個人信息權載入民法典芻議

摘要：《民法總則》第111條將個人信息作為民事權利客體進行了規定。從個人信息與數據信息的區分關系來看，數據應屬于無形財產權的客體，個人信息則應屬于作為具體人格權的個人信息權的客體。在“工業4.0”大數據利用日益發達的今天，為充分保障個人權利，有必要明確個人信息權的法律地位。具體而言，在民法典中載入個人信息權既要在處理好其在民法典內部的體系關系，也要處理好民法典、個人信息保護法、《網絡安全法》三者之間的關系，構建一個科學合理且符合中國國情的個人信息保護體制。

關鍵詞：個人信息權；人格權；民法典；民法總則；工業4.0

中圖分類號：D923

文獻標識碼：ADOI：10.3963/j.issn.16716477.2017.03.0020

2016年6月27日，“民法總則（草案）”第一次提交全國人大常委會審議，其中第108條第9款將數據信息作為知識產權客體予以保護。2016年10月31日，“民法總則（草案）”第二次提交全國人大常委會審議時將數據信息從知識產權客體中刪除，并將個人信息從數據信息中抽離，增加第109條專條規定了個人信息受法律保護。同時，再增加第124條規定對根據法律對數據、網絡虛擬財產進行保護。該規定在“民法總則（草案）”第三、第四次審議稿中得到延續。2017年3月15日，《民法總則》獲第十二屆全國人民代表大會第五次會議審議通過，個人信息保護條款被規定在第111條之中。至此，個人信息保護正式進入到民法典的之中。

一、從數據信息到個人信息

一般認為，《民法總則》第111條實際上表明立法者將個人信息權作為一項民事權利進行保護[1]。然而，從其內容表述來看，僅能夠肯定的是立法者試圖將個人信息作為一種民事權利客體載入民法典，但無從認定該條文確立了個人信息權。目前，個人信息屬于何種民事權利客體的問題仍待解答。從個人信息與數據信息的區分來看，個人信息總體上應屬于作為具體人格權的個人信息權的客體，除個人信息以外的數據應屬于無形財產權的客體。

（一）作為財產權客體的數據

數據本指一切存儲于電子介質中的信息。存儲于電子介質之中的個人信息、網絡虛擬財產本質上都屬于數據的一種。數據一般被認為屬于財產權的客體。具體而言，有“物權客體說”、“知識產權客體說”、“無形財產權客體說”三大學說。

“物權客體說”指出，物權債權二分的“二元體系”應得到堅持。以網絡虛擬財產為例，民事主體對這類信息所享有的權利應屬于支配權、絕對權，適用物權規則[2]。另外，有學者將信息區分為人體信息與物體信息，認為后者與物權緊密相連，物權人對物體信息享有處理權、實施權[3]。

“知識產權客體說”認為，數據應屬于知識產權客體。數據的使用由許可證決定、甚至在個人信息的公開使用的許可中都與許可使用制度極為相似[4]。因此，也有學者進一步認為，公開權也是特殊知識產權[5]。另外，“民法總則（草案）”第一次審議稿中也將數據規定為知識產權客體。

“無形財產權說”主張，“信息財產不是物也不是知識財產”[6]，財產權客體包括有體物、知識財產和數據。美國《統一計算機信息交易法》便將信息財產權作為知識產權的上位權利，準用物權的一般規定[6]。另外，不少學者認為，個人信息與一般的數據一樣，也屬于無形財產權客體[7]。

筆者認為，除個人信息以外的數據均應歸屬于無形財產權的客體，理由如下：一方面，信息不是民法上的物，不能作為物權客體。民法上物的概念限于占據一定空間的且能為人所控制的有體物[8]。信息雖能為人所控制，但并不占據物理空間，不符合物的概念定義。同時，信息亦非準物權的客體。準物權是指采礦權、漁業權、水權等是對自然資源的開發利用的權利。另外，信息的載體的所有權人與信息的權利人也并不能等同。云存儲、云計算、信息交易等信息處理也常常離開物的載體[6]。另一方面，許多數據本身并沒有獨創性，并非智力成果，不屬于知識產權客體。其準用知識產權的利用規則，并不代表便屬于知識產權。知識產權本身即無形財產權的一種類型[9]140。數據整體應屬于知識產權的上位概念，即無形財產權的客體。也就是說，屬于智力成果的數據為無形財產權中的知識產權客體，包括網絡虛擬財產在內的其他數據為其他無形財產權客體。

（二）作為人格權客體的個人信息及商業利用

與其他數據不同，個人信息具有獨特的概念、內涵，且有很強的人格屬性，因此需從數據信息中抽離出來作為人格權的客體。同時，人格權的商品化理論也可以解決個人信息的財產屬性問題。

