路成華

?

《民法總則》中個人信息的界定及保護(hù)

路成華

（華東政法大學(xué)，上海 200042）

在《民法總則》就隱私和個人信息分別規(guī)定和保護(hù)的情況下，可以將個人信息界定為以各種形式存在的、單獨或與其他信息結(jié)合能夠指向特定自然人，且可以為他人所知的非隱私性信息。個人信息作為納入法律體系保護(hù)的利益，承載著人格價值屬性。至于所謂的財產(chǎn)價值屬性，是體現(xiàn)于信息收集加工者的使用和交換中的，基本上與作為信息主體的個人無關(guān)?！睹穹倓t》將個人信息置于人格權(quán)益范疇，采取了行為規(guī)制而非權(quán)利化的保護(hù)模式。信息主體對于其個人信息的權(quán)益可分為：同意提供個人信息以及信息收集者能否對外再提供、要求修正或更正個人信息、要求信息收集者合理使用、要求信息收集者采取保密或安全措施并于信息泄露、丟失時進(jìn)行補救等幾個方面。

個人信息；界定；利益；保護(hù)

隨著大數(shù)據(jù)時代的到來，以及計算機、云計算等互聯(lián)網(wǎng)科技的不斷發(fā)展，人們的日常生活、工作和學(xué)習(xí)等各方面對互聯(lián)網(wǎng)的依賴日益加深。通過使用智能手機、電腦、WiFi等，人們在網(wǎng)絡(luò)上留下了瀏覽記錄、購物記錄、地址信息、聯(lián)系方式、通訊記錄等海量的個人信息。這些個人信息涉及個人生活的方方面面，能對個人生活造成重大影響[1]。同時，在以互聯(lián)網(wǎng)+大數(shù)據(jù)為核心的工業(yè)信息化大潮中，企業(yè)為實現(xiàn)智能化生產(chǎn)、個性化定制需要掌握海量的個人信息數(shù)據(jù)，同時與信息收集、加工和傳輸相關(guān)的數(shù)據(jù)產(chǎn)業(yè)得到空前的發(fā)展。各種組織或個人通過互聯(lián)網(wǎng)獲取、使用、加工和傳輸信息的能力也日趨強大。與之相伴生的是，個人信息被非法取得、提供、使用、加工甚至買賣、公開的風(fēng)險也不斷加大，個人信息的濫用、非法傳播、販賣屢見不鮮。從“清華大學(xué)教師被騙房貸案”到“徐玉玉案”，通過侵犯個人信息所帶來的影響已由最初的“個人生活安寧”擴展到了信息主體的人身和財產(chǎn)安全，甚至釀成嚴(yán)重的后果[2]。

為正面回應(yīng)大數(shù)據(jù)時代個人信息保護(hù)的迫切需求和民眾關(guān)切，《民法總則》第111條規(guī)定：“自然人的個人信息受法律保護(hù)。任何組織或個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”?！睹穹倓t》的這一規(guī)定，被稱為本次立法的最大亮點之一，是“較具時代特征與前瞻性的規(guī)定”[3]。但是，對于該條規(guī)定中的“個人信息”如何界定，是否明確了“個人信息權(quán)”，以及“個人信息”所謂人格和財產(chǎn)屬性等問題，仍然存在各種不同的理解和爭議。

一、關(guān)于民法總則中“個人信息”概念的界定

（一）我國法律對“個人信息”概念的已有規(guī)定

一般認(rèn)為，無論內(nèi)容和體現(xiàn)形式如何，任何與特定自然人個人有關(guān)的所有信息，從廣義上講，都是個人信息。而狹義上的個人信息，則是指對特定個人狀況進(jìn)行描述和介紹的信息，即通常意義上的身份信息。

我國法律中對“個人信息”概念首次較為明確完整的規(guī)定，是2016年《網(wǎng)絡(luò)安全法》第76條，規(guī)定“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”，顯然是在廣義上對個人信息進(jìn)行的界定。

我國《網(wǎng)絡(luò)安全法》關(guān)于個人信息的定義采取了識別性的標(biāo)準(zhǔn)，符合國際上對個人信息界定的一般標(biāo)準(zhǔn)。《德國聯(lián)邦個人資料保護(hù)法》第2條規(guī)定，個人資料指“凡涉及特定或可得特定的自然人的所有屬人或?qū)偈碌膫€人資料”。歐盟《數(shù)據(jù)保護(hù)指令》第2條規(guī)定“個人信息指有關(guān)任何的識別或能識別自然人的信息”。2007年，歐盟《數(shù)據(jù)保護(hù)指令》第29條工作組進(jìn)一步指出，任何人只要有憑特定信息識別特定自然人的可能性，該信息便屬于個人信息[1]。

