朱美宁

（温州理工学院法学院，浙江温州 325024）

一、引言

我国数据产业在收集端和应用端已跃居世界领先地位，大数据技术的发展使得各类数据成为重要的生产要素，其中数据化后的个人信息成为数据的重要组成部分，而个人信息的保护和利用也成为数字经济健康发展的关键环节。多业态的数据平台经由终端采集个人信息，形成个人数据，使个人信息的特征发生一系列改变。第一，个人信息的识别标准升级。《中华人民共和国民法典》（以下简称《民法典》）“识别”的标准是“能够单独或者与其他信息结合识别特定自然人”，但大数据技术“从混沌中提取价值”的能力使“可识别”正从单一标准走向多元化、情境化和弹性化。识别边界随着大数据分析技术的进步和共享的推进而变得更加模糊，可以预见未来几乎所有与个人有关的数据都可能识别出背后的自然人[1]参见：宋亚辉.个人信息的私法保护模式研究：《民法总则》第111 条的解释论[J].比较法研究，2019（2）：86-103。。第二，个人信息社会属性被强化。法律不仅保护数据主体的信息利益，同时也保护公众对数据主体的“识别”利益。获取和访问个人数据有助于构筑我们生存的社会并塑造我们个人的身份，这种双向识别是社会运行的必需，同时也是大数据经济主体获取个人数据的商业动机。第三，个人信息的权益主体和价值呈现多元化。个人信息体现数据主体的人格利益是无争议的，数据化的个人信息进入数据产业链条后，财产价值愈发凸显，并可以在数据流通和数据产品生产与服务提供过程中由不同的主体为个人数据注入新的价值。为了应对数据化给个人信息保护所提出的新问题，《民法典》正式将个人信息纳入人格权编中加以保护，并将数据与虚拟财产在总则部分并列保护。《中华人民共和国网络安全法》（以下简称《网络安全法》）也从网络安全角度分别对“网络数据”和“个人信息”进行了概念上的界定[2]《网络安全法》中“网络数据”定义为“通过网络收集、存储、传输、处理和产生的各种电子数据”，“个人信息”定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。。2021 年我国又出台了《中华人民共和国个人信息保护法》。由此，我国形成了数字经济环节中个人信息保护的基本法律框架。个人信息数据化带给整个社会的财产价值红利和便利是有目共睹的，但一方面，现行法律框架对个人信息保护仍然不足以应对飞速发展的数据经济需求；另一方面，对数据控制者在数据生产和流通中所形成的个人数据的控制权属之争也无定论。当技术与经济的发展使得符号表达之上的市场利益变得极其重要的时候，需要在制度上进行重新分配，否则会引起社会秩序的混乱[3]参见：李琛.知识产权法基本功能之重解[J].知识产权，2014（7）：3-9，2。，因此，在对个人信息进行权利结构配置的前提首先是明晰个人信息的法律属性。

