信息商业化时代的个人信息权利属性及适用研究

摘 要 个人信息权的法律属性是个人信息保护框架中的争论点。作为互联网经济的先行者，美国对于个人信息权的保护框架建立在隐私权的基础之上，其原因在于政府公权力与个人信息权冲突的判例建立。其后以隐私权为基础的个人信息保护框架开始不断扩张，但是互联网经济的不断发展使得隐私权保护基础在司法适用上出现适用范围过窄问题。

关键词 个人信息权 权利属性 美国 隐私权 保护框架

作者简介：杜婧，东北师范大学政法学院。

中图分类号：D923 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2017.07.121

个人信息权作为大数据时代出现的“新名词”，其本质并不是新事物，而是个人基本私权利，是个人得以独立于社会而形成并发展自我意识的避风港。在信息商业化的大数据时代，个人信息的商业价值被发掘，缺乏规制的市场几乎呈现失控状态，任何掌握收集信息技术的公司都尽可能多地收集信息以换取最大经济利益。为了控制住市场，重新达到权利的基本平衡，个人信息权作为一种单独的权利提出，以期引起个人、社会的关注。国内关于个人信息权利的属性有不同学说：认为该权利属于宪法基本权利，一般人格权或者独立人格权。个人信息权利属性在国内尚未有定论，但在最先开始互联网信息商业化的美国，个人信息权是作为隐私权被加以保护的。

一、美国个人信息权归于隐私权的原因

美国总统科学技术顾问委员会2014年发布的报告中总结了关于 “隐私权”的概念，包括但不仅止于：拒绝他人的监视，对自身的个人信息和社交关系保密，有限制地分享自己的信息而不被公之于众。具体来看，美国法上的隐私权主要包括：（1）个人保有秘密或者寻求隐匿的權利；（2）个人的匿名表达权，特别在表达政治意见时公民享有此权利；（3）在个人信息脱离本人排他占有之后，控制他人接触到该信息的权利；（4）阻止某些运用个人信息的行为所产生的消极结果；（5）个人做出关于自身的决定，且不受政府干涉的权利。

原有的隐私权概念，即个人不受侵扰的权利，并不包含个人信息权。但从这份政府报告中关于隐私权的范围可以看出，为适应互联网行业的急速发展，美国隐私权体系作为个人信息权利保护框架基础正在不断扩张。

其原因在于：个人信息作为一种独立权利出现最初始于Katz v.United States案，由此案件开始衍生出公民个人隐私信息不受政府不合理干涉的判例，即第四修正案。虽然第四修正案的涉及权利义务双方是政府和个人，而不包括企业对个人信息的获取行为，但是公民个人信息作为隐私权保护的先例已经出现。此后互联网行业不断发展，商业信息收集行为成为侵犯个人信息的主要侵权模式。针对这种情况，美国国会通过一系列部门法保护特定种类的个人信息。比如：《公平信用报告法》保护个人的信用信息，《家庭教育权和隐私权法案》保护学生的教育记录信息，《健康保险携带和责任法案》（又称HIPPA法案）保护个人的医疗信息。

二、判断个人信息是否属于隐私权范围的方法

关于某种特定的个人信息是否属于隐私权保护范围，现在美国法院适用的三步分析法：

第一步，判断特定个人信息中是否存在实质内容。关于实质内容，在《储存通讯法案》中有具体规定：有通讯内容，目的以及意义的信息。关于确认某种特定个人信息是否属于隐私权的判例，以2007年U.S. v. Forrester案为例，法院认为：用户的IP地址，和电话号码、邮件地址性质一样，都属于无实质内容的信息，不体现用户的个人信息。表面上无法推知出个人信息或者偏好的纯数字串不具有实质内容，不属于个人隐私。那么按照法院的这种逻辑，网站的网址应该如何定性？大多数网址由数字串和文字符两者组成。美国学者Omer Tene认为，网址不论是否含有搜索项目，都应该认为其属于有实质内容的信息。原因在于网址能够获得确切的信息。更进一步，用户在搜索引擎中输入的文字完全可以推知其检索内容，搜索引擎记录收集完整的搜索记录，比网址更能完整的记录用户的浏览记录。这些信息都是用户在相对私密的环境下，向搜索引擎发出的搜索请求，用以找到对用户而言有价值的内容。搜索记录包含的具体内容体现了用户的思想或者兴趣，因此搜索引擎中的搜索记录属于实质内容的信息。

