易 莉

(西南民族大学 马克思主义学院， 成都 610041)

个人信息是指具有个体联系性和识别性的信息符号的总和[1]。它包括自然人的生理、心理、智力、经济、文化等各方面信息，是自然人社会关系的缩影。在大数据时代背景下，个人信息所具有的商业价值和社会管理价值被不断挖掘，它已然成为各方利益主体争相获取的重要资源。2017年10月1日，我国《民法总则》正式施行。这部法律强调信息控制人要确保个人信息安全，规范个人信息的加工处理和买卖行为。然而，个人信息在流动中涉及的环节复杂、主体众多，为了防止个人信息的非法扩散，确保自然人的合法权益在个人信息利用中不受侵害，能否将自然人对其个人信息所享有的权利，以一项具体人格权的形式确定下来并定义为“个人信息权”呢？更为重要的是，个人信息属于自然人，但是能够控制和使用个人信息的主体却不局限于信息主体本人，特别是公共机构可以利用system administrator、cookie等跟踪技术自动收集个人信息。那么，公共机构能不能随意捕捉“所有地方所有人的所有信息”？在行使个人信息权时，主体权益将面临与公共利益的冲突。法律必须根据个人信息的类型、处理方式、利用目的等因素的不同，为个人信息的处理规则设定例外和限制条件，对个人信息权与公共利益的关系进行分析和平衡。个人信息权的实现，既要尊重和维护主体的意志自由，也要促成个人信息的有序流动。

一、个人信息满足权利构成的基本要素

康德曾说，对权利问题的回答往往使法学家感到为难[2]。权利概念复杂抽象，关于权利的本质有资格说、自由说、意志说、利益说、法力说等八种代表学说。自由说忽视了社会关系的互济性，将权利理解为行为的自由。意志说则将权利归结为纯粹的主观意志体现，没有关注到无意志主体和意志的相对性。边沁、耶林等人认为权利表示着某种利益内容。默克尔等人则认为权利是“法律之上力”赋予主体得以对抗他人的力量[3]。综上所述，权利是指国家赋予公民在法定范围内行为自由的某种资格。个人信息能满足权利涉及的基本要素：利益、资格、主张、权能和自由。

(一)个人信息承载着主体的人格利益与财产利益

权利的产生，往往是基于利益实现的目的。权利之特质在于给所有者以利益[4]。在权利形态中，利益的表现包括物质性的和非物质性的。如生命权、名誉权、财产权等都是为了维护主体的生命、人格、财产等利益而存在于法律之中。权利是获得利益的手段。

个人信息是自然人社会关系的折射，是人之所以为人的外在表现形式和依据，个人信息体现主体的独立、自由和尊严。其中，反映个人家庭背景、教育背景、工作履历、性取向、政治倾向等的信息，更是决定着个人的名誉和人生发展。在美国，约有75%的公司招聘者表示，在被拒的应聘者中，有70%的人是由于在网上出现与本人相关的不雅、不良信息，影响其社会评价所致[5]。同时，个人信息具有明显的财产利益。网络和信息技术的发展极大地提高了信息传播的速度，同时降低了信息利用的成本。一些在传统条件下不具有商业价值的个人信息已经成为商品，商家视其为财富的来源。亚马逊公司利用消费者的个人信息进行有针对性的广告销售收入10倍于一般广告销售收入①。个人信息在事实上已经被广泛商业利用，具有重要的财产价值。权利的成立离不开具体的利益，权利都有一定的利益内容。无论是人格利益还是财产利益，利益与人的幸福、福利、需求满足有密切联系。如果利益内容不确定，权利人便无从知晓行为的边界。个人信息权保护的是自然人的人格利益、财产利益，包括个人信息不受侵犯和信息决定权。如果自然人的个人信息遭受侵害或有侵害之虞而无法寻求司法救济，那么个体的需求和安全将因此受到威胁。

(二)个人信息与信息主体具有关联性，信息主体有资格主张权利

权利概念具有潜隐性和复杂性，历代学者在对权利的研究中，形成了观点各异的学说和理论。如格劳秀斯、米尔恩等学者认为，权利概念之要义是资格[6]。从权利主体之资格的角度看，个人信息是对主体自己的社会性和生理性特征的描述。虽然个人信息中的姓名、性别、爱好、兴趣、职业、学历等信息会与他人的信息有相同和重合之处，但是这些信息和个人的身份、户口、指纹、外貌、DNA等信息聚合在一起，共同对自然人进行识别，属于这个自然人独有的信息。信息主体理应在法律的赋权下，对个人信息的支配和利用享有资格。权利人可以控制、使用自己的个人信息进行社会互动，建立社会关系，未经权利人知情同意，他人不得擅自收集、利用该信息。

