信息處理者處理個人信息的法律規(guī)制、法定職責與侵權責任

宋才發(fā)

不同類型的個人信息數(shù)據(jù)構成國家信息大數(shù)據(jù)的信息來源和組成部分，信息處理者通過海量收集個人信息數(shù)據(jù)，為國民經(jīng)濟建設和消費者提供高效便捷的個性化服務。個人信息保護與數(shù)據(jù)利用、數(shù)據(jù)流通與資源共享之間的調(diào)適，直接關系大數(shù)據(jù)時代數(shù)據(jù)市場和數(shù)字經(jīng)濟的健康發(fā)展。然而，數(shù)字經(jīng)濟對信息數(shù)據(jù)的依賴性愈來愈強，易放大經(jīng)濟系統(tǒng)的脆弱性，一旦數(shù)據(jù)主體掌握的信息數(shù)據(jù)遭到篡改、破壞和泄露，將會對經(jīng)濟社會發(fā)展造成巨大的損失。數(shù)據(jù)基礎制度建設事關國家發(fā)展和安全大局，在“十四五”期間乃至更長的一段時期內(nèi)，需要遵循習近平總書記關于加強“數(shù)據(jù)基礎制度建設”①新華社.加快構建數(shù)據(jù)基礎制度 加強和改進行政區(qū)劃工作［N］.人民日報，2022-06-23（01）.的指示精神，按照《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）、《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）、《中華人民共和國民法典》（以下簡稱《民法典》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）等法律規(guī)制要求，充分發(fā)揮我國海量數(shù)據(jù)規(guī)模和豐富應用場景的優(yōu)勢，強化信息數(shù)據(jù)安全風險評估、監(jiān)測預警和應急處置，加快新時代數(shù)據(jù)基礎制度體系構建，推動個人信息處理者、使用者夯實個人信息數(shù)據(jù)安全保護責任。

一、信息處理者處理個人信息的法律規(guī)制

（一）對信息處理者處理信息權利人個人信息的法律規(guī)制

海量信息數(shù)據(jù)的收集與處理引發(fā)新的法治思維。馬克思在《資本論》中指出：“物的有用性使物成為使用價值。”①馬克思，恩格斯.馬克思恩格斯選集：第2卷［M］.北京：人民出版社，2012：96.每個人為了實現(xiàn)滿足自己需要的目的，都必須要以其他人作為手段，但同時這個滿足自身需要的過程，也會變成他人滿足需要的手段。在大數(shù)據(jù)時代，海量信息數(shù)據(jù)的收集與處理不僅突破了對特定個人辨識能力的傳統(tǒng)邊界，而且使個人信息的“有效匿名化”顯得越來越困難，數(shù)據(jù)中間商與信息收集者、處理者之間的責任邊界變得越來越模糊 。縱觀過往發(fā)生的個人信息糾紛案件，絕大多數(shù)集中于數(shù)據(jù)處理生命周期的前端，屬于個人信息資源采集方面的糾紛或?qū)€人信息資源使用方面的糾紛。但發(fā)生在數(shù)據(jù)處理鏈條后續(xù)環(huán)節(jié)以及處理的其他流程中的不正當競爭糾紛隨著大數(shù)據(jù)市場的快速發(fā)展而不斷涌現(xiàn)。如果說法律制度體系是一座宏偉的大廈，那么法律概念就是法律規(guī)范和法律制度的建筑材料。只有做到概念明晰、規(guī)制嚴明，才能使奠定其上的法律規(guī)范和法律制度行之有效。與“個人隱私”概念相比較，“個人信息”是較晚出現(xiàn)的概念。“個人數(shù)據(jù)”與“個人信息”原本就是兩個沒有實質(zhì)性區(qū)別的概念，經(jīng)常被法學理論工作者和法律實務者交替使用。對信息權利人個人信息的保護制度發(fā)軔于20 世紀60 年代初期。在個人信息數(shù)據(jù)被大量收集、處理和使用的過程中，信息處理者稍有不慎，就會給信息權利人造成各種危險甚至侵害。即便信息權利人當下還沒有直接遭受經(jīng)濟損失和人身損害，但由于發(fā)生信息處理者對信息權利人個人信息的泄露事故，也可能因之而導致受害者未來遭遇身份盜竊、欺詐抑或其他傷害的風險。即使通過合法途徑和正當手段收集的個人信息，也可能由于信息處理者在不慎分選、歧視性對待等情勢下，損害信息權利人的人格尊嚴和人格自由。為此，在對個人信息進行實質(zhì)性保護之外，還要進行防御性保護，為信息社會的每個自然人筑起一道堅不可摧的法律保護屏障。《個人信息保護法》從保護公民個人信息安全的目的出發(fā)，在個人信息處理、使用和傳播，從處理規(guī)則、處理者義務以及法律責任等諸多方面確立了相應的規(guī)則。盡管個人信息是一個寬泛的概念，但是法律明確規(guī)定“不包括匿名化處理后的信息”。民事法律制度為個人信息處理者和國家黨政機關處理個人信息事務作出了符合我國國情的法律規(guī)制。同時，也為信息產(chǎn)業(yè)發(fā)展規(guī)范了經(jīng)營行為的邊界，對個人信息權益保護從“積極”和“消極”兩個方面予以法律規(guī)制，尤其是對敏感個人信息以及不滿十四周歲未成年人的個人信息保護作出特殊規(guī)定，嚴嚴實實地給個人信息上了一把“法律安全鎖”。

