论网络时代个人信息财产权的保护

[提　要] 文章提出了网络化背景下，个人信息财产权的保护问题。主要分析了确立个人信息财产权的必要性，并且对个人信息财产权的保护提出了一些设想和看法。

[关键词] 个人信息；财产权；保护

[作者简介]许红缨（１９６５—），女，江西师范大学教授；余　翔（１９８８—），女，西北政法学院民商法研究生。（江西南昌　３３００２７）

随着互联网的普及，个人信息保护已经不是只涉及某些少数人的个别问题，而是关系到普通公众切身利益的社会问题。个人信息遭到不当收集、恶意使用、大肆篡改等，致使个人的生活秩序被扰乱，甚至危及其生命、财产的安全。仅从媒体曝光的相关事件不难看出，利用个人信息从事非法获利活动已经形成了一条的黑色链条。如何在互联网上保护个人隐私、个人信息权？许多发达国家很早已开始个人信息的保护研究和立法工作，我国近年来也启动了个人信息保护的相关工作，遗憾的是，２００５年《个人信息保护法》专家意见稿就已经提交，但一直未能进入正式的立法程序。工业和信息化部日前正式宣布，《信息安全技术公共及商用服务信息系统个人信息保护指南》编制完成，现正按照国家标准审批程序上报国家标准化管理委员会批准。这个个人信息保护的首个国家标准，也是首个用来规范企业的行业标准，或许能对正处在舆论风口浪尖的个人信息保护带来一定影响。但就效果而言，个人信息保护需有一个行业准则，更需要健全的法律体系做保障，才能真正构筑起一道安全屏障，从而建立起个人信息全流程保护的长效机制。因此，笔者认为在网络时代背景下探讨个人信息权的保护，明确个人信息财产权的独立法律地位十分必要。

一、网络时代个人信息保护面临的问题

（一）个人信息商业化

个人信息是指任何表明自然人身份或对其进行描述的任何信息，是可以与某特定个人相关的信息，包括姓名、性别、年龄、血型、健康状况、人种、工作职衔、地址、工号、社会保障号、保险单号码、账户号、订单号等可以直接或间接识别该个人的资料。笔者为了方便下文阐述，将个人信息按照能否直接识别出主体身份分为直接个人信息和间接个人信息。前者是指能够直接体现信息主体的人格利益进而可以识别出主体的信息，包括姓名、肖像或声音等；后者是指那些与个人身份无直接关系，不能单独识别需要结合其他信息方能识别自然人身份的信息，包括电子邮箱地址、电话号码等。个人信息商业化又称个人信息商品化，是指把个人信息当做商品来买卖或者交易。现实生活中的名人代言便是其代表。但是，个人信息的商品化并不局限于自然人的姓名、肖像、声音等直接个人信息，手机号码、电子邮箱、聊天记录等间接个人信息也凸显出其潜在的商业价值，成为商家竞相逐利的对象。网络改变了我们的生活方式，拉近了我们彼此间的距离，使得我们在浑然不觉中成为了生活的“秘密被动公开的透明人”，[１]个人信息的收集、加工和利用随着网络的高速发展而愈加高效便利，个人信息作为商品交易将成为信息时代一个重要的产业。但是，随之而来的一系列问题也应运而生：中国移动“甩卖”用户个人信息，“全国老板手机号码”、“身份证复印件”等个人信息被泄露事件的发生，说明个人信息的保护和合理利用成为重要问题。一方面，商家采用发放传单、填写注册信息等低廉成本手段收集个人信息而获得高额利润；另一方面，信息主体不仅要忍受“信息炸弹”的侵害，还要面临个人信息商业价值被商家无偿占有的无奈。而目前我国立法对个人信息的保护力度甚微，甚至完全忽视了个人信息中的财产利益，这不仅不利于保护个人信息的安全，而且使人们对市场经济交易和电子商务产生信任危机进而影响信息产业的健康发展。

