规则”[2]来保护由个人信息产生的财产利益,但是人格权的商品化路径与个人信息的财产利益并不匹配。
首先,我国的法律规范中并未明确将个人信息权益定位于独立的人格权或者一种隐私权。《中华人民共和国民法典》(以下简称《民法典》)并未将个人信息独立规定在一项人格权客体中,而是把个人信息相关内容规定在隐私权一节。这样的安排似乎意味着个人信息权益是一种隐私权,然而,根据法条的表述可以发现,个人信息与隐私并不一致。《民法典》中的相关条文明确了个人信息中的私密信息适用隐私权保护规则,而非私密信息才适用个人信息保护的规定,可见个人信息虽然与隐私有交叉内容,但明显不完全是隐私权客体。当然,这也意味着我国法律认可个人信息与人格权客体具有高度的相似性。不过,这样的法律认可并不能令个人信息权益成为无可非议的人格权。可以被商业利用的个人信息本应该限制于非私密信息,否则会造成对人格尊严的严重损害。综上,具有财产利益的个人信息往往不是隐私权可以控制的内容,因为个人信息权益并非具体人格权,所以人格权商品化路径缺乏适用前提。
其次,我国的法律传统欠缺将个人信息财产权益作为人格权商品化的空间。支持个人信息财产权益以隐私权商品化路径保护的观点往往以美国法为依据。然而,美国法中的隐私权概念是“大隐私权”概念,与我国法律并不相同。美国法的隐私权客体包括肖像、姓名、个人信息等各种内容,如可以商业使用的肖像等都可以用人格权商品化理论去解释。而个人信息权益本就包含在“大隐私权”概念之下,个人信息的财产利益自然也就可以用此保护路径。但是,我国的隐私权旨在保护个人的私密空间不被侵犯,是一种消极的权利,天然排斥私密内容的自由流通,因此不符合个人信息在商业领域的流通现实。
最后,个人信息权益不具有人格权商品化的价值基础。肖像权或者姓名权的商品化之所以有价值,并不是缘于肖像和姓名本身,而是个人的社会影响力。只有个人在社会上享有良好的声誉或者非常强大的影响力与号召力等,个人的肖像和姓名才会对商品或者服务的推广具有实际的促进作用,真正具有商业价值。但是,个人信息的财产价值并不取决于个人信息所有人的社会影响力,而是个人信息本身。个人信息仅能反映个人特征,这些特征可以被处理为某些数据,基于此,信息处理者才能通过这些数据制定自己的商业策略并决定自己的商业选择。个人信息的财产价值与具体人格权的商业价值具有不同的来源,如果仅仅因为个人信息能够反映人格而采取人格权商品化途径以实现个人信息财产权益的保护,这会忽略两者价值来源的本质区别。
学界有不少声音主张用财产权保护个人信息的财产利益,这些观点又可细分成两类,一类主张将个人信息全部纳入财产权保护范围,以财产权制度实现对个人信息人格利益以及财产利益的全部保护。例如,有学者认为应该对个人信息整体以财产权保护,因为个人信息是一种稀缺资源,个人应该分配由此产生的利益,且构建财产权可以规范个人信息的利用并促进信息的交易利用[3]。另一类则以“二元论”立法模式为基础,认为可以将个人信息权益构建成人格权与财产权兼备的一种权利,个人信息的财产性利益就由其中的财产权保护[4]。而有关个人信息以财产权保护的观念,欧美的学者在多年之前已有论述。例如,波纳斯就认为隐私权是财产权的分支[5]。当代学者中也有不少支持个人信息财产权的观点,有的认为当将某事物财产化时产生的收益大于成本时,应该以财产权保护该事物,并且证明了个人信息符合这一特点[6]。也有的认为在信息时代,个人信息的财产属性已经不证自明了,给予其财产权没有任何问题,只是需要考虑如何分配其中的财产利益[7]。
