郑维炜：个人信息权的权利属性、法理基础与保护路径

【摘 要】 我国《民法典》人格权编规定了个人信息保护。通过对条文的分析可以发现，立法没有明确个人信息保护应为法益保护抑或权利保护。通过创制个人信息权对个人信息予以保护，这是一般人格权在信息时代发展中所形成的新的社会形态的具体展现，是信息时代保护个人人格的要求。法律上创制的个人信息权是一项独立的人格权权利类型，并且这种权利类型的独立存在有其法哲学上的基础。通过《民法典》人格权编确立个人信息权保护的法律制度，侧重《民法典》人格权编与其他部门法的法律条文之间的相互协调与互为补充，是我国《个人信息保护法》的发展路径。

【关键词】个人信息权；独立人格权；人格利益；权利属性；个人信息保护

引言

在信息时代的大背景下，云计算、大数据以及人工智能等新技术的广泛应用驱动着社会经济的不断创新和发展，个人信息的数字化利用越来越广泛，随之也产生了许多问题，例如，对个人信息的不当使用、泄露使权利人受到损害。我国《民法典》人格权编第1034条第1款规定了对个人信息的保护。关于这一条文，我们应当思考的是，对于个人信息的保护究竟是法益保护，还是权利保护?如果立法没有明确的规定，那么，在法律上对个人信息予以权利保护是否必要?个人信息权是否可以独立作为一项民事权利?倘若构成权利，应当以何种权利属性来进行分析?如何完善《民法典》人格权编中关于个人信息保护的规定，推进我国《个人信息保护法》的立法工作，构建个人信息权保护的发展路径?

本文的写作目的在于探讨如何完善《民法典》人格权编中关于个人信息保护的规定，明确个人信息权作为独立人格权的权利属性，侧重《民法典》人格权编与其他部门法的法律条文之间的相互协调与互为补充，建构具有我国特色的《个人信息保护法》的发展路径。一旦满足自然人对其个人信息的保护诉求，赋予网络运营者对个人信息的收集、使用的正当性与合法性，以及厘清政府机关作为信息利用者和信息管理者的双重身份，就能实现自然人、网络运营者、政府机关和其他社会组织之间的利益平衡，以此更好地回应信息时代围绕着个人信息所产生的问题。基于这些思考，本文将依次讨论个人信息权的理论学说、在法律上创制个人信息权的必要性以及这种权利类型能够独立存在的法哲学基础，最后提出我国《个人信息保护法》的发展路径。

一、个人信息权的学理争论

强化对数据共享中的个人信息的保护，是各国的普遍做法。一般认为，对个人信息的保护起源于美国。到20世纪后期，随着信息技术的革新，对个人信息的收集、使用已经形成一个巨大的信息产业，美国和欧盟均已在立法层面将个人信息纳入法律保护的范畴。我国学界对于如何界定个人信息权的属性仍有争议，一直以来存在多种不同主张。探本溯源，这些理论学说都回归到权利本源的讨论，即自然人对其个人信息是否享有权利的问题。如果享有，如何在法律上界定该种权利的属性?如果不能究其本源，那么相关的立法将成为无源之水、无本之木。因此，我们认为有必要对这些问题逐一进行分析和论证，这将有助于对我国《民法典》人格权编第1034条规定的“个人信息”之解读，有助于解决在法律上保护“个人信息”的问题。

（一）广义隐私权说

隐私权的哲学基础是公共领域和私人领域具有明确的分界线，这种传统的公私二分法是18、19世纪许多法学家的共识。1890年，沃伦和布兰代斯在其发表的《隐私权》一文中首先提出了“隐私权”理论。其后，该理论逐步在美国法中得以完善。美国法中隐私权的保护对象包括生育自主、家庭自主、个人自主、隐私信息四个方面。个人信息被纳入隐私信息的范畴而得以保护，这与美国法中隐私权保护对象的广泛性有关，即美国法采取的是广义隐私权说。

在美国联邦立法层面，“隐私权”的概念最早起源于《宪法第四修正案》中“个人免受不当搜查和逮捕”的权利，当时的立法本意是保护公民个人财产不受政府的侵扰。另一部具有代表性意义的联邦立法是1974年《隐私法》。该法将个人信息作为隐私权的保护对象来加以保护，以此规范联邦政府处理个人信息的行为。该法实施后，许多学者将隐私权解释为自然人控制其个人信息的权利，认为个人信息本质上就是一种隐私。在美国州立法层面，部分州通过《数据侵权应对法》（Data Breach Response Law），要求在数据安全受到侵犯时采取一定形式的应对措施。另外，有关消费者隐私保护的法律也越来越多地被用于解决与隐私相关的纠纷，比如，加利福尼亚州已于2020年1月1日起正式实施《加利福尼亚州消费者隐私权保护法》（California Consumer Privacy Act）。此外，美国司法实践也通过判例的方式扩展了传统的隐私权内涵。在2018年的Carpenter v. United States一案中，最高法院将个人信息的范畴进行了扩展，认为即使涉案信息由信息主体与第三方共享，该信息亦受到《宪法第四修正案》的保护，从而免受政府的不当获取。

