法益论视角下个人信息侵权法保护之类型化*

张 力，莫杨燊

(西南政法大学 民商法学院，重庆 401120)

一、引 言

随着计算机、信息通信等技术的发展，人类步入了一切皆数而万物可量的大数据时代，个人信息日益以数字化的形式在社会中流转，遭受各种形形色色的不可测侵害之可能性大为提高。我国也概莫能外，近年来山东徐玉玉受电信诈骗案，清华某教授遭电信诈骗案等侵害个人信息的重大案件频发，更是引发公众对自身个人信息安全的深刻焦虑。揆诸现实，民事立法必然要回应对个人信息保护的社会关切，因此，《民法总则》在民事权利一章中单列一条，明确自然人的个人信息受法律保护和其他民事主体对此的义务[1]。但是，在《民法总则》规定的“个人信息”的法律属性以及保护路径上，却是众说纷纭。“权利论者”认为：《民法总则》第111条确立了个人信息权[2]40[3]，应当采用具体人格权的保护进路；“法益论者”认为：该条仅仅是为个人信息作为法益(1)法益有广义和狭义之分, 广义的法益泛指一切受法律保护的利益, 权利也包含于法益之内;狭义的法益仅指权利之外而为法律所保护的利益, 是一个与权利相对应的概念。 本文采用的是狭义的法益概念，所用的“法益”与德国法上的“利益”相同。保护提供了法律依据[4-5]，应当采取法益侵害的保护进路。笔者认为，个人信息实质上是一个法益综合体，剔除掉与具体人格权相重叠的内容，剩下的部分应通过“违反保护性规定的侵权责任”与“故意违背善良风俗致损的侵权责任”加以保护。保护性规定可以具体、明确地指引个人信息法益的识别，本身能充当过错、违法性、因果关系等侵权构成要件的证立标准，相比于笼统模糊的善良风俗具有更大的优势。所以，“故意违背善良风俗致损的侵权责任”适宜作为兜底性保护手段，而应以“违反保护性规定的侵权责任”作为主要保护路径，并在后者的基础上拓展延伸以构建个人信息侵权保护体系。本文立足于以上思路进行探讨。

二、个人信息法律属性之澄清

(一)绝对权性质之否定

1.法条规范目的之探求

《民法总则》第111条之规范目的并非将个人信息作为权利保护。首先，《民法总则》第111条全文均未采用 “个人信息权”的表述，使用的是“个人信息”，若立法者有意将个人信息权利化，上升为权利来保护，又怎会吝惜一个“权”字？其次，根据所含规定之性质，法律规范可被分为授权性规范、义务性规范以及禁止性规范[6]。审视《民法总则》第111条的内容，该条并未正面地建构个人信息权的权能，而是列举任何组织和个人在信息开发利用阶段所应遵循的行为规范；从法律术语的运用上分析，该条并未使用“可以”“有……的自由”等表述，映入我们眼帘的是 “应当”“不得”等词语。因此，第111条不属于授权性规范，而是兼具义务性规范和禁止性规范性质的复合性规范。《民法总则》在个人信息的保护上未采积极确权模式，而采行为规范模式[7]。再次，从《民法总则》民事权利这一章的编排来看，第109条是人格权保护的一般条款，第110条详细列举了自然人和法人、非法人组织所享有的具体人格权，第112条是关于人身权利的规定，那么第111条规定的应当是法律地位低于具体人格权的人格性法益。有学者认为，《民法总则》将个人信息规定在“民事权利”一章，从法律规范的逻辑性讲，当然是受法律保护的“权”[3]。对此，笔者不敢苟同，并非只要规定于“民事权利”章节下即理所当然地应作为民事权利保护。例如，《民法总则》第109条规定：“自然人的人身自由、人格尊严受法律保护”，但却不能在此认为《民法总则》设立了人身自由权和人格尊严权，而应当将其理解为人格权保护的一般条款，起兜底作用[8]。最后，第十三届全国人民代表大会常务委员会于2019年12月24日公布的《中华人民共和国民法典(草案)》人格权编部分对生命权、身体权、健康权、隐私权等具体人格权的列举都带有“权”字，唯独个人信息后面没有加上“权”字，并且未单独列为一章，而是和隐私权共同规定在第六章，可见，即将制定的《民法典·人格权编》也倾向于否定个人信息的权利化保护路径。“在权利的保护上我们应该遵循形式主义的标准，即只有民事法律明确规定的权利才是民法上的权利，其他的都是利益保护的问题。”[9]

