互联网个人信息权立法保护的再商榷

●房朔杨

（苏州信息职业技术学院，江苏 苏州215200）

2017年《民法总则》的颁布表明个人信息的保护进入了新时代。《民法总则》第111条规定了自然人的个人信息受法律保护，并且明确了侵犯个人信息权的范围。进一步确立了我国对个人信息保护的基本法律规制，但《民法总则》并没有明确规定“个人信息权”，而且对个人信息的完整内涵和随着时代进步而产生的新认识没有进行解释。从法律层面看，个人信息本质上是一种泛称，其区别于日常所说的个人身份情况或者个人资料以及数据，个人身份信息或者资料是对其自然人的基本信息的描述。本文所指的个人信息应为公民合法隐私以及生活工作中产生的内容信息。目前，我国在某些法律规范中对于个人信息进行了界定。比如《网络安全法》第76条第5款就规定了个人信息的概念，主要指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。我国相关领域的法律学者认为，个人信息与个人行为具有关联性，是由个人行为产生的可识别的信息符号。综上，可以将个人信息权理解为，是基于对个人信息的占有、使用及合理处分等行为所行使的相关权利。

一、互联网个人信息权立法模式的考量

个人信息可以在多个形式和场景下产生，本文所指的个人信息是指公民在互联网等媒介平台进行办公或者娱乐过程中留下的信息。互联网本身就具有很强的开放性，且个人信息往往在相关的商业行为中存在被看到或者处理的情况。在此情况和背景下，一些非法的或者不合适的处理就容易导致一些个人信息保护与泄露的纠纷。随着网络技术不断发展，为了更好地实现互联网下对个人信息权的有效保护，对互联网中可能出现的侵害个人信息权的不法行为，规定相应的保护及制裁措施，已经成为民法保护个人信息的关键问题。

为进一步完善我国互联网个人信息权的立法保护，需要借鉴国外相关国家的一些做法和经验。例如：美国主要采用行业自律的方法，在个人信息保护特别是网络环境下的个人信息保护方面，采取开放式的做法，倾向于在互联网媒介下进行个人信息的自由流通，相对来说对一些信息有隐私需求的公民而言，是具有积极意义的。德国作为成文法的代表国家，采用了以立法来进行规范的模式，也就是说更加注重对整个信息环境的管控，涉及个人信息方面可能没有那么自然流通或者便利。相比较而言，行业自律是基于一定法律文本和法律规定而制定的相应的行业守则和准则，作为必须共同遵守的约定，相当于我国类似的行业自律公约，起到影响和规范公民行为的重要作用。但从我国目前的实际情况来看，由于面临互联网信息流的巨大影响，且很多公民素质参差不齐，现阶段自律性行业组织还存在有待提高的空间。一些社会组织形式和公约难以起到关键性作用，且一些公约标准不能适应个人信息保护的需要。因此，我国应当兼采两者之长处，既要注重个人信息或者个人所产生的信息的便利性流通，方便人们用于合法合规的用途，又要避免信息泄露或者倒卖个人信息的违法现象。综合来讲，以德国立法规制模式为主的基础上，适当采用美国行业自律模式是比较符合我国国情的。

二、互联网个人信息权保护的再商榷

（一）目前法域下互联网个人信息权的法律保护

我国对个人信息立法保护起源于21世纪初，早在2003年国内相关机构和专家就个人信息保护进行了立法的调查研究。但个人信息保护法要想成为一部真正的法律还是存在一些体制或者机制上的障碍，其各类可能涉及的法律文本当前还是散见于各个部门之中，一些关键性的操作细则也相对模糊，未能形成一个完整的体系。从我国目前来看，对个人信息的保护有的直接以法律条文的形式规定，比如《民法总则》第111条；有的则以与个人信息相关联的内容来进行保护，比如个人隐私等，这对公民个人信息的保护无疑是有利的，能够实现对公民合法权益切实有效的保护。

但面对我国互联网的快速发展和个人信息的多元化,现行法律缺乏对个人信息权的规定，且没有相应的信息保护机制；此外，在处理个人信息违法责任划分也就是归属责任方面还存在主体不明确的问题；对于个人信息处理以及遗忘的问题，缺乏被遗忘性处理的操作。另外，我国个人信息保护没有对信息私法救济进行说明，不重视损害赔偿责任与救济。在个人信息侵权案不断涌现的今天，很多人难以用自身的力量去获得信息进而完成自我信息的保护，我国并没有设计专门的监督保护机制和专门个人信息委员会来处置这些问题。

