2021年8月20日，个人信息保护法顺利通过，标志着我国的个人信息保护立法又上到一个新台阶。然而，法律在保护个人信息的时候，究竟在保护什么？从表面上看，讨论这一问题颇有“庸人自扰”的味道。但是对这个问题上的种种争议和分歧，从根本上影响着人们对个人信息保护制度的体系性把握。对此，浙江大学光华法学院陆青副教授从民法典和个人信息保护法的规范体例和条文设计出发，运用解释论的方法，重新审视个人信息保护的规范目的，并通过引入个人身份权益以及数字身份保护的基本理论，解读和评价既有的个人信息保护制度。

一、个人信息保护的法理基础探析

民法典与个人信息保护法皆对可识别的个人信息进行保护。那么，为什么可识别出特定人的信息需要得到法律的保护？通过对隐私权与个人信息保护相关规范的讨论，我们发现个人信息与隐私权存在关联性，但个人信息保护制度也应具有独立的规范目的。其次，如果要赋予保护个人信息以独立于隐私权的规范目的，其并不在于保护一种“不愿为他人识别的利益”。比照民法典的有关规定可知，个人信息的“可识别性”并不是个人固有的、专有的人格权益，“个人的信息”不是个人专属享有的信息，而是与个人相关的信息。此时需要追问，与个人相关的信息，在何种意义上需要法律的保护？又为何需要专门规范，而不以一般人格权制度进行保护？而之所以会产生前述解释问题，归根到底在于以“可识别性”来界定个人信息的根本原因始终未得到澄清。解决这一问题的关键，其实就蕴藏在这一“可识别性”之中。换言之，保护个人信息的意义，并不在于个人“不欲为他人所知”，而是在于个人身份被他人正确、完整地认知。蕴藏在个人信息背后的个人身份权益及以数字化方式呈现的数字身份权益，或许才是真正需要个人信息法保护的对象。

二、个人身份保护的历史梳理

纵观个人身份保护的历史发展，大致可以分成静态身份保护、动态身份保护和个人信息保护三个阶段，这与人格权的形成和具体化的发展轨迹存在高度的契合性。在静态身份保护阶段，个人身份这一概念最初具有浓厚的公法色彩，其目的在于对特定个人进行识别和认证。私法对个人身份的保护起步较公法晚，其中最为重要的就是以姓名权、肖像权为代表的权利对个人身份的确认。早期人格权的保护模式正是强调通过赋予主体以姓名权、肖像权等主观权利的方式，实现主体对其身份标识的控制。此时，姓名权、肖像权的外延是明确的。而在动态身份保护阶段，意大利的相关司法实践的发展使个人身份的概念变得更加宽泛，其涵盖个人在智力、政治、社会、宗教等方面的自我特征，是其在特定的、明确的情景下将自我表露于外部社会下的产物，不应该受到外部的改变、歪曲、侵犯与抵制。司法实践进一步认为，只有触及到个人身份核心的权益才能得到个人身份权的保护，而个人身份核心的权益其内涵本身是开放的。第三个阶段是个人信息保护阶段，此时个人信息保护关注的是个人的身份建构问题，不仅保护个人身份在不同社会情景中的正确呈现，还关注个人身份的自主性和完整性，避免身份的碎片化呈现，以及通过机器算法的自动化呈现给个人发展带来不利影响。

三、个人身份权益的规范含义

与静态身份强调特定人的身份表征不同，动态身份强调人的身份认同。对于个人来说，他的静态身份不存在单复数之分，个人只有唯一的姓名，唯一的肖像，唯一的身份，而个人的动态身份恰恰是多元的、情境化的。与前网络时代的静态身份和动态身份相对应，静态数字身份又称“可信身份”，同样强调身份的验证和识别，以明确网络环境下的行为主体就是物理世界的本人。动态数字身份是指以数字化方式呈现的我的社会镜像。不论是对静态数字身份还是动态数字身份的保护，实际上都是对个人身份权益在网络化、数字化语境下的延展保护。姓名权、肖像权、名誉权、隐私权所保护的对象都不能涵盖个人身份权益，因此个人身份权益似乎必须通过个人信息保护法加以保护。

