中美歐個人信息民法保護的比較研究

于錦秋

摘 要：大數據時代背景下，人們使用手機APP的頻率日益增加，在使用APP過程中產生的用戶個人信息也被普遍授權給經營者收集并使用。如何規制手機APP經營者收集使用個人信息過程中可能產生的侵權風險，實現保護個人信息的目的，成為了目前我國個人信息保護方面亟待解決的問題。通過比較歐盟和美國在保護個人信息方面所構建的法律制度，借鑒其立法成果，對我國現存制度內容進行補充，以期為我國在規制手機APP收集使用個人信息時可能產生的侵權風險方面提供新的民事法律保護路徑。

關鍵詞：個人信息保護 民法規制 隱私權保護

中圖分類號：F062.5

文獻標識碼：A

文章編號：1004-4914（2021）04-075-03

大數據時代，數字經濟蓬勃發展，在此背景下，手機APP已經成為人們日常生活中不可或缺的一部分。人們在使用手機APP的過程中產生個人信息并授權給APP經營者收集使用，經過經營者的深度加工處理，最終創造經濟價值。然而，手機APP在收集使用用戶個人信息并創造價值的同時也存在著侵犯個人信息權的風險。2020年第一季度，公安部在依法查處386個違法違規收集公民個人信息的手機APP后，發布了違法收集公民個人信息的十大典型案例，包括“獵豹清理大師”“印象筆記”等10款APP在內，分別存在著不同種類的侵犯個人信息權的行為。

這些行為具體包括：未明確說明收集、使用用戶個人信息的目的、方式及用途，未明確取得同意即收集使用用戶個人信息，超范圍收集用戶個人信息等，也較為客觀地反映出了我國在手機APP收集使用個人信息時普遍存在的強制授權、過度索權等現象，這些現象的存在，使得手機APP經營者收集和使用個人信息的行為對用戶的人身和財產安全造成了巨大的威脅，如何兼顧手機APP收集使用個人信息過程中的用戶個人信息安全與處理個人信息創造經濟價值，成為必須思考的問題。歐美國家在此問題上的立法探究，為我國規制手機APP侵犯個人信息權風險提供了可以借鑒的思路。

一、歐美規制手機APP侵犯個人信息民法保護概況

（一）歐盟規制手機APP侵犯個人信息民法保護概況

歐洲對于個人數據的保護一直走在世界前端，早在其于1950年頒布的《歐洲人權公約》中就將個人數據作為一項基本人權規定在內。隨后，德國1970年出臺《德國黑森州數據保護法》，拉開了世界綜合性個人數據保護立法的序幕。

如何實現滿足成員國之間數據流通便利需要的同時也能兼顧個人數據的安全保障，成為了歐盟在個人數據保護立法中必須面對的問題。出于人權保護的需要，歐盟選擇了統一立法模式規范在其境內處理個人數據的行為。從《保護個人信息跨國傳送及隱私權指導綱領》《有關個人數據自動化處理之個人保護公約》到《關于個人數據處理保護與自由流動指令》，歐洲個人數據保護框架與原則構建愈發完善，但由于歐洲各國在將上述文件轉化為國內法的過程中存在著差異，導致各國在個人數據保護過程中產生的分歧越來越大。因此，被稱為“史上最嚴個人信息保護法”的《一般數據保護條例》（以下簡稱GDPR）應運而生，成為可以直接在歐洲境內使用的個人數據保護法律。

GDPR通過多種方式為手機APP用戶在內的數據主體提供有效救濟。一方面，數據主體被賦予了通過多種途徑的尋求救濟的權利，當個人數據受到侵害時，受害人既可以選擇向監管機構提出申訴請求，也可以直接對數據控制者或處理者提起訴訟，還可以請求有關機構、組織代為提起公益訴訟，以實現個人數據權利遭受侵害時的賠償救濟。另一方面，GDPR還通過原則性義務與實質性義務相結合的方式，對于機APP經營者等數據控制者和處理者收集使用個人信息的全過程作出了嚴格規定。相關規定涵蓋了數據控制者和處理者應承擔的作為與不作為義務，最終構建出一套嚴厲的問責制度，一旦違反，可能面臨2000萬歐元和全球范圍內年度總營業額4%中較高者的巨額罰款。2020年6月，法國裁定谷歌公司違反歐盟GDPR有關條款并處以5000萬歐元罰款的判決有效，這是歐盟境內首次依據GDPR對企業做出的處罰。而對谷歌這一互聯網企業巨頭做出的巨額罰款處罰，也對其他互聯網企業加快完善企業自身個人數據保護制度發出了信號。

