論個人信息的私法定位與保護

袁 泉

(首都師范大學 政法學院，北京 100048)

一、傳統法律框架下個人信息保護的弊端

一直以來，美國和歐盟援引財產權保護或確立個人信息人格權路徑的落腳點都是以單邊性為基礎，將個人信息之上的財產利益或人格利益視為唯一的權利客體，將個人或企業視為唯一的絕對主體。這種路徑依賴的形成，除囿于傳統法律框架之外，很大程度上也與信息技術發展早期的市場需求不無關系。

在大數據技術的背景下，個人信息問題正在向愈加復雜的方向發展。早期，個人信息問題主要表現為隱私權的保護，甚至隱私的含義也被描述為對個人信息的控制權。Westin認為，隱私是指個人、組織、機構決定他們自己何時、以何種方式、在何種程度上將個人信息與他人交流的權利[1]。Fried同樣指出，隱私不是秘密或限制他人獲知自己信息的能力，這樣的界定是不完整的，更應該是我們控制個人信息的能力[2]。

隨著信息價值的日益突顯，各方利益主體紛紛尋找法律維護自己的權益。一方面，用戶不再任由企業對自己的信息隨意收集，開始訴諸法律保護自己的信息權益，于是，信息隱私權的重要性被不斷強化，成為個人保護信息的主要法律依據。另一方面，企業開始強調自己在信息收集和處理過程中的勞動和付出，認為經過處理后的信息不同于傳統個人信息，應作為企業的自有資產，既可對抗競爭者，也可以排除個人對該信息資產的控制。

圍繞著消費者信息，一場從企業手中奪回個人信息的新運動正在展開，該運動的目的是將以收集和使用個人信息的企業為中心的世界轉變為以消費者為中心的世界。在此過程中，法律必須對個人和企業之間的力量不均衡問題予以規制。遺憾的是，基于路徑依賴形成的個人信息保護模式并未綜合考量各方主體的利益平衡，或創建了以個人為核心的信息人格權的保護模式，或以企業和經濟發展為目的，以市場化手段推進個人信息保護的實施。

首先，從個人信息的性質來說，其本身無法被傳統權利類型所包容，表現為多元化的法律性質。一方面，個人信息中的隱私屬性決定了其關乎個人尊嚴與人格利益。另一方面，個人信息在商業競爭中的重要地位決定了它蘊含的經濟利益，無論法律是否賦予該經濟利益以財產性權利，其在經濟學上的資產權地位是不可否認的。

其次，從主體角度分析，個人、企業均有可主張的信息利益。對個人而言，其既是信息的提供者，也是信息的生發人，對信息享有天然的權利。對企業而言，其既是初始信息的收集者、處理者，也是經加工處理后信息產品的創造者、使用者。

最后，就信息生態整體而言，一刀切的立法模式必然導致信息市場利益失衡。歐盟《一般數據保護條例》(以下簡稱“GDPR”)以個人權益保護為核心，將個人信息權界定為基礎性人格權的模式，制約了科技企業的發展與商業模式的創新。更重要的是，嚴格的信息保護將削弱市場競爭。規模較大的科技平臺得以鞏固市場優越地位，使得新進入者和規模較小公司吸引消費者的注意力變得非常困難[3]。美國的市場化路徑，在本質上缺少了對個人權利的法律關懷。并非所有信息都可以作為商品在市場中交易，同樣，并非所有信息都屬于企業的信息財產，而信息市場的不完善也進一步惡化了個人在市場中本就弱勢的地位。

二、個人信息的保護模式之爭

針對個人信息保護面臨的挑戰，各國展開了積極立法予以應對。總體而言，以歐盟的人格權保護模式和美國的市場化保護模式為典型代表。歐盟以人格權為基礎，綜合化立法模式為架構，將個人信息保護提升至憲法的高度，以此規避信息技術發展下的信息處理、利用對個人產生的負面影響。美國則以市場自治為價值取向，分散化立法模式為架構，將個人信息視為商品或服務，而非涉及人格尊嚴與自決的根本性權利。立法模式的不同反映出各國對信息性質界定的不確定性，即個人信息應當作為人格權保護還是財產權保護，信息權利的歸屬仍是一個未解決的問題。

支持個人信息人格權的觀點認為，個人信息關涉個人隱私[4-8]。人格尊嚴、人身自由與自我決策等多項法益不僅提供了諸多非經濟性功能，更關乎公民社會的基礎性利益，這是財產制度所無法完全包容的。

