对个人信息的名称界定，目前在理论、立法和司法上均存在不同说法。如在各国的立法上，有美国立法的隐私说（privacy）、日本、加拿大立法的个人信息说（personal information）和欧盟立法的个人数据说（personal data）之别。

在我国，齐爱民教授认为对其称为个人资料更具有合理性，原因在于资料是代表人、事、时、地的一种符号序列，信息是指资料经过处理后可以提供为人所用的内容，个人信息是个人资料的内容，个人资料是个人信息的物化形式。相对于个人信息而言，个人资料这一概念更具有确定性，而个人信息存在更大的主观性。^[3]除此之外，张新宝教授在其文章中称其为个人数据^[4]、武春玲教授则认为个人数据信息更加准确^[5]，在我国的台湾地区，学者们更倾向于称呼其为个人资讯。刘德良教授对此认为，所谓的个人数据、个人资料，其区别仅在于对英文data的不同翻译而已，故而没有本质的不同。但在法律上使用“个人数据”（personal data）是与计算机技术密切相关的一个范畴，它只是个人信息的一种特定表现形式，具有载体上的特定性或技术特定化倾向，如果使用个人数据这个范畴，则很容易使其他类型的个人信息无法纳入其中。所谓的个人资讯，实际上是对personal information的另外一种中文翻译而已，美国的“隐私”与大陆法系以及我国对隐私的理解并不一致，使用该概念则容易造成混淆。他认为“个人信息”是一个上位概念，它在技术和载体上具有中立性，包括但不限于以电子介质在内的各种媒介为载体和各种符号所表示的各种形式的个人信息；同时，个人信息也是一个中国人习惯于使用的概念。^[6]

我国通说则认为，个人信息是指与特定的个人相关并且能反映个人特征的身份信号，个人信息具有可识别性，非公益性和反复利用性，包括但不限于个人身份、职业、家庭、宗教信仰、财产等各方面的信息。

目前的学界主流学说仍不承认个人信息权的财产权属性，由于受个人信息商品化的发展趋势所影响，越来越多的学者开始反思个人信息权的法律属性问题。

（一）个人信息具有财产权的属性

王泽鉴教授认为，因社会经济活动的扩大，科技的发展，特定人格权( 尤其是姓名权及肖像权) 既已进入市场而商业化，如作为杂志的封面人物，推销商品或出版写真等，具有一定经济利益的内涵，应肯定其具有财产权的性质。^[7]

刘德良教授在其著作中则从哲学、经济学和法学三个角度，论证了个人信息财产权的合理性，他认为，个人信息是一种法律上的财产，一般认为，在法学上，客体作为财产必须具备三个积极要件：即稀缺性、有用性、可控制性。如果具备了这三性，就属于财产。对于个人信息而言，虽然其中的直接个人信息可能与人格尊严有关，在理论上被视为所谓的“人格要素”，但是，它本身并不是人格，更不是主体。首先，个人信息具备财产的有用性——使用价值，即在特定的环境或条件下，它能满足两个或两个以上的主体的特定需要。其次，个人信息具备资源的稀缺性要件。所谓的稀缺性，是指不能普遍满足人们的需求。对于个人信息的使用价值而言，根据其使用的目的，可以大体分为商业性使用和非商业性使用。显而易见，个人信息的商业性使用价值是会随着使用它的商家数量的增多而不断递减，尤其是在具有竞争性的主体或行业之间更是如此。再次，个人信息符合财产法上关于财产的可控制性或可支配性。严格地讲，法律上的“控制”或“支配”是主体意志的体现；当然，主体对客体的“支配意志”必须是可以通过立法技术或法律制度的设计来实现的。对于个人信息而言，其商业价值是通过商业性使用来体现的，即它存在于商业性使用环境中，因此，通过立法来控制对个人信息进行商业性适用完全是可以的，目前的知识产权制度就是通过许可费来实现的。^[8]

(二)个人信息本质是一项人格权

针对刘德良教授的观点，重庆大学法学院齐爱民教授提出了不同的观点，他认为既然是财产，则必能通过交易被转让。虽然现实中个人信息与本人经常发生暂时分离，但二者的归属关系始终无法改变，否则个人信息的识别功能即丧失，从而丧失存在与被保护的意义。^[9]

