论个人信息权保护法经济学分析及其限制

一、我国当前的个人信息保护路径: 具体人格权中的隐私权

目前我国个人信息纠纷的案件集中于一般侵权，而绝大多数的案件审理皆以隐私权来审理。如王卫宁诉云南电信昆明分公司隐私权纠纷案，法院认为: 隐私权包括个人的安宁权、个人的信息保密权和个人通讯秘密权。同时，我国宪法也规定公民的通信自由和通信秘密受法律的保护，因此，个人的电话号码应当属于个人隐私的范围。在王菲案中，法院明确提出: 公民的个人感情生活，包括婚外男女关系问题，均属个人隐私范畴。在孙伟国与中国联合网络通信有限公司上海市分公司电信服务合同纠纷上诉案中，法院明确提出: 私人信息是隐私权益的主要内容，包括个人的姓名、性别、职业、学历、联系方式、家庭住址、婚姻状况等与个人及其家庭密切相关的信息。还有在黄某前诉深圳市宝安区某物业发展总公司名誉权纠纷案中，法院认为，公民的住所属于公民的个人信息，公民的个人信息在本人不愿意公开的情况下属于个人隐私的范畴。

由上述案例可以看出，我国目前的司法实践中，个人的电话号码、个人的感情生活、私人信息、公民住所等都纳入了隐私的范畴。首先，在我国语境中，个人信息一般可以分为敏感个人信息和一般个人信息，敏感个人信息指的就是隐私。由此，张三如果侵犯了李四的敏感个人信息，就会产生一种侵权的竞合现象。比如，随意传播个人病历资料，既会造成对个人隐私权的侵犯，也会侵犯个人信息权。所以，侵害个人信息也往往有可能构成对隐私的侵害。其次，从侵害个人信息的表现形式来看，侵权人多数也采用披露个人信息的方式，从而与隐私权的侵害非常类似。或许正是基于这一原因，在我国司法实践中，法院经常采取隐私权的保护方法为个人信息的权利人提供救济。

在我国司法实践中，除了以隐私权这一具体人格权为权利路径对个人信息进行保护外，还有个别判决用一般人格权来保护。在石某某与上海银行股份有限公司一般人格权纠纷上诉案中，由于上海股份有限公司工作的失误，误将案外人的身份证号码登记在石某某名下，导致石某某的个人信用系统因信息归并错误而产生不良信用记录，法院判定被告向原告进行赔礼道歉、赔偿损失。法院作出判决的法律依据是，公民的人格权受到侵害的，有权要求停止侵害，恢复名誉，消除影响，赔礼道歉，并可以要求赔偿损失。

目前的司法保护现状存在两个问题: 首先是我们的时代仍然在不断进步，个人信息的外延在不断扩大，数字化生存、数字化人格、信息的碎片化等概念不断涌现，生动地说明了信息产业的发展和我们生活方式的剧烈改变。个人信息的收集、使用、传播变得越来越容易，个人信息安全已经陷入危险境地。不仅仅包括涉及到个人隐私的信息，还包括与隐私无关的一般性个人信息。如最容易被泄露或者被窃取的，大量都是财产性的个人信息，如银行账号、信用卡号、购物记录、信用记录等信息，这些都无法用传统的隐私权予以保护。其次，隐私权保护模式是一种被动的保护，因为它的根基是人格权。不管是以一般性人格权，还是以隐私权这种具体人格权对个人信息加以保护，都提供的是一种事后救济。而现代个人信息权更多的强调主动保护，强调信息主体对个人信息的控制，强调自由、自决的处理个人信息，这在根本上与隐私权的保护相悖。

值得高兴的是，个别法院对个人信息的保护采取了新的路径。在卢润娟案中，法院认为，中行白云支行在生效判决已认定卢润娟未向其就房屋买卖进行抵押贷款的情况下，仍未向征信服务中心报送卢润娟未贷款的真实信息，从而导致卢润娟在征信服务中心存在和保留不真实的个人信用信息记录，中行白云支行该不作为行为对卢润娟的合法权益已构成侵权。可以看出，本案法院对公民的个人信用信息采用了独立保护模式，而没有将其置于一般人格权或具体人格权( 隐私权) 之下。或许，这是一个值得其他地方法院借鉴的方法。

