王紅霞，劉青哲

（1.鹽城市鹽都區(qū)人民檢察院，江蘇 鹽城 224005；2.上海對外經(jīng)貿(mào)大學 法學院，上海 201620）

隨著信息化和萬物互聯(lián)的大數(shù)據(jù)時代的來臨，大量的個人信息被收集、利用。個人信息的收集使用使得生活變得更加便利、快捷，但個人信息受侵害的可能性也被加大，保護個人信息變得尤為重要。個人信息被非法收集、利用的現(xiàn)象層出不窮，甚至出現(xiàn)了造成嚴重人身、財產(chǎn)損失的案件。①比如徐某玉電信詐騙案和清華教授電信詐騙案。民法確立民事權(quán)利、民事法律行為、民事責任等，是民事領(lǐng)域的基礎(chǔ)性、綜合性法律。因此，民法必須回應(yīng)人民群眾在保障人民權(quán)益方面的需要，更好地維護人民權(quán)益。②參見全國人民代表大會常務(wù)委員會副委員長王晨于2020年5月22日在第十三屆全國人民代表大會第三次會議上所作的《關(guān)于<中華人民共和國民法典（草案）>的說明》。

一、《民法典》對個人信息的首次保護

《中華人民共和國民法典》（以下簡稱《民法典》）中的一個最重要的創(chuàng)新和最大的亮點是人格權(quán)獨立成編，強化了對人格尊嚴的維護，順應(yīng)了人格權(quán)保護的發(fā)展趨勢。③王利明：《民法典人格權(quán)編的亮點及創(chuàng)新》，《中國法學》2020年第4期，第5頁。其中，在《民法典》人格權(quán)編中，一個重大創(chuàng)新和亮點是對自然人的個人信息進行了法律保護。

就方法而言，個人信息的法律保護分為公法上的保護和私法上的保護。公法上的保護，是指行政主管機關(guān)通過管制性規(guī)范對信息處理者收集、使用個人信息的行為進行管理（比如網(wǎng)絡(luò)安全法等法律中規(guī)定的個人信息保護），以及刑法對侵害公民個人信息的犯罪行為進行打擊。④程嘯：《民法典編纂視野下的個人信息保護》，《中國法學》2019年第4期，第27頁。私法上的保護，主要是指通過賦予自然人對個人信息享有相應(yīng)的民事權(quán)益，如果發(fā)生了侵犯個人信息的行為，自然人對侵權(quán)人提起民事訴訟從而獲得相應(yīng)的救濟。公法上的保護著眼于公共秩序，而私法上的保護更凸顯對自然人合法權(quán)益的維護?！睹穹ǖ洹肥状螌€人信息作為自然人的民事權(quán)益進行了私法上的保護，這對于自然人自身尋求司法救濟具有重大意義。

就內(nèi)容而言，《民法典》規(guī)定了個人信息保護的體系框架。《民法典》總則編“民事權(quán)利”章第111條規(guī)定：“自然人的個人信息受法律保護。……”這是對于個人信息保護的一般性規(guī)定，主要具有確權(quán)意義?！睹穹ǖ洹啡烁駲?quán)編“隱私權(quán)和個人信息保護”一章共用六個條文分別規(guī)定了個人信息的概念、個人信息處理的原則、免責事由、個人信息決定權(quán)、信息處理者信息安全保障義務(wù)、國家機關(guān)及其工作人員對個人信息的保密義務(wù)等內(nèi)容，主要圍繞個人信息的概念與具體保護規(guī)則。《民法典》的規(guī)定具有概括性，一些細節(jié)還需由其他法律進一步細化，但《民法典》為其他關(guān)于個人信息保護的立法活動提供了指引方向。目前，提請審議的《個人信息保護法（草案）》（以下簡稱《個保法（草案）》），對個人信息保護的具體問題進一步細化。

二、《民法典》對個人信息概念的明晰界定

《民法典》對個人信息的內(nèi)涵進行了明確，將個人信息實質(zhì)上作了一般個人信息、私密信息、公開信息的分類，同時將個人信息權(quán)和隱私權(quán)作了區(qū)分。

