個人信息權(quán)絕對權(quán)屬性的規(guī)范依據(jù)與法理證成
——從微信讀書案切入

曹 博

一、引言：微信讀書案的論證困境及探究個人信息權(quán)利屬性的必要性

微信讀書案的基本案情如下：黃某使用微信讀書時發(fā)現(xiàn)，在未自愿授權(quán)的情況下，該軟件“關注”欄目下出現(xiàn)使用該應用程序的微信好友名單，雖未進行任何添加關注操作，但“我關注的”和“關注我的”頁面下出現(xiàn)大量微信好友，且微信讀書默認向“關注我的”好友公開黃某的閱讀信息。此外，其與微信好友能夠在沒有任何關注關系的情況下相互查看對方書架、正在閱讀的書籍、讀書想法等，但上述信息屬于黃某不愿向他人展示的隱私信息。黃某認為，微信讀書與微信系兩款獨立軟件，微信好友關系數(shù)據(jù)和微信讀書的閱讀信息均屬隱私和個人信息，在并未自愿授權(quán)的情況下，以上行為侵害了其個人信息權(quán)益和隱私權(quán)。

原告并未嚴格區(qū)分微信好友關系數(shù)據(jù)和微信讀書的閱讀信息分屬何種權(quán)利客體，而是籠統(tǒng)地尋求個人信息權(quán)益和隱私權(quán)保護，同時回避了個人信息保護應為法益保護還是權(quán)利保護的爭議，采用了個人信息權(quán)益的表述。法院總結(jié)的爭議焦點集中于微信好友關系、微信讀書的閱讀信息是否屬于個人信息和隱私，微信讀書的相關行為是否構(gòu)成對個人信息權(quán)益或隱私權(quán)的侵害。為此，法院回應了個人信息的可識別性、私密信息與非私密信息的區(qū)分、個人信息權(quán)益內(nèi)容、知情同意的有效性等問題，其法律解釋和適用過程以認定個人信息保護應為法益保護為前提，但在進一步的論證中卻存在難以自圓其說的邏輯漏洞與法理缺陷。首先，法院將個人信息的核心特點概括為“可識別性”，提出了“識別”(從信息到個人)與“關聯(lián)”(從個人到信息)兩條判定個人信息的路徑，擴張了既有的可識別性標準，使得個人信息的范疇足以達到相對確定的程度，使之在權(quán)利客體層面滿足了成為絕對權(quán)的前提；其次，在厘定隱私權(quán)與個人信息權(quán)益的過程中，法院一方面肯定隱私權(quán)的絕對權(quán)屬性和個人信息的法益保護屬性，另一方面又從立法價值取向、利益內(nèi)容、保護客體和損害后果以及權(quán)利特點和保護方式上，強調(diào)個人信息權(quán)益不同于隱私權(quán)的信息利用和流通價值、財產(chǎn)利益內(nèi)容以及信息主體積極、自決的利用權(quán)益，實際上承認了個人信息保護并非消極性、防御性的法益保護，而是具有絕對權(quán)的內(nèi)在特點；再次，法院將個人信息劃分為私密信息、一般信息和兼具防御性期待和積極利用期待的個人信息，將私密信息納入隱私權(quán)保護范疇，不但與其對隱私權(quán)和個人信息法益保護的基本界定相矛盾，而且導致個人信息的保護仍然只能繞道其他民事權(quán)利實現(xiàn)；最后，法院以知情同意的質(zhì)量評價作為判斷個人信息權(quán)益是否受到侵害的標準，但在實際論證中，又以相關行為侵害用戶隱私風險的高低作為評判知情同意質(zhì)量的依據(jù)，使得個人信息權(quán)益保護與隱私權(quán)保護仍然難以界分，導致有關個人信息保護的規(guī)定僅具象征意義。

微信讀書案中，法院裁判過程及其最終結(jié)論呈現(xiàn)出的矛盾與漏洞，充分說明個人信息保護應為法益保護還是權(quán)利保護，對個人信息保護應采何種價值取向、利益內(nèi)容和保護客體如何確定、損害后果如何評判，以及怎樣把握權(quán)利特點和保護方式等問題均產(chǎn)生切實影響。為此，有必要通過對法律規(guī)范的體系化解釋與民法理論的深層次分析，澄清個人信息保護應為權(quán)利保護還是法益保護，進一步對其權(quán)利屬性加以明晰。本文將從法律規(guī)范和理論分析兩個層面，證成個人信息權(quán)的絕對權(quán)屬性：就權(quán)利客體的確定性而言，個人信息范疇通過《民法典》和《個人信息保護法》等規(guī)范依據(jù)的展開足以構(gòu)建以可識別性為中心的解釋半徑，實現(xiàn)權(quán)利客體的相對確定并保留一定的開放空間；就個人信息權(quán)的權(quán)利內(nèi)容而言，通過對隱私權(quán)與個人信息保護在《民法典》中并置規(guī)定的規(guī)范意旨進行文義探究和體系解釋，將澄清個人信息權(quán)獨立于隱私權(quán)的必要性，明確具有絕對權(quán)屬性的個人信息權(quán)的權(quán)利內(nèi)容指向有限度的自主自決；就個人信息權(quán)的權(quán)能結(jié)構(gòu)而言，通過對《民法典》和《個人信息保護法》有關個人信息主體的權(quán)利和個人信息處理者義務的歸納與整合，形成以實現(xiàn)人格尊嚴和自由發(fā)展為核心訴求的個人信息有限自主的權(quán)能結(jié)構(gòu)，從而對特定類型的個人信息使用行為進行有限自主范圍內(nèi)的支配和控制。

