從“豐菜之爭”看個人信息上的權利構造

任丹麗

（東南大學法學院，江蘇南京211189）

短短三天，電商巨頭阿里系的菜鳥網絡（以下簡稱：菜鳥）與國內快遞老大順豐速運（以下簡稱：順豐）相互關閉互通數據接口的“豐菜之爭”基本落幕。在國家郵政局的干預下，從2017年6月3日12時起，菜鳥順豐雙方已全面恢復業務合作和數據傳輸。據了解，這是國家郵政局第二次出手解決菜鳥順豐之爭。①參見胡嘉莉：《菜鳥順豐互懟暫停重新合作籌碼是啥》，《中華工商時報》2017年6月5日，第1版。看似沒有競爭關系的電商業和快遞業，上演愈演愈烈的數據之爭，足以說明數據在現代社會的價值。然而，他們對用戶數據享有何種性質的權利，他們對于數據安全負有怎樣的義務，用戶作為數據主體的權利如何保障，面對數據泄露數據主體能夠如何救濟，這些問題不能隨著“豐菜之爭”的結束而停止討論。

一、“豐菜之爭”的實質是用戶信息控制權之爭

2017年6月2日，菜鳥率先發布了《菜鳥關于順豐暫停物流數據接口的聲明》，稱5月31日晚上6點接到順豐發來的數據接口暫停告知；6月1日凌晨，順豐就關閉了自提柜的數據信息回傳；6月1日中午，順豐又進一步關閉了整個淘寶平臺物流信息的回傳。針對菜鳥的這一聲明，順豐方面則給予反駁，稱菜鳥單方面于6月1日零點切斷豐巢（由順豐主導建立的智能快遞柜系統）信息接口，6月1日上午11時，順豐才停止對阿里系平臺的物流詳情推送。順豐并稱菜鳥之所以封殺順豐，背后原因是阿里方面希望順豐放棄使用騰訊云改用阿里云。②菜鳥、順豐兩家公司的核心爭議點在于，雙方是否有超越權限查詢用戶數據的行為，以及誰先關閉了互通數據接口。雙方均指責對方調取的用戶信息超過合理使用范圍，存在泄露用戶信息的安全隱患。直到宣布和解，外界仍然不知道兩家誰最先關閉了互通數據接口，以及到底是否涉及用戶個人信息安全。③參見靳麗君：《菜鳥順豐之爭，用戶權益該如何保障》，《檢察日報》2017年6月8日，第1版。從中可以梳理出兩家的爭議焦點：雙方爭奪的物流信息是什么；企業是否有權收集這些來自用戶的信息；企業是否有權直接獲取由其他平臺收集的個人信息。

（一）個人信息與個人數據在內容層面可以通用

按照《中華人民共和國網絡安全法》（以下簡稱：《網安法》）第76條第4項和第5項的規定，網絡數據與個人信息是表里關系。個人信息（如筆者于本文中論及的因使用快遞服務而填寫的收／寄件人的姓名、電話和地址）被服務商收集后以電子數據的形式存儲在服務器上，甚至被其他主體獲取，其貌似“數據”實際強調的是形式，“信息”強調的是內容；立法者規范的個人信息和個人數據都是以內容為實質對象的，可以等同。④《信息安全技術—個人信息保護指南》（GB／Z 28828-2012）是指我國首個個人信息保護的國家標準。該指南3.2規定：“個人信息（personal information）是可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。”這一規定也是將數據與信息互為表里使用和對待的。鑒于我國相關規范性文件多采用“信息”的稱謂，除國外立法中的data翻譯為“數據”，以及涉及大數據交易的論述之外，筆者于本文中統一表述為“信息”。

