個人信息的類型化分析及區(qū)分保護*

項定宜

(1．黑龍江大學法學院，黑龍江哈爾濱150080; 2．東北林業(yè)大學文法學院，黑龍江哈爾濱150040)

個人信息的類型化分析及區(qū)分保護*

項定宜1，2

(1．黑龍江大學法學院，黑龍江哈爾濱150080; 2．東北林業(yè)大學文法學院，黑龍江哈爾濱150040)

大數據時代充分利用個人信息的迫切需求，對各國個人信息保護法提出了巨大挑戰(zhàn)。個人信息的人格屬性和財產屬性、個體性和社會性的矛盾統(tǒng)一于個人信息的利用行為中。然而，各種個人信息識別信息主體的程度各有不同，在社會交往活動中的媒介作用不同，與人格尊嚴的緊密程度亦不同，實踐中不應當對個人信息采取單一的保護模式。對于同時滿足間接識別性、社會性強、非敏感性三個特征的個人信息，與信息主體的人格尊嚴聯系較為疏遠，不必采取傳統(tǒng)的人格權保護模式，采取財產權益一元保護的模式即可。而對于符合直接識別性、個體性強、敏感性任何一個特征的個人信息，應當采取二元保護模式，即人格權益和財產權益共同受到保護的模式。

個人信息;類型化;區(qū)分保護

當前，全球進入大數據時代。在黨的十八屆五中全會上習近平總書記提出我國在“十三五”期間實施國家大數據戰(zhàn)略和“互聯網+”行動計劃，推動個人信息在新聞傳媒、電子商務、征信、保險、金融、醫(yī)療等領域充分地被利用。然而，大數據時代對個人信息保護提出了更大挑戰(zhàn)［1-2］。如何實現信息利用與信息保護的平衡，是當代法學理論研究的重大課題。

近十年來法學界對個人信息保護展開了深入研究，學術成果頗豐①這方面的成果主要有:梅紹祖:《個人信息保護的基礎性問題研究》，《蘇州大學學報(哲學社會科學版)》2005年第2期，第25-30頁;齊愛民、李儀:《論利益平衡視野下的個人信息權制度——在人格利益與信息自由之間》，《法學評論》2011年第3期，第37-44頁;王利明:《論個人信息權的法律保護——以個人信息權和隱私權的界分為中心》，《現代法學》2013年第4期，第62-71頁;張新寶:《從隱私到個人信息:利益再衡量的理論與制度安排》，《中國法學》2015年第3期，第38-59頁;洪海林:《個人信息的民法保護研究》，法律出版社2010年版，第179-183頁;刁勝先、周璐、謝文彥:《論個人信息網絡侵權的民法規(guī)制》，《重慶郵電大學學報(社會科學版)》2012年第1期，第17-21頁;石佳友:《網絡環(huán)境下的個人信息保護立法》，《蘇州大學學報(哲學社會科學版)》2012年第6期，第85-96頁;徐藝心、宋建武:《互聯網個人信息的社會性及其利用邊界》，《現代傳播》2015年第7期，第131-136頁。，主要包括以下幾個方面:第一，個人信息的民法保護研究。從合同法、侵權責任法對個人信息的民法保護展開研究，保護個人信息時兼顧信息流通;第二，個人信息控制權的研究，主要從信息主體控制個人信息利用決定權的方面研究個人信息的保護，側重信息主體的人格權。第三，個人信息商品化的研究，強調個人信息商業(yè)利用的合法要件，以及對個人信息財產利益的保護。第四，特殊領域個人信息保護研究。如對征信業(yè)、電子商務業(yè)、銀行業(yè)、醫(yī)療業(yè)等行業(yè)個人信息利用中的法律問題進行研究。

上述研究中，學界達成共識的觀點有:第一，盡管個人信息與隱私有交差，但個人信息仍然不同于隱私，應當對個人信息單獨保護;第二，個人信息同時承載人格利益和財產利益;第三，個人信息在大數據時代應當得到充分利用，兼顧個人信息保護與信息利用。但是，大數據時代背景下個人信息保護模式尚未達成共識，如哪些個人信息側重保護人格利益，哪些個人信息應當同時保護人格利益和財產利益，哪些個人信息只需要保護財產利益即可，學者之間尚有爭議。要真正解決大數據時代個人信息利用中的個人信息保護問題，需要全面、透徹地分析個人信息保護的客體——個人信息本身。目前，學界缺乏對個人信息深入、類型化的研究成果。筆者將在下文對個人信息展開類型化研究，在此基礎上提出個人信息區(qū)分保護的建議，以期對立法和司法實踐有所助益。

