网络环境下个人数据侵权纠纷的民事司法保护

王媛媛

摘要：网络的发展和普及对个人数据造成威胁，实践中个人数据被泄露、买卖、非法收集和使用的现象频发，也由此引发了相关的诉讼问题。个人数据本身的复合性特征使得相关侵权行为呈现出刑民、行民诉讼交叉现象，且案件审理过程中涉及大量的电子证据问题。然而，由于实体法落后、被告不易确定、管辖不明、电子证据的不稳定性和技术依赖性给个人数据民事司法保护带来一系列难题。因此，有必要运用诉的利益理论扩大个人数据保护受案范围、确立信息控制主体责任制度、实行个人数据纠纷专属管辖制度、构建电子证据运用及审查的特殊规则。

关键词：個人数据;民事司法保护;受案范围;管辖制度;电子证据

个人数据①保护立法已于全球普遍展开，信息技术的发展和普及使各国逐渐认识到其对个人数据的威胁和侵蚀，并纷纷加强相关立法。在个人数据保护问题上，世界多数国家制定了独立的个人信息/数据保护法，②其中较有代表性的如：欧盟1995年出台的《数据保护指令》、美国的《信息自由法》和《隐私权法》、德国的《联邦个人资料保护法》、日本的《个人信息保护法》。从内容上看，主要涉及个人数据的范围、权利内容、收集和处理原则、个人数据的监督和管理、个人数据侵权法律责任、个人数据权诉讼等等。我国也已将个人数据保护纳入立法日程，个人数据日益受到我国法学界的关注，民法学界、刑法学界早已对个人数据基本法理和主要问题展开深入研究，与其他学科领域丰富多彩的研究相比，民事诉讼法领域的研究却是一片空白。

“权利发生史沿着权利客体—权利关系—权利制度的逻辑展开”，[1]社会发展使权利客体不断扩大，新的权利义务关系形成。我国现有立法没有把个人数据权作为一项法定权利，司法实践对其规范和保护主要通过对与其相关的其他权利或利益保护来实现。③其后果便是无法对现有立法规定的具体人格权之外属于个人数据权范畴的权利实现救济。实体法对个人数据保护的缺失筑造了一项权利进入民事诉讼最难逾越的门槛。现有理论和立法无法应对社会中不断泛滥的个人数据侵权行为，急切需要加强个人数据民事诉讼保护及相关制度构建研究。

一、网络环境下个人数据侵权行为的样态

网络环境下，通过对个人数据的技术分析，个人数据可以作为知识提供智能决策。[2]5与传统信息相比，个人数据具有一定的经济价值，且这些数据信息无不包含着公民的隐私权。④基于个人数据本身的特性，数据控制主体有着强烈的利用激励而缺乏同等程度的保护激励。[2]5网络环境下个人数据侵权行为呈现出新样态，具体表现在下述几个方面。⑤

（一）个人数据的过度收集

社会上普遍存在国家、企业及私人过度收集个人数据的现象，然而，很多情况下这些收集行为本身是没有必要的，且往往未经过权利人同意，更有甚者利用获得的数据从事违法犯罪活动。在司法实践中，因侵犯公民个人数据构成犯罪的现象屡见不鲜，案件数量呈逐年上升趋势。犯罪分子利用获取的个人数据资料骗取钱财，给受害人造成严重的财产损失和极大的精神痛苦乃至付出生命的代价（如广受关注的“徐玉玉电话诈骗受害案”）[3]。截至2017年12月31日，北大法宝司法案例库中侵犯公民个人信息犯罪的案件共计2489例[4]。我国立法一直缺乏对数据收集原则及来源主体数据权益保护的关注，近年来虽有相关法律文件或决定出台，由于数量少、过于原则化、缺乏可执行性，成效甚微。

（二）个人数据的泄漏、盗用

随着网络技术的发展，信息传播范围更广、速度更快，个人数据更容易被泄漏、盗用，损害后果也更为严重，这突出表现在房产中介、商业银行、医疗机构、电信部门、网络快递等特定行业，给公民个人数据保护提出挑战。此外，近些年来政府部门收集的公民个人数据被泄露的现象也频繁出现，较为典型的如：司法部、教育部获取的参与司法考试、研究生考试考生信息被泄露。企业有权依法或经权利人同意获得信息并依法储存（如：宾馆采集的客户信息，阿里巴巴采集的用户信息），但应负担不得随意泄漏、不得违法披露、不得擅自提供、不得损害来源主体权益的义务。

