许可 | 权利树：个人信息权益的理论重述 | 甘肃社会科学202402

法人财产所有权 法人财产权 营利法人 公司法 民法典

【作者】许可（法学博士，对外经济贸易大学法学院副教授）

【来源】北大法宝法学期刊库《甘肃社会科学》2024年第2期（文末附本期期刊法学要目）。因篇幅较长，已略去原文注释。

内容提要：近年来，“个人信息权益”相关学说迭出，但在“个人信息权利还是权益”“个人信息权益是公法权利抑或私法权利”以及“个人信息权益如何构造”等问题上分歧重重。面对争议，无论是归纳路径的“实质主义权利建构”，还是演绎路径的“形式主义权利建构”，均难以达成普遍共识，类比路径的“法律隐喻权利建构”则为我国个人信息权益体系开辟了新的方向。在各种权利隐喻中，权利树模型以“根系、主干、主枝、侧枝、树叶”为形，以“自相似性”为理，融个人因素和社会因素、一般规则和特殊规则为一炉，描摹出基于《个人信息保护法》的“个人信息权利树”。其中，个人信息权利树的“根系”为不可见的宪法性权利；“主干”是个人信息知情权、决定权；“主枝”分为“面向私主体的个人信息权益”和“面向国家机关的个人信息权益”；“侧枝”包括分层的个人信息权利群；“树叶”则是依附于个人信息并与人身、财产相关的法益。“个人信息权利树”不但妥善弥合了既有学理分歧，而且为个人信息权益的未来成长奠定了理论之基。

关键词：个人信息权益；法律隐喻；权利树；权利束；知情权；决定权

目次 一、个人信息权益的理论争点 二、权利树模型：个人信息权益的法律隐喻 三、个人信息权益的“权利树”建构 四、结语

我国《个人信息保护法》生效已过两年，其间司法案例渐次累积，行政执法不断深入，法律规范日益细化，但对于“何为个人信息权益”这一基础性理论问题，学界依然聚讼纷纭。“个人信息权益”上合《个人信息保护法》的立法主旨，下连个人信息处理者的合规体系，横跨公法与私法的交叉适用，居于我国个人信息保护制度的中枢位置。有鉴于此，本文尝试着从个人信息权益的现有争论出发，在实质主义和形式主义的权利路径外，引入“法律隐喻”的权利建构方法，进而以《个人信息保护法》为基，勾勒出个人信息权益的“权利树”模型，以期在宏观和微观两个层面化解各方分歧，并为我国个人信息权益法律体系开辟新的方向。

一

个人信息权益的理论争点

梳理既有学说，个人信息权益的论争围绕着权益定位、权利属性和权利构造，聚焦于“权利抑或权益”“公权利抑或私权利”“个人信息权利如何构造”三大问题，层层深入地铺陈展开。

（一）“个人信息权利”与“个人信息权益”之争

这一争论肇始于《民法总则》第111条“自然人的个人信息受法律保护”的表述。该条位于第五章“民事权利”之下，置于第109条“人身自由、人格尊严”一般人格权和第110条“生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等”具体人格权之后，由此衍生出两条解释路径：一是个人信息权利属于与其他具体人格权并列的新型人格权，二是个人信息权益并不是特定的具体人格权，但因其与人格权密切相关而得以列入。《民法典》延续了“个人信息权利”与“个人信息权益”的暧昧立场。一方面，《民法典》将上述第111条全盘接受；另一方面，全国人大法工委《民法典室内稿各分编草案》（征求意见稿）将人格权编第6章命名为“隐私权和个人信息权”，但最终稿却改为“隐私权和个人信息保护”，体现出立法者的艰难选择。2021年《个人信息保护法》的出台不仅并未澄清这一问题，还出现了看似矛盾的表达：全国人大法工委在关于《中华人民共和国个人信息保护法（草案）》说明中指出：“在编纂民法典中，将个人信息受法律保护作为一项重要民事权利作出规定”，同时要求“把握权益保护的立法定位，与民法典等有关法律规定相衔接”。这导致了“权益”和“权利”两种表述在《个人信息保护法》中并存，其第一条开宗明义地表明“保护个人信息权益，规范个人信息处理活动”的立场，第四章“个人在个人信息处理活动中的权利”则对个人享有的诸多权利逐条列举。

立法的含混使学界形成了相互颉颃的观点。主张个人信息权利的学者多从比较法、权利特征、制度功能上加以论证。质言之，全球100多部个人信息保护法多采权利模式。个人信息归属于特定主体，信息主体对其信息的控制不但具有私人利益，还具有社会公开性，得以排除他人非法干涉，符合权利特征。从功能上看，个人信息权利化为个人提供了确定的权利基础，遏制科技和商业的非理性繁荣，并能充分利用信息，实现信息之所以为信息的本质诉求。相反，主张个人信息权益的学者亦从类似的角度展开反驳。首先，尽管信息能够用来标识特定个体，但这并不代表该信息就归属个人，因为个人信息流动是人与社会建立联系的必然结果，个人无法控制具有公共性的个人信息。其次，个人信息的范围模糊性使得个人信息权益未能达到权利客体的明确性要求，无法为第三人划定行为禁区，缺乏典型的权利外观。其保护在法律上有较强限定性，即限于个人信息处理活动的特定情形和特定处理者。故此，个人对个人信息的自主利益只是一种防御性利益，尚未达到形成一项权利的程度。最后，在数字经济背景下，个人信息的“私有化”与信息自由相冲突，有失法律正当性，甚至悖离了人类社会进步发展的制度方向。

（二）个人信息“公权利”和“私权利”之争

在肯认权利属性的前提下，学界对个人信息权利的公私定性产生了分歧。这一争论在双重层面展开：（1）个人信息权利是否为宪法权利？（2）更一般地，个人信息权益是否公法权利？

