陈梓铭 卢求宝

摘 要：《民法总则》仅概括性规定了个人信息保护的私法路径，后续的个人信息保护和利用立法应当剖析个人信息可识别性与特定外部行为。一方面，明确个人信息法益仅体现人格利益属性并兼顾个人信息的利用需要及人格利益诉求;另一方面，明确对个人信息的处理行为决定个人信息潜在财产利益的现实化，将财产利益归于数据处理行为实施者，在数据资产财产权利体系下进行保护。在制度构建中发挥两大要素对于个人信息双重利益安排的关键作用，实现个人信息立法的科学化。

关键词：个人信息;人格利益;潜在财产利益;可识别性

一、引言

公民的隐私权利和个人信息利益频繁遭受侵害，现行法跟不上时代和科技的发展速度，在这一方面的保护力度存在明显不足。公民对于个人信息保护有强烈的诉求，新的时代呼唤立法对公民信息利益进行全面的保护。同时，信息是一种生产力，成为大数据时代下的重要资源，不仅与企业的发展利益息息相关，更体现产业利益、国家利益和社会公共利益。打破信息壁垒，促进信息的自由流动是一种共识和趋势[1]。因此，如何更好的保护个人的信息利益以及防止由于个人信息泄漏导致的对个人信息的衍生利益[2]损害？如何回应大数据时代个人信息商业化、社会化利用的需要？如何在法律制度创建中对两方面的利益要求进行协调统一？以上关于个人信息立法的难题已成为理论和实务界必须应对的问题。在《民法总则》已经出台的时代背景下，对个人信息可识别性和财产利益性质认定进行细化考察，有利于澄清理论研究在这方面存在的不足，熨平个人的信息保护需要与数据企业发展需要和大数据产业发展需要之间的矛盾。经由对个人信息双重利益的剖析，笔者认为，应当依以下路径进行信息立法的路径构建：个人信息法益体现为人格利益，可识别性是个人享有个人信息法益并限制数据企业信息利用行为的核心要素;特定外部行为的实施实现了信息潜在财产利益向数据资产财产权利的转化，个人信息的财产利益由信息处理行为的实施方享有。

二、基于内在可识别性认定的个人信息人格利益衡量

个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息①。个人信息具有识别出主体信息的本质属性，即可识别性。正是由于个人信息的可识别性，法律才承认个人信息的人格利益，才能将对个人信息的保护上升为对人格尊严的保护。唯有为不断变动的利益格局寻得可识别性作为衡量基准，才能解开个人信息人格利益保护立法的无知之幕。

（一）借助可识别性要素消解双方的利益冲突

随着学界对于个人信息权益认识的不断深入，尤其对国外个人信息保护立法经验和法律运行状况理解的进一步拓展，原有的知情同意原则、个人信息自决权处于重新界定之中。有学者认为，我国立法中将“同意”作为收集和使用个人信息的前提条件，是对国际社会个人信息保护理论和制度规则的误读[3]。另有学者认为，应对个人信息自决权的行使进行限制，只有针对众多个人信息收集并且在性质上具有秘密属性的信息才能成为信息自决权的行使对象[4]。实际上，绝大多数个人并未有保护自身信息的意识和冲动，对于个人信息利益的保护，通过赋予个人对信息的控制资格意义十分有限，应当允许信息业者对其进行合法利用。

那么在信息利用过程中信息主体和信息所有者之间的利益冲突如何消解呢？笔者赞同张勇教授的观点，应当通过法律法规明确去识别化是个人信息再利用的前提[2]。如果收集和利用行为事先已经过适度的去识别化处理抹除了信息的可识别性，个人信息的人格利益属性也就不再显现，在后续的利用和流通过程中，规制企业，要求其遵循相关的法律法规和行业标准，其便正当享有由此产生的商业利益。这一认定为企业的收集行为设置合理的限制的同时，也保障了企业数据资产的正当利益。在个人信息人格利益保护制度的构建过程中，与其过多强调信息主体的信息保护冲动和信息收集者的利用需要之间的对抗，倒不如围绕可识别性设置前置条件对双方的利益需要进行协调。认定企业可通过消除信息的可识别性对个人信息进行充分的收集和利用，但是依然需要承担去识别化以及后期的管理义务，以保护个人的人格尊严和自由。