（二）對信息處理者處理已經(jīng)公開的個人信息的法律規(guī)制

依法規(guī)范已公開的個人信息數(shù)據(jù)刻不容緩。在信息權利人個人信息被密集收集與多方流轉的生態(tài)系統(tǒng)中，絕大多數(shù)情況下信息權利人對自己的信息被收集、處理和使用并不知情，更遑論向那些缺乏直接聯(lián)系的第三方機構行使控制權。個人信息權利人與網(wǎng)絡信息服務提供者之間存在著一條不可逾越的鴻溝，但是為了獲得相應的信息服務使用權限，個人信息所有者不得不向網(wǎng)絡信息服務商主動提供個人信息。在這個特定的背景下，信息權利人的知情同意權失去了本來的意義，自主決定權也變成了子虛烏有的東西。網(wǎng)絡信息服務商和各類大數(shù)據(jù)掌控主體對個人信息數(shù)據(jù)的收集、處理和開發(fā)的期待值愈來愈高，集中體現(xiàn)在對已公開的個人數(shù)據(jù)的抓取、搶占、處理和使用上。民事法律制度規(guī)制的“已經(jīng)公開的個人信息”主要包括五個組成部分：一是個人信息權利人或個人信息主體自行公開的個人信息；二是黨政機關因管理職能需要對黨員干部、國家公職人員登記、備案、公示的個人信息；三是政府機關及相關職能部門以合法方式予以公開的個人信息；四是司法機關、執(zhí)法機關因執(zhí)行公務需要公開的特定人的個人信息；五是其他已經(jīng)合法公開的個人信息。譬如，政府機關公開的企業(yè)工商登記信息、司法裁判文書公開的信息通常都含有信息主體姓名、身份證號碼、手機號、所任職務等個人信息，個人信息處理者和信息開發(fā)者利用上述公開信息進行處理，向社會提供信息查詢的收費抑或免費服務，都可能因之而給信息權利人的人格尊嚴和個人權益造成侵害，進而引發(fā)意料不到的爭議和糾紛。為此，《中華人民共和國政府信息公開條例》同時對“個人信息不得公開”和“個人隱私豁免公開”進行了規(guī)制。最高人民法院對“不確定的法律概念”享有解釋權，在對公共利益的緊迫性、重大性進而約束隱私利益方面，人民法院一般傾向于尊重行政機關的判斷。《民法典》和《個人信息保護法》對已經(jīng)公開的個人信息的法律規(guī)范，通常是將其作為個人信息的一個專門類別予以規(guī)制。這些法律規(guī)制集中體現(xiàn)在《民法典》第一千零三十六條、《個人信息保護法》第十三條和第二十七條規(guī)定之中。這兩部法律從三個層次對已經(jīng)公開的個人信息作出規(guī)制：一是個人自行公開或以其他形式合法公開的個人信息；二是對公開個人信息的處理應掌控在“合理范圍”、不得“過度利用”；三是個人可以通過“明確拒絕”來反對個人信息處理行為。在審判實踐中人民法院認為，“搜索引擎”已成為當下司法實踐中一類新的、重要的“爭議類型”，當個人信息權利人提出刪除信息請求后，無論是“搜索引擎”還是“百度網(wǎng)盤”存儲的權利人的信息，信息處理者都應當責無旁貸地予以徹底刪除。近年來，由“百度”等搜索系統(tǒng)引發(fā)的侵權案件頻發(fā)，盡管審判實踐已經(jīng)推出不少這方面可供借鑒的判例，但由于《民法典》和《個人信息保護法》實施的時間還不太長，無論是司法人員、執(zhí)法者還是相關當事人，對法律條文及其構成要件的理解還遠遠沒有到位，因而至今未能形成較為一致的意見和共識。依法規(guī)范已經(jīng)公開的個人信息數(shù)據(jù)刻不容緩，在未來立法、司法解釋和法律適用的過程中，需要針對個人信息合法公開的不同情形，尤其要重視已經(jīng)公開的信息中體現(xiàn)的公共利益價值與個人利益之間的平衡關系，為完善我國已經(jīng)公開的個人信息保護和利用構建規(guī)則體系。

