柳福东，张育铭

（广西大学 法学院，广西 南宁 530004）

近年来我国个人信息保护在理论研究和司法实践中都取得了重大进步，并相继出台了一系列个人信息保护的法律和规范性文件，其中民法典是当前我国个人信息保护的统领性法典，也是诸多个人信息法律文件的基石，其条款内容的规范和完善程度关系我国个人信息保护的法制格局。然而民法典针对个人信息的“权益”定位不利于我国个人信息的全方位保护，只有重新梳理民法典个人信息条款的表征与内涵方能为个人信息的权利化寻找可能的突破。

一、民法典个人信息条款的贡献与成就

人类社会伴随着计算机科技、通信工程和大数据等信息技术的跨越式发展而正式步入了信息网络时代，其中个人信息保护成为最具新颖性的时代课题之一，民法典个人信息条款的问世回应了这一信息时代背景下的新挑战和新问题，它从不同的角度为我国个人信息保护提供了全新的立法思路、立法探索和立法智慧。民法典第一编（总则）第111条具体而明确地规定“自然人的个人信息受法律保护”，这一条可以说是我国“个人信息保护宣言”；民法典还在第四编（人格权）设立“隐私权和个人信息保护”作为第六章，由此表明个人信息的人格属性得到了正式的立法肯定；本章还规定了个人信息之基本概念、处理规则、抗辩事由以及个人信息与隐私的关系等内容，这些规定标志着我国个人信息保护法律体系得以构建，个人信息保护顶层立法框架的设计业已完成。

（一）纵向比较视角分析

一是明确个人信息概念。既往无论是学理上还是司法实践中，个人信息的概念都极为混乱，零散分布状态下的个人信息保护法律法规对个人信息的定义相互冲突，导致了法律适用的困难。现结合民法典第1034条第2款来看，其重点从两个视角对个人信息加以定义：其一，表面状态，个人信息是以电子或其他记录方式表现出来的；其二，实质内涵，个人信息因其具有识别性从而能识别特定自然人。该款内容辅之以列举方式对个人信息内容进一步加以界定，个人信息的概念至此基本得到完满的法律表达，个人信息保护的底层设计基本完成。

二是明确个人信息法律关系主体之权利和义务。信息主体和信息处理者作为个人信息法律关系的主体，呈现出既对立又统一的矛盾共生关系。由于信息主体在二者的对抗和博弈中处于弱势地位，民法典着重赋予信息主体权利，对信息处理者则重点强调义务，本法第1037条第1、2款明确规定信息主体享有查阅权、复制权、更正权、删除权，信息处理者则负有相应义务，一方面，有利于公民更为行之有效地享有个人信息利益，另一方面，有利于给予更为坚实可靠的侵权救济。

三是个人信息保护适用范围的扩大化。民法典在网络安全法的立法基础上将个人信息的范围进一步向外延伸和扩展，增加了健康信息和行踪信息等内容，本法第1035条第2款将收集、存储、使用、加工、传输、提供、公开个人信息等行为统一纳入“处理”行为，基本上涵盖了个人信息商品化的全部流程和环节。另外，此前电子商务法、消费者权益保护法及网络安全法等单行法律只是将个人信息保护纳入其他权益的保护之中，将个人信息定义为其他权益的下位概念，并未设立专门性的个人信息保护条款，存在立法真空。上述单行法律未予保护的个人信息极易成为侵权者铤而走险的法律漏洞，民法典在第四编第六章创设独立的个人信息条款，标志着个人信息保护范围的扩大化，也意味着个人信息法律保护覆盖范围的基本完善。

四是厘清个人信息与隐私的关系。以往我国的立法探索总是过度强调个人信息与隐私的关联性却忽视他们之间的差异性，甚至衍生出将二者彻底视为一体的呼声，致使长期以来二者的边界愈益模糊，非常不利于二者关系的清晰甄别和分类保护。民法典将隐私定义为一种具体人格权，即“隐私权”，采用权利保护模式，而将个人信息定义为一种民事权益，并未将其作为一种具体人格权加以保护，即采法益保护模式。若某一行为同时构成侵犯二者的竞合，根据第1034条第3款规定，采用隐私权优先于个人信息的保护模式。同时，虽二者被共同纳入民法典第四编第六章，但在具体条款中又被加以区别。上述规定厘清了二者的法律边界。

五是填补我国个人信息私法保护的空白。民法典颁布前，我国个人信息保护的规范主要体现在以刑法和行政法为首的公法体系中，①20世纪以来我国相继制定的若干经济法、行政法规范的部分条款即体现了个人信息保密之规定。民法典颁布前，我国系统性保护个人信息的法律规范主要有2013年的《消费者权益保护法》、2016年的《网络安全法》（均属经济法部门）以及2015年的《刑法修正案（九）》。但是私法（尤其是民法）领域还是一片空白。公法手段虽能对个人信息违法犯罪行为起到极大的震慑作用，侵害者往往能受到与之相应的严厉惩罚，但由于信息主体个人信息私权益保护的缺位，受害者所受损失无法得到量化性的标准，并且其通常无法得到经济上及精神上的救济和补偿，不利于个人信息的全方位保护。公法单一保护模式的弊端在新技术兴起之前抑或是其出现的早期尚未明显，主要原因是彼时侵犯个人信息之行为主要损害的是人格利益，刑法及行政法足以有效地制裁违法犯罪和弥补损失。但是，自新技术进入跨越式发展时期后，这一弊端逐渐激化，由于个人信息商品化的加强，个人信息侵犯行为能同时造成人格利益及财产利益的损失，公法已无法有效弥补受害者的财产损失，而财产利益是私人权益，其行使与保护遵循意思自治原则，属于民法最主要的保护对象，故民法典的颁布有效地填补了我国个人信息私法保护的空白。公私相辅的立法选择应是我国今后个人信息保护的理想道路。