个人信息保护的重点是对主体人格的维护。信息与个人相关，关系到个人的人格尊严，被不当收集可能导致个人隐私、名誉等利益的损害，这是个人信息值得保护的合法基础。如果个人信息与自然人没有关联，保护就没有基础。同时，信息不但要与个人相关，并且还要可识别。所谓识别，是指信息与现实生活中的个体之间有联系，信息主体的身份能在信息中得到发现和确认。换句话说，就是他人能够辨认出信息的主体是谁。如果信息无法与具体的信息主体建立联系，信息控制人对信息的利用就不会损害任何自然人的权益，对此信息的保护也就丧失了依据。因而，信息主体可以对个人信息的支配和归属主张享有、排他使用的要求。无论是人格利益或财产利益，其利益内容专属于信息主体本人。

(三)信息主体可以对个人信息享有具体权能

权利是对某种利益进行主张，需要有具体的权能才能实现，权能体现权利的各种可能性。权能也有规范性，如所有权的占有、使用、收益和处分四项权能，就划定了主体对其物实施行为的具有规范性的可能性②。个人信息享有决定、查阅、更正、删除、封锁、收益等权能。个人信息能对个体进行识别，是自然人的符号化存在。个人信息在何时何地被何人使用，信息主体都有决定权、知情权、参与权。在个人信息流动的每个环节，信息主体都能按照自由意志进行控制，非经同意不能使用；如果存在错误的、不完整的个人信息，主体有权查阅、更正；超过使用期限能够要求信息控制人删除信息；若发生信息安全威胁，则能请求封锁个人信息；还可获取信息使用产生的物质收益。个人信息具体的规范性使用规则，使主体享有权利实现的可能性。

既然权利保障主体享有一定的物质利益或精神利益，那么主体就可以在法律规范框架下，以一定作为或不作为的方式获取利益[7]。个人信息承载着信息主体的物质利益与精神利益，个人信息的定义和收集、使用规则需要进行明确界定，其他的具体人格权如隐私权、姓名权、名誉权都无法解决个人信息在流通环节中所面临的问题。那么，将信息主体对个人信息所享有的利益确定为“个人信息权”，赋予信息主体以个人信息决定权、支配权、查阅权、更正权、封锁权和收益权便有合法基础。信息主体可以为一定行为，或要求他人在信息收集、处理和利用过程中作为或不作为，当个人信息遭受侵害或有侵害之虞时，信息主体能获得及时救济。

(四)信息主体能按照个人意志自由享有或放弃权利

自由指主体拥有意志自由和行为自由，行使权利或放弃权利都不受外界的干涉和阻止。权利人完全能够凭借自身的理性判断去实施或不实施某行为。每个人的信息都属于主体自己，个体享有专属于自己的个人信息，不同的信息受法律平等保护。个人信息蕴含财产价值，主体有权许可他人合理使用，在个人信息商业化利用的过程中谋取自身的合法利益。信息主体也可以在未明确约定排除二次使用的许可使用合同中，放弃知情同意权，许可信息控制人的目的外利用。另外，信息在加工或利用过程中，其安全、品质的维护时常会存在风险。他人的侵害行为有潜在的造成信息灭失、毁损、泄露等威胁。当信息主体认为个人信息可能存在或存在妨害的情况下，权利人可以行使排除妨害请求权和停止妨害请求权；在已经构成损害的情况下，应当将侵害个人信息权的人身损害赔偿请求权纳入个人信息权的人格权请求权的范围内。信息主体拥有权利行使的自由，能为个人和他人的行为确立边界。建立和维护公民的个人信息权是个人信息保护制度的主要任务。个人信息权是基本人格权，主体可以对所有个人信息控制人主张权利。

二、个人信息权利行使与公共利益之间的冲突

“利益”一词蕴含着极大的价值判断内涵，它是衡量人类行动有效性和合法性的依据。公共利益和个人利益存在一致性，个人利益的实现有赖于公共利益的支持，公共利益的实现也离不开个人权利的追求[8]。但二者也存在矛盾，在主体行使个人信息权的过程中，必然遇到与公共利益的冲突。那么，这时应当孰先孰后，如何对双方进行调和与限制呢？在欧美国家，对二者权益的侧重分别存在以下两种观念。

