当前位置: 中外法学 > 个人信息对价化及其基本制度构建
个人信息对价化及其基本制度构建
郑观 浙江大学光华法学院

引言
  大数据技术的广泛应用促使个人信息的私法调整应包括防御保护与积极利用两方面要素。我国现行立法多从防止不法侵害的角度,对个人信息予以防御保护。《民法总则》第111条规定个人信息应依法获取,不得非法使用与买卖,但就个人信息的权利归属却予以留白。面对经营者以服务换取信息的交易活动以及由此产生的个人信息对价属性,权利主体、权能内容以及行权方式等相关制度不可或缺。本文旨在人格权制度框架下构建以信息主体个人自决为核心的信息积极利用规则,以期推动我国人格权(编)立法的完善,而这显然应以个人信息对价化的现实交易模式为基础。
  一、个人信息对价化交易模式:服务换取信息
  (一)“无偿”合同的有偿性
  依据2017年的资料显示,目前全球市值前十名的互联网企业中,我国共有腾讯、阿里巴巴及百度三家入榜。[1]亿万用户在接受网络服务时留下包括使用痕迹在内的大量个人信息,从在线搜索到社交平台,从电子支付到路线导航,繁杂的服务内容意味着个人信息的多样性。经由大数据技术,个人信息最终被经营者用于商业活动之中。依照德国联邦经济与能源局的预估,2017年大数据所创造的经济价值超过500亿欧元。[2]在收集、使用个人信息的过程中,网络经营者多打着免费的招牌,而消费者因无需给付金钱,从而产生“无偿性”的错觉。不可否认,若对个人信息的收集、使用范畴仅限于向消费者提供约定的服务,交易可倾向认定为无偿合同。但经营者在其拟定的格式合同中,往往超出这一范畴而要求用户同意其个人信息被全面地收集及使用。[3]经营者向消费者提供服务的经济动机在于收集其个人信息,并借助大数据技术予以商业化利用。双方在交易中互负具目的关联性的给付义务,从而形成双务合同关系。借由服务换取信息的商业模式,[4]经营者为此类双务有偿合同披上单务无偿的外衣,实际情况却是消费者以同意经营者利用其个人信息作为接受服务的对价,促使个人信息发生对价性转换。部分企业基于消费者对个人信息重视程度的不同,以差别性定价的方式提供服务,即更少的对个人信息的利用意味着更高的服务价格,亦间接印证了个人信息的对价功能。[5]
  我国消费者对网络经营者的这一商业模式并非毫无察觉。中国消费者协会于2018年8月所公布的《App个人信息泄露情况调查报告》中显示,77%的消费者认为APP收集个人信息的目的在于推销广告,45.9%的消费者认为是为了出售和交换用户的个人信息,分列该项调查结果前两位。[6]而百度CEO李彦宏关于“中国消费者愿意用隐私交换便捷性和效率”的言论,印证了个人信息与接受服务之间的互易关系,刺破了网络服务“无偿性”的面纱。
  (二)个人信息对价化概念的兴起
  伴随数据经济规模的迸发,个人信息的对价属性已经逐渐受到学者和立法机关的重视。在欧美,有学者明确提出此类合同属于互易合同,消费者的个人信息应被视为代替价金而换取服务。我国亦有学者针对个人信息的商业化利用,提出可以采取普遍免费与个别付费相结合的模式,即较为重视隐私的消费者,以支付费用获取服务的模式,换取网络经营者对其个人信息较少或不予使用。这一观点实质上是从隐私保护的角度,承认个人信息具有对价属性。[7]而欧盟立法者更颁布了《关于提供数字内容合同若干方面的指令(建议稿)》(以下简称《数字内容指令(建议稿)》,认定消费者为了获取服务而向网络经营者提供的用于商业化利用的个人信息同货币一样,均具有对价属性。[8]
  随着大数据技术的不断完善,消费者的用户画像将愈加精准,并最终导致经营者对消费者的消费决策产生决定性的影响。一旦用于广告推销等商业活动,消费者主体的意思自治将受到严重侵蚀,甚至沦为经营者可以操控的客体。鉴于个人信息对价化交易是经营者获取消费者个人信息的基本途径,构建合理的交易规则是智能时代个人信息保护不可或缺的一环。若仅是强调个人信息的侵权保护或公法规制,却忽视契约法上信息换取服务的交易关系,将会导致个人信息制度构建中的系统性缺陷。
  (三)对价功能中个人信息的具体范畴
  基于各自的规范目的,不同条文对个人信息范畴的具体界定亦不相同。如《网络安全法》第76条以识别自然人个人身份为判断标准,非穷尽式地列举了自然人姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等内容。该条对个人信息范畴的界定,一定程度上体现了领域理论(Sphärentheorie)对个人信息的分类。源于人格尊严与自由发展的领域理论依人格法益的私领域性,将其分为私密领域、私人领域以及社会领域,其中涉及私密、私人领域法益的个人信息原则上应免受不法侵犯。[9]但个人信息对价化交易中,经营者旨在创建用于商业化利用的用户画像,对消费者个人信息的收集与使用依具体商业活动需求而定,无关信息的私密程度,领域学说对个人信息的划分并不适合对价化交易。
  相较而言,工商总局于2016年颁布的《中华人民共和国消费者权益保护法实施条例(送审稿)》第22条将消费者的职业、收入和财产状况、健康状况、消费情况等内容一并纳入。通过大数据技术,经营者对消费者在交易活动中所产生的身份信息以及反映其消费偏好的事实信息予以收集、使用,评判标准不再是信息主体视角下的私领域性,而是经营者所认定的可商业利用性。伴随大数据技术的发展完善,可用于商业化利用的个人信息亦将更为广泛,就此而言,不具价值的个人信息并不存在。[10]
  但经营者通过提供服务而收集、使用的个人信息并非全部用于对价化转换。判断信息是否具有对价属性,还应考虑到具体使用途径。若个人信息的收集、使用对所提供的服务而言乃属必要且仅用于服务本身,例如为提供导航服务而获取地理位置,或是为提供网络社群服务而获取用户照片,则应倾向否认个人信息的对价属性。反之,若个人信息的收集范围、使用途径超出必要限度,则可认定个人信息具对价功能,消费者以同意经营者对其个人信息予以商业化利用作为接受服务的对待给付。网络交易中的个人信息由此划分为消费者所需与经营者所需,仅后者属于发生对价化转换的个人信息。
  (四)《民法总则》框架中个人信息与数据的关系
  鉴于海量的消费者个人信息在对价化交易中被转化为数据形态,且《民法总则》第111条和第127条分别将个人信息与数据纳入法律保护的范畴,从而引发对二者关系的争论。学界目前主要存在两种截然相反的看法,部分学者认为二者可各自独立存在,并基于数据本身的工具性与无价值性,否认数据的民事权利客体属性。[11]相反观点则强调二者之间是内容与形式的关系,构成统一不可分割的整体。[12]上述两种观点将个人信息与数据相对看待,却忽视了二者均类属于信息这一上位概念,对二者关系的分析亦应在信息类属的框架内进行。
  西方语言中的信息一词源于拉丁语中的Informare,语源学上本指成型、塑形。作为日常用语的信息则多具内容、数据、意义、意图、语义或知识等含义。[13]科学领域内,不同学科对于信息概念的认定不尽相同,实难予以跨学科的统一。[14]法学对信息的界定应立足于客观现实,在符合社会大众普遍认知的同时,侧重强调信息作为客体的特性。消费者接受服务时产生出反映其个人基本情况、消费行为及偏好等信息内容,经营者将此类信息以数据编码的形式予以记载,并存储于终端服务器。整个流程共涉及语义(semantic)、句法(syntactic)以及结构(structural)三种信息形态。语义信息强调的是信息的内容层面,指信息本身蕴含的、可被主体认知的具体内容,与获悉该信息的认知主体不可分离。句法信息则从编码层面,将信息定义为以语言、文字、线条等符号以及符号之间的关联关系而呈现的客观形态,可脱离认知主体而独立存在。对句法信息予以持续性的保留,则需借助书籍、硬盘等一定的物理载体,此时涉及的乃是信息的物理层面即结构信息。上述三种信息形态虽各自独立,但并不互相排斥,而是呈现出一定的融合性,即结构信息可以但并不必然作为句法信息的载体,而句法信息与语义信息之间的关系亦然。[15]
  依此标准对法律规范中的信息加以划分,有利于确认信息的客体属性及交易规则。如《网络安全法》第76条所列举的姓名、出生日期等内容以及《民法总则》第111条中的个人信息均属语义信息范畴。与之相对,《民法总则》第127条所保护的数据侧重于信息的符号化特性,即以文字、图片、音视频、数字证书、计算机程序等一系列符号以及符号之间的关联性而构成的信息符,强调信息的逻辑层面或编码层面,属于句法信息。《最高人民法院关于审理买卖合同纠纷案件适用法律问题的解释》第5条所规定的有形载体上的电子信息产品,指信息借由某一特定存储媒介而实现物理实体化,此种信息属于结构信息。我国学者对于个人信息和数据之争,实质上分属于信息的语义和句法两种形态,作为句法信息的数据,可以但不必然与语义形态的个人信息相结合,二者均属于民事权利客体。
