饒雅文，張 力

(1. 云南省安寧市人民政府，云南 昆明 650300；2. 西南政法大學(xué) 民商法學(xué)院，重慶 401120)

2021年6月11日，國家互聯(lián)網(wǎng)信息辦公室(以下簡稱國家網(wǎng)信辦)發(fā)布通報，表示在組織對公眾大量使用的運動健身、新聞資訊、網(wǎng)絡(luò)直播等常見類型部分App的個人信息收集使用情況進行檢測后，發(fā)現(xiàn)其中有129款A(yù)pp存在違反必要原則、未經(jīng)用戶同意收集等不同程度違規(guī)收集使用個人信息的情況。2021年7月4日，國家網(wǎng)信辦經(jīng)過調(diào)查分析，認定“滴滴出行”軟件存在嚴重違法違規(guī)收集使用個人信息問題，并通知各大應(yīng)用商店下架該軟件，要求滴滴認真整改存在的問題，切實保障廣大用戶個人信息安全。該案是國家網(wǎng)信辦首次以個人信息安全為由對互聯(lián)網(wǎng)平臺頭部企業(yè)實施調(diào)查、處罰的案件，無疑具有重大意義。近幾年大數(shù)據(jù)、互聯(lián)網(wǎng)技術(shù)的快速發(fā)展雖然促進了平臺經(jīng)濟的繁榮，但也帶來了個人信息的非法獲取、濫用以及泄露等負外部性問題，嚴重危及個人信息安全，“現(xiàn)代科技已經(jīng)成為一種獨立于人類的異化力量”[1]這一論斷逐漸成為現(xiàn)實。在此背景下，新近出臺的《中華人民共和國民法典》(以下簡稱《民法典》)，將個人信息作為一種民事權(quán)益納入人格權(quán)編的保護范圍，確實是一種進步與創(chuàng)新。但從批判的角度來看，《民法典》對于個人信息的保護依然存在很多問題，導(dǎo)致民法對于信息處理者的震懾力不足，個人信息保護難以落實，滴滴嚴重違法違規(guī)收集使用個人信息便是最典型的一例。因此，對《民法典》個人信息的保護模式進行理論反思，進而對其進行完善以回應(yīng)現(xiàn)實需要，具有重要的實踐意義。

一、《民法典》個人信息保護模式：民事權(quán)益而非民事權(quán)利

個人信息作為一種客體，受民法保護。[2]對于個人信息，應(yīng)當采取權(quán)利保護模式還是權(quán)益保護模式，學(xué)界一直存在較大的爭議。所謂權(quán)利保護模式，即由《民法典》直接賦予民事主體以個人信息權(quán)，進而給予類似于生命權(quán)、健康權(quán)、名譽權(quán)、隱私權(quán)的法益保護方式；所謂權(quán)益保護模式，是一種保護程度弱于權(quán)利保護的法益保護方式，其源于《民法典》第3條的規(guī)定，即其中的“其他合法權(quán)益”?！睹穹ǖ洹穼τ诮^大多數(shù)民事客體采取權(quán)利保護模式，如物權(quán)、債權(quán)、繼承權(quán)、人格權(quán)等，但是對于個人信息采取了權(quán)益保護模式。

(一)《民法典》保護個人信息的基本規(guī)定

《民法典》總則和分則都對個人信息保護問題進行了規(guī)定，但均未賦予民事主體個人信息權(quán)。《民法典·總則編》第111條概括性地規(guī)定個人信息受法律保護，而這更多是一種宣示性規(guī)定?！睹穹ǖ洹た倓t編》是整個《民法典》的基礎(chǔ)性、本源性部分，各分則不得與總則的規(guī)范內(nèi)容相抵觸。對于某具體問題，如果分則沒有具體規(guī)定，可依總則的原則或精神處理。具體到個人信息保護問題，由于是首次進入民事法律調(diào)整范疇，《民法典》分則在具體規(guī)定時難免出現(xiàn)規(guī)范缺位或者滯后的情況，此時總則的規(guī)定便起到了填補漏洞的作用。

在分則中，個人信息保護規(guī)定在《民法典·人格權(quán)編》，由于和隱私權(quán)關(guān)系密切，對于二者的保護共同作為一個章節(jié)。分則對于個人信息保護的主要規(guī)定包括：個人信息的定義，個人信息分類保護，處理個人信息的原則、條件和免責(zé)事由，個人信息主體(即《民法典》中所稱的“自然人”)的權(quán)利束，信息處理者的信息安全保障義務(wù)等。在權(quán)益保護模式的框架下，以上規(guī)定有三個亮點：

第一，擴大個人信息的概念外延?！睹穹ǖ洹贩謩t對于個人信息的定義基本沿用《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)第76條的規(guī)定，并進行典型列舉。但是，從措辭角度來看，《民法典》分則事實上延展了定義范圍：《網(wǎng)絡(luò)安全法》著重強調(diào)“識別自然人個人身份的各種信息”，而《民法典》則定義為“識別特定自然人的各種信息”。二者看似相同，實際上，個人信息并不限于《網(wǎng)絡(luò)安全法》規(guī)定的與個人身份有關(guān)的信息，還包括與身份無關(guān)的信息，《民法典》保護的內(nèi)容和范圍更寬泛。[3]

