貴州民族大學 顏華楠，朱寧莉

關(guān)于公民個人信息的立法保護，起源于20世紀70年代的歐洲。當時大陸法系的部分代表國家為了防止公權(quán)力機構(gòu)對公民個人信息過度的收集和處理行為，接連頒布了關(guān)于個人信息保護的專門法律以遏制公權(quán)力對個人信息的不當收集和處理。如今，隨著時代的飛速發(fā)展和信息科技日新月異的進步，人們越來越依賴于通過線上平臺解決日常需要。人們可以通過網(wǎng)絡(luò)購物平臺、網(wǎng)約車軟件等解決衣食住行，通過社交和辦公軟件滿足工作和學習、生活的需要，乃至通過第三方小程序完成水電繳費、立案申訴等公共服務(wù)。而在這些過程中用戶的個人信息被各種類型的信息處理者收集、利用、存儲和分析，其中占絕大多數(shù)的信息處理者是互聯(lián)網(wǎng)企業(yè)和網(wǎng)絡(luò)平臺等網(wǎng)絡(luò)服務(wù)提供者，他們將這些個人信息與人工智能技術(shù)相結(jié)合，勾勒出用戶畫像以精準投放產(chǎn)品，并存在與關(guān)聯(lián)第三方對用戶個人信息進行合作使用的行為，以力求將個人信息的商業(yè)價值最大化。在個人信息中的數(shù)據(jù)信息逐步成為企業(yè)核心資產(chǎn)的同時，對個人信息的保護已成為信息時代下廣大人民群眾最直接、最現(xiàn)實的利益保護需要。[1]

一、《個人信息保護法》與《民法典》之間的關(guān)系

《個人信息保護法》主要規(guī)定了個人信息的處理規(guī)則，明確了信息處理者的責任和義務(wù)以及在信息收集處理過程中應(yīng)當秉持的原則和遵守的程序，同時明確了個人對其個人信息享有的權(quán)利。除此之外，《個人信息保護法》的亮點創(chuàng)新之處還在于規(guī)定了不同于一般信息的敏感個人信息及其處理規(guī)則和個人信息跨境提供的規(guī)則?！秱€人信息保護法》的內(nèi)容大多數(shù)在于規(guī)制企業(yè)和網(wǎng)絡(luò)平臺等私立部門的信息處理行為，但也涉及對國家機關(guān)收集、處理個人信息和保護、監(jiān)督管理個人信息行為的規(guī)則?！秱€人信息保護法》是我國在之前的努力下做出的劃時代的創(chuàng)新立法，我們需在規(guī)劃好的范圍之內(nèi)進行個人信息權(quán)益的保障與合理利用信息的雙重平衡。

《民法典》第四編人格權(quán)的第六章以“隱私權(quán)和個人信息保護”進行了專章規(guī)定，其中對個人信息保護進行了基礎(chǔ)規(guī)定，包括個人信息的定義、處理個人信息應(yīng)遵循的原則和條件、免責事由、個人信息主體的權(quán)利、信息處理者的義務(wù)和公權(quán)力機構(gòu)及其工作人員的保密義務(wù)。從《民法典》的規(guī)定來看，個人信息屬于民法領(lǐng)域中被確認的重要民事權(quán)益，且屬于人格權(quán)益。結(jié)合關(guān)于隱私權(quán)的規(guī)定，可以看出隱私權(quán)與個人信息存在交叉關(guān)系，因此民法將其入典，是基于保護人格尊嚴和人格自由的需要，在如今的網(wǎng)絡(luò)信息時代，個人信息的保護事關(guān)個人的尊嚴、自由乃至安全。[2]

《個人信息保護法》以《憲法》為制定依據(jù)，具有本身的獨立性與邏輯性，但體系上仍與《民法典》規(guī)定的內(nèi)容相協(xié)調(diào)?！睹穹ǖ洹纷鳛楸Ｕ纤綑?quán)利的基本法，在其確立了個人信息的權(quán)益地位后，《個人信息保護法》中關(guān)于個人信息保護的私法規(guī)范應(yīng)屬于特別法。[3]由于《個人信息保護法》規(guī)定的細致全面，在其所涉及的內(nèi)容上應(yīng)優(yōu)先適用《個人信息保護法》；而在《個人信息保護法》沒有明確規(guī)定時，可根據(jù)《民法典》中關(guān)于人格權(quán)保護和侵權(quán)責任的相關(guān)規(guī)定進行兜底和補缺。[4]如《個人信息保護法》第69條對侵害個人信息的損害賠償責任，根據(jù)字面文義來解釋，應(yīng)限定于財產(chǎn)損害賠償。而《民法典》第1183條規(guī)定了侵害人身權(quán)益造成嚴重精神損害的，有權(quán)請求精神損害賠償，這一規(guī)定就拓寬了個人信息主體的事后救濟范圍。