（一）《民法典》對個人信息內(nèi)涵的明確

在個人信息受侵害情況愈演愈烈的背景下，雖然世界各國紛紛對個人信息的收集與保護進行法律規(guī)制，但是各國的立法卻始終沒有統(tǒng)一個人信息的內(nèi)涵。美國采取的個人信息保護模式是將個人信息作為隱私的一部分，而對隱私進行“一元化”保護的模式。這主要因為美國“隱私權(quán)”的概念十分寬泛，甚至連姓名、名譽、肖像等均被納入了隱私權(quán)的概念之下。①李永軍：《論<民法總則>中個人隱私與信息的“二元制”保護及請求權(quán)基礎(chǔ)》，《浙江工商大學學報》2017年第3期，第11頁。德國1976年制定了《聯(lián)邦數(shù)據(jù)保護法》，第一次系統(tǒng)地對個人信息進行保護，但是并沒有對個人信息、隱私和數(shù)據(jù)進行明確界分。②劉金瑞：《德國聯(lián)邦數(shù)據(jù)保護法2017年版譯本及歷次修改簡介》，《中德法學論壇》2017年第2期，第339頁。

在個人信息的應(yīng)用愈來愈廣泛、同時對個人信息的保護愈來愈重要的今天，我國法律也在逐步回應(yīng)個人信息的概念、利用規(guī)則、保護方式等問題，以進一步加強對個人信息收集使用的管理和對公民個人信息的保護。全國人大常委會2012年頒布的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》首提國家保護個人電子信息，此時立法機關(guān)對個人信息僅限定在電子信息形式。③《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第1條：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。”2017年起施行的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》和《中華人民共和國網(wǎng)絡(luò)安全法》對個人信息的概念進行了“定義+列舉”式的界定。④《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條：“公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等?！蓖?017年施行的《網(wǎng)絡(luò)安全法》在第76條第5款中規(guī)定：“自然人的個人信息是指以電子或者其他方式記錄的，能夠單獨或者與其他信息結(jié)合，識別的自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證號碼、個人生物識別信息、住址、電話號碼等?！边@些條文對個人信息概念的界定基本上是一致的，都包含了個人信息記錄形式、可識別性標準、典型個人信息的列舉等要素。

《民法典》進一步明確了個人信息的內(nèi)涵?！睹穹ǖ洹返?034條規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！痹摋l文延續(xù)了之前法律和司法解釋“定義+列舉”的模式?！案鞣N信息，包括……等”的表述說明個人信息并不僅僅是該法條所列舉的幾類信息，而是范疇會隨著時代變化而變化的集合。在網(wǎng)絡(luò)科技日新月異的大數(shù)據(jù)時代，信息獲取技術(shù)不斷多樣化，網(wǎng)絡(luò)瀏覽記錄、軟件使用記錄等越來越多的信息會被納入個人信息保護的范疇。

值得注意的是，《民法典》并沒有直接規(guī)定“個人信息權(quán)”。這主要因為目前關(guān)于個人信息是一種民事權(quán)利還是一種民事權(quán)益仍然存在較大的分歧，立法機關(guān)謹慎地使用了“個人信息保護”的表述。①中國審判理論研究會民事審判理論專業(yè)委員會：《民法典人格權(quán)編條文理解與司法適用》，北京：法律出版社，2020年，第265頁。但是不可否認的是，個人信息本質(zhì)上具備具體人格權(quán)的特征，且獨立于其他具體人格權(quán)，同時在社會實踐中保護個人身份信息具有必要性，②楊立新：《個人信息：法益抑或民事權(quán)利——對<民法總則>第111條規(guī)定的“個人信息”之解讀》，《法學論壇》2018年第1期，第38頁。因此個人信息應(yīng)當是一種民事權(quán)利。

（二）《民法典》對個人信息的分類

《民法典》對個人信息的保護并不是不加區(qū)分的，《民法典》實質(zhì)上將個人信息分為了三類，即一般個人信息、私密信息、公開信息。③王洪亮：《<民法典>與信息社會——以個人信息為例》，《政法論叢》2020年第4期，第7頁，第7頁。對于這三類個人信息，《民法典》保護的方式是不同的。

1.一般個人信息。一般個人信息，亦稱為個人身份信息、純粹的個人信息，是指自然人的姓名、出生日期、身份證件號碼等不涉及私密性、僅可以識別個人身份的個人信息?！睹穹ǖ洹分胁]有“一般個人信息”的表述，但是同時又規(guī)定了私密信息、公開信息，為使概念之間的界限更加清晰，應(yīng)當明確《民法典》“個人信息保護”部分所針對的是一般個人信息，對于私密信息和公開信息，適用其他的保護規(guī)則。本文若無其他說明，所論述的同樣為一般個人信息。