（三）未经同意的数据交易、数据加工

受个人数据非法交易行为所带来的黑色利益驱使，非法买卖个人数据行为猖獗，实践中利用互联网及其他形式倒卖个人数据的现象屡禁不止，专门从事数据交易的公司如雨后春笋般兴起。为挖掘个人数据中潜在的商业价值，各商业主体纷纷展开对个人数据分析和加工，但也由此引发了权属争议。数据加工中加工的客体是并未限制为合法获取的数据，加工者对该类数据并不享有所有权，对经其加工以后的数据，数据所有人享有何种权利尚存争议。当然，如果加工主体与数据主体或数据所有人达成协议的，加工主体对加工后的数据享有何种权利按协议来确定。但在双方没有约定时，加工后的数据如果不涉及对他人隐私权或其他权利的侵犯而且经信息被采集主体同意公开或事后其追认同意的，并且这种加工行为满足知识产权构成要件的可以作为知识产权。满足前一条情况，但未经信息被采集主体同意公开或事后未进行追认同意公开的，则需要判断这种智慧劳动可否构成商业秘密。如果加工主体的加工行为不构成知识产权或商业秘密又无双方协议的，其权利如何定性尚需进一步研究，该加工主体能否成为“新的数据”的权利人随着理论研究的深入才能得到解答。

（四）信息公开不规范

个人数据在行政法领域主要表现为公民申请个人数据公开，公权力的强势地位使得知情权的保障和信息公开义务的履行并不理想。表现在：立法上，我国《政府信息公开条例》规定过于粗糙、相关立法规范缺乏协调性、监督保障机制不健全。实践中，公民权利意识淡薄、行政机关之间互相推脱、政府官员信息公开观念不足。有学者曾对我国《政府信息公开条例》实施一周年内部分信息公开案件进行调查，发现合法期间内未做任何答复的案件占三分之一，行政机关受理中不出具任何回执或手续的案件占一半之多。[5]

二、个人数据侵权行为引发的诉讼及其特殊性

（一）个人数据侵权行为引发的诉讼问题

个人数据关涉到个人人格尊严、人格自由、精神利益和财产利益，体现了基本人权，而社会上侵害数据权利的现象频发，手段多样，给公民权益造成极大损害。虽然加快相关领域立法及司法解释的出台、充分利用现有的立法资源、加强行业监管及政府部门的监督、规范信息收集的范围、明确收集者的义务、列明信息使用规则等能够在一定程度上减少个人数据侵权现象，但通过司法解决数据权利纠纷不可避免。数据权利诉讼涉及民事、行政、刑事三个领域。由于我国宪法规定了公民通信自由和通信秘密不受非法侵犯，这两项宪法性权利隶属于个人數据权益的范畴，因此在理论上，可以引发宪法诉讼。

当前，侵害数据信息犯罪和政府信息公开诉讼均有实体法和诉讼法保障，而在民事领域，虽然没有实体法直接规定，但并不妨碍权利救济，也就是说，在理论意义上，针对上述侵犯数据信息的行为均可提起诉讼。然而，正是民事领域缺乏实体法保障，使得在救济实效上大打折扣。民事立法没有把数据权利列为一项法定权利，司法实践对其规范和保护主要是通过对与个人数据相关的其他权利或利益保护来实现的（多以隐私权的形式，其他形式如：名誉权、肖像权等），从而起到间接保护个人数据的目的。如：朱烨诉北京百度网讯科技有限公司隐私权纠纷一案，被告百度公司通过设置的cookie程序记录原告搜索浏览的内容并进行个性化推荐。⑥然而，民事诉讼虽有自身独立的价值，并非只有法定权利才能得到救济，但不可否认的是，在规范出发型的诉讼传统中，诉权作为第二性权利若想获得实现，必须依赖实体权利的法律保障。

