网络环境下个人信息的私法保护

王崇敏，郑志涛

(1.海南大学 法学院，海南 海口 570228；2.江西省人民政府 对外联络办公室，江西 南昌 330006)

网络环境下个人信息的私法保护

王崇敏1，郑志涛2

(1.海南大学 法学院，海南 海口 570228；2.江西省人民政府 对外联络办公室，江西 南昌 330006)

随着互联网发展，个人信息的人格和财产价值日益凸显，网络环境下个人信息的私法保护愈显重要。互联网时代的个人信息私法保护在维护人权的同时，还应促进信息的自由流动，实现信息的经济效益。私法既能为个人信息提供私法确权的保护，又能提供私法救济的保护。我国应在《民法总则》第111条基础之上，在民事权利体系中确立个人信息权的权利地位，并在未来民法典《人格权编法》中加以规定。同时，制定统一、专门的个人信息保护法，并对网络环境下个人信息保护作出特殊规定。

个人信息；网络环境；私法保护；个人信息权；个人信息保护法

《民法总则》第五章“民事权利”单独罗列第111条明确“自然人的个人信息受法律保护”，规定禁止行为，“个人信息”成为重要的权利客体。个人信息，通常是指能够直接或间接识别信息特定主体的任何信息，既包括犯罪记录、个人名誉、健康状况等人格信息，也包括金融征信、职业职务和网购记录等财产信息*相同观点参见王利明：《人格权法篇》，见中国法学会民法学研究会编：《中国法学会民法学研究会第二次会员代表大会暨2017年年会论文集》，北京：中国法学会2017年版，第6页；石佳友：《网络环境下的个人信息保护立法》，《苏州大学学报》(哲学社会科学版)2012年第6期，第85页；齐爱民：《论个人信息的法律保护》，《苏州大学学报》(哲学社会科学版)2005年第2期，第32页。。与一般环境中个人信息相比，“网络化”的个人信息在收集途径、使用方式、加工要素和传输模式等方面均有特殊性。但当前《民法总则》第111条尚未确立“个人信息权”，关于个人信息，尤其是网络环境下个人信息的私法保护尚需细化规定，形成权利束和体系化保护*《民法总则》第五章“民事权利”第111条区别于第110条，后者确立了“名誉权”“荣誉权”和“隐私权”等权利；前者则单独规定出“个人信息”，一方面体现“个人信息”不同于“名誉”“荣誉”和“隐私”的权利客体地位，另一方面折射出确立“个人信息权”尚有立法完善的空间。。

一、个人信息的界定

(一)个人信息和个人隐私的界分

在传统的隐私权保护途径之外制定新型的、专门的个人信息私法保护，就必须对个人信息和个人隐私予以界分。个人隐私与个人信息呈交叉关系，即有的个人隐私属于个人信息，而有的个人隐私则不属于个人信息；有的个人信息特别是涉及个人私生活的敏感信息属于个人隐私，但也有一些个人信息因高度公开而不属于隐私*张新宝：《从隐私到个人信息——利益再衡量的理论与制度安排》，《中国法学》2015年第3期，第39页。。概念上，个人信息包括个人一般信息和个人敏感信息，个人敏感信息中又包括一部分的个人隐私。实际上，个人敏感信息和个人隐私仍是相互独立的概念。一方面，个人敏感信息具有对特定主体的可识别性，即通过个人敏感信息可以直接或间接辨别特定主体；而个人隐私虽然与特定主体有关，但不必然具有可识别性。另一方面，尽管两者内容都涉及个人私密，但个人敏感信息是以信息形态存在，而个人隐私的存在形态不仅限于信息，还可以个人活动、个人私生活等方式体现，且并不需要记载下来*王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期，第67页。。《民法总则》第110条和第111条将“隐私”和“个人信息”分别规定，正是立法将两者视为不同权利客体的体现。鉴于个人信息和个人隐私之间内涵交叉，却实际独立，有学者提出网络服务的隐私政策应该强化个人敏感信息的保护，明确个人敏感信息的边界*Danile Hillyard，“Mark Gauen.Issue around the Protection or Revelation of Personal Information”，Know Techn Pol，No.20，2013，pp.121-124.。

