張廣旭

摘? ?要：隨著信息網(wǎng)絡(luò)行業(yè)的快速發(fā)展，個(gè)人信息侵權(quán)問(wèn)題逐漸成為社會(huì)關(guān)注的焦點(diǎn)，信息安全面臨著前所未有的挑戰(zhàn)。2021年，我國(guó)《個(gè)人信息保護(hù)法》出臺(tái)，為個(gè)人信息保護(hù)建立了基本法律框架，但其中些許制度的具體細(xì)化要求尚未詳盡。因此，從我國(guó)個(gè)人信息保護(hù)立法現(xiàn)狀出發(fā)，對(duì)個(gè)人信息保護(hù)的立法體系、侵權(quán)損害賠償責(zé)任、信息收集與監(jiān)管等方面問(wèn)題進(jìn)行探討，并提出建議，希望能為我國(guó)突破個(gè)人信息立法保護(hù)困境，推進(jìn)我國(guó)數(shù)據(jù)信息行業(yè)蓬勃發(fā)展貢獻(xiàn)綿薄之力。

關(guān)鍵詞：個(gè)人信息；立法保護(hù)；行業(yè)自律

中圖分類號(hào)：D923.4? ? ? 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-291X（2023）08-0159-03

一、個(gè)人信息概述

（一）個(gè)人信息的概念

在《個(gè)人信息保護(hù)法》施行之前，我國(guó)對(duì)個(gè)人信息的界定主要是通過(guò)參考2021年施行的《民法典》第一千零三十四條，即個(gè)人信息是以電子或者其他方式記錄的，能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期……這是《民法典》第一次將個(gè)人信息界定為一項(xiàng)民事權(quán)益進(jìn)行保障。隨后，2021年11月我國(guó)正式施行《個(gè)人信息保護(hù)法》，其中第四條進(jìn)一步明確了個(gè)人信息的概念：個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。第四條規(guī)定的個(gè)人信息概念綜合考慮了個(gè)人信息的識(shí)別性和相關(guān)性。與《民法典》中對(duì)個(gè)人信息概念的規(guī)定相比，《個(gè)人信息保護(hù)法》增加了“不包括匿名化處理后的信息”這一內(nèi)容，將匿名化的個(gè)人信息排除在了個(gè)人信息范圍之外，對(duì)個(gè)人信息的定義進(jìn)行了更加精細(xì)的規(guī)定，為其保護(hù)提供了更為明確的要求。

（二）個(gè)人信息的法律屬性

當(dāng)前我國(guó)學(xué)界關(guān)于個(gè)人信息的法律屬性存在多種學(xué)說(shuō)，具體而言包括下列幾種。

1.財(cái)產(chǎn)權(quán)說(shuō)。信息網(wǎng)絡(luò)社會(huì)的飛速發(fā)展對(duì)這一學(xué)說(shuō)影響較大。具體來(lái)說(shuō)，大數(shù)據(jù)推送技術(shù)應(yīng)用的推廣，使個(gè)人信息逐漸演變?yōu)橐环N新型“商品”，個(gè)人信息顯示出其潛在的經(jīng)濟(jì)利益，其具有的財(cái)產(chǎn)權(quán)益被嚴(yán)重侵犯。所以在學(xué)術(shù)界中，一些學(xué)者認(rèn)為個(gè)人信息所體現(xiàn)出的財(cái)產(chǎn)屬性應(yīng)作為個(gè)人信息立法保護(hù)的重點(diǎn)，應(yīng)賦予個(gè)人信息主體財(cái)產(chǎn)權(quán)，使其能實(shí)現(xiàn)對(duì)經(jīng)濟(jì)利益占有、使用、處分的權(quán)利。

