论个人信息的民法保护

李翠萍

(安徽大学江淮学院 文法系，安徽 合肥 230039)

现今信息数据已成为新时代的新型财富和资源，信息数据的有效利用方便了人们的生活，促进了经济的发展和社会的进步。但与此同时，个人信息的非法收集与利用，也严重地威胁了个人的权益与安全。在有效利用信息数据和保护个人信息权益二者之间如何取得平衡，亟待通过法律规定加以解决。2017年3月15日颁布的《民法总则》规定了自然人的个人信息受法律保护，第一次将个人信息明确纳入民法的保护范围。但内容简单笼统，尚显不足，还需在今后的民事立法中继续加以完善。

一、个人信息概念的界定

《民法总则》第一百一十一条确认了个人信息受法律保护，这是在民事立法中第一次使用 “个人信息”的概念，但该条款并没有对个人信息的概念进行界定。从其他法律法规的考察中，可以发现，对于“个人信息”概念的界定存在较大差异，但在不断趋于明确和完善。

在许多法律法规中均有对“个人信息”概念的界定，但有的没有将 “个人信息”与其他相关法律概念比如 “个人隐私”区分开来，有的没有指出个人信息的核心法律特征，最具有影响力的规定是2017年施行的《网络安全法》对“个人信息”概念的界定。该法采取概括加列举的方式规定了个人信息的概念，该法第七十六条第五项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”，指出了个人信息的内涵是“能够单独或者与其他信息结合识别自然人个人身份的各种信息”，其中“识别性” 是个人信息概念的核心法律特征，同时指出了个人信息的外延，个人信息“包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”常见个人信息形式。这一规定对正在制定的《民法典》影响巨大，《民法典人格权编(草案)》(二次审议稿)第三编第六章第八百一十三条第二款规定：“本法所称个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”内容几乎完全一致。

对于个人信息概念的界定可以参考以上两部法律的规定，采取概括加列举的方式进行表述。一方面界定其内涵，个人信息是指“能够单独或者与其他信息结合识别自然人个人身份的各种信息”，另一方面列举其外延，但要注意其外延不仅包括明确列举的“自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”，也应该包括没有明确列举但是能够识别自然人个人身份的其他信息，比如自然人网络浏览信息、行踪信息等。

二、立法中个人信息民法保护的现存问题

《民法通则》中规定了对公民姓名、肖像、名誉等要加以保护，实际上是间接地起到了保护个人信息的作用，但毕竟个人信息不能为以上权利所替代。《侵权责任法》也规定了对隐私权、姓名权的保护，并规定了网络侵权问题，规制了网络引起的具体人格权侵权行为，在医疗损害责任部分，规定了对患者的个人信息的保护。另外，《消费者权益保护法》中也规定了保护消费者的个人信息。但这些规定都是从某一方面对个人信息进行保护，过于片面。

《民法总则》第一百一十一条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”首次将个人信息明确地纳入民法的保护范围。短短的一个条文实际上包含两方面的意思：一方面规定“自然人的个人信息受法律保护”，实际上是从权利人的角度赋予了自然人具有个人信息权益。尽管其他法律法规在此之前对个人信息保护作出过规定，但从民事基本法的高度并且把它从其他权利保护中独立起来进行保护这是第一次。另一方面从义务人的角度对义务人设定了积极的作为义务和消极的不作为义务：义务人负有确保依法取得的他人之个人信息安全的积极作为义务；同时义务人还负有消极不作为义务， “不得非法收集、使用、加工、传输他人个人信息”和“不得非法买卖、提供或者公开他人个人信息”。

但民事立法中对个人信息的保护还仅仅是对基本的保护规则的规定，我国民事立法中对个人信息的保护还存在以下问题。

(一)规定缺乏系统性且过于笼统

从前文可知，我国目前关于个人信息的民事立法条款少，而且总体上也是非常分散的状态，缺乏体系性，不利于法律的具体适用。并且法律规定比较笼统，虽然《民法总则》第一百一十一条确立了对自然人的个人信息的保护，但并未界定个人信息的概念，没有规定个人信息的具体内涵和外延，这使得在法律适用过程中对于确定哪些属于个人信息会存在很大争议，权利主体也无法知晓其所享有的个人信息权具体包括哪些权能。此外，条文中也没有规定义务人如果违反了该条所列举的作为义务和不作为义务，侵犯了自然人的个人信息需要承担什么样的法律后果。所以很难适用到具体案例，难以起到约束行为人的作用。其他民事立法中也存在比较抽象，缺乏相应的实施细则。

(二)侵权责任难以认定，救济不完善

在个人信息侵权案件中，按照一般侵权责任的举证规则“谁主张、谁举证”，被侵权人需要承担证明其个人信息被侵犯的举证责任。但在此类案件中，侵犯个人信息的主体往往是公司或其他组织体，他们处于明显的优势地位，掌握着收集、储存、利用和传输个人信息等复杂的技术，被侵权人作为个人，甚至都无法了解自己的信息是否被泄露以及是怎么泄露的，更别提证明信息被侵犯的事实了。所以 “谁主张、谁举证”的举证责任分配规则应用到个人信息侵权案件中是不合理的，导致侵权责任在实践中难以认定。

