个人信息及法律保护

个人信息及法律保护“民商法前沿”系列讲座现场实录第328期刘德良 北京邮电大学文法经济学院 教授上传时间:2008-12-21内容提要: 2008年10月22日晚，在明德法学楼708报告厅举行了中国人民大学民商法前沿论坛讲座。主讲人为中英法学研究会顾问、亚太网络法律研究中心创始人、主任、北京邮电大学网络法律研究中心主任、文法学院特聘教授、英国伦敦政经济学院、爱丁堡大学、伦敦大学高级法律研究所访问学者刘德良教授。对外经贸大学法学院梅夏英教授、北京航空航天大学法学院丁海俊副教授到场评议。讲座由我院博士研究生沈云樵主持。讲座从个人信息的分类、确权规则、各国保护现状和我国立法思路四个方面，分析了个人信息及私法保护问题，尤其是个人信息的财产权保护。首先，关于个人信息的概念及其分类。刘教授将个人信息的概念定义为：据以能够直接或间接识别自然人的身份而又与公共利益没有直接关系的一条或一组信息的集合。个人信息可以由各种符号来表达，在不同背景下还可以是动态的。而根据不同标准可以对个人信息进行不同分类。基本的分类有直接个人信息与间接个人信息、再现个人信息与非再现个人信息、敏感个人信息与非敏感个人信息。刘教授并提出了自己的分类标准，以个人信息是否与人格尊严有关，将其分为与人格尊严有直接关系的个人信息、与人格尊严无直接关系的个人信息，前者是指一般主体不愿他人知道的、与人格尊严有直接关系的、法律给予其双重保护的个人信息，后者是指可以公布的、与人格尊严无直接关系的、法律不对其特别保护、而只给予财产权保护的个人信息。该分类的意义在于体现的个人价值不同。第二部分是关于个人信息保护的确权规则。该问题包含两方面，一是应该给个人信息赋予何种权利，或者说给与何种保护；二是该权利应该归属于何主体。刘教授首先区分了权利客体与权利对象这两个概念，认为：权利客体是一个抽象的概念，体现一种利益；而权利对象是一个具体的概念。本讲座的“个人信息”是权利对象，而非权利客体，其上既可体现财产利益，又可体现人格利益。与人格尊严有直接关系的个人信息体现了这两种利益，所以要对其进行双重保护。而个人信息上的人格利益和财产利益都应该归属该信息主体。第三部分是关于个人信息的法律保护现状。透过理论层面，目前各国与个人信息相关的立法模式有两种，一是以欧盟为代表的本体主体，从基本人权和隐私权的角度对个人信息进行保护；二是以美国为代表的实用主义，从经济的角度、在考虑成本和收益的基础上，对个人信息进行保护。从我国的立法和理论看，我国归于欧盟模式。最后是关于我国完善个人信息保护的对策。刘教授提出了三条基本思路：一是处理好个人信息上的各种利益关系；二是对财产利益和人格利益进行全面保护；三是促进信息产业和电子商务的发展。在立法上要对个人信息和隐私做明确区分。之后，梅教授和丁副教授对讲座进行了精彩评议，刘教授还与评议人、同学们进行积极互动。讲座在同学们的热烈掌声中结束。（文/石晓倩） 主讲人：刘德良教授 中英法学研究会顾问 亚太网络法律研究中心创始人、主任 法学博士、北京邮电大学网络法律研究中心主任、文法学院特聘教授 英国伦敦政经济学院、爱丁堡大学、伦敦大学高级法律研究所访问学者 主持人：沈云樵 中国人民大学法学院民商法博士研究生 时间：10月22日（周三）晚6：30 地点：明德法学楼708室 一、个人信息及其分类 （一）个人信息的界定 何谓个人信息、其具体范围如何？目前在理论、立法和司法上存在歧见。在立法上，就存在个人信息、个人数据和隐私之别。 欧盟1995年个人数据保护指令以个人数据作为其基本范畴，其所谓的个人数据，是指任何与一个明确的自然人或可识别的自然人（数据主体）身份有关的信息，其中，“可识别的人”是指可以直接或间接识别的人，尤其是借助于身份证号码或其他一些有关身体、心理、精神、经济、文化或社会身份等特定因素可以直接或间接识别其身份的信息。按照OECD理事会1980年关于规制个人隐私保护与跨境个人数据流通的建议的规定，所谓个人数据，是指任何可以或能够辨别出来与某一个人有关的信息。 从美国立法和学者关于隐私的有关论述看，在美国，传统上是将个人信息作为隐私看待的。在网络时代和信息时代，学者们则多将传统的隐私称为“信息隐私”。值得注意的是，理论上有不少学者在讨论个人信息的法律保护时并没有采用上述任何一种叫法，而是采用另外一类概念，如个人身份要素、个人形象、角色等。 在我国，理论上，关于个人信息的称谓，有叫个人资料的，也有叫个人资讯的，还有叫个人数据的，也有把私人信息和个人资料同时使用的，更有叫个人数据信息的。关于个人信息的称谓问题，笔者以为，所谓的个人数据、个人资料，其区别仅在于对英文data的不同翻译而已，故而没有本质的不同。不过，如果从信息技术的历史发展和准确性方面讲，由于在法律上使用的“个人数据”是与计算机技术密切相关的一个范畴，它只是个人信息的一种特定表现形式，具有载体上的特定性或技术上的特定化倾向。从立法对个人信息的保护而言，如果采取个人数据这个范畴，既容易使其他类型的个人信息无法纳入其中，也容易使人产生误解。所谓个人资讯，实际上是对personal information 的另外一种中文翻译而已。