任丹丽

（东南大学法学院，江苏南京211189）

短短三天，电商巨头阿里系的菜鸟网络（以下简称：菜鸟）与国内快递老大顺丰速运（以下简称：顺丰）相互关闭互通数据接口的“丰菜之争”基本落幕。在国家邮政局的干预下，从2017年6月3日12时起，菜鸟顺丰双方已全面恢复业务合作和数据传输。据了解，这是国家邮政局第二次出手解决菜鸟顺丰之争。①参见胡嘉莉：《菜鸟顺丰互怼暂停重新合作筹码是啥》，《中华工商时报》2017年6月5日，第1版。看似没有竞争关系的电商业和快递业，上演愈演愈烈的数据之争，足以说明数据在现代社会的价值。然而，他们对用户数据享有何种性质的权利，他们对于数据安全负有怎样的义务，用户作为数据主体的权利如何保障，面对数据泄露数据主体能够如何救济，这些问题不能随着“丰菜之争”的结束而停止讨论。

一、“丰菜之争”的实质是用户信息控制权之争

2017年6月2日，菜鸟率先发布了《菜鸟关于顺丰暂停物流数据接口的声明》，称5月31日晚上6点接到顺丰发来的数据接口暂停告知；6月1日凌晨，顺丰就关闭了自提柜的数据信息回传；6月1日中午，顺丰又进一步关闭了整个淘宝平台物流信息的回传。针对菜鸟的这一声明，顺丰方面则给予反驳，称菜鸟单方面于6月1日零点切断丰巢（由顺丰主导建立的智能快递柜系统）信息接口，6月1日上午11时，顺丰才停止对阿里系平台的物流详情推送。顺丰并称菜鸟之所以封杀顺丰，背后原因是阿里方面希望顺丰放弃使用腾讯云改用阿里云。②菜鸟、顺丰两家公司的核心争议点在于，双方是否有超越权限查询用户数据的行为，以及谁先关闭了互通数据接口。双方均指责对方调取的用户信息超过合理使用范围，存在泄露用户信息的安全隐患。直到宣布和解，外界仍然不知道两家谁最先关闭了互通数据接口，以及到底是否涉及用户个人信息安全。③参见靳丽君：《菜鸟顺丰之争，用户权益该如何保障》，《检察日报》2017年6月8日，第1版。从中可以梳理出两家的争议焦点：双方争夺的物流信息是什么；企业是否有权收集这些来自用户的信息；企业是否有权直接获取由其他平台收集的个人信息。

（一）个人信息与个人数据在内容层面可以通用

按照《中华人民共和国网络安全法》（以下简称：《网安法》）第76条第4项和第5项的规定，网络数据与个人信息是表里关系。个人信息（如笔者于本文中论及的因使用快递服务而填写的收／寄件人的姓名、电话和地址）被服务商收集后以电子数据的形式存储在服务器上，甚至被其他主体获取，其貌似“数据”实际强调的是形式，“信息”强调的是内容；立法者规范的个人信息和个人数据都是以内容为实质对象的，可以等同。④《信息安全技术—个人信息保护指南》（GB／Z 28828-2012）是指我国首个个人信息保护的国家标准。该指南3.2规定：“个人信息（personal information）是可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。”这一规定也是将数据与信息互为表里使用和对待的。鉴于我国相关规范性文件多采用“信息”的称谓，除国外立法中的data翻译为“数据”，以及涉及大数据交易的论述之外，笔者于本文中统一表述为“信息”。

