从“权益”到“权利”：《民法典》个人信息保护模式的反思与完善①

饶雅文，张 力

(1. 云南省安宁市人民政府，云南 昆明 650300；2. 西南政法大学 民商法学院，重庆 401120)

2021年6月11日，国家互联网信息办公室(以下简称国家网信办)发布通报，表示在组织对公众大量使用的运动健身、新闻资讯、网络直播等常见类型部分App的个人信息收集使用情况进行检测后，发现其中有129款App存在违反必要原则、未经用户同意收集等不同程度违规收集使用个人信息的情况。2021年7月4日，国家网信办经过调查分析，认定“滴滴出行”软件存在严重违法违规收集使用个人信息问题，并通知各大应用商店下架该软件，要求滴滴认真整改存在的问题，切实保障广大用户个人信息安全。该案是国家网信办首次以个人信息安全为由对互联网平台头部企业实施调查、处罚的案件，无疑具有重大意义。近几年大数据、互联网技术的快速发展虽然促进了平台经济的繁荣，但也带来了个人信息的非法获取、滥用以及泄露等负外部性问题，严重危及个人信息安全，“现代科技已经成为一种独立于人类的异化力量”[1]这一论断逐渐成为现实。在此背景下，新近出台的《中华人民共和国民法典》(以下简称《民法典》)，将个人信息作为一种民事权益纳入人格权编的保护范围，确实是一种进步与创新。但从批判的角度来看，《民法典》对于个人信息的保护依然存在很多问题，导致民法对于信息处理者的震慑力不足，个人信息保护难以落实，滴滴严重违法违规收集使用个人信息便是最典型的一例。因此，对《民法典》个人信息的保护模式进行理论反思，进而对其进行完善以回应现实需要，具有重要的实践意义。

一、《民法典》个人信息保护模式：民事权益而非民事权利

个人信息作为一种客体，受民法保护。[2]对于个人信息，应当采取权利保护模式还是权益保护模式，学界一直存在较大的争议。所谓权利保护模式，即由《民法典》直接赋予民事主体以个人信息权，进而给予类似于生命权、健康权、名誉权、隐私权的法益保护方式；所谓权益保护模式，是一种保护程度弱于权利保护的法益保护方式，其源于《民法典》第3条的规定，即其中的“其他合法权益”。《民法典》对于绝大多数民事客体采取权利保护模式，如物权、债权、继承权、人格权等，但是对于个人信息采取了权益保护模式。

(一)《民法典》保护个人信息的基本规定

《民法典》总则和分则都对个人信息保护问题进行了规定，但均未赋予民事主体个人信息权。《民法典·总则编》第111条概括性地规定个人信息受法律保护，而这更多是一种宣示性规定。《民法典·总则编》是整个《民法典》的基础性、本源性部分，各分则不得与总则的规范内容相抵触。对于某具体问题，如果分则没有具体规定，可依总则的原则或精神处理。具体到个人信息保护问题，由于是首次进入民事法律调整范畴，《民法典》分则在具体规定时难免出现规范缺位或者滞后的情况，此时总则的规定便起到了填补漏洞的作用。

在分则中，个人信息保护规定在《民法典·人格权编》，由于和隐私权关系密切，对于二者的保护共同作为一个章节。分则对于个人信息保护的主要规定包括：个人信息的定义，个人信息分类保护，处理个人信息的原则、条件和免责事由，个人信息主体(即《民法典》中所称的“自然人”)的权利束，信息处理者的信息安全保障义务等。在权益保护模式的框架下，以上规定有三个亮点：

第一，扩大个人信息的概念外延。《民法典》分则对于个人信息的定义基本沿用《中华人民共和国网络安全法》(以下简称《网络安全法》)第76条的规定，并进行典型列举。但是，从措辞角度来看，《民法典》分则事实上延展了定义范围：《网络安全法》着重强调“识别自然人个人身份的各种信息”，而《民法典》则定义为“识别特定自然人的各种信息”。二者看似相同，实际上，个人信息并不限于《网络安全法》规定的与个人身份有关的信息，还包括与身份无关的信息，《民法典》保护的内容和范围更宽泛。[3]

