个人信息立法保护研究

张广旭

摘   要：随着信息网络行业的快速发展，个人信息侵权问题逐渐成为社会关注的焦点，信息安全面临着前所未有的挑战。2021年，我国《个人信息保护法》出台，为个人信息保护建立了基本法律框架，但其中些许制度的具体细化要求尚未详尽。因此，从我国个人信息保护立法现状出发，对个人信息保护的立法体系、侵权损害赔偿责任、信息收集与监管等方面问题进行探讨，并提出建议，希望能为我国突破个人信息立法保护困境，推进我国数据信息行业蓬勃发展贡献绵薄之力。

关键词：个人信息；立法保护；行业自律

中图分类号：D923.4      文献标志码：A 文章编号：1673-291X（2023）08-0159-03

一、个人信息概述

（一）个人信息的概念

在《个人信息保护法》施行之前，我国对个人信息的界定主要是通过参考2021年施行的《民法典》第一千零三十四条，即个人信息是以电子或者其他方式记录的，能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期……这是《民法典》第一次将个人信息界定为一项民事权益进行保障。随后，2021年11月我国正式施行《个人信息保护法》，其中第四条进一步明确了个人信息的概念：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。第四条规定的个人信息概念综合考虑了个人信息的识别性和相关性。与《民法典》中对个人信息概念的规定相比，《个人信息保护法》增加了“不包括匿名化处理后的信息”这一内容，将匿名化的个人信息排除在了个人信息范围之外，对个人信息的定义进行了更加精细的规定，为其保护提供了更为明确的要求。

（二）个人信息的法律属性

当前我国学界关于个人信息的法律属性存在多种学说，具体而言包括下列几种。

1.财产权说。信息网络社会的飞速发展对这一学说影响较大。具体来说，大数据推送技术应用的推广，使个人信息逐渐演变为一种新型“商品”，个人信息显示出其潜在的经济利益，其具有的财产权益被严重侵犯。所以在学术界中，一些学者认为个人信息所体现出的财产属性应作为个人信息立法保护的重点，应赋予个人信息主体财产权，使其能实现对经济利益占有、使用、处分的权利。

2.人格权说。支持人格权说的学者认为，个人信息与信息主体的联系十分紧密，因为在多数个人信息被侵犯的案件中，信息主体的人格权益也受到了一定程度的损害，所以个人信息权益中应包含人格尊严与人格自由的属性。王利明教授认为，个人信息权益应定义为信息主体依法对其个人信息所享有的支配、控制并排除他人侵害的权利[1]。个人信息保护应以保障人格的尊严与平等为目的，确保信息主体具有支配的权利。若将其认定为财产权法律属性，则必定会对信息主体的人格平等造成伤害[2]。

3.综合权利说。综合权利说认为，个人信息既具备人格利益属性，又具备财产利益属性。这是折中的学说。综合权利说认为，当个人信息权益受到侵犯时，信息主体只有寻求了人格权与财产权的双重救济，才能最大限度保障自身利益。

二、个人信息的国内外立法现状

（一）美国的个人信息保护模式

美国是将个人信息划分到隐私权所涵盖的领域内进行保护的。由于美国立法体制的复杂性，对于个人信息的保护采取分散立法模式。例如，美国有关个人信息保护的法律规范不仅在公私部门之间存在区分，而且在联邦政府和各州立法之间也有不同之处；在宪法领域美国以判例法的形式体现隐私权，而在联邦立法层面则以成文法的形式对隐私权的一些私法领域进行规范。这种分散立法模式使美国的隐私权保护体制更似网形构造，美国学者将这种保护体制比喻为“变色龙”。这种体制使美国个人信息保护问题能够得到更灵活、更全面的解决方式。美国对于个人信息的保护还采用了行业自律模式，即行业协会依据各行业的特征来制定行业规范、行业公约，以此来规范行业内部信息收集、处理行为。与法律规范相比，行业自律模式减少了执法成本，提高了社会治理水平，基于其灵活性，能够更有针对性地应对行业中个人信息保护问题的新情况。

