何卓律

(澳门科技大学 法学院，澳门 999078)

2021年11月1日起，《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式施行，该法第13条明确允许个人信息处理者在经过信息主体同意的情况下，可以对个人信息予以利用。现实中，个人信息的利用在各行各业发展迅速，模式已经成熟，例如个性化推荐、差异化定价、信用评估等；但在法学界，学者对个人信息利用的关注略显迟缓，并且对个人信息利益保护采用权利化模式或行为规制模式的认识充满争论。但业界对个人信息利益同时包含精神利益及财产利益的认知几乎一致，“以姓名为核心的身份识别体系是人在社会中不可或缺的一部分，法律需要保护身份识别所产生的精神利益和经济利益。”[1]在处理个人信息时，应尊重信息主体的人格尊严和自由，避免对其人格利益造成侵犯[2]、阻碍个人信息价值发挥。个人信息天然地具有流通和共享的属性，确保个人信息的合理流通，对于企业、政府和社会而言均有着十分重要的意义[3]。根据《个人信息保护法》第4条，所谓个人信息处理，即是对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等，自然也包括对个人信息的直接利用——许可使用。“许可使用”常见于知识产权领域，商标、专利、作品等成果信息的权利人，通过签订合同的方式，与被许可人建立许可使用关系。在类型上，一般分为独占许可、排他许可与普通许可。在第三人效力上，特定许可类型的被许可人可以就相关的侵权行为以自己的名义提起诉讼。那么，个人信息的“许可使用”是否与知识产权许可使用具有相同或者类似的特征呢？个人信息许可使用规则可否参照知识产权法律？《民法典》《个人信息保护法》等现有规则并未明确。特别是在“重复许可”的问题上，现有知识产权法律处理尚显乏力，个人信息许可使用是否亦会面临“重复许可”而难以解决？本文拟在分析个人信息许可使用实质后，将个人信息与知识产权相比较，对个人信息许可使用的规则构建、第三人效力、一权多许等问题进行探讨。

一、个人信息许可使用的规则构建与模式分析

《个人信息保护法》仅规定了个人信息可以通过信息主体同意的方式进行商业利用，在“个人信息处理规则”章节中，并未涉及到个人信息许可使用规则。

1.个人信息财产利益具有知识产权客体特征

在研究个人信息许可使用规则前，有必要对个人信息财产利益的保护方式进行讨论。基于个人信息商业利用而产生的民事权益，吕炳斌认为“个人信息和知识信息在本质上均具有公共属性……个人信息的权利化路径可以从‘知识信息’的权利化路径中得到启示”[4]。 “知识产权”概念在我国已经发展已久，郑成思认为知识产权指的是人们可以就其智力创造的成果所依法享有的专有权利[5]。吴汉东将知识产权定义为“人们对于自己的智力活动创造的成果和经营管理活动中的标记、信誉依法享有的权利”[6]。针对该两种定义，张玉敏认为是不科学的。首先，商标、商号和其他商业标志在知识产权法中是作为商业活动的标志而不是创造性智力成果受到保护的；而且对于商业标识而言，法律所保护的是其识别性，而不是其创造性；最后，该两种定义仅说明何人对何物享有何种(专有)权利，并未将其与其他权利进行区分，如针对同一物，可以在其上设立质权、债权等多种权利，而且这些权利都是专有的。因此张玉敏提出，应将知识产权定义为民事主体所享有的支配创造性智力成果、商业标志以及其他具有商业价值的信息并排斥他人干涉的权利[7]。该定义恰当地突出了知识产权的主体、客体，揭示了其支配权属性，将其与其他权利进行了区分，具有一定的科学性。针对该项定义，可以归纳出知识产权是以非物质性信息为保护对象，它是一种对世权、支配权，同时具有“可分地域取得和行使”以及“可分授权”的特征。