(二)网络环境下个人信息的特征

一方面，网络环境下个人信息的人格权商品化程度愈加深刻，个人信息经济效益更加显著，珍贵信息被视为经济资产已成趋势。以“网购”为例，网络商家常收集网购记录等个人信息掌握消费者个人偏好，抢占消费市场份额，谋求更高利润。同时，虽然个人信息具有绝对权利属性，但在个性化经济获得极大提升的时候，尤其是当特定的主体认识到其某些个人信息的经济价值远远大于其所具有的人格利益的时候，他可能会向商家主动提供个人信息，或允许他人搜集和使用其个人信息以获得报酬请求的权利*郭鹏：《个人信息权及其欧盟保护》，《政法学刊》2011年第1期，第6页。。基于个人信息的经济利用，当前已有学者通过实证研究建立起了消费者个人信息的货币价值评估模型*Jung-Eun Kim， Jungsung Yeo，“Valuation of Consumers’ Personal Information：a South Korean Example”,J Fam Econ Iss,NO.31,2010,pp.297-306.。

另一方面，网络环境下的个人信息现实状态不必然为本人所知道或重视。第一，个人信息可由其他信息控制人在个人信息特定主体不知情或不情愿的情况下上传至网络。如不良个人征信记录被政府相关部门公示在政府官网“诚信黑名单”之上。据此，网络上个人信息保护不应以个人信息特定主体是否知道或应当知道个人信息已上传至网络为前提。第二，各网络平台对个人信息的填报方式和内容缺乏统一的范式，加之网络上传信息的即时性，个人信息特定主体在多处网络平台填报后很可能忽视或淡忘所上传的个人信息，并且很可能在填报和上传时并未认识到其个人信息的重要性。如“黑市”将网络用户的个人信息根据特定主体不同区分定价贩卖。第三，个人一般信息上传至网络，由于信息传输受众广泛，个人一般信息很可能变为个人敏感信息。如，纸质调查问卷上填写的个人购物习惯，上传至网络后将可能成为能够直接识别特殊主体的个人敏感信息。

二、个人信息保护的域外考察及启示

(一)个人信息保护的域外考察

1.欧盟、美国关于个人信息和个人隐私的立法

2016年4月8日，欧洲理事会和欧洲议会表决通过《关于个人信息处理保护及个人信息自由传输的条例》(《欧盟一般个人信息保护条例》，GDPR)。该条例将于2018年5月25日被转化为国内立法予以实施，欧盟即将形成“一个大陆、一部法律”的个人信息保护制度新局面*刘云：《欧洲个人信息保护法的发展历程及其改革创新》，《暨南学报》(哲学社会科学版)2017年第2期，第76页。。该条例从规范欧盟及其成员国个人信息保护行政执法机构的机构设置、管理模式和执法行为的角度，强调保障个人信息特定主体对信息的控制权，重新确定个人信息控制者和处理者之间的权利和义务，并明确基于公共利益收集和处理个人信息的必要限制，着力完善个人信息收集和处理阶段的规范，鼓励个人信息控制者积极使用信息。