依据《侵权责任法》第二十条和第二十二条，个人信息受到侵害造成财产损失的，可以提出财产损失赔偿，造成严重精神损害的，可以请求精神损害赔偿。然而在个人信息侵权案件中，财产损失的数额证明起来往往比较困难，精神损害赔偿数额又非常低，导致对被侵权人的救济很不完善，无法填平个人所遭受的物质损失和精神损失。

(三)从司法实践中看，民事手段对个人信息的保护比较有限

通过查询“北大法宝”数据库可知，《刑法修正案(七)》生效以来，侵犯个人信息的刑事案件数量高达四千多万，民事法律中虽然也有保护个人信息的规定，但民事案例中涉及到侵害个人信息的仅仅只有几十件。说明自然人寻求法院来保护其受到侵害的个人信息的民事案件还比较少。通过对这些民事案件的分析，发现绝大部分的被告为法人，且大部分为大公司或专业的网络信息公司，正如前文所述，个人作为原告与这些被告之间实力差距悬殊，很难证明自己的个人信息被侵犯的事实。通过对这些案件进行分析也可以看出，即使原告胜诉，获得赔偿的数额也比较低，大部分在1万元以下，极少超过1万元，没有超过五万元的。可以说通过民事手段来保护个人信息，维权成本高，赔偿数额低。由此可见，民法中对于个人信息保护的法律规范在司法审判中没有得到充分适用，一定程度上可以说明这些规范的设计还不是很成功，需要进一步改进。

三、在民法中完善个人信息保护的建议

(一)积极确权，确认个人信息权的概念及其权能

《民法总则》第一百一十一条规定“自然人的个人信息受法律保护”，但没有界定个人信息的概念，也没有使用“个人信息权”这一概念，实际上没有将个人信息确认为一项民事权利并进行界定，更没有明确个人信息权的权能。自然人并不知道自己对个人信息享有哪些权能，导致自然人不知如何正确行使自己的个人信息权。建议在民法典中规定独立的个人信息权，明确个人信息权各项具体权能，这样可以一方面为权利人具体行使和维护提供明确的指引。另一方面也有利于区分个人信息权与其他权利(如隐私权、肖像权、姓名权)，避免法律适用上的冲突。

在规定个人信息权的权能时，要考虑个人信息权的特殊性并进行特殊设计。它与物权等绝对权利不同，不可能成为全面的绝对权，可以全面地对客体进行占有、使用、收益和处分。个人信息权有其特殊性，收集和分析个人信息数据具有很高的经济和社会价值，所以有一些个人信息应该允许被收集使用，只是应该在确保个人信息安全的前提下收集使用，并且要确保自然人利益受到侵害后有救济手段。《欧盟通用数据保护条例》确认了自然人的个人信息权有六种权能(获得权、更正权、删除权或称被遗忘权、限制处理权、数据可携权、反对权)，我国立法可以借鉴，但要结合我国的实际。

(二)明确行为规范，界定义务人的行为边界

个人信息被随意收集并进行滥用，很大程度是因为法律上没有对这种行为明确边界。《民法总则》已经粗线条地对义务人的行为进行了规范，但因为不具体，操作性不强。

根据《民法总则》第一百一十一条的规定，可以将信息义务人的义务类型归纳为三大块内容(依法取得、确保信息安全、不得非法利用)。《民法典人格权编(草案)》(二次审议稿)第八百一十四条和八百一十七条分别对这三种义务类型进行了进一步的细化，对于义务人的行为规范更加明确，更具有操作性，但草案在第八百一十四条规定“收集、使用自然人个人信息的”必须“征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外”。此条文值得商榷，因为个人信息权有其特殊性，个人信息的收集和分析有很高的经济和社会价值，许多新兴的产业发展也依赖于信息的收集和分析，法律在设定时既要起到保护个人信息的作用，也要兼顾到网络产业的发展。如果在取得个人信息时都要征得同意，会阻碍收集信息的及时性和全面性，影响这些产业的发展。笔者建议，在取得个人信息时可以弱化义务人的义务，在确保信息安全和不得非法利用这两大块强化义务人的义务。

(三)明确个人信息权的保护方法

个人信息权作为一种人格权，侵犯了个人信息权应承担侵权责任。目前法律规定的承担侵权责任的方式主要是《侵权责任法》第十五条规定的八种方式，但并不是所有的方式都可以适用侵犯个人信息权案件。民事法律规范要明确具体可以适用的责任承担方式，如果造成自然人损害，需要赔偿损失，法律还要明确赔偿的范围和标准，何时适用精神损害赔偿，以方便和鼓励被侵权人进行求偿。在信息互通的时代,获取信息越来越容易,保护信息越来越难，尤其网络已经是个人信息被非法收集和利用的重灾区。笔者建议，要加大对非法收集和利用个人信息的惩罚力度，对于故意侵犯个人信息权而造成权利人损害的，可以适用惩罚性赔偿。

总之，我们可以借助我国正在编纂《民法典》契机，实现个人信息权的民事确权，构建基本的个人信息权利制度，形成在《民法总则》第一百一十一条统领下的民法分则人格权编第六章 “隐私权与个人信息保护”而展开个人信息保护的民事规范体系，同时，在分则侵权责任编中对侵害个人信息权利的侵权责任进行规定，尤其对侵犯个人信息权可以请求的损害赔偿作出具体规定。