文/程嘯

隨著網(wǎng)絡信息技術(shù)的高速發(fā)展，個人信息的保護及其與信息自由、公共利益的關(guān)系成為現(xiàn)代各國法律中備受關(guān)注的問題。我國個人信息的法律保護經(jīng)歷了從以公法保護為主到日益重視私法保護的發(fā)展歷程。

我國最高立法機關(guān)正在加緊編纂民法典各分編?！叭烁駲?quán)編”草案就個人信息作出了較為詳細的規(guī)定，充分說明了最高立法機關(guān)對個人信息民法保護的高度重視。

然而，由于理論界對于個人信息有無必要通過私法加以保護以及在民法典中如何規(guī)定個人信息保護等問題，仍然存在不同的認識。因此，在我國民法典編纂時，首先需要解決的一個問題就是，個人信息的私法保護究竟有何作用。如果完全可以通過公法保護，則民法典就沒有必要對個人信息保護作出規(guī)定。即便現(xiàn)行的公法規(guī)范不完善，也可通過《個人信息保護法》《數(shù)據(jù)安全法》等單行立法加以完善。倘若個人信息的民法保護很重要，值得進一步討論的是，民法典應當怎樣對個人信息作出規(guī)定，如民法典是否應當確立作為一種新型人格權(quán)的個人信息權(quán)，個人信息被侵害時民法典能夠提供何種救濟等。本文將對上述問題進行一些粗淺的探討。

個人信息私法保護的功能與意義

（一）個人信息的私法保護面臨的挑戰(zhàn)與公法保護的作用

隨著信息網(wǎng)絡科技尤其是大數(shù)據(jù)與人工智能的發(fā)展，個人信息的產(chǎn)生、收集、存儲和利用等方面發(fā)生了巨大的變化。

首先，個人信息的范圍越來越廣，種類也越來越多。一方面，有一些雖然本身不足以識別特定自然人但與其他信息結(jié)合后就能識別出特定自然人的信息，如愛好、習慣、興趣等；另一方面，產(chǎn)生了各種新型個人信息，如通信記錄和內(nèi)容、個人生物基因信息、網(wǎng)絡交易信息等。

其次，現(xiàn)代網(wǎng)絡信息技術(shù)，如Cookie技術(shù)和各種傳感器可以自動地收集與存儲個人信息。這就產(chǎn)生了各種新情況和新問題，如犯罪分子利用非法取得的個人信息對受害人進行精準詐騙的問題。

在這種情形下，傳統(tǒng)民法的人格權(quán)與侵權(quán)責任制度已難以滿足有效保護個人信息、維護自然人人身財產(chǎn)安全的需要。因此，個人信息保護的立法才從公法開始：一方面，對收集、存儲、分析、使用個人信息的行為予以詳細嚴格地管理；另一方面，行政機關(guān)可以借助《反壟斷法》《個人信息保護法》《消費者權(quán)益保護法》等法律對各種算法壟斷、侵害消費者權(quán)益的定價算法予以規(guī)制，維護市場秩序，保護自然人不因個人信息被濫用而遭受損害。

（二）個人信息的私法保護的作用

盡管傳統(tǒng)民法在個人信息保護上遭遇了新的挑戰(zhàn)，且公法對于保護個人信息具有很重要的作用，但仍需重視個人信息私法保護的作用和意義。

首先，個人信息保護的最終目的是維護自然人的合法權(quán)益。通過賦予自然人對個人信息享有民事權(quán)益，不僅能夠保護自然人既有的人身、財產(chǎn)等民事權(quán)益，還可以避免其他新型侵害行為，同時能夠使廣大自然人更加重視該權(quán)益。國家機關(guān)不可能發(fā)現(xiàn)并查處每一個侵害個人信息的違法行為。況且，即便進行了懲處，也不等于就填補了受害人的損害。其次，民法上對自然人個人信息的保護作出規(guī)定，充分表明了在任何個人信息保護與數(shù)據(jù)權(quán)屬的立法中都應始終關(guān)注自然人的民事權(quán)益保護與信息自由（信息的流動、共享與利用）這兩個法律價值的權(quán)衡與協(xié)調(diào)。再次，從比較法上來看，各國都是綜合利用公法與私法來實現(xiàn)對個人信息的有效保護。最后，反對個人信息的私法保護的學者認為，承認個人信息的民法保護就等于在民法上將自然人對個人信息的權(quán)利界定為絕對權(quán)和支配權(quán)。但筆者認為，這種觀點是一種誤讀誤解。因為承認個人信息的民法保護，并不當然意味著民法上就要承認自然人對個人信息的權(quán)利，更不等于必須將自然人對個人信息的權(quán)利界定為如同所有權(quán)那樣的絕對權(quán)與支配權(quán)。