按照张玉敏对知识产权的定义，知识产权规则似乎可以作为个人信息规则构建的参考。首先，个人信息同样具有非物质性。不同于有体物，个人信息具有永久存续的特征，并不会因使用或者氧化等原因导致毁损或者灭失，即使在信息主体消灭时，个人信息依然存在；而且，个人信息天生具有同时被他人使用的基因，而有体物在同一时间、空间内仅能被有限主体占有、使用；同时，个人信息无法从物理上排除他人的占有、使用，为了保护个人信息不被滥用，法律应排除他人非法占有。其次，个人信息财产利益具有对世性与可支配性。个人信息财产利益由传统的人格权派生，同人格权一样，个人信息财产利益由信息主体享有，未经其许可，任何人不得侵害。但与人格权利的消极特征不同，个人信息财产利益可以被积极利用，信息主体可以依照其自身的意志，对个人信息进行支配、排除他人干涉。再次，个人信息也具有可分地域特征。对有体物而言，在同一物理、时间条件下，其仅能在一个法域内得到保护，而个人信息不同，不同法域下均可以对同一个人信息提供保护，尽管保护内容及方式有所差异。在个人信息可分地域上取得法律保护后，其行使当然也是可分的。最后，既然权利行使是可分的，个人信息当然也具有分授权特征，进一步地，在同一法域内个人信息也时常在异类服务上被许可使用。因此，个人信息财产利益与知识产权具有相似的特征。

另外，吕炳斌还从个人信息与知识产权客体在“权利边界相对确定”“信息本质”等方面进行了论证，并得出了“个人信息和知识产权的客体在本质上都是一种特定的信息，两者都不具有物理边界，其边界都处于相对确定的状态”的结论，从而认为，对个人信息的分析，可以知识产权为参照[4]。

2.个人信息许可使用的规则构建

(1)许可使用权的设立 我国自愿许可一般采取订立合同的方式设立。由于我国目前尚没有知识产权法总则，具体有关自愿许可的条款分布在各知识产权部门法律中。如《专利法》第12条规定，任何单位或者个人实施他人专利的，应当与专利权人订立实施许可合同，向专利权人支付专利使用费；《商标法》第43条规定，商标注册人可以通过签订商标使用许可合同，许可他人使用其注册商标；《著作权法》第26条规定，使用他人作品应当同著作权人订立许可使用合同。在《民法典》“肖像权”章节中，第1021-1023条规定了肖像许可使用合同的解释与解除条款，可以认为肖像使用许可可以通过合同方式订立。考虑到个人信息与知识产权对象的共性以及个人信息的人格权利属性，故前述以合同设立知识产权及肖像权许可的方式可以作为个人信息许可设立的参考。同时，个人信息许可使用关系的建立还应当考虑到《个人信息保护法》关于“单独同意”及“书面同意”的特别要求。就单独同意而言，《个人信息保护法》明确提到以下五种情形需要取得信息主体的单独同意，即：个人信息处理者向其他个人信息处理者提供其处理的个人信息；个人信息处理者公开其处理的个人信息；在公共场所安装图像采集、个人身份识别设备所收集的个人图像、身份识别信息用于维护公共安全之外的其他目的；处理敏感个人信息；个人信息处理者向中华人民共和国境外提供个人信息。其他法律以及行政法规可以在“单独同意”的基础上，增加“书面同意”要求。例如《征信业管理条例》第29条规定，从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息，应当事先取得信息主体的书面同意。因此，当涉及到“单独同意”的情形时，许可使用合同不能将需要取得单独同意的个人信息内容与其他信息混在一起，也不能将处理目的、处理方式和个人信息种类等不同的个人信息处理活动混在一起而概括取得个人的同意。符合书面同意条件的，许可使用合同应当采取书面形式，否则该处理行为将因违反法律的强制性规定而无效[8]。

(2)许可使用合同的解释与解除 传统知识产权许可合同并未建立起特殊的合同解释规则，仅就权利失效时的许可费用返还问题作了相应规定，如《专利法》第47条规定，除明显违反公平原则外，专利被宣告无效的，对已经履行的专利实施许可合同不具有追溯力，被许可人不需返还专利使用费。与《专利法》类似，《商标法》《植物新品种条例》也有类似规则。因现行法律规定并未对个人信息财产利益丧失作出规定，而且与专利、商标、植物新品种不同，个人信息无需经过审查授权就产生财产利益，所以知识产权有关权利失效时的费用返还规则对个人信息许可使用规则构建没有参考意义，故不予深入讨论。

因个人信息利益同时兼具精神利益与财产利益，与标表型人格权具有类似的权利性质；同时，我国立法机关在其民法典人格权编条文释义书中也对个人信息保护作了明确说明[9]，故有关标表型人格权的合同解释与解除规则可以作为参考。《民法典》第1023条明确规定对姓名等的许可使用可以参考有关肖像权的规定，那么《民法典》第1021条、第1022条有关肖像许可使用合同的解释及解除规则可以适用于个人信息许可使用情形。