王利明教授则承认个人信息确实具有财产的因素，因为信息资料都蕴含着一定的商业价值，尤其是在网络环境下，其财产价值更为突出。但个人信息的最主要特征并非为其财产属性，其原因在于：一方面，个人信息具有可识别性，体现了人格特征。大多数个人信息都可以直接表明个人身份，譬如个人的姓名、肖像、性别、民族等。某些个人信息虽然不能直接地表明个人身份，但可以与其他信息相结合后确定主体的身份，也属于指向某一特定主体的信息，如手机号码、家庭住址、门牌号码、通信地址等。另一方面，在许多情况下，某些机构或者组织收集个人信息，完全不是出于财产利用的目的，而是基于公共利益或者其他的非财产考虑。例如，负责治安和安全的机构收集犯罪嫌疑人的DNA基因信息是以公共秩序、公共安全为目的。从这个意义上，不能将个人信息完全界定为一种财产权。还应当看到，如果把个人信息作为单纯的财产，当它受到侵害时，就很难计算实际的损害赔偿数额，由于每个人的职业、收入都不同，损害的计量标准难以统一规定。此外，个人信息权本身也很难融入传统财产权体系之中，它既非物权，也非债权，充其量只能作为所谓的无形财产权。但无形财产权的概念本身过于宽泛，将个人信息权纳入其中，会导致其丧失确定性。况且，个人信息权在主要内容、特征等方面都应当属于人格权的范畴。个人信息权应当作为一项独立的权利来对待，此种权利常常被称为“信息自决权”。所谓的信息自决权，在德国法的语境中是指“个人依照法律控制自己的个人信息并决定是否被收集和利用的权利”。^[10]依据德国联邦宪法法院的观点，这一权利是所谓的基本权利”，其产生的基础为一般人格权。^[11]法律保护个人信息是为了维护个人的人格尊严和人格平等。确认个人对其信息的自主支配，就是要维护个人的人格尊严。如果将个人信息权作为财产权，势必妨害人格的平等性，因为每个人的经济状况不同，信息资料也有不同价值，但人格应当是平等保护的，不应当区别对待。^[12]

此外，刁胜先副教授虽然也认为个人信息权属于人格权，但其与王利明教授的观点并不一致，王利明教授认为的个人信息权是一种和隐私权平行的具体人格权，^[13]刁胜先副教授则认为个人信息权应定位为一种框架性人格权，对包括各种具体人格利益在内的所有以信息形式存在的人格利益进行整合，为个人信息提供一套清晰、明确、系统、协调的保护机制。由于个人信息保护法是围绕个人信息保护而产生的领域法，在内容上没有明显的部门法特征，很难归入传统部门法，^[14]因此个人信息权与其他权利的保护范围出现交叉重复是难免的。比如，对与传统隐私权肖像权等保护交叉重复的隐私信息 肖像信息，可以通过法律竞合等法律适用规则与法律解释来解决另外，个人信息权不宜作为具体人格权。^[15]因为具体人格权的内涵与外延都比较确定，有自己独立的内容，但是个人信息的外延并不确定，会因不同时代不同地区的伦理价值而有所变化，即使在同一时空，也会因信息主体与个案差异而有所区别，目前，各个国家与地区的立法界定差异较大也源于此同时，在个人信息侵权案中，传统的隐私、肖像、姓名等具体人格权的保护范围与其他个人信息经常混为一体难以分辨，有时也没有必要进行机械的区分，只要保护到位即可再者，不同领域的个人信息之保护范围也存在较大区别，所谓“具体人格权”之“具体”很难操作。法律只作框架界定，为更多具体情况留下空间，以避免个人信息保护之遗漏。^[16]

小结：

个人信息权是否具有财产权的性质，本文认为答案是肯定的。随着个人信息商品化的发展，个人信息在信息交流和信息自由的活动中体现出其财产利益，但不可否认的是，作为民事权利的个人信息权，其基本属性应是一项人格权。有学者认为根据个人信息确权原则^[17]的角度把个人信息应分为直接个人信息和间接个人信息,^[18]认为只有直接个人信息才是人格权，这种做法是不可取的。个人信息具有指向性和身份识别性，换句话说，脱离了个人身份，该信息就只是一个数字化的符号，个人信息的财产性也是因为蕴含了其身份才显现出来。因此，无论是直接个人信息还是间接个人信息都具有人格权的属性，财产权只是其人格权的延伸罢了。

