1、个人信息的识别型定义较为科学,并提出人格权是个人信息民法保护的权利基础。随着个人信息所体现的商业价值日益明显,个人信息财产化趋势显现出来。个人信息的财产权保护遇到了理论障碍,本文通过分析批驳了这些观点,并得出个人信息可以具有财产属性。尽管人们对个人信息保护的必要性基本达成了共识,但是各国立法所采取的保护模式有所不同,主要可分为自律主导模式与立法主导模式两种。经过分析得出,我国个人信息的民法保护应借鉴立法主导模式,尽快出台个人信息民法保护的相关立法,对个人信息本人的权利、个人信息收集者或使用者的义务以及侵害个人信息的民事责任等予以明确规定,以期构建完善的个人信息民法保护制度。3确定身份的人,尤其
2、是借助于身份证号码或其他一些有关身体、心理、精神、经济、文化或者社会身份等特定因素可以直接或者间接确定其身份的人”。本文认为,关联型定义对于个人信息的界定过宽,而且该定义强调信息主体特定或者得特定。因此如果收集了个人信息,但是该信息又没有与特定的主体对应的确定,就不属于个人信息法的调整范围,在实践中又可能放纵对个人信息的侵害。隐私型定义是植根于美国隐私法土壤的产物。自从 1890 年 Samuel D. Warren与 Louis D.Brandeis 二人在哈佛法学评论上发表著名的隐私权一文以来,通过判例和立法隐私权被确立和丰富起来。其调整范围囊括了私人的秘密、姓名或者肖像、私生活和不实形象
3、等,并扩展到了私人生活的各个方面。而各国立法及判例对于隐私的规定却不都如此。我国对隐私的保护采取间接方式,即当隐私权受到侵害时,通过名誉权制度调整。鉴于此,本文认为如果照搬美国做法,以隐私来定义个人信息欠妥。识别型定义为目前国内多数学者所赞同。与前两种学说相比,识别说所划定的范围更加科学、宽严适度。但该说也存在缺陷:第一,判断个人信息是否具有可识别性有时难以通过一条或者少量信息做出,而是需要多方面的信息汇总来综合判断。第二,识别性也与信息所处的环境有关系。在某些环境下,信息可能被认为不具备识别性特征,而当环境改变时,信息便具有了可识别性。4这里的环境改变,可能是指信息在不同收集人、处理人或者信
4、息受让人之间流转。这种模糊性就给司法实践留下了自由裁量的余地,法官需要结合各方面的因素对识别性做出判断。当然,如若通过司法解释等方式对这种自由裁量权加以适度限制,并对个人信息的识别性判断标准加以细化规定的话,在实践中还是可行的。(二)个人信息的法律特征1.个人信息可以直接或者间接地识别主体身份直接识别是指无需其他信息辅助既能识别出信息主体身份,这类信息包括肖像、姓名、身份证号码等;间接识别是指要有其他信息辅助才能识别出信息主体身份,这类信息包括性别、兴趣、职业、学历等。2.个人信息的内容具有多样性随着社会的发展,个人信息所涵盖的内容越来越丰富,已经不限于姓名、肖22009 年,中央电视台报道了
5、某省电信服务商大量兜售客户信息一事,引起国人广泛关注。在巨大商业利益驱使下,许多机构大肆收集、使用、兜售个人信息,给我们生活带来了极大侵扰。社会各界对个人信息保护的呼声愈发强烈,我国立法机关也开始关注这一问题。合理的界定是对个人信息进行有效保护的前提,本文以个人信息的界定为逻辑起点,展开对个人信息民法保护的讨论。各国立法对“个人信息”的界定并不一致。周汉华先生曾指出:“概念的不同主要源于不同的法律传统与法律习惯,实质上并不影响法律的内容”。1但对个人信息的科学界定是展开论述的前提与基础,有必要讨论。(一)个人信息的概念对于个人信息的定义,主要有关联型定义、隐私型定义和识别型定义三种:1.关联型
6、定义德国法上的个人信息强调“个人关联性”。德国个人资料保护法第 3 条规定:“关于特定或得特定之自然人属人或属事的个人资料”。据此,如果不能确定所收集资料的关联方,就不受该法调整。2.隐私型定义隐私型定义主要由美国等国家所采用。美国 Parent 教授认为:“个人信息系指社会中多数所不愿向外透露者(除了对朋友、家人等之外);或者是个人极敏感而不愿他人知道者(如多数人不在意他人知道自己的身高,但有人则对其身高极为敏感,不予外人知道)”。23.识别型定义欧盟 1995 年的个人数据保护指令(以下简称指令)对个人信息的界定,是典型的识别型定义。该指令第 2 条规定:“个人信息是指与一个明确的自然人或