第一，《民法典》第1021条与《民法典》第 466 条所规定的财产性合同条款“不利解释规则”不同，其采用“有利解释规则”，明确在发生争议时，作有利于肖像权人的解释。温世扬认为此处的争议指的是因与肖像使用具有相关性，且对肖像的使用会发生实际影响的合同条款的理解有争议[10]。 “体系解释的逻辑意蕴是塑造法治思维的必备成分。忽视体系解释的逻辑维度，不仅会酿成过度文义解释的机械执法、司法，还极易在法律与其他社会因素的关系思辨中丢失法律的确定性和权威性。”[11]《民法典》第 466 条已经对财产性合同的解释规则作出安排，故应将第1021条作特殊理解。温世扬有关“争议”的观点扩大了“争议”的范围，虽然人格标识财产利益从属于标表型人格权，但是两者具有相对独立性，对财产利益的损害不一定会同时损害到其精神利益。故应将“争议”限缩解释为(极大可能)影响到人格主体精神利益的争议，仅影响财产利益时应根据《民法典》第 466 条予以处理。

第二，《民法典》第1022条规定了人格标识许可合同的解除规则，包括许可期限约定不明或未约定时的双方解除权及肖像权人有正当理由时的单方解除权。对于纯财产合同解除而言，《民法典》合同编已经明确，合同签订后，当事人应当按照约定全面履行自己的义务，非因双方约定或者法律规定，不得解除。因此，在理解《民法典》第1022条的肖像使用许可合同的解除规则时应考虑到此类合同与财产性合同的差异。同理，个人信息使用许可会同时影响到信息主体的精神及财产利益，两者具有从属关系，在讨论个人信息财产利益时不能将其与人格尊严和人格自由分开，亦无法严格区分个人信息使用许可合同中的财产条款与精神条款，故从“人格优先”的角度考虑，应给予信息主体一定的解除权利。在“许可期限约定不明或未约定”而合同一方意欲解除合同时，合同双方的信赖关系发生破裂，个人信息许可使用的基础不复存在，继续履行合同将使信息主体的精神利益受到影响，《个人信息保护法》明确赋予信息主体撤回权是合适的。相反，在规定了合同期限的情形中，原则上双方都应该继续履行合同，即使被许可方认为个人信息于己已无利用价值、许可方认为合同约定的使用方式伤害到其精神利益。然而，“在有限的、特定的意义上，人的认识能力受到诸多限制。”[12]同时，人类也没有条分缕析地解决人类交往中自身所面对的种种难题[13]。因此，个人信息许可签订时不可避免受到认识的局限，合同文本也是一种文字性记载，它也难以对人类的有限认识进行确切表达，以致存在超出信息主体在签订许可合同时对本身精神利益受损预见的情形。人格作为民法保护的终极目标，即使基于信息主体一方的过错而将发生或者已经发生超出其可预见范围的精神伤害时，仍应给予其解除合同的权利。故，信息主体对“同意”的撤回应以“可预见原则”为标准，避免信息主体过分随意解除合同。

关于个人信息许可使用合同的解除方式，《民法典》第565条规定了通知解除，未限定通知方式；但结合《个人信息保护法》第15条，可知通知方式对于信息主体而言应当是便捷的。一般情况下，便捷是一个相对的概念，解除合同的渠道、程序至少应与订立合同的方式等同，例如，“电子签约”“一键授权”时，个人信息处理者应提供电子解约通道、一键解除按钮等更加方便、快捷的通知方式。

3.个人信息许可模式分析

在知识产权许可模式中，根据支配效力强度的不同，一般分为独占许可、排他许可与普通许可。以商标为例，独占许可指被许可人在合同期限内、约定的地域范围内享有独占使用商标的权利，包括许可人在内的任何人均不得对该商标进行使用。在排他许可类型中，除许可人与被许可人可同时使用商标外，其他人不得使用，支配效力弱于独占许可。普通许可是所有类型中支配效力最弱的类型，许可人有权同时与多个主体签订普通使用许可合同。个人信息财产利益从属与个人信息利益，两者的相对独立性允许个人信息的财产利益可被许可他人使用，但不应过分影响信息主体的精神利益或人格。