个人信息宪法权利的主张立基于《个人信息保护法》第1条“根据宪法，制定本法”的宣示性。据立法者的解释，个人信息保护的核心是保障人格尊严这一基本权利，并进一步延伸到我国《宪法》第33条“国家尊重和保障人权”、第40条“通信自由和通信秘密受法律的保护”。在解释路径上，有学者主张直接依据上述人权条款，把个人信息权定为人权，以论证基本权利属性。随着第四代人权——“数字人权”的提出，人们开始借鉴《欧盟基本权利宪章》第8条“每个人都有个人数据受保护的权利”，将个人对其信息的知情选择权、查询权、删除权、更正权以及获得信息安全、信息质量保护的权利均归入数字人权。另有学者基于“人格尊严条款双重规范意义说”，认为“人格尊严”是具备人权保障基础价值的概括条款，从而通过该条款的扩张解释将个人信息纳入其中。更细致的学说是将“人格尊严”视为宪法上一般人格权，从而把个人信息权涵摄于作为一般人格权的“个人自我决定权”中。此外，亦有学者从通信自由、通信秘密出发，主张宪法上的通讯权指向电子通信、即时通讯、手机存储信息、手机实时定位信息、通信元数据、通信内容等个人信息，由此相关个人信息亦应受到通信自由、通信秘密的保护。

个人信息宪法权利包含“个人信息自决权”和“个人信息受保护权”两种阐释路径。前者自德国联邦宪法法院1983年“人口普查案”肇始，经由后期的案例累积和教义学塑造，已成为意涵确定、功能明晰、向度多维的权利整体，表现为个体自由地决定其个人信息何时、何地、何种方式被收集、储存、处理以及利用，进而规范公权力机关个人信息处理行为。后者则基于《欧盟运作条约》第16条第1款“个人信息受保护权”（the right to the protection of personal data），认为该权利彰显了宪法层面对国家的规范要求，调整了个人与国家之间的法权关系，旨在对抗和缓解“数据权力”对个人的侵害风险。

不论是个人信息自决权，还是个人信息受保护权，均具有公法上效果。国家既负有不得无限度收集和使用个人信息的消极义务，也负有在信息主体面对地位不对等的处理者时施加保护的积极义务。就前者而言，法律保留、正当程序、比例原则等公法原则同样适用于国家处理个人信息，就后者而言，国家介入到以“用户—平台”为代表的私法关系中，遵循“常规执法+责任追究”的模式，履行积极义务保护个人信息免受私人的非法收集和滥用。职是之故，个人信息权利是公权而非私权，因为民事权利只能对抗平等的民事主体而无法对抗公权力机关，且公权力机关不会对民事权利预先提供保护措施。落实到权利保障机制上，个人向处理者提出权利请求被拒绝时，并不能立即诉至法院，还必须向行政机关寻求行政救济，即向负有个人信息保护职责的部门投诉举报。只有在相关部门不履行法定职责或者个人对其处理结果不服的，才可以起诉。不过，此时的起诉已转变为针对履行个人信息保护职责部门的行政诉讼。这正是《个人信息保护法》第50条第2款强调“依法向人民法院提起诉讼”的全面理解。由此，不但可以避免民事诉讼“一事一诉”的低效和判决效果的局限性问题，还可形成一般性规则来对同类问题进行整体规制，实现个人信息保护的效率优化。

与上述将个人信息权利锚定在公法的观点相反，主张个人信息权利属于私权的论者亦从两方面反驳。首先，个人信息保护意在维护个人在数字化时代的“自主”，而非保障个人对其信息及其处理活动的“自决”。我国法律体系不存在个人信息自决权的理论渊源与规范基础，无论在公法还是私法层面，都不应将其实证化。其次，将欧盟“the right to the protection of personal data”（个人信息保护权）界定为“个人信息受保护权”（the right to be protected of personal data)，是明显误读。事实上，个人信息保护权正是以个人信息权赋予为基础。最后，以行政监管为中心的保障本质上限制了民事主体的诉权，不仅不利于保护个人信息权益，也给履行个人信息保护职责的部门施加了过重的责任。同时，还将原本个人与个人信息处理者之间的侵权关系变为个人与履行个人信息保护职责部门的行政诉讼关系，有百害而无一利。

（三）个人信息权利的构造之争

与前述个人信息权利外部证立的分歧不同，个人信息权利构造之争深入到权利内部，并依次生出如下问题：（1）如何体系性把握《个人信息保护法》第四章下的各项权利？（2）个人信息权益中是否存在财产权益？（3）个人信息权益与姓名权、肖像权、名誉权、隐私权等其他具体人格权关系如何？

围绕第一个问题，学界已经提出了多种学说。举其荦荦大者，张新宝教授认为：个人信息权益由“本权权益”与“保护本权权益”的权利构成，其中“本权权益”包括人格尊严、个人的人身财产安全、通信自由和通信秘密，“保护本权权益”包括作为支配性权利的同意以及查阅、复制、更正、删除等作为权利实现方式的个人信息保护请求权。与这一强调主次结构的观点不同，王利明教授援引“权利束”模型，认为个人信息权益是由删除权、查阅权、复制权、携带权、更正权、补充权等一系列权能所组成的权能束，各项权能分别承担个人信息保护的特定功能，发挥着保障个人对其个人信息支配的重要作用。同样基于权利束模型，王锡锌教授的观点独树一帜，其一方面将上述功能性权利拓展到知情权、决定权，另一方面不认可个人信息的私权定位，主张个人信息权利束是国家履行积极保护义务、通过制度性保障对个人赋权的结果，本质是国家在“保护法”理念下给予个人的保护手段。与此类似，但从私法角度的反思来自于龙卫球教授。他将个人信息权益分为“基础法益”和“保护基础法益、具有请求权特点的个人信息保护权”。前者源自《个人信息保护法》设定的“个人信息处理规则”，本质是一种反射利益，后者为实现基础法益而设置的机制权利，表现为《个人信息保护法》第四章“个人在个人信息处理活动中的权利”。还有学者另辟蹊径地将删除权、查阅权、复制权归入个人与特定处理者之间的“个人信息相对权”，从而与个人信息被处理之前的“个人信息绝对权”相区隔。此外，晚近的研究采取自下而上的视角，认为个人信息决定权系非典型支配权，向下统辖作为形成权的同意权、撤回权、拒绝权，以及作为请求权的删除权、更正权、限制权，并在与他人有处理权限的交换处理场合，演化为知情权和携带权。与上述观点不同，程啸教授明确反对个人信息权利集合论，主张单一的个人信息权益，其核心是自然人免于因个人信息被非法处理而遭受人身权益、财产权益上的损害或人格尊严、人身自由被侵害的风险，而个人信息处理活动中的权利均是不可分离的组成部分，属于个人信息权益的权能。

