信息隐私权保护模式探析——以消费信用为考察背景

<内容摘要>本文重点分析了两种信息隐私权保护模式，即以财产权为基础的保护模式和以道德权利为基础的保护模式，认为两种保护模式都不能将信息隐私中所蕴含的人格利益和财产利益有机的统一起来对信息隐私权提供完整有效的保护，我们在选择或者建立信息隐私权保护模式时，没有必要卷入一场“准宗教争议”去解决个人对其信息隐私所享有的权利或者利益究竟是一项公民自由还是一种财产利益，而更加明智的选择是另辟蹊径，将商业秘密不履行规则（trade secrecy default rules）修正后适用于信息隐私权保护。

<关 键 词> 信息隐私权保护模式 消费信用 信息隐私许可



Mode of information Privacy rotection in consumer credit YU Shuhong,LI Minghong

Abstract: There are two kinds of information privacy protection mode-the property rights-based protected mode and moral rights-based protected mode. It can be concluded that both of the two models are not able to provide a complete and effective information privacy protection by combining the personality with interests of property. So, when we choose or establish an information privacy protection mode, there is no need to engage in a "quasi-religious disputes" to solve the personal information is a civil liberty or a property interest, it is a wise choice to open a new path, applying modified trade secrecy default rules to information privacy protection.

Key words: information privacy protection; mode; consumer credit; information privacy license


人类进入20世纪以后，信息技术的发展日新月异，商业社会的变革和信用经济的蓬勃发展使得个人信息被赋予了巨大的财产属性。而在计算机普遍运用之后，个人信息的收集、使用和处理更加容易。这种趋势无疑使得个人信息易于遭受人为的控制或侵袭，威胁到个人的信息隐私权（information privacy）。信息隐私权是传统隐私权在现代信息社会的延伸和凸显，它是个人对自身可识别信息的收集、披露和使用的控制权。<①>信息隐私权概念的提出，旨在对抗传统的隐私权在信息时代受到的冲击，赋予信息隐私主体对自己信息隐私的积极的、排他的控制权利，以使个人信息获得有效的保护。信息隐私权包含两层核心含义：信息隐私控制的权利（right of control）和不受侵扰的权利（right of no intrusion）。信息隐私权突出表现在个人对私人事务和私人信息的控制力上，即个人作为私人事务和私人信息的主体有权决定私人事务和私人信息是否公开、向谁公开、用于何种目的等，不仅是个人信息的最初来源，也是其正确性、完整性的最后核查者，以及该信息隐私适用范围的参与决定者。

信息隐私权是以信息形态而存在的隐私权，是由物质形态的隐私权所派生，由个人身份隐私、私事决定隐私和个人领域隐私事项转化为信息状态而得来。因此，一般而言，消费者的信息隐私权是基于保护消费者在消费信用交易中被知悉和掌握的个人的身份、各类金融资产状况和交易情况及公共记录在内的所有信息和资料。大致范围包括个人身份信息、个人交易信息、个人公共信息和个人主观信息等。个人身份信息一般包括姓名、性别、出生年月、身份证件名称及号码、联系电话和通讯地址、社会保障号码、文化程度、民族、职业等。在消费信用交易中，通常还要求消费者提供家庭财产状况，如存款帐号、支票账号、住房权属、汽车品牌年代、融资渠道、目前债务及债权人姓名等信息。个人交易信息主要是指反映消费者商业信用和交易状况的帐务信息（如银行账户号码、密码、存贷款数额等）、信用信息（如持卡数量、透支记录等）、投资信息（证券账户资产构成）等。这些信息全面反映了消费者的商业信用状况和交易状况，属于敏感信息。个人公共信息，是指个人社会公共记录所反映的纳税情况、社会保险金缴纳情况和经过一定年限以后的个人刑事、民事以及行政处罚记录等信息。关于超过一定年限的不良公共记录应当屏蔽，纳入信息隐私权保护的范畴。个人主观信息主要是指授信者将其在信用交易中获得的消费者个人信息隐私进行分析梳理之后所形成的衍生信息及对消费者的主观印象，如记录分析消费者个人的持卡购物信息，就可以了解其交易习惯和消费偏好等。

消费者的信息隐私关乎个人资产、信用状况乃至交易安全，侵犯消费者信息隐私权会产生严重的后果，不仅使消费者个人蒙受财产损失，而且有可能造成消费者信用市场混乱，危及以信用为基础的社会经济的发展。因此，研究消费信用领域中信息隐私权的法律保护颇具重要性和紧迫性。选择一种合理的保护模式是解决如何通过法律手段对信息隐私权进行有效保护这一问题的关键。一般认为，信息隐私权应当采用哪种模式进行保护主要取决于如何认识其性质。大陆法系由人格尊严出发，将包括信息隐私权在内的所有隐私权定位为一般人格权之“非财产法益”的性质，采用人格权保护方法加以保障。而在美国法与美国的隐私权学说中，关于隐私是精神利益还是财产利益尚存在争议，但将信息隐私视为一种财产权的标的或者将信息隐私权视为财产权的一种，在美国的法律体系下并不存在太大的障碍。