首先，如果全部参照知识产权许可模式，在独占许可的情形下，信息主体无法使用与其有紧密联系的个人信息，其人格自由难免会受到影响。在实践中，也并不存在完全的独家许可，仅仅是限制个人信息在特定的时间、商业场景中许可他人在与被许可对象之外的竞争品上使用其个人信息，而并不限制信息主体自己或者在其他商业场景中使用；即使合同约定所有商业场景，但信息主体对个人信息的使用不会受到限制。故在个人信息许可使用合同中不应允许独占许可。

其次，在前例中，当信息主体在所有或特定商业场景中仅许可一人使用其个人信息时，因其自身仍能继续对其个人信息进行非商业利用，符合知识产权许可模式中排他许可的特征。同时，应当注意的是，还存在一种排他许可类型，即除信息主体自身可商业或者非商业使用外，在所有或特定商业场景范围内仅存在一家可对特定个人信息进行商业使用的主体，也可称其为排他许可。为了作出区分，可将前者称为“绝对排他许可”，后者称为“有限排他许可”。所谓“特定个人信息”，意味着并非所有类型的个人信息都可以成为排他许可的对象。以姓名、电话号码、身份证号码、消费记录、网站浏览记录等为例，基于社会生活的合理需要，姓名、电话、身份证号码等属于信息主体日常必须使用的个人信息，它们通常无法单独被作为排他使用的对象。例如，在使用微博时，需要向微博平台提供手机号码以注册账号，提供姓名及身份证号码进行实名验证，使用其他博客平台时也会有同样的要求。如果信息主体同意了微博处理就不能同意其他博客平台处理该类个人信息，无异于剥夺了信息主体的精神自由，所以该类满足“生活合理需要”的必要信息无法被特定个人信息处理者单独利用。但是当某类个人信息一般仅应用于特定场景时，该类个人信息就能作为排他许可的对象，例如，淘宝消费记录可以分析一个人的交易习惯、兴趣爱好，这种记录并非社会生活所必须，个人信息处理者具有单独利用该类个人信息的可能。因此，“特定个人信息”应将满足生活合理需要的必要个人信息排除在外。

再次，当个人信息排他许可类型存在的前提下，普通许可当然存在，即在合同中有允许信息主体不受合同期限、商业场景等的限制而新设许可的约定。作为普通许可对象的个人信息因存在多主体同时共享使用的空间，范围一般不受限制。

最后，在知识产权许可模式中，被许可人在未经权利人同意的情况下，不允许被许可人实施分许可。此处的同意分为概括同意与单独同意。概括同意是指，在允许被许可人分许可时，在合同约定的许可范围内不限制被分许可对象，由被许可人自行决定。单独同意指被许可人在实施每一次分许可前，需要将该被分许可人的主体信息披露给许可人，由许可人决定是否同意分许可。两者的不同之处在于，许可人是否介意被分许可人的主体身份。如前文所述，个人信息许可涉及信息主体的精神利益，相对比于财产性知识产权许可而言，更注重对合同主体的信赖。“概括同意”有使个人信息被“陌生人”或“不友好之人”利用的风险，有使信息主体遭受精神损害或者限制人格自由的可能。《个人信息保护法》针对处理个人信息的同意也有严格的规定，要求个人信息处理者向其他个人信息处理者提供或者公开其处理的个人信息时，应当取得个人的单独同意。所以，信息主体在授权个人信息处理者“分许可”个人信息时，应以排除概括同意为原则，在明确被分许可主体身份后，由信息主体单独同意。

