論個人信息的法律保護
——以《民法總則》區分規定隱私權與個人信息權為背景

時 怡

（南京財經大學 法學院，南京 210046）

一、《民法總則》區分規定隱私權與個人信息權的背景

從近代民法到現代民法，從《民法通則》到《民法總則》，社會發生了翻天覆地的變化。立足新時代，總結比較法上的成功經驗才能滿足現實的需求。《民法總則》區分隱私權與個人信息權具有廣闊的背景。

（一）時代背景

習總書記在十九大報告中指出，“中國特色社會主義進入了新時代，這是我國發展新的歷史方位。”新時代下，社會伴隨著科技進步飛速發展，從農業社會、工業社會轉型為網絡社會、科技社會、傳媒社會、消費社會、風險社會、商業社會，使人民享受到來自社會發展帶來的福利，但同時互聯網使侵害隱私與個人信息的行為具有易發性、無限放大效應；大數據技術對隱私和個人信息自主權的保護提出了更嚴格的要求。［1］全球化“大數據”產業浪潮下，與數據挖掘技術的提高和數據產業發展伴生的，是對個人信息的濫用和傳播，個人信息的“黑色產業鏈”侵權現象屢見不鮮。［2］這不僅侵擾了個人生活安寧更是對個人生活信息的冒犯，僅靠隱私權來保護個人生活信息顯然力不從心。新時代迎來了新變化，新變化帶來了新挑戰，新挑戰對我們提出了新要求，對個人信息單獨規定為一項具體人格權才能實現對個人生活信息的充分保護。

（二）比較法上的經驗

比較法上，對隱私權和個人信息權的規制模式主要有兩種。一種是美國模式，即不區分隱私權與個人信息權，在立法上規定“大隱私權”對隱私和個人信息進行保護，同時在各行各業分別制定有關個人信息保護的法律規則、準則；另一種是歐盟模式，即將隱私權與個人信息權分別規定，這是大陸法系的普遍做法。

這兩種立法模式各有利弊。美國模式“大雜燴”式的隱私權規定加上行業對個人信息權的自治，從實用角度出發促進了個人信息的流通和利用，但是賦予行業這種權利也會帶來各行各業利用其自身的優勢地位，使得對個人信息的不當收集、使用和轉移合法化，這定然不能實現對自然人個人信息的全面保護，美國的這種模式要求的是高素質的行業前提的存在；歐盟在尊重其本來已經構建了完整人格權體系的立法傳統的前提下通過分別立法分別規定了隱私權和個人信息權的保護標準，雖仍存在著過于強調國家公權力、監督管理僵硬的一面，但是這種界分在一定程度上有利于對個人信息的周全保護。［3］

因此，出于我國自身國情與上述比較法上的上述經驗，目前行業自治性有待進一步加強和分別規定具體人格權的立法傳統，參照歐盟模式的優秀經驗，充分發揮后發展國家的后發優勢，對隱私權和個人信息權分別規制，應當也必須是立法者選擇的路徑。當然，在行業組織素質逐漸提升之后，國家逐步放寬對個人信息強制性規范也是應有之義。

（三）現實需求

現實中大量侵犯個人信息權的案件由于沒有民法上的依據，只能由刑法、行政法予以救濟。這顯然不符合民法作為權利法的設定，不能發揮民法對平等自然人的人格權的保護。在對個人信息權單獨規定討論中最熱議的案件是“徐玉玉電信詐騙案”和“清華教師被騙房款案”，筆者在了解這兩個案件的全過程后，更加堅定了對隱私權和個人信息權分別規定的信念，這是對現實需求的呼應。

以“徐玉玉案”為例，電信詐騙分子通過網絡購買學生信息掌握了高考學生徐玉玉的個人信息，以助學金為名騙取徐玉玉學費，并造成了本應該被大學錄取的徐玉玉的死亡。本案中，法官對利用徐玉玉個人信息實施詐騙犯罪的被告人處以沒收個人財產、判刑及并處罰金的刑事責任，貌似對被害人徐玉玉進行了充分的救濟。但是，回到原點，電信詐騙分子如何能實現他們的犯罪目的？顯然是在更為前提的地方即個人信息的保護上就出現了問題。在《民法總則》出臺前，對侵害個人信息的行為大多只能以刑事和行政責任予以救濟，這就使得犯罪分子鉆了法律的漏洞，立法者顯然是忽視了更為基本的層面——即個人信息的民法上的保護。現代信息社會，個人信息越發重要，并且大部分個人信息因為公開過不能受到隱私權的保護，不法分子以此為契機也瞄準了個人信息，對個人信息的侵害案件不絕于耳，對個人信息的保護應是也必須是民法的重中之重，這樣才能實現對自然人個人信息的全方位保護，從法律上威懾不法分子。

