個人信息的憲法財產權保護

謝立斌，李 藝

（中國政法大學a.中德法學院；b.法學院，北京100088）

一、引言與文獻述評

隨著信息技術的飛躍發展，人類步入信息時代。以個人電腦、智能手機為代表的各類電子產品以前所未有的速度和廣度時時刻刻記錄個人生活留下的物理和電子痕跡，形成大量個人信息。個人信息的濫用構成巨大的風險，這促使各國高度重視個人信息保護。目前學術界較為一致的觀點是，個人信息具有重大經濟價值，是信息經濟中最重要的資源之一。但是，對于個人信息中經濟價值應當如何分配，學術界尚未達成一致，目前主要存在以下幾種觀點。第一，信息的經濟價值應當歸屬企業所有。例如，有學者依據“數據生產”理論，認為數據或者信息中的經濟價值是由企業所生產、創造的，因而應當由企業來享受個人信息中的經濟價值（高富平，2019）；還有學者根據產權安排的成本—收益分析認為，如果將數據產權劃分給消費者，那么成本和收益的分析都將不復存在，相反如果把數據產權劃分給企業，卻能通過較小的成本獲得較大的收益（陳永偉，2018）；還有學者以法經濟學產權確立的四個基本規則為基礎，認為無論是根據先占規則、附屬規則或是創造規則，企業都應當擁有個人數據產權，而公平規則在這里并不適用，并不能基于公平的考量而將個人數據產權賦予個人(張玉屏,2021）。[1-3]第二，信息的經濟價值應當歸屬個人所有。例如，有學者認為應當賦予個人信息財產權，使個人能夠支配其信息蘊含的商業價值(劉德良,2007)；還有學者則指出，個人應當基于對其信息的人格利益而進一步享有其信息中的財產利益，即，個人信息中的經濟價值應當劃歸于個人而享有(任丹麗,2021)；還有學者提出，盡管數據信息的共享已經成為大勢所趨，但是共享中的數據信息的權利仍然應該歸屬于信息權利人個人所有，未經信息權利人的同意，信息共享的行為不得實施(王利明,2019）。[4-6]第三，企業和個人分享信息的經濟價值。例如，有學者將信息數據劃分為“敏感個人數據”與“普通個人數據”兩種類型，將“敏感個人數據”中的經濟利益分配給公民個人所有，將“普通個人數據”中的經濟利益配置給企業和個人共同共有(黃锫,2021)；還有學者將數據信息劃分為基礎數據和增值數據，認為基礎數據中的經濟利益應當歸屬于用戶個人所有，而增值數據中的經濟利益則應當歸屬于企業所有(丁道勤,2017)；還有學者認為應當首先遵循“捕獲規則”將信息的經濟利益分配給數據企業，然后再遵循“關聯規則”將敏感信息的經濟利益分配給公民個人(許可,2018）。[7-9]學者們之所以持有這些不同觀點，歸根結底源自研究方法和研究視角的差異。鑒于個人信息中的經濟價值可能觸發多方主體之間的沖突，為了定紛止爭，立法應當對于相關經濟價值的分配做出妥善安排。那么，立法者應當依照何種原則決定個人信息之上經濟利益的歸屬，應當采取何種保障路徑呢？憲法對此提供了基本的價值指引。據此，本文嘗試從憲法層面探討個人信息的經濟價值的分配問題，之后對中國實證法層面的相關規定進行考察，最后從法政策學角度提出未來立法的完善方向。

二、個人信息的經濟價值及其歸屬

（一）個人信息的經濟價值

所謂個人信息，就是指那些能夠識別個人身份的信息。從兩個方面來看，個人信息具有重大經濟價值（楊惟欽，2016）。[10]

一方面，人類社會步入信息經濟時代之后，大數據具有廣泛用途，已經成為信息經濟時代的關鍵資源，而個人信息在不同程度上構成大數據的組成部分，從而也就具有相應經濟價值。例如，電子地圖經營者通過收集、整理車輛行駛的實時速度，能夠根據實時路況信息提供躲避擁堵的導航服務，創造新價值；企業對自己的客戶群體進行分析，可以歸納客戶群體的特征，并利用這些特征識別潛在客戶群體，對其進行針對性的高效營銷，甚至通過互聯網誤導行為促進其做出并不理性的消費決策（段澤孝，2019）。[11]諸如汽車行駛數據、實時行駛速度、客戶群體信息等的大數據中在不同程度上包含了個人信息。既然大數據具有經濟價值，那么，作為其組成部分的個人信息也就具有相應的經濟價值。

對于這一結論可以提出兩種質疑。首先，人們可以主張，大數據經過挖掘之后產生的增值數據才具有經濟價值，大數據本身并沒有經濟價值，因此，作為大數據組成部分的個人信息也就沒有價值。固然增值數據才具有直接的經濟價值，但是，如果沒有用于挖掘的大數據，增值數據就成為無源之水、無本之木，根本無從產生。在這種意義上，大數據可以視為某種原材料，增值數據則是對這種原材料進行加工之后形成的最終產品。只要最終產品是有價值的，那么，原材料也就具有相應的價值。其次，在承認大數據本身具有經濟價值的前提之下，人們可以繼續質疑作為其組成部分的個人信息具有經濟價值。大數據中通常包含大量用戶的個人信息，單個用戶的個人信息在海量數據之中只是滄海一粟，其相應的經濟價值可以忽略不計。這種看法看似有一定合理性，實際上也不成立。大數據只要是包含了任何人的個人信息，那么，其個人信息作為大數據的組成部分，也就具有相應的價值，而無論這一價值是多么微乎其微。

