论个人信息的法律保护

第第页共13页论个人信息的法律保护引言近年来，伴随数据信息时代的发展，我国互联网使用主体数量位居世界首位。据统计，国内现有网民数量已经高达10.11亿，网络使用率高达71.6%。中国互联网络信息中心：《中国互联网络发展状况统计报告》，2021年8月27日。基于此，互联网主体对个人信息的收集、处理活动日益频繁，逐渐暴露出诸如隐私泄露、个人数据的过度收集、违法获取和不当使用等问题，对人民群众的人身和财产安全构成威胁。截至2022年3月，以“个人信息”为关键词筛选相关司法案例，共查找到13674条筛选结果，其中2018年以来的案件共有10110件，占比74%；同时在这13647件司法案例中，有刑事案件13207件，占比96.6%。参见北大法宝网站：/case/，2022年3月18日访问。可见随着信息技术发展由个人信息保护引发的案件数量越来越多，造成了严重的社会负面影响的同时，在社会生活的各个方面损害着公民和其他信息主体的人身权利和财产权利，同样也不利于社会主体针对信息权利保护意识的形成和培养。在信息技术不断发展完善的过程中，科学技术得进步带给社会一定的好处和利益，但在个人信息这个权利保护的层面上，针对于个人信息的内涵和外延以及相应的法律和社会规制也在不断地突破自身的局限性，以达到调整信息主体行为的良性循环。在这样的发展趋势过程中，中国互联网络信息中心：《中国互联网络发展状况统计报告》，2021年8月27日。参见北大法宝网站：/case/，2022年3月18日访问。一、个人信息界定及其法律属性（一）个人信息的界定明确个人信息的概念定义是构建个人信息保护制度的前提性问题，其关系到个人信息的保护范围。我国《网络安全法》将个人信息定义为：以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。与之相类似的，两高关于侵犯个人信息相关刑事案件的解释当中，最高人民法院，最高人民检察院：《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，2017年5月8日。同样以记录性和可识别性作为个人信息的概念特征。2021年1最高人民法院，最高人民检察院：《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，2017年5月8日。而2021年11月1日实施的《个人信息保护法》则将个人信息定义为：以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。因此从我国立法例上看，大致可以将个人信息的定义方式分为“识别说”和“关联说”。“识别说”即采用传统意义上对于个人信息的界定标准，也就是“是否可以识别个人身份”，这为后续的个人信息外延的研究打下了基础。何波：《试论个人信息概念之界定》，载《信息通信技术与政策》2018第6期，第38-42页。《个人信息保护法》以前的法律规范即采用了“识别说”的定义方式。而“关联说”是指以关联性作为个人信息的界定标准，所谓关联是以特定个体为已知的前提下，再由已知信息延申至其关联信息。何波：《试论个人信息概念之界定》，载《信息通信技术与政策》2018第6期，第38-42页。同上注。（二）个人信息的法律属性我国《民法典》旨在将个人信息界定为个人信息权益，即将其归纳为一种特殊人格性权利，其内涵包括人格权利和利益，因此并不完全属于民事法定权利。相应地，《个人信息保护法》也同样采取“权益”的表达。对于个人信息的法律界定的问题，清华大学的程啸教授认为，所谓权利和法益其实是具有同源性的，皆为法规范所确证的利益。程啸：《论我国民法典中个人信息权益的性质》，载《政治与法律》2020年第8期。另有中国政法大学夏伟副教授认为，个人信息权益可以分为：信息权自身权能所蕴含的权益和为保护信息权自身权能而衍生的权益。所谓信息权自身权能所蕴含的权益即人格尊严、人身财产安全等人身性利益，而排除财产性利益；而所谓为程啸：《论我国民法典中个人信息权益的性质》，载《政治与法律》2020年第8期。