论个人信息的双重法律属性.docx
论个人信息的双重法f三属性数字社会(1)有关在互联网组成的赛博空间活动形式的称谓可谓林林总总,如数字社会、互联网络社会、智能社会等等,本文统一果用数字社会的称谓。已经逐步向我们走来,而它也是我们讨论个人信息的前提。因为,可识别的个人信息,如性别、相貌(肖像)、称谓(姓名)等,自人类社会之初便存在,只不过那时保存个人信息的载体是每个自然人的大脑,流传方式则是口口相传。在传统的线下社会(前数字社会),个人信息多通过具体人格权的方式获得保护,如姓名权、肖像权等,至多保护到隐私权的程度。而进入数字社会后,人们的生活方式与生活样态发生了质变,个人信息投体发生了重大变化,除大脑外,个人信息更多地存在于互联网平台之上。互联网络平台上的信息可以被收集、整理、加工成数据产品被人使用,从而产生了重要的财产价值。在传统的线下社会,具体人格权所保护的个人信息(如姓名、肖像、隐私等),其内含的精神价值是法律关注的重点,这些权利往往被称作精神性人格权,(2)依王泽鉴先生的划分,人格法益大体可以分为人身的人格权与精神的人格权,人身人格权包括身体、健康、自由及贞操等,精神人格权包括姓名、肖像、名誉、信用、隐私及信息自主权。参见王泽鉴:人格权法,北京大学出版社2013年版,第99页。除此之外的个人信息,法律通常便不再保护,更不要说其内含的财产价值了。而在数字社会中,法律不但关注可识别的个人信息中的人格性利益,而且也不能忽视个人信息中天然内涵的财产利益,甚至可以说,恰是数字社会中个人信息的财产性价值才催生了个人信息受法律保护的必要。也正因如此,数据与信息(3)有关数据、个人信息与隐私的概念区别,现在并无定论。本文采用较为狭隘且固定的概念内涵,即个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息(民法典第1034条);数据是通过去标识化、匿名化等技术手段不能识别特定自然人的信息以及其他与自然人无关的信息等,隐私则是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息(民法典第1032条)。有关数据、个人信息与隐私三个概念的相互区别与联系,参见彭诚信、向秦:“信息”与"数据”的私法界定,载河南社会科学2019年第11期;彭诚信:数据利用的根本矛盾何以消除一基于隐私、信息与数据的法理厘清,载探索与争鸣2020年第2期;彭诚信、杨思益:论数据、信息与隐私的权利层次与体系建构,载西北工业大学学报(社会科学版)2020年第2期。才成为数字社会(尤其是数字经济)中最为重要的资源与生产要素。无论是把数据与信息比喻成石油、土堞,还是氧气,都不为过。当下数字社会中围绕个人信息的核心争议或矛盾是,如何在个人信息保护与商业利用之间寻找到一个平衡点。这对矛盾的外在表现是数据平台上的个人信息归属不清,而其更为深层的原因则是人们还未真正理解、掌握个人信息的权利属性。(4)目前,我国关于个人信息权益属性总体上有三种观点:一是财产权观点,认为个人信息是有价值的商品,强调给予个人信息财产权保护;二是人格权观点,认为个人信息是人格尊严和自由的体现,主张保护个人信息的人格利益:三是人格兼财产权观点,该说认为个人信息既是人格要素,也是财产要素,因此个人信息权既是人格权也是财产权。参见叶名怡:论个人信息权的基本范畴,载清华法学2018年第5期,第145-146页。而要厘清个人信息的权利属性、权利归属等问题,还要从弄清个人信息作为法律客体的属性入手。一、个人信息作为权利客体的双重法律属性客体是权利的外部定在,是权利设立在何种标的之上的说明。(5)参见方新军:权利客体的概念及层次,载法学研究2010年第2期,第40页。个人信息权(6)个人信息是权利还是利益仍然存在争议,有称为个人信息权的,有称为个人信息权益的。我国民法典直接称作个人信息,从而回避了个人信息是权利抑或利益的争论。本文统一称作个人信息权。要立在个人信息之上,其权利属性与具体内容自然受个人信息法律特性的限制。换句话说,了解个人信息的权益特性,首先需要考察作为权掂客体的个人信息,其法律属性决定了个人信息权益的性质、特征与内容。(一)个人信息的自然属性个人信息首先是客观世界中的信息,须具备信息的一般特征。个人信息的自然属性决定了个人信息作为权利客体的法律属性及其上的权利属性。1 .信息是有意义的内容。