.我国个人信息财产权保护立法的制度构建

总体而言，关于个人信息财产权保护的制度构建，应该包括个人信息的界定、个人信息的分类与确权、个人信息财产权的内容与范围与效力、个人信息财产权的行使及其限制、个人信息财产权的保护等。

一、个人信息的称谓、界定、分类与确权

关于未来我国个人信息保护法中究竟是采取“个人信息”、“个人数据”、“个人资料”、“隐私”、“私人信息”的问题，如前所述，笔者主张应该采取“个人信息”而不是其他叫法。所谓的个人信息，是指能够据此直接或间接识别出特定自然人身份而又与公共利益没有直接关系的私有信息。未来的个人信息保护法对于个人信息的分类应该按照与人格尊严或人格利益是否有直接关系对其进行分类，这样，个人信息可以分为与人格尊严有直接关系的直接个人信息和与人格尊严没有直接关系的间接个人信息。这种分类的意义在于二者所体现的利益不同，进而应该给予不同的法律地位和不同的权利保护。

与人格尊严有直接关系的个人信息就是据此能够直接识别出某一特定自然人身份而又与公共利益没有直接关系的私有信息。一般来说，该类个人信息就是我们目前民法上给予人格权保护的姓名、肖像、隐私、声音等；而间接个人信息则是据此无法直接识别出某一特定的自然人身份，必须借助于其它信息才能识别出某一特定的自然人主体。通常而言，间接个人信息是指手机号码、电子邮箱地址、教育与职业背景、消费习惯等。

如前文所述，民法对权利对象进行确权保护时所遵循的基本规则就是根据权利对象所体现的利益而给予其相应的保护：当某一对象具有人格利益时，应该给予其人格权保护；当某一对象具有财产价值时，就应该给予其财产权保护；当某一对象同时兼有人格价值和财产价值时，就应该给予其人格权和财产权的双重保护。由于信息时代一切个人信息都具有潜在的商业价值，因此，所有个人信息都应该给予财产权保护。而直接个人信息不仅具有财产价值，同时又攸关主体的人格尊严，具有人格利益，因此，应该给予其人格权和财产权的双重保护。而间接个人信息则由于与人格利益没有直接的关系，仅仅具有潜在的商业价值，因此只应该给予财产权保护，而不应该被纳入人格权保护之中。

二、个人信息财产权的范围与限制问题

关于个人信息财产权的范围问题，由于个人信息财产权是主体对自己个人信息商业价值的支配权，因此，它能够且只能存在于对个人信息的商业性买卖和利用条件下，对个人信息的非商业性利用不属于个人信息财产权的范围。如何未经权利人的同意或许可，即使知道其个人信息，也不能基于商业目的而买卖或使用其个人信息。因此，从个人信息财产权的视野来看，它并不禁止他人知悉其个人信息，而是禁止未经授权的非法交易行为和商业性利用行为。当然，关于何谓商业性利用行为的问题，尽管我们在理论上可以以其是否具有营利目的来判断，但是，在实际生活中对某个特定的主体的行为是商业性的还是非商业性的，其认定并不十分容易。比如，目前在我国对于各种媒体的使用行为究竟时商业性使用，还是非商业性使用的判断就存在分歧。在传统条件下，由于广电、平面媒体、杂志等都属于“事业单位”，因此，这些“事业单位”对个人信息的利用似乎应该属于非商业性利用。但是，在网络时代的今天，随着市场经济的发展和各种网络媒体的出现，媒体越来越具有营利性，因此，在判断其性质的问题上并不是十分容易的。另外，除了政府等国家机关基于行使公权力而使用个人信息的情形不属于商业性利用外，各国对商业性利用的规定也存在差异，其差异主要在于各国对公益组织或事业单位的界定和范围不同，比如，在美国，媒体虽然被认为是商人，但其对个人信息的利用却受其宪法关于言论自由规定的保护。因此，在我国，未来的个人信息财产权保护法有关对于非商业性利用情形做出明确的界定，除此之外的对于个人信息的利用都属于商业性利用。

关于个人信息财产权能否继承和转让及其继承、转让后与人格权之间的关系问题，笔者认为，未来的民法典或个人信息保护法应该允许个人信息财产权继承和自由转让。毕竟这种权利在本质上属于财产权，财产权制度在本质上就是为了实现利用效率的最大化，而自由流转则有利于实现财产权制度的这种立法目标。尤其是，对于间接个人信息而言，由于其与人格利益没有直接关系，因此，间接个人信息的商业价值与一般的有体物之间并没有什么本质的区别，对于保护、继承和转让就更不应该有什么限制。

当然，法律允许直接个人信息财产权可以被继承和自由转让，并不意味着主体的人格权或人格利益就不再受法律保护。相反，继受者在行使个人信息财产权时应该遵守转让合同的约定；在没有约定或约定不明时，应该尊重最基本的原则，即尊重法律和社会公共利益，应该尊重主体的人格权，不得滥用其财产权。