在國際立法層面，也存在個人信息和個人數據混用的情況。有的使用“data（數據）”，如歐盟1995年的《個人數據保護指令》（Directive 95／46／EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data）及2016年4月發布的《一般數據保護條例》（The EU General Data Protection Regulation），⑤歐盟《個人數據保護指令》（95／46／EC）第2條規定：“個人數據指與一個身份已確定或身份可確定的自然人（數據主體）相關的任何信息；身份可確定的人是指其身份可以直接或間接，特別是通過身份證件號碼或一個或多個與其身體、生理、精神、經濟、文化或社會身份有關的特殊因素來確定的人。”［德］Christoper Kuner：《歐洲數據保護法——公司遵守與管制》（第二版），曠野、楊會永等譯，法律出版社2008年版，第97-98頁。英國、德國、新加坡、馬來西亞等國家都制定有《個人數據保護法》。有的國家使用“information”（信息）的概念，如加拿大《個人信息保護和電子文件法》（Personal Information Protection and Electronic Documents Act）等。在美國有關立法中，“信息”的外延明顯大于“數據”。美國《統一計算機信息交易法》（UCITA）第102條a（35）和a（10）規定的“信息”是指數據、文本、圖像、聲音、計算機集成電路布局平面圖作品、或計算機程序及上述對象的集合或匯編；“計算機信息”是指以電子形式存在的信息。⑥參見周忠海主編：《電子商務法導論》，北京郵電大學出版社2000年版，第392-399頁。

（二）網絡平臺需依法獲取個人信息

筆者于本文中提到的法律和指南，都對個人信息的獲取和使用進行了明確規定（如《網安法》第22條第3款）。個人信息作為民事權利客體正式規定在《中華人民共和國民法總則》（以下簡稱：《民法總則》）（第五章）第111條：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”“為了適應互聯網和大數據時代發展的需要”，⑦李建國：《關于〈中華人民共和國民法總則（草案）〉的說明——2017年3月8日在第十二屆全國人民代表大會第五次會議上》，《人民日報》2017年3月9日，第5版。《民法總則》還在第127條對數據、網絡虛擬財產的保護進行了原則性規定。這一規定較為原則，主要是考慮到數據、網絡虛擬財產的種類的復雜性和不斷發展變化的特征。⑧參見張鳴起：《〈中華人民共和國民法總則〉的制定》，《中國法學》2017年第2期。雖然《民法總則》在規范網絡平臺獲取個人信息的程序方面不如《網安法》第41條規定得詳細，⑨《網安法》第41條規定：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。”但是其堅持強調網絡平臺收集、使用、加工、傳輸個人信息的合法性。網絡平臺獲取個人信息需要經過信息主體的同意，同意的方式主要表現為隱私協議。按照《網安法》第42條的規定，除了合法性要求以外，信息主體還可以依照隱私協議的約定行使相應的債權。未經信息主體的同意擅自處分個人信息的，也屬于違法行為。⑩《網安法》第42條規定：“網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。”可見，順豐和菜鳥雙方互相指責使用對方系統中的個人信息，就有可能都在侵害信息主體的權利。即使雙方存在合作關系，雙方能否對存儲在各自服務器上的個人信息自由支配，也應取決于個人信息上存在的權利或利益的性質，以及相關主體的權利或利益的內容。

二、個人信息控制權的性質因人而異

據公開資料顯示，菜鳥是阿里巴巴集團旗下的物流數據平臺，旨在進行數據整合，對接買賣雙方。買家在淘寶下單發貨后，菜鳥向順豐等快遞公司提供買家手機號碼等信息，快遞公司則向菜鳥回傳物流信息。這樣，在兩家數據共享的基礎上，賣家和買家都能夠方便地在電商平臺上追蹤包裹軌跡。①參 見前注③，靳麗君文。從中不難發現，個人信息的控制者除了信息主體以外，還可能是信息的處理者和信息的控制者。②按照歐盟《一般數據保護條例》的規定，與數據相關的主體包括數據主體（data subject）、數據控制者（data controller）和數據處理者（data processor）。參見田新月：《歐盟〈一般數據保護條例〉新規則評析》，載肖永平主編：《武漢大學法學評論》（總第十九卷），武漢大學出版社2016年版，第467-469頁。

（一）信息主體的控制權是人格權

個人信息來源于與自然人密切相關的信息。以美國為代表的發達國家，率先采取隱私權保護模式。在外延上，個人信息顯然比隱私更為廣泛，包括任何與主體的身體特征或身份有關的信息，諸如姓名、出生日期、教育背景、職業、身份證件號碼、個人身體特征、指紋、婚姻、醫療及病例、犯罪前科、個人及家庭財務情況、家庭住址、通信聯絡方式等信息或數據。用保護隱私的方法來保護個人信息，尚存在性質、內容、客體范圍、保護方式等方面的差異。