在国际立法层面，也存在个人信息和个人数据混用的情况。有的使用“data（数据）”，如欧盟1995年的《个人数据保护指令》（Directive 95／46／EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data）及2016年4月发布的《一般数据保护条例》（The EU General Data Protection Regulation），⑤欧盟《个人数据保护指令》（95／46／EC）第2条规定：“个人数据指与一个身份已确定或身份可确定的自然人（数据主体）相关的任何信息；身份可确定的人是指其身份可以直接或间接，特别是通过身份证件号码或一个或多个与其身体、生理、精神、经济、文化或社会身份有关的特殊因素来确定的人。”［德］Christoper Kuner：《欧洲数据保护法——公司遵守与管制》（第二版），旷野、杨会永等译，法律出版社2008年版，第97-98页。英国、德国、新加坡、马来西亚等国家都制定有《个人数据保护法》。有的国家使用“information”（信息）的概念，如加拿大《个人信息保护和电子文件法》（Personal Information Protection and Electronic Documents Act）等。在美国有关立法中，“信息”的外延明显大于“数据”。美国《统一计算机信息交易法》（UCITA）第102条a（35）和a（10）规定的“信息”是指数据、文本、图像、声音、计算机集成电路布局平面图作品、或计算机程序及上述对象的集合或汇编；“计算机信息”是指以电子形式存在的信息。⑥参见周忠海主编：《电子商务法导论》，北京邮电大学出版社2000年版，第392-399页。

（二）网络平台需依法获取个人信息

笔者于本文中提到的法律和指南，都对个人信息的获取和使用进行了明确规定（如《网安法》第22条第3款）。个人信息作为民事权利客体正式规定在《中华人民共和国民法总则》（以下简称：《民法总则》）（第五章）第111条：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”“为了适应互联网和大数据时代发展的需要”，⑦李建国：《关于〈中华人民共和国民法总则（草案）〉的说明——2017年3月8日在第十二届全国人民代表大会第五次会议上》，《人民日报》2017年3月9日，第5版。《民法总则》还在第127条对数据、网络虚拟财产的保护进行了原则性规定。这一规定较为原则，主要是考虑到数据、网络虚拟财产的种类的复杂性和不断发展变化的特征。⑧参见张鸣起：《〈中华人民共和国民法总则〉的制定》，《中国法学》2017年第2期。虽然《民法总则》在规范网络平台获取个人信息的程序方面不如《网安法》第41条规定得详细，⑨《网安法》第41条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”但是其坚持强调网络平台收集、使用、加工、传输个人信息的合法性。网络平台获取个人信息需要经过信息主体的同意，同意的方式主要表现为隐私协议。按照《网安法》第42条的规定，除了合法性要求以外，信息主体还可以依照隐私协议的约定行使相应的债权。未经信息主体的同意擅自处分个人信息的，也属于违法行为。⑩《网安法》第42条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”可见，顺丰和菜鸟双方互相指责使用对方系统中的个人信息，就有可能都在侵害信息主体的权利。即使双方存在合作关系，双方能否对存储在各自服务器上的个人信息自由支配，也应取决于个人信息上存在的权利或利益的性质，以及相关主体的权利或利益的内容。

二、个人信息控制权的性质因人而异

据公开资料显示，菜鸟是阿里巴巴集团旗下的物流数据平台，旨在进行数据整合，对接买卖双方。买家在淘宝下单发货后，菜鸟向顺丰等快递公司提供买家手机号码等信息，快递公司则向菜鸟回传物流信息。这样，在两家数据共享的基础上，卖家和买家都能够方便地在电商平台上追踪包裹轨迹。①参 见前注③，靳丽君文。从中不难发现，个人信息的控制者除了信息主体以外，还可能是信息的处理者和信息的控制者。②按照欧盟《一般数据保护条例》的规定，与数据相关的主体包括数据主体（data subject）、数据控制者（data controller）和数据处理者（data processor）。参见田新月：《欧盟〈一般数据保护条例〉新规则评析》，载肖永平主编：《武汉大学法学评论》（总第十九卷），武汉大学出版社2016年版，第467-469页。

（一）信息主体的控制权是人格权

个人信息来源于与自然人密切相关的信息。以美国为代表的发达国家，率先采取隐私权保护模式。在外延上，个人信息显然比隐私更为广泛，包括任何与主体的身体特征或身份有关的信息，诸如姓名、出生日期、教育背景、职业、身份证件号码、个人身体特征、指纹、婚姻、医疗及病例、犯罪前科、个人及家庭财务情况、家庭住址、通信联络方式等信息或数据。用保护隐私的方法来保护个人信息，尚存在性质、内容、客体范围、保护方式等方面的差异。