一、以财产权为基础的信息隐私权保护模式

就目前个人信息在经济生活中的重要作用和信息商品化的快速发展来看，创设新型的个人信息财产权势在必然。<②>美国学者Alan Westin 1967年就曾提出将个人信息隐私以财产权为基础进行保护。<③> Dean Hal Varian分析了个人信息中作为财产权的消费者信息隐私，以图探求赋予消费者对其个人信息使用的控制力的可能性<④>。个人信息隐私财产权论者实质上就是试图诉诸协商与交换以财产权为基础对信息隐私权进行适当保护。个人信息隐私被认为是一种可以以市场力量加以配置的无形财产，是从丰富的可用个人资料中所产生的稀有资源。<⑤>因此，管理信息隐私应当基于信息隐私的合理分配，不浪费使用这种稀有资源，实质上便是财产权应如何届定与交换，以及应采用什么形式的问题。相应的，在这一保护模式下，应该在法律上确立信息隐私权财产权属性。这样，通过法律赋予个人信息隐私财产权，原本谈判协商实力薄弱的个人即可获得有效地针对其信息隐私权进行谈判协商的能力，信息隐私主体可以对信息隐私具有法律上的权利主张，并可以通过与那些企图利用自身信息的机构进行协商谈判获得补偿利益。简言之，在信息社会里，此种以财产权为基础的信息隐私权保护模式乃是将个人信息隐私视为可以分配给那些与之相关的个人或者该个人以外的商业经营者予以支配和使用的资源。

该模式值得肯定的理由主要有以下几个方面：

首先，保障个人对自身信息隐私的自主控制权。以财产权为基础的信息隐私权保护模式分析的逻辑起点是隐私权中应有的对自身信息的控制权。从这一起点出发，可以将原有的只具有消极权利特征的隐私权设计为具有积极权利特征的信息隐私权。对信息隐私权的保护不再仅依靠侵权法的事后救济，而应赋予信息隐私持有者将个人信息视为个人财富而与欲获取信息者进行谈判的能力。<⑥>信息隐私的财产权模式所追求者，乃赋予消费者对自己的个人信息拥有某种财产权，此作法和“你的个人资料和私人领域是属于你自己的，只有在你做自主选择时，你才会出卖个人信息”的主张相符，而且，至少在理论上，这种架构赋予个人“可以选择要让谁知道自己是谁”的控制力。<⑦>赋予个人信息隐私财产权，可以避免因为信息的公共产品属性而产生的搭便车现象，任何其他人都不得无偿使用该权利资源，他们必须支付价格即机会成本后，才能使用该权利资源。<⑧>因此，个人有正当权利控制自己的信息隐私，个人的信息隐私控制权也因此得到加强。

其次，可以保障市场均衡。在现实生活中，存在一个信息隐私市场，但是个人通常在这个市场中处于极其弱小的地位。<⑨>很多公司企业为了经济利益的最大化，不惜投入时间、精力和费用收集、组织或处理消费者个人信息并将其收集或者获得的个人信息视为己有，<⑩>从而出现市场不均衡状态。而财产权模式肯认了个人对自己信息隐私的控制权，个人可以基于自己的真实意思决定是否公开自己的信息隐私，选择交易信息隐私的对象及交易方式和条件，并从中获得补偿和利益，从而促进市场的均衡。

再次，它肯定了个人对于信息隐私的多样化偏好。该模式有利于很好地解释个人对于信息隐私的多样化偏好。尽管有些珍视个人信息隐私的个人为了保护自己的信息隐私权而选择不参与市场交易，但其他人则愿意将其信息隐私利益出卖给A、B或者C等特定的公司（即使不是X、Y或者Z等其他公司）。或者他们愿意出卖其娱乐信息隐私而不是他们所拥有的其他信息隐私。市场提供了一个有效的价格机制，通过这个机制，个人可以根据自己的偏好选择其信息隐私由谁使用及在何种程度上使用。这样，作为信息主体的个人和信息的购买者都会从中获益。<11>其他的商品交换在这种市场集中运行良好，信息隐私的交换也可能在这种市场机制中得到有效的运行。