我國新近通過的《網絡安全法》第76條第5款規定，“公民個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別公民個人身份的各種信息，包括但不限于公民的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”

這一定義采取了識別性的標準，符合世界對個人信息的一般界定?！兜聡摪顐€人資料保護法》第2條規定，個人資料指“凡涉及特定或可得特定的自然人的所有屬人或屬事的個人資料”[10]5。歐盟《數據保護指令》第2條規定“個人信息指有關任何的識別或能識別自然人的信息”。2007年，歐盟《數據保護指令》第29條工作組進一步指出，任何人只要有憑特定信息識別特定自然人的可能性的，該信息便屬于個人信息[11]。

筆者認為，在民法典及個人信息保護法立法中必須重視信息的“聚合效應”，為防止信息比對后對自然人造成的侵害，對個人信息識別性的理解宜采歐盟第29條工作組的建議。

從個人信息的概念及界定標準可見，其重點在于對自然人的一切可能的識別，這種識別功能與自然人的人格利益密切相關[10]48。個人信息保護的首要目的即在于保護自然人的人格權。如日本《個人信息保護法》第3條明確規定：“應當在尊重個人人格的理念之下慎重處理個人信息” [12]。我國臺灣地區“個人資料保護法”第1條亦明確載明立法目的在于“避免人格權受侵害”[13]。

因此，個人信息應與屬于財產權客體的數據相區別，作為人格權客體。誠如弗洛里迪教授（Floridi L.）所指，自然人對個人信息所主張的是信息作為自身的一部分構建的屬性，而非作為其法律財產的所有權屬性[14]。另外，從“個人信息財產權”理論本身來看，其一方面有物化人格之嫌，另一方面也不利于個人信息保護[15]。當前，信息交易市場規則及個人信息保護規則尚未完善，個人信息的財產權化還可能導致個人信息以對信息主體不利的方式在信息不對等的信息交易市場中向處于優勢地位的信息使用者轉移[16]77。

個人信息的商品化利用是“工業4.0”時代下個人信息保護無法回避的問題。“工業4.0”時代中，企業通過掌握海量的客戶信息進行大數據分析，人、機器與信息有機聯動構成一個智能化生產整體[17]25-45。

對于個人信息的商業利用，有學者提出了“財產權與人格權雙重客體說”。 如劉德良教授主張，人格信息是一種權利對象而非權利客體，人格權保護的客體是個人信息上的人格利益，而非作為人格要素的個人信息本身。個人信息在被商業利用時，應視為對財產權的侵害[18]。吳漢東教授也認為，人格權商業利用所產生的權利屬于無形財產權[9]160?；诖擞^點，不少學者認為附著于個人信息人格要素的經濟利益屬于財產權的保護范圍[19]，個人信息的保護也具有防止人格及財產的受到侵害的雙重目的[18]。

筆者認為，上面的觀點混淆了人格權與人格利益的區別。人格權并不排斥對財產利益的保護。作為標表型人格權的姓名權、肖像權也具有受保護的財產利益[20]。1953年美國聯邦法院通過“哈蘭實驗室公司訴托普斯口香糖公司案”肯定了肖像具有的商品化價值，從而創設了公開權[21]259。1956年德國聯邦法院亦通過判例認可了肖像權的財產價值。此后，姓名、名聲等人格特征的財產價值也得到法院的確認[21]281。大陸法系國家一般將公開權稱商品化權并認為其屬于相應具體人格權的組成部分[22]141。誠如五十嵐清教授所言，侵害人格權常常也會造成財產損失，違背自然人意愿將姓名或肖像商品化也常造成自然人精神痛苦，因此將商品化權定位為具體人格權的一部分，不存在理論障礙[22]146。個人信息的商業利用就是人格權商品化的體現。

也恰由于個人信息的商業利用是人格權商品化而非個人信息的財產權化，涉及個人信息的交易形成需受到法律的額外限制，其無法直接適用財產權的交易、繼承規則。如2000年美國Toysmart公司便因在破產清算時于《華爾街時報》公開刊登出售客戶信息的廣告而被起訴。美國法院判決認為，雖然Toysmart公司合法持有相關客戶信息，但為保護消費者隱私權，其不得單獨出售客戶信息。其只能在破產法庭批準時的特定條件下，才能將客戶信息連同其網站整體出售給明確同意繼受客戶信息的買方。若法庭不批準相關出售計劃，其必須刪除所有客戶信息[23]。又如2004的一個美國案例更涉及個人信息的繼承問題。一位父親在其兒子死亡后希望得到其保存在雅虎郵箱中的照片及其他資料以作紀念，但雅虎公司拒絕向其提供郵箱賬戶密碼。美國法院認為，這并非一個單純的繼承法問題，其兒子不一定希望其保存在郵箱中的個人信息被父親獲取，雅虎公司無須直接將賬戶密碼告知其父親，但應將相關資料刻錄在光碟上進行交付[24]。