多数学者认为个人信息权属于隐私权或者人格权。在网络空间中，信息即是自然人的存在形式，自然人即是信息，相关的信息即可表征自然人。③参 见谭建初、李政辉：《论互联网中的隐私权：由一则案例谈起》，《河北法学》2001年第2期。基于个人信息与主体如此密不可分的联系，个人信息权也很自然地被划入人格权的范畴。少数学者认为个人信息权还包括财产权。齐爱民教授从人格权和财产权的两个角度，将个人信息视为新型人格权客体。④参 见齐爱民：《私法视野下的信息》，重庆大学出版社2012年版，第1-5页。刘德良教授主张个人信息财产权是主体对其个人信息的商业价值进行支配的一种新型财产权。⑤参 见刘德良：《个人信息的财产权保护》，《法学研究》2007年第3期。还有的学者支持个人信息财产化的观点。⑥参见洪海林：《个人信息财产化及其法律规制研究》，《四川大学学报（哲学社会科学版）》2006年第5期。可见，个人信息权即使被纳入人格权的范畴，也是具有鲜明的财产利益的人格权，这是《民法总则》在是否直接规定个人信息权问题上一直摇摆不定的原因。也正因为如此，在我国，个人信息权没有被我国《民法总则》规定为法定的权利类型，立法者只能将个人信息作为一种人格利益，在“民事权利”一节中规定对个人信息的法律保护，却无法明确规定个人信息权的内容、性质等。事实上，部分人格要素具有商业利益并且可以商品化使用，并非始于个人信息，这些利益的存在并没有改变人格权的本质属性。

1.人格权商品化并非始于个人信息

商品化人格权一方面是由人格权发展而来，具有人的尊严价值，另一方面又在市场经济条件下具有经济价值属性。将其放在传统人格权或是财产权中都不能完全反映其所具有的特质，也不能合理解决其所引争议问题，由此带来了对传统人格权、财产权理论的挑战。

人格权的经济内涵是市场经济下显现出来的客观事实，不是学者们逻辑推演出的新命题。只是囿于一定时期思想观念或公序良俗的要求，只能谨慎地承认一定范围内的人格权具有经济利益。一般而言，越是接近于人格利益核心部分，越难为商业所利用。例如生命、健康、身体等物质性人格权客体作为商品很难为人们所接受，而姓名、肖像等标表型精神人格权客体以及信用等部分尊严型精神人格权客体的商品化则更容易被大众认可。当然，即便是物质性人格权的客体，在与权利主体发生分离时也有可能成为财产，例如捐献的血液，已取出的可用于移植的器官、精子等都可以标价出售（基于伦理考虑限制此类交易另当别论）。由此可见，从人格到财产具有相当大的转化空间，未来实践的发展状况并非现在的人们所能准确预测。就目前而言，姓名、肖像、声音、名称等标表型精神人格权具有经济利益并且可以被商品化，这点已经成为共识。

