人格权确权与人格权法独立成编

王叶刚

内容摘要：《民法总则》第111条对个人信息保护规则作出了规定，肯定了个人信息的人格利益属性，为个人信息权利保护提供了民事基本法依据。《民法总则》仅使用个别条文对各项具体人格权以及个人信息保护作出规定，并没有真正完成对各项具体人格权的确权。民法典应通过独立成编的人格权法，对各项具体人格权进行进一步确权；就个人信息权而言，人格权编应当在肯定其具体人格权地位的基础上，准确界定个人信息的内涵，明确合法收集、利用个人信息的标准，并对信用信息保护规则以及个人信息权的限制规则等作出规定。

关键词：人格权 确权 个人信息权 人格权独立成篇

人格权保护有所谓消极保护模式与积极确权模式之分。前者是指法律上不对各项人格权作出详细规定，而主要通过侵权法的规则对人格权进行救济；后者是指立法通过正面列举的方式，对各项人格权作出规定，从而实现对人格权的积极保护。〔1 〕从比较法上看，传统大陆法系国家主要通过消极保护模式对人格权进行保护，如《德国民法典》即主要通过主体制度和侵权法规则对个人的人格权益提供保护。〔2 〕此种做法主要将人格权作为侵权法保护的对象，忽略了人格权的主观权利属性，不利于全面保护个人的人格权。我国民事立法历来重视对人格权的正面确权，即在通过侵权法规则保护人格权的同时，也注重对人格权进行具体列举，例如，《民法通则》第五章第四节以专节的形式规定了人身权，其中具体规定了个人享有的生命健康权、姓名权、肖像权、名誉权等各项具体人格权。《民法总则》更是在第110条对自然人、法人以及非法人组织所享有的各项具体人格权进行了全面列举，目的也在于更好地对人格权进行确权。

人格权的确权既包括对各项人格权的具体人格权地位的确认，还应当包括对各项人格权的权能、效力等作出规定。从《民法总则》的规定来看，其只是对各项具体人格权进行简单列举，而没有对各项具体人格权的权能、效力以及限制规则等作出规定，这就需要在民法典分则中设置独立的人格权编，以最终完成民法典的人格权确权任务。笔者拟从个人信息权利的确权与保护出发，对人格独立成编的必要性进行探讨，以求有助于我国民法典体系的完善。

一、《民法总则》对个人信息权利的确权

《民法总则》颁行前，我国民事立法并没有专门对个人信息权利作出规定，个人信息权利主要通过《刑法》、《网络安全法》、《居民身份证法》等法律以及相关的司法解释加以保护的，〔3 〕相关个人信息保护立法具有“碎片化”的特点，〔4 〕相互之间缺乏必要的衔接，并没有形成体系化的个人信息保护规则。在总结我国既有立法和司法实践经验的基础上，《民法总则》第111条对个人信息保护作出了规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”这也是我国第一次在民事基本法的层面对个人信息保护作出规定。从该条规定来看，其对个人信息权利的确权主要体现在如下几个方面：

一是肯定了个人信息的人格利益属性。《民法总则》颁行前，关于个人信息的性质，主要有人格权说与财产权说等不同主张，前者认为，个人信息主要体现个人的人格特征，在性质上应当属于具体人格权；〔5 〕而后者则认为，个人对其个人信息所享有的权利在性质上应当属于财产权，应当肯定个人对其个人信息享有信息财产权。〔6 〕从《民法总则》个人信息保护规则来看，其将个人信息保护规则规定在具体人格权规则（第110条）之后，而没有将其规定在身份权（第112条）和财产权之中（第113条以下），这实际上是肯定了个人信息的人格利益属性。

二是规定了个人信息应当依法收集与利用。从《民法总则》第111條规定来看，其要求相关主体不得非法收集和利用他人的个人信息。该条虽然是从消极保护的层面规定相关主体依法收集、利用个人信息的义务，但从权利人的角度而言，其实际上也肯定了权利人对其个人信息所享有的相关权利，即在行为人非法收集、利用其信息时，权利人有权请求行为人承担相应的责任。