一、個人信息的屬性

正如有學者曾指出的，信息時代對民事權利客體理論提出了重大挑戰(zhàn)［3］，個人信息作為個人信息權益的客體，尤其值得研究。關于個人信息的稱謂，目前與此相關的稱謂包括個人資料、個人數據①數據與資料都是從data翻譯過來的，二者本質沒有區(qū)別。。個人數據、個人資料(data)是指不以文字為限、表明個人信息的符號系列，是個人信息的表現形式。臺灣地區(qū)1995年的《電腦處理個人資料保護法》、香港地區(qū)1996年的《個人資料(私隱)條例》以及澳門特別行政區(qū)2005年的《個人資料(數據)保護法》均采用個人資料(數據)的稱謂，而日本、俄羅斯立法采用“個人信息”的稱謂。個人信息為個人資料所體現的內容［4］，立法一般保護的只能是以可處理的個人資料為形式的個人信息，如歐盟1995年《數據保護指令》第1條規(guī)定該指令保護個人數據處理中的隱私權，該指令將保護對象限定為可處理的數據，第2條(a)將個人數據(信息)規(guī)定為是指任何與確認或者可以確認的自然人(“數據主體”)相關的信息。因此，盡管個人信息、個人資料、個人數據三個概念從文義上有些許差異，但從個人信息保護的角度論及三個概念時基本沒什么差別，本文統(tǒng)一采用個人信息的稱謂。

對于個人信息的界定，學者們見仁見智。王利明先生認為，“個人信息是指與特定個人相關聯的、反映個體特征的具有可識別性的符號系統(tǒng)，包括個人身份、工作、家庭、財產、健康等各方面的信息”［5］，強調個體性、可識別性以及表現為符號系統(tǒng)。周漢華先生認為，“個人信息是指與一個身份已經被識別或者身份可以被識別的自然人相關的任何信息，包括個人姓名、住址、出生日期、身份證號碼、醫(yī)療記錄、人事記錄、照片等單獨或與其他信息對照可以識別特定的個人的信息”［6］，側重識別性、與自然人相關。齊愛民先生認為，“個人信息是可固定、可處理的一切可以識別本人的信息的總和”［7］。劉德良先生認為，“個人信息是指那些據此能夠直接或間接推斷出特定自然人身份而又與公共利益沒有直接關系的私有信息”［8］80，其主張個人信息具有識別性、私有性。目前各國個人信息保護法對于個人信息的定義，一般也是以“識別”為核心標準，即指與個人相關的，能夠直接或間接識別特定自然人的信息。從上述對個人信息的界定不難看出，學界以及立法規(guī)范普遍認為個人信息有三個特點:第一，個人信息與自然人相關，具有人格屬性。第二，個人信息體現在可再現的載體上，可處理并直接或間接識別自然人。如同知識產權保護可再現的智慧成果，個人信息保護法保護可處理的個人信息。第三，個人信息反映了主體的個性特征，具有個體屬性。筆者贊同個人信息的上述三個特點，個人信息是指能夠直接或間接識別自然人、并可處理的信息。個人信息的識別性已達成學界共識，但是針對個人信息人格屬性和個體屬性的認識，筆者有不同觀點，下面將詳細闡述。

(一)財產屬性日益突出

毋庸置疑，個人信息蘊含著人格利益，具有人格屬性。人的生物信息對于主體的自我認同具有重要意義，社會文化信息作為社會交往的媒介符號具有主體識別功能，均表征著主體的人格尊嚴。信息社會中，信息呈現著信息主體的信息化外觀，被作為人際交往的個人代號。個人信息的識別性使得個人信息在一定程度上依附于自然人的法律人格而存在，一旦他人未經信息主體的允許而使用、披露其個人信息，信息主體的人格尊嚴即受到侵害。