个人信息的内容是识别特定的自然人,可识别性是判断某一信息是否为个人信息的重要标准。中华人民共和国民法典(以下简称民法典)明确规定了个人信息是可单独或者与其他信息结合识别特定囱然人的各种信息。2 .信息具有无体性。无体性要求个人信息必须记录固定方能被控制利用。信息具有内在涵义但没有外在形态,它是经过人脑或自动化方式处理的产物,具有无体性,这也是信息区别于有体财产权客体的主要特征。无体性使个人信息作为法律上客体呈现如下特点:首先,从自然属性上看,信息不产生独占的支配性,无体性使对信息的有效管领不以直接1占有”为条件,它可以超越时间和空间界限,为不特定人重曳分析使用。其次,信息较有体物具有更强的流动性,无体性使得信息可被复制,只要依附媒介,信息便可传播,便可重焚、多次、永续相传。最后,信息具有非消耗性,在流转过程中,信息可以不断结合汇集、演算分析,这一过程并不减损信息的价值,信息反而会因为被使用而产生新的信息和知识,产生新的价值增值。上述特点决定了信息具有特定的价值实现方式,信息的使用价值是依据信息内容的分析和预测,诚如学者言,从数据中获取知识或智慧的价值是数据的使用价值,并等同于分析价值,即数据被分析利用后所产生的价值。(7)参见高富平:数据流通理论:数据资源权利配置的基础,载中外法学2019年第6期,第1408页。与有体物不同,因信息具有非独占性、强流动性以及非消耗性,法律不要求对其进行支纪性控制,而是通过收集、存储、使用、加工、传输、提供等形式实现对信息的管领。只不过在其价值实现的全生命周期里,个人信息仍需具有物理上的可控性方能对其有效管领,也就是说个人信息必须以一定的方式得以固定",(8)齐爱民:论个人信息的法律周性与构成要素,载情报理论与实践2009年第10期,第28页。这是个人信息作为权益客体所必须的形式要素,因此民法典个人信息保护法要求个人信息是以电子或者其他方式记录的各种信息。3 .信息是事实的表现,个人信息表征自然人,不具有智力创造成分。以信息为客体的法律权笠不仅有个人信息权,从广义说具体人格权、知识产权的本质也是信息。所谓知识财产,"是指禁止不正当模仿所保护的信息",(9)日中山信弘:多媒体与著作权,张玉瑞译,专利文献出版社1997年版,第1页。但并非所有信息均可成为知识产权客体,知识产权保护的是体现思想的信息。这类思想可以分为两类,"一类是对思想观念的表达,一类是在思想观念基础上作出的技术发现L(IO)李明德:美国计算机软件保护法研究,栽郑成思主编:知识产权文丛(第12卷),中国方正出版社2005年版,第342页。因此,知识产权所保护的信息必须具有创造性,这也是智力成果得以成为财产并获得法律保护的基础。而从知识生产过程来看,信息和知识并不处于同一层级。基于数据、信息、知识、智慧的DlKW模型,信息是事实、数字和其他有意义事物的表现形式,知识则是存在人脑中的信息库,信息与知识的关系可以解释为知识产生于信息,正如信息产生于数据。(11)SeeChaimZins,ConceptualApproachesforDefiningData,Information,andKnowledge,4JournaloftheAmericanSocietyforInformationScienceandTechnology485(2007).从这一角度看,个人信息在信息层面而非知识层面。人是符号的动物,符号原理对人有效并且普遍适用,(12)参见德恩斯特卡西尔:人论:人类文化哲学导引,甘阳译,上海译文出版社2013年版,第45页、第60页。个人信息是对人的标表,通过客观的个人标识速立起与主体的稳定联系。因此与知识不同,个人信息与智力创造并无密切关联,它由自然人生成,能够客观地识别自然人并表征其个人特征,包括生物特点、活动轨迹以及人物画像等,如民法典所列举,个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。(二)个人信息的人格属性由于个人信息是可识别、标表特定自然人特征的信息,因此它与对人的个体评价和社会认同相关,具有精神属性。在此意义上,个人信息天然表征自然人的人格属性,由此可以解释,缘何传统线下社会所保护的人格权益,如姓名、肖像、隐私等多与个人信息密切相关。尽管数字社会中信息记录和处理方式发生了转变,但个人信息依然处处彰显人格要素中最基本的自由和尊严,且被置于民法典人格权编之中。只是,数字社会中的个人信息跟传统线下社会中的其他具体人格利益相比,有其自身特征。