第二，充实个人信息主体的权利束。《民法典》虽然没有规定个人信息权，却赋予个人信息主体对于个人信息享有的完整权利束，这不可不谓创新。具体而言，权利束中主要包含四种权利：其一，知情同意权，即原则上处理个人信息应征得该自然人或其监护人同意；其二，查阅复制权，即依法向信息处理者查阅或者复制其个人信息；其三，更正权和删除权，即发现有误可以提异议并要求更正，特定情况下可以要求删除；其四，信息安全保障权，需要注意的是，《民法典》并未直接规定自然人的信息安全保障权，而是通过信息处理者的安全保障义务间接体现。以上权利束在事实上构成了民事主体的个人信息权，尽管保护力度未达权利保护的要求。

第三，明确处理个人信息的免责事由。为保障个人信息的合理、高效使用，发挥其经济价值和社会价值，《民法典》也规定了处理个人信息的免责事由，主要包括三项，特别是其中第三项关于公共利益的规定尤为重要。例如在新冠疫情发生期间，法律允许有关部门和医疗机构处理有关个人出行往来、健康状态、疫苗接种等方面的信息，最大程度地阻止了疫情肆虐，有效维护了公共利益。

可以认为，《民法典》作为新时代的产物，对于个人信息的权益保护模式较为全面，既规定了信息主体的权利束，又规定了信息处理者的义务和免责事由，在一定程度上符合新时代对于个人信息保护的要求。

(二)权益保护模式的立法理由

《民法典·人格权编》起草时，学界对于是否将个人信息保护权利化存在较大争议。立法者经过慎重考量，最终选择权益保护模式，立法理由主要有三：

第一，民法可以分别保护民事权利和其他合法权益。在我国，未能权利化的其他合法民事权益受法律保护，具体体现在《民法典》第3条。事实上，限于民事法律的篇幅和抽象性，《民法典》不可能详细列举大千世界所有的民事权益并将其权利化。为了保持民法的开放性并考虑现实情况的复杂性，《民法典》第3条认可“其他合法权益受法律保护，任何组织或者个人不得侵犯”。可以认为，《民法典》第3条为个人信息的权益保护模式提供了法律基础。

第二，个人信息难以成为独立的权利客体。有学者指出，在具体人格权的生成中，应当避免与其他权利重合或交叉。[4]但是，姓名、隐私等具体人格权又非常普遍地以个人信息形式展现，这就导致对姓名、隐私等具体人格权的保护与对个人信息的保护重合。立法者最终也采纳了此种观点，不认为个人信息是独立的权利客体。

第三，权利保护模式妨碍信息自由和有效利用。有观点认为，个人信息流通具有公共性价值。[5]赋予民事主体个人信息权会妨碍信息自由，进而对公众知情权和公共事务造成负面影响。[6]应该说，此种观点有一定的道理。权利化可以提高对个人信息的保护程度，强化个人信息主体对于个人信息收集、使用、流通的控制权，在疫情等极端情况下不利于社会公共利益的维护，在正常情况下也不利于个人信息经济价值和社会价值的充分发挥。立法者采用权益保护模式，显然是试图在保护个人信息与促进个人信息有效利用之间取得平衡。

综上所述，立法者认为在目前阶段尚不能够且不需要将个人信息保护上升到权利保护层面，最终将“个人信息保护”很不协调地安置于《民法典·人格权编》之中。

二、《民法典》个人信息权益保护模式的反思

单从《民法典》对于个人信息保护的丰富规定来看，权益保护模式似乎全面而完善。但是深度挖掘《民法典》的规定并考察其具体实施路径，会发现权益保护模式存在一些根本性的问题，导致个人信息保护始终难以落实，当前部分电商平台大范围、全方位肆意收集、使用用户个人信息便说明问题的存在。