而美国的“隐私”或“信息隐私”虽然在内容上都与个人信息相近，但是，其叫法与大陆法系和我国对隐私的一般理解相冲突，既不科学也容易使人误解。而“个人信息”则是一个上位概念，它在技术和载体上具有中立性，包括但不限于以电子介质在内的各种媒介为载体的和各种符号所表示的各种形式的个人信息；同时，个人信息也是一个中国人习惯使用的概念。因此，个人信息是一个科学的概念，就立法称谓而言，采取此概念最为合理、妥当。 鉴于个人信息是对个人身份的描述与反映，他人据此应该可以直接或间接识别出某一特定的自然人身份。考虑到各国及有关立法对个人信息的界定，笔者认为，个人信息应该是指那些能够据此直接指明或间接推断出自然人身份而又与公共利益没有直接关系的私人信息。值得注意的是，在目前的认识上，由于对信息这一范畴的认识存在分歧，很多人把个人名字、声音、形象或肖像等排除在个人信息范围之外，而是仅仅把以文字或文本形式存在的个人信息作为研究的对象。笔者认为，这种观念不利于从立法上统一规范这些个人信息，因此，本文所谓的个人信息包括但不限于以文本或数据形式存在的个人信息，还包括个人名字、声音、形象或肖像，乃至对个人行为的跟踪、记录。申言之，本文是在技术中立的情况下使用信息这一范畴的。 （二）个人信息的分类 信息是由符号表现出来的，符号是信息的具体表达形式。作为信息的一种形式，个人信息也是通过不同的符号表达出来的。按照表现个人信息的存在形式或表达符号不同，个人信息可以分为视觉个人信息、听觉个人信息、嗅觉个人信息、触觉个人信息等不同的形式。其中，我们一般所谓的个人信息大多是通过视觉和听觉形式表现出来的，由于这类个人信息是以纸张、胶片、磁盘等有形物质为载体的，因此，我们可以从视觉上感知这些信息的存在。鉴于目前大多数的信息技术又多是与这些有形介质密切相关的，因此，这种（存在）形式的个人信息是我们最常见和常用的个人信息；而嗅觉个人信息则由于其传播和固定技术难度上的原因而相对使用的较少。也正是由于这个方面的原因，目前出现的各种关于个人信息的分类，基本上都是对视觉个人信息所作的分类。因此，本文关于个人信息的分类，也同样是建立在对视觉个人信息的分类基础之上的。 从既有的立法和理论上看，个人信息的分类方法很多，归结起来，主要有以下几种分类： 1、按照个人信息的内容进行的分类 按照这种分类方法，个人信息主要包括个人在通信信息、财务信息、医疗健康等身体、生理方面的信息、教育信息、信仰信息、基因信息及特定社会关系等方面的信息。 这种分类虽然具有直观、具体的优点，但是，由于这种分类方法过于复杂，导致其分类标准往往不够统一，进而导致各种不同的分类之间在界限上并不十分清晰，彼此之间可能存在重叠之处。同时，更为重要的是，由于这种分类撇开了个人信息的本质属性，因此，这种分类的法律意义不大。 2、按照个人信息的敏感程度 将个人信息区分为敏感个人信息和琐碎个人信息并据此采取不同程度的保护措施是欧盟等许多国家和地区立法的做法。所谓的敏感信息，一般是指那些对个人有重要影响的个人信息。一般来说，敏感个人信息包括主体的种族起源、政治观点、宗教与道德信仰、工会组织、代理关系及与此有关的诉讼、性生活等方面的个人信息。由此可见，它与个人隐私有很多的重合或重叠之处，但却又与人们一般意义上的隐私范围有所不同。而所谓的琐碎个人信息，是指个人信息中除了敏感信息之外的其他信息。由于这些信息对个人的影响不如敏感信息那么大，因此，被称为琐碎个人信息。从有关立法的规定来看，之所以对个人信息作如此区分，乃是根据二者的敏感度不同而实行不同宽严程度的保护措施。一般来说，对于敏感个人信息，对其收集、加工和利用必需经过主体的明确同意，并需要采取严格和特殊的保护措施；对于琐碎个人信息，则往往不需要经过主体的明确许可，也不需要采取特殊、严格的保护措施。 3、按照能否直接识别出主体身份 按照能否直接识别出特定自然人身份、或者按照信息与主体之间的关联程度，个人信息可以分为直接个人信息和间接个人信息。前者是指那些据此可以直接识别自然人主体的个人信息，它一般包括姓名、肖像或形象、声音等；后者则是指那些必须借助于其他方法方能识别特定自然人身份的信息，它一般包括身份证号码、（如英国或美国等某些国家的）个人社会保障号码、基因信息等。另外，对于电子邮件信箱、电话号码等一般也可以作为间接个人信息标志。 显然，这种分类具有相对性。毕竟直接和间接总是与识别的主体及其范围联系在一起的。比如，对于某一范围的群体来讲，大家都知道某一自然人的电话号码，因此，该号码对于该特定群体的人来讲就可以作为该自然人的直接标志；而对于其他不熟悉该自然人与该电话号码之间的特定联系的人而言，其电话号码对于该特定自然人就只能是其间接个人信息标志，因为，他们可以据此通过电信服务机构的信息登记处查询而获悉该号码的使用者就是该自然人，或者，虽然电信服务机构登记的电话使用人和实际的电话使用人不一致，但是，我们仍然可以从实际使用人那里获悉登记人的身份。由于直接个人信息和间接个人信息的分类具有相对性，而且没有从个人信息的功能、性质等基本属性方面出发，因此，该种分类在对不同类型的个人信息的确权和保护上不具有法律意义。 