多數學者認為個人信息權屬于隱私權或者人格權。在網絡空間中，信息即是自然人的存在形式，自然人即是信息，相關的信息即可表征自然人。③參 見譚建初、李政輝：《論互聯網中的隱私權：由一則案例談起》，《河北法學》2001年第2期。基于個人信息與主體如此密不可分的聯系，個人信息權也很自然地被劃入人格權的范疇。少數學者認為個人信息權還包括財產權。齊愛民教授從人格權和財產權的兩個角度，將個人信息視為新型人格權客體。④參 見齊愛民：《私法視野下的信息》，重慶大學出版社2012年版，第1-5頁。劉德良教授主張個人信息財產權是主體對其個人信息的商業價值進行支配的一種新型財產權。⑤參 見劉德良：《個人信息的財產權保護》，《法學研究》2007年第3期。還有的學者支持個人信息財產化的觀點。⑥參見洪海林：《個人信息財產化及其法律規制研究》，《四川大學學報（哲學社會科學版）》2006年第5期。可見，個人信息權即使被納入人格權的范疇，也是具有鮮明的財產利益的人格權，這是《民法總則》在是否直接規定個人信息權問題上一直搖擺不定的原因。也正因為如此，在我國，個人信息權沒有被我國《民法總則》規定為法定的權利類型，立法者只能將個人信息作為一種人格利益，在“民事權利”一節中規定對個人信息的法律保護，卻無法明確規定個人信息權的內容、性質等。事實上，部分人格要素具有商業利益并且可以商品化使用，并非始于個人信息，這些利益的存在并沒有改變人格權的本質屬性。

1.人格權商品化并非始于個人信息

商品化人格權一方面是由人格權發展而來，具有人的尊嚴價值，另一方面又在市場經濟條件下具有經濟價值屬性。將其放在傳統人格權或是財產權中都不能完全反映其所具有的特質，也不能合理解決其所引爭議問題，由此帶來了對傳統人格權、財產權理論的挑戰。

人格權的經濟內涵是市場經濟下顯現出來的客觀事實，不是學者們邏輯推演出的新命題。只是囿于一定時期思想觀念或公序良俗的要求，只能謹慎地承認一定范圍內的人格權具有經濟利益。一般而言，越是接近于人格利益核心部分，越難為商業所利用。例如生命、健康、身體等物質性人格權客體作為商品很難為人們所接受，而姓名、肖像等標表型精神人格權客體以及信用等部分尊嚴型精神人格權客體的商品化則更容易被大眾認可。當然，即便是物質性人格權的客體，在與權利主體發生分離時也有可能成為財產，例如捐獻的血液，已取出的可用于移植的器官、精子等都可以標價出售（基于倫理考慮限制此類交易另當別論）。由此可見，從人格到財產具有相當大的轉化空間，未來實踐的發展狀況并非現在的人們所能準確預測。就目前而言，姓名、肖像、聲音、名稱等標表型精神人格權具有經濟利益并且可以被商品化，這點已經成為共識。

2.信息主體可以通過許可使用取得報酬

對于匿名數據，數據庫的制作者可能享有著作權，可以按照著作權法的相關規定實現數據交易。⑦數據交易在中國已成現實。按照貴陽、武漢、北京等大數據交易中心的規則，交易的數據基本上都是“清洗”后的匿名數據。對于個人信息，其鮮明的人格色彩決定了對其交易的規則應具有特殊性。有學者主張為了更加充分地開發人格權中的經濟利益，應該允許人格權的有限轉讓，即通過法律明確規定幾種具體的可商品化人格權的經濟利益可以轉讓。⑧參見李錫鶴：《民法哲學論稿》，復旦大學出版社2000年版，第182頁。然而，商品化人格權本質上仍是人格權，其附屬的經濟利益與財產權中蘊含的經濟利益是不同的。人格權與人作為主體的尊嚴價值息息相關，轉讓意味著一項權利由一方完全移轉于另一方，受讓方將取得對權利的完全支配，出讓方將喪失對權利的所有控制。如果真的允許權利人將自己的某一項人格權完全移轉于他方，而自己喪失對該項權利的控制，即使該控制只限于商業利用方面，也很難想象該出讓人還能繼續保持其作為人的完整性。所以，允許人格權的轉讓，即使只是少數標表型人格權客體的有限轉讓或者只是某項人格權商業化利用權能的轉讓，都與人的倫理性相違背，都會妨害人格權保障人格獨立、自由、平等和尊嚴的終極目標。因此，將商品化人格權許可給他人使用，只能是部分人格權商業利用權能的轉移，并非人格要素永久性地與權利主體相分離，不能稱之為轉讓。

