網絡空間個人信息保護的民事法律責任

[摘 要]網絡空間個人信息權利保護日益受到重視，個人信息保護的義務及民事法律責任在學界卻沒有引起足夠的關注。由于網絡空間個人信息保護的特殊性，從本質上看是個人信息利用中的保護。個人信息保護的義務主體應進行類型化的研究，并賦予主體積極的義務。根據網絡空間個人信息收集與利用情況的不同，網絡空間個人信息保護的民事法律責任應當包括合同責任與侵權責任。網絡空間個人信息侵權責任的歸責原則是一個多元化的體系，便于信息主體的權利救濟。結合我國法治建設的具體情況和信息產業的發展，網絡空間個人信息保護宜采用綜合立法的模式。

[關鍵詞]網絡空間 個人信息 義務 法律責任

[作者簡介]白云，哈爾濱師范大學法學院教授，法學博士，美國佛羅里達大學萊文法學院訪問學者（ 哈爾濱 150025）

[中圖分類號]D913[文獻標識碼]A [文章編號]1000-3541（2020）02-0039-08

在現代社會，我們在享受網絡帶來的便利與效率的同時，也遇到前所未有的問題和挑戰。隨著信息技術的發展以及大數據時代的到來，信息的收集和處理成為常態，并蘊藏著巨大的商機。網絡空間個人信息保護的義務主體及其法律責任的研究就尤為重要。

一、網絡空間個人信息保護民事法律責任主體：類型化研究

網絡空間個人信息保護義務主體的研究相對較少，目前的研究主要集中在個人信息權利的研究上。對于個人信息權利的認知，現在的主流觀點是一項獨立的人格權[1]，是對世權。對世權的義務主體是不特定的。由于網絡空間較現實空間有其特殊性，將網絡空間個人信息保護義務主體抑或是法律責任主體進行類型化研究，對于個人信息保護民事法律責任的界定具有重要意義。基于此，筆者將網絡空間個人信息保護法律責任主體界定為三種類型：一是公共部門。公共部門（public institution）是為社會提供公共管理和服務的部門。可細分為政府機構和公共服務機構。政府機構（也包括得到授權行使公共管理職能的機構）為了實現對國家公共事務的管理，需要對個人信息進行收集、處理和利用，政府部門在從事這些活動時，會直接涉及個人信息權利，所以，政府部門可以成為個人信息保護的義務主體，進而構成個人信息保護民事法律責任主體。公共服務機構為社會提供公共服務，不以營利為目的。在其提供公共服務的過程中，基于服務的需要，會對個人信息進行收集和控制。如教育和醫療機構存有大量的個人信息，所以，公共服務機構可成為個人信息保護民事法律責任主體。二是非公共部門。非公共部門也稱私人部門，是除了公共部門以外的對個人信息進行控制的法人和其他組織。非公共部門一般是以營利為目的，對個人信息進行商業化利用的組織，當然可以成為個人信息保護的民事法律責任主體。在網絡空間，非公共部門個人信息保護的民事法律責任主體還可以類型化為“為網絡提供服務和商業化利用”的主體，具體包括互聯網服務提供商（Internet Service Provider，ISP）、互聯網內容提供商（Internet Content Provider，ICP）和應用服務提供商（Application Service Provider，ASP）。互聯網服務提供商（Internet Service Provider，ISP）是向網絡用戶綜合提供互聯網接入業務、信息業務和增值業務的電信運營商，國內較大的互聯網服務提供商有中國電信、中國移動和中國聯通等;互聯網內容提供商（Internet Content Provider，ICP）是向網絡用戶綜合提供互聯網信息業務和增值業務的電信運營商，國內知名的互聯網內容提供商有新浪、搜狐、163以及地市信息港等;應用服務提供商（Application Service Provider，ASP）是為各種各樣的商務客戶和事務客戶提供其所需的應用服務的專業公司。三是自然人。自然人不是具備法定資格的個人信息控制主體，自然人在其民事活動中既會獲得他人的個人信息，也會通過黑客入侵等非法手段獲得個人信息，所以，自然人雖然不是網絡空間個人信息保護的主要義務主體，但是也可能由于其侵權行為而成為個人信息保護的民事法律責任主體。

