韩云飞

（河北师范大学法政与公共管理学院，河北 石家庄 050000）

一、问题的提出

互联网企业最早关注大数据，一些科技公司巧妙地利用网络用户遗留在网络上的数码痕迹分析用户需求，然后向用户推荐相关的产品或服务等。［1］一大批掌握独有技术的互联网公司将视野投诸大数据方向，客观上为大数据产业的扩张提供了技术基础。这些互联网公司认识到有价值信息来自更广泛的数据提供者，在致力于发展计算机智能化的同时，也使得计算机硬件设备的平民化得以实现。计算机技术的发展使得计算机硬件设备的平民化趋势明显，社会大众使用计算机处理日常事务变得平常。同时，也促使移动互联网技术的发展成熟，移动终端搭载移动通信网络将社会中的每个人装备成“数据生成器”。数据指数般的增长为数据信息拥有者带来机遇，数据信息成为其拥有者的隐形的资源，且蕴含无限价值。大数据的发展深刻地改变了人们的生活方式，大规模涉及个人生活的信息开始变得“透明”。大数据和信息互联催生了新的侵权手段，个人信息的非法采集、使用、出售等行为侵害个人的人格权及财产权，致使自然人人格减损或财产利益遭受损失的情形时有发生。

二、个人信息“权益”辨析及“权利”保护的必要性

（一）个人信息的“权益”与“权利”辨析

民事权益既包括民事权利，又包括某些合法的民事利益。民事权益是民事权利和利益的统称，即民事权益是受法律保护的正当利益。权利是被法律所认可的正当利益，具有法定化的权利外观，例如隐私权。民法以保护民事权利目的，将权利作为民法的保护对象与坚持民法的权利本位是一致的。［2］而利益缺乏法定权利外观，只是因符合社会普遍接受的正当性而具有合法性，受到法律保护，例如胎儿利益，具有正当性的利益即使不具有权利的外观和手段也应当被法律保护。［3］权利与利益的区分亦有立法与司法的界定，权利经法律识别而法定化，其因立法确认始具有典型的正当性，法益（利益）缺乏立法确认，在法律规定之中并无明确的阐释，而只得在诉讼程序中由司法确认。［4］

个人信息应当受到法律保护逐渐成为大数据时代的社会共识，因而，基于个人信息，必然存在受到法律保护的权利或者利益。我国已经出台的多部涉及个人信息保护的法律均未明确“个人信息权利”，《中华人民共和国民法典》的“人格权编”中也只是规定了“隐私权与个人信息保护”。个人信息权益是信息权利主体对个人信息所有享有的受法律确认和保护的权利和利益。［5］也就是信息主体基于个人信息而享有的各项控制性权能和利益，根据《民法典》的规定，这些权能可以是知情权、查询权、更正权、删除权等权能，而个人信息利益则包括基于个人信息的人格利益和财产利益。

（二）个人信息“权利”保护的必要性

大数据时代个人信息保护在于平衡自然人的民事权益保护与数据信息采集机构的数据活动自由的关系，而以自然人的民事权益保护为重。现阶段，保护个人信息权益不受侵害需要同时规制国家机关工作人员的行为和信息从业者的行为。而实现个人信息权益的有效保护的途径之一，便是对个人信息进行确权保护，将个人信息保护发展为自然人所具有的一项权利。

第一，巩固个人信息保护规则合法性。对于个人信息权的确认是保护个人信息权益的焦点。我国已经出台的多部法律、法规以及规章均未提到“个人信息权”的概念，而这一概念却是理论界较为流行的概念，确立个人信息权利，赋予自然人个人信息权成为趋势。无论刑法还是行政法，缺乏民事基本法对个人信息权利的设权性的界定，其规则合法性基础不牢固。［6］权利人为实现自身权利而做的一切努力的根源在于权利获得了法律的确认，经由法律所确认的权利是权利人愿意忍受一切义务的目的，也是权利人愿意为之做出“斗争”的前提。现阶段，应当认为基于个人信息所保护的是个人信息权利，作为一个严格的保护体系，个人信息权利保护可以实现个人信息利益的有效保护。

