王 苑：私法视域下的个人信息权益论

一、问题的提出

个人信息受保护，并非个人信息本身应受到保护，而是其所负载的正当利益应当受到保护。探讨个人信息上的主体的具体利益形态的前提是理解个人利益，而对利益的正当性评价形成法益。《民法典》人格权编确立了从私法上对个人信息上的利益保护。很多学者认为，根据现行法，个人信息上的正当利益仅包括了隐私权（私密信息）和个人信息保护利益。其实不然，个人信息上的利益应当是所有依托于个人信息的权利和利益，除隐私权外，还应当包括以姓名这项个人信息为客体的姓名权、以可以识别到特定人并影响某人社会评价的个人信息为载体的名誉权等。所以，即便是在民法上，个人信息上的权益也是丰富多元的。

（一）隐私利益与呈现利益之区分

个人信息的特别性和复杂性在于，一方面，某些个人信息可能是主体极力试图让人知晓的，比如获得的荣誉；或是社会交往中对于正确识别个体所必需的，比如姓名和肖像。但另一方面，人们又有极力试图隐藏起某些信息以维护自己形象的欲望。二战以后，德国联邦判例发展了两类最为重要的人格利益：在社会中一个人的形象的正确呈现，以及他人私密空间的维护。因此，对主体来说，两种相辅相成的个人利益构成了人格利益的核心，即隐私利益与呈现利益（也有学者称之为表现利益）。

个人信息上承载着个人发展、个人人格形成的利益。社会学家戈夫曼认为“个人信息对于个人人格的发展具有重大意义，是个人自我表现和与社会环境交流的媒介。”呈现利益与隐私利益可以类比为舞台的前台和后台，被强调和呈现的人格往往出现在前台区域，而那些被掩盖的事实则出现在后台区域，后台须受到严格的限制进入。而前台的呈现需要防止“表演崩溃”，无论这种呈现是真实或虚假的，都是个体极力维持的自主的体现。这种对个人信息的维持与个人社会形象塑造相关，对于形象的塑造缺一不可。一方面个人在社会交往中通过对自己个人信息的使用和公开，形成自己的社会形象，另一方面也不断将自己不欲为人知的一面隐藏起来，完善自己的社会形象，并最终实现人格发展的目的。

隐私是一种人最舒展的状态，无论是与亲密的人在一起，还是自己一个人独处，赋予人隐私利益就是使人得以保持这种舒展状态，因此有学者提出隐私即自由。从自由主义经典学者约翰·密尔到美国隐私学者阿兰·威斯丁，都将隐私与自由联系在一起，因为隐私作为自由的一种，是人们独立于政府及其他外界影响的重要工具。美国隐私学者弗兰德也认为，隐私作为一种控制信息的方式，是个人自由的一方面。德国学者虽然对隐私即自由存有疑虑，但是同样认为作为一般人格权一部分的隐私，旨在确保人能够在某种程度的独处时，远离国家和他人的评判，发挥其人格。

呈现利益，是一种营造的、表演的状态，是个人希望公众对其进行符合其自身形象的描述的利益，人们对环境的认识和反馈，会体现在其行为之中，作为一个社会角色，在观众面前表演，必须保持相对稳定的状态。广义的呈现行为本身也是一种自由的体现，但呈现利益则是希望他人对这种呈现给予尊重的利益。换言之，呈现利益即是自然人被正确、完整识别的利益。也就是说，一种稳定的“呈现”，应当受到社会和他人最起码的尊重，这种利益是作为一个“人”所应有的最起码的社会地位。

