饒雅文，張 力

(1. 云南省安寧市人民政府，云南 昆明 650300；2. 西南政法大學 民商法學院，重慶 401120)

2021年6月11日，國家互聯網信息辦公室(以下簡稱國家網信辦)發(fā)布通報，表示在組織對公眾大量使用的運動健身、新聞資訊、網絡直播等常見類型部分App的個人信息收集使用情況進行檢測后，發(fā)現其中有129款App存在違反必要原則、未經用戶同意收集等不同程度違規(guī)收集使用個人信息的情況。2021年7月4日，國家網信辦經過調查分析，認定“滴滴出行”軟件存在嚴重違法違規(guī)收集使用個人信息問題，并通知各大應用商店下架該軟件，要求滴滴認真整改存在的問題，切實保障廣大用戶個人信息安全。該案是國家網信辦首次以個人信息安全為由對互聯網平臺頭部企業(yè)實施調查、處罰的案件，無疑具有重大意義。近幾年大數據、互聯網技術的快速發(fā)展雖然促進了平臺經濟的繁榮，但也帶來了個人信息的非法獲取、濫用以及泄露等負外部性問題，嚴重危及個人信息安全，“現代科技已經成為一種獨立于人類的異化力量”[1]這一論斷逐漸成為現實。在此背景下，新近出臺的《中華人民共和國民法典》(以下簡稱《民法典》)，將個人信息作為一種民事權益納入人格權編的保護范圍，確實是一種進步與創(chuàng)新。但從批判的角度來看，《民法典》對于個人信息的保護依然存在很多問題，導致民法對于信息處理者的震懾力不足，個人信息保護難以落實，滴滴嚴重違法違規(guī)收集使用個人信息便是最典型的一例。因此，對《民法典》個人信息的保護模式進行理論反思，進而對其進行完善以回應現實需要，具有重要的實踐意義。

一、《民法典》個人信息保護模式：民事權益而非民事權利

個人信息作為一種客體，受民法保護。[2]對于個人信息，應當采取權利保護模式還是權益保護模式，學界一直存在較大的爭議。所謂權利保護模式，即由《民法典》直接賦予民事主體以個人信息權，進而給予類似于生命權、健康權、名譽權、隱私權的法益保護方式；所謂權益保護模式，是一種保護程度弱于權利保護的法益保護方式，其源于《民法典》第3條的規(guī)定，即其中的“其他合法權益”。《民法典》對于絕大多數民事客體采取權利保護模式，如物權、債權、繼承權、人格權等，但是對于個人信息采取了權益保護模式。

(一)《民法典》保護個人信息的基本規(guī)定

《民法典》總則和分則都對個人信息保護問題進行了規(guī)定，但均未賦予民事主體個人信息權?！睹穹ǖ洹た倓t編》第111條概括性地規(guī)定個人信息受法律保護，而這更多是一種宣示性規(guī)定。《民法典·總則編》是整個《民法典》的基礎性、本源性部分，各分則不得與總則的規(guī)范內容相抵觸。對于某具體問題，如果分則沒有具體規(guī)定，可依總則的原則或精神處理。具體到個人信息保護問題，由于是首次進入民事法律調整范疇，《民法典》分則在具體規(guī)定時難免出現規(guī)范缺位或者滯后的情況，此時總則的規(guī)定便起到了填補漏洞的作用。

在分則中，個人信息保護規(guī)定在《民法典·人格權編》，由于和隱私權關系密切，對于二者的保護共同作為一個章節(jié)。分則對于個人信息保護的主要規(guī)定包括：個人信息的定義，個人信息分類保護，處理個人信息的原則、條件和免責事由，個人信息主體(即《民法典》中所稱的“自然人”)的權利束，信息處理者的信息安全保障義務等。在權益保護模式的框架下，以上規(guī)定有三個亮點：

第一，擴大個人信息的概念外延?！睹穹ǖ洹贩謩t對于個人信息的定義基本沿用《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)第76條的規(guī)定，并進行典型列舉。但是，從措辭角度來看，《民法典》分則事實上延展了定義范圍：《網絡安全法》著重強調“識別自然人個人身份的各種信息”，而《民法典》則定義為“識別特定自然人的各種信息”。二者看似相同，實際上，個人信息并不限于《網絡安全法》規(guī)定的與個人身份有關的信息，還包括與身份無關的信息，《民法典》保護的內容和范圍更寬泛。[3]

