貴州民族大學(xué) 顏華楠，朱寧莉

關(guān)于公民個(gè)人信息的立法保護(hù)，起源于20世紀(jì)70年代的歐洲。當(dāng)時(shí)大陸法系的部分代表國(guó)家為了防止公權(quán)力機(jī)構(gòu)對(duì)公民個(gè)人信息過(guò)度的收集和處理行為，接連頒布了關(guān)于個(gè)人信息保護(hù)的專門法律以遏制公權(quán)力對(duì)個(gè)人信息的不當(dāng)收集和處理。如今，隨著時(shí)代的飛速發(fā)展和信息科技日新月異的進(jìn)步，人們?cè)絹?lái)越依賴于通過(guò)線上平臺(tái)解決日常需要。人們可以通過(guò)網(wǎng)絡(luò)購(gòu)物平臺(tái)、網(wǎng)約車軟件等解決衣食住行，通過(guò)社交和辦公軟件滿足工作和學(xué)習(xí)、生活的需要，乃至通過(guò)第三方小程序完成水電繳費(fèi)、立案申訴等公共服務(wù)。而在這些過(guò)程中用戶的個(gè)人信息被各種類型的信息處理者收集、利用、存儲(chǔ)和分析，其中占絕大多數(shù)的信息處理者是互聯(lián)網(wǎng)企業(yè)和網(wǎng)絡(luò)平臺(tái)等網(wǎng)絡(luò)服務(wù)提供者，他們將這些個(gè)人信息與人工智能技術(shù)相結(jié)合，勾勒出用戶畫像以精準(zhǔn)投放產(chǎn)品，并存在與關(guān)聯(lián)第三方對(duì)用戶個(gè)人信息進(jìn)行合作使用的行為，以力求將個(gè)人信息的商業(yè)價(jià)值最大化。在個(gè)人信息中的數(shù)據(jù)信息逐步成為企業(yè)核心資產(chǎn)的同時(shí)，對(duì)個(gè)人信息的保護(hù)已成為信息時(shí)代下廣大人民群眾最直接、最現(xiàn)實(shí)的利益保護(hù)需要。[1]

一、《個(gè)人信息保護(hù)法》與《民法典》之間的關(guān)系

《個(gè)人信息保護(hù)法》主要規(guī)定了個(gè)人信息的處理規(guī)則，明確了信息處理者的責(zé)任和義務(wù)以及在信息收集處理過(guò)程中應(yīng)當(dāng)秉持的原則和遵守的程序，同時(shí)明確了個(gè)人對(duì)其個(gè)人信息享有的權(quán)利。除此之外，《個(gè)人信息保護(hù)法》的亮點(diǎn)創(chuàng)新之處還在于規(guī)定了不同于一般信息的敏感個(gè)人信息及其處理規(guī)則和個(gè)人信息跨境提供的規(guī)則?！秱€(gè)人信息保護(hù)法》的內(nèi)容大多數(shù)在于規(guī)制企業(yè)和網(wǎng)絡(luò)平臺(tái)等私立部門的信息處理行為，但也涉及對(duì)國(guó)家機(jī)關(guān)收集、處理個(gè)人信息和保護(hù)、監(jiān)督管理個(gè)人信息行為的規(guī)則?！秱€(gè)人信息保護(hù)法》是我國(guó)在之前的努力下做出的劃時(shí)代的創(chuàng)新立法，我們需在規(guī)劃好的范圍之內(nèi)進(jìn)行個(gè)人信息權(quán)益的保障與合理利用信息的雙重平衡。

《民法典》第四編人格權(quán)的第六章以“隱私權(quán)和個(gè)人信息保護(hù)”進(jìn)行了專章規(guī)定，其中對(duì)個(gè)人信息保護(hù)進(jìn)行了基礎(chǔ)規(guī)定，包括個(gè)人信息的定義、處理個(gè)人信息應(yīng)遵循的原則和條件、免責(zé)事由、個(gè)人信息主體的權(quán)利、信息處理者的義務(wù)和公權(quán)力機(jī)構(gòu)及其工作人員的保密義務(wù)。從《民法典》的規(guī)定來(lái)看，個(gè)人信息屬于民法領(lǐng)域中被確認(rèn)的重要民事權(quán)益，且屬于人格權(quán)益。結(jié)合關(guān)于隱私權(quán)的規(guī)定，可以看出隱私權(quán)與個(gè)人信息存在交叉關(guān)系，因此民法將其入典，是基于保護(hù)人格尊嚴(yán)和人格自由的需要，在如今的網(wǎng)絡(luò)信息時(shí)代，個(gè)人信息的保護(hù)事關(guān)個(gè)人的尊嚴(yán)、自由乃至安全。[2]