那么，如何评价美国基于广义隐私权说对个人信息予以保护?整体而言，美国法将个人信息作为隐私权的保护对象，在保护个人信息的同时强调对个人信息的收集、使用以促进信息产业的发展。这一做法的优点在于，自然人有将其个人信息置于谁控制之下的权利，有决定是否公开、何时公开和怎样公开个人信息的权利，从而赋予自然人较大的信息自决权。应当说，个人信息的全面保护既来自于通过单独立法的方式对侵犯个人信息的行为进行有针对性的法律规制，也来自于法院通过判例的方式扩展传统的隐私权内涵。但利之所在，弊亦随之。虽然美国联邦立法将个人信息作为隐私权保护的一部分，但是，宪法对隐私权的保护多聚焦于刑事案件中个人信息的公开披露，并未考虑其他政府行为因豁免而可能产生的损害，且这种偏向于公法保护的模式无法在个人信息受到第三方私主体侵害时提供有效的保障。除公法规制之外，通过单独立法的方式也可能无法起到切实保护自然人的应有权利及提示风险的作用。比如，有关个人信息保护的条款常现于网站运营者的隐私政策中，但在通常情况下，大多数人并不会仔细阅读这些条款。使用者“知情同意”授权的方式是实践中网络运营者要求个人明确同意该网络运营者收集、使用其个人信息的做法。但网络运营者往往提供了一个复杂的、要么同意要么离开的隐私政策，而实际上，使用者仅仅只用几秒钟的时间去评估它。在一定程度上，依赖个人的独立判断来决定个人信息中隐私利益的使用，这是一种信息产业的失效。此外，美国法中对隐私权的这种保护也为网络运营者在行使权利时带来一定的不确定性。一方面，以隐私权保护个人信息需要法院对权利的保护对象进行不断的扩大性解释，这使得企业的个人信息保护合规工作面临着不确定性，需要随着新的司法实践不断进行调整；另一方面，网络服务的提供和个人信息的传播往往不局限于一个地区或一个州，因此，网络运营者面对个人信息所包含的隐私利益的复杂性和不确定性，即使付出大量的信息合规成本，也很难对每一次对个人信息的收集、使用是否合规作出准确的判断。

（二）财产权说

20世纪60年代以来，一些西方学者主张，信息的价值在于其产生收入的功能，而信息是否需要被披露取决于其对社会活动是否有益，因此要通过各方主体对信息所享有的价值来确定权利的归属。波斯纳教授从经济学的角度对个人信息所蕴含的经济效益进行了分析。他认为，“每个人都拥有形形色色的信息，这些信息对他人甚至整个社会来说具有意义或者价值，可以为他人提供方便和资讯，这时他人会愿意付出对价来购买这些信息。因此，信息主体对他们的信息当然享有权利，并应该允许他们就这些具有交换价值的信息进行交易”。威斯丁教授亦认为，“被视为涉及自然人私人人格的决定权的个人信息，应当被定义为一种财产权”。莱斯格教授在1999年出版的《代码和网络中的其他法律》（Code and Other Laws in Cyberspace）一书中首次系统地提出了数据财产化的理论思路。莱斯格认为，“应意识到数据的财产属性，通过赋予数据以财产权的方式，来强化数据本身经济驱动功能，以打破传统法律思维之下依据单纯隐私或信息绝对化的过度保护而限制、阻碍数据收集、流通等活动的僵化格局”。

个人信息的财产权理论的提出引起了各国学者的广泛关注与激烈讨论。一方面，个人信息具有财产利益，是一种重要的社会资源。在实践中，个人信息具有财产利益可以凸显“实现经济收益”与“信息主体的能动性”的优势。在信息时代，个人信息成为新经济的智能引擎。一些大型的网络交易平台对海量的个人信息进行收集、使用的能力显著提高，这给新经济带来了成本的降低和效率的提升。单就“信息主体的能动性”而言，自然人作为信息财产权的主体，能够通过使用者“知情同意”授权的方式保护自己的权利。企业作为信息处理者只能通过与信息主体进行协商方可获得信息数据的使用权，这使得信息主体作为使用者获得了一定的议价能力。使用者“知情同意”授权的方式还能够将事后的侵权救济转变为事前的预防，避免个人信息侵权行为的发生。

另一方面，也有很多学者指出，仅从可“实现经济收益”与“信息主体的能动性”角度来讨论个人信息权的权利属性过于片面，这可能会在理论与实践两个层面产生一些问题。虽然个人信息具有财产利益，但如隐私、姓名、肖像等内容一样，不能仅因具有财产利益就将其归为财产权的客体。还有学者认为，个人信息权与基于智力成果产生的知识产权不同，是自然人与生俱来并在其发展过程中不断形成的，与自然人的人格密不可分，因而无法被归入财产权的范畴。除此之外，在实践中，自然人也难以依据个人信息财产权切实地保护自己的合法利益。究其原因主要有以下三点：

其一，信息主体作为使用者即便在信息交易中获得了一定的议价能力，但相对于作为信息处理者的企业，其议价能力是十分有限的。例如，信息主体作为使用者在获取相关网络服务时被要求提供个人信息，几乎所有的手机应用程序都要求使用者先行注册账号，并要求使用者同意其获取手机中的照片、联系人等信息，使用者若拒绝，则将无法使用该应用程序的部分功能甚至完全无法使用该应用程序。这就间接地限制了使用者的议价能力，此时的使用者“知情同意”授权究竟是否基于使用者完全真实、自愿的意思表示还有待进一步的考量。

其二，如果以财产权来保护个人信息并规范对个人信息的使用，则无法实现财产权的制度功能。原因就在于，个人信息使用的质量和效率受制于信息主体的意志，即自然人的判断能力。正如有学者所言，“信息主体是对其自身信息的最佳判断者”。事实上，以个人意志来决定个人信息使用的合法性，往往使个人处于要么全部拒绝要么全部同意使用其个人信息的两难境地。这是因为在现实中，关涉个人信息保护的专业词汇、内容条款往往是复杂而专业的，也是因篇幅庞大而需耗时阅读的，对于普通人来说更是晦涩难懂的。毕竟，在信息社会，“几乎没有人有时间、能力或者决心浏览一遍网上复杂的条款和同意的条件，更不用说要对每次给定的同意书都进行浏览”。

