个人信息保护的立法路径选择

马 蕊

（西南政法大学，重庆 401120）

一、问题的提出

随着互联网、大数据、云计算等技术的广泛运用，信息的潜在价值不断得以显现，同时信息安全风险亦日趋严峻。从2015年下半年到2017年上半年的两年间,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失惊人，数额高达915亿元，人均损失133元，比去年增加9元。由此观之，信息安全问题亟待立法作出相应回应。[1]新近颁行的《民法总则》为因应社会现实需要，对个人信息予以了明确规定。但令人疑惑的是，《民法总则》第111条所规定个人信息的内涵和外延究竟所指为何？个人信息保护的具体制度规则究竟宜在民法典各分编中具体展开抑或单独制定一部个人信息保护法？本文正是基于以上疑窦来渐次呈现自己的观点，以求教方家。

二、信息保护条款的发展脉络

美国霍姆斯（Justice Holmes）大法官曾经说过：“要了解某个法律制度究竟是什么，我们就必须知道其曾经是什么，又将成为什么。”[2]随着个人信息遭受侵害的案件接连发生，社会对保护个人信息的需求日益高涨。有需求就会有供应，虽然没有制定单独的法律对其予以规制，但随着学界对个人信息研究的不断深入，与其有关的相应规则也逐渐增多。例如，国家质量监督检验检疫总局、国家标准化管理委员会2012年发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》、工信部2013年发布的《电信与互联网用户个人信息保护规定》。2009年“刑法修正案（七）”增加了出售、非法提供公民个人信息罪、非法获取公民个人信息罪，2015年“刑法修正案（九）”更是拓宽了该罪的适用范围。国家以公法形式对侵犯公民个人信息的行为予以惩戒，这表明个人信息遭受侵害的现象已经愈演愈烈，法律作为维护正义的天平已经倾向了受害者一方。2012年全国人大常委会通过的 《关于加强网络信息保护的决定》中也对网络个人信息保护提出了原则性的要求。2013年《消费者权益保护法》中特别增加了第29条，对经营者收集、使用、存储个人信息作出了限制性规定，明确提出对个人信息进行保护。2014年最高人民法院发布了 《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》并在其中明确提出保护个人信息。尤其值得关注的是2016年通过的《网络安全法》，首次在法律层面上规定了个人信息的保护规则，但网络安全法本质上是为了维护国家安全、社会安定和不特定公民利益，而对包括个人信息权在内的公民私权予以必要限制，这在一定程度上构成了对个人信息安全的威胁。[3]在责任承担方式上，该法则也更多的强调了行政责任而非民事责任。可见，在民事领域，中国急需相应规则对该问题作出妥善规定。

三、信息保护的司法裁判歧见

诚如雍琦教授所言，只有当我们头脑中所运用的概念清晰、明确，以之为基础而展开的逻辑活动才有可能科学正确。[4]对个人信息的讨论亦是如此，欲明辨个人信息究竟是一项权利亦或属权利客体，则须对其周围概念进行探讨。

（一）隐私权与个人信息权之博弈

我国现有法律对隐私权进行了明文规定，但这是否就可以简单的涵盖对个人信息权的保护呢？答案当然是否定的。司法实践中，我国仍采取隐私权的保护模式对个人信息进行救济，即逐渐形成的隐私权化的附属保护模式。2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件若干问题的规定》首次在司法解释中明确了个人信息权益保护属于侵权法的保护范围。该规定第12条以不完全列举的方式，将“基因信息、病历资料、健康检查资料等”的个人信息属性予以明确，并以“其他个人信息”作为兜底。2014年9月16日，广州市中级人民法院在 “温国强与莫丕向不当得利纠纷案”二审中，以被上诉人获取的证据“侵犯上诉人的隐私、个人信息权”为由，排除一项证据的适用。①参见（2014）穗中法立民终字第2604号《民事裁定书》。这是我国法院裁判文书中首次出现的个人信息权概念。

笔者认为，我国司法实践按照隐私权的保护模式对个人信息予以救济的根本原因在于未明确二者之间的界线。纵然二者存在天然的关联性，但也绝不能将其混同，明确二者的区分，无论是对个人信息的保护，还是对人格权制度的完备均重若丘山。

