《民法典》背景下个人信息权的理论证成

杨 钢

(南京师范大学法学院, 江苏 南京 210046)

《中华人民共和国民法典》(以下简称《民法典》)有关个人信息保护的法律条文中，没有“个人信息权”或“个人信息权利”的表述，但这并没有平息长期以来学界关于个人信息权益性质问题的争论。围绕这一争议，综合目前的研究现状可知，学界关注的焦点涉及两个方面。一是个人信息保护的权益层级问题，即《民法典》第111条所规定的“个人信息”，究竟是个人信息权(权利)，还是个人信息法益？二是个人信息权(法益)的民法属性问题，即这项权利(法益)究竟是人格权还是财产权，或者人格兼财产权，抑或一种新型权利？这两个问题是关涉个人信息法律属性和法律地位的基础性问题，对它们的回答决定了《民法典》第111条所涉“个人信息”是不是“个人信息权”。如果是个人信息权，那么是一项什么样的“个人信息权”呢？本文认为，《民法典》第111条所规定的“个人信息”是一项权利，并且是一项具体人格权。本文将按照从权益层级到民法属性的顺序，逐一梳理学界争议的焦点，回应相关质疑，完成个人信息权作为具体人格权的理论证成。

一、基于权益层级维度的个人信息权理论证成

追寻法律权利的基础，是法学和哲学中具有启发性的一般性基础理论研究[1]。对个人信息的权益层级进行考察，是对利益、法益、权利几个概念的深度辨析和逻辑探寻。个人信息权能否作为一项权利，或者说它是否具备应当受法律保护的价值，需要从利益、法益和权利的本质及相互关系中寻找答案。

(一)个人信息法益论的观点及评述

法益说认为，民法将个人信息作为法益进行保护，但没有将个人信息上升为民事权利来进行保护。这种观点是从立法机关的态度中推演出来的。首先，《民法典》第110条规定了自然人享有的各项人身权利，在列举生命权、名誉权、婚姻自主权等人身权利时，都使用了“权”字进行确认，但是其中并不包括对个人信息的规定，也没有使用“个人信息权”这一概念。这并非是一个无意之举。其次，在《民法典》人格权编中，除了第一章的一般规定以外，第二章至第五章的标题均以“权”字结尾，唯有第六章的标题是“隐私权与个人信息保护”，在具体条款中，也一直采用“个人信息保护”等表述，没有出现“个人信息权”这一概念。最后，《民法典》第3条规定，法益与权利一样应当受到法律保护，所以在“民事权利”项下不仅可以规定权利，也可以规定法益，“个人信息”便是指个人信息法益。由此可知，持法益说的学者主要是从法解释论的视角论证了“个人信息”是一项法益。本文则试图从法益理论入手，诠释法益的内涵，分析个人信息的权益层级。

法益理论起源于德国刑法理论，刑法中对法益的定义是受刑法保护的利益和价值[2]。民法学者对法益概念的界定并不相同，代表性的观点有两种。第一种观点以梁慧星为代表，他主张给予法益以宽泛的定义，认为法益就是法律所保护的某种利益，权利属于法益的一种[3]。我国台湾学者大多持第二种观点，认为法益是法律予以保护的权利之外的利益。史尚宽认为，“被侵害之客体，在权利之侵害，其客体为权利；在保护法律规定之违反，直接侵害之客体为法律规定，间接的为法律所保护之个人权益(法益)”[4]；林诚二认为，“法益为法律保护之利益，但法益不全由权利而取得，或是因法律之反射作用而享有……直接法益即由权利而直接享有之利益，间接法益即由法律之某种规定反射出来而享有之利益”[5]。

综上可知，目前民法中的法益概念并没有确切的定义，但从民法规范的描述和学者的争论中，可以摸索出一些有关法益的共识性的观点。第一，权利、法益均是法律应当保护的利益，从本质上讲，二者都是利益被法律认可后的结果；第二，利益、法益、权利，以被法律认可或保护的程度而论，大致是一个上升的发展路径，权利可能是一种法益，法益也可能发展成一种权利，换言之，法益的外延大于或等于权利；第三，利益、法益、权利，以三者的哲学形态而论，大致是一个从抽象到具体、从应然到实然的过程，利益显得有些虚无，权利却是社会主体能够切实感受到的存在。根据上述三点共识，可以将利益、法益、权利三者之间的动态关系表述如下：在初始状态下，社会关系中存在着自然生成或约定俗成的一般利益，当这些利益成为普遍性的需要被保护的利益时，法律便会将其上升为法益。其中，当有些法益具备了明显的独立性，或是需要强度更大、指向更明确的保护时，它们就可以权利的形式规定出来，认定为民事权利。