1 .个人信息既关乎个人传统线下社会中的自然评价,更关乎个人在数字社会中的算法评价。在数字社会中,个人信息被用于各种场景的打分、分类、资源分配等活动,构成了数字人格的评价基础。跟传统的人格评价不同,数字社会对人格认知不再以面对面的交流为主,也不再主要依赖于人类经验对评价信息的选择。打分、分类结果或者评价信息的推选,是由原始信息和算法所决定,人格评价被技术过滤。个人在自然人格之外,又形成了由个人信息所勾勒的数字人格,数字人格可能与自然人格一致,也可能不符,主要取决于算法对多维个人信息的计算和使用。(13)如中国被遗忘权第一案"任甲玉与百度公司案"。该案原告主张百度搜索引擎链接其曾经的工作信息,给其带来负面影响,降低其人格评价并造成经济损失。参见北京市第一中级人民法院(2015)一中民终字第09558号民事判决书。这些碎片化的信息拼凑出了自然人在数字社会中人格形象,构成了数字社会中的人格评价基础。2 .个人信息既关系到个人传统线下社会中的行为自由,更关系到个人在数字社会中的行为自由。个人信息处理并非数字社会中的特有现象,只不过传统线下社会中的个人信息,既不会用来对消费者做个性化分析和评价,也不会用东做定向推荐和预测。而在数字环境下,个人信息作用发生了改变,商家越来越依赖用户的网络行为轨迹和数据,进行产品、服务和媒体内容的预测分析或定向投放。他们有足够的经济动机去搜罗个人信息,用户浏览了什么、点击了什么、购买了什么都在其掌控之下,人们变得前所未有的透明,这种现象也被称作数据监视。(1旬如Cookie隐私第一案"朱怦诉百度案"。原告朱泮诉百度公司未经其知情和选择,利用网络技术记录和跟踪其所搜索的关键词,将其兴趣爱好、生活学习工作特点等显露在相关网站上,并利用记录的关键词,对其浏览的网页进行广告投放,侵害了其隐私权,使其感到恐惧,精神高度紧张,影响了正常的工作和生活。参见江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。数据监视与传统线下社会生活中的信息处理并不相同,人们在线下开展日常社交时不可避免要向他人展现其标识性信息,告知姓名、展示形象是人特定化和个性化的需要,这些展示并不会影响个人的选择和行为自由,但数字社会的信息处理则是全面的、细节的、永久的,无处不在、无时不在,当人处在数据监视下时他便会进入一种新的自我意识,从他人视角去审视自己,个人的选择自由便也易于受到数据监视的干扰。(15)SeeJerryKang1InformationPrivacyinCyberspaceTransactions,50StanfordLawReview1193,1260(1998).3数字社会中的个人信息借助算法能够计算出个人隐私。信息处理者最初采集的信息未必是个人隐私,并且依照法律要求,信息处理者也不能采集隐私信息。但在数字社会,算法的加入却增加了个人信息转化为隐私的可能性,因为在信息自动化处理过程中,多维信息结合能够清晰勾勒出个人画像。换句话说,在数字社会中,隐私无需运用传统社会中的鹿探、果集等直接侵权方式,而是可通过算法对多维信息处理计算出来,如著名的塔吉特百货孕妇营销案,百货公司利用顾客的购买数据推测出该少女怀孕,并向其推荐一系列孕妇产品。(16)参见吴军:智能时代大数据与智能革命重新定义未来,中信出版集团2016年版,第152155页。隐私也是人之基本权利和自由的体现,是人格尊严的重要组成内容,由此亦可知个人信息与人格利益密切关联。(三)个人信息天然具有财产性基因在数字社会(尤其是数字经济)中,个人信息的商业价值凸显出来,商家可运用个人信息形成的数据产品获得巨大商业利润。无疑,技术是个人信息产出经济价值的变革性因素,但它仍是外因,个人信息所天然具有的财产性基因才是其产生商业价值的内因。在数字社会中,它能够满足商业需要且有可控性和稀缺性,具有成为法律上的财产权益客体的可能性。1 .个人信息具有效用性。信息是交互性的就念,由输出者、通讯媒介、接收者构成。信息从人类存在起便一直存在,只不过起初信息只能通过口耳相传无法固定,无法产生真正的财产价值。可以说,是信息通讯媒介的迭代发展,尤其是数字社会的出现,方把个人信息中的财产价值催生出来。从口耳相传、书写文字、复制印刷、电子介质到人工智能,信息通讯载体的每一次发展都会给个人信息带耒社会价值结构的改变,对千信息是否给予保护、给予何种保护,取决于对这些价值的社会评价。