大部分学者认可应将个人信息纳入数据主体人格权客体范畴，提出“个人信息权”[4]参见：王利明.论个人信息权在人格权法中的地位[J].苏州大学学报（哲学社会科学版），2012（6）：68-75。“信息自决权”[5]参见：梅迪库斯.德国民法总论[M].邵建东，译.北京：法律出版社，2001：809-810。“信息性隐私权”[6]参见：KANG J.Information Privacy in Cyberspace Transactions[J].Stanford Law Review,1998(4):1193-1294。等观点。有的学者认为，从“个人敏感隐私信息”这一个人信息和隐私的交叉区域可以认识到个人信息上的核心利益仍然是人格利益[7]参见：吕炳斌.个人信息权作为民事权利之证成：以知识产权为参照[J].中国法学，2019（4）：45-65。，并以人格权为基础为个人信息权利设计了删除权、知情权、更正权、遗忘权等一系列权能[8]参见：郑维炜.个人信息权的权利属性、法理基础与保护路径[J].法制与社会发展，2020（6）：125-139。。有的学者则认为，数据化的个人信息进入数据市场后具备了财产属性，并以财产权为逻辑基础为主体配置了占有、使用、收益和处分权能[9]参见：王玉林，高富平.大数据的财产属性研究[J].图书与情报，2016（1）：29-35，43。。总体来看，“人格权说”不足以达成主动实现个人信息财产利益的目标，“财产权说”则存在对数据主体人格利益保护不够的问题。既有研究成果的共同局限是忽略数据与个人信息融合的现状，仅用经典法学理论来解决新形势下的个人信息属性问题；更为重要的是，单一权利性质的学说无法合理化个人信息多重利益主体权益保护的诉求，也无法实现不同主体的权益配置。本文赞同“个人信息权”的观点。但数据化的个人信息不仅具备个人信息的特征，同时也具有数据特征。个人数据是个人信息的数字化载体，研究个人信息权就当将数据化的个人信息作为一项经济现象来对待。数字经济发展赋予了个人数据多元价值构成，在此基础上运用权利理论构筑个人信息的多元权利结构，从而为个人信息共享和利益平衡提供理论基础。

二、个人信息权法律属性厘定

伴随数字经济和数字技术的发展，数据成为大量信息的重要载体之一，数据语境下个人信息的内涵和外延确有发展。作为个人信息载体之一的个人数据，广泛应用到数字经济的各领域，已然成为核心生产要素之一。但要从根本上理顺围绕个人数据的保护和利用所发生的各种法律和利益关系，解决法律保护的应然状态与经济利用的实然状态之间的矛盾，其前提是对个人信息及个人信息权法律属性的明确。

（一）个人信息法律属性辨析

法益理论的发展体现为法益概念的抽象化、功能化和非人本化倾向[10]参见：温昱.个人数据权利体系论纲：兼论《芝麻服务协议》的权利空白[J].甘肃政法学院学报，2019（2）：84-96。。刑法保护的客体不再局限于权利，还包括宗教、伦理等不具有典型权利的利益，其处罚的逻辑起点正从虚拟的社会企业关系转向为社会共同体的机能运转。从保护主体角度来看，“法益持有人”替代权利主体，并增加不特定多数人来重构主体结构[11]参见：黄鹏.刑法法益的学术谱系[J].西部法学评论，2020（3）：20-32。。但信息社会无时无处不在的风险使法益持有人并不能够获得完全的保护，在这种趋势下，“超个人法益”得到广泛认同，二元法益理论恰合大数据经济发展所引发个人信息法益的现实扩张。

姓名、隐私等能够直接识别到特定自然人的信息可以归类到已有的人格权范畴内，这类个人信息个人法益属性是毋庸置疑的。刑罚标准除了对单个主体侵害程度之外，最高人民法院、最高人民检察院2017 年6 月1 日施行的《关于办理侵犯个人信息刑事案件适用法律若干问题的解释》还规定了很多与数量相关的“情节严重”，这也是学者认为个人信息具备超个人法益属性的论据。从司法实践来看，大量企业侵犯个人信息罪的犯罪动机源于对个人信息财产价值的追求，而非对数据主体个人价值侵害的目的，刑法对个人信息保护侧重点与数据主体诉求发生错位。在该类案件中，如果仅将超个人法益界定为个人法益的叠加，那么在大量数以万、亿级规模的案件中，法益保护就较难落实到单个信息源主体人格利益之上。如江苏淮安“K8 社工库”案中查获涉案公民个人信息20 亿条，司法机关无需一一对应核实特定个人信息的真伪与权源合法性，此类案件侵害对象显然不能认为是个人法益的简单数量叠加，案件侵害的是具有独立价值的社会信息管理秩序[12]参见：凌萍萍，焦冶.侵犯公民个人信息罪的刑法法益重析[J].苏州大学学报（哲学社会科学版），2017（6）：66-71。。所以，公民个人信息不仅直接关系数据主体的自由与尊严，由于以侵犯个人信息的相关行为为基础极易引发多种下游犯罪行为，包括讨债、诈骗、敲诈勒索等[13]参见：曲新久.论侵犯公民个人信息犯罪的超个人法益属性[J].人民检察，2015（11）：5-9。，明显关系到社会公共利益、国家安全乃至于数据主权。