第二，实现个人信息的防御性保护。2020年公布的《中华人民共和国民法典》（以下简称《民法典》）之中对于个人信息保护的规定，亦并未使用“个人信息权”的字样，而是与隐私权和合并规定为“隐私权与个人信息保护”。虽然区别于隐私权，但是“个人信息保护”仍然未被法律确认为一种权利，可能造成个人信息无法实现防御性保护，对个人信息的有效保护造成障碍。传统个人信息保护法律框架紧紧围绕个人信息的收集、处理和流转展开，只有在个人信息遭受侵害时才提供救济，属于典型的事后救济模式。［7］这使得信息主体与信息从业者在个人信息保护方面所处的法律地位并不平等，无疑为信息主体寻求法律保护制造了困难，同时，在个人信息控制方面所处的劣势地位也使得信息主体对于个人信息的法律保护有着更多的制度上的诉求。我国的信息产业发展绝不能建立在侵犯个人信息权利的基础之上，“先污染，后治理”的路子不符合新时代的社会发展理念，不应该成为新时代发展信息产业的前置途径。法律制度的“滞后性”不应该体现为侵权救济缺失的“借口”，而应该表现为弥补可能发生的侵权所可能造成的全部损害。

第三，实现个人信息侵权的有效救济。权利位于民事主体正当利益的核心位置，法律为权利提供最严格的保护侵害权利的行为，不区分行为人主观上故意还是过失，均可救济。利益因其正当性而具有合法性，但是利益的重要性不如权利，对于侵害利益的行为，一般只有在行为人主观故意的情形下才可救济。法定化的权利本身可以起到一种公示的效果，行为人在侵害权利之前可以知悉自身行为可以造成对方受法律保护的权利损害的后果，从而不区分故意还是过失，均要承担责任。［8］而正当利益的范围并未由法律明确，缺乏公示的效果，一般侵害正当利益时需要行为人主观上出于故意。

三、关于个人信息权立法的理论思考

（一）个人信息权的规范形式

在个人信息的私法保护之中，“确权”即确立个人信息权，是无法避开的问题。立法者进行个人信息的“确权”程序，这是大数据时代赋予的保护个人信息的使命。但是，采取怎样的方式进行“确权”，是直接在法律规范之中规定“个人信息权”，还是将该权利的内容予以分散规定，以及“个人信息权的法律属性问题”仍然是当前学者研究中的分歧所在。相关论述基于确立个人信息权的实践依据；不予保护可能造成的后果，而较少考虑应当如何规定个人信息权，而对于规定个人信息权，有两种可能的实现方式。

其一，在民事法律规范之中直接规定“个人信息权”的概念、原则以及侵权责任等，使得“个人信息权”成为法律明文规定的一项权利，在法院审理涉及个人信息侵权案件时得以直接适用。2017年版的《个人信息保护法（草案）》采用了这种方式，在该草案中，对于个人信息权的定义、内容、侵权责任均做出了直接确定的规定。《个人信息保护法（草案）》第十一条规定，“自然人的个人信息权包括信息决定、信息保密、信息查询、信息更正、信息封锁、信息删除、信息可携带、信息被遗忘，依法对自己的个人信息所享有的支配、控制并排除他人侵害的权利。”即个人信息权指依法对自己的个人信息所享有的支配、控制并排除他人侵害的权利。个人信息权的内容包括信息决定权、信息保密权、信息查询权、信息更正、信息封锁权、信息删除权、信息可携带权、信息被遗忘权等权利。第四十一条在法律责任中，提出“信息主体对其非物质损失可以主张精神损害赔偿”，为个人信息侵权确立了精神损害赔偿的救济途径。

