周学峰

(北京航空航天大学 法学院，北京 100083)

近年来，个人信息保护已成为一个受到社会各界关注的热门话题，特别是在“徐玉玉”案①之后，加强个人信息保护立法的呼声越来越高。2018年9月，全国 人民代表大会常务委员会(以下简称“全国人大常委会”)公布的《十三届全国人大常委会立法规划》中，《个人信息保护法》正式被列入第一类项目，即“条件比较成熟、任期内拟提请审议的法律草案”[1]。尽管立法进程正在加速进行，然而，与个人信息保护法律制度有关的许多理论问题在学术界仍存在争议，如果这些理论问题得不到妥善解决，势必会影响到立法质量以及立法通过后人们对它的解读。

与个人信息保护相关的理论问题非常多，限于篇幅，文章选取三个关键词，并以此为中心，就其所涉及的三个基础性问题进行探讨，即如何界定个人信息的概念，如何看待信息主体所享有的个人信息权益的性质，如何确定个人信息保护的立法路径。上述三个问题具有紧密的逻辑关系，对于个人信息的概念界定会影响到对个人信息权益的性质认识，而对个人信息权益性质的认识会影响到个人信息保护立法的路径选择及其与民法的衔接，因此，文章将依顺序对上述三个问题进行探讨。

一、个人信息概念的界定

个人信息保护立法首先要解决个人信息概念界定的问题，其不仅会影响到个人信息保护规则的设计，而且还决定了该部法律的适用边界。从现有的立法来看，关于个人信息概念的界定并不完全一致：2012 年12月全国人大常委会颁布的《全国人大常委会关于加强网络信息保护的决定》将保护对象规定为“能够识别公民个人身份和涉及公民个人隐私的电子信息”②。2013年7月工业和信息化部颁布的《电信和互联网用户个人信息保护规定》将个人信息定义为：“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”③2016年11月全国人大常委会颁布的《网络安全法》则将个人信息限定为可识别自然人个人身份的信息，包括能够单独识别个人身份的信息和“与其他信息结合识别自然人个人身份的各种信息”，并进行了列举④。2017年4月最高人民法院和最高人民检察院发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》亦对“公民个人信息”进行了概念界定，其包括两类信息，即能够识别特定自然人身份的信息和反映特定自然人活动情况的信息。就识别自然人身份信息而言，其采取了与《网络安全法》近乎相同的表述。目前，全国人大常委会待审议的《民法典(草案)》之“人格权编”亦对个人信息进行了界定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”该定义与《网络安全法》所采取的定义类似，但不同之处在于，《民法典(草案)》中的定义删除了“个人身份”的字眼，并且，其列举的个人信息项目要较《网络安全法》更多⑤。

从国外有关个人信息保护的立法来看，欧盟《一般数据保护条例》(GDPR)第4条第(1)项将个人数据界定为“与一个已被识别或可被识别的自然人相关的任何信息”，其在界定“可被识别的自然人”时使用了可直接识别和可间接识别的概念⑥。在美国联邦层面，并不存在类似于欧盟《一般数据保护条例》意义上的一般性的个人信息保护立法，而是存在多部专门适用于某一领域的个人信息保护立法，其关于个人信息的概念界定仅服务于特定的立法，尽管如此，通过研究后仍可发现，多数法规都将“个人的可识别信息”(PII)作为界定个人信息的基础[2]。

从上述国内外立法或立法草案中可以看出，尽管其对个人信息的概念界定存在一定的差异，但是，都将可识别个人身份的信息作为界定个人信息的基石。从中国国内的立法来看，在《电信和互联网用户个人信息保护规定》之后的立法都将个人身份信息进一步区分为两类：能够单独识别个人身份的信息和“与其他信息结合识别自然人个人身份的各种信息”。其可以与欧盟《一般数据保护条例》中的可直接识别个人身份信息与可间接识别个人身份信息相对应。就可单独识别个人身份的信息而言，其在认定时争议较少。值得讨论是，与其他信息结合识别自然人个人身份的信息的界定。

