价值维度下个人信息的私法保护探研

韩姿洁

基金项目：曲阜师范大学国家级创新创业训练计划项目（项目编号：201910446014）资助

人类进入信息时代，个人信息凭借其独特的价值，成为立法者无法忽视的存在。而个人信息保护在我国现有法律体系中并非旧瓶装新酒，依靠传统的法律部门无法精准有效涵盖。文章从个人信息与其他权利相区别的独特价值出发，分析了个人信息面临的困境以及入法的必要性，揭示了其法律属性和权属争议，并对其私法保护的路径作了归纳和预测。只有明确了个人信息的法律价值和性质，才能够更好地制定和实施个人信息保护的制度和措施，从容应对且充分利用大数据。

一、个人信息的法学证成

（一）个人信息的概念辨析

《民法典》的出台赋予了“个人信息”确切的“识别”型定义——第1034条规定：个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个人信息保护法（草案）》（下称《草案》）第4条也做出类似规定：个人信息是以电子或者其他方式记录的与已识别或者可识别自然人有关的各种信息，不包括匿名化处理后的信息。《草案》进一步强调了个人信息的可识别性，与做过匿名化处理所形成的衍生数据划清界限。就个人信息与个人数据而言，多数学者认为在法学意义上，二者并无本质区别，可互换使用，欧盟的《通用數据保护条例》（General Data Protection Regulation，简称GDPR）等中即用了“个人数据”的称谓;也有学者从信息与数据的界分出发，将个人数据划入财产范畴。正如博登海默所说， ”概念乃是解决法律问题所必需的和必不可少的工具。没有限定严格的专门概念，我们便不能清楚地和理性地思考法律问题。”为避免歧义和潜在争议，保证法律体系用语的统一性和权威性，增进公民对法律文本的理解，建议统一采用”个人信息”的称谓。

（二）个人信息面临的困境以及私法保护的必要性

全球化的“大数据”产业浪潮下，与数据挖掘技术的提高和数据产业发展伴生的，是对个人信息的滥用与侵害，个人信息的“黑色产业链”侵权现象时有发生。从我国的”徐玉玉电信诈骗案”到美国的“脸书‘泄密门案”，侵犯个人信息已经危害到信息主体的财产甚至人身安全。在信息业者的商业逻辑中，个人信息交易已成行业惯例。个人信息极高的商业价值和极低的违法成本引诱着越来越多的贪利者挖掘、贩卖、传播个人信息，这给信息主体造成的伤害是不可逆的。正如Google首席经济学家哈尔·瓦里安（ Hal R onald Varian）所指出的——信息产品的生产成本很高，但复制成本极低。并且，无论信息产品能否最终成功，大部分成本都是无法挽回的沉没成本（sunk cost），而复制的数量却不受自然能力的限制。

个人信息是社会信息的源泉，保护和利用个人信息是信息社会的基本矛盾。大数据背景下，云端储存的数字记忆方式可实现对生物记忆的无限延伸，打破了人类社会一贯的“遗忘是常态，而记忆才是例外”的模式。个人信息一旦被“数据”化，便陷入”极光”之地，信息主体则坠入边沁笔下的“全景式监狱”。因此，个人信息作为个人利益的新代名词，也作为信息社会前进的新动力，其对于私法的保护价值不言而喻。

二、个人信息的双重价值衡量

（一）个人信息的价值基础

对个人来讲，个人信息的价值从内容上概括为两类，精神价值与财产价值。个人信息的精神价值源于其人格利益，人格的发展促动精神的满足。人格权中的自我表现概念来源于社会学和社会心理学，德国学者将人格发展、自我表现和对个人信息的自我决定联系起来，提出人通过提供个人信息来表现自我，个人信息是人与外界交流的唯一手段，总是与特定个人紧密关联，关乎个人内心安宁、人身自由及人格尊严，个人有权决定自己的个人信息如何使用并使之发挥出最佳的社会效果。因此，有学者从该理论出发研究个人信息的自主价值，强调个人信息处理过程中的知情同意。人的本质属性是社会属性，个人信息是人的社会存在形态的法律表征。在现代社会，任何人都不是一座孤岛，必然会与外界产生联系。因此，无论一个人的个人信息是否涉及隐私，都关乎其人格的发展，与其精神利益息息相关，应当受到保护。

不可否认的是，个人信息中蕴含着经济利益，在个人信息的使用过程中，存在信息主体对信息处理者的“付费”，也存在信息业者的“反哺”行为，其财产价值逐渐显露。红利驱动的信息共享当与个人人格发展并行不悖，对个人信息的功利主义解读和实践不仅能够给予信息主体最安心的信息保护，也能够大幅度的增加信息主体手中可利用信息的数量。但利益往往会催生不可测的行为样态，超出传统个人权利控制的预设，亟需法律对平衡个人信息的保护与利用做出进一步的回应。需要指出的是，信息共享是大数据背景下互联网信息自由传播的必然结果，但这并不意味着个人信息的固有价值，即人格尊严和自由就应当被削弱。对人格尊严和自由的保护当属立法追求的目的价值，而对个人信息的利用则仅为工具价值。相较之下，目的价值应优先于工具价值。

在个人之外，个人信息还具有公共价值，大量个人信息形成信息池，牵涉一个社会甚至国家的安全与发展。个人信息面临的复杂的利益格局也是个人信息是民事权益抑或公法利益的争议点之一，本文在此不做深入阐述。