第二个问题可拆分为（1）个人信息之上是否存在财产利益？以及（2）是否赋予个人针对个人信息的财产权？对此，张新宝教授认为个人信息的财产属性过于稀薄，给个人配置财产利益将引发不平等并滋生高昂的治理成本，因此，个人仅仅享有人格权益，财产利益配置给处理者，此即“人财两分”的思路。王利明教授在个人信息权益属于人格权的前提下，部分认可个人信息的经济价值和商业价值，提出采用商品化权的方式来处理，若未经同意擅自使用个人信息，应承担损害赔偿责任。对此，有学者批评说，商品化权会导致财产利益与人格利益的分离，在我国单独设置一个财产性质的、不受人格利益约束的公开权也不切实际。但是，个人信息的财产利益不容忽视、难以湮灭，其天然内置的原始价值应当分配给信息主体，为此，吕炳斌教授主张经由同意撤回权、删除权、可携带权等后端权能，促进其蕴含的二次协商功能和财产兑现功能发挥。最后，直接主张个人信息财产化的学者也不乏其人。例如，龙卫球教授曾主张赋予个人基于个人信息的人格权和财产权的双重性权利。刘德良教授建议设立“个人信息财产权”，从而在个人信息商业性使用的条件下，强化信息主体对其信息的商业价值支配权。

如果说前两个问题关乎个人信息权益的理论建构，那么第三个问题则与个人信息权益的法律适用密切相关。从解释论的角度，个人信息权益和其他具体人格权的关系当下主要是 “平行适用”和“交叉适用”之争。所谓“平行适用”，即个人信息权益和其他具体人格权相互独立，但凡归入个人信息一律使用《个人信息保护法》的规范，避免发生规范竞合。所谓“交叉适用”，即个人信息权益和其他具体人格权彼此交叠，在适用时依据不同场景选择不同的法律规范。例如，当个人信息权益和隐私权交叉时，根据实际情况适用更有利于保护当事人权益的规则。又如，当个人信息权益和肖像权交叉时，《民法典》中的肖像权保护规则并非保护力度较弱的肖像信息保护规则，因而在同意的形式上，一般符合肖像权保护规则即可，肖像许可使用合同的反悔亦适用肖像权的规定，而非《个人信息保护法》。再如，当侵权行为同时涉及姓名和个人信息时，应以被侵权人的利益内容为主要依据进行判定。

二

权利树模型：个人信息权益的法律隐喻

面对个人信息权益的种种分歧，从特定立场和法律规范出发的辩护和反驳，可能无助于形成学理通说，反而可能进一步加剧冲突。为此，我们不妨改弦易辙，采取更具包容性和根本性的路径，从而在方法论维度上超越既有争议，寻求达成共识的第三条道路。

（一）个人信息权益建构的三种进路

与传统权利由实证法所确证不同，诸如个人信息权益等新兴权利不得不承担证明责任，通过自我融贯的理论建构，而非简单的自我声称寻求正当性。既有的个人信息权利建构可分为实质主义和形式主义两种路径。所谓“实质主义”，即发掘背后的利益和伦理实现权利证成。容易理解，从权利设定的功能看，有权利就意味着权利人的利益受到了法律保护。可另一方面，作为正当的主张，单纯的利益并非充足的理由，还要诉诸“共同善”（common good），一种无冲突的、非排斥的、也非排他的普遍服务于人的社会善。循此，个人信息私权和公权的矛盾可能并非同一维度的交锋，因为共同善本身就是多元的，足以涵盖利与义、公与私。所谓“形式主义”，即从法律体系可容纳性出发，将权利拆解为自由、请求、权力和豁免的组合，细致刻画权利的表现和结构。个人信息权利构造之争正是在此背景下展开。不过，以霍费尔德为代表的权利分析方法主要是描述性，而非规范性的，难以得出应然的权利形式。更重要的是，倘若不一并考量个人信息权益的规范功能，其权利构成必将沦为任意甚至是恣意的组合。职是之故，我们需要一种新的权利建构进路，它既区别于实质主义的归纳和形式主义的演绎，又能与实质理据和形式逻辑保持融通，在此，我们不妨称之为“法律隐喻” （Legal Metaphor）进路。

“法律隐喻”是人们为了理解、解释法律问题（本体）而借用其他领域的概念（喻体），从而实现从其他知识领域到法律领域意义转换的思维活动，其不但能提供新的法学范式、形成法律概念和体系，还是认识、表征法律现象的有效工具。“隐喻”在法律中俯仰可得，诸如法人、洗钱、兜底条款、贸易壁垒、法律漏洞等概念不胜枚举。在某种意义上，整个法律思想史就是一连串隐喻的序列，因为“规范性语言都是隐喻性的”。隐喻并不只是装饰，相反，它以类比推理为逻辑，以意图为指引，直观地展示法律问题的本质，借此成为法学方法论中不可或缺的一环和凝聚共识的要津。以权利建构为例，正是因为“权利束”（bundle of rights）这一隐喻将财产权与“一束木棍”（a bundle of sticks）联系起来，形象地揭示出不同权利人之间分割财产权的法律特征，它才被人们普遍接受。延续这一思路，本文试图引入新的法律隐喻——“权利树模型”（tree model of the right），以期契合《个人信息保护法》的实然规则，并最大程度地弥合前述应然的理论分歧。

（二）财产权的“权利树模型”

权利树模型可追溯至20世纪30年代的意大利民法学。作为对权利开展树形系统分析的民法学者之一，普亚蒂（S. Pugliatti）主张：财产权的构造如同树木，可区分为主干和分支，主干代表了财产权区分于其他权利的核心权利，分枝则代表财产权所包含的、以特定资源为对象的不同权利，如家庭财产权、企业财产权、农业财产权。主干不仅定义了财产权的本质，还约束、指导着分枝所代表的各种权利。该等理一分殊的财产权模式奠基于恩里科·芬齐（Enrico Finzi）所提出的所有权功能化理论。质言之，所有物已丧失了作为宇宙之碎片的中立性，开始承载经济性的内容。循此，树林、牧场、田野、山地、丘陵、平原、池塘、山洞等财产均存在特殊性，亟待依照其物质本性加以利用。然则，法律就不只有一种所有权形态，而是存在多种所有权。权利树模型是意大利当时社会经济发展的产物。一方面，无形财产的大量出现，使得财产类型不断涌现，财产权越发分散化和特殊化；另一方面，公共财产和私人财产界限开始变化，对财产的平等取得和公共利益的促进逐渐成为财产权的一部分，将所有权想象成完全自足的封闭体系已不再可能，其必然走向相对化，就如平衡各种利益关系的《意大利宪法》所追求的那样。