此外，有利于克服市场失效（market failure）。目前的市场机制本身并不能解决消费者个人信息隐私被滥用的风险。由于消费者通常并不知悉其信息被某一公司过渡披露的情况，他们很难对该公司进行有效的约束。公司可以通过其市场经营或将消费者的个人信息隐私出卖给第三方，并从中获得使用或转让该信息隐私的全部好处，但它并不因为个人信息隐私的披露而受到损失。用经济术语来讲，公司使利用信息隐私的好处完全内部化，而使利用信息隐私所造成的损失完全外部化，并由此产生过度使用个人信息隐私的系统性激励。从这个角度来讲，市场是失效的。<12>赋予个人对其自身信息隐私的财产权利，被认为是克服市场失效的一个好方法。因为个人可以凭借此项权利控制自身信息隐私，并决定出卖个人特定的信息隐私，并获得该信息隐私所具有的市场价值。企业要想获得个人的信息隐私必须征得作为该信息隐私主体的消费者同意，并付出一定的代价。这使得企业在收集和使用信息隐私时，必须就消费者的信息隐私披露和使用作出谨慎的决策，以避免付出太高的代价。

尽管如此，将信息隐私权保护的任务透过财产权模式完全交给个人来处理仍然存在问题。单一的以财产权为基础的信息隐私权保护模式是否能够达到保护信息隐私权的预期效果，这是有理由怀疑的。

通过财产权体系实现信息隐私权保护的目标所面临的一个最大难题，除了市场的复杂性之外，就是个人信息的可转让性（alienability）。在一般财产权体系下，财产所有人将其财产转让给买方后，买方可以将他从最初卖方获得的任何利益，自由的转让给第三人。<13>但是，财产的自由转让对于信息隐私而言，与其它一般物品存在很大的区别。例如，个人愿意将他的个人信息隐私卖给N公司，以作S目的之用，但是他并不愿意赋予N将其信息隐私转让给M或P的权利，甚至也不愿意让N将该信息隐私用作T或U的目的。个人可能合理估计他从N公司获得的作为S目的之用的个人信息隐私的价值，但是，如果N将其信息隐私转让给M或P，或者N将该信息用作T或U等其他目的，他将无法估算其可能从中获得的价值。因为，信息隐私的收集者倾向于建立一种不履行规则，允许他们以任何方式将其获得的信息隐私自由的转让给任何愿意购买该信息隐私的第三方。然而，珍视信息隐私权的个人则希望建立一种有利于自己的不履行规则，即未经另行协商同意，禁止再转让其个人信息隐私。因此，不建立一种新的财产权体制限制可让与性（transferability）的不履行规则，保护信息隐私权的目标是不可能实现的。<14>

就权利保护的客体而言，以财产权为基础的信息隐私权保护模式实际上是设置了一种以个人信息隐私为标的知识产权。法律赋予作者、发明人和开发商等以相应的知识产权，其经济理论基础就是激励他们创造更多的信息产品。可以说，如果知识产权缺失，个人投资进行知识产品的创新和传播的积极性就很难得到激发。因为，只有在知识产权制度下，个人进行这样的投资，不论是技术领域还是文化艺术领域，才能获得知识产权及相关利益。同时，没有法律保护体系，创造者将很难防止“搭便车的人”（free-riders）侵吞其劳动成果和在市场上以更低的价格销售与其劳动成果相同或者近似的产品。<15>然而，将信息隐私权作为一种财产权的理论基础，与现行知识产权法有关信息产品的财产权体系的理论基础并不相同。个人信息隐私权的客体即信息隐私是事先就客观存在的，并不需要赋予财产权促使其产生或者实现其广泛分配，另外，它也没有研发成本需要补偿。当然，如果人们对其自身信息隐私享有财产权，他们可能会花费时间、金钱和精力去人为制造更多的个人信息隐私（比如，个人可能有的爱好或者想要会见的名人），但我们仍然有理由认为，即使不赋予个人信息隐私财产权，人们也可能从事这种行为。<16>另外，知识产权制度的一个基本原则就是促进科学和文艺的进步，个人信息隐私的产生和传播并不是为了促进科学进步或者技术创新。实际上，以信息隐私为标的创设财产权，是为了限制个人信息的流动以保护信息隐私权，而不是鼓励更多的个人信息产品的产生和传播，这一点与传统的知识产权法的立法主旨是不相容的。

再者，将信息隐私权视为一种财产权，这与信息隐私权是一项基本的公民权利这一理论是相矛盾的。尽管关于个人信息隐私权保护的公民权利概念在欧洲占统治地位，这个概念毫无疑问在美国也得到了一定程度的认可。<17>从公民自由的角度来讲，将个人信息隐私财产化作为达到保护信息隐私权目的一种途径似乎是一种诅咒（anathema）.<18>这不仅可能被认为是达到信息隐私权保护目的的一种不必要而且可能是危险的途径，而且会受到道德的谴责。如果信息隐私权是一项公民自由，那么将信息隐私财产化无异于将选举权商品化，都不是明智之举。