4、按照与人格尊严是否有直接关系 本文认为，虽然像欧盟指令等立法采取“敏感个人信息”和“琐碎个人信息”的分类方法有利于根据不同的个人信息分别给予强弱不同的法律保护，但是，其缺点也是非常明显的：首先，由于“敏感”一词的主观性太强，对于同样类型的个人信息，其敏感度完全可能因不同的主体又完全不同。因此，与将个人信息分为直接个人信息和间接个人信息一样，该种分类也具有相对性和不确定性。其次，“敏感”既不是一个严格的法律范畴，也无法从法律上对其进行界定。它与我们所谓的隐私虽有重合之处，但与我们法学上和日常生活中理解的隐私存在着很多不同。同时，更为重要的是，敏感与否不是对个人信息从本质属性上的区分，因此，该种分类无法从法律上对不同类型的个人信息提供不同性质的权利保护。 本文认为，法律对于（权利）对象的分类，其主要目的就是根据其对主体的不同价值或功能而分别给予不同性质的权利保护。从根本上讲，权利对象对主体的价值或功能无非包括两个方面，即维护主体的人格尊严（或利益）和维护主体的财产利益。理论上讲，民法对于与人格尊严有直接关系的某种对象应该给予人格权保护，对于那些与人格尊严没有直接关系但却具有维护主体财产利益的对象应该给予财产权保护，对于那些兼有维护主体人格利益和财产利益的对象，则应该同时给予人格权和财产权保护。鉴于目前存在的各种分类方法都存在一个共同的缺陷，即不是根据个人信息的不同价值或功能进行分类，无法为法律针对不同类型的个人信息分别提供不同性质的权利保护提供理论依据。因此，科学、合理的分类方法应该是根据信息与主体人格尊严是否有直接关系，将个人信息分为与人格尊严有直接关系的个人信息和与人格尊严没有直接关系的一般个人信息。其中，前者是指那些与人格尊严有直接关系的个人信息，如姓名、肖像、隐私等，一旦这些信息被他人知悉或滥用，不仅可能会对主体的人格尊严产生消极影响，而且还侵害了主体的财产利益。不过，在现行民法及其理论下，对这类信息只给予了人格权保护而没有给予财产权保护。后者是指那些与人格尊严没有直接关系的个人信息，如教育信息、财产信息、消费习惯等，对这类个人信息的滥用不会导致主体人格尊严受到侵害，只会导致主体的财产利益受到损失。但是，目前，这类信息在现行民法及其理论下要么得不到应有的财产权保护，要么是被视为与人格尊严有关的个人信息而纳入到人格权保护范围内。 （三）个人信息与隐私 在我国，由于立法缺失，因此，关于何谓隐私及其范围的问题，理论和实际认识中存在很大的争议。不过，目前，法学上的主流观点认为，隐私是一种不愿意他人知悉的个人信息，由此，未经允许擅自刺探、公布或知悉他人的姓名、肖像、住址、手机号码、工作单位等个人信息的行为都是一种隐私侵权行为。在这种观点看来，只要未经许可或违反主体意愿擅自刺探、公布主体个人信息的行为，都是一种隐私侵权行为。在这种观点看来，隐私及构成隐私侵权的一个关键要件就是主体的主观愿望，即不愿意让他人知悉，凡是主体不愿意让他人知悉的个人信息都是隐私；凡是违背主体意愿公布或刺探其个人信息的情形，除了特别情形外，都属于隐私侵权行为。在这种观点看来，只要不是向不特定的社会公众公布，主体在将自己的某种个人信息向特定个人或群体披露后，对其他个人或群体仍然享有隐私权。因此，如果其他人未经许可擅自公布其个人信息的，仍然构成隐私侵权。笔者对这种观点持异议，理由如下： 一方面，该观点不加区分地把所有个人信息都纳入到隐私的范围、并因此认为只要违反主体意愿公布其个人信息的行为都是隐私侵权行为的观点，忽略了两类性质完全不同的个人信息的本质区别，扩大了隐私权的保护范围，混淆了公布个人信息和对个人信息的后续利用行为。另一方面，主流观点对个人隐私的界定完全建立在个人主观意愿基础上的做法不仅与现实不符，而且在逻辑上也难以自圆其说。在该观点看来，隐私权是主体有权决定何时、何地、向何人披露自己的个人信息的权利；即使将自己的特定个人信息向特定的个人或群体披露，并不意味着主体对该特定个人信息的隐私权丧失或失效；其他人未经授权擅自公布自己的这些已经被许多人乃至不特定许多人知悉的个人信息，仍然构成隐私侵权。其实，像姓名、电话号码、家庭住址、工作单位等个人信息早已被许多不特定的人知悉了（且不说我们的许多同事、朋友都知道我们的这些信息，除此之外，由于我们在各种场所下都要填写包含有这些个人信息的表格，因此，我们根本不知道、也无法知道自己的这些个人信息被知悉和传播的范围）。如此，按照主流观点，一旦某些个人信息被不特定的人知悉或向不特定的人公布后，主体就对这些个人信息丧失了隐私权。这样，如果认为披露这些个人信息或进行身份核查行为构成隐私侵权的话，在逻辑上将难以自圆其说。最后，主流观点对个人隐私的界定完全建立在个人主观意愿基础上的做法无论是对立法、还是司法实践，都没有什么价值。按照这种观点，隐私的范围是不确定的，它因人而异。如此，在立法上，就没有必要在界定个人隐私了；在私法上，是否构成隐私侵权，完全取决于某一主体的主观意愿。 实际上，隐私观念具有强烈地域性、文化差异性，不同地区、文化背景下的隐私观念往往会存在很大差异，因此，忽略隐私背后的社会、民族、文化背景而照搬他国的隐私观念往往是不妥的。