按照《網(wǎng)絡(luò)安全法》第76條的上述規(guī)定，對個人信息可以做出如下理解：

1.個人信息的記錄方式具有多樣性，包括電子或其他記錄方式等。易言之，記錄方式并不是構(gòu)成個人信息的限制條件，即無論何種方式記錄的或者體現(xiàn)的信息均可構(gòu)成個人信息。

2.個人信息是能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息。對此可以理解為，個人信息就是單獨或者與其他信息結(jié)合而指向特定自然人的信息，即通說所稱的具有身份識別性的信息。

我國《網(wǎng)絡(luò)安全法》對個人信息含義的上述界定，基本上被2017年6月實施的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》所沿用，其第1條將《刑法》第253條之一規(guī)定的“公民個人信息”，解釋明確為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等”。稍有不同的是，在其概括性表示中將個人信息明確為“識別特定自然人身份或反映特定自然人活動情況的各種信息”，“特定”及“反映特定自然人活動情況”的加入，使表述更為規(guī)范明確。而且，筆者認(rèn)為，該司法解釋并未將個人信息局限于特定自然人的“身份信息”和“活動情況”，否則與其后半段列舉的“賬號密碼”、“財產(chǎn)狀況”就不兼容了，所以，仍應(yīng)當(dāng)理解為指向特定自然人的信息，這是其一。其二，該司法解釋關(guān)于個人信息的含義表述列舉了更多的內(nèi)容，如“財號密碼”、“財產(chǎn)狀況”、“行蹤軌跡”等，更加全面。

（二）民法總則中“個人信息”與“隱私”概念的界分

《民法總則》在于第111條規(guī)定個人信息保護(hù)的同時，其第110條還規(guī)定了隱私權(quán)。隱私的概念在美國法中十分寬泛，其所保護(hù)的范圍包括個人信息。因此，有學(xué)者將美國隱私與個人信息的保護(hù)稱為“一元制”方式，而將我國《民法總則》分別規(guī)定和保護(hù)隱私和個人信息的方式稱為“二元制”[4]。所以，十分有必要對隱私與個人信息的關(guān)系進(jìn)行梳理，以便于更加明確地認(rèn)識在《民法總則》對兩者分別保護(hù)下的個人信息范圍。

一般認(rèn)為，個人隱私包括私生活空間與私生活秘密兩個方面。對于隱私與個人信息的關(guān)系，王利明教授做了較為詳細(xì)的分析，他認(rèn)為，二者的聯(lián)系是：（A）權(quán)利主體都是自然人；（B）都體現(xiàn)了個人對其私生活的自主決定；（C）客體上有交錯。二者的主要區(qū)分在于：（A）權(quán)利屬性方面的界分，隱私權(quán)主要是一種精神人格權(quán)，而信息權(quán)則集人格屬性與財產(chǎn)屬性于一身，隱私權(quán)基本上是一種防御性權(quán)利，而信息權(quán)是主動性權(quán)利；（B）權(quán)利客體方面的區(qū)別：隱私主要是私密性的信息和個人活動，而信息則注重身份識別性，隱私不限于信息形態(tài)，還可以是個人活動，個人私生活方式等不需要記載，而信息通常是被記載下來的；（C）權(quán)利內(nèi)容方面的區(qū)分在于，隱私權(quán)的主要內(nèi)容是防止不正當(dāng)?shù)毓_，而個人信息則側(cè)重于支配和管理[5]。

但是，個人隱私中的私生活秘密往往會以“信息”的形式存在。因此，一般認(rèn)為，個人信息與個人隱私之間存在一定的交叉關(guān)系。即使如此，李永軍教授認(rèn)為，在《民法總則》對隱私和個人信息采取“二元制”保護(hù)的立法模式下，仍有必要將兩者進(jìn)行明確的區(qū)分，并提出了自己的區(qū)分的“三分法”，即使分為純粹的個人隱私、隱私性信息、純粹的個人信息。其中，純粹的個人隱私，是隱私權(quán)保護(hù)的主要部分，是指個人生活最私密、直接涉及到個人人格尊嚴(yán)與自由的部分，一旦侵入，直接會造成受害人的損害，特別是精神損害，主要包括空間隱私權(quán)與私生活秘密兩個方面。隱私性信息，實際上就是隱私與純粹的個人信息交叉的部分，但其與純粹個人信息不同的是，它們對于個人的人格尊嚴(yán)“離得較近”，每個人對于這一部分信息的敏感程度，更接近于個人隱私，如醫(yī)療信息、財產(chǎn)存款信息等，因而其保護(hù)更接近于隱私權(quán)保護(hù)。至于純粹的個人信息，李永軍教授認(rèn)為，就是《網(wǎng)絡(luò)安全法》第76條中所列舉的自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等，該等信息距離個人尊嚴(yán)較遠(yuǎn)，人們對它們的敏感程度遠(yuǎn)不及隱私和隱私信息[4]。