综上，超个人法益虽然以保护个人法益为终极目标，但不以联结到具体数据个体的利益为前提，个人数据作为大数据产业的重要生产资料，关系国家经济秩序、社会秩序甚至数据主权。简言之，个人信息的超个人法益是独立于个人法益的价值存在，数据化的个人信息具有个人与超个人双重法益属性。

（二）个人信息赋权的正当性

个人信息至少是一项复杂利益，但是否将其上升为“个人信息权”的客体，进而形成“个人信息权”，学理上还未达成一致。目前“权利说”占主流，裁判实践中也不乏“权利说”的表述，“权利说”内部以“人格权说”占多数，“财产权说”为少数。是否对个人信息赋权，核心在于个人信息是否具有赋权的必要性和可行性。

赋权的必要性来自个人信息的各种利益保护诉求。无论是否数据化，个人信息的无形性和社会性特征决定了其不可能被独占，必然被分享或者被收集。个人信息被首次数据化采集之后，数据主体就永久地丧失了排他性占有，若不赋权，个人数据将完全陷入“公地悲剧”之中，数据个体的所有利益都将失去法律外衣的保护，数据市场也易陷入弱肉强食的丛林。因此，赋权符合数据主体的微观利益诉求，以及数字经济健康发展的宏观需要。

赋权的可行性在于个人信息本身符合权利客体的特征。首先，个人信息具有相对确定性。个人信息虽然相对于有体物和已有人格权客体来说存在识别难度，但《民法典》规定的识别标准还是相对确定的。普通人能够通过习惯和经验感知来识别数据本身是否符合个人信息范畴；数据控制主体凭借控制信息数量和分析数据的能力来界定个人信息范畴。虽然个人数据始于采集环节，但更多地存在流通环节，应当以数据控制主体的识别能力为标准进行界定，核心仍然是与数据主体是否能建立起“识别性”联系。其次，绝对权基础上的同意规则通过赋权达到效果[14]参见：郑佳宁.知情同意原则在信息采集中的适用与规则构建[J].东方法学，2020（2）：198-208。。平台对个人数据的使用和处理通常很难被用户知悉或理解，“知情+同意”机制如果仅囿于合同的相对性，数据主体既不能将其限制在特定的空间中，亦不能对其进行支配，在无处不在的个人信息流通环节中，个人的同意也越来越被证明不能控制个人信息的流向和生命周期[14]参见：郑佳宁.知情同意原则在信息采集中的适用与规则构建[J].东方法学，2020（2）：198-208。。旨在增强自然人对个人信息控制力的同意规则，不仅未能提高数据主体隐私保护水平，在实践中反而偏向商业利益[15]参见：HAYNES A W.Online Privacy Policies:Contracting away Control over Personal Information[J].Penn State Law Review,2007(3):587-624.。再次，个人信息与已有人格权客体存在交叉。大量个人信息可纳入隐私权客体范畴，隐私和个人信息二者都具有可识别性，符合私密要求的个人信息构成二者交叉部分，该部分个人信息依法可纳入隐私权保护，若不为个人信息赋权，会发生保护路径的逻辑矛盾。

综上，个人数据外延随着技术发展呈现动态发展的态势，除了能够与现有具体人格权重合的信息之外，个人数据距离数据主体越远，加工程度越高，识别性越弱，人格属性也越弱，相反财产属性则不断增强，如果不赋权，那么数据相关主体的人格利益、财产利益甚至社会利益保护都可能陷入僵局。因此，只有对个人信息赋权，才能从根本上解决纠纷，但也应当看到个人信息权与已有权利类型之间的差别。

