任丹麗

（東南大學(xué)法學(xué)院，江蘇南京211189）

短短三天，電商巨頭阿里系的菜鳥網(wǎng)絡(luò)（以下簡稱：菜鳥）與國內(nèi)快遞老大順豐速運(yùn)（以下簡稱：順豐）相互關(guān)閉互通數(shù)據(jù)接口的“豐菜之爭”基本落幕。在國家郵政局的干預(yù)下，從2017年6月3日12時起，菜鳥順豐雙方已全面恢復(fù)業(yè)務(wù)合作和數(shù)據(jù)傳輸。據(jù)了解，這是國家郵政局第二次出手解決菜鳥順豐之爭。①參見胡嘉莉：《菜鳥順豐互懟暫停重新合作籌碼是啥》，《中華工商時報》2017年6月5日，第1版?？此茮]有競爭關(guān)系的電商業(yè)和快遞業(yè)，上演愈演愈烈的數(shù)據(jù)之爭，足以說明數(shù)據(jù)在現(xiàn)代社會的價值。然而，他們對用戶數(shù)據(jù)享有何種性質(zhì)的權(quán)利，他們對于數(shù)據(jù)安全負(fù)有怎樣的義務(wù)，用戶作為數(shù)據(jù)主體的權(quán)利如何保障，面對數(shù)據(jù)泄露數(shù)據(jù)主體能夠如何救濟(jì)，這些問題不能隨著“豐菜之爭”的結(jié)束而停止討論。

一、“豐菜之爭”的實質(zhì)是用戶信息控制權(quán)之爭

2017年6月2日，菜鳥率先發(fā)布了《菜鳥關(guān)于順豐暫停物流數(shù)據(jù)接口的聲明》，稱5月31日晚上6點接到順豐發(fā)來的數(shù)據(jù)接口暫停告知；6月1日凌晨，順豐就關(guān)閉了自提柜的數(shù)據(jù)信息回傳；6月1日中午，順豐又進(jìn)一步關(guān)閉了整個淘寶平臺物流信息的回傳。針對菜鳥的這一聲明，順豐方面則給予反駁，稱菜鳥單方面于6月1日零點切斷豐巢（由順豐主導(dǎo)建立的智能快遞柜系統(tǒng)）信息接口，6月1日上午11時，順豐才停止對阿里系平臺的物流詳情推送。順豐并稱菜鳥之所以封殺順豐，背后原因是阿里方面希望順豐放棄使用騰訊云改用阿里云。②菜鳥、順豐兩家公司的核心爭議點在于，雙方是否有超越權(quán)限查詢用戶數(shù)據(jù)的行為，以及誰先關(guān)閉了互通數(shù)據(jù)接口。雙方均指責(zé)對方調(diào)取的用戶信息超過合理使用范圍，存在泄露用戶信息的安全隱患。直到宣布和解，外界仍然不知道兩家誰最先關(guān)閉了互通數(shù)據(jù)接口，以及到底是否涉及用戶個人信息安全。③參見靳麗君：《菜鳥順豐之爭，用戶權(quán)益該如何保障》，《檢察日報》2017年6月8日，第1版。從中可以梳理出兩家的爭議焦點：雙方爭奪的物流信息是什么；企業(yè)是否有權(quán)收集這些來自用戶的信息；企業(yè)是否有權(quán)直接獲取由其他平臺收集的個人信息。

（一）個人信息與個人數(shù)據(jù)在內(nèi)容層面可以通用

按照《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱：《網(wǎng)安法》）第76條第4項和第5項的規(guī)定，網(wǎng)絡(luò)數(shù)據(jù)與個人信息是表里關(guān)系。個人信息（如筆者于本文中論及的因使用快遞服務(wù)而填寫的收／寄件人的姓名、電話和地址）被服務(wù)商收集后以電子數(shù)據(jù)的形式存儲在服務(wù)器上，甚至被其他主體獲取，其貌似“數(shù)據(jù)”實際強(qiáng)調(diào)的是形式，“信息”強(qiáng)調(diào)的是內(nèi)容；立法者規(guī)范的個人信息和個人數(shù)據(jù)都是以內(nèi)容為實質(zhì)對象的，可以等同。④《信息安全技術(shù)—個人信息保護(hù)指南》（GB／Z 28828-2012）是指我國首個個人信息保護(hù)的國家標(biāo)準(zhǔn)。該指南3.2規(guī)定：“個人信息（personal information）是可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨(dú)或通過與其他信息結(jié)合識別該特定自然人的計算機(jī)數(shù)據(jù)?！边@一規(guī)定也是將數(shù)據(jù)與信息互為表里使用和對待的。鑒于我國相關(guān)規(guī)范性文件多采用“信息”的稱謂，除國外立法中的data翻譯為“數(shù)據(jù)”，以及涉及大數(shù)據(jù)交易的論述之外，筆者于本文中統(tǒng)一表述為“信息”。