上述區(qū)分方式在于強調(diào)隱私的傳統(tǒng)定義，并對《網(wǎng)絡(luò)安全法》第76條中個人信息的定義作限縮解釋的同時，特別是加入“個人尊嚴(yán)距離”的衡量標(biāo)準(zhǔn)，的確有助于我們大體厘清個人隱私與個人信息之間的區(qū)別，具有借鑒意義。同時，也可以看到，兩者之間的交叉部分仍不免存在。對于該等交叉部分，可以借鑒“個人尊嚴(yán)距離”的方法，結(jié)合具體案件的情形進(jìn)行衡量判斷。

（三）關(guān)于《民法總則》中“個人信息”的初步界定

基于以上論述，筆者認(rèn)為，在民事法律或民事司法解釋對個人信息的含義做出更為明確的規(guī)定之前，基于法律規(guī)范一致性的要求，對于《民法總則》第111條中個人信息的界定，應(yīng)當(dāng)以《網(wǎng)絡(luò)安全法》第76條和《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條的規(guī)定為依據(jù)，以身份識別性為標(biāo)準(zhǔn)，即單獨或與其他信息結(jié)合能夠指向特定自然人的信息。同時，在《民法總則》對隱私與個人信息進(jìn)行分別規(guī)定和分別保護(hù)的情況下，個人信息的范圍中應(yīng)當(dāng)不包括上述“純粹的個人隱私”和“隱私性信息”。

因此，《民法總則》第111條所規(guī)定的個人信息，是指以各種形式存在的、單獨或與其他信息結(jié)合能夠指向特定自然人，且可以為他人所知的非隱私性信息。

二、個人信息的屬性

（一）個人信息的固有屬性

作為信息的一種，個人信息自然具有信息的一切屬性。而信息的屬性，可以從其普遍接受的定義中解析出來。一般認(rèn)為，信息是指音訊、消息、通訊系統(tǒng)傳輸和處理的對象，泛指人類社會傳播的一切內(nèi)容。1948年，數(shù)學(xué)家香農(nóng)在其《通訊的數(shù)學(xué)理論》一文中對信息的定義是“信息是用來消除隨機不定性的東西”。人通過獲得、識別自然界和社會的不同信息來區(qū)別不同事物，得以認(rèn)識和改造世界。在一切通訊和控制系統(tǒng)中，信息是一種普遍聯(lián)系的形式①。從信息的該等定義中，我們可以大體歸納出信息的三個基本屬性：無形性、傳播性及社會聯(lián)系的形式。

就自然人而言，其個人信息自出生即發(fā)生，至死亡而仍存，如同人的名譽。自然人是其個人信息的制造者，或者說是觸發(fā)者。但是，作為社會聯(lián)系的形式，從某種角度講，個人信息是自然人與他人互動的產(chǎn)物，所以個人往往并非其個人信息唯一的制造者和知悉者。個人對其自己制造的信息，可以決定是否提供或傳播給他人。個人與他人共同制造的信息，一經(jīng)產(chǎn)生即已為他人所知，如交易信息、聯(lián)系信息、旅行信息等。因此，自然人對其絕大多數(shù)個人信息往往并不具有控制力。

自然人基于自己的意志而對其個人信息的傳播或提供，以及提供給誰或傳播到什么范圍，屬于其個人自由范圍，法律無需過多干預(yù)。法律需要重點規(guī)制的是在社會聯(lián)系與互動中，依法取得他人個人信息的單位和個人的再次對外提供行為（包括傳播、公開等，以下統(tǒng)稱“再提供行為”），并禁止非法取得他人個人信息的行為。因為，這兩種行為均非基于信息主體個人意志而做出，且一般與信息主體意志不符，甚至相悖。

（二）個人信息的人格價值屬性

法律之所以將個人信息納入其調(diào)整體系，顯然并非基于其所具有的固有屬性，而應(yīng)當(dāng)是其所承載的價值屬性。因為，法律作為一種社會規(guī)制僅調(diào)整特定的社會關(guān)系，如Lawson言，任何法律體系的首要目標(biāo)皆為保護(hù)于人類社會而言具有保護(hù)價值的特定事物[6]。而人格利益的承載，基本上是各國將個人信息納入法律保護(hù)范圍的基礎(chǔ)。