（三）个人信息权主观权利属性界定

一系列人格权侵权案件的结果已经表明法律对未经他人同意将他人人格利益进行商业化利用的否定态度，但也反证人格权结构中也应包含财产价值的排他性权能。人格要素的精神利益与经济利益分别来源于人格标识所兼具的彰显人格个性和蕴含商业价值这两个属性，这两种利益之间存在紧密的作用与限制[16]参见：刘召成.人格商业化利用权的教义学构造[J].清华法学，2014（3）：118-136。。但是，人格权发展到今天，仅仅肯定其排他性权能还不够，一部分人格权已然发展成为真正的主观权利。对人格财产利益的肯定应当允许权利人对其人格利益加以支配使用，以适应社会经济发展，扩大对人格权的保护内容[17]参见：王泽鉴.人格权法[M].北京：北京大学出版社，2012：531。。在这样的人格权结构中，权利人针对人格要素享有普遍的自主决定和控制权能，能自主决定是否实现自己人格要素的商业价值。个人信息权恰恰具备这种结构特征。

如前所述，数字经济为个人信息财产价值的充分发挥提供了条件，因此，个人信息权是能体现人格商业化利用的人格权之一。既承认个人信息权包含财产价值的排他性权能，也需承认权利人可以积极地行使利用权能将个人信息予以商业化，从而获取收益。因为人格利益具有专属性，所以人格商业化利用权能的主体只能是数据主体，商业化利用的对象是所有带有数据主体“商标”的信息。利用权能体现在权利人有权公开、使用和许可他人使用、转移与许可他人转移自己的个人信息，当然也可以依法或者依约解除自己的许可行为。特定情形下，根据民法财产价值具备可继承性的规则，人格商业化利用权能也应当具备可继承性。但是，对个人信息的利用权能又与一般性财产权利不同，因其来源于人格利益，行使边界受到公序良俗价值、人格利益等内容的限定，更需要对多元利益加以平衡。

综上，个人信息不同于已有的具体人格权客体，具备复杂的利益构成，包括个人的人格利益和财产利益，也包括超个人法益。个人信息数据化之后已然成为数字经济的重要生产资料，财产价值更加凸显。因此，个人信息权也不同于既有的具体人格权，应界定为适应数字经济需求的主观权利。

三、个人信息的价值构成

个人信息的财产价值的构成是复杂的，尤其数字经济使个人数据的价值链变长，个人数据服务和产品经历了从无到有、从原材料到数据产品的过程。欲解构个人数据财产价值构成，需结构个人数据产品的生成过程，其过程是数据相关主体各类活动与个人数据相结合的数字劳动过程。

（一）数字劳动理论的引入

数字劳动理论是因应数字经济和数字技术发展出现的，借鉴了传播学的相关理论。加拿大传播政治经济学家Dallas Walker Smythe 借用马克思的劳动价值理论提出“受众商品”理论，将受众的注意力称为“受众劳动”[18]参见：SMYTHE D W.Communications: Blindspot of Western Marxism [J].Canadian Journal of Political and Social Theory,1977(3):1-27。，这是数字劳动的最早雏形。

随着ICT 和数字媒体技术的飞速发展，不仅受众的注意力，互联网上的很多行为都具有了价值，具体包括：互联网用户自由浏览网页、自由聊天、回复评论、写博客、建网站、改造软件包、阅读和参与邮件列表、建构虚拟空间等[19]参见：TERRANOVA T.Free Labor:Producing Culture for the Digital Economy[J].Social Text,2000(2):33-58。。但这些网上行为实际上是自愿给予与零报酬并存，消费和剥削同在，数字劳动概念也伴随着数字经济的发展而发生变化。意大利学者Tiziana Terranova即用互联网上的“免费劳动”来表述“数字劳动”的概念和特征[19]参见：TERRANOVA T.Free Labor:Producing Culture for the Digital Economy[J].Social Text,2000(2):33-58。。富克斯认为数字产品和互联网只是表象，数字劳动的本质仍是“物质劳动”[20]参见：富克斯.信息时代重读马克思的《资本论》[J].曲轩，译.国外理论动态，2017（12）：34-46。。Eran Fisher 等阐明了数字劳动具有与一般性劳动一样的特征，只是表现为消费者在互联网上提供信息的无偿的互联网行为[21]参见：FUCHS C,FISHER E.Reconsidering Value and Labour in the Digital Age[M].London:Palgrave Macmillan,2015:50。。数字劳动的概念之所以尚未达成共识，根源在于数字经济业态和商业模式不断推陈出新，伴生的劳动形态也多种多样。