(一)保护力度不足

《民法典》采用的权益保护模式，实际上也是“行为规制模式”，即通过对他人行为的控制来实现对权益享有者利益的维护。相较于权利化模式，行为规制模式的保护范围有限、保护力度也较弱。[7]权利保护模式直接为民事主体设置具体的权利类型以涵盖有关利益，并将这些利益排他性地给予权利人。在这种情况下，权利人对相应利益的控制能力较强，独占性也很强，为义务人留下的活动空间较窄。权益保护模式与权利保护模式虽同样具有利益分配的功能，但是，权益保护模式并未将所有的利益划归权益主体，而是对整个利益进行切分，其中一部分给予权益主体，另一部分则作为相对人的行为自由空间。此种有限保护使权益保护模式的力度注定孱弱。

具体到个人信息保护，如果将个人信息这个法律客体上升到人格权高度予以保护，由于人格权是绝对权、对世权，意味着权利主体享有着对信息产生、收集、处理、转让、使用等各个环节的控制权，任何他人和组织不得侵犯此种控制权，否则就需要承担相应的民事责任。这是保护力度较强的一种方式，也是姓名权、名誉权、隐私权等其他人格权所采取的保护模式。而在当前，许多手机软件存在违约、违规、违法收集、使用用户个人信息的情况，更有甚者，用户不同意收集、使用个人信息便不能使用软件，这是《民法典》采用的权益保护模式所带来问题的典型表现。

以同意权行使为例，《民法典》第1033条规定，处理他人私密信息需要权利人“明确同意”，而依据第1035条，处理一般个人信息只需“征得同意”，同一部法典对于同意的方式采用两种表述，这表明立法者意识到“明确同意”和“征得同意”是不同的，结合体系解释，可以认为“明确同意”的保护力度要高于“征得同意”，处理一般个人信息时可以不需要明确同意，可以默示同意，这显然是有意降低对一般个人信息的同意权标准，而这也是权益保护模式的结果。

(二)体系衔接不畅

现代《民法典》的一个重要特征是逻辑严密和体系自洽。但是，个人信息权益保护模式却在冲击着这种体系的自洽性，并衍生出更深层次的问题。

第一，《民法典·总则》第五章名为“民事权利”，该章项下第111条却将个人信息作为民事权益进行保护。众所周知，权利项下不应包含权益，这就造成《民法典》体系的局部不和谐。此种情况同样出现在分则中。《民法典》第四编名为“人格权”，顾名思义，该编是对一般人格权和生命权、健康权、隐私权等具体人格权进行规定，在逻辑上不应包括非权利的保护对象。然而，个人信息却以非权利客体的形式纳入《民法典·人格权编》之中，与“人格权”的编名产生逻辑冲突。也许立法者意识到该问题的存在，通过《民法典》第990条第2款规定自然人享有“基于人身自由、人格尊严产生的其他人格权益”，但是这终究是一种回避问题而非解决问题的方式，因为它不能应对上述逻辑冲突。其实，冲突还只是表象，衍生的深层次问题是，《民法典·人格权编》的一般规定(例如第992条“人格权不得放弃、转让或者继承”的规定)是否适用于个人信息保护？其中是否存在一个明确的判断标准？如果适用，个人信息又在多大程度上受到一般规定的保护？

第二，民事主体不享有个人信息权，却对个人信息享有一个具体的相对完整的权利束。一般而言，抽象权利可以涵盖具体权利或权能。例如，著作权可以涵盖发表权、署名权等人身权以及复制权、发行权等财产权，人格权可以涵盖生命权、健康权、隐私权等权利。但是，权益之下不能涵盖具体权利或权能，否则即造成逻辑上的混乱。然而根据《民法典》的规定，个人信息主体享有知情同意权等系列具体权利，这不得不让人怀疑，个人信息主体对个人信息享有的到底是权利还是权益？如果是权利，为何不直接规定个人信息权？如果是权益，为何却涵盖如同权利的具体而完整的权利束？抑或是，立法者认为个人信息本身不构成权利，但想给予个人信息权利一样水准的保护？这些疑问会给个人信息保护的具体实施带来困难。