夏伟：《新型权利入民法典对刑法犯罪评价的影响》，载《法学评论》2021年第3期。在此值得强调的是，信息权主体的范围并非局限于公民个人，因此个人信息权利与法益之归属也并非限于个人主体，由此可见个人信息之“个人”仅存在于概念关联。张新宝：《论个人信息权益的构造》，载《中外法学》2021年第5期。而我国《民法典》张新宝：《论个人信息权益的构造》，载《中外法学》2021年第5期。探究个人信息实质，实则为权利客体，其法益具有权利、权益和利益多重形态，并具体分成不同层次，即个人、公共和国家法益。张勇：《敏感个人信息的公私法一体化保护》，载《东方法学》2022年第1期，第66-78页。具体来讲，首先，其中个人法益包括自然人人格权利等人身性权益，以及相应引申出来的财产性利益。其次，公共法益实为社会秩序与公共利益，是以信息权益角度出发关系到公序良俗的社会性利益。最后，国家法益则是以个人与公共利益为基础，上升至国家安全和国家利益的权利。总的来讲，个人信息法益可分为公、私两个层面的张勇：《敏感个人信息的公私法一体化保护》，载《东方法学》2022年第1期，第66-78页。（三）个人信息的分类首先，从《民法典》的立法来看，基于第一千零三十四条的规定，可以看到个人信息被划分成私密信息和非私密信息，并根据这一划分指明了隐私权与个人信息的法律规则适用。其次，从《个人信息保护法》的立法来看，个人信息分成非敏感个人信息和敏感个人信息。基于着重保障敏感个人信息的国际社会发展趋势和我国发展现实的双重考虑，我国《个人信息保护法》的起草制定虽借鉴参考了欧盟《一般数据保护条例》中有关敏感个人信息的内容，但做出了区别于《一般数据保护条例》直接列举的界定方式，通过归纳权益遭受侵害后可能造成的后果进行界定。此外《个人信息保护法》还规定了针对特定年龄段未成年人信息的特殊处理规则。一定程度上扩大了对于敏感个人信息内涵的范围，增设了对于个人信息处理者对此类处理行为的专门义务。二、个人信息保护存在的主要问题（一）立法层面中的不足1.处理敏感个人信息的“特定目的”模糊对于敏感个人信息的处理，我国《个人信息保护法》采取的立场是“原则允许”，也就是对敏感个人信息的处理只要满足一定的要件即可，如基于特定目的等。但《个人信息保护法》在立法上对于如何界定“特定目的”的问题却十分模糊。例如向信息主体告知必要性及影响等客观行为要件，去判断信息处理者是否满足法定要求是较为容易的，通过信息处理者是否实施了相应行为即可作出判断，但对于“特定目的”这种具有主观色彩的要件却难以准确判断。显然是否具有“目的”并不是允许进行敏感信息处理的要件，关键在于“特定”，而现行立法却没有对“特定”做出界定，因此有必要对何为“特定”作出分析。通过与一般个人信息的处理规则进行比较可以发现，处理一般信息要求具有“明确目的”，而处理敏感信息要求具有“特定目的”。又从立法目的上能够体会到，法律敏感信息的保护应该高于一般信息，即“特定目的”应该比“明确目的”更为严格。但这只是通过观察立法体例和结合立法目的推知出的应然的结论，在实然上如何划分二者的层次在立法中并没有做出规定，基于此明确处理敏感信息的目的的特定性具有现实必要。2.个人信息的“合理使用”标准难以统一界定我国对于个人信息的保护所采取的主要是一般性规则加例外条款的模式，如个人信息合理使用，就是在信息处理的过程中对于权利主体的知情同意权的一种例外性规定。针对于个人信息合理使用的立法框架则是先由《民法典》对人格权方面合理使用规则进行宏观上总括性的规定，再由《个人信息保护法》进行细节性处理和延展，以明晰标准和规范规则边界。在《民法典》中规定了人格权、肖像权、姓名和声音的合理使用，以及处理个人信息免责事由。在此体系之下，我国《信息安全技术的个人信息安全规范》在5.6条的“征得授权同意的例外”中列举了11项合理使用情形。而《个人信息保护法》第十三条和二十七条规定，针对已经被合法公开的信息，只要其被公开本身是合法的，那么就无需适用告知同意规则即可处理个人信息，但信息主体明确拒绝除外。