2.“权益区分标准”之检视

个人信息不符合绝对权的基本特征。假如建构个人信息权，应当归入绝对权之范畴，因为尊重信息主体的义务主体须是不特定的任意第三人。《民法总则》规定的“个人信息”究竟是作为侵权法上的权利(绝对权)抑或是法益，可以通过德国法上的权益区分理论予以廓清。根据前述理论，区分绝对权和法益有三个标准，即同时具备“归属效能”“排除效能”和“社会典型公开性”的，为一种侵权法上的权利，反之则只能归于法益[10]118。归属效能是指某项确定的法益内容归属于特定主体；排他效能的根本含义是排除其他主体的任何不法干涉；社会典型公开性要求权利必须有社会一般意义上的可识别性，而非为潜在侵权人所不可感知[11]58。个人信息未能满足上述三个标准，原因如下：其一，互联网时代，个人信息高度数字化，常常以在二进制的基础上由0和1组合而成的比特流形式通过集成电路传输，易于分享和传播。其在产生之初时常就以数据的形式存在于网络服务提供商的管理系统或服务器上，共有性特征显著。以上种种致使个人信息难以确定地明晰权属。其二，个人信息具有无形性，虽然依赖于一定的介质传播、表现，但在物理层面却难以为人力所束缚，不能将其排他地限制在特定空间，实现全面、圆满的支配。在法律层面，对其之法律控制也不尽如人意。例如，旨在增强自然人对个人信息控制力的“知情-同意”机制不仅未能提高隐私保护水平，在实践中反而偏向商业利益[12]。个人信息亦不具有排他效能。其三，最重要的是，个人信息缺乏社会典型公开性。在大数据时代，自动化数据处理技术大规模应用，个人在网络空间活动中遗留的琐细、零散的数字足迹能够被重组、比对、整合成为关联到特定民事主体的个人信息，个人信息和非个人信息之间的界限逐渐相对化、模糊化。比如，浏览历史、购物记录、搜索关键词等反映网上活动轨迹及上网偏好的信息并不能直接辨别和确定特定主体，但与地理定位、IP地址等联系起来，就可确定指向某一特定主体，成为个人信息。个人信息的界定也在朝着场景化、动态性的方向发展[13-14]。因此，个人信息无法成为社会一般人可以清晰预见和明确感知的对象。近来，有观点认为，个人信息与知识产权本质上具有诸多共同性，通过借鉴知识产权的构建路径，采用“行为规制权利化”的技术方法，不强调对客体意义上个人信息的圆满控制，而是规制特定的利用行为并以此架构利益保护的空间，足以塑造作为绝对权的个人信息权[15]。但是，该学者却忽略了个人信息在权益归属的确定性、社会典型公开性和著作权、专利权及商标权等知识产权的巨大差距，“权益区分三标准”的不满足堵塞了个人信息“行为规制权利化”的技术路径。综上，“个人信息”难以为其他民事主体的行为提供合理的预期，不具有使他人避免侵害的期待可能性，不宜作为绝对权保护。

3.利益衡量视野之考察

个人信息绝对权化将阻碍信息的自由流通。个人信息保护要权衡自然人民事权益之维护与信息自由流通两大法律价值目标，欧盟GDPR第1条第3项可为著例，其规定“不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止”，个人信息绝对权化在价值衡量上独倾于前者而忽视后者，不利于维系权益保护与信息自由流通的二元平衡。假若确立个人信息权，前文已述，应为绝对权(2)在此先搁置前文提及的“个人信息”不符合绝对权三个特征的论断。，所以将个人信息作为权利保护与作为法益保护至少有两点不同：其一，如前所述，绝对权具有归属效能和排他效能，赋予民事主体以个人信息权意味着个人信息在法律上排他地归属于某个自然人，并且可以摒除他人的不当干涉。这必然导致个人信息保护向强化自然人对其个人信息所享有之控制力的方向发展。我国学界通说对于个人信息权的理解事实上也是和德国法上突出信息主体对个人信息的支配和控制的个人信息自决权相近[2]41[16]。其二，法律对于权利和法益采取的是区分保护，对绝对权的保护力度要大于对法益的保护。这将导致两点不妥：其一，个人信息(尤其是网络之上的)本质上是一种公共产品，具有非竞争性和非排他性[17]517-574，赋予信息主体控制性的个人信息权与个人信息的本质属性相冲突。况且，个人对其个人信息的控制在现实中也难以实现。在信息社会，摄像头、麦克风、移动传感器、GPS和WIFI功能彻底创新了公共领域的数据收集[14]，自然人既难以察觉，也无从阻止。个人信息会经历二次甚至后续的多次利用，自然人与数据中间商及数据后续利用者之间并无直接的联系，且由于大数据挖掘技术的广泛应用，数据的增值用途不断涌现，个人信息收集之目的自始具有不确定性，与知情同意的具体性相冲突。凡此种种，致使以“知情-同意”规则为根基建立的控制机制彻底沦为蟠木朽株，“食之无味，弃之可惜”。其二，侵权法上的权利具有不可侵犯性，一旦侵害绝对权，便直接征引违法性，如若没有违法阻却事由，则需承担相应的侵权责任。将个人信息绝对权化，并且是建构起导向支配、控制性的个人信息权，个人信息的利用原则上被禁止，除非得到个人的同意或者符合法律的规定。由此，民事主体处理他人个人信息的行为自由将受到极大的限制，行为一不小心就会逾越自由的边界，侵入他人个人信息权的领域构成侵权，使民事主体动辄得咎。利益被识别、筛选为法益，需要满足特定的法律评价机制设置的限制条件。如若将个人信息定性为法益，预设的前提是，利用个人信息的行为原则上是合法的，除非违反了保护性规定或者违背公序良俗。保护性规定在规制非法利用个人信息的行为方面的作用相当于负面清单，是否“背俗”常常伴随着利益衡量，并不会过度限制个人信息的处理，窒息信息的自由流通。

