張 力,黃 鑫

(西南政法大學 民商法學院，重慶 401120)

大數(shù)據(jù)時代，個人信息的海量收集與大規(guī)模處理引發(fā)的社會問題比比皆是，加強個人信息保護已成為社會共識。但法律究竟該以何種路徑進行保護，目前仍存在爭議。主流觀點認為，應(yīng)采取個體主義的立場，將個人信息作為私權(quán)客體通過私法路徑加以全面保護，其內(nèi)部包括具體人格權(quán)說[1]、一般人格權(quán)說[2]、人格權(quán)兼財產(chǎn)權(quán)說[3]等。新晉觀點主張，個人信息天然具有易于流通和分享的特性，難以成為私權(quán)客體，我國未來的個人信息保護立法應(yīng)當側(cè)重消費者法保護和公法保護的路徑[4]。

筆者認為，這兩種觀點都偏向于某種極端。鑒于個人信息天然的公共價值屬性，傳統(tǒng)私權(quán)化保護模式的確存在明顯的局限性。而且，面對大數(shù)據(jù)時代系統(tǒng)化的信息安全風險，出于管控國家網(wǎng)絡(luò)信息安全、維護承載于個人信息上的公共利益的需要，公法介入個人信息保護勢在必行。但這種介入不能矯枉過正，不能完全采取以公法為主導(dǎo)的保護模式，私法并非毫無用武之地。在公、私領(lǐng)域相互交錯的背景下，單一私法保護和完全公法規(guī)制之間仍存在折衷地帶——建構(gòu)公私法整合保護模式。為此，應(yīng)當跳脫權(quán)利思維定式，重新厘定個人信息的私法屬性，采取“權(quán)利”和“法益”相區(qū)分的保護模式。宜將具體人格權(quán)射程范圍之外的個人信息定性為“法益”，通過“違反保護他人的法律的侵權(quán)責任”進行保護，進而以《侵權(quán)責任法》第6條第1款作為轉(zhuǎn)介工具，將公法上的個人信息保護性規(guī)定源源不斷地轉(zhuǎn)介入私法，以它們所確立的行為標準作為個人信息侵權(quán)判斷的依據(jù)，實現(xiàn)公私法規(guī)范的接軌匯流，達致個人信息保護整體法秩序的和諧。

一、個人信息私權(quán)化保護的困境

(一)當前立法規(guī)范所呈現(xiàn)的個人信息權(quán)利化傾向

近年來，我國對公民的個人信息保護日益重視，自2012年全國人大常委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》以來，頒布了大量有關(guān)個人信息保護的法律規(guī)范，例如，《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)《信息安全技術(shù)個人信息安全規(guī)范》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等，初步構(gòu)建了個人信息保護體系。2020年5月28日，《中華人民共和國民法典》(以下簡稱《民法典》)正式頒行。這部“社會生活的百科全書”也在人格權(quán)編中專章規(guī)定了“隱私權(quán)和個人信息保護”，并依據(jù)總則第111條的精神進行了具體的制度安排，構(gòu)成了個人信息保護的制度基礎(chǔ)。

通過梳理上述法律規(guī)范的體系和內(nèi)容可以看出，目前關(guān)于個人信息保護的法律規(guī)范呈現(xiàn)出以下兩個特點。其一，將所有個人信息統(tǒng)一保護，適用同樣的保護規(guī)則。以《民法典》人格權(quán)編為例，第1034條第2款采用了比較法上通行的“可識別性”規(guī)則，總結(jié)了《網(wǎng)絡(luò)安全法》第76條的立法經(jīng)驗，明確了個人信息的內(nèi)涵和外延。關(guān)于個人信息的抽象定義和具體列舉，《民法典》和《網(wǎng)絡(luò)安全法》都未區(qū)分不同屬性、不同類型的個人信息，所有個人信息在邏輯體系上都適用一致的保護規(guī)則。其二，把個人“選擇”或“同意”作為收集個人信息的合法性要件，并確立信息更正權(quán)等一系列信息權(quán)利?！睹穹ǖ洹返?035條確立了個人信息處理的合法性、正當性、必要性原則，將當事人“同意”視為收集、處理自然人個人信息的唯一的合法性前提，僅在第1036條規(guī)定了有限的作為例外情況的免責條件。第1037條規(guī)定了信息主體的查閱、復(fù)制、更正、刪除等系列權(quán)能，與第1035條相結(jié)合，賦予了信息主體在個人信息公開前后對信息收集和信息處理活動的“決定權(quán)”。

縱觀其規(guī)范架構(gòu)不難發(fā)現(xiàn)，當前的立法規(guī)范是以“信息自決”這一基本理念作為基礎(chǔ)并構(gòu)建起相關(guān)權(quán)能體系，將所有的個人信息無差別地視為私權(quán)的客體，并且沿襲了以“用戶同意”為主要授權(quán)手段的傳統(tǒng)路徑，試圖賦予信息主體對與之相關(guān)的個人信息以“控制權(quán)”。然而，“一刀切”地將所有個人信息作為私權(quán)客體給予統(tǒng)一保護是否符合個人信息的復(fù)雜屬性？能否應(yīng)對多樣化的社會現(xiàn)實？上述制度構(gòu)建所呈現(xiàn)的“信息自決”這一制度目標以及所確立的“控制權(quán)”是否現(xiàn)實可行？