（三）信息處理者處理信息權利人個人信息的基本原則

合法、正當、必要和誠信是處理個人信息的基本原則。《個人信息保護法》第五條至第九條規(guī)定了個人信息處理必須遵循合法、正當、必要和誠信原則。在處理個人信息的時候，信息處理者無論如何不能違背這個原則，因為它是信息處理者處理個人信息的基本價值原則和價值判斷準則。誠信原則體現(xiàn)了社會主義核心價值觀的核心要義，是法的公平正義的具體體現(xiàn)，它要求信息處理者必須誠實信用地按照雙方約定處理個人信息 。需要指出的是，民事法律制度只是明確了信息權利人有權限制對個人信息的處理，并沒有對上述基本原則作出明確而清晰的界定和闡釋。黨的十九屆四中全會提出要建立健全運用大數(shù)據(jù)等技術手段進行行政管理的制度規(guī)則，“加強數(shù)據(jù)有序共享，依法保護個人信息”，并要求將“個人信息數(shù)據(jù)”納入諸如資本、土地等生產(chǎn)要素范疇，按要素的貢獻率決定報酬的機制①中共中央關于堅持和完善中國特色社會主義制度 推進國家治理體系和治理能力現(xiàn)代化若干重大問題的決定［N］.人民日報，2019-11-06（01）.，以利于形成更加完善、更加合理的生產(chǎn)要素體系。《法治政府建設實施綱要（2021—2025年）》提出要加強大數(shù)據(jù)領域的專門立法，凡以數(shù)據(jù)形式呈現(xiàn)的個人信息抑或未經(jīng)“匿名化處理”的個人信息數(shù)據(jù)，統(tǒng)一歸口由《個人信息保護法》予以規(guī)制。《網(wǎng)絡安全法》對網(wǎng)絡運營者、信息開發(fā)者處理個人信息進行了嚴格規(guī)制，突出強調(diào)網(wǎng)絡運營者收集、處理個人信息“應當經(jīng)被收集者同意”，不得收集與其提供的服務無關的個人信息，應當依照與用戶的事先約定處理其保存的個人信息。司法實踐證明“后法優(yōu)于前法”。《個人信息保護法》吸取了立法的經(jīng)驗教訓，在內(nèi)涵上作出了比以往法律更為確定、具體、明確的規(guī)制。需要指出的是，上述處理個人信息的“必要性原則”，源自法律的“比例原則”，個人信息處理行為反映了《民法典》“禁止過度”的基本原則和基本要求。在未來的個人信息處理實踐中，要倡導和踐行“適用必要性原則限制個人信息處理行為”，“個人信息處理的范圍、數(shù)量應當與該處理目的相匹配或成比例”②項定宜.個人信息處理必要性原則的規(guī)范體系研究［J］.北方法學，2021（5）：27-37.，以實現(xiàn)個人信息多元利益的綜合平衡。

（四）信息處理者依據(jù)處理不同的信息而承擔不同的義務

信息處理者負有“取得個人同意”和“明確告知”義務，這是信息處理者為訂立、履行、處理個人信息的契約所必需，為履行信息處理者的行為規(guī)范和法定職責所必需。黨政機關處理公民、黨員、黨員干部的個人信息，同樣應當履行“告知義務”，必須嚴格遵守國家法律、行政法規(guī)規(guī)定的權限和程序。民事法律制度和數(shù)據(jù)信息安全法律制度對信息處理者處理個人信息所應承擔的義務進行了嚴格規(guī)制，但由于《民法典》和《個人信息保護法》等法律沒有對個人信息收集者、個人信息儲存者、個人信息處理者、個人信息控制者作出明晰的界定，也沒有對個人信息處理者和國家機關信息處理者作出明確而合理的區(qū)分，因而法學理論界一般習慣地把它們統(tǒng)稱為個人信息處理者。由于信息權利人的個人信息權益并不像個人隱私權那樣屬于信息所有者的“絕對權”①《民法典》第九百九十九條明確規(guī)定，“為公共利益實施新聞報道、輿論監(jiān)督等行為的，可以合理使用民事主體的姓名、名稱、肖像、個人信息等”。，因而《個人信息保護法》第十三條在強調(diào)個人信息處理者處理個人信息需要取得個人同意的同時，還規(guī)定了信息處理者在沒有征得信息權利人同意的情況下，可以獨立處理相關個人信息的例外情形，概括起來共有七個方面的例外情形②七個方面的例外情形為：（1）為訂立、履行個人作為一方當事人的合同所必需；（2）按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；（3）為履行法定職責或者法定義務所必需；（4）為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；（5）為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息；（6）在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；（7）法律、行政法規(guī)規(guī)定的其他情形。。在處理個人信息的過程中，個人信息處理者只要有這七個方面例外情形之一的，就不需取得個人同意③《個人信息保護法》第十三條規(guī)定：“依照本法其他有關規(guī)定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規(guī)定情形的，不需取得個人同意”。。除了出現(xiàn)民事法律制度規(guī)定的例外情形和法定情形，個人信息處理者仍然要履行民事法律制度規(guī)制的義務規(guī)定和程序規(guī)定，向個人信息權利人或信息所有者履行明確告知義務。除此之外，個人信息處理者還應當自覺履行《個人信息保護法》規(guī)制的“特定義務”。譬如，拒絕任何未經(jīng)信息權利人授權同意的非法訪問，防范和杜絕個人信息被泄露、篡改和丟失④中華人民共和國個人信息保護法［N］.人民日報，2021-08-23（14）.。民事法律制度規(guī)定了對被侵權人權利救濟的方式，除了進行精神損害賠償，由于個人信息可以進行商業(yè)化利用，因而權利救濟可以采用財產(chǎn)救濟的方式進行，主要是進行財產(chǎn)損害賠償⑤白雅麗.政府信息公開案件隱私權問題的實證分析與完善思路［J］.法律適用，2020（5）：74-84.。