第二步，属于实质内容的信息，判断是否已向第三方合法披露。第三方披露原则（the Third Party Disclosure Doctrine）是指一方在已将该信息披露给第三方的情形下，对已披露的信息不存在主观的隐私权期待性，且从理性大众的角度考虑这项已披露的信息也不属于隐私。确立该原则的是1979年的Smith v. Maryland案，原告的通话信息被政府记录，原告认为电话用户对其通话记录的隐私性具有主观期待性，但是法院推定：在原告已经多次拨打第三方号码，向第三方披露自己信息的情况下，难以相信其号码能保持秘密状态。此案的推定尚不及于互联网用户的个人信息。互联网用户对于个人信息的主观感受应该考虑用户是否尝试保持信息处于秘密状态或者身在自己的住宅中。

第三步，未向第三方披露的个人信息，按照Katz案确立的双重期待性原则判断是否属于隐私权保护范围。1967年United States v. Katz案中，Harlan大法官认为：第四修正案的保护范围是否及于某种信息是今后的一个法律难点。法院当时针对该案提出了论证思路，个人信息是否受到第四修正案的保护，关键在于两点：一是是否存在对隐私权主观期待性；二是是否存在对隐私权的客观期待性。此案中，当时法院认为对于隐私权的保护只存在于政府侵犯个人财产的情形。具体而言，首先按照Katz案中确立的判断标准之一，是否存在主观期待性来看。美国学者Schuyler Sorosky认为主观期待性难以适用于搜索引擎的情形下，因为用户知道自己的信息正在被收集和分享。如果用户明知自己的信息在被收集和使用，或者明知自己的行为正在被观察，比如工作场合，那么该个人的信息就不存在主观上的隐私权期待性。因此，用户对于信息的主观感受应该考虑，比如用户尝试保持其个人信息处于秘密状态或者用户身在自己的住宅中。第九巡回法院认为认定个人是否有理由相信信息处于保密状态的关键在于：用户是否知道自己的信息正在被监控或者分享。如果用户知道，那么用户应该知道自己的信息不处于隐私状态，相应地，也不存在主观期待性。如果用户相信自己的信息处于隐私状态，那么就存在主观期待性，比如用户的搜索内容属于非常私人的信息。许多个人信息都满足主观期待性的这条标准：比如用户的银行信息，医疗搜索，家庭地址，或者看诊记录等等，用户有理由相信自己处于匿名状态使用网络服务。其次，按照Katz案中确立的判断标准之二：从理性的公众角度看，某个信息是否属于隐私。Katz案审理法院希望能在个人信息保护领域确立一个可行的法律标准，但是确立隐私权领域的客观期待性标准非常困难。首先，针对不同的权利客体，权利主体本身对权利存在主观期待性不意味着一定存在客观期待性。比如小偷在行窃时，处于主观认知的秘密状态，但是公众利益并不认为其行为合法。另外，客观期待性的标准可以说非常具有弹性，不同的公众群体在不同时代会有异化的期待性标准。由于客观期待性的弹性特点，具体某种信息是否属于隐私权范围需要结合实际案情具体分析。endprint

理論分析个人信息是否适用隐私权法保护，可以结合综上三步判断。而实践中，个人信息适用现行隐私权法却存在许多适用问题。

三、个人信息保护适用现行隐私权法的范围过窄问题

虽然个人信息权在隐私权作为基础的保护框架内，但是其司法适用中存在隐私权范围涵盖范围过窄的问题。如Dwyer v. American Express Co.案中，法院认为个人的姓名信息只有成为被告的名单一部分时才具有价值，被告在整合分类这些姓名之后创造了价值，并且被告没有剥夺任何一位姓名所有者的权利。DANIEL J. SOLOVE认为：此案中，法院对隐私权的理解过于概念化。许多法院认为如果信息已经被公众或他人所知，就不存在隐私权的问题。但是这种观点是对个人信息权的单一化理解，对于个人某项希望保持隐秘的信息采取“全有”或者“全无”的理解。现在个人信息的传播速度、范围已经远远超过互联网时代之前的任一时代，但是个人对信息发送的范围和信息未来可能出现的场所仍然存在一定的期待度和预测性。现行的侵权法缺少对不同程度的隐私权期待性的划分和判断已经不适用于大数据时代，即使用户在社交网络上分享了个人信息，仍然享有隐私权，因为信息所有者只在一定范围内传播个人信息，信息商业化造成个人信息在期待范围外的传播是对于个人信息隐私期待性的破坏。