商品化人格權中的經濟利益經由他人得以實現，可以借鑒知識產權法建立商品化人格權的許可使用制度，賦予權利人許可他人商業化使用其人格標識的權利。許可使用關系建立以后，人格權人并不喪失某項人格權或人格權中的某項權能。商品化人格權的許可也可分為普通許可、排他許可和獨占許可---普通使用許可合同的被許可人經人格權權利人明確授權，可以提起訴訟；排他使用許可合同的被許可人可以和人格權人共同起訴，也可以在人格權權利人不起訴的情形下，自行提起訴訟；獨占使用許可合同的被許可人是適格原告，可以以自己的名義提起訴訟。人格權權利人和商家可以根據不同情況和需要簽訂某一類型的許可合同，這樣就解決了學者們所爭議的應否賦予授權使用合同“物權性”以使被許可人得以對抗第三方侵權者的問題。

報酬請求權實現的障礙在于，從現有數據保護立法的具體內容來看，無一例外都沒有規定信息主體請求信息收集者支付報酬的權利。⑨參見藍藍：《網絡用戶個人數據權利的性質探析》，載張平主編：《網絡法律評論》（總第16卷），北京大學出版社2012年版，第8頁。這使忽略個人信息財產性利益的危害，走向了無視個人信息人格屬性的另一個極端。目前國內外已經有一些學者主張基于“信息有價”的社會觀念、全面保護網絡用戶利益及促進信息流動等需要，應當將信息主體的報酬支付請求權在法律中作出規定。⑩參見 Catherine M.Valerio Barrad，Genetic Information and Property Theory，87 Northwestern University Law Review1068，1070（1992）；Paul M.Schwartz，Property，Privacy and Personal Data，87 Northwestern University Law Review 2069，2071（1992）；齊愛民：《個人資料保護法原理及其跨國流通法律問題研究》，武漢大學出版社2004年版，第136-137頁。齊愛民教授給“個人信息權”下的定義就是，依法對其個人信息所享有的支配、控制并排除他人侵害的權利，其權利內容具體包括信息決定權、信息保密權、信息查詢權、信息更正權、信息封鎖權、信息刪除權和報酬請求權。①參見齊愛民：《信息法原論——信息法的產生與體系化》，武漢大學出版社2010年版，第81-85頁。

（二）信息處理者的控制權可能是著作權

按照貴陽大數據交易所負責人的介紹，該所交易的是基于底層數據，通過數據的清洗、分析、建模、可視化后的數據，并不直接交易底層數據。在進入平臺交易前，數據都要經過脫敏，抹去與隱私相關的信息，保障普通人的隱私。該交易所還嚴格控制交易所的會員準入制度，申請加入交易所的會員必須接受嚴格的資質及信譽審查。此外，數據買家也必須遵守交易所制定的保護條例，不得私自轉售、泄露“數據產品”，以確保數據不被濫用。②參見邱玥：《大數據時代的數據買賣》，《光明日報》2015年4月23日，第8版。基于市場需求，數據處理者通過分析和建模形成的“數據產品”，因為凝聚了較多的智力勞動，可以將該數據產品歸入數據庫作品而形成著作權。數據買家不得私自轉售或泄露的原因也在于此。

