杜牧真

（中國政法大學(xué) 商學(xué)院，北京 100088）

一、問題的提出

我國個人信息保護制度正在快速探索與不斷完善中，現(xiàn)行的《民法典》與其他特別法，①例如，2013年修訂的《消費者權(quán)益保護法》、2017年實施的《網(wǎng)絡(luò)安全法》以及2019年實施的《電子商務(wù)法》等。以及《個人信息保法（草案）》（以下簡稱“《個保法（草案）》”）規(guī)定了個人在信息處理活動中的一系列權(quán)利（本文統(tǒng)稱“個人信息權(quán)”），具體包括個人在信息處理活動中所享有的知情權(quán)、同意權(quán)（也稱“決定權(quán)”）、查閱權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)等。然而，迄今為止，現(xiàn)行相關(guān)立法以及《個保法（草案）》對于個人信息權(quán)的法益及性質(zhì)這一類基本問題卻始終未予以明確回應(yīng)。《民法典》在制定過程中雖曾試圖明確個人信息權(quán)的性質(zhì)，將是否要把其明確為人格權(quán)作為制定過程中的爭議焦點，但最終生效的《民法典》并未采納“個人信息權(quán)”的表述，而是僅在第1034條宣布個人信息受法律保護；同時，《個保法（草案）》也未明確上述問題。上述立法現(xiàn)狀為理論界針對個人信息權(quán)之法益與性質(zhì)的探討及解釋留下了較大空間，但目前理論界的主流觀點已較為明顯地與實踐相脫節(jié)。

在理論界，主張以民法框架對個人信息進行保護的觀點得到了學(xué)者們的普遍認同。②代表性文獻：參見項定宜、王陽《個人信息權(quán)的私權(quán)屬性》，《哈爾濱學(xué)院學(xué)報》，2015年第10期，第46-49頁；王曉芬《個人信息的法律屬性及私法保護模式探究》，《法學(xué)論壇》，2016年第3期，第64-70頁；程嘯《論大數(shù)據(jù)時代的個人數(shù)據(jù)權(quán)利》，《中國社會科學(xué)》，2018年第3期，第102-122頁。在這一思維定勢之下，大部分觀點均默認個人信息保護法是一項民法領(lǐng)域中的民事特別法，而由其所創(chuàng)設(shè)的個人信息權(quán)是一項民事權(quán)利，僅在具體的權(quán)利性質(zhì)方面存在分歧：大部分論者均認為個人信息權(quán)具有人格權(quán)性質(zhì)；③代表性文獻，參見王利明《論個人信息權(quán)的法律保護》，《現(xiàn)代法學(xué)》，2013年第4期，第62-72頁；呂炳斌《個人信息權(quán)作為民事權(quán)利之證成：以知識產(chǎn)權(quán)為參照》，《中國法學(xué)》，2019年第4期，第44-65頁；王成《個人信息民法保護的模式選擇》，《中國社會科學(xué)》，2019年第6期，第124-146頁。部分論者還認為個人信息權(quán)兼具財產(chǎn)權(quán)性質(zhì)①代表性文獻，參見劉德良《個人信息的財產(chǎn)權(quán)保護》，《法學(xué)研究》，2007年第3期，第80-91頁；項定宜《論個人信息財產(chǎn)權(quán)的獨立性》，《重慶大學(xué)學(xué)報》(社會科學(xué)版)，2018年第6期,第169-180頁；鄭觀《個人信息對價化及其基本制度構(gòu)建》，《中外法學(xué)》，2019年第2期，第477-498頁。。上述主流觀點，導(dǎo)致了實踐中出現(xiàn)以下問題：

第一，與保護個人權(quán)益的立法初衷相背。將個人信息權(quán)完全置于民法框架下，一方面，由于個人與信息處理者在力量對比方面通常存在巨大懸殊，僅采取單一的權(quán)利保護路徑，難以達到預(yù)期效果；另一方面，使得個人信息權(quán)與其它人格權(quán)之間產(chǎn)生了概念上的難以區(qū)分性以及功能上的重合性，這不但加重了司法實踐中將個人信息權(quán)與其他人格權(quán)進行區(qū)分的負擔(dān)，還往往使得個人信息權(quán)在司法裁判中淪為了僅具有宣示意義的注意性規(guī)范，進而弱化了個人信息權(quán)的應(yīng)有功能。②在目前侵犯個人信息權(quán)而引起的大量民事案件中，其背后所蘊含的裁判邏輯實質(zhì)上是以傳統(tǒng)人格權(quán)受到侵犯作為裁判基礎(chǔ)來適用民事責(zé)任的。例如，即便裁判被告刪除侵權(quán)個人信息，其所依據(jù)的也并非為個人信息權(quán)中的刪除權(quán)，而是以傳統(tǒng)人格權(quán)正在遭受侵害或有遭受侵害的具體危險為依據(jù)，從而適用停止侵害、消除危險的民事責(zé)任。因此，大部分案件實質(zhì)上是借“個人信息權(quán)之名，行傳統(tǒng)人格權(quán)之實”，即個人信息權(quán)在裁判中僅具有宣誓意義，而不具有裁判意義。相關(guān)代表性案例，參見“楊澧群、凱迪網(wǎng)絡(luò)信息技術(shù)（海南）有限公司、孫衛(wèi)東名譽權(quán)糾紛案”，杭州市互聯(lián)網(wǎng)法院（2019）浙0192民初2435號民事判決書；“中國銀行股份有限公司廣州白云支行與盧某名譽權(quán)糾紛上訴案”，廣東省廣州市中級人民法院（2010）穗中法民一終字第1946號民事判決書；“姚某等與洛陽市市區(qū)農(nóng)村信用合作聯(lián)社一般人格權(quán)糾紛上訴案”，河南省洛陽市中級人民法院（2010）洛民終字第2331號民事判決書。

