《民法典》視角下個人信息的法律保護

趙夢茹

西藏大學，西藏 拉薩 850000

一、個人信息保護的背景、意義以及本文的研究方法

（一）研究背景

在網信技術處于高速發展的今天，個人信息正在變得前所未有的重要，個人信息在商業價值上的運用促進了數據產業高質量發展，使個人信息主體受益。例如：網約車平臺通過定位追蹤的方式保障乘客安全、“刷臉支付”給人民生活帶來便利等。但是隨之而來個人信息的保護也給法律帶來了新的挑戰。

《民法典》是在我國社會經濟等各方面不斷發展的背景下，對原先各民事單行法進行體系化編纂，其立法目的在于發揮法典形式的系統化效應。在《民法典》中人格權首次獨立成編，改變了曾經零星分布在多部法律的現象，該編也引發了相當多的關注。在現今的互聯網大時代，大量網暴事項和盜取個人信息的案件急需成型的法典來進行規范。

（二）研究意義

《民法典》在實際運用中對個人信息進行保護時，重點是要把握好《民法典》人格權編與其他編之間的聯系。人格權不是一成不變的，而立法需要嚴謹性也有一定延遲性，需要在實際操作中基于《民法典》的架構及內容，做出更加完善且嚴謹的司法解釋體系，來更為有效地指導司法實踐，達到更好地保護個人信息的效果［1］。

新頒布的《民法典》不是對過去眾多民事立法的推翻重編，而是基于“取其精華”的原則，對之前民事立法在有序整合的基礎上，根據人民美好需求又進行了全面完善。在大數據高速發展的今天，高新技術企業能根據網絡快速搜集到潛在客戶的個人信息，并在客戶不知情的情況下利用其個人信息，特別容易造成個人信息被盜取的現象。一方面不利于社會的平安穩定；另一方面也容易造成群眾對個人信息被泄露的恐慌。

（三）研究方法

1.文獻研究方法。對《民法典》和其他成文法中關于個人信息的保護條例進行深入研究，理清立法精神，并為本文關于個人信息的法律保護研究提供參考。

2.比較研究方法。本文對我國和外國關于個人信息的相關內容進行比較分析，面對現行的個人信息保護理論觀點提出相應看法，嘗試探尋我國個人信息法律保護之路。

3.案例研究方法。本文聯系實際案例進行歸納總結，使本文研究內容更有實際意義，更有助于對個人信息的法律保護提出建議。

二、《民法典》時代下個人信息保護現狀

（一）侵犯個人信息的行為分類

1.個人信息被非法收集

在大數據高質量發展的同時，個人信息也實現了不同客戶端之間的無障礙傳遞。網絡運營商通過大數據收集大量個人信息，收集完成后，利用大數據對個人信息處理分析，通過個人錄入的喜好、日常軌跡等信息將客戶類型分類匯總，向客戶推送有關信息，通過定向營銷來收集利潤。網上甚至出現公然出售個人信息的現象，非法組織或個人把客戶的個人信息公開給有需求的商家甚至犯罪組織［2］。因此造成或者推動了下游犯罪情況的發生，信息被侵損已經是下游犯罪的前提條件，例如我國多發的各種精準詐騙。

2.非法披露個人信息

某些網絡運營商和非法組織在利益面前毫無底線，在無用戶授權的前提下，私自披露用戶的個人信息，最終造成用戶收到很多騷擾電話和信息。更有甚者惡意泄露特定人員的個人信息，例如“人肉搜索”第一案“王某訴A網站案”，由于原告個人信息被非法披露，從而出現原告被許多網民登門騷擾的后果，導致原告的正常生活和人身安全得不到保障，該案在全國來說影響惡劣。

3.個人信息被非法利用

個人信息被非法利用極大影響著人們日常生活，例如購物時“大數據殺熟”、上網瀏覽信息時頁面推送定向廣告等。用戶上網瀏覽網頁、溝通傳遞等日常操作中，任意一個日常行為都可能使個人信息被泄露。商家利用泄密的個人信息進行數據分析，實現推送特定廣告和商品推薦，占用和浪費客戶的時間。個人信息被非法利用也會導致其他問題，例如社會分選和歧視現象。社會分選指利用個人信息，用多個標度將用戶群體分為幾種類型，將客戶對號入座并區別對待，從而導致歧視現象的產生。例如2018年“B順風車屬性標簽事件”，剝奪乘客對于社會的安全感，造成了“趙某辰遇害案”“鄭州空姐遇難案”等惡性事件。