除了明顯的人格屬性外，個人信息還具有財產屬性。隨著云計算、傳感器等技術的發(fā)展與應用，大數據時代應運而生，個人信息得到前所未有的充分利用，其中顯然包括商業(yè)利用。無論是數據挖掘與分析帶來的高效經濟、科學醫(yī)療，還是包括商業(yè)推送在內的精準營銷提高了廣告有效性，節(jié)省了交易成本，社會一般民眾普遍從信息利用中受益。這種利用也能為社會通行的倫理觀念所接受，因為個人信息屬于符號性人格利益，可以與人身相分離，其被商業(yè)利用不違反社會公認的善良風俗。正如國內一位學者認為，判斷人格要素是否具有財產屬性的標準有:第一，該人格要素事實上能否進行商業(yè)利用;第二，這種利用能否為社會通行的倫理觀念所接受，是否符合社會發(fā)展的需要［9］。信息社會推動了個人信息的商業(yè)利用，個人信息在商業(yè)利用中凸顯了其財產價值。

能夠同時滿足上述兩個標準、兼具人格利益和財產利益的人格要素并非只有個人信息，王澤鑒先生認為，這類人格要素“從最初的肖像、姓名，逐漸擴展到聲音、個人資料”［10］96。并非所有人格要素都兼具財產屬性，法律只能依據社會發(fā)展需要肯定部分人格要素具有財產屬性，肖像、姓名、聲音、個人信息這一類人格要素可以與主體相分離［8］83-84，有商業(yè)利用的可能性，事實上進行了商業(yè)利用，并且為社會一般觀念所允許，因而兼具財產屬性。當然，財產屬性并未否定其人格屬性。

由此可見，個人信息不僅具有人格屬性，而且可以與主體相分離，其商業(yè)利用為社會一般觀念所允許，因此同時具有財產屬性。

(二)社會屬性不斷增強

個人信息是識別自然人的信息，該信息最初由個人提供，與個人直接相關，體現了其個體屬性。個體屬性決定了信息主體享有個人信息控制權，其有權決定是否以及多大范圍內公開其個人信息。信息社會對個人信息的個體性提出挑戰(zhàn)，例如，在電子商務活動中，用戶只有提供自己的姓名、聯系方式、住址等個人信息，商品才能被物流公司送至手中。建立在電商交易基礎上的交易評價和售后服務制度加強了客戶關系的建立，推動了精準營銷的發(fā)展，從而降低了交易成本，提升了交易效率。對于交易雙方而言，個人信息的交流促進了經濟交往關系的持續(xù)性。此時，個人信息的社會屬性得以體現?；ヂ摼W技術主導下的網絡社交體現了信息交流與分享的需求，個人信息的社會性更加凸顯。正如杰里米·里夫金在其《第三次工業(yè)革命》一書中指出的，通信技術主導的第三次工業(yè)革命對自私自利和信息自我封閉提出挑戰(zhàn)，激勵了人類對社會性的普遍需求［11］。

有學者以個人信息的內容為標準，將個人信息分為屬人的個人信息和屬事的個人信息，屬人的個人信息反映主體的自然屬性和自然關系，屬事的個人信息反映主體的社會屬性和社會關系，是信息主體在社會中所處的地位和扮演的角色的反映［12］17-18。屬事個人信息的社會性自不待言，即使是屬人的個人信息在社會交往中作為識別主體的符號，也體現了其社會性，如刑事案件中犯罪嫌疑人的身高、體型、性別、肖像等屬人個人信息，個人信息的社會性對于交往主體而言盡管有導致信息泄露的風險，但是互聯網經濟帶來的便利和交易成本的節(jié)省仍然促使人們充分利用個人信息這一媒介開展經濟和社會交往。

個人信息的個體屬性已被學者達成共識，但是相關著述文獻對個人信息的社會屬性關注較少。筆者認為，無論是屬人或屬事的個人信息，都已成為信息時代社會交往活動的交往媒介，其社會屬性正在不斷增強。