第三，难以适用人格权请求权。人格权请求权，是指自然人在其人格权的圆满状态受到妨害或者有妨害之虞时，得向加害人或者人民法院请求加害人为一定行为或者不为一定行为，以回复人格权的圆满状态或者防止妨害的权利。[8]《民法典·人格权编》第995、997条对人格权请求权进行了规定，分别对应人格权的圆满状态受到妨害和有妨害之虞的情形。但是，在权利和权益分野的情况下，此种人格权请求权难以适用于作为民事权益的个人信息。

(三)分类保护导致路径冲突

或许是考虑到个人信息与隐私权保护存在重合之处，《民法典》将隐私权与个人信息保护作为一章来规定。[9]然而，个人信息和隐私在内容上既有重合也有区隔。[10]重合的部分即“私密信息”，是指自然人不愿意为他人知晓且与公共利益无关的信息。[11]透过这个定义，可知私密信息的三个特征：一是不愿意他人知晓，否则会侵扰私生活安宁或者带来名誉上的毁损，这个特征与隐私权相联系，是隐私权保护的自然人的人格利益；二是与公共利益无关，例如暗中从事犯罪活动的信息不属于隐私；三是私密信息最终属于个人信息。其中，第一、第三两个特征使私密信息具有双重属性，因此就面临保护路径适用的疑难。

《民法典》第1034条第3款将私密信息区别于一般个人信息的特别保护措施。立法者认为，对私密信息实施权利化而非权益化的保护，可以提高保护强度。以知情同意权为例，处理私密信息，除法律另有规定外，需要权利人明确同意(《民法典》第1033条)；而处理一般个人信息，除了自然人本人可以行使同意权，其监护人也可以行使同意权，并且可以另行规定的不仅包括法律，也包括较低层级的行政法规(《民法典》第1035条)。从这个角度上看，对私密信息适用隐私权进行保护确实强化了保护力度。

但是，《民法典》第1034条的分类保护策略有时会产生路径冲突，从而带来完全相反的保护效果。质言之，个人信息保护的路径有时会强于隐私权保护路径。例如，对于个人信息收集、处理、转让的同意是持续的，改变个人信息处理的方式和范围，需要再次取得同意；而对隐私公开的同意是一次性的，一旦公开，就没有二次公开的可能。显然，此时适用个人信息保护规定比适用隐私权规定有着更强的保护力度。此外，如果适用隐私权的有关规定，往往会排除个人信息保护规定的适用，这时私密个人信息主体往往会丧失查阅权等权利，因为隐私权人不享有这些权利。一言以蔽之，私密信息本可同时适用隐私权和个人信息保护这两种路径，但是《民法典》第1034条阻断了同时适用的可能性。

三、《民法典》个人信息权利保护模式的证成

当前《民法典》采取的权益保护模式确实引发了许多问题，导致个人信息保护一直未能有效落实。立法者未采取权利保护模式，并不能说明权利保护模式不适用于个人信息保护。相反，直接赋予个人信息主体个人信息权，具有多方面的正当性和必要性。

(一)个人信息本身可以成为独立的权利客体

如前所述，不少学者认为个人信息与姓名权、隐私权等人格权客体存在交叉，故而否认个人信息作为权利客体的独立性，但这种观点值得商榷。在民法中，权利与权利之间的界限并非泾渭分明，权利客体交叉的情况比比皆是，发生权利竞合的情况亦非少见。而且《民法典》仅仅规定了生命权、健康权、名誉权、荣誉权、隐私权等几种有限的具体人格权，但个人信息所承载的内容远远不止上述权利。质言之，交叉只是一小部分，不交叉的属于个人信息自留地的是大部分，我们不能因为一小部分的交叉而否认个人信息的独立客体地位。例如，个人家庭住址、身份证号、出行记录等信息很难归入其他具体人格权进行保护，但是我们不能否认这些信息的独立的权利客体地位。