另一方面，無論個人信息是否構成特定大數據的組成部分，都具有獨立的經濟價值，可以通過各種方式、在各行各業中得到商業利用。對企業而言，商業成敗的一個關鍵因素就是找到潛在客戶并進行適當的區分對待。為了甄別潛在客戶，企業需要收集非客戶群體的個人信息并進行分析，判斷其是否符合已有客戶群體的特征。如果符合，則意味著可以嘗試通過各種營銷手段將其發展為自己的新客戶。在找到潛在客戶之后，企業為了規避風險，追求利益最大化，還需要繼續依賴潛在客戶的個人信息，進行適當區分對待。在一些行業中，企業必須挑選其顧客，以降低和規避風險。例如，對于金融機構而言，向信用良好、還貸能力強的個人提供貸款才能夠盈利，向信用不佳者提供貸款可能帶來巨大損失。即便在其他一些按照一手交錢一手交貨模式進行交易的行業中，顧客個人信息仍然具有不可低估的價值。這些企業只有基于顧客的個人信息來區分產品的受推崇程度，才能夠在產品設計、廣告宣傳等方面重點關注忠實追隨者，按照其喜好設計產品，隨時向他們發布最新產品信息，促使其進行購買。

（二）個人信息經濟價值的歸屬：一個新問題

數據企業大規模收集個人信息并將其用于盈利是一個新現象，尚不存在調整個人信息經濟價值歸屬的法律規則。在實踐中，數據企業憑借其技術優勢，往往直接收集用戶的個人信息并將其用于盈利。這種事實上的利益分配格局有利于數據企業，并為其所贊同。然而，從實然不能夠導出應然，現有實際做法是否具有正當性，有待澄清。對于任何一項經濟利益，都應當存在明確的歸屬規則，以避免爭議，并在爭議出現時予以妥善解決。有鑒于此，立法者應當積極作為，改變在這個領域無法可依、放任事態發展的局面。由于尚不存在相關法律規范，立法者不必考慮與相關法律的銜接問題。立法者具有保障憲法實施的職責，必須確保法律的合憲性，因此，立法者主要應當考察憲法上的相關規定，在憲法框架內確定個人信息經濟價值的歸屬。

三、憲法視野下的個人信息經濟價值歸屬

立法者規范個人信息經濟利益歸屬時，應當關注所有相關憲法條文可能提出的規范要求。對憲法全文進行梳理之后，本文認為，中國憲法上的社會主義制度、按勞分配制度、對經濟發展的規定以及平等權條款可能提出了相關規范要求。下文圍繞這些憲法規范，逐一進行考察。

（一）社會主義制度

社會主義制度作為中國的根本制度，具有豐富而深刻的內涵。其中，維護社會公平正義是社會主義的核心理念之一（韓大元，2019）。[12]為了追求社會公正，公權力應當限制強者，扶持弱者，調和社會對立。為此，立法者在規范數據企業和信息主體之間關系的時候，應當關注兩者之間的力量對比，避免其失衡。

毋庸置疑，數據企業相對于信息主體在多個方面明顯處于優勢地位。首先，兩者之間信息嚴重不對稱，這就使得數據企業在與用戶的關系中處于“知己知彼”的狀態，能夠最大程度上追求自己的利益。具體而言，在用戶上網、使用各種服務時，數據企業通過賬號、IP地址等方式，通常能夠識別并跟蹤用戶身份，對其瀏覽和消費等行為進行記錄，形成用戶檔案。通過其收集的用戶個人信息，信息主體得以了解用戶，其了解程度甚至可能超過用戶對自己的了解。相比之下，信息主體往往并不知道數據企業收集個人信息的方式和規模，也不能確切知悉其個人信息被利用于何種目的，更談不上采取針對性的策略（例如通過使用無痕瀏覽、隱藏IP地址等方法防止數據企業識別自己的身份）防止自己的個人信息被收集。其次，信息經濟的一個典型現象是眾多領域都出現少數企業瓜分市場、甚至一個企業一家獨大的情況，在這一背景之下，用戶并不享有在眾多競爭者之間進行選擇的自由，而往往只能接受特定數據企業的服務，或者得不到相應的服務。面對往往具有壟斷地位的數據企業，用戶并不具備相對平等的議價能力。企業利用其優勢地位在交易中規定不合理條件的，用戶往往也只能接受，以免自己根本得不到相應服務。

鑒于數據企業相對于信息主體的明顯優勢地位，國家應當對前者進行限制，對后者予以扶持。就個人信息之上的經濟利益而言，如果立法者確認由數據企業享有這一利益，那么無疑將增強其優勢地位。由此可見，為了維護社會公正，立法者應當將個人信息之上的經濟利益賦予信息主體，而不是賦予數據企業。