通过对法益理论的梳理，以及对利益、法益、权利三者关系的考察，具体到个人信息领域，至少可以确定《民法典》第111条所规定的“个人信息”是一项应当受到法律保护的法益，但它能否成为一项民事权利，还需要对其权利的本质和特征进行考察，才能得出结论。

(二)个人信息权作为民事权利的证成

本文将从两个层面对个人信息权作为一种民事权利进行证成。第一个层面从权利的本源入手，借助阿隆·哈勒尔的权利建构理论，证明个人信息权具备了权利的实质要件，此为实质上的权利证成；第二个层面从我国民事立法的解释入手，证明《民法典》第111条规定的“个人信息”是一项民事权利，此为形式上的权利证成。

在阿隆·哈勒尔看来，权利发起于要求，有的要求可以成长为一项权利，有的要求虽然具有一定的价值，但却不能转化成权利。这两种要求的差异来源于支撑它们的理由，“在权利的证成过程中，支撑一个要求的理由决定了这一要求能否被认定为一项权利”[6]。据此，阿隆·哈勒尔将理由区分为内在理由(intrinsic reasons)和外在理由(extrinsic reasons)，这是以理由与权利之间的关系来区分的，即：内在于权利，由于它自身的原因使特定的要求被认可为权利的理由，是内在理由；外在于权利，能够对某个要求的受关注和受保护的程度产生一定影响，但并不能决定这一要求被划归为权利的理由，是外在理由[7]。可见，权利证成的根本在于内在理由和外在理由的辨识。只有当一项要求有内在理由作为支撑时，才有可能被认可为一项权利；如果一项要求只能提供外在理由，那么它至多只能被认可为一项“值得关注乃至保护的要求”，并不能因此而被认可为一项权利。换言之，权利的证成取决于理由的种类，即某项要求必须提供内在理由，才能被认可为权利。

如何辨识一项理由是内在理由还是外在理由呢？具言之，内在理由和外在理由在性质和运作模式上究竟有什么区别？阿隆·哈勒尔认为，“内在理由的运作方式是统一的、超语境的、类似规则的，而外在理由的运作方式是变化的、语境化的、特定化的。也就是说，决策者对内在理由的严格性之检验是独立于情境之外的，并非在一定情境之内。外在理由则不同，决策者一般在特定的情境内进行细致考察，对它的检验力度视情境而定”[7]。比方说，对言论自由的要求主要基于两种理由：第一种是人们对言论自由有自发的需求，这种需求具有内在的价值；第二种则是言论自由有助于经济繁荣。显然，第一种理由体现出的人的自主性，是超语境的、普遍适用的，如同规则一般，不会随着环境的变化而变化，属于内在理由；第二种理由则是特定化的外在理由。试问，言论自由此时此刻有助于经济繁荣，是否就代表它永远有助于经济繁荣？或者说，言论自由虽然有助于经济繁荣，但如果决策者认为它有碍于社会稳定，或者有碍于国家治理，它又该何去何从？如此看来，第二种理由尽管有一定的价值和合理性，也有可能获得决策者的关注，但外在理由并不能支撑言论自由成为一项权利。相较之下，第一种理由，即内在理由才是决定言论自由这项要求成为受法律保护之权利的关键要素。

由上述权利建构与内在理由的相关理论可知，权利证成有一个清晰的证明方式，具体到个人信息权的证成来说，需要回答两个问题：是否存在个人信息保护这一要求？这项要求有没有内在理由作为支撑？