此外，财产权模式得以有效运行是基于这样的假定：我们能够有效的评估我们所拥有的财产的价值，以便进一步做出具体的财产交易决定。然而，对于一个普通个体而言，很难对自身信息隐私的不当使用风险做出一个准确地判断，而对于将其个人信息隐私作为财产出卖所带来的风险或者可能因此获得的该信息隐私的价值，则更难做出准确的判断。简而言之，一个人丢失了他的汽车，他可以从市场上买一辆同样的新车，但是如果他失去了他的信息隐私，他将不可能再获得该信息隐私，因为该信息隐私已经永久性的失去，他当然也很难准确判断该信息隐私的价值。换言之，我们将很难准确的知道我们的个人信息最终会流向哪里，或者它们将会被如何使用，也就是说，我们对信息隐私披露的风险也很难做出正确的评估。<19>信息隐私收集者为了从个人信息隐私中获得更多的利益，他们希望个人信息隐私在更广的范围进行流通。这种信息隐私流通的结果，使得个人信息隐私被信息收集者或者受让该信息隐私的第三人所掌握，作为信息隐私主体的个人潜在的失去了对其自身信息隐私的有效控制。同时，不平等的谈判力量在信息隐私财产权模式下依然存在，消费者个人在市场的选择十分有限。因为，消费者为了能够在银行开立支票账户，或者获得信用贷款等消费信用产品或者服务，就需要取得具有信誉的信用评级报告，而为了获得该信用评级报告，消费者必须接受信用报告公司提供的条件。消费者个人的经济状况也会直接影响到其自身的利益，经济能力差者恒常处于劣势。由于厂商极有可能就比较高的个人信息隐私保护措施收取越来越高的费用，经济状况差，无力负担这些费用的消费者，便会因此暴露在比较差的个人信息隐私保护状态下。在这种情况下，个人对自身信息隐私的控制已经变得极其微弱，实际的控制看来是不可企及的。<20>

二、以道德权利为基础的信息隐私权保护模式

既然以财产权为基础的保护模式似乎很难达到信息隐私权保护的目的，那么，以道德权利为基础的保护模式是否可以有效地担负起保护信息隐私的使命呢？“道德权利”（moral right）原意更精确的表述为“作者的人格权”（author’s rights of personality）。<21>一般来说，作者就其创作的作品享有道德权利，这些权利产生于体现作者个性的文学或者艺术创作，即使该作品进入商业领域，作者仍然能够保留这些权利及相关利益。一般认为，作者的道德权利包括归属权（rights of attribution）和完整维护权（rights of integrity）。归属权，相当于知识产权法中的署名权，是指在作品上标著作者身份的权利；完整维护权，即保护作品免于有害作者声誉的更改的权利。在一些司法实践中，作者的道德权利还包括披露权（rights of divulgation）及撤回权（rights of withdrawal）。披露权就是决定何时、在何条件下披露作品的权利；撤回权，即如果作品不再代表作者观点或者危害到作者的声誉，作者享有撤回所有出版作品的权利。<22>道德权利的一个优点就在于，作者在将其作品出卖给公众很长时间以后，或者出卖给遥远地方的购买者之后，仍然能够实践其道德权利。

因此，道德权利作为一种权利保护模式是否适用于个人信息隐私保护是一个值得思考的问题。实际上，与作者的道德权利一样，赋予个人对其信息隐私的道德权利，比如信息隐私归属权、信息隐私完整维护权、信息隐私披露权和信息隐私撤回权等，可以保护个人对于其个人信息隐私所享有的基于人格的权利和利益。此类权利反映了个人与个人信息隐私的紧密结合，强调个人对自身信息隐私所享有的人格权利。本质上讲，信息隐私权是一组权利的集合，包括支配权、知情权、维护权和救济权等，与作者的道德权利具有内在的一致性，因此个人信息隐私权保护应当可以类推适用道德权利模式。归属权、完整维护权、撤回权等人格权和披露权是最宜于类推适用于个人信息隐私保护的道德权利。

在现实生活中，收集和处理个人信息隐私的公司与作为该信息隐私主体的个人之间常常没有直接法律关系，或者互不知情。这种情形的出现是因为，与作为信息隐私主体的个人具有商业交易关系的企业将其获得的个人信息隐私贩卖给第三方，而该第三方与最初提供该个人信息隐私的个人之间没有任何合同关系。事实上，这种情形在消费信用交易中，特别是在银行信用贷款中，是普遍存在的。在一般情况下，合同法针对合同双方的违约提供救济，而没有针对第三方的权利。而在道德权利模式下，个人可以就其信息隐私向合同相对方以外的其他人主张权利，即使信息隐私已经被第三人掌握，作为信息隐私主体的个人仍然享有关于该信息隐私的准确性、完整性和其他方面的完整人格权利和相关利益。因此，该模式有利于此类问题的解决。另外，由于个人信息隐私中蕴含着一定的财产价值，个人许可他人对其特定信息隐私在特定的目的范围内使用，如果得知被许可人正在超出授权目的范围使用该信息隐私，作为信息主体的许可人几乎都希望获得强制性的救济。在这一方面，纯粹的合同规则，一般情况下，旨在通过损害赔偿救济手段对非违约方给与补偿，而道德权利模式克服了合同规则对于信息隐私保护所存在的缺陷。当然，道德权利模式不利于作为信息隐私主体的个人利用市场机制交易信息隐私，并获得该信息隐私的市场价值，因为该模式尽管没有对信息隐私在特定条件下的披露进行限制，但并没有提供个人就其信息隐私进行商品化交易并从中获得经济利益的制度平台。