（二）個人信息侵權行為原因分析

1.新型損害難以證明

個人信息被侵權易導致針對個人的新型損害，但是這種新型損害卻很難得以證明，而且很難用經濟價值證明受損程度，僅僅知道個人信息被泄密難以證明對其存在實際損害。例如“朱某訴C公司隱私權糾紛案”中，朱某所訴C公司在未征得本人同意取得下私自分析處理了她的網頁瀏覽記錄，并對她精準推送相關的推銷廣告使得其本人感到惶恐不安、精神高度緊張。法院判定C公司不構成侵權行為，其中原因之一在于朱某無法有效地證明C公司推送的有關減肥、流產和隆胸的廣告對其造成的經濟損害。

2.信息不對等性

在個人信息被侵權案中，個人與信息處理者之間掌握的信息具有不對等性，自然人無法第一時間知曉本人信息被誰侵權。對此現象，根據《民法典》第一千一百七十條，可以用“共同危險行為”作為法律依據。

3.事實不確定性

在個人信息被侵權的過程中，事實不確定性妨礙救濟渠道，加大信息主體列舉證據的難度。以“龐某鵬案”為例，原告龐某鵬是信息主體，但其無法得知自己的個人信息是由哪一方泄露。如果幾個信息利用者一起造成龐某鵬的個人信息泄露，原告也難以證明損害結果與個人信息泄露行為之間的因果關系。因此按照《民事訴訟法解釋》規定要求，原告龐某鵬只能證明損害后果，其他都存在事實不確定性，例如相關因果關系、加害行為和行為人主觀過錯。

三、《民法典》對個人信息保護規定存在的局限性

（一）現有侵權責任編無法有效保護個人信息

《民法典》中侵權責任編對信息主體的信息保護主要分為以下兩個方面：一是《民法典》中第一千一百九十四條至一千一百九十七條完善了網絡侵權責任；二是第一千一百六十五條規定的過錯責任原則。通過分析公安部門公布的2021年個人信息保護十大典型案件，發現多數都是發生侵權后交由刑法調整。由此發現，在刑法未保護之前，法律是否處于真空狀態？筆者認為在個人信息侵權案中這種現象的出現，是因為個人與信息處理者之間的信息不對稱性導致的，信息處理者技術先進，而個人在立案前甚至不知自己的個人信息被侵權，法律也難以介入［3］。

（二）知情同意原則無法有效保護個人信息

1.知情同意的有效性難以得到充分的保證

《民法典》第一千零三十六條規定了不需要承擔責任的情形，但在實際應用中“知情—同意”原則飽受爭議，究其原因是“知情—同意”原則的形同虛設。第一，由于信息利用情況紛繁復雜，信息主體大多是非法學專業人員，法律意識和相關專業認知淡薄，無法預知信息處理者是如何操作其個人信息，信息主體只能為了進入系統或得到服務而被動接受，這種強制性操作造成“知情—同意”原則成為一種形式；第二，將“知情—同意”原則運用于很多APP和程序會無形中增加信息利用者的成本，一旦產生糾紛時，“知情—同意”原則反而成為信息利用者不承擔法律責任的事實和理由，個人始終處于弱勢地位。

2.“知情—同意”原則前置性限制了同意的有效性

“知情—同意”原則的最初目的并不是為信息處理者收集、使用個人信息提供免責性規則，而是信息處理者在為個人提供服務的同時，觸發了“知情—同意”原則，與用戶是否同意無關。在一定程度上來說，“知情—同意”原則并未約束信息處理者的行為，而是變成信息處理者越權收集、處理個人信息的避風港。現在的“用戶同意”已成為必要規則，導致“知情—同意”原則被廣泛濫用，同意的有效性很難起到保護個人信息的作用。

四、個人信息法律保護之完善建議

（一）三元歸責原則體系的建立

1.信息處理者的直接侵權

首先，機關公務人員通過技術手段導致個人信息被侵權的情形，可以適用于無過錯責任原則。政府是最大的信息管理操作者。如果完全依靠自動化技術處理個人信息將會給人格權帶來“自動化危險”，而人工處理則不會出現這種風險。因此，如果個人信息處理者是行政機關，其行為的合法性將通過機關部門證明，避免無過錯責任可能造成的不良影響。

其次，若是利用大數據技術的其他主體導致個人信息被侵權的情形，應使用過錯推定責任原則。其他主體不同于行政機關，由于獲取個人信息的能力相對較弱，分析水平較差，所以對個人信息的注意標準也不嚴謹。因此，如果個人信息處理者是非行政機關，應設定過錯推定責任，其行為的違法性將通過信息主體承擔證明責任。

