一、传统民法对个人信息的保护

如前所述，并非所有的个人信息都与人格尊严有直接关系，都应该纳入到人格权的保护范围。按照与人格尊严是否具有直接关系，个人信息可以分为与人格尊严有直接关系的个人信息和与人格尊严没有直接关系的个人信息。一般来说，与人格尊严有直接关系的个人信息往往是可以据此直接识别出某个特定自然人身份的信息，而与人格尊严没有直接关系的个人信息往往是不能据此直接识别出特定自然人身份的，因此，与人格尊严有直接关系的个人信息往往就是直接个人信息，而与人格尊严没有直接关系的个人信息一般就是间接个人信息。由于建立在传统信息技术条件下的既有民法理论对个人信息的认识一般只局限于姓名、肖像、隐私等与人格尊严有直接关系的直接个人信息，并把其视为“人格要素”，认为其唯一或主要价值功能在于维护主体的人格尊严或人格利益。即使随着个人信息的“商品化”现象逐渐盛行，既有民法理论和民法也认为个人信息所体现的财产价值只是“次要”、“间接”，或是“人格权的商业化利用”，因此，在既有民法及其理论下，只有姓名、肖像、隐私等直接个人信息才受到关注并被视为人格权的保护领域，基本上与财产权无缘。同样，由于受信息技术的限制，间接个人信息的价值（商业价值）基本上没有引起传统民法及其理论的注意，因此，在传统民法上，无法为间接个人信息找到其应有的位置，间接个人信息没有得到应有的保护。简言之，面临（直接）个人信息的商业化利用现象，既有民法制度和理论是通过姓名权、肖像权、隐私权等具体人格权中的“利用权能”来解释和保护主体对其个人信息商业价值所享有的利益，手机号码、电子邮件地址、消费习惯、教育信息等间接个人信息的法律地位没有得到应有的承认。

这种立法由于不承认个人信息财产权的独立地位，故而，当以营利为目的非法收集、买卖和滥用个人信息时，无法要求侵权者承担财产责任，而只能要求其停止侵害，最多也只是可以要求其承担有限的精神损害赔偿。而由于精神损害赔偿责任的适用往往需要受害人举证证明自己的精神受到了很大的损害，因此，一般情况下，受害人主张精神损害赔偿的诉求很难实现，尤其是当被侵害的个人信息属于手机号码、电子邮箱地址、家庭住址等间接个人信息时根本无法获得精神损害赔偿。这样，侵权者的侵权成本很低，而侵权行为所获得的利益却很大，即从侵权者的角度来看，在现行法律上，个人信息侵权行为在经济上是有效的，这就是为何垃圾信息泛滥、个人信息非法交易和滥用而人们在现行法律制度下却又无可奈何的根源所在。不仅如此，按照这种消极性人格权保护模式，由于无法为正常、合法的个人信息（商业价值）交易提供有效的法律规范保障，从而不利于促进以合法的个人信息（商业价值）交易为内容的信息产业的健康发展，无法适应网络时代和信息时代社会经济发展的客观需要。

二、民法典草案建议稿与个人信息的法律保护

（一）民法典草案建议稿关于个人信息法律保护的主要内容

鉴于既有民法理论对个人信息属性及其法律地位的认识，个人信息一般被视为是人格权的保护对象，因此，就我国民法典的草案建议稿[1]来看，个人信息的保护一般是被放在有关人格权和侵权责任的内容下展开的。其中，王利明教授负责的《中国民法典草案建议稿》将人格权独立成编。按照该《建议稿》，涉及到个人信息保护的，主要有姓名权、肖像权、隐私权等内容。《建议稿》首先在人格权总则中规定，人格权是指权利人依法索固有的，以自身的人格利益为客体，为维护主体的独立人格所必备的权利。自然人的人格权始于出生止于死亡。人格权与权利人不可分离，责任人的人格权不得移转，但可以就其姓名、肖像、隐私等人格利益许可他人使用并获得报酬[2]。