二、作為權(quán)利客體的個人信息范疇能夠通過可識別性確定

經(jīng)由學者對《民法典》立法說明與背景資料的解讀，個人信息保護未作權(quán)利化處理的理由主要有：個人信息權(quán)的爭論較大，不宜在《民法典》中過早框定；個人信息權(quán)利化處理容易影響數(shù)據(jù)流通；減輕科技企業(yè)在個人信息處理方面的壓力。排除立法驅(qū)動數(shù)據(jù)經(jīng)濟發(fā)展等政策考量，個人信息的邊界無法確定，是理論層面否定個人信息權(quán)的主要依據(jù)?？疾臁睹穹ǖ洹芬约啊秱€人信息保護法》等法律規(guī)范，對個人信息的界定均圍繞“可識別性”展開，固然在個人信息的范疇上仍存在一定的開放性和解釋空間，但結(jié)合民法理論中絕對權(quán)對權(quán)利客體確定性要求的發(fā)展演進，個人信息范疇的相對確定，足以在權(quán)利客體層面滿足絕對權(quán)的要求。

(一)個人信息范疇的法律規(guī)定與解釋空間

《民法典》將個人信息界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息”，并進一步以非窮盡列舉的方式將自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息囊括其中。該定義傳承了個人信息的存在形式包括電子或其他方式的立法傳統(tǒng)，實際上區(qū)分了個人信息的本體與載體，電子方式是最常見的載體，通常表現(xiàn)為數(shù)據(jù)。個人信息與數(shù)據(jù)分屬不同層次，較之于個人數(shù)據(jù)以及個人信息數(shù)據(jù)，個人信息的表述在規(guī)范依據(jù)、理論常識和感官直覺層面都更為可取，民法中的相關探討應統(tǒng)一使用“個人信息”的概念術語。此外，這一定義延續(xù)了《網(wǎng)絡安全法》與《信息安全技術個人信息安全規(guī)范》等既有法律規(guī)范中通過“單獨識別”與“結(jié)合識別”界定個人信息的“可識別性”標準。值得注意的是，原有法律規(guī)范將識別的對象指向“自然人個人身份”或“特定自然人活動情況”，《民法典》則將識別對象界定為“特定自然人”，字面意思的指向更加寬泛。在自然人個人身份與活動情況之外，是否還存在其他能夠指向特定自然人的“單獨識別”或“結(jié)合識別”的具體情形，在個案中具有進一步解釋的空間。

《個人信息保護法》同樣是在“可識別性”的基礎上對個人信息進行界定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息?！陛^之于《民法典》的規(guī)定，《個人信息保護法》明確將匿名化信息排除在個人信息的范疇之外，體現(xiàn)出該法保護個人信息權(quán)益、規(guī)范個人信息處理活動以及促進個人信息合理利用的多重立法宗旨。此外，較之于《民法典》歸納的單獨識別與結(jié)合識別，《個人信息保護法》概括的已識別與可識別的判定方式同樣具有一定的解釋空間，特別是“與已識別的自然人有關的各種信息”明確提出了從個人到信息的識別方向，而傳統(tǒng)上對個人信息的識別均強調(diào)從信息到個人。事實上，這一規(guī)定在很大程度上借鑒了歐盟《通用數(shù)據(jù)保護條例》(GDPR)，該條例將“一個可識別的自然人”描述為“通過姓名、身份證號碼、位置數(shù)據(jù)、在線身份識別碼這類標識，或通過針對該自然人的一個或多個身體、生理、遺傳、心理、經(jīng)濟、文化或社會身份等要素，能夠直接或間接地被識別”。

由此，在有關“可識別性”的法律規(guī)定中，無論是直接識別與間接識別，還是單獨識別與結(jié)合識別，抑或是可識別與已識別，在通常列舉的個人信息樣態(tài)之外，個人信息的范疇存在一定的不確定性和解釋與擴展空間。

(二)絕對權(quán)對權(quán)利客體確定性的要求及其發(fā)展調(diào)適

德國法上關于權(quán)利和利益的區(qū)分標準認為，“同時具備歸屬效能、排除效能和社會典型公開性的，為一種侵權(quán)法上的權(quán)利，反之則只能歸于一種利益”。社會典型公開性強調(diào)使社會一般主體有識別利益客體的可能性, 從而兼顧潛在加害人的行為自由，要求權(quán)利客體的確定性和權(quán)利外觀的清晰性。顯然，德國法上的前述理論以所有權(quán)為原型構(gòu)建，以所有權(quán)為核心的物權(quán)進而從權(quán)利效力所及范圍上和債權(quán)相區(qū)分，并構(gòu)成了絕對權(quán)與相對權(quán)這一重要的民事權(quán)利分類結(jié)構(gòu)，絕對權(quán)的效力所及范圍在于一切人，而相對權(quán)的效力所及范圍在于特定人。從債的發(fā)生理由考察，個人信息顯然不具備債權(quán)屬性，如果構(gòu)成權(quán)利，則只能是絕對權(quán)，因而對其權(quán)利屬性的確認同時意味著其絕對權(quán)屬性的證成，闡明權(quán)利客體的確定性也就成為論證個人信息絕對權(quán)屬性的前提。

