張廣旭

摘? ?要：隨著信息網(wǎng)絡(luò)行業(yè)的快速發(fā)展，個人信息侵權(quán)問題逐漸成為社會關(guān)注的焦點，信息安全面臨著前所未有的挑戰(zhàn)。2021年，我國《個人信息保護法》出臺，為個人信息保護建立了基本法律框架，但其中些許制度的具體細化要求尚未詳盡。因此，從我國個人信息保護立法現(xiàn)狀出發(fā)，對個人信息保護的立法體系、侵權(quán)損害賠償責任、信息收集與監(jiān)管等方面問題進行探討，并提出建議，希望能為我國突破個人信息立法保護困境，推進我國數(shù)據(jù)信息行業(yè)蓬勃發(fā)展貢獻綿薄之力。

關(guān)鍵詞：個人信息；立法保護；行業(yè)自律

中圖分類號：D923.4? ? ? 文獻標志碼：A 文章編號：1673-291X（2023）08-0159-03

一、個人信息概述

（一）個人信息的概念

在《個人信息保護法》施行之前，我國對個人信息的界定主要是通過參考2021年施行的《民法典》第一千零三十四條，即個人信息是以電子或者其他方式記錄的，能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期……這是《民法典》第一次將個人信息界定為一項民事權(quán)益進行保障。隨后，2021年11月我國正式施行《個人信息保護法》，其中第四條進一步明確了個人信息的概念：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。第四條規(guī)定的個人信息概念綜合考慮了個人信息的識別性和相關(guān)性。與《民法典》中對個人信息概念的規(guī)定相比，《個人信息保護法》增加了“不包括匿名化處理后的信息”這一內(nèi)容，將匿名化的個人信息排除在了個人信息范圍之外，對個人信息的定義進行了更加精細的規(guī)定，為其保護提供了更為明確的要求。

（二）個人信息的法律屬性

當前我國學(xué)界關(guān)于個人信息的法律屬性存在多種學(xué)說，具體而言包括下列幾種。

1.財產(chǎn)權(quán)說。信息網(wǎng)絡(luò)社會的飛速發(fā)展對這一學(xué)說影響較大。具體來說，大數(shù)據(jù)推送技術(shù)應(yīng)用的推廣，使個人信息逐漸演變?yōu)橐环N新型“商品”，個人信息顯示出其潛在的經(jīng)濟利益，其具有的財產(chǎn)權(quán)益被嚴重侵犯。所以在學(xué)術(shù)界中，一些學(xué)者認為個人信息所體現(xiàn)出的財產(chǎn)屬性應(yīng)作為個人信息立法保護的重點，應(yīng)賦予個人信息主體財產(chǎn)權(quán)，使其能實現(xiàn)對經(jīng)濟利益占有、使用、處分的權(quán)利。

2.人格權(quán)說。支持人格權(quán)說的學(xué)者認為，個人信息與信息主體的聯(lián)系十分緊密，因為在多數(shù)個人信息被侵犯的案件中，信息主體的人格權(quán)益也受到了一定程度的損害，所以個人信息權(quán)益中應(yīng)包含人格尊嚴與人格自由的屬性。王利明教授認為，個人信息權(quán)益應(yīng)定義為信息主體依法對其個人信息所享有的支配、控制并排除他人侵害的權(quán)利[1]。個人信息保護應(yīng)以保障人格的尊嚴與平等為目的，確保信息主體具有支配的權(quán)利。若將其認定為財產(chǎn)權(quán)法律屬性，則必定會對信息主體的人格平等造成傷害[2]。

3.綜合權(quán)利說。綜合權(quán)利說認為，個人信息既具備人格利益屬性，又具備財產(chǎn)利益屬性。這是折中的學(xué)說。綜合權(quán)利說認為，當個人信息權(quán)益受到侵犯時，信息主體只有尋求了人格權(quán)與財產(chǎn)權(quán)的雙重救濟，才能最大限度保障自身利益。

