民法典视域下个人信息的性质厘清与法律保护

暨南大学法学院知识产权学院 郑海鹏

一、问题的提出

现代社会发展语境下的个人信息的特殊属性应获得关注，一方面，个人信息在一定的场景下具有共同利益属性，正如我国新冠病毒疫情防控期间，国家利用个人通信大数据，收集与利用个人行踪轨迹，从而进行流行病学的研判；而另一方面，正如学者孙伟平对“信息社会的价值构建”之下谈及新阶段发展之下的中国，不少企业经营者，尤其是互联网企业，大量收集与利用国民的个人信息，加之以算法技术，更加准确地把握市场需求，提高了生产效率。

与此同时，由于严重的信息不对称与议价能力不均衡，侵害个人信息权益的事件亦呈高发态势，故如何处理保护个人信息保护与促进信息流动、传播以实现效益最大化之间的矛盾关系，则为个人信息立法的关键之处。

正如上述，在信息社会中维系个人信息保护与其流通传播的关系意义非凡，但亦建立在对我国立法语境下个人信息的相关权益归属明晰基础之上。尽管《民法典》草案讨论时出现过“个人信息权”的概念，但正式出台的《民法典》并未采用该说法，仅是在第111条笼统地概括规定“自然人的个人信息受法律保护”。据此，个人信息是否为一种权利，或亦是一种权益，若为哪种权利或者权益，又应该归属于哪类，在民法典中如何加之以赋权与保护，此为本文论证的重大问题。

二、民法典下我国个人信息权益性质的辨析与厘清

（一）我国立法中对并未确立“个人信息权”，但明确承认其民事权益

观察我国关于“个人信息”保护的立法沿革，可以发现，早在2000年，全国人大常委会《关于维护互联网安全的决定》中对个人信息概念有所涉及，其第4条列举了他人电子邮件或者其他数据资料，较为生涩地勾勒几笔个人信息的内涵。《民法典》第1034条则对其进行了进一步的修正，一方面保留《网络安全法》中“以电子或者其他方式”与“单独或者其他信息结合识别”的概括原则，另一方面增加“电子邮箱”“健康信息”“行踪信息”等新类型，尽管列举式的表达无法及时全面地囊括不难新进发展的新事物类型，但款尾“等”字开放性地表达仍为现实的变化提供了窗口。

从整体上看，随着互联网经济的快速发展，我国关乎“个人信息”立法亦呈现一个“刚需”状态。从对个人信息的相关性质上看，无论是《民法典》的总则，亦或是人格权分则编，均未采用“个人信息权”的说法，但十分明确的是，无论是早期的相关规范性文件，还是后出台的关涉个人信息法律法规条款，均明确表达个人信息受法律保护，公民的个人信息在民事领域毋庸置疑地享有相关权益。

（二）结合民法典相关条款，分析个人信息权益的性质与内容

若按照传统的民法观念，个人信息权益是否直接界定为一项权利？无论是从萨维尼的“意志论”，亦或是从耶林的“利益论”两种法理角度解读个人信息权益，我们可以发现个人信息权益一方面具有个人意志支配力的特性，而另一方面，其具有利益的内容，个人可以实现对个人信息的控制以为他人设立相关的义务负担。虽然如此，但该类权益是否应该明确赋权以保护仍有一定争议。主要集中在于个人信息权益是否构成人格权，部分持否定观点的学者主要认为人格权表现为一种绝对权，具有排他的属性，而个人信息权益并不满足此要件，只要满足一定的条件，个人信息相关的权益是可以被转让至他用的。而且，个人信息权益并非在任何情形下都满足自决控制要件，在一些情形，对个人信息的控制权需要作出一定程度的过渡。而在部分学者眼中，允许他人处理自己的个人信息，并非否认个人信息人格权的排他属性，学者于柏华为了论证，作了如下比喻，许可他人处理使用自己的个人信息并非类似将汽车暂且借至他人使用般，短暂性地失去对汽车的控制，而更近似于允许他人使用汽车，将车主一并送至某个目的地，期间并未失去对汽车的控制，仅仅是未驾驶汽车。对此，笔者较为赞同后者的观点，从权利实现的目的考量，个人信息相关权益实现的目的对个人信息的控制，满足他人使用个人信息并不意味着个人即将失去对该个人信息的控制，亦并未阻碍相关权益目的的实现，二者并不冲突。