二、信息處理者處理個人信息的法定職責

（一）信息處理者對信息權利人人格權與人格權益保護負有同等職責

只有能夠獨立自主地決定信息處理目的、處理方式的組織或者個人，才是法律規(guī)制的信息處理者。按照他人策劃、組織、決定的信息處理目的、處理方式開展信息處理活動，只能說是受托處理個人信息的受托者。需要指出的是，無論是《民法典》，還是《個人信息保護法》，立法的宗旨和目的都不是為了解決信息權利人的自主決定權問題，而是為了“防范抽象的人格侵害或財產(chǎn)侵害的危險”⑥謝鴻飛.個人信息處理者對信息侵權下游損害的侵權責任［J］.法律適用，2022（1）：23-36.。除此之外，在海量的信息收集、儲存、處理實踐活動中，還有許多信息愛好者、志愿者和共同處理者參與其中。由民事法律制度規(guī)制的個人信息共同處理者指的是在處理個人信息問題上具有共同的意志和共同的行為，這也是判別和確認“共同處理者”的基本標準⑦程嘯.論個人信息共同處理者的民事責任［J］.法學家，2021（6）：17-29，191.。當然，《民法典》和《個人信息保護法》不只是規(guī)制了個人信息處理者對信息權利人人格權與人格權益的保護職責，事實上也作出了國家機關作為公權力信息處理者所應承擔的保護職責，兩者在保護信息權利人人格權與人格權益義務上具有高度的一致性。譬如，《個人信息保護法》第三十三條規(guī)定，“國家機關處理個人信息的活動，適用本法”，這就意味著即使國家機關行使公權力，同樣要接受《個人信息保護法》的規(guī)范和調(diào)適。國家機關處理公民個人信息行為分為兩大類：一類是公法關系中的個人信息處理，如政府機關依據(jù)法定權限、履行法定職責進行個人信息處理；另一類是私法關系中的個人信息處理，如政府機關訂立買賣、勞務、機關事務等委托合同。針對群眾反映強烈的“一攬子授權”“強制同意”等共性問題，民事法律制度規(guī)定個人信息處理者不得過度收集個人信息，不得以個人不同意為由拒絕提供產(chǎn)品或者服務，并賦予個人信息權利人“撤回同意”的權利①劉碩，白陽.“嚴”字當頭，提升個人信息保護法治化水平［N］.新華每日電訊，2021-08-24（08）.。盡管《個人信息保護法》對國家機關處理個人信息作出了“一法規(guī)制”“一體調(diào)整”的制度安排，但國家機關為履行法定職責，在行為性質(zhì)、歸責機制等諸多方面與個人信息處理者事實上存在著巨大的差異性。譬如，國家機關處理個人信息的活動具有行政性、高權性和強制性，其行為呈現(xiàn)典型的行政強制性特征，對國家機關處理個人信息活動的法律調(diào)控既要適用民事法律制度的基本規(guī)制框架，又要引入行政行為合法性分析框架，從權限合法、內(nèi)容合法、程序合法等維度，對行政機關處理個人信息的活動進行合法性管控調(diào)適，尤其要引入相應的行政法律職責和歸責機制②王錫鋅.行政機關處理個人信息活動的合法性分析框架［J］.比較法研究，2022（3）：92-108.。鑒于個人信息共同處理者在處理個人信息中所達成的“合意”，在確認對信息權利人人格權與人格權益保護職責以及造成侵害的時候，應當認定其為共同責任人，依據(jù)《民法典》第一千一百六十八條至第一千一百七十二條的規(guī)定承擔連帶責任。