(二)個人信息私權(quán)化保護路徑的困境

上述以“信息自決”為基礎(chǔ)的立法規(guī)范，本質(zhì)上是在權(quán)利思維的框架下進行的制度構(gòu)建，試圖在個人信息之上構(gòu)建一種“控制性信息權(quán)利”。然而，絕大部分個人信息不具備“歸屬效能”“排他效能”以及“社會典型公開性”[5]，無法滿足作為權(quán)利加以保護的基本特征。建構(gòu)以支配和控制為目的的個人信息自決權(quán)(information self-determination)，以“知情-同意”機制作為實現(xiàn)路徑，不僅在基礎(chǔ)法理層面存在無法自洽的邏輯硬傷，在具體實施過程中也面臨著巨大挑戰(zhàn)。

1.過度保護阻礙行為自由

無論人身權(quán)抑或是財產(chǎn)權(quán)，其核心功能都在于將特定利益歸屬于特定主體，從而排除其他主體的不法干涉。然而，個人信息是一個極具開放性和包容性的概念，能夠涵蓋一切具有“識別性”的數(shù)據(jù)信息，不僅外延寬泛、邊界模糊，在技術(shù)上也無法為任何主體所支配。若建構(gòu)起導(dǎo)向支配、控制性的個人信息權(quán)，苛求行為人對個人信息的關(guān)注，也要承擔和對權(quán)利的關(guān)注同等的注意義務(wù)[6]，必將對信息收集和處理的行為自由造成不合理的過度限制，阻礙信息的自由流通和合理利用。

首先，個人信息不具備“歸屬效能”和“排他效能”。個人信息雖可識別特定自然人，但此種聯(lián)系并不足以使個人信息完全歸屬于特定個人，或者使個人就具有識別性的個人信息享有排他性的支配利益。作為人類社會屬性的載體，個人信息讓個人能夠標識自己，也使社會公眾能夠辨識該特定個人，讓其獲得人格并融入社會，最終達成卡爾·馬克思所說的“人是社會關(guān)系的總和”。此種溝通媒介功能使個人信息天然具有公共價值屬性和易于流通性。因此，個人信息不能比照“物”的原始取得方式與信息主體形成歸屬關(guān)系。相反，每一條信息(即便是個人信息)都是多歸屬的，不能只為受影響的各方所壟斷，更無法歸屬于特定個人，不具備“歸屬效能”?！芭潘堋币浴皻w屬效能”的存在為前提，既然個人信息不能完整地歸屬于信息主體，信息主體則無法完全支配和控制與之相關(guān)的個人信息。在個人信息被處理時，信息主體雖享有一定的發(fā)言權(quán)，但并不總是擁有最終決定權(quán)，難以絕對排除他人的干涉，因此，也不具備“排他效能”。

其次，個人信息不具備“社會典型公開性”。主觀權(quán)利的客體能夠通過一定的公示手段清晰明了地昭然于世，使得社會一般人盡到合理注意義務(wù)之后能夠避免或減少侵害的可能性。然而，姓名、肖像、隱私信息之外的絕大部分個人信息，如Cookie信息、交易記錄等人格疏遠型個人信息，這些在網(wǎng)絡(luò)空間活動中遺留的瑣細、零散的數(shù)字足跡根本不具備清晰可見的客體外觀，無法通過公示為他人劃定行為禁區(qū)。私人之間的追責須以“期待可能性”為前提，個人信息不具備“社會典型公開性”，個人信息的“假定權(quán)利人”與潛在侵權(quán)行為人之間沒有一條清晰的界限，行為人固然無法判斷何時發(fā)生了“越界”。若承認信息主體對一切個人信息的收集、處理、利用擁有絕對的控制權(quán)，必將導(dǎo)致個人信息收集者、利用者處于動輒得咎的窘境，自由意志難以揮灑，無法充分發(fā)揮上述人格疏遠型個人信息之上所附著的巨大經(jīng)濟價值，甚至還會導(dǎo)致“隱形交易更加猖獗”[7]。

綜上所述，個人信息不能通過“歸屬效能”“排他效能”以及“社會典型公開性”三大標準的檢驗，并非典型、規(guī)律、公開的權(quán)利客體，難以為其他民事主體的行為提供合理的預(yù)期，不具有使他人避免侵害的期待可能性。若執(zhí)意在個人信息之上建立具有絕對性和排他性的控制權(quán)，不僅會讓自然人陷入信息孤島，個人信息侵權(quán)現(xiàn)象也會在日常生活中“逐漸泛化”[8]，而且整個社會終將因無窮的相互訴追而秩序大亂。