第二，充實個人信息主體的權(quán)利束?！睹穹ǖ洹冯m然沒有規(guī)定個人信息權(quán)，卻賦予個人信息主體對于個人信息享有的完整權(quán)利束，這不可不謂創(chuàng)新。具體而言，權(quán)利束中主要包含四種權(quán)利：其一，知情同意權(quán)，即原則上處理個人信息應(yīng)征得該自然人或其監(jiān)護人同意；其二，查閱復(fù)制權(quán)，即依法向信息處理者查閱或者復(fù)制其個人信息；其三，更正權(quán)和刪除權(quán)，即發(fā)現(xiàn)有誤可以提異議并要求更正，特定情況下可以要求刪除；其四，信息安全保障權(quán)，需要注意的是，《民法典》并未直接規(guī)定自然人的信息安全保障權(quán)，而是通過信息處理者的安全保障義務(wù)間接體現(xiàn)。以上權(quán)利束在事實上構(gòu)成了民事主體的個人信息權(quán)，盡管保護力度未達權(quán)利保護的要求。

第三，明確處理個人信息的免責(zé)事由。為保障個人信息的合理、高效使用，發(fā)揮其經(jīng)濟價值和社會價值，《民法典》也規(guī)定了處理個人信息的免責(zé)事由，主要包括三項，特別是其中第三項關(guān)于公共利益的規(guī)定尤為重要。例如在新冠疫情發(fā)生期間，法律允許有關(guān)部門和醫(yī)療機構(gòu)處理有關(guān)個人出行往來、健康狀態(tài)、疫苗接種等方面的信息，最大程度地阻止了疫情肆虐，有效維護了公共利益。

可以認為，《民法典》作為新時代的產(chǎn)物，對于個人信息的權(quán)益保護模式較為全面，既規(guī)定了信息主體的權(quán)利束，又規(guī)定了信息處理者的義務(wù)和免責(zé)事由，在一定程度上符合新時代對于個人信息保護的要求。

(二)權(quán)益保護模式的立法理由

《民法典·人格權(quán)編》起草時，學(xué)界對于是否將個人信息保護權(quán)利化存在較大爭議。立法者經(jīng)過慎重考量，最終選擇權(quán)益保護模式，立法理由主要有三：

第一，民法可以分別保護民事權(quán)利和其他合法權(quán)益。在我國，未能權(quán)利化的其他合法民事權(quán)益受法律保護，具體體現(xiàn)在《民法典》第3條。事實上，限于民事法律的篇幅和抽象性，《民法典》不可能詳細列舉大千世界所有的民事權(quán)益并將其權(quán)利化。為了保持民法的開放性并考慮現(xiàn)實情況的復(fù)雜性，《民法典》第3條認可“其他合法權(quán)益受法律保護，任何組織或者個人不得侵犯”。可以認為，《民法典》第3條為個人信息的權(quán)益保護模式提供了法律基礎(chǔ)。

第二，個人信息難以成為獨立的權(quán)利客體。有學(xué)者指出，在具體人格權(quán)的生成中，應(yīng)當避免與其他權(quán)利重合或交叉。[4]但是，姓名、隱私等具體人格權(quán)又非常普遍地以個人信息形式展現(xiàn)，這就導(dǎo)致對姓名、隱私等具體人格權(quán)的保護與對個人信息的保護重合。立法者最終也采納了此種觀點，不認為個人信息是獨立的權(quán)利客體。

第三，權(quán)利保護模式妨礙信息自由和有效利用。有觀點認為，個人信息流通具有公共性價值。[5]賦予民事主體個人信息權(quán)會妨礙信息自由，進而對公眾知情權(quán)和公共事務(wù)造成負面影響。[6]應(yīng)該說，此種觀點有一定的道理。權(quán)利化可以提高對個人信息的保護程度，強化個人信息主體對于個人信息收集、使用、流通的控制權(quán)，在疫情等極端情況下不利于社會公共利益的維護，在正常情況下也不利于個人信息經(jīng)濟價值和社會價值的充分發(fā)揮。立法者采用權(quán)益保護模式，顯然是試圖在保護個人信息與促進個人信息有效利用之間取得平衡。

綜上所述，立法者認為在目前階段尚不能夠且不需要將個人信息保護上升到權(quán)利保護層面，最終將“個人信息保護”很不協(xié)調(diào)地安置于《民法典·人格權(quán)編》之中。

二、《民法典》個人信息權(quán)益保護模式的反思

單從《民法典》對于個人信息保護的豐富規(guī)定來看，權(quán)益保護模式似乎全面而完善。但是深度挖掘《民法典》的規(guī)定并考察其具體實施路徑，會發(fā)現(xiàn)權(quán)益保護模式存在一些根本性的問題，導(dǎo)致個人信息保護始終難以落實，當前部分電商平臺大范圍、全方位肆意收集、使用用戶個人信息便說明問題的存在。