但是这一制度在操作中就会面临一个问题：如何界定合理的范围，即针对“合理”的客观化判断标准存在一定程度的空白。因为判断一件事物是否合理往往带有一定的主观色彩，会受到个人思想、立场等方面的影响，信息主体判断是否合理的标准与信息处理者认为是否合理的标准会由于二者的立场不同而不同，同时法官也可能会有异于信息主体与信息处理者的判断标准产生自己的看法。这种判断方式的灵活性很大、没有准确概念，在司法裁判中难以把握，应当为“合理”寻找客观化根据。3.我国个人信息权利主体范围存在局限性我国目前生效的《个人信息保护法》虽然已经相较于《民法典》等先前的法律规范有了更深层次的完善和更全面完整的架构，但是本文认为对于受法律保护的享有信息权的主体范围在立法当中依然存在着一定的局限，即与我国网络安全、电子商务、数据安全领域中的权利人范围相比，个人信息领域中的权利人范围过于狭窄。具体体现在，我国《民法典》中规定“自然人的个人信息受法律保护”，由此可见《民法典》侧重于对自然人的保护。与之相类似的是我国《个人信息保护法》于第二条、第三条中予以明确的主体均为“自然人”主体。根据《网络安全法》第二十二条的规定，可以看出其更倾向于对用户信息的保护。与之相类似，我国《电子商务法》于第二十三条也体现出其保护更多针对的是用户主体。《网络安全法》、《电子商务法》对所谓“用户主体”的范围并未明确，用户可以不受自然人主体范围的限制，因此可以理解为法人或其他组织的主体，可以看作是对自然人主体一定程度上的扩张。与前者均有不同的是，我国《数据安全法》于第一条和第二条明确表示本法保护主体包括自然人、组织，可以见得《数据安全法》保护的主体范围比较宽泛全面，可以实现对数据安全的多维保护。综合以上梳理，我们不难发现在我国现存有效的法律制度中对个人信息的权利主体的规定更多针对于公民个人或者是自然人个体，而本文认为针对个人信息保护的范围不能只局限于自然人主体。4.私密信息内涵和外延不明确我国《民法典》以独立的章节规定了“隐私权和个人信息保护”，采用了将二者进行分别保护的“二元立法模式”。《民法典》于第一千零三十二条规定了自然人享有隐私权，并随之对“隐私”给出了定义，其内涵包含私密信息。此外《民法典》亦明确给出了“个人信息”的定义。但深入分析以上两对概念定义，可以发现“隐私”与“个人信息”这二者间存在着概念上的交集，隐私中包含着主体不想被人知悉的私密信息，而私密信息恰恰又为个人信息所指称，也就是说私密信息这一概念共同属于隐私和个人信息这二者的交集。基于隐私权重于个人信息的立法理念，冉克平：《论<民法典>视野下个人隐私信息的保护与利用》，载《社会科学辑刊》2021年第5期，第103页。冉克平：《论<民法典>视野下个人隐私信息的保护与利用》，载《社会科学辑刊》2021年第5期，第103页。5.敏感个人信息和私密信息的关系法律适用不明确对于这两对概念之间的关系，交叉重合说是当前学术界的主流观点，即认为这两对概念存在着相互交叉之可能。对于私密的敏感个人信息来说，其既是《民法典》中隐私权的调整对象，又是《个人信息保护法》中敏感信息的调整对象，这就意味着私密的敏感信息存在着既被《民法典》规范调整，又要被《个人信息保护法》规范调整的可能。《民法典》第一千零三十四条明确规定了私密信息的法律适用规则，这意味着对于私密的敏感个人信息，《民法典》规范将得到优先被适用。然而从另一角度分析，尽管《个人信息保护法》是一部领域立法，其具有公法与私法的双重性质，是一部综合性立法，在私法层面上《个人信息保护法》中的制度规则是对《民法典》制度规则的细化，其与《民法典》是特别法与一般法的关系，则特别法应当优于一般法得到适用。这就出现了在两对概念交叉重合时两部法律规范是否相矛盾，王洪亮:《民法典与信息社会——以个人信息为例》，载《政法论坛》2020年第4期，第王洪亮:《民法典与信息社会——以个人信息为例》，载《政法论坛》2020年第4期，第7页。石佳友:《个人信息保护法与民法典如何衔接协调》，载《人民司法》2021年1月中，第93页。