对于第一个问题，答案是毋庸置疑的。尽管有学者喊出“隐私已死”的口号，但没有充足的理由说明个人信息保护是不必要的，更不能否认个人信息保护这一要求已经存在并将长期存在的事实。对于第二个问题，则需要先收集个人信息权证成的各种理由，再一一判断它们属于内在理由还是外在理由。对个人信息保护的理由主要包括以下几条：第一条，对个人信息的保护是法律对信息主体人格利益的尊重，是个人对生活安宁和自由不受侵害和打扰的要求；第二条，对个人信息的保护有助于商业秩序的稳定以及交易市场的繁荣，是大数据时代科技创新、商业创新的重要保障；第三条，对个人信息的保护有助于国家利益的实现，对贸易战背景下新型战略资源——数据资源的争夺具有重要意义；第四条，对个人信息的保护关涉公共利益的保障，有助于增进全民福祉。上述四条理由几乎囊括了个人信息保护要求的全部理由，但如果把个人信息权界定为一项权利，则必须存在一个及以上的内在理由。经过验证可知，第一条理由为内在理由，而其余三条皆为外在理由。从本质上来看，第一条理由是康德自主性原则的体现：“人是目的，而不是手段，在未征得他们同意的前提下，不能为了他人的目的而利用他们。”[8]“当行动者的意志不以外界为转移，能够仅仅依其理性而进行思考和行动，那么他就是自主的。”[9]信息主体要求未经主体同意个人信息不得被收集和处理，以保证个体的生活安宁及人格尊严不被侵扰，这是一个应当得到尊重的自主行为，只要这种要求没有妨害到他人同样的要求，就应当受到保护。其余三条理由则均没有体现出自主性。从运作模式上来看，个人所要求的对个人信息中所蕴含的人格尊严和自由的保护，是超语境的、统一的，决策者对于这项要求的检验不会随着情境的转移而变化，保持着始终如一的严格性。相比之下，其余三条理由均是变化的、语境化的，必须在特定的时期、背景和领域内加以检验。因此，依据自主性原则，个人有权要求自己的个人信息受到保护，个人对自己的个人信息具有排除他人侵扰的绝对权利。

基于自主性的内在理由，个人信息权作为一项权利在实质上得到了证成，或者说，它已经被证明为应然权利。但此刻仍然不能证明它得以成为制度层面上的权利，也难以解释为什么“悼念权”不能成为一项权利。只有经过第二个层次的证明，即法律形式上的证成，个人信息权才能立足于现实权利体系中。

在杨立新看来，权利的证成需要满足“权利独立性”的标准：一是该权利保护的民事利益具有独立性，二是此权利的对象相较于其他权利的对象具有独立性[10]。例如，身体权、健康权和生命权虽然都是物质性人格权，但它们保护的民事利益都是具有独立性的人格利益，所保护的对象与其他的权利对象也都能作出明确的区分，因此，法律把身体权、健康权和生命权都确定为具体的人格权。而“悼念权”所主张保护的民事利益不具有独立性，既可以黏附在身份权之下，也可以作为一项法益来进行保护。杨立新指出，没有将个人信息权明确为权利的主要原因在于，个人信息权与隐私权的权利对象难以划清界限，使得立法机关的信心不足。关于个人信息与隐私的概念辨析，学者们已经作了详细论述，结论便是：个人信息与隐私是两个不同的概念，二者在内容、特征和关联利益等方面存在较大差异[11-12]。因此可以认为，个人信息权与隐私权所保护的对象有明确的界限，二者保护的民事利益也是不同的人格利益，彼此具有很强的独立性。此外，有观点认为，个人信息可以通过名誉权来进行保护，司法实践中确实也存在这样的做法。事实上，虽然个人信息权与名誉权之间有着一定的相关性，但二者所保护的民事利益并不一致，且单纯通过名誉权保护的方式难以覆盖个人信息权所要保护的全部对象，因为一些非敏感信息的外泄并不会侵害到个人名誉，但足以使个人产生紧张和不安全感，乃至侵扰个人的行动自由。从权利对象上说，个人信息权的权利对象是个人信息，其可识别性的特征就是悬在信息主体头上的“达摩克利斯之剑”，可能随时给信息主体带来隐患；名誉权的权利对象则是个人名誉，具体来说，是外界对自己的评价，虽然个人信息可能会影响到外界评价，但前者的内容要比后者丰富得多。这再一次证明了个人信息权在所保护的利益以及权利对象上都具有独立性。由是观之，个人信息权满足了“权利独立性”这一标准，能够被认可为一项独立的民事权利。