二、我国个人信息权构建的经济学视角的分析

国内很多学者都已经提出构造独立的个人信息权概念，只不过有的学者认为应当在《人格权法》中对个人信息权作出规定，也有的学者主张单独制定一部《个人信息保护法》。这种论争的本质还是对个人信息权的性质和形式保护之争，并没有抓住我国个人信息保护立法的核心要素。更值得我们讨论的，是以人格权为中心调整个人信息的保护，包含财产利益和人格利益两部分内容的一元模式还是保护个人信息精神利益的人格权和保护财产利益的人格利益权共存的二元模式? 解决这个问题，需要借助其他学科的分析手段，尤其是经济学的效用理论。法经济学的研究路径对法律资源的配置有着重大的参考价值，它是一种经济实证的分析方法。在构造同我国国情相适应的个人信息权的时候，必须要考虑立法的成本和收益问题。法律资源的配置成本和收益主要从三个方面来体现: 价格、效率和最大化。

1、价格: 侵犯个人信息需履行法律赔偿责任的隐性成本。经济学提供了一个科学的理论，来预测法律制裁对相关行为的影响。首先要假定制裁就像是价格，而且人们对于制裁的反映与对价格的反映相同。人们通过减少消费对较高价格作出回应。因此可以假设人们对于较为严厉的制裁的反映就是尽可能少的从事会被制裁的行为。体现在个人信息保护中，就是侵犯个人信息的行为会受到承担法律赔偿责任的制裁。那么，什么样的制裁或者价格才是正当且恰当的呢?

虽然2009 年2 月28 日通过的《中华人民共和国刑法修正案( 七) 》增设第二百五十三条之一，将个人信息的保护纳入到刑法的范畴。2014 年3 月15 日全国人大新修订的《中华人民共和国消费者权益保护法》正式实施，其中也规定了个人信息的民法救济和行政法救济的内容。 但整体而言，规定过于笼统，可操作性并不强。举例而言，对于个人信息侵权的救济主要是民法救济，而民法救济最主要的途径就是赔偿金，但赔偿金的适用在目前的法律规定里并不明确。我们知道，责任原则在达到有效率的预防水平上的程度部分取决于法院事实上的赔偿金判给的能力，这些赔偿金分为两种: 补偿性的赔偿金和惩罚性的赔偿金。补偿性的赔偿金意指使受害人完好无损，但在侵权行为法中，却有两个大相径庭的补偿性赔偿金: 一种是符合无差异这个标准的，另一种是无法量化数额的赔偿。前者很好理解，比如对市场上可以求得替代品的物品造成的损害; 后者例子也很多，比如在无法恢复的致残事故造成的身体伤害或者直接造成死亡的情形。惩罚性赔偿金是作为惩罚被告的一种方式而给予原告的赔偿，大部分情况下，法律都明文规定惩罚性赔偿金裁定的条件，惯常的表述是: 当被告是蓄意而为，且令人无法忍受、故意而任性，或具有欺诈性的时候，就可裁定惩罚性赔偿金。 那么，在个人信息侵权案件中，是否适用惩罚性赔偿金? 惩罚性赔偿金的数额怎么量化? 这都是没有解决的问题。

同时需要考虑的是，信息社会中信息的收集、获取以及使用是极具商业价值的。所谓的集群营销就是将建立在人口信息基础上的潜在消费者，按照年龄阶段、收入水平、消费习惯、地理位置、种族等进行分类，然后按照不同的群体投放商品信息。如果对个人信息的收集和加工、使用规定的过度严格，那无疑对商业交易产生重要影响。正如对同样兼具人格利益和财产利益的著作权来说，著作权中所规定的公共获取与使用特权的规定大大促进了人们进一步创作的热情，进而产生了重大的社会利益;反过来，如果法律给与作者过于完整的控制权，那么将会导致作品的生产不足。故而，法律必须在个人信息收集及使用的成本配置上综合考虑。