(一)保護力度不足

《民法典》采用的權(quán)益保護模式，實際上也是“行為規(guī)制模式”，即通過對他人行為的控制來實現(xiàn)對權(quán)益享有者利益的維護。相較于權(quán)利化模式，行為規(guī)制模式的保護范圍有限、保護力度也較弱。[7]權(quán)利保護模式直接為民事主體設(shè)置具體的權(quán)利類型以涵蓋有關(guān)利益，并將這些利益排他性地給予權(quán)利人。在這種情況下，權(quán)利人對相應(yīng)利益的控制能力較強，獨占性也很強，為義務(wù)人留下的活動空間較窄。權(quán)益保護模式與權(quán)利保護模式雖同樣具有利益分配的功能，但是，權(quán)益保護模式并未將所有的利益劃歸權(quán)益主體，而是對整個利益進行切分，其中一部分給予權(quán)益主體，另一部分則作為相對人的行為自由空間。此種有限保護使權(quán)益保護模式的力度注定孱弱。

具體到個人信息保護，如果將個人信息這個法律客體上升到人格權(quán)高度予以保護，由于人格權(quán)是絕對權(quán)、對世權(quán)，意味著權(quán)利主體享有著對信息產(chǎn)生、收集、處理、轉(zhuǎn)讓、使用等各個環(huán)節(jié)的控制權(quán)，任何他人和組織不得侵犯此種控制權(quán)，否則就需要承擔相應(yīng)的民事責(zé)任。這是保護力度較強的一種方式，也是姓名權(quán)、名譽權(quán)、隱私權(quán)等其他人格權(quán)所采取的保護模式。而在當前，許多手機軟件存在違約、違規(guī)、違法收集、使用用戶個人信息的情況，更有甚者，用戶不同意收集、使用個人信息便不能使用軟件，這是《民法典》采用的權(quán)益保護模式所帶來問題的典型表現(xiàn)。

以同意權(quán)行使為例，《民法典》第1033條規(guī)定，處理他人私密信息需要權(quán)利人“明確同意”，而依據(jù)第1035條，處理一般個人信息只需“征得同意”，同一部法典對于同意的方式采用兩種表述，這表明立法者意識到“明確同意”和“征得同意”是不同的，結(jié)合體系解釋，可以認為“明確同意”的保護力度要高于“征得同意”，處理一般個人信息時可以不需要明確同意，可以默示同意，這顯然是有意降低對一般個人信息的同意權(quán)標準，而這也是權(quán)益保護模式的結(jié)果。

(二)體系銜接不暢

現(xiàn)代《民法典》的一個重要特征是邏輯嚴密和體系自洽。但是，個人信息權(quán)益保護模式卻在沖擊著這種體系的自洽性，并衍生出更深層次的問題。

第一，《民法典·總則》第五章名為“民事權(quán)利”，該章項下第111條卻將個人信息作為民事權(quán)益進行保護。眾所周知，權(quán)利項下不應(yīng)包含權(quán)益，這就造成《民法典》體系的局部不和諧。此種情況同樣出現(xiàn)在分則中?！睹穹ǖ洹返谒木幟麨椤叭烁駲?quán)”，顧名思義，該編是對一般人格權(quán)和生命權(quán)、健康權(quán)、隱私權(quán)等具體人格權(quán)進行規(guī)定，在邏輯上不應(yīng)包括非權(quán)利的保護對象。然而，個人信息卻以非權(quán)利客體的形式納入《民法典·人格權(quán)編》之中，與“人格權(quán)”的編名產(chǎn)生邏輯沖突。也許立法者意識到該問題的存在，通過《民法典》第990條第2款規(guī)定自然人享有“基于人身自由、人格尊嚴產(chǎn)生的其他人格權(quán)益”，但是這終究是一種回避問題而非解決問題的方式，因為它不能應(yīng)對上述邏輯沖突。其實，沖突還只是表象，衍生的深層次問題是，《民法典·人格權(quán)編》的一般規(guī)定(例如第992條“人格權(quán)不得放棄、轉(zhuǎn)讓或者繼承”的規(guī)定)是否適用于個人信息保護？其中是否存在一個明確的判斷標準？如果適用，個人信息又在多大程度上受到一般規(guī)定的保護？

第二，民事主體不享有個人信息權(quán)，卻對個人信息享有一個具體的相對完整的權(quán)利束。一般而言，抽象權(quán)利可以涵蓋具體權(quán)利或權(quán)能。例如，著作權(quán)可以涵蓋發(fā)表權(quán)、署名權(quán)等人身權(quán)以及復(fù)制權(quán)、發(fā)行權(quán)等財產(chǎn)權(quán)，人格權(quán)可以涵蓋生命權(quán)、健康權(quán)、隱私權(quán)等權(quán)利。但是，權(quán)益之下不能涵蓋具體權(quán)利或權(quán)能，否則即造成邏輯上的混亂。然而根據(jù)《民法典》的規(guī)定，個人信息主體享有知情同意權(quán)等系列具體權(quán)利，這不得不讓人懷疑，個人信息主體對個人信息享有的到底是權(quán)利還是權(quán)益？如果是權(quán)利，為何不直接規(guī)定個人信息權(quán)？如果是權(quán)益，為何卻涵蓋如同權(quán)利的具體而完整的權(quán)利束？抑或是，立法者認為個人信息本身不構(gòu)成權(quán)利，但想給予個人信息權(quán)利一樣水準的保護？這些疑問會給個人信息保護的具體實施帶來困難。