也有学者认为，个人信息具有公共价值属性，因此不能成为民法上的权利客体，否则会妨碍信息自由和公共利益。这种观点也难以成立。专利权等知识产权也具有公共价值属性，但是专利并未因其权利化而妨碍了专利的许可和转让，也未损害公共利益。相反，专利权制度明确了产权归属，规范了专利的许可和转让行为，既实现了对专利权人的保护，又促进了专利价值的发挥。从这个角度看，个人信息的权利化不仅不会妨碍信息自由，而且能促进个人信息更规范地利用，在个人信息安全的前提下最大限度地发挥个人信息的经济价值和社会价值。

从人格权自身的特征来看，无论是生命权、健康权还是姓名权、隐私权，均体现出支配权(即权利主体对于特定利益的享有并防止任何他人干涉、侵犯的权利)的特性。那么，个人信息是否符合支配权的特征呢？《民法典》第1034条第1款规定“自然人的个人信息受法律保护”，实际上是个人信息主体对个人信息享有特定利益，就效果来看类似于《民法典》对于具体人格权的规定：自然人享有某某权。至于防止他人干涉、侵犯的权利，《民法典》的规定就更多了：处理个人信息需要征得自然人或其监护人的同意；自然人对个人信息有查阅权、更正权、删除权等权利；信息处理者有信息安全保障义务，等等。因此，个人信息与姓名、隐私一样符合支配权的特征。在一定程度上可以认为，在个人信息保护问题上，《民法典》是以权益保护之名行权利保护之实。

由此可见，个人信息自身的性质决定其可以成为民法上独立的权利客体。

(二)借鉴境外最新立法采取权利保护模式

从比较法的视野来看，境外最新的立法经验是将个人信息权利化。在这种安排下，个人信息不以“其他合法权益”的形式存在，也无需依托于其他权利，而是一种独立的受民法保护的权利客体。

在欧洲，《欧盟运行条约》第16条和《通用数据保护条例》(以下简称GDPR)第1条第2款都明确规定，自然人有保护其个人数据的基本权利和自由。由此可见，个人数据(信息)不仅仅是权利，而且被上升到基本权利范畴。特别是GDPR，以一系列的具体权利保护个人信息权，包括第15条规定的数据主体的访问权、第16条规定的信息更正权、第17条规定的被遗忘权、第20条规定的数据可携带权，等等。美国加州《消费者隐私法》也赋予消费者对个人信息的知情权(要求披露权)、访问权、可携带权、删除权和转售个人信息的拒绝权等权利。[12]

实际上，《中华人民共和国民法总则》(以下简称《民法总则》)起草过程也考虑过向境外最新立法经验学习，第111条的立法理由已经明确“个人信息权利”是自然人对其个人信息享有的“重要权利”[13]81。由此可知，在起草过程中立法者有意与国际接轨，将个人信息视为一种重要权利进行保护。

(三)权利保护模式符合我国实际需要

社会境况的变迁与民法体系构建之间形成了永久的张力，使得对民法体系的探讨永无止境。[14]当前，我国互联网产业迅速发展，平台经济也日益兴盛。与之相伴的是日益泛滥的个人信息的窃取、泄露和滥用。《民法总则》已颁布4年，《民法典》也已通过1年有余，但是违法处理个人信息的情况仍屡禁不止，贩卖、侵害个人信息权益的情况时有发生。

信息产业的进步使得个人信息的获取更便利、处理更迅捷，当然，也使违法行为更隐秘、违法成本更低廉。这要求我们必须对个人信息实施强保护，强化个人信息主体对个人信息的自我决定权和自我控制权。显然，《民法典》当前采用的权益保护模式无法提供这种保护。采取权利保护模式符合上述强保护的需要。相比权益保护模式，权利保护模式有以下三大优越性：

第一，权利保护模式能够提供确定性、稳定性和可预期性。民事权利外延清晰，获得的保障更加切实。[15]501正如前文所述，权益保护模式具有模糊性，通过对他人行为的控制来实现对权益享有者利益的维护，在类型和方式上无法适应侵害行为的扩展，不能为各当事方提供稳定的行为预期。而采用权利保护模式，个人信息作为权利客体，是以法律形式确认并加以特别保护的“具备相对重要性”的对象[16]92，所提供的保护更具有确定性、稳定性和可预期性。