（二）按勞分配制度

個人信息經濟價值的歸屬歸根到底是一個分配問題，應當遵守憲法確立的分配制度?！吨腥A人民共和國憲法》（以下簡稱《憲法》）第6條第2款規定了“按勞分配為主體、多種分配方式并存的分配制度”。在多大程度上進行按勞分配，對收入平等狀況產生影響。有實證研究表明，中國過去二十年來，勞動收入份額上升，則收入更加平等，勞動收入份額下降，則收入更加不平等（湯燦晴和董志強，2019）。[13]就此而言，這一分配制度在立法和司法層面得到了具體化。在立法上，《中華人民共和國勞動法》等多部相關法律保障勞動者權益；一些專門法律則對一些特別類型的勞動成果提供保護。例如，通過在《中華人民共和國著作權法》中規定文學、藝術和科學作品作者享有相關權益，立法者在著作領域貫徹了按勞分配制度。在司法層面，法院適用相關法律來保護勞動者的權益，執行按勞分配制度。

洛克（2007年版）認為，在上帝給予人類的、為人類所共有的東西中，只要個人使任何東西脫離自然狀態，他就已經摻進他的勞動，因而使它成為自己的財產。通過勞動，個人就使得一件東西脫離了自然所安排給它的一般狀態，從而排斥了其他人的共同權利。[14]

相比之下，數據企業以創造物質財富為目的，利用現代科技手段記錄各種個人信息，并對其進行大數據分析、挖掘和利用，最終創造出新的經濟價值。顯而易見，數據企業的行為是符合前述勞動定義的，因此，個人信息的經濟價值似乎就屬于數據企業（牛彬彬，2020）。[15]然而，這種觀點也與洛克的勞動價值論相沖突。洛克（2007年版）討論的是人們如何能夠把人類共有的東西變成自己的財產，在他看來，世界是人類共有的，由勤勞和有理性的人們利用，而勞動就使人取得對土地和其他共有的東西的權利。任何人只能對原來人類所共有的東西據為己有，而不能通過勞動來獲得他人所有的東西。[14]按照這種看法，只有在自然人的個人信息由人類共有的情況下，企業才有權進行收集并使其成為自己的財產。那么，人們的個人信息是否為人類共有呢？洛克（2007年版）在其所處時代不可能對此展開探討，但明確指出個人對自己的人身享有所有權，除他以外的任何人都沒有這種權利。[14]本文認為，個人信息構成人身的延伸，原則上應該和人身一樣歸個人所有。退一步而言，即便我們暫時放棄個人信息歸個人所有的觀點，無論如何，個人信息不可能屬于全人類所有，否則個人不可能有任何隱私，這無疑將違反最基本的常識。由此可見，由于個人信息并非人類共有的東西，數據企業并不能夠依照洛克的勞動價值論，基于其收集和利用行為而獲得相應的權利。

綜上，從按勞分配的視角看，個人的日常行為不構成作為分配依據的勞動，個人不能基于自己的日常行為而享有個人信息之上的經濟價值。對企業而言，其只能通過勞動，將屬于人類共有的東西變為自己的財產，鑒于個人信息并非為人類所共有，因此，企業收集個人信息的行為并不導致其獲得相關權益?？梢?，從憲法規定的分配制度中，得不出個人信息的經濟價值應當歸屬于哪一主體的結論。

（三）經濟發展

促進經濟發展是國家應當追求的一個重要目標，這在《憲法》文本中有多處體現：序言第七段規定要發展社會主義市場經濟，把中國建設成為富強、民主、文明的社會主義國家；憲法第一章第7、8、11條分別規定國家保障國有經濟的鞏固和發展，鼓勵、指導和幫助集體經濟的發展，鼓勵、支持和引導非公有制經濟的發展。此外，第一章第14條規定國家發展社會生產力；第二章所規定一系列社會基本權利保障水平的提高，也以經濟發展為前提。鑒于促進經濟發展的憲法目標對所有公權力行為有拘束力，立法者作為公權力行使者，應當確保法律規定有利于這一目標的實現?；谶@一原理，在規范個人信息經濟價值歸屬時，立法者應當采取最有利于經濟發展、更有利于信息經濟發展的制度設計。

如果在個人信息之上設立財產權益并將其賦予數據主體，則將導致兩個問題。（1）由于數據企業只有經過用戶同意之后才能夠獲取并利用個人信息，在用戶不同意的情況下，個人信息無法流通到數據企業，后者巧婦難為無米之炊，也就無法創造社會財富，而這又進一步減損了個人信息原本具有的價值(紀海龍,2018）。[16]（2）即使在用戶同意、個人信息能夠流通到數據企業的情況下，這種制度安排使得企業需要承擔額外成本。這一成本包括支付給數據主體的對價以及交易成本。在成本增加的情況下，數據經濟的發展將受到影響。特別需要指出的是，如果數據企業支付給用戶的對價，只是一個社會內部的分配問題，并不增加或者減少社會財富的總量，那么，數據企業承擔的交易成本，則直接導致社會財富總量的減少。根據科斯定理，交易是有成本的。為了提高資源分配效率，應當將資源分配給最能夠對其進行高效利用的主體，從而使得整個社會節約相應的交易成本。根據這一原理，如果直接將個人信息的經濟價值分配給數據企業，則數據企業無須與數據主體進行交易，從而使得數據企業、也就是整個社會無須支付交易成本。相反，如果將相關權益賦予個人，則數據企業首先需要與個人進行交易，從而間接使得整個社會來承擔（本來可以避免的）交易成本。

