论个人信息上财产利益的保护与利用

聂含秋

一、引言

根据国家网信办发布的《数字中国发展报告（2020年）》，我国数字经济总量已跃居世界第二。数字经济核心产业蓬勃发展的当下，应当促进数据流通，减少数据冗余，提高数据质量。个人信息是大数据的数据构成中最为重要的一部分，参与数据共享，对个人信息进行有序有效利用，是顺应时代的要求。但同时，如果不能提供完备的法治保障，自然人的隐私权利明显有受侵犯之虞，出于不信任感，用户会通过填写虚假个人信息等方式保护隐私，影响数据真实性与利用效能。因此，在相关的制度设计上应兼顾效率与公平，不仅要构建通畅的流通交易机制，还要保障个人信息主体的合法权利。

个人信息并含精神利益（人格利益）和财产利益（经济利益）。此处财产利益并非指当个人信息受到侵害时自然人因就此所产生的财产损失请求损害赔偿，而是指个人信息本身所体现的财产价值，以及个人信息主体可就其信息做商业化使用的经济价值。有观点认为，单条数据并不具有经济价值，只有经过集中收集、处理的大数据才具有经济价值，但实际上，进行个人信息交易的企业和个人早已不是个例，如Datacoup、Handshake、Datarepublic等公司提供了个人信息交易服务的市场,荷兰人Shawn Buckles以350欧元的价格拍卖了自己的个人数据等。〔1〕虽然企业对发掘个人信息上的财产价值付出了诸多成本，但就其所获收益而言，其与用户之间的利益分配并不能称得上公平。正如目前所普遍担忧的，以同意原则为中心的传统交易惯例并不足以保护消费者的权利，即使这些消费者表面上表示了同意。〔2〕随着个人信息保护被明文规定在《民法典》的人格权编中，个人信息上精神利益的保护得到立法认可，而其所含财产利益的保护方式仍有争论。

二、个人信息的概念厘清及其范围

1.信息与数据概念的厘清

关于“信息”和“数据”的区别与联系，学界已有非常丰富的讨论，但始终未能达成一致的结论。依据是否认可信息等同于数据，可划分为二元论和一体论。在二元论的观点中，认为两者属于同一层面的观点将两者定位为包含或交叉关系；〔3〕认为两者属于不同层面的观点主要有如下三种：数据和信息是内容与形式的关系，〔4〕数据概念包含信息概念，〔5〕信息概念大于数据概念。〔6〕一体论则认为信息等同于数据。〔7〕

将数据理解为包含信息概念的观点，或是刻意扩张数据的概念，将其内涵从形式属性变为形式和内容的总和，或是过分限缩信息的概念，将其限定在有必要记录、有意义的范围内；认为信息涵盖了数据概念的观点，则是仅在内容层面理解两者关系，将数据中所含的信息与未能以数据形式表现的信息进行比较，从而得出信息大于数据的结论。而所谓一元论，实际上也只是通过限定问题场域的方式，将两者同时拉到信息内容的层面进行比较，或者在仅讨论信息内容保护的法学理论背景下，从实质保护意义上将两者视为一体。无论何种观点都在本质上认可数据与信息是形式和内容的关系，这也与数据库学科的主流观点相符。〔8〕数据和信息并非同一维度的概念，两者之间并不存在包含或交叉的关系，而是一种相互转换的关系，同一个信息可能会被记录为不同形式的数据。对两者的区分认识亦符合我国当下的立法语境，如《数据安全法》和《个人信息保护法》分别使用了“数据”和“信息”两个概念，正是因为无论数据所承载的信息为何，都应对其进行安全性上的保护，而无论个人信息的数据形式为何，都要从内容层面进行保护。

2.可识别个人信息的范围

依据能否识别个人信息被划分成可识别信息和不可识别信息（匿名信息）。可识别性应为个人信息的必要特征。《民法典》第1034条规定个人信息包括能够与其他信息结合识别特定自然人的信息，从文义解释来看，这将不当扩张个人信息的范围，一条独立不能够识别自然人的个人信息，与能够独立识别自然人的个人信息结合，很容易变为通过结合能够识别自然人的个人信息。日本《个人信息保护法》规定个人信息包括容易与其他信息相对照来识别特定个人的信息，〔9〕根据日本个人情报保护委员会发布的相关问答，它实际上是指通过分配的标识符可以与公司内部收集的其他信息进行参照的信息，〔10〕类似欧盟《一般数据保护条例》第4（5）条中提到的“假名化”处理（pseudonymization）方式，即保留了附加参照信息（additional information）的被假名化处理的信息，而非能够结合其他信息识别个人的信息。

