孙蓉

一、个人信息控制权的赋权必要性

《个人信息保护法》的出台顺应时代发展，解决数字经济时代下大众对个人网民信息提出的新要求，满足社会大众进一步加强网民个人信息保护的愿望。《个人信息保护法》对个人信息处理者应有义务作出了明确规定[1]，同时对个人在信息处理当中所拥有的七大权利进行明确，更是在法律中明文禁止了大数据“杀熟”等相关的自动化决策。在民法界，《民法典》进一步强化人格权地位，增设了人格权编，并在其中明文规定个人信息的范围，个人信息保护的重要性通过《民法典》中的变化进一步得以强调。

网民个人信息保护之所以在如今时代变得如此重要，与我国逐渐成为信息化国家息息相关，日常生活中的基本生活的实现，诸如微信交流，支付宝付款，无一例外都涉及个人信息的传播，在网民个人信息几乎不可避免地暴露在公众范围内的情况下，网民个人信息面临着越来越大的保护风险，网民个人信息被非法获取、非法利用。非法泄露等问题屡见不鲜，个人信息保护遭遇前所未有的挑战，加强数字经济时代下个人信息控制权保护成为21世纪数字法治发展的重要任务。网民个人信息的保护日益重要的同时，对个人信息拥有者权利保障以及维权的立法规定却处于滞后状态，《个人信息保护法》中明文规定个人信息处理者的权利义务，但是对个人信息处理者的权利以及如何维权只是进行简单的概述，当个人信息处理者权利被侵犯，要通过何种手段，行使何种权利来维护自身权利呢这是目前个人信息保护立法学界需要思考的问题

基于此，笔者认为，研究个人信息控制权是当前学术界的重要任务，只有对个人信息控制权的基本法理加以明确，才能为个人信息控制权深入研究提供应有的理论基础，进一步推动完善数字时代下个人信息保护理论体系，为个人信息保护立法体系的进步提供支持。

二、个人信息的定义及其双重法律属性

（一）个人信息的定义

“信息”这一词语最早是出现在《信息传输》一文中，作者哈特莱首次采用“信息”一词，虽然“信息”作为科学术语已经存在近百年，但是理论界与实务界依然对“信息”的概念存在诸多争议。从我国《民法典》与新颁布的《个人信息保护法》可以看出，我国学界承认“个人信息”这一说法。一般来说，个人信息与其他信息最大的区别在于是否具有可识别性，并认为个人信息是可识别自然人的所有信息。从各国的不同定义可以看出，目前主流还是以识别性作为对个人信息定义的一大特点，在数字经济时代下，个人信息的范围在不断通过各种形式扩张，出现了一些对个人信息扩充的说法，诸如关联性定义，即把所有与人相关的信息都称为个人信息，最大范围定义了个人信息。笔者认为，关联性定义虽然涵盖的范围大，但是颇有“眉毛胡子一把抓”之意，要想突出“个人信息”所具有的独特性，该“信息”就不能将所有与个人关联的所有信息都纳入其中，“个人信息”应当是可以识别某个特定人的“独有信息”，这种“独有信息”具有排他性，不可随意替换与更改，具有很强的识别性，只有具备这些特征的信息才可以被称之为合格的“个人信息”。因此，可识别性是个人信息最重要的特征之一。

个人信息的内涵上，学界也存在着不同的表述，主要包括概括式和概括+列举式，我国出台的《个人信息保护法》仅仅采用概括的方式，并没有具体进行列举，笔者认为，随着个人信息范围的不断扩大，虽然明确个人信息的具体类型可能会存在片面性，但是从我国个人信息保护现状以及我国发展国情看，对个人信息应当尽可能明确具体类型，同时设定一定的原则性的兜底条款。将个人信息具体类型纳入法律中，有利于立法保护的具体落实，避免司法实践中不必要的争议。设立原则性兜底定义，有利于顺应时代的发展，为未来可能诞生的新的个人信息类型提供法律支持。综上，笔者认为，对个人信息的定义，应当以识别性作为主要特征，在内涵上，采用概括式+列举式，同时辅以原则性的兜底定义。

（二）网民个人信息的双重法律属性

自然人的个人信息，应当与一个人的生命以及健康，身体等因素息息相关。人格权的客体是生命、健康与身体等与个人不可分割的部分，个人信息又与这些部分不可分离，个人信息毫无疑问具备人权属性。即便在数字网络世界，信息的处理方式与记录方式在发生着巨大的变化，但是网民个人信息始终体现着人的尊严与自由，带有强烈的人格属性，在数字社会，网民的个人信息是人格的数字化。网民的个人信息在数字社会中实际上就是自然人在“虚拟世界”人格的体现，侵犯个人信息，随意篡改、恶意诋毁个人信息，实际上就是对人进行人格上的侵犯。在现实生活中这种通过诋毁个人信息，使其“声败名裂”的例子屡见不鲜，为大众所熟知的“人肉搜索”实际上就是通过曝光个人的姓名，样貌，家庭地址等个人信息，达到对这个人的准确识别，一旦被“人肉搜索”，无论面临的是好消息或是负面评价，都会给当事人的正常生活与精神上带来极大的变动甚至是困扰，个人信息所体现出的人格属性，是自然人在社会交往生活中作为一个“社会人”所呈现的人格尊严。

