周云云

（安徽財經大學 法學院，安徽 蚌埠 233030）

一、問題的提出

信息技術的飛速發(fā)展，令信息的應用和傳播也發(fā)生變化，從紙質資料到數據資料庫，數據查找越來越快捷。 當信息技術與個人信息相結合，個人信息的處理和傳遞方式實現了一次質的變化，個人信息被大量規(guī)模化、專業(yè)化處理。 個人信息每時每刻都在被收集、流通和使用，“信息化”趨勢與日俱增，給個人和社會的方方面面帶來了極大影響。 然而，這些影響中，有相當一部分是負面的，個人信息的保護已經成為信息時代最為突出的問題。 目前，我國《民法典》已正式頒布，《民法典》作為社會的基本法，致力于全方位保護人民的民事權利，反映人民意愿。 但需注意的是，立法機關將個人信息保護和隱私權共同置入民法典人格權編之下，這其實也是承認了個人信息與隱私之間的差別。 然而，《民法典》并沒有對它們進行明顯區(qū)分，它把隱私界定義為不愿為他人知曉的私密空間、私密活動和私密信息，但其中的私密信息并不能完全脫離個人信息范疇，勢必會造成邊界模糊，極易形成法律的灰色地帶，大大增加了個人信息安全風險，公民的權利便也無法得到保障。個人信息保護的終極目標在于保護個人權利。因此，不妨嘗試將個人信息確權入典，實現與隱私權真正分離，以適應信息時代的法治建設，真正發(fā)揮出《民法典》的功能。

二、個人信息民事確權的理論基礎

（一）個人信息權的內涵分析

人只要在世界上生存和活動，就會產生與人相關的各種信息， 個人信息是個人與社會連接的紐帶。隨著信息技術的出現、發(fā)展和廣泛應用，個人信息被越來越多的人知曉甚至是濫用，個人信息的保護問題逐漸成為一個重大的社會問題。而解決個人信息保護問題的最佳途徑是對個人信息進行法律定義，何為法律中的個人信息，各國在立法和保護實踐中還尚未形成統(tǒng)一認識。 比如：日本在其制定的《個人信息保護法》中將存儲于數據庫的個人信息視為個人數據。歐盟成員國也是普遍采用個人數據的定義作為個人信息的法律概念， 在2018 年生效的《歐盟一般數據保護條例》（GDPR）中更是明確規(guī)定個人數據是通過識別得出的自然人的相關信息。而我國臺灣地區(qū)的《個人資料保護法》則將個人信息法律概念解釋成為一切具有識別性的個人資料。

縱觀個人信息定義的發(fā)展過程，從具有識別性的個人身份與隱私的電子信息到可識別的特定自然人的計算機數據，再到記載于載體之上的、可識別出自然人身份的各種信息，個人信息的涵蓋范圍正逐步清晰化。 我國2020 年5 月通過的《民法典》更進一步拓寬了個人信息的范圍，將個人信息明確規(guī)定為以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等①。鑒于上述，可以發(fā)現個人信息的最突出特征在于識別性。 所謂識別性，就是能通過特定信息追蹤到特定人的特性，包括直接識別和間接識別。 個人信息本質上就是記錄在載體之上具有識別性的信息。

將“個人信息保護”入典體現了立法者對個人信息問題的高度重視，但需要注意的是，個人信息保護不僅是對個人信息處理設定規(guī)則， 進行限制，更在于賦予個人以信息權利，其保護的核心在于個人權利。 而一項權利在結構上可以分為權利主體、權利客體和權利內容。權利主體是享有權利的法律意義上的人； 權利客體是權利內容所指向的對象；權利內容則是特定行為，是權利人在法律授權的范圍內，以自己或他人的作為和不作為的方式實現權利的過程［1］（P26）。個人信息權的權利主體是憑借信息容易直接或者間接識別出的自然人， 亦稱信息主體；個人信息權的權利客體則是可以被信息主體控制且與其相分離的個人信息；而個人信息權的權利內容則涵蓋了各項具體權能。