二、個人信息的國內(nèi)外立法現(xiàn)狀

（一）美國的個人信息保護模式

美國是將個人信息劃分到隱私權(quán)所涵蓋的領(lǐng)域內(nèi)進行保護的。由于美國立法體制的復(fù)雜性，對于個人信息的保護采取分散立法模式。例如，美國有關(guān)個人信息保護的法律規(guī)范不僅在公私部門之間存在區(qū)分，而且在聯(lián)邦政府和各州立法之間也有不同之處；在憲法領(lǐng)域美國以判例法的形式體現(xiàn)隱私權(quán)，而在聯(lián)邦立法層面則以成文法的形式對隱私權(quán)的一些私法領(lǐng)域進行規(guī)范。這種分散立法模式使美國的隱私權(quán)保護體制更似網(wǎng)形構(gòu)造，美國學(xué)者將這種保護體制比喻為“變色龍”。這種體制使美國個人信息保護問題能夠得到更靈活、更全面的解決方式。美國對于個人信息的保護還采用了行業(yè)自律模式，即行業(yè)協(xié)會依據(jù)各行業(yè)的特征來制定行業(yè)規(guī)范、行業(yè)公約，以此來規(guī)范行業(yè)內(nèi)部信息收集、處理行為。與法律規(guī)范相比，行業(yè)自律模式減少了執(zhí)法成本，提高了社會治理水平，基于其靈活性，能夠更有針對性地應(yīng)對行業(yè)中個人信息保護問題的新情況。

（二）歐盟個人信息保護模式

歐盟采用了統(tǒng)一立法模式對個人信息進行保護。這種模式通過在個人信息領(lǐng)域建立統(tǒng)一法律標準，使得個人信息的法律保護更加明確。歐盟對個人信息的保護起始于《歐盟數(shù)據(jù)保護指令》。但在近20余年中，互聯(lián)網(wǎng)行業(yè)突飛猛進的發(fā)展，使《歐盟數(shù)據(jù)保護指令》在一些基礎(chǔ)概念規(guī)定、自身法律效力級別等方面的問題愈加明顯，難以再應(yīng)對個人信息的新變化。2018年，歐盟出臺《通用數(shù)據(jù)保護條例》，確立歐洲地區(qū)個人信息保護的標準，將個人信息保護問題再次提升至重要地位。相比于《歐盟數(shù)據(jù)保護指令》，《條例》的適用范圍有了顯著的擴大。尤其值得一提的是，《條例》增設(shè)了被遺忘權(quán)、知情同意原則等規(guī)定，為當時我國的個人信息保護立法提供了可資借鑒的經(jīng)驗。具體而言，《條例》中明確的被遺忘權(quán)，是指對于發(fā)布在網(wǎng)絡(luò)上的不當?shù)?、繼續(xù)保留會降低評價的信息，信息主體要求信息控制者刪除的權(quán)利[3]。被遺忘權(quán)的增設(shè)使信息主體能自由控制個人信息，維護了公民的隱私與名譽，加強了人格利益的保護。知情同意原則是指，互聯(lián)網(wǎng)信息收集者在收集信息時要告知信息主體收集的范圍、收集的目的和收集的方式，并且要經(jīng)過信息主體的同意，得到授權(quán)之后才能使用公民個人的基本信息[4]。知情同意原則有力保障了信息收集時信息主體的知情權(quán)和同意權(quán)，防止了個人信息被非法獲取。

（三）中國個人信息保護模式

我國早在多部特別法中就對個人信息進行了規(guī)定，最早可溯源于2000年通過的《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》。至今，我國包含有關(guān)個人信息保護條款的法律有50部，行政法規(guī)有79部，部門規(guī)章有160余部[5]。2021年出臺的《個人信息保護法》是我國個人信息領(lǐng)域的專門法，通過該法建立了完善的個人信息保護制度。此法對個人信息保護領(lǐng)域做出了統(tǒng)一規(guī)定，并將個人信息保護上升到憲法高度，明確了個人信息保護的憲法基礎(chǔ)。對于《民法典》中有關(guān)個人信息的基礎(chǔ)概念、相關(guān)權(quán)利和義務(wù)規(guī)定存在的不足，《個人信息保護法》作出了更加合理的修改和完善[6]。以信息主體相關(guān)權(quán)利方面的補充為例，其規(guī)定了信息主體的知情權(quán)、刪除權(quán)、查閱復(fù)制權(quán)等權(quán)利，構(gòu)造了權(quán)利保障的基礎(chǔ)框架。我國在個人信息保護領(lǐng)域的當務(wù)之急是出臺《個人信息保護法》規(guī)定制度的具體落實細則，加快相應(yīng)司法解釋制定。

三、我國個人信息保護存在的問題

（一）個人信息立法體系方面

雖然我國已出臺《個人信息保護法》，但是除《個人信息保護法》外，絕大多數(shù)與個人信息保護相關(guān)的規(guī)定零散存在于我國幾百部法律法規(guī)文件之中。分析整理這些文件不難發(fā)現(xiàn)其中不足。一方面，這些法律法規(guī)中的多數(shù)個人信息規(guī)定較為粗糙，條款間相似度與重復(fù)度高、原則性條款與概括性條款規(guī)定過多，在實務(wù)中適用性較弱。另一方面，各法律法規(guī)間法律關(guān)系不明確，未形成緊密、有序的法律體系。例如，自《個人信息保護法》出臺后，實務(wù)界、學(xué)術(shù)界對《個人保護法》與以《民法典》為代表的各部門法之間的關(guān)系飽存爭議。

