【摘 要】个人信息有多种分类学,从规范性角度可将其分为敏感信息和一般信息,二者差异因数据画像技术而缩小,但仍是法律上最重要的分类。个人信息属于人格要素,其内涵明确,外延清楚,可为他人行为设定禁区,可以成为一项具体人格权。但该权利属于绝对权,而非支配权,承认个人信息权并不会带来信息交流停滞。个人信息权兼含财产利益,它是数据财产权的前提和基础。个人信息权以知情同意权为基础,可衍生出访问权、可携带权和收益权等积极权能,同时具有更正权、限制或反对处理权以及删除权（被遗忘权）等消极权能;这些都只是个人信息权的权能,本身并不能成为独立的民事权利。民法典应当完善个人信息权的权能体系。

【关键词】个人信息；个人信息权；权能；知情同意权；删除权(被遗忘权)

《民法总则》第111条并未出现“个人信息权”字样，引发各方不同解读。本文旨在对个人信息权的法律定性与内在体系进行法教义学上的建构，以期便利其适用，推进其完善。以下首先分析个人信息的各种分类及其法律意义，继而讨论个人信息与个人信息权益的法律属性，再阐述其积极权能与消极权能，最后是结论。

一、个人信息的类型学意义及具体划分

个人信息是指可直接或间接识别特定自然人的一切数据。个人信息的类型化影响到法律保护的范围、体例及强度，基于不同标准有不同分类。第一种是经验描述型的类型学（taxonomies），按信息产生来源不同将个人信息划分为：身体信息、心理信息、身份信息、地点信息、行为信息、社交信息。此分类的意义在于：不同信息距离核心私领域的远近有别，这对于敏感信息范围的划定有重要意义。　　

第二种仍旧是描述性类型学，按信息内容所属领域不同，可将个人信息分为身份户籍信息、教育信息、就业信息、财产信息、金融信息、信用信息、医疗信息、违法信息、婚姻家庭信息、通讯信息以及未成年人信息等。此分类的意义在于，各类信息专业性、行业性强，各有对应主管机关作为该类信息的法定收集者或管理者，经常有相应的单行信息法规。例如，信用信息是专业性极强的信息细分领域，不仅有专门的理论领地，如关于社会信用的定义，狭义论者、广义论者争执不下；而且各国各地还常有专门立法，如美国《公平信用报告法》（FCRA）、我国《征信业管理条例》、《上海市公共信用信息归集和使用管理办法》等。关于未成年人信息隐私也是各国重视的专门领域。例如美国《儿童在线隐私法》（COPPA）对儿童信息提供超强保护，该法覆盖任何网站操作和在线服务，涵括所有移动Apps、浏览器插件和第三方网络。　　

第三种是理论抽象型的类型学（typologies），即从规范性角度，按敏感程度划分可将个人信息分为敏感信息和一般信息。敏感信息是指构成个人隐私的信息，一般信息是指通常状态下不构成隐私的信息。这种分类是比较法上的通例。如欧盟《通用数据保护条例》（以下简称GDPR）第9条、德国《联邦数据保护法》（以下简称BDSG）第3.9条、我国台湾地区“个人资料保护法”第6条等。此种类型学在法律上最为重要，其意义在于，敏感信息一旦泄露将会给主体带来更大伤害，故法律保护力度更强。例如，《征信业管理条例》第14条禁止收集个人基因、指纹等医疗敏感信息，收集财产敏感信息则须主体明示同意。德国BDSG第4a条规定，对敏感数据的收集、处理或使用，数据主体的同意必须明确地单独作出。欧盟GDPR第9条原则上禁止处理敏感数据。　　

自2017年6月1日起施行的最高人民法院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号，下称《信息刑案解释》）第5条，也对涉及不同敏感度信息的犯罪行为给予了轻重不同的刑罚。依据该条，个人信息被分为敏感信息和一般信息，敏感信息又划分为三个等级：最敏感的是轨迹信息，次敏感的是通信内容、征信信息、财产信息，而住宿信息、通信记录、健康生理信息、交易信息为一般敏感信息。应注意的是，这种敏感度分类主要是以信息影响人身财产安全的程度、对下游犯罪的关联意义以及社会危害性作为标准，它并不能完全反映信息对信息主体的敏感意义，例如，不能据此认为财产信息比健康生理信息更敏感；另外，该条也未将性活动信息纳入敏感信息。因此，刑法上的敏感信息分级对于民法规则设计仅有一定的参考意义。　　

必须承认，大数据自动处理技术的出现，的确给传统的信息敏感度类型学带来巨大冲击。数字画像的存在的确缩小了隐私信息和非隐私信息的鸿沟。因此，在原则上坚持领域理论的同时，应注意使用场景对信息敏感度的影响，明确合理的隐私期待。同时，立法要对大数据及其自动处理、数据画像技术在信息收集、处理、出售等各方面的应用作有针对性的规定。

二、个人信息权作为具体人格权之证成

（一）个人信息（权）性质的学理之争　　

将“可识别性”作为个人信息的本质特征系比较法之共识。相比之下，个人信息的法律属性却众说纷纭。概括而言，对此有八种观点，分述如下。　

1.个人信息权否定说。该说认为个人信息在法律上不能成为民事权利之客体，因为它在技术或物理上无法控制，缺乏清晰的“权利外观”，“个人外界无法识别且捉摸不定，无法为他人行为划定禁区”，认可其为独立权利会阻碍信息交流。更极端者甚至认为，个人信息作为公共物品仅应由公法规制。然而，收集信息的商业机构与信息主体之间系平等关系，私法保护个人信息乃属必然。信息的私法保护与公法保护可以也应当并存。同时，法律可创设独占性，知识产权、姓名权即为适例。而承认个人信息权也不意味着对其的绝对保护，判断隐私等精神性人格利益是否被侵犯，利益衡量必不可少。