在國際立法層面，也存在個人信息和個人數(shù)據(jù)混用的情況。有的使用“data（數(shù)據(jù)）”，如歐盟1995年的《個人數(shù)據(jù)保護(hù)指令》（Directive 95／46／EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data）及2016年4月發(fā)布的《一般數(shù)據(jù)保護(hù)條例》（The EU General Data Protection Regulation），⑤歐盟《個人數(shù)據(jù)保護(hù)指令》（95／46／EC）第2條規(guī)定：“個人數(shù)據(jù)指與一個身份已確定或身份可確定的自然人（數(shù)據(jù)主體）相關(guān)的任何信息；身份可確定的人是指其身份可以直接或間接，特別是通過身份證件號碼或一個或多個與其身體、生理、精神、經(jīng)濟(jì)、文化或社會身份有關(guān)的特殊因素來確定的人?！保鄣拢軨hristoper Kuner：《歐洲數(shù)據(jù)保護(hù)法——公司遵守與管制》（第二版），曠野、楊會永等譯，法律出版社2008年版，第97-98頁。英國、德國、新加坡、馬來西亞等國家都制定有《個人數(shù)據(jù)保護(hù)法》。有的國家使用“information”（信息）的概念，如加拿大《個人信息保護(hù)和電子文件法》（Personal Information Protection and Electronic Documents Act）等。在美國有關(guān)立法中，“信息”的外延明顯大于“數(shù)據(jù)”。美國《統(tǒng)一計算機(jī)信息交易法》（UCITA）第102條a（35）和a（10）規(guī)定的“信息”是指數(shù)據(jù)、文本、圖像、聲音、計算機(jī)集成電路布局平面圖作品、或計算機(jī)程序及上述對象的集合或匯編；“計算機(jī)信息”是指以電子形式存在的信息。⑥參見周忠海主編：《電子商務(wù)法導(dǎo)論》，北京郵電大學(xué)出版社2000年版，第392-399頁。

（二）網(wǎng)絡(luò)平臺需依法獲取個人信息

筆者于本文中提到的法律和指南，都對個人信息的獲取和使用進(jìn)行了明確規(guī)定（如《網(wǎng)安法》第22條第3款）。個人信息作為民事權(quán)利客體正式規(guī)定在《中華人民共和國民法總則》（以下簡稱：《民法總則》）（第五章）第111條：“自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！薄盀榱诉m應(yīng)互聯(lián)網(wǎng)和大數(shù)據(jù)時代發(fā)展的需要”，⑦李建國：《關(guān)于〈中華人民共和國民法總則（草案）〉的說明——2017年3月8日在第十二屆全國人民代表大會第五次會議上》，《人民日報》2017年3月9日，第5版。《民法總則》還在第127條對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財產(chǎn)的保護(hù)進(jìn)行了原則性規(guī)定。這一規(guī)定較為原則，主要是考慮到數(shù)據(jù)、網(wǎng)絡(luò)虛擬財產(chǎn)的種類的復(fù)雜性和不斷發(fā)展變化的特征。⑧參見張鳴起：《〈中華人民共和國民法總則〉的制定》，《中國法學(xué)》2017年第2期。雖然《民法總則》在規(guī)范網(wǎng)絡(luò)平臺獲取個人信息的程序方面不如《網(wǎng)安法》第41條規(guī)定得詳細(xì)，⑨《網(wǎng)安法》第41條規(guī)定：“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息?！钡瞧鋱猿謴?qiáng)調(diào)網(wǎng)絡(luò)平臺收集、使用、加工、傳輸個人信息的合法性。網(wǎng)絡(luò)平臺獲取個人信息需要經(jīng)過信息主體的同意，同意的方式主要表現(xiàn)為隱私協(xié)議。按照《網(wǎng)安法》第42條的規(guī)定，除了合法性要求以外，信息主體還可以依照隱私協(xié)議的約定行使相應(yīng)的債權(quán)。未經(jīng)信息主體的同意擅自處分個人信息的，也屬于違法行為。⑩《網(wǎng)安法》第42條規(guī)定：“網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告?！笨梢姡権S和菜鳥雙方互相指責(zé)使用對方系統(tǒng)中的個人信息，就有可能都在侵害信息主體的權(quán)利。即使雙方存在合作關(guān)系，雙方能否對存儲在各自服務(wù)器上的個人信息自由支配，也應(yīng)取決于個人信息上存在的權(quán)利或利益的性質(zhì)，以及相關(guān)主體的權(quán)利或利益的內(nèi)容。

二、個人信息控制權(quán)的性質(zhì)因人而異

據(jù)公開資料顯示，菜鳥是阿里巴巴集團(tuán)旗下的物流數(shù)據(jù)平臺，旨在進(jìn)行數(shù)據(jù)整合，對接買賣雙方。買家在淘寶下單發(fā)貨后，菜鳥向順豐等快遞公司提供買家手機(jī)號碼等信息，快遞公司則向菜鳥回傳物流信息。這樣，在兩家數(shù)據(jù)共享的基礎(chǔ)上，賣家和買家都能夠方便地在電商平臺上追蹤包裹軌跡。①參 見前注③，靳麗君文。從中不難發(fā)現(xiàn)，個人信息的控制者除了信息主體以外，還可能是信息的處理者和信息的控制者。②按照歐盟《一般數(shù)據(jù)保護(hù)條例》的規(guī)定，與數(shù)據(jù)相關(guān)的主體包括數(shù)據(jù)主體（data subject）、數(shù)據(jù)控制者（data controller）和數(shù)據(jù)處理者（data processor）。參見田新月：《歐盟〈一般數(shù)據(jù)保護(hù)條例〉新規(guī)則評析》，載肖永平主編：《武漢大學(xué)法學(xué)評論》（總第十九卷），武漢大學(xué)出版社2016年版，第467-469頁。

（一）信息主體的控制權(quán)是人格權(quán)

個人信息來源于與自然人密切相關(guān)的信息。以美國為代表的發(fā)達(dá)國家，率先采取隱私權(quán)保護(hù)模式。在外延上，個人信息顯然比隱私更為廣泛，包括任何與主體的身體特征或身份有關(guān)的信息，諸如姓名、出生日期、教育背景、職業(yè)、身份證件號碼、個人身體特征、指紋、婚姻、醫(yī)療及病例、犯罪前科、個人及家庭財務(wù)情況、家庭住址、通信聯(lián)絡(luò)方式等信息或數(shù)據(jù)。用保護(hù)隱私的方法來保護(hù)個人信息，尚存在性質(zhì)、內(nèi)容、客體范圍、保護(hù)方式等方面的差異。