虽然理论上倾向于司法更加主动地个人信息纳入隐私权法的保护范围内，但是美国司法部2010年发布的《计算机犯罪及知识产权侵权犯罪手册》认为：当个人同意互联网服务使用条款的同时，意味着个人放弃其对隐私权的主观期待性。其原因在于一个假设前提：用户阅读并且理解了协议的内容。但实际上用户即使主观上希望了解互联网企业提供的隐私权协议并主动保护个人信息，也存在着大量客观障碍：

1.互联网隐私权政策数量问题。在只与少数几个关联方接触的前提下，用户可能有能力管理自己的信息。但现实情况并非如此：网络世界是一张无限外联的网。即使每个关联方都提供了简洁的隐私权政策便于用户管理其信息，收集使用披露个人信息的企业数量是非常庞大的。用户平均每天接触的网站数量之多，种类之杂，难以统计。甚至还有一些暗中收集信息的网站，如果用户不知道这些信息存储器的存在就更谈不上管理他们。对于全部阅读浏览网站的隐私权政策也相当花时间。况且网站经常更改其隐私权条款，只阅读一遍显然不够。

2.互联网信息整合问题。即使人们可以正确的处理每个网站收集的碎片信息，但这些碎片信息有可能今后被整合成一份足以威胁用户隐私权的完整文件。大数据能从每个人给出的碎片线索中连接并整合出某个特定人的大量信息。不论是对于用户还是互联网企业而言，信息的管理都是一项长期过程。

3.个人损害评估问题。人们容易看到眼前的好处，但难以看到现在的好处可能成为未来的坏处。信息的收集使用和披露都伴随着短期的好处，比如免费使用了网站服务为自己提供了便利。个人信息的隐私权损害往往不容易发觉，当然被发布裸照或极度私密的信息会引起严重的心理压力，但大多数隐私权侵权问题感受没有如此深刻。

综上关于用户阅读并理解互联网隐私权政策存在问题的分析，可知用户使用互联网服务并不能等同于用户理解且同意该隐私权政策，自然也不能推断出用户放弃其个人信息的隐私权。个人用户在使用互联网服务时，仍然存在隐私权上的期待性。

四、 结论

个人信息权作为一项以新形式出现的基本人权，其权利属性在国内仍存争论。但权利属性的界定并不影响其保护框架的建立，美国关于个人信息权的保护框架随着司法判例的不断增加不断完善。这些判例的适用与问题，尤其是权利保护基础过窄的问题，对于国内相应立法保护框架的建立有一定借鉴意义。

参考文献：

[1]张里安、韩旭至. 大数据时代下个人信息权的私法属性.法学论坛.2016（3）.

[2]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心.现代法学.2013（4）.

[3]Kurt Jr. Young， Privacy Law in the Digital Age： Establishing Privacy Rights in Search Engine Logs， 14 Conn. Pub. Int. L.J. 157， 178 （2014）.

[4]Omer Tene， What Google Knows： Privacy and Internet Search Engines， 2008 Utah L. Rev. 1433 （2008）.

[5]Schuyler Sorosky， United States v. Forrester： An Unwarranted Narrowing Of The Fourth Amendment， 41 LOY. L. A. L. REV. 1121， 1137 （2007-2008）.

[6]DANIEL J. SOLOVE， THE FUTURE OF REPUTATION： Gossip， RUMOR， AND PRIVACY ON THE INTERNET 162-70 （2007）.

[7] Andrew William Bagley， Don t Be Evil： The Fourth Amendment in the Age of Google， National Security， And Digital Papers and Effects， 21.1 ALB. L. J. SC. & TECH. 153 （2011）.endprint