个人信息的民法保障基质探讨

一、引言

对个人信息的法律保护是全球性的热点问题，许多国家和地区都有专门立法予以规范。在中国，刑法保护的制度设计已经先行一步，就民法保护而言，首先应解决保护的基础问题，即对于何种个人信息权利进行保护。依据识别性定义，个人信息是指可以直接或间接识别本人的信息的总和，包括一个人生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等各个方面［1］(P．95)的信息;或指那些能够据此直接指明或间接推断出自然人身份而又与公共利益没有直接关系的私人信息［2］。由于个人信息在现实中表现出精神与物质的双重价值，故对其权利众说纷纭，典型的有所有权说、隐私权说、基本人权说、人格权说、人格权与财产权全面保护说等。以上学说从不同层面、不同深度揭示了个人信息的民法内涵，成为后续理论深入的坚实基础。目前，个人信息权的分歧主要集中在人格权与财产权的定性归属上。其中，“人格权说”认为，个人信息体现的是一般人格利益，应当采取人格权保护模式，以德国法律为代表［3］。

个人信息的收集、处理或利用直接关系到信息主体的人格尊严，因此信息主体对其拥有人格权。齐爱民认同此说，但认为应建立区别于其他具体人格权的专门人格权制度，即“个人信息控制权”，简称个人信息权，指信息本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利，包括信息的决定权、保密权、查询权、更正权、封锁权、删除权和报酬请求权［4］(P．409)。人格权说既突出个人信息的特殊性，又兼顾其精神与物质的双重利益，认识较为全面。刘德良主张“人格权与财产权全面保护说”，认为个人信息的权利保护应根据其功能或价值而定。个人信息具有维护主体人格利益的价值或功能时，应给予人格权保护;具有维护主体财产利益的价值时，则给予财产权保护;同时兼有双重功能的则同时给予双重保护［2］。笔者认为，个人信息民法保护可采取“个人信息权”这一称谓，其性质宜归为人格权与基本人权范畴，但其认识基础、特殊性质、保护范围等尚待深入剖析。

二、个人信息与个人信息价值

———权利客体与对象之争

对于个人信息权利客体与对象的认识，学界素有分歧。个人信息权的客体是个人信息还是个人信息价值，关系到个人信息权利的性质确认与权能设计。大多数学说直接以个人信息为权利客体进行讨论，但刘德良认为，信息财产权的客体是信息的商业价值，而非信息本身，并指出权利对象不是权利客体;个人信息应当得到财产权保护也是因其具有潜在的商业价值［5］(PP．417～419)。按此逻辑，个人信息上的民事权利可以被设计成个人信息人格权和个人信息财产权，保护客体分别是个人信息的人格价值与财产价值，分别适用既有的人格权与财产权保护模式。对于权利客体，学界主要有五种学说，即利益本体说、权利对象说、权利义务人说、行为说和顺位或层次说。拉伦茨认为，权利客体用于两种意义:一是指支配权或利用权的标的，此为第一顺位的狭义权利客体;二是指权利主体通过法律行为予以处分的标的(权利和法律关系)，为第二顺位权利客体［6］(PP．377～378)。王泽鉴也持此种观点［7］(P．205)。

笔者认为，权利义务人说把人本身作为客体，抹杀了主体与客体的根本区别，明显不足取;其余各学说均从不同角度、不同层面论及权利客体的性质，尤其是顺位或层次说为客体界定提供了开阔而严谨的逻辑方法。不难发现，各种客体学说均围绕权利对象展开，而在对对象的进一步认识中发生了分歧。笔者认为，民事权利客体是权利义务主体对其权利对象的法力指向，可以统称为法益，即法律利益，不同时期表现为权利对象的整体或者不同层面，其重要意义是不断揭示权利义务对对象的法力指向，并提炼出该指向的共同基因以找出权利类型的设立基础，进而引导具体权能的设计。比如，具体的某物及其使用价值、交换价值作为客体使用，在区别物权体系内的所有权、用益物权与担保物权时，因意义重大而被使用;但在物权与债权、人身权、知识产权等并列使用时，具体物的具体价值层面因不足以将其互相区别而被自然搁置，所以物被抽象出来并被使用。这就是人们为满足需要而赋予权利客体以区分功能，并不断提高抽象认识能力的逻辑过程。该过程一直处于持续的动态发展中，权利客体与权利种类也一直在相应的层次上互训互动。但在同一社会背景下，认识呈相对稳定的状态，如农业社会物权客体之物、工业社会的工业产权客体之智力成果等。而每当社会转型，新事物出现，人们的认识就会被重新考验，并以新的认识去修正已有认识(激进倾向)，或以已有认识来框定新的认识(保守倾向)。信息作为新的客体，至少面临被纳入无形物与独立成类两种选择。