多數(shù)學(xué)者認(rèn)為個人信息權(quán)屬于隱私權(quán)或者人格權(quán)。在網(wǎng)絡(luò)空間中，信息即是自然人的存在形式，自然人即是信息，相關(guān)的信息即可表征自然人。③參 見譚建初、李政輝：《論互聯(lián)網(wǎng)中的隱私權(quán)：由一則案例談起》，《河北法學(xué)》2001年第2期。基于個人信息與主體如此密不可分的聯(lián)系，個人信息權(quán)也很自然地被劃入人格權(quán)的范疇。少數(shù)學(xué)者認(rèn)為個人信息權(quán)還包括財產(chǎn)權(quán)。齊愛民教授從人格權(quán)和財產(chǎn)權(quán)的兩個角度，將個人信息視為新型人格權(quán)客體。④參 見齊愛民：《私法視野下的信息》，重慶大學(xué)出版社2012年版，第1-5頁。劉德良教授主張個人信息財產(chǎn)權(quán)是主體對其個人信息的商業(yè)價值進(jìn)行支配的一種新型財產(chǎn)權(quán)。⑤參 見劉德良：《個人信息的財產(chǎn)權(quán)保護(hù)》，《法學(xué)研究》2007年第3期。還有的學(xué)者支持個人信息財產(chǎn)化的觀點。⑥參見洪海林：《個人信息財產(chǎn)化及其法律規(guī)制研究》，《四川大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2006年第5期。可見，個人信息權(quán)即使被納入人格權(quán)的范疇，也是具有鮮明的財產(chǎn)利益的人格權(quán)，這是《民法總則》在是否直接規(guī)定個人信息權(quán)問題上一直搖擺不定的原因。也正因為如此，在我國，個人信息權(quán)沒有被我國《民法總則》規(guī)定為法定的權(quán)利類型，立法者只能將個人信息作為一種人格利益，在“民事權(quán)利”一節(jié)中規(guī)定對個人信息的法律保護(hù)，卻無法明確規(guī)定個人信息權(quán)的內(nèi)容、性質(zhì)等。事實上，部分人格要素具有商業(yè)利益并且可以商品化使用，并非始于個人信息，這些利益的存在并沒有改變?nèi)烁駲?quán)的本質(zhì)屬性。

1.人格權(quán)商品化并非始于個人信息

商品化人格權(quán)一方面是由人格權(quán)發(fā)展而來，具有人的尊嚴(yán)價值，另一方面又在市場經(jīng)濟(jì)條件下具有經(jīng)濟(jì)價值屬性。將其放在傳統(tǒng)人格權(quán)或是財產(chǎn)權(quán)中都不能完全反映其所具有的特質(zhì)，也不能合理解決其所引爭議問題，由此帶來了對傳統(tǒng)人格權(quán)、財產(chǎn)權(quán)理論的挑戰(zhàn)。

人格權(quán)的經(jīng)濟(jì)內(nèi)涵是市場經(jīng)濟(jì)下顯現(xiàn)出來的客觀事實，不是學(xué)者們邏輯推演出的新命題。只是囿于一定時期思想觀念或公序良俗的要求，只能謹(jǐn)慎地承認(rèn)一定范圍內(nèi)的人格權(quán)具有經(jīng)濟(jì)利益。一般而言，越是接近于人格利益核心部分，越難為商業(yè)所利用。例如生命、健康、身體等物質(zhì)性人格權(quán)客體作為商品很難為人們所接受，而姓名、肖像等標(biāo)表型精神人格權(quán)客體以及信用等部分尊嚴(yán)型精神人格權(quán)客體的商品化則更容易被大眾認(rèn)可。當(dāng)然，即便是物質(zhì)性人格權(quán)的客體，在與權(quán)利主體發(fā)生分離時也有可能成為財產(chǎn)，例如捐獻(xiàn)的血液，已取出的可用于移植的器官、精子等都可以標(biāo)價出售（基于倫理考慮限制此類交易另當(dāng)別論）。由此可見，從人格到財產(chǎn)具有相當(dāng)大的轉(zhuǎn)化空間，未來實踐的發(fā)展?fàn)顩r并非現(xiàn)在的人們所能準(zhǔn)確預(yù)測。就目前而言，姓名、肖像、聲音、名稱等標(biāo)表型精神人格權(quán)具有經(jīng)濟(jì)利益并且可以被商品化，這點已經(jīng)成為共識。

2.信息主體可以通過許可使用取得報酬

對于匿名數(shù)據(jù)，數(shù)據(jù)庫的制作者可能享有著作權(quán)，可以按照著作權(quán)法的相關(guān)規(guī)定實現(xiàn)數(shù)據(jù)交易。⑦數(shù)據(jù)交易在中國已成現(xiàn)實。按照貴陽、武漢、北京等大數(shù)據(jù)交易中心的規(guī)則，交易的數(shù)據(jù)基本上都是“清洗”后的匿名數(shù)據(jù)。對于個人信息，其鮮明的人格色彩決定了對其交易的規(guī)則應(yīng)具有特殊性。有學(xué)者主張為了更加充分地開發(fā)人格權(quán)中的經(jīng)濟(jì)利益，應(yīng)該允許人格權(quán)的有限轉(zhuǎn)讓，即通過法律明確規(guī)定幾種具體的可商品化人格權(quán)的經(jīng)濟(jì)利益可以轉(zhuǎn)讓。⑧參見李錫鶴：《民法哲學(xué)論稿》，復(fù)旦大學(xué)出版社2000年版，第182頁。然而，商品化人格權(quán)本質(zhì)上仍是人格權(quán)，其附屬的經(jīng)濟(jì)利益與財產(chǎn)權(quán)中蘊(yùn)含的經(jīng)濟(jì)利益是不同的。人格權(quán)與人作為主體的尊嚴(yán)價值息息相關(guān)，轉(zhuǎn)讓意味著一項權(quán)利由一方完全移轉(zhuǎn)于另一方，受讓方將取得對權(quán)利的完全支配，出讓方將喪失對權(quán)利的所有控制。如果真的允許權(quán)利人將自己的某一項人格權(quán)完全移轉(zhuǎn)于他方，而自己喪失對該項權(quán)利的控制，即使該控制只限于商業(yè)利用方面，也很難想象該出讓人還能繼續(xù)保持其作為人的完整性。所以，允許人格權(quán)的轉(zhuǎn)讓，即使只是少數(shù)標(biāo)表型人格權(quán)客體的有限轉(zhuǎn)讓或者只是某項人格權(quán)商業(yè)化利用權(quán)能的轉(zhuǎn)讓，都與人的倫理性相違背，都會妨害人格權(quán)保障人格獨(dú)立、自由、平等和尊嚴(yán)的終極目標(biāo)。因此，將商品化人格權(quán)許可給他人使用，只能是部分人格權(quán)商業(yè)利用權(quán)能的轉(zhuǎn)移，并非人格要素永久性地與權(quán)利主體相分離，不能稱之為轉(zhuǎn)讓。

