王甜莉

引言

在大数据背景下，社交网络（如QQ、微信、微博、博客等）、位置服务（如社交软件定位、地图定位、手机定位等）、电子商务和物联网等技术的发展，个人信息从产生到储存、传输、利用等方面正在发生深刻的变化，个人信息的价值在诸多领域尤其是商业领域的价值愈发凸显。与此同时，个人信息所面临的泄露和非法使用的风险在不断增大，公民对个人信息权保护的呼声日益高涨。随着大数据时代的到来，个人信息权制度也成为民法学研究领域的新热点。2017年3月15日表决通过并于2017年10月1日施行的《中华人民共和国民法总则》 （以下简称《民法总则》） 在其民事权利一章中规定了个人信息权；将公民的个人信息①上升到权利的高度进行保护，此举在大数据背景下意义重大。然而，在个人信息被作为法律概念广泛使用的同时，学者非但没有对这一概念的外延和权益属性形成统一的认识，反而产生了难以逾越的分歧。这不禁让人深思：目前个人信息研究之路是否正确？个人信息概念的提出除具有指代意义之外，是否对法律规则的建构及权益的保护具有实益？个人信息权保护之前提是法律基础理论的明晰，本文将结合时代背景探索个人信息的外延和权益属性这两个核心问题，以期对个人信息权保护的理论发展作出些许贡献。

一、个人信息研究中的两个核心问题

信息网络的发展给人民的生活带来便利的同时，个人信息泄露所引发的纠纷也越来越多。由于现有的研究关于个人信息的外延和权益属性界定不明确，立法也未对其作出明确规定，使司法实践中对个人信息的保护陷入困局。在研究过程中，大多数学者在“个人信息权应受民法的保护”这一观点上达成了共识。但当学者们将研究深入到个人信息的理论基础问题时，分歧随之而来，并集中于两个核心问题：个人信息的外延界定以及个人信息的权益属性之界定。

1.个人信息外延界定之困局

依照当前的个人信息研究思路，欲讨论个人信息保护的相关法律制度之构建，逻辑前提是回答个人信息“是什么”这一问题。“个人信息”概念并非一般社会观念所用之语，其涵义并不能如“动产”、“不动产”、“物”等概念一样在一般社会交往甚至是理论研究中达成广泛共识。因此，欲将“个人信息”概念纳入民法学理论讨论乃至民法立法规范之中，则首先需要对其内涵及外延进行界定。

个人信息的概念开端于联合国1968年“国际人权会议”提出的“data protection（资料保护）”。②由于世界各国的法律传统和法律习惯不同③，其对“个人信息”的称谓亦有所不同。对不同的称谓进行比较之后，笔者更倾向于认为个人信息是往往通过一定的数据和资料来反映的，更加强调与主体的关联性；数据和资料是信息的外化和形式，体现出更多的中立性和客观性；但总体来看，三者的研究对象和内容并无本质区别。从理论界研究来看，学者使用“个人信息”这一表述已基本达成共识。从立法方面来看，首次将个人信息这一概念纳入法律之中是2009年《刑法修正案（七）》的规定；之后，2015年全国人大法律委员会在针对人大代表提出的制定个人信息保护法议案时表示将对个人信息的法律界定、搜集、处理和利用等问题进行研究；2017年3月15日表决通过的《民法总则》在其民事权利一章中明确规定了个人信息权。由此可见，在立法层面，“个人信息”这一表述也已成为共识。