无论是中国还是欧盟或美国的相关立法都没有说明所谓“能够识别”，是指“谁”能够识别？此处欠缺一个主语，其显然不是指被识别的自然人本人，即“信息主体”，否则的话，与自然人有关的一切信息均可被认为是个人信息，其过于宽泛而失去定义的意义。这意味着对个人信息概念的界定不应从信息主体的主观角度出发，而是应从外部视角来界定。那么，究竟应该从哪些外部人的视角来进行界定？对此，可以作两种理解：一种是客观视角，只要是信息主体以外的任何一人能够使用其掌握的其他信息进行结合而可以识别出信息主体的身份，那么，该信息便可归属为个人信息。另一种是，应当以那些收集、处理个人信息并对此负有法律义务的人能否识别出个人身份作为判断标准，此类主体在不同的法律背景下有不同的称谓⑦，中国《民法典(草案)》和欧盟《一般数据保护条例》将其称之为“信息控制者”或“数据控制者”⑧。欧盟《一般数据保护条例》在序言部分第26段中称：“为判断自然人身份是否可以识别，需要考虑由数据控制者或其他人为了直接或者间接地识别出自然人而可能使用的所有合理手段。”对该段文字的理解亦同样充满争议。

对于上述疑问，欧盟的司法机关欧洲法院在2016年的一起案例中对此作出了阐释，其虽然是对欧盟1995年个人数据保护指令中相关条款的解释，但是，鉴于欧盟1995年指令与欧盟《一般数据保护条例》关于个人数据的界定存在实质性相同之处，因此，该判决今天仍有借鉴意义。在该案例中，欧洲法院判定，网络媒体服务提供者所收集的用户登录其网站时的动态IP地址，相对于该服务提供者而言，只要其能够从第三方(该用户的网络服务提供者ISP)处获得额外的信息从而能够识别出用户的身份，就属于个人数据⑨。由该判决可以看出，欧洲法院采取的是数据控制者判断标准，但是，欧洲法院强调，在判断一项数据是否属于个人数据时，不能仅从数据控制者自身所有的其他数据来进行判断，还应当包括其有可能合法地从第三人获得的其他数据。

对上述问题的回答非常重要。在实践中，对于许多个人身份信息而言，即使将明确标识身份的元素去除，他人仍有可能借助其他相关信息进行组合或配比，从而可以使其变得重新可被识别，美国已有多次惨痛的事例教训可以证明这一点，而许多事例都是发生在“大数据”(Big Data)这一概念流行之前⑩。在当今大数据时代，可识别个人身份的数据与不可识别个人身份的数据的界限正在变得模糊，对于拥有大量数据的当事人而言，其可以使用数据挖掘技术，从大量单独的无法直接识别个人身份的数据中“挖掘”出数据主体的身份信息。然而，并非每一个人都能拥有进行间接识别所需的“其他信息”，也并非每一个人都能拥有同等的信息处理技术水平。如果采取绝对意义上的客观说，那么，每一位 有可能从他人处采集信息的当事人都将面临巨大的法律风险，因为其将难以判断所收集的信息是属于个人信息还是非个人信息，在其眼中的非个人信息有可能是他人眼中的个人信息，导致的结果有可能如一些学者所言：“除了纯粹的机器、传感器和天气数据外，不再有非个人的数据了。”[3]如果采取欧洲法院所主张的相对说，则可以大大缓解那些数据控制者的法律责任风险，因为数据控制者可以从自身所拥有的数据以及合法地从第三处获得的数据出发，根据当前的数据处理技术，来对所欲收集的数据的属性进行判断。