2.信息主体可以通过许可使用取得报酬

对于匿名数据，数据库的制作者可能享有著作权，可以按照著作权法的相关规定实现数据交易。⑦数据交易在中国已成现实。按照贵阳、武汉、北京等大数据交易中心的规则，交易的数据基本上都是“清洗”后的匿名数据。对于个人信息，其鲜明的人格色彩决定了对其交易的规则应具有特殊性。有学者主张为了更加充分地开发人格权中的经济利益，应该允许人格权的有限转让，即通过法律明确规定几种具体的可商品化人格权的经济利益可以转让。⑧参见李锡鹤：《民法哲学论稿》，复旦大学出版社2000年版，第182页。然而，商品化人格权本质上仍是人格权，其附属的经济利益与财产权中蕴含的经济利益是不同的。人格权与人作为主体的尊严价值息息相关，转让意味着一项权利由一方完全移转于另一方，受让方将取得对权利的完全支配，出让方将丧失对权利的所有控制。如果真的允许权利人将自己的某一项人格权完全移转于他方，而自己丧失对该项权利的控制，即使该控制只限于商业利用方面，也很难想象该出让人还能继续保持其作为人的完整性。所以，允许人格权的转让，即使只是少数标表型人格权客体的有限转让或者只是某项人格权商业化利用权能的转让，都与人的伦理性相违背，都会妨害人格权保障人格独立、自由、平等和尊严的终极目标。因此，将商品化人格权许可给他人使用，只能是部分人格权商业利用权能的转移，并非人格要素永久性地与权利主体相分离，不能称之为转让。

商品化人格权中的经济利益经由他人得以实现，可以借鉴知识产权法建立商品化人格权的许可使用制度，赋予权利人许可他人商业化使用其人格标识的权利。许可使用关系建立以后，人格权人并不丧失某项人格权或人格权中的某项权能。商品化人格权的许可也可分为普通许可、排他许可和独占许可---普通使用许可合同的被许可人经人格权权利人明确授权，可以提起诉讼；排他使用许可合同的被许可人可以和人格权人共同起诉，也可以在人格权权利人不起诉的情形下，自行提起诉讼；独占使用许可合同的被许可人是适格原告，可以以自己的名义提起诉讼。人格权权利人和商家可以根据不同情况和需要签订某一类型的许可合同，这样就解决了学者们所争议的应否赋予授权使用合同“物权性”以使被许可人得以对抗第三方侵权者的问题。

报酬请求权实现的障碍在于，从现有数据保护立法的具体内容来看，无一例外都没有规定信息主体请求信息收集者支付报酬的权利。⑨参见蓝蓝：《网络用户个人数据权利的性质探析》，载张平主编：《网络法律评论》（总第16卷），北京大学出版社2012年版，第8页。这使忽略个人信息财产性利益的危害，走向了无视个人信息人格属性的另一个极端。目前国内外已经有一些学者主张基于“信息有价”的社会观念、全面保护网络用户利益及促进信息流动等需要，应当将信息主体的报酬支付请求权在法律中作出规定。⑩参见 Catherine M.Valerio Barrad，Genetic Information and Property Theory，87 Northwestern University Law Review1068，1070（1992）；Paul M.Schwartz，Property，Privacy and Personal Data，87 Northwestern University Law Review 2069，2071（1992）；齐爱民：《个人资料保护法原理及其跨国流通法律问题研究》，武汉大学出版社2004年版，第136-137页。齐爱民教授给“个人信息权”下的定义就是，依法对其个人信息所享有的支配、控制并排除他人侵害的权利，其权利内容具体包括信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权。①参见齐爱民：《信息法原论——信息法的产生与体系化》，武汉大学出版社2010年版，第81-85页。

（二）信息处理者的控制权可能是著作权

按照贵阳大数据交易所负责人的介绍，该所交易的是基于底层数据，通过数据的清洗、分析、建模、可视化后的数据，并不直接交易底层数据。在进入平台交易前，数据都要经过脱敏，抹去与隐私相关的信息，保障普通人的隐私。该交易所还严格控制交易所的会员准入制度，申请加入交易所的会员必须接受严格的资质及信誉审查。此外，数据买家也必须遵守交易所制定的保护条例，不得私自转售、泄露“数据产品”，以确保数据不被滥用。②参见邱玥：《大数据时代的数据买卖》，《光明日报》2015年4月23日，第8版。基于市场需求，数据处理者通过分析和建模形成的“数据产品”，因为凝聚了较多的智力劳动，可以将该数据产品归入数据库作品而形成著作权。数据买家不得私自转售或泄露的原因也在于此。

