【数据法学】谢琳 李旭婷：个人信息财产权之证成

B D A I L C 

 欢 迎 关 注 

 个人信息是一种无形财产。用户通过向商家“支付”个人信息，购买了部分的免费产品或服务，这本质上是一种财产权的交易。确立个人信息财产权，使信息主体享有对个人信息商业价值的支配权，将能够避免占据优势地位的商家过分掠夺个人信息的商业价值，有助于信息利用的外部性内部化，促进信息市场的发展。对于信息财产权规则的构建可参考同为无形财产的知识产权的特殊规则。为限制个人信息再转让，“出售”个人信息应视为类似于知识产权的使用许可；且为回应社会公共利益的需求，应参照著作权的规则，设置一定的保护期限、保护范围及合理使用条件，并对权利本身的可让与性作出一定的限制。

Julian Onderdonk

个人信息财产权之证成

文 / 中山大学法学院讲师、硕士生导师 谢琳

中山大学法学院助教 李旭婷

引言

在个人信息的法律规制领域，当今世界各国的立法实践皆以人格权为蓝本。在个人信息收集使用的过程中，美国和欧盟都为消费者提供隐私权等基本人权的法律保护，但皆未普遍承认个人信息财产权。[1]随着科学技术的革新，个人信息商品化的现象大量涌现，学者开始提出个人信息财产权的理念，认为个人信息业已成为稀缺资源，[2]不仅蕴含商业价值，甚至成为一种重要的货币，[3]因此有必要对个人信息采用财产权的法律保护手段。个人信息的同意使用实质上是一种财产权的交易。在世界经济层面上，构建个人信息财产权的需求迫切。欧盟、亚洲官方机构及产业界也已开始呼吁，在现行隐私和个人信息保护法的基础上，应发展个人信息的财产权规则。[4]本文从理论与实践的层面出发，指出个人信息是一种无形财产，揭示当前个人信息法律保护的本质，并通过构建财产权模式下法律规则，冀望提高信息主体对自身个人信息的控制能力，促进信息市场的有序发展。

一、构建个人信息财产权的理论基础

个人信息是指“与特定个人相关联的、反映个体特征的、具有可识别性的符号系统，包括个人身份、工作、家庭、财产、健康等各方面信息”。[5]在商业领域中，它具有商业价值，符合法学定义的财产，是一种稀缺资源。对个人信息进行产权构建与初次分配至关重要，这也是个人信息利用的负外部性内部化的必然需求。

（一）个人信息是一种稀缺资源

自近代以来，法律意义上的财产正从有体物向无形物转变，它们是信息技术飞速发展的时代标签。在大数据时代，个人信息实际上也是一种无形财产，它具备稀缺性、有用性和可控制性，符合法学定义的财产。

对于个人信息是否能成为财产的争议主要在于个人信息是否具有稀缺性。所谓稀缺性，是指不能普遍满足人们的需求，具有竞争性特点。[6]许多学者质疑道，个人信息的数量并不是有限的，且无需通过劳动投入即可大量产出，因此个人信息并不具备稀缺性。[7]对此，主张个人信息财产权保护的刘德良教授指出，个人信息的稀缺性并非指个人信息本身具有稀缺性，而是指个人信息所蕴含的商业价值具有稀缺性。对于有形对象，往往可以通过数量多寡以及是否需要劳动投入来进行判断，但作为无形财产的个人信息，则无法从数量上对它进行衡量，但却又无可否认其中所蕴含的商业价值可为主体所支配，因此，衡量个人信息是否具有稀缺性应当以其商业价值为依据。刘德良教授强调：“当无形财产的商业使用价值随着它的（商事）主体人数增多而不断递减的话，我们就可以说它在价值上具有稀缺性。”[8]市场上的商家通常热衷于追求获取独家的个人信息，同时他们也会采取技术安全措施来阻止其竞争对手猎取其已收集的个人信息，[9]以保持个人信息中的商业价值。因此，个人信息的商业价值具有稀缺性。