《個(gè)人信息保護(hù)法》以《憲法》為制定依據(jù)，具有本身的獨(dú)立性與邏輯性，但體系上仍與《民法典》規(guī)定的內(nèi)容相協(xié)調(diào)。《民法典》作為保障私權(quán)利的基本法，在其確立了個(gè)人信息的權(quán)益地位后，《個(gè)人信息保護(hù)法》中關(guān)于個(gè)人信息保護(hù)的私法規(guī)范應(yīng)屬于特別法。[3]由于《個(gè)人信息保護(hù)法》規(guī)定的細(xì)致全面，在其所涉及的內(nèi)容上應(yīng)優(yōu)先適用《個(gè)人信息保護(hù)法》；而在《個(gè)人信息保護(hù)法》沒(méi)有明確規(guī)定時(shí)，可根據(jù)《民法典》中關(guān)于人格權(quán)保護(hù)和侵權(quán)責(zé)任的相關(guān)規(guī)定進(jìn)行兜底和補(bǔ)缺。[4]如《個(gè)人信息保護(hù)法》第69條對(duì)侵害個(gè)人信息的損害賠償責(zé)任，根據(jù)字面文義來(lái)解釋，應(yīng)限定于財(cái)產(chǎn)損害賠償。而《民法典》第1183條規(guī)定了侵害人身權(quán)益造成嚴(yán)重精神損害的，有權(quán)請(qǐng)求精神損害賠償，這一規(guī)定就拓寬了個(gè)人信息主體的事后救濟(jì)范圍。

二、個(gè)人信息處理的合法性基礎(chǔ)

（一）告知同意規(guī)則

在《個(gè)人信息保護(hù)法》未出臺(tái)之前，各大APP和網(wǎng)絡(luò)平臺(tái)在用戶初次登錄或注冊(cè)之時(shí)，經(jīng)常以“不同意就不提供服務(wù)”的形式變相強(qiáng)迫用戶同意其全部信息處理規(guī)則。下述案情為筆者在中國(guó)裁判文書網(wǎng)上查找。

案情簡(jiǎn)介：胡女士通過(guò)某一旅游服務(wù)APP預(yù)定了大床房一間，后退房時(shí)，胡女士發(fā)現(xiàn)酒店開(kāi)具的發(fā)票上價(jià)格與其在APP上所預(yù)定的價(jià)格相差1500多元。于是胡女士向該APP的售后客服進(jìn)行了投訴，但客服處理的結(jié)果讓胡女士并不滿意，故其向法院提起訴訟維護(hù)權(quán)益。在訴訟過(guò)程中，胡女士主張，該旅游服務(wù)APP應(yīng)當(dāng)增加不同意《服務(wù)協(xié)議》《隱私政策》也可使用的選項(xiàng)。

法院判決：二審法院審理認(rèn)為，根據(jù)法律和相關(guān)規(guī)范性文件的規(guī)定，胡女士具有非必要個(gè)人信息使用拒絕權(quán)。平臺(tái)經(jīng)營(yíng)者對(duì)用戶個(gè)人信息的處理行為應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則。該APP經(jīng)營(yíng)公司變相強(qiáng)迫用戶同意其信息收集處理協(xié)議，且并未明確個(gè)人信息收集范圍，屬于不當(dāng)收集、使用用戶個(gè)人信息的行為。但對(duì)于胡女士的訴請(qǐng)，法院認(rèn)為，增加此選項(xiàng)意味著全盤否定《服務(wù)協(xié)議》和《隱私政策》內(nèi)容，但這是網(wǎng)絡(luò)平臺(tái)提供服務(wù)的基礎(chǔ)，從實(shí)際出發(fā)這一主張超出了權(quán)利救濟(jì)的必要范圍，同時(shí)也關(guān)乎著眾多用戶的使用感受和利益，在個(gè)案中法院應(yīng)持謹(jǐn)慎態(tài)度，不宜直接要求涉案APP增加這一選項(xiàng)。