对隐私权和个人信息权进行探究，二者主要存在以下几方面的区别，第一，权利属性的界分：（1）隐私权主要体现其精神属性，其损害后果主要为精神损害，而个人信息权在性质上则兼具人格利益与财产利益，既包括精神价值，亦包括财产价值。王泽鉴教授提出：“因社会经济活动的扩大，科技的发展，特定人格利益既已进入市场而商业化，具有一定经济利益的内涵，应肯定其兼具有财产权的性质。”[5]（2）隐私权属于消极的、防御性权利，只有当权利遭受损失时才可以请求义务人采取排除妨害、赔偿损失等行为。个人信息权则不仅具有消极权能，亦具有积极权能，主要表现为对权利的支配与控制。正如有学者指出，“普通的隐私权主要是一种消极的、排他的权利，但资讯自决权则赋予了权利人一种排他的、积极的、能动的控制权和利用权。”[6]第二，权利客体的界分：（1）隐私更注重信息或活动的私密性，权利人一般都不愿意公开该信息且该部分信息并不涉及公共利益，从而使得隐私权范围内所包含的信息并不直接指向自然人的主体身份；而个人信息最重要的特点便是在于主体的身份识别性，王利明教授认为：“对个人信息意义上的身份识别应当做广义理解，即只要求此种信息与个人人格、身份有一定的联系，无论是直接指向个人，还是在信息组合之后指向个人，都可以认为其具有身份识别性。”[7]就二者造成的损害而言，隐私信息一旦被披露，造成的结果往往具有不可恢复性。而由于个人信息的可重复性，因此对于侵害个人信息所造成的损害往往亦具有可恢复性。（2）就信息的存在形态而言，隐私往往不囿于存在固定的载体之上，其经常以其他一些形式进行表现。而个人信息则必须以固定化的信息方式表现出来。[8]第三，权利内容的界分：隐私权的内容主要体现为私密领域的不被知悉、不受侵扰，而个人信息权的内容则主要体现为对个人信息利用的知情权及决定权。个人信息与隐私之间存在交叉，但隐私权制度的重心在于防范个人秘密不被非法披露，而对个人信息进行保护的目的在于对未经许可而非法收集和利用个人信息的行为进行规制。

（二）《民法总则》的不足

通过以上对个人信息权与隐私权在法律属性、内容及客体上的比较可以看出，二者之间存在诸多不同。因此，我们不能单纯地通过隐私权的保护模式对个人信息予以救济。首先，《民法总则》第111条用反面规定的方式对行为人不得侵害他人信息的义务进行了列举而提出对个人信息予以保护，但该条却并未将个人信息明确规定为一项具体权利。其次，该条文既没有对权利属性进行确认和分类，也没有对其遭受侵害时的责任承担问题进行相应规定。使得作为权力客体的个人信息遭受侵害时，人们难以判断受侵害的个人信息的内涵和外延，以致不能很好的对相应内容进行救济；且因其并未规定相应的法律后果，致使该条在司法实践中难以起到约束人们行为的作用。最后，该条文中提出的“任何组织”中是否应当涵盖“国家”或“国家机关”、“行政机关”这样的主体？作为首次提出保护个人信息内容的法律条文，该条的颁布确实可以作为对个人信息进行保护的里程碑式的规定，但仍应看到存在诸多不足。

四、个人信息保护的应然路径

“法律是一个带有许多大厅、房间、凹角、拐角的大厦，在同一时间里想用一盏探照灯照亮每一间房间、凹角和拐角是极为困难的，尤其是当技术知识和经验受到局限的情况下，照明系统不适当或至少不完备时，情形就更是如此了。”[9]

（一）确认个人信息权为一项民事权利

对对象进行保护的前提在于认清对象的本质。到底何为个人信息？这个看似简单的问题实则存在诸多理论分歧。对个人信息最具代表性的定义为1995年《欧盟数据保护指令》，其规定：“有关一个被识别或可识别自然人的任何消息。可以识别的自然人是指通过身份证号码或身体、生理、精神、经济、文化、社会身份等一个或多个因素可直接或间接确定的特定的自然人。”我国有学者认为：“个人信息是指关于个人的一切资料、数据，是能够直接或间接识别特定个人的所有信息，通常包括了一个人的生理、心理、智力、个体、社会、经济、文化、家庭等方面。 ”[10]笔者赞同我国学者的观点，并将以此为基础，对个人信息的权利属性进行界定。