2.人格權(quán)說(shuō)。支持人格權(quán)說(shuō)的學(xué)者認(rèn)為，個(gè)人信息與信息主體的聯(lián)系十分緊密，因?yàn)樵诙鄶?shù)個(gè)人信息被侵犯的案件中，信息主體的人格權(quán)益也受到了一定程度的損害，所以個(gè)人信息權(quán)益中應(yīng)包含人格尊嚴(yán)與人格自由的屬性。王利明教授認(rèn)為，個(gè)人信息權(quán)益應(yīng)定義為信息主體依法對(duì)其個(gè)人信息所享有的支配、控制并排除他人侵害的權(quán)利[1]。個(gè)人信息保護(hù)應(yīng)以保障人格的尊嚴(yán)與平等為目的，確保信息主體具有支配的權(quán)利。若將其認(rèn)定為財(cái)產(chǎn)權(quán)法律屬性，則必定會(huì)對(duì)信息主體的人格平等造成傷害[2]。

3.綜合權(quán)利說(shuō)。綜合權(quán)利說(shuō)認(rèn)為，個(gè)人信息既具備人格利益屬性，又具備財(cái)產(chǎn)利益屬性。這是折中的學(xué)說(shuō)。綜合權(quán)利說(shuō)認(rèn)為，當(dāng)個(gè)人信息權(quán)益受到侵犯時(shí)，信息主體只有尋求了人格權(quán)與財(cái)產(chǎn)權(quán)的雙重救濟(jì)，才能最大限度保障自身利益。

二、個(gè)人信息的國(guó)內(nèi)外立法現(xiàn)狀

（一）美國(guó)的個(gè)人信息保護(hù)模式

美國(guó)是將個(gè)人信息劃分到隱私權(quán)所涵蓋的領(lǐng)域內(nèi)進(jìn)行保護(hù)的。由于美國(guó)立法體制的復(fù)雜性，對(duì)于個(gè)人信息的保護(hù)采取分散立法模式。例如，美國(guó)有關(guān)個(gè)人信息保護(hù)的法律規(guī)范不僅在公私部門之間存在區(qū)分，而且在聯(lián)邦政府和各州立法之間也有不同之處；在憲法領(lǐng)域美國(guó)以判例法的形式體現(xiàn)隱私權(quán)，而在聯(lián)邦立法層面則以成文法的形式對(duì)隱私權(quán)的一些私法領(lǐng)域進(jìn)行規(guī)范。這種分散立法模式使美國(guó)的隱私權(quán)保護(hù)體制更似網(wǎng)形構(gòu)造，美國(guó)學(xué)者將這種保護(hù)體制比喻為“變色龍”。這種體制使美國(guó)個(gè)人信息保護(hù)問(wèn)題能夠得到更靈活、更全面的解決方式。美國(guó)對(duì)于個(gè)人信息的保護(hù)還采用了行業(yè)自律模式，即行業(yè)協(xié)會(huì)依據(jù)各行業(yè)的特征來(lái)制定行業(yè)規(guī)范、行業(yè)公約，以此來(lái)規(guī)范行業(yè)內(nèi)部信息收集、處理行為。與法律規(guī)范相比，行業(yè)自律模式減少了執(zhí)法成本，提高了社會(huì)治理水平，基于其靈活性，能夠更有針對(duì)性地應(yīng)對(duì)行業(yè)中個(gè)人信息保護(hù)問(wèn)題的新情況。