二、隱私權與個人信息權對個人信息保護的側重不同

因此，《民法總則》在第110條，以列舉的方式規定了自然人享有隱私權；第111條不僅從正面規定自然人的個人信息受法律保護，還規定了組織和個人的相關義務。隱私權不能替代個人信息權，對個人信息的充分保護依賴于它們的不同側重。

（一）共通之處

隱私權和個人信息權都保護個人生活信息。有學者提出，《民法總則》第111條之所以沒有對個人信息明確規定以權利或法益，是由于個人信息權與隱私權的客體具有較強的關聯性，隱私權所保護的隱私中的個人信息與個人信息權所保護的個人信息存在交叉。［4］筆者同意這種觀點，同時認為，雖然《民法總則》未對“個人信息”明確以權利稱謂，但從規定的位置、從體系解釋角度可以認定第111條明確規定了個人信息權；在個人信息權被規定之前，個人隱私信息與個人身份信息都是由隱私權進行保護的，也可以體現出它們在保護個人信息層面的緊密聯系。

隱私權，是指自然人享有的私人生活安寧與私人生活信息依法受到保護，不受他人侵擾、知悉、使用、披露和公開的權利。［5］個人信息權，是指本人依法對其個人信息所享有的支配、控制并排除他人侵害的權利。［6］個人信息權的規定，隱私權對個人信息的保護讓渡了大部分給個人信息權，但涉及隱私性信息，仍需隱私權的保護。

（二）不同側重

隨著時代的發展，對個人信息的保護不再僅滿足于隱私權，個人信息的重要性凸顯，現實需求呼喚對個人信息的全面保護，因此個人信息權應運而生，個人信息權對個人信息保護的不同側重彌補了隱私權對個人信息保護上的不足。

首先，權利性質不同。隱私權是一項消極性、防御性的權利，只有在受到侵害時才可以積極主動的行使權利，自然人不能利用隱私權使自己獲得財產上的利益，隱私權是一項一經權利人主動公開就消滅的權利；個人信息權呈現出人身性質與財產性質的雙重屬性，個人信息不僅是個人的“數字化形象”，同時本人可以通過對個人信息的支配、控制獲得財產上的利益，因此也是一項積極性、主動性的權利。

其次，權利客體及側重點不同。隱私權保護私人生活安寧利益和私人生活信息利益；個人信息權保護的利益是“可以識別個人身份的信息”，作為個人人身、行為狀態的數據化表示，是個人自然痕跡和社會痕跡的記錄。［7］因此，隱私權強調的是人作為私人的對于“隱”的利益，個人信息權權強調的是可供“識別”數據化形象和財產的利益。

第三，權利內容及救濟方式不同。對于隱私權，權利人擁有不受他人侵擾、知悉、使用、披露和公開的權利；對于個人信息權，權利人享有的是支配、控制并排除他人侵害的權利。隱私權的權利內容是被動性的行為，對隱私權的保護側重的是事后救濟；個人信息權的權利內容是主動性行為，對個人信息的保護側重點是預防。［3］由于隱私權是一次性的，對其事后救濟主要是精神性的損害賠償；個人信息權的財產屬性、其權利內容行使的控制性都決定了其遭到侵害后不僅可以基于人格權屬性受損后的精神損害賠償，還可以獲得基于財產屬性受損后的類似于“財產權”的救濟措施如財產損害賠償、恢復原狀等。

因此，隱私權強調保護的是隱私性信息，對權利受侵害的救濟只能是被動的且只能要求精神性損害賠償；而個人信息權強調個人身份信息，允許權利人積極、主動的行使權利從而獲得相關利益，對于個人信息的保護側重于預防，在權利受侵害后，除了精神損害賠償之外，還可要求財產損害賠償等“財產權”救濟措施。

三、完善個人信息保護的建議

從上文的分析可以看到，隱私權和個人信息權的區分規定有著廣闊的背景，隱私權和個人信息權在個人信息保護上聯系密切但是側重不同，立法者之所以分別規定隱私權與個人信息權是出于充分保護自然人個人信息的立法目的。但是，筆者認為，這種立法目的的實現尚存一定可以完善的空間，在此從個人、社會、國家三個層面分析考慮，總結了些許建議，望能對完善個人信息的保護有所裨益。

（一）個人：強化自我保護意識

作為信息化社會中的“信息人”，個人信息的使用和利用滲透在我們生活的方方面面。但為了防范我們自己成為下一個“徐玉玉”、甚至是成為侵害他人的個人信息的不法之人。我們對于個人信息的使用和利用，應當盡到充分的注意義務，強化對個人信息的自我保護意識和規范利用意識。