如今，《個(gè)人信息保護(hù)法》明確規(guī)定了告知同意規(guī)則，要求網(wǎng)絡(luò)平臺(tái)等信息處理者將符合法律、其目的和用途的個(gè)人信息收集范圍和處理方式誠(chéng)實(shí)透明地告知用戶后，得到用戶同意才可處理授權(quán)范圍內(nèi)的個(gè)人信息。該規(guī)則是基礎(chǔ)的、核心的個(gè)人信息保護(hù)條款，是尊重人格尊嚴(yán)和保護(hù)人格自由發(fā)展的體現(xiàn)。同時(shí)，根據(jù)個(gè)人信息的分類，一般信息和敏感個(gè)人信息在同意的形式上也不相同，由于敏感個(gè)人信息與個(gè)人人身的緊密性更強(qiáng)，對(duì)人格尊嚴(yán)、人格自由的價(jià)值體現(xiàn)更多，因此只有在目的充分、手段必要的前提下才可收集處理，并需要得到信息主體的單獨(dú)同意。

同時(shí)，為了實(shí)質(zhì)保證個(gè)人信息主體在高度數(shù)字化、信息化時(shí)代下的信息控制權(quán)與自主權(quán)，《個(gè)人信息保護(hù)法》第16條規(guī)定了作為信息處理者的互聯(lián)網(wǎng)企業(yè)和網(wǎng)絡(luò)平臺(tái)等網(wǎng)絡(luò)服務(wù)提供者不能因信息主體不同意或撤回同意關(guān)于處理其個(gè)人信息的協(xié)議而不提供產(chǎn)品或服務(wù)，服務(wù)必需信息除外。這條規(guī)定既保障了網(wǎng)絡(luò)平臺(tái)提供服務(wù)、開(kāi)展業(yè)務(wù)的基礎(chǔ)需要，也規(guī)定了處理個(gè)人信息的界限，規(guī)制了變相強(qiáng)迫、剝奪用戶自主權(quán)的處理行為，與上述案件的審理思路與結(jié)果有著實(shí)質(zhì)精神上的一致。

（二）法定許可制度

《個(gè)人信息保護(hù)法》規(guī)定了除告知同意規(guī)則外，還存在其他六種信息處理者可不經(jīng)信息主體的同意處理其個(gè)人信息情形。其中包括合同訂立、履行或?qū)嵤┓矫?、信息處理者的法定?zé)任方面、前提為應(yīng)對(duì)突發(fā)緊急事件等情形，以上情形都從公私兩種角度出發(fā)，另外還包含為公共利益實(shí)施新聞報(bào)道或輿論監(jiān)督等行為之必需。而筆者想要著重討論的是除兜底條款外最后一種法定許可事由，即在“合理范圍內(nèi)”處理個(gè)人“自行公開(kāi)”或者其他已經(jīng)“合法公開(kāi)”的個(gè)人信息。

案情：劉女士是一名執(zhí)業(yè)律師，其某天在網(wǎng)上發(fā)現(xiàn)自己的律師職業(yè)證號(hào)被他人用作注冊(cè)法律咨詢和提供有償服務(wù)的某個(gè)法律服務(wù)網(wǎng)站，后劉女士與該網(wǎng)站取得聯(lián)系，因協(xié)商無(wú)果訴至法院，要求法院判令該網(wǎng)站停止侵害并公開(kāi)或書面賠禮道歉。該法律服務(wù)網(wǎng)站在答辯時(shí)主張，其所用執(zhí)業(yè)證的有關(guān)信息是來(lái)源于省司法廳的官方網(wǎng)站，故該項(xiàng)個(gè)人信息屬于已經(jīng)合法公開(kāi)的信息，其行為并沒(méi)有侵犯劉女士的個(gè)人信息。

法院判決：一審法院認(rèn)為，根據(jù)法律規(guī)定，信息處理者可以合理處理已經(jīng)合法公開(kāi)的信息，涉案法律服務(wù)網(wǎng)站未經(jīng)允許擅自將他人的執(zhí)業(yè)信息用以網(wǎng)站注冊(cè)的行為存在過(guò)錯(cuò)，但收到通知后及時(shí)采取了措施，法院認(rèn)為未給劉女士造成實(shí)質(zhì)損害，故沒(méi)有支持劉女士的訴訟請(qǐng)求。劉女士不服提起上訴。二審法院認(rèn)為，律師執(zhí)業(yè)證的主要用途是為了查證律師的身份，案涉執(zhí)業(yè)證信息雖為合法公開(kāi)信息，但涉案網(wǎng)站作為一個(gè)提供專業(yè)法律服務(wù)的商業(yè)性網(wǎng)站，將上訴人的執(zhí)業(yè)證信息用作注冊(cè)的行為，明顯違反了法律規(guī)定，缺乏必要性和正當(dāng)性。雖然沒(méi)有造成實(shí)質(zhì)性損害后果，但對(duì)上訴人的個(gè)人信息權(quán)造成了不當(dāng)侵害，故二審法院支持了劉女士的訴訟請(qǐng)求，要求涉案網(wǎng)站向上訴人劉女士書面道歉。