但是,以财产权形式保护个人信息也遭到一些反对。有学者认为,将个人信息财产化会“触及法律主体的人格尊严”[8],引起损害人格尊严的潜在风险。不过,也有学者指出将个人信息的财产权益进行保护并不会损害人格利益,因为“法律承认个人信息财产权也并不意味着否认个人对其信息本应该享有的人格权,而是给其提供了更多的选择自由”[9]。除此之外,反对构建个人信息财产权的学者认为即使赋予个人信息财产权,个人也无法真正控制信息,无法实现财产权权能[10]。但是,该观点实际上并不足以说明个人信息财产权是无效的,反而增强了个人信息财产权的必要性。如果法律在设置了某一绝对权利来限制个人信息的非法利用后仍然无法充分保护个人信息,那么在完全没有此权利来限制非法行为时,势必会加剧信息处理者对个人信息的滥用,甚至对个人信息权益造成更加严重的损害。至于个人信息财产权无法真正“变现”,有学者提出可以用证券市场中的经纪人制度等方式帮助个人信息财产利益向经济收益的实现[11]。
与绝对权路径不同,有学者提出用侵权责任法[12]或者合同法[13]来保护个人信息财产利益,也有学者提及美国使用反不正当竞争法保护该财产利益的先例[1]17。上述保护路径都立足于将个人信息的财产利益看成一种法益,以“责任”为中心构建个人信息的保护体系,但是这样的保护方式无法满足信息时代人们对个人信息保护的需求。
显而易见的是,一般法益形式对个人信息的保护力度是较弱的,因此一般法益只有在权益被侵犯之后才能获得救济,而且所能获得的仅仅是损害赔偿请求权。在信息时代,个人如果仅仅只能获得损害赔偿请求权,那么就无法应对信息处理者对信息的肆意使用。因为单个人的信息往往没有非常显著的财产价值,只有通过诸多信息的筛选与整合,才能得到有明显经济价值的个人信息数据库。损害赔偿请求权依据的损害填补原则仅能弥补真实的损害,基于单条信息的“廉价性”,个人获得的财产救济是非常微小的,在没有“惩罚性赔偿”制度的情况下,维权得到的赔偿甚至会高于维权成本,个人根本没有动力进行积极维权,最终形成个人信息被肆意获取与利用的窘境。而且,在缺乏绝对权权能的条件下,个人没有权利控制信息处理者的行为,因而就无法在个人信息利用的前端进行“风险控制”,难免会增加个人信息权益被侵犯的风险。除此之外,这也与国际的保护形式有较大的出入,在各国普遍以权利保护的趋势下支持我国特立独行以侵权法保护的理由是匮乏的。
当然,个人是可以通过合同法实现对个人信息的控制,实现财产权益,但是单纯的“违约责任”同样无法满足个人信息保护需求。究其原因,个人信息被侵犯的通常情况是信息处理者擅自收集利用他人的个人信息,即先获得使用许可再违约的情况较少,侵权情况则更为普遍。除此之外,很多平台的协议中请求个人信息授权的条款非常复杂,用户往往不会仔细审查规则就迅速点击确认,这使得用户更容易被有利于平台的合同条款限制,在纠纷发生时陷入被动。因此,如果仅通过违约责任来保护个人信息财产利益,个人利益无法得到有效保护。另外,以反不正当竞争法保护该财产利益的方式不适用于保护个人的财产利益,因为个人通常并非参与竞争的市场主体,是无法通过该途径得到救济的。
对个人信息财产权益保护路径的争议实际上来源于此利益的法律属性的不确定性。权利与法益的保护形式不同,人格权的商品化利益与一般财产权利益的保护模式也不同。因此,在确定保护路径之前,必须明确个人信息财产权益在我国法律中的属性定位。只有明确该利益准确的法律属性,才能选择对应的方式进行合理保护。
有关个人信息之上的财产利益是权利还是法益的问题决定了个人信息能够获得保护的范围和力度。权利通常具有较为完备强大的权能,可以提供权利人稳定有力的保护,而法益的保护往往力度较弱。法律对个人信息财产权益是权利还是法益的表述是不明确的,这成为该利益法律属性确认的难点。
1.司法实务界对个人信息财产权益的界定
我国的司法实务界一直对个人信息的财产利益认定采取十分谨慎的态度,甚至在诸多案件中根本没有涉及对个人信息财产权益的确认。在适用侵权条款给予受害者侵权赔偿时,往往不考虑个人信息本身的价值,而是考虑泄露个人信息是否给当事人的其他财产造成了损害。在获得经济赔偿的案件中,如“罗某诉某保险公司隐私权纠纷案”,法院的裁判依据也仅仅是精神损害而不涉及对个人信息财产价值的考量。但是,也有法院在部分案件中承认了个人信息的财产权益,如“苏州贝尔塔数据技术有限公司与伊日克斯庆一般人格权纠纷案”,只是在赔偿数额的认定时并不考虑。