首先，在個人信息的使用方面。第一要做的是培養良好的習慣、從信息提供的源頭嚴格把關。在向他人提供個人信息時應審查對方是否具備相應的資格、重視對個人信息提供時的嚴格把關。就拿我們現在日常生活中使用的電子軟件來講，在下載時會有冗長的格式條款，因為不重視很多用戶往往不加仔細閱讀就會按下同意，殊不知在不知不覺中就同意了軟件提供商對用戶個人信息的獲取和利用；同時用戶在登記注冊時基本上都需要訪問基礎資料、獲取通訊錄、訪問相冊，這些選項有的隱藏在下拉條款中，因為用戶對個人信息的不重視直接一鍵同意便使得軟件提供商獲取個人信息的暢通無阻。因此每下載一個軟件、每注冊成為一個用戶都暗含著泄露個人信息的危險。所以，充分審查對方是否具備相應的資格，培養個人的安全意識，提高個人信息的重要性認識是源頭上防范個人信息泄露的關鍵。

第二是學習專業技能、抵御對個人信息的入侵。信息時代、網絡時代，個人信息的價值進一步提升，非法獲取個人信息的黑客、木馬層出不窮，個人信息的非法獲取手段越來越“高端”、越來越具有隱蔽性。因此個人除了在初始階段增強安全意識，在要求提供的個人信息時持謹慎態度，更要防范惡意程序的入侵。學習專業技能、建立防火墻，運用先進的技術阻卻惡意程序對個人信息的非法獲取是為了在過程中防范個人信息的受到侵害。

第三是建立維權觀念，及時維護個人信息權。個人信息權作為一項新型民事權利，很多自然人的維權意識并不高漲；同時侵害個人信息權的案件呈現大規模輕損害的特點，很多人往往會選擇不了了之。在個人信息受到不法侵害時不會訴諸于法律。因此，作為享有個人信息權的自然人必須建立維權觀念，及時維權，這不僅是使不法分子受到應有的懲罰，更是為了在社會上形成一種良好的維權觀念，建立一個知法、懂法、守法、用法的法治社會需要法治意識的普遍提升。

其次，在個人信息的利用方面。信息社會是信息互通交流的社會，不僅是提供個人信息給他人，也需要利用他人的信息來開展自己的行為活動，因此必須建立規范利用他人個人信息的意識。由于對個人信息的挖掘、整合、分析主要由行業組織進行操作，因此對該部分的討論主要在行業組織體對個人信息的利用中予以討論，在此不做贅述。

（二）社會：加強行業自律

首先，承襲上文討論行業組織對個人信息利用問題。第一，在獲取個人信息上要征得他人同意。雖然不同于隱私權對個人信息的保護，個人信息權中的個人信息往往是已經公開的。但是將已經公開的個人信息利用會擴大個人信息的輻射范圍，在某種程度上不可避免的增加當事人的困擾。比如房產中介將個人小范圍公開的售房信息公開發布在網頁上就可能會導致該個人受到大量電話侵擾。房產中介沒有經過該個人的同意將獲知的信息在更大程度上公開顯然是對個人信息權的侵犯。第二，在個人信息的整合上要合理適度。對個人信息的利用往往呈現為對個人瑣碎信息的分析整合以拼湊出個人的關鍵信息。就算行業組織的確在個人同意的情況下獲得了個人的瑣碎信息，但對瑣碎信息的“匯編”，是否能應其“匯編”工作獲得合法性，從而使得相關組織獲得合法利用的依據？如當下時興的購物軟件，我們在使用時會發現首頁往往呈現的正是我們最近的需求物。這其實并非巧合，是購物軟件平臺通過對用戶的歷史搜索記錄、購物訂單等的分析整合下的精準投放式廣告。不可否認的是，這的確便利了消費者，但這也的確拼湊出了消費者的數字化形象，這種獲取消費者相關信息的行為是對私人信息的二次利用和開發。合理適度的信息整合便利你我，過度的信息搜集和整合則會使用戶“衣不蔽體”。因此，直銷業者在精準營銷時必須衡量對消費者的實際影響，最好的方法是對這種數據的分析整合進行類型化投放，從而不會識別出消費者的明確身份造成對消費者的困擾，又便利雙方。

其次，各行業應當建立自律組織。借鑒美國模式，充分發揮行業組織的靈活性、自治性、專業性，彌補法律法規的抽象性及滯后性等缺陷。特別應引導重點行業在個人信息保護領域，制定相應的自律規范和自律公約，重點加強對企業內部可能接觸海量個人信息人員的監管和教育，規范大數據的使用方法和流程；加強自我管理和自我約束，對具有侵犯用戶個人信息行為的會員予以處罰，包括罰款、暫停會員資格、取消會員資格，情節特別嚴重的可提請政府主管部門或司法機關處理。因此，各行業建立自律組織，不僅可以強化各個行業組織的自律意識，同時可以使個人通過參考相關企業是否具有自律組織的會員資格，來衡量其對用戶個人信息的保護程度。