其一，信息財產權使隱私和人格尊嚴被物化，從而削弱了對隱私利益和社會價值的保護程度[4]。其二，財產權將信息完全置于個人控制和市場規制之下，使之缺少更多的法律干預和強制力保護，將導致個人信息遭到更嚴重的侵犯[5]。其三，尚不完善的個人信息市場會導致不公平交易[6]。一方面，個人與企業不平等的市場地位使用戶只能成為隱私政策的被動接受者[7]，通過財產權與合同制度保護個人信息的目的難以實現。另一方面，信息財產權的有效實施有賴于對信息價值的準確衡量，而不完善的個人信息市場使個人信息的經濟價值難以評估。總之，在一個不完善的信息市場內，允許個人基于財產權實現信息的自由轉讓，必然會帶來更嚴重的威脅[8]。支持信息財產權的觀點認為，市場是信息最佳的規制手段，財產制度不僅能最大限度保證個人控制，同時也可以實現信息的自由流動。亦有學者基于“卡-梅框架”[9]的理論指出，財產規則保護個人選擇，責任規則保護信息交易[10]。因此，當雙方協商成本較低或沒有公共利益沖突時，財產規則應優先適用于責任規則[11]。隨著P3P技術的發展，雙方協商的“交易成本”會越來越低，財產制度的使用空間也就越來越寬泛[10]。

有學者認為單獨依靠法律無法實現信息保護的目的，財產制度可以作為工具實現各方力量的統一，代表性學者包括Lawrence Lessig和 Juile Cohen[10,8]。Lessig指出網絡架構本質上是人類活動的結果，故具有可規制性，綜合運用法律、市場和技術手段可以實現個人信息的完整保護。個人信息財產權可以作為一項激勵機制，迫使企業尊重用戶意愿，加大對隱私強化技術(Privacy Enhancing Technologies, PETs)的投入，從而在技術上強化用戶對自己信息的控制權利[10]。類似的，Cohen教授認為法律只能作為信息保護框架的激勵性工具，僅僅依靠立法無法實現個人信息保護的目的[8]。

為化解財產權與個人信息的內在沖突，支持個人信息財產權的學者提出對財產制度加以改造，將個人信息視為一組權利，限制其獨占性。Paul Schwartz提出了“使用、轉移限制原則”，即企業超出約定的信息使用及再次讓與行為均需得到個人的許可，企業并不擁有信息的完整財產性權利[12]。Bergelson教授對信息財產權做出了3方面的限制：(1)個人信息財產權不是永久性權利，而是隨信息主體的死亡而終止；(2)個人信息的首個收集者可以獲得非排他且不可轉移的自動許可授權；(3)政府擁有個人信息不具有排他性的自動許可授權[11]。

可以看出，無論采取何種權利定性，試圖通過對個人信息的權利構建來規制和保護個人信息都存在諸多理論上的齟齬，個人信息似乎已經難以為傳統的權利譜系所包容。究其原因，與個人信息之上特殊的利益形態不無關系。

三、個人信息利益的雙邊性

私法范疇下，個人信息的價值在實踐中呈現出了一種較為特殊的雙邊性特征，即信息在個人端和企業端體現為兩種截然不同的價值形態，而對這種現象的分析，將有助于我們準確地界定個人信息在民事權利體系中的應然定位。

1.面向個人的信息利益

(1)個人端：個人信息的二元利益屬性

在個人端，個人信息呈現出了人格利益和財產利益。具有高度敏感性和私密的信息關涉個人隱私和人格尊嚴的核心領域，此類信息的收集和利用直接關乎信息主體的人格利益。例如，個人的ID、生物信息、醫療健康信息、金融信息等，在面向個人時表現出極強的隱私屬性，其泄露和非法使用將導致醫療保險、個人信用等其他基本生活受到嚴重影響甚至受到歧視。進言之，個人信息在面對個人時，呈現出了極強的人格利益，對信息的非法收集和濫用會侵犯主體的人格尊嚴和人格自由發展。

與此同時，個人作為信息的生發主體和直接提供者也有獲得其經濟利益的訴求。無論法律是否賦予個人信息以財產權地位，個人信息的收集、使用的實踐已經表明了其作為事實上的財產存在于我們的生活和經濟發展中。信息收集、處理的過程，實質上就是個人信息中的財產權利益轉移、使用的過程。然而，承認個人信息中的財產權利益面臨著一個必須回答的問題，即該財產利益究竟屬于誰？不容否認，從個人的角度看，信息從產生伊始就始終是一個用于描述自己的、具有完整使用功能的獨立個體。所有信息——無論其表現形式、準確程度如何，其產生都源于個人的主動提供或被動收集，其作用都是識別、描述個人，以便向用戶提供更加高效便捷的服務，獲取高額的利潤。推而論之，個人不僅是信息的原生主體，更應當是信息利益的享有者。