其三，个人信息的财产属性决定了自然人作为信息主体可以将其个人信息通过商品化或者公开化的方式转化为财产利益或价值，然后再许可他人使用，但这并非财产权所专属的特性。如果单从财产权角度证成其权利属性，则不可避免地忽视了个人信息所体现的人格尊严。个人信息是人与生俱来并在其发展过程中不断形成的，更多地体现了人的社会属性，是人的社会存在形态的法律体现。人格便是人的社会存在基础，即尊严。归根结底，个人信息与自然人的人格紧密关联，这一点充分体现了对人的社会存在样态的尊重。

（三）独立人格权说

在学界，已有很多学者指出，个人信息权作为一种伴随着信息时代发展而产生的新型权利，应从一般人格权中具体化以实现权利的切实保护，也就是说，个人信息权应具有独立人格权的属性。

独立人格权说从隐私权与个人信息权之间存在界分这个角度进行分析，认为个人信息权是一项独立人格权，难以被隐私权完全覆盖。若将隐私权与个人信息权进行比较，两项权利的内容具有一定程度的交叉，但两项权利在权利属性、保护对象、保护方式等方面都存在区别。美国法中的隐私权具有类似于大陆法中的姓名权、肖像权、名誉权等具体人格权的内容，可以将很多的新型人格利益纳入其中。而我国《民法典》人格权编第1032条第2款规定的“隐私权”的保护对象仅是隐私，即自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。可以看出，该条文将生活中大量存在的公开的个人信息排除在隐私权的保护范围之外，导致这些公开的个人信息无法被归入隐私权保护范围而获得法律的保护。在信息记载有误的情况下，自然人也无法通过隐私权的保护方式向信息控制者提出异议并请求及时采取更正等必要措施。

以王利明教授为代表的学者们主张，隐私权仅作为一种精神性的人格权，是一种消极的防御性权利，擅自公布他人隐私的行为构成侵权，但在隐私权被侵害之前，权利人无法采取积极主动的保护方式。另外，隐私权在性质上并不包含财产利益或价值，这也是把隐私权同个人信息权作严格区分的主要原因之一。个人信息权可以被认为是一般人格权在信息时代发展中所形成的新的社会形态的具体展现。将个人信息权界定为独立人格权，并不意味个人信息不能被他人收集、使用。由于个人信息具有财产属性，其能够被利用于市场并转化为商业价值，因此，个人信息中的财产利益或价值不断显现。当然，对个人信息的利用并非直接的收集、使用，因为所有人格都不具备交换价值，或者说都不能直接进行交易，能够进行交易的只有财产。自然人作为信息主体可以将其个人信息通过商品化或公开化的方式转化为财产利益，然后为他人利用（包括商业利用）。此外，保护个人信息的目的还在于保护自然人对其个人信息的支配和自主决定。在这一意义上，个人信息权不仅具有防御性权利的功能，而且具有积极保护和确认的人格权权能。正如上文所述，隐私权在普通法下发挥了保护个人信息的重要作用，但在个人信息数字化的今天，其定义、权利属性、保护对象以及保护方式均呈现出不同特点。就权利属性而言，独立人格权说符合个人信息权的内在属性，因此，个人信息权作为权利在属性上应被认定为一项独立的人格权。

二、创制个人信息权的必要性

通过分析关于个人信息权的学理争论，我们认为，个人信息权作为权利在属性上被认定为独立人格权是成立的，这既有理论上的充分依据，也有立法上的合理解释。我国《民法典》人格权编第六章分别对隐私权和个人信息保护作出规定，这可以被解读为立法已对二者进行了界分。然而，通过对条文的分析，可以发现，对个人信息利益的保护没有被明确规定为法益保护抑或权利保护。为此，在法律上创制个人信息权或许能为自然人提供较为宽泛的保护，同样这也是维护自然人的人格尊严的必然要求。

在某种程度上，可识别性是个人信息的最重要特征，与人格的形成、发展相关联。一般来说，“已识别”是指，在特定人群中，某个人可与该群组内的其他人区别开来；“可识别”则表明，虽然某个人现在还未被识别，但有可能在将来被识别。在认定标准上，依据我国《民法典》人格权编第1034条第2款的规定，“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、住址、电话号码、电子邮箱地址、行踪信息等”。这种概念的界定印证了个人信息具有鲜明的人格要素，其本身应当是自然人生活和实践的产物，自然人也有权排除他人的非法干涉。

除此之外，个人信息无疑具有合理的利益。个人信息作为权利的保护对象，主要应包括精神性的人格利益和财产性的人格利益。精神性的人格利益发挥的正是维护自然人人格尊严的价值和功能。例如，取名不当，应当允许自然人对不当的姓名予以更改；个人信息记录记载不实，应允许自然人请求删除、更正。以上这些都是精神性的人格利益的重要体现，也是个人信息保护立法中首要被考虑的因素。财产性的人格利益发挥的是维护自然人财产利益的价值和功能。比如，由于个人信息具有身份性的属性，其在信息社会即存在被利用于市场的可能，一旦进入市场，市场的交易行为必然实现个人信息的使用价值或交易价值。一旦个人信息被非法获取或交易行为对自然人造成了侵害，自然人作为权利人即可寻求法律救济以保护其财产利益免受损失。

法律之所以确定某种民事权利，目的就是要保护权利人的某种正当的利益，满足其某种合理的需求。对于《民法典》人格权编第1034条第1款规定的“个人信息保护”究竟是法益保护还是权利保护，需要对法律规定进行分析。应该肯定的是，凡是法律规定为权利的，当然就是权利。同样，凡是法律规定为民事权益的，当然就是法益。例如，《民法典》人格权编第990条第1款规定的民事权利，即生命权、身体权、健康权、名誉权、荣誉权、隐私权等，都是民事权利。显然，法律对个人信息利益的保护没有被归入第990条第1款规定的民事权利之中，而是被归入第990条第2款，即“除前款规定的人格权外，自然人享有基于人身自由、人格尊严产生的其他人格利益”。在实践中，对于法律保护的某种具体人格利益，是采取权利保护的方式还是采取法益保护的方式，对自然人利益的实现存在较大差别。在信息社会中，对个人信息的保护仅仅依照对隐私权的保护方式进行，并不能够满足自然人对其个人信息保护的基本诉求。因此，通过创制个人信息权的方式保护个人信息，比将其作为隐私权的保护对象，或作为个人信息法益予以保护，更为完善和必要。