在我国，法学上的隐私属于一个外来语，学者们在接受这些外来语时恰恰是忽略了隐藏在其背后的地域、文化差异，而直接将这种本来具有极大地域、文化和民族差异的外来范畴直接“强加”给不同于西方文化、社会背景的中国，这就是目前中国极端隐私观念产生的根源。近年来，这种观念对中国普通人的影响巨深，因此，人们在谈论隐私的时候，动辄就将隐私的范围无限扩大，以至于出现在观念上将工作单位、家庭住址、电话、教育背景等个人信息视为个人隐私，完全不顾两类个人信息的本质区别及其与言论自由和舆论监督之间的关系。事实上，在（法学上）隐私概念起源地的美国，虽然人们有着强烈的隐私观念（尤其是与中国人相比），但是，在宪法上，这种隐私权并没有被明确承认，相反，言论自由则是宪法明确承认的一种公民权利，具有更高的法律地位。因此，在美国，基于正常的舆论监督和宪法赋予的言论自由而公布他人的家庭住址、工作单位、教育背景等个人信息的行为，则被认为是正当、合法的。值得注意的是，在美国，其所谓的隐私,实际上是我们所谓的个人信息。如下文所述，从其侵权法重述及权威学者对隐私侵权的界定中也可以看出，他们都是在言论自由和隐私权平衡的视角下界定隐私侵权行为的，并没有（像我国很多人那样）认为凡是未经许而可擅自公布他人个人信息的行为都是隐私侵权行为。显然，这与我国孤立、极端强调隐私权而忽略其与社会公众的言论自由和舆论监督之间的关系来讨论隐私权及其侵权行为形成了鲜明的对比。 综上所述，在笔者看来，构成个人隐私应该同时具备两个条件：一是属于与公共利益没有直接关系的个人信息；二是与人格尊严有直接关系，即个人信息一经被他人知悉，即使不考虑到后续的滥用行为，即可对主题的精神、尊严、社会评价造成消极影响。基于言论自由、舆论监督和知情权而公布他人的姓名、肖像、住址、手机号码、工作单位等个人信息的行为是合法和正当的，并不是一种侵权行为。基于交易安全和社会安全，在我国，像姓名、肖像、家庭住址、年龄等与人格尊严没有直接关系的身份证信息不应该被视为个人隐私。由此可见，目前的主流观点对隐私和隐私权的界定过于极端化，完全没有顾及到社会公众的言论自由、舆论监督权、交易安全乃至其他社会安全等社会价值。 二、个人信息法律保护的确权规则 所谓确权规则，是指对某一对象给予何种权利保护所应该遵循的基本规则，它包括两个方面的内容：一是对于某一对象应该给予何种权利保护，是财产权抑或是人格权保护。二是存在于该对象上的权利应该归属于哪个主体。在民法理论上，我们在确定是否应该给予某种对象（如物、信息等）以何种权利保护时，其方法论应该是根据该对象所体现的具体利益（权利客体）而定，即当某一对象上体现为财产利益时，就应该给予其财产权保护；当某一对象上体现为人格利益时，就应该给予其人格权保护；当某一对象同时体现有人格利益和财产利益时，就应该同时给予其人格权和财产权的双重保护。个人信息的确权规则应该包括两个方面的问题：一方面，应该将个人信息之上的利益赋予谁，或者说，谁是个人信息权利的主体，谁应该享有个人信息所蕴含的利益；另一方面，应该给予个人信息以何种权利保护。 关于应该给予个人信息以何种权利保护的问题，应该根据不同类型的个人信息的价值或功能来确定。泛泛而论，个人信息具有维护主体人格利益和财产利益两个方面的价值或功能，但是，这并不意味着所有个人信息都同时具有这两方面的价值。事实上，由于个人信息的种类繁多，不同类型的个人信息，其价值或功能可能会有所不同。因此，在决定应该给予某一类型的个人信息以何种权利保护时，应该视该类个人信息的具体功能或所体现的价值而定：如果该类个人信息具有维护主体人格尊严的价值-人格利益的话，那么，就应该给予其人格权保护；如果该类个人信息具有维护主体财产利益的价值的话，那么，就应该把它纳入到财产权保护体系之中；如果该类个人信息同时体现人格利益和财产利益，就应该同时给予其人格权和财产权的双重保护。 从目前既有的法律和理论上看，关于个人信息的价值或功能问题，主流的观点是所有的个人信息都具有维护主体人格尊严或人格利益的价值，相应地，理论上把所有个人信息都视为“人格要素”。在此认识下，现行法律和理论基本上只给予个人信息以人格权保护，拒绝给予其财产权保护。事实上，一方面，并非所有的个人信息都与人格尊严有直接关系，都应该给予人格权保护。只有那些与人格尊严有直接关系的个人信息，才应该受到人格权保护；而那些与人格尊严没有直接关系的个人信息是不应该给予人格权保护的。另一方面，工业社会和信息社会的实践已经证明了个人信息是具有商业或财产价值的，只是在工业社会里，受信息技术条件的限制，只有直接个人信息的商业价值才被发现；而间接个人信息的商业价值只有在信息社会才得到承认。因此，在信息社会，由于所有的个人信息都具有潜在的商业价值，故而，都可以给予财产权保护。 关于个人信息的权利归属问题，目前，各国的立法和理论观点存在着难以克服的逻辑障碍。一方面，各国立法和理论上都承认姓名、肖像、声音、隐私等与人格尊严有直接关系的个人信息中体现着人格利益，并因此认为应该给予其人格权保护，由信息主体享有这种人格权。另一方面，各国立法和理论上都承认包括客户个人信息在内的客户名单是收集和控制着它的商家的财产-商业秘密，而不是作为信息主体的个人之财产。