（二）信息處理者對信息權利人公開信息的處理負有法定的保護職責

強化國家機關對信息權利人公開信息處理的保護職責。收集處理個人信息的專門機構以及個人信息處理者開展個人信息處理活動的目的只有一個，就是實現(xiàn)為廣大民眾提供個性化、便捷化的信息服務。黨政機關、行政職能部門處理個人信息的目的是履行其法定職責、服務民眾，適應黨政機關和行政職能部門工作的需要。各級政府的行政機關處理個人信息行為，由于具有顯著的高權性、強制性和服務性特征，因而政府機關處理個人信息通常并不以個人同意抑或授權為基礎。《個人信息保護法》第三十四條通過法律授權方式，把國家機關的法定職責擴展到包括國家法律、行政法規(guī)規(guī)定的職責范圍內(nèi)，可以說這種授權“依然是在法律保留原則的指引下展開的”，盡管《個人信息保護法》強調(diào)“一法規(guī)制”“一體調(diào)整”，但由于《個人信息保護法》的立法較為倉促，法律規(guī)范的相關內(nèi)容存在嚴重缺失，以至于法律規(guī)定的國家機關“適用本法”，不適當?shù)販S為“象征性立法”③王錫鋅.行政機關處理個人信息活動的合法性分析框架［J］.比較法研究，2022（3）：92-108.。由于政府信息網(wǎng)絡平臺是國家最大的個人信息收集、處理平臺，政府機關是最大的個人信息數(shù)據(jù)掌控者、處理者、發(fā)布者和使用者，在政府機關職責范圍內(nèi)對信息權利人公開信息的處理稍有不慎，抑或由于體制機制存在漏洞、工作環(huán)節(jié)上出現(xiàn)疏忽，往往會給信息權利人的人格權造成無法彌補的侵害，給信息權利人的人格權益造成難以估量的損失。因此，有必要從法律規(guī)范、體制機制、督查程序等方面，強化國家機關對信息權利人公開信息處理的保護職責。《個人信息保護法》對信息權利人已經(jīng)公開的信息予以保護的法源，既來自相關法律所提供的規(guī)范硬約束和國家機關履行保護職責的硬規(guī)定，還來自中華傳統(tǒng)法文化（尤其是“公序良俗”）的軟約束。《個人信息保護法》對信息權利人公開信息的處理活動具有規(guī)范和指引的作用，其功能不只是局限于通常所論及的權利與義務的一致性，還首次明晰了國家機關全方位保護信息權利人個人信息的職責，為信息權利人提供全方位的個人信息保護和多渠道的救濟方式。

（三）信息保護合規(guī)制度體系對信息處理者處理信息行為的監(jiān)督職責

強化大型信息數(shù)據(jù)處理平臺在個人信息保護中的責任。隨著強大網(wǎng)絡效應接踵而至的大型信息數(shù)據(jù)處理平臺，既可能利用自身獨占性的信息資源優(yōu)勢，采取不正當競爭手段對商業(yè)用戶實施“市場準入壁壘”，干擾和影響電子商務正常的競爭秩序；也可能憑借自身的信息資源優(yōu)勢地位侵害終端用戶的合法權益，阻礙和制約國家大數(shù)據(jù)的信息共享。為了強化大型信息數(shù)據(jù)處理平臺在個人信息保護中的責任，引導并督促其更好地發(fā)揮信息資源共享的作用，需要盡快建立健全個人信息保護合規(guī)制度體系，激活數(shù)據(jù)要素潛能，做強、做優(yōu)、做大數(shù)字經(jīng)濟①中共中央 國務院關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見［J］.中華人民共和國國務院公報，2023（1）：28-33.。《個人信息保護法》第五十八條規(guī)定，提供重要互聯(lián)網(wǎng)平臺服務的個人信息處理者，應當遵循公開、公平、公正的原則，依法依規(guī)制定互聯(lián)網(wǎng)信息平臺運作規(guī)則；依法明晰平臺內(nèi)部信息產(chǎn)品或者信息服務提供者，處理個人信息的規(guī)范和保護個人信息的義務；定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督。“守門人”應當成立“主要由外部成員組成的獨立機構”行使監(jiān)督權，因為只有不受企業(yè)利益牽連和約束的“獨立機構”，才有可能依法對個人信息保護狀況進行有效的監(jiān)督。如果把《個人信息保護法》第五十二條和第五十八條的規(guī)定一并進行比較分析，就會發(fā)現(xiàn)立法者的本意是要求“守門人”既要指定“個人信息保護負責人”，又要成立同信息處理與利用企業(yè)脫鉤的“獨立機構”，對個人信息的保護狀況進行實時監(jiān)督。盡管兩者的職能彼此存在一定的重疊，兩者關系也有待進一步厘清，但《個人信息保護法》第五十八條的規(guī)定確實具有重要的價值和意義。一方面，它對“重要互聯(lián)網(wǎng)平臺”作為特殊的個人信息處理者所應承擔的特殊義務作出了明確規(guī)制；另一方面，它對“重要互聯(lián)網(wǎng)平臺”作為特殊的個人信息處理者應履行的職責進行了規(guī)制。

