論公民個人信息的民法保護*

陳 龍

(華中科技大學 法學院， 武漢 430074)

21世紀是信息化時代，信息逐漸成為人類社會必不可少的物質生產要素。截至目前，我國尚未出臺專門的個人信息保護法律，對個人信息的保護主要體現在刑事、行政法中的相關規定上，缺少系統的個人信息法律保護，尤其是在民事領域，公民的個人信息權并沒有切實得到保障。2017年10月1日起施行的《民法總則》在民事權利章節增加公民隱私權，另外增設“個人信息保護”條款，明確規定自然人的個人信息受法律保護，從而將個人信息明確為新的民事權利內容并首次納入民法調整范圍內，填補了民事領域個人信息直接保護的法律空白。

一、公民個人信息民法保護的必要性

1. 個人信息的內涵

公民個人信息保護的邏輯起點是個人信息。從立法層面上看，個人信息通用的法律名稱主要有三個，即個人數據、隱私、個人信息[1]。各國的不同稱謂主要是由于法律傳統、適用習慣和語言特色的差異，但其核心內涵是一致的，出發點都是規制個人信息安全、保護公民個人信息權利。

對個人信息概念的界定有形式定義和學理定義之分。從形式上來看，世界各國大體采用概括型和概括列舉型定義兩種模式。采用概括型模式的，如奧地利《聯邦個人數據保護法》規定，個人數據指與已識別或可識別的數據所有人有關的信息[2]。概括型定義只對個人信息進行了抽象化的規定，而概括列舉型模式則在此基礎上具體列舉了個人信息的相關內容。如我國臺灣地區2010年修正的《個人資料保護法》將個人信息界定為自然人之姓名、出生日期、身份證號碼、婚姻家庭狀況、教育、職業及其他直接或間接足以識別該個人之資料[2]。在學理上對個人信息的界定主要有：第一種，隱私型定義，主要由美國的學者倡導，把個人信息作為個人隱私的一部分，通過保護公民的個人隱私來保護公民的個人信息權利。第二種，識別型定義，是目前國內外大部分學者認同的定義，認為個人信息是指個人的姓名、性別、年齡、肖像、名譽、榮譽等可直接或間接識別該個人的有關資料。

綜上所述筆者認為，所謂個人信息，除了具備一般信息所固有的普遍性、客觀性、傳播性、價值性、依附性、可傳遞性、時效性、共享性等特征外，還具有其自身的特征：首先，個人信息的主體是自然人，具有人身性，其存在以人為載體，離開了物質上的個人，個人信息便不復存在。其次，個人信息的內容與人格財產利益密切相關，具有人身利害性，如果個人的重要敏感信息被別人竊取、透露、利用并加以侵害，那么個人將遭受人格和財產利益的損失，侵害人也要承擔相應的法律責任。個人信息的內容包括但不限于自然人的姓名、年齡、出生日期、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼、指紋、醫療記錄、人事記錄、財務情況、社會活動等能夠直接或間接識別該個人的有關資料。

2. 個人信息民法保護的法理依據

個人信息保護的理論基礎主要有所有權說、隱私權說、人格權說、基本人權說等觀點。所有權說認為，個人信息具有一定的經濟價值，是一種財產利益，信息主體對他們的信息享有所有權，擁有獨立的占有、使用、收益和處分的權利。任何主體在未經所有人同意的情況下，不得使用他人的信息，并且利用他人信息要支付相應的報酬[3]。隱私權說認為，隱私權的價值在于對個人自由和人格的尊重，體現于個人獨立，不受他人的干預及支配。首先把個人信息作為隱私權來保護的是美國，其1974年《隱私權法》是典型代表[4]。人格權說認為，人格權是公民維護其尊嚴和獨立人格所享有的基本民事權利[5]。將個人信息權作為人格權來保護的典型代表是德國，其1990年修改的《個人資料保護法》中明確了個人信息應作為公民人格權來保護的原則[6]。基本人權說認為，人權是人作為人所享有或應當享有的神圣不可剝奪的權利，個人信息權體現的是一種基本人權——關于個人的基本權利與自由的綜合權利，對個人信息的保護是對人的基本權利和自由的保障。

首先，個人信息不能簡單地認定為民法意義上的物。《物權法》對物權客體的限定為動產和不動產，皆為有體物，而個人信息是無形物，不能簡單認定為物權之客體，所以保護公民個人信息權利不能完全照搬所有權的保護模式。