  就信息客体的交易规则而言,结构信息借助于其“有体化”的特性,承载于其上的句法信息在一定情形下可参照适用该物理载体自身的动产变动规则。[16]句法信息则可依知识产权相关制度,将符号的创作者而非物理载体的所有者视为权利主体。[17]但若句法信息蕴含的语义内容属于人格法益范畴,如对某人的画像、拍照或是自传,则该句法信息(线条、影像或文字构成)的权利主体可能为创作人或语义信息涉及的主体。[18]而语义信息若以自然人作为表述内容,信息的使用规则应考虑到该自然人的人格法益。[19]
  二、比较法上的规范路径及本土模式
  消费者个人信息的收集与使用势必会引发公众对个人信息安全乃至其消费决策被经营者控制的担忧,但其商业化利用却是经营者提供服务的内在动机。如何在二者之间实现平衡,美国与欧盟采取了截然不同的规制路径。前者以行政机关为主导,将联邦贸易委员会作为专门的监管机关,强调对网路经营者予以行政监管,实现对消费者个人信息的保护。除公法领域中的碎片化立法外,面对大数据时代中的个人信息对价化,隐私权与公开权的二元结构虽已窒碍难行,但尚无其他私法规范取而代之。欧盟则兼顾信息保护与交易调整,在强调个人信息免受不法侵害的同时,确认经营者与消费者之间的双务关系以及信息的对价属性,将相关交易纳入合同法调整范畴,同时基于个人信息的人格法益属性,对信息主体的意思自治予以保护性限缩。
  (一)美国:行政监管主导下的信息保护
  作为网络科技的发源地,美国互联网企业对消费者个人信息的商业化利用由来已久,交易规则原则上由合同双方自行约定。而就个人信息能否作为财产权客体、权利主体是消费者或是收集、使用信息的经营者、信息流转的具体规则是否应具有特殊性等一系列问题,尽管学界已有诸多讨论,[20]在制度层面上,却尚无明确规定。司法、立法及行政机关关注的重点在于个人信息的保护,并以联邦贸易委员会对经营者的行政监管作为规制核心。
  1.判例法中的隐私权与公开权
  美国判例法通常将个人信息纳入隐私权保护范畴之内,而隐私权概念的提出可追溯至1890年发表于《哈佛法学评论》的《隐私权》一文。[21]该文基于对英、法两国相关制度以及德国哲学中人格概念的研究,提出隐私权应不受侵犯。[22]美国法院则于1905年首次对隐私权予以承认。[23]鉴于隐私权这一概念过于宽泛而缺乏司法可操作性,美国有学者通过对数百件相关判决的分析,将隐私侵权归纳为不当干扰隐秘生活、公开个人敏感信息、公布误导性信息及擅用他人姓名、肖像或其他特征牟利四种类型。[24]该四分法建构起美国当代隐私侵权的基本制度框架,对立法、司法及学界产生决定性的影响。
  伴随着影音媒体技术的不断发展,隐私权制度逐渐显现出其局限性。一方面,媒体发展使得否认隐私具有财产价值的观点,同商业活动中知名人物有偿许可企业使用其肖像权、姓名权的现实情况不符。另一方面,隐私权的不可转让性[25]导致相关许可合同的效力局限于当事人双方,被许可企业无法依许可合同有效保障自身权益。面对制度缺位,美国法院在判决中首次提出了公开权,承认肖像权具有财产价值。[26]随后,有学者进一步强调公开权的财产性价值源于个人劳务所获得的知名度。[27]而美国联邦法院对公开权属于财产权的认定,[28]标志着隐私权和公开权二元结构的形成,[29]前者偏重精神性利益,后者强调财产性利益。[30]
  从隐私权到公开权体现了美国法院对于现实问题的回应,而这些问题又源于科技进步对于个人私领域的不断侵入。十九世纪摄影技术与报业传媒的兴起,促使大众认识到个人隐私保护的必要性,而二十世纪影音科技的发展促使名人效应受到重视,隐私侵权制度已无法适应个人名誉商业化利用的客观现实,公开权的提出水到渠成。同样的,摄影时代的隐私权或影音时代的公开权制度亦无法有效调整智能时代的个人信息对价化交易。以不当干扰隐私生活为例,个人信息必须具有非公开性、非信息主体授权性、信息内容高度私领域性、明显侵犯性等特征。但用于商业化的个人信息,大多已在网络中公开,且消费者在接受服务时已同意向经营者提供,信息内容本身通常不具有高度私领域性或侵犯性,并不满足不当干扰隐私生活的构成要件,更何况隐私权或公开权均是从侵权法的角度对信息主体加以保护,与对价化交易的合同属性相异。
  2.立法谦抑与司法让位
  立法层面上,出于行业发展可能受到制度束缚的担忧,[31]美国并没有对个人信息的使用予以整体性规定。现行成文法多针对某一特定领域的信息,其中较为重要的包括《儿童网络隐私保护法》(Children’s Online Privacy Protection Act)、《电子通讯隐私法》(Electronic Communication Privacy Act)以及《金融服务现代化法》(Financial Services Modernization Act)等。专门性法律规范虽具灵活性与针对性,但一般规则的缺位以及碎片化的立法模式,容易导致法律漏洞。[32]以In re Double Click, Inc. Privacy Litigation一案为例,针对被告利用Cookies技术收集消费者的浏览信息,用以定向发送广告的行为,法院并未认定此类行为属于《电子通讯隐私法》所禁止的非法拦截,因为该法针对的是窃听通讯的行为,而利用Cookies技术收集的信息记录并不属于该法所称的“通讯”范畴之内。[33]
  立法谦抑的背后是对互联网行业自律的强调,经营者通常会在网络页面中向消费者公告隐私保护政策,并征得其同意。[34]但这一行业惯例并未促使合同法成为调整相关交易的基本规范。[35]相反,法官或基于公司隐私政策不够明确,否认其属于合同内容,[36]或因消费者难以证明存在信赖损失而不予适用衡平法中的禁反言制度。[37]即使在个别案件中承认了隐私政策属于合同内容,原告亦因无法举证其具体损失而最终败诉。[38]
  3.行政监管作为规制核心
  面对立法机关与司法机关的谨慎态度,行政监管成为美国个人信息保护的必然选择。联邦贸易委员会作为管辖机关依《联邦贸易委员会法》于1914年成立,[39]最初旨在确保商业竞争的公平性。后通过对该法第5条的增修,委员会有权禁止不公平或者欺诈性商业行为,从而将消费者个人信息保护纳入职权范畴。[40]依行业自律原则,网络经营者可以自主制定其隐私政策,并在网页中向消费者予以公告,而联邦贸易委员会则针对该隐私政策是否被合理执行,认定经营者对消费者个人信息的收集、使用是否构成不公平或欺诈行为。由于委员会自身无权制定有关个人信息保护的实质性规范,仅能被动的对经营者的隐私政策加以审查,一旦其并未制定隐私条款或条款内容较为模糊,委员会将无法有效行使其监管权限,故有观点认为委员会的监管毫无威慑作用。[41]
  (二)欧盟:消费者合同与信息保护的并行
  面对个人信息对价化交易,欧盟立法者采取了合同调整与个人信息保护的双轨路径。前者秉持契约自由原则,在《数字内容指令(建议稿)》中,认定作为消费者的信息主体同经营者之间存在双务合同关系。[42]后者通过专门性的《数据保护通用条例》将个人信息作为保护客体,统一欧盟各国的法定标准。[43]两部法律于具体交易中并行适用,若对价化交易涉及个人信息保护,以《数据保护通用条例》的有关规定为主,指令中的民事规范转至备位。[44]
  1.消费者保护性规范:《数字内容指令(建议稿)》
  作为欧盟调整数字信息交易的法律规范,《数字内容指令(建议稿)》的部分条文源于《欧洲统一买卖法》。[45]同时为了适应科技以及商业活动的不断发展,立法者对“数字内容”予以较为宽泛的界定,依照该指令建议稿第2条的规定,数字内容除影音、应用、游戏及其他软件外,还包括提供生成、加工或存储电子数据的服务以及与其他用户共同使用电子数据的服务,从而将数据库、云计算、社交媒体以及在线搜索等服务内容均纳入适用范畴,交易类型远超出买卖合同的范畴。
  该指令建议稿的创新之处在于确认个人信息的对价属性。[46]依第3条第1款,消费者在接受经营者提供的数字内容时,不论其对待给付的具体形式为支付价金或提供个人信息,均属指令的适用范畴。将个人信息与价金等同视之,其一是为了确保公平竞争。若仅将价金作为双务有偿的认定标准,否认个人信息的对价功能,甚至视有关交易为情谊行为,不仅意味着对价金模式的歧视,更释放出不合理的激励信号,促使经营者为减轻义务而选择个人信息为对价的商业模式。其二,无论消费者以价金或个人信息作为给付形式,经营者的瑕疵履行均可能损害消费者的权益,故将二者均纳入指令的调整范畴亦属应然。[47]虽然《数字内容指令(建议稿)》仅将消费者主动提供个人信息作为给付的实现形式,但现实中对个人信息的利用多由经营者主导,给付行为更多的体现为消费者同意经营者对其个人信息的收集与使用,但指令对消费者同意的具体规则并未规定,仅强调不得违反《数据保护通用条例》等个人信息保护性法律规范。[48]