三、信息處理者處理個人信息的侵權責任

（一）信息處理者侵犯個人信息行為的民事責任

民事責任規(guī)定對個人信息權益保護具有獨特的優(yōu)越性。《民法典》第一百二十七條規(guī)定，要依照有關規(guī)定對信息數(shù)據(jù)和網(wǎng)絡虛擬財產(chǎn)予以保護。這就從立法體系上為未來信息數(shù)據(jù)、網(wǎng)絡虛擬財產(chǎn)權屬的確立預留了立法空間，凸顯了《民法典》立法體系的前瞻性，完善數(shù)據(jù)權屬、對數(shù)據(jù)分類分級進行保護的立法精神和制度安排。《民法典》對侵害個人信息權益行為的規(guī)制方法是承擔民事責任，如第一千一百六十五條至第一千一百六十六條的規(guī)定就確定了信息處理者處理個人信息的“民事責任歸責原則”，其包括過錯責任原則、過錯推定原則和無過錯責任原則三種類型。就信息處理者侵犯個人信息行為的歸責而言，適用過錯推定原則和無過錯責任原則必須依照法律規(guī)定進行，即有法律特別規(guī)定的，才可以適用其歸責原則；法律沒有明確規(guī)定的，不可以適用其歸責原則②楊立新.個人信息處理者侵害個人信息權益的民事責任［J］.國家檢察官學院學報，2021（5）：38-54.。相比較而言，《個人信息保護法》的核心要義是要求國家對個人信息處理者大規(guī)模、持續(xù)性處理個人信息的行為進行法律控制，其目的在于控制信息處理者的信息處理活動，給信息權利人造成不應有的侵害風險，并且給人格權與人格權益受到侵害的個人提供法律救濟③王錫鋅.行政機關處理個人信息活動的合法性分析框架［J］.比較法研究，2022（3）：92-108.。《個人信息保護法》第六十九條對信息處理者保護個人信息權益的民事責任進行了規(guī)制，其規(guī)制的內(nèi)容和范圍相對于刑事責任、行政責任而言，民事責任的規(guī)定對個人信息權益保護更具有其獨特的優(yōu)越性。這主要體現(xiàn)在違法行為人承擔的民事責任，主要是向個人信息受害者承擔責任，制裁手段主要是經(jīng)濟財產(chǎn)賠償，將違法行為人承擔的財產(chǎn)責任直接對受到侵害的權利人給付，盡量填補其所遭受的損失①楊立新.個人信息處理者侵害個人信息權益的民事責任［J］.國家檢察官學院學報2021（5）：38-54.。因而，我國民事責任保護對私權利的救濟是最能體現(xiàn)法律公平公正、直接有效的救濟方式。在個人信息處理與利用中的“第三人”，可能通過不同路徑從信息處理者那里獲得信息權利人的信息，也可能通過非法入侵信息處理者的數(shù)據(jù)庫而獲得他人信息。無論是通過何種方式和手段獲得個人信息，其侵權行為都可能導致信息權利人遭受隱私權、生命權、社會歧視等人格權益損害和財產(chǎn)權損害。受害人訴請損害賠償?shù)幕A包括侵權責任、違約責任及個人與信息處理者的信托關系。侵害信息權利人個人信息權益已成為當下最普遍、最嚴重的一種侵權類型，第三人介入侵權就是一種最廣泛、最典型的侵權形式。當信息處理者與第三人合謀濫用信息權利人個人信息實施侵害時，其行為構成法律上的“共同侵權”責任，應當依據(jù)《民法典》第一千一百六十八條的規(guī)定承擔連帶責任。當信息處理者誘使抑或促成第三人實施侵權行為時，就要依據(jù)《民法典》第一千一百六十九條的規(guī)定，將其行為定性為“教唆、幫助他人實施侵權行為”，應當與行為人一起承擔連帶責任②謝鴻飛.個人信息處理者對信息侵權下游損害的侵權責任［J］.法律適用，2022（1）：23-36.。在現(xiàn)實生活中，信息權利人個人信息權益面臨的侵害風險源，既包括來自私人機構的信息處理者，也包括來自國家機關的信息處理者，這兩者都是大規(guī)模、持續(xù)性處理個人信息的處理者，因而民事法律制度對這兩種風險源進行了嚴格規(guī)制。信息處理者承擔侵權責任形式主要有停止侵權、賠禮道歉、消除影響抑或恢復名譽和賠償損失，侵權行為造成財產(chǎn)損失抑或嚴重精神損害，被侵權人向法院起訴的應當履行精神損害賠償。國家機關工作人員因公處理個人信息、執(zhí)法人員執(zhí)行公務造成被侵權人財產(chǎn)重大損失的，按照相關法律規(guī)定實行國家賠償。《個人信息保護法》還規(guī)定了個人信息共同處理的責任承擔方式，即個人信息處理者在共同處理個人信息的時候，給信息權利人個人信息權益造成損害的，應當依法承擔連帶責任。作為損害賠償責任保護對象的個人信息權益，在性質(zhì)上通常被認定為人格權益。共同處理者承擔的連帶責任，在這里指對處理個人信息造成的財產(chǎn)損害或精神損害的連帶賠償責任。共同處理者對共同處理個人信息中相互之間的權利義務的約定屬于內(nèi)部約定，共同處理者在向個人信息權益侵害的受害人承擔賠償責任后，適用《民法典》關于連帶賠償責任的追償與分攤的規(guī)定③程嘯.論個人信息共同處理者的民事責任［J］.法學家，2021（6）：17-29，191.。