4.比较法上经验之借鉴

比较法上对个人信息权利化持否定性立场。美国并无关于个人信息的综合性立法，采取分散立法模式[18]。美国国会通过的一系列保护个人信息的立法，如《儿童网上隐私保护法》《家庭教育权利和隐私法》《视频隐私保护法》等带有明显的消费者法保护或公法规制的特征，并未赋予个人以针对不特定第三人的权利[19]。欧盟赋予个人信息宪法地位，将其视作人的基本权利和自由。《欧盟基本权利宪章》第8条、《欧洲人权公约》第8条及其旨在统一各成员国个人信息保护的《第95/46/EC号指令》皆清晰指明个人信息保护是一项基本权利。欧盟各成员国或者直接规定个人信息的宪法地位，如荷兰、西班牙、葡萄牙等，或者从一般或特定的宪法原则或权利中衍生出个人信息，如德国、法国等[20]。以德国为例，德国联邦宪法法院通过“小普查案”“人口普查案”等案件以司法判例的形式形成了个人信息自决权，个人信息自决权实际上是在公法领域公民得以对抗政治国家无限制的信息收集行为的有力工具，不是私权体系中的具体权利类型，更不是受侵权行为法保护的民事权利[21]。

(二)法益属性之厘定

个人信息实质上是一个概括性、描述性的指称，是众多不同类型的法益构成的集合体。隐私权、肖像权、名誉权等精神性、标表型具体人格权，囿于社会伦理道德观念的束缚，未能经受充分的商品经济洗炼，从而型塑出稳定、清晰的内涵、范围以及权能构造，面临着概念淡化、内容逸散，甚至整体消解为各种法益而重归混沌的“逆权利化”风险。数字化时代，自动化信息处理技术的大规模运用给个人主体权益带来威胁，基于尊重个人私生活、保障个人事务自决的人权观，信息主体享有个人信息不受非法利用的法益得到广泛承认。自精神性人格权、标表型人格权“逆权利化”进程中散逸而出的，指向特定自然人并标识个人人格、身份特质的权利内容，当其以信息的形式存在之时，自然人兼有防止此类信息被非法收集、使用、加工、传输的法益，两者相结合则型构出法益集合体——个人信息。

个人信息之上集合的各种法益均是以客观意义上的个人信息为载体的，个人信息上是否配置绝对权要着重考虑信息本身的特质。如前所述，信息是否指向特定的自然人非属确定，个人信息的界定日益以场景化和风险管理为导向，其本身的变动不居无法满足权利客体特定性的要求，不符合“权益区分三标准”，在法技术上绝对权化殊无可能。从综合平衡信息开发利用及个人信息保护二元价值的角度考虑，在法政策上绝对权化不具备正当性基础，因此，个人信息的绝对权化应予否定。我国《侵权责任法》第2条第2款的保护客体是民事权益，除权利(绝对权)之外，还包括民事法益。《民法总则》第111条虽不具有确立个人信息权的规范价值，但却宣示个人信息应受法律保护，个人信息的私法保护即应在法益层面展开。

须注意的是，通过法益层面保护的个人信息范围要加以限定。个人信息中有相当部分内容与名誉权、隐私权、肖像权、姓名权等具体人格权的权利内容相重叠。例如，隐私权和个人信息的客体即具有交错性，自然人基因信息、病历资料、犯罪记录等隐私性信息，既属于个人信息，也是隐私权的保护对象。权利和法益的本质皆为利益，立法者给经历千百年社会实践洗练的边界清晰且权能内涵确定的典型性利益披上权利的外衣，赋予最高强度的法律保护，一旦受到侵害就应当给予保护，排斥裁判者的个案衡量。其他尚不够成熟和典型的利益，需要经过一定的筛选识别机制，被法官确认为现行法秩序下的法益时，方可得到保护。从尊重立法者的政策衡量和价值取舍的立场出发，凡为权利之所覆盖的内容，既不须也不应再从法益的层面加以保护。因此，个人信息中属于各具体人格权权利对象的内容应当由相应的权利进行规范，剔除掉落入各具体人格权保护范围的部分，余下的才有探讨如何在法益的层面加以保护的必要。

三、个人信息法益保护路径的选择

(一)法益的一般保护路径

立足于文义解释和历史解释[22]的角度，我国侵权责任一般条款(3)无论是法国式的“大一般条款”,还是德国式的“小一般条款”，其实都是指过错侵权责任的一般条款。我国《侵权责任法》第2条第1款并非是侵权责任的一般条款，第6条第2款并非是过错推定责任的一般条款，第7条并非是无过错责任的一般条款。因此，我国侵权责任一般条款只有一个，就是过错侵权责任一般条款。过错推定责任和无过错责任均无一般条款，其保护范围、构成要件应依照具体规定来认定，是立法者政策考量的结果。权利和法益的区分保护在本文中仅针对侵权责任一般条款而言。(《侵权责任法》第6条第1款)在形式上采取的是法国式的大一般条款的模式，不区分权利和法益而一体适用。然而，法国式的权益统一保护模式存在着构成要件概括笼统，无法为法官提供精确指引，从而导致法律适用确定性不足之弊端，也不利于妥适地调和权益保护与行为自由维护之间的矛盾。在我国学界，赞同权利和法益区分保护的观点逐渐成为主流[10]106[23][24]98；而在司法实践中，无论是在《侵权责任法》实施之前还是之后，权利和法益区分保护体制的探索一直在延续。