美國主流學說認為，“數據庫”是指經系統地安排，以現有的或將來開發的任何形式體現出來的作品或其他材料的集合。③See Database Investment and Intellectual Property Antipiracy Act of 1996，H.R.3531，104th Cong，2d Sess.歐盟官方認為，數據庫是將獨立的作品、資料和其他材料進行系統的或經有條理的方式整理過，并可用電子或其他方法單獨訪問的數據集合。④See European Union.Directive96／9／ECof the European Parliament and of Council of 11 March 1996 on the Legal Protection of Databases.Offical Journal of the European Union 27（3）：20-28.《伯爾尼公約》《與貿易有關的知識產權協議》等均認可數據庫的著作權，從而使之成為主流的保護模式。⑤參見董炳和：《數據庫的法律地位》，載鄭成思主編：《知識產權文叢（第一卷）》，中國政法大學出版社1999年版，第316頁。數據庫是否具有獨創性，可能要視具體的數據庫整理、集合的方法而定，不過大多數國家的著作權立法一般都要求“作品具有最低限度的智力創造水平”。從海量底層數據中篩選出買方需要的數據產品，顯然符合獨創性的要求。從“豐菜大戰”公開的細節來看，菜鳥和順豐服務器上的個人信息沒有被“清洗”過，且尚未經過整理形成數據庫，因此雙方對于個人信息的控制權不屬于著作權。

（三）信息控制者的權利是占有利益

按照歐盟《一般數據保護條例》的分類，信息控制者是在狹義上使用的，不包括能夠“控制”信息的信息主體和信息處理者，而是有權決定收集、使用、處理個人信息的目的和手段的自然人、組織和政府機構等。信息控制者是個人信息保護法重點關注的對象，承擔著最主要部分的保護個人信息義務。順豐和菜鳥即是典型的信息控制者。有關信息控制者的權利性質，除了知識產權以外，很多人贊同所有權說。然而，根源于人格權的個人信息，在適用所有權規則時存在如下幾個問題。

1.個人信息歸入“無體物”范疇存在難度

為適應物之形態的多樣化，我國《物權法》調整的“物”有開放性，它并沒有將物局限為有體物。然而，正如網絡虛擬財產成為“物”遭遇到的種種障礙那樣，個人信息適用物權法也存在不小的難度。

一般認為，作為物權法意義上的物，是指存在于人身之外、能夠為人力所支配，并且滿足人類某種需要的物體。⑥參見王利明：《我國民法典重大疑難問題之研究》，法律出版社2006年版，第274頁。廣義的物是指任何能夠被人力所支配的有體的和無體的物。⑦參見費安玲、劉智慧、高富平：《物權法》，高等教育出版社2011年版，第5頁。個人信息是存在于服務器上的字符。論證字符是否屬于物并無意義，這種論證無非是虛擬財產是否為物的再一次重復，研究者間很難得出一致的結論。近年來關于網絡游戲虛擬財產糾紛的案例顯示，法院對網絡游戲虛擬財產屬性的觀點也存在差異，支持物權說者有之，造成債權說者有之，同意無形財產說者有之，甚至有些法院完全采取回避態度。⑧在被社會稱為我國網絡游戲虛擬財產糾紛第一案的李宏晨訴北極冰案中，一審法院肯定了網絡游戲虛擬財產的財產屬性，但沒有說明理由。參見北京市朝陽區人民法院（2003）朝民初字第17848號民事判決書。在常萱訴北京蟬童軟件科技有限公司侵權糾紛案中，法院盡管受理此案，但最終法院以網絡游戲虛擬財產無相關法律規定為由駁回常萱的訴訟請求（參見中國審判案例要覽［2004年民事審判案例卷］，中國人民大學出版社、人民法院出版社2005年版，第304-307頁）。在盧某訴某公司網絡服務合同糾紛案中，法院認為網絡游戲虛擬財產適用善意取得制度，間接承認了網絡游戲虛擬財產屬于物權客體。參見上海市浦東新區人民法院（2010）浦民一（民）初字第5459號民事判決書；上海市第一中級人民法院（2010）滬一中民一（民）終字第1480號民事判決書。個人信息的價值在于字符中所包含的信息，字符本身并無價值。