在以寬泛的“隱私權(quán)”進(jìn)行個人信息保護(hù)的美國，其主流學(xué)術(shù)觀點認(rèn)為隱私對個人生活免受打擾、個人秘密免受侵害及公開的權(quán)利，應(yīng)擴及于個人信息的控制與自我決定，這是社會交往中的人的基本權(quán)利。即基于社會的普遍價值觀念和倫理道德，個人信息生成者應(yīng)當(dāng)享有自己個人信息如何被收集、整理、傳播、利用等自我決定的權(quán)利，這應(yīng)當(dāng)屬于隱私權(quán)保護(hù)的內(nèi)涵?；谛畔㈦[私權(quán)的確認(rèn)，使得美國的隱私權(quán)體系從防御性的權(quán)利向進(jìn)取性的權(quán)利發(fā)展，強調(diào)主體對自身信息的支配、控制與決定[6]。可見，個人尊嚴(yán)和人格自由是美國法將隱私權(quán)的保護(hù)范圍擴大至個人信息，進(jìn)而賦予自然人信息控制權(quán)的價值基礎(chǔ)。而作為大陸法系代表的德國同樣如此，因為在德國，作為影響人格權(quán)制度走勢的權(quán)利，一般人格權(quán)是探究個人信息保護(hù)基礎(chǔ)無法繞開的節(jié)點。一般人格權(quán)是德國聯(lián)邦最高法院以判例的形式援引德國基本法而形成的框架性權(quán)利，它的突出特點是“不確定性”。由于個人信息外延極廣，故而亦具有“不確定性”，因此，將個人信息作為一般人格權(quán)客體對之進(jìn)行保護(hù)似無不妥。由此可見，基于個人信息關(guān)乎人格尊嚴(yán)，因而應(yīng)當(dāng)受到法律的保護(hù)，對此無論是大陸法系的人格權(quán)說還是英美法系的隱私權(quán)說，都并無異議[7]。

我國《民法總則》第111條明確了自然人的個人信息受法律保護(hù)。而且不同于其他人身權(quán)益簡單的列舉性規(guī)定，第111條還具體規(guī)定了“任何組織和個人需要獲得他人的個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸個人信息，不得非法買賣、提供或者公開個人信息”[3]。而且，《民法總則》將個人信息保護(hù)置于人格權(quán)益保護(hù)的范疇，同樣體現(xiàn)了對其所承載的人格價值屬性的重視。

（三）個人信息的財產(chǎn)價值屬性

有人認(rèn)為，信息時代賦予了個人信息更豐富的價值內(nèi)涵，個人信息之上所承載的價值已經(jīng)不僅僅局限于人格自由和尊嚴(yán)，其在產(chǎn)業(yè)發(fā)展中具備的商業(yè)價值，在社會管理中凸顯的公共管理價值等多重價值，都需要立法者予以充分考慮和利益衡量，這些對于不同價值的權(quán)衡也必將成為個人信息保護(hù)法律體系構(gòu)建中的理論起點和基礎(chǔ)[8]。

不可否認(rèn)，個人信息越來越多地被收集、整理、加工和使用，從而被納入商業(yè)運行之中，成為眾多企業(yè)更加精準(zhǔn)、有效地向社會提供優(yōu)質(zhì)產(chǎn)品和服務(wù)的基礎(chǔ)，展現(xiàn)出單個信息主體所無法想象的商業(yè)價值。但是，能否據(jù)此就認(rèn)為自然人的個人信息就具有了財產(chǎn)價值或財產(chǎn)屬性呢？筆者認(rèn)為，應(yīng)當(dāng)從兩個層面上進(jìn)行分析，即區(qū)分單個自然人的個人信息與信息收集加工使用者所持有的個人信息。就單個自然人自己的個人信息而言，其本身并不存在所謂的財產(chǎn)價值。因為，首先，如上所述，個人信息是自然人進(jìn)行社會聯(lián)系的形式，是與他人進(jìn)行互動交往的產(chǎn)物，僅僅是自然人對外聯(lián)系交往的“副產(chǎn)品”。其次，對于可為他人所知的單個自然人的個人信息，無論有多大的數(shù)量，都無法從中歸納出多數(shù)人的行為規(guī)律。反之，個人信息收集加工者只有收集眾多不同自然人的信息，并進(jìn)行統(tǒng)計分析，發(fā)現(xiàn)其中規(guī)律性的內(nèi)容，才能發(fā)揮指導(dǎo)輔助生產(chǎn)經(jīng)營決策的作用。如果僅定向收集加工某個特定自然人的信息，除了為此人制作日志和傳記外，應(yīng)該無法產(chǎn)生其他的經(jīng)濟效益上的作用。從信息收集加工者的角度而言，有價值的是基于眾多個人的信息和個人的眾多信息的收集、統(tǒng)計和分析，所得出的眾多個人的共同性或特殊性的規(guī)律，以及將其服務(wù)或產(chǎn)品向眾多個人進(jìn)行推送的渠道價值。這應(yīng)當(dāng)屬于個人信息的在商業(yè)上的使用價值，而非交換價值。如果信息收集加工者欲通過信息交換獲得財產(chǎn)收益，則應(yīng)當(dāng)經(jīng)所涉及信息主體的同意或進(jìn)行處理使之無法識別特定個人，例如我國《網(wǎng)絡(luò)信息安全法》第四十二條1款對此的規(guī)定。但是，個人信息在經(jīng)過處理后不再具有“識別性”，就不再構(gòu)成法律意義上的個人信息了。易言之，信息收集加工者對所收集加工個人信息的交換價值的取得，以信息主體的事先同意為前提。但是，在“去識別化”這一選項存在的情況下，信息收集加工者未必會以一定的代價換取信息主體的同意。因此，單個的信息主體于這樣大量的、側(cè)重于加工成果的信息集合交易中，能否取得財產(chǎn)收益，筆者對此持懷疑態(tài)度。