有观点认为大数据时代下不存在绝对的不可识别信息，〔11〕实际上，信息是否归属于可识别信息的范围是在一个动态变化的过程中，依据其所在数据库容量的扩大、信息类别的增加而提高可识别性。对个人信息的认定应在实际应用场景中判断。对于分别收集保存数据从而规避监管的行为，应将规制重点集中于数据合并的事前同意审查和事后管理监督，纳入并购的合规审核项目；通过结合将信息变为可识别信息的行为应被认定为个人信息的收集行为或交易行为。

与个人信息范围有关的争议，还涉及主体是否包括胎儿和死者。胎儿娩出前的诊断信息属于其母亲的个人信息，但胎儿的基因信息应属于娩出后为活体的胎儿，《民法典》第16条可以解读为对胎儿财产利益和人格利益的保护。〔12〕关于死者的个人信息，有观点认为其涉及与死者有关的人和善良风俗，应受保护。〔13〕日本以死者个人信息属于与其相关的家族的个人信息为由，不予保护；欧盟《一般数据保护条例》“鉴于”部分第27条规定其不适用于死者的个人数据。我国《民法典》第994条保护死者的人格利益，由此可以肯定死者个人信息上的人格利益应受到保护，依据后文论述，个人信息上的人格利益和财产利益不可分割，因此死者个人信息上的财产利益应一并受到保护。

三、个人信息的权利属性及其财产利益的保护路径

针对个人信息上的财产利益的保护路径尚存争议，大体上可以分为两类，一是财产权保护路径，确立个人信息财产权或通过知识产权进行保护；二是人格权保护路径。

我国《民法典》人格权编规定了个人信息受到保护，但没有明确指出这是什么权利或权益。早期观点集中于对个人信息自决权理论的讨论，这一理论由德国联邦宪法法院在审理人口普查案时创设，应有两面理解：个人应有权自主决定何时在什么范围内公开其切身资料，但并非一种不受限制的绝对支配，还需忍受重大公益的限制；同时，国家公权力应受到约束，并有义务在组织和程序上采取对应预防措施。〔14〕反对观点将其理解为个人意志对个人信息不设限制的支配，进而论证其并不具备清晰可见的客体外观，无法划定行为禁区，不属于一种民事权利。〔15〕修正观点认为该民事利益的界限清晰，在比较法上没有作为法益进行保护的立法例，进而论证其是一项具体人格权。〔16〕有观点认为自然人对个人信息并不享有绝对权和支配权，而只享有受法律保护的一种防御性利益，〔17〕并将其表述为一种同时涵盖人格利益和经济利益保护的新型人格权益。〔18〕亦有观点跳脱问题本身，指出将其理解为权利还是权益都不妨碍法律对个人信息的保护。〔19〕

实际上，采取个人信息控制权的用语更为合适，〔20〕一方面强调个人信息主体对个人信息的控制权利，并非类似所有权的支配权，另一方面避免将其误认为一种过于宽泛的信息权，造成有权获取某种信息的误解。应将《民法典》中规定的个人信息保护解释为个人信息控制权，并将其塑造成一种同时包含对人格利益和财产利益进行保护的具体人格权。

1.个人信息财产权理论及其不足

有学者提出数据利益的基础性保护模式是由债权的不可侵害性衍生的，并将其看作一种新型财产权结构编入财产权谱系中。〔21〕但从目前的立法实际来看，在合同编、侵权编足以保护债权的前提下，新设一种更高层级的财产权并无必要。抛开“财产权”概念本身的不确定性，个人信息财产权理论的核心在于将个人信息看作一种财产，依据对财产性质的认定，又可将财产权理论分为物权式的和知识产权式的保护。

类比物权保护的观点认为个人信息是可以使用和转让的外在物，个人可以通过合同放弃或转让对其商业性使用价值的使用权，这一交换的前提是有私有财产的存在，进而体现个人信息财产权是一种私权。〔22〕然而实际上，第一，个人通过个人信息的许可使用合同即可实现财产利益，无须另设财产权；第二，在法律规定无需“同意”即可收集、使用个人信息的情形下，难以将其解释为法律剥夺了个人信息财产权；第三，通过合同合意转让的仅仅是个人信息上财产价值的商业性使用权，而非转让个人信息本身。这与用益物权的转让也不同，自然人对个人信息的控制并非一种物权控制，用益物权人可以在其权利的具体范围内对抗包括所有权人在内的所有人，但获取了个人信息上财产价值的商业性使用权的权利人并不能对抗个人信息主体对其个人信息的使用。