此外，个人信息也具备有用性的特征，因为它在商业领域中，对不特定多数的商家而言皆有使用价值，商家可以通过对个人信息的收集、分析、使用从而实现精准营销与获利。在物理性质以及法律意义上，个人信息皆可为人力所支配与控制，因此它也是具有可控制性的。故而，个人信息是一种稀缺资源，应当被视为一种无形财产。

（二）产权形成与初次分配的重要性

昂伯克（Umbeck）教授指出，当一种宝贵稀有资源的财产权没有归属或归属不明确时，财产权的分配将会与人们排除他人掌握该项珍稀资源的能力相适应，强势一方将会抢占大部分的资源。[10]

他通过研究1848年加利福尼亚的淘金热，发现由于淘金者使用暴力的能力是相当的，黄金矿区的分配最终出现了一个比较公平的结果。[11]但试想，若矿工使用暴力的能力存在悬殊，他们中一部分人持有枪械，而另外一部分人是手无寸铁的，那么毫无疑问，矿区则都会落到持有枪械的人手中，产权分配的结果将会是不平等的。对于个人信息而言，它是具有商业价值的，当法律没有对它进行产权界定时，个人信息恰如淘金热中的黄金，是一种稀缺的并且处于无主状态的财产，当竞争者的能力存在差距时，其分配结果也将出现倾斜。在个人信息的商业使用领域中，商家通常处于优势地位，由他们所组成的信息产业正如持有枪械的矿工，将会凭借强大的实力攫取个人信息中的商业价值，[12]而信息主体则会成为那些手无寸铁的矿工，无法获得对自身个人信息的有效保护，甚至难以得到合理的补偿。因此，构建个人信息财产权并将其分配给信息主体，对于有效保护信息主体的合法权益将是利害攸关的关键所在。

（三）信息利用的负外部性内部化

赋予个人信息财产权的意义还在于使信息利用的负外部性内部化。在个人信息的商业利用领域，一方面，个人信息大量泛滥于市场，商家可以轻易地抓取大量的个人信息；另一方面，由于缺乏规制与监管，商家也几乎无须承担不当使用个人信息所带来的负外部性。正如刘德良教授所指出的：“他们获取、使用个人信息的成本极为低廉，就像没有规制的污染工厂一样，通过肆意收集、使用和出卖个人信息而将收益内化，同时将其行为的大部分消极影响外化于社会”，[13]信息的流动使用也是低效率的。

产权界定是解决负外部性问题的主要手段之一。通过构建个人信息财产权，使信息主体对个人信息中的商业价值享有支配权，有利于提高个人信息利用的制度效率性。信息主体若对自己的个人信息无支配权，则必须花费大量的搜索成本来确认自己的个人信息是否被搜集以及如何被使用，他们也基本上无法得知信息收集者是如何通过网络空间对其个人信息进行处理的，相关的交易方也无须对个人信息的具体使用情况提供及时充分的通知。[14]而此时商家已经掌握并使用着这些个人信息，对他们而言这无须耗费任何成本。[15]若个人信息财产权归属于信息主体，在一定程度上能够免除这些高额的成本，同时也有助于改善信息主体在个人信息交易市场中被忽视的境况。

信息主体拥有个人信息的财产权，基于个人利益最大化的动机，个人信息将更可能获得合理有效的使用。因为用户拥有了与商家进行价格谈判的能力，商家获取个人信息需要承担起一定的社会成本，这将促使其提高收集与使用个人信息的质量与效率，以作出更优质的投资策略，[16]从而达到使信息利用的负外部性内部化的目标。

在财产权模式中，市场本身就是一个高效的设备，它可以通过价格机制达到使买卖双方都满意的结果。[17]并且，在通常情况下，财产规则仅仅需要最少的政府干预，因为权利的价值是由自愿交易的两位市场参与者决定的，故而，除非有特殊情况，财产规则即是最有效率的。[18]因此，构建个人信息财产权是解决个人信息商业领域使用的负外部性问题的有效途径。