綜上所述，現(xiàn)代法律對個人信息的保護應當采取公法與私法并重的綜合性保護方法，二者不可偏廢。

（三）民法典規(guī)定個人信息保護的重要意義

當前，我國正在進行民法典分編的編纂工作，2018年8月27日至31日召開的第十三屆全國人大常委會第五次會議第一次審議的民法典各分編草案中的“人格權(quán)編”（以下簡稱“人格權(quán)編草案一審稿”）將個人信息與隱私權(quán)合并規(guī)定在第六章“隱私權(quán)和個人信息”中。

2019年4月第十三屆全國人大常委會第十次會議第二次審議的民法典人格權(quán)編草案（以下簡稱“人格權(quán)編草案二審稿”），將一審稿第六章的章名從“隱私權(quán)和個人信息”修改為“隱私權(quán)和個人信息保護”，表明了立法者強化個人信息保護的立場。

筆者認為，我國民法典人格權(quán)編草案對個人信息保護的問題作出相應的規(guī)定，具有重要意義。一方面，在民法典中規(guī)定個人信息保護，明確自然人對個人信息享受保護的權(quán)利，可以為公法對任何組織和個人收集、存儲、保管、分析和使用個人信息的行為加以規(guī)制，確定相應的義務，并對違反規(guī)定的行為進行處罰奠定堅實的基礎，這是對《憲法》保護公民人身自由和人格尊嚴的基本權(quán)利規(guī)定的貫徹落實。另一方面，民法典中規(guī)定個人信息保護，有利于構(gòu)建一個科學合理的個人信息保護的法律體系：既可以為《個人信息保護法》《數(shù)據(jù)安全法》等法律的制定提供基本的依據(jù)，也可以為《電子商務法》《消費者權(quán)益保護法》等法律以及《征信條例》等行政法規(guī)和部門規(guī)章的修訂提供規(guī)范基礎。

從目前我國民法典人格權(quán)編草案的兩次審議稿來看，其對個人信息保護的規(guī)定有以下兩個特點：其一，明確承認個人信息屬于受保護的人格權(quán)益，并在人格權(quán)編中對個人信息保護作出規(guī)定；其二，人格權(quán)編草案主要是對個人信息保護的基本原則，相關(guān)主體的基本義務等作出了規(guī)定。

個人信息上的民事權(quán)益之界定

（一）對《民法總則》第111條的理解

在許多學者看來，個人信息的民法保護涉及的核心問題就是：自然人對個人信息享有的究竟是民事權(quán)利抑或僅僅是受保護的民事利益。而圍繞該問題的爭議集中體現(xiàn)在對《民法總則》第111條的解釋之上。

筆者認為，從法解釋的角度來看，難以得出《民法總則》第111條確立了自然人對個人信息享有民事權(quán)利即個人信息權(quán)的結(jié)論：

首先，我國人格權(quán)法的主流觀點認為，人格權(quán)應當采取人格權(quán)法定主義的立場。《民法總則》第111條未使用“個人信息權(quán)”的表述，足以表明，立法者只是認為自然人的個人信息應受到法律的保護，而不是一種具體人格權(quán)。

其次，《侵權(quán)責任法》第2條、《民法總則》第120條將侵權(quán)法保護的范圍界定為民事權(quán)益，即“人身、財產(chǎn)權(quán)益”?！睹穹倓t》第五章正是對我國侵權(quán)法保護的民事權(quán)益按照權(quán)益的位階加以排序后的最詳盡描述。因此，不能僅從《民法總則》第五章的章名為“民事權(quán)利”就得出凡是規(guī)定在這一章的都是民事權(quán)利的結(jié)論。

最后，由于個人信息在具體人格權(quán)的規(guī)定（第110條）之后，身份權(quán)、財產(chǎn)權(quán)（第112條以下）之前。故此，從體系解釋的角度上說，可以認為，立法者更傾向于將個人信息作為一種需要保護的人格利益?！睹穹倓t》第111條第2句的規(guī)定也可驗證，因為該句是從其他民事主體對自然人的個人信息負有保護的義務的角度作出的規(guī)定。至于這些個人信息保護義務的具體類型和內(nèi)容，則應交由相關(guān)特殊法加以明確。這就從另一個側(cè)面說明了立法者就沒有在民法典中確立個人信息權(quán)。

