個人信息立法保護研究

張廣旭

摘? ?要：隨著信息網絡行業的快速發展，個人信息侵權問題逐漸成為社會關注的焦點，信息安全面臨著前所未有的挑戰。2021年，我國《個人信息保護法》出臺，為個人信息保護建立了基本法律框架，但其中些許制度的具體細化要求尚未詳盡。因此，從我國個人信息保護立法現狀出發，對個人信息保護的立法體系、侵權損害賠償責任、信息收集與監管等方面問題進行探討，并提出建議，希望能為我國突破個人信息立法保護困境，推進我國數據信息行業蓬勃發展貢獻綿薄之力。

關鍵詞：個人信息；立法保護；行業自律

中圖分類號：D923.4? ? ? 文獻標志碼：A 文章編號：1673-291X（2023）08-0159-03

一、個人信息概述

（一）個人信息的概念

在《個人信息保護法》施行之前，我國對個人信息的界定主要是通過參考2021年施行的《民法典》第一千零三十四條，即個人信息是以電子或者其他方式記錄的，能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期……這是《民法典》第一次將個人信息界定為一項民事權益進行保障。隨后，2021年11月我國正式施行《個人信息保護法》，其中第四條進一步明確了個人信息的概念：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。第四條規定的個人信息概念綜合考慮了個人信息的識別性和相關性。與《民法典》中對個人信息概念的規定相比，《個人信息保護法》增加了“不包括匿名化處理后的信息”這一內容，將匿名化的個人信息排除在了個人信息范圍之外，對個人信息的定義進行了更加精細的規定，為其保護提供了更為明確的要求。

（二）個人信息的法律屬性

當前我國學界關于個人信息的法律屬性存在多種學說，具體而言包括下列幾種。

1.財產權說。信息網絡社會的飛速發展對這一學說影響較大。具體來說，大數據推送技術應用的推廣，使個人信息逐漸演變為一種新型“商品”，個人信息顯示出其潛在的經濟利益，其具有的財產權益被嚴重侵犯。所以在學術界中，一些學者認為個人信息所體現出的財產屬性應作為個人信息立法保護的重點，應賦予個人信息主體財產權，使其能實現對經濟利益占有、使用、處分的權利。

2.人格權說。支持人格權說的學者認為，個人信息與信息主體的聯系十分緊密，因為在多數個人信息被侵犯的案件中，信息主體的人格權益也受到了一定程度的損害，所以個人信息權益中應包含人格尊嚴與人格自由的屬性。王利明教授認為，個人信息權益應定義為信息主體依法對其個人信息所享有的支配、控制并排除他人侵害的權利[1]。個人信息保護應以保障人格的尊嚴與平等為目的，確保信息主體具有支配的權利。若將其認定為財產權法律屬性，則必定會對信息主體的人格平等造成傷害[2]。

3.綜合權利說。綜合權利說認為，個人信息既具備人格利益屬性，又具備財產利益屬性。這是折中的學說。綜合權利說認為，當個人信息權益受到侵犯時，信息主體只有尋求了人格權與財產權的雙重救濟，才能最大限度保障自身利益。

二、個人信息的國內外立法現狀

（一）美國的個人信息保護模式

美國是將個人信息劃分到隱私權所涵蓋的領域內進行保護的。由于美國立法體制的復雜性，對于個人信息的保護采取分散立法模式。例如，美國有關個人信息保護的法律規范不僅在公私部門之間存在區分，而且在聯邦政府和各州立法之間也有不同之處；在憲法領域美國以判例法的形式體現隱私權，而在聯邦立法層面則以成文法的形式對隱私權的一些私法領域進行規范。這種分散立法模式使美國的隱私權保護體制更似網形構造，美國學者將這種保護體制比喻為“變色龍”。這種體制使美國個人信息保護問題能夠得到更靈活、更全面的解決方式。美國對于個人信息的保護還采用了行業自律模式，即行業協會依據各行業的特征來制定行業規范、行業公約，以此來規范行業內部信息收集、處理行為。與法律規范相比，行業自律模式減少了執法成本，提高了社會治理水平，基于其靈活性，能夠更有針對性地應對行業中個人信息保護問題的新情況。

