项定宜

摘要：大数据时代充分利用个人信息的迫切需求，对各国个人信息保护法提出了巨大挑战。个人信息的人格属性和财产属性、个体性和社会性的矛盾统一于个人信息的利用行为中。然而，各种个人信息识别信息主体的程度各有不同，在社会交往活动中的媒介作用不同，与人格尊严的紧密程度亦不同，实践中不应当对个人信息采取单一的保护模式。对于同时满足间接识别性、社会性强、非敏感性三个特征的个人信息，与信息主体的人格尊严联系较为疏远，不必采取传统的人格权保护模式，采取财产权益一元保护的模式即可。而对于符合直接识别性、个体性强、敏感性任何一个特征的个人信息，应当采取二元保护模式，即人格权益和财产权益共同受到保护的模式。

关键词：个人信息；类型化；区分保护

中图分类号：D913 文献标识码：A 文章编号：1673-8268（2017）01-0031-08

当前，全球进入大数据时代。在党的十八届五中全会上习近平总书记提出我国在“十三五”期间实施国家大数据战略和“互联网+”行动计划，推动个人信息在新闻传媒、电子商务、征信、保险、金融、医疗等领域充分地被利用。然而，大数据时代对个人信息保护提出了更大挑战。如何实现信息利用与信息保护的平衡，是当代法学理论研究的重大课题。

近十年来法学界对个人信息保护展开了深入研究，学术成果颇丰，主要包括以下几个方面：第一，个人信息的民法保护研究。从合同法、侵权责任法对个人信息的民法保护展开研究，保护个人信息时兼顾信息流通：第二，个人信息控制权的研究，主要从信息主体控制个人信息利用决定权的方面研究个人信息的保护，侧重信息主体的人格权。第三，个人信息商品化的研究，强调个人信息商业利用的合法要件，以及对个人信息财产利益的保护。第四，特殊领域个人信息保护研究。如对征信业、电子商务业、银行业、医疗业等行业个人信息利用中的法律问题进行研究。

上述研究中，学界达成共识的观点有：第一，尽管个人信息与隐私有交差，但个人信息仍然不同于隐私，应当对个人信息单独保护；第二，个人信息同时承载人格利益和财产利益；第三，个人信息在大数据时代应当得到充分利用，兼顾个人信息保护与信息利用。但是，大数据时代背景下个人信息保护模式尚未达成共识，如哪些个人信息侧重保护人格利益，哪些个人信息应当同时保护人格利益和财产利益，哪些个人信息只需要保护财产利益即可，学者之间尚有争议。要真正解决大数据时代个人信息利用中的个人信息保护问题，需要全面、透彻地分析个人信息保护的客体——个人信息本身。目前，学界缺乏对个人信息深入、类型化的研究成果。笔者将在下文对个人信息展开类型化研究，在此基础上提出个人信息区分保护的建议，以期对立法和司法实践有所助益。

一、个人信息的属性

正如有学者曾指出的，信息时代对民事权利客体理论提出了重大挑战，个人信息作为个人信息权益的客体，尤其值得研究。关于个人信息的称谓，目前与此相关的称谓包括个人资料、个人数据。个人数据、个人资料（data）是指不以文字为限、表明个人信息的符号系列，是个人信息的表现形式。台湾地区1995年的《电脑处理个人资料保护法》、香港地区1996年的《个人资料（私隐）条例》以及澳门特别行政区2005年的《个人资料（数据）保护法》均采用个人资料（数据）的称谓，而日本、俄罗斯立法采用“个人信息”的称谓。个人信息为个人资料所体现的内容，立法一般保护的只能是以可处理的个人资料为形式的个人信息，如欧盟1995年《数据保护指令》第1条规定该指令保护个人数据处理中的隐私权，该指令将保护对象限定为可处理的数据，第2条（a）将个人数据（信息）规定为是指任何与确认或者可以确认的自然人（“数据主体”）相关的信息。因此，尽管个人信息、个人资料、个人数据三个概念从文义上有些许差异，但从个人信息保护的角度论及三个概念时基本没什么差别，本文统一采用个人信息的称谓。