  2.信息保护性法律规范:《数据保护通用条例》
  相较于成员国,欧盟个人信息保护相关立法起步较晚,[49]直到上世纪九十年代《欧盟基本权利宪章》的颁布方促使欧盟启动立法程序。由于科技的迅猛发展,欧盟第一部个人信息保护法案《数据保护指令》于1995年甫一出台,便面临着亟待修订的窘境。[50]但直至2016年,取代该指令的《数据保护通用条例》(General Data Protection Regulation)方正式颁布。
  作为强制性规范,《数据保护通用条例》第6条强调非经消费者同意及法律明文列举之情形,经营者不得使用消费者个人信息。[51]这种原则性禁止、例外性准许的立法思路被称为附许可保留的禁止(Verbot mit Erlaubnisvorbehalt)。[52]依照该条第1款a项,仅在信息主体针对某一或若干确定目的做出同意时,经营者方可处理其个人信息,而主体同意依照第7条的规定,得随时撤回(Widerruf)。鉴于不具前提限制的反悔权并不为传统民法规范所接受,如消费者反悔权在交易类型、行使时间上均有所限制。[53]信息保护法中对主体同意制度的特殊安排与民法所强调的有约必守原则相冲突,实质上是赋予信息主体任意反悔权,体现了具有公法属性的数据保护规范对传统民法撤回制度的覆盖。[54]
  (三)本土模式:个人信息的合法保护与民事权利主体界定不清
  我国个人信息保护性条文散见于多部法律规范中,如《刑法》第253之一条的出售、非法提供公民个人信息罪(2009年修订)以及《居民身份证法》第6条第3款与第13条第2款(2011年修订)、《护照法》第12条第3款(2006年颁布)、《社会保险法》第81条(2010年颁布)等专门性立法。上述条文从免受不法侵害的角度对特定的个人信息予以保护,而2012年全国人大常委会通过的《关于加强网络信息保护的决定》以及随后出台的《消费者权益保护法》第29条(2013年修订)、《网络安全法》第41条(2016年颁布)以及《民法总则》第111条(2017年颁布)则将我国信息保护制度从特定信息扩展至整体信息,同时亦涉及经营者对个人信息的商业化利用问题。
  个人信息对价化交易以消费者作为其个人信息的权利主体为前提,但立法者对这一问题并未明确规定,既有条文之间甚至相互冲突。《民法总则》虽在第111条中强调自然人的个人信息应受法律保护,但却并未将主体对个人信息的权利纳入第110条所列举的具体人格权之中。与之相对,《消费者权益保护法》第29条第1款第1句与《网络安全法》第41条则规定对消费者个人信息的收集、使用必须经本人同意。同意制度通过许可他人具体的介入权能(Eingriffsbefugnis),将抽象的、一般性的法定禁止予以限缩,而同意自身包含两项前提:其一,必须以同意主体对相关权益享有防御权能(Abwehrbefugnis)为基础,若被同意的行为具有普遍可实施性,同意将不具任何意义;其二,本人应对相关权益享有处分权能(Dispositionsbefugnis),个人无法对侵犯公共利益或他人权益的行为予以有效同意。不同于所有权人对客体的处分(Verfügung),本人同意并不导致权利主体的转移,而仅是扩大了权能主体的范围。防御权和处分权的享有意味着做出同意的本人乃是其人格法益的权利主体,进而得出信息主体对其个人信息享有主观权利的结论。
  针对这一立法冲突,有学者将《民法总则》与另外两部法律的有关规定割裂看待,将《民法总则》第111条并未规定个人同意作为实定法上的证明,否认主体对其个人信息享有私权,主张个人信息应由社会而非信息主体个人控制,同时认为《消费者权益保护法》及《网络安全法》中规定的信息主体的同意乃是法律移植中的误读。[55]相反观点认为应承认主体对其个人信息享有主观权利,但就具体权利内容,则分为单纯的消极防御权能[56]与兼具积极利用权能[57]两种观点,而本人同意亦可被理解为对防御权能的放弃或是对处分权能的实施。
  三、对价化交易中个人信息私权属性之证成
  本文认为应将《民法总则》第111条理解为原则性规定,即收集、处理个人信息应具有合法性理由,而具体理由包括权利主体的同意(《消费者权益保护法》第29条第1款第1句、《网络安全法》第41条)以及立法者基于立法价值判断或具体利益衡量而认定无需征得个人同意的情形(如《反恐怖主义法》第50条及51条、《反洗钱法》第5条、《消费者权益保护法》第29条第1款第2句中的双方约定)。否认主体对个人信息享有民事权利,意味着否定意思自治在个人信息领域的适用,其结果将是公权力与互联网企业借助于大数据技术对个人信息的精准分析,对主体行为的影响更具效果,最终导致个人沦为被操控的客体。若仅片面的强调防御权能,固守过时的信息保护机制,[58]不仅是对信息对价化商业活动的漠视,亦是将财产性利益从个人信息保护中排除。无论是基于意思自治的伦理基础即个人自决原则或是立法者对智能时代社会变迁的呼应,均应承认信息主体除防御权能外,亦享有积极利用的权能内容。[59]消极防御和积极利用践行着主体对其个人信息的自主决定,在民法人格权体系内表现为主体的信息自决权(das Recht auf informationelle Selbstbestimmung)。我国学界多将主体对于个人信息的权利称为个人信息权,[60]本文则采德国法学界惯用的信息自决权一词,一则明晰主体自决乃是权能内容,个人信息则属人格法益,二则个人自决派生至人的自由与尊严,自决一词体现了信息自决权的哲学基础与宪法渊源。同时,个人信息的物理特性使得信息自决权具有框架权的特征,权利内容需经具体的利益衡量方可确定,同《民法总则》第109条所规定的一般人格权一脉相承,表明该权利在民法教义学中的归属。
  (一)个人自决的哲学基础
  自决(Selbstbestimmung)概念的提出源于哲学范畴。作为人类文明核心概念之一,自决在社会科学领域中的应用,是其他哲学概念难以比拟的,[61]包括法学在内的诸多学科中对主体行为基础及边界的确定,均以自决为出发点。在哲学领域内,自决被归入自律(Autonomie)范畴,作为自律的重要表现形式。自律一词源于希腊语中的自(autos)与律(nomos),作为他律(Heteronomie)的相对概念,指主体不受外界拘束与条件的限制。同自由相比,自律更具有主体积极性要素,强调主体意愿的决定性。自律概念的提出迄今已有2500年之久,但作为哲学思辨中的核心理念,却始于康德将其引入个体伦理学领域。[62]康德学说的核心在于确认先验的道德最高原则,[63]而该先验性要求将人的行为与外部环境的具体影响在因果关系上加以一定程度的割裂。因此,康德在《道德形而上学基础》一书中将自由意志界定为理性,只有作为理性存在的个人方能享有自由意志的能力,体现为可为自身设立道德法则,并依该法则确定实践行为的准则。定言令式中道德的最高法则在于仅选择被自身认定的普遍法则,作为其行为准则。[64]康德的自律一说,在于反对幸福论,尤其是宗教道德中的他律论,强调个人自由意志不受外界的影响,依一定的律令决定自身行为。道德自律赋予个体以尊严,而设立道德法则的能力则是享有尊严的基础,人基于道德自律而成为其自身之目的,亦应以此标准对待他人,不得将他人作为工具。[65]为了确保个人享有意思自决的自由,康德将法律定义为当个人意志与他人意志依照普遍法则结合时,所需遵守的条件总合。[66]针对康德法律定义中对个人自律的强调,黑格尔认为若孤立的看待个人,法律仅具有消极性、限缩性的含义。[67]因此,真正的自由不在于个体之间的区隔,而只能通过与社会现实的连接实现。虽不赞同康德将个体自律作为核心概念,黑格尔却并未否认个人自决,正如其在《法哲学原理》一书中所主张的:法的命令即成为人,并尊重他人为人。[68]
  不同于作为私法自治伦理学基础的康德义务论,密尔从功利主义的角度强调个人自决的意义及对其限制的合法边界。在《论自由》一书中,密尔对父爱主义加以批判,认为主体是自身利益最合适的保护者,对个人自由的限制仅能出于保护他人利益之目的。[69]相较于惯例、规则阻碍个体的创造性及社会的发展,个人自决意味着自身利益与社会整体利益的提高。[70]
  关于自律的讨论为个人自决权在法学中的适用奠定了哲学基础。义务论强调人格尊严源于个体的自律能力,对人格尊严的尊重必然以承认个体在社会生活中的自律或自决为前提。为实现个体乃至社会整体利益的最大化,功利主义强调的自决优于他决,亦要求从制度上对主体自决的权利予以确认。同时,对自决权的承认并不代表主体权利的行使不受限制或优于公共利益,黑格尔对自律过于强调个体性的批判,与对自决权的承认并不冲突。
