邱潤根

幾經(jīng)爭論的個人信息的保護問題隨著《民法典》的出臺暫時中止，形成了現(xiàn)有的人格權保護方式。不過，基于人格權保護個人信息的規(guī)定并不周延到其他與個人行為相關聯(lián)的個人信息，也沒有包含二次利用并加密處理的個人信息數(shù)據(jù)，使得新技術下的個體行為所形成的與個體有關的個人信息及二次利用的個人信息數(shù)據(jù)如何加以保護面臨困境。信息的流動性決定了涉及個體行為更大范圍的個人信息數(shù)據(jù)無法通過人格權進行保護，在大數(shù)據(jù)的運算下對個人信息的爬取、收集、加工、加密等處理后的數(shù)據(jù)化個人信息，知識產(chǎn)權保護路徑無疑是一種可以選取的保護方式。

人格權：個人信息的現(xiàn)有保護路徑

2020年5月28日通過的《中華人民共和國民法典》標志著我國已進入民法典時代。對于個人信息的保護問題，《民法典》首先在總則篇第五章民事權利第111條規(guī)定了“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”。之后，在人格權篇第六章將個人信息與隱私權并列為人格權之下的權益予以保護。從現(xiàn)有民法典的規(guī)定來看，對于個人信息的法律保護，主要表現(xiàn)為人格權下的個人信息保護。其中，個人信息中的私密信息適用于有關隱私權的規(guī)定，非私密信息的個人信息適用于有關個人信息保護的規(guī)定。并且，在人格權篇中，個人信息只限于能夠單獨或者與其他信息集合識別特定人的各種信息，包括自然人的姓名、出生日期、身份號碼、生物識別信息、住址、電話號碼、電子郵箱、行蹤信息等。這就意味著，在人格權篇之下的個人信息概念應做限定解釋，即：能識別特定人的信息。如果不能識別特定人的各種與個人有關的信息則不屬于人格權篇中的個人信息，應該歸為總則篇的個人信息予以法律保護。

因此，現(xiàn)有《民法典》對于個人信息存在兩個層面的法律保護：一是基于人格權篇加以具體保護，但限于能識別特定人的個人信息;二是不能識別特定人的個人信息基于總則篇的民事權利章節(jié)的規(guī)定予以一般性保護。

信息的流動性：個人信息人格權保護面臨的困境

由于人格權篇下的個人信息概念將個人信息僅限于識別特定人的信息，因而其無法周延到更多的個人信息。比如，個人在互聯(lián)網(wǎng)條件下的交易行為被記錄，成為與個體有關的信息就無法被人格權篇下的個人信息所含納。雖然這些人格權篇之外的個人信息可依總則篇中第五章第111條的規(guī)定加以保護，但是，只針對那些對個人信息的收集、使用、加工、傳輸、買賣、提供、公開等方式的非法行為，而如何界定這些行為的非法性需要借助其他的具體部門法的詳細規(guī)定;并且，《民法典》總則的一般性保護規(guī)定是宣示性的，只為日后的具體保護規(guī)定提供指引，因此現(xiàn)有的人格權保護方式對于個人信息的有效保護將面臨困境。

信息的流動性要求信息被大家共享，任何人不能對信息進行獨占。在沒有影響到其個體人格的特定情形下，這些具備一般信息特征的個人信息自然也應該為其他個體所享有。因此，《民法典》在人格權篇中明確規(guī)定“處理自然人個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：一、征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外;二、公開處理信息的規(guī)則;三、明示處理信息的目的、方式和范圍;四、不違反法律、行政法規(guī)的規(guī)定和雙方的約定”。這意味著，他人對個人信息的收集、存儲、使用、加工、傳輸、提供、公開等處理方式只要遵循合法、正當、必要原則，且不過度處理，并符合上述法定條件，不構成對個人信息的侵害。這使得依人格權保護個人信息的力度顯得非常有限。

個人信息與知識產(chǎn)物所具有的相同性質(zhì)，決定了對于個人信息的法律保護可以選擇基于知識產(chǎn)權的保護路徑。

此外，信息的共享還會帶來信息的二次利用，進一步放大了信息的應用范圍，尤其在個人信息經(jīng)過加密處理轉(zhuǎn)化成數(shù)據(jù)之后，一些個人信息已經(jīng)在他人共享的過程中失去了個體的識別性特征。因此，《民法典》雖規(guī)定“信息處理者不得泄露、篡改其收集、存儲的個人信息，未經(jīng)自然人同意，不得向他人非法提供其個人信息”，但是，但書條款又規(guī)定“經(jīng)過加工無法識別特定個人且不能復原的除外”。顯然，這些二次利用的個人信息不能再由個人信息原始提供者主張個人信息的法益保護，更不能主張基于人格權加以保護。

