个人信息与权利配置

刘金瑞著的这本《个人信息与权利配置——个人信息自决权的反思和出路》引用了大量的文献，详尽分析了国外个人信息保护理论尤其是个人信息自决权的发展历程；从实际生活出发，提出应系统反思个人信息自决权的实践困境和理论不足；在对权利群的论证中，澄清了个人信息保护不同权利基础的边界，对于具体权利界定也提出了较有创新性的观点。

刘金瑞，男，1987年10月生，山东沂南人，清华大学法学博士，美国印第安纳大学法学院、网络安全应用研究中心访问学者(2012.9-2013.8)，研究领域为网络法、信息法、民法。现任中国法学会法治研究所副研究员，兼任中国法学会网络与信息法学研究会理事。主持或参与互联网治理、大数据立法、关键信息基础设施保护、食品安全法治、党内法规制度等方面数项重量课题的研究工作。曾在《环球法律评论》、《东方法学》、《暨南学报》（哲学社会科学版）等期刊杂志上发表论文多篇。

第一章 网络时代个人信息保护的挑战
第一节 网络时代个人信息保护面临的挑战
一、个人信息保护面临的挑战
二、对个人信息概念的界定
第二节 我国个人信息保护研究的现状
一、介绍性文章和著述
二、观点性文章和著述
第三节 我国个人信息保护的立法和司法
一、大陆地区
二、港澳台地区
第四节 本书的研究视角和结构脉络
一、本书的研究方法和视角
二、本书的研究结构和脉络
第二章 个人信息自主控制的历史与现实困境
第一节 个人信息自主控制模式的简史
一、源起和早期发展
二、变化和近期进展
第二节 个人信息自主控制的现实困境
一、理论与现实的悖论
二、臆想的选择和同意
本章小结：看上去很美
第三章 个人信息自主控制的理论反思
第一节 德国个人信息自决权理论及反思
一、德国宪法法院人口普查案判决
二、反思德国个人信息自决权理论
第二节 美国最高法院的信息隐私权理论
一、最高法院的信息隐私权判决
二、美国信息隐私权判决的评论
本章小结：纠结的法官
第四章 个人信息领域区分及权利配置
第一节 个人信息之上的利益
一、个人信息之上的人格利益
二、个人信息的商业化价值
三、个人信息社会公共利益
第二节 个人信息的领域区分
一、反思德国的领域理论
二、个人信息的领域区分
第三节 个人信息权利配置理论
一、信息权利客体利益说
二、个人信息的确权规则
本章小结：权利的界碑
第五章 个人私密信息与隐私权的重构
第一节 反对信息自决的隐私观
一、个人信息自决的隐私观
二、反对信息自决的隐私观
第二节 个人私密信息和隐私权
一、隐私保护的目的和价值
二、个人私密信息和隐私权
本章小结：狭义的信息隐私观
第六章 个人特征信息与财产权的构造
第一节 对人格权商品化理论的反思
一、公开权和人格权商品化
二、反思人格权商品化理论
第二节 个人信息财产利益独立性证成
一、财产利益予以独立保护的必要性
二、劳动价值理论以及不当得利理论
三、经济激励理论和消费者保护理论
四、对证成理论的完善及批驳之回应
第三节 个人信息财产利益的权利构造
一、财产利益的独立性保护
二、反思个人信息泛财产化
三、财产利益的损害赔偿
本章小结：双重权利构造
第七章 个人信息保护与人的自由权利
第一节 个人联络信息与生活安宁权
一、既有权利保护观点的缺陷
二、生活安宁权应为权利基础
第二节 个人数字足迹信息与合同权利
一、个人数字足迹信息的利用
二、个人数字足迹与合同权利
第三节 侵害个人信息有关人格权的救济
本章小结：要自由还是要网络
第八章 结论：个人信息与权利体系
第一节 缘起：个人信息自决模式的困境
第二节 剖析：个人信息区分和确权理论
第三节 结论：个人信息保护的民事权利群
参考文献
中文参考文献
外文参考文献
附录A 欧盟个人信息保护案例摘编
附录B 德国数据保护法译文
后记