事实上，个人信息与隐私之间存在一定的关联性，即隐私中涉及的一部分信息与人格尊严的关系更加密切，“每个人对于这一部分信息的敏感程度，更接近于个人隐私，这些'个人隐私’主要包括医疗信息、银行存款信息以及其他财产性信息”。从这一点来说，自然人对过于私密且与人格尊严紧密相关的个人信息是不愿公开的。如果真实的此类信息被公开，则会对自然人的私生活造成严重影响，侵害自然人的人格尊严。反之，如果虚假的隐私被公开，则会对自然人的名誉权造成损害。此外，虚假信息的传播也不利于社会秩序的稳定。由此可见，个人信息同隐私一样都排斥他人和公权力的过度干涉，最优的办法就是将此类信息纳入人格权项下予以保护，除非公权力机关有正当理由，否则不得公开或任意传播、使用此类信息。

《民法典》人格权编第六章分别对隐私权和个人信息保护作出规定，可以解读为立法已对二者进行了界分。隐私是隐私权的保护对象，而个人信息应是个人信息权的保护对象。基于此，法律有必要创制个人信息权，并将其确立为一项独立人格权，作为与隐私权相并列的民事权利，这对个人信息的保护具有重要意义。第一，两者的权利属性存有区别。自然人对其个人信息享有允许他人收集、使用的积极权能。它包括允许何人收集、使用个人信息，如何收集、使用个人信息等重要内容。也就是说，他人或社会仍然可以在一定程度上收集、使用个人信息。相比较之下，隐私权的适用更多的是一种消极的抵御，即禁止他人收集、使用隐私。第二，两者的权利内容存有区别。个人信息权主要包括自然人对其个人信息的支配和自主决定的权利。例如，自然人有权知晓在多大程度上公开、向谁公开自己的个人信息，以及他人会基于何种目的收集、使用自己的个人信息等。此外，个人信息权所独有的权利内容还包括在个人信息被不完整地收集、使用的情况下，自然人有权请求信息控制者删除、更正这些信息的积极权能。区别于个人信息权，隐私权的内容包括维护自然人的私生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。具体来讲，一方面，它是指独处的生活状态或私人事务；另一方面，它是指私生活、秘密空间不受他人非法披露的权能。第三，两者的保护方式存有区别。个人信息的保护是以事前预防为主，以事后救济为辅。重要的一点是可以通过公法对其予以保护。比如，非法存储、使用他人个人信息会带来无法预见的风险，国家公权力机关有权对相关风险进行有效预防与制止，使个人信息能够被安全地收集、使用。隐私权的保护则注重事后救济。在隐私权被侵害的情况下，主要采取精神损害赔偿的方式对其加以救济。

总之，个人信息权具有与信息时代特征相适应的独特内涵，其权利属性、权利内容以及保护方式均无法为其他权利所替代。现有的权利体系无法更好地满足自然人对个人信息利益的保护诉求，即对个人信息的保护已无法停留在保护隐私或者事后寻求救济的层面。在法律上明确自然人对其个人信息享有民事权利，进而创制个人信息权作为一项独立人格权有其必要性，并且这种权利类型的独立存在有其法哲学上的基础。

三、个人信息权独立化的法哲学基础

保护个人信息利益是信息时代发展中的重要内容，其核心价值在于维护人的自主性以及人格尊严，这些价值正是人格权的奠基性价值。因此，对个人信息利益的保护应当被认定为一项独立的民事权利，通过创制个人信息权来保护个人信息，是一般人格权在信息时代发展中所形成的新的社会形态的具体展现。在法律上创制个人信息权，可以更好地满足自然人对个人信息利益的保护诉求，并且能够与人格权的根源和内在要求相契合。

（一）人格权在法哲学上的依据

人格权的法哲学基础根源于人的本质属性。在伦理学意义上，人具有社会性，处在一定的社会关系中且具备认识能力和行为能力。在此基础上，人还具备使其能够确立权利主体地位的本质属性。在康德看来，这种本质属性正是人的理性，人的理性既包括客观上认识世界的能力，也包括主观上领会道德要求并根据道德要求行为的能力。正是在具备理性能力的基础上，人具备了理解、接受和践行道德规范的可能性，才最终确立了自己的绝对价值，即人的尊严。对人的尊严的尊重，是道德的基本要求，因此，康德提出了“人是目的而非工具”的“人性公式”，并要求“你要如此行动，即无论是你的人格中的人性，还是其他任何一个人的人格中的人性，你在任何时候都同时当作目的，绝不仅仅当作手段来使用”。在这里，人被奉为目的并被尊重的基础是“人格中的人性”，这种“人格中的人性”同人的理性具有一致性，强调的都是作为具有内在自由之物的人在相对于感官世界的理知世界中不受自然机械规律支配的能力和自由。人能够根据道德的内在要求和法律的外在要求主张自身的权利，并以履行特定义务的方式尊重他人的权利。正如萨维尼所说：“人格、法主体……两个概念的根源的同一性以如下的定式表现出来：每个人……皆是权利能力者。”人的权利能力使人们能够在感性自我之上形成道德理念，并基于此规范自身行为，实现自律。