其次，個人信息與隱私也不盡相同。個人信息包括但不限于隱私，個人信息的外延明顯大于隱私。隱私因與他人和公共利益無關，不經權利人同意不得公開；個人信息則不同，如在就業、人際交往、選舉、接受培訓、醫療、教育等公共服務時，出于社會生活和公共利益的需要，在某種情況下需向特定人公開個人的姓名、年齡、性別、職業等基本信息。侵害個人隱私以公開為要件，而收集、加工、利用都涉及侵害個人信息，不以公開為要件。對個人隱私的保護，權利人以外的第三人只需承擔消極的不作為義務；而對個人信息的保護，行為人除了負擔消極的不作為義務外，還需積極、主動地承擔作為的義務，以維護和恢復公民個人信息權利的圓滿狀態，所以對公民個人信息的保護也不宜以隱私權為限。

最后，個人信息權作為一種新型權利，與隱私權、姓名權、名譽權、肖像權、榮譽權等普通人格權既有聯系又有區別。一方面，它們都直接體現著人格利益，與人身緊密相關，都以物質上的個人作為載體，但普通人格權與人身密不可分，不可轉讓，不能交易，而個人信息可以作為商品交易的對象參與市場流通。另一方面，在權利內容上，普通人格權的典型特征就是不直接表現為財產利益，而個人信息與財產利益聯系密切，包含著信息的自主權、知情權、問詢權、禁用權、刪除權、使用收益權等內容，個人信息權實現的過程也是公民財產利益實現的過程，個人信息的濫用將給公民造成財產利益的損失。雖然個人信息權具有獨特的內涵和外延，但不能排除其民事權利的屬性。民法是權利法，個人信息權是公民的一項私權利，理應受到民法的平等保護。

3. 個人信息民法保護的現實依據

在充滿信息的社會里，人們每天都會使用個人信息進行交流、傳播和學習，有效地利用信息可以提高人們工作和生活的效率，解決現實問題。隨著互聯網的普及，我國網民數量不斷增加。有關數據顯示，2015年底中國網民規模達到6.88億，在網絡中活躍的智能設備數量接近9億[7]。截至2017年6月，中國網民規模已達7.51億，網絡購物用戶達5.14億，較2016年底增長了10.2%[8]。由此帶來的個人信息泄露途徑隨之增加，如電子商務、快遞行業的興起導致的客戶信息泄露，銀行、醫院、學校、政府等掌握公民個人信息的公共服務部門出現的個人信息泄露，手機攜帶的病毒或植入軟件非法截取用戶信息，電腦黑客入侵個人計算機截取私人信息，QQ、微博、微信、博客、貼吧等社交平臺泄露個人信息，以及網站、論壇內個人信息交易過程中泄露個人信息等。現實要求，國家和社會必須加強對個人信息社會流通各環節的規制和保護。在移動數據時代，個人信息與公民人格財產利益聯系緊密，個人信息泄露帶來的危害不斷增加。違法犯罪分子可能通過獲取公民的涉密信息，如銀行卡、支付寶、微信密碼等金融信息，應用網絡或移動終端竊取、詐騙公民的真實財產，其中不僅包括金錢等物質財產，還包括Q幣、紙黃金、電子裝備等網絡虛擬財產[9]。據《中國網民權益保護調查報告(2016)》顯示，2016年我國網民因垃圾短息、詐騙信息等個人信息泄露遭受的經濟損失高達915億元，人均133元，其中9%以上網民遭受的經濟損失在1 000元以上[10]。更為嚴重的是，涉及公民社會活動的個人信息泄露還可能導致搶劫、強奸、綁架、故意傷害等嚴重損害公民人身權利的惡性案件，所以現實要求必須刻不容緩地推進個人信息保護。

