淺探個人信息的財產權屬性

張育銘

一、個人信息的基本理論概述

（一）個人信息的概念

“個人信息”是一個具有特定歷史、時代意義和內涵的詞語，它是在近幾十年世界信息產業飛速進步的大背景下誕生的，并且始終與人類生產方式、科技水平、經濟發展模式、社會經濟結構等息息相關。關于個人信息的概念，由于世界不同國家在漫長的歲月中積累、沉淀的歷史傳統、文化習慣、生活方式、法律觀念具有較大的差異，因此世界各國對其概念至今仍存在較大的分歧。由于對這一概念認識的側重點不同，目前世界各國理論界主要存在“信息隱私”、“個人數據/資料”和“個人信息”這三種表述[1]。其中，加拿大、澳大利亞、美國等普通法系國家采用“信息隱私”提法，韓國、日本、俄羅斯等國采用“個人信息”提法，歐盟國家采用“個人數據/資料”提法[2]。在對個人信息具體概念的認識方面，有學者對個人信息提出隱私型定義，認為它是個人在社會生活中不愿意對外透露的與之相關的內容，或是個人不愿他人知悉的與自身相聯系又極其敏感的內容[3]，有學者從財產權角度對個人信息進行解釋，認為本質上個人信息屬于個人財產，個人享有占有、使用、收益及處分個人信息的權利，除非個人行使上述權利時影響或限制了第三者的利益[4]。王利明教授提出一個總括性概念，認為個人信息是具有可識別性的符號，它能反映個體特征，并且與特定個人相關聯[5]。

基于對上述不同理論的取舍、篩選和綜合考量，筆者認為，個人信息是一系列信息符號的總和，這些信息符號具有識別性與個體聯系性[6]，它們以各種形式存在并可據此識別出特定信息主體，根據個人信息，他人能夠按圖索驥，準確地確定信息主體。筆者認為，對個人信息的范圍界定應適當地擴大化，以期擴大個人信息的保護外延，更為行之有效地保護個人信息。具體說來，個人信息應當包括指紋、姓名、興趣、愛好、性別、年齡、肖像、民族、家庭狀況、財產狀況等內容，其中，指紋、姓名、肖像等信息能直接識別特定自然人，興趣、愛好、性別等信息則能間接識別自然人[7]。值得一提的是，個人信息與我國現行民法體系中規定的一部分具體人格權在內涵與外延上存在重合之處，如肖像權、姓名權在民法體系中均作為具體人格權而存在，侵犯上述兩種權利的行為往往同時造成個人信息利益的減損。由于我國肖像權、姓名權的民法保護體系已較為成熟，而對于個人信息相關利益的保護總體上仍處于探索階段，故司法實踐通常將此類行為定性為針對肖像權或姓名權的侵權行為，卻并未專門從個人信息利益的視角對其進行定性和評價。

（二）個人信息的特征

1.可識別性

這是個人信息最首要、最核心、最根本的特征。個人信息的可識別性是指人們根據個人資料中的各種信息要素，就能準確地確定、識別這些信息要素所歸屬的信息主體，即某個自然人。這些個人資料包含住所地址、工作經歷、健康狀況、個人身世、年齡、婚姻、財產等能夠使他人或計算機系統從數量繁多的個體中辨別出該特殊個體的信息[8]。個人信息不同于其他類別的信息，它是能識別特定自然人的相關信息，同時也是不同的自然人之間具有區別性的信息，是能幫助他人認識及區別不同信息主體的所有信息。從某種角度上說，個人信息是每個自然人所獨有的“標簽”。此處需要說明的是，個人信息的可識別性既包括各種不需要其他信息的輔助，就可以直接獨立識別出信息主體的信息，也就是能直接識別出信息主體的信息，此為個人信息的直接識別性，又包括各種不能直接推斷出信息主體、不能獨立識別出特定自然人，而是需要借助其他信息的幫助才能識別出信息主體的信息，此為個人信息的間接識別性。個人信息的可識別性具有極其重要的司法實踐意義，在個人信息侵權案件中，倘若個人信息不具有可識別性，司法機關便不能根據該信息直接或間接確定個人信息侵權行為的受害者，同時個人信息的侵權行為與損害結果之間的因果關系也無法確定，最終只會導致個人信息的法律保護無法真正得到實現，而淪為一紙空文。

2.特定性

此處所稱的“特定性”，包括兩層含義：其一，個人信息的信息主體是特定的，即只有自然人是信息主體，法人及其他社會組織不能成為信息主體；其二，每一條個人信息僅僅與特定的自然人有關，它只能指向特定的自然人。個人信息保護的立法宗旨是保護個人的人格自由、人格尊嚴和人格發展，而上述之人格自由、人格尊嚴和人格發展對于自然人才具有實際的意義。法人、其他社會組織等社會團體從表面上看，似乎也具備一定數量的“個人信息”，如法人的章程、法人的住所、法人的名稱等，但是，從本質上看，由于法人和其他社會組織是自然人實現特定目的與利益的工具及載體，法人和其他社會組織的“個人信息”歸根結底就是其自然人成員的個人信息，法人和其他社會組織并不存在人格自由、人格尊嚴及人格發展的需求與法益，因此法人和其他社會組織不應成為信息主體。從目前世界上大多數國家的立法實踐來看，大多數國家的個人信息立法明確規定信息主體只能是自然人，法人和其他組織均不能成為信息主體。此外，由于每一個自然人的人格特征和人格標志是獨一無二的，因此每一條個人信息和每一個自然人存在一一對應的關系，每一條個人信息只能對接上特定的自然人。