（二）证成数据企业利用去识别个人信息的正当性

信息经过去识别化处理成为企业的数据资产，但是经过去识别化处理的个人信息存在被复原的可能。因此有学者认为，个人信息去身份并不能百分百地保证数据不再识别到个人身份，同时又保留数据的利用价值[5]。对信息可被再识别化的担忧引发了学界对去识别化技术的质疑，有学者主张只有经过无法再识别的匿名化处理的个人数据才能认定为非个人数据[6]。然而，信息可被再识别化，并不意味着数据企业丧失了对其进行利用的正当性。并且，在我国，更为猖獗严重的是信息泄露行为和由于信息泄露引发的违法犯罪②，故应当重新认识数据企业利用去识别个人信息的正当性问题。

个人信息的再识别化仅仅是一种有实现可能的技术。企业在数据应用中并不必然引发数据的再识别化。可以从立法上对企业设置妥善管理的要求。在使用、加工、传输、买卖、提供甚至公开数据资产的过程中均依照法律法规和行业标准进行信息的使用，第三方主体即使掌握了相关技术手段，无从获取数据资源同样无法实施信息再识别化行为。不能否认去识别化的个人信息的确仍然无法消除被再次识别的危险，但是对于再识别的担忧进一步推出否定信息利用的正当性，却未免又走得太远。匿名信息再识别的危机并非无法通过多种方式进行规避。极度强调个人信息的不可识别性将导致对企业可利用的数据资源范围的极度限缩，大量的与个人身份信息相关联的信息将被排除于可收集的个人信息边界外，这对于当下蓬勃发展的大数据产业来说无疑是沉重的打击。

（三）个人信息人格利益主体需要承受合理的制度风险

信息利用行为是有风险的行为，但是个人的信息利益是相对的，需要承担制度调控不能所遭遇的合理的风险。应当承认，在日益发达的技术手段面前，数据资产与信息主体之间的隔离状态难以真正实现。隐藏在数据资产背后的信息主体，在企业的商业性利用数据资产的过程中，其身份信息随时面临因其个人信息的再识别行为而被揭示的威胁。承认企业对个人信息利用行为的正当性，是否会导致对信息主体信息安全的漠视？个人信息承载国家利益、产业利益和社会公共利益。建立在三方利益应当得到充分保障的必要性认识基础上限制个人的信息利益的主张并不等同于对主体人格尊严的践踏。现代社会的复杂性和多变性决定了不确定风险的存在，即使把个人信息利益进行绝对化的认定和保护，个人信息利益被侵害的风险仍然存在。季卫东教授认为，风险所带来的不确定性、不可计测性却很难通过法律和政府举措来缩减，更不必说消除殆尽[7]。法律对利益的保护本身就具有局限性，對于企业的信息利用行为，可以通过规定去识别化的前置条件进行约束，对于信息收集后的信息使用行为，可以通过对数据资产控制者施加管理义务以及管控后续的再识别行为进行规范。但是一项科学、合理的法律制度，在面对各种技术手段不断更新的现代社会，仍然无法消除个人信息利益遭受侵害的可能。故个人的信息利益必须得到法律的承认和保护，但是我们不得不接受，私益主体可能会由于遭遇制度所不能调控的技术风险，丧失了其所享有的信息利益。

三、基于外部特定行为的个人信息财产利益衡量

信息主体的人格利益保护与信息收集者的信息利用需求是个人信息保护立法所必须解决的一大矛盾，应当由数据企业还是信息主体享有个人信息的财产利益是个人信息保护立法必须协调的另一矛盾。故有必要考察个人信息和数据保护立法的财产利益归属问题。

（一）重新认定个人信息的财产利益属性

在大数据时代，人人都能产生数据信息，但并非每个人都能为其信息创造价值。实际上，使个人信息演化出财产利益属性的，是国家、企业的数据提取技术的成熟运用、数据挖掘、数据处理过程。侵害个人信息法益虽然可能导致财产利益损失，但并不包括个人信息本身财产利益损失，信息侵权现象虽然频繁发生，是由于信息泄露导致的后续侵权行为使信息主体受到了衍生利益损失，此种利益损失不足以推导出使个人享有信息财产利益的必要性。