（二）研究自然人對個人信息的民事權(quán)益的兩個視角

事實上，研究自然人對個人信息究竟享有何種民事權(quán)益的問題，有以下兩個視角：一是，自然人對個人信息究竟享有何種值得法律予以保護的獨立的利益，即利益的視角；二是，民法在自然人的個人信息被侵害時為其提供何種救濟手段，即救濟的視角。

1.利益的視角

在民法上，無論是通過成文法創(chuàng)設權(quán)利，還是通過為受侵害的利益提供救濟來保護某種利益，都需要考慮以下因素：首先，該利益是否為一種合法的且有必要從法律上加以保護的利益；其次，即便該利益是合法的且法律有保護的必要性，也必須考慮其是否能夠為現(xiàn)有的民事權(quán)益體系所涵蓋。最后，必須考慮各種沖突價值之間的協(xié)調(diào)問題，尤其是要權(quán)衡權(quán)益的保護與合理行為自由的維護之間的沖突。

一方面，人通過與他人社會交往從而形成各種人身關(guān)系與財產(chǎn)關(guān)系。在交往的過程中，必須通過個人信息來互相識別。另一方面，個人信息本身具有全時性、無形性的特點，且信息僅在交流時才具有意義。因此，民法對個人信息的保護不能也不應使自然人個體對個人信息享有絕對的排他的支配。

排除在個人信息之上已為其他民事權(quán)利所保護的附著利益后，自然人對個人信息是否還享有某種獨立的、應受保護的利益呢？對此，筆者認為，為了防止因個人信息被非法收集或利用而產(chǎn)生的各種侵害自然人的人格尊嚴、妨害人格自由，以及損害自然人既有的人格權(quán)與財產(chǎn)權(quán)的特殊危險，現(xiàn)代社會的個人信息上還附著著一種應當受到保護的防御性或保護性利益，即自然人針對個人信息還享有防止因個人信息被非法收集、泄露、買賣或利用而導致其既有人身、財產(chǎn)權(quán)益遭受侵害甚至人格尊嚴、個人自由受到損害的利益。該利益既無法為現(xiàn)有的人格權(quán)等民事權(quán)利所涵蓋，又屬于法律上有保護之必要的合法利益。

這些特殊危險至少包括：其一，因個人信息被非法收集、非法買賣或使用而使犯罪分子有機會對自然人既有的生命權(quán)、健康權(quán)、名譽權(quán)、隱私權(quán)等人格權(quán)以及債權(quán)、物權(quán)等民事權(quán)利實施侵害；其二，基于被合法收集的個人信息而形成的大數(shù)據(jù)，通過算法等技術(shù)進行社會分選、歧視性對待，進而損害人格尊嚴的危險；其三，通過大數(shù)據(jù)和人工智能技術(shù)進行人格畫像，將作為民事主體的自然人降格為客體并加以操控，進而損害人格自由等。為了消除上述各種新的危險，法律上必須承認自然人對個人信息具有一種防御性的利益，并給予保護。故此，從利益的角度分析，自然人對個人信息擁有獨立的、無法為既有民事權(quán)益涵蓋的、應受到法律保護的利益。

2.救濟的視角

在肯定了自然人對其個人信息存在有保護之必要的獨立利益之后，需要討論的是對該利益究竟應給予何種救濟方法，因為，救濟的方法從反面論證了自然人對個人信息之獨立的應受到保護的利益究竟是一種權(quán)利抑或只是應受保護的利益。

如前所述，自然人對個人信息的自主利益只是一種防御性利益。民法上應當采取以下兩方面的保護：一方面，賦予自然人對個人信息的某些控制性的權(quán)能，來實現(xiàn)自然人對個人信息在特定場合的控制與支配，進而防止個人信息被侵害；另一方面，通過引入公法上的個人信息保護性法律規(guī)范確定侵害個人信息行為的違法性。

事實上，從我國現(xiàn)行個人信息保護立法來看，采取的正是這一思路。首先，《網(wǎng)絡安全法》《征信業(yè)條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律賦予了自然人對個人信息的一定的支配權(quán)能。其次，《民法總則》第111條、《網(wǎng)絡安全法》第74條第1款統(tǒng)一規(guī)定“非法收集、使用、加工、傳輸他人個人信息”的行為或“非法買賣、提供或者公開他人個人信息”的行為，這就使得在判斷侵害個人信息的侵權(quán)責任成立與否之時，從加害行為的認定和過錯的認定上，都必須要考慮已有的保護個人信息的法律規(guī)范。

人格權(quán)編草案中個人信息保護規(guī)定的完善

（一）個人信息保護的單獨成章

無論是民法典人格權(quán)編草案的一審稿還是二審稿，都將個人信息保護與隱私權(quán)規(guī)定在一起，組成了該編的第六章。這種立法上的體例安排顯示了立法者認為隱私權(quán)與個人信息保護具有極為密切的聯(lián)系。