現(xiàn)有《民法典》人格權篇中的限定性界定個人信息，導致人格權對個人信息的保護力度有限，而總則中的一般性宣示法律保護之規(guī)定，又使得保護個人信息的法益還有待法律的詳細規(guī)定，甚至對二次利用后的個人信息如何保護只字未提。那么，對個人信息的保護是否可選擇其他方式呢？《民法典》預留了空間。

知識產(chǎn)權：個人信息保護的路徑選擇

任何被稱之為“權利”的東西，權利人就可以基于“權利”（權能）去控制所有針對權利的法律行為。因此，權利人對法律行為的控制必然是擴張的。如果設定個人信息權，那么權利人就會基于“權利”資格去控制任何他人對其個人信息的法律行為，這必然會影響信息的流動。信息流動性本質(zhì)決定了信息的共享，而限制共享必然會限制信息流動，所以《民法典》對個人信息保護的有關規(guī)定，并沒有采納“個人信息權”概念，而是采取“個人信息”概念。因為設定個人信息的法律保護，只需基于具體的法律規(guī)定所保護的法益進行主張即可，不會導致請求主張的擴張而限制信息流動所帶來的信息共享。

知識產(chǎn)權的客體本質(zhì)也是一種知識信息，具備流動性，個人信息的流動性特征與知識產(chǎn)權的客體性質(zhì)相同。對知識產(chǎn)權的保護，知識產(chǎn)權法通常具有雙重立法目的，既要考慮對權利人的權利保護，也要考慮相對人對知識信息的分享權利。知識產(chǎn)權法的這種雙重立法目的，導致知識產(chǎn)權的權利本質(zhì)上是一種法定的權利，即法律通過具體規(guī)定對知識產(chǎn)權的實施權。也就是說，知識產(chǎn)權法通常會明確規(guī)定權利人對于知識產(chǎn)物的具體實施行為，這些具體的實施行為可由權利人控制，這些法律規(guī)定的具體行為的實施需要權利人許可，而這些法定行為之外的行為就是任何人的自由。因此，知識產(chǎn)權的權利是非擴張性的，這種權利的非擴張性構成了權利人的權利邊界。個人信息與知識產(chǎn)物所具有的相同性質(zhì)，決定了對于個人信息的法律保護可以選擇基于知識產(chǎn)權的保護路徑。

一是基于商業(yè)秘密進行保護。在現(xiàn)有互聯(lián)網(wǎng)經(jīng)濟活動中，線上商家各自都會通過技術手段對當事人的線上經(jīng)濟活動（交易行為）進行記錄。在這些經(jīng)濟活動被商家作為其經(jīng)營信息而通過保密手段進行保護時，這些與行為人相關的經(jīng)濟活動相關聯(lián)的個人信息就可以被商家作為其商業(yè)秘密進行保護。

二是基于匯編作品著作權進行保護。對于非識別性特征的個人信息或者經(jīng)過加密處理的個人信息，由于這些信息不能基于人格權保護，當這些信息在被信息共享人爬取、收集、加工后形成了數(shù)據(jù)庫時，在數(shù)據(jù)庫的編排結構和方法，或者數(shù)據(jù)庫內(nèi)容的選擇方法具有獨創(chuàng)性時，這些構成數(shù)據(jù)庫內(nèi)容的個人信息，爬取者、收集者或加工者就可以考慮基于匯編作品進行著作權保護。

三是基于軟件著作權進行保護。當個人信息被深度加工，尤其在個人信息被作為大數(shù)據(jù)的一部分時，從事大數(shù)據(jù)運算的軟件開發(fā)者，通常會按照其設定的軟件程序進行甄別、提取，并對不同個體經(jīng)濟活動的行為信息進行賦值，之后將這些行為信息和與行為有關的個體信息進行整合，產(chǎn)生了一種新的個人應用信息。由于軟件開發(fā)者在整合時付出了創(chuàng)造性的智力勞動，因此軟件開發(fā)者可以成為這些個人信息的權利主體，個人信息因而可被作為軟件的內(nèi)容進行軟件著作權的保護。

編輯：黃靈? yeshzhwu@foxmail.com