（二）歐盟個(gè)人信息保護(hù)模式

歐盟采用了統(tǒng)一立法模式對(duì)個(gè)人信息進(jìn)行保護(hù)。這種模式通過(guò)在個(gè)人信息領(lǐng)域建立統(tǒng)一法律標(biāo)準(zhǔn)，使得個(gè)人信息的法律保護(hù)更加明確。歐盟對(duì)個(gè)人信息的保護(hù)起始于《歐盟數(shù)據(jù)保護(hù)指令》。但在近20余年中，互聯(lián)網(wǎng)行業(yè)突飛猛進(jìn)的發(fā)展，使《歐盟數(shù)據(jù)保護(hù)指令》在一些基礎(chǔ)概念規(guī)定、自身法律效力級(jí)別等方面的問(wèn)題愈加明顯，難以再應(yīng)對(duì)個(gè)人信息的新變化。2018年，歐盟出臺(tái)《通用數(shù)據(jù)保護(hù)條例》，確立歐洲地區(qū)個(gè)人信息保護(hù)的標(biāo)準(zhǔn)，將個(gè)人信息保護(hù)問(wèn)題再次提升至重要地位。相比于《歐盟數(shù)據(jù)保護(hù)指令》，《條例》的適用范圍有了顯著的擴(kuò)大。尤其值得一提的是，《條例》增設(shè)了被遺忘權(quán)、知情同意原則等規(guī)定，為當(dāng)時(shí)我國(guó)的個(gè)人信息保護(hù)立法提供了可資借鑒的經(jīng)驗(yàn)。具體而言，《條例》中明確的被遺忘權(quán)，是指對(duì)于發(fā)布在網(wǎng)絡(luò)上的不當(dāng)?shù)?、繼續(xù)保留會(huì)降低評(píng)價(jià)的信息，信息主體要求信息控制者刪除的權(quán)利[3]。被遺忘權(quán)的增設(shè)使信息主體能自由控制個(gè)人信息，維護(hù)了公民的隱私與名譽(yù)，加強(qiáng)了人格利益的保護(hù)。知情同意原則是指，互聯(lián)網(wǎng)信息收集者在收集信息時(shí)要告知信息主體收集的范圍、收集的目的和收集的方式，并且要經(jīng)過(guò)信息主體的同意，得到授權(quán)之后才能使用公民個(gè)人的基本信息[4]。知情同意原則有力保障了信息收集時(shí)信息主體的知情權(quán)和同意權(quán)，防止了個(gè)人信息被非法獲取。

（三）中國(guó)個(gè)人信息保護(hù)模式

我國(guó)早在多部特別法中就對(duì)個(gè)人信息進(jìn)行了規(guī)定，最早可溯源于2000年通過(guò)的《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》。至今，我國(guó)包含有關(guān)個(gè)人信息保護(hù)條款的法律有50部，行政法規(guī)有79部，部門規(guī)章有160余部[5]。2021年出臺(tái)的《個(gè)人信息保護(hù)法》是我國(guó)個(gè)人信息領(lǐng)域的專門法，通過(guò)該法建立了完善的個(gè)人信息保護(hù)制度。此法對(duì)個(gè)人信息保護(hù)領(lǐng)域做出了統(tǒng)一規(guī)定，并將個(gè)人信息保護(hù)上升到憲法高度，明確了個(gè)人信息保護(hù)的憲法基礎(chǔ)。對(duì)于《民法典》中有關(guān)個(gè)人信息的基礎(chǔ)概念、相關(guān)權(quán)利和義務(wù)規(guī)定存在的不足，《個(gè)人信息保護(hù)法》作出了更加合理的修改和完善[6]。以信息主體相關(guān)權(quán)利方面的補(bǔ)充為例，其規(guī)定了信息主體的知情權(quán)、刪除權(quán)、查閱復(fù)制權(quán)等權(quán)利，構(gòu)造了權(quán)利保障的基礎(chǔ)框架。我國(guó)在個(gè)人信息保護(hù)領(lǐng)域的當(dāng)務(wù)之急是出臺(tái)《個(gè)人信息保護(hù)法》規(guī)定制度的具體落實(shí)細(xì)則，加快相應(yīng)司法解釋制定。

