二、个人信息与个人信息权

(一)个人信息

迄今为止，全球已经有50多个国家和地区对个人信息进行立法保护，但各个国家对个人信息的概念和表达并不完全相同。欧盟国家普遍采用欧盟95指令中的定义，对个人信息采用个人数据的概念，即个人数据是指能够确认的个人相关信息。美国的个人信息是通过《隐私权法》中“档案”概念进行保护的，档案指由相关机关保存的区别于其他人的个人身份标记。[5]日本2003年的《个人信息保护法》将个人信息定义为可以识别出是特定个人的信息。[6]我国学者齐爱民将个人信息定义为可以识别出该特定自然人的所有相关信息。[7]我国工信部发布的《个人信息保护指南》中规定个人信息是指可为信息系统所处理、与特定自然人相关、能够单独或与其他信息结合识别该特定自然人的计算机数据。[8]

尽管法律表述不同，但对个人信息定义的核心实质是一样的，即个人信息是指能够识别特定个人的所有信息。“识别性”构成了判断个人信息的重要标准。无论是否私密，凡是与个人相关，能够确定特定个人身份的就都是个人信息。而这一点也使个人信息与隐私区分开来。

(二)个人信息权

个人信息权是一种以个人信息为客体，为权利主体保护和利用其个人信息而设定的权利。在大数据时代，确立个人信息具有双重意义，一方面，确立个人信息权可以使个人信息的利用步入法律认可的正轨，用建立正规信息使用平台的方式杜绝信息“黑市”;另一方面，在个人信息受到非法侵害时能够有专门的法律依据对权利主体进行救济。随着网络信息技术快速发展与应用，仅仅进行事后救济的方式已经难以有效保护个人信息，只有赋予信息权利主体更多权能，防患于未然，才能实现对个人信息的全方位有效保护。在我国学者的研究中就认为，个人信息权“是本人对其资料自由支配与控制的积极性权利”。“保护采用事前防范和事后救济相结合的方式。”[9]所以，确立个人信息权的本质是通过确权的过程赋予信息者权利主体对其个人信息所享有的支配、控制并排除他人侵害的权利。

(三)个人信息权的要素

1.个人信息权的主体是个人信息所有者本人，本人是指自然人。由于法人的信息控制权可通过知识产权法和反不正当竞争法进行保护，因此本文所讨论的个人信息权特指自然人本人的个人信息。个人信息与本人的生活密切相关，体现了权利人的人格和财产利益，侵害个人信息，侵犯的是权利人本人的人格和财产权益，所以，个人信息权的主体是自然人本人。

2.个人信息权的客体是个人信息。如前文所述，个人信息是能够识别特定个人的信息，它是能够将特定个人和其他主体相区分，确定特定个体本人的信息。根据工信部《个人信息保护指南》，个人信息可以分为个人敏感信息和个人一般信息。个人敏感信息最主要指信息者本人不愿向外界透露并采取一定保密措施的个人隐私。我国对于个人敏感信息的保护主要体现在具体人格权中的隐私权方面，但就个人信息权的外延而言，个人一般信息仍缺乏相应规范。

3.个人信息权的内容是本人对个人信息完全的支配、控制，并排除他人非法侵害的权利。个人信息体现个人信息者本人的身份特征，其中承载着信息者的人格属性和财产利益，对信息权利人的价值不言而喻。个人信息权不仅赋予权利人在其个人信息遭受非法侵害时获得救济，更赋予了权利主体积极的控制和支配自己的个人信息的权利。侵权前对个人信息的控制和侵权后的对个人信息的救济相结合，才得以构成对个人信息权利主体全面的保护体系，进而达到在大数据背景下，信息利用与保护相结合，全面保护个人信息的目的。

个人信息权的具体权能包括两个方面:一是个人信息控制权，具体包括即本人能够决定自己的个人信息能否被获取和利用以及所利用的程度和范围、本人能够查询、了解自己的个人信息利用情况以及能够对自己的不正确信息进行修改和更正的权利;其中，信息权利人享有要求信息利用者对其所知悉和获取的敏感个人信息进行保密、加入保密条款和保密措施进行使用的权利，这项权利可以参照传统民法中关于隐私权的相关规定。二是个人信息报酬请求权，即本人享有对信息利用者支付相应价款的权利。[10]