  自律或自决的价值理念体现在诸多法律基本原则中,如宪法对人格尊严的保护、民法对意思自治的尊重等。[71]当然,该原则在具体规范中并非绝对,除需满足适用前提外,在特定情况下亦应予以限缩。一方面,自决需要主体享有相应的判断能力、对于信息的掌握达到必要的程度且外部客观环境的影响不至阻碍主体决策的自由性。另一方面,基于他人、公共乃至主体自身利益,亦可对自决权的行使予以例外性限缩。康德将调整个体与他人之间的自由界限作为法律的首要任务,[72]密尔强调防止对他人造成损害是限制个人自由意志的唯一理由,[73]即使并未上升为他人主观权利的公共利益,将在一定条件下限制个人自决,同时为了防止自决导致主体的自损行为,立法者亦可依“父爱主义”而限缩自决权的行使。
  (二)信息自决权的民法教义学证成
  哲学范畴内的主体自决仅能作为信息自决权的价值基础,主体对其个人信息是否享有民事权利仍需进一步证成。信息自决权作为法学概念由德国学者于1971年首次提出,[74]后被德国联邦宪法法院予以承认,[75]并对德国乃至欧盟数据保护立法产生了深远的影响。[76]信息自决权指信息主体原则上有权决定其个人信息能否被他人获悉以及被获悉的方式、范围。[77]尽管立法者并未明文规定信息自决权,但依联邦宪法法院的观点,为了对抗社会与科技进步对公民人格造成的既有的或潜在的威胁,可基于《基本法》中的人格自由发展及人的尊严不受侵犯原则派生出该项基本权利。[78]人格自由发展乃属一般人格权的根源,而人格尊严不受侵犯则是人格权保护内容及具体范畴的确定标准。[79]就此而言,宪法人格权与民法人格权并无差异。[80]作为民法人格权的信息自决权,由主体的个人信息及其自决权两部分组成,个人信息属于受保护的人格法益(Schutzgut),自决则是人格权的具体权能内容。[81]
  信息自决权的提出源于行政部门借助计算机技术获取患者信息的行为,故最初仅作为公民的宪法性基本权利对抗行政机关。伴随社会变迁与科技进步,当今互联网企业对于消费者个人信息的掌握甚至远超过国家机关,亦促使该权利突破宪法性基本权利的限制,转而具有民事权利的属性。自信息自决权提出伊始,德国法学界对其私权属性及具体权能内容便存在着争议。无独有偶,相似的观点目前亦见于我国学界。学者或是强调信息流通自由等公共利益的重要性,认为个人信息私权化将对此造成损害,从而否认信息自决权的主观权利属性,[82]或是仅承认个人信息具精神利益,否认其财产价值属性,并将主体对个人信息的权利限定为防御权能,[83]又或是主张信息自决权除确保个人信息免受不法侵害外,主体亦享有将个人信息予以商业化利用的处分权能。[84]
  1.信息自决权的私权属性
  否认个人信息私权属性的观点主要以私权化将阻碍信息自由流通以及个人信息具有公共物品属性为理由,并主张应将个人信息交由公法规范调整。[85]就私权化与信息流通自由之间的冲突,否认私权属性的学者认为个人信息私权化即信息自决权的主观权利属性必然导致信息自由流通基础的瓦解,流通自由的客观秩序天然的与信息自决权主观权利的属性相斥。[86]此外,亦有学者将主体对个人信息的权利理解为类所有权性质,面对社会公共利益,主体对个人信息排他性支配以及由此产生的信息私有化将导致制度正当性的丧失。[87]
  将主体对个人信息的自决,同阻碍信息流通自由、损害社会公益画上等号,实乃过度夸大信息自决权的客观效果,信息保护制度所追求的客观意旨即信息流通自由,同信息自决权主观权利的属性并不冲突。一方面,从维护人格尊严、实现人格发展的制度根源来看,信息保护制度所追求的客观价值秩序,应是对主体自决作为主观权利的补充和强化。否认信息自决权主观权利的属性,意味着否认主体实现自身利益的可能,遑论对个人信息的有效保护。另一方面,强调社会控制的信息保护体系并不能代替信息主体对其个人信息享有主观权利。以意思自治为原则的民事法律规范,制度起点是确认各参与者的权属状况,从而确保参与者最大限度的通过自我调整实现自身利益。旨在保护个人信息的民事法律规范,首先面对的问题便是同自然人相关的大量信息中,哪些在法律上应归属于其本人。信息的社会控制应作为主体对个人信息自决的补充,其主要功能在于当社会或是第三人与主体之间就个人信息使用存在利益冲突时,发挥协调功能,具体制度应表现为在确认个人信息归属的前提下,就信息主体的具体权能予以相应的限缩,从而在公共利益、第三人合法权益与主体信息自决之间达到平衡。智能时代中,现实生活随科技进步发生了巨大变化,信息的社会性、客观性控制与个人主观性保护,不可偏废任何一方。[88]
  对公共利益或第三人产生消极影响的原因不在于信息自决权的私权属性,而是因主体行权时超过合理限度,以致阻碍必要的信息流通。主体与个人信息之间权利归属的界定在逻辑上分为两个制度性层面,首先涉及的是主体对个人信息是否享有民法上的主观权利,其次才是该权利具体权能范围的界定。对于信息流通与个人信息保护之间的利益冲突,应在第二个层次中通过立法者的价值判断或是司法机关依具体情况下的利益衡量加以解决,将主体对其个人信息的权利理解为类所有权性质的排他性支配权,是对信息自决权框架权属性的误读。
  否认主体对个人信息享有私权,意味着信息主体将彻底而不可挽回的丧失其对个人信息的控制权,导致个人信息的使用处于难以预估的不确定状态。面对互联网企业,消费者将彻底沦为原始数据的生产工具以及可被操纵的客体,有悖于近代以降民法一直秉持的“以人作为终极目标而非工具”伦理价值。[89]此外,教义学层面上,个人信息被规定在《民法总则》民事权利一章,若否认主体对个人信息享有私权,仅适用公法规范对个人信息加以调整,意味着《民法总则》第111条转变为调整国家机关与公民个人之间法律关系的宪法性条文,与其民事法律规范的性质相悖。
  部分学者否认个人信息私权属性的另一原因在于其属于公共物品,应排除在私权的客体范围之外。[90]信息的公共物品性同其无体物的物理属性相关,基于可被任意复制以及难以限制他人使用的特性,个人信息在外观上符合公共物品的非竞争性和非排他性标准。[91]但从法政策学来看,物理属性虽对物体本身能否作为私权客体具有重要意义,但最终决定因素却是立法者的价值选择。
  有体物与无体物均是先于法律规范的客观存在,即具有先法性(vorrechtlich)特征。基于其物理属性,有体物天然的具有竞争性和排他性,故立法者将几乎全部的有体物作为权利客体,并以主体对其享有支配权能作为基本原则。针对缺少物理区隔性的无体物,立法者则遵循一定的价值理念,仅将其中一部分作为客体,通过赋予主体相应的归属权能,构建出规范意义上的竞争性与排他性。[92]个人信息物理特性中的非竞争性与非排他性,可通过法律规范对信息权属的界定加以变更,而主体自决与意思自治则是立法者价值衡量的依据。[93]
  2.信息自决权的具体权能内容
  即便承认主体对个人信息享有民事权利,学界就信息自决的具体权能内容亦存在争议。部分学者以个人信息的非有价性与不可处分性为由,将主体对个人信息的权能限于消极防御。[94]这一观点源于传统理论中所强调的人格权不同于以排他性支配为特征的所有权,权能内容原则上仅限于对抗不法侵害。[95]与之相对,有学者主张应将个人信息一定程度上客体化,赋予主体积极利用的权能。[96]
  (1)个人信息的有价性。有学者以个人信息本身并无财产价值以及网络交易中个人不具议价能力为由,否认信息主体享有积极利用的权能,[97]这一观点值得商榷。首先,否认个人信息的有价性与对价化交易的客观现实不符。服务换取个人信息的经营模式已证明即便单一信息的实际价值较小,个人信息仍具有财产性交换价值。[98]大数据技术的关键在于将碎片化的个人信息予以收集、分析,这些信息实质上是经营者实现个人信息商业化利用的原材料,对经营者而言具有使用价值。其次,立法政策上确认合同的有偿性将强化经营者的义务,相较于无偿合同,更有利于保护消费者的合法权益。再次,鉴于个人信息可能同时涉及经营者和消费者双方,确认个人信息有价性与积极权能的意义在于当二者就信息的财产性利益产生争议时,民法规范原则上以消费者为权利主体。最后,承认个人信息具财产价值,可通过损害赔偿或不当得利等制度,从根源上遏制经营者不法利用个人信息的经济动机。至于无法议价则是线上交易的基本特征,并非个人信息对价化交易所独有的。立法者的解决之道应是对消费者予以特别保护,尤其是确保消费者同意的自由性,而绝非否认其对个人信息的积极利用权能。