同時，在舉證責任方面，當數據控制者或管理者被提起訴訟之后，需要承擔舉證自己不存在過錯的責任，只有當其可以證明自己對損害的發生不存在任何過錯時，才能免除賠償責任。

（二）美國規制手機APP侵犯個人信息民法保護概況

美國在個人信息的保護方面采用“大隱私權”保護的概念，將個人信息納入隱私權保護的體系之中，從憲法層面確立了個人信息作為公民一項基本人權的地位，為個人信息保護提供了法律依據。

為了尊重市場在經濟發展中的調控作用，充分發揮個人信息所具有的財產權屬性的特點，相比起政府統一立法對個人信息進行保護，美國更傾向于以憲法為指導，將設立規范的權利下放至各行各業中去。因此，在個人信息保護的立法方面，美國不同于歐盟，采取了分散立法的模式。包括手機APP所處的通訊行業在內，通過由公司或者行業內部自行制定的有關個人信息保護的規范性文件，建立在本行業內普遍遵循并統一認可的規范標準，實現在個人信息保護方面的分業監管，這一立法實踐最終形成了美國極具特色的行業自律模式。然而行業自律規范相較法律而言，始終存在著欠缺強制力與執行力的缺點，自“Facebook數據泄露事件”以來，人們對于美國松散的個人信息保護模式存在的質疑聲音也越來越大。

美國政府也意識到了當前在個人信息保護中存在的不足，探索著新的保護辦法突破困境，此時，《加利福尼亞消費者隱私法案》（以下簡稱CCPA）的公布似乎為美國個人信息保護提供了統一立法的新發展思路。CCPA賦予了包括手機APP用戶在內的消費者一系列金錢或非金錢救濟途徑，在金錢救濟方面，加強了對企業侵權時應負擔的民事賠償責任的力度，如果企業違反隱私法案的相關規定，可能面臨著支付每位消費者750美元或最高7500美元的損害賠償金，以金額較大者為準;在非金錢救濟方面則賦予了消費者申請禁令或宣告性法律救濟的權利。相較以往而言，CCPA對消費者的救濟力度明顯增強。

二、我國規制手機APP收集使用個人信息侵權風險民法保護中存在的不足

（一）分散立法的模式存在諸多弊端

目前我國尚未出臺有關個人信息保護的專門法，有關個人信息保護的民事法律法規散落分布在眾多法律及規范性文件中。《中華人民共和國民法典》（以下簡稱《民法典》）在人格權編中明確了個人信息的定義，將個人信息規定為與隱私權享有同等地位的民事基本權利，從而為個人信息提供了民事上的原則性保護;《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）對于經營者提出了明確的“告知——同意”義務，并且對經營者在收集使用個人信息時應遵守的原則提出了部分要求;《信息安全技術 個人信息安全規范（GB/T35273-2017）》（以下簡稱《技術規范》）是我國目前規定較為細致的一部規范性文件，不僅對個人信息及相關術語作出定義，還較為系統地提出了手機APP經營者在收集使用個人信息時應遵循的基本原則和具體規則，為APP經營者規范收集使用用戶個人信息的行為提供了指導方案。

綜上可以看出，我國關于規制手機APP經營者違法收集使用個人信息問題的法律條文雖然涉及多部部門法，但在每部法律中的規定都較為籠統，可操作性不強，且存在著由于部分定義界限模糊導致部門法之間的銜接存在空白，從而產生處罰能力不足問題，使得有關法律在后續司法實踐的過程中應用難度較大;同時，一些規定較為細致的規范性文件由于其自身所處的法律位階較低，社會影響力不足，即使對部門法中存在的問題有所補充，也僅僅只能對手機APP經營者收集使用個人信息的活動起到指導的作用，無法實現制定文件的預期規制效果。

（二）對違法收集使用個人信息案件救濟重刑事輕民事的保護現狀存在欠缺

我國對于個人信息保護的救濟多采用刑事法律的手段來保障，民事救濟相對較少。中國裁判文書網中，從2016年至2020年，與個人信息保護有關的刑事案由文書共262篇，而有關的民事案由文書僅有159篇，約為刑事案由的3/5，存在著明顯的數量差距。