二、个人信息许可使用的第三人效力分析

个人信息许可使用仅存在排他许可与普通许可两种类型，因个人信息的精神利益不可转移，个人信息许可使用仅能涵盖到财产利益，故无论在何种许可类型下，信息主体始终对侵犯其精神利益的行为享有请求停止侵害权利，并且该权利的实施不需任何人同意，基于该侵权行为而获得的精神损害赔偿也归信息主体享有。在个人信息许可使用语境下，绝对排他许可系将其因使用个人信息而享有的潜在、现有财产利益均归于被许可人。在发生利益侵害时，被许可人作为真正的利益者，当然有赋予被许可人请求他人停止侵害并获得赔偿权利的现实需求，而且基于功利性考虑，在绝对排他许可场景下，个人信息财产利益全部归于被许可人享有，信息主体将缺乏主动维权的积极性；即使维权，也系保护其精神利益需要，也并无维护被许可人利益的目的。因此，有必要赋予个人信息排他许可合同中被许可人以实质请求权利。在个人信息有限排他许可中，财产利益主体固定，包括许可人及被许可人。在利益驱动下，当发生侵害个人信息财产利益时，双方均有维权积极性，但动机与行为无关，如不赋予被许可人请求权利，在许可人不维权时，被许可人的利益将遭受真实损害而无法得到救济。但如赋予被许可人权利，又如何将其与许可人协调也必须进行考虑，否则将会引起诉讼秩序混乱；例如许可人、被许可人在两级、两地法院分别就同一侵权行为、以同一请求权基础提取诉讼。个人信息普通许可中，被许可人基于合同享有的个人信息财产利益不具有排他性，相应侵权行为损害利益主体是许可人，在通常情况下，被许可人对侵权行为没有诉讼利益，但不排除在信息主体明确授权的情况下，赋予普通被许可人提起诉讼的权利。因此，针对个人信息许可使用，有必要建立许可使用权的“第三人效力”规则。基于个人信息财产利益与知识产权特征的相似性，本文将试图从知识产权许可使用权对第三人效力规则中寻求答案。

“市场主体获取知识产权的目的并不在于取得权利本身，而在于取得因市场独占地位而产生的财产利益。”[14]除市场主体自主实施外，知识产权许可使用是最重要的商业利用方式之一。现有知识产权规则针对不同的许可类型设计了不同的第三人效力；例如，最高人民法院《关于审理商标民事纠纷案件适用法律若干问题的解释》第4条规定，在发生注册商标专用权被侵害时，独占使用许可合同的被许可人可以向人民法院提起诉讼；排他使用许可合同的被许可人可以和商标注册人共同起诉，也可以在商标注册人不起诉的情况下，自行提起诉讼；普通使用许可合同的被许可人经商标注册人明确授权，可以提起诉讼。对应到个人信息许可使用场景中，绝对排他许可与商标独占使用许可、有限排他许可与商标排他许可具有类似性。类似的规则可以描述为：在发生个人信息财产利益被侵害时，绝对排他许可使用合同的被许可人可以向人民法院提起诉讼；有限排他许可使用合同的被许可人可以和信息主体共同起诉，也可以在信息主体不起诉的情况下，自行提起诉讼；普通使用许可合同的被许可人经信息主体的明确授权，可以提起诉讼。但是，一般情况下，合同不对合同主体以外主体产生效力。现有制度下，无论是知识产权许可或者个人信息使用许可均采取“合同”方式设立，如赋予特定类型的被许可人有对抗第三人的权利，似乎突破了合同相对性原则。

为了使知识产权许可的第三人效力符合逻辑，学者们分别从比较法[15-18]及法理角度进行了研究。但在中国的法律体系内，我国相关的制度背景不同、民诉基础理论不同，他国经验对“寻求问题的本土解决方案并没有任何现实的借鉴意义”[19]。例如，日本、韩国对专利的专用实施权或独占许可等均采用“登记生效主义”，其在许可使用权经过公示之后产生公信力，在论及第三人效力时自然没有“合同相对性”的理论障碍，但我国并没有要求专利独占或排他许可须经登记或备案才能发生效力，存在制度局限，而且，如果简单引进“登记生效”制度，除了经修订法律等冗长程序之外，还存在包括效率在内的利益取舍。在民事诉讼制度方面，我国任意诉讼担当制度也尚未建立，无法对“授权他人实施诉讼”进行解释，而且这也与我国“禁止诉权转让”的司法实践相悖。因此，该问题的根本解决还需要从法理路径出发。“用益物权说”“租赁权说”“分化转移说”是目前常见学说，其中“用益物权说”认为知识产权许可是在知识产权之上设定了用益物权，以此实现“对抗第三人”合理化，但缺陷在于，用益物权类型法定，现有物权法律体系中并未有“知识产权许可使用”这一类型。“租赁权说”认为承租人作为租赁物的实际占有人及使用人，对该租赁物负有管理、注意义务，有义务即有权利，具体到知识产权中，承租人有请求他人停止侵害知识产权的权利。但该说无法解释利益归属问题，按照“租赁权说”，承租人维权后利益应归属于出租人或所有权人，但是在独占被许可人情形中，相应知识产权的实施利益归属于处承租人地位的被许可人，该说仍存在缺陷。“分化转移说”认为，知识产权由禁止权与对价权组成，独占/排他许可其实是将知识产权人享有的禁止权、对价权分化后暂时被转移给被许可人，并且知识产权人亦保有禁止权、对价权。只是在转移后，排他许可类型下被许可人的禁止权、对价权处于待激活状态。该说在知识产权体系内解决问题，以解释论的方式实现逻辑自洽，不强制采用“登记生效主义”从而未弱化知识产权利用效率，将“禁止权”作为实体停止侵权请求权基础，以“对价权”讲明了被许可人获得维权利益的合理性，回避了“用益物权说”的“物权法定”缺陷，也正视了“租赁权说”的利益归属问题，具有优越性。