美国主流学说认为，“数据库”是指经系统地安排，以现有的或将来开发的任何形式体现出来的作品或其他材料的集合。③See Database Investment and Intellectual Property Antipiracy Act of 1996，H.R.3531，104th Cong，2d Sess.欧盟官方认为，数据库是将独立的作品、资料和其他材料进行系统的或经有条理的方式整理过，并可用电子或其他方法单独访问的数据集合。④See European Union.Directive96／9／ECof the European Parliament and of Council of 11 March 1996 on the Legal Protection of Databases.Offical Journal of the European Union 27（3）：20-28.《伯尔尼公约》《与贸易有关的知识产权协议》等均认可数据库的著作权，从而使之成为主流的保护模式。⑤参见董炳和：《数据库的法律地位》，载郑成思主编：《知识产权文丛（第一卷）》，中国政法大学出版社1999年版，第316页。数据库是否具有独创性，可能要视具体的数据库整理、集合的方法而定，不过大多数国家的著作权立法一般都要求“作品具有最低限度的智力创造水平”。从海量底层数据中筛选出买方需要的数据产品，显然符合独创性的要求。从“丰菜大战”公开的细节来看，菜鸟和顺丰服务器上的个人信息没有被“清洗”过，且尚未经过整理形成数据库，因此双方对于个人信息的控制权不属于著作权。

（三）信息控制者的权利是占有利益

按照欧盟《一般数据保护条例》的分类，信息控制者是在狭义上使用的，不包括能够“控制”信息的信息主体和信息处理者，而是有权决定收集、使用、处理个人信息的目的和手段的自然人、组织和政府机构等。信息控制者是个人信息保护法重点关注的对象，承担着最主要部分的保护个人信息义务。顺丰和菜鸟即是典型的信息控制者。有关信息控制者的权利性质，除了知识产权以外，很多人赞同所有权说。然而，根源于人格权的个人信息，在适用所有权规则时存在如下几个问题。

1.个人信息归入“无体物”范畴存在难度

为适应物之形态的多样化，我国《物权法》调整的“物”有开放性，它并没有将物局限为有体物。然而，正如网络虚拟财产成为“物”遭遇到的种种障碍那样，个人信息适用物权法也存在不小的难度。

一般认为，作为物权法意义上的物，是指存在于人身之外、能够为人力所支配，并且满足人类某种需要的物体。⑥参见王利明：《我国民法典重大疑难问题之研究》，法律出版社2006年版，第274页。广义的物是指任何能够被人力所支配的有体的和无体的物。⑦参见费安玲、刘智慧、高富平：《物权法》，高等教育出版社2011年版，第5页。个人信息是存在于服务器上的字符。论证字符是否属于物并无意义，这种论证无非是虚拟财产是否为物的再一次重复，研究者间很难得出一致的结论。近年来关于网络游戏虚拟财产纠纷的案例显示，法院对网络游戏虚拟财产属性的观点也存在差异，支持物权说者有之，造成债权说者有之，同意无形财产说者有之，甚至有些法院完全采取回避态度。⑧在被社会称为我国网络游戏虚拟财产纠纷第一案的李宏晨诉北极冰案中，一审法院肯定了网络游戏虚拟财产的财产属性，但没有说明理由。参见北京市朝阳区人民法院（2003）朝民初字第17848号民事判决书。在常萱诉北京蝉童软件科技有限公司侵权纠纷案中，法院尽管受理此案，但最终法院以网络游戏虚拟财产无相关法律规定为由驳回常萱的诉讼请求（参见中国审判案例要览［2004年民事审判案例卷］，中国人民大学出版社、人民法院出版社2005年版，第304-307页）。在卢某诉某公司网络服务合同纠纷案中，法院认为网络游戏虚拟财产适用善意取得制度，间接承认了网络游戏虚拟财产属于物权客体。参见上海市浦东新区人民法院（2010）浦民一（民）初字第5459号民事判决书；上海市第一中级人民法院（2010）沪一中民一（民）终字第1480号民事判决书。个人信息的价值在于字符中所包含的信息，字符本身并无价值。