（二）横向比较视角分析

作为大陆法系的两大民法典代表，颁布于1804年的《法国民法典》反映了农业社会晚期的时代需求，奠定了大陆法系民法典的基础；颁布于1900年的《德国民法典》则反映了工业社会早期的时代需求，其在前者的基础上加以发展，以较长的立法时间及更为逻辑化的法律表达在世界民法典立法史上产生了更加深远的影响。然而面对互联网、人工智能及数字经济的迅速发展，二者苑囿于立法时代的久远和滞后性，均未能及时回应信息时代的社会关切，二者均未规定个人信息保护的相关内容。而我国民法典在体例上突破以二者为首的传统大陆法系“重物轻人”的体系瓶颈，在世界范围内首创人格权独立成编的立法体例，彰显人格尊严的维护；在内容上则立足于信息社会的科技发展和时代特点，规定专门的个人信息保护条款，并置于人格权编（第四编）第六章，填补前两者的立法空白，通过制度供给和制度发展充分回应个人信息保护在信息网络时代面临的各种新型挑战，反映了信息社会的时代需求。

当今大陆法系各国的民法典普遍吸收了20世纪80年代德国信息自决权理论的精神内涵，对个人信息保护类推适用隐私权的保护规则，突出强调信息主体之同意表示乃收集、处理其个人信息的唯一合法性基础，信息主体享有个人信息的绝对控制权。该理论在前信息时代对于个人信息保护领域做出了巨大贡献。但随着信息网络时代的降临，个人信息利益结构的多元化趋势日益明显，其在原有的人格利益之外衍生出了财产利益和社会公共利益。前者如个人信息业已成为数字经济和信息产业发展的重要资源，后者如医疗卫生部门收集分析新冠肺炎患者个人信息用以开展疫情防控工作。该理论面对信息科技应用的洪流日显捉襟见肘和格格不入，不仅忽视了个人信息的社会公共价值，而且阻碍了个人信息的共享和正常利用，遑论大数据产业的良性发展。我国民法典以多元利益平衡模式取代了上述个人信息绝对控制权理论，第1036条第（三）项在保留第（一）项当事人同意的基础之上增设了“为维护公共利益”的条款，对社会公共利益给予了合理的关切，平衡了个人信息保护与社会公共利益的相互关系，个人信息收集处理的合法性基础得以从一元性向多元化扩展；第1033条在“权利人明确同意”的基础上增加了“法律另有规定”的兜底条款，依据此条涵义，倘若某行为关涉个人私密信息，除“权利人同意”之外，也可依照其他法律的规定譬如为了信息产业、数字经济发展等个人信息财产价值之发掘活动或疫情防控、犯罪追查、国家安全等社会公共利益之目的，对个人信息保护设定合理边界并予以合法限制，充分实现了个人信息多元利益的协调共存。

二、个人信息权利化的理论证成

（一）个人信息具备民事权利化的资格

在民法视域内，“权益”是“权利”的下位概念，无论是在民法保护的广度上还是在强度上，前者都远逊于后者。可以认为民事权益是一种介于民法不予承认及保护的利益与民法重点规制保护的权利之间的过渡性、模糊性概念，是一种尚未取得民事权利地位的民事“弱利益”。民法将某种利益纳入“权益”还是“权利”的范畴，反映出民法对该利益的立法态度、立法偏向和立法重视程度。民法典人格权编第990条第1款规定民事主体享有姓名权、名誉权、隐私权等人格权利，第2款强调自然人享有除了前款罗列的人格权利以外的基于人身自由、人格尊严产生的人格权益。①参见《中华人民共和国民法典》第990条。第2款实为第1款的补充性、兜底性、下位性条款。个人信息是一种能识别和表明个人身份的标识信息，它与个人在信息社会环境中的人格尊严密切联系，诸如泄露个人信息或不当利用个人信息等侵犯个人信息的行为，可视作对信息主体人格尊严的侵害。由于民法典并未设定“个人信息权”的概念，但又将个人信息保护纳入人格权编第六章，故可推知个人信息属于“基于人格尊严产生的除姓名权、名誉权、隐私权等人格权利以外的人格权益”，符合民法典第990条第2款之规定。

一项新型民事权利的产生是以其所包含的私人利益之类型化为前提的。然而，要想实现私人利益的类型化并将其上升为民事权利，必须同时具备三个条件。其一，关于这种私人利益的纷争在诉讼中频繁出现，且具有代表性。成文法的脉搏在于可诉性，在实践中，只有当某一类型的诉讼频繁出现之时，方可认为“纸面上的法”被转换为“运行中的法”。同理，只有当民事主体就某种新型的私人利益提起诉讼之时，该种私人利益方可具有类型化的可能，方有可能成为成文法所规定的法定民事权利。这是一个不断扩张的过程，某种新型私人利益在诉讼中首次出现，其后，关于该种私人利益的诉讼日益增多，进而实现类型化，被立法所正式承认，最终成为一种新型民事权利。纵观我国各种具体人格权的发展轨迹，如姓名权、名誉权、隐私权等，可发现它们无一例外地遵循这种规律。其二，必须合乎伦理道德。经过类型化之过程而产生的新型民事权利必须是一种充满伦理意义的普遍性权利，它能够被任何民事主体所享有和尊重，即符合规则背后的伦理共识。其三，内容合法。新型民事权利不得违反法律保护他人之规定，亦不得违反法律之强制性规定。上述三条件是私人利益上升为民事权利的普适条件。