按照法律上的某些暗示性规定，商家认为他们应该对其所编排的个人信息享有所有权。这是因为，除了法律关于商业秘密的规定外，欧盟数据库保护指令也规定商家对其收集、编排的个人数据库享有排他性的权利。再者，英国数据保护法关于从数据控制者而不是数据主体那里盗窃个人数据属于犯罪的规定，也为这种观点提供了某种支持。 实际上，无论是从法律、逻辑上，还是从伦理道德上，都应该承认以个人信息上的利益为客体的权利归属于信息主体-个人而非商家。 首先，从法律上讲，个人信息应该属于个人而不是收集、加工个人信息的商家所有。就本质而言，个人对其个人信息（商业价值）的所有权与其对其他物或财产的所有权并没有实质的区别。按照一般学者所认为的，由于信息可以被共享而无法被所有人独家“占有”或“控制”，由此，个人对其个人信息（商业利益）的控制权不像对其他有形财产那样可以随心所欲地支配。其实，这是一个误解：仅仅是事实上而不是法律上的“占有”或“控制”是没有太大的法律意义的，因为，即使是对有形物的占有，法律所要保护的也大多只是经过所有人同意的、或其他法定的占有或控制，即法律意义上的占有或控制基本上都是所有权（或所有人意志）的体现。按照这种逻辑，即使个人信息可以在事实上为他人“占有”或“控制”，但是，那只是事实上的“占有”或“控制”，未经所有权人的同意，即使“占有”他人的个人信息，也不得擅自进行商业性使用，否则，与擅自使用或买卖他人之物一样，也是一种侵权行为。如果认为个人信息不是由个人而是由收集、加工它的商家所有的话，就会面临法律逻辑障碍：现行法律赋予个人姓名权、肖像权、声音权、隐私权等将失去正当性，因为这些权利的对象-姓名、肖像、声音、隐私等都是个人信息。就隐私权来说，由于从概念上讲，隐私权就包含有禁止未经授权对个人数据进行披露和使用的内容，因此，以此概念为基础的法律不仅应该规定个人在观念上对其个人信息具有某种属性的排他权，而且还应该在实际上为其提供一种有效的工具，如对其个人数据的排他性的财产权。为此，有学者认为，由于这些对象被认为是“人格要素”，这些“人格要素”中的人格利益和财产利益是相互依存和不可分开的，所以，人格权被认为是保护个人身份中的商业价值的原始和直接依据。尽管将个人信息商业价值视为人格权的内容可能会面临理论上的障碍，但是，从主体上讲，主体对自己的个人信息享有人格权，自然也应该对其中所蕴涵的商业价值享有支配权-财产权，即两种权利的主体应该是统一的-信息主体。从这种意义上讲，该观点关于个人信息人格权的主体是个人而不是商家的见解，对个人对其个人信息的商业价值享有权利提供了间接依据。实际上，我们保护个人信息，不仅在于它具有真实经济价值，而且还在于其经济价值属于我们个人而不是商家。正如在Edison 诉Edison Polyform Mfg. Co.的法官判决中所认为的那样，如果一个人的名字是他自己的财产，那么，很难理解为何其中的金钱利益就不是他的财产，而应该归属于一个未经许可擅自进行商业性使用的商家。 其次，从逻辑上讲，信息（利益）的所有权应该给予信息主体而不是信息的加工者或编排者。这是因为，与证明信息是由某人加工或编排（compile）相比，更容易证明信息是关于某个人的。如果认为个人信息属于收集、加工或编排它的商家所有的话，那么，将会有许多不同的商家、甚至是政府组织等不同的主体同时对它主张所有权，因为，他们都可能是个人信息的收集者，至少，我们是很难区分出来那个商家是第一个收集、加工或编排个人信息的主体。 最后，就伦理道德意义上讲，只有信息主体而不是其他人控制个人信息才是公平的。个人信息的市场价值属于该个人，而非媒体或社会公众。如果有人未经权利人允许擅自使用他人的个人信息而获得商业利益的话，那么，他就必须像侵占他人动产那样将所获的收益返还给权利人。 可见，现行关于个人信息权利保护的法律制度和有关理论存在着两个方面的问题:一是不加区分地对所有的个人信息一律看待，都给予人格权保护；二是不承认个人信息具有财产价值，尤其是在法律上不承认信息所有人对其个人信息商业价值的支配权，导致这种财产利益事实上成为商家的财产（商业秘密），甚至在理论和法律上将个人信息视为商家的商业秘密，或通过所谓的数据库特殊权利来保护商家对个人信息商业利益的支配。 申言之，就个人信息的权利保护来说，应该根据个人信息的功能或价值而定：如果个人信息具有维护主体人格利益的价值或功能时，应该给予其人格权保护；如果个人信息具有维护主体财产利益的价值时，就应该给予其财产权保护；如果某一个人信息同时兼有维护主体人格利益和财产利益的双重功能，那么，就应该同时给予其人格权和财产权的双重保护。实际上，只有姓名、肖像、声音、隐私等直接个人信息才具有直接的人格利益，故而只有对这类直接个人信息才应该给予人格权保护。在当今的信息时代，所有的个人信息都具有潜在的商业价值，故此，法律应该承认所有个人信息的商业价值，给予信息主体以财产权，以支配其个人信息的商业价值。对于那些直接个人信息，由于其同时具有维护主体人格利益和财产利益的功能，因此，应该给予该类个人信息以人格权和财产权的双重权利保护。 