三是规定了相关主体保护个人信息的义务。依据《民法总则》第111条的规定，获得个人信息的相关主体负有“确保信息安全”的义务，从权利人的角度而言，其应当有权请求相关主体确保其个人信息安全，在该相关主体未尽到确保信息安全的义务时，权利人应当有权请求行为人承担相应的责任。

可见，《民法总则》专门规定个人信息保护规则，在个人信息确权方面取得了重大进步。当然，《民法总则》在个人信息确权方面也存在一定的不足：一方面，其并没有将个人信息作为具体人格权规定在第110条，而只是将其规定为一项人格利益，这可能不利于保护个人的个人信息权利；另一方面，个人信息权利的具体规则仍有待于进一步完善，例如，该条虽然规定了个人信息应当依法收集、利用，但如何界定个人信息收集、利用行为的合法性，该条并没有作出明确界定，这就需要立法予以进一步完善。〔7 〕

二、应主要通过独立成编的人格权法进一步对个人信息权进行确权

《民法总则》颁行后，关于如何完善个人信息权利保护规则，存在不同的主张。一种观点认为，应当通过制定专门的个人信息保护法，对个人信息进行保护，即在《民法总则》第111条规定的基础上，通过制定专门的个人信息保护法的方式，实现对个人信息的细化保护。〔8 〕从比较法上看，一些国家和地区也颁行了专门的个人信息保护法律。例如，意大利制定了《关于资料保护法律（675/96号）》，德国制定了《德国联邦个人资料保护法》，爱尔兰制定了《爱尔兰信息自由法》。另一种观点认为，应当通过独立成编的人格权法完善个人信息的保护规则。〔9 〕笔者赞同第二种观点，即应当通过独立成编的人格权法完善个人信息保护规则，主要理由在于：

第一，此种做法与《民法总则》的立法精神是一脉相承的。与《民法通则》相比，《民法总则》突出了对人身关系的调整。例如，该法第2条将调整对象规定为平等民事主体之间的“人身关系和财产关系”，与《民法通则》第2条的“财产关系和人身关系”相比，更加突出了对人身关系的调整。〔10 〕再如，该法第五章在规定民事权利时，将人身权利规定在财产权利之前，本身也突出了对人身权尤其是人格权的保护。因此，通过独立成编的人格权法对包括个人信息权利在内的各项人格权的规则进行细化规定，并将其置于各财产权编之前，符合《民法总则》的立法精神。同时，从具体确权的角度来看，《民法通则》在规定各项人格权时，也对各项具体人格权的权能等内容作出了规定。例如，《民法通则》第99条第1款在规定姓名权时，即对权利人所享有的姓名决定权、姓名使用权、姓名变更权以及禁止他人干涉、盗用、假冒自己姓名的权利作出了规定。而从《民法总则》第110条规定来看，其只是对各项具体人格权进行列举，而没有对各项具体人格权的规则作出细化规定。如果民法典分则不通过独立成编的人格权法对包括个人信息权利在内的各项人格权的内涵、效力等作出规定，将使得《民法总则》对人格权的确权在某种程度上还不如30多年前的《民法通则》，这显然不符合《民法总则》强化人格权保护的理念。endprint