普通物可实现空间和物理上的占有，然而个人信息不同于前者，由于其具备无形性的物理特征，信息主体达成信息“占有”目的的唯一方式只能是支配、控制个人信息以及对他人的妨害予以排除等法律行为。这些法律行为恰好是个人信息权的权利表达方式。同时，上述行为本身即为信息主体私人利益的表征、体现和类型化，又因为类型化的私人利益就是民事权利的本质，所以个人信息权具备民事权利的资格，可作为民事权利而存在。具体而言，其一，在当前新技术应用背景下，对于侵犯个人信息的行为，司法实践中已大量出现民事主体专门就个人信息利益（包括个人信息人格利益和财产利益）提起诉讼的案例。这些案例不再遵循过去将个人信息利益依附于名誉权、隐私权等具体人格权提起诉讼的先例。关于个人信息利益的专门诉讼已具有代表性，个人信息利益具有类型化并上升为民事权利的可能。其二，个人信息保护问题在当前已成为社会大众的普遍关切，人们的个人信息意识已显著增强，保护个人信息已成为社会共识，遵守个人信息保护规则已成为公序良俗，人们渴望自己的个人信息利益得到法律层面的确认和保护。个人信息利益已然具有深厚的伦理价值和内涵，合乎社会伦理道德，将个人信息利益上升为民事权利符合社会大众的呼声和诉求。其三，对个人信息利益予以权利化保护并未与法律保护他人之规定冲突，亦不违反法律之强制性规定，反而契合法律保护他人之合法价值目标。对于某些法律强制性规定，如基于他人利益或公共利益的个人信息合理利用行为，只需对此做出例外性规定即可，个人信息利益的权利化保护与此类法律强制性规定亦不冲突。个人信息利益及由此升华而成的民事权利之内容具备合法性要件。综上，私人利益上升为民事权利的普适条件亦可适用于个人信息利益的权利化。

（二）个人信息具备民事权利化的法理基础

特殊的权利内涵使个人信息权具备独立保护的法理基础，其独立化也是信息社会的大势所趋，个人信息权应是一种独立的权利。

第一，个人信息权是独立于现有各类具体人格权之外的一种新型权利。个人信息保护牵涉的利益关系丰富、繁多且复杂，仅有个人信息权才能完成这一使命。现有的任一具体人格权均无法完全容纳和囊括个人信息权的所有利益内涵，譬如不当披露个人私密信息的行为及不当歪曲个人信息从而损害人格形象的行为均构成对个人信息权的侵犯，若某行为构成二者的竞合，则从现行民法典上只能分别援引隐私权和名誉权的条款针对前者和后者进行单独评价，而隐私权及名誉权都无法将二者同时纳入评价和规制范围，唯有个人信息权方能实现对二者全方位的评价及规制。信息主体在日常生活中留存的个人信息数以万计，为了维护个人信息专有利益，避免人格形象和人格尊严受到威胁，有必要通过个人信息权这种新型专门性权利对个人信息进行直接保护。

第二，个人信息权的独立化促进个人信息私法保护的发展。过去信息主体遭受个人信息侵害时，只能援引名誉权、隐私权等规定提起诉讼，往往无法全面弥补所受损失，损失与赔偿不成正比，个人信息私法领域实质正义的缺失又进一步助长了侵权者的违法行径，形成恶性循环。民法典虽制定个人信息保护规范，但其独立权利地位的缺失造成个人信息侵权救济机制的不完善，只有将独立的民事权利地位赋予个人信息权，方能将个人信息保护正式归入私法保护框架、体系和机制之中。信息主体通过赔礼道歉、停止侵害、排除妨害、赔偿损失等救济途径维护利益才能于法有据，相关诉讼由此得到法律保障，上述法律依据使个人信息获得更为全面的私法保护，推动立法的合理化、科学化。

第三，个人信息商业价值的实现有赖于个人信息权的独立规定。个人信息流通于信息市场是实现其商业价值的主要途径，个人信息商业价值的实现促进了信息社会整体效益的提高，是现代社会发展的重要推动力。信息产业可持续的健康发展依赖于个人信息流动的规范化和法治化。只有将个人信息权独立规定，个人信息收集、处理、加工、交易等行为方能进入调整市场经济的民法典第三编（合同）的调整范畴，信息主体享有的个人信息法益方能成为该编所保护的民事权利（合同权利），从而保障和实现个人信息交易的规范化、法治化，营造守法、健康、有序的信息交易市场，促进个人信息流动的便利化、安全化，吸引更多社会资源进入信息市场并促进其合理配置，充分实现个人信息商业价值。