2、效率: 诉诸个人信息法寻求救助的实际投入与所得。在经济学中，满足以下两个条件中任意一个的情况下，生产过程被称作具有生产效率: a，无论如何变动投入，都不可能以更低的成本生产出同等数量产品; b，或者在现有投入组合下，不可能生产出更多数量产品。另一种效率，是以其提出者命名的帕累托最优，有时也成为最优配置，通常用其考虑个体偏好的满足。如果在不使某人境况变差的情况下，不能使另一人情况变好，则称之为帕累托最优或最优配置。在侵犯个人信息所提供的救济过程中( 尤其是在司法过程中) ，如果诉诸救济的实际投入过高而不得不让当事人选择放弃，那这样的个人信息保护制度将是失败的。

以诉讼为例，诉诸诉讼的首要因素就是选择采用什么样的权利保护路径。这就回到了之前我们讨论的问题，是以人格权( 还要区分具体人格权及一般人格权) 路径还是以财产权路径? 目前的《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题解释》规定了对自然人因人格权利遭受非法侵害有权请求精神损害赔偿。但该赔偿只是从人格利益的层面保护主体尊严，并没有对商业利用个人信息的财产利益予以保护。而精神损害赔偿的原则以抚慰为主、补偿为辅，且允许法官自由裁量，则在发生纠纷时因法官自由裁量判定的赔偿数额的不同，会导致人格不平等的嫌疑。此外，在大多数情况下，未经授权对人格标识商业利用产生的损害主要是一种潜在的经济损失，而非精神安宁的侵扰。因此关键不在于商业上使用具有冒犯性，而是个人未从中获得收益补偿。可见，现有的司法解释不能真正有效保护个人信息权。 同样，采用财产权路径提起诉讼，纵然对保护个人信息中蕴含的经济利益提供便利，但对个人信息中的大量人格利益的保护却无能为力。毕竟，个人信息兼具人格权和财产权的双重属性。

除了考虑诉讼中的权利救济路径外，效率问题还涉及到举证责任的设置以及侵权救济的种类。对前者而言，我们总是在一次次的产品购买、服务评价、账号注册、网页浏览中，不知不觉的个人信息泄露并被收集，举证责任能力的低下以及不知情让诉讼效率大打折扣; 对后者而言，个人信息并非像知识产品一样具有公共产品特征，因而，社会既不存在鼓励个人信息收集的迫切需要，也不存在严厉惩戒个人信息侵权的全面保护。从现有规定来看，对大规模的个人信息侵权主要体现在行政处罚以及刑事责任上，仅仅对涉及隐私的个人信息采用隐私权路径予以保护。此外，个人信息的收集、加工者与使用者往往并不统一，两者在责任承担上是否存在连带关系以及是否存在类似专利制度中权利用尽的规则，都值得在立法中慎重考虑。

3、最大化: 信息主体对个人信息的控制和自决程度。经济学家通常假设每一个经济主体将促使某些东西最大化: 消费者追求效用( 如快乐、满意度) 最大化，厂商期望利润最大化，政客则希望得到最多的选票，政府部门希望财政收入最大化等等。经济学家通常称此为最大化行为假设。个人信息法的制定当然期望将信息主体的权利最大化，而权利的最大化意味着信息主体对个人信息的控制和自决程度最大化。

最大化首先是一种行为假设，然后才是一种目的。在对个人信息侵权引起的纠纷中，信息主体面对不同的个人信息会有不同的期待。举例来说，我们将个人信息分为两类: 一类是敏感个人信息( 如医疗、基因、性生活、健康检查、信用记录、犯罪前科等，甚至可以用隐私来代替) ，一类是一般性个人信息。对于关涉隐私的案件，信息主体选择纠纷解决的途径时会很谨慎。因为官司不止伤害说话者，而且也伤害提出诉讼的人。理查德波斯纳法官特别提出说，隐私案件很少见，因为像这样的诉讼，导致更进一步的宣扬隐私的违犯。 所以，法律的目标，应该是鼓励规范的发展，以及激励人们非正式的解决他们的争端。就理想的前景而言，大多数的问题会是由双方共同处理的，而不是诉诸法律。然而对于更极端和严重伤害的案件，我们需要一些法律的补救措施。

还有一些极为特殊的个人信息侵权案件，它对单个的受害人来讲，损害是轻微的，但是因为受害人的人数众多，所以，它会形成一种集合性的、针对众多人的大规模损害。瓦格纳将此种行为称为大规模的微型侵害。 面对这种情形，因为对于单个受害人来说侵害轻微，所以往往不愿意要求加害人承担责任，对于此种诉讼动力不足的情况，需要由国家公权力机关作为公共利益的代理人去追究侵害人的责任，保护公共利益。