可見，從財產權的角度對個人信息缺乏解釋力。對個人信息客體屬性問題，應撥開了信息產權的迷霧，從人格權角度進行分析。個人信息與人格利益密切相關的屬性決定著其屬于人格權客體。個人信息的人格權保護并不排斥個人信息的商品化[25]。在個人信息的商品化利用中，保護人格也處于第一位的優先順序。

（三）作為具體人格權的個人信息權

具體而言，個人信息應屬于作為具體人格權的個人信息權的客體。

有學者認為，個人信息屬于一般人格權的客體。如馬俊駒教授便曾指出，個人信息所體現的利益屬一般人格權的范疇[26]。筆者并不贊同這一觀點。誠然，在前信息社會，對個人信息的侵害并不常見，將個人信息放置于一般人格權之中，法院通過在利益平衡下的根據個案進行裁量，足以解決個案中出現的問題。然而，在當今信息社會下，對個人信息的各種處理、使用行為極為常見，相關個人信息保護規則也逐漸得以確立。個人信息權有從一般人格權中具體化的必要性。

個人信息權是一種具體人格權。個人信息權是指本人依法對其個人信息所享有的支配、控制并排除他人侵害的權利[27]。其既有消極的權能，亦有積極的權能。參照歐盟《數據保護指令》的相關規定，個人信息權有知情權、進入權、修改權、反對權、刪除權、不受完全自動化決定約束權等權能內容[28]。

人格權的內容范圍在時代的發展中不斷得到擴充，姓名權、名譽權、肖像權、隱私權等傳統具體人格權已無法涵蓋個人信息保護的內容。個人信息權強調的不是單純地保護姓名、肖像、隱私信息的不被非法竊取、使用或傳播，而是強調對任何能識別到特定信息主體的信息的保護，而不論這些信息是否已經公開，其強調個人對個人信息享有知情、修改、控制的積極權能，同時兼顧保護個人信息的精神價值與財產價值。

有些學者從美國法上的隱私權理論出發，認為個人信息屬于隱私權保護的客體[29]。然而，美國法上的隱私權范圍極廣，其大致相當于大陸法系上的一般人格權。中國法意義上的隱私權重在保密，而秘密性卻并非個人信息的特性，公開的個人信息也受法律保護。另外，隱私權屬自由型人格權，主要是保護自然人精神自由的價值，而個人信息權則屬標表型人格權，兼具精神與財產價值[30]。

不難發現，唯在個人信息權視角下，才能對類似的個人信息收集、存儲、利用行為加以合理分析。2012年一個轟動美國的案例充分體現了在個人信息開發利用上傳統人格權及財產權理論的無力。該事件中，商家通過對某未成年少女上網記錄數據進行分析預測，給她們家寄發了孕婦及嬰兒產品的廣告。通過這些廣告，其父親才得以發現自己女兒懷孕了[31]。相關預測性分析并沒有直接指出少女懷孕的秘密，無法構成對其隱私權的侵害。更不可能說收到廣告便會造成社會評價降低，導致名譽權侵害。該案的關鍵在于商家的信息處理行為是否合法，有無侵害個人信息權。另外，同年我國最高院的一起公報案例也說明了個人信息權缺失的困境。該案中，原告對于要求被告銀行刪除錯誤的信用記錄而銀行拒不刪除，因此原告以名譽權受侵害為由起訴至法院。然而，法院認為銀行信用記錄錯誤并不會造成社會評價降低的后果，不構成名譽侵權[32]。在個人信息權的視角下，顯然銀行的行為侵害了信息的刪除權、更正權。

具體而言，為構建一部的彰顯大寫的人的價值的民法典，應對個人信息的民事權利客體地位作出科學界定。從《民法總則》的規定來看，作為新型民事權利客體的信息應區分為個人信息與其他數據。如圖1所示，個人信息屬于人格權客體，其他數據屬于無形財產權的客體。其中，符合識別性定義的個人信息總體而言屬于作為具體人格權的個人信息權的客體（第111條），另外涉及的姓名、名譽、肖像、隱私等人格要素為姓名權、名譽權、肖像權、隱私權的客體（第110條）。屬于智力成果的數據為知識產權的客體（第123條），包括網絡虛擬財產在內的其他數據屬于其他無形財產權的客體（第127條）。

二、個人信息權載入民法典的現實意義

由于各國民法典大多在較早歷史時期完成制定，因此均未對個人信息的民事權利客體地位作出明確規定。當今，我國第五次啟動民法典編纂，正值全面依法治國的歷史機遇期，對個人信息權作出明確規定，既是在“工業4.0時代”、“大數據時代”、“互聯網+”的時代背景下對自然人權利進行全面保護的必然要求，也是將個人信息權研究的相關理論資源盡快轉化為適應時代發展潮流的立法成果的題中之義。