如何构造我国侵权法上的权益区分保护机制，学者提出了多种解释方案，这些方案大致可以分为两类。一类是利用违法性要件将侵权责任一般条款在司法适用中解释成导向或接近德国三个小概括条款的模式；一类是利用欧洲的动态系统理论或者日本的相关关系理论来进行解释，主张综合考虑多种因素来认定侵权构成，实现灵活的、弹性的处理。笔者赞同前者，理由如下：其一，违法性是侵权法保护范围的“调节器”[25]，具有划定侵权法保护的利益范围和行为自由之间边界的功能。通过违法性要件筛选应受保护的法益以此使侵权责任一般条款类型化，历史地走向类似《德国民法典》的侵权法体系构成，是最高人民法院在案件审理和司法解释制定中一直延续的思路[26]11。其二，利用相关关系理论或者动态系统理论实现对法益筛选的弹性处理的思路不可取，这种做法其实和法国模式是殊途同归。法国模式和德国模式的根本区别并不在于是否要区分保护(实际上在法国的司法实践中不同类型法益得到保护的程度并不相同，也是区分保护的[27])，而在于法益的筛选究竟是由立法者规定明确的判定标准，借由侵权责任一般条款的类型化而给予法官精确的指引，抑或是赋予法官以自由裁量权，由其在个案中斟酌各种因素再予以判定。我国最高人民法院的法官认为抽象的一般条款难以应付社会生活中纷繁复杂的侵权案件，需要继续以类型化的体系构成予以具体化、明确化[26]14。在诉讼爆炸的时代，人民法院面临着案多人少的困境，从减轻法官在个案中的论证成本和说理负担，提高裁判效率，统一裁判尺度的角度出发，也应该坚持类型化的思路。我们应该采纳前一类解释方案，根据侵权行为的违法性进行类型化作业，参考德国民法典第823条和第826条，将《侵权责任法》第6条第1款解释为侵害绝对权的侵权责任、违反保护性规定的侵权责任以及故意违背善良风俗致损的侵权责任三种类型。在此框架下，法益保护的一般路径是违反保护性规定的侵权责任以及违背善良风俗故意致损的侵权责任两种。

(二)个人信息作为法益的保护路径选择

首先，违反保护性规定的侵权责任本质上更为契合个人信息保护的行为规制模式。利益保护有权利化模式及行为规制模式两种路径。权利化模式将相应利益配置予具体权利类型，并明确权利归属及其排除第三人干涉的效力。行为规制模式则通过规范他人的行为以构建利益空间，实现维护应受法律保护利益的目的[4]。《民法总则》第111条规定了依法取得并保障信息安全的义务，同时对非法收集、加工、传输、买卖、提供、公开个人信息的行为予以禁止，实质上是以控制行为的方式达致保护个人信息的目的，应属采行为规制模式。保护性规定可以详尽地设置民事主体从事社会活动应尽的注意义务，划定相应的行为禁区，为侵权认定提供裁量基准，契合行为规制模式的特征。例如，《网络安全法》第41条、《消费者保护法》第29条等构建了个人信息收集、使用的行为规范体系，提供相对清晰的合规指引。如果数据企业有未公布隐私政策、超出提供的产品或服务范围收集个人信息等非法行为，法官可径行推定企业的主观过错及行为违法性，由该条的法规保护目的确定损害赔偿的范围，简化因果关系的认定。而善良风俗是一个不确定性的法律概念，无法提供客观的行为标准、框定清晰的行为自由界线，难以在行为规制模式下发挥建设性作用。

其次，以违反保护性规定的侵权责任保护个人信息法益具有坚实的基础，而判断是否构成“背俗”侵权之“俗”尚未形成。法律是政治共同体运作并表达其意志的工具[28]，通过以建构性的手段催化、引导及加速自生自发秩序的进程，可以塑造民众的共同生活，并形成唯有经过政治决定才能消除弊病的快速反应。善良风俗植根于全社会范围内形成的普遍共识，是民众信念、民族特质及社会现行伦理道德观念的产物，由自生自发秩序缓慢地孕育。大数据深刻地改变人类生活，社会当前正处于新旧秩序转型的混沌状态，规范大数据时代个人信息收集与处理的善良风俗，归因于自生自发秩序演化的惰性，未能完整生成，而具有引领性的立法早已先行一步。自2012年全国人大常委会通过《关于加强网络信息保护的决定》以来，我国制定了大量有关个人信息保护的法律规范，已经初步形成全方位、宽领域、多层次的个人信息保护法律体系，覆盖信息的收集、使用、移转、储存、公开等各个环节(4)笔者于2019年7月5日以个人信息为关键词，在北大法宝上精确查询全文包含该关键词的法律规范，总共查到35件法律、16件行政法规、1件监察法规、9件司法解释、79件部门规章。而且，《个人信息保护法》已经列入十三届全国人大常委会五年立法规划，正在二次审议的《民法典人格权编(草案)·二次审议稿》也有6个条文涉及到个人信息的保护。。通过筛选甄别，有相当数量的规范可以成为识别个人信息法益的保护性规定。若否认“善良风俗”充当连通道德与法律的桥梁，同时也否认继受既有的、法外的“社会规范”形成实质性判断标准的功用，而将“善良风俗”理解为具有“纯粹的工具品格”的赋予法官概括授权的空白公式，那么，真正在背俗性问题上起作用的应该是凝结裁判者价值取舍的判例[11]195。然而，当前涉及个人信息保护的民事判例，既无充足的数量，也无丰富的类型(5)张新宝教授在北大法宝上使用诸多关键词检索，最终仅查到23件民事案例真正与个人信息保护相关，而且其中22件原告为法人，仅有一个案件是援引《民法总则》第111条作出。(参见张新宝：《〈民法总则〉个人信息保护条文研究》，《中外法学》2019年第1期，第72页)，还须经历相当长一段时间的沉淀，才能积累出足够完成类型化作业的素材，然后在此基础上形成具有可操作性的、指引性的判断标准，该意义上规范个人信息收集与处理之“俗”仍未形成。

