注释:

[1]代表性的论述，参见罗昆：《个人信息权的私权属性与民法保护模式》，《广西大学学报（哲学社会科学版）》2015年第3期，第88页以下。

[2]代表性的论述，参见刘德良：《个人信息的财产权保护》，《法学研究》2007年第3期，第80页以下。

[3]代表性的论述，参见蒋怡：《论个人信息权在民法中确立的必要性》，《昆明大学学报》2008年第4期，第5页以下；李伟民：《“个人信息权”性质之辨与立法模式研究——以互联网新型权利为视角》，《上海师范大学学报（哲学社会科学版）》2018年第3期，第66页以下。

[4]本文所称的“隐私”或“隐私权益”并不等同于民法上的“隐私权”，本文使用的“隐私”或“隐私权益”是一个大隐私的概念。当下，“隐私”或“隐私权益”已成为全球互联网与信息技术领域的通用术语。包括中国在内的各个国家的网站和手机APP，在阐述其个人信息保护政策时，使用的都是“隐私”或“隐私政策”，而非“个人信息政策”这样的表述。

[5]代表性的论述，参见严鸿雁：《论个人信息权益的民事权利性质与立法路径——兼评〈个人信息保护法〉（专家建议稿）的不足》，《情报理论与实践》2013年第4期，第43页以下；张里安、韩旭至：《大数据时代下个人信息权的私法属性》，《法学论坛》2016第3期，第119页以下；王晓芬：《个人信息的法律属性及私法保护模式探究》，《河南财经政法大学学报》2016年第5期，第64页以下。

[6]See Samuel D.Warren & Louis D.Brandeis, The Right to Privacy,4 Harv.L.Rev.193(1890).

[7]See William L.Prosser, Privacy,48 Calif.L.Rev.383(1960).

[8]代表性的论述，参见方新军：《一项权利如何成为可能？——以隐私权的演进为中心》，《法学评论》2017年第6期，第111页；前引[5]，张里安等文，第123页。

[9]代表性的论述，参见杨惟钦：《价值维度中的个人信息权属模式考察——以利益属性分析切入》，《法学评论》2016年第4期，第68页以下。作者指出，随着美国“社会的发展和学说的跟进，在私法领域内隐私权被赋予了更加丰富的内涵，扩充为信息隐私权、空间隐私和自我决定的隐私”；60、70年代后，“美国的隐私权体系从防御性的权利向进取性的权利发展，强调主体对自身信息的支配、控制与决定”。

[10]Alan Westin, Privacy and Freedom, New York: Atheneum,1967, p.7.

[11]代表性的论述，参见前引[5]，张里安等文，第122页以下；齐爱民：《拯救信息社会中的人格》，北京大学出版社2009年版，第77页；彭礼堂、饶传平：《网络隐私权的属性：从传统人格权到资讯自决权》，《法学评论》2006年第1期，第57页以下。

[12]代表性的论述，参见郭瑜：《个人数据保护法研究》，北京大学出版社2012年版，第43页以下；洪海林：《个人信息的民法保护研究》，西南政法大学2007年博士论文，第162页；杨咏婕：《个人信息的私法保护研究》，吉林大学2013年博士论文，第415页以下。

[13]代表性的论述，参见王鲁东：《个人信息权法律保护探析》，《中共青岛市委党校（青岛行政学院学报）》2008年第10期，第93页以下；凌学东、鞠晔：《网络消费者个人信息综合保护机制研究》，《兰州学刊》2016年第8期，第157页以下。

[14]《最高人民法院关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见（试行）》（1988年通过，已于2008年12月14日部分废止）第140条规定：“以书面、口头等形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉权的行为。以书面、口头等形式诋毁、诽谤法人名誉，给法人造成损害的，应当认定为侵害法人名誉权的行为。”

[15]代表性的论述，参见常健：《论人格权法（编）中的个人信息权的制度完善——评〈中华人民共和国民法人格权编（草案）·民法室室内稿〉相关规定》，《四川大学学报（哲学社会科学版）》2018年第3期，第32页以下。

[16]See Arthur R.Miller, The Assault on Privacy: Computers, Data Banks, and Dossiers, Ann Arbor, MI: University of Michigan Press,1971.

[17]http://www.privacilla.org/government/hewreport.html，2018年11月3日最后访问。

[18]在此之前，美国国会已经通过了公平信用报告法（1970）。该法规定，消费者保护机构评定信用以获取贷款和保险，必须遵循某些信息保护的规则，尽管这一法案尚未提出个人可识别信息的概念。

[19]20 U.S.C.§1232g (2006).

[20]5 U.S.C.§552a (2006).

[21]See Allyson W.Haynes, Online Privacy Policies: Contracting Away Control over Personal Information?,111 Penn St.L.Rev.587,593(2007).

[22]See Michael D.Scott, The FTC, the Unfairness Doctrine, and Data Security Breach Litigation: Has the Commission Gone Too Far?,60 Admin.L.Rev.127,130-31(2008).