对个人信息的外延界定，目前主流的学说大致有三种：（1） 个人隐私说；（2） 关联说；（3）识别说。“个人隐私说”认为，个人信息指“在生活中个人不愿意向外界透露的信息或者是个人及其在意的不愿让外界知道的部分信息”。④该说主要源自美国，隐私权的概念最早由Warren和 Brandeis在侵权行为法领域提出。⑤随后，个人信息隐私权在美国《1974年隐私权法》中首次以法律权利的形式被明确予以确认。⑥美国法对隐私权的外延界定很广，现已被扩展为一项“与生命权、财产权并列的宪法权利”。⑦在我国，支持“个人隐私说”的学者众多，大多认为隐私包含个人信息，但有的学者则认为隐私权和个人信息权的概念可以相互替代⑧，有的学者主张将个人信息纳入隐私的概念范畴内进行保护。⑨而司法实践在应对此类案件的时候，法院的裁判通常是运用“个人隐私说”对个人信息权进行保护的。通过对比美国和我国对个人信息权的界定及保护方式，可知，目前我国学界对个人隐私说并未形成一致的意见。“关联说”认为，个人信息指所有与个人相关联的信息。包括人的身体、内心、身份、地位以及与个人有关的其他事实、判断、评价等信息。⑩通俗解释即是，个人信息不仅包含与个人相关的私生活领域的信息，也包含个人所参与的社会文化活动、社会团体活动以及其他与公共生活相关的信息。欧盟的《一般数据保护条例》对个人信息的定义即采用“关联说”——“个人信息是指涉及到个人的私人、专业或公众生活的任何信息”。⑪笔者认为，该说对个人信息的外延界定过于宽泛，在信息化社会中，若对一些不必要保护的个人信息过分保护，那对信息社会的发展将不会是推动而是阻碍。“识别说”则认为，个人信息指与特定的个人相联系，可以从局部或整体上反映主体的特征，且可以直接或间接地将信息主体从群体中区分并识别出来的信息。⑫此处的识别性可以做广义解释，既包括单独，即可完成主体识别的个人信息，也包括与其它信息结合方能完成主体识别的个人信息。⑬可以说这些信息涉及到个人生活的方方面面，而信息技术的进步使碎片化的个人信息进行迅速的整合和分析成为可能，此种背景下，只有消除个人对其可识别的信息痕迹被他人非法控制和使用的疑虑，方能真正保障个人信息权益。这也是从国内外立法来看，采用“识别说”对个人信息进行界定的国家居多的原因。⑭

在上述三种学说分歧中，学者分别在隐私性、相关性、可别识别性的不同范围内界定个人信息。从逻辑上来看，三种学说均不违反“个人信息”的文字含义，但却不能论证其相较于其它两种学说对于个人信息外延界定的优越性。故从逻辑层面上难以对三种学说作出取舍。从价值层面上来看，对个人信息权外延界定的民法研究主要是为了便利相关法律规则的构建，以便更好地保护民事主体的权益。对个人信息外延的确定，应当综合考虑不同外延下对主体个人信息的伦理价值和经济价值能否合理定位和精确保护。三种学说对个人信息外延界定的不同直接导致了适用的困局。

2.个人信息权益属性界定之困局

多数学者讨论个人信息保护遵循演绎的方法，即首先对个人信息权益属性进行界定，然后将其纳入某项民事权利的范围中，进而推出如何对该项权利进行保护即用何种规则进行保护。其中，包括“所有权说”、“隐私权说”、“一般人格权说”、“具体人格权说”、“财产权说”、“人格权兼财产权说”等观点。综合起来，占主流地位的主要有以下四种学说：“隐私说”、“人格权说”、“财产权说”和“人格权兼财产权说”。⑮

“隐私说”认为，个人信息指“在生活中个人不愿意向外界透露的信息或者是个人及其在意的不愿让外界知道的部分信息”。⑯在我国，支持“隐私说”的学者众多，其大多认为隐私包含个人信息，有的学者认为隐私权和个人信息权的概念可以相互替代⑰，有的学者主张将个人信息纳入隐私的概念范畴内进行保护。⑱有学者虽将个人信息归入个人资料的范畴，最终依然是通过隐私权进行保护。⑲而司法实践在应对此类案件的时候，法院的裁判通常是运用“个人隐私说”对个人信息权进行保护的。“人格权说”认为，个人信息是指具有可识别性与信息主体的人身紧密相连且能够体现人格自由和尊严的信息。德国和我国台湾地区通过立法的方式对该学说予以固定，以保护信息主体的人格价值。随着研究的深入，人格权说现在分为一般人格权说和具体人格权说，一般人格权说作为早期学说，虽有学者采纳，但并不成通说。⑳具体人格权说认为个人信息权以人格利益为保护对象，具有特定的权利内涵；个人信息权的客体具有丰富性，对之进行具体人格权的保护具有便捷性。㉑从一般人格权说到具体人格权说，将个人信息归于人格权客体的范畴内进行保护，得到大多数学者的支持。而对于个人信息的财产价值，则通过“公开权”或“商品化”的个人信息予以解释。财产权说认为，个人信息具有财产利益，该财产利益相当于民法上的“物”，即财产，信息主体对其个人信息享有对“物”的支配权，法律应当将个人信息纳入财产权的客体范畴，适用物权法进行保护。美国有学者认为，每个人都无一例外的拥有个人信息，有些人愿意支付相应的对价来购买其所认为的有价值的个人信息，同时只要本人愿意，也可以出卖自己的个人信息来获取利益。㉒我国也有学者赞同此观点，其认为，个人信息财产权是以个人信息的商业价值为客体的支配权。㉓“人格权兼财产权说” 认为个人信息是一种兼具人格利益和财产利益的信息，人格利益归信息人格权保护，财产利益归信息财产权保护。㉔其认为传统的人格权理论忽视了个人信息的财产价值，导致该价值一直由商家占有和控制。该现象一方面不利于对个人信息的保护，对消费者显失公平；另一方面也不利于个人信息交易市场的健康发展。因此，在个人信息人格权之外，要另行创设个人信息财产权予以保护。因此，承认个人信息财产权无损于维护主体的人格尊严，法律承认个人信息财产权也并不意味着否认个人对其信息本应该享有的人格权，而是给其提供了更多得选择自由。㉕

