民法典個人信息保護條款的理解與適用

陳輝

摘 要：隨著科技的發展和網絡應用的延伸，個人信息受侵害風險不斷增加。民法典明確了個人信息的范圍，詳細規定了個人信息的保護，具有重要的現實意義與作用。自然人對其自身的個人信息并不完全享有絕對權和排他權，但個人信息中的個人私密信息受隱私權保護。個人信息的處理者需要遵守對個人信息處理的限制，同時需要有效履行個人信息安全保障義務。個人信息侵權的民事責任問題應當適用侵權責任編的規定，個人信息侵權屬于一般侵權責任，適用過錯責任的歸責原則。

關鍵詞：民法典 個人信息 安全保障義務 歸責原則

一、案例分析樣本

（一）基本案情

劉某與沈某系鄰居關系，雙方均住西城區某小區17層，雙方房門呈直角相鄰。2018年底，沈某在更換家中的防盜門后，因防盜門沒有貓眼，故在自家房門外墻上安裝了一款360智能門鈴。門鈴可以記錄門前的影像，有錄像功能。劉某認為沈某安裝的門鈴記錄了劉某家人員出入家門的信息，并且拍攝到了劉某家中擺設，侵害了劉某隱私權，故劉某訴至法院。[1]

（二）法院裁判

一審法院認為：公民的個人隱私及信息安全受法律保護。當事人沒有證據或者提出的證據不足以證明其事實主張的，由負有舉證責任的當事人承擔不利后果。本案中，劉某稱沈某安裝智能門鈴侵害了劉某的隱私權，應提交充分的證據。依據法院查明的事實，沈某安裝的智能門鈴無法拍攝到劉某的屋內情況，故法院對劉某陳述的智能門鈴可拍攝到劉某屋內擺設的事實，不予認可。關于劉某陳述的智能門鈴可拍攝到劉某出入房門的信息的問題，法院認為，依據現場勘查及庭審中沈某展示的相關的門鈴軟件，沈某安裝的門鈴拍攝并短暫存儲影像的條件是，相關人員須在門鈴前逗留一定時間，劉某自門鈴前經過，并不必然被門鈴錄制。進一步講，沈某對應自家門前的行人，亦有一定的知情權及基于房屋產權所享有的附屬權利，沈某安裝的門鈴，即使錄制了劉某及其家人進出家門的信息，也未對此進行傳播，并且系統中只儲存48小時，之后系統便會自動刪除。劉某稱沈某安裝的智能門鈴侵犯了劉某的隱私權，證據不足，法院不予支持。綜上所述，一審法院于2019年12月判決：駁回劉某的訴訟請求。

二審法院認為，民事主體的人身權利、財產權利以及其他合法權益受法律保護，任何組織或者個人不得侵犯。根據查明的事實，沈某的門口系劉某出入家門的必經之地，沈某安裝在門外的門鈴帶有攝像功能，攝像頭可對劉某出入進行照攝，該處雖處于公共樓道，但亦對劉某及其家人的出行規律、人員流動等進行了記錄，對于劉某及其家人的正常生活產生了一定影響，應予以拆除為宜。

（三）爭議焦點

從本案的相關情況來看，當事人所主張的隱私權受侵害的核心要點在于他人對于自身行蹤信息的攝取與記錄。從一審法院裁判角度來看，法院認為業主對于自身門前公共區域的影像攝制存儲是基于房屋產權附屬權利以及對房屋周邊情況知情權的需要，客觀上記錄的對門進出信息未進行傳播和長時間存儲，故不構成對隱私權的侵害。在這樣的角度下，一審法院認為個人房屋進出的行蹤信息實質上是一種公共信息，他人在沒有惡意使用和傳播的情況下不構成侵權。二審法院對一審裁判進行了撤銷，顯然是認識到一審法院對于這種個人行蹤信息的定性有所偏差，但未從個人信息保護角度進行詳細的裁判說理，而是以民事主體合法權益保護視角進行籠統概述?；貧w到案件本身，爭議的焦點在于：自然人的行蹤信息的具體定性和個人信息的保護范疇。同時，案件本身還涉及到對自然人行蹤進行記錄、存儲、傳輸等的360軟件平臺。

二、隱私權與個人信息保護

民法典第四編人格權編第六章共八條對隱私權和個人信息保護進行了規定。其中詳細規定了隱私權、隱私權侵害行為、個人信息的定義、個人信息處理的原則和條件、處理個人信息的免責事由、個人信息主體的權利、信息處理者的信息安全保障義務、國家機關、承擔行政職能的法定機構及其工作人員的保密義務等。