2.所有权的权能并不充分

目前学界关于物权的诸多定义均突出了物权的直接支配性，我国《物权法》第2条第2款规定：“本法所称的物权，是指权利人依法对特定物享有直接支配和排他的权利。”可见，“支配性”被公认为是物权最本质的属性。然而，直接支配性只是绝对权的特征，非物权所独有，人格权也具有直接支配性。因此，从信息控制者对个人信息的直接支配力出发并不能得出这种权利就是物权的结论。作为最充分的物权，所有权包含占有、使用、收益和处分等权能。其中的处分权能具有终局性，即完成了所有权人的变更，原所有权人不再对物享有所有权。这种物权的基本原理同样不适合信息控制权。个人信息由于与个人的生活密切相关，即使用于商业，也不可能完全脱离个人而独立存在。无论其他主体对个人信息的获取方式与知悉程度如何，都不能改变个人数据的最终归属。对于匿名信息，信息处理者也不可能仅仅提供给一个使用者，信息在不同场合和用途中的反复利用才是信息交易的真正意义。因此，所谓的“个人信息所有权”不可能包含有“处分”这一所有权特有的权能。

3.信息控制权的实质是对信息的占有状态

按照物权法定原则，信息控制者对信息的权利也不可能是用益物权和担保物权。有偿取得个人信息或匿名信息的信息控制者，是信息产业链的终端，不但享有约定的信息权利，还承担保护信息不受侵犯、保证信息不被泄露的义务。无偿取得个人信息的信息控制者，其行为更是各国个人信息保护立法的重点。与20年前实施的欧盟《个人数据保护指令》，欧盟《一般数据保护条例》加重了数据控制者的法定义务。⑨欧盟《一般数据保护条例》增加了透明原则、最少够用原则等一般性保护原则。该条例第5条规定：“处理个人数据应当：（1）合法、正当、透明；（2）处理数据的目的是有限的；（3）仅处理为达到目的的最少数据；（4）确保数据准确、时新；（5）储存数据的期限不得长于为达到目的所需的时间；（6）采取技术和管理措施以保护数据的安全；（7）数据控制者有责任并应能够证明其做到了以上几点。”该条例第6条规定：“至少满足以下中的一项，处理数据才是合法的：（1）数据主体同意了为特定目的处理其数据；（2）处理数据是为签订或履行合同所需的；（3）处理数据是为遵守法定义务所需的；（4）处理数据是为了保护数据主体或其他自然人的至关重要的利益；（5）处理数据是为了公共利益或行使政府授予的权力；（6）处理数据是为追求数据控制者的合理利益，但不得损害数据主体的利益。”在平等的契约关系中加重一方的义务，反映出大数据交易背景下双方实质不平等状况的加剧。

将信息的性质认定为物，或者通过特别立法将信息控制者对信息的债权解释为物权，其本质都是承认信息控制者对信息权利的占有状态，不能反推得出信息权利就是物权的结论。我国《物权法》第245条第1款规定：“占有的不动产或者动产被侵占的，占有人有权请求返还原物；对妨害占有的行为，占有人有权请求排除妨害或者消除危险；因侵占或者妨害造成损害的，占有人有权请求损害赔偿。”物权法对占有的保护，体现了法律对占有人意志的尊重，禁止他人任意剥夺占有人对物的支配。

从权利配置的角度而言，保护信息控制者的占有状态而非赋予其物权，与信息保护的立法趋势一致。

三、各方主体的信息利益亟待平衡

虽然“信息所有权”侧重于个人信息权利人的保障，但是这种观点和保护路径在权利属性、权利内容和权利主体方面存在不严谨、不周延和不准确的问题，应当用“信息利益”加以替代。“信息利益”是一个泛指所有相关主体在数据上享有的权利和权益的统称。

（一）重视信息主体人格权中的财产性利益

西方国家或者通过扩大解释隐私权对个人信息提供法律保护（如美国），或者制定单行法综合利用行政、民事、刑事手段全面保护个人信息（如法国、丹麦、英国）。联合国、欧盟、经济合作与发展组织等国际组织也纷纷围绕隐私权的保护制定个人信息保护的国际条约和指南。⑩参 见孙平：《政府巨型数据库时代的公民隐私权保护》，《法学》2007年第7期。在全球范围内，将个人信息作为一种独立的权利是现代社会发展的趋势，美国甚至有法官将其上升到基本权利的高

度。①S ee Whalen v.Roe，429 U.S.589（1977）.