就姓名权来看，王利明教授负责的《中国民法典草案建议稿》规定，责任人有权决定、使用或允许他人使用自己姓名的权利，有权按照规定变更自己的姓名。禁止他人盗用、假冒、不当使用自然人的姓名，或对自然人姓名进行丑化、贬损，禁止干涉自然人依法行使姓名权的行为。自然人的别名、笔名、艺名、网名等识别身份的称谓与姓名受到同样的保护。自然人的姓名不得转让，任何转让姓名的行为均为无效，但在法律规定的限度内可以允许他人使用自己的姓名。使用自然人的姓名以及艺名、笔名、化名应该采用合理及适当方式，不得故意混同他人姓名，损害他人的合法权益[3]。

就肖像权来看，按照王利明教授负责起草的《中国民法典草案建议稿》，自然人人享有肖像权。肖像是指通过绘画、照相、雕塑、录像、电影等造型艺术方式所反映的自然人的面部形象。非经权利人同意，任何人不得以制作、复制、销售、展示等方式使用他人的肖像，若本人死亡或丧失民事行为能力，则应当征得其法定代理人或仅亲属的同意，但法律另有规定的除外。禁止侮辱、丑化自然人的肖像。自然人有权自己利用或者许可他人利用本人的肖像。利用他人的肖像应该征得本人的同意，并以协议方式约定使用的范围等有关事项。禁止以违背公序良俗的方式使用肖像。自然人接受作为人体模特的约定，视为放弃以其人体形象制作的作品的肖像权。当事人有特别约定的，从其约定。数个人的肖像并存于一个载体上的，每个权利人肖像权的行使以不得侵害他人的肖像权为限，未经他方同意，不得公开。权利人在公共场所的肖像不构成肖像制品的主题时，可以被合理使用。公共场所包括具有纪念意义的事件、人物只是作为图景的点缀、人物参与集会、游行、庆典或类似事件。另外，该《建议稿》还规定了“肖像权的扩张保护”，即自然人可以自由制作或允许他人制作自己的语音载体，可以自由使用或允许他人使用自己的语音载体。非经权利人同意，任何人不得以制作、复制、销售、广播等方式使用他人的声音，但法律另有规定的除外。禁止用侮辱性或其他违背公序良俗的手段模仿、使用他人的声音。自然人的肖像、语音以外的，具有显著特征足以辨别出权利人身份的其他人格标识，也准用肖像权的规定予以保护[4]。

关于隐私权，王利明教授负责起草的《中国民法典草案建议稿》也作了详细的规定。按照该《建议稿》，自然人的私人信息受法律保护。未经本人同意，禁止非法窥视、窃听、刺探、窃取、偷录、偷拍、披露他人的私人信息。但法律另有规定的除外。私人信息可以向特定的人披露，并准许特定人利用，或向社会公众公开，视为放弃私人信息。私人信息的公开和利用不得违反公序良俗。自然人的正当私人活动受法律保护，不受外界侵扰。未经本人同意，禁止跟踪、刺探、披露他人与社会公共利益无关的私人活动。禁止非法收集、储存、转让、传播和公开他人的个人资料。收集、储存、披露或超出收集目的而使用涉及自然人隐私的个人资料，须征得其本人的同意，若本人死亡或丧失行为能力的，则必须等到其亲属的同意，但法律另有规定的除外。个人资料是指自然人的姓名、性别、年龄、民族、婚姻、家庭、教育、职业、住址、健康、病历、个人经历、社会活动等足以识别出该人的资料。个人资料的收集必须基于与收集者本身职能有关的合法目的，以合法、公平的方法实施，并保证所收集资料的真实性。被收集人享有知情权，收集者应当采取合理措施告知当事人：其是否有义务提供资料；收集该资料的目的；该资料可能移转和披露的范围；其查阅、修改资料的权利。被收集人享有查阅、修改、更新其个人资料的权利，法律另有规定或当事人另有约定的除外。依法可以收集自然人资料的机构或个人，对其所收集的个人资料负有保密义务，未经本人同意，不得公开披露或提供给他人使用。但法律另有规定的除外。权利人有权免受他人指称某一虚假事实与本人有关，即使该事实不构成对其名誉和私人秘密的侵犯。自然人的生命信息和遗传基因密码受法律保护，未经本人同意，禁止任何人以非法手段获取、公开自然人的生命信息和遗传基因密码。同时，该《建议稿》还就网络中的隐私保护问题做出了规定：网站所有人或使用人负有为他人使用网络传递信息保密的义务。未经本人同意不得披露他人不愿公开的信息，法律另有规定的除外。网站的所有人或使用人应该制定适当的隐私政策，对于Cookies等记录上网行为的程序的使用应当告知上网者，并允许其选择是否记录[5]。