2.保護不足形成控制幻覺

在個人信息“權(quán)利化”的思維定式下，“知情-同意”機制被視為“個人信息保護的基石”和“信息自決權(quán)的真實表達”。該機制的基本運行邏輯是，只有經(jīng)過信息主體的同意，個人信息的收集和利用方可取得合法性，主要目的在于保障信息主體對與之相關(guān)的個人信息的“控制權(quán)”。

然而，隨著互聯(lián)網(wǎng)的高速發(fā)展和智能設(shè)備的深度開發(fā)與多樣化應(yīng)用，數(shù)據(jù)企業(yè)通過日臻完善的大數(shù)據(jù)挖掘技術(shù)對所收集的用戶個人信息進行智能整合、重組、建模以及再利用。在信息流動的周期過程中，信息用戶對與之相關(guān)的個人信息的控制權(quán)逐漸式微，繼而成為信息網(wǎng)絡(luò)中信息生成、變化和流轉(zhuǎn)過程中的一個節(jié)點。信息時代，任何主體都無法真正占有和完全控制個人信息。由此看來，賦予用戶對與之相關(guān)的個人信息以“控制權(quán)”不過是立法者的一廂情愿。

況且，想要通過“知情-同意”機制保障所謂的“控制權(quán)”也并不具有可操作性。現(xiàn)實生活中，由于缺乏個人信息保護意識或相關(guān)專業(yè)知識與技能等原由，人們不閱讀或幾乎不閱讀冗長艱澀的隱私聲明。即便對某些條款有異議，用戶也只能被迫接受，否則就無法使用軟件或接受服務(wù)，這實質(zhì)上架空了用戶的選擇權(quán)。

彰顯私法自治的“知情-同意”機制在實踐中流于形式，成了空中樓閣，隱私聲明簡而無用、多而無功，變成“僵尸條款”[9]。這種建立在法律虛構(gòu)基礎(chǔ)上的機制在加強個人隱私權(quán)益保護方面幾乎形同虛設(shè)，反而會造成一種無法實現(xiàn)的控制幻覺，讓用戶自以為能夠控制與之相關(guān)的個人信息或是對信息收集和處理能夠起到?jīng)Q定性作用。

3.難以應(yīng)對系統(tǒng)化信息安全風險

大數(shù)據(jù)時代，數(shù)據(jù)的產(chǎn)業(yè)化應(yīng)用已然成為數(shù)字經(jīng)濟的重要標志之一。大規(guī)模的個人信息收集和利用數(shù)見不鮮，信息資源也成為不可或缺的無形資產(chǎn)和社會財富。為充分發(fā)揮數(shù)據(jù)的商業(yè)價值，許多企業(yè)選擇將收集到的用戶信息外包給獨立的專業(yè)化信息處理企業(yè)進行整合分析。“第三方信息處理者”應(yīng)運而生并且已成為個人信息商業(yè)價值挖掘的重要一環(huán)。

無可否認，“第三方信息處理者”的加入雖然便捷了企業(yè)經(jīng)營，增強了信息處理的專業(yè)性和有效性，但也進一步加劇了大規(guī)模的個人信息泄露和非法買賣頻發(fā)的風險。此種信息處理模式增強了“個人信息收集的隱蔽性及流轉(zhuǎn)的復(fù)雜性”[10]，用戶面臨的不再僅僅是與服務(wù)提供商直接、單一的聯(lián)系，還要同時面對與數(shù)據(jù)中間商和數(shù)據(jù)后續(xù)利用者等多重主體的關(guān)聯(lián)。這個過程不僅涉及多方主體，且侵害過程更加復(fù)雜，損害結(jié)果也更具潛伏性、持續(xù)性和放大性。愈發(fā)復(fù)雜的信息收集方式和信息不規(guī)范流轉(zhuǎn)，使得單個的信息用戶很難客觀、有效地判斷和防范此種復(fù)雜性和系統(tǒng)化信息安全風險，即便受到侵害也無力舉證證明實際侵權(quán)人及自己所受的具體損害，難以通過提起侵權(quán)訴訟獲得救濟。

私法(侵權(quán)法)主要功能是救濟獨立的、一次性的侵權(quán)損害，只能在微觀私域?qū)€人信息權(quán)益作有限保護。面對極具系統(tǒng)性、復(fù)雜性的信息安全風險，傳統(tǒng)私法(侵權(quán)法)已捉襟見肘，既無法為單個受害人提供救濟，也無法憑借一己之力對抗個人信息權(quán)益在大數(shù)據(jù)時代所面臨的種種威脅。

概言之，近年來，立法逐漸形成的統(tǒng)一化保護規(guī)則和知情同意框架，過于嚴苛地束縛了數(shù)據(jù)的流通和利用，不僅嚴重阻礙了社會正常交往，也抑制了“信息石油”的價值挖掘，對數(shù)據(jù)經(jīng)濟發(fā)展和技術(shù)創(chuàng)新構(gòu)成了制度性約束，在具體實施過程中既面臨著“過度保護”和“保護不足”的雙重困境，同時也難以回應(yīng)復(fù)雜性、系統(tǒng)化的信息安全風險。

