管輝寰

摘 要：《民法總則》第一百一十一條中率先規(guī)定的“個人信息權利”，從法理與實踐兩方面出發(fā)，其強調(diào)“可識別性”的特征導致將該權利視為具體人格權的一種更為合理。其權利內(nèi)容既包括支配權的屬性也包括請求權的屬性，但由于兼有財產(chǎn)性和可反復利用性，使其與隱私權又相互區(qū)別。在一般情況下，其權利主體為自然人，而同時在一定條件下，法人與非法人組織也應當享有信息權。考慮到區(qū)塊鏈、物聯(lián)網(wǎng)、人工智能等新技術對個人信息的收集、處理的新方式，在未來立法過程中還應當對相關概念進行新的解釋。

關鍵詞：個人信息權利；財產(chǎn)性；人格權

中圖分類號：D923 文獻標識碼：A 文章編號：1009 — 2234（2018）01 — 0112 — 05

一、電子數(shù)據(jù)形式個人信息的財產(chǎn)性

通訊技術的發(fā)展為個人生活帶來便利，同時也在逐步改變著人們的生產(chǎn)生活方式。大數(shù)據(jù)、云計算等技術的出現(xiàn)使得具有身份識別功能的個人信息產(chǎn)生了經(jīng)濟價值。目前，全球已有的數(shù)據(jù)中逾95%為非結構化數(shù)據(jù)，這些數(shù)據(jù)包括用戶在Instagram、Twitter、微博等社交媒體上生成的文字內(nèi)容、影音內(nèi)容和地理位置等，也包括自然人在登記資料時填寫的身份信息、住址、收入狀況等。這些數(shù)據(jù)在通過人或計算機進行分析后可以發(fā)現(xiàn)潛在關系并建模，以此來實現(xiàn)傳統(tǒng)方式無法發(fā)現(xiàn)的規(guī)律和模式。個人信息的價值即存在于這樣的“相關性”中，潛在的統(tǒng)計學定律能夠為企業(yè)、政府提供可資借鑒的外部條件分析報告，如市場趨勢、消費者行為與運營效率間的邏輯關系①。

在這種前提下，個人信息成為“流通物”。一方面，各種服務可以就其開展，并促使更頻繁的數(shù)據(jù)活動成為可能，另一方面，這也會帶來個人信息的交易方式、數(shù)據(jù)所有權等需要明確的新問題，如美國學者Westin所言，個人信息“不但是個人的一種偏好，它更是社會結構有效運作的前提。②”而將個人信息作為“流通物”使用，在任何情況下都需要明確基本原則，不得規(guī)避個人信息和數(shù)據(jù)維護的數(shù)據(jù)主權原則、保護原則、自由流通原則和安全原則③。這就需要對相關立法進行相應的調(diào)整，因為“在一個變幻不定的世界中，如果把法律僅僅視為是一種永恒的工具，那么它就不可能有效地發(fā)揮作用?！雹?/p>

另外，個人信息泄露等問題越來越嚴重⑤，針對這一現(xiàn)象，我國刑法上已進行了相關規(guī)定，在2016年至2017年上半年間，最高法、最高檢陸續(xù)出臺的司法解釋中，數(shù)次提及個人信息的問題①，2017年1月最高人民檢察院發(fā)布的《2016年度十大法律監(jiān)督案例》也將“徐玉玉案”這一典型案例列入，同時針對該案的審理、判決，諸多學者也進行了深入的探討②。

從國外立法的經(jīng)驗來看，OECD（Organization for Economic Cooperation and Development）于1980年通過的《關于隱私保護與個人資料跨國流通的指南》旨在建議保護個人資料的隱私與自由；在“人口普查法案”后， 1990年德國重新修訂的《聯(lián)邦個人資料保護法》將國家安全機關對個人信息的收集與處理納入個人資料保護法中；歐盟1995年通過了《歐洲議會暨歐盟理事會關于保護個人資料處理與自由流通指令》用以增強個人相對于信息控制者的地位，主張在某些領域給予信息主體法律強制保護并不容許當事人放棄權利；英國2000年生效的新《個人資料保護法》創(chuàng)造性地對敏感性個人信息的保護問題做了專門規(guī)定；2003年日本通過的《個人信息保護法案》將個人信息資料視為個人隱私的一部分加以保護。

