陈醇：基于关联关系的个人信息权保护 | 经贸法律评论202505|人格权|信息权保|经贸法律评论|财产权|陈醇|隐私权

【作者】陈醇（浙江师范大学法学院教授）

【来源】北大法宝法学期刊库《经贸法律评论》2025年第5期（文末附本期期刊目录）。因篇幅较长，已略去原文注释。

内容提要：信息的共享不会损害信息本身而会损害个人权利，保护个人信息的原因不在于个人信息的信息特征而在于个人信息与个人权利的关联关系，既有个人信息权益理论与保护方法或未能全面、正确地理解这种关联关系，或忽视了这种关联关系。个人信息对个人权利的关联利益可分为防御性利益与增进性利益，将以上独立的关联利益上升为权利即是个人信息权，这种通过权利化方法保护上述关联利益的理念可称为关联权利理念。关联权利理念试图从权益本质与保护方法上拓展既有学说，以明确个人信息保护法的真正目标，揭示个人处理者保护个人信息的法理依据，促进信息的利用、集中与各方信息权益的良性循环。《个人信息保护法》的解释中应当根据关联权利理念建立防御权与增益权并重的个人信息权利体系，添加个人信息的使用权、转让权、整合权等增益权规范，明确个人信息处理权的取得方式以搭建个人信息权与个人信息处理权之间的桥梁，以穿透式关联关系解释个人信息处理者对个人信息权的保护义务，并重视《个人信息保护法》与《民法典》的对接适用。

关键词：个人信息；个人权利；关联关系；关联利益；关联权利理念

目次引言一、既有个人信息权益理论的疑问二、基于关联关系的个人信息利益及其权利化三、关联权利理念下《个人信息保护法》的解释四、结语

引言

权利是对法律生活多样性的最后抽象。法律已经成功地将多样性的“法律生活”抽象为各种权利，但是在个人信息的权益属性及其保护方法之上却众说纷纭，权利理论及其保护方法似乎遭遇了各种困难。个人信息的权益属性及其保护方法是个人信息保护法律制度的基础，近年来，个人信息保护法律制度的研究日益繁盛，然而，对其中基础的研究却似乎陷入了困境与无奈。笔者试图从个人信息与信息的区别入手，探索个人信息与个人权利的关系，讨论个人信息的权益属性及其保护方法问题。

一

既有个人信息权益理论的疑问

（一）个人信息与个人权利的关联关系

信息的共享不会损害信息本身，由此得出的结论是，仅从个人信息的“信息”特征上难以得到保护个人信息的法理依据。“信息作为一种资产的最独特特征之一是，它可以在任何数量的人、业务领域和组织之间共享，而不会导致各方价值的损失。”更为重要的是，与大多数资源表现出递减的使用回报不同，“信息实际上在使用越多时价值越高——也就是说，它表现出递增的使用回报。信息的主要成本在于其获取、存储和维护——使用它的边际成本几乎可以忽略不计”。以上学者从资产视角对信息七个法则的研究，足以否认为保护信息本身而保护信息的意图或努力。信息资产法则经常被推广至个人信息，从而得出个人信息应当共享而不是保护的结论。“数据或信息的公共性、可共享性，决定了个人数据本身的公共性”，因此，个人信息保护应当从个人控制到社会控制；也有学者因此认为信息不具有稀缺性，“由基于稀缺的法律到基于充裕的法律，传统私法的权利化体系起初建立于客体（主要指有形物）的稀缺之上，客体的稀缺导致了法律上定分止争的必要”。信息因其共享性特征而不具有稀缺性，就没有必要予以保护或权利化。即使为了鼓励发明创造而保护一些信息，也可以通过知识产权法等完成任务。可见，如果“个人信息”与“信息”没有区别，法律对个人信息予以保护是没有必要甚至是有害的。

但是，“信息”与“个人信息”是不同的，个人信息与个人权利之间存在客观的关联关系。同一自然人的权利与个人信息联结于该自然人，且指向其个人财产或人格的不同方面。“个人信息—个人—个人权利”是一种客观存在的结构，个人信息与个人权利之间的关系不是人为的预设，而是客观存在的关系。例如，张三的金融信息与此信息相应的财产权均联结于张三，且指向相同金融资产的不同方面，它们均秉承金融资产的特征。有学者讨论了信息量与不确定性之间的关系，指出信息是能够用来消除不确定性的东西。自然人的个人信息可以针对性地消除其个人财产或人格的不确定性，从而与个人权利产生关联。个人信息是“个人+信息”，其中不只是“信息”，还包括了个人与信息的联结。信息与个人的关系，终究不过是个人信息与个人权利的关系。从权利上看，个人信息意味着个人权利与其信息之间的关联。这种关联的结果是，个人信息可能影响个人权利的各个方面。任何个人权利的识别、持有、用益、转让或处分等，均必须以个人信息的了解或利用为前提。尤其重要的是，个人信息也是侵害个人权利的通道，侵权人在入侵个人权利之前往往必须先侵害个人信息。例如，侵权人往往是先获得财产权的某些信息，然后再侵害相关财产权。从利益上看，个人信息与个人权利之间存在利害关系，即个人信息可能增进个人权利的收益，也可能给个人权利带来损害。

个人信息保护法应当从个人信息与个人权利的关联关系上寻求其法理依据。因为这种关联关系适用于信息的结论并不必然适用于个人信息：个人信息的共享，不会导致信息本身的损失，但是这种共享会导致个人相关权利的损失。例如，即使A与众人共享其银行卡账户与密码信息，这种共享并不会导致A丢失或减损以上银行卡账户与密码信息，但是这种共享显然可能导致其个人金融资产的损失。因此，信息可以共享，而个人信息不可以共享，且必须予以保护。使用信息的边际成本几乎可以忽略不计，但使用个人信息可能以损害个人权利为代价。个人信息与个人权利之间的关联关系表明，要保护个人权利，必须保护相关联的个人信息；要更好地实现个人权利，也必须促进个人信息的合理利用。个人信息的保护与利用关联个人权利的损害与收益，这是保护个人信息的法理依据。《中华人民共和国个人信息保护法》（下称《个人信息保护法》）第4条第1款将个人信息定义为与已识别或者可识别的自然人有关的各种信息；《中华人民共和国民法典》（下称《民法典》）第1034条第2款将个人信息定义为能够单独或者与其他信息结合识别特定自然人的各种信息。从权利上看，上述法条直接表达了个人信息对个人权利的识别功能。个人信息除了关系到个人权利的识别之外，还关系到其持有、用益、处分、救济等。因此，以上法条实质上表达了个人信息与个人权利之间的关联关系，其中隐藏着个人信息保护的法理依据。欧盟《通用数据保护条例》第24条与第25条“对自然人权利和自由的不同可能性和严重性风险的情况下”等措辞，从风险上间接地表达了个人信息与个人权利的关联关系。