四种学说在争议中逐渐丰富各自的理论，从难分高下到现在人格权说占据优势地位，对个人信息权属的界定从迷雾到清晰，又进入了迷雾。现在亟待解决的问题是，人格权说在对个人信息人格利益的保护的同时是否能适应商业化对财产利益进行使用的需求呢？

二、个人信息外延之确定

笔者通过对个人信息外延确定的三种学说，即个人隐私说、关联说和识别说，进行对比分析和综合分析之后，概括出判断个人信息之外延大致需要三个层次：主体性质判断、个人相关性判断、可识别性判断。

1.主体性质判断

我国《民法总则》第111条明确规定自然人为个人信息权的主体，而法人、合伙企业等非自然人则不在个人信息权的主体范畴之内。比如股份公司在工商局注册的相关信息，无论其隐秘性如何，也不论能否被识别出为该公司，均不能称之为个人信息，不受《民法总则》第111条的规范和保护。法律之所以这样规定，原因在于个人信息权虽然也具备一定的经济价值和财产属性，但该权利设立的初衷是为了维护个人的人格利益，即保护信息主体的人格尊严和自由的价值免受侵犯。相比于法律对自然人的保护更侧重于人格利益来说，法律对法人的保护更侧重于财产利益和商业秘密的保护。同时，与自然人保护程度不同的地方还有，法人的有些信息不仅不能对公众保密，还要根据法律的要求进行披露，为公众所知，以保护公众的知情权。由此可知，个人信息的主体仅是自然人。

2.个人相关性判断

个人信息判断的关键要素即是否与信息主体具有相关性，相关性的判断有助于辨别信息主体与信息之间是否相关联及关联的程度。法律作为一种社会规范，其调整范围是特定的社会关系。如Lawson所言，任何法律体系的首要目标皆为保护与人类社会而言具有保护价值的特定事物。㉖具体来说，即并非所有的事物都具有法律保护价值，信息亦如此，根据个人信息的特殊性程度，可将其分为一般个人信息和敏感个人信息。那么，具有法律保护必要性的信息必须是与信息主体的人格权益和财产权益相关的信息；相反，那些与信息主体的人格、身份和财产不相关的权益，就不应成为法律中的“个人信息”。而欲判断是否具有相关性，应从信息内容所指向的对象、使用信息的目的、使用信息的结果三个方面加以考虑。具体来说，若满足以下三个条件，则认为具有相关性：第一，信息内容所指向的对象是特定的自然人；第二，使用某一信息可以定位、影射、评价到具体的某个人；第三，在得知或使用某一或某些信息之后，对信息主体将会产生一定程度的影响。