（二）实践中存在的问题1.侵犯公民个人信息与不合理使用个人信息在刑事犯罪领域中，当下侵犯公民个人信息的行为屡见不鲜，个人信息受侵犯已经成为了一个社会性问题。我国2021年生效实施的《刑法》于第二百五十三条之一规定了侵犯公民个人信息的犯罪行为。以发生在上海市的一个案件为例，2016年起柯某以房产交易网站为掩饰，非法获取房产业主信息30余万条，并通过非法售卖的方式获取违法所得150多万元。柯某侵犯公民个人信息案，最高人民检察院检例第140号。本案于2019年审结，柯某侵犯公民个人信息案，最高人民检察院检例第140号。在民商事领域中，存在对用户个人信息不合理使用的灰色地带，这是更为社会所关注的，例如目前交易实践中存在大量的“大数据杀熟”区别对待的问题。“大数据杀熟”通常是针对社会不特定主体利用程序算法和大数据分析对其用户进行一种类似于“用户画像”的分析，获取用户特征后而产生差异性价格交易等行为的一种概括。鉴于当下数据化经济发展形势，用户个人信息往往均以数据形式出现在交易、社交等网络生活之中，因此呈现出来的不再是个体而是数据库。互联网平台凭借其其强势地位大量收集信息、进行加工处理，而后通过数据分析还原个体喜好进行所谓的画像分析，目的在于提升用户活跃度和用户粘性，甚至出现了在对用户点击次数、交易情况以及偏好进行统计后针对不同用户收费差异的情况，严重侵害消费者的知情权和公平交易权、严重扰乱正常的市场秩序。在《个人信息保护法》公布实施前，我国针对信息侵权行为和通过信息侵权谋取竞争优势的行为的规制仍不完整，一遇到“大数据杀熟”的现实问题，仅仅通过《消费者保护法》难以保障信息主体的基础性利益。2.个人信息泄露案件“举证难”信息主体与信息处理者在地位上存在差别，信息处理者在互联网领域主要表现为大型互联网平台或电商平台，而此类机构组织与相关用户之间具有显著的信息不对称。主要体现在：当事主体在网络活动中所掌握的信息量明显不对等，在电子数据化合约签订或履行过程中，相关网络平台拥有着用户主体无法拥有的信息，由此造成了信息偏差。由于互联网平台企业的自身行业特点，其在边际成本很低甚至为零的情况下，很容易经过两极分化作用形成较大的经济规模，以致具有强大的信息控制权，加之伴随着互联网信息技术的快速发展，数据算法技术被广泛运用，互联网服务企业便将其掌握的大量信息数据作为提供精准服务的基础，以期降低企业成本。一旦发生了信息侵权则会引发用户主体在举证层面上的以下困境：首先，用户主体无法及时知晓被处理或使用的个人信息范围，就更不可能明晰自己的个人信息权利是被否被划分到合理使用范围，无法保证其诉权。其次，用户主体针对其侵犯主体无法明确，在大量用户信息买卖或互换的情况下可能涉及多方主体共同侵权，在举证过程中很难穷尽，就会必然造成个人信息权利保护的不周延性。最后，用户主体很难在发现其个人信息遭受侵害的第一时间取证，因为大多数情况下信息侵权发生在电话通讯领域或者是网络后台程序。例如由于电话信息来源难以追踪、网络服务器用户特定身份信息易被非法篡改、非法截获等原因，出现了社会备受关注的电信诈骗事件和网络服务器Cookie安全威胁事件。在如此专业化复杂化的情况下，公民个人信息主体难以有效的针对其进行数据追踪或是后台分析，往往只能在涉及交易的情况下才能通过《消费者权利保护法》对财产损失进行维权，而忽视了最为基础的信息权利。3.对信息处理主体规制不足（1）互联网平台缺乏“使用者责任制度”若要在全社会范围内全面地筑起个人信息保护的围墙，只靠个人信息主体维权和外部行政监管是不够的，更重要的是建立一种主体责任制，让信息处理主体自觉履行处理者义务。以往的个人信息保护制度是通过立法赋予个人信息主体相应的权利的方式，意在通过私权利保护的方法来保护个人信息权益的，个人信息主体主要的维权方式就是诉讼。但是随着互联网时代的不断发展进步，通过这种方式保护个人信息权益已不再满足实际需要。原因在于：一方面，是基于互联网发展导致的技术性增强，互联网主体处理的个人信息的方式多样、环节复杂，个人信息主体的维权难度也越来越大。