歐盟通過《歐盟指令》和GDPR 明確個人信息權概念并對其內容進行補充和完善， 規(guī)定了獲取權、更正權、刪除權、可攜帶權和拒絕權等。 我國港澳臺地區(qū)涉及到個人信息保護的法律條例也規(guī)定了信息主體享有告知權、查閱權、更正權、刪除權等。 究竟何為個人信息權，個人信息權內容包括哪些，我國立法還未對其明確規(guī)定，學界也對此有諸多不同理解。 齊愛民教授在《個人信息保護法（草案）》中完善了個人信息權的權利內容，指出個人信息權具體包含決定權、保密權、查詢權、更正權、封鎖權、刪除權、可攜權及被遺忘權等八項內容。洪梅林教授則認為個人信息權的內容由支配權和訴訟權兩部分組成，支配權即為個人自由支配控制個人信息并排除他人非法侵害， 可體現為信息主體查詢、更正、保密、封存和刪除個人信息等；訴訟權則體現為信息主體在個人信息遭受不法侵害時請求司法機關提供救濟［2］（P161-162）。 因此，個人信息權可以說是信息主體依法對其個人信息處理所享有的支配、控制并排除他人非法侵害的權利。

（二）個人信息權的屬性定位

對于自然人對個人信息享有的是民事權利還是民事利益學術界一直都存在爭議。意見分歧的一個最重要原因是對我國《民法總則》第111 條規(guī)定內容的不同解讀。 一些學者認為，該條規(guī)定實際上是承認了個人信息權，可以認為自然人對個人信息享有民事權利。 而持有反對意見的學者則認為，第111 條并未明確使用“個人信息權”的概念，可想而知，立法者并沒有確立個人信息權，自然人所享有的只是受法律保護的民事利益。兩種觀點看似都有合理之處，對個人信息之上的利益構成還需要進一步具體分析，不能一刀切。 權益本義就是指權利主體受法律確認和保護的權利和利益，利益是權利的本質，它們應是協(xié)調、平衡和統(tǒng)一的，而不是非要選擇其一。 雖然立法者沒有確立“個人信息權”，但不代表不重要。 相反，權利實際上是實現利益的力量,也就是說，自然人對個人信息享有的是通過民事權利實現的民事利益。 個人信息承載的有兩部分利益，一種是人格利益，一種是財產利益。識別出個人身份的各種信息都與個人生存和發(fā)展緊密相關，如果被侵害，會對自然人的人格利益造成損害。 而就財產利益來說， 信息處理技術使個人信息成為資源，不斷地創(chuàng)造出經濟價值。 信息主體應該有權享有個人信息處理創(chuàng)造的經濟價值， 原因有三方面，其一是可以最大程度上保證個人有效控制其信息的處理，從而保護在信息處理中個人信息承載的人格利益；其二是個人信息的價值最終體現于信息與信息主體之間的關系， 而不是與人無關的各種信息，信息主體享有其經濟價值，則可以更好地保護個人信息； 其三則是有利于信息的開發(fā)和利用，個人如果不能享有其信息的財產利益，極有可能會失去公開個人信息的積極性，甚至會阻止其信息流通，這樣勢必會造成信息短缺。 信息流通不暢是對信息經濟和信息行業(yè)生存和發(fā)展的致命性沖擊。

個人信息權是隨著信息時代的出現而產生的一種新型權利，厘清其法律屬性對于構建完整有序的個人信息保護的法律體系至關重要。當前學界對個人信息權的權屬理解主要分為兩種學說：即個人信息人格權說和個人信息財產權說。主張個人信息權具有人格權屬性的理由在于個人信息體現的人格利益，包括人格尊嚴、人格自由、人格平等，屬于人格權范疇；而支持個人信息權具有財產權屬性的原因更多是因為個人信息的處理和使用體現了財產價值。 值得關注的一點是，雖然《民法典》將個人信息的保護歸于人格權編，但不代表個人信息所附著的兩部分利益是不可以并存、 必須二選一的關系。 實際上，人格權法和財產權法對于個人信息保護無論是在側重點上還是方法上都各有不同，兩者之間難以完全替代。 由此可知，將個人信息權的屬性定性為人格權屬性和財產權屬性是可取的，符合《民法典》的基本原則，是對自然人權利訴求的正當性回應［3］（P233）。