二、個人信息處理的合法性基礎(chǔ)

（一）告知同意規(guī)則

在《個人信息保護法》未出臺之前，各大APP和網(wǎng)絡(luò)平臺在用戶初次登錄或注冊之時，經(jīng)常以“不同意就不提供服務(wù)”的形式變相強迫用戶同意其全部信息處理規(guī)則。下述案情為筆者在中國裁判文書網(wǎng)上查找。

案情簡介：胡女士通過某一旅游服務(wù)APP預定了大床房一間，后退房時，胡女士發(fā)現(xiàn)酒店開具的發(fā)票上價格與其在APP上所預定的價格相差1500多元。于是胡女士向該APP的售后客服進行了投訴，但客服處理的結(jié)果讓胡女士并不滿意，故其向法院提起訴訟維護權(quán)益。在訴訟過程中，胡女士主張，該旅游服務(wù)APP應(yīng)當增加不同意《服務(wù)協(xié)議》《隱私政策》也可使用的選項。

法院判決：二審法院審理認為，根據(jù)法律和相關(guān)規(guī)范性文件的規(guī)定，胡女士具有非必要個人信息使用拒絕權(quán)。平臺經(jīng)營者對用戶個人信息的處理行為應(yīng)當遵循合法、正當、必要原則。該APP經(jīng)營公司變相強迫用戶同意其信息收集處理協(xié)議，且并未明確個人信息收集范圍，屬于不當收集、使用用戶個人信息的行為。但對于胡女士的訴請，法院認為，增加此選項意味著全盤否定《服務(wù)協(xié)議》和《隱私政策》內(nèi)容，但這是網(wǎng)絡(luò)平臺提供服務(wù)的基礎(chǔ)，從實際出發(fā)這一主張超出了權(quán)利救濟的必要范圍，同時也關(guān)乎著眾多用戶的使用感受和利益，在個案中法院應(yīng)持謹慎態(tài)度，不宜直接要求涉案APP增加這一選項。

如今，《個人信息保護法》明確規(guī)定了告知同意規(guī)則，要求網(wǎng)絡(luò)平臺等信息處理者將符合法律、其目的和用途的個人信息收集范圍和處理方式誠實透明地告知用戶后，得到用戶同意才可處理授權(quán)范圍內(nèi)的個人信息。該規(guī)則是基礎(chǔ)的、核心的個人信息保護條款，是尊重人格尊嚴和保護人格自由發(fā)展的體現(xiàn)。同時，根據(jù)個人信息的分類，一般信息和敏感個人信息在同意的形式上也不相同，由于敏感個人信息與個人人身的緊密性更強，對人格尊嚴、人格自由的價值體現(xiàn)更多，因此只有在目的充分、手段必要的前提下才可收集處理，并需要得到信息主體的單獨同意。

同時，為了實質(zhì)保證個人信息主體在高度數(shù)字化、信息化時代下的信息控制權(quán)與自主權(quán)，《個人信息保護法》第16條規(guī)定了作為信息處理者的互聯(lián)網(wǎng)企業(yè)和網(wǎng)絡(luò)平臺等網(wǎng)絡(luò)服務(wù)提供者不能因信息主體不同意或撤回同意關(guān)于處理其個人信息的協(xié)議而不提供產(chǎn)品或服務(wù)，服務(wù)必需信息除外。這條規(guī)定既保障了網(wǎng)絡(luò)平臺提供服務(wù)、開展業(yè)務(wù)的基礎(chǔ)需要，也規(guī)定了處理個人信息的界限，規(guī)制了變相強迫、剝奪用戶自主權(quán)的處理行為，與上述案件的審理思路與結(jié)果有著實質(zhì)精神上的一致。

（二）法定許可制度

《個人信息保護法》規(guī)定了除告知同意規(guī)則外，還存在其他六種信息處理者可不經(jīng)信息主體的同意處理其個人信息情形。其中包括合同訂立、履行或?qū)嵤┓矫妗⑿畔⑻幚碚叩姆ǘㄘ熑畏矫?、前提為?yīng)對突發(fā)緊急事件等情形，以上情形都從公私兩種角度出發(fā)，另外還包含為公共利益實施新聞報道或輿論監(jiān)督等行為之必需。而筆者想要著重討論的是除兜底條款外最后一種法定許可事由，即在“合理范圍內(nèi)”處理個人“自行公開”或者其他已經(jīng)“合法公開”的個人信息。