一般认为，个人信息的法律保护自20世纪末开始，到目前为止，世界上几乎所有的国家和地区都通过宪法或者其他法律法规的形式对个人信息给予了不同程度的保护。各国立法对于个人信息的保护主要有以下几种模式：

（一）欧洲法模式

欧洲法模式以制定统一的个人信息保护法为特征，因此又称为统一模式。这种模式在大陆法系国家具有普遍性，目前已有 20 多个国家和地区制订了个人信息保护法，德国最为典型。德国联邦议会自1970 年起开始着手制定《联邦个人资料保护法草案》，最后于 1976 年通过并于 1977 年生效，该法的正式名称是《联邦数据保护法( Bundesdaten-schutzgesetz) 》，人们习惯将其称为《个人资料保护法》，该法第一次系统地、集中地保护个人信息，并彰显出其民事权利的属性。^[19]相应地，法国于1978年1月6日颁布的第78——17号法律：《法国数据处理、数据文件、及个人自由法》（该法已根据2004年8月6日《关于个人数据处理的个人保护法》修改），也为法国对个人信息的法律保护（抑或称为个人数据）开启了序幕。^[20]与此相类似的还有欧盟于1995年通过的《个人数据保护指令》等，这些欧洲的法律虽然制定了统一的个人信息保护指令，但对个人信息与隐私权仍然没有作出严格的区分。换句话说，这些法律所保护的个人信息也包含对个人隐私权的保护。^[21]

（二）美国法模式

由于美国个人信息的法律保护主要由宪法、制定法、普通法等组成，其形式分散的立法模式造就了美国的个人信息保护主要依靠市场和行业自律来予以实现。在美国宪法和制定法中，主要是针对政府或公共机构滥用个人信息的行为，只有少数是针对诸如金融服务、娱乐、通信服务等私人市场领域内的个人信息利用问题的单独立法；而在普通法上，关于个人信息的保护，主要涉及的是私人侵犯隐私权的情形。^[22]王利明教授认为，这种立法与美国法上隐私权概念的开放性有关，即美国法采纳的是大隐私权的概念，其包括大陆法中的名誉权、肖像权、姓名权等具体人格权的内容，^[23]承担了一般人格权的功能，因此，在隐私中包含个人信息也是逻辑上的必然。^[24]

（三）两种模式的评价

王利明教授认为，上述两种立法模式各有利弊。欧洲的综合立法模式注重用统一的法律规则对个人信息进行保护，并且提出了非常明确的个人信息保护标准。但其并未从私权的角度对个人信息权的权利属性以及内容进行确认，此种模式过于强调国家公权力的作用，虽然在一定程度上也有助于强化对个人信息权利的保护，但有时也存在规则过于原则抽象、监督管理僵化等问题。而美国的分别立法模式，则注重依靠市场调节和行业自治，这有利于信息的流通和利用，但是，因其欠缺统一的法律规则对个人信息进行保护，只是将个人信息的搜集、利用和加工等问题完全交由企业，由其与个人信息的权利人通过合同关系进行解决，这就可能造成不利于保护个人信息的结果。尤其是，鉴于个人和企业地位之间的地位不对等，最终反而会使得企业不当收集、使用和移转个人信息的行为合法化，从而使个人的权利难以获得全面充分的保护。^[25]从比较法上来看，两大法系都没有解决好个人信息权与隐私权之间的严格界分，其主要原因在于: 随着互联网、数据库、云计算等高新技术的发展，个人信息的保护无疑成为现代社会所面临的新挑战，而法律还未对此挑战做好充足的应对，个人信息权与隐私权的界分不清晰也表明了这一点。大量的信息中又包含许多个人私密信息，这是现代社会法律面临的新课题，需要今后随着社会生活和科技的进一步发展而总结和摸索立法经验，并予以不断完善。个人信息与隐私权在权利内容、权利边界等方面存在一定交叉，这也是难以严格区分二者的重要原因，但科学的立法应当能够全面保护公民的个人权利，因此，对个人信息权与隐私权进行很好的区分并在此基础上制定相应的保护规则，是两大法系所面临的共同的挑战。^[26]