如今，《個(gè)人信息保護(hù)法》的出臺(tái)明確了個(gè)人信息權(quán)益，并以“依據(jù)憲法”為指引，注明個(gè)人信息權(quán)益在保障人權(quán)、尊重人格尊嚴(yán)和保護(hù)人格自由發(fā)展的重要性。其次，該案體現(xiàn)出一個(gè)基本問(wèn)題，即在司法適用中應(yīng)如何認(rèn)定對(duì)自行公開(kāi)或合法公開(kāi)的信息的“合理使用”，或者說(shuō)按照《個(gè)人信息保護(hù)法》的條文表述，司法實(shí)踐中應(yīng)如何認(rèn)定“合理范圍”內(nèi)使用的界限。網(wǎng)絡(luò)環(huán)境下，個(gè)人信息往往不經(jīng)意間就被“公開(kāi)”了，但是否一旦公開(kāi)，信息主體就喪失了對(duì)該公開(kāi)信息的自主權(quán)與控制權(quán)了呢？

在個(gè)人信息處理活動(dòng)中，信息處理者應(yīng)當(dāng)秉持著合法、正當(dāng)和必要的原則?！昂侠矸秶笔侵?，當(dāng)個(gè)人信息被自行或合法公開(kāi)后，信息處理者對(duì)于該信息的后續(xù)利用仍然應(yīng)當(dāng)貫徹目的限制原則。判斷信息處理者是否貫徹目的限制原則的直接考慮因素在于信息處理者是否遵循了該信息被公開(kāi)時(shí)的使用目的，即是否未背離最初的公開(kāi)目的。這并不意味著前后目的需要完全一致，信息處理者后續(xù)處理的目的可以通過(guò)以下幾方面進(jìn)行綜合考慮來(lái)判斷是否與最初公開(kāi)目的具有兼容關(guān)系：（1）后續(xù)利用的目的與最初公開(kāi)目的之間的關(guān)系；（2）信息主體的主觀心理預(yù)期；（3）是否采取了必要的安全保障措施；（4）對(duì)信息主體的影響等，司法實(shí)踐中再結(jié)合場(chǎng)景與手段、處理行為的正當(dāng)與否，來(lái)認(rèn)定信息處理者的行為是否合理。而當(dāng)公開(kāi)信息沒(méi)有明確目的時(shí)，信息處理者應(yīng)當(dāng)以理性人的角度，以善意的心理態(tài)度盡到應(yīng)然的注意與安全保障義務(wù)，不能因其信息處理行為給信息主體造成重大影響。對(duì)于個(gè)人自行公開(kāi)的信息目的，信息處理者可以結(jié)合發(fā)布網(wǎng)站的性質(zhì)、平臺(tái)的隱私政策和信息主體的主觀心理進(jìn)行合理推斷；而對(duì)于合法公開(kāi)的信息，由于此類信息一般是在政府部門網(wǎng)站、裁判文書網(wǎng)和新聞報(bào)道中出現(xiàn)，此時(shí)信息處理者應(yīng)當(dāng)根據(jù)合法公開(kāi)信息的平臺(tái)與途徑辨別其所承載的公共服務(wù)目的，以保障后續(xù)利用行為的合法性與正當(dāng)性。[5]

三、我國(guó)網(wǎng)絡(luò)環(huán)境下《個(gè)人信息保護(hù)法》的適用完善

《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息進(jìn)行敏感個(gè)人信息的界定與信息處理行為的嚴(yán)格限制、對(duì)個(gè)人信息跨境提供或處理行為的特別規(guī)定、借鑒歐盟《通用數(shù)據(jù)保護(hù)條例》設(shè)立專門的個(gè)人信息保護(hù)與監(jiān)管部門、明確個(gè)人信息侵權(quán)案件中的歸責(zé)原則等一系列法律規(guī)定，都是《個(gè)人信息保護(hù)法》出臺(tái)后引人注目的亮點(diǎn)。但網(wǎng)絡(luò)環(huán)境復(fù)雜紛亂，雖然《個(gè)人信息保護(hù)法》的出臺(tái)適應(yīng)了時(shí)代需求，明確了處理原則與規(guī)則，保護(hù)了個(gè)人信息不被肆意收集和濫用，但制度適用中仍存在著一些問(wèn)題值得我們思考。

