數字時代個人信息權益保護的法律問題與對策研究

楊 雪（西安財經大學 法學院，陜西 西安 710061）

一、引言

隨著信息化的普及以及對個人信息權益法律保護的需求日益強烈，國家和社會對個人信息權益保護的重視程度逐漸提高。據不完全統計，全球目前已經有100多個國家制定了關于個人信息保護的專門法規，并且形成了一套獨立運作的法律體制[1]。我國于2021年8月20日通過并頒布了《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）。這一立法是我國借鑒國際經驗并結合中國國情設立的第一部全面、系統地保護個人信息權益的專門性法律，具有深刻的國內和國際背景。這是對我國人格權立法的一次重大突破，是為了維護公民利益、社會公共利益的一次重大探索和有益嘗試，也是為了順應數字時代經濟發展與信息技術進步而實現的一次立法創新[2]，是中國特色社會主義法制建設的一項重大成就[3]。《中華人民共和國民法典》（以下簡稱《民法典》）第111條明確規定了自然人的個人信息受法律保護。《民法典》中維護人格尊嚴和保障公民信息權益的價值觀念，也為《個人信息保護法》的制定提供了理論基礎，《民法典》對個人信息權益保護的基本框架、基本原則、基本理念和價值觀進行了界定，厘清了個人信息權益與其他人格權利的關系[4]。《民法典》與《個人信息保護法》構成普通法與特別法的關系，二者相輔相成。

隨著信息得以廣泛使用，越來越多的網絡用戶主動或被動地成為信息和數據的生產者，信息主體生產和傳輸出來大量的個人信息，通過大數據技術得到整合和利用。例如，個人要加入社會團體或參加社會活動，必然要向他人披露、公開自己的身份和個人信息，在此過程中，個人的信息難免對外傳遞，而且很容易為他人所掌握或搜集[5]。加之個人信息的經濟價值日益凸顯，個人信息成為數字經濟中的一項重要信息資源，導致大量網絡用戶的個人信息被非法獲取和利用，公眾對保護其個人信息的需求日益高漲[2]，以及社會對個人信息安全的保障達成了高度共識，因為個人信息地泄露不僅是技術問題，更是監管問題。因此，如何有效地處理頻發的個人信息泄漏事件，就顯得尤為迫切，以及如何合理、規范地保護和使用個人信息，也受到社會各界越來越多的關注。然而，我國現行的個人信息權益保護法律制度尚不完善，相關部門法之間的銜接不到位，且《個人信息保護法》施行的時間較短，尚處在初級階段，無論是在理論上還是在實踐中均不成熟，存在著一定的缺陷。本文就個人信息權益保護與利用的現狀和困境展開研究，提出了當前個人信息利益保護失衡、法律保護力度不夠等問題，并提出相應的應對之策，期望個人信息既能有序利用，又能合理保護，以達到平衡個人信息利用與保護之目的，從而促進信息主體和信息處理者實現共贏。

二、個人信息權益保護的理論難題：權利屬性之辨析

對于個人信息的權利屬性，我國不少學者長期以來眾說紛紜，難以定論。目前具有代表性的學說主要有“獨立人格權說”[6]“一般人格權說”[7]“隱私權說”[8]“新型人格權說”[9]和“財產權說”[10]。這使得個人信息的權利屬性究竟如何界定，迄今為止仍然未有明確的結論。本文認為，個人信息權利屬性的不明確將會造成實踐中個人信息保護范圍界限模糊，因此厘清個人信息的權利屬性是本文探討的重點。

在當前研究成果中，各代表性學說的學者分別持不同觀點：鄭曉劍主張個人信息是“法益”而非“權利”，個人信息與現有的人格權客體之間有著廣泛重疊的部分，如果在人格權之上設置一項新的個人信息權，就會削弱現有的人格權制度[11]。王利明提出個人信息權是信息時代下產生的新型權利，應從一般人格權中具體化，即個人信息具有獨立人格權的屬性[6]。張里安、韓旭至認為個人信息權作為一項獨立的人格權，是一種特殊的權利，其內容和范圍是任何其他權利都無法取代的[12]。鄭維煒認為“獨立人格權說符合個人信息權的內在屬性”[13]。程嘯主張自然人對個人信息享有獨立的人格權益，無需分別設立人格權和財產權，可同時保護自然人對個人信息享有的精神利益和經濟利益，且個人信息作為人格權益，是不同于隱私權、姓名權、肖像權等具體人格權的新型人格權[9]。姬蕾蕾認為個人信息具有財產性，因其利用過程中所產生的大量數據不具有人格因素，而是具有經濟價值，可成為財產權的對象[14]。以上學者的觀點構成了不同的代表性學說。

有學者認為隱私權是自然人對自己的個人信息進行控制、支配和管理的一種權利，從本質上看個人信息就是一種隱私[13]。還有學者提出隱私權中的私密信息是個人信息的一種表現形式，在傳統民法中就將其視為人格權加以規定[17]。本文對個人信息與隱私作出如下分析。