在文章看来，欧洲法院所采取的认定标准值得赞同，但是，需要说明的是，欧洲法院在认定可识别的个人信息时，并非单纯依赖数据控制者的主观判断标准，而是在一定程度上亦使用了客观标准。事实上，无论是欧洲法院，还是欧盟《一般数据保护条例》序言部分的说明文字，都强调在认定可识别数据时要考虑数据控制者“有可能采取的合理的”(Likely Reasonably)手段，包括进行身份识别所需的费用和时间、识别时可以利用的技术，以及未来的技术发展等因素。因此，严格来讲，欧洲法院采取的是“相对标准”而非“主观标准”，是将个人数据的认定问题放到了数据主体与数据控制者这一相对关系中来处理的，这意味着，离开了这一相对关系将无从对个人数据进行界定，换言之，同样一类数据，对于有些人而言其属于个人数据，而对于另外一些人而言则不属于个人数据。由于个人信息主体会持续不断地与不同的主体进行交易或者社会交往而产生数据收集问题，因此，在有些学者看来，个人信息的边界是动态的，因人因事因时而异，只能基于场景(Context)进行风险评估，脱离具体场景进行抽象的界定并无任何意义[4]。

二、个人信息权益的性质

就个人信息应受法律保护这一点而言，比较容易达成社会共识，但是，对于如何对个人信息进行保护则众说纷纭。从私法的角度来看，如果说个人信息应受法律保护，那么，就意味着信息主体对于其个人信息享有一定的权益，但是，其究竟是属于“权利”还是仅为一种“法益”，在学术界存在分歧。2017年颁布的《民法总则》在第五章“民事权利”部分第111条规定：“自然人的个人信息受法律保护。”对此，存在两种解读：一种观点认为，立法者虽然没有使用“权利”这一表述，但是，仍应将其解释为自然人对其个人信息享有“个人信息权”，其性质系具体人格权的一种类型[5]。另一种观点则认为，应将《民法总则》第111条的规定解释为行为规制模式，而非权利化模式，个人信息利益系一种受法律保护的利益而非权利，系“通过对行为的控制，为个人信息利益支撑起一片天空”[6]。

在文章看来，由于《民法总则》第111条对个人信息保护的规定非常简略，因此，对个人信息权益的性质进行分析时，应当跳出《民法总则》的现有规定，而从国内外现有的关于个人信息保护的具体规定来进行分析。以欧盟的《一般数据保护条例》为例，其被许多人认为系当今世界上对个人信息权益规定得最为丰富的一部法律，其规定的个人数据主体权益包括知情权、同意权、查询访问权、更正权、删除权、限制处理权、可携带权和反对权等。就上述这些权益的性质而言，其很难完全归入传统民法中的绝对权或支配权之列。

所谓绝对权，是指对于一般人请求不作为的权利[7]。绝对权人以外的人均负有不得侵害其权利的义务，因此，其又称为对世权。然而，个人信息权益中的具体项，如查询访问权、更正权等，均存在具体的特定的请求对象，系向特定的对象来主张，即信息主体向持有其个人信息的数据控制者提出主张，并且其并不是请求对方不作为，而是要求对方积极地做出一定行为，以使得个人信息权益得以圆满实现。民法上的支配权，是指权利人直接支配其标的，而具有排他性的权利，其突出特征在于是权利人可直接支配其标的，而无须他人行为之介入[8]。然而，个人信息权益中的知情权、查询访问权、更正权、删除权、可携带权等，均需要义务人(数据控制者)采取积极的行动予以配合方能实现，因为负载个人信息的数据已经存储在了数据控制者那里，如果离开了数据控制者的配合，单凭个人信息主体本身力量，既无法访问，亦无法更正、删除或携带存储在他人那里的数据。从这个角度来看，所谓的查询访问权、更正权、删除权、携带权等，实际上是请求查询访问权、请求更正权、请求删除权、请求携带权等。又如，所谓的“知情权”，实际上与数据控制者的“信息提供义务”是一体两面的关系。有学者认为，上述具有请求权性质的权利内容，系属于个人信息权利遭受侵害后的救济权能的表现，从而不影响个人信息权利作为支配权的属性[9]。在文章看来，知情权和查询访问权等权益内容，是属于个人信息正常收集、处理过程中权益人主张的权益请求，而非个人信息权利遭受侵害后的救济权能，因而上述主张难以成立。