主张个人的信息法益中天然包含财产利益的观点，只注意到了信息业者大规模的收集用户的个人信息并从中获得了商业利益，却忽视了信息业者为实现规模化效益在信息技术发展上所投入的巨大成本。数据产业的规模发展是由数据企业的共同推动所实现的。改善信息主体与信息收集者之间强弱不对等的地位可以通过合法性要件，去识别化，对再识别行为的规制[8]完成，不必要也不应该为了保护个人信息人格利益而认定信息主体的个人信息法益中天然含有财产利益。确实存在个人通过挖掘自己的隐私信息成功评估了个人信息价值的实例③，但这不能成为肯定个人信息法益包含财产利益的理由。个人所能产生的数据量十分有限，与海量的企业数据相比，个体数据很难体现出商业价值，不能据此直接认定个人对其信息财产利益的天然享有。

（二）合理认定个人信息潜在的财产利益归属

如前述，由于个人信息具备了可识别性，应当承认个人享有信息人格利益。然而在信息财产利益归属上，应当认定归属于企业，具体论述以此展开：个人信息人格利益归属的认定模式不能等同于对个人信息财产利益归属的认定模式。在个人信息的人格利益归属问题上，可识别性是认定的核心标准，主体身份可以并且必然成为判断人格利益归属的唯一依据，如果该份个人信息能够识别到特定个人身份，那么特定主体享有信息人格利益的正当性就得以建立。但，在个人信息财产利益归属问题上不复如此。理由在于，前者的认定之所以成立，在于特定主体的身份与该个人信息相关联，对于该份个人信息的人格利益保护体现了对特定主体人格尊严的保护，因此有必要认定该个人信息的人格利益归属于该特定主体。但是对于个人信息的财产利益归属问题，由于已经去识别化，就难以认定其与人格尊严之间具有紧密的相关性。对于个人信息的财产利益归属需要换一种利益衡量思路：基于个人信息的财产利益与信息主体的人格尊严不再具有如同隐私权般[9]紧密的联系以及企业的信息处理和商业化利用能够真正促进数据的自由流通的考量，有必要认定财产利益由实施了信息处理行为的数据企业享有。信息处理和商业化利用行为的实施方应当成为个人信息的财产利益的享有者，信息处理技术和商业化利用行为的实施是现实化个人信息潜在财产利益的核心要件。

（三）个人信息向数据资产的转化是享有信息利益的前提和实质

对个人信息享有财产利益的实质是，通过信息处理行为和商业化利用行为，个人信息中潜藏的财产利益得到数据产业的认同，该份个人信息能够产生商业利用价值，数据企业能够对其进行利用，法律才认可其利益主张。在全新的财产利益安排下保护个人信息财产权，前提是将其认定为数据资产，这一认定切合信息时代对个人信息利用的认识。龙卫球教授肯定了莱斯格教授关于赋予个人信息财产权的主张，并对这一理论进行了修正，提出了关于信息时代数据财产权体系构建应当在初始数据层面为用户配置人格权益和财产权益、在数据资产化层面为企业配置数据经营权和数据资产权的观点[10]。莱斯格教授关于仅仅赋予用户对其个人信息以财产权益的观点的确已难以满足数据企业和大数据产业的利益需要，认识到数据经济的双向动态和以数据从业者為重心的结构特点去构造新型财产权体系也是个人信息保护的应有之义。但是还应当认识到，个人信息财产利益属性现实化的实质在于其转化为数据资产后的商业价值，将个人信息的财产利益规定为一种数据财产权利进行认定和保护才是对大数据时代个人信息立法更准确的理解。

四、双重透析基础上的立法路径选择

在个人信息立法中的人格利益保护体系的构建中，不同的信息处理阶段均应当将可识别性作为利益认定和信息利用正当性判断的核心要素。在个人信息的收集阶段，各方的利益诉求与可识别性的认定紧密联系。如果被利用的个人信息能够识别指向特定个人身份，就会存在主体人格尊严和人格自由受损的风险，透析个人信息人格利益保护，个人信息的可识别性是信息主体享有信息利益的正当性基础。而通过抹除个人信息的可识别性这一前置条件的设置，信息与主体的身份实现了分离，企业对个人信息的利用就具有正当性。双方的利益冲突能够通过个人信息的可识别性有无之判断进行消解，信息收集者建立在去识别化基础上的信息收集行为显示出对信息主体人格利益的充分尊重。在个人信息的后续使用阶段，可识别性是否重新显现，决定了被利用的个人信息是否再次建立起与信息主体的联系。技术手段的运用有可能使特定主体身份被识别显现，再识别行为的实施如果违背了信息主体的意志，此种识别就是不正当的。如果联系重新建立，就有必要审查信息主体的信息人格利益是否且多大程度上遭受损害，再识别行为的合法性以及数据资产控制者是否尽到妥当管理义务等问题，并以此确立不同的救济和归责方式。