最后，未利用大數據技術的個人信息處理者，其導致個人信息被侵權的情形，應使用一般過錯原則。訴訟雙方在列舉證明和訴訟能力的不同是由于大數據技術的利用差異，無須考慮信息主體是否為網絡服務提供商。

2.網絡服務提供者的間接侵權

因為信息處理的外延十分寬泛，包含個人信息的收集、存儲、應用等。因此個人信息處理者除了會因為主觀能動性承擔直接侵權責任，也會作為網絡服務提供者因為各種網絡活動承擔間接侵權責任。

《民法典》第一千一百九十五條對“避風港”規則進行補充，具體表現為：完善通知原則、優化刪除規則、新增反通知制度，能夠在一定程度上為網絡服務提供者規避法律風險，但“避風港”規則并不是擋箭牌，該條規定亦可進一步完善。第一，應對網絡服務提供者未及時轉送等的責任作出規定。筆者認為應對網絡服務提供者接到通知后未及時轉送和反通知的責任明確相應責任，理由是“當導致轉送人和反通知人的民事權益損害時，應該承擔相應責任”。第二，應明確規定不符合法定要件通知和反通知的后果。因為在實際操作中用戶有主觀和客觀因素，其作出的通知和反通知聲明很難都具備法定要件，所以若根據司法解釋直接對網絡服務提供者作出免責，相對于讓用戶放棄實體權利，對于后者來說太過嚴苛。

（二）進一步完善知情同意原則

1.細化告知形式

當前“知情推定”是若甲方已提前告知乙方，則推定乙方已知情。但是在實際操作中，并不是全部的告知都建立在對方已知曉真實情況下，因此需要明確告知過程中的細節。通過分析國內外告知形式，筆者認為“知情—同意”原則中的告知程度應滿足如下條件：首先是告知內容應符合常理認知，避免歧義的產生；其次是在條款中，明確列出責任的細化，以免產生矛盾；最后是盡可能避免口頭告知，形成書面或電子回執，方便證明。

2.明確無需執行知情同意原則的例外情況

信息主體無法保證其個人信息不被任何人得知，也無法全部掌握其個人信息，所以在流通過程中預留自由空間是很重要的。企業或個人在對個人信息進行收集利用過程中，若過度依賴知情同意原則，則會導致信息流通過程中的明顯阻塞、成本的增加及效率的降低。為了綜合安全、成本、效率等各方面的因素，需要明確一些無需執行知情同意原則的流程，對此可以減少過度同意造成的不便［4］。

結合國外其他國家的實例進行參考，并聯系我國的實際情況，也需要規定一些無需執行知情同意的流程。（1）司法取證過程；（2）維護國家安全統一需要；（3）為防止信息主體遭受侵權；（4）個人需履行特定義務時需要收集其個人信息；（5）與信息主體簽訂合同并嚴格遵守保密協議；（6）公眾人物同意公開的個人信息；（7）政府公共管理需要收集個人信息。以上情形需嚴格規定保密工作并嚴防泄露個人信息，個人信息的實際用途和傳播方式需遵守法律法規。

（三）多個信息處理者情況下適用因果關系推定原則

對于個人來說，一旦其個人信息被侵權，很難精準地確定侵權行為與造成后果之間的聯系。在龐某鵬案中，一審由于龐某鵬未拿出有力證據證明D公司的侵權責任，從而導致其請求被駁回，其后中院改判A公司和E航空公司向龐某鵬道歉。本案中，最后的判決主要依據法官的實際經驗判斷，從而造成一審和二審差距較大。由此可知，在個人信息被侵權案中，僅有兩個信息處理者情況下都很難證明侵權行為與造成后果之間因果關系，何談有更多信息處理者的情況。實際中，隨著各個網絡公司之間的緊密聯系，一旦個人信息被侵權，出現多個信息處理者的情況會更多。面對這種情況，筆者認為需用因果推定規則解決以上情況。

侵權案中適用的因果關系推定原則指信息主體發現被侵權時，推測侵權行為與造成后果之間的因果關系，若信息處理者認為其行為與損害后果無因果關系，則需要其舉證證明在任何情況下都無侵權責任。因果關系推定原則需有兩個前提：一是須適用于多個信息處理者的情況；二是須適用于大數據技術處理的情況。

五、結論

本文從《民法典》視角研究個人信息的法律保護，具體對個人信息的現狀進行分析并加以案例佐證，梳理出個人信息保護目前面臨的一些困境。需要建立三元歸責原則體系來明確侵權責任認定，并通過進一步完善“知情—同意”原則來減少信息處理者的責任。隨著《民法典》的運用，個人信息的法律保護也愈加成熟，有利于促進社會法治建設的推進。