第二，充實個人信息主體的權利束?！睹穹ǖ洹冯m然沒有規(guī)定個人信息權，卻賦予個人信息主體對于個人信息享有的完整權利束，這不可不謂創(chuàng)新。具體而言，權利束中主要包含四種權利：其一，知情同意權，即原則上處理個人信息應征得該自然人或其監(jiān)護人同意；其二，查閱復制權，即依法向信息處理者查閱或者復制其個人信息；其三，更正權和刪除權，即發(fā)現有誤可以提異議并要求更正，特定情況下可以要求刪除；其四，信息安全保障權，需要注意的是，《民法典》并未直接規(guī)定自然人的信息安全保障權，而是通過信息處理者的安全保障義務間接體現。以上權利束在事實上構成了民事主體的個人信息權，盡管保護力度未達權利保護的要求。

第三，明確處理個人信息的免責事由。為保障個人信息的合理、高效使用，發(fā)揮其經濟價值和社會價值，《民法典》也規(guī)定了處理個人信息的免責事由，主要包括三項，特別是其中第三項關于公共利益的規(guī)定尤為重要。例如在新冠疫情發(fā)生期間，法律允許有關部門和醫(yī)療機構處理有關個人出行往來、健康狀態(tài)、疫苗接種等方面的信息，最大程度地阻止了疫情肆虐，有效維護了公共利益。

可以認為，《民法典》作為新時代的產物，對于個人信息的權益保護模式較為全面，既規(guī)定了信息主體的權利束，又規(guī)定了信息處理者的義務和免責事由，在一定程度上符合新時代對于個人信息保護的要求。

(二)權益保護模式的立法理由

《民法典·人格權編》起草時，學界對于是否將個人信息保護權利化存在較大爭議。立法者經過慎重考量，最終選擇權益保護模式，立法理由主要有三：

第一，民法可以分別保護民事權利和其他合法權益。在我國，未能權利化的其他合法民事權益受法律保護，具體體現在《民法典》第3條。事實上，限于民事法律的篇幅和抽象性，《民法典》不可能詳細列舉大千世界所有的民事權益并將其權利化。為了保持民法的開放性并考慮現實情況的復雜性，《民法典》第3條認可“其他合法權益受法律保護，任何組織或者個人不得侵犯”?？梢哉J為，《民法典》第3條為個人信息的權益保護模式提供了法律基礎。

第二，個人信息難以成為獨立的權利客體。有學者指出，在具體人格權的生成中，應當避免與其他權利重合或交叉。[4]但是，姓名、隱私等具體人格權又非常普遍地以個人信息形式展現，這就導致對姓名、隱私等具體人格權的保護與對個人信息的保護重合。立法者最終也采納了此種觀點，不認為個人信息是獨立的權利客體。

第三，權利保護模式妨礙信息自由和有效利用。有觀點認為，個人信息流通具有公共性價值。[5]賦予民事主體個人信息權會妨礙信息自由，進而對公眾知情權和公共事務造成負面影響。[6]應該說，此種觀點有一定的道理。權利化可以提高對個人信息的保護程度，強化個人信息主體對于個人信息收集、使用、流通的控制權，在疫情等極端情況下不利于社會公共利益的維護，在正常情況下也不利于個人信息經濟價值和社會價值的充分發(fā)揮。立法者采用權益保護模式，顯然是試圖在保護個人信息與促進個人信息有效利用之間取得平衡。

綜上所述，立法者認為在目前階段尚不能夠且不需要將個人信息保護上升到權利保護層面，最終將“個人信息保護”很不協(xié)調地安置于《民法典·人格權編》之中。

二、《民法典》個人信息權益保護模式的反思

單從《民法典》對于個人信息保護的豐富規(guī)定來看，權益保護模式似乎全面而完善。但是深度挖掘《民法典》的規(guī)定并考察其具體實施路徑，會發(fā)現權益保護模式存在一些根本性的問題，導致個人信息保護始終難以落實，當前部分電商平臺大范圍、全方位肆意收集、使用用戶個人信息便說明問題的存在。