2.私密信息。所謂私密信息是指自然人具有私密性質(zhì)的信息。私密信息是個人信息與隱私的交叉部分——雖然個人信息權(quán)與隱私權(quán)屬于不同的具體人格權(quán)，但是仍然存在“個人隱私信息”這種既屬于個人信息、又屬于隱私的私密信息，④對于個人信息與隱私，有學者將其三分為“純粹的個人隱私”“隱私性信息”“純粹的個人信息”。（見李永軍：《論<民法總則>中個人隱私與信息的“二元制”保護及請求權(quán)基礎(chǔ)》，《浙江工商大學學報》2017年第3期，第10頁。）如基因信息、遺傳信息、性生活信息、醫(yī)療信息等。⑤王洪亮：《<民法典>與信息社會——以個人信息為例》，《政法論叢》2020年第4期，第7頁，第7頁。私密信息一旦被泄露或者非法使用，造成的危害后果比一般個人信息更嚴重?！睹穹ǖ洹返?032條規(guī)定：“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息?！边@表明《民法典》將“私密信息”界定為隱私。同時，《民法典》第1034條規(guī)定：“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定?！边@說明私密信息處于雙重保護的地位，優(yōu)先適用隱私權(quán)保護的規(guī)則，隱私權(quán)保護規(guī)則中沒有規(guī)定的，適用個人信息保護的規(guī)則。在司法實踐中，區(qū)分私密信息和一般個人信息應(yīng)當判斷該個人信息是否具備私密性因素，如果尚未涉及人格尊嚴維護問題，不具備私密性，則不構(gòu)成私密信息，不能成為隱私權(quán)的保護對象。

3.公開信息。所謂公開信息是指自然人自行公開的或者其他已經(jīng)合法公開的信息。《民法典》第1036條規(guī)定：“處理個人信息，有下列情形之一的，行為人不承擔民事責任：……（二）合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，……”這表明，法律對于自然人自行公開的或者其他已經(jīng)合法公開的信息保護效力較弱，除非有特定情形，信息處理者利用公開的個人信息不構(gòu)成侵權(quán)。

（三）《民法典》對個人信息權(quán)與隱私權(quán)的區(qū)分

個人信息權(quán)與隱私權(quán)一直存在著“難舍難分”的關(guān)聯(lián)?！睹穹ǖ洹穼㈦[私權(quán)和個人信息保護規(guī)定在一章，也說明兩者有一定的相似性。但《民法典》將隱私權(quán)和個人信息保護分別規(guī)定，說明兩者即使存在著相互交錯的客體，但是仍然是兩個獨立的民事權(quán)利。個人信息權(quán)與隱私權(quán)主要有以下區(qū)分：

1.從保護客體特征上來區(qū)分，應(yīng)判斷保護客體是否具有私密性。隱私權(quán)是一種精神性的人格權(quán)，權(quán)利保護的客體具有私密性的特點。私密性是個人帶有羞恥心、具有高度私人化特質(zhì)的屬性。而個人信息權(quán)保護的客體不具備私密性，但兼具人格利益與財產(chǎn)利益雙重屬性。

2.從損害后果上來區(qū)分，應(yīng)判斷損害后果是否具有可恢復(fù)性。隱私一旦受到非法披露、騷擾，損害后果往往不可逆，①王利明：《論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心》，《現(xiàn)代法學》2013年第4期，第67頁，第66頁。不具備可恢復(fù)性。而對于個人信息的侵害往往具備可恢復(fù)性。

3.從救濟方式上來區(qū)分，應(yīng)判斷救濟方式的多樣性。隱私權(quán)受到侵害，主要追究侵權(quán)人的侵權(quán)責任，除了消除影響、恢復(fù)名譽，賠禮道歉等方式外，侵權(quán)責任的承擔方式主要是精神損害賠償。個人信息受到侵害，在救濟方式上除了損害賠償，還有停止侵害、更正、刪除等救濟措施。

4.從權(quán)利功能上來區(qū)分，應(yīng)判斷權(quán)利是否具備“積極利用”的功能。隱私權(quán)主要是“消極防御”他人侵害；而個人信息權(quán)兼具“消極防御”和“積極利用”的功能，除了被動防御他人的侵害以外，往往牽涉到對客體的積極利用。②王利明：《論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心》，《現(xiàn)代法學》2013年第4期，第67頁，第66頁。