基于以上三方面可見，個人信息作為指向特定個人的信息，自然具有信息的無形性、傳播性及聯(lián)系形式的固有屬性。同時，作為受法律保護(hù)的信息，個人信息突出的特性在于其人格價值屬性，至于個人信息的財產(chǎn)價值屬性在作為信息主體的層面上幾乎不存在，而只是體現(xiàn)于信息收集加工者層面上的使用價值和少量的交換價值因素。個人信息的這些特點和屬性，勢必影響《民法總則》對個人信息的保護(hù)方式。

三、《民法總則》對個人信息的保護(hù)方式

（一）個人信息權(quán)還是信息行為規(guī)制？

關(guān)于《民法總則》第111條所規(guī)定的個人信息保護(hù)方式，可謂是眾說紛紜。大體有這樣幾種觀點，一是具體人格權(quán)說，認(rèn)為《民法總則》在新增權(quán)利方面較引人矚目的當(dāng)屬第111條關(guān)于個人信息權(quán)的規(guī)定，這一條款使“個人信息”終于以民事權(quán)利的形式被民法加以確認(rèn)，不僅回應(yīng)了近年來我國社會關(guān)于個人信息保護(hù)的期待，更是對公民權(quán)利的擴充與尊重，是民法典自身的完善和法治進(jìn)步的表現(xiàn)[9]。一是框架性人格權(quán)說，認(rèn)為“究個人信息之本質(zhì)，是一種框架性權(quán)利，是類似于一般人格權(quán)，而非具體人格權(quán)的一種權(quán)利。它既為個人信息的保護(hù)提供‘兜底’作為，又可作為‘母權(quán)’產(chǎn)生具體的個人信息權(quán)利。這意味‘個人信息權(quán)’的概念只是指稱一個以不同強度來保護(hù)的價值綜合體”[7]。還有學(xué)者主張，《民法總則》第111條的規(guī)定只是一個保護(hù)規(guī)則，明確了通過債權(quán)責(zé)任法的路徑來保護(hù)個人信息的思路，并沒有設(shè)立一項新的具有絕對權(quán)特征的民事權(quán)利[10]。高富平教授則明確指出“《民法總則》雖然宣示個人信息受法律保護(hù)，但未明確其法律地位及性質(zhì)，更未明確確立個人信息權(quán)作為一種具體的人格權(quán)”②。

從《民法總則》第111條前句的“自然人的個人信息受法律保護(hù)”的表述中，的確難以得出設(shè)定個人信息權(quán)的結(jié)論。因為，我國民事法律保護(hù)的不僅是權(quán)利，還包括各種利益，《侵權(quán)責(zé)任法》第2條對侵害民事權(quán)益應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任的規(guī)定，就是一個明顯的例證。至于第111條后句對信息主體之外的其他組織或個人在取得、收集、使用、加工等行為的規(guī)制，顯然與民事權(quán)利的內(nèi)容也存在明顯的差異。因此，將第111條的規(guī)定理解為確立了個人信息權(quán)，有違法條文義。這是其一。其次，如上所述，個人信息具有無形性、傳播性，一經(jīng)為他人所知，信息主體就無法控制和掌握。而且，作為社會聯(lián)系互動的產(chǎn)物和形式，個人信息的產(chǎn)生恰恰就是為了使一定范圍的他人知曉，或者一經(jīng)產(chǎn)生即為他人所知，甚至與其他組織或個人的信息結(jié)合在一起。這些特點都會使權(quán)利的設(shè)置和界定存在極大的難度。最后，信息時代下各行業(yè)產(chǎn)業(yè)信息化對信息流動性的迫切需求，也使立法者在能否設(shè)置個人信息權(quán)方面心存疑慮。因為，整個民法典的編纂過程，就是圍繞著被分配的利益或負(fù)擔(dān)、接受分配之人、分配之標(biāo)準(zhǔn)設(shè)定權(quán)利規(guī)則的過程。利益保護(hù)可采權(quán)利化模式、也可采行為規(guī)制模式，前者給予全面的更高強度的保護(hù)，后者則限定于一定的范圍，保護(hù)力度也相對較弱[11]。對利益的保護(hù)采取行為規(guī)制這種相對較弱的保護(hù)方式，實際上也體現(xiàn)了立法者試圖尋找信息主體與信息收集使用者之間、信息保護(hù)與信息流動之間的平衡。因此，筆者贊同《民法總則》第111條沒有設(shè)定個人信息權(quán)，而僅僅是采取了行為規(guī)制的方式進(jìn)行個人信息保護(hù)。