第二，與當(dāng)下的司法實踐相沖突。個人信息保護檢察公益訴訟正在快速推進，目前已有檢察機關(guān)針對侵犯公民個人信息權(quán)的行為，向負有個人信息保護職責(zé)的部門提起個人信息保護行政檢察公益訴訟的案例發(fā)生，并被最高人民檢察院列為典型案例。③參見搜狐網(wǎng)《最高檢將個人信息公益訴訟案列入典型房產(chǎn)公司推銷侵犯個人權(quán)益》，網(wǎng)址：https://www.sohu.com/a/346046015_161795.訪問日期2020年3月5日。由于行政公益訴訟本質(zhì)上是檢察機關(guān)對侵害國家或社會公共利益的行政違法行為的法律監(jiān)督④參見徐全兵《檢察機關(guān)提起行政公益訴訟的職能定位與制度構(gòu)建》，《行政法學(xué)研究》，2017年第5期，第79頁。，這意味著檢察機關(guān)認為，侵犯個人信息權(quán)的行為所引起的法律關(guān)系包含以國家權(quán)力機關(guān)為主體的行政性法律關(guān)系。然而，依據(jù)上述主流觀點，侵犯個人信息權(quán)所引起的法律關(guān)系應(yīng)當(dāng)僅為以信息處理者和個人為平等主體的民事法律關(guān)系。

第三，與促進信息化社會發(fā)展的目標(biāo)相背。將個人信息權(quán)認定為民事權(quán)利造成的法律后果是：信息處理者一旦未履行告知同意義務(wù)而處理個人信息，或未滿足個人動輒要求查閱、復(fù)制、更正或刪除其個人信息的訴求，即構(gòu)成民事侵權(quán)，眾多個人則可以此為由向法院提起民事訴訟。這將對信息業(yè)者的運營造成極大的負擔(dān)，并導(dǎo)致極大增加司法運行成本的“訴訟爆炸”產(chǎn)生，對信息化社會的發(fā)展造成阻礙。上述情形已成為了繼《民法典》頒布后各業(yè)界人士的普遍擔(dān)憂。然而，如果為了應(yīng)對這一擔(dān)憂，在民法框架下對個人信息權(quán)的適用進行一定限制，以人格權(quán)益正遭受侵害或受有侵害之虞作為提起民事訴訟的一般要件的話，又將使得個人信息權(quán)淪為如上文所述的注意性規(guī)范。將個人信息權(quán)納入民事權(quán)利體系使得其適用陷入了兩難境地。

隨著認識的深入，近年來理論界雖然逐漸有極少數(shù)學(xué)者意識到了主流觀點存在的問題，并對此予以了修正，但依然不足以為上述問題的解決提供切實可行的方案。具體而言，有論者從反面角度否認了個人信息權(quán)的民事權(quán)利性質(zhì)，但卻較少從正面角度對個人信息權(quán)的具體性質(zhì)予以闡述；⑤例如，梅夏英教授認為，數(shù)據(jù)缺乏獨立性、特定性，因此不宜將個人信息納入民事權(quán)利客體。參見梅夏英《數(shù)據(jù)的法律屬性及其民法定位》，《中國社會科學(xué)》，2016年第9期，第164-183頁。有論者雖然也從正面角度提出并論述了個人信息權(quán)的公法性質(zhì)，但卻主要側(cè)重于宏觀框架方面，依然無法對實踐中個人信息權(quán)如何行使這一具體問題提供具有可操作性的方案。⑥例如，丁曉冬教授較為宏觀地提出我國個人信息法律保護應(yīng)當(dāng)倚重消費者法保護與公法保護的進路。參見丁曉東《個人信息私法保護的困境與出路》，《法學(xué)研究》，2018年第6期，第205頁。在《個人信息保護法》即將正式出臺的背景之下，如何正確認識個人信息權(quán)的法益與性質(zhì)并準確指導(dǎo)法律適用，關(guān)乎我國未來信息化社會的發(fā)展，因此有必要對其進行審視與再界定。

二、個人信息權(quán)與民事權(quán)利的兼容性審視

個人信息權(quán)作為應(yīng)對新型風(fēng)險之需而新生的權(quán)利，將其納入已然科學(xué)、成熟、穩(wěn)定的傳統(tǒng)民事權(quán)利體系之中，是否會造成難以兼容的情形出現(xiàn)？

（一）個人信息權(quán)與財產(chǎn)權(quán)益

理論上，主張個人信息權(quán)具有民法財產(chǎn)權(quán)性質(zhì)的觀點被簡稱為個人信息財產(chǎn)權(quán)理論。持此論的學(xué)者主要從應(yīng)然的價值判斷與實然的事實判斷兩條路徑來展開論證。從應(yīng)然路徑展開的論者認為，個人信息承載著財產(chǎn)利益，由于個人信息由個人而生，該利益應(yīng)當(dāng)歸個人享有和控制，①參見王融《關(guān)于大數(shù)據(jù)交易核心法律問題》，《大數(shù)據(jù)》，2015年第2期，第52頁。因此，要賦予個人信息以財產(chǎn)權(quán)來保障其主體的經(jīng)濟利益；②參見于沖《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》，《政治與法律》，2018年第4期，第22頁。從實然路徑展開的論者基于我國立法認為，《民法典》最終未采“個人信息權(quán)”的表述是為了給個人信息財產(chǎn)化預(yù)留空間，③參見龍衛(wèi)球、劉保玉主編《中華人民共和國民法總則釋義與適用指導(dǎo)》，北京：中國法制出版社，2017年，第403-404頁。法律賦予個人對個人信息處理的同意權(quán)，實際上就是創(chuàng)設(shè)了個人信息財產(chǎn)權(quán)。④參見謝琳、李旭婷《個人信息財產(chǎn)權(quán)之證成》，《電子知識產(chǎn)權(quán)》，2018年第6期，第57頁。從法律效果來看，個人信息財產(chǎn)權(quán)理論相當(dāng)于主張賦予個人對其信息的許可使用權(quán)，進而保障個人對其信息的獲得報酬利益。