对于个人信息的界定，学者们见仁见智。王利明先生认为，“个人信息是指与特定个人相关联的、反映个体特征的具有可识别性的符号系统，包括个人身份、工作、家庭、财产、健康等各方面的信息”，强调个体性、可识别性以及表现为符号系统。周汉华先生认为“个人信息是指与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息，包括个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息”，侧重识别性、与自然人相关。齐爱民先生认为“个人信息是可固定、可处理的一切可以识别本人的信息的总和”。刘德良先生认为“个人信息是指那些据此能够直接或间接推断出特定自然人身份而又与公共利益没有直接关系的私有信息”，其主张个人信息具有识别性、私有性。目前各国个人信息保护法对于个人信息的定义，一般也是以“识别”为核心标准，即指与个人相关的，能够直接或间接识别特定自然人的信息。从上述对个人信息的界定不難看出，学界以及立法规范普遍认为个人信息有三个特点：第一，个人信息与自然人相关，具有人格属性。第二，个人信息体现在可再现的载体上，可处理并直接或间接识别自然人。如同知识产权保护可再现的智慧成果，个人信息保护法保护可处理的个人信息。第三，个人信息反映了主体的个性特征，具有个体属性。笔者赞同个人信息的上述三个特点，个人信息是指能够直接或间接识别自然人、并可处理的信息。个人信息的识别性已达成学界共识，但是针对个人信息人格属性和个体属性的认识，笔者有不同观点，下面将详细阐述。

（一）财产属性日益突出

毋庸置疑，个人信息蕴含着人格利益，具有人格属性。人的生物信息对于主体的自我认同具有重要意义，社会文化信息作为社会交往的媒介符号具有主体识别功能，均表征着主体的人格尊严。信息社会中，信息呈现着信息主体的信息化外观，被作为人际交往的个人代号。个人信息的识别性使得个人信息在一定程度上依附于自然人的法律人格而存在，一旦他人未经信息主体的允许而使用、披露其个人信息，信息主体的人格尊严即受到侵害。endprint

除了明显的人格属性外，个人信息还具有财产属性。随着云计算、传感器等技术的发展与应用，大数据时代应运而生，个人信息得到前所未有的充分利用，其中显然包括商业利用。无论是数据挖掘与分析带来的高效经济、科学医疗，还是包括商业推送在内的精准营销提高了广告有效性，节省了交易成本，社会一般民众普遍从信息利用中受益。这种利用也能为社会通行的伦理观念所接受，因为个人信息属于符号性人格利益，可以与人身相分离，其被商业利用不违反社会公认的善良风俗。正如国内一位学者认为，判断人格要素是否具有财产属性的标准有：第一，该人格要素事实上能否进行商业利用；第二，这种利用能否为社会通行的伦理观念所接受，是否符合社会发展的需要。信息社会推动了个人信息的商业利用，个人信息在商业利用中凸显了其财产价值。

能够同时满足上述两个标准、兼具人格利益和财产利益的人格要素并非只有个人信息，王泽鉴先生认为，这类人格要素“从最初的肖像、姓名，逐渐扩展到声音、个人资料”。并非所有人格要素都兼具财产属性，法律只能依据社会发展需要肯定部分人格要素具有财产属性，肖像、姓名、声音、个人信息这一类人格要素可以与主体相分离，有商业利用的可能性，事实上进行了商业利用，并且为社会一般观念所允许，因而兼具财产属性。当然，财产属性并未否定其人格属性。

由此可见，个人信息不仅具有人格属性，而且可以与主体相分离，其商业利用为社会一般观念所允许，因此同时具有财产属性。

（二）社会属性不断增强

个人信息是识别自然人的信息，该信息最初由个人提供，与个人直接相关，体现了其个体属性。个体属性决定了信息主体享有个人信息控制权，其有权决定是否以及多大范围内公开其个人信息。信息社会对个人信息的个体性提出挑战，例如，在电子商务活动中，用户只有提供自己的姓名、联系方式、住址等个人信息，商品才能被物流公司送至手中。建立在电商交易基础上的交易评价和售后服务制度加强了客户关系的建立，推动了精准营销的发展，从而降低了交易成本，提升了交易效率。对于交易双方而言，个人信息的交流促进了经济交往关系的持续性。此时，个人信息的社会属性得以体现。互联网技术主导下的网络社交体现了信息交流与分享的需求，个人信息的社会性更加凸显。正如杰里米·里夫金在其《第三次工业革命》一书中指出的，通信技术主导的第三次工业革命对自私自利和信息自我封闭提出挑战，激励了人类对社会性的普遍需求。