(一)权利优先

受《法国民法典》影响，当代各国都将人的平等、自由和尊严等理念贯彻于立法之中。这些伦理价值不但存在于自然法之中，而且还以实在法的具体人格形态表现出来，成为实在法的理性基础和直接保护对象。人格，被视为人的最高价值。对人格权的保护，业已成为衡量一个国家民法先进与否的标志[9]。

20世纪以来，部分国家对人格权保护采取了扩张的态度，将人格权利法定化。1970年《法国民法典》增加了“私生活权利”条款[10]。1978年法国通过了《(数据)计算机处理及自由流通法》，保护信息主体在信息储存、对比、删除和公开等过程中的权利。德国在“二战”后创立了一般人格权理论。德国联邦最高法院指出：自然人一般人格权地位同等。法院在一些判例中加强了对自我范畴的保护，并在“人口普查案”中承认了“个人信息自决权”[11]。将公民的人格权置于最重要的地位，加强人格权保护的立法，已在各国民法发展中达成共识。2016年，欧盟委员会通过了《数据保护通用条例》，特别强调了信息主体的自决权，信息主体的知情同意依然是合法使用个人信息的基础。而且,同意是指在主体充分知情的前提下做出的，同意必须明确、清晰③。美国学者Christopher Kuner提出了数据处理有限原则，主体有权知晓信息处理的目的，任何未经告知的处理行为都不具备正当性[12]。在人格权日益受到重视的当今世界，个人信息的利用通常从以人为本的角度出发，体现出对人的精神利益和物质利益的终极关怀。信息主体能够以不履行的方式获得隐私保护。

(二)公益优先

尽管世界各国都将个人权利的实现和个人信息的保护置于重要地位，认为它是人格权保护的核心内容,但是个人权利往往会与社会公共利益发生矛盾和冲突。有的国家就会从实现社会公共利益的角度出发，对个人信息权行使进行约束和限制。法律的最终目的就是实现利益平衡。 英国功利主义学者边沁认为，立法者的责任就是协调个人利益与公共利益的关系[13]。庞德指出，法律必须以牺牲最小之代价来满足社会公共利益的需求[14]。

公共机构出于社会治安管理、社会保障管理、公共卫生管理等方面考量，必须收集分析大量个人信息。黑格尔认为，信息的利用是维系社会良性运行的前提，是国家政府管理公共事务的需要[15]。政府为公民提供的社会服务和社会福利，通常都以个人信息作为依据来确定人员名额。Richard S. Murphy认为，在社会共同体中利用信息是实现个人利益的基本手段[16]。因而，当信息利用是以公共安全或公共利益为目的的情形出现时，个人的知情同意权必须受限，美国隐私法和欧盟立法都有此规定④。可见，个人权利的行使必须有条件地受制于公共利益的追求，公共利益是公共机构行为正当化的前提。因为公共利益代表着社会共同体的普遍福利，它是维护持续性社会秩序的必要条件。公益优先或权利优先这两种价值冲突，只能通过动态的利益衡量来达到相对平衡。

三、借鉴北美的个案平衡进路与欧盟的比例原则

个人信息蕴含着多种利益关系，在平衡个人权利与公共利益方面，欧盟倾向于更多地维护个人权利，而美国则偏向于保障信息流通。

(一)北美的个案平衡进路

在审理具体案件时，北美洲国家会根据被处理个人信息的类型、个人信息利用目的等判断能否为实现公共利益而合理限制个人权利。

第一，涉及未公开的个人秘密信息时，个人权利优先。个人信息的性质，是指被处理的信息是属于未公开的私密信息还是已公开的信息。对前者的保护力度更大，对其处理要加以更多限制。因为未公开的私密信息更多地涉及个人的人格尊严，一旦信息被公开，可能会对主体的名誉、隐私、自由、人身安全等带来威胁,所以公共机构的信息处理行为会因为个人信息涉及更多的人格利益而受限。在1992年的Valiquette v. The Gazatte一案中，法院认定艾滋病病情属于个人隐私，新闻机构未经原告同意而擅自报道其信息的行为构成侵权⑤。

第二，以公众知情为目的处理个人信息，公共利益优先。如果个人信息被收集利用的目的是实现公众知情，则个人权利会让位于公共利益。在1986年的Silber v. BCTV一案中，加拿大法院在审理中认定，被告在报道劳动纠纷过程中公开暴力殴打画面的行为不构成侵权，原因是争执发生于公共场合，不属于私人领地，劳动纠纷需要被公众知晓和监督，以客观新闻报道为目的而限制个人信息权是合理的。