实际上，隐私利益和呈现利益是人格的一体两面，都是为了维护人的完整，是个人自由和人格尊严的体现。法学家Whitman在很著名的论文中，认为对自由和尊严价值推崇之侧重，正是美国与欧洲大陆隐私保护有所区别之根源。但也正如他在文中强调的，倾向于自由价值的美国人并非就不再重视尊严，而偏重尊严价值的欧洲大陆公民就不重视自由，这两种价值无论对美国人还是欧洲人都很重要。在我国语境下，区分自由和尊严似乎更无必要，因为人格权作为民法的一部分，本来就是为了维护“自然人的人身自由和人格尊严”的（《民法典》第109条）。至于隐私利益与呈现利益，我国《民法典》人格权编已经将该法益上升为几项相应的权利，隐私利益对应隐私权，呈现利益对应肖像权、姓名权、名誉权、荣誉权等，并对上述权利之行使及合理使用进行了合理界定。

（二）第三重民事利益——信息处理中的自主利益

隐私利益与呈现利益，是个人信息上所承载的人格利益的应然产物，盖二者系人格发展所必需，但主体需要保护的利益是否限于二者，应进一步探究。个人信息制度性保护，系因上世纪60年代计算机科学和自动化信息处理技术的发展对人格的威胁而生。侵害手段的变化，使得重新审视个人信息保护更具有紧迫性。对于个人信息上的利益的多样性与多重性，目前学界已有共识，个人信息保护的并非单一的利益，而是一系列不同的利益（或利益束abundleofinterests），个人信息上负载着利益的集合体，不能简单归类为某种财产权或人格权。正是基于此认识，《个人信息保护法》审慎采纳了“个人信息权益”的概念。笔者以为，从私权角度出发，信息时代的个人信息保护，除了隐私利益与呈现利益需保护外，还存在着第三重利益——信息处理中的自主利益。这种利益独立于隐私利益与呈现利益，其本质上是一种允许主体通过必要手段保护其他利益的利益。因此，理解技术对社会关系的深刻改变，对于认清保护信息处理中的自主利益的正当性和该利益的性质都尤为关键。

1.该利益的存在具有正当性

《个人信息保护法》的立法原理，是建立在个人信息控制理论基础上的，如果将个人信息保护权理解为控制权或决定访问关于自身信息的权利，这种自主的控制和决定，是信息主体自主的体现。从美国1973年的“公平信息实践准则”（FairInformationPracticePrinciples）所倡导的五项程序和实体原则来看，其要求自动化个人信息系统不可以违反原则收集处理其个人信息，本质均是围绕着保证个人在与比自己“强大”的处理者之间获得一定程度的自主和影响力。因此，在法律上确认这项利益的正当性，反映的是我们对人及社会关系深刻变化的本质性认知。该项利益是因技术变革对人格的威胁而产生的，并非是自然法上的天赋权利，而是法律上对权力关系失衡的调整。换言之，如果没有法律对这项利益的内容——处理活动中的各项权利——的确认，这项利益则无从获得承认与保护。

有学者完全否定信息处理关系中的自主利益，认为应将个人信息作为一项公共物品来对待，个人信息的收集、分析和使用不应当依靠个人自己的判断和允许，不适用私权利社会中的个人自愿原则。因为赋予信息主体私益会导致社会运行的低效率，公权力机关应当成为保护个人信息的责任主体。这种功利主义的角度存在绝对化的倾向，忽视了即便个体无法成为最佳决策者，但总应当对处理与自己相关的事务有权关注和参与，并享有一定利益的现实。从应然层面，信息能力越不平等，越需要从法律上承认和确认个人在信息处理活动中有一定的私益，因为这种信息能力的不平等如果不通过法律倾斜规制，会导致不平衡的竞争加剧，信息主体之个人信息会沦为各方掠夺利益的工具。因此，赋予信息主体在处理中的自主利益实则与公权力机关作为责任主体保护个人信息并不必然矛盾，法律应当在其中做一个精细的平衡。