二、個人信息的類型化

關于個人信息的分類，學者們有不同標準，最典型的分類如下。

(一)直接個人信息和間接個人信息

可以直接識別個人的信息為直接個人信息，必須結合其他個人信息方可識別個人的信息為間接個人信息［13］108-109。直接個人信息和間接個人信息的劃分比較客觀，不會產生因人而異、因事而異的困境。有學者認為，侵害直接個人信息對個人的侵害遠遠超過侵害間接個人信息給個人帶來的侵害，故有的國家立法只保護直接個人信息，有的國家立法則同時保護直接個人信息和間接個人信息［12］13-14。筆者認為，由于識別個人的程度不同，侵害直接個人信息對個人人格權益的侵害遠遠超過侵害間接個人信息對人格權益所帶來的侵害。因此，對姓名、肖像等直接個人信息的法律保護比地理位置、消費習慣等間接個人信息的法律保護更為嚴格，法律對直接個人信息利用行為比間接個人信息利用行為的限制就更多。

(二)敏感個人信息和一般個人信息

個人信息在多大程度上是敏感的，不再僅僅取決于這一信息是否涉及到私密的經歷，其內涵不易界定。國際個人信息保護立法都有關于嚴格禁止特殊類型個人信息的披露、傳播和利用行為的規(guī)定，例如1995年歐盟數據保護指令第8條“特殊數據種類的處理”①1995年歐盟數據保護指令第8條:成員國應當禁止關涉?zhèn)€人種族起源、政治觀點、宗教或者哲學信仰、貿易伙伴，以及健康和性生活的數據處理。。我國《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》從違法利用個人信息的“不良影響”角度來界定敏感個人信息②《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》3．7對個人敏感信息定義如下:一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息。。然而，“不良影響”的界定不周延，因為大多數個人信息的非法披露都會侵害到信息主體的人格尊嚴。再看國內一些行業(yè)行政法規(guī)，再如《征信業(yè)管理條例》第14條只是列舉宗教信仰、基因、指紋、血型、疾病等敏感個人信息的外延，而沒有對敏感個人信息的內涵進行定義。國內知名學者認為之所以無法界定內涵，是由于敏感信息較復雜，須結合本國國情界定③周漢華認為“原因在于域外立法中提及的敏感的個人信息所包含的范圍非常廣泛，但其中很多不適合我國國情”。(參見周漢華:《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》，法律出版社2006年版，第79頁)。筆者認為，敏感個人信息是法律應當進行特殊保護的個人信息，具有地域性、歷史性，不同國度、不同時代的敏感個人信息各有不同，個人信息保護立法應該明確限定敏感個人信息的外延。如《英國個人資料保護法》第2條規(guī)定，敏感個人信息包括種族、政治觀點、信仰、工會所屬關系、身體健康狀況、性生活、罪行、刑訴判決;《愛爾蘭個人資料保護(修正)法》第2條也有類似規(guī)定④上述兩個法條轉引自張才琴、齊愛民、李儀著書。(參見:《大數據時代個人信息開發(fā)利用法律制度研究》，法律出版社2015年版，第14-15頁)。

立法只有明確限定敏感個人信息，一般個人信息才得以確定。各國立法對一般個人信息的限制較小，允許一般個人信息的自由流通和商業(yè)利用，以促進整個社會對個人信息數據的充分利用，產生社會公共利益。立法者如果對敏感個人信息界定過寬，會導致信息產業(yè)乃至整個信息社會各行各業(yè)的停滯不前。立法對于敏感個人信息，應當嚴格限定范圍并禁止其利用，而對于一般個人信息則應當采取放寬和鼓勵利用的態(tài)度。法律限制一般個人信息主體的控制權，正如法律限制作者的著作權⑤張民安指出:“著作權中所規(guī)定的公共獲取與使用特權的規(guī)定大大促進了人們進一步創(chuàng)作的熱情，進而產生了重大的社會利益;反過來，如果法律給予作者過于完整的控制權，那么將會導致作品的生產不足?！?參見張民安:《信息性隱私權研究》，中山大學出版社2014年版，第13頁)，實乃促進信息社會進步與發(fā)展之良舉。侵害敏感個人信息的侵害行為，主要侵害了信息主體的人格尊嚴和人格權益，財產權益次之;與之不同的是，侵害一般個人信息的侵害行為，主要侵害的是信息主體的財產權益，人格權益次之，信息主體主要請求侵權人承擔財產損害賠償責任。