第三，難以適用人格權(quán)請求權(quán)。人格權(quán)請求權(quán)，是指自然人在其人格權(quán)的圓滿狀態(tài)受到妨害或者有妨害之虞時，得向加害人或者人民法院請求加害人為一定行為或者不為一定行為，以回復(fù)人格權(quán)的圓滿狀態(tài)或者防止妨害的權(quán)利。[8]《民法典·人格權(quán)編》第995、997條對人格權(quán)請求權(quán)進行了規(guī)定，分別對應(yīng)人格權(quán)的圓滿狀態(tài)受到妨害和有妨害之虞的情形。但是，在權(quán)利和權(quán)益分野的情況下，此種人格權(quán)請求權(quán)難以適用于作為民事權(quán)益的個人信息。

(三)分類保護導(dǎo)致路徑?jīng)_突

或許是考慮到個人信息與隱私權(quán)保護存在重合之處，《民法典》將隱私權(quán)與個人信息保護作為一章來規(guī)定。[9]然而，個人信息和隱私在內(nèi)容上既有重合也有區(qū)隔。[10]重合的部分即“私密信息”，是指自然人不愿意為他人知曉且與公共利益無關(guān)的信息。[11]透過這個定義，可知私密信息的三個特征：一是不愿意他人知曉，否則會侵擾私生活安寧或者帶來名譽上的毀損，這個特征與隱私權(quán)相聯(lián)系，是隱私權(quán)保護的自然人的人格利益；二是與公共利益無關(guān)，例如暗中從事犯罪活動的信息不屬于隱私；三是私密信息最終屬于個人信息。其中，第一、第三兩個特征使私密信息具有雙重屬性，因此就面臨保護路徑適用的疑難。

《民法典》第1034條第3款將私密信息區(qū)別于一般個人信息的特別保護措施。立法者認為，對私密信息實施權(quán)利化而非權(quán)益化的保護，可以提高保護強度。以知情同意權(quán)為例，處理私密信息，除法律另有規(guī)定外，需要權(quán)利人明確同意(《民法典》第1033條)；而處理一般個人信息，除了自然人本人可以行使同意權(quán)，其監(jiān)護人也可以行使同意權(quán)，并且可以另行規(guī)定的不僅包括法律，也包括較低層級的行政法規(guī)(《民法典》第1035條)。從這個角度上看，對私密信息適用隱私權(quán)進行保護確實強化了保護力度。

但是，《民法典》第1034條的分類保護策略有時會產(chǎn)生路徑?jīng)_突，從而帶來完全相反的保護效果。質(zhì)言之，個人信息保護的路徑有時會強于隱私權(quán)保護路徑。例如，對于個人信息收集、處理、轉(zhuǎn)讓的同意是持續(xù)的，改變個人信息處理的方式和范圍，需要再次取得同意；而對隱私公開的同意是一次性的，一旦公開，就沒有二次公開的可能。顯然，此時適用個人信息保護規(guī)定比適用隱私權(quán)規(guī)定有著更強的保護力度。此外，如果適用隱私權(quán)的有關(guān)規(guī)定，往往會排除個人信息保護規(guī)定的適用，這時私密個人信息主體往往會喪失查閱權(quán)等權(quán)利，因為隱私權(quán)人不享有這些權(quán)利。一言以蔽之，私密信息本可同時適用隱私權(quán)和個人信息保護這兩種路徑，但是《民法典》第1034條阻斷了同時適用的可能性。

三、《民法典》個人信息權(quán)利保護模式的證成

當前《民法典》采取的權(quán)益保護模式確實引發(fā)了許多問題，導(dǎo)致個人信息保護一直未能有效落實。立法者未采取權(quán)利保護模式，并不能說明權(quán)利保護模式不適用于個人信息保護。相反，直接賦予個人信息主體個人信息權(quán)，具有多方面的正當性和必要性。

(一)個人信息本身可以成為獨立的權(quán)利客體

如前所述，不少學(xué)者認為個人信息與姓名權(quán)、隱私權(quán)等人格權(quán)客體存在交叉，故而否認個人信息作為權(quán)利客體的獨立性，但這種觀點值得商榷。在民法中，權(quán)利與權(quán)利之間的界限并非涇渭分明，權(quán)利客體交叉的情況比比皆是，發(fā)生權(quán)利競合的情況亦非少見。而且《民法典》僅僅規(guī)定了生命權(quán)、健康權(quán)、名譽權(quán)、榮譽權(quán)、隱私權(quán)等幾種有限的具體人格權(quán)，但個人信息所承載的內(nèi)容遠遠不止上述權(quán)利。質(zhì)言之，交叉只是一小部分，不交叉的屬于個人信息自留地的是大部分，我們不能因為一小部分的交叉而否認個人信息的獨立客體地位。例如，個人家庭住址、身份證號、出行記錄等信息很難歸入其他具體人格權(quán)進行保護，但是我們不能否認這些信息的獨立的權(quán)利客體地位。

也有學(xué)者認為，個人信息具有公共價值屬性，因此不能成為民法上的權(quán)利客體，否則會妨礙信息自由和公共利益。這種觀點也難以成立。專利權(quán)等知識產(chǎn)權(quán)也具有公共價值屬性，但是專利并未因其權(quán)利化而妨礙了專利的許可和轉(zhuǎn)讓，也未損害公共利益。相反，專利權(quán)制度明確了產(chǎn)權(quán)歸屬，規(guī)范了專利的許可和轉(zhuǎn)讓行為，既實現(xiàn)了對專利權(quán)人的保護，又促進了專利價值的發(fā)揮。從這個角度看，個人信息的權(quán)利化不僅不會妨礙信息自由，而且能促進個人信息更規(guī)范地利用，在個人信息安全的前提下最大限度地發(fā)揮個人信息的經(jīng)濟價值和社會價值。