（一）響應時代呼喚，全面保護權利

法律均離不開其特定的歷史時代背景。在第一次工業革命時代下制定的《法國民法典》，體現了自由、平等的立法原則。而面臨第二次工業革命制定的《德國民法典》則引入了公平責任與責任保險。而第三次工業革命又催生出了電子商務法、電子證據法、互聯網法等規范[24]。當前，第四次工業革命的浪潮已經來臨，我國制定民法典“必須反映信息時代和大數據時代的特征”[33]。

第四次工業革命即“工業4.0”。2011年德國首次提出“工業4.0”這一概念，其強調的是通過信息技術和網絡物聯系統實現智能化制造[34]。在中國也被稱為“兩化融合”，即工業化和信息化的融合。“工業4.0”利用 CPS （Cyber Physical Systems信息物理融合系統），通過物聯網與服務網，以云計算和大數據為手段，將信息、資源和人聯系在一起，完成價值鏈上的無縫整合，實現“人機協作”、“萬物互聯” （IOE，Internet of Everything） [17]4。

“工業4.0”的核心就是互聯網+大數據[35]。3C技術（即計算Computation、通信Communication和控制Control）下智能化生產、個性化定制的前提是掌握海量的個人信息[36]。人們通過使用智能手機、電腦、WiFi，在網絡上留下了瀏覽記錄、購物記錄、地址信息、聯系方式、通訊記錄等海量的個人信息。這些個人信息涉及個人生活的方方面面，能對個人生活造成重大影響。

現實中，企業已經著手利用這些個人信息進行大數據分析，以實現用戶群體劃分、用戶關系管理、精準營銷、預測性分析、信用評價等功能[37]。同時，大數據交易市場也已經興起。2008年從事數據交易的美國Factual公司正式成立。2013年日本富士通公司也成立了大數據交易市場“Data plaza”。我國于2014年成立了中關村大數據交易產業聯盟，并于2015 年成立了全國首個大數據交易所—貴陽大數據交易所[38]。

誰對這些信息享有權利，如何合理保護、合法利用這些信息，已經成為當下必須解答的問題。同時，近年來個人信息泄露導致的悲劇層出不窮，以“徐玉玉案”為代表的慘劇說明，當下個人信息泄露已成為當前一個嚴峻的社會問題。這就是當前我們制定民法典不得不考慮的時代背景。

在民法典中載入個人信息權，將個人信息作為個人信息權的客體予以保護，并將個人信息權作為一種具體人格權進行規定，同時明確個人信息保護利用的基本規則，是“工業4.0”信息化社會對民法典制定所提出的必然要求[33]。

（二）理論資源豐富，轉化研究成果

個人信息權研究大致經歷了三個發展階段。第一階段是在計算機應用普及的背景下，對計算機處理個人信息相關問題的研究。早在1972年威斯丁（Alan F. Westin）便指出了計算機處理個人信息可能對個人權利造成威脅[39]。這一階段的研究具有提出個人信息保護問題的開創性意義。第二階段為在互聯網背景下，對個人信息的權利屬性、內涵外延的研究。如薩繆爾森（Pamela Samuelson）在2000年撰文以財產權視角對個人信息進行分析[40]。就個人信息的基本問題，學者們提出了多種理論與學說[41]。第三階段是在“大數據”、“云計算”背景下，對個人信息保護細則、保護機制具體設計上的問題研究。2009年維克托.邁克舍恩伯格（Viktor Mayer-Schnberger）便提出了“被遺忘權”問題[42]。個人信息權的具體權能、個人信息保護的“技術設計”問題日益得到學界重視[43]。

21世紀以來，我國亦涌現出一批關于個人信息的優秀學術成果。劉德良、孔令杰、齊愛民、郭瑜等專家學者均發表了相關研究專著[16][28][4445]。另外，關于個人信息的研究論文更是呈逐漸增多的趨勢。通過對“中國知網”刊載的論文進行統計分析，自2002年起關于個人信息的研究成果從未無到有，近年來更是實現了爆發式的增長。（見圖2）

圖2“個人信息權”研究成果統計

如前所述，個人信息權的具體人格權屬性逐漸得到國內主流學者認可[30]。個人信息私法保護的具體規則亦得到了較多的討論。在民法典中規定個人信息保護規則，已是眾多學者的共識[46]。隨著相關理論研究的成熟，在制定民法典的歷史機遇下，將豐富的理論資源轉化為立法，將個人信息權載入民法典既是可行的也是必然的。