二、網絡空間個人信息保護民事法律責任前設：個人信息保護義務

作為對世權的個人信息權利義務主體具有消極的不作為義務，即不侵犯信息主體權利的義務，但是在網絡空間個人信息保護義務主體往往是個人信息的利用主體，所以，個人信息保護義務主體除了具有不侵犯個人信息這個消極的不作為義務以外，還應當負有一些積極的作為義務，這些義務主要包括：

（一）征求同意義務

征求同意義務是網絡空間個人信息收集主體在收集個人信息前應征得信息主體同意的義務。征求同意義務對應的是信息主體的控制權[2]，有學者也稱其為決定權[3]，在學理上認為基于信息主體對其個人信息的保有權，相應地就擁有其對個人信息的收集、利用和處理的情況進行決定的權利。網絡空間負有該義務的主體主要是互聯網內容提供商和應用服務提供商。這些主體在為網絡用戶提供服務的過程中會收集個人信息，但是基于信息主體對個人信息的控制權，互聯網內容提供商和應用服務提供商在收集個人信息前應當征得信息主體的同意，否則不能收集。

（二）目的明確義務

目的明確義務要求網絡空間個人信息保護義務主體在對個人信息進行收集、處理和利用之前必須有明確而特定的目的。目的明確義務的權利基礎仍然是個人信息控制權。信息主體在對個人信息做出決定前有權知道信息收集主體是“基于何種利益的考慮儲存、處理和利用個人信息”[4]82。該義務既能保證網絡空間信息收集主體對個人信息的收集與利用的正當理由，又防止對個人信息的濫用。該項義務包括目的特定、目的明確和目的正當等三個方面的內容。目的特定是指在個人信息收集和利用之前應通過法定或約定的方式將個人信息收集和利用的目的給予特別規定或約定。之所以特定，就是因為不同主體基于不同業務進行的個人信息收集和利用的目的都會有所不同，目的特定后，個人信息的收集與使用者便受到這一特定目的的限制，超出特定目的的收集和利用即為對個人信息的侵犯。目的明確要求個人信息收集與利用主體應將法定或約定的目的以某種方式明確表示并確定下來。目的明確是目的特定的外在表現，是防止個人信息濫用的依據。目的正當是指個人信息收集和使用的目的合法并符合社會公序良俗。目的正當是對個人信息保護的重要保證，是對個人信息收集與利用目的的必要限定[5]254-256。

（三）目的限制義務

目的限制義務要求網絡空間個人信息保護義務主體對個人信息的收集和利用均限于最初確立的目的，與該目的保持一致;并應采取公平合理的收集方式[6]136。目的限制義務是個人信息控制權積極權能的體現，信息主體可以動態控制其信息持有者對信息的收集和利用，不因同意信息收集而喪失信息的控制權。目的限制義務包括限制收集和限制利用兩個方面。限制收集要求對個人信息的收集要限制收集的目的，以預先明確的目的為限，一般情況下不可以超目的收集。限制收集的范圍，在法定的范圍內收集，如敏感個人信息則禁止收集。限制收集的方式，以法律準許的方式收集，如須征得信息主體同意方可收集的，則應采用此方式。限制收集的主體，只有符合法定條件的主體才可以進行個人信息的收集。限制利用是指個人信息在利用時應該嚴格限定在收集目的的范圍內，不應做收集目的之外利用[6]139。對個人信息利用的主體和利用的方式要做嚴格的限制，防止個人信息的濫用。

（四）告知義務

告知義務是網絡空間個人信息保護義務主體對個人信息主體告知其個人信息的收集、儲存、利用和處理情況的義務。告知義務是對信息主體查閱權或稱訪問權[7]的保障，也是個人信息權利積極權能的體現。告知義務是一項被動義務，個人信息保護義務主體不必主動為之，是應信息主體的請求而履行的義務。

（五）保障信息品質義務保障信息品質義務是指網絡空間個人信息保護義務主體負有保障其收集、存儲、處理和利用的個人信息的正確、完整和最新的義務。保障信息品質義務的具體內容包括改正義務、補充義務、更新義務及封存義務。保障信息品質義務是與個人信息主體更正權和封存權相對應的義務。