較之于所有權(quán)客體具備明確物理外觀且權(quán)利本體與權(quán)利客體相一致的現(xiàn)實，個人信息的范疇與邊界確實存在較大的不確定性，例如《個人信息保護法》規(guī)定的有關個人信息的查詢、更改、刪除等權(quán)利究竟指向機器可讀的數(shù)據(jù)，還是人可讀的信息就引發(fā)了學者的爭議與討論。但是，需要注意的是，民法相關理論隨著經(jīng)濟發(fā)展與社會進步也進行了相應的改進與調(diào)適。因應人權(quán)理念更新與技術進步的各項具體人格權(quán)、知識產(chǎn)權(quán)等權(quán)利先后獲得絕對權(quán)地位，相對確定的權(quán)利客體與存在一定解釋空間的權(quán)利外觀即已滿足絕對權(quán)的要求。以隱私權(quán)為例，雖然《民法典》明確界定隱私為“自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”，但隱私權(quán)的客體也只能達到相對確定的程度，隱私權(quán)的邊界在個案中存在進一步解釋的空間。再以著作權(quán)為例，立法上雖然對作為著作權(quán)客體的作品概念進行了明確界定且羅列了不少具體的作品類型，但一則作品概念中的核心要素獨創(chuàng)性具有極大的解釋空間，二則作品類型法定化的困境已顯露無疑?！吨鳈?quán)法》修改時增設作品類型的開放條款，一方面是為了回應司法實踐中的爭議問題，一方面仍是由著作權(quán)客體相對確定的特點決定的。

從民事權(quán)利不斷擴充調(diào)整的歷程來看，絕對權(quán)對權(quán)利客體與權(quán)利外觀的要求已大為松動，不再追求權(quán)利客體與權(quán)利外觀在確定性方面的絕對化，而是接受了對無形物的擬制，對權(quán)利的認識也拋棄了主體與客體的僵化認知，回歸到人與人的關系，絕對權(quán)客體達到相對確定的程度并具備一定的解釋空間即為已足。

(三)個人信息權(quán)利客體與權(quán)利外觀的相對確定已滿足絕對權(quán)的要求

綜合《民法典》與《個人信息保護法》的規(guī)定，個人信息范疇的確定采納“可識別性”標準，個人信息的識別路徑包括“從信息到個人”與“從個人到信息”，識別方式包括單獨識別與結(jié)合識別，識別對象為“特定自然人”。在個案中如何理解從個人到信息、結(jié)合識別以及特定自然人，均會對個人信息范疇的擴張及個人信息權(quán)的保護產(chǎn)生影響。

以對特定自然人的界定為例，在自然人個人身份之外，自然人個體特征也具備劃入“特定自然人”涵蓋范圍的可能性。由于在后續(xù)的個人信息使用中，這種識別已經(jīng)足以形成對相應自然人的鎖定和了解，從而推進用戶畫像與個性化推薦的實施，將其納入個人信息的范疇對于實現(xiàn)個人利益保護意義重大?！峨娮由虅辗ā返谑藯l規(guī)定：“電子商務經(jīng)營者根據(jù)消費者的興趣愛好、消費習慣等特征向其提供商品或者服務的搜索結(jié)果的，應當同時向該消費者提供不針對其個人特征的選項，尊重和平等保護消費者合法權(quán)益。”雖然對該條的解讀存在不少爭議，但此處使用“個人特征”的表述，并且明確提出消費者享有對是否使用其個人特征的選擇權(quán)?！秱€人信息保護法》也明確要求通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。從體系解釋的角度，能夠識別到自然人個體特征的信息具備成為個人信息的可能性，將之解釋到《民法典》第一千三百零四條的“特定自然人”范疇之內(nèi)也并未超出文義解釋的基本規(guī)則。

此外，司法實踐中不同法院對結(jié)合識別的理解以及同種個人信息在何種情形下具備可識別性的把握均存在不小爭議，進一步體現(xiàn)了個人信息范疇及可識別性標準的不確定性。但這一方面說明有關個人信息的立法規(guī)范及司法適用可能存在進一步改進與明確的空間，另一方面表明，個人信息的范疇在實踐中具備擴張解釋與保留一定彈性空間的必要性。從民法上權(quán)利分類的基本要求來看，個人信息的范疇相對確定，完全滿足具有絕對權(quán)屬性的具體人格權(quán)對權(quán)利客體相對確定和權(quán)利外觀相對清晰的要求。

三、對個人信息有限度的自主自決符合絕對權(quán)的要求

隱私權(quán)與個人信息保護的關系一直是個人信息保護中的焦點問題，《民法典》區(qū)分私密信息與非私密信息，對二者應差等保護還是平等保護不無疑問，《個人信息保護法》則單獨規(guī)定了有關敏感個人信息的處理規(guī)則，導致隱私與不同分類標準下個人信息保護的關系進一步復雜化。從《民法典》關于個人信息保護的立法目的和規(guī)范體系考察，對非私密信息的保護應獨立于隱私權(quán)，確立其絕對權(quán)屬性是實現(xiàn)這種獨立性的必然選擇，獨立于隱私權(quán)的個人信息權(quán)在權(quán)利內(nèi)容方面體現(xiàn)為對個人信息有限度的自主自決。

(一)隱私權(quán)與個人信息保護在《民法典》中并置的規(guī)范意旨

《民法典》在第四編第六章規(guī)定了隱私權(quán)與個人信息保護，個人信息中的私密信息適用有關隱私權(quán)的規(guī)定，非私密信息則適用有關個人信息保護的規(guī)定。據(jù)此，有學者認為《民法典》確認了個人信息權(quán)益，它并非具體人格權(quán)，更非絕對權(quán)和支配權(quán)，只是一種受到法律保護的人格利益；隱私權(quán)作為一項具體的人格權(quán)，性質(zhì)上屬于絕對權(quán)和支配權(quán)，具有對世效力。這意味著私密信息與非私密信息在保護強度及權(quán)利(權(quán)益)層級上存在明顯差異。誠然，《民法典》并未使用“個人信息權(quán)”的概念，但這是否意味著個人信息(特別是非私密信息)之上只能存在權(quán)益而非權(quán)利，則需要通過體系解釋與歷史解釋，探求隱私權(quán)與個人信息保護并置的規(guī)范意旨。

