《论个人信息权的法律保护【论文】》8000字

论个人信息权的法律保护目录TOC\o"1-3"\h\u12773摘要 摘要大数据时代下个人信息的价值逐步提高，但云计算、cooking等数据处理技术的应用使得人们面临“零隐私”的严峻风险，维护个人信息安全刻不容缓。现有民事个人信息保护立法体系分散并且缺乏配套责任规定，司法传统适用“隐私权”“一般人格权”模式也面临着个人信息保护力度不足和法律解释混乱的困境。民法作为私领域的基本法，为个人信息提供确权和救济保护符合其权利法特征。在权利建构上，还拥有隐私不具备的商业性许可利用之功能，其范畴已远超隐私且二者在保护途径和权利形式上存在差异，因此民法典人格权编中应明确以具体人格权即个人信息权为权利基础对个人信息进行保护。本文基于个人信息民法保护的立法现状和必要性，对个人信息民法保护存在的问题进行了分析，并提出了具有针对性的建议，希望能够为个人信息民法保护提供一些有益思路。关键词：个人信息；民法；民法保护引言我国《个人信息保护法》尚在征求意见中，《民法典》正式生效之前，对个人信息保护的最主要的依据为《民法总则》第111条，然而该条款为总则性的规定，仍需要进一步细化。《消费者权益保护法》、《网络安全法》等法规中虽然也有相关规定，但从整体上看，法律规范比较分散且部门法之间的规定存在差异，实践中容易引起法律适用的混乱。而且，由于一般侵权举证规则的适用，个体要想通过侵权诉讼对抗资源丰富的政府或者法人组织，这也不太现实。在如今快速发展的互联网时代，大数据已经改变生活的重要工具，而且其经济价值逐步提升，个人信息也已成为重要的国家战略资源，各国对个人信息的保护措施也愈加完善。笔者将通过对我国个人信息保护的立法、司法现状进行审视，找出理论和实践方面存在的问题，然后对域外典型国家个人信息保护模式进行评析，根据我国国情借鉴有益经验，提出完善我国个人信息保护的建议，丰富以《民法典》为主的个人信息保护法律体系，这在理论和实践方面都具有一定意义。一、个人信息民法保护的立法现状《民法典》正式生效前，保护个人信息最主要的法律规范是《民法总则》第111条（现《民法典第111条》），这是我国个人信息保护的里程碑条款，首次从基本法的高度为个人信息保护提供了法律依据。但该条款也存在一些问题，一方面该条款并没有明确个人信息的含义，另一方面是该条文并没有对个人信息的法律性质进行明确，因此引起学界关于民事权利和民事权益说的争论。其他对个人信息保护的法律条款比较分散，主要在《侵权责任法》、《合同法》等法律规范中体现。（一）个人信息的侵权责任法保护《民法典》侵权责任编第1165条（原《侵权责任法》第2条）规定侵害民事权益，应当承担侵权责任。将个人信息归纳到权益范围加以保护，符合侵权法初衷。《民法典》侵权责任编第1194-1197条（原《侵权责任法》第36条）的“避风港条款”对网络侵权作出了规定，网络服务提供者有义务在接到信息主体的侵权通知后采取必要措施制止不法行为。同时，《民法典》在原有《侵权责任法》基础上增添了信息主体的初始举证义务，信息主体需要初步证明自身身份信息和有侵权行为的现实存在。而且《民法典》也对个人信息主体权利作了相应的限制，即信息主体错误通知网络服务提供者造成另一方损害的应承担责任。仔细分析可知网络服务提供者需要承担两种责任，一是网络服务提供者主动侵害用户个人信息，则适用一般侵权和过错责任原则承担一般责任；二是在接到信息主体通知后未采取必要措施制止不法行为，因不作为导致的信息侵权，则应适用共同侵权规则，与侵权人一起承担连带责任。