再次，违反保护性规定的侵权责任构成要件的特性适合于突破大数据时代个人信息侵权认定的困境。大数据时代的个人信息侵权认定面临以下挑战：其一，个人信息侵权的损害后果以无形损害为主，一般无明显的外在表现。无论是传统的精神痛苦损害，抑或是大数据时代出现的信息泄露、社会分选(social sorting)和歧视、消费操纵和关系控制等新型损害[29]，举证证明均有相当难度。其二，因果关系的证明陷入困境。例如，互联网用户因个人隐私性信息泄露而遭受侵害时，有两种类型的因果关系不确定性问题：第一个是被告是否实施侵权，第二个(以对第一个的肯定回答为条件)是被告之中哪些人实施侵权及侵害了原告中的哪些人[17]517-553。而且，在大数据时代，数据挖掘、分析技术的滥用是造成个人信息遭受侵害的重要肇因，其不依赖于因果关系而依赖于相关性进行预测和推断，新发现的信息是非直观的，不具可预知性[30]，认定该技术导致侵权的因果关系殊为不易。其三，要证明侵权主体的过错也存在困难。由于侵权主体一般是拥有雄厚的经济实力、技术水平和信息优势的数据企业[31]，受害者则多是与之相对比处于弱势地位的自然人，数据企业为谋取经济利益而运用自动化信息处理技术收集、加工、使用个人信息，有义务防免因之开启或维持的风险，其也最有能力避免该危险现实化，因此，可以对侵权主体适用过错推定、因果关系推定和损害推定。域外法上，欧盟GDPR第82条第3款规定，如果控制者或处理者证明自己没有责任，就可以对引起的损失免责，在此便实施了过错推定和因果关系推定。违反保护性规定的侵权责任，其过错的判定完全系于对保护性规定的违反，一般从违反客观法定义务出发即推定行为存在过错，损害赔偿的范围取决于立法者在设定保护性规范时的保护范围意图，是一种事先调整。违反保护性规定意味着受害人遭受侵害的危险大大提高，从优先保护受害人的法律政策出发，可以推定在损害与违法行为之间具有因果关系，或者至少存在表面证据[24]97。违反保护性规定的侵权责任其构成要件的特征，适应了大数据时代个人信息侵权认定的要求，与“背俗”侵权的构成要件相比，有更大的优势。

最后，违反保护性规定的侵权责任能够充当转介条款，实现个人信息保护的公私法衔接，而故意“背俗”致损的侵权责任却无此功能。风险社会促使现代国家由中立的“守夜人”向“规制国”转变，自动化信息处理技术增大个人信息被非法收集、存储、公开、移转的风险，立法者制定大量的管制型规范以营造数据秩序，充分保障个人信息主体的合法权益。《网络安全法》第41条、第42条、第43条及《刑法》第253条等公法条款，《民法总则》第111条等私法条款均关涉个人信息的保护，在这个问题上，公私法规范不是割裂而是相互协调配合的关系。保护性规定的概念能将个人信息保护的各种法律规范纳入侵权法领域，拓宽个人信息侵权的保护范围，具体化认定标准，实现个人信息保护的公法系统和私法系统的接轨汇流，达致整个法秩序的和谐。善良风俗的转介对象是道德规范，而如前所述，规范个人信息收集与处理之“俗”尚未形成。

小结：本文无意否定“背俗”侵权类型在个人信息保护中的作用，前述分析旨在指出，违反保护性规定的侵权责任在个人信息的侵权法保护上，相比于故意“背俗”致损的侵权责任无疑具有更大的优势，应以前者为主，而以后者为辅。“背俗”类型实际上可作为兜底性保护手段，在尚未有足够的案例积累以及有关个人信息利用的社会伦理道德规范作为判断标准时，唯有赋予法官自由裁量权，使其在个案中斟酌损益，否则，无进一步探讨的必要。目前，应将重心致力于违反保护性规定的侵权责任框架构建上，下文即沿此进路展开分析。

四、通过保护性规定保护个人信息法益路径的类型化展开

目前，我国有关个人信息保护的法律规范虽然数量众多，但整体上欠缺规范体系性，相关规定星罗棋布散见于公法和私法的不同门类，呈现出碎片化、离散化的现状，部分规范所保护的领域还存在着交叉重合，上述现状业已对通过违反保护性规定的侵权责任保护个人信息法益形成阻碍。厘清个人信息法益的内涵与外延，明晰其主要被侵害的形态、侵权判断基准、构成要件、抗辩事由、责任方式等，亟需对保护性规定进行类型化的梳理，以期构建科学合理的违反保护性规定的个人信息侵权责任框架，为法官提供裁判规则指引及侵权责任限制依据。“在类型化理论中，最疑难的问题莫过于对‘类似性’的认定。”[32]有关个人信息保护性规定的类型化应以“行为”作为标准。理由在于：“法律规范通过使特定的群体(接收对象)负有遵守或者执行规范命令的义务，从而达到塑造和调整特定生活领域的目的”[33]，而这个功能的实现，依靠的是影响调整对象的特定行为，从而在其效力范围内调控特定的过程。法律对个人信息的保护，主要也是以规制行为实现的。以“行为”作为类型化标准，将保护性规定的类型及违反相应类型的侵权责任详述如下。

