論個人信息的民法保護

李翠萍

(安徽大學江淮學院 文法系，安徽 合肥 230039)

現(xiàn)今信息數(shù)據(jù)已成為新時代的新型財富和資源，信息數(shù)據(jù)的有效利用方便了人們的生活，促進了經濟的發(fā)展和社會的進步。但與此同時，個人信息的非法收集與利用，也嚴重地威脅了個人的權益與安全。在有效利用信息數(shù)據(jù)和保護個人信息權益二者之間如何取得平衡，亟待通過法律規(guī)定加以解決。2017年3月15日頒布的《民法總則》規(guī)定了自然人的個人信息受法律保護，第一次將個人信息明確納入民法的保護范圍。但內容簡單籠統(tǒng)，尚顯不足，還需在今后的民事立法中繼續(xù)加以完善。

一、個人信息概念的界定

《民法總則》第一百一十一條確認了個人信息受法律保護，這是在民事立法中第一次使用 “個人信息”的概念，但該條款并沒有對個人信息的概念進行界定。從其他法律法規(guī)的考察中，可以發(fā)現(xiàn)，對于“個人信息”概念的界定存在較大差異，但在不斷趨于明確和完善。

在許多法律法規(guī)中均有對“個人信息”概念的界定，但有的沒有將 “個人信息”與其他相關法律概念比如 “個人隱私”區(qū)分開來，有的沒有指出個人信息的核心法律特征，最具有影響力的規(guī)定是2017年施行的《網(wǎng)絡安全法》對“個人信息”概念的界定。該法采取概括加列舉的方式規(guī)定了個人信息的概念，該法第七十六條第五項規(guī)定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”，指出了個人信息的內涵是“能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”，其中“識別性” 是個人信息概念的核心法律特征，同時指出了個人信息的外延，個人信息“包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”常見個人信息形式。這一規(guī)定對正在制定的《民法典》影響巨大，《民法典人格權編(草案)》(二次審議稿)第三編第六章第八百一十三條第二款規(guī)定：“本法所稱個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！眱热輲缀跬耆恢?。

對于個人信息概念的界定可以參考以上兩部法律的規(guī)定，采取概括加列舉的方式進行表述。一方面界定其內涵，個人信息是指“能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”，另一方面列舉其外延，但要注意其外延不僅包括明確列舉的“自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”，也應該包括沒有明確列舉但是能夠識別自然人個人身份的其他信息，比如自然人網(wǎng)絡瀏覽信息、行蹤信息等。

二、立法中個人信息民法保護的現(xiàn)存問題

《民法通則》中規(guī)定了對公民姓名、肖像、名譽等要加以保護，實際上是間接地起到了保護個人信息的作用，但畢竟個人信息不能為以上權利所替代?！肚謾嘭熑畏ā芬惨?guī)定了對隱私權、姓名權的保護，并規(guī)定了網(wǎng)絡侵權問題，規(guī)制了網(wǎng)絡引起的具體人格權侵權行為，在醫(yī)療損害責任部分，規(guī)定了對患者的個人信息的保護。另外，《消費者權益保護法》中也規(guī)定了保護消費者的個人信息。但這些規(guī)定都是從某一方面對個人信息進行保護，過于片面。

《民法總則》第一百一十一條規(guī)定“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！笔状螌€人信息明確地納入民法的保護范圍。短短的一個條文實際上包含兩方面的意思：一方面規(guī)定“自然人的個人信息受法律保護”，實際上是從權利人的角度賦予了自然人具有個人信息權益。盡管其他法律法規(guī)在此之前對個人信息保護作出過規(guī)定，但從民事基本法的高度并且把它從其他權利保護中獨立起來進行保護這是第一次。另一方面從義務人的角度對義務人設定了積極的作為義務和消極的不作為義務：義務人負有確保依法取得的他人之個人信息安全的積極作為義務；同時義務人還負有消極不作為義務， “不得非法收集、使用、加工、傳輸他人個人信息”和“不得非法買賣、提供或者公開他人個人信息”。