(三)個體性強的個人信息和社會性強的個人信息

學者很少采取這種分類。個人信息源自個人，或者由個人提供，毫無疑問其具有個體性。但是不同的個人信息，其個體性與社會性的強弱程度各有不同。例如姓名、身份證號、手機號、電子郵箱，更多的是社會交往活動中的主體符號，肖像、聲音、性別、身高、體重、學歷、社會職務等個人信息則是社會活動中個人的直觀表征，消費習慣、地理定位這類個人信息則是信息主體的動態(tài)行為信息，這些個人信息在社會活動中的意義甚至遠甚于私人領域中的意義，其社會性強于個體性，筆者將這類個人信息界定為社會性強的個人信息。即社會性強的個人信息包括三類:作為社會交往主體符號的個人信息;社會活動中展示個人直觀表征的個人信息;動態(tài)行為信息。反之，家庭住址、婚姻狀況、性生活、基因等個人信息不屬于社會活動中的交往符號，也不是直觀的個體表征(而肖像、身高、體重能直觀展現個人表征)，也不是社會活動中的動態(tài)行為信息，其更多的屬于個人私人領域，因此個體性強于社會性。筆者將這類個人信息界定為個體性強的個人信息，即同時滿足非社會主體符號、非個人直觀表征、非動態(tài)行為信息的個人信息。當然，對于社會性強的個人信息，我們并沒有否認其個體性，只是強調其在社會交往中的意義超過了其個體性。

由此可知，依據上述不同分類標準，每種類型的個人信息對應地具有三個不同特征。對個人信息特征的分類研究，有利于揭示個人信息的類型標準。為便于對照，筆者根據個人信息能否直接識別信息主體、社會性強弱、是否為敏感信息以及保護模式等，將其進行分類，特制作如下圖表(見表1)。

表1 典型個人信息的類型分析及保護模式

表1中第2、3、4欄是每類個人信息基本特征的表述，第5欄是對個人信息承載的權益分析的結果。姓名、身份證號、社會保險賬號、肖像、聲音這五種個人信息能夠直接識別出信息主體，承載著典型的人格權益，對于這類個人信息的不當利用行為，司法裁判應當同時保護受害人的人格權益和財產權益。家庭住址、婚姻狀況、性生活、收入和財產狀況這四類個人信息與信息主體的私人生活聯系緊密，且不能成為社會活動中的個人表征和聯系媒介，同樣承載著明顯的人格權益，司法裁判也應當對受害人的人格權益和財產權益進行二元保護。銀行賬號及密碼、基因、指紋、血型、病史、種族、宗教信仰、黨派這些個人信息是國家法律規(guī)定以及行業(yè)規(guī)定中的敏感個人信息，非法利用行為首先侵害了信息主體的人格尊嚴，因此也應當進行二元保護。性別、身高、體重、手機號、電子郵箱、微信號、微博號、學歷、消費習慣、愛好、地理定位、社會職務這些個人信息不能直接識別出信息主體，同時是社會交往中個人的表征、聯系媒介或者動態(tài)行為信息，并且不屬于法律嚴格禁止利用的敏感個人信息，這一類個人信息與信息主體人格尊嚴的聯系較為疏遠，非法利用這類個人信息的行為對主體人格尊嚴的侵害較小，更多是財產權益的侵害①如楊芳主張:“需要結合個人信息使用的目的和使用可能性判斷個人信息在人格權上的意義，因此并非任何個人信息都承載著人格權益?！?參見楊芳:《個人信息自決權反思——兼論個人信息保護法之保護客體》，《比較法研究》2015年第6期，第28頁)，因此采取財產權益一元保護即可。如果是財產權益一元保護，立法者則可以考慮采取事前財產補償或事后財產損害賠償的保護方法［13］111。

基于上述分析，我們可以總結出以下規(guī)律:

第一，直接性、個體性強、敏感性這三個特征占其一者，一般應當采取人格權益和財產權益二元保護，例如家庭住址和婚姻狀況盡管是間接、一般個人信息，但由于具有較強的個體性，因而仍然承載著人格權益，應當采取二元保護。