因此，个人信息及其价值都可作为权利客体，只是相应权利的权能内容与位阶层次有别而已。对于个人信息权在传统分类体系中的地位和权能内容的设计，涉及个人信息本身的利益属性与权利的法力指向。在利益属性上，其精神利益与物质利益并存;但在法力指向上，不同学说得出不同的结论。个人信息控制权说侧重保护人格利益，同时以报酬请求权的权能设计来保护其物质性利益，以求个人信息权成为人格权之一。人格权与财产权全面保护说则将个人信息权的法力直接指向个人信息的不同价值层面，产生出个人信息人格权和个人信息财产权，正如同一物的交换价值与使用价值分别成为担保物权与用益物权的法力指向或共同成为所有权的整体指向，人们对个人信息与物的认识在这里发生了有趣的相似。但物权体系的成功经验是否一定适合个人信息权的构建呢?毕竟，担保物权与用益物权仍属物权框架;而个人信息人格权与个人信息财产权分属于两个权利体系、两种保护模式，其属性与权能并不相同。个人信息本身能否作为一个整体还是其精神利益与物质利益作为独立客体，关键是看个人信息的精神利益与物质利益的内在联系以及对个人信息权利属性与位阶层次的法律评价、价值选择与技术设计。笔者认同个人信息控制权说，并着眼于个人信息利益整体，将其精神利益与物质利益统一纳入人格权保护。

三、精神与物质的双重性质人格权

———人身、财产二元标准之反思

由于个人信息权兼有精神利益与物质利益属性，在传统人格权与财产权之间必选其一或一分为二各寻归属均显不妥，故有必要从人身与财产的二元标准论及。

通说认为，民事权利按客体的利益性质分为人身权与财产权，人身权包括人格权与身份权，与人身不可分离、不具有直接的财产内容，属于精神利益范畴、与财产权对立;财产权指具有一定物质内容并直接体现为经济利益的权利，包括物权、债权等。在“非人格即财产”的二元思维模式下，只能将个人信息权分离出个人信息财产权与个人信息人格权，否则，难以恰当处理个人信息体现的双重利益;或者只能忽略或淡化其物质利益，将其纳入传统人格范畴求得保护。但是，这种矛盾对立的二元标准是否适用于当今日益复杂的权利诉求呢?从民法史看，自罗马法以来，“人格与财产相对峙”的二元区分虽然沿用至今，但我们以此界分人格权与财产权的根本标准在于对象是否永久地外在于主体，而非二者在精神利益与物质利益上的矛盾对立［8］(P．33)。但是，一方面，“自罗马法以降，法律将外在于人的事物与金钱价值相联系并与人的伦理价值相对立”;另一方面，“在近代人文主义思想影响下，人的伦理价值在法律中被看成是内在于人的事物”，所以在金钱价值与伦理价值两个要素的作用下，近代民法无从产生人格权概念［9］(P．119)。而20世纪各国民法典确立的人格权的重大变化就是将人格的伦理性价值的某些“内蕴式”保护变为“外在式”的权利保护，(部分)人格权被逐渐法定化［9］(P．134)。正是人对自身的不断认识与发现，这种“外在化”的存在不但表现为法定权利，还直接表现出物质利益，其源于人之内在的人格利益延伸至不同的载体。基尔克(O．Gierke)在《德国私法》一书中确认了人格利益具有精神性价值与物质性价值的双重性质，笔者深以为是［10］。

人格内在于人，这个事实并不能说明人格利益的属性只能是精神性的，因为人本身的伦理性存在就是精神与物质的统一体，而人格、人格利益与人格权等都是不断发展的概念，更是被人自身不断认识和发现的内容，其物质性价值在现实生活中不容忽视和否定。笔者认为，民事权利的传统分类标准将人身与财产预设为对立不容的矛盾关系。一方面，是由将人格利益等同于精神利益、财产利益等同于物质利益的误读所致，并从根本上远离了罗马法以来“是否外在于人”的标准，因为从物质利益到财产利益还有一个法律化的过程，二者是两个不同的概念;另一方面，该理解与界定已经遭到现实的诘问，难道人身一定不具有物质性价值吗?财产一定不具有精神性价值吗?其实，姓名、肖像等已表现出一定的物质利益，具有人格象征意义的纪念品等特殊物也体现出人格意义［11］。在现实生活中，物质利益的来源包括人身利益、物、智力成果与债务等，并适用人身权、物权、知识产权与债权等不同保护模式;精神利益来源于主体内在人格所具有的伦理价值，其载体一般不受限制，可以是物、智力成果和人身行为等，但都应纳入人身权加以保护。黑格尔在论证“人格权本质上就是物权”时指出:“人有权把他的意志体现在任何物中，因而使物成为我的东西……每一个人都有权把他的意志变为物，或者物变为他的意志……”［12］(PP．52～53)据此，具有精神意志性的人格利益可以表现为物质利益，如肖像可以表现为肖像画而具有物质利益;或者物质性的东西也可以内含精神意志性的人格，如结婚纪念照内含有当事人以特定肖像形式来纪念爱情等精神方面的人格利益。从事实出发，人格利益包括精神与物质两个层面，这是对人格利益属性认识的自然回归。“进行制度设计时，压倒一切的考虑是生活的需要，而不是理论的逻辑要求。”［13］