3.客觀性

個人信息的客觀性包括兩層含義：其一，個人信息的存在形式是客觀的，個人信息必須具有客觀存在的載體，個人信息必須按照某一客觀、特定的形式記錄下來；其二，個人信息的內容是客觀的，個人資料所反映出的關于某一特定自然人的特征或個人生活的各種信息是客觀而真實存在的，個人信息的內容不以人的意志為轉移。當今時代，個人信息的商業和經濟價值日益凸顯，日趨成為一種新型社會資源，這一客觀現實要求個人信息應當具有客觀性，只有這樣個人信息才能被市場交易主體充分利用，從而實現個人信息的商業和經濟價值，最終實現個人信息價值的最大化。倘若個人信息存在任何的主觀臆斷性，則個人信息的價值根本無從談起，個人信息的市場化也將無從推進和發展。

4.人格性

人格性是個人信息的其中一面，是個人信息的傳統屬性和特征，也是個人信息誕生之初就具有的特性。對個人價值主客觀評估的結合就是人格尊嚴[9]。個人信息與信息主體的私人生活是密不可分的，個人信息專屬于某一特定自然人，個人信息具有極為強烈的人身依附屬性，信息主體對其本人的信息享有排他性的控制和使用的權利，如犯罪記錄、宗教信仰、性別取向等均屬敏感信息，自然人有權保持這些信息的隱秘性從而保證它們不被披露[10]，隨意披露這些個人信息的行為必將損害信息主體的人格尊嚴和人格利益，信息主體私人生活的安寧將會受到嚴重影響并產生內心的不安、恐慌情緒，由此得知，個人信息具有人格權的屬性。

5.財產性

財產性是個人信息的另一面，是個人信息在經濟全球化與信息化的嶄新時代背景下被賦予的全新屬性和特征。個人信息在社會生活中極易受到侵犯的重要原因之一就在于它具有價值，包括管理價值、商業開發價值和社會交往價值[11]，其中，個人信息的利益性、經濟性、財產性價值是其主要的價值。隨著計算機網絡科技的飛速發展和經濟全球化進程的加速推進，個人信息的商業、經濟價值不斷顯現。如過去傳統的實體商家紛紛轉型，新型網上電子商鋪如雨后春筍般應運而生，還有一些尚未轉型的實體商家則紛紛引進高科技電子信息技術，用以及時收集和跟蹤顧客的實際需求，根據對個人信息的處理和分析情況，適時改變生產計劃和營銷計劃，以滿足現代社會瞬息萬變、風云詭譎的市場供求關系。在這一嶄新時代背景下，個人信息不再是單純用以識別信息主體的標志，而是在市場上進行流轉的一種商業資源。受這種經濟、商業大變革的影響，信息主體對其信息占有、使用、收益和處分的關系逐漸得到法律上的權利確認，隨著法律以明文規定的形式正式確認這些權利，個人信息逐步具備了以物權為核心的財產權特性。個人信息的經濟價值逐漸被人們發掘，在社會生活中，除了指紋、血液樣本、生物DNA等特定的個人信息被我國法律法規明令禁止交易以外，信息主體可適當地利用其個人信息以獲得可觀的經濟利益，例如信息主體可授權許可他人使用其本人的個人信息來獲取經濟收益。由此可見，個人信息已從傳統的單一人格性逐漸過渡到人格性、財產性雙重屬性并存的階段，個人信息保護進入了一個全新的時期。

6.動態性

人是社會中的人，社會屬性是人的本質屬性。個人信息的內容不是一成不變的、靜止的，而是會伴隨著信息主體社會活動的不斷擴大而不斷發展、變化的。個人信息在信息主體與外部社會的無休止交往中得到不斷豐富和擴展，這就是個人信息的動態性。

（三）個人信息的分類

依據不同的標準，可以對個人信息進行不同的分類。

1.公開的個人信息和非公開的個人信息

以個人信息是否已被公開為標準，可將個人信息劃分為公開的個人信息和非公開的個人信息。公開的個人信息指已面向社會公眾公開，社會公眾通過合法的渠道和途徑即可充分了解的個人信息，嚴格來說此類個人信息已不再屬于隱私，而是屬于政府信息公開的范疇。創設“公開的個人信息”的目的主要是為了滿足公權力部門行政管理的需求，同時也為了促使社會公眾更好地進行社會交往。非公開的個人信息指尚未面向社會公眾公開，除了信息主體本人之外的任何人都無法通過合法渠道和途徑獲知的個人信息，即傳統意義上的個人信息。值得注意的是，非公開的個人信息在特定的條件下可以轉化為公開的個人信息，當國家為了滿足公共政策的需要以及保護社會公共利益時，就會在有限的范圍內以適當的方式公開某些特定主體的個人信息，譬如官員財產信息申報以及重大刑事案件中警方為了緝捕犯罪嫌疑人而制作的通緝令等。