[23]前引[10]，Westin文。

[24]威斯丁在著作中提及沃伦与布兰代斯《隐私权》之处，参见前引[10]，Westin文，第346页，第348-349页，第355页。

[25]在这个意义上，可以说威斯丁对于隐私的界定标志着现代隐私法的诞生。威斯丁去世时，《纽约时报》撰文悼念，认为威斯丁“几乎以一人之力创立了隐私法”。See Margalit Fox, Alan F.Westin, Who Transformed Privacy Debate Before the Web Era, Dies at 83, N.Y.Times, Feb.23,2013, at D7.

[26]对于此案的介绍，参见[德]迪特尔·梅迪库斯：《德国民法总论》，邵建东译，法律出版社2013年版，第805页以下。

[27]在德国法律理论上，这被称为“第三人效力理论”。对此理论的深入分析，参见陈新民：《宪法基本权利及对第三者效力之理论》，载陈新民：《德国公法学基础理论》上册，法律出版社2010年版，第349页以下。

[28]Federal Constitutional Court, BGHZ 26,349, quoted from Paul M.Schwartz and Karl-Nikolaus Peifer, Prosser’s Privacy and the German Right of Personality: Are Four Privacy Torts Better than One Unitary Concept?,98 Cal.L.Rev.1925(2010).

[29]Federal Constitutional Court, BVerfGE 34,269,281, quoted from Id.

[30]前引[11]，彭礼堂等文，第57页。

[31]同上文，第58页。

[32]杨芳：《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》，《比较法研究》2015年第6期，第26页。

[33]See J.Lee Riccardi, The German Federal Data Protection Act of 1977: Protecting the Right to Privacy?,6 B.C.Int’l & Comp.L.Rev.243,248(1983).

[34]See Colin J.Bennett & Charles D.Raab, The Governance of Privacy: Policy Instruments in a Global Perspective, Cambridge, MA: MIT Press,2006, p.127.

[35]Council of Europe, Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Jan.28,1981, E.T.S.108, available at http://conventions.coe.int/'IYeaty/en/Treaties/Html/10，2018年11月3日最后访问。

[36]《一般数据保护条例》的多项条款都表明了这一点，例如第2条第2段c项规定，“自然人在纯粹个人或家庭活动中所进行的个人数据处理”不适用《一般数据保护条例》。

[37]Case C-139/01 ?sterreichischer Rundfunk and Others [2003] ECR I-4989.

[38]Case C-275/06 Promusicae [2008] ECR I-271.

[39]Case C-73/07 Tietosuojavaltuutettu v.Satakunnan Markkinap?rssi OY, Satamedia [2008] ECR I-09831.

[40]Case C-28/08 European Commission v.Bavarian Lager [2010] ECR I-6055.

[41]See Diane L.Zimmerman, Requiem for a Heavyweight: A Farewell to Warren and Brandeis’s Privacy Tort,68 Cornell L.Rev.291,362(1983).

[42]See James Q.Whitman, The Two Western Cultures of Privacy: Dignity Versus Liberty,113 Yale L.J.1151,1204(2004).

[43]Lawrence M.Friedman, Name Robbers: Privacy, Blackmail, and Assorted Matters in Legal History,30 Hofstra L.Rev.1093,1125(2002).

[44]See Daniel J.Solove, The Digital Person: Technology and Privacy in the Information Age, New York: New York University Press,2006, pp.47-55.

[45]有关美国侵权法路径在保护隐私权益方面的不足，参见Vera Bergelson, It’s Personal but Is It Mine? Toward Property Rights in Personal Information,37 U.C.Davis L.Rev.379,406-408(2003)。

[46]对于这种流言、信息流通与科技发展的分析，参见Daniel J.Solove, The Future of Reputation: Gossip, Rumor, and Privacy in the Internet, New Haven, CT: Yale University Press,2007。

[47]参见前引[32]，杨芳文，第30页。

[48]就这一点而言，2017年通过的民法总则是具有智慧的。第110条中明确规定了自然人的隐私权，而对于个人信息，则仅仅是在第111条中写入了“自然人的个人信息受法律保护”，并未将此明确定义为一种可以对抗不特定第三人的个人信息自决权。未来对于民法总则的解释有必要继承这一智慧，避免以泛化的私法权利思维来解释第111条。参见王利明主编：《中华人民共和国民法总则详解》，中国法制出版社2017年版，第465页。

[49]对于个人信息财产权的主张者而言，这一结论看上去是违反逻辑和直觉的。在他们看来，从侵权责任转换到财产责任，实际上赋予了当事人以更多“自决权”或谈判的权利，从逻辑上讲，应当可以更好地保护隐私权益。然而，个人信息财产权主张者的乐观预期要想实现，必须满足一个前提条件：个人对于隐私的自我管理能够有效的进行。See Lawrence Lessig, Privacy as Property,69 Social Research 247(2002).