另一方面，互联网主体作为信息处理者处于一种优势地位，往往采用格式条款、“强制授权”等方式来处理个人信息，使得公众不能自主地作出选择与授权。而基于行政“控权”的理念，通过行政手段运用公权力进行规制与不断发展变化社会现状相比略显滞后，与高速发展的互联网现状之间便存在着“真空地带”。因此在个人维权与行政监管都不能很好发挥规制作用的情况下，就需要为互联网信息处理主体本身制定相应的规范，强化个人信息的“使用者责任”，夯实信息权益保护的社会屏障。（2）互联网行业缺乏监管体制尽管当前《个人信息保护法》中确立了“统筹协调”加“各自监管”的个人信息处理监管机制，但尚未形成一个较为健全的行业监管制度体系。《个人信息保护法》要求网信部门总体规划、国务院各部分别监管，但是这一机制刚刚确立不久，明确各部门监管职责的有关法律、行政法规还没有配套出台，各部门之间的统筹协调还未成熟。个人信息的处理行为存在多个环节，相应的对处理行为的监管也应针对不同环节进行职责划分，但当前的行政监管大多是围绕个人信息的收集环节，而针对其它处理环节的监管就显得尤为薄弱，各个环节之间没有形成监管的全覆盖。三、完善个人信息保护的相关建议（一）域外立法的相关经验1.明确敏感个人信息的处理原则通过比较域外立法，可以看出域外较为成熟的相关立法对待“敏感个人信息”的态度大多是比较严格的“原则禁止”。如《一般数据保护条例》第九条就规定了，对敏感个人信息的处理行为采取“原则禁止”的态度，除非是出于保护信息主体利益的需要、出于维护重大公共利益的需要等。再如我国台湾地区有关领域立法也体现了，对个人的生物识别信息、医疗状况、性状况等敏感个人信息禁止信息处理者进行处理，除非是基于法律另外规定、基于公法上的原因且有安全维护等。2.“合理使用”的域外立法经验针对其表述用语国际社会不同法律表达也不同，与我国《民法典》具有“合理使用”“免责事由”、“合理实施”的三种表达方式不同，《一般数据保护条例》采用了“处理的合法性”的用词方式，而日本则采取了“例外情形”此类多样性的表达。从具体内容上来讲，《一般数据保护条例》中第六条、第九条、第二十三条，规定了合理使用规则的有关内容，同时关于处理个人数据的七大原则中的“目的限制原则”、“数据最小化原则”，可以看到在法律规制层面上对“合理性”适用采的合理性标准取了极为谨慎地数据处理方式，即在目的限制内要求在充分且适度的范围内进行。日本《个人信息保护法》第十六至十八条规定了可以在未取得信息主体同意的情况下而收集、处理信息的情形。我国台湾地区《个人资料保护法》第九条规定了，收集行为可以不经告知的情形。从相关域外法的经验可以看出，个人信息保护中规定的合理使用条件存在着许多共同的情况。3.规定严格法律责任我国针对于信息侵权行为的规制在《个人信息保护法》制定前一直处于缺位状态，缺乏社会实践经验，以至于诸多企业以此获取大量不正当利益，以《网络安全法》为例，其中处罚额度的上限仅为100万元。但在国际社会之中，欧盟的《一般数据保护条例》属于目前国际领域中在保护个人数据方面，规定最为严格、处罚最为严厉的法规之一，并且全球多个国家或地区也以《一般数据保护条例》为参考，制定或补充了不同的数据保护细则，比如美国加州的《消费者隐私法》。据统计，自《一般数据保护条例》生效后，至2021年10月，以此为依据的处罚案件超过800起，累计罚款金额总值超过12.9亿欧元。中国信息通信研究院：《移动互联网应用程序（APP）个人信息保护治理白皮书》2021。其中针对《一般数据保护条例》实施两年的300起罚款进行个案数据统计，最高数额高达2.04亿欧元，即2019年英国航空公司由于泄露50中国信息通信研究院：《移动互联网应用程序（APP）个人信息保护治理白皮书》2021。（二）对我国个人信息保护的建议1.弥补立法规范不足（1）以公开时用途作为个人信息“合理使用”主要标准本文认为对“合理”的客观化判断标准可以参考《个人信息保护法草案（一审稿）》第二十八条中规定。全国人大常委会法制工作委员会：《中华人民共和国个人信息保护法(草案)》，2020年10月13日。