第二，同時具備間接性、社會性強、非敏感性這三個特征，其承載的人格權益基本可以忽略不計，采取財產權益一元保護即可。

第三，間接個人信息、社會性強的個人信息或者非敏感個人信息是否承載人格利益，我們還應當結合信息收集的目的、信息處理和信息結合的可能性［14］進行判斷。如果同時滿足間接性、社會性強、非敏感性三個要素的個人信息相互結合，能夠直接識別出信息主體，或者在信息處理中成為敏感的個人信息，那么這些看上去不重要的個人信息就變得重要，仍然要采取二元保護。比如上述工作單位、社會職務如果與姓名、肖像等個人信息結合，那么其承載人格利益就毋庸置疑。

第四，可以肯定的是，在商業(yè)利用的目的下，任何個人信息均承載著財產利益，其財產權益均應當受到保護，以符合公平原則。劉德良先生主張運用黑格爾的財產權理論論證個人信息財產權保護的合理性，通過賦予信息主體財產權來促進信息流通［8］89。王澤鑒先生則認為個人信息財產價值不是獨立于人格權的一項獨立權利，但其保護接近于無體財產權［10］102。筆者認為，無論這種財產權益是獨立的財產權，還是人格權附屬的財產利益，其作為合法的民事權益可以納入侵權責任法中民事權益一般條款的保護范圍。

三、個人信息類型的個案裁量

表1中肖像、聲音、身高、體重、社會職務、姓名信息的特征因人而異、因事而異，需要在司法裁判中進行個案裁量。司法裁判中，法官需要考量以下因素:

第一，行業(yè)特點。由于不同行業(yè)對個人信息利用的程度不同，各行業(yè)應當根據自身特點制定各行業(yè)下的敏感信息，《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》有相關規(guī)定②《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》3．7規(guī)定:各行業(yè)個人敏感信息的具體內容根據接受服務的個人信息主體意愿和各自業(yè)務特點確定。例如個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。。例如醫(yī)療行業(yè)中患者的病史是典型的敏感信息，商業(yè)保險中投保人的病史、收入、財產狀況都是敏感信息，銀行金融業(yè)中用戶的銀行賬號及密碼、支出明細、賬戶金額等是敏感個人信息?！墩餍艠I(yè)管理條例》規(guī)定征信業(yè)中的敏感信息包括收入、存款、有價證券、商業(yè)保險、不動產的信息和納稅數額信息，對于這類信息應當取得信息主體的書面明確同意③《征信業(yè)管理條例》第14條第2款規(guī)定:“征信機構不得采集個人的收入、存款、有價證券、商業(yè)保險、不動產的信息和納稅數額信息。但是，征信機構明確告知信息主體提供該信息可能產生的不利后果，并取得其書面同意的除外?！薄Ｋ痉ú门姓卟粌H應當依據未來個人信息保護法中敏感信息的外延來判斷是否是敏感信息，還應當結合信息控制者、信息利用者所處的行業(yè)來裁斷其是否侵害了敏感個人信息。

第二，活動場所。公共活動場所與私人領域中的個人信息敏感程度不同。姓名、肖像、電話號碼、電子信箱等個人信息用于人際交往的社會活動中，不應當作為敏感信息?！案吣衬吃V中國政法大學案”判決④參見高某某與中國政法大學隱私權糾紛上訴案，(2015)昌民初字第3682號。中法院認為“電話號碼和電子郵箱信息僅是現代人為與他人進行交流的通訊手段，隨時可以更換，并非附著于人身人格的一種權利”。工作單位、社會職務、學歷因為通常與主體的社會活動交往密切相關，因此，敏感程度也較低。此時，純粹私人領域中的個人身體缺陷、個人財產狀況等敏感程度就強很多，司法裁判對其人格權益應有更多的認可和保護。

第三，主體的個性特征。如身高過高或過矮的人對于身高信息就是敏感信息;病史對患有艾滋病、傳染病的人而言就是敏感信息，而對于身體健康或普通疾病的人而言就是一般信息。肖像信息對于相貌丑陋的人是敏感信息，而對于大多數人則是一般個人信息。社會職務為一般個人信息，但對于擔任特殊社會職務而不愿他人知曉的人，社會職務為敏感信息。只有在個案中針對極特殊的人群，這些信息才能成為敏感信息。再如一般情形下姓名是直接個人信息，但如果有幾個姓名相同的自然人，就需要結合身份證號、性別等個人信息來識別自然人，此時姓名為間接個人信息［12］108。