为此，权利树同时包含了个人要素和社会要素，前者指财产权人对于财产使用的自主控制权，其不只得以对抗不特定人，更意味着对抗国家的能力，因而个人自主控制权有且只有在国家为实现极其重要的社会公共目的时才被限制和变更。后者即财产权的社会功能。早在1912年，莱昂·杜吉（Leon Duguit）就已明确提出“财产权不是一种权利，而是一种社会功能”。这是因为，由于财产的稀缺性和财产权的对世效力，财产权不但要服务于物尽其用的社会目标，而且要服务于公平、福利、正义、安全和尊严等多元价值，从而使之从个人意志领域迈向负担社会义务的权利。权利树模型吸收了这一观念，摆脱了聚焦人与财产关系或者人与人之间关系的传统财产论，将财产权人置于社会整体之中。可是，社会功能过于宽泛，以至于难以确定其规则。为解决这一难题，不妨取道“结构多元主义”（structural pluralism），根据财产权类型及其栖身的社会环境，因地制宜地将效率、自由、平等、安全等公共价值嵌入财产权的结构中，由此形成复杂的权利结构。

权利树的“分枝”代表各种特定资源的特定财产权。立基于芬齐“从所有物观点思考”的方法。权利树模型承认人与人关系是财产权的本质，也不忽视作为对象的财产特质对财产权的影响。这种影响既体现在财产权的私法运作规则上，也反映在国家针对不同财产设定的个性化政策目标和规制措施上，财产权分类的意义更加凸显。循此，权利树依据资源的禀赋特征配置差异化的财产权利，不但更贴合财产的经济社会背景，而且能将多元价值针对性的具体化，成为化解个体要素和社会要素冲突的有效路径。例如，从个体要素和社会要素的强度出发，可以将财产权分为四种不同类型：个体要素和社会要素最弱的所有权、个人要素次强和社会要素次弱的知识产权、个人要素次弱和社会要素次强的养老财产权、个人要素最弱和社会要素最强的政府特许经营权。再如，欧洲学者试图用树形勾画统一知识产权的体系，以期删繁就简地完善著作权、专利、商标等分枝，可谓权利树模型的当代运用。

（三）个人信息权益对权利树模型的适用及改进

“权利树模型”是建构个人信息权益的最佳框架。这首先是因为，权利树化解了个人信息权利和权益之争。一方面，个人信息权益含有独立于其他权利的“新兴权利”，具有与其他权利相区隔的稳定内核；另一方面，个人信息权益又有着边缘模糊性，包含着缺乏典型社会公开性的法益。就此而言，权利树的“主干”对应个人信息权利，而“分枝”则可涵盖个人信息难以事前明确的个人信息利益，包括但不限于个人信息处理规范反射到个人保护上的 “反射利益”。其次，权利树调和了个人信息权益的公私之争。作为多元主体、多元利益的集合，个人信息权利不仅关涉信息主体的个人利益和相关者利益，也关涉不特定社会主体的社会利益和国家利益。因此，个人信息权益必然是私人、社会、国家各种诉求的折中。放宽视野看，不论是个人信息保护的法律渊源、立法宗旨，还是调整关系、损害救济，均体现出公私法融合特征。以此论之，权利树的显著优势恰恰是以多元价值方式厘清了个人信息权益的群己关系。《个人信息保护法》第1条中“保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用”的三元目标由此获得真正统一。简言之，个人信息权益保护和利用之平衡应落实于全生命周期的处理活动中，并根据“个人与作为信息处理者的私主体”和“个人与作为信息处理者的国家机关”的类型化，兼容并取并妥当安置个人尊严、经济效率、社会公益、国家安全等价值。再次，权利树契合了个人信息权益的场景化需求。与欧盟GDPR名称中的General（一般）异曲同工，“个人信息权益”必然是“一般性”权益，针对个人金融信息、个人健康医疗信息、个人劳动信息、个人档案信息等特殊信息，还应在“主干”外设定特别规则，从而将各行业的个人信息权益内容交由“各分枝”完成。最后，权利树是个人信息权益复杂化的最适模型。随着世界的数字化转型，人类、机器、自然紧密相连，现实与虚拟的界限日渐混沌，个人信息亦不断弥散和泛化成社会经济运行的底层代码，以至于个人信息保护法被称为“万物之法”（The Law of Everything）。在此背景下，传统上“主体—客体”权利结构不敷适用，个人信息权益的“权利束”模型由此而生。但是，权利束着重权利的可塑性，而没有对规范架构作出承诺，导致各种权利被过于简略地直接捆绑，忽视了权利之间内在的本质联系，在规制国家的背景下，这可能不自觉陷入私法公法化的陷阱，为国家以监管为由随意克减个人信息权益敞开方便之门。与此不同，权利树既捍卫个人自主性，又为国家介入容留了空间，是真正熨帖复杂社会的复杂规则。