美国的司法实务界也曾经未将个人信息视为财产。在2007年的“Thompson v.Home Depot”案件中,法官就指出个人信息不是财产,不能获得经济赔偿。但是,随着个人信息的财产利益逐渐突出,在十几年之后法院对该问题有了新的认知,并有裁判推翻了原先的观点。在“Hameed-Bolden v.Forever 21 Retail”案件中,基于最近的数据泄露案件,法院发现,个人信息是一种“有价值的商品”以及该信息被盗导致其销售价值损失的指控足以就违约索赔提出损害赔偿。
我国的司法实务界对个人信息财产权益的属性尚没有明确的表述,甚至在案件中常不予考虑。仅有少部分法官认为该利益是一种财产利益,但至多算一种法益,并没有将其认定为权利。从美国司法实践对该问题的理解过程可以发现,在不同的时代背景下个人信息的财产价值是不同的,而这会影响到实务界对此利益的法律属性定位。在当前的社会现实面前,个人信息的财产价值已经十分明显,非法出售个人信息的刑事案件也屡见不鲜。在信息时代的背景之下,司法实务界应该承认个人信息的财产价值,并给予充分的保护,而不是一味忽视这些重要利益。
2.法律文本中对个人信息财产权益的界定
在现有的法律文本中并没有关于个人信息财产权益的明确规定。在《民法典》的第1035条中,个人信息条款在隐私权规则之下,没有确立个人信息是一种独立的人格权客体,而其财产利益更无从谈起。有学者对我国个人信息的私法保护中存在的问题分析时,就指出“对个人信息的保护采用法益保护而不是权利保护”[14]。但是,最新生效的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)对基于个人信息产生的利益之法律属性有了相较而言更准确的表述。
《个人信息保护法》第二条中的规定将个人信息的利益表述为“个人信息权益”。虽然这部法律并没有直接明确使用“权利”而是使用“权益”,但是从文义解释的角度来看,权益一词可以被解释为“权利”与“利益”。这说明个人信息上的利益在法律中的地位至少不是一般“法益”,而是具有强烈权利属性的一种利益。除了总体性的表述之外,在具体的权能设置上,个人对个人信息也有非常强大的控制力。《个人信息保护法》第四十四条规定个人拥有“知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理”。这些排他性权能的设置已经无法让个人信息利益成为单纯的法益,实际上这些强大的控制权能让该利益获得类似于绝对权的保护。因为即使像商业秘密权益这种被法律认可的传统法益,甚至被《民法典》规定为“商业秘密权”,法律对商业秘密的保护程度根本没有达到权利的标准。法律仅保护商业秘密的物理垄断性[15],而没有赋予所有者对利益完整的控制权。商业秘密所有者所享有的也仅是他人非法获取其秘密之力,所有者缺乏对客体的强大控制力。因此,《个人信息保护法》虽然没有明确将个人信息利益定义为一种权利,但其规定的个人基于个人信息所享有的控制权能已经在事实上让个人获得了类似于绝对权的权利。现行法律对待个人信息利益的保护程度远高于对普通法益的保护,这就意味着个人信息在实际上已经成为了一种权利客体而非普通法益的客体。
关于个人信息财产权益是人格权的商品化利益还是财产权问题比个人信息财产权益是权利还是法益更加难以解决。但是,可以肯定的是,个人信息财产权益以财产权定义更加合适。因为从《个人信息保护法》中可以看到法律对个人信息财产权益以财产权路径保护的蛛丝马迹。
1.个人信息财产权益的排他效力