(一)违反个人信息收集、使用型保护性规定的侵权责任

个人信息收集、使用型保护性规定可见《网络安全法》第41条、《消费者保护法》第29条等(6)还包括《电子商务法》第23条，《刑法》第253条之一，《电信和互联网用户个人信息保护规定》第5条、第8条、第9条及第11条，《地图管理条例》第35条，《征信业管理条例》第13条等。。收集是指对个人信息进行获取并记录(7)参见《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)第5.1(a)条。，使用是指访问、加工、依据个人信息作出决策等利用个人信息的行为，不包括公开、传输行为在内。该类保护性规定的合规要求是：(1)遵循正当且必要的原则。网络运营商唯有基于具体、清晰和正当的目的始能实施收集行为，收集的个人信息与其所提供的产品、服务的业务功能要具有直接关联性。同时，要满足数据最小化的要求，收集的个人信息限于信息主体授权同意的目的所需最少类型与数量。使用个人信息不能违反初始目的。(2)履行充分告知的义务。处理个人信息的目的、方式、范围及规则等要保持公开透明，且应当使用清晰、平白的语言，以一种简洁、易懂和容易获取的方式提供前述注意事项。网络运营商公布的隐私政策条款过于抽象概括，未能明示收集、使用个人信息的目的、方式及范围；以“捆绑式”的方式罗列晦涩冗长的内容，令网络用户阅读困难；隐私政策隐蔽，未主动引导用户阅读的，均是未充分保障用户知情权的体现。(3)经过用户同意。同意的方式涵盖明示同意和默示同意两种。比较法上，一般有列举个人信息处理合法性基础的条文，如欧盟GDPR第6条、我国台湾地区《个人资料保护法》第19条等，同意均只是合法性事由之一。我国是“世界上唯一一个在立法上明示个人信息收集、使用一律须经信息主体的同意从而将同意一般化的国家”[34]。因此，解释“同意”时不能参照GDPR第4(11)条，限定个人信息主体的授权必须以明示同意的方式做出，应当把默示同意包括在内，否则会严重影响个人信息的流通利用。在“朱烨与北京百度网讯科技公司隐私权纠纷上诉案”(8)参见江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。中，二审法院便认为原告朱烨以默认“选择同意”的方式认可百度网讯公司使用cookie技术，百度网讯公司未侵害网络用户的选择权和知情权。区分信息主体、个人信息类型而采用相适应的同意方式有助于构建个人信息差异化保护机制，维持权益保护和信息开发利用的二元平衡。具言之，收集、使用敏感个人信息、未成年人信息以及70周岁以上老年人信息时，必须经过明示同意；而收集、使用一般个人信息时仅需默示同意即可。不符合以上三个条件之一即违反个人信息收集、使用型保护性规定，具备违法性要件，能径行推定侵权人主观上有过错。损害后果相对隐蔽且不易量化，但依据保护性规定也可推定，因为法律既然禁止非法收集、使用个人信息，已然融入立法者确信此类行为会导致个人信息侵权的损害后果的价值判断之内。与此同时，立足于保护受害者的法律政策，因果关系的认定也可宽松化。

违背此类保护性规定，恢复原状、停止侵害、排除妨害、消除危险等侵权责任均有使用的余地，限制处理、断开链接(URL)以及《网络安全法》第43条规定的删除、更正等可以解释为前述侵权责任的具体实现方式而得到适用。损害赔偿则应区分财产损害赔偿和精神损害赔偿。在财产损害赔偿方面，被侵权人为制止侵权行为所支出的费用是财产损失，由于非法收集、使用个人信息造成的物质损失通常具有不可计量性，宜以侵权获益标准认定为侵权人获得的利益，侵权获益也难以确定的，人民法院可以酌情确定。在精神损害赔偿方面，根据《侵权责任法》第22条，只有造成严重精神损害时，才能够要求精神损害赔偿。收集、使用个人信息是否造成受害人严重精神损害，应当结合信息的敏感程度、收集和使用的目的、收集信息的手段、使用范围及程度、损害后果等因素在个案中作出综合判断。