（二）信息處理者侵犯個人信息行為的行政責任

行政責任規(guī)定是保護個人信息權益的重要法律方式。國家黨政領導機構、政府行政管理機構、司法機關的審判執(zhí)法機構都承擔著大量公民個人信息的分揀、處理職責和任務，它們是面最廣、量最大、最權威的個人信息處理機構和信息處理者。譬如，政府行政管理機構為履行法律賦予的法定職責，在處理政府公務和行政事務的過程中必然會涉及各方面信息所有者的個人信息；政府機關的公務員在執(zhí)行公務的活動中也必然會涉及行政權與相對人的權利關系問題。由民事法律制度規(guī)定的“相對人權利”是指公民在個人信息上所承載的權利和利益，包括憲法賦予公民的人格尊嚴、平等、通信秘密等方面的權利，民法賦予公民的個人隱私、人格權等方面的權利，行政法賦予公民的知情權、同意權、查詢權等程序性權利④王錫鋅.行政機關處理個人信息活動的合法性分析框架［J］.比較法研究，2022（3）：92-108.。無論是私人機構的個人信息處理，抑或是政府行政管理機構的個人信息處理，個人的私密信息適用隱私權保護規(guī)定，沒有規(guī)定的適用個人信息保護規(guī)定。對尚未合法公開的個人信息的處理遵循合法、正當、必要原則，《民法典》規(guī)定“不得過度處理”⑤中華人民共和國民法典［N］.人民日報，2020-06-02（01）.。在國家黨政領導機構、政府行政管理機構承擔行政職務的工作人員對因公知悉的個人隱私和個人信息，不得向他人非法有償提供抑或無償提供。《個人信息保護法》第六十六條對違法處理個人信息、未履行個人信息保護義務的違法行為，設定了行政處罰責任、信用監(jiān)管責任以及侵權賠償責任三種責任形式。譬如，其中的行政處罰責任就包括給予警告、沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務，對直接負責的主管人員和其他直接責任人員處以罰款，尚不構成犯罪的由公安機關沒收違法所得。互聯(lián)網(wǎng)信息數(shù)據(jù)平臺是信息權利人個人信息保護的關鍵環(huán)節(jié)，需要依據(jù)《網(wǎng)絡安全法》《數(shù)據(jù)安全法》的規(guī)制，為信息權利人個人信息保護承擔更多的法律義務。國家執(zhí)法部門和政府機關應當依法對互聯(lián)網(wǎng)信息數(shù)據(jù)平臺進行監(jiān)管，嚴肅對待違法處理個人信息的服務提供者。國家設立的各級網(wǎng)信部門要根據(jù)當?shù)貍€人信息保護工作的實際情況，在各自職責范圍內(nèi)承擔相應的個人信息保護和監(jiān)管、統(tǒng)籌協(xié)調(diào)等責任，提升信息數(shù)據(jù)網(wǎng)絡綜合治理能力和數(shù)據(jù)治理水平，助力網(wǎng)絡強國、數(shù)字中國、智慧社會建設①張?zhí)炫?織密個人信息保護的法治之網(wǎng)［N］.人民日報，2021-09-01（07）.。屬于國家機關不履行法律規(guī)定的個人信息保護義務的，由其上級機關責令改正，對直接負責的主管人員和其他直接責任人員給予處分；屬于國家機關工作人員玩忽職守、濫用職權，尚不構成犯罪的給予紀律處分抑或行政處分②中華人民共和國個人信息保護法［N］.人民日報，2021-08-23（14）.。應當肯定，行政責任對于保護自然人的個人信息權益是極為重要的一種法律方法。但是，需要指出的是，行政責任保護信息權益的出發(fā)點和落腳點是強制違法行為人向國家承擔法律責任，包括罰款、約談等行政舉措和刑罰等公法管制措施，并沒有給被侵害的信息權利人提供有效的救濟途徑，其罰款、罰金都是上繳國庫而非對受害人的給付。鑒于司法實踐對“未來損害”的認定持“相對保守”的態(tài)度，有必要提出和凸顯“損害的預防勝于損害補償”的執(zhí)法理念，明確重構數(shù)字經(jīng)濟時代信息侵權的“損害”要件，將風險損害以及人格減損等確認為法律上可予賠償?shù)膿p害③梁志文，劉曉.個人數(shù)據(jù)損害的類型及其確定［J］.吉首大學學報（社會科學版），2022（2）：72-83.。