《个人信息保护法》规定了个人对个人信息使用的决定权、同意权,还具有对个人信息的删除和退回权。这些权利实际上赋予个人对个人信息有很强的控制权,即类似于具有排他效力的财产权所具备的对客体使用的控制权。有学者认为欧盟《一般数据保护条例》是以财产权路径保护个人信息财产利益的,其中所体现的财产权性质正是知情同意权、自决权、删除权以及撤回权等,因为这些权利的赋予让“数据主体拥有明确的财产权利;数据主体转让数据后,依然对第三方数据控制者利用数据的过程享有控制权利;数据主体的数据权益基于财产权的相应救济措施予以保护”[16]。我国的《个人信息保护法》中的权利规定与欧盟《一般数据保护条例》存在相似,即个人享有的“决定权”具有类似财产权的排他效力。
2.个人信息财产权益的处分效力
有学者认为“自然人对其个人信息财产价值的支配可体现为个人信息权的决定权、处分权”[17]。因为一项权利具备排他性也只能说明此权利可以成为绝对权,而人格权同样具备此特征。但是财产权性质的权利中,权能完整的财产权还可以具备人格权无法具备的处分效力。在《个人信息保护法》生效之后,可以从相关条款中解释出个人对个人信息具有处分能力。《个人信息保护法》禁止“非法买卖”个人信息的行为,这意味着法律实际上是承认个人信息能够通过商业交易实现财产价值。法律的态度仅是禁止非法买卖,从反面解释该条款,就意味着法律并不禁止“合法买卖”个人信息,这表明个人可以通过许可或者转让自己的个人信息产生收益,只是现行法律对个人通过合法出售个人信息获得报酬的行为采取的是“默示允许”的态度。除此之外,个人的“决定权”限制的是对个人信息的“处理”。在商业活动中,信息“处理者”往往是将收集而来的信息进行数据提取,然后通过大数据分析获得自己的数据库。如此产生的数据库又可以通过商业交易进行买卖,这实际上就是一种对个人信息处理结果的处分。当然,此时交易的是去除敏感信息的个人信息,并非是对人格性质的敏感信息的处分。“处理”之概念本身就可以包含“处分”的涵义,而且商业的“处理”也与“处分”行为密切相关。所以个人信息权益在《个人信息保护法》中同时具备了类似财产权的处分效力,只是并非“明示”,而是以“默示”态度暗含在相关条款之中的。
《个人信息保护法》规定了个人对信息处理活动诸多的控制性与支配性权利,具备了一般法益所不具有的排他效力。这些权利有的是人格权属性的权利,有的是财产权属性的权利。如《个人信息保护法》给予了个人人格权属性的“知情权”,也规定个人享有具有财产权排他效力与处分效力特质的“决定权”。这契合了使用人格权与财产权分别保护个人信息人格利益与财产利益的观念[18]151-165。实际上,这样的规定符合了个人信息权益是“框架性权利”的观念。有学者就认为个人信息权益是一种框架性人格权,只是该人格权包含财产权权能[19]16-21。还有学者觉得个人信息权益就应该是框架性权利,这有利于实现对个人信息人格利益和财产利益的周延保护[20]。因此,在《个人信息保护法》中,个人信息权益是包含人格权与财产权性质的“框架性”权利。个人信息财产权益并没有被独立规定以财产权形式保护,而是被包含在“框架性”的个人信息权益之中进行保护,但是此权益的保护形式在框架性权利之下体现着财产权所具备的排他效力和处分效力。
《个人信息保护法》虽然给予了个人信息权益排他效力,使个人信息权益实际上成为了一种权利,兼具人格权与财产权属性,但是《个人信息保护法》并没有将此权益进行区分,因此即使个人信息财产权益具有暗含在相关规定中潜在的处分效力,此财产利益也没有被独立确立为一种财产权。《个人信息保护法》将个人信息权益在实质上处理为“框架性权利”,但这种“一揽子”没有人格权属性与财产权属性区分的权利规定只是暂时逃避在立法过程中对权利性质认定时的争议,并没有从根本上消除个人信息财产权益保护路径选择上的分歧,这会给实践中个人信息财产性利益的保护埋下隐患。个人信息财产权益具有独立性,不是人格权的商品化利益,其具有类似财产权的法律属性已经被隐含在法律条文中。而且“只有对个人信息财产权采取独立确认、独立行使、独立保护的二元模式,才能保障个人信息通过市场进行最有效率地配置,促进信息时代个人信息商业利用的有序进行”[21]。因此,在个人信息权益作为“框架性权利”背景下,为了避免今后适用财产权路径保护个人信息财产权益的争议,基于个人信息与知识产权客体的相似性以及增强对个人权益的保护并促进个人信息在信息产业中被合法高效地利用,需明确《个人信息保护法》中基于“二元论”模式下独立的财产权保护路径。