正是基于人的理性的本质属性，人们可以要求对符合人格本质的诸多属性加以保护，并基于人性尊严而主张在法律上以权利的形式予以保护。对人格的尊重首先是一种道德规范，即“作为总体的人类社会的存在对个体的要求、规范和命令”。它赋予每个人要求其他任何人尊重其理性能力和人格尊严的权利，以保证其生存和私人领域受到恰如其分的保护。与之相应，“己所不欲，勿施于人”，每一个人对其他任何人也都必须承担同样内容的义务。这种“相互尊重”为一切法律制度提供了正当性的支撑，是人们在同一法律共同体中共同生活的基础。将这一法哲学上的基于普遍理性的相互尊重关系移植到私法领域，就形成了“法律上的基础关系”，即权利义务关系，在人格权领域中的此种关系，引发了一些我们在私法中对人格权内在要求的理解和讨论。

保护人格尊严和人格利益首先是一种道德要求，这种要求要具有意义就必须以法律权利的形式出现。在某种意义上，离开了法律强制力的保护，权利的存在就没有意义。因此，人格权同私法中的其他权利一样，需要制度化，需要在权利义务的关系中实现。对权利与义务的探讨离不开对自由和权利的某个性质的界定，即人格权是积极的还是消极的。人格权一般既有积极的一面，也有消极的一面。就积极的方面而言，它要求正面肯定人格权的价值，明确其内涵和外延，在法律保护的范畴内，个人可以积极地行使和处分自己的权利；而消极的方面则要求以契约的形式为他人创设义务，以划定人格权的义务内容。正如我们前面提到的，人格权是关于（保护）人的尊严的权利，也就是说，其要求承认并且不侵害人所固有的尊严。一方面，任何人的人格尊严和人格利益都应当处于其自身的整全性支配之下，不应当受到他人的干涉和阻碍；另一方面，任何人都应当尊重他人人格尊严和人格利益的独立性和完整性，履行不干涉和不阻碍他人人格的义务。

（二）个人信息的权利化与人格权的契合

辩护个人信息为一项独立的权利并不是要论证一种全新的、以往的法律上完全不存在的权利，而是要辩护个人信息为一般人格权在新时代的一种具体展现，个人信息利益是如此重要以至于我们有必要以法律权利的形式对其加以保护。就前者而言，论证的负担是比较重的，需要诉诸关于权利存在的哲学基础；而就后者而言，论证的负担是比较轻的，我们只要找到一个一般化和抽象化的权利并论证新权利主张是这个既存权利的实例就可以了。这就是以色列法理学者Alon Harel所发展出的一种关于新型权利辩护的方法论，其重点是要寻找出既有权利的内在理由。于是，Alon Harel提出了一种判断新权利诉求是否应该权利化的标准：如果一项诉求能够同一项既有的基本权利的内在理由相契合，那么，这项诉求就可以成为该基本权利的一个实例，从而被归入该基本权利的范畴。这里的内在理由就是该权利存在的价值基础，比如人格权的内在理由就是个人的尊严或自主性。于是，我们只需要论证个人信息利益高度契合人格权存在的核心价值，就可以达到辩护个人信息为权利的目的。

从内在理由来看，个人信息保护权利化与人格权的根源和内在要求具有一致性，个人信息权是一般人格权在信息时代发展所形成的新的社会形态中的一种具体展现。个人信息的人格属性为法律创制个人信息权提供了正当性来源。正如我们前面提到的，人格权这项基本权利根源于人的理性与尊严，其内在要求的核心在于对人格整全性、独立性和自主性的尊重。由于人的理性和尊严的普遍存在，人格的概念能够超越个体的局限性，成为衡量利益诉求正当性的内在标准以及普适性的道德准则和法律原则。

首先，通过创制个人信息权的方式对个人信息加以保护，这充分体现了对个体个人信息的普遍尊重。个人对其个人信息的权利主张在主观上源于对个人信息保护价值的内在认同，即个人信息权是包括自身在内的所有权利主体所必需的权利。这使得每个人在主张自身个人信息权的同时，必须尊重社会共同体中其他成员控制和支配个人信息的权利。这种普遍的认同和相互尊重的理念符合保护主体性尊严的要求。我国《民法典》人格权编明确规定了信息收集者、控制者防止其收集、控制的个人信息泄露的义务，以设定义务的方式尊重和保护个体的个人信息。第一，依法取得个人信息的网络运营者、银行、医院、邮政等其他企业事业单位承担保护义务，如果网络运营者、其他企业事业单位对依法获得的个人信息实施了泄露、毁损、非法使用以及非法出售等行为，那么其应承担民事责任。第二，国家机关及其工作人员承担保密义务和注意义务，一旦国家机关及其工作人员没有尽到该义务，实施了泄露、篡改、毁损以及非法向他人提供个人信息的行为，国家机关及其工作人员应承担相应的侵权责任。第三，依法取得个人信息的任何法人、非法人组织和自然人负有保护个人信息安全和防止个人信息泄露的义务。如果发生信息泄露，义务人应立即采取补救措施，防止损害扩大，未尽此义务的人将获得法律上的消极判断，接受法律制裁，承担不作为的法律后果。

其次，个人信息权以个人的自决权为基础，符合人格权对人格独立性、自主性和整全性的内在要求。作为尊重人格尊严和保护人格利益的一种表现形式，个人信息保护集中体现为具备主体性的个体对其信息的自由意志。“个人信息自决属于私人生活自主决定权的范畴，其目的在于保护个人对其私生活事物的自主决定。在私生活领域，只要不影响公共利益，就应当尊重个人对其私生活的判断和决定。”《民法典》人格权编第1035条第1款规定，“收集、处理自然人个人信息必须征得该自然人或者其监护人同意，法律、行政法规另有规定的除外”。这一关于使用者“知情同意”授权的规定强调了对人格独立性和自主性的尊重。可见，通过创制个人信息权的方式保护个人信息，能够充分尊重个人在私人生活中的自由意志，从而保护人格尊严。