综上所述，基于“权利人”理论所奉行的自主性内在理由，以及民事权利在制度层面上“权利独立性”的检验标准，个人信息权作为一项权利，在实质上和形式上都得到了证成。因此，个人信息权作为人类自身固有利益与大数据发展相结合的产物，在权益层级的维度上成为一项应当受到法律明文规定要保护的民事权利，是完全可以成立的。

二、基于民法属性维度的个人信息权理论证成

在将个人信息权确立为一项权利之后，如何在民法的权利体系中准确地对其定位并进行阐释，关涉个人信息保护领域最实际的问题——当权利受到侵害时，信息主体如何确定请求权基础？这是所有立法者、司法者和法学研究者始终难以回避的一个核心问题。从民事权利体系的大范畴来看，主要存在两种权利类型——人身权和财产权，个人信息兼具人格利益和财产利益的特殊性质是个人信息权属性之争的起源。个人信息权是否可以被确定为人格权，主要取决于对两个问题的回答。其一，人格利益是否是个人信息所蕴含的首要利益，换言之，人格权是否侧重保护了个人信息的首要价值？这事关个人信息权是否应当作为一种人格权。其二，人格权理论是否可以解决个人信息财产利益保护的问题？这事关人格权理论在个人信息保护实践中的可行性。本文将以上述两个问题为导向，证成个人信息权的人格权属性。

(一)个人信息权应当作为一种人格权

个人信息权应当作为一种人格权，主要基于以下理由：

第一，个人信息本身就是一种人格要素，应成为人格权保护的对象。无论是个人的身高、体重、血型等静态的人身信息，还是个人自然活动与社会活动所形成的动态的行为轨迹，如网页浏览痕迹、消费记录等，都伴随着人格的形成与发展，与个人的生活紧密相连，是一种内在于主体并且专属于主体的人格要素。从某种意义上讲，个人信息与姓名、肖像的本质是相同的，如果以“能够表明个人身份”为共同属性，个人信息与姓名、肖像可以划分到一个范畴中。目前，以姓名、肖像为对象的姓名权、肖像权已经作为独立的具体人格权被纳入民事权利体系中，那么将个人信息权作为一项人格权进行确认也未尝不可。

第二，个人信息权的权利主体是自然人，个人信息保护的主要价值在于保护自然人的自由、尊严、公平和安宁。大数据时代信息技术的发展提高了劳动生产率，改变了人们生产和生活的方式，这些富有创造力的科技创新正是人类追求自由的天性使然，也是为了“人能够终于成为自己与社会相结合之人，成为自然界的主人，成为自己本身的主人，也就是自由的人”[13]。对作为信息主体的自然人来说，信息自由是人成为“自己本身的主人”的前提条件和必然要求。“保护个人信息不受非法收集处理的自由”和“促进个人信息流通的自由”构成了信息自由的两大目标，个人信息权的各项权能，如访问、更正、删除和拒绝等，都是这两大目标的体现。欧盟《通用数据保护条例》中也有“个人基本权利和自由”及“个人数据自由流通”等内容。由此可见，个人信息所蕴含的信息主体自由意志之价值是个人信息保护规范的立法宗旨，应当成为大数据时代个人信息利用与保护的目标和出发点。