因为生活本身对权利的诉求是永远都无法被抹煞的。生命、身体等物质型人格由于关乎人格主体的本体性存在，所以对其物质利益的支配受到严格的限制。在中国法理中，生命、身体绝对不能买卖，而只能在器官捐赠、人身损害等事后按法定标准获得物质补偿。但不能因此就否定物质型人格具有精神利益与物质利益的双重属性，因为这属于事实判断与价值选择两个问题，正如国土所有权禁止买卖并不能说明国土不具有物质利益一样，恰恰说明其物质利益的特殊而要特别对待。姓名、肖像等抽象型人格由于可以与人格本体发生分离，所以在一定的外化条件下，其中部分权益可因主体的自主自决而被让渡出来，比如明星许可特定商家在特定广告上使用自己的姓名而获得一定物质收益，模特允许画家为自己制作肖像画并出售而收取物质报酬等，但是姓名使用者、肖像画家或肖像画购买者并不因此获得明星的姓名权或模特的肖像权。在归属上，人格权的归属只能属于主体本身，能够让渡的只能是符合特定条件的部分权益，因为只有该部分权益外化为广告或肖像画等商品的一部分并随之交易时才能被让渡，而不是单独成为商品，并且该部分权益的终极处分权仍然由权利主体掌控，所以，人格本身并没有被让渡成商品。

笔者认为，个人信息具有物质价值需要保护，不一定非要财产化并设立财产权来进行;否则，依其逻辑，对具有人格象征意义的特定纪念物品也可设立物之人格权。因为中国2001年的《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》明确规定，该种特定纪念物品存在精神利益、因侵权行为而永久性灭失或者毁损的可以主张精神损害赔偿。其实，个人信息与其人身的分离并不同于物之财产、知识财产与人身的分离，其分离并不彻底，因为分离在外的个人信息之价值并不是独立的，相反是源于信息主体的人格。在人格识别意义上，个人信息的精神利益具有原始性、第一性，是信息主体的内在构成部分;物质利益源于并依附于精神利益指向的主体本身，是尊重和维护主体精神利益的物化形式，具有附属性、第二性。以信用信息的价值为例，信用从产生时起就与人格紧密相关，并作为人格的重要内容受到保护，尽管其财产意义和经济价值在现代经济中得以彰显，但这种彰显恰恰是以其人格属性为前提和基础的，离开信用与特定主体的结合，这种价值将无从发挥［14］。

实质上，个人信息从未与信息主体分离，而仅仅是传播共享。因此，“个人信息直接商品化”并出售仅是一种表象，甚至是黑市交易，个人信息获得者绝不能像支配物一样去支配他人的个人信息，因为个人信息只有一个归属主体，即信息主体，否则，会出现沦为他人权利客体的“人将非人”的历史倒退。所谓出售，只是对其物质利益或精神利益在特定时空进行的许可使用，并且极大地受制于信息主体个人化的意思自治、在终极意义上由信息主体自主自决地支配和控制，在大多数国家的个人信息保护法中确立的目的原则、收集限制与使用限制原则，尤其是限制对第三人进行传输等规定都包含此意。至于二次开发后，个人信息可以借助物质载体或电子载体而成为物质财产产品(如纸质肖像画)、知识财产(如著作权之客体的绘画作品)或信息财产产品(如计算机在线交易的电子肖像画、数据库)等内容，表现出物质价值，但是借助这些载体的个人信息之价值除了来源于个人信息本身外，还与二次开发者投入的劳动有关，因此，个人信息本身不构成商品，只是成为商品的一部分内容。物质财产、知识财产与信息财产的交易虽由权利主体意思自治，但其价值不受特定个人人格之需的限制，而是依据市场标准来定，并与普通等价物进行等价交换或者替代，转移归属于法人与非法人组织等其他民事主体。但是个人信息不能如此。因此，所谓“个人信息财产权”通常是“个人信息许可使用收益权”，在制度的选择与设计上，该权利不宜成为独立于个人信息人格权的财产权。