商品化人格權(quán)中的經(jīng)濟(jì)利益經(jīng)由他人得以實現(xiàn)，可以借鑒知識產(chǎn)權(quán)法建立商品化人格權(quán)的許可使用制度，賦予權(quán)利人許可他人商業(yè)化使用其人格標(biāo)識的權(quán)利。許可使用關(guān)系建立以后，人格權(quán)人并不喪失某項人格權(quán)或人格權(quán)中的某項權(quán)能。商品化人格權(quán)的許可也可分為普通許可、排他許可和獨(dú)占許可---普通使用許可合同的被許可人經(jīng)人格權(quán)權(quán)利人明確授權(quán)，可以提起訴訟；排他使用許可合同的被許可人可以和人格權(quán)人共同起訴，也可以在人格權(quán)權(quán)利人不起訴的情形下，自行提起訴訟；獨(dú)占使用許可合同的被許可人是適格原告，可以以自己的名義提起訴訟。人格權(quán)權(quán)利人和商家可以根據(jù)不同情況和需要簽訂某一類型的許可合同，這樣就解決了學(xué)者們所爭議的應(yīng)否賦予授權(quán)使用合同“物權(quán)性”以使被許可人得以對抗第三方侵權(quán)者的問題。

報酬請求權(quán)實現(xiàn)的障礙在于，從現(xiàn)有數(shù)據(jù)保護(hù)立法的具體內(nèi)容來看，無一例外都沒有規(guī)定信息主體請求信息收集者支付報酬的權(quán)利。⑨參見藍(lán)藍(lán)：《網(wǎng)絡(luò)用戶個人數(shù)據(jù)權(quán)利的性質(zhì)探析》，載張平主編：《網(wǎng)絡(luò)法律評論》（總第16卷），北京大學(xué)出版社2012年版，第8頁。這使忽略個人信息財產(chǎn)性利益的危害，走向了無視個人信息人格屬性的另一個極端。目前國內(nèi)外已經(jīng)有一些學(xué)者主張基于“信息有價”的社會觀念、全面保護(hù)網(wǎng)絡(luò)用戶利益及促進(jìn)信息流動等需要，應(yīng)當(dāng)將信息主體的報酬支付請求權(quán)在法律中作出規(guī)定。⑩參見 Catherine M.Valerio Barrad，Genetic Information and Property Theory，87 Northwestern University Law Review1068，1070（1992）；Paul M.Schwartz，Property，Privacy and Personal Data，87 Northwestern University Law Review 2069，2071（1992）；齊愛民：《個人資料保護(hù)法原理及其跨國流通法律問題研究》，武漢大學(xué)出版社2004年版，第136-137頁。齊愛民教授給“個人信息權(quán)”下的定義就是，依法對其個人信息所享有的支配、控制并排除他人侵害的權(quán)利，其權(quán)利內(nèi)容具體包括信息決定權(quán)、信息保密權(quán)、信息查詢權(quán)、信息更正權(quán)、信息封鎖權(quán)、信息刪除權(quán)和報酬請求權(quán)。①參見齊愛民：《信息法原論——信息法的產(chǎn)生與體系化》，武漢大學(xué)出版社2010年版，第81-85頁。

（二）信息處理者的控制權(quán)可能是著作權(quán)

按照貴陽大數(shù)據(jù)交易所負(fù)責(zé)人的介紹，該所交易的是基于底層數(shù)據(jù)，通過數(shù)據(jù)的清洗、分析、建模、可視化后的數(shù)據(jù)，并不直接交易底層數(shù)據(jù)。在進(jìn)入平臺交易前，數(shù)據(jù)都要經(jīng)過脫敏，抹去與隱私相關(guān)的信息，保障普通人的隱私。該交易所還嚴(yán)格控制交易所的會員準(zhǔn)入制度，申請加入交易所的會員必須接受嚴(yán)格的資質(zhì)及信譽(yù)審查。此外，數(shù)據(jù)買家也必須遵守交易所制定的保護(hù)條例，不得私自轉(zhuǎn)售、泄露“數(shù)據(jù)產(chǎn)品”，以確保數(shù)據(jù)不被濫用。②參見邱玥：《大數(shù)據(jù)時代的數(shù)據(jù)買賣》，《光明日報》2015年4月23日，第8版。基于市場需求，數(shù)據(jù)處理者通過分析和建模形成的“數(shù)據(jù)產(chǎn)品”，因為凝聚了較多的智力勞動，可以將該數(shù)據(jù)產(chǎn)品歸入數(shù)據(jù)庫作品而形成著作權(quán)。數(shù)據(jù)買家不得私自轉(zhuǎn)售或泄露的原因也在于此。