（二）欧盟个人信息保护模式

欧盟采用了统一立法模式对个人信息进行保护。这种模式通过在个人信息领域建立统一法律标准，使得个人信息的法律保护更加明确。欧盟对个人信息的保护起始于《欧盟数据保护指令》。但在近20余年中，互联网行业突飞猛进的发展，使《欧盟数据保护指令》在一些基础概念规定、自身法律效力级别等方面的问题愈加明显，难以再应对个人信息的新变化。2018年，欧盟出台《通用数据保护条例》，确立欧洲地区个人信息保护的标准，将个人信息保护問题再次提升至重要地位。相比于《欧盟数据保护指令》，《条例》的适用范围有了显著的扩大。尤其值得一提的是，《条例》增设了被遗忘权、知情同意原则等规定，为当时我国的个人信息保护立法提供了可资借鉴的经验。具体而言，《条例》中明确的被遗忘权，是指对于发布在网络上的不当的、继续保留会降低评价的信息，信息主体要求信息控制者删除的权利[3]。被遗忘权的增设使信息主体能自由控制个人信息，维护了公民的隐私与名誉，加强了人格利益的保护。知情同意原则是指，互联网信息收集者在收集信息时要告知信息主体收集的范围、收集的目的和收集的方式，并且要经过信息主体的同意，得到授权之后才能使用公民个人的基本信息[4]。知情同意原则有力保障了信息收集时信息主体的知情权和同意权，防止了个人信息被非法获取。

（三）中国个人信息保护模式

我国早在多部特别法中就对个人信息进行了规定，最早可溯源于2000年通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》《互联网电子公告服务管理规定》。至今，我国包含有关个人信息保护条款的法律有50部，行政法规有79部，部门规章有160余部[5]。2021年出台的《个人信息保护法》是我国个人信息领域的专门法，通过该法建立了完善的个人信息保护制度。此法对个人信息保护领域做出了统一规定，并将个人信息保护上升到宪法高度，明确了个人信息保护的宪法基础。对于《民法典》中有关个人信息的基础概念、相关权利和义务规定存在的不足，《个人信息保护法》作出了更加合理的修改和完善[6]。以信息主体相关权利方面的补充为例，其规定了信息主体的知情权、删除权、查阅复制权等权利，构造了权利保障的基础框架。我国在个人信息保护领域的当务之急是出台《个人信息保护法》规定制度的具体落实细则，加快相应司法解释制定。

三、我国个人信息保护存在的问题

（一）个人信息立法体系方面

虽然我国已出台《个人信息保护法》，但是除《个人信息保护法》外，绝大多数与个人信息保护相关的规定零散存在于我国几百部法律法规文件之中。分析整理这些文件不难发现其中不足。一方面，这些法律法规中的多数个人信息规定较为粗糙，条款间相似度与重复度高、原则性条款与概括性条款规定过多，在实务中适用性较弱。另一方面，各法律法规间法律关系不明确，未形成紧密、有序的法律体系。例如，自《个人信息保护法》出台后，实务界、学术界对《个人保护法》与以《民法典》为代表的各部门法之间的关系饱存争议。

（二）侵犯个人信息权益的精神损害赔偿方面

《个人信息保护法》第六十九条规定：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。该条对个人信息侵权损害赔偿责任进行了规定，即适用过错推定责任；此外，该条第二款还明确了侵权损害赔偿数额计算原则，弥补了之前个人信息保护对侵权规则和赔偿数额规定的不足，降低了个人信息侵权案件中被侵权人的举证难度。但是随着大数据行业的快速发展，个人信息的敏感度逐渐增强，在一些侵犯个人信息的案件中，被泄露个人信息的主体往往会产生担心、焦虑，甚至恐惧的精神心理。所以，侵犯个人信息权益也会给被侵权人造成精神损害。以“徐玉玉电信诈骗案”为例，家庭贫困的徐玉玉因录取信息泄露，被诈骗走学费，伤心欲绝，精神受到严重痛苦，最终死亡。在该类案件中，因个人信息被侵犯受到的精神损害的情况并未明确规定在第六十九条。由此产生一个问题：对于因个人信息侵权行为产生的精神损害赔偿是否属于第六十九条“损害”的范围？第六十九条是否为个人信息侵权案件中信息主体请求精神损害赔偿的法律依据？学界对此争议较大。

（三）个人信息收集、监管环节方面

在个人信息的收集环节，信息收集者收集个人信息应以知情同意原则为依据，即信息收集者在收集个人信息时，应当对信息主体被收集、处理和利用的有关个人信息情况进行充分的告知，并征得其明确同意[7]。但是在数字社会，与信息收集者相比，信息主体明显处于劣势地位，对个人信息的控制能力也更弱一些，多数情况下个人信息的收集并非出于信息主体的自愿。《个人信息保护法》中虽然明确规定了知情同意原则，但是对于知情同意原则适用的具体细节却并未做出要求，使得实践中的知情同意原则失灵。在监管环节，无论是政府还是公司企业对其收集、保管的个人信息监管均存在不足。一方面，在对个人信息的管理上缺乏规范制度，各行业均缺少根据行业特点制定的个人信息保护机制；另一方面，信息网络的快速发展也使得个人信息保护的执法成本增高，以至监管压力越来越大。