（二）我国对个人信息财产权的保护

理论上，我国不少学者对个人信息的财产价值保护主要持人格权保护说。主张在人格权体系内部解决个人信息的商业化带来的财产利益问题，即将个人信息纳入人格权保护制度。学者们将这些包含有财产属性的人格权称为“新人格权”、“二元人格权”、“商事人格权”、“经济人格权”等。持该说的学者认为，个人信息产生的商业价值源于主体的姓名、肖像等人格权，因而把这种财产利益放入人格权的保护中。而我国现行法律对个人信息的财产利益的保护也采用了此保护模式。如《民法通则》规定，公民享有姓名权、肖像权和名誉权；公民的姓名权、肖像权、名誉权、荣誉权受到侵害的，有权要求停止侵害，恢复名誉，消除影响，赔礼道歉，并可以要求赔偿损失。可以看出，我国立法对个人信息财产利益的保护限于姓名、肖像、名誉等直接个人信息，并且立法倡导的是“可以要求赔偿损失”，也就是说赔偿损失并不是必须的。实际上一旦遇到个人信息泄露事件，人们首先想到的是这种滥用个人信息的行为侵犯的是隐私权。２０１０年７月１日实施的《侵权责任法》第二条正式将隐私权独立列出，将之和姓名权、名誉权、肖像权等民事权益并列为侵权法的保护客体，《侵权责任法》第１５条规定：“承担侵权责任的主要方式有：（一）停止侵害；（二）排除妨碍；（三）消除危险；（四）返还财产；（五）恢复原状；（六）赔偿损失；（七）赔礼道歉；（八）消除影响、恢复名誉。”这似乎确认了个人信息保护的损害赔偿机制，但事实上，“隐私是与公共利益无关的个人私生活秘密方面的事宜”。[２]个人信息与个人隐私概念不能等同：第一，个人信息与隐私的内容范围有重合之处，关于个人信息中不为公众所知悉的部分即是个人隐私；第二，个人信息与隐私的内容不完全相同，隐私信息主要是指个人不愿向外透露的信息或者处于个人敏感不欲为他人所知的信息，重在保护个人的秘密空间；而个人信息的概念则侧重于“识别”，即通过个人信息将个人“认出来”。因此，个人信息是个人隐私的上位概念，其范围远比个人隐私要大，个人隐私仅相当于个人信息权中的体现人格利益的部分。笔者认为，新人格权说是在以“所有的个人信息都具有人格利益”为前提下提出的，而诸如手机号码、电子信箱等间接个人信息并不直接涉及人格利益，因此必然有一些问题难以解释和解决：如个人信息人格权中的财产利益如何在现实生活中得以转让和继承?芽法律为何要区分人格利益和财产利益，“直接”与“间接”、“主要”和“次要”的信息又如何划分？与个人人格利益无涉的间接个人信息产生的财产利益又将如何解决等等。所以，把个人信息中潜在的商业利益当做是个人信息人格利益的附庸是值得商榷并且是不切实际的。

二、个人信息财产权的法律地位

如前所述，在人格权保护的桂冠下个人信息商业化带来的财产价值就无法得到真正保护，因此笔者认为确立个人信息中独立财产权的法律地位是十分必要的。因为所有的个人信息都具有潜在的商业价值，需要对其财产权给予保护。

（一）基于对权利客体、权利对象的重新审视，应当赋予个人信息独立的法律地位

在我国，一般认为，“权利客体是权利义务所指向的对象，即民事权利利益的载体。其中，物权的客体是物，债权的客体是行为，知识产权的客体是智力成果，人格权的客体是人格利益”。[３]笔者认为这种观点值得商榷。事实上，权利客体是一个抽象概念，而“载体”和“对象”却是一个具体的范畴，把抽象的“权利客体”说成是具体的“权利所指向的对象”和“民事权利利益的载体”，想必是把具体混同抽象了。按照这种把权利对象等同于权利客体的逻辑，则一个具体的对象上只能对应一种利益（权利客体），权利对象要么体现为财产利益，要么体现为人格利益；同时兼具两种利益的权利对象是不存在的。拿笔者讨论的个人信息来说，人们最早认识到的是它的人格利益，因此把它划入人格权的保护之中。随着网络信息时代的到来，个人信息的财产价值日益显现，那么还把其财产利益归在人格利益的保护之列就保护不了了。这种混同权利客体和权利对象的做法，只能是体现人格利益的直接个人信息受到人格权的保护，而其财产价值被忽略；而间接个人信息因其与人格利益不相关，连人格权保护也无法得到保护，更不用谈财产权的保护了。笔者认为，权利对象是一个具体的范畴，往往表现为物、行为、个人信息等；权利客体是一个抽象的概念，它体现为一种利益。两者不可混淆。一种具体的权利之所以区别于另外一种权利就在于权利客体不同，换言之，同一客体上只能存在一种权利。但是同一对象上也完全可能存在两个不同的利益，如纪念物、个人信息等，既体现人格利益又体现财产利益，也就是说同一具体对象上可以存在两个不同的客体，体现两种不同的权利。这样，体现人格利益的给与人格权保护，体现财产利益的给与财产权保护，两者兼具的就要给予双重保护。于个人信息而言，因为所有的个人信息都具有潜在的财产价值，那么对于体现人格利益的直接个人信息就要给与财产权和人格权的双重保护，对于间接个人信息只需要给与财产权保护。这样一来，个人信息按照体现人格利益与否而分别给予不同的保护，既不会让间接个人信息因无法置于人格权之下而得不到有效保护，也不会忽略了直接个人信息中的财产利益而对其的保护仅停留在赔礼道歉、恢复原状等非财产权保护方式之下。

（二）赋予个人信息独立的财产权地位可以解决个人信息商业化带来的交易转让问题

“人格权是主体所固有的、不可剥夺、不可抛弃、不可转让且没有财产属性的消极性或防御性权利”[４]，如果单纯地把个人信息置于人格权的保护之下就无法实现个人信息的正常交易，个人也无法获得财产价值的赔偿。网络的发展催生了信息产业的繁荣，对于网络时代带来的个人信息商业化现象，法律要做的不是单纯的给予否定或肯定的评价，而是应该充分发挥其调整作用。确立个人信息财产权的独立法律地位，不仅可以促进信息产业的繁荣，而且能使个人信息获得较全面的保护。