美國主流學(xué)說認(rèn)為，“數(shù)據(jù)庫”是指經(jīng)系統(tǒng)地安排，以現(xiàn)有的或?qū)黹_發(fā)的任何形式體現(xiàn)出來的作品或其他材料的集合。③See Database Investment and Intellectual Property Antipiracy Act of 1996，H.R.3531，104th Cong，2d Sess.歐盟官方認(rèn)為，數(shù)據(jù)庫是將獨(dú)立的作品、資料和其他材料進(jìn)行系統(tǒng)的或經(jīng)有條理的方式整理過，并可用電子或其他方法單獨(dú)訪問的數(shù)據(jù)集合。④See European Union.Directive96／9／ECof the European Parliament and of Council of 11 March 1996 on the Legal Protection of Databases.Offical Journal of the European Union 27（3）：20-28.《伯爾尼公約》《與貿(mào)易有關(guān)的知識產(chǎn)權(quán)協(xié)議》等均認(rèn)可數(shù)據(jù)庫的著作權(quán)，從而使之成為主流的保護(hù)模式。⑤參見董炳和：《數(shù)據(jù)庫的法律地位》，載鄭成思主編：《知識產(chǎn)權(quán)文叢（第一卷）》，中國政法大學(xué)出版社1999年版，第316頁。數(shù)據(jù)庫是否具有獨(dú)創(chuàng)性，可能要視具體的數(shù)據(jù)庫整理、集合的方法而定，不過大多數(shù)國家的著作權(quán)立法一般都要求“作品具有最低限度的智力創(chuàng)造水平”。從海量底層數(shù)據(jù)中篩選出買方需要的數(shù)據(jù)產(chǎn)品，顯然符合獨(dú)創(chuàng)性的要求。從“豐菜大戰(zhàn)”公開的細(xì)節(jié)來看，菜鳥和順豐服務(wù)器上的個人信息沒有被“清洗”過，且尚未經(jīng)過整理形成數(shù)據(jù)庫，因此雙方對于個人信息的控制權(quán)不屬于著作權(quán)。

（三）信息控制者的權(quán)利是占有利益

按照歐盟《一般數(shù)據(jù)保護(hù)條例》的分類，信息控制者是在狹義上使用的，不包括能夠“控制”信息的信息主體和信息處理者，而是有權(quán)決定收集、使用、處理個人信息的目的和手段的自然人、組織和政府機(jī)構(gòu)等。信息控制者是個人信息保護(hù)法重點關(guān)注的對象，承擔(dān)著最主要部分的保護(hù)個人信息義務(wù)。順豐和菜鳥即是典型的信息控制者。有關(guān)信息控制者的權(quán)利性質(zhì)，除了知識產(chǎn)權(quán)以外，很多人贊同所有權(quán)說。然而，根源于人格權(quán)的個人信息，在適用所有權(quán)規(guī)則時存在如下幾個問題。

1.個人信息歸入“無體物”范疇存在難度

為適應(yīng)物之形態(tài)的多樣化，我國《物權(quán)法》調(diào)整的“物”有開放性，它并沒有將物局限為有體物。然而，正如網(wǎng)絡(luò)虛擬財產(chǎn)成為“物”遭遇到的種種障礙那樣，個人信息適用物權(quán)法也存在不小的難度。

一般認(rèn)為，作為物權(quán)法意義上的物，是指存在于人身之外、能夠為人力所支配，并且滿足人類某種需要的物體。⑥參見王利明：《我國民法典重大疑難問題之研究》，法律出版社2006年版，第274頁。廣義的物是指任何能夠被人力所支配的有體的和無體的物。⑦參見費(fèi)安玲、劉智慧、高富平：《物權(quán)法》，高等教育出版社2011年版，第5頁。個人信息是存在于服務(wù)器上的字符。論證字符是否屬于物并無意義，這種論證無非是虛擬財產(chǎn)是否為物的再一次重復(fù)，研究者間很難得出一致的結(jié)論。近年來關(guān)于網(wǎng)絡(luò)游戲虛擬財產(chǎn)糾紛的案例顯示，法院對網(wǎng)絡(luò)游戲虛擬財產(chǎn)屬性的觀點也存在差異，支持物權(quán)說者有之，造成債權(quán)說者有之，同意無形財產(chǎn)說者有之，甚至有些法院完全采取回避態(tài)度。⑧在被社會稱為我國網(wǎng)絡(luò)游戲虛擬財產(chǎn)糾紛第一案的李宏晨訴北極冰案中，一審法院肯定了網(wǎng)絡(luò)游戲虛擬財產(chǎn)的財產(chǎn)屬性，但沒有說明理由。參見北京市朝陽區(qū)人民法院（2003）朝民初字第17848號民事判決書。在常萱訴北京蟬童軟件科技有限公司侵權(quán)糾紛案中，法院盡管受理此案，但最終法院以網(wǎng)絡(luò)游戲虛擬財產(chǎn)無相關(guān)法律規(guī)定為由駁回常萱的訴訟請求（參見中國審判案例要覽［2004年民事審判案例卷］，中國人民大學(xué)出版社、人民法院出版社2005年版，第304-307頁）。在盧某訴某公司網(wǎng)絡(luò)服務(wù)合同糾紛案中，法院認(rèn)為網(wǎng)絡(luò)游戲虛擬財產(chǎn)適用善意取得制度，間接承認(rèn)了網(wǎng)絡(luò)游戲虛擬財產(chǎn)屬于物權(quán)客體。參見上海市浦東新區(qū)人民法院（2010）浦民一（民）初字第5459號民事判決書；上海市第一中級人民法院（2010）滬一中民一（民）終字第1480號民事判決書。個人信息的價值在于字符中所包含的信息，字符本身并無價值。