盡管根據(jù)以波斯納為代表的法經(jīng)濟學(xué)者認為，一類事物之所以能上升為法律上的財產(chǎn)，需要具備價值性、排他性與可交易性，⑤參見理查德·A·波斯納《法律的經(jīng)濟分析》，蔣兆康譯，北京：中國大百科全書出版社，1997年，第42頁。然而，前述三項屬性僅僅是事物上升為法律財產(chǎn)的必要非充分條件。⑥例如，毒品、土地等自然資源等，雖然也具備了上述三項屬性，但基于經(jīng)濟、社會、政治等其他因素的考量，不適宜上升為財產(chǎn)。因此，僅以個人信息具有價值性為由而推導(dǎo)出其應(yīng)當(dāng)為法律財產(chǎn)的邏輯是值得商榷的。法律是否創(chuàng)造某一項財產(chǎn)，還需綜合考量其他因素，具體如下：

首先，從法經(jīng)濟學(xué)的角度來看，信息是一種經(jīng)濟學(xué)意義上的公共物品，具有非競爭性與非排他性。⑦公共物品這一概念最早由美國著名經(jīng)濟學(xué)家薩繆爾森（Samuelson）于1954年發(fā)表的論文《公共支出的純理論》中提出。薩繆爾森首先將物品分為私人物品與公共物品，并將公共物品定義為具有非競爭性的物品，即任何一個人消費這種物品都不會導(dǎo)致其他人對該物品消費的減少。此后，馬斯格雷夫（Musgrave）對公共物品定義進行了進一步完善，于1959年在其出版的《公共財政理論》一書中將非排他性引入公共物品定義，使之與非競爭性共同成為公共物品的基本界定標(biāo)準。與物能資源不同，物能資源分享的人數(shù)越多，分享者各自的份額越少，信息資源則不僅不因共享而損耗，還會隨著共享面的擴大而激發(fā)更多信息。⑧參見王天恩《重新理解“發(fā)展”的信息文明“鑰匙”》，《中國社會科學(xué)》，2018年第6期，第29頁。這恰好滿足了薩繆爾森對非競爭性的定義：“任何一個人消費這種物品都不會導(dǎo)致其他人對該物品消費的減少?！盵1]信息的非競爭性使得其在自由流通共享的過程中，恰好符合帕累托效率原則，即“在不使其他人的情況變壞的條件下，使得任何一個人的福利變好”[2]，具有強烈正外部性，而賦予信息排他性產(chǎn)權(quán)勢必阻礙信息的流通與共享，影響其正外部性發(fā)揮。既然如此，為何要對本質(zhì)上為信息的知識賦予產(chǎn)權(quán)？本質(zhì)原因在于知識是人為有意識所創(chuàng)造的信息，其產(chǎn)生伴隨著人力、物力、財力的投入?！霸跊]有懲罰機制時，完全免費的‘搭便車’者便占據(jù)主導(dǎo)地位”[3]，這將對權(quán)利人投入成本的收回造成影響，最終因打擊知識創(chuàng)造積極性而導(dǎo)致知識社會總供給量的下降，引發(fā)“公地悲劇”。由于信息具有非排他性，在自然狀態(tài)下個人難以制止他人的免費“搭便車”，因此，法律不得以而“兩權(quán)相害取其輕”，以有限度地犧牲知識流通性為代價來激勵創(chuàng)造，進而提高知識社會總供給量。然而，對于個人信息而言，雖然其與知識一樣同為信息，并且其以個人的存在為前提，但其并不是人類有意識而創(chuàng)造的，而是伴隨個人日常生產(chǎn)、生活及社交而自然產(chǎn)生，并往往是在不經(jīng)意間而被他人所記錄與收集的。因此，賦予無意識產(chǎn)生的個人信息以產(chǎn)權(quán)不僅難以起到激勵產(chǎn)量的效果，相反還將阻礙個人信息的流通利用，正可謂“得不償失”，與信息數(shù)據(jù)領(lǐng)域的立法價值目標(biāo)相背，⑨《個保法（草案）》第1條指出了“保護個人信息權(quán)益”與“促進個人信息合理利用”的立法目標(biāo)，《數(shù)據(jù)安全法》也指出了“保障數(shù)據(jù)安全”“保護個人、組織的合法權(quán)益”與“促進數(shù)據(jù)開發(fā)利用”的立法目標(biāo)，它們均體現(xiàn)出了安全價值與經(jīng)濟價值并進的二元價值目標(biāo)。這在歐盟《通用數(shù)據(jù)保護條例》第1條也有體現(xiàn)。不利于信息化社會的發(fā)展。