“人格尊严”这种说法源于17世纪的自然法理论，用以概括个人在社会中应当获得的来自他人或公众的基本尊重[14]163-164。这种说法一经提出便广受认可，并逐步被法律所采纳。1948年，《世界人权宣言》首次提出了对人格尊严的法律保护。此后，保护人格尊严便成为各国法律充分肯定的重要价值。因此，个人信息保护规范必然要把人格尊严保护作为要义，并对个人信息中所蕴含的人格尊严进行确认。大数据时代高频率的个人信息处理活动，往往会使人感到不被尊重，信息处理的结果可能使主体的尊严遭到损害，其中尤以敏感信息的外泄为甚。应当注意到，个人的敏感信息被公开和传播后，给信息主体带来的伤害主要涉及人格尊严方面而非财产方面，因此，以人格权法来保障个人信息权更为合适。个人信息权所保障的公平价值则体现在两个方面。一是个人信息权是缓和信息主体与信息利用者之间紧张关系的合理机制，可以平衡双方对各自利益实现的期待，维系个人信息市场的公平。实践中，也有法律规范注意到了这一层面的公平原则，如经济合作与发展组织制定的《隐私保护和个人数据跨境流通指南》明确规定，“获得个人数据的方式必须合法和公平”。二是个人信息权对信息主体的保护是公平、平等的，不因信息主体身份的不同而有所差别。在高度商业化的现代社会，不可否认的是，明星、政要等公众人物的个人信息更加“吸睛”，愿意为之一掷千金的大有人在，而普通人的个人信息在财产价值层面则相形见绌。但是，如果法律以个人信息中的财产价值为标准对信息主体的权益进行分别保护，显然有失公允，因为个人信息中蕴含的人格利益是平等的，不分高低贵贱。在这种情况下，采用人格权的保护模式更加公平、公正。大数据技术已经发展到足以勾勒出每个人的数字画像阶段，人类很有可能成为数据实验室里的“标本”。个人信息的滥用，势必会给个人带来精神上的紧张和不安全感，这种精神上的压迫也难以用财产来衡量。因此，个人信息权所保护的人身安宁的价值是显而易见的。由上可知，信息主体的自由、尊严、公平和安宁是个人信息保护规范所需要维护的重要价值，采用人格权模式进行保护更为合适。

第三，个人信息权具有成熟的人格权权能体系。采用比较法考察不难发现，各国有关个人信息权的权利内容高度相似，例如：德国法规定了“答复权”“被通知权”“更正权”“删除权”“封锁权”和“反对权”；法国法规定了“反对权”“查阅权”“更正补充权”“封锁权”和“删除权”。由是观之，各国在个人信息权的体系设置上都形成了以“人格权利+具体权能”为框架，以知情权、同意权为基础的积极权能和以删除权为代表的消极权能共同构建的人格权权能体系。这一体系带有明显的人格利益保护色彩，能够给信息主体的权益以较为全面的保护，现逐渐完善并日趋成熟。

综上所述，无论是基于个人信息本身的性质，还是它蕴含的自由、尊严、公平和安宁的自然价值，抑或业已形成的成熟的个人信息权权能体系，都决定了个人信息中蕴含的人格利益是最值得尊重和保护的价值。人格权论将个人信息权放置在基本人权的位阶上进行考量，有利于个人信息保护目标的实现，故个人信息权应当作为一项人格权。

(二)人格权理论可以解决个人信息财产利益保护的问题

将个人信息权定性为人格权后，仍然需要解决一个问题，即如何面对个人信息中蕴含的财产利益的问题。按照传统民法理论的观点，人身权与财产权是截然分开的，人格权是人身权的一部分，不应涉及财产利益的内容。但是，随着商业社会的发展，越来越多的人格要素被商业化利用，由此引发的纠纷已成为普遍的社会现实。根据这一现实，民法学者也进行了人格权理论的修正，提出了“人格商品化权”，在现有的人格权体系内对自然人商业化使用人格要素的权利予以了承认。

人格商品化权是人格权的一个组成部分，表征着人格权的财产性内容，与人格权不可分割[14]284。人格权对人格要素之上的精神性利益与财产性利益进行统一保护，人格商品化权就是对其中的财产性利益进行保护。在实践中，德国法院在判决中支持了人格权的一元理论模式，指出人格权不仅保护人格价值和尊严，也为一般人格权以及肖像权、姓名权的财产价值提供保护[15]。传统民法理论关于“人格不可因商品化而贬损”的认识在现代社会已然发生了改变，法律开始正视人格要素商品化这一实现主体人格价值的途径，人格权理念发生了重大变化。王泽鉴认为，人格主体对人格要素之上的财产性利益进行控制，彰显了个人的经济自主，是维护人格自由和人格发展的重要特征，也是适应社会发展的体现[16]531。马俊驹认为，个人以自己的人格要素获取商业收益，是人格权的合理扩张，彰显的是个人对其人格要素处分的自由[17]310。王利明认为，人格商品化权增强了人格权在经济利用方面的权能[14]285。综上，人格商品化权作为人格权的一项积极权能的定位，是由人格权的内在价值和构造决定的。