FinTech（Financial Technology）在全球范圍內(nèi)的革命性發(fā)展所帶來的人工智能投顧等實際應用在消除信息不對稱的方面有十分明顯的優(yōu)勢，促使交易效率與交易安全都得到提升③。針對這些新技術，2016年5月至10月歐盟委員會法律事務委員會先后發(fā)布其針對人工智能的立法草案《就機器人民事法律規(guī)則向歐盟委員會提出立法建議的講演草案》、《歐盟機器人民事法律規(guī)則》，建議賦予人工智能工人民事法律主體的地位、成立監(jiān)管機構、重視隱私和數(shù)據(jù)保護④，通過設計維護隱私（privacy by design）、默許維護隱私（privacy by default）、知情贊成、加密等概念的標準，實現(xiàn)對數(shù)據(jù)的有效利用與保護。

需要特別指出的是，隨著物聯(lián)網(wǎng)技術、區(qū)塊鏈技術和人工智能技術的發(fā)展，個人信息的產(chǎn)生、收集將發(fā)生兩點較為重大的變化：

（1）個人信息產(chǎn)生的主體將由人轉(zhuǎn)變?yōu)槲铩?/p>

（2）個人信息在產(chǎn)生的同時即完成收集和傳輸。

這些法律問題與通訊技術的發(fā)展息息相關，因此在這一領域的研究需要跨學科的知識結構與思維廣度，對法學研究的方式方法提出了新的要求。在民法領域，制定《民法總則》的過程中，專家、學者對于個人信息、電子數(shù)據(jù)等問題仍存在許多爭議⑤，其中最為重要的就是對于個人信息權利的權利屬性確認問題，即個人信息權利的性質(zhì)、內(nèi)涵與外延。

二、個人信息權利的性質(zhì)

對于個人信息權利的性質(zhì)問題學界已展開了深入探討與研究，個人信息具有財產(chǎn)性和人身性，但以人身性為主要部分，因此將其歸入人格權的范疇更加合理。此次《民法總則》第一百一十一條雖然未直接采用“個人信息權”的表述，但通說觀點認為個人信息權既區(qū)別于財產(chǎn)權又區(qū)別于隱私權，為了更好地保護權利主體的利益，且避免向一般人格權逃逸的現(xiàn)象發(fā)生，應當將其規(guī)定為一項具體的人格權。該問題作為研究個人信息權利的理論基礎，有必要在此先進行總結梳理。

個人信息權利與財產(chǎn)權的區(qū)別較為明顯。（1）個人信息權利表現(xiàn)為一系列能夠反映并識別某一特定個體的信息，與人格權緊密相連，而財產(chǎn)權則不具有這樣的特征；（2）在侵害財產(chǎn)權的情況下，除受損的是具有特殊含義的特定物外，被侵害人很難請求精神損害賠償，而侵害個人信息權如盜用、出售他人個人信息的，按照常理，應當賦予被害人精神損害賠償?shù)恼埱髾唷?

個人信息權利與隱私權在一定范圍上存在重合，兩者的區(qū)別一直是學術界研究的熱點⑥。已有的研究成果可歸納為：（1）權利屬性的不同。隱私權注重隱私性，在大多數(shù)情況下隱私一經(jīng)暴露即不再是隱私①，其具有一次性和單向性的特征；個人信息權利則要求該數(shù)據(jù)或資料要能夠反映特定主體的信息，即信息的可識別性，并且具有可反復利用的特征。值得探討的是，在現(xiàn)實生活中網(wǎng)絡用戶在互聯(lián)網(wǎng)上，尤其是社交軟件中公布的資料許多并不是完全真實的，甚至一部分內(nèi)容是用戶本人杜撰、虛構的，該信息是否也屬于個人信息，即信息的真實性是否能作為判斷某一信息屬于個人信息范疇的依據(jù)問題。筆者認為，只要該信息本身或與其他相關信息組合能夠用于識別某一特定個人即可歸為個人信息，就如內(nèi)容的真實性不能成為侵害隱私權的抗辯理由一樣②。（2）權利的行使方式不同。隱私權是一項消極的、防御性權利，強調(diào)他人未經(jīng)允許不得擅自公開、傳播他人的隱私；個人信息權是一項積極的、主動的權利，權利人有權主動公開、修改、傳播及出售個人信息。

三、個人信息權利的內(nèi)容

權利的內(nèi)容即為其內(nèi)涵與外延，通說觀點認為個人信息權利是一項主動地、積極性的權利，包括權利人的支配權和請求權，根據(jù)已有的研究，筆者認為大致可以分為兩個方面：

（1）信息主體的自主決定權。德國在1983年人口普查法案中確立了信息自決權，意為“個人依照法律控制自己的個人信息并決定是否被收集和利用的權利”③，結合學術觀點與2016年12月全國人大常委會公布的《電子商務法（草案）征求意見》第四十七條至第五十二條的內(nèi)容，可以將個人信息的自主決定權再分為產(chǎn)生權、查詢權、更正補充權和刪除權；

