简论个人信息民法保护现状

简论个人信息民法保护现状

李文颖

（西华师范大学法学院，四川 南充637009）

摘要：互联网技术的发展给人们带来了便捷高效服务的同时也导致了大量的个人信息的泄露，给公民的生活带来了极大的困扰。个人信息得到利用的同时，信息保护相关措施未能及时建立，导致大量相关乱用个人信息的事件日益增多。近年来，个人信息泄露事件频发，呈现迅猛发展的态势，和信息泄露一起而来的骚扰短信、垃圾电话、精准诈骗不断威胁着人们的隐私财产和生命安全；而且，消费者的个人信息泄露还会影响市场秩序、破坏经济发展，滋生各类犯罪、威胁社会安稳，甚至会引起公共安全及国家安全危机，合理利用和有效保护个人信息已成为社会各界人士广泛关注的热点问题。

关键词：信息侵权；合理利用；有效保护

一、个人信息理论概述

（一）个人信息的定义

关于个人信息的定义，我国《民法典》对其做了系统规定，明确了公民个人信息这一概念的基本标准，这对于个人信息概念的发展具有很大意义。民法典规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”并将常用的个人信息列举出来。在《民法典》对个人信息作出定义前，我国学界对于个人信息的概念并没有统一的标准，虽然学者们众说纷纭，但对于这一概念的学说主要有两种，分别是隐私型说和识别型说。一部分学者主张隐私型学说，该学说受到了美国隐私观念的启发，认为个人信息是信息主体不想让其他人知道的和自己有关的私密信息。一部分学者主张识别型学说，认为个人信息本身就是指与某个身份已经被识别或者可以被识别的其他自然人(包括数据主体)密切相关的任何资料和信息，而这一概念也被国内外广泛采纳，例如，中国香港和英国就在个人信息的相关法律中采用了此概念。从我国的立法现状来看，对于个人信息概念的定义应该采用识别型说，这一点在我国《民法典》对于个人信息的相关规定中可以体现，《民法典》分别对个人信息保护和隐私权保护作出了规定，并未将其混为一谈。我国部分学者对个人信息这一概念的界定虽然不尽相同，但对个人信息的识别性都不谋而合。王利明认为，个人信息是指特定的个人之间相互关联、反映其个体特质并且具有辨认和识别功能的符号学系统。学者任龙龙认为，个人信息就是与能够被识别的信息主体的人身密切相关的全部信息。齐爱民认为，在互联网社会中，个人信息是能够代表自己特性并能为他人识别的符号。刘德良学者则在其对个人信息的定义中添加“与公共并不相同利益无关”的主张。[[1]]

（二）个人信息的特征

1.人格特性

人格特性是指只有人类才会拥有的，体现了自然人的自由与尊严，关乎到自然人精神层面的特性。由此可以得出个人信息的全部范围，个人信息的主体仅仅是指法律上的自然人，个人信息中所具有的伦理价值是其关键所在。[[2]]因为这句话中个人信息的主体范围和法律规定的主体范围并不适配，所以，我们应该对其作缩小解释。法律保护的是我国自然人，根据我国的民法规定，人格权是公民的一项民事权利，其起始于公民的出生之时，终结于公民的死亡，所以自然人只要经过死亡就不再具有人格权，法律对其人格权的保护也就没有了意义，所以，只有现存活于世界上的自然人才能是个人信息的主体，不能包括之前是法律上的自然人的死者。

2.识别性

识别性是指能够通过不同的个人信息来区分不同的信息主体，这是个人信息的本质。在信息侵权案件中，很多人的个人信息被违法收集、处理和利用，给信息主体在精神上和物质上造成了一定的损失。如果被侵害者和被侵害的信息没有关联，就无法证明该损害是被该侵权行为造成的，那么被侵害者就不能被认为是信息侵权案件中的受害者。[[3]]在信息侵权案件中，违法收集和使用个人信息不但会给信息主体造成财产损失，信息的传播者和接收者在收集、处理和利用个人信息的过程中还可能因为上述行为而获取利益，而这些利益是民法中的不当得利，根据民法规定，不当得利应当返还利益所有人。正因为个人信息的识别性将个人信息和信息主体连接到一起，侵害人才能将其在侵权案件中获取的不当得利返还给被侵害人。因此，识别性就是个人信息不能忽视缺少的基本性质。识别个人信息主要有两种方式，第一种方式是是直接识别，自然人只需要单一个人信息就能够识别出相关信息主体的信息。第二种方式是间接识别，在进行信息识别时，必须和其他多个单一的个人信息相结合才能识别出相关信息主体的信息。