人格商品化权的主体是所有自然人，但在过去一段时间内，德国、美国的司法机关曾认为只有特定的人才能拥有人格商品化权。德国法院曾认为，当事人必须是有一定知名度的人物，否则其人格标识就不具备商业化利用的可能性；美国法院也曾在判决中确认，只有名人才享有公开权。但是，德国、美国的司法机关现已逐步将人格商品化权赋予每一个自然人，原因在于，尽管公众人物的人格标识更易被商品化，且商品化的价值普遍高于一般民众，但这并不意味着普通人的人格标识就不存在被商业化利用的可能性。事实上，许多普通人，仅仅因为其姓名、形象气质与商家主推的产品高度契合，就能产生商业价值。例如，山东有一位大爷姓“支”名“付宝”，他在村中开了一家名为“支付宝”的便利店，引得无数人观光打卡。更重要的一点在于前文所述，人格权对人格主体的保护是公平、平等的，不因人经济地位的不同而有所差别，故不能排除任何人拥有人格商品化权的权利。具体到个人信息权，任何信息主体都拥有对个人信息进行商业化利用的权利，换言之，任何自然人都有权将自己的个人信息出售给有需求的信息使用者，也可以附条件地许可他人使用自己的个人信息。

人格商品化权的对象是可以进行商业化利用的人格要素，随着商品经济的发展，它从早期的姓名、肖像逐渐扩展到任何可以识别到个人的人格特征。在美国法院的一些判例中，甚至将歌手的声音和演唱风格都认定为人格商品化权的对象；德国法院也在判例中确认，人格商品化权的对象应该包括一切能够使公众识别出当事人身份的人格特征。由此可见，人格商品化权的对象非常广泛，近乎可以覆盖所有的人格要素，个人信息也理所应当地位列其中。例如，2000年美国Toysmart公司被起诉破产时，该公司将所掌握的用户个人信息挂牌出售，意向购买者甚众。显然，在此案中个人信息被明码标价了，属于被“强制商品化”，用户可依据个人信息权的商品化权能进行索赔。

人格商品化权的行使方式有许可他人使用、继承和侵权救济。许可他人使用其实是在我国制度框架内对商品化权转移的变通。在美国，用以保护人格要素之上财产性利益的公开权是可以自由转让的，这归结于美国的人格权二元保护机制。美国法中公开权与隐私权是分离的两种权利，权利人完全可以将作为财产权的公开权予以转移，但这样也存在一些弊端。权利人将公开权转移，相当于同意受让人再次转移公开权的对象，无异于表示放弃隐私权的保护[18]。这意味着，当权利人将公开权转移出去后，对于所涉人格要素遭受的精神性侵害，也难以获得救济。我国和德国采用人格权一元论的规范模式，上述问题则可以通过许可机制解决。许可机制的实质是人格权权能分离，即将人格商品化权从人格权中分离出来予以他人使用，而非将人格权本身进行转移。人格权主体对授予出去的商品化权能仍然有较强的控制力，可以通过附条件、附期限或者保留解除权等方式来限制被许可人的权利。当被许可人的行为可能或已经侵害权利人的人格权本体时，许可就可以被解除，即被许可人获得的不是一项物权性的绝对权，而是一项相对于授权人的债权[16]350。这项债权在构造上与租赁债权相似，除了相对于授权人具有效力外，对其他不具有相应权利的第三人也存在排他的效力。德国法院多次在判决中对这种“具有财产价值的”“排他的”债权予以确认[15]。在这样一种债权的构造下，被许可人对他被授予的人格商品化权进行转让适用债权让与制度的一般规则，即在转让之前需要征得许可人也就是人格权主体的同意。因此，人格商品化权在我国人格权法制度框架下存在转让的适用空间，但同时也尊重了权利人的意志，满足了人格要素之上精神性利益保护的需要。