个人信息与个人权利不仅具有关联关系，且其关联关系还具有穿透性特征。无论个人信息是否公开，也无论个人信息因何种原因而为他人所控制，只要个人信息存在，个人信息与个人权利的关联关系就不会消失。穿透式关联关系使个人财产买卖区分于个人信息的处理：在财产买卖合同中，卖方一旦依约交付标的物，他就不再因为标的物或其处理而与买方存在权利上的联结；在个人信息处理中，个人信息虽然处于他人的控制之下，但只要个人信息没有被匿名化等技术去除与个人权利的关联，即个人信息还是个人信息（而不是与个人无关联的信息），上述关联关系就永远存在。个人信息与个人权利之间的关联性是一种跨越主体的关联，为了称呼的方便，可称之为穿透式关联。在个人信息处理与保护之中，这种穿透式关联关系应当受到重视。

（二）个人信息的既有权益理论及其疑问

在个人信息保护的既有理论中，防御性利益说注意到了个人信息对个人权利的防御功能。防御性利益说源于德国，我国学者对此说进行了阐发。防御性利益的目标在于为自然人的既有人格权和财产权树起保护屏障。上述防御性利益并非是对个人信息予以直接支配的利益，为了有效地避免对信息自由、言论自由等的不合理限制，“对于自然人对个人信息的利益应当采取最低程度的保护，即将其仅仅作为一种民事利益给予保护”。以上观点认为这种防御性权益不宜上升为权利。“个人信息保护法旨在防范对人格和财产的抽象加害危险，构成人格利益和财产利益的前置保护性规范，因此，其和侵权行为法对人格权（尤其是隐私权和名誉权）的保护不相排斥，而是互相结合。”以上观点强调了防御性利益的独立性。防御性利益说认识到了个人信息对个人的防御性利益，这是对个人信息与个人（及其权利）关系的认识；同时将此利益局限于防御范围之内，以方便对他人信息的利用。但是，防御性利益说只注意到了个人信息对个人权利的防御性功能，而没有注意到二者之间的其他关联。如果个人运用（包括公开）其信息所得的利益大于其防御性利益，防御性利益说可能会遭遇困扰。防御性利益说对个人信息与个人权利关系的认识还有深入的余地。

与防御性利益说相对，有学者完全忽视了个人信息与个人权利的关联关系，而主张为了公共利益而对个人信息予以共享，此即公共利益说。“个人信息的社会控制论不再把个人信息视为个人的‘东西’，也不将个人信息的使用视为完全由个人控制的事情（或成为个人自由的范畴），而是将个人信息视为社会的共同资源，由社会决定个人信息的使用。”这种公共利益说认为个人信息应当共享以促进公共利益与言论自由。公共利益说可能受到如下质疑：其一，个人信息与个人权利始终存在关联关系，敏感个人信息与个人权利的关联性更强，在此情况下个人信息的共享会在不同程度上损害个人权利。例如，如果共享个人金融信息，就可能严重损害金融资产相应的财产权。其二，即使个人信息共享有利于公共利益，也不足以成为其共享的理由。任何个人权利的共享都有助于公共利益，但是法律并不要求个人共享其财产权，而只规定了个人权益共享的例外情形。这是因为个人资源的共享不仅要考虑效率，还要考虑权利保护、意思自治、公平、比例原则等其他价值观。在忽视甚至否定自然人对个人信息的民事权益的前提下，空谈公共利益或公共秩序，不仅忽视了个人权利，而且最终将损害整体的社会福利。公共利益说还需要根据个人信息与个人权利的关联关系，考虑个人信息共享对个人权利的侵害。

在个人信息保护的既有理论中，权利说认为应当将个人信息上升为人格权或新型权利等，因而可称为人格权说、新型权利说等。以个人信息与隐私权的界分为中心，有学者认为个人信息是一种独立人格权。也有学者认为，个人信息既不是人格权也不是财产权，是一种新型的复合性权利。其他信息权益学说还有不少，于此不一一列举。人格权说认识到了一些个人信息与人格权之间的密切联系，将个人信息归结为人格权；其他权利学说也是如此。下面主要以人格权说为例分析其合理性。权利化是法律尤其是私法保护个人合法利益的基本方式，因此，这一方法的方向是值得肯定的。但是，权利说也面临诸多难题：其一，权利说均未能正确地理解个人信息与个人权利的关联关系。不同的个人信息与不同的个人权利有不同的关联关系，例如，个人账户信息与个人财产权的联结比个人账户信息与人格权的联结更为紧密，为什么此时不将之定性为财产权而定性为人格权？其二，如果将所有个人信息定性为人格权，个人信息的运用就存在诸多困难。对此困难，有学者试图从人格权的财产利益上予以纾解：“如果个人信息同时发挥维护主体人格尊严和财产利益的价值或功能，就应该给予其人格权和财产权的双重保护。”但是，无论如何，这种利益的实现还是受制于人格权的人身属性，而导致其纾解空间有限。个人有时需要其个人信息的自由公开与广泛流通，以实现其个人权利，毕竟婚姻、交易、网络服务等相关的权益，均必须以双方或多方信息的了解或交换为基础。个人信息的流通有时对于个人具有重大的利益，而权利保护特别是人格权保护并不一定有利于个人信息的流通。个人甚至会以付费广告的形式公告自己的个人信息。研究隐私权的学者指出，隐私权的强制保护体现了家长式作风，一些隐私权保护了“不受欢迎的隐私”。人格权说也存在类似的问题。个人信息与个人权利的关联关系并不意味着个人信息不能权利化，但如何权利化却需要更多的考量。

（三）个人信息保护的典型方法及其疑问

不同的个人信息理论采用了不同的分析方法，例如，权利说就采用了将个人信息权利化的方法，或者说是基于权益的保护方法。但是，以上理论侧重于权益属性的归结而不只是分析方法。与此不同的是，不少观点认为，个人信息并不能简单地归结为某种权益，而只能依托一定的方法得出因应性的结论。

场景论是这种方法论的典型之一。国外学者认为，隐私权是个人信息适当流动的权利，应当在“完整语境框架”（the framework of contextual integrity）下进行分析；我国学者据此认为，应当“在分类场景与信息关系中思考个人信息权利保护”。这就是根据场景决定个人信息权益的场景论。场景论认识到个人信息随着场景的特殊性而可能存在差异，认为应当区别不同的场景而考虑个人信息的权益性质、归属及其保护。场景论指出了个人信息权益是一个随着场景变化而变化的权益，其中场景的确定或分类也就成为该方法的关键所在。不幸的是，场景论未能给出确定“场景”的具体方法，而只是认为“场景”是一个受到公正等法律原则约束的变量。这样，就将场景的确定指向抽象的法律原则与变量指标，场景论也就落入“具体问题具体分析”或者“特殊优先于一般”的窠臼。个人信息权益确实因场景的不同而存在差异，例如，个人金融信息与个人医疗信息的保护就存在差异。如前所述，任何个人信息均与一定的个人权利存在关联关系，且这种关联关系是穿透式关联关系，它不会随着场景的改变而改变。场景论指出了个人信息保护的因应性特征，但未能将个人信息与个人权利的穿透式关联关系作为其确定场景的依据。

大概是因为以上理论难以达成共识，一些学者试图另辟蹊径，提出了行为规制模式。国外有学者主张以数据行为的正当程序作为数据纠纷的裁决依据。我国学者认为个人信息利益尚未达到权利的“分配密度”，不宜采用权利化模式而应当采用行为规制模式。“通过权利化模式保护个人信息，无论在理论层面抑或在实践层面均有诸多不足。衡诸民法原理和社会现实，应当采用行为规制模式为个人信息主体提供必要的、适度的民法保护。”在私法中，权利制度与法律行为制度是相辅相成的制度，二者是并列的、同样重要的，不存在替代性的关系。因此，行为规制模式的贡献在于指出了法律行为制度在个人信息保护中的重要地位，但却不宜作为权利制度的替代性制度。