2．在民法上该利益为一项人格利益

对人格利益的认定，随着时代的发展逐步深入，所以人格利益的范围日益扩大，人格权的内容也日益丰富。一项人格利益纳入民法保护范围必须首先检验：是否法律对该利益的保护，对于保障权利人人格的完整性及其发展来说是合适和必要的，且对于法律义务人来说亦可以合理想象。当个人可以控制个人信息越来越被认为是一种理想主义，对个人信息的控制取决于个人所不具备的权力，且随着科学技术的发展，权力之间的倾斜愈发严重之下，法律作为权利救济的底线，必须通过强制力的保证实施给予个人一定的自主，这种自主的存在有其现实意义。在民法上，信息处理中的自主利益应当被视为一项人格利益，一方面，因为自主与人格之间存在概念逻辑上的关联。首先，自主的理念根植于“理性人”理论，理性人的行为由其本人内心原则所约束，同时也需要审视地从他的社会环境中接受一些原则。其次，自主是自我的体现，哲学家范·登·霍文（vandenHoven）认为自主是“塑造我们的心灵档案，反思我们内心，评估和确定自己的内心选择的能力，在此期间，应当没有批判审视的目光、他人的干扰或施加压力以符合正常或社会期待”。最后，自我的存在是人格的前提，如果主体被剥夺了自主和充分的自我意识，则意味着人格的不自由（内在不自由）。因此，主体意志表现为自主，自主和人格相生相依，人格的完整依托于自主的实现。最终，自主能保障具有理性和意志的伦理人自己决定和实现自身的人格利益，拒绝成为他人工具或沦为客体。

另一方面，从《民法典》和《个人信息保护法》对个人信息的定义出发，个人信息最重要的特征为“识别性”，也即个人信息的符号与个人或其个人所有物之间有密切关联性，基于此，这些符号可以直接达至本人。正因为与主体之间的关联，个人信息（或符号、标签）成为了实现主体价值重要的一部分。如果个人信息上的权益是保障主体的自然存在和社会存在的，那么让这些权利脱离主体，无异于让他不能成为一个自然的或社会的个体存在。信息处理关系中的自主直接体现着作为个体存在的主体的利益追求，保障着主体的行为自由，彰显着主体作为人的核心价值。该利益是为实现信息主体基本权利而存在的特殊利益，是宪法规定的古典基本权利在民法中确立之后，为适应现代社会发展所增设的人格利益延伸的基本条款，是个人信息保护法基于弱者倾斜救济原则而设计的利益优先权制度安排。

三、信息处理中的自主利益之内涵和性质

民法学界长期以来存在着对个人信息权益应否上升为一项权利的争议，这项争论的本质是权利利益区分保护论，但是正如上文所论述的，个人信息上负载的利益包含了隐私利益、呈现利益、信息处理中的自主利益，对这三重权益应当区分评价是否应上升为权利，不宜混为一谈。前两者内涵和外延的相对明确，尤其是隐私利益，在我国已经形成了清晰的规范群，《民法典》界定的隐私范围包括了私生活安宁、私密空间、私密活动以及私密信息这四类，直接和个人信息有关的隐私利益限于私密信息范畴。而呈现利益，在《民法典》中确定的就包括了姓名权、荣誉权、名誉权等。问题在于，信息处理中的自主利益的内涵是什么？其是否可以同隐私利益或呈现利益一样上升为一项具体的权利呢？

（一）信息处理中的自主利益之内涵

信息处理中的自主利益，可以解释为当大公司或政府在收集处理个人信息时，个人对信息收集处理的全过程必须享有一定的自主利益——体现为对信息处理过程的介入和干预。为此，《民法典》确立的信息处理中的自主利益包含了知情同意（第1035条），查阅、复制、异议更正、删除权（第1037条）；而《个人信息保护法》对《民法典》所确立的上述权利进一步丰富与发展，确立了八项个人在个人信息处理活动中的权利，包括：知情权、决定权、限制权、拒绝权（第44条），查阅复制和可携权（第45条），更正补充权（第46条），删除权（第47条），解释说明权（第48条）。笔者以为，对《民法典》和《个人信息保护法》所确认的这些信息处理中的个人权利，与其对单个权利逐一进行评价，纠结于其是否足以构成一项独立的新兴权利，毋宁将其视为实现信息处理中的自主利益的手段和方式——即权能性质的权利。