从目前数字经济发展态势来看，数字劳动概念既不能简单地从物质劳动与非物质劳动、生产性劳动与非生产性劳动的区分来界定。概括数字劳动的概念，既要从基本劳动概念出发，也要结合Web 2.0 时代网络数字平台在线用户的无偿劳动与资本积累的关系[22]参见：SCHOLZ T.Digital Labor:The Internet as Playground and Factory[M].New York:Routledge,2012:2。。数字劳动既是经典劳动理论在数字经济时代的发展，也是数据价值创造和提升的重要来源。因此，为了更接近数字经济实践，本文认可广义的数字劳动包括所有数据生成的行为，如休闲、娱乐、学习、交易等用户的各种形成网络轨迹的行为。

（二）个人数据的价值来源

既然个人数据产品生产过程与物理世界产品生产过程本质上是一致，均是通过劳动发掘和赋值的过程，那么个人数据产品的价值来源就应当包括数字劳动过程中所有“原材料”能够提供的价值的和通过数字劳动环节增加的价值，甚至可能包括流通中所产生的市场因素影响的价值。

1.个人数据的“原材料”价值

万物互联的效应就是使数据以井喷方式生产出来，作为数字经济的重要组成部分的数据价值化行业，就是以提供数据服务和数据产品来实现利润，而能够进入市场的数据产品和服务并不是凭空而来的，尤其是个人数据产品的生产，必然以大量各类型的个人信息为“原材料”，或者是来自于对个人轨迹的数据化。

作为数据“原材料”的个人信息是多种多样的，以数据主体是否存在参与数据生产的主观意识为标准，大致分为以下三类。第一类是特定主体固有的各类信息，也就是《民法典》列举的典型个人信息，无法遏制的电信骚扰证明某些网络平台将采集的用户数据初步整理之后以API 接口的方式直接变现了，可见，此类信息对于数据主体和数据分析的价值是固有的。第二类是数据主体无参与数据生产主观意识的行为。数据主体无论是线上的阅读、浏览、收听、游戏等休闲行为，还是线下的衣食住行，在现代信息通信技术应用环境下都自动生成了数字足迹，可以说是人们日常生活的“副产品”[23]参见：黄再胜.数据的资本化与当代资本主义价值运动新特点[J].马克思主义研究，2020（6）：124-135。。第三类是数据主体有意识的互动或创造数据。网络用户在平台上发布、评价、创作等内容，在满足网络用户信息分享和知识交流需要的同时，也将用户的偏好、兴趣和行为模式等信息通过数据记录下来。这类在线活动的目的性和创造性显著，其价值也是数字市场主体占有该类数据的商业动机。以上三类个人信息数据显然构成个人数据产品的“原材料”的主要组成部分。