第四，公权力保护模式存在局限性。在目前民法典尚未确立个人信息权的现实情况下，个人信息保护呈现分散状态。首先，现行个人信息权益保护模式的缺陷前文已论及；其次，倘若试图从权利角度保护个人信息，则只能从某些现有具体人格权寻求涉及个人信息某一部分利益的保护条款（此模式的缺陷上文亦已论及），其余部分则已然超出民法体系的保护范畴；最后，上述超出部分被我国公权力所调整，如刑法规范、行政法规范甚至行政管理行为。上述三个层次的分散性保护勉强实现个人信息利益的全覆盖。但公权力模式具有明显的局限性。其一，公权力存在天然的扩张倾向，其结果反而是对私权利的存续造成威胁。同理，如果一味强调公权力在个人信息保护领域的绝对作用，片面采用公权力的保护模式，这种机制不仅非常薄弱，而且十分危险。由于缺乏个人信息权这一私权利牢笼的束缚，公权力的扩张将会对个人信息利益造成潜在而严重的威胁。其二，只有严重侵犯个人信息利益的行为方能构成犯罪，受到刑法规制。然而大多数个人信息侵权行为程度畸轻，并未构成犯罪，因而此类行为得以逍遥法外。明确个人信息权的独立地位，以民事责任的方式规制轻微侵权行为，方能实现司法公正。其三，刑事及行政处罚的认定程序具有繁琐性和延时性的特点。如个人信息利益正在受到侵害，则难以提供及时的救济，及至处罚得到落实之时，往往损害结果已然扩大，信息主体的损失无法得到有效弥补。民事责任认定程序较为简易，民事责任具有及时性、补偿性的特点，确立个人信息权的独立性，就可援引民事责任条款，为信息主体提供及时有效的民事救济，真正弥补利益损失。

三、个人信息权利化的可能路径与障碍

纵观世界个人信息权利化的实然路径，在具体个人信息权利概念与提法的选择问题上，主要存在美国的隐私权、大陆法系国家的信息自决权及肇始于我国学界的个人信息权。

（一）个人信息权利化的可能路径

1．隐私权模式

19世纪末，随着美国报纸行业及摄影技术的发展，个人的私人领域及家庭生活愈易被外界所知悉，人们逐步开始关注隐私问题。1890年布兰代斯和沃伦在合著的《论隐私权》一文中首次提出了隐私权的概念并对其进行了极为详细的分析和阐释。[1]该篇文章首创传统隐私权理论，推动了美国隐私权的发展历程。传统隐私权的内涵被定义为一种保证权利主体私人生活之安宁及其免受打扰的权利。该理论强调个人领域、个人生活及个人信息不愿被外界知悉、不愿公开的事实状态，即私密性，其本质为一种防御性和消极性的权利及自由，而缺乏主动性、积极性的内容和权能。

自20世纪40、50年代第三次科技革命的兴起以来，信息收集和处理技术进入了跨越式的发展时期，信息收集和处理的便利化使个人信息在世界范围内的传播更为广泛和迅速。与此相伴相生的是个人信息安全在信息技术时代面临越发严峻的威胁，此时传统隐私权理论已然愈发无法满足当代社会的发展需要。[2]美国开始反思传统隐私权理论的弊端并开始探索传统隐私权的改良道路，现代隐私权理论应运而生。现代隐私权概念在传统隐私权的权能基础之上增设了自决隐私和信息隐私的内容。在现代隐私权项下，权利主体不仅可以在受到侵权时依据传统隐私权内容寻求法律救济，而且享有积极控制其个人信息的权利，即积极控制权能逐渐取代了消极防御权能，这种经过了创新、丰富及发展的现代隐私权亦被称为新隐私权。[3]自此，现代隐私权成为了美国个人信息保护制度的核心。值得一提的是，在大陆法系和我国法律体系中，隐私权之范围仅限于权利主体不愿让他人知悉抑或他人不便知悉的个人信息，该权利仅为民法上人格权利的一部分构成要件。然而，美国法中隐私权之权利域要远远大于前者，其权利外延在某些情况下甚至可囊括整个人格权利，二者不可混为一谈。美国将隐私权作为其个人信息权利化保护的法律路径有其特殊的法律背景和法理基础。

在目前我国尚未对隐私权概念进行扩张解释的法制背景和前提下，不宜将隐私权作为我国个人信息权利化的现实路径。其一，隐私权保护客体过于狭窄。在我国，隐私权的保护客体是权利主体不愿对外公开的事项和内容，强调权利主体之内心安宁及私人生活不被干扰和介入的利益，即私密性。而当今个人信息保护的现实需要要求赋予信息主体更为广泛的利益保障，除隐私权的权能基础外，还应包括信息主体外在形象完整及内在决策自由的利益，更加强调信息主体对个人信息积极利用而非消极保护的权能，故隐私权不适用于个人信息保护。其二，隐私权保护范围无法涵盖个人信息。在我国，隐私权的保护范围主要为私人事项、私人领域及私人信息。只有信息主体不愿公开，并且不隶属公共领域的信息才处于隐私权的保护范畴。[4]然而该信息一旦被信息主体公之于众，则不再受隐私权保护。个人信息则不然，其包括一切具有识别特定信息主体身份之能力的所有信息，个人私密信息抑或是已公开信息均在其列，故个人信息保护范围大于隐私权，隐私权无法实现个人信息保护的全方位覆盖。其三，隐私权与个人信息的侵害行为及救济方式相异。在我国，隐私权的侵权行为是扰乱权利主体私生活的安宁或探听、泄露权利主体的私密行为，从而对其造成精神损害和痛苦。个人信息的侵害行为乃未经信息主体许可擅自搜集、处理其个人信息或对该信息加以滥用。个人信息侵害行为有时并未涉及隐私，但该行为侵害了信息主体对其信息进行自由选择、处断及决定之权利。同时，隐私权通常强调事后救济方式，而个人信息保护面临的现实状况强调对其予以事前保护。侵害行为与救济方式的差异决定了两者无法一体化保护。其四，隐私权无法解决个人信息积极利用问题。个人信息在新技术广泛应用的大背景下具备了越来越多的财产利益属性，信息主体除了主张个人信息安全的诉求，还倡导通过平等自愿原则之下的个人信息交易开发活动获取经济利益。然而在我国，隐私权暂时仅能解决个人信息消极保护问题，却无法回应上述关切。