7、可识别的自然人身份有关的信息。所谓可识别的人是指可以直接或者间接5个人的私我自主领域,都可以纳入隐私保护的范围。这里的隐私概念,与美国的政治文化传统相切合。9由普洛赛尔教授主持的美国侵权行为法第二次重述对隐私权作了系统的规定,确认隐私权为一种独立的权利,并规定了侵害隐私权的四种类型:不合理地侵入他人的隐私、盗用他人的姓名或者肖像、不合理地公开他人的私生活、公开他人的不实形象。10与此不同,大陆法系国家对隐私的保护一般限于个人私生活。德国法上并没有直接规定隐私概念,而是通过民法与基本法对于人格权的保护,实现美国法上的隐私保护的效果。德国民法典第 823 条第一项规定:“因故意或过失不法侵害他人之
8、生命、身体、健康、自由、所有权或者其他权利者,对被害人负担赔偿责任”。一般认为生命、身体、健康、自由是人格权的核心,其保护的范围与前述 Prosser 所列的范围有部分的重叠。在“其他权利”之下,通常认为包括其他的人格权,其保护范围主要为个人领域、私领域、亲密领域。再如法国民法典第 9 条规定了个人私生活不受侵犯,俄罗斯民法典第 150 条规定了对个人生活、个人秘密和家庭秘密的保护等。大陆法系一般都将姓名、肖像、名誉纳入到具体人格权中予以保护,确立了姓名权、肖像权、名誉权制度。隐私权只是与这些具体人格权并列的一种人格权,其范围比美国法上的隐私权范围要小的多。可见,大陆法系的人格权制度相当于英美
9、法系的隐私权制度。目前我国在立法上没有将隐私权作为一项独立的人格权,当隐私受到侵害时需通过名誉权制度来救济。民通意见第 140 条第 1 款规定:“以书面、口头形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为损害公民的名誉权的行为”。我国理论界对此一直颇有微词,呼吁建立我国的隐私权制度。本文认为,我国的立法基本沿袭了大陆法系模式,建构了人格权制度。因此隐私权制度应作为一种与姓名权、肖像权、名誉权等具体人格权并列的一种独立的人格权,有自身独特的法益,不应将其泛化为无所不包的概念。在个人信息保护立法时,如果照搬美国模式,将隐私权作为个
10、人信息的基础,势必与我国的法律体系不相容,造成理论上的错乱。1977 年德国个人资料保护法就规定个人资料保护的目的在于保护隐私。问题不久便暴露出来,最后德国不得不放弃了隐私权保护模式,转而寻求4像等传统的个人信息。对其作以归纳,主要有如下几个方面:(1)个人的身份信息、健康状况。用户在网上开户、申请邮箱等注册信息往往包含了大量这类信息。(2)个人的信用和财产状况,包括信用记录、消费记录以及交易密码、帐户等。(3)活动踪迹。这又可以分为两类:一是个人在网上的活动踪迹,如具有跟踪功能的 Cookies 软件所收集的主体的浏览记录、IP 地址等;二是个人在现实生活中的活动踪迹。随着科技的发展,植入式
11、芯片技术、卫星定位系统走入人们的生活,使搜集、记录人们的活动信息成为可能。53.个人信息的主体是自然人目前大部分国家的立法,都将个人信息的主体限定为自然人。对于法人能否成为个人信息的主体,没有完全达成一致。笔者认为,个人信息的主体只能为自然人,不包括法人。原因有三:首先,自然人的个人信息保护以人格权为基础,法人虽享有表彰其主体独立人格的人格权,但在范围和内容上与自然人的人格权有很大差异,因此不易将法人认定为信息主体;其次,法人的信息所体现的价值和功用与个人信息迥异,二者应由不同的法律分别保护,如反不正当竞争法等;再次,出于立法成本和执行成本的考虑,限制企业的信息流通会加大交易成本。个人信息应受