將隱私權(quán)與個人信息并置的立法體例至少意味著二者應具有一定的關聯(lián)性?？疾烊烁駲?quán)編的內(nèi)部體系，第二章“生命權(quán)、身體權(quán)和健康權(quán)”、第三章“姓名權(quán)和名稱權(quán)”、第五章“名譽權(quán)和榮譽權(quán)”均采取這種多個權(quán)利并置的方式。具體而言，生命權(quán)、身體權(quán)和健康權(quán)傳承于《民法通則》規(guī)定的生命健康權(quán)，隨著學者對保護身體權(quán)的觀點逐漸統(tǒng)一，司法解釋創(chuàng)設了身體權(quán)，最終在《民法典》中形成三權(quán)并立的立法模式。從人格權(quán)的歷史演進考察，生命權(quán)、身體權(quán)及健康權(quán)屬于保障自然人自然存在的權(quán)利，在權(quán)利客體和規(guī)范目的上具有內(nèi)在的統(tǒng)一性；姓名權(quán)和名稱權(quán)則分別從自然人和法人、非法人組織入手，對客體層面具有相似性的權(quán)利進行規(guī)定，二者并置具備一定的合理性；名譽權(quán)和榮譽權(quán)的并置則是對理論爭議的一種妥協(xié)，自《民法通則》規(guī)定榮譽權(quán)以來，贊成榮譽權(quán)獨立性的論著頗多，但質(zhì)疑其獨立性的觀點亦非常普遍，其中較為有力的理據(jù)是榮譽只是名譽的一種特殊形式，對榮譽的保護問題通過名譽權(quán)即可實現(xiàn)。《民法典》保留榮譽權(quán)且與名譽權(quán)并置為一章，在體現(xiàn)慎重對待權(quán)利取舍的同時，認可了榮譽權(quán)與名譽權(quán)存在的內(nèi)在聯(lián)系。縱覽這三章多項權(quán)利并置的規(guī)定，可以發(fā)現(xiàn)不同的權(quán)利在性質(zhì)和層級上沒有差異，均屬于具體人格權(quán)，具有支配權(quán)和絕對權(quán)屬性，這些權(quán)利在《民法典》制定之前即已獲得權(quán)利名分，并置規(guī)定的做法一定程度上體現(xiàn)了《民法典》在人格權(quán)編內(nèi)部進行歸納分類的體系性要求。

具體到個人信息，與隱私權(quán)并置的規(guī)定實際上是對理論爭議的反饋和回應。長期以來，學界對個人信息保護存在歐盟范式與美國范式的優(yōu)劣之爭，但對于隱私與個人信息存在交叉、涉及個人私生活的敏感信息屬于隱私已大體形成共識，有學者明確提出《民法典》規(guī)定的個人信息應該是去除隱私之外獨立保護作為客體的個人信息?！睹穹ǖ洹纷罱K采納隱私權(quán)與個人信息保護并置的體例，并將個人信息區(qū)分為私密信息與非私密信息，前者進入隱私權(quán)范疇，后者歸屬個人信息調(diào)整，一方面體現(xiàn)了對隱私權(quán)保護司法實踐的回應，一方面接受了學界在區(qū)分隱私與個人信息方面的理論成果。事實上，私密信息獲得隱私權(quán)保護，即便在《民法典》未作規(guī)定的情況下亦無障礙，《民法典》關于個人信息保護的規(guī)范意旨重在非私密信息，如果仍將非私密信息視為權(quán)益客體而非權(quán)利客體，不但與人格權(quán)編整體的立法體例不符，而且不符合權(quán)益保護的基本范式。申言之，《民法典》對民事權(quán)益的保護具有極強的原則性，主要通過侵權(quán)責任的適用在個案中實現(xiàn)，完全沒有在《民法典》中大費周章規(guī)定某一具體民事權(quán)益保護的必要性，除非《民法典》對個人信息的保護僅具有宣示價值，否則個人信息權(quán)應與隱私權(quán)在權(quán)利位階上相一致。

(二)法律規(guī)范中個人信息權(quán)的權(quán)利內(nèi)容解讀

探求個人信息保護與隱私權(quán)保護并置的規(guī)范意旨，從體系協(xié)調(diào)的角度明確了個人信息權(quán)與隱私權(quán)在權(quán)利位階上應該一致的前提后，需要進一步澄清個人信息的權(quán)利內(nèi)容，以便說明在隱私權(quán)之外另設個人信息權(quán)的必要性與正當性。

《民法典》在確立私密信息適用有關隱私權(quán)規(guī)定的同時，對個人信息的權(quán)益內(nèi)容主要通過向信息處理者設定義務的方式界定，第一千零三十五條規(guī)定了處理個人信息應遵循的原則和條件，當信息處理者未履行義務時即構(gòu)成對個人信息權(quán)益的侵害。與此同時，規(guī)定了“查閱復制權(quán)”、“更正權(quán)”、“刪除權(quán)”等?！秱€人信息保護法》與《民法典》類似，一方面規(guī)定了個人信息處理者在個人信息處理活動中應履行的義務，另一方面明確了個人在個人信息處理活動中的權(quán)利。個人信息處理者的義務以取得個人信息主體的同意為核心，個人信息主體的權(quán)利則體現(xiàn)為其對具體化的個人信息處理行為享有的自主自決的權(quán)利。學者將《民法典》中個人信息保護的同意規(guī)則歸納為具有封閉和固定特征的義務性規(guī)則，將個人信息主體對加工處理中的個人信息訪問、更正、刪除等請求概括為授權(quán)性規(guī)則，并且認為這種立法模式依然滿足絕對權(quán)的要求。