(2)個人信息權的司法實踐：基于個人端

事實上，個人信息的財產權屬性在當前法律制度中早已體現。GDPR雖然在性質上將個人信息作為基礎性人格權予以保護，但在制度構建中卻不斷突顯出信息財產權的法律特征。具體表現為以下兩點：強化信息控制權和基于財產規則塑造救濟制度。

首先，不斷強化的個人信息控制權。GDPR通過一系列條款加強了個人在信息收集、處理、轉移過程中的參與能力與控制能力，最典型的就是“被遺忘權”的創設。被遺忘權的設立基礎是人格權中的個人自決，正是個人信息權的基礎性地位構成了GDPR以人格權為導向的制定思路。個人應當擁有決定自己信息何時、以何種方式被收集、處理以及撤回的權利，基于此，產生了被遺忘權。此外，GDPR還通過設置一系列個人信息默認性權利強化了信息控制權。例如，GDPR第7條對個人同意的要求和標準，第6條關于個人信息處理合法性的規定，第13條對數據收集者信息提供的規定等。與此同時，GDPR還將個人對信息的利益內置于信息本身，保證信息鏈中的任意主體在處理、轉移信息時都必須尊重個人對信息的權利，履行相應的義務。

在GDPR框架下，個人信息是一項以財產權為表征、以人格權為內核的特殊權利。一方面，GDPR將信息的初始性權利賦予個人，并通過同意原則、被遺忘權、攜帶權等規定提高個人信息控制權，甚至賦予個人以對抗第三人的權利。另一方面，GDPR保證個人總是可以維持關于信息的最終性權利，且該權利不可通過合同等方式被豁免。進言之，個人無法通過交易或其他方式轉移、喪失個人信息權利。就此意義而言，個人信息權亦是一項超越財產權的基礎性權利。

其次，個人可以尋求基于財產規則塑造的救濟制度(Property-rule-based Remedies)。GDPR通過多種途徑強化了個人給予財產規則的救濟制度。例如，個人可以通過地方監管機構命令信息控制者對信息進行糾正或擦除；企業違反信息控制者、處理者責任的，最高罰處上一年全球營業額2%的罰金；違反個人同意或其他個人權利的，最高罰處上一年全球營業額4%的罰金。在責任歸責(Liability Rule)下，企業需要抉擇是否違反個人信息權利并支付補償。反之，財產規則(Property Rule)意味著，企業要決定是否愿意承擔違反禁令的后果以及高額的罰金。例如，如果個人信息被責任規則所保護，那么企業只要支付了法律規定的價格就可以獲得信息的收集和使用權利，盡管這個價格可能會低于個人對自己信息的估價。換言之，在只需支付補償性賠償的責任規則模式下，企業更樂于違反個人同意自行收集和處理信息，而不是通過協商的方式進行信息交易。然而，在面臨懲罰性賠償的財產規則時，個人同意成了一道無法逾越的鴻溝。質言之，財產規則賦予了個人更大的信息控制權，提高了企業義務成本。

2.面向企業的信息利益

(1)企業端：個人信息的財產利益屬性

在企業端，個人信息呈現出了財產權利益。信息收集的目的在于獲取更準確、完整的信息，因此，信息加工和處理成了信息鏈中的核心環節。企業基于信息分析、處理，最終會形成一份更為全面、具有預測性的信息產品。這種信息產品在內容上展示的是對個人的評估或預測,在生產方式上主要依賴于企業的加工創造，并非個人的直接提供[13]。因此，其在內容和生產方式上均有別于其他信息類型，對信息從業者和商業組織而言具有重大的經濟價值。

(2)個人信息權的司法實踐：基于企業端

基于上述特點，企業對信息產品的財產權訴求日益突顯，法律也對信息在企業端呈現出的經濟利益予以了一定程度的保護。2016年末“新浪微博起訴脈脈抓取使用微博用戶信息案”以及2012年“上海鋼聯電子商務股份有限公司訴上海縱橫今日鋼鐵電子商務有限公司非法使用數據信息案”均確認了企業在信息收集、處理中付出的勞動應享有競爭法意義上的財產權利。然而，上述判決都是基于《反不正當競爭法》第2條中“經營者的合法權益”提出，因此，個人信息利益并沒有被界定為財產權，而是作為一項企業的經營條件和水平等比較優勢的排他性利益[14]。然而，反不正當競爭保護路徑下的個人信息不同于“財產”，其所獲得的救濟也不同于一般侵權救濟。一方面，企業的個人信息權益不具有完整的排他性，嚴重限制了個人信息財產利益的使用。另一方面，企業的信息利益只有在受到侵害時方可獲得保護，無法獲得事前救濟。2018年8月16日，杭州互聯網法院對淘寶軟件有限公司訴安徽美景信息科技有限公司案進行網上公開宣判，該案件雖然適用反不正當競爭法來保護淘寶對數據享有的競爭性財產權益，但在具體判決中，首次肯定了企業對數據產品享有獨立的財產性權益，將數據產品認定為網絡運營者的勞動成果和無形資產[15]。