3.可识别性判断

可识别性是判断个人信息的核心要件，即通过穷尽目前所能行的客观的识别方法看能否识别出某些特定的自然人。若信息的持有人根据所持信息可以识别出某人，或结合某一方式即可识别出某人，则可认为该信息具有可识别性，即可以通过某种客观方式来识别信息主体的特性。根据是否能直接识别出信息主体来划分，可以将可识别性分为直接识别和间接识别。单独即可完成主体识别的信息，如姓名、肖像，为直接识别的信息；需要与其它信息结合方能完成主体识别的个人信息，如年龄、性别、种族等，为间接识别信息。因此，判断某一或某些信息是否具有可识别性，应综合考虑与信息主体的人格和身份相关的因素。同时，需要注意的是，随着科学技术的发展和人类认知水平的提高，某些不具有识别性的信息会逐渐具有识别性，识别性这一判断标准不可过于僵化，要给与司法实践一定的裁量空间，并使之不断细化和完善。

三、个人信息权属之确定

关于个人信息权益属性的争议，集中反映在“隐私说”、“人格权说”、“财产权说”和“人格权兼财产权说”的讨论之中。“隐私权说”、“财产权说”、“隐私权兼财产权说”这三种学说对于个人信息权益属性的界定各有其优势，但其不足也显而易见。而唯有“人格权说”能妥善地协调个人信息人格利益保护的需求和商业化对财产利益需求之间的矛盾，应成为个人信息权属确定之不二选择。

1.隐私权模式之不足---个人信息不同于隐私

个人信息不是隐私，主要是基于二者存在以下四个方面的不同。首先，制度理念不同。个人信息权利的构建意在平衡其保护与利用二者的关系，近五年来各国信息法修订均以此为核心理念。典型例证即是，日本近期在其个人信息法修订中对其立法理念进行了重新表述，即“活用信息，发挥信息产业的创造力”。由于隐私权具有私密性，且相较于个人信息而言，其人格价值远高于其财产价值。因此，从各国对其关注到保护，一直秉持单一的立法理念，即维护个人的人格尊严和人身自由。其次，外延不同。隐私的价值在于秘密，一般情况下其处于私密状态，即使公开，也仅限于小部分人群所知晓。如人的思想、感情及其他私人事务。而个人信息则不同，其价值需要公开方能实现，出于社会交往和公共管理的需要，个人信息通常需要向社会特定或不特定范围内的人公开。如姓名、联系方式等，若处于不公开状态，则社会交往和社会活动无从展开。考察英美法系国家对隐私权内涵的确认，其与大陆法系国家的一般人格权内涵极其相近。但在我国，隐私权的内涵并没有宽到足以包含个人信息的所有内容，比如个人信息上所承载的精神性人格利益和财产利益。再次，权利的内容不同。隐私权强调的是对隐私的消极保护，即当个人隐私受他人非法干涉、揭露，权利受到侵害时如何予以救济；对于积极保护的规定，如隐私权的内涵及主体的权利义务边界等并无明确规定。相比来说，个人信息权强调积极地行使权利，即对个人信息的自决权。㉗最后，侵权形态及救济方式不同。侵犯隐私权往往表现为未经当事人同意将其不愿意为公众所知的信息公开，且此种公开只能有一次，一旦公开即失去其隐私价值，不具有可重复侵害性。而侵犯个人信息权的行为不以公开为要件，从搜集、储存到利用，每个环节都有被侵害及重复侵害的可能性。个人隐私权被侵犯，主要通过精神损害赔偿的方式来救济；而个人信息权被侵犯，其救济方式除精神损害赔偿外，对个人所损失的财产利益也可申请财产性救济。

2.财产权模式之不足——个人信息不同于财产

信息技术的发展使个人信息的财产价值日渐凸显，那是否就意味着个人信息权的权益属性是财产权呢？财产权，英文称之为property（It is a band of rights and interest），意指一堆权利和利益。德文称之为Eigentum，意指依法对物享有支配权和受益权。由此可见，英美法系和大陆法系对财产权的定义并不相同。英美法系将财产权定义为以抽象物（即所有权以外的具体的财产权利）为基础的各种具有财产利益的权利。㉘大陆法系的财产权有广义和狭义之分，狭义的财产权仅指所有权，广义的财产权指一切具有财产利益的物。我国遵循大陆法系的法律传统，采用狭义的财产权也即所有权。那么个人信息是否具备我国民法上的财产所具备的特征呢？民法上规定的财产，要具备独立性、价值性、稀缺性、可支配性四个特征。诚然，个人信息虽能满足价值性、一定条件下的稀缺性、可支配性的特征，但却唯独不能满足独立性这一特征，个人信息随着信息主体的社会活动产生、变更或消灭，个人信息的人格利益和财产利益都需依附于信息主体方能产生其价值。因此，个人信息的财产利益需依附于信息主体的人格属性，其不符合独立性的特征，不能为民法上的“财产”这一概念所包括。并且，权益属性的界定是日后对个人信息保护相关制度的构建的基础，对一项新事物确定权益归属应当具备充足的理由，尤其是财产权这种支配性的权利。因此，从财产应符合的特征来看，个人信息不是财产。即使随着财产理论的发展，个人信息日后可能成为财产， 但从目前的理论体系和实际应用方面看，个人信息不宜纳入财产的保护范围。