有学者以个人信息的内容为标准，将个人信息分为属人的个人信息和属事的个人信息，属人的个人信息反映主体的自然属性和自然关系，属事的个人信息反映主体的社会属性和社会关系，是信息主体在社会中所处的地位和扮演的角色的反映。属事个人信息的社会性自不待言，即使是属人的个人信息在社会交往中作为识别主体的符号，也体现了其社会性，如刑事案件中犯罪嫌疑人的身高、体型、性别、肖像等属人个人信息，个人信息的社会性对于交往主体而言尽管有导致信息泄露的风险，但是互联网经济带来的便利和交易成本的节省仍然促使人们充分利用个人信息这一媒介开展经济和社会交往。

个人信息的个体属性已被学者达成共识，但是相关著述文献对个人信息的社会属性关注较少。笔者认为，无论是属人或属事的个人信息，都已成为信息时代社会交往活动的交往媒介，其社会属性正在不断增强。

二、个人信息的类型化

关于个人信息的分类，学者们有不同标准，最典型的分类如下。

（一）直接个人信息和间接个人信息

可以直接识别个人的信息为直接个人信息，必须结合其他个人信息方可识别个人的信息为间接个人信息。直接个人信息和间接个人信息的划分比较客观，不会产生因人而异、因事而异的困境。有学者认为，侵害直接个人信息对个人的侵害远远超过侵害间接个人信息给个人带来的侵害，故有的国家立法只保护直接个人信息，有的国家立法则同时保护直接个人信息和间接个人信息。笔者认为，由于识别个人的程度不同，侵害直接个人信息对个人人格权益的侵害远远超过侵害间接个人信息对人格权益所带来的侵害。因此，对姓名、肖像等直接个人信息的法律保护比地理位置、消费习惯等间接个人信息的法律保护更为严格，法律对直接个人信息利用行为比间接个人信息利用行为的限制就更多。

（二）敏感个人信息和一般个人信息

个人信息在多大程度上是敏感的，不再仅仅取决于这一信息是否涉及到私密的经历，其内涵不易界定。国际个人信息保护立法都有关于严格禁止特殊类型个人信息的披露、传播和利用行为的规定，例如1995年欧盟数据保护指令第8条“特殊数据种类的处理”。我国《信息安全技术公共及商用服务信息系统个人信息保护指南》从违法利用个人信息的“不良影响”角度来界定敏感个人信息。然而“不良影响”的界定不周延，因为大多数个人信息的非法披露都会侵害到信息主体的人格尊严。再看国内一些行业行政法规，再如《征信业管理条例》第14条只是列举宗教信仰、基因、指纹、血型、疾病等敏感个人信息的外延，而没有对敏感个人信息的内涵进行定义。国内知名学者认为之所以无法界定内涵，是由于敏感信息较复杂，须结合本国国情界定。笔者认为，敏感个人信息是法律应当进行特殊保护的个人信息，具有地域性、历史性，不同国度、不同时代的敏感个人信息各有不同，个人信息保护立法应该明确限定敏感个人信息的外延。如《英国个人资料保护法》第2条规定，敏感个人信息包括种族、政治观点、信仰、工会所属关系、身体健康状况、性生活、罪行、刑诉判决；《爱尔兰个人资料保护（修正）法》第2条也有类似规定。