权利树模型毕竟源自财产权，在运用于个人信息权益时，尚待在向下和向上两个方向上改进。一方面，个人信息权益的权利树必须向下扎根，从国家根本法的宪法中获取奥援。必须指出的是，这并不意味着个人信息权益是一种“宪法性权利”，事实上，作为“根系”的宪法已经明白显示出宪法潜藏于“个人信息权益树”之下，发挥着客观法、而非主观权利的功能。质言之，人格尊严、人权保障、通信自由、通信秘密等权利虽非个人信息权益的一部分，但其内在价值构成了个人信息权益的客观基础。凭此，宪法所彰显的原则得以情景化地界说，并经由个人信息权益实现反思性地精细化；个人信息权益亦被宪法注入超越实定法的力量，皈依到理想的法律秩序，从而被实质性塑造和拘束。用形象的语言表述，后者可谓“根深方能叶茂”，前者可谓“落红化作春泥”。另一方面，个人信息权益的权利树必须向上生长。如果说财产权是客观主义的法定性权利，那么个人信息权益就是主观主义的生长性权利。这里的“主观性”不仅意味着精神性和无形性，还意味着个人信息权益在技术迭代和时代变迁面前，始终处于不断争取和努力改变界限的过程中。回顾历史，数字化发展近50年来，个人信息权益已经历了三次迭代，从防止个人信息被不当收集和滥用的消极保护到删除权、更正权等积极权利，再到GDPR下遗忘权、可携带权、自动化决策解释权等决定处理者利用个人信息的权利，个人权利不断向上延展。如果我们的目光不局限于数字时代的个人信息权益，就不难发现，姓名权、隐私权、肖像权、名誉权等固然先于《个人信息保护法》而存在，但从其标表性和精神性上论之，均可归入个人信息的“身份识别”和“身份权益”的范畴。故而，我们不妨将此类具体人格权视为早已成熟并从权利树上脱离的分枝。这种比喻并非文字游戏，而是有着丰富的方法论意涵。一方面，既然具体人格权已经独立，有着法律明确规定的权利内容和法律效果，其当然属于与个人信息权益“平行”的权利。另一方面，上述人格要素依然脱胎于个人信息，当具体人格权存在法律漏洞之时，亦可通过个人信息保护规则加以填补。就此而言，个人信息权益和其他具体人格权之间既非“平行”，也非“交叉”，毋宁是“补充”关系。最后还要指出，生长性意味着开放性。当某种权益正当性被社会承认，且界权收益高于成本时，新的个人信息权益就可能出现。以此观之，尽管个人信息的财产利益目前仍隐而不彰，但公众人物的个人信息仍可以通过许可使用的方式，获得类似于商品化权的保护。放眼未来，若个人信息汇聚和管理成本急剧下降，处理收益逆向上升，并不排除个人信息的财产权成为新的分支。

三

个人信息权益的“权利树”建构

个人信息权益的权利树模型不但可以消解纷争，而且具有正面建构的功能。立基于“根系、主干、主枝、侧枝、树叶”的法律隐喻，个人信息权益下连《宪法》，上接《个人信息保护法》，生成了一副生生不息的权利图像。

（一）《个人信息保护法》下权利树全景图

个人信息权利树是一个复杂系统，其由根系、主干、主枝、侧枝和树叶组成（见图1）。其中，（1）“根系”是不可见的宪法基础，其为个人信息权益提供滋养，但又不是其中的一部分；（2）“主干”是个人信息权益区别于其他权利的本质性权利，即《个人信息保护法》第44条下的“知情权、决定权”；（3）“主枝”由主干所派生，并在多元价值的指引下分为“面向私主体的个人信息权益”和“面向国家机关的个人信息权益”两个主枝。个人金融信息权益、个人健康信息权益、个人劳动信息等特殊个人信息均应在主干上另行生出新的主枝；（4）“侧枝”依附于主枝，既包括《个人信息保护法》所列举的各项具体权利，也保护不断生长的新权利。由于分枝具有“自相似性”(self similarity)，两个主枝上的侧枝基本类似，但又有着微妙的差异。同时，由于分枝还可以不断分级生长，侧枝自然存在着多层结构；（5）“树叶”是依附于个人信息并与人身和财产相关的法益。

图1 权利树全景图

（二）个人信息权益的主干：知情权、决定权

《个人信息保护法》在《民法典》第1037条所列举的个人查询权、复制权、更正权、删除权的基础上，进一步提升、抽象为“个人知情权、决定权”，以统领《个人信息保护法》第45条个人信息查阅权、复制权和有条件的转移权；第46条个人信息更正权、补充权；第47条个人信息删除权；第48条个人说明权；第24条个人对自动化决策说明权和拒绝权；并成为《个人信息保护法》第二章“个人信息处理规则”、第三章“个人信息跨境提供的规则”中告知、同意规定的权利基础。作为权利树的主干，个人知情权、决定权向下与《宪法》勾连，彰显个人信息价值内核，向上促生分枝的生长，在既有法定权利无法回应技术迭代、社会变迁和利用场景的日新月异之时，后续法律法规和司法判决可以经由知情权、决定权而创制新的个人信息权益。

知情权、决定权的对象是个人信息收集、存储、使用、加工、传输、提供、公开、删除等“个人信息处理活动”，这与《个人信息保护法》以“个人信息处理活动”为规范对象一脉相承。据此，知情权、决定权即个人向信息处理者主张告知其信息处理的目的、方式、处理信息的种类等事项，并明确、自愿作出决定的权利。就此而言，“个人知情权、决定权”绝非德国“个人信息自决权”的中国翻版。两者在如下方面迥然有别：（1）在权利性质上，自决权是针对国家的宪法性权利，而决定权是一项针对私主体和国家机关的部门法权利；（2）在权利对象上，自决权是指向个人信息的权利，而知情权、决定权是指向个人信息处理活动的权利；（3）在权利内容上，自决权强调个人对个人信息主动支配和控制权，知情权、决定权强调个人对信息处理者信息处理活动的选择处理权、干预处理权、限制处理权、拒绝处理权，它是针对个人信息处理给个人人格或财产带来之加害危险的事先防御机制。

（三）个人信息权益的主枝：面向私主体和面向国家机关的个人信息权益

如果说主干是个人信息权益个人要素的体现，那么主枝就是个人信息权益和社会要素共同作用的结果。个人知情权、决定权不是绝对性的权利，无论是《个人信息保护法》第1条，还是GDPR前言第4条，均要求考虑个人信息在社会中的利用，并与其他基本权利相权衡。面向私主体和面向国家机关的两大主枝便凸显出不同的价值取向：前者主要是社会福祉和个人价值的协调，后者主要是公共安全和个人权利的协调。详言之，在面向私主体的主枝下，知情权可能受制于“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知”的特殊情形，决定权亦因“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”“为履行法定义务所必需”“紧急情况下为保护自然人的生命健康和财产安全所必需”“为公共利益实施新闻报道、舆论监督”“处理个人自行公开或者其他已经合法公开的个人信息”等被悬置。在面向国家机关的主枝下，知情权的行使应遵循“法律、行政法规规定应当保密或者不需要告知或者告知将妨碍国家机关履行法定职责”的例外规则，决定权则在“国家机关履行法定职责”“关键基础设施运营的个人信息以及达到一定数量个人信息出境”“公共场所安装图像采集、个人身份识别设备”等情形下被克减。除此以外，两大主枝的差异还在侧枝上显现出来。简言之，尽管侧枝上一系列权利并存于两大主枝上，但由于处理合法性基础和主导价值的差异，权利不尽相同。就面向国家机关的个人信息权益而言，个人不享有可转移权，其删除权和拒绝权也受到法律法规相当程度的限制。