(一)保護力度不足

《民法典》采用的權益保護模式，實際上也是“行為規(guī)制模式”，即通過對他人行為的控制來實現對權益享有者利益的維護。相較于權利化模式，行為規(guī)制模式的保護范圍有限、保護力度也較弱。[7]權利保護模式直接為民事主體設置具體的權利類型以涵蓋有關利益，并將這些利益排他性地給予權利人。在這種情況下，權利人對相應利益的控制能力較強，獨占性也很強，為義務人留下的活動空間較窄。權益保護模式與權利保護模式雖同樣具有利益分配的功能，但是，權益保護模式并未將所有的利益劃歸權益主體，而是對整個利益進行切分，其中一部分給予權益主體，另一部分則作為相對人的行為自由空間。此種有限保護使權益保護模式的力度注定孱弱。

具體到個人信息保護，如果將個人信息這個法律客體上升到人格權高度予以保護，由于人格權是絕對權、對世權，意味著權利主體享有著對信息產生、收集、處理、轉讓、使用等各個環(huán)節(jié)的控制權，任何他人和組織不得侵犯此種控制權，否則就需要承擔相應的民事責任。這是保護力度較強的一種方式，也是姓名權、名譽權、隱私權等其他人格權所采取的保護模式。而在當前，許多手機軟件存在違約、違規(guī)、違法收集、使用用戶個人信息的情況，更有甚者，用戶不同意收集、使用個人信息便不能使用軟件，這是《民法典》采用的權益保護模式所帶來問題的典型表現。

以同意權行使為例，《民法典》第1033條規(guī)定，處理他人私密信息需要權利人“明確同意”，而依據第1035條，處理一般個人信息只需“征得同意”，同一部法典對于同意的方式采用兩種表述，這表明立法者意識到“明確同意”和“征得同意”是不同的，結合體系解釋，可以認為“明確同意”的保護力度要高于“征得同意”，處理一般個人信息時可以不需要明確同意，可以默示同意，這顯然是有意降低對一般個人信息的同意權標準，而這也是權益保護模式的結果。

(二)體系銜接不暢

現代《民法典》的一個重要特征是邏輯嚴密和體系自洽。但是，個人信息權益保護模式卻在沖擊著這種體系的自洽性，并衍生出更深層次的問題。

第一，《民法典·總則》第五章名為“民事權利”，該章項下第111條卻將個人信息作為民事權益進行保護。眾所周知，權利項下不應包含權益，這就造成《民法典》體系的局部不和諧。此種情況同樣出現在分則中?！睹穹ǖ洹返谒木幟麨椤叭烁駲唷保櫭剂x，該編是對一般人格權和生命權、健康權、隱私權等具體人格權進行規(guī)定，在邏輯上不應包括非權利的保護對象。然而，個人信息卻以非權利客體的形式納入《民法典·人格權編》之中，與“人格權”的編名產生邏輯沖突。也許立法者意識到該問題的存在，通過《民法典》第990條第2款規(guī)定自然人享有“基于人身自由、人格尊嚴產生的其他人格權益”，但是這終究是一種回避問題而非解決問題的方式，因為它不能應對上述邏輯沖突。其實，沖突還只是表象，衍生的深層次問題是，《民法典·人格權編》的一般規(guī)定(例如第992條“人格權不得放棄、轉讓或者繼承”的規(guī)定)是否適用于個人信息保護？其中是否存在一個明確的判斷標準？如果適用，個人信息又在多大程度上受到一般規(guī)定的保護？

第二，民事主體不享有個人信息權，卻對個人信息享有一個具體的相對完整的權利束。一般而言，抽象權利可以涵蓋具體權利或權能。例如，著作權可以涵蓋發(fā)表權、署名權等人身權以及復制權、發(fā)行權等財產權，人格權可以涵蓋生命權、健康權、隱私權等權利。但是，權益之下不能涵蓋具體權利或權能，否則即造成邏輯上的混亂。然而根據《民法典》的規(guī)定，個人信息主體享有知情同意權等系列具體權利，這不得不讓人懷疑，個人信息主體對個人信息享有的到底是權利還是權益？如果是權利，為何不直接規(guī)定個人信息權？如果是權益，為何卻涵蓋如同權利的具體而完整的權利束？抑或是，立法者認為個人信息本身不構成權利，但想給予個人信息權利一樣水準的保護？這些疑問會給個人信息保護的具體實施帶來困難。