维护人格尊严和自由为国际公认的个人信息保护主旨，个人信息的可识别性决定了其具有显著的人格属性，因而将其纳入到人格权的保护范畴，并称其为“个人信息权”。根据国内通说，“个人信息权是指包括收集、处理和使用在整个过程中个人信息主体所享有的知情权和决定权。”[11]那么，个人信息权究竟该归属一般人格权抑或具体人格权，对此问题，国内学界亦存在不同观点。有学者认为：个人信息属于一般人格权的客体。如马俊驹教授就曾指出，个人信息所体现的利益属一般人格权的范畴。[12]笔者并不赞同这一观点。

根据宪法及相关法律的规定，一般人格权主要包括人格尊严、自由及人格平等，但个人信息权所体现出对个人信息所享有的知情权和决定权则明显不能被一般人格权的内容所涵盖。若将个人信息置于一般人格权中进行规定，则会极大增加法官裁判案件的难度，若赋予法官过度的自由裁量权，又很有可能发生大量同案不同判的结果。因此，有必要将个人信息权作为一项具体人格权进行对待。

作为一项具体人格权，个人信息权是指“本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利。”[13]其既有消极权能，亦具有积极权能。根据前文个人信息的概念可以看出，个人信息包含了姓名、肖像、健康等人格权要素，但却并不能因此将个人信息视为现有的其他具体人格权的内容。从个人信息权的要素进行分析，个人信息权的主体应为自然人，即个人信息享有者本人，客体为已被存储的个人信息，在个人信息未被存储的情况下，本人对其个人信息所享有的决定其使用方法、使用范围、使用程度以及请求维护信息完整的人格利益则很难得到满足。从内容角度而言，个人信息权包含了三个方面，第一，个人信息处理的决定权；第二，许可个人信息使用及监督的权利；第三，请求信息处理者维护个人信息的完整与安全。[14]

在人格权领域中，主体的唯一性决定了各类具体人格权的人身依附性，因此，要想将各具体人格权的权利边界进行准确而明晰的划分并不容易。法律对各具体人格权的内容进行界定的原因在于，当某一类型的权利受侵害而难以明确进行判定时，可以从每一权利侧重的角度进行判断。个人信息主体对其个人信息享有绝对的控制，这种控制就体现在对他人非法收集、处理和利用信息的禁止和排除上。对这些个人信息的控制，本身体现的就是一种私益，这是个人信息能够成为民事权益的根本原因。[15]基于此，个人信息权发挥着其他人格权不可替代的重要作用，有必要将其列为一项独立的具体人格权进行保护。

（二）个人信息保护制度宜纳入民法分编

通过单独立法的形式对个人信息进行保护，这一主张已被以王利明老师为代表的国内多数学者所接受。2017年3月，吴晓灵①吴晓灵为全国人大代表、全国人大常委、财经委副主任委员。等45位人大代表也于两会期间提交了《关于制定〈中华人民共和国个人信息保护法〉的议案》，是否根据多数学者的建议制定一部单独的《个人信息保护法》呢？在笔者看来，答案应是否定的。

依照十八届四种全会《公报》精神，现阶段立法工作的重点应当更加注重提高质量而非单纯的追求数量。但目前的现状是各种法律、规范性文件横行。就前文的论述来看，我国目前对个人信息权具体内涵的界定莫衷一是，对个人信息如何进行保护仍处于探索与学习阶段。要实现科学立法，必须充分考虑立法的必要性。当我们对某一事项认识还不够深刻时，就不应立即制定相应的法律、法规。

立法活动从本质而言是对生活中各种利益关系的比较与平衡，法律是相对稳定的，法官用稳定的法律来解决不同的问题，这才是法律的魅力所在。若一有新问题产生便制定一部新的法律，势必会损害法律的稳定性和权威性。笔者认为，法律的制定不应仅关注现实生活中是否需要一部法律，更应该从各个方面进行分析与考虑。

1.立法成本角度

从市场经济的逻辑看，追逐效率和效益当为法律制度所考虑的必然因素。面对更加强调效率与利益的市场经济时代，强调只有当收益大于支出时，政府所采取的措施或者政策才是适当的。就立法而言，是指立法的成本投入与立法的结果产出之比较。有净收益，才是立法正当性的基础。[16]