（四）个人信息权益的侧枝：分层的个人信息权利

如同主枝，个人在个人信息处理中的权利等侧枝亦由主干所生发。由此可以澄清本文第一部分提出的结构争论：其一，该等具体权利并非保护本权的“保护权”，而是个人知情权、决定权的具体化。例如，知情权具体化为查阅权、复制权、个人信息处理规则说明权以及被拒绝权利行使的说明权等。决定权具体化为转移权、删除权、自动化决策拒绝权、公开信息处理拒绝权等。其二，该等具体权利并非与知情权、决定权并列的相对权，相反，其与知情权、决定权血脉相连，共同发挥着对世和对人的双重效力。其三，该等具体权利并非简单堆积，而是如权利树结构一样，有着层层相继的结构，这就是树木整体和局部相似的“分形原理”（fractal theory）。根据与主干的距离远近，个人信息权益的侧枝可以分为多个层次：第一层是攸关个人知情权、决定权的说明权、删除权、自动化决策的解释权和拒绝权；第二层是辅助个人知情权、决定权的查阅权、复制权；第三层是与一般个人权益相关的更正权、补充权、可转移权；第四层是个人程序性权利。

1.知情权、决定权直接相关的权利

个人知情权直接指向个人信息处理活动，间接指向了处理活动的结果。因此，知情权端赖个人信息处理者主动提供信息义务，由此对应个人两项权利：（1）个人信息处理规则说明权。“个人信息处理规则”有着实质和形式两义：前者为《个人信息保护法》第二章、第三章规定个人信息处理者处理个人信息的法律规则，后者为第17条第2款下个人信息收集、使用、保存、共享等个人信息处理行为以及个人享有何种权利的公开规则，说明权主要指向其形式意义。个人信息处理规则不但有助于克服个人和企业的信息不对称，也有助于消解监管机构和企业的信息不对称。但在实践中，个人信息处理规则的用语通常较为宽泛、模糊，加之内容专业、冗长，普罗大众难以卒读，亦不辨其义。为此，《个人信息保护法》借鉴《民法典》第496条“格式条款说明义务”，赋予个人对个人信息处理规则的说明权。个人对个人信息处理规则存在疑义时，有权根据《个人信息保护法》第50条中“申请受理和处理机制”，请求个人信息处理者予以说明。后者在收到请求后，应通过与个人请求同等的方式（口头或电子方式），以常人能够理解的语言，解释个人信息处理规则的概念、内容和法律后果。（2）自动化决策的解释权。由于算法部署的隐秘性和运行的不透明性，个人对自动化决策普遍处于无知状态。为此，以满足用户期待为目的的实用主义解释理论为个人提供了请求基础，即个人有权要求处理者展示输入变量（个人信息）及其对输出影响，并在可能情形下开展算法审计。

个人决定权指向的是个人信息处理活动，而非个人信息。就此而言，《网络数据安全管理条例（征求意见稿）》第73条第（八）项将单独同意界定为“对每项个人信息取得个人同意”，不当混淆了处理行为和处理对象。然则，决定权是否具体化为“个人信息处理活动的同意权以及撤回权”？事实上，将“个人同意”等同于“个人行权”，甚至是“个人授权”，是常见的误解。《个人信息保护法》正式稿将一审稿第14条第1款“处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示”中的“意思表示”删除，充分说明立法者不认可“同意”系法律行为，也不因“同意”产生有约束力的人身权利或财产权利。究其实质，同意属于违法阻却事由，其效果在于排除个人信息处理活动的非法性。将同意及其撤回非权利化，并不意味着同意对个人不重要，实际上，它完全可经由个人信息处理规范涵摄于个人决定权之下。在厘清上述争议后，个人决定权的分支权利可包括：（1）删除权，即个人向个人信息处理者请求销毁、去除相关信息，使之不可被检索、访问，或者无法回溯、关联到该主体的权利。删除权不仅是《个人信息保护》第5条“遵循合法、正当、必要的处理原则”和第19条“个人信息的保存期限应当为实现处理目的所必要的最短时间”的要求，还是第13条“同意作为个人信息处理基础”以及第15条“撤回同意”的必然结果。（2）自动化决策拒绝权，即个人有权要求个人信息处理者对“完全自动化决定”进行人工干预，复核自动化决策结果是否基于准确、完整的个人信息公平、公正作出，并可以要求更正错误或不当的决策结果。（3）公开信息处理拒绝权，即个人有权要求处理者不再处理已公开的个人信息，其类似于默示同意的“选择退出”（opt out）机制。

2.知情权、决定权的辅助性权利

有信息方能有决定。查阅权、复制权即是个人知情权的落实，也是辅助决定权的有力工具。从文意解释出发，查阅权、复制权仅指个人有权查阅由个人信息处理者处理的个人信息，并取得相应副本。鉴于其范围远窄于欧盟GDPR第15条“访问权”下个人信息来源和处理目的、存储期限、第三方接受者等访问内容，有学者试图将查阅权、复制权扩张到“有助于审查个人信息处理合法性的所有信息”。但基于知情权的立法目标和个人的现实能力，将范围限定在《个人信息保护法》第17、23、24条下“信息处理活动的必要信息”，或许更为妥当。

3.一般个人权益相关的权利

作为数字化人格的一部分，个人信息处理可能关乎隐私权、名誉权、财产权等其他权益，为此，一些远离主干，但依然可以由根系延展的权利，构成了第三层侧枝。其包括：（1）个人信息更正权、补充权。该权利系落实《个人信息保护法》第8条“处理个人信息应当保证个人信息的质量”的“个人信息质量原则”，避免因个人信息不准确、不完整对个人权益造成不利影响。实践中，“不利影响”多体现为不良的信用评价。例如，在“梁某、某实业公司与某科技公司网络侵权责任纠纷案”中，法院认为被告因同名同姓主体的身份识别问题而出现《信用报告》错误，应予更正。（2）个人信息转移权，即个人在特定情形下请求个人信息处理者提供转移的途径，将其信息转移至其指定第三方。尽管在比较法上，该权利与欧盟GDPR中“个人数据携带权”相似，但在立法目的、规范结构上均存在重大差异。事实上，个人信息转移权意在为个人提供了更充分、更多样的个人信息间接收集渠道，在个人需要时将其基本信息、身份信息、健康医疗信息、信用信息、教育工作信息与第三方共享，最大程度地便利个人信息的再利用。