(17)参见美罗纳德KL.柯林斯、美大卫M.斯科弗:机器人的话语权,王黎黎、王琳琳译,上海人民出版社2019年版,第30页、第31页。香农的信息论指出,信息的基本价值在于消除不确定性。大数据改因果关系预测为相关性预测,通过相关性发现事物背后的规律。信息自动苑理技术以及网络传播技术的发展使个人信息规模化采集、处理成为可能,大数据预测产生了对个人行为规律更深的洞察力,数据尤其是个人信息因此与土地、资本、人力一样成为了核心的生产要素,成为商业分析的重要资源,为生产消费各领域所普遍青睐。2 .个人信息具有稀缺性。个人信息由个人生成,是对个人的描述和表征。在前数字社会时代的传统线下社会里,"信息一直是处于公共领域的公共素材或材料,是任何人均可以使用的统源”,(18)高富平:个人信息保护:从个人控制到社会控制,载法学研究2018年第3期,第94页。此时个人信息仅具有表明与个人稳定联系的识别意义,迁不具有预测性的商业价值,不具有使用上的稀缺性。稀缺性是指有价值的个人信息供给小于人们的需求。人类进入数字社会后,个人信息被规模化、结构化采集,能够被网络永久记载,这为个人信息的数据化利用创造了条件。算法技术的发展,使规模化、结构化的个人信息产生了预测分析价值。但这些有预测价值的信息并非天然的、处于公共领域的信息,而是由个人信息处理者付出了相当的交易成本生产而来,这样的处理者实际是数据价值的生产者。(19)个人信息保护法第73条规定,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。民法典同样使用了信息处理者的概念,该法虽未对处理者进行界定,但规定个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供和公开等,可以判断信息处理者是进行如上信息处理活动的组织和个人。民法典从具体信息处理行为角度对处理者进行了侧面解释,当我们从处理者与个人信息财产价值关系上观察时,处理者实际可以分为两种类型:L种是规模化个人信息财产价值的生产者,可以称为数据生产者;另一种是未生产但利用个人信息财产价值的处理者,可以称为数据的第三方利用者。因价值关系更能体现权利义务分配上的不同,本文依具体情况对信息处理者、数据生产者与数据第三方利用者做了区分使用。数据生产者为获得并保有个人信息,在信用要设、服务模式.质量维护以及信息安全保障等方面投入大量成本,由此才能获得用户信赖,累积规模化的个人信息。为保证信息采集、使用、持有不侵害用户权益,数据生产者又投入大量合规风控成本,以确保信息处理获得合法性,不受追责处罚。高昂的收集与处理等成本使规模化个人信息成为社会稀缺资源。我国乃至国际上频发的数据争夺案,从侧面亦可反映出规模化个人信息的稀缺性。规模化数据是由一条条个人信息组成,参与到数据处理过程中的每L条个人信息都有其独立价值,涓涓个人信息的细流方汇成数据的海洋。规模化个人信息的稀缺性实质上也意味着个体化的个人信息同样具有稀缺性。3 .个人信息具有可控性。有价值且稀缺的资源并不一定能成为法律上的客体,成为法律客体需要具有可控性。我国民法典个人信息保护法网络安全法等均强调了个人信息以电子或者其他方式记录这一形式要素,其制度意义在于择选出具有可控性的个人信息。口耳相传的信息需要以声音或影像为媒介,依赖于人的听觉或视觉,而人的听觉或视觉在传递信息过程中具有一系列缺陷,它受时间、空间限制,甚至人脑记忆也会影响信息传递质量,具有极大的不确定性,因此在信息的获取及流通方面,口耳相传方式极为受限,欠缺控制性的个人信息较难被有效利用并产生商业价值。而数字社会中的个人信息,由于可存储于数据平台之上,且能够被收集、加工、处理,从而具有了可控制性,可控制的信息才能产生可利用、交易的财产价值。4 .个人信息具有流通性。个人信息的可控性决定了它可以在不同的使用者之间自由流动。数字社会中的互联网是开放和共享的,网络运营者利用网络爬虫、OPenAPI接口开放等技术手段,使个人信息可以超越空间和时间因素,在不同处理者之间高效流转,从而实现了信息的最大化流动。个人信息流通是其产生交换价值的基砒,有交换价值的资源才可能发挥市场作用,流通性是个人信息财产化必不可少的重要条件。