三、模式选择：商业秘密规则在信息隐私权保护中的借鉴

（一） 法律关于权利的保护方法及对两种信息隐私权保护模式的评析

法律关于权利的保护方法有三种：一是财产规则；二是责任规则；三是不可剥夺规则。<23>根据前文讨论，信息隐私权本质上是一种人格权，同时其也具有财产属性。对信息隐私权的法律保护，如果采用以道德权为基础的保护模式，即如果基于信息隐私权的人格属性则可以适用责任规则和不可剥夺规则，如果采用以财产权为基础的保护模式，即如果基于信息隐私权的财产属性则可以适用财产规则。在此，笔者结合法律保护权利的三种方法对上述两种保护模式进行简要评析。

传统的隐私权保护方法即适用不可剥夺规则，即从法律上宣告隐私权作为一种权利具有不可侵犯性，规定任何人具有不得侵犯他人的隐私权的义务，从而保护信息隐私权。但是由于不可剥夺规则不涉及权利的救济，实践表明，在当今信息社会单纯依靠该权利保护方法不能有效的保护信息隐私权。责任规则赋予个人基于对与其财产的控制和支配权利，促成某些财产能够在不同的个人之间自由移转，避免了财产规则的僵化。<24>但是，在责任体制下，某一信息隐私对个人来说到底价值有多高，通常仅仅是以合理的一般人（reasonable person）可能受到的伤害为基准而来的。财产权规则的运行则是相当的不同。当你具有个人信息隐私财产权时，在任何人取得你的财产之前，都必须针对该财产具有多高的价值，和你进行谈判协商。因此，财产规则既保护那些比一般人更珍惜自己隐私的人，也保护那些比一般人不珍视自己隐私的人，其方法便是透过协商谈判为之，而这一点很好的满足了一些信息隐私主体对其信息隐私的偏好。从理论上讲，当某一交易发生时，通过财产规则保护信息隐私权，其交易价格不至于使得任何一方的处境因此变得更为不利（worse off）。<25>因此，财产规则是保护信息隐私权的一种有效的方法。但是，仅仅适用财产规则对信息隐私权进行保护是不够的，因为一旦出现在非交易机制下侵犯信息隐私权的情况，该规则存在救济空缺。

（二）商业秘密规则在信息隐私权保护中的借鉴

欧盟和美国及其它国家虽然采用不同的信息隐私权保护模式，但都从价值层面上确认了对信息隐私权进行专门法律保护的必要性，消费者信息隐私权保护是否充分，甚至成为消费信用乃至整个社会信用经济发展的重要条件。然而，遗憾的是，这两种模式都不能将信息隐私中所蕴含的人格利益和财产利益有机的统一起来对信息隐私权提供完整有效的保护途径。这两种模式之所以在保护信息隐私方面不能发挥理想的效用，是因为这两种模式无一例外都对信息隐私的权利性质的分别定性上。为此，我们在选择或者建立信息隐私权保护模式时，没有必要卷入一场“准宗教争议”（quasi-religious disputes）去解决个人对其信息隐私所享有的权利或者利益究竟是一项公民自由还是一种财产利益，而更加明智的选择是另辟蹊径。美国学者Pamela Samuelson在这方面进行了有益的思考，他认为可以将商业秘密不履行规则（trade secrecy default rules）修正后适用于信息隐私权保护。<26>

对于个人信息隐私，法律可以避开财产法律基础，赋予个人可保护的权利，法律可以为此设置不履行规则禁止关于个人信息隐私的一些行为，比如禁止未经授权的收集和使用个人信息隐私，除非作为信息主体的个人同意这些行为。因为市场缺陷使得关于个人信息隐私的使用条件的有效协商变得很难，所以设置关于这类协商的不履行规则具有重要的意义。尽管商业秘密法与信息隐私法在很多方面存在明显的区别，然而，二者存在以下三个重要的共同点：（1）保护请求人限制他人获得和未经授权使用秘密或者个人信息隐私的权利。（2）给与企业或者个人控制其秘密或者个人信息隐私之商业化利用的权利。（3）建立并贯彻商业道德的最低标准的权利。这些共同方面为商业秘密不履行规则适用于个人信息隐私权保护提供了一定的制度空间。当然，在达到体现在这些权利中的政策目标的过程中，商业秘密法逐渐演化出一系列适用于个人信息隐私保护的不履行许可规则，这是有理论基础的。商业秘密法在便利信息许可交易的同时提供规制受保护信息的使用和披露的不履行规则，并设置可适用于商业实践的最低标准。信息隐私权，类似于秘密交易权，可以基于协商约定当事人双方的行为，从这些行为中可以合理推断——信息隐私的披露是在秘密状态下进行的，使用和披露是在正当目的范围内，并且在获取信息隐私时没有采用不适当手段。