（三）國家：完善相關立法

隨著《民法總則》對個人信息權的正式確立，對個人信息權的民法保護有了依據。第111條從三個層次對個人信息權的保護做出了規定，首先是確權性規定自然人的個人信息受法律保護；第二層次規定任何組織或個人的作為義務；第三層次規定任何組織或個人的不作為義務。第二層次與第三層次一正一反形成對任何組織或個人對自然人個人信息的周延的保護。但該條規定仍有進一步完善的空間，對個人信息權的全面保護還需國家完善相關立法。

首先，對個人信息的內涵和外延未予以明確規定。2012年發布的《信息安全技術公共及商用服務系統個人信息保護指南》將個人信息定義為，“可為信息系統處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。個人信息可分為個人敏感信息和個人一般信息。”2016年頒布的《網絡安全法》將個人信息定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”2017年3月提交的《個人信息保護法（草案）》對個人信息維持了《網絡安全法》的規定。但是值得注意的是，在《民法總則》二審稿中也對個人信息列舉為“姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”，但是在三審稿就對個人信息不再列舉，那么個人信息的內涵和外延到底包括哪些、是否能夠適用《網絡安全法》對個人信息的規定、是否還需要對個人信息進行分級保護都應在民法分則編纂或者對個人信息權的單獨立法中予以明確規定。

其次，應對個人信息進行分級保護。將個人信息根據重要性和保護力度分為個人一般信息、個人重要信息和個人關鍵信息，個人一般信息可以從網絡、媒體上沒有阻卻的找到，是指有關個人身份和財產的基本情況，對此的獲取和利用不屬于侵權；個人重要信息是指小范圍公開的個人信息，比如同學通訊冊，這是在同學之間相互流通的有關個人聯系方式、家庭住址、工作情況的信息集合，如果其中有的同學將這些信息賣給其他組織而從中獲利則侵犯了個人信息權，因此個人重要信息應經當事人同意才可以獲取和利用；個人關鍵信息是指涉及個人人身和財產的關鍵信息，當事人以外的任何組織和個人通過正常途徑無法獲取，對此類個人信息的保護力度應最強，對其的保護應直接與刑法鏈接。［8］

（四）期望：實現個人信息保護與利用的雙贏

社會信息化進程的不斷加快不僅催生了對個人信息的全面保護意識，也展現出個人信息的巨大價值。筆者認為，對個人信息的保護和對個人信息的利用從來就不是一組沖突的概念，對個人信息的全面保護應當兼顧個人信息的利用從而達到雙贏的狀態。

個人信息的利用呈現出巨大的商業價值，商務智能分析、直銷精準投放使得營銷回應比率大大提升，對消費信息的整合分析也是經營者及時更新產品、服務質量，提高決策效率的重要途徑。對個人信息進行全面保護時應當允許經營者出于合法理由對消費者個人信息的適當利用，但經營者也必須保證消費者個人信息的安全。個人信息的利用還呈現出巨大的公共管理價值，諸如戶口登記、企業營業登記等都是國家為了宏觀實施社會管理、提供公共服務采用的基本做法。有學者指出《民法總則》第111條規定的任何組織或個人應包括國家、國家機關、行政機關。［9］筆者認為此番論斷確有根據，隨著信息化、數字化社會的到來，在“責任政府”和“服務政府”的基礎上，“數字政府”已經成為現代政府的基本標志。國家、國家機關、行政機關通過以個人信息為基礎建立的數據庫，可以高效利民的實現對公共秩序、公共安全和公共福利的推進。同時國家以“公共利益”為名對個人信息的收集、建立數據庫同樣可能造成對個人信息權的侵害，這里必須對公共利益作出具體的界定，符合公共利益的個人信息個人必須提供，對個人信息的全面保護也必須讓位于公共利益；不符合公共利益、社會利益的，個人則有權捍衛自己的個人合法的個人信息權。把控個人信息保護與個人信息商業價值利用和公共管理價值利用的度，實現保護與利用的衡平，實現保護和利用的雙贏需要個人、社會和國家的共同努力！

四、結語

隨著信息化時代的到來，個人信息的保護問題逐漸突出。《民法總則》將個人信息與隱私權區分規定對個人生活信息進行了全面保護，在宏觀上具有廣闊的背景，在微觀上也具有充實的理論依據。但在此基礎上，對于個人信息權的保護仍有進一步優化的空間，這就需要個人、社會和國家的共同努力來化解個人信息保護與利用的尷尬境地，轉而實現個人信息保護與利用的共贏！