第三，難以適用人格權請求權。人格權請求權，是指自然人在其人格權的圓滿狀態(tài)受到妨害或者有妨害之虞時，得向加害人或者人民法院請求加害人為一定行為或者不為一定行為，以回復人格權的圓滿狀態(tài)或者防止妨害的權利。[8]《民法典·人格權編》第995、997條對人格權請求權進行了規(guī)定，分別對應人格權的圓滿狀態(tài)受到妨害和有妨害之虞的情形。但是，在權利和權益分野的情況下，此種人格權請求權難以適用于作為民事權益的個人信息。

(三)分類保護導致路徑沖突

或許是考慮到個人信息與隱私權保護存在重合之處，《民法典》將隱私權與個人信息保護作為一章來規(guī)定。[9]然而，個人信息和隱私在內容上既有重合也有區(qū)隔。[10]重合的部分即“私密信息”，是指自然人不愿意為他人知曉且與公共利益無關的信息。[11]透過這個定義，可知私密信息的三個特征：一是不愿意他人知曉，否則會侵擾私生活安寧或者帶來名譽上的毀損，這個特征與隱私權相聯系，是隱私權保護的自然人的人格利益；二是與公共利益無關，例如暗中從事犯罪活動的信息不屬于隱私；三是私密信息最終屬于個人信息。其中，第一、第三兩個特征使私密信息具有雙重屬性，因此就面臨保護路徑適用的疑難。

《民法典》第1034條第3款將私密信息區(qū)別于一般個人信息的特別保護措施。立法者認為，對私密信息實施權利化而非權益化的保護，可以提高保護強度。以知情同意權為例，處理私密信息，除法律另有規(guī)定外，需要權利人明確同意(《民法典》第1033條)；而處理一般個人信息，除了自然人本人可以行使同意權，其監(jiān)護人也可以行使同意權，并且可以另行規(guī)定的不僅包括法律，也包括較低層級的行政法規(guī)(《民法典》第1035條)。從這個角度上看，對私密信息適用隱私權進行保護確實強化了保護力度。

但是，《民法典》第1034條的分類保護策略有時會產生路徑沖突，從而帶來完全相反的保護效果。質言之，個人信息保護的路徑有時會強于隱私權保護路徑。例如，對于個人信息收集、處理、轉讓的同意是持續(xù)的，改變個人信息處理的方式和范圍，需要再次取得同意；而對隱私公開的同意是一次性的，一旦公開，就沒有二次公開的可能。顯然，此時適用個人信息保護規(guī)定比適用隱私權規(guī)定有著更強的保護力度。此外，如果適用隱私權的有關規(guī)定，往往會排除個人信息保護規(guī)定的適用，這時私密個人信息主體往往會喪失查閱權等權利，因為隱私權人不享有這些權利。一言以蔽之，私密信息本可同時適用隱私權和個人信息保護這兩種路徑，但是《民法典》第1034條阻斷了同時適用的可能性。

三、《民法典》個人信息權利保護模式的證成

當前《民法典》采取的權益保護模式確實引發(fā)了許多問題，導致個人信息保護一直未能有效落實。立法者未采取權利保護模式，并不能說明權利保護模式不適用于個人信息保護。相反，直接賦予個人信息主體個人信息權，具有多方面的正當性和必要性。

(一)個人信息本身可以成為獨立的權利客體

如前所述，不少學者認為個人信息與姓名權、隱私權等人格權客體存在交叉，故而否認個人信息作為權利客體的獨立性，但這種觀點值得商榷。在民法中，權利與權利之間的界限并非涇渭分明，權利客體交叉的情況比比皆是，發(fā)生權利競合的情況亦非少見。而且《民法典》僅僅規(guī)定了生命權、健康權、名譽權、榮譽權、隱私權等幾種有限的具體人格權，但個人信息所承載的內容遠遠不止上述權利。質言之，交叉只是一小部分，不交叉的屬于個人信息自留地的是大部分，我們不能因為一小部分的交叉而否認個人信息的獨立客體地位。例如，個人家庭住址、身份證號、出行記錄等信息很難歸入其他具體人格權進行保護，但是我們不能否認這些信息的獨立的權利客體地位。

