论我国的个人信息保护制度
——以《民法总则》的颁布为背景

杨志俊

（安徽大学， 安徽 合肥 230601）

一、《民法总则》中增加规定保护个人信息的内容

2017年3月15日，在经历了几次草案的审议后，《民法总则》终于正式颁布了，在经常被诟病称中国民事立法体系缺少人文关怀的背景下，此次的《民法总则》中的很多规定都彰显着人文主义情怀，如对性侵未成年人诉讼时效起算的特别规定、对成年监护制度的规定、对胎儿利益的保护等，这都是人文关怀的一种体现。同时，民总第111条关于个人信息保护的规定也是此次民法总则的一大亮点，保护个人信息的内容是首次被规定在民事权利一章中，与具体人格权和一般人格权一样成为自然人的一项基本权利，明确个人信息保护的基本行为规范。但对于该条的规定，由于内容过于笼统，只是规定了自然人的个人信息受法律保护，其他个人或组织欲使用必须通过合法途径取得，但是对个人信息究竟归属于何种权利性质却并未表明，专家学者们对此有不同的解读，有人认为，该条款意味着我国从民法上确立了一种新的基本民事权利类型，称为个人信息权，也有人认为，该条款的规定只是一个保护规则，它将对个人信息的保护纳入到民法的保护之中，因为长久以来，对于发生侵害个人信息而导致危害后果的行为往往都是诉诸于公法的保护，对于私法的救济却无迹可寻。笔者更倾向于第一种的解读，因为《民法总则》将该款放置于民事权利一章，更是列于生命权、健康权等具体人格权的平行法律条文之下，虽未明确，但昭然皆知。

在8·19徐玉玉案中，受害人接到诈骗电话被骗走9900元后伤心欲绝，最终导致心脏骤停，离开人世，一个正享受花季青春的少女在正准备迎接她期盼已久的大学生活时却传来这样的噩耗，追究了犯罪人刑事责任的同时，我们应该反思，追本溯源，电信诈骗的源头在于我们个人信息的泄露。面对个人信息的泄露所引发的一系列问题，虽然公法已经率先给予法律保护，但是个人信息也承载着自然人的人格利益，私法应当关注其所具有的对个体的价值利益，回应个人信息寻求私法保护的诉求。我们可以看到，在很长的一段时间里，民法上关于对个人信息的保护都是在隐私权制度的框架下展开的，将个人信息视为隐私权客体的一部分，然而，以王利明教授为代表的学者明确主张将个人信息权从隐私权中独立出来，他们认为，并不能将个人信息权与隐私权划等号，虽然他们在权利内容、权力边界上存在交叉但仍然有所区别。明确这一点，无论对人格权制度的完备，还是对个人信息的保护均具有重要意义。

二、我国现行有关个人信息保护的法律体系

近年来，个人信息泄漏所引发的社会问题频发，专家学者也纷纷呼吁进行个人信息保护立法，但至今仍未见成效，但在此期间也通过一些单行法和司法解释的出台来应对层出不穷的实践难题，以求通过对同一规范性事物的不同法律之间的相互配合达到对个人信息保护方面的立法完善。

（一）刑法层面

在个人信息保护方面，《刑法修正案（七）》第一次将非法获取和提供个人信息，侵害公民个人信息的行为入罪。这一条款的规定标志着我国对个人信息的保护纳入刑法的调整范围，开始从刑法方面加大对行为人的惩处力度。2013年两高发布的一则关于要求严厉惩处侵害公民个人信息犯罪活动的通知中，对非法买卖个人信息的行为及惩治措施做出一系列的规定，其主张在信息网络广泛普及的今天，鉴于个人信息的传播速度之快、传播途径之广，而由此滋生的网络诈骗等侵害个人信息的犯罪活动屡打不绝，因此为了维护社会安定，必须严厉打击侵害个人信息的犯罪活动，同时呼吁社会群众切实提高认识，防范信息安全。刑法典更是通过修正案的方式扩大了该类犯罪行为的主体范围和行为方式，并提高了量刑幅度，将最高刑提至7年，极大的加深惩处力度，以应对当前的犯罪现象。今年，两高又发布关于办理此类犯罪案件相关的司法解释，明确了量刑标准，可见，国家对该犯罪的打击力度和重视程度。但是，随着信息数据的广泛发展，保护公民私权与保障国家的正当刑罚权可能存在一定的冲突，因此，在对个人信息的保护方面不能仅仅依赖于刑法手段，要寻求更广泛的救济方式。

（二）行政法层面

由于行政法是调整在行政管理活动中行政主体和行政相对人之间发生的法律关系，故在行政法方面对于个人信息保护的规范主要体现在对行政机关工作人员的要求当中，行政主体在行使行政职权的过程中不可避免的会收集或接触到行政相对人的个人信息或私密资料，如身份证、护照、照片、家庭信息等不为别人所知晓的内容，对于该环节所触及到的公民个人信息如何得到保护需要得到重视。为了迎合这方面的需求，强调在行政法层面上会要求行政主体不得滥用行政职权，对于在执行职务的过程中所获悉的他人的个人信息应当依法予以保密，不得非法出售、传播，不得以此谋取非法利益，以此来保障在公权力的运行过程中可能出现的侵害公民个人权利的行为。比如《电信服务质量监督管理暂行办法》便对电信服务人员做出信息保密义务的要求，电信服务人员会接触到大量的当事人的隐私、商业秘密等私密信息。