由此看來，為了使個人信息這一生產要素得到有效利用，促進數據經濟的發展，避免交易成本，個人信息的經濟權益應當賦予數據企業來享有，即應當允許企業在未經用戶同意的情況下直接進行個人信息的收集和利用，以此促進經濟發展。

然而，上述分析沒有全面考慮社會財富創造過程中的所有成本，得出的結論并不正確。只有在社會整體的產出大于成本的情況下，才產生新的社會財富。在判斷產出是否大于成本時，應當將所有社會成員承擔的所有成本統計在內，而不能只限于關注企業承擔的成本。就數據企業利用個人信息進行的精準廣告投放、甚至進行互聯網誘導行為而言，在評估其對社會財富增長的貢獻時，應當將企業、用戶和公眾等所有主體承擔的所有成本考慮在內。前述分析只考慮數據企業所承擔的成本，而忽略了用戶和公眾承擔的成本。對個人而言，在其個人信息泄露之后而收到的定向郵件、電話、手機短信推銷和電腦彈出廣告，往往構成極大的干擾。不堪其擾的用戶往往投入時間精力學習如何防范定向廣告，甚至付費購買防止騷擾廣告的服務。由此可見，如果允許企業免費收集和利用用戶的個人信息，雖然能夠為企業本身帶來經濟收益，但這種模式只是將成本轉嫁給用戶和公眾，其對社會財富增長的貢獻是存疑的。從這個角度來看，允許企業無償使用他人個人信息的商業模式存在嚴重的外部性問題，即企業享有全部收益，但是沒有承擔全部成本。為了解決這個問題，唯一的辦法就是外部成本的內部化，即明確由信息主體享有其個人信息的經濟利益，從而使得企業必須支付對價才能夠利用他人個人信息。通過這一機制，就能夠確保企業承擔所有成本。從社會整體的角度來看，只有在企業支付對價之后仍然能夠實現盈利的情況下，才增加了整個社會的共同財富。當然，將個人信息的經濟權益賦予數據主體的確會導致交易成本的增加。然而，鑒于直接將相關權益賦予數據企業的情況下，將導致數據經濟行業的野蠻生長，對個人權益產生過大消極影響，因此，兩害相權取其輕，增加由整個社會承擔的交易成本，仍然是合理的。

（四）平等原則

從基本權利的角度來看，應當關注憲法平等條款提出的規范要求?！稇椃ā返?3條第2款規定公民在法律面前一律平等，這既保障了公民的一項基本權利，同時也確立了公權力應當遵守的一項重要憲法原則。平等條款要求國家對實質相同情況同等對待，對實質不同情況進行區分對待。當然，世界上沒有兩片完全相同的樹葉，任何兩種情況之間必然存在差異。判斷兩種情況屬于實質相同或者不同情況，關鍵在于有關差異在具體語境中是否具有法律意義；如果答案是否定的，兩種情況就是實質相同的，應當相同對待；相反，如果有關差異具有法律意義，則相關情況屬于實質上不同情況，應當區分對待?；谶@一原理，下文分析個人信息分別與肖像、與商業秘密是否屬于實質相同情況，是否應當予以相同處理。

個人信息和肖像是否屬于實質相同情況？兩者無疑都可以用來盈利：數據企業利用個人信息進行大數據挖掘而產生增值數據、發布定向廣告，得以實現經濟利益；傳統企業使用他人肖像用于廣告宣傳，可以提高產品知名度，提高營銷業績。由此看來，兩者都具有經濟價值，在這一點上兩者具有共同點。與此同時，兩者之間也存在一些差異。首先，肖像是一種特別的個人信息，個人信息包括但不限于肖像；其次，實踐中通常只有名人的肖像才具有廣告價值，肖像權實際上只構成對名人的保護；最后，名人肖像權的經濟價值較高，而普通用戶的個人信息通常只具有較低價值。那么，這三點差異是否構成本質上的差異，使得個人信息和肖像應當區分對待呢？（1）肖像和個人信息之間的種屬關系恰恰表明，肖像和其他個人信息之間并不存在性質上的差異，而只是在類型上的差異。（2）如果只保護肖像而不保護其他信息，則事實上只對名人提供保護，這并不符合法治文明發展進程中越來越多主體享有權利的發展規律。（3）肖像和個人信息雖然在經濟價值大小上存在差異，這一差異只是程度上的差異，并非實質上的差異。這一程度上的差異沒有法律意義，無論個人肖像和其他個人信息的經濟價值大小，都應當受到平等保護。

繼續分析個人信息和商業秘密是否構成實質相同情況，應當予以相同處理。企業的商業秘密、信息主體的個人信息都具有經濟價值，在這一點上兩者是相同的。兩者之間主要存在兩個不同之處。首先，企業商業秘密的價值通常遠遠高于單個信息主體的個人信息的價值。不過，這種區別只是程度上的區別，并非性質上的區別，因此并不導致個人信息和商業秘密具有本質差異；其次，商業秘密通常并不具有人格維度，而個人信息則與個人人格密切相關。從這一點上能夠推導出一個結論，即對個人信息應當提供更強的保護，而不是在更低水平上給予保護。由此看來，既然企業可以享有商業秘密的經濟價值，信息主體也應當可以享有其個人信息的經濟價值。