相较于欧盟“预防型”个人信息保护，美国个人信息保护更重视事后救济。美国对个人信息的救济既适用隐私权规定，也适用不同领域关于个人信息的专门立法。1974年制定的《联邦隐私权法》即规范联邦政府处理个人记录的行为，但并未就个人隐私和个人信息作概念上的区分，而是统一视为隐私权保护的客体，将“个人记录”定义为“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”*参见美国1974年的《Privacy Act》:(a) Definitions,(4) the term “record” means any item, collection, or grouping of information about an individual that is maintained by an agency, including, but not limited to, his education, financial transactions, medical history, and criminal or employment history and that contains his name, or the identifying number, symbol, or other identifying particular assigned to the individual, such as a finger or voice print or a photograph.。针对不同领域个人信息的保护，美国立法也未明确区分个人信息和个人隐私。如《儿童在线隐私保护法》将“个人信息”定义为有关于个人的在线地址、电子邮件地址和其他任何标识符信息等*参见美国《Children’s Online Privacy Protection Act》(COPPA):In this title,(8)PERSONAL INFORMATION.—The term “personal information” means individually identifiable information about an individual collected online, including—(A) a first and last name;(B) a home or other physical address including street name and name of a city or town;(C) an e-mail address;(D) a telephone number;(E) a Social Security number;(F) any other identifier that the Commission determines permits the physical or online contacting of a specific individual; or(G) information concerning the child or the parents of that child that the website collects online from the child and combines with an identifier described in this paragraph.。再如，《维护消费者金融信息、个人信息隐私和隐私退出的通知》规范商品证券交易中个人信息和非个人信息的区分问题，以及明确个人信息和非个人信息的不同披露规则*参见美国《Privacy of Consumer Financial Information and Safeguarding Personal Information, Privacy and Opt Out Notices》第248.6条”Information to be included in privacy notices”.。

2.欧盟、美国个人信息的保护模式

欧洲的信息保护立法经历了以个别国家为先导，到国际和国内立法并行，再至国际立法融合国内立法，在欧盟层面构建统一的信息保护体系的发展过程*孔令杰：《个人资料隐私的法律保护》，武汉：武汉大学出版社2009年版，第112页。。早期，欧洲主要国家基于保护个人数据的目的，相继制定全国性的个人信息保护法，如德国的《联邦数据保护法》，法国的《信息、档案与自由法》和英国的《英国数据法》。直至1995年，欧盟采取个人数据保护统一立法模式，颁布《个人数据保护指令》，以及于2002年、2006年相继通过个人数据保护系列法令，最终形成了“‘指令’+成员国立法”的“国家主导模式”*参见《欧洲会议和欧盟理事会2002年7月12日关于电子通信领域个人数据处理和隐私保护的指令》和《欧洲会议和欧盟理事会2006年3月15日关于保留公用电子通信服务或公共通信网络中处理或生成的数据以及修改指令2002/58/EC的2006/24/EC指令》。。美国个人信息保护主要通过判例和单行成文法的形式，采取了“安全港模式”，即在补充已有隐私权保护的法律基础之上，将行业自律规范置于国家立法框架之下，形成的国家立法模式和民事主体自律模式的综合保护模式*齐爱民：《个人信息保护法研究》，《河北法学》2008年第4期，第27页。。美国通过完善法律体系中隐私保护的立法，并在不同领域对个人信息采取分散式立法分别保护。例如，颁布《儿童在线隐私保护法》《金融服务现代化法》和《反垃圾邮件法》。同时，美国行业组织会结合行业实际，制定合理适当的个人信息保护规范，并由法定机关审批通过后具有和法律同等的效力。不同行业的信息处理主体只要遵循本行业内经由国家主管机关审查通过的行业自律规范，其行为即为合法的。

(二)个人信息保护域外考察的启示

由欧盟主导统一立法模式，是基于“个人信息是一项基本权利”应得到法律有效保护的理论前提，该模式能够对个人信息形成统一的、体系化的法制保护，强调行政执法机构在个人信息保护中的主要作用。但事实上，该立法模式有可能影响到网络和信息行业的高速发展，以及个人信息的高效利用。美国采取的“安全港模式”，在不同的特殊领域对个人信息保护零散立法，更加强调非公共部门的行业自律重要性，重视保障信息的交流和利用。其最大优势在于立法目的明确、内容界定清晰、规定可操作性强，能够满足不同行业领域的发展需要，有针对性地对个人信息予以保护。但美国仅在特殊领域采取分散式立法，缺少全国性、统一性的个人信息保护专门立法，有可能影响法律适用的统一性和法律规范的稳定性。因此，基于网络信息的发展需求，我国应建立统一的个人信息保护，由国家制定统一的、专门的个人信息保护法。同时，充分尊重行业自律规范，通过立法确认行业自律规范效力，使自律规范成为法律的有力补充。