但最大化不仅指个人信息保护的程度和效用。如果单指这个，直接颁布法令禁止收集、加工、使用个人信息就可以了。个人信息既然具有财产属性，信息的购买者也愿意付出一定成本，那么，法律尤其是财产法的任务就是颁布促进交易的法律规定，推动财富的最大化。因此，个人信息保护立法一定要在不同的价值追求之间进行权衡: 涉及人格尊严及隐私的，要做到严格保护; 只是一般性个人信息、事关经济利益的，要考虑到社会交易的发展。

综合以上三方面的要素进行考量，我们可以合乎逻辑地推出: 将个人信息的法律保护单独置于人格权或者财产权保护模式之下都是存在严重的漏洞和瑕疵的。人格权对于保护个人信息中的人格利益部分具有天然的优势，财产权也和个人信息中的财产利益相得益彰，将两种保护模式结合起来，才是我国个人信息保护立法的应由之路。按这个思路，刘德良教授关于个人信息的分类保护是可取的，对于直接个人信息，一般予以人格权保护，对于个人信息商业利用产生的纠纷以个人信息财产权保护; 对于间接个人信息，一般只有维护主体财产利益的功能，以个人信息财产权保护。对于既含有人格利益，又含有财产利益的个人信息给予双重保护。 因此，个人信息保护的二元模式更符合世界发展的潮流，只不过这里的二元并不是前文所指的保护个人信息精神利益的人格权和保护财产利益的人格利益权，而是保护个人信息精神利益的人格权和保护经济利益的财产权。

四、个人信息权克减的具体场域

( 一) 个人信息权与言论自由: 私人事务与公共事务的分野

个人信息中最容易受到侵犯的就是涉及到包含隐私内容的信息，也是信息主体最容易得知自己的个人信息被侵犯的部分。在美国，隐私权的保护长期受到言论自由的压迫。正如詹姆斯M伯恩斯等人所说，隐私权虽然在理论上评价甚高，往往同其他权利，例如新闻自由互相冲突。在同这些其他发生冲突时，无论在国会或法院面前，它的遭受并不好。言外之意就是说言论自由及表达自由在民主社会中具有重要的地位。

美国隐私权的保护源于沃伦和布兰戴斯合写的一篇论文《论隐私权》，发表于1890 年《哈佛法学评论》。沃伦和布兰戴斯首先注意到快拍相机等新科技的出现能够引起精神创伤与痛苦，既然法律已经保护了个人不受干扰的、更普遍的权利，那么，这个权利可以成为发展新的隐私保护的基石。所以，虽然在宪法中没有提到隐私权，但联邦最高法院已经把宪法第一条、第四条、第五条、第九条和第十四条修正案中的某些基本因素放在一起，承认个人隐私是受宪法保护的权利之一。这项权利有三方面:( 1) 不受政府监视和侵扰的权利，尤其是在婚姻问题上; ( 2) 私事不被政府公开的权利; ( 3) 思想和信仰不受政府强迫的权利。 事实上，在隐私权保护确立之前，美国法已经有了关于诽谤法的存在。开始法院认为诽谤不受《宪法第一修正案》的保护，因为诽谤一方面是关于捏造的事物，另一方面诽谤这种破坏人们名声的言论并不属于公共议题，而对于公共议题的讨论应该秉持不受限制的、活泼有力的、完全开放的原则，这是一个深切的国家承诺。直到1964 年《纽约时报》诉苏利文一案，才在诽谤和新闻自由之间划定了界限。在自由讨论之中，错误的言论是不可避免的，而且如果表达的自由是为了拥有他们生存所需要的呼吸空间，那么它就必须受到保护。由此，法院精心设计了一项折衷办法，即区分公共事务和私人事务。正如霍恩所说，在这个问题上，法院一直认为，对政治家、公共活动家、或其他著名人士或卷入社会重大问题的人士，新闻界可以进行非常严厉甚至是片面的批评;而对于缺乏正当理由，指名道姓地披露私人或家庭事务，则将适用一些严格得多的标准。