（三）民法层面

2014年最高院发布《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，此司法解释的出台使得在民法层面上以司法解释的方式明确了个人信息的法律内涵，并对侵害个人信息造成危害结果后应当承担的民事责任和责任承担方式作出了规定。2017年《民法总则》的出台则首次从民事基本法层面确立了个人信息权，以期更全面的保护个人信息；同时在《电子商务法（草案）》中也用专章规定的方式对电商领域侵害个人信息的行为做了立法规定，电商领域应为个人信息保护的重要部位，在网络交易模式中，由于双方处于虚拟的网络环境中，对于对方的资质、商业信誉等信息交流不深入，便很容易出现个人信息泄露的情况。

此外，还有一些单行法中或多或少的涉及到关于对个人信息保护的有关内容，如《未成年人保护法》中规定，未成年人的隐私不得披露，以保护未成年人的健康成长环境；刑诉法中规定涉及未成年人的案件不得公开审理，对于被判处五年以下有期徒刑的未成年犯罪人其犯罪纪录应当予以封存等都是考虑到未成年人的年纪、心智、社会经历等方面的原因以期再度融入社会。

三、个人信息的法律内涵界定

此次，《民法总则》明确了对个人信息的私法保护，但对个人信息的法律内涵却未作具体规定。这一概念值得我们深入研究。众观世界各国的司法实践，对于个人信息的概念定位也不一致，比如德国黑森州制定的《个人资料保护法》就将“个人信息”称之为“个人资料”，主张个人资料是识别是否侵害个人信息的依据；欧盟制定的《欧盟个人数据保护指令》中将“个人信息”称为“个人数据”，“个人数据”与“个人资料”有一定的相似性。可见，基于不同的国情和司法环境，不同国家会有不同的法律认知。但笔者认为，相较于“个人资料”和“个人数据”，个人信息更能够体现立法目的，保护的范围也更加广泛。因为虽然称之为个人资料，但保护的并非资料本身，而是资料背后所体现的个人信息的价值以及主体的人格利益，同时，对于个人信息的保护不仅仅限于资料，还包括其他可能涉及个人信息的存储方式；同理，个人数据也是这样。

在我国，最高院曾经在审理信息网络侵害案件的司法解释中，首次将与个人私生活密切相关的住址、病历资料、个人行程等私密性的信息明确为“个人隐私和个人其他信息”，但却没有明确的区分二者之间的具体区别。中文的博大精深使我们知道细微词汇的差别也是会包含不同的意思。网络的世界里促使信息得到更快更广的传播和泄露，故在与互联网相关的一些立法规定的加为明确，比如在《电信和互联网用户个人信息保护规定》中就明确了个人信息的法律内涵，表示与姓名、身份证号、家庭住址、网站账号等能够单独或者相互结合后可以识别出具体用户的都能够构成个人信息。这也成为我国首次明确了个人信息的法律内涵的法律。个人信息具有以下特征：

（一）个人信息的主体

个人信息的主体仅限于自然人，不包括法人和其他组织。所谓自然人是指基于出生而取得民事主体资格的人，法人和其他组织不在保护范围之内。在科学技术高度发展的今天，信息在社会发展和交往的过程中扮演着极其重要的角色，个人信息也是如此。然而，人们在享受着这项资源的同时也面临着经济利益的丧失、生活轨迹的曝光、人身安全的隐患等多方面的风险，所以人们也越来越认识到个人信息保护的重要性。保护个人信息表面上看是保护“信息”，更重要的是保护信息背后所彰显的人格尊严、人格利益。而人格尊严表现为自然人对自身价值的维护，它来源于人的本质属性。因此，个人信息只有自然人才享有，法人或者其他组织作为法律上所拟制的“人”则不具有这样的特征，并且，他们的信息可以通过商业秘密或不正当竞争等制度来诉诸保护。

（二）个人信息具有识别性

个人信息能够直接或间接识别本人。能够直接识别本人的如自然情况，包括肖像、姓名、学籍信息、身份证号码等，虽不能直接识别本人，但能够与其他信息相结合识别出本人的，如职业、学历、社交、网站等。识别性是个人信息的重要特征，如果在某一群人里，某个具体的自然人能够从其他所有人当中被“区分”出来，那么该自然人就是“已被识别的”。另外，尽管“该自然人”尚未被识别出来，但如果这种识别是可能的，能够实现的，只是时间或者想不想识别的问题，那么该自然人也是“可被识别的”。我们知道，能否被识别取决于两个因素，一个是信息的处理者，另一个是处理信息的方式。所谓信息的处理者是指收集、使用、转让个人信息的任何组织或个人。大数据时代下，以电子信息处理为表现形式的新技术被广泛的使用，个人信息能够较容易的被一些商家、机构等商业主体获取，而个人信息立法的目的便是保护那些具有“易于获取个人数据”的较大风险的处理方式。处理信息的方式是指数据控制者、持有者或者任何其他为了识别该自然人身份的人所采取的一切可能合理的方法，关键在于其所使用的方法是否合理、合法。间接识别也是如此，纵然不是被直接识别出来，但是仍然能够通过信息之间的相互结合使其具有了可识别性，那么该自然人仍然是可被识别的。