但自《民法通則》始，我國法上確立的人格權(quán)主要是具體的人格權(quán)。在我國法上，隱私權(quán)并非美國法上隱私權(quán)那樣包羅萬象。依照此種人格權(quán)的立法傳統(tǒng)，在我國民法典中也應區(qū)分隱私權(quán)與個人信息保護，不應將二者合并規(guī)定。

目前，人格權(quán)編草案合并規(guī)定隱私權(quán)與個人信息保護將產(chǎn)生兩個弊端。其一，不符合《民法總則》確立的民事權(quán)益的體系以及民法上將個人信息作為手段性權(quán)利或工具性權(quán)利給與保護的立法初衷?！睹穹倓t》第五章“民事權(quán)利”就人格權(quán)益的規(guī)定采取的模式是，先規(guī)定一般人格權(quán)，再規(guī)定具體人格權(quán)，最后才是規(guī)定個人信息。因此，人格權(quán)編將隱私權(quán)與個人信息合并規(guī)定，顯然與《民法總則》確立的人格權(quán)益體系不相符合。其二，容易模糊隱私權(quán)與個人信息的性質(zhì)和法律保護方法。在我國法上已經(jīng)明確地將隱私權(quán)規(guī)定為一項獨立的人格權(quán)。對于作為具體人格權(quán)的隱私權(quán)，法律上給予的保護密度或強度明顯強于其對個人信息的保護。故此，將隱私權(quán)與個人信息合并規(guī)定在一章，容易導致在司法實踐中抹殺二者的不同，而給與二者同等程度的保護。

（二）侵害個人信息民事責任的具體完善

目前的民法典人格權(quán)編草案涉及個人信息保護的條文缺乏對侵害個人信息民事責任的具體規(guī)定。因此，民法典人格權(quán)編還應當對侵害個人信息的民事責任的歸責原則、構(gòu)成要件、侵權(quán)責任的承擔方式等作出更加具體的規(guī)定。這是因為，沒有救濟，就沒有權(quán)利。民法對個人信息的保護不同于公法保護的關(guān)鍵在于個人信息被侵害時提供相應的救濟。而將個人信息保護的行為義務的具體規(guī)范交由個人信息保護法明確，從而使二者相互配合，協(xié)力實現(xiàn)保護個人信息的立法目的。

不過，由于我國民法典中侵權(quán)責任與人格權(quán)均獨立成編，如此一來，就會產(chǎn)生侵害個人信息的民事責任究竟應規(guī)定在人格權(quán)編還是侵權(quán)責任編的問題。

筆者認為，有些學者將人格權(quán)編定位為權(quán)利法，侵權(quán)責任編定位為救濟法的觀點，值得贊同。但這種對人格權(quán)編與侵權(quán)責任編總體定位上的區(qū)隔，并不妨礙在人格權(quán)編就侵害個人信息的侵權(quán)責任作出規(guī)定。一方面，侵害個人信息的侵權(quán)責任無法通過侵權(quán)責任編的引致性規(guī)范對其給予相應的保護?？墒?，如果在民法典侵權(quán)責任編中單獨對侵害個人信息的民事責任作出規(guī)定，又會破壞侵權(quán)責任編的體系。因侵害個人信息的侵權(quán)責任是建立在個人信息保護的基本原則和相對人義務的基礎之上的，而鑒于人格權(quán)編已經(jīng)對個人信息保護的基本原則、主體和相對人的義務作出了規(guī)定，故此，由其緊接著對侵害個人信息的民事責任作出規(guī)定，從體系上來說也更為協(xié)調(diào)。尤其是在人格權(quán)編草案已經(jīng)對侵害個人信息的侵權(quán)責任的特殊免責事由作出了規(guī)定的情況下，繼續(xù)作出更完善的規(guī)定，更有必要。另一方面，侵害個人信息的民事責任有其特殊之處，無法適用侵權(quán)責任編的一般規(guī)定。對于侵害個人信息的損害賠償?shù)姆秶ㄓ绕涫秦敭a(chǎn)損害）難以認定，是否需要對法定數(shù)額賠償（獲益返還可以適用侵權(quán)責任編的規(guī)定，無須重復規(guī)定）、精神損害賠償以及懲罰性賠償進行規(guī)定，也值得考慮。此外，侵害個人信息時的消除危險、排除妨害等請求權(quán)如何適用，同樣需要在民法典中作出相應的規(guī)定。