有学者从个人信息与知识产权客体角度,分析出了个人信息与知识产权客体都是信息的本质,都具有“公共产品属性”等共性[22]。除了此共性之外,个人信息兼具人格属性与财产属性,这与著作权属性极为相似。只是与著作权不同的是,著作权的财产权属性更加突出,著作权的人格权属性则是在发展过程中不断被其他国家法律承认的,著作权中的精神权利也是在著作权制度实行多年之后才得到英美法系国家的认可。而个人信息则正好相反,无论是欧陆国家还是英美国家都是将个人信息视为一种人格属性的客体,个人信息的财产属性则是因为信息技术的发展而不断被发现和认可的。著作权是从单纯的财产权发展到人格权与财产权结合的“框架性权利”,个人信息权益则是从人格权益发展到人格权益与财产权益想结合的“权利束”。虽然两者关于权利属性的初始认知不同,但最终都会在人格权与财产权双重权利属性这一性质上殊途同归。著作权是权利束,现在的个人信息权益也是权利束。我国的著作权制度将“权利束”进行了“二元”划分,清晰划分了著作人身权与财产权,明确表明了该权利的双重属性并分别规定了不同的权利规则。因此,我国的法律对于具有人格权与财产权双重属性的权利是采取“二元”模式分别独立确认保护的,这体现着我国的法律体系中存在着独立确立框架性权利中的人格性权利与财产性权利这一先验的立法观念。个人信息财产权益的正当性来源虽然与著作权不同,但却在法律属性层面具有高度的相似性。而对于具有相似属性的客体法律需要采取类似的态度对待,否则会导致蕴含在法律体系中的法律组织观念发生冲突,破坏法律体系整体的协调与美感。因此,确认个人信息财产权益以独立的财产权路径保护是维护法体系协调性的要求。
独立确认个人信息财产权益以财产权路径保护,可以有效抑制对个人信息不正当利用的行为。独立的财产权路径可以明确个人信息财产利益的法律属性,即以法律的形式将个人信息确立为一种财产。一方面,个人信息所有人会因为财产利益之诱因更加积极主动维护自身权益,制止不正当利用其个人信息的行为。另一方面,也可以让信息市场竞争主体间以“禁止搭便车”的市场机制从外部间接保护个人权益。
包含在个人信息整体权益中的财产权益在法律条文中的表述是不明确的,普通公众无法从模糊的定义中了解其所享有的个人信息财产利益。而若将此财产权益以独立的财产权形式保护,则是法律明示个人信息可以作为一种财产,公众可以直接了解到个人信息的财产属性。“经济诱因的制度设计更能有效减少个人数据被大量非法收集与监控的风险”[23],其中一个原因就是财产所有人会自发地保护其所拥有的财产。财产可以带来经济利益,是个人社会财富中的一部分,个人往往十分注重对其财产的保护。如果以独立的财产权路径保护个人信息,在个人信息被法律确认为一种财产的情形下,人们往往重视作为财产的个人信息,人们会基于其财产安全的需求而努力保护其个人信息。因此,独立财产权的制度设计会给个人权益的保护增加一项“内在动力”,激励个人自发地维护其个人信息所带来的利益,以此促进个人信息的有序利用,防范侵犯个人信息权益的行为。