（二）互联网个人信息权保护的立法建议

我国在立法保护和法律规定方面应该借鉴国内外经验，并注重个人信息的保护立法模式应以立法规制为主，业者自律为辅。

1.个人信息权应属人格权范畴

随着互联网的发展，个人信息被不当泄露，成为很多不法商家的牟利手段，这给个人信息蒙上了经济利益的色彩。但是对个人信息的非法贩卖和不当使用给民事主体造成了财产的损失和精神的困扰。从严惩贩卖个人信息和打击经济利益犯罪的角度看，可以将部分个人信息归类为属于公民的信息财产，但是否具有民法中的财产权属性呢？在实际生活中，个人信息涉及的面很广泛也很多元，因此不能单一地将其定义为某种类型。笔者认为，出于个人隐私权、名誉权的保护，个人信息不应成为可转让的标的，不具有财产所有权的相应权能，更主要的应体现为人格权的一类，而不应是财产性权利。在民法中应将个人信息权却认为单独的存在，和其他人格权一样，也是人所固有的一项重要民事权利。不仅能对个人信息收集和使用者提供一定的指导，更是为司法实践中对相关案件的审理提供法律指引。

2.将个人信息权立法化

在国外立法和实践层面，个人信息权是单独分类出来的，但以民事权利存在。个人信息保护在法律层面适用于普遍民法。所以目前没有形成一个相对完整的法律体系和法律文本，个人信息侵权的行为需要不同部门之间相对协调，且这些行为规范需要按照各自部门的法律规定来开展。因此，为了提升个人信息保护的有效性，需要在相关法律文本和立法中尽快明确“个人信息权”概念的实施和操作途径。个人信息权应该成为公民权利的一部分，这符合我国民法发展的趋势，也能有效保障我国公民的合法权益。

同时，对于个人信息保护权的保障，应该建立全面系统的法律保护与监管机制，当然在加快立法进程的同时要立足于我国关于个人信息权的立法现状，切实完善个人信息权主体，通过合理的渠道确保对这些权利的享用起到监督作用，完成各个互联网主体在保护个人信息中的民事责任规定，对于其他的个人信息，通过上述对我国法规的阐述，我们可以遵循特殊优于一般的原则，用民法总则的概括性规则做原则，将刑法做最后保护个人信息权的最后屏障。

3.设立个人信息保护委员会

对立法的进一步完善，需要参照其他国家的做法。例如，美国在1974年通过的《隐私权法》中规定，应设立一个数据保护委员会这样的一个专门机构，以监测和保护个人信息。目前，中国还没有专门管理互联网上个人信息的管理部门，而是在工业和信息技术部下设两个部门，履行相关职能：一个是网络安全管理；另一个部门是信息和通信管理局。然而，这两个部门的职能是重叠和不明确的。对此，保护互联网上的个人信息，是一项紧迫而艰巨的任务。

4.完善被遗忘权制度

李立丰认为：“被遗忘权是自然人信息主体享有的向互联网搜索服务提供商提出的限制后者行使提供特定信息检索结果的表达权的一项对抗性质的特殊请求权”。[1]记忆与遗忘是人的本能，但对于互联网而言，要被遗忘只能通过积极主动地删除行为才能实现。从个人信息权的外延上来说，应涵盖隐私权、个人信息决定权、公开权、信息产权、控制权等内容，而被遗忘权应属于个人信息权的重要内容之一。我国目前缺乏相应立法规制，导致对于个人信息权的保护不完善、不完整，而如何在互联网下实现对被遗忘权的合理利用也是个人信息保护的重要内容之一。

5.进行分类归责

个人信息权受到侵犯的时候，需要进行责任的确定和划分。而我国目前实施的《侵权责任法》虽然对网上个人信息侵权行为的归责作了规定，不过对其大致主体的分类没有进一步的说明和解释，也没有对相关的私人主体和公平主体进行区分。因此，对于不同的侵权主体，需要按照明确的归责原则对其进行责任的划分。通常情况下，公平机构或者平台有着个人难以与之抗衡的优势，在举证过程中个人可能面临一些困难，这就需要根据平台履行个人信息保护的义务来对其进行责任的判断；对于侵权主体的公共机构，则需要实现统一的公共机构担责原则，避免以个体代替公共主体承担法律责任；如果是单纯的私人侵权或者违反售卖与泄露其个人信息，则应该按照两者之间的法律平等地位，实行过错推定的归责原则。

三、结语

综上所述，本文研究认为，我国的个人信息保护还需要在我国《民法总则》第111条的基础上，进一步将个人信息权通过立法形式确认下来，并进行内容的补充。并进一步完善相关法律实施细则。在没有专门的立法的情况下，需要确保按照不同的侵权主体进行责任的划分，并设置专门的个人信息权保护机制与个人信息保护委员会，加快创建个人信息权法实施细则，并明确归责原则。为保障公民合法权益，促进我国互联网个人信息保护营造良好的法律环境。