三、我国网络环境下个人信息私法保护考察及反思

(一)我国网络环境下个人信息私法保护实践考察

1.个人信息保护立法体系零散

当前，我国个人信息保护立法体系零散，保护范围有限，主要是以人格权途径保护个人信息权益。就立法体系而言，现有立法之间缺少体系上的呼应和衔接，缺少专门统一的个人信息保护法。尽管《民法总则》明确规定禁止非法收集、使用、加工、传输自然人的个人信息*参见《民法总则》第111条之规定。。但是就法律适用范围而言，保护个人信息的法律规范适用范围仍然相对狭窄，在特殊领域分别对个人信息保护予以零散立法，如《网络安全法》《测绘法》《母婴保护法》《传染病防治法》和《未成年人保护法》等。另外，我国除对特殊领域个人信息分别保护的全国性法律之外，还存在个别行政法规和部门规章，如《互联网电子公告服务管理规定》《上海市个人信用征信管理试行办法》和《北京市未成年人保护条例》等*参见《互联网电子公告服务管理规定》第12条、《最高人民法院、最高人民检察院关于切实保障司法人员依法履行职务的紧急通知》第6条、《北京市未成年人保护条例》第49条之规定。。

2.个人信息私法保护力度较弱

当前，我国个人信息保护的相关行政立法和刑事立法较为完备。其中，行政机关直接围绕个人信息行政管理需要制定详细规定，主要有《信息网络传播权保护条例》《互联网信息服务管理办法》和《计算机信息网络国际联网安全保护管理办法》等，以及北京、四川、江苏等十余个省市出台了信息系统安全保护等方面的地方性法规。刑事立法方面，我国在《刑法修正案(七)》中增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两项罪名，为个人信息提供直接保护。但私法领域，只有在《侵权责任法》中对个人秘密、荣誉和名誉等人格尊严予以间接保护，规定相应的民事责任，并在《民法总则》规定个人信息利用中的禁止行为，但在民事基本法中未确立“个人信息权”，也未形成对个人信息专门的直接保护。

3.以隐私权途径保护个人信息权益

在《民法总则》对自然人个人信息受法律保护作出原则性规定前，司法实践中大多数涉及个人信息的纠纷长期适用“隐私权”审理。如，王某与张某、北京凌云互动信息技术有限公司、海南天涯在线网络科技有限公司侵犯名誉权纠纷系列案。案件争议焦点在于网站擅自将当事人的姓名、家庭住址、婚外情等信息予以公布，使当事人的生活受到严重影响的披露行为是否构成侵权，以及违背公序良俗的个人信息是否应当受到保护等。北京朝阳区法院审理后认为，张某披露王某个人信息的行为侵害了王某的隐私权。

(二)我国网络环境下个人信息私法保护现状反思

第一，立法体系上，应制定专门性、统一性的立法。我国现有对于个人信息保护的法律法规过于零散，无法形成体系化的保护，只能提供有限的间接保护。尤其是在互联网信息时代，分散在不同特殊领域的立法规定顾此失彼，许多在网络环境下发生的新型侵权或个人信息许可合同等纠纷无法适用确切的法律，无法满足个人信息保护的现实需要。

第二，权利体系上，应确立个人信息权独立的民事权利地位。长期以隐私权保护个人信息，实际上主要保护的是个人信息中的敏感信息部分，且隐私权是一种被动的保护，只有在发生实际损害滞后才可主张侵权责任，请求侵权赔偿。尽管个人信息和隐私存在紧密的内在联系，但隐私是个人未加以公开的信息，对于已公开的信息，无法援引隐私权进行保护*石佳友：《网络环境下的个人信息保护立法》，《苏州大学学报》(哲学社会科学版)2012年第6期，第87页。。这对于个人信息的保护不够及时，也不够充分有效。加之，在现代信息社会个人信息具有独立的经济价值，传统的隐私权保护的仅是个人信息的精神性利益，对个人信息的财产性利益，如网购记录、征信记录和网银账号等均无法予以保护。是故，应填补因个人信息权缺失造成的体系空白。