将个人信息受保护的权益认定为一种绝对权或支配权，会面临许多难题。首先，如前文所述，个人信息的边界具有相对性和不确定性，以此为基础构建的个人信息权的边界亦具有相对性和不确定性，如将其作为一种对世权来看待，那么，势必会影响到权利人以外的他人行为之自由。其次，个人信息本身属于信息的一种，而不是物，具有无形性，可以被多人所共同持有，难以被信息主体排他性地占有或控制[10]。最后，个人信息具有两重属性，一方面，它是关于个人信息主体的信息，与个人信息主体具有密切的关联，不像物那样是主体的“身外之物”；另一方面，个人总是社会中的人，只要个人与社会发生联系，或与其他主体进行交往，就会不可避免地留下踪迹，即个人信息，因此，它又具有一定的社会属性或公共属性[11]，从而难将个人信息权益完全归入个人支配权的范围内。

在文章看来，欲认定个人信息受保护权益的性质，首先需澄清个人信息与隐私之间的关系。总的来说，个人信息与隐私之间是一种交叉关系[12]。广义的个人信息，是指与已经被识别和能够被识别的自然人有关的任何信息，其必然包含一部分属于隐私的信息。对于属于隐私权范畴内的个人信息，其可以继续沿用隐私权的强保护模式，作为具有人格权性质的绝对权来对待，其目标在于维护权利人的人格自由与人格尊严。而处于隐私权范畴之外的个人信息，则应将其作为一种受法律保护利益来对待，采用弱保护模式，通过对相关义务人的行为规制来实现法律保护的目的，其目标并不在于维护权利人的人格自由或人格尊严，而在于维护个人的人身与财产安全的目的，预防因个人信息被他人收集或处理而产生的各种风险。例如，美国的《儿童网络隐私保护法》在制定时其主要目标是为了防范针对儿童的网络营销以及防止儿童遭受人身伤害[13]。在中国广为人知的“徐玉玉”案中，受害人的个人信息被泄露后，其所直接遭受到的并不是人格尊严被冒犯而是因个人信息被犯罪分子用于诈骗而遭受财产损失。

三、个人信息保护立法的路径选择及其与民法的衔接

如果人们认可个人信息应作为一项法益而受到保护，那么，又该如何对其进行保护，特别是未来的《个人信息保护法》应在其中发挥何种作用。鉴于中国目前已经步入信息社会，随着以互联网、大数据和物联网为代表的现代信息技术的发展，网络空间与物理世界相互融合的步伐在不断加快，数据化的个人信息将会弥漫于社会的各个领域，因此，个人信息保护将会成为刑法、民法、行政法、刑事诉讼法等各个部门法所共同关注的问题，在这种背景下，不能指望由立法机关制定一部《个人信息保护法》来解决与个人信息保护有关的所有问题。未来的《个人信息保护法》仅是由宪法和多个部门法共同组成的个人信息保护法律体系中的一部分，因此，其必然要有所为、有所不为。

在笔者看来，未来的《个人信息保护法》应当从个人信息概念的界定出发，立足于调控个人信息主体与信息控制者之间的相对关系，对个人信息收集、处理中的共同性问题作出一般性规定。应当纳入到《个人信息保护法》调整范围内的信息控制者应当限于两类：一类是因从事公共管理或提供公共服务而收集、处理个人信息的公法人；另一类则是因向公众提供商品或服务而收集、处理个人信息的经营者。同时，个人信息保护立法应当排除以下两类事项：一是在公法领域，与预防犯罪、刑事诉讼、国家安全相关的个人信息收集、处理事项，因其具有特殊性而应由特别法来调整，不宜纳入到《个人信息保护法》中；二是在私法领域，普通自然人之间在日常生活中因非经营性活动而发生的与个人信息收集、处理有关的纠纷，应当依普通民事法律规则来处理，亦不宜纳入到《个人信息保护法》中，这主要是因为在未来的《个人信息保护法》中应当贯彻保护个人信息主体利益的原则而有可能对数据控制者客以非常高的注意义务，如果要求普通民事主体亦承担相同的注意义务有可能对其不公平。