總之，個人信息與自然人肖像之間、與企業商業秘密之間具有較多相同之處，有關差異并非實質上的差異。既然肖像和商業秘密的經濟利益都歸肖像權人和商業秘密持有人所有，那么，根據平等原則，個人信息的經濟價值也應當歸信息主體所有。

四、實證法的不足

以上研究表明，從按勞分配制度進行分析，不能夠得出明確的結論；從社會主義制度、經濟發展和平等原則的角度來看，應當將個人信息的經濟價值分配給信息主體。憲法上的這一要求應當在實證法上予以落實。下文考察現有實證法是否能夠保障信息主體享有其個人信息的經濟價值。盡管《中華人民共和國民法典》（以下簡稱《民法典》）專章對個人信息的保護做出了規定，但是由于其并沒有對個人信息的權益歸屬做出明確安排（程嘯，2020）。[17]因此，在中國現有的法律秩序中，對個人信息經濟利益的保護仍然需要依靠人格權法和合同法的具體規則來予以落實。下文分別對人格權法和合同法對個人信息的經濟利益的保護進行考察。

（一）人格權法

相關法律和最高人民法院司法解釋在一定程度上對個人信息的經濟價值提供了保護?！吨腥A人民共和國侵權責任法》（以下簡稱《侵權責任法》）第20條規定數據企業擅自收集和使用用戶個人信息的行為可能構成對人身權益的侵害，從而觸發賠償責任。最高院發布的兩個司法解釋，對這一問題做出了更為具體的規定。2001年《最高人民法院關于確定民事侵權精神損害賠償責任若干問題的解釋》規定了在什么情況下人民法院應當判決侵權者承擔精神損害賠償責任。根據該解釋第8條規定，在因侵權致人精神損害，造成嚴重后果的，人民法院可以判令侵權人賠償精神損害撫慰金。這一規定所體現的思路，在2014年通過的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12條中得到了進一步的具體化。該條規定：“網絡用戶或者網絡服務提供者利用網絡公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息，造成他人損害，被侵權人請求其承擔侵權責任的，人民法院應予支持?！备鶕@一規定，公開個人隱私和其他個人信息并造成他人損害的，構成侵權，應當承擔侵權賠償責任。綜合《侵權責任法》和以上兩個司法解釋的規定來看，數據企業公開用戶個人信息造成財產或者精神損害的，應當承擔賠償責任，相關法律和司法解釋的規定為個人信息的經濟價值提供了一定的保護。

然而，這種保護存在重大不足?！肚謾嘭熑畏ā芳吧鲜鰞蓚€司法解釋對侵權責任規定了嚴格的要件。根據2014年司法解釋，只有數據企業公開個人信息，并且造成損害，才承擔侵權責任。換言之，企業只要不公開個人信息，即便造成了損害，也不用承擔侵權責任。在信息經濟的經營模式中，企業并不通過公開他人個人信息來盈利，而是通過向用戶發布定向廣告等方式來利用個人信息并獲得盈利。根據2014年司法解釋的規定，大量利用個人信息的行為并不構成侵權，不承擔侵權責任，這就使得數據企業在很多情況下可以無償利用用戶的個人信息，而不用付出任何經濟代價。這一制度安排的不足，充分體現在2015年“北京百度網訊科技公司與朱燁隱私權糾紛案”中。該案中，朱燁發現北京百度網訊科技公司記錄和跟蹤其搜索的關鍵詞，之后對其瀏覽的網頁進行了廣告投放，朱燁訴諸法院，主張后者的行為侵犯了隱私權，要求其停止侵害并提供精神損害賠償。南京市中級人民法院在終審判決中駁回了上訴人的訴訟請求，其在判決中提出的核心理由是上訴人沒有公開被上訴人的個人信息，而且也沒有造成損害，因此并不滿足前述2014年司法解釋第12條對侵權責任規定的兩個要件。①參見江蘇省南京市中級人民法院2014寧民終字第5028號民事判決書。這一判決由此確認了企業收集、利用個人信息進行盈利的行為并不侵犯個人權利，無須承擔侵權責任。

此外，如果堅持用人格權法來保護個人信息，即使降低侵權責任要件的要求，取消公開個人信息的要件，并且對造成他人損害的要件進行從寬解釋，也無法充分保障信息主體享有其個人信息之上的經濟利益。這一格局是由人格權法的基本邏輯所決定的。人格權不可由權利主體自由處分，因此，在人格權框架內，信息主體不能有償授權他人利用自己的個人信息。在個人信息被數據企業侵犯的情況下，信息主體有權請求對方承擔賠償損害等侵權責任。然而，損害賠償只是對人格權的救濟，而并非對利用個人信息的對價。在這種制度安排之下，信息主體就處在一個尷尬的境地：其不得在人格權的框架內，無法以有償授權他人使用的方式，來實現自己個人信息的經濟價值；在信息主體因個人信息被侵犯而得到損害補償的情況下，雖然實現了一定的經濟利益，但這同時又伴隨了對其人格權的侵犯。要走出這一困境，使得信息主體在其人格權得到保全的情況下能夠實現個人信息之上的經濟利益，就必須允許信息主體對自己的個人信息進行處置，允許其有償授權數據企業進行收集和利用，從而實現相關經濟利益。由此看來，人格權保護機制不能夠為信息主體實現其個人信息的經濟價值提供適當的制度框架（謝遠揚，2015）。[18]