其次，從法哲學(xué)的視角來看，英國自然法學(xué)派代表約翰·洛克提出了財產(chǎn)權(quán)勞動學(xué)說，該學(xué)說成為了論證知識產(chǎn)權(quán)正當(dāng)性的重要理論基礎(chǔ)之一。⑩參見馮曉青《知識產(chǎn)權(quán)法哲學(xué)》，北京：中國人民公安大學(xué)出版社，2003年，第4頁。洛克認為，處于自然狀態(tài)下原本為一切人類所共有的事物，之所以能夠為某人所私有，是因為其注入了由其所有的勞動，使得原本共有的事物脫離自然狀態(tài)而價值有所增益。①參見約翰·洛克《政府論（下篇）》，葉啟芳、瞿菊農(nóng)譯，北京：商務(wù)印書館，2005年，第17-20頁。然而正如上文所言，個人信息是個人無意識狀態(tài)下產(chǎn)生的，而非有意識勞動產(chǎn)生的，因此設(shè)立個人信息財產(chǎn)權(quán)缺乏正當(dāng)性。

最后，從實然角度來看，認為立法規(guī)定同意權(quán)是意圖確認并保障個人對其信息的經(jīng)濟利益缺乏邏輯上的自洽性。世界各國個人信息保護法均只保護可識別性個人信息，而不保護非可識別性個人信息，②我國立法中個人信息的定義可參見《民法典》第1034條第2款；在美國，個人信息在美國被稱為“個人可識別信息”（Personal indentifiable information），歐盟《通用數(shù)據(jù)保護條例》第4條也將個人信息定義為：“與一個確定的或可識別的自然人相關(guān)的任何信息?！睂Υ?，個人信息財產(chǎn)權(quán)論者難以作出合理解釋。原因在于，個人信息的價值大小與其是否具備可識別性之間缺乏必然聯(lián)系，非可識別性個人信息的經(jīng)濟價值并不必然比可識別性個人信息低，因此依照個人信息財產(chǎn)權(quán)論的邏輯，法律對個人信息的保護不應(yīng)依其可識別性的具備與否而有所差異。

綜上，以可識別性個人信息為客體的個人信息權(quán)，難以被理解為是對個人經(jīng)濟利益的確認與保護，相反是在確認與保護某種個人安全利益。

（二）個人信息權(quán)與人格權(quán)益

目前，論者主張個人信息權(quán)屬于人格權(quán)范疇的理論基礎(chǔ)為個人信息自決權(quán)理論，③“個人信息自決權(quán)”概念最早由德國學(xué)者施泰姆勒（Steinmüller）于1971年提出，施泰姆勒認為，人們有權(quán)自由決定周遭的世界在何種程度上獲知自己的所思所想以及行動。此后，1984年德國聯(lián)邦法院審理了“人口普查案”，該案判決被解讀為個人信息自決權(quán)已為立法所確認后，便在世界各國廣為流傳，產(chǎn)生了巨大影響。參見楊芳《個人信息自決權(quán)理論及其檢討》，《比較法研究》，2015年第6期，第23頁。其論證邏輯為：由于本質(zhì)上人格權(quán)體系所確認與保護的人格利益是個人的自由與尊嚴，④參見王利明《人格權(quán)法研究》，北京：中國人民大學(xué)出版社，2018年，第132頁。同時，個人信息權(quán)中包括了個人對信息處理的同意權(quán)（決定權(quán)），效果上相當(dāng)于賦予了個人對其信息一定程度的控制與決定，該論者便據(jù)此認為此種由法律所賦予的控制與決定本身就是一種對人格利益之個人的自由與尊嚴（決定個人信息被何人、何種程度上利用的自由與這一自由不被侵犯的尊嚴）的確認與保護，進而得出個人信息權(quán)是一種人格權(quán)的結(jié)論。⑤具體論證過程，參見王利明《論個人信息權(quán)的法律保護》，《現(xiàn)代法學(xué)》，2013年第4期，第62-72頁；王利明《人格權(quán)法研究》，北京：中國人民大學(xué)出版社，2018年，第631頁。以上邏輯成為了個人信息人格權(quán)說的根基。此外，《民法典》將個人信息寫入人格權(quán)編的做法，似乎更加為上述觀點提供了立法上的依據(jù)。

然而，通過對立法作體系性解釋將發(fā)現(xiàn)上述邏輯是值得商榷的。在過去我國立法將個人同意作為處理信息的唯一合法性基礎(chǔ)的情形下，上述邏輯尚可成立。然而，目前我國《民法典》以及《個保法（草案）》已借鑒了歐盟《通用數(shù)據(jù)保護條例》的做法，即將個人同意僅作為合法處理信息的基礎(chǔ)之一。⑥根據(jù)歐盟《通用數(shù)據(jù)保護條例》第6條之一的規(guī)定，征得個人同意僅僅是處理個人信息的六項合法性基礎(chǔ)之一；根據(jù)《民法典》第1036條規(guī)定以及《個保法（草案）》第13條規(guī)定總結(jié)來看，除了征得個人同意外，還可基于個人利益或公共安全利益等理由處理個人信息。根據(jù)《民法典》第1036條的規(guī)定總結(jié)來看，構(gòu)成合法處理個人信息除了征得個人同意外，還包括可以在一定限制下合法處理公開個人信息，以及出于維護個人或公共利益的目的處理個人信息。相比之下，《個保法（草案）》二次審議稿更加擴大了合法處理個人信息的范圍，將《民法典》針對處理公開個人信息行為所設(shè)定的限制去除。