另外，王利明教授负责起草的《中国民法典草案建议稿》还就死者的人格利益的保护做出了规定：自然人死亡后，其姓名、肖像、名誉、隐私等人格利益受法律保护。死者的配偶、父母、子女有权对死者的人格利益进行保护，没有配偶、父母和子女的，其他近亲属有权进行保护。侵害死者人格利益的行为严重危害公共利益的，任何人均有权进行保护，检察机关或社会公益团体有权提起公益诉讼。禁止非法使用或利用死者的肖像。自然人死亡超过10年的，死者肖像作品的制作者可以基于艺术目的对该肖像予以使用[6]。

从侵权责任来看，王利明教授负责起草的《中国民法典草案建议稿》规定：侵害人格权及合法的人格利益，应当承担民事责任的，应当根据受害法益的性质停止侵害、消除影响、恢复名誉、赔礼道歉并赔偿由此而造成的财产损失。造成精神损害的，应当依法承担精神损害赔偿责任。侵害死者名誉、姓名、肖像、隐私等人格利益，应当对死者近亲属承担停止侵害、赔礼道歉并赔偿由此而造成的财产损失。造成精神损害的，应当承担精神损害赔偿责任。网络经营者非法收集、披露、传播消费者的隐私，应当承担侵权责任[7]。

梁慧星教授负责的《中国民法典草案建议稿》则将人格权作为“总则编”下“自然人”一章的内容来规定。按照该《建议稿》，自然人的人格权不得转让，人格权遭受不法侵害时，受害人有权要求加害人停止侵害、消除影响、赔礼道歉，并赔偿所造成的财产损失和精神损害。另外，涉及个人信息的人格权包括姓名权、肖像权、隐私权等。按照该《建议稿》，自然人享有姓名权，有权决定、使用和依照规定改变自己姓名。禁止干涉、盗用、假冒自然人姓名或者对自然人姓名进行侮辱、贬损。自然人享有肖像权，未经本人同意，不得制作、使用自然人的肖像，但法律另有规定的除外。禁止侮辱、丑化自然人的肖像。自然人享有隐私权，禁止窃取、窃听、偷录、偷拍他人隐私。非经本人同意，不得披露或利用他人私生活秘密或者实施其他损害个人隐私的行为[8]。隐私权受到侵害的，受害人有权请求停止侵害、赔礼道歉和适当的损害赔偿；受害人受到重大精神损害或财产损失的，加害人应该对该重大精神损害和财产损失予以赔偿。自然人的姓名、肖像受到侵害的，受害人有权要求停止侵害、赔礼道歉和适当的损害赔偿。受害人受到重大精神损害或财产损失的，加害人应该对该重大精神损害和财产损失予以赔偿。加害人以营利为目的侵害他人姓名、肖像的，对受害人的赔偿金应该相当于其非法所得的金额。禁止以侮辱、诽谤、贬损、丑化等方式侵害死者的姓名、肖像，禁止非法窃取、披露、利用死者隐私或以其他方式侵害死者隐私[9]；侵害死者隐私造成近亲属精神损害的，应当停止侵害、赔礼道歉并适当赔偿损失[10]。

