个人信息究竟属于何种权利客体，是否存在一个独立的个人信息权，一直是业界激烈讨论的话题。从域外法的角度看，世界上存在两种个人信息属性的流行范式：美国的信息隐私权模式和德国的个人信息自决权模式。所谓的“信息隐私权”模式是指将个人信息视为隐私权进行保护。1890年，沃伦和布兰代斯发表《论隐私权》的经典论文，指出隐私权是不受打扰的自我决定权（“独处权说”），后来美国通过“惠伦案”在“独处权说”的基础上进一步发展出“信息隐私权说”，旨在揭示所谓的个人信息具有隐私权的法律属性；所谓的“个人信息自决权”模式是指“个人依照法律控制自己的个人信息并决定是否被收集和利用的权利”[1]。该范式是由施泰姆勒于1971年提出，并在1983年的“人口普查案”中经由实务确认。该模式旨在说明个人信息的法律属性属于自决权的一种。

相较于域外法对于个人信息法律属性的清晰定义，我国始终未明确个人信息的权利属性。2020年《民法典》第110条规定：“自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。”又在《民法典》第六章明确区分隐私权和个人信息的界限，指出“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”由此可以看出，个人信息应不属于隐私权的组成部分，那么个人信息究竟属于何种权利，是属于一般人格权还是财产权？《个保法》（草案）仍未明确个人信息的权利属性，只在第1条的立法目的揭示本法是“为了保护个人信息权益”，对于该“权益”的法律性质未置可否。

笔者认为个人信息的法律属性不明影响巨大。举例来说，当前在涉及个人信息纠纷的民事案件中，法院常将个人信息划入隐私权保护的范畴。而根据《民法典》第4编第6章的规定，私密信息属于隐私权保护的范畴，而私密信息又与个人信息中的敏感信息有交叉。因此，一旦出现侵犯个人敏感信息（私密信息）时，是适用《个保法》进行保护还是划入隐私权保护的范畴？当前法院的审判思路更可能将其划入隐私权保护，从而要侵权者承担停止侵害，赔礼道歉等法律责任。从而《个保法》（草案）所规定情节严重的违法行为要“处于五千万以下或者上一年度营业额百分之五以下罚款”的规定将有可能被架空。

《个保法》草案第4条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”草案对个人信息的定义不同于以往法律的界定，甚至不同于《民法典》。草案所使用的“已识别”和“可识别”实际上借用了欧洲GDPR第4条对于“个人数据（personal data）”的定义。按照GDPR的定义，所谓的“可识别”是指“通过姓名、身份证号、定位数据、网络标识符等，或通过特定的身体、心理、基因、精神状态、经济、文化、社会等方面个人属性能够被直接或者间接识别。”由此可见，个人信息可以通过直接识别、间接识别甚至是只要是相关联的均属于个人信息。实际上，我国法律对于个人信息的界定经历了“直接识别说”、“直接识别说+间接识别说”到“识别说+关联说”再到“直接识别说+间接识别说”的过程。

2012年全国人民代表大会常务委员会发布《关于加强网络信息保护的决定》，其中规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”，该《决定》在法律位阶上确定了个人信息“直接识别”的判断标准。

2016年全国人民代表大会常务委员会发布的《网络安全法》规定个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”，将判定标准拓宽为“直接识别+间接识别”，使得个人信息的界定范围扩大。

2017年最高院、最高检发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定公民个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”《信息安全技术 个人安全规范》进一步解释，判定某项信息是否属于个人信息，应考虑两个路径：一是识别，即从信息到个人；二是关联，即从个人到信息。从而将个人信息识别机制确定为“识别+关联”的判断标准。

2020年《民法典》第1034条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”又将个人信息的范围作了限缩，将判定标准退回“直接识别说+间接识别说”的标准。然而《个保法》（草案）又再一次拓宽了个人信息的识别标准，将个人信息的识别机制再次确定为“识别+关联”的判断标准。且不论草案的规定与《民法典》规定不一致，但就个人信息在界定上的反复无常，也可看出立法机构对于当前何种信息属于个人信息，还处于摸索阶段。

《个保法》草案大大拓宽了处理个人信息的合法性基础，范围由原先的“同意”机制拓展至“订立/履行合同”“履行义务/职责”“应对突发事件/紧急情形”及“新闻报道/舆论监督”，并设置了兜底条款，留存其他合法性基础空间。《网络安全法》第41条只规定“同意”是处理个人信息的唯一合法性标准。由于“同意”机制过于狭窄，《信息安全技术 个人信息安全规范》特地将“同意”拓宽为“明示同意”和“默示同意”，进一步放宽处理个人信息的标准。但是，何为“默示同意”，如何举证证明已经得到了自然人的默示同意，一直是实务中的难题。有鉴于此，2020年《民法典》第1035条规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。”《民法典》指出除了“同意”机制外，法律另有规定的，从其规定。因此，根据《民法典》预留的口子，《个保法》（草案）在借鉴GDPR的基础上，顺势拓宽了处理个人信息的合法性基础。

然而，虽然草案放宽了处理个人信息的范围，但纵观整部草案，立法机构的立法思路似乎仍局限于以往的“同意”机制限制，多数条款的设计仍以“同意”机制作为预设前提，使得处理个人信息范围的扩大失去实质性作用。比如，草案第22条规定“未经个人信息处理者同意，受托方不得转委托他人处理个人信息”；第23条规定“接收方变更原先的处理目的、处理方式的，应当依照本法规定重新向个人告知并取得其同意”；第24条规定“第三方变更原先的处理目的、处理方式的，应当依照本法规定重新向个人告知并取得其同意”等。无论是转委托时要获得同意，还是变更原有使用目的需要“重新向个人告知并取得其同意”，本质上均认为最开始就应该获得自然人的同意。而在草案拓宽处理个人信息合法性基础后，收集个人信息也可能是基于合同约定或法律义务收集的，不一定是获得自然人的同意。可见，草案在设计时仍然将“同意”作为预设前提。

除此之外，《个保法》（草案）还对“同意”机制进行重新设计，分为“一般同意”“单独同意”和“书面同意”等多类别。通常情况下，处理个人信息应取得自然人的同意，此处的同意是指“一般同意”。笔者认为，“一般同意”既可以是书面同意，也可以是口头同意；可以是主动同意，也可以是类似默认勾选式的同意。“一般同意机制”与草案未出台之前的“同意机制”并无明显区别。最大的区别在于“单独同意”及“书面同意”。《个保法》（草案）第24条规定向第三人提供个人信息的，应取得个人的“单独同意”；第30条规定处理个人敏感信息的，应取得个人“单独同意”，法律法规另有要求“书面同意”的，从其规定。实际上，无论是“单独同意”还是“书面同意”，在现有的实践中均较难实现。以APP运营商的隐私政策来说，通常来说，隐私政策都会规定收集用户的个人信息，包括个人敏感信息，但现有的APP运营商对于个人敏感信息，都是以整版隐私政策的方式要求用户点击同意，几乎不会以单独条款的方式让用户单独勾选同意。实施“单独同意”机制，一来对于运营商来说合规成本过大，二来用户体验感也不佳。因此如何应对《个保法》（草案）要求落实的“同意分类型”机制，或将颠覆现有的业态模式。

注释：

[1] 王利明：《论个人信息权在人格权法中的地位》，载《苏州大学学报（哲学社会科学版）》2012年第6期。