（二）个人数据侵权行为诉讼中的特殊性

1.个人数据的复合性特征导致行民、刑民诉讼交叉现象

个人数据既具有人格属性，又具有财产属性。[6]其人格属性体现为主体依赖性，个人数据本身就是那些可以以直接或间接的形式识别出本人的数据，这类数据与主体不可分离。权利主体有权对个人数据进行控制和支配，基于人格权不能抛弃、不可继承的权利属性，个人数据与权利主体的生存、发展、人格尊严和自由密切相关。[7-8]个人数据的财产属性体现在个人数据作为一种商品进行交易并产生价值，个人数据的商品化也是其不同于隐私权的重要特征。[9]这类新型资源具有潜在的巨大商业价值，对其进行开发利用能够产生财产利益，这是一种无形财产，又称为个人数据财产权，权利主体有权转让并收取一定的报酬。正是由于个人数据能够产生财产价值，所以现代社会非法收集、买卖、盗用个人数据的现象盛行，个人数据侵权行为不断加剧。个人数据集人格、财产于一体的法律特性给个人数据保护提出挑战。[10]

除个人数据权利的复合性之外，其责任也具有复合性。一方面，单纯从民事责任而言，由于个人数据兼具人格权和财产权属性，其法律责任在承担形式上多种多样，既要承担诸如赔礼道歉、消除影响、恢复名誉等侵犯人格权的法律责任，同时也往往伴随着赔偿损失等财产权法律责任。而损失数额如何量化、如何确定合理的赔偿方式则加剧了个人数据法律责任研究的复杂性。在赔偿数额问题上，部分国家采取法定额确定损失的方式值得借鉴。另一方面，由于其侵害的客体比较复杂，包括信息资源、消费者合法权益、市场竞争秩序等，这种客体的复杂性决定了其造成的法律后果的多重性。根据侵害个人数据行为情节的严重程度可以分别设定民事责任、行政责任和刑事责任。

因此，一旦出现数据权利侵权案件，往往会同时涉及民事责任、行政责任和刑事责任三方面的责任负担，出现刑民交叉、行民交叉的案件。单独的民事诉讼程序、行政诉讼或刑事诉讼程序，都无法同时兼顾数据权利人权利的全面保护及网络安全等公共利益的保护。

2.个人数据侵权案件中有着大量的电子证据

现代信息技术的发展在带给人们便利的同时也给个人数据的安全和权益保护带来挑战。侵害个人数据行为的技术关联性是网络时代下个人数据区别于传统个人数据的重要方面。传统的信息传播方式主要通过纸质文件、书籍，不会出现“黑客”运用技术手段窃取信息，不会出现手机系统运用技术手段对个人进行定位，不会出现因某一热点事件而展开的人肉搜索等。而在大数据时代，信息资源的价值凸显，网络等现代技术使得对个人数据的非法获取更容易且传播速度更快、危害后果更广。

因此，在数据权利诉讼过程中，涉及到大量电子证据的运用。电子证据承载了丰富的信息资源，包括个人数据、个人隐私等在内。电子证据本身的特性决定了电子证据运用中特殊的证据规则，对于电子证据这一新类型证据手段而言，其特殊性体现在收集规则、采信规则、证明妨碍规则、电子证据真实性认定规则、特殊技术手段的应用等等。在诉讼程序上，需要构建相应的电子证据庭前准备基本程序。同时，适用于一般证据方面的证据法相关制度和规则，如自由心证制度、质证规则等在电子证据的运用上也会有所不同。

三、个人数据民事司法保护的案件范围问题

（一）实体法的障碍

关于我国现行有关个人数据保护的法律文件，如表1所示。

由表1可知，我国个人数据权的保护散见于各部门法的立法性文件中，⑦从“外观”来看，既包括具有母法地位的宪法也包括国务院部门制定的行政规章，既包括公法领域也包括私法领域，既包括一般法又包括特别法。但在“内涵”上，相关条文数量极少，且内容相对片面，仅规范了相关主体对个人数据的保密义务。多数学者建议我国应制定《个人信息保护法》《信息公开法》《信息安全法》以完善相关实体法规范。