2.基本权利和自由说。此说认为个人信息是个人基本权利与自由的客体，它常见于相关国际条约或区域性条约，如欧盟《通用数据保护条例》第1.2条即持此说。我国也有学者主张此说。但此说与民事权利说并不相互排斥，二者实可共存。　　

3.物权说或所有权说。该说认为个人信息是特殊的物权客体，即无体物或无形财产，因为姓名等个人信息亦有财产价值。然而，作为例证的虚拟财产如比特币等并无可识别性，不属于个人信息。同时，有财产价值的未必是物权客体，如肖像。另外，若将个人信息视为物权客体，则购买者再次出售或泄露，信息主体也无权救济，显然不妥。　　

4.隐私权说。该说认为个人信息是隐私，如美国采用信息隐私的概念，将信息保护纳入到隐私保护之下。日本受美国影响，其隐私权概念亦从传统的私生活安宁之消极权利演变成为具有积极意义的信息隐私权。我国学者也有类似观点。不过，囿于传统，英美法“大隐私”模式很难被我国采纳，《民法总则》已单设个人信息条款，明确否定了此说。　　

5.一般人格权说。依德国通说，个人信息系一般性人格要素，信息自决权不是《德国民法典》第823条所称的“其他权利”，迄今它仍属于一般人格权的一部分。我国也有学者主张此说。不过，笔者认为，德国法有此立场是因其民法典过于刚性所致，甚至隐私也被纳入一般人格权予以保护。而我国法已认可隐私权是具体人格权，设有个人信息单独条款，并与一般人格权条款（《民法总则》第109条“人格尊严”）区分开来，故不宜再认同此说。　　

6.人格权兼财产权说。该说认为个人信息既是人格要素，也是财产要素，因此个人信息权既是人格权也是财产权。但二者并非等量齐观，普通个人信息财产价值稀薄，人格权商品化理论足可解决信息财产利益保护问题。　　

7.框架权说。该说认为个人信息或为人格要素，或为财产要素，个人信息权只是一个概括性、描述性的指称，是一种框架权，该权利本身或体现为人格性或体现为财产性。然而，某些信息事实上兼具人格性和财产性。而且，此说同样忽略了个人信息权日益成熟的稳定体系。　　

8.具体人格权说。此说认为，个人信息权是一项具体人格权。持此观点的学者主要是从个人信息权与隐私权存在的种种差异这个角度论证，因为个人信息权不能被隐私权完全涵盖，故而应该独立。

（二）《民法总则》个人信息条款法律属性的解释论　　

笔者赞同个人信息权作为具体人格权的上述学理论说。而且，从解释论视角考察，《民法总则》第111条肯认了个人信息权的具体人格权属性。具体理由如下。　　

第一，个人信息权符合“权益区分三标准”。信息主体对其个人信息享有的究竟系一种利益还是权利，取决于此种利益的重要性与成熟度。依德国法理论，“同时具备归属效能、排除效能和社会典型公开性的，为一种侵权法上的权利，反之则只能归于一种利益”。个人信息的利益内容清晰确定，如知情、迁移、删除、许可他人使用等等，并可归属于特定主体，且排除他人非法干涉，同时还能通过法律创设出可识别的法律地位（列举+兜底性规定），三项标准均已满足，应认可为一种民事权利。　　

第二，个人信息作为人格要素，可成为民事权利的客体。个人信息或为隐私信息，或为可识别身份的一般信息。无论是基因数据等隐私信息，还是姓名、cookies等一般信息，均与人格形成与发展有关，皆为人格要素，均构成个人整体人格之一部。正如信息隐私之于隐私权，姓名之于姓名权，同为人格要素的个人信息亦可成为具体人格权的载体与客体。　　

第三，保障信息自由的需要。权利保障个人自由，而精神性人格权的客体是精神自由；关于其类别，只要人类能够从观念上予以确定，并被社会普遍伦理观念接受，在其上即可新设一类具体人格权。个人信息是信息利益和信息自由的载体，承认个人信息权有助于更好地保障信息自由这样一种新型精神自由。　　

第四，庞大而成熟的权能体系和规则体系。个人信息权包含多种权能，如知情同意权、访问权、可携带权、更正权、反对处理权、删除权（被遗忘权）、收益权等，这些内容已非模糊笼统的“个人信息利益”所能统摄。准确对个人信息权益进行定位，也有助于对知情同意权、删除权等“权能”性质的厘清。随着信息化持续深入，信息保护和利用的每一领域都应是法律精心深耕之处，承认并构建个人信息权将为信息法制完善提供重要平台和基础。　

第五，个人信息权是人格权，而非支配权，承认个人信息权并不会阻碍信息正常流通。德国通说认为，“除了长久以来的支配权、请求权和形成权三分法之外，现在又加入了人格权”；支配权赋予权利人对特定标的的绝对和直接的支配力，而人格权是个人作为“人”应当享有的权利，在判定人格权侵权是否成立时还须进行个案利益衡量。因此，将个人信息作为人格要素，而不是物，将个人信息权定性为具体人格权，而不是物权，正是为了强调人格应获尊重，而不是主体对信息的绝对支配，它不会导致对个人信息的绝对保护，更不会阻碍信息的正常自由流通。　　