商业秘密通常有两种情况：基于协商的商业秘密和基于秘密关系的商业秘密。基于协商的商业秘密典型的发生在B想获得A所拥有的非公开信息时。通常表现为，A同意B在承诺接受一定的使用限制和所需要遵守的其他义务条件和情况（比如支付约定的金额或者使用费）的条件下获得其个人信息。因为这些信息的交换价值，商业秘密信息可以作为企业的一笔宝贵资产，并可为该企业提供可观的收入来源。<27>尽管如此，该交易信息并不因为其为一些企业所占有就变成公开信息——只要各企业都默示或明示保证该信息的非公开状态。<28>基于秘密关系的商业秘密产生在A在一定情景下向B披露特定的非公开信息时，在这一情景中，B有理由理解披露的有限目的范围，并且为其他目的的使用和披露是错误的。例如，如果某企业将该企业运行的特定非公开信息披露给某个顾问，该顾问应该理解其被授权使用该信息仅限于为了建议企业改进运行状况而进行分析的目的范围之内。该披露信息除了有助于该顾问的工作效用之外还具有商业价值，但是该顾问应当理解，将该信息出卖或者披露给其他企业或者证券经纪人使他们就是否与该企业进行交易做出更好的决定，这是不适当的。同样的道理，消费者披露给银行或者其他授信者的信息隐私通常是在有限目的范围内提供给这些企业的。这些信息隐私的披露和使用，无论是在内部还是向第三方，除非与初始披露的目的一致，否则便是不适当的。正如顾问基于该信息披露可以使其他企业为本企业提供新型的或者更好的服务从而本企业也可以将这些服务提供给消费者这一理由，将消费者的信息隐私披露给第三方，这一做法的公正性是值得怀疑的。另外，商业秘密法并不是建立在财产权的基础之上的。尽管有人倾向于将商业秘密作为被许可企业的财产，对企业商业秘密的定性更恰当的方法应该是法律针对违反合同和秘密约定，以及使用不正当手段获取秘密等行为为企业提供保护。商业秘密法尽管经常被纳入知识产权法的内容，其仍然深深扎根于不公平竞争法。知识产权法所保护的也是某些特定的信息，知识产权就是对这些信息所享有的财产权。<29>赋予人对于其创造成果的财产权利，旨在鼓励创新和知识传播。相反，商业秘密法则保持侵权法贯彻商业道德的最低标准。在这一方面，从个人信息隐私权保护的目的和信息隐私的本质上来看，在知识产权法与商业秘密法中，后者与信息隐私权保护具有更亲近的血缘关系。

商业秘密与个人信息隐私之间存在明显的重大差异，这当然使得商业秘密法和信息隐私保护法都应当存在不同的法律规则。然而，当个人与企业达成协议，在企业支付约定金额并且愿意在约定目的范围内有限使用的前提下，个人将其信息隐私披露给该企业的时候，或者，在具体情景中，个人在可以合理推定其信息隐私是在秘密状态下为有限目的披露和使用而向某企业披露其信息隐私的时候，商业秘密许可不履行规则对于个人信息隐私保护具有重要的借鉴意义。此外，如果个人能够清楚的说明他人获得其信息隐私的手段是违法的或者是不正当的，对于这种情况下个人信息隐私权的保护，借鉴商业秘密不履行规则也是可行的。总之，在信息隐私领域借鉴商业秘密许可规则，建立个人信息隐私披露和使用的许可模式，将有利于为消费者的信息隐私权提供相对完整有效的保护。换言之，许可模式对于信息隐私权的保护所可能发挥的优势将是以财产权为基础的模式和以道德权利为基础的模式所不能比拟的。

四、消费者个人信息的收集和使用：商业秘密许可规则在信息隐私权保护中的应用

商业秘密法的许可不履行规则有利于信息隐私权保护。商业秘密许可的一般规则是，如果许可人已经在特定的目的范围内将信息提供给他人，在没有得到允许之前，该信息不得用于其他目的。如果许可人没有具体规定使用限制条件，只要根据协商的具体情景可以合理推断存在关于使用限制条件的默示理解，该使用限制条件应当得到认可，这是法律保护和贯彻当事人合理预测这一基本合同原则的应用。该法也允许撤销对违反实质性条款的许可，能够有效的克服一般财产法中个人对特定交易风险评估可能存在的认知困难这一问题。这些法律原则可以适用于个人信息隐私许可，特别是有利于解决人们在许可他人使用其信息隐私的风险评估中经常存在的认知困难这一问题。许可模式的一个最大的优势就是避免了财产权模式基于自由转让有限原则对信息隐私保护所带来的问题。商业秘密法的一般不履行规则就是除非许可人授权转许可，许可权利是不可以转让的。转许可如果被允许的话，被转许可人有义务遵守许可人加在现在转许可人身上的相同条件，并且在没有明确规定例外的情况下，许可是非独占性的。依据商业秘密许可规则，个人享有针对第三方使用受保护信息的权利，如果第三方从其知道的人那里获知受保护信息的，或者有理由知道是通过不正当手段获得该信息的，或者获得该信息违反了保密义务的，则第三方应当就该商业秘密承担责任。另外，财产权模式对于个人信息隐私保护所发挥出的优势，也可以通过许可模式实现。许可模式也允许个人信息隐私中存在一个作为信息主体的个人希望参与的市场，并且不必要政府专门机构对信息隐私实践进行管理，其与财产模式一样能够促进市场有效运行。