立法只有明确限定敏感个人信息，一般个人信息才得以确定。各国立法对一般个人信息的限制较小，允许一般个人信息的自由流通和商业利用，以促进整个社会对个人信息数据的充分利用，产生社会公共利益。立法者如果对敏感个人信息界定过宽，会导致信息产业乃至整个信息社会各行各业的停滞不前。立法对于敏感个人信息，应当严格限定范围并禁止其利用，而对于一般个人信息则应当采取放宽和鼓励利用的态度。法律限制一般个人信息主体的控制权，正如法律限制作者的著作权，实乃促进信息社会进步与发展之良举。侵害敏感个人信息的侵害行为，主要侵害了信息主体的人格尊严和人格权益，财产权益次之：与之不同的是，侵害一般个人信息的侵害行為，主要侵害的是信息主体的财产权益，人格权益次之，信息主体主要请求侵权人承担财产损害赔偿责任。endprint

（三）个体性强的个人信息和社会性强的个人信息

学者很少采取这种分类。个人信息源自个人，或者由个人提供，毫无疑问其具有个体性。但是不同的个人信息，其个体性与社会性的强弱程度各有不同。例如姓名、身份证号、手机号、电子邮箱，更多的是社会交往活动中的主体符号，肖像、声音、性别、身高、体重、学历、社会职务等个人信息则是社会活动中个人的直观表征，消费习惯、地理定位这类个人信息则是信息主体的动态行为信息，这些个人信息在社会活动中的意义甚至远甚于私人领域中的意义，其社会性强于个体性，笔者将这类个人信息界定为社会性强的个人信息。即社会性强的个人信息包括三类：作为社会交往主体符号的个人信息：社会活动中展示个人直观表征的个人信息；动态行为信息。反之，家庭住址、婚姻状况、性生活、基因等个人信息不属于社会活动中的交往符号，也不是直观的个体表征（而肖像、身高、体重能直观展现个人表征），也不是社会活动中的动态行为信息，其更多的属于个人私人领域，因此个体性强于社会性。笔者将这类个人信息界定为个体性强的个人信息，即同时满足非社会主体符号、非个人直观表征、非动态行为信息的个人信息。当然，对于社会性强的个人信息，我们并没有否认其个体性，只是强调其在社会交往中的意义超过了其个体性。

由此可知，依据上述不同分类标准，每种类型的个人信息对应地具有三个不同特征。对个人信息特征的分类研究，有利于揭示个人信息的类型标准。为便于对照，笔者根据个人信息能否直接识别信息主体、社会性强弱、是否为敏感信息以及保护模式等，将其进行分类，特制作如下图表（见表1）。

表1中第2、3、4栏是每类个人信息基本特征的表述，第5栏是对个人信息承载的权益分析的结果。姓名、身份证号、社会保险账号、肖像、声音这五种个人信息能够直接识别出信息主体，承载着典型的人格权益，对于这类个人信息的不当利用行为，司法裁判应当同时保护受害人的人格权益和财产权益。家庭住址、婚姻状况、性生活、收入和财产状况这四类个人信息与信息主体的私人生活联系紧密，且不能成为社会活动中的个人表征和联系媒介，同样承载着明显的人格权益，司法裁判也应当对受害人的人格权益和财产权益进行二元保护。银行账号及密码、基因、指纹、血型、病史、种族、宗教信仰、党派这些个人信息是国家法律规定以及行业规定中的敏感个人信息，非法利用行为首先侵害了信息主体的人格尊严，因此也应当进行二元保护。性别、身高、体重、手机号、电子邮箱、微信号、微博号、学历、消费习惯、爱好、地理定位、社会职务这些个人信息不能直接识别出信息主体，同时是社会交往中个人的表征、联系媒介或者动态行为信息，并且不属于法律严格禁止利用的敏感个人信息，这一类个人信息与信息主体人格尊严的联系较为疏远，非法利用这类个人信息的行为对主体人格尊严的侵害较小，更多是财产权益的侵害，因此采取财产权益一元保护即可。如果是财产权益一元保护，立法者则可以考虑采取事前财产补偿或事后财产损害赔偿的保护方法。

基于上述分析，我们可以总结出以下规律：

第一，直接性、个体性强、敏感性这三个特征占其一者，一般应当采取人格权益和财产权益二元保护，例如家庭住址和婚姻状况尽管是间接、一般个人信息，但由于具有较强的个体性，因而仍然承载着人格权益，应当采取二元保护。