作为对场景论的发展，出现了基于风险的方法（risk-based approach）。“基于风险的方法利用风险的概念使控制者能够调整他们的法律义务。”基于风险的方法是根据个人信息的风险确定或调节个人信息保护的方法。欧盟《通用数据保护条例》引入基于风险的方法，欧盟《人工智能法》更是将风险分为四类进行规制。基于风险的方法以风险评估为基础，使信息控制者能够以适当和有效的方式实施抽象的法律规范。这一方法也得到了我国不少学者的赞同。有学者认为，我国应当采纳“基于风险的方法”以形成“基于风险的合规”“基于风险的规制”“基于风险的损害”等制度。另有学者将基于风险的方法与场景论结合起来：“场景是出发点，风险管理是实现手段，风险管理基于相应的个人信息处理场景，即风险评估与控制必须在相应的场景中进行，场景的构成要素同时也是风险评估的具体操作指标。”“在原理层面，应坚持对人工智能风险进行场景化规制”，“根据具体场景中的风险水平来判断如何对个人信息处理提出要求，避免个人信息保护规则的僵化适用，是基于风险的个人信息保护方法的另一个值得发展的主张”。基于风险的方法从风险上提供了个人信息保护的新视角，如果风险评估能够实现且能落实为企业的义务，那么这个方法在操作性上胜过场景论，且保持了场景论所追求的弹性。但是，个人权利的风险与个人信息保护到底存在什么关系？企业预防上述风险的依据是什么？基于风险的方法没有阐明个人信息与个人权利的穿透式关联关系，也就无法回答这些根本问题。同时，从该方法很容易推导出风险预防的结论，而风险预防并不排斥个人信息权益的分配与事后的责任承担。

综上，以上个人信息权益理论与保护方法或未能全面、正确地理解个人信息与个人权利之间的关联关系，或忽视了这种关联关系，从而存在不少疑问。在个人信息保护的权益理论与方法论之上，还存在众多疑问，需要更多的探索。

二

基于关联关系的个人信息利益及其权利化

针对传统学说或方法的以上缺陷，笔者以个人信息与个人权利的关联关系为基础，尝试探索个人信息后面的法律利益，并阐述将此利益进行权利化的理念及其理由。

（一）对关联利益的保护

基于个人信息与个人权利的关联关系，可以认为，保护个人信息，可以避免个人权利的损害并增进个人权利的收益。由此，保护个人信息给个人权利带来的利益可分为两种：一种是减少或防御个人权利的损害，此即防御性利益；另一种是增进个人权利的效益，可称为增进性利益。以上利益是基于关联关系而得，为了称呼的方便，可将保护个人信息对个人权利的利益统称为“关联利益”。

个人信息的防御性利益是关联利益中的消极利益，也是一种独立利益。基于个人信息与个人权利的固有联结，个人信息一旦被侵害，将随之成为侵害个人权利的入口。因此，要避免个人权利受到侵害，就应当对个人信息进行必要的保护。个人信息对于个人权利的防御性利益，如同房屋的围墙对于房屋的意义一样，具有守护权利外围的重要作用。法律正是通过保护大量的、似乎“无用”的个人信息，维系了个人权利的安全。防御性利益是潜在的、隐形的，当个人拥有这种利益之时，未必会认识到它对于个人权利的安保功能，只在个人信息受到侵害（例如被犯罪分子获得）之时，才能显现其重要地位。拥有它似乎无用，而失之却可能祸患无穷，这是防御性利益的消极利益特征。同时，防御性利益也具有独立性。如前所述，防御性利益说将个人信息利益独立于人格利益和财产利益，强调了其独立性特征。侵犯个人信息权并不必然会侵害相关联的个人权利，对个人信息的侵害区别于对个人权利的侵害，有学者将后者称作个人信息侵权的“下游损害”。该观点蕴含着防御性利益与权利本身利益的区分。防御性利益并不是权利本身包含的利益，它是独立于个人权利的利益。

增进性利益通过个人信息增进个人权利的行使与利用而增加效益，它是关联利益中的积极利益。明确个人信息，得以更好地识别个人权利，进而更好地行使与利用个人权利。这其中常见的情形是，通过个人信息的相互交流，权利人可以让他人了解自己的权利，并了解对方，进而建立更为有利的法律关系。个人信息对人格权的增益在于，通过相互性的个人信息交流，个人可以建立适当的人格权法律关系，如通过相互性的个人信息交流建立更为美满的婚姻家庭关系。个人也可以通过个人信息的结构化，建立自己的人设，从而形成自己的画像，完成自我界定与自我塑造。在数字社会中，增进性利益已经成为构建身份的重要利益。“如果我们在身份建构的语境下重新理解个人信息保护的规范意义，就能发现，个人信息保护的对象从来不是个人信息本身，而恰恰是个人在数字时代身份建构的自主性和完整性。”但不可忽视的是，个人信息也有助于个人增进其财产权益。例如，在网络带货活动中，个人通过个人信息的运用而获得巨大的流量，进而开展大规模交易获得更为丰盈的收益。利用个人信息增进个人财产利益，已经成为数字时代的常见情形。“数据/信息并不仅仅是一种新的生产要素，而是具有某种分析预测、规划控制和调剂分配人力、资源、机会的中枢功能机制，这也正是当今‘大数据战争’的一个深层动因。”在交易中，个人信息对财产权的增益在于，个人信息的适当披露与交流有利于避免信息不对称，从而促进交易效率、保障交易安全与意思自治。因此，个人信息的增进性利益与其防御性利益一样，都是个人信息对其个人权利的重要利益。

增进性利益也不是个人权利本身的利益，而是一种独立利益。惠勒提出了一个著名的论断：“万物源于比特（It from bit）。”该理论的直观意义，“就是指物质、实体等万物来源于以比特度量的信息”。信息或许并不是万物之源，但这一理论有力地彰显了信息在数字时代的独立地位。增进性利益的独立性表现于，获得个人权利不等于获得相关的个人信息，而获得个人信息需要另外的成本。同时，个人信息的利用不等于个人权利的利用。个人信息的不对称可能影响交易进而影响相关个人权利。例如，二手车的买方因为信息不对称而可能尽量压低价格，这反过来会导致卖方难以以合适的价格卖出高质量的二手车，最终造成“劣币驱逐良币”的结果，导致市场的萎缩。这说明了个人信息与相关财产权并不是同一的，且信息的不对称对交易及其相关个人权利可能造成不利影响。科斯指出，为了进行市场交易，双方必须交换信息包括相关个人信息，这些操作通常是非常昂贵的，在一定程度上足以阻止许多在一个定价系统无成本运行的世界中本应进行的交易。科斯认为传统交易理论忽视了交易成本包括信息成本。在个人财产交易中，这种信息成本就是个人财产的信息成本。斯密德将信息成本作为三类交易成本之中的一种。据此可知，个人财产信息是相对于财产的独立存在，个人信息的获得是需要成本的，这种成本将影响交易的效率，进而影响个人权利的效用。以上理论既表明了个人信息对个人权利交换的重要意义，也体现了个人信息相对于个人权利的独立地位。