（三）個人信息賦權的可行性

首先，與個人信息保護最相關的現行法律是隱私權法，《民法典》也將二者置于一處。 個人信息保護與隱私權之間具有高度關聯(lián)性，西方國家對個人信息的保護也常常是根據隱私權的保護模式進行，但個人信息并不能完全等同于個人隱私。 我國《民法總則》 第110 條和第111 條、《民法典人格權編》（以下簡稱“《人格權編》”）第六章中均定義了隱私權和個人信息，承認二者是獨立的法律概念。 張新寶教授指出：“隱私權是自然人享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權，而且權利主體對他人在何種程度上可以介入自己的私生活，對自己是否向他人公開隱私以及公開的范圍和程度等具有決定權”［4］（P12）。 隱私權的本質特征是隱秘性，屬于未向社會公開的范疇。不可否認的是，個人信息與隱私的范圍有重合部分。但需要清楚地認識到，個人信息部分處于保密狀態(tài)，部分則處于公開狀態(tài)，對隱私之外的個人信息如何傳播，只能靠個人采取保密措施，或他人的道德感約束。此外，隱私權體現的是人格利益， 是一種被動防御性權利；而個人信息負有人格和財產雙重利益，個人信息的權利則是一種主動控制性權利。隨著我國信息化處理技術和大數據技術的發(fā)展， 個人信息的收集、處理等都呈現出規(guī)?；内厔?，個人信息安全風險更是日益加劇，構建獨立的個人信息權，以其為核心建立完整的個人信息保護制度則更為穩(wěn)妥。

其次，《民法典》最關鍵的功能在于保障公民權利，提供救濟。但權利與救濟從來都不是分離開的，我國作為大陸法系國家，一向遵守大陸法的傳統(tǒng)即“無權利，也就無侵權，無救濟”。而我國《民法典》對個人信息權益的侵權救濟并沒有專門規(guī)定，大多是參考隱私權保護制度中的救濟措施，與個人信息權益上的適配性并不高。 所以，確立個人信息權就顯得尤為必要。

再次，基于對團藤重光教授的法秩序統(tǒng)一理論即法秩序作為一個整體必須是無矛盾地統(tǒng)一的事物的理解，刑法與民法應是一體化的，民法是前置法，它在前攔截違法行為，刑法是保障法，它在后懲治未被成功攔截的犯罪行為［5］。 我國對個人信息的保護，是從刑法領域起步的，我國刑法確立了侵犯公民個人信息的罪名，但在民法中卻未確立個人信息的相關權利。 民法和刑法應該并舉，預防救濟和懲罰犯罪同樣重要。 由此可以看出，個人信息確權入《民法典》是沒有理論障礙的。

三、個人信息權構建的思考路徑

通過個人信息確權的理論分析， 構建個人信息權要考慮兩個問題： 權利構成與權利救濟。 基于此可以從兩條路徑思考： 一是從制度層面上，細化規(guī)定個人信息權的主體方面、 客體方面和內容方面；二是從司法層面上，強化對個人信息侵權的救濟。