将“分化转移说”应用到个人信息许可场景中。个人信息具有无形性，无法从物理上排除他人对个人信息的再现利用，因此，有必要对个人信息财产利益提供法律保护，具体的法律技术可参考知识产权，即赋予信息主体禁止他人非法商业利用请求权(禁止权)及报酬请求权(对价权)。其中，禁止权则是对价权行使的有效保障，许可权属于权利人行使禁止权的一种结果或样态[20]。具体地，绝对排他许可合同中，个人信息竞争权益的禁止权a分化为a1和a2。在合同期限内，a2将暂时转移给被许可人，许可人自身保有a1；在分化期间，乙可以使用激活状态的a2禁止他人商业利用个人信息。有限排他许可与绝对排他许可的区别在于，a2属于待激活状态，在许可人不行使诉权时或者经许可人明确授权时a2才被激活。相应地，个人信息普通许可并不发生禁止权的分化与转移，被许可人以对价仅获得许可人不对自己行使禁止权的承诺。特别注意，经权利人明确授权而确认普通许可合同中被许可人享有诉权的情形与常规情形不同，此处的“授权”可以理解为其将禁止某单个侵权行为的请求权分化转移给被许可人，此时的被许可人实际上处于“排他”地位。

三、重复许可中各被许可人关系处理

基于个人信息排他使用许可合同产生的许可使用权具有第三人效力，当发生重复许可时如何处理各被许可人之间的关系是个人信息许可使用规则必须要解决的问题。相较于个人信息许可，知识产权许可在我国已经发展多年，但关于知识产权重复许可问题至今也未有成熟的解决方案。