前已提及，数据权利在性质上体现为民事权利，因此数据权利侵权纠纷主要体现为民事诉讼。我国数据权利实体法立法落后，权利保障不健全，但这并不意味着权利没有保护的必要，缺乏实体法同样不意味着没有侵害数据权利现象的发生。如果等到实体立法相当成熟才进行权利保护的程序法研究和立法未免有些亡羊补牢、得不偿失。由此观之，实体立法虽落后，但权利保护不应受阻，民事诉讼制度应有所为。我国多数学者主张民事诉讼目的多元论，不管是解决纠纷、保护权利还是程序正义、维护市场经济健康发展，数据权利的民事诉讼保护是实现民事诉讼目的的体现和要求。[11]

（二）扩大个人数据的保护范围

有权利必有救济，即便是在规范出发型诉讼中，此处的“权利”也不限于法定权利。法院的功能不止在于实现实体法规定的权利，更要通过审判活动推动实体法的发展，通过支持实体法尚未规定的“模糊性”的权利，来促进实体法的完善。[12]法官有责任通过审判促进新权利的生成，因此可以说救济促生新的权利。个人数据权并不是法定权利，作为一种形成中的权利，对于在司法实践中涌现的大量数据权利纠纷有必要通过对诉的利益的探讨来判断权利主体诉权的有无。

诉的利益理论作为衡量有无权利保护资格和权利保护利益的标准，为非法定权利进入诉讼程序提供理论依据。只有具备了诉的利益，民事案件才能进入实质的本案审理阶段，否则将以不具备诉的利益而驳回起诉。在传统的民事诉讼法之中，诉的利益因为诉的种类不同而不同，分为给付之诉的利益、确认之诉的利益和形成之诉的利益。然而，这些都是对于单纯的诉的划分，但是数据权利的一个重要特征在于其复合性。因此，在因数据权利遭受侵害而通过民事诉讼制度寻求救济时，首先应该对其各个权能进行清晰的认识和划分，使之可以对应不同的诉的利益类型，从而完成诉的利益在民事诉讼之中的使命——规定权利保护资格和权利保护利益的界定，实现民事诉讼公共资源配置与个人私益保护之间的平衡，给予当事人保护个人利益诉权的同时防止权利的滥用。

实现权利救济是司法应当扮演的角色，在数据权利未得到实体法确认之前，诉的利益理论在司法实践中发挥着重要作用。关于数据权利的具体内容在界定上尚存争议，我们应当保持开放的态度，当某一具体的数据权利遭受侵害时，为其提供诉讼救济的渠道。

四、个人数据民事司法保护的管辖问题

（一）被告的确定与诉讼管辖

在数据权利司法保护中，与数据权利的刑事诉讼、行政诉讼中的被告确定、诉讼管辖相比，其在民事诉讼所遇到的问题最为棘手。新型互联网侵权纠纷诉讼管辖问题受到不少学者的关注，出现了许多新理论，如管辖相对论、网络服务器所在地理论、网络自治论、技术优先管辖论等。在一般民事案件中，被告适格问题相对容易判断，一般而言，由谁承担责任、承担何种责任都有实体法的规定，被告的确定根据实体法权利义务关系便能解决。在我国现行法框架下，数据权利并未作为一项法定权利，更没有实体法对数据权利义务关系及法律责任的规定。诚然，数据权利侵权行为隐秘性、广泛性等特征加剧了侵权行为发生后被告确定的困难，但在实体法规定相应责任制度的情况下，如欧盟《个人数据指令》确立的信息处理控制人责任制度，相对于具体侵权人而言，信息的处理和控制主体比较容易确定，被告更明确。所以，被告确定问题研究与其说是程序上的问题，不如说是一个实体法上的问题。举例来说，关于转载行为，由于涉及人数众多且一一确定其身份在客观上难以操作，如何确定被告就需要在实体法中规定由哪类主体如何承担责任。