（三）个人信息具有人格和财产的双重属性

就法律性质来说，作为能够识别出本人的个人信息既具有人格属性，又具有财产属性。所谓人格属性，是指个人信息背后所彰显的人格尊严、人格自由。自然人通过对个人信息的自主使用一方面以能够识别出本人来体现其社会价值，另一方面是为了追求人格的自由发展，这是个人信息的价值之一。个人人格的发展依赖于社会交往的参与，而社会交往的实质就是个人信息的不断传播与使用。同时，对于已获取的本人信息，他人不得以违反本人意愿的方式对个人信息进行处理也是人格属性的体现之一。财产属性，是指个人信息所带来的经济利益。个人信息本身不具有财产价值，不能够为信息主体或其他人带来直接的经济利益，但通过对信息的加工、处理，提供给需要社会公众信息的企业或者任何其他想要通过此手段获取利益的人进行二次利用则另当别论了。在如今的大数据时代，个人信息是一项极具价值的社会资源，它一旦被利用，能够给利用者带来丰厚的利益，当然，此处不乏一些无良商家利用其合法获取的个人信息非法二次转手，或者为潜在的犯罪分子通过不法手段所获取来实施违法或犯罪行为，他们同样是看中了个人信息的财产价值，以此为他们谋取不法利益。

四、现行法律制度下对个人信息保护的可能性分析

（一）保证信息主体对其个人信息处理和扩散的自主性

个人信息的处理和扩散是否需要信息主体本人的事先同意，是欧盟立法模式和美国立法模式的主要区别。而在我国，《民法总则》虽未明确规定个人同意原则，但从其他法律法规的条文中可以看出我国采取的是同意前置模式。如在《网络安全法》和《关于加强网络信息保护的决定》中均有规定对于信息的收集、处理须经被收集者的同意。间接表明了我国的态度为主张同意原则。一方面，他人对本人信息的采集、获取需要信息主体本人的同意，该同意以意思自由的相对人的充分告知为前提，也即只有信息主体本人在全方位的了解清楚之后才能做出最理智的判断，避免错误的意思表示；另一方面，在他人信息收集后欲对此信息做二次扩散时，对于超出原同意范围或方式的个人信息需要重新征得信息主体的许可，以确保信息主体对其个人信息最大的自主性。

（二）保障主体对个人信息的积极使用

《民法总则》在个人信息条款中，对个人信息主体作出了规定，分为两种，理论界称之为个人信息主体与个人信息处理者。主张要保障主体的积极使用主要考虑信息使用过程中的完整性、准确性以及传播的安全性，这里不仅是指个人信息处理者对于其基于各种原因所接收到的信息要给予一个安全的信息保护环境，确保其流向的可控性和安全性；同时，作为个人信息的主体在使用个人信息时也要注意防范信息泄露，确保个人信息的积极使用。这就要求信息的控制者不能在未被允许的情况下擅自修改、变更本人的个人信息，也不能允许他人擅自删改，当信息的保存出现不完整、不准确的情况时，要由信息主体本人进行更改和补充。这是一种最理想的情况，既保证了个人信息的传播和使用，也确保其在正确的范围内传播后的维护，给予其提供一般性的保护规范以应对未来可能出现的侵权情况。

（三）强化个人信息保护与利用的利益平衡

所谓个人信息保护就应当是信息保护和合理利用之间的平衡。在高速发展的数据化时代，个人信息是大数据发展的基础资源，个人信息的流转价值对社会的发展而言具有重要的意义。然而近年来个人信息泄漏事件的频发所造成的恶劣后果公众也有目共睹，引发了深层次的社会讨论，个人信息的合法保护与合理利用之间发生了冲突。如何平衡二者之间的利益冲突是我们需要考虑的问题，这需要法律来界定和保护。以人格权来界定个人信息，则不能彰显其中所包含的经济价值，借鉴国外的本人同样前置程序则降低了信息流转效率，限制了大数据时代的发展步伐。因此，需要法律来做出调整。笔者建议，首先，法律应当统一明确公民个人信息的权利属性，包括基本法、单行法及司法解释，不要出现不一致的情形，给犯罪分子以可乘之机，并且厘清受法律保护的个人信息的范围及界限；其次，应当明确不同的主体个人信息使用方式、使用范围及可以合理利用的边界；最后，为了平衡大数据时代信息共享和传播的重要性，公民须对个人信息做出一定程度的让渡，使合法保护与合理利用相结合，发挥个人信息的应有价值。任何事情的平衡都需要双方做出一定的妥协和让步，目的是为了更好地保障人格尊严。故通过法律对公民个人信息的收集、使用作出诸多限制性规定，才能更好地保护公民个人信息的安全，实现合法保护与合理利用二者之间的平衡。