（四）中国立法现状

我国的个人信息法律保护既不同于欧洲法模式，也不同于美国法模式，个人信息保护制度在我国散件于法律法规之中：

我国《民法通则》第99至101条规定，公民享有姓名权，有权决定、适用和依照规定改变自己的姓名，禁止他人干涉、盗用、假冒。公民享有肖像权，未经本人同意，不得以营利为目的使用公民的肖像。公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。

我国《侵权责任法》第61条第一款规定了医疗机构及其医务人员如实填写和保管病历的义务，第2款规定的是病患的病历查阅权和复制权；第62条确立的则是医疗人员对患者的隐私保密义务以及违法的法律责任。

我国《刑法修正案（七）》规定刑法第二百五十三条之一为：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”

全国人民代表大会常委会于2012 年12 月18 日颁布了《关于加强网络信息保护的决定》，建立了个人电子信息的保护制度。

此外，全国人大颁布的《关于维护互联网安全的决定》和2000年信息产业部施行的《互联网电子公告服务管理规定》使用了“数据资料”和“个人信息”概念，表明个人信息的独立客体地位为立法者所承认，在个人信息保护历史上意义重大，改变了以往通过保护人格和隐私而间接保护个人信息的思路。^[27]此外，其他法律渊源还有：《传染病防治法》、《电子签名法》、《拍卖法》、《保险法》、《行政许可法》、《监狱法》、《税收征收管理法》、《统计法》等相关条文。^[28]

小结：

虽然各国对个人信息都作出了一定的立法保护，但保护的模式却不尽相同。归根究底还是因为一国所属的法系以及国情不同。首先，欧盟成员国多为大陆法系的国家，在对个人信息的立法保护上，究其立法传统，大陆法系的国家都倾向于制定一部专门的法律，从效率的角度讲，建立统一的标准，设立独立的执法部门，更有利于欧盟这一国际组织的管理和运作。对于美国立法而言，由于美国法并没有完整的人格权体系，也并未对个人信息和隐私权作出相应区分，加之其属于英美法系，因此对个人信息的保护就无法建立统一的标准和综合性的立法。

纵观我国的立法现状，我国法律对个人信息的保护呈现出如下的不足：首先，立法体系上缺乏系统性。我国法律对个人信息的保护虽然有刑法和行政法等相关保护，但个人信息作为民事权利的一种，在最重要的民事基本法中少之又少，而且相互之间不成体系，不够统一；其次，定义不够清晰。我国目前对个人信息保护的立法和对隐私权的立法混为一谈，没有明确界定隐私权和个人信息之间的差别，这会导致人格权体系的混乱，也会对司法实践产生误导；再次，既有的法律文件效力位阶较低，尤其是针对网络时代电子信息问题的立法，效力缺乏权威性，这不利于个人信息的有效解决。

（一）我国个人信息保护的立法选择

毫无疑问，国际立法模式给我国对个人信息的保护提供了很好的立法借鉴和司法效仿，如我国可以借鉴欧盟立法中的综合性立法模式，这不但有利于个人信息保护体系的发展，而且可以提高司法运作的效力以及促进个人信息的安全和救济体制的完善。齐爱民教授认为，凡涉及一个复杂而广泛领域的立法，往往有基本法的规定，而且统一性立法模式更适合一个主管机关对个人信息保护进行全面监管，更有利于个人权利的实现。社会信息化是人类社会发展的一个趋势，信息化过程中和信息化实现后对个人信息的保护，不仅仅是一个部门法的问题，其涉及民法、行政法、劳动法、教育法、刑法等诸多领域，是这些领域共同要解决的问题，因此，制定基本法意义上的个人信息保护法实有必要。^[29]王丽萍、步雷等学者则认为，根据我国作为一个大陆法系的国家，制定一部综合型的成文法既节约立法资源又符合我国的法制模式，但是根据我国目前的经济发展政策，我国似乎更应该鼓励商业信誉和行业自律的政策。从这两个角度出发，折中模式似乎更有利于我国个人信息保护的发展。^[30]