這三項權(quán)利除查閱復制權(quán)之外，事實上仍是從法律救濟的角度規(guī)定的有關實施或停止特定行為的請求權(quán)，并未從正面對權(quán)利內(nèi)容作明確界定，從侵權(quán)行為的角度來看，權(quán)利內(nèi)容的缺失使得侵害行為以及損害賠償層面對損害的認定存在障礙。這就導致在論證個人信息權(quán)益是否受到侵害時只能嫁接其他民事權(quán)益，例如有學者在探討更正權(quán)時就提出：“個人信息在收集后要進行處理，如存儲、使用、加工、傳輸、共享等，因此一旦個人信息錯誤而不能及時更正，就會對自然人產(chǎn)生不利的影響，如基于此種錯誤的個人信息進行信用評價包括自動化決策，會對自然人的民事權(quán)益造成損害?！憋@然，對侵害個人信息行為是否成立的判定以及損害結(jié)果的確認只能作模糊化處理，強調(diào)對自然人產(chǎn)生的不利影響以及后續(xù)行為可能造成的民事權(quán)益損害。

如果按照這種邏輯理解和適用關于個人信息保護的相關規(guī)定，將會使《民法典》關于個人信息保護的規(guī)定僅具有象征性意義，因為在未作此種規(guī)定之前，相關處理個人信息的行為如果在事實上造成了對既有民事權(quán)益的侵害，同樣能夠得到救濟，個人信息保護獨立規(guī)定的意義并不顯著。

(三)個人信息權(quán)的權(quán)利內(nèi)容應為個人信息的有限自主自決

如果僅將個人信息保護視為一種防御性的權(quán)益保護，則通過個人信息處理者應履行的各項具體義務即足以從反面劃定個人信息的權(quán)益內(nèi)容，當義務主體未履行義務時，即構(gòu)成了對個人信息權(quán)益的侵害。然而，一方面《民法典》規(guī)定的“查閱復制權(quán)”“更正權(quán)”及“刪除權(quán)”等確立了個人信息主體請求信息處理者為或不為相應行為的請求權(quán)，一定程度上擴展了個人信息的權(quán)益內(nèi)容，使之不再是純粹的防御性權(quán)益；另一方面以微信讀書案為代表的具體案例，在認定侵害個人信息權(quán)益時采用的隱私化論證路徑，在規(guī)范依據(jù)和法理邏輯層面均存在不小的瑕疵，不得不令人反思，通過嫁接其他民事權(quán)利(特別是具體人格權(quán))來論證個人信息權(quán)益侵害的方式是否妥當。

從《民法典》的規(guī)范體系考察，個人信息被納入人格權(quán)編，意味著其應該具有人格權(quán)的一般屬性。按照民法理論的認知，人格權(quán)系以人格為內(nèi)容的權(quán)利，人格權(quán)的內(nèi)容隨著社會變遷、個人人格覺醒及不法侵害樣態(tài)，具體化于不同的保護范圍，形成個別人格權(quán)益，保持一種持續(xù)開展及實踐的動態(tài)發(fā)展過程。對人格權(quán)的理解至少形成以下共識：人格權(quán)的主體為“人”、人格權(quán)系以人的存在為基礎、人格權(quán)體現(xiàn)人的自主性及個別性、人格權(quán)在于維護人性尊嚴及促進人格自由發(fā)展。從普遍被確認的具體人格權(quán)來看，均是從不同人格權(quán)益的角度，確認個人對其人身或行為(作為或不作為)所享有的自我決定的權(quán)利，一方面使人格權(quán)人得直接享受其人格利益(支配性)，另一方面禁止他人的侵害(排他性)，彰顯人格權(quán)的絕對權(quán)屬性。從《民法典》的具體規(guī)定來看，明確將私密信息納入隱私權(quán)范疇進行保護，并規(guī)定任何組織和個人除非獲得權(quán)利人明確同意或符合法律另有規(guī)定的情形，否則不得處理私密私信。就非私密信息而言，雖然從立法用語來看，僅規(guī)定了個人信息處理的原則，但其內(nèi)容實際上圍繞著個人信息的自主自決而展開，除開合法、正當、必要原則和不得過度處理這種較為抽象的一般性要求外，從個人信息處理應符合的具體條件來看，同意仍居于首位，公開處理信息的規(guī)則和明示處理信息的目的、方式和范圍，均是為了進一步確保同意的實現(xiàn)能夠充分彰顯個人信息主體的自主自決，是在完全掌握個人信息處理可能產(chǎn)生影響的基礎上作出的，亦即確保其意思表示的真實。

當然，值得注意的是，個人信息的自主自決必然是一種有限范圍內(nèi)的自主自決，《民法典》及《個人信息保護法》在同意規(guī)則之外，同樣規(guī)定了無需個人信息主體同意即可處理個人信息的例外情形，相當于從反面對個人信息自主自決施加的限制。同樣作為絕對權(quán)的知識產(chǎn)權(quán)在這方面更為明顯，權(quán)利內(nèi)容的法定主義在規(guī)范層面已成共識，學者認為這說明了財產(chǎn)權(quán)的權(quán)利內(nèi)容“有寬有窄”，并不都似物權(quán)一般寬泛。這種認識對明確個人信息權(quán)的權(quán)利內(nèi)容同樣具有啟發(fā)意義，說明民法理論與實踐，在絕對權(quán)的支配范圍或自主自決的限度上，業(yè)已脫離了以物權(quán)為模型的窠臼，有限度的自主自決同樣符合絕對權(quán)的要求。因此，雖然《民法典》并未明確使用自然人對其個人信息享有自主自決的權(quán)利這種表述，但綜合考察人格權(quán)的理論共識、規(guī)范內(nèi)容和個人信息處理的原則與條件，實際上能夠確認個人信息權(quán)的權(quán)利內(nèi)容就是：對能夠識別到相應自然人的個人信息享有的有限度的自主自決權(quán)。