從權利主體上看，個人信息同隱私均限定于自然人，不包括法人和其他社會組織。從客體上看，二者有所交叉的部分。個人不愿意對外公開的個人信息本身就是隱私權所保護的對象。從侵權結果來看，個人信息和隱私存在重合的部分。個人的隱私被公開后，個人信息也會受到侵犯[16]。另外，個人信息的外延超過了傳統的隱私權概念，因此，任何涉及特定個體的信息都可以被稱作個人信息。第一，就權利的內容而言，隱私是不愿為他人知曉的私人信息、私人空間、私人活動，隱私權包括個人對自己的隱私進行隱瞞保密，對自己的隱私擁有支配權和積極利用自己的隱私；個人信息的重點在于個體擁有自主決定的權利，可以獨立控制、支配自己的信息，并且決定其收集、處理和利用時的方法以及范圍，即個人信息自決權。第二，就權利的對象而言，凡是個人不愿意公開的信息都是個人隱私的范疇；而個人信息的客體具有可識別性，如個人的肖像、身份證、護照、指紋等具有特定的指向性，可以識別出某個唯一特定的主體。第三，就權利的性質而言，隱私權主要具有精神價值，更多體現的是其人格利益；而個人信息則兼具人格利益與財產利益。此外，隱私權是一種消極的防御性權利，其權利人在隱私受到侵害之前很難采取有效的防范措施；而個人信息則相反，具有積極權能，表現在權利主體享有知情權、修改權等。第四，就救濟途徑而言，若隱私權遭到侵害，可以通過精神損害來進行補償；而對個人信息，則有兩種救濟途徑，一是精神損害賠償，二是財產賠償[6]。

本文認為個人信息權益并不等同于隱私權，二者在客體上有交叉但不重合，分別屬于兩個不同的范疇，但均屬于人格權。在法律適用上可參考《民法典》第一千零三十四條第二款的規定：“個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。”并且，在《民法典》的法律條文中，始終沒有出現“個人信息權”這樣的表述，這表明《民法典》意圖從“權益”的角度保護個人信息，無需設立個人信息權。若再設置一項獨立的個人信息權，那么在實施過程中，將不可避免地和現有的人格權發生沖突[11]。另外，顯然是立法者考慮到采用“個人信息權”的表述后，將賦予個人過大的權利，可能會限制數據的共享、利用以及數字經濟的發展[15]。綜上所述，將個人信息的權利屬性界定為“權益”是符合現實情形的。

三、個人信息權益保護法律制度的問題

（一）個人信息權益的保護與利用產生沖突

一方面，個人信息權益的保護要考慮到信息主體和信息使用者的利益均衡，既要考慮到個人信息的自主性和支配性，同時也要考慮到信息使用者的財產權利[17]。在信息處理的整個過程中，信息主體都處于一種被動的狀態，甚至完全不知道自己的信息是如何被收集、處理和利用的[18]。另一方面，個人信息的公共管理價值也是政府機構等其他管理部門獲取和使用個人信息的動力來源，傳統的民事權利是以損害賠償作為主要的救濟方式，很難與之抗衡[17]。除此之外，信息只有利用才能產生經濟價值，而且利用頻率越高，就越能體現其價值大小。大數據技術能夠對海量信息進行分析和處理，并對碎片化的個人信息有效整合，從而發揮其經濟效用。信息與傳統的財產權不同，只有在頻繁利用中才能產生出多余的經濟價值[15]。因此，在大數據時代，如何平衡個人信息利用和保護之間的關系成為一個新的難題[19]。

（二）過于強調單向價值保護，利益保護失衡

通過瀏覽我國當前正在施行的個人信息權益保護領域的法律規定，筆者發現我國對于個人信息的人格利益較為重視，在立法方面的考量和具體規范的設置上明顯較多。在當今時代，信息技術和大數據算法迅猛發展，個人信息的價值逐漸呈現出多樣化的特征。個人信息具備的利益屬性除了傳統意義上的人格利益之外，還有較為明顯的經濟利益和社會公共利益。如在以往信息傳播不方便、信息資源數量較少、傳遞媒介和傳播方式較為單一的情況下，個人信息中的身份信息、商業信息以及醫療健康信息等更多體現出人格利益，作為區分彼此、掌握動向、了解身體健康狀況的主要依據。反觀當前社會環境，如果自然人不慎將以上個人信息泄露或遺失，那引起的后果將是很嚴重的。違法犯罪者可能會利用便捷的互聯網技術將掌握的信息作為敲詐勒索的籌碼，輕則使遺失信息者遭受財產損失，不幸者還可能遭遇人身威脅。由此可見，在個人信息價值多元化的當下，國家在相關法律規范的制定上應該考慮得更全面更詳細，與時俱進。