從人格權(quán)自身的特征來看，無論是生命權(quán)、健康權(quán)還是姓名權(quán)、隱私權(quán)，均體現(xiàn)出支配權(quán)(即權(quán)利主體對于特定利益的享有并防止任何他人干涉、侵犯的權(quán)利)的特性。那么，個人信息是否符合支配權(quán)的特征呢？《民法典》第1034條第1款規(guī)定“自然人的個人信息受法律保護”，實際上是個人信息主體對個人信息享有特定利益，就效果來看類似于《民法典》對于具體人格權(quán)的規(guī)定：自然人享有某某權(quán)。至于防止他人干涉、侵犯的權(quán)利，《民法典》的規(guī)定就更多了：處理個人信息需要征得自然人或其監(jiān)護人的同意；自然人對個人信息有查閱權(quán)、更正權(quán)、刪除權(quán)等權(quán)利；信息處理者有信息安全保障義務(wù)，等等。因此，個人信息與姓名、隱私一樣符合支配權(quán)的特征。在一定程度上可以認為，在個人信息保護問題上，《民法典》是以權(quán)益保護之名行權(quán)利保護之實。

由此可見，個人信息自身的性質(zhì)決定其可以成為民法上獨立的權(quán)利客體。

(二)借鑒境外最新立法采取權(quán)利保護模式

從比較法的視野來看，境外最新的立法經(jīng)驗是將個人信息權(quán)利化。在這種安排下，個人信息不以“其他合法權(quán)益”的形式存在，也無需依托于其他權(quán)利，而是一種獨立的受民法保護的權(quán)利客體。

在歐洲，《歐盟運行條約》第16條和《通用數(shù)據(jù)保護條例》(以下簡稱GDPR)第1條第2款都明確規(guī)定，自然人有保護其個人數(shù)據(jù)的基本權(quán)利和自由。由此可見，個人數(shù)據(jù)(信息)不僅僅是權(quán)利，而且被上升到基本權(quán)利范疇。特別是GDPR，以一系列的具體權(quán)利保護個人信息權(quán)，包括第15條規(guī)定的數(shù)據(jù)主體的訪問權(quán)、第16條規(guī)定的信息更正權(quán)、第17條規(guī)定的被遺忘權(quán)、第20條規(guī)定的數(shù)據(jù)可攜帶權(quán)，等等。美國加州《消費者隱私法》也賦予消費者對個人信息的知情權(quán)(要求披露權(quán))、訪問權(quán)、可攜帶權(quán)、刪除權(quán)和轉(zhuǎn)售個人信息的拒絕權(quán)等權(quán)利。[12]

實際上，《中華人民共和國民法總則》(以下簡稱《民法總則》)起草過程也考慮過向境外最新立法經(jīng)驗學(xué)習(xí)，第111條的立法理由已經(jīng)明確“個人信息權(quán)利”是自然人對其個人信息享有的“重要權(quán)利”[13]81。由此可知，在起草過程中立法者有意與國際接軌，將個人信息視為一種重要權(quán)利進行保護。

(三)權(quán)利保護模式符合我國實際需要

社會境況的變遷與民法體系構(gòu)建之間形成了永久的張力，使得對民法體系的探討永無止境。[14]當前，我國互聯(lián)網(wǎng)產(chǎn)業(yè)迅速發(fā)展，平臺經(jīng)濟也日益興盛。與之相伴的是日益泛濫的個人信息的竊取、泄露和濫用?！睹穹倓t》已頒布4年，《民法典》也已通過1年有余，但是違法處理個人信息的情況仍屢禁不止，販賣、侵害個人信息權(quán)益的情況時有發(fā)生。

信息產(chǎn)業(yè)的進步使得個人信息的獲取更便利、處理更迅捷，當然，也使違法行為更隱秘、違法成本更低廉。這要求我們必須對個人信息實施強保護，強化個人信息主體對個人信息的自我決定權(quán)和自我控制權(quán)。顯然，《民法典》當前采用的權(quán)益保護模式無法提供這種保護。采取權(quán)利保護模式符合上述強保護的需要。相比權(quán)益保護模式，權(quán)利保護模式有以下三大優(yōu)越性：

第一，權(quán)利保護模式能夠提供確定性、穩(wěn)定性和可預(yù)期性。民事權(quán)利外延清晰，獲得的保障更加切實。[15]501正如前文所述，權(quán)益保護模式具有模糊性，通過對他人行為的控制來實現(xiàn)對權(quán)益享有者利益的維護，在類型和方式上無法適應(yīng)侵害行為的擴展，不能為各當事方提供穩(wěn)定的行為預(yù)期。而采用權(quán)利保護模式，個人信息作為權(quán)利客體，是以法律形式確認并加以特別保護的“具備相對重要性”的對象[16]92，所提供的保護更具有確定性、穩(wěn)定性和可預(yù)期性。