但民事立法中對個人信息的保護還僅僅是對基本的保護規(guī)則的規(guī)定，我國民事立法中對個人信息的保護還存在以下問題。

(一)規(guī)定缺乏系統(tǒng)性且過于籠統(tǒng)

從前文可知，我國目前關于個人信息的民事立法條款少，而且總體上也是非常分散的狀態(tài)，缺乏體系性，不利于法律的具體適用。并且法律規(guī)定比較籠統(tǒng)，雖然《民法總則》第一百一十一條確立了對自然人的個人信息的保護，但并未界定個人信息的概念，沒有規(guī)定個人信息的具體內涵和外延，這使得在法律適用過程中對于確定哪些屬于個人信息會存在很大爭議，權利主體也無法知曉其所享有的個人信息權具體包括哪些權能。此外，條文中也沒有規(guī)定義務人如果違反了該條所列舉的作為義務和不作為義務，侵犯了自然人的個人信息需要承擔什么樣的法律后果。所以很難適用到具體案例，難以起到約束行為人的作用。其他民事立法中也存在比較抽象，缺乏相應的實施細則。

(二)侵權責任難以認定，救濟不完善

在個人信息侵權案件中，按照一般侵權責任的舉證規(guī)則“誰主張、誰舉證”，被侵權人需要承擔證明其個人信息被侵犯的舉證責任。但在此類案件中，侵犯個人信息的主體往往是公司或其他組織體，他們處于明顯的優(yōu)勢地位，掌握著收集、儲存、利用和傳輸個人信息等復雜的技術，被侵權人作為個人，甚至都無法了解自己的信息是否被泄露以及是怎么泄露的，更別提證明信息被侵犯的事實了。所以 “誰主張、誰舉證”的舉證責任分配規(guī)則應用到個人信息侵權案件中是不合理的，導致侵權責任在實踐中難以認定。

依據(jù)《侵權責任法》第二十條和第二十二條，個人信息受到侵害造成財產損失的，可以提出財產損失賠償，造成嚴重精神損害的，可以請求精神損害賠償。然而在個人信息侵權案件中，財產損失的數(shù)額證明起來往往比較困難，精神損害賠償數(shù)額又非常低，導致對被侵權人的救濟很不完善，無法填平個人所遭受的物質損失和精神損失。

(三)從司法實踐中看，民事手段對個人信息的保護比較有限

通過查詢“北大法寶”數(shù)據(jù)庫可知，《刑法修正案(七)》生效以來，侵犯個人信息的刑事案件數(shù)量高達四千多萬，民事法律中雖然也有保護個人信息的規(guī)定，但民事案例中涉及到侵害個人信息的僅僅只有幾十件。說明自然人尋求法院來保護其受到侵害的個人信息的民事案件還比較少。通過對這些民事案件的分析，發(fā)現(xiàn)絕大部分的被告為法人，且大部分為大公司或專業(yè)的網(wǎng)絡信息公司，正如前文所述，個人作為原告與這些被告之間實力差距懸殊，很難證明自己的個人信息被侵犯的事實。通過對這些案件進行分析也可以看出，即使原告勝訴，獲得賠償?shù)臄?shù)額也比較低，大部分在1萬元以下，極少超過1萬元，沒有超過五萬元的?？梢哉f通過民事手段來保護個人信息，維權成本高，賠償數(shù)額低。由此可見，民法中對于個人信息保護的法律規(guī)范在司法審判中沒有得到充分適用，一定程度上可以說明這些規(guī)范的設計還不是很成功，需要進一步改進。