第三，重视个人信息的行政管理和刑事保护，疏忽民事保护。事实上，相较于公权力对于个人信息的管理和保护，私法的保护更为主动，且保护范围更为全面，更能调动权利人维护和利用个人信息的积极性。个人信息行政管理的最大特点在于，政府机关是根据自身行政管理实际需要制定相应个人信息管理规定，而不是从个人信息权利人的立场设计制度，对于个人信息主体权利和义务的规定必然不够充分。此外，刑法保护作为最严厉、最直接的保护手段，因罪刑法定原则和罪责性相适应原则，实践中诸多侵害个人信息的行为由于不满足定罪量刑的条件而不受刑法规制。

第四，立法对个人信息在网络环境下的商业利用保护存在空白。由于互联网信息传播迅速、受众广泛且不特定、成本低廉，所以在网络环境下，权利人极易实现对人格利益的积极利用，获取经济利益，实现人格利益的商品化*王利明：《人格权法研究》，北京：中国人民大学出版社2012年第2版，第248页。。个人信息商业利用，是指个人信息的本人或信息管理人将个人信息在经营活动中使用或提供给第三方从事经营活动。网络中对个人信息商业利用往往是以合同的方式进行，明确合同各方的权利和义务。本质上就是基于意思自治，各方自发追求自身利益最大化。合同成为信息资源优化配置的最佳途径。实践中一些网络媒体或网络服务提供者通过不规范的收集、利用个人偏好等个人信息获取经济利益，对个人构成不当的商业侵扰。因此，有必要对网络环境下的个人信息商业利用予以特别规范。

第五，缺少针对个人信息网络侵权的特殊规定*《网络安全法》第41条至第45条规定了网络环境下个人信息利用的原则、禁止行为和网络运营者责任承担方式，但缺少对个人信息网络侵权行为的民事责任承担、损害结果认定和免责条款规定。。个人信息网络侵权不同于一般网络侵权：(1)侵害对象是非物质形态的商品化人格权益，侵权事实难认定、证据难收集。由于侵权发生在网络虚拟空间下，各主体之间在实施特定活动时，往往具有时空的不明确性和开放性，没有物理界限、地域空间的限制，这就决定了网络侵权的发现和认定具有一定困难*王利明，周友军，高圣平：《侵权责任法疑难问题研究》，北京：中国法制出版社2012年版，第312页。。(2)个人信息网络侵权责任多样。就网络服务提供商而言，由于提供不同的网络服务，如搜索引擎、地理定位、贴吧等服务均不相同，因此，其应承担的注意义务和相应其他责任也应有所差别。(3)个人信息网络侵权具有隐蔽性和突发性。互联网是通过“0”“1”严格符号表达信息内容，通常情况下只需要轻轻点击一下鼠标，电子文件的内容就会因此而改变*杨立新：《侵权责任法》，北京：法律出版社2012年第2版，第262页。。这类侵权行为耗时少，成本低，也较为隐蔽。(4)个人信息网络侵权损失难确定。由于网络传播速度快，因此网络侵权损害范围扩散迅速，影响广泛，不利于侵权损失的确定。因此，在损害赔偿数额认定上，应充分考虑侵权行为对个人信息特定主体的损害严重性。

四、我国网络环境下个人信息私法保护的构想

(一)私权的保护

我国应从私权的角度对个人信息予以保护，将个人信息权作为一种私权对待，并将此种权利的保护作为个人信息保护法的立法目的*王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期，第70页。。个人信息权的建立可以弥补名誉权、隐私权等人格权，以及知识产权、物权等财产权对个人信息权益保护的不足，填补我国权利体系的空白。