二、个人信息权益的双重法律属性作为客体的个人信息具有人格与财产双重属性,人格性是个人信息显性特征,在个人信息上无疑能够产生人格权益,但因财产性是个人信息隐性基因,基于财产基因产生的财产权益并不必然获得法律的认可和保护,隐性财产基因的财产化需要满足一定的要求,不能与个人信息人格价值相冲突,需要具有法律上的正当性与可行性。(一)个人信息上的权益是一种具体的人格利益1.个人信息在数字社会中的人格属性决定其上存在的法律权益也首先表现为人格权益。个人信息在终极意义上仍然体现着个人的行为自由与尊严平等。若个人信息被不当或非法利用,极易对个人造成人格贬损,甚至是更大范围的人格权益侵害。当信息处理者利用个人信息进行算法决策时,极有可能产生不公平现象,形成算法歧视或偏见;当营销商运用数据画像进行广告投放或定向营销时,个人选择手页先被算法圈定,消费者的决策自由受到营销商的支配和干扰;当个人信息被黑客窃取时,数据撞库使用户在网络社区上的所有活动及信息都可以被黑客掌握,个人丧失隐私控制。不仅如此,个人信息泄露更是对公民生命财产安全造成巨大威胁。非法获取公民个人信息,是电信网络诈驳黑色犯罪利益链条中的必经环节,(20)参见高铭暄:论中国大陆(内地)电信网络诈骗的司法应对,载警学研究2019年第2期,第7页。违法犯累人窃取或在数据黑市上购买这些高质量信息后,实施精准电信诈骗或勒索,这些侵害给个人带来了极大的精神胁迫。为避免个人因信息滥用而遭受人格贬损,因担心数据泄漏而产生精神困扰,法律需要赋予个人一种控制个人信息的权利,以确保其人格独立和自由。在自动化数据处理情形下,人的自由发展取决于其是否有权对抗个人资料被无限制地搜集、储存、使用和传输,其依据耒源于个人自主决定的价值和尊严。(21)参见同前注(2),王泽鉴书,第200页。2 .个人信息上的人格权益属性从功能上看主要是防御性权益。个人信息所负载的利益主要体现为精神利益,利益决定了权利行使的目的,把利益保护和利益实现纳入私权界定,人们可以从保护目的出发,准确界定权利。(22)参见德迪特尔施瓦布:民法导论,郑冲译,法律出版社2006年版,第134页。个人信息人格权益是防御性权益。数字社会中个人信息之上附着的是防止因个人信息祓非法收集、泄露、买卖或利用而导致其既有人身、财产权益遭受侵害甚至人格尊严、个人自由受到损害的利益。(23)参见程啸:民法典编纂视野下的个人信息保护,载中国法学2019年第4期,第37页。个人信息人格权益目的便是防御这种损害风险。1977年德国联邦资料保护法正式提出一般性的个人信息权,明确指出其立法目的是保护个人一般人格权不受个人数据操作的损害。(24)参见张里安、韩旭至:大数据时代下个人信息权的私法属性,载法学论坛2016年第3期,第122页。2016年欧盟GDPR直接将个人信息权界定为个人数据保护权。(25)SeeGeneralDataProtectionRegulation(EU)2016/679,WhereaS,(4).人格权挺属性决定了个人信息权是积极的防御权。赋权风险控制通过赋予个人知情权.选择权,使其能在事前决定是否参与风险活动、是否接受信息处理可能产生的各种风险,实现个人信息的风险自治,如此才能更为有效地保护并尊重其人格利益。其逻辑为:一是通过参与实现自治,即个人是风险承受者,而这些风险又多与人的基本权利和自由相关,个人应享有信息处理参与权,应能制衡信息处理者决定,控制信息处理过程;二是通过监督塑造信任,个人授权信息苑理的前提是,个人相信处理是安全的,个人监督处理活动,有助于塑造信息处理信任关系,形成信息持续供给。人格权益属性决定了个人信息处理者须负有风险控制的义务,换句话说,义务型风险控制也是个人信息防御的必备内容。个人信息处理者能低成本控制风险,并且是信息处理受益者,因此各国的个人信息保护法律一般都规定了信息处理者的风陵控制义务,要求符合公平、透明、必要、目的限制、比例、追责等原则。但义务保护具有被动性,缺少监督和制衡较难落到实处;从法律效果来说,义务稷行情况,如信息安保、风险评估、审计监督等对信息处理者更具现实意义,它是信息处理获得合法性的条件;从个人角度来看,义务履行并不必然排除风险,对个体保护具有或然性。3 .个人信息人格权益具有独立性,无法由其他人格权提供救济。我国司法实践早期采取了以传统线下社会中的隙私权为救济路径保护个人信息权益的方式,如“庞某某诉中国东方航空股份有限公司、北京趣余信息技术有限公司隐私权纠纷案"(26)详见北京市第一中级人民法院(2017)京01民终字第509号民事判决书。