被告的确定又是一个诉讼法问题。数据信息侵权法律关系的复杂性直接导致了被告确定的困难，虽然立案登记制已普遍实施但在本质上民事案件的起诉条件并未改变，我国《民事诉讼法》第119条及其司法解释第209条规定必须有“明确的被告”，而明确与否需要“原告提供被告的姓名或者名称、住所等信息具体明确”，足以使得被告与他人相区别。由于个人数据会经历采集、储存、传播、处理等多个流转途径，尤其现代网络信息技术的应用更加剧了信息传播效率，加上侵权行为的隐蔽性，在发生侵犯个人信息权事件时，原告无从确定问题出在哪个环节、侵权行为人是谁、有几个、如何确定其身份。例如：对于转载行为，多人转载的情形中，如何确定被告？原告有权要求哪些侵权人承担责任？网络服务提供商处于什么地位？是共同被告还是无独立请求权的第三人？⑧随着网络实名制的落实，在实名化后即使能够确定被告的身份，如将侵权人确定为某甲，在虚拟的网络世界中，原告如果没有其他证据补正时，如何确定实施侵权行为的人确系某甲所为？也就是说，存在他人利用某甲身份进行个人数据侵权的可能。在诉讼实践中，案件由何地法院管辖成为诉讼当事人关注的第一个问题，关于管辖权的异议就是双方的第一次较量。在诉讼管辖问题上，一方面被告确定的困难导致被告所在地或经常居住地不易确定，从而使得民事诉讼中原告就被告的一般管辖原则缺乏适用的空间;另一方面，数据权利侵权行为的隐蔽性、广泛性等特点加剧了诉讼管辖本身认定的难度。

关于被告确定问题的解决，笔者建议仿效国际上确立的数据控制人主体责任制度。国际社会中数据控制主体责任制度既适用于跨国数据流动又适用于本地数据保护⑨。该制度下，虽然数据会交由控制人以外的人处理，但出现问题时仍不能使数据控制人摆脱责任。齐爱民教授曾在个人信息保护法示范法草案学者建议稿中提出：發生个人信息侵权行为而权利人无法确定侵权人时，可以向存储个人信息的两个或两个以上相关主体主张损害赔偿。[13]笔者认为，存储个人信息/数据的主体有义务保管好其所储存的信息，当其存储的信息发生泄漏或其他损害信息权利人利益的情形时，应承担过错责任。这种过错责任属于一般侵权责任，不同于存储人的信息控制人主体责任。在受害人无法确定侵权人时，即使存储主体不存在过错也不妨碍其作为被告的适格性，即信息控制人主体责任表明信息控制者承担无过错责任，且有权向真正的侵权人追偿。实践中信息控制主体一般较易确定，确立信息控制人主体责任制度有利于促进数据权利保护的实现。

（二）网络个人数据权利纠纷的管辖

数据权利纠纷的法律特征及刑民、行民交叉的特性要求在案件管辖问题上实行专属管辖，即因网络个人数据权利引发的纠纷应由互联网法院管辖。2015年以来，浙江省部分法院进行互联网法庭（或曰网络法庭）试点，主要处理涉互联网纠纷案件，如网络购物、电子商务、网络著作权等因互联网引起的纠纷且其审理方式从立案到判决全部通过互联网处理。互联网法庭实现了当事人足不出户便可参与到司法审判的全过程。互联网法庭的试点为互联网法院的设置提供了司法经验。在互联网法院的设置问题上，设置原理、程序方式、人员组成、审理的案件范围、诉讼管辖确定原则等各个方面都有着不同于普通法院的特性。利用互联网法院解决因互联网引起的数据权利纠纷，通过设置更为科学合理的审判制度和专业的法官，能够直接解决因为管辖、证据制度等因素造成的繁琐和因法官对专业技术的理解不足而导致的问题。

在案件管辖问题上，司法从互联网技术发展中受益的同时也使原有的传统管辖理念受到冲击。方便法院管辖方便当事人起诉的“两便”原则不再成为确定管辖的主要依据。未来互联网法院的管辖问题如何设置有待探讨，但无疑，在个人数据纠纷问题上，用网络审理纠纷的方式已经使物理空间的管辖变得没有那么重要，笔者建议适用互联网法庭或今后将推行的互联网法院解决未来的个人数据网络侵权案件时，双方可以协议确定案件的管辖法院，协议的范围可以突破固有的管辖范围的限制。当双方未达成管辖协议时，由被侵权人所在地法院优先行使管辖权。