（二）歐盟個人信息保護模式

歐盟采用了統一立法模式對個人信息進行保護。這種模式通過在個人信息領域建立統一法律標準，使得個人信息的法律保護更加明確。歐盟對個人信息的保護起始于《歐盟數據保護指令》。但在近20余年中，互聯網行業突飛猛進的發展，使《歐盟數據保護指令》在一些基礎概念規定、自身法律效力級別等方面的問題愈加明顯，難以再應對個人信息的新變化。2018年，歐盟出臺《通用數據保護條例》，確立歐洲地區個人信息保護的標準，將個人信息保護問題再次提升至重要地位。相比于《歐盟數據保護指令》，《條例》的適用范圍有了顯著的擴大。尤其值得一提的是，《條例》增設了被遺忘權、知情同意原則等規定，為當時我國的個人信息保護立法提供了可資借鑒的經驗。具體而言，《條例》中明確的被遺忘權，是指對于發布在網絡上的不當的、繼續保留會降低評價的信息，信息主體要求信息控制者刪除的權利[3]。被遺忘權的增設使信息主體能自由控制個人信息，維護了公民的隱私與名譽，加強了人格利益的保護。知情同意原則是指，互聯網信息收集者在收集信息時要告知信息主體收集的范圍、收集的目的和收集的方式，并且要經過信息主體的同意，得到授權之后才能使用公民個人的基本信息[4]。知情同意原則有力保障了信息收集時信息主體的知情權和同意權，防止了個人信息被非法獲取。

（三）中國個人信息保護模式

我國早在多部特別法中就對個人信息進行了規定，最早可溯源于2000年通過的《全國人民代表大會常務委員會關于維護互聯網安全的決定》《互聯網電子公告服務管理規定》。至今，我國包含有關個人信息保護條款的法律有50部，行政法規有79部，部門規章有160余部[5]。2021年出臺的《個人信息保護法》是我國個人信息領域的專門法，通過該法建立了完善的個人信息保護制度。此法對個人信息保護領域做出了統一規定，并將個人信息保護上升到憲法高度，明確了個人信息保護的憲法基礎。對于《民法典》中有關個人信息的基礎概念、相關權利和義務規定存在的不足，《個人信息保護法》作出了更加合理的修改和完善[6]。以信息主體相關權利方面的補充為例，其規定了信息主體的知情權、刪除權、查閱復制權等權利，構造了權利保障的基礎框架。我國在個人信息保護領域的當務之急是出臺《個人信息保護法》規定制度的具體落實細則，加快相應司法解釋制定。

三、我國個人信息保護存在的問題

（一）個人信息立法體系方面

雖然我國已出臺《個人信息保護法》，但是除《個人信息保護法》外，絕大多數與個人信息保護相關的規定零散存在于我國幾百部法律法規文件之中。分析整理這些文件不難發現其中不足。一方面，這些法律法規中的多數個人信息規定較為粗糙，條款間相似度與重復度高、原則性條款與概括性條款規定過多，在實務中適用性較弱。另一方面，各法律法規間法律關系不明確，未形成緊密、有序的法律體系。例如，自《個人信息保護法》出臺后，實務界、學術界對《個人保護法》與以《民法典》為代表的各部門法之間的關系飽存爭議。

（二）侵犯個人信息權益的精神損害賠償方面

《個人信息保護法》第六十九條規定：處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。該條對個人信息侵權損害賠償責任進行了規定，即適用過錯推定責任；此外，該條第二款還明確了侵權損害賠償數額計算原則，彌補了之前個人信息保護對侵權規則和賠償數額規定的不足，降低了個人信息侵權案件中被侵權人的舉證難度。但是隨著大數據行業的快速發展，個人信息的敏感度逐漸增強，在一些侵犯個人信息的案件中，被泄露個人信息的主體往往會產生擔心、焦慮，甚至恐懼的精神心理。所以，侵犯個人信息權益也會給被侵權人造成精神損害。以“徐玉玉電信詐騙案”為例，家庭貧困的徐玉玉因錄取信息泄露，被詐騙走學費，傷心欲絕，精神受到嚴重痛苦，最終死亡。在該類案件中，因個人信息被侵犯受到的精神損害的情況并未明確規定在第六十九條。由此產生一個問題：對于因個人信息侵權行為產生的精神損害賠償是否屬于第六十九條“損害”的范圍？第六十九條是否為個人信息侵權案件中信息主體請求精神損害賠償的法律依據？學界對此爭議較大。

（三）個人信息收集、監管環節方面

在個人信息的收集環節，信息收集者收集個人信息應以知情同意原則為依據，即信息收集者在收集個人信息時，應當對信息主體被收集、處理和利用的有關個人信息情況進行充分的告知，并征得其明確同意[7]。但是在數字社會，與信息收集者相比，信息主體明顯處于劣勢地位，對個人信息的控制能力也更弱一些，多數情況下個人信息的收集并非出于信息主體的自愿。《個人信息保護法》中雖然明確規定了知情同意原則，但是對于知情同意原則適用的具體細節卻并未做出要求，使得實踐中的知情同意原則失靈。在監管環節，無論是政府還是公司企業對其收集、保管的個人信息監管均存在不足。一方面，在對個人信息的管理上缺乏規范制度，各行業均缺少根據行業特點制定的個人信息保護機制；另一方面，信息網絡的快速發展也使得個人信息保護的執法成本增高，以至監管壓力越來越大。