2.直接個人信息和間接個人信息

以個人信息能否直接識別信息主體為標準，可將個人信息劃分為直接個人信息和間接個人信息。直接個人信息指可以單獨識別出特定信息主體的個人信息；間接個人信息則指雖然不能單獨識別出特定信息主體，但與其他個人信息結合就能識別出該信息主體的個人信息。過去，囿于個人信息保護意識的淡薄和個人信息立法保護水平的欠缺，民法學界普遍認為只有直接個人信息才需要得到立法保護。但是，時至今日，為了更好地完善個人信息侵權的民事救濟制度以及更加全面、更大程度地保護個人信息，世界各國對這一問題均達成了共識，即直接個人信息和間接個人信息必須受到同等程度的法律保護，直接個人信息和間接個人信息都屬于個人信息的范疇。如丹麥、德國等大部分國家的立法都將間接個人資料視同個人資料[12]。由于對個人信息予以法律保護的最終目的是規范針對任何能夠被收集和流通的個人數據實施的所有收集、流通活動，因而所有能夠被收集和流通的個人信息都應當受到法律的無差別保護，間接個人信息能夠被收集和流通，是故間接個人信息必須被納入法律保護的范圍之內。

3.敏感個人信息和瑣碎個人信息

以個人信息是否涉及信息主體的隱私為標準，可以將個人信息劃分為敏感個人信息和瑣碎個人信息。由于世界各國法律傳統和風俗習慣的不同，對個人信息是否敏感的內涵界定是不同的，但是，大體上可以認為涉及政治傾向、種族歸屬、宗教信仰、健康狀況、犯罪記錄、財產狀況、婚戀狀況等方面的信息屬于敏感個人信息，除此之外的信息則屬于瑣碎個人信息。敏感個人信息受到法律保護的程度明顯高于瑣碎個人信息，任何個人、組織和機構一般需要經過信息主體的明示同意后才可以收集其敏感個人信息，否則即構成對個人信息的侵犯，對于瑣碎個人信息的收集則不需要經過信息主體的明示同意。

4.電腦處理的個人信息和非電腦處理的個人信息

根據個人信息是否經過了電腦的處理可以將個人信息劃分為電腦處理的個人信息和非電腦處理的個人信息。倘若個人信息已經進入了電腦處理階段，即個人信息經過了電腦的編輯、更正、刪除、存儲等處理模式，則此類信息就是電腦處理的個人信息，如信用記錄、購物嗜好、上網蹤跡等，反之，天然生成或者經過手工處理形成的信息則是非電腦處理的個人信息，如指紋、血型、DNA、性別等。本質上，電腦處理的個人信息是信息時代的產物，非電腦處理的個人信息則仍屬于傳統個人信息的范疇。對于這兩類個人信息的保護須區別對待，個人信息一經電腦處理，就意味著該個人信息進入了快速而大范圍的傳播階段，其安全性大大降低，被侵犯的可能性大大增加，故而需要對此類個人信息進行重點保護，非電腦處理的個人信息則由于其安全系數相對較高，被侵犯的可能性較低，故不需要立法層面的重點保護，對其進行立法層面上的普通保護即可。

5.與人格尊嚴直接相關的個人信息和與人格尊嚴不直接相關的個人信息

有一些個人信息，例如健康狀況、外貌特征、信用記錄、性別、姓名等直接關系到信息主體的人格尊嚴，它們就是與人格尊嚴直接相關的個人信息；另外一些個人信息，例如電話號碼、工作單位、家庭地址等與人格尊嚴不存在直接聯系，它們就是與人格尊嚴不直接相關的個人信息。這兩類個人信息的權利屬性稍有不同，前者直接體現出信息主體的人格利益，同時又間接體現出信息主體的財產利益，后者僅僅體現出信息主體的財產利益，并未體現人格利益。權利屬性的不同決定著法律對兩者保護模式的不同，法律對于前者給予人格權和財產權的復合保護，對于后者僅僅給予單方面的財產權保護。

（四）《民法典》及《個人信息保護法》相關規定的貢獻與成就

當前我國形成了以《民法典》《個人信息保護法》為核心的個人信息法制體系，二者以我國個人信息安全現狀為著眼點，在個人信息保護領域作出了突出的貢獻。

1.《民法典》的貢獻與成就

《民法典》個人信息條款的問世回應了個人信息保護這一信息時代背景下的新挑戰和新問題?！睹穹ǖ洹返谝痪帲倓t）第111條具體而明確地規定“自然人的個人信息受法律保護”這一條我國的“個人信息保護宣言”①參見《中華人民共和國民法典》第111條。，并在第四編（人格權）設立“隱私權和個人信息保護”作為第六章，同時在該章規定個人信息之基本概念、處理規則、抗辯事由及個人信息與隱私的關系等內容，上述規定標志著我國個人信息保護頂層立法框架和設計業已完成。具體說來，《民法典》個人信息條款作出了以下貢獻與成就。

一是明確了個人信息概念。以往無論是學理上還是司法實踐中，個人信息的概念都比較混亂，零散分布狀態下的個人信息保護法律法規對個人信息的定義相互沖突，導致了法律適用的困難?！睹穹ǖ洹返?034條第2款②參見《中華人民共和國民法典》第1034條。重點從兩個視角對個人信息加以定義：其一，表面狀態，個人信息是以電子或其他記錄方式表現出來的；其二，實質內涵，個人信息因其具有識別性從而能識別特定自然人。該款內容輔之以列舉方式對個人信息內容進行完善和補充，個人信息的概念至此基本得到完整的法律表達。