“吴某某与北京三快科技有限公司隐私权纠纷案(27)详见贵州省毕节市中级人民法院(2020)黔05民终字第3113号民事判决书。“罗某与北京金某科技有限公司隐私权纠纷案”(28)详见江苏省苏州市中级人民法院(2020)苏05民终字第6904号民事判决书。这也是在保护个人信息的专门规则出现之前的无奈选择。在民法典正式确定了个人信息权益的独立法律地位后,越来越多的案例开始采用个人信息权益作为请求权基砒与裁判依据。如“黄某诉肾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案”(29)详见北京互联网法院(2019)京0491民初字第16142号民事判决书.“亥某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权资任纠纷案”(30)详见北京互联网法院(2019)京0491民初字笫6694号民事判决书。“孙某某与北京搜狐互联网信息服务有限公司等人格权纠纷案"(31)详见北京互联网法院(2019)京0491民初字第10989号民事判决书。,这些案例从价值取向、权益客体、权益内容、权益侵害后果以及权益保护方式等方面对个人信息权与相关人格权益,尤其是隐私权做了比较和区分。相信随着个人信息保护法的出台,法院对个人信息权益特性会采取更为全面的司法论证,不仅使个人信息权益的独立性与独特性越来越清晰.并且也为当事人寻求个人信息救济确定了恰当的请求权基础和诉讼事由。(二)个人信息上的权益是具有财产性的人格利益数字社会中的个人信息具有天然的财产基因,但因其本质上的人格性,决定了财产基因并不必然成为法律上的权益。个人信息权益是否具有财产性,要看其财产基因是否能够得到法律确认,即个人信息在法律上是否可以财产化以及法律主体是否应当享有该财产利益。1 .个人信息在法律上可以财产化。个人信息具有外在性,合理财产化利用不会贬损人格。个人信息的人格价值建立在与个人的稳定联系之上,个人信息权益是标表性人格利益。个人信息是外在于个人的社会性认同,它是个人社会存在的利益形式体现。由于个人信息外在于个人,若利用合法合理,并不会因为财产化而使个人丧失人格的独立和完整。所谓个人信息的财产化,其本质是将内含于个人信息中的财产价值通过授权他人使用而实现,不会因他人处理信息而使得人格权益丧失。个人信息与个人的联系具有稳定性,其本体是对人的表征,信息处理针对的不是个人,而是经媒介固定后的信息,未经同意或非法获取个人信息,个人丧失的是对外化信息的控制力,但仍然享有控制其信息的人格权益。个人信息财产化更能体现个人对其信息的自由意志。“自我决定是人的主体价值的本质和核心,(32)孟勤国、牛彬彬:论物质性人格权的性质与立法原则,载法学家2020年第5期,第11页。在不贬损个人人格、不侵害个人人格权益的前提下,个人信息财产化可以扩大个人对其信息的自由范围,使其可以享有个人信息财产化后的利益,这可以更好地维护个人权益和人格尊严。2 .个人不是个人信息财产价值的唯一主体。从个人信息财产价值生产过程看,个人仅是信息财产价值的供给者而非生产者,数据价值的产生,除有个人贡献外,还有信息处理者,主要是数据生产者的劳动与智力付出,在此意义上,个人似乎难以、甚至也不应独享信息中的财产利益。个人为个人信息财产价值提供者J在大数据概念下,数据皆有源,而'源'就是数据描逑的对象或者数据主题。”(33)高富平:数据生产理论数据资源权利配置的基础理论,载交大法学2019年第4期,第16页。个人为个人信息的描述对象,是信息之源,没有源头便不会产生个人信息,更不会有后续的信息采集分析和加工利用。基于信息财产价值的形成过程,个人仅提供了信息财产价值生产的原材料,但没有原料供给,个人信息财产价值便不会产生,个人理应参与信息财产价值的分配。个人往往并非信息财产价值的生产者。个人信息中的财产价值主要源自采集者有意识的记录和搜集,而这些规模化、结构化、具有时效性的个人信息,需要采集者投入大量的资本、技术和人力才能生成。尽管个人信息天然度含了财产基因,但这种财产基因往往需要采集之后的规模化处理与加工,方能发挥与释放出更大的、更符合数据利用目的的、有针对性的效用与价值。个人信息的财产价值应该由个人与数据生产者共享。个人信息的财产价值生成是由作为原材料供给者的个人与作为数据生产者的处理者共同实现的。