类似于许可使用，人格商品化权在人格权权能分离的基础上得以被继承，即继承人仅仅可以取得人格要素中被商业化利用的财产性利益，而不是完整的人格权。在实践中，某法院在审理一起案件时认为，原告取得其母亲肖像的使用权是对死者肖像中财产性利益而非精神性利益的继承，故原告的继承行为是合法有效的。不过，继承人获得的人格商品化权仅在一定期限内受保护，这是由于人格要素之上的财产价值会随着死者社会性人格的消逝而最终消灭，或是进入公共领域。目前,我国对死者的精神性利益的保护期限是以其近亲属存活时间为标准的，大概为50年，故死者的人格商品化权保护期限也以50年为宜。

关于人格商品化权被侵害的救济，从广义上来说，除了侵权损害赔偿请求权和不当得利返还请求权之外，还包括防御性的人格权请求权。我国民法学界对人格权请求权是普遍承认的，认为只要人格权主体的商品化权有被侵害之嫌，即可行使防御性质的人格权请求权，以排除他人对自己行使圆满状态人格权利益造成的妨碍[19-20]。在实践中，人格权请求权体现为人格权主体可以向法院申请禁止令，以防止损害实际发生或扩大。关于人格商品化权的侵权损害赔偿，德国法首先开创了“三选一”的损害测算方法，我国《民法典》第1182条对此进行了借鉴。也就是说，当人格权主体的商品化权遭受侵害时，主体有权以具体的、实际的损害数额要求赔偿；当实际损害难以认定时，也可以按照侵权人因侵权行为获得的收益为标准进行索赔。有学者形象地把这一规则概括为“利润剥夺”，并以其为请求权基础[21]。由此可知，权利人在人格商品化权受到侵害时，能够寻找到合适的请求权基础以主张财产损害赔偿。此外，未经权利人同意便将其人格要素用于商业目的的，也符合不当得利的构成要件，权利人也可以通过主张不当得利请求权获得救济。

综上所述，人格商品化权理论完全可以解决人格要素之上财产性利益保护的问题。个人信息作为一种人格要素，在现有的理论框架内能够找到相对成熟的机制以规制个人信息在流转、处理时所涉及的财产性利益归属问题。信息主体在个人信息财产性利益受到侵害时，可以借助人格商品化权理论，寻找到合适的请求权基础。相反，如果在人格权之外独立设置一个个人信息财产权，则难以保障个人信息在转让之后对其人格利益的救济，容易陷入美国法中人格要素精神价值与财产价值绝对分离的困境。

三、个人信息权是一项独立的具体人格权

前文从权益层级和民法属性两个维度对个人信息权进行了理论证成，论证了个人信息权是一项人格权。在人格权的理论体系中，有一般人格权和具体人格权之分，那么个人信息权是一般人格权还是具体人格权呢？

我国法律语境中的“一般人格权”这一概念是从德国法继受而来的。《中华人民共和国民法通则》制定之初，法律规定的几种有限的具体人格权难以满足实践需要，引入一般人格权概念的初衷是弥补我国民事法律规范中对具体人格权规定不充分的缺陷[17]197。有学者认为，一般人格权是对具体人格权中所蕴含的平等、尊严和自由的抽象提炼，相对于具体人格权是特殊与一般、具体与抽象的关系，一般人格权是具体人格权的上位概念[14]147-148。也有学者认为，一般人格权具有对具体人格权的补充功能，二者之间是平行关系[22]。事实上，无论是上位权利说还是平行权利说，都承认了一般人格权是一种指导性的、一般性的权利，其内容具有不清晰、不确定性，边界具有模糊性。

有观点认为，个人信息权属于一般人格权。例如：谢远扬认为，个人信息不是具体的人格要素，个人信息权不是《德国民法典》第823条所规定的“其他权利”，只能根据一般人格权的规定进行保护[23]；任龙龙也持相似的“框架性权利说”，认为个人信息的范围很难确定，不能绝对地排除他人使用，且它具有框架性权利的特点，应当界定为框架性权利以平衡大数据时代信息主体与信息利用者之间的紧张关系[24]。