四、個人信息的非權利性

判斷一個事物能否構成一項權利有3個判斷標準，分別是歸屬效能、排除效能和社會典型公開性[16]。個人信息不符合上述3項標準，因而無法成為民法上的權利。

首先，歸屬效能是指，能夠將內容確定、邊界清晰的利益歸屬于特定主體，其核心在于歸屬利益的內容應具有確定性[16]。法無禁止即自由。將個人信息界定為一項權利，就意味著信息權利人可以為一切他人設定不干涉自己權利的義務。然而，個人信息在個人端和企業端呈現出截然不同的價值形態，個人對自己信息利益的享有并不妨礙企業對信息利益享有和使用。因此，個人信息本身無法完全歸屬于特定主體所有。

其次，排除效能意味著權利必須具有絕對性。排除效能是以歸屬效能的存在為前提的，個人信息既不具有歸屬效能，也就無法具有排除效能。在私法范疇下，個人信息之上的價值樣態呈現出雙邊性特征，涉個人和企業均可以對個人信息之上關乎自己利益的部分享有排他權，但無法排除他人對個人信息本身的占有、使用。在此前提下，個人信息的“假定權利人”與侵權人之間無法劃定一條清晰的界限，法律無法判斷侵權人的越界標準，也就無法保障權利人合法利益。因此，個人信息不享有排除效能。

第三，社會典型公開性是指，權利的客體具備客觀、公開、典型的特征。一項法益必須能夠為外界所識別和感知，這種識別和感知必須建立在人們共同的社會文化的認識經驗之上[16]。事實上，一項權利的社會典型公開性同樣建立在其歸屬效能之上。前者側重對不特定義務人的考量，后者側重對權利主體的考量，對社會典型公開性的要求充分體現了法律在權利人和義務人之間的平衡。個人信息本身雖具有相當程度的公開性，但權利主體對其的法益卻難以清晰地分割，這導致外界難以從客觀上感知和識別其法益。因此，個人信息不具有社會典型公開性。

總之，個人信息之上的利益樣態具有雙邊性特點，個人信息本身不具有歸屬效能、排除效能及社會典型公開性，不符合權利的基礎判斷標準，無法成為民法意義上的權利。因此，我們在對個人信息進行保護時，必須從信息之上的法益入手，而不是將其視為某種特定的權利予以保護。

五、個人信息分類保護及其體系展開

1.個人信息保護的基礎：信息生命周期理論

信息生命周期理論告訴我們，信息的價值通過流轉、分析和使用得以實現，而在過程中，信息價值并非均勻地增長或衰減，而是體現出個體特有的價值衰減規律[17]。傳統法律對個人信息的保護首先從靜態規范以尋求穩定，將個人信息視為樣態統一、性質不變的權利客體，沒有考慮到個人信息流動是一個完整的生命周期過程，在生命周期的不同階段，個人信息呈現的利益形態及應采取的保護路徑也不盡相同。因此，在構建基于法益的個人信息保護制度時，必須要結合信息在生命周期的不同階段表現出的不同樣態，以及不同樣態下信息之上的法益類型。基于法律保護的制度需要，本文將個人信息流動的生命周期劃分為以下幾個過程，以便于信息樣態的識別。

(1)信息收集。信息收集是信息流動的基礎和起點，是指企業根據應用背景的需要，通過網聯網、無線傳感器等各類途徑對用戶信息進行收集和聚合的過程。信息的來源極為多元，但其收集方式無外乎個人的主動提供或被動采集，其樣態都表現為個人初始信息，具備直接識別到個人的能力。

(2)信息分析。信息分析是指，企業通過對初始信息的分析和整合，得出更為完整的用戶信息的過程。在這一階段，信息的生產源于個人的直接提供，以及企業基于現實信息得出的分析性信息二者的結合。后者的準確性極高，其誤差可以忽略不計。例如，基于GPS獲得的個人地理信息、基于手機檢測獲得的人體物理信息、基于網頁瀏覽記錄獲得的個人偏好等。這些信息的獲取只需對原始信息加以整合，并進行初步的分析，屬于用戶的網絡行為信息，故在樣態上表現為個人的事實信息。