(二)欧盟的比例原则

欧洲在个人信息权与公共利益的平衡中，引用宪法中保护信息自由的相关规范，按照“比例原则”的要求限制信息主体的个人权利，包括损害能实现价值目标、手段必要、目的与手段之间合乎比例三要件。 1999年，欧盟数据保护委员会的立法文件中对此有明确要求⑥。

比例原则肇端于18世纪末德国的警察法，麦耶在其《德国行政法学》一书中将比例原则概括为行政权力对公民的利益损害必须能实现公共利益的价值取向，并不给个人带来过度的损害[17]。第一，目的正当。以公共利益为目的处理个人信息，对公民造成的损害应当能够实现合理的价值目标。如果公共机构为了维护公共安全、公共秩序，预防危险，给公众带来福利而收集利用个人信息，则具有目的正当性。第二，最小损害。公共机构对个人信息的收集所采用的手段是能为信息主体所接受的，如告知目的、信息保密等。在各种手段存在“相同有效性”的情况下，选择损害最小的手段,尽可能将对个人隐私、尊严、安宁等所带来的损害减到最低。第三，实现公益而不过度侵犯个人权利。公共机构对于个人信息的收集处理应当考量获益与损害之间的比例。信息的收集应保障信息主体的个人权利不被过度侵犯，确保增进社会整体福利。如果有损害，应当对此损害进行弥补和赔偿。

四、明晰公共利益的认定标准，严格约束公共机构的权力

公共利益的复杂性和时代变化性，决定了要对其进行概括性规定难度较大。公共利益的概念比较模糊不定，对其界定主要存在以下几种学说：普遍利益说、多数人利益说、抽象秩序说等[18]。日本学者加藤一郎认为，利益衡量标准无法完全实现客观，总是带有主观判断[19]。17、18 世纪的欧美，社会的公共利益主要涉及市政管理等公共事务。到了20 世纪初期，公共利益延伸到经济发展、社会福利、劳工权益保障、学校建设、文化建设等方面[20]。尽管公共利益带有价值判断和不确定性，我们仍然可以根据一般规则，分析以上不同时期学者们对公共利益的界定，将不确定多数人、最大福利、正义、历史潮流等标准纳入公共利益的认定中。

(一)重要利益标准

社会成员涉及的利益众多，有人身利益、财产利益，有安全利益、道德利益、社会资源保护利益等。这些利益在人的生存、发展中所占权重不同，且有轻重缓急之分。

首先，人身利益优先于财产利益。这是人文主义以人为本思想的体现。与人的人格、自由、尊严密切相关的利益应当优先保护。人的生理存活是人在社会中存在的前提，必然优先于“自我实现”的发展利益。例如，在公共安全和公共通信设施建设的利益层次安排中，无疑应当给予前者以首要保护。根据庞德的观点，公共利益要有益于公共秩序、公共安全的构建[21]。在个人信息的收集中，公共机构为了保证公民的人身安全，通常要排查失踪人口，抓捕逃犯和进行被害人身份认定，公职人员需要收集个人的体貌特征、家庭背景、工作经历、社会活动等信息，对出入境者的行李进行检查，并要求其向海关提供指纹甚至血型。这时，以社会重要利益为目的的信息处理，个人权利应当受到限制。个人信息的采集为社会治安稳定提供了有效的便利条件。

其次，生存利益优先于发展利益。2009年，谷歌对5000万条美国人最频繁检索的词条和流感传播数据进行了分析，通过分析个人的搜索记录来判断这些人是否患上流感。这种对公共利益的追求，有利于社会公共卫生和疾病预防等重要利益，能保障公民基本的生活和生存权利[22]。对个人信息的合理利用为消除疾病、提高政府执政能力提供了一个有力武器。罗尔斯指出，实现正义是构建社会制度的主要目标，社会必须确定不同利益主体的权利义务关系，明确利益如何进行合理分配[23]。法律存在的意义是判断公共利益的正当性、道德性，它应当与社会的公序良俗具有一致性。

(二)共同利益标准

共同利益是社会群体中每个成员个体利益中相同的部分。如每一位公民在生存、发展、自由等方面的利益具有共同性，这就成了社会成员的共同利益诉求，也是公共利益重要的衡量标准。如国家安全利益涉及国家主权，关系全体社会成员的生命、健康、自由、尊严，关系整个国家的前途、命运，这些公共利益的维护应当优先于个人权利，为此目的而收集个体生物性、社会性特征的信息就具有合理性。公共机构需要收集个人信息以制定经济、文化政策。2010 年，我国第六次人口普查，利用自动化设备对公民的受教育状况、职业、流动、住房等信息进行收集，为制定国民经济和社会发展规划提供了信息支持，是国家行使其管理职能的重要手段之一。公共机构为了提高社会保障管理的效率，有权收集家庭住址、通信方式、单位、职业、职务、收入等信息，以便受益者能准确及时地获得生活保障、就业保障、医疗保障[24]。但是，公共利益优先于个人权利的前提是，必须有程序正义的保障。其一，需要公众参与；其二，需要公众监督。公共利益的决策过程要公开，以满足公众知情权。以社会公众为主要内容的公共事务管理活动中，公共机构对个人信息的采集、储存、加工、利用都应按照政府规定统一进行。