第六，将个人信息权作为具体人格权，而不单单是一种民事利益，有助于对信息主体提供绝对权保护。个人信息权虽不是支配权，但属于绝对权。在德国法的框架下，不论是将个人数据权直接作为《德国民法典》第823条第1款意义上的“其他权利”，还是将其纳入作为框架权的一般人格权之下，至少有一点结论是相同的，即它属于绝对权，都受到该第823条第1款的侵权法保护。从相对权和绝对权的分类标准来看，由于尊重信息主体的义务主体是不特定的任意第三人，因此，个人信息权属于绝对权是符合逻辑的。若否认其为独立民事权利，而仅仅是一种利益，则无法援用绝对权理论来对其提供高强度保护。　　

第七，个人信息权有清晰的权利外观，可为他人设定清晰的行为禁区。“个人信息权否定说”的最主要理由是，个人信息在技术或物理上无法控制，缺乏清晰的权利外观，无法为他人行为划定禁区。然而，《信息刑案解释》共有13个条文，除了第1条定义条款和第13条施行日期条款外，其余11个条文都是在详细地规定定罪量刑，都是在为他人行为划定禁区。“本质上，相对于刑法和刑事司法而言，民法和民事法庭看起来更适宜为个人信息权塑造轮廓，因为前者还受到罪刑法定原则的拘束”。倘若行为禁区不清晰明确，最讲究精确性的刑法如何给犯罪嫌疑人定罪量刑？因此，这种“构成要件不确定性的指控”不能成立。　　

第八，单纯设定行为禁区无法有效解决利益保护和损害救济的问题。有一种很流行的观点认为，对个人信息不必（明确）赋权，只需要在刑法、行政法或民法等部门法中规定哪些行为不可做，即可达到信息利益保护的目的，《民法总则》第111条（概括宣示保护个人信息+若干具体的禁止性行为的规定）这种立法模式就非常理想。然而，“个人信息受法律保护”只是笼统简便的说法，正如个人房屋受法律保护只是对法律保护房屋所有权的简便表述，其确切含义其实是：法律保护个人对其信息所享有的民事权利或利益。《民法总则》第111条的立法模式，至多只能算权宜之计。因为立法者、司法者以及其他一切法律理论和实务工作者始终要回应，信息侵害时信息主体的请求权基础问题；信息主体不能单纯依据刑法或行政法上的禁止性规定来寻求民法救济，因为这些禁止性规定产生的责任可能是刑事责任或行政责任，而非民事责任；即便是援引民法上的禁止性规定，也不足以证明特定信息主体的特定信息利益受到了损害。民事救济奉行填补原则，作为民事救济的前提，必须明确和厘清如下问题，即信息主体对于其个人信息究竟有何种民事权益，该权益法律定性如何，以何种方式受到了何种范围与程度的侵害/损害。德国法学家瓦格纳在评价《德国刑法典》第303a条（改变数据罪）时犀利地指出，“该条未规定任何的行为规范，而是保护个人的法益（Rechtsgut）。在这些由刑罚加固的行为义务‘背后’，必然存在一项法益，该法益只可能是主体对于自身数据的一项个人权利（Individualrecht），并独立于个人数据的经济价值、科学价值或理念价值”。我国的情形大体相似。《刑法》第253条之一（侵犯公民个人信息罪）与《信息刑案解释》从刑事法的角度对侵害个人信息的行为进行了规定，但“刑法的任务是为了保护法益，保护的方法是禁止和惩罚侵犯法益的犯罪行为”，因此，我们必须厘清关于信息犯罪的这些刑法条文所要保护的法益究竟是什么。从《刑法》第253条之一的体系位置可以看出，它位于《刑法》第四章“侵犯公民人身权利、民主权利罪”，很显然，该法益是一项私人法益，即个人权利。因此，个人对其数据享有一项私人法益，已被刑法所明文认可。举重以明轻，有资格成为刑法上私人法益的利益，理所当然也应该成为民法上的一项法益，由此，作为一项独立权利的个人信息权得以证成。另外，从保护目的的实现角度说，赋权是义务实现的基本手段，也是最有效的手段。梅迪库斯指出，“要使他人所负义务在私法上得到实现，最有效手段即赋予另一个人享有一项对应的权利”。因此，对个人信息赋权是保护个人信息的最有效手段。　　

第九，法律部门协调的要求。私权确认是其他部门法或单行法为信息提供保护的逻辑前提和基础，承认个人信息权将为未来《个人信息保护法》提供私法依据。另外，《信息刑案解释》已对个人信息提供了富有层次的周密保护（且体系位置是在刑法“第四章侵犯公民人身权利罪”之下），刑法保护力度已如此之强，民法上若连个人信息权都不予承认，则显然会造成民法与刑法对个人信息保护的极度乖离脱节。　　

第十，立法机关官员的立场。第十二届全国人大法律委员会副主任委员张鸣起就《民法总则》第五章“民事权利”阐释道：“在民事权利的种类上，增加了对一些新型权利（如自然人的人身自由权、自然人的隐私权以及对个人信息的保护）的列举”。可见，个人信息条款就是一种“新型权利”的规定；法条中未出现“个人信息权”并不能成为否定其为一项独立的具体人格权的依据，正如《民法总则》第109条虽仅提及“人身自由”，但不妨碍“人身自由权”被认可。自解释论角度出发，立法起草者的立场宣示对于辨明《民法总则》第111条所规定的个人信息的法律性质，具有重大参考价值。　

第十一，学界主流见解。对于个人信息权的定位虽有多种看法（人格权、财产权抑或双重属性权利），但多数学者认同其是一项独立的民事权利。“出于维护民事权利理论与制度体系完整性与一贯性的考虑，我国宜采用大陆法系国家的通行做法，在民法等部门法中设立独立的具体人格权（即个人信息权）实现对人格利益的保护。”“本条（即第111条）虽没有直接规定自然人享有个人信息权，但对自然人而言，本条既是其具有民事权利的宣示性规定，也是确权性规定”。　　