（二）侵犯個人信息權(quán)益的精神損害賠償方面

《個人信息保護法》第六十九條規(guī)定：處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當承擔損害賠償?shù)惹謾?quán)責任。該條對個人信息侵權(quán)損害賠償責任進行了規(guī)定，即適用過錯推定責任；此外，該條第二款還明確了侵權(quán)損害賠償數(shù)額計算原則，彌補了之前個人信息保護對侵權(quán)規(guī)則和賠償數(shù)額規(guī)定的不足，降低了個人信息侵權(quán)案件中被侵權(quán)人的舉證難度。但是隨著大數(shù)據(jù)行業(yè)的快速發(fā)展，個人信息的敏感度逐漸增強，在一些侵犯個人信息的案件中，被泄露個人信息的主體往往會產(chǎn)生擔心、焦慮，甚至恐懼的精神心理。所以，侵犯個人信息權(quán)益也會給被侵權(quán)人造成精神損害。以“徐玉玉電信詐騙案”為例，家庭貧困的徐玉玉因錄取信息泄露，被詐騙走學(xué)費，傷心欲絕，精神受到嚴重痛苦，最終死亡。在該類案件中，因個人信息被侵犯受到的精神損害的情況并未明確規(guī)定在第六十九條。由此產(chǎn)生一個問題：對于因個人信息侵權(quán)行為產(chǎn)生的精神損害賠償是否屬于第六十九條“損害”的范圍？第六十九條是否為個人信息侵權(quán)案件中信息主體請求精神損害賠償?shù)姆梢罁?jù)？學(xué)界對此爭議較大。

（三）個人信息收集、監(jiān)管環(huán)節(jié)方面

在個人信息的收集環(huán)節(jié)，信息收集者收集個人信息應(yīng)以知情同意原則為依據(jù)，即信息收集者在收集個人信息時，應(yīng)當對信息主體被收集、處理和利用的有關(guān)個人信息情況進行充分的告知，并征得其明確同意[7]。但是在數(shù)字社會，與信息收集者相比，信息主體明顯處于劣勢地位，對個人信息的控制能力也更弱一些，多數(shù)情況下個人信息的收集并非出于信息主體的自愿?！秱€人信息保護法》中雖然明確規(guī)定了知情同意原則，但是對于知情同意原則適用的具體細節(jié)卻并未做出要求，使得實踐中的知情同意原則失靈。在監(jiān)管環(huán)節(jié)，無論是政府還是公司企業(yè)對其收集、保管的個人信息監(jiān)管均存在不足。一方面，在對個人信息的管理上缺乏規(guī)范制度，各行業(yè)均缺少根據(jù)行業(yè)特點制定的個人信息保護機制；另一方面，信息網(wǎng)絡(luò)的快速發(fā)展也使得個人信息保護的執(zhí)法成本增高，以至監(jiān)管壓力越來越大。

四、完善我國個人信息立法保護的建議

（一）完善個人信息立法保護體系。

一方面要整合現(xiàn)有的法律法規(guī)。針對前文提到的個人信息立法不夠細化、相似度與重復(fù)度高的問題，立法者應(yīng)對不合適的法律法規(guī)進行修改與清理。各地方立法者應(yīng)因地制宜，在不違反上位法的前提下，結(jié)合地方歷史傳統(tǒng)、風俗習(xí)慣、經(jīng)濟水平等實際情況制定體現(xiàn)地方特色的個人信息保護法律規(guī)范，避免一味照搬照抄上位法。另一方面要健全立法體系內(nèi)個人信息保護法律規(guī)范銜接。對此，立法者可以《個人信息保護法》為核心，與整合的相關(guān)法律法規(guī)形成完善的個人信息立法保護系統(tǒng)。尤其要注重解決在法律適用等方面的矛盾，考慮各部法律、法規(guī)間的兼容，實現(xiàn)個人信息保護法律規(guī)范緊密、有序銜接。