（二）合同法

在實踐中，一些數據企業為了建立和維護良好企業形象、降低法律風險等目的，主動在其使用協議中讓用戶選擇是否同意企業收集和利用其個人信息，并向同意的用戶提供免費服務，以此作為補償。這一做法似乎表明合同法能夠保障公民享有其個人信息之上的經濟利益。在這一背景之下，有學者主張由合同法來規范個人信息產生的經濟利益歸屬（梅夏英，2016）。[19]然而，基于以下原因，這一路徑并不可行。在典型的交易中，買賣雙方將各自所有、并處于各自實際控制之下的財產進行交換。雙方通過交易，既獲得原來對方所有的財產權利，同時在對方交付之后取得對有關客體的占有。因此，獲得財產權利、取得占有，是交易的兩項內容。例如，在常見的一手交錢一手交貨的買賣合同中，價款和貨物在交易之前分別為買方和賣方所有，并受到他們各自的控制。買方為了取得對方所有并控制的財產，只能通過締結合同，使得賣方在收到價款之后向買方進行交付，從而取得財產的所有權和占有。然而，如果在某一客體之上并不存在財產權利，那么，實際控制人和任何其他人對有關客體都不享有財產權。既然在這個客體之上并不存在他人的財產權利，實際控制人也就不可能、也沒有必要與他人就財產權利轉讓達成一致，以便取得自己所控制的客體之上的財產權利。實際控制人對有關客體不享有財產權，他人對有關客體也不享有財產權，所以，實際控制人對有關客體的支配不會侵犯任何人的財產權，根據法無禁止即自由的原理，實際控制人對有關客體的支配實際上就不受限制。個人信息的收集和利用就呈現了這種情況。與貨物買賣合同中的客體相比，大數據時代的個人信息呈現了兩個特點。一是實證法目前并沒有規定個人信息之上存在財產權，因此，收集和利用他人的個人信息，并不侵犯任何人的財產權。如前所述，相關行為人只需要避免因公開個人信息而侵犯信息主體的相關人格權，就不用承擔法律責任。二是個人信息不處于信息主體自己的控制之下，而是處于數據企業的實際控制之下。數據企業并不依賴信息主體對其進行交付，所以也就沒有必要就個人信息的交付而與信息主體達成協議。

綜上所述，既然個人信息之上并不存在信息主體的財產權利，而且數據企業并不依賴于用戶根據協議進行交付的方式來獲得個人信息，而是有能力直接利用技術手段收集個人信息，那么，數據企業就無須與信息主體協商一致來獲得（實證法尚未確認的）個人信息之上的財產權，以及對個人信息的實際控制。在這一背景之下，合同法并不能夠保護信息主體享有其個人信息之上的經濟價值。是否通過達成協議的方式來獲得信息主體的授權，企業能夠自主進行選擇。為了降低法律風險，遵紀守法的企業往往會選擇與信息主體達成協議。但對于不重視自身行為正當性、不充分尊重用戶可能權利、致力于控制成本的數據企業而言，未經授權而直接收集和利用他人的個人信息，是一個符合經濟人假設的理性做法。針對此類企業的行為，合同法完全不能夠提供相應保護。由此可見，與人格權類似，通過合同法上的機制并不能夠保障公民享有其個人信息之上的經濟利益。

五、法政策學解決方案

既然實證法上人格權法和合同法并不能夠保護信息主體享有其個人信息的經濟利益，那么，立法者就應當積極作為，填補這一空白。

（一）模式選擇：財產規則還是責任規則

立法者為了保障信息主體享有其個人信息之上的經濟利益，應當采取何種模式？通常而言，為了保護一個法益，立法者可以在財產規則和責任規則之間進行選擇（Balabresi和Melamed，1972）。[20]這兩種規則的原理有所不同：根據財產規則，立法者將特定法益規定為一項由權利主體自由處分的財產權。原則上，權利人可以通過市場交易磋商相關條件，并在達成一致時向他人轉讓自己擁有的財產權。侵犯他人財產權的，應當承擔侵權責任；與此不同，在責任規則之下，立法者并不將受保護的利益規定為財產權，而是規定為原則上不可處分、不可讓渡的權利如人身權。個人不能通過協商一致的方式，將適用責任規則的權利授予他人。當這些權利受到他人侵犯時，侵權人承擔由立法者所確定的、不容當事人雙方協商確定的侵權責任。究竟應當通過財產規則還是責任規則來保護一項法益，需要考慮效率、分配正義、避免對個人和公眾的損害等因素。大體而言，對于性質上可讓渡的法益，可以適用財產規則；對于性質上不可讓渡的法益，則適用責任規則較為妥當。通常而言，對經濟利益可以適用財產規則加以保護；對人格利益則通常適用責任規則。

那么，個人信息的保護應當適用財產規則還是責任規則？目前實證法根據責任規則，通過人格權機制對個人信息進行保護?！肚謾嘭熑畏ā泛汀蹲罡呷嗣穹ㄔ宏P于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》等規范對涉及個人信息的侵權行為規定了相應的法律責任。學術界也普遍認同通過責任規則來保護個人信息的制度安排。然而，這并不意味著不得再通過財產規則來保護個人信息。具體而言，在個人信息之上，既存在不可讓渡的人格利益，也存在可以讓渡的經濟利益。對于人格利益，現有立法、司法解釋以規定侵權責任的方式予以保護是適當的；對于經濟利益，就應當通過財產規則予以保護，立法者應當將個人信息規定為某種可以由信息主體處分的財產權，使其能夠通過市場交易的方式，向數據企業轉讓有關權利。