考虑到个人信息权利中的支付报酬请求权等不同于传统人格权的内容，采人格权观点的学者多数倾向于专门设立一项人格权类型，典型的提法如“信息隐私权”“资料权”等。然而，将人格权所承载的利益二元化，会导致民事权利体系内部的混乱，不符合我国立法传统。《全国人民代表大会常务委员会关于加强网络信息保护的决定》（以下简称：《决定》）第1条将个人信息权与隐私权相区分，并在第9条中明确个人信息权属于我国《侵权责任法》的保护范畴。②《决定》第1条规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。”《决定》第9条规定：“任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为，有权向有关主管部门举报、控告；接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。”这一规制行为的保护模式同样体现在《民法总则》中，《民法总则》仅仅承认“个人信息”而非“个人信息权”，同时通过一个一般条款规定“人格法益”，即我国《民法总则》第109条规定：“自然人的人身自由、人格尊严受法律保护。”照此规定，民法总则对个人信息将采取“隐私权＋人格法益”的保护模式---对于属于隐私范畴的个人信息，信息主体享有隐私权；对于隐私以外的个人信息，因其属于“人身自由”的范围，信息主体享有信息利益，包括信息自决权、③关于信息自决权，德国宪法法院在1983年作出的判决中提出了保护自然人的个人信息自决权。参见［德］迪特尔·梅迪库斯：《德国民法总论》，邵建东译，法律出版社2001年版，第801页。信息查询异议权、④参见《欧盟数据保护指令》第12条。陈飞等译：《个人数据保护：欧盟指令及成员国法律、经合组织指导方针》，法律出版社2006年版，第5-6页。保护信息完整权、⑤参 见法国2004年《数据处理、数据文件及个人自由法》第40条和第41条。参见上注，陈飞等译书，第194-195页。信息清除权等。⑥信息清除权又称数据清除权、被遗忘权，是欧盟《一般数据保护条例》为信息主体新增的权利类型。参见高富平主编：《个人数据保护和利用国际规则：源流与趋势》，法律出版社2016年版，第130页。借鉴域外立法将信息主体的利益具体化，有助于从根源上维护信息利用的合法秩序。

（二）信息控制者的信息利益应受到严格限制

信息控制者的权利限制是所有保护个人信息法律文件的重点。从最新的欧盟《一般数据保护条例》可以看出，对信息控制人的权利限制有增无减。与1995年欧盟《个人数据保护指令》相比，2016年欧盟《一般数据保护条例》通过强化数据主体的权利来实现对数据控制人的限制。其主要包含三项内容。其一，增加数据清除权（The Right of Erasure），包括主体、客体、适用条件、例外情况及不遵守清除权的处罚措施。对存在故意或者过失违反数据清除权的人员，监管机构可对个人和企业处以高额罚款，加大了个人数据窃取的惩罚力度，对违法犯罪和恐怖行为起到预防作用。其二，对数据主体的同意创设新的条件。一是同意必须基于数据主体的一个或多个特定目的，并且已经给予控制者处理数据的同意；二是数据主体必须自愿给出详细的表明其同意的说明，说明必须是明示的，包括书面声明或明确肯定的行动表示，缄默或不行动不构成同意。然而，当数据主体与控制者之间存在地位不平衡时，同意不能被当作数据处理的法律基础。雇佣关系中的数据处理很可能会发生这种情况，此时，必须存在为了遵从法律义务等另外的数据处理依据。其三，增加“特殊类别的个人数据”的处理条件。揭示种族或民族起源、政治意见、宗教信仰的个人数据处理，以及与基因数据或健康、性生活、犯罪、安全措施相关的数据处理应当由数据控制者或者其代理人负责实施数据保护影响评估（DPIA），评估结果会直接影响处理数据的条件。此外，与医疗相关的个人数据，雇佣关系中的个人数据以及为历史、统计和科学研究目的的数据处理都有其自身特定的条件，不能被随意处理。