3.人格权兼财产权说模式之不足——个人信息权客体不是“利益”

个人信息权利的客体不是“利益”，若将个人信息权利的客体定位为“利益”，人格权兼财产权说将必会遇到其内在的矛盾：为什么同一信息客体之上存在财产权和人格权两种截然不同的独立权利。刘德良教授层提出区分权利客体和权利对象的思路来解决这一矛盾。但其认为权利的客体不是个人信息，而是个人信息中所包含的财产利益和人格利益。这值得商榷，其混淆了客体和利益的关系。法律关系的客体是权利义务的指向对象，若按照刘德良教授的利益作为客体的说法，所有的民法基本概念都会被颠覆而需要重新定义，例如物权的客体不再是物，而是物的财产利益，债权的客体不再是给付，而是给付的财产利益，继承权的客体 不再是遗产，而是继承利益。因此，人格权兼财产权说无法解释其权利客体为利益这一民法基础性问题而无法被采用。

4.人格权模式之选择——个人信息权是一种框架性权利

兼具人格性和财产性的个人信息权，其权益属性到底为何种？个人信息的人格性和财产性何主何辅？人格权是自然人对自身主体性要素及整体性结构所享有的支配性权利。㉙秉持一种法的实践精神，使新的权利得以诞生成长，原有权利得以调整更新，这是法的创造和发展，是一个家的文化、经济、政治，甚至综合力量的表现。㉚因此，对于个人信息权的理论学说，应保持一种实践精神，跟随实践的发展，不断调整和更新，创造和发展。人格权的人格属性是其内在属性，财产属性是其在信息社会发展中的自然衍生物。个人信息权亦是如此，其反映的是信息主体的人格属性，其首要价值则是人格利益价值，法律对个人信息权保护的关键在于对个人信息自决权的保护，从而实现对信息主体的人格尊严和人身自由的维护。因为，个人信息权本质是一种人格权，其财产利益属性也是人格属性的折射，虽然个人信息被商业化利用的越来越频繁，但信息所关联和表现的依然是人本身，商家关注信息最终是想达到了解和联系信息主体的目的，而绝非表面意义上的了解信息本身。

个人信息本质是一种人格权，大陆法系国家将人格权分为一般人格权和具体人格权，个人信息究竟应属于一般人格权还是具体人格权呢？德国最高法院曾指出，确定一般人格权时，必须“在特别的程度上进行利益权衡”，同时还强调，在德国近年来备受关注的“数据保护”也有发展成特别人格权的趋势。㉛据此，有学者主张，鉴于个人信息的特殊性和支配性，应将其界定在具体人格权的范畴内，同时在立法上明确其与其他具体人格权的界限即可。对此，持不同意见的学者认为，个人信息权应界定到一般人格权的范畴内，作为一种框架性权利。其理由在于该模式能使自然人的所有个人资料得到周全保护，使个人信息的所有利益皆受法律之力辐射。㉜笔者赞同后一种意见。理由在于：

第一，我国民法在人格权部分建立了一般人格权制度，溯其本源，是对德国所建立的人格权体系的法律移植。对于个人信息应归于一般人格权来保护这一逻辑体系，德国论证的出发点是其基本法中一般人格权下的人格自由，由此发展出信息主体的信息自决权。那么问题是，我国一般人格权中的各项权利和自由是否也包括自决权能呢？我国通说认为，一般人格权包括人格自由，所谓人格自由，即自然人的人格、思想、行为不受他人约束，保持自由的状态，其中，自决是思想自由的内容，也是行为自由的前提。所以，可以说我国的一般人格权制度是具有自决权内容的，此种情况下，将个人信息归于一般人格权项下，自不待言。并且，大多数学者都赞同在缺乏法律规定但又具有保护必要性的情况下，将个人信息这一新型人格利益纳入一般人格权保护范围。㉝