个人信息本身并不具有固有的人格利益，盖身份的建构过程，本质上是人际互动关系中自我的呈现过程。保护个人信息，在于保护建立在个人信息基础上所呈现的“个人自我形象”，使个人身份在自主性、完整性层面都能得到正确的定位，从而保障个体参与社会生活的自由和其人格尊严。随着个人身份内涵的不断丰富，不仅传统的人格权保护体系并不能涵盖个人身份权益的动态保障，而且个人信息保护同样需要走出保护“个人信息自决权”的误区，在个人身份建构的视域下进行体系性的制度解释甚至重构。

四、身份建构视域下的个人信息保护

（一）个人信息的定义和分类

民法典第1034条和个人信息保护法第4条均对个人信息作了界定。民法典强调身份识别方式的差异，将个人信息作了直接识别和间接识别的区分；个人信息保护法则区分已识别和可识别的个人信息，强调对个人识别程度的差异。个人信息保护的规范模式重在对身份生成过程的行为规范。这意味着：一方面影响个人身份建构的任何信息都应纳入个人身份的保护范围；另一方面，应针对不同语境下个人身份的生成方式设置更有针对性的行为规范。

（二）同意规则

强调个人信息处理以本人同意为原则，明确信息处理应具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式，信息处理应该公开、透明，以及一旦处理目的、处理方式和处理的个人信息种类发生变更必须重新取得个人同意，甚至允许当事人自主撤回其同意，本质上在于强调个人对其不同语境下身份建构的自主参与。盖个人参与社会生活而呈现的自我镜像，必然是一个场景化的建构过程，因此在不同的社会关系语境下，个人可以通过有意识的活动形成多元的社会身份，从而充分表达自我和发展人格。

（三）数字画像、数字化身、被遗忘权以及死者个人信息

数字画像、数字化身、被遗忘权以及死者个人信息皆为网络时代个人身份权益保护上产生的新问题。其背后涉及大量个人信息的处理，同样可能存在个人信息保护问题。但个人信息保护的规范路径并不足以解决数字画像与数字化身可能带来的诸种法律问题。而在对被遗忘权的救济上是否应赋予当事人删除权，有进一步探讨的空间。对于死者个人信息的规制，笼统地赋予近亲属对死者个人信息的种种处理权，显然亦值得商榷。

（四）不法处理个人信息的民事责任

即使将“个人身份权益”等同理解为“个人信息权益”，对于行为人不当处理个人信息的行为，如果无法以其他具体人格权、财产权受侵害为由主张救济，则始终需要通过评价相关个人信息处理行为对个人身份建构自由造成的影响来确定民事责任。身份建构不仅关涉个人的行动自由和人格尊严，同时还可能存在被他人予以商业化利用的财产价值。这种身份形象未必与个人名誉、姓名本身存在直接的关联，却可能给个人带来极大的财产利用价值。至于严重侵害个人身份权益所带来的精神损害，自然也存在予以精神抚慰的空间。但无论是财产损失还是精神损害，均需要结合身份建构的具体场景进行审慎判断。

五、结论

进入到数字时代，面对个人自我的数字化呈现所形成的种种数字身份以及由此引发的种种新问题，人该如何定位自己，又该何去何从，这或许才是今天我们讨论人格权问题时真正需要思考的现实语境。因此，我们需要在身份建构的语境下重新理解个人信息保护的规范意义，即个人信息保护的对象从来不是个人信息本身，而恰恰是个人在数字时代身份建构的自主性和完整性。而个人信息之上所承载的数字身份，才是真正连接着人类物理世界和虚拟世界的唯一沟通桥梁。所以，以数字身份为中心重新建构人际关系调整秩序，或许是未来法治发展的方向。