（二）个人信息具有区别于隐私和数据的独立价值

不可否认，个人信息与隐私在概念外延上存在一定程度的重叠，这从《民法典》的结构安排和对”私密信息”适用的规定中足以见得。但这并不妨碍二者具有相互独立的价值取向。隐私权注重保护个人所有不愿为他人知晓的事物，以个人的心理感受和生活安宁为出发点，将隐私完全封锁在个人意愿之内。隐私受法律绝对保护，没有利用和传播的可能性，其价值局限于个人的人格，并无财产价值可言。而个人信息在征得信息主体同意的前提下，可以进行一系列的处理操作，并能够流转和传播，在商业化或公开化后产生财产价值。

第111条和第127条可谓《民法总则》的亮点，分别凸显了个人信息与数据等新型利益的应保护性。法律意义上的数据并非计算机术语中以二进制单元O和1表示的信息，而是数据主体对个人信息整理、加工或经脱敏处理后的信息，即衍生信息（狭义理解）。尽管数据本质上也是信息，但这种信息往往是一种大数据集合，且通常不以与信息主体直接关联的方式面世。它能够无限复制，进入数据库等待调动与分配，用于不同语境下的加工和分析，负载着加工者、整理者的劳动和智慧，具有财产属性，能够被再利用。因此，数据作为一种单纯的财产，并不涉及原始信息主体的人格发展，其价值主要体现为其中承载的人类劳动和特定需求下用于交换的商业价值。而如果仅将个人信息视为一项财产权益，当其受到侵害时，在损害赔偿的具体计算方式上势必会根据个人身份的差别而有所区别，这显然有悖于立法者对个人信息保护的初衷。

简而言之，虽同为人格权益（权利），但个人信息有别于隐私的封闭和私密性，具有可流动性;虽都具有经济价值，但普通个人信息财产元素稀薄，人格权商品化理论足以解决相关问题，与数据分属人格权益与财产权益两类;个人信息的权利主体只包括自然人，不包括法人等其他组织;其精神价值体现为信息主体的平等、自由和尊严，侵害个人信息造成严重精神损害的，被侵权人有权请求精神损害赔偿，造成财产损失的，被侵权人也可依据因此受到的损失或者侵权人所得利益获得赔偿。

三、个人信息私法保护的路径探索

（一）个人信息的权益与权利之争

目前，个人信息在《民法典》中仅为一项民事权益，至于其应然状态和将来属性，学界众说纷纭。从保护力度看，围绕权利展开的争议一切以权利人的诉请为中心，而权益享有人缺乏主动权，在目的落空时只能寄希望于公法的介入。因此，在一项民事利益难以区分其性质到底是权益还是权利时，作为私法主体，我们倾向于视其为权利。

随着社会关系的复杂化和经济利益地位的跃升，多数民事利益都会成长为权利，但时间难以预估，例如隐私权历经几十年才被正式赋予权利的称号。学界对个人信息权的反对理由主要集中在其支配性较弱、流动性较强上，也有声音认为个人信息与隐私权的界限并不明晰，而不像死者的人格利益囿于主体不存在而无法成为权利，个人信息并无成权的致命障碍。中国现行法律没有确定个人信息权利概念，但却在《草案》中列明个人信息的权能清单，这足以看出立法者对个人信息权利的暧昧态度。制度模糊的社会背景可能是我们还没有从理论上把握个人信息在流动过程中的多样形态，也没有准备好到底是采取权利化进路，还是通过公法辅助来设计个人信息保护制度。同时，我国信息技术迅猛发展与经济增长转型的矛盾也增加了立即赋权的困难。个人信息成权与否依靠立法者的深思熟虑和立法技术的进步，倘若个人信息未能成权，我们也有理由相信其法律地位并不低于权利，保护路径也不应有所局限。

（二）个人信息的保护模式与具体建议

從比较法的角度看，在欧洲，主要通过统一立法的形式对于各个领域的个人信息收集、处理和利用作出统一的规定。《德国联邦个人资料保护法》是个人信息保护立法的典型代表。而美国则采取了分散立法的方式，1974年《美国隐私法》以隐私权保护为基础，以“大隐私权”构建保护体系。需要指出的是，相较于我国的隐私权，美国的隐私权是一个框架性的权利，类似于德国的一般人格权，其内容具有扩展性，在司法实践中更具灵活性。美国并无个人信息的单独立法，只是试图将个人信息纳入隐私权的涵射范围内。但毕竟隐私与个人信息并非全然包含的关系，两者的价值取向也迥然不同，这种个人信息的保护模式存在许多局限。欲实现个人信息保护与其价值开发的共赢，亟需破旧立新，因势利导，跳脱传统保护框架的局限，转而探索立足个人信息独特价值且顺应信息化发展的新路径。

我国目前正在全力制定《个人信息保护法》，拟构建一个脱离隐私权以个人信息单独立法为主导的个人信息保护体系，形成较为完整全面的制度框架，为司法实践提供清晰明确的法律支撑。《草案》立足于个人信息主体的人格发展需求，对当下许多热点难点问题做了回应。如赋予信息主体对“自动化决策”的拒绝权，对个人信息的商业运营模式做出限制：仅限公共利益场合下可采取“人脸识别”手段，并应提供明示提醒;规定了履行个人信息保护职责的部门和公益诉讼途径，为个人信息的行政法保护留下空间;将个人信息划分为敏感个人信息与一般个人信息，根据具体场景中的风险评估采取差异化保障措施等。但仍存在值得改进的地方，具体建议为;第一，明确规定个人信息上的权利专属于信息主体，打消公众对于法律在权利模式、管理模式、公共物品模式等模式选择上的质疑;第二，清晰定位信息主体权利和信息处理者义务，协调权利-义务-责任的统一性规定;第三，信息行业鱼龙混杂，相关技术专业且复杂，应吸收分业监管的优势，打造统一立法与行业自治相结合的全方位保护体系。

作者单位：曲阜师范大学