四、完善我国个人信息立法保护的建议

（一）完善个人信息立法保护体系。

一方面要整合现有的法律法规。针对前文提到的个人信息立法不够细化、相似度与重复度高的问题，立法者应对不合适的法律法规进行修改与清理。各地方立法者应因地制宜，在不违反上位法的前提下，结合地方历史传统、风俗习惯、经济水平等实际情况制定体现地方特色的个人信息保护法律规范，避免一味照搬照抄上位法。另一方面要健全立法体系内个人信息保护法律规范衔接。对此，立法者可以《个人信息保护法》为核心，与整合的相关法律法规形成完善的个人信息立法保护系统。尤其要注重解决在法律适用等方面的矛盾，考虑各部法律、法规间的兼容，实现个人信息保护法律规范紧密、有序衔接。

（二）理清侵犯个人信息权益的精神损害赔偿责任

对于《个人信息保护法》第六十九条的规定是否包含个人信息侵权的精神损害赔偿责任，学术界分为肯定说与否定说。肯定说认为，当个人信息权益受到侵犯时，被侵权人既可获得财产损害赔偿，又可获得精神损害赔偿；而否定说却认为，第六十九条并未规定该责任。但在是否可以请求精神损害赔偿这一问题上，我国学者均认为被侵权人可以请求精神损害赔偿。对于该精神损害赔偿请求权的法律依据，笔者支持程啸教授的观点，认为可以适用第六十九条的规定。第六十九条在措辞上选择使用的是“损失”一词，而未如《民法典》第一千一百八十二条那样使用“财产损失”的表述，所以损失既包括财产损失也包括精神损失[8]。因此，被侵权人可以第六十九条为个人信息侵权案件中精神损害赔偿请求权为法律依据。

（三）优化知情同意原则，推动行业自律模式

一方面，应增强知情同意原则的可操作性，优化知情同意机制。在收集信息时，应完善信息收集者的告知义务，对个人信息的收集目的、使用范围、后期信息的处理等内容要以简单明了、突出重点的形式告知信息主体。对不同年龄的信息主体的信息采集方式要加以区分，做到与其年龄、理解能力相匹配。还可以尝试建立层级化、动态化信息收集模式，将个人信息根据敏感程度分级处理。在优化知情同意原则同时，还应明确与知情同意原则相关的删除权的规定。我国对于信息主体删除权的细化可以参考欧盟个人信息保护中被遗忘权的相关规定，围绕此权利的主体、客体、内容及适用范围等方面明确具体要求。

另一方面，对于个人信息监管难题，可以尝试引入行业自律模式。行业协会作为自律组织进行自我管理拥有十分悠久的历史，如今在很多领域的应用都极为普遍[9]。行业协会更了解行业内经营规则，所以可以根据对个人信息收集处理的不同情况，制定更有针对性的自律规定。由于自律规定是行业内部多方充分协商与让步的结果，权衡了各方利益，所以会得到行业内部经营者更多的认可。行业自律模式可依据对行业实际情况的了解与经验积累，实现以比政府更高的执行效力和更低的成本保护个人信息[10]。

在万物互联的数字时代，我们在享受信息数据经济红利的同时，也要保障好公民个人信息的權益，落实好个人信息的立法保护。通过完善个人信息保护的立法体系、健全侵权救济责任、将个人信息的监管权利让渡行业进行自我管理、保障知情同意原则的有效实施等措施，解决侵害个人信息权益的问题，为个人信息保护构筑坚实的法律屏障。

参考文献：

[1]   王利明.人格权法研究[M].北京：中国人民大学出版社，2012：611.

[2]   王利明．论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学，2013，（4）：62-72.

[3]   杨立新，韩煦.被遗忘权的中国本土化及法律适用[J].法律适用，2015，（2）：24-34.

[4]   李雪峰.个人信息保护中知情同意原则的困境和应对措施[J].法制博览，2022，（6）：33.

[5]   威科先行法律信息库[EB/OL].（2019-05-07）[2022-08-08].https：//law.wkinfo.com.cn/legislation/list？simple

[6]   龙卫球.《个人信息保护法》的基本法定位与保护功能——基于新法体系形成及其展开的分析[J].现代法学，2021，（5）.

[7]   张新宝.个人信息收集：告知同意原则适用的限制[J].比较法研究，2016，（6）.

[8]   程啸.侵害个人信息权益的侵权责任[J].中国法律评论，2021，（5）：59-69.

[9]   刘张君.金融管制放松条件下银行自律研究[M].北京：中国金融出版社，2009：82-83.

[10]   张继红.大数据时代个人信息保护行业自律的困境与出路[J].财经法学，2018，（6）.

[责任编辑   兴   华]