第十二，比较法发展趋势。德国于1977年制定了《联邦数据保护法》，并于2017年6月30日进行了最新一次修订，该法赋予并不断强化数据主体享有的各项具体权利。早在1997年，德国法学家梅迪库斯（Medicus）在其《德国民法总论》里就将“个人数据受保护权”编排在“特别人格权”（而非“一般人格权”）标题之下，并明确指出日益受强调的数据保护“也有发展成特别人格权的趋势”。而瓦格纳（Wagner）教授在其主笔的2017年《德国民法典慕尼黑评注》侵权法部分更是直接宣称，“个人数据权”（Recht an den eigenen Daten）本身应该成为一项独立的民事权利，即《德国民法典》第823条第1款意义上的“其他权利”，而不应继续委身于“一般人格权”之下。法国于1978年制定《信息、档案与自由法》（LIFL），并于2017年7月14日进行最新一次修订，该法同样赋予数据主体各项具体权利。欧盟GDPR创设了作为一项独立权利的数据保护权（right to the protection of personaldata），该权利制度体现了立法的统一性、概念的严谨性、理念的先进性和规则的完备性。相反，美国数据保护采条块分割式立法体例，并严重依赖于行业与企业自律，这种碎片式的结构根本无法保护公民个人信息。例如，美国知名信用机构Equifax于2017年9月8日证实，该公司遭到黑客袭击，1.43亿名用户（占美国人口一半）数据泄露，包括社保号码、信用卡信息等被窃，事件“令整个美国陷入恐慌”。民意调查显示，有高达61%的美国人赞成某种形式的“被遗忘权”（right to beforgotten），39%的人希望拥有欧洲式的被遗忘权，也有美国学者呼吁建立美国式的被遗忘权。欧洲独立的个人信息权立法模式显然更优，更易获得民众接受。　　

第十三，个人信息权中的人格利益远大于财产利益。一方面，某些个人信息的人格性是固有的，如身高、血型、基因等，而另一些是个人活动附随产生的必然产物，如物理轨迹、上网痕迹等，这些信息中的财产性只是伴生的副产品，居次要地位。另一方面，除公众人物外，个人信息对于信息主体的财产价值极小，通常为获得免费软件或服务，也会乐意无偿同意企业采集和处理；个人数据汇聚成数据库则价值巨大，大数据分析本身更是可以产生额外新价值。尽管如此，普通个体信息保护的首要关切还是隐私利益和人格尊严。　　

当然，聚沙成塔的效应不可忽略，数据已成为战略资源，故有学者力倡数据财产权。但数据财产权与个人信息权并不矛盾，二者主体、客体和内容均有不同，前者是企业对其合法的数据产品享有的一种财产性权利，数据产品是经过技术加工处理后的数据库和/或其分析结果（如各种数据画像），其中蕴含了有意识的劳动（类似于物权法上之加工），这与个人信息的固有性或伴生性特点迥异。个人信息权是数据财产权的前提和基础，信息主体始终对作为元数据的个人信息享有权利。准此而言，用户始终对其微信聊天内容享有个人信息权，腾讯公司无权阻止用户授权华为公司收集，当然用户是否真正知情同意相当可疑。另外，数据财产权独立于个人信息权，但企业对其数据产品的处分权应受信息主体最初许可范围的限制与特别法的规制。

三、个人信息权是权利体系抑或权能体系

个人信息权包含哪些具体内容？从比较法角度看，各国或各地区的规定有很多共性。例如，德国BDSG第二章第2节专门规定“数据主体的权利”，具体包括：第19条“获取答复权”（Auskunft）、第19a条“被通知权”（Benachrichtigung）、第20条“更正、删除、封锁及反对权”。法国《信息、档案与自由法》第五章第2节专门规定“数据主体对数据处理的个人权利”，具体包括：第38条“反对权”、第39条“查阅权”、第40条“更正、补充完整、更新、封锁（verrouillées）及删除权”。欧盟GDPR第三章规定了数据主体的各项权利，如知情权（第13条）、同意权（第14条）、访问权（第15条）、更正权（第16条）、删除权（第17条）、限制处理权（第18条）、可携带权（第20条）、反对权（第21条）。依我国台湾地区“个人资料法”第3条、第8条、第15条，信息主体享有如下权利：知情权、同意权、查询或请求阅览、请求制给复制本、请求补充或更正、请求停止搜集、处理或利用以及请求删除。　　

由上可知，不同国家或地区在个人信息权的具体内容设定上大同小异。有疑问的是，上述列举的各项具体的“权利内容”，如知情同意权、删除权（被遗忘权），其性质如何，究竟是权利，还是仅仅为权能，个人信息权与它们之间是什么样的关系？大体上，有以下两种模式可供选择。第一种是“概括权利——具体权利”模式，即“一个概括性的个人信息权+若干具体的权利”。可类比的典型范例，如著作权及其下辖的各项著作人身权和著作财产权。我国著作权法规定了13种著作财产权，如复制权、发行权、表演权等。第二种是“具体权利——权能”模式，即“作为具体人格权的个人信息权+具体权能”模式，可类比的典型范例，如所有权及其下辖的诸如占有、使用、收益、处分四种权能。　　

上述问题涉及权利和权能的区分。德国法学家拉伦茨对此有过清晰阐释，他在论述权利（Rechte）和权能（Befugnisse）的关系时指出，“我们不是把法律关系所包含的每一种实施某种行为的权能都作为‘权利’，而是把某种具有相对独立意义的权能称为权利……权能若没有权利中分离出来，还不能独立地被转让时，它们本身就还不能被作为‘权利’。”“所有权人有权占有、使用、消费其所有物，将之改变形状或毁灭，但他并不因此而用尽其权利……债权除请求给付的核心权能外，也包含诸如抵销、让与或出质等其他权能，后者也可以在个别情况下根本就不存在，而权利并不会因此而失去其特点”。　　