二是明確個人信息法律關系主體之權益和義務。信息主體和信息處理者作為個人信息法律關系的主體，呈現出既對立又統一的矛盾共生關系。由于信息主體在二者的對抗和博弈中處于弱勢地位，《民法典》著重賦予信息主體權益，對信息處理者則重點強調義務，該法第1037條第1、2款明確規定信息主體享有查閱權、復制權、更正權、刪除權①參見《中華人民共和國民法典》第1037條。，信息處理者則負有相應義務。

三是個人信息保護適用范圍的擴大化?！睹穹ǖ洹返?035條第2款將收集、存儲、使用、加工、傳輸、提供、公開個人信息等行為統一納入“處理”行為②參見《中華人民共和國民法典》第1035條。，基本上涵蓋了個人信息商品化的全部流程和環節。另外，此前我國的《電子商務法》《消費者權益保護法》及《網絡安全法》等單行法律法規只是將個人信息保護納入其他權益的保護之中，將個人信息定義為其他權益的下位概念，并未設立專門性的個人信息保護條款，《民法典》在第四編第六章創設獨立存在的個人信息條款，標志著個人信息保護覆蓋范圍的基本完善。

四是填補我國個人信息私法保護的空白?！睹穹ǖ洹奉C布前，我國個人信息保護的規范主要體現在以刑法和行政法為首的公法體系中③20世紀以來我國相繼制定的若干經濟法、行政法規范的部分條款即體現了個人信息保密之規定?！睹穹ǖ洹奉C布前，我國系統性保護個人信息的法律規范主要有2013年《消費者權益保護法》、2016年《網絡安全法》（均屬經濟法部門）以及2015年《刑法修正案（九）》。，但私法（尤其是民法）領域還是一片空白。由于個人信息私權益的缺位，受害者所受損失無法得到量化性的標準，且其通常無法得到經濟上及精神上的救濟和補償。在新技術興起之前抑或其出現的早期侵犯個人信息之行為主要損害的是人格利益，刑法及行政法足以有效地制裁違法犯罪和彌補損失。但是，自新技術進入跨越式發展時期后，由于個人信息商品化的加強，個人信息侵犯行為能同時造成人格利益及財產利益的損失，公法已無法有效彌補受害者的財產損失，而財產利益是私法，尤其是民法的主要保護對象，故《民法典》的頒布有效地填補了我國個人信息私法保護的空白。

2.《個人信息保護法》的貢獻與成就

《個人信息保護法》是我國第一部個人信息保護的專門性法律規范，它的適時出臺結束了長期以來我國缺乏專門性、統一性、綜合性個人信息法律制度的歷史，也改變了過去我國個人信息分散立法、各自為政的混亂法制體系，對于我國經濟社會發展和個人信息法制建設具有劃時代的重要意義。

總體而言，其一，彰顯人本理念?！秱€人信息保護法》將“合法性理由”作為處理個人信息的基本原則，并明確規定處理個人信息必須遵守“知情同意”規則及目的特定、最小化、可問責與保障安全等配套制度，而且針對身份特征等個人敏感信息及十四周歲以下未成年人個人信息的處理設定了嚴苛的法定條件，凸顯了以人為核心的立法宗旨，彰顯了鮮明的人本價值理念。其二，建立了符合我國數字經濟大國身份的法律制度。進入21世紀以來，數字化浪潮在我國大范圍鋪開，我國已正式躋身世界數字大國和網絡大國行列，而數字經濟大國的身份固然亟須一套為其量身定制的社會治理體系和社會治理規范，《個人信息保護法》完美契合了我國現階段國情，標志著我國數字經濟配套性法治建設走向成熟。