二、個人信息私法屬性的重新厘定

權(quán)利思維定式無法將以民事公共秩序為表征的民事法益納入其分析和調(diào)整范圍，并導(dǎo)致權(quán)利的非理性擴張。在個人信息保護方面，表現(xiàn)為上述立法規(guī)范所呈現(xiàn)的個人信息權(quán)利化傾向，主張設(shè)立支配性、控制性的個人信息權(quán)，構(gòu)建被遺忘權(quán)(right to be forgotten)、更正權(quán)、訪問權(quán)、數(shù)據(jù)可攜權(quán)(right to data portability)等系列權(quán)能，以保障個人信息不受非法侵害。然而如前所述，無論采取何種權(quán)利定性，試圖通過個人信息的權(quán)利構(gòu)建來規(guī)制和保護個人信息都存在諸多理論上的齟齬。此種保護路徑既不符合個人信息的非客體性，也無法為個人信息權(quán)益提供實質(zhì)保護，反而成為信息時代釋放數(shù)據(jù)紅利的嚴重掣肘。

傳統(tǒng)的個人信息私權(quán)化的制度構(gòu)架之所以面臨上述困境，究其根本，在于沒有真正厘清個人信息的復(fù)雜屬性，采取“一刀切”的方式將全部個人信息作為私權(quán)客體予以排他性保護，從而忽略了絕大部分個人信息的公共價值屬性和承載的社會公共利益。因此，個人信息已經(jīng)難以為傳統(tǒng)的民事權(quán)利譜系所包容，亟需破舊立新，因勢利導(dǎo)，跳脫民法權(quán)利思維的束縛，重新厘清個人信息的復(fù)雜屬性和所承載的多重權(quán)益，梳理保護路徑。

按照國際上通行之“識別”標準，一切可以“識別”(直接識別或間接識別)特定自然人的數(shù)據(jù)信息都可以納入個人信息的范疇。可見，個人信息的外延非常寬泛，不同屬性的個人信息之上所附著的人格性權(quán)益、財產(chǎn)性權(quán)益和社會公共利益的程度均不相同，若將所有個人信息視為樣態(tài)統(tǒng)一、性質(zhì)不變的權(quán)利客體而適用相同或類似的保護規(guī)則，不僅在技術(shù)上缺乏現(xiàn)實可能性，而且會導(dǎo)致法律適用上的利益失衡。只有對受保護的個人信息進行類型化處理，才能“避免個人信息概念的模糊性缺陷，防止規(guī)范適用的空洞化”[11]。本文根據(jù)個人信息的性質(zhì)和承載權(quán)益的不同，將個人信息內(nèi)容類型化，區(qū)分隱私權(quán)、姓名權(quán)、肖像權(quán)等具體人格權(quán)所調(diào)整的范圍，以及歸屬于法益的部分，分別適用不同的侵權(quán)責任。

(一)“具體人格權(quán)”范疇所涵蓋的個人信息

個人信息與既定的具體人格權(quán)的權(quán)利內(nèi)容有著千絲萬縷的聯(lián)系。具體而言，姓名權(quán)、肖像權(quán)、名譽權(quán)、隱私權(quán)等具體人格權(quán)囿于社會倫理道德觀念的束縛，未能經(jīng)受充分的市場經(jīng)濟洗煉，形塑出穩(wěn)定、清晰的內(nèi)涵、范圍以及權(quán)能構(gòu)造，其中標表自然人人格和身份特質(zhì)的內(nèi)容逸散而出，與信息時代個人信息不受非法收集利用的法益相結(jié)合，形成“個人信息權(quán)益”。

姓名信息、肖像信息、隱私信息等直接表征和彰顯自然人身份特質(zhì)的個人信息，特別是其中具有高度敏感性和私密性的個人生物識別信息、醫(yī)療健康信息、金融信息等，呈現(xiàn)出極強的人格利益，其泄露和非法使用將會嚴重影響個人的基本生活、侵犯人格尊嚴和人格自由發(fā)展，需將其作為“權(quán)利”客體，適用“一旦侵害，直接征引違法性”的侵權(quán)規(guī)則以提供絕對保護。與此同時，這些指涉核心人格領(lǐng)域、緊密關(guān)聯(lián)個人私生活的個人信息，與姓名權(quán)、肖像權(quán)、隱私權(quán)等具體人格權(quán)的保護對象高度重合。因此，當加害人的行為既侵害了個人信息權(quán)益，也侵害了隱私權(quán)、肖像權(quán)、姓名權(quán)等具體人格權(quán)時，應(yīng)當直接適用具體人格權(quán)的救濟進路，通過業(yè)已成熟的人格權(quán)救濟機制為其提供周全保護。這也可以解釋長期以來司法實踐中個人信息保護相對于名譽權(quán)、隱私權(quán)保護的“附屬”地位[12]。