可以看出立法者基于数据化时代网络服务提供者相较于自然人具有绝对优势地位的考量，赋予了网络服务提供者更大的个人信息保护义务，这是合乎情理的。《民法典》侵权责任编第1222、1225、1226条（原《侵权责任法》第58、61、62条）规定了医疗机构妥善保管患者检验报告、护理记录等信息的义务。医疗机构及工作人员如果保管不周或者未经患者允许公开病历信息等都需要承担特殊侵权责任，并且适用过错推定责任原则。当今医患关系紧张，比如在新冠肺炎疫情期间，大量疑似与确诊患者的个人信息被披露在各大网络平台，这些人在康复后甚至被拒绝回家，给患者增加了极大的心理负担，这些规定正好能遏制该类事件的发生。（二）个人信息的合同法保护《合同法》中涉及个人信息保护的条款主要有第39条（现《民法典》合同编第496条）“格式条款”的规定。现在网络服务商提供的《用户协议》条款往往具有强制性，人们若不接受类似协议则不能使用有关网络服务。网络服务商的这种行为违反了格式条款中确定的“公平权利义务原则”，上述条文正好可以用来约束网络服务商的这种行为。《民法典》合同编第509条（原《合同法》第60条）规定当事人需要遵守诚实信用原则履行保密义务。现实市场交易中，从最初的合同签订到最终的合同履行完毕的系列过程中会产生大量的商业和个人信息，合同双方应当对涉及的当事人信息进行保密。如果非法泄露则属于合同违约，比如网络服务商如果超出用户协议非法将用户个人信息传输给第三方则属于违约行为。（三）个人信息的人格权法保护针对近些年来愈演愈烈的个人信息侵权问题，《民法典》人格权编增设了一系列法律条文保护个人信息。该法第1034条以“概括+列举”的方式明确了个人信息的定义，强调个人信息的“识别性”特征，并且区分了个人信息保护和隐私权保护适用不同的规则；第1035条明确了个人信息处理的合法、正当、必要原则，以及信息主体“知情同意”的权利；第1036条规定了处理个人信息的免责事由；第1037条确认了自然人对个人信息的查阅权、复制权、更正权、删除权；第1038条规定了信息处理者确保其控制的信息安全的义务；第1039条规定了国家机关及其工作人员对信息的保密义务。可以看出立法机关已经意识到了个人信息的重要性，因此构建了从个人信息赋权到救济的完整法律结构，这意味着对个人信息的保护将得到全面升级，肆意侵害个人信息的现象将得到有效解决。二、个人信息民法保护的必要性（一）保障人格自由与尊严个人信息是个人行为的数据化表示，现有技术可以实现对碎片化信息的积累和分析，随后通过可识别的个人信息的结合就可以勾勒出信息主体的人格形象，人们在享受着信息化便利时也承受着私人空间逐渐变小的事实，社会早就存在“隐私已死”的声音。信息被非法利用极可能造成社会分选、社会歧视的现象出现，将会对个人人格尊严造成损害。我国一直遵从“以人为本”的科学发展观，维护人格尊严、自由也有宪法明文规定。如隐私权一样，个人信息也具有人格权的特性，如果放任个人信息被侵犯，这会导致人身、财产、名誉、荣誉被侵害问题的发生。人格权的积极权能也已经被广泛承认，那信息主体自然有支配自己个人信息的权利，一旦这种权利受到损害或者剥夺，那必然对人格尊严、自由造成极大的伤害。因此，加强个人信息保护，这是保障人格自由、尊严的基本要求。（二）遏制信息侵权事件大数据时代下获取、处理个人信息变得更加容易，侵害个人信息的事件比比皆是。现实中大量APP软件采取“霸王协议”强制收集用户信息，或者超出用户协议范围使用个人信息。商业机构为了获得经济效益，通过技术对个人信息进行分析利用，比如“大数据杀熟”情况。