（三）部分規定可操作性不強，保護力度不夠

法律的生命力在于實施，也因為嚴格地實施和治理而使得法律得到了社會公眾的認同和信仰。個人信息對于每一個人的安身立命、生產生活都至關重要，對公民個人信息權益的有效保護，也是構筑社會安全防線的必要手段。目前我國正在施行個人信息權益保護的一系列法律法規，這對于有效治理網絡環境、保障信息安全和公民合法權益方面都發揮著不可替代的作用。但伴隨著經濟社會的不斷進步和宏觀環境的快速變化，已經出臺的部分法律規定逐漸凸顯出了可操作性不強、保護力度不夠等缺陷，導致個人信息權益保護實際操作困難，救濟手段缺失。這顯然違背了立法的初衷，也不符合我國現行法律的實際應用，需要從立法、司法解釋等方面加以細化和完善。

四、完善個人信息權益保護法律制度之對策

（一）平衡個人信息的保護與利用

首先，合理規范個人信息保護與利用，對推動我國數字經濟的健康有序發展有著十分重要的作用[11]。在大數據時代，個人信息的收集與利用是制約其發展的重要因素，如果對其進行過度的法律保護，勢必會加大其收集、利用的成本，從而制約其發展。因此立法機關應該適當調整個人信息保護與利用之間的關系，一方面要重視個人信息的經濟價值，另一方面也要重視對個人信息權益的保護，不能過度地保護個人信息而抑制了數據產業發展，也不能為了發展數據產業而不顧及個人信息權益的保護[20]。其次，還要保證個人信息的合理流通與開發利用相協調。個人信息是個人與他人建立聯系的工具，也是認識每個個體的基礎[5]。若脫離了社會活動和公眾傳播，它的法律保護就沒有任何意義了[11]。個人信息共享是實現個人信息經濟效用的重要途徑，也有助于提升其利用價值[21]。因此，個人信息天然地具有流動和共享的特性，保障其合理的流通和使用，對于企業、政府和社會都會產生很大的價值[11]。

（二）注重個人信息保護目標的多元化

由于個人信息逐漸呈現出價值多樣化、利益多元化的特征，相應的在個人信息權益保護的制度構建中我們也應該注重保護目標的多元化。除了傳統意義上立法者普遍重視的人格價值之外，政府、企業和個人還需在日常活動中正確引導、全面認識個人信息的價值多樣性。最大程度地保護公眾的個人信息權益，切實保護利益相關者的實際利益，以提升價值多樣性中個人信息所創造的實際價值和潛在價值。從而構建個人信息價值多元化的認知體系，達到全面保護個人信息人格利益、經濟價值與社會價值的目的。另外，立法者可以通過對不同領域的個人信息進行分類保護。比如，在醫療系統中，對患者的個人信息進行保護；在運輸系統中，對用戶的個人信息進行驗證。

（三）增強個人信息權益保護制度的可操作性

本文通過對我國有關個人信息權益保護的立法規范的梳理，發現立法數量逐漸增多、立法質量穩步提升、涉及范圍不斷擴大、保護意識明顯提高、實施效果不斷凸顯等特點，對于個人信息權益一直以來的保障維護事宜起到了主要的規制作用。但隨著時間的推移和社會經濟結構的優化更新，有一部分的法律規范在具體的適用過程中存在著一定的困難，發揮的調節作用受限，最終使得法律法規在施行過程中取得的成效有限。數字時代多樣化的信息傳遞和運輸方式層出不窮，個人信息權益保護工作遇到的挑戰和困難紛至沓來，多種因素的綜合作用使得以往的信息保護方式已經不合時宜亟需改變，提高個人信息保護法律制度的可操作性和保護力度已經成為大勢所趨。對于一部法律而言，從征求意見、起草制定、咨詢論證到審議通過、正式頒布實施，經歷的環節復雜多樣，而立法活動的最終目的則在于實施，可操作性的要求也隨之提高。無論是我們已經頒布施行的《網絡安全法》《個人信息保護法》還是未來即將制定出臺的個人信息保護領域的其他法律，是否具有可操作性都是衡量法律規范實施效果明顯與否的主要依據，因此需要強化法律條文的可操作性，加大個人信息權益的保護力度。

五、結語

在現代市場經濟中，個人信息作為一種數據資源發揮著重要的作用，其價值不容小覷，數字經濟成了企業市場競爭的重要組成部分，信息安全已上升為國家安全，我國的大數據戰略鼓勵信息依法開發利用，促進信息合理流通，推動數字經濟產業發展[22]。此外，個人信息權益的保護是事關自然人人格權益、經濟權益和社會權益的重要事項，是我國信息法治建設過程中不容忽視的環節之一。如何在大數據技術不斷優化升級的形勢下運用法律手段保障不同類型的個人信息將是法學理論和實務中研究的重點課題之一。從20世紀七八十年代開始，西方國家就以各種形式對個人信息保護進行了規定。但在我國，由于個人信息保護的立法起步較晚，因而在這一領域仍有許多不足之處，有待于企業提高自律和政府加強監管，以及社會各方的共同努力。本文建議綜合運用多樣化的法治方式，適時地更新傳統的保護模式，強化法律制度的實際適用性，以期為個人信息權益保護法律體系的健全提供可行之策。