全民霸屏秀账单成为2018年开年首秀，账单首页中默认勾选的“同意”亦将该活动推向了争议的风口浪尖。“同意”意味着被授权方有权查看使用者的个人信息、个人记录、消费习惯等，而该些数据以“默认勾选”的形式“强迫”使用者开放，除却对使用者知情权、选择权的侵犯，个人信息及其相关数据的流向更是令人堪忧。

早些时候“黑客”杜天禹侵犯公民个人信息一案在山东省临沂市罗庄区人民法院宣判，至此吸引大批关注的山东女大学生徐玉玉电信诈骗致死案终于落幕。值得关注的是，除了电信诈骗的直接涉案人员外，非法获取徐玉玉个人信息并进行倒卖的黑客杜天禹也得到了应有的惩罚：杜天禹被指控非法获取公民个人信息罪名成立，被判有期徒刑6年，并处罚金6万元。

大数据时代资源共享、信息共通本是常态，相关数据样本的采集与归纳用于有益社会之处本无可厚非，但若被别有用心之人攫取，后果不堪设想。而从前述案件的判决不难看出，国家对于公民个人信息的保护力度正日益加大。

作为与自然人紧密相关的个人信息始终在社会生活各领域被收集、处理、利用和交换。信息时代到来之前，能够使用这些信息的往往是自然人本人或具有相应保管职能的人，从而决定了该等信息具有的流通性有限。而将个人信息抽象化为一种权利并给予法律保护的则是现代社会的产物。随着信息化时代的来临，数据的存储与使用已远远超出了实物资产本身创造的价值。

去年十月正式实施的《民法总则》首次将公民个人信息权作为独立人格权写入，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。该条规定确立了个人信息自决权，意即每个公民都有自行决定是否将本人信息交付他人、供其利用或转移的权利；是否要将该信息公开或者转移给第三人；在个人信息使用的目的达成以后，对信息作何处分等；当上述自由决定无法实现时，得以请求救济的权利。可以说，该项权利贯穿于个人信息收集、处理、利用的全过程，除非基于法律规定的特定事由而受到限制。

目前受到法律明确保护的大多是公民个人信息中较基础的内容，一般都是与公民个人身份或与身份直接存在绑定关系的信息，例如身份证号码、学籍、手机号码等等。

然笔者认为，公民作为社会一员、作为信息的载体，其需保护的远非此类有形信息，大量无形的信息更需要明确其归属并加以保护。需知这些信息所能带来的商业价值，往往远高于普通的身份信息，我们甚至可以称其为“信息资产”。

对于个人信息的定义，大多国家均有立法。2002年，德国为执行《欧盟个人数据保护指令》而制定的《德国联邦数据保护法》将个人数据定义为，关于个人或已识别、能识别的个人（数据主体）的客观情况的信息。日本2003年颁行的《个人信息保护法》第2条规定，本法中的个人信息，是指根据包含在该信息之内的姓名、出生年月日等其他记录，可以识别特定个人的信息。我国《网络安全法》对于“个人信息”也有定义：是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址电话号码等。

综上，虽各国对于“个人信息”的定义并不统一，但本质上可分为以下几类：

隐私性定义，认为个人信息是自然人秘密的或不愿公开的与公共利益无关的信息；

关联性定义，认为所有与该个人社会生活活动相关联信息都是个人信息；

识别性定义，认为个人信息是能够识别特定个人的一切信息。

笔者更倾向于识别性定义的观点，但略有补充，能够识别自然人个人身份的或是能反映其特定活动的信息数据固是其应有之意，而为自然人本人所具有、或由其行为而生发或由其所有之物而产生的数据等，笔者认为也应囊括其中。

将范围扩大后的个人信息进行定义：自然人及自然人拥有完整物权的物，在其存续期间，以其为原始信息源而产生的具有保护价值的信息。而由该些信息所带来的经济利益的资源即为“信息资产”。

试举几例笔者所遇，目前所谓智能家电，皆有联网功能，但实际用户根本无从知悉这些智能家电偷偷往厂商那里送了些什么数据，厂商收集这些数据又是用以为何；又如某宝之类，通过收集和分析用户的消费习惯，主动向用户推送各类信息，同时也为厂商提供用户的样本数据，而这些数据的使用，绝大多数都未经用户许可，或是网站单方面通过“用户协议”里的霸王条款强迫用户开放数据。如此种种确系侵犯到公民的实际利益，亦是对公民个人信息的侵犯。

由此，笔者以为自然人拥有完整物权的物的相关信息数据：铭牌信息（定制物名称、规格、材质等）、使用信息等；自然人在其自身生命周期中产生的衍生数据（包括但不限于）：生命体征信息、每天的生活状态、兴趣爱好、消费习惯（购物偏好等），是否也应列入公民个人信息之列？

信息资产保护的法理基础，可以借鉴个人信息保护的法理基础。

各国立法与理论，较有代表性的主要有以下观点：

所有权说。现实生活中，被非法利用的信息多为具有经济价值的个人信息，意即侵害人是为了谋取经济利益而获取个人信息的，因此，很多学者认为个人信息是一种财产利益，对公民个人信息应采取物权保护模式，因而得出结论“根据所有权原理，只要不与法律与公共利益相冲突，所有权人均享有对个人信息的占有、使用、收益、处分权”。