不法份子利用信息买卖进行网络违法犯罪，比如“徐玉玉案”“清华教授被骗案”，信息泄露导致下游重大刑事犯罪事件的发生，严重影响社会秩序和社会发展。虽然刑事、行政处罚对于个人信息提供了重要的威慑、预防作用，但公法部门不可能发现并查处每一个违法侵权行为，即使违法者得到了惩罚，但并不代表被侵权者得到了赔偿或补偿。因此，加强个人信息的民法保护，使人们认识到个人信息的重要性，当人们的维权意识越来越高，对侵权人的震慑作用也越大，侵权行为也会得到有效遏制。（三）增强国际间竞争力世界领域中关于个人信息保护，已经不再仅仅是基本权利的问题，而是逐渐成为了一种新的贸易壁垒。欧盟《数据保护指令》要求只有对个人数据的保护达到欧盟所认定的“充分性”标准的国家，才允许在进行国际贸易时将个人数据流入该国。我国尚未得到欧盟的认可，因此从欧盟向中国转移数据是非法的。美国也在利用其影响力在推行其个人信息保护理念，第三国如果达不到其制定的个人信息保护标准，国际贸易也会受到极大限制。如2020年2月份美国公布的《外国投资风险审查现代化法案》，投资委员会将加大对外国在涉及对敏感个人数据的美国企业投资的审查。信息化的今天，合理合法的信息流动极大的促进经济的发展，违法违规的信息使用也会破坏社会和谐。因此，构建完整的个人信息保护，通过民事手段取得社会经济发展与保护个人信息之间取得平衡，推动经济发展，加快信息化进程，既能够构建和谐、法治社会，又可以促进国际交往和国际贸易的发展，有利于我国国际竞争力的提升。（四）完善个人信息保护法律体系我国《个人信息保护法》尚未审议中，因此通过民法来保护个人信息是建立健全个人信息法律保护的必要环节。首先，通过民事规范来提供对个人信息保护，正是对《宪法》“尊重和保障人权”精神的呈现。其次，在刑法以及行政法都对个人信息保护问题作出规定的情况下，如果民法中缺少相应的规定，那么刑法、行政法中的相关规定则会缺乏民事权益上的正当性基础。最后，《民法典》作为上位法，通过在法典中对个人信息保护作出原则性规定，既可以保障《个人信息保护法》具有基本法依据，同时可以为现行有效的《消费者权益保护法》、《网络安全法》等法律或行政法规提供规范基础。三、个人信息民法保护存在的问题（一）民事立法体系缺乏系统性目前关于个人信息保护的规定分散于不同部门法、规章、司法解释中，根据统计足有有百部之多，但大多是原则性规定，内容过于笼统，司法实操性不强。而且立法过于分散导致法律规范间的冲突，信息主体很难去正确选择维权的法律依据，司法裁判也会出现混乱情况。《民法总则》第111条只是概括性规定，但具体个人信息由谁保护、怎么保护、以及民事责任都没有具体规定，所以其约束力并不强。《民法典》生效后虽然可以缓解这些情况，但仔细分析人格权编新增的个人信息保护8项条文可知，其中并没有责任承担的相关规定，而且在构成要件、法律效果等方面还是处于真空状态，这需要后续出台相应的司法解释予以完善。随着《个人信息保护法（草案）》的公布，法律规范的系统性将显著提升，个人信息保护体系也将愈加完备，但在《民法典》和《个人信息保护法》的关系处理以及冲突适用方面，都需要进一步得到解决。（二）个人信息法律属性不明确尽管学界一直呼吁个人信息权法定化，但过往的《民法总则》、《网络安全法》等法律法规中，对个人信息保护都未使用“权”一字。甚至在《民法总则》初次审议稿中并没有关于个人信息保护的规定，“徐玉玉案”引起轰动后才在二次审议稿加入相应信息保护内容，第111条最终置于“民事权利”一章，但因为时间仓促，关于个人信息的法律定性并没有给予明确。