(二)“法益”范疇所涵蓋的個人信息

具體人格權(quán)射程范圍之外的其他個人信息，例如，Cookie信息、網(wǎng)絡(luò)交易記錄等，這些零散、破碎又微小的信息與特定的IP地址相連，通過大數(shù)據(jù)的發(fā)掘、整合技術(shù)進行分析、重組，已然具備了“可識別性”或“關(guān)聯(lián)性”，擴大了個人信息的范圍。然而，此種人格疏遠型個人信息與上述關(guān)涉人格尊嚴核心領(lǐng)域的個人信息有著實質(zhì)差別。

一方面，此類信息外延漫無邊際且處于動態(tài)變化之中，不具備清晰可見的權(quán)利外觀，無法歸屬于特定的主體，難以通過前文所論及的“歸屬效能”“排他效能”和“社會典型公開性”三大標準的檢驗，不宜將其作為具有固定邊界的私權(quán)客體進行保護。

另一方面，這些人格疏遠型個人信息與特定自然人的聯(lián)系十分疏遠，需結(jié)合其他信息通過整合分析才具備可識別性或關(guān)聯(lián)性，承載的人格利益較弱。作為大數(shù)據(jù)開發(fā)利用的核心資源，其承載了更多的財產(chǎn)性利益和社會公共利益，逐漸演變成一種“公共產(chǎn)品”。首先，從企業(yè)的角度來看，在數(shù)據(jù)經(jīng)濟產(chǎn)業(yè)中，企業(yè)對個人信息進行規(guī)?；恼?、加工使之成為具有預(yù)測性的“信息產(chǎn)品”，進而通過精準營銷等手段以實現(xiàn)經(jīng)濟效益，此種集體化處理模式旨在發(fā)揮信息的集合效應(yīng)而非針對單個信息進行牟利，因此，“縮減了獲取信息之后的下游產(chǎn)業(yè)環(huán)節(jié)中信息主體可能行使權(quán)利的空間”[13]。此外，在此過程中，企業(yè)需投入大量的資本和技術(shù)，依據(jù)投入成本獲得相應(yīng)權(quán)益的原則，企業(yè)對于自己投入成本獲得衍生數(shù)據(jù)應(yīng)擁有相應(yīng)的財產(chǎn)性權(quán)益。其次，從社會角度而言，社會也需要收集和整合信息，進行社會治理與公共決策。在重大突發(fā)公共事件情形下，個人信息所承載的公共利益會更加凸顯。例如，在當前新型冠狀病毒肺炎疫情期間，各級政府、醫(yī)療衛(wèi)生機構(gòu)及互聯(lián)網(wǎng)企業(yè)充分利用人工智能、云計算等大數(shù)據(jù)技術(shù)，對確診者、疑似者、密切接觸者等重點人群的個人信息進行收集、分析、處理和有限公開，建構(gòu)一體化、系統(tǒng)性的聯(lián)防聯(lián)控機制，為疫情分析、病毒溯源、資源調(diào)配等工作提供了強有力的信息技術(shù)支撐。

總之，人格疏遠型個人信息的本質(zhì)和所承載的財產(chǎn)性權(quán)益與社會公共利益要求信息主體的權(quán)益在一定程度上減讓。因此，不能再將其作為權(quán)利客體，而應(yīng)將其定性為“法益”。對于“法益”部分個人信息的保護，不應(yīng)賦予信息主體“控制權(quán)”隔斷其自由流通，而是要在防范和規(guī)制信息安全風險的基礎(chǔ)上，維持信息保護和數(shù)據(jù)利用的平衡。

(三)“場景理論”的運用

近年來，主張個人信息保護可以借鑒隱私制度中的“場景理論”的觀點日益受到廣泛認同和提倡。此種以場景為導(dǎo)向的個人信息保護路徑強調(diào)跳脫傳統(tǒng)架構(gòu)中二元化的“全有或全無”式的評判，要求在相應(yīng)環(huán)境中具體審視個人信息收集和利用的多元因素，避免脫離場景做抽象式的預(yù)判。本文所主張的“權(quán)利+法益”的區(qū)分保護模式與“場景理論”雖然關(guān)注的重點不同，但二者并非毫無關(guān)聯(lián)或者非此即彼的關(guān)系。相反，該區(qū)分保護模式的實行在以下兩個方面需要“場景理論”的運用。

其一，上述個人信息的“權(quán)利”與“法益”的區(qū)分不能作絕對化理解。隨著個人信息進入公共領(lǐng)域的程度、信息主體的身份、信息收集與利用的目的等因素的變化，某一個人信息可能在“權(quán)利”和“法益”之間來回變化。此時，需要法官運用“場景理論”,在具體環(huán)境中，綜合考慮信息處理的風險、當事人容忍義務(wù)及其對信息的控制力等因素，判斷所涉?zhèn)€人信息到底屬于“權(quán)利”抑或是“法益”進而適用不同保護路徑和裁判規(guī)則。