出版说明为进一步落实中央《关于加强中国特色新型智库建设的意见》，充分发挥中国法学会作为党和政府联系法学法律界桥梁和纽带的作用，着力实现中国法学会作为国家法治建设领域核心智库的发展目标，为专家学者开展法学研究和成果转化提供支持，不断丰富和发展中国特色社会主义法治理论体系，中国法学会特决定设立后期资助项目，对具有重要理论和实践价值的优秀法学研究成果予以后期资助，纳入“中国法学会后期资助项目文丛”出版。2015年下半年后期资助项目立项的14项成果，已于2016年底出版。2016年上半年后期资助项目经评审委员会评审，共15项申报成果获得立项，现予以统一出版。今后每年我们还将评选确定一定数量的后期资助项目并予以出版。中国法学会    2017年12月    前    言随着网络信息时代的到来，人类的行为和社会生活日益转化为网络空间中的信息数据流，信息的收集、跟踪、匹配和挖掘技术尤其是大数据技术的飞速发展，使大规模自动化收集、存储、加工和利用个人信息成为可能，个人信息不再仅仅具有主体标识的功能，其已经成为蕴含巨大商业价值的宝贵资源。网络信息时代下个人信息的自动化处理，给个人权益带来了极大的挑战。如果对个人信息整合、分析不加以规制，可能会造成个人被监视的风险；可能受暴利驱使而形成买卖个人信息的非法产业链；可能因依赖自动化系统而极易造成个人信息的大规模泄露。平衡个人信息的利用和保护，成为此时代各国立法无法回避的问题。对于民事立法来讲，关键就是研究个人信息的权利配置，厘清个人信息保护的权利群。当前从全球范围来看，当前个人信息的立法模式大致可以分为两种：欧盟以基本人权为价值取向的综合性规制模式和美国以市场自律为价值取向的行业性规制模式。前者表现为一部综合性立法，涵盖个人信息使用的各个方面，同时适用于公共机关和私营部门；后者表现为统一性立法，多侧重规制公共机关个人信息的使用，一般用侵权法解决私营部门滥用个人信息的争议。在个案中平衡个人信息利用和保护，发展出了公开权等个人信息财产权保护理论，在现实亟须和时机成熟时才对私营部门的特定行业或领域进行专门性立法，如美国征信业、在线隐私等领域的立法。这两种模式下的立法都是以20世纪70年代发展起来的个人信息自决权作为理论基础。所谓“个人信息自决权”，基本内涵是指个人对其自身信息的控制权，定性为人格权的一种。这在欧盟个人数据保护立法中尤其明显，因为欧盟立法要求在个人信息处理之前具备一个合法性基础，与之不同的是，个人信息在美国一般情况下都可以被处理，除非有专门法律特别地禁止此种行为。以1995年欧盟《个人数据保护指令》（第95/46/EC号指令）为代表，这一权利在立法上表现为信息主体对个人信息的知情权、修改权、收集同意权、披露权以及使用权等一系列权利，本书将此称为“个人信息自主控制”模式。不可否认个人信息自决权在限制政府使用计算机处理个人信息方面发挥了积极作用。但随着网络信息化浪潮席卷全球，个人在网络空间留下的数字足迹随处可见；个人信息的利用规模和范围得到了革命性扩展，相对于个人信息的主体人格保护；个人信息承载着同样重要的人际交往需求（如个人社交媒体）、商业利用价值（如在线广告）和社会公共利益（如医疗和反恐），而忽视这些利益平衡、一味强调个人控制的个人信息自决权，在现实生活中面临着巨大的挑战和困境。从理论上来看，德国联邦宪法法院构建的个人信息自决权存在无法克服的缺陷，该权利的内在逻辑是，自动化数据处理对数据的整合可以产生部分或者相当完整的“人格图像”，此时不存在不重要的个人数据，进而认为个人应该具有控制所有个人信息的可能性。这一理论因“人格图像”致害这一并不严谨的前提假设，一味强调对个人信息的控制，并不关注个人信息是否必然与人的尊严之间存在关联，并没有论证个人何以控制个人信息的权利基础。这导致了个人信息自主控制模式忽视了人际交往的需求、现有的商业实践以及信息分享的社会价值，在现实中已经陷入困境，并不值得我国借鉴。面对现实环境的深刻变化，国际组织和有关国家纷纷开始着手修改立法，以解决个人信息自决权的不足。美国白宫和联邦公平交易委员会（FTC）在2012年分别提出《消费者隐私权法案》和保护消费者隐私的三大原则。