无论从财产分配的劳动报偿理论看,即人们有权取得自身劳动所创造的财产,还是从功利主义理论看,即法律为激励个体有效利用资源而保护财产权利,(34)参见美约翰G.斯普兰克林:美国财产法精解(第二版),钟书峰译,北京大学出版社2009年版,第14页、第18页。个人信息财产利益均不应由个人独享,因为其价值产生于数据生产者投入的智力和体力劳动,且相较于个人,数据生产者是更加高效的数据资源利用者。可以说,数据上利益结构是多重法权关系的重叠,用户和数据经营者之间、不同层次的数据经营者内部之间的权利,彼此困绕数据经济的合理关系和生态结构而布局。(35)参见龙卫球:数据新型财产权构建及其体系研究,载政法论坛2017年第4期,第73页、第76页。3 .个人信息中的财产利益配置要符合产权配置规律。个人信息可以财产化是个人与数据生产者分享信息财产价值的基础。个人信息的财产化,并非说个人应完全支配其信息财产价值,而是要符合数字社会中应然的产权配置规律。从功利主义视角看,合适的产权赋予适当的主体,可使产权指向的资源得到最大化利用,社会福利水平实现最大化均衡。只是个人信息人格权益的本质属性,决定了无论如何分配,也不应侵害个人的人格利益,这是基本底线。基于此,个人信息中的人格利益必然专展个人,但财产利益配置与人格利益归属可不遵从同样的逻辑。人格利益归于个人,这是法律的底线要求,即维护人之自由和尊严的要求;财产利益归属则应遵从市场要求,受市场规律支配。法律承认个人信息的人格价值不等于其中内含的财产利益也不证自明地归个人专有。个人信息财产化不宜比照美国法上的公开权制度,赋予个人对财产利益的绝对支配力和控制力。原因是,数字社会中的个人信息财产价值生产与传统线下社会中的姓名、肖像等公开权价值生产有本质性差异。公开权将姓名、肖像财产权益赋予个人专有的逻辑是,其商业价值来自于权利主体的创造劳动或知识产出。美国法上的公开权仅限于姓名或肖像等具有商业价值的主体,而对于姓名和肖像之外的身份标表性要素以及非名人的姓名和肖像,均持谨慎态度。(36)参见美阿丽塔L艾伦、美理查德C.托克音顿:美国隐私法:学说、判例与立法,冯建妹、石宏等译,中国民主法制出版社2019年版,第307-316页。个人信息中的财产价值与公开权恰恰相反,其价值生产主要不是来自于个人,而是来自数据生产者,即信息处理者。我国民法典第993条规定姓名、名称、肖像可以许可他人使用,未规定个人信息的许可使用制度,体现了个人信息与其他标表性人格权的不同,符合产权配置的目的和要求。三、个人信息权益归属的双重法律属性个人信息上的权益具有人格与财产双重属性,但不能就此得出个人信息权是人格权与财产权并存的二元权利。个人信息权的具体内涵与外延,取决于如何向个人以及数据生产者(个人信息处理者)分配个人信息上的法律权益,权益配置方案决定了个人与数据生产者对个人信息权益的具体控制方式以及双方权益行使的边界。(一)个人信息人格权益由个人控制且专属个人个人信息权的本质属性是人格权益,人格权的特点是利益由个人专属,且不能让渡。一般认为,关于个人信息权的权利内核大致有信息自决权与信息控制权两种学说:信息自决权说溢觞于德国的“人口普查案,而美国多将个人信息权(信息隐私)解行为个人信息控制。但二者并非亳无关联,所谓的信息自决权在德国法的语境中包含控制个人信息的思想,而信息控制也含有信息决定的内容,它们的目标一致,都是保护人的自主独立或自治。(37)参见王利明:论个人信息权的法律保护以个人信息权与隐私权的界分为中心,载现代法学2013年第4期,第63-64页;刘艳红:民法编纂背景下侵犯公民个人信息罪的保护法益:信息自决权一以刑民一体化及民法总则)第111条为视角,就浙江工商大学学报2019年第6期,第24-30页。或者说,这两个概念主要是从个人信息的人格属性出发,而较少兼顾人格权益中内含的财产权益。由于信息自决权主要是一种对抗国家的宪法上理念,难以适用于具体的民事权利,而且也易引起个人信息权是绝对支配权的误解,(38)参见杨芳:个人信息自决权理论及其检讨一薇论个人信息保护法之保护客体.我比较法研究2015年第6期,第2529页。故本文使用个人信息控制权的概念。个人信息控制与个人信息人格权益性质相契合。“个人信息控制权是人格权,源自个人信息与自然人生命、身体、健康的密切联系性,它们是生命、身体、健康的表征或符号J(39)刘士国:信息控制权法理与我国个人信息保护立法,载政法论丛2021年第3期,第83页。