(二)违反个人信息安全保障义务型保护性规定的侵权责任

个人信息安全保障义务型保护性规定可见《网络安全法》第42条、《征信业管理条例》第22条等(9)还包括《消费者保护法》第29条，《旅游法》第52条，《刑法》 第286条之一，《电信和互联网用户个人信息保护规定》第6条、第10条及第13条，《网络游戏管理暂行办法》第28条，《彩票管理条例》第27条，《城市轨道交通运营管理规定》第28条等。。个人信息控制者(10)根据《信息安全技术:个人信息安全规范》(GB/T 35273-2017)第3.4条，个人信息控制者指的是有权决定个人信息处理目的、方式等的组织或个人。的收集利用行为带来个人信息遭受泄露、毁损或者丢失之风险，依情形采取必要且具期待可能性的防范措施，保护信息主体免遭前述损害，是其应尽的安全保障义务。安全保障义务能够超越介质而一体适用于物理空间与网络空间内的利用个人信息之行为[35]。保护性规定设置的行为标准主要内容是：(1)建立完善的信息安全管理制度；(2)采取必要的技术措施或其他措施确保持有的信息安全；(3)个人信息安全事件发生时应当及时采取补救措施；(4)及时删除超出处理目的所需保存时间的个人信息。具体化的要求参见《信息安全技术:个人信息安全规范》(GB/T 35273-2017)和《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)等国家标准。在侵权样态上，以不作为或间接侵权为主，直接造成受害者损害的常常是第三人侵权行为，例如外部的黑客攻击、爬虫软件(Python)非法抓取数据等。在主观过错的认定上，是否符合保护性规定所确定的行为标准是判断是否善尽个人信息安全保障义务以及是否存在过错的重要依据，但不是唯一依据，即使满足标准的要求，也不必然尽到侵权法上的注意义务，法官仍保留最终的裁量权。在因果关系的认定上，虽然损害后果以无形性损害为主，一般表现为个人信息的泄露、丢失、毁损、遭到篡改或者未经授权的访问等，侵权行为与损害结果之间的因果联系难以直观判断，但个人信息控制者、处理者未能采取充分措施保障信息安全，使个人信息泄露等危险现实化，行为与损害结果之间的因果关系一般可以初步推定。

违反此类保护性规定，个人信息控制者承担的预防性责任主要是停止侵害、消除危险和赔偿损失，履行方式是更正不准确的信息、采取隐名化等信息加密技术、删除逾越处理目的的信息等；回复性责任是赔偿损失。有隐私性信息泄露或者具有人格象征意义的纪念信息永久灭失造成严重精神损害的，受害者可以根据《侵权责任法》第22条请求精神损害赔偿。须注意，在有第三人介入时，只要第三人侵权行为之实现是由于个人信息控制者未尽安全保障义务所致，则该行为不能中断因果关系链条，个人信息控制者和第三人构成竞合侵权，参照《侵权责任法》第37条，由个人信息控制者承担补充责任。个人信息控制者可以举证证明自己已经尽到安全保障义务从而主张免责抗辩。对于是否尽到安全保障义务的判断，在考虑到现有的技术水平、成本的情况下，如果采取的措施具有与个人信息处理的风险及所保护的个人信息相适应的安全程度的，应当认为是已经履行了相应的义务。个人信息已经过匿名化也是此类侵权的抗辩事由。

(三)违反个人信息移转型保护性规定的侵权责任

此类保护性规定可见《刑法》第235条之一、《网络预约出租汽车经营服务管理暂行办法》第26条第3款等(11)还包括《电子商务法》第25条，《消费者保护法》第29条，《公共图书馆法》第43条，《地图管理条例》第35条，《电信和互联网用户个人信息保护规定》第10条、第18条，《征信业管理条例》第20条，《网络预约出租汽车经营服务管理暂行办法》第26条等。。移转个人信息的合法性标准无法直接自该类保护性规定中得出，但能够结合国家标准、司法实践状况等因素确定如下:个人信息的移转以数据共享为主要形式，其他移转行为的合法性判断可以参照数据共享的合法性要求确定。数据共享实际上是数据控制者范围的扩张，从数据主体的角度观察，数据共享与重新收集数据并无本质区别，实际上也是一个个人信息的收集、利用问题[36]，其他移转行为亦然。但是，数据共享等个人信息的移转是由占有个人信息的数据控制者和相关主体实施，个人信息主体并不直接参与其中，具有不同于通常而言的个人信息收集、使用的特点。数据共享应当遵循“用户授权”+“平台授权”+“用户授权”的原则，该原则由北京知识产权法院在“北京微梦创科网络技术有限公司诉北京淘友天下技术有限公司、北京淘友天下科技发展有限公司不正当竞争纠纷案”(12)参见北京知识产权法院(2016)京73民终588号民事判决书。中确立，并得到广泛认同。内容是：数据控制者在对外分享信息时，拟分享的信息须是获得信息主体授权收集的信息，而且此时仅有自己的授权还不够，尚需信息主体的再一次授权。数据分享者利用个人信息的形式、范围及时间等既要在分享协议的授权范围内，也要满足信息主体的授权要求。数据共享同样要区分敏感个人信息和一般个人信息，前者的共享要明示同意，后者仅需默示同意即可。如果是数据控制者履行参与的契约所必要，且符合一般人的合理预期，可以视为信息主体默示同意。此外，还应满足个人信息收集、使用型保护性规定的合规要求，如遵循正当、必要、最小化的原则等。其他移转行为的合法性要求可参照数据共享确定。

违反此类保护性规定，可适用损害赔偿、停止侵害、赔礼道歉等责任承担方式。在认定行为人主观过错、损害赔偿的数额等方面，可以结合非法移转的个人信息的数量，是否包含行踪轨迹、通信记录、健康生理信息等可能影响人身、财产安全的敏感信息，是否促使下游犯罪的发生等因素，进行综合考量。非法提供、出售或者获取个人信息，情节严重的可构成犯罪。如果是国家机关工作人员违反法定职责实施的，此时有国家赔偿和刑事附带民事赔偿的竞合，应允许受害人择一行使，以最大限度地保障其权益。如果个人信息管理者明知或者应当知道他人利用个人信息意图实施犯罪，仍然向其移转个人信息的，个人信息管理者和个人信息接收者已经成立共同侵权行为, 应按照《侵权责任法》第8条关于共同侵权责任的规定, 承担连带责任[37]。但是，利用个人信息实施犯罪一般侵害绝对权，此时会有侵害绝对权的侵权责任和违反保护性规定的侵权责任的竞合，通说认为是请求权规范的竞合[38]，而只发生前者的请求权。