第二，權(quán)利保護模式能改善相關(guān)方地位不對等的狀態(tài)。在互聯(lián)網(wǎng)和大數(shù)據(jù)時代，個人信息主體往往是單個自然人，而數(shù)據(jù)處理者往往是大型的互聯(lián)網(wǎng)公司和公共服務(wù)機構(gòu)，雙方的談判力量懸殊，地位處于嚴重不對等的狀態(tài)。《民法典》采用的權(quán)益保護模式無疑加劇了此種不對等。如果對處于弱勢的個人信息主體予以類似于消費者權(quán)利的傾斜性保護，則可在一定程度上緩解雙方地位不對等的狀態(tài)。同時，權(quán)利主體的維權(quán)路徑更清晰、維權(quán)依據(jù)更明確，可有效減輕維權(quán)的論證負擔。

第三，權(quán)利保護模式能使《民法典》體系更和諧。如前所述，無論是《民法典》總則還是分則，均因個人信息的權(quán)益保護模式出現(xiàn)體系上的不銜接、不協(xié)調(diào)、不和諧。但是采取權(quán)利保護模式，能夠從根本上解決上述問題，使民事權(quán)利客體更加統(tǒng)一，保護路徑更加一致，諸如“人格權(quán)的一般規(guī)定是否適用于個人信息保護”之類的衍生問題也能得到明確的回答。

綜上，將個人信息權(quán)利化，既是權(quán)利宣示，又是實踐中的可行路徑。[17]鑒于個人信息本身即可成為獨立的權(quán)利客體，而境外最新立法已采取權(quán)利保護模式，且我國對權(quán)利保護模式又有迫切的現(xiàn)實需求，并無理由排斥個人信息權(quán)利化的安排。

四、《民法典》個人信息權(quán)利保護模式的展開

結(jié)合前文討論，本文認為個人信息保護的改進路徑可以從以下三個方面展開。

(一)賦予個人信息權(quán)并細化其內(nèi)容

采取權(quán)利保護模式，首要的便是賦予個人信息主體個人信息權(quán)，以明確個人信息獨立的權(quán)利客體地位。在體系上，個人信息權(quán)要與隱私權(quán)切割，單獨作為一章來規(guī)定，這是因為個人信息權(quán)和隱私權(quán)保護的法益不同。誠然，二者的權(quán)利客體存在重合，即私密信息，但由于二者保護法益的基本面向不同——前者強調(diào)的是信息不能被非法處理，后者側(cè)重的是信息的不可公開性——在具體適用的時候可以同時適用，并不矛盾。

在內(nèi)容上，應(yīng)當對個人信息權(quán)的權(quán)利內(nèi)容進行更典型和充分的列舉。除了《民法典》現(xiàn)有的查閱權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)外，本文認為還應(yīng)當明確以下權(quán)利。

第一，信息保有權(quán)。所謂信息保有權(quán)，是指權(quán)利主體自己占有、控制自己的個人信息，他人不得非法占有的權(quán)利。這應(yīng)是個人信息權(quán)的主要內(nèi)容，只有充分保有個人信息，才能有效行使其他權(quán)利。當前，部分互聯(lián)網(wǎng)平臺大量占有、控制用戶的個人信息，實際上是對信息保有權(quán)的侵犯，這更加彰顯了信息保有權(quán)的重要性。

第二，信息知情權(quán)。信息知情權(quán)是指權(quán)利主體有權(quán)了解信息收集、處理、轉(zhuǎn)讓、使用等方面的真實情況的權(quán)利。知情是同意的基礎(chǔ)，充分知情才能準確同意。然而，當前我國很多互聯(lián)網(wǎng)平臺收集、處理個人信息都是在用戶不知情的情況下進行的，這一方面是為了節(jié)約溝通成本，另一方面是為了最大限度收集、處理信息。但無論如何，均嚴重侵犯了用戶的信息知情權(quán)，立法者應(yīng)關(guān)注這一事實。

第三，信息被遺忘權(quán)。從起源來看，被遺忘權(quán)最初確立于2014年歐盟法院審理的“岡薩雷斯訴谷歌”一案。[18]此后的GDPR也對被遺忘權(quán)予以規(guī)定。需要說明的是，此處的被遺忘權(quán)與我國《民法典》規(guī)定的刪除權(quán)有一定的聯(lián)系，以至于有學(xué)者認為沒有必要單獨規(guī)定被遺忘權(quán)，《民法典》中兩種情形的刪除權(quán)的適用已經(jīng)涵蓋了自然人有權(quán)要求刪除個人信息的全部正當情形。[19]然而，刪除權(quán)和被遺忘權(quán)的區(qū)別是很明顯的，后者的適用場景是“信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息”，前提是信息處理者存在一定的過錯，而前者的適用場景是已被公開的信息會導(dǎo)致個人信息主體遭受較低社會評價。修訂《民法典》時引入被遺忘權(quán)，能顯著提高個人信息主體對個人信息的控制能力。

個人信息權(quán)是一種絕對權(quán)、對世權(quán)，明確他人特別是信息處理者等特定主體的義務(wù)也是對權(quán)利的保障。對此，我國《民法典》予以了較為詳細的規(guī)定，包括任何組織和個人不得侵害的一般性義務(wù)，以及特定義務(wù)主體的特殊義務(wù)，例如信息處理者處理個人信息時應(yīng)當遵循特定的原則和條件，不得泄露、篡改個人信息，保障信息安全以及必要時及時采取補救措施等義務(wù)。然而，上述義務(wù)顯得過于零散，不夠系統(tǒng)，且缺少與個人信息主體權(quán)利的對應(yīng)關(guān)系。在賦予個人信息權(quán)的同時，應(yīng)當全面梳理并有序安排義務(wù)主體的義務(wù)，這樣才能全方位地保障個人信息權(quán)。

