法律属性与构成要素

第三节　法律属性与构成要素

一、个人信息是人格利益，不是物

（一）关于个人信息的法律属性的几种学说

关于个人信息的法律属性，可谓众说纷纭，其中有三种主张较为典型，笔者称之为“所有权客体说”“隐私权客体说”“人格权客体说”和“基本人权客体说”。所有权客体说主张个人信息是所有权的客体，按照民法客体理论的通说，应该属于民法上的“物”，否则难为所有权客体；隐私权客体说和人格权客体说主张个人信息是人格利益，但它到底是人格利益的全部抑或人格利益中的一种——隐私利益，是这两个学说的分歧所在；以上三种主张，从逻辑上看是相互矛盾的，不能并存。而基本人权客体说，是从宪法和国际人权法的角度对个人信息的定论，和以上所有的学说在逻辑上都不存在矛盾。因此，关于个人信息的法律属性的论争的甄别，是对“所有权客体说”“隐私权客体说”和“人格权客体说”的取舍或者分解重构，而并不涉及基本人格权客体说。为了更好地认识个人信息的全貌，展现基本人权制度和观念在社会信息化转型中的最新发展，将此说纳入。

1.个人信息是“物”

所有权客体说认为，个人信息之上的权利是所有权，信息主体为所有人。个人信息具有一定的经济价值有目共睹。“所有权客体说”认为，个人信息是一种财产利益，波斯纳（Posner）是持此种观点的代表人物。波斯纳的隐私经济学理论认为，人们无一例外地拥有信息，这些信息在有些时候对他人和社会是有价值的，他们会愿意付出对价来购买这些信息。波斯纳认为，信息主体对他们的信息拥有产权，并应该允许他们就这些拥有产权的信息进行交易。我国有学者认为，个人信息保护法关于本人权利的规定，应该采取所有权模式。这种观点认为，“在市场经济条件下，个人资料采集者将成千上万的个人资料采集起来的目的并不是为了了解个体，而是要把整个具有某种共同特征的主体的个人资料按一定的方式组成资料库，以该资料库所反映的某种群体的共性来满足其自身或其他资料库使用人的需要”，并且“对于资料采集者来说，获得个人资料不是目的，而是一种手段，是建立和扩展财源的一种途径。”并由此得出结论，“根据所有权原理，只要不与法律和公共利益相抵触，所有权人均享有对个人资料的占有、使用、收益、处分权”；并认为“个人资料的所有者是该资料的生成体个人，无论他人对主体个人资料的获取方式与知悉程度如何，都不能改变个人资料的所有权归属”^[16]。

2.个人信息是“隐私”

“隐私权客体说”起源于美国法。该学说主张个人信息是一种隐私利益，个人信息保护立法应采取隐私权保护模式。美国1974年的《隐私法》是这一主张的典型代表。由于美国是个人信息保护立法的先驱，美国的立法理论、立法方法和技术对后来者的影响，远远超出了英美法系国家的范围。我国台湾省学者认为“个人资料”保护的目的，即在保护个人隐私^[17]。OECD指针不仅在名称上旗帜鲜明地保护隐私，而且在第十七条明确规定:“任一成员国应该制止对本国与另一成员国之间的个人资料跨国流通进行限制，除非后者未实质地遵守本指针或者出口这样的资料会规避其本国的隐私权法。鉴于本国隐私权法根据资料属性对某些种类的个人资料做出特别规定，而其他成员国没有对这些资料提供相当的保护，成员国可以限制这些资料的流通。”我国香港资料条例和OECD指针的基本做法一致，既在名称上标明“私隐”，又在条文中加以明确规定。该条例的绪言只有一句话:“本条例旨在在个人资料方面保障个人的私隐，并就附带事宜及相关事宜订定条文。”

3.个人信息是“人格”