二、公民個人信息民法保護的現狀與問題

1. 公民個人信息民法保護的現狀

到目前為止，我國民事領域對個人信息保護采取的主要是間接保護的方式。《民法總則》人身權一節中關于公民姓名權、肖像權、榮譽權、名譽權等人格權的規定，對個人信息賦予人格要素，通過保護公民的人格利益來保護公民個人信息權。《合同法》中的締約過失責任規定，一方當事人在合同履行前，違背依據誠實信用原則應負的保密等先合同義務，侵害他人個人信息，造成他人信賴利益損失的，應當承擔締約過失責任。《合同法》第43條規定的當事人在訂立合同時應承擔的保密義務以及有關契約義務，都涉及對個人信息的保護。《侵權責任法》第2條首次把隱私權列為公民的一項民事權益，規定行為人對侵害他人隱私的行為應當承擔侵權責任。在網絡電子信息領域，《侵權責任法》第36條明確了網絡信息侵權行為人和網絡服務提供者的責任，是民法對互聯網領域流通的個人信息進行保護和規制的體現。與此相關的法律、行政法規還有2012年實行的《關于加強網絡信息保護的決定》，其明確規定任何組織和個人都不得以竊取等非法方式獲取公民的個人信息，不得非法出售和提供公民的個人信息[11]。2015年出臺的《網絡安全法》明確了個人信息的內涵，個人信息收集、管理的規則，刪除、更正個人信息的權利，以及侵犯個人信息所承擔的行政責任。

2018年8月31日第十三屆全國人大常委會第五次會議表決通過并將于2019年1月1日實施的《電子商務法》，在第23～25條規定了電子商務經營者應對個人信息所負擔的義務：第23條規定電子商務經營者收集、使用個人信息需遵守法律、行政法規的規則；第24條規定電子商務經營者應當及時對用戶個人信息的刪除和更正的申請作出必要的措施；第25條規定電子商務經營者在法律、法規規定下負有向有關國家部門提供數據信息以及不得非法出售、使用、提供個人信息的義務。在信息化社會的今天，上述內容構建起約束個人信息電子商務經營平臺的規則機制[12]。

此外，2017年10月1日開始施行的《民法總則》，在民事權利一章增加了公民隱私權利，并增加公民個人信息保護條款，明確規定自然人的個人信息受法律保護，任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。該規定填補了我國民事領域對公民個人信息直接保護的空白，對公民個人信息保護具有深遠影響。

2. 公民個人信息民法保護存在的不足

(1) 個人信息權確權不清晰。我國個人信息的民法保護具體表現在對公民姓名、肖像、榮譽、名譽、隱私等人身權利的保護上，但個人信息包括但不限于以上內容，其涵蓋了能夠直接或間接識別該個人的任何資料。面對個人信息保護范圍狹窄的狀況，民法有必要確立公民個人信息權利的法律地位。在具體個人信息的民法保護上：如果將個人信息劃歸人格權，那么個人信息的保護應以恢復權利人的人格利益為主，以彌補權利人精神上的損失，在民事責任承擔上應以停止侵害、消除影響、恢復名譽、賠禮道歉為主；如果個人信息作為財產權的一部分，那么個人信息的保護則應側重于彌補權利人的財產利益，以救濟權利人財產上的損失，在民事責任承擔上應以賠償損失、支付違約金為主；如果個人信息權作為一種新型權利，既沒有歸入人格權，也不屬于財產權，則在個人信息民法保護上要分情況對公民的人身財產利益進行保護。遺憾的是，我國對公民個人信息權利保護的意識不夠，個人信息權并沒有在民法領域真正得以確立，對個人信息權的法律屬性及立法精神研究不夠。

(2) 缺乏系統的個人信息民法保護體系。我國《刑法修正案(九)》把之前的“非法獲取公民個人信息罪”刪改為“侵犯公民個人信息罪”，在信息主體和內容上擴大了對公民個人信息的保護范圍，在立法上是對公民個人信息保護的重大進步。但是，刑罰針對的是嚴重危害社會的行為，具有嚴重的懲罰性，其作為最后的救濟手段更多地體現出社會保障的作用，不能更好地實現法律的價值。民法是權利法，從起源來看就是為了對抗國家干預、保障公民私權利不受侵犯而產生的。鑒于我國并沒有頒布系統的民法典，公民權益的保護主要體現在作為民事基本法的《民法總則》以及大量單行民事法律中，如《合同法》《物權法》《侵權責任法》等。在個人信息保護的民事司法實踐中，據人身損害賠償以及《最高人民法院關于確定民事侵權損害賠償責任若干問題的解釋》規定，公民的姓名權、名譽權、榮譽權、肖像權、隱私權等涉及個人信息的人身利益遭受他人侵害時，被害人可以向法院請求物質和精神損害賠償，但在物質賠償標準、精神損害賠償方式以及撫慰金賠償數額上最高院司法解釋作了模糊化的規定，在法律適用上并不能有效保護公民個人信息權利。可見，民法作為保障公民權利的私法，在個人信息保護方面尚未有效實現其立法價值。