二、构建个人信息财产权的实践分析

由于产权界定的效率性所需，信息主体应对个人信息拥有相关的控制权，这亦为目前世界各国的立法所承认，即可通过用户知情同意机制行使该控制权。但当前立法模式主要从人格权的角度予以规制。实际上，个人信息的同意使用是个人信息背后的商业价值的让与，本质上是财产权交易。在法律上承认个人信息财产权，才能真实反映用户同意机制的财产权交易本质，有助于促进信息市场交易实践的有序发展。

（一）个人信息同意使用的本质是财产权交易

在人格权保护模式下，用户的知情同意规则要求商家在收集、使用个人信息时必须征得被收集者的同意，并明确告知使用信息的目的、方式和范围。但事实上，这些“免费”服务并不免费，我们恰恰出售了自身的个人信息，以其中所蕴含的商业价值换取了商家的服务。

2014年，哈佛大学的社会学坦纳（Tanner）研究员在亲身体验了一年的拉斯维加斯赌场生活后，完成了一本名为《什么留在了拉斯维加斯？（What Stays in Vegas？）》的有趣著作。他在书中谈到，凯撒集团的赌场通常会邀请赌客加入WINet计划以收集其个人信息，同时立即给予他们一定的回馈，譬如免费的食物与饮料。他指出，这是参与该项计划的赌客通过允许赌场搜集其个人信息而“赚取”到的。[19]随后，赌场通过AI系统对收集到的个人信息进行精密分析，监控赌客的状态临界点，从而有效地提高获利。[20]

在这一场交易中，个人信息更直接地凸显了其所具有的商业价值，它是关键的交易对象。赌客参与WINet计划，其本质是将个人信息出售给赌场从而赚取回馈。在一般的电商交易中，用户看似没有获得有形的物质回馈，但他们事实上获得了产品或服务的免费使用。商家对产品的开发、服务的运营投入了金钱与劳动，相应地，用户作为消费者将是这些投入的最终承担者。正因为个人信息具有巨大的商业价值，同时亦可以通过再生产从而获得更高的经济利益，故而它才可以像货币一般，成为用户购买产品或服务的对价。用户通过“支付”个人信息中的商业价值，获取商家提供的产品，并最终承担了商家的劳动投入。由此可见，用户在同意商家使用个人信息后所获得的免费产品或服务其实并不“免费”。

在人格权模式下，征得用户同意常常被理解为是出于对个人信息自决权的尊重和保护。但事实上，消费者是通过容忍商家对其个人隐私等的收集与使用，从而获得相应的财产利益。用户同意使用机制实际上是财产交易规则。[21]因此，正如支持财产权理论的学者所承认的，个人信息是一种资产，甚至是一种货币，一些分析人士甚至明确表示，以个人信息换取服务这种做法是一种新型的易货交易。[22]

（二）构建个人信息财产权有助于促进信息市场交易实践

在人格权模式下，由于个人信息中的商业价值未为法律所认可，信息主体不能使用货币来衡量个人信息中的财产利益，因此，用户在使用电子产品或服务时只有“全有或全无”的选择（“all-or-nothing” choice），[23]即只能选择拒绝服务或者支付个人信息来获取服务，这并不是一种完整有效的财产权交易模式。而当信息主体享有个人信息财产权时，对价则可以是多样化的，支付方式不一定是商家所指定的个人信息，也可以是货币，也即，现金订购模式。同时也可发展现金市场实践，使信息主体能够对其个人信息使用进行许可收费，促进信息市场的发展。