12、民法保护已经被广泛认可,但是立法需要理论层面的诸多支撑,个人信息的民法性质为何必须厘清。笔者认为,将个人信息的权利基础认定为人格权较为合理,并且个人信息可以具有财产属性。(一)个人信息的权利基础不少学者认为,隐私权是个人信息的权利基础6,也有学者认为一般人格权是个人信息权的权利基础7。探讨这一问题的前提是对隐私权制度及一般人格权制度有正确而全面的理解。隐私权最早发源于美国。Warren 和 Brandeis 将隐私界定为“一种个人信息免受刺探的权利(the right free from prying)”8,并且通过若干古老的案例指出存在这样一条原则,即个人不被打搅的权利以及私人事务不被非法公
13、开的权利应受到法律保护。两位作者强调的并不仅是资讯保密这种隐私而已,一切属于6本国比较完善的人格权制度。11我国在个人信息立法时如果采用个人隐私概念,可能出现两种状况:一是扩大我国立法与理论中的隐私的范围,这将重蹈德国立法的覆辙,造成民法体系的混乱;二是按照大陆法系的“个人隐私”概念来立法,这又将导致对个人信息保护范围过窄,失去了立法的意义。综上,我国个人信息保护制度的权利基础应是人格权,而不应仅限于隐私权。(二)个人信息的财产属性1.个人信息财产化的表现随着网络与信息技术的发展,个人信息所体现的巨大经济价值越来越明显。个人信息开始成为一种商品,在不同的主体之间展开交易。具体而言,个人信息财产
14、化主要表现在两个方面。第一,个人信息的直接商品化个人信息直接商品化,是指个人信息本人或者使用人为商业目的将其占有的个人信息作为商品转让的现象。12个人信息的直接商品化可因交换的主体不同而分为两种情况:一是个人信息本人为了获得一定利益而出售个人信息或者作为交换的对价而与信息需求者交易。许多时候,主体要获得一定的商品或服务,不得不提供个人信息作为对价。二是个人信息本人以外的信息持有者为了经济利益,而将其所持有的个人信息出售。这里的个人信息持有人即包括合法持有人,也包括非法持有人。我国的电信企业、金融企业、网络运行商等掌握着大量客户个人信息的机构,常为了商业利益出售所持有的客户个人信息。第二,个人信
15、息的二次开发利用个人资料的二次开发利用,是指主体将所掌握的个人信息,经过信息的挖掘、分析和加工等方法得到更有价值的信息,从而实现进一步开发利用之目的的过程。13对个人信息二次开发利用的常见形式是将重多主体的个人信息按照一定的方式组成数据库,该数据库多反映某种群体的共性来满足自身或者其他数据库使用人的需要。14作为集合的个人信息数据库,比作为其组成部分的个人信息具有更高的商业价值。2.个人信息财产权保护的理论障碍及其分析个人信息的财产化现象在上文已经论述,那么个人信息权作为一项人格权,能否适用财产权保护模式存在较大争议,个人信息的财产权保护遇到了障碍。笔7者列举了三种反对个人信息适用财产权保护制
16、度的观点,并对三者进行了分析与批驳。(1)传统人格权理论及其分析在大陆法系,人格权与财产权有严格的区分。传统的人格权保护的是人格的尊严性利益或称精神性利益,认为人格权独立于财产性权利,主要表现在:一方面人格关系本身不以财产为客体,也不以财产为内容;另一方面,人身关系受到侵害时也无法采取等价补偿的方式获得救济。另外,人格权不如财产权那样可以自由地进行利用、处分和转让,也不适用财产法的一些基本原则。15然而任何理论无论多么经典,也都存在时代局限性。在信息时代,新的财富形式不断涌现,传统的人格权理论和财产权理论不断受到挑战。人格权的保护标的,可以同时具有财产法益的性格。本文认为,人格权的标的可以成为
17、财产权的标的。这一点可以在著作权与肖像权的司法实践中寻找答案。比如,著作权的权利标的是著作,而著作权就区分为著作人格权与著作财产权两种法益。就人格权部分而言,任何的精神创作都是作者本人人格、思想、观念、技巧等的表现与延伸,是其人格的客观化。就其财产权而言,精神创作往往具有市场上的财产价值。再如,经本人许可使用其肖像并为此支付相应报酬的现象十分常见。这种对“肖像利用权”的保护就意味着承认肖像的财产权的属性。16从这个角度思考,人格权的标的,如姓名、肖像、信息等,未尝不可成为财产权的标的。王泽鉴先生就曾指出:“依传统见解,人格权乃存在于权利人自己人格上的权利,因出生而取得,因死亡而消灭,在权利关系