个人信息控制赋予个人两种能力:第一,创造个人身份特点的能力,这些身份特点用来定义自身;第二,个人事物的决策能力,尤其是与自我界定相关的事务。这两种能力事关个人对自我的认知和评价,且遹过形塑他人掌握自身信息的方式以影响他人对自我的认知。个人信息控制体现了个人的自由和尊严,与个人信息人格权权益性质相契合。(40)SeEdwardJJanger&PaulM.Schwartz,TheGramm-Leach-BlileyAct,InformationPrivacy,andtheLimitsofDefaultRules.86MinnesotaLawReview1219,1247-1248(2002).具体表现如下:1 .个人信息控制是个人对其信息享有自由意志的法律表达。欧盟GDPR规定自然人在数据处理中获得保护是一项基本权利,自然人应能控制其个人数据。(41)SeeGeneralDataProtectionRegulation(EU)2016/679,Whereas(1),(7).个人信息控制的核心是数据处理自治,即自然人同意并全面控制数据处理。正因为数据保护法的目的是保护人的基本权利,所以个人数据控制才尤为重要。意思自治是主体控制其个人信息及信息处理的重要保障。(42)SeeArticle29DataProtectionWorkingParty,GuidelinesonConsentunderRegulation2016/679,EuropeanCommission,httpsy/edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf.2 .个人信息控制并非对个人信息的绝对支配。个人可以自由决定其信息被何人使用或如何使用,但这并不意味着他人使用其信息必然构成对信息权益的侵犯。在德国,这样一种权利被视为是基本法人格权的具体化,并被称为信息自决权。没有绝对不受限制的个人信息自决权,它不是绝对的支配权,必须遵循基本权利的要求,受法律保留、授权明确以及比例原则的拘束。(43)参见同前注(2),王泽鉴书,第200页。欧置GDPR将个人信息权界定为个人数据保护权,并指出该权不是绝对的权利,需要与其他基本权利相互权衡。(44)SeeGeneralDataProtectionRegulation(EU)2016/679,WhereaS(I),(4).更为清晰的理解是,个人信息控制主要针对个人信息中的人格权益,在此意义上,个人信息需要他人的绝对尊重,个人通过控制权耒防御他人的侵害;而对于个人信息中所内含的财产价值并不享有绝对支配的权利,在人格利益得到充分尊重的前提下,则可与信息处理者共享。3 .个人信息控制所针对的人格权拉在法律上主要体现为防御权。赋予个人对其信息的控制性权能,目的是实现对个人信息在特定场合的控制与支配,进而防止个人信息被侵害。(45)参见同前注(23),程啸文,第39页。此处的特定场合,应理解为主要针对人格利拄而言。个人信息控制权是"事前"“自力”"制衡"性的防御权。个人信息控制使个人得依自己意思管理信息处理风险,有权在事前了解风险的基础上自主决策、自主判断、评估风险,决定是否将自己置于风陵之中。承认个人信息控制,也即承认个人意志较信息处理者意志具有优先性;与追责不同,个人信息控制不需要请求他人配合,不需要经过司法确认,它是自力性风险管理,个人处于积极、主动地位。在个人信息数据化利用中,信息处理者对他人信息有事实上的控制力,对作为风险承受者的个人而言,若其不能控制风险而由他人任意支配其个人信息,则是法御制度上的巨大不公。授予个人法律上的信息控制力,将有利于实现风险控制上的制衡。4 .个人信息控制使得个人能够参与信息处理决策。个人信息控制通常是由隐私的最坚强捍卫者所使用的、被认为是个人控制关千其信息流的权力C(46)参见同前注(36),阿丽塔L艾伦、理查德C.托克音顿书,第169页。个人信息控制与隐私不同,隐私是保持独处的权利,而个人信息被认为是参与性的权利。其理念是将个人置于有关个人信息使用决策的中心地位,通过个人管理信息,包括个人对信息利用的选择及与信息使用者谈判而实现信息自治.(47)SeePaulM-Schwartz1PrivacyandParticipation:PersonalInformationandPublicSectorRegulationintheUnitedStates,80IowaLawReview553,555(1995).