案情：劉女士是一名執(zhí)業(yè)律師，其某天在網(wǎng)上發(fā)現(xiàn)自己的律師職業(yè)證號被他人用作注冊法律咨詢和提供有償服務(wù)的某個法律服務(wù)網(wǎng)站，后劉女士與該網(wǎng)站取得聯(lián)系，因協(xié)商無果訴至法院，要求法院判令該網(wǎng)站停止侵害并公開或書面賠禮道歉。該法律服務(wù)網(wǎng)站在答辯時主張，其所用執(zhí)業(yè)證的有關(guān)信息是來源于省司法廳的官方網(wǎng)站，故該項個人信息屬于已經(jīng)合法公開的信息，其行為并沒有侵犯劉女士的個人信息。

法院判決：一審法院認為，根據(jù)法律規(guī)定，信息處理者可以合理處理已經(jīng)合法公開的信息，涉案法律服務(wù)網(wǎng)站未經(jīng)允許擅自將他人的執(zhí)業(yè)信息用以網(wǎng)站注冊的行為存在過錯，但收到通知后及時采取了措施，法院認為未給劉女士造成實質(zhì)損害，故沒有支持劉女士的訴訟請求。劉女士不服提起上訴。二審法院認為，律師執(zhí)業(yè)證的主要用途是為了查證律師的身份，案涉執(zhí)業(yè)證信息雖為合法公開信息，但涉案網(wǎng)站作為一個提供專業(yè)法律服務(wù)的商業(yè)性網(wǎng)站，將上訴人的執(zhí)業(yè)證信息用作注冊的行為，明顯違反了法律規(guī)定，缺乏必要性和正當性。雖然沒有造成實質(zhì)性損害后果，但對上訴人的個人信息權(quán)造成了不當侵害，故二審法院支持了劉女士的訴訟請求，要求涉案網(wǎng)站向上訴人劉女士書面道歉。

如今，《個人信息保護法》的出臺明確了個人信息權(quán)益，并以“依據(jù)憲法”為指引，注明個人信息權(quán)益在保障人權(quán)、尊重人格尊嚴和保護人格自由發(fā)展的重要性。其次，該案體現(xiàn)出一個基本問題，即在司法適用中應(yīng)如何認定對自行公開或合法公開的信息的“合理使用”，或者說按照《個人信息保護法》的條文表述，司法實踐中應(yīng)如何認定“合理范圍”內(nèi)使用的界限。網(wǎng)絡(luò)環(huán)境下，個人信息往往不經(jīng)意間就被“公開”了，但是否一旦公開，信息主體就喪失了對該公開信息的自主權(quán)與控制權(quán)了呢？

在個人信息處理活動中，信息處理者應(yīng)當秉持著合法、正當和必要的原則?！昂侠矸秶笔侵?，當個人信息被自行或合法公開后，信息處理者對于該信息的后續(xù)利用仍然應(yīng)當貫徹目的限制原則。判斷信息處理者是否貫徹目的限制原則的直接考慮因素在于信息處理者是否遵循了該信息被公開時的使用目的，即是否未背離最初的公開目的。這并不意味著前后目的需要完全一致，信息處理者后續(xù)處理的目的可以通過以下幾方面進行綜合考慮來判斷是否與最初公開目的具有兼容關(guān)系：（1）后續(xù)利用的目的與最初公開目的之間的關(guān)系；（2）信息主體的主觀心理預期；（3）是否采取了必要的安全保障措施；（4）對信息主體的影響等，司法實踐中再結(jié)合場景與手段、處理行為的正當與否，來認定信息處理者的行為是否合理。而當公開信息沒有明確目的時，信息處理者應(yīng)當以理性人的角度，以善意的心理態(tài)度盡到應(yīng)然的注意與安全保障義務(wù)，不能因其信息處理行為給信息主體造成重大影響。對于個人自行公開的信息目的，信息處理者可以結(jié)合發(fā)布網(wǎng)站的性質(zhì)、平臺的隱私政策和信息主體的主觀心理進行合理推斷；而對于合法公開的信息，由于此類信息一般是在政府部門網(wǎng)站、裁判文書網(wǎng)和新聞報道中出現(xiàn)，此時信息處理者應(yīng)當根據(jù)合法公開信息的平臺與途徑辨別其所承載的公共服務(wù)目的，以保障后續(xù)利用行為的合法性與正當性。[5]