第二，权利保护模式能改善相关方地位不对等的状态。在互联网和大数据时代，个人信息主体往往是单个自然人，而数据处理者往往是大型的互联网公司和公共服务机构，双方的谈判力量悬殊，地位处于严重不对等的状态。《民法典》采用的权益保护模式无疑加剧了此种不对等。如果对处于弱势的个人信息主体予以类似于消费者权利的倾斜性保护，则可在一定程度上缓解双方地位不对等的状态。同时，权利主体的维权路径更清晰、维权依据更明确，可有效减轻维权的论证负担。

第三，权利保护模式能使《民法典》体系更和谐。如前所述，无论是《民法典》总则还是分则，均因个人信息的权益保护模式出现体系上的不衔接、不协调、不和谐。但是采取权利保护模式，能够从根本上解决上述问题，使民事权利客体更加统一，保护路径更加一致，诸如“人格权的一般规定是否适用于个人信息保护”之类的衍生问题也能得到明确的回答。

综上，将个人信息权利化，既是权利宣示，又是实践中的可行路径。[17]鉴于个人信息本身即可成为独立的权利客体，而境外最新立法已采取权利保护模式，且我国对权利保护模式又有迫切的现实需求，并无理由排斥个人信息权利化的安排。

四、《民法典》个人信息权利保护模式的展开

结合前文讨论，本文认为个人信息保护的改进路径可以从以下三个方面展开。

(一)赋予个人信息权并细化其内容

采取权利保护模式，首要的便是赋予个人信息主体个人信息权，以明确个人信息独立的权利客体地位。在体系上，个人信息权要与隐私权切割，单独作为一章来规定，这是因为个人信息权和隐私权保护的法益不同。诚然，二者的权利客体存在重合，即私密信息，但由于二者保护法益的基本面向不同——前者强调的是信息不能被非法处理，后者侧重的是信息的不可公开性——在具体适用的时候可以同时适用，并不矛盾。

在内容上，应当对个人信息权的权利内容进行更典型和充分的列举。除了《民法典》现有的查阅权、复制权、更正权、删除权外，本文认为还应当明确以下权利。

第一，信息保有权。所谓信息保有权，是指权利主体自己占有、控制自己的个人信息，他人不得非法占有的权利。这应是个人信息权的主要内容，只有充分保有个人信息，才能有效行使其他权利。当前，部分互联网平台大量占有、控制用户的个人信息，实际上是对信息保有权的侵犯，这更加彰显了信息保有权的重要性。

第二，信息知情权。信息知情权是指权利主体有权了解信息收集、处理、转让、使用等方面的真实情况的权利。知情是同意的基础，充分知情才能准确同意。然而，当前我国很多互联网平台收集、处理个人信息都是在用户不知情的情况下进行的，这一方面是为了节约沟通成本，另一方面是为了最大限度收集、处理信息。但无论如何，均严重侵犯了用户的信息知情权，立法者应关注这一事实。

第三，信息被遗忘权。从起源来看，被遗忘权最初确立于2014年欧盟法院审理的“冈萨雷斯诉谷歌”一案。[18]此后的GDPR也对被遗忘权予以规定。需要说明的是，此处的被遗忘权与我国《民法典》规定的删除权有一定的联系，以至于有学者认为没有必要单独规定被遗忘权，《民法典》中两种情形的删除权的适用已经涵盖了自然人有权要求删除个人信息的全部正当情形。[19]然而，删除权和被遗忘权的区别是很明显的，后者的适用场景是“信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息”，前提是信息处理者存在一定的过错，而前者的适用场景是已被公开的信息会导致个人信息主体遭受较低社会评价。修订《民法典》时引入被遗忘权，能显著提高个人信息主体对个人信息的控制能力。