数据权利纠纷中的证据问题也将从互联网法院审判中受益，由于当事人一切诉讼材料包括所有证据材料和申请都通过网络形式提交并传输到法院，当事人向法院申请证据保全、申请调查令或申请法院调取证据以及法院的决定可以及时进行并送达，法院对电子证据的保全也可以运用网络技术迅速作出，有利于防止证据被毁灭、遗失。对于大规模侵权行为，互联网技术实现了众多当事人“同时到庭”的状态，除诉讼代表人作为案件当事人参与诉讼以外，其他诉讼当事人可以通过网络平台直播的方式参与到庭审过程中。此外，互联网法院审理个人信息权纠纷有利于提高司法效率和司法透明度。

五、个人数据民事司法保护的电子证据问题

（一）电子证据本身的特性与相应的证据规则

个人数据民事诉讼电子证据的特殊规则主要体现在对电子证据的收集和保全问题上。电子证据本身具有以下特征：一是电子证据稳定性不强，由于电子证据容易被篡改且难以留下修改痕迹，使审判人员在证据采信上面临困境，需要建立其特有的证据补强规则，以规范电子证据在司法中的运用。二是电子证据作为现代技术发展的产物，与信息技术的运用关系密切。电子证据在收集、保全和鉴定上需要广泛运用现代技术，这就对审判人员的专业素质提出了一定要求。三是电子证据的载体依赖性。电子证据的技术相关性增加了电子证据的神秘性，必须借助一定的载体才能确定电子证据的内容。因此，对于电子证据的收集，应当采取一定的技术手段，如：数据恢复技术、加密数据解答技术、蜜罐技术、文件查找技术等等[14]。同时，确立协作式证据收集模式，实现民事诉讼法从为权利而斗争到为权利而沟通的诉讼理念的变革。[15]

（二）个人数据民事诉讼中电子证据运用规则构建

在个人数据权民事诉讼电子证据采信问题上，为增强电子证据的证明力，一方面可以采取电子证据公证保全措施，另一方面举证方应当注意补强证据的采集。在电子证据的鉴定方面，其鉴定过程同样大量适用专业性较强的技术手段，应当保障相对方提出意见的权利，健全专家辅助人制度。经过鉴定的电子证据为一方提出时，该证据必须经过庭审质证，当事人有权对鉴定材料、鉴定的过程、鉴定结果提出质疑，进行辩论，有权要求鉴定人出庭，对鉴定情况和当事人的质疑进行说明，保障当事人聘请专家辅助人的权利，由专家辅助人对专门问题提出建议，以保证鉴定意见的科学性，从而对法官在鉴定意见的心证上产生影响。对鉴定意见的严格审查和辩论在一定程度上有利于及时发现错误的鉴定意见，督促和监督鉴定人员选取充足恰当的鉴定材料，采取科学合理的鉴定过程，提高鉴定意见的质量。在个人数据民事诉讼电子证据证明妨碍问题上，根据我国民事诉讼法司法解释的规定，证明妨碍制度仅限于书证，而电子证据不包括在内。在此，笔者认为，社会发展使信息的载体千变万化，书证和电子证据都作为信息的载体，尽管电子证据具有脆弱性、依赖性等特征，但两者的证据价值在本质上并无多大区别。证明妨碍制度的应用就不应当在书证和电子证据方面有所区分。因此，证明妨碍制度在适用范围上应当扩大到电子证据。在现有法律规则下，可以对书证进行扩张解释，证明妨碍制度可以类比适用于电子证据中。

注释：

① 我国学者又将个人数据称为个人信息、个人资料、信息隐私等。

② 据统计，目前已有50余个国家颁布了个人信息/数据保护法。参见崔聪聪等《个人信息保护法研究》，北京邮电大学出版社，2015年版，第52页。

③ 具体案件可参见（2017）皖1202民初字第2146号判决、（2016）浙02民终字第1527号判决、（2014）深中法民终字第3130号判决。

④ 王竞、温幸临《大数据时代个人隐私权的司法保护》，参见河北省法学会《深化司法体制改革——第六届河北法治论坛：下册》，2015年，第359-361頁。

⑤ 在网络环境下个人数据侵权行为表现方面，本文仅针对实践中的突出问题作部分列举。个人数据权作为一项权利，权利人享有以下权能：权利人有权在其数据自由的范围内决定是否允许他人对个人数据进行收集和使用;有权禁止他人未经允许从事前述行为;有权对被采集的数据进行查询;有权请求他人保密;有权知悉个人数据的内容;有权对存储或公布的个人数据进行更正、删除;有权转让个人信息;有权获取财产利益;有权请求报酬。部分国家或区域性立法中还规定了被遗忘权、个人数据可携权、资讯权等权利内容。任何对上述权能的限制和破坏都构成个人数据权侵权行为。