2．信息自决权模式

大陆法系国家的信息自决权理论始于德国，发端于德国著名的“人口普查案”。在1983年德国联邦政府依据《人口普查法》开展的人口普查行动中，由于对公民的个人信息收集事项过多，令公民对个人信息安全感到极度焦虑和不安，于是针对《人口普查法》向联邦宪法法院提起违宪审查诉讼。最终宪法法院根据《德国基本法》关于人格尊严及人格自由发展之规定认为，公民享有基于上述两种一般人格权衍生的“信息自决权”，并判决《人口普查法》之规定因违宪而无效，同时中止其实施。[5]该案判决通过对一般人格权概念的延展和扩充，创造性地提出了信息自决权之权利概念，并将其正式确认为宪法上的公民基本权利，此后德国便将信息自决权作为个人信息的权利化路径，作为今后司法实践领域的重要指导。该案判决在个人信息保护领域具有极大的开创性意义，[6]标志着个人信息保护法律基础理论在德国的成熟。[7]此后，由于人格权理论在各大陆法系国家私法领域起步早且理论体系较为成熟，故大陆法系各国纷纷仿效德国，自一般人格权演化而来的信息自决权遂成为各国个人信息的权利化路径。

信息自决权指信息主体所享有的选择及决定是否将其个人信息交付他人予以使用的权利。个人信息保护的价值内核在于充分尊重人格尊严，进而实现个体的不断自我完善和自我发展进步。而该权利通过赋予信息主体对个人信息自决与自治的权能从而最大化地尊重了个体价值与人格尊严，[8]充分体现及诠释了这一价值追求。但信息自决权同样不宜作为我国个人信息保护的权利化路径。

信息自决权理论的内在缺陷在于过分强调、夸大和扩展信息主体对个人信息的自我控制以至于达到了近乎疯狂和偏执的程度。信息自决权因其强大的个人绝对控制理论倾向而又被称为“信息控制权”。时至今日，这种缺陷随着该理论的发展被不断放大，并产生了一系列弊端。其一，忽视个人信息多元利益的平衡与协调。信息自决权片面强调个人信息承载的个人利益，信息主体同意的意思表示是信息搜集和处理的独一合法基础，基于社会公共政策、公共利益的个人信息合理利用行为及针对个人信息经济价值的适度开发、流通和升值行为均受到了严格限制，严重阻碍了数字经济、虚拟产业、信息平台的发展。此外，国家公权力机关基于国民经济建设、日常事务管理和公共利益维护等目的开展有组织、有规模的个人信息收集活动，信息主体在上述情形下主张极端的个人信息自决也是不现实的，这将阻碍个人信息社会价值的实现。其二，忽视信息主体民事行为能力的个体差异。具备完全民事行为能力的信息主体能凭借其充分的自我控制、约束能力和完满的自我意志恰到好处地管理个人信息，这也是信息自决权的顺利实现对于个人行为能力的基本要求。然而，无民事行为能力和限制民事行为能力的信息主体由于意思表示能力的欠缺则无法顺利实现对信息的自我掌控，信息自决权无疑忽视了这类特殊人群的能力差异和内在需求。其三，信息主体与信息处理者悬殊的力量对比加大了权利行使的难度。信息主体无论是技术实力还是经济实力都远逊于信息处理者，在两者的日常对抗与博弈中，前者绝大部分情况下都居于极为弱势和被动的地位。两者实力的天然鸿沟造成了一种现实困境，即个人信息被搜集之后，信息主体对于该信息被用作何种用途及日后传播的范围等问题均无法得知和控制，信息自决权因此沦为空谈。

3．个人信息权模式

近年来，随着个人信息保护研究在我国取得重大进展，关于个人信息的权利化路径，绝大部分学者抛出“个人信息权”这一新型权利概念。它是指信息主体所享有的支配、控制个人信息并对他人的妨害予以排除的权利，是信息主体对个人信息全方位、无死角的自我决定、自我控制和自我支配的各项具体权能的总和，它的权利内涵同时包括人格利益与财产利益、个人利益与公共利益。个人信息权是我国民法典个人信息权利化的最佳路径。具体理据已如前述，不再赘述，仅补充一点，个人信息权理论有效规避了域外个人信息保护模式之缺陷。个人信息权除了具备传统的事后救济权能之外，还具有积极控制利用个人信息的权利价值，充分满足了信息主体日益增长的个人信息开发利用需求并有效规制了个人信息交易、开发、利用活动的全部流程和环节，避免了隐私权单一消极保护模式的缺陷，同时该权利在保护信息主体人格、财产利益不受侵犯的同时，允许基于合理目的的个人信息公共利用，兼顾了个人信息人格利益、财产利益和公共利益的平衡，不落入信息自决权过分夸大自我控制的窠臼。