三、《民法典》對自然人信息權(quán)益的明確賦予

世界各國有關(guān)個人信息保護的法律，均賦予了自然人享有相應(yīng)的個人信息權(quán)益。個人信息自決權(quán)是自然人享有的個人信息權(quán)益的權(quán)利基礎(chǔ)。個人信息自決權(quán)理論是20世紀70年代逐步發(fā)展起來的，也稱為“個人信息決定權(quán)”。個人信息自決權(quán)的基本內(nèi)涵是個人信息自主控制，在立法上表現(xiàn)為信息主體對個人信息的知情權(quán)、修改權(quán)、收集同意權(quán)、披露權(quán)以及使用權(quán)等一系列權(quán)利。③劉金瑞：《個人信息與權(quán)利配置——個人信息自決權(quán)的反思和出路》，北京：法律出版社，2017年，第2頁。換言之，個人可以決定向誰告知哪些和他相關(guān)的信息，哪些可以隱瞞。④楊芳：《個人信息自決權(quán)理論及其檢討——兼論個人信息保護法之保護客體》，《比較法研究》2015年第6期，第22頁。個人信息自決權(quán)的哲學基礎(chǔ)是人格尊嚴與發(fā)展自由——如果一個人無權(quán)決定以何種方式、在何種范圍內(nèi)披露其個人信息，則是對其人格尊嚴與發(fā)展自由的侵害和限制。

《民法典》第1037條規(guī)定了自然人對其個人信息享有的各項權(quán)益，主要包括查閱權(quán)、復(fù)制權(quán)、異議更正權(quán)、刪除權(quán)等?！睹穹ǖ洹芬?guī)定的上述權(quán)益的行使對象是“信息處理者”。2017年施行的《網(wǎng)絡(luò)安全法》使用的概念是“網(wǎng)絡(luò)運營者”，范圍局限在網(wǎng)絡(luò)服務(wù)提供者?！靶畔⑻幚碚摺笔恰睹穹ǖ洹肥状翁岢龅母拍睿瑑?nèi)涵更為廣泛，可以包括一切處理個人信息的個人、組織、行政機關(guān)等。所謂“處理”，是指收集、儲存、使用、加工、傳輸?shù)刃袨椤?/p>

查閱權(quán)在個人信息權(quán)益中處于基礎(chǔ)地位，因為只有當信息主體知道這些個人信息時，才能進一步了解個人信息被收集和利用的具體情況，從而判斷信息處理者的行為是否符合其真實意愿。信息主體在查閱其個人信息后，經(jīng)過判斷，決定是否有必要對個人信息進行復(fù)制，以便滿足其需求。若個人信息出現(xiàn)“錯誤”，信息主體可以向信息處理者提出異議，并可以要求其更正信息。相較于查閱權(quán)、復(fù)制權(quán)、異議更正權(quán)，刪除權(quán)的行使前提必須是信息處理者違反了法律、行政法規(guī)的規(guī)定或者雙方的約定。關(guān)于“刪除”，《民法典》侵權(quán)責任編中也規(guī)定了網(wǎng)絡(luò)侵權(quán)責任的“避風港原則”，⑤避風港原則是指網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)服務(wù)實施侵權(quán)行為后，被侵權(quán)人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者采取“刪除”的措施，在經(jīng)“通知+刪除”后，網(wǎng)絡(luò)服務(wù)提供者不再承擔責任。個人信息權(quán)益中的刪除權(quán)與“避風港原則”中的“刪除”相類似，是對信息處理者的一種寬容性處理。

與“刪除權(quán)”有緊密聯(lián)系的是“被遺忘權(quán)”。關(guān)于被遺忘權(quán)，學界對其是否應(yīng)當是一種個人信息權(quán)益觀點不一。被遺忘權(quán)是歐洲法院判例最早確定的，⑥2014年歐盟法院對“岡薩雷斯訴谷歌公司案”作出的判決支持了岡薩雷斯關(guān)于要求谷歌刪除其關(guān)于拍賣信息的鏈接，至此，被遺忘權(quán)在歐盟通過司法判例正式確認。是指信息主體基于隱私自主而擁有向信息處理者隨時要求刪除遺留在信息網(wǎng)絡(luò)中的各種有關(guān)個人的信息，從而使其被其他人所“忘記”的權(quán)利。被遺忘權(quán)是刪除權(quán)的升級版，兩者最大的不同是刪除權(quán)必須基于信息處理者“違法”或者“違約”的前提之上，而被遺忘權(quán)則不需要。另外，被遺忘權(quán)的行使對象不僅包括信息上傳者，還包括搜索引擎服務(wù)商?！睹穹ǖ洹凡]有規(guī)定被遺忘權(quán)，而僅僅規(guī)定了刪除權(quán)，這主要是因為被遺忘權(quán)會帶來企業(yè)審查成本過高、信息資源減少等問題。①丁曉東：《被遺忘權(quán)基本原理與場景化界定》，《清華法學》2018年第6期，第94頁。