第二，人格权法律关系的客体具有具体性，也具有开放性。而对于后者，个人信息则属于其典型部分，个人信息的本质在于信息主体的人格利益，其承载了信息主体社会交往和社会角色的全部内容。康德曾说，人不能被仅仅当作工具，而必须被看待为目的，而且其必有尊严。㉞这句话应该是对人所具有的人格尊严和人格自由的最好诠释。并且，一般人格权制度的优势还在于，它可以解决目前我国通过隐私权来保护个人信息的法律困境，将一些超出隐私权的范畴，而且超出合理使用范围侵犯他人信息权的行为，定位为一般人格权侵权，以此来维护信息主体的合法权益。

第三，在个人信息权中，既有需要用人格权予以保护的价值，如具有较强专属性的姓名、肖像等；也有一些需要用财产权保护的价值。因此，个人信息权其实是一个概括性、描述性的指代性概念，其指称的是兼具人格价值和财产价值的价值综合体。个人信息权脱离了“权利”这一概念在法律上所具有的规范性内涵，其实质上是所有种类的个人信息权利的集合。在这些权利中，人格性是个人信息权保护的核心，财产性是个人信息权保护的发展趋势。任何一个具体信息权利的实现，都是个人信息权利的实现。

第四，一般人格权制度如何保护个人信息所具备的财产利益呢？如前所述，一般人格权包含对人格自由的自决权，那么，自然人当然对其个人信息的使用价值具有自决权。此处对个人信息的自决应作广义解释，既包括是否允许他人使用，也包括授权他人使用之后的程度限制、持续时间等。法律规范的目的即实现法律的价值，引用魏德士的话说：任何国家的法律制度的变化都是以价值观、世界观等的变化为基础的，重要的并非逻辑，而是法律的价值问题。㉟因此必须明确的是，要平衡好个人信息保护和利用的关系，将个人信息权纳入一般人格权的范畴内，只表明在被侵权情况下可以此为请求权基础，但这并不意味着对个人信息的任何使用行为都构成侵权，否则将会导致对个人信息的过度保护从而限制商业的发展。超范围使用个人信息的行为是否构成侵权，还需根据一般人格权的要素以及侵权的要件来综合判断，此乃个人信息保护的限制。故，立法和司法实践应首先肯定其人格权的本质属性，对于个人信息财产属性的保护则可以通过人格属性的延伸来进行，即对个人信息的保护，就是对其所承载的人格价值和财产价值的保护。

结语

大数据时代发展的方向和动力是市场化的发展，面对这一发展趋势，法律应当平衡个人信息的保护和利用的关系，促进个人信息的合法保护，打击非法的商业化利用。而欲平衡保护和利用的关系，首先要明确的基本问题是个人信息的外延和权益属性。判断个人信息之外延大致需要主体性质判断、个人相关性判断、可识别性判断这三个层次。而关于个人信息的权益属性问题，笔者认为，个人信息的权益属性既不同于财产权也不同于隐私权，应将个人信息权界定为一般人格权，无论是对个人信息的保护还是利用，都有其合理性和必要性。

注释：

① 也有学者使用个人数据、个人资料、信息隐私等称谓，但研究对象和内容并无本质区别。本文遵从目前学界和实务界共识，采“个人信息”称谓，与“个人数据”意义相同。世界各国立法的表述不尽相同，采用“个人隐私”称谓的立法主要有1974年美国《隐私法》、1981年以色列《隐私保护法》、1987年加拿大《隐私法》、1988年澳大利亚《隐私法》等；采用“个人信息”称谓的立法例主要有1978年奥地利《信息保护法》等；采用“个人资料”称谓的立法例主要有1978年法国《资料法》、1981年冰岛《有关个人资料处理法》、1978年芬兰《个人资料保护法》等。

②参见齐爱民：《拯救信息社会中的人格》，北京大学出版社2009年版，第77页。

③⑧⑰参见周汉华：《个人信息保护前沿问题研究》，法律出版社2006年版，第48—64、48—64、48—64页。

④⑯参见陈起行：《资讯隐私权法理探讨——以美国法为中心》，《政大法学评论》2000年第64期。

⑤Warren&Brandies,The Right to Privacy,Harvard Law Review.1890,4(193).