其二，并非直接规定“个人信息权”的相关概念和内容，而是通过对于各种主体的行为进行规制，以不同主体的行为限制的方式实现权利设定的目的。针对客体的非物质性，以特定的利用行为为支点进行权利构架，以个人同意为前提的个人信息收集和使用原则实际上已经达到了赋权的效果。［9］按照这种理解，《民法典》第四编“人格权”编第六章“隐私权和个人信息保护”之中虽然没有出现“个人信息权”的字样，但是第一千零三十四条对“个人信息、私密信息”做出界定，第一千零三十五条规定“处理个人信息时，应当遵循合法、正当、必要原则，并应征得自然人或其监护人同意”，第一千零三十七条规定了“个人信息主体针对个人信息的更正、复制和删除等权能”，从而在实质上达到了个人信息的权利架构效果。

相较而言，在民法典或者个人信息保护的单行法之中直接规定“个人信息权”会取得更好的实际效果。首先，法律用语追求简单明了、精确易懂。以“个人信息权”取代“个人信息保护”，在表述上更为简洁，也更精确地表明一项民事权利的确立。其次，“个人信息权”具有形式合理性。以“个人信息权”作为新设权利符合民事立法的传统，人格权中的各项具体人格权均以“权利”命名，从而得以在直观上去除争议。最后，以“权利”定性可以激发民事主体对于个人信息的权利意识。“个人信息权”与国外“个人信息自决权”的法律意蕴相同，以信息主体的权利热情同各种侵害个人信息权益的行为作斗争，实现保护个人信息的目的。

（二）个人信息权的法律属性

理论界关于个人信息权的法律属性仍有争论，但是，将个人信息权进行人格权的理解是理论界较为流行的观点，其中，又有一般人格权和具体人格权的分歧。其一，一般人格权。个人信息兼具人格利益和财产利益，而以人格利益为重心，其确定个人信息的“可识别性”关注的是个人信息中的人格痕迹。而个人信息权以人格利益为保护对象，以人格权进行个人信息保护有利于维护人格尊严和促进人格平等。［10］而个人信息虽然具有经济利益，但是其经济利益的实现受到信息主体控制权能不足的障碍，无法依靠财产权实现完整的保护。其二，具体人格权。既有具体人格权之中，隐私权与个人信息保护较为相近，《民法典》也规定“个人信息中的私密信息保护依据隐私权的有关规定”。但是，隐私权无法涵盖个人信息的全部利益，不能实现个人信息的完整保护。而以人格权为权利基础建构个人信息权可以为其发展成一项明确化的具体人格权预留发展空间。［11］承认个人信息权为具体人格权有助于对信息主体提供绝对权保护。［12］

相较而言，以个人信息权作一般人格权的理解更加符合实践要求。第一，一般人格权概括保护人格独立、自由与尊严等人格利益，而个人信息因可追踪到自然人才具有信息价值，与自然人具有天然联系，其所涵盖的人格利益兼具人格独立、自由和尊严。个人信息权以个人信息为权利客体，其所映射的人格利益范围具有完整性，无法将个人信息之中的人格利益进行分割。第二，将“个人信息权”定性为“具体人格权”无异于将姓名、名誉等既有具体人格权的客体挡在互联网信息技术规则及其创新救济机制的调整和保护范围之外。［13］利用信息技术侵害自然人的名誉权是大数据背景下的典型侵权形式，在信息技术迅猛发展的同时对信息处理行为进行规制以保护自然人的名誉权是人格权法的应有之义。

四、结论

现阶段，我国关于个人信息保护的讨论进入“白热化”阶段，针对个人信息保护的立法路径和个人信息权的内涵及性质均有显著成果，但是从制度上来看，个人信息保护体系仍然存在完善空间。首先，因缺乏法律规范的确定，关于个人信息的“权益”与“权利”的争论难休，应当明确实现个人信息权利的保护；其次，在民法中直接规定“个人信息权”具有形式合理性，可以有效激发信息主体的权利意识；最后，个人信息与自然人具紧密联系，其所涵盖的人格利益兼具人格独立、自由和尊严等价值，将个人信息权作为一种框架性权利，即一般人格权的理解符合实践要求。