（一）個人信息的定義

從民法總則到民法典，針對個人信息的規定發生了重大變化。民法總則第111條僅規定自然人的個人信息受法律規定，且賦予他人在依法取得并確保安全前提下的個人信息獲取權。民法典頒布之前，學者對于個人信息的權利化還是權益化的發展進路選擇存在擔憂：在權利化進路下，個人信息主體能夠享有對于個人信息的控制權;而權益化進路下，對于個人信息侵害只能事后追償。[2]對于個人信息的立法保護有學者認為，如何對相關權利進行保護應該符合三個標準：一是該民事利益的獨立性以及與其他民事利益之間的界限;二是該民事利益在實踐中作為一項權利保護有無障礙;三是該民事利益在比較法上有無規定為法益或者權利的立法例。在第一個標準上，個人信息具備民事利益的獨立性。個人信息利益與其他民事利益之間，最易發生混淆的是個人信息利益與隱私利益，因為個人信息和隱私在客體上的包含與被包含的關系，致使區分兩者的界限有時會很困難，但兩者并非渾然一體，在權利產生的背景、權利的性質等方面兩者存在明顯差異。在第二個標準上，隱私權原來所保護的個人信息，既包括了隱私信息，也包括了個人身份信息。[3]還有學者認為，自然人的個人信息利益保護是一種被動防御型的，非直接支配利益，應當采取最低限度保護來保障信息自由，只有在遭受侵害后才能尋求救濟。個人信息利益的保護路徑為在私法上賦予請求刪除、更正的權利，在公法上加大對違法使用等的打擊力度。從民法典的規定來看，明確了個人信息的定義及相關主體的權利義務，同時將個人私密信息置于隱私權保護范疇，對于個人信息的保護采取的是權利化的路徑。

民法典第1034條對個人信息的定義進行了規定：自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息，適用有關隱私權的規定。在這里，民法典對個人信息的范疇進行了列舉式的詳細規定，且為適應科技發展的需要，對個人信息的電子記錄方式進行了特別強調。從本文引用的案例分析樣本來看，自然人進出家門等行蹤信息顯然屬于個人信息的范疇，應當予以保護。在民法典頒布之前，司法實踐中對于該類的個人行蹤信息的保護多持肯定態度。如馮某與王某隱私權糾紛案中，二審法院認為樓道內安裝攝像頭能夠記載同樓道內的其他住戶的個人出行狀況及戶內人員狀況，容易造成個人信息的泄露，對被上訴人的居住環境安寧造成了侵擾，構成民事侵權，應當承擔侵權的民事責任。[4]在龐某與趣拿公司、東航隱私權糾紛案中，二審法院認為，姓名、電話號碼及行程安排等事項首先屬于個人信息。無論對于個人信息的保護思路有如何的分歧，都不應妨礙對個人信息在個案中進行具體的保護。[5]

（二）個人私密信息的隱私權保護

民法典第1032條規定，自然人享有隱私權。任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的隱私權。隱私是自然人的私生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。從本條的規定來看，將個人的私密信息明確作為隱私權的保護范疇，同時強調了隱私權保護的重點在于對“私”的保護。在司法實踐中，部分法院對于隱私權保護的價值內涵認識存在一定偏差。如在楊某與某小區業委會隱私權糾紛案中，二審法院認為，隱私權是指自然人享有的私人生活安寧與私人生活信息依法受到保護，不受他人侵擾、知悉、使用、披露和公開的權利。隱私權的核心在于“隱”，其客體主要是一種私密性的信息，主要是權利主體不愿意公開披露的且不涉及公共利益的信息。但個人信息，一般是指與公共利益沒有直接關系但與個人相關的，并且能夠借此識別自然人的身份的信息。個人信息雖與隱私權有密切聯系，但個人信息不完全屬于隱私的范疇，不能將其與隱私權混同。本案中所涉及的姓名信息、個人身份證信息、家庭地址等信息，是在社會交往和公共管理中必須在一定范圍內為社會特定人或者不特定人所周知的，所以這些個人信息顯然難以歸入隱私權的范疇，而應界定為個人信息。[6]對于隱私權核心認定在“隱”還是“私”有著巨大的價值差別?！半[”是一種客觀狀態，即客觀上不為他人所知的隱秘狀態，而“私”則側重權利人的主觀選擇，及不愿為他人所知的使用限制。在隱私權保護中，如果以“隱”為核心來認定，那么隱私權保護將沒有現實意義，客觀不為人所知的現實狀態將不是隱私而是一種秘密，而隱私權保護的重點在于當事人的主觀意愿，即該種的私密信息是否愿意為他人所見的情感選擇。