(二)強化信息自決

當前，很多互聯(lián)網(wǎng)平臺軟件收集用戶個人信息具有這樣一個特征：平臺以格式條款要求收集用戶所有相關(guān)和不相關(guān)的個人信息，用戶如果不同意收集便無法使用該軟件，而很多時候該軟件又扮演著“關(guān)鍵設(shè)施”角色，用戶必須使用，此時就不得不同意平臺收集個人所有信息。這實際上是對信息自決的侵犯。所謂信息自決，強調(diào)的是對個人信息的控制和對信息處理的決定、同意。[20]德國聯(lián)邦憲法法院在撰寫裁判理由時，將信息自決視為“基本權(quán)利”，并認為其產(chǎn)生于一般人格權(quán)。信息自決的具象表現(xiàn)是同意權(quán)。我國《民法典》對個人信息的同意權(quán)也有規(guī)定，但顯然過于粗糙。強化同意權(quán)，本文認為應(yīng)從以下四個方面著手：

第一，除少數(shù)特殊情況，同意權(quán)的主體應(yīng)限于權(quán)利主體本人。根據(jù)《民法典》第1035條的規(guī)定，處理個人信息需要征得本人或者其監(jiān)護人同意。這是一個不具可操作性的規(guī)定，并帶來以下問題：什么情況下由誰來行使同意權(quán)？如果本人和監(jiān)護人行使同意權(quán)的結(jié)果不一致該如何處理？《民法典》并未回答這些問題。結(jié)合實際并本著強化信息自決的宗旨，本文認為應(yīng)以如下方式規(guī)定同意權(quán)：如果權(quán)利主體是完全民事行為能力人，只能由本人行使同意權(quán)；如果是無民事行為能力人，由于沒有意思表示能力，由監(jiān)護人行使同意權(quán)；如果是限制民事行為能力人，在權(quán)利主體意思表示能力的范圍內(nèi)，仍應(yīng)由權(quán)利主體本人行使同意權(quán)，監(jiān)護人不得介入，除非行使同意權(quán)的結(jié)果會給權(quán)利主體自身利益帶來重大損害。因此，除權(quán)利主體是無民事行為能力人外，原則上都應(yīng)由其自身來行使同意權(quán)。

第二，行使同意權(quán)的外觀應(yīng)是明確的、清晰的，不可默示同意。既然個人信息保護上升為權(quán)利，則對該權(quán)利的保護程度應(yīng)與其他具體人格權(quán)保持一致。隱私權(quán)保護中，處理私密信息需要權(quán)利主體的“明確同意”，就沒有理由在個人信息保護中采取更低保護力度的同意標準。因此，即使處理一般個人信息，也需要征得“明確同意”，不可是默示的或者其他形式的同意。

第三，無需征得同意的例外情況，應(yīng)僅由法律來規(guī)定。《民法典》規(guī)定在處理私密信息時，只有當法律另行規(guī)定時，才可不必征得權(quán)利人同意；但是對處理一般個人信息，法律和行政法規(guī)都可以規(guī)定無需征得同意的例外情況。這顯然壓縮了權(quán)利主體同意權(quán)的行使范圍，不利于同意權(quán)的強化。因此，在完善個人信息的處理規(guī)則時，采取隱私信息的處理方式，明確僅有法律可以規(guī)定無需征得權(quán)利主體同意而進行處理的例外情形，不僅有利于隱私權(quán)與個人信息權(quán)處理保護規(guī)則的統(tǒng)一，形成二者內(nèi)部的體系協(xié)調(diào)，在個人信息權(quán)的權(quán)利主體層面上，還有利于其同意權(quán)的強化，保護個人信息權(quán)利主體的切身利益。

第四，限制全面搜集信息的一攬子征得同意行為。現(xiàn)實操作中，很多手機軟件往往以隱私協(xié)議的形式向個人信息主體征求一攬子同意，其中有的個人信息是使用軟件所必須的，而有些個人信息則超出了實際所需的范圍。但是對于用戶而言，只能是要么同意，要么不同意。對于這種行為，《民法典》應(yīng)當予以限制，至少應(yīng)給予個人信息主體一攬子同意還是分別同意的選擇權(quán)。

(三)兩種具體路徑：人格權(quán)請求權(quán)和侵權(quán)責(zé)任

人格權(quán)請求權(quán)是對人格權(quán)的一種重要救濟方式。此種救濟不以賠償為目的，而是請求回復(fù)人格權(quán)的圓滿狀態(tài)或者排除妨害。將個人信息上升到人格權(quán)予以保護，《民法典》第995、997條規(guī)定的人格權(quán)請求權(quán)自然可以適用。具體可分為兩種情況：其一，當侵害個人信息行為已經(jīng)實際發(fā)生時，受害人的請求權(quán)包括停止侵害行為、消除影響、恢復(fù)名譽、賠禮道歉等。如果個人信息被泄露、篡改、丟失，權(quán)利人可以請求信息處理者采取技術(shù)措施和其他必要措施，確保信息安全，必要時有權(quán)請求信息處理者刪除個人信息。其二，當侵害個人信息行為未實際發(fā)生但存在發(fā)生的可能性，并可能給權(quán)利人的合法權(quán)益造成難以彌補的損害的，權(quán)利人可以請求行為人立即停止有關(guān)行為。當然，此種請求權(quán)需要通過法院來行使，否則可能會侵害他人的行為自由。