无论是公法人，还是商事经营机构，其相对于普通个人而言，都处于优势地位。《个人信息保护法》的目的在于通过对公法人、经营者施加义务、对其行为进行规制，从而校正双方之间的失衡地位。1973年，美国住宅、教育与福利部发布了一份名为《记录、电脑与公民权利》的研究报告(HEW Report)，提出“公平信息实践”的准则建议，其对于美国《1974年隐私法》和经济合作与发展组织(OECD)《关于隐私保护与个人数据跨境流动的建议与指南》有着深远的影响。该报告提出：在过去，个人都是通过与他人面对面的交流而提供信息，信息的给予者与接受者之间存在着信任关系或平等、对称的地位。而进入计算机年代后，个人则是通过非面对面的机制持续不断地向陌生的大型机构提供信息，而且许多时候都是在不知情、看不见的情况下发生的[14]。如今距离该报告已近半个世纪，个人与信息收集、处理机构之间的地位失衡，随着互联网的广泛应用和大数据时代的到来，表现得愈加严重，对于个人信息收集、处理行为的规制更加急迫。

尽管从整体上看，未来的《个人信息保护法》应当定位于规制性质的法律。但是，其并非纯粹的公法，而是将不可避免地融入一定的私法规范。例如，对于个人信息的收集、处理原则上应当获得信息主体的“同意”，这是当今世界多数国家个人信息保护立法都认可的一项原则。因此，“同意”是《个人信息保护法》上的一个非常重要的概念，其在法律性质上属于意思表示，应当遵循民法上的意思表示和民事法律行为规则，无论其为一种单独行为，还是合同行为，这意味着在个人信息规制法领域仍有意思自治的空间，尽管其有可能会受到许多限制。除了内置的私法规范以外，未来的《个人信息保护法》中大量的行为规制规则对于信息主体的民事权益的保护亦具有非常重要的意义。另外，鉴于《民法典(草案)》即将提交全国人民代表大会审议，其极有可能在《个人信息保护法》之前颁行，因此，这就还需要考虑到未来的《个人信息保护法》与《民法典》如何协调的问题。

第一，经营者往往是因为与个人信息主体之间存在某种民商事交易关系而成为信息控制者的，换言之，当事人之间往往存在某种基础合同关系，并且，经营者可以以该基础合同关系为基础，构建一个关于个人信息收集与处理的合同关系。例如，许多网络服务提供商制定的隐私协议以及含有个人信息保护条款的用户协议均可归入此类。因此，个人信息保护立法的一个重要规制路径就是对当事人之间的个人信息合同关系进行规范。立法者介入的正当性理由包括于经营者与个人信息主体之间在谈判地位上的不平等、信息不对称与利益失衡等。规制手段可包括两类：一类是基于保护个人信息主体的利益而为个人信息合同制定必要的强制性规范，此类规范可以作为法定条款载入当事人之间的个人信息合同中，不容许当事人予以排除或变更，除非当事人可以约定更有利于个人信息主体的条款；另一类则是对作为信息控制者的经营者的信息收集、处理行为进行单方面的约束，以期起到保护个人信息的目的，此类规范亦属于强制性规范，基于其对个人信息合同的私法效力的影响又可区分为效力性规范与管理性规范，违反前者会影响到个人信息合同的效力，而违反后者并不会影响个人信息合同的效力，仅会导致行政法上的后果。

第二，个人信息主体有时会受到合同关系之外的侵害，对此，当事人可以援引侵权责任法来请求对方承担侵权责任。《个人信息保护法》中的规制性条款的意义在于它可以为侵权责任法的扩张适用提供外连的接口。德国侵权法将侵害对象区分为绝对权与法益，当法益受侵害时，当事人可以“违反以保护他人为目的法律”为由要求对方承担损害赔偿责任。中国侵权责任法并未像德国侵权法那样将侵权的对象限定为绝对权，而是规定为“权益”，既包括权利，亦包括法益。然而，同样存在如何界定受侵权法保护的“法益”范围的问题。对此，中国许多学者主张应当借鉴德国侵权法上“违反以保护他人为目的法律”理论构建符合中国侵权责任法特点的法益区分理论[16]。然而，具有行政规制性质的法律规范浩如烟海而立法者的目的往往难以查明。因此，在法律适用上往往会存在许多不确定性，而在未来的《民法典(草案)》之“人格权编”对个人信息保护进行规定的情况下，可以有助于查明未来的《个人信息保护法》中哪些规定可被认为具有保护个人信息主体的目的，从而可以基于此提起民事侵权之诉。