在个人信息立法中认定信息财产利益归属，信息处理行为的实施是核心判断标准，个人信息潜在的财产利益由特定行为实施方享有，应当将企业与个人的信息财产利益划归至数据资产财产权利保护体系下进行保护。大数据时代数据信息的特征是大规模、多样化、价值高且密度低[11]，这决定了推动大数据产业发展的只能是数据企业广泛的数据收集和利用行为，应当赋予实施了特定信息处理行为的企业而非信息主体以数据财产权利。现有研究存在认识上的误区：个人信息的人格利益由信息主体享有，故其财产利益的归属也应当做同一认定。实际上，个人信息法益的人格利益和财产利益归属的认定思路截然不同，两大利益认定所借助的核心要素也应当明确区分。个人信息人格利益归属认定的核心要素是可识别性，而个人信息财产利益归属认定的核心要素是特定的信息处理行为。经过处理的个人信息已实现“不可复原”，与信息主体的人格利益无涉，将财产利益保护的任务交由以人格利益保护为首要目标的个人信息保护体系完成并不合适。更妥当的方案是在立法上通过建立起企业的数据资产财产权利体系对信息财产利益以企业数据资产的方式进行保护。个人的信息财产权益诉求是否正当同样取决于其能否使个人信息潜在财产利益生发出商业价值，这与企业的数据资产财产权利保护体系的立法保护的保护根据一致，故如果个人能够通过信息商业化使用使其信息财产价值现实化，也应当在数据资产财产权利保护体系下保护信息主体的信息财产利益。

基于上述对个人信息人格利益和财产利益属性的双重透析，不难得出，今后个人的信息利益保护和企业的财产权利保护立法的制度构建应当遵循以下两种路径展开：

一是将个人信息利用去识别化及其他合法性要求作为个人信息收集利用的前置要件，并将立法重点设置在对企业后续管理和被收集信息的非法利用行为规制上;

二是对个人信息财产利益的保护应当转化为对数据资产财产权利的保护，特定信息处理行为是企业和个人获得数据资产财产权利保护的必要条件。

注 释：

① 《中华人民共和国网络安全法》第76条第（5）款：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

② 参见沈寅飞：《徐玉玉案调查》http：//newspaper.jcrb.com/2016/20161012/20161012_005/20161012_005_1.htm. [最新访问时间：2019年4月12日];朴鲁：《清华教授电信诈骗案反思：1760万换来的深重悲哀》http：//www.eeo.com.cn/2016/0903/291644.shtml. [最新访问时间：2019年4月12日]。

③ 参见元垚：《大数据归谁所有》http：//mobile.163.com/13/0916/09/98SR4UFJ001166V8.html. 最新访问时间：2019年4月24日。

参考文献：

[1] 张舵.略论个人数据跨境流动的法律标准[J].载中国政法大学学报，2018，（3）.

[2] 張勇.个人信息去识别化的刑法应对[J].载国家检察官学院学报，2018，（4）.

[3] 高富平.个人信息保护：从个人控制到社会控制[J].载法学研究2018，（3）.

[4] 杨芳.个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体[J].载比较法研究，2015，（6）.

[5] 金耀.个人信息去身份的法理基础与规范重塑[J].载法学评论2017，（3）.

[6] 程啸.论大数据时代的个人数据权利[J].载中国社会科学，2018，（3）.

[7] 季卫东.从风险社会的角度重新审视法学研究和制度设计[J].载宪政与行政法治评论，2011，（5）.

[8] 张新宝.我国个人信息保护法立法主要矛盾研讨[J].载吉林大学社会科学学报，2018，（5）.

[9] 王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J]，载现代法学，2013，（4）.

[10] 龙卫球.数据新型财产权构建及其体系研究[J].载政法论坛，2017，（4）.

[11] 黄晓亮.从虚拟回归真实：大数据时代刑法的挑战与应对[J].载中国政法大学学报，2015，（4）.