雖然自“非法獲取公民個人信息罪”和“出售、非法提供個人信息罪”在《刑法修正案（九）》中被整合為“侵害公民個人信息罪”后，刑法對公民個人信息的保護力度有所增加，但是刑法所保護的個人信息范圍卻依舊有限，保護的方式也存在著缺陷。一方面，由于前置性立法存在缺失，刑法上所保護的公民個人信息多以《網絡安全法》中“維護網絡空間主權和國家安全”的目的為指導，帶有公共利益的性質，對于涉及自然人的一般個人信息和敏感個人信息的保護則存在空白;另一方面，由于刑法自身所具有的謙抑性特征，使得眾多違法收集使用個人信息的APP因其行為難以達到犯罪程度而免于遭受刑罰處罰。此外，個人信息在《民法典》中被確定為一項自然人的基本民事權利，過多使用刑事手段而非民事手段對其進行保護存在著打擊力度過嚴的隱患;同時，盡管手機APP經營者在經濟實力及專業知識等多方面具有優于用戶的能力，但本質上還是屬于民事主體范疇，與同為民事主體的用戶擁有平等的法律地位，頻繁使用刑事手段對其進行制裁，容易干擾平等民事主體之間正常的經濟活動，打壓APP經營者的積極性，不利于數字經濟的進步發展。

（三）隱私權保護的司法救濟力度不足

盡管《民法典》規定了侵害個人信息時侵害人應承擔民事責任，但由于目前我國國內在個人信息遭到侵權時缺乏相關規定為受害者提供司法救濟，因此在手機APP侵犯用戶個人信息權民事訴訟案件中，目前仍舊多采用以隱私權為主的保護模式。然而以隱私權為主的保護模式，在提供司法救濟的過程中存在著較大弊端。

首先，隱私權在司法實踐過程中僅能保護具有隱私屬性的個人信息，這使得用戶在一般個人信息受到不法侵害后難以獲得提起訴訟的法律依據，縮小了本應受到保護的個人信息范圍;其次，對個人信息采用隱私權保護，使得訴訟過程中的舉證責任被劃分給了提出訴訟的受害人。由于受害人在專業知識和經濟實力上與APP經營者相比，本身便存在著天然的巨大劣勢，加之侵犯個人信息權行為方式眾多，且手段較為隱蔽，因而使得受害人難以實現有效舉證，最終承擔敗訴的不利后果;最后，通過隱私權獲得救濟，無論是獲得財產損害賠償還是精神損害賠償，在舉證所受損害方面的難度都較大，并且即使舉證成功后，受害人所能獲得的賠償數額也十分有限。這讓受害人在個人信息的維權過程中困難重重，難以獲得個人信息權被侵犯后應有的賠償，使得民事司法救濟在個人信息保護過程中無法發揮其應有的力度。

三、歐美規制手機APP侵犯個人信息民法保護對我國的啟示

（一）采取統一立法模式構建個人信息保護的有機體系

相較于美國在個人信息保護領域傳統采用的分散立法模式，歐盟GDPR的出臺為全球個人信息保護提供了統一立法模式這一新的發展趨勢，美國CCPA的頒布似乎也證實了統一立法模式在個人信息保護領域的合理性與必要性。因此，為適應數字經濟快速發展的時代背景，順應全球個人信息保護的立法趨勢，我國應當出臺一部個人信息保護的專門法。

目前我國已將《個人信息保護法》納入了立法計劃并出臺了有關草案，草案在與《民法典》中有關個人信息的概念保持一致的同時，對于個人信息的相關重要概念作了進一步的明確解釋，相較以往較為籠統的保護，創新性地對不同種類和不同人群的個人信息制定不同力度的保護措施。在草案中，明確了手機APP經營者在內的個人信息處理者在收集使用個人信息時應遵守的原則和應承擔的責任與義務，與先前出臺的有關規范性文件相比，強制規范的效果明顯增強。

當然，草案內容還存在著一些規定尚不明確的部分，對于APP經營者如何遵守“為實現目的所能收集處理的最小個人信息范圍”的標準也較為模糊，在后續立法完善的過程中，可以與我國現有法律文本進行銜接，同《技術規范》中的相關內容有機結合，通過列舉的方式為手機APP可收集使用個人信息的最小范圍劃定界限，實現頂層建設指導與具體實施細則操作的有效配合。

（二）手機APP行業自律與外部監督有效結合

刑法在法律體系中的保障法地位，注定了其所能打擊的違法收集使用個人信息案件數量有限。為了改變我國在個人信息保護領域重刑事輕民事的現狀，我國可以借鑒美國在個人信息保護方面形成的行業自律模式，加強手機APP行業內部制度建設，同時對其進行有效的外部監督，為規制手機APP侵犯個人信息權行為提出從民事平等主體角度出發的新思路。