（三）匿名信息交易也不应忽视信息主体的利益

与享有独立著作权的作品集合而成的数据库不同，个人信息的数据库中汇集的是个人信息，这种个人信息不属于独立作品；个人信息数据库如有其独创性编排结构而可以获得的著作权，这样的数据库制作者（信息处理者）享有整体结构著作权保护。虽然从匿名信息中已经无法辨别出个人信息，但是数据库制作者正是利用无偿取得的个人信息谋取商业利益，从大数据交易到“丰菜之争”，无不揭示出这种不平衡。信息保护立法尚未明确承认信息主体的财产利益，是因为网络用户信息保护的特殊环境，并不代表信息主体的财产利益就不应当获得认可。一方面，信息主体将自己的大量信息交给信息控制者进行商业利用，却对信息控制者由此获得的大量利润毫无参与分配的权利，另一方面，信息控制者在未经信息主体同意的情形下对其个人信息进行收集和利用，而信息主体只能向数据控制者主张人格利益损害的赔偿，这显然是不公平的。

同样的问题还出现在人体基因的可专利性上。随着基因技术的发展，有关人体基因的专利带来了极大的经济效益，而人体基因资源的提供者却被排除在这一利益之外，有学者建议建立人体基因专利的利益分享机制，⑦参见［法］莫里斯·卡西尔：《基因时代的私有资产、集体资产和公共资产》，祝东力译，《国际社会科学杂志（中文版）》2003年第1期。美国近期的判例也体现出这一趋势。⑧2013年6月14日，美国联邦最高法院否决了Myriad公司拥有的BRCA1、BRCA2基因的专利权，理由是，如果认可这种专利权，虽然可能为人类带来价格更低的乳腺癌风险检测，但颠覆了现行的专利法制度。See 653F.3d 1329（Fed.Cir.2011）.作为大数据交易的对象，匿名信息与人体基因法律关系的共同点在于以下几个方面。其一，都具有强烈的人身性。人体基因专利以人体基因资源提供者的人体基因信息为研究对象，匿名信息以信息主体在各种场合自觉或不自觉提供的个人信息为收集对象。其二，人体基因和个人信息都可以在被收集后脱离自然人而继续发挥商业价值。人体基因资源一旦获得，研究者可以通过体外方式人工合成；个人信息一旦获得并经过“清洗”，信息处理者就可以基于不同需要加以反复分析和利用。其三，被收集了相关信息的自然人都面临风险。人体基因资源提供者在采集基因资源的过程中，可能会遭受潜在的不利后果；个人信息的泄露也会给数据提供者带来生活上的不便，甚至产生财产、人身方面的损害。

基于以上因素，明确基因资源提供者的事先知情同意权、所有权和免费或低价使用权等权利，以及对人体基因专利技术审查标准的趋严，都反映出构建主体间利益分享机制的需求。可以预见，根源于个人信息的大数据交易，也没理由忽略信息主体的利益。为了保持生物多样性，持久利用其组成部分以及公平合理地分享利用遗传资源所产生的利益，1992年《生物多样性公约》（CBD）确立了尊重主权原则、事先同意原则和惠益分享原则。如何借鉴这些原则构建个人信息大数据交易中的利益分享机制，如何明确规定能够用来交易的数据内容和类型，决定了大数据交易能否健康发展的未来，这就需要从公法层面立法加以引导和规制。⑨比如法国出台数字经济纳税条例，对享有公民免费数据的互联网企业增加一些税种。参见前注⑥，邱玥文。