4.个人的程序性权利

上述实体权利只有在明确、相称、有效的程序支持下才能达到其目的。根据个人行使权利的顺序，其程序权利可分为：（1）私人程序权利：个人可以通过填写网站链接、发送电子邮件或拨打电话口头告知等途径要求处理者受理其申请，处理者应及时反馈处理结果，在无法满足请求时告知其理由。为避免不必要的诉累和恶意诉讼，个人应首先穷尽私人程序的救济。在“杜某诉某网络公司个人信息保护纠纷案”中，法院判定：原告径行诉至法院不符合个人信息请求权诉权行使前置条件，故依法驳回起诉。（2）公力救济权利：若个人信息处理者拒绝致使个人权利无法在个人与处理者间实现，个人有权向法院起诉或相关监管机构举报投诉。在此阶段，民事诉讼和行政监管各有利弊，亟待通过程序重构实现权利保障的最适。为此笔者建议，可根据个人权益侵害是否涉众和是否存在损害赔偿进行程序分流：对于涉众且存在损害赔偿的案件（如个人信息大规模泄露），《个人信息保护法》第70条下公益诉讼优先；对于涉众但不存在损害赔偿的案件（如个人信息违法收集），行政监管优先；对于不涉众且存在损害赔偿的案件（如个人信息错误），民事诉讼优先；对于不涉众且不存在损害赔偿的案件（如个人信息查阅权纠纷），行政监管优先。

四

结语

“理论是灰色的，而生命之树常青。” 如同个人信息关乎生命，个人信息权益亦不是法律规则的机械组合，而是柔性和不断生长的权利树。一旦这一新的权利模型得以确立，既有的争议就可能会消失，因为那些问题是与传统的思考方式相伴随的。以此观察本文第一部分的种种学理分歧，我们不难得出如下结论：（1）个人信息权益是权利和法益的集合，但从权利主干到主枝，从侧枝到树叶，权利的色彩越发淡薄，法益的特征越发凸显；（2）个人信息权益建立在宪法的根系之上，但其仅从宪法中汲取养分，本身并不是一项宪法权利；（3）个人信息权益融个人要素与社会要素于一炉，由此形成面向私主体的私权利主枝和面向国家机关的公权利主枝；（4）个人信息权益以个人知情权、决定权为主干，并在上述两个主枝上派生出查阅权、复制权、转移权、更正权、补充权、删除权、说明权、拒绝权、程序权等侧枝权利。该等侧枝权利并非工具性或保护性的，而是主干权利在各个场景中的具体化展开；（5）姓名权、肖像权、名誉权、隐私权等具体人格权已经从权利树上脱离，成为独立权利，个人信息权益仅在存在法律漏洞时发挥着规范补充功能；（6）特定主体的个人信息权益可以含有财产利益，但尚未发展出完整的财产权利。放眼未来，在科技大加速背景下，个人信息的权利树模式不但为冰冷的科技注入了无限生机，并且以生命的姿态重塑着科技的面貌。毕竟，科技是灰色的，而个人信息权利之树常青。

- 向上滑动，查看完整目录 -

《甘肃社会科学》2024年第2期法学要目

【政务大数据规制研究】

1.我国政务数据开放的风险及其法律规制

作者：冯子轩（西南政法大学）

内容提要：政务数据是政府在履职过程中产生或者获取的各类数据资源。政务数据开放蕴含重要战略意义，有利于推动数据生产要素更好地发挥价值，已成为促进经济社会发展的新引擎。以《数据安全法》出台为标志，我国政务数据开放立法初见端倪，初步构建了政务数据开放的风险预防机制，明确了“政策指引、央地协同”立法模式与“多中心、全过程”的规制结构。政务数据呈现汇聚集中、规模庞大与流转广泛等特点，但其引发的风险内涵、类别与危害后果尚未引起充分重视，相关制度安排鲜有涉及，引发了诸多问题，主要表现为风险规制主体遮蔽、规制标准不一、监测内容不清、风险交流程序粗放等。亟需从风险规制这一新型行政任务切入，以风险预防原则为指引，对政务数据开放风险进行准确识别的基础上建构法律规制进路，重点破解政务数据开放风险规制的主体职责、标准体系、监测内容与参与程序等难点问题，将风险规制内容嵌入到政务数据法律体系中，寻求兼顾安全与发展的平衡方案。

关键词：政务数据开放; 风险规制; 规制主体; 规制标准; 规制程序; 数据安全

2.数字时代司法质量量化评估的困境与因应

作者：郑智航，曹永海（山东大学法学院）

内容提要：科学有效的司法质量量化评估既是当下中国司法改革的一项重要内容,也是检验司法改革成效的重要方式。小数据司法质量评估以线性因果关系为分析逻辑,通过收集、整理和分析司法数据,对具体司法活动进行评价。小数据司法质量评估在优化司法管理、检验司法改革成效、维护司法公信力等方面发挥着重要价值。但它存在数据质量不高,指标体系科学性不强,实效性弱的问题。以大数据技术为基础的司法质量评估具有数据来源丰富、数据种类广泛,以及评估体系客观、全面等优势。目前,大数据司法质量评估面临着高可用司法数据不足、算法偏见等问题。在构建以大数据分析技术为主的司法质量评估体系的过程中,既要充分发挥大数据分析方法所具有的优势,同时也要克服现有不足。通过完善司法大数据库的建设,充分发挥大数据司法质量评估的优势;通过明确大数据方法的应用范畴,保障大数据分析方法在司法质量评估中应用的合理性;通过融合小数据量化评估和定性评估范式,弥补大数据司法质量评估的不足。