据此，我们可以将权利与权能的区分标准分解为以下两项。其一，独立转让性，若不能脱离母体而存在的，不能独立转让的，分离后对于新的主体（受让人）没有独立价值的，则多半不是权利；其二，若分离后母体权利的独立存在性，分离后母体权利仍能维持其基本架构，不失去其存在价值的，则分离者与母体权利之间很可能是“权利——权能”关系，相反，那种利益分离出去即掏空母体存在价值的，则二者不是权利权能关系。　　

按照这两项标准，我们可以判定，个人信息权中的知情同意权、更正权、删除权（被遗忘权）等是权能，而非权利。详细理由如下。　　

第一，从独立转让性来看。知情同意权、更正权、删除权本身并无独立价值，无法独立被转让，即使强行将它们作为权利而予以转让，则分离后它们也无法独立存在，它们对于受让人无独立价值，就此而言，它们不是权利。　　

第二，从分离后母体权利的独立存在性来看，信息主体可将信息使用收益权分离转让，或某些法定场合下（如基于国家安全而处理个人数据），信息主体没有同意权或者删除权，但均不影响个人信息权的存在。正如股东权可将收益权或表决权分离或转让，而不失其股东权法律地位一样。就此而言，个人信息权与知情同意权、删除权应属“权利——权能”关系。　　

第三，从利益的重要性来看，一项利益或权能是否能够上升为权利，归根到底要看这种利益的重要性。“当社会观念发生变化，人们对这种独立利益的重要性认识加深后，基于此种利益的特殊性及其与原有权利之间的不协调，将此种利益确认为一种独立的权利将是法律发展的一个必然规律”。例如，形成权和期待权“已从单纯的权能或‘法律地位’发展成为一种权利”。在我国，隐私权和承包经营权是另外两个典型的从权能/利益成功晋级为权利的范例。晋级失败的例子包括接吻权、悼念权、户外广告发布权等等，“户外广告发布权本质上是物权权能实现权利化的结果，是物权权能的衍生品”。知情同意权、更正权、删除权等等，要么是信息主体捍卫个人信息权的基本防御手段，要么是实现个人信息权的基本前提和方式，它们是个人信息权的固有内容和自然延伸，与个人信息权本身有着强烈的依附关系，本身并未成为一种有着独立自洽性的重要利益。　　

第四，个人数据权与著作权不可同日而语。即便是多数说主张个人信息自决权系一种框架权的德国法，也没有把知情同意删除等作为独立权利来看待。类似地，我国《著作权法》规定了14项著作财产权，通说也认为它们是各自独立的专有权利。而我国现行法在规定信息主体有关知情同意、更正、删除请求权时，均未明确使用“知情同意权”或“删除权”这样的表达。　　

第五，请求性的权能不影响权利权能模式的证成。有一种批评意见认为，数据可携带权（迁移权）、更正权、删除权等等，这些都是请求权，无一为支配权，因此，个人信息权不是绝对权，更正权、删除权也不是个人信息权的权能，它们的关系模式跟“所有权——占有使用收益处分”模式不同。本文认为，一项绝对权既包括积极权能，也包括消极权能，这是普遍现象，而消极权能大多数都是请求权，例如所有权人排除妨害请求权。“请求权系权利之表现，而非与权利同其内容也。就绝对权而言，在权利不受侵害时，其请求权则隐不显现，然则一旦遭遇侵害，则随时可以发动”。绝对权有二级请求权，根本原因是国家垄断了暴力，自力救济原则上被禁止；消极权能是防御性的、救济性的，所以更正权、删除权为二级请求权，不影响个人信息权为绝对权，也不影响“权利——权能模式”。另外，个人信息权的积极权能方面，如信息主体使用个人信息，同样存在类似于所有权人占有使用这种支配性的权能的。　　

第六，从我国学界主流见解来看，多数学者也均将知情同意权、删除权作为个人信息权的具体权能或者权利内容。在此问题上，我们必须在更大范围内廓清认识，准确地给包括被遗忘权等在内的这些“权利”定性，它们只是个人信息权的具体权能，没有资格独立作为一项民事权利。

四、以知情同意权为基础的积极权能

《民法总则》第111条仅列举若干禁止性信息侵害行为，但个人信息权具有积极和消极两方面权能。本文认为，个人信息权有如下五项积极权能：知情权、同意权、访问权、可携带权、利用收益权。　　

（一）知情权与同意权　　

知情同意权可分为知情权和同意权。知情权是指数据主体有权知道与其数据将被处理的一切相关资讯，包括数据控制人的身份、拟处理数据的范围、处理依据、处理目的、处理类型、处理持续期间、后果影响、是否向他人或境外传输以及主体享有的各种权利等等。相形之下，《网络安全法》第41条规定得略显简单：网络运营者应“明示收集、使用信息的目的、方式和范围”。　　

知情权是个人信息权其他一切权能的前提和基础，因此，即使数据控制者基于法定职权或公共利益而收集或处理用户数据，用户也有知情权，除非控制者能证明，告知将有损目的实现。欧盟GDPR第14.5条（b）款、我国台湾地区“个人资料法”第8条对此均有规定。值得一提的是，美国《存储通讯法》（SCA）第2703条之“无通知许可”、2705条“秘密搜查令”，允许政府不通知用户直接秘密获取用户邮件内容，引发民众反弹。　　