该条文认为，针对已公开信息处理的合理性判断标准，应以信息公开时使用用途的目的为主要界限，即“合理”的判断标准应分为两个层面：一是信息处理者应遵照信息主体公开个人信息时表明全国人大常委会法制工作委员会：《中华人民共和国个人信息保护法(草案)》，2020年10月13日。（2）适当扩张信息主体范围我国所保护的个人信息权利主体，更多针对的是公民个人或者是自然人个体，此种现象脱离不开与个人信息界定问题的关系。从理论角度出发，结合上文论述笔者认同有关于针对“个人”的理解，即所谓“个人信息”与简单字面意义上的“个人”仅仅是概念关联，张新宝：《论个人信息权益的构造》，载《中外法学》2021年第5期。不应当局限地理解为自然人或公民之个人。从社会现实价值角度出发，当下信息运用的模式呈分散多点式，自然人个体信息是大数据信息时代最基本的表现形式，其保护价值主要在于可识别信息能够关联到个人隐私，因而与基本人权、隐私权、人格权相挂钩，但自然人信息同时也是信息分类当中一部分，而除此之外的其他信息依然有保护价值，比如在信息集中去标识化处理后的大数据分析等属于其它主体的信息仍有显著价值意义。因此个人信息包含了人格价值、经济价值和张新宝：《论个人信息权益的构造》，载《中外法学》2021年第5期。张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015第3期，第38-59页。（3）综合把握私密信息的双重属性通过上述对“私密信息”的探讨，可知其是隐私和个人信息交叉重合后的产物，也就是说“私密信息”同时具有着隐私与个人信息二者的双重属性，那么在把握“私密信息”内涵和外延的时候，应当对“私密性”和“识别性”进行综合考量。因此本文不赞同“私密信息”的核心在于“不愿为他人知晓”这一观点，这显然是忽略了“私密性”特征。此外本文认为也不能片面地在信息主体不想被他人知悉的主观标准上增加“私密状态”的客观标准，这虽然看到了“私密信息”所具有的隐私的属性——私密性，但是却没能很好地把握个人信息所具有的“识别性”，即应当结合特定的场景进行判断。例如在“庞理鹏与趣拿公司等隐私权纠纷案”北京市第一中级人民法院民事判决书，〔2017〕京01民终509号。中，二审法院将北京市第一中级人民法院民事判决书，〔2017〕京01民终509号。同时，考虑到已经被合法公开的信息，虽然在通常情况下不受隐私保护，但在特定情形中仍存在被作为隐私加以保护的可能，应当认为已经被合法公开的信息通常情况下不成为“私密信息”。综合以上阐述，本文认为，“私密信息”的内涵应为不愿为他人知晓且能够识别到特定个人的信息。同时在对“私密信息”的判断中，应当首先把握其所具备的“识别性”，然后再根据是否具有隐私权的“私密性”，并同“隐私”的认定一样需结合特定的场景进行综合判断。（4）个案分析敏感信息和私密信息的适用关系本文认为，此种情况并非是立法上的冲突，应当针对不同的案件情况、案件要解决的不同问题来分别判断案涉个人信息属于哪一对概念范畴，进而分别适用这两部法律。主要原因有一下两个方面：其一，二者各自的规范目的与意义各有不同，因此在法律适用上并行不悖。敏感与非敏感的划分是着眼于规范信息处理者的行为的：一方面，对于敏感个人信息而言，由于其关涉到自然人的人身、财产安全，因此《个人信息保护法》对敏感信息处理者施加了更重的法律义务，如需要取得单独同意、需基于特定目的、需告知必要性及影响等。另一方面，对于非敏感信息而言，处理者的义务则相对减轻，可以看出该分类是为了规范信息处理者的处理行为，是用以判断处理主体是否尽到了相应的义务。而私密信息与非私密信息的划分意在对两种信息赋予不同程度的保护方法，强调私密信息的私密性。由此可见，这两对概念的规范目的虽然不尽相同，但各自的规范层面上都具有重要意义，并非相互排斥。其二，二者在个人信息侵权案件中发挥作用不同，因此法律适用并不冲突。