“人格权客体说”认为，个人信息体现的是一种人格利益，个人信息的保护应该采取人格权的保护模式。“人格权客体说”以德国法为代表。在最初的理论和立法上，德国曾经一度接受了美国的隐私权理论。德国资料法规定，个人信息保护的目的在于保护隐私。随着个人信息保护在德国的深入开展，“隐私权客体说”逐渐暴露出与德国大陆法体系不相容的弊病。关于修改法律的呼声此起彼伏。“隐私权客体说”最后被1983年德国联邦宪法法院《人口普查案判决》判决推翻。该判决认为，资料何种情况下是敏感的不能只依其是否触及隐私而论。在此判决的指引下，德国1990年修改后的个人资料保护法第一章《一般条款》第一条规定:“本法旨在保护个人的人格权，使其不因个人资料的处置而遭受侵害。该法的目的是为了保护个人人格权在个人信息处理时免受侵害。”^[18]这一规定标志着在个人信息保护的理论基础上，德国法终于有勇气放弃了作为舶来品的隐私权理论，转而寻求本国法律体系中比较完善的人格权理论。我国台湾资料法也采用“人格权客体说”。该法第一条规定:“为规范电脑处理个人资料，以避免人格权受侵害，并促进个人资料之合理利用，特制定本法。”

4.个人信息是基本人权的客体

有立法主张个人信息体现的是一种基本人权——关于个人的基本权利与自由的综合权利，特别包括隐私权。这种主张多见于国际组织的立法。欧洲议会公约在绪言中指出:“考虑到在自动化处理条件下个人资料跨国流通的不断发展，需要扩大对个人权利和基本自由，特别是隐私权的保护。”欧盟指令绪言（7）规定:“由于对个人资料处理中的个人权利和自由，特别是隐私权的保护水平不同，可能阻碍资料在成员国之间传递，并对共同体的经济生活产生不利影响，妨碍竞争和阻止各国政府履行共同体法律规定的职责；保护水平的差异是由于存在大量不同的内国法律、法规和行政规章所造成的。”联合国指南第一条规定:“不得用非法或者不合理的方法收集、处理个人信息，也不得以与联合国宪章的目的和原则相违背的目的利用个人信息。”联合国宪章的目的和原则体现的是对人的基本权利和自由的保障。

（二）为什么选择人格利益

笔者认为“所有权客体说”不能成立，因为它混淆了人格利益和财产利益、信息主体的权利和信息管理者的权利之间的关系。我们生活中充满了各种各样的信息，这些信息受到保护的具体原因有很多，归纳起来大致有两类:财产性因素和人格性因素。有的信息是由劳动创造出来的，并且可以用来交换，如专利、著作等，保护此类信息的法律为知识产权。由于知识产权是绝对权，具有法定性，因此一些不能满足知识产权保护要素的财产性信息由信息产权法进行保护，如无创造性的数据库和遗传资源。法律主要保护这些信息的财产性因素。有的信息是与自然人相关的，在信息社会被作为信息资源进行开发和利用的，这类信息就是个人信息，法律主要保护此类信息的人格性因素。

那么，个人信息有无财产性因素呢？答案是肯定的。个人信息可以交易的实例也说明，个人信息含有财产性因素，并具有稀缺性。然而，这种现象却不能说明个人信息是所有权客体。个人信息数据库一旦被利用将会给利用者带来丰厚的收益。但个人信息的法律属性不是直接财产利益。从属性上看，个人信息属于人格利益。不能仅仅因为个人信息具有财产利益就将个人信息归入所有权的客体。人格权的客体同样具有财产利益，如隐私、姓名、肖像等。信息管理者将个人信息汇集后制作成数据库，其对个人信息数据库拥有数据库权——知识产权的一种，但并不是信息主体对数据库拥有数据库权（详见本书第五章第二节）。采取所有权模式不能实现保护信息主体权利的目的。从各国立法上看，个人信息保护法所保护的法律利益主要是信息主体的人格利益。目前，尚无所有权保护模式的立法例出现，也不可能出现。

“隐私权客体说”有其特定的法律文化背景，是建立在英美法系隐私权文化基础之上的，美国法上的隐私概念和大陆法系并不相同，适合于美国的隐私权说并不适合大陆法系。美国法所指隐私权，无论学说还是判例，均强调隐私权之存在为人格之完整所不可或缺之要素，这一论点与大陆法系中人格权理论，尤其是一般人格权理论相同。^[19]如前所述，大陆法系的隐私仅为人格权利益的一部分，仅限于不愿他人知道或他人不便知道的个人信息。大陆法系中的隐私权法律制度只能保护个人信息上的一部分利益。