（三）对民法典草案建议稿有关个人信息保护内容的评价

就个人信息的具体内容来看，梁慧星教授主持的《建议稿》规定的相对较少，只包括姓名、肖像、隐私等少数于人格尊严有直接关系的个人信息，对于国外立法承认的声音等直接个人信息缺乏规定。另外，该《建议稿》对于诸如性别、年龄、民族、婚姻、家庭、教育、职业、住址、健康、病历、个人经历、社会活动、手机号码、电子邮件地址、消费偏好可以间接识别出某一特定自然人身份的个人信息---间接个人信息缺乏明确的规定。从该《建议稿》关于隐私的规定来看，也没有就隐私及其范围作出界定。在理解上，是不是可以把所有个人信息都视为隐私，不得而知。这将可能导致未来对这些个人信息进行保护出现法律适用上的困难，更不用说对这些个人信息的商业价值进行财产权保护。另外，从该《建议稿》的有关来看，由于不承认个人信息商业价值，没有关于个人信息的商业利用的规定，因此，其有关要求加害人承担财产赔偿损失的规定可能面临逻辑上的障碍。尤其是，其关于“加害人以营利为目的侵害他人姓名、肖像的，对受害人的赔偿金应该相当于其非法所得的金额”的规定显然是适用民法及其理论中有关财产侵权责任的范式规定。如果由此规定反推，其立法前提应该是承认个人信息商业价值的！

相比之下，王利明教授主持的《建议稿》对个人信息及其保护的内容则规定的比较全面，该稿不仅规定了姓名、肖像、隐私与人格尊严有直接关系的个人信息，而且，还规定了性别、年龄、民族、婚姻、家庭、教育、职业、住址、健康、病历、个人经历、社会活动等足以识别出特定自然人身份的简介个人信息。该稿不仅对个人信息的内容规定得比较全面，而且，还规定了个人信息的公开和利用，为个人信息的商业化利用实践提供了法律依据。不过，由于该建议稿是建立在“人格权主要体现人格利益、间接体现财产利益”、“个人信息是人格要素”的基本认识下，因此，其关于个人信息的商业化利用诗在人格权的名义下展开的。以笔者拙见，这种立场困难面临几个方面的问题：

一方面，个人信息中所体现的这种财产利益和人格利益究竟何者为主要利益、何者为次要利益，何者为直接利益、何者为间接利益，其区分标准是什么？且不说诸如手机号码、电子邮件地址、消费习惯或偏好等间接个人信息是否与人格尊严有直接关系，即使是对于姓名、肖像、隐私等传统人格权保护对象，如果说在传统条件下我们由于没有认识到它们还具有财产价值而将其视为“人格要素”具有一定合理性的话，那么，如前文所述，在信息时代的今天，我们就很难说其中的人格利益和财产利益何者为主、何者为次，因此，对个人信息价值认识，如果能够采取开放、中立的立场不失为一种更好的选择。

另一方面，如果把个人信息视为人格权的对象，不承认个人信息商业价值的独立法律地位，那么，按照既有理论和法律规定，面临个人信息商业价值侵权问题时，受害人如果要主张财产损害赔偿的话，那么，一般只能在人格权或人格利益的名义下寻求救济，因此，其将很难获得有效的救济。再一方面，这种规定由于采取人格权立场，因此，在逻辑上拒绝承认个人信息中的商业价值的继承和转让问题，那么，对于死者个人信息商业价值的侵权问题，如果其继承人或近亲属提起财产损失赔偿的话，也将难以获得有效的救济。同时，对于侵权人来说，由于不承认个人信息商业价值的独立法律地位，其侵权成本也是很低的，因此，这种规定在客观上有纵容个人信息侵权之效果，不利于实现关于个人信息保护的立法目的。

最后，该《建议稿》关于“私人信息可以向特定的人披露，并准许特定人利用，或向社会公众公开，视为放弃私人信息”的规定显然是不妥的：一是这种规定与其所坚持的“人格权或人格利益的专有性、不可转让性”的立论前提相悖；二是在承认个人信息财产权或承认个人信息商业价值的立场下，权利人可以公开其个人信息，包括商人在内的社会公众也可以知道权利人的个人信息，但是，未经许可，任何人是不能基于商业目的而适用其个人信息的。换言之，权利人许可他人使用其个人信息当然是以公开其个人信息为前提的，但是，公开个人信息并不意味着他人可以未经许可擅自对其个人信息进行商业化利用。逻辑上讲，对包括个人信息在内的所有信息适用“放弃”是不妥当的；权利人可以放弃的，只能是其个人信息的商业价值，而不能是个人信息！