有学者提出个人信息还包括被记录的伴生个人信息和预测个人信息，由于企业付出了处理成本，这些信息上的财产利益并不完全归属于个人。〔23〕实际上，企业通过合意获取了对个人信息进行商业性利用的权利，对于加工处理后的个人信息，其拥有的是债权项下的处分使用权能。依据《民法典》第1038条的规定，自然人仍然掌控决定其个人信息是否提供给第三方的权利，企业并不能在与自然人的合意之外，与第三方自由交易个人信息上的财产利益来实现所谓财产权。这进而表明，在个人信息上明确企业的财产权并无意义。正如马普所的一篇文章中提到，数据领域不需要额外的所有权，迄今为止的经验和研究有效地表明并不存在必须引入数据所有权才能解决的市场失灵问题。〔24〕

类比知识产权进行保护的观点中，多着力于论证个人信息和知识产权客体的相似性，进而证成个人信息财产权与知识产权的一致性。然而在相似性之外，个人信息上的人格型财产价值和知识型财产存在本质区别：首先，个人信息上凝结的劳动是一种相对于主动劳动的被动劳动，被记录为个人数据后并不具有独创性；其次，知识产权的利用通常需要转化成产品或者服务进行销售，而对个人信息的利用更多是转换成知识性的信息作为企业决策的参考；第三，知识产权客体与自然人的关系远不如个人信息中的关系紧密，知识产权的主体可以是法人，但个人信息的主体一定是自然人。

针对知识产权中行为规制建构模式的可借鉴性，构建财产权并非其唯一结论，而是可以借此巩固人格权保护路径的建构。如有学者从两者保护客体上相同的非物质性和不可占有特征入手，围绕特定的利用行为建构“行为规制权利化”的绝对权化路径。〔25〕还有观点提出采取“积极确权+行为规制”的模式对个人信息进行保护，在人格权框架内建构一种法益裁量平台，对法益保护与行为自由的二元价值进行比较权衡。〔26〕

2.人格权保护路径的正当性及其展开

对于个人信息上财产利益的保护，无非是在一元论和二元论中做选择。一元论认为人格权本身包含了对精神利益和财产利益的双重保护，二元论则是在个人信息的保护上同时建构人格权和财产权，分别保护精神利益和财产利益。从比较法来看，美国采取与二元论相似的做法，将人格表征中具有财产性质的内容归入公开权的保护范围，将人格利益的内容归入范围甚广的隐私权调整范围；德国采取一元论，通过人格权商品化的理论，将财产利益纳入人格权的权利内涵中，认可一般人格权在利益结构上同时包含精神性构成和财产性构成，并指出两者具有统一的以人的尊严和发展为内容的价值基础。〔27〕

人格权商业化利用并非数据时代的新问题，尤以名人的姓名权、肖像权为例。肯定人格权上的财产价值，并不是将人格尊严商品化，而是体现对人格权的全面保护。在以康德哲学作为私法的价值基础的背景下，人格商业化利用被构建为作为人格的自我展现的人格权。〔28〕例如日本法将控制姓名、肖像等信息传播使用时所体现的经济价值的权利称为商品化权，但并不认为这是独立的权利，而仅作为人格权的一个组成部分；由于对人格权的侵害本来就经常造成财产损失，所以也并不存在理论上的障碍。〔29〕

反对一元论的观点认为，依据《民法典》第992条人格权不得转让，进而可得个人信息不能转让，这与实践中的转让需求相违背，阻碍数据流通。对此，以同样具有财产利益的肖像权为例，虽然没有“肖像财产权”，但肖像的商业化利用十分普遍，这与个人信息的商业化利用并无差别。当信息收集者向第三方转让个人信息上的财产利益时，与第三方签订的是债权债务的转让协议，而非个人信息本身的转让协议。根据债权债务概括转让的规则，与第三方之间签订的合同需要经过原合同当事人的同意，即需要个人信息主体的同意，这也符合《民法典》第1038条的规定。此时，个人信息主体既没有丧失对自身人格权上财产利益的控制，也没有影响个人信息充分发挥其商业价值。