防御性利益与增进性利益均属于关联利益，但是，二者并不总是一致的，而可能发生冲突。为了保护防御性利益，最好的方式是对所有的个人信息予以保密，尽量不存储、不传输等。这可能会妨碍个人信息的增进性利益。而为了更好地获得个人信息的增进性利益，可能需要向他人披露、提供个人信息甚至同意他人对其信息进行处理。这可能会损害个人信息的防御性利益，给个人权利带来风险。此时，防御性利益与增进性利益可能发生冲突。对于一些个人信息而言，其运用可能不会给个人权利带来过大的风险，如姓名、学历等个人信息就是如此；对于另一些个人信息而言，其运用可能给个人权利带来很大的风险，如个人账户密码与个人行踪信息就是如此，其中的利益冲突非常明显。从价值观上看，防御性利益与增进性利益的冲突往往体现为安全与效率之间的冲突。一些个人信息可能只具有微小的增进性利益，却存在巨大的防御性利益，此时，不能因其增进性利益微小而轻视其防御性利益。相反，一些个人信息可能并无特别重大的防御性利益，却存在相当可观的增进性利益，此时，也不应当因其防御性利益微小而轻视其增进性利益。有时，基于个人的非理性特征，个人可能为了得到微小的增进性利益而向他人披露个人信息，如为了得到平台或线下机构的些许服务或小额礼品而向其披露较多的个人信息。此时，法律可能会干预上述个人行为。

综上，个人信息对个人权利具有关联利益，从损益两方面可分为防御性利益与增进性利益。对防御性利益的保护旨在减少下游损害的风险，对增进性利益的保护旨在增进个人权利的效益，一者防御，一者增进，共同保护个人信息对个人权利的关联利益。从价值角度上看，防御性利益主要关系个人权利的安全，增进性利益主要关系个人权利的效率，而对这种两种利益的取舍与安排则关系个人的意思自治与基于公平的其他考虑。关联利益不是传统权利中蕴含的既有利益，而是因保护个人信息带来的独立利益。

（二）关联利益的权利化：关联权利理念

为了保护个人信息对个人权利的关联利益，笔者认为应当将关联利益权利化，由此形成个人信息权。因为这种关联利益权利化的观念以个人信息与个人权利的关联关系为基础，因而以上权利化理念可简称为“关联权利理念”。关联权利理念的要点如下：第一，该理念以个人信息与个人权利的关联关系为保护个人信息的理由，并据此确定对个人信息的保护范围。个人信息保护法只保护个人信息，那些与个人权利没有关联或失去联结的其他信息，不属于个人信息保护法的范围。这就将公共信息与不具有识别性的数据排除在个人信息保护法之外。第二，该理念运用权利化的方法保护个人信息。这就意味着个人对其信息享有自治的权利，能够自主行使其信息权，当个人信息受到侵害时，可依法追究侵害人的侵权责任。权利化方法意味着可以对权利进行类型化，以分类保护个人信息权，也意味着个人可以通过法律行为等意思自治工具而行使其信息权，如此等等。权利化方法意味着个人信息的保护可以参照私法所建立的权利保护理论与方法。第三，该理念强调关联利益的整体性保护。个人信息权可分为防御权与增益权两种，该理论重视这两种权利的整体性及其保护。这要求法律综合考虑两种权利，追求总体权益的最大化，而不是只考虑其防御权的保护或增益权的保护。第四，该理念强调对个人信息权的穿透式保护。基于个人信息与个人权利的穿透式关联关系，即使个人信息处于他人的处理之中，个人仍然享有对其信息的防御权与增益权，相应地，处理者必须尊重个人的防御权与增益权，并且必须承担保护上述两种权利的义务。个人信息所存在的空间与时间，也就是个人防御权与增益权存在的空间与时间；如果个人因为算法技术而无法行使上述权利，那么处理者应当采取相应的算法技术而完成保护上述权利的义务。第五，该理念试图参考传统权利的保护措施，且试图拓展新型保护措施。传统权利保护方法包括权利化方法，也包括侵权责任的救济方法，还包括对侵权风险的预防方法等。个人信息有其特征，法律需要拓展适应其特征的新型保护方法。

关联权利理念将关联利益权利化，这一理念虽然以权利化方法为基调，但并不是对既有权利说的简单回归。将利益权利化是私法保护利益的一般性方法，个人信息权利化不过是此方法在个人信息保护上的运用。关联权利理念认为应当全面地认识个人信息与个人权利之间的关联关系，而不能基于个人信息与个人的联系，将个人等同于人格权，进而将个人信息权利化为人格权。例如，个人银行密码信息与个人金融财产权的关系更为密切，而个人健康信息与健康权的关系最为密切。将与财产权密切相关的个人信息归结为人格权而不是财产权，未免产生个人信息与个人权利关联关系上的错位。这决定了不宜将个人信息权归入人格权或某种传统权利类型，而必须采纳新的权利界定方法。关联权利理念因此不同于人格权说等。防御权与增益权分别以防御性利益与增进性利益为保护对象，权利后面有具体的利益指向，这使其也不同于空泛的新型权利说。

关联权利理念与既有权利说不同。防御性利益说指出了上述防御性利益及其独立性，这是值得赞扬的，但它忽视了增进性利益，而关联权利理念重视防御性利益与增进性利益的整体保护。公共利益说认识到个人为行使其权利必须将一定的处理权交付给对方，但该说将个人为行使权利而进行的信息交换行为或公开行为等解读为共享，混淆了公共利益与增进性利益。关联权利理念与公共利益说均重视个人信息的运用和公共利益的促进，但二者存在显著的区别：在权益属性上，前者认为个人信息的增进性利益属于个人，后者则认为个人信息属于公共资源；在运用方式上，前者认为个人信息的运用行为是基于私人权利的法律行为，后者认为是基于无偿共享的公共福利待遇；在个人信息运用与公共利益的促进方法上，前者通过明确产权与鼓励交易以促进市场繁荣与公共利益，通过市场机制实现个人信息的充分运用与数据经济的繁荣，后者认为个人信息共享才能带来经济繁荣与公共利益；在法律价值上，前者以意思自治为基础，兼顾权利保护、公平、效率等其他价值观，后者仅以效率为追求，不考虑权利保护、意思自治、公平等价值观。

关联权利理念将基于风险的方法纳入其方法论之中，且试图超越该方法。关联权利理念重视防御权的保护，而防御权旨在预防与应对个人信息对个人权利的风险，这也就是基于风险的方法所要实现的目标。基于风险的方法运用一定的方法来评估个人信息可能给个人权利带来的风险，关联权利理念需要汲取这一风险评估方法。关联权利理念试图从两方面超越基于风险的方法：其一，基于风险的方法难以从法理上解释其中风险的成因以及处理者预防风险的依据。穿透式关联关系既是个人权利风险的成因，也是处理者预防风险的依据。关联权利理念据此理顺了个人信息权与信息处理企业信息保护义务之间的关系。其二，关联权利理念重视其中的增益权，即重视个人信息的利用，而基于风险的方法可能只重视预防风险，而容易忽视个人信息的利用。欧盟《通用数据保护条例》与欧盟《人工智能法》均采用了基于风险的方法，但是这两个法律文件其实也考虑了个人信息与人工智能的利用。如果只有风险而没有收益，那么个人信息与人工智能的运用就应当被禁止，完全不必大费周章地应对以上风险。应对风险肯定不是上述立法的唯一考量因素，相反，增进收益应当始终是上述法律另一个潜在的重要考量因素。因此，基于风险的方法并未全面概括以上两个法律文件中的保护方法。