四、完善我國個人信息立法保護的建議

（一）完善個人信息立法保護體系。

一方面要整合現有的法律法規。針對前文提到的個人信息立法不夠細化、相似度與重復度高的問題，立法者應對不合適的法律法規進行修改與清理。各地方立法者應因地制宜，在不違反上位法的前提下，結合地方歷史傳統、風俗習慣、經濟水平等實際情況制定體現地方特色的個人信息保護法律規范，避免一味照搬照抄上位法。另一方面要健全立法體系內個人信息保護法律規范銜接。對此，立法者可以《個人信息保護法》為核心，與整合的相關法律法規形成完善的個人信息立法保護系統。尤其要注重解決在法律適用等方面的矛盾，考慮各部法律、法規間的兼容，實現個人信息保護法律規范緊密、有序銜接。

（二）理清侵犯個人信息權益的精神損害賠償責任

對于《個人信息保護法》第六十九條的規定是否包含個人信息侵權的精神損害賠償責任，學術界分為肯定說與否定說。肯定說認為，當個人信息權益受到侵犯時，被侵權人既可獲得財產損害賠償，又可獲得精神損害賠償；而否定說卻認為，第六十九條并未規定該責任。但在是否可以請求精神損害賠償這一問題上，我國學者均認為被侵權人可以請求精神損害賠償。對于該精神損害賠償請求權的法律依據，筆者支持程嘯教授的觀點，認為可以適用第六十九條的規定。第六十九條在措辭上選擇使用的是“損失”一詞，而未如《民法典》第一千一百八十二條那樣使用“財產損失”的表述，所以損失既包括財產損失也包括精神損失[8]。因此，被侵權人可以第六十九條為個人信息侵權案件中精神損害賠償請求權為法律依據。

（三）優化知情同意原則，推動行業自律模式

一方面，應增強知情同意原則的可操作性，優化知情同意機制。在收集信息時，應完善信息收集者的告知義務，對個人信息的收集目的、使用范圍、后期信息的處理等內容要以簡單明了、突出重點的形式告知信息主體。對不同年齡的信息主體的信息采集方式要加以區分，做到與其年齡、理解能力相匹配。還可以嘗試建立層級化、動態化信息收集模式，將個人信息根據敏感程度分級處理。在優化知情同意原則同時，還應明確與知情同意原則相關的刪除權的規定。我國對于信息主體刪除權的細化可以參考歐盟個人信息保護中被遺忘權的相關規定，圍繞此權利的主體、客體、內容及適用范圍等方面明確具體要求。

另一方面，對于個人信息監管難題，可以嘗試引入行業自律模式。行業協會作為自律組織進行自我管理擁有十分悠久的歷史，如今在很多領域的應用都極為普遍[9]。行業協會更了解行業內經營規則，所以可以根據對個人信息收集處理的不同情況，制定更有針對性的自律規定。由于自律規定是行業內部多方充分協商與讓步的結果，權衡了各方利益，所以會得到行業內部經營者更多的認可。行業自律模式可依據對行業實際情況的了解與經驗積累，實現以比政府更高的執行效力和更低的成本保護個人信息[10]。

在萬物互聯的數字時代，我們在享受信息數據經濟紅利的同時，也要保障好公民個人信息的權益，落實好個人信息的立法保護。通過完善個人信息保護的立法體系、健全侵權救濟責任、將個人信息的監管權利讓渡行業進行自我管理、保障知情同意原則的有效實施等措施，解決侵害個人信息權益的問題，為個人信息保護構筑堅實的法律屏障。

參考文獻：

[1]? ?王利明.人格權法研究[M].北京：中國人民大學出版社，2012：611.

[2]? ?王利明．論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J].現代法學，2013，（4）：62-72.

[3]? ?楊立新，韓煦.被遺忘權的中國本土化及法律適用[J].法律適用，2015，（2）：24-34.

[4]? ?李雪峰.個人信息保護中知情同意原則的困境和應對措施[J].法制博覽，2022，（6）：33.

[5]? ?威科先行法律信息庫[EB/OL].（2019-05-07）[2022-08-08].https：//law.wkinfo.com.cn/legislation/list？simple

[6]? ?龍衛球.《個人信息保護法》的基本法定位與保護功能——基于新法體系形成及其展開的分析[J].現代法學，2021，（5）.

[7]? ?張新寶.個人信息收集：告知同意原則適用的限制[J].比較法研究，2016，（6）.

[8]? ?程嘯.侵害個人信息權益的侵權責任[J].中國法律評論，2021，（5）：59-69.

[9]? ?劉張君.金融管制放松條件下銀行自律研究[M].北京：中國金融出版社，2009：82-83.

[10]? ?張繼紅.大數據時代個人信息保護行業自律的困境與出路[J].財經法學，2018，（6）.

[責任編輯? ?興? ?華]