在個人對個人信息控制力的不斷減弱以及信息處理者自由范圍不斷擴大的趨勢之下，上述邏輯愈發(fā)難以成立。依照上述邏輯，如果將出于公共利益需要可以未經(jīng)個人同意而處理個人信息，解釋為是當(dāng)個人自由、尊嚴利益與公共利益發(fā)生沖突時，基于“兩權(quán)相害取其輕”的利益權(quán)衡原則而使前者讓位于后者，尚能解釋得通。然而，上述邏輯對于為何個人僅能自我決定與控制非公開個人信息，而經(jīng)合法公開的個人信息卻不受到（或較少受到）個人的決定與控制這一問題，卻難以進行合理解釋。這是因為，根據(jù)常理來判斷，個人信息自我決定所體現(xiàn)的自由與尊嚴的程度，與個人信息是否處于公開狀態(tài)無關(guān)，而與個人所能決定或控制信息的程度大小相關(guān)。因此，如果上述邏輯成立，那么法律應(yīng)當(dāng)一視同仁地賦予個人對公開與非公開個人信息同樣程度的決定與控制力。同樣地，上述邏輯也難以解釋，為何只要出于維護個人利益的目的，信息處理者就可以無視信息自我決定利益的存在而自由處理他人的個人信息。這就如同任何人只要基于維護他人利益的目的，就可以越俎代庖地擅自對他人私有財產(chǎn)進行使用與處分一樣令人費解。綜上，從立法體系性角度來看，法律旨在通過創(chuàng)設(shè)個人信息權(quán)來直接確認的個人利益根本就不是一種人格利益，而是關(guān)乎安全方面的個人利益。唯有如此，才能使得整個立法體系能夠自圓其說。

至于立法將個人信息保護寫入人格權(quán)編的做法與本文觀點并不矛盾：一方面，并非寫入《民法典》中的所有規(guī)范一律均為私權(quán)規(guī)范，例如物權(quán)編中涉及土地、不動產(chǎn)等問題時就有大量的公權(quán)規(guī)范；另一方面，可以理解為個人信息權(quán)雖然不是人格權(quán)，但其主要功能卻在于保護人格權(quán)，因此，將其規(guī)定于被稱為“私權(quán)憲章”的《民法典》中，可以起到宣示并強化私權(quán)保護的作用。

此外，對于上文所提到的個人信息自決權(quán)，專門研究個人信息保護的楊芳與高富平教授均指出，其無論在其發(fā)源地德國還是整個歐盟，乃至于美國，均是一項憲政意義上的，目的在于對抗國家公權(quán)力的寬泛性權(quán)利，而并未被確認為一項民法上的權(quán)利。①相關(guān)論述，參見楊芳《個人信息自決權(quán)理論及其檢討》，《比較法研究》，2015年第6期，第22-33頁；高富平《個人信息保護:從個人控制到社會控制》，《法學(xué)研究》，2018年第3期，第84-101頁。因此，國內(nèi)認為域外立法確立了民法上的個人信息權(quán)的觀點，事實上是對域外經(jīng)驗的誤讀。

綜上，個人信息權(quán)與民事權(quán)利體系具有較為明顯的不相兼容性，不宜將前者納入后者范疇之中。雖然侵犯個人信息權(quán)的信息處理行為常常與侵犯民事權(quán)益，尤其是侵犯隱私權(quán)產(chǎn)生競合。②例如，未經(jīng)個人同意公開個人隱私信息時，則構(gòu)成侵犯個人信息權(quán)與隱私權(quán)的競合。但也應(yīng)當(dāng)認識到，侵犯個人信息權(quán)與侵犯民事權(quán)益之間并不具有必然性。③例如，未經(jīng)個人同意而收集個人普通的商品瀏覽信息時，難以認定對民事人格權(quán)益的侵犯。因此，當(dāng)信息處理者僅單純侵犯個人信息權(quán)而未侵犯民事權(quán)益時，個人不應(yīng)向法院提起民事訴訟。

三、個人信息權(quán)的法益與性質(zhì)

為防止本文出現(xiàn)的“個人信息權(quán)”與“個人信息權(quán)益”概念之間產(chǎn)生混淆，在此對個人信息權(quán)益內(nèi)涵予以闡述?！秱€保法（草案）》首次在開篇第1條即明確了“保護個人信息權(quán)益”的立法目的，但對于其內(nèi)涵并未進一步明確。本文認為，個人信息權(quán)益并非僅由個人信息保護法所確認，對個人信息權(quán)益的保護也并非肇始于個人信息保護法，民法等其他立法也對其給予了保護。因此，個人信息權(quán)益是對一切可能遭受信息處理侵害的被動性、防御性個人權(quán)益的統(tǒng)稱，其中，主要以民法及其特別法所確認與保護的民事權(quán)益為主，包括了財產(chǎn)權(quán)與人格權(quán)。

（一）個人信息權(quán)的法益：個人安全利益

個人信息權(quán)并非為對個人信息財產(chǎn)利益的確認，也并非為對所謂個人信息自我決定的人格自由與尊嚴利益的確認，而是對包括它們在內(nèi)的一切被動性、防御性個人權(quán)益不受信息處理侵害之安全利益的確認。唯有如此，才能合理解釋為何個人信息權(quán)僅能支配可識別性信息，為何在對公開與非公開個人信息的自我決定程度上有顯著的大小之別。

首先，從個人信息保護制度的起源來看，其誕生于個人信息自動化處理所帶來的新型風(fēng)險時代之下，其設(shè)立目的在于通過規(guī)范信息處理活動，防范其對既有個人權(quán)益所帶來的新型風(fēng)險，以保障既有個人權(quán)益的安全，而非創(chuàng)設(shè)新的民事權(quán)益。