在隱私權的侵權行為方面，民法典第1033條規定，除法律另有規定或者權利人明確同意外，任何組織或個人不得處理他人的私密信息。這里對于個人的私密信息的保護是一種完全的保護，即對于個人的私密信息，除法律規定或者權利人同意的情況下，所進行的不論是基于合法目的或者是非法目的的處理均屬侵權行為。民法典對于個人信息的范疇已進行了明確的規定，但對于私密信息的范疇未進行明確的列舉。結合隱私權保護的核心，私密信息的范疇應當是個人信息中相關權利人主觀人不愿為他人所知所用的信息。這種私密信息的認定需要結合具體的適用情景。如在一般情況下，自然人對于自身的姓名、聯系方式等未有隱私保護的需要，但在特定的情況下，如涉及矛盾糾紛、婚姻家庭等較為隱秘、敏感的情景時，主觀上選擇不為外人所知或完全公開。且該種主觀的需求選擇得到法律的支撐，如涉及婚姻家庭等訴訟時，當事人可以申請不公開庭審。在前文引用的楊某與某小區業委會隱私權糾紛案中，涉及的當事人的姓名、身份證等信息雖屬個人信息，在一定范圍內為他人所知，但法院忽略了對于該類信息的使用情景，姓名、身份證號碼及家庭住址等結合形成特定權利人的個人私密信息，在案涉的《關于業委會被動應訴的公告（No.2019-074）》中公開披露相關當事人的個人身份信息，違背了權利人的主觀選擇，構成對權利主體的隱私權侵犯。

三、信息處理者的安全保障義務

（一）個人信息處理的限制

民法典第1035條規定，處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并要符合相關條件。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等;對個人信息處理的條件進行了有效限制，同時對信息處理者的定位進行了明確。在個人信息流轉或接觸的各個階段，基于對個人信息的收集、存儲、使用等均構成對個人信息的處理，屬于信息處理者。如在司法實踐中相關爭議較多的物業與業主糾紛，物業、業委會等基于工作、訴訟等活動存儲、收集業主信息，均應屬于個人信息處理者的范疇。在網絡環境下，個人信息通過網絡流轉的各個階段和處理主體都負有對個人信息限制處理的義務。從本文引用的劉某與沈某隱私權糾紛案例來看，案件中忽略了作為重要的信息處理者的360公司，當個人行蹤等信息被攝制并傳輸至線上，攝像頭的使用者在一定程度上已經難以對該類信息進行有效的控制，個人信息面臨著被泄露、盜取、分析等巨大風險。傳統的攝影攝像設備的使用者主要為個人，但在新型網絡技術和人工智能快速發展條件下，攝影攝像可以通過網絡控制并能將相關攝取信息在網絡上流通，在這樣的條件下，產品的使用者、軟硬件提供商、互聯網平臺乃至網絡服務使用者都有可能成為個人信息的處理主體。對于個人信息的處理限制就不但作用于產品的使用者，同樣適用于軟件服務提供者、網絡服務平臺等。且在大數據時代，網絡服務提供者等主體對于個人信息的不當處理所帶來的影響和危害后果更嚴重。

（二）個人信息安全保障義務

民法典第1038條規定，信息處理者不得泄露或者篡改其收集、存儲的個人信息;未經自然人同意，不得向他人非法提供其個人信息，但是經過加工無法識別特定個人且不能復原的除外。信息處理者應當采取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失;發生或者可能發生個人信息泄露、篡改、丟失的，應當及時采取補救措施，按照規定告知自然人并向有關主管部門報告。該條規定了信息處理者的個人信息安全保障義務。