四、個人信息權(quán)的支配控制權(quán)能指向個人信息處理行為

個人信息權(quán)利客體相對確定與權(quán)利外觀相對清晰的現(xiàn)實，以及權(quán)利內(nèi)容有限度的自主自決都表明，個人信息權(quán)作為絕對權(quán)具有一定的特殊性，這種特殊性一方面源于個人信息的本質(zhì)屬性，一方面與民事權(quán)利理論實踐的更新相契合。對個人信息有限度的自主自決，似乎暗示了民事主體對個人信息的全面控制，知情同意規(guī)則在法律規(guī)范層面的確認進一步強化了這種認識。然而，個人信息的無形性、可共享性等特性決定了，知情同意規(guī)則的內(nèi)在缺陷無法通過形式要件的具體化和實質(zhì)評價而克服。從絕對權(quán)自身對權(quán)利客體的支配擴張到對使用行為的控制，彰顯了民法理論對無形化權(quán)利客體的回應，個人信息權(quán)的支配控制權(quán)能亦應指向?qū)μ囟愋蛡€人信息處理行為的控制。

(一)知情同意規(guī)則對個人信息支配控制的規(guī)范預設及實踐困境

《民法典》規(guī)定的個人信息處理條件以同意為核心，在必須征得自然人或其監(jiān)護人同意外，還要求公開處理信息的規(guī)則，明示處理的目的、方式和范圍，這些要求可以視為對獲取同意的形式要件作出的進一步明確?！秱€人信息保護法》同樣要求基于同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出，同時規(guī)定了個人撤回同意的權(quán)利。實踐中最常見的獲取同意的方式即用戶協(xié)議(或服務條款、隱私聲明)，在網(wǎng)絡環(huán)境下點擊同意用戶協(xié)議被長期視為網(wǎng)絡服務提供者處理個人信息的合法依據(jù)，盡管因冗長復雜以及用戶為了獲取服務只能點擊同意等原因，用戶對協(xié)議內(nèi)容的知悉度與同意的真實性廣受詬病。但無論從個人信息權(quán)利內(nèi)容的核心應為自然人的自主自決這一法理基礎出發(fā)，還是考察比較法上的通行做法經(jīng)濟合作與發(fā)展組織(OECD) 在 1980 年制定的《隱私保護與個人數(shù)據(jù)跨境流通指南》中， 就針對數(shù)據(jù)主體的同意做出了規(guī)定，體現(xiàn)在收集限制原則與使用限制原則的具體表述之中。OCED Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 1980， Article 7 (Collection Limitation Principle) and Article 10 (Use Limitation Principle)．歐盟《通用數(shù)據(jù)保護條例》(GDPR)及德國《聯(lián)邦數(shù)據(jù)保護法》、法國《數(shù)據(jù)處理、數(shù)據(jù)文件及個人自由法》、英國《資料保護法》、瑞典《個人數(shù)據(jù)法》都確立了個人信息處理的同意規(guī)則。美國聯(lián)邦貿(mào)易委員會在1998年就將同意視為隱私保護中廣為接受的核心原則之一。U.S. Federal Trade Commission, : , June, 1998, p.8. 或正視多年來的商業(yè)實踐，用戶協(xié)議仍是獲取同意的最重要途徑，《民法典》及《個人信息保護法》沒有理由調(diào)整知情同意規(guī)則的地位，有關知情同意規(guī)則的具體規(guī)定實際上也主要針對用戶協(xié)議。

較之于傳統(tǒng)的僅以點擊同意就確認帶有格式合同性質(zhì)的用戶協(xié)議成為個人信息處理的合法依據(jù)而言，對處理信息規(guī)則的公開要求，處理目的、方式和范圍的明示顯然對同意提出了更為豐富的要求，向個人信息處理者施加了更為嚴苛的義務。但是，將這些要求進一步融入用戶協(xié)議之中并非難事，不少網(wǎng)絡服務商的用戶協(xié)議中已經(jīng)包含了相關內(nèi)容。這種形式化的要求并不能改變絕大多數(shù)用戶不會仔細閱讀用戶協(xié)議、用戶為了接受相應的網(wǎng)絡服務必須點擊同意的現(xiàn)實情形，對用戶強化個人信息的支配控制能力并無助益。即便《個人信息保護法》對知情同意規(guī)則的具體實施進一步細化，但在具體的個人信息使用場景中，知情同意規(guī)則被虛置的現(xiàn)實依然難以發(fā)生根本性改變。較之于對同意是個人信息處理正當性基礎的根本性顛覆以及個人信息的使用應由社會控制的主張，探討個人信息處理中“兒童同意”年齡標準有助于對知情同意實現(xiàn)方式的具體化，澄清個人信息自決權(quán)并非絕對控制權(quán)并提出“弱同意”的理念基礎和規(guī)范結(jié)構(gòu)的嘗試對知情同意的實質(zhì)評價具有積極意義，但仍然無力改變有不少個人信息處理情形依然在“強同意”的范疇之內(nèi)，其在實踐層面經(jīng)由用戶協(xié)議的點擊確認而被架空的缺陷仍然存在。

事實上，知情同意規(guī)則預設了民事主體對個人信息的全面控制，而以用戶協(xié)議為表征的個人信息處理實踐卻全面架空了同意規(guī)則的規(guī)范目的。知情同意規(guī)則承載的是個人信息權(quán)支配控制權(quán)能的實現(xiàn)，在肯定個人信息權(quán)絕對權(quán)屬性及知情同意規(guī)則基礎性地位前提下，有必要反思絕對權(quán)下支配控制的對象是否應為個人信息本體的基本預設。