隐私法与言论自由更容易有冲突，因为诽谤法是适用于谬误，而隐私法在所流传的信息即使是真的情况下，仍准许信息主体从伤害中获得补偿。著名侵权学者威廉普罗塞认为隐私权像是在创造一种力量，它能够审查大众被准许阅读的东西，而且其延伸程度远远超过诽谤法。

回归到个人信息权与言论或表达自由的界限上，我们往往采用公共事务和私人事务之分来进行权利边界的划定。对于公共事务，言论或表达自由应理所应当的占据更重要的地位; 对于私人事务，个人信息权理应占据主导。这样的分类也与美国如今的国家立法和行业自律相结合共同构成隐私权保护有异曲同工之处。然则怎样认定公共事务和私人事务的范畴呢? 我们认为应至少从三个要素加以确定:一是信息收集和利用的主体，当代大部分国家或地区的个人信息保护法都严格区分政府和非政府组织，如我国台湾地区的《个人资料保护法》就区分公务组织和非公务组织; 二是收集和使用个人信息背后的目的，要区分这个目的是为了公共利益还是私人利益; 三是被收集和使用信息的公民数量，如果数量巨大，且具有不确定性，那么，就应当认定由私人事务向公共事务转变。除此之外，公共场所和私人场所的界定也是划分公共事务和私人事务的重要标准，这里主要关注的是个人信息中的隐私信息。原则上，发生在私人场所的私人生活肯定会受到法律的保护，那么，当他人在公共场所从事某种活动时，法律是否会保护呢? 在法国，大部分法官都认同，即便他人出现在公共场所，他也享有隐私权。所谓私人生活，是指他人在公共生活之外所从事的活动，此种活动既可能在公共场所进行，也可能在私人场所进行。此种规则得到了其他法官的反复援引，并因此成为法官责令行为人对他人承担隐私侵权责任的重要理论根据。

最后，还必须要强调的是，想完全的界定个人信息权与言论自由的界限是非常困难的，在司法实践中，我们往往要用到利益衡量的法律方法，来对涉及个人信息的案件进行权衡。在美国，关于隐私权与新闻自由间的争论也发明了新闻价值测试，即如果一个特殊的揭露是有新闻价值的，那么公开揭露侵权案将被驳回; 美国最高法院还采纳过更高层面的公共隐私利益的判决原则，即限制言论的行为只有在涉及保护更高层面的公共隐私利益的情况，才有可能得到法律允许; 还有另一种途径是进行言论自由保护和公民隐私的利益平衡测试，在该测试中，法院往往以社会价值和公民价值为最终取向来进行判决。按照该项原则，隐私权一般得不到保护，除非披露他人隐私对社会的价值观造成了重大的威胁。 正如一位著名学者所说: 隐私并非美国唯一珍视的价值，除了隐私我们还重视信息、公正以及表达自由的价值。我们希望能够自由地发现并讨论我们的邻居、名人以及政府官员的秘密。我们希望政府行为公开化，即便这种公开有可能侵犯他人的隐私权。最重要的是，我们希望新闻媒体能够揭露事情的真相并对其进行报道不仅仅是关于政府和公共事务的真相，还包括涉及公民个人的真相。法律保护我们的这些期待当这些期待与隐私权相冲突时，隐私期待往往会落空。

( 二) 个人信息权与信息的自由流通: 静态保护与动态流通的考量

当今社会已经步入信息社会，信息的正常流动对于一国的政治、经济、文化等的发展甚至国家的安全具有重要作用。所以，个人信息保护法一方面需要保护个人权利，另一方面，又不能阻碍正常的信息流动，加大市场主体的交易成本，阻碍社会的进步。尤其在信息时代，信息作为战略性资源，其自由流动具有重要的基础性意义。如果对个人信息的保护走入极端，势必使每一个人都成为一座座信息孤岛，全社会成为一盘散沙。因此，如何协调好个人信息保护与促进信息自由流动的关系，可以说是各国立法当中最为重视的一对核心价值。