在民法典頒布之前，對于個人信息保護的安全保障義務規定的相對較為簡單，學界對于個人信息安全保障是屬于手段義務還是結果義務存在一定爭議。手段義務指的是義務人對特定的結果實現無義務，僅需采取適當必要的過程手段。結果義務是指義務人對某種結果出現或者不出現負有義務。手段義務和結果義務進行區分的一個重要標準在于，在受害人能夠發揮積極作用的場合，即當他擁有一定的操作自由，他的積極參與構成整個活動的背景時，不可能承認存在一個結果安全義務，此時的安全保障義務為手段義務。只有當權利人存在一項正當信賴，相信自身不會遭受到任何特別的危險時，才存在一項結果安全義務。[7]個人信息安全義務的負擔選擇實質上是一種權益的平衡問題，即對個人信息安全的保護以及對個人信息的使用自由的權益平衡。在現代化的信息社會，選擇結果義務無疑可以給個人信息安全以有效保護，但這無疑會加重信息處理者的責任負擔，客觀上限制了信息數據的有效流通和科技創新的有效實踐。而從手段義務方面對信息處理者限定嚴格的安全保障義務，能夠提升信息處理者對個人信息保護的主動性和針對性。

從具體條文來看，民法典規定的個人信息安全保障義務是一種手段義務，即信息處理者在個人信息處理過程中需遵循合法處理原則，同時還應采取必要措施來保障個人信息安全，并在個人信息安全受到威脅或損害時及時采取相關措施。雖然在這里并未規定個人信息處理者對個人信息安全損害的賠償責任，但可以違反相應安全保障義務來推定信息處理者存在過錯，從而承擔相應的侵權責任，這在司法實踐中已經得到論證和實踐。如在龐某與趣拿公司、東航隱私權糾紛案中，二審法院認為從現有證據看，東航和趣拿公司在被媒體多次報道涉嫌泄露乘客隱私后，即應知曉其在信息安全管理方面存在漏洞，但是，該兩家公司卻并未舉證證明其在媒體報道后迅速采取了專門的、有針對性的有效措施，以加強其信息安全保護。而本案泄露事件的發生，正是其疏于防范導致的結果，因而可以認定趣拿公司和東航具有過錯，理應承擔侵權責任。

一般來看，違反安全保障義務的侵權行為可以分為設施、設備未盡安全保護義務，管理、服務未盡安全保障義務以及防范、制止他人侵權沒有盡到安全保障義務。[8]從民法典的規定來看，違反個人信息安全保障義務基本也涵蓋以上三種類型，即使用、管理個人信息過程中未盡到安全保障義務，未采取有效措施確保個人信息安全，未及時對發生或可能發生的個人信息安全風險采取有效措施并履行告知、報告義務。有學者認為，個體的信息對于相對主體的價值極小，且侵害個人信息的行為往往是批量的，采取私法保護還是公法保護值得探討。一些當事人基于個人信息泄露主張侵權損害賠償，其遭受的損害價值的判斷成為權利主張難點。如在龐某與趣拿公司、東航隱私權糾紛案中，因個人信息泄露而接收到詐騙短信，但當事人并未有財產上的損失。因此，個人信息遭受損害的財產價值并非安全保障義務的落腳點。個人信息安全保障義務在于維護個人信息安全的狀態，包括個人信息的使用過程、個人信息使用的安全環境以及存在危險的救濟措施。

四、個人信息侵權的歸責原則

民法典中人格權與侵權責任均獨立成編。對于個人信息侵權的民事責任該如何適用問題，有學者認為，民法典各編有其自身定位，人格權編是權利法，主要是通過列舉的方式來正面規定各項人格權益的類型、內容，相關義務以及具體行使等;而侵權責任編是救濟法，是對侵權責任的成立和承擔進行具體的規定。因此，對于個人信息侵權的民事責任問題應當適用侵權責任編的規定。為此，有學者提出應當在侵權責任編中構建清晰的個人信息侵權規則，提高對個人信息的保護力度。[9]

從司法實踐來看，侵害個人信息的隱私權糾紛適用過錯原則沒有太大爭議。如在李某與瑞銀信公司隱私權糾紛一案中，一審法院認為瑞銀信公司違反相關規定，存在過錯，對李某造成損害，應當承擔侵權責任。[10]民法典第1165條對過錯責任原則進行了規定：行為人因過錯侵害他人民事權益造成損害的，應當承擔侵權責任。依照法律規定推定行為人有過錯的，其不能證明自己沒有過錯，應當承擔侵權責任。從歸責原則的類型來看，主要分為兩大類，一類是無過錯責任原則，另一類是過錯責任原則。其中，依據舉證責任的分配，過錯責任細分為一般過錯責任與過錯推定責任。從民法典的相關規定來看，個人信息侵權屬于一般侵權，應當適用過錯責任原則。