（三）信息主体享有信息的财产权是对个人信息财产权进行保护的前提

个人信息标识的是关于主体自身的信息，如果由商家占据着它的财产价值，那么个人始终处于弱势方，无法平等地与之进行协商。确立个人信息财产权，既可以增加个人与商家进行谈判的筹码，实现交易的公正、公平，也能较好地保护个人隐私及人格利益。

三、建立个人信息财产权保护的构想

（一）个人信息财产权保护的主要措施

１．使用Ｐ３Ｐ协议

Ｐ３Ｐ协议，又称隐私偏好设定平台，是专门对于网络化时代保护个人信息的新技术。它的工作方式为：安装了Ｐ３Ｐ软件的用户可以将他的个人隐私偏好以及使用范围、报酬、责任等设定在该软件的选项中，一旦设定，该软件将和用户的浏览器程序一同运行，每一个受访的站点都会发送某种提议到用户的电脑中，这个提议包括了网站需要用户提供的个人信息以及对这些信息所作的处理，如果该站点的信息收集行为同用户在Ｐ３Ｐ中设定的标准相符，则会自动缔结协议，否则将会以红绿灯的简单方式提醒用户，让用户自己来决定是否修改选项或放弃访问该站点。该技术还在其内部设置了一个仲裁小组以解决网站的行为违背个人的承诺时产生的纠纷。在这种技术下，个人能够明确且及时了解个人信息的使用情况，对个人信息的保护具有快捷性、安全性和可操作性。

２．使用信息编码

笔者这里所提出的信息编码就是将姓名、身份证号码、手机号码、电子邮箱等一些重要的涉及个人信息财产安全的信息设置成象商品包装上的条形码之类的符号。具体来说，就是把信息主体发起或授权提交包括姓名、身份证号、手机号等相关个人信息，经权威数据库核查比对后，生成一个没有含义、用户专属的保护号码，是个人身份信息集合体的虚拟化表现。这样一来，信息主体始终是个人信息的所有者和知晓者，其他商家若要利用个人信息，则需要经过主体的明确授权并从专门的信息编码保护中心获得号码后才可使用。

（二）侵犯个人信息财产权的救济

１．侵犯个人信息财产权的实体法救济

（１）侵犯个人信息财产权的认定。这里强调的主要是不要把侵犯个人信息财产权的构成要件和承担赔偿责任的构成要件混为一谈。侵权行为并不一定要承担赔偿责任。笔者认为，只要未经主体的明确授权对个人信息进行商业化利用就构成侵权行为，因为个人信息财产权是一种绝对权。一旦发现就应该要求其立即停止，但要追究其赔偿责任时才要考虑权利人所遭受的损失及收益与损失之间的因果关系等要件。

（２）侵犯个人信息财产权的责任承担方式

关于责任承担问题，侵权行为所侵害的是财产利益而非人格利益，因此不能适用赔礼道歉、精神损害赔偿等人格权保护方式，一般适用停止侵害、恢复原状、赔偿损失等方式。其中，确立损害赔偿机制是侵犯个人信息财产权的题中之义，这样不仅可以加大侵权成本以减少侵权行为，而且还可以使信息主体获得更全面和实际的保护。因个人信息商业价值的不确定性，笔者认为《侵权责任法》规定的关于产品责任的惩罚性损害赔偿机制是最具借鉴意义的。

２．侵犯个人信息财产权的程序法救济

（１）适用简易诉讼程序。简易诉讼程序为民众提供的一种简便高效的司法救济形式，具有立案数额低、程序简易、审理高效等特点，对个人信息财产权的保护可以采用此程序，因为个人信息侵权行为具有易发性和频繁性，关系明确，认定事实容易。适用该程序不仅能有效保护信息主体的利益，而且有利于维护信息交易市场的高效健康运转。

（２）建立在线仲裁机制。仲裁制度本身就具有纠纷解决方式和适用规则的灵活性、争端处理的高效性、纠纷解决的经济性等特点。面对网络日益普及化的今天，在线建立一个仲裁服务中心，既可执行网络监管职能，又能在线解决网络纠纷，还可提高信息交易的效率，是一举多得的好措施。

总之，网络时代承认和保护个人信息的财产权是我国法律亟待解决的问题。

[参考文献]

[１] 周汉华．谁都可能成为透明人[Ｊ]．现代交际，２００５，（１０）．[２] 梅绍祖．个人信息保护的基础性问题研究 [Ｊ]．苏州大学学报(哲学社会科学版)，２００５，（２）．[３] 梁慧星．民法总论[Ｚ]．法律出版社，２００１．[４] 王利明．人格权法研究[Ｍ]．中国人民大学出版社，２００５．