独立的财产权路径的确立还可以给个人信息权益的保护添加一项来自市场的“外部动力”。个人信息财产权益以财产权保护之后,信息处理者需要支付使用信息的费用,也就意味着信息处理者在获得信息产品之前有了加工成本。如果有其他市场主体未经许可擅自收集处理个人信息,之后将获得的信息产品投入市场之中,则会在“零成本”的情况下挤占合法竞争者的市场空间,损害其合法利益。因此,市场主体为了维护自身权益,会相互监督个人信息的收集和加工行为,制止其他主体在未经授权的情况下利用个人信息。此外,获得财产权授权的主体基于许可合同的相关条款会限定在个人许可的范围内使用个人信息。而以“搭便车”形式利用其他竞争主体通过许可得到的个人信息的主体,则不受授权范围的限制而可能将个人信息利用在超过个人允许的场景之中,损害个人权益。若独立的财产权路径得以确立,竞争主体基于保护自身财产安全与市场利益的目的,会制止“搭便车”等未经许可利用个人信息的行为,在保护其自身利益的同时也有利于个人权益的安全。
独立的财产权路径可以为个人信息权益的维护增加内在动力与外在动力。一内一外双重动力加持,在刺激个人保护个人信息的同时还可以调动市场的力量维护个人信息安全。因此,独立确立个人信息财产权益以财产权形式保护对于个人基于个人信息产生的利益之保护是有意义的,有利于实现对个人信息权益的充分保护。
“财产机制一般而言较能满足个人与社会利益”[24],独立确立财产权路径除了可以实现对个人权益的有效保护之外,还可以促进个人信息在信息市场中被有序高效地利用,满足信息产业对信息利用的现实需求。“财产的自由交易能够提高资源利用效率,促进社会生产力的发展”[25]。将个人信息财产权益确立为财产权之后,去除人格部分的个人信息可以作为一种能够在市场之中自由流动的商品,市场的力量会使得个人信息这种“信息资源”被更加高效地使用,促进信息产业的发展,最终实现社会整体利益的增值。而且,独立的财产权路径还可以避免个人对合法利用个人信息的正常商业行为进行不正当干预。在框架性权利的情形中,个人信息权益是混合人格权益与财产权益的复合体,在利用个人信息时需要同时受到人格权益的限制。而人格利益是无法被交易与处分的,否则会损害人格尊严,这就导致了个人信息在商业流通中的阻碍。信息处理者在获得了个人信息的授权之后,也可能因为个人以人格权益为依据,阻碍信息的商业利用,破坏信息处理者在市场中合法的利益期待,损害信息产业的发展。而个人信息人格权益与财产权益的分别确立,可以让人格权权能限定在保护人格利益的范围之中,让个人信息的正常商业利用行为与人格权限制分离,使合法的利用行为避免来自于人格权的法律风险,保护信息交易安全,以此促进个人信息的合法高效利用。
独立确立个人信息财产权益以财产权路径保护,在促进个人信息高效利用的同时也促进了个人信息财产权益转化为现实的经济利益,使个人信息财产利益有效转化为现实的经济收益。确立独立的财产权路径意味着将个人信息财产权益从交杂着人格利益的个人信息权益之整体中剥离出来,使其成为一项无异于其他财产的权益。在此基础之上,个人可以依据意思自治合法地将去除人格部分的个人信息许可给其他主体从而获得一定的对价,就如同许可他人使用一种普通的财产一般,让个人信息财产权益免受人格因素的影响,使其能够合法地被交易从而转化为财产收益。独立之后的个人信息财产权益也能够得益于法律的宣示作用,使个人明确了解其为个人所有的一项重要财产权,从而激活个人对个人信息的许可等交易,促进财产权益向财产收益的转化。而且将个人信息财产权益确立为一项独立的财产权,可以营造个人信息有序交易的市场环境,在不断发生的交易之中,会逐渐使更多的个人信息被合法有效地利用,也会不断为个人带来经济收益,最终形成个人信息财产利益真正实现的良好局面。
《个人信息保护法》中的个人信息权益虽然可以解读出具有财产权性质个人信息财产权益,但是其中的财产权权能仅体现为反面的“禁止权”而非正面的“使用权”,这导致个人信息财产权益的法律属性不明,不利于个人信息的财产性利用。除此之外,个人信息财产利益的实现也是实践中急需解决的难题,如何将个人信息的财产收益真正在个人身上得到实现关系着财产权保护路径的法律实效,而《个人信息保护法》对此却欠缺应有的回应。个人信息财产利益的真正实现是比较困难的,即使有了财产权保护路径,如果没有实现机制,财产权也只是形同虚设。这是因为单条个人信息的实际价值是不明显的,其真正的财产价值在于可以被加工成具备商业价值的特定数据库,是数据加工的原料。如果单个人的信息被侵犯,那么仅凭个人信息本身的价值损失,个人能获得的赔偿是微乎其微的,这就会导致个人在信息财产权益方面维权的懈怠,使得法律给予的财产权无法被积极使用而陷入权利虚设的窘境。所以,对个人信息财产利益的实现机制也需要被建构在《个人信息保护法》的框架之中。