也有學者認為，個人信息具有公共價值屬性，因此不能成為民法上的權利客體，否則會妨礙信息自由和公共利益。這種觀點也難以成立。專利權等知識產權也具有公共價值屬性，但是專利并未因其權利化而妨礙了專利的許可和轉讓，也未損害公共利益。相反，專利權制度明確了產權歸屬，規(guī)范了專利的許可和轉讓行為，既實現了對專利權人的保護，又促進了專利價值的發(fā)揮。從這個角度看，個人信息的權利化不僅不會妨礙信息自由，而且能促進個人信息更規(guī)范地利用，在個人信息安全的前提下最大限度地發(fā)揮個人信息的經濟價值和社會價值。

從人格權自身的特征來看，無論是生命權、健康權還是姓名權、隱私權，均體現出支配權(即權利主體對于特定利益的享有并防止任何他人干涉、侵犯的權利)的特性。那么，個人信息是否符合支配權的特征呢？《民法典》第1034條第1款規(guī)定“自然人的個人信息受法律保護”，實際上是個人信息主體對個人信息享有特定利益，就效果來看類似于《民法典》對于具體人格權的規(guī)定：自然人享有某某權。至于防止他人干涉、侵犯的權利，《民法典》的規(guī)定就更多了：處理個人信息需要征得自然人或其監(jiān)護人的同意；自然人對個人信息有查閱權、更正權、刪除權等權利；信息處理者有信息安全保障義務，等等。因此，個人信息與姓名、隱私一樣符合支配權的特征。在一定程度上可以認為，在個人信息保護問題上，《民法典》是以權益保護之名行權利保護之實。

由此可見，個人信息自身的性質決定其可以成為民法上獨立的權利客體。

(二)借鑒境外最新立法采取權利保護模式

從比較法的視野來看，境外最新的立法經驗是將個人信息權利化。在這種安排下，個人信息不以“其他合法權益”的形式存在，也無需依托于其他權利，而是一種獨立的受民法保護的權利客體。

在歐洲，《歐盟運行條約》第16條和《通用數據保護條例》(以下簡稱GDPR)第1條第2款都明確規(guī)定，自然人有保護其個人數據的基本權利和自由。由此可見，個人數據(信息)不僅僅是權利，而且被上升到基本權利范疇。特別是GDPR，以一系列的具體權利保護個人信息權，包括第15條規(guī)定的數據主體的訪問權、第16條規(guī)定的信息更正權、第17條規(guī)定的被遺忘權、第20條規(guī)定的數據可攜帶權，等等。美國加州《消費者隱私法》也賦予消費者對個人信息的知情權(要求披露權)、訪問權、可攜帶權、刪除權和轉售個人信息的拒絕權等權利。[12]

實際上，《中華人民共和國民法總則》(以下簡稱《民法總則》)起草過程也考慮過向境外最新立法經驗學習，第111條的立法理由已經明確“個人信息權利”是自然人對其個人信息享有的“重要權利”[13]81。由此可知，在起草過程中立法者有意與國際接軌，將個人信息視為一種重要權利進行保護。

(三)權利保護模式符合我國實際需要

社會境況的變遷與民法體系構建之間形成了永久的張力，使得對民法體系的探討永無止境。[14]當前，我國互聯網產業(yè)迅速發(fā)展，平臺經濟也日益興盛。與之相伴的是日益泛濫的個人信息的竊取、泄露和濫用?！睹穹倓t》已頒布4年，《民法典》也已通過1年有余，但是違法處理個人信息的情況仍屢禁不止，販賣、侵害個人信息權益的情況時有發(fā)生。

信息產業(yè)的進步使得個人信息的獲取更便利、處理更迅捷，當然，也使違法行為更隱秘、違法成本更低廉。這要求我們必須對個人信息實施強保護，強化個人信息主體對個人信息的自我決定權和自我控制權。顯然，《民法典》當前采用的權益保護模式無法提供這種保護。采取權利保護模式符合上述強保護的需要。相比權益保護模式，權利保護模式有以下三大優(yōu)越性：

第一，權利保護模式能夠提供確定性、穩(wěn)定性和可預期性。民事權利外延清晰，獲得的保障更加切實。[15]501正如前文所述，權益保護模式具有模糊性，通過對他人行為的控制來實現對權益享有者利益的維護，在類型和方式上無法適應侵害行為的擴展，不能為各當事方提供穩(wěn)定的行為預期。而采用權利保護模式，個人信息作為權利客體，是以法律形式確認并加以特別保護的“具備相對重要性”的對象[16]92，所提供的保護更具有確定性、穩(wěn)定性和可預期性。