2.所有權的權能并不充分

目前學界關于物權的諸多定義均突出了物權的直接支配性，我國《物權法》第2條第2款規定：“本法所稱的物權，是指權利人依法對特定物享有直接支配和排他的權利。”可見，“支配性”被公認為是物權最本質的屬性。然而，直接支配性只是絕對權的特征，非物權所獨有，人格權也具有直接支配性。因此，從信息控制者對個人信息的直接支配力出發并不能得出這種權利就是物權的結論。作為最充分的物權，所有權包含占有、使用、收益和處分等權能。其中的處分權能具有終局性，即完成了所有權人的變更，原所有權人不再對物享有所有權。這種物權的基本原理同樣不適合信息控制權。個人信息由于與個人的生活密切相關，即使用于商業，也不可能完全脫離個人而獨立存在。無論其他主體對個人信息的獲取方式與知悉程度如何，都不能改變個人數據的最終歸屬。對于匿名信息，信息處理者也不可能僅僅提供給一個使用者，信息在不同場合和用途中的反復利用才是信息交易的真正意義。因此，所謂的“個人信息所有權”不可能包含有“處分”這一所有權特有的權能。

3.信息控制權的實質是對信息的占有狀態

按照物權法定原則，信息控制者對信息的權利也不可能是用益物權和擔保物權。有償取得個人信息或匿名信息的信息控制者，是信息產業鏈的終端，不但享有約定的信息權利，還承擔保護信息不受侵犯、保證信息不被泄露的義務。無償取得個人信息的信息控制者，其行為更是各國個人信息保護立法的重點。與20年前實施的歐盟《個人數據保護指令》，歐盟《一般數據保護條例》加重了數據控制者的法定義務。⑨歐盟《一般數據保護條例》增加了透明原則、最少夠用原則等一般性保護原則。該條例第5條規定：“處理個人數據應當：（1）合法、正當、透明；（2）處理數據的目的是有限的；（3）僅處理為達到目的的最少數據；（4）確保數據準確、時新；（5）儲存數據的期限不得長于為達到目的所需的時間；（6）采取技術和管理措施以保護數據的安全；（7）數據控制者有責任并應能夠證明其做到了以上幾點。”該條例第6條規定：“至少滿足以下中的一項，處理數據才是合法的：（1）數據主體同意了為特定目的處理其數據；（2）處理數據是為簽訂或履行合同所需的；（3）處理數據是為遵守法定義務所需的；（4）處理數據是為了保護數據主體或其他自然人的至關重要的利益；（5）處理數據是為了公共利益或行使政府授予的權力；（6）處理數據是為追求數據控制者的合理利益，但不得損害數據主體的利益。”在平等的契約關系中加重一方的義務，反映出大數據交易背景下雙方實質不平等狀況的加劇。

將信息的性質認定為物，或者通過特別立法將信息控制者對信息的債權解釋為物權，其本質都是承認信息控制者對信息權利的占有狀態，不能反推得出信息權利就是物權的結論。我國《物權法》第245條第1款規定：“占有的不動產或者動產被侵占的，占有人有權請求返還原物；對妨害占有的行為，占有人有權請求排除妨害或者消除危險；因侵占或者妨害造成損害的，占有人有權請求損害賠償。”物權法對占有的保護，體現了法律對占有人意志的尊重，禁止他人任意剝奪占有人對物的支配。

從權利配置的角度而言，保護信息控制者的占有狀態而非賦予其物權，與信息保護的立法趨勢一致。

三、各方主體的信息利益亟待平衡

雖然“信息所有權”側重于個人信息權利人的保障，但是這種觀點和保護路徑在權利屬性、權利內容和權利主體方面存在不嚴謹、不周延和不準確的問題，應當用“信息利益”加以替代。“信息利益”是一個泛指所有相關主體在數據上享有的權利和權益的統稱。

（一）重視信息主體人格權中的財產性利益

西方國家或者通過擴大解釋隱私權對個人信息提供法律保護（如美國），或者制定單行法綜合利用行政、民事、刑事手段全面保護個人信息（如法國、丹麥、英國）。聯合國、歐盟、經濟合作與發展組織等國際組織也紛紛圍繞隱私權的保護制定個人信息保護的國際條約和指南。⑩參 見孫平：《政府巨型數據庫時代的公民隱私權保護》，《法學》2007年第7期。在全球范圍內，將個人信息作為一種獨立的權利是現代社會發展的趨勢，美國甚至有法官將其上升到基本權利的高

度。①S ee Whalen v.Roe，429 U.S.589（1977）.