（六）刪除、屏蔽、斷開鏈接義務

刪除、屏蔽、斷開鏈接的義務是網絡空間個人信息保護義務主體對過時的信息進行刪除、屏蔽以及斷開相關鏈接的義務。該項義務是網絡空間個人信息保護的一項重要義務，是對信息主體被遺忘權的保障。歐盟在2012年提出了個人信息保護的一項新的權利——被遺忘權，并通過2014年歐盟法院在Google Spain SL & Google Inc v Agenda Espanola de Proteccion de Datos （AEPD）& Costeja Gonzalez案的判決予以確認。基于此項權利信息主體可以要求個人信息保護義務主體刪除不充分、不相關或過時的信息[8]。刪除、屏蔽、斷開鏈接義務能夠擦除信息主體在網絡空間留下的個人信息痕跡，是在當前信息技術高速發展的情況下，保護個人信息的重要手段。

（七）安全保障義務安全保障義務是指網絡空間個人信息保護義務主體對個人信息安全負有技術和管理上的義務。“面對大數據分析技術對個人信息保護的威脅，各國政府紛紛重新審視既有法律架構的有效性，不斷強化個人信息保護力度，并將此提升至數據主權與國家安全的新高度”[9]。個人信息保護義務主體應當掌握保障信息安全的網絡技術，技術水平達到國家信息安全技術標準，防止黑客入侵導致信息泄露;應當建立個人信息安全管理規范，防止人為因素導致的信息泄露和侵權。

三、網絡空間個人信息保護民事法律責任類型：合同責任與侵權責任

（一）合同責任

對個人信息的收集、處理和利用大致有兩種方式：一是公共部門為了公共利益的需要對個人信息的控制，在這種情況下一般是強制收集，不需要經信息主體的同意;二是非公共部門對個人信息的控制，通常是經信息主體的授權后，才能收集。在第二種情況下，信息主體與個人信息控制主體之間形成合同關系，相應地就會產生合同責任，主要包括締約過失責任、違約責任和后契約責任。

締約過失責任是對誠實信用原則的堅守和對當事人信賴利益的保護。創設締約過失責任的德國法學家耶林于1861年發表《契約締約之際的過失》一文，將德國普通法源的羅馬法擴張解釋，廣泛地承訓信賴利益的賠償。他指出：“契約的締結產生了一種履行義務，若此種效力因法律的障礙而被排除時，也會產生一種損害賠償義務。所謂契約無效者，僅指不發生履行效力，不是說不發生任何效力。當事人因自己過失致使契約不成立者，應對信其契約為有效成立的相對人，賠償基于此項信賴而產生的損害。”[10]締約過失責任包括以下要件：一是一方或雙方當事人意思表示瑕疵;二是締約的相對人誤信合同已經成立;三是合同尚未成立;四是締約當事人須受有損害;五是締約當事人一方或雙方須有過錯[10]。個人信息合同中的締約過失責任應當以上述構成要件來確定。

信息主體與信息控制主體訂立個人信息合同后，雙方的權利、義務要受到合同的約束，如有不履行合同義務的情形即構成違約，違約方承擔違約責任。如個人信息控制主體超出合同約定的目的、方式，對個人信息的處理和使用，未經信息主體同意，將個人信息許可第三人使用等。違約責任的構成要件分為一般構成要件和特殊構成要件。一般構成要件為違約行為、不存在法定和約定的免責事由;特殊構成要件包括違約行為、損害事實、因果關系、過錯等[11]264-267。至于歸責原則，我國《合同法》是采用無過錯原則為主、過錯責任為輔的二元歸責體系。個人信息控制合同中違約責任的歸責原則應當采用無過錯責任。因為能夠控制個人信息的主體應當是具有法定資格的組織，應當賦予其較高的注意義務[12]。