18、存续中不得让与或抛弃,系属所谓的非财产权。值得注意的是,随着社会经济活动的扩大与科技的发展,特定人格权已进入市场而商业化,具有一定经济利益内涵,应肯定其兼具有财产权的性质。”17综上所述,个人信息可以兼具财产权的性质。(2)侵权法保护观点及其分析依据侵权法可以部分实现对个人信息的保护。笔者认为,侵权法模式不能形成对个人信息的有效保护,尤其对个人信息的财产利益的保护更是鞭长莫及。侵权法对个人信息的保护存在以下问题:首先,在责任认定上,个人信息受到的损害是难以认定。侵权法仅仅在人格权受到严重受损并且给受害人带来了极度的精9行使也受到各种限制,不具备所有权的各种权能,比如知识产权必须受制于严格的程序
19、并且权利的存续期限也有限等。因此,被贴上财产标签的权利,不会理所当然的具有一项所有权所具有的各项权能。即使一项利益缺乏财产权通常具备的一些特质,人们仍然有可能出于一些目的而将其视为财产权。因此,无形财产可以被认定为财产权的客体。当然,我们也清楚的意识到,这种财产利益被贴上“财产”标签仅仅是简单的象征着这样一个事实:法院可以执行这一项有金钱价值的权利请求。23美国著名经济学家波斯纳认为有效益的财产权体系应具有三个特征:普遍性、排他性和可转让性。24在承认财产包括无形财产的前提下,依据波斯纳的观点可以得出个人信息可以成为一项财产。首先,个人信息成为人们竞相追逐的稀缺资源,它所体现的商业价值越来越明
20、显。而且这种权益属于个人信息本人所有。其次,个人信息作为一种稳定的社会资源,基于人的存在而产生,但却能脱离于人而独立存在并且自由流转,同时信息本人又不丧失对信息的控制与支配。再次,个人信息的商品化趋势日益显现,个人信息的可转让性毋庸置疑。综上,笔者认为,可以将个人信息纳入财产的范畴。综上所述,对于同一个侵害行为,从不同的角度观察可得出的结论可能不同。台湾学者刘厥安曾举了这样一个例子:某人未经汽车所有人同意私自驾驶该车兜风,可能涉及无权占有、不当得利以及财产法上之侵权行为。从美国法的立场,则还可能涉及对隐私权的侵害。同理,对于侵害个人信息的行为,究竟侵犯了人格方面法益还是财产法益,取决于主体从什
21、么角度观察问题。这就是人格权与财产权之间的“过渡性格”。25具体地说,受到侵害的主体可以根据实际情况选择适用不同的保护方法:第一,如果侵权行为只造成了个人信息主体精神性或者人格性利益的损害,那么受害人可以诉诸于人格权制度,通过停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等方式实现救济。第二,如果侵权行为只造成了个人信息主体财产利益的损害,那么受害人可以适用财产法上的制度保护自己,通过侵权人的全面赔偿来弥补受害人的损失。第三,如果侵权行为对信息主体的精神性人格利益及财产利益均造成了损害,受害人可以寻求人格权与财产权制度的双重保护,既要求侵权人承担人格权10法上的责任,又要求其赔偿受
22、到的财产损失。当然,判断所受的侵害的性质是比较复杂的。有学者提出可以根据侵权人的主观目的和侵权损害结果两种标准来判断26,不失为一条好的思路。神痛苦时才予以保护。所以如果这种侵扰是轻微的,受害人承受精神痛苦较小,甚至没有遭受精神痛苦而只受到财产损失时,侵权法则不予救济。如果不承认个人信息的财产属性,这种财产损失在财产法上也找不到权利基础。侵权法在个人信息保护上的无奈在美国法上也出现过。如在 Shibley v. Time 案及 Dwyer v.American Express Co.案中,个人信息盗用给当事人带来的损失均无法在侵权法领域得到救济。18其次,在责任承担上,传统侵权法对于人格权的保