以德國貝克為代表的風(fēng)險社會論者指出：“隨著科學(xué)與技術(shù)不受限制的推進，新的不確定已產(chǎn)生（其中許多具有全球性），對這些捉摸不定的因素，我們基本上無法用以往的經(jīng)驗來消除。”[4]個人信息雖然自人類誕生之日起便存在，但在計算機技術(shù)誕生前以紙質(zhì)為主要物質(zhì)載體來記錄個人信息的時代下，個人信息處理所帶來的風(fēng)險并未凸顯，因此并未產(chǎn)生專門規(guī)制信息處理活動的立法需要。④原因在于：以紙質(zhì)為主要載體記錄個人信息的時代下，一方面，個人可通過占有并控制具有排他性的物質(zhì)載體來控制個人信息的傳播，進而很大程度上能夠決定個人信息被何人以何種方式進行利用；另一方面，個人信息在復(fù)制傳播過程中需要伴隨物質(zhì)載體的消耗與轉(zhuǎn)移，成本較大，并且計算機技術(shù)誕生前，人工難以對個人信息進行海量地、跨境式地處理。因此，在信息化社會之前，個人可很大程度上管控信息處理的風(fēng)險，即便產(chǎn)生了危害，其危害范圍也很小。20世紀60年代計算機技術(shù)的誕生與普及，使得大量個人信息得以電子化。在與互聯(lián)網(wǎng)通信技術(shù)的結(jié)合之下，遍布各地的大量個人信息可以在不經(jīng)個人知曉的情形下而被收集，并長期脫離個人控制而被跨境處理。在這一情形下，信息處理活動所帶來的個人權(quán)益風(fēng)險凸顯，傳統(tǒng)權(quán)利保護模式捉襟見肘，個人信息保護制度應(yīng)運而生。國家層面上，瑞典于1973年制定了《數(shù)據(jù)法》，美國于1974年制定了《隱私法》，德國于1977年制定了《聯(lián)邦個人信息保護法》；國際層面上，經(jīng)濟合作與發(fā)展組織（OECD）于1980年發(fā)布了《隱私保護和個人數(shù)據(jù)跨境流通指南》（以下簡稱“《指南》”），歐洲委員會于1981年通過了《關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約》（以下簡稱“《公約》”），該兩部法律文件對后世各國個人信息保護立法產(chǎn)生了巨大影響。

《指南》指出：個人數(shù)據(jù)處理的方式、數(shù)據(jù)的性質(zhì)或使用的環(huán)境可能危害個人隱私與自由；①See OECD,Guidelines on the Protection of Privacy and Transborder Flows of Personal Data,網(wǎng)址：https://www.docin.com/p-193488092.html.訪問日期2020年3月5日?！豆s》第1條第1款指出：保證在《公約》締約方的管轄范圍內(nèi)每一個體的個人數(shù)據(jù)在被處理時均得到保護，從而使個體的權(quán)利和基本自由得到尊重，特別是他們的隱私權(quán)。②參見《〈關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約〉中譯文》，網(wǎng)址：http://img.anzhixun.com/201904/files/20190417111426684724.pdf.訪問日期2020年3月5日。歐盟數(shù)據(jù)保護專員公署曾于2015年的報告中指出，個人信息權(quán)的目的在于補充一定的力量，以此來面對大規(guī)模信息處理對個人尊嚴帶來的侵蝕。③See European Data Protection Supervisor,Towards a New Digital Ethics:Data,Dignity and Technology，網(wǎng)址：https://edps.europa.eu/sites/edp/files/publication/15-09-11_data_ethics_en.pdf.訪問日期2020年3月5日。在我國，直接導(dǎo)致2016年11月公布的《民法總則（草案）》二次審議稿在同年6月所公布的初次審議稿基礎(chǔ)上，倉促增加個人信息保護條款的原因為，2016年8月發(fā)生的“徐玉玉電信詐騙案”及該案所引起各界人士公眾對保護個人信息的巨大呼聲。④參見張新寶《〈民法總則〉個人信息保護條文研究》，《中外法學(xué)》，2019年第1期，第60-63頁。綜上可明顯看出：個人信息保護制度是在立法者意識到信息處理活動可能對個人權(quán)益帶來風(fēng)險的情形下最早誕生的；同時，個人信息保護制度設(shè)立目的是通過規(guī)制信息處理活動來確保信息處理過程中的安全，從而進一步達到保護既有個人權(quán)益的目的，而非創(chuàng)設(shè)新的財產(chǎn)或人格利益。

其次，個人信息保護制度構(gòu)建了一項全新的事前保護機制，目的在于對個人權(quán)益進行事前的預(yù)防性保護，以防范信息處理活動的抽象危險，彌補過去侵權(quán)法保護模式所構(gòu)建的事后補償性保護機制的不足。因此，創(chuàng)設(shè)于個人信息保護制度的個人信息權(quán)所體現(xiàn)的利益，是個人對風(fēng)險進行事前控制的利益，而非對損害結(jié)果進行事后補償?shù)睦?，這也是個人信息權(quán)雖以保護民事權(quán)益為主要目的，但卻獨立于民事權(quán)益之外的原因之所在。

“損害的預(yù)防勝于損害補償?！盵5]通過構(gòu)建事前保護機制來事前預(yù)防實害結(jié)果發(fā)生的法益保護方式在刑法領(lǐng)域較為常見，以抽象危險犯最為典型。刑法常將高度頻發(fā)的，對法益侵害具有高度危險性與嚴重性的某類行為予以類型化，規(guī)定為抽象危險犯，一旦此類行為實施即構(gòu)成犯罪，而對于其是否造成實害結(jié)果，或是否具有導(dǎo)致實害結(jié)果發(fā)生的具體危險在所不問，以實現(xiàn)對既有法益的事前預(yù)防性保護。⑤例如“醉駕入刑”。日常中醉駕行為頻發(fā)，常常造成嚴重交通事故，對人們生命財產(chǎn)帶來巨大威脅，但過去對于醉駕行為僅有其實際造成了交通事故或產(chǎn)生對公共安全的現(xiàn)實緊迫危險時，刑法才能介入規(guī)制。自2011年《刑法修正案（八）》“醉駕入刑”后，一旦行為人醉駕即構(gòu)成犯罪，無論其是否造成損害后果或造成損害的現(xiàn)實緊迫危險與否，這對生命財產(chǎn)等重大法益起到了重要的事前預(yù)防保護作用。