四、《民法典》對個人信息處理原則及條件的規(guī)定

《民法典》規(guī)定了信息處理者處理個人信息的合法、正當、必要原則，為信息處理者的處理活動提供了指引；規(guī)定了信息主體“告知同意”、信息處理規(guī)則公開、目的、方式和范圍的明示等信息處理的合法性基礎(chǔ)，其中信息主體“告知同意”規(guī)則充分尊重了信息主體的意思自治。

（一）合法、正當、必要原則

《民法典》規(guī)定，處理個人信息應(yīng)當遵循合法、正當、必要原則。合法原則要求信息處理者對個人信息的處理活動應(yīng)當遵循我國法律、法規(guī)等。當然，合法原則除了包括法律的禁止性規(guī)范，也包括公序良俗或者社會的一般觀念。②李永軍：《論<民法總則>中個人隱私與信息的“二元制”保護及請求權(quán)基礎(chǔ)》，《浙江工商大學學報》2017年第3期，第20頁。不符合合法原則處理個人信息的樣態(tài)，主要包括非法收集、非法使用、非法買賣等。正當原則是指信息處理的目的、手段要符合誠實信用原則，使信息主體充分了解信息處理的情況。如果信息處理者獲取個人信息的手段不符合誠實信用原則，則是不正當?shù)男袨?，比如獲取方式不透明等。必要原則是指信息處理者不能過度收集、處理個人信息，收集、處理的個人信息局限于所涉收集、處理目的。目前，一些手機應(yīng)用軟件存在大量“過度收集”的情況，除了收集達成目的所需的必要信息，同時收集了不符合獲取目的的其他信息。

（二）信息主體“告知同意”規(guī)則

在遵循上述原則的基礎(chǔ)上，信息處理者處理個人信息還應(yīng)當滿足其他條件：征得信息主體同意，公開信息處理規(guī)則，明示目的、方式和范圍，不違反法律規(guī)定和雙方約定。在這些條件中，最核心的是信息主體“告知同意”規(guī)則?！案嬷狻币?guī)則，即信息處理者對信息主體就有關(guān)個人信息的被收集、處理和利用的情況應(yīng)充分告知，并且征得信息主體的明確同意。③張新寶：《個人信息收集：告知同意原則適用的限制》，《比較法研究》2019年第6期，第1頁。信息主體經(jīng)過自主選擇，自己決定他人可以對其個人信息進行處理，因此在信息主體已被告知、且同意的情形下，信息處理者相關(guān)信息處理的行為均為合法的。④于柏華：《處理個人信息行為的合法性判準——從<民法典>第111條的規(guī)范目的出發(fā)》，《華東政法大學學報》2020年第3期，第81頁。《民法典》第1036條規(guī)定了處理個人信息的免責事由：“在該自然人或者其監(jiān)護人同意的范圍內(nèi)合理實施的行為，行為人不承擔民事責任。”因此，“告知同意”是信息處理者處理個人信息的合法性基礎(chǔ)，是個人信息保護中至關(guān)重要的一項規(guī)則。但是，由于《民法典》包含社會生活的方方面面，不宜對某一規(guī)則具體實施作出過于細致的規(guī)定，因此《民法典》并沒有規(guī)定在實踐中如何具體操作“告知同意”規(guī)則，相關(guān)具體規(guī)則需要《個人信息保護法》等法律法規(guī)進一步規(guī)定?！秱€保法（草案）》對信息處理者向信息主體告知所采取的方式、應(yīng)告知的事項進一步作出了規(guī)定。⑤《個保法（草案）》規(guī)定了信息處理者在處理個人信息前，應(yīng)當以顯著方式、清晰易懂的語言向個人告知信息處理者的身份、聯(lián)系方式，處理目的、方式，保存期限，個人行使權(quán)利的方式和程序等內(nèi)容。同時，《個保法（草案）》也規(guī)定了《民法典》中沒有涉及的“撤回同意”規(guī)則，即信息主體可以在作出同意后撤回其同意。該規(guī)定具有一定的進步性，但仍要考慮撤回同意的可操作性及交易安全問題——如果信息主體可以隨時撤回其同意，則信息處理者的處理活動具有很大的不確定性，亦有可能對信息處理者造成經(jīng)濟損失。因此，應(yīng)當進一步細化撤回同意的行使條件、經(jīng)濟補償條款、溯及力問題等。