(四)违反个人信息公开型保护性规定的侵权责任

此类保护性规定可见《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《信息侵权解释》)第12条、《最高人民法院关于审理旅游纠纷案件适用法律若干问题的规定》第9条等。公开，其定义是将个人信息向社会公众或者不特定群体披露的行为，实质上也是使用个人信息的一种方式。但鉴于公开个人信息进而损害信息主体的合法权益是司法实践中个人信息侵权的主要形式，所以将其作为一种独立类型。此类保护性规定的合规要求是：确需公开披露个人信息的，应当取得个人信息主体的同意。同意的形式限于明示同意，且应当是在被充分告知公开披露个人信息的目的、类型等的情况下做出的。未经同意即公开，公开的规模、类型及程度等逾越授权的范围，以及未善尽注意义务致使公开行为造成不应有损害的，违反了个人信息公开型保护性规定。侵权行为的过错、因果关系同样能够在判定违反保护性规定的同时予以推定，而在损害后果的认定上，因为个人信息处于非法公开状态的事实被视为是一类新型损害，一般依据侵权行为本身即可证明。

须注意的是，司法实践中，法院通常将非法公开个人信息的行为判定为侵犯隐私权，因为被公开的个人信息经常是隐私性信息，或者被公开的信息相互结合构成的整体性信息属于隐私性信息，如在“王福龙诉王德红等隐私权纠纷案”(13)参见北京市门头沟区人民法院(2017)京0109民初4612号民事判决书。中，法院认为，公民的姓名、身份证号和银行卡号三者结合起来成为整体信息，这些整体信息一旦被泄露，个人的财产安全将面临一定风险，因此确认案涉前述整体信息属于个人隐私信息。然而，个人信息虽和隐私有交叉重叠的部分，却并不完全被包含于隐私之中，个人信息即使与隐私无涉，基于防范人格尊严受侵害，保障个人安全的需要，利用个人信息的行为仍有规范的必要[39]。在“丁芝玲与汪锡奎隐私权纠纷”案中(14)参见四川省德阳市旌阳区人民法院(2017)川0603民初4743号民事判决书。，法院便认为，自然人的隐私信息是其个人信息的一部分，但并不完全等同，被告汪锡奎泄露原告丁芝玲的个人基本信息并非故意，尚不构成对原告隐私权的侵犯，但被告无意泄露原告个人信息之行为，仍应承担相应的民事责任。而且，从违反保护性规定的侵权责任的构成要件出发，只要行为人违反了个人信息公开方面的保护性规定，即使未侵犯隐私权，亦当承担侵权责任。

个人信息一旦公开，侵权行为即告完成，请求停止侵害、排除妨害殊无意义，恢复原状也不可能。赔礼道歉、消除影响和精神损害赔偿是此类侵权常用的责任承担方式。《信息侵权解释》第12条规定了6项公开个人信息的免责事由，对于非利用网络公开个人信息的情形也可适用。比较常用的是其中第4项，公开自然人自行在网络上公开的信息或者其他已合法公开的个人信息不构成侵权。但是，造成他人已在一定范围内公开的信息的公开范围不当扩大依然构成个人信息侵权[40]；已被公开的个人信息是非法公开的，行为人继续披露、公开，也将构成侵权。在“王菲诉张乐奕名誉权纠纷案”(15)参见北京市第二中级人民法院(2009)二中民终字第5603号民事判决书。中，法院就认为，他人对王菲个人信息的披露并不意味着张乐奕可以继续对此予以披露、传播，他人此前对王菲个人信息的披露不影响张乐奕侵犯事实成立。

我国现有的关于个人信息保护的民事法律及司法解释，无论是针对旅游经营者、与消费者相对应的经营者、网络运营者等，所适用的主体范围均有其特定的指向和一定的限制[41]。《民法总则》第 111 条则将主体扩展至任何组织与个人，在规制的行为上，包括了收集、使用、移转、公开以及保障取得的信息安全等。《民法总则》第 111 条实际上是个人信息保护的一个总括性保护性规定。在规制的信息行为主体也出现有其他个人信息保护性规定所保护的“人”的范围时，可以适用《民法总则》第 111 条，并根据所规制的行为的种类，参考相应类型的更为详细的保护性规定进行具体化解释。

五、结 语

澄清个人信息侵权法保护路径，必须以厘清个人信息的法律属性为前提。《民法总则》第111条的规范目的并非是把个人信息上升为权利来保护，将个人信息绝对权化，有过度保护之嫌，且与社会生活实际相脱离，还会造成阻碍信息自由流通与开发利用之风险。“执其两端，用其中于民”，在厘定个人信息之法律属性是法益的基础上[42]，主要通过违反保护性规定的侵权责任，不仅足以规制侵害个人信息的行为，而且能够实现个人信息法益保护与开发利用的二元平衡。根据一定的基准，将有关个人信息的保护性规定类型化为四类，具体探讨各个不同类型保护性规定确立的行为标准，以及违反时侵权责任构成的判定、承担的责任形式、抗辩事由等，能够构建起完善的违反个人信息保护性规定的侵权责任的框架体系，为司法裁判提供有益指引。