知情是同意的前提，同意是知情最重要的目的。同意的对象是一切形式的数据处理，包括数据收集、记录、组织、建构、存储、改编或改变、恢复、查阅、使用、泄露或传播、匹配或合并、限制、删除或破坏等。对知情同意架构提出质疑者认为，“知情同意”的个人信息保护架构已经过时且无益，因为其一，用户无法理解冗长艰涩的隐私声明，常越过它直接点击同意；其二，用户为使用产品或服务只能被迫同意；其三，用户往往对其信息被收集不知情，难以对第一方收集者行使权利，更遑论向第三方行使权利。　　

本文认为，传统知情同意架构的确存在一些问题，但对其在整体上持否定态度的“知情同意过时论”并不能成立。首先，知情同意原则是个人信息保护的首要基本原则，“其在原则体系中的作用，如同意思自治原则在民法中的作用”。它体现了信息主体的自由意志，是信息主体实现新型精神自由（信息自由）的基本路径。意思自治原则贯彻到信息处理和使用领域，必然要求遵循知情同意原则。　　

其次，知情同意权是个人信息权最基础的权能，若去除此项权能，则信息主体后续的访问权、可携带权、删除权等所有其他权能将失去依托，经由主体同意通过契约实现信息商业化利用更是无从谈起，个人信息权制度体系无从建立。　　

再次，“因为用户行权困难所以干脆抛弃知情同意架构”，这种奇怪的逻辑难以服人，正确的方向应是降低行权难度。“知情同意架构”在新的技术条件下遇到的现实困境可以通过技术手段和法律手段加以解决或缓解。①针对隐私声明冗长艰涩的问题，可要求信息收集者采取简明扼要的方式告知。欧盟GDPR第12.1条明确规定，数据控制者“应采取简明、透明、易于理解和获得的形式，使用清晰平实的语言（clearandplainlanguage）履行告知义务”。2017年12月14日，欧盟数据保护工作组发布关于“透明度”和“同意”的指南草案，其中要求“用语清晰”（clearlanguage），并列举不当范例——“我们可以出于提供个性化服务的目的使用您的个人数据”，因为并未明确个性化服务的内容。②针对用户被迫同意的问题，法律应明确真实知情同意的规则，禁止欺诈或强迫，否则视为未获取同意（GDPR第7.4条）。③针对用户对其信息收集不知情难以行权，法律可确立证明责任倒置（GDPR第5.2条）、复数数据控制者连带责任等规则（GDPR第26条、第82.4条）来缓解。　　

此外，用户常常越过隐私声明直接点击同意，除了因为隐私声明艰涩冗长外，还因为在法律威慑和媒体监督之下，点击同意隐私声明通常不会带来严重后果。因为隐私声明均为普遍适用的格式条款，这会带来两项后果：①权利义务显著失衡的格式条款会触发《合同法》第40条而无效；②用户基数庞大与媒体监控，会令任何显著不当攫取用户隐私信息并骗取或强取用户同意的行为都不可能长久，最典型如支付宝“花呗”隐私条款与新浪微博隐私条款事件，均是在极具偏颇性的隐私条款出台后短短几天内引发汹汹争议，最终被迫修改删除。因此，用户直接点击同意的风险弊端并非不可测、不可控。不能因为用户常常越过隐私声明直接点击同意，就主张知情同意架构无意义，就如同不能因为用户面对生活中大量的格式合同也无力修改条款，就主张干脆抛弃用户同意直接令合同成立生效一样。　　

最后，知情同意原则迄今为止仍是普世性的规范，其地位非但没有削弱，反而有加强之势。知情同意原则源自美国的公平信息行为原则，目前仍是美国多项信息单行法的实证法规范，欧盟GDPR则是典型的强化知情同意架构的立法例。我国有先后多部现行法明确规定了知情同意规则，例如《关于加强网络信息保护的决定》（2012）第2条、《征信业管理条例》（2013）第13条、《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（2014）（以下简称《信息侵权解释》）第12条以及《网络安全法》（2017）41条。《民法总则》第111条虽未提及“同意”，但规定个人信息“应当依法取得”，从解释论出发，“依法”只能是“取得信息主体的同意”或“有其他法定理由”。　　

不仅我国立法对知情同意的态度一以贯之，而且，行政执法部门也在强化其执行落实。政府部门最近对微信、支付宝等十款软件的隐私条款进行专项审查，目前多家企业均改进了各自的知情同意条款，信息主体知情同意权得以强化。可见，尽管知情同意架构因新技术或人为因素而遭遇一些障碍，但仍是目前不可替代的最优选择，而且，只要意思自治这项民法原则存在，知情同意架构就不会消失。这也是目前各国立法和行政部门强化知情同意架构的根本原因。　　

（二）访问权与数据迁移权（可携带权）　　

与知情权密切相关的是访问权（right to access），它是指数据主体有权访问其个人数据，了解数据处理目的、所涉数据类型、数据接收者身份及其类型、存储期、数据画像的逻辑设定、意义及其后续影响等，并有权获得相关副本（欧盟GDPR第15条）。访问权是对知情权的深化和扩张，知情权是数据控制者负担数据收集前的主动告知义务，而访问权是数据主体主动提出数据浏览复制要求的积极权能，贯穿于整个数据处理过程中。　　

基于知情同意权还衍生出可携带权（right to data portability），它是指数据主体有权接收其先前提供给数据控制者的个人数据，也有权将数据迁移至其他数据控制者。它是欧盟GDPR新创权利（第20条），其原型是法国《消费者法典》第L.224-42-1条规定的“消费者数据回收权”（droit de récupération）。可携带权的意义在于：其一，强化主体对其数据的支配。数据主体基于访问权只能取得无检索功能的数据副本，而基于可携带权，数据主体能以电子形式获取可供机读的、结构化的数据；其二，有助于塑造更加公平透明的数据处理市场。可携带权行使可降低互联网服务公司的进入门槛，促进市场良性竞争。其三，增强个人信息保护力度。客户有更多选择权，从而在客观上有利于数据控制企业提高信息保护力度。　　