23、护,仅限定在精神性利益范围内,没有考虑人格权可能具有的财产属性。因此权利人只能消极的保护自己的权利,不能以积极的方式控制、决定权利的行使。当权利受到侵害时,也只能要求停止侵害、恢复名誉、赔礼道歉等。即使获得金钱性赔偿,也不同于财产权受损时的赔偿。财产损害赔偿采取完全赔偿原则,而人格权损害不适用完全赔偿原则,赔偿范围仅限于只赔偿精神利益的损失,无法全面填补受害人的损害。19刘德良先生也对侵权法保护模式持否定态度,理由有:一是侵权法的保护方法过于消极,不利于主体积极行使权利,不利于促进信息产业的健康发展;二是侵权法保护模式不能为个人信息保护提供一套明确、清晰、连贯如一的保护机制;三是从制度经济学上
24、讲,采取财产权保护模式更有效。20本文亦赞成该观点。(3)传统财产权理论及其分析“财产”一词有三种不同的理解:第一,最广义的财产,即作为政治学范畴的财产;第二,作为日常使用的概念上的财产,如土地和动产;第三,一种较为广义或隐喻性的财产,其包含了无形财产。21传统民法上所指的财产是第二种涵义,将无形财产排除在外。依传统理论,个人信息属于无形财产,因此不能认定其有财产权属性。此外,它也不具有作为一项财产权通常应具有的权能。笔者认为,无形财产的财产权地位应该得到确认,而且一项权利被认定为财产权也不必具备财产权的所有权能。无形财产可以作为隐喻意义上的财产,成为财产权的客体。知识产权具有财产属性已被接受
25、和采纳。即使做粗略的考察,也会发现绝大多数知识产权只是一种古怪的受到限定的财产而已。22这里的“财产”便是隐喻意义的,他不能与典型的财产权形式相提并论。应看到尽管专利产品、著作权作品以及贴有商标的商品都可以被物化的占有,但知识产权本身却是非物质的无形物。此外知识产权的11信息在不同主体之间的自由流通,有利于创造更多的社会财富。但是,在利益的驱使之下,大量个人信息被收集、贩卖、利用,信息市场处于无序状态。这些现象已经严重的影响了人们的日常生活,到了不得不加以规制的时刻。个人信息保护的必要性已经得到广泛认同,其中个人信息民法保护的意义更加突出。在此基础上,对于个人信息的民法保护应当采取何种模式,各
26、国立法则有所不同。个人信息保护应当是由民事、行政、刑事三个层面有机结合的体系。信息时代对个人信息的侵犯一旦发生,首先应通过民事立法来规制,这是第一个层面民法的保护。其次可由国家的公权力来介入,这时就进入第二个层面行政法的保护,通过个人信息保护法所规定的行政法律责任,由政府监管来解决,政府可以通过吊销执照、行政罚款、行政检查等方式保护个人信息。当行政法的力度也不够时,就上升到第三个层面用刑法追究刑事责任,这也是那些滥用个人信息的机关或者个人最害怕的一种手段。27个人信息保护的核心是对公民生活私领域的保护,因此民法作为私法在这三个层面之中起到的作用应该是基础性的、必不可少的。个人信息民法保护的必要
27、性体现三个方面。(一)确立个人信息民法保护制度是保护公民私权益的需要信息与网络技术的发展带动了社会的进步,但也带来了许多社会问题。今天,个人信息的收集、处理与利用变得如此简单,这给个人信息的保护提出了严峻的挑战,给我们的生活带来诸多困扰。不管是进行网上注册还是办理各式各样的银行卡、会员卡等都需要填写详细的个人信息。事实上收集如此多的个人信息并无必要,商家的真正意图是利用个人信息进行进一步的商业营销。而且,许多个人信息是在本人不知情的情况下被收集和利用的。定位系统和跟踪软件的应用,使人们的行踪一览无遗。网络上流氓软件、间谍软件的泛滥,使对网民网上行踪的监督与记录变得轻而易举。种种侵犯个人信息的行为,严重干扰了人们的日常生活的安宁,不仅是对公民私权益的侵害,也是对公民自治的一种践踏。在这个问题上,由于我国的信息产业起步不久,没有形成有效的个人信息保护机制。同时现有的部分规定,行政色彩浓重、可操作性差,因此商家对个人信息保护漠不关心,或者仅仅制定保护个人信息的宣誓性政策,没有告知、赋予用户具体的权利。由于历史和文化原因,我们对隐私和个人信息的保护意识很淡薄,在个人信息受到侵害时通常不会去捍卫自己的权益,这也纵容了商家的个人信息侵权行为。因此,确立个人信息民法