三、个人信息法律保护的现状及其认识基础 从法律所保护的个人信息的内容与范围上看，目前，国际上个人信息保护的立法模式基本上分为三类：一类是狭义的个人信息保护立法或传统立法-仅仅保护姓名、肖像、隐私等部分个人信息的立法，该类立法的主要特点是只对那些对于维护人格尊严有密切关系的直接个人信息给予人格权保护，立法所承认的人格权在本质上属于消极性、防御性、不具有财产内容的权利。这类立法是目前我国和大多数国家与地区所采用的模式。另一类是广义上的个人信息保护立法或新型立法-其保护范围扩大到一般个人信息，以1995年欧盟指令为代表。虽然实行该类立法的国家和地区主要集中在欧洲，但鉴于计算机和网络信息技术的发展和欧盟在国际上的影响力，该类立法有逐渐增多的趋势，目前，包括亚洲的日本、韩国、我国的香港等国家和地区的立法基本上是以欧盟指令为范本。第三类是以美国为代表的立法，该类立法在规制的内容上与第二类差不多，只是在立法模式上不是采取集中统一而是分散式立法的。 从现行个人信息保护立法的哲学基础、政治立场上看，目前的国际立法基本上可以概括为以美国为代表的实用主义和以欧盟为代表的本体主义两种模式。所谓的实用主义立法模式，是指在个人信息保护制度的设计上，以市场和经济发展为其基本价值取向，倾向于利用经济学上的成本-收益分析模式作为其制度和规则取舍的主要参考依据的一类立法。所谓的本体主义模式，是指以基本人权作为个人信息保护的基本价值的立法模式。鉴于欧美地区在世界政治、经济领域内的国际领先地位及其影响力，欧美立法在国际上的影响也将越来越大，在此情况下，可以预见，将有越来越多的国家会学习和借鉴欧美立法。 （一）欧盟的本体主义模式及其认识基础 欧盟指令主要围绕保护的范围、主体的权利、救济方式等内容展开。 从保护的范围上讲，欧盟指令在适用范围上不仅包括全部或部分通过自动方法加工个人数据的活动，而且，还适用于那些虽然不是通过自动方法、但却是或将用于存档的个人数据加工活动。从数据收集、处理的基本规则来看，按照指令，没有合法根据，不得处理个人数据；个人数据仅得用于数据主体同意的目的，或者数据收集时数据主体应该合理知悉的目的；处理敏感个人数据时必须得到数据主体的明确同意；个人数据必须准确，必要时应该更新；数据处理与数据收集目的之间应该具有相关性、合适性；数据主体应该被告知数据处理的目的等方面的信息；数据处理机构应该采取适当的技术和组织安全措施，以防止处理过程中的风险；数据主体有权知悉以下信息：信息处理者的身份，与其有关的数据是否正在被处理的确切消息，如果正在处理，有权知悉处理的目的、数据类型、数据接收者及其类型、数据自动处理的逻辑等；校正、删除和分别处理与指令不符的数据，以及通知接收数据的第三人进行修正、删除和分别处理；在某些情况下，数据主体也可以反对对其数据的处理。 从数据主体所享有的权利上看，指令规定了数据主体的基本权利包括：知情权（对数据加工者或接收者的身份，收集、加工使用的特定环境与的目等方面的信息的知悉权）；进入权（有权在合理的时间内、无需费用的情况下要求数据控制者提供诸如是否有关于自己的个人信息被加工、被加工的信息类型、信息加工的目的、信息将要披露的对象或对象的类型；有权要求以可读的形式获取正在加工的自己个人信息；有修改、删除、阻止任何不符合本指令的数据加工；有权通知其个人信息所披露的第三方有关其个人信息的修正、删除等）；反对权（在数据控制者或数据披露给的第三方基于履行维护公共利益或官方授权职责或为了追求合法目的而加工其个人数据时，有权以同样的理由反对对其个人信息的加工，除非法律有明确的规定；一旦反对的理由成立，不得继续对其个人信息进行加工；有权反对数据控制者或被披露给的第三方基于直接市场目的而加工其个人信息）、不受约束权（有权拒绝接受仅仅根据自动加工诸如工作表现、信用记录可靠性等方面的个人信息所得出的对其具有法律后果或有实质影响的任何决定的约束。）。 对于数据主体的司法救济措施而言，指令要求成员国立法除了规定行政救济措施外，还规定了私法救济措施，使得数据主体在权利受到侵害时可以得到司法救济。据此，任何数据主体有权就一切非法加工个人数据所遭受的损害获得赔偿；除非数据控制者能够证明该损害不是由其引起的或他不应该对此负责。 简言之，欧盟1995年指令的内容可以概括为六项原则：一是合法原则（legitimacy），个人数据仅得为指定的目的而处理；二是终极原则(finality)，即个人数据仅得为指定的、明示的、合法的目的而收集，另行处理的，不得与先前收集之目的相违背。三是透明原则（transparency），即数据处理者应该告知当事人其有关数据被处理的情况。四是合适原则(proportionality)，即收集和处理个人信息时，应该保证个人数据的充分性、相关性和合适性。五是保密和安全原则(confidentiality and security)，即数据收集者和控制者应该采取相应的技术手段和组织措施确保数据处理的保密性和安全性。六是监控原则(control)，即数据保护机构应该对有关数据处理的活动进行监控。 欧盟立法之所以对个人信息采取超强保护态度，是由其基本理念决定的。在政治立场上，欧盟指令是建立在将隐私与个人数据保护问题视为一项基本人权与自由问题的基础上，其理论基础是强大而不可剥夺的个人权利。