3.兼具人身及财产双重属性

个人信息具有人身和财产双重属性，但这并不意味这这两个属性的地位相同，人身属性是处于主要地位，而财产属性是处于次要地位的，因为个人信息不能离开人身而独立存在，必须依附在信息主体上，所以，在这两种属性中，人身属性是第一位的，财产属性是第二位的。

个人信息具有人身属性，其于人身不可分离，个人信息不能离开信息主体而独立存在。因为个人信息具有该属性，所以信息主体能够通过区分不同的个人信息来识别不同的信息主体。财产属性是个人信息的另一个属性。在现代社会中，信息是一种可商业化的资源，信息主体可以通过交易个人信息从中获取商业利益，前提是交易双方能够在法律允许的范围内合理使用被交易的个人信息，而这一方式也成为了商业中的常态，商家把用正规手段获取的个人信息进行正当的交易，能够获取更多经济利益。在很多侵权案件中，侵权者作出侵害行为也是为了获取更多的经济利益，只是手段违法，损害了信息主体的利益。

二、个人信息保护现状

（一）立法现状

《民法典》人格权编中的第1034条至第1039条是对个人信息相关问题的具体规定，建立在私法上的“信息处理关系中的自主利益”之上。关于个人信息的概念和相关名词解释、个人信息的管理利用等问题，《民法典》都作出了明确的规定。第1034条对个人信息的内涵作出了明确规定，并对常见个人信息进行了列举，同时确立识别性是个人信息的基本特性，还规定了私密信息适用隐私权的规定。第1035条是对于信息主体在处理个人信息时必须遵守的原则性内容，例如，必须获得被收集者的同意、处理过程必须透明公开等。第1036条规定的是信息处理者的抗辩事由，例如在信息主体同意的范围，或是处理信息主体已经合法公开的信息。第1037条明确了信息主体所享有的权利，信息主体可以向信息处理者查阅、复制、删除相关个人信息。第1038条对信息处理者提出了明确的义务要求，譬如不得泄露、篡改其所处理的个人信息也不得违反报告义务。[[4]]第1039条是对特殊信息处理主体所作的特殊规定，该特殊信息主体为国家机关及其工作人员。

《个人信息保护法》则明确了法律的适用范围，对“个人信息”“个人信息的处理”作出界定，明确了本法可以在域外适用；同时对信息处理者处理个人信息的规则进行了完善，告知同意规则依然是信息处理者处理信息时的重要规则；对跨境提供个人信息规则的相关细节进行了完善，建立了个人信息跨境流动制度；对于信息主体进行信息处理活动时所拥有的的权利和必须要遵守的义务作出了明确规定，信息主体拥有处理信息的知情权、决定权、查询权等权利，个人信息处理者要根据法律的规定维护、管理和保障个人信息安全；还规定了有关侵害个人信息权益的民事赔偿责任。《个人信息保护法》从源头上赋予了自然人各项个人信息权利，明确个人信息处理者义务，并加强国家机关监管，是我国个人信息保护立法的重要进步。