其二，對于屬于“法益”部分的個人信息，一方面，由于其與“權(quán)利”的性質(zhì)不同，無法適用“一旦侵害，直接征引違法性”的侵權(quán)規(guī)則，需要法官在個案中尋找更高的保護門檻；另一方面，這部分個人信息本身承載了多元化的人格性權(quán)益、財產(chǎn)性權(quán)益以及風險預(yù)防等社會公共利益，為平衡各方利益，法官必須在具體場景中進行利益衡量。因為在特定場景下，個人信息的保護可能會促進某種權(quán)益，場景一旦變化，個人信息保護不僅無法促進某種權(quán)益，反而可能阻礙他種權(quán)益的實現(xiàn)。場景導(dǎo)向的理念秉持的個案分析精神符合“法益”部分個人信息的保護原則。然而場景由多元因素構(gòu)成且各因素影響力不同，完全由法官在個案中綜合考量和評估會造成法律適用方面極大的不確定性，如何消除此種不確定性，可行的辦法就是引入公法所規(guī)定的“行為標準”進行輔助判斷，這正是本文第三部分所涉及的問題。

綜上所述，個人信息實質(zhì)上是由一些具體人格權(quán)權(quán)利內(nèi)容和其他人格性法益相互糅雜而成的復(fù)雜混合體[14]。個人信息內(nèi)容上的復(fù)雜性要求侵權(quán)法在設(shè)置保護規(guī)則時不能一概而論，需依據(jù)類型化的思路展開，采取“權(quán)利”與“法益”區(qū)分的保護路徑。以具體人格權(quán)覆蓋關(guān)涉核心人格領(lǐng)域、承載重要人格利益的敏感信息，為其提供絕對保護。人格疏遠型個人信息背后承載了多元化權(quán)益，宜將其作為“法益”在個案中進行利益衡量，提供更高門檻的保護，以實現(xiàn)區(qū)分不同敏感程度的個人信息的差異化保護，調(diào)和個人信息保護和開發(fā)利用的沖突。

三、個人信息保護的公私法銜接

屬于“法益”部分的個人信息無法為民事主體所排他性地占有和控制，天然具有易于流通和分享的特性，彰顯私法自治的“知情-同意”機制在實踐中流于形式，大規(guī)模的個人信息泄露、遭到非法買賣的事件頻繁發(fā)生，單個消費者維權(quán)困難。以上均說明私法在個人信息保護上具有局限性。由于管控國家網(wǎng)絡(luò)信息安全，維護承載于個人信息上的公共利益的需要，公法的介入勢在必行?！艾F(xiàn)代化帶動公領(lǐng)域和私領(lǐng)域的擴張，兩者間呈現(xiàn)的不只是反應(yīng)左右意識的波段式拉鋸，而且是越來越多的交錯?！盵15]在此背景下，個人信息已經(jīng)“溢出”傳統(tǒng)“私域”向“公域”延伸[16]，必須綜合利用公法和私法為個人信息的長足發(fā)展保駕護航。公法和私法都不是一個自洽的封閉系統(tǒng)，二者可以且需要互相支援和相互“工具化”[17]。

(一)個人信息語境下公私法銜接之可能性

綜合運用公法和私法已經(jīng)成為大數(shù)據(jù)時代個人信息保護的必然選擇，接下來需探求的是二者銜接的“可能性”，也即公法和私法能否在個人信息保護的語境之下實現(xiàn)有效整合和接軌？如果可以，能夠借助哪些“工具”或通過何種途徑？

在前文所論及“權(quán)利”與“法益”區(qū)分保護的框架下，不同類型的個人信息應(yīng)當適用不同的保護規(guī)則。屬于“法益”的絕大部分個人信息由于其背后的多元權(quán)益，無法適用“一旦侵害，直接征引違法性”的規(guī)則，需要法官在個案中遵循“場景化”的判斷規(guī)則進行利益衡量，因此，法官在侵權(quán)責任認定中扮演了唯一的重要角色。如前所述，大數(shù)據(jù)時代愈發(fā)復(fù)雜的信息收集方式和信息不規(guī)范流轉(zhuǎn)，使得個人信息侵權(quán)認定面臨著巨大的挑戰(zhàn)，判斷侵權(quán)主體的過錯、損害后果以及因果關(guān)系殊為不易。雖然利益總是千變?nèi)f化難以由立法控制，但法官擁有完全的自由裁量權(quán)必然會導(dǎo)致判決的隨意性與非統(tǒng)一性。如何有效合理地消除一般侵權(quán)領(lǐng)域法律適用的“不確定性”，一直是擺在學者和法官面前的真問題而非假議題。若能夠找到可以輔助民事法官認定個人信息侵權(quán)責任的“工具”，幫助法官在紛繁復(fù)雜的具體案件中準確又便捷地認定侵權(quán)的構(gòu)成要件，則事半功倍。