在这两个框架的内容中，白宫的尊重场景原则、FTC的为商业和消费者提供简化选择的原则，虽然有关“场景”的界定不够明确，但大致都承认在某些情况下收集、使用或者披露个人数据可以不用获得消费者的明确同意。这在一定程度上会减轻企业的负担和成本，有利于相关市场和产业的发展，彰显了美国依靠并发挥市场自律作用的规制思路。2014年5月，美国白宫的《大数据：抓住机遇，坚守价值》报告指出，大数据技术能够提高政府的监控能力，提升企业的市场洞察力，本身也蕴藏着解决信任、隐私、公民权利保护问题等方面的潜力。可以看出，美国一直探索技术发展与信息隐私保护的平衡，轻易不会让个人信息保护问题成为产业发展的障碍。欧盟在2016年正式通过了《一般数据保护条例》，却规定了更为严格的个人信息自主控制，强化了同意的明确性要求以及个人控制权利，增加了个人被遗忘的权利和“默认数据保护设定”等要求，在自主控制模式已深陷困境的情况下，欧盟仍试图继续强化个人信息自主控制，这种立法设想引起了较大的争议。对于个人信息保护的权利基础，我国学者大多接受了欧盟的个人信息自决权的观点，将此种权利称为“个人信息权”或者“个人信息控制权”，并认为该权利是民事权利体系发展的重要表现。对于这种权利的性质，我国学者一般认为是一种具体人格权，也有学者主张这种权利应该具有财产权和人格权的混合性质。我国近期大部分相关立法都受到了个人信息自决权理论的影响。但是应该看到，对所有个人信息一概而论赋予控制的个人信息自决权在实践中和理论上都已陷入困境，这种困境已促使国外理论界开始反思和修正这种模式。在这种情况下，个人信息自决权不应作为个人信息保护的权利基础，我们没有必要再去走个人信息自决权的路径，而是应该从实际出发重新思考和研究个人信息的权利体系。本书就是为了摸索一条新路所做的一个尝试，主张放弃一概而论的个人信息权，试图找到个人信息保护不同领域内的权利界碑，进而构建个人信息保护的民事权利群理论。因为个人信息利用中的个人需求、商业模式以及社会公共价值都可抽象为统一的法学术语“利益”，本书在探路个人信息保护时就以利益平衡为方向标，对个人信息保护以个人信息上的不同利益为方向进行了领域区分。本书反对将所有个人信息都看成隐私，认为信息权利的客体不是信息本身，而是信息上的利益。在坚持利益平衡原则的前提下，本书提出了个人信息确权理论，即应根据个人信息上的利益是财产利益还是人格利益，来决定对个人信息是赋予财产权还是人格权还是同时赋予财产权和人格权双重权利予以保护。根据这一确权理论，本书在个人私密领域、人际交往领域和社会公共领域内对个人信息进行了分类确权，分别证成了信息隐私权、个人信息财产权、生活安宁权、不受监视的自由权等权利群，从而在个人信息保护不同领域内确立了利益平衡的权利界碑。本书将个人信息分为两大基本类型，与人格尊严有直接关系的个人信息以及与人格尊严没有直接关系但可能影响人的自由的个人信息。与人格尊严有直接关系的个人信息，既包括个人私密信息即本书界定的狭义的信息隐私，是指一旦该信息披露就会有损信息主体人格尊严的个人信息，如生理缺陷、性生活细节，应给予隐私权的保护；也包括个人特征信息，如姓名、肖像，除既有人格权保护之外，还应对所存在的独立的商业价值予以财产权保护。与人格尊严没有直接关系但可能影响人的自由的个人信息，既包括滥用可能影响人消极自由的个人联络信息，如手机号码、电子邮箱地址，其保护基础应为生活安宁权，而且生活安宁权应该从隐私权中独立出来；也包括滥用可能会影响人行为自由的个人数字足迹信息，其收集和使用应基于公平合同和消费者的知情同意，并应限于网络服务商自身的商业目的范围之内，如此网络服务商才可以享有商业开发所获的商业价值。本书构建个人信息保护民事权利群的尝试还比较初步，加上个人信息涉及的生活领域之广、民事权利体系之复杂，本书的论证还不够充分和全面，需要深入思考和研究的问题还有很多。但本书愿意提出问题，希望能够引起理论界和实务界的关注，以期对网络信息时代下中国个人信息保护和民事权利体系的研究和立法有所裨益。