三、我國網(wǎng)絡(luò)環(huán)境下《個人信息保護法》的適用完善

《個人信息保護法》對個人信息進行敏感個人信息的界定與信息處理行為的嚴格限制、對個人信息跨境提供或處理行為的特別規(guī)定、借鑒歐盟《通用數(shù)據(jù)保護條例》設(shè)立專門的個人信息保護與監(jiān)管部門、明確個人信息侵權(quán)案件中的歸責原則等一系列法律規(guī)定，都是《個人信息保護法》出臺后引人注目的亮點。但網(wǎng)絡(luò)環(huán)境復雜紛亂，雖然《個人信息保護法》的出臺適應(yīng)了時代需求，明確了處理原則與規(guī)則，保護了個人信息不被肆意收集和濫用，但制度適用中仍存在著一些問題值得我們思考。

（1）告知同意規(guī)則的適用應(yīng)更加類型化。目前告知同意規(guī)則作為一種先定性的規(guī)則模式，具有一定的概括性與前瞻性，但同時也存在著局限性，在場景多樣的網(wǎng)絡(luò)環(huán)境中，缺乏一定程度的可調(diào)整性。雖然《個人信息保護法》明確了網(wǎng)絡(luò)平臺等網(wǎng)絡(luò)服務(wù)提供者不得以個人信息作為產(chǎn)品或服務(wù)的對價，但截至目前來講，大多數(shù)網(wǎng)絡(luò)平臺仍以“全有或全無”的同意模式供客戶選擇。這實際上是對消費者意思自治原則的侵犯，告知同意規(guī)則成了一種僅對用戶產(chǎn)生義務(wù)的程序性規(guī)定。并且在大多數(shù)情況下，用戶的個人信息不僅僅只提供給使用的網(wǎng)絡(luò)平臺，還會由使用的網(wǎng)絡(luò)平臺移交給平臺的關(guān)聯(lián)合作伙伴共享，這在很大程度上造成了告知同意規(guī)則在實際運用過程中的單邊利益傾向性，沒有達到立法的預期目的與效果。針對提供不同服務(wù)或產(chǎn)品的不同屬性類別的網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)等網(wǎng)絡(luò)服務(wù)提供者，筆者認為，在今后的司法解釋或司法適用中可以考慮將告知同意規(guī)則完善得更加精細及類型化，以平衡網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)服務(wù)提供者之間的博弈關(guān)系，在如今“全有或全無”的模式下規(guī)定網(wǎng)絡(luò)平臺提供更多選擇，以服務(wù)內(nèi)容為標準，界定需要收取的不同范圍程度的用戶個人信息，最終由用戶根據(jù)個人需要進行選擇與使用。

（2）敏感個人信息的歸責原則應(yīng)為例外?！秱€人信息保護法》將敏感個人信息單獨列出，并予以嚴格限制，足以說明敏感個人信息對于信息主體的私密性、影響性與重要性。一般個人信息侵權(quán)案件采取過錯推定原則，能夠很好地平衡個人信息的保護與合理利用，但敏感個人信息不僅涉及人身安全、財產(chǎn)安全，甚至還會威脅公共安全，因此采取不同于一般個人信息的歸責原則，即無過錯責任更能保護敏感個人信息的安全，同時給予網(wǎng)絡(luò)平臺等網(wǎng)絡(luò)服務(wù)提供者以警醒，預防其對敏感個人信息的不法侵害。

四、結(jié)語

《個人信息保護法》聚焦了網(wǎng)絡(luò)信息時代人民廣為關(guān)注的重點問題，堅持和貫徹了依法治國、以人民為中心的法治思想。在《民法典》的立法基礎(chǔ)上，對信息網(wǎng)絡(luò)時代中互聯(lián)網(wǎng)企業(yè)、網(wǎng)絡(luò)平臺等網(wǎng)絡(luò)服務(wù)提供者的信息處理行為規(guī)定了更為細致全面的信息處理原則與規(guī)則，明確了信息處理行為的合法性基礎(chǔ)。而在紛雜多樣的網(wǎng)絡(luò)環(huán)境中，《個人信息保護法》應(yīng)當以立法目的為指引，結(jié)合網(wǎng)絡(luò)適用場景與問題，完善更多有效的保護途徑，實現(xiàn)保護個人信息與合理利用信息價值的雙重平衡，為個人信息保護提供堅實有效的壁壘。