（二）司法现状

1.侵害个人信息的权属认定

和立法现状不同，在处理个人信息侵权案件时，保护个人信息和个人信息的具体内容的区别不明显已经屡见不鲜。通常情况下，在审理个人信息侵权案件时主要有如下几种处理情况:第一种是对于个人信息明确无异议的，直接立案进行审理;第二种是当侵害的个人信息是敏感信息时，直接将案件适用隐私权的情况处理。因为公民被侵害的个人信息属于被公开的信息的情况没有被包含在处理隐私权的情况里，所以审判机构在这种情况下会采取扩大解释对隐私权作扩大解释，以此来适用该种案件。对此司法机关有两种不同的观点，第一种认为，只有在审理时当事人不愿意公开自己个人信息的情况下，才能适用隐私权的规定;第二种认为，能否适用个人信息的法律法规是由很多因素决定的。第三种是在处理侵权案件时，先把个人信息权和其他的具体人格权区别开来，再根据不同的案件作出具体分析，如果符合关于个人信息法律所保护的范围，就根据个人信息法律法规的规定进行处理，如果不符合个人信息相关法规规定的范围，就不能依据个人信息的法律规定进行处理。[[5]]所以，我国民法对于个人信息侵害案件的保护程度较低。

2.侵害个人信息的举证责任认定

在个人侵权案件中，我国一直存在着举证责任分配不合理的现象，一般对该类案件按照侵权责任纠纷来解决，因为我国对个人信息侵权案件的举证责任没有明文规定。根据侵权责任法的规定，谁提出主张，谁负责举证，所以提出主张的原告应该列举的证据为:信息侵权人有侵害个人信息的行为、信息损害结果是由信息侵权行为导致的、侵权人的侵权行为与信息损害结果之间存在着因果关系。由于被侵害者在个人信息侵权案件中出于弱势地位，所以被侵害者往往很难提交自己被侵害的证据，这成为了司法实务中的一个难题。

（二）个人信息民法保护存在的问题

1、法律法规尚不完善

目前我国虽然有针对保护个人信息的专门法律法规，但仍旧存在不足之处，首先，大多的条文规定的都是概括性的内容，对于如何实施则没有进行更进一步的规定，在司法实务中，可操作性不强；其次，这些条文都条文之间缺少关联，不成体系，有时甚至会发生交叉，成为了司法实践中的应用难题；最后，不是所有的法律中都有关于个人信息保护的规定，而且这些法律保护的主体是有限制的，不能将这种保护落实到所有人身上。在日常生活中，由于我国在个人信息保护方面有着很大的法律漏洞，所以侵害个人信息的安全事件发生的频率越来越高，但是因为个人信息保护的相关法律规定不够完善，导致很多被害者无法可依，不能及时地维护自己的合法权益，自己的信息安全也得不到有效保护。

《民法典》对个人信息保护的相关规定做出了更明确的规定，相关规定也更加完善：譬如明确指出了立法目的、对个人信息和个人信息保护的概念作出了明确规定，对于信息主体拥有的处理信息的权利和应当履行的义务作出了明确规定。但是对于侵权人侵害个人信息时需要遵守的民事惩罚制度，《民法典》只作出了原则性规定，并没有更深入地规定。[[6]]所以，我国亟需

完善惩罚制度，作出具体规定，严厉打击该种侵权行为，以维护我国公民的合法利益。

2、救济制度不完善

基于《民法典》的角度分析，其中指明了侵害个人信息所必须要承担的后果，但是对于后果承担的规定有失偏颇，主要是对受害者精神层面作出的补偿规定，对财产方面补偿的规定寥寥无几。而信息侵权案件中精神损害赔偿的数额普遍较低也成为了司法实践中的一个问题，这也造成了被侵害人得到的赔偿数额较小，难以弥补所受到的损害。因为财产属性是个人信息的基本属性，且随着经济社会的发展，个人信息的作用越来越突出，其财产价值也越来越高，所以发生信息侵权案件时被侵害人遭受的损失也越来越大，这种损失不仅是财产上的，也包括精神上的。如果在发生侵权案件时，只对被侵害人的精神损失层面进行赔偿，而忽视了财产损失方面的赔偿，那么，该赔偿难以覆盖被侵害人因侵权行为所造成的损失，不仅无法维护信息侵权案件中的被侵害人的利益，还会因为犯罪的违法成本降低而导致高犯罪率。所以我们要完善关于财产赔偿的规定，及时地制止这种不合理的现象，绝不能纵容这种现象的发生，更不能让其成为生活的常态，加剧社会矛盾。[[7]]我国个人信息的救济制度除了赔偿不合理外，在程序上还有很多需要改善的地方。首先，在举证责任的划分上，现在通行的法律对其规定不够合理。[[8]]根据侵权责任法的规定，谁提出主张，谁负责举证，所以按照现行法规，提出主张的被侵害人要提供关于信息侵权案件的证据，包括信息侵权人作出了侵权行为、信息侵权行为对自己造成了损害等证据，以此来证明自己的主张。但是从司法实践中我们可以发现，信息侵权的侵权人和信息侵权的受害人之间的地位和实力并不平等，所以被侵权人在收集证据方面有着很大的障碍，因为信息侵权人一般是有一定规模的公司或组织，他们掌握着信息侵权案件的大部分证据，所以在这种情况下，被侵权人搜集证据的能力较弱。当今社会是互联网社会，而互联网又是信息侵权案件发生的主要场所，对于在其上收集证据有着技术要求，而被侵害的自然人往往不具备这种技术，所以，被侵害人在举证方面的难度很大。种种困难造成了被侵害者不能完美的举证，无法通过法律维护自己的合法权益，信息侵权案件的侵权人也不会受到法律的制裁，助长了信息侵权行为的风气。