本文认为，《德国民法典》的规定存在一定的滞后性，随着社会的发展，各国民法已经确认了更多的具体人格利益，越来越多的具体人格权已经或即将从一般人格权中独立出来。反观德国法，仍然将隐私权纳入一般人格权的保护范围，这显然不合时宜。因此，本文认为，个人信息权属于具体人格权，而非一般人格权。理由如下：

第一，德国学者将具体权利与框架性权利通过三个标准进行区分，即“归属效能”“排除效能”和“社会典型公开性”。归属效能体现的是具体权利的清晰性，要求具体权利的内容确定、对象具体、界限明显；排除效能指的是具体权利能够排除未经许可的干涉；社会典型公开性是指具体权利对于社会一般主体而言具有可以识别的法律地位。个人信息权的内容清晰明确，对象是一切个人信息，与隐私权、名誉权等相近权利之间有明显的分界，具有可归属于信息主体且排除他人干涉的庞大的权能体系，能够使一般社会主体识别出其法律地位。由此可见，个人信息权满足了德国学者关于具体权利的三个标准，应当认定为一项具体人格权。

第二，将个人信息权界定为一项具体人格权有利于人格权体系乃至民法体系的完善和发展。德国著名法学家拉伦茨认为，固化一般人格权的过程是非常重要的，人们应当尝试通过精确的要件描述，将一般人格权浓缩为具体人格权。一般人格权作为一种模糊的、框架性的权利，显然不足以应对社会迫切需要解决的个人信息保护问题。人格权体系的发展是由一个个具体人格权支撑起来的，当面临新的利益保护需求时，最好的方式是进行制度架构，而不是向一般条款逃逸。将个人信息权确立为具体人格权，是对个人信息更高位阶的价值宣示，也是对大数据时代日渐高涨的个人信息保护呼声的回应，有利于司法裁判中的具体适用。

第三，如果将个人信息权归为一般人格权，则违背了逻辑的同一律，易造成概念上的混乱。根据我国民法通说，在一般人格权的概念之下，人格尊严、人格平等、人格自由等抽象的概念被放在了同一个范畴内，共同构成了一般人格权的内容。如果个人信息权被界定为一般人格权，则它就应当和上述抽象概念一同被放在一般人格权的子范畴内，在诠释一般人格权定义时被一起列举。显然，这样的安排是有悖于常识的，易造成逻辑上的混乱，不利于法律适用的稳定。

四、余论

尽管《民法典》没有使用“权利”字样来表述个人信息权，但通过权益层级和民法属性这两个方面的双重验证，本文认为，个人信息权在实质上已经构成了一项独立的具体人格权。相应地，个人信息权保护强度、适用范围和处分方式也较之个人信息法益有了进一步的拓展。在实践中，对于涉及个人信息权纠纷的案件，司法机关应当比照其他具体人格权对个人信息权进行保护。

个人信息权在所保护的民事利益方面及权利对象方面均具有独立性，但并不排除它与相近的具体人格权在内容上存在一定的交叉重叠。独立性的衡量标准在于该权利在民事规范体系内是否具有不可替代性，并非关注它是否与其他相近权利存在交集。个人信息权赋权的价值初衷意在填补信息时代人格权保护的漏洞，防止救济缺位情形的发生。个人信息权与相近的具体人格权可能存在的交叉，并不会动摇它作为一项独立的民事权利的定位，也不会对司法实践形成障碍。

人格利益是个人信息所蕴含的首要利益，自由、尊严、公平和安宁等精神价值是个人信息权所要保障的首要价值。但个人信息同时关涉信息使用者的经济效益及公共管理者的公益价值，因此，法律需要在个人信息的保护与利用间作出平衡。有必要构建一个精准的、层次性的个人信息权保护模式，对敏感性不同的个人信息进行不同程度的保护。对于敏感程度较低且承载较多公共价值、经济价值的个人信息，可以在对信息主体进行最低限度权利保障的基础上，有序开展个人信息的开放与共享。

未来，应该对《民法典》的“人格权”部分进行更加详尽的司法解释。司法解释应当在个人信息权的对象、权利义务内容和侵权责任构成等方面进行细化，构建更加具体的保护机制，进一步推动人格权保护的精细化，减少兜底性、模糊性的一般人格权的适用空间，增强民法对个人信息权的保护力度。