（三）信息處理者侵犯個人信息行為的刑事責任

刑事責任規(guī)定是保護個人信息權益最有效的責任形式。近年來，信息數(shù)據(jù)被稱為驅(qū)動數(shù)字經(jīng)濟發(fā)展的新動能，其中最具價值的部分就是個人信息數(shù)據(jù)。與此相伴生的個人信息數(shù)據(jù)損害，就是指非法處理信息權利人個人數(shù)據(jù)的行為，造成信息權利主體的數(shù)據(jù)不安全狀態(tài)，致使其面臨人格減損、財產(chǎn)損失抑或承受相應的風險。追究刑事責任對于個人信息權益保護來說是最有效的責任形式和法律方法。但是也要看到，“重刑事處罰與行政監(jiān)管、輕民事確權與民事歸責”的個人數(shù)據(jù)法律保護手段在我國已經(jīng)形成了積重難返的慣性，執(zhí)法機關習慣于以行政監(jiān)管和刑事處罰的方式對情節(jié)嚴重的侵害個人數(shù)據(jù)行為予以規(guī)制④梁志文，劉曉.個人數(shù)據(jù)損害的類型及其確定［J］.吉首大學學報（社會科學版），2022（2）：72-83.。盡管這種公法監(jiān)管手段在一定程度上能夠震懾和預防侵害行為的發(fā)生，但它終究是具有一定局限性的、無法實現(xiàn)長效作用機制的處置手段。網(wǎng)絡的迅猛發(fā)展為公民發(fā)表意見提供了便捷的途徑，人民群眾的信息自由、言論自由得到了空前的法律保障。但是，社會上也有極少數(shù)人歪曲理解“信息自由”和“言論自由”，非法利用網(wǎng)絡傳播的快捷渠道，在互聯(lián)網(wǎng)上編造虛假信息和故意傳播虛假信息，嚴重地干擾了正常的生產(chǎn)生活秩序，必須利用法律進行規(guī)制和懲治。為此，《中華人民共和國刑法修正案（三）》增設了編造、故意傳播虛假恐怖信息罪。《中華人民共和國刑法》（以下簡稱為《刑法》）第二百九十一條之一規(guī)定對犯“編造、故意傳播虛假恐怖信息罪”，處三年以下有期徒刑、拘役或者管制；造成嚴重后果的，處三年以上七年以下有期徒刑；《刑法》把“編造、故意傳播虛假恐怖信息罪”的適用范圍，由人們的現(xiàn)實生活空間擴展到了網(wǎng)絡空間領域。《刑法》第二百五十三條之一規(guī)制了侵犯公民個人信息罪，違反國家有關規(guī)定向他人出售或者提供公民個人信息，情節(jié)嚴重的處三年以下有期徒刑或者拘役并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑并處罰金。國家機關公職人員在履行職責或者提供服務過程中，將獲得的公民個人信息出售或者提供給他人的，依照前款的規(guī)定從重處罰①法律出版社法規(guī)中心.中華人民共和國常用法律大全［M］.12版.北京：法律出版社，2019：1589.。

四、結 語

數(shù)字安全是數(shù)字中國建設和數(shù)字經(jīng)濟發(fā)展的重要基礎。當人類進入信息社會后，信息便成為維系社會生活的基本要素。信息時代與智能時代的首要特點是信息規(guī)模化、批量化，以網(wǎng)絡平臺為代表的運營主體因而獲取大量的個人信息。《民法典》在保護個人信息權益的同時，也設定了個人信息合理使用制度。個人信息權益面臨侵害的風險源主要來自私人機構和國家機關，二者都是大規(guī)模、持續(xù)性處理個人信息的處理者，需要對這兩種風險源進行法律規(guī)制。個人信息處理者之所以能夠成為法律上的特定主體，是因為預設的前提，即該主體有能力保護個人信息安全、防范個人信息風險。因而數(shù)據(jù)運營商必須嚴格遵守相關法律規(guī)制，承擔保護他人數(shù)據(jù)安全的法定責任②劉坤.數(shù)字時代，安全擔憂何時休［N］.光明日報，2022-08-11（15）.。《個人信息保護法》第六十九條規(guī)定了對個人信息權益保護的主要方法（即民事責任的法律保護）。相較于刑事責任、行政責任在保護個人信息權益中的地位和作用，民事責任的保護顯然更具優(yōu)越性。筆者認為侵犯公民個人信息罪的設置過于注重預防功能和個人信息分級分類制度，已經(jīng)成為司法裁量與應然規(guī)范出現(xiàn)偏離的重要原因。在全球網(wǎng)絡安全形勢不容樂觀、個人信息行政法保護體系和民法保護體系逐步完善的背景下，《刑法》未來完善侵犯公民個人信息罪的立法和修法方向應當高度重視調(diào)整定罪標準和細化敏感個人信息類型兩個方面③馮洋，李珂，張健.侵犯公民個人信息罪司法裁量的實證研究［J］.山東大學學報（哲學社會科學版），2023（1）：92-102.，侵犯公民個人信息罪的行為方式包括非法獲取、出售和提供信息服務。由于已公開個人信息具有識別特定自然人的功能，因而《刑法》同樣保護已經(jīng)公開的個人信息，其理論基礎源自“信息自決”原則④宋偉衛(wèi).處理已公開個人信息的刑法邊界［J］.吉林大學社會科學學報，2022（6）：71-82，232-233.。