三、在民法中完善個人信息保護的建議

(一)積極確權，確認個人信息權的概念及其權能

《民法總則》第一百一十一條規(guī)定“自然人的個人信息受法律保護”，但沒有界定個人信息的概念，也沒有使用“個人信息權”這一概念，實際上沒有將個人信息確認為一項民事權利并進行界定，更沒有明確個人信息權的權能。自然人并不知道自己對個人信息享有哪些權能，導致自然人不知如何正確行使自己的個人信息權。建議在民法典中規(guī)定獨立的個人信息權，明確個人信息權各項具體權能，這樣可以一方面為權利人具體行使和維護提供明確的指引。另一方面也有利于區(qū)分個人信息權與其他權利(如隱私權、肖像權、姓名權)，避免法律適用上的沖突。

在規(guī)定個人信息權的權能時，要考慮個人信息權的特殊性并進行特殊設計。它與物權等絕對權利不同，不可能成為全面的絕對權，可以全面地對客體進行占有、使用、收益和處分。個人信息權有其特殊性，收集和分析個人信息數(shù)據(jù)具有很高的經濟和社會價值，所以有一些個人信息應該允許被收集使用，只是應該在確保個人信息安全的前提下收集使用，并且要確保自然人利益受到侵害后有救濟手段?！稓W盟通用數(shù)據(jù)保護條例》確認了自然人的個人信息權有六種權能(獲得權、更正權、刪除權或稱被遺忘權、限制處理權、數(shù)據(jù)可攜權、反對權)，我國立法可以借鑒，但要結合我國的實際。

(二)明確行為規(guī)范，界定義務人的行為邊界

個人信息被隨意收集并進行濫用，很大程度是因為法律上沒有對這種行為明確邊界?！睹穹倓t》已經粗線條地對義務人的行為進行了規(guī)范，但因為不具體，操作性不強。

根據(jù)《民法總則》第一百一十一條的規(guī)定，可以將信息義務人的義務類型歸納為三大塊內容(依法取得、確保信息安全、不得非法利用)?！睹穹ǖ淙烁駲嗑?草案)》(二次審議稿)第八百一十四條和八百一十七條分別對這三種義務類型進行了進一步的細化，對于義務人的行為規(guī)范更加明確，更具有操作性，但草案在第八百一十四條規(guī)定“收集、使用自然人個人信息的”必須“征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外”。此條文值得商榷，因為個人信息權有其特殊性，個人信息的收集和分析有很高的經濟和社會價值，許多新興的產業(yè)發(fā)展也依賴于信息的收集和分析，法律在設定時既要起到保護個人信息的作用，也要兼顧到網(wǎng)絡產業(yè)的發(fā)展。如果在取得個人信息時都要征得同意，會阻礙收集信息的及時性和全面性，影響這些產業(yè)的發(fā)展。筆者建議，在取得個人信息時可以弱化義務人的義務，在確保信息安全和不得非法利用這兩大塊強化義務人的義務。

(三)明確個人信息權的保護方法

個人信息權作為一種人格權，侵犯了個人信息權應承擔侵權責任。目前法律規(guī)定的承擔侵權責任的方式主要是《侵權責任法》第十五條規(guī)定的八種方式，但并不是所有的方式都可以適用侵犯個人信息權案件。民事法律規(guī)范要明確具體可以適用的責任承擔方式，如果造成自然人損害，需要賠償損失，法律還要明確賠償?shù)姆秶蜆藴?，何時適用精神損害賠償，以方便和鼓勵被侵權人進行求償。在信息互通的時代,獲取信息越來越容易,保護信息越來越難，尤其網(wǎng)絡已經是個人信息被非法收集和利用的重災區(qū)。筆者建議，要加大對非法收集和利用個人信息的懲罰力度，對于故意侵犯個人信息權而造成權利人損害的，可以適用懲罰性賠償。

總之，我們可以借助我國正在編纂《民法典》契機，實現(xiàn)個人信息權的民事確權，構建基本的個人信息權利制度，形成在《民法總則》第一百一十一條統(tǒng)領下的民法分則人格權編第六章 “隱私權與個人信息保護”而展開個人信息保護的民事規(guī)范體系，同時，在分則侵權責任編中對侵害個人信息權利的侵權責任進行規(guī)定，尤其對侵犯個人信息權可以請求的損害賠償作出具體規(guī)定。