（二）我国个人信息保护需要注意的问题

据统计，中国立法中涉及个人信息保护方面的法律将近40部，法规有30部，但是专门的个人信息保护立法在2008年提交专家建议稿之后仍杳无音讯。法学所宪法与行政法研究室副主任吕艳滨个人信息保护法立法进展缓慢的原因很难说，“恐怕只有立法者才能明白”，但涉及的管理部门太多、行业太多，也是掣肘所在。公安部近日统一部署北京、河北、山西等20个省区市公安机关开展集中行动，挖出的44个信息源头里，涉及电信、工商、银行、司法、公安、民政等多个领域。在保护个人信息时，不同的部门、不同的行业之间如何协调对接，如何分配各自的权利义务，现在并没有明确的规定。^[31]

上述种种现状均表明了目前的一个发展趋势——即出台专门的个人信息保护法的时机已经成熟。我国个人信息权的立法在构建过程中到底还需要注意哪些问题，成为了学界一直在热议的话题：

刘德良教授认为，建立我国个人信息权，首先需要承认个人信息财产权。因为并非所有的个人信息都与人格尊严有直接关系，都应该给予人格权保护，而且，随着信息时代的发展，一切个人信息都具有潜在的商业价值，因此都应该给予财产权保护。按照此思路，我国立法应该承认个人对其个人信息的商业价值享有财产权；同时，对于与人格尊严有关的个人信息，如姓名、肖像等，主体除了享有财产权外，还应该给予其人格权的保护。这样，权利人可以根据自己的一直对自己的个人信息进行商业化利用，从而最大限度地维护自己的财产利益。^[32]

齐爱民教授则认为，要想构建和完善个人信息权制度，要从利益平衡的视野入手。他认为，个人信息保护的目的在于维护人格尊严，而信息自由则是促进社会公众透明的重要保障。人格保护与信息自由背后的价值冲突导致了二者在实证中的对峙，也使制度设计者在利益取向上陷入困境。这就意味着，构建完善个人信息权制度的核心应落脚于在人格利益与信息自由之间寻找到立法的平衡点，而这个利益衡量的标尺应从信息手机与传输者所代表的利益、被处理个人信息的类型等因素进行确立。^[33]

王利明教授认为，如果要出台专门的个人信息保护法，必须要明确个人信息权和隐私权之间的联系和区别。他认为个人信息权和隐私权均是具体人格权，两者的权利主体都限于自然人，都体现了个人对其私人生活的自主决定，二者的客体互相包含，在侵害后果上也具有竞合性。但更重要的是，个人信息权和隐私权之间有明显的区分：

从权利属性的角度来看，第一、隐私权是精神性的人格权，被侵权人主要主张的是精神损害，而个人信息权集人格利益与财产利益于一体；第二，隐私权具有消极性和防御性，在该权利遭受侵害之前，个人无法积极主动地行使权利，而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等，而个人信息权具有主动性，表现出一种对自身信息资料的控制性和排他性。

从权利客体的角度来看，第一、隐私主要是一种私密性的、不愿意被公开披露且不涉及公共利益的信息或私人活动，而个人信息注重的是身份识别性，其中有许多内容不一定具有私密性。个人办公电话有可能经过本人的同意披露在黄页上，此种信息有可能和其他信息结合构成一个完整的个人信息，并成为个人信息权的客体，但此时已经和个人隐私权无关；第二，隐私除了通过信息的形式，还可以以个人活动、个人私生活等方式体现，是否记载不是其必须具备的方式。而个人信息必须以固定化的信息方式表现出来，或者以数字化的形式展现。

从权利内容的角度来看，隐私权对应的义务是禁止非法披露和骚扰，个人信息权主要是指对个人信息的支配和自主决定。换言之，隐私权制度的核心是个人秘密的防范问题而非控制和利益问题，而这恰恰是个人信息保护制度的重心之所在。

从保护方式的角度来看，因个人信息涉及到公共利益和公共安全，个人信息保护制度侧重于预防，而隐私权的保护则注重事后的救济。^[34]