由于《个人信息保护法》对此两种信息处理者的行为苛加的法律义务和责任不同，因此在法律适用中可以将敏感与非敏感个人信息分别适用，进而判断侵权行为违法性：一方面，若侵权行为指向的对象是敏感个人信息，那么在判断侵权行为是否具有违法性时，人民法院就可以根据《个人信息保护法》的敏感个人信息处理规则认定信息处理者是否尽到相应的法定义务，进而判断侵权行为的违法性；另一方面，若侵权行为指向的对象是非敏感个人信息，那么法院则需综合《个人信息保护法》处理个人信息的一般规定和《民法典》有关个人信息保护的规则，认定信息处理者是否尽到相应的法定义务。在私密与非私密的这对概念范畴中，私密信息可以直接适用《民法典》中对隐私权的特殊保护规定进行认定，而非私密信息则需适用《民法典》的一般保护规范和《个人信息保护法》的处理规则进行综合认定，进而判断行为的违法性由此可见，从这两对概念在侵权案件的审理中各自发挥着不同的作用，对侵害行为（或行为违法性）的类型化判断均具有重要意义。2.司法实践中的建议（1）建立自动化决策规范解决社会实际问题针对“大数据杀熟”这类公众普遍关注问题，我们应该揭开蒙在侵权之上的“差异化营销”的面纱。《个人信息保护法》在原有法律规制体系的基础上，在综合考虑到各种复杂情况后，进一步确立自动化决策规范，与上述相关法律法规协同调整，在其基础上共从三个角度进行全方面保障：严令禁止杀熟行为，明确规定在基于已掌握的个人信息进行数据化决策过程中，应当遵循透明、公平、公正的原则，禁止以数据化决策的结果对消费者采取歧视性差别对待。赋予个人信息处理者为用户提供合理选择方式之义务，明确规定企业通过数据化决策的方式向用户进行大数据推送、营销时，应给出不对用户进行“画像分析”的选项或给出合理可行的拒绝选项。明确信息主体所享有的权利，明确规定以数据化决策结果为依据，作出影响用户主体重大权益的行为时，用户有权要求企业进行明示。随着法律共同实施，信息主体的自主选择权得到进一步保障、信息化交易秩序得到了更加全面的改善。（2）司法实践中完善个人信息泄露案件的举证制度从全过程保障信息主体权利的角度上来说，明确信息主体权利的同时也应当重视权力的具体行使途径，在立法、执法、司法的各个环节对信息主体个人信息权利给予可诉性保障，有序维护市场经济秩序，更全面、切实的保障公民权利。在具体实践当中，体现在完善个人信息侵权之诉中相关举证责任制度。基于前文所述种种困境，我国《个人信息保护法》根据过错推定原则规定了侵权责任举证规则。本文认为，在实体法律规范上推定过错的基础上，还应当将此种侵权纠纷划分到诉讼层面中的举证责任倒置的框架内，要求提供数据控制者将其所有必要的信息明示，以证明数据处理者符合数据保护规定。（3）严格规制信息处理主体第一，建立互联网平台“使用者责任”制度。针对网络平台非法出售、非法抓取、监听、不合理使用的问题，应当建立健全信息使用者、处理者的责任制度。在此维度上，则是要求除刑事制裁、民事制裁、行政制裁以外，应当构建起网络服务平台的责任机制，通过法律、政府、以及相关行业进行综合性的监督管理，形成一套切实有效的规则制度和责任体系。可以通过设立行业指标，并定期进行审计、审查，在未达到刑事处罚和行政处罚的情况下，对侵权主体进行民事和行业双重规制。在以互联网平台为主的信息处理主体的肩膀上增添责任的重量。第二，政府部门加大监管和处罚力度。从公法性质的角度上来看，应当明确有关部门的监管职责，并且强化规范相关企业、信息处理者的法定责任。具体来说，即要求国家网信部门、县级以上人民政府、国务院有关部门依据法律规定在行政职责层面上对于个人信息有效起到监督和管理的作用，才能够有效切实地保护权利主体之权益。首先，相关部门可以根据合同约定，责令审计部门或者行业协会对数据处理者进行审计，验证信息处理者针对规定的达成情况。其次，还要加大行政处罚力度，以前文所述的欧盟《一般数据保护条例》处罚为例，其中具体规定：违反一般条款：处以1000万欧元至企业年收入的2%的罚款；违反关键条款：处以2000万欧元至企业年收入4%的罚款，并规定取两者中的较高数额进行处罚。以腾讯为例，按照2017年经营收入计算，最高可能被罚款95亿元人民币。尽管我国