在“微信讀書”APP侵害黃某個人信息一案中，①參見（2019）京0491民初16142號民事判決書?！拔⑿抛x書”在其服務(wù)協(xié)議中明確規(guī)定，使用該服務(wù)需要獲得微信授權(quán)，包括微信帳戶的公開信息（昵稱、頭像等）、尋找與用戶共同使用該應(yīng)用的微信好友等?！拔⑿抛x書”在登錄頁面中向用戶（包括原告黃某）提示使用其微信好友關(guān)系，并且經(jīng)過了黃某的同意，因此法院認為“微信讀書”強制黃某關(guān)注微信好友的行為不違反法律規(guī)定。同時在該案中，“微信讀書”還有向黃某共同使用該應(yīng)用的微信好友公開黃某讀書信息、為黃某自動關(guān)注微信好友并使得關(guān)注好友可以查看黃某讀書信息的行為。由于“微信讀書”該行為在許可服務(wù)協(xié)議中沒有清晰地告知黃某并獲得同意，法院認為“微信讀書”侵害了黃某的個人信息權(quán)益。在本案中，法院按照“告知同意”規(guī)則對被告兩個行為的合法性做出了裁判。

五、《民法典》對個人信息侵權(quán)責任的認定

《民法典》確立了個人信息的“可識別”標準，并規(guī)定了個人信息侵權(quán)責任的請求權(quán)基礎(chǔ)，但仍需進一步完善個人信息侵權(quán)責任的歸責原則。

（一）個人信息的“可識別”標準

判斷個人信息侵權(quán)的前提是，該侵權(quán)行為侵犯的是“可識別”的個人信息，對于不可識別的個人信息，法律不予保護。諸多已經(jīng)經(jīng)過“加工”、匿名化的個人信息，已經(jīng)不能識別出信息的主體，其已與信息主體分離開來，對于信息主體而言并無任何侵犯、損害。在大數(shù)據(jù)時代背景下，個人信息的保護和個人信息的處理、使用、流動，原本就是一對矛盾：既要讓信息源泉充分涌流，促進信息在經(jīng)濟社會發(fā)展中共享與傳播，又要保護每一個信息主體的個人權(quán)益不受侵犯。相較于隱私權(quán)“全封閉式”的保護模式，個人信息的保護應(yīng)當兼顧信息的流動性?！睹穹ǖ洹返?038條規(guī)定：“未經(jīng)自然人同意，不得向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復(fù)原的除外?！痹摋l印證法律并不保護不具備“可識別性”的個人信息。在判斷可識別性問題時，應(yīng)當對“去標識化”和“匿名化”進行區(qū)分，兩者是不同的：個人信息經(jīng)過去標識化后，仍然可以在借助額外信息的情況下識別特定自然人；而個人信息經(jīng)過匿名化，不能再次復(fù)原。個人信息的識別方式可以分為“直接識別”與“間接識別”，直接識別是指通過身份證件號碼、生物信息等單個信息就可以直接確定自然人身份的識別方式，間接識別則是指通過單個信息并不能直接判斷自然人身份，需對一組信息進行“拼接”才能確定自然人身份的識別方式。②中國審判理論研究會民事審判理論專業(yè)委員會：《民法典人格權(quán)編條文理解與司法適用》，北京：法律出版社，2020年，第266頁。在前文提到的“微信讀書”侵權(quán)案件中，法院同時認定“微信好友關(guān)系”、“讀書信息”屬于個人信息，其中核心的一點就是黃某的“微信好友關(guān)系”、“讀書信息”具有可識別性，黃某“微信讀書”中的頭像、昵稱、地區(qū)、性別信息、好友關(guān)系、讀書信息等組合起來，形成指向其本人的“人物圖像”。