四、结语

个人信息保护是引发当代社会全民焦虑的问题。当代社会既是信息社会，亦是风险社会。以互联网、大数据为代表的现代信息技术的广泛应用，不仅给人与人之间的信息交流带来了前所未有的便利，也带来了个人信息泄露和被滥用的风险。如何在享受信息福利的同时将风险控制在可接受范围内，是每一个现代公民都会遇到的问题，也是立法者所要解决的问题。未来的个人信息保护立法应当立足于个人信息主体与公法人、经营者等信息控制者之间的相对关系，从当事人之间所存在的事实上地位不平等的现实出发，通过对信息控制者施加义务和行为规制，以达到保护个人信息的目的。

注释：

① 参见：陈文辉犯诈骗罪、侵犯个人信息罪案，山东省临沂市中级人民法院(2017)鲁13刑初26号刑事判决书。

② 参见：《全国人大常委会关于加强网络信息保护的决定》第1条。

③ 参见：《电信和互联网用户个人信息保护规定》(工业和信息化部令 第24号)第4条。

④ 参见：《网络安全法》第76条第5项。

⑤ 参见：全国人大常委会2019年12月公布的《民法典(草案)》第1034条。

⑥ 需要说明的是，中国和欧盟的法律用语存在一定的差异，中国法律使用的是“个人信息”，而在欧盟法使用的是“个人数据”，为了行文方便，文章将对此不作区分。

⑦ 例如，其在《电信和互联网用户个人信息保护规定》中指的是“电信业务经营者和互联网信息服务提供者”；在《网络安全法》中指的是“网络运营者”；在《消费者权益保护法》中指的是“经营者”。

⑧ 需要注意的是，在全国人大常委会公布的《民法典(草案)》中，立法者在有的条款(第1036条)中仅使用了“信息控制者”这一概念表述，而在另外一些条款中则同时使用了“信息收集者”和“信息控制者”两种概念表述，从而与欧盟的《一般数据保护条例》有所差异。

⑨ Patrick Breyer v.Bundesrepublik Deutschland,Case C-582/14.在该案件中，被告德国联邦政府运营的网站记录了访问该网站的公众用户的动态IP地址，以及该用户访问网站的日期等信息，其中一个重要目的在于预防网络安全，以便在网站遭受“拒绝服务”等类型的网络攻击时查找攻击源。动态IP地址与静态IP地址不同，用户每次接入互联网时其使用的IP地址都是不同的，因此，对于普通的网络媒体服务提供者而言，其通常无法仅通过动态IP地址识别用户的身份，但是，因为IP地址都是由提供互联网接入服务的网络服务提供者，即ISP，分配给用户的，因此，ISP可以识别在特定时间使用动态IP地址的用户的身份。欧洲法院认为，虽然德国联邦政府作为网络媒体服务提供者无法仅仅从动态IP地址中识别用户的身份，但是，其在遭受网络攻击后，可以向有关主管机关提出申请，主管机关可以命令ISP提供可以识别用户身份所需的额外信息，因此，德国联邦政府可以将通过合法途径从第三方(ISP)处获得的额外信息与其存储的动态IP地址信息相结合而识别出用户的身份，因此，对于被告而言，用户的动态IP地址信息属于个人数据。

⑩ 例如，美国在线网站(AOL)曾经在2006年公布了近2 000万条的用户搜索数据，并对用户身份进行了去标识化处理，但是，仍被人识别出多位用户的个人身份；Netflix公司公开发布了1亿条用户评价纪录并删除了用户名之类的用户身份元素，很快就有人利用该评价纪录信息与其掌握的其他信息相结合从而识别出许多评价用户的个人身份。参见：OHM P的Broken promises of privacy，UCLA Law Review，2010年57卷第6期，第1701—1776页。