（2）權利人向信息控制方的請求權。我國一些法律已經(jīng)規(guī)定了信息控制方保密的義務④，但對于信息主體而言，仍有權向信息控制方請求對已收集的信息進行刪除、對未收集的信息停止收集等，在某些法定情況下，個人信息的主體可以請求信息控制方以“一定方式暫時停止個人信息處理和利用”⑤。此外，信息主體還享有“被遺忘權”，即請求網(wǎng)絡服務商刪除與自己相關信息的請求權⑥。但這些權利的內(nèi)容包含哪些具體方面，在現(xiàn)有技術下如何有效的行使，都尚未明確。值得研究的是，在區(qū)塊鏈技術不斷發(fā)展應用的當下，“被遺忘權”在實行方面存在一定的技術障礙，如依《征信管理條例》第二十一條已過期的不良信用記錄如何在區(qū)塊鏈征信技術中實現(xiàn)“更正”、“刪除”就存在技術上的難題，因為沒有一個中心主體作為信用信息的儲存方，信息控制方自然無法對已錄入的信息進行刪改，因為每一個鏈都記錄著某一特定的信息，在這種情況下可能會導致對“更正權”、“刪除權”等概念賦予新的解釋⑦。

四、個人信息權利的主、客體范圍

通說觀點認為，個人信息權作為人格權利的一種，其主體只能為自然人。依拉倫茨的觀點，私法上的人以倫理上的人格主義為基本形象⑧。但法人和非法人組織是否也享有信息權，尤其此次《民法總則》關于法人的規(guī)定有較大改動，在實踐中也已經(jīng)出現(xiàn)利用法人或非法人組織的對外行為資料建立數(shù)據(jù)庫，分析并指導生產(chǎn)生活的情況，例如，（1）投資報告的制作。投資咨詢公司統(tǒng)計整理相關投資方歷年來對外股權投資的所有投資標的、投資金額與投資方式以向融資方提供項目設計咨詢意見；（2）證券二級市場的“復盤”行為。尤其對機構方、散戶主力等大額資金方的買賣行為的模式進行統(tǒng)計，建立的“模擬盤”以推演實盤操作；（3）人工智能的自我學習。IBM的“ROSS”人工智能系統(tǒng)以全美選定的律師事務所的所有已結案例為模板，通過自我學習機制實現(xiàn)對相似新案件生成法律意見。依通說觀點，法人的數(shù)據(jù)由商業(yè)秘密或知識產(chǎn)權進行保護，但這些對外投資的行為、案件資料與商業(yè)秘密等財產(chǎn)權和知識產(chǎn)權仍有所區(qū)別：（1）這些行為不具有隱秘性，法人與非法人組織的行為是外在的、顯著的、通過合法的公開渠道可以直接獲得的；（2）這些行為不具有原創(chuàng)性，也很難從中剝離出含有技術革新、自發(fā)創(chuàng)設的內(nèi)容。因此筆者認為，按照實踐中的情況來看，凡符合“大數(shù)法則”的統(tǒng)計學規(guī)律，無論其信息來源為自然人或非自然人，都可以作為建立數(shù)據(jù)庫的信息來源。這樣一來，任意可反映某一特定主體（個人或團體）的信息數(shù)據(jù)就都有識別性與財產(chǎn)價值，那么，在信息技術不斷發(fā)展的趨勢下，法人與非法人組織享有信息權就有了技術基礎的支撐。

當然，結合《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條、《網(wǎng)絡安全法》第七十六條第五款、《電子商務法（草案）征求意見》第四十五條對“個人信息”的定義來看，我國立法采用列舉式來定義“個人信息”的內(nèi)涵與外延，即以電子或者其他方式記錄的，能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息等。無論是電子形式或非電子形式，均要求具有“單獨或者與其他信息結合識別自然人個人身份”這一特征①。