2.所有權(quán)的權(quán)能并不充分

目前學(xué)界關(guān)于物權(quán)的諸多定義均突出了物權(quán)的直接支配性，我國《物權(quán)法》第2條第2款規(guī)定：“本法所稱的物權(quán)，是指權(quán)利人依法對特定物享有直接支配和排他的權(quán)利。”可見，“支配性”被公認(rèn)為是物權(quán)最本質(zhì)的屬性。然而，直接支配性只是絕對權(quán)的特征，非物權(quán)所獨(dú)有，人格權(quán)也具有直接支配性。因此，從信息控制者對個人信息的直接支配力出發(fā)并不能得出這種權(quán)利就是物權(quán)的結(jié)論。作為最充分的物權(quán)，所有權(quán)包含占有、使用、收益和處分等權(quán)能。其中的處分權(quán)能具有終局性，即完成了所有權(quán)人的變更，原所有權(quán)人不再對物享有所有權(quán)。這種物權(quán)的基本原理同樣不適合信息控制權(quán)。個人信息由于與個人的生活密切相關(guān)，即使用于商業(yè)，也不可能完全脫離個人而獨(dú)立存在。無論其他主體對個人信息的獲取方式與知悉程度如何，都不能改變個人數(shù)據(jù)的最終歸屬。對于匿名信息，信息處理者也不可能僅僅提供給一個使用者，信息在不同場合和用途中的反復(fù)利用才是信息交易的真正意義。因此，所謂的“個人信息所有權(quán)”不可能包含有“處分”這一所有權(quán)特有的權(quán)能。

3.信息控制權(quán)的實質(zhì)是對信息的占有狀態(tài)

按照物權(quán)法定原則，信息控制者對信息的權(quán)利也不可能是用益物權(quán)和擔(dān)保物權(quán)。有償取得個人信息或匿名信息的信息控制者，是信息產(chǎn)業(yè)鏈的終端，不但享有約定的信息權(quán)利，還承擔(dān)保護(hù)信息不受侵犯、保證信息不被泄露的義務(wù)。無償取得個人信息的信息控制者，其行為更是各國個人信息保護(hù)立法的重點。與20年前實施的歐盟《個人數(shù)據(jù)保護(hù)指令》，歐盟《一般數(shù)據(jù)保護(hù)條例》加重了數(shù)據(jù)控制者的法定義務(wù)。⑨歐盟《一般數(shù)據(jù)保護(hù)條例》增加了透明原則、最少夠用原則等一般性保護(hù)原則。該條例第5條規(guī)定：“處理個人數(shù)據(jù)應(yīng)當(dāng)：（1）合法、正當(dāng)、透明；（2）處理數(shù)據(jù)的目的是有限的；（3）僅處理為達(dá)到目的的最少數(shù)據(jù)；（4）確保數(shù)據(jù)準(zhǔn)確、時新；（5）儲存數(shù)據(jù)的期限不得長于為達(dá)到目的所需的時間；（6）采取技術(shù)和管理措施以保護(hù)數(shù)據(jù)的安全；（7）數(shù)據(jù)控制者有責(zé)任并應(yīng)能夠證明其做到了以上幾點?！痹摋l例第6條規(guī)定：“至少滿足以下中的一項，處理數(shù)據(jù)才是合法的：（1）數(shù)據(jù)主體同意了為特定目的處理其數(shù)據(jù)；（2）處理數(shù)據(jù)是為簽訂或履行合同所需的；（3）處理數(shù)據(jù)是為遵守法定義務(wù)所需的；（4）處理數(shù)據(jù)是為了保護(hù)數(shù)據(jù)主體或其他自然人的至關(guān)重要的利益；（5）處理數(shù)據(jù)是為了公共利益或行使政府授予的權(quán)力；（6）處理數(shù)據(jù)是為追求數(shù)據(jù)控制者的合理利益，但不得損害數(shù)據(jù)主體的利益?！痹谄降鹊钠跫s關(guān)系中加重一方的義務(wù)，反映出大數(shù)據(jù)交易背景下雙方實質(zhì)不平等狀況的加劇。

將信息的性質(zhì)認(rèn)定為物，或者通過特別立法將信息控制者對信息的債權(quán)解釋為物權(quán)，其本質(zhì)都是承認(rèn)信息控制者對信息權(quán)利的占有狀態(tài)，不能反推得出信息權(quán)利就是物權(quán)的結(jié)論。我國《物權(quán)法》第245條第1款規(guī)定：“占有的不動產(chǎn)或者動產(chǎn)被侵占的，占有人有權(quán)請求返還原物；對妨害占有的行為，占有人有權(quán)請求排除妨害或者消除危險；因侵占或者妨害造成損害的，占有人有權(quán)請求損害賠償。”物權(quán)法對占有的保護(hù)，體現(xiàn)了法律對占有人意志的尊重，禁止他人任意剝奪占有人對物的支配。

從權(quán)利配置的角度而言，保護(hù)信息控制者的占有狀態(tài)而非賦予其物權(quán)，與信息保護(hù)的立法趨勢一致。

三、各方主體的信息利益亟待平衡

雖然“信息所有權(quán)”側(cè)重于個人信息權(quán)利人的保障，但是這種觀點和保護(hù)路徑在權(quán)利屬性、權(quán)利內(nèi)容和權(quán)利主體方面存在不嚴(yán)謹(jǐn)、不周延和不準(zhǔn)確的問題，應(yīng)當(dāng)用“信息利益”加以替代?！靶畔⒗妗笔且粋€泛指所有相關(guān)主體在數(shù)據(jù)上享有的權(quán)利和權(quán)益的統(tǒng)稱。

（一）重視信息主體人格權(quán)中的財產(chǎn)性利益

西方國家或者通過擴(kuò)大解釋隱私權(quán)對個人信息提供法律保護(hù)（如美國），或者制定單行法綜合利用行政、民事、刑事手段全面保護(hù)個人信息（如法國、丹麥、英國）。聯(lián)合國、歐盟、經(jīng)濟(jì)合作與發(fā)展組織等國際組織也紛紛圍繞隱私權(quán)的保護(hù)制定個人信息保護(hù)的國際條約和指南。⑩參 見孫平：《政府巨型數(shù)據(jù)庫時代的公民隱私權(quán)保護(hù)》，《法學(xué)》2007年第7期。在全球范圍內(nèi)，將個人信息作為一種獨(dú)立的權(quán)利是現(xiàn)代社會發(fā)展的趨勢，美國甚至有法官將其上升到基本權(quán)利的高

度。①S ee Whalen v.Roe，429 U.S.589（1977）.