关键词：司法质量评估；大数据；量化评估；司法公正；司法改革

【个人信息保护法律研究】

3.权利树：个人信息权益的理论重述

作者：许可（对外经济贸易大学法学院）

内容提要：近年来，“个人信息权益”相关学说迭出，但在“个人信息权利还是权益”“个人信息权益是公法权利抑或私法权利”以及“个人信息权益如何构造”等问题上分歧重重。面对争议，无论是归纳路径的“实质主义权利建构”，还是演绎路径的“形式主义权利建构”，均难以达成普遍共识，类比路径的“法律隐喻权利建构”则为我国个人信息权益体系开辟了新的方向。在各种权利隐喻中，权利树模型以“根系、主干、主枝、侧枝、树叶”为形，以“自相似性”为理，融个人因素和社会因素、一般规则和特殊规则为一炉，描摹出基于《个人信息保护法》的“个人信息权利树”。其中，个人信息权利树的“根系”为不可见的宪法性权利；“主干”是个人信息知情权、决定权；“主枝”分为“面向私主体的个人信息权益”和“面向国家机关的个人信息权益”；“侧枝”包括分层的个人信息权利群；“树叶”则是依附于个人信息并与人身、财产相关的法益。“个人信息权利树”不但妥善弥合了既有学理分歧，而且为个人信息权益的未来成长奠定了理论之基。

关键词：个人信息权益；法律隐喻；权利树；权利束；知情权；决定权

4.个人信息保护公益诉讼的启动要件

作者：郭兵（浙江理工大学数据法治研究院）

内容提要：围绕《个人信息保护法》第七十条的个人信息保护公益诉讼类型，存在民事公益诉讼“一元论”、民事公益诉讼和行政公益诉讼“二元论”的认识分歧。结合司法实践，“二元论”更加契合个人信息保护公益诉讼的制度定位。个人信息保护公益诉讼的启动要件因诉讼类型不同而存在差别，就主体要件而言，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织等三类主体都具有民事公益诉讼的原告资格，但只有人民检察院具有行政公益诉讼的原告资格；民事公益诉讼的适格被告可以是非国家机关的“组织和个人”或者国家机关，行政公益诉讼的适格被告只限于行政机关或者法律法规规章授权的组织。就行为要件而言，民事公益诉讼必须具备直接行为要件“违法处理个人信息”，而行政公益诉讼有的只需要具备直接行为要件，有的则需要同时具备直接行为要件和间接行为要件“不履行个人信息保护监管职责”。就结果要件而言，个人信息保护公益诉讼需要同时具备形式结果要件“侵害众多个人的权益”和实质结果要件“侵害公共利益”。

关键词：个人信息保护；公益诉讼；主体要件；行为要件；结果要件

5.网络暴力的典型事实形态及其刑法定性

作者：张小虎（中国人民大学刑事法律科学研究中心）

内容提要：暴力系意图造成损害的强制力量。在刑法上暴力由“猛烈性”“强制性”“损害指向”“影响达成”的行为要素构成，具体表现为基准暴力、典型暴力、准型暴力。网络暴力系“暴力”与“网络空间”的衔接整合，可以分为网络言辞侵害型与网络实体侵害型。我国理论界对网络暴力关注的焦点是“言辞侵害型网络暴力”（网络言辞侮辱、网络诽谤、恐吓性网络骚扰），这种网络暴力在刑法上属于准型暴力。然而纵观中外理论，“实体侵害型网络暴力”（网络系统袭击）也不失网络暴力的一种重要的典型事实形态。言辞侵害型网络暴力根据具体情况的不同会触犯侮辱罪、诽谤罪、寻衅滋事罪、敲诈勒索罪、强迫交易罪等。而网络系统袭击通常会触犯非法侵入计算机信息系统罪、破坏计算机信息系统罪等，此外这种网络暴力还会涉及危害公共安全、恐怖活动等方面的犯罪。在许多场合网络暴力也会存在想象竞合犯、牵连犯、数罪等犯罪形态。随着网络及高新科技的日益发达，网络暴力犯罪更应引起我们的足够重视。

关键词：刑法上的暴力；网络暴力；网络言辞侵害；网络系统袭击；刑法定性；罪数关系

《甘肃社会科学》是甘肃省社会科学院主办的综合性人文社科类学术期刊，双月刊。入选全国中文核心期刊、中文社会科学引文索引（CSSCI）来源期刊、中国人文社会科学期刊A刊核心期刊、中国科学评价研究中心（RCCSE）核心期刊，被评为全国百强社科期刊、甘肃省一级期刊、甘肃省品牌期刊、甘肃省十佳期刊、中国北方十佳期刊。

法学栏目是《甘肃社会科学》的重点栏目之一。以马克思主义法学理论为指导，注重问题意识突出，围绕重大选题小处着笔宏观立意、论据充分、论证严谨、有理论深度有实践价值的有创见的文章；注重紧贴当下学术热点和难点的特色鲜明的对策性研究文章；注重跨学科、交叉学科、新兴学科研究成果。字数一般以1.3万字或1.5万字为宜。

法宝新AI·智能写作

无论是工作汇报，产品介绍，还是法律研究报告、市场宣传文案，法宝智能写作系统都能为您提供高质量写作支持，满足法律工作者日常学习工作中各类领域的写作需求，提供源源不断的创意与灵感，全面助力您的文案写作。您可以在平台上选择不同的写作模型，输入关键词和要点，即可自动生成文档大纲与内容。平台内嵌法宝V6数据库，让您的内容创作有据可依。与此同时，智能写作平台还支持实时对生成文档进行修改和优化，确保文章撰写的准确性。

—— 系统亮点 ——

“一键生成文章大纲”——输入关键词和内容要求，即可自动生成文章大纲，为您提供创作起点和清晰明了的写作思路。

“智能生成文章内容”——GPT模型结合法宝数据库快速生成逻辑自洽、内容丰富的文章。

“法宝V6数据库支持”——查阅生成结果的相关法律法规、学术期刊等信息。可准确理解法律术语，帮助生成符合要求的法律文件；能够自动匹配对应法律法规，实现法理逻辑处理自动化，增强文章权威性与可信度。法宝智能写作能及时跟踪法律法规的最新变化，避免使用已失效或废止的法律条文作为参考。

责任编辑 | 郭晴晴

审核人员 | 张文硕 李婉秋

本文声明 | 本文章仅限学习交流使用，如遇侵权，我们会及时删除。本文章不代表北大法律信息网（北大法宝）和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。