在立法工作上，我国秉承改革开放以来高效、务实、稳妥的策略，其要求立法者们保持审慎立法的态度与政策。从立法成本角度而言，我国实际上已经存在为数较多的针对个人信息保护的规则，若要在此之外又单独制定一部法律来对个人信息保护问题进行规定，是否会产生浪费法律资源的现实问题？对某问题进行专项立法的前提在于我们已经充分理解、掌握了该问题的实质内容，但根据国内外的相关立法情况以及我国的司法实践来看，目前我们还未清晰个人信息的实质以及个人信息权与隐私权的区别，一味的模仿国外进行单独立法，是否只会造成大量法律资源的浪费，而不能对我国的实际情况进行规制。

2.法典意义角度

《民法总则》第111条明确了个人信息的保护，但却没有对其进行相应地权利认定，而只是将个人信息视为一项法律需要保护的法益进行列举。如前所述，个人信息属于具体人格权的一项内容，其地位相当于生命权、身体权、健康权等其他具体人格权，本应与其他具体人格权平等保护。立法应与法自身的逻辑体系相适应，对个人信息权进行单独立法是否有对其他具体人格权轻视的嫌疑？此外，制定单独的《个人信息保护法》必将涉及对侵权行为的救济，救济手段仅涉及民事责任是否周全？若加入刑事、行政责任，那是否又会与现存的归责手段相矛盾？如果按照这个方向发展，只要一出现新型的法律现象或法律问题就制定单独的法律对其予以规制而将其排除在法典之外，是否意味着法典即为现行法的汇编而其自身并无意义。若民法典按时出台，但法典之外单行法肆意，那么法典化的价值又究竟何在。

（三）个人信息权在民法分编中的展开

民法典应突出体系化的构建，而非叠床架屋式的条文堆积。笔者认为，个人信息权确有在人格权编或其他分编中单独成篇之必要。例如在物权编中，可以明确规定权利人享有对个人信息的所有权，以便更好的实现个人信息权的积极权能。杨立新教授认为，信息权是一种包含有请求权的绝对权。[17]如此，当信息权遭到侵害时，权利人既可以享有信息请求权请求加害方采取停止侵害、排除妨害等措施，又可以享有侵权请求权而适用侵权法予以救济；在侵权编中,现行法律对侵害个人信息的责任并没有作出明确规定。那么，可否适用《侵权法》第二十条来对侵害个人信息的行为进行规制，法律并未列明。根据本文的论证，个人信息权属于具体人格权的一部分，故笔者建议，可以在将来的《民法典》中将个人信息权纳入侵权法的保护范围之内。依据 《民法总则》第111条，如何界定非法利用个人信息行为、侵害个人信息权利是否必须造成实际的损害后果以及因果关系的判定等一系列问题都可在今后的侵权编中进行具体规定。且笔者认为，宜按照过错推定原则，由侵权人就其不存在过错承担举证责任，而非一般侵权的“谁主张，谁举证”原则。权利人仅负担初步的证明责任，即权利人并未允许他人使用自己的个人信息，而由持有或使用个人信息的主体证明其持有或使用个人信息的合理性，如果由权利人对侵害人的过错承担举证责任，会不恰当地加重权利人证明责任与维权的成本。[18]同时，可以允许信息收集者在通知信息主体和取得用户许可的前提下对信息进行合理利用，但应当对收集到的信息进行匿名化处理，否则，应由行为人承担侵权责任。

五、结语

信息时代，个人信息侵害案件层出不穷。新晋《民法总则》第111条明确提出对个人信息予以保护的规定说明法律已对该问题作出了回应，而以隐私权的附属保护模式或者将其笼统地置于其他具体人格权的规定之内都不能实现对个人信息利益的有效保护。

在形式上，个人信息不仅具有实在的利益主体还具有明确的利益内容，亦满足了构造权利的可行性要求。在我国公法已先行为个人信息提供保护的情形之下，亦须私法提供相应的制度规则进行保护来满足公私法的协调一致。依据前文所述，我国不应单独制定一部《个人信息保护法》来对其提供救济，而应将其保护规则置于民法典各分编中进行具体规定。通过物权编、合同编、侵权编和其他具体规则的相互配合，共同实现对个人信息权的有力保护。实践证明，只有通过创制科学的法律规范，制定高质量，符合经济与社会发展的法律、法规，才能保障和促进经济与社会的共同发展，才能实现对信息主体利益较为详尽且完整的保护。