1.个人信息权的内容

(1)个人信息权的主体。结合《民法总则》第111条规定，个人信息权的适格主体应为自然人，且仅限于自然人，法人的信息或资料可被视为商业秘密或者商业信誉予以保护。对于特殊主体的个人信息权保护，应予以特别规定。以未成年人为例，基于未成年人完整的个人信息权，监护人应发挥协助未成年人控制其个人信息的作用。对于确需收集并使用未成年人个人信息，不能直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息，必须征得其监护人的明示同意。

(2)个人信息权的客体。构成个人信息权客体的个人信息应具备以下要素：第一，属于非物质形态，但客观确实的存在。由于个人信息没有质量和空间维度，只是通过抽象的方式独立于特定主体之外，被该信息的特定主体和其他不特定人所认知。同时，个人信息转移与否，以及是否为他人认知均不依靠载体的物理转移或交换，个人信息的传播并不以信息是否具有载体为前提。因此，对于未予存储的个人信息也应予以保护。第二，属于能够“识别”特定主体的个人信息，即通过个人信息可以直接或间接地将与该信息相关的特定主体辨认出来。第三，受保护的个人信息不必然被信息特定主体所知晓。因为网络环境下，网络运营商可以通过网络后台的信息采集程序收集到网络用户的个人浏览记录或个人选择习惯等个人信息。

(3)个人信息权的内容。个人信息权人应享有以下权利：第一，自决权，即根据自己意愿决定是否提供个人信息的权利。针对个人一般信息和个人敏感信息，分别适用明示同意和默许同意。对于个人敏感信息，在信息被收集和利用之前，应获得个人信息权人的明示同意。对于个人一般信息，只要个人信息权人没有明确表示反对，便可收集和利用。另外，网络中大量信息的价值在于它的二次利用，因此，对于个人一般信息的利用应该允许合法的信息控制人进行许可。但是，对于个人敏感信息仍应严格执行“个人信息特定主体许可模式”。第二，知情权，即要求告知对个人信息掌握和利用情况的权利。第三，保密权，即要求对个人信息保密处理的权利。通常是指在相关主体依法收集和利用个人信息时应保持“合理的”边界，经权利人要求或主动隐蔽个人信息中能够直接识别出信息本人的内容。第四，禁止权，即要求订正、删除或者停止使用有关个人信息的权利。权利人发现个人信息处理者所处理的本人的个人信息与事实不符的，有权要求其依照事实予以订正、删除或者停止使用，这也是“信息内容原则”所要求的*吕艳滨：《论完善个人信息保护法制的几个问题》，《当代法学》2006年第1期，第59页。。第五，收益权，即权利人因其个人信息被商业利用而获得的请求支付对价的权利。信息报酬请求权来源于“信息有价”的社会观念*卡尔·夏皮罗：《信息规则》，张帆译，北京:中国人民大学出版社2000年版，第17页。。第六，救济权，即在市场经济条件下,人格权与财产权结合在一起，形成一种商业化的利益。个人信息权人获得救济是人格权商品化的结果，任何人侵害这种商品化的人格权,都应当承担相应的损害赔偿责任*王利明：《试论人格权的新发展》，《法商研究》2006年第5期，第26页。。