数字经济下，一切可用来产生经济效益的物质都具有财产属性。网民个人信息的产生离不开人格而存在，但是当信息主体把个人信息的使用权利让渡从而获得相对的经济利益时，网民个人信息获得了“价值”，这种价值便是一种“财产价值”。在获取、进行流转以及利用个人信息的过程当中，网民个人信息无疑都蕴含着巨大的商业价值，能够满足网民个人信息所带来的独有的商业需求，具有天然不可忽视的财产属性。同时，作为个人信息拥有者，对个人财产拥有支配权，网民个人信息可以自由转让，继承，买卖，拥有与其他财产权类似的权利。但网民个人信息其不像其他财产权一样可以脱离主体存在而不受控制地进行交易与买卖，网民个人信息在进行每一次的商业交易时，应该像著作权等知识产权一样，得到原始的个人信息产生者的同意，以此来保护个人信息的合法流通。

三、个人信息控制权概念及其法律属性

（一）个人信息控制权基本概念

“一项新兴（型）权利要得到证成首先要符合权利的标准概念，即被保护的合理性”。[2]笔者认为，在数字经济时代下，赋予个人信息拥有者权利是保护个人信息的一种必然趋势，个人信息控制权可以与其他权利明显进行区分且存在其独有的价值，其自身也具备独立的法律地位，属于一种独立的权利。虽然该权利并未在法律当中明确，但是在刑法、民法，以及新出台的《个人信息保护法》均可以起到法益层面的解释作用，不可忽视其作为新型权利存在的必要性。

个人信息控制权作为一项数字经济时代孕育出的新兴权利，由于“露面少”，“初出茅庐”，目前学界对其有深入研究的少之又少，其基本的概念界定，目前更是无统一定论。美国宪法学家威斯汀较早提出了“个人信息控制权”，并将隐私权定义为“自己决定何时，如何，以及在何种程度下传递有关个人信息给其他人的权利”，后被认为是“个人信息控制权”，并被广大学者接受。我国学者齐爱民于2005年最早提出了“个人信息权”，随着“个人信息”范围不断扩大，个人信息控制权的内涵也应不断扩展，个人信息控制权概念界定应当基于个人信息的定义。鉴于此，笔者认为，个人信息控制权是个人信息拥有者享有的对法律规定的个人可识别信息受法律保护，不受他人支配的权利。

（二）个人信息控制权的人格权属性

厘清个人信息控制权与隐私权的关系是确定个人信息控制权法理属性的基本问题。个人信息控制权与隐私权的关系一直都是学界广为探讨的话题。学界主要分为有两种立场：第一种认为个人信息控制权与隐私权属于同一法益，即“一元说”；第二种则认为二者属于不同性质的不同法益，即“二元说”。日本是典型的“一元说”代表国家，虽然未在法律中明确规定个人信息控制权，但在日本学界则认为个人信息控制权的出现，主要功能还是为了实现对隐私权的保护。“二元说”的代表是美国，区分了“信息隐私权”与“隐私的侵权行为”，认为信息隐私只是属于隐私权的一部分，二者所受到的法律保护不一样，信息隐私通过侵权法进行保护，但是在具体的应用当中并没有明确。隐私主要是指当事人不愿意让他人知道的只属于个人的信息是一种私人的秘密，个人信息的基本涵盖范围显然要大于隐私所涵盖的范围，将个人信息控制权与隐私权混为一谈，在范围上就存在明显矛盾，从目前个人信息范围不断扩大的趋势来看，个人信息不能与隐私混同，而应当根据其涵盖的不同范围有区别地进行保护。

英国的信息保护登记官曾说：“信息保护立法，是民事权利立法”。《民法典》第四编将个人信息置于人格权编，将个人信息纳入民法规制的范围内，表明学界已经广泛承认了个人信息属于民法领域。离开《民法典》的调整规范，不利于个人信息的流通与保护，因此，首先应当将个人信息控制权作为一种重要的民事权利加以保护，这是理论所需，也是时代所趋。

以往学术界对个人信息控制权法律属性的争议通常是围绕着其属于所有权还是隐私权，在这个问题上产生不同的学术观点。从目前理论研究发展来看，这两种学说显然已经不属于主流观点，取而代之的是人格权说以及人格权兼财产权说。齐爱民是人格权说观点的代表人物，他认为个人信息体现出来的利益实际上是代表了一个人的人格尊严，所以当对个人信息进行收集利用时，人格尊严与自由必然会受到影响。[3]人格权兼财产权说的代表是刘德良教授，认为确定个人信息的权利，应当根据具体体现的价值来确定，认为个人信息控制权既可以是人格权，也可以是财产权，取决于其维护的利益。[4]