对消费者个人信息的收集和使用这一核心环节进行规范是保护消费者信息隐私权的关键。作为信用信息的拥有者，消费者有权决定其信息的收集目的、传播范围和使用方式，可以授权他们（主要是指授信者）使用其个人信息，以满足消费者信用交易的要求，充分有效利用信息资源。同时，消费者的信息隐私权也并非绝对的，国家也可以基于社会公共利益的考虑，以法律授权社会组织或个人依法享有和使用他人信息。当然，对于消费者个人信息，法律授权收集或使用的范围、方式和途径是有合理限制的，以保证国家利益、社会公共利益和个人利益有机统一。从规范角度来讲，应当明确规定消费者个人信息收集和使用的范围，目的、方式及安全防范等，通过消费者信息隐私许可实践控制权。

消费者信息隐私许可在现实中往往表现为消费者同意的形式，收集个人必须征得信息主体的同意（包括明示同意和默示同意两种方式），也是信息隐私权的应有之义。也就是说作为信息主体的消费者必须被告知其信息隐私的预定使用或公开情况，并被赋予是否接受信息隐私被收集或使用的真正选择权。绝对不允许采用如盗听等不正当的手段进行信用调查的行为。<30>对于这一问题，许多国家的法律也作了明确的规定，如美国的《公平信用报告法》规定，对于在金融机构提出贷款申请的客户，在对其进行信用调查时，要把调查的意向向客户进行通告，特别是在向客户的熟人、邻居等进行了解时，更要事先通知客户，允许客户对调查的内容提出异议，如客户因此而拒绝接受银行的信用贷款也是允许的<31>。

然而，同意可以是以明示的方式做出，也可以是以默示的方式为之，消费者同意究竟应该采用哪种具体的方式？目前理论界和实践中都存在着严重的分歧。有人主张欧盟的做法，认为信息的收集和使用都必须征得消费者的书面同意，有人主张美国的做法，认为不应该对个人信息的收集和使用设定过多的限制；还有人则主张个人信息的收集不必征得消费者的书面同意，但披露和使用个人信息必须征得消费者的书面同意。<32>笔者认为，这三种观点都有一定的道理，但同时也都带有某种程度的片面性，应当结合我国消费信用的实情进行具体分析。欧盟一贯倾向于对个人信息隐私权的保护，因而对个人信息的收集和使用都规定了比较严格的条件和程序，这一做法有利了消费者个人信息隐私权的保护，但必然加大消费信用交易的成本，不利于信息流通，因而影响经济健康发展。美国的做法则能够提高信息收集和使用的效率，有利于信息由流通，降低市场交易成本，但是，如果没有良好的社会信用文化作为支撑，那么消费者的信息隐私权，就很容易遭受侵犯。第三种观点注意到信息隐私和信息流通之间的价值平衡，但是，将个人信息的收集环节和使用与披露环节截然分开，分别适用不同的方式，这一做法在实践中也会存在消极影响。因此，消费者同意没有必要拘泥于某一种方式，应当遵循信息隐私权与信息自由流通有机协调统一的原则，区别不同的情况，分别适用或者结合适用具体的方式，例如，授信机构将与信息提供无关的场合（如消费者存款时）获得的个人信息在自己机构内部进行传递，或者使用信用供给目的范围以外的个人信息，必须征得消费者的明示同意。而在必须履行合同的场合或者外部依法委托进行有关信息处理的场合，则不必要征得消费者的明示同意。这样才能大大提高交易效率、降低成本，促进消费信用的发展，同时使消费者的信息隐私权获得有效保护。