三、我國(guó)個(gè)人信息保護(hù)存在的問(wèn)題

（一）個(gè)人信息立法體系方面

雖然我國(guó)已出臺(tái)《個(gè)人信息保護(hù)法》，但是除《個(gè)人信息保護(hù)法》外，絕大多數(shù)與個(gè)人信息保護(hù)相關(guān)的規(guī)定零散存在于我國(guó)幾百部法律法規(guī)文件之中。分析整理這些文件不難發(fā)現(xiàn)其中不足。一方面，這些法律法規(guī)中的多數(shù)個(gè)人信息規(guī)定較為粗糙，條款間相似度與重復(fù)度高、原則性條款與概括性條款規(guī)定過(guò)多，在實(shí)務(wù)中適用性較弱。另一方面，各法律法規(guī)間法律關(guān)系不明確，未形成緊密、有序的法律體系。例如，自《個(gè)人信息保護(hù)法》出臺(tái)后，實(shí)務(wù)界、學(xué)術(shù)界對(duì)《個(gè)人保護(hù)法》與以《民法典》為代表的各部門法之間的關(guān)系飽存爭(zhēng)議。

（二）侵犯?jìng)€(gè)人信息權(quán)益的精神損害賠償方面

《個(gè)人信息保護(hù)法》第六十九條規(guī)定：處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。該條對(duì)個(gè)人信息侵權(quán)損害賠償責(zé)任進(jìn)行了規(guī)定，即適用過(guò)錯(cuò)推定責(zé)任；此外，該條第二款還明確了侵權(quán)損害賠償數(shù)額計(jì)算原則，彌補(bǔ)了之前個(gè)人信息保護(hù)對(duì)侵權(quán)規(guī)則和賠償數(shù)額規(guī)定的不足，降低了個(gè)人信息侵權(quán)案件中被侵權(quán)人的舉證難度。但是隨著大數(shù)據(jù)行業(yè)的快速發(fā)展，個(gè)人信息的敏感度逐漸增強(qiáng)，在一些侵犯?jìng)€(gè)人信息的案件中，被泄露個(gè)人信息的主體往往會(huì)產(chǎn)生擔(dān)心、焦慮，甚至恐懼的精神心理。所以，侵犯?jìng)€(gè)人信息權(quán)益也會(huì)給被侵權(quán)人造成精神損害。以“徐玉玉電信詐騙案”為例，家庭貧困的徐玉玉因錄取信息泄露，被詐騙走學(xué)費(fèi)，傷心欲絕，精神受到嚴(yán)重痛苦，最終死亡。在該類案件中，因個(gè)人信息被侵犯受到的精神損害的情況并未明確規(guī)定在第六十九條。由此產(chǎn)生一個(gè)問(wèn)題：對(duì)于因個(gè)人信息侵權(quán)行為產(chǎn)生的精神損害賠償是否屬于第六十九條“損害”的范圍？第六十九條是否為個(gè)人信息侵權(quán)案件中信息主體請(qǐng)求精神損害賠償?shù)姆梢罁?jù)？學(xué)界對(duì)此爭(zhēng)議較大。

（三）個(gè)人信息收集、監(jiān)管環(huán)節(jié)方面

在個(gè)人信息的收集環(huán)節(jié)，信息收集者收集個(gè)人信息應(yīng)以知情同意原則為依據(jù)，即信息收集者在收集個(gè)人信息時(shí)，應(yīng)當(dāng)對(duì)信息主體被收集、處理和利用的有關(guān)個(gè)人信息情況進(jìn)行充分的告知，并征得其明確同意[7]。但是在數(shù)字社會(huì)，與信息收集者相比，信息主體明顯處于劣勢(shì)地位，對(duì)個(gè)人信息的控制能力也更弱一些，多數(shù)情況下個(gè)人信息的收集并非出于信息主體的自愿?！秱€(gè)人信息保護(hù)法》中雖然明確規(guī)定了知情同意原則，但是對(duì)于知情同意原則適用的具體細(xì)節(jié)卻并未做出要求，使得實(shí)踐中的知情同意原則失靈。在監(jiān)管環(huán)節(jié)，無(wú)論是政府還是公司企業(yè)對(duì)其收集、保管的個(gè)人信息監(jiān)管均存在不足。一方面，在對(duì)個(gè)人信息的管理上缺乏規(guī)范制度，各行業(yè)均缺少根據(jù)行業(yè)特點(diǎn)制定的個(gè)人信息保護(hù)機(jī)制；另一方面，信息網(wǎng)絡(luò)的快速發(fā)展也使得個(gè)人信息保護(hù)的執(zhí)法成本增高，以至監(jiān)管壓力越來(lái)越大。