（1）告知同意規(guī)則的適用應(yīng)更加類型化。目前告知同意規(guī)則作為一種先定性的規(guī)則模式，具有一定的概括性與前瞻性，但同時(shí)也存在著局限性，在場(chǎng)景多樣的網(wǎng)絡(luò)環(huán)境中，缺乏一定程度的可調(diào)整性。雖然《個(gè)人信息保護(hù)法》明確了網(wǎng)絡(luò)平臺(tái)等網(wǎng)絡(luò)服務(wù)提供者不得以個(gè)人信息作為產(chǎn)品或服務(wù)的對(duì)價(jià)，但截至目前來(lái)講，大多數(shù)網(wǎng)絡(luò)平臺(tái)仍以“全有或全無(wú)”的同意模式供客戶選擇。這實(shí)際上是對(duì)消費(fèi)者意思自治原則的侵犯，告知同意規(guī)則成了一種僅對(duì)用戶產(chǎn)生義務(wù)的程序性規(guī)定。并且在大多數(shù)情況下，用戶的個(gè)人信息不僅僅只提供給使用的網(wǎng)絡(luò)平臺(tái)，還會(huì)由使用的網(wǎng)絡(luò)平臺(tái)移交給平臺(tái)的關(guān)聯(lián)合作伙伴共享，這在很大程度上造成了告知同意規(guī)則在實(shí)際運(yùn)用過(guò)程中的單邊利益傾向性，沒(méi)有達(dá)到立法的預(yù)期目的與效果。針對(duì)提供不同服務(wù)或產(chǎn)品的不同屬性類別的網(wǎng)絡(luò)平臺(tái)、互聯(lián)網(wǎng)企業(yè)等網(wǎng)絡(luò)服務(wù)提供者，筆者認(rèn)為，在今后的司法解釋或司法適用中可以考慮將告知同意規(guī)則完善得更加精細(xì)及類型化，以平衡網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)服務(wù)提供者之間的博弈關(guān)系，在如今“全有或全無(wú)”的模式下規(guī)定網(wǎng)絡(luò)平臺(tái)提供更多選擇，以服務(wù)內(nèi)容為標(biāo)準(zhǔn)，界定需要收取的不同范圍程度的用戶個(gè)人信息，最終由用戶根據(jù)個(gè)人需要進(jìn)行選擇與使用。

（2）敏感個(gè)人信息的歸責(zé)原則應(yīng)為例外。《個(gè)人信息保護(hù)法》將敏感個(gè)人信息單獨(dú)列出，并予以嚴(yán)格限制，足以說(shuō)明敏感個(gè)人信息對(duì)于信息主體的私密性、影響性與重要性。一般個(gè)人信息侵權(quán)案件采取過(guò)錯(cuò)推定原則，能夠很好地平衡個(gè)人信息的保護(hù)與合理利用，但敏感個(gè)人信息不僅涉及人身安全、財(cái)產(chǎn)安全，甚至還會(huì)威脅公共安全，因此采取不同于一般個(gè)人信息的歸責(zé)原則，即無(wú)過(guò)錯(cuò)責(zé)任更能保護(hù)敏感個(gè)人信息的安全，同時(shí)給予網(wǎng)絡(luò)平臺(tái)等網(wǎng)絡(luò)服務(wù)提供者以警醒，預(yù)防其對(duì)敏感個(gè)人信息的不法侵害。

四、結(jié)語(yǔ)

《個(gè)人信息保護(hù)法》聚焦了網(wǎng)絡(luò)信息時(shí)代人民廣為關(guān)注的重點(diǎn)問(wèn)題，堅(jiān)持和貫徹了依法治國(guó)、以人民為中心的法治思想。在《民法典》的立法基礎(chǔ)上，對(duì)信息網(wǎng)絡(luò)時(shí)代中互聯(lián)網(wǎng)企業(yè)、網(wǎng)絡(luò)平臺(tái)等網(wǎng)絡(luò)服務(wù)提供者的信息處理行為規(guī)定了更為細(xì)致全面的信息處理原則與規(guī)則，明確了信息處理行為的合法性基礎(chǔ)。而在紛雜多樣的網(wǎng)絡(luò)環(huán)境中，《個(gè)人信息保護(hù)法》應(yīng)當(dāng)以立法目的為指引，結(jié)合網(wǎng)絡(luò)適用場(chǎng)景與問(wèn)題，完善更多有效的保護(hù)途徑，實(shí)現(xiàn)保護(hù)個(gè)人信息與合理利用信息價(jià)值的雙重平衡，為個(gè)人信息保護(hù)提供堅(jiān)實(shí)有效的壁壘。