（二）個人信息權(quán)益的具體內(nèi)容

雖然，民法總則沒有采取設(shè)定民事權(quán)利的方式保護(hù)個人信息，但是，作為受法律保護(hù)的利益，其內(nèi)容并不單薄，根據(jù)相關(guān)法律的規(guī)定以及對個人信息屬性的上述分析，筆者認(rèn)為，信息主體對其個人信息的民事權(quán)益，大體包括以下四個方面：

1.自行決定是否同意提供個人信息以及信息收集者能否對外再提供

最高人民法院《審理旅游糾紛案件適用法律若干問題的規(guī)定》第9條、《消費者權(quán)益保護(hù)法》第29條第1款、《網(wǎng)絡(luò)安全法》第41條，均明確規(guī)定了經(jīng)營者、網(wǎng)絡(luò)運營者收集、使用個人信息，需經(jīng)過信息主體的同意。而且，《網(wǎng)絡(luò)安全法》第42條進(jìn)一步明確，未經(jīng)被收集者即信息主體的同意，網(wǎng)絡(luò)運營者不得將其收集的個人信息再向他人提供。最高人民法院《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條，則將經(jīng)自然人書面同意且在約定范圍內(nèi)公開，作為網(wǎng)絡(luò)用戶或服務(wù)提供者公開個人信息侵權(quán)責(zé)任的除外情形，反向明確了個人信息收集者對外再提供及提供的范圍，均需經(jīng)信息主體的同意。

由于信息的無形性和傳播性，信息一經(jīng)提供便無法收回，接受即能知悉和擁有。因此，信息主體對其個人信息的支配是有限的，信息主體對其個人信息的益顯然應(yīng)當(dāng)是始于信息源頭上的自主決定。同時，無論信息主體獨自產(chǎn)生的，還是其與他人互動所產(chǎn)生的個人信息，基于私法自治的原則，該自然人有權(quán)決定是否向外提供其個人信息，以及接受其個人信息的主體的范圍。因此，決定是否同意提供個人信息，以及信息收集者能否對外再提供，是自然人對其個人信息權(quán)益的核心，也是平衡個人信息保護(hù)與維持信息流動及收集使用者權(quán)益的基點。

2.要求修正或更正個人信息

當(dāng)個人信息發(fā)生變化，或者因為各種原因其所提供的、公開的個人信息存在錯誤，或者信息接受者、知悉者所了解和使用的個人信息發(fā)生錯誤時，信息主體有權(quán)通知信息接受者、知悉者，以及當(dāng)時公開個人信息的媒介等進(jìn)行修正。對此，《網(wǎng)絡(luò)安全法》第43條明確規(guī)定，信息主體發(fā)現(xiàn)網(wǎng)絡(luò)運營者收集、存儲的其個人信息有錯誤的，有權(quán)要求網(wǎng)絡(luò)運營者予以更正，網(wǎng)絡(luò)運營者應(yīng)當(dāng)予以更正。

3.要求信息收集者合理使用個人信息

作為社會聯(lián)系的方式，信息主體對外提供其個人信息是基于一定的目的，或者是為了交往聯(lián)系，或者是為了便于獲取信息收集者提供的相關(guān)服務(wù)或產(chǎn)品。因此，信息主體有權(quán)要求信息收集者合理地、按照事先明確的目的使用個人信息。我國《消費者權(quán)益保護(hù)法》第29條規(guī)定，經(jīng)營者未經(jīng)消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發(fā)出商業(yè)性信息?！毒W(wǎng)絡(luò)安全法》第41條確定網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照信息主體同意的方式和目的使用個人信息，以及第42條對于網(wǎng)絡(luò)運營者不得篡改、毀損個人信息的規(guī)定等。這此規(guī)定顯然都是為了維護(hù)信息主體在要求信息收集者合理使用個人信息方面的權(quán)益。

4.要求信息收集者采取保密或安全措施，并于信息泄露、丟失時進(jìn)行補救。

最高人民法院《審理旅游糾紛案件適用法律若干問題的規(guī)定》第9條、《消費者權(quán)益保護(hù)法》第29條第2款、《網(wǎng)絡(luò)安全法》第42條第2款等，都規(guī)定了信息收集者對所收集信息的保密或保證安全的責(zé)任，以及于發(fā)生泄露、丟失時進(jìn)行補救的法定責(zé)任。對此，信息主體在提供其個人信息，以及發(fā)現(xiàn)其個人信息被泄露、丟失時，自然可以向信息收集者提出采取相關(guān)措施的要求。