1.现金订购模式（cash-subscription model）

现金订购模式，是指当用户不愿意被收集个人信息时，可以选择向商家支付一定费用以使用该产品或服务。事实上，随着人们对个人信息的逐渐重视，加之对骚扰电话、推销弹框的不堪其扰，阻断追踪以及在线广告屏蔽的技术开始受到了用户的追捧，这些技术的出现也直接导致商家广告业务能力的削弱，因此，现金订购模式对于商家而言同样是有利可图的选择。在这方面，一些人已经开始主张要求facebook等社交媒体网站增设现金订购的选项，他们宁愿向商家支付一定的费用以购买该服务，也不愿意被商家收集、使用其个人信息。[24]特别是在近期facebook个人信息泄露事件之后现金订购需求尤为突出。对于个人信息保护而言，这是一项有效的举措，除了出于监管等涉及公共利益需求而必须收集的信息以外，用户既可拒绝商家对个人信息的使用，同时又可以使用金钱购买到产品或服务，隐私保护与社交需求两不误；而站在商家的角度来看，由于每个人都具有不同的隐私偏好，譬如，有人可能认为自己的生日信息非常重要，所以永远不会出售这一项信息，但是对于其他人来说这并不那么重要，他们会愿意出售该项个人信息以换取100英里的飞行里程。[25]因此，在现金订购模式下，商家并不会失去个人信息的收集源泉，因为总有人愿意出售自己的个人信息以换取商家的回馈。有研究公司甚至预测，这可能是一个转折点，未来将会有更多的公司提供付费、特定无广告营销的产品或服务。[26]

2.现金市场模型（cash market model）

哈佛大学的伯克曼·克莱因中心（Berkman Klein Center）运行一个名为买主关系管理（vendor relationship management，VRM）的项目，它旨在让消费者掌控其个人信息所蕴含的经济利益。该项目主张让消费者掌控他们与商家之间的关系，消费者不应当只是简单地成为商家的经济元（economic units）。而要做到这一点，消费者必须要拥有有选择性地分享个人信息的能力，同时他们也需要能够控制其他人使用其个人信息的条件。目前，许多数字产品都包含了这个VRM的概念。[27]

其中一个VRM概念的提案正是建立在赋予信息主体以个人信息财产权的基础上。其目的是创建一个现金市场，让信息主体得以出售其个人信息。拉尼尔（Lanier）计算机专家曾提出一个构想，当某个信息主体的个人信息被使用时，他就能获得一笔小额的使用费，而商家则专注于个人数据库的运营。[28]专家们在实验室中通过利用现金市场进行实验来探索这类市场的发展。[29]实践中，一些商家也已经开发出了一系列平台，以适用上述的现金市场模型。譬如，personal.com网站的运营以用户能够从个人信息中获利为目标，该网站向它的用户提供数据保存库（data vault），用户可以根据自身的隐私偏好在线上传个人信息，包括消费喜好与记录、出行定位、网站登录与浏览信息等等。当特定的商家出于精准营销、市场预测等目的而需要收集个人信息时，则可以通过personal.com网站寻找愿意被收集个人信息的用户。若用户做出同意许可使用的选择，网站将会作为中介机构将这些个人信息传递给特定商家，用户同时可以获得商家支付的个人信息使用费，当然，网站也会收取10%的手续费。[30]

现金市场模型是一种可观的实践，它建立在信息主体拥有个人信息财产权的前提下。当他们选择出售个人信息时，就可以获得一定的使用费，从而更加有效地控制个人信息中的商业价值，掌握信息交易市场中的主动地位。

三、构建个人信息财产权的法律规则

前文的分析表明，个人信息财产权模式在实践中是存在的并且也是可行的，它将有助于信息主体更有效地控制其个人信息。在这一基础之上，考虑到个人信息性质的特殊性以及公共利益等问题，可以参考同为无形财产的知识产权，为这项权利设置特殊的法律规则，以保障权利的实现。