在我国知识产权许可模式中，仅在商标领域明确存在备案对抗规则，《商标法》第43条第3款规定：“商标使用许可未经备案不得对抗善意第三人。”除此之外，专利、著作权等其实并未建立相关规则，司法实践中通常以“保护在先被许可人利益”为原则并兼顾善意在后第三人利益。按照“分化转移说”，独占或排他许可人通过签订合同将权利分化后转移给被许可人，此时，许可人不得将保有的权利转移或者再次予以分化，否则将构成无权处分，因此在发生重复许可时保护在先被许可人利益符合法理。为了解决无权处分情形下善意第三人信赖利益的保护问题，参考我国物权法体系建立的善意取得规则，在后被许可人为善意第三人时，仍应由其取得权利。实际上，商标法中备案对抗规则就属于对“善意取得”的体现。在后被许可人于签订商标使用许可合同时，理应对商标状态尽到合理注意义务，如在先合同已经备案，在后被许可人知道或者应当知道，从而认为其仍然签订商标使用许可合同的行为并非善意；反之，当在后被许可人尽其合理注意义务之后，仍不能知晓商标已经被许可给他人使用，可以推定其为善意。判断为“善意”后，产生“对抗”效果，在后被许可人获得许可使用权的同时在先被许可人权利丧失。故，在处理商标重复许可中各被许可人关系时，应将焦点放在“善意”的判断上。需要注意的是，“备案”并非判断“善意”的唯一工具。对善意的判断，本质在于在后被许可人是否知道或者应当知道在先许可合同存在。如，商标经在先被许可人实际使用并具有一定影响力时或者被许可人从其他渠道知晓在先许可关系存在时，即使在后许可合同取得备案，仍应否定在后被许可人的“善意”。从现有规则来看，商标许可备案后的“对抗”——取得许可使用权的法律效果属于知识产权法领域中对善意第三人利益保护特有；其他知识产权法律在保护善意第三人信赖利益时应作出与商标法不同的规则安排。在知识产权侵权“二元归责论”下，如善意在后被许可人实施了侵害知识产权的行为，仍应停止侵权，但因其主观上不存在过错，可豁免赔偿责任。同样，个人信息重复许可问题的处理要从“保护在先利益”及“善意”路径寻求方案。根据“分化转移说”，在先许可设立后，许可人对个人信息财产利益再无分化或转移的权利，在后许可属无权处分，故在发生重复许可时，首先应保护在先被许可人利益。同理，保护善意第三人信赖利益贯穿于整个民法体系，个人信息使用许可规则也应予以体现。具体而言，当个人信息经在先被许可人使用，在市场上已经具有一定的影响力以致在后被许可人应当知道该许可关系存在的，或者在后被许可人与在先被许可人存在业务往来、代理关系的，或者在后被许可人有其他渠道应当知道的，而在后被许可人仍与信息主体签订许可合同，应判定其为非善意；但在后被许可人尽到一般注意义务也未能发现在先使用许可合同的存在，应推定其为善意。个人信息许可使用规则关于善意第三人的保护应有其具体体现。附有财产利益的个人信息与作品类似，不需要经过任何的审查、登记或授权，权益自动产生，且个人信息财产利益从属于个人信息利益，对个人信息使用许可建立登记规则将有损人格自由，实不可取。故在个人信息使用许可领域，在处理重复许可问题时，不能寄希望于“备案”，自然亦不能构建“对抗”规则，使在后被许可人取得许可使用权。即在个人信息许可领域，因在先被许可人的许可使用权具有第三人效力，在发生重复许可时，可以就在后被许可人的相关侵权行为发起诉讼，要求停止侵权。但是，关于损害责任的承担，《民法典》以过错原则为基础，在先被许可人的侵权损害赔偿请求权应受到“善意”的限制。因此，当在后被许可人为善意第三人时，不应承担损害赔偿责任。

四、主要建议

信息主体对于个人信息同时享有精神利益与财产利益，个人信息的财产利益可通过许可方式予以利用。在讨论个人信息许可规则时，因个人信息与知识产权客体具有相似特征，在规则构建上，可参考知识产权许可模式，但也应注意到两者差异。建议增设如下规则以充实个人信息许可使用制度，以待时间、实践检验。

第一条：个人信息许可使用权可以通过签订合同的方式设立。许可包括以下三类：一是绝对排他许可，是指信息主体在约定的商业场景、期间、地域和以约定的方式，将该个人信息仅许可一个被许可人使用，信息主体依约定不得商业使用该个人信息；二是有限排他许可，是指信息主体在约定的商业场景、期间、地域和以约定的方式，将该个人信息仅许可一个被许可人使用，人格主体依约定可以商业以及非商业使用该个人信息但不得另行许可他人使用该个人信息；三是普通使用许可，是指信息主体在约定的商业场景、期间、地域和以约定的方式，许可他人使用其个人信息，并可自行使用该个人信息和许可他人使用其个人信息。

第二条：未经信息主体明确同意，个人信息被许可人不得实施分许可。

第三条：当事人对个人信息许可使用合同中关于个人信息使用条款的理解有争议的，应当作出有利于信息主体的解释。当事人对个人信息许可使用期限没有约定或者约定不明确的，任何一方当事人可以随时解除个人信息许可使用合同，但是应当在合理期限之前通知对方。当事人对个人信息许可使用期限有明确约定，信息主体有正当理由的，可以解除个人信息许可使用合同，但是应当在合理期限之前通知对方。因解除合同造成对方损失的，除不可归责于信息主体的事由外，应当赔偿损失。

第四条：在发生个人信息被侵害时，绝对排他许可合同的被许可人可以向人民法院提起诉讼；有限排他使用许可合同的被许可人可以和信息主体共同起诉，也可以在信息主体不起诉的情况下，自行提起诉讼；普通使用许可合同的被许可人经信息主体明确授权，可以提起诉讼。

第五条：许可他人使用其个人信息时，禁止重复许可；善意第三人基于信赖而侵犯在先被许可人利益的，不承担损害赔偿责任。