（三）吸收先進經驗，完善制度建設

在第三次工業革命的計算機時代，發達國家和地區大多設立了個人信息保護的相關法律。自1970年德國黑森州頒布世界上第一部個人信息保護法《黑森州資料保護法》起[16]112，目前為止全球已有近50多個國家、地區和國際組織頒布了個人信息保護法律[47]52。影響較大的有1973年瑞典的《瑞典資料法》、1974年美國《隱私法》，1977年《德國聯邦個人資料保護法》、1978年《法國計算機與自由法》、1984年《英國個人資料保護法》、1988年美國《電腦對比和隱私保護法》、1980年經濟合作與發展組織《資料保護指導原則》、1981年歐洲理事會《有關個人數據自動化處理的個人保護協定》、1990年聯合國《數據保護指導原則》、1995年歐盟《數據保護指令》、2002年歐盟《隱私和電子通訊指令》、2005年亞太經合組織《隱私框架》等[45]57。我國臺灣地區與香港地區也分別于1995年、1996年頒布了“電腦處理個人資料保護法”與《香港個人資料（私隱）條例》[45]92。

近年來，為應對信息化社會帶來的新問題，相關立法大多被修訂或調整。如2012年起歐盟即對其數據保護體制進行改革，且與2016年通過了《統一數據保護條例》，對個人信息刪除權、個人信息儲存、利用范圍及方式、使用豁免等問題進行了細化規定[48]218。又如2010年，我國臺灣地區也通過了“個人資料保護法”修正案，修改后的法律對個人信息實行更全面的保護，而不僅僅限于“電腦處理的個人資料”，適用對象也不再限于公務機關[13]。從世界立法潮流可見，“工業4.0”背景下的信息化法制建設需要在一個一般性的保護規范的前提下細化個人信息保護規則。

目前，雖然我國暫無單獨的個人信息保護法，但近年來，隨著社會對個人信息保護呼吁的升溫以及學界對個人信息研究的深入，個人信息保護的相關立法不斷增多。如2009年“刑法修正案（七）”增加了出售、非法提供公民個人信息罪、非法獲取公民個人信息罪，2015年“刑法修正案（九）”更是拓寬了該罪的適用范圍。2012 年全國人大常委會通過《關于加強網絡信息保護的決定》對網絡個人信息保護提出了原則性的要求。2013年《消費者權益保護法》特別新增第29條對經營者收集、使用、存儲個人信息作出了限制性規定。2014年最高人民法院發布了《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》，并在其中明確規定保護個人信息。

尤其值得矚目的是2016年通過的《網絡安全法》中第四章“網絡信息安全”第40條到第45條首次在法律層面上規定了個人信息保護規則。其從個人信息的收集、使用、處理、保存、刪除、更正、信息安全維護方面對個人信息保護的基本規則作出了規定。然而，在責任承擔方式上，網絡安全法更多強調的是一種行政管理責任而非民事責任。

隨著最近《民法總則》的通過，個人信息保護被已載入民法典之中。在下一步民法典分則的立法工作中，進一步明確個人信息權的法律地位與具體規則，既符合為個人信息保護精細化立法的潮流，也能回應我國目前缺乏個人信息保護民事規范的立法現狀問題，解決司法實踐中新出現的侵害個人信息權的民事侵權糾紛。

三、民法典與個人信息保護體制構建

將個人信息作為個人信息權的客體載入民法典予以保護，是個人信息保護體制構建的重要環節。民法典中的個人信息權條款應在處理好其在民法典內部的體系關系的同時，考慮到與個人信息保護的其他法律法規之間的關系，構建一個科學合理且符合中國國情的個人信息保護體制。

（一）民法典中的個人信息保護結構

1.確立個人信息權。從條文的表述風格上來看，《民法總則》第111條顯然與該章節的其他條文不一致。除第111條以外該章的其余條款均屬于權利宣示性質，這些條款表明民事主體享有某種權利，或加之闡明該種權利之客體，唯獨第111條沒有明確宣示個人信息權為一種權利。建議在將來的司法解釋中明確個人信息權屬于自然人的具體人格權，并將該條作為自然人個人信息權的請求權基礎。

2.處理好總則與分則之間的關系。當前構建民法典，應是一個體系化的民法典而非疊床架屋式的民法典。對民法典的一再推敲，也在于力求行文科學、精確。個人信息權不僅包括消極權能而且注重積極權能，個人信息除不受非法利用侵害的內容外，權利人更有知情權、進入權、修改權、反對權、刪除權等積極權能。遺憾的是，這些積極權能在第111條中未能體現。筆者認為，在未來的人格權編或侵權編中，對此應予以規定，并將個人信息的收集、利用、加工、傳輸規則、舉證責任、侵權責任、豁免情形等予以細化。