(3)信息處理。信息處理是建立在信息收集和信息分析之上的，是企業對初始信息和經分析后的事實信息進行加工、創造使之形成新的信息產品的過程。在此階段，用戶不再參與到信息處理的過程中，企業成為信息處理階段的唯一主體。進言之，企業是信息產品的唯一生產者。經處理的信息不再要求絕對的真實，更多的表現為一種對未來的預期和評估，故而其在樣態上表現為個人的預測信息。

(4)信息轉移。信息轉移是指，經權利人許可，信息之上的權利從一個控制者向另一個控制者轉移的過程。在信息轉移階段，企業之間彼此交易的是信息之上的部分權利，而非信息本體。就此而言，信息轉移階段的信息樣態表現為具備可轉移性的信息權利，亦即財產性信息權利。其樣態可以表現為初始信息、事實信息、預測信息。

(5)信息利用。信息的收集、分析和處理都是為了信息的利用，亦即通過對信息內容的使用，提供更準確的服務，賺取更高額的利潤。在信息利用階段，信息的樣態是多元的，既可以是初始信息，也可以是事實信息，甚至是預測信息。

(6)信息消亡。就法律角度而言，信息消亡是指信息因沒有了相應的價值，無論是人格價值、經濟價值，還是公共價值，而失去了為法律保護的必要。

通過信息生命周期的梳理可以看出，個人信息在收集、分析和處理3個階段呈現為“初始信息”“事實信息”“預測信息”3類完全不同的信息樣態，而在轉移和利用階段的信息樣態表現出多元化特點。初始信息和事實信息的形成主要源于個人的主動提供，企業在信息的生產環節貢獻度極低。在內容上，信息表現為真實的用戶信息，因此，個人與信息之間呈現出強關系聯結。預測信息的形成主要源于企業通過大數據技術挖掘、整理獲得的預測性信息——也就是所謂的“數據資產”，因此，企業與信息之間呈現出強關系聯結。

2.個人信息類型化保護

首先，在個人端配置信息人格權和信息財產權。個人對初始信息和事實信息享有人格權和財產權。前者由個人直接提供，作為信息的生發人，個人對信息享有天然的權利。后者的生成雖伴有企業的信息整合與分析工作，但貢獻微弱，事實信息主要源于個人的提供。換言之，個人是信息的主要生產者，事實信息應基于個人的控制之下。無論是初始信息還是事實信息，其在面對個人時都呈現出人格權與財產權的雙重屬性，故個人對其享有完整的信息權利。就整個信息生命周期而言，個人在信息收集和分析階段享有信息人格權和財產權；在信息轉移和利用階段，其權利的享有依信息的具體樣態而定。

其次，在企業端配置信息財產權。基于洛克的勞動獲得理論(Labor-Desert Theory)[18]，企業對預測信息享有財產性權利。在類型上，預測信息是企業的勞動成果，獨立于個人的原始信息、事實信息之外，是與之無直接對應關系的衍生信息。在性質上，預測信息雖表現為無形資源，但可以為企業所實際控制和使用，能夠為企業帶來相應經濟利益。在實踐中，此類信息本身已經成為市場交易的對象，具有實質性的商品交換價值。就整個信息生命周期而言，企業在信息處理階段享有信息財產權。在信息轉移和利用階段，只有信息樣態為預測信息時，企業方享有信息財產權，并對其轉移和利用享有控制權和排他權。

六、結 語

1890年，布蘭代斯和沃倫在著名的論文《隱私權》中寫道：“法律的這種成長是不可避免的。文明的發展帶來了緊張的智力生活、情感生活以及敏銳的感受能力。”[19]如今，信息技術的發展再次向法律提出了挑戰，繼續沿用傳統法律框架只會造成類型化權利之間的沖突，亦無法滿足信息社會的客觀需求。

個人信息已非傳統權力譜系中的權利。雙邊性的特征使其在面對個人和企業時，呈現出了兩種不同的價值形態，而這兩個主體對于個人信息也形成了內容各異的權利訴求。在對個人信息權進行制度設計時，必須充分考量信息生態的動態結構，特別是信息在整個信息鏈的各個環節的不同樣態，明確信息在面對個人端和企業端時所展現的信息樣態以及所呈現的價值形態，確立更加復雜的個人信息保護體系。