（二）理清侵犯個人信息權(quán)益的精神損害賠償責任

對于《個人信息保護法》第六十九條的規(guī)定是否包含個人信息侵權(quán)的精神損害賠償責任，學(xué)術(shù)界分為肯定說與否定說?？隙ㄕf認為，當個人信息權(quán)益受到侵犯時，被侵權(quán)人既可獲得財產(chǎn)損害賠償，又可獲得精神損害賠償；而否定說卻認為，第六十九條并未規(guī)定該責任。但在是否可以請求精神損害賠償這一問題上，我國學(xué)者均認為被侵權(quán)人可以請求精神損害賠償。對于該精神損害賠償請求權(quán)的法律依據(jù)，筆者支持程嘯教授的觀點，認為可以適用第六十九條的規(guī)定。第六十九條在措辭上選擇使用的是“損失”一詞，而未如《民法典》第一千一百八十二條那樣使用“財產(chǎn)損失”的表述，所以損失既包括財產(chǎn)損失也包括精神損失[8]。因此，被侵權(quán)人可以第六十九條為個人信息侵權(quán)案件中精神損害賠償請求權(quán)為法律依據(jù)。

（三）優(yōu)化知情同意原則，推動行業(yè)自律模式

一方面，應(yīng)增強知情同意原則的可操作性，優(yōu)化知情同意機制。在收集信息時，應(yīng)完善信息收集者的告知義務(wù)，對個人信息的收集目的、使用范圍、后期信息的處理等內(nèi)容要以簡單明了、突出重點的形式告知信息主體。對不同年齡的信息主體的信息采集方式要加以區(qū)分，做到與其年齡、理解能力相匹配。還可以嘗試建立層級化、動態(tài)化信息收集模式，將個人信息根據(jù)敏感程度分級處理。在優(yōu)化知情同意原則同時，還應(yīng)明確與知情同意原則相關(guān)的刪除權(quán)的規(guī)定。我國對于信息主體刪除權(quán)的細化可以參考歐盟個人信息保護中被遺忘權(quán)的相關(guān)規(guī)定，圍繞此權(quán)利的主體、客體、內(nèi)容及適用范圍等方面明確具體要求。

另一方面，對于個人信息監(jiān)管難題，可以嘗試引入行業(yè)自律模式。行業(yè)協(xié)會作為自律組織進行自我管理擁有十分悠久的歷史，如今在很多領(lǐng)域的應(yīng)用都極為普遍[9]。行業(yè)協(xié)會更了解行業(yè)內(nèi)經(jīng)營規(guī)則，所以可以根據(jù)對個人信息收集處理的不同情況，制定更有針對性的自律規(guī)定。由于自律規(guī)定是行業(yè)內(nèi)部多方充分協(xié)商與讓步的結(jié)果，權(quán)衡了各方利益，所以會得到行業(yè)內(nèi)部經(jīng)營者更多的認可。行業(yè)自律模式可依據(jù)對行業(yè)實際情況的了解與經(jīng)驗積累，實現(xiàn)以比政府更高的執(zhí)行效力和更低的成本保護個人信息[10]。

在萬物互聯(lián)的數(shù)字時代，我們在享受信息數(shù)據(jù)經(jīng)濟紅利的同時，也要保障好公民個人信息的權(quán)益，落實好個人信息的立法保護。通過完善個人信息保護的立法體系、健全侵權(quán)救濟責任、將個人信息的監(jiān)管權(quán)利讓渡行業(yè)進行自我管理、保障知情同意原則的有效實施等措施，解決侵害個人信息權(quán)益的問題，為個人信息保護構(gòu)筑堅實的法律屏障。

參考文獻：

[1]? ?王利明.人格權(quán)法研究[M].北京：中國人民大學(xué)出版社，2012：611.

[2]? ?王利明．論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學(xué)，2013，（4）：62-72.

[3]? ?楊立新，韓煦.被遺忘權(quán)的中國本土化及法律適用[J].法律適用，2015，（2）：24-34.

[4]? ?李雪峰.個人信息保護中知情同意原則的困境和應(yīng)對措施[J].法制博覽，2022，（6）：33.

[5]? ?威科先行法律信息庫[EB/OL].（2019-05-07）[2022-08-08].https：//law.wkinfo.com.cn/legislation/list？simple

[6]? ?龍衛(wèi)球.《個人信息保護法》的基本法定位與保護功能——基于新法體系形成及其展開的分析[J].現(xiàn)代法學(xué)，2021，（5）.

[7]? ?張新寶.個人信息收集：告知同意原則適用的限制[J].比較法研究，2016，（6）.

[8]? ?程嘯.侵害個人信息權(quán)益的侵權(quán)責任[J].中國法律評論，2021，（5）：59-69.

[9]? ?劉張君.金融管制放松條件下銀行自律研究[M].北京：中國金融出版社，2009：82-83.

[10]? ?張繼紅.大數(shù)據(jù)時代個人信息保護行業(yè)自律的困境與出路[J].財經(jīng)法學(xué)，2018，（6）.

[責任編輯? ?興? ?華]