  (2)个人信息的可处分性。否认主体积极权能的另一理由在于个人信息的不可处分性。对此观点应从规范层面与事实层面分别加以分析。规范层面指除客观上存在市场供求关系外,交易本身还需具有应受法律保护的性质,即不被立法者所禁止。相关法律规范兼具服务与规制双重功能,前者强调为市场提供合理的交易规则,后者意味着立法者可基于更高位阶的法律或伦理价值,否认交易的合法性,进而导致商品不具可处分性。鉴于意思自治作为基本原则,立法者对通过市场供求关系而确定的财产归属应予以充分尊重,对交易合法性的否认应属例外情形。就个人信息对价化而言,更高位阶的价值除前文已论述的信息自由流通外,传统理论基于伦理因素对人格权商业化提出质疑,进而否认交易的合法性与个人信息的可处分性。事实层面上,鉴于个人信息可能同时涉及多方参与者,若无法明确信息的权利主体及其权利范围,将有损于交易安全,相对方可能因无法确定其获得的权属状况而最终放弃交易。[99]
  a.辩证法视角下的人格权商业化之争。人格权商业化的争论同权利客体的界定相关。早在罗马法时代,通过侮辱之诉(actio iniuriarum),受害人可对侵犯其人身及名誉的行为主张损害赔偿及罚金。[100]伴随着人本主义思潮下罗马法诉权体系的瓦解与主观权利的确认,自然法学派在个体天然享有之权利(status naturalis)与国家通过实定法授予之权利(status civilis)的二分体系内,尽力扩张个体天然享有的自由范围,[101]甚至得出主体对其自身享有所有权的极端结论。[102]在历史法学派的眼中,这一结果过于荒谬。沿袭康德所主张的与生俱来的自由是个人天赋的权利,法律仅是用于调整人与物之间的关系,[103]萨维尼认为权利客体应是独立于主体的外部世界之物,人格法益因其同主体的不可分离性而无法成为权利客体,否则势必导致主、客体归一,无论在逻辑上或价值判断上均不可取。[104]权利客体之争体现的是两种哲学观点的对撞,若坚持康德哲学所强调的人的存在仅为终极目的而非手段,则商业化难以兼容于人格权主观权利体系。反之,若依洛克观点,基于自身劳动而获得的社会地位等人格特征亦属主体享有的财产,[105]商业化则并非体系异类。
  时至今日,萨维尼对权利客体的界定早已同现实情况不符,[106]人格权商业化问题的争论焦点转为如何调整人格法益与主体的紧密联系性与交易所需的可被他人利用性之间的冲突,以及人格权权能范围限于消极防御或应兼具积极利用。[107]虽均属于主观权利,但有别于所有权或知识产权的二元结构——权利主体“我”与可支配的权利客体“我的”,[108]人格法益在商业化利用中将产生主、客体外观上的重合,学界提出的解决路径或在主体范畴(“我”)内剥离出客体“我的”,[109]或在客体范畴(“我的”)内创设新的权利类型。[110]尽管教义学上存在较大差异,两种解决路径均未否认人格法益商业化的合法性。
  依伦理价值而禁止人格法益的商业化利用,应限于人格绝对不受约束的最高人格性核心领域(höchstpersönlicher Kernbereich)。立法者基于伦理价值,在法律“父爱主义”的理念下,限制主体意思自治在核心领域内的适用,排除主体自我设限的可能性,避免主体对其自身造成持续性的严重损害或是有损善良风俗,如人体重要器官买卖、人工代孕等行为。显然,个人信息并不属于核心领域,其商业化利用对主体人格的影响亦未达到如此的严重程度,并无理由限制主体的意思自治,否认对价化交易的合法性。但另一方面,大数据技术的不断提高将促使用户画像愈发精准,经营者对消费者的影响力将愈发强大。立法者对个人信息对价化交易应予以特殊的制度安排,避免消费者成为被经营者操控的客体。
  b.个人信息的多方关联性(Mehrrelationalität)。个人信息的本质在于信息同主体之间的关联性,其所蕴含的人身与事实关系是对主体个体性的彰显。[111]但不同于其他人格法益具明显的专属性特征,大量个人信息因其在形成过程中可能涉及多方参与主体,从而产生信息权属上的争议。确认信息自决权排他性的归属于信息主体是个人信息得以交易的重要前提,否则相对方将因无法确认所获得的法律地位而放弃交易。
  除姓名、性别、年龄等仅涉及主体个人情况的信息外,大量以法律关系或事实关系为内容的信息可能同时涉及若干主体,如两个主体之间订立的合同或相互交流的行为。信息的这一特性被称为多方关联性。[112]正如德国联邦宪法法院在其“人口普查案”中所强调的,与个人相关之信息是对社会现实的反映,无法排他性的仅归属于相关者自身。[113]人格的发展依托于周围环境,同外部社会的融合互动是人格不可或缺的组成部分。作为社会现实的组成部分,个人信息并不因其人格属性而排他性的专属于所涉主体。
  诚然,多方关联性导致个人信息本身无法排他性的归属于单一主体,但信息自决权作为人格权归属于主体却毫无疑问。对于信息涉及的任一主体而言,属于语义层面的信息内容均是其个人信息,这是信息多方关联性的必然结果。法律在承认各主体享有信息自决权的同时,对其具体权利范围予以调整,主体对其个人信息无法享有绝对性、排他性的权利,意味着需对信息自决权具体权能的行使加以限制,却并不涉及信息自决权的归属问题。《民法总则》第111条以合法性作为个人信息收集、使用之前提,体现了立法者对信息自决权具体权能的限缩,却并不影响该权利排他性的归属于信息主体本人。
  与信息自决权相近,著作权兼具精神利益和财产利益,所保护的个人智力成果即作品同样具有多方关联性的特点,故可将著作权相关规定的立法思路作为对照。著作权法保护的客体是作者个人创作的作品,但在创作相关作品时,作者自身文化背景、个人经历、对他人观点的借鉴与批判等因素,均决定了作品的多方关联性,而法律的任务则是判断作者个人的智力成果是否满足独创性的要求并赋予其排他性的权利,对作品的保护范围亦取决于独创性所展现的个体化程度。作品中蕴含的作者个体化程度愈强,保护范畴愈广,亦可能因缺乏个体独创性而不予保护。[114]个体性与公众性之间的冲突,是著作权和信息自决权均需面对的问题。个人是在社会群体中自我发展、依赖于沟通交流的人格。[115]这一针对信息主体的论断同样适用于创作作品的作者,作品作为其人格自我发展的体现,亦无法脱离作者所处的周围环境。对于著作权排他性的过度强调,将有碍于思想交流,并最终造成公共利益的损害。面对著作权人排他性权利与公共利益之间的冲突,立法者一方面未将表达技巧、表述方法、已知事实等思想交流的基础性要素纳入权利保护范围,另一方面,对主体排他性权能的行使亦加以限制,[116]如《著作权法》第22条对于无需著作权人许可的例外性规定。
  面对个人信息的多方关联性,无论是将信息自决权理解为确定而具清晰权属界限的主观权利,或是认为主体对个人信息享有绝对性的支配权与处分权,均不恰当。作为主观权利的信息自决权具有框架权的属性,无法如同所有权以非此即彼的模式加以规定。
  四、对价化交易中的主体行权模式
  个人信息对价化交易体现了主体在智能时代中行使其信息自决权的积极权能,将作为人格法益的个人信息予以商业化利用。民法理论倾向以本人同意作为人格法益商业化的行权模式。[117]我国有学者将人格权商业化利用中的同意界定为法律行为性的许可,并认为许可的内容为具排他性权能的债权性用益权,以利于被许可人排除第三人的妨碍和侵害。[118]
  主体同意制度源于罗马法学家乌尔比安(Ulpian)所提出的经本人同意即不违法原则(volenti non fit iniuria)。[119]作为人格权商业化的行权模式,《民法通则》第100条明确规定肖像权的营利性使用以本人同意为前提。但就同意的具体实现模式,我国立法与学界尚缺少更为细致的教义学分析。
  具体行权模式的制度安排体现了立法者对交易双方利益状况的差异性保护。重视交易安全的相对方,强调人格法益的财产性利益,权利主体本人则更侧重人格的精神利益保护,特殊情况下,主体对人格法益的商业化利用应享有一定的控制力。根据立法政策上的侧重点不同,从人格法益在一定程度上脱离本人的设权让与,到交易双方之间的债权性许可合同,再到权利人可随时撤回之同意,[120]行权模式呈现出对主体拘束强度上的递减状态,德国有学者将之称为许可的阶梯性。[121]同意由此可分为广义和狭义两个层面,前者指可为交易相对人的商业行为提供合法性基础的上述全部模式,而狭义则仅指可撤回之同意。为了对行权模式论述更为明晰,本文取狭义解释。
  (一)设权让与