个人信息上的商业性使用价值和人格尊严不可分，不能为了充分活络其商业性的使用价值而赋予其人格权之外的财产权。个人信息作为一种特殊的权利客体，应当尊重其本质特征，用人格权的方式保护其衍生的财产价值。

四、个人信息上财产利益的利用权限和救济

出于个人信息作为一种人格要素的特殊性，并不能将其作为一种普通的无名合同处理，需要有强行法规范对这种交易作出必要的限制。

1.个人信息商业化利用的限度

第一，并非所有个人信息都可以作为商业化利用的客体。根据《民法典》第993条的规定，姓名、肖像等个人信息可被用作许可他用；同时，该条后半段规定了依照法律规定或根据其性质不得许可的除外，即可以被商业化利用的个人信息应有其有限范围。虽然根据《民法典》第1033条的规定，特定情况下私密信息可以被处理，但此处的处理应理解为不包含商业化利用的处理，如医院对于自然人就诊时主动提供的私密信息的处理，国家机关、承担行政职能的法定机构及其工作人员在执行公务时对相关个人私密信息的处理等。这样的限制是出于隐私权的特殊性，为了确保自然人的人格尊严不因商业利益的驱动受到侵犯，依据民法的公序良俗原则，禁止关于私密信息的商业化交易是有必要的。

第二，个人信息上的财产利益不能作为破产财产被法院强制执行，也不能在夫妻离婚时作为共同财产进行分割。出于对人格利益自治的维护，自然人的同意是对个人信息上财产利益进行利用的必要前提。让个人信息上的财产利益始终寄身于人格权的框架之下，使其在商业性利用的过程中始终受到人格属性的制约，才能充分保障个人的人格尊严不受侵犯。

第三，应当赋予个人信息主体撤回许可的权利。虽然许可的前提是个人信息主体的同意，但是随着主客观环境的变化，可能会出现新的限制个人信息主体的人格利益的情况。〔30〕如欧盟《一般数据保护条例》第17条创设的被遗忘权，规定当数据主体撤回其同意时数据控制者应立即删除相应数据；我国《个人信息保护法》第15条、第47条也规定了类似内容。对于个人信息主体行使撤回权的条件应不加限制，任何时候个人信息主体都应当有权撤回其同意。保障被许可的合同相对人的交易安全，出于平衡的目的，可以要求因行使撤销权而对无过错的合同相对人造成合同利益以外的损害的承担相应的赔偿责任。

第四，自然人对个人信息上财产利益的利用受到合理使用规则等的限制。《民法典》第999条规定了人格权的合理使用，但新闻报道、舆论监督等仅是合理使用的一小部分情形，应结合《民法典》第1036条进行理解。第一，个人信息上财产利益的自我控制需让位于主体的合法利益和社会公共利益，如国家机关为依法履行职责在必要范围内可以不经个人信息主体的同意处理个人信息，如控制疫情所需要的公开详细行踪信息。第二，个人信息主体自行公开其信息，应当视为“同意”其信息被公开范围内的受众在符合其公开用途的前提下进行处理，除非其重大利益被侵害或事后进行了明确拒绝，即对之前所作公开行为中的“同意”意思行使了撤回权。

2.个人信息处理者对个人信息上财产利益的利用权限

针对个人信息的商业化利用主要发生在两种场合：一是自然人向个人信息处理者交易个人信息；二是信息处理者向第三方交易其处理的个人信息。

在第一种场合中，交易双方之间实际上是一种类似肖像许可使用合同的个人信息许可使用合同关系。肖像许可使用合同包括独占性的和非独占性的两种，独占性许可使用合同主要是由名人肖像上成熟的商业化利用模式所致。出于信息交互的发散性、分众性，个人信息不宜参照设置独占性的个人信息许可使用合同，否则会使数据时代的个人生活举步维艰，比如一家餐馆很难要求消费者不在其他餐馆注册会员。

第二种场合中，又可包含两种情形。一种是个人信息处理者转让的同时放弃自身的处理权限，对所存储的个人信息进行彻底删除。此时两者之间的合同关系可以视为债权债务的转让协议，根据概括转让的规则，需要经过原合同当事人的同意。另一种更为常见的情形是个人信息处理者向第三方提供个人信息时，并不放弃自身处理权限。此时，交易双方之间不再是一种债权债务的转让协议，而是一种特殊的数据服务合同关系，个人信息处理者为第三方提供向个人信息主体发出要约的通道，并在第三方与个人信息主体达成合意之后，向第三方提供其所收集整理的个人信息。对作为债务人的个人信息主体而言，并不是更换而是增加了债权人，相当于签订了一个新的个人信息许可使用合同；对第三方而言，需要同时向个人信息主体和个人信息处理者两方提供对价，以换取对个人信息的合法处理权限和个人信息处理者提供的数据服务；对个人信息处理者而言，其通过第三方提供的对价体现其在个人信息的收集、处理上投入的成本，从而实现对个人信息上财产利益的利用。