（二）受害人的請求權(quán)基礎(chǔ)

《民法典》總則編對個人信息權(quán)的概括性規(guī)定及人格權(quán)編個人信息保護的條文大多數(shù)均為不完全法條——并未規(guī)定個人信息受到侵犯后的法律后果。從這些條文本身難以得出請求權(quán)，且條文中也未涉及侵權(quán)責任的歸責原則，因此，必須結(jié)合《民法典》侵權(quán)責任編的規(guī)定。

信息主體請求侵權(quán)人承擔侵權(quán)責任的請求權(quán)基礎(chǔ)主要為《民法典》侵權(quán)責任編的第1165條第一款③《民法典》第1165條第一款：“行為人因過錯侵害他人民事權(quán)益造成損害的，應(yīng)當承擔侵權(quán)責任。”和第1194條①《民法典》第1194條：“網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)侵害他人民事權(quán)益的，應(yīng)當承擔侵權(quán)責任。法律另有規(guī)定的，依照其規(guī)定?！薄Ｇ罢邽榍謾?quán)責任的一般規(guī)定，適用于侵害個人信息的一切案型；后者為網(wǎng)絡(luò)信息侵權(quán)責任的特別規(guī)定，僅適用于利用網(wǎng)絡(luò)侵害個人信息的案型。②葉名怡：《個人信息的侵權(quán)法保護》，《法學研究》2018年第4期，第88頁，第93頁。承擔民事責任的方式主要為《民法典》第179條規(guī)定的停止侵害，賠償損失，消除影響、恢復(fù)名譽，賠禮道歉等。同時，如果侵權(quán)人侵害個人信息造成了受害人的嚴重精神損害，受害人可以根據(jù)《民法典》第1183條請求精神損害賠償。

（三）個人信息侵權(quán)責任的歸責原則

在個人信息廣泛采用電子形式的情況下，算法自動化決策的技術(shù)優(yōu)勢間接造成了爭訴雙方舉證和訴訟能力上的差異。③陳吉棟：《個人信息的侵權(quán)救濟》，《交大法學》2019年第4期，第50頁。網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)服務(wù)提供者在技術(shù)能力、信息能力等方面具有極大的不對稱性，網(wǎng)絡(luò)用戶證明信息處理者的侵權(quán)行為存在過錯具有較大的難度。由于《民法典》第1165條第一款、第1194條的歸責原則均為一般過錯原則，在“誰主張、誰舉證”的舉證責任分配規(guī)則下，被侵權(quán)人承擔了較重的舉證責任。故有學者主張在個人信息保護法中確立個人信息侵權(quán)“過錯推定”原則。④齊愛民：《中華人民共和國個人信息保護法示范法草案學者建議稿》，《河北法學》2005年第6期，第2頁。在比較法上，德國在審判實踐與理論通說中，一直堅持非公務(wù)機關(guān)個人信息侵權(quán)“過錯推定”原則。⑤葉名怡：《個人信息的侵權(quán)法保護》，《法學研究》2018年第4期，第88頁，第93頁?！秱€保法（草案）》規(guī)定：“個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責任。”該表述說明我國立法機關(guān)也試圖在個人信息侵權(quán)案件中確立“過錯推定”的歸責原則。

在現(xiàn)行法律規(guī)定下，法官在實踐中應(yīng)當根據(jù)案件的具體情況，合理分配當事人的舉證責任。同時，在證明信息處理者實施了侵害個人信息的行為時，可以降低被侵權(quán)人的舉證證明標準，采用“高度可能性”的判斷標準。⑥程嘯：《論侵害個人信息的民事責任》，《暨南學報》（哲學社會科學版）2020年第2期，第39頁。在前述“微信讀書”侵權(quán)案例中，無論原告還是被告均未能提出決定性證據(jù)，證明原告的“微信讀書”里已有的關(guān)注人和被關(guān)注人是哪一方添加的。法院因“騰訊一方面曾承認存在自動添加關(guān)注的版本，另一方面其有能力提供用戶添加關(guān)注操作的后臺操作說明以及是否設(shè)計自動關(guān)注功能的代碼卻不提供”而采信原告的主張，認定“微信讀書”中存在自動添加關(guān)注的情況，很好地分配了當事人雙方的舉證責任，維護了個人信息侵權(quán)案件中弱勢方的利益。