（二）设立个人信息权的现实障碍

尽管个人信息权是一种相对完美的制度设计，但是距离它的正式设立仍有一些现实障碍。其一，个人信息在现实环境中难以上升至“权利”的高度。个人信息是一种高度杂糅的混合概念，其蕴藏着繁多而复杂的人格利益且多与现有具体人格权之客体重合，导致其难以被认定为一种独立存在的民事权利。譬如个人头像信息与肖像权、个人姓名信息与姓名权、个人生物识别信息与隐私权均存在交叉重叠现象。因此有学者认为，个人信息之权利顶多可以定义为对于肖像、姓名、隐私等人格利益在信息自动化的处理环境中的特殊保护，而不能成为新型具体人格权。[9]其二，个人信息权存在着过分保护自我控制利益之虞。创设一种权利的目的在于对某种业已存在的社会现实利益予以严格的保护，较之权益，权利的保护手段显然更为严密和周全。在信息产业蓬勃发展的今天，个人信息蕴含的巨大经济价值使其成为信息市场各方主体竞相追逐和争斗的主要目标，信息主体自然对此趋之若鹜，将维护个人信息财产利益作为其参与一切市场经济活动的最高行为准则。个人信息权如若在法条中落实，则可能会导致信息主体依据此种新型权利在日常生活中针对个人信息利益，特别是作为重要组成部分的财产性利益作出过于偏激的扩张性要求。对个人信息利益的绝对控制和绝对保护将造成多元利益的严重失调，阻碍个人信息社会价值的实现和大数据产业的发展，个人信息权将会重蹈信息自决权一味强调信息控制，而忽视信息分享的覆辙。

克服上述障碍已然是日后我国个人信息权理论完善发展并最终成为个人信息权的必由之路。

四、个人信息权的内容

个人信息权是一种兼具人格利益、财产利益之双重利益结构保护功能的民事权利。个人信息与人身的不可分离性及可识别性特征使其具有了最初的人格利益属性，故个人信息权创设的根本目的是维护信息主体的人格利益和人格尊严。随着信息革命席卷全球，信息技术呈现飞跃式发展态势，带动了信息产业的方兴未艾，个人信息的商业化利用现象日益频繁，个人信息交易市场和平台已悄然建立，个人信息的价值化和商品化取向愈发显明，其逐渐从一种个体符号转化为利益价值。信息社会价值多元化的大背景加速了个人信息利益结构的多元化演变进程，个人信息通过频繁的商业性利用，在其人格利益属性之上逐步生成财产价值，其由此具备了财产利益属性。[10]其中，个人信息财产利益实现的进路通常有二，一是直接针对本身就具备财产价值的个人信息进行商品化利用，二是针对个人信息进行再次深度加工、开发、升华和利用，进而产生财产价值，属于个人信息之再利用活动。个人信息财产利益属性的萌生促使法律必须对此作出回应，故个人信息权的权能对外扩张，增加了保护个人信息财产收益功能正常运转的全新使命，由此成为了协调保护人格财产双重法益的复合型权利。必须说明的是，虽然个人信息于新技术应用背景下已然具备了人格与财产之利益双核，但是在这种双重利益结构中，人格利益与财产利益并非互不关联的两个平行存在和空中楼阁，二者密切相关。由于个人信息商品化趋势的不断推动，个人信息利益结构发生财产性变革，从单一的人格利益向人格、财产利益并存转变，个人信息逐渐出现了财产内涵，尔后个人信息财产权方应运而生。由此可知，个人信息人格权先于个人信息财产权而存在，前者是后者诞生的基础和本源，财产利益实为人格利益财产性利用的价值表征和自然延伸，离开人格利益的土壤，财产利益的出现便无从谈起，换言之，财产利益是人格利益在特定历史阶段下新的表现形式。

个人信息权应当包括个人信息人格权和个人信息财产权，前者包括自决权和禁止权，后者包括管理权、许可权和收益权。①自决权、禁止权、管理权、许可权、收益权虽名之为“权”，但并非权利，而是依附于个人信息权的权能，它们实为个人信息权发挥作用之手段和个人信息权之效力表现，它们无法离开个人信息权而单独阐释和存在，不具有独立性，后文所述之知情权、保密权、更正权等可理解为上述权能的“子权能”，它们是上述权能的进一步细化表达。

（一）个人信息人格权体系

1．个人信息自决权。自决权指信息主体能自主决定是否生成本人之个人信息，同时还能自主决定是否继续持有该信息及持有方式等，即信息的存续状态也取决于信息主体，其决定受他人尊重且不受他人干涉。简而言之，即信息主体有权根据本人的自由意志决定对个人信息作出或不作出一定的行为，[11]反映出“法无禁止即可为”。自决权反映出信息主体与其他不特定多数人之间的法律关系，是一种对世权能。它充分体现了个人信息的人格性和人权特征，是个人信息权赖以存在的法律价值基础，是古典自然法学派“自然自由”理念在个人信息权领域的新生。其行使方式有二，其一，信息主体亲自或委托他人直接对个人信息实施事实行为，无需第三人的配合，具体包括生成、提取、保有、利用、处理等行为，即积极自决权；其二，信息主体将个人信息搁置一旁，不予作为，即消极自决权。至于其内容则有五，其一，生成自决，指信息主体可自行决定是否生成其个人信息；其二，保有自决，指在法律原则的限度范围内，信息主体有权自主决定是否继续保持拥有其个人信息；其三，提取自决，指信息主体得自由决定是否将个人信息负载于某种载体之上，譬如以书面文字形式传达个人隐私信息；其四，利用自决，指信息主体得以自己名义利用个人信息；其五，处理自决，指信息主体得自主对个人信息实施事实行为以处分之。