(二)絕對權(quán)指向的支配控制已從控制權(quán)利客體擴展到控制使用行為

人格權(quán)體系中的具體人格權(quán)大體可區(qū)分為人身的人格權(quán)和精神的人格權(quán)，前者保護存在于人身并時常與之無法分離的人格法益，包括生命、身體、健康等，后者則指向姓名、肖像、名譽、隱私等可以與人身相分離的人格法益。從這些人格法益指向的客體來看，通常都具有唯一性或明確的物理外觀，自然人能夠直接或間接對其進行支配控制，因而支配控制的對象通常就是權(quán)利的客體。但個人信息卻體現(xiàn)出顯著差別，不少能夠識別到自然人的個人信息時常是在使用網(wǎng)絡服務的過程中產(chǎn)生的，甚至直接由網(wǎng)絡服務商持有這些個人信息。此外，個人信息是一種非物質(zhì)化的客體，具有無形性和可復制性的特點，使得自然人對其進行支配與控制的能力明顯不足，如何實現(xiàn)個人信息的支配控制便成為阻礙其絕對權(quán)屬性確立的又一障礙。

事實上，在民事權(quán)利的譜系中，同樣存在著對具有類似特點的客體賦予絕對權(quán)地位的權(quán)利，知識產(chǎn)權(quán)就是典型代表。按照學者的歸納，個人信息與知識產(chǎn)權(quán)客體存在諸多共性，例如邊界相對確定、都具有信息本質(zhì)、均具有“公共產(chǎn)品”屬性且通常無法被人獨占。王澤鑒甚至認為對人格權(quán)財產(chǎn)價值的保護“雖不能脫離人格權(quán)而成為一個獨立的權(quán)利，但實已逐漸接近于無體財產(chǎn)權(quán)(智慧財產(chǎn)權(quán))”。這從側(cè)面說明，在人格權(quán)保護的理念塑造與規(guī)則建構(gòu)中，具備參照知識產(chǎn)權(quán)的可能性與現(xiàn)實性。面對無法從物理意義上對權(quán)利客體進行占有的現(xiàn)實，知識產(chǎn)權(quán)注定不能像所有權(quán)那樣，達到對物的絕對控制和維持圓滿狀態(tài)的程度，更無從構(gòu)建以占有為核心的權(quán)能體系，對支配控制的實現(xiàn)，只能針對客體的特定使用行為創(chuàng)設利益空間，日本學者田村善之即將知識產(chǎn)權(quán)界定為“規(guī)制人們行為模式的一種權(quán)利”。考察具體的知識產(chǎn)權(quán)形態(tài)，這種特點更為清晰：著作權(quán)以設定具體權(quán)利項的行為，明確了著作權(quán)人得以支配和控制的作品使用行為。這些具體權(quán)利項在著作權(quán)法的發(fā)展歷程中，隨著利益博弈與技術革新適時調(diào)整，著作權(quán)法從未嘗試對作為權(quán)利客體的作品賦予著作權(quán)人以絕對的支配控制權(quán)，現(xiàn)實中大量的個人使用行為難以進入著作權(quán)的控制范圍，而合理使用與法定許可的存在，進一步壓縮了支配控制的權(quán)能范圍；專利法則圍繞著專利權(quán)的權(quán)利客體技術方案(或設計方案)，對相應的制造、使用、銷售、許諾銷售專利產(chǎn)品的行為進行控制，單純對技術方案的閱讀與復制等行為，非但不在專利權(quán)支配控制的范疇之內(nèi)，反而是專利法價值取向中受到鼓勵的行為；商標法同樣控制對商標的使用行為，且以構(gòu)成相關公眾的混淆為前提，同時對商標權(quán)控制的使用行為施加商品相同或類似以及商標相同或近似的限制。不難發(fā)現(xiàn)，已獲絕對權(quán)地位的知識產(chǎn)權(quán)在支配控制層面體現(xiàn)為對使用權(quán)利客體的相關行為進行控制，而非對權(quán)利客體本身的控制。

這充分彰顯了民法理論在面對新興權(quán)利時具備的解釋空間與包容性，絕對權(quán)并不意味著必須要達到對權(quán)利客體圓滿狀態(tài)的占有和實際控制的程度，而是接受不同權(quán)利客體的特殊性。至少就具備無形性、可復制性等特點的權(quán)利客體而言，基于利益衡量確定對使用相應客體的行為進行控制同樣可以滿足絕對權(quán)的內(nèi)在要求。

(三)個人信息權(quán)的支配控制指向個人信息處理行為而非個人信息

民法理論對絕對權(quán)指向的支配控制從控制權(quán)利客體到控制使用權(quán)利客體的行為，意味著對個人信息權(quán)的支配控制同樣存在著重新認識與調(diào)整的可能。事實上，已有學者在基于權(quán)利理論證成個人信息權(quán)的過程中提出，個人信息權(quán)作為一種數(shù)據(jù)控制權(quán)，并非同傳統(tǒng)物權(quán)一樣，意味著對物圓滿狀態(tài)的占有和實際控制，而是一種建立在數(shù)據(jù)處理實踐中的有限的數(shù)據(jù)控制權(quán)。這與本文在前述論證中提出的個人信息權(quán)的權(quán)利內(nèi)容，為民事主體對個人信息享有的有限度的自主自決權(quán)的結(jié)論相契合，而這種有限的支配控制進一步指向?qū)μ囟愋偷膫€人信息使用行為進行控制，由于《民法典》與《個人信息保護法》均使用了“個人信息處理”的措辭，使用個人信息處理行為的表述更為妥當。