在此模式下，基本人权对于经济发展和机会选择具有绝对优先地位，其基本出发点是主体拥有控制自己个人信息的自由。在此立场下，主体对自己个人信息的控制权被认为是一种基本权利和自由。 由于欧盟模式的出发点是通过承认个人对其个人信息的控制权、进而实现其维护主体隐私权和人格尊严的价值理念的，在具体制度设计上，对个人信息，尤其是敏感个人信息和可识别个人信息的收集必须得到个人的明示同意，后续的传播、加工、利用业必须在收集之初的目的范围内进行，否则，必须另行取得授权。为了体现其尊重隐私权和人格尊严的理念，该类立法给予了数据主体诸如知情权、进入权、修改权、反对权、删除权、不受约束权等权利。鉴于这些权利是与人格尊严密切相关的，因此，赋予个人的这些权利是不可转让的，即使他们愿意放弃也不行。这些专属于个人的强制性、不可转让性的权利是一种本体论的标志。由此可见，个人信息的收集、加工、传播、利用过程就是作为信息所有人的个人的自由意志的展开和实现的过程。因此，学者们也称该模式为所谓的“信息控制模式”或“选择-进入”（opt-in）模式。 欧盟之所以实行这种模式，也与其文化背景、历史和私法传统有关。由于隐私保护根源于文化，而在欧洲人看来，隐私是一项基本人权，因此，从文化背景上看，欧盟模式采取人格权-传统隐私权模式是可以理解的。从历史上看，在经历第二次世界大战对公民跟踪和监控的恐惧后，欧洲民众更加注重隐私和私生活的安全和保护，为此，要求立法给予个人对其个人信息的控制权。从私法传统上看，欧洲各国，尤其是法国、德国，其私法人格权理论对个人信息保护立法的影响是不可忽视的。 （二）美国的实用主义模式及其认识基础 在美国，关于个人信息保护的立法主要由宪法、制定法、普通法等内容组成。其中，在宪法上，一般认为，第四修正案中有关“人民的人身、住宅、文件和财产不受无理搜查和扣押的权利”的规定是隐私权的宪法渊源。就制定法而言，1970年的公平信用报告法、1974年制定的隐私法和1998年的儿童网上隐私保护法等是有关个人信息保护的重要法律。总体而论，宪法和制定法大部分是针对政府或公共机构滥用个人信息的行为，只有少数是针对诸如金融服务、娱乐、通信服务等私人市场领域内的个人信息利用问题的单独立法。 与宪法、制定法不同的是，在普通法上，关于个人信息的保护，主要是涉及的是私人侵犯隐私权的情形。一般来说，在普通法上是通过侵权法、合同法或财产法来实现保护个人信息的。在传统侵权法上，William Prosser教授将侵犯隐私权的情形归结为公开他人的隐私、侵扰他人生活安宁及私生活、公开扭曲他人形象及窃用他人形象和肖像等四类，该分类也得到了侵权法（第二次）重述（第652条）得承认。 在上述四种情形中，前三种情形属于侵犯人格权的情形，它们都具有一个共同要件：行为的高度冒犯性。其中，前两种属于我国所谓的侵犯隐私的情形，第三种属于侵犯名誉权的情形。与个人信息商业价值有关的侵权情形只有基于商业目的滥用他人名字、形象行为。但是，由于这种基于商业目的滥用他人名字、形象构成侵权必须是将这些名字或形象展现于公共场所用以暗示原告赞成（endorse）被告的产品或服务，因此，商家未经用户同意擅自将其个人信息出售给第三人（如广告商）的行为往往并不能构成普通法上的隐私侵权。在合同法上，对个人信息的保护主要是通过诚实信用原则来实现的。由此，信息披露者向收集者披露特定个人信息，作为对价，信息收集者向披露者支付一定报酬。信息收集者只能在合同约定的范围内使用个人信息，不得超出合同约定的范围擅自使用或向第三人透露、许可使用。至于信息收集者之后的再次使用，尤其是向第三人披露或许可使用的情形，信息所有人的正当利益则无法根据合同获得有效的保护。 另外，在美国，公开权是一种在普通法和制定法上都得到承认的一种权利，它是以个人名字、形象等个人信息为客体的一种财产权。目前，至少有25个州的普通法或制定法承认公开权。不过，这种权利一般只存在于将名字、形象等直接个人信息使用于特定的商品或服务上的情形，以暗示权利人对该商品或服务的支持。由此，一般情况下，以商业目的买卖他人的名字、形象等个人信息很难被认为是侵犯公开权的行为。 最后，在美国，有些法院已经确认了个人对其医疗信息和测谎记录享有财产权；个别州的基因立法也开始承认个人基因信息是财产权。 总体而论，从政治立场上看，在美国实用主义立法模式下，言论自由或信息自由是至关重要的，它被认为是民主和法治的基础。相比之下，隐私虽然也受保护，但从宪法上看，它主要针对政府等公共权力机构的侵权行为，而且，其地位也不如言论自由那么重要。由此，对个人信息的保护并不像它在欧盟那里一样被视为是一种有关主体人格尊严的基本权利和自由。相反，对个人信息的保护是被放在促进电子商务和信息经济发展的理念之下对待的，据此，隐私权被认为是一种非常实在的利益，因此，有关个人信息保护的法律制度构建应该有利于经济的发展。 美国模式之所以强调市场调节在个人信息保护中的作用，在很大程度上也根植于美国特有的历史背景，即对政府的不信任和对市场机制的偏爱。这种观念认为，通过市场力量的非中心化比国家干预将更有助于实现个人自治。