個人信息合同終止后，信息控制主體基于誠實信用的原則應當履行對已獲取信息的保密、刪除等義務。信息控制主體不履行此義務，給信息主體造成損失的要承擔后契約責任。后契約責任的構成要件包括違反后契約義務的行為、損害事實、因果關系、主觀過錯。在歸責原則上，后契約義務責任當事人由于合同權利、義務已經終止，但是基于個人信息在網絡空間易存儲、易流通的特性，還要賦予個人信息控制主體一定的注意義務，所以采用過錯責任比較合適。在主觀過錯的確定上，采取推定過錯為好，既克服了信息主體舉證困難的問題，也強化了信息控制主體的義務承擔意識。

（二）侵權責任

網絡空間個人信息侵權責任的構成包括侵權行為、損害事實、因果關系、主觀過錯。

侵權行為是對信息主體信息權利實施侵犯行為。筆者認為，個人信息權利應納入人格權的范疇，“人格權是指以主體依法固有的人格利益為客體的，以維護和實現人格平等、人格尊嚴、人身自由為目標的權利”[13]14。它的權能有支配權、利用權和處分權等。個人信息權利的內容包括控制權、查閱權、更正權、封存權、刪除權、收益權等。“權利之內容，為權利人在法律上得主張之利益，妨害此利益之享受，即有權利之侵害”[14]125。當主體的行為妨礙個人信息權利人行使其個人信息權利內容所指向的各項權利，權利人的人格利益受到侵害時，該行為即構成侵權行為。

損害事實是被侵權人的權益損失，“損害（英damage;德Schaden）謂就法益所受之不利益……亦可定義為法益主體之生活條件之減少”[14]166。損害事實既包括財產利益的損失，也包括精神利益的損失。個人信息權利被侵害的損害事實以精神利益損失為主，在個人信息商業化利用的情況下也包括財產利益損失。個人信息侵權責任的構成是否要求損害事實一定發生，筆者同意史尚寬先生的觀點，人格權受害時，損害之發生，為賠償義務成立之要件，而非侵權行為之要件[14]166。個人信息侵權損害結果的預防比損害賠償更重要，只要有損害事實發生的危險，即可認定構成侵權責任要件。美國法官小奧利弗·溫德爾·霍姆斯（Jr. Oliver Wendell Holmes）在言論自由領域提出一個具有歷史影響力的司法裁定原則：“明顯而即刻的危險”（a clear and present danger）對言論自由的限制一樣，對個人信息的控制也應以不構成發生損害風險為限度。

侵權法上的因果關系是比較復雜的理論。在英美法系中“因果關系可以被區分為不同的兩種：事實上的因果關系和直接或法律上的因果關系。事實上的因果關系是探究實際上發生了什么;它關注于被告的行為是否實際上促成了原告的損害”[15]119。判斷的是行為與結果自然的、科學的聯系。“直接因果關系則相反，它與政策性問題相關”[15]119，加入了價值判斷的因素。“法律因果關系則是以事實因果關系的判斷為前提條件，只有當事實因果關系得到確認之后，才有進一步討論法律因果關系的必要。而且法律因果關系更多地是從社會公平、正義、公共政策等角度出發對因果關系進行價值判斷，注重考慮可預見性、介入原因等因素”[16]。法律上的因果關系的判斷規則有直接結果規則（Direct-causation rule）與可預見性規則（foreseeability rule）。大陸法系有條件說、原因說、相當因果關系說、法規目的說等。條件說是“無此行為，必不生此種損害”[17]193;原因說引用格言“法律審究近因，不問遠因（in jure non remota causa sed proxima spectatur）”，用以說明空間上或者時間上的接近性是區分出具有法律上重要意義的因果關系的標準或者是主要標準[18]86-87;相當因果關系說的解釋是“以行為時存在而可為條件之通常情事或特別情事中，于行為時依吾人智識經驗一般可得而知及為行為人所知之為基礎，而且其情事對于其結果，為不可缺之條件（拉conditio sine qna non），一般的（德generell）有發生同一種結果之可能者，其條件與其結果，為有相當因果關系”[14]170;法規目的說認為：“行為人對于行為引發之損害是否應負責任，非探究行為與損害間有無相當因果關系，應探究相關之法規（或契約）之意義與目的。”[19]113個人信息侵權構成中的因果關系應適用相當因果關系說，因為個人信息侵權行為與結果之間很難認定直接因果關系，而相當因果關系說承認可能性的聯系，只要個人信息權的侵權人實施的侵權行為對結果的發生有可能性，侵權行為對結果的發生存在原因力，那么因果關系就成立。