《民法典》中关于个人信息属性的界定仍然不够明确，甚至更加模糊。《民法典》第1034条仍采用“自然人的个人信息受法律保护”的表述，从文本解释上看，个人信息的定位仍是权益而不是权利。但根据条文结构来看，该条文被放在民事权利的构架之中，上接生命权、姓名权、肖像权等具体人格权。姓名只是代表具体自然人的符号，除非是名人，不然仅通过姓名信息往往不能单独识别出一般自然人；肖像也是信息的一部分，但识别性较高通常可以做到直接识别。立法机关把这两项个人信息的下位概念都确定为具体人格权利，那个人信息又有什么理由不属于权利呢？而且《民法典》的第1035-1039条，又确定了信息知情权、更正权、删除权等具体权项，以及一般主体和公权力机关在处理个人信息时的义务规则，可以看出立法机关用大量条文构建了从个人信息确权和救济的体系，如果说个人信息不是权利，那么这些具体权项又何从而来呢？最新的《个人信息保护法（草案）》征求意见稿，通篇也是采取“个人信息权益”的表述方式。立法机关这种模棱两可的规定会降低法律的严谨性，司法实践中还是摆脱不了以隐私权、名誉权保护个人信息的境遇。正如王利明教授认为：“个人信息只有通过民事权利确认，才能真正归入民法保护机制中，才能有更充分的保护。”（三）民事侵权救济措施不完善在《民法典》生效之前，对个人信息保护问题，《侵权责任法》有两种救济途径，一种是《侵权责任法》第36条规定的网络信息侵权条款结合相应的司法解释，一种是《侵权责任法》第6条过错侵权条款配合《民法总则》第111条。前者适用于利用网络侵犯个人信息的类型案件，而后者适用于一切个人信息侵权案件。但司法实践中想要通过民事诉讼维护个人信息权却困难重重，因为适用“无过错”或者“过错推定”责任原则需要特别规定，但《侵权责任法》并未对个人信息侵权做出特别规定，实践中侵犯个人信息的案件需要满足侵权的一般构成要件，即违法行为、损害事实、因果关系、行为人过错。但实际诉讼中，个人信息主体面临着以下几方面的难题：一是难以证明侵权行为。在大数据时代，公务机关和网络服务提供者对个人信息往往是单方面储存和控制，信息主体很难了解个人信息保存、利用的情况，并且信息处理技术导致信息侵权行为具有隐蔽性、快速性等特点，信息主体很难获悉侵权行为的发生，更不要说去举证证明了。二是难以证明损害事实。由于个人信息侵权主要造成的是精神利益的损害，如个人信息被泄露而造成的心理恐慌，或者私密信息被泄露造成的名誉受损，但心理恐慌及社会评价性降低概念本就模糊，医疗机构及其他机构也做不到有效鉴定，因此通过举证认定损害事实比较困难。三是难以证明侵权人存在过错。大数据技术使得侵犯个人信息的行为更加隐蔽，信息处理者在得知侵权后处理和删改信息也极为容易，信息主体想要固定证据绝非易事。同时，信息共享导致多个主体有处理信息的可能性，信息经过多个环节流转后很难确定侵权主体，更不要说去证明哪个信息处理主体是真正的过错方了。四是维权成本高。因为信息处理者收集、利用的信息往往数量巨大，单个信息价值并不高，即使造成损害也是“微型损害”，导致信息主体并不愿花费时间精力提起诉讼。即使克服重重障碍赢得诉讼，但在索赔上，因为经济损失量化没有确切的标准，原告得到的赔偿与实际损失往往差别很大，而且精神损害也需要达到严重性的标准，这导致精神损害赔偿金的诉请通常也不会的得到支持，这就更使得人们不愿意主动去寻求司法救济。四、应对个人信息民法保护问题的对策（一）加快《个人信息保护法》的立法进程世界上120多个国家有个人信息保护的专门立法，如德国、日本、韩国、中国台湾等等。