第四，不同國家的法律規(guī)定。種族、宗教信息、黨派是否是敏感信息，不同國家法律對此規(guī)定不同。我國《征信業(yè)管理條例》第14條第1款規(guī)定:“禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。”1995年歐盟《數據保護指令》第8條第1款規(guī)定個人種族起源、政治觀點、宗教或者哲學信仰、貿易伙伴，以及健康和性生活信息為特殊個人信息，原則上禁止處理、利用。

正如張新寶先生所言:“個人敏感隱私信息是一個動態(tài)范圍，還應結合當下科技發(fā)展水平 社會發(fā)展動態(tài)等靈活修正其列舉類型。”［15］51只有立法的原則性規(guī)定與司法的靈活裁斷相結合，才能科學、合理地界定敏感個人信息。

四、個人信息的區(qū)分保護

個人信息的法律保護，一直受到各國立法者的重視。德國自1983年“人口普查案”以來，采取個人信息控制權理論保護信息主體的人格尊嚴。2016年5月4日，歐盟正式頒布《一般數據保護法規(guī)》(The EU General Data Protection Regulation，GDPR)，全面引入“數據可攜權”“被遺忘權”等新型權利，增強用戶對個人數據的“控制力”。GDPR的通過意味著歐盟對個人信息保護的重視及其監(jiān)管達到了前所未有的高度。

然而，我國立法是否應當依循個人信息控制權理論保護個人信息?筆者認為，如果立法過于強調個人信息的個體性和人格屬性，保護信息主體的信息控制權，則會導致信息主體回歸信息封閉的狀態(tài)，作為信息社會基本要素的個人信息無法成為信息社會的結構性要素。無視信息時代個人信息的社會性和財產性，不僅無法讓個人信息“個體性與社會性”“人格屬性與財產屬性”的矛盾消除，而且會導致個人信息的濫用與隱性交易更加猖獗。

通過前文的分析，筆者認為應當對個人信息進行類型化的區(qū)分保護。關于區(qū)分保護，學者們已有不少著述。張新寶先生在其論文中主張區(qū)分敏感信息與一般個人信息分別保護，對于前者側重保護，對于后者鼓勵充分利用［15］38-59;學者張才琴、齊愛民、李儀在其著作中區(qū)分一般個人信息侵權行為和承擔損害賠償責任的侵權行為，前者指不具備財產損害要件的侵權行為，后者指具備財產損害并應當承擔財產損害賠償責任的侵權行為［12］108;劉德良教授的觀點是根據個人信息所體現的人格權益或財產權益，分別進行保護［8］87-90;郭明龍博士建議在商品化中區(qū)分直接個人信息和間接個人信息，主張以財產規(guī)則保護前者，以責任規(guī)則和候補性合同規(guī)則保護后者［13］109-111。上述學者分別主張從區(qū)分敏感信息與一般信息、一般侵權行為與承擔財產損害賠償責任的侵權行為、人格權益與財產權益、直接個人信息與間接個人信息的視角進行區(qū)別保護。

這些學者對個人信息缺乏全面的類型化研究，區(qū)分保護的依據相對簡單、絕對。筆者的觀點是同時考慮能否直接識別信息主體、社會性強弱以及是否具有敏感性這三項要素，對每一種個人信息進行較全面的類型化分析，并在此基礎上分析其保護模式。侵害同時符合間接識別性、社會性強、非敏感性三個特征的個人信息，其人格利益上的損害基本可以忽略不計，主要表現為財產利益的損害。對于這些間接、社會性強而且非敏感的個人信息完全不必采取傳統(tǒng)的人格權保護模式，采取財產權益一元保護的模式即可。而對于符合直接識別性、個體性強、敏感性中任何一個特征的個人信息，與人格尊嚴聯系較為緊密，必須采取二元保護模式，即人格權益和財產權益共同受到保護的模式。