具體而言，其一，進一步完善個人信息處理原則?！秱€人信息保護法》第5、6、7、8條規定，信息處理者處理個人信息應當具有明確、合理的目的，采取正當、合法的方式，明示處理目的、范圍及方式，同時公開個人信息處理具體規則，并且應保證個人信息的質量，避免由于個人信息的不準確、不完整對信息主體權益造成不利影響。此外，信息處理者處理個人信息應遵循“必要性原則”，信息處理活動應局限于實現信息處理目的所必要的最小范圍，同時從諸多信息處理方式中選取對信息主體權益影響最小之方式①參見《中華人民共和國個人信息保護法》第5、6、7、8條。。上述個人信息處理原則從宏觀層面實現了信息主體個人信息利益的全面覆蓋和維護。其二，充實以“知情同意”為核心的系列規則?！秱€人信息保護法》第13、14、15、17條確立了“知情同意”規則②參見《中華人民共和國個人信息保護法》第13、14、15、17條。。根據這一規則，個人信息處理活動應在信息主體充分知情的前提下取得其同意。同時，針對“受脅迫的同意”進行了規制，即信息處理者不得以信息主體不同意為由拒絕提供產品或者服務。除此之外，信息主體有權撤回同意，若信息主體意欲撤回同意的意思表示，信息處理者必須為其提供方便快捷、可操作性強的撤回同意的方式。另外，在重要事項發生變更（情勢變更）的情形下，信息處理者應重新取得信息主體同意方可繼續進行信息處理活動?！爸橥狻币巹t是個人信息保護立法中的核心制度，標志著信息主體在個人信息流轉利益鏈條的全過程中對其信息原產品的流轉狀態享有充分的知情權和決定權，保證了信息主體對其信息財產實質上的掌握和控制。其三，明確相關國家部門在個人信息保護工作中的職責?！秱€人信息保護法》第60、62條規定，由國家網信部門統籌協調推進個人信息保護有關工作，國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作。國家網信部門具體職責包括：制定個人信息保護的具體規則和標準；針對人工智能及人臉識別等新技術、新應用制定專門性的個人信息保護規則和標準等③參見《中華人民共和國個人信息保護法》第60、62條。。相關國家部門在個人信息保護領域職責分工的明確意味著信息主體的個人信息利益將得到更為切實可靠的國家公權力支持。其四，強化超大型互聯網平臺的法律義務。當前正在如火如荼發展的數字經濟帶動了互聯網產業的繁榮，超大型互聯網平臺已成為普羅大眾生活的“必需品”，公民在該平臺可享受高效便捷的日常生活服務，但這也成為了公民個人信息利益被侵犯的重災區，同時也是個人信息利益保護的薄弱環節和邊緣地帶。有鑒于此，《個人信息保護法》第58條專門規定超大平臺的法律義務④參見《中華人民共和國個人信息保護法》第58條。。根據該法條，超大型互聯網平臺須承擔如下法律義務：成立主要由外部成員組成的獨立機構監督個人信息處理活動；對于嚴重違反法律和行政法規處理個人信息的平臺內之服務提供者或者服務產品，勒令其停止提供服務；定期發布個人信息保護社會責任報告，加強社會監督等。上述規定形成了以外部監督為主、內外監督結合的超大平臺個人信息處理活動監督體系。超大型互聯網平臺個人信息保護義務的加強意味著信息主體的個人信息利益在超大平臺領域的彰顯和優化，該領域突出問題的解決有利于推動開拓其他熱點、難點領域個人信息立法、司法保護探索的新路徑。其五，設置嚴格的法律責任。根據《個人信息保護法》第66條，企業實施侵害個人信息權益的違法行為，情節嚴重的，由履行個人信息保護職責的部門對其處以5000萬元以下或者上一年度營業額的5%以下罰款⑤參見《中華人民共和國個人信息保護法》第66條。。歐盟《通用數據保護條例》（GDPR）對個人信息嚴重違法行為的罰款上限是2000萬歐元，或最高為上一年度全球全年營業額的4%，《個人信息保護法》規定的罰款力度已超過了向來在個人信息保護領域以嚴苛著稱的GDPR。嚴格的法律責任無疑是實現個人信息利益保障最大化的有效措施。

二、個人信息財產權核心問題探析

個人信息財產權是在信息技術高速發展，個人信息商品化趨勢日益明顯，個人信息商業和經濟價值不斷涌現的今天誕生的一種全新的權利類型，它與傳統的個人信息人格權一起構成了個人信息權。

（一）個人信息財產權概念

個人信息財產權指信息主體抑或經該主體授權的其他自然人、法人或者非法人組織就該個人信息在使用過程中產生的商業性、經濟性價值的支配權。從個人信息財產權被信息主體或者其他主體行使的方式來看，它類似于傳統民法上的所有權；從個人信息財產權的存在方式來看，它是一種無形權利，類似于傳統民法上的知識產權。

（二）個人信息財產權特征

1.個人信息財產權屬于絕對權

個人信息財產權的義務人是除信息主體以外不確定的任何主體，信息主體可以要求除自己以外的任何主體不得侵犯其個人信息的經濟利益，也可以向除自己以外的任何主體主張其個人信息商業化利用過程中所產生的商業和經濟效益，義務人則需要履行不得侵犯信息主體個人信息經濟利益的義務，這是一種消極的不作為義務，從始至終義務人都不需要履行任何積極作為的義務，信息主體個人信息財產權的行使無需義務人的積極配合，因而這是一種對世權。

2.個人信息財產權的客體是無形財產

傳統民法財產權體系主要包括債權及物權等權利，它們的客體都是有形的。然而知識產權作為最早出現的無形財產類型，它的誕生標志著民法對于無形財產保護的開端。隨著信息網絡技術的普及和發展，個人信息的經濟利益愈發顯明，倘若現代民法的財產權體系仍舊僅僅包含債權和物權，個人信息財產權這種新型財產權利就將受到嚴重忽視，于是個人信息財產權也隨同知識產權一道進入了民法無體財產權的保護視域范圍之內[13]。

3.個人信息財產權的價值可被衡量

個人信息的價值可分成兩部分，個人信息在進入市場流通環節時其自身的價值構成了第一部分，在個人信息的收集與加工環節中，信息處理者付出的勞動構成了第二部分[14]。筆者認為，個人信息財產權的價值存在兩種不同的衡量標準，分別適用于個人信息交易環節以及個人信息侵權訴訟。由于信息主體是個人信息產生的來源，故在個人信息的合法交易中，信息主體享有個人信息的定價權，如信息主體許可他人使用其肖像信息時，可參照現有的肖像權許可使用制度，由信息主體對肖像信息進行定價。此外，在個人信息侵權訴訟中，無論是個人信息的販賣價格還是個人信息侵權人的獲利數額均不能成為個人信息財產權價值大小的唯一衡量標準，此時個人信息財產權的價值（同時也是被侵害的法益價值）應當由法官結合侵權行為性質、個人信息交易的具體情節、個人信息的性質、侵權行為的后果等因素綜合認定，并以此作為侵權人的賠償數額。