⑥ 2014年9月“温国强与莫丕向不当得利纠纷案”二审裁判文书中广州市中级法院以“侵犯上诉人的隐私、个人信息权”为由排除被上诉人获取的证据，这是我国法院裁判文书中首次出现“个人信息权”概念（参见张里安、韩旭至：《大数据时代个人信息权的私法属性》，载《法学论坛》，2016年第3期，第121页）但此处的个人信息权仅作为非法证据排除的理由而不非因个人信息权而提起的民事诉讼。严格意义上说，个人信息权民事诉讼尚未得到我国法院承认。

⑦ 在相关司法解释中也有保护个人信息的条款，例如：《最高人民法院关于审理旅游纠纷案件适用法律若干问题的规定》规定：“旅游经营者、旅游辅助服务者泄漏旅游者个人信息或未经旅游者同意公开其个人信息，旅游者请求其承担相应责任的，人民法院应予支持。”

⑧ 网络服务提供商的法律责任在我国《侵权责任法》第36条中有明确规定，在个人信息权侵权中网络服务提供商的责任可参照适用。在网络服务提供商的诉讼地位问题上，最高人民法院在有关司法解释中规定：利用网络侵害公民人身权益案件中，原告仅起诉网络用户，网络用户请求追加网络服务提供者为共同被告或者第三人的，人民法院应予准许;原告仅起诉网络服务提供者，网络服务提供者请求追加可以确定的网络用户为共同被告或者第三人的，人民法院应予准许。参见《最高人民法院关于利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第三条。

⑨ 欧盟《个人数据保护指令》确定了数据处理控制人的主体责任，且在归责原则上适用过错推定原则。该《指令》要求各成员国应当确保其公民在因数据处理行为或存在其他违反其国内法规定的行为时，受害人有权向数据控制处理主体主张赔偿责任，当数据控制处理主体证明其无过错时，可以减免责任。

参考文献：

[1]李晓辉.信息权利——一种权利类型分析[J].法制与社会发展，2004（4）：76.

[2]周汉华.探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向[J].法学研究，2018（2）：3-21.

[3]刘宪权，房慧颖.侵犯公民个人信息罪定罪量刑标准再析[J].华东政法大学学报，2017（6）：110-112.

[4]“侵犯公民个人信息罪”专题案例与数据分析报告 [EB/OL]. （2018-04-12） [2018-12-27].http：//weekly.pkulaw.cn/Admin/Content/Static/9a9869ed-5f02-446c-8637-ae8adbe3b308.html.

[5]杨永纯，高一飞.比较视野下的中国信息公开立法[J].法学研究，2013（4）：115-123.

[6]张里安，韩旭至.大数据时代下个人信息权的私法属性[J].法学论坛，2016（3）：124-127.

[7]齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉：武汉大学出版社，2004：115.

[8]郭明龙.个人信息权利的侵权法保护[M].北京：中国法制出版社，2012：180-181.

[9]刘德良.论个人信息的财产权保护[M].北京：人民法院出版社，2008：2.

[10]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报（哲学社会科学版），2012（6）：68-75.

[11]江伟.民事诉讼法学专论[M].北京：中国人民大学出版社，2005：59-63.

[12]谷口安平.程序的正义与诉讼[M].王亚新，刘荣军，译.北京：中国政法大学出版社，2006：184-187.

[13]齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学，2005（6）：2-5.

[14]熊志海.網络证据收集与保全法律制度研究[M].北京：法律出版社，2013：49-51.

[15]沈冠伶.民事证据法与武器平等原则[M].台北：元照出版社，2007：7.

责任编辑：曲 红、康雷闪