有不少学者认为，民法从“权利（或利益）——权能”角度解释个体在处理活动中的权利非常牵强，并根据自然人在处理活动中的“意思自治”的不自由和“同意”的不效率来反对民法中个体的权益。但是，如果完全否定个人信息权益的私权属性，则无法从体系上解释《个人信息保护法》第69条的“侵权责任”的意涵，如果不是私权，侵害的“个人信息权益”的内涵是什么？其中的“损害”又如何理解？个人信息权益具有宪法上基本权利的属性，这已经在很多经典文献中有所论证，但是宪法上的基本权利，也有必要在民法的框架和体系中得到保护，这是宪法所确立的基本权利保护的法秩序的一部分，两者绝非非此即彼的关系。

此外，《个人信息保护法》将同意作为合法处理个人信息的基础之一，并不是确立了民法上的“意思自治”，这和传统合同法中的“合意”无法等同，同意的本质是对信息处理过程的介入和干预——个人信息控制论的附属产物，也是《个人信息保护法》第44条决定权的体现，决定权应当包含对信息处理的处理范围（规模）、处理目的、处理手段、处理保障措施等的干预。

（二）信息处理中的自主利益之性质

个人对其个人信息的控制并不是无条件的支配，有学者认为《民法典》将个人信息作为民事权利客体进行了规定。实际上，个人对其个人信息并无自主权。毋宁，个人只是享有附着于其个人信息上的正当利益，其自主也仅限于对其享有的利益的自主。民法不是为了保护个人信息而保护个人信息，个人信息本身也不是需要得到法律保护的利益，相反，是信息所处的场景，而不是信息本身的内在性质决定了该信息是否受法律的保护。

信息处理中的自主利益作为一项人格利益，是否可以上升为具体人格权？通说认为人格权与人格利益的区别在于人格权之排他性、支配性、绝对性、专属性。德国民法关于人格权的通说准用物权请求权（《德国民法典》第1004条排除妨害请求权），亦肯定其排他性。因此，如果将信息处理中的自主利益认为是人格权，则必须证明其具有排他性、支配性，为一项绝对权。有学者指出个人信息权是指自然人对其本人的个人身份信息所享有的支配并排除他人侵害的人格权。但需要注意的是，个人信息的收集、处理、利用确实与信息主体的人格利益息息相关，关系到信息主体的人格尊严，个人信息通过显现个人的生活轨迹，勾勒出个人人格形象，是自然人人格的一部分。问题在于个人信息欠缺充当绝对权客体的条件（绝对权是范围更大的概念，支配权仅为绝对权之一种，支配权必定是绝对权，绝对权却不一定是支配权），在技术上，信息无法归属于某一个人；此外，因为信息和思想是“人类行动的产物和前提”，是“现实世界的精神模式”，如果在个人信息上承认一种近物权的支配权，其结果只能是“这不再仅仅是对自己个人信息的支配，而是对他人行为的支配。”此外，如果将该自主利益认定为支配权，因自然人人格神圣不可侵犯，且自然人对其人格权是排他的，任何阻碍自然人实现其人格权的行为都必须停止。这显然与个人信息上的多元价值相悖。如果个人信息权作为具体人格权成立的话，是否意味着可以支配或控制整个处理过程？对于个人信息这种具有极大财产和公益价值，同时流动性极强的无形介质，这种支配是否可行？

许多学者意识到自然人对其个人信息具有绝对的支配力的观点有许多问题，比如会阻碍信息的流通与利用等等，因而试图通过重新解释人格权基础理论以使得“个人信息权”能符合作为一项具体人格权的要件，比如否定支配性作为人格权的必要属性，认为人格权体现的是一种消极的防御权，权利人对人格要素的支配权能极其有限。但突破人格权的固有属性（排他、支配、绝对、专属）来重新阐释人格权的观点，否定了人格权从物权请求权发展而来的历史，同时也否定了人格权作为权利的独立性，因此，将个人信息权益视为该种语境下的具体人格权，存在理论逻辑上的不周延。