四、完善我國(guó)個(gè)人信息立法保護(hù)的建議

（一）完善個(gè)人信息立法保護(hù)體系。

一方面要整合現(xiàn)有的法律法規(guī)。針對(duì)前文提到的個(gè)人信息立法不夠細(xì)化、相似度與重復(fù)度高的問(wèn)題，立法者應(yīng)對(duì)不合適的法律法規(guī)進(jìn)行修改與清理。各地方立法者應(yīng)因地制宜，在不違反上位法的前提下，結(jié)合地方歷史傳統(tǒng)、風(fēng)俗習(xí)慣、經(jīng)濟(jì)水平等實(shí)際情況制定體現(xiàn)地方特色的個(gè)人信息保護(hù)法律規(guī)范，避免一味照搬照抄上位法。另一方面要健全立法體系內(nèi)個(gè)人信息保護(hù)法律規(guī)范銜接。對(duì)此，立法者可以《個(gè)人信息保護(hù)法》為核心，與整合的相關(guān)法律法規(guī)形成完善的個(gè)人信息立法保護(hù)系統(tǒng)。尤其要注重解決在法律適用等方面的矛盾，考慮各部法律、法規(guī)間的兼容，實(shí)現(xiàn)個(gè)人信息保護(hù)法律規(guī)范緊密、有序銜接。

（二）理清侵犯?jìng)€(gè)人信息權(quán)益的精神損害賠償責(zé)任

對(duì)于《個(gè)人信息保護(hù)法》第六十九條的規(guī)定是否包含個(gè)人信息侵權(quán)的精神損害賠償責(zé)任，學(xué)術(shù)界分為肯定說(shuō)與否定說(shuō)?？隙ㄕf(shuō)認(rèn)為，當(dāng)個(gè)人信息權(quán)益受到侵犯時(shí)，被侵權(quán)人既可獲得財(cái)產(chǎn)損害賠償，又可獲得精神損害賠償；而否定說(shuō)卻認(rèn)為，第六十九條并未規(guī)定該責(zé)任。但在是否可以請(qǐng)求精神損害賠償這一問(wèn)題上，我國(guó)學(xué)者均認(rèn)為被侵權(quán)人可以請(qǐng)求精神損害賠償。對(duì)于該精神損害賠償請(qǐng)求權(quán)的法律依據(jù)，筆者支持程嘯教授的觀點(diǎn)，認(rèn)為可以適用第六十九條的規(guī)定。第六十九條在措辭上選擇使用的是“損失”一詞，而未如《民法典》第一千一百八十二條那樣使用“財(cái)產(chǎn)損失”的表述，所以損失既包括財(cái)產(chǎn)損失也包括精神損失[8]。因此，被侵權(quán)人可以第六十九條為個(gè)人信息侵權(quán)案件中精神損害賠償請(qǐng)求權(quán)為法律依據(jù)。

（三）優(yōu)化知情同意原則，推動(dòng)行業(yè)自律模式

一方面，應(yīng)增強(qiáng)知情同意原則的可操作性，優(yōu)化知情同意機(jī)制。在收集信息時(shí)，應(yīng)完善信息收集者的告知義務(wù)，對(duì)個(gè)人信息的收集目的、使用范圍、后期信息的處理等內(nèi)容要以簡(jiǎn)單明了、突出重點(diǎn)的形式告知信息主體。對(duì)不同年齡的信息主體的信息采集方式要加以區(qū)分，做到與其年齡、理解能力相匹配。還可以嘗試建立層級(jí)化、動(dòng)態(tài)化信息收集模式，將個(gè)人信息根據(jù)敏感程度分級(jí)處理。在優(yōu)化知情同意原則同時(shí)，還應(yīng)明確與知情同意原則相關(guān)的刪除權(quán)的規(guī)定。我國(guó)對(duì)于信息主體刪除權(quán)的細(xì)化可以參考?xì)W盟個(gè)人信息保護(hù)中被遺忘權(quán)的相關(guān)規(guī)定，圍繞此權(quán)利的主體、客體、內(nèi)容及適用范圍等方面明確具體要求。