（一）个人信息的“出售”应为许可使用

个人信息的“出售”并非完全转让其所有权。若个人信息可以完全转让，信息主体无法有效地监控下游的信息使用情况，加之个人信息所具有的较强的人身关联性，这也将衍生一系列的不利影响。而作为信息主体，他们也不可能再将相同的个人信息转移给其他商家，这与市场实践并不相符。因此，当商家获得用户对个人信息使用的初始授权后，通常情况下，未经用户的另行许可，商家不得擅自在约定范围以外使用个人信息，也不得将其许可给第三方使用。对于这一限制性，施瓦兹（Schwartz）教授与萨缪尔森（Samuelson）教授分别提出了两种不同的规则构建模式。

1.施瓦兹：限制财产权的可转让性

自由转让性是财产权的一大特征，一旦出售了某项财产，原主体便失去了对该财产的控制权，也不得再对该财产作出其他的权利限制。但由于个人信息交易市场存在信息不对称问题，完全转让个人信息将会给信息主体带来大量的负面影响，因此，施瓦兹教授提出个人信息财产权的转让应当受到一定的法律限制。个人信息是可以转让的，但获得个人信息的商家的再转让权应受到限制。[31]当信息主体将个人信息出售给商家之后，商家仅仅能在信息主体初次授权的范围内对信息进行加工与使用，商家并不当然取得该个人信息的再转让权。若是商家意欲将该信息转让给第三方使用，必须将信息再转让的对象、使用目的及方式等基本交易情况告知信息主体，在重新获得许可授权后，方可转让。此外，商家本身任何超出初次授权范围的使用行为也应当取得信息主体的许可。

2.萨缪尔森：适用商业秘密的许可模式

萨缪尔森教授认为，将商业秘密的默示规则适用于个人信息的许可制度将是一种有效的保护方式。她指出，在该规则中，当许可方对商业秘密数据的使用作出许可授权之后，被许可方仅仅能在双方约定的使用目的之内对这些数据进行使用，在许可方未另行许可的情况下，被许可方不得擅自将该数据用于其他目的，许可方也有权在被许可方严重违反双方约定的合同条款时撤销授权许可。[32]萨缪尔森教授肯定了这些默示规则亦可以在个人信息保护领域得到适用，而商业秘密与个人信息保护也存在着相似的目的。例如，它们的目标都是保护某种数据，以防止其被非法盗用；此外，两者都旨在使信息主体有权控制这些归属于他们自身所有的数据的利用行为。因此，对于个人信息保护而言，也应在协议约定的许可范围内进行使用。[33]

3.“出售”个人信息实质上是一种使用许可

萨缪尔森教授从财产的许可使用角度出发，而施瓦兹教授则以限制财产权的自由转让性为基点，其法律效果都在于使信息主体更有效地控制个人信息的商业性使用，包括信息收集者应当在信息主体的授权范围内使用其个人信息，超出授权范围则需要获得再次授权。

本文认为，对个人信息的“出售”并非完全转让其所有权，而应当被认为是一种类似于知识产权的使用许可。作为一种财产性私权，正如知识产权一般，权利人可以许可他人使用，[34]信息主体应当始终享有对个人信息的控制权。事实上，施瓦兹教授也承认，“对个人信息的使用权和转让权进行规范限制，是为了降低信息交易中一次性授权许可所带来的负面效果。”[35]

（二）设置个人信息财产权的保护期限、保护范围及合理使用条件

正常情况下，人格权在主体死亡后是不可继承的，但财产权的保护期限则是永久的，且可以继承。但这条规则有一个众所周知的例外，那就是知识产权。例如著作权经过法律所规定的保护期限之后则进入公有领域，这是法律在保护作者所创作的作品以及回应社会对作品自由流动的需求之间做出取舍的结果。

贝格尔松（Bergelson）教授指出，对于普通公众而言，其个人信息的商业价值将会随着信息主体的死亡而降低，除了科研性质的机构以外，商家对已故客户的兴趣也并不高，因为这并不能为他们带来直接的经济利益；而信息主体本身也没有理由担心其个人信息在死后被用于商业目的。社会必须平衡个人信息保护与信息自由流动之间的关系，若是过度保护个人信息，将会有损言论自由，使人们在公开发表言论时变得小心翼翼，唯恐侵犯他人隐私。基于这些原因，贝格尔松教授认为，个人信息财产权的保护期间可以界定为信息主体的有生之年，在信息主体死亡后，其个人信息将会进入公有领域，即个人信息财产权不能被继承。[36]