4.社會公益在個人信息財產權的保護中應得到更多兼顧

相較于傳統的有形財產，個人信息體現了更加強烈的社會公共利益需求，現代社會的運轉極度依賴個人信息的交流，如現代商業與政府維持正常運轉的基礎動力就是個人信息[15]。所以對于傳統有形財產的相關權利可以采取較為嚴格的民法保護手段，但對于個人信息財產權則應采取較為寬松的民法保護手段，在保護其不受侵犯的同時應更多考慮和兼顧社會公共利益，允許基于社會公益目的的個人信息合理利用行為，以此保障現代商業與政府的正常運轉，因此個人信息財產權應當是一種權利主體僅享有弱支配程度的民事權利。

5.個人信息財產權可被轉讓

不同于個人信息人格權極為強烈的人身依附性和不可轉讓性，個人信息財產權不具有唯一的人身依附性，它可以隨著個人信息交易活動的完成、個人信息轉讓協議的生效而發生轉移。個人信息財產權的原始主體是信息主體，由于個人信息可被轉讓，信息主體可以通過書面形式與其他自然人、法人或者非法人組織簽訂轉讓協議，將個人信息中的財產利益部分或者完全地讓渡給后者，繼而后者可部分或完全享有個人信息財產權。必須說明的是，在我國當前個人信息商業流轉配套機制尚不完善的現實環境下，個人信息財產權的轉讓大多仍停留在理論研究層面，此類活動的實際發生概率目前看來仍屬偏低。

（三）個人信息財產權的內容

個人信息財產權的內容即個人信息財產權的權能，筆者認為，個人信息財產權主要存在以下三種權能。

1.持有權

這是支撐個人信息財產權的基礎和核心。持有權是指權利主體可以依據法律規定合法地持有個人信息，同時也意味著其他自然人、法人和非法人組織未經權利主體允許，不得非法占有和控制其個人信息。持有權的權利主體并不是一成不變的，它可以發生轉移，例如原始權利主體可以通過簽訂協議的方式讓渡個人信息，受讓渡者可以取得該個人信息的持有權。

2.許可權

許可權是介于持有權和轉讓權之間的一種過渡性權利。許可權指在不改變信息主體的個人信息所有權者地位的大前提下，信息主體通過口頭或者書面形式與他人作出約定，授權他人在一定的時期、以一定的方式、在一定的地域范圍內商業性地使用其個人信息的權利，受讓者僅僅取得個人信息的使用權，信息主體仍然享有該個人信息的所有權。

3.轉讓權

轉讓權與許可權的本質區別就在于個人信息所有權的主體發生了變化。轉讓權指信息主體享有的將其個人信息商業化利用的權利通過書面形式轉讓給其他自然人、法人或者非法人組織的權利，經轉讓，信息主體不再享有該個人信息的所有權，受讓者成為新的權利主體。值得注意的是，由于轉讓行為較之許可行為對出讓者和受讓者雙方的權利義務關系影響較大，所以應當通過書面形式簽訂轉讓合同，在合同中明確規定轉讓期限、地域范圍、轉讓內容等事項。

（四）實現個人信息財產權的體制保障

為了避免個人信息財產權的相關立法規定淪為空談，就必須建立一系列的配套機制來保障其有效實施。筆者認為，應當從“有形的手”和“無形的手”兩大方面著手，探索建立個人信息財產權的保障機制。

1.探索性地建立個人信息交易市場

個人信息侵權問題頻繁產生的癥結之一就是個人信息交易秩序的混亂，因此國家應當考慮建立一個特定場所用以規范個人信息的交易和流通活動，創建一個安全穩定的個人信息交易秩序，促進個人信息公平合法交易。最符合這種條件的特定場所當屬個人信息交易市場，它類似于普通貨物交易市場，其存在形式可以是實體市場抑或虛擬市場，在該市場流通的貨物同樣接受市場規律的節制，但是該市場只存在唯一的流通貨物——個人信息，這也是個人信息市場與普通貨物市場的唯一區別。當前個人信息交易活動主要存在的現實問題是信息隱私價格歧視[16]、信息不對稱[17]、信息交易過程不公平、買方地位弱勢等，個人信息交易市場的建立能夠有效地解決上述問題，扭轉賣家過于強勢的壟斷性市場地位，同時賦予買家更多的法律手段維護自身的合法權益。除此之外，個人信息的價格由市場進行調節，買方對信息需求之強弱決定著信息的價值，這樣就能行之有效地消除賣方濫用市場支配地位肆意把持、操縱個人信息價格的不公平交易局面，促進個人信息交易平臺朝著公平、公正、公開、透明的方向發展，這便是“無形的手”在個人信息交易流轉過程中的重要作用。當前世界各國個人信息交易市場普遍處于探索階段，有些國家尚未建立，有些國家雖然建立但尚不成熟，因此個人信息交易市場的發展規劃仍然任重而道遠。