(三)最低损害标准

在公共利益的实现中，如果必须以损害个人权利为手段，也应当选择损害最小的方式，损害与公共利益实现目的之间必须合乎比例。公共利益虽然具有不确定性，但是其利益所产生的“成本-收益”可以被估价与量化。采用经济学分析方法衡量公共利益的手段合理性是可行的。英国著名经济学家罗纳德·科斯的社会成本理论告诉我们，不同主体之间的利益冲突是难以避免的，社会需要合理地配置资源，协调不同利益分配,既考量优先利益的收益，也权衡损害利益的成本，以实现最小社会成本之上的最大利益产出。对公共利益的追求，不能完全忽视个人权利，必须兼顾各方利益，达到帕累托最优。

在个人信息收集中，公共机构所追求的公共安宁、公共安全与公共秩序的价值应当大于给个人人格、尊严带来的损害。在立法上的利益衡量中，一定要以最小的个人损害方式带来最大社会整体利益。公共机构对个人信息的收集所采用的手段，必须能为信息主体所接受，如告知目的、信息保密等，尽可能将对个人隐私、尊严、安宁等所带来的损害降到最低。对因公共利益而受到权利限制并造成个人利益损害的民众，要进行不低于市场价值的合理补偿，避免因追求公共利益而出现不公平的社会现象。

(四)道德共识标准

对公共利益的认定，还应当与社会基本道德共识相一致。道德共识是社会民众的主流价值取向，是公民在基本利益权衡下的共同认识。社会道德共识具有时代性、变化性特征，同时它也根源于一个国家的历史传统。在我国传统观念中，尊老爱幼、扶弱济贫的思想，具有亘古不变的道德意义，这些都会成为公共利益的价值追求。

公共利益需要照顾社会成员的道德情感，满足社会各层次利益主体的需求。不能因为公共利益的实现而过分损害个人权利，违背公众的合理期待，使社会群体失去公正与和谐，破坏良好的社会秩序。特别是对于敏感信息的公开，必须慎重处理。涉及个人隐私信息时，主体权利受保护。一定要严格区分被处理的信息是属于未公开的私密信息，还是已公开的非私密信息,对前者的保护力度应该更大，对其处理要加以更多限制，避免因个人隐私信息的公开而对主体的名誉、自由和人身安全带来损害。

五、结论

个人信息承载着信息主体的人格利益和财产利益，主体有资格根据自由意志对自己的个人信息进行控制和支配，对个人信息享有决定权、查阅权、删除权、封锁权、收益权等具体权能。然而，公共机构为了管理公共事务、实现公共利益，往往拥有数量庞大、广泛深入的信息资源，个人信息权行使会面临与公共利益的冲突。世界许多国家和地区普遍对公共机构的制约较为严格，借鉴北美的个案平衡进路与欧盟的比例原则，在我国司法实践中可以对各种情势进行分析，尽量做到公共利益衡量的精确化。客观准确地判断适当性、最小损害性、均衡性要求，合理地按照比例原则限制个人信息权。既充分挖掘个人信息的管理价值，推动信息的合理流动，又使信息主体在社会存在中维护其人格独立、自由和尊严。

注释：

①Paul M.Schwartz. Charting a Privacy Research Agenda: Responses, Agreements, and Reflections, 1999.

②Josef Aicher. Das Eigentum Als Subjektives Recht. Duncker & Humblot，Berlin, 1975，S21.

③REGULATION (EU) OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data(General Data Protection Regulation)，http:∥eur-lex. europa. eu/legal-content/EN/TXT/PDF/? uri=CELEX : 32016R0679 &from=EN.

④参见丹麦《个人数据保护法》第30条及我国台湾地区《电脑处理个人资料保护法》第16条。

⑤Silberv.BCTV(1986)69 BCLR34(SC) 以及 Valiquette v.TheGazatte(1992)8CCLT(2d)302(Que.SC).

⑥参见德国《联邦数据保护法》第41节、英国《个人数据保护法》第32条、法国《个人数据保护法》第67条及瑞典《个人数据法》第7条。