  人格权商业化的交易模式中,拘束力最强的当属设权让与。德国法学家冯·图尔将权利的让与分为继受(translativ)让与和设权(konstitutiv)让与两种,其中继受让与指受让人获得权利的同时,原权利人完全丧失权利,而设权让与中,受让人仅是获得了原始权利派生出的子权利,原权利人并不丧失原始权利。[122]鉴于人格法益无法同主体完全脱离,继受让与并不适用于人格权商业化。依设权让与模式,在不发生权利主体更替的同时,原始权利具体权能中的一部分同原始权利分离,作为子权利转让给受让人,以确保受让人同权利人之间约定的具体利益得以实现。此时的原始权利同子权利之间紧密联系又相互独立。一方面,若子权利所保护的利益丧失,子权利自动随之消灭,无需再次转让回至原权利人。另一方面,积极权能的权利主体发生变动,从而产生子权利。但子权利并非完全脱离原权利,原始权利人仍对子权利的行使享有一定的控制。有学者因此称设权让与为受负性权利转让(gebundene Rechtsübertragung)。[123]此类让与模式多见于知识产权许可制度中。权利人不仅可借由许可合同获得针对原权利人的法律地位,亦可基于登记公示制度获得对抗第三人侵犯的排他性权利。[124]人格权商业化交易中,设权让与模式实质上是将人格法益客体化,并将普遍适用于知识产权中的权利转让模式适用于人格法益。就此而言,该模式同否认人格法益具可转让性的传统观点存在冲突。此外,为了强化交易的稳定性,保护受让方的利益,设权让与的物权变动导致原权利人仅能在特殊情况下,对子权利予以例外性的撤回。鉴于大数据技术下个人信息商业化对主体行为的巨大影响,法政策学上更应倾向保护主体的信息自决权,赋予其较为灵活的撤回空间,以避免对信息主体造成过度限制,故此模式并不适合于个人信息对价化的相关交易。
  (二)债权性许可合同
  不同于设权转让的物权变动,交易双方亦可签订仅产生债权性契约关系的许可合同。[125]虽然该债权合同原则上仅对合同双方具拘束力,但值得注意的是,建构在对有体物之占有关系上的债权物权化,在许可合同中亦有所体现。依照德国法学家卡纳利斯的观点,债权物权化源于物权的绝对性特征,而该特征主要体现在破产别除、对第三人诉讼以及继受保护(Sukzessionsschutz)三个方面。[126]依照我国现行规范,被许可人依许可合同可享有对第三人诉讼的权利[127]及继受保护,[128]可见,债权性许可合同在一定程度上亦具有物权化倾向。此种模式在我国同样见于知识产权相关规定中。[129]尽管债权性许可合同并不会导致人格法益的物权性变动,且鉴于相关交易多为持续性合同关系,权利主体可在重大正当事由的情况下享有解除权,但合同法的有约必守原则仍会对主体的信息自决造成过度限制。同样的,以重大事由作为解除条件的合同制度,实难保障大数据技术下主体的信息自决。
  (三)可任意撤回之同意
  为了防止消费者沦为经营者原始数据的生产工具以及可被操纵的客体,立法政策上,应在构建个人信息对价化的具体制度时强化对主体的保护。依中国消费者协会的《App个人信息泄露情况调查报告》,我国近六成的消费者对于经营者提供的用户政策或隐私协议不会阅读(26.2%)或仅偶尔阅读(31.1%),且经营者对个人信息的使用,通常采概括条款加以规定,消费者亦无从判定由此产生的影响。基于这一现实情况,相较于设权让与或债权许可合同中单方面强调经营者的信息告知义务,可任意撤回的同意更符合保护主体信息自决权的立法思路。[130]将本人同意作为行权模式,同时赋予信息主体对同意享有任意撤回权,确保一旦撤回同意,经营者将丧失利用消费者个人信息所需的可执行性。[131]该撤回权不具追溯效力,经行使后,经营者不得再继续对消费者个人信息加以利用。作为避免主体自决过度受到限制的救济手段,可任意撤回性体现了具公法性质的个人信息保护制度在民法规范中的辐射效应。
  消费者一旦行使撤回权,势必对相关合同的履行产生影响。经营者向消费者提供服务的目的在于个人信息的收集与使用,双方在交易中互负具目的关联性的给付义务,属于双务合同。[132]因消费者的对待给付并非金钱,相关交易属混合合同(gemischter Vertrag)中的双性合同(Zwittervertrag),即合同内容兼具两种合同类型的性质。针对双性合同中给付行为的规则适用,依组合理论(Kombinationstheorie)应相应的分别适用有名合同的规定。[133]
  具体言之,经营者提供服务可纳入服务合同、租赁合同等范畴内加以调整,而信息主体所履行的对待给付则是主动向经营者提供个人信息,以及同意经营者对其个人信息的收集、使用,就合同类型而言,更接近知识产权许可使用合同。[134]但本人同意的可任意撤回性,与债权合同类型的认定并无关系。实际上,虽因个人信息的人格法益属性,不宜将同意认定为所有权性质的处分行为,但该同意与消费者在合同中就个人信息商业化利用所做出的同意承诺在逻辑上相互独立,后者属于负担行为范畴,前者则是对后者的实施处分行为。[135]当本人撤回同意时,并不直接影响债权合同的效力,双方之间的合同关系亦不因此而自动终止。基于交易的双务性特征,若信息主体撤回其同意,则经营者可解除合同并主张损害赔偿,尽管单个消费者撤回同意对经营者造成的损害额度极低。
  五、结语
  人类历史上每一次重大科技的变革,往往会带来交易模式上的创新,并衍生出利益冲突与制度需求。个人信息法律规范的更迭始终同步于科技对个人生活的影响,1890年隐私权在美国的首次提出,源于摄影技术对私人生活的侵入,公开权作为财产权属性的确认同上世纪五十年代广播影视蓬勃发展所造就的名人效应密不可分。正如公开权之父美国学者尼默(Nimmer)所强调的,报章杂志时代下的隐私权无法解决百老汇与好莱坞的需要,[136]承认信息主体对其个人信息享有主观性积极权能,构建以可任意撤回之同意为核心的个人信息对价化交易制度,才是立法者面对智能时代的应对之道。
  (学术编辑:贺剑)
  (技术编辑:许一君)

【注释】

*浙江大学光华法学院讲师。
  [1]https://www.statista.com/statistics/277483/market-value-of-the-largest-internet-companies-world-wide/,最后访问日期:2019年2月26日。
  [2]https://www.bmwi.de/Redaktion/DE/Artikel/Digitale-Welt/smart-data.html,最后访问日期:2019年2月26日。
  [3]如新浪网《微博服务协议》第1.7条规定:“用户同意无偿授权微博平台以任何形式(商业或非商业)将基于用户的操作行为对用户数据进行调查研究和分析,从而进一步优化微博服务。” https://weibo.com/signup/v5/protocol,最后访问日期:2019年2月26日。
  [4]Vgl. Metzger, Dienst gegen Daten: Ein synallagmatischer Vertrag, AcP 2016, 817 ff.
  [5]See Elvy, “Paying for Privacy and the Personal Data Economy”, Columbia Law Review, Vol.117, No.6, 2017, p.1369.
  [6]http://www.cca.org.cn/jmxf/detail/28180.html,最后访问日期:2019年2月26日。
  [7]Carmen Langhanke and Martin Schmidt-Kessel, “Consumer Data as Consideration “, Journal of European Consumer and Market Law, Vol.4, No.6, 2015, pp.218-223;亦有学者将此类合同视为互易合同,认为个人信息代替价金,换取相关的服务,Erin Bernstein and Theresa J. Lee, “Where the Consumer Is the Commodity: The Difficulty with the Current Definition of Commercial Speech”, Michigan State Law Review, Vol.2013, No.1, 2013, pp.39-80;张新宝:“‘普遍免费+个别付费’个人信息保护的一个新思维”,《比较法研究》2018年第5期,第1-15页。
  [8]Proposal for a Directive of the European Parliament and of the Council on Certain Aspects Concerning Contracts for the Supply of Digital Content, 9.12.2015, COM(2015) 634 final.