这种假设中，国家的强制力量是可怕的，而一个企业的市场强制力是可以通过市场本身的力量来约束的。其结果是，这种分散制的规制模式避免了综合规制方式，使得政府的干预减少到最小限度；它相信，市场本身是可以提供隐私保护的，即如果消费者希望保护隐私，那么，为了赢得消费者的信任，企业将自愿提供隐私保护。 美国模式在具体制度设计上，对个人信息的使用遵循这样的规则：即原则上，只要个人没有明确反对的话，应该允许对个人信息的收集和使用，但是，不能对个人信息进行滥用，以免造成对消费者或个人造成可识别的伤害。如果消费者觉得商家的信息行为不妥当，他/她也可以选择退出，即要求商家不要再收集、使用其个人信息，此后，商家就不能再收集、使用其个人信息了。这种模式实际上是采取了一种间接规制方法，即对公司许诺给予消费者数据特别保护而实际上没有做到的，就视为欺诈或虚假陈述，令其承担相应的法律后果。尽管该模式着眼于经济发展，但它也强调应该尽可能避免对个人信息的滥用，让商家在消费者个人信息的保护中充当友好型的主角。故此，学者们也把这种模式称为“避免伤害”模式或选择退出（opt-out）模式。 （三）我国个人信息私法保护的实践 在我国，有关个人信息的私法保护散见于民法通则、最高法院司法解释等。按照民法通则的规定，公民享有姓名权，有权决定、使用和依照规定改变自己的姓名，禁止他人干涉、盗用、假冒。公民享有肖像权，未经本人同意，不得以营利为目的使用公民的肖像。公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。 同时，司法解释也规定，以营利为目的，未经公民同意利用其肖像做广告、商标、装饰橱窗等，应当认定为侵犯公民肖像权的行为；以侮辱或者恶意丑化的形式使用他人肖像的，可以认定为侵犯名誉权的行为；以书面、口头等形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉权的行为；公民死亡后，其名誉受到侵害，使其配偶、父母、子女或者其他有关人员受到损害的，受害人可以提起诉讼；盗用、假冒他人姓名、名称造成损害的，应当认定侵犯姓名权、名称权的行为；盗用、假冒他人的姓名或名称，以函、电以及其他方式进行欺骗或者愚弄他人，使他人财产、名誉受到损害的，侵权人应当承担民事责任；公民的姓名权、肖像权、名誉权、荣誉权受到侵害，公民要求赔偿的，人民法院可以根据侵权人的过错程度、侵权行为的具体情节、后果和影响确定赔偿责任；侵害他人的姓名权、名称权、肖像权、名誉权、荣誉权的，侵权人除依法赔偿受害人的损失外，其非法所得可予以收缴。 值得一提的是，2001年最高法院专门针对民事侵权精神损害赔偿责任若干问题做出了司法解释。按照该解释，自然人死亡后，其近亲属因他人以侮辱、诽谤、贬损、丑化或者违反社会公共利益、社会公德的其他方式侵害死者姓名、肖像、名誉、荣誉，和非法披露、利用死者隐私，或者以违反社会公共利益、社会公德的其他方式侵害死者隐私而遭受精神痛苦的，向人民法院起诉请求赔偿精神损害的，人民法院应当依法予以受理。因侵权致人精神损害，造成严重后果的，人民法院除判令侵权人承担停止侵害、恢复名誉、消除影响、赔礼道歉等民事责任外，可以根据受害人一方的请求判令其赔偿相应的精神损害抚慰金。 （四）对既有理论与实践的分析与评价 （一）对既有实践的评价 1.对所有个人信息不加区分地一律给予人格权保护。这种做法在大陆法系国家里体现得较为明显。在模式立法下，立法没有认识到不同个人信息的价值和功能不同，而是把所有个人信息都视为“人格要素”。在此认识基础下，所有的个人信息都被视为人格权保护的对象。这种做法和理论观是典型的个人主义，没有考虑到个人信息直接关系到社会公众的知情权、言论自由、舆论监督和社会安全、交易安全等公共利益。按照这种认识论，社会公众的知情权、言论自由、舆论监督和社会安全、交易安全等公共利益将无法实现。 2.立法上拒绝承认（与人格尊严没有直接关系的）个人信息的商业价值是个人的财产，这种立法往往暗示它是商家的财产。在信息时代，“信息就是商品”、“信息就是金钱”，包括个人信息在内的信息交易已经成为一个重要的产业-信息产业，而合法的个人信息商业价值转让不仅符合作为信息所有人的个人之意愿，也具有促进信息流通、电子商务和信息产业健康发展的积极意义。由此，需要从理论和法律上承认个人信息商业价值的独立法律地位，明确其作为信息所有人的私有财产。但是，除了针对与人格尊严有直接关系的某些个人信息的商业性使用的公开权制度外，既有的法律制度和理论基本上不承认个人对其信息，尤其是与人格尊严没有直接关系的个人信息的商业价值享有财产权，甚至既有的商业秘密保护法、欧盟数据库保护指令和英国1998年的个人数据保护法等都视个人信息为商家的财产。这样，几乎所有的商家都把个人信息的商业价值视为自己的财富，由此个人信息的商业价值几乎被商家独占，正是这种立法和理论对个人信息人格利益和财产利益保护态度上的不和谐导致了现实生活中个人信息的非法收集、加工、滥用和隐私侵权现象日益普遍。这样，不仅由于个人信息的商业价值基本上被商家独占而加剧了个人（消费者）和商家之间利益关系的不平衡，有