第二，此种做法更有利于个人信息权利的保护。根据《立法法》第8条的规定，“民事基本制度”应当由法律作出规定，而在现代社会，个人信息权利是个人所享有的一项重要民事权利，对于保护个人免受非法侵扰、维护个人的人格尊严具有重要意义，因此，其应当属于个人所享有的基本民事权利。这就需要通过法律对个人信息权利作出规定，而通过民法典人格权编对个人信息作出进一步确权，则在价值层面和规范层面均具有重要意义：一方面，可以为个人对抗不法侵害个人信息权利的行为提供民事基本法的依据。从实践来看，除遭受个人的侵害以外，个人信息权利也受到来自公权力机关的巨大威胁，非法监听、监视、非法收集个人信息数据的行为大量存在，与单个的个人相比，公权力机关在个人信息收集与利用方面具有巨大的技术优势，而且其在履行行政职能的过程中也会掌握大量的个人信息，正如有学者所指出的，各级政府在户籍管理、治安维护、交通出行、社会保障、工商管理、个人信用、打击犯罪、人口普查等方面掌握着数以万计的各类信息系统，每天都会收集海量的个人信息。与通过单行法对个人信息进行进一步确权相比，通过民法典人格权编细化个人信息权利的规则，可以为个人对抗包括来自公权力的侵害行为提供民事基本法律依据，更有利于提升个人信息权利的保护水平。另一方面，通过民法典人格权编对个人信息权利进行进一步确权，可以在民事基本法的层面明确个人信息权利的保护标准、限制标准，从而为将来个人信息保护立法划定界限，防止相关的部门立法出于部门利益考虑而对个人信息权利进行不当限制。

第三，此种做法也有利于更好地设计个人信息权利法律规则，并便于相关规则的解释与适用。个人信息权利虽然无法被其他人格权所涵盖，但与其他权利之间存在密切的关联和交叉，其他人格权的规则可能会对个人信息权利的规则设计产生一定的影响。例如，为妥当平衡个人信息权利保护与信息利用之间的关系，在信息的收集、利用方面应当对隐私信息与非隐私信息进行区分，〔11 〕但如何界定隐私信息？隐私权保护会对个人信息收集、利用行为产生何种影响？诸如此类，可能还需要借助隐私权的规则加以判断。完全通过单行立法的方式对个人信息进行进一步确权，可能难以有效衔接个人信息权规则与其他具体人格权规则，这就难以对个人信息权利与其他具体人格权之间的关系进行系统考量；同时，单行立法与民法典在规则设计理念等方面也可能存在一定的差异，这也可能导致相关规则之间出现一定的冲突，而通过民法典人格权编细化个人信息权利的规则，则可以更好地兼顾个人信息权利与其他人格权之间的关系。此外，通过独立成编的人格权法对个人信息权利等各项人格权集中作出规定，也有利于更好地运用体系解释等方法确定法律规则的涵义，从而减少法官找法、释法的困难，从而保障个人信息法律规则的准确理解和适用。

当然，强调通过独立成编的人格权法对个人信息权利进一步确权，并不是意味着要将所有的个人信息权利保护规则都规定在民法典中。事实上，民法典也不可能对其作出事无巨细的规定，主要原因在于：一方面，个人信息保护规则较为复杂，且具有很强的技术性特点。〔12 〕例如，个人信息的收集、处理、移转、储存、查询、公开等，均包含大量的技术性规则，民法典人格权编在对个人信息进行确权时，很难对这些技术性规则作出规定。另一方面，个人信息权利的许多规则具有很强的变动性。个人信息的收集、利用与互联网和大数据技术的发展密不可分，互联网技术的发展日新月异，这也使得个人信息的相关的规则具有很强的变动性，例如，随着新的信息分析技术的出现，相关的个人信息保护法律规则可能需要作出相应的调整。民法典的规则要在一定时期内保持稳定，其难以对此种变动性很强的规则作出规定。因此，民法典人格权编在《民法总则》第111条的基础上进一步对个人信息权利进行确权时，只是对个人信息权利的重要规则作出规定。其更为细化的规则，尤其是大量的技术性规则，可能还需要借助单行法加以规定。民法典人格权编的规则可以为单行法保护个人信息权利提供民事基本法的依据，同时也可以为单行法保护个人信息权利、调整个人信息收集、利用行为提供保护标准和保护框架。