首先，个人信息被许可使用，不完全是对经济利益的追求，有时也包含信息主体的精神利益，比如出于扬名、获得更多认同，或因公共利益而自愿、合理、法定地无偿许可使用，在更多的时候，精神利益与物质利益难以分辨，且精神利益始终是第一考虑因素。其次，被许可使用人的使用权更多的是债权性使用，而且是具有人身性质的债权，其对抗效力、处分范围等都受到信息主体的极大限制，很难获得一般财产权的支配地位，即使有财产权之名，也难有其实。再次，个人信息财产权可以自由转让、永远继承，会出现受让别人的个人信息财产权并进行继承等，这样的信息主体对自己的个人信息在生前死后都可能完全失控，在继承中还会发生信息禁锢、阻碍信息自由、进一步侵蚀个人信息应有的公共产品功能，这与多数立法仅保护活着的自然人之个人信息的立法不符，也有悖于个人信息保护法的宗旨，即实现个人信息的人格权保护与利用自由之平衡。

所以，将个人信息权定性为人格权，既可以保护其精神利益与物质利益，又可以避免立法上将其分插在人格权与财产权两个体系之中，以维护个人信息的统一性并节约立法资源，还可以针对性设计其特有权能，以摆脱既有财产权与传统人格权权能单一的限制。

四、一般个人信息与所有个人信息

———框架性人格权之定位

个人信息作为信息人格，并非始于今日，而是随着社会的向前发展与人自身的日益完善，其精神性与物质性等自有内涵的真实展现日渐丰富，以致于在信息社会显现出“惊涛拍岸，卷起千堆雪”之壮阔景象。学界对此逐渐达成基本共识，即设立个人信息权以保护个人信息不被随意侵犯，但具体保护范围仍存争议。齐爱民认为，“应该在个人信息之上建立区别于其他具体人格权的专门的人格权制度”［15］，并以“识别”和“可以处理”作为个人信息构成的实质要素与形式要素，因为“个人信息保护立法的目的在于弥补传统人格权法保护的空白，而不是取而代之”［1］(P．97)。笔者称此为“补充保护式范围”，相对于具体、特别的人格权而言，个人信息权属于一般人格权，对传统人格权起补充作用。但刘德良认为，“个人信息包括但不限于以文本或数据形式存在的个人信息，还包括个人的名字、声音、形象或肖像，乃至对个人行为的跟踪、记录”，是“据以能够直接或间接识别自然人的身份而又与公共利益没有直接关系的一条或一组信息的集合”等，应对其确立“全面保护的指导思想”［2］。笔者称此为“全面保护式”范围。“补充保护式”可以很好地突出被传统人格权忽略的人格利益，针对性强，保护力度和效果好，但未突出“一些传统的具体人格本身是信息”的特点，不利于从立法上整合与统一规范个人信息，故失之过窄。由于传统人格中的姓名、肖像等信息与一般个人信息的区别不是在任何时候都很分明，有必要统一纳入个人信息进行考虑。“全面保护式”则失之过宽。刘德良主张“那些与人格尊严没有直接关系的个人信息，就不应该成为人格权保护的对象，而应该只给予其财产权保护”是很敏锐的见解［2］，但此时个人信息的物质价值既然不来源于或依附于个人的人身，而与其他具有物质利益的非个人信息并无区别，那还有必要称之为个人信息吗?个人信息之“个人”应指该信息与识别指向的“个人人身、个人尊严”等相互关联之含义。对具有间接识别作用的个人信息之判断，应以动态的、相对的标准，哪怕是同一信息在某一个案中属于个人信息，在另一个案中就不一定属于个人信息，关键在于其是否起到识别作用。所以，应当严格把握识别标准，不宜随意扩大个人信息的范围。

笔者认为，个人信息权应定位为一种框架性人格权，对包括各种具体人格利益在内的所有以信息形式存在的人格利益进行整合，为个人信息提供一套清晰明确、系统协调的保护机制。由于个人信息保护法是围绕个人信息保护而产生的领域法，在内容上没有明显的部门法特征，很难归入传统部门法［16］(P．37)，因此个人信息权与其他权利的保护范围出现交叉、重复是难免的。比如，对与传统隐私权、肖像权等保护交叉重复的隐私信息、肖像信息，可以通过法律竞合等法律适用规则与法律解释来解决。另外，个人信息权不宜作为具体人格权［17］(P．242)。因为具体人格权的内涵与外延都比较确定，有自己独立的内容，但是个人信息的外延并不确定，会因不同时代、不同地区的伦理价值而有所变化，即使在同一时空，也会因信息主体与个案差异而有所区别，目前，各个国家与地区的立法界定差异较大也源于此。同时，在个人信息侵权案中，传统的隐私、肖像、姓名等具体人格权的保护范围与其他个人信息经常混为一体、难以分辨，有时也没有必要进行机械的区分，只要保护到位即可。再者，不同领域的个人信息之保护范围也存在较大区别，所谓“具体人格权”之“具体”很难操作。法律只作框架界定，为更多具体情况留下空间，以避免个人信息保护之遗漏。