2.个人信息数据化

互联网技术已经彻底改变了数据采集和产生的方式，就像一台超级数据生产机器和数据存储机器，将网上进行的所有行为全部记录并储存下来，形成了互联网数据。各种智能终端在2012年这个大数据时代发展的标志性年份呈现爆发式增长，尤其是物联网、区块链等技术相继出现，人类开始不断逼近甚或进入了“万物互联”（Internet of Everything）的时代[24]参见：高富平.数据生产理论：数据资源权利配置的基础理论[J].交大法学，2019（4）：5-19。，一个产生、传输和存储数据的边际成本几乎为零的全息数据化的时代，将人、物和活动等外部现实世界以数字化形态呈现在世界面前。其外延包括特定主体通过各种方式创作的作品数据化所形成的数据，个人用户网上各类信息的数据化，还有数据主体接受服务时被记录下来如交易记录、浏览日志等轨迹和过程所形成的数据。当自然人或主动或被动参与到数据化过程中后，就构成了个人数据价值链条中的基础一环，数据生产者通过各类技术手段将个人信息进行了数据化，生成个人数据，本质上就是数据“生产”。权利主体行使人格利益商业化利用权能就是主动参与到个人数据生产过程中，实现个人信息的财产价值。此时，数据化的过程至少让个人数据拥有两个价值来源，即数据来源者和数据生产者，数据化价值的来源利益理应受到保护。

3.个人数据加工处理

个人信息的直接变现并不是数字经济的核心盈利方式，也不是最大限度发挥个人数据经济价值的方式，实践中对个人信息的非法交易并未完全发挥个人数据的真正价值。而且，原始数据还不符合成为数据产业生产要素的条件要求，需要经过一系列加工处理工序，使数据符合大数据资源的要求，改变数据本身的表现形态和价值呈现方式，使数据增值后生成数据商品后再以多种应用途径变现。

对于数字经济发展大局来说，数据的使命就是用于大数据分析，完成真正的数据增值。这一过程至少包括两个核心加工过程。一是汇集原始数据，形成数据集，即“粗加工”过程，使之成为数据分析的原材料。承认从事“粗加工”的初始生产者的劳动创造了价值，就应当保护其占有和变现利益。二是进行有目的的大数据分析，即“深加工”的过程，也就是以现有数据为基础，附加特定目的和逻辑，从中得出新知识和新发现。在智能计算结构下，数据分析的结论表现为信息，或者说是不同于分析所使用数据的新数据，是从原始性数据（数据集）分析、解读出来的数据，也被称为推断数据（Inferred Data）或衍生数据（Derived Data）[25]参见：陈小江.数据权利初探[J].法制日报，2015-07-11（6）。。数据分析可以“获得洞见”“服务决策”甚至“自动决策”[26]参见：OECD.Data-Driven Innovation: Big Data for Growth and Well-Being [EB/OL].[2021-03-04].https://doi.org/10.1787/9789264229358-en。。根据数据分析形成衍生数据，实现对客户精准画像后应用于市场运营，这也是市场主体对个人信息趋之若鹜的原始动机。

总结来看，个人数据是人格价值与财产价值兼备的客体，财产价值生成过程由原始数据生成与汇集，再通过特定的数字劳动对具有分析价值或者潜在分析价值的数据进行价值挖掘。围绕数据价值生成，除了作为数据来源的数据主体之外，还有数据生产者、数据集生产者和数据分析者等相关价值缔造者，不同分工代表了个人数据价值的不同来源，若承认不同主体对个人数据价值所发挥的作用，则需在个人信息权利配置时加以回应。

四、个人信息权的二元权利结构

对数据化之后个人信息的保护，既应当包括对数据本身的保护，也应当包括对个人信息的保护。数据主体的人格利益和财产利益保护需求是首要的，是人格商业化利用的源头；数据控制主体基于授权、采集、加工等事实行为取得的权利保护虽附属于前者，却是数据产业发展的必要组成部分。因此，个人信息权应当是包括个人信息主权利和个人信息用益权的主从二元权利结构。