关联权利理念将场景论中的场景具体到个人信息与个人权利的关联关系之上。关联权利理念还可以随着以上关联关系的特殊化而更加具体，例如，将个人信息的保护具体到个人金融权利之中，从而指向个人金融信息保护的特殊场景。在这种特殊的场景中，特别法的特别原理与特别制度将为个人信息权的保护提供更为具体的原理场景与制度场景，从而将空泛的公正原则等落实为具体的原则与具体的制度。关联权利理念以个人信息权利化为起点，进而涵盖对个人信息行为及其过程的调整。关联权利理念与行为规制模式均重视行为及其正当程序，但二者还是存在差异的：前者仅将个人信息行为调整作为其部分内容，不排斥个人信息权利制度，而后者将其作为全部内容，将行为规制作为权利化的替代之物；前者将基于意思自治的法律行为作为基本行为工具，认为意思自治是个人信息行为的基调，而后者似乎更侧重于将行为作为规制的对象，隐含着浓重的行为强制意味。

关联权利理念隐含着公权力谦抑性理念及对公权力滥用的必要提防。关联权利理念以权利化方法为基调，主张以私权为基础保护个人信息权益，且不排斥公权力对个人信息权益的辅助性保护。这其中蕴含着公权力服务于私权且公权力必须保持谦抑性的理念。基于风险的方法、行为规制模式等均强调公权力尤其是行政权在个人信息保护中的强势地位，从而与关联权利理念大相径庭。个人信息的私法保护固然存在各种困难，但是关联权利理念隐含着对私法的信任：正如历史上私权保护曾经遭遇的各种困难一样，私法可以通过改造侵权责任法、发展个人信息侵权预防制度等逐步克服上述困难，而不应当随便放弃私法对个人信息权益的保护及其努力。行政机关已经掌控了大量的个人信息，过多地依赖行政保护只会增加行政机关对个人信息的掌控；行政权天生具有扩张性，对公权力滥用的控制也似乎不比减少企业对个人信息的侵害更为容易，行政机关侵害个人信息的案例或事件也并不少见，因而，过度地依赖行政权保护个人信息，有时可能并不是个人信息保护的福音。关联权利理念认为，于个人信息保护领域，公权力必须一如既往地保持其谦抑性；即使私法遭遇了个人信息保护的各种困难，仍然必须对公权力滥用保持必要的提防，私法仍然应当努力寻求其解决方案，而不是放弃私法保护方法。

（三）关联权利理念的优势

关联权利理念顺应了个人信息与个人权利的关联关系，明确了个人信息保护法的真正目标。“个人信息保护法”中的“信息”二字，很容易让人混淆“信息”与“个人信息”这两个不同的概念，进而强调信息的一般资产特征而陷入立法目标的迷茫之中。信息不因为分享而损失其信息量，信息资产的七个法则否认了保护非个人信息的意义。个人信息保护法无法从信息的一般资产特征上找到其目标，个人信息权益及其保护方法学说也因此而歧路亡羊。关联权利理念强调“个人信息”与“信息”的差异，指出保护个人信息的目标在于保护它对个人权利的关联利益。关联权利理念将个人信息对个人权利的防御性利益与增进性利益上升为防御权与增益权，确定了个人信息保护法所保护的基本权利体系。

关联权利理念强调防御权与增益权的整体性，这有助于个人信息权益的最大化保护。“在形式和实质层面上，美国对信息隐私的监管与欧盟走了一条不同的道路。美国的做法也让公司可以相对自由地尝试新的数据处理方式。”保护与利用并重很容易成为个人信息保护法的理论共识，但如何落实于其权益制度之上却是一个难题。关联权利理念将上述共识落实于对个人信息权的整体性保护之上。关联权利理念提倡个人信息权的最大化保护，试图克服防御权与增益权此消彼长的极化思维：在防御权与增益权可能产生冲突的场合，并不一定总要以限制增益权的方式保护防御权，而往往可以通过一定的制度安排，在运用中防御个人信息对个人权利的风险，即设计或采用既增进收益又防御风险的方案。关联权利理念提醒个人信息保护法重视权益大小的比较，设计或采用总体权益最大化的制度方案，避免单一权益至上的保护模式。

关联权利理念从个人信息视角揭示了个人权利保护与数字经济发展之间的艰难选择，指出了个人权利保护与数字经济发展的双赢可能。个人信息既与个人权利相关联，也是数字经济的“原料”。个人权利保护与数字经济发展之间可能存在非此即彼的艰难选择：为了保护个人权利（传统权利），可能选择遏制数字经济发展的方式；为了发展数字经济，可能选择降低对个人权利的保护。在经济发展面临困难之时，数字经济的发展往往成为救命稻草，后一种选择可能更受欢迎，这本质上是以个人权利为代价来获取数字经济的发展。在这种选择之下，个人权利不仅没有从数字经济发展中获得同步增长，反而成为数字经济发展的牺牲品。关联权利理念跳出了以上非此即彼的选择思维，它通过防御权来保护传统权利，而通过增益权将传统权利纳入数字经济发展的熔炉之中，不但兼顾了个人权利保护与数字经济的发展，而且使得个人权利借助数字经济得以增进与延伸，同时数字经济获得了传统权利的滋养与培育。关联权利理念解决了传统权利保护与数字经济发展之间的冲突，开拓了传统权利保护与数字经济发展的双赢路径。关联权利理念有助于促进个人信息的集中与各方权益的良性循环。关联权利理念重视个人信息权的增益权，而个人对其信息的利用，必须向他人提供、传输、公开甚至转让一定的个人信息。个人为满足自身利益而进行自愿的个人信息分享，这种分享同时满足了他人的信息需求，从而实现了个人信息的他人利用，增进了公共利益。这就通过自愿的信息分享或交换而实现了个人利益与公共利益的和谐共存。增益权是增进个人权利效益与公共利益的关键性权利。防御性利益说忽视了个人信息中的增进性利益，正是因为这种疏忽，公共利益说才找到了其中的利益空白，才将个人信息的增进性利益错误地归入了公共利益的范畴。以个人信息的分享为基础，平台与数据企业可以通过同意或收集已公开个人信息等方式形成信息集合。这有利于信息的集中，从而形成数据库。财产经过集中才能形成资本，才能充分发挥财富的作用；信息集合与资本形成类似，只有集中才能形成数据库，才能充分发挥其作用。“个人信息的碎片以几分之一美分的价格出售，直到这些信息被收集并与类似社会经济阶层的个人资料汇总在一起，才具有价值。”单个的个人信息往往价值微小，数据公司等通过收集与处理海量的个人信息，才能生成巨大的价值。大数据的生成进而有助于人工智能在信息处理中的运用。以海量信息为基础，算法成为数字经济发展变革的核心推动力量。在大数据与人工智能的双重作用下，个人信息得以发挥其最大效用。可见，关联权利理念有助于个人信息的利用，进而促进信息产业的繁荣。同时，通过一定的制度安排，数字经济可以给个人带来更多价廉物美的信息服务，如此，就可能形成“个人利用个人信息—公司收集信息形成信息库—处理信息获得巨大利益—提供价廉物美的信息服务”的良性权益循环，以个人信息的增益权为起点，形成个人信息利用的共赢局面。