另一方面，對(duì)于個(gè)人信息監(jiān)管難題，可以嘗試引入行業(yè)自律模式。行業(yè)協(xié)會(huì)作為自律組織進(jìn)行自我管理?yè)碛惺钟凭玫臍v史，如今在很多領(lǐng)域的應(yīng)用都極為普遍[9]。行業(yè)協(xié)會(huì)更了解行業(yè)內(nèi)經(jīng)營(yíng)規(guī)則，所以可以根據(jù)對(duì)個(gè)人信息收集處理的不同情況，制定更有針對(duì)性的自律規(guī)定。由于自律規(guī)定是行業(yè)內(nèi)部多方充分協(xié)商與讓步的結(jié)果，權(quán)衡了各方利益，所以會(huì)得到行業(yè)內(nèi)部經(jīng)營(yíng)者更多的認(rèn)可。行業(yè)自律模式可依據(jù)對(duì)行業(yè)實(shí)際情況的了解與經(jīng)驗(yàn)積累，實(shí)現(xiàn)以比政府更高的執(zhí)行效力和更低的成本保護(hù)個(gè)人信息[10]。

在萬(wàn)物互聯(lián)的數(shù)字時(shí)代，我們?cè)谙硎苄畔?shù)據(jù)經(jīng)濟(jì)紅利的同時(shí)，也要保障好公民個(gè)人信息的權(quán)益，落實(shí)好個(gè)人信息的立法保護(hù)。通過(guò)完善個(gè)人信息保護(hù)的立法體系、健全侵權(quán)救濟(jì)責(zé)任、將個(gè)人信息的監(jiān)管權(quán)利讓渡行業(yè)進(jìn)行自我管理、保障知情同意原則的有效實(shí)施等措施，解決侵害個(gè)人信息權(quán)益的問(wèn)題，為個(gè)人信息保護(hù)構(gòu)筑堅(jiān)實(shí)的法律屏障。

參考文獻(xiàn)：

[1]? ?王利明.人格權(quán)法研究[M].北京：中國(guó)人民大學(xué)出版社，2012：611.

[2]? ?王利明．論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學(xué)，2013，（4）：62-72.

[3]? ?楊立新，韓煦.被遺忘權(quán)的中國(guó)本土化及法律適用[J].法律適用，2015，（2）：24-34.

[4]? ?李雪峰.個(gè)人信息保護(hù)中知情同意原則的困境和應(yīng)對(duì)措施[J].法制博覽，2022，（6）：33.

[5]? ?威科先行法律信息庫(kù)[EB/OL].（2019-05-07）[2022-08-08].https：//law.wkinfo.com.cn/legislation/list？simple

[6]? ?龍衛(wèi)球.《個(gè)人信息保護(hù)法》的基本法定位與保護(hù)功能——基于新法體系形成及其展開的分析[J].現(xiàn)代法學(xué)，2021，（5）.

[7]? ?張新寶.個(gè)人信息收集：告知同意原則適用的限制[J].比較法研究，2016，（6）.

[8]? ?程嘯.侵害個(gè)人信息權(quán)益的侵權(quán)責(zé)任[J].中國(guó)法律評(píng)論，2021，（5）：59-69.

[9]? ?劉張君.金融管制放松條件下銀行自律研究[M].北京：中國(guó)金融出版社，2009：82-83.

[10]? ?張繼紅.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)行業(yè)自律的困境與出路[J].財(cái)經(jīng)法學(xué)，2018，（6）.

[責(zé)任編輯? ?興? ?華]