最后，个人信息权在立法技术上适宜成为一项独立的权利。从外在表现形式来看，个人信息注重的是身份描述性和可识别性，这种意义上的身份描述和可识别可被理解为，只要此种信息与个人人格、个人身份有一定的联系，无论是直接指向个人，还是在信息组合之后指向个人，都可以认为其具有身份识别性。个人信息的描述功能使个人内在的人格特性具备了外在化的可能，识别功能则为构成社会关系的众多独立个体提供了合理定位的条件。个人信息是对个体自然特征和社会特征的描述，是用以区分不同个体的客观标准，是明确个体在社会关系中所处位置的标志，因而并非人的身外之物，而是人格不可分割的一部分。这一点从我国《民法典》人格权编第1034至1038条的规定可以看出，个人信息已经被纳入了人格权保护的范畴，立法通过创设法律义务的方式来实现对个人信息的保护。

四、公开源代码的可能与限度

算法透明的最激进的主张，莫过于公开源代码。源代码是程序员所写的人类可读的指令。在复杂系统中，源代码由成千上万行代码组成。对于政府规制代码的争议一直存在。在互联网时代的早期，互联网基于端对端的交互，并没有规制的空间，那些为互联网的搭建作出巨大贡献的代码作者在观念上会对政府规制代码的行为加以抵制，为政府规制代码设置重重障碍，但是，当代码的编写日益商业化并且开始越来越集中于少数大公司的时候，它就能够而且应该被规制，因为商业机构能够被规制。政府将通过直接规制代码以间接规制行为，利用对代码/架构的规制达成具体的目的。商业机构在设计正在到来的社会架构时，政府在商业利益之外确保公共利益和公共价值能够被纳入到架构之中，这应当是政府的职责所在。代码是价值观念的数字化。代码作者已经成为网络空间的立法者，他们决定互联网世界的默认规则是什么，匿名是否可能，隐私保护的程度。他们在一定程度上决定了互联网的面貌。代码已经成为网络空间的规制者，它在塑造着网络空间，决定了网民的自由的程度和范围，对于代码的规制是网络时代正义实践的主题。

2016年，纽约市尝试通过立法强制政府机构披露源代码。来自布鲁克斯东区纽约市议会的成员詹姆斯×瓦卡（James Vacca），提出算法立法议案要求，市政府机构运用自动化决策系统分配福利、维护治安和进行处罚的时候，必须公布源代码。这一立法动议直接监管到算法技术的核心——源代码——的披露而显示出其激进性。惟需注意的是，它规制的是政府自动化决策行为，而并非对市场主体算法的规制。立法背后的担忧仍然是政府公权力和技术性权力的结合而带来的对个人权利的侵犯和控制。

这一立法议案引发了多方的批评。企业认为这不仅损害了企业的经营自主权，也会伤害到企业的核心商业秘密。算法在知识产权法体系下受到的保护非常有限，但可能会收到商业秘密法的保护。有学者在研究法国关于算法法律保护的路径后指出，根据法国商业秘密保护法的规定，任何同时符合以下三个条件的信息，可以作为商业秘密而获得保护：（1）信息不为同一产业部门普遍认识；（2）由于信息的秘密性从而具有现实或潜在的商业价值；（3）信息受到合理措施的保护。如果一种算法符合上述标准，并辅以相关措施保护其秘密性，该算法就可以被认定为是受法国商业秘密法所要保护的商业秘密。强制要求企业披露源代码，从激励角度来说将导致企业犹豫签订为政府提供公共服务的合约。还有企业主张，它们对于算法拥有财产性权利 (proprietary-information argument)。这种财产性权利或者是基于数据产品而生，或者是因为商业秘密所具有的财产价值而产生。一些企业组织了游说公司在纽约展开活动，以改变草案的内容。另外，一些网络安全专家也指出，如果这些源代码被不法分子利用，则将会产生难以预料的后果，对公共安全造成难以修复的损害。纽约市最后通过的立法要求成立工作小组就自动化决策的下列相关问题提交建议：（1）公民对算法的可解释权；（2）公民是否遭受算法歧视；（3）对遭受歧视者提供救济；（4）存档算法和数据可行性。

纽约市的算法立法从动议到最终通过，对于算法的规制从一种实质性的约束成为一种政策倡导型的主张，突出表现了商业利益和公共利益之间的紧张。当越来越多的公共服务基础设施采购市场主体的软件商品和服务的时候，商业秘密的主张和政府决策的民主性透明性之间的冲突也愈发凸显。该法案通过之后，引起了法学界和舆论界的普遍关注和批评。一些批评者认为立法已经被企业的利益所扭曲。茱莉亚×鲍威尔（Julia Powles）在纽约客发表的文章认为，纽约市规制算法的立法尝试是大胆的，但充满了遗憾和错误。弗兰克×帕斯奎尔（Frank Pasquale）认为，商业秘密对于效率和创新有一定的激励作用，但政府的合法性和公共利益拥有压倒性考量。重要的公共决定如果由黑箱作出，这是政府的失职。凯西×奥尼尔（Cathy O’Neil）在《算法霸权：数字性杀伤武器的威胁》中强调，算法世界是一个丑陋的虫洞世界。算法应当接受公众的审视；否则，算法的霸权将成为人们生活的宰制者。

在公布源代码之外，还有反向工程学（reverse engineering/output testing）的方法可以打开黑箱。反向工程学是实现算法透明的重要技术手段。反向工程学在算法新闻领域有比较充分的讨论。法国工程师纪尧姆×沙洛（Guillaume Chaslot）曾为谷歌工作三年，他认为YouTube让人们看到的事实是扭曲的，而且其算法是以增加用户黏性为导向，他建议公司改进未果，后被公司辞退。2018年他创办了算法透明网站(algotransparency.org)，向社会公开了他运用反向工程学的方法解码YouTube的算法偏见，将平台如何扭曲事实的技术公之于众。反向工程学根据输出结果逆向测试、推演算法的运行逻辑，目的在于解决算法在输入数据和输出结果之间的统计学关系，而非因果关系，回应算法的非直觉性特征的挑战。反向工程学是算法透明的一种技术手段，但这一技术手段必须要考虑各国具体法律的限制。反向工程学存在着很多法律上的挑战。尽管美国在《数字千年版权法》之外，没有法律直接禁止和限制反向工程学，甚至《数字千年版权法》也有例外。但是，软件供应商在终端用户许可协议中都会有专门的禁止反向工程学的条款，实施反向工程学行为可能会面临违约的问题；但更大的法律障碍是在《计算机欺诈和滥用法》。我国刑法中的非法侵入计算机信息系统罪，以及个人信息的刑法保护都会对实施反向工程学行为进行直接的规制。

