我國個人信息的民事保護研究

高一鷺

南京工業大學法學院，江蘇 南京 211816

一、個人信息民事保護的現實必要性

在互聯網和大數據環境下，任何一筆移動支付都在商家和支付系統處留下痕跡。2016年《中國個人信息安全和隱私保護報告》國內百萬份問卷中，81%的參與調研者有接收過知悉自己姓名和單位的陌生電話。2019年1月，筆者在實習的某法院對包括法官、法官助理、書記員、人民陪審員、司法警察和裝備保障人員共計192人的問卷調查中，在過去的2018年度工作中，接收到知曉自己姓名和工作單位甚至庭、處、室的陌生電話！日常生活中，人們通過手機接收到各種產品、服務推銷司空見慣，詐騙電話也屢見不鮮，因個人信息泄露發生的詐騙刑事案件十分普遍，最為典型的是2016年8月徐某被詐騙致死案的發生。個人信息泄露問題嚴重成度可見一斑。

與此同時，大數據的發展應用與個人信息的保護出現了現實的沖突。積極協調個人信息保護與公共利益、國家利益之間的關系，合理利用個人信息與有效保護公民個人權益，成為民事立法司法的重要使命。

二、域外關于個人信息的法律保護

(一)美國的憲法性權利法律規定

1974年12月31日美國聯邦參眾兩院通過的《隱私權法》，把關于該法指稱的人的個人信息記錄歸為個人隱私權，并在1978年第95屆國會修訂的《聯邦行政程序法》中其中，成為《美國法典》的重要內容。2018年6月28日由州長批準的《加州消費者隱私法案》明確了個人信息是加利福尼亞州憲法賦予的一項隱私權，作為消費者的一項權利，加利福尼亞人有權知曉其正在被收集的個人信息的處理結果，有權拒絕出售個人信息、有權享有平等服務與價格即使其行使隱私權、有權要求企業刪除從該消費者處收集的個人信息。

(二)歐州聯盟(EU)法律個人信息保護

歐州聯盟現有28個國家，其中英國預計在2019年6月前脫離歐洲聯盟。2016年4月14日歐盟議會通過、2018年5月25日生效的《一般數據保護條例》(GDPR)，已取代1995年《個人數據保護指令》。是目前為止最為全面、嚴格保護個人信息的法律文件，在歐洲聯盟范圍內具有法律效力，它要求歐洲聯盟國家國內法關于個人數據的規定如與本條例相沖突的，優先適用本條例。該法律將個人數據確定為人格權益，規定了個人數據的權利主體和義務主體的權利義務及其保護規則。歐洲聯盟把已識別或可識別的自然人相關信息定義為“個人數據”。

(三)德國法律個人信息保護

與歐洲聯盟相一致，德國個人數據保護法以信息自決權為憲法基礎，以一般人格權為民法基礎，有完備的個人信息保護法律制度。2002年1月《德國聯邦數據保護法》規定的關于個人信息與歐洲聯盟定義一致，個人數據的侵權行為分為行政侵權行為和民事侵權行為，權利救濟措施采取損害賠償機制。

(四)日本法律個人信息保護

1975年，日本《關于涉及行政機關等利用電子計算機之隱私保護制度的存在方式的中間報告》、2005年《信息公開與個人信息保護審查會設置法》與《個人信息保護法》的實施，確立了個人信息保護的基本方針。其中《個人信息保護法》規定，個人信息是指活著的自然人之相關信息，據此信息包含的姓名、出生日期及其他內容，可以識別該特定的自然人。

(五)香港法律個人信息保護

香港法例第486章之《個人資料(隱私)條例》是香港關于個人信息保護的重要法例，于1995年制定，1996年實施。該條例2012年修訂。該條例規定，“所有個人資料包括，但不限于姓名、國籍、護照號碼、香港省份證號碼、聯絡地址、公司地址、電話號碼、傳真號碼及電郵地址。”該法例明確了個人資料屬于個人隱私范疇，其他人對其使用“局限提供最佳服務所需的最低范圍。”

三、我國個人信息民事法律保護

(一)關于個人信息的有關規定

何謂“個人信息”？目前我國法律文件沒有給出一個統一的定義。上述國家和地區，因在語義表達的差異，“隱私權”、“個人數據”和“個人資料”涵蓋的內容，與我國現行法律上“個人信息”一詞含義最為相似，其中“可識別性”是最為本質的意涵。

關于個人信息，我國目前有如下不同的幾種規定：一是在全國人大常委會《關于加強網絡信息保護的決定》。該規定保護的是能夠識別身份和個人隱私的電子信息。二是工信部《電信和互聯網用戶個人信息保護規定》。該規定所謂用戶個人信息是經營者或服務者收集的用戶信息，包括姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等識別用戶的信息以及用戶使用服務的時間、地點等信息。三是《中華人民共和國網絡安全法》。附則規定了該法個人信息用語含義，以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。四是2017年“兩高”《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。該解釋所謂刑法第二百五十三條之一規定的“公民個人信息”包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。由此可見，該法條所謂“個人信息”包括個人識別、隱私和活動三個方面信息。