（一）数据主体个人信息主权利

个人信息价值结构复杂，人格和财产利益的消极保护与财产利益的积极实现并存。从人格利益保护出发，个人信息权与其他具体人格权发挥维护主体人格尊严和自由的价值或功能时，同样具有对世、排他效力，从人格权体系的逻辑统一性而言，个人信息的人格利益不影响其适用人格权保护规则予以保护。其中，私密型个人信息适用隐私权保护路径，隐私权是一种典型的消极防御型的权利，普通个人无法也无意积极主动地行使权利，而只能在遭受侵害的情况下请求他人停止侵权、排除妨害、赔偿损失等[27]参见：王利明.论个人信息权的法律保护：以个人信息权与隐私权的界分为中心[J].现代法学，2013（4）：62-72。。因此，个人信息人格利益适用人格权保护机制最便捷。基于此，理应由数据主体对人格利益享有一系列处分利益，包括公开、知情、被反馈、删除、更正、阻滞等权能。

学者很早就提出人格商品化及人格商品化权的概念，指出个人信息之所以具备财产利益，在于市场认可将人格的某些要素运用于商品生产之中，并转化成为商品价值的构成部分，大数据经济为这种转化提供了更好的环境[28]参见：王利明.人格权法研究[M].北京：中国人民大学出版社，2018：238；马俊驹.人格和人格权理论讲稿[M].北京：法律出版社，2009：308-309。。承认个人数据的财产权利有利于数据要素市场的健康发展，同时也为个人的数字生活提供更公平的环境。但是，人格权保护路径偏被动，这导致对个人信息财产利益也是消极保护，无法主动实现财产价值。在不平等的大数据市场环境之下，有偿使用平台服务和无偿授权个人信息收集并存已经成为现实常态。大数据技术识别个人的能力越全面，数据财产价值越高，流转也越频繁，数据主体主张保护也就越难。基于权利分割理论，赋予个人信息权利人自主决定将其人格商业化利用的权能，并肯定其绝对权属性。人格商业化利用权的行使将产生许可与被许可、授权与被授权的对应法律关系，在这种对应法律关系中，数据主体只要首次放弃个人信息独占，其在个人数据流通环节中的弱势地位决定了再无可能以解除合同的方式恢复原状。若赋予这项权能绝对属性，数据主体就拥有介入数据控制主体之间有偿利用相关数据的合同分享其价值的可能性与正当性。这项权能的行使也是数据控制主体获取个人信息用益权的前提，在保护数据主体财产权利的前提下授予数据控制主体数据用益权，也有利于解决数据控制人之间的利益分配。

（二）数据控制主体个人信息用益权

用合同来解决个人信息流通过程中的权益分配是很困难的，个人信息的流通特性和长法益链条决定了可能同时存在多个控制主体，由于复制成本过低，合同几乎无法同时完成多方利益保护诉求。控制主体如果对自己生产或投入数字劳动的数据无排他性权利，将受限于合同的相对性，无法保护自己合法权利，这将极大地抑制数据对外公开乃至交易的积极性。同时，在谈判实力不对等的情况下，也无法形成公平的利益分配结果。因此，在承认数据主体的权益在先前提下，为了生产和交易效率，应承认数据控制者基于合法取得、生产并控制数据的事实状态，保护其占有、使用、收益和在授权或许可范围内处分的用益权益。“朱某与北京百度网讯科技有限公司隐私权纠纷”案判决中，终审法院承认数据主体以外的实际数据控制者使用数据具有合法性的观点也回应了控制主体对个人信息的合法占有、使用、收益权益诉求[29]参见：江苏省南京市中级人民法院[2014]宁民终字第5028 号民事判决书。。

数据用益权保护的前提是数据控制者应当保证取得个人信息环节的合法性。数据主体授权许可是控制主体合法行使个人信息用益权的起点，是用益权的权源。占有是其公示方式，只是在数据流转和增值过程中，任何主体的控制都如数据主体一样，一旦交易或者共享，即丧失排他性独占。但占有不是数据控制主体的目的，终极目的是让所收集到的个人信息发挥财产价值。个人信息作为企业开发和运营的生产原材料，通过不同层次的加工，由量变到质变，实现控制者增值目标。个人信息保护和数据开发利用之间的价值张力始终存在，任何选择都伴随着相应的收益和代价[14]。此过程中，个人信息俨然成为一种商品，应遵循原材料和投入的劳动价值之和的价值生成规则。只要数据来源与流通路径均合法，那么在个人信息权利分配时，就应当在保障个人信息在先权利主体利益前提下，对数据控制主体投入劳动所生成的增值利益设置相应权利。因个人信息的财产利益源于数据主体的人格标识，相关权能的行使应受到公序良俗价值、权利人人格利益等限定，需要通过利益衡量予以确定[16]。