此外，根據(jù)《民法總則》以及上述相關(guān)司法解釋和法律的規(guī)定，結(jié)合我國《侵權(quán)責(zé)任法》第2條的規(guī)定，如果個人信息的上述權(quán)益受到侵害，信息主體自然有權(quán)要求包括信息收集者在內(nèi)的侵權(quán)人承擔(dān)相應(yīng)的侵權(quán)責(zé)任。

（三）對信息收集、使用、加工、轉(zhuǎn)讓傳輸?shù)刃袨榈囊?guī)制

《民法總則》第111條除了首句宣示保護(hù)自然人個人信息外，其余大部分表述集中在對對信息收集、使用、加工、轉(zhuǎn)讓傳輸?shù)刃袨榈囊?guī)制上。鑒于該等規(guī)制實際上就是信息主體權(quán)益內(nèi)容的反面表述，兩者猶如硬幣的兩面，為避免重復(fù)不再就其內(nèi)容展開論述。但是，筆者認(rèn)為，就此需要作出以下幾個方面的說明：

1.《民法總則》第111條將內(nèi)容集中于行為規(guī)制上的特點，也恰恰顯示了對個人信息的保護(hù)所采取的是行為規(guī)制而非權(quán)利化模式。利益保護(hù)可采權(quán)利化模式、也可采行為規(guī)制模式。其中，權(quán)利化模式，設(shè)定具體權(quán)利類型以涵蓋相應(yīng)利益，并將相應(yīng)利益劃歸權(quán)利人享有，賦予權(quán)利人一般性的排他可能性。而行為規(guī)制模式則是從他人行為控制的角度，來構(gòu)建利益空間，通過他人特定行為的控制來維護(hù)利益享有者的利益[11]。按照該等權(quán)利化和行為規(guī)制模式區(qū)分的觀點，《民法總則》第111條的文義內(nèi)容恰恰表明其并未規(guī)定和設(shè)立所謂的“個人信息權(quán)”，盡管該條款位于《民法總則》“民事權(quán)利”一章之中。

需要說明的是，由于《民法總則》第111條采取的是行為規(guī)制模式，對個人信息進(jìn)行收集、使用、加工、傳輸?shù)鹊慕M織或個人負(fù)有遵守該等行為規(guī)制的法定義務(wù)，其履行并不以信息主體基于自身利益提出要求為前提。

2.《民法總則》是《民法典》的開篇之作，在《民法典》中起統(tǒng)領(lǐng)性作用?！睹穹倓t》規(guī)定了民事活動必須遵循的基本原則和一般性規(guī)則?！睹穹倓t》既構(gòu)建了我國民事法律制度的基本框架，也為民法典各分編和民商事特別法律具體規(guī)定民事權(quán)利提供依據(jù)[3]。因此，《民法總則》第111條的規(guī)定可以被視為民事法律中個人信息保護(hù)的一般條款，對已有法律中保護(hù)個人信息的民事性規(guī)定，以及將來民法典分編或特別法律中可能制訂的保護(hù)個人信息的內(nèi)容，具有統(tǒng)帥指導(dǎo)作用，甚至是其制訂的依據(jù)。2017年6月的《網(wǎng)絡(luò)安全法》第64條中“網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反本法第二十二條第三款、第四十一條至第四十三條規(guī)定，侵害個人信息依法得到保護(hù)的權(quán)利的，由有關(guān)主管部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處……”，其中“侵害個人信息依法得到保護(hù)的權(quán)利的”表述，似乎就是這一統(tǒng)帥指導(dǎo)功能的體現(xiàn)。但是，這一表述存在瑕疵，因為個人信息得到保護(hù)并不是一項權(quán)利，而是信息主體的利益。同時，《民法總則》第111條一般性條款的地位，也表明有必要就個人信息保護(hù)制訂更為細(xì)致和統(tǒng)一的特別法律，以彌補相關(guān)已有法律規(guī)定的不周全。

3.我國現(xiàn)有的關(guān)于個人信息保護(hù)的民事法律及司法解釋，無論是針對旅游經(jīng)營者、與消費者相對應(yīng)的經(jīng)營者、網(wǎng)絡(luò)運營者等，所適用的主體范圍均有其特定的指向和一定的限制?！睹穹倓t》第111條中“任何組織和個人”的表述，明顯擴展了規(guī)制信息取得、收集、使用、加工、傳輸轉(zhuǎn)讓等行為的主體范圍。對于其他信息行為主體，在其他民事法律和司法解釋等沒有詳細(xì)規(guī)定的情況下，《民法總則》第111條可以直接進(jìn)行規(guī)制，并作為裁判的依據(jù)[3]。