此時，事無巨細、多如牛毛的公法規(guī)范便進入我們的視野。風險社會的到來，使現(xiàn)代國家從中立的“守夜人”向規(guī)制國轉(zhuǎn)變。自動化信息處理技術(shù)所帶來的個人信息可能遭到非法泄露、濫用的風險，促使國家制定大量的管制型規(guī)范加以規(guī)制。自2012年全國人大常委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》以來，我國頒布了大量有關(guān)個人信息保護的法律規(guī)范。截止到2020年1月1日，共有《刑法》《網(wǎng)絡(luò)安全法》《傳染病防治法》等35件法律、13件行政法規(guī)、1件監(jiān)察法規(guī)、9件司法解釋、78件部門規(guī)章涉及到“個人信息保護”。通過篩選甄別，有相當數(shù)量的規(guī)范可以成為識別個人信息法益的保護性規(guī)定。這些保護性規(guī)定構(gòu)建了個人信息收集、處理的行為規(guī)范體系，針對個人信息的收集和利用樹立了紛繁復(fù)雜的行為標準，提供了相對清晰的合規(guī)指引。

一方面，若將這些細致的、操作性強的公法規(guī)范引入私法，將這些具體行為標準的違反作為個案中界定“過錯”或“因果關(guān)系”等構(gòu)成要件的出發(fā)點[18]，以此來輔助判斷個人信息的收集或利用行為是否滿足侵權(quán)行為的構(gòu)成要件，既能提高“法益”部分個人信息的保護門檻，也能極大增強責任認定的可預(yù)見性和穩(wěn)定性，避免司法判決矛盾叢生，對于民事法官而言實屬一大幸事。例如，《網(wǎng)絡(luò)安全法》第21條明確要求網(wǎng)絡(luò)運營者履行“采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月”等安全保護義務(wù)。若網(wǎng)絡(luò)運營者違反了上述規(guī)定，且對信息用戶造成了實質(zhì)損害，則完全可以此種安全保護義務(wù)的違反來輔助認定相關(guān)運營者是否有“過錯”，以及推定損害與違法行為之間具有因果關(guān)系，或至少存在表面證據(jù)，如此便可在很大程度上提高侵權(quán)責任認定的確定性和可操作性。

另一方面，將個人信息法益的保護性規(guī)范引入私法體系，以公法的價值判斷和具體標準作為私法上主體活動的“行為標準”，也會使得這些公法規(guī)范“因為侵權(quán)法的參引而富有實效，更具有可執(zhí)行性，更具有尊嚴與活力”[19]。私法上可能的賠償后果使得違法的成本增加，進而增強個人信息收集者和利用者遵循公法規(guī)范的自覺，從某種程度來說也就增強了對違反上述規(guī)范的遏制作用，減少個人信息侵權(quán)行為。

如此一來，不僅私法會因為這些公法規(guī)范的內(nèi)容而極大豐富和完整，增強法律適用的確定性，而且也能更好地維護主體對公法規(guī)范的遵循，輔助公法強制目的的實現(xiàn)，使得涉及個人信息保護的公法和私法相互支援，實現(xiàn)相互“工具化”。

(二)個人信息保護公私法銜接的具體路徑

按照上述思路，將個人信息法益的“保護性規(guī)定”引入私法，法官能夠運用已有的保護個人信息的法律規(guī)范輔助認定加害行為和過錯要件，進而實現(xiàn)公法與私法在個人信息保護上的有效銜接和互相支援。繼而亟需解決的問題，就是如何將個人信息的“保護性規(guī)定”引入或是轉(zhuǎn)介至私法體系，也即行為人違反了涉及個人信息的保護性規(guī)范之后的私法責任是如何導(dǎo)致的。

若立法者已經(jīng)意識到民事賠償問題且作出了明確規(guī)定，使這些公法規(guī)范本身就附帶了私法賠償效果，法官則可直接對違反該公法規(guī)范的行為加之以民事責任。例如，《中華人民共和國社會保險法》第92條、《中華人民共和國居民身份證法》第19條等，除了規(guī)定相關(guān)機構(gòu)或工作人員泄露個人信息時應(yīng)當承擔的罰款、拘留等公法責任外，還明確規(guī)定“對他人造成損害的，依法承擔民事責任(賠償責任)”。但必須承認的是，此種情況在浩如煙海的公法規(guī)范中只是“鳳毛麟角”，更多的情況是立法者只會考慮該規(guī)范在公法上的效果，畢竟“苛求他們須對私法的相對正義也同樣做充分的考量，則不僅高估了立法者的能力，同時也會導(dǎo)致立法成本過高”[20]。此時，就需要“轉(zhuǎn)介條款”來發(fā)揮將未直接規(guī)定私法賠償后果的個人信息公法規(guī)范評價地引入或轉(zhuǎn)介至私法體系的作用。