2.政府適時進行宏觀調控

個人信息市場同普通貨物市場一樣，也存在著市場固有的缺陷，宏觀調控這雙“有形的手”就是為了彌補市場失靈而存在的。筆者認為，政府對個人信息市場的宏觀調控應當在兩大方面加以落實：其一，建立并完善個人信息市場準入登記制度，提高準入門檻。政府應當設立專門性的管理登記機構對個人信息出售者、個人信息購買者以及中間人實行嚴格的審查和登記，在個人信息交易活動發生之前穩定市場秩序，此為“事前審查”。其二，政府應當強化對個人信息交易市場運作過程的監督，對信息交易活動加強監管，對信息交易活動的后續影響進行評估，同時加大對個人信息財產權侵權行為的處罰力度，此乃“事中事后監督”。

（五）個人信息財產權侵權民事法律救濟探究

筆者認為，雖然刑事處罰和行政處罰因其法律后果的嚴重性能夠有效地震懾個人信息侵權者，但是這兩種處罰都是基于國家層面的制裁，信息主體所遭受的財產損失并沒有得到充分的補償，甚至在一些情況下，侵權者通過大量販賣個人信息攫取了巨額的商業利潤，然而其所受到的刑事和行政處罰相比于該巨額利潤顯得微不足道，因此，個人信息立法的重點應當在于民法，以民法為主，輔之以刑法和行政法，三位一體，相輔相成，這樣既能使侵權者受到國家公權力的嚴厲制裁，又能充分彌補信息主體所受損失。因此有必要在民事法律層面圍繞個人信息侵權法律責任展開探究。

1.個人信息財產權侵權的歸責原則

筆者認為，個人信息財產權侵權應當適用過錯推定責任。由于個人信息具有可識別性，侵權者在收集和處理個人信息的過程中理應知道信息主體的真實身份情況，所以可以推定侵權者在侵犯個人信息時主觀上為故意，除非其能夠舉證證明自己主觀上無過錯，推翻過錯推定。

個人信息侵權案件中，受害者通常是個人，侵權者則通常為網絡服務提供商或者公權力機構，受害者相較于侵權者往往處于弱勢地位，其難以舉證證明侵權者存在主觀過錯，倘若個人信息財產權侵權采用一般侵權行為所適用的過錯責任原則，對受害者的訴訟利益將極為不利，信息主體所遭受的財產損失便難以得到補償。在當今信息社會，個人信息就是價值和財富，個人信息的健康流轉不僅對于個人產生巨大利益，其對于國家整體經濟的發展也具有越來越重要的作用，個人信息產業日益成為國民經濟的重要組成部分，倘若個人信息財產權侵權適用無過錯責任原則，無論侵權者主觀上是故意還是過失，只要其行為客觀上構成對信息主體個人信息財產權的侵犯就要承擔民事責任，那么就將阻礙個人信息的良性、健康流轉，限制國民經濟的健康發展，不利于國家整體經濟形勢的穩定，失之偏頗，從國家利益和公共政策的角度來看，這種矯枉過正的做法是不可取的。

綜合考慮信息主體權益保護和國家經濟發展大局，筆者認為，過錯推定責任當屬折中之策。

2.個人信息財產權的主要侵權行為類型

（1）未經信息主體同意的二次開發行為

商業機構或者公權力機構初次收集到的個人信息被稱為“原始信息”，可以推定信息主體在將其個人信息交予信息收集者時雙方達成了一種默契，即信息收集者只能將收集到的原始信息在雙方協議的范圍內加以合法利用，而不能對原始信息進行再次深度開發，如果信息收集者對原始信息進行分析整理或者數據挖掘，則可能進一步得到更加深層次的數據，這可以稱為“二次信息”，個人信息收集者將二次信息用于商業目的或者其他不法目的，則違背了信息主體的意愿，侵犯了信息主體的持有權。

（2）未經信息主體許可的商業化利用行為

信息主體有權許可他人在一定的時間和范圍內商業化地利用其個人信息，未經信息主體許可擅自商業化利用其個人信息的行為（通常未向信息主體支付報酬）侵犯了信息主體的許可權。

（3）被許可人未經信息主體同意擅自向第三人轉讓個人信息

信息主體將個人信息許可給他人使用，個人信息的所有權仍然屬于信息主體，其依然保留著對個人信息完整控制的權利，其僅同意被許可人使用該信息，但并未同意第三人使用該信息，更未同意第三人取得該信息的所有權，因而被許可人在未經信息主體同意的情況下將個人信息轉讓給第三人的行為侵犯了信息主體的許可權和轉讓權。