实践中，互联网企业在提供服务之前，往往要求用户勾选同意个人信息处理协议/隐私政策，协议文本中通常包括“同意其向第三方转让/分享/披露/提供被授权的个人信息”的内容。由于这类协议非常长，用户通常不会仔细阅读条款，为了使用软件而勾选同意，相当于事前同意此后可能发生的转让。一方面，这种协议的内容反映了个人信息处理者在信息服务领域的霸权，使得隐私关切较高的消费者受到歧视性对待，应受规制，这也体现在《个人信息保护法》第16条中。另一方面，这种事前同意的转让许可并不能生效。由于第三方的身份、处理个人信息的目的和方式、保护信息的能力均无法事先确定，事前同意将会严重损害个人信息主体的权益。应当要求个人信息处理者通过弹窗等形式，在向第三方交易信息之前，向个人信息主体展示第三方的要约及其提供的对价，单独获得个人信息主体的同意。这也有助于建立一个有效的市场退出机制：虽然对于服务提供者而言，持续的通知存在难度，但能够在激励个人信息处理者创新服务水平以提高用户黏度的同时，允许已经不再使用相关服务的自然人默认退出市场，从而有效避免其信息在不知情的情况下被以其无法预测的价格和目的转让给第三方使用。

3.个人信息上财产利益遭受侵害的救济

个人信息上财产利益遭受侵害时，如果个人信息处理者与个人信息主体之间存在以隐私政策、个人信息使用协议等形式签订的许可使用合同，则个人信息主体可以选择主张违约责任或侵权责任。如果主张前者，则依照当事人之间达成的合意进行赔偿计算。如果并不存在相应的合同内容，个人信息主体可以直接依据《民法典》第1182条主张侵权责任，即按照其所受损失或债权人所获利益进行赔偿。

由于个人信息被擅自使用，并不一定给个人信息主体带来直接的财产损失，同时，个人信息处理者从单条个人信息上获取的价值极为有限，因此，在实践中，个人信息主体很难依据上述规定主张其受有财产损失；有观点认为可以参考德国联邦法院的做法，以擅自处理个人信息的行为节省了通常所应当支付的对价为由，要求无法律上原因所受财产增加的个人信息处理者返还这部分财产利益，即按照通常所应支付的对价来计算赔偿额。但即使如此，除了名人之外，自然人可获取的对价金额很小，维权成本较高，保护效率极低。

对此，有两种可参考的解决路径：其一，在认可个人信息上财产利益应受保护的前提下，提起集体诉讼或由消费者协会等组织提起公益诉讼；其二，引入惩罚性赔偿机制。多数情况下，个人信息主体并不能意识到其个人信息在未经其同意的情况下被交易使用，即侵害个人信息主体的财产利益的行为被发现的可能性很低，〔31〕因此，应当将违约金规定得更高，高于实际损失。应从交易惯例、立法和司法等多个角度，通过强行法规定个人信息许可使用合同中的赔偿比例，倾斜保护处于弱势地位的个人信息主体的利益。

五、结语

对于个人信息上财产利益的保护，应跳脱一味追寻在个人信息上设定排他性财产权的进路，采取一元论观点，利用人格权商业化的理论解决个人信息上人格利益和财产利益共存的问题，明确个人信息控制权法理；同时，调整个人信息的利用和保护思路，让公权力介入方式由权属界定转向契约指导：参照肖像许可使用合同，明确个人信息主体与个人信息处理者之间的个人信息许可使用合同关系，在个人信息处理者向第三方提供个人信息的情境中，将其交易视为一种数据服务合同关系，并要求第三方与个人信息主体单独签订个人信息许可使用合同来获取对个人信息的处理权利，进而建构个人信息上财产利益合法交易的商业模式，提高企业对个人信息资源的保护动力，降低个人信息被非法交易、个人信息上人格利益受到侵犯的风险，实现和流转个人信息上财产利益。■