三、个人信息财产权的效力问题

关于个人信息财产权的效力问题，应该区分两种情况：一种情况是个人信息财产权未被继承和转让而由其原始权利人享有的情形，另一种情况是个人信息财产权被继承或转让后的情形。对于第一种情形，由于个人信息本身的可识别性，即由个人信息可以直接识别出其信息主体，即个人信息本身就具有彰显权利（归属）主体的特征，因此，个人信息财产权不需要另外的公示，即可对抗其他所有人，具有我们所谓的排他性和对世性的效力。至于第二种情形，笔者认为，这取决于其继承或转让合同是否经过公示。在此问题上，未来的立法应该采取公示对抗主义的权利变动模式，即一旦公示，就具有对抗第三人的效力；如果没有公示，就不具有对抗第三人的效力。当然，继受权利人可以从原权利人出取得追诉权。至于这种财产权变动的公示方法，笔者认为，目前采取网络登记的公示方式，具体公示信息可以放在个人信息保护机构（如下文所述）的网站上，并由其负责对这些公示信息及其安全进行日常的维护管理。这样，不仅对于权利人而言具有经济、便捷的特点，而且，也便于社会公众，尤其是将来准备使用的商家迅速通过网络查询权利变动信息。

四、个人信息财产权的实现

由于初级市场和二级市场对个人信息的收集、利用所需用的条件不同，其中，前者对个人信息的收集和利用主要是基于合同关系，为了完成交易而必需收集和利用个人信息的情形，因此，在初级市场上对于个人信息财产权的行使和保护主要是通过合同法上的许可使用合同及违约责任制度来实现的，在此条件下，对于主体个人信息财产权的保护也主要是合同法的任务。对于除了初级市场之外的其他对个人信息收集、利用情形都属于二级市场。在二级市场上，个人信息财产权的行使不仅可以通过合同进行各种形式的许可使用，也可以通过合同完全转让其个人信息财产权。在此市场上，对于个人信息财产权的消极保护主要通过侵权法来实现。因此，对于个人信息财产权的行使与保护问题，未来的立法应该区分初级市场和二级市场。

（一）个人信息保护保护机构

笔者认为，总体上应该建立一个类似但又不同于欧盟的个人信息保护机构，负责与个人信息保护有关的监管问题。其主要职责是对初级市场商家个人信息格式合同条款及二级市场上个人信息利用的监管。具体来说，这种个人信息保护机构的主要职责是对于个人信息非法收集、加工、买卖和利用行为进行监管。与欧盟《指令》 规定的个人信息保护机构不同的是，未来我国拟建立的个人信息保护机构在职责权限上相对较小且消极。谓其权力消极，是指不要求商家对个人信息的收集、利用行为必须要向它登记并获得其许可，即其主要职责在于事后监管，而不是事先审查、批准和许可。具体来说，其主要职责在于：

一是对于初级市场上商家的（作为其合同条款的）个人信息保护政策及有关合同条款的合法性进行监管。据此，在初级市场上，未来的立法应该要求商家制定明确的个人信息保护政策，并把这些政策作为其与用户之间合同条款的组成部分。个人信息保护机构的职责就是对商家是否制定了这样的个人信息保护政策及是否置于其网站主页的显著位置及是否以显著的方式向用户展示这些政策，尤其是其中对消费者不利或有重要影响的条款。对于违反规定的商家，个人信息保护机构可以依法进行监管和相应的行政处罚。二是对于严重的个人信息滥用和侵权行为实施行政监管。据此，个人信息保护机构有权对于初级市场上违反合同的个人信息滥用行为及二级市场上的非法收集、买卖和严重滥用个人信息的行为进行监管，对于严重的违法行为进行相应的行政处罚。这种监管既可以是主动监管，也可以是接受举报后进行查处。三是负责个人信息财产权变动的网络公示信息的安全系统与运行维护管理。

（二）个人信息财产权的实现方式

个人信息财产权的行使方式，包括自己使用和许可他人使用。自己使用，即主体通过自己使用其个人信息从而获得相应的商业价值的一种权利行使方式，比如，肖像权人将自己的肖像用于自己商业活动中的行为。许可使用，即主体通过许可他人使用自己的个人信息从而获得报酬的一种权利行使方式。当然，根据使用的权限，个人信息许可使用又可以分为普通许可、独家许可使用、排他性许可使用。所谓独家许可使用，是指就某一方面的个人信息而言，被许可的主体只能有一个，而不能同时有多个。所谓的排他性许可，系指对于某一方面的个人信息，只有被许可人（一方）才可以进行商业性使用，除此之外，即使是权利人也不能对其个人信息进行商业性使用。而普通许可则是指被许可人所获得个人信息使用权不得对抗任何人的一种许可。