另外，该《建议稿》中同时使用“隐私”、“个人资料”、“私人信息”的做法是值得商榷的，其理由主要在于：一方面，由于“个人资料”是伴随着计算机技术的产生而产生的一个概念，因此，其使用往往是与网络和计算机（背景）联系在一起的。换言之，该概念的适用是以特定的技术和时代为其背景的，在技术上不具有中立性，必须依赖于特定的载体，而不能涵盖传统的书面个人信息及其他形式的个人信息。因此，如果立法采用此概念必然导致未来法律适用上的局限性等困难。按照人们传统的理解，“隐私”则是主体不愿意他人知悉的且又与公共利益没有直接关系的个人信息。而事实上，像手机号码、电子邮件地址、教育背景等许多个人信息，对于我们大多数人来说，并非是不愿意让他人知悉，只是不希望被他人滥用而已。而我们在许多场所下填写表格、披露这些个人信息就足以证明了这一点。因此，如果采用“隐私”概念，也将导致很多个人信息无法被纳入进来。另一方面，将“个人资料”和“隐私”这两个在外延上具有许多交叉重合的概念放在一起使用必将导致理解上的困难。再者，由于“私人信息”与“个人资料”和“隐私”相比，虽然属于一个上位概念，具有技术中立和较强的包容性，但是，从民法上讲，它与“个人信息”相比，则外延更大，包括但不限于个人信息，因此，从保护个人信息的立法目的上看，使用“私人信息”不如选择“个人信息”更合适。笔者认为，就“个人资料”、“隐私”和“个人信息”之间的关系来说，而后者则是一个技术中立的词汇，是一个上位概念，它包括但不限于存储于计算机上的个人信息和我们所谓的“隐私”。因此，笔者认为未来的立法适用如果使用“个人信息”将是一个最佳选择。

总体而言，从两个《建议稿》的关于个人信息保护的内容来看，王利明教授主持的《建议稿》注意到了网络和信息时代个人信息保护的一些新的特点，并针对这些新情况进行了规范，而梁慧星教授主持的《建议稿》则相对保守，基本上没有反应网络和信息时代个人信息利用与保护的新问题。但是，对于个人信息的法律保护，二者都采取的是人格权保护模式，即不承认有独立的个人信息财产权存在。不过，就个人信息的商业价值和商业化利用问题，梁慧星教授负责的《中国民法典草案建议稿》没有正面规定，而王利明教授负责起草的《中国民法典草案建议稿》则在人格权的名义下做出了规定，即权利人可以就其姓名、肖像、隐私等人格利益许可他人使用并获得报酬，即承认个人信息具有一定的商业价值，但是，这种商业价值不独立，而是附属于人格利益之上。就侵权责任的内容来看，虽然两个《建议稿》都规定了侵害人格利益的财产损失赔偿责任。但是，由于二者都不承认个人信息财产权的独立性，因此，在司法实践中，在面临加害人以商业目的的侵权行为时，受害人要获得有效的财产救济，理论上讲，是很难的。这种立法在客观上不仅不利于有效保护受害人，而且，还有纵容基于商业目的的个人信息侵权行为发生之效果。可见，就个人信息商业价值，尤其是那些与人格尊严没有直接关系的间接个人信息的商业价值保护问题，两个《建议稿》都没有做出应有的回应。由此，导致垃圾信息产生的根源---手机号码、电子邮件地址等间接个人信息的非法交易问题仍然不能据此解决，垃圾信息的解决仍然需要继续努力。