（一）明確規(guī)定個人信息權和隱私權

首先，對于個人信息保護究竟是以法益保護方式還是以權利保護方式，楊立新教授在《個人信息：法益抑或民事權利——對＜民法總則＞第111 條規(guī)定的“個人信息”之解讀》一文中給出了合理回答，他認為：“從法律保護的客體即個人信息的獨立性、社會實踐保護個人信息的必要性和從比較法的基礎上進行分析得出要真正實現個人信息的完善保護，必須將個人信息民事確權”［6］。 權利是保障個人享有利益的法律之力［7］（P90-91）。 換言之，信息主體所享有的信息之上的各種利益都應當通過法律規(guī)定的形式即個人信息權加以保護。 國際上，很多國家已經在嘗試將個人信息確立為一項獨立的民事權利，而我國《民法總則》和《民法典》雖然將個人信息保護納入其中，但卻沒有直接采用“個人信息權”的法律概念，更沒有對其法律地位、權利性質和具體內容作出明確規(guī)定，這對于個人信息保護法律體系框架的建立是一種障礙。而且對于個人信息權究竟是規(guī)定在《民法典》中的《人格權編》還是《侵權責任編》，國內學者意見不一，但立法機關傾向于前者，因為將個人信息的保護作為人格權立法的重要內容，對于奠定大數據時代的個人隱私權保護的法律基礎和劃定個人信息合法商業(yè)化處理的法律邊界更為有利。 然而，并不能以“個人信息保護”囊括所有， 應當著重深研個人信息權構成的基本理論，增補個人信息權的要件內容。 在主體方面，對個人信息主體、個人信息處理主體的定義和范圍需作出詳細地解釋和劃分，并明確各自的權利與義務。 明確信息處理主體收集、處理信息的法律規(guī)則，承認“同意”規(guī)則是個人信息處理的基本前提，明確個人“同意”是指“積極同意”即一切個人信息處理都必須事先征得信息主體的同意，還是“消極同意”即信息主體反對一切個人信息處理， 但不反對即視為同意。規(guī)定信息主體“撤回同意”與“表達同意”同等便利。并且在處理信息過程中要注意兩點，一點是“處理”概念中應當包含自動化處理。信息的價值和它可能造成的損害，不僅與信息內容相關，還與其處理方法和表現形式相關。 齊愛民教授起草的《中華人民共和國個人信息保護法學者建議稿》 中也建議對“處理”解釋為“以自動化方式或人工方式對個人信息進行的操作，包括輸入、存儲、編輯、檢索、變更、補充、刪除、傳送、封鎖以及其他操作”［8］。 另一點是國家機關信息處理主體在進行信息處理時，需要根據行為的性質而非行為人的性質來決定是否規(guī)范及如何規(guī)范采取更強的規(guī)制程度。因為國家機關掌握的信息不僅數量多， 而且內容上往往更重大，一旦錯誤處理，造成的危害也更大；在客體方面上，要明確個人信息的法律概念，突出“識別性”特征［9］。以“識別”來調整個人信息的范圍，“識別”可以是直接的，即僅從信息本身即聯(lián)系到具體個人；也可以是間接的，即根據信息，再輔以其他知識，才可將信息聯(lián)系到具體個人；在內容方面上，借鑒域外立法模式， 以法定主義的方式為個人信息賦予決定權、知情權、保密權、刪除權、更正權、可攜權和被遺忘權等各項具體權能，并結合現實需要對權能內容進行必要擴張或限縮，使之更好地與其他部門法進行銜接，融入到整體性的法律體系中。

其次，《人格權編》應當明顯區(qū)分個人信息權和隱私權，針對它們的特點和不同提供保護方式?！度烁駲嗑帯?中明確規(guī)定了隱私范圍包括私密空間、私密活動和私密信息，但此種定義所指甚廣，或多或少都會將個人信息權益的相關內容也包括其中，這不利于建立獨立的個人信息權益體系［10］。

（二）健全個人信息侵權民事訴訟機制

將個人信息權僅規(guī)定在《人格權編》是遠遠不夠的，它是權利法，主要是對個人信息權作出具體規(guī)定。 但當發(fā)生侵害個人信息權的行為時，則需要侵權者承擔侵權責任，允許被侵權者提起民事訴訟尋求救濟。 對侵權的成立、責任承擔和救濟的內容更適合規(guī)定在具有救濟法性質的《侵權責任編》。但由于信息社會的高度復雜性致使行為人過錯的證明和侵權損失的估算等存在一定困難，個人信息侵權民事訴訟的難度往往會高于一般民事訴訟。要想信息主體真正得到救濟，侵權者真正受到威懾和懲罰，唯有通過適當的制度安排來解決。