还有一种观点试图将人格权解释为受尊重权，以此回避关于支配性的讨论，因此，通过将信息处理中的自主利益解释为受尊重权，以此来证明应当通过权利保护，但问题是，这一观点忽略了即便将人格权解释为受尊重权，受他人尊重本身即是绝对权的题中之义，因为绝对权的性质就是相对于每个人产生效力，即任何人都必须尊重此项权利。因此，解释为受他人尊重的人格权也依然是一项绝对权，而绝对权就可能导致对个人信息的支配或控制，这种排他性最终可能阻碍信息的流通。也有学者以德国法上的个人信息自决权（自主权）来主张个人信息权益是一项权利，但必须说明的是，德国的个人信息自决权并非一项绝对权、支配权，其行使受到诸多限制，需要与各种利益进行平衡，而且其仅在德民框架权利条款的解释中被发展，并非是一项确定的具体人格权。

综上，将自主利益上升为一项人格权利，又解释其不具有支配性、绝对性、排他性，试图用控制属性代替支配属性，挑战人格权本质通说的做法无法周延其论点。毋宁，将个人信息上的利益不上升为一项权利，通过利益保护的路径来克服个人信息无法作为支配权客体的逻辑弊病，比如德国司法实践中对“提取、储存、处理和使用个人数据信息”作为一项人格利益的保护。同时，与特定个人有联系不足以导致个人对该信息的垄断，法律没有理由赋予个人对个人信息的排他支配权。个人信息的识别功能决定了个人信息本身还具有社会属性而非单纯的个人属性，个人对其个人信息不当然享有支配性权利。因此，信息处理关系中的自主利益，是一种防御性利益，自然人对其个人信息并不享有如同物权等绝对权那样一般性的排他支配权，也无权要求其他人如尊重物权等绝对权那样来尊重其个人信息上的自主利益。

四、民法上信息主体

五、结语

个人信息权益负载于个人信息，与主体人格须臾不可分离。有学者从宪法层面研究了个人信息权益，指出其包含了人格尊严、人身财产安全、通信自由、通信秘密等等。但是对于上述利益从私法角度如何予以救济，应当有相应的评价。个人信息上的民事权益与主体人格密切相关，具有主体性，已经由我国《民法典》确认为人格利益。笔者以为，有三重权益不可或缺，一是以私密信息隐私权为代表的隐私利益；二是以姓名权、肖像权、名誉权为代表的呈现利益；三是在信息处理关系中的自主利益。隐私利益、呈现利益以及信息处理中的自主利益，前两者的内涵外延边界相对清晰，已经形成了相对应的具体人格权，未确定为具体人格权的呈现利益，也可以通过《民法典》第990条第2款规定的其他人格利益解释。而信息处理中的自主利益则需要进一步辨析，笔者以为其规范意旨是为了平衡信息能力不平等的法律关系，是一项绝对利益，也有明确的利益内涵，但因为不具有支配性、排他性，无法上升为一项权利，其权能通过《个人信息保护法》对《民法典》的进一步发展，目前包含了八项具体权利。

侵害个人信息权益是以侵害上述三重权益为目的的。但是个人信息上并不存在生命健康身体利益或财产利益，这些利益与个人信息可能有关联，但具有“远距性”。利用个人信息侵害人身、财产权的行为，最终目的是侵害人身、财产权，个人信息实际上只是实施侵权之手段或媒介。比如信息处理者拒绝了信息主体查阅、更正的请求，如果该信息本身有严重错误，那么一个行为可能同时侵犯了信息处理中的自主利益及呈现利益。但是，拒绝查阅、更正的行为，无法侵害信息主体的生命、健康、身体权，也无法侵害信息主体的财产权。