數字經濟時代個人信息私法保護的困境與出路

劉明宇

（沈陽工業大學，遼寧 沈陽 110870）

2021年《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》提出我們要迎接數字時代，適應數字技術全面融入社會交往和日常生活新趨勢。[1]在數字時代，刷臉、指紋等個人信息已經成為個人進行社會活動不可或缺的一部分，個人信息成為推動社會經濟發展的主要生產力。在法律層面，無論是公法還是私法等都有內容規定了個人信息保護，但這并不能滿足人民群眾對個人信息保護的各類需求。面對在公法保護先行的前提下，如何完善個人信息私法保護模式成為必須討論的問題。

一、我國個人信息法律保護的現狀

（一）《民法典》的相關規定

在2020年頒布的《民法典》中對個人信息作出了明確的定義，并將個人信息置于人格權編加以保護。根據《民法典》第一千零三十四條第二款之規定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。《民法典》對個人信息的定義是我國在個人信息保護領域的法律規定中最為具體和明確的。

（二）相關法律法規的規定

《電子商務法》對電子信息保護做了零散的規定，要求信息收集者要獲得信息主體的同意和授權，在收集前簽訂約定不得超過法定的范圍，以及保障信息安全的義務和不履行義務將要受到的處罰方式。《電子商務法》更傾向于國家對市場主體的行政監管，對個人信息保護更偏向于公法保護。《網絡安全法》首次系統性地針對個人信息作出保護機制，完善了國家機關聯動執法機制，建立了信息泄露報告制度，明確個人信息主體對個人信息包括同意使用、刪除與更正在內的實際控制權。

（三）《關于加強網絡信息保護的決定》的指引作用

《關于加強網絡信息保護的決定》（下文簡稱《決定》）明確了網絡個人信息的保護范圍，決定明確了法律保護能夠識別的個人信息，規范了網絡服務提供者獲取和使用個人信息的原則和侵害個人信息應負的主要責任，并在同時強調了國家相關主管機關的管理責任。但是，《決定》傾向于用公法救濟個人信息被侵權的問題，對于個人的私法救濟方式顯得模糊，由于《決定》不是以法律的形式出現的，人民法院對該決定在保護個人信息方面所起的重要作用認識不夠，在司法實踐中沒有發揮應有的作用。[2]

二、數字經濟時代個人信息保護的困境

（一）敏感信息保護的兩難困境

《民法典》將個人信息分為一般個人信息和私密信息，但私密信息具有相對性，對于個人來說有些信息對自己的熟人公開的，但是對于陌生人又具有不被知悉的特性，這就很難區分私密與一般的關系。對敏感信息收集，《民法典》規定“合法、正當、必要“的原則，但對于科學研究收集敏感信息的行為應作出明確規定，進一步完善合法原則與正當原則，雖然這樣規定可以避免因法律規定緊縮導致信息產業發展的障礙，但是不明確的規定具有規則被濫用的風險，不利于個人信息保護的法律發展。

（二）告知同意原則的尷尬處境

數字經濟時代的商業主體需要通過收集和處理個人信息來靶向提升服務能力。但這導致了信息濫用現象。于是告知同意原則被廣泛運用在個人信息治理領域以圖解決該問題。告知同意原則指收集處理個人信息，要么有法律明確允許處理，要么個人數據在被處理之前被告知處理的原因、背景和目的后得到同意。[3]《民法典》采用了以告知同意原則為內核的保護機制，但在實踐中該原則近乎處于失靈的態勢。雖然信息收集者都會提供一份知情同意的授權文件，但大部分的人都直接同意授權，告知同意原則反而變成了互聯網服務商的“擋箭牌”，于企業而言，其履行告知的“目的僅在于規避法律風險”，[4]這完全背離了告知同意原則設置的初衷。

（三）侵權救濟艱難前行

個人信息侵權行為的私法救濟困境主要有三點，一是個人信息法律屬性不明導致裁判標準不一。在司法實踐中該類案件多采用隱私權糾紛或具體人格權糾紛的定性。二是舉證責任分配不明。舉證責任分配對案件判決結果影響巨大，實踐中多用“誰主張，誰舉證”的一般舉證規則來確定舉證責任，這就需要被侵權人證明侵權事實。但被侵權人很難去證明處于優勢地位的侵權主體侵害事實，如適用一般舉證規則，被侵權人大概率會敗訴，信息主體維權的積極性將受到很大影響。三是賠償制度不完善。當侵權行為發生時，個人信息侵權行為給信息主體造成的是物質和精神的雙重損失，應考慮從人格權益與財產權益兩個方面進行救濟。但從目前的司法實踐來看，涉及對信息主體進行財產損害賠償的幾乎沒有。

三、完善個人信息保護的建議

（一）確立個人信息權，多層級保護敏感信息

數字經濟的發展讓個人信息成為公民的一項重要權利，通過確立個人信息權，有利于明確個人信息權的權利范圍，進而使信息處理主體尊重并保護該權利，改變目前司法實踐中關于個人信息類案件同案不同判的現狀。個人信息涉及的內容廣泛，將個人信息區分為一般信息與敏感信息，保護敏感信息應側重信息的私密性，在立法上對于敏感信息要分場景多層級保護，明確個人信息授權的適用范圍，以“事前-事中-事后”三階段多元場景進行層級分類，包括事前告知責任、事中評估風險責任、事后妥善保存與信息脫敏責任，在這基礎上重構告知同意原則，并且設立判斷不同場景的判斷標準以及實現路徑。

（二）明確侵權責任認定規則，完善賠償機制

收集和使用個人信息的主體通常是政府機構和商業機構。政府機構出于管理目的、商業機構出于運營目的在服務過程中會大量收集、存儲和使用個人信息。但是兩者如泄露個人信息都將造成難以估量的后果，而且二者都處于強勢地位，個人很難就其侵權行為進行舉證，因此對于這兩個主體應采用過錯推定責任，促使其更加謹慎地處理信息。《民法典》人格權編中一個突出的亮點就是充分重視和保護人格權主體的經濟利益。[5]目前，對于侵權行為均采取以實際損害為評價標準，為了促使被侵權人積極維權，可以參照《消費者權益保護法》設定最低損害賠償制度，以此作為實際損害賠償制度的必要補充。至于最低額損害賠償的數額，應當根據我國目前經濟發展狀況確定。

（三）完善司法救濟途徑，嘗試集體訴訟機制

數字經濟時代，信息收集利用的主體具有技術優勢，導致個人信息被侵權后個人舉證難、維權難的問題突出。與一般侵權案件不同，在個人信息侵權案件中，處于弱勢地位的被侵權人往往很難收集證據。為了使被侵權人更積極地維權，在個人信息侵權案件中應采用舉證責任倒置的方式，由對方證明自己不存在信息主體所主張的侵權事實，如無法證明，那么就承擔侵權責任，以更好地維護司法公平。同時，在實踐中大規模侵犯個人信息的現象突出且存在多個被侵權人。如果每個被侵權人都單獨起訴，個人訴訟成本和司法資源都會被極大地浪費。為了更合理地利用司法資源，有效解決個人取證難、訴訟成本高的問題，可以依照共同訴訟代表人制度，建立集體訴訟制度，更好地維護公共利益，實現公民的有效維權。