关联权利理念有助于对不同个人信息权实施分层保护。个人信息权的重要性可能取决于诸多因素，其中所关联的个人权利及其与个人信息的关联度是两个重要因素。根据这两个因素可以对个人信息权进行分层保护，例如，将个人信息分为敏感信息与普通信息，对敏感信息进行特别保护。同时，个人信息权中还可以引入侵权概率（或侵权风险）与预防成本等概念，运用汉德公式计算其成本与收益，当个人信息权损害与侵权概率的乘积大于预防成本时，确定企业的预防义务。法律还可以根据以上因素，参考行业特征与经验对个人信息作出更为具体的分类，以实现个人信息的精细保护。例如，2020年《个人金融信息保护技术规范》“4.2 个人金融信息类别”部分，根据个人信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别，对其处理的金融流程进行全程保护。

关联权利理念尊重个人信息权与传统权利的客观联结，有助于借鉴传统权利的保护方法。个人信息与个人权利的关联关系表明个人信息保护可以从个人权利保护中寻求一定的依托。当个人信息与个人权利存在高度关联之时，它应当得到近似于或相同于个人权利的保护。例如，当某种个人信息与特定人格权存在高度关联之时，它或许应当得到近似于该人格权的保护；当它与某财产权高度关联之时，它或许应当得到近似于该财产权的保护。因为只有这样，才能保护其后面的个人权利。人格权将一些与人格权高度关联的个人信息视为人格权而进行保护，其理由正是如此。当个人信息与个人权利存在高度关联之时，可以借鉴个人权利的保护方法来保护一些个人信息权。例如，可以参照适用人格权侵害禁令，以保护一些与人格权存在高度关联关系的个人信息。

三

关联权利理念下《个人信息保护法》的解释

《个人信息保护法》的适用需要以解释的方法弥补其缺漏，关联权利理念可为《个人信息保护法》的解释提供一以贯之的原理与线索。

（一）建立防御权与增益权并重的个人信息权体系

个人信息权包括防御权与增益权，这为《个人信息保护法》解释中的个人信息权体系化提供了线索。据此，可形成“个人信息权—防御权与增益权—防御权与增益权的子权利”的体系，对该法中的个人信息权作出体系化解释。

《个人信息保护法》总则可解释为个人信息权的定义、依据及其权利体系安排。该法第2条规定：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”该条宜解释为个人信息权保护的宣示性规定。该法第5条规定了个人信息权的自主行使，禁止通过误导、欺诈、胁迫等方式处理个人信息。权利主体可以行使其权利，这是意思自治的题中应有之义，该条可解释为对个人信息权的直接规定。所谓个人信息“决定权”或“自主权”，就是个人信息权本身，不必另行命名。该法第4条第1款规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”该条说明了个人信息的范围，也说明了个人信息保护的依据，即保护个人信息的依据不是因为它是信息，而因为其与个人权利的关联关系。“现代社会就是信息社会，但不是任何信息都属于个人信息，只有与个人有关联性的信息，并且该个人能够从中被识别出来的信息，方为个人信息。”联结上述两个条款，建议在该法的解释中，将个人信息权分为防御权与增益权，并明确鼓励个人信息的利用。为此，可考虑增加如下解释：“个人信息权包括防御权与增益权，国家保护个人信息，同时鼓励个人信息的合法利用。”该法第4条第2款规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”有观点据此将个人信息权分为披露权、隐私权、知情权、使用权、查询权、更正权、复制权、携带权、删除权等子权利。这可以解释为对个人信息防御权与增益权子权利的体系化表述。这一规定吸收了欧盟相关立法的成果。但该条款对子权利的列举有些随意，宜予以更加全面。

个人信息权的分则应当较为详细地规定防御权与增益权之下的各种子权利，《个人信息保护法》中的规定需要据此作出体系化解释。该法第44条规定，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理。该条可解释为对个人信息权子权利归属的总体申明。《个人信息保护法》有时大胆地规定以上子权利，有时又闪烁其词，从而导致该法的权利规范不够明确，同类权利的规范散在各处，建议在上述总述之下，依次规定如下子权利：其一，知情权。该法第44条明确了“知情权”的概念。第7条规定了个人信息的公开、透明原则，包括公开个人信息处理规则，明示处理的目的、方式和范围。第17条规定了处理者在处理个人信息前向个人的告知事项。第23条规定了处理者向其他处理者提供其处理的个人信息时的告知义务与事项。第45条规定了个人的查阅权与复制权。第48条规定了个人对其信息处理规则的知情权。以上知情权规定比较丰富，但散于各处，宜将其统一于知情权项下，且增加程序性规定，以实现其体系化与操作性。其二，更正权与补充权。该法第8条规定，处理个人信息应当保证个人信息的质量，保持个人信息的准确与完整。第46条规定了更正权与补充权。这两个条款宜作整体解释。其三，抗辩权。该法第24条第3款规定，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。这是对不利于自己的自动化决策的抗辩权。该法没有系统地规定抗辩权，例如，没有禁止处理者整合个人信息即形成个人画像的处理行为，也没有规定相应的抗辩权。个人信息整合可改变个人信息与个人权利的关联关系，由弱关联转向强关联。两种或两种以上的低敏感程度的个人信息经过组合后可能产生高敏感程度的信息，近年来，通过人肉搜索、数字画像等整合个人信息已经成为常见的操作。因此，该法应当禁止处理者整合个人信息，建议在解释中增加这方面的抗辩权。其四，安保权。该法第9条规定，处理者应当采取必要措施保障所处理个人信息的安全。该条宜与处理者的预防义务作整体解释。其五，删除权。该法第47条规定了删除权。该法宜对删除程序作具体解释，以增强其操作性。其六，申诉权。该法第50条规定了处理者应当建立便捷的个人行使权利的申请受理和处理机制。基于此，建议对处理者的回应程序作具体解释，以增强其操作性。其七，携带权。该法第45条第3款规定，个人可将个人信息转移至其指定的处理者。携带权是增益权的重要内容，建议在解释中规定更为详细的携带程序。其八，公开权。该法第27条规定了个人信息处理者可以在合理的范围内处理已经合法公开的个人信息，但对个人权益有重大影响的，应当依照本法规定取得个人同意。该条没有规定个人信息的公开权，只是隐含了个人的公开权，宜在解释中直接规定个人的公开权。在以上权利中，知情权、更正权、抗辩权、安保权、删除权、申诉权主要是防御权，携带权、公开权主要是增益权。该法的解释中宜将以上子权利明确化与体系化。