基本人权客体说是从宪法的角度看待个人信息属性的必然结果。落实到具体的部门法，主要是民法和行政法，从中国的现有法律制度出发，笔者主张我国立法应采用“人格权客体说”。

根据大陆法系人格权理论，凡是与人格形成与发展有关的情事都属于人格权客体。个人信息所体现的是公民的人格利益，个人信息的收集、处理或利用直接关系到个人信息主体的人格尊严。我国宪法关于人格尊严的规定见第三十八条，该条规定:“中华人民共和国公民的人格尊严不受侵犯。”人本身是目的，人应该自治、自决，凡是与人格形成与发展有关的情事，本人有权自己决定，并在此范围内，排除他决、他律或他治。谁可以接近我们的信息，谁就可以掌握、利用甚至歪曲我们的形象。个人信息的收集、处理或利用直接关系到个人信息主体的人格尊严，个人信息所体现的利益是公民的人格尊严的一部分，具体说就是本人对其个人信息所享有的全部利益。在国外判例上，德国联邦宪法法院于1983年12月15日做出的“人口普查法案”判决明确指出，“信息自决权”的法律基础是德国宪法第一条第一项规定的“人性尊严”和第二条第一项规定的“人格自由发展”等基本法律规定。个人信息自决权保护模式就是保护个人信息的全部利益，赋予本人对其个人信息收集、储存、处理的决定权。我国将来的个人信息立法，应该采取一般人格利益的保护方式，隐私保护的方式与我国现有法律制度不符。

二、构成要素的二分法:实质与形式

个人信息的构成要素分为实质要素和形式要素。

（一）识别——实质要素

个人信息的实质要素是指构成个人信息在内容上不可或缺的法律要素，又称个人信息的一般要素。构成个人信息的实质要素是“识别”。个人信息是可以直接或间接识别本人的信息。能直接识别本人的个人信息，如肖像、姓名、身份证号码、社会保险号码等；不能单独识别本人，但与其他个人信息相结合才能识别信息主体的个人信息，称之为间接个人信息，如性别、爱好、兴趣、习惯、职业、收入、学历，等等。个人信息是一切可以识别本人的信息的总和，这些信息包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等方面。这些方面包括健康情况、犯罪记录、性活动、名誉等涉及人格权的事项，也包括了著作和财产等涉及财产权的事项。值得注意的是个人信息并不必然为个人信息本人所知。无论是本人知道的个人信息，还是本人不知道的个人信息，个人信息保护法都给予同等的保护，如被网络服务提供商非法收集的个人信息、医生掌握的绝症患者未知的医疗信息，等等。

（二）“可以处理”——形式要素

个人信息的形式要素是指构成个人信息必须满足的特定形式要素，又称构成个人信息的特别要素。国际和国家立法大多规定，“可以处理”是构成个人信息的形式要素。从学理上讲，实际上“可以处理”蕴含着两个要素，包括载体和可以处理，因为没有载体的信息，是无法以手工和自动化技术进行处理的。

1.载体

个人信息必须以一定的方式得以固定，也就是个人信息得有载体。这是个人信息的第一个形式要素。从1974年美国隐私法和1990年德国资料法关于“记录”的规定，可探知法律对个人信息形式要素的要求。美国隐私法第一条规定:“‘记录’是指行政机关所保持的关于个人的信息、信息集合或信息分类，包括但不限于该个人的教育程度、财产状况、医疗记录、刑事记录或职业履历，以及姓名或用以识别该个人的数字、符号或其他属于个人的特别标志，例如指纹、声纹或照片。”德国资料法第三条规定:“记录”是指任何出于正式目的的文件，包括图像和声音记录媒体，但不包括未形成记录部分的草稿和笔记。从以上规定可以推知:记录是指已经收集的个人信息，记录必须有一定的存在媒体包括图像和声音记录媒体，也就是说被收集到的个人信息必须是通过一定载体得以固定的信息。

2.可以处理

个人信息必须以一定的方式得以查阅、检索和进行其他的处理，这是个人信息的第二个形式要素。我国香港资料条例第2条关于个人信息的定义中明确要求:“个人资料”（personal data）必须以可以进行查阅和处理的方式存在。根据自1998年7月16日修正、2000年3月1日起生效的英国资料法第1条的规定，个人信息应满足以下条件:

（1）根据能够进行自动化处理的信息以及为了进行自动化处理而进行记录信息；

（2）作为编档系统的一部分或者为了组成编档系统的一部分而记录的信息；

（3）或者是作为可供查阅的记录的一部分的信息。

1974年美国隐私法仅保护包含在政府“记录系统”作为记录的个人信息。所谓“记录系统”是指可以通过姓名或其他识别方法进行查询和检索的个人信息系统。即使政府掌控的信息与某人有关，但由于没有编辑目录，不能通过姓名和其他识别方法进行查询，就不属于记录系统中的信息，也就不受《隐私法》保护。但这并不意味着法律不保护，仅仅是不能得到《隐私法》的特别保护，美国宪法和普通法以及判例仍会对这些个人信息进行保护。

电子档案和可以进行人工检索的纸面档案中的个人信息是可供查阅、检索和进行其他处理的。先有纸面档案，再有电子档案是一个历史事实。然而，当个人信息储存在电子档案后，由于电子化处理方式的便捷使得个人信息被作为社会的一种重要的经济资源而得到全面的开发和利用。在这种利用过程中，个人权利侵害扩大了，保护也随之而来。因此，全球的个人信息保护是先从电子档案开始，并逐步向纸面档案过渡发展的。

随着计算机的广泛应用和办公自动化的实现，电子文件大量产生。电子文件是以代码形式记录于磁带、磁盘、光盘等载体，依赖计算机系统存取并可在通信网络上传输的文件^[20]。电子文件的诞生标志着档案开始发展到一个新的阶段——电子档案阶段。电子档案以一定的媒介作为载体，在计算机和计算机网络环境下，通常以网络、光纤、硬盘和其他硬件设施为载体，采用丰富的表达方式，如符号、声音、动画、电影、录像，等等。信息技术融入档案工作，使得档案管理更加高效、迅捷、低成本化，加上档案电子化和网络化后，最大限度地利用了档案资料，产生了巨大效益。然而，电子档案和许多新生的信息技术产物一样，从出生时起就面临着许多法律上的尴尬，如电子档案的法律地位问题^[21]、原始性问题^[22]、保密性问题^[23]，等等。随着国际社会对个人信息保护的加强，电子档案所涉及的个人权利问题成为一个十分敏感的法律问题。因此，保护个人信息的立法从电子档案开始。

电子档案是传统纸面档案的电子化与网络化产物，与纸质档案有相同的本质，都是文件存在的一种方式。电子档案与纸质档案也有明显的特点⑤:首先，电子档案中信息与载体可以分离（信息数据化、载体虚拟化）；其次，可复制性强，复制件和原件不易区分；第三，信息的稳定性较弱，比如说修改相对容易，并不留痕迹，信息容易丢失等。电子档案的这些特点使得电子档案中的个人信息更容易处理，也容易遭受侵害。

从电子档案的设计原理可以知道，电子档案中存在的个人信息是可以满足查阅和处理的形式要素的。而在纸面档案中储存的个人信息则不一定，只有建立了检索系统的纸面档案才被认为是满足了可以查阅和处理的形式要素。

个人信息的形式要素是从个人信息保护法的保护范围的角度加以规定的。不满足形式要素的个人信息，不能得到个人信息保护法的保护。法律之所以做出这样的规定，主要是基于两个原因:第一，人格保护实质上和数据保护一样是一种信息保护。^[24]如果不对个人信息的形式给予限制，那么势必对传统的人格权法造成不必要的冲击。个人信息保护立法的目的在于弥补传统人格权法保护的空白，而不是取而代之。第二，如果将一般的社会上流通的个人信息全部纳入个人信息保护法范围予以保护，容易导致另一个极端，那就是信息禁锢，这和信息社会关于信息流动的基本宗旨相去甚远。因此，就笔者所看到的范围，尚未发现有国家或国际组织将档案范围之外的个人信息纳入个人信息保护法予以保护的。不满足个人信息保护的形式要素的个人信息，不等于不受法律保护，而此类个人信息可以受到民法和行政法的一般保护。