  [9]Vgl. Hubmann, Das Persönlichkeitsrecht, 2. Aufl., 1967, S.268 ff.
  [10]BverfG 65, 1(44);对此观点,有学者持反对意见,参见杨芳:“个人信息自决权理论及其检讨”,《比较法研究》2015年第6期,第22-33页。
  [11]参见梅夏英:“数据的法律属性及其民法定位”, 《中国社会科学》2016年第9期,第164-183页。
  [12]参见程啸:“论大数据时代的个人数据权利”, 《中国社会科学》2018年第3期,第102-122页。
  [13]Vgl. Capurro, Information: Ein Beitrag zur etymologischen und ideengeschichtlichen Begründung des Informationsbegriffs, 1978, S.16 ff.
  [14]Vgl. Wersig, Information-Kommunikation-Dokumentation, 1971, S.28 ff.
  [15]Zech, Information als Schutzgegenstand, 2012, S.33 ff.;Yochai Benkler, “From Consumers to Users: Shifting the Deeper Structures of Regulation toward Sustainable Commons and User Access”, Federal Communications Law Journal, Vol.52, No.3, 2000, pp.561-579.
  [16]《最高人民法院关于审理买卖合同纠纷案件适用法律问题的解释》第5条中就无形载体的电子信息产品交付规则加以规定,从该条中可反推出有形载体可参照动产交易规则。
  [17]《合同法》第137条。
  [18]《著作权法》第17条以及《最高人民法院关于审理著作权民事纠纷案件适用法律若干问题的解释》第14条。
  [19]《民法通则》第111条以及《消费者权益保护法》第29条。
  [20]关于美国学界对于个人信息商业化的相关讨论,see Schwartz, “Property, Privacy, and Personal Data”, Harvard Law Review, Vol.117, No.7, 2004, pp.2055-2128.
  [21]See Samuel Warren and Louis Brandeis, “The Right to Privacy”, Harvard Law Review, Vol.4, No.5, 1890, pp.193-220.
  [22]Warren, supra note[21], p.207.
  [23]Pavesich v. New England Life Ins. Co.et al., 50S. E.68(Ga.1905).
  [24]See William L. Prosser, “Privacy”, California Law Review, Vol.48, No.3, 1960, pp.383-423.
  [25]Hanna Manufacturing Co.v. Hillerich & Bradsby, 78 F.2d 763(5th Cir.1935).
  [26]Haelan Laboratories v. Topps Chewing Gum, 2o2 F.a2d 866(2d Cir.1953).
  [27]See Melville B. Nimmer, “The Right of Publicity”, Law and Contemporary Problems, Vol.19, No.2, 1954, pp.203-223.即便在隐私权框架内,Prosser教授亦认为隐私侵权的第四种类型即滥用他人肖像姓名牟利,不同于其他隐私侵权,应承认人格特征的财产属性,see Prosser, supra note[24], pp.383-406.
  [28]Zacchini v. Scripps-Howard Broadcasting Co., 433U. S.562(1977).
  [29]就二者之间的关系,基于隐私侵权的第四种类型即擅自利用他人姓名或肖像牟利亦是保护人格权的财产利益,因此有学者主张公开权与此种隐私侵权不加区分,see Daniel J. Solove, Marc Rotenberg and Paul M. Schwartz, Information Privacy Law, New York: Aspen Publishers, 2006, pp.189-191.
  [30]See Larry Saret and Martin Stern, “Publicity and Privacy-Distinct Interest on the Misappropriation Continuum”, Loyola University Chicago Law Journal, Vol.12, No.4 1981 p.703.
  [31]See Michael D. Scott, “The FTC, the Unfairness Doctrine, and Data Security Breach Litigation: Has the Commission Gone Too Far?”, Administrative Law Review, Vol.60, No.1, 2008, pp.127-130.
  [32]See Joel R. Reidenberg, “Privacy Wrongs in Search of Remedies”, Hastings Law Journal, Vol.54, No.4, 2003, pp.877-887.
  [33]154 F. Supp.2d 497(S. D. N. Y.2001).
  [34]See Allyson W Haynes, “Online Privacy Policies: Contracting Away Control over Personal Information?”, Penn State Law Review, Vol.111, No.3, 2007, pp.587-593.
  [35]See Daniel J. Solove and Woodrow Hartzog, “The FTC and the New Common Law of Privacy”, Columbia Law Review, Vol.114, No.3, 2014, pp.583-597.
  [36]Dyer v. Nw. Airlines Corps., 334 F. Supp.2d 1196, 1200(D. N. D.2004).
  [37]Smith v. Trusted Universal Standards in Elec. Transactions, Inc., No.09-4567(RBK/KMW), 2011 WL 900096(D. N. J. Mar.15, 2011).
  [38]In re LinkedIn User Privacy Litig., 932 F. Supp.2d 1089, 1094(N. D. Cal.2013).
  [39]See Steven Hetcher, “The De Facto Federal Privacy Commission”, John Marshall Journal of Computer & Information Law, Vol.19, No.1, 2000, pp.109-131.
  [40]See Howard Beales III, Bureau of Consumer Protection, The FTC’s Use of Unfairness Authority: Its Rise, Fall, and Resurrection, FTC (May 30, 2003), available at https://wwwf.tc.gov/public-statements/2003/05/ftcs-use-unfairness-authority-itsrise-fall-and-resurrection/,最后访问日期:2019年2月26日。
  [41]See Maass, Your FTC Privacy Watchdogs: Low-Tech, Defensive, Toothless, Wired, available at https://www.wired.com/2012/06/ftc-fail/,最后访问日期:2019年2月26日。也有观点认为通过与实施不正当或欺诈行为的经营者达成和解协议,美国联邦贸易委员会可制定出事实上具有约束力的标准,see Solove, supra note[35], pp.583-606.
  [42]Art.3(1), Proposal for a Directive of the European Parliament and of the Council on Certain Aspects Concerning Contracts for the Supply of Digital Content, 9.12.2015, COM(2015) 634 final.
  [43]Commission Regulation 2016/679 of 27 Apr.2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation).
  [44]Vgl. Spindler, Digitale Wirtschaft–analoges Recht: Braucht das BGB ein Update?, JZ 2016, 807.
  [45]Vgl. Spindler, Verträge über digitale Inhalte–Anwendungsbereich und Ansätze Vorschlag der EU-Kommission zu einer Richtlinie über Verträge zur Bereitstellung digitaler Inhalte, MMR 2016, 147.
  [46]参见Schmidt-Kessel et al., Die Richtlinienvorschläge zu Digitalen Inhalten und Online-Handel-Teil2, GPR 2016, 57.
  [47]《数字内容指令(建议稿)》立法理由第13点。
  [48]《数字内容指令(建议稿)》第3条第8款。
  [49]早在上世纪七十年代,德国已制定信息保护的专门性法律规范,即《联邦数据保护法》(Bundesdatenschutzgesetz)。
  [50]Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(Data Protection Directive).
  [51]《数据保护通用条例》第6条第1款。
  [52]Vgl. Ziegenhorn/von Heckel: Datenverarbeitung durch Private nach der europäischen Datenschutzreform, NVwZ 2016, 1585, 1586.
  [53]Vgl. Lobinger, Irrtumsanfechtung und Reurechtsausschluß, AcP 1995, 274 ff.
  [54]Vgl. Sattler, Personenbezogene Daten als Leistungsgegenstand, JZ 2017, 1039.
  [55]参见高富平:“个人信息保护:从个人控制到社会控制”, 《法学研究》2018年第3期,第84-101页;吴伟光:“大数据技术下个人数据信息私权保护论批判”, 《政治与法律》2016年第7期,第116-132页。
  [56]程啸,见前注[12],第115-116页。
  [57]参见王利明:“人格权的属性:从消极防御到积极利用”, 《中外法学》2018年第4期,第845-861页;刘德良:“个人信息的财产权保护”, 《法学研究》2007年第3期,第80-91页。
  [58]Vgl. Weichert, Datenschutz als Verbraucherschutz, DuD 2001, 264.
  [59]Vgl. Buchner, Die Einwilligung im Datenschutzrecht–vom Rechtfertigungsgrund zum Kommerzialisierungsinstrument, DuD 2010, 39.
  [60]参见王利明:“论个人信息权的法律保护——以个人信息权与隐私权的界分为中心”, 《现代法学》2013年第4期,第62-72页;齐爱民,李仪:“论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间”, 《法学评论》2011年第3期,第37-44页。
  [61]Ohly, “Volenti non fit iniuria”: die Einwilligung im Privatrecht, 2002, S.65.
  [62]Lindner, Fremdbestimmung durch Selbstbestimmung, AöR 2015, 543, Fn.4.