2008年全国人大开会期间张志法、孙桂华等代表就提出过相应个人信息保护议案，周汉华、齐爱民教授也撰写了比较有代表性的建议稿，但直至今日专门立法也未能实现，相关规定只能分散于各种法律、行政法规、司法解释中。分散立法有其明显的弊端，如保护对象不明确、信息主体权利失位、法律责任不明等等，这些问题导致相应的规范性文件发挥的实际作用有限。在《民法典》之后，通过个人信息专门立法已成学界共识。2020年十三届全国人大常委会第二十二次会议也已经对个人信息保护法草案进行首次审议。因此，可以确定我国个人信息立法保护模式是《个人信息保护法》加《民法典》共同发挥作用。（二）明确个人信息权的主体民法保护的主体即民事利益的主体，就个人信息权而言，则为个人信息主体。现在主流观点认为信息主体只包括自然人，学界有争议是否要把法人、死者、胎儿划入个人信息保护之中。例如奥地利政府就认为自然人资料组成的法人资料，保护法人等同于保护自然人。但大多数国家还是参照适用个人信息保护制度或者另行制定相关规范去保护法人的信息权益。笔者认同主流观点。法人、非法人组织的信息通常是需要公开的，而且其信息受到侵害，主要也是商业秘密被泄露、商业技术被窃取等，完全可以依靠不正当竞争法或者商法进行保护。而且，法人个人信息受到侵害时造成的主要为财产性损失，而个人信息具有人格权属性，主要保护的是人格利益。欧盟在《个人数据保护指令》就是用“自然人”（naturalperson）来表述权利主体，其他国家个人信息保护法中也大致如此。至于死者和胎儿的问题，不得不承认自然人即使死亡也会留存大量个人信息，但法律规定民事权利能力自死亡时自动消灭，对死者权益的保护，实质上是为了维护死者近亲属的利益。个人信息具备人身、财产利益，则对死者人身利益信息的保护，可以视为对死者近亲属精神利益的保护；对死者财产利益信息的保护，则可以依靠继承法理解为是死者继承人的财产利益。对于胎儿也是同理，胎儿出生前其信息可以视为其父母的信息。（三）构建个人信息民法救济体系无救济则无权利，由于传统的《侵权责任法》并没有单独对人格权请求权作出规定，因此在个人信息侵权案件中，信息主体一般会选择侵权请求权寻求救济。但侵权请求权救济在实践应用中存在不少问题，如精神损害赔偿数额较少、举证和事实认定困难、诉讼时效短等等，而且人格权请求权独有的保持和恢复权利圆满状态的作用也是侵权请求权不能替代的。《民法典》第995条规定“人格权受到侵害的，受害人有权依照本法和其他法律的规定请求行为人承担民事责任。”根据条文解释来看，“本法”指的是民法典，因此人格权编和侵权责任编都可以选择适用。而且，《民法典》侵权责任编第1165条已经将原来的《侵权责任法》第6条的“侵害”改为“损害”，明确了侵权责任编是以侵权损害赔偿为中心构建的责任体系。可以看出，立法机关有意对人格权请求权和侵权请求权作出区分，这种做法是可取的，通过人格权请求权和请求权的分离，既可以加强对个人信息侵害的预防，又可以克服适用侵权损害赔偿请求权时举证难题。因此，笔者认为，无论在理论还是实践中应仔细区分规则的适用，构建人格权请求权和侵权请求权保护个人信息的双重救济模式。结论我国个人信息保护规范分散于各部门法、行政规章以及司法解释之中，尚未形成规范、完备的法律体系。传统民事领域主要将个人信息纳入“隐私权”体系进行保护，但随着个人信息外延的扩大，隐私权保护模式已很难对个人信息进行全面保护。同时，侵权举证责任规则的适用更使得普通个体难以在诉讼中获胜。