    关于个人信息许可的实现方式问题，应该区分初级市场和二级市场。所谓初级市场(first market)，是指基于完成交易目的而由所有人和交易对方对于个人信息收集、加工、使用等条件达成协议的市场。换言之，初级市场就是指为了进行交易或订立合同之目的而必须向商家“出售”个人信息的情形。由于个人对其自己的个人信息享有财产权，因此，他/她可以以所有者的身份与商家在订立合同时讨价还价，以获得对自己最为有利的交易条件。这些有利条件包括：按照对方的隐私和个人信息保护政策及其在此方面的信誉选择对己最为合适的交易对象---商家；在与特定的商家进行谈判时按照对方所给予的对价来选择是否与之订立合同及决定对己最为有利的合同条款。要在初级市场上实现这种权利，根据不同的交易情形有不同的应对策略。一般来说，基于非网络的交易则相对容易，消费者可以象一般传统交易一样面对面地与商家进行协商，按照对己最为有利的条件选择交易对象和进行交易。对于网络交易来说，尤其是在浏览众多网站或网页时，由于几乎所有的商家都通过各种技术方式收集消费者的个人信息，而且，这种收集都是自动地、在消费者不知情的情况下通过诸如cookie技术等实现的；更多的情况是消费者与商家之间并没有进行任何交易而只是浏览网页的情况下消费者的个人信息就已经被收集了。由此，这对消费者实现自己的个人信息财产权增加了实现上的难度。为此，一些学者提出了一些技术解决方案，即信息所有人则可以通过使用诸如P3P[1]等技术方式明确使用的范围、报酬、责任等。

    所谓二级市场，是指建立在对个人信息的再次使用（Secondary Use）基础之上的市场。任何超出原来收集信息目的范围之外的对个人信息的使用行为，包括原来的收集方再许可他人进行使用的，都属于再次使用。关于个人信息财产权在二级市场上的实现途径问题，考虑到潜在的使用人获得权利人的许可如果要找到权利人将面临困难的现实，美国学者Kenneth C. Laudon 提出的根据股票交易市场模式而建立的“国家个人信息交易市场”方案值得借鉴。

所谓的国家统一个人信息市场（National Information Market）模式，就是在承认个人信息财产权的基础上，比照目前的股票交易市场模型而建立起来未来个人信息交易市场的模式，该模式是由美国学者Laudon首先提出来的。Laudon认为，参照目前的股票交易模式，个人信息也可以像股票那样在一个统一个市场上进行交易。其基本思路是：首先，在全国各地建立起来“地方个人信息银行（local information bank）”、“国家信息账户中心（Center For National Information Accounts）”“国家信息交易所（National Information Exchange）”。由个人根据其意愿决定是否将其个人信息存储于所在地的个人信息银行及是否在国家信息账户中心开立个人账户；其次，将地方个人信息银行中所有个人信息进行分类和打包，（比如按照医疗信息、教育信息、职业信息、金融资产信息等）[2]；然后，由地方信息银行把分类后的个人信息包输入国家个人信息交易所在那里进行交易，需要使用个人信息的商家可以直接或委托中间商在国家个人信息交易所进行类似于股票买卖的交易，交易完成后将资金自动划入到个人在国家信息账户中心的账户中。此时，购买的商家可以获得一定期限内基于特定目的使用某类个人信息的权利。当然，为了更好地监督买家对个人信息的使用，“个人信息交易所”也可以作为（类似于证券交易所的）监督者对于个人信息何时、被何人在何种范围内使用等进行监督。当然，权利人除了可以选择在“国家个人信息交易所”进行个人信息交易外，也可以自行与潜在的使用者进行单独交易。这样，那些觉得他们所遭受的烦恼超过其所获得经济补偿的个人，可以将其名单从中除去；而那些(通过比较获其得的经济利益和所遭受的邮件烦扰相比)觉得还划算的个人则可以继续将其名单留在那里。以下是美国学者Kenneth C. Laudon 根据股票交易市场模式所提出的“国家个人信息交易市场”模型。[3]

尽管要落实Laudon的国家信息市场仍然有一些实际细节问题需要进一步解决，但是，必须认识到，第三方在类似于市场环境中买卖个人信息的情形在今天已经很常见。国家个人信息市场只是简单地给个人提供了一个使他们能够在个人信息交易中享有经济利益的机会，而这种利益他们至今尚未有机会享受[4]。

当然，由于目前在个人信息市场上，很多人个人信息早已被商家收集、加工和存储起来了，而且，大多数主体的个人信息都是在权利主体根本不知情的情况下秘密收集、加工和存储的，因此，使用上述方式也会面临困难。为此，可以考虑建立一个类似于欧盟国家的个人信息监管机构，令已经收集个人信息的商家在一定期限内到监管机构进行登记，否则，则可以通过取消其市场准入资格，甚至追究其刑事责任[5]。

 刘德良 法学博士 亚太网络法律研究中心（http://www.apcyber-law.com/ ）主任 研究员 北京邮电大学法律系教授