我们在思考美国的以隐私权为核心的国家立法和行业自律模式的背后价值时，不可避免的要同美国秉持促进信息自由流通的理念结合起来。国家立法防范的是政府对个人信息的侵犯，行业自律却是出于信息经济自由自主发展的考虑，尽量将妨碍信息流通的成本降到最低。波斯纳认为，每个人都拥有各种形形色色的信息，这些信息对他人甚至整个社会来说具有意义或者价值，可以为他人提供方便和资讯，这时他人会愿意付出对价来购买这些信息。在美国法律经济学的语境下，消费者数据的交换可以减少商人的调查成本: 促进买家和卖家的供求平衡，从而增强市场的效率。 我们再把目光转向欧洲，欧洲联盟在说明制定共同的数据保护指令的原因时指出: 为了消除个人数据流动中的障碍，各成员国对个人数据处理中个人的权利和自由的保护措施必须相同; 各成员国对于个人权利和自由特别是隐私权，在个人数据处理过程中不同程度的保护措施可能会阻止这些数据在成员国之间的传送; 这些差异因此可能对许多欧共体的经济活动形成障碍、扭曲竞争并阻止各国政府履行欧共体法律所规定的责任。欧盟指令第1 条明确规定，各成员国应对个人数据处理中自然人的基本权利和自由，特别是他们的隐私权予以保护。各成员国不应限制或禁止出于与第1 款所提供的保护有关的原因，而在各成员国之间所进行的个人数据的自由流动。欧洲理事会协定在导言部分明确提出: 考虑到遭受自动处理之个人数据越来越多地跨国流动，由此应当扩大对大众权利及其基本自由的保护，尤其是对隐私权的尊重; 同时重申成员国无论国界而保证信息自由流通之承诺; 承认必须在遵守隐私的基本价值和尊重信息在国家间自由流动两者之间达至平衡。经合组织指南在导言部分规定: 在隐私和个人自由的保护方面，在协调诸如隐私和信息的自由流动这些基本的但却冲突的价值方面，成员国有着共同的利益; 成员国应该努力消除或避免以隐私保护的名义为个人数据的跨疆界流动制造障碍。

信息社会中，信息只有通过流通才会产生价值。欧洲的上述几份文件都试图在保护个人信息与促进信息的自由流动之间架设并行不悖的桥梁。国家安全问题、国际反恐问题、国际刑事合作问题、国际贸易问题、国际知识产权保护问题，甚至一国的人权保障问题，都要依靠信息的交流。美国和欧盟为了实现消费者数据流通的顺畅，经历了多年谈判才最终签订了安全港协议。可预见的是，我国最终也会走上与世界各国进行密切信息交流的路途。因此，制定一部具有前瞻性的、符合我国现行法律体系的个人信息保护法，是必须且可行的。

( 三) 个人信息权与国家安全利益: 正常状态与紧急状态的区分

一个国家或社会基本上可以分为正常状态与紧急状态两种。正常状态下，政府的行政行为不得侵犯公民的基本权利，但紧急状态下，国家的行政权在一定程度上扩大、甚至对公民个人的某些权利进行克减，这是合乎法理的。一个国家宣布进入紧急状态一般是基于国家安全存在现实的、即刻的危险，尤其是面临恐怖主义的袭击等。美国联邦宪法起草人Alexander Hamilton: 虽然该国家是一个崇尚自由意志的国家，它也不得不服从于这样一个事实: 防止外部威胁，保障国家安全是国家行为的主要驱动力。战争对一个国家连续不断的摧毁将迫使该国极度需要解放和对社会公共机关的保障，这使得该国的公民一般权利和政治权利逐渐被忽视，但此时的公民更愿意牺牲自己的自由获得安全保障。

在Anon.v. Minister of Defense 一案中，法院认为，在民主社会，保护人权不能作为忽视公共利益和国家安全利益的借口，但是我们不可能只选择追求自由或者只选择保障国家安全，我们应当在这两者之间寻求一种平衡，但是这种平衡非常脆弱，也很难建立。卢梭在《社会契约论》中指出，如果危险已到了这种地步，以致法律的尊严竟成为维护法律的一种障碍，这时候，便可以指定一个最高首领，它可以使一切法律都沉默下来，并且暂时中止主权权威，因为在这种情况下，人民首要的意图乃是国家不至于灭亡。如果不用X 射线扫描乘客的行李箱和身体，就无法查明谁是携带炸弹或其他武器的携带者; 如果在通讯中没有监听，就无法窃听到恐怖分子之间的谈话及行动指向; 如果大街小巷和商场等公共场所没有摄像头，就很难找到可疑的恐怖分子。与和平年代不同，在遭遇恐怖袭击的时期，适当减少对个体权利的保护非常必要，它便于国家针对恐怖袭击采取相应措施保障更有价值的利益。