⑥ David M.O’Brien,Privacy,Law and Public Policy,Praeger Publishers,1979,p.204.

⑦参见郭瑜：《个人数据保护法研究》，北京大学出版社2012年版，第29页。

⑨⑱参见刘凯湘：《民法总论》，北京大学出版社2006年版，第149、149页。

⑩参见范江真微：《政府信息公开与个人隐私之保护》，《法令月刊》2001年第5期。

⑪ See European Commission’s Press Release Announcing the Proposed ComprehensiveReform ofData Protection Rules,25 January 2012,Retrieved 3 January 2013.其定义的个人信息之外延可以是一个名字，一张照片，一个电子邮件地址，银行账户，社交网站的发帖，医疗信息，或计算机的 IP地址。

⑫王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期。

⑬ 在“识别说”标准下，个人信息的外延包括姓名、年龄、生日、性别、血型、健康信息、家庭地址、受教育情况、职业、婚姻状况、生理特、财产状况、宗教信仰等。

⑭ 香港《个人资料（私隐）条例》、台湾地区“个人资料保护法”、日本《个人信息保护法》、《电信和互联网用户个人信息保护规定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》等都采纳“识别说”。

⑮ 除此之外，还有“基本权利说”，该说认为，个人信息是一种受宪法保护的基本权利。德国、美国和欧盟都依据基本权利裁判过相关案件，但所持立场不同。基本权利说在我国尚不足以构成一种有力的学说原因在于，我国宪法不具有直接的司法效力，法院在民事诉讼中不能依据宪法基本权利裁判。德国、美国和欧盟的基本权利说都有其特有的制度背景和路径依赖：德国的进路是1983年联邦宪法法院“人口普查案”判决中援引基本法创设出一般人格权；美国是通过特有的隐私权诉讼，隐私权在美国是一种宪法权利；欧盟则是通过《欧洲人权公约》第8条的隐私权条款确立了个人信息的基本权利地位。转引自马特：《隐私权研究——以体系构建为中心》，中国人民大学出版社2014年版，第61页。

⑲参见马特：《隐私权研究——以体系构建为中心》，中国人民大学出版社2014年版，第61页。

⑳参见刘静：《个人信息的一般人格性》，《阜阳师范学院学报》 （社会科学版）2013第3期。

㉑参见王利明：《论个人信息权在人格权法中的地位》，《苏州大学学报》 （哲学社会科学版） 2012年第6期。

㉒参见梁慧星：《民商法论丛》第21卷，法律出版社2009年版，第345—381页。

㉓㉔㉕参见刘德良：《个人信息的财产权保护》，《法学研究》，2007年第3期。

㉖F.H.Lawson,Tortious Liability for Unintentional Harm in the Common Law and the Civil Law,vol.Ⅰ,Cambridge:Cambridge University Press,1982,p.49.

㉗参见姚岳绒：《宪法视野中的个人信息保护》，法律出版社2012年版，第111页。

㉘参见梅夏英：《财产权构造的基本分析》，人民法院出版社2002年版，第48页。

㉙参见张俊浩：《民法学原理》，中国政法大学出版社2000年版，第137页。

㉚参见王泽鉴：《人格权法》，北京大学出版社2013年版，第256页。

㉛参见[德]迪特尔·梅迪库斯：《德国民法总论》邵建东译，法律出版社2001年版，第806—807页。

㉜参见齐爱民：《美德个人资料保护立法之比较——兼论我国个人资料保护立法的价值取向与基本立场》，《甘肃社会科学》2004年第3期。

㉝参见王利明：《人格权法研究》，中国人民大学出版社2012年版，第162页。

㉞参见陈金全：《人是目的而不是手段———康德法治论解读》，《法学家》2005年第3期。

㉟参见[德]伯恩·魏德士：《法律学》，丁晓春、吴越等译，法律出版社2013年版，中文导读部分Ⅻ。