另外，民法典中的個人信息保護并不限于作為人格權的個人信息權，個人信息保護還體現在許多其他民事法律關系之中。如家庭關系中個人信息的如何保護、個人信息的財產價值部分能否繼承、合同法中如何規范個人信息收集利用合同等問題都有待進一步研究。

（二）民法典與《網絡安全法》

《網絡安全法》通過后，依據其中第40條至第45條，個人信息保護有了較為明確的法律依據。未來民法典中個人信息權的立法需考慮與《網絡安全法》之間的關系。

未來民法典中的個人信息保護條款與《網絡安全法》第40條至第45條的關系應屬于一般法與特別法的關系?！毒W絡安全法》規范的范圍限于網絡中的個人信息保護法律關系。對于非線上的個人信息保護仍需依民法規范。對于線上的個人信息，根據特別法優先原則，優先適用《網絡安全法》的相關規定。

雖然《網絡安全法》第74條概括性地規定違反該法律需承擔民事責任，但并無具體對侵害個人信息權行為的侵權構成、舉證責任、責任承擔、免責事由等方面作出規定。也就是說，目前對于違反《網絡安全法》的相關規定，侵害自然人個人信息權的行為，權利人仍需依據《侵權責任法》第6條作為一般侵權行為起訴，或直接依據相關合同起訴。

然而，將侵害個人信息權的侵權行為作為一般侵權行為并不利于保護信息主體的利益。信息主體往往難以收集證據證明信息控制者存在過錯。因此，對侵害個人信息權的行為各國大多適用過錯推定原則，實行舉證責任倒置。如歐盟《數據保護指令》第23條第2款明確規定，“如果可證明其對造成損害的事項無責任，控制者可部分或全部免除該責任” [16]362。此規定頗值得我國未來民事立法借鑒。

對個人信息的利用往往涉及利益平衡。除了《侵權責任法》所規定的一般免責事由外，對個人信息的利用還存在特殊的豁免事由。以歐盟新近通過的《統一數據保護條例》為例，其中規定家庭豁免、表達自由、公共健康領域實現公共利益、歷史統計和科學研究的目的等幾類特殊豁免事由[48]289。在公共利益超越私人利益時，對個人信息的利用將阻卻不法。

在責任承擔方式上，個人信息權雖然作為一種人格權，但個人信息可被商業利用，傳統的人格權責任承擔方式由于缺乏對財產價值的損害賠償規定，往往不足以彌補權利人造成的損害。這也是人格權被強制商品化侵權的損害賠償問題。對此問題，未來民法典立法應采取學界通說，賦予被侵權人損害賠償請求權并以違法獲利數額確定賠償數額[22]150。

另外，雖然違反《網絡安全法》將導致相關合同約定無效，然而除此之外現行合同中法并無保護個人信息的任何其他手段?，F行合同法中，個人信息處理合同為無名合同。經常涉及個人信息相關條款的網絡合同又均為點擊合同或瀏覽合同。除了格式合同條款的相關規定外，點擊合同與瀏覽合同目前并無相關規定。目前，網絡之中充斥著許多權利濫用的條款，對信息主體維護個人信息權極為不利。未來民法典合同編中有必要對網絡合同、個人信息處理合同的具體規則加以規定。

（三）民法典與個人信息保護法

《網絡安全法》中的六個個人信息保護條文難以替代完全個人信息保護法的功能，一個完整的個人信息保護體制需要一部全面的專門立法。民法典的立法也應該考慮與未來個人信息保護法之間的關系。

十多年前，便有國內學者呼吁盡快設立個人信息保護法，并形成了相應的專家意見稿[49]。參照國外立法例，除基本原則、概念、適用范圍外，個人信息保護法主要還規定國家機構以及非國際機關對個人信息的收集、處理和利用、損害賠償、法律責任這幾個方面的內容[27]114。

雖然當前《網絡安全法》為個人信息保護設置了若干具體規則，然而由于其實質上并非針對個人信息的專門立法，未能對個人信息保護的具體方面作出較為周延的規定。如關于敏感個人信息的特別保護、立法中不完全列舉的個人信息的概念范圍、個人信息處理豁免的具體情形、個人信息的跨境流動、信息披露規則、個人信息權具體權能的具體行使規則、損害賠償規則、行業自律等重要內容，《網絡安全法》中均未能體現。因此，目前仍有必要設立個人信息保護法。

個人信息保護法在性質上屬于專門為解決個人信息保護問題而設立的法律，屬于領域法。其中既有規范行政機關收集、處理和利用個人信息的公法規范，也有規范民事主體收集、處理和利用個人信息的私法規則[45]732。

在涉及具體民事權利義務規則上，個人信息保護法系民法的特別法，能起到對個人信息權各項權能細化的作用。另外，個人信息保護法也具有一定的公法屬性，其強調利益平衡，適用行政法上的比例原則，在具體適用規則上與一般的民法規則不同。在個人信息權的民事權利保護上，民法典與個人信息保護法分工不同，其共同維護自然人的個人信息權。