我國手機APP行業發展迅速，相關技術更新速度快，單純依靠國家出臺相關法律規定對其進行調控可能存在著滯后性;加之我國地域遼闊，人口眾多，僅僅通過有關部門對日益龐大的手機APP行業進行監管難免存在缺漏。通過促進手機APP行業自律，一方面可以形成有關個人信息收集時需提供的格式合同模板、使用個人信息時的技術保護等方面的行業規范，加強手機APP內部對用戶個人信息自下而上的自發性保護;另一方面，大數據時代科技發展迅速，由行業自行設立行業規范可以避免法律固有的滯后性對APP經營者在收集使用用戶個人信息時設置過多的限制，及時應對行業發展過程中出現的新問題，促進數字經濟的發展。同時，行業制度的建設可以有效彌補難以被刑法規制的違法使用個人信息的行為，為我國個人信息保護的有機系統建設提供補充。

當然，我們也應該看到行業自律模式自身存在的欠缺強制執行力、對用戶救濟不足等問題，通過建立手機APP行業獨立的外部監督機構，對APP行業為收集使用個人信息制定的行業規范的實施進行全面監控，督促有關企業落實規范中的相關責任。通過行業自律與外部監管結合，能夠增強企業自身的法制意識，調動APP經營者的主動性和積極性，從而發揮民事主體自身在保護個人信息中的作用，從源頭減少或避免手機APP侵犯個人信息權的行為，實現對個人信息有效保護。

（三）發展和完善個人信息權訴訟救濟方式

《民法典》確立了個人信息作為自然人一項基本民事權利的地位，這也為個人信息脫離隱私權保護模式，形成自己專屬的民事訴訟模式創造了可能。《個人信息保護法（草案）》考慮到了自然人個體在個人信息侵權案件中所處的弱勢地位，采納了GDPR中有關舉證責任倒置的保護模式，將手機APP在收集使用個人信息侵權案件中的舉證責任劃分給了APP經營者一方，只有當其能證明自己在這一過程中不存在過錯時才能減輕或免除其賠償責任。這樣一來減輕了受害人在個人信息侵權案件中的負擔，也有利于受害人積極行使訴權，監督手機APP經營者履行保護個人信息的責任。在后續完善立法的過程中，可以根據個人信息的種類制定減輕或免除賠償責任的標準，與個人人身或財產安全息息相關的敏感個人信息在減輕或免除賠償責任時應滿足的條件及可減免的范圍應明顯小于一般個人信息，甚至在一些涉及自然人最為私密的個人信息保護上，可以考慮適用無過錯責任以限制APP經營者收集使用此類個人信息。

同時，考慮到個人信息自身所包含的人身權屬性，在數據流動速度空前加快的今天，某些個人信息一旦泄露，可能對自然人的日常生活造成嚴重的影響，甚至使自然人產生精神損害。因此，在草案現有的財產損害賠償的基礎上引入精神損害賠償是十分有必要的。通過財產與精神損害賠償相結合的方式，豐富和發展民事訴訟中對個人信息侵權案件受害人的救濟方式，避免受害人維權成本遠高于所獲賠償數額的現象發生，造成受害人的二次損害。

四、結語

歐美在個人信息保護方面的民事立法為世界各國處理個人信息高效利用與保障個人信息安全之間的關系問題提供了許多可以借鑒的經驗，結合我國目前在民事領域規制手機APP收集使用個人信息侵權風險的現狀與存在的問題，通過立法、執法與司法的全過程聯動保護，提出完善個人信息保護法律體系、行業自律與外部監督有效結合、為受害者提供多種類型的救濟途徑的建議，以期實現推動數字經濟發展與保護個人信息權并重的目的。

[本文為2020年國家級大學生創新創業訓練計劃項目“大數據背景下手機APP收集使用個人信息侵權的民法規制”（項目編號：202010225056）]

參考文獻：

[1] 京東法律研究院.歐盟數據憲章：《一般數據保護條例》GDPR評述及實務指引[M].北京：法律出版社，2018.

[2] 陳晨，李思頔.個人信息的司法救濟——以1383份“App越界索權”裁判文書為分析樣本[J].財經法學，2018（6）：102-113.

[3] 暢萌.民法視角下的個人信息保護研究[D].河南財經政法大學，2020.

[4] 曾磊.我國個人網絡信息保護立法的制度構建[J].廣西社會科學，2020（5）：126-131.

[5] 項定宜.比較與啟示：歐盟和美國個人信息商業利用規范模式研究[J].重慶郵電大學學報（社會科學版），2019（4）：44-53.

（作者單位：東北林業大學文法學院 黑龍江哈爾濱 150040）

（責編：賈偉）