【核心提示】法律对于隐私之外的一般个人信息，应该把规制重点放在滥用，而不是披露或公开环节。

　　个人信息是指那些能够据此直接指明或间接推断出自然人身份而又与公共利益没有直接关系的私人信息。它包括但不限于以文本或数据形式存在的个人信息，还包括个人名字、声音、形象或肖像，乃至对个人行为的跟踪记录。现代信息技术极大地降低了包括个人信息在内的信息利用成本，提升了信息的商业价值。电话号码、电子邮箱地址等一些在传统条件下几乎不具有商业价值的个人信息已经成为抢手的商品，一些专门从事个人信息开发和买卖的中间商开始活跃在市场上。随之而来的非法收集、加工、买卖个人信息，侵害个人正当权益的现象也非常普遍。同时，利用个人信息发送垃圾短信和垃圾邮件等垃圾消息的侵权行为也日益成为一大公害。之所以会出现上述严重问题，与现有的法律和理论相关。

　　人格权／隐私权保护模式的不足

　　在我国现行法律下，对个人信息的保护一般仅限于姓名、肖像、隐私等少数类型的个人信息；对于手机号码、家庭住址、教育背景、消费习惯等个人信息一般不给予保护。即便在某些情况下给予保护，由于理论上把所有个人信息视为“人格要素”，因此在保护方式上采取的是隐私权或人格权的模式。在此模式下，对于受害人的救济方式一般是停止侵害、赔礼道歉、恢复名誉、消除影响，极少数情况下也可给予精神损害赔偿，但数额非常有限。此外，由于受害人不能主张财产损害赔偿，其维权成本极高，而加害人的侵权成本极小。可见，人格权或隐私权保护模式在客观上起到了纵容侵权行为的效果。因此，有必要审视既有的个人信息与隐私观念，承认个人信息商业价值的独立性。

　　国内主流观点认为，隐私是一种不愿意他人知悉的个人信息。由此，未经允许擅自公布他人的姓名、肖像、住址、手机号码、工作单位等个人信息的行为都是一种隐私侵权行为。这里包含着两点：一是对隐私的界定是以个人主观好恶、感受为依据，从而易导致隐私成为一个不确定的范畴。二是忽略了不同个人信息的本质及其主体价值，忽略了不同个人信息对社会公众知情权、言论自由、舆论监督等公共利益的意义。而作为（法学上）隐私概念的起源地，美国宪法并没有明确承认隐私权，宪法明确承认的言论自由具有更高的法律地位。因此，基于正常的舆论监督和宪法赋予的言论自由而公布他人的家庭住址、工作单位、教育背景等个人信息的行为，在美国被认为是正当、合法的。

　　法律上的隐私应该是一个内涵确定、外延明确的概念，并能合理平衡个人利益和公共利益。法律上的隐私应该是与公共利益没有直接关系，同时又攸关人格尊严的个人信息。所谓攸关人格尊严，指即使不考虑后续的滥用行为，某些个人信息一经披露或被他人知悉，就会导致主体的人格尊严、社会评价、名誉造成损害。由此可见，曾经被学者们抛弃的我国传统的“阴私”观念更符合法律上的隐私概念。这也正是为何在我国最高法院的司法解释中将隐私的保护纳入名誉权的主要原因。

　　承认个人信息商业价值是独立的财产权益

　　在既有法律和理论下，不区分一般个人信息和隐私，把所有个人信息都视为“人格要素”，纳入隐私权或人格权保护之中；即便对于姓名、肖像等可以充当第二商标的个人信息的商业价值，也被视为人格权的内容，不承认其独立的法律地位。这种观点不仅不利于个人维权，客观上纵容了侵权行为的泛滥，而且不利于财产权和人格权的准确区分。立法应该区分隐私与其他个人信息，承认个人信息商业价值是个人的财产权益，独立于人格权。

　　按照与人格尊严有无直接关系，个人信息可以分为两类：对于那些与人格尊严有直接关系的个人信息，由于其同时兼有商业价值，因此立法应该给予人格权和财产权的双重保护；对于诸如电话号码、教育背景、通信地址、工作单位等与人格尊严没有直接关系的个人信息，只应该给予财产权保护，即主体对这些个人信息的商业价值享有财产权益而非人格权益。如果立法承认个人信息商业价值的独立法律地位及其个人财产权益的属性，那么，那些非法买卖个人信息的侵权行为，就是一种非法占有他人个人信息商业价值，即财产权益的侵权行为。因此，受害人可以主张财产损害赔偿，从而可以减少维权成本；加害人的侵权行为成本则加大，从而有助于减少非法买卖个人信息的侵权行为的发生，并遏制个人信息的商业化滥用。

　　当然，在处理个人信息商业价值侵权的损害赔偿时，会遇到损害赔偿的价值衡量问题。笔者认为，可以采用知识产权损害赔偿中法定赔偿和实际赔偿相结合的做法，即由立法规定一次侵权行为的法定赔偿数额，如果受害人能够证明自己的实际损害或侵权人的违法所得，可以按照实际损害赔偿；如果不能证明实际损害，则应采取法定赔偿数额。当然，立法在规定法定赔偿数额时，应该考虑受害人的维权成本和加害人的侵权成本，从有利于受害人维权和遏制侵权行为发生的角度规定一个数额范围。这样，在具体纠纷裁决时，法官可以根据具体情形酌定裁决。

　　区分个人信息的披露行为和滥用行为

　　在现实生活中，人们之所以将披露诸如电话号码、电子邮箱地址、家庭地址、身份证信息等个人信息的行为视为对隐私权的侵犯，主要是因为一旦这些个人信息被披露，就会导致骚扰电话、垃圾短信、垃圾邮件、跟踪监听、身份盗用等滥用行为。实际上，这种观点是值得商榷的：一方面，它混淆了两种不同性质的个人信息，即法律上的隐私和一般个人信息，前者与人格尊严有直接关系，后者与人格尊严没有直接关系。另一方面，它混淆了个人信息的披露行为与后续的滥用行为。实际上，除了笔者界定的法律上的隐私外，其他个人信息往往是在主体的社会活动中产生的，其基本功能和价值恰恰在于正常的社会交往，正常社会交往过程中对这些个人信息的披露和使用并不会对我们造成直接伤害。因此，如果把某次偶然滥用后果归结于某次披露行为，其在逻辑上难以令人信服。

　　鉴于披露与人格尊严没有直接关系的个人信息行为本身并不必然导致对个人信息的滥用行为，且这些信息攸关社会公众的言论自由、舆论监督乃至知情权的实现等公共利益，因此法律对于隐私之外的一般个人信息，应该把规制重点放在滥用，而不是披露或公开环节。由于对隐私之外的个人信息的非法买卖和商业性滥用往往侵害的是主体的财产权益，应该向受害人承担财产责任；如果是非商业性滥用行为，侵害的可能是其他权益，因此，应该根据其侵害的具体权益，分别追究其相应的法律责任。对于隐私的商业性滥用和非法买卖行为，其不仅是对人格权的侵犯，也是一种侵犯财产权益的行为，应该承担人格侵权和财产侵权的双重法律责任。

　　（作者单位：北京师范大学亚太网络法律研究中心）