由于个人信息具有部分“可转让”的属性，进而获取某种商业的利益，部分学者则提出有必要对个人信息权益所包含的财产权益与人格权益分别赋权保护，而反对者则认为应该坚守“一元论”。主张对个人信息权益实现双重保护的理论灵感很大程度与知识产权体系中的著作权财产权与人身权双重保护有关联。在著作权中，“作品”由权利人独一无二地创造，具有强烈的人格烙印，但其不具有直接的财产内容，故法律赋予“发表权”“署名权”“修改权”和“保护作品完整权”等几项权利加之维护，同时以“复制权”“发行权”“出租权”等等权利来确保“作品”智力成果的效益传播与共享，以达到激励创造与最大化传播人类智力成果的平衡。尽管个人信息与作品在权益结构上有相似的地方，两者均存在着人格权益与财产权益相分离的场景形式，但据此将双重保护的模式类推至个人信息权益仍为不妥。相较而言，个人信息本身谈及不上为一颗与作品一般的“金子”，仅为有可能构成金子的某种成分或者材料，当他人认为该种材料经过如何加工后，能成为有价值之物，而如何加工的过程来源于他人的智慧创造，而非个人信息权益人，其仅仅是为他人利用自己的材料成分的处理行为进行正当化，该过程实质是为他人某种创造和价值目的提供了必要的条件，而并非直接向他人转移某种权益，故在我看来，坚持“一元论”的模式对个人信息权益进行保护更符合其权益本质。

综上，尽管我国个人信息相关立法并未直接规定“个人信息权”，但可以肯定的是，我国个人信息权益是一种独立的新型的人格权益，以一元论的模式包含着人格利益与财产利益。

三、对我国个人信息权益保护的展望与建议

（一）除了传统民事维权进路外，寻求个人信息人格权益保护救济

毋庸置疑的是，当个人信息权益遭受侵犯时，作为权利人，寻找传统的侵犯法进路以维护自身权益并不存在障碍，其基于《民法典》第1165条，行为人因过错侵犯他人民事权益造成损害的，应当承担侵权责任，即使我国立法中明确我国个人信息权益是一项民事权益，则使用侵权法路径以保护并无问题。此外，在部分存在民事合意的合同法个人信息权益纠纷，亦可适用合同法来调整与救济。

正如上文第二章所得结论，从《民法典》对个人信息权益的定位论证中看，个人信息权益应该被视为一种新型的人格权益，故除开传统的民事救济途径外，对于个人信息权益的保护，还可以通过人格权请求权。其主要依据《民法典》第995条，其规定当人格权受到侵害时，权利人有权要求停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等，且不受诉讼时效的影响。在人格权请求权的加持下，才能使得对个人信息权益的保护更加周全与严密，此具有十分重要的意义。

（二）对“知情同意”原则下的个人信息控制模式的修正

当下我国对个人信息权益的保护更多以信息主体为视角，通过对信息主体赋权以实现其对自身信息的控制与自决。然而，这种模式实施基础在于信息主体的理性决策，而信息主体的“理性”又很大程度来源于外部社会环境的整体建设水平，这就导致，在现实场景中，以“知情同意”为原则的控制模式常常面临失效或无效的局面。因此，对其进行合理修正，提高信息主体有效控制个人信息的程度以实现理性决策则显得十分关键。

具体说来，作为“家长”的政府主体可以以信息行业标准规范进一步对企业的隐私政策、信息处理细则等方面做出更为精细的设置，为作为个人的信息主体守好一道门，此亦类似美国法下联邦贸易委员会进入调整企业自律模式，是具有一定国际视野的保护修正进路。

（三）明确专门信息保护机构职权，加强行政监管的力度

欧盟与美国的个人信息权益保护治理，欧盟将强力的行政权通过各成员国内的专门机构得以扩张，为其治理管辖清除障碍，而美国借以联邦贸易委员会，亦将治理的触角伸至全美的各行各业；与此同时，无论是欧盟，抑或是美国，其面对大型现代公司大规模侵犯公众个人信息的行为，往往给予极为高额的罚款以制裁。

我国目前的针对个人信息保护的行政执法权力分散于工信、公安、市场监管等各个行业部门，日常执法监管虽然具有较强的针对性，但协同监管的能力较差，而新型公司对个人信息权益的“冒犯”规制，常常需要多部门统筹协同监管，才具有实际效用。故应对我国内部监管部门行政权力进行整合，如以网信办为领衔保护个人信息权益的核心机构，赋予其相关事项的行政调配权力。此外，相关部门在进行执法监管之时，可参考欧盟美国高额罚款的实践，加强处罚的力度。

四、结语

总而言之，对个人信息权益的保护紧紧围绕着处理对个人信息的控制，实现信息主体的自决权与促进信息传播与加工创造，实现社会效益最大化两者之间的矛盾关系。《民法典》通过具体的民事进路，努力实现处理这对关系，一方面明晰了个人信息权益的人格权益，通过分类保护区分与细化各类个人信息，为我国搭建起了新时代下个人信息权益保护的基本框架。