不过，可携带权的行使应注意三点：其一，它只适用于信息收集系基于数据主体同意的场合。其二，可携带权仅针对数据主体提供的原始数据，不包括加工后的数据，加工产生的价值属于数据加工者。因此，对于传统征信机构而言，因信用信息采集不依赖于主体同意，信贷数据、公共数据并非客户提供，因此可携带权对征信业影响不大。其三，可携带权的行使不得有损他人商业秘密、知识产权等，但“潜在的商业风险本身不能成为拒绝可携带权的理由，数据控制者可采取某种变通形式来转移数据”。　　

（三）利用收益权　　

从知情同意权出发还衍生出另一项重要的积极权能，即利用收益权。个人信息的财产性价值可分为使用价值和交换价值。信息主体可以自己使用（如获得某种服务），也可同意他人使用；可以同意他人免费使用，也可通过收费同意他人有偿使用。同意不仅是违法阻却事由，同时也是一种法律行为，权利人借此赋予他人商业化利用其人格要素。例如，美国法允许人类基因数据的有偿许可，数据研究者在数据主体知情的基础下，通过支付报酬获取主体同意，从而展开研究。从这个角度说，也无需将个人信息权设定为财产权，只需通过知情同意设计即可构建个人数据的财产变现机制。另外，应予澄清的是，本文语境下的人格要素商业化利用，只是意味着信息主体许可他人使用其个人信息，不等于人格或人格权的让与或商业化。个人信息之所以可以利用收益，本质上在于个人信息这种人格要素具有二元利益属性——兼具人格利益和财产利益，其中财产性要素可以许可给他人使用和收益。

五、以删除权为代表的消极权能

个人信息权的消极权能表征信息主体排除侵害的可能性，仅在个人信息的完整性、准确性、私密性遭破坏时才体现出来。它包括更正权、限制权、反对权以及删除权（被遗忘权）。　　

信息更正权是指信息主体有权要求信息控制者及时更正其不正确、不准确或不完整的信息。欧盟GDPR第16条、《网络安全法》第43条均有规定。据本文统计，迄今信息主体以征信错误为由要求更正的案件数占信息侵害判决书总数（602例）的比例为12.13%，单一案由有此比例，发案数并不算少。2018年1月，统合中国众多民营征信公司的“信联”获得央行首张个人征信牌照，它将成为一个信息共享的全国性征信平台，构建一个国家级基础信用信息数据库，并为每个中国人的金融信用画像。随着数据画像愈发普遍，更正权也愈发重要。因为数据画像会分析不同场景下多个分离的数据，却没有额外信息解释它们之间的关系，很容易导致数据画像扭曲和失实。美国最大的数据经纪商承认，“高达30%的数据画像可能是错误的”，交叉场景的错误数据画像可能会给消费者带来各种歧视。美国数据经纪商Spokeo曾被美国联邦交易委员会（FTC）依《公平信用报告法》罚款80万美元，因其所制数据画像被很多雇主用作招聘审查工具，但其没有确保数据准确。　　

针对不当的信息处理，数据主体还享有限制或反对处理权，即信息主体在特定条件下有权要求数据控制人暂时或永久停止数据处理。限制权适用于：数据错误或保护不足，或数据系非法处理但不宜删除。反对处理权适用于：数据主体撤回同意或处理超范围，或数据处理所依据的正当事由不成立（欧盟GDPR第18.1条、第21.1条以及德国BDSG第20条）。　　

在个人信息权的消极权能中，效力最强、最引人瞩目的是删除权和被遗忘权。删除权（righttoerasure）是指在特定条件下，信息主体有权要求信息控制者及时删除其个人信息，特定条件包括：主体撤回同意或有充足理由反对处理、信息收集目的已实现或无法实现、信息被非法处理、控制者履行法定义务所必需等。删除权早在欧共体1995年《个人数据保护指令》（EC95/46）中即已存在，现被欧盟GDPR第17.1条所继受。　　

与删除权相近的被遗忘权，是指数据主体对于网络上误导性的、令人难堪的、不相关的或过时的个人数据，有权要求数据控制者予以断链或删除。被遗忘权的智识起源可追溯至法国法关于刑满释放罪犯重新社会化的忘却权，后来演变成普通个体的被遗忘权，它在欧盟被正式承认始自“西班牙谷歌案”。西班牙人Gonzalez要求谷歌公司删除其财产曾因欠债被拍卖之报道的网络链接，理由是该信息已经过时且不相关，欧洲法院以谷歌是数据控制者为由支持原告诉求。　　

被遗忘权判决甫一面世，即引爆欧美舆论。一方面，欧陆国家认为这是人权保护历史上的里程碑事件，谷歌被迫雇用大量员工来应对欧洲用户要求断链的投诉；另一方面，英、美、加拿大等普通法国家学者对被遗忘权大加批判。美国学者大声疾呼，“不应让欧洲的被遗忘权强迫世界遗忘！”被遗忘权俨然成为欧美在个人信息保护上最大的分歧所在。　　