个人信息的保护范围应以可识别的个人信息为限。对于企业收集个人信息后进行匿名化处理的信息，信息主体则不再享有财产权。匿名化信息由于无法再识别该信息主体，因此不再具有财产的“可控制性”特征。对匿名化信息进行产权界定是不具有可操作性的。杨明教授指出，不能识别则无法满足权利公示的要求，自然就无法进行排他性财产权的赋权。[37]因此，信息主体不再对匿名化信息拥有财产权。

正如其他财产一般，财产化的个人信息也必然受到公共利益的限制，[38]法律应当允许个人信息的合理使用。譬如，政府为征税、执法而收集、转移部分个人信息，公共媒体在未经信息主体同意的情况下收集和发布有新闻价值的个人信息等等。正如版权法设置时事新闻报道、时事性文章、公众集会上讲话等合理使用规则一般，[39]其目的都是在保障个人财产性权益的基础上，回应社会对信息、思想的自由流动的需求。

（三）明确保障性权利的不可让与性，并禁止私权的过度让与

贝格尔松教授提出，在对个人信息进行商业性使用的同时，法律应当明确个人信息权中某些不可让与的权利，譬如，获取个人信息转移记录的权利、要求修正错误信息的权利、要求删除不准确或不完整信息的权利。正如在版权法中，作者的精神权利是禁止让与的，能够转让的仅仅是版权中的财产利益。[40]数据控制者不可以通过与用户签订隐私协议来要求用户放弃这些监督数据使用的保障性权利。

此外，在当下的实践中，个人信息的私权模式存在着非理性选择困境。不少学者指出，在个人信息的交易中，人是不理性，且他们并不能意识到同意许可个人信息之后的风险，也不能理解隐私政策的内容，因此，若承认个人信息财产权，信息主体可能会对个人信息的交易作出非理性的决策，从而伤害到自身的权益。[41]

对于该问题，应规定当商家利用个人信息的方式产生较高的隐私风险时，商家应有义务采取相应的技术保护措施降低隐私风险，避免对个人权利的过度侵犯。贝格尔松教授指出，在卡拉布雷西-梅拉米德规则（Calabresi-Melamed rules）下，当人们寻求避免无法以货币衡量的外部成本时，往往会强加给自己一个限制，即不可转让性，禁止这些产生外部成本的交易，如此他们就不会屈服于那些有害的诱惑。[42]在个人信息的交易中，如果有相当数量的人都放弃隐私等权利而选择换取商家提供的优惠券，那么整个社会都将受到伤害，因此，在信息不对称和存在集体行动困境的前提下，禁止私权的过度让与，可使信息主体免于非理性决策的风险。[43]

结语

大数据时代下的个人信息是具有商业价值的，它是无形财产也是一种稀缺资源。从理论角度而言，赋予信息主体财产权能够避免具有优势地位的商家掠夺个人信息的商业价值，将商家使用个人信息的负外部性内部化，防止个人信息滥用。在市场实践中，用户同意使用个人信息以换取商家的产品或服务实际上应是一种财产权交易。认可个人信息财产权才能使信息主体拥有更多的获利选择，促进信息市场的交易和发展。此外，法律规则的构建举足轻重，可参照知识产权特殊规则，对个人信息财产权的权利行使方式及其限制作出相关的规定。所谓个人信息的“出售”实质是一种类似于知识产权的许可使用行为。同时，权利的保护边界和行使方式应参照著作权相关规则，设置相应的合理使用规则，并对其保护期限、保护范围以及权利的可让与性作出限制，以保障信息主体的合法权益，回应社会公共利益的需求。