1.優(yōu)化舉證責任分配

民事訴訟法中對舉證責任的分配主要有舉證責任轉移和舉證責任倒置兩種方式。 舉證責任轉移，即“誰主張，誰舉證”，是舉證雙方不斷互相質證，責任不斷被轉移，直到問題被證明為止的一種動態(tài)過程，它被廣泛應用于民事證據制度中。 而舉證責任倒置是指在特殊案件中，把原告承擔的舉證責任倒置給被告，被告如不能舉證，就應承擔舉證不能的敗訴責任。

在個人信息侵權行為中， 相較于侵權者而言，被侵權人在信息資源擁有量、信息技術水平和經濟能力方面都處于劣勢地位。若一味地適用舉證責任轉移制度，則被侵權人幾乎很難完成舉證，更不用說獲得救濟了。舉證責任的分配不應當成為案件事實爭議解決的阻礙，這有違程序正義。 而通過優(yōu)化舉證責任的分配， 在個人信息侵權訴訟糾紛中，適時、適當地援引舉證責任倒置制度，倒也不失為一種好的解決途徑，也更能體現司法公平與公正。 侵權者承擔舉證責任，只要能夠證明自身的行為與損害結果之間不存在因果關系或不存在主觀過錯即可免責，反之，則為舉證不能，需承擔侵權責任。

綜上分析可得，個人信息權的侵權責任承擔上可以適用過錯推定原則，信息處理主體如果無法證明沒有對信息主體的個人信息進行非法收集和處理，則信息主體獲得救濟。 信息處理主體要想免于承擔責任，就必須證明自己主觀上無過錯，即其信息收集和處理行為具有法律依據。 但需要注意的是，對國家機關信息處理主體的侵權行為應當采取無過錯責任原則，與非國家機關信息處理主體區(qū)分開來。

2.保障充分賠償

個人信息權受侵害時，根據其具有的人格和財產雙重屬性的特點，可同時或分別主張人格權或財產權的救濟?？晌蘸筒捎梦覈肚謾嘭熑畏ā分幸?guī)定的救濟方式，如：停止侵害、消除影響、恢復名譽、賠償損失、賠禮道歉等。 賠償損失方面按照內容可分為財產損害賠償和精神損害賠償。財產損害賠償范圍根據信息主體的實際損失和確定的可預期收益的損失判定。 甚至可以在特殊情況或特殊領域中，合理引入懲罰性賠償機制,明確規(guī)定懲罰性賠償標準。 例如：侵權者具有故意、嚴重疏忽和明顯不考慮他人的安全和重大過失的行為時， 亦或非法收集、處理未成年人信息等，都應當承擔懲罰性賠償［11］。

我國司法實踐中早已出現對個人信息處理受害者給予精神損害賠償的案件，比如被人冒用身份和頂替上學的“齊玉苓案”和“羅彩霞案”。 然而，受害人獲得精神損害賠償的數額都比較小，難以彌補實際損失。 事實上，有許多受害者幾乎都是因為難以獲得恰當的賠償而選擇忍氣吞聲，被迫放任自身的權利被侵害。

民事訴訟制度保障個人信息權的實現關鍵在于保障充分賠償，要充分認識到個人信息侵權行為可能給當事人造成的經濟和精神損失，要讓受害者不再因為維權艱難而裹足不前。

3.確定法定賠償額

在國外立法經驗中，對由于個人信息處理不當造成信息主體經濟損失的，尤其是難以計算和證明的，可以規(guī)定法定最低和最高賠償額。這對我國《侵權責任編》 中賠償數額標準的制定起到了引導作用，可以事先由法律規(guī)定賠償最低額，受害人可以按照自己的意愿在最低賠償額和實際損失之間選擇。 但也需要加上最高額限制，否則沒有上限的賠償額很可能抑制個人信息處理技術的使用和推廣，進而影響到我國信息經濟的發(fā)展。 建議《民法典侵權責任編》可以適當結合《侵權責任法》第20 條有關人身權益被侵犯后的救濟規(guī)定，以及《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》 第18 條列舉的財產損失的涵蓋范圍及最高賠償額的認定標準［12］，進一步補充和完善個人信息侵權人所承擔的法定賠償數額的內容。

注 釋：

①參見《中華人民共和國民法典》第1 034 條規(guī)定。