文 | 福建省福州市中级人民法院民三庭庭长 李瑞钦

2 0 17年3月颁布的《民法总则 》采用单独立法模式 ，其第一百一十一条明确规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”这使得一直以来为公众所关注的个人信息保护有了明确的实定法依据。然而，该条文仅属于权利宣示性条款，其对个人信息权的内涵与外延都规定得较为概括，对于个人信息权应如何保护，并没有给出具体的规则指引。其实，如何平衡个人信息保护与互联网经济发展，以及信息自由流动的关系，即个人信息利用过程中个人信息自主价值和商业利用价值两者之关系，一直是个人信息权法律保护中的一个焦点问题。

个人信息的法律价值

个人信息的法律价值主要体现为个人信息自主价值和商业利用价值，这两种价值贯穿于个人信息利用过程的始终。

1.信息自主价值。个人人格的发展依赖于个人对于社会交往的参与，而社会交往的实质就是个人信息的使用，但这种使用必须是个人自主使用。信息的自主价值保障了个人人格的独立自主，决定了个人在社会交往中的地位优劣与否，而且这种独立性和地位一直延续到信息流转的整个过程。

2.商业利用价值。个人信息可以通过在社会交往过程中公开并流转的方式，为本人带来各种利益。个人信息的商业利用价值关注的是当某些个人信息被商业化使用之后，能否实现使用者原先的目的，能否给其带来预期的经济利益。

二、个人信息利用过程中的价值冲突

个人信息自主价值和商业价值的实现是信息时代的两种基本社会诉求，但这两种诉求却存在着隐性的价值冲突：

1.信息自主价值实现之要求。信息自主价值的核心体现为对个人信息的控制权，这种控制权表现为个人有权了解信息资料的收集主体、信息资料收集的内容、信息资料用途、信息资料收集是否客观全面，以及个人对这些信息资料是否有权自我利用、是否有权拒绝或允许他人对这些信息资料进行利用等内容。在这种模式之下，基于其人格权属性，个人信息权自然归属于个人。在人格尊严和自由理念下要求防止个人信息被他人不当获取，法律保护个人信息是为了保证个人对自己信息享有平等支配的权利。信息控制者商业化利用这些信息必须征得个人用户的同意，并且尽到足够的说明和提示义务，否则将构成对个人信息权的侵犯。

2.信息商业价值实现之要求。信息财产权不同于传统意义上的财产权，它是通过信息的商业化利用而带来财产价值，这种财产是无形财产。在信息时代，个人信息具有极大的商业价值，信息控制者通过个人信息的收集、获取，建立庞大的数据库。该数据库所存储的信息，既可被商家用于商业广告的精准投放和个性化服务推荐，也可被其他社会机构和个人用于分析某种群体的共性，以满足其自身或其他资料库使用人的需要，甚至用于社会服务，如预测流行病等。所以对于网络服务商等信息控制者而言，个人信息并非针对个人的信息，而是一种“大数据”，不具有人身属性，而具有非常高的商业价值，可以作为商品利用、出让，为其带来经济利益。

从上述两方面来看，在实现个人信息的自主价值和商业价值过程中，存在一个普遍性的矛盾：一方面，信息控制者为了自身发展有必要尽可能多地获得他人的个人信息；另一方面，个人信息者又不希望自己的信息为他人所随意获取。故而，个人信息权的保护面临这样的两难境地：为了维护本人对个人信息的自主控制，需要制止他人任意处理个人信息，但这又阻碍了信息商业化利用的实现；而过于放纵信息的商业化利用又可能有损信息主体的人格的独立自主。

个人信息权保护的立法审思

人格保护与信息自由背后的价值冲突导致了二者在个人信息权法律保护中的对峙。如何通过制度安排平衡信息本权与信息自由？笔者认为，未来的民法典在具体设计个人信息保护条款上，需要注意以下三个要点：

1.个人信息利用过程的自我控制性。个人有权自主决定以何种方式利用个人信息，包括确定自己个人信息的使用方式、内容和范围等，他人不得以违反本人意愿的方式对个人信息进行处理。换言之，任何对本人信息的处理原则上都要获得本人的同意，具体为：第一，将个人信息从本人扩散到他人时，本人有权充分知悉个人信息的处理目的、范围和方式等内容。第二，将个人信息从他人处继续扩散时，这种扩散如果超出了本人事先同意的范围或方式，原则上需要得到本人新的同意。一些社会机构掌握了大量的个人信息后，利用当事人之间信息占有、技术条件的不对等，肆意扩散这些个人信息并牟取利益，给他人的正常生活带来极大的困扰。这就要求在法律制度层面上对此加以规制，规定本人有权随时査询自己个人信息的处理状况，或者要求信息控制者证明自己在利用个人信息过程中没有不法行为。

2.个人信息利用过程的正确完整性。个人信息商业化利用的前提是信息的收集与取得合法，信息控制者只有在征得个人同意后才能收集和获取个人信息，才能用于商业化用途。在商业化利用过程中信息控制者应能够保证信息的正确和完整，具体言之，须符合以下要求：信息控制者不能随意修改、变更所掌握的个人信息，也不能允许他人对这些信息随意进行修改、变更；允许当事人在信息失去正确性和完整性时可自行进行及时的更改和修正，并将此作为最终的补救措施。

3.个人信息利用过程的权项明晰。除了个人信息的自我控制权外，信息控制者对个人信息的商业化利用不应侵犯用户的个人信息权，包括不被侵扰的权利。具体而言，由于上网信息产生量十分庞大，对个人信息收集只需采用“默示同意”即可。但对个人信息商业化利用，则视不同情况而确定。对非敏感性个人信息，只需取得个人的默示同意即可；对敏感性信息商业化利用，需要征得个人的明示同意；而对于个人不愿为他人知晓的敏感隐私信息，即使个人因为默示同意而允许被收集，也不能将之用于商业化利用。一旦这些信息的商业化利用侵犯了个人隐私，信息控制者应对此承担责任，无论其是否得到被使用人的许可。