第二，權利保護模式能改善相關方地位不對等的狀態(tài)。在互聯網和大數據時代，個人信息主體往往是單個自然人，而數據處理者往往是大型的互聯網公司和公共服務機構，雙方的談判力量懸殊，地位處于嚴重不對等的狀態(tài)。《民法典》采用的權益保護模式無疑加劇了此種不對等。如果對處于弱勢的個人信息主體予以類似于消費者權利的傾斜性保護，則可在一定程度上緩解雙方地位不對等的狀態(tài)。同時，權利主體的維權路徑更清晰、維權依據更明確，可有效減輕維權的論證負擔。

第三，權利保護模式能使《民法典》體系更和諧。如前所述，無論是《民法典》總則還是分則，均因個人信息的權益保護模式出現體系上的不銜接、不協(xié)調、不和諧。但是采取權利保護模式，能夠從根本上解決上述問題，使民事權利客體更加統(tǒng)一，保護路徑更加一致，諸如“人格權的一般規(guī)定是否適用于個人信息保護”之類的衍生問題也能得到明確的回答。

綜上，將個人信息權利化，既是權利宣示，又是實踐中的可行路徑。[17]鑒于個人信息本身即可成為獨立的權利客體，而境外最新立法已采取權利保護模式，且我國對權利保護模式又有迫切的現實需求，并無理由排斥個人信息權利化的安排。

四、《民法典》個人信息權利保護模式的展開

結合前文討論，本文認為個人信息保護的改進路徑可以從以下三個方面展開。

(一)賦予個人信息權并細化其內容

采取權利保護模式，首要的便是賦予個人信息主體個人信息權，以明確個人信息獨立的權利客體地位。在體系上，個人信息權要與隱私權切割，單獨作為一章來規(guī)定，這是因為個人信息權和隱私權保護的法益不同。誠然，二者的權利客體存在重合，即私密信息，但由于二者保護法益的基本面向不同——前者強調的是信息不能被非法處理，后者側重的是信息的不可公開性——在具體適用的時候可以同時適用，并不矛盾。

在內容上，應當對個人信息權的權利內容進行更典型和充分的列舉。除了《民法典》現有的查閱權、復制權、更正權、刪除權外，本文認為還應當明確以下權利。

第一，信息保有權。所謂信息保有權，是指權利主體自己占有、控制自己的個人信息，他人不得非法占有的權利。這應是個人信息權的主要內容，只有充分保有個人信息，才能有效行使其他權利。當前，部分互聯網平臺大量占有、控制用戶的個人信息，實際上是對信息保有權的侵犯，這更加彰顯了信息保有權的重要性。

第二，信息知情權。信息知情權是指權利主體有權了解信息收集、處理、轉讓、使用等方面的真實情況的權利。知情是同意的基礎，充分知情才能準確同意。然而，當前我國很多互聯網平臺收集、處理個人信息都是在用戶不知情的情況下進行的，這一方面是為了節(jié)約溝通成本，另一方面是為了最大限度收集、處理信息。但無論如何，均嚴重侵犯了用戶的信息知情權，立法者應關注這一事實。

第三，信息被遺忘權。從起源來看，被遺忘權最初確立于2014年歐盟法院審理的“岡薩雷斯訴谷歌”一案。[18]此后的GDPR也對被遺忘權予以規(guī)定。需要說明的是，此處的被遺忘權與我國《民法典》規(guī)定的刪除權有一定的聯系，以至于有學者認為沒有必要單獨規(guī)定被遺忘權，《民法典》中兩種情形的刪除權的適用已經涵蓋了自然人有權要求刪除個人信息的全部正當情形。[19]然而，刪除權和被遺忘權的區(qū)別是很明顯的，后者的適用場景是“信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息”，前提是信息處理者存在一定的過錯，而前者的適用場景是已被公開的信息會導致個人信息主體遭受較低社會評價。修訂《民法典》時引入被遺忘權，能顯著提高個人信息主體對個人信息的控制能力。