[50]Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press,2009, p.105.

[51]有的学者甚至认为，格式化的隐私条款或隐私公告对于个人来说几乎都是“形同虚设”。See George R.Milne & Mary J.Culnan, Strategies for Reducing Online Privacy Risks: Why Consumers Read (or Don’t Read) Online Privacy Notices,18 J.Interactive Marketing 15,20-21(2004).

[52]See Omri Ben-Shahar & Carl E.Schneider, The Failure of Mandated Disclosure,159 U.Pa.L.Rev.647,671(2011).

[53]See Richard H.Thaler & Cass R.Sunstein, Nudge: Improving Decisions About Health, Wealth, and Happiness, New Haven, CT: Yale University Press,2008, p.9.

[54]See Alessandro Acquisti & Jens Grossklags, What Can Behavioral Economics Teach Us About Privacy? in Digital Privacy: Theory, Technologies and Practices, Acquisti, De Capitani di Vimercati, Gritzalis, Lambrinoudakis (eds.), Auerbach Publications,2007, p.363.

[55]See Bianca Bosker, Facebook Privacy Policy Explained: It’s Longer than the Constitution, Huffington Post, Apr.8,2014.

[56]See Lorrie Faith Cranor, Necessary But Not Sufficient: Standardized Mechanisms for Privacy Notice and Choice,10 J.Telecomm.& High Tech.L.273,274(2012).

[57]学者对于改善隐私政策的建议很多，有学者主张必须将企业的隐私政策和企业商标进行捆绑，也有学者主张应当要求企业的隐私政策变得极具警示性，采取类似香烟广告上的警示。See Paul Ohm, Branding Privacy,97 Minn.L.Rev.907(2013); M.Ryan Calo, Against Notice Skepticism in Privacy (and Elsewhere),87 Notre Dame L.Rev.1027,1050-55(2012).

[58]《一般数据保护条例》（679号条例），第7条第2段。

[59]当然，在大数据时代，这一预期或目标能否实现以及在何种程度上实现，是一个复杂的问题。有学者认为，这一预期或目标无法实现，因为在大数据时代，通过各种信息的交叉比对，辨识个人信息已经非常容易，即使通过各种匿名化的技术处理数据，也不足以防止人们通过相关信息识别个人。有学者区分了已识别的个人信息和可识别的个人信息，认为应当将前者视为信息隐私法保护的首要对象，而对后者则应采取不同级别的保护。两种观点分别参见Paul Ohm, Broken Promises of Privacy,57 UCLA L.Rev.1701(2010); Paul M.Schwartz & Daniel J.Solove, The PII Problem, Privacy and a New Concept of Personally Identifiable Information,86 N.Y.U.L.Rev.1814(2011)。

[60]对比美国和德国，会发现美国对于“场景”要更为尊重，美国的《消费者隐私权利法案》直接将“尊重场景”视为核心原则。必须注意的是，尽管欧洲《一般数据保护条例》总体上采取了一种强化数据主体控制的进路，其条文也体现了场景化期待的思路。例如，《一般数据保护条例》第6条第4段规定，当数据主体没有明确表示同意，判断数据处理是否合法，应当考虑“个人数据收集时的目的与计划进一步处理的目的之间的所有关联性”，“个人数据收集时的场景，特别是数据主体与控制者之间的关系”。对于美欧在此问题上的区别，可参见范为：《大数据时代个人信息保护的路径重构》，《环球法律评论》2016年第5期，第95页以下。

[61]See Robert C.Post, The Social Foundations of Privacy: Community and the Self in the Common Law Tort,77 Cal.L.Rev.957-998(1989).

[62]参见前引[50]，Nissenbaum文，第67页以下。

[63]See Ari Ezra Waldman, Privacy as Trust: Sharing Personal Information in a Networked World,69 U.Miami L.Rev.559(2015).

[64]参见前引[41]，Zimmerman文。

[65]正如有的学者所言，分析隐私必须将隐私放在“信息共享的场景下，用社会学的人际信任的原则，而不是基于权利教义的自主和选择框架”。参见前引[63]，Waldman文，第560页以下。国内研究中类似的观点，参见高富平：《个人信息保护：从个人控制到社会控制》，《法学研究》2018年第3期，第84页以下。

[66]类似的立场，参见周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，《法学研究》2018年第2期，第3页以下。在域外的个人信息保护中，这一思路也得到了体现。例如，欧洲《一般数据保护条例》第32条规定了与风险相称的技术与组织措施：“在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的场景与目的之后，以及处理给自然人权利与自由带来的伤害可能性与严重性之后，控制者和处理者应当采取包括但不限于如下的适当技术与组织措施，以便保证和风险相称的安全水平。”第35条规定了风险评估：“当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时，在考虑了处理的性质、范围、场景与目的后，控制者应当在处理之前评估计划的处理进程对个人数据保护的影响。”