但這種依“識別性”進行判斷的方式，其中存在兩個值得探討的問題：

（1）在電子形式個人信息的收集處理過程中常需經(jīng)過“去個人化”的步驟，在“模糊”后錄入數(shù)據(jù)庫，如此一來數(shù)據(jù)便與某一特定人脫離了直接關系②，此時，個人信息權的客體仍是反映某一特定主體特征的內(nèi)容，還是符合某一特殊排列的二進制代碼？筆者認為，如將其歸入個人信息權利的客體，則出于這樣的考慮：即便完成“去個人化”的信息篩選步驟，其也仍是用于反映某一特定群體的特征，如某外賣網(wǎng)站A收集B高校所有在校生的點餐數(shù)據(jù)，在模糊了特定用戶信息后，這些數(shù)據(jù)雖不再能夠直指某個學生，但依然能夠反映如“18-22歲月收入3000元以下的消費者”或“本科及以上學歷消費者”等特定群體的消費習慣；如將其排除在個人信息權利客體的范圍外，則主要考慮其已不具備某一個體的身份識別性，在性質(zhì)上更接近于信息收集方的商業(yè)秘密，從權利保護的角度而言，以財產(chǎn)權進行保護更加有效。在未來立法工作中除列舉式的定義外是否還可以采用概括式的方式確定一個判斷的核心標準和兜底規(guī)則：即凡是能夠單獨或者與其他信息結合識別自然人個人身份的信息，不局限于法律的明確列舉，即使沒有在條文中列舉出來，也屬于個人信息。

（2）物聯(lián)網(wǎng)技術中物物間產(chǎn)生與傳輸?shù)臄?shù)據(jù)信息是否也屬于個人信息的范疇？麻省理工學院在2000年提出的“將機器或其他物體通過傳感器等植入設備，經(jīng)由互聯(lián)網(wǎng)直接把相關數(shù)據(jù)傳輸給聯(lián)網(wǎng)的機器”，這些傳感器無須和人互動便能夠產(chǎn)生數(shù)據(jù)并實現(xiàn)交互，如生活中使用的Fitbit和Fuelband等鍛煉手環(huán)，Nest溫控器和煙霧探測器等。這些信息常包含使用頻率、時長、位置等與用戶習慣有關的內(nèi)容，但所涵蓋的內(nèi)容并非收集于某一特定主體，而是所有使用該設備的用戶。這與由自然人生產(chǎn)生活活動主動產(chǎn)生、傳播的信息不同。筆者認為，這些信息數(shù)據(jù)是屬于用戶個人還是屬于法人或非法人組織，應當依據(jù)信息收集過程中服務方是否進行了收集、分析、再造等勞動的付出。如果服務方對該信息的產(chǎn)生起到了主要作用，則應將其視為服務方的財產(chǎn)，反之則應視為信息主體的個人信息。但這種勞動力的付出需要到達什么程度，是否被要求像類似于知識產(chǎn)權需要有一定的“創(chuàng)造性”呢？有些個人信息涉及到公共利益，或雖未涉及但實際上是共有的數(shù)據(jù)資料，如某一市區(qū)某行業(yè)消費群體的信息情況，有關金融安全、保險安全等消費群體信息情況等。這些信息在何種情形下屬于信息主體何種情形下屬于信息控制方何種情況下屬于公眾，都是需要明確一個判斷標準，即個人信息權利的界限。這些需要相關立法機關進行解釋或完善。值得肯定的是，此次《民法總則》在第一百一十一條和第一百二十七條中對個人信息、虛擬財產(chǎn)進行了明文規(guī)定，表明我國對于互聯(lián)網(wǎng)技術中所產(chǎn)生的新的法律概念與法律問題給予了重視和進行法律保護的意愿。

〔參 考 文 獻〕

〔1〕石宏.中華人民共和國民法總則條文說明、立法理由及相關規(guī)定〔M〕.北京：北京大學出版社，2017.

〔2〕齊愛民.大數(shù)據(jù)時代個人信息保護法國際比較研究〔M〕.北京：法律出版社，2015.

〔3〕楊東.鏈金有法——區(qū)塊鏈商業(yè)實踐與法律指南〔M〕.北京：北京航空航天大學出版社，2017：273.

〔4〕〔美〕James R. Kalyvas，Michael R.Overly：大數(shù)據(jù)商業(yè)應用的風險規(guī)避與法律指南〔M〕.陳婷，譯.北京：人民郵電出版社，2016.

〔5〕齊愛民.個人信息保護法研究〔J〕.河北法學.，2008，（04）.

〔6〕王利明.論個人信息權的法律保護——一個人信息權與隱私權的界分為中心〔J〕.當代法學，2013，（07）.

〔7〕張新寶.從隱私到個人信息——利益再衡量的理論與制度安排〔J〕.中國法學，2015，（03）：50-54.

〔8〕楊立新，韓煦.被遺忘權的中國本土化及法律適用〔J〕.法律適用，2015，（02）.

〔9〕李欲曉.物聯(lián)網(wǎng)安全相關法律問題研究〔J〕.法學論壇，2014，（11）.

〔10〕楊東，潘曌東.區(qū)塊鏈帶來金融與法律優(yōu)化〔J〕.中國金融，2016，（04）.

〔責任編輯：陳玉榮〕