一般人格权说。此种观点认为个人信息体现的是一般人格利益，个人信息虽含有财产性因素，具有经济价值，但个人信息的立法宗旨仍以保护人格独立和人格尊严为目的，而人格权的客体同样具有财产利益，如隐私、姓名、肖像等。因此个人信息权是一般人格权。德国法是一般人格权说的典型代表。

所有权说偏向于完整的信息无形资产的保护，而人格权说更偏向于个人隐私，即围绕个人特征所表现出的外在信息，例如肖像、姓名、手机号码等。

笔者更倾向于将信息资产保护的法理基础以所有权说为主，当然笔者并不排除相当一部分个人信息及其相关数据的收集和使用是作为数据样本有益社会之用，但即便如此是否也应得到授权或许可，对于如何使用、用于何处有所告知或提示呢？

信息使用者应将选择权交由信息拥有者本人，是否将个人信息提供与否、提供到什么程度，而不应越俎代庖、替下决断，这是信息使用者应尽的本分，亦是应当履行的义务。具体对保护原则的划定可以参考以下方法：

——任何组织和个人想要获取公民个人信息，必须通过合法的手段（公民许可、授权等法律规定的方式）；

——排除个人的正常使用情况（如公民默许、医院就医所需将相关体征指数提供给医院等）；

——对个人信息进行甄别，个人信息通过何种方式、被如何利用能够形成信息资产，该信息资产适宜用何种方式加以保护；

——对于合法途径获取公民个人信息后从事商业活动形成的信息资产，其取得的利益如何分配。

去年6月1日起施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，厘清了侵犯公民信息罪的定罪量刑标准，加大侵犯公民个人信息罪的惩处力度，就什么是公民个人信息进行了定义，扩大了个人信息的内涵，进一步明确了刑法所保护的法益。

我国《身份证法》、《护照法》、《统计法》等也都有相应规定，保护个人信息，要求行政机关及其工作人员对收集和保存的个人信息进行保密，不能随意泄露并恶意使用，且就因此承担的法律责任作了规定。

我国《民法总则》则首次从民事基本法层面确立了个人信息权，任何组织和个人想要获取他人的个人信息，必须通过合法的手段获得，如果通过非法手段获得他人个人信息则属于侵害他人个人信息权的行为；在合法获取他人个人信息之后，应当确保他人个人信息的安全，如果因为故意或者重大过失造成他人个人信息被泄露也是属于侵害他人个人信息权的行为；若不按照法律规定或者当事人的授权，非法使用、加工、传输、买卖、公开他人的个人信息行为属于侵害他人个人信息权的行为，侵权人应当承担相应的侵权责任。 

当然也有观点认为，我国刑事法律层面对“个人信息”的剖析应区别于其他法律，因为刑法的保护手段是较其他法律更为严厉的，因此对于“个人信息”的概念界定，刑法与其他法律理应有所区别。而笔者更倾向于另一种观点，公民个人信息作为法律保护的对象，无论是刑法或是其他法律其保护的范围应当是一致的，只是因为个人信息所遭受侵害的严重性程度不同而采取轻重不同的法律保护手段，即只有刑法所规定的“情节严重”的程度，才给予刑法保护。

如何抑制整个社会中个别人超越限度的窥探欲、遏制个别人或企业利用个人信息谋利的贪欲，给个人信息留出一块足够的、不被打扰的生存空间，同时亦为由此生发的信息数据资产保护与交易问题，至少可以从以下不同轻重、不同层级的几方面进行思考与探索：

强化事先监督，加强对持有公民个人信息、企业信息的机构的监管。由于某些机构监督管理的缺位，使得它们成为信息泄露的突破口，而一旦造成严重后果，又由于责任划分的不明确，责任人的难以确定，使得问题不了了之。因此管束公共权力是保护信息数据的关键，建立完善的事先责任制与事后问责追究制已势在必行。

增强审查义务，设立信息使用者和受益者对信息来源进行合法性审查的合理谨慎义务。即要求无论个人或企业在使用信息时应进行必要性审查，就其合法来源进行甄别，并对其因未尽到审查义务而造成的一定后果承担责任。为避免企业通过子公司或者第三方规避此义务，因而有必要加上受益人也负有此责任。

完善信息规范、合理使用制度。在大数据应用极为广阔的今天，应当引导个人及企业规范使用数据信息，不能因噎废食，因限制过严导致企业无法开展大数据应用，亦不能风卷残云，将全部信息收入囊中又无法合理并有效的运用。

建立惩罚性赔偿制度。我国立法已经确立了个人信息权，建议可在此基础上扩展为企业及个人对于信息数据的安全保障义务，对于违反信息安全保障义务的，确立递进式惩罚性赔偿制度。只有违法行为人或企业了解一旦实施违法行为其法律责任将超过其获得的收益时，才可能根本上扭转个人信息过度收集，随意泄露和普遍滥用的混乱局面。

本文浅淡了公民个人信息的问题，同时提出了信息资产的概念，而实际上，企业所面临的信息泄露的问题也是日益严峻，以往被忽视的保护盲区应尽快被重视起来，例如前述所举的对于信息资产的界定与保护的问题，望能尽早立法——即对相关信息资产的归属权进行界定并加以保护，以引导相关信息的开发和使用有法可依、有法必依。

如今在大数据时代，民众生活与互联网高度融合，使得各类信息无所遁形，有的被用于商业竞争上的资源抢夺、有的被犯罪分子利用从事违法犯罪活动，越是在透明的时代，越需要一个相对安全的环境，用法律手段来保护我们自己、保护我们的企业，刻不容缓。