信息處理活動對于個人權(quán)益而言具有高度抽象危險性，其每時每刻頻繁發(fā)生并涉及大量個人信息，一旦發(fā)生安全事故，將對個人權(quán)益造成范圍極廣、后果極為嚴重的危害。例如，美國臉書公司自2016年“劍橋分析”事件中導(dǎo)致5 000萬用戶個人信息泄露后，2019年又再次爆出數(shù)據(jù)泄露事故，波及了全球2.67億用戶，對隱私等個人權(quán)益帶來重大威脅與危害。⑥參見搜狐網(wǎng)《2.67億Facebook用戶數(shù)據(jù)泄露》，網(wǎng)址：https://www.sohu.com/a/361749330_804262.訪問日期2020年3月5日。這對以損失填補為主的侵權(quán)法保護模式帶來了極大挑戰(zhàn)，并為事前保護機制的引入帶來了必要性與迫切性。在過去僅采單一的侵權(quán)法保護模式時代下，當(dāng)面對信息處理者濫用個人信息并僅僅對個人權(quán)益產(chǎn)生抽象危險的情形時，個人往往僅能消極容忍而無能為力。事前保護機制的構(gòu)建，使得個人可以提前控制信息處理活動，例如，要求信息處理者更正、刪除可能對個人權(quán)益造成侵害的個人信息，從而防止抽象危險的產(chǎn)生；同時，信息處理者違法處理信息（包括侵犯個人信息權(quán)），即便未對個人民事權(quán)益構(gòu)成侵犯，信息處理者也因違反了個人信息保護法，從而使得個人、社會與國家得以介入，以制止抽象危險狀態(tài)的持續(xù)。

綜上所述，個人信息保護制度通過創(chuàng)設(shè)個人信息權(quán)所直接確認與保護的個人利益，并非是財產(chǎn)經(jīng)濟利益或人格利益，而是個人對信息處理風(fēng)險進行事前控制與防范的安全利益，其通過賦予個人對信息處理活動一定程度上的控制權(quán)利，能夠預(yù)防并規(guī)制信息處理活動所帶來的個人權(quán)益抽象危險，這相當(dāng)于在信息處理活動與民事權(quán)益等個人權(quán)益間構(gòu)筑了一道防火墻。

（二）個人信息權(quán)的性質(zhì)：行政性質(zhì)的個人權(quán)利

個人信息保護制度所構(gòu)建的，是以信息處理活動為客體，以國家、信息處理者以及個人三方為主要的法律關(guān)系主體的行政性法律關(guān)系。因此，由個人信息保護制度所創(chuàng)設(shè)的個人信息權(quán)，是一項行政性質(zhì)的個人權(quán)利。從侵權(quán)視角來看，信息處理者的違法信息處理行為以及履行個人信息保護職責(zé)的公權(quán)力部門的消極不履職行為，均可構(gòu)成對個人信息權(quán)的侵犯。

首先，個人信息保護制度建立了國家對信息處理活動進行監(jiān)督與干預(yù)的個人信息公權(quán)力保護模式，彌補了過去以私權(quán)利來保護個人信息權(quán)益的不足。

大數(shù)據(jù)時代下，私權(quán)利保護模式難以對個人信息權(quán)益進行有效地保護：從風(fēng)險控制角度來看，信息處理活動的侵權(quán)過程具有極大的隱蔽性，這使得個人難以通過權(quán)利的行使來保護個人權(quán)益。正如西方學(xué)者所言，現(xiàn)代社會中，個人在管理隱私時，難以對愈發(fā)具有復(fù)雜性與系統(tǒng)性的風(fēng)險進行分析和判斷；①See Daniel J．Solove，The Digital Person:Technology and Privacy in the Information Age，New York:New York University Press，2006，pp.47-55.從信息處理者與個人之間的力量對比來看，信息處理者不但具有雄厚的經(jīng)濟實力，并且依托高精算法技術(shù)與海量數(shù)據(jù)形成了“數(shù)據(jù)霸權(quán)”地位，這使得其與個人之間具有了明顯的強弱之分。由于意思自治忽略了社會生活中人與人之間因為能力、智力、財富等方面的差異，尤其沒有考慮到社會對弱者的特別保護，②參見王利明《民法的人文關(guān)懷》，《中國社會科學(xué)》，2011年第4期，第151頁。以意思自治為核心的私權(quán)保護模式在保護個人信息權(quán)益方面顯得捉襟見肘。因此，亟待設(shè)立一項全新的以國家為主體的個人信息公權(quán)力保護模式，以彌補過去以個人為主體的私權(quán)利保護模式之不足。這使得信息處理活動的公權(quán)力主動干預(yù)具有了必要性與正當(dāng)性。