纵观该法对防御权与增益权的规定，防御权相对较多，而增益权有所欠缺，宜在该法的解释中适当予以补充。这包括：第一，增加使用权的规定。个人可能会使用其个人信息，这是重要的个人信息权，宜在解释中对此作出规定。第二，增加转让权的规定。转让个人信息是数字经济中常见的现象，数据作为对待给付的商业模型已经得到了肯定与研究。该法回避了个人信息的转让问题，也没有规定转让权。这遮盖了个人信息权人与处理者之间的法律关系，造成了个人信息权与处理权之间的断裂。第三，增加个人信息整合权的规定。个人在数字时代进行自我界定与自我塑造往往是通过多种个人信息的整合而完成，个人信息整合而形成的人设包括人格与财产方面的画像以及综合性画像。权利结构理论认为，权利人可以通过分解或合成既有权利来建构新的权利，生成新的权利及新的性质与功能。个人信息权也是如此。个人信息整合是数字时代个人发展其权利的重要方法，也可能成为损害他人的重要方法。从权利上看，个人信息的结构变动及其结论可能随着算法的不同而不同，且随着算法的变动而变动，其结果是对自然人的人格权或财产权甚至对整个权利进行新的、动态的界定与塑造。该法宜增加整合权，以明确个人变动其信息结构的权利，从而有助于个人根据自己的需求来决定个人信息结构的变动，并对抗他人的非法数字画像。该法的解释中宜增加以上权利，以充实增益权，进而方便与鼓励个人对其信息的利用。

（二）正确理解个人信息权与处理者权利义务的关系

《个人信息保护法》一方面将个人信息权益定位为个人的权益，另一方面又规定了处理者对他人信息的处理，这其中存在的裂缝是：处理权与个人信息权是什么关系，或者说，处理者应当如何合法地取得他人的个人信息权？“在那个著名的早期美国案例中，法院得出结论，处于自然状态的野生动物在被捕获之前不归任何人所有，谁先捕获动物，谁就对它拥有优先的权利。今天，法院以类似的方式看待个人信息。”如果不能将个人信息视为无主物，那么为了避免上述逻辑断裂，该法在其解释中需要建立处理权与个人信息权之间的桥梁。该法第二章第13条第1款规定以“符合下列情形之一的，个人信息处理者方可处理个人信息”引出了同意、为履行法定职责或者法定义务所必需等七种情形。这一条本质上是规定处理权的取得方式，但因措辞不明而容易引发误解。该法的解释中宜将其明确为处理权的取得方式，以便链接个人信息权与处理权。第13条第1款列出了取得处理权的七种情形，其中多数需要对接相应的法律予以解释，其注意事项见下一部分。

该法的解释应当明确个人信息处理对个人权利的无害原则。与获得物或其他客体的处理权不同，处理者对个人信息权的保护义务，是基于穿透式关联关系而承担的特有保护义务。《个人信息保护法》第四章规定了“个人在个人信息处理活动中的权利”，第五章规定了“个人信息处理者的义务”，该法应当依据穿透式关联关系解释以上权利义务及其对应关系。根据穿透式关联关系，处理者享有个人信息的处理权，但不得损害个人信息所关联的个人权利，这便是无害原则。该法第9条规定处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全；第51条规定了处理者的安保义务。这两条宜规定根据无害原则进行解释。该法还应当将一致性原则解释为无害原则的内容，要求在个人信息处理中尽量保持与个人信息相应权利的一致性，禁止虚假陈述或歪曲性的画像。从私法上看，无害原则要求《个人信息保护法》尊重《民法典》等规定的既有权利。根据无害原则，该法还应当建立一些禁止性规范，例如限制甚至禁止一些与人格权高度关联的个人信息的转让与处理等，禁止转让与处理色情淫秽信息等。

《个人信息保护法》应当因应个人信息的特征而解释处理者对个人信息侵害的预防制度。个人信息侵害具有传播速度快、不断蔓延的“传染性”特征，这可能导致无限扩大的侵害，从而造成难以补救的后果。因此，个人信息保护不能局限于后果的处置，而必须采用风险预防的方法。该法第五章重点在于损害风险的预防，其中第51条规定了六种风险预防措施，第52条与第53条分别规定了个人信息保护负责人制度与代表人制度，第54条规定了合规审计制度，第55条与第56条规定了风险评估制度及其内容。从风险预防的行为顺序上看，应当是先有责任人与义务，然后有风险评估，再有预防制度，最后是合规审计。因此，该法的解释中应当重建上述条款的顺序，以形成顺畅的程序与体系，其中步骤可结合个人信息保护的生命周期理念，引入对个人信息处理进行全周期保护的程序理念。同时，该法的解释可考虑引入风险评估方法，以避免无限预防的困境。第57条规定了风险处置制度，应当与上述预防制度一起，解释为预防与处置并重的个人信息保护体系。

《个人信息保护法》应当根据关联权利理念，解释个人信息的分类保护制度。第二章第二节“敏感个人信息的处理规则”与第三节“国家机关处理个人信息的特别规定”，以及第五章“个人信息处理者的义务”第58条规定了个人信息数据库处理者的特别义务，均是基于关联权利理念的分类保护制度。在上述特殊情况下，该法因应个人信息类型的特征而赋予个人特别的权利，并要求处理者承担特别的义务。该法将上述内容置于不同的章节，有时侧重于个人权利的规定，有时侧重于保障义务方面的规定，在体系上比较混乱。其中，“敏感个人信息的处理规则”与“国家机关处理个人信息的特别规定”未能与处理者的特别预防义务联结起来，在解释时需要增补其预防义务。归集个人信息而形成数据库对于发挥个人信息的用途具有重大意义，与此同时，因所涉个人信息众多且信息量巨大而具有系统重要性，可能生成系统性的个人信息风险。信息与大数据观念的结合，可以让人们认识到个人信息的种类、数量、价值、物理性状等各种情况及其相互关系，可以避免人们“关注数据小滴，错失大数据海洋”的局限。该法第58条规定了个人信息数据库处理者的特别义务，但因涉及系统性的信息风险，且处理者与个人的关系比较复杂，还涉及个人信息的算法问题，宜另列一节规定其各种行为及其权利义务，以弥补该条规定过于简单的缺陷。

（三）重视《个人信息保护法》与《民法典》的对接

《个人信息保护法》的解释中应当注意与《民法典》等相关制度的对?接。《个人信息保护法》中的个人信息权与《民法典》中的个人权利存在关联关系，这是二者对接适用的基础。个人信息权可以根据个人信息与个人权利的关联程度分类，如分为人格信息权（与人格权相对密切的个人信息权）和财产信息权（与财产权相对密切的个人信息权）等。个人信息可能与人格权的关联关系更为密切，也可能与财产权的关联关系更为密切。例如，与财产权密切关联的个人信息如个人账户密码就不宜理解为人格信息。《民法典》总则编第五章“民事权利”第111条所说的个人信息应当包括人格信息与财产信息，而该法人格权编第1034条中规定的个人信息应当仅仅被解释为人格信息。其中，个人信息权与传统权利之间的关联程度可为保护个人信息权提供参考。《民法典》第467条第1款规定，非典型合同可以参照适用最相类似合同的规定。如果特定个人信息与传统权利存在最相关联的关系，那么或可参照适用传统权利的保护方法。例如，与特定人格权最相关联的个人信息权，可以参照适用该人格权的保护方法。《个人信息保护法》的解释中或可考虑如下条款：“法律对个人信息已经有特别规定的，优先适用其特别规定。如果个人信息保护法没有规定的，可以参照适用与之最相关联的权利的规定。”这一规定的意义在于，它将个人信息的保护依托于《民法典》之上。