網絡空間個人信息侵權的主體比較復雜，侵權責任的歸責原則應該是一個多元化的體系。歸責原則是分配注意義務、舉證責任與損害的重要尺度，歸責原則的合理設定是確定公平的侵權責任的前提。網絡空間個人信息保護的義務主體中，自然人主體應當適用過錯責任的歸責原則。因為自然人與個人信息主體是具有平等的法律地位，不應賦予自然人更高的注意義務和舉證責任，所以，要求自然人在存在主觀過錯的情況下實施了侵害個人信息權的行為，才承擔侵權責任是恰當的。網絡空間個人信息保護的義務主體中非公共部門應當適用過錯推定。非公共部門是組織，相對于非公共部門而言，個人信息主體是弱勢群體，二者存在事實上的不平等，為糾正這種不平等，要對非公共部門賦予更多的注意義務;非公共部門是以營利為目的的，對個人信息的控制往往也會為其帶來利益，本著權利義務對等的原則，在為個人信息的利用保有空間的同時，非公共部門應當負有更多的義務;非公共部門是個人信息的控制者和技術提供者，是侵權證據的實際持有方，將舉證責任分配給非公共部門有利于查清事實，節約訴訟資源，也促進非公共部門對個人信息的保護。在網絡空間個人信息保護的義務主體中，公共部門應當適用無過錯責任。公共部門是強大的政府機構或提供公共服務的部門，是比較強勢的組織，同時公共部門對個人信息是強制收集，而且，公共部門收集的個人信息是大量的，一旦泄露將會是災難性的，所以，應當賦予公共部門更重的個人信息保護的注意義務，無過錯責任是恰當的[20]。

網絡空間個人信息侵權的免責事由應當包括網絡緊急避險、不可抗力、信息主體故意、第三人原因、為了公共利益等。網絡緊急避險是發生網絡安全突發事件時所做的緊急處置，是以損失較小利益保全較大利益的措施。如為緊急避險之必須，采取了斷網、個人信息丟失或泄露等損害可以主張免責。不可抗力是發生了不能預見、不能克服、不能避免之事件的情況下，在網絡上造成了信息主體損害的，可以主張免責。信息主體故意是信息主體自己故意將個人信息散布在網上，或許可他人使用的情況下，善意使用人可以主張免責。第三人原因是由于第三人的原因使個人信息受到侵犯的，由第三人承擔侵權責任，信息控制主體可以主張免責。為了公共利益侵害了個人信息主體的權利，可以主張免責。