《个人信息保护法》给予个人的权利中缺失了利用个人信息实现财产利益的使用方式之规定,仅从反面规定了个人对个人信息处理的限制权能,这导致了法律给个人的财产权权能的表述不够清晰,容易造成他人对个人信息财产利益以财产权路径保护的质疑。虽然从法律条文中可以推断出个人信息的收益权能,但是在法律欠缺正向的财产性质使用方式明确表述时,个人对使用个人信息换取实际的经济利益的行为没有足够底气,会妨碍个人获取个人信息中的财产利益。而且,因为没有明确的实现财产利益方式,就可能会导致实践中的交易纠纷。例如,个人信息处理者可能认为个人没有财产性质的使用方式以此试图拒绝支付对价,从而造成对个人的财产权益损害。因此,需要在法律条款中将限制他人使用的表述转化为有权向他人许可或者转让等内容,既进一步明确本就暗含在条款中的实现财产权益的权能,又避免实践中可能因法律欠缺此权能规定而引起的纠纷,还可以使财产权保护个人信息财产利益的路径更加清晰。
个人信息是某些数据库的源头,是用于建构那些具有重大财产价值数据库的原材料。但是,单条个人信息或者单个人的个人信息所能体现的财产价值是非常微弱的。只有通过大数据技术将数量众多的信息进行筛选与整合,才能发挥更大的财产价值。基于此特点,为了避免个人因为无法得到可观的维权收入而懈怠行使权利,构建一个专门用于个人信息流转与保护的机构是必要的。类似于著作权制度中的“版权管理组织”,个人信息流转机构可以代表个人授权信息处理者使用信息。因为可以代表的人数众多,信息流转机构可以许可数量足够的信息给被许可方,而这样众多的信息集合是有明显经济价值的,与单条信息完全不同。之后流转机构可以将获得的收益回馈给个人,也可以将一部分用于对个人信息的保护,规范市场对个人信息的收集与使用。构建流转机构可以让自己的个人信息“获得更专业的保护,同时也为个人信息权利主体提供了发挥自己个人信息价值的便利途径”[1]19。“加州消费者隐私权保护法案”规定了个人信息保护的基金会,该基金会由政府出资,用于对消费者个人信息的保护以及对儿童进行信息保护的教育。我们可以在《个人信息保护法》的框架中建构这样的独立组织,再赋予其信息流转平台的功能,实现对个人信息财产权益的落实,也促进对个人信息整体权益的保护。
个人信息财产权益的保护路径虽然颇有争议,但是《个人信息保护法》规定了个人对个人信息有较为有力的控制权,赋予了个人信息财产权益财产权性质的排他效力与处分效力,将此财产权益确立在“框架性权利”性质的个人信息权益之中。只是法律规定的个人信息权益这一“权利束”没有被清晰地划分为人格权与财产权,容易导致以财产权路径保护个人信息财产权益的争议。基于法律体系的整体协调性并促进个人利益与社会利益的保护与实现,独立确立财产权路径是有必要的。《个人信息保护法》中的规定尚有欠缺,需要将“禁用权”转换为“许可权”,来进一步明确个人信息权益中的财产权权能。而且,建构独立的个人信息流转与保护平台可以使法律文本上的权利变成实际的权利,有利于权利的落实和保护。不过,个人信息的私法保护也仅仅是个人信息保护系统中的一部分,构建多元的个人信息保护制度才能有效应对大数据时代对个人信息保护的需求[26]。多元治理的制度模式需要考虑个人信息保护规则在民事、行政、刑事法律之间的衔接问题,亦不能避免责任分配的争论[27]。虽然个人信息保护尚存诸多问题没有解决,但个人信息财产利益的财产权保护路径至少有利于明晰私法保护路径,对个人信息的财产利益的分配与调整起着重要作用。