在事关国家安全利益时，个人信息权的克减是合乎法理的，但必须要强调以下四点。

第一，紧急状态下的权利克减或者限制必须要合乎目的，具有正当性。即在紧急状态期间，国家采取的权利限制措施只能是作为保护公民权利的手段，如学者所言: 在一个社会里保障人权，首先要保证国家安全和领土完整，即国家政权的稳定性，当发生国际国内危机时，正常的宪法秩序受到破坏，人权失去其可靠的基本，从这种意义上讲，维护国家安全是人权保障的前提。因此，保护公民权利才是国家在紧急状态中采取一切措施的最终目的。关于这一点，人权事务委员会已经作了明确的论述: 克减《公约》义务的缔约国，其主要目标应是恢复正常状态，确保重新全面遵守《公约》。

第二，紧急状态下对个人信息权的克减应符合三项原则: 一致性原则，即考察侵权行为与侵权目的是否一致; 最小伤害原则，在所有符合侵权目的的侵权方式中选取最低程度侵害隐私权的方式; 比例原则，侵权目的带来的利益与对他人利益带来的损失之间应该有合理的比例。

第三，即使在紧急状态下，也有一些基本权利是不得克减的。正如Barak 所言，尽管在与恐怖主义进行斗争的同时我们迫不得已需要放弃一部分基本人权，但这也不能作为我们践踏人权的依据。

第四，对公民基本权利的克减必须要通过正式的规范性法律文件立法。《中华人民共和国立法法》第8 条第5 款规定对公民政治权利的剥夺、限制人身自由的强制措施和处罚只能由法律作出。在美国911事件发生之前，《综合犯罪控制法案》( Omnibus Crime Control) 、《道路安全法案》( Safe StreetAct) 、《电子通讯隐私法案》( Electronic Communications Privacy Act) 、《境外情报无线监控法案》( Foreign Intelligence Surveillance Act，简称FISA) 、《笔记录器或陷阱设置规约》( Pen /Trap Statute) 和《反恐怖主义与有效死刑法案》( The Anti - Terrorism and Effective Death Penalty Act) 等共同组成了在危急国家安全时刻，政府对公民个人基本人权可采取的侵犯措施及手段。在2001 年9 月11 日之后，人们更加渴望通过克减公民的个人权利换取整个国家的安全，美国议会也开始加快脚步进行立法，在这种情况下，《爱国者法案》诞生了。《爱国者法案》的立法目的是为了增强政府机关在反恐方面的权力，而且该法案中的许多规定都有可能运用到对一般犯罪的调查中，这体现了对国家利益尤其是国家安全利益的倾斜性保护。

( 四) 个人信息权与权利人同意的抗辩: 被动者的损害与主动者无损害

受害人同意又称为受害人允诺( Consent) ，是指受害人就他人特定行为的发生或者他人对自己权益造成的特定损害后果予以同意并表现在外部的意愿。

我国2010 年7 月1 日起施行的《侵权责任法》虽然没有明文规定将受害人的同意视为侵权抗辩的理由，但司法实践中却是普遍认可受害人同意的效力。德国民法规定，受害人的同意不管是以明示的或者默示的方式表示出来，只要不违反法律和违背社会公德，都可以作为一种正当理由而使加害人免除民事责任。法国民法则认为，受害人的同意并不能完全否定加害人的过错。因为任何一个合理的人都不会实施不法行为，即使这些行为是得到受害人同意的。这种情形下，受害人同意视为受害人与加害人具有共同过错，因此可以减轻乃至免除加害人的赔偿责任，这实质上是用过错责任理论处理此类案件达到与德国民法的有关规定殊途同归的效果。在英美法系国家中，关于侵权行为责任的免除，一人不得就其同意之事项起诉，是为基本原则。所谓同意，须表意人有同意能力，不逾越同意范围且无欺诈行为为限。