五、結 論

本文通過對個人信息日益明顯的財產屬性和社會屬性的分析，從能否直接識別信息主體、社會性強弱、是否具有敏感性三個角度對個人信息展開全面的類型化研究，最終得出應當對兩種不同類型的個人信息采取區(qū)分保護方法的結論。即同時符合間接性、社會性強、非敏感性的個人信息，應當保護信息主體的財產權益;反之，信息主體的人格權益和財產權益同時受到保護。對個人信息的區(qū)分保護，有利于實現大數據時代個人信息保護和個人信息利用的平衡［16］。尤其是當個人信息保護立法對于社會不斷出現的個人信息侵權行為表現出滯后性時，區(qū)分保護方法幫助司法裁判者在三段論推理中合理評價法律事實和規(guī)范，在具體個案中對不同類型的個人信息運用不同的保護規(guī)則，從而作出合理、合法的裁斷，實現司法的實質公正顯得尤為重要。

［1］李媛．共識與爭議:個人信息保護的價值目標［J］．重慶郵電大學學報(社會科學版)，2016(3):59-64．

［2］張建文，高完成．司法實踐中個人信息的保護模式及其反思——以隱私權的轉型為視角［J］．重慶郵電大學學報(社會科學版)，2016(3):28-33．

［3］刁勝先，蔡旋滔，劉仲秋．信息社會背景下的民事權利客體之解讀與重構［J］．重慶郵電大學學報(社會科學版)，2009(3):33-34．

［4］齊愛民．拯救信息社會中的人格——個人信息保護法總論［M］．北京:北京大學出版社，2009:79-83．

［5］王利明．論個人信息權的法律保護——以個人信息權與隱私權的界分為中心［J］．現代法學，2013(4):64．

［6］周漢華．中華人民共和國個人信息保護法(專家建議稿)及立法研究報告［R］．北京:法律出版社，2006:3．

［7］齊愛民．個人信息保護法研究［J］．河北法學，2008 (4):17．

［8］劉德良．個人信息的財產權保護［J］．法學研究，2007 (3)．

［9］洪海林．個人信息的民法保護研究［M］．北京:法律出版社，2010:56-57．

［10］王澤鑒．人格權保護的課題與展望——人格權的性質及構造:精神利益與財產利益的保護［J］．人大法律評論，2009(1)．

［11］杰里米·里夫金．第三次工業(yè)革命［M］．張體偉，孫豫寧，譯．北京:中信出版社，2013:245-248．

［12］張才琴，齊愛民，李儀．大數據時代個人信息開發(fā)利用法律制度研究［M］．北京:法律出版社，2015．

［13］郭明龍．論個人信息之商品化［J］．法學論壇，2012 (6)．

［14］楊芳．個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體［J］．比較法研究，2015 (6):28．

［15］張新寶．從隱私到個人信息:利益再衡量的理論與制度安排［J］．中國法學，2015(3)．

［16］劉秀倫，李穎．官員財產信息網上公開的困境和實現路徑［J］．重慶工商大學學報(社會科學版)，2015 (4):27-32．

Typical Analysis and Differentiated Protection of Personal Information

XIANG Dingyi1，2
(1．Law School，Heilongjiang University，Harbin 150080，China; 2．School of Humanities and Law，Northeast Forestry University，Harbin 150040，China)

In big data era，full use for personal information puts forward a huge challenge to protect personal information all over the world．The personality attributes and property attributes，individuality and sociality about personal information which are contradicted coexist in the use of personal information．However，identification level，the media role in the social activities and the close degree of dignity are different about all sorts of personal information．A single protection mode should not be taken in practice consequently．Such information far away from personal dignity which meets together three features i．e．indirect，social strongly and non－sensitive do not have to take the traditional personal right protection mode which should be replaced by property rights and interests protection mode solely．Inversely such information which meet only one feature i．e．direct，individual strongly or sensitive should be taken protected by the dual mode，namely personality and property rights and interests protection．

personal information;typification;differentiated protection

D913

:A

:1673-8268(2017)01-0031-08

10．3969/j．issn．1673-8268．2017．01．006

(編輯:劉仲秋)

2016-09-11

中央高校基本科研業(yè)務費專項基金課題:網絡環(huán)境下個人信息侵權法律研究(DL13BC01)

項定宜(1980-)，女，湖北黃岡人，東北林業(yè)大學文法學院講師，黑龍江大學民商法學博士研究生，主要從事民商法學研究。