三、人格权编个人信息权利保护规则的完善

我国民法典人格权编在对个人信息权利进行确权时，首先应当肯定个人信息权的具体人格权地位。《民法总则》只是规定了个人信息保护规则，但并没有肯定个人信息权的具体人格权地位，很重要的原因在于，个人信息保护制度是一个较新的领域，学界的相关研究尚不成熟，对个人信息权利的某些问题尚未形成共识。〔13 〕但笔者认为，我国民法典人格权编应当将个人信息权规定为一项独立的具体人格权，主要理由在于：一方面，个人信息在现代社会是一项重要的人格利益。随着互联网技术的发展，个人形象越来越呈现出数字化的特点，互联网中大量充斥着个人信息，海量的个人信息被存放于个人无法控制的“云端”，有学者认为，在现代社会，数字化已经成为一种重要的“生存方式”。〔14 〕这就有必要将个人信息权规定为独立的具体人格权，而不能只是对其进行消极保护。另一方面，个人信息权无法为其他权利所涵盖。个人信息权虽然与隐私权有一定的交叉，但无法为隐私权所涵盖，尤其是大量的非隐私信息，很难通过隐私权进行保护。同时，个人信息也不同于数据信息，其能够识别出特定的信息主体身份，包含重要的人格利益，因此，不能完全通过财产权的保护方法对其提供保护。此外，随着大数据技术应用范围的扩展，相关的产业实践也在不断发展，例如，美国甚至出现了专门从事数据交易的数据经纪人。〔15 〕在这种背景下，个人信息保护所面临的威胁也日益增大，相关纠纷也日益增多，在客观上也有必要肯定个人信息的具体人格权地位。因此，民法典人格权编应当肯定个人信息权的具体人格权地位，肯定其积极利用权能，而不只是对其进行消极保护。除此之外，民法典人格权编在对个人信息权进行确权时，还应当重点规定如下内容：

一是界定个人信息的内涵。我国民事立法一般都会对相关基本概念作出界定，〔16 〕此种做法有利于相关法律规则的准确理解与适用，具有其合理性。但从我国人格权保护法律规则來看，不论是《民法通则》还是《民法总则》，都只是注重对各项具体人格权的列举，而没有特别重视对各项具体人格权内涵的界定，这也使得区分相关的人格权变得困难，引发了司法实践的混乱。〔17 〕从《民法总则》第111条规定来看，其也没有从正面规定个人信息的内涵，这就需要人格权编对个人信息的内涵作出界定。一般认为，个人信息是指与特定个人相关联、能够直接或者与其他信息结合后间接识别出自然人主体身份的信息，其主要包括个人的姓名、户籍、住址、出生日期、医疗记录、职业、身份证号码等信息。〔18〕人格权编在界定个人信息的内涵时，可以采用具体列举式与抽象概括式相结合的方式对个人信息进行界定，即一方面具体列举个人信息的典型类型，另一方面采用兜底概括式的表述界定其内涵。endprint

二是明确合法收集、利用个人信息的标准。依据《民法总则》第111条的规定，个人信息应当“依法”取得，不得“非法”收集、使用、加工、传输、买卖、提供或者公开他人的个人信息，但何为“依法”取得？何为“非法”利用？该条并没有作出明确规定，这就不利于准确认定侵害个人信息权利的责任；而且在大数据时代，利用个人信息的现象十分普遍，收集、利用个人信息的主体不仅包括企业，而且还包括政府机构，〔19 〕个人信息收集与利用的合法性标准不清晰，也难以为个人信息利用提供明确的行为预期，从而影响个人信息的有效利用。有学者主张，个人信息的收集与利用应当经被收集者同意，违反个人同意原则收集和利用个人信息，即属于非法收集和利用个人信息。〔20 〕笔者认为，不宜一概以被收集者同意作为个人信息收集、利用行为合法性的前提，否则可能使个人信息的收集与利用变得极为困难，这将从源头上减少可供分析的个人信息数量，从而造成所谓“信息孤岛”现象，影响大数据技术的有效运用。还有观点认为，应当以个人信息的去身份化或者匿名化作为个人信息流通与利用的前提。〔21 〕应当看到，个人信息的去身份化确实有利于促进个人信息的有效流通与利用，因为通过去身份化处理，去除个人信息中有關个人身份的信息内容，可以将个人信息转化为匿名信息，〔22 〕这有利于减少信息处理、利用过程中对个人隐私权及其他人格权益的侵害，在很大程度上排除信息流通的障碍，〔23 〕从而保障信息的有效利用。但个人信息的匿名化处理主要发生在信息的处理阶段，无法调整个人信息的收集行为。〔24 〕而且一概要求个人信息的利用都必须进行匿名化处理，也可能不当影响个人信息数据的有效利用。因为从利用方式上看，个人信息的利用既可以提现为“一对一”的利用，即针对特定信息主体利用个人信息，也可以体现为“一对一”以外的利用形式，即对大量的个人信息数据进行分析，得出相关的分析结论，以做进一步的利用。〔25 〕“一对一”的利用方式要求对个人信息数据进行分析、处理必须借助于信息主体的相关信息，并通过信息数据点之间的基础关联而发挥其经济效用，而个人信息的去身份化处理则会消除信息数据与信息主体之间的关联，这可能影响个人信息数据经济效用的发挥。〔26 〕