個人信息權是一種絕對權、對世權，明確他人特別是信息處理者等特定主體的義務也是對權利的保障。對此，我國《民法典》予以了較為詳細的規(guī)定，包括任何組織和個人不得侵害的一般性義務，以及特定義務主體的特殊義務，例如信息處理者處理個人信息時應當遵循特定的原則和條件，不得泄露、篡改個人信息，保障信息安全以及必要時及時采取補救措施等義務。然而，上述義務顯得過于零散，不夠系統(tǒng)，且缺少與個人信息主體權利的對應關系。在賦予個人信息權的同時，應當全面梳理并有序安排義務主體的義務，這樣才能全方位地保障個人信息權。

(二)強化信息自決

當前，很多互聯網平臺軟件收集用戶個人信息具有這樣一個特征：平臺以格式條款要求收集用戶所有相關和不相關的個人信息，用戶如果不同意收集便無法使用該軟件，而很多時候該軟件又扮演著“關鍵設施”角色，用戶必須使用，此時就不得不同意平臺收集個人所有信息。這實際上是對信息自決的侵犯。所謂信息自決，強調的是對個人信息的控制和對信息處理的決定、同意。[20]德國聯邦憲法法院在撰寫裁判理由時，將信息自決視為“基本權利”，并認為其產生于一般人格權。信息自決的具象表現是同意權。我國《民法典》對個人信息的同意權也有規(guī)定，但顯然過于粗糙。強化同意權，本文認為應從以下四個方面著手：

第一，除少數特殊情況，同意權的主體應限于權利主體本人。根據《民法典》第1035條的規(guī)定，處理個人信息需要征得本人或者其監(jiān)護人同意。這是一個不具可操作性的規(guī)定，并帶來以下問題：什么情況下由誰來行使同意權？如果本人和監(jiān)護人行使同意權的結果不一致該如何處理？《民法典》并未回答這些問題。結合實際并本著強化信息自決的宗旨，本文認為應以如下方式規(guī)定同意權：如果權利主體是完全民事行為能力人，只能由本人行使同意權；如果是無民事行為能力人，由于沒有意思表示能力，由監(jiān)護人行使同意權；如果是限制民事行為能力人，在權利主體意思表示能力的范圍內，仍應由權利主體本人行使同意權，監(jiān)護人不得介入，除非行使同意權的結果會給權利主體自身利益帶來重大損害。因此，除權利主體是無民事行為能力人外，原則上都應由其自身來行使同意權。

第二，行使同意權的外觀應是明確的、清晰的，不可默示同意。既然個人信息保護上升為權利，則對該權利的保護程度應與其他具體人格權保持一致。隱私權保護中，處理私密信息需要權利主體的“明確同意”，就沒有理由在個人信息保護中采取更低保護力度的同意標準。因此，即使處理一般個人信息，也需要征得“明確同意”，不可是默示的或者其他形式的同意。

第三，無需征得同意的例外情況，應僅由法律來規(guī)定?！睹穹ǖ洹芬?guī)定在處理私密信息時，只有當法律另行規(guī)定時，才可不必征得權利人同意；但是對處理一般個人信息，法律和行政法規(guī)都可以規(guī)定無需征得同意的例外情況。這顯然壓縮了權利主體同意權的行使范圍，不利于同意權的強化。因此，在完善個人信息的處理規(guī)則時，采取隱私信息的處理方式，明確僅有法律可以規(guī)定無需征得權利主體同意而進行處理的例外情形，不僅有利于隱私權與個人信息權處理保護規(guī)則的統(tǒng)一，形成二者內部的體系協(xié)調，在個人信息權的權利主體層面上，還有利于其同意權的強化，保護個人信息權利主體的切身利益。

第四，限制全面搜集信息的一攬子征得同意行為。現實操作中，很多手機軟件往往以隱私協(xié)議的形式向個人信息主體征求一攬子同意，其中有的個人信息是使用軟件所必須的，而有些個人信息則超出了實際所需的范圍。但是對于用戶而言，只能是要么同意，要么不同意。對于這種行為，《民法典》應當予以限制，至少應給予個人信息主體一攬子同意還是分別同意的選擇權。