四、網絡空間個人信息保護民事法律責任制度安排：綜合立法模式

（一）網絡空間個人信息保護立法模式

目前，國際上比較典型的立法模式大致有三種：一是統一立法模式。該模式不區分公法與私法領域，制定一部統一的法律對個人信息進行統一規范和保護。統一立法模式的典型國家是德國，德國從1970年起開始著手制定《聯邦個人資料保護法草案》，并于1976年以《防止個人資料處理濫用法》的名稱獲得通過。在以后的時間里，該法經過1980年、1990年和2001年三次修正，演變為現在的《聯邦數據保護法》[21]。該法被認為是世界上第一部保護個人信息的法律，適用的范圍既包括公務機關，也包括非公務機關對個人信息的收集、處理利用，是一部統一適用于各個領域不同類型個人信息保護的法律。1995年10月24日，歐盟通過的《資料保護指令》是統一立法的典范，該指令采取了不區分公法和私法領域，統一就信息行為必須適用的原則性問題做出規定的模式。隨著信息技術發展與廣泛應用，歐盟為加強個人信息的保護，于2012年1月開始起草《通用數據保護條例》，經過四年的探討與協商，2016年4月歐盟正式通過這一條例并開始試行，2018年5月25日該條例正式全面施行。隨著該條例的實施，歐盟個人信息保護的法律制度趨于成熟，形成了歐盟國家個人信息保護統一立法的格局。二是分散立法模式。分散立法模式是公法和私法采用不同的個人信息保護立法方式，公務機關和非公務機關在個人信息保護上適用不同的規則，沒有個人信息保護的統一立法，采用在不同領域、不同行業分別立法的方式保護個人信息。美國是分散立法模式的典型國家。美國在公共領域個人信息的保護主要是采用立法保護的方式，通過立法來控制政府機關收集、處理和利用個人信息，以隱私權的保護來維護個人信息的自由。在私人領域采用行業自律的方式，在個人信息保護與流動之間構建平衡[22]。在個人信息保護的立法層面，美國1974年的《隱私權法》和1966年的《聯邦信息公開法》是兩大重要的法律。美國個人信息保護行業自律采用的主要方式有建議性的行業指引（suggestive industry guidelines）和網絡隱私認證計劃（online private seal program）。建議性的行業指引通過本行業內的行為指引或隱私標準為行業內的隱私保護提供示范;網絡隱私認證計劃通過認證的網站要在其網站上張貼其隱私認證標志，遵守在線隱私資料收集的行為規則并接受監督管理[23]。三是綜合立法模式。綜合立法模式是對分散立法模式和統一立法模式的折中，有統一的個人信息保護法，但在各個領域也會分別立法。日本是綜合立法模式的典型國家。日本于2003年頒布、2005年實施的《個人信息保護法》是個人信息保護的基本法，制定了個人信息保護的準則。日本政府的個別領域和行業可以制定個人信息保護的個別法或者自律規范[24]。

（二）我國網絡空間個人信息保護民事法律責任制度的立法模式選擇

比較上述立法模式，各有利弊。統一立法模式的優點在于法律確認個人信息權利為法定權利，便于個人信息的保護;個人信息保護有統一的立法，比較公平;法律救濟機制也比較完善，便于追究個人信息保護的法律責任。缺點是缺乏靈活性、立法滯后、守法成本高。所以，統一立法比較僵化，不能適應信息技術快速發展的需要，不利于個人信息的流通，會在一定程度上限制信息產業的發展。分散立法模式克服了統一立法模式的缺點，立法有針對性，適合行業特點;有靈活性，促進信息流通;注重預防，降低司法成本。分散立法能夠在保護個人信息的同時，在很大程度上促進信息產業的發展，但分散立法也存在缺點，比如，缺乏強制力、救濟機制和有效監督，從而使法律規制的效果不夠理想，個人信息保護的程度不夠高。綜合立法模式是一種折中主義的保護模式，吸收了上述兩種模式的優點，克服了兩種模式的不足，但是對立法技術有較高的要求，尤其是統一立法的調整范圍和各領域立法的協調問題，需要認真斟酌。

綜合上述個人信息保護立法模式的特點，筆者認為，綜合立法模式比較適合我國個人信息保護民事法律責任制度的建立。我國信息產業處于迅速發展的時期，過嚴的立法、過重的個人信息保護民事法律責任不利于信息產業的發展，在法律體系還不十分完備的情況下，制定統一、完善的個人信息保護法難度也比較大，統一立法模式不大適合我國的國情。而分散立法模式也難以效仿，分散立法模式與我國的法律傳統相去甚遠，我國市場主體的法治意識比較薄弱，行業自律的水平不高，如果采用分散立法的方式，在一定程度上會使個人信息保護民事法律責任落空。因此，以自律為主的分散立法模式也不適合中國。采用綜合立法模式是我國當前比較現實的選擇。筆者建議，在未來的《民法典》中通過合同篇和侵權責任篇將個人信息保護的民事法律責任進行原則性的規定，以此為基礎，制定一部原則性的《個人信息保護法》，作為統一的立法，將個人信息保護的義務和民事法律責任規定在個人信息保護法中。在該法的指導下，各領域再結合自己的特點進行單項立法，如網絡領域、金融領域、醫療領域、教育領域等。在單項立法中進一步明確各領域個人信息保護的法律主體、義務和責任，進行有針對性的立法，從而適應個人信息保護法律責任主體的類型化和民事法律責任歸責原則的多元化。這樣既有利于立法的統一，又能夠照顧到行業的發展，是比較合適的選擇。

網絡空間個人信息保護民事法律責任的界定對個人信息法律保護體系至關重要。權利的實現源于義務的履行，義務的履行迫于責任的威懾。將網絡空間個人信息保護主體義務類型化有利于分配義務、明確責任。只有將個人信息保護的義務與民事法律責任通過法律規范清晰地界定出來，才能實現網絡空間個人信息權利的保護。綜合立法模式是我國個人信息保護的現實選擇，在綜合立法模式下，個人信息保護民事法律責任得到原則性指引和具體規定，通過法律責任的強化，使網絡空間個人信息保護取得實效。

[參 考 文 獻]

[1]王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J].現代法學，2013（4）.