國家公權(quán)力干預(yù)信息處理活動的法律依據(jù)體現(xiàn)在：第一，《憲法》第33條第3款規(guī)定“國家尊重和保障人權(quán)”，其中的“保障”二字為國家公權(quán)力以保護個人信息權(quán)益為目的，對信息處理活動的積極干預(yù)提供了根本法基礎(chǔ)。第二，《個保法（草案）》第11條，③《個保法（草案）》第11條規(guī)定：“國家建立健全個人信息保護制度，預(yù)防和懲治侵害個人信息權(quán)益的行為……推動形成政府、企業(yè)相關(guān)行業(yè)組織、社會共同參與個人信息保護的良好環(huán)境?！币约啊稊?shù)據(jù)安全法》第1、2、6、7、9、24條等規(guī)定為信息處理活動的個人信息公權(quán)力保護提供了原則性基礎(chǔ)。④《數(shù)據(jù)安全法》第1條規(guī)定：“為了規(guī)范數(shù)據(jù)處理互動，保障數(shù)據(jù)安全……”第2條規(guī)定：“在中華人民共和國境內(nèi)開展數(shù)據(jù)處理活動及其安全監(jiān)管，適用本法……”第6條規(guī)定：“各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負責(zé)……”第7條規(guī)定：“國家保護個人、組織與數(shù)據(jù)有關(guān)的權(quán)益……”第9條規(guī)定：“國家支持開展數(shù)據(jù)安全知識宣傳普及，提高全社會的數(shù)據(jù)安全保護意識和水平，推動有關(guān)部門、行業(yè)組織、科研機構(gòu)、企業(yè)、個人等共同參與數(shù)據(jù)安全保護工作……”第24條規(guī)定：“國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查……”第三，在《個保法（草案）》第六章“履行個人信息保護職責(zé)的部門”中，專章對負有保護個人信息職責(zé)的部門、相應(yīng)職責(zé)以及具體的行政手段進行了規(guī)定；《個保法（草案）》《數(shù)據(jù)安全法》分別于第七章、第六章“法律責(zé)任”一章規(guī)定了信息處理者違法信息處理行為的行政責(zé)任。它們對個人信息公權(quán)力保護提供了具體規(guī)則與依據(jù)。

其次，遵循有“有權(quán)利必有救濟”的原則，個人信息權(quán)是一項行政性質(zhì)的個人權(quán)利體現(xiàn)在，個人信息權(quán)尋求救濟的方式為行政方式，侵犯個人信息權(quán)所產(chǎn)生的法律責(zé)任為行政責(zé)任。需要說明的是，雖然《個保法（草案）》第68、70條分別規(guī)定了民事責(zé)任與刑事責(zé)任，但第68條規(guī)定的是個人信息權(quán)益受到侵害時的損害賠償責(zé)任，此時違法處理信息已與侵犯民事權(quán)益產(chǎn)生競合；第70條明顯是針對違法處理個人信息與觸犯刑法產(chǎn)生競合的情形。因此上述條文是注意性、準用性條款。具體如下：

第一，當(dāng)信息處理者實施了未經(jīng)個人同意而違法處理個人信息，或未滿足個人查閱、復(fù)制、更正、刪除的訴求等侵犯個人信息權(quán)的行為時，便產(chǎn)生了信息處理者的行政責(zé)任以及相關(guān)公權(quán)力部門保護個人信息的職責(zé)。個人可以依據(jù)個人信息權(quán)向履行個人信息保護職責(zé)的公權(quán)力部門主張權(quán)利以尋求救濟，要求其履行相應(yīng)職責(zé)，對信息處理者實施行政處罰等行政措施，以制止信息處理違法行為，保護個人信息權(quán)。相應(yīng)的法律依據(jù)主要有：《個保法（草案）》第60、64、65條規(guī)定；①《個保法（草案）》第60條規(guī)定：“……（二）接受、處理與個人信息保護有關(guān)的投訴、舉報；（三）調(diào)查、處理違法個人信息處理活動……”第64條規(guī)定：“任何組織、個人有權(quán)對違法個人信息處理活動向履行個人信息保護職責(zé)的部門進行投訴、舉報。收到投訴、舉報的部門應(yīng)當(dāng)依法及時處理，并將處理結(jié)果告知投訴、舉報人……”第65條則規(guī)定了信息處理者實施了違法處理個人信息等行為的，相關(guān)部門可責(zé)令改正、給予警告、沒收違法所得，拒不改正的，處以相應(yīng)罰款?！稊?shù)據(jù)安全法》第12、44、45、46、47條規(guī)定②《數(shù)據(jù)安全法》第12條規(guī)定：“任何個人、組織都有權(quán)對違反本法規(guī)定的行為向有關(guān)主管部門投訴、舉報。收到投訴、舉報的部門應(yīng)當(dāng)及時依法處理。”第44條規(guī)定：“有關(guān)主管部門在履行數(shù)據(jù)安全監(jiān)管職責(zé)中，發(fā)現(xiàn)數(shù)據(jù)處理活動存在較大安全風(fēng)險的，可以按照規(guī)定的權(quán)限和程序?qū)τ嘘P(guān)組織和個人進行約談，并要求有關(guān)組織、個人采取措施進行整改，消除隱患?！钡?5條規(guī)定與《個保法（草案）》第65條相類似；第46、47條分別特別規(guī)定了向境外提供重要數(shù)據(jù)以及從事數(shù)據(jù)交易中介服務(wù)機構(gòu)的相應(yīng)行政責(zé)任。。

第二，當(dāng)相關(guān)部門消極不履行相應(yīng)職責(zé)時，其便產(chǎn)生了相應(yīng)的行政責(zé)任。此時，也意味著個人信息權(quán)遭受了侵犯，個人可以向其上級等相關(guān)部門尋求救濟，責(zé)令其積極履職，或以訴訟作為保護權(quán)利的最后一道防線，針對不履行職責(zé)而負有行政責(zé)任的部門，提起行政訴訟。對此，檢察機關(guān)或其他部門也可提起行政公益訴訟。相應(yīng)的法律依據(jù)主要有：《個保法（草案）》第67條，規(guī)定了相關(guān)部門不履行職責(zé)時的行政責(zé)任以及上級機關(guān)對其責(zé)令改正并予以處分的職責(zé)；《數(shù)據(jù)安全法》第49、50條均規(guī)定了相關(guān)部門不履行職責(zé)時的行政責(zé)任。