總而言之，在立法者已經通過責任規則對個人信息之上的人格利益進行保護的情況下，還應當根據財產規則，對個人信息之上的經濟利益進行保護。

（二）個人信息所有權

為了通過財產規則來保護個人信息之上的經濟利益，立法者應當在個人信息上設立某種財產權。各種財產權中，所有權無疑是最典型、最常見、也最為人所熟悉的權利類型。在日常生活中，“我的個人信息屬于我”的觀念也易于為人們所接受。有鑒于此，規定信息主體對自己的個人信息享有所有權并享有相關經濟利益，似乎是一個自然而然的制度安排。與此相應，有學者主張確立公民對其個人信息的所有權，或者類似于所有權的權利，肯定公民對自身信息享有占有、使用、收益、處分的權利（湯擎，2000）。[21]這一類主張是否具有可行性，有待進一步分析。

所有權作為一種物權，其客體是（有體）物。物天然地具有排他性，能夠為權利主體獨自占有。通常情況下，物的所有人占有該物，從而使得物的占有同時具有公示權利歸屬的功能。與物不同，信息可以同時為多人占有和使用，不具有競爭性?；谛畔⒑臀镏g存在的這一差異，一些所有權規則可以適用于個人信息，另外一些所有權規則則明顯不能適用。例如，出賣人的物的瑕疵擔保責任規則適用于個人信息交易，并無不妥。無論交易對象是物還是個人信息，轉讓人都要確保物或者個人信息是沒有瑕疵的。此外，將物的繼承規則適用于個人信息，也未嘗不可。以電子郵件、微信上的聊天記錄、在朋友圈發布的信息以及與微信好友就此發生的互動為例，這些個人信息與傳統的書面信件并沒有本質上的區別。既然逝者的書面信件可以作為遺物予以繼承，那么，對電子郵件、微信賬號密碼所能夠訪問的相關內容適用物的繼承規則，并無不妥。

然而，與瑕疵擔保責任規則、繼承規則不同，物上所有權的救濟規則無法適用于個人信息。物上所有權對物的保護包括兩個方面，一是保護物的完整狀態，二是排除他人使用。第一種保護無疑對個人信息也可以適用：損毀物和刪除、篡改個人信息的侵權行為并無性質上的差異，完全可以適用相同的責任規則。比較困難的是如何對個人信息提供第二種保護。如前所述，物的特點之一在于其使用具有競爭性，一人的使用行為將排除所有其他人的使用行為。但是，信息可以無限復制，其使用并沒有排他性，他人使用信息，并不會影響本人和其他人使用相同信息。甚至，公民往往無法知悉、更無法排除他人非公開收集、使用自己的個人信息?；谶@一原因，物上所有權的第二種保護對個人信息無法適用。

總之，盡管物上所有權的瑕疵擔保責任、繼承規則等相關規則能夠適用于個人信息，但是物上所有權救濟規則無法適用于個人信息?；谶@一理由，立法者不宜將個人信息納入所有權的客體范圍，無法通過所有權機制保護公民享有其個人信息之上的經濟利益。

（三）個人信息財產權

既然有體物上的所有權制度不適用于個人信息，下文繼續考察財產權體系是否提供了其他可以適用的制度框架。鑒于有形財產權之外還存在無形財產權，下文在無形財產權制度框架內，探討對個人信息的經濟價值予以保護的可行性。

在無形財產體系中，知識產權制度具有一定的借鑒意義。作為知識產權的客體，智力成果與個人信息之間存在兩個共同之處：首先，個人信息和智力成果都有經濟價值；其次，智力成果和個人信息都不具有物質形態?；趥€人信息和智力成果之間的相同點，本文主張立法者參照知識產權制度設立個人信息財產權。依據這種新型的無形財產權，個人可以通過有償授權數據企業收集和利用其個人信息等方式，享有其個人信息之上的經濟利益。

具體而言，企業只有在取得個人的授權之后，才可以收集和利用其個人信息，并且只能將其用于約定的目的。在企業的行為未經授權或者超出授權時，即便沒有以公開公民的隱私和個人信息的方式侵犯人格權，其行為也構成了對個人信息財產權的侵犯，應當承擔相應法律責任。為了獲得個人的授權，企業需要與個人進行協商，通過提供貨幣補償、無償服務等對價，促使個人做出授權。企業可以通過格式合同，向所有潛在用戶提出統一的要約；鑒于不同用戶的個人信息對企業具有不同的價值，企業也可以向用戶提出不同對價的要約，盡可能地與用戶達成一致。個人自由決定是否授權他人為了何種目的收集和使用其個人信息，而一旦進行授權，就向企業轉移了收集和利用其個人信息的權利；當然，公民有權拒絕數據企業以獲得其授權為目的的任何要約，拒絕做出相應授權。