[2]刁勝先.論個人信息權的權利結構——以“控制權”為束點和視角[J].北京理工大學學報：社會科學版，2011（3）.

[3]楊立新.個人信息：法益抑或民事權利——對《民法總則》第111條規定的“個人信息”之解讀[J].法學論壇，2018（1）.

[4]齊愛民.信息法原論——信息法的產生與體系化[M].武漢：武漢大學出版社，2010.

[5]齊愛民.拯救信息社會中的人格：個人信息保護法總論[M].北京：北京大學出版社，2009.

[6]齊愛民.中國信息立法研究[M].武漢：武漢大學出版社，2009.

[7]葉名怡.論個人信息權的基本范疇[J].清華法學，2018（5）.

[8]鄭志峰.網絡社會的被遺忘權研究[J].法商研究，2015（6）.

[9]范為.大數據時代個人信息保護的路徑重構[J].環球法律評論，2016（5）.

[10]楊立新.中國合同責任研究（下）[J].河南政法管理干部學院學報，2000（2）.

[11]王利明，房紹坤，王軼.合同法[M].北京：中國人民大學出版社，2002.

[12]張鴻霞.網絡服務提供者在個人信息保護中的注意義務研究[J].法制與經濟，2015（Z2）.

[13]王利明.人格權法研究[M].北京：中國人民大學出版社，2005.

[14]史尚寬.債法總論[M].北京：中國政法大學出版社，2000.

[15]Vincent R. Johnson. Mastering Torts： A Students guide to the Law of Torts[M]. Carolina Academic Press， 2013.

[16]龍海濤.侵權法上因果關系的比較研究[C]//沈四寶，王軍.國際商法論叢：第8卷.北京：法律出版社，2006.

[17]王澤鑒.侵權行為法：第1冊[M].北京：中國政法大學出版社，2001.

[18]H.L.A.Hart， Tony Honoré. Causation in the Law[M]. Oford at the Clarendon Press， 1985.

[19]曾世雄.損害賠償法原理[M].北京：中國政法大學出版社，2001.

[20]刁勝先.個人信息網絡侵權責任形式的分類與構成要件[J].重慶郵電大學學報，2014（2）.

[21]齊愛民.論個人信息保護法的統一立法模式[J].重慶工商大學學報：社會科學版，2009（4）;侯富強.我國個人信息保護立法模式研究[J].深圳大學學報：人文社會科學版，2015（3）.

[22]楊佶.域外個人信息保護立法模式比較研究——以美、德為例[J].圖書館理論與實踐，2012（6）.

[23]周欣月.論美國行業自律模式及對我國個人信息保護立法模式的啟示[J].商，2013（23）.

[24]謝青.日本的個人信息保護法制及啟示[J].國外法學，2006（6）.

[責任編輯 于 冰]

Abstract：The protection of private information rights in cyberspace has been paid more and more attention. However， only a few people noticed the duty of private information protection and civil legal liabilities in academic circles. Because of the particularity of private information protection in cyberspace， it is essentially the protection of private information utilization. We should carry on the type study towards the duty subject of private information protection and endow the subject with the positive obligation. According to the situation of collecting and utilizing private information in cyberspace， the civil and legal liability for the protection of private information in cyberspace should include contractual and tort liabilities. The principle of imputation of private information tort liabilities in cyberspace is a diversified system， which is convenient for the right relief of the information subject. Combining with the concrete situation of legal construction and the development of the information industry， the protection of private information in cyberspace should adopt the mode of comprehensive legislation.

Key words：Cyberspace Private information Obligations Legal liabilities