3.個人信息財產權侵權責任的承擔方式

筆者認為，與其他民事侵權行為的法律責任同理，個人信息財產權侵權的法律責任也應當包括賠禮道歉、停止侵害、消除影響、恢復名譽等，但是最重要的責任承擔方式是賠償損失。筆者認為，個人信息財產權侵權損害賠償可由兩方面組成。其一，對于一般性的侵權行為，采用補償性損害賠償原則，侵權者只需補償信息主體所受損失部分即可，即損害填補。具體說來，確定損害賠償數額的標準以侵權行為給信息主體造成的實際經濟損失為準，信息主體的實際經濟損失包括信息主體正常行使個人信息財產權能夠得到的合理預期財產性收入以及信息主體為了制止侵權者實施侵權行為或者為了調查取證而花費的開支這兩大部分。當實際損失無法確定時，法官可以充分發揮自由裁量權，結合自由心證，綜合考量侵權行為的性質、個人信息交易的具體情況、個人信息的屬性、侵權行為的后果等情節酌情確定賠償數額。其二，對于情節惡劣的侵權行為，應參考消《費者權益保護法》的懲罰性賠償制度，確立懲罰性賠償的原則，以信息主體所受實際損失乘以若干倍數確定懲罰性賠償數額。

三、確立個人信息財產權的必要性

僅僅采用人格權方式保護個人信息是不完善的，而且也與目前的社會現狀不符，應正視個人信息在信息時代的商業化現實，創新其保護方式[18]。個人信息的雙重利益屬性應被我國立法所承認，我國立法應確認個人信息財產利益，采用人格權與財產權結合的方式保護個人信息，以此滿足社會發展的需要。采用財產權模式保護個人信息具有顯著的優越性。

（一）有利于促進社會公平正義

首先，如前文所述，隨著我國信息技術產業的高速發展，各種電子信息產業巨頭應運而生，這些行業巨擘以及國家公權力機關牢牢掌握著收集和處理個人信息的技術與財力，它們在個人信息收集活動或個人信息買賣交易中處于明顯的優勢地位，信息主體在此種條件下已經難以實際控制其個人信息，從而成為了弱勢群體，這就亟需法律盡快確立個人信息財產權制度，以此保護信息主體的合法權益和協調其與前兩者之間的利益關系。

其次，個人信息產業誕生之初，網上商業機構收集個人信息的目的僅是分析市場需求狀況，進而確定營銷策略，此乃利用個人信息間接獲取商業利益。然而時至今日，越來越多的網上商家通過將其收集的個人信息作為商品進行直接交易來獲取商業利益，傳統“間接模式”已經演變為了“直接模式”，個人信息的商業化利用程度已越來越高，傳統片面式的個人信息人格權保護模式已經越發不能夠對個人信息蘊藏的巨大經濟利益予以調整，個人信息財產權侵權行為一旦發生，則信息主體將會由于財產法益保護的缺位而不能得到及時有效的救濟，這對信息主體極為不公。同時，即使信息主體通過個人信息人格權的救濟模式獲得了一定程度的補償，如精神損害賠償，但是該補償額度與侵權者通過侵權行為而獲得的商業利益相比相差甚遠、顯失比例，侵權者侵權成本低，對于信息主體而言仍顯不公。

（二）有利于促進信息產業的健康發展

1.有利于促進電子商務的發展

電子商務領域個人信息侵權現象的頻繁發生將會打擊消費者的消費熱情，消費者出于對其個人信息被電子商家非法侵犯的顧慮而放棄網上交易方式，仍舊選擇傳統的交易形式，這將會制約電子商務的發展，從長遠來看，國民經濟的產業結構平衡將受到嚴重影響。個人信息財產權的確立將有助于重振消費者網上消費信心，為電子商務發展保駕護航。

2.有利于促進個人信息市場的發展

當前個人信息市場發展尚不完善，商家獨占個人信息商業化利用過程中的經濟價值，信息主體出于對個人信息安全的隱憂較少參與信息市場交易活動，個人信息交易市場成為商家的“獨角戲”，這就導致信息市場商品供給量嚴重不足，對信息市場的完善極為不利。個人信息財產權的確立將為信息安全提供優良制度環境，提振信息主體參與信息市場交易的信心，有助于不斷整合、挖掘以及最大程度地開發利用個人信息，實現信息資源增值，促進信息市場的蓬勃發展，激發信息市場活力。

（三）傳統人格權保護模式已不適應個人信息被積極利用的現狀

傳統民法理論僅僅將個人信息視為人格尊嚴和隱私的載體之一，因而僅以人格權模式對其進行事后保護。當今時代條件下個人信息的商品屬性愈發明顯，流通價值日益增大，儼然已成為隱私和無形商品的有機結合體，對個人信息流轉交易的各個環節進行事前規范的呼聲越來越高。人格權保護模式是一種事后救濟制度，具有消極性，它只能在侵權行為發生之后對侵權者施以懲戒，然而它無法規范個人信息侵權行為發生之前的信息收集、利用、處理、流轉活動，無法達到事前規范的效果。個人信息財產權制度的確立就能夠實現個人信息交易過程的全覆蓋，個人信息收集、利用、轉讓的各個環節都在法律調整范圍之內，以積極的事前規范方式保證信息市場交易活動的有序進行。故應當改變傳統的個人信息人格權單一保護模式，代之以人格權、財產權結合的雙重立體保護模式，二者互為補充。

四、結語

經濟基礎決定上層建筑，在個人信息高度商品化的今天，個人信息財產權立法是時代的呼聲和要求，其緊迫性與日俱增。探索建立一條個人信息財產權法律保護的康莊大道，方能統籌個人信息市場各方主體的利益，實現互利共贏，促進個人信息市場健康發展，為國民經濟結構的急劇轉型升級掃清障礙。