三、完善公民個人信息民法保護的對策

1. 加強公民個人信息保護立法

目前為止，我國民法主要通過人格權和侵權責任法的有關規定來實現對個人信息的間接保護。2017年10月1日開始施行的《民法總則》，在民事權利一章增設“個人信息保護”條款，對非法收集、使用、加工、傳輸、買賣、提供、公開他人信息作了禁止性規定。在我國還沒有一部專門個人信息保護法律的情況下，此規定是保護公民個人信息權利的重要條款。但該條款也存在著自身的局限性，如侵害個人信息的行為包括但不限于收集、使用、加工、傳輸、買賣、提供、公開等行為，若他人的其它作為或不作為對公民個人信息權利造成了現實危險，同時也應當受到法律的規制。另外，此規則屬于義務性規則，法律規定了義務人必須承擔的義務，即保護公民個人信息，不得以非法手段侵害他人個人信息。但在當事人權利救濟上，法律并沒有明晰行為人所應承擔的民事責任，那么對具體個人信息的民事保護在法律適用上便出現了空白。同時，《民法總則》只是對個人信息保護作了抽象性規定，在個人信息保護的范圍、個人信息權的性質和內容、個人信息民事侵權的構成要件、責任承擔方式及權利救濟等方面都有進一步需要進行立法完善之處。由此可見，個人信息保護立法在我國還相對落后，民法還不能有力地保護公民的個人信息權利，所以立法者要增強權利本位觀念，探索個人信息權利保護的有效途徑，實現民法對公民私權利有效保護的價值訴求。

2. 構建系統的公民個人信息民法保護規則

(1) 明確個人信息主體的民事權利。個人信息權的主體是自然人，其內容包含信息的自主權、知情權、請求權、問詢權、禁用權、刪除權、使用收益權等，社會中個人信息的使用、流轉以平等主體與外界發生法律關系為主，更多地體現為公民的私權利。現階段，個人信息不僅是社會交往的識別性要素，而且逐漸淪為商業交易的對象，在市場中流通的速度加快，為了保護公民的個人信息權利，進而保護公民的財產利益，在社會中流通的重要個人信息必須事先征得信息主體的同意。個人信息的收集、利用者必須與信息主體事先簽署合同，明確雙方的權利和義務，若一方違反合同義務、濫用自己的權利，非法披露、使用和允許他人使用自己掌握的個人信息，給權利人造成損失的，應當承擔違約責任；給信息主體造成嚴重人格財產利益損失的，還要承擔刑事責任。另外，在法律規定的例外情況下，國家出于社會公共利益的目的必須獲取他人個人信息時，信息主體和知悉者有義務積極地予以配合，但公權力機關必須遵循法定的程序，以合理的方式獲取他人信息，并負有保密的義務。如果國家機關人員濫用自己的權利，給信息主體造成人格利益損失的，則國家負有賠償的義務。作為公民私權利的宣言書——民法，其對個人信息的保護具有直接、具體的特點，是個人信息保護的有效手段。為了保護公民個人信息不受他人非法侵害，彌補個人信息權利在法律上的空白，保障公民的人格利益，需在民法領域設立個人信息保護條款，確立個人信息權利的法律地位。

(2) 明確個人信息民事責任認定和財產損失賠償標準。在信息化的浪潮中，不僅物被信息化，人也處在被信息化的過程中，個人信息除了一直以來的記錄功能，更成為人身、財產的標尺，與公民重大人身、財產法益相關聯[13]。行為人侵害他人個人信息，除了損害他人的人格利益外，還可能造成他人財產利益的巨大損失，所以在具體的個人信息民事侵權案件中，為了防止行為人在侵害個人信息過程中非法謀取利益和彌補權利人個人信息泄露所造成的財產損失，《侵權責任法》需要明確侵害個人信息民事責任的認定標準和財產損失的賠償標準。由于個人信息是無形物，所以在個人信息民事責任認定過程中需參照相關的量化指標，如信息的類型和數量、違法所得數額、信息用途、主體身份、前科情況等因素。關于個人信息財產損失的賠償，首先應以行為人違法所得數額為標準，若個人違法所得數額無法確定則以權利人的損失數額為標準，當兩者都無法量化時可由雙方平等協商確定，若雙方意見不一致則由受理法院根據案件的具體情況確定賠償數額。另外，對于善意侵權人，因其不具有主觀惡性，法律應區別對待，行為人只需承擔停止侵權的責任，而不需承擔賠償責任。