考慮到個人信息權利中的支付報酬請求權等不同于傳統人格權的內容，采人格權觀點的學者多數傾向于專門設立一項人格權類型，典型的提法如“信息隱私權”“資料權”等。然而，將人格權所承載的利益二元化，會導致民事權利體系內部的混亂，不符合我國立法傳統。《全國人民代表大會常務委員會關于加強網絡信息保護的決定》（以下簡稱：《決定》）第1條將個人信息權與隱私權相區分，并在第9條中明確個人信息權屬于我國《侵權責任法》的保護范疇。②《決定》第1條規定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。”《決定》第9條規定：“任何組織和個人對竊取或者以其他非法方式獲取、出售或者非法向他人提供公民個人電子信息的違法犯罪行為以及其他網絡信息違法犯罪行為，有權向有關主管部門舉報、控告；接到舉報、控告的部門應當依法及時處理。被侵權人可以依法提起訴訟。”這一規制行為的保護模式同樣體現在《民法總則》中，《民法總則》僅僅承認“個人信息”而非“個人信息權”，同時通過一個一般條款規定“人格法益”，即我國《民法總則》第109條規定：“自然人的人身自由、人格尊嚴受法律保護。”照此規定，民法總則對個人信息將采取“隱私權＋人格法益”的保護模式---對于屬于隱私范疇的個人信息，信息主體享有隱私權；對于隱私以外的個人信息，因其屬于“人身自由”的范圍，信息主體享有信息利益，包括信息自決權、③關于信息自決權，德國憲法法院在1983年作出的判決中提出了保護自然人的個人信息自決權。參見［德］迪特爾·梅迪庫斯：《德國民法總論》，邵建東譯，法律出版社2001年版，第801頁。信息查詢異議權、④參見《歐盟數據保護指令》第12條。陳飛等譯：《個人數據保護：歐盟指令及成員國法律、經合組織指導方針》，法律出版社2006年版，第5-6頁。保護信息完整權、⑤參 見法國2004年《數據處理、數據文件及個人自由法》第40條和第41條。參見上注，陳飛等譯書，第194-195頁。信息清除權等。⑥信息清除權又稱數據清除權、被遺忘權，是歐盟《一般數據保護條例》為信息主體新增的權利類型。參見高富平主編：《個人數據保護和利用國際規則：源流與趨勢》，法律出版社2016年版，第130頁。借鑒域外立法將信息主體的利益具體化，有助于從根源上維護信息利用的合法秩序。

（二）信息控制者的信息利益應受到嚴格限制

信息控制者的權利限制是所有保護個人信息法律文件的重點。從最新的歐盟《一般數據保護條例》可以看出，對信息控制人的權利限制有增無減。與1995年歐盟《個人數據保護指令》相比，2016年歐盟《一般數據保護條例》通過強化數據主體的權利來實現對數據控制人的限制。其主要包含三項內容。其一，增加數據清除權（The Right of Erasure），包括主體、客體、適用條件、例外情況及不遵守清除權的處罰措施。對存在故意或者過失違反數據清除權的人員，監管機構可對個人和企業處以高額罰款，加大了個人數據竊取的懲罰力度，對違法犯罪和恐怖行為起到預防作用。其二，對數據主體的同意創設新的條件。一是同意必須基于數據主體的一個或多個特定目的，并且已經給予控制者處理數據的同意；二是數據主體必須自愿給出詳細的表明其同意的說明，說明必須是明示的，包括書面聲明或明確肯定的行動表示，緘默或不行動不構成同意。然而，當數據主體與控制者之間存在地位不平衡時，同意不能被當作數據處理的法律基礎。雇傭關系中的數據處理很可能會發生這種情況，此時，必須存在為了遵從法律義務等另外的數據處理依據。其三，增加“特殊類別的個人數據”的處理條件。揭示種族或民族起源、政治意見、宗教信仰的個人數據處理，以及與基因數據或健康、性生活、犯罪、安全措施相關的數據處理應當由數據控制者或者其代理人負責實施數據保護影響評估（DPIA），評估結果會直接影響處理數據的條件。此外，與醫療相關的個人數據，雇傭關系中的個人數據以及為歷史、統計和科學研究目的的數據處理都有其自身特定的條件，不能被隨意處理。