个人信息权是一种绝对权、对世权，明确他人特别是信息处理者等特定主体的义务也是对权利的保障。对此，我国《民法典》予以了较为详细的规定，包括任何组织和个人不得侵害的一般性义务，以及特定义务主体的特殊义务，例如信息处理者处理个人信息时应当遵循特定的原则和条件，不得泄露、篡改个人信息，保障信息安全以及必要时及时采取补救措施等义务。然而，上述义务显得过于零散，不够系统，且缺少与个人信息主体权利的对应关系。在赋予个人信息权的同时，应当全面梳理并有序安排义务主体的义务，这样才能全方位地保障个人信息权。

(二)强化信息自决

当前，很多互联网平台软件收集用户个人信息具有这样一个特征：平台以格式条款要求收集用户所有相关和不相关的个人信息，用户如果不同意收集便无法使用该软件，而很多时候该软件又扮演着“关键设施”角色，用户必须使用，此时就不得不同意平台收集个人所有信息。这实际上是对信息自决的侵犯。所谓信息自决，强调的是对个人信息的控制和对信息处理的决定、同意。[20]德国联邦宪法法院在撰写裁判理由时，将信息自决视为“基本权利”，并认为其产生于一般人格权。信息自决的具象表现是同意权。我国《民法典》对个人信息的同意权也有规定，但显然过于粗糙。强化同意权，本文认为应从以下四个方面着手：

第一，除少数特殊情况，同意权的主体应限于权利主体本人。根据《民法典》第1035条的规定，处理个人信息需要征得本人或者其监护人同意。这是一个不具可操作性的规定，并带来以下问题：什么情况下由谁来行使同意权？如果本人和监护人行使同意权的结果不一致该如何处理？《民法典》并未回答这些问题。结合实际并本着强化信息自决的宗旨，本文认为应以如下方式规定同意权：如果权利主体是完全民事行为能力人，只能由本人行使同意权；如果是无民事行为能力人，由于没有意思表示能力，由监护人行使同意权；如果是限制民事行为能力人，在权利主体意思表示能力的范围内，仍应由权利主体本人行使同意权，监护人不得介入，除非行使同意权的结果会给权利主体自身利益带来重大损害。因此，除权利主体是无民事行为能力人外，原则上都应由其自身来行使同意权。

第二，行使同意权的外观应是明确的、清晰的，不可默示同意。既然个人信息保护上升为权利，则对该权利的保护程度应与其他具体人格权保持一致。隐私权保护中，处理私密信息需要权利主体的“明确同意”，就没有理由在个人信息保护中采取更低保护力度的同意标准。因此，即使处理一般个人信息，也需要征得“明确同意”，不可是默示的或者其他形式的同意。

第三，无需征得同意的例外情况，应仅由法律来规定。《民法典》规定在处理私密信息时，只有当法律另行规定时，才可不必征得权利人同意；但是对处理一般个人信息，法律和行政法规都可以规定无需征得同意的例外情况。这显然压缩了权利主体同意权的行使范围，不利于同意权的强化。因此，在完善个人信息的处理规则时，采取隐私信息的处理方式，明确仅有法律可以规定无需征得权利主体同意而进行处理的例外情形，不仅有利于隐私权与个人信息权处理保护规则的统一，形成二者内部的体系协调，在个人信息权的权利主体层面上，还有利于其同意权的强化，保护个人信息权利主体的切身利益。

第四，限制全面搜集信息的一揽子征得同意行为。现实操作中，很多手机软件往往以隐私协议的形式向个人信息主体征求一揽子同意，其中有的个人信息是使用软件所必须的，而有些个人信息则超出了实际所需的范围。但是对于用户而言，只能是要么同意，要么不同意。对于这种行为，《民法典》应当予以限制，至少应给予个人信息主体一揽子同意还是分别同意的选择权。

(三)两种具体路径：人格权请求权和侵权责任

人格权请求权是对人格权的一种重要救济方式。此种救济不以赔偿为目的，而是请求回复人格权的圆满状态或者排除妨害。将个人信息上升到人格权予以保护，《民法典》第995、997条规定的人格权请求权自然可以适用。具体可分为两种情况：其一，当侵害个人信息行为已经实际发生时，受害人的请求权包括停止侵害行为、消除影响、恢复名誉、赔礼道歉等。如果个人信息被泄露、篡改、丢失，权利人可以请求信息处理者采取技术措施和其他必要措施，确保信息安全，必要时有权请求信息处理者删除个人信息。其二，当侵害个人信息行为未实际发生但存在发生的可能性，并可能给权利人的合法权益造成难以弥补的损害的，权利人可以请求行为人立即停止有关行为。当然，此种请求权需要通过法院来行使，否则可能会侵害他人的行为自由。