五、我国《个人信息保护法》的发展路径

当前，我国个人信息保护立法应该主动适应信息时代的需要。在信息时代，通过隐私权来保护个人信息具有一定的瑕疵，对个人信息的保护无法停留在个人秘密的范围内或者寻求事后救济的层面。法律应确立个人信息权为一项新型的权利，且立法保护的对象不仅包括个人信息，还应包括网络运营者、政府机关和其他社会组织对海量的个人信息进行收集、使用后产生的大量信息产品和服务。从保护方式上看，需要明确个人信息保护的合理边界与合理使用信息之间的关系。然而，个人信息权在我国尚未获得法律层面的明确承认，对于个人信息权是否为一项民事权利以及此项权利的属性和内容等问题仍存在争议和讨论，这无疑是构建我国《个人信息保护法》所面临的难题。《个人信息保护法》作为保护个人信息与维护网络安全的基本法律，调整私法、公法领域内的个人信息的保护和使用关系，其应该更好地回应信息时代围绕着个人信息所产生的新问题。为切实推动我国个人信息权的立法工作，首要任务是在《民法典》人格权编中完善关于个人信息保护的规定，明确个人信息权作为独立人格权的权利属性，进而推进具有我国特色的《个人信息保护法》的立法工作，构建《个人信息保护法》的发展路径。

首先，在《民法典》人格权编中确立个人信息权作为独立人格权的法律地位。法律保护自然人的个人信息是为了维护自然人的人格尊严，即自然人的个人信息所体现的人格尊严应当受到尊重，并且自然人对其个人信息享有自主支配的权利。其一，应当在“个人信息”后面加上“权”字，明确规定个人信息权。这样，一方面可以为特别法提供上位法依据，另一方面也可以满足个人信息司法保护的需求。个人信息权是自然人对其个人信息所享有的权利，在个人信息受到侵害时，可以基于人格权请求权向法院提起诉讼。其二，应当厘清隐私和个人信息之间的关系。隐私权的保护对象主要包括自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息；而个人信息权的保护对象是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。另外，对于隐私的保护方式与个人信息的保护方式也应区别对待。隐私的保护方式强调事后救济，而个人信息的保护方式是以事前预防为主，以事后救济为辅。其三，需要明确个人信息权的权利属性，同时应将其作为一项独立人格权而不是框架性权利加以保护。凡是已在隐私权中被保护的隐私，就不需要再通过个人信息权予以保护。

其次，完善《民法典》人格权编与其他部门法关于个人信息保护的法律条文之间的协调与补充关系。虽然《民法典》人格权编规定了对个人信息的保护，但是有关个人信息保护的法律法规仍然分散在不同的法律规范文件中。例如，关于个人信息概念的界定，既有法律规范都将“可识别”作为其特征，但概念界定的方式和内容各有不同。具体来讲：（1）《民法典》人格权编、《网络安全法》《电信和互联网用户个人信息保护规定》以及《个人信息安全规范》分别采取了概括、列举的方式来界定个人信息；（2）《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》通过分类的方式定义了个人金融信息，将个人金融信息划分为七类；（3）《人口健康信息管理办法（试行）》仅采用了概括的方式对个人信息进行界定。基于上述规定，我们认为，第一种定义方式更加符合实践需要，对个人信息定义的界定需要具体化、明示化。这是因为随着互联网信息技术的蓬勃发展，“可识别”这一概念的内涵和外延也在不断变化，信息技术使得人们可以从“不可识别”的个人信息组合中轻易地推断出“可识别”的信息，产生个人信息的累加效用。个人信息的匿名化只是相对的，仅在个人信息被以符合法律规定的匿名方式处理后，信息使用人才无须征得自然人的同意，即可在不违反法律和行政法规的强制性规定的前提下使用个人信息。《个人信息保护法》不仅需要明确地界定个人信息的定义，同时对于个人信息的匿名化也应有所规定，即匿名处理的个人信息不仅应当无法识别特定个人，而且是不能复原的。

再如，详细释义有关“知情同意”条文的规定。《民法典》人格权编第1035条，《网络安全法》第41条，《关于加强网络信息保护的决定》第2条，《电信和互联网用户个人信息保护规定》第9条，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第4条以及《征信业管理条例》第13条都将“知情同意”作为收集、使用个人信息的必要条件。但上述法律法规对“知情同意”条文均未作出详细的释义，在司法实践中难以较好地发挥效用。在实践中，“三重授权规制”的做法是指，开放网络平台方直接收集、使用个人信息须获得信息主体的直接授权，网络运营者通过开放网络平台方间接获得信息主体的个人信息，但必须经过开放网络平台方的授权和信息主体的再次明确授权。这种做法需要事前一对一地征求信息主体的同意，这导致了个人信息的利用效率较低，且无法很好地防范信息主体的风险。因为信息主体需要的同意内容往往各不相同，不宜通过统一的方式获得不同的授权，若采取格式合同来获取授权会导致发生争议时信息主体不能切实地保护自己的个人信息利益。因此，《个人信息保护法》需要整合既有法律法规中有关“知情同意”条文的规定，并依据网络技术特点及要求对“知情同意”条文作出具体化的解释与说明，考虑信息累加效用和个人信息权的权利属性，平衡信息保护与信息合理、正当使用之间的关系，明确有效同意的意思表示的构成要件以及例外情形等。