可见，在个人信息侵权的抗辩中，权利人的同意也是非常重要的一项。当前，全世界都在流行自我表露( self - revelation) 的文化，例如各种真人秀、个人博客以及各种社交网站等，个人主动将自己信息披露给公众已成为流行。面对这个自我开放的社会背景，以权利人的同意为侵权的抗辩理由将会越来越多，这里至少有两个问题是至关重要的。

第一，权利人的同意怎样作出才是发生法律效力的? 事前还是事后? 明示还是默示? 各国法律规定有所不同。在法国，受害人必须作出明确的同意表示，才能使加害人免除责任，因为在默示的情形下，受害人一般只是意识到并实际上承担了风险，但并不希望损害结果的发生，受害人是有过错的，但并不能以此完全免除加害人的民事责任。所以不能根据推定方式来判断受害人已经同意。在德国，受害人的同意可以是以明示的方式作出，也可以是以默示的方式作出。如果采用明示的方式，受害人可以通过单方面的声明，也可以采取免责条款的形式。如果采用默示的方式，只有在极其特殊的情况下才能推定受害人的同意，如对一个失去知觉的病人实施某种必要的手术。 美国个人信息的隐私权保护采用政府立法和行业自律相结合的模式，其中，技术性保护P3P( Platform for Privacy Preferences) 是一种非常值得学习的平台技术。它是一种可以提供个人隐私保护策略的新技术，用户将其隐私偏好设定在某种软件程序中，当用户访问站点时，就可以清晰地知道自己的个人信息被收集情况，如果站点的收集信息行为与用户自己的设定不符，那么P3P 软件会以指示灯提醒告知用户。P3P 提倡opt - out 规则，以对话框的形式出现，消费者点击的项目为明确表示反对收集利用的个人信息，其他未选的项目视为消费者默示同意收集处理。 美国著名隐私侵权行为法专家普若瑟曾专门讨论了权利人同意的问题。他认为: 虽然被告能够主张的隐私侵权抗辩事由多种多样，但被告能够主张的最主要的还是证明原告同意被告披露自己的相关隐私。这种同意既可以是明示的，也可以是默示的。比如原告明知被告将其肖像用在商业用途上而仍然允许对方拍照，那么被告的行为就无所谓普若瑟所提出的擅自使用他人姓名和肖像的隐私权情形了。

第二，在公共场合出现是否意味着对个人信息的公开，尤其是个人的肖像? 美国曾有一宗典型的此类案件，Gill 夫妇在洛杉矶的菜市场当众拥抱，他们的拥抱被一新闻记者拍照并作为新闻的插图播出，因而引起纠纷。法院在判决中写到: 被告这一行为不属于侵犯原告人格尊严的行为，因为根据Gill 夫妇当众拥抱的事实可以推知他们当时放弃了隐私并默示同意被告对其照片的公开。对此，德国法却持有不同的看法。在德国，如果行为人公开的照片不具有新闻价值或者有合理的理由不受大众关注，那么，即使是名人，在公共场合也能享有隐私权的保护。1999 年，德国联邦宪法法院宣布，一般人格权不限于保护家庭领域的隐私。无论是在当然私密的场所还是明显与外界隔绝的处所，人们都享有基本的远离公众关注的权利，关键要看人们是否有正当理由证明自己没有进入公众的视线或者自己进行的事物不具有公共利益。2004 年欧洲人权法院对摩纳哥卡洛琳公主一案的裁判也旗帜鲜明地表明了这一点。该案的基本案情是: 卡洛琳公主是摩纳哥亲王兰尼埃和美国好莱坞影星格雷丝凯利所生育的女儿。由于多家德国小报不断公布其家人的照片，卡洛琳不得不向德国法庭提出起诉，希望能阻止这种侵犯个人隐私的行为。1999 年12 月，德国联邦宪法法庭认定，由于公主和她的孩子是公众人物，所以应该容忍媒体在公共场合公布其照片，拒绝了公主要求德国媒体不再公布其照片的做法。不满判决的卡洛琳公主随后向欧洲人权法庭提出上诉。2004 年6 月，欧洲人权法庭推翻了德国法庭的判决结果，认为德国政府此举违反了《欧洲人权公约》保障个人隐私权的规定。

总之，自愿者无损害( volenti non fit iniuria) 这一古老的拉丁格言，在对个人信息侵权的抗辩中，将成为重要的理由。