3. 構建公民個人信息保護社會聯動機制，探索民事公益訴訟救濟渠道

網絡社會的迅速發展導致個人信息保護的挑戰性加大，但網絡社會是一個“雁過留聲”的場所，凡發生必留痕跡[14]。在流通的各個環節，個人信息的擁有者都不同，其中不僅包括個人信息主體，還包括個人信息的收集、利用、加工、處理者，個人信息保護呈現出復雜化的特點。同時，為了保障個人信息在市場流通中釋放的經濟效益，防止公權力對市場以及私主體過多的干預，實現不同價值主體的利益訴求，必須構建一套系統的從國家到社會的聯動保護機制。

日本是亞洲的第一個發達國家，國內信息化發展迅速，其2017年5月30日正式實施的《個人信息保護法》在個人信息保護方面探索出一條兼顧統一立法和民間行業自律的個人信息委員會制度。個人信息委員會是針對個人信息保護設置的中央統籌機構，起著神經中樞的作用，輔助行業內部的自律管理，達到相互協調和配合的社會效果，來實現公民個人信息的民法保護[15]。

美國是世界上首個把個人信息當作隱私權保護的國家，其個人信息權利救濟的方式除了以違反契約規定為由進行司法救濟外，還專門設立了自律機制來協助政府保障執法，并確定了具體的民事賠償額度[16]。

在加強我國個人信息保護的社會實踐中，可以吸取他國有益的立法經驗。一方面，國家和地方應制定統一且切合實際的法律，除針對個人信息保護這一專業化問題設置獨立國家機構進行專門保護外，還應把一定的監管權力下放給有資質的社會行業組織，賦予它們一些社會自律管理權限，釋放市場經濟的活力。無救濟即無權利，在司法實踐中，針對個人信息保護的訴訟請求，應把公民的個人信息權視作一種新型復合權利，分別給予人格權和財產利益不同程度的保護[17]。另一方面，政府、醫院、學校、電信公司、銀行、保險機構等社會征信行業的數據庫掌握著大量公民個人信息，當其數據庫被黑客攻擊侵入或被征信行業內部知情人員透露時，往往會造成不特定個人信息的批量泄露。對于多數人的利益訴求，簡單依靠私益訴訟救濟無法實現或者不能充分實現對公民個人信息權利的保護。此時，為了彌補眾多個人信息權利救濟的缺失，國家機關和有關組織若能以保護社會公共利益為目的向法院提起訴訟，則有助于實現保護多數人個人信息權利的訴求。公益訴訟作為私益訴訟的補充性手段，其著眼于社會公共利益的維護，有利于節約有限的司法資源，實現司法資源的合理配置，同時也彰顯了司法保障社會公平正義的宗旨和要求。

在個人信息保護方面，可以設立類似消費者協會、環保協會等的社會征信公益組織，向法院提起個人信息民事公益訴訟。對社會征信組織的資質要嚴格審查，其必須是依法設立登記并從事公益活動的社會組織，并具有良好的社會信譽。也可借鑒吸納TRUSTe作為第三方認證機構，分別設立個人信息從業者資格認證、個人信息管理者資格認證、個人信息責任資格認證等，加強對征信行業的監管。與此同時，還要針對有關組織建立信譽檔案制度，若有不良記錄且屢教不改者，依法撤銷其資質。另外，檢察、行政機關也可以社會公益為目的向法院提起個人信息民事公益訴訟，以實現對公民個人信息權利的保護。

四、結 語

個人信息與人格財產利益聯系密切，非法侵害個人信息可能造成公民人格和財產利益的損失，所以必須加強和完善民法對公民個人信息的保護，切實保障公民的個人信息權利。個人信息權是自然人享有的權利，如果權利主體主動披露自己的個人信息或允諾他人使用本人的信息，那么就失去了對信息的期待利益，放棄了法律賦予的個人信息權利。無權利即無侵害，此種情況下也就沒有必要對該個人信息進行保護了。此外，權利的行使有一定的界限，不得濫用權利。權利和義務是統一的，個人信息權不是絕對的，在保護個人信息權利的同時，還要保護他人的權利和社會公共利益，如果自然人濫用權利侵害了他人的合法權利甚至社會公共利益，那么個人信息權便失去了正當性的基礎，將不會得到法律的保護。