考慮到個人信息權(quán)利中的支付報酬請求權(quán)等不同于傳統(tǒng)人格權(quán)的內(nèi)容，采人格權(quán)觀點的學(xué)者多數(shù)傾向于專門設(shè)立一項人格權(quán)類型，典型的提法如“信息隱私權(quán)”“資料權(quán)”等。然而，將人格權(quán)所承載的利益二元化，會導(dǎo)致民事權(quán)利體系內(nèi)部的混亂，不符合我國立法傳統(tǒng)?！度珖嗣翊泶髸?wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（以下簡稱：《決定》）第1條將個人信息權(quán)與隱私權(quán)相區(qū)分，并在第9條中明確個人信息權(quán)屬于我國《侵權(quán)責(zé)任法》的保護(hù)范疇。②《決定》第1條規(guī)定：“國家保護(hù)能夠識別公民個人身份和涉及公民個人隱私的電子信息。任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。”《決定》第9條規(guī)定：“任何組織和個人對竊取或者以其他非法方式獲取、出售或者非法向他人提供公民個人電子信息的違法犯罪行為以及其他網(wǎng)絡(luò)信息違法犯罪行為，有權(quán)向有關(guān)主管部門舉報、控告；接到舉報、控告的部門應(yīng)當(dāng)依法及時處理。被侵權(quán)人可以依法提起訴訟?！边@一規(guī)制行為的保護(hù)模式同樣體現(xiàn)在《民法總則》中，《民法總則》僅僅承認(rèn)“個人信息”而非“個人信息權(quán)”，同時通過一個一般條款規(guī)定“人格法益”，即我國《民法總則》第109條規(guī)定：“自然人的人身自由、人格尊嚴(yán)受法律保護(hù)。”照此規(guī)定，民法總則對個人信息將采取“隱私權(quán)＋人格法益”的保護(hù)模式---對于屬于隱私范疇的個人信息，信息主體享有隱私權(quán)；對于隱私以外的個人信息，因其屬于“人身自由”的范圍，信息主體享有信息利益，包括信息自決權(quán)、③關(guān)于信息自決權(quán)，德國憲法法院在1983年作出的判決中提出了保護(hù)自然人的個人信息自決權(quán)。參見［德］迪特爾·梅迪庫斯：《德國民法總論》，邵建東譯，法律出版社2001年版，第801頁。信息查詢異議權(quán)、④參見《歐盟數(shù)據(jù)保護(hù)指令》第12條。陳飛等譯：《個人數(shù)據(jù)保護(hù)：歐盟指令及成員國法律、經(jīng)合組織指導(dǎo)方針》，法律出版社2006年版，第5-6頁。保護(hù)信息完整權(quán)、⑤參 見法國2004年《數(shù)據(jù)處理、數(shù)據(jù)文件及個人自由法》第40條和第41條。參見上注，陳飛等譯書，第194-195頁。信息清除權(quán)等。⑥信息清除權(quán)又稱數(shù)據(jù)清除權(quán)、被遺忘權(quán)，是歐盟《一般數(shù)據(jù)保護(hù)條例》為信息主體新增的權(quán)利類型。參見高富平主編：《個人數(shù)據(jù)保護(hù)和利用國際規(guī)則：源流與趨勢》，法律出版社2016年版，第130頁。借鑒域外立法將信息主體的利益具體化，有助于從根源上維護(hù)信息利用的合法秩序。

（二）信息控制者的信息利益應(yīng)受到嚴(yán)格限制

信息控制者的權(quán)利限制是所有保護(hù)個人信息法律文件的重點。從最新的歐盟《一般數(shù)據(jù)保護(hù)條例》可以看出，對信息控制人的權(quán)利限制有增無減。與1995年歐盟《個人數(shù)據(jù)保護(hù)指令》相比，2016年歐盟《一般數(shù)據(jù)保護(hù)條例》通過強(qiáng)化數(shù)據(jù)主體的權(quán)利來實現(xiàn)對數(shù)據(jù)控制人的限制。其主要包含三項內(nèi)容。其一，增加數(shù)據(jù)清除權(quán)（The Right of Erasure），包括主體、客體、適用條件、例外情況及不遵守清除權(quán)的處罰措施。對存在故意或者過失違反數(shù)據(jù)清除權(quán)的人員，監(jiān)管機(jī)構(gòu)可對個人和企業(yè)處以高額罰款，加大了個人數(shù)據(jù)竊取的懲罰力度，對違法犯罪和恐怖行為起到預(yù)防作用。其二，對數(shù)據(jù)主體的同意創(chuàng)設(shè)新的條件。一是同意必須基于數(shù)據(jù)主體的一個或多個特定目的，并且已經(jīng)給予控制者處理數(shù)據(jù)的同意；二是數(shù)據(jù)主體必須自愿給出詳細(xì)的表明其同意的說明，說明必須是明示的，包括書面聲明或明確肯定的行動表示，緘默或不行動不構(gòu)成同意。然而，當(dāng)數(shù)據(jù)主體與控制者之間存在地位不平衡時，同意不能被當(dāng)作數(shù)據(jù)處理的法律基礎(chǔ)。雇傭關(guān)系中的數(shù)據(jù)處理很可能會發(fā)生這種情況，此時，必須存在為了遵從法律義務(wù)等另外的數(shù)據(jù)處理依據(jù)。其三，增加“特殊類別的個人數(shù)據(jù)”的處理條件。揭示種族或民族起源、政治意見、宗教信仰的個人數(shù)據(jù)處理，以及與基因數(shù)據(jù)或健康、性生活、犯罪、安全措施相關(guān)的數(shù)據(jù)處理應(yīng)當(dāng)由數(shù)據(jù)控制者或者其代理人負(fù)責(zé)實施數(shù)據(jù)保護(hù)影響評估（DPIA），評估結(jié)果會直接影響處理數(shù)據(jù)的條件。此外，與醫(yī)療相關(guān)的個人數(shù)據(jù)，雇傭關(guān)系中的個人數(shù)據(jù)以及為歷史、統(tǒng)計和科學(xué)研究目的的數(shù)據(jù)處理都有其自身特定的條件，不能被隨意處理。