以侵權(quán)責(zé)任有效銜接人格權(quán)是個人信息保護的另外一種方式。梁慧星教授認為，各國民法對人格權(quán)保護的共同經(jīng)驗可以概括為“類型確認+侵權(quán)責(zé)任”，將侵害具體人格權(quán)的行為統(tǒng)一納入侵權(quán)責(zé)任法的適用范圍。[21]此種觀點對于個人信息權(quán)保護也可適用。當個人信息明確為一種權(quán)利時，侵權(quán)責(zé)任將是一種有力保障。如上所述，《民法典·人格權(quán)編》關(guān)于侵犯人格權(quán)的規(guī)定實際上是人格權(quán)請求權(quán)的規(guī)定。但《民法典·侵權(quán)責(zé)任編》又沒有侵犯個人信息權(quán)的具體規(guī)定，只能依據(jù)一些抽象的共通性的規(guī)定，來實現(xiàn)個人信息權(quán)的侵權(quán)責(zé)任保護。

首先，《民法典》第1065條可作為基礎(chǔ)法律依據(jù)。該條規(guī)定的是過錯責(zé)任，侵犯對象是“民事權(quán)益”。個人信息權(quán)當然是一種民事權(quán)益，并且，個人信息權(quán)的侵權(quán)人一般都有主觀上的過錯，包括故意和過失。因此，當個人信息權(quán)受到侵害，權(quán)利人可依據(jù)該條要求侵權(quán)人承擔侵權(quán)責(zé)任。

其次，侵害個人信息權(quán)的財產(chǎn)損害賠償。有學(xué)者認為，個人信息權(quán)具有人格利益和財產(chǎn)利益雙重屬性。[22]109因此，侵害個人信息權(quán)也可能帶來一定的財產(chǎn)損失。對此，《民法典》第1182條可提供法律依據(jù)，即侵害人身權(quán)益造成財產(chǎn)損失，被侵權(quán)人有權(quán)獲得賠償。事實上，相比較姓名權(quán)、隱私權(quán)等其他具體人格權(quán)，個人信息的財產(chǎn)利益屬性更強，特別是個人支付類信息，一旦泄露會導(dǎo)致直接的財產(chǎn)損失，因此更需要侵權(quán)損害賠償來保護。

最后，侵害個人信息權(quán)的精神損害賠償。精神損害賠償實際上是因人格權(quán)遭受不法侵害而導(dǎo)致的受害人或其近親屬精神上的痛苦或生理、心理上的損害的賠償。我國《民法典》第1183條對精神損害賠償進行了規(guī)定，賠償?shù)那疤崾窃斐伞皣乐鼐駬p害”。應(yīng)該說，侵害個人信息權(quán)也可能造成嚴重精神損害，特別是侵害個人信息中的“私密信息”，往往會給權(quán)利主體的名譽帶來極大的負面影響。因此，《民法典》第1183條也可為侵害個人信息權(quán)的精神損害賠償提供依據(jù)。

五、結(jié)語

當前，個人信息越來越成為一種重要的生產(chǎn)力。網(wǎng)約車、線上購物等各大互聯(lián)網(wǎng)平臺也越來越重視個人信息經(jīng)濟價值的攝取。但是，對于個人信息的大規(guī)模使用甚至濫用，無疑會損害個人信息主體的人格權(quán)。在這種背景下，《民法典》采取的權(quán)益保護模式已不符合現(xiàn)實的迫切需求，并帶來保護力度不足、《民法典》體系紊亂等諸多問題，進而導(dǎo)致個人信息權(quán)益保護難以落實。從個人信息本身屬性來看，它有自己特殊的、獨立的存在價值，完全可以成為受民法保護的權(quán)利客體，而且GDPR等境外最新的立法經(jīng)驗已經(jīng)對個人信息予以權(quán)利化保護。鑒于此，我國沒有理由排斥對于個人信息保護的權(quán)利化。從改進路徑來看，我國應(yīng)在《民法典》中賦予自然人個人信息權(quán)，并明確其內(nèi)涵與外延。最重要的是要強化信息自決，讓個人信息主體自己占有和控制個人信息。在具體路徑上，應(yīng)當完善個人信息保護的人格權(quán)請求權(quán)，同時以侵權(quán)責(zé)任有效銜接個人信息權(quán)的具體權(quán)利，從而實現(xiàn)對損害個人信息權(quán)的有效救濟。當然，在法律當中將個人信息上升為民事主體的權(quán)利僅是在信息時代對個人信息實行強有力保護的第一步。在個人信息日益成為重要生產(chǎn)資料的當下，還需要在司法與執(zhí)法當中真正實現(xiàn)對民事主體個人信息權(quán)的有效保護，在學(xué)術(shù)研究層面，未來更應(yīng)當關(guān)注個人信息保護的實證研究，以探求未來我國更為完善的個人信息保護。

注釋：

① 中國政法大學(xué)民商經(jīng)濟法學(xué)院陳航為本文作出了重要貢獻，特此致謝！