(三)兩種具體路徑：人格權請求權和侵權責任

人格權請求權是對人格權的一種重要救濟方式。此種救濟不以賠償為目的，而是請求回復人格權的圓滿狀態(tài)或者排除妨害。將個人信息上升到人格權予以保護，《民法典》第995、997條規(guī)定的人格權請求權自然可以適用。具體可分為兩種情況：其一，當侵害個人信息行為已經實際發(fā)生時，受害人的請求權包括停止侵害行為、消除影響、恢復名譽、賠禮道歉等。如果個人信息被泄露、篡改、丟失，權利人可以請求信息處理者采取技術措施和其他必要措施，確保信息安全，必要時有權請求信息處理者刪除個人信息。其二，當侵害個人信息行為未實際發(fā)生但存在發(fā)生的可能性，并可能給權利人的合法權益造成難以彌補的損害的，權利人可以請求行為人立即停止有關行為。當然，此種請求權需要通過法院來行使，否則可能會侵害他人的行為自由。

以侵權責任有效銜接人格權是個人信息保護的另外一種方式。梁慧星教授認為，各國民法對人格權保護的共同經驗可以概括為“類型確認+侵權責任”，將侵害具體人格權的行為統(tǒng)一納入侵權責任法的適用范圍。[21]此種觀點對于個人信息權保護也可適用。當個人信息明確為一種權利時，侵權責任將是一種有力保障。如上所述，《民法典·人格權編》關于侵犯人格權的規(guī)定實際上是人格權請求權的規(guī)定。但《民法典·侵權責任編》又沒有侵犯個人信息權的具體規(guī)定，只能依據一些抽象的共通性的規(guī)定，來實現個人信息權的侵權責任保護。

首先，《民法典》第1065條可作為基礎法律依據。該條規(guī)定的是過錯責任，侵犯對象是“民事權益”。個人信息權當然是一種民事權益，并且，個人信息權的侵權人一般都有主觀上的過錯，包括故意和過失。因此，當個人信息權受到侵害，權利人可依據該條要求侵權人承擔侵權責任。

其次，侵害個人信息權的財產損害賠償。有學者認為，個人信息權具有人格利益和財產利益雙重屬性。[22]109因此，侵害個人信息權也可能帶來一定的財產損失。對此，《民法典》第1182條可提供法律依據，即侵害人身權益造成財產損失，被侵權人有權獲得賠償。事實上，相比較姓名權、隱私權等其他具體人格權，個人信息的財產利益屬性更強，特別是個人支付類信息，一旦泄露會導致直接的財產損失，因此更需要侵權損害賠償來保護。

最后，侵害個人信息權的精神損害賠償。精神損害賠償實際上是因人格權遭受不法侵害而導致的受害人或其近親屬精神上的痛苦或生理、心理上的損害的賠償。我國《民法典》第1183條對精神損害賠償進行了規(guī)定，賠償的前提是造成“嚴重精神損害”。應該說，侵害個人信息權也可能造成嚴重精神損害，特別是侵害個人信息中的“私密信息”，往往會給權利主體的名譽帶來極大的負面影響。因此，《民法典》第1183條也可為侵害個人信息權的精神損害賠償提供依據。

五、結語

當前，個人信息越來越成為一種重要的生產力。網約車、線上購物等各大互聯網平臺也越來越重視個人信息經濟價值的攝取。但是，對于個人信息的大規(guī)模使用甚至濫用，無疑會損害個人信息主體的人格權。在這種背景下，《民法典》采取的權益保護模式已不符合現實的迫切需求，并帶來保護力度不足、《民法典》體系紊亂等諸多問題，進而導致個人信息權益保護難以落實。從個人信息本身屬性來看，它有自己特殊的、獨立的存在價值，完全可以成為受民法保護的權利客體，而且GDPR等境外最新的立法經驗已經對個人信息予以權利化保護。鑒于此，我國沒有理由排斥對于個人信息保護的權利化。從改進路徑來看，我國應在《民法典》中賦予自然人個人信息權，并明確其內涵與外延。最重要的是要強化信息自決，讓個人信息主體自己占有和控制個人信息。在具體路徑上，應當完善個人信息保護的人格權請求權，同時以侵權責任有效銜接個人信息權的具體權利，從而實現對損害個人信息權的有效救濟。當然，在法律當中將個人信息上升為民事主體的權利僅是在信息時代對個人信息實行強有力保護的第一步。在個人信息日益成為重要生產資料的當下，還需要在司法與執(zhí)法當中真正實現對民事主體個人信息權的有效保護，在學術研究層面，未來更應當關注個人信息保護的實證研究，以探求未來我國更為完善的個人信息保護。

注釋：

① 中國政法大學民商經濟法學院陳航為本文作出了重要貢獻，特此致謝！