（一）一般過錯責任

有學者認為，個人信息權利的民法保護在于防范個人信息流通過程中存在的風險，促進信息的處理者合理、規范使用個人信息，確保個人信息的安全，基于此，對于個人信息侵權應當適用無過錯責任原則，即個人信息的使用者對于其控制領域的個人信息損害，無論有無過錯均應承擔責任。無過錯原則的觀點實質上將個人信息的安全保障義務歸結為結果義務，即確保個人信息不出現遭受侵害的結果，否則即承擔侵權責任。結合前文的分析，這種觀點偏離個人信息保護的立法本意。在信息化、數據化不斷發展的進程中，法律對個人信息的保護不應是限制其合理流通、使用，而是應對個人信息的使用進行科學的規制和保護。在個人信息安全保障義務作為手段義務前提下，個人信息侵權與一般侵權責任在構成要件上并未有太大差別。同時無過錯責任的適用有著嚴格的限定，必須是造成他人民事權益損害，不論有無過錯，法律規定應當承擔侵權責任的。

（二）過錯推定責任

在信息傳播與科技結合的程度不斷加深的過程中，個人信息處理者的類型、種類和范圍在不斷變化，作為個人信息權利主體的自然人與信息處理者在信息掌握、處理等方面所處的地位存在較大差距。在個人信息侵權案件中，作為權利主體的自然人往往很難搜集到相關被信息處理者掌控以及科技性、專業性較高的證據。因此，需要對利益進行有效的平衡，對相關舉證責任進行合理的分配。如在龐某與趣拿公司、東航隱私權糾紛案中，二審法院認為東航和趣拿公司在本案審理過程中都主張，龐某沒有證據證明其個人信息是東航或趣拿公司泄露，因而東航和趣拿公司不存在侵犯隱私權的行為。但基于人類科學技術和認識手段的限制，現實中的客觀事實經常不能通過事后的證明被完全還原。因此，訴訟中的證明活動，往往是一種受限制的認識活動，而并非無止境的絕對求真過程?；谶@一認識，法律設計了證明標準規則，即對待證事實的證明達到何種程度即可確認該事實存在的規則。東航和趣拿公司作為各自行業的知名企業，一方面因其經營性質掌握了大量的個人信息，另一方面亦有相應的能力保護好消費者的個人信息免受泄露，這既是其社會責任，也是其應盡的法律義務。這在實質上是一種過錯推定，即個人信息受到侵害，負有個人信息安全保障義務的信息處理者沒有證據證明其沒有過錯，從而承當侵權責任。過錯推定原則的適用對于網絡信息傳播快速發展背景下的個人信息保護有著重要的現實意義。

結語

科技的快速發展給人們的生活帶來了巨大的便捷，同時帶來了巨大的改變?；ヂ摼W技術的延伸應用領域不斷拓展，連略顯保守的司法活動都在主動融入到互聯網應用中?？萍紟響帽憬莸耐瑫r也給人們的信息保護帶來巨大的挑戰。在新興技術支撐下，個人信息的形式呈現形式更加多樣，面臨的侵害風險也在不斷提升。民法典的頒布明確了個人信息保護的權利化進路，對于推動數字經濟發展、平衡個體信息權益保護與信息流通有著重要的意義。

注釋：

[1]參見北京市西城區人民法院（2019）京0102民初17657號民事判決書，北京市第二中級人民法院（2020）京02民終1641號民事判決書。

[2]參見程嘯：《論大數據時代的個人數據權利》，《中國社會科學》2018第3期。

[3]參見楊立新：《個人信息：法益抑或民事權利——對〈民法總則〉第 111 條規定的“個人信息”之解讀》，《法學論壇》2018年第1期。

[4]參見遼寧省朝陽市中級人民法院（2020）遼13民終532號民事判決書。

[5]參見北京市第一中級人民法院（2017）京01民終509號民事判決書。

[6]參見上海市第一中級人民法院（2019）滬01民終15542號民事判決書。

[7]參見葉名怡：《法國法上的“安全義務”——兼與德、中兩國法比較》，《東方法學》2015年第5期。

[8]參見楊立新：《侵權責任法條文背后的故事與難題》，法律出版社2018年版，第161-165頁。

[9]參見葉名怡：《個人信息的侵權法保護》，《法學研究》2018年第4期。

[10]參見山東省濟南市中級人民法院（2020）魯01民終7176號民事判決書。