第二，同时具备间接性、社会性强、非敏感性这三个特征，其承载的人格权益基本可以忽略不计，采取财产权益一元保护即可。

第三，间接个人信息、社会性强的个人信息或者非敏感个人信息是否承载人格利益，我们还应当结合信息收集的目的、信息处理和信息结合的可能性进行判断。如果同时满足间接性、社会性强、非敏感性三个要素的个人信息相互结合，能够直接识别出信息主体，或者在信息处理中成为敏感的个人信息，那么这些看上去不重要的個人信息就变得重要，仍然要采取二元保护。比如上述工作单位、社会职务如果与姓名、肖像等个人信息结合，那么其承载人格利益就毋庸置疑。

第四，可以肯定的是，在商业利用的目的下，任何个人信息均承载着财产利益，其财产权益均应当受到保护，以符合公平原则。刘德良先生主张运用黑格尔的财产权理论论证个人信息财产权保护的合理性，通过赋予信息主体财产权来促进信息流通。王泽鉴先生则认为个人信息财产价值不是独立于人格权的一项独立权利，但其保护接近于无体财产权。笔者认为，无论这种财产权益是独立的财产权，还是人格权附属的财产利益，其作为合法的民事权益可以纳入侵权责任法中民事权益一般条款的保护范围。

三、个人信息类型的个案裁量

表1中肖像、声音、身高、体重、社会职务、姓名信息的特征因人而异、因事而异，需要在司法裁判中进行个案裁量。司法裁判中，法官需要考量以下因素：

第一，行业特点。由于不同行业对个人信息利用的程度不同，各行业应当根据自身特点制定各行业下的敏感信息《信息安全技术公共及商用服务信息系统个人信息保护指南》有相关规定。例如医疗行业中患者的病史是典型的敏感信息，商业保险中投保人的病史、收入、财产状况都是敏感信息，银行金融业中用户的银行账号及密码、支出明细、账户金额等是敏感个人信息。《征信业管理条例》规定征信业中的敏感信息包括收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息，对于这类信息应当取得信息主体的书面明确同意。司法裁判者不仅应当依据未来个人信息保护法中敏感信息的外延来判断是否是敏感信息，还应当结合信息控制者、信息利用者所处的行业来裁断其是否侵害了敏感个人信息。

第二，活动场所。公共活动场所与私人领域中的个人信息敏感程度不同。姓名、肖像、电话号码、电子信箱等个人信息用于人际交往的社会活动中，不应当作为敏感信息。“高某某诉中国政法大学案”判决中法院认为“电话号码和电子邮箱信息仅是现代人为与他人进行交流的通讯手段，随时可以更换，并非附着于人身人格的一种权利”。工作单位、社会职务、学历因为通常与主体的社会活动交往密切相关，因此，敏感程度也较低。此时，纯粹私人领域中的个人身体缺陷、个人财产状况等敏感程度就强很多，司法裁判对其人格权益应有更多的认可和保护。endprint

第三，主体的个性特征。如身高过高或过矮的人对于身高信息就是敏感信息；病史对患有艾滋病、传染病的人而言就是敏感信息，而对于身体健康或普通疾病的人而言就是一般信息。肖像信息对于相貌丑陋的人是敏感信息，而对于大多数人则是一般个人信息。社会职务为一般个人信息，但对于担任特殊社会职务而不愿他人知晓的人，社会职务为敏感信息。只有在个案中针对极特殊的人群，这些信息才能成为敏感信息。再如一般情形下姓名是直接个人信息，但如果有几个姓名相同的自然人，就需要结合身份证号、性别等个人信息来识别自然人，此时姓名为间接个人信息。

第四，不同国家的法律规定。种族、宗教信息、党派是否是敏感信息，不同国家法律对此规定不同。我国《征信业管理条例》第14条第1款规定；“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。”1995年欧盟《数据保护指令》第8条第1款规定个人种族起源、政治观点、宗教或者哲学信仰、贸易伙伴，以及健康和性生活信息为特殊个人信息，原则上禁止处理、利用。