2.个人信息权的限制

网络环境下的个人信息保护并非无限制的，权利人的“自决权”要受限于国家、社会公共利益和司法活动需要，要平衡个人信息保护和言论自由的关系，要面对与知识产权保护之间的冲突，要考虑保障社会公共管理的效率和安全。因此，在以下情形中他人可以不经个人信息特定主体同意，在合理范围内收集、使用、加工和传输个人信息。第一，构成公共利益的个人信息。当个人信息在互联网大数据中以集合的形式出现，并涉及千万人时，该个人信息集合往往属于国家安全的范畴。如，公务员这类特殊主体的个人信息也有可能因为其公职身份或特定职务内容而属于国家安全范围。再如，正常司法活动中个人信息有可能会被相关司法机关收集和利用，如刑事侦查活动和裁判文书上网等。当然，司法活动中对于个人敏感信息同样应予以规范的保护。对于公共事务，言论或表达自由应理所应当地占据更重要的地位；对于私人事务，个人信息保护理应占据主导。这样的分类也与美国如今的国家立法和行业自律相结合共同构成隐私权保护有异曲同工之处*李延舜：《个人信息权保护的法经济学分析及其限制》，《法学论坛》2015年第3期，第49页。。第二，个人信息特定主体自行公开的个人信息。第三，用于教学和科研的个人信息。个人信息保护和知识产权的冲突，一般发生在为保护知识产权的情况下，促进信息交流和利用，尤其是促进在网络环境下信息资源高效分配，知识产权人可以不经个人信息特定主体的同意向第三方披露特定主体的个人信息。但应注意的是，立法限制个人信息权利人“自决权”的同时，仍应保障权利人“知情权”和“保密权”等权益，即保障权利人对其个人信息及时查询、更正和删除。

(二)私法的保护

1.制定《个人信息保护法》 以私权保护为核心，制定属于私法范畴的《个人信息保护法》，明确权利人和个人信息收集、处理人之间的权利和义务。第一，明确《个人信息保护法》的立法目的为保护个人信息权。《个人信息保护法》中应规定个人信息权的概念，并明确定义个人信息，以及根据个人一般信息和个人敏感信息的不同，分别规定与之相应的权利和义务内容。第二，专门制定《个人信息保护法》，有利于对个人信息保护形成体系化的、专业化的特别法保护，能够为特殊主体规定特定的权利，或对特殊侵权行为规定相应的民事责任。第三，我国公法领域对个人信息保护已有成体系的规制，《个人信息保护法》若将宪法、刑法和行政法等公法规范纳入其中予以规定，必然破坏当前的公法体系结构，徒增立法成本。

2.针对网络中个人信息的保护作出特殊规定 第一，规定个人信息的网络侵权主体为网络运营者。当前《侵权责任法》中采用“网络服务提供者”，而《网络安全法》采用“网络运营者”，但均未进行界定。网络服务提供者，应包括“网络内容服务商”和“网络平台提供者”。前者，如各综合性网站等；后者，如贴吧、搜索引擎等。网络运营者，不仅包括网络服务提供者，还包括网络建设和运营者。第二，结合网络环境下个人信息保护的特殊要求，明确“目的明确原则”“最少够用原则”和“安全保障原则”*参见我国《信息安全技术公共及商用服务信息系统个人信息保护指南》基本原则的规定:(1)目的明确原则，是指处理个人信息具有特定、明确、合理的目的，不扩大使用范围，不在个人信息主体不知情的情况下改变处理个人信息的目的；(2)最少够用原则，是指只处理与处理目的有关的最少信息，达到处理目的后，在最短时间内删除个人信息；(3)安全保障原则，是指采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段，保护个人信息安全，防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。。第三，规定获取个人信息的适格主体资格和范围。无论是国家机关、政府组织，还是医院、学校、电信、金融和大众传媒等非政府组织在网络收集或处理个人信息时，必须依其特定目的申请许可证。第四，作出“公民私人生活、活动不受非法侵扰”的概括性规定，并对网络中未成年人、残疾人等特殊主体的个人信息予以特别保护*韩文成：《网络信息隐私权法律保护研究》，《河北法学》2007年第12期，第89页。。基于网络中信息传播速度快、受众面不特定、网络信息收集隐蔽性强等特点，除了对现实生活中未成年人、残疾人等特殊主体的一般隐私予以特别保护之外，对网络中一切能够影响特定主体私人生活安宁的个人信息也均应予以特别保护。第五，规定网络服务提供商应为消费者或网页浏览者提供使用匿名身份的选择，并统一网络注册用户信息填写规范。在规定网络服务商的特殊网络责任之外，还应分别区分规定网络中公共部门和非公共部门的责任。如，非公共部门，尤其是商业网站等网络平台，应以行业为单位建立行业自律规范，报相关机关备案并接受监督；公共部门应根据各自工作需要明确规定提供个人信息的义务，尤其是在公共部门官网明示“隐私政策”等保护义务。第六，确立“通则规则”和“知道规则”。当网络用户已经通知或网络运营者知道或应当知道个人信息侵害行为存在，仍不采取有效措施防止侵害行为的，应承担相应责任。