以侵权责任有效衔接人格权是个人信息保护的另外一种方式。梁慧星教授认为，各国民法对人格权保护的共同经验可以概括为“类型确认+侵权责任”，将侵害具体人格权的行为统一纳入侵权责任法的适用范围。[21]此种观点对于个人信息权保护也可适用。当个人信息明确为一种权利时，侵权责任将是一种有力保障。如上所述，《民法典·人格权编》关于侵犯人格权的规定实际上是人格权请求权的规定。但《民法典·侵权责任编》又没有侵犯个人信息权的具体规定，只能依据一些抽象的共通性的规定，来实现个人信息权的侵权责任保护。

首先，《民法典》第1065条可作为基础法律依据。该条规定的是过错责任，侵犯对象是“民事权益”。个人信息权当然是一种民事权益，并且，个人信息权的侵权人一般都有主观上的过错，包括故意和过失。因此，当个人信息权受到侵害，权利人可依据该条要求侵权人承担侵权责任。

其次，侵害个人信息权的财产损害赔偿。有学者认为，个人信息权具有人格利益和财产利益双重属性。[22]109因此，侵害个人信息权也可能带来一定的财产损失。对此，《民法典》第1182条可提供法律依据，即侵害人身权益造成财产损失，被侵权人有权获得赔偿。事实上，相比较姓名权、隐私权等其他具体人格权，个人信息的财产利益属性更强，特别是个人支付类信息，一旦泄露会导致直接的财产损失，因此更需要侵权损害赔偿来保护。

最后，侵害个人信息权的精神损害赔偿。精神损害赔偿实际上是因人格权遭受不法侵害而导致的受害人或其近亲属精神上的痛苦或生理、心理上的损害的赔偿。我国《民法典》第1183条对精神损害赔偿进行了规定，赔偿的前提是造成“严重精神损害”。应该说，侵害个人信息权也可能造成严重精神损害，特别是侵害个人信息中的“私密信息”，往往会给权利主体的名誉带来极大的负面影响。因此，《民法典》第1183条也可为侵害个人信息权的精神损害赔偿提供依据。

五、结语

当前，个人信息越来越成为一种重要的生产力。网约车、线上购物等各大互联网平台也越来越重视个人信息经济价值的摄取。但是，对于个人信息的大规模使用甚至滥用，无疑会损害个人信息主体的人格权。在这种背景下，《民法典》采取的权益保护模式已不符合现实的迫切需求，并带来保护力度不足、《民法典》体系紊乱等诸多问题，进而导致个人信息权益保护难以落实。从个人信息本身属性来看，它有自己特殊的、独立的存在价值，完全可以成为受民法保护的权利客体，而且GDPR等境外最新的立法经验已经对个人信息予以权利化保护。鉴于此，我国没有理由排斥对于个人信息保护的权利化。从改进路径来看，我国应在《民法典》中赋予自然人个人信息权，并明确其内涵与外延。最重要的是要强化信息自决，让个人信息主体自己占有和控制个人信息。在具体路径上，应当完善个人信息保护的人格权请求权，同时以侵权责任有效衔接个人信息权的具体权利，从而实现对损害个人信息权的有效救济。当然，在法律当中将个人信息上升为民事主体的权利仅是在信息时代对个人信息实行强有力保护的第一步。在个人信息日益成为重要生产资料的当下，还需要在司法与执法当中真正实现对民事主体个人信息权的有效保护，在学术研究层面，未来更应当关注个人信息保护的实证研究，以探求未来我国更为完善的个人信息保护。

注释：

① 中国政法大学民商经济法学院陈航为本文作出了重要贡献，特此致谢！