但個人信息權(quán)指向的支配控制，并非涵蓋所有的個人信息處理行為，更無從實現(xiàn)對個人信息的全面控制。具體而言，《民法典》與《個人信息保護法》均規(guī)定了查閱權(quán)、復制權(quán)、異議權(quán)、更正權(quán)及刪除權(quán)，后者的規(guī)定較之前者更為具體，但都指向?qū)ο鄳獋€人信息處理行為的控制。其中，查閱權(quán)和復制權(quán)并非嚴格意義上對個人信息使用行為進行的控制，其實現(xiàn)條件也并未與具體化的個人信息處理者的實際行為產(chǎn)生對應，更多是對個人信息處理實踐中大量個人信息產(chǎn)生并留存于個人信息處理者并由其現(xiàn)實控制進行的回應，屬于個人信息權(quán)作為具體人格權(quán)在權(quán)利客體層面保障個人信息主體知曉與獲取的基本要求。而異議權(quán)、更正權(quán)以及刪除權(quán)的實現(xiàn)都對應著相應的個人信息處理行為，其中尤以刪除權(quán)的規(guī)定最為細致，《個人信息保護法》第四十七條具體列舉了刪除權(quán)對應的四種具體情形，并規(guī)定了“法律、行政法規(guī)規(guī)定的其他情形”這一兜底條款，同時對保存期限未屆滿或刪除個人信息在技術上難以實現(xiàn)的特殊情形，規(guī)定了相應的處置規(guī)則。這種結(jié)合相應行為對特定權(quán)利項能夠在積極實現(xiàn)和消極防御兩方面控制的行為邊界進行劃定，從而給出權(quán)利控制范疇的界定方式，與著作權(quán)法等知識產(chǎn)權(quán)部門法非常接近。一方面彰顯了立法者對個人信息特性及其反饋于個人信息權(quán)之后對權(quán)利結(jié)構(gòu)產(chǎn)生影響的肯認，另一方面也充分回應了實踐中已受到普遍認可，并在域外立法中獲得支持的特定類型的個人信息使用行為，應當歸入個人信息主體控制范疇的現(xiàn)實需求。值得一提的是，《民法典》及《個人信息保護法》籠統(tǒng)規(guī)定一切個人信息處理行為均應以同意規(guī)則為合法要件，而個人信息處理行為又囊括了收集、存儲、使用、加工、傳輸、提供、公開、刪除等幾乎所有可能處理個人信息的方式，似乎暗示了個人信息主體對個人信息全面的支配控制。但《民法典》與《個人信息保護法》均規(guī)定了同意之外合法處理個人信息的依據(jù)，例如訂立、履行個人作為一方當事人的合同所必需、履行法定指責或者法定義務所必需、為應對突發(fā)公共衛(wèi)生事件所必需等情形。這與著作權(quán)法中規(guī)定的作品合理使用非常類似，實際上發(fā)揮了限制個人信息權(quán)對個人信息處理行為進行全面控制的作用，說明個人信息權(quán)的支配控制指向特定行為?！睹穹ǖ洹放c《個人信息保護法》在對個人信息合法處理的具體情形進行封閉式列舉的同時，實踐中確定某一個人信息處理行為能否免于知情同意規(guī)則的限制，是否還需要滿足特定條件或確定相應的考量要素，應是進一步的司法實踐和立法完善的重要議題。

個人信息權(quán)作為絕對權(quán)的支配控制，體現(xiàn)為對特定個人信息處理行為的控制，而非對個人信息的圓滿支配與全面控制，這一結(jié)論既有民法理論對絕對權(quán)支配控制內(nèi)涵進行延伸擴展的支撐，又能在《民法典》與《個人信息保護法》的具體規(guī)定中找到依據(jù)。個人信息合法處理情形的歸納，有助于限制個人信息權(quán)支配控制的行為范疇，并緩解知情同意規(guī)則一體適用帶來的實踐困惑。

五、結(jié) 語

《民法典》對個人信息保護的規(guī)定以及《個人信息保護法》的頒布，均未明確個人信息保護應為權(quán)利保護還是法益保護這一基礎問題，存在進一步解釋的空間和余地。微信讀書案參照了《民法典》的相關規(guī)定，采納了個人信息僅具有權(quán)益屬性的觀點，全面回應了確定個人信息范疇的可識別性標準的把握、非私密信息與私密信息的區(qū)分及保護路徑、非私密信息保護是否獨立于隱私權(quán)以及知情同意的有效性判定等問題，在關于個人信息法律適用方面做出了有益的探索，但該案對個人信息之上應成立具有防御性質(zhì)的權(quán)益的界定，導致了法理依據(jù)的不足和論證邏輯的悖論。事實上，個人信息權(quán)的絕對權(quán)屬性從規(guī)范體系和理論支撐層面都更為充分，通過可識別性標準足以確定權(quán)利邊界與權(quán)利外觀、非私密信息應與私密信息獲得同等程度的保護、有限度的自主自決作為個人信息權(quán)利內(nèi)容，更能實現(xiàn)個人信息保護與隱私權(quán)的相互區(qū)分、對個人信息合法處理情形的歸納與概括，有助于緩解同意規(guī)則的僵化適用，并澄清個人信息權(quán)的支配控制體現(xiàn)為對特定化的個人信息處理行為進行的支配控制。以這種基本認識回應微信讀書案及類似案件中的相關爭議問題，對于評判“好友數(shù)據(jù)關系”等新生事物是否能夠劃入個人信息的保護范疇、互聯(lián)網(wǎng)平臺型企業(yè)在商業(yè)實踐中處理“好友關系數(shù)據(jù)”等個人信息時對知情同意規(guī)則的具體應用是否適當、遷移好友數(shù)據(jù)關系等個人信息處理情形是否侵害隱私權(quán)或個人信息權(quán)等問題，都提供了不同的理論視角與規(guī)范路徑。這對于厘清隱私權(quán)與個人信息權(quán)的權(quán)利內(nèi)容和權(quán)利邊界、實現(xiàn)個人信息法律保護的制度協(xié)調(diào)和邏輯自洽、完善個人信息保護的實踐規(guī)則和體系整合都具有積極意義。