四、結(jié)語

在《民法總則》第110條、第111條就隱私和個人信息分別規(guī)定和保護(hù)的情況下，可以將個人信息界定為以各種形式存在的、單獨或與其他信息結(jié)合能夠指向特定自然人，且可以為他人所知的非隱私性信息。個人信息具有信息所固有無形性、傳播性及社會聯(lián)系方式的屬性。作為納入法律體系保護(hù)的利益，個人信息承載著信息主體的人格價值屬性，至于所謂的財產(chǎn)價值屬性應(yīng)該是主要體現(xiàn)于信息收集加工者的使用交換上，基本上與單個的特定自然人無關(guān)。

《民法總則》對個人信息的保護(hù)是將之置于人格權(quán)益范疇的，采取了行為規(guī)制而非權(quán)利化模式。但是，信息主體對于其個人信息的權(quán)益可以細(xì)分為：決定是否同意提供個人信息以及信息收集者能否對外再提供、要求修正或更正個人信息、要求信息收集者合理使用、要求信息收集者采取保密或安全措施，并于信息泄露、丟失時進(jìn)行補救等幾個方面。而《民法總則》第111條對收集、使用、加工、傳輸個人信息等行為的規(guī)制，與信息主體前述權(quán)益相對應(yīng)。

當(dāng)然，《民法總則》第111條關(guān)于個人信息保護(hù)的規(guī)定，相當(dāng)?shù)暮唵魏痛植?，既無權(quán)利性規(guī)范，也無正向且具體的行為指引，基本上是一個宣示性規(guī)定。因此，對于個人信息在民法中的界定、規(guī)范和保護(hù)，顯然還需要投入更多的思考、探討和努力，以期能夠?qū)⒅M(jìn)一步地完善和明確。

[注釋]

① 參看百度百科“信息詞條”，網(wǎng)址：https://baike.baidu.com/item/%E4%BF%A1%E6%81%AF.

② 參看高富平“我國現(xiàn)行個人信息保護(hù)立法評估報告”一文，見2017年華東政法大學(xué)博士研究生民商法學(xué)專題研究課程。

[1] 韓旭至.個人信息權(quán)載入民法內(nèi)芻議[J].武漢理工大學(xué)學(xué)報(社會科學(xué)版),2017(3):137-145.

[2] 郝思洋.個人信息權(quán)確立的雙重價值—兼評《民法總則》第111條[J].河北法學(xué),2017(10):128-139.

[3] 張鳴起.《中華人民共和國民法總則》的制定[J].中國法學(xué),2017(2):5-24.

[4] 李永軍.論《民法總則》中個人隱私與信息的“二元制”保護(hù)及請求權(quán)基礎(chǔ)[J].浙江工商大學(xué)學(xué)報,2017(3):10-21.

[5] 王利明.論個人信息權(quán)的法律保護(hù)—以個人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學(xué),2013(4):62-72.

[6] 楊惟欽.價值維度中的個人信息權(quán)屬模式考察—以利益屬性分析切入[J].法學(xué)評論,2016(4):66-75.

[7] 任龍龍.個人信息民法保護(hù)的理論基礎(chǔ)[J].河北法學(xué),2017(4):181-192.

[8] 張新寶.從隱私到個人信息:利益再衡量的理論與制度安排[J].中國法學(xué),2015(3):38-59.

[9] 郝思洋.個人信息權(quán)確立的雙重價值—兼評《民法總則》第111條[J].河北法學(xué),2017(10):128-139.

[10] 藍(lán)藍(lán).個人信息權(quán)獨立性再探討—以《民法總則》的頒布為背景[J].昆明理工大學(xué)學(xué)報(社會科學(xué)版),2017(4):20-27.

[11] 葉金強.《民法總則》“民事權(quán)利章”的得與失[J].中外法學(xué),2017(3):645-655.

本文推薦專家：

韓松，西北政法大學(xué)，教授，研究方向:民商經(jīng)濟法。

焦和平，西北政法大學(xué)，副教授，研究方向:民法和知識產(chǎn)權(quán)法。

The definition and protection of personal information in general rules of civil law

LU CHENGHUA

In general rules of civil law, personal information can be defined as exist in various forms, alone or combined with other information to point to specific natural person, and not privacy information known to others. As an interest in the protection of legal system, personal information bears the personality value. As to the property value, it is reflected in the use and exchange of the information collection processor, which is basically irrelevant to the individual as the subject of information. Personal information is put in the category of personality rights, and adopted the protection mode of behavior regulation rather than power. Information subject to the rights and interests of their personal information can be divided into: agree to provide personal information, and information collector can be foreign to provide, demands correction, information collection and reasonable use, request information collector confidentiality or security measures and in information disclosure, loss remedy.

personal information; defined; benefit; protection

D913.1

A

1008-472X(2018)01-0052-08

2018-01-15

路成華（1974-），男，山東濟寧人，華東政法大學(xué)，博士研究生，研究方向：民商法。