從比較法的經(jīng)驗來看，“違反保護他人的法律的侵權(quán)責任”起到的就是這樣的“轉(zhuǎn)介條款”的工具作用。法官在判斷侵害利益的行為是否構(gòu)成此種侵權(quán)責任時，必定要考慮相關(guān)“保護他人的法律”，借助該法律對行為人所設(shè)立的種種行為義務(wù)來認定“過錯”等構(gòu)成要件，進而將這些公法性質(zhì)的保護性規(guī)定引入私法體系。然而，我國侵權(quán)法上并不存在直接規(guī)定“違反保護他人的法律的侵權(quán)責任”的一般條款。在轉(zhuǎn)介條款闕如之際，司法實踐該如何尋求法律依據(jù)？

筆者認為，可行的辦法是結(jié)合我國學說中的既有討論，從解釋論的角度，利用違法性要件將《侵權(quán)責任法》第6條第1款(《民法典》第1165條第1款)在司法適用中具體化為導(dǎo)向或接近德國式的“侵害絕對權(quán)的侵權(quán)責任”“違反保護他人的法律的侵權(quán)責任”和“違背善良風俗故意致?lián)p的侵權(quán)責任”三種侵權(quán)類型，以此作為“違反保護他人的法律的侵權(quán)責任”的一般條款，涵蓋所有受法律保護的民事利益，當然也就能夠涵蓋本文所討論的個人信息法益。

通說認為，《侵權(quán)責任法》第6條第1款是侵權(quán)法最核心的請求權(quán)基礎(chǔ)規(guī)范。從文義解釋來看，該款采取法國式的大一般條款模式，將絕對權(quán)和絕對權(quán)之外的利益無差別地納入保護范圍，合稱“民事權(quán)益”，無論過錯侵害他人的“權(quán)利(絕對權(quán))”還是“利益”，均應(yīng)該承擔侵權(quán)責任[21]。

然而，“權(quán)利”和“利益”在保護程度和保護要件上差異迥然，將二者同等保護的做法必定會引發(fā)過度限制行為自由、法律適用的確定性不足等負面影響。國內(nèi)許多學者早已意識到上述諸多弊端，并就侵權(quán)法上的權(quán)益區(qū)分保護達成一定共識，主張通過解釋的路徑，將權(quán)益區(qū)分保護的思想和規(guī)則嵌入現(xiàn)行法框架內(nèi)。目前，主要有葛云松教授的“目的性限縮”[22]和于飛教授的“限縮解釋+目的性擴張”[23]兩種解釋路徑，二者雖各有利弊，但都能使侵權(quán)責任一般條款類型化，將《侵權(quán)責任法》第6條第1款具體化為德國三個小概括條款的模式。立基于此，《侵權(quán)責任法》第6條第1款通過解釋，可作為“違反保護他人的法律的侵權(quán)責任”的一般條款，一方面，作為保護絕對權(quán)之外的法益的經(jīng)典依據(jù)；另一方面，更好地實現(xiàn)公法與私法的內(nèi)部銜接。

屬于“法益”部分的個人信息，本質(zhì)上就是一種需要法律保護的人格利益，無法作為權(quán)利進行保護，但可以納入“違反保護性規(guī)定的侵權(quán)責任”的調(diào)整范圍。進而根據(jù)其運作原理，憑借上述個人信息“保護性規(guī)定”針對個人信息的收集、利用所樹立的具體行為標準，輔助認定侵害個人信息法益的構(gòu)成要件，將公法規(guī)范的內(nèi)容引入私法體系，實現(xiàn)個人信息保護語境之下公私法的有效銜接。

四、結(jié) 論

當前，民法學界與民事立法所呈現(xiàn)出的個人信息“私權(quán)化”傾向[24]，很大程度上可以歸因于未能深刻認識個人信息的復(fù)雜屬性。屬于“法益”部分的個人信息天然具有易于流通和分享的特性，無法為民事主體所排他性地占有和控制。法律上的確權(quán)不僅無法收到事實上的效果，而且反而會導(dǎo)致諸多弊端。隨著信息社會的不斷發(fā)展，個人信息之上不僅承載著“人格尊嚴”和“人格自由”，也附著了越來越多的財產(chǎn)性權(quán)益和公共利益。面對現(xiàn)代社會大規(guī)模、系統(tǒng)性的信息安全風險，我們必須承認傳統(tǒng)私法保護路徑的局限性，須向公法借力以補其不足。無論法律適用還是理論研究，公法與私法都不能“各自為政”，應(yīng)注重二者的配合與銜接?！缎谭ā贰毒W(wǎng)絡(luò)安全法》《傳染病防治法》等公法均有個人信息的保護性規(guī)定，通過“違反保護他人的法律的侵權(quán)責任”，以《侵權(quán)責任法》第6條第1款作為轉(zhuǎn)介條款，將這些保護性規(guī)范引入私法體系，不僅能夠增強民事法律適用的確定性，而且還能使公法和私法相互支援，實現(xiàn)二者在個人信息保護上的接軌匯流。