（四）個人信息保護體制展望

當前，我國應選擇集中立法模式，整體規劃個人信息保護體制。同時，亦應重視發揮行業自律機制的作用，并通過作為民法法源的行業慣例保護個人信息權。

1.個人信息保護模式的選擇。當前世界各國個人信息保護主要存在兩種模式：一是以美國為代表的“行業自律、分散立法”模式，該模式下個人信息保護法律規范散見于諸多立法之中，實踐中個人信息保護也主要依賴于行業規約；二是以歐盟為代表的“政府主導、集中立法”模式，其通過制定一部專門的個人信息保護法以保護個人信息，并常常設置有專門的個人信息保護機構[47]52。

基于我國的立法及司法傳統，我國應采取集中立法模式，制定個人信息保護法。個人信息法在個人信息保護體制中居于核心的統帥地位。其民法典中的個人信息權規范、刑法以及其他法律法規之中的個人信息保護規范共同組成個人信息保護體制，實現維護人格尊嚴、保持人格自由與發展人格自由的最終目標。

2.倡導行業自律。完善的個人信息保護體制離不開行業自律規則的構建。美國行業自律模式下的“安全港”模式亦不乏可資借鑒之處。在“安全港”模式下達到法定個人信息保護最低要求的行業規約經過國家機關審查批準后獲得法律效力，企業只要遵循該行業規約便是合法安全的[27]194200。另外，近年來在行業自律中還出現了“自設計保護個人信息”的概念。其強調“個人信息保護嵌入到各類技術設計規范中去” [47]128。這一概念已被歐美相關個人信息保護規范所采用[47]133。從民事法律規范的角度來看，一套行之有效的行業規范無疑可視為行業慣例作為民法法源，與未來民法典中的個人信息權保護條款相互呼應，并對之形成有益補充。

綜上，在個人信息保護體制中，民法與其他個人信息保護法律法規甚至行業規范均存在有機的聯動關系?！肮I4.0”時代中，在民法典中載入個人信息權并明確個人信息權的具體人格權地位，不僅是充分保護自然人權利的必然要求，更是科學構建個人信息保護體制的重要環節。

[參考文獻]

[1]荊龍.民法總則草案二審稿提交審議[N].人民法院報，20161101（1）.

[2]林旭霞.虛擬財產權性質論[J].中國法學，2009（1）：8898.

[3]李俊峰.“泛在網絡”社會中的信息權利確認[J].東方法學，2015（3）：4759.

[4]韓強.人格權確認與構造的法律依據[J].中國法學，2015（3）：138158.

[5]劉春霖.商品化權論[J].西北大學學報：哲學社會科學版，1999（4）：5458.

[6]齊愛民.論信息財產的法律保護與大陸法系財產權體系之建立：兼論物權法、知識產權法與信息財產法之關系[J].學術論壇，2009（2）：145152.

[7]楊曉嬌.關于個人實名信息的財產權屬性問題[J].情報科學，2015（2）：126131.

[8]卡爾·拉倫茨.德國民法通論（上冊）[M].王曉曄，邵建東，等，譯.北京：法律出版社，2013：380.

[9]吳漢東.無形財產權基本問題研究[M].北京：中國人民大學出版社，2013.

[10]齊愛民.個人資料保護法原理及其跨國流通法律問題研究[M].武漢：武漢大學出版社，2004.

[11]Article 29 Data Protection Working Party （2007）.Opinion 4/2007 on the Concept of Personal Data 01248/07/EN/WP 136 （June 20， 2007）[EB/OL].（20070720）＼[20161204＼].http：//ec.europa.eu/justice/dataprotection/article29/documentation/opinionrecommendation/files/2007/wp136_en.pdf，20161116.

[12]范姜真媺.他律與自律共構之個人資料保護法制：以日本有關民間法制為主[J].東吳法律學報，2009（1）：163200.

[13]蔡朝安.個人資料保護實務：以遵法及風險管理為中心[J].資訊安全通訊，2013（3）：8095.

[14]Floridi L.The ontological interpretation of informational privacy[J].Ethics and Information Technology，2005（4）：195.

[15]洪海林.個人信息的民法保護研究[M].北京：法律出版社，2010：70.

[16]孔令杰.個人資料隱私的法律保護[M].武漢：武漢大學出版社，2009.

[17]韋康博.“工業4.0”時代的盈利模式[M].北京：電子工業出版社，2015.

[18]劉德良.民法學上權利客體與權利對象的區分及其意義[J].暨南學報：哲學社會科學版，2014（9）：113.