3.将个人信息权合理纳入《民法典》体系 在未来《民法典》中，首先，应在民法典总则编的民事权利客体制度中明确规定，“个人信息”属于人格权的权利客体要素之一。其次，在民法典人格权法编中界定个人信息内涵，规定个人信息权内容，确立个人信息权的独立权利类型的地位。再次，对于个人信息网络侵权的问题，为实现立法的简约化，不在每一项具体人格权条款下分别规定互联网侵权问题，而应当对网络环境下的人格权进行统一规定，设立单独一章规定“特殊主体及特殊环境下的人格权”*王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期，第69页。。最后，我国未来《民法典》的人格权编法应当仅对个人信息权及其保护作出概括性规定。个人权法对于个人信息权的保护，重点应确认个人对其享有的信息的权利范围、权利内容*王利明：《人格权法制定中的几个问题》，《暨南学报》2012年第3版，第7页。。其他关于个人信息权的具体规范，以及个人信息私法保护的具体规则，应由个人信息保护法之类的单行法律予以详细规定。此外，还要协调好个人信息权保护和隐私权保护之间的衔接。诚然，隐私权无法全面保护个人信息权益，但是在确立个人信息权对个人一般信息和个人敏感信息予以保护的同时，仍有必要保留隐私权。尽管个人隐私是个人敏感信息的一部分，通过个人信息权也能予以保护，但隐私权保护的是权利人视为个人私密，采取不公开予以保密的，不涉及公共利益的个人领域。

(三)行业自律机制保护

为充分保护个人信息，在国家制定专门立法之外，我国还应鼓励网络运营者采取一系列的行业自律措施，单方面做出保护个人信息的承诺或制定相应的内部行为规范*如“腾讯网”“新浪网”等知名网络科技公司均在其综合性网站首页或应用软件的设置中载明了该公司的“隐私政策”规范，以告知网络用户其权限。，激发行业组织自治，促进形成成熟的行业自律氛围，完备行业自律规范，弥补国家主导立法模式的不足，协调互联网发展、个人信息的利用和保护。

PrivateLawProtectionofPersonalInformationintheInternetEnvironment

WANG Chong-min1, ZHENG Zhi-tao2

(1. Law School, Hainan university, Haikou 570228, China; 2. Foreign Liaison Office, People’s Government of Jiangxi Province, Nanchang 330006, China)

With the development of the Internet, personality and property values of personal information become increasingly prominent, which make it more important to protect personal information by private law in the Internet environment. In the internet age, private law protection of personal information, while safeguarding human rights, should also promote the free flow of personal information and realize its economic benefits. Private law provides personal information with the assurance of rights verification and private law relief. Therefore, the status of personal information rights is supposed to be confirmed in the system of civil rights on the basis of Article 111 inGeneralProvisionsoftheCivilLawofthePeople'sRepublicofChina, and stipulated in the futurePersonalityRightsLaw. In the meantime, a uniform and special law of personal information protection is suggested to be enacted to make the special provisions for the protection of personal information in the Internet environment.

personal information; Internet environment; private law protection; personal information rights; law of personal information protection

D 923.1

A

1004-1710(2017)05-0125-08

2016-12-31

王崇敏(1965-)，男，湖北郧县人，海南大学法学院教授，博士生导师，主要从事民商法学教学与研究。

[责任编辑：王怡]