2．个人信息禁止权。禁止权指信息主体可对他人在其个人信息上任意而为或不为加以禁止。它同自决权构成信息主体与其他不特定多数人这一法律关系的两个不同视角，二者共同保护同一法律上的利益。禁止权为个人信息构筑法律高墙和法律屏障，防止来自外部的侵权行为；自决权则赋予信息主体在禁止权的保护范围内自由决定个人信息状态的自由，二者从内外和正反两面全方位立体式地保护个人信息人格利益。

（二）个人信息财产权体系

1．个人信息管理权。个人信息管理权指信息主体为了控制他人对其个人信息的利用行为在其所期望的范围之内，得决定信息处理者对其个人信息收集、利用的范围和方式，并享有知情、保密、更正、封锁、删除等管理权能。其包括知情权、保密权、更正权、封锁权及删除权等具体权项。知情权是一切个人信息权项的基础，指信息主体能随时获取和查阅其个人信息的收集和利用情况。[12]其行使方式有二，一是信息主体得主动获取和查询其个人信息的存在和利用情况；二是信息处理者在实施收集和利用行为时必须主动通知信息主体。保密权指信息主体依法或依约享有的请求信息处理者采取一定的措施和手段对其所提供之个人信息保持隐密性的权能。[13]其深层含义有二，一是信息处理者必须采用规范合理的管理和技术措施防止个人信息泄露；二是如若信息主体希望同时兼顾个人信息的安全性和经济价值，则可对其个人信息实施“去身份化”（匿名化）处理。[14]不完整或不准确的个人信息通常会影响信息主体的社会认识和社会评价，更正权应运而生，其指如若信息主体知悉个人信息存在不完整或不准确等情形，可向信息处理者要求予以更正之，从而维护个人信息的准确性与完整性。当个人信息的准确性存在争议且暂时无法确认其准确性，或当个人信息存在删除的必要性但苑囿于某种现实情况而无法删除时，信息主体可要求信息处理者暂时性地封锁其个人信息，此为封锁权。需注意的是，封锁权表示暂时性地停止使用个人信息，而非永久性地删除个人信息。如信息处理者在未经信息主体同意的情况下获取、使用个人信息，或个人信息使用超出约定范围，信息主体可要求其永久性地删除个人信息；同时，如个人信息存储时间超出法律或合同约定的期限，信息主体也可要求信息处理者删除之。

2．个人信息许可权。许可权是收益权的逻辑前提，指信息主体可事前或事后允许信息处理者在约定范围内按照约定的方式利用个人信息，其中事后许可能够补正信息处理者非法持有和利用个人信息行为的权利缺陷。许可权的行使方式包括同意和拒绝。同意方式指信息主体在接受信息处理者充分告知的前提下，根据其自由意志作出的同意对其个人信息进行处理及利用的明确而具体的意思表示；拒绝方式指信息主体在被充分告知的情况下，可基于任何正当理由拒绝信息处理者收集和利用其个人信息，经拒绝，信息处理者不得继续实施利用和处理行为。

3．个人信息收益权。在以大数据、云计算为首的新技术应用背景下，个人信息商品化趋势以及“信息有价”的社会理念是个人信息收益权的现实来源。[15]收益权体现于各类个人信息权法律关系当中，是个人信息价值化的最直接表现，也是个人信息财产权最典型、最重要的体现。[16]正是个人信息巨大价值收益的存在才导致当今个人信息滥用现象的频频发生。收益权首先体现在信息处理者以盈利为目的收集和利用个人信息时，信息主体有权请求获取相应的利益；其次，信息处理者在深度开发利用个人信息的过程中投入了劳动价值和劳动成本，所以其可依据该二次开发行为获取竞争性财产权益。①就目前而言，相对于信息主体的个人信息财产“权利”，信息处理者的财产利益无疑处于更加安全的法制环境之中，因此其享有的法律保护层级可适当降低，故宜将这种利益纳入“权益”而非“权利”的保护范畴，但这种权益在广义内涵上仍属于个人信息收益权的权能范围。

五、个人信息权的法律表达

为了确保个人信息权在我国民法典中得到更为深入的表达，保证相关权利主体享有更加完善的个人信息利益，需要针对民法典部分条款进行适当修改。

（一）民法典第一编（总则）第五章（民事权利）第111条“自然人的个人信息受法律保护”，以及第四编（人格权）第六章“隐私权和个人信息保护”，本章第1034条第1款“自然人的个人信息受法律保护”等条款，将这些条款中的“个人信息”改为“个人信息权”，以在民法典中明确设立个人信息权，正式赋予个人信息权利外衣。正式创立个人信息权的概念将有利于为民法典后续条款个人信息权保护之规定做好铺垫，发挥总领作用。

（二）将民法典第四编（人格权）第六章“隐私权和个人信息保护”中的个人信息条款独立成章，设为民法典第四编（人格权）第七章“个人信息权”。鉴于个人信息与隐私之不同，并设立个人信息权，为周全保护个人信息，应将个人信息从隐私权保护中抽离出来独立设章。