个人信息对维护个人尊严具有重要意义，从这个角度看，个人信息毫无疑问具有人格属性。那么个人信息控制权是否具有人格权属性呢？笔者的回答是肯定的。对个人信息控制权法律属性界定问题应当回到“权利”本身上，个人信息依附在个人之上，首先具有人格属性，只有当其作为一种可转换、买卖的商业资源时拥有财产属性，需要明确的是，个人信息产生财产效益，并不是说明个人信息本身就具有财产效益，直接依附在个人的个人信息并不能直接体现财产效益，当个人信息与人身分离单独作为一种财产时，就产生了物质利益。而个人信息控制权作为个人信息拥有者对个人信息的掌控权而产生的权利，其本身始终依附于人身，“信息”可以交易，“权利”却不被允许，个人信息控制权始终体现着强烈的人格要素[5]，体现着“人之所以为人”的人格权利，对个人信息进行控制，实际上是将自身可接受的自我展现信息通过他人传递出去。这种信息的展示同样也是一个人基于自身的社会交往需要，基于让他人通过信息识别自己的需要，在这个基础上，控制自己的信息不被他人非法干扰。这种权利本身跟人有着极强的人身属性，一旦权利脱离当事人，权利随之就会失去其最基本的人格属性而失去意义，从这个角度可以看出，个人信息控制权毫无疑问具有人格属性。因此，笔者认为个人信息控制权是数字时代下一种新型的、独立的人格权。

四、个人信息控制权的权利架构

个人信息控制权的权利主体应当来自不同的主体，包括权利本身的来源主体，管理方主体，使用方主体等。个人信息控制权的主体是变化的，在不同的阶段，个人信息控制权的权利主体不同，这主要是因为个人信息本身的流通性所导致的，由于个人信息在不同领域流通，个人信息控制权的权利主体也会不断发生变化，这也是个人信息控制权权利主体确定与其他权利主体确定的一大不同。

个人信息控制权权利架构的重点问题之一是厘清权利客体。在司法实践中，如何界定个人信息权利遭到侵犯，首先就需要明确权利的客体，这是司法界急需明确的问题。随着数字时代的到来，权利的客体范围必然在不断改变，出现了依附信息产生的各种新型权利，信息自决权，信息安全权等，这些权利的诞生都有一个共同的权利客体—信息。同时，我们也应当认识到，个人信息控制权的产生，不仅仅是对个人私密信息的保护，同时是对可公开可识别的个人信息的合理限制，基于此，个人信息不应该仅仅强调私密性，还应当认识到其作为公众知情信息的一部分，具有流通性，例如在新冠疫情下，出于对社会集体利益的保护，作为确诊者，密接或者次密接人员，其个人姓名与个人轨迹应该为大众所知悉。对于个人信息的保护，一方面，要考虑对具有强烈人格尊严的个人信息的私密保护，这种保护应当是严格的，这时候的个人信息可以被视为一种“不可侵犯的隐私”，但同时，对于具有公共性质（满足生活需要）的个人信息，则要允许其在合理范围内的流通。因此，个人信息的权利客体，应当包括主体所拥有的个人信息，以及与其相关的个人信息，该信息应当包括个人的私密信息与在合理限制下需满足社会公共利益的个人信息。

个人信息控制权的权利内容，具体就是指个人信息权利的在个人信息的流通、传播、存储中所体现的个人权利。当然，个人信息控制权的权利内容远不止局限于《个人信息法》中所规定的权利。随着个人信息保护涉及的范围不断扩大，个人信息控制权权利内容也将不断更新。尽管理论界对个人信息控制权的权利内容认知有所不同，但是主要观点都是保持个人对个人信息的有效控制，让个人信息在个人的控制下得以利用，是当代实现个人信息价值的核心。基于这个角度，个人信息控制权的权利内容还应当包括决定收集权（决定个人的信息能否被收集）、异议权（对不当信息收集行为表示异议）、利用权（充分利用个人信息获得利益）。

个人信息控制权需要得到法律上的认定。个人信息控制权需要在法律体系当中拥有一席之地，就要进行法律上的认定，从目前个人信息保护立法看，无论是《个人信息保护法》还是其他部门法，都没有明确将个人信息控制权纳入保护的范围当中。必须通过具体的法律条文明确个人信息控制权，从多个不同的角度保护对个人信息控制权加以保护，包括权利主体的合法性确认，权利客体以及内容的完整性，在法律层面确定个人信息控制权的合法性，可以为个人信息控制权发挥其对个人信息拥有者的权利保障提供法律支持。