最后，《个人信息保护法》的立法理念之一是维护人本秩序，要求实现自然人、网络运营者、政府机关和其他社会组织之间的利益平衡。如上文所述，自然人享有精神性的人格利益与财产性的人格利益。精神性的人格利益通过对人的平等与尊严、生活安宁、信息自决等的保障得以体现。财产性的人格利益是基于信息经营和利益驱动的机制需求，在个人信息被利用于市场后呈现出的商业价值。这种商业价值往往是通过网络运营者对大量个人信息的收集整理而实现的，个人掌握的信息量往往较少且价值较低，如何能够使个人信息的所有者真正地享受信息利用制度的红利也是立法应当关注的重要问题。就网络运营者而言，其通过收集、使用个人信息来获得经营的利益。就政府机关而言，为了实现社会管理的公共利益，其应当获得收集、使用个人信息的权力，同时，收集、使用个人信息的权力需要被规制和约束。应该预见到，网络运营者、政府机关和其他社会组织作为民事法律关系的利益主体，其可能在收集、使用个人信息时侵犯自然人享有的个人信息权。因此，个人信息保护需求就构成了网络运营者、政府机关和其他社会组织收集、使用个人信息的内在限度。在信息时代，保护个人信息和促进对个人信息的合理收集、使用应是重要的立法目标。一旦满足自然人对其个人信息的保护诉求，赋予网络运营者收集、使用个人信息的正当性与合法性，厘清政府机关作为信息利用者和信息管理者的双重身份，就能实现自然人、网络运营者、政府机关和其他社会组织之间的利益平衡，更好地回应信息时代围绕着个人信息所产生的问题。

第一，自然人对其个人信息的保护诉求是《个人信息保护法》的立法要点。自然人作为信息主体有权知晓谁在收集其信息，基于何种目的收集其信息以及收集了怎样的信息。由于信息网络科技的快速发展，很多信息是通过相关的软件、传感器产生的，因此，人们往往没有意识到自己有多少数量的个人信息。无论人们是自愿的还是被迫的，其个人信息总会不断地被收集和使用。设置“黑名单”，收集信用记录，信息记载错误等也会损害信息主体的合法利益。作为信息主体的自然人应当被赋予请求行为人删除、修改和补充信息的积极权能，以此实现自然人对其个人信息保护的诉求。此外，为了保障自然人作为信息主体的利益预期，使个人信息权在实践中更具有可操作性，应当关注对于自然人获取的由其个人信息所产生的财产利益或价值的保护，进而实现三个层面的保护，即“保障自然人作为信息主体在最低程度上不受损害，在中极程度上得到网络运营者所得收益的分配与分享，在终极意义上感受到对自由与尊严的尊重”。

第二，网络运营者收集、使用个人信息的正当性与合法性需要在《个人信息保护法》上得到认可。《个人信息保护法》应规定网络运营者必须明确其公开收集、使用信息时遵守的规则，明示收集、使用信息的目的、方式和范围，保证其经使用者“知情同意”而收集、使用个人信息，由此以法律的形式确认该种行为是合法的事实行为。正是通过此种合法行为，网络运营者通过收集、使用个人信息，进而将信息产品和服务无偿向使用者提供。尤其在《网络安全法》颁布之后，隐私政策受到了网络运营者的重视，网络运营者注重对使用者“知情同意”的保护。

第三，厘清政府机关作为信息利用者和信息管理者的双重身份是《个人信息保护法》的重要内容。为实施社会管理和提供公共服务，收集、使用个人信息是政府机关采取的普遍做法。信息技术改变了传统社会的信息传播方式，政府机关可以更加充分地发掘个人信息的公共管理价值。政府机关作为社会管理的承担者，其对公共安全与公共利益的保护离不开收集、使用公民的个人信息。与此相应，政府机关也会积极利用个人信息以提高行政效率。因此，明确区分政府机关在个人信息保护立法中扮演的双重角色，有利于保护自然人所享有的个人信息权，也有助于政府机关在行使职权时更好地维护社会的公共安全与公共利益。

六、结 论

个人信息权是在信息时代产生的一种新型权利，如何将个人信息权纳入法律保护的范畴是法学研究的重要内容。法哲学亦为讨论民法上的人格权和个人信息权奠定了理论基础。个人信息属于自然人的“人格”范畴，对个人信息的保护是信息主体天然、基本的利益诉求，这种利益诉求不仅是必然的，而且是正当的。在法律上明确对个人信息以个人信息权的形式加以保护，能够与人格权的根源和内在要求相契合。本文通过对我国《民法典》人格权编中的个人信息保护条文进行论证分析，发现立法并未规定相关法律规则以明确个人信息保护应为法益保护抑或权利保护。有鉴于此，《民法典》人格权编应创制个人信息权，从而对个人信息权这一民事权利以独立人格权的形式加以保护。与此同时，应统筹协调《民法典》人格权编与不同部门法关于个人信息保护的相应法律条文，加快推进和落实我国《个人信息保护法》的立法工作，全面把握自然人、网络运营者、政府机关和其他社会组织之间利益平衡的立法理念，实现保护个人信息和促进对个人信息的合理收集、使用的立法目标，以此作为我国《个人信息保护法》的发展路径。《民法典》的颁布并不意味着我国民事立法活动的终止，国家立法机关还应当根据社会发展的需要继续制定相关的配套法律法规。具体到个人信息权保护领域，本文建议，我国应尽快制定《个人信息保护法》，规定保护个人信息权的具有可操作性的法律规则。同时，为了满足人民法院适用《民法典》关于个人信息权保护的法律规则的需求，统一司法裁判尺度，最高人民法院应该根据审理个人信息权案件的司法实践需要，尽快制定相关的司法解释，使得保护个人信息权的法律规定落到实处。