笔者认为，在大数据时代，在平衡个人信息权利保护与个人信息利用之间的关系时，更应当强化对个人信息的利用，注重发挥其经济价值。因此，民法典人格权编在界定个人信息收集、利用行为的合法性时，应当区分隐私信息与非隐私信息，收集隐私信息原则上都应当经过个人同意，而收集、利用隐私信息以外的其他个人信息原则上则不需要经过个人同意，或者应当弱化个人的同意。〔27 〕

三是对信用信息的保护作出规定。信用利益是个人重要的人格利益，实践中出现的信用评级、企业设置“黑名单”等行为，也都涉及个人信用利益保护的问题。从比较法上看，各国大多重视对个人信用利益的保护。例如，《德国民法典》第824条就对侵害他人信用的行为作出了规定。〔28 〕《民法总则》颁行前，许多学者主张，民法典应当将信用权规定为一项独立的具体人格权，〔29 〕但《民法总则》第110条在列举各项具体人格权时，并没有对信用权作出规定。按照立法者的观点，信用是对民事主体经济能力的一种社会评价，其在性质上属于主体名誉的一部分，〔30 〕在我国司法实践中，一些法院也通过名誉权保护个人的信用利益。〔31 〕事实上，侵害他人信用利益既可能体现为不法利用他人信息导致他人信用贬损的行为，也可能体现为不法收集、传播他人信用信息的行为，〔32 〕前者可以通过名誉权加以规范，而后者则不涉及个人的社会评价，难以通过名誉权的规则加以调整。如果我国民法典人格权编不对信用权作出规定，则涉及主体社会评价的信用问题可以借助名誉权的规则加以调整，而信用信息的收集、利用等问题，则需要在个人信息权中作出规定，其也应当成为人格权编对个人信息权进行确权的重要内容之一。

四是规定个人信息权的限制规则。个人信息权作为一项民事权利，可能基于公共利益、他人权利保护等原因而受到限制，这一限制实际上也划定了个人信息权的权利边界，因此，这些限制规则也应当属于个人信息权确权的重要内容。有些个人信息权限制规则，如个人信息权的行使不得违背公序良俗、禁止权利滥用等，可以适用《民法总则》的相关规定，民法典人格权编也可以对各项具体人格权共通的限制性规则作出规定。但有些限制性规则则是个人信息权所特有的，应当由人格权编在个人信息权部分专门作出规定。例如，国家机关在依法行使职权时，可能需要在一定范围内对个人信息进行收集和利用，此种利用行为并不需要经过个人的同意。当然，国家机关对个人信息的收集和利用应当在合理的范围内进行，而且除法律规定的情形外，国家机关在公开个人信息时，应当进行必要的匿名化处理，以减少隐私泄露等相关风险。再如，基于学术研究、教学或者其他公共利益的需要，相关主体也应当有权在合理范围内对个人信息进行收集和利用。民法典人格权编应当对此类个人信息权限制规则作出规定，以更好地划定个人信息权的权利边界。endprint