目前，我国关于信息侵权案件的诉讼制度尚不完善。从司法实践中，我们能够发现很多信息侵权案件的被侵害人往往数量众多，那么对于同一信息侵权案件，被侵害人都有着同样的诉讼请求，他们的被侵害事实也趋同，如果对被侵害的每一个人都单独立案审理，那么会出现重复审理的现象，容易造成司法资源的浪费，而被侵害人也会付出更多的诉讼成本。如果被侵害人能够选出诉讼代表，代表众多被侵害者进行诉讼，那么司法效率将会极大地提高。在我国当前所采用的代表人诉讼制度中，只有经过所有被侵害者的授权，代表人才具有代表资格，并代表所有人进行诉讼；但是，由于信息侵权案件的特殊性，大部分被侵害的人互相之间没有足够的了解，这也给授权带来了一定的困难，导致当前的集体诉讼制度在信息侵权案件中的运用出现了一定的困难，所以我国的诉讼制度还有很大的完善空间。

3、隐私权范围的保护

尽管个人信息中的私密信息属于隐私，但是个人信息与隐私是两个不同的东西。高富平认为，个人信息与隐私有明显区别，前者侧重识别性，后者侧重私密性，个人信息并不是隐私。[[9]]但是从大量信息侵权案件中可以看出，很多信息侵权案件都会用隐私权的规定来审理，这是司法机关的常见做法，但是因为对于这种情况没有建立起完整系统的理论，所以在审理案件的情况中会出现理论支撑力度较弱的问题，不能对司法结果进行有力地支撑。同时，由于司法实践中的各类信息侵权案件种类繁多，较为复杂，适用隐私权范围不能解决所有的个人信息侵权问题，对保护公民的信息权益造成了一定的困难。因为个人信息和隐私两者并不相同，保护的法益也不同，所以适用的情形也不同，不能简单的用隐私去替代个人信息。

参考文献

[[1]] 谭姣.论个人信息的民法保护[D].湖南工业大学,2020.

[[2]] 张民安.自治性隐私权研究:自治性隐私权的产生、发展、适用范围和争议[M].广州:中山大学出版社,2014.

[[3]] 张民安.信息性隐私权研究—信息性隐私权的产生、发展、适用范围和争议[M].广州:中山大学出版社,2014.

[[4]] 王苑.个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系[J].华东政法大学学报,2021,24(02):68-79.

[[5]] 张静.论大数据时代下个人信息的民法保护[D].山西大学,2020.

[[6]] 刘俊呈.论个人信息的民法保护[D].云南财经大学,2020.

[[7]] 尹伟民.侵犯个人信息行为的民事责任的承担[J].中国海洋大学学报,2011.

[[8]] 刘文静.个人信息的民法保护分析[J].法制博览.2017:27.

[[9]

] 高富平.个人信息保护:从个人控制到社会控制[J].法学研究.2018(03).