（三）匿名信息交易也不應忽視信息主體的利益

與享有獨立著作權的作品集合而成的數據庫不同，個人信息的數據庫中匯集的是個人信息，這種個人信息不屬于獨立作品；個人信息數據庫如有其獨創性編排結構而可以獲得的著作權，這樣的數據庫制作者（信息處理者）享有整體結構著作權保護。雖然從匿名信息中已經無法辨別出個人信息，但是數據庫制作者正是利用無償取得的個人信息謀取商業利益，從大數據交易到“豐菜之爭”，無不揭示出這種不平衡。信息保護立法尚未明確承認信息主體的財產利益，是因為網絡用戶信息保護的特殊環境，并不代表信息主體的財產利益就不應當獲得認可。一方面，信息主體將自己的大量信息交給信息控制者進行商業利用，卻對信息控制者由此獲得的大量利潤毫無參與分配的權利，另一方面，信息控制者在未經信息主體同意的情形下對其個人信息進行收集和利用，而信息主體只能向數據控制者主張人格利益損害的賠償，這顯然是不公平的。

同樣的問題還出現在人體基因的可專利性上。隨著基因技術的發展，有關人體基因的專利帶來了極大的經濟效益，而人體基因資源的提供者卻被排除在這一利益之外，有學者建議建立人體基因專利的利益分享機制，⑦參見［法］莫里斯·卡西爾：《基因時代的私有資產、集體資產和公共資產》，祝東力譯，《國際社會科學雜志（中文版）》2003年第1期。美國近期的判例也體現出這一趨勢。⑧2013年6月14日，美國聯邦最高法院否決了Myriad公司擁有的BRCA1、BRCA2基因的專利權，理由是，如果認可這種專利權，雖然可能為人類帶來價格更低的乳腺癌風險檢測，但顛覆了現行的專利法制度。See 653F.3d 1329（Fed.Cir.2011）.作為大數據交易的對象，匿名信息與人體基因法律關系的共同點在于以下幾個方面。其一，都具有強烈的人身性。人體基因專利以人體基因資源提供者的人體基因信息為研究對象，匿名信息以信息主體在各種場合自覺或不自覺提供的個人信息為收集對象。其二，人體基因和個人信息都可以在被收集后脫離自然人而繼續發揮商業價值。人體基因資源一旦獲得，研究者可以通過體外方式人工合成；個人信息一旦獲得并經過“清洗”，信息處理者就可以基于不同需要加以反復分析和利用。其三，被收集了相關信息的自然人都面臨風險。人體基因資源提供者在采集基因資源的過程中，可能會遭受潛在的不利后果；個人信息的泄露也會給數據提供者帶來生活上的不便，甚至產生財產、人身方面的損害。

基于以上因素，明確基因資源提供者的事先知情同意權、所有權和免費或低價使用權等權利，以及對人體基因專利技術審查標準的趨嚴，都反映出構建主體間利益分享機制的需求。可以預見，根源于個人信息的大數據交易，也沒理由忽略信息主體的利益。為了保持生物多樣性，持久利用其組成部分以及公平合理地分享利用遺傳資源所產生的利益，1992年《生物多樣性公約》（CBD）確立了尊重主權原則、事先同意原則和惠益分享原則。如何借鑒這些原則構建個人信息大數據交易中的利益分享機制，如何明確規定能夠用來交易的數據內容和類型，決定了大數據交易能否健康發展的未來，這就需要從公法層面立法加以引導和規制。⑨比如法國出臺數字經濟納稅條例，對享有公民免費數據的互聯網企業增加一些稅種。參見前注⑥，邱玥文。