三、民法典的制定与个人信息财产权保护的立法模式选择

从民法典的制定和个人信息的保护关系来说，理论上基本上有四个立法模式可供选择，一是在民法典的体系框架内，按照不同类型个人信息所体现的价值不同，把它们分别在纳入到人格权和财产权部分予以统一规范。另外，在侵权法中也同时为二者提供保护。二是民法典只对个人信息权利及其保护做出原则性规定，而在民法典之外单独制定一部个人信息保护法，分别就人格权保护和财产权保护做出统一规定。第三种选择就是仍然按照传统民法典的思路，在民法典中只规定与人格尊严有直接关系的直接个人信息，并分别规范其人格权和财产权内容；对于间接个人信息由于其只涉及到主体的财产利益，而且，其实现方式有具有特殊性，因此，单独制定间接个人信息的财产权保护法。第四种模式是只在民法典中规定姓名权、肖像权、隐私权等个人信息人格权，且在财产权的一般性规定中对个人信息财产权做出概括性规定，而另行制定个人信息财产权保护法，把直接个人信息财产权和间接个人信息财产权统一规定。

上述第一种模式的优点在于它符合法典化对逻辑和体系的要求，便于对法律的理解和适用。但是，目前采取该模式还面临一些困难：一是思想观念扭转尚需要时日。长期以来，人们对个人信息的认识一般只局限在直接个人信息，对个人信息的法律地位与属性认识也多局限于“人格要素”和人格权客体。而要在法律上承认并给予个人信息财产权保护，需要面临很大的观念更新。二是由于理论研究不成熟，包括间接个人信息财产权的实现方式在内的许多问题都需要探讨，因此，把个人信息财产权统一放在民法典体系和框架内，如果不分阶段、分编制定民法典，而是目前就制定出一部完整的民法典的话，那么，将是不现实的。上述第二种模式的优点是它既符合个人信息权利作为民事权利的一般性，分别把个人信息人格权和个人信息财产权放在人格权和财产权的一般规定中加以规定，同时又考虑到了其不同于既有民事权利的特殊性，如，间接个人信息的财产权实现或行使方式的特殊性，把它独立出来进行规定。但是，这种模式由于要把诸如姓名权、肖像权、隐私权等传统民法（典）中的个人信息人格权从民法典中抽出来的做法，恐怕很难被学术界接受。第三种模式既考虑到了直接个人信息财产权的行使可以借鉴“公开权”模式，因此可以把它放在民法典中统一规定，具有一定的可操作性，同时也看到了间接个人信息财产权行使方式的特殊性而把它独立出来规范。但是，从个人信息财产权的统一性来看，把直接个人信息财产权和间接个人信息财产权分别放在不同的地方进行规定的做法不符合法律对逻辑和体系上要求，似嫌不足。第四种模式既照顾到民法关于个人信息人格权规定的传统，又避免了第三种模式的不足，把个人信息财产权独立出来统一规定，因此，从逻辑和体系上讲比第三种更合理。

至于我国未来民法典的制定与个人信息财产权保护立法之间的关系问题，笔者认为，应该考虑民法典制定的时间表及个人信息财产权利来研究的成熟程度。如果民法典制定的时间充裕、个人信息财产权理论问题研究得已经比较成熟，那么，应该采取第一种立法模式。而如果民法典的制定是采取分阶段的方式进行，那么，可以在先行制定人格权法中把个人信息人格权放在其中，而等待理论上把个人信息财产权问题研究得比较成熟之后，可以采取第四种模式。考虑到个人信息人格权和个人信息财产权之间的密切关系及个人信息财产权的特殊性，第二种模式也是一种很好的选择。相比之下，至于第三种模式，由于其根本不符合法典化对体系和逻辑的要求，因此，应该是最不值得选择的一种。当然，不管采取哪一种模式，考虑到个人信息财产权属于民法财产权之一种，应该使用有关财产权的基本规则，因此，未来的民法典都应该在总则中的民事权利中为个人信息财产权安排一个适当的位置，同时，如果制定财产权总则的话，也应该考虑到个人信息财产权对财产权总则构建的影响。

 刘德良 法学博士 亚太网络法律研究中心（http://www.apcyber-law.com/ ）主任 研究员 北京邮电大学法律系教授