最高人民法院民法典編纂工作研究小組編寫的《<中華人民共和國民法總則>條文理解與適用》(下稱《條文理解與適用》)中認為，能夠將該自然人特定化的信息屬于個人信息，包括包括自然人身份證信息、戶籍信息、家庭結構、就業情況、社會交往、網絡交易數據等物理性數據以及自然人機體基因組成、生物學、遺傳學密碼等信息。這一關于個人信息范圍的界定，很可能成為未來民法分編立法時所采用，值得對于個人信息權利屬性研究方向予以關注。

(二)《民法總則》關于個人信息規定之不足

《民法總則》第五章民事權利的規定開篇就是人格權之規定。其中第109條是一般人格權規定，第110條是特別人格權規定，第111條就是關于個人信息保護條文。應當認為個人信息在這里是作為特別人格權來規定的，盡管沒有直接表述為“個人信息權”，也沒有對個人信息加以定義。該條規定從結構上實際上分為兩個部分：一是明確個人信息是公民的一項重要權利。二是其他組織和個人需依法獲他人信息，負有確保已獲取的他人信息安全之義務，并且禁止非法收集、使用、加工、傳輸、買賣、提供或者公開他人個人信息。因其權利屬性在理論上的爭議還沒有完全解決，此條文沒有明確個人信息為特別人格權。

民法總則第二條規定，民法調整平等主體的人身關系和財產關系。與《民法通則》相比較，把人身關系與財產關系的位置進行了對調，不論從主體意義還是客體意義上，都更加科學合理。何謂人身？在民法上，人即人格，身即身份。從民法總則民事權利專章的條文順序看，也是遵循了先人格權利后財產權利之序的。作為一種新的權利客體的個人信息，因其與人格不可分離，又與財產利益有一定聯系，一般認為個人信息具有自然人人身自由、人格尊嚴的當然利益屬性，是其一般人格權的自然延伸。在此意義上，個人信息與個人隱私都屬于自然人法定權利，個人信息中某些成分是無需本主體許可就可以公開的，如姓名、性別；有些是未經許可不能公開的，如個人生物識別信息、電話號碼。2017年3月8日全國人民代表大會常務委員會《關于<中華人民共和國民法總則(草案)>的說明》指出，保護民事權利是民事立法的重要任務，草案由有針對行性地對個人信息保護作了規定。《條文理解與適用》特別說明，“對直接表述民事權利尚不成熟，但社會又十分需要的，則采用對客體進行表述的方式，為未來的社會發展和法治發展留足空間。”認為個人信息權屬于人身權利權，并且民法總則是作為獨立的人格權予以保護的。由此可見，最高司法機關對于個人信息的屬性認識定位于特別人格權，并且是獨立于民法總則現有已經定義的其他特別人格權的。

(三)個人信息保護立法保護前瞻

由于對個人信息權利屬性認識的分歧，《民法總則》僅僅通過一個條文對其進行概括性規制，并沒有給出有關責任承擔的規則。個人認為，應當加快立法進程，建立起更加科學的個人信息保護體系。

1.建立民法上的個人信息權

個人信息與公民身份、生物特征、隱私密切相關，人格商品化不符合我國對于人權的基本認知。在2020年擬提交全國人大審議的民法相應分編中，應對個人信息加以定義，確立其人格權屬性而不是財產權屬性。由于民法總則第一百一十條已經規定了隱私權，因此構建個人信息權這一新的人格權規范就成為必要。

2.完善侵犯個人信息權的侵權民事責任

在民法分則侵權編中，明確個人信息侵權的民事責任承擔、免責事由，進一步完善舉證責任分配，加大侵權人的舉證責任。民法總則規定了個人信息安全義務主體是任何組織和不特定其他人，并且義務主體獲取他人信息需依法。這里的依法有兩個方面：一是依合同，如注冊購物賬號、辦理金融業務等留存的個人信息；二是法律授權留存合理使用個人信息，如個人征信有關個人信息。不論個人信息安全義務主體是政府機關、其他公共事務機構、社團企業還是其他個人，都有保證其安全義務；致使個人信息泄露的，需承擔責任的，應當負有抗辯的舉證責任。

3.制定統一的《個人信息保護法》

我國已經進入到大數據時代，數據安全風險顯得十分突出。面對這一歷史機遇與挑戰，我國目前信息保護法律分散于各部門法律規范之中，對個人信息還沒統一標準。制定個人信息保護法，建立科學合理的信息保護體系，健全社會管理制度，提高政府服務水平，加強互聯網行業自律機制，提高互聯網技術創新和公民個人信息保護意識，都具有十分重要的意義。