[19]李建偉，鄭其斌.論人格信息財產權—附著于人格要素的經濟利益的定位與保護[J].河南社會科學，2009（4）：8488.

[20]齊愛民.個人信息保護法研究[J].河北法學，2008（4）：1533.

[21]王澤鑒.人格權法：法釋義學、比較法、案例研究[M].北京：北京大學出版社，2013.

[22]五十嵐清.人格權法[M].（日）鈴木賢，葛敏，譯.北京：北京大學出版社，2009.

[23]熊鍵.從Toysmart.com案例看美國對消費者網上隱私權的保護[M]∥網絡經濟與法律論壇（第1卷）.北京：中國監察出版社，2002：172176.

[24]朱巍.互聯網+對民法典編撰的影響[J].國家檢察官學院學報，2016（3）：315.

[25]李榮耕.個人資料外泄及個資外泄通知條款的立法芻議[J].東吳法律學報，2009（4）：251291.

[26]馬俊駒.個人資料保護與一般人格權[M]∥個人資料保護法原理及其跨國流通法律問題研究.武漢：武漢大學出版社，2004：1.

[27]齊愛民.拯救信息社會中的人格：個人信息保護法總論[M].北京：北京大學出版社，2009：137.

[28]劉德良.論個人信息的財產權保護[M].北京：人民法院出版社，2008：55.

[29]張紅.人格權各論[M].北京：高等教育出版社，2015：522.

[30]王利明.論個人信息權的法律保護：以個人信息權與隱私權的界分為中心[J].現代法學，2013（4）：6272.

[31]JensErik Mai.Big data privacy： The datafication of personal information[J].The Information Society，2016（3）：192.

[32]周雅芳訴中國銀行股份有限公司上海市分行名譽權糾紛案 [EB/OL].（20161116）＼[20161204＼].http：//www.pkulaw.cn/case，20161116.

[33]王利明.中國民法典的時代特征[J].人民法治，2016（3）：1416.

[34]李樂平.“工業4.0”：中國式“工業4.0”的轉型之路[M].北京：北京理工大學出版社，2016：83.

[35]周凱歌，盧彥.“工業4.0”：轉型升級路線圖[M].北京：人民郵電出版社，2016：138.

[36]夏妍娜，趙勝.“工業4.0”：正在發生的未來[M].北京：機械工業出版社，2015：81.

[37]劉士軍，王興山，王騰江.“工業4.0”下的企業大數據：重新發現寶藏[M].北京：電子工業出版社，2016：281282.

[38]王玉林，高富平.大數據的財產屬性研究[J].圖書與情報，2016（2）：2935.

[39]Meg Leta Ambrose.Speaking of forgetting： Analysis of possible nonEU responses to the right to be forgotten and speech exception[J].Telecommunications Policy 2014（38）：801.

[40]Pamela Samuelson. Privacy as intellectual property？[J].Stanford law review，2000（52）：1125.

[41]張里安，韓旭至.大數據時代下個人信息權的私法屬性[J].法學論壇，2016（3）：119129.

[42]維克托.邁克舍恩伯格.刪除：大數據取舍之道[M].袁 杰，譯.杭州：浙江人民出版社，2013：16.

[43]郭戎晉.論個人資料保護法制中“技術設計”入法之趨勢：以歐盟為觀察對象[J].資訊安全通訊，2013（3）：6579.

[44]郭瑜.個人數據保護法研究[M].北京：北京大學出版社，2012.

[45]齊愛民.大數據時代個人信息保護法國際比較研究[M].北京：法律出版社，2015.

[46]楊詠婕.個人信息私法保護制度的民法典構建[J].人民論壇，2016（17）：124126.

[47]崔聰聰，鞏姍姍.個人信息保護法研究[M].北京：北京郵電大學出版社，2015.

[48]高富平.個人數據保護和利用國際規則：源流與趨勢[M].北京：法律出版社，2016.

[49]齊愛民.中華人民共和國個人信息保護法示范法草案學者建議稿[J].河北法學，2000（6）：25.

（責任編輯 江海波）

Personal Information Right and the Civil Code

HAN Xuzhi

（School of Law， Wuhan University， Wuhan 430072， Hubei， China）

Abstract：As an object of civil rights， personal information，is included in Article 111 of the “General Principles of Civil Law”. According to the distinction between personal information and data information， data should belong to the object of intangible property， and personal information should belong to the object of personal information right，which is a specific personality right. In the “industrial 4.0 era”， in order to fully protect the rights of individuals， personal information right needs to be written in the civil code. Specifically， in order to build a scientific personal information protection system，the legislation of personal information right should not break the civil code internal system's harmonization， and handle the relationship between the civil code， the personal information protection law and the “Network Security Law” delicately.

Key words：personal information right； personality right； civil code；general principles of the civil law； industrial 4.0