正如张新宝先生所言：“个人敏感隐私信息是一个动态范围，还应结合当下科技发展水平社会发展动态等灵活修正其列举类型。”只有立法的原则性规定与司法的灵活裁断相结合，才能科学、合理地界定敏感个人信息。 四、个人信息的区分保护

个人信息的法律保护，一直受到各国立法者的重视。德国自1983年“人口普查案”以来，采取个人信息控制权理论保护信息主体的人格尊严。2016年5月4日，欧盟正式颁布《一般数据保护法规》（The EU General Data Protection Regulation，GDPR），全面引入“数据可携权”“被遗忘权”等新型权利，增强用户对个人数据的“控制力”。GDPR的通过意味着欧盟对个人信息保护的重视及其监管达到了前所未有的高度。

然而，我国立法是否应当依循个人信息控制权理论保护个人信息？笔者认为，如果立法过于强调个人信息的个体性和人格属性，保护信息主体的信息控制权，则会导致信息主体回归信息封闭的状态，作为信息社会基本要素的个人信息无法成为信息社会的结构性要素。无视信息时代个人信息的社会性和财产性，不仅无法让个人信息“个体性与社会性”“人格属性与财产属性”的矛盾消除，而且会导致个人信息的滥用与隐性交易更加猖獗。

通过前文的分析，笔者认为应当对个人信息进行类型化的区分保护。关于区分保护，学者们已有不少著述。张新宝先生在其论文中主张区分敏感信息与一般个人信息分别保护，对于前者侧重保护，对于后者鼓励充分利用：学者张才琴、齐爱民、李仪在其著作中区分一般个人信息侵权行为和承担损害赔偿责任的侵权行为，前者指不具备财产损害要件的侵权行为，后者指具备财产损害并应当承担财产损害赔偿责任的侵权行为；刘德良教授的观点是根据个人信息所体现的人格权益或财产权益，分别进行保护；郭明龙博士建议在商品化中区分直接个人信息和间接个人信息，主张以财产规則保护前者，以责任规则和候补性合同规则保护后者。上述学者分别主张从区分敏感信息与一般信息、一般侵权行为与承担财产损害赔偿责任的侵权行为、人格权益与财产权益、直接个人信息与间接个人信息的视角进行区别保护。

这些学者对个人信息缺乏全面的类型化研究，区分保护的依据相对简单、绝对。笔者的观点是同时考虑能否直接识别信息主体、社会性强弱以及是否具有敏感性这三项要素，对每一种个人信息进行较全面的类型化分析，并在此基础上分析其保护模式。侵害同时符合间接识别性、社会性强、非敏感性三个特征的个人信息，其人格利益上的损害基本可以忽略不计，主要表现为财产利益的损害。对于这些间接、社会性强而且非敏感的个人信息完全不必采取传统的人格权保护模式，采取财产权益一元保护的模式即可。而对于符合直接识别性、个体性强、敏感性中任何一个特征的个人信息，与人格尊严联系较为紧密，必须采取二元保护模式，即人格权益和财产权益共同受到保护的模式。

五、结论

本文通过对个人信息日益明显的财产属性和社会属性的分析，从能否直接识别信息主体、社会性强弱、是否具有敏感性三个角度对个人信息展开全面的类型化研究，最终得出应当对两种不同类型的个人信息采取区分保护方法的结论。即同时符合间接性、社会性强、非敏感性的个人信息，应当保护信息主体的财产权益；反之，信息主体的人格权益和财产权益同时受到保护。对个人信息的区分保护，有利于实现大数据时代个人信息保护和个人信息利用的平衡。尤其是当个人信息保护立法对于社会不断出现的个人信息侵权行为表现出滞后性时，区分保护方法帮助司法裁判者在三段论推理中合理评价法律事实和规范，在具体个案中对不同类型的个人信息运用不同的保护规则，从而作出合理、合法的裁断，实现司法的实质公正显得尤为重要。

（编辑：刘仲秋）endprint