（三）匿名信息交易也不應(yīng)忽視信息主體的利益

與享有獨(dú)立著作權(quán)的作品集合而成的數(shù)據(jù)庫不同，個人信息的數(shù)據(jù)庫中匯集的是個人信息，這種個人信息不屬于獨(dú)立作品；個人信息數(shù)據(jù)庫如有其獨(dú)創(chuàng)性編排結(jié)構(gòu)而可以獲得的著作權(quán)，這樣的數(shù)據(jù)庫制作者（信息處理者）享有整體結(jié)構(gòu)著作權(quán)保護(hù)。雖然從匿名信息中已經(jīng)無法辨別出個人信息，但是數(shù)據(jù)庫制作者正是利用無償取得的個人信息謀取商業(yè)利益，從大數(shù)據(jù)交易到“豐菜之爭”，無不揭示出這種不平衡。信息保護(hù)立法尚未明確承認(rèn)信息主體的財產(chǎn)利益，是因為網(wǎng)絡(luò)用戶信息保護(hù)的特殊環(huán)境，并不代表信息主體的財產(chǎn)利益就不應(yīng)當(dāng)獲得認(rèn)可。一方面，信息主體將自己的大量信息交給信息控制者進(jìn)行商業(yè)利用，卻對信息控制者由此獲得的大量利潤毫無參與分配的權(quán)利，另一方面，信息控制者在未經(jīng)信息主體同意的情形下對其個人信息進(jìn)行收集和利用，而信息主體只能向數(shù)據(jù)控制者主張人格利益損害的賠償，這顯然是不公平的。

同樣的問題還出現(xiàn)在人體基因的可專利性上。隨著基因技術(shù)的發(fā)展，有關(guān)人體基因的專利帶來了極大的經(jīng)濟(jì)效益，而人體基因資源的提供者卻被排除在這一利益之外，有學(xué)者建議建立人體基因?qū)＠睦娣窒頇C(jī)制，⑦參見［法］莫里斯·卡西爾：《基因時代的私有資產(chǎn)、集體資產(chǎn)和公共資產(chǎn)》，祝東力譯，《國際社會科學(xué)雜志（中文版）》2003年第1期。美國近期的判例也體現(xiàn)出這一趨勢。⑧2013年6月14日，美國聯(lián)邦最高法院否決了Myriad公司擁有的BRCA1、BRCA2基因的專利權(quán)，理由是，如果認(rèn)可這種專利權(quán)，雖然可能為人類帶來價格更低的乳腺癌風(fēng)險檢測，但顛覆了現(xiàn)行的專利法制度。See 653F.3d 1329（Fed.Cir.2011）.作為大數(shù)據(jù)交易的對象，匿名信息與人體基因法律關(guān)系的共同點在于以下幾個方面。其一，都具有強(qiáng)烈的人身性。人體基因?qū)＠匀梭w基因資源提供者的人體基因信息為研究對象，匿名信息以信息主體在各種場合自覺或不自覺提供的個人信息為收集對象。其二，人體基因和個人信息都可以在被收集后脫離自然人而繼續(xù)發(fā)揮商業(yè)價值。人體基因資源一旦獲得，研究者可以通過體外方式人工合成；個人信息一旦獲得并經(jīng)過“清洗”，信息處理者就可以基于不同需要加以反復(fù)分析和利用。其三，被收集了相關(guān)信息的自然人都面臨風(fēng)險。人體基因資源提供者在采集基因資源的過程中，可能會遭受潛在的不利后果；個人信息的泄露也會給數(shù)據(jù)提供者帶來生活上的不便，甚至產(chǎn)生財產(chǎn)、人身方面的損害。

基于以上因素，明確基因資源提供者的事先知情同意權(quán)、所有權(quán)和免費(fèi)或低價使用權(quán)等權(quán)利，以及對人體基因?qū)＠夹g(shù)審查標(biāo)準(zhǔn)的趨嚴(yán)，都反映出構(gòu)建主體間利益分享機(jī)制的需求。可以預(yù)見，根源于個人信息的大數(shù)據(jù)交易，也沒理由忽略信息主體的利益。為了保持生物多樣性，持久利用其組成部分以及公平合理地分享利用遺傳資源所產(chǎn)生的利益，1992年《生物多樣性公約》（CBD）確立了尊重主權(quán)原則、事先同意原則和惠益分享原則。如何借鑒這些原則構(gòu)建個人信息大數(shù)據(jù)交易中的利益分享機(jī)制，如何明確規(guī)定能夠用來交易的數(shù)據(jù)內(nèi)容和類型，決定了大數(shù)據(jù)交易能否健康發(fā)展的未來，這就需要從公法層面立法加以引導(dǎo)和規(guī)制。⑨比如法國出臺數(shù)字經(jīng)濟(jì)納稅條例，對享有公民免費(fèi)數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè)增加一些稅種。參見前注⑥，邱玥文。