1 喻术红，女，武汉大学法学院副教授，法学博士，主要从事经济法、劳动法和社会保障法的教学、研究。
2 李鸣鸿，男，武汉大学法学院2005级硕士研究生。

<①> Julia C. Cuaresma Privacy, Financial Services: The Gramm-Leach-Bliley Act 17Berkeley Tech.L.J.512.
<②> See, Pamela Samuelson, Information As Property: Ruckelshaus and Carpenter Signal a Changing Direction in the Law?, 38 Cath. V.L. Rev. 365（1989）; J. H. Reichman, Legal Hybrids between the Patent and Copyright Paradigms, 94 Colum. L. Rev. 2432（1994）.
<③> Personal information, thought of as the right of decision over one’s private personality, should be defined as a property right, with all the restraints on interference by public or private authorities and due-process guarantees that our law of property has been so skillful in devising. See, e.g., Alan F. Westin, Privacy and Freedom 324-25 （1967）.
<④> See Hal R. Varian, Economic Aspects of Personal Privacy, in Information Age, at 36, （U.S. Dep’t of Commerce ed., 1997）.
<⑤> See Pamela Samuelson, Privacy as Intellectual Property? Stanford Law Review. 52（2000）.
<⑥> 谈李荣：《金融隐私权与信息披露的冲突与制衡》，中国金融出版社2004年版，第61页。
<⑦> 刘静怡：《网络社会的信息隐私权保护架构：法律经济分析的初步观察》，来源于高新法网： http://www.myipr.com/suma/2005-05/283.html.2008年5月25日访问。
<⑧> 张天上：《隐私权的经济分析》，载《法制与社会发展》2006年第1期，第47-48页。
<⑨> Kenneth C. Laudon, Markets and Privacy,39Comm, ACM92, 92（SEPT,1996）.
<⑩> Fred M. Cate, Privacy in the Information Age,14-15（1997）. See Pamela Samuelson, Privacy as Intellectual Property? Stanford Law Review. 52（2000）.note 39.
<11> See generally Carl Shapiro and Hal Varian, US Government Information Policy, May 28,1997, posted at http://www.sims.berkeley.edu/~hal/Papers/policy.pdf.
<12> See Peter P. Swire and Robert E. Litan , None of Your Business: World Data Flows, Electronic Commerce, and The European Privacy Directive8（1998）.
<13> See John P. Dwyer & Peter S. Menell, Property Law and Policy: A Comparative Institutional Perspective, at184-185（1998）.
<14> See Pamela Samuelson, Privacy as Intellectual Property? Stanford Law Review. 52（2000）.
<15> See Robert P. Merges, Peter S. Menell, Mark A. Lemley, & Thomas M. Jorde, Intellectual Property in the New Technological Age. 12-18（1997）.
<16> See Rochelle C. Dreyfuss, Warren & Branderis Redax: Finding（More） Privacy Protection, at 1., Virtual Symposium on Privacy and Computer-mediated Surveillance, available at http://stlr.stanford.edu/STLR/Symposia/Privacy/index.htm.
<17> See Pamela Samuelson, Privacy as Intellectual Property? Stanford Law Review. 52（2000）.
<18> See Simon Davies, Re-engineering the Right to Privacy:: How Privacy Has Been Transformed from a Right to a Commodity, in Technology and Privacy: The New Landscape （Philip E. Agre & Marc Rotenberg, eds.1997）, at 159-160.
<19> See James P. Nehf, Recognizing the Societal Value in Information Privacy. 78Wash. L. Rev. 63.
<20> See Jessica Litman, Cyberspace and Privacy: A New Legal Pardigm? Information Privacy/Information Property. 52 Stan. L. Rev. 1287.
<21> “道德权利”（moral right）一词是由法语“droit moral”粗略翻译而来。有人认为使用德语“Urheberpersonlichkeitsrecht”这一词语更精确，意为“作者的人格权”（author’s rights of personality）。See, 1 S. LADAS, THE INTERNATIONAL PROTECTION OF ARTISTIC AND LITERARY PROPERTY,272（1938）.
<22> See generally Pamela Samuelson, Privacy as Intellectual Property? Stanford Law Review. 52（2000）.
<23>有关法律保护权利的三种方法的详细讨论可以参见张文显：《二十世纪西方法哲学思潮研究》，法律出版社1996年版，第217页。
<24> 在财产权体制之下，因为某些人可能拒绝同意移转财产权，可能会出现无法移转的状况。
<25> See Guido Calabresi & A. Douglas Melamed, Property Rules, Liability Rules, and Inalienability: One View from the Cathedral, 85 Harv. L. Rev. 1089 （1972）.
<26> See Pamela Samuelson, Privacy as Intellectual Property? Stanford Law Review. 52 （2000）.
<27> See Josh Lerner, The Importance of Trade Secrecy: Evidence from Civil Litigation, Harv. Bus. School Working Paper 95-043（Dec.1994）.
<28> See Jay Dratlar, Intellectual Property Law : Commercial, Creative, and Industrial Property ?COMMERCIAL, 4.03<3>（1991）.
<29> 李明德：《美国知识产权法》，法律出版社2003年版，第7页。
<30> Fischer, Financial Institutions and Privacy,34 Bus Law,1103.
<31> 李凌燕：《消费信用法律研究》，法律出版社2000年版，第291页。
<32> 吴国平：《个人信息开放与隐私权保护——我国征信立法疑难问题探析》，载《法学杂志》2005年第3期，第75-78页。