（三）民法典第四编（人格权）第六章（隐私权和个人信息保护）第1034条第3款对于个人私密信息适用隐私权之规定，若无隐私权规定则采用“个人信息保护”之规定。②参见《中华人民共和国民法典》第1034条。应将该款之“个人信息保护”改为“个人信息权”，并删除“适用隐私权的规定”。因为个人信息权独立成章，个人信息权与隐私权属于同等地位的权利，因而对个人信息的保护应当适用其自己的规则，无规定的，应优先适用人格权一般条款的规定。

（四）虽未直接规定个人信息权，但民法典第1037条第1、2款规定信息主体享有查阅权、复制权、更正权及删除权。③参见《中华人民共和国民法典》第1037条。上述四者实质上均隶属于个人信息权当中的管理权之范畴，但该条款内容过于简短、粗略，并未针对个人信息管理权进行系统化的阐述、概括和总结，也并未系统阐释其具体内容和表现形式，补全前述疏漏必不可少。此外，由于该条款仅分别规定信息主体行使查阅权、复制权、更正权及删除权的一种情形，即行使查阅权、复制权仅限于信息主体“依法”查阅或复制个人信息，行使更正权仅限于信息主体“发现信息错误”，行使删除权仅限于信息主体发现个人信息处理行为“违反法律、法规或双方约定”，故亟需扩大上述四者的行使范围，拓展个人信息管理权的权能空间，满足信息主体在当今纷繁复杂的信息交易活动中的权利需求。

（五）民法典第1037条第1款规定自然人可查阅、复制“其个人信息”，③参见《中华人民共和国民法典》第1037条。根据文义解释可知，此处“个人信息”范围仅限于原始个人信息，并未就再次开发和处理行为进行规制。现实中部分信息处理者并未针对原始个人信息实施任何侵害行为，以此取信于信息主体，然而前者未经后者同意私下对原始信息进行再次开发和利用，尔后投入信息市场进行交易获取巨额利润，严重侵害后者的个人信息升值利益，这也是当前信息产业的灰色地带。因此，应扩大自然人知情权范围，赋予自然人对信息处理者二次开发甚至三次开发行为的知情权和监督权，在本条款中针对原始个人信息和再次加工信息进行分别规定，并且把二者都纳入个人信息权权利客体的范畴，规定自然人对两种信息均享有个人信息权的各项权能，实现二者平等保护，落实信息加工、处理、开发各个环节的可视化、公开化、透明化。

（六）民法典是我国民法法律体系的基础性法律规范，已出台的个人信息保护法则兼容民法、刑法和行政法之个人信息相关条款，是个人信息保护领域的专门性、综合性法律规范。民法典除了在第1035条第1款第（一）（四）项规定自然人同意等处理个人信息的合法性基础条款，在第（二）（三）项规定了个人信息处理行为的具体合法要件，如公开个人信息处理规则和明示个人信息处理之目的、方式、范围。④参见《中华人民共和国民法典》第1035条。前者属基础条款，后者属具体条款。民法典应保留前者内容，将后者转移至个人信息保护法予以规定。

（七）为了减少授权成本、提升信息使用效率，信息处理者为了顺利履行合同而处理个人信息的行为毋须取得信息主体同意，应当成为免责事由。但若前者超出合同履行目的，违反约定或法定义务，实施滥用或泄露等个人信息侵权行为，则仍应承担法律责任。民法典第1035条乃个人信息处理行为合法性条款，①参见《中华人民共和国民法典》第1035条。应在其中增添一项，即“签订或履行合同范围之内所必需”，赋予上述行为合法基础，同时应对“合同目的”采取限缩解释，防止信息处理者任意扩大合同目的侵犯个人信息权，故采用“必需”表述。

（八）个人信息权与个人生活安宁密切相关，个人信息侵权行为往往同时侵害私生活安宁。民法典第1033条第（一）项规定，任何个人或组织不得以传单、短信等方式侵扰私生活安宁，权利人明确同意或法律另有规定除外。②参见《中华人民共和国民法典》第1033条。根据文义解释，发送任何未经权利人明确同意的信息均属侵扰行为，虽存在“法律另有规定”的兜底条款，但显然过于笼统和模糊，可操作性不强，“权利人同意”成为实质上的合法基础。此处存在一个悖论：在信息社会日常交流模式中，发送者和接收者往往因物理距离过于遥远而无法当面交流，故只能采用电子通讯方式，发送者必须发送含有征求、询问内容的信息方能知晓接收者是否同意后续的一系列交流行为，但发送者发送此信息这一行为本身也并未经过接收者同意。因此，宜将第1033条第（一）项内容予以单独规定为“发送电子信息的，接收者接收之后有权拒绝再次接收，发送者必须明示联系方式和真实身份，并根据实际情况提供拒绝再次接收的渠道。权利人明确拒绝的，任何个人或组织不得频繁通过电话或短信等电子通讯方式侵害权利人的私生活安宁，法律另有规定除外”；而第（二）（三）（四）（五）（六）项由于不涉及社会必要行为和活动，故仍适用“权利人明确同意”和“法律另有规定”的“默认禁止”规定。

六、结语

民法典个人信息条款的细化完善是我国个人信息保护法治体系建设的关键。[17]个人信息权的创设目的不是夸大个人信息的自我控制，而是营造个人信息保护与流通、共享及发展的双赢局面，从而促进大数据和信息产业的健康发展，最终实现信息资源优化配置。个人信息权利化的路径探索应是我国今后一段时期民法典个人信息条款的主要研究方向和发展道路。