《个人信息保护法》没有规定交易信息是否属于个人信息的问题，这需要参照适用《民法典》物权编第八章“共有”中的共有制度。用户在平台进行交易（购物或接受服务），其涉及的信息可分为个人用户的既有信息与因交易而产生的新信息，后者包括交易时间、标的、价款、支付方式等方面的信息。个人用户的既有个人信息属于用户，其归属是明确的，不存在平台所有、二者共有等各种疑问。因合同而产生的上述新信息，如果没有另外的约定，应当归合同当事人共有，即个人与平台或其经营者共有。参照《民法典》的共有制度，以上共有信息人应当共同享有权利与承担义务，各共有人享有平等的权利义务，其收益应当共同分配，权利的重大变动与处分必须征得全体共有人的同意。

《个人信息保护法》第13条第2款应当结合《民法典》的附随义务等进行解释。该法第13条第1款第2项将“为订立、履行个人作为一方当事人的合同所必需”作为获得个人处理权的方法之一，但是因此而取得的个人信息必须依据《民法典》承担保密与不作其他使用等义务。《民法典》第501条规定因订立合同而知悉的个人信息不得泄露与不正当使用，第509条第2款规定了履行合同中的保密义务，第558条规定了债权债务终止后的保密义务。此时，处理者只享有与附随信息义务相应的附随信息权利，这种附随权利小于其他情形下的处理权。同时，附随义务仅限于为订立与履行合同所必需，因此这一义务必须遵守《个人信息保护法》第6条即遵守目的直接、影响最小与最小范围等规定。

《个人信息保护法》第13条第1款第1项“取得个人的同意”，宜结合《民法典》将以上“同意”解释为“意思自治”，即依法律行为而取得个人的同意，以便将之与法律行为制度衔接。法律行为包括单方行为、合同等，它们均是基于自愿的行为，因此不能将所有基于“同意”（意思自治）的行为当作合同，更不宜在法律行为制度之外另行创制新的行为制度。该法出现了27个“同意”，其中各种同意到底是合同还是单方法律行为？较为典型的认识是：“数据交易的法律结构即由合同关系与个人信息处理关系构成。”这种双重结构理论认识到了实务中涉及个人信息的法律行为不一定属于合同，而应当予以区分。值得注意的是，一些观点试图抛开坚实的法律行为制度而另起炉灶，撇开法律行为制度而另行讨论知情—同意模式。例如，中外不少学者在不区分“同意”的行为类型之下讨论“同意撤回权与合同拘束力的冲突”。以知情—同意模式代替法律行为制度，本质上将用户的权利减损为一个“同意”，而将其各种权利细节与对方义务的细节予以忽略，从而方便了平台侵占用户的个人信息权。这减损了用户的合同权利，忽略了平台的义务，“用户被排除在交易之外”。这极不利于用户个人信息权的保护，从长远看也不利于个人信息的利用。因此，建议该法的解释以法律行为制度为基础，在具体的场景中认真区分合同与其他法律行为。正如《民法典》合同编中的任何合同制度均不能简化为知情—同意规则一样，《个人信息保护法》不应当在法律行为制度之外另行解释知情—同意模式。

《个人信息保护法》第69条规定的个人信息侵权责任，也应当结合《民法典》侵权责任编予以解释。个人不行使自己的权利，或者司法系统不能保护这种权利，那么《个人信息保护法》将成为一只“没有牙齿的纸老虎”。在没有下游损害的情况下，仅侵害个人信息是否要承担侵权责任？前文揭示了个人信息权后面的防御性利益与增进性利益，从而可为个人信息侵害的损害后果提供新的思维。个人信息保护法可将防御性利益与增进性利益当作个人权利之外的风险利益，从而与既有风险损害论相契合，为论证侵害个人信息的独立损害后果提供新的视角。个人信息侵害往往具有涉众性与小额特征，累积性损害巨大而个人却缺乏保护意愿与能力，对此困难，司法实践中已经强化了公益诉讼制度，并采纳以公益损害赔偿金、行为替代修复公共利益损害等新的民事责任形态。在该法的解释中，上述尝试值得认真对待。在归责原则上，该法第69条规定了过错推定责任。有学者建议仅在个人信息被算法技术所处理时才适用此归责原则。过错推定责任的初衷是避免被侵害人举证的困难，在个人信息侵权纠纷案中，这一困难源于个人难以理解与控制的算法。因此，上述法律适用的区分是合理的，宜提炼为该条法律适用的规则。

除了与《民法典》的对接之外，还必须考虑《个人信息保护法》与我国刑法、金融法等其他制度的对接适用。限于篇幅，于此不一一阐述。

四

结语

对个人信息保护法的讨论，必须避免两个误区：一是将“个人信息”等同于“信息”，从而忽视个人信息中的“个人”；二是局限于个人信息与个人的关系，而未能深入个人信息与个人权利的关系。跨越上述双重局限，就能直面个人信息与个人权利之间的关联关系，并全面把握二者背后的关联利益，即个人信息对个人权利的防御性利益与增进性利益。个人信息保护法不仅要尊重既有法律所确立的个人权利，即不因数字经济发展而损害既得权益，而且要考虑如何形成既有个人权益与数字经济的良性互动，即考虑既有权益如何借助数字经济而得以增进与延伸，以及数字经济如何得到既有权利的滋养与拓展。本文的关联权利理念将关联利益上升为个人信息权，试图以防御权保护既有个人权利，以增益权促进个人权利与数字经济的良性互动。

关联权利理念强调个人信息权的私法保护，旨在构建个人信息的有序保护网络。有学者在论及刑法的谦抑性理论时说：“位于现代刑事法律科学与现代刑事政策核心的，就是以刑法干预的正当性考虑与刑法干预的谦抑性思想为基础的‘道德→第一次法→第二次法’的犯罪化作业过滤原理。”这是从干预角度予以阐述。如果从权利保护角度阐述以上法理，可以认为，私法制度所构建的保护是第一重保护，而以行政法与刑法等为内容的公法所构建的保护是第二重保护。这种双重保护既不相互重复，也不能相互替代。具体到个人信息权的保护网络之上，关联权利理念下的个人信息权制度，是个人信息权的第一重保护制度，而行政法与刑法等公法对个人信息权的保护，是第二重保护制度。以上对个人信息权的双重保护，前者是后者的基础，后者是前者的补充。关联权利理念强调个人信息权的私法保护，并不是对个人信息权公法保护的排斥，而是对私法保护基础性地位的强调、对公法保护辅助性地位的申明。

-向上滑动，查看完整目录-

《经贸法律评论》2025年第5期目录

【专题聚焦：个人信息的利用与保护】

1.司法公开信息商业化利用的规则建构与实践展开

张杰、郑璇（1）

2.基于关联关系的个人信息权保护

陈醇（22）

3.无需实质同意：同意规则的形式化及其功能

张鼎（44）

【经贸热点】

4.欧盟Intel忠诚折扣案：从形式推定到效果分析的逆转机理

文志成（65）