究其原因，不外乎以下几方面：第一，对搜索引擎定位不同。欧陆将其定位为数据控制者，因为其有检索、收录、筛选、编排、公开等各类操作，而美国《文明通讯法》（CDA）规定搜索引擎不因其指向内容而承担责任。第二，两种隐私观，隐私权属于欧洲公民的基本权，一般优先于表达自由，而言论自由在美国具有更高地位（《宪法》第一修正案）；对于隐私，前者属于过度保护，后者则保护不足。第三，历史文化传统迥异，在欧洲，隐私与个人荣誉保护深深联结在一起，而美国隐私法则缺乏此等特质。第四，现代法制背景不同，法国和意大利都存在忘却权，德国法也允许前杀人犯的匿名要求，西班牙则被形容为一个习惯于忘记在佛朗哥时代（大规模）犯罪的国家，而美国并无这样的现代背景。第五，经济利益纠葛，网络巨头谷歌、苹果、亚马逊均系美国企业，美国国会在《文明通讯法》第230条公开宣称，网络“由于这个最小的政府管制……而得以繁荣”；而欧洲不止一次指控称，美国企业大肆收集欧盟个人数据，之后再将其出售以牟取暴利。第六，政治和安全忧虑，大量欧盟个人数据跨境流入美国会影响欧洲安全。2015年10月6日，欧洲法院借一则个案，以未能充分保证欧洲公民数据隐私为由，废除运行15年的《安全港协议》（SafeHarbor），正缘于此。　　

不过，由于被遗忘权会导致“强制沉默”和言论审查，加之欧盟自身对全球性断链权（de-listing）——这会导致一国国内法在他国适用此种违背国家主权原则的情形——缺乏合意，因此，欧盟GDPR第17条最终使用的标题是“删除权（被遗忘权）”，明显采折中妥协模式。该条的具体结构是：先由第17.1条重申删除权，接着第17.2条规定，若控制者将数据传播给他人，则须采取一切合理手段通知后者删除链接和备份；最后第17.3条规定多种不适用删除权的例外情形。从文义看，其适用范围大于传统删除权，小于被遗忘权。

《侵权责任法》第36条、《网络安全法》第43条对删除权均有所规定，不过其内容较为初级，不够全面。至于被遗忘权，现行法则没有任何规定。对此，有学者主张建立欧盟式的被遗忘权，即允许信息主体请求将“不恰当的、过时的、会导致信息主体社会评价降低的信息”删除。“被遗忘权将人们从对过去的恐惧中解放出来，反而会强化言论自由”。不过，也有学者认为，被遗忘权乃至删除权其实没必要规定，因为它们在技术上不具有可操作性，个人信息一经网络流传根本无法彻底删除，规定全面的删除权或者被遗忘权还可能使我国企业失去国际市场竞争力，因而我国应建立有限删除权制度。

本文认为，第一，删除权对于保障信息主体的隐私利益具有重要意义。虽然从技术上看，完全删除网络上存在的信息十分困难，但事实上，对于防止信息扩散而言，删除网络链接比删除原作内容页面要有效率得多，因此，删除权的存在还是具有无可替代的重要性。

第二，被遗忘权迫使互联网企业（尤其是搜索引擎）不得不对他人言论予以审查，的确有压制言论自由的风险，而且不可否认的是，删除各类网络文档记录执行成本过高，对企业来说负担过重，不利于互联网企业的长久发展。因此，全面的被遗忘权制度无论是正当性还是可行性都是有疑问的。

第三，现行法上的删除权规定的确存在适用范围过窄的问题，现行法规定，负有删除义务的仅限于“网络服务提供者或运营者”，但实际上，一切数据控制者或处理者都负有这样的义务；另外，现行法规定，应被删除的信息仅限于“实施侵权行为的信息”或“违法或违约收集、使用的信息”，但实际上，还应包括对于最初收集目的而言已属于不必要的信息、撤回同意或原来法定依据现已丧失的信息，以及信息主体有正当理由拒绝他人处理的信息。

第四，当信息主体通过撤回同意而行使删除权时，数据控制者应该从服务器上删除包括元数据在内的一切个人数据；当然，在有偿许可他人收集使用信息场合下，删除权人应对企业所受损失承担赔偿责任。

六、结论

《民法总则》首次规定个人信息受法律保护，诚属立法因应时代发展而有的巨大进步，但由于语焉不详，也引发对个人信息赋权的激烈争议。经由上文分析，可得出如下结论。　　

第一，个人信息有多种分类，最重要的是敏感信息和一般信息之分。敏感信息与一般信息的差异因数据画像技术而缩小，但仍是法律上最重要的分类，关于权利行使和权利保护的相关法律规则有重大不同。　　

第二，个人信息属于人格要素，可成为人格权的客体。信息主体对其个人信息拥有信息自由和信息利益，这种新型利益具备归属性、排他性或法律明定的公示性，并具有足够的重要性，从而应当上升为一种权利。个人信息权具有清晰的边界，可以为他人行为划定禁区。　　

第三，个人信息权的义务人是不特定第三人，故而它属于绝对权，但作为一种具体人格权，它不同于支配权，个人信息也不是物，承认个人信息权不等于个人对其信息拥有绝对支配、排除他人合理使用的绝对自由，不会造成信息流通停滞。　　

第四，个人信息权属具体人格权，兼含财产利益。数据财产权是合法处理他人个人信息后对加工后的数据库享有的一种新型财产权。个人信息权是数据财产权的前提和基础。　　

第五，知情同意权、删除权等是个人信息权的具体权能，而不是独立的民事权利，它们本身并没有分离或单独转让的价值。以知情同意权为基础，个人信息权衍生出访问权、可携带权和收益权等积极权能。同时具有更正权、限制或反对处理权以及删除权（被遗忘权）等消极权能。我国不应建立欧盟式的被遗忘权制度，而应建立完整的删除权制度。　　

由上可知，《民法总则》第111条现有的规定过于概括，不够准确和全面。在未来的我国民法典中，应明确个人信息权的具体人格权法律地位，同时规定敏感信息特殊的权利行使和保护规则，另外还要完善个人信息权的各项积极和消极权能，尤其是强化知情同意权和删除权规则。　　

唯有如此，方能更好地适应信息时代的要求，更加有效地保护民众信息利益。