（三）权利行使的公序良俗边界

个人信息包含的复杂利益结构决定了除回应数据主体和数据控制主体利益诉求之外，即使合法取得和占有的数据，也不能忽视数据上超个人法益保护的诉求。我国先后出台了鼓励大数据产业发展的《促进大数据发展行动纲要》和《大数据产业发展规划（2016—2020 年）》，阿里巴巴、腾讯等一众数据企业顺势而起。目前我国大数据产业蓬勃发展，但也呈现出个别企业“太大不能倒”与数据主体“透明人”的矛盾，需从市场经济秩序与公共利益等角度规范所有相关主体实现个人信息权利的边界。

大数据企业在现代经济与社会生活中正发挥着难以替代的作用，它们不是在反映而是在塑造某种社会规范。但伴随着产业的崛起，诸如顺丰与菜鸟、华为与腾讯等数据企业间的数据垄断争端亦层出不穷。从表面上看，这些争端是数据企业之间对数据用益权的争夺，实际上却暴露出个别数据企业垄断市场排除竞争对手的实质。如无监管部门出于维护经济秩序为目的的干预，完全按照市场实力进行利益分配，数据垄断者将利用自己在大数据领域的相对优势，运用“即时预报雷达”迅速识别并压制潜在的竞争威胁，这将比20 世纪90 年代的微软垄断更危险[30]参见：斯图克，格鲁内斯.大数据与竞争政策[M].兰磊，译.北京：法律出版社，2019：327-329。。数据驱动型创新正成为带动国家经济发展的新引擎，越是国家产业政策鼓励发展的领域，就越需要引入竞争机制。因此，必须在数据专享与共享之间找到平衡点，确保主导经营者、新进入者和潜在进入者等所有市场主体都享有利用大数据进行创新的机会[31]参见：殷继国.大数据经营者滥用市场支配地位的法律规制[J].法商研究，2020（4）：73-87。。同时，包括数据主体、数据控制者、数据处理者在内的所有数据市场主体权益的保护都应当与公共利益保护的需要相协调，这也是各国能够达成共识排除针对个人信息的违法行为的原因。如同欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）保护欧盟数据安全的基本价值追求一样，我国的法律也应当保护包括国家机关之间数据传输、网络与信息安全保障、举告犯罪等囊括公权力职能在内的公共利益。此次国内疫情防疫工作就是一次运用大数据技术多维度使用个人信息的案例。“棱镜门”事件的发生更加促使学者提出“数据主权”理论，数据主权作为网络主权的一个子项，是领土主权的一种延伸，也是超个人法益的极致体现。

五、结论

总之，出于对个人信息复杂利益的保护，将个人信息界定为民事权利是最优保护路径。数据语境下个人信息的利益复杂且价值链条较长，为个人数据提供数字劳动并参与价值创造的主体多元，因此，在个人信息权权利结构设置时，利益均衡是最首要和核心的原则。在认可了个人信息具有巨大财产价值需要实现，且个人信息权应当界定为主观权利的前提下，个人信息权除应当回应权利人的人格利益保护外，更应设置人格商业化利用权以保障财产利益的实现，并授予对个人信息附加数字劳动的数据控制主体的用益权，鼓励市场主体参与度。更为重要的是，由于个人信息是个人法益与超个人法益的集合体，数据又是重要的战略资源，权利的行使必应以满足公共利益保护诉求为边界。