  [63]Kant, Grundlegung zur Metaphysik der Sitten, Berliner Ausgabe 2013, S.20 ff.
  [64]Kant (Fn.63), S.33.
  [65]Kant (Fn.63), S.39.
  [66]Kant, Metaphysik der Sitten, Einleitung in die Rechtslehre, Berliner Ausgabe 2013, S.24.
  [67]Vgl. Hegel, Grundlinien der Philosophie des Rechts, Berliner Ausgabe 2013, §29.
  [68]Vgl. Hegel, a.a. O., §36.
  [69]John Stuart Mill, On Liberty, Ontario: Batoche Books, 2001, p.13.
  [70]Mill, supra note[69], p.63.
  [71]Vgl. Flume, Allgemeiner Teil des Bürgerlichen Rechts 2. Band: Das Rechtsgeschäft, 4. Aufl., 1992, S.1.
  [72]Ohly (Fn.61), S.74.
  [73]Ohly (Fn.61), S.77.
  [74]Vgl. Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts. Gutachten im Auftrag des Bundesministers des Innern, Berlin 2002, abrufbar unter:https://pdfs.semanticscholar.org/fa68/4e56317983fb6c379f29de8f61b4e22d3087.pdf, (abgerufenam26.2.2019).
  [75]BverfGE 65, 1.
  [76]Vgl. Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, S.31 f.
  [77]BverfG 65, 1, 42f.
  [78]BverfGE 54, 148, 153;65, 1, 41.
  [79]Di Fabio, in: Maunz/Dürig, GG Kommentar, 84 Aufl., 2018, Art.2, Rdn.128.
  [80]Peifer, Individualität im Zivilrecht, 2001, S.131.
  [81]Götting, Persönlichkeitsrechte als Vermögensrechte, 1995, S.30.
  [82]参见Donos, Datenschutz–Prinzip und Ziele, 1998;高富平,见前注[55],第84-101页;吴伟光,见前注[55],第116-132页。
  [83]参见Hoffmann-Riem, Informationelle Selbstbestimmung in der Informationsgesellschaft, AöR 123(1998), 513;程啸,见前注[12],第102-122页。
  [84]参见Rihaczek, Freiheit zu, DuD 2003, 667;王利明,见前注[57],第845-861页;刘德良,见前注[57],第80-91页。
  [85]参见Donos(Fn.82), S.126;高富平,见前注[55],第92-97页;吴伟光,见前注[55],第129-132页;朱新力,周许阳:“大数据时代个人数据利用与保护的均衡”, 《浙江大学学报人文社科版》2018年第1期,第1-17页。
  [86]Donos(Fn.82), S.124.
  [87]高富平,见前注[55],第97-101页。
  [88]参见周汉华:“探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向”, 《法学研究》2018年第2期,第3-23页;张新宝:“从隐私到个人信息:利益再衡量的理论与制度安排”, 《中国法学》2015年第3期,第38-59页。
  [89]Vgl. Larenz, Allgemeiner Teil des deutschen Bürgerlichen Rechts, 7. Aufl., 1989, S.34.
  [90]Vgl. Sieber, Computerkriminalität und Informationsstrafrecht, CR 1995, 100, 111;高富平,见前注[55],第94-96页;吴伟光,见前注[55],第129-130页。
  [91]See William M. Landes and Richard A. Posner, The Economic Structure of Intellectual Property Law, Cambridge: Harvard University Press, 2003, p.14; Joshua A.T Fairfield and Christoph Engel, “Privacy as a Public Good”, Duke Law Journal, Vol.65, No.3, 2015, pp.385-457.
  [92]Vgl. Haedicke, Rechtskauf und Rechtsmängelhaftung, 2003, S.66.
  [93]亦有学者从人格属性角度,强调个人信息具有稀缺性而并非公共物品,如刘德良,见前注[57],第85-86页。《网络安全法》第42条中所规定的只有经过处理无法识别特定个人且不能复原的信息,方可做自由流通之用,亦从实定法层面证明了人格属性促使个人信息具有竞争性和排他性。
  [94]程啸,见前注[12],第102-122页;Götting(Fn.81), S.9.
  [95]Peifer(Fn.80), S.149.
  [96]Vgl. Mayer-Schönberger, Information und Recht, 2000, S.19 ff.;王利明,见前注[60],第66页。
  [97]程啸,见前注[12],第102-122页。
  [98]事实上,欧美已经出现众多个人信息交易平台,个人可通过平台提供个人信息供商家使用,并从中获得固定报酬,如美国Datacoup网站的用户每月定期会获得8美元的收益。
  [99]Vgl. Peukert, Güterzuordnung als Rechtsprinzip, 2008, S.183 ff.
  [100]Vgl. Leuze, Die Entwicklung des Persönlichkeitsrechts im 19. Jahrhundert, 1962, S.73.
  [101]Vgl. Scheyhing, Zur Geschichte des Persönlichkeitsrechts im 19. Jahrhundert, AcP 1959-1960, 508 ff.
  [102]Peifer(Fn.80), S.135.
  [103]Kant(Fn.63), S.24.
  [104]Vgl. Savigny, System des heutigen römischen Rechts, Bd. I, Berlin 1840, 334 ff.
  [105]Vgl. Locke, Zwei Abhandlungen über die Regierung, 1981, S.21 ff.
  [106]Ohly(Fn.61), S.188.
  [107]关于我国学者的相关讨论,参见王利明,见前注[57],第845-861页。
  [108]Vgl. Büchler, Die Kommerzialisierung von Persönlichkeitsgütern, AcP 2006, 301.
  [109]如王利明:“论人格权商品化”, 《法律科学》(西北政法大学学报)2013年第4期,第54-61页。
  [110]如张平华:“人格权的利益结构与人格权法定”, 《中国法学》2013年第2期,第43-57页;邹海林:“再论人格权的民法表达”, 《比较法研究》2016年第4期,第1-17页;吴汉东:“试论人格利益和无形财产利益的权利构造—以法人人格权为研究对象”, 《法商研究》2012年第1期,第26-31页。
  [111]Mayer-Schönberger (Fn.96), S.55.
  [112]Vgl. Roßnagel/Pfitzmann/Garstka (Fn.74), S.37.
  [113]BverfGE 65, 1, 43f.
  [114]BGH GRUR 2005, 854, 856.
  [115]BverfGE 65, 1, 43 f.
  [116]Vgl. Buchner (Fn.76), S.226.
  [117]Götting (Fn.81), S.142 f.
  [118]参见刘召成:“人格权商业化利用的教义学构造”, 《清华法学》2014年第3期,第118-136页。
  [119]Ohly (Fn.61), S.25.
  [120]亦有观点对行权模式不见区分,将上述三种情况均视为广义上的本人同意,参见v. Tuhr, Der Allgemeine Teil des Deutschen Bürgerlichen Rechts 2. Band, 1. Hälfte, 1914, S.468。虽就侵权角度而言,无区分必要,但作为行权模式,不同模式对交易双方拘束力的强度存在明显差异。
  [121]Ohly (Fn.61), S.141.
  [122]Vgl.v. Tuhr (Fn.120), S.59.
  [123]Vgl. Forkel, Lizenzen an Persönlichkeitsrechten durch gebundene Rechtsübertragung, GRUR 1988, 491, 494 f.
  [124]如《商标法》第44条,《商标法司法解释》第4条,《著作权法》第24条,《著作权法修订草案(送审稿)》第59条。
  [125]经公示则可具物权性排他效力,如《商标法》第43条第3款。
  [126]Vgl. Canaris, Die Verdinglichung obligatorischer Rechte, FS-Flume, Band I, 1978, S.371 ff.
  [127]如《最高人民法院关于审理商标民事纠纷案件适用法律若干问题的解释》第4条第2款。
  [128]如《最高人民法院关于审理技术合同纠纷案件适用法律若干问题的解释》第24条第3款。
  [129]如《合同法》第342条以下的技术转让合同以及《著作权法》第25条、《专利法》第12条、《商标法》第43条等条文均规定了许可合同。我国亦有学者主张将此模式作为人格权商业化的许可制度,如刘召成,见前注[118],第130-133页。
  [130]与此观点相似,《民法典人格权编(草案)》(2017年11月15日民法室室内稿)第44条第3款规定信息主体对其同意可随时撤销。
  [131]Vgl. Alexy, Theorie der Grundrechte, 1986, S.164.
  [132]Vgl. Emmerich, in: Münchener Kommentar zum BGB, 7. Aufl., 2016, Vorbemerkung zu § 320, Rdn.1–6.
  [133]Vgl. Emmerich, in: Münchener Kommentar zum BGB, 7. Aufl., 2016, § 311, Rdn.32.
  [134]Vgl. Kilian, Informationelle Selbstbestimmung und Marktprozesse, CR 2002, 921, 926.
  [135]Vgl. Metzger (Fn.4), S.831.
  [136]Nimmer, supra note[27], p.203.