對于這一主張，反對者可以提出四個質疑。第一個質疑的依據立足于智力成果和個人信息之間的一個重大區別，即智力成果是基于智力勞動形成的，而個人信息是日常生活中自然形成的，并不需要智力投入。那么，兩者之間的這一區別，是否意味著無法在個人信息上設立無形財產權呢？本文認為答案是否定的。兩者之間的區別，只能說明不宜直接將個人信息納入知識產權的客體范圍，否則將違反知識產權保護智力成果的基本邏輯，但并不能由此主張不得在個人信息之上設立其他類型的財產權。事實上，知識產權和個人信息財產權具有不同的憲法基礎：知識產權體現了《憲法》第6條規定的按勞分配原則，即付出智力勞動者享有相應的知識產權，而個人信息之上的經濟利益歸信息主體所有的制度安排并非按勞分配原則的要求，而是基于上文第二部分指出的社會主義制度、經濟發展和平等原則等方面的憲法考慮。

第二個質疑是從權利救濟的角度提出的。根據一種觀點，對智力成果的非法利用和流通原則上是可以識別的，因此可以救濟（梅夏英，2016）。[19]然而，實踐中數據企業往往在用戶不知情的情況下搜集和利用個人信息，個人信息的利用和流通很難由信息主體所識別，也就無法尋求救濟。因此，既然對個人信息的收集和利用難以識別，適用于知識產權的保護機制就不能適用于個人信息，從權利救濟的角度來看，參照知識產權制度設立個人信息財產權是不可行的。然而，這一觀點也經不起推敲。事實上，實踐中要識別對智力成果的侵犯也具有一定難度。雖然大規模的、公開的侵犯知識產權的行為容易識別，但是小規模的、秘密的侵權行為則難以識別。例如，個人完整復印一本書固然侵犯了作者的著作權，但著作權人幾乎不可能發現并追究這種侵權行為；正版軟件商要發現并追究個人電腦上安裝盜版軟件的侵權行為，也面臨重重障礙。因此，侵犯智力成果的行為并非都可識別、可以有效救濟。相反，收集和利用個人信息的行為雖然比較隱蔽，可識別性較低，然而，隨著用戶對數據經濟商業模式的了解，人們越來越能夠知悉數據企業進行的個人信息收集活動。在收到量身打造的個性化定向廣告時，用戶不難判斷數據企業使用了其個人信息。

圍繞財產的可交易性，反對者可以提出第三個質疑。人們認識到，通過自由市場交易，財產得以流動到最有能力對其加以利用的人手中，發揮最大效用。在這種意義上，財產的自由交易能夠提高資源利用效率，促進社會生產力的發展。有鑒于此，有學者主張可交易性是財產的一個必要要件，不符合這一要件、即不可交易的事物不構成財產（勞森和拉登，1997年版）。[22]根據這種觀點，在個人信息之上是否可以設立財產權，要看個人信息是否具有可交易性。鑒于非法攫取并在黑市出售個人信息的行為受到法律嚴格禁止，個人信息是不可交易的，也就不可能構成財產的客體，否則存在非法個人信息交易合法化的風險。以下從兩個方面對這種質疑進行反駁：（1）可交易性并非財產的一個必要要件，不可交易的事物也可以構成財產權的客體。財產的價值并非只能通過交易實現，其占有、使用、收益也是同等重要的權能。在一個物品并不能夠交易的情況下，并不影響其構成財產的客體。與此相應，即使個人信息不可在市場上自由交易，也不能據此得出個人信息不能成為財產客體的錯誤結論。（2）個人信息并非不可交易。實際上，在非法個人信息交易受到法律制裁的同時，實踐中已經大量存在合法的個人信息交易了。數據企業往往在用戶協議中由用戶選擇是否同意企業收集和利用其個人信息，并向做出同意表示的用戶提供無償服務，這一過程實質上就構成了個人信息交易。

還有學者從人格利益平等保護的角度，提出了第四個質疑，即個人信息保護的目的是維護個人的人格平等。鑒于人們的個人信息具有不同的價值，因此，如果設立個人信息財產權，則不利于人格利益的平等保護（王利明，2013）。[23]本文認為，個人信息之上同時存在人格利益和經濟利益，分別適用通過人格權和財產權予以保障，這就使得人們的人格利益能夠得到平等保護，與此同時，信息主體可以通過行使財產權，實現各不相同的個人信息經濟價值?？傊?，個人信息與智力成果具有相似性，立法者參照知識產權制度設立個人信息財產權是切實可行的，有關質疑并不成立（劉德良，2008）。[25]

六、結語

個人信息中同時存在人格利益和經濟利益，對于其人格利益，當然由個人所享有，并由人格權法的相關規則予以保障。從憲法層面來看，相關經濟利益也應當由個人所享有，這就意味著賦予個人以信息財產權具有正當性。在既有實證法體系內，對個人信息的保護主要是通過責任規則來實現的，但責任規則只能實現對個人信息中人格利益價值的保護。個人信息中的經濟價值的保障，仍然有待通過財產規則來落實?！睹穹ǖ洹繁M管對個人信息的保護做出了原則性的規定，卻沒有對個人信息的權利屬性及其權益的歸屬做出明確的規定。未來立法應當遵循《憲